文/徐昕 羅少康

某網(wǎng)絡(luò)系統(tǒng)中互聯(lián)網(wǎng)服務(wù)區(qū)的安全防護(hù)

文/徐昕1羅少康2

為了滿(mǎn)足某單位網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)對(duì)于互聯(lián)網(wǎng)服務(wù)區(qū)中安全防護(hù)的需要，在充分了解此單位所涉及網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)安全、信息系統(tǒng)及信息安全現(xiàn)狀的前提下，并進(jìn)行完風(fēng)險(xiǎn)評(píng)估后，通過(guò)建立信息安全管理體系，提高互聯(lián)網(wǎng)服務(wù)區(qū)中信息系統(tǒng)整體安全防護(hù)的水平，防止不安全事件的發(fā)生，最大限度降低安全問(wèn)題所帶來(lái)的損失，降低信息安全管理成本。具體通過(guò)安全保障體系框架的建設(shè)保證結(jié)構(gòu)安全，通過(guò)安全設(shè)備的部署降低網(wǎng)站安全風(fēng)險(xiǎn)事件的發(fā)生，為承載其互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的基礎(chǔ)的互聯(lián)網(wǎng)服務(wù)區(qū)，提供安全、穩(wěn)定、高效的基礎(chǔ)網(wǎng)絡(luò)環(huán)境，并輔以有效的網(wǎng)絡(luò)管理手段，也可提升其它業(yè)務(wù)應(yīng)用的服務(wù)水平及質(zhì)量。

網(wǎng)絡(luò)安全 區(qū)域網(wǎng)絡(luò)防護(hù)

某單位是在整合歸并時(shí)由于客觀(guān)條件限制，并未對(duì)整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行相應(yīng)的整合，只是簡(jiǎn)單的互聯(lián)。但是由于原本網(wǎng)絡(luò)系統(tǒng)建設(shè)時(shí)間早、業(yè)務(wù)應(yīng)用復(fù)雜、外聯(lián)網(wǎng)絡(luò)較多。許多業(yè)務(wù)都是隨著信息化的發(fā)展而后增加的，這樣就造成缺乏統(tǒng)一的全局規(guī)劃。導(dǎo)致在信息安全方面，雖然某單位網(wǎng)絡(luò)系統(tǒng)早已引入了區(qū)域管理的概念，配備了必要的安全設(shè)備，在信息安全工作上也取得了一定的成效，但區(qū)域劃分相對(duì)簡(jiǎn)單粗獷，防護(hù)則側(cè)重于重要信息安全系統(tǒng)，具有片面性。由于系統(tǒng)建設(shè)時(shí)間早，設(shè)備老化比較嚴(yán)重。為了滿(mǎn)足業(yè)務(wù)需要，部分設(shè)備跨區(qū)域使用，存在安全隱患。

在充分了解某單位所涉及信息系統(tǒng)及信息安全現(xiàn)狀的前提下，在進(jìn)行完差距分析及風(fēng)險(xiǎn)評(píng)估后，根據(jù)《GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的要求，對(duì)信息安全等級(jí)保護(hù)要求進(jìn)行整改方案的設(shè)計(jì)，以適應(yīng)將來(lái)等級(jí)保護(hù)的要求，落實(shí)國(guó)家及行業(yè)的信息安全等級(jí)保護(hù)政策、標(biāo)準(zhǔn)，提升信息系統(tǒng)的安全防御能力，增強(qiáng)系統(tǒng)管理人員的安全意識(shí)，提升某單位在信息系統(tǒng)安全管理、維護(hù)的層次，保證核心信息業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。在技術(shù)建設(shè)上，確立自身信息安全符合等級(jí)保護(hù)策略及安全管理基線(xiàn)，通過(guò)采取對(duì)IT運(yùn)維人員的安全認(rèn)證與控制審計(jì)措施，實(shí)現(xiàn)對(duì)其全訪(fǎng)問(wèn)的控制及操作行為的記錄審計(jì)；建立起信息安全管理體系，提高信息系統(tǒng)整體安全防護(hù)的水平，預(yù)防安全事件發(fā)生，最大限度降低安全問(wèn)題所帶來(lái)的損失，降低信息安全管理成本。具體技術(shù)方面目標(biāo)如下：

