全方位"立體"防護政府門戶網站

李春麗

政府門戶網站往往通過一臺或幾臺服務器的方式為大眾提供服務，這種方式給人們帶來了很多便利，但這種開放式環(huán)境也提高了信息安全的風險性、容易造成信息丟失，給心懷叵測者可乘之機。黑客、行業(yè)間諜、瘋狂的電腦技術愛好者能通過各種方式截獲網絡傳輸數(shù)據(jù)、入侵數(shù)據(jù)庫，對信息安全造成嚴重的威脅。因此，如何全方位地保護信息安全成為信息化建設的關鍵一環(huán)。

安全防護要“滴水不漏”

服務器安全是一個綜合系統(tǒng)問題，涉及網絡系統(tǒng)、主機系統(tǒng)兩個層次。網絡系統(tǒng)的模型是一個分層次的拓撲結構，通常采用五層模型，即物理層、數(shù)據(jù)鏈路層、網絡層、傳輸層、應用層。主機系統(tǒng)又可以再分為兩個層次：操作系統(tǒng)、應用服務。因此，服務器的安全防護需采用分層次的拓撲防護措施，即一臺服務器安全解決方案應該覆蓋網絡與主機的各個層次，并且與安全管理相結合。

該安全解決方案具體從網絡和系統(tǒng)兩個方面采取措施進行防護。對于網站服務器群來說，一個完整立體的病毒防護機制是十分必要的。安全防護網絡中病毒的防護是建立在單位整體防病毒體系之上，對從Internet入口到所有計算機設備和網絡內的服務器都要采取全方位病毒防護，而且需要在網絡中心設置政務網安全管理平臺。這樣可以使反病毒工作按照不同部門或地域的實際情況，分組設置反病毒管理工作。支撐性基礎設施的建設采取的技術安全措施主要有：控制訪問、過濾內容、鑒別身份、管理授權、審計追蹤、數(shù)據(jù)加密、入侵分析、容災備份、安全加固等方面。

層層遞進，構建立體安全

網站管理本著“安全策略、安全管理和安全技術并重”的原則，針對各個應用的具體特點，采取適當?shù)陌踩雷o策略，正確地選擇網絡安全產品。建立一套嚴密的安全體系解決方案，具體包括安全策略、安全管理制度和流程、安全技術措施、業(yè)務安全措施、內部安全監(jiān)控和安全審計等方面，從而實現(xiàn)政府網站的全面安全防護。該體系架構通過安全管理平臺將安全技術和管理相融合，并與網絡管理平臺相互聯(lián)動，通過統(tǒng)一管理界面對網絡安全系統(tǒng)的風險進行可視化管理，同時依托安全服務業(yè)務確保該體系的持續(xù)改進。

網絡的“立體安全”防護

網絡安全防護主要包括網絡訪問控制、可疑網絡活動的檢測、網絡入侵防御等措施。目前網絡的安全防護主要通過硬件防火墻。防火墻可以通過訪問控制、安全過濾、抗攻擊、流量帶寬管理、防止非法入侵等功能提高安全等級。它可以實現(xiàn)用戶信息的訪問控制和安全防范、實現(xiàn)對網絡不同安全區(qū)域的隔離，達到可控訪問的目的。例如，入侵者如果打開了主機上某些被禁止的端口，由于防火墻并未開放該端口，因此入侵者仍然不可以使用該端口進行內外網之間的通訊，防止了內部資源或數(shù)據(jù)的外泄。雖然防火墻只能提供被動的、靜態(tài)的保護，所提供的安全級別較低，但與網絡入侵檢測系統(tǒng)（NIDS）、主機入侵檢測系統(tǒng)（HIDS）、數(shù)據(jù)安全、機群安全管理4個層面互相配合，可全面提升計算機群的安全等級。

網絡入侵檢測系統(tǒng)（NIDS）能監(jiān)視網絡流量，通過偵聽特定網段的數(shù)據(jù)包，實現(xiàn)對該網段實時監(jiān)視，以便發(fā)現(xiàn)可疑連接和非法訪問的闖入等防范網絡層至應用層的各種惡意攻擊和誤操作。網絡入侵檢測系統(tǒng)通過與防火墻聯(lián)動，對網絡數(shù)據(jù)包的過濾和訪問控制，將訪問限制在網絡被允許的主機（IP地址）和應用服務（端口），從而極大地縮小所需管理的安全范圍。

因此，專用防火墻、網絡入侵檢測系統(tǒng)（NIDS）和主機入侵檢測系統(tǒng)（HIDS）、VPN（虛擬專用網絡）功能、機群綜合管理的全方位“立體安全”解決方案，將為局域網或局域網中的特定區(qū)域提供多方面的保護。

