1網站群安全技術架構
從安全技術架構來說,網站群的安全問題主要在於網路層、作業系統、資料庫的安全。高職院校一般都具備獨立的資料中心。以浙江醫藥高等專科學校為例,目前已建有MIS+S(基本資訊保安保障)系統架構,隨著硬體驅動已轉變為應用驅動,網路資訊基礎設施和服務都有了大幅度的提升,能夠從物理安全、網路安全、系統安全、應用安全四個環節,打造網站群安全防範技術體系,實現動態防禦、主機安全、備份和恢復、安全審計、安全測試配置、安全監控,應用分析等目標。
1.1動態防禦
網站群安全防範技術體系以往,我們通常利用防火牆、雙核心網路裝置以及DMZ區來實現應用防護,防範惡意攻擊和病毒入侵的能力有限。在網路安全問題日趨嚴重和複雜的情況下,需要加固原有的網路拓撲結構,增加應用防護系統、統一防惡意程式碼軟體、網路管理系統,與防火牆一起建立動態防禦體系。
只有為網站群和服務建立訪問控制體系,才能將絕大多數攻擊阻止在到達攻擊目標之前,或攻擊者在突破第一道防線後,延緩或阻斷其到達攻擊目標,最終提升網站群系統的物理安全、網路安全和應用安全。我們將網站群系統所在區域從原DMZ區劃分出來,與其他Web應用一起規劃為安全級別較高的WebServer服務區域。同時,在該區域部署統一惡意程式碼防範管理系統,建立安全的病毒防護措施。在核心交換和WebServer服務區域間,通過串聯部署方式,增加一臺WAF(應用防護系統),起到防護Web應用、漏洞檢測作用,確保網站群在內的Web應用完整性。同時,開啟硬體防火牆上的網站防篡改、IPS功能、日誌功能,建立攻擊監控體系,實時檢測出絕大多數攻擊,並採取相應的行動(如斷開網路連線、記錄攻擊過程、跟蹤攻擊源,等)。網站群系統管理員在統一惡意程式碼防範管理平臺上,對網站群主機進行遠端控制。
包括:遠端啟動或停止實時監控、手動掃描、實時更新、功能元件配置、設定分組任務或策略,等,以有效阻隔外來病毒入侵及內部病毒清除,有效保障系統安全。眾所周知,網路攻擊也可以來自於區域網內部,如內網DoS攻擊、ARP等病毒攻擊。對於內網攻擊的防範,通常採取的應對方法有:為內網終端安裝病毒防護軟體、加強使用者病毒查殺意識,在網路裝置上劃分VLAN進行邏輯隔離、設定ACL訪問控制。現階段,我們還啟用硬體防火牆上的IPS、DDoS/DoS內網防護、病毒防禦策略等功能來加強防範。同時,利用上網行為管理裝置,對內網終端實施安全檢查、網路准入控制、行為審計、危險流量封堵、木馬病毒查殺等安全防護措施,針對內網攻擊事件檢視分析使用者行為記錄並定位,並且依據學校相關規章制度進行處置處理(如《校園網使用者守則》、《校園網聯網安全保護管理辦法》、《校園網系統安全管理制度》,等),提高區域網內部的綜合防範能力,減少內網攻擊事件的發生。
1.2主機安全
主機安全是網站群系統安全的保障。可以採用雙機熱備的方式來解決主機冗餘問題。但是,由於網站群系統應用的重要性和網路安全的複雜性,為提高主機安全能力,還需要構建主機叢集環境,以保障網站群系統的持續執行。目前,高職院校為提高資料中心的利用率和採購執行成本,通常會採用伺服器虛擬化軟體規劃虛擬資料中心。在該環境中,統一儲存裝置部署在後端,為物理伺服器(虛擬主機)提供空間資源,併為前端虛擬機器提供資料儲存資源;數臺高效能伺服器作為虛擬主機,隨時劃分前端虛擬機器,並提供虛擬機器所需的CPU、記憶體資源、儲存器訪問權和網路連線能力,滿足各項應用的伺服器需求。採用虛擬機器(VM)部署網站群雙機熱備,在降低採購成本的同時,提高了網站群主機的靈活性、冗餘保障和容災遷移能力,保障網站群主機作業系統的安全需求。為了減少網站群所在虛擬主機(物理伺服器)的單點故障,實現網站群系統的不間斷執行,我們利用vSphere叢集功能,在虛擬資料中心內,配置HA(highavailability)高可用叢集(如圖4所示)。HA允許一個叢集中在資源許可的情況下,將一臺出現故障的虛擬主機上面的網站群虛擬機器切換到叢集中另一臺虛擬主機上執行(如192.168.0.116和192.168.0.118)。應用業務時間間斷由VM系統啟動時間、應用啟動時間、心跳檢測時間構成。
