徐芳

摘要：廣播電臺(tái)與新媒體的融合促進(jìn)了廣播的發(fā)展，但同時(shí)在新媒體環(huán)境下，特別是廣播電臺(tái)的網(wǎng)站面臨著日益嚴(yán)峻的網(wǎng)絡(luò)風(fēng)險(xiǎn)。傳統(tǒng)的廣播電臺(tái)網(wǎng)絡(luò)防護(hù)以本地防護(hù)為主，隨著網(wǎng)絡(luò)攻擊手段的多樣化，這一方式日益顯現(xiàn)出其弊端，主要表現(xiàn)在對(duì)人、物以及管理的要求越來越高。本文擬通過探討基于云平臺(tái)的廣播電臺(tái)WEB安全防護(hù)一體化平臺(tái)的方案設(shè)計(jì)思路，為廣播電臺(tái)網(wǎng)站的網(wǎng)絡(luò)防護(hù)找到一條新的、可行的途徑。

關(guān)鍵詞：廣播電臺(tái)；云平臺(tái)；web安全防護(hù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）08-0047-02

1背景

廣播電臺(tái)在新媒體背景下，主要業(yè)務(wù)之一是通過音視頻網(wǎng)站、微博、微信等互聯(lián)網(wǎng)方式進(jìn)行運(yùn)營。從安全角度出發(fā)，在部署了WAF、IPS、IDS等網(wǎng)絡(luò)安全設(shè)備之后，但網(wǎng)站仍然存在被攻擊的風(fēng)險(xiǎn)，可能導(dǎo)致業(yè)務(wù)中斷以及敏感數(shù)據(jù)泄露等嚴(yán)重后果。在傳統(tǒng)的安全防護(hù)手段中，WAF、IPS、漏洞掃描長(zhǎng)期以本地特征庫的方式進(jìn)行防護(hù)，這已經(jīng)無法滿足對(duì)新型Web攻擊的安全需要，在安全運(yùn)維中，過分依賴傳統(tǒng)設(shè)備的運(yùn)維團(tuán)隊(duì)缺少威脅感知、攻擊溯源等關(guān)鍵的安全能力，使網(wǎng)站面臨了諸多的安全風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)具體表現(xiàn)在：

1）缺少統(tǒng)一的流程管理造成運(yùn)維過程監(jiān)控困難

在目前的運(yùn)維過程，只重視攻擊防御，預(yù)警、分析、溯源、系統(tǒng)加固等方面，但都缺乏有效的技術(shù)手段與流程管理。同時(shí)在不同的攻擊場(chǎng)景下，攻擊類型的不同導(dǎo)致了攻擊的處理方式的不同，造成了運(yùn)維過程中的畸形化。

2）防御體系易被穿透造成抵御攻擊能力薄弱

網(wǎng)站協(xié)議開放、多變，黑客的攻擊手段在不斷發(fā)展，零日漏洞、APT攻擊、DNS攻擊、暴力破解等攻擊手段的出現(xiàn)頻率越來越高，傳統(tǒng)的Web安全解決方案更多的依賴本地特征庫進(jìn)行防御，在真正遇到攻擊的時(shí)候，防御體系易被穿透。

3）缺少大數(shù)據(jù)分析技術(shù)造成技術(shù)能力提升緩慢

大數(shù)據(jù)分析技術(shù)在各個(gè)行業(yè)中已經(jīng)具備了有效應(yīng)用，但傳統(tǒng)的Web安全解決方案提供商沒有一方面沒有數(shù)據(jù)基礎(chǔ)，一方面沒有數(shù)據(jù)挖掘的技術(shù)能力，未能有效的對(duì)現(xiàn)有的技術(shù)與產(chǎn)品進(jìn)行改進(jìn)。

4）安全建設(shè)缺乏有機(jī)聯(lián)合造成管控困難

安全建設(shè)往往由多家廠商共同參與，產(chǎn)品與產(chǎn)品之間由于廠家的隔閡難以形成有效的防御協(xié)同。而且當(dāng)前網(wǎng)站的安全防御已經(jīng)不僅僅依靠幾臺(tái)設(shè)備的堆疊可以輕松應(yīng)對(duì)的，這樣對(duì)進(jìn)行統(tǒng)一管控的運(yùn)維團(tuán)隊(duì)來說，在防御效果、運(yùn)維效果上都將面臨嚴(yán)峻的問題。

