摘 要：電子政務(wù)網(wǎng)站（gov.cn）是政府職能部門信息化建設(shè)的重要內(nèi)容，主要實(shí)現(xiàn)政務(wù)信息公開、在線辦事、政民互動(dòng)的三大功能定位。

傳統(tǒng)解決方案對(duì)于新形勢下的應(yīng)用安全威脅應(yīng)對(duì)乏力：根據(jù) Gartner 的研究報(bào)告，未來的安全應(yīng)該是防御、檢測、響應(yīng)三者并存，立體化聯(lián)動(dòng)防御機(jī)制。目前信息安全攻擊有 75% 以上都是發(fā)生在 Web 應(yīng)用層，而目前超過2/3的 Web 站點(diǎn)都相當(dāng)脆弱，易受攻擊，這些攻擊形式多種多樣，手法也越來越隱匿，我們往往需要去對(duì)多臺(tái)安全設(shè)備中記錄的日志進(jìn)行大量的日分析，進(jìn)而去配置針對(duì)性的策略，這無疑對(duì)安全運(yùn)維人員的水平提出了很高的要求。在新形勢下，需要一種更便捷、更有效、性價(jià)比更高的安全交付方式。

關(guān)鍵詞：網(wǎng)站安全 態(tài)勢感知 風(fēng)險(xiǎn)評(píng)估 實(shí)時(shí)監(jiān)測 攻擊防護(hù)

前言

電子政務(wù)網(wǎng)站包含Web服務(wù)器、存儲(chǔ)服務(wù)器、數(shù)據(jù)庫服務(wù)器等多種類型的業(yè)務(wù)服務(wù)器，向internet、intranet等多個(gè)區(qū)域提供服務(wù)，電子政務(wù)網(wǎng)站要面臨來自內(nèi)外網(wǎng)多個(gè)區(qū)域的安全威脅，其安全保障意義重大。

托管式安全防護(hù)方案通過“云眼和云盾” 兩大模塊聯(lián)動(dòng)組成，構(gòu)建“防御、檢測、響應(yīng)”三維一體的網(wǎng)站綜合“動(dòng)態(tài)防御”安全體系。近年來，國內(nèi)外網(wǎng)絡(luò)安全形勢更加惡劣，境內(nèi)、境外攻擊者及攻擊組織對(duì)我國重要信息系統(tǒng)的攻擊更加頻繁，信息系統(tǒng)上面臨的安全攻擊也更加頻繁、形勢也更加嚴(yán)峻。2016年4月19日，習(xí)近平在網(wǎng)絡(luò)安全與信息化工作座談會(huì)的講話中提出“網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)。要樹立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力”的相關(guān)建議，要求在信息化關(guān)鍵基礎(chǔ)設(shè)施的防御體系、監(jiān)測體系和整體態(tài)勢感知能力上有大幅提升。

1.設(shè)計(jì)原則

托管式安全服務(wù)解決方案設(shè)計(jì)遵循以下主要原則：

1）整體性原則：通過應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)系統(tǒng)安全防護(hù)、監(jiān)測和應(yīng)急恢復(fù)，從而在進(jìn)行安全規(guī)劃設(shè)計(jì)時(shí)應(yīng)充分考慮各種安全配套措施的整體一致性。

2）符合性原則：信息安全體系建設(shè)要符合國家的有關(guān)法律法規(guī)和政策精神，以及行業(yè)有關(guān)制度和規(guī)定，同時(shí)應(yīng)符合有關(guān)國家技術(shù)標(biāo)準(zhǔn)，以及行業(yè)的技術(shù)標(biāo)準(zhǔn)和規(guī)范；

3）均衡性原則：安全體系設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，做到安全性與可用性相融，尋找安全風(fēng)險(xiǎn)與實(shí)際需求之間的一個(gè)均衡點(diǎn)；

