【51CTO.com 獨(dú)家特稿】在“拯救網(wǎng)站運(yùn)維經(jīng)理趙明活動”開始后，龐曉智為我們投來了一個防護(hù)覆蓋面最廣的一個解決方案。

一、 攻擊事件背景

深夜，某網(wǎng)站運(yùn)維經(jīng)理趙明正戴著耳麥趴在桌子上接到一個匿名電話，緊接著隨即打開了公司的首頁，發(fā)現(xiàn)公司網(wǎng)站被黑客非法入侵。整個屏幕赫然留下了幾個血紅色的英文字母“The evil is coming，We will be back”。公司依托網(wǎng)站運(yùn)行的業(yè)務(wù)被迫中斷，客戶部第九次進(jìn)行投訴，運(yùn)營總監(jiān)一臉陰沉...

二、 安全技術(shù)現(xiàn)狀分析

1、 趙明所在公司目前網(wǎng)站結(jié)構(gòu)拓?fù)鋱D如下：  

2、 交換網(wǎng)絡(luò)安全現(xiàn)狀

目前僅有一臺交換機(jī)部署在WEB應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器之間，WEB服務(wù)器和數(shù)據(jù)庫服務(wù)器不能很好的進(jìn)行邏輯隔離。盡管通過交換機(jī)ACL功能可實現(xiàn)對數(shù)據(jù)庫服務(wù)器、文件服務(wù)器的訪問控制。但控制能力較弱，因為基于交換機(jī)的ACL功能只能實現(xiàn)簡單的包過濾訪問策略，并不能實現(xiàn)基于狀態(tài)分析的訪問控制，黑客很容易通過偽造TCP報文輕松繞過交換機(jī)。一旦WEB服務(wù)器遭受入侵，承載著公司重要業(yè)務(wù)數(shù)據(jù)的數(shù)據(jù)庫服務(wù)器即成為下一個攻擊目標(biāo)。

3、 邊界網(wǎng)絡(luò)安全現(xiàn)狀

通過網(wǎng)絡(luò)拓?fù)淇芍?，WEB服務(wù)器是直接暴露在互聯(lián)網(wǎng)之外的，沒有劃分專門的DMZ區(qū)部署WEB應(yīng)用。網(wǎng)絡(luò)邊界并沒有部署任何的防火墻防護(hù)，來自外界的訪問者可任意訪問公司內(nèi)部服務(wù)器。由于缺乏防火墻的邊界防護(hù)，無法對不同信任程度區(qū)域間傳送的數(shù)據(jù)流進(jìn)行基于上下文的訪問控制，無法通過NAT地址轉(zhuǎn)換保護(hù)內(nèi)網(wǎng)的機(jī)器，無法防御各種IP/端口掃描、路由欺騙攻擊、由TCP/UDP Flood、ICMP Flood、Ping of Death引起的DOS/DDOS攻擊等等。

4、 應(yīng)用層網(wǎng)絡(luò)安全現(xiàn)狀

網(wǎng)絡(luò)中并沒部署入侵檢測系統(tǒng)或入侵防御系統(tǒng)，無法對一些基于應(yīng)用層的攻擊如常見的SQL注入攻擊、腳本攻擊、cookies欺騙進(jìn)行入侵檢測、行為阻斷和實時報警等。

5、 內(nèi)網(wǎng)客戶端安全現(xiàn)狀

內(nèi)網(wǎng)客戶端沒有實施安全終端控制，服務(wù)器口令隨意存放、內(nèi)部員工P2P文件共享工具濫用、病毒木馬感染四處肆虐，發(fā)送郵件不經(jīng)意攜帶機(jī)密信息，最終導(dǎo)致公司敏感信息泄露。

6、 主機(jī)安全現(xiàn)狀

主機(jī)安全策略沒有經(jīng)過嚴(yán)格的設(shè)置，或僅保留默認(rèn)配置策略，往往給入侵者帶來了極大的‘后門’。如常見的賬戶弱口令、遠(yuǎn)程使用基于明文的Telnet管理、文件夾權(quán)限過大、默認(rèn)賬號未禁用、系統(tǒng)補(bǔ)丁未安裝而引致安全漏洞等等。

7、 應(yīng)用程序安全現(xiàn)狀

從本次的安全事件可以了解到，出現(xiàn)問題的正是網(wǎng)站頁面被非法篡改。經(jīng)推測可能正是應(yīng)用程序(即網(wǎng)站程序)出現(xiàn)了SQL注入漏洞、跨站腳本漏洞、目錄遍歷、CRLF注入漏洞等安全隱患被入侵者發(fā)現(xiàn)，然而沒有相應(yīng)的安全防護(hù)設(shè)備進(jìn)行攻擊防御，加上主機(jī)安全策略配置不當(dāng)，客戶端泄露敏感信息，主頁頁面被非法篡改后無法及時進(jìn)行有效的恢復(fù)，最終導(dǎo)致公司網(wǎng)站被黑客入侵的網(wǎng)絡(luò)安全事故發(fā)生。#p#

