典型網站系統安全保護平臺研究

蔡 琳， 龔 雷

（1.合肥工業大學 管理學院，安徽 合肥 230009；2.96610部隊 北京 102208；3.信息工程大學 電子技術學院，河南 鄭州 450004）

信息技術的不斷進步，使得計算機網絡的發展越來越迅速。大多數政府機關、企事業單位、商業機構等都建立了相應的網站系統，用以發布信息、樹立品牌形象。網站系統的建立拓寬了信息溝通渠道、提高了工作效率，但也面臨著一系列的安全威脅。其中，外部安全威脅主要包括，攻擊者利用系統漏洞的攻擊，利用病毒、木馬等惡意代碼實施的攻擊，利用惡意網絡數據包進行攻擊；內部安全威脅主要包括，內部人員對資源的惡意操作和對信息的越權訪問等。如何在兼顧應用的基礎上確保網站系統的安全，是當前網絡安全領域研究的重點問題之一。為此，筆者將通過對典型網站系統的分析，研究如何建立網絡應用系統安全保護平臺，以確保網站系統能夠安全可靠地運行。

1 典型網站系統分析

文中搭建的典型網站系統如圖1所示，該系統由3個相對獨立的單元構成，分別是辦公自動化（OA）系統、內容管理（CMS）系統，以及網頁（Web）服務系統。其中，OA系統為內部用戶提供辦公環境，是公文流轉和文件審批的場所；CMS系統用于將可公開的信息上傳到Web服務器；Web服務器用于提供信息服務，供互聯網用戶瀏覽。

圖1 典型網站系統示意圖Fig.1 Structure diagram of typical network application system

該網站系統遵循如下的工作流程：1）辦事員起草新聞稿并上報給領導審批；2）OA的公文流轉機制將領導審批后的稿件下發給辦事員；3）辦事員將稿件提交到FTP服務器；4）新聞維護員登錄本地FTP，通過CMS系統將新聞稿內容提交給上傳服務器，利用服務器之間的數據庫和文件同步機制，將新聞稿發送到網站服務器，供外部用戶瀏覽查閱。

為保證公文傳輸的安全性與可靠性，實際部前、事中和事后的安全保障。同時，在系統外圍增加安全防護措施，如利用防病毒軟件對已知病毒進行查殺，利用防火墻對網絡數據包進行分析與過濾，利用入侵檢測系統對攻擊行為進行報警和響應。這些安全機制并不能從根本上解決系統所面臨的安全問題，一方面是由于它們缺少來自硬件和操作系統的安全支撐，容易被旁路；另一方面是由于它們之間是一種松散的耦合，不便于安全策略的制定與實施，對于新攻擊行為的防范具有一定的滯后性。

2 安全保護平臺總體架構

2.1 設計思路

從系統工程學的角度來看，典型網站系統是由計算環境、區域邊界、通信網絡3個層次組成。計算環境是用戶的工作環境，由完成信息存儲與處理的計算機系統硬件和系統軟件以及外部設備及其聯接部件組成；區域邊界是計算環境的邊界，信息需要從區域邊界流入或流出；通信網絡是計算環境之間實現信息傳輸功能的部分。在網站系統的3個層次中，如果每一個使用者都是經過認證和授權的，并且其操作都是符合規定的，那么攻擊事件發生的可能性就會大為降低，系統的安全也就能得到保證。

基于上述考慮，網站系統安全保護平臺的設計可概括為“一個中心”支撐下的“三重防護體系”。所謂“一個中心”指的是安全管理中心，管理員通過分析系統工作流程和安全需求，量體裁衣地為其制訂安全策略，然后下發到系統的各安全模塊，實現安全機制的集中統一管理。“三重防護體系”由安全計算環境、安全區域邊界、安全通信網絡組成。安全計算環境從源頭上控制用戶和進程對資源的訪問，構建終端安全體系結構；安全區域邊界通過制定相應的安全策略，實現對出入邊界的信息流進行攔截、分析和過濾；安全通信網絡則通過對數據包的封裝與加密，確保數據傳遞的機密性和完整性。