4）有效性與實(shí)用性原則：信息安全系統(tǒng)不能影響業(yè)務(wù)系統(tǒng)正常運(yùn)行和合法用戶的操作。在進(jìn)行網(wǎng)絡(luò)安全策略設(shè)計(jì)時(shí)，要綜合考慮實(shí)際安全等級(jí)需求與項(xiàng)目經(jīng)費(fèi)承受能力的因素；

5）動(dòng)態(tài)化原則：隨環(huán)境、條件、時(shí)間的變化，安全防護(hù)策略不可能一步到位，信息安全系統(tǒng)應(yīng)能適應(yīng)變化，采取更先進(jìn)的檢測和防御措施，增強(qiáng)安全冗余設(shè)備，提高安全系統(tǒng)的可用性；

6）統(tǒng)籌規(guī)劃分步實(shí)施：信息安全防護(hù)策略的部署既要考慮滿足當(dāng)前網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，也要統(tǒng)籌考慮后續(xù)系統(tǒng)的建設(shè)及網(wǎng)絡(luò)應(yīng)用的復(fù)雜程度的變化，做到可適應(yīng)性的擴(kuò)充和調(diào)整；

7）數(shù)據(jù)安全：實(shí)現(xiàn)大數(shù)據(jù)平臺(tái)中敏感數(shù)據(jù)的分級(jí)、分類管理、防護(hù)策略。

8）采用開放技術(shù)兼容原有系統(tǒng)數(shù)據(jù)。

2.設(shè)計(jì)方案及功能

2.1設(shè)計(jì)方案

2.1.1基于WEB應(yīng)用的防護(hù)設(shè)計(jì)

通過在Web應(yīng)用前端部署WAF（Web防火墻），保護(hù)Web應(yīng)用，對(duì)網(wǎng)站或者APP的業(yè)務(wù)流量進(jìn)行惡意特征識(shí)別及防護(hù)，針對(duì)Web安全的諸如SQL注入攻擊、跨站腳本攻擊、掃描攻擊、Web Shell木馬上傳、遠(yuǎn)程文件包含攻擊、緩沖區(qū)溢出攻擊、敏感信息泄露等漏洞攻擊的安全規(guī)則對(duì)從客戶到網(wǎng)站服務(wù)器的訪問流量和從網(wǎng)站服務(wù)器到客戶的響應(yīng)流量進(jìn)行雙向安全過濾，來防止因網(wǎng)站被攻擊而導(dǎo)致網(wǎng)站被惡意篡改、惡意仿冒、敏感信息泄露、網(wǎng)站服務(wù)器被控制等事件的發(fā)生。

2.1.2安全審計(jì)和溯源取證設(shè)計(jì)

1）安全審計(jì)

云和虛擬化安全防護(hù)系統(tǒng)提供全面的系統(tǒng)日志和詳盡的報(bào)告功能，收集超過 100種日志文件格式的操作系統(tǒng)和應(yīng)用程序日志并進(jìn)行分析，以確認(rèn)數(shù)據(jù)中心內(nèi)是否存在可疑行為、安全事件和管理事件，通過對(duì)日志進(jìn)行分析可以讓管理員跟蹤IT基礎(chǔ)設(shè)施的活動(dòng)，評(píng)估服務(wù)器數(shù)據(jù)泄密事件是否發(fā)生、如何發(fā)生、何時(shí)發(fā)生、在何處發(fā)生的有效方法。同時(shí)支持將事件轉(zhuǎn)發(fā)至安全管理平臺(tái)（SOC）系統(tǒng)或集中式日志服務(wù)器進(jìn)行關(guān)聯(lián)、報(bào)告和存檔