主機的“立體安全”防護

網站主機系統(tǒng)防護主要是通過服務器操作系統(tǒng)的安全設置，及借助第三方安全硬件或者軟件來對主機進行防護。一般來說，主要有禁用主機上沒用的服務端口、設置殺毒軟件、軟件版本的應用防火墻、防篡改系統(tǒng)、配置主機入侵檢測系統(tǒng)、配置安全審計系統(tǒng)等手段來實現(xiàn)抵御外部產生的威脅。

配置主機入侵檢測系統(tǒng)（HIDS）。假設網絡中的某臺主機受到了攻擊并成為攻擊的中轉站，入侵者通過對被攻破的主機系統(tǒng)進行修改，掩藏自己并對網絡中其它主機發(fā)動攻擊。這些行為是網絡入侵檢測系統(tǒng)無法解決的，這時就需要完善主機防護系統(tǒng)。主機入侵檢測系統(tǒng)（HIDS）能防范對主機系統(tǒng)文件的惡意纂改和誤操作，實時監(jiān)視可疑連接、系統(tǒng)日志定期檢查，用戶行為掃描，發(fā)現(xiàn)非法訪問闖入等。因此主機入侵檢測系統(tǒng)可更好地彌補網絡入侵檢測系統(tǒng)的盲區(qū)，二者形成互補，繞過防火墻的攻擊行為進行防御和細粒度的檢測，實現(xiàn)從網絡到主機的全面防護。

配置安全審計系統(tǒng)，能夠對網絡中發(fā)生的所有事件進行忠實地記錄和取證，即使黑客在主機上抹去了入侵的紀錄，安全審計系統(tǒng)也可以提供詳細的入侵過程紀錄。

數(shù)據(jù)的“立體安全”防護

服務器大多數(shù)都是用于日常工作或重要數(shù)據(jù)處理，因此其原始資料、計算結果等都屬于安全敏感數(shù)據(jù)，可以說服務器中所存儲的數(shù)據(jù)價值遠遠超過了它本身的價值。因此，這些數(shù)據(jù)的安全存儲和安全備份顯得格外重要，基于Cluster機群技術的雙機備份解決方案，主要用于對雙服務器實行監(jiān)控的容錯軟件和作為數(shù)據(jù)存儲設備的系列磁盤陣列柜，通過軟硬件兩部分的緊密配合，為數(shù)據(jù)安全提供雙重的保護。

敏感數(shù)據(jù)在局域網、互聯(lián)網中傳輸時極易被竊取、篡改，因此需要利用防火墻的虛擬專用網絡（VPN-Virtual Private Network）解決數(shù)據(jù)傳輸中的安全問題。VPN是指在公眾網絡上所建立的企業(yè)網絡，此網絡擁有與專用網絡相同的安全、管理等功能，能實現(xiàn)互聯(lián)網用戶和局域網用戶、服務器接口之間的安全通訊。它替代傳統(tǒng)的撥號訪問，利用Internet公網資源作為企業(yè)專網的延續(xù)，通過加密、認證、數(shù)字簽名等保證數(shù)據(jù)的安全性、完整性。VPN在立體安全中的應用為關鍵數(shù)據(jù)的傳輸建起了一個高安全的專用數(shù)據(jù)傳輸通道，成為立體安全極為重要的一部分。

建立統(tǒng)一安全監(jiān)控平臺

安全監(jiān)控平臺包括安全管理和網絡管理兩大平臺。其中，安全管理平臺的管理對象主要是網絡安全系統(tǒng)與設備，比如防火墻、入侵檢測、病毒防護系統(tǒng)、終端安全管理、漏洞掃描系統(tǒng)等；網絡管理平臺的管理對象主要包括路由器、服務器以及網絡交換機等。安全管理平臺能夠收集來自于網絡管理平臺的設備狀態(tài)等信息，之后通過統(tǒng)一的管理界面進行展現(xiàn)。

引入第三方安全廠商的服務

安全體系建設的根本目標是為了保障信息應用的業(yè)務系統(tǒng)的持續(xù)可靠運行，服務支持體系的建設對系統(tǒng)穩(wěn)健運行有重要支持作用。

通過引進第三方安全廠商的服務支持體系，比如網站的全天候訪問監(jiān)控，頁面監(jiān)控服務等，可以發(fā)揮安全產品的功能最大化及不斷提升信息安全保障水平。

整體來看，網站安全應該將安全保障與自身特點進行深度融合，等同于公式：管理+技術+服務=縱深立體防護。安全管理、安全技術、服務支持三劍合璧相互聯(lián)動、相得益彰，可以進一步增強政府網站主動防御及持續(xù)服務能力，為網上信息公開服務提供有效保障。

（作者單位： 江西省信息中心）