站群系统的网络安全风险分析和防御体系研究
2016-12-31赵正利
姜 鹏 赵正利
站群系统的网络安全风险分析和防御体系研究
姜 鹏1赵正利2
1.中国海洋大学 网络与信息中心,山东 青岛 266100 2.中国海洋大学 教育系,山东 青岛 266100
讨论了影响大型网站群系统安全运行的来自网络的安全风险因素,在深入分析的基础上探讨多种解决方案,最终形成一套站群系统的安全运行体系。实践表明研究成果科学有效,对大型数据中心的日常运维也有一定参考价值。
网络信息;安全风险;站群;防御体系
引言
随着网络技术急速发展,各行业领域的信息化应用日益深入。大量机构利用网站群系统对外提供数据信息服务。
站群系统能够在统一管理后台基础上承载多个展现形态各异的子站运行。信息门户网站群平台可以快速地搭建多个信息相互关联的网站;每个站点可以拥有多套模板;在应用中确实给我们带来了便利及实用。同时集中的部署也造成了攻击目标的集中,而现阶段来自网络的攻击方式出现了大量新特性,因此网站群系统面临更多的网络安全风险。本文首先分析了常见网络攻击的方式,然后针对网站群的特点探讨了安全防御体系的构建过程[1]。
1 网络安全现状分析
(1)漏洞攻击。利用已知漏洞进行攻击已经成为最常见的攻击方式。
Web安全漏洞是指一个Web系统包括服务器、应用程序等组件在设计与实现过程中存在的容易被人攻击的安全缺陷[2]。此类攻击可以针对操作系统、中间件、软件系统等不同的级别。安全漏洞由于网站程序编写标准缺失、交互信息过滤不足、第三方软件自身漏洞等原因造成。这种攻击方式的资料容易在网络上获取,造成其攻击成本较低。
(2)拒绝服务攻击。在拒绝服务攻击发生时攻击者通过集中发送大量攻击流量来耗尽服务器和核心交换机的软硬件资源,从而使正常用户的请求无法被响应。
在更为棘手的情况下,攻击者利用分布式僵尸网络或大范围反弹式漏洞等发送大量垃圾包来阻塞机房总出口。这种近几年来新出现的攻击模式给精准防御带来了极大的困难。
(3)弱口令破解。此类攻击对用户名和密码进行暴力破解,往往在数据字典的构建中融入社会工程学原理。
由于站群系统的二级管理员较多且安全水平不一,因此此类古老的攻击方式仍然具有较高的成功率。攻击者在获取一个低等级权限的管理员账号后,通常会尝试以此为跳板入侵系统,进而逐步获取更高权限。
2 防御体系
(1)访问控制。对来访用户的IP和端口等进行控制,把内部系统和数据隔离在内网,只对外公开必要的服务端口。一般通过硬件防火墙、IPS或操作系统自带防火墙等进行防御,也可以在边界部署http流量缓冲服务器,只对外公开缓冲服务的端口,即加快访问的速度又有效地屏蔽了内部网络结构。
(2)流量过滤。安全设备对所有来自外部的流量包重组合分析,过滤其中的攻击、扫描和病毒等流量。流量过滤是主动安全防御体系的重要组成部分,常见的Web应用防火墙、入侵防御系统、威胁智能防御系统、DDOS防御设备具有不同侧重点的流量过滤功能。入侵检测系统根据检测方法可分为:基于知识的入侵检测和基于行为的入侵检测[3]。检测设备的特征值库和异常动作匹配算法会自动从权威源更新。根据用户的危险程度实施不同程度的拦截策略,一般分为异常流量丢弃、暂时限流、屏蔽访问、IP黑名单、多设备联动处理等层次。
管理员可以通过对特征值和拦截策略进行自定义配置来获取更优化的防护策略。其中拒绝服务攻击在规模较小时可依靠数据中心自身的防御设备进行压制,但在的极端情况下需要上级网络提供商在其边界上进行流量清洗。
(3)登录凭证管理及权限控制。后台登陆凭证安全分为几个技术层次进行防护。
在创建和修改二级管理员的时候强制贯彻密码复杂度的保护机制;在本地存储和网络传输身份数据时采用加密的方式;二级管理员和系统总管理员数据分区存储;限定某账号短时间内登录最大次数上限;限定单一IP或单客户端短时间内多账号尝试登陆次数;使用随机验证码机制;系统总管理员组登陆需要使用短信等额外的验证方式;详细记录所有账号登陆记录。网站群系统内做好细粒度的权限控制,对各级管理员赋予正常工作所需的最小权限。
做好信息的编辑、审核、发布、存档的分权限规范的落实工作。
(4)漏洞分析。一般通过漏洞扫描设备和自身系统审查来发现代码、数据库、中间件等的漏洞,也可以聘请第三方权威安全机构进行扫描分析和模拟攻击。
