站群系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析和防御體系研究

姜 鵬 趙正利

?

站群系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析和防御體系研究

姜 鵬1趙正利2

1.中國海洋大學(xué) 網(wǎng)絡(luò)與信息中心，山東 青島 266100 2.中國海洋大學(xué) 教育系，山東 青島 266100

討論了影響大型網(wǎng)站群系統(tǒng)安全運(yùn)行的來自網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)因素，在深入分析的基礎(chǔ)上探討多種解決方案，最終形成一套站群系統(tǒng)的安全運(yùn)行體系。實(shí)踐表明研究成果科學(xué)有效，對(duì)大型數(shù)據(jù)中心的日常運(yùn)維也有一定參考價(jià)值。

網(wǎng)絡(luò)信息；安全風(fēng)險(xiǎn)；站群；防御體系

引言

隨著網(wǎng)絡(luò)技術(shù)急速發(fā)展，各行業(yè)領(lǐng)域的信息化應(yīng)用日益深入。大量機(jī)構(gòu)利用網(wǎng)站群系統(tǒng)對(duì)外提供數(shù)據(jù)信息服務(wù)。

站群系統(tǒng)能夠在統(tǒng)一管理后臺(tái)基礎(chǔ)上承載多個(gè)展現(xiàn)形態(tài)各異的子站運(yùn)行。信息門戶網(wǎng)站群平臺(tái)可以快速地搭建多個(gè)信息相互關(guān)聯(lián)的網(wǎng)站；每個(gè)站點(diǎn)可以擁有多套模板；在應(yīng)用中確實(shí)給我們帶來了便利及實(shí)用。同時(shí)集中的部署也造成了攻擊目標(biāo)的集中，而現(xiàn)階段來自網(wǎng)絡(luò)的攻擊方式出現(xiàn)了大量新特性，因此網(wǎng)站群系統(tǒng)面臨更多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。本文首先分析了常見網(wǎng)絡(luò)攻擊的方式，然后針對(duì)網(wǎng)站群的特點(diǎn)探討了安全防御體系的構(gòu)建過程[1]。

1 網(wǎng)絡(luò)安全現(xiàn)狀分析

（1）漏洞攻擊。利用已知漏洞進(jìn)行攻擊已經(jīng)成為最常見的攻擊方式。

Web安全漏洞是指一個(gè)Web系統(tǒng)包括服務(wù)器、應(yīng)用程序等組件在設(shè)計(jì)與實(shí)現(xiàn)過程中存在的容易被人攻擊的安全缺陷[2]。此類攻擊可以針對(duì)操作系統(tǒng)、中間件、軟件系統(tǒng)等不同的級(jí)別。安全漏洞由于網(wǎng)站程序編寫標(biāo)準(zhǔn)缺失、交互信息過濾不足、第三方軟件自身漏洞等原因造成。這種攻擊方式的資料容易在網(wǎng)絡(luò)上獲取，造成其攻擊成本較低。

（2）拒絕服務(wù)攻擊。在拒絕服務(wù)攻擊發(fā)生時(shí)攻擊者通過集中發(fā)送大量攻擊流量來耗盡服務(wù)器和核心交換機(jī)的軟硬件資源，從而使正常用戶的請(qǐng)求無法被響應(yīng)。

在更為棘手的情況下，攻擊者利用分布式僵尸網(wǎng)絡(luò)或大范圍反彈式漏洞等發(fā)送大量垃圾包來阻塞機(jī)房總出口。這種近幾年來新出現(xiàn)的攻擊模式給精準(zhǔn)防御帶來了極大的困難。

（3）弱口令破解。此類攻擊對(duì)用戶名和密碼進(jìn)行暴力破解，往往在數(shù)據(jù)字典的構(gòu)建中融入社會(huì)工程學(xué)原理。

由于站群系統(tǒng)的二級(jí)管理員較多且安全水平不一，因此此類古老的攻擊方式仍然具有較高的成功率。攻擊者在獲取一個(gè)低等級(jí)權(quán)限的管理員賬號(hào)后，通常會(huì)嘗試以此為跳板入侵系統(tǒng)，進(jìn)而逐步獲取更高權(quán)限。

