◆凌穎 余新勝 徐李定 付琳

擬態(tài)防御技術(shù)在政府門戶網(wǎng)站建設(shè)中的應(yīng)用

◆凌穎 余新勝 徐李定 付琳

（中國電子科技集團(tuán)公司第三十二研究所 上海 201808）

政府門戶網(wǎng)站作為政府職能部門信息化建設(shè)的重要內(nèi)容，屬于國家重要信息系統(tǒng)。主要實現(xiàn)信息公開、在線辦事、全民參與等功能。大數(shù)據(jù)時代，政府門戶網(wǎng)站承載業(yè)務(wù)數(shù)量逐漸增加，面對網(wǎng)站被篡改、網(wǎng)絡(luò)釣魚、SQL注入等攻擊事件，網(wǎng)站安全形勢日益嚴(yán)峻。擬態(tài)防御技術(shù)能夠主動防御未知漏洞與后門，本文研究擬態(tài)防御技術(shù)在政府門戶網(wǎng)站中的應(yīng)用，提高網(wǎng)站整體安全性，解決政府網(wǎng)站被攻擊后面臨的政治風(fēng)險、公信力下降等問題。

擬態(tài)防御；政府門戶；網(wǎng)絡(luò)安全

在信息時代和數(shù)字經(jīng)濟時代，網(wǎng)絡(luò)安全與數(shù)據(jù)安全問題異常嚴(yán)峻，是不可小覷的重大問題，更是國家安全的重要組成部分，而政府門戶網(wǎng)站作為政府機關(guān)實現(xiàn)政務(wù)信息公開、服務(wù)企業(yè)和社會公眾、互動交流的重要渠道[1]，其安全問題更不容忽視。一旦被黑客進(jìn)行網(wǎng)頁內(nèi)容篡改，其負(fù)面影響是非常嚴(yán)重的，除了政府形象受損、信息傳達(dá)失真之外，甚至可能引發(fā)信息泄密等安全事故。根據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（英文簡稱CNCERT/CC）公開發(fā)布的《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告》[2]中指出，2021年上半年我國境內(nèi)遭篡改的政府網(wǎng)站共有177個。隨著2017年6月1日《網(wǎng)絡(luò)安全法》正式實施以及2021年9月1日《數(shù)據(jù)安全法》正式實施，這意味中國在追求網(wǎng)絡(luò)安全和數(shù)據(jù)安全的道路上邁上了新臺階。

1 傳統(tǒng)防御技術(shù)

目前，主流的傳統(tǒng)安全防御體系綜合采用防火墻技術(shù)、虛擬局域網(wǎng)技術(shù)、入侵檢測、身份認(rèn)證、漏洞修補等防護(hù)技術(shù)，阻擋或隔絕外界入侵，進(jìn)行安全防護(hù)[3]。在一定程度上，是能夠起到防御作用的，但它們都屬于靜態(tài)防御技術(shù)，它們有一個共同的特點：必須要等到攻擊出現(xiàn)以后，安全廠商才能針對已發(fā)起的惡意攻擊進(jìn)行特征檢測，提取相關(guān)規(guī)則，并提供相應(yīng)的防護(hù)措施。換言之，是漏洞在先，防護(hù)在后。當(dāng)病毒和惡意攻擊不斷更新，傳統(tǒng)防御措施卻只能不斷地跟在安全威脅后面，陷入“被動挨打”的局面，而在面對“難纏”的黑客不斷試探時，也未必能夠抵擋住入侵。

2 擬態(tài)防御技術(shù)

面對當(dāng)前網(wǎng)絡(luò)空間的安全態(tài)勢“易攻難守”的現(xiàn)狀，鄔江興院士提出的網(wǎng)絡(luò)空間擬態(tài)防御（Cyberspace Mimic Defense，CMD）原理[4-5]，這一網(wǎng)絡(luò)防御新思想不再追求精確已知的漏洞與后門，采用擬態(tài)防御技術(shù)的核心架構(gòu)——動態(tài)異構(gòu)冗余（Dynamic Heterogeneous Redundancy，DHR）能夠主動防御未知漏洞與后門，有效解決當(dāng)今傳統(tǒng)網(wǎng)絡(luò)防御技術(shù)中存在的不確定性和被動性。

圖1 DHR架構(gòu)模型

DHR架構(gòu)模型（如圖1）主要包括分發(fā)器、異構(gòu)冗余執(zhí)行體集、裁決器、負(fù)反饋控制器和熱備異構(gòu)執(zhí)行體集等模塊。各模塊功能如下：

