托管式安全服務解決方案

摘 要：電子政務網站（gov.cn）是政府職能部門信息化建設的重要內容，主要實現政務信息公開、在線辦事、政民互動的三大功能定位。

傳統解決方案對于新形勢下的應用安全威脅應對乏力：根據 Gartner 的研究報告，未來的安全應該是防御、檢測、響應三者并存，立體化聯動防御機制。目前信息安全攻擊有 75% 以上都是發生在 Web 應用層，而目前超過2/3的 Web 站點都相當脆弱，易受攻擊，這些攻擊形式多種多樣，手法也越來越隱匿，我們往往需要去對多臺安全設備中記錄的日志進行大量的日分析，進而去配置針對性的策略，這無疑對安全運維人員的水平提出了很高的要求。在新形勢下，需要一種更便捷、更有效、性價比更高的安全交付方式。

關鍵詞：網站安全 態勢感知 風險評估 實時監測 攻擊防護

前言

電子政務網站包含Web服務器、存儲服務器、數據庫服務器等多種類型的業務服務器，向internet、intranet等多個區域提供服務，電子政務網站要面臨來自內外網多個區域的安全威脅，其安全保障意義重大。

托管式安全防護方案通過“云眼和云盾” 兩大模塊聯動組成，構建“防御、檢測、響應”三維一體的網站綜合“動態防御”安全體系。近年來，國內外網絡安全形勢更加惡劣，境內、境外攻擊者及攻擊組織對我國重要信息系統的攻擊更加頻繁，信息系統上面臨的安全攻擊也更加頻繁、形勢也更加嚴峻。2016年4月19日，習近平在網絡安全與信息化工作座談會的講話中提出“網絡安全和信息化是相輔相成的。安全是發展的前提，發展是安全的保障，安全和發展要同步推進。要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力”的相關建議，要求在信息化關鍵基礎設施的防御體系、監測體系和整體態勢感知能力上有大幅提升。

1.設計原則

托管式安全服務解決方案設計遵循以下主要原則：

1）整體性原則：通過應用系統工程的觀點、方法，分析網絡系統安全防護、監測和應急恢復，從而在進行安全規劃設計時應充分考慮各種安全配套措施的整體一致性。

2）符合性原則：信息安全體系建設要符合國家的有關法律法規和政策精神，以及行業有關制度和規定，同時應符合有關國家技術標準，以及行業的技術標準和規范；

3）均衡性原則：安全體系設計要正確處理需求、風險與代價的關系，做到安全性與可用性相融，尋找安全風險與實際需求之間的一個均衡點；

4）有效性與實用性原則：信息安全系統不能影響業務系統正常運行和合法用戶的操作。在進行網絡安全策略設計時，要綜合考慮實際安全等級需求與項目經費承受能力的因素；

5）動態化原則：隨環境、條件、時間的變化，安全防護策略不可能一步到位，信息安全系統應能適應變化，采取更先進的檢測和防御措施，增強安全冗余設備，提高安全系統的可用性；

6）統籌規劃分步實施：信息安全防護策略的部署既要考慮滿足當前網絡系統及信息安全的基本需求，也要統籌考慮后續系統的建設及網絡應用的復雜程度的變化，做到可適應性的擴充和調整；

7）數據安全：實現大數據平臺中敏感數據的分級、分類管理、防護策略。

8）采用開放技術兼容原有系統數據。

2.設計方案及功能

2.1設計方案

2.1.1基于WEB應用的防護設計

通過在Web應用前端部署WAF（Web防火墻），保護Web應用，對網站或者APP的業務流量進行惡意特征識別及防護，針對Web安全的諸如SQL注入攻擊、跨站腳本攻擊、掃描攻擊、Web Shell木馬上傳、遠程文件包含攻擊、緩沖區溢出攻擊、敏感信息泄露等漏洞攻擊的安全規則對從客戶到網站服務器的訪問流量和從網站服務器到客戶的響應流量進行雙向安全過濾，來防止因網站被攻擊而導致網站被惡意篡改、惡意仿冒、敏感信息泄露、網站服務器被控制等事件的發生。