2 防御體系

（1）訪問控制。對(duì)來訪用戶的IP和端口等進(jìn)行控制，把內(nèi)部系統(tǒng)和數(shù)據(jù)隔離在內(nèi)網(wǎng)，只對(duì)外公開必要的服務(wù)端口。一般通過硬件防火墻、IPS或操作系統(tǒng)自帶防火墻等進(jìn)行防御，也可以在邊界部署http流量緩沖服務(wù)器，只對(duì)外公開緩沖服務(wù)的端口，即加快訪問的速度又有效地屏蔽了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)。

（2）流量過濾。安全設(shè)備對(duì)所有來自外部的流量包重組合分析，過濾其中的攻擊、掃描和病毒等流量。流量過濾是主動(dòng)安全防御體系的重要組成部分，常見的Web應(yīng)用防火墻、入侵防御系統(tǒng)、威脅智能防御系統(tǒng)、DDOS防御設(shè)備具有不同側(cè)重點(diǎn)的流量過濾功能。入侵檢測(cè)系統(tǒng)根據(jù)檢測(cè)方法可分為：基于知識(shí)的入侵檢測(cè)和基于行為的入侵檢測(cè)[3]。檢測(cè)設(shè)備的特征值庫和異常動(dòng)作匹配算法會(huì)自動(dòng)從權(quán)威源更新。根據(jù)用戶的危險(xiǎn)程度實(shí)施不同程度的攔截策略，一般分為異常流量丟棄、暫時(shí)限流、屏蔽訪問、IP黑名單、多設(shè)備聯(lián)動(dòng)處理等層次。

管理員可以通過對(duì)特征值和攔截策略進(jìn)行自定義配置來獲取更優(yōu)化的防護(hù)策略。其中拒絕服務(wù)攻擊在規(guī)模較小時(shí)可依靠數(shù)據(jù)中心自身的防御設(shè)備進(jìn)行壓制，但在的極端情況下需要上級(jí)網(wǎng)絡(luò)提供商在其邊界上進(jìn)行流量清洗。

（3）登錄憑證管理及權(quán)限控制。后臺(tái)登陸憑證安全分為幾個(gè)技術(shù)層次進(jìn)行防護(hù)。

在創(chuàng)建和修改二級(jí)管理員的時(shí)候強(qiáng)制貫徹密碼復(fù)雜度的保護(hù)機(jī)制；在本地存儲(chǔ)和網(wǎng)絡(luò)傳輸身份數(shù)據(jù)時(shí)采用加密的方式；二級(jí)管理員和系統(tǒng)總管理員數(shù)據(jù)分區(qū)存儲(chǔ)；限定某賬號(hào)短時(shí)間內(nèi)登錄最大次數(shù)上限；限定單一IP或單客戶端短時(shí)間內(nèi)多賬號(hào)嘗試登陸次數(shù)；使用隨機(jī)驗(yàn)證碼機(jī)制；系統(tǒng)總管理員組登陸需要使用短信等額外的驗(yàn)證方式；詳細(xì)記錄所有賬號(hào)登陸記錄。網(wǎng)站群系統(tǒng)內(nèi)做好細(xì)粒度的權(quán)限控制，對(duì)各級(jí)管理員賦予正常工作所需的最小權(quán)限。

做好信息的編輯、審核、發(fā)布、存檔的分權(quán)限規(guī)范的落實(shí)工作。

（4）漏洞分析。一般通過漏洞掃描設(shè)備和自身系統(tǒng)審查來發(fā)現(xiàn)代碼、數(shù)據(jù)庫、中間件等的漏洞，也可以聘請(qǐng)第三方權(quán)威安全機(jī)構(gòu)進(jìn)行掃描分析和模擬攻擊。

預(yù)先發(fā)現(xiàn)系統(tǒng)的漏洞可以有效減少系統(tǒng)后期安全的風(fēng)險(xiǎn)和投入。但漏洞的情況是隨時(shí)間而變化的，新的漏洞隨時(shí)可能被發(fā)現(xiàn)并公開在網(wǎng)絡(luò)上，因此需要日常跟蹤漏洞發(fā)布組織的安全信息，第一時(shí)間修補(bǔ)或采用臨時(shí)措施屏蔽新發(fā)漏洞。

