姜 鵬 趙正利

?

站群系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險分析和防御體系研究

姜 鵬1趙正利2

1.中國海洋大學(xué) 網(wǎng)絡(luò)與信息中心，山東 青島 266100 2.中國海洋大學(xué) 教育系，山東 青島 266100

討論了影響大型網(wǎng)站群系統(tǒng)安全運行的來自網(wǎng)絡(luò)的安全風(fēng)險因素，在深入分析的基礎(chǔ)上探討多種解決方案，最終形成一套站群系統(tǒng)的安全運行體系。實踐表明研究成果科學(xué)有效，對大型數(shù)據(jù)中心的日常運維也有一定參考價值。

網(wǎng)絡(luò)信息；安全風(fēng)險；站群；防御體系

引言

隨著網(wǎng)絡(luò)技術(shù)急速發(fā)展，各行業(yè)領(lǐng)域的信息化應(yīng)用日益深入。大量機構(gòu)利用網(wǎng)站群系統(tǒng)對外提供數(shù)據(jù)信息服務(wù)。

站群系統(tǒng)能夠在統(tǒng)一管理后臺基礎(chǔ)上承載多個展現(xiàn)形態(tài)各異的子站運行。信息門戶網(wǎng)站群平臺可以快速地搭建多個信息相互關(guān)聯(lián)的網(wǎng)站；每個站點可以擁有多套模板；在應(yīng)用中確實給我們帶來了便利及實用。同時集中的部署也造成了攻擊目標(biāo)的集中，而現(xiàn)階段來自網(wǎng)絡(luò)的攻擊方式出現(xiàn)了大量新特性，因此網(wǎng)站群系統(tǒng)面臨更多的網(wǎng)絡(luò)安全風(fēng)險。本文首先分析了常見網(wǎng)絡(luò)攻擊的方式，然后針對網(wǎng)站群的特點探討了安全防御體系的構(gòu)建過程[1]。

1 網(wǎng)絡(luò)安全現(xiàn)狀分析

（1）漏洞攻擊。利用已知漏洞進(jìn)行攻擊已經(jīng)成為最常見的攻擊方式。

Web安全漏洞是指一個Web系統(tǒng)包括服務(wù)器、應(yīng)用程序等組件在設(shè)計與實現(xiàn)過程中存在的容易被人攻擊的安全缺陷[2]。此類攻擊可以針對操作系統(tǒng)、中間件、軟件系統(tǒng)等不同的級別。安全漏洞由于網(wǎng)站程序編寫標(biāo)準(zhǔn)缺失、交互信息過濾不足、第三方軟件自身漏洞等原因造成。這種攻擊方式的資料容易在網(wǎng)絡(luò)上獲取，造成其攻擊成本較低。

（2）拒絕服務(wù)攻擊。在拒絕服務(wù)攻擊發(fā)生時攻擊者通過集中發(fā)送大量攻擊流量來耗盡服務(wù)器和核心交換機的軟硬件資源，從而使正常用戶的請求無法被響應(yīng)。

在更為棘手的情況下，攻擊者利用分布式僵尸網(wǎng)絡(luò)或大范圍反彈式漏洞等發(fā)送大量垃圾包來阻塞機房總出口。這種近幾年來新出現(xiàn)的攻擊模式給精準(zhǔn)防御帶來了極大的困難。

（3）弱口令破解。此類攻擊對用戶名和密碼進(jìn)行暴力破解，往往在數(shù)據(jù)字典的構(gòu)建中融入社會工程學(xué)原理。

由于站群系統(tǒng)的二級管理員較多且安全水平不一，因此此類古老的攻擊方式仍然具有較高的成功率。攻擊者在獲取一個低等級權(quán)限的管理員賬號后，通常會嘗試以此為跳板入侵系統(tǒng)，進(jìn)而逐步獲取更高權(quán)限。