1 政策與標(biāo)準(zhǔn)合規(guī)性保障

信息系統(tǒng)安全保障體系（等級(jí)保護(hù)二級(jí)）的建設(shè)過(guò)程及其成果完全依據(jù)核心業(yè)務(wù)信息系統(tǒng)特點(diǎn)、國(guó)家政策標(biāo)準(zhǔn)重要指導(dǎo)；確保建設(shè)完畢后符合公安測(cè)評(píng)單位檢查要求。

2 構(gòu)建適度安全保障體系

確保某單位信息系統(tǒng)在存儲(chǔ)、傳輸和使用過(guò)程中安全，確保核心業(yè)務(wù)系統(tǒng)持續(xù)、穩(wěn)定的運(yùn)行，確保重要業(yè)務(wù)操作行為可審計(jì)，抵御惡意攻擊、惡意代碼、病毒等對(duì)信息系統(tǒng)攻擊與破壞，防止對(duì)信息系統(tǒng)資源的非法、非授權(quán)訪(fǎng)問(wèn)。

3 提升安全風(fēng)險(xiǎn)的控制和評(píng)價(jià)能力，以及監(jiān)管效率

提升系統(tǒng)事前--＞事中--＞事后的綜合防護(hù)能力和風(fēng)險(xiǎn)處置效率；明確包含針對(duì)突發(fā)事件及敏感時(shí)期信息的安全反應(yīng)和自評(píng)估能力；擴(kuò)展等級(jí)保護(hù)標(biāo)準(zhǔn)對(duì)于行業(yè)適用程度和附加收益。

基于上述研究目標(biāo)，我們需要從以下幾個(gè)方面對(duì)網(wǎng)絡(luò)安全完善工作進(jìn)行研究：

3.1 建設(shè)安全保障體系框架

安全保障體系框架根據(jù)等級(jí)保護(hù)二級(jí)基本要求，參照國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)，并結(jié)合某單位已有網(wǎng)絡(luò)與信息安全體系建設(shè)的實(shí)際情況，最終形成依托于安全保護(hù)對(duì)象為基礎(chǔ)，縱向建立安全管理體系、安全技術(shù)體系、安全運(yùn)行體系和安全管理中心的“三個(gè)體系，一個(gè)中心，三重防護(hù)”的安全保障體系框架。

3.1.1 “三個(gè)體系”

信息安全管理體系、信息安全技術(shù)體系和信息安全運(yùn)行服務(wù)體系，把等級(jí)保護(hù)基本要求的控制點(diǎn)結(jié)合某單位實(shí)際情況形成相適應(yīng)的體系結(jié)構(gòu)框架；

3.1.2 “一個(gè)中心”

信息安全管理中心，實(shí)現(xiàn)安全的統(tǒng)一監(jiān)控、分析及處理；

3.1.3 “三重防護(hù)”

安全計(jì)算環(huán)境防護(hù)措施、安全區(qū)域邊界防護(hù)措施和安全網(wǎng)絡(luò)通信防護(hù)措施，把安全技術(shù)控制措施與安全保護(hù)對(duì)象相結(jié)合。

3.2 保證結(jié)構(gòu)安全

為了保障某單位網(wǎng)絡(luò)安全防護(hù)，同時(shí)實(shí)現(xiàn)某單位信息系統(tǒng)的等級(jí)化劃分與保護(hù)，需要依據(jù)等級(jí)保護(hù)二級(jí)的相關(guān)原則規(guī)劃與區(qū)分不同安全保障對(duì)象，并根據(jù)保障對(duì)象設(shè)定不同業(yè)務(wù)功能及安全級(jí)別的安全區(qū)域，以根據(jù)各區(qū)域的重要性進(jìn)行分級(jí)的安全管理。

某單位信息系統(tǒng)需根據(jù)各項(xiàng)業(yè)務(wù)的性質(zhì)和特點(diǎn)，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護(hù)等級(jí)。信息系統(tǒng)是進(jìn)行等級(jí)保護(hù)管理的最終對(duì)象，為體現(xiàn)重點(diǎn)保護(hù)重要信息系統(tǒng)安全，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級(jí)保護(hù)原則。

3.3 互聯(lián)網(wǎng)服務(wù)區(qū)防護(hù)

