淺談內蒙古政務信息系統安全預警監測

摘 要 自治區電子政務網是我區使用設備最多，用戶最多，結構最復雜，應用最廣泛、最重要的網絡系統，其中網絡節點的安全直接影響著整個政務網絡，這就對政務專網的監管提出了更高的要求，建設信息安全監測體系，及時發現和處置網絡攻擊，防止有害信息傳播，對網絡和信息系統實施保護與監測是當務之急。

關鍵詞 內蒙古 政務信息系統 安全預警

隨著互聯網的廣泛應用，信息化的不斷發展，我區各級政務部門、企事業單位都已基本建成了基于網絡的業務系統，特別是建成了自上而下，橫向連接各級政務部門，縱向覆蓋自治區、地（市）、區（縣）的統一的內蒙古自治區電子政務骨干傳輸網絡，實現了各級政務部門互聯互通、信息共享，確保了我區政務專網的統一性和完整性，滿足了社會管理和公共服務的需求。自治區電子政務網是我區使用設備最多，用戶最多，結構最復雜，應用最廣泛、最重要的網絡系統，其中網絡節點的安全直接影響著整個政務網絡，這就對政務專網的監管提出了更高的要求，建設信息安全監測體系，及時發現和處置網絡攻擊，防止有害信息傳播，對網絡和信息系統實施保護與監測是當務之急。

內蒙古政務信息系統已深入到全區各個政府機關單位，其設計架構和應用都比較復雜。當前的應用需要更加關注全網的整體安全，強調從業務信息系統安全風險的角度，而非單一安全威脅和防御機制的角度去更加主動地管理安全。而要做好安全管理工作，就需要一套相應的安全管理體系。在這個體系中除了組織保障和流程保障，很重要的是信息安全預警監測和應急響應處置能力，還要對網絡和業務信息系統實施有計劃地、持續地監視、檢測、審計、分析、評估、預警、響應和報告，并能夠實現管理與檢測相互之間的協同。

一、我區政務信息安全建設存在的主要問題

我區信息化建設在國家政策以及大環境的帶動下，得到了迅速積極的發展。但是，我區信息化建設和信息安全保障仍存在一些亟待解決的問題，政務信息共享和業務協同水平不高，核心技術受制于人；信息安全工作的戰略統籌和綜合協調不夠，重要信息系統和基礎信息網絡防護能力不強，移動互聯網等技術應用給信息安全帶來嚴峻挑戰。必須進一步增強緊迫感，采取更加有力的政策措施，大力推進信息化發展，切實保障信息安全。

經過多年信息安全建設，我區很多單位已經配備了防火墻、入侵檢測、IPS等信息安全防范設備，但是由于各單位信息化水平參差不齊，人員配備不足，技術手段不能適應信息技術的發展，很多安全設備沒有得到充分利用，而安全事件一旦發生，又沒有一個專門面向網絡與信息安全的平臺與機構來發揮預警、處理和支援的作用，安全意識不到位、技術手段不足和處理時機的延誤等諸多因素都會帶來無法估量的損失和影響。

二、主要應用技術

（一）分布式計算平臺技術

分布式計算平臺用來為各種任務提供分布式執行的能力。就是如何讓多臺服務器有效的來執行各種web檢測任務。

分布式計算平臺組成，包括用于存儲任務的隊列（IN QUEUE和OUT UQUEUE）；用于驅使任務被調度的client單元；用于做分布式任務調度的Gearman Server單元；用于具體處理任務（掛馬檢測任務、篡改檢測任務等）的worker單元。

用戶的請求（比如一個頁面的掛馬掃描請求）會被放入IN QUEUE輸入隊列中，client從IN QUEUE輸入隊列中獲取任務，傳遞給GS（Gearman Server），由GS挑選一個空閑的worker 進行執行，worker執行完成之后將結果由GS返回給client，再由client統一將結果放入OUT QUEUE輸出隊列。

（二）智能頁面抓取技術

基于模擬點擊技術的智能爬蟲能高效并盡可能多的抓取網站頁面，主要組成部分包含兩個部件，部件一用于爬蟲策略的控制、登陸驗證數據的控制、及自定義可抓取頁面、不可抓取頁面的控制等，稱為控制部件；部件二用于提取頁面內連接，通過模擬點擊技術來操縱DOM數據模型，并通過截獲腳本執行數據達到提取鏈接和阻止對服務器數據的破壞，稱為處理部件。

控制部件將站點url作為參數傳遞給處理部件，處理部件從目標web服務器獲取web頁面，并通過內置瀏覽器內核將獲取的html文檔解析成DOM數據模型。然后通過對htlm文檔中的不同標記做處理，來提取web頁面中的url。在處理script標記的時候，會對其中的用戶點擊單元進行模擬點擊處理，就是模擬人的點擊行為來觸發點擊事件。并在引發DOM數據的變更前截獲url，同時攔截對DOM模型的修改，這樣既達到了url的提取，又防止了對數據的修改。

（三）遠程網頁掛馬檢測技術

網頁掛馬攻擊是指攻擊者在獲取網站或者網站服務器的部分或者全部權限（獲取手段包括SQL注入、XSS攻擊等）之后，在網頁文件中嵌入一段惡意代碼，這些惡意代碼主要是一些包括瀏覽器本身漏洞、第三方ActiveX漏洞或者其它插件漏洞的利用代碼，用戶訪問該掛馬頁面時，如果系統沒有更新惡意代碼中利用的漏洞補丁，則會執行惡意代碼程序，進行盜號等危險操作。

遠程網頁掛馬檢測技術使用的是靜態分析和動態解析相結合的主動掛馬檢測技術。檢測實現原理可簡單如下描述：掛馬檢測引擎模擬DOM對象和ActiveX控件，同時截獲其內存分配行為，當被掛馬代碼想操作一個DOM對象或ActiveX控件時，就可以把他的操作行為全部監控下來。有了這種url頁面的所有展示行為的監控，就可以分析這些行為，按照預定義的規則來判斷是否有惡意代碼的存在。判斷方式有通過ActiveX的ID判斷、通過對象的接口調用來判斷和通過HeapSpray檢測來判斷，這三種判斷方法保證了檢測的高準確率。

參考文獻：

[1]王盟.淺談電子政務系統中的安全風險分析[J].網絡安全技術與應用，2011（04）.

[2]王仕龍.公共危機預警系統初探[J].中國商界（下半月），2008（06）.

[3]劉邦凡.淺析電子政務建設原則[J].電子政務，2005（Z4）.