2 防御體系

（1）訪問控制。對來訪用戶的IP和端口等進(jìn)行控制，把內(nèi)部系統(tǒng)和數(shù)據(jù)隔離在內(nèi)網(wǎng)，只對外公開必要的服務(wù)端口。一般通過硬件防火墻、IPS或操作系統(tǒng)自帶防火墻等進(jìn)行防御，也可以在邊界部署http流量緩沖服務(wù)器，只對外公開緩沖服務(wù)的端口，即加快訪問的速度又有效地屏蔽了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)。

（2）流量過濾。安全設(shè)備對所有來自外部的流量包重組合分析，過濾其中的攻擊、掃描和病毒等流量。流量過濾是主動安全防御體系的重要組成部分，常見的Web應(yīng)用防火墻、入侵防御系統(tǒng)、威脅智能防御系統(tǒng)、DDOS防御設(shè)備具有不同側(cè)重點的流量過濾功能。入侵檢測系統(tǒng)根據(jù)檢測方法可分為：基于知識的入侵檢測和基于行為的入侵檢測[3]。檢測設(shè)備的特征值庫和異常動作匹配算法會自動從權(quán)威源更新。根據(jù)用戶的危險程度實施不同程度的攔截策略，一般分為異常流量丟棄、暫時限流、屏蔽訪問、IP黑名單、多設(shè)備聯(lián)動處理等層次。

管理員可以通過對特征值和攔截策略進(jìn)行自定義配置來獲取更優(yōu)化的防護(hù)策略。其中拒絕服務(wù)攻擊在規(guī)模較小時可依靠數(shù)據(jù)中心自身的防御設(shè)備進(jìn)行壓制，但在的極端情況下需要上級網(wǎng)絡(luò)提供商在其邊界上進(jìn)行流量清洗。

（3）登錄憑證管理及權(quán)限控制。后臺登陸憑證安全分為幾個技術(shù)層次進(jìn)行防護(hù)。

在創(chuàng)建和修改二級管理員的時候強制貫徹密碼復(fù)雜度的保護(hù)機制；在本地存儲和網(wǎng)絡(luò)傳輸身份數(shù)據(jù)時采用加密的方式；二級管理員和系統(tǒng)總管理員數(shù)據(jù)分區(qū)存儲；限定某賬號短時間內(nèi)登錄最大次數(shù)上限；限定單一IP或單客戶端短時間內(nèi)多賬號嘗試登陸次數(shù)；使用隨機驗證碼機制；系統(tǒng)總管理員組登陸需要使用短信等額外的驗證方式；詳細(xì)記錄所有賬號登陸記錄。網(wǎng)站群系統(tǒng)內(nèi)做好細(xì)粒度的權(quán)限控制，對各級管理員賦予正常工作所需的最小權(quán)限。

做好信息的編輯、審核、發(fā)布、存檔的分權(quán)限規(guī)范的落實工作。

（4）漏洞分析。一般通過漏洞掃描設(shè)備和自身系統(tǒng)審查來發(fā)現(xiàn)代碼、數(shù)據(jù)庫、中間件等的漏洞，也可以聘請第三方權(quán)威安全機構(gòu)進(jìn)行掃描分析和模擬攻擊。

預(yù)先發(fā)現(xiàn)系統(tǒng)的漏洞可以有效減少系統(tǒng)后期安全的風(fēng)險和投入。但漏洞的情況是隨時間而變化的，新的漏洞隨時可能被發(fā)現(xiàn)并公開在網(wǎng)絡(luò)上，因此需要日常跟蹤漏洞發(fā)布組織的安全信息，第一時間修補或采用臨時措施屏蔽新發(fā)漏洞。

（5）日志備份分析。建立完整的日志歸檔分析系統(tǒng)是信息系統(tǒng)安全建設(shè)的基礎(chǔ)。

通過對已有訪問記錄的分析可以及時發(fā)現(xiàn)潛在故障點和攻擊企圖。建立獨立的Syslog服務(wù)器進(jìn)行日志數(shù)據(jù)的收集。

