文/徐昕 罗少康

某网络系统中互联网服务区的安全防护

文/徐昕1罗少康2

为了满足某单位网络系统业务对于互联网服务区中安全防护的需要，在充分了解此单位所涉及网络系统、网络安全、信息系统及信息安全现状的前提下，并进行完风险评估后，通过建立信息安全管理体系，提高互联网服务区中信息系统整体安全防护的水平，防止不安全事件的发生，最大限度降低安全问题所带来的损失，降低信息安全管理成本。具体通过安全保障体系框架的建设保证结构安全，通过安全设备的部署降低网站安全风险事件的发生，为承载其互联网业务应用系统的基础的互联网服务区，提供安全、稳定、高效的基础网络环境，并辅以有效的网络管理手段，也可提升其它业务应用的服务水平及质量。

网络安全 区域网络防护

某单位是在整合归并时由于客观条件限制，并未对整个网络结构进行相应的整合，只是简单的互联。但是由于原本网络系统建设时间早、业务应用复杂、外联网络较多。许多业务都是随着信息化的发展而后增加的，这样就造成缺乏统一的全局规划。导致在信息安全方面，虽然某单位网络系统早已引入了区域管理的概念，配备了必要的安全设备，在信息安全工作上也取得了一定的成效，但区域划分相对简单粗犷，防护则侧重于重要信息安全系统，具有片面性。由于系统建设时间早，设备老化比较严重。为了满足业务需要，部分设备跨区域使用，存在安全隐患。

在充分了解某单位所涉及信息系统及信息安全现状的前提下，在进行完差距分析及风险评估后，根据《GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求》的要求，对信息安全等级保护要求进行整改方案的设计，以适应将来等级保护的要求，落实国家及行业的信息安全等级保护政策、标准，提升信息系统的安全防御能力，增强系统管理人员的安全意识，提升某单位在信息系统安全管理、维护的层次，保证核心信息业务系统和网络的安全稳定运行。在技术建设上，确立自身信息安全符合等级保护策略及安全管理基线，通过采取对IT运维人员的安全认证与控制审计措施，实现对其全访问的控制及操作行为的记录审计；建立起信息安全管理体系，提高信息系统整体安全防护的水平，预防安全事件发生，最大限度降低安全问题所带来的损失，降低信息安全管理成本。具体技术方面目标如下：

1 政策与标准合规性保障

信息系统安全保障体系（等级保护二级）的建设过程及其成果完全依据核心业务信息系统特点、国家政策标准重要指导；确保建设完毕后符合公安测评单位检查要求。

2 构建适度安全保障体系

确保某单位信息系统在存储、传输和使用过程中安全，确保核心业务系统持续、稳定的运行，确保重要业务操作行为可审计，抵御恶意攻击、恶意代码、病毒等对信息系统攻击与破坏，防止对信息系统资源的非法、非授权访问。

3 提升安全风险的控制和评价能力，以及监管效率

提升系统事前--＞事中--＞事后的综合防护能力和风险处置效率；明确包含针对突发事件及敏感时期信息的安全反应和自评估能力；扩展等级保护标准对于行业适用程度和附加收益。

基于上述研究目标，我们需要从以下几个方面对网络安全完善工作进行研究：

3.1 建设安全保障体系框架

安全保障体系框架根据等级保护二级基本要求，参照国内外相关标准，并结合某单位已有网络与信息安全体系建设的实际情况，最终形成依托于安全保护对象为基础，纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系，一个中心，三重防护”的安全保障体系框架。

3.1.1 “三个体系”

信息安全管理体系、信息安全技术体系和信息安全运行服务体系，把等级保护基本要求的控制点结合某单位实际情况形成相适应的体系结构框架；

3.1.2 “一个中心”

信息安全管理中心，实现安全的统一监控、分析及处理；

3.1.3 “三重防护”

安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施，把安全技术控制措施与安全保护对象相结合。

3.2 保证结构安全

为了保障某单位网络安全防护，同时实现某单位信息系统的等级化划分与保护，需要依据等级保护二级的相关原则规划与区分不同安全保障对象，并根据保障对象设定不同业务功能及安全级别的安全区域，以根据各区域的重要性进行分级的安全管理。

某单位信息系统需根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级。信息系统是进行等级保护管理的最终对象，为体现重点保护重要信息系统安全，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则。