（1）分發(fā)器

分發(fā)器接收到來自外部輸入請求后，同時向異構(gòu)冗余執(zhí)行體集N1N2、……、Nm進(jìn)行分發(fā)請求。

（2）異構(gòu)冗余執(zhí)行體集

異構(gòu)冗余執(zhí)行體集以滿足至少兩個執(zhí)行體、兩種架構(gòu)為佳，各執(zhí)行體在接收到分發(fā)器分發(fā)過來的請求進(jìn)行處理，并作出相應(yīng)的響應(yīng)，傳送給裁決器。

（3）裁決器

裁決器在接收到異構(gòu)冗余執(zhí)行體集傳送的響應(yīng)后，調(diào)用裁決算法進(jìn)行一致性裁決，如有異常，則向調(diào)度傳送異常信息。

（4）負(fù)反饋控制器

負(fù)反饋控制器接收到裁決器發(fā)送的異常信息后，將異常執(zhí)行體進(jìn)行強制下線，進(jìn)行清洗，并將熱備異構(gòu)執(zhí)行體集中的備用執(zhí)行體進(jìn)行上線。注意清洗恢復(fù)順序為清洗在先，恢復(fù)/上線為后。

（5）熱備異構(gòu)執(zhí)行體集

熱備異構(gòu)執(zhí)行體集中按不同架構(gòu)劃分，根據(jù)調(diào)度機制[6]，原則上保持異構(gòu)最大化，動態(tài)選取備用執(zhí)行體，備用執(zhí)行體各方面都與在用執(zhí)行體保持一致，上線前需要完成數(shù)據(jù)遷移工作。

3 政府門戶網(wǎng)站安全現(xiàn)狀

隨著政府門戶網(wǎng)站上線數(shù)量不斷增加，網(wǎng)站的安全性也越來越重要。政府門戶網(wǎng)站作為我國網(wǎng)站的核心部分，其網(wǎng)絡(luò)安全性關(guān)系到政府的影響力、公信力和權(quán)威性。如果政府門戶網(wǎng)站群中的某一站點一旦被攻擊，將直接影響到整個政府門戶網(wǎng)站群的安全運行，其影響范圍與普通門戶網(wǎng)站相比更為嚴(yán)重。

3.1 站群集約化

根據(jù)調(diào)研，現(xiàn)在政府門戶網(wǎng)站群多為基于頂層設(shè)計，通常由特定的信息中心負(fù)責(zé)，通過統(tǒng)一標(biāo)準(zhǔn)體系、統(tǒng)一規(guī)劃建設(shè)，搭建統(tǒng)一技術(shù)平臺，建立統(tǒng)一安全防護(hù)，進(jìn)行統(tǒng)一運維管理。站群集約化有節(jié)約政府資源、實現(xiàn)信息公開、數(shù)據(jù)共享、互動交流、業(yè)務(wù)協(xié)同，服務(wù)融合等特色。集約化管理，將一群獨立的政府門戶網(wǎng)站集約成一個獨立運營但又相互關(guān)聯(lián)的政府門戶網(wǎng)站群，雖然能夠有效解決政府門戶網(wǎng)站信息孤島、數(shù)據(jù)煙囪等問題，但網(wǎng)站群被攻擊的頻次也會增加，集約共享的同時，風(fēng)險也被集中到政府門戶網(wǎng)站群中[7]，這無疑對政府門戶網(wǎng)站的安全運行帶來了新的挑戰(zhàn)。

3.2 安全意識薄弱

近年來，政府門戶網(wǎng)站多次遭受境內(nèi)外黑客強攻篡改頁面，安全漏洞突出等問題，這也側(cè)面反映了網(wǎng)站管理安全意識薄弱——重上線、輕管理。隨著信息技術(shù)的不斷發(fā)展，黑客的攻擊手段也越來越高，除了網(wǎng)站研發(fā)人員編碼上可能存在不夠嚴(yán)謹(jǐn)之外，同時，也存在不少政府門戶網(wǎng)站通過向網(wǎng)絡(luò)公司租用網(wǎng)絡(luò)空間來搭建網(wǎng)站，這些網(wǎng)絡(luò)服務(wù)器可能不在國內(nèi)，一旦面臨攻擊，相關(guān)部門也無法立刻采取相應(yīng)措施，這對于政府門戶網(wǎng)站的安全監(jiān)管增加了不少難度。