2廣播電臺(tái)WEB安全防護(hù)平臺(tái)的建設(shè)思路

通過對(duì)廣播電臺(tái)當(dāng)前站點(diǎn)的安全狀態(tài)分析，結(jié)合Web安全攻擊的安全態(tài)勢(shì)，可以明確廣播電臺(tái)WEB安全防護(hù)一體化平臺(tái)的建設(shè)勢(shì)在必行，同時(shí)此平臺(tái)必須是可監(jiān)控的、具有強(qiáng)大防御能力的、能自我進(jìn)化感知攻擊態(tài)勢(shì)的、具備攻擊態(tài)勢(shì)感知能力的以及設(shè)備是可協(xié)同的?；诖嗽瓌t，以及現(xiàn)實(shí)的技術(shù)環(huán)境，我們提出應(yīng)當(dāng)為廣播電臺(tái)建設(shè)一套基于公有云的Web安全防護(hù)平臺(tái)，其應(yīng)具備Web攻擊防護(hù)、Ddos流量清洗、訪問頁面加速、運(yùn)營商節(jié)點(diǎn)監(jiān)控等功能。采用云平臺(tái)方案，是因?yàn)槠渚哂腥缦绿攸c(diǎn)：

1）具有健全信息安全流程管理

云防護(hù)平臺(tái)在云端具有強(qiáng)大的技術(shù)積累，并且統(tǒng)一化的運(yùn)維極具優(yōu)勢(shì)，并能有效提供輔助云平臺(tái)安全運(yùn)維人員的技術(shù)支撐。而在本地，則可以通過培訓(xùn)、流程管理加強(qiáng)，全面健全來提高信息安全流程與能力。

2）具有健全的安全防御體系

依靠云防護(hù)平臺(tái)的云端資源與資源姿勢(shì)，可以完善網(wǎng)站的安全防御體系；依靠云端的防護(hù)資源，可以對(duì)DNS提供全面的防護(hù)能力；依靠云平臺(tái)全國的帶寬積累與技術(shù)，可以對(duì)DDOS流量進(jìn)行有效攔截與清洗。

3）具有結(jié)合大數(shù)據(jù)分析技術(shù)的能力

云平臺(tái)天然具有大數(shù)據(jù)的獲取和分析能力，可在攻擊樣本、網(wǎng)絡(luò)數(shù)據(jù)、漏洞數(shù)據(jù)、社工數(shù)據(jù)等多方面進(jìn)行數(shù)據(jù)積累，并用于安全防護(hù)。同時(shí)更重要的是，云平臺(tái)還具有強(qiáng)大的數(shù)據(jù)挖掘能力，通過深度學(xué)習(xí)可以更好的發(fā)現(xiàn)數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系以及蘊(yùn)含的深層的意義，并通過可視化的方式進(jìn)行展現(xiàn)，以用于運(yùn)維人員的深度分析。

4）具有多功能綜合防護(hù)的能力

安全云防護(hù)平臺(tái)是集成了多種能力的綜合防護(hù)平臺(tái)，它集成了云防護(hù)、云清洗、運(yùn)加速等多種安全能力，可提供事前預(yù)警+事中防護(hù)+事后服務(wù)的全面能力，可在統(tǒng)一的管控平臺(tái)上進(jìn)行綜合的安全調(diào)度，在協(xié)同防御上擁有先天的組合優(yōu)勢(shì)。

5）具有全面提升安全運(yùn)維的能力

云安全防護(hù)平臺(tái)集合了大數(shù)據(jù)分析的技術(shù)結(jié)果，在攻擊發(fā)現(xiàn)的能力上擁有報(bào)表分析的能力，其結(jié)果可以自動(dòng)協(xié)同云防護(hù)模塊，提高防御速度，在事后階段，云防護(hù)平臺(tái)的運(yùn)維專家可以給本地運(yùn)維人員及時(shí)、高效的技術(shù)支撐。從而在技術(shù)、人員兩方面提高廣播電臺(tái)的安全運(yùn)維水平。

3廣播電臺(tái)WEB安全防護(hù)平臺(tái)的建設(shè)思考

基于上述建設(shè)思路，同時(shí)考慮現(xiàn)在有各類安全產(chǎn)品的技術(shù)水平、合理性、先進(jìn)性、安全性和穩(wěn)定性等特點(diǎn)，可以將廣播電臺(tái)WEB安全防護(hù)平臺(tái)分為流量負(fù)載子平臺(tái)、應(yīng)用層防護(hù)云子平臺(tái)、緩存加速云子平臺(tái)、安全管控云子平臺(tái)等四個(gè)子平臺(tái)進(jìn)行分別建設(shè)。這四個(gè)子平臺(tái)分別承擔(dān)不同的功能。

1）流量負(fù)載云子平臺(tái)