2.2實(shí)現(xiàn)功能

2.2.1態(tài)勢感知

系統(tǒng)為用戶提供了兩個(gè)維度的態(tài)勢感知能力。一方面，系統(tǒng)從安全本身的發(fā)展變化入手，通過對(duì)事件和威脅的分析來評(píng)估當(dāng)前網(wǎng)絡(luò)的整體安全態(tài)勢，分為地址熵態(tài)勢分析、熱點(diǎn)事件分析和威脅態(tài)勢分析；另一方面，系統(tǒng)從客戶借助系統(tǒng)達(dá)成的安全管理水平入手，通過對(duì)一系列管理指標(biāo)的度量，來評(píng)估當(dāng)前某個(gè)網(wǎng)絡(luò)區(qū)域的安全管理水平，稱作關(guān)鍵安全管理指標(biāo)分析？

面對(duì)海量安全數(shù)據(jù)，傳統(tǒng)的集中化安全分析平臺(tái)（譬如SIEM，SOC安全管理平臺(tái)等）也遭遇到了諸多瓶頸，主要表現(xiàn)在以下幾方面：

1） 高速海量安全數(shù)據(jù)的采集和存儲(chǔ)變得困難

2） 異構(gòu)數(shù)據(jù)的存儲(chǔ)和管理變得困難

3） 威脅數(shù)據(jù)源較小，導(dǎo)致系統(tǒng)判斷能力有限

4） 對(duì)歷史數(shù)據(jù)的檢測能力很弱

5） 安全事件的調(diào)查效率太低

6） 安全系統(tǒng)相互獨(dú)立，無有效手段協(xié)同工作

7） 分析的方法較少

8） 對(duì)于趨勢性的東西預(yù)測較難，對(duì)早期預(yù)警的能力比較差

9） 系統(tǒng)交互能力有限，數(shù)據(jù)展示效果有待提高

網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)對(duì)海量日志進(jìn)行集中分析和挖掘，從而發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)。對(duì)能夠引起安全態(tài)勢發(fā)生變化的要素進(jìn)行獲取、理解、分析、展示及預(yù)測發(fā)展趨勢，實(shí)現(xiàn)“風(fēng)險(xiǎn)預(yù)警、威脅識(shí)別、積極管控、策略進(jìn)化”。

2.2.2風(fēng)險(xiǎn)評(píng)估

自動(dòng)化完成目標(biāo)網(wǎng)站基線配置數(shù)據(jù)采集、基于網(wǎng)站特點(diǎn)的檢測插件調(diào)度、目標(biāo)網(wǎng)站響應(yīng)數(shù)據(jù)處理過程，完成檢測數(shù)據(jù)的智能統(tǒng)計(jì)分析后生成安全評(píng)估報(bào)表，幫助用戶掌握網(wǎng)站的安全情況。

2.2.3實(shí)時(shí)監(jiān)測

主要針對(duì)影響網(wǎng)站運(yùn)行和網(wǎng)站管理者聲譽(yù)的重大隱患進(jìn)行實(shí)時(shí)監(jiān)控。

覆蓋網(wǎng)站可用性、內(nèi)容安全、緊急漏洞的實(shí)時(shí)監(jiān)控，確保管理員在網(wǎng)站發(fā)生如下情況時(shí)能及時(shí)得到通知并獲得應(yīng)急安全響應(yīng)技術(shù)支持：

1）運(yùn)行持續(xù)性故障；

2）遭遇內(nèi)容惡意篡改、SEO、掛馬等安全事故以及發(fā)現(xiàn)反動(dòng)、色情內(nèi)容；

3）發(fā)現(xiàn)可能具有較大影響的緊急漏洞；

4）另外，還支持DNS篡改監(jiān)控；

在監(jiān)控發(fā)現(xiàn)上述隱患時(shí)，網(wǎng)站管理員將在第一時(shí)間收到我們監(jiān)控系統(tǒng)推送的安全事件通知和應(yīng)急響應(yīng)人員的聯(lián)系方式，確保上述問題得到第一時(shí)間解決。

2.2.4安全審計(jì)