三、 安全整改及加固方案

1、 總體安全體系設(shè)計

從中我們可以看出，網(wǎng)絡(luò)安全事件的發(fā)生并不是‘臨時性即意’發(fā)生的，他是由交換網(wǎng)絡(luò)、邊界防護(hù)、應(yīng)用層防護(hù)、主機(jī)防護(hù)、應(yīng)用程序防護(hù)、客戶端防護(hù)等多個方面的技術(shù)安全域管控不嚴(yán)而導(dǎo)致的，是一個從量變到質(zhì)變的過程。因此，我們可以說網(wǎng)絡(luò)安全是一個動態(tài)的概念，網(wǎng)絡(luò)的動態(tài)安全模型能夠提供給用戶更完整、更合理的安全機(jī)制，全網(wǎng)動態(tài)安全體系可由下面的公式概括：網(wǎng)絡(luò)安全(S) = 風(fēng)險分析(A)+ 制定策略(P) + 系統(tǒng)防護(hù)(P) + 實時監(jiān)測(D) + 實時響應(yīng)(R) + 災(zāi)難恢復(fù)(R)。

圖1：APPDRR動態(tài)安全模型

以下提供的安全整改方案正是基于APPDRR模型構(gòu)建的，符合網(wǎng)絡(luò)安全系統(tǒng)整體性和動態(tài)性的特點。它集各種安全技術(shù)產(chǎn)品和安全技術(shù)措施于一體，將多種網(wǎng)絡(luò)安全技術(shù)有機(jī)集成，實現(xiàn)安全產(chǎn)品之間的互通與聯(lián)動，是一個統(tǒng)一的、可擴(kuò)展的安全體系平臺。

2、 信息安全風(fēng)險評估(Assessment)

信息系統(tǒng)安全風(fēng)險評估是通過對資產(chǎn)、脆弱性和威脅來綜合評估分析系統(tǒng)面臨的安全風(fēng)險，對所發(fā)現(xiàn)風(fēng)險提供相關(guān)的處理建議。風(fēng)險評估是風(fēng)險管理的重要組成部分，是信息安全工作中的重要一環(huán)。根據(jù)組織安全風(fēng)險評估報告和安全現(xiàn)狀，提出相應(yīng)的安全建議，才能指導(dǎo)下一步的信息安全建設(shè)。

網(wǎng)站被黑的問題在哪，黑客用什么手段入侵，哪些服務(wù)器存在安全隱患，源頭在哪？必須首先進(jìn)行信息安全風(fēng)險評估。通過采集本地安全信息，獲得目前操作系統(tǒng)安全、網(wǎng)絡(luò)設(shè)備、各種安全管理、安全控制安全策略、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)等方面的數(shù)據(jù)，并進(jìn)行相應(yīng)的分析，最終找出問題根源所在，可能是WEB網(wǎng)站的代碼有程序設(shè)計缺陷，也可能是服務(wù)器的口令被暴力破解，問題可能是一個或者是多個。通過對各種挖掘出來的弱點進(jìn)行高中低風(fēng)險排序，認(rèn)清不同的弱點能帶來什么程度的風(fēng)險，并在下一步的風(fēng)險策略中進(jìn)行風(fēng)險處置。

注：為什么方案設(shè)計在一開始就要強(qiáng)調(diào)找問題。頭疼醫(yī)頭，腳疼醫(yī)腳，如果一上來就推薦安全產(chǎn)品，那只能是遠(yuǎn)水救火，無法從整體角度上有效解決信息安全問題。

3、 安全整改策略制定(Policy)

針對在風(fēng)險評估中找出的所有安全弱點，建議在以下幾個方面進(jìn)行安全整改：

#p#

4、 安全整改方案實施(Protection)

4.1 網(wǎng)站源代碼整改  

◆通過對WEB源代碼審計(Web Application Source Code Audits)，對已發(fā)現(xiàn)的腳本漏洞進(jìn)行修補(bǔ)，包括替換篡改頁面、清除掛馬頁面、填補(bǔ)安全漏洞(包括跨站腳本、目錄遍歷、SQL注入、CRLF注入、物理路徑泄露、應(yīng)用錯誤信息、腳本源碼泄露等)。