采用公有云平臺(tái)的防護(hù)體系，其根本優(yōu)勢(shì)在于利用云端強(qiáng)大資源進(jìn)行技術(shù)與負(fù)載支撐。同時(shí)在挑選基礎(chǔ)云平臺(tái)時(shí)要首先要考慮到云端最優(yōu)選路的問題，即經(jīng)過DNS解析到最近的服務(wù)集群，降低相應(yīng)延遲，加速頁面訪問速度；其次云服務(wù)器集群還應(yīng)具備強(qiáng)大的負(fù)載均衡能力，利用多種負(fù)載均衡算法，將請(qǐng)求流量均衡的負(fù)載到后端防護(hù)平臺(tái)。最后其還應(yīng)具有強(qiáng)大的帶寬儲(chǔ)備，各地區(qū)服務(wù)器集群共用。

2）應(yīng)用層防護(hù)云子平臺(tái)

此子平臺(tái)應(yīng)用層防護(hù)平臺(tái)的核心層，應(yīng)具備對(duì)應(yīng)用層協(xié)議的識(shí)別、分析，對(duì)威脅進(jìn)行攔截的能力，應(yīng)可攔截惡意攻擊行為，包括sql注入、XSS攻擊等，并可根據(jù)CC攻擊的強(qiáng)度，分別執(zhí)行不同的相應(yīng)策略；應(yīng)用層防護(hù)子平臺(tái)還應(yīng)與漏洞云端的大數(shù)據(jù)分析系統(tǒng)進(jìn)行有機(jī)結(jié)合，在發(fā)現(xiàn)零日漏洞后，可以第一時(shí)間進(jìn)行規(guī)則更新，以提高威脅防護(hù)能力。

3）緩存加速云子平臺(tái)

這是針對(duì)靜態(tài)資源的緩存平臺(tái)，可全面加速各種靜態(tài)資源，減低訪問延遲，加速頁面訪問。其應(yīng)對(duì)站點(diǎn)經(jīng)常使用的靜態(tài)資源進(jìn)行安全緩存，包括html、css、圖片等文件格式。其緩存更新周期靈活可配，以有效配合頁面發(fā)布，減少頁面返回錯(cuò)誤時(shí)間。同時(shí)還應(yīng)應(yīng)用完善的緩存淘汰機(jī)制，以針對(duì)多種站點(diǎn)的不同需求，最大限度提升頁面訪問速度。

4）安全管控云子平臺(tái)

這是對(duì)云平臺(tái)進(jìn)行安全管理的平臺(tái)。應(yīng)采用公有云的訪問形式，以確保在任意地方通過網(wǎng)絡(luò)進(jìn)行訪問。同時(shí)還應(yīng)具有高效計(jì)算能力和策略的管控能力，以便快速輸出當(dāng)前威脅態(tài)勢(shì)的總體報(bào)表，或?qū)θ呗赃M(jìn)行配置以及下發(fā)。因此在功能上，管控中心可采用B/S架構(gòu)，用戶可以在任何時(shí)間、任何地方通過瀏覽器進(jìn)行訪問。用戶修改DNS后，通過管控中心內(nèi)進(jìn)行站點(diǎn)配置，即可對(duì)防護(hù)站點(diǎn)進(jìn)行安全策略配置。同時(shí)產(chǎn)品框架采用兩級(jí)頁面設(shè)計(jì)，以滿足易用性的需求。管控中心還可根據(jù)業(yè)務(wù)要求，將安全模塊進(jìn)行拆分，每個(gè)功能主體均有單獨(dú)的配置模塊，以完成對(duì)站點(diǎn)的安全配置。

4一體化安全平臺(tái)在廣播行業(yè)內(nèi)的優(yōu)勢(shì)

4.1技術(shù)領(lǐng)先

1）協(xié)同防御技。Web應(yīng)用云安全管理系統(tǒng)以云平臺(tái)的方式進(jìn)行攻擊防護(hù)，根據(jù)對(duì)攻擊流量屬性的大數(shù)據(jù)分析，自動(dòng)識(shí)別攻擊源頭，從而實(shí)現(xiàn)全防護(hù)平臺(tái)對(duì)攻擊源的安全封鎖。傳統(tǒng)的安全防御手段依靠設(shè)備的堆疊對(duì)網(wǎng)站進(jìn)行安全防護(hù)，這種防護(hù)方式是對(duì)單一客戶進(jìn)行防御，對(duì)當(dāng)前攻擊趨勢(shì)沒有任何預(yù)測(cè)。協(xié)同防御技術(shù)從實(shí)現(xiàn)了攻擊情報(bào)共享的戰(zhàn)略特點(diǎn)，消滅了安全孤島，讓聯(lián)動(dòng)防御成為可能。

