李春麗

政府門戶網(wǎng)站往往通過一臺或幾臺服務(wù)器的方式為大眾提供服務(wù)，這種方式給人們帶來了很多便利，但這種開放式環(huán)境也提高了信息安全的風(fēng)險性、容易造成信息丟失，給心懷叵測者可乘之機。黑客、行業(yè)間諜、瘋狂的電腦技術(shù)愛好者能通過各種方式截獲網(wǎng)絡(luò)傳輸數(shù)據(jù)、入侵數(shù)據(jù)庫，對信息安全造成嚴重的威脅。因此，如何全方位地保護信息安全成為信息化建設(shè)的關(guān)鍵一環(huán)。

安全防護要“滴水不漏”

服務(wù)器安全是一個綜合系統(tǒng)問題，涉及網(wǎng)絡(luò)系統(tǒng)、主機系統(tǒng)兩個層次。網(wǎng)絡(luò)系統(tǒng)的模型是一個分層次的拓撲結(jié)構(gòu)，通常采用五層模型，即物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。主機系統(tǒng)又可以再分為兩個層次：操作系統(tǒng)、應(yīng)用服務(wù)。因此，服務(wù)器的安全防護需采用分層次的拓撲防護措施，即一臺服務(wù)器安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)與主機的各個層次，并且與安全管理相結(jié)合。

該安全解決方案具體從網(wǎng)絡(luò)和系統(tǒng)兩個方面采取措施進行防護。對于網(wǎng)站服務(wù)器群來說，一個完整立體的病毒防護機制是十分必要的。安全防護網(wǎng)絡(luò)中病毒的防護是建立在單位整體防病毒體系之上，對從Internet入口到所有計算機設(shè)備和網(wǎng)絡(luò)內(nèi)的服務(wù)器都要采取全方位病毒防護，而且需要在網(wǎng)絡(luò)中心設(shè)置政務(wù)網(wǎng)安全管理平臺。這樣可以使反病毒工作按照不同部門或地域的實際情況，分組設(shè)置反病毒管理工作。支撐性基礎(chǔ)設(shè)施的建設(shè)采取的技術(shù)安全措施主要有：控制訪問、過濾內(nèi)容、鑒別身份、管理授權(quán)、審計追蹤、數(shù)據(jù)加密、入侵分析、容災(zāi)備份、安全加固等方面。

層層遞進，構(gòu)建立體安全

網(wǎng)站管理本著“安全策略、安全管理和安全技術(shù)并重”的原則，針對各個應(yīng)用的具體特點，采取適當?shù)陌踩雷o策略，正確地選擇網(wǎng)絡(luò)安全產(chǎn)品。建立一套嚴密的安全體系解決方案，具體包括安全策略、安全管理制度和流程、安全技術(shù)措施、業(yè)務(wù)安全措施、內(nèi)部安全監(jiān)控和安全審計等方面，從而實現(xiàn)政府網(wǎng)站的全面安全防護。該體系架構(gòu)通過安全管理平臺將安全技術(shù)和管理相融合，并與網(wǎng)絡(luò)管理平臺相互聯(lián)動，通過統(tǒng)一管理界面對網(wǎng)絡(luò)安全系統(tǒng)的風(fēng)險進行可視化管理，同時依托安全服務(wù)業(yè)務(wù)確保該體系的持續(xù)改進。

網(wǎng)絡(luò)的“立體安全”防護

網(wǎng)絡(luò)安全防護主要包括網(wǎng)絡(luò)訪問控制、可疑網(wǎng)絡(luò)活動的檢測、網(wǎng)絡(luò)入侵防御等措施。目前網(wǎng)絡(luò)的安全防護主要通過硬件防火墻。防火墻可以通過訪問控制、安全過濾、抗攻擊、流量帶寬管理、防止非法入侵等功能提高安全等級。它可以實現(xiàn)用戶信息的訪問控制和安全防范、實現(xiàn)對網(wǎng)絡(luò)不同安全區(qū)域的隔離，達到可控訪問的目的。例如，入侵者如果打開了主機上某些被禁止的端口，由于防火墻并未開放該端口，因此入侵者仍然不可以使用該端口進行內(nèi)外網(wǎng)之間的通訊，防止了內(nèi)部資源或數(shù)據(jù)的外泄。雖然防火墻只能提供被動的、靜態(tài)的保護，所提供的安全級別較低，但與網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）、主機入侵檢測系統(tǒng)（HIDS）、數(shù)據(jù)安全、機群安全管理4個層面互相配合，可全面提升計算機群的安全等級。

網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）能監(jiān)視網(wǎng)絡(luò)流量，通過偵聽特定網(wǎng)段的數(shù)據(jù)包，實現(xiàn)對該網(wǎng)段實時監(jiān)視，以便發(fā)現(xiàn)可疑連接和非法訪問的闖入等防范網(wǎng)絡(luò)層至應(yīng)用層的各種惡意攻擊和誤操作。網(wǎng)絡(luò)入侵檢測系統(tǒng)通過與防火墻聯(lián)動，對網(wǎng)絡(luò)數(shù)據(jù)包的過濾和訪問控制，將訪問限制在網(wǎng)絡(luò)被允許的主機（IP地址）和應(yīng)用服務(wù)（端口），從而極大地縮小所需管理的安全范圍。

因此，專用防火墻、網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）和主機入侵檢測系統(tǒng)（HIDS）、VPN（虛擬專用網(wǎng)絡(luò)）功能、機群綜合管理的全方位“立體安全”解決方案，將為局域網(wǎng)或局域網(wǎng)中的特定區(qū)域提供多方面的保護。