預(yù)設(shè)兩套自動處理機制，一套進(jìn)行實時的攻擊特征篩選，可以快速地向管理員發(fā)出告警信息；另外一套定期進(jìn)行大數(shù)據(jù)篩選和統(tǒng)計，綜合分析發(fā)現(xiàn)主要報錯的原因和新發(fā)攻擊的非常規(guī)訪問等。其系統(tǒng)構(gòu)建中大致可以分為3個模塊：數(shù)據(jù)采集模塊、數(shù)據(jù)處理模塊、數(shù)據(jù)挖掘模塊[4]。

（6）防篡改機制。防篡改系統(tǒng)可以在信息發(fā)生改變的時候，自動判別出是否為正常操作的結(jié)果，進(jìn)一步保護(hù)和報警。信息系統(tǒng)通常采用兩種方式來進(jìn)行防篡改，一種是其本身帶有防篡改模塊，其優(yōu)點在于投入的節(jié)省、部署的快捷和管理的集成。另外一種方式是采用外置的串接防篡改設(shè)備，其獨立運行且性能較高，往往在舊系統(tǒng)安全加固、安全要求較高或統(tǒng)一安全管理多系統(tǒng)的情況下采用。

（8）備份機制。做好數(shù)據(jù)的備份工作，同時還要采取密碼保護(hù)的方式對重要數(shù)據(jù)文件進(jìn)行加密處理，這樣即使數(shù)據(jù)丟失也不會造成信息的泄露[5]。日常備份通常采用全備份和增量備份相結(jié)合的方式在獨立硬件上存儲數(shù)據(jù)。

3 結(jié)語

現(xiàn)階段，網(wǎng)絡(luò)信息安全技術(shù)不斷發(fā)展，在建立好高安全等級的網(wǎng)站群系統(tǒng)防御體系后也要時刻關(guān)注新的攻擊技術(shù)變化趨勢，不斷調(diào)整和增加自己的安全措施。同時利用大數(shù)據(jù)分析技術(shù)綜合分析流量過濾前記錄、網(wǎng)站訪問日志、域名解析日志等數(shù)據(jù)，盡量在入侵的初始階段就發(fā)現(xiàn)異常行為并阻斷。

[1]程羅德，孫濤，邢旭峰，等.高校信息門戶網(wǎng)站群建設(shè)管理應(yīng)用問題研究及對策[J].電腦知識與技術(shù)，2013（26）：6034-6037.

[2]孫也.Web服務(wù)器安全防護(hù)技術(shù)分析與探討[J].科技傳播，2015，7（18）.

[3]楊文茵，馬莉，周靈，等.基于蜜罐與入侵檢測技術(shù)的安全云架構(gòu)方案[J].佛山科學(xué)技術(shù)學(xué)院學(xué)報：自然科學(xué)版，2015（6）：64-69.

[4]董震江.關(guān)于計算機數(shù)據(jù)庫入侵檢測的探索[J].山東工業(yè)技術(shù)，2015（24）：129-129.

[5]高博.關(guān)于計算機網(wǎng)絡(luò)服務(wù)器的入侵與防御技術(shù)的探討[J].電子技術(shù)與軟件工程，2015（8）：226-227.

Research on Network Security Risk and Defense System of Website Group

JIANG Peng1ZHAO Zhengli2

1.Ocean University of China ,NIC ,Shandong Qingdao 266100 2.Ocean University of China ,Department of Education ,Shandong Qingdao 266100

This paper discusses common factors of network security risk for the safe operation of large website group, and studies solutions on the basis of the in-depth analysis, finally formed a set of safety operation system of website group. Practice has proved that the research results of this paper are valid, and it provides a scientific reference for the operation and maintenance of large data center.

network information; security risk; website group; defense system

TP315

A

1009-6434（2016）08-0119-02