案例:某电力系统服务器群组防护系统方案解决方案
1 引言
在网络中,服务器系统遭受破坏,轻则系统瘫痪,正常业务不能运行,给企业带来巨大麻烦;重则信息被篡改或泄露损坏,不仅影响企业形象,也可能造成不可估量的损失。从近年来的IDC调查表明,“目前大概有70%的攻击是基于Web应用进行的,因为Web应用系统缺少有效的防护措施而造成的机密数据丢失的事件则是更多。更为严重的是,很多情况下数据已经丢失了却丝毫没有觉察到,这为企业以及个人带来许多难以估量的损失。”
2 电力行业服务器存在的隐患和面临的威胁
随着国家经济建设的不断发展,电力系统作为关乎国计民生的基础能源行业,在国家经济发展中的地位越来越重要。信息化的发展,网络的引入,提高了电力系统的业务效率,从而提高了国民生产力。电力系统信息网络是一个相对开放的系统,根据行政管理和业务扩展的需求,各业务部门网络需要与其他业务部门或职能部门网络系统甚至互联网络上进行信息交换,因此,也就面临着网络安全问题,主要服务器和主机面临网络攻击和计算机病毒的侵害,电力信息系统信息安全问题已威胁到电网系统的安全、稳定、经济、优质运行,影响着“数字电力系统”的实质进程。
电力系统中众多的服务器,作为资源信息的提供者,在电力系统信息化建设中的地位越来越重要。在服务器攻击愈演愈烈的当下,如何保障电力系统服务器群组的安全?如何保证电力系统信息化建设持续安全的发展?某电力系统服务器包括了数据库服务器、应用服务器、Web服务器、算费服务器、银电联网服务器,邮件服务器等,以及各种核心业务数据系统。这些业务系统有效地将供电局,生产和管理与部门,人员,业务连接起来,实现工作,管理的高效优质与协同。这使得服务器成为该电力系统核心信息最为集中的设施,是全面保密安全管理的重点领域。而这些系统大都采用Web方式执行关键应用。
目前电力系统服务器群组主要存在以下问题:
(1)电力行业的网络中,存在众多服务器,每个服务器拥有独立的认证系统,缺乏统一的权限管理策略,而且不便于管理员进行有效管理。
(2)服务区中的Web服务器和流媒体服务器面向互联网提供HTTP服务和网络视频服务,长期遭受来自互联网的DDoS,各类注入式攻击以及蠕虫和木马病毒的侵袭,并且经常发生页面篡改的事故。
(3)服务区中的邮件服务器向互联网用户和公司用户提供邮件服务,大量的垃圾邮件让邮件服务器不堪重负,同时由于无法进行有效的信息监管,常会发生公司员工通过邮件传递公司机密信息的安全事件。
(4)服务区中的数据服务器为其他服务器提供用户信息和文件信息的存储功能,由于权限划分不明确,外部黑客经常利用SQL注入、脚本注入、命令注入方式窃取/篡改数据库信息。
(5)服务区中的数字办公系统向公司内部员工提供办公信息交流服务,由于权限力度不够,经常发生匿名用户盗用他人账号,并利用非法账号盗取公司信息的安全事故。
(6)服务区中的FTP服务器和文件/密钥管理服务器向公司内部员工提供文件上传/下载服务和用户文件管理/证书管理服务,由于没有配置相应的安全策略保护,经常遭受DoS攻击,缓冲区溢出攻击以及synflood,udpflood,icmpflood等攻击。
(7)对于电力公司下属子公司和移动办公用户,由于与总公司服务器通信过程中有些机密信息由于没有采取加密措施,很容易被窃听而泄密。另外,银电联网服务器与终端的通讯业应采用加密措施,保证数据传输的安全。
(8)服务器缺乏日志信息或独立的服务器日志导致日志信息不便于统一管理。
(9)对于网络风险缺乏监控和预测,对服务器存在风险漏洞不能及时发现,因而难以做到防患于未然。
传统的安全设备针对以上问题缺乏足够的保护。例如,防火墙主要工作在网络层,根据地址和端口进行数据报文的过滤,无法检测到应用层的攻击;IPS/IDS则主要是通过攻击特征对网络中的报文进行检测和过滤,由于缺少协议完整性检测以及应用层的运行状态,对于一些伪冒正常请求的特征攻击无法检测,如:SQL注入、CC攻击等。
3.1设计目标
(1)安全加固。重点对Web服务器和邮件服务器实行保护。
(2)资源整合。对服务器群实行统一安全管理,优化原有网络资源。
(3)降低客户维护成本。统一安全策略,统一日志记录,集中服务器状态监测。
(4)是一种融合多种技术实现的安全解决方案。多种安全技术组合使用,全面保证服务器安全。
3.2技术构成
