摘 要：电子政务网站（gov.cn）是政府职能部门信息化建设的重要内容，主要实现政务信息公开、在线办事、政民互动的三大功能定位。

传统解决方案对于新形势下的应用安全威胁应对乏力：根据 Gartner 的研究报告，未来的安全应该是防御、检测、响应三者并存，立体化联动防御机制。目前信息安全攻击有 75% 以上都是发生在 Web 应用层，而目前超过2/3的 Web 站点都相当脆弱，易受攻击，这些攻击形式多种多样，手法也越来越隐匿，我们往往需要去对多台安全设备中记录的日志进行大量的日分析，进而去配置针对性的策略，这无疑对安全运维人员的水平提出了很高的要求。在新形势下，需要一种更便捷、更有效、性价比更高的安全交付方式。

关键词：网站安全 态势感知 风险评估 实时监测 攻击防护

前言

电子政务网站包含Web服务器、存储服务器、数据库服务器等多种类型的业务服务器，向internet、intranet等多个区域提供服务，电子政务网站要面临来自内外网多个区域的安全威胁，其安全保障意义重大。

托管式安全防护方案通过“云眼和云盾” 两大模块联动组成，构建“防御、检测、响应”三维一体的网站综合“动态防御”安全体系。近年来，国内外网络安全形势更加恶劣，境内、境外攻击者及攻击组织对我国重要信息系统的攻击更加频繁，信息系统上面临的安全攻击也更加频繁、形势也更加严峻。2016年4月19日，习近平在网络安全与信息化工作座谈会的讲话中提出“网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。要树立正确的网絡安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力”的相关建议，要求在信息化关键基础设施的防御体系、监测体系和整体态势感知能力上有大幅提升。

1.设计原则

托管式安全服务解决方案设计遵循以下主要原则：

1）整体性原则：通过应用系统工程的观点、方法，分析网络系统安全防护、监测和应急恢复，从而在进行安全规划设计时应充分考虑各种安全配套措施的整体一致性。

2）符合性原则：信息安全体系建设要符合国家的有关法律法规和政策精神，以及行业有关制度和规定，同时应符合有关国家技术标准，以及行业的技术标准和规范；

3）均衡性原则：安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相融，寻找安全风险与实际需求之间的一个均衡点；

4）有效性与实用性原则：信息安全系统不能影响业务系统正常运行和合法用户的操作。在进行网络安全策略设计时，要综合考虑实际安全等级需求与项目经费承受能力的因素；

5）动态化原则：随环境、条件、时间的变化，安全防护策略不可能一步到位，信息安全系统应能适应变化，采取更先进的检测和防御措施，增强安全冗余设备，提高安全系统的可用性；

6）统筹规划分步实施：信息安全防护策略的部署既要考虑满足当前网络系统及信息安全的基本需求，也要统筹考虑后续系统的建设及网络应用的复杂程度的变化，做到可适应性的扩充和调整；

7）数据安全：实现大数据平台中敏感数据的分级、分类管理、防护策略。

8）采用开放技术兼容原有系统数据。

2.设计方案及功能

2.1设计方案

2.1.1基于WEB应用的防护设计

通过在Web应用前端部署WAF（Web防火墙），保护Web应用，对网站或者APP的业务流量进行恶意特征识别及防护，针对Web安全的诸如SQL注入攻击、跨站脚本攻击、扫描攻击、Web Shell木马上传、远程文件包含攻击、缓冲区溢出攻击、敏感信息泄露等漏洞攻击的安全规则对从客户到网站服务器的访问流量和从网站服务器到客户的响应流量进行双向安全过滤，来防止因网站被攻击而导致网站被恶意篡改、恶意仿冒、敏感信息泄露、网站服务器被控制等事件的发生。

2.1.2安全审计和溯源取证设计

1）安全审计

云和虚拟化安全防护系统提供全面的系统日志和详尽的报告功能，收集超过 100种日志文件格式的操作系统和应用程序日志并进行分析，以确认数据中心内是否存在可疑行为、安全事件和管理事件，通过对日志进行分析可以让管理员跟踪IT基础设施的活动，评估服务器数据泄密事件是否发生、如何发生、何时发生、在何处发生的有效方法。同时支持将事件转发至安全管理平台（SOC）系统或集中式日志服务器进行关联、报告和存档

2.2实现功能

2.2.1态势感知

系统为用户提供了两个维度的态势感知能力。一方面，系统从安全本身的发展变化入手，通过对事件和威胁的分析来评估当前网络的整体安全态势，分为地址熵态势分析、热点事件分析和威胁态势分析；另一方面，系统从客户借助系统达成的安全管理水平入手，通过对一系列管理指标的度量，来评估当前某个网络区域的安全管理水平，称作关键安全管理指标分析？

面对海量安全数据，传统的集中化安全分析平台（譬如SIEM，SOC安全管理平台等）也遭遇到了诸多瓶颈，主要表现在以下几方面：

1） 高速海量安全数据的采集和存储变得困难

2） 异构数据的存储和管理变得困难

3） 威胁数据源较小，导致系统判断能力有限

4） 对历史数据的检测能力很弱

5） 安全事件的调查效率太低

6） 安全系统相互独立，无有效手段协同工作

7） 分析的方法较少

8） 对于趋势性的东西预测较难，对早期预警的能力比较差

9） 系统交互能力有限，数据展示效果有待提高

网络安全态势感知平台对海量日志进行集中分析和挖掘，从而发现潜在的安全风险。对能够引起安全态势发生变化的要素进行获取、理解、分析、展示及预测发展趋势，实现“风险预警、威胁识别、积极管控、策略进化”。

