應用實例：某電力系統服務器群組防護系統方案

2015-03-13 09:27:50 大云網　點擊量：評論 (0)

　1 引言　　在網絡中，服務器系統遭受破壞，輕則系統癱瘓，正常業務不能運行，給企業帶來巨大麻煩;重則信息被篡改或泄露損壞，不僅影響企業形象，也可能造成不可估量的損失。從近年來的IDC調查表明，目前大概有

　1 引言

　　在網絡中，服務器系統遭受破壞，輕則系統癱瘓，正常業務不能運行，給企業帶來巨大麻煩;重則信息被篡改或泄露損壞，不僅影響企業形象，也可能造成不可估量的損失。從近年來的IDC調查表明，“目前大概有70%的攻擊是基于Web應用進行的，因為Web應用系統缺少有效的防護措施而造成的機密數據丟失的事件則是更多。更為嚴重的是，很多情況下數據已經丟失了卻絲毫沒有覺察到，這為企業以及個人帶來許多難以估量的損失。”

　　2 電力行業服務器存在的隱患和面臨的威脅

　　隨著國家經濟建設的不斷發展，電力系統作為關乎國計民生的基礎能源行業，在國家經濟發展中的地位越來越重要。信息化的發展，網絡的引入，提高了電力系統的業務效率，從而提高了國民生產力。電力系統信息網絡是一個相對開放的系統，根據行政管理和業務擴展的需求，各業務部門網絡需要與其他業務部門或職能部門網絡系統甚至互聯網絡上進行信息交換，因此，也就面臨著網絡安全問題，主要服務器和主機面臨網絡攻擊和計算機病毒的侵害，電力信息系統信息安全問題已威脅到電網系統的安全、穩定、經濟、優質運行，影響著“數字電力系統”的實質進程。

　　電力系統中眾多的服務器，作為資源信息的提供者，在電力系統信息化建設中的地位越來越重要。在服務器攻擊愈演愈烈的當下，如何保障電力系統服務器群組的安全?如何保證電力系統信息化建設持續安全的發展?某電力系統服務器包括了數據庫服務器、應用服務器、Web服務器、算費服務器、銀電聯網服務器，郵件服務器等，以及各種核心業務數據系統。這些業務系統有效地將供電局，生產和管理與部門，人員，業務連接起來，實現工作，管理的高效優質與協同。這使得服務器成為該電力系統核心信息最為集中的設施，是全面保密安全管理的重點領域。而這些系統大都采用Web方式執行關鍵應用。

　　目前電力系統服務器群組主要存在以下問題：

　　(1)電力行業的網絡中，存在眾多服務器，每個服務器擁有獨立的認證系統，缺乏統一的權限管理策略，而且不便于管理員進行有效管理。

　　(2)服務區中的Web服務器和流媒體服務器面向互聯網提供HTTP服務和網絡視頻服務，長期遭受來自互聯網的DDoS，各類注入式攻擊以及蠕蟲和木馬病毒的侵襲，并且經常發生頁面篡改的事故。

　　(3)服務區中的郵件服務器向互聯網用戶和公司用戶提供郵件服務，大量的垃圾郵件讓郵件服務器不堪重負，同時由于無法進行有效的信息監管，常會發生公司員工通過郵件傳遞公司機密信息的安全事件。

　　(4)服務區中的數據服務器為其他服務器提供用戶信息和文件信息的存儲功能，由于權限劃分不明確，外部黑客經常利用SQL注入、腳本注入、命令注入方式竊取/篡改數據庫信息。

　　(5)服務區中的數字辦公系統向公司內部員工提供辦公信息交流服務，由于權限力度不夠，經常發生匿名用戶盜用他人賬號，并利用非法賬號盜取公司信息的安全事故。

　　(6)服務區中的FTP服務器和文件/密鑰管理服務器向公司內部員工提供文件上傳/下載服務和用戶文件管理/證書管理服務，由于沒有配置相應的安全策略保護，經常遭受DoS攻擊，緩沖區溢出攻擊以及synflood，udpflood，icmpflood等攻擊。

　　(7)對于電力公司下屬子公司和移動辦公用戶，由于與總公司服務器通信過程中有些機密信息由于沒有采取加密措施，很容易被竊聽而泄密。另外，銀電聯網服務器與終端的通訊業應采用加密措施，保證數據傳輸的安全。