如图1所示,系统将通过对网络层、传输层、会话层到应用层的全面防护和管理,实现服务器应用系统的全方位、多层次立体防护,系统中综合运用消极安全模型与积极安全模型,对协议完整性检测、基于特征的应用层攻击检测、基于访问行为的攻击检测等技术进行有机结合,有效地对各种安全攻击进行防护,提高服务器应用系统的安全性。
图1系统在协议层的安全防护技术
3.3功能实现
方案设计使用捷普公司的服务器群组防护系统,这是捷普公司历时三年在国内首家推出的服务器防护产品,着眼于用户网络中服务器群组的安全,该产品综合运用异常行为检测技术、异常状态检测技术和异常内容检测技术,对网络层、传输层和应用层都起到了完善的保护作用,从而实现服务器多层次立体化的全方位防护。功能实现如图2所示。
图2 服务器群组防护功能实现
捷普服务器群组防护系统功能具体描述:
(1)认证授权和单点臀录统一的权限管理和单点登录功能,可以实现统一口令管理。解决了电力系统服务器群组管理繁杂的问题,方便网络管理人员操作,同时也便于用户使用,达到服务器资源的整合和优化。
(2)Web防火墙功能针对目前流行Web攻击特征库,设计出一套精确度高,覆盖面广,执行效率高的Web防护规则,能防护各类常见的Web应用攻击或威胁,如蠕虫、黑客攻击、SQL注入、跨站脚本、网页盗链、甚至变形或混合型的攻击,对电力系统的Web服务器进行了有力的实时保护。
(3)页面防篡改服务器防护系统将外挂轮询技术与事件触发技术,对访问敏感目录或采用敏感访问方法的数据报进行严格审计,同时对服务器页面进行轮询,一旦发现篡改页面立即对其进行恢复,保障了电力系统Web服务器的网页内容安全。
(4)反垃圾邮件功能采用先进的邮件过滤技术,对来自设定的垃圾邮件网关的邮件进行严格过滤,并能够通过邮件内容中的关键字判断邮件中是否含有公司机密信息,进而对该邮件进行拦截;保障了电力系统邮件服务器的安全。
(5)灵活的访问控制规则提供基于IP报文五元组(源/目的IP、源/目的端口号以及协议类型)访问控制,根据实际网络环境,配置合理网络安全策略,杜绝匿名用户通过其他端口入侵受保护服务器,同时亦满足电力系统用户环境的访问需要;
(6)SSL VPN功能独特的https终端和代理功能,既可以加强信息在网络上的安全传输,又可以释放服务器SSL运算负载,达到提升网络总体效率的功能;保障了电力系统总公司与各下属公司通讯的安全;保障了电力系统银电联网服务器与各终端之间通讯的安全。
(7)日志审计功能统一日志记录,方便管理。日志内容丰富详实,既可以作为审计证据,又可以用来统计分析,方便了网络管理员的管理。
(8)状态检测和风险监测全面检测系统状态,便于管理人员及时掌握网络状况。风险监测功能为管理人员提供直观的历史风险趋势图,帮助管理人员发现风险并及时采取措施。
3.4应用部署
电力行业服务器群组防护解决方案的具体应用部署如图3所示。
图3 电力行业服务器群组防护应用部署
部署说明:
(1)在电力系统服务器群组前端部署捷普服务器群组防护系统,实现服务器网络的隔离,建立服务器群组的安全域,系统针对Web应用特点,有效的集成了网络层、传输层、应用层的攻击防范技术,建立起多层防范体系,实现对服务器的安全防护;
(2)系统将消极安全模型与积极安全模型相结合,根据Web应用系统,HTTP协议特点,将协议完整性检测、基于特征的应用层攻击检测、基于访问行为的攻击检测等技术有机结合,有效地对各种安全攻击进行防护,提高电力系统Web应用系统的安全性,
(3)系统根据用户身份信息、权限信息,实现网络层、应用层的安全接入控制、访问控制及细粒度的权限管理。系统支持多种认证方式,在无需改变现有的应用系统的情况下,可整合多个业务系统实现单点登录。此外,系统可以根据用户信息,实现基于URL的细粒度授权及SSLVPN访问;
(4)系统包括了多种日志,如:登录日志、安全日志、访问日志,可详细记录用户登录情况、用户对各种资源的访问情况以及各种安全攻击,增强了管理员对事件的审计及事后追查能力。
4 结论
综上所述,本文所设计的解决方案对电力行业目前的数据库服务器、应用服务器、Web服务器、算费服务器、银电联网服务器,邮件服务器均进行了全方位的防护。满足了电力行业迅速增长的信息安全需求,为建设电力系统信息安全保障体系提供了基础产品,更好地保障电力系统的网络和信息安全。