目前,針對Web的***手段日益增多,拒絕服務***、網絡釣魚、SQL注入等等層出不窮,而企業門戶網站是企業的“臉面”,如何保證其安全是運維人員、安全管理人員、CIO等需要深思熟慮、全盤考慮的問題。本文將針對這個問題,首先對企業門戶Web系統進行詳細的安全威脅分析,然後給出相應的解決方案的原則和技術,並根據原則來提供具體實施的網絡拓撲和部署要點。
一、 企業門戶網站系統面臨的威脅
企業門戶網站系統在運行安全和數據安全方面面臨着非常大的威脅,主要包括運行安全威脅和數據安全威脅。
(1) 運行安全威脅
主要是指企業門戶網站在提供對外服務的過程中,惡意用戶(***)可以通過一些公開的服務端口、公開的服務信息等來組織和實施***,從而使得企業門戶網站服務不可用,從而導致其運行安全問題。
主 要的***行爲包括:惡意用戶採用***工具構造惡意報文對暴露在公網的網上系統進行拒絕服務***,甚至是利用多個網絡結點形成的殭屍網絡,構成分佈式拒絕服 務***;並且,面臨在遭受***後,由於服務器側網絡架構劃分和隔離措施不嚴謹,***可能利用這個部署上的漏洞,而導致整個服務器機羣的癱瘓,比如,由於Web服務器癱瘓,***以Web服務器爲跳板,從而***後臺數據庫服務器等內網關鍵資源等。
(2) 數據安全威脅
主要是指企業門戶網站在服務中涉及的用戶數據、通信數據等由於***的竊聽、重定向等,而導致的數據非法泄露。
主要的***行爲包括:惡意用戶通過Web瀏 覽器的登陸界面對合法用戶的用戶名和密碼進行猜測,從而冒充合法用戶進行網頁訪問和系統使用;惡意用戶通過構造非法的、可能被網上系統錯誤識別和執行的代 碼嵌入在提交的表單中,引起不正常的信息泄露,甚至系統崩潰;惡意用戶可能在傳輸網絡中通過非法竊取合法用戶的通信報文,從而獲得本不應該獲得的敏感信 息;用戶被引導進入其他的非法網站,如現在流行的釣魚網站(phishing)等等,從而在不知情的情況下泄露個人機密信息,造成經濟損失等。
二、 層次化防禦方案
2.1 設計安全網絡拓撲
設計安全的拓撲,是保證企業門戶網站安全的第一步,也是非常重要的一步,它可以有效地從網絡層和應用層來抵禦外來的***,從而保證運行安全。
其中主要包括如下幾個層面:
(1)網絡層防禦
部署防火牆可以有效地進行網絡層防禦,阻止外來***,包括拒絕服務***和分佈式拒絕服務***,重點過濾惡意流量、突發流量等。更爲重要的是:在防火牆上通過有效地使用DMZ(demilitarized zone,非軍事化區),可以將外部網絡和內部網絡進行有效地隔離,從而達到即時DMZ區域被***,也不會影響到內網資源安全的目的。
在 部署過程中,建議採用異構的二路防火牆方式。也就是,使用不同廠家不同型號的兩種防火牆,分別來作爲企業的內部和外部防火牆,這樣,能夠很好地達到分離內 外網以及安全增強的目的,因爲即算一路防火牆被***,也很難影響到二路防火牆,因爲***需要更多地精力來對不同的防火牆進行分析和實施***行爲。
(2)應用層防禦
在防火牆的後面,加入應用層防禦的設備,如IPS(Intrusion Prevention System,***防禦系統)、WAF(Web Application Firewall,應用防火牆)、UTM(Unified Threat Management,統一威脅管理)等,從應用層來對來自外部對企業門戶的網站從應用層(包括URL鏈接、網頁內容等)進行細粒度的過濾和檢測,出現惡意內容等即進行實時阻斷。並且,對於SQL注入***、緩衝區溢出***、篡改網頁、刪除文件等也有很好的抑制和阻斷作用。
(3)負載均衡
企 業門戶網站系統服務器側需要軍揹負載均衡及負載保護機制。因爲,系統面臨着巨大的服務量,服務器端的設備基本上都需要有多臺服務器進行業務分擔,這樣才能 提高性能,避免處理瓶頸的出現,因此,需要採用合理的負載均衡和負載保護機制對各服務器的業務流量進行有效地分擔,可按照Round Robin、LRU(Least Recently Used)等方式來進行負載均衡;另外,負載保護機制需要實時地對每臺服務器的CPU資源、內存資源等進行評估,如果一旦超過設定的閾值(80%或者以上),將馬上進行過載保護,從而保證服務器自身的安全。
通常,有2種實現方式。一種是購買成熟的硬件負載均衡產品,如F5等來對網站的流量進行控制和分流,以保證後臺各服務器的流量均衡以及高可用,不過花費較高;一種是通過使用開源系統軟件LVS(Linux Virtual Server,Linux虛擬服務器)、Nginx(Engine X)等負載均衡軟件來構建應用,這樣可以節約一定的資金。