4 基于擬態(tài)防御技術(shù)的政府門戶網(wǎng)站建設(shè)

根據(jù)國辦發(fā)[2017]47號《政府網(wǎng)站發(fā)展指引》中指示，政府門戶網(wǎng)站不同于其他門戶網(wǎng)站，原則上不得關(guān)停，即使是網(wǎng)站改版升級也應(yīng)在確保正常運行的情況下進(jìn)行[8]。毫無疑問，如果僅靠傳統(tǒng)防御技術(shù)，就好比是“亡羊補牢”，想要達(dá)到“網(wǎng)絡(luò)攻防平衡”，其前提和基礎(chǔ)是要積極部署網(wǎng)絡(luò)防御技術(shù)。自鄔江興院士提出擬態(tài)防御原理以來，其理論已經(jīng)得到逐漸完善與廣泛應(yīng)用，擬態(tài)防御的有效性也得到充分驗證，擬態(tài)防御技術(shù)作為一種新型防御，應(yīng)用于政府門戶網(wǎng)站中，將為信息安全提供強有力的保障。

4.1 擬態(tài)通用運行環(huán)境

擬態(tài)通用運行環(huán)境（Mimic Common Operating Environment，MCOE）[9]以DHR架構(gòu)為基礎(chǔ)，將擬態(tài)信息系統(tǒng)的異構(gòu)執(zhí)行體池作為對象，提供N（N≥2）個異構(gòu)執(zhí)行體，部署應(yīng)用、分發(fā)請求、執(zhí)行裁決、管理等，確保在黑客攻擊的情況下，能夠正常運行。MCOE架構(gòu)圖如圖2所示。

為實現(xiàn)擬態(tài)防御，首先要構(gòu)建異構(gòu)化的基礎(chǔ)環(huán)境，對異構(gòu)執(zhí)行體可進(jìn)行多個層面的異構(gòu)化，在軟硬件基礎(chǔ)層可使用異構(gòu)的CPU、操作系統(tǒng)；應(yīng)用支撐層可使用異構(gòu)的Web容器、容器云；在應(yīng)用層可使用異構(gòu)化的應(yīng)用編譯方法、源代碼來部署異構(gòu)的執(zhí)行體資源池。

為實現(xiàn)MCOE環(huán)境部署的N異構(gòu)執(zhí)行體的動態(tài)性和異構(gòu)性，因此需提供調(diào)度服務(wù)，為用戶提供異構(gòu)最大化的執(zhí)行體初始化調(diào)度。通過在短時間內(nèi)動態(tài)地改變目標(biāo)系統(tǒng)基礎(chǔ)環(huán)境和攻擊表面增加了攻擊者的攻擊難度，在擬態(tài)判決出現(xiàn)異常的情況下通過異常替換調(diào)度來維持N異構(gòu)執(zhí)行體的動態(tài)性。通過調(diào)度出隨機性、動態(tài)性和異構(gòu)性三性最大化的N異構(gòu)執(zhí)行體服務(wù)器，為擬態(tài)防御提供了異構(gòu)化的基礎(chǔ)環(huán)境。

應(yīng)用部署前需要完成準(zhǔn)備工作：設(shè)定選擇執(zhí)行體數(shù)目X，通過調(diào)度機制從異構(gòu)執(zhí)行體池內(nèi)“異構(gòu)最大化”選取X個異構(gòu)執(zhí)行體，其內(nèi)部配置好數(shù)據(jù)庫代理地址、管理模塊收集X個異構(gòu)執(zhí)行體信息。

圖2 MCOE架構(gòu)

MCOE架構(gòu)時序說明：

（1）客戶端向分發(fā)模塊發(fā)起請求；

（2）分發(fā)模塊在接收到客戶端傳來的請求訪問后，先調(diào)用“管理接口1”，獲取異構(gòu)執(zhí)行體、內(nèi)部裁決、協(xié)同執(zhí)行及相應(yīng)的代理信息，以確定需要向哪些異構(gòu)執(zhí)行體下達(dá)分發(fā)請求；

（3）分發(fā)模塊在得知上一步中獲取的信息后，將此地址文件下發(fā)給代理模塊，代理收到后將地址文件以JSON文件的形式存儲于本地；

（4）分發(fā)模塊根據(jù)上一步中JSON文件得知X個異構(gòu)執(zhí)行體信息對應(yīng)的IP 和端口號，將客戶端發(fā)起的請求分發(fā)給各個異構(gòu)執(zhí)行體；

