摘 要：電子政務(wù)網(wǎng)站（gov.cn）是政府職能部門信息化建設(shè)的重要內(nèi)容，主要實現(xiàn)政務(wù)信息公開、在線辦事和政民互動三大功能定位。傳統(tǒng)解決方案對于新形勢下的應(yīng)用安全威脅應(yīng)對乏力。根據(jù)Gartner的研究報告，未來的安全服務(wù)應(yīng)該是防御、檢測、響應(yīng)三者并存的立體化聯(lián)動防御機(jī)制。目前信息安全攻擊有75%以上都是發(fā)生在Web應(yīng)用層，目前超過2/3的Web站點都相當(dāng)脆弱，易受攻擊，這些攻擊形式多種多樣，手法也越來越隱匿，往往需要對多臺安全設(shè)備中記錄的日志進(jìn)行大量的分析，進(jìn)而配置有針對性的策略，這無疑對安全運(yùn)維人員的水平提出了更高的要求。在新形勢下，需要一種更便捷、更有效、性價比更高的安全交付方式。

關(guān)鍵詞：網(wǎng)站安全；態(tài)勢感知；風(fēng)險評估；實時監(jiān)測；攻擊防護(hù)

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2018）09-0067-03

Abstract：The e-government website（gov.cn）is an important content of the information construction of the government’s functional departments. It mainly realizes the three functions of government information disclosure，online affairs，and the interaction between the government and the people. The traditional solution is weak for the application of security threats under the new situation：according to the research report of Gartner，the future security should be the coexistence of three groups of defense，detection and response，and the three-dimensional linkage defense mechanism. At present，more than 75% of the information security attacks have occurred in the Web application layer，and at present，the Web sites over 2/3 are very vulnerable to attack. These forms of attack are varied and the manipulations are becoming more and more hidden. We often need to carry out a large number of daily analyses on the logs recorded in multiple security devices，and then configure the target. Sexual strategy，which undoubtedly raises the high standard of safety operation and maintenance personnel. Under the new situation，a safer，more efficient and cost-effective delivery method is needed.

Keywords：website security；situational awareness；risk assessment；real-time monitoring；attack protection

0 引 言

電子政務(wù)網(wǎng)站包含Web服務(wù)器、存儲服務(wù)器、數(shù)據(jù)庫服務(wù)器等多種類型的業(yè)務(wù)服務(wù)器，向Internet、Intranet等多個區(qū)域提供服務(wù)，電子政務(wù)網(wǎng)站面臨來自內(nèi)外網(wǎng)多個區(qū)域的安全威脅，其安全保障意義重大。

托管式安全防護(hù)方案通過“云眼和云盾”兩大模塊聯(lián)動組成，構(gòu)建“防御、檢測、響應(yīng)”三維一體的網(wǎng)站綜合“動態(tài)防御”安全體系。近年來，國內(nèi)外的網(wǎng)絡(luò)安全形勢更加惡劣，境內(nèi)、境外攻擊者及攻擊組織對我國重要信息系統(tǒng)的攻擊更加頻繁，信息系統(tǒng)面臨的安全攻擊也更加頻繁、形勢也更加嚴(yán)峻。2016年4月19日，習(xí)近平在網(wǎng)絡(luò)安全與信息化工作座談會的講話中提出“網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)。要樹立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力”的相關(guān)建議，要求在信息化關(guān)鍵基礎(chǔ)設(shè)施的防御體系、監(jiān)測體系和整體態(tài)勢感知能力方面獲得大幅提升。