2.2 體系架構

針對典型網站應用系統，安全保護平臺的總體拓撲結構如圖2所示。安全保護平臺從終端安全入手，建立了從硬件平臺到上層的應用信任鏈，同時對操作系統內核進行了安全加固[1]。該平臺以基于可信計算的Windows和Linux安全操作系統[2-3]為基礎，安全管理中心為核心，采用應用防護墻、安全隔離與信息交換系統、安全通信網絡設備為重要的輔助手段，具備全方位、多層次安全保證。

安全管理中心基于安全增強的Windows操作系統，用于安全策略的制定與下發，是連接各安全部件和各安全保障層面的中樞。應用防護墻基于安全增強的Linux操作系統，負責對終端訪問OA服務器或Web服務器的請求進行控制，防止非授權行為的發生，阻斷典型的網絡攻擊。安全隔離與信息交換系統，負責對出入邊界的信息流進行安全控制，實現外網系統和辦公系統的隔離。安全通信網絡設備，利用包含VPN功能的通信網關建立安全通信信道，保證數據的機密性和完整性。

可見，安全保護平臺圍繞安全管理中心，構建了安全計算環境、安全區域邊界和安全通信網絡，保證了網站應用系統能夠在安全管理中心的統一管控下運行，有效防止用戶非授權訪問和越權訪問行為，阻斷惡意信息流的感染和傳播。

3 安全保護平臺關鍵技術

3.1 安全集中管理

安全保護平臺在網站系統的應用服務器、維護終端、邊界設備以及通信設備上都設立了安全機制。為了便于對各個層面的軟硬件安全模塊進行集中、統一、有效的監控與管理，安全保護平臺建立了專門的安全管理中心。

安全管理中心依據“三權分立”的原則組織實施，分別設立了系統管理員、安全管理員和安全審計員。系統管理員負責用戶身份、資源及配置信息的管理，其操作權限由安全管理員制定，其行為受系統審計機制監控；安全管理員負責主客體標記、用戶授權以及安全策略的管理與維護，其一切操作行為都被記入審計日志；安全審計員負責定審計策略、收集審計信息，對敏感審計事件及時做出響應。

圖2 安全保護平臺體系架構Fig.2 Structure of security protective platform

3.2 可信身份鑒別

可信身份鑒別包括用戶身份鑒別和平臺身份鑒別[4-5]兩個方面。用戶身份鑒別利用個人身份識別碼 （PIN碼）和USB Key中的私鑰證書實現雙因子認證，確保只有通過身份認證的用戶才能使用維護終端。平臺身份鑒別由橋接于服務器前的應用防護墻完成，它以存放在系統內核中的策略為依據，確保只有經過授權的維護終端才能訪問應用服務器，從而將非授權接入內部網絡的終端，以及內部網絡上不安全的終端孤立起來，確保重要信息不會從這些終端泄露出去，同時阻斷這些終端可能對網站系統安全造成的破壞。

3.3 資源訪問控制

安全保護平臺將網站系統的資源目錄作為一個受控容器，只有經過授權的網站維護人員，通過運行授權的維護工具，啟動經過授權的網站服務進程，根據安全管理中心制定的安全策略，才能對容器中的資源實施相應操作。

根據用戶的權力和職責范圍，明確用戶能夠訪問的進程、服務、文件、端口和設備，只賦予其完成某個任務所需的最小權限。例如：新聞發布人員只能將新聞內容上傳至網站服務器的相應目錄，無權修改網站配置或其它欄目及目錄。在限定用戶權限的前提下，安全保護平臺也只賦予可執行程序正常完成任務的最小權限。例如，安全管理員可以在管理中心配置安全策略，規定IEXLPOER.EXE程序可以讀取哪些文件或者寫哪些文件，但不允許其修改系統內的重要配置文件。

