姜鵬 趙正利

摘 要：文章研究了分布式部署的多節(jié)點系統(tǒng)的軟件層安全構架的規(guī)劃設計與實現(xiàn)。通過對數(shù)據(jù)加密、證書互信、多因子認證、權限控制等技術的綜合應用，保障了數(shù)據(jù)的傳輸和存儲安全，而且針對常見針對服務的網絡攻擊手段進行了前置防御處理。本安全構架的應用可以有效保護分布式系統(tǒng)的服務安全，同時也對類似多節(jié)點系統(tǒng)的建設提供了安全構架方面的參考。

關鍵詞：分布式部署；網絡安全；信息安全；數(shù)據(jù)加密；多因子認證

現(xiàn)今有一些重要網絡信息系統(tǒng)具有分布式部署的特征，通過各種類型的程序提供網絡服務。但這些長期運行在互聯(lián)網上的多節(jié)點系統(tǒng)較易受到網絡惡意攻擊。在系統(tǒng)設計初期通過詳盡研究實際網絡運行環(huán)境、交互的數(shù)據(jù)類型、后臺存儲方式和認證機制等情況，結合多種網絡安全技術設計了軟件層的安全總體構架。通過數(shù)字加密技術保證核心數(shù)據(jù)傳輸和存儲的安全；結合安全證書等技術建立可信通道；采用多因子認證技術增強身份認證的安全性；通過動態(tài)編程和數(shù)據(jù)庫技術對常見攻擊流量進行過濾；通過細粒度的權限控制策略限定用戶訪問范圍；建立黑名單體系，封堵危險來源的互聯(lián)網協(xié)議（Internet Protocol，IP）地址；結合郵件系統(tǒng)及時報警。

1 數(shù)據(jù)的安全性

數(shù)據(jù)安全是整個系統(tǒng)安全的核心部分，最終目標是做到網絡傳輸和數(shù)據(jù)存儲的強加密。盡量達到即使在流量被截獲或服務器被入侵的極端情況下，也不會造成數(shù)據(jù)的泄露。數(shù)據(jù)在傳輸過程和存儲過程中靈活采用單向和雙向加解密算法相關技術來保證數(shù)據(jù)的安全。在數(shù)據(jù)的重要程度和系統(tǒng)的流暢運行中找到平衡點。

在管理員登錄和操作后臺的網絡傳輸過程中使用高強度的數(shù)字證書保證傳輸?shù)募用芎屯暾?，至少采用安全散列算?（Secure Hash Algorithm 2，SHA2）級別的加密算法進行加密。采用互聯(lián)網安全協(xié)議（Internet Protocol Security，IPSec）隧道技術在固定IP的服務器和分節(jié)點之間建立長期穩(wěn)固的加密通道，既保證安全又兼顧了大量小包數(shù)據(jù)的傳輸。建立信任機制，新加入系統(tǒng)的網絡節(jié)點需要由核心服務器通過加密渠道發(fā)布新節(jié)點IP和專有密鑰等信息，然后原有節(jié)點可與新節(jié)點進行網絡通信。

對于核心數(shù)據(jù)的轉換和存儲根據(jù)需要采用不同加密策略，編寫自定義的加解密組件。非對稱加密的方式具有很大的優(yōu)勢，即私鑰的使用方式更加靈活，但是在加密與解密的過程中，也存在速度較慢等問題[1]。密碼等只需要驗證的數(shù)據(jù)采用單向不可逆加密措施轉換；核心管理數(shù)據(jù)和子節(jié)點數(shù)據(jù)等采用高強度的非對稱加密算法，并限定存儲和讀取模塊的權限，對每次存儲、讀取、修改操作都記錄日志；一般的數(shù)據(jù)采用對稱加密算法。

2 多因子認證

使用多因素認證機制進行登錄驗證，當用戶來自首次登錄的互聯(lián)網IP，首先向該用戶預先配置的用戶郵箱發(fā)送一個臨時授權碼，用戶向系統(tǒng)提交用戶名、密碼和此授權碼后才可以登錄。此用戶郵箱需要采用高安全等級的帶手機驗證登錄的郵箱。臨時授權碼唯一且隨機，系統(tǒng)記錄授權碼的發(fā)放時間，超期授權碼自動作廢。登錄成功后，詢問用戶是否把此IP加入自身賬號的信任IP列表，決定在下一次登錄是否啟用多因子認證，從而做好安全和便捷性的平衡。用戶如果忘記密碼需要重置，則需要在信任IP上提供用戶名和郵箱地址，在全部匹配后系統(tǒng)發(fā)送重置郵件完成重置。

核心服務器和子節(jié)點之間傳輸數(shù)據(jù)前，必須通過相互的多因子認證機制，節(jié)點的IP、專有密鑰和特定隨機碼同時匹配才可以繼續(xù)下一步操作。子節(jié)點定期使用舊方式認證后與核心服務器之間同步生成新的認證要素，服務器定期輪詢各個子節(jié)點的認證要素是否過期或異常。

3 嚴格過濾來自外部的數(shù)據(jù)

