章 亮

杭州日?qǐng)?bào)報(bào)業(yè)集團(tuán)

下一代報(bào)業(yè)數(shù)據(jù)中心信息安全防御體系建設(shè)

章 亮

杭州日?qǐng)?bào)報(bào)業(yè)集團(tuán)

一、引言

二、傳統(tǒng)報(bào)業(yè)信息化發(fā)展和數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)、信息安全現(xiàn)狀

現(xiàn)階段大多數(shù)報(bào)社的網(wǎng)絡(luò)結(jié)構(gòu)、信息化水平都是從無(wú)到有，從簡(jiǎn)單的電腦之間的互聯(lián)到星型結(jié)構(gòu)的互聯(lián)，從服務(wù)器和電腦時(shí)代走向數(shù)據(jù)中心時(shí)代。報(bào)業(yè)的技術(shù)進(jìn)步和信息化，報(bào)業(yè)的生產(chǎn)模式，也開(kāi)始進(jìn)行了變革。同時(shí)不斷的受到互聯(lián)網(wǎng)不同程度的攻擊。也許上一個(gè)時(shí)代報(bào)業(yè)注重新媒體的發(fā)展，平臺(tái)的建設(shè)、功能的實(shí)現(xiàn)、運(yùn)營(yíng)模式的建立，那么在互聯(lián)網(wǎng)+的時(shí)代到來(lái)我們要如何保障我們服務(wù)器和網(wǎng)絡(luò)架構(gòu)的安全是擺在我們報(bào)業(yè)信息技術(shù)人員當(dāng)前的首要任務(wù)。傳統(tǒng)的報(bào)業(yè)網(wǎng)絡(luò)結(jié)構(gòu)環(huán)境已經(jīng)不能滿(mǎn)足新媒體的需求，

三、互聯(lián)網(wǎng)+新時(shí)代，新安全

什么是入侵防御、下一代防火墻

入侵防御：準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)應(yīng)對(duì)各層面安全隱患，第一時(shí)間將安全威脅阻隔在報(bào)社網(wǎng)絡(luò)外部。這類(lèi)產(chǎn)品彌補(bǔ)了防火墻、入侵檢測(cè)等產(chǎn)品的不足，提供動(dòng)態(tài)的、深度的、主動(dòng)的安全防御。它的體系架構(gòu)包括三個(gè)主要組件：網(wǎng)絡(luò)引擎、管理模塊、安全響應(yīng)模塊，方便各種網(wǎng)絡(luò)環(huán)境的靈活部署和管理。

下一代防火墻(Next-Generation Application Firewall)：NGAF面向應(yīng)用層設(shè)計(jì)，能夠精確識(shí)別用戶(hù)、應(yīng)用和內(nèi)容，具備完整的L2-L7層的安全防護(hù)體系，強(qiáng)化了在Web層面的應(yīng)用防護(hù)能力，不僅能夠全面替代傳統(tǒng)防火墻，并具在開(kāi)啟安全功能的情況下還保持有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。

四、構(gòu)建杭報(bào)集團(tuán)下一代數(shù)據(jù)中心安全防御體系設(shè)計(jì)方案

杭報(bào)集團(tuán)的網(wǎng)絡(luò)規(guī)模龐大，結(jié)構(gòu)相對(duì)復(fù)雜，不僅有總部，還有各地的分支機(jī)構(gòu)、印務(wù)中心，既要保護(hù)網(wǎng)絡(luò)邊界的安全，同時(shí)又要保護(hù)報(bào)社總部?jī)?nèi)網(wǎng)的安全。針對(duì)杭報(bào)集團(tuán)的網(wǎng)絡(luò)特點(diǎn)，我們分別建立了多個(gè)安全區(qū)域，每個(gè)安全區(qū)域的功能分別不同。通過(guò)IPS和下代防火墻，進(jìn)行混合防護(hù)的解決方案：

1、IDC互聯(lián)網(wǎng)直連區(qū)域：WEB頁(yè)面發(fā)布到互聯(lián)網(wǎng)，通過(guò)互聯(lián)網(wǎng)獨(dú)立發(fā)布，禁止和任何區(qū)域互聯(lián)。