1 設(shè)計原則

托管式安全服務(wù)解決方案設(shè)計遵循以下主要原則：

（1）整體性原則：應(yīng)用系統(tǒng)工程的觀點和方法分析網(wǎng)絡(luò)系統(tǒng)安全防護(hù)、監(jiān)測和應(yīng)急恢復(fù)，在進(jìn)行安全規(guī)劃設(shè)計時，應(yīng)充分考慮各種安全配套措施的整體一致性；（2）符合性原則：信息安全體系建設(shè)要符合國家的有關(guān)法律法規(guī)和政策精神，以及行業(yè)有關(guān)制度和規(guī)定，同時應(yīng)符合有關(guān)國家技術(shù)標(biāo)準(zhǔn)以及行業(yè)的技術(shù)標(biāo)準(zhǔn)和規(guī)范；（3）均衡性原則：安全體系設(shè)計要正確處理需求、風(fēng)險與代價的關(guān)系，做到安全性與可用性相融，尋找安全風(fēng)險與實際需求之間的均衡點；（4）有效性與實用性原則：信息安全系統(tǒng)不能影響業(yè)務(wù)系統(tǒng)正常運(yùn)行和合法用戶的操作。在進(jìn)行網(wǎng)絡(luò)安全策略設(shè)計時，要綜合考慮實際安全等級需求與項目經(jīng)費(fèi)承受能力的因素；（5）動態(tài)化原則：安全防護(hù)策略不可能一步到位，隨環(huán)境、條件和時間的變化，信息安全系統(tǒng)應(yīng)能適應(yīng)變化，采取更先進(jìn)的檢測和防御措施，增強(qiáng)安全冗余設(shè)備，提高安全系統(tǒng)的可用性；（6）統(tǒng)籌規(guī)劃分步實施：信息安全防護(hù)策略的部署既要考慮滿足當(dāng)前網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，也要統(tǒng)籌考慮后續(xù)系統(tǒng)的建設(shè)及網(wǎng)絡(luò)應(yīng)用復(fù)雜程度的變化，做到可適應(yīng)地擴(kuò)充和調(diào)整；（7）數(shù)據(jù)安全：實現(xiàn)大數(shù)據(jù)平臺中敏感數(shù)據(jù)的分級、分類管理和防護(hù)策略；（8）采用開放技術(shù)兼容原有系統(tǒng)數(shù)據(jù)。

2 設(shè)計方案及功能

2.1 設(shè)計方案

2.1.1 基于Web應(yīng)用的防護(hù)設(shè)計

通過在Web應(yīng)用前端部署WAF（Web防火墻），保護(hù)Web應(yīng)用，對網(wǎng)站或者APP的業(yè)務(wù)流量進(jìn)行惡意特征識別及防護(hù)，針對Web安全，諸如SQL注入攻擊、跨站腳本攻擊、掃描攻擊、Web Shell木馬上傳、遠(yuǎn)程文件包含攻擊、緩沖區(qū)溢出攻擊、敏感信息泄露等漏洞攻擊的安全規(guī)則對從客戶到網(wǎng)站服務(wù)器的訪問流量和從網(wǎng)站服務(wù)器到客戶的響應(yīng)流量進(jìn)行雙向安全過濾，防止因網(wǎng)站被攻擊而導(dǎo)致網(wǎng)站被惡意篡改、惡意仿冒、敏感信息泄露、網(wǎng)站服務(wù)器被控制等事件的發(fā)生。

2.1.2 安全審計和溯源取證設(shè)計

云和虛擬化安全防護(hù)系統(tǒng)提供全面的系統(tǒng)日志和詳盡的報告功能，收集超過100種日志文件格式的操作系統(tǒng)和應(yīng)用程序日志，并進(jìn)行分析，以確認(rèn)數(shù)據(jù)中心內(nèi)是否存在可疑行為、安全事件和管理事件，通過對日志進(jìn)行分析可以讓管理員跟蹤IT基礎(chǔ)設(shè)施的活動，評估服務(wù)器數(shù)據(jù)泄密事件是否發(fā)生、如何發(fā)生、何時發(fā)生、在何處發(fā)生。同時支持將事件轉(zhuǎn)發(fā)至安全管理平臺（SOC）系統(tǒng)或集中式日志服務(wù)器進(jìn)行關(guān)聯(lián)、報告和存檔。

2.2 實現(xiàn)功能

2.2.1 態(tài)勢感知

系統(tǒng)為用戶提供兩個維度的態(tài)勢感知能力。一方面，系統(tǒng)從安全本身的發(fā)展變化入手，通過對事件和威脅的分析來評估當(dāng)前網(wǎng)絡(luò)的整體安全態(tài)勢，分為地址熵態(tài)勢分析、熱點事件分析和威脅態(tài)勢分析；另一方面，系統(tǒng)從客戶借助系統(tǒng)達(dá)成的安全管理水平入手，通過對一系列管理指標(biāo)的度量來評估當(dāng)前某個網(wǎng)絡(luò)區(qū)域的安全管理水平，稱作關(guān)鍵安全管理指標(biāo)分析。

面對海量安全數(shù)據(jù)，傳統(tǒng)的集中化安全分析平臺（譬如SIEM、SOC安全管理平臺等）也遇到了諸多瓶頸，主要表現(xiàn)在以下幾方面：

（1）高速海量安全數(shù)據(jù)的采集和存儲變得困難；（2）異構(gòu)數(shù)據(jù)的存儲和管理變得困難；（3）威脅數(shù)據(jù)源較小，導(dǎo)致系統(tǒng)判斷能力有限；（4）對歷史數(shù)據(jù)的檢測能力很弱；（5）安全事件的調(diào)查效率太低；（6）安全系統(tǒng)相互獨立，無有效手段協(xié)同工作；（7）分析的方法較少；（8）對于趨勢性的內(nèi)容預(yù)測較難，早期預(yù)警能力比較差；（9）系統(tǒng)交互能力有限，數(shù)據(jù)展示效果有待提高。