4.2 主機(jī)系統(tǒng)配置加固  

◆主機(jī)系統(tǒng)包括操作系統(tǒng)、中間件和數(shù)據(jù)庫。  

◆操作系統(tǒng)安全加固：包括Windwos、、Linux、Unix等類型的服務(wù)器操作系統(tǒng)安全加固、漏洞修補(bǔ)。其中加固項包括：用戶賬號和密碼策略、遠(yuǎn)程登錄限制和加密選項、重要目錄和文件權(quán)限限制、注冊表權(quán)限設(shè)置(win)、多余賬號和文件清除、抗DDOS攻擊設(shè)置、關(guān)閉不必要的系統(tǒng)服務(wù)、系統(tǒng)補(bǔ)丁及時安裝、日志審計等。  

◆中間件安全加固：包括IIS、Apache、Tomcat、weblogic、websphere等類型的WEB中間件的安全加固、漏洞修補(bǔ)。其中加固項包括：用戶賬號和密碼策略、加密傳輸設(shè)置、Socket數(shù)量限制、錯誤頁面處理、默認(rèn)端口更改、漏洞補(bǔ)丁包安裝等。  

◆數(shù)據(jù)庫安全加固：包括MSSQL、MYSQL、Oracle、DB2等類型的數(shù)據(jù)庫安全加固、漏洞修補(bǔ)。其中加固項包括：用戶賬號和密碼策略、遠(yuǎn)程登錄限制和加密選項、監(jiān)聽端口設(shè)置、啟用審計功能、安全更新包安裝、存儲過程控制使用。  

◆實際實施中應(yīng)根據(jù)不同的操作系統(tǒng)、中間件和數(shù)據(jù)庫類型進(jìn)行有的放矢的專項加固。因暫無了解趙明公司服務(wù)器的類型，故本文只在這里起拋磚引玉的作用。

4.3網(wǎng)絡(luò)安全產(chǎn)品部署

本方案設(shè)計采用Juniper Netscreen系列防火墻作為邊界防護(hù)，主要負(fù)責(zé)提供OSI第4層以下的基本安全環(huán)境和高速轉(zhuǎn)發(fā)能力，而采用啟明星辰入侵防御系統(tǒng)對OSI第4-7層流量的細(xì)粒度控制。采用IGuard網(wǎng)頁防篡改系統(tǒng)對網(wǎng)站應(yīng)用程序文件進(jìn)行內(nèi)核級的文件保護(hù)功能。

Juniper Netscreen產(chǎn)品介紹：  

NetScreen 系列安全系統(tǒng)是專用防火墻安全系統(tǒng)，專為大中型企業(yè)、電信運(yùn)營商和數(shù)據(jù)中心網(wǎng)絡(luò)而設(shè)計。NetScreen在一個超薄模塊化機(jī)箱內(nèi)集成了防火墻、VPN、DoS 和 DDoS 保護(hù)，以及流量管理功能。這些系統(tǒng)構(gòu)建于我們的第三代安全 ASIC 和分布式系統(tǒng)架構(gòu)之上，可提供出色的可擴(kuò)展性與靈活性，同時通過 NetScreen ScreenOS 定制操作系統(tǒng)可提供更高的安全性。

產(chǎn)品亮點總結(jié)：

1、支持安全域劃分，訪問控制策略對象管理，ASIC芯片設(shè)計，高性能防火墻的代表(和x86架構(gòu)的防火墻不在同一個級別)

2、基于模塊化設(shè)計，豐富的安全防御特性，日后根據(jù)需要還可以添加防垃圾郵件網(wǎng)關(guān)、防病毒網(wǎng)關(guān)模塊和IDS模塊功能。

啟明星辰入侵防御系統(tǒng)產(chǎn)品介紹：  

天清入侵防御系統(tǒng)（Intrusion Prevention System）是啟明星辰自行研制開發(fā)的入侵防御類網(wǎng)絡(luò)安全產(chǎn)品，圍繞深層防御、精確阻斷這個核心，通過對網(wǎng)絡(luò)中深層攻擊行為進(jìn)行準(zhǔn)確的分析判斷，在判定為攻擊行為后立即予以阻斷，主動而有效的保護(hù)網(wǎng)絡(luò)的安全。  

天清入侵防御系統(tǒng)采用的高效協(xié)議自識別方法——VFPR (Venus Fast Protocol Recognition)，該協(xié)議自識別方法基于協(xié)議指紋識別和協(xié)議規(guī)則驗證技術(shù)實現(xiàn)，能夠在網(wǎng)絡(luò)協(xié)議通信初期根據(jù)前期網(wǎng)絡(luò)報文特征自動識別所屬協(xié)議類型，并采用預(yù)先建立的協(xié)議驗證規(guī)則進(jìn)一步驗證協(xié)議識別結(jié)果正確性。對SQL注入、跨腳本攻擊等針對WEB業(yè)務(wù)的攻擊行為有很好的判斷和防御能力，和傳統(tǒng)學(xué)術(shù)界以及產(chǎn)業(yè)界的技術(shù)相比，可以做到無誤報，無漏報。