某單位對(duì)外提供服務(wù)的門(mén)戶(hù)網(wǎng)站，對(duì)外鏈接是通過(guò)電信接入Internet，內(nèi)部有網(wǎng)站應(yīng)用服務(wù)器等，對(duì)內(nèi)與區(qū)域匯聚交換機(jī)鏈接。

3.3.1 網(wǎng)站安全風(fēng)險(xiǎn)

網(wǎng)站系統(tǒng)IP地址暴露在Internet能夠直接被外部用戶(hù)訪(fǎng)問(wèn)，不能有效對(duì)網(wǎng)站服務(wù)器進(jìn)行屏蔽；外網(wǎng)IP地址資源緊張，如果所有對(duì)外提供服務(wù)的服務(wù)器均采用外網(wǎng)IP將極大提高網(wǎng)站運(yùn)行費(fèi)用；

目前針對(duì)于網(wǎng)站系統(tǒng)的掛馬攻擊、SQL注入攻擊、XSS跨站點(diǎn)腳本攻擊、DDOS分布式拒絕攻擊，在這些類(lèi)型的攻擊下輕則網(wǎng)站服務(wù)癱瘓、頁(yè)面被篡改，重則某單位網(wǎng)站數(shù)據(jù)被竊??；同時(shí)攻擊者可以通過(guò)網(wǎng)站系統(tǒng)直接威脅某單位內(nèi)部業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)；

服務(wù)器操作系統(tǒng)未及時(shí)修補(bǔ)系統(tǒng)漏洞不定導(dǎo)致的病毒感染、服務(wù)中斷的風(fēng)險(xiǎn)；

因網(wǎng)站訪(fǎng)問(wèn)量增加導(dǎo)致的網(wǎng)絡(luò)訪(fǎng)問(wèn)速度下降，因Web服務(wù)器組宕機(jī)導(dǎo)致的對(duì)外服務(wù)提供的中斷。

3.3.2 網(wǎng)站安全防護(hù)

網(wǎng)站安全防護(hù)部署圖如圖1所示。

圖1

3.3.2.1 部署防火墻

該防火墻主的作用是將內(nèi)部對(duì)外提供服務(wù)的IP地址發(fā)布到Internet上，使Internet用戶(hù)能夠訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)資源；通過(guò)防火墻地址轉(zhuǎn)換功能同時(shí)也能解決公網(wǎng)IP地址不足的問(wèn)題；同時(shí)通過(guò)防火墻策略配置能夠達(dá)到在邏輯上屏蔽外網(wǎng)地址對(duì)DMZ區(qū)其他服務(wù)器的非法訪(fǎng)問(wèn)。

3.3.2.2 部署入侵防御

通過(guò)雖網(wǎng)絡(luò)數(shù)據(jù)包的分析和含正則表達(dá)式入侵特征庫(kù)的匹配能夠準(zhǔn)確的檢測(cè)來(lái)自于合法IP、端口已知的入侵行為，并能夠?qū)崟r(shí)阻斷攻擊；統(tǒng)過(guò)對(duì)入侵行為分析檢測(cè)出未知的各種攻擊形式，實(shí)時(shí)阻斷黑客攻擊；探測(cè)出已知和未知的蠕蟲(chóng)、病毒及惡意代碼，準(zhǔn)確定位傳染源，并能夠阻斷蠕蟲(chóng)通過(guò)網(wǎng)絡(luò)進(jìn)行傳播。