（5）日志備份分析。建立完整的日志歸檔分析系統(tǒng)是信息系統(tǒng)安全建設(shè)的基礎(chǔ)。

通過對(duì)已有訪問記錄的分析可以及時(shí)發(fā)現(xiàn)潛在故障點(diǎn)和攻擊企圖。建立獨(dú)立的Syslog服務(wù)器進(jìn)行日志數(shù)據(jù)的收集。

預(yù)設(shè)兩套自動(dòng)處理機(jī)制，一套進(jìn)行實(shí)時(shí)的攻擊特征篩選，可以快速地向管理員發(fā)出告警信息；另外一套定期進(jìn)行大數(shù)據(jù)篩選和統(tǒng)計(jì)，綜合分析發(fā)現(xiàn)主要報(bào)錯(cuò)的原因和新發(fā)攻擊的非常規(guī)訪問等。其系統(tǒng)構(gòu)建中大致可以分為3個(gè)模塊：數(shù)據(jù)采集模塊、數(shù)據(jù)處理模塊、數(shù)據(jù)挖掘模塊[4]。

（6）防篡改機(jī)制。防篡改系統(tǒng)可以在信息發(fā)生改變的時(shí)候，自動(dòng)判別出是否為正常操作的結(jié)果，進(jìn)一步保護(hù)和報(bào)警。信息系統(tǒng)通常采用兩種方式來進(jìn)行防篡改，一種是其本身帶有防篡改模塊，其優(yōu)點(diǎn)在于投入的節(jié)省、部署的快捷和管理的集成。另外一種方式是采用外置的串接防篡改設(shè)備，其獨(dú)立運(yùn)行且性能較高，往往在舊系統(tǒng)安全加固、安全要求較高或統(tǒng)一安全管理多系統(tǒng)的情況下采用。

（8）備份機(jī)制。做好數(shù)據(jù)的備份工作，同時(shí)還要采取密碼保護(hù)的方式對(duì)重要數(shù)據(jù)文件進(jìn)行加密處理，這樣即使數(shù)據(jù)丟失也不會(huì)造成信息的泄露[5]。日常備份通常采用全備份和增量備份相結(jié)合的方式在獨(dú)立硬件上存儲(chǔ)數(shù)據(jù)。

3 結(jié)語

現(xiàn)階段，網(wǎng)絡(luò)信息安全技術(shù)不斷發(fā)展，在建立好高安全等級(jí)的網(wǎng)站群系統(tǒng)防御體系后也要時(shí)刻關(guān)注新的攻擊技術(shù)變化趨勢(shì)，不斷調(diào)整和增加自己的安全措施。同時(shí)利用大數(shù)據(jù)分析技術(shù)綜合分析流量過濾前記錄、網(wǎng)站訪問日志、域名解析日志等數(shù)據(jù)，盡量在入侵的初始階段就發(fā)現(xiàn)異常行為并阻斷。

[1]程羅德，孫濤，邢旭峰，等.高校信息門戶網(wǎng)站群建設(shè)管理應(yīng)用問題研究及對(duì)策[J].電腦知識(shí)與技術(shù)，2013（26）：6034-6037.

[2]孫也.Web服務(wù)器安全防護(hù)技術(shù)分析與探討[J].科技傳播，2015，7（18）.

[3]楊文茵，馬莉，周靈，等.基于蜜罐與入侵檢測(cè)技術(shù)的安全云架構(gòu)方案[J].佛山科學(xué)技術(shù)學(xué)院學(xué)報(bào)：自然科學(xué)版，2015（6）：64-69.

[4]董震江.關(guān)于計(jì)算機(jī)數(shù)據(jù)庫入侵檢測(cè)的探索[J].山東工業(yè)技術(shù)，2015（24）：129-129.

[5]高博.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的入侵與防御技術(shù)的探討[J].電子技術(shù)與軟件工程，2015（8）：226-227.

Research on Network Security Risk and Defense System of Website Group

JIANG Peng1ZHAO Zhengli2

1.Ocean University of China ,NIC ,Shandong Qingdao 266100 2.Ocean University of China ,Department of Education ,Shandong Qingdao 266100

This paper discusses common factors of network security risk for the safe operation of large website group, and studies solutions on the basis of the in-depth analysis, finally formed a set of safety operation system of website group. Practice has proved that the research results of this paper are valid, and it provides a scientific reference for the operation and maintenance of large data center.

network information; security risk; website group; defense system

TP315

A

1009-6434（2016）08-0119-02