2.2 強化用戶訪問控制
設計好的訪問控制策略和手段,可以從很大程度上避免非法用戶的訪問,從而保護企業門戶網站安全。目前適合企業門戶網站的認證方式如下,可以採用一種或者結合幾種方式:
l 用戶名+密碼:最爲傳統的驗證方式;
l 數字證書:對於重要的Web系統應用,需要根據PKI(Public Key Infrastructure,公鑰體制)機制,驗證用戶提供的證書,從而對用戶身份認證(通常情況下是服務器對客戶端認證,也可以建立雙向認證,即用戶對服務器進行認證,以防止假冒的非法網站),並確保交易的不可抵賴性。證書的提供可以採用兩種方式:
1) 文件證書:保存在用戶磁盤和文件系統上,有一定的安全風險;
2) USB設備存儲的證書:保存在USB設備上,安全性很高。
2.3 加密通信數據
可以採用成熟的SSL(Secure Socket Layer,安全套接字層)機制,來保證Web系統數據的加密傳輸和用戶對Web系統服務器的驗證。對於使用Web瀏覽器的網上系統應用,採用SSL+數字證書結合的方式(即HTTPS協議),保證通信數據的加密傳輸,同時也保證了用戶端對服務器端的認證,避免用戶被冒充合法網站的“釣魚網站”欺騙,從而泄露機密信息(用戶名和密碼等),造成不可挽回的經濟損失。
在使用SSL的過程中,首先需要申請好相應的數字證書。一般來說,有兩種處理方法。
1) 一種是申請權威機構頒發的數字證書,如VeriSign,GlobalSign等機構頒發的數字證書,這需要一定的費用,好處是當前幾乎所有的主流瀏覽器都能夠很好地支持,也就是只需要在企業門戶網站的服務器上部署該證書即能在客戶端和服務器端建立SSL加密通道;
2) 另一種是由企業使用OpenSSL等開源工具來生成相應的根證書和服務器證書,這樣能夠節約一大筆費用,但是缺點是主流瀏覽器並不能很好地支持,需要在客戶端和服務器端分別部署根證書和服務器證書,這樣在客戶端非常多的時候不好處理,同時用戶體驗也很差。
2.4 做好風險控制
風險控制是在***發生前對企業門戶網站使用***測試等技術手段來挖掘、分析、評價,並使用打補丁、實施安全技術和設備的辦法來解決網站可能存在的各種風險、漏洞。這需要週期性、自發地對Web系統的漏洞進行自我挖掘,並根據挖掘的漏洞通過各種安全機制和補丁等方式進行防護,以有效地避免“零日***”等。
目前,企業門戶網站可以通過使用端口掃描、***模擬等方式來對企業門戶網站的開放端口、服務、操作系統類型等進行獲取,並利用其相關漏洞進行***測試。並根據測試的結果來通過各種方式加固該系統的安全,以避免被***等利用來進行***。
2.5 健全訪問日誌審計
企業門戶網站作爲開放門戶,且基於HTTP協議,因此在用戶訪問時會產生大量的訪問日誌。網站管理者需要對這些日誌進行詳細地記錄、存儲,並以備日後的分析取證。實踐證明,很多的拒絕服務***以及其他***方式都會在系統中留下日誌,比如IP地址信息、訪問的URL鏈接等,這都可以作爲網站管理員的審計素材,爲阻斷***的下一次進攻,保證網站安全打下基礎。
2.6 事前災難備份
任何系統都不能說100%的安全,都需要考慮在遭受***或者是經受自然災害後的備份恢復工作,需要着重考慮如下幾點:
1) 選擇合適的備份策略,做好提前備份,包括全備份、差分備份、增量備份等等
2) 選擇合適的備份介質,包括磁帶、光盤、RAID磁盤陣列等
3) 選擇合適的備份地點,包括本地備份、遠程備份等等
4) 選擇合適的備份技術,包括NAS、SAN、DAS等等
5) 作好備份的後期維護和安全審計跟蹤
2.7 統籌安全管理
企業門戶網站系統一般功能複雜,業務數據敏感,保密級別比較高,並且對不同管理人員的權限、角色要求都不盡相同,爲了保證安全管理,避免內部管理中出現安全問題,建議作如下要求:
1) 嚴格劃分管理人員的角色及其對應的權限,避免一權獨攬,引起安全隱患;
2) 作好服務器機房的物理條件管理,避免電子泄露、避免由於靜電等引起的故障;
3) 應作好服務器管理員的帳號/口令管理,要求使用強口令,避免內部人員盜用;
4) 作好服務器的端口最小化管理,避免內部人員掃描得出服務器的不必要的開放端口及其漏洞,實行內部***;
5) 作好服務器系統軟件、應用軟件的日誌管理和補丁管理工作,便於審計和避免由於安全漏洞而遭受到內部人員的***;
6) 根據業務和數據的機密等級需求,嚴格劃分服務器的安全域,避免信息泄露。