2、13 樓-DMZ區(qū)域：WEB頁(yè)面發(fā)布通過(guò)到下代防火墻進(jìn)行L2-L7層防御，13樓-DMZ區(qū)域訪問(wèn)13服務(wù)器區(qū)域通過(guò)下一代防火墻連接做精細(xì)化安全策略控制并經(jīng)過(guò)L2-L7層防御，內(nèi)網(wǎng)數(shù)據(jù)可以訪問(wèn)13樓-DMZ區(qū)域。

3、IDC獨(dú)立發(fā)布區(qū)域：WEB頁(yè)面發(fā)布通過(guò)到下代防火墻進(jìn)行L2-L7層防御，禁止IDC獨(dú)立發(fā)布區(qū)域與內(nèi)網(wǎng)互聯(lián)。

4、IDC-DMZ區(qū)域：WEB頁(yè)面發(fā)布通過(guò)到下代防火墻進(jìn)行L2-L7層防御，IDC-DMZ區(qū)域訪問(wèn)13服務(wù)器區(qū)域通過(guò)下一代防火墻連接做精細(xì)化安全策略控制并經(jīng)過(guò)L2-L7層防御，內(nèi)網(wǎng)數(shù)據(jù)可以訪問(wèn)IDC-DMZ區(qū)域。

“其次是由于運(yùn)作不規(guī)范?！必?cái)務(wù)核算和內(nèi)控基礎(chǔ)薄弱、現(xiàn)金交易多、關(guān)聯(lián)交易復(fù)雜、大股東資金占用、信息披露瑕疵或偏差等。新三板IPO要成功就得業(yè)績(jī)好且真實(shí)性經(jīng)得起檢驗(yàn)、運(yùn)作規(guī)范。宋彬說(shuō)：“只有這兩條滿(mǎn)足了，就不用擔(dān)心過(guò)會(huì)問(wèn)題了。”

5、IDC-服務(wù)器區(qū)域：內(nèi)部應(yīng)用服務(wù)器區(qū)域，主要針對(duì)內(nèi)網(wǎng)的系統(tǒng)應(yīng)用，禁止此區(qū)域內(nèi)任何服務(wù)器發(fā)布到互聯(lián)網(wǎng)提供對(duì)外服務(wù)。

6、13 樓內(nèi)網(wǎng)服務(wù)器區(qū)域：內(nèi)部應(yīng)用服務(wù)器區(qū)域，主要針對(duì)內(nèi)網(wǎng)的系統(tǒng)應(yīng)用，禁止此區(qū)域內(nèi)任何服務(wù)器發(fā)布到互聯(lián)網(wǎng)提供對(duì)外服務(wù)。

7、在報(bào)社總部互聯(lián)網(wǎng)出入口處在線部署IPS入侵防御系統(tǒng)，實(shí)現(xiàn)路由防護(hù)，提供互聯(lián)網(wǎng)的從網(wǎng)絡(luò)層、應(yīng)用層到內(nèi)容層的深度安全防護(hù)。

8、在報(bào)社總部?jī)?nèi)部網(wǎng)段與IDC數(shù)據(jù)中心網(wǎng)絡(luò)之間在線部署下一代防火墻，提供透明接入的、獨(dú)立多路IPS入侵防御系統(tǒng)一進(jìn)一出的、交換式IPS多進(jìn)多出的全方位、立體式的安全防護(hù)體系，實(shí)現(xiàn)IDC數(shù)據(jù)中心的安全區(qū)域劃分和控制。

五、防御效果

1、可視的網(wǎng)絡(luò)安全情況，通過(guò)應(yīng)用可視化引擎制定的L4-L7一體化應(yīng)用控制策略, 可以為用戶(hù)提供更加精細(xì)和直觀化控制界面，在一個(gè)界面下完成多套設(shè)備的運(yùn)維工作，提升工作效率。

2、IPS防護(hù)效果。NGAF的灰度威脅關(guān)聯(lián)分析引擎具備4000+條漏洞特征庫(kù)、3000+Web應(yīng)用威脅特征庫(kù)，可以全面識(shí)別各種應(yīng)用層和內(nèi)容級(jí)別的單一安全威脅；

