某網絡系統中互聯網服務區的安全防護

文/徐昕 羅少康

某網絡系統中互聯網服務區的安全防護

文/徐昕1羅少康2

為了滿足某單位網絡系統業務對于互聯網服務區中安全防護的需要，在充分了解此單位所涉及網絡系統、網絡安全、信息系統及信息安全現狀的前提下，并進行完風險評估后，通過建立信息安全管理體系，提高互聯網服務區中信息系統整體安全防護的水平，防止不安全事件的發生，最大限度降低安全問題所帶來的損失，降低信息安全管理成本。具體通過安全保障體系框架的建設保證結構安全，通過安全設備的部署降低網站安全風險事件的發生，為承載其互聯網業務應用系統的基礎的互聯網服務區，提供安全、穩定、高效的基礎網絡環境，并輔以有效的網絡管理手段，也可提升其它業務應用的服務水平及質量。

網絡安全 區域網絡防護

某單位是在整合歸并時由于客觀條件限制，并未對整個網絡結構進行相應的整合，只是簡單的互聯。但是由于原本網絡系統建設時間早、業務應用復雜、外聯網絡較多。許多業務都是隨著信息化的發展而后增加的，這樣就造成缺乏統一的全局規劃。導致在信息安全方面，雖然某單位網絡系統早已引入了區域管理的概念，配備了必要的安全設備，在信息安全工作上也取得了一定的成效，但區域劃分相對簡單粗獷，防護則側重于重要信息安全系統，具有片面性。由于系統建設時間早，設備老化比較嚴重。為了滿足業務需要，部分設備跨區域使用，存在安全隱患。

在充分了解某單位所涉及信息系統及信息安全現狀的前提下，在進行完差距分析及風險評估后，根據《GB/T 22239-2008信息安全技術信息系統安全等級保護基本要求》的要求，對信息安全等級保護要求進行整改方案的設計，以適應將來等級保護的要求，落實國家及行業的信息安全等級保護政策、標準，提升信息系統的安全防御能力，增強系統管理人員的安全意識，提升某單位在信息系統安全管理、維護的層次，保證核心信息業務系統和網絡的安全穩定運行。在技術建設上，確立自身信息安全符合等級保護策略及安全管理基線，通過采取對IT運維人員的安全認證與控制審計措施，實現對其全訪問的控制及操作行為的記錄審計；建立起信息安全管理體系，提高信息系統整體安全防護的水平，預防安全事件發生，最大限度降低安全問題所帶來的損失，降低信息安全管理成本。具體技術方面目標如下：

1 政策與標準合規性保障

信息系統安全保障體系（等級保護二級）的建設過程及其成果完全依據核心業務信息系統特點、國家政策標準重要指導；確保建設完畢后符合公安測評單位檢查要求。

2 構建適度安全保障體系

確保某單位信息系統在存儲、傳輸和使用過程中安全，確保核心業務系統持續、穩定的運行，確保重要業務操作行為可審計，抵御惡意攻擊、惡意代碼、病毒等對信息系統攻擊與破壞，防止對信息系統資源的非法、非授權訪問。

3 提升安全風險的控制和評價能力，以及監管效率

提升系統事前--＞事中--＞事后的綜合防護能力和風險處置效率；明確包含針對突發事件及敏感時期信息的安全反應和自評估能力；擴展等級保護標準對于行業適用程度和附加收益。

基于上述研究目標，我們需要從以下幾個方面對網絡安全完善工作進行研究：

3.1 建設安全保障體系框架

安全保障體系框架根據等級保護二級基本要求，參照國內外相關標準，并結合某單位已有網絡與信息安全體系建設的實際情況，最終形成依托于安全保護對象為基礎，縱向建立安全管理體系、安全技術體系、安全運行體系和安全管理中心的“三個體系，一個中心，三重防護”的安全保障體系框架。

3.1.1 “三個體系”

信息安全管理體系、信息安全技術體系和信息安全運行服務體系，把等級保護基本要求的控制點結合某單位實際情況形成相適應的體系結構框架；

3.1.2 “一個中心”

信息安全管理中心，實現安全的統一監控、分析及處理；

3.1.3 “三重防護”

安全計算環境防護措施、安全區域邊界防護措施和安全網絡通信防護措施，把安全技術控制措施與安全保護對象相結合。

3.2 保證結構安全

為了保障某單位網絡安全防護，同時實現某單位信息系統的等級化劃分與保護，需要依據等級保護二級的相關原則規劃與區分不同安全保障對象，并根據保障對象設定不同業務功能及安全級別的安全區域，以根據各區域的重要性進行分級的安全管理。

某單位信息系統需根據各項業務的性質和特點，將信息系統分成若干業務子系統，分別為各業務子系統確定安全保護等級。信息系統是進行等級保護管理的最終對象，為體現重點保護重要信息系統安全，有效控制信息安全建設成本，優化信息安全資源配置的等級保護原則。

