章 亮

杭州日报报业集团

下一代报业数据中心信息安全防御体系建设

章 亮

杭州日报报业集团

一、引言

二、传统报业信息化发展和数据中心网络架构、信息安全现状

现阶段大多数报社的网络结构、信息化水平都是从无到有，从简单的电脑之间的互联到星型结构的互联，从服务器和电脑时代走向数据中心时代。报业的技术进步和信息化，报业的生产模式，也开始进行了变革。同时不断的受到互联网不同程度的攻击。也许上一个时代报业注重新媒体的发展，平台的建设、功能的实现、运营模式的建立，那么在互联网+的时代到来我们要如何保障我们服务器和网络架构的安全是摆在我们报业信息技术人员当前的首要任务。传统的报业网络结构环境已经不能满足新媒体的需求，

三、互联网+新时代，新安全

什么是入侵防御、下一代防火墙

入侵防御：准确监测网络异常流量，自动应对各层面安全隐患，第一时间将安全威胁阻隔在报社网络外部。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御。它的体系架构包括三个主要组件：网络引擎、管理模块、安全响应模块，方便各种网络环境的灵活部署和管理。

下一代防火墙(Next-Generation Application Firewall)：NGAF面向应用层设计，能够精确识别用户、应用和内容，具备完整的L2-L7层的安全防护体系，强化了在Web层面的应用防护能力，不仅能够全面替代传统防火墙，并具在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。

四、构建杭报集团下一代数据中心安全防御体系设计方案

杭报集团的网络规模庞大，结构相对复杂，不仅有总部，还有各地的分支机构、印务中心，既要保护网络边界的安全，同时又要保护报社总部内网的安全。针对杭报集团的网络特点，我们分别建立了多个安全区域，每个安全区域的功能分别不同。通过IPS和下代防火墙，进行混合防护的解决方案：

1、IDC互联网直连区域：WEB页面发布到互联网，通过互联网独立发布，禁止和任何区域互联。

2、13 楼-DMZ区域：WEB页面发布通过到下代防火墙进行L2-L7层防御，13楼-DMZ区域访问13服务器区域通过下一代防火墙连接做精细化安全策略控制并经过L2-L7层防御，内网数据可以访问13楼-DMZ区域。

3、IDC独立发布区域：WEB页面发布通过到下代防火墙进行L2-L7层防御，禁止IDC独立发布区域与内网互联。

4、IDC-DMZ区域：WEB页面发布通过到下代防火墙进行L2-L7层防御，IDC-DMZ区域访问13服务器区域通过下一代防火墙连接做精细化安全策略控制并经过L2-L7层防御，内网数据可以访问IDC-DMZ区域。

“其次是由于运作不规范。”财务核算和内控基础薄弱、现金交易多、关联交易复杂、大股东资金占用、信息披露瑕疵或偏差等。新三板IPO要成功就得业绩好且真实性经得起检验、运作规范。宋彬说：“只有这两条满足了，就不用担心过会问题了。”

5、IDC-服务器区域：内部应用服务器区域，主要针对内网的系统应用，禁止此区域内任何服务器发布到互联网提供对外服务。

6、13 楼内网服务器区域：内部应用服务器区域，主要针对内网的系统应用，禁止此区域内任何服务器发布到互联网提供对外服务。

7、在报社总部互联网出入口处在线部署IPS入侵防御系统，实现路由防护，提供互联网的从网络层、应用层到内容层的深度安全防护。

8、在报社总部内部网段与IDC数据中心网络之间在线部署下一代防火墙，提供透明接入的、独立多路IPS入侵防御系统一进一出的、交换式IPS多进多出的全方位、立体式的安全防护体系，实现IDC数据中心的安全区域划分和控制。

五、防御效果

1、可视的网络安全情况，通过应用可视化引擎制定的L4-L7一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。

2、IPS防护效果。NGAF的灰度威胁关联分析引擎具备4000+条漏洞特征库、3000+Web应用威胁特征库，可以全面识别各种应用层和内容级别的单一安全威胁；

3、SQL注入防护效果：SQL注入攻击产生的原因是由于在开发web应用时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。NGAF可以通过高效的URL过滤技术，过滤SQL注入的关键信息，从而有效的避免网站服务器受到SQL注入攻击。

4、跨站脚本攻击防护效果：跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码，从而达到特殊目的。NGAF通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的跨站攻击的恶意代码，从而保护用户的WEB服务器安全。

5、URL防护效果：Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系统，但是这种便利很可能会被黑客利用从而入侵应用系统。通过NGAF提供的受限URL防护功能，帮助用户选择特定URL的开放对象，防止由于过多的信息暴露于公网产生的威胁。

6、Webshell防护效果：WebShell就是以asp、 php、 jsp 或者 cgi等网页文件形式存在的种命令执行环境，也可以称为种网页后门。黑客在入侵了网站后，通常会将这些 asp、 php、 aspx、 jsp 后门文件与网站服务器 WEB 目录下正常的网页文件混在起，然后就可以使用浏览器来访问这些后门，得到命令执行环境，以达到控制网站服务器的目的(可以上传下载文件、查看数据库、执行任意程序命令等)。

六、总结

随着信息化程度的提高，报业集团的日常运作越来越依赖于网络平台。目前报业的内部网大都直接或间接地连接到了互联网上。互联网在带来通信与共享方便和快捷的同时，也带来了病毒和黑客。信息网络安全必须引起足够的重视。我们需要着重强调的是，任何报社的安全解决方案决不是安全产品的堆积，而是要根据各个报社实际情况制定出一套网络安全策略的体系，处理好投入与安全之间的关系，处理好安全产品和安全管理之间的关系，处理好方便使用与严格执行安全措施的关系。不能因安全问题限制了发展。内外网安全分离的管理方式应该有所改变。

[1]李贵华《企业信息安全需要下一代防火墙护航》

[2]清水《下一代防火墙：更高速 更智能》

[3]王梦龙，毕雨，沈健 《网络信息安全原理与技术》