3、SQL注入防護(hù)效果：SQL注入攻擊產(chǎn)生的原因是由于在開(kāi)發(fā)web應(yīng)用時(shí)，沒(méi)有對(duì)用戶(hù)輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶(hù)可以提交一段數(shù)據(jù)庫(kù)查詢(xún)代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。NGAF可以通過(guò)高效的URL過(guò)濾技術(shù)，過(guò)濾SQL注入的關(guān)鍵信息，從而有效的避免網(wǎng)站服務(wù)器受到SQL注入攻擊。

4、跨站腳本攻擊防護(hù)效果：跨站攻擊產(chǎn)生的原理是攻擊者通過(guò)向Web頁(yè)面里插入惡意html代碼，從而達(dá)到特殊目的。NGAF通過(guò)先進(jìn)的數(shù)據(jù)包正則表達(dá)式匹配原理，可以準(zhǔn)確地過(guò)濾數(shù)據(jù)包中含有的跨站攻擊的惡意代碼，從而保護(hù)用戶(hù)的WEB服務(wù)器安全。

5、URL防護(hù)效果：Web應(yīng)用系統(tǒng)中通常會(huì)包含有系統(tǒng)管理員管理界面以便于管理員遠(yuǎn)程維護(hù)web應(yīng)用系統(tǒng)，但是這種便利很可能會(huì)被黑客利用從而入侵應(yīng)用系統(tǒng)。通過(guò)NGAF提供的受限URL防護(hù)功能，幫助用戶(hù)選擇特定URL的開(kāi)放對(duì)象，防止由于過(guò)多的信息暴露于公網(wǎng)產(chǎn)生的威脅。

6、Webshell防護(hù)效果：WebShell就是以asp、 php、 jsp 或者 cgi等網(wǎng)頁(yè)文件形式存在的種命令執(zhí)行環(huán)境，也可以稱(chēng)為種網(wǎng)頁(yè)后門(mén)。黑客在入侵了網(wǎng)站后，通常會(huì)將這些 asp、 php、 aspx、 jsp 后門(mén)文件與網(wǎng)站服務(wù)器 WEB 目錄下正常的網(wǎng)頁(yè)文件混在起，然后就可以使用瀏覽器來(lái)訪問(wèn)這些后門(mén)，得到命令執(zhí)行環(huán)境，以達(dá)到控制網(wǎng)站服務(wù)器的目的(可以上傳下載文件、查看數(shù)據(jù)庫(kù)、執(zhí)行任意程序命令等)。

六、總結(jié)

隨著信息化程度的提高，報(bào)業(yè)集團(tuán)的日常運(yùn)作越來(lái)越依賴(lài)于網(wǎng)絡(luò)平臺(tái)。目前報(bào)業(yè)的內(nèi)部網(wǎng)大都直接或間接地連接到了互聯(lián)網(wǎng)上?；ヂ?lián)網(wǎng)在帶來(lái)通信與共享方便和快捷的同時(shí)，也帶來(lái)了病毒和黑客。信息網(wǎng)絡(luò)安全必須引起足夠的重視。我們需要著重強(qiáng)調(diào)的是，任何報(bào)社的安全解決方案決不是安全產(chǎn)品的堆積，而是要根據(jù)各個(gè)報(bào)社實(shí)際情況制定出一套網(wǎng)絡(luò)安全策略的體系，處理好投入與安全之間的關(guān)系，處理好安全產(chǎn)品和安全管理之間的關(guān)系，處理好方便使用與嚴(yán)格執(zhí)行安全措施的關(guān)系。不能因安全問(wèn)題限制了發(fā)展。內(nèi)外網(wǎng)安全分離的管理方式應(yīng)該有所改變。

[1]李貴華《企業(yè)信息安全需要下一代防火墻護(hù)航》

[2]清水《下一代防火墻：更高速 更智能》

[3]王夢(mèng)龍，畢雨，沈健 《網(wǎng)絡(luò)信息安全原理與技術(shù)》