论文部分内容阅读
泉州网是国务院新闻办批准的具有新闻登载资格的福建省重点新闻网站之一,也是泉州市惟一的新闻网站和区域门户网站。2007年,泉州网的硬件平台进行了全面的升级,带宽也从原来的10兆接入提高到共享100兆。网站接入带宽提速后,网站的访问量明显提高。与此同时,网站的安全问题也日益显现。如何有效地对网站运营服务器进行安全加固,并使安全投资最优化,成为泉州网系统维护人员面临的新难题。2007年年底,泉州网与泉州电信公司签署主机托管合作协议,根据网站运行的实际情况,着力健全网站主动防御安全体系,从根源上解决目前日益多样化的网络安全事件给泉州网带来的潜在危害。本次项目的实施得到了绿盟科技专业安全工程师的大力支持。
如图所示,泉州网的服务器(web站点、论坛、视频、应用、备份)都托管在泉州电信东海IDC机房。
目前,对泉州网服务器除进行日常的数据更新和维护外,技术人员还针对每台服务器进行不定时安全加固,每周服务器风险评估,实时在线过滤,针对问题随时进行故障应急响应等相关工作。
安全加固
首先是对泉州网的托管服务器在入网前进行专业服务器安全加固。主要从系统补丁安装、系统杀毒软件强制升级和防火墙策略更新、系统帐户权限强化,加强服务器系统日志审核,过滤常见危险服务、系统关键文件权限限制、相关应用服务(如IIS、Apache、SQL)强化等多方面来进行。
风险评估
通过“极光”远程安全评估系统对泉州网的服务器进行及时漏洞检测和漏洞修补,并自动反复确认补丁修补情况,具体的风险评估过程包含以下5个部分:
1)对所有服务器进行相关资产(包括硬件信息和软件信息)登记;
2)自动周期(每周一次)对服务器的漏洞(含系统和应用程序漏洞)进行评估,并将结果自动发送和保存;
3)对漏洞评估的结果进行定性和定量的风险分析,并根据资产重要性给出可操作性强的漏洞修复方案;
4)根据漏洞修复方案对服务器存在的漏洞进行合理的修复;
5)自动对修复完毕的漏洞进行修复确认。
另外,通过“极光”远程安全评估系统对所有站点进行深入细致的SQL注入节点检测,及时修补站点可能存在的SQL注入节点。
在线过滤
如图所示,我们在城域网核心路由器和IDC核心交换机之间,旁路部署“黑洞”抗拒绝服务设备,以及在泉州网服务器的接入层部署了“冰之眼”入侵保护系统。
通过“冰之眼”入侵保护系统主动防御已知和未知攻击,实时阻断各种黑客攻击,如缓冲区溢出、SQL注入、暴力猜测、扫描探测、非授权访问、蠕虫病毒、木马后门、间谍软件等,广泛精细的应用防护避免服务器遭受安全损失。
在IDC和城域网之间旁路部署“黑洞”抗拒绝系统,通过自动检测、旁路牵引的方式对到达托管服务器的DDOS攻击流量进行有效过滤。
通过“黑洞”抗拒绝服务系统对SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽这些常见的攻击行为能够有效识别,并通过集成的机制实时对这些攻击流量进行阻断。具体“黑洞”旁路部署的实现机制及工作原理如下:
1)流量监控:流量监控和攻击检测是通过黑洞Probe设备来实现的。在路由器Cisco7609-1和Cisco7609-2上启用Netflow功能,配置Netflow流指向黑洞集群Probe,Probe设备对发来的数据进行分析,进行流量监控和检测流量中是否有DDOS攻击。
2)攻击流量牵引:当Probe检测到有DDOS攻击后,会向4台Defender设备发送通告,通知黑洞集群Defender设备进行相应流量牵引操作,将攻击流量牵引至黑洞设备,进行相应流量净化。牵引流量将直接从城域网核心设备Juniper M320及Cisco GSR12816进入黑洞Defender,保证了网络的出口带宽不受攻击流量的影响。
3)流量净化:攻击流量经流量牵引至黑洞集群Defender,黑洞Defender设备将根据攻击特征进行相应流量净化,将流量攻击部分进行过滤,而包含在攻击流量中的正常用户访问流量将不受影响,在流量净化后依然返回IDC核心交换机Cisco 7609。
4)流量的注入:经过流量净化的正常用户访问流量将通过黑洞集群Defender注入回Cisco 7609,再由Cisco 7609通过正常路由链路将流量送到服务器。
通过部署“冰之眼”入侵检测系统和“黑洞”抗拒绝服务系统,对泉州网托管服务器进行实时在线攻击行为过滤,整个在线过滤净化过程全部自动完成,无需人员参与,大大减少了工作人员的劳动强度、提高了遭受攻击的反应速度,保证泉州网安全稳定运行。
应急响应
