1 引言

在網(wǎng)絡(luò)中，服務(wù)器系統(tǒng)遭受破壞，輕則系統(tǒng)癱瘓，正常業(yè)務(wù)不能運行，給企業(yè)帶來巨大麻煩;重則信息被篡改或泄露損壞，不僅影響企業(yè)形象，也可能造成不可估量的損失。從近年來的IDC調(diào)查表明，“目前大概有70%的攻擊是基于Web應(yīng)用進行的，因為Web應(yīng)用系統(tǒng)缺少有效的防護措施而造成的機密數(shù)據(jù)丟失的事件則是更多。更為嚴重的是，很多情況下數(shù)據(jù)已經(jīng)丟失了卻絲毫沒有覺察到，這為企業(yè)以及個人帶來許多難以估量的損失?！?/P>

2 電力行業(yè)服務(wù)器存在的隱患和面臨的威脅

隨著國家經(jīng)濟建設(shè)的不斷發(fā)展，電力系統(tǒng)作為關(guān)乎國計民生的基礎(chǔ)能源行業(yè)，在國家經(jīng)濟發(fā)展中的地位越來越重要。信息化的發(fā)展，網(wǎng)絡(luò)的引入，提高了電力系統(tǒng)的業(yè)務(wù)效率，從而提高了國民生產(chǎn)力。電力系統(tǒng)信息網(wǎng)絡(luò)是一個相對開放的系統(tǒng)，根據(jù)行政管理和業(yè)務(wù)擴展的需求，各業(yè)務(wù)部門網(wǎng)絡(luò)需要與其他業(yè)務(wù)部門或職能部門網(wǎng)絡(luò)系統(tǒng)甚至互聯(lián)網(wǎng)絡(luò)上進行信息交換，因此，也就面臨著網(wǎng)絡(luò)安全問題，主要服務(wù)器和主機面臨網(wǎng)絡(luò)攻擊和計算機病毒的侵害，電力信息系統(tǒng)信息安全問題已威脅到電網(wǎng)系統(tǒng)的安全、穩(wěn)定、經(jīng)濟、優(yōu)質(zhì)運行，影響著“數(shù)字電力系統(tǒng)”的實質(zhì)進程。

電力系統(tǒng)中眾多的服務(wù)器，作為資源信息的提供者，在電力系統(tǒng)信息化建設(shè)中的地位越來越重要。在服務(wù)器攻擊愈演愈烈的當下，如何保障電力系統(tǒng)服務(wù)器群組的安全?如何保證電力系統(tǒng)信息化建設(shè)持續(xù)安全的發(fā)展?某電力系統(tǒng)服務(wù)器包括了數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、Web服務(wù)器、算費服務(wù)器、銀電聯(lián)網(wǎng)服務(wù)器，郵件服務(wù)器等，以及各種核心業(yè)務(wù)數(shù)據(jù)系統(tǒng)。這些業(yè)務(wù)系統(tǒng)有效地將供電局，生產(chǎn)和管理與部門，人員，業(yè)務(wù)連接起來，實現(xiàn)工作，管理的高效優(yōu)質(zhì)與協(xié)同。這使得服務(wù)器成為該電力系統(tǒng)核心信息最為集中的設(shè)施，是全面保密安全管理的重點領(lǐng)域。而這些系統(tǒng)大都采用Web方式執(zhí)行關(guān)鍵應(yīng)用。

目前電力系統(tǒng)服務(wù)器群組主要存在以下問題：

(1)電力行業(yè)的網(wǎng)絡(luò)中，存在眾多服務(wù)器，每個服務(wù)器擁有獨立的認證系統(tǒng)，缺乏統(tǒng)一的權(quán)限管理策略，而且不便于管理員進行有效管理。

(2)服務(wù)區(qū)中的Web服務(wù)器和流媒體服務(wù)器面向互聯(lián)網(wǎng)提供HTTP服務(wù)和網(wǎng)絡(luò)視頻服務(wù)，長期遭受來自互聯(lián)網(wǎng)的DDoS，各類注入式攻擊以及蠕蟲和木馬病毒的侵襲，并且經(jīng)常發(fā)生頁面篡改的事故。

(3)服務(wù)區(qū)中的郵件服務(wù)器向互聯(lián)網(wǎng)用戶和公司用戶提供郵件服務(wù)，大量的垃圾郵件讓郵件服務(wù)器不堪重負，同時由于無法進行有效的信息監(jiān)管，常會發(fā)生公司員工通過郵件傳遞公司機密信息的安全事件。

(4)服務(wù)區(qū)中的數(shù)據(jù)服務(wù)器為其他服務(wù)器提供用戶信息和文件信息的存儲功能，由于權(quán)限劃分不明確，外部黑客經(jīng)常利用SQL注入、腳本注入、命令注入方式竊取/篡改數(shù)據(jù)庫信息。

(5)服務(wù)區(qū)中的數(shù)字辦公系統(tǒng)向公司內(nèi)部員工提供辦公信息交流服務(wù)，由于權(quán)限力度不夠，經(jīng)常發(fā)生匿名用戶盜用他人賬號，并利用非法賬號盜取公司信息的安全事故。