预先发现系统的漏洞可以有效减少系统后期安全的风险和投入。但漏洞的情况是随时间而变化的,新的漏洞随时可能被发现并公开在网络上,因此需要日常跟踪漏洞发布组织的安全信息,第一时间修补或采用临时措施屏蔽新发漏洞。
(5)日志备份分析。建立完整的日志归档分析系统是信息系统安全建设的基础。
通过对已有访问记录的分析可以及时发现潜在故障点和攻击企图。建立独立的Syslog服务器进行日志数据的收集。
预设两套自动处理机制,一套进行实时的攻击特征筛选,可以快速地向管理员发出告警信息;另外一套定期进行大数据筛选和统计,综合分析发现主要报错的原因和新发攻击的非常规访问等。其系统构建中大致可以分为3个模块:数据采集模块、数据处理模块、数据挖掘模块[4]。
(6)防篡改机制。防篡改系统可以在信息发生改变的时候,自动判别出是否为正常操作的结果,进一步保护和报警。信息系统通常采用两种方式来进行防篡改,一种是其本身带有防篡改模块,其优点在于投入的节省、部署的快捷和管理的集成。另外一种方式是采用外置的串接防篡改设备,其独立运行且性能较高,往往在旧系统安全加固、安全要求较高或统一安全管理多系统的情况下采用。
(8)备份机制。做好数据的备份工作,同时还要采取密码保护的方式对重要数据文件进行加密处理,这样即使数据丢失也不会造成信息的泄露[5]。日常备份通常采用全备份和增量备份相结合的方式在独立硬件上存储数据。
3 结语
现阶段,网络信息安全技术不断发展,在建立好高安全等级的网站群系统防御体系后也要时刻关注新的攻击技术变化趋势,不断调整和增加自己的安全措施。同时利用大数据分析技术综合分析流量过滤前记录、网站访问日志、域名解析日志等数据,尽量在入侵的初始阶段就发现异常行为并阻断。
[1]程罗德,孙涛,邢旭峰,等.高校信息门户网站群建设管理应用问题研究及对策[J].电脑知识与技术,2013(26):6034-6037.
[2]孙也.Web服务器安全防护技术分析与探讨[J].科技传播,2015,7(18).
[3]杨文茵,马莉,周灵,等.基于蜜罐与入侵检测技术的安全云架构方案[J].佛山科学技术学院学报:自然科学版,2015(6):64-69.
[4]董震江.关于计算机数据库入侵检测的探索[J].山东工业技术,2015(24):129-129.
[5]高博.关于计算机网络服务器的入侵与防御技术的探讨[J].电子技术与软件工程,2015(8):226-227.
Research on Network Security Risk and Defense System of Website Group
JIANG Peng1ZHAO Zhengli2
1.Ocean University of China ,NIC ,Shandong Qingdao 266100 2.Ocean University of China ,Department of Education ,Shandong Qingdao 266100
This paper discusses common factors of network security risk for the safe operation of large website group, and studies solutions on the basis of the in-depth analysis, finally formed a set of safety operation system of website group. Practice has proved that the research results of this paper are valid, and it provides a scientific reference for the operation and maintenance of large data center.
network information; security risk; website group; defense system
TP315
A
1009-6434(2016)08-0119-02