基于上海交通車管業(yè)務(wù)淺談多網(wǎng)絡(luò)多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全措施

【摘要】上海交通車管業(yè)務(wù)經(jīng)過這幾年的努力，已逐步打造出一個(gè)較為完整的信息化平臺(tái)，該信息化平臺(tái)包括了多類型的網(wǎng)絡(luò)和多類型的業(yè)務(wù)系統(tǒng)；因此對(duì)于上海交通車管信息安全防范工作除了各個(gè)網(wǎng)絡(luò)的安全，還包括各個(gè)網(wǎng)絡(luò)的系統(tǒng)的信息交互的安全。本文就該信息化平臺(tái)采用的幾項(xiàng)網(wǎng)絡(luò)安全防范措施作簡要的介紹以供探討。

【關(guān)鍵詞】信息化網(wǎng)絡(luò)安全管理

上海市公安局交通警察總隊(duì)作為這樣的一個(gè)承擔(dān)著服務(wù)、管理、監(jiān)管等一系列職能的部門在推動(dòng)機(jī)動(dòng)車和駕駛證業(yè)務(wù)管理創(chuàng)新上面臨著巨大的挑戰(zhàn)。正式在這樣的氛圍中，上海市公安局交通警察總隊(duì)在2009年下半年起調(diào)整業(yè)務(wù)管理模式將部分業(yè)務(wù)項(xiàng)目由公安網(wǎng)業(yè)務(wù)系統(tǒng)延伸至其它網(wǎng)絡(luò)的外圍業(yè)務(wù)管理系統(tǒng)，逐步向社會(huì)其它管理部門開放各項(xiàng)業(yè)務(wù)管理和業(yè)務(wù)監(jiān)管，包括在互聯(lián)網(wǎng)上向普通辦事群眾開放業(yè)務(wù)辦理。經(jīng)這幾年的努力，已逐步打造出一個(gè)較為完整的信息化平臺(tái)，該信息化平臺(tái)包括了多類型的網(wǎng)絡(luò)和多類型的業(yè)務(wù)系統(tǒng)，因此對(duì)于上海交通車管信息安全防范工作除了各個(gè)網(wǎng)絡(luò)的安全，還包括各個(gè)網(wǎng)絡(luò)的系統(tǒng)的信息交互的安全。

一、網(wǎng)絡(luò)存在的安全威脅分析

1、網(wǎng)絡(luò)威脅的種類

目前，網(wǎng)絡(luò)上的威脅多種多樣，屢禁不止，且難以清除；網(wǎng)絡(luò)上的威脅具有傳播廣和傳播快的特性。從威脅的來源可以分為這四類：漏洞利用、Web應(yīng)用、病毒、終端內(nèi)容。

2、網(wǎng)絡(luò)威脅的分析

（1）漏洞利用類威脅：各種通過操作系統(tǒng)、應(yīng)用系統(tǒng)、協(xié)議異常等漏洞，進(jìn)行傳播的蠕蟲、木馬、后門、間諜軟件，進(jìn)行攻擊和入侵的DoS/DDoS攻擊、緩沖區(qū)溢出攻擊、協(xié)議異常攻擊、藍(lán)屏攻擊、權(quán)限提取等。

（2）Web應(yīng)用類威脅：專門針對(duì)Web應(yīng)用面臨的各種最新的威脅提供額外的安全防護(hù)，包括SQL注入、XSS攻擊、OS命令注入、CSRF攻擊、口令爆破、弱口令探測、應(yīng)用信息探測、非法上傳威脅文件等，從根源上解決了Web系統(tǒng)被入侵、數(shù)據(jù)被篡改的可能性。

（3）病毒類威脅：除了傳統(tǒng)的HTTP、FTP、SMTP、POP3等協(xié)議，還可以針對(duì)商務(wù)應(yīng)用（文件共享等）傳輸?shù)奈募M(jìn)行精確的木馬、病毒、蠕蟲查殺。

（4）終端內(nèi)容威脅：為了避免終端訪問Web應(yīng)用內(nèi)容而被竊取隱私等信息或被用作肉雞，需要有效過濾惡意網(wǎng)站、惡意文件、惡意控件、惡意腳本等內(nèi)容威脅的訪問。

二、網(wǎng)絡(luò)安全的主要內(nèi)容

網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)系統(tǒng)的安全和網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)系統(tǒng)的安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷；凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性.那么信息安全怎么理解呢，信息安全是整體的、發(fā)展的、非傳統(tǒng)的安全。

三、網(wǎng)絡(luò)安全新技術(shù)的發(fā)展

1、硬件方面：新一代7層防火墻是目前較為成熟且使用較為廣泛的硬件產(chǎn)品。

實(shí)現(xiàn)內(nèi)核級(jí)聯(lián)動(dòng)，是一個(gè)“2-7層完整的安全防護(hù)產(chǎn)品”。這也是Gartner定義的”額外的防火墻智能”實(shí)現(xiàn)的前提，做到真正的內(nèi)核級(jí)聯(lián)動(dòng)，才能為用戶的業(yè)務(wù)系統(tǒng)提供一個(gè)安全防護(hù)的“銅墻鐵壁”。