主機的“立體安全”防護

網(wǎng)站主機系統(tǒng)防護主要是通過服務(wù)器操作系統(tǒng)的安全設(shè)置，及借助第三方安全硬件或者軟件來對主機進行防護。一般來說，主要有禁用主機上沒用的服務(wù)端口、設(shè)置殺毒軟件、軟件版本的應(yīng)用防火墻、防篡改系統(tǒng)、配置主機入侵檢測系統(tǒng)、配置安全審計系統(tǒng)等手段來實現(xiàn)抵御外部產(chǎn)生的威脅。

配置主機入侵檢測系統(tǒng)（HIDS）。假設(shè)網(wǎng)絡(luò)中的某臺主機受到了攻擊并成為攻擊的中轉(zhuǎn)站，入侵者通過對被攻破的主機系統(tǒng)進行修改，掩藏自己并對網(wǎng)絡(luò)中其它主機發(fā)動攻擊。這些行為是網(wǎng)絡(luò)入侵檢測系統(tǒng)無法解決的，這時就需要完善主機防護系統(tǒng)。主機入侵檢測系統(tǒng)（HIDS）能防范對主機系統(tǒng)文件的惡意纂改和誤操作，實時監(jiān)視可疑連接、系統(tǒng)日志定期檢查，用戶行為掃描，發(fā)現(xiàn)非法訪問闖入等。因此主機入侵檢測系統(tǒng)可更好地彌補網(wǎng)絡(luò)入侵檢測系統(tǒng)的盲區(qū)，二者形成互補，繞過防火墻的攻擊行為進行防御和細粒度的檢測，實現(xiàn)從網(wǎng)絡(luò)到主機的全面防護。

配置安全審計系統(tǒng)，能夠?qū)W(wǎng)絡(luò)中發(fā)生的所有事件進行忠實地記錄和取證，即使黑客在主機上抹去了入侵的紀錄，安全審計系統(tǒng)也可以提供詳細的入侵過程紀錄。

數(shù)據(jù)的“立體安全”防護

服務(wù)器大多數(shù)都是用于日常工作或重要數(shù)據(jù)處理，因此其原始資料、計算結(jié)果等都屬于安全敏感數(shù)據(jù)，可以說服務(wù)器中所存儲的數(shù)據(jù)價值遠遠超過了它本身的價值。因此，這些數(shù)據(jù)的安全存儲和安全備份顯得格外重要，基于Cluster機群技術(shù)的雙機備份解決方案，主要用于對雙服務(wù)器實行監(jiān)控的容錯軟件和作為數(shù)據(jù)存儲設(shè)備的系列磁盤陣列柜，通過軟硬件兩部分的緊密配合，為數(shù)據(jù)安全提供雙重的保護。

敏感數(shù)據(jù)在局域網(wǎng)、互聯(lián)網(wǎng)中傳輸時極易被竊取、篡改，因此需要利用防火墻的虛擬專用網(wǎng)絡(luò)（VPN-Virtual Private Network）解決數(shù)據(jù)傳輸中的安全問題。VPN是指在公眾網(wǎng)絡(luò)上所建立的企業(yè)網(wǎng)絡(luò)，此網(wǎng)絡(luò)擁有與專用網(wǎng)絡(luò)相同的安全、管理等功能，能實現(xiàn)互聯(lián)網(wǎng)用戶和局域網(wǎng)用戶、服務(wù)器接口之間的安全通訊。它替代傳統(tǒng)的撥號訪問，利用Internet公網(wǎng)資源作為企業(yè)專網(wǎng)的延續(xù)，通過加密、認證、數(shù)字簽名等保證數(shù)據(jù)的安全性、完整性。VPN在立體安全中的應(yīng)用為關(guān)鍵數(shù)據(jù)的傳輸建起了一個高安全的專用數(shù)據(jù)傳輸通道，成為立體安全極為重要的一部分。

建立統(tǒng)一安全監(jiān)控平臺

安全監(jiān)控平臺包括安全管理和網(wǎng)絡(luò)管理兩大平臺。其中，安全管理平臺的管理對象主要是網(wǎng)絡(luò)安全系統(tǒng)與設(shè)備，比如防火墻、入侵檢測、病毒防護系統(tǒng)、終端安全管理、漏洞掃描系統(tǒng)等；網(wǎng)絡(luò)管理平臺的管理對象主要包括路由器、服務(wù)器以及網(wǎng)絡(luò)交換機等。安全管理平臺能夠收集來自于網(wǎng)絡(luò)管理平臺的設(shè)備狀態(tài)等信息，之后通過統(tǒng)一的管理界面進行展現(xiàn)。

引入第三方安全廠商的服務(wù)

安全體系建設(shè)的根本目標是為了保障信息應(yīng)用的業(yè)務(wù)系統(tǒng)的持續(xù)可靠運行，服務(wù)支持體系的建設(shè)對系統(tǒng)穩(wěn)健運行有重要支持作用。

通過引進第三方安全廠商的服務(wù)支持體系，比如網(wǎng)站的全天候訪問監(jiān)控，頁面監(jiān)控服務(wù)等，可以發(fā)揮安全產(chǎn)品的功能最大化及不斷提升信息安全保障水平。

整體來看，網(wǎng)站安全應(yīng)該將安全保障與自身特點進行深度融合，等同于公式：管理+技術(shù)+服務(wù)=縱深立體防護。安全管理、安全技術(shù)、服務(wù)支持三劍合璧相互聯(lián)動、相得益彰，可以進一步增強政府網(wǎng)站主動防御及持續(xù)服務(wù)能力，為網(wǎng)上信息公開服務(wù)提供有效保障。

（作者單位： 江西省信息中心）