3.3 互联网服务区防护

某单位对外提供服务的门户网站，对外链接是通过电信接入Internet，内部有网站应用服务器等，对内与区域汇聚交换机链接。

3.3.1 网站安全风险

网站系统IP地址暴露在Internet能够直接被外部用户访问，不能有效对网站服务器进行屏蔽；外网IP地址资源紧张，如果所有对外提供服务的服务器均采用外网IP将极大提高网站运行费用；

目前针对于网站系统的挂马攻击、SQL注入攻击、XSS跨站点脚本攻击、DDOS分布式拒绝攻击，在这些类型的攻击下轻则网站服务瘫痪、页面被篡改，重则某单位网站数据被窃取；同时攻击者可以通过网站系统直接威胁某单位内部业务系统和数据库系统；

服务器操作系统未及时修补系统漏洞不定导致的病毒感染、服务中断的风险；

因网站访问量增加导致的网络访问速度下降，因Web服务器组宕机导致的对外服务提供的中断。

3.3.2 网站安全防护

网站安全防护部署图如图1所示。

图1

3.3.2.1 部署防火墙

该防火墙主的作用是将内部对外提供服务的IP地址发布到Internet上，使Internet用户能够访问内部网络资源；通过防火墙地址转换功能同时也能解决公网IP地址不足的问题；同时通过防火墙策略配置能够达到在逻辑上屏蔽外网地址对DMZ区其他服务器的非法访问。

3.3.2.2 部署入侵防御

通过虽网络数据包的分析和含正则表达式入侵特征库的匹配能够准确的检测来自于合法IP、端口已知的入侵行为，并能够实时阻断攻击；统过对入侵行为分析检测出未知的各种攻击形式，实时阻断黑客攻击；探测出已知和未知的蠕虫、病毒及恶意代码，准确定位传染源，并能够阻断蠕虫通过网络进行传播。

3.3.2.3 部署Web应用防火墙

通过使用Web服务器的网页防篡改功能，能够及时发现并恢复被篡改的网页从而能够很好保护某单位对外宣传形象；通过对Web应用数据进行实时智能压缩，改善终端用户性能，降低带宽消耗。WebCache™引擎对静态应用内容的高速缓存，显著减少服务器负载。双向TCP连接池和高效复用算法将上千短连接优化为少量持久的服务器连接，减轻服务器压力，改善服务器性能，提高应用响应速度，降低服务延迟，提高用户访问体验、降低电信宽带租用费；抗拒绝服务攻击（DOS）算法，可防御各类拒绝服务攻击，如SYN Flood，UDP Flood，ICMP Flood等的攻击行为能够有效识别，并对该攻击流量进行阻断，保护Web业务系统的可用性及延续性；通过对HTTP、https协议细粒度的访问控制强化数据有效性防护达到对跨站点脚本攻击（XSS）、SQL注入攻击、跨站请求伪造、网页挂马、盗链等威胁的防护，提供Web应用或网站的基本安全保障

3.3.2.4 部署负载均衡器

两台负载均衡设备工作在冗余模式下，通过网络相互检查各自的工作状态，为其所管理的应用保障完全的网络可用性；以唯一的IP地址作为所有提供相同服务的服务器的逻辑入口点。负载均衡交换机具有灵活的流量分配算法与机制，以确保用户总能访问可以为其提供最优服务的服务器。通过部署高性能的负载均衡产品，能够及时发现所负载均衡的各服务器的健康状况，当某台服务器出现故障时，保证把后续用户的访问导向到正常运行的服务器上去。针对基于会话的业务，可以提供多种会话保持机制，确保用户在处理业务时的连续性。应具备带宽管理功能，在流量拥塞的情况下，保障优先等级最高的业务具有相应的带宽资源。

综上所述，本研究为重新规划整理现有网络基础，提高现有网络系统中互联网服务区的安全性、稳定性、可扩展性，通过专业的网络管理系统，可有效提供管理效率及水平。本系统是承载其互联网业务应用系统的基础，提供安全、稳定、高效的基础网络环境，并辅以有效的网络管理手段，也可提升其它业务应用的服务水平及质量。

作者单位1.仪电物联技术股份有限公司 上海市200233
2.云南省公路开发投资有限责任公司高速公路运营管理中心 云南省昆明市 650228

徐昕（1981-），男，上海市人。大学本科学历。现任职于仪电物联技术股份有限公司，研究方向为NGB骨干网QoS保证。

罗少康（1979-），男，大学本科学历。高级工程师。现任职于云南省公路开发投资有限责任公司高速公路运营管理中心。研究方向为公路工程管理。