　　(8)服務器缺乏日志信息或獨立的服務器日志導致日志信息不便于統一管理。

　　(9)對于網絡風險缺乏監控和預測，對服務器存在風險漏洞不能及時發現，因而難以做到防患于未然。

　　傳統的安全設備針對以上問題缺乏足夠的保護。例如，防火墻主要工作在網絡層，根據地址和端口進行數據報文的過濾，無法檢測到應用層的攻擊;IPS/IDS則主要是通過攻擊特征對網絡中的報文進行檢測和過濾，由于缺少協議完整性檢測以及應用層的運行狀態，對于一些偽冒正常請求的特征攻擊無法檢測，如：SQL注入、CC攻擊等。

　　3 電力行業服務器群組防護解決方案

　　3.1設計目標

　　(1)安全加固。重點對Web服務器和郵件服務器實行保護。

　　(2)資源整合。對服務器群實行統一安全管理，優化原有網絡資源。

　　(3)降低客戶維護成本。統一安全策略，統一日志記錄，集中服務器狀態監測。

　　(4)是一種融合多種技術實現的安全解決方案。多種安全技術組合使用，全面保證服務器安全。

　　3.2技術構成

　　如圖1所示，系統將通過對網絡層、傳輸層、會話層到應用層的全面防護和管理，實現服務器應用系統的全方位、多層次立體防護，系統中綜合運用消極安全模型與積極安全模型，對協議完整性檢測、基于特征的應用層攻擊檢測、基于訪問行為的攻擊檢測等技術進行有機結合，有效地對各種安全攻擊進行防護，提高服務器應用系統的安全性。

　　3.3功能實現

　　方案設計使用捷普公司的服務器群組防護系統，這是捷普公司歷時三年在國內首家推出的服務器防護產品，著眼于用戶網絡中服務器群組的安全，該產品綜合運用異常行為檢測技術、異常狀態檢測技術和異常內容檢測技術，對網絡層、傳輸層和應用層都起到了完善的保護作用，從而實現服務器多層次立體化的全方位防護。

　　捷普服務器群組防護系統功能具體描述：

　　(1)認證授權和單點臀錄統一的權限管理和單點登錄功能，可以實現統一口令管理。解決了電力系統服務器群組管理繁雜的問題，方便網絡管理人員操作，同時也便于用戶使用，達到服務器資源的整合和優化。

　　(2)Web防火墻功能針對目前流行Web攻擊特征庫，設計出一套精確度高，覆蓋面廣，執行效率高的Web防護規則，能防護各類常見的Web應用攻擊或威脅，如蠕蟲、黑客攻擊、SQL注入、跨站腳本、網頁盜鏈、甚至變形或混合型的攻擊，對電力系統的Web服務器進行了有力的實時保護。

　　(3)頁面防篡改服務器防護系統將外掛輪詢技術與事件觸發技術，對訪問敏感目錄或采用敏感訪問方法的數據報進行嚴格審計，同時對服務器頁面進行輪詢，一旦發現篡改頁面立即對其進行恢復，保障了電力系統Web服務器的網頁內容安全。

　　(4)反垃圾郵件功能采用先進的郵件過濾技術，對來自設定的垃圾郵件網關的郵件進行嚴格過濾，并能夠通過郵件內容中的關鍵字判斷郵件中是否含有公司機密信息，進而對該郵件進行攔截;保障了電力系統郵件服務器的安全。

　　(5)靈活的訪問控制規則提供基于IP報文五元組(源/目的IP、源/目的端口號以及協議類型)訪問控制，根據實際網絡環境，配置合理網絡安全策略，杜絕匿名用戶通過其他端口入侵受保護服務器，同時亦滿足電力系統用戶環境的訪問需要;

　　(6)SSL VPN功能獨特的https終端和代理功能，既可以加強信息在網絡上的安全傳輸，又可以釋放服務器SSL運算負載，達到提升網絡總體效率的功能;保障了電力系統總公司與各下屬公司通訊的安全;保障了電力系統銀電聯網服務器與各終端之間通訊的安全。

　　(7)日志審計功能統一日志記錄，方便管理。日志內容豐富詳實，既可以作為審計證據，又可以用來統計分析，方便了網絡管理員的管理。

　　(8)狀態檢測和風險監測全面檢測系統狀態，便于管理人員及時掌握網絡狀況。風險監測功能為管理人員提供直觀的歷史風險趨勢圖，幫助管理人員發現風險并及時采取措施。

　　3.4應用部署