（5）X個異構(gòu)執(zhí)行體（應(yīng)用）由內(nèi)部配置的數(shù)據(jù)庫代理地址，通過數(shù)據(jù)庫代理，訪問數(shù)據(jù)庫，并接收sql執(zhí)行命令，數(shù)據(jù)庫裁決對接收到的sql執(zhí)行命令進(jìn)行一致性裁決，裁決后將裁決結(jié)果提供給“裁決結(jié)果接口1”。并將裁決為一致的響應(yīng)返回給執(zhí)行體。

（6）X個異構(gòu)執(zhí)行體將請求響應(yīng)返回給分發(fā)模塊；

（7）分發(fā)模塊在收到X個異構(gòu)執(zhí)行體返回的響應(yīng)后，先調(diào)用“管理接口2”，獲取外部裁決及相應(yīng)代理信息，以確定外部裁決地址；

（8）分發(fā)模塊在收到上一步中的信息后，將帶裁決響應(yīng)數(shù)據(jù)打包發(fā)送給外部裁決模塊，外部裁決模塊對接收到的響應(yīng)數(shù)據(jù)進(jìn)行一致性裁決，裁決后將結(jié)果提供給“裁決結(jié)果接口2”。并將裁決為一致的響應(yīng)返回給分發(fā)模塊；

（9）分發(fā)模塊在收到外部裁決模塊返回的響應(yīng)數(shù)據(jù)后，將其返回給客戶端。至此，完成客戶端發(fā)起請求，收到響應(yīng)的過程。

負(fù)反饋模塊將定時調(diào)取裁決結(jié)果接口1&2，若讀取到異常，則立即進(jìn)行異常處理（即異構(gòu)執(zhí)行體上下線），先將異常執(zhí)行體進(jìn)行下線，調(diào)度根據(jù)調(diào)度機制從異構(gòu)執(zhí)行體池中選取匹配的執(zhí)行體進(jìn)行數(shù)據(jù)遷移并上線，此時管理模塊需要重新獲取三個異構(gòu)執(zhí)行體信息。

數(shù)據(jù)庫代理的功能是將應(yīng)用與數(shù)據(jù)庫之間建立橋梁，數(shù)據(jù)庫裁決模塊會通過代理接收到的數(shù)據(jù)庫請求信息進(jìn)行裁決，能夠起到對數(shù)據(jù)庫的防護(hù)作用。

5.2 政府門戶網(wǎng)站擬態(tài)化改造

政府門戶網(wǎng)站多數(shù)采用CMS內(nèi)容管理系統(tǒng)，由于CMS掌控整個網(wǎng)站動向，因此采取非必要不上線原則，所以本文涉及的改造僅對CMS發(fā)布后的前臺內(nèi)容（應(yīng)用）進(jìn)行，如實際需求中CMS需要同時上線，也可以針對CMS進(jìn)行擬態(tài)化改造，本文將不贅述。

由于在同一時間內(nèi)，對于異構(gòu)執(zhí)行體同時侵入的概率極低，因此加強了安全防護(hù)效果。同時，擬態(tài)改造化之后，異構(gòu)執(zhí)行體和數(shù)據(jù)庫服務(wù)都不會暴露在互聯(lián)網(wǎng)上，網(wǎng)絡(luò)模型如圖3所示。客戶端通過分發(fā)入口訪問政府門戶網(wǎng)站，即使有單個執(zhí)行體出現(xiàn)異常，也會根據(jù)裁決結(jié)果立即進(jìn)行清洗輪換，對于客戶端來說，感覺不出任何異常，頁面仍可正常訪問。

CMS發(fā)布新內(nèi)容后，在各異構(gòu)執(zhí)行體進(jìn)行數(shù)據(jù)同步時，只需暫停清洗輪換服務(wù)，等同步完成后立即開啟即可。當(dāng)然，即使短暫關(guān)閉清洗輪換服務(wù)對于分發(fā)入口影響也微乎其微。比如說異構(gòu)執(zhí)行體1的數(shù)據(jù)為最新版，需要同步至其他異構(gòu)執(zhí)行體，但是對于分發(fā)入口來說，其裁決結(jié)果為少數(shù)服從多數(shù)原理，并不影響客戶端訪問。