系統(tǒng)融合了基于攻擊躲避原理的阻斷方法與基于攻擊特征的阻斷方法，不但有效提高了對各種深層攻擊行為的識別能力，而且對攻擊變種、異形攻擊等無法通過特征判斷的攻擊行為也能實現(xiàn)精確阻斷。天清入侵防御系統(tǒng)的檢測防御規(guī)則庫全面兼容CVE和CNCVE，對用戶而言，提供了更詳細(xì)了解網(wǎng)絡(luò)中發(fā)生行為的機(jī)會。

天清入侵防御系統(tǒng)（IPS）融入了啟明星辰公司在入侵攻擊識別方面的積累和研究成果，使其在精確阻斷方面達(dá)到國際領(lǐng)先水平，不僅可以對網(wǎng)絡(luò)蠕蟲、間諜軟件、溢出攻擊、數(shù)據(jù)庫攻擊等多種深層攻擊行為進(jìn)行主動阻斷，而且能夠有效的防御像SQL注入、跨站腳本攻擊這些針對應(yīng)用業(yè)務(wù)的攻擊行為，彌補(bǔ)了其它安全產(chǎn)品深層防御效果的不足。

產(chǎn)品亮點總結(jié)：

1、采用基于協(xié)議指紋識別和協(xié)議規(guī)則驗證技術(shù)的VFPR協(xié)議自識別方法， WEB業(yè)務(wù)深層防御能力較強(qiáng)。

2、系統(tǒng)融合了基于攻擊躲避原理的阻斷方法與基于攻擊特征的阻斷方法，檢測防御規(guī)則庫兼容CVE（Common Vulnerabilities and Exposures，國際通用漏洞披露庫），精確阻斷達(dá)到國際領(lǐng)先水平。

iGuard網(wǎng)頁防篡改系統(tǒng)：  

采用先進(jìn)的核心內(nèi)嵌技術(shù)

上海天存信息有限公司推出的iGuard網(wǎng)頁防篡改系統(tǒng)采用先進(jìn)的Web服務(wù)器核心內(nèi)嵌技術(shù)，將篡改檢測模塊（數(shù)字水印技術(shù)）和應(yīng)用防護(hù)模塊（防注入攻擊）內(nèi)嵌于Web服務(wù)器內(nèi)部，并輔助以增強(qiáng)型事件觸發(fā)檢測技術(shù)，不僅實現(xiàn)了對靜態(tài)網(wǎng)頁和腳本的實時檢測和恢復(fù)，更可以保護(hù)數(shù)據(jù)庫中的動態(tài)內(nèi)容免受來自于Web的攻擊和篡改，徹底解決網(wǎng)頁防篡改問題。

采用事件觸發(fā)機(jī)制，確保系統(tǒng)資源不被浪費(fèi)，不同于一些文件輪詢掃描式或外掛式的頁面防篡改軟件，iguard 的頁面防篡改模塊采用的是與Web 服務(wù)器底層文件夾驅(qū)動級保護(hù)技術(shù)，與操作系統(tǒng)緊密結(jié)合的。而且是在Web 服務(wù)器對外發(fā)送網(wǎng)頁時進(jìn)行網(wǎng)頁防篡改檢測。這樣做不僅完全杜絕了輪詢掃描式頁面防篡改軟件的掃描間隔中被篡改內(nèi)容被用戶訪問的可能，其所消耗的內(nèi)存和CPU占用率也遠(yuǎn)遠(yuǎn)低于文件輪詢掃描式或外掛式的同類軟件。 

基于雙向檢測機(jī)制的防篡改原理

iGuard網(wǎng)頁防篡改系統(tǒng)的篡改檢測模塊使用密碼技術(shù)，為網(wǎng)頁對象計算出唯一性的數(shù)字水印。公眾每次訪問網(wǎng)頁時，都將網(wǎng)頁內(nèi)容與數(shù)字水印進(jìn)行對比；一旦發(fā)現(xiàn)網(wǎng)頁被非法修改，即進(jìn)行自動恢復(fù)，保證非法網(wǎng)頁內(nèi)容不被公眾瀏覽，完全實時地杜絕篡改后的網(wǎng)頁被訪問的可能性；同時，iGuard的應(yīng)用防護(hù)模塊對用戶輸入的URL地址和提交的表單內(nèi)容進(jìn)行檢查，任何對數(shù)據(jù)庫的注入式攻擊都能夠被實時阻斷，從而杜絕任何使用Web方式對后臺數(shù)據(jù)庫的篡改。