網(wǎng)絡(luò)安全態(tài)勢感知平臺對海量日志進(jìn)行集中分析和挖掘，從而發(fā)現(xiàn)潛在的安全風(fēng)險。對能夠引起安全態(tài)勢發(fā)生變化的要素進(jìn)行獲取、理解、分析、展示及預(yù)測發(fā)展趨勢，實現(xiàn)“風(fēng)險預(yù)警、威脅識別、積極管控和策略進(jìn)化”。

2.2.2 風(fēng)險評估

自動化完成目標(biāo)網(wǎng)站基線配置數(shù)據(jù)采集、基于網(wǎng)站特點的檢測插件調(diào)度、目標(biāo)網(wǎng)站響應(yīng)數(shù)據(jù)處理過程，完成檢測數(shù)據(jù)的智能統(tǒng)計分析后，生成安全評估報表，幫助用戶掌握網(wǎng)站的安全情況。

2.2.3 實時監(jiān)測

主要針對影響網(wǎng)站運(yùn)行和網(wǎng)站管理者聲譽(yù)的重大隱患進(jìn)行實時監(jiān)控。覆蓋網(wǎng)站可用性、內(nèi)容安全、緊急漏洞的實時監(jiān)控，確保管理員在網(wǎng)站發(fā)生如下情況時能及時得到通知，并獲得應(yīng)急安全響應(yīng)技術(shù)支持：

（1）運(yùn)行持續(xù)性故障；（2）遭遇內(nèi)容惡意篡改、SEO、掛馬等安全事故以及發(fā)現(xiàn)反動、色情內(nèi)容；（3）發(fā)現(xiàn)可能具有較大影響的緊急漏洞；（4）支持DNS篡改監(jiān)控。

在監(jiān)控發(fā)現(xiàn)上述隱患時，網(wǎng)站管理員將在第一時間收到我們監(jiān)控系統(tǒng)推送的安全事件通知和應(yīng)急響應(yīng)人員的聯(lián)系方式，確保上述問題第一時間得到解決。

2.2.4 安全審計

一是在骨干網(wǎng)的核心交換機(jī)和防火墻以及邊界防火墻、入侵監(jiān)測等設(shè)備上開啟審計功能，從而有效記錄經(jīng)過邊界安全設(shè)備的所有訪問行為，在運(yùn)維中心通過態(tài)勢感知平臺，將相關(guān)日志進(jìn)行收集、清洗、去重和關(guān)聯(lián)，以便系統(tǒng)管理員能夠?qū)歉删W(wǎng)和網(wǎng)絡(luò)邊界的活動狀態(tài)進(jìn)行分析，從而發(fā)現(xiàn)深層次的安全問題。

二是關(guān)鍵的私有業(yè)務(wù)區(qū)域和政務(wù)外網(wǎng)區(qū)等區(qū)域的匯聚，交換機(jī)上部署網(wǎng)絡(luò)流量審計系統(tǒng)、入侵檢測IDS設(shè)備、深度威脅發(fā)現(xiàn)設(shè)備，對網(wǎng)絡(luò)流量進(jìn)行監(jiān)測、威脅發(fā)現(xiàn)和審計。其中網(wǎng)絡(luò)審計系統(tǒng)是根據(jù)跟蹤檢測、協(xié)議還原技術(shù)開發(fā)的功能強(qiáng)大的系統(tǒng)，為網(wǎng)上信息的監(jiān)測和審查提供完備的解決方案。系統(tǒng)以旁路、透明的方式實時高速地對信息網(wǎng)絡(luò)的傳輸信息進(jìn)行數(shù)據(jù)截取和還原，并可根據(jù)用戶需求對通信內(nèi)容進(jìn)行審計，提供高速的敏感關(guān)鍵詞檢索和標(biāo)記功能，從而實現(xiàn)完整地記錄各種信息的起始地址和使用者，為保障關(guān)鍵應(yīng)用系統(tǒng)，實現(xiàn)對應(yīng)用訪問的全面監(jiān)控提供依據(jù)，并執(zhí)行以下的安全策略：深度威脅發(fā)現(xiàn)設(shè)備通過接收、分析全網(wǎng)絡(luò)的流量來偵測并響應(yīng)APT攻擊與未知威脅。深度威脅發(fā)現(xiàn)能偵測所有端口及100多種通訊協(xié)議的應(yīng)用，為用戶提供最全面的網(wǎng)絡(luò)威脅偵測。深度威脅發(fā)現(xiàn)設(shè)備采用三層式的偵測方法，第一層是靜態(tài)分析，第二層是動態(tài)分析及行為偵測，第三層是事件關(guān)聯(lián)，目的是發(fā)掘隱匿的攻擊活動。深度威脅發(fā)現(xiàn)設(shè)備根據(jù)靜態(tài)分析、動態(tài)分析、事件關(guān)聯(lián)的匯總分析結(jié)果來實現(xiàn)威脅偵測的可視化。其獨特的偵測引擎加上定制的沙箱動態(tài)模擬分析，能快速發(fā)掘并分析惡意文檔、惡意軟件、惡意網(wǎng)頁，CC通信數(shù)據(jù)以及傳統(tǒng)防護(hù)無法偵測的定向式攻擊活動。其深入的威脅情報分析能力能協(xié)助安全管理員快速響應(yīng)，并可自動與安全分析、安全防御產(chǎn)品或第三方情報中心透過公開標(biāo)準(zhǔn)分享情報，建立一個實時的定制化體系來偵測APT黑客攻擊。