2.2.2风险评估

自动化完成目标网站基线配置数据采集、基于网站特点的检测插件调度、目标网站响应数据处理过程，完成检测数据的智能统计分析后生成安全评估报表，帮助用户掌握网站的安全情况。

2.2.3实时监测

主要针对影响网站运行和网站管理者声誉的重大隐患进行实时监控。

覆盖网站可用性、内容安全、紧急漏洞的实时监控，确保管理员在网站发生如下情况时能及时得到通知并获得应急安全响应技术支持：

1）运行持续性故障；

2）遭遇内容恶意篡改、SEO、挂马等安全事故以及发现反动、色情内容；

3）发现可能具有较大影响的紧急漏洞；

4）另外，还支持DNS篡改监控；

在监控发现上述隐患时，网站管理员将在第一时间收到我们监控系统推送的安全事件通知和应急响应人员的联系方式，确保上述问题得到第一时间解决。

2.2.4安全审计

一是在骨干网的核心交换机和防火墙以及边界防火墙、入侵监测等设备上开启审计功能，从而有效记录经过边界安全设备的所有访问行为，在运维中心通过态势感知平台，将相关日志收集、清洗、去重和关联，以便系统管理员能够对骨干网、网络边界的活动状态进行分析，从而发现深层次的安全问题；

二是关键的私有业务区域和政务外网区等区域的汇聚交换机上部署网络流量审计系统、入侵检测IDS设备、深度威胁发现设备、对网络流量进行监测、威胁发现和审计。其中：网络审计系统是根据跟踪检测、协议还原技术开发的功能强大的系统，为网上信息的监测和审查提供完备的解决方案。系统以旁路、透明的方式实时高速的对进出信息网络的传输信息进行数据截取和还原，并可根据用户需求对通信内容进行审计，提供高速的敏感关键词检索和标记功能，从而为完整的记录各种信息的起始地址和使用者，为保障关键应用系统，实现对应用访问的全面监控提供依据，并执行以下的安全策略：

深度威胁发现设备通过接收、分析全网络的流量来侦测并响应APT攻击与未知威胁。深度威胁发现能侦测所有端口及100多种通讯协议的应用，为用户提供最全面的网络威胁侦测。深度威胁发现设采用三层式的侦测方法，第一层是静态分析，第二层是动态分析及行为侦测，第三层是事件关联，目的就是为了发掘隐匿的攻击活动。深度威胁发现设根据静态分析、动态分析、事件关联的汇总分析结果来实现威胁侦测的可视化。其独特的侦测引擎加上定制化沙箱动态模拟分析，能快速发掘并分析恶意文档，恶意软件、恶意网页，C&C;通信数据以及传统防护无法侦测到的定向式攻击活动。其深入的威胁情报分析能力能协助安全管理员快速响应，并可自动与安全分析、安全防御产品或第三方情报中心透过公开标准分享情报，建立一个实时的定制化体系来侦测APT黑客攻击。

三是上网行为审计。记录电子政务外网人员访问互联网的相关记录用于审计。通过海量的上网行为数据分析，提供高价值的业务报表，如工作效率报表、离职风险报表、带宽分析报表、热点事件检测报表、数据泄漏、业务违规报表等。

2.2.5智能DOS/DDOS攻击防护

互联网向用户内部网中的流量有正常流量，也有所谓的异常流量。异常流量是指在有限的带宽资源承载着非预期的流量。这些非预期的流量，可能是DoS和DDoS攻击、蠕虫病毒、端口扫描、SPAM等恶意流量，也有可能是并非恶意但会影响正常网络应用的大数据量的P2P下载，等等。DoS（Denial of Service 拒绝服务）攻击和DDoS（Distributed Denial of Service 分布式拒绝服务）攻击是目前互联网上最流行的攻击方式。最早的DoS攻击一般是利用操作系统的漏洞发动攻击，致使服务器瘫痪而无法为用户提供服务，典型攻击譬如Ping of Death攻击、Teardrop攻击等。而随着网络技术的发展，DDoS攻击开始成为主流。DDoS攻击是指通过操控多台傀儡主机向目标主机或服务器发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。典型的DDoS攻击譬如SYN Flood、ACK Flood、UDP Flood等洪泛攻击。

为了提高网络的使用效率，提升信息系统的安全性，需要采用完善的手段对这些异常流量进行检测，对危害性最大的DoS和DDoS攻击更要实现准确的清洗。

防DDos系统建设可以完成全网的流量分析、异常流量和DDoS攻击流量清洗、P2P识别与控制、带宽限制、日志报表存贮等处理，帮助用户实时了解网络运行状况，及时发现网络中的DDoS攻击和网络滥用行为并做出动作响应，从而快速消除异常流量对网络和业务造成的危害，达到全部业务流量的智能化管控洗。

2.2.6监测与防护策略联动，安全专家值守

托管式安全防护方案基于云眼与云盾两大模块组成，能够提供事前风险评估及策略联动的功能。通过云端风险监测及时发现脆弱性威胁，并与云端防护进行联动，通过云端安全专家进行策略的调整，使得安全防护策略处于最优状态。

参考文献：

[1] 陳晓桦，武传坤等. 网络安全技术[M ]. 北京： 人民邮电出版社， 2017.

[2]张炳帅. Web安全深度剖析[M ]. 北京：电子工业出版社，2015.

作者简介：

侯彬锋（1979.04-），男，汉族，籍贯河北石家庄，本科，职称中级工程师，职务高级设计师，河北电信设计咨询有限公司，050021，研究方向：互联网技术