2）快速部署上線。傳統(tǒng)的Web安全方案通過硬件設(shè)備的方式對(duì)廣播電臺(tái)網(wǎng)站進(jìn)行防護(hù)，在設(shè)備進(jìn)行上線的時(shí)候，經(jīng)過遇到拓?fù)鋯栴}、流量負(fù)載問題、業(yè)務(wù)不兼容等等問題。Web應(yīng)用云安全管理系統(tǒng)采用公有云的部署方式，用戶只需要更改DNS指向即可將流量接入云防護(hù)平臺(tái)進(jìn)行安全防護(hù)，用戶通過登錄云防護(hù)平臺(tái)的管控中心進(jìn)行安全管控。整個(gè)部署過程用戶無需再本地部署任何軟件、硬件，大大降低了部署上線成本。

3）DNS安全防護(hù)。Web攻擊發(fā)展多種多樣，針對(duì)DNS的攻擊也越來越多，通過對(duì)攻擊站點(diǎn)的DNS進(jìn)行潮水攻擊，將會(huì)導(dǎo)致DNS服務(wù)器無法解析正常的用戶請(qǐng)求。傳統(tǒng)的Web安全解決方案對(duì)用戶本地進(jìn)行多種安全防護(hù)，看似固若金湯，但是對(duì)企業(yè)安全覆蓋范圍之外的DNS服務(wù)器無能為力。Web應(yīng)用云安全管理系統(tǒng)具有高防DNS集群，提供10G-100G不同等級(jí)的DNS流量清洗能力，可實(shí)現(xiàn)對(duì)DNS的攻擊防護(hù)，完善網(wǎng)站安全方案。

4）強(qiáng)大的DDOS防。DDOS攻擊是網(wǎng)站最常見的攻擊方式，傳統(tǒng)的Web安全方案通過流量清洗設(shè)備進(jìn)行防護(hù)，但是在防護(hù)過程中，如果攻擊流量遠(yuǎn)高于用戶帶寬，無論流量清洗設(shè)備在防火墻后端如何進(jìn)行清洗，用戶的帶寬已經(jīng)被打滿，站點(diǎn)無法接受正常請(qǐng)求。云安全管理系統(tǒng)通過云平臺(tái)進(jìn)行安全防護(hù)，在DDOS攻擊到達(dá)網(wǎng)站前就通過全國的負(fù)載分擔(dān)進(jìn)行流量清洗，同時(shí)通過云防護(hù)平臺(tái)中心的流量建模算法進(jìn)行流量過濾，全面防御DDOS攻擊。

4.2行業(yè)價(jià)值

1）全面防御體系。傳統(tǒng)的Web安全解決方案都是在用戶本地進(jìn)行安全防御體系建設(shè)，這使得本地成為安全孤島，而且隨著DNS的攻擊越來越多，本地防護(hù)對(duì)DNS攻擊束手無策。Web應(yīng)用云安全管理系統(tǒng)采用公有云的部署方式，利用協(xié)同防御技術(shù)提前預(yù)警攻擊源，進(jìn)行全局防護(hù)，消滅安全孤島。同時(shí)，云防護(hù)平臺(tái)具有多個(gè)高防DNS集群，提供全面的網(wǎng)站防御體系。

2）低運(yùn)維成本。云安全管理系統(tǒng)采用公有云的方式部署，整個(gè)部署過程無需用戶在本地部署任何的硬件、軟件，只需要修改DNS指向，將流量牽引到云平臺(tái)即可，用戶登錄云平臺(tái)的管控中心即可進(jìn)行安全管理。避免了傳統(tǒng)硬件設(shè)備上線的安全風(fēng)險(xiǎn)，降低了資源消耗以及運(yùn)維成本，為各個(gè)廣播電臺(tái)節(jié)省了大量運(yùn)維人力資源，使平臺(tái)在廣播行業(yè)內(nèi)應(yīng)用具備了可能性和可行性。

3）降低安全投入。傳統(tǒng)Web解決方案通過設(shè)備的堆疊進(jìn)行網(wǎng)站安全防護(hù)，電臺(tái)需要購買大量安全設(shè)備，總體投入巨大。Web應(yīng)用云安全管理系統(tǒng)旨在解決廣播電臺(tái)網(wǎng)站安全問題，提供了云防護(hù)、云清洗、云加速、云服務(wù)的云安全能力，為電臺(tái)提供一套“事中防護(hù)+事后服務(wù)”的網(wǎng)站安全解決方案，電臺(tái)無需再投入其他資源。