1.3備份和恢復
資料資料是整個網站群系統運作的核心,建立良好的備份和恢復機制,可以在應用系統遭受攻擊時,儘快地恢復資料和系統服務。以往,為降低備份容災成本,會採用純軟體模式,通過編輯指令碼檔案,連線兩臺熱備伺服器,將資料實時複製到另一臺伺服器上,如果一臺伺服器出現故障,可以及時切換到另一臺伺服器,避免了磁碟陣列的`單點故障。在網路安全的新形勢下,為實現應用資料及業務儲存系統的完整性和可靠性,我們在網路拓樸的DMZ區域,接入儲存備份一體機(浙江醫藥高等專科學校採用SymantecBE3600),構建高可用性的儲存備份環境。利用其儲存空間及備份管理系統,實現有效的異地備份,為網站群的容災備份提供了進一步的安全保障。通過制定備份策略,選擇合適的備份頻率,採用完全備份、增量備份、差分備份或按需備份的組合方式,確保及時恢復失敗的網站群虛擬機器,快速恢復丟失的應用程式服務,全面提升網站群的資料安全及備份恢復能力,避免在各種極端情況下造成的重大損失和惡劣影響。
1.4安全審計
網站群要達到可控性與可審查性,就必須對站點的訪問活動進行多層次的記錄。安全審計是網站群主機安全和應用安全中的重要環節,審計範圍要覆蓋到主機上的每個作業系統使用者和資料庫使用者,審計內容應包括重要使用者行為、系統資源的異常使用和重要系統命令的使用等安全相關事件,及時發現非法入侵行為。以旁路方式部署了一臺審計裝置,並接入核心交換。審計裝置通過對交換機的映象口進行旁路監聽。網站群系統管理員可通過B/S方式使用日誌管理綜合審計系統,從網路執行維護、資料庫安全及系統安全審計等方面,採集所有網站群的資料庫訪問行為記錄,收集客觀、實時的分析資料。一旦發生網站群網路資訊保安事件,系統管理員可根據網站群使用者對資料庫系統的所有操作資訊,進行準確快速定位,並排除安全隱患。此外,為確保安全審計,還應要求網站群開發人員去除或隱藏程式中的刪除日誌功能。
1.5安全測試與配置
由於網路安全不是絕對的,因此,在建立技術防範體系後,我們按照《資訊保安技術資訊系統安全等級保護基本要求》中的第二級基本要求,對網站群的作業系統、資料庫和應用系統進行整合測試和配置。主要包括身份鑑別、訪問控制、入侵防範、資源控制、資料完整性和保密性,從而確保資訊釋出和管理安全。我們採用Centos和Oracle來構建網站群的作業系統和資料庫環境,相關配置如下:
1.5.1身份鑑別良好的身份認證體系可防止攻擊者假冒合法使用者。為此,須對登入作業系統、資料庫系統、網站群的使用者進行身份標識和鑑別,作業系統和資料庫系統管理使用者身份標識應具有不易冒用的特點,並確保使用者名稱具有惟一性。因此,我們做了相關配置:編輯作業系統檔案etc/login.defs檔案,應達到密碼定期更換要求。如:PASS_MAX_DAYS90#新建使用者的密碼最長使用天數PASS_MIN_DAYS0#新建使用者的密碼最短使用天數PASS_WARN_AGE7#新建使用者的密碼到期提前提醒天數PASS_MIN_LEN6#最小密碼長度6編輯作業系統檔案/etc/pam.d/system-auth檔案,應達到密碼複雜度要求,如:passwordrequisitepam_cracklib.sominlen=6dcr-edit=2ocredit=2#限制密碼最小長度6位和至少包含2數字、至少包含2個特殊字元數編輯作業系統檔案etc/pam.d/system-auth檔案,採取結束會話、限制非法登入次數和自動退出等措施,實現登入失敗處理功能。如:authrequiredpam_tally.soonerr=faildeny=6un-lock_time=300#設定密碼連續錯誤6次鎖定,鎖定時間300s。對於資料庫的身份鑑別,我們通過配置Oracle公司提供的驗證密碼複雜度的函式來實現。對於網站群系統,後臺管理使用者密碼複雜度設定高級別,對密碼的長度、大小寫、特殊字元都方面都要做要求,同時設定口令有效期。