(6)服務(wù)區(qū)中的FTP服務(wù)器和文件/密鑰管理服務(wù)器向公司內(nèi)部員工提供文件上傳/下載服務(wù)和用戶文件管理/證書管理服務(wù)，由于沒有配置相應(yīng)的安全策略保護，經(jīng)常遭受DoS攻擊，緩沖區(qū)溢出攻擊以及synflood，udpflood，icmpflood等攻擊。

(7)對于電力公司下屬子公司和移動辦公用戶，由于與總公司服務(wù)器通信過程中有些機密信息由于沒有采取加密措施，很容易被竊聽而泄密。另外，銀電聯(lián)網(wǎng)服務(wù)器與終端的通訊業(yè)應(yīng)采用加密措施，保證數(shù)據(jù)傳輸?shù)陌踩?/P>

(8)服務(wù)器缺乏日志信息或獨立的服務(wù)器日志導致日志信息不便于統(tǒng)一管理。

(9)對于網(wǎng)絡(luò)風險缺乏監(jiān)控和預測，對服務(wù)器存在風險漏洞不能及時發(fā)現(xiàn)，因而難以做到防患于未然。

傳統(tǒng)的安全設(shè)備針對以上問題缺乏足夠的保護。例如，防火墻主要工作在網(wǎng)絡(luò)層，根據(jù)地址和端口進行數(shù)據(jù)報文的過濾，無法檢測到應(yīng)用層的攻擊;IPS/IDS則主要是通過攻擊特征對網(wǎng)絡(luò)中的報文進行檢測和過濾，由于缺少協(xié)議完整性檢測以及應(yīng)用層的運行狀態(tài)，對于一些偽冒正常請求的特征攻擊無法檢測，如：SQL注入、CC攻擊等。

#p#

3 電力行業(yè)服務(wù)器群組防護解決方案

3.1設(shè)計目標

(1)安全加固。重點對Web服務(wù)器和郵件服務(wù)器實行保護。

(2)資源整合。對服務(wù)器群實行統(tǒng)一安全管理，優(yōu)化原有網(wǎng)絡(luò)資源。

(3)降低客戶維護成本。統(tǒng)一安全策略，統(tǒng)一日志記錄，集中服務(wù)器狀態(tài)監(jiān)測。

(4)是一種融合多種技術(shù)實現(xiàn)的安全解決方案。多種安全技術(shù)組合使用，全面保證服務(wù)器安全。

3.2技術(shù)構(gòu)成

如圖1所示，系統(tǒng)將通過對網(wǎng)絡(luò)層、傳輸層、會話層到應(yīng)用層的全面防護和管理，實現(xiàn)服務(wù)器應(yīng)用系統(tǒng)的全方位、多層次立體防護，系統(tǒng)中綜合運用消極安全模型與積極安全模型，對協(xié)議完整性檢測、基于特征的應(yīng)用層攻擊檢測、基于訪問行為的攻擊檢測等技術(shù)進行有機結(jié)合，有效地對各種安全攻擊進行防護，提高服務(wù)器應(yīng)用系統(tǒng)的安全性

圖1系統(tǒng)在協(xié)議層的安全防護技術(shù)

3.3功能實現(xiàn)

方案設(shè)計使用捷普公司的服務(wù)器群組防護系統(tǒng)，這是捷普公司歷時三年在國內(nèi)首家推出的服務(wù)器防護產(chǎn)品，著眼于用戶網(wǎng)絡(luò)中服務(wù)器群組的安全，該產(chǎn)品綜合運用異常行為檢測技術(shù)、異常狀態(tài)檢測技術(shù)和異常內(nèi)容檢測技術(shù)，對網(wǎng)絡(luò)層、傳輸層和應(yīng)用層都起到了完善的保護作用，從而實現(xiàn)服務(wù)器多層次立體化的全方位防護。功能實現(xiàn)如圖2所示。

圖2 服務(wù)器群組防護功能實現(xiàn)

捷普服務(wù)器群組防護系統(tǒng)功能具體描述：

(1)認證授權(quán)和單點臀錄統(tǒng)一的權(quán)限管理和單點登錄功能，可以實現(xiàn)統(tǒng)一口令管理。解決了電力系統(tǒng)服務(wù)器群組管理繁雜的問題，方便網(wǎng)絡(luò)管理人員操作，同時也便于用戶使用，達到服務(wù)器資源的整合和優(yōu)化。

(2)Web防火墻功能針對目前流行Web攻擊特征庫，設(shè)計出一套精確度高，覆蓋面廣，執(zhí)行效率高的Web防護規(guī)則，能防護各類常見的Web應(yīng)用攻擊或威脅，如蠕蟲、黑客攻擊、SQL注入、跨站腳本、網(wǎng)頁盜鏈、甚至變形或混合型的攻擊，對電力系統(tǒng)的Web服務(wù)器進行了有力的實時保護。