3.3 互聯網服務區防護

某單位對外提供服務的門戶網站，對外鏈接是通過電信接入Internet，內部有網站應用服務器等，對內與區域匯聚交換機鏈接。

3.3.1 網站安全風險

網站系統IP地址暴露在Internet能夠直接被外部用戶訪問，不能有效對網站服務器進行屏蔽；外網IP地址資源緊張，如果所有對外提供服務的服務器均采用外網IP將極大提高網站運行費用；

目前針對于網站系統的掛馬攻擊、SQL注入攻擊、XSS跨站點腳本攻擊、DDOS分布式拒絕攻擊，在這些類型的攻擊下輕則網站服務癱瘓、頁面被篡改，重則某單位網站數據被竊取；同時攻擊者可以通過網站系統直接威脅某單位內部業務系統和數據庫系統；

服務器操作系統未及時修補系統漏洞不定導致的病毒感染、服務中斷的風險；

因網站訪問量增加導致的網絡訪問速度下降，因Web服務器組宕機導致的對外服務提供的中斷。

3.3.2 網站安全防護

網站安全防護部署圖如圖1所示。

圖1

3.3.2.1 部署防火墻

該防火墻主的作用是將內部對外提供服務的IP地址發布到Internet上，使Internet用戶能夠訪問內部網絡資源；通過防火墻地址轉換功能同時也能解決公網IP地址不足的問題；同時通過防火墻策略配置能夠達到在邏輯上屏蔽外網地址對DMZ區其他服務器的非法訪問。

3.3.2.2 部署入侵防御

通過雖網絡數據包的分析和含正則表達式入侵特征庫的匹配能夠準確的檢測來自于合法IP、端口已知的入侵行為，并能夠實時阻斷攻擊；統過對入侵行為分析檢測出未知的各種攻擊形式，實時阻斷黑客攻擊；探測出已知和未知的蠕蟲、病毒及惡意代碼，準確定位傳染源，并能夠阻斷蠕蟲通過網絡進行傳播。

3.3.2.3 部署Web應用防火墻

通過使用Web服務器的網頁防篡改功能，能夠及時發現并恢復被篡改的網頁從而能夠很好保護某單位對外宣傳形象；通過對Web應用數據進行實時智能壓縮，改善終端用戶性能，降低帶寬消耗。WebCache?引擎對靜態應用內容的高速緩存，顯著減少服務器負載。雙向TCP連接池和高效復用算法將上千短連接優化為少量持久的服務器連接，減輕服務器壓力，改善服務器性能，提高應用響應速度，降低服務延遲，提高用戶訪問體驗、降低電信寬帶租用費；抗拒絕服務攻擊（DOS）算法，可防御各類拒絕服務攻擊，如SYN Flood，UDP Flood，ICMP Flood等的攻擊行為能夠有效識別，并對該攻擊流量進行阻斷，保護Web業務系統的可用性及延續性；通過對HTTP、https協議細粒度的訪問控制強化數據有效性防護達到對跨站點腳本攻擊（XSS）、SQL注入攻擊、跨站請求偽造、網頁掛馬、盜鏈等威脅的防護，提供Web應用或網站的基本安全保障

3.3.2.4 部署負載均衡器

兩臺負載均衡設備工作在冗余模式下，通過網絡相互檢查各自的工作狀態，為其所管理的應用保障完全的網絡可用性；以唯一的IP地址作為所有提供相同服務的服務器的邏輯入口點。負載均衡交換機具有靈活的流量分配算法與機制，以確保用戶總能訪問可以為其提供最優服務的服務器。通過部署高性能的負載均衡產品，能夠及時發現所負載均衡的各服務器的健康狀況，當某臺服務器出現故障時，保證把后續用戶的訪問導向到正常運行的服務器上去。針對基于會話的業務，可以提供多種會話保持機制，確保用戶在處理業務時的連續性。應具備帶寬管理功能，在流量擁塞的情況下，保障優先等級最高的業務具有相應的帶寬資源。

綜上所述，本研究為重新規劃整理現有網絡基礎，提高現有網絡系統中互聯網服務區的安全性、穩定性、可擴展性，通過專業的網絡管理系統，可有效提供管理效率及水平。本系統是承載其互聯網業務應用系統的基礎，提供安全、穩定、高效的基礎網絡環境，并輔以有效的網絡管理手段，也可提升其它業務應用的服務水平及質量。

作者單位1.儀電物聯技術股份有限公司 上海市200233
2.云南省公路開發投資有限責任公司高速公路運營管理中心 云南省昆明市 650228

徐昕（1981-），男，上海市人。大學本科學歷。現任職于儀電物聯技術股份有限公司，研究方向為NGB骨干網QoS保證。

羅少康（1979-），男，大學本科學歷。高級工程師。現任職于云南省公路開發投資有限責任公司高速公路運營管理中心。研究方向為公路工程管理。