產(chǎn)品亮點總結(jié)：

1、第三代全新防篡改技術(shù)，先進(jìn)的系統(tǒng)驅(qū)動級文件保護(hù)技術(shù)，基于事件觸發(fā)式監(jiān)測機(jī)制，高效實現(xiàn)了網(wǎng)頁監(jiān)測與防護(hù)功能

McAfee數(shù)據(jù)防泄漏產(chǎn)品介紹：  

McAfee 推出了業(yè)界全面的解決方案McAfee Data Loss Prevention，該解決方案采用了強(qiáng)大的加密、身份驗證、數(shù)據(jù)丟失防護(hù)和策略驅(qū)動型安全控制技術(shù)來為您的機(jī)密數(shù)據(jù)提供保護(hù)，隨時隨地防止未經(jīng)授權(quán)的人或組織訪問和傳輸您的機(jī)密數(shù)據(jù)。

數(shù)據(jù)丟失防護(hù)

1. 管理用戶通過網(wǎng)絡(luò)、應(yīng)用程序和存儲設(shè)備發(fā)送、訪問和打印機(jī)密數(shù)據(jù)的方式，其中包括：電子郵件、Webmail、P2P 應(yīng)用程序、即時消息、Skype、HTTP、HTTPS、FTP、Wi-FI、USB、CD、DVD、打印機(jī)、傳真和移動存儲設(shè)備

2. 防止由木馬、蠕蟲和文件共享應(yīng)用程序?qū)е碌臋C(jī)密數(shù)據(jù)丟失，這類威脅會竊取員工的憑據(jù)

3. 即使數(shù)據(jù)經(jīng)過了修改、復(fù)制、粘貼、壓縮或加密，也能夠有效確保各項數(shù)據(jù)、格式和派生數(shù)據(jù)不會被竊取或篡改，而且不會影響合法的業(yè)務(wù)活動企業(yè)級設(shè)備加密

4. 自動對整個設(shè)備進(jìn)行加密，無需用戶介入或相關(guān)培訓(xùn)，而且不影響系統(tǒng)資源

5. 全盤加密支持包括 AES-256 和 RC5-1024 在內(nèi)的多種標(biāo)準(zhǔn)算法

6. 使用強(qiáng)大的多要素身份驗證技術(shù)來識別并驗證用戶是否是經(jīng)過授權(quán)

文件和文件夾持續(xù)加密

1. 通過向文件自動添加文件頭（此文件頭會始終伴隨受保護(hù)文件）可以確保文件始終是加密的（即使在文件不使用時）

2. 無論文件和文件夾保存在什么位置（本地硬盤、文件服務(wù)器、移動介質(zhì)甚至是電子郵件附件），均能確保它們的安全

集中管理控制臺

1. 使用 ePO 指定詳細(xì)的基于內(nèi)容的過濾、監(jiān)控和攔截規(guī)則，防止未經(jīng)授權(quán)的人或組織訪問機(jī)密數(shù)據(jù)

2. 全盤、文件和文件夾加密；控制策略和補(bǔ)丁程序管理；恢復(fù)丟失的密鑰；證明遵從法規(guī)

3. 實現(xiàn)安全策略與 Active Directory、Novell NDS、PKI 等其他技術(shù)的同步

先進(jìn)的報告和審核功能

1. 借助豐富的審核功能證明設(shè)備是經(jīng)過加密的

2. 記錄與數(shù)據(jù)相關(guān)的信息，例如發(fā)件人、收件人、時間戳、數(shù)據(jù)證據(jù)、上次成功登錄日期和時間、上次接收更新的日期和時間以及加密是否成功等

產(chǎn)品亮點總結(jié)：

1、多層防護(hù)功能，覆蓋范圍廣，涉及所有服務(wù)器、數(shù)據(jù)庫及終端上的數(shù)據(jù)都能受到保護(hù)，能跨平臺兼容不同類型的操作系統(tǒng)。  

2、不論是無意還是惡意的拷貝、刪除，McAfee DLP都能防止由內(nèi)部人員或黑客導(dǎo)致的數(shù)據(jù)丟失，即使數(shù)據(jù)進(jìn)行了偽裝。