1.5.2訪問控制訪問控制更側重於管理層面,要求作業系統和資料庫管理帳號和實際操作都必須為不同人員。我們制定相關崗位職責檔案,實現許可權分離,責任分離。如:依據安全策略控制使用者對資源的訪問;實現作業系統和資料庫系統使用者許可權期的分離;限制預設帳戶的訪問許可權,重命名系統預設帳戶,修改帳戶的預設口令;應及時刪除多餘的、過期的帳戶,避免共享帳戶的存在。此外,我們對網站群的角色許可權進行細分,做到許可權相互制約。如超級管理員具有所有功能的操作許可權,二級網站管理員只能具有自己站點的操作許可權,審計員只能檢視安全日誌。
1.5.3入侵防範做好入侵防範措施。在作業系統方面,我們遵循最小安裝的原則,僅安裝需要的元件和應用程式,使得埠和服務實現最小化;通過對安全漏洞的週期檢查,設定升級伺服器等方式保持系統補丁及時得到更新,從而使絕大多數攻擊無效。
1.5.4資源控制系統資源控制主要指終端接入的方式、IP地址範圍及登入次數限制。我們做了相關配置。
2網站群安全防範措施
單純期望某一個安全技術或體系架構就能夠全面消除或解決網路安全威脅和風險的想法是不現實的。高職院校網站安全問題突出,還歸結於學校對網站安全不重視,網站資訊保護意識差,網站日常維護缺失,等。我們只能通過大量實踐,在網路安全實戰對抗中不斷完善,明確責任和義務,建立管理制度和安全制度。管理是網路安全的重要部分,在對網站群部署進行有效的安全風險(安全威脅)識別和評估後,我們還圍繞技術層面、組織層面、管理層面、服務層面,完善網站群安全防範措施。建立學校、部門兩級執行維護的組織體系,按集中建站、分級管理、制度約束、服務保障的原則,通過統一策劃、統一標準、統一資源、統一平臺來實現集中建站。按照國家有關規章制度和安全辦法(策略),形成制度約束機制,確保網站群在高效、安全、有序的體系下運作。
理順管理體制與職責,構建主站和子站間的垂直管理體系,制定網站群管理辦法、建立網站群管理和資訊員制度、制定安全規範及操作手冊、建立內容管理與稽核制度、明確各網站內容管理與執行管理崗位職責、規範工作流程、完善資訊釋出等環節,全面做好網站群安全管理工作。通過提升服務管理水平,構建健全的網站群服務體系。我們參考ISO/IEC20000-1採用的PDCA方法論,從規劃(P)、實施(D)、檢查(C)、改進(A)四個方面著手,根據學校技術、政策和資源等實際環境,加強安全服務管理,確保網站群服務水平。並參考資訊保安服務體系,從安全評估服務、安全修復服務、安全保障服務、安全資訊服務、安全培訓服務、資料恢復服務、產品整合服務八個方面,加強安全服務。
3網站群保障體系構建效果
在網站群專案建設前期,我們通過對原有網站及其系統、應用、資料等方面進行安全分析,找出了學校在網路資訊保安因素中的薄弱環節,在後續的網站群部署方案中增加了需要改進和優化的細節,保證了網站群系統的成功實施。在實施過程中,我們充分利用學校的網路資訊基礎設施,通過動態防禦、主機安全、備份恢復、安全審計環節的實施,促進了該校資料中心的硬體整合優化,既減少了重複投資、有效降低了學校資金不足的影響,又提高了已有軟硬體的利用率,併為今後打造高效低耗的綠色資料中心奠定基礎。有序開展網站群系統建設也是一次鍛鍊資訊科技人員的機會。經過測試配置、監控、分析等一系列規範化操作訓練,提高了該校資訊科技人員在系統部署、效能優化方面的技能、加強了安全監管意識,不僅是一次很好的網路安全防範實戰練習,也有效地提高了現有資訊科技人員的工作效率,在一定程度上緩解了學校資訊科技人員緊缺的實際困難。通過安全防範措施的實施,形成了學校網站群的常態化組織體系和工作機制。
通過出臺學校網站群管理辦法、健全體制機制、明確責任歸屬、強化了網站群二級網站負責人及資訊員的安全責任意識,有利於打造健康向上的校園輿情環境,共同維護學校網站群系統安全。通過網站群系統建設的實踐,我們認為,在網路安全問題日益複雜的形勢下,高職院校有必要在揚長避短、整合優化的原則下,構建符合學校情況的網站群保障體系。通過網站群保障體系的建設,為高職院校打造了一個具有安全性、可擴充性和易管理性的網站資訊環境,有利於提升高職院校網路資訊安全防範技術能力,最終促進高職院校教育資訊化的良性建設和發展。