軟件系統(tǒng)需要提供正常服務，一般都有交互的功能。需要接受來自外部的輸入信息進而根據(jù)預設做出正常的回應。但此類入口是黑客的主要入侵途徑之一，結構化查詢語言（Structured Query Language，SQL）注入攻擊又是其中主要的攻擊手段之一。因此，需要對所有來自用戶端的輸入進行嚴格的篩查。最常用做法是單獨編寫一個防SQL注入的通用程序，通過Include方式放到數(shù)據(jù)庫連接文件中，這樣可以在每個頁面進行加載[2]。在收到來自外部的網絡數(shù)據(jù)后，首先對與SQL等相關的關鍵字進行轉義操作，然后進入下一步的查詢和更新等數(shù)據(jù)操作，最后在輸出展現(xiàn)的時候進行反向轉義。在必要時使用Cookie和Session的部分啟用加密；通過服務器配置和自身的動態(tài)程序編寫，禁止網頁運行在外部的頁面框架內；采用參數(shù)化查詢的方式進行數(shù)據(jù)庫的操作；根據(jù)實際使用情況在數(shù)據(jù)庫建立只讀和讀寫賬號，并且限定每個賬號的訪問表范圍和一次性訪問數(shù)據(jù)的總量，調用數(shù)據(jù)的時候僅僅使用最低權限的賬號。

4 建立黑名單機制

啟用動態(tài)的黑名單列表預防暴力破解和拒絕服務攻擊，在每個動態(tài)程序運行前，都把當前訪問IP和行為特征存放在數(shù)據(jù)表內，這個表的記錄數(shù)至少在幾千條的量級，只保存最新的固定條目。編寫輪詢程序統(tǒng)計這個表所有記錄，分析總量前幾名的IP訪問情況，如果發(fā)現(xiàn)異常登錄則在此IP下次訪問時彈出加強的圖像識別驗證碼。將字符數(shù)目、字符位置及輸入順序有機結合在一起，不使用單一輸入順序以此提升分割及特征提取難度，能有效防止惡意攻擊[3]。如果回答錯誤或者沒有客戶端響應則把此IP加入系統(tǒng)黑名單，并不再放置此IP到登錄記錄表，根據(jù)攻擊的強度決定自動解禁的時間。如果超過一定的閾值直接進入永久黑名單，需要由管理員手工操作清除。當一個網段中有黑名單IP出現(xiàn)時，來自同一網絡的IP再次訪問系統(tǒng)的時候，采用相對嚴格的審核策略。尤其在一個網段中出現(xiàn)多個超過閾值的黑名單IP時候禁止整個網段的訪問。配置管理員黑名單添加模塊，可以手工添加黑名單IP和封禁時間。

5 細粒度的權限控制

對所有的系統(tǒng)功能進行逐項定義并編號，根據(jù)不同級別聚類，形成從低到高的權限控制層次。支持權限模板的建立，方便總管理員的日常運維。對系統(tǒng)內部的所有管理員和來訪者都預先配置不同的詳細策略。支持特定高級管理員對低級管理員的權限配置，權限管理自身也作為一種權限的元素。支持群組的概念，可以把類似權限的管理員放置在同一群組，并在群組基礎上支持個別權限的自定義。

對用戶沒有的權限自動進行導航欄的隱藏。而且在用戶訪問某個功能或頁面的時候，首先驗證是否具有相應的權限，沒有權限則發(fā)出警告且停止程序的后續(xù)執(zhí)行，連續(xù)操作并超出限定閾值后自動屏蔽來源IP，自動加入系統(tǒng)黑名單，同時暫停相應用戶身份的登錄功能。

6 郵件報警模塊

建立完善郵件定向報警和通知機制。具有郵箱配置功能，可以預先針對不同管理員配置多個不同報警層級的郵箱。管理員可以預先設置閾值，在上述某種情況發(fā)生時，系統(tǒng)自動匯總信息并發(fā)送告警郵件，同時記錄在系統(tǒng)的攻擊日志庫中。

每日向管理員郵箱自動發(fā)送分析報表，從方便日常運維的角度出發(fā)設計報表界面，綜合攻擊頻率和攻擊深度等指標生成威脅值排名，通過可視化報表進行直觀地展現(xiàn)。給出初步的管理建議，并按照基準值進行每日威脅值總體打分。

7 結語

根據(jù)以上網絡安全理論建立的軟件系統(tǒng)在部署后也會遇到不可預見的新問題，需要在實際運行階段持續(xù)進行日志分析、在線流量監(jiān)控、入侵技術更替的研究等工作，通過策略的不斷合理優(yōu)化才能保持一定程度的安全性和穩(wěn)固性。

[參考文獻]

[1]王雅峰.計算機網絡信息安全中的數(shù)據(jù)加密技術研究[J].江蘇科技信息，2017（35）：62-64.

[2]吳力挽，蘇曼玲，楊翀.SQL注入攻擊研究[J].網絡安全技術與應用，2017（1）：78，81.

[3]張晉源，袁麗歐.探析關于圖形驗證碼的安全性[J].電腦編程技巧與維護，2017（12）：76-77.