3.3.2.3 部署Web應(yīng)用防火墻

通過(guò)使用Web服務(wù)器的網(wǎng)頁(yè)防篡改功能，能夠及時(shí)發(fā)現(xiàn)并恢復(fù)被篡改的網(wǎng)頁(yè)從而能夠很好保護(hù)某單位對(duì)外宣傳形象；通過(guò)對(duì)Web應(yīng)用數(shù)據(jù)進(jìn)行實(shí)時(shí)智能壓縮，改善終端用戶(hù)性能，降低帶寬消耗。WebCache?引擎對(duì)靜態(tài)應(yīng)用內(nèi)容的高速緩存，顯著減少服務(wù)器負(fù)載。雙向TCP連接池和高效復(fù)用算法將上千短連接優(yōu)化為少量持久的服務(wù)器連接，減輕服務(wù)器壓力，改善服務(wù)器性能，提高應(yīng)用響應(yīng)速度，降低服務(wù)延遲，提高用戶(hù)訪(fǎng)問(wèn)體驗(yàn)、降低電信寬帶租用費(fèi)；抗拒絕服務(wù)攻擊（DOS）算法，可防御各類(lèi)拒絕服務(wù)攻擊，如SYN Flood，UDP Flood，ICMP Flood等的攻擊行為能夠有效識(shí)別，并對(duì)該攻擊流量進(jìn)行阻斷，保護(hù)Web業(yè)務(wù)系統(tǒng)的可用性及延續(xù)性；通過(guò)對(duì)HTTP、https協(xié)議細(xì)粒度的訪(fǎng)問(wèn)控制強(qiáng)化數(shù)據(jù)有效性防護(hù)達(dá)到對(duì)跨站點(diǎn)腳本攻擊（XSS）、SQL注入攻擊、跨站請(qǐng)求偽造、網(wǎng)頁(yè)掛馬、盜鏈等威脅的防護(hù)，提供Web應(yīng)用或網(wǎng)站的基本安全保障

3.3.2.4 部署負(fù)載均衡器

兩臺(tái)負(fù)載均衡設(shè)備工作在冗余模式下，通過(guò)網(wǎng)絡(luò)相互檢查各自的工作狀態(tài)，為其所管理的應(yīng)用保障完全的網(wǎng)絡(luò)可用性；以唯一的IP地址作為所有提供相同服務(wù)的服務(wù)器的邏輯入口點(diǎn)。負(fù)載均衡交換機(jī)具有靈活的流量分配算法與機(jī)制，以確保用戶(hù)總能訪(fǎng)問(wèn)可以為其提供最優(yōu)服務(wù)的服務(wù)器。通過(guò)部署高性能的負(fù)載均衡產(chǎn)品，能夠及時(shí)發(fā)現(xiàn)所負(fù)載均衡的各服務(wù)器的健康狀況，當(dāng)某臺(tái)服務(wù)器出現(xiàn)故障時(shí)，保證把后續(xù)用戶(hù)的訪(fǎng)問(wèn)導(dǎo)向到正常運(yùn)行的服務(wù)器上去。針對(duì)基于會(huì)話(huà)的業(yè)務(wù)，可以提供多種會(huì)話(huà)保持機(jī)制，確保用戶(hù)在處理業(yè)務(wù)時(shí)的連續(xù)性。應(yīng)具備帶寬管理功能，在流量擁塞的情況下，保障優(yōu)先等級(jí)最高的業(yè)務(wù)具有相應(yīng)的帶寬資源。

綜上所述，本研究為重新規(guī)劃整理現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)，提高現(xiàn)有網(wǎng)絡(luò)系統(tǒng)中互聯(lián)網(wǎng)服務(wù)區(qū)的安全性、穩(wěn)定性、可擴(kuò)展性，通過(guò)專(zhuān)業(yè)的網(wǎng)絡(luò)管理系統(tǒng)，可有效提供管理效率及水平。本系統(tǒng)是承載其互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的基礎(chǔ)，提供安全、穩(wěn)定、高效的基礎(chǔ)網(wǎng)絡(luò)環(huán)境，并輔以有效的網(wǎng)絡(luò)管理手段，也可提升其它業(yè)務(wù)應(yīng)用的服務(wù)水平及質(zhì)量。

作者單位1.儀電物聯(lián)技術(shù)股份有限公司 上海市200233
2.云南省公路開(kāi)發(fā)投資有限責(zé)任公司高速公路運(yùn)營(yíng)管理中心 云南省昆明市 650228

徐昕（1981-），男，上海市人。大學(xué)本科學(xué)歷?，F(xiàn)任職于儀電物聯(lián)技術(shù)股份有限公司，研究方向?yàn)镹GB骨干網(wǎng)QoS保證。

羅少康（1979-），男，大學(xué)本科學(xué)歷。高級(jí)工程師。現(xiàn)任職于云南省公路開(kāi)發(fā)投資有限責(zé)任公司高速公路運(yùn)營(yíng)管理中心。研究方向?yàn)楣饭こ坦芾怼?/p>