2.1.2安全審計和溯源取證設計

1）安全審計

云和虛擬化安全防護系統提供全面的系統日志和詳盡的報告功能，收集超過 100種日志文件格式的操作系統和應用程序日志并進行分析，以確認數據中心內是否存在可疑行為、安全事件和管理事件，通過對日志進行分析可以讓管理員跟蹤IT基礎設施的活動，評估服務器數據泄密事件是否發生、如何發生、何時發生、在何處發生的有效方法。同時支持將事件轉發至安全管理平臺（SOC）系統或集中式日志服務器進行關聯、報告和存檔

2.2實現功能

2.2.1態勢感知

系統為用戶提供了兩個維度的態勢感知能力。一方面，系統從安全本身的發展變化入手，通過對事件和威脅的分析來評估當前網絡的整體安全態勢，分為地址熵態勢分析、熱點事件分析和威脅態勢分析；另一方面，系統從客戶借助系統達成的安全管理水平入手，通過對一系列管理指標的度量，來評估當前某個網絡區域的安全管理水平，稱作關鍵安全管理指標分析？

面對海量安全數據，傳統的集中化安全分析平臺（譬如SIEM，SOC安全管理平臺等）也遭遇到了諸多瓶頸，主要表現在以下幾方面：

1） 高速海量安全數據的采集和存儲變得困難

2） 異構數據的存儲和管理變得困難

3） 威脅數據源較小，導致系統判斷能力有限

4） 對歷史數據的檢測能力很弱

5） 安全事件的調查效率太低

6） 安全系統相互獨立，無有效手段協同工作

7） 分析的方法較少

8） 對于趨勢性的東西預測較難，對早期預警的能力比較差

9） 系統交互能力有限，數據展示效果有待提高

網絡安全態勢感知平臺對海量日志進行集中分析和挖掘，從而發現潛在的安全風險。對能夠引起安全態勢發生變化的要素進行獲取、理解、分析、展示及預測發展趨勢，實現“風險預警、威脅識別、積極管控、策略進化”。

2.2.2風險評估

自動化完成目標網站基線配置數據采集、基于網站特點的檢測插件調度、目標網站響應數據處理過程，完成檢測數據的智能統計分析后生成安全評估報表，幫助用戶掌握網站的安全情況。

2.2.3實時監測

主要針對影響網站運行和網站管理者聲譽的重大隱患進行實時監控。

覆蓋網站可用性、內容安全、緊急漏洞的實時監控，確保管理員在網站發生如下情況時能及時得到通知并獲得應急安全響應技術支持：

1）運行持續性故障；

2）遭遇內容惡意篡改、SEO、掛馬等安全事故以及發現反動、色情內容；

3）發現可能具有較大影響的緊急漏洞；

4）另外，還支持DNS篡改監控；

在監控發現上述隱患時，網站管理員將在第一時間收到我們監控系統推送的安全事件通知和應急響應人員的聯系方式，確保上述問題得到第一時間解決。

2.2.4安全審計

一是在骨干網的核心交換機和防火墻以及邊界防火墻、入侵監測等設備上開啟審計功能，從而有效記錄經過邊界安全設備的所有訪問行為，在運維中心通過態勢感知平臺，將相關日志收集、清洗、去重和關聯，以便系統管理員能夠對骨干網、網絡邊界的活動狀態進行分析，從而發現深層次的安全問題；

二是關鍵的私有業務區域和政務外網區等區域的匯聚交換機上部署網絡流量審計系統、入侵檢測IDS設備、深度威脅發現設備、對網絡流量進行監測、威脅發現和審計。其中：網絡審計系統是根據跟蹤檢測、協議還原技術開發的功能強大的系統，為網上信息的監測和審查提供完備的解決方案。系統以旁路、透明的方式實時高速的對進出信息網絡的傳輸信息進行數據截取和還原，并可根據用戶需求對通信內容進行審計，提供高速的敏感關鍵詞檢索和標記功能，從而為完整的記錄各種信息的起始地址和使用者，為保障關鍵應用系統，實現對應用訪問的全面監控提供依據，并執行以下的安全策略：