2、安全策略：盡管計(jì)算機(jī)網(wǎng)絡(luò)信息安全受到威脅，但是采取恰當(dāng)?shù)姆雷o(hù)措施也能有效的保護(hù)網(wǎng)絡(luò)信息的安全。以下幾種方法基本可以確保在策略上保護(hù)網(wǎng)絡(luò)信息的安全：

（1）隱藏IP地址、關(guān)閉不必要的端口。入侵者經(jīng)常利用一些網(wǎng)絡(luò)探測技術(shù)來查看我們的主機(jī)信息，主要目的就是得到網(wǎng)絡(luò)中主機(jī)的IP地址和端口。IP地址在網(wǎng)絡(luò)安全上是一個(gè)很重要的概念，如果攻擊者知道了你的IP地址，等于為他的攻擊準(zhǔn)備好了目標(biāo)，他可以向這個(gè)IP發(fā)動(dòng)各種進(jìn)攻，如DoS（拒絕服務(wù)）攻擊、Floop溢出攻擊等。將業(yè)務(wù)應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器部署在防火墻和應(yīng)用負(fù)載均衡后面，可以有效的將真實(shí)的服務(wù)器IP地址和端口隱藏起來，不被入侵者查獲。

（2）帳戶管理。Administrator帳戶擁有最高的系統(tǒng)權(quán)限，一旦該帳戶被人利用，后果不堪設(shè)想。入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號(hào)。首先是為Administrator帳戶設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼，然后我們重命名Administrator帳戶，再創(chuàng)建一個(gè)沒有管理員權(quán)限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個(gè)帳戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險(xiǎn)性。

Guest帳戶即所謂的來賓帳戶，它可以訪問計(jì)算機(jī)，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門！禁用或徹底刪除Guest帳戶是最好的辦法，做好IE的安全設(shè)置。

3、及時(shí)給系統(tǒng)打補(bǔ)丁：應(yīng)及時(shí)更新操作系統(tǒng)對(duì)應(yīng)的補(bǔ)丁程序，不斷推出的系統(tǒng)補(bǔ)丁程序盡管讓人厭煩，但卻是我們系統(tǒng)安全的基礎(chǔ)。

四、多網(wǎng)絡(luò)多業(yè)務(wù)系統(tǒng)安全的技術(shù)應(yīng)對(duì)措施

上海交通車管的多網(wǎng)絡(luò)多業(yè)務(wù)系統(tǒng)的信息化平臺(tái)實(shí)際上是一個(gè)整體應(yīng)用平臺(tái)，采用怎樣的防范措施才能避免網(wǎng)絡(luò)威脅進(jìn)攻，保護(hù)系統(tǒng)運(yùn)行的整體安全，成了我們管理者需要考慮的首要問題。整體的應(yīng)用需要整體布局，軟件和硬件都要有所考慮，要做到全面覆蓋業(yè)務(wù)應(yīng)用系統(tǒng)的各個(gè)層次，針對(duì)網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用、數(shù)據(jù)、系統(tǒng)等做全面的防范。

1、增加必要的硬件投入

目前，新一代防火墻獨(dú)創(chuàng)的應(yīng)用可視化引擎，可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過去只能通過IP地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。新一代防火墻的應(yīng)用可視化引擎不但可以識(shí)別724多種的應(yīng)用及其應(yīng)用動(dòng)作，還可以與多種認(rèn)證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3、SMTP等）無縫對(duì)接，自動(dòng)識(shí)別出網(wǎng)絡(luò)當(dāng)中IP地址對(duì)應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時(shí)還可以滿足各局域網(wǎng)數(shù)據(jù)。

（1）多核并行處理架構(gòu)：現(xiàn)在CPU核越來越多，從雙核到4核，再從4核到8核，16核，現(xiàn)在還有128核的CPU了。這樣來看，如果1個(gè)核能夠做到1個(gè)G，那么16個(gè)核不就能夠超過10個(gè)G了嗎？但是通常設(shè)備性能并不能夠根據(jù)核的增加而迅速增加。因?yàn)殡m然各個(gè)核物理上是獨(dú)立的，但是有很多資源是共享的，包括CPU的Cache，內(nèi)存，這些核在訪問共享資源的時(shí)候是要等其他核釋放資源的，因此很多工作只能串行完成。

（2）單次解析引擎：要進(jìn)行應(yīng)用層威脅過濾，就必須將數(shù)據(jù)報(bào)文重組才能檢測，而報(bào)文重組、特征檢測都會(huì)極大地消耗內(nèi)存和CPU，因而UTM的多引擎，多次解析架構(gòu)工作效率低下。因此，新一代防火墻所采用的單次解析引擎通過統(tǒng)一威脅特征、統(tǒng)一匹配引擎，針對(duì)每個(gè)數(shù)據(jù)包做到了只有一次報(bào)文重組和特征匹配，消除了重復(fù)性工作對(duì)內(nèi)存和資源的占用，從而系統(tǒng)的工作效率提高了70%-80%。但這種技術(shù)的一個(gè)關(guān)鍵要素就是要統(tǒng)一特征庫，這項(xiàng)技術(shù)的難度在于需要找到一種全新的“特征語言”將病毒、漏洞、Web入侵、惡意代碼等威脅進(jìn)行統(tǒng)一描述。