泉州网托管服务器采取“专人负责、及时响应、限时处理”的维护机制,有资深的信息安全工程师负责维护,应急响应的主要内容有病毒事件响应、系统入侵事件响应、网络故障事件响应、拒绝服务攻击事件响应。
综上所述,泉州网目前通过入网服务器安全加固、定时服务器风险评估、实时在线攻击过滤、专业组织应急响应,可以有效地保证重点新闻网站泉州网高效、安全、稳定的运行。
如图所示,泉州网的服务器(web站点、论坛、视频、应用、备份)都托管在泉州电信东海IDC机房。
目前,对泉州网服务器除进行日常的数据更新和维护外,技术人员还针对每台服务器进行不定时安全加固,每周服务器风险评估,实时在线过滤,针对问题随时进行故障应急响应等相关工作。
安全加固
首先是对泉州网的托管服务器在入网前进行专业服务器安全加固。主要从系统补丁安装、系统杀毒软件强制升级和防火墙策略更新、系统帐户权限强化,加强服务器系统日志审核,过滤常见危险服务、系统关键文件权限限制、相关应用服务(如IIS、Apache、SQL)强化等多方面来进行。
风险评估
通过“极光”远程安全评估系统对泉州网的服务器进行及时漏洞检测和漏洞修补,并自动反复确认补丁修补情况,具体的风险评估过程包含以下5个部分:
1)对所有服务器进行相关资产(包括硬件信息和软件信息)登记;
2)自动周期(每周一次)对服务器的漏洞(含系统和应用程序漏洞)进行评估,并将结果自动发送和保存;
3)对漏洞评估的结果进行定性和定量的风险分析,并根据资产重要性给出可操作性强的漏洞修复方案;
4)根据漏洞修复方案对服务器存在的漏洞进行合理的修复;
5)自动对修复完毕的漏洞进行修复确认。
另外,通过“极光”远程安全评估系统对所有站点进行深入细致的SQL注入节点检测,及时修补站点可能存在的SQL注入节点。
在线过滤
如图所示,我们在城域网核心路由器和IDC核心交换机之间,旁路部署“黑洞”抗拒绝服务设备,以及在泉州网服务器的接入层部署了“冰之眼”入侵保护系统。
通过“冰之眼”入侵保护系统主动防御已知和未知攻击,实时阻断各种黑客攻击,如缓冲区溢出、SQL注入、暴力猜测、扫描探测、非授权访问、蠕虫病毒、木马后门、间谍软件等,广泛精细的应用防护避免服务器遭受安全损失。
在IDC和城域网之间旁路部署“黑洞”抗拒绝系统,通过自动检测、旁路牵引的方式对到达托管服务器的DDOS攻击流量进行有效过滤。
通过“黑洞”抗拒绝服务系统对SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽这些常见的攻击行为能够有效识别,并通过集成的机制实时对这些攻击流量进行阻断。具体“黑洞”旁路部署的实现机制及工作原理如下:
1)流量监控:流量监控和攻击检测是通过黑洞Probe设备来实现的。在路由器Cisco7609-1和Cisco7609-2上启用Netflow功能,配置Netflow流指向黑洞集群Probe,Probe设备对发来的数据进行分析,进行流量监控和检测流量中是否有DDOS攻击。
2)攻击流量牵引:当Probe检测到有DDOS攻击后,会向4台Defender设备发送通告,通知黑洞集群Defender设备进行相应流量牵引操作,将攻击流量牵引至黑洞设备,进行相应流量净化。牵引流量将直接从城域网核心设备Juniper M320及Cisco GSR12816进入黑洞Defender,保证了网络的出口带宽不受攻击流量的影响。
3)流量净化:攻击流量经流量牵引至黑洞集群Defender,黑洞Defender设备将根据攻击特征进行相应流量净化,将流量攻击部分进行过滤,而包含在攻击流量中的正常用户访问流量将不受影响,在流量净化后依然返回IDC核心交换机Cisco 7609。
4)流量的注入:经过流量净化的正常用户访问流量将通过黑洞集群Defender注入回Cisco 7609,再由Cisco 7609通过正常路由链路将流量送到服务器。
通过部署“冰之眼”入侵检测系统和“黑洞”抗拒绝服务系统,对泉州网托管服务器进行实时在线攻击行为过滤,整个在线过滤净化过程全部自动完成,无需人员参与,大大减少了工作人员的劳动强度、提高了遭受攻击的反应速度,保证泉州网安全稳定运行。
应急响应
泉州网托管服务器采取“专人负责、及时响应、限时处理”的维护机制,有资深的信息安全工程师负责维护,应急响应的主要内容有病毒事件响应、系统入侵事件响应、网络故障事件响应、拒绝服务攻击事件响应。
综上所述,泉州网目前通过入网服务器安全加固、定时服务器风险评估、实时在线攻击过滤、专业组织应急响应,可以有效地保证重点新闻网站泉州网高效、安全、稳定的运行。