一是在骨干網(wǎng)的核心交換機(jī)和防火墻以及邊界防火墻、入侵監(jiān)測等設(shè)備上開啟審計(jì)功能，從而有效記錄經(jīng)過邊界安全設(shè)備的所有訪問行為，在運(yùn)維中心通過態(tài)勢感知平臺(tái)，將相關(guān)日志收集、清洗、去重和關(guān)聯(lián)，以便系統(tǒng)管理員能夠?qū)歉删W(wǎng)、網(wǎng)絡(luò)邊界的活動(dòng)狀態(tài)進(jìn)行分析，從而發(fā)現(xiàn)深層次的安全問題；

二是關(guān)鍵的私有業(yè)務(wù)區(qū)域和政務(wù)外網(wǎng)區(qū)等區(qū)域的匯聚交換機(jī)上部署網(wǎng)絡(luò)流量審計(jì)系統(tǒng)、入侵檢測IDS設(shè)備、深度威脅發(fā)現(xiàn)設(shè)備、對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測、威脅發(fā)現(xiàn)和審計(jì)。其中：網(wǎng)絡(luò)審計(jì)系統(tǒng)是根據(jù)跟蹤檢測、協(xié)議還原技術(shù)開發(fā)的功能強(qiáng)大的系統(tǒng)，為網(wǎng)上信息的監(jiān)測和審查提供完備的解決方案。系統(tǒng)以旁路、透明的方式實(shí)時(shí)高速的對(duì)進(jìn)出信息網(wǎng)絡(luò)的傳輸信息進(jìn)行數(shù)據(jù)截取和還原，并可根據(jù)用戶需求對(duì)通信內(nèi)容進(jìn)行審計(jì)，提供高速的敏感關(guān)鍵詞檢索和標(biāo)記功能，從而為完整的記錄各種信息的起始地址和使用者，為保障關(guān)鍵應(yīng)用系統(tǒng)，實(shí)現(xiàn)對(duì)應(yīng)用訪問的全面監(jiān)控提供依據(jù)，并執(zhí)行以下的安全策略：

深度威脅發(fā)現(xiàn)設(shè)備通過接收、分析全網(wǎng)絡(luò)的流量來偵測并響應(yīng)APT攻擊與未知威脅。深度威脅發(fā)現(xiàn)能偵測所有端口及100多種通訊協(xié)議的應(yīng)用，為用戶提供最全面的網(wǎng)絡(luò)威脅偵測。深度威脅發(fā)現(xiàn)設(shè)采用三層式的偵測方法，第一層是靜態(tài)分析，第二層是動(dòng)態(tài)分析及行為偵測，第三層是事件關(guān)聯(lián)，目的就是為了發(fā)掘隱匿的攻擊活動(dòng)。深度威脅發(fā)現(xiàn)設(shè)根據(jù)靜態(tài)分析、動(dòng)態(tài)分析、事件關(guān)聯(lián)的匯總分析結(jié)果來實(shí)現(xiàn)威脅偵測的可視化。其獨(dú)特的偵測引擎加上定制化沙箱動(dòng)態(tài)模擬分析，能快速發(fā)掘并分析惡意文檔，惡意軟件、惡意網(wǎng)頁，C&C;通信數(shù)據(jù)以及傳統(tǒng)防護(hù)無法偵測到的定向式攻擊活動(dòng)。其深入的威脅情報(bào)分析能力能協(xié)助安全管理員快速響應(yīng)，并可自動(dòng)與安全分析、安全防御產(chǎn)品或第三方情報(bào)中心透過公開標(biāo)準(zhǔn)分享情報(bào)，建立一個(gè)實(shí)時(shí)的定制化體系來偵測APT黑客攻擊。

三是上網(wǎng)行為審計(jì)。記錄電子政務(wù)外網(wǎng)人員訪問互聯(lián)網(wǎng)的相關(guān)記錄用于審計(jì)。通過海量的上網(wǎng)行為數(shù)據(jù)分析，提供高價(jià)值的業(yè)務(wù)報(bào)表，如工作效率報(bào)表、離職風(fēng)險(xiǎn)報(bào)表、帶寬分析報(bào)表、熱點(diǎn)事件檢測報(bào)表、數(shù)據(jù)泄漏、業(yè)務(wù)違規(guī)報(bào)表等。