4.4網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化調(diào)整  

部署一系列網(wǎng)絡(luò)安全產(chǎn)品后，接下來就是進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化調(diào)整。借助防火墻劃分內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)和DMZ區(qū)域(非軍事區(qū))，內(nèi)網(wǎng)區(qū)再細(xì)劃分為內(nèi)部辦公區(qū)，內(nèi)部服務(wù)器區(qū)和網(wǎng)管監(jiān)控區(qū)。將IPS、負(fù)載均衡網(wǎng)關(guān)、WEB服務(wù)器依次部署到DMZ區(qū)域，文件服務(wù)器和數(shù)據(jù)庫服務(wù)器移到內(nèi)部服務(wù)器區(qū)域，所有控制臺和監(jiān)控端移到網(wǎng)管監(jiān)控區(qū)。調(diào)整后的網(wǎng)絡(luò)拓?fù)鋱D如圖所示：  

部署順序基于以下原則考慮：  

1、從策略上來分析，防火墻的特性是先拒絕任何訪問，然后配置允許訪問規(guī)則；IPS的特性是先允許任何訪問，然后根據(jù)特征庫拒絕某些非法的訪問。從防御能力上分析，防火墻主要負(fù)責(zé)提供OSI第1-4層的基本安全環(huán)境和高速轉(zhuǎn)發(fā)能力，而入侵防御系統(tǒng)(IPS)對OSI第4-7層粒度流量進(jìn)行行為阻斷。將防火墻部署在IPS之前，首先防火墻抵御基本的端口掃描/DDOS/DOS/CC攻擊，而將4-7層尤其是應(yīng)用層的攻擊交給IPS專心防御，能起到事半功倍的效果。  

2、由于負(fù)載均衡網(wǎng)關(guān)主要是用于平衡服務(wù)器負(fù)載、監(jiān)控主備服務(wù)器的運(yùn)行狀態(tài)并進(jìn)行流量分配和訪問加速，自身沒有太多的安全防護(hù)措施，故將部署在IPS之后，WEB服務(wù)器之前。  

3、數(shù)據(jù)庫服務(wù)器和文件服務(wù)器承載著公司關(guān)鍵業(yè)務(wù)信息，應(yīng)和WEB服務(wù)器相分離而部署在內(nèi)網(wǎng)，并在防火墻設(shè)置外網(wǎng)訪問者不允許訪問內(nèi)網(wǎng)的服務(wù)器，外部訪客的數(shù)據(jù)查詢必須是先發(fā)送到WEB服務(wù)器，由WEB服務(wù)器向DB服務(wù)器進(jìn)行查詢請求。  

4、日志監(jiān)控端、IPS控制臺和IGuard網(wǎng)頁防篡改服務(wù)端劃分到網(wǎng)管和監(jiān)控端，并且將所有安全設(shè)備的管理口獨(dú)立接入網(wǎng)管監(jiān)控區(qū)，并不與局域網(wǎng)核心交換機(jī)相連，實現(xiàn)帶外網(wǎng)管功能。將網(wǎng)絡(luò)的管理控制信息與用戶網(wǎng)絡(luò)的承載業(yè)務(wù)信息在不同的物理信道傳送，可以有效防止當(dāng)業(yè)務(wù)網(wǎng)停頓后無法快速對安全設(shè)備進(jìn)行管理，通常這種情況出現(xiàn)在局域網(wǎng)爆發(fā)大規(guī)模病毒導(dǎo)致交換機(jī)癱瘓、防火墻遭受DDOS/CC攻擊等以上的緊急事件中。  

5、以上規(guī)劃僅從安全角度考慮出發(fā)，如果對業(yè)務(wù)連續(xù)性有較高的要求，可在網(wǎng)絡(luò)重要節(jié)點部署雙機(jī)熱備、雙主備鏈路和冗余電信/網(wǎng)通出口等。 #p#

5、 建立IT綜合安全運(yùn)營中心(Protection+ Reaction+ Restoration)

隨著更多的安全產(chǎn)品或其他IT設(shè)備部署，趙明如何能分身乏術(shù)通過有效的技術(shù)手段和措施來保障系統(tǒng)的安全運(yùn)行，一個突出的問題是對各安全設(shè)備和安全控制系統(tǒng)的管理分散，簡單來說，IPS日志、防火墻日志、網(wǎng)頁篡改日志、防病毒日志和大量的操作系統(tǒng)審計日志誰來看，怎么看？一旦遇到入侵事件如何實時報警？從深層次的原因分析，來源與防火墻、入侵檢測、漏洞掃描、防病毒、內(nèi)網(wǎng)管理等等安全設(shè)備的事件隨著互聯(lián)網(wǎng)攻擊行為和蠕蟲的泛濫，在一個中等規(guī)模的網(wǎng)絡(luò)上就可以形成海量安全事件。這些事件中又存在非常多的誤報和重復(fù)現(xiàn)象，在進(jìn)行事件分析時，由于只考慮事件本身的嚴(yán)重程度，沒有和實際的業(yè)務(wù)和資產(chǎn)情況結(jié)合，使得一些潛在的威脅往往被忽略。從中可以看出，在部署一系列的產(chǎn)品后，趙明所在公司缺乏全網(wǎng)統(tǒng)一的安全集中控制和處理機(jī)制，難以從全局掌握全網(wǎng)的安全情況，及時調(diào)整安全策略以適應(yīng)網(wǎng)絡(luò)安全動態(tài)性和整體性要求。