深度威脅發現設備通過接收、分析全網絡的流量來偵測并響應APT攻擊與未知威脅。深度威脅發現能偵測所有端口及100多種通訊協議的應用，為用戶提供最全面的網絡威脅偵測。深度威脅發現設采用三層式的偵測方法，第一層是靜態分析，第二層是動態分析及行為偵測，第三層是事件關聯，目的就是為了發掘隱匿的攻擊活動。深度威脅發現設根據靜態分析、動態分析、事件關聯的匯總分析結果來實現威脅偵測的可視化。其獨特的偵測引擎加上定制化沙箱動態模擬分析，能快速發掘并分析惡意文檔，惡意軟件、惡意網頁，C&C;通信數據以及傳統防護無法偵測到的定向式攻擊活動。其深入的威脅情報分析能力能協助安全管理員快速響應，并可自動與安全分析、安全防御產品或第三方情報中心透過公開標準分享情報，建立一個實時的定制化體系來偵測APT黑客攻擊。

三是上網行為審計。記錄電子政務外網人員訪問互聯網的相關記錄用于審計。通過海量的上網行為數據分析，提供高價值的業務報表，如工作效率報表、離職風險報表、帶寬分析報表、熱點事件檢測報表、數據泄漏、業務違規報表等。

2.2.5智能DOS/DDOS攻擊防護

互聯網向用戶內部網中的流量有正常流量，也有所謂的異常流量。異常流量是指在有限的帶寬資源承載著非預期的流量。這些非預期的流量，可能是DoS和DDoS攻擊、蠕蟲病毒、端口掃描、SPAM等惡意流量，也有可能是并非惡意但會影響正常網絡應用的大數據量的P2P下載，等等。DoS（Denial of Service 拒絕服務）攻擊和DDoS（Distributed Denial of Service 分布式拒絕服務）攻擊是目前互聯網上最流行的攻擊方式。最早的DoS攻擊一般是利用操作系統的漏洞發動攻擊，致使服務器癱瘓而無法為用戶提供服務，典型攻擊譬如Ping of Death攻擊、Teardrop攻擊等。而隨著網絡技術的發展，DDoS攻擊開始成為主流。DDoS攻擊是指通過操控多臺傀儡主機向目標主機或服務器發送大量看似合法的網絡包，從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務。典型的DDoS攻擊譬如SYN Flood、ACK Flood、UDP Flood等洪泛攻擊。

為了提高網絡的使用效率，提升信息系統的安全性，需要采用完善的手段對這些異常流量進行檢測，對危害性最大的DoS和DDoS攻擊更要實現準確的清洗。

防DDos系統建設可以完成全網的流量分析、異常流量和DDoS攻擊流量清洗、P2P識別與控制、帶寬限制、日志報表存貯等處理，幫助用戶實時了解網絡運行狀況，及時發現網絡中的DDoS攻擊和網絡濫用行為并做出動作響應，從而快速消除異常流量對網絡和業務造成的危害，達到全部業務流量的智能化管控洗。

2.2.6監測與防護策略聯動，安全專家值守

托管式安全防護方案基于云眼與云盾兩大模塊組成，能夠提供事前風險評估及策略聯動的功能。通過云端風險監測及時發現脆弱性威脅，并與云端防護進行聯動，通過云端安全專家進行策略的調整，使得安全防護策略處于最優狀態。

參考文獻：

[1] 陳曉樺，武傳坤等. 網絡安全技術[M ]. 北京： 人民郵電出版社， 2017.

[2]張炳帥. Web安全深度剖析[M ]. 北京：電子工業出版社，2015.

作者簡介：

侯彬鋒（1979.04-），男，漢族，籍貫河北石家莊，本科，職稱中級工程師，職務高級設計師，河北電信設計咨詢有限公司，050021，研究方向：互聯網技術