3.4 惡意代碼防護

用戶在運行程序或腳本時，其訪問請求由操作系統安全內核截獲，內核以安全管理中心下發的策略為依據，確保只有那些添加到“用戶執行程序列表”中的程序和腳本，才能由相應用戶去執行。安全管理中心禁止對“用戶執行程序列表”進行更改隨意更改，以確保下發的安全策略為初始的可信策略。

程序和腳本在啟動時還需要通過可信度量模塊的可信校驗，以確保它們的可信啟動。具體過程如下：首先，度量模塊計算程序和代碼首次啟動時所依賴的相關文件的摘要值，并將該摘要值作為可信度量的依據，由安全管理中心作為策略統一管理和分發；接著，當程序或代碼再次運行時，度量模塊會計算它們的校驗值，當度量結果和預存值相一致時，該程序或代碼才被認為是可信的，從而允許啟動，否則拒絕其運行。這樣即使某個可執行程序或代碼被病毒或木馬感染，由于其度量值發生了變化，操作系統安全內核會禁止其運行[6]，從而能有效阻止惡意代碼的繼續傳播與破壞。

3.5 網絡攻擊防護

網絡攻擊方式多種多樣，最為常見的是緩沖區溢出攻擊、SQL注入攻擊、跨站攻擊以及拒絕服務攻擊。安全保護平臺根據不同攻擊的特點，采用相應的防范措施。

緩沖區溢出攻擊的目的是獲取管理員權限，進而能夠竊取信息或篡改網頁內容。安全保護平臺通過對操作系統內核的安全增強，利用強制訪問控制技術，使得系統管理員不再擁有絕對的權力，其對資源的操作受到安全管理中心策略的約束；SQL注入、跨站腳本和拒絕服務是通過構造惡意數據包達到攻擊目的，為此，安全保護平臺采用軟硬件結合的方式，將應用防護墻橋接于網站服務器之前，通過對數據包的分析與過濾，實時阻斷惡意數據包，能夠在最大程度上保障網站服務器正常工作。

4 結束語

網站系統安全保護平臺通過安全管理中心對各軟硬件安全模塊進行集中管理，實施統一的安全策略，確保運行狀態始終可控可管，不僅能夠防范來自外部非授權人員的攻擊，同時還能有效防范內部維護人員的越權訪問，有效達到了“防內為主、內外兼防”的安全目標。

[1]師俊芳，李小將，李新明.基于TPM的安全操作系統的設計研究[J].裝備指揮技術學院學報，2009，20（5）：87-91.SHI Jun-fang， LI Xiao-jiang， LI Xin-ming.Study on design of security operating system based on TPM[J].Journal of the Academy of Equipment Command&Technology，2009，20（5）:87-91.

[2]卿斯漢，劉文清，溫紅子.操作系統安全[M].北京：清華大學出版社，2004.

[3]毛韡鋒，平玲娣，姜勵，等.安全操作系統的設計[J].計算機工程，2006，32（12）：179-181.MAO Wei-feng， PING Ling-di， JIANG Li， et al.Design of secure operating system[J].Computer Engineering，2006，32（12）:179-181.

[4]郝平，何恩.可信計算的安全防護機制及其在高可信網絡中的應用[J].中國電子科學研究院學報，2008，3（1）：14-19.HAO Ping，HE En.Security protection mechanisms of trusted computing and its application in the highly trusted network[J].Journal of CAEIT，2008，3（1）：14-19.

[5]劉巍偉，韓臻，沈昌祥.基于終端行為的可信網絡連接控制方案[J].通信學報，2009，30（11）：127-134.LIU Wei-wei， HAN Zhen， SHEN Chang-Xiang.Trusted network connect control based on terminal behavior[J].Journal on Communications，2009，30（11）:127-134.

[6]陳麟，林宏剛，黃元飛.基于可信計算的惡意代碼防御機制研究[J].計算機應用研究，2008，25（12）：3713-3715.CHEN Lin， LIN Hong-gang， HUANG Yuan-fei.Research on mechanism of resisting malicious code based on trusted computing[J].Application Research of Computers，2008，25（12）:3713-3715.