河北医科大学图书馆〔河北省石家庄市 050091〕 李仁玲

河北医科大学基础课教学部〔河北省石家庄市 050091〕 王建岭*

Web服务器是使用一个标准化的XM L消息机制,不依赖于任何操作系统和编程语言,通过互联网向用户提供服务的工具。目前,各图书馆为了延长服务时间和提高服务效果,都纷纷建立了Web服务网站。W eb服务器的任何服务都是在互联网上进行的。Web服务器的互操作性、自我控制和自我描述,使其适合于实现复杂的分布式服务。然而,互联网是一个很不安全的环境,病毒、攻击不断爆发,严重地威胁着Web服务器的设备和信息安全。由于Web服务器的可移动、不可靠、容易发生故障和易受各种攻击,因而面向服务的架构往往不稳定。能否经住入侵和故障的考验,Web服务器的可用性和生存能力非常重要。

图书馆W eb服务器在网络中不能完全杜绝故障或被攻击。为了使Web服务器在被入侵、数据遭到破坏的情况下,仍能有效得到控制,继续向合法用户提供不间断的服务,我们设计了多层入侵容错系统,利用多种网络安全技术形成不同层次的安全系统,预防、侦测、隔离和容错攻击,保障了 Web服务器的安全性和服务功能。

一、Web服务器常用安全防护工具

(一)Web服务器防火墙

Web服务器防火墙(WSF)是应用程序级网关,强制所有的连接都必须经过检查才能连接,保护内部网站资源免遭非法入侵。W eb服务器的大多数消息协议是 SOAP,基于XM L的信息格式包含用户请求和服务响应,与相关的 HTTP作为基本传输协议。恶意 SOAP消息有可能造成Web服务器损害,因此防止这类攻击的手段,是在 SOAP消息提交到Web服务器前验证该消息语法的完整性。W eb服务器防火墙可以防止无效或恶意请求的服务,阻止用于恶意目的的浏览器和 HTTP攻击行为,消除利用Web协议或应用程序漏洞发动的攻击。

(二)入侵检测系统 (IDS)

入侵检测系统通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。W eb服务器在运行一个服务操作后,入侵检测系统检查系统响应和状态迁移的有效性以确定下一步可接受的状态。而且,入侵检测系统还可以对保护的日志文件进行脱机审计,以发现系统异常活动。

(三 )入侵恢复

从入侵中得到恢复需要通过有效的恢复方法来实现。一般通过回卷机制和安全事件审计来恢复系统。Web服务器主机的回卷机制只允许W eb服务器授权操作策略许可的操作访问文件系统。回卷进程可以控制文件的访问,即使这个进程受到缓冲区溢出攻击了,回卷也能允许文件访问和防止未经授权的访问。一旦回卷失败,主机监视系统能立即通过安全事件审计系统检测到新创建的进程和每个文件访问。

二、Web服务器的多层入侵容错系统结构

图书馆W eb服务器都存在一些容易受攻击点。在系统可容忍的限度内,这些受攻击点并不会对系统的服务造成很坏的影响,系统仍能提供服务。在交互平台的网络环境中,入侵容忍能保证服务端在适当降低服务效率的情况下,仍能不间断地为客户端服务。这也是对服务端信誉的有力保证。不仅要考虑Web服务器的安全防护,还要考虑如何在受到入侵时仍能生存,并提供服务和保证系统的可用性、完整性和保密性。

为了使图书馆 Web服务器在不安全的网络环境中仍能稳定、可靠地提供服务,我们结合安全防护技术,设计了一个多层入侵容错系统。其结构如“图1”所示。 Web服务器防火墙 (W FS)接收用户请求,

图 1 Web服务器的多层入侵容错系统

使用特征库内已知的攻击模式和规则验证用户请求。只有通过验证的服务请求才可以放行,并将请求添加到系统日志中,以提交主服务器。主服务器的调度模块检测请示,并把请求提交给服务器的服务模块。

入侵检测系统通过审计日志文件来检测和警报异常行为,一旦发现入侵或可疑行为就立刻发出警报(包含服务 ID、报警结点)。该事件管理模块(EMG)接到报警后,根据Web服务列表查询受损结点,并拆除受损的结点列表。服务控制模块(RCFG)根据拆除的受损结点停止主服务器上的受损服务。当清除入侵故障后,入侵检测模块对受保护的日志文件进行攻击诊断。通过诊断确定是哪些请求引起的系统故障,提取这些请求的攻击特征并更新入侵检测攻击特征数据库。这样,系统就可以增强对以前未知的攻击的识别,防止它再次引起系统破坏。事件管理通过对恶意入侵请求信息进行分析,从服务状态迁移中提取入侵特征,更新防火墙攻击模式特征库,以防护类似攻击再次侵入。

Web服务器调度模块接收到服务请求后,判断此次服务 ID的服务级别是正常服务还是降级服务。如果是正常服务,则由 NS服务模块提供正常服务;若是降级服务,则由DS服务模块进行降级服务或只提供基本服务,使服务控制在一定范围内。在 Web服务器体系结构中,服务器上分布有若干传感器,负责监视服务器的运行状态以及其中关键数据的机密性和完整性。一旦传感器感知到服务系统的异常将向 RCFG进行报告。

RCFG根据服务状态测定服务器的服务水平。如果发现服务可疑,服务器将提供降级服务。如果服务水平不能满足Web服务,则由备份进行主服务器恢复或接替主服务器。由一个独立只读磁盘保留所有文件的拷贝,需要的时候再恢复到服务器上。在文件回卷没有成功时,可以取代受损、删除或修改过的所有文件。

RCFG模块包含服务请求和响应预定,并定期和不定期地进行检测。服务请求是随机的,通过比较服务的响应与预定义的响应集,如果有服务失败就能检测到。当检测到主服务器服务故障,服务器就可以恢复正常的服务。但这可能导致攻击重复利用这一漏洞使服务器反复恢复。

不过,这一问题可以得到解决。例如,该系统定义t1时刻启用恢复机制。t2时刻有一入侵I1发生,t3时刻入侵发动攻击。另一入侵 I2在t4时刻到来。检测系统在t5时刻发出报警。我们可以确定入侵属于t1～t5时刻间的请求集合,通过审计此间隔的日志文件排除已知合法请求,余下的作为可疑请求,可能是攻击。Web服务器防火墙可以暂时停止这些请求,避免系统再出现同样的故障。

三、 结 束 语

图书馆W eb服务器的多层入侵容错系统,结合传统的安全技术和容错技术,提供了有效的深度防御。它使图书馆Web服务器在存在攻击、故障和事故的环境中,一定程度容忍错误存在,使W eb服务器仍然能提供服务。这将大大提高图书馆Web服务器的生存能力,增强系统的可靠性。

[1]金键,张鸿,梁嘉华,等.W eb服务安全性分析 [J].微电子学与计算机,2004,(3)：19～ 25.

[2]张云英,努尔布力,王程明,等.入侵容忍综述 [J].吉林大学学报：信息科学版,2009,27(4)：289～ 395.

[3]Alysson,N.and Pau lo,S.and Miguel,C.Cheap Intrusion-Tolerant Protection for CRU TIAL Things[R],Department of Computer Science,University of Lisbon,2009,9.