IT綜合安全運(yùn)營中心(Security Operation Center，簡稱SOC)的建設(shè)是解決這一課題的重要手段，SOC由安全信息平臺、安全事件平臺、運(yùn)營維護(hù)制度、安全支持服務(wù)、專業(yè)維護(hù)人員等一系列產(chǎn)品、服務(wù)人員、管理制度的建設(shè)所構(gòu)成。

IT綜合安全運(yùn)營中心是由“四個中心、五個功能模塊”組成的綜合安全運(yùn)行管理中心?！八膫€中心”是：漏洞評估中心、事件監(jiān)控中心、綜合分析決策支持與預(yù)警中心和響應(yīng)管理中心；“五個功能模塊”是：策略配置管理、資源管理、用戶管理、安全知識管理和中心自身安全。 

四個中心  

事件監(jiān)控中心

監(jiān)控各個網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件報警信息等，以便及時發(fā)現(xiàn)正在和已經(jīng)發(fā)生的安全事件，例如網(wǎng)絡(luò)蠕蟲攻擊事件、非授權(quán)漏洞掃描事件、遠(yuǎn)程口令暴力破解事件等，及時協(xié)調(diào)和組織各級安全管理機(jī)構(gòu)進(jìn)行處理，及時采取積極主動措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運(yùn)行。

漏洞評估中心

通過漏洞評估中心可以掌握全網(wǎng)各個系統(tǒng)中存在的安全漏洞情況，結(jié)合當(dāng)前安全的安全動態(tài)和預(yù)警信息，有助于各級安全管理機(jī)構(gòu)及時調(diào)整安全策略，開展有針對性的安全工作，并且可以借助弱點評估中心的技術(shù)手段和安全考核機(jī)制可以有效督促各級安全管理機(jī)構(gòu)將安全工作落實。

綜合分析決策支持與預(yù)警中心

綜合分析決策支持與預(yù)警中心是綜合安全運(yùn)行管理平臺的核心模塊，其接收來自安全事件監(jiān)控中心、性能監(jiān)控中心和故障監(jiān)控中心的事件與性能故障信息，依據(jù)資產(chǎn)與脆弱性管理平臺進(jìn)行綜合的事件與性能故障協(xié)同關(guān)聯(lián)分析，并基于資產(chǎn)和網(wǎng)絡(luò)拓?fù)溥M(jìn)行風(fēng)險評估關(guān)聯(lián)分析，按照風(fēng)險優(yōu)先級針對各個業(yè)務(wù)區(qū)域和具體事件產(chǎn)生預(yù)警，參考網(wǎng)絡(luò)安全運(yùn)行知識管理平臺的信息，并依據(jù)安全策略配置管理平臺的策略驅(qū)動響應(yīng)管理中心進(jìn)行響應(yīng)處理。

應(yīng)急管理中心

僅僅及時檢測到安全事件是不夠的，必須做出即時的、正確的響應(yīng)才能保證網(wǎng)絡(luò)的安全。應(yīng)急響應(yīng)中心主要是通過工單管理系統(tǒng)來實現(xiàn)的。應(yīng)急響應(yīng)中心接收由風(fēng)險管理中心根據(jù)安全威脅事件生成的事件通知單，并對事件通知單的處理過程進(jìn)行管理，將所有事件響應(yīng)過程信息存入后臺數(shù)據(jù)庫，并可生成事件處理和分析報告。響應(yīng)管理中心負(fù)責(zé)針對所管轄網(wǎng)絡(luò)的安全事件、風(fēng)險與故障告警利用通知系統(tǒng)（E-mail、短信和即時消息）、工單系統(tǒng)、聯(lián)動系統(tǒng)和補(bǔ)丁管理系統(tǒng)進(jìn)行響應(yīng)處理。

五個功能模塊

策略和配置管理

網(wǎng)絡(luò)安全的整體性要求需要有統(tǒng)一安全策略的管理。通過為全網(wǎng)安全管理人員提供統(tǒng)一的安全策略，指導(dǎo)各級安全管理機(jī)構(gòu)因地制宜的做好安全策略的部署工作，有利于在全網(wǎng)形成安全防范的合力，提高全網(wǎng)的整體安全防御能力，同時通過SOC策略和配置管理平臺的建設(shè)可以進(jìn)一步完善整個IP網(wǎng)絡(luò)的安全策略體系建設(shè)，為指導(dǎo)各項安全工作的開展提供行動指南，有效解決目前因缺乏口令、認(rèn)證、訪問控制等方面策略而帶來到安全風(fēng)險問題。