三是上網(wǎng)行為審計。記錄電子政務(wù)外網(wǎng)人員訪問互聯(lián)網(wǎng)的相關(guān)記錄，用于審計。通過海量的上網(wǎng)行為數(shù)據(jù)分析，提供高價值的業(yè)務(wù)報表，如工作效率報表、離職風(fēng)險報表、帶寬分析報表、熱點事件檢測報表、數(shù)據(jù)泄漏和業(yè)務(wù)違規(guī)報表等。

2.2.5 智能DoS/DDoS攻擊防護(hù)

互聯(lián)網(wǎng)到用戶內(nèi)部網(wǎng)中的流量有正常流量，也有異常流量。異常流量是指有限的帶寬資源承載著非預(yù)期的流量。這些非預(yù)期的流量可能是DoS和DDoS攻擊、蠕蟲病毒、端口掃描、SPAM等惡意流量，也有可能并非是惡意，但會影響正常網(wǎng)絡(luò)應(yīng)用的大數(shù)據(jù)量的P2P下載等。DoS（Denial of Service，拒絕服務(wù)）攻擊和DDoS（Distributed Denial of Service，分布式拒絕服務(wù)）攻擊是目前互聯(lián)網(wǎng)上最流行的攻擊方式。最早的DoS攻擊一般利用操作系統(tǒng)的漏洞發(fā)動攻擊，致使服務(wù)器癱瘓而無法為用戶提供服務(wù)，典型攻擊譬如Ping of Death攻擊、Teardrop攻擊等。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，DDoS攻擊開始成為主流。DDoS攻擊是指通過操控多臺傀儡主機(jī)向目標(biāo)主機(jī)或服務(wù)器發(fā)送大量看似合法的網(wǎng)絡(luò)包，造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)。典型的DDoS攻擊有SYN Flood、ACK Flood、UDP Flood等洪泛攻擊。

為了提高網(wǎng)絡(luò)的使用效率，提升信息系統(tǒng)的安全性，需要采用完善的手段對這些異常流量進(jìn)行檢測，對危害性最大的DoS和DDoS攻擊更要實現(xiàn)準(zhǔn)確地清洗。防DDos系統(tǒng)建設(shè)可以進(jìn)行全網(wǎng)的流量分析、異常流量和DDoS攻擊流量清洗、P2P識別與控制、帶寬限制、日志報表存貯等處理，幫助用戶實時了解網(wǎng)絡(luò)運(yùn)行狀況，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的DDoS攻擊和網(wǎng)絡(luò)濫用行為，并做出動作響應(yīng)，從而快速消除異常流量對網(wǎng)絡(luò)和業(yè)務(wù)造成的危害，達(dá)到對全部業(yè)務(wù)流量的智能化管控。

2.2.6 監(jiān)測與防護(hù)策略聯(lián)動，安全專家值守

托管式安全防護(hù)方案基于云眼與云盾兩大模塊組成，能夠提供事前風(fēng)險評估及策略聯(lián)動的服務(wù)。通過云端風(fēng)險監(jiān)測及時發(fā)現(xiàn)脆弱性威脅，并與云端防護(hù)進(jìn)行聯(lián)動，通過云端安全專家進(jìn)行策略的調(diào)整，使安全防護(hù)策略處于最優(yōu)狀態(tài)。

參考文獻(xiàn)：

[1] 陳曉樺，武傳坤，等.網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)空間健康發(fā)展的保障 [M].北京：人民郵電出版社，2017.

[2] 張炳帥.Web安全深度剖析 [M].北京：電子工業(yè)出版社，2015.

作者簡介：侯彬鋒（1979.04-），男，河北石家莊人，高級設(shè)計師，中級工程師，學(xué)士。研究方向：互聯(lián)網(wǎng)技術(shù)。