2.2.5智能DOS/DDOS攻擊防護(hù)

互聯(lián)網(wǎng)向用戶內(nèi)部網(wǎng)中的流量有正常流量，也有所謂的異常流量。異常流量是指在有限的帶寬資源承載著非預(yù)期的流量。這些非預(yù)期的流量，可能是DoS和DDoS攻擊、蠕蟲病毒、端口掃描、SPAM等惡意流量，也有可能是并非惡意但會(huì)影響正常網(wǎng)絡(luò)應(yīng)用的大數(shù)據(jù)量的P2P下載，等等。DoS（Denial of Service 拒絕服務(wù)）攻擊和DDoS（Distributed Denial of Service 分布式拒絕服務(wù)）攻擊是目前互聯(lián)網(wǎng)上最流行的攻擊方式。最早的DoS攻擊一般是利用操作系統(tǒng)的漏洞發(fā)動(dòng)攻擊，致使服務(wù)器癱瘓而無法為用戶提供服務(wù)，典型攻擊譬如Ping of Death攻擊、Teardrop攻擊等。而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，DDoS攻擊開始成為主流。DDoS攻擊是指通過操控多臺(tái)傀儡主機(jī)向目標(biāo)主機(jī)或服務(wù)器發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)。典型的DDoS攻擊譬如SYN Flood、ACK Flood、UDP Flood等洪泛攻擊。

為了提高網(wǎng)絡(luò)的使用效率，提升信息系統(tǒng)的安全性，需要采用完善的手段對(duì)這些異常流量進(jìn)行檢測，對(duì)危害性最大的DoS和DDoS攻擊更要實(shí)現(xiàn)準(zhǔn)確的清洗。

防DDos系統(tǒng)建設(shè)可以完成全網(wǎng)的流量分析、異常流量和DDoS攻擊流量清洗、P2P識(shí)別與控制、帶寬限制、日志報(bào)表存貯等處理，幫助用戶實(shí)時(shí)了解網(wǎng)絡(luò)運(yùn)行狀況，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的DDoS攻擊和網(wǎng)絡(luò)濫用行為并做出動(dòng)作響應(yīng)，從而快速消除異常流量對(duì)網(wǎng)絡(luò)和業(yè)務(wù)造成的危害，達(dá)到全部業(yè)務(wù)流量的智能化管控洗。

2.2.6監(jiān)測與防護(hù)策略聯(lián)動(dòng)，安全專家值守

托管式安全防護(hù)方案基于云眼與云盾兩大模塊組成，能夠提供事前風(fēng)險(xiǎn)評(píng)估及策略聯(lián)動(dòng)的功能。通過云端風(fēng)險(xiǎn)監(jiān)測及時(shí)發(fā)現(xiàn)脆弱性威脅，并與云端防護(hù)進(jìn)行聯(lián)動(dòng)，通過云端安全專家進(jìn)行策略的調(diào)整，使得安全防護(hù)策略處于最優(yōu)狀態(tài)。

參考文獻(xiàn)：

[1] 陳曉樺，武傳坤等. 網(wǎng)絡(luò)安全技術(shù)[M ]. 北京： 人民郵電出版社， 2017.

[2]張炳帥. Web安全深度剖析[M ]. 北京：電子工業(yè)出版社，2015.

作者簡介：

侯彬鋒（1979.04-），男，漢族，籍貫河北石家莊，本科，職稱中級(jí)工程師，職務(wù)高級(jí)設(shè)計(jì)師，河北電信設(shè)計(jì)咨詢有限公司，050021，研究方向：互聯(lián)網(wǎng)技術(shù)