安全知識管理

安全運(yùn)行知識管理平臺是安全運(yùn)行知識庫信息管理和發(fā)布系統(tǒng)，不僅可以充分共享各種安全運(yùn)行信息資源，而且也會成為各級網(wǎng)絡(luò)安全運(yùn)行管理機(jī)構(gòu)和技術(shù)人員之間進(jìn)行安全知識和經(jīng)驗交流的平臺，有助于提高人員的安全技術(shù)水平和能力。

資源管理

資源管理平臺主要包括兩個方面：人力資源管理和資產(chǎn)管理。人力資源管理保證在需要的時候，可以找到合適的人。資產(chǎn)管理主要是管理SOC監(jiān)控范圍的各個系統(tǒng)和設(shè)備，是風(fēng)險管理、事件監(jiān)控協(xié)同工作和分析的基礎(chǔ)。

用戶管理

安全運(yùn)營中心提供用戶集中管理的功能，對用戶可以訪問的資源權(quán)限進(jìn)行細(xì)致的劃分，具備安全可靠的分級及分類用戶管理功能，要求支持用戶的身份認(rèn)證、授權(quán)、用戶口令修改等功能；支持不同的操作員具有不同的數(shù)據(jù)訪問權(quán)限和功能操作權(quán)限。系統(tǒng)管理員應(yīng)能對各操作員的權(quán)限進(jìn)行配置和管理，要有完整的安全控制手段,對用戶和系統(tǒng)管理員的權(quán)限進(jìn)行分級管理。

中心自身安全

安全運(yùn)營中心作為整個網(wǎng)絡(luò)安全運(yùn)行的監(jiān)控者和管理者，其中的每一步關(guān)鍵操作都會對整個網(wǎng)絡(luò)安全產(chǎn)生重要影響，甚至?xí)淖兙W(wǎng)絡(luò)運(yùn)行方式和運(yùn)行狀態(tài)，因此綜合安全運(yùn)行管理中心體系自身的安全性非常重要。綜合安全運(yùn)行管理中心體系的自身安全包括多方面，如物理安全，數(shù)據(jù)安全，通訊安全等。綜合安全運(yùn)行管理中心在總體設(shè)計時必須考慮綜合安全運(yùn)行管理中心體系的使用安全和管理流程安全。

通過建立SOC，不僅集中收集、過濾、智能關(guān)聯(lián)分析安全信息，提供網(wǎng)絡(luò)和主機(jī)的信息安全視圖和安全趨勢，同時也重點關(guān)注公司內(nèi)部安全的有效控制。將企業(yè)的信息安全狀況從一個難以了解、難以猜測的黑匣子變成一個透明的、可以呈現(xiàn)的玻璃盒子，從而能夠整體展示企業(yè)整體的和局部的信息安全的狀況。幫助企業(yè)降低信息

安全整體的管理成本,提高信息安全管理水平,保證企業(yè)的業(yè)務(wù)可持續(xù)性。

四、 總結(jié)

綜觀整個安全整改及加固方案，通過進(jìn)行風(fēng)險評估(A)，安全整改策略制定(P)，整改方案實施(P)，IT綜合安全運(yùn)營中心建立(P+R+R)，最終實現(xiàn)了APPDRR模型的閉環(huán)循環(huán)。同時我們也必須認(rèn)清到，不存在百分之百的靜態(tài)的網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全表現(xiàn)為一個不斷改進(jìn)的過程。通過風(fēng)險評估、安全策略、系統(tǒng)防護(hù)、動態(tài)檢測、實時響應(yīng)和災(zāi)難恢復(fù)六環(huán)節(jié)的循環(huán)流動，網(wǎng)絡(luò)安全逐漸地得以完善和提高，從而實現(xiàn)保護(hù)網(wǎng)絡(luò)資源的網(wǎng)絡(luò)安全目標(biāo)。

【編輯推薦】

1. “拯救網(wǎng)站運(yùn)維經(jīng)理趙明”有獎?wù)骷顒?/A>
2. 高端網(wǎng)絡(luò)防護(hù)不能“照葫蘆畫瓢”
3. 安全知識之加強(qiáng)網(wǎng)絡(luò)防護(hù)的四個步驟
4. 十招多層次網(wǎng)絡(luò)防護(hù)措施打造企業(yè)安全VoIP