(3)頁面防篡改服務(wù)器防護系統(tǒng)將外掛輪詢技術(shù)與事件觸發(fā)技術(shù)，對訪問敏感目錄或采用敏感訪問方法的數(shù)據(jù)報進行嚴格審計，同時對服務(wù)器頁面進行輪詢，一旦發(fā)現(xiàn)篡改頁面立即對其進行恢復，保障了電力系統(tǒng)Web服務(wù)器的網(wǎng)頁內(nèi)容安全。

(4)反垃圾郵件功能采用先進的郵件過濾技術(shù)，對來自設(shè)定的垃圾郵件網(wǎng)關(guān)的郵件進行嚴格過濾，并能夠通過郵件內(nèi)容中的關(guān)鍵字判斷郵件中是否含有公司機密信息，進而對該郵件進行攔截;保障了電力系統(tǒng)郵件服務(wù)器的安全。

(5)靈活的訪問控制規(guī)則提供基于IP報文五元組(源/目的IP、源/目的端口號以及協(xié)議類型)訪問控制，根據(jù)實際網(wǎng)絡(luò)環(huán)境，配置合理網(wǎng)絡(luò)安全策略，杜絕匿名用戶通過其他端口入侵受保護服務(wù)器，同時亦滿足電力系統(tǒng)用戶環(huán)境的訪問需要;

(6)SSL VPN功能獨特的https終端和代理功能，既可以加強信息在網(wǎng)絡(luò)上的安全傳輸，又可以釋放服務(wù)器SSL運算負載，達到提升網(wǎng)絡(luò)總體效率的功能;保障了電力系統(tǒng)總公司與各下屬公司通訊的安全;保障了電力系統(tǒng)銀電聯(lián)網(wǎng)服務(wù)器與各終端之間通訊的安全。

(7)日志審計功能統(tǒng)一日志記錄，方便管理。日志內(nèi)容豐富詳實，既可以作為審計證據(jù)，又可以用來統(tǒng)計分析，方便了網(wǎng)絡(luò)管理員的管理。

(8)狀態(tài)檢測和風險監(jiān)測全面檢測系統(tǒng)狀態(tài)，便于管理人員及時掌握網(wǎng)絡(luò)狀況。風險監(jiān)測功能為管理人員提供直觀的歷史風險趨勢圖，幫助管理人員發(fā)現(xiàn)風險并及時采取措施。

3.4應(yīng)用部署

#p#

電力行業(yè)服務(wù)器群組防護解決方案的具體應(yīng)用部署如圖3所示。

圖3 電力行業(yè)服務(wù)器群組防護應(yīng)用部署

部署說明：

(1)在電力系統(tǒng)服務(wù)器群組前端部署捷普服務(wù)器群組防護系統(tǒng)，實現(xiàn)服務(wù)器網(wǎng)絡(luò)的隔離，建立服務(wù)器群組的安全域，系統(tǒng)針對Web應(yīng)用特點，有效的集成了網(wǎng)絡(luò)層、傳輸層、應(yīng)用層的攻擊防范技術(shù)，建立起多層防范體系，實現(xiàn)對服務(wù)器的安全防護;

(2)系統(tǒng)將消極安全模型與積極安全模型相結(jié)合，根據(jù)Web應(yīng)用系統(tǒng)，HTTP協(xié)議特點，將協(xié)議完整性檢測、基于特征的應(yīng)用層攻擊檢測、基于訪問行為的攻擊檢測等技術(shù)有機結(jié)合，有效地對各種安全攻擊進行防護，提高電力系統(tǒng)Web應(yīng)用系統(tǒng)的安全性，

(3)系統(tǒng)根據(jù)用戶身份信息、權(quán)限信息，實現(xiàn)網(wǎng)絡(luò)層、應(yīng)用層的安全接入控制、訪問控制及細粒度的權(quán)限管理。系統(tǒng)支持多種認證方式，在無需改變現(xiàn)有的應(yīng)用系統(tǒng)的情況下，可整合多個業(yè)務(wù)系統(tǒng)實現(xiàn)單點登錄。此外，系統(tǒng)可以根據(jù)用戶信息，實現(xiàn)基于URL的細粒度授權(quán)及SSLVPN訪問;

(4)系統(tǒng)包括了多種日志，如：登錄日志、安全日志、訪問日志，可詳細記錄用戶登錄情況、用戶對各種資源的訪問情況以及各種安全攻擊，增強了管理員對事件的審計及事后追查能力。

4 結(jié)論

綜上所述，本文所設(shè)計的解決方案對電力行業(yè)目前的數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、Web服務(wù)器、算費服務(wù)器、銀電聯(lián)網(wǎng)服務(wù)器，郵件服務(wù)器均進行了全方位的防護。滿足了電力行業(yè)迅速增長的信息安全需求，為建設(shè)電力系統(tǒng)信息安全保障體系提供了基礎(chǔ)產(chǎn)品，更好地保障電力系統(tǒng)的網(wǎng)絡(luò)和信息安全。

【編輯推薦】

1. IBM EX5架構(gòu)即將發(fā)布 下一代服務(wù)器猜想
2. 做x86服務(wù)器最強平臺 IBM將全面擴展eX5架構(gòu)
3. Linux服務(wù)器操作系統(tǒng)對抗微軟“霸主”的主力軍