2、科學(xué)合理的配置軟件和硬件策略

（1）劃分網(wǎng)絡(luò)安全域

我們認(rèn)為首先從網(wǎng)絡(luò)管理做起，將整個(gè)信息化所涉及的業(yè)務(wù)系統(tǒng)劃分為四個(gè)網(wǎng)絡(luò)安全域：數(shù)據(jù)中心安全域、廣域網(wǎng)邊界安全域、互聯(lián)網(wǎng)接入安全域、內(nèi)網(wǎng)辦公安全域。

①數(shù)據(jù)中心安全域：包括各種應(yīng)用系統(tǒng)和服務(wù)器，由于是整個(gè)衍生業(yè)務(wù)系統(tǒng)的核心，安全級(jí)別最高；②廣域網(wǎng)邊界安全域：各個(gè)下屬分支機(jī)構(gòu)（如二手車市場、檢測線、4S店上牌點(diǎn)、駕駛員考試點(diǎn)等）通過專網(wǎng)接入企業(yè)專網(wǎng)，訪問各種衍生業(yè)務(wù)應(yīng)用系統(tǒng)，主要包括專網(wǎng)的核心路由器、分支路由器等；③互聯(lián)網(wǎng)接入安全域：由于內(nèi)部終端、對(duì)外發(fā)布業(yè)務(wù)系統(tǒng)（如網(wǎng)上查詢系統(tǒng)）都需要與互聯(lián)網(wǎng)相連，訪問互聯(lián)網(wǎng)資源或者對(duì)外提供業(yè)務(wù)。此區(qū)域安全風(fēng)險(xiǎn)最高，需要重點(diǎn)隔離與控制；④公安網(wǎng)辦公安全域：包括總部公安網(wǎng)的業(yè)務(wù)終端，為不同的業(yè)務(wù)部門和服務(wù)器等提供高速、穩(wěn)定的網(wǎng)絡(luò)接入。

（2）加強(qiáng)數(shù)據(jù)中心服務(wù)器保護(hù)

加強(qiáng)數(shù)據(jù)中心服務(wù)器的全面保護(hù)，是應(yīng)用系統(tǒng)的信息安全的基礎(chǔ)，通過監(jiān)控訪問、交換、數(shù)據(jù)流等措施來實(shí)現(xiàn)。

①面向用戶、應(yīng)用的安全訪問：將訪問控制權(quán)限精確到用戶與業(yè)務(wù)系統(tǒng)，有效解決了傳統(tǒng)防火墻IP/端口的策略無法精確管理的問題。讓業(yè)務(wù)開放對(duì)象更為明了、管理更方便、策略更易懂。②可視化安全風(fēng)險(xiǎn)評(píng)估：提供服務(wù)器風(fēng)險(xiǎn)和終端風(fēng)險(xiǎn)報(bào)告以及應(yīng)用流量報(bào)表，使全網(wǎng)的安全風(fēng)險(xiǎn)一目了然，幫助管理員分析安全狀況管理數(shù)據(jù)中心。

（3）廣域網(wǎng)邊界安全隔離與防護(hù)

①互聯(lián)網(wǎng)出口邊界防護(hù)：將網(wǎng)上查詢等業(yè)務(wù)系統(tǒng)部署在DMZ區(qū)，可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)終端和對(duì)外業(yè)務(wù)發(fā)布系統(tǒng)的雙重防護(hù)，權(quán)限控制和管理是主要方法。

●防止黑客入侵，獲取權(quán)限，竊取數(shù)據(jù)，保證服務(wù)器穩(wěn)定運(yùn)行；

②內(nèi)部終端安全防護(hù)：全面防護(hù)，標(biāo)本兼治，防止業(yè)務(wù)終端訪問威脅網(wǎng)站和應(yīng)用，通過漏洞防護(hù)、病毒防護(hù)、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術(shù)手段。

五、加強(qiáng)系統(tǒng)使用者的管理可以確保技術(shù)手段的有效運(yùn)用

1、建立網(wǎng)絡(luò)接入安全的規(guī)章制度。建立從物理安全保密策略，系統(tǒng)或網(wǎng)絡(luò)的訪問控制策略，信息的加密策略，系統(tǒng)及網(wǎng)絡(luò)的安全管理策略，人員安全管理策略，內(nèi)容監(jiān)管策略等一系列的規(guī)章制度；從制度上約束系統(tǒng)使用者的使用行為。

2、加強(qiáng)網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)，提供防范意識(shí)。不斷加強(qiáng)網(wǎng)絡(luò)安全的宣傳和培訓(xùn)，強(qiáng)化使用人員和管理人員的安全防范意識(shí)。只有通過網(wǎng)絡(luò)管理人員、系統(tǒng)數(shù)據(jù)庫管理人員、業(yè)務(wù)系統(tǒng)維護(hù)人員與使用人員的共同努力，才可能地把不安全的因素降到最低。

六、結(jié)語

總之，信息安全防范工作是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。