圖3 網(wǎng)絡(luò)模型

在應(yīng)用實際改造過程中，需要注意以下幾點：

（1）時間戳

擬態(tài)環(huán)境通過消息體增加時間戳的方法來解決異構(gòu)執(zhí)行體中時間戳一致性的問題。在客戶端發(fā)起請求給分發(fā)模塊時，由分發(fā)模塊基于本地時間產(chǎn)生時間戳，并封裝到HTTP消息頭中，當(dāng)分發(fā)模塊下發(fā)給異構(gòu)執(zhí)行體時，該時間戳也會一并傳送。異構(gòu)執(zhí)行體收到后可通過HTTP消息頭中的時間戳信息進(jìn)行相應(yīng)處理。

（2）UUID（唯一標(biāo)識）

擬態(tài)環(huán)境通過消息體增加UUID的方法來解決異構(gòu)執(zhí)行體唯一標(biāo)識一致性的問題。在客戶端發(fā)起請求給分發(fā)模塊時，由分發(fā)模塊產(chǎn)生UUID，并封裝到HTTP消息頭中，當(dāng)分發(fā)模塊下發(fā)給異構(gòu)執(zhí)行體時，該UUID也會一并傳送。異構(gòu)執(zhí)行體收到后可通過HTTP消息頭中的UUID信息進(jìn)行唯一標(biāo)識的響應(yīng)處理。

（3）隨機數(shù)

像驗證碼等功能需要用到隨機數(shù)，若應(yīng)用不進(jìn)行相應(yīng)處理，各異構(gòu)執(zhí)行體應(yīng)用生成的驗證碼不同，必定會出現(xiàn)裁決不一致的情況。擬態(tài)環(huán)境可提供兩種解決方法，一是擬態(tài)環(huán)境可通過消息體增加隨機數(shù)的方式（具體參考時間戳和UUID），二是如果對隨機性要求不高，可在應(yīng)用中直接使用UUID中某幾位作為隨機數(shù)。

（4）第三方插件

應(yīng)用中發(fā)送短信驗證碼、二維碼掃描登錄等功能通常會使用到第三方插件，不做處理則無法通過裁決。遇到這類問題，最佳方式是聯(lián)系第三方接口開發(fā)商，進(jìn)行適配改造。如開發(fā)商無法滿足需求，則可以在裁決模塊前插入中間件進(jìn)行攔截不做裁決，已確保正常運作。

5 結(jié)束語

政府門戶網(wǎng)站作為政府部門履行職能，提供百姓服務(wù)的主要平臺，一旦被黑客惡意攻擊入侵，不但有損政府形象，影響社會秩序，削弱政府部門公信力，甚至可能引發(fā)社會安全事件。本文通過研究在政府門戶網(wǎng)站引入擬態(tài)防御技術(shù)，希望能夠為政府優(yōu)化網(wǎng)站安全體系建設(shè)工作給予一定參考。

[1]劉淵．政府門戶網(wǎng)站建設(shè)與管理[M]．浙江大學(xué)出版社，2003．

[2]2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告．國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心．https://www.cert.org.cn/publish/main/upload/File/first-half%20%20year%20cyberseurity%20analysis%20%20report%202021.pdf．

[3]劉昕林，黃建華，羅偉峰，等.動態(tài)異構(gòu)冗余架構(gòu)下Web實踐及安全性分析[J].計算機應(yīng)用，2021，41(S1)：125-130.

[4]鄔江興．網(wǎng)絡(luò)空間擬態(tài)防御導(dǎo)論[M]．北京，科學(xué)出版社，2017．

[5]鄔江興．網(wǎng)絡(luò)空間擬態(tài)防御原理[M]．北京，科學(xué)出版社，2018．

[6]霍立田，邵培南，徐李定，等.擬態(tài)通用運行環(huán)境的資源管理與調(diào)度技術(shù)[J].計算機工程，2020，46(02)：159-169.

[7]陳大文.政府網(wǎng)站群系統(tǒng)安全現(xiàn)狀及對策研究[J].無線互聯(lián)科技，2015(20)：38-39+81.

[8]國務(wù)院辦公廳. 國務(wù)院辦公廳關(guān)于印發(fā)政府網(wǎng)站發(fā)展指引的通知[EB/OL]. http://www.gov.cn/zhengce/content/2017-06/08/content_5200760.htm，2017-6-18.

[9]付琳，邵培南，應(yīng)飛，等.擬態(tài)通用運行環(huán)境的框架設(shè)計[J].計算機工程，2020，46(03)：24-33.