国土资源部门户网站群安全体系架构设计

摘要：概要介绍了国体资源部门户网站群的总体规划，从物理安全、网络安全、系统安全、应用安全和数据安全等五个方面对国土资源部门户网站的安全体系架构进行了探讨，并简述了门户网站群采取的安全机制策略。
    关键词：电子政务；政府网站；安全体系架构；国土资源
    一、前言
    
    国土资源部门户网站是部网络安全体系中的防护重点，它面向全社会提供服务，是国土资源政务信息发布的门户，代表着国土资源部门的政府形象，具有开放性强、关注度高、访问量大、政治敏感性强等特点，因此，确保门户网站群安全稳定运行的意义重大。
    国土资源部门户网站群的业务种类很多，功能较为复杂，包括Web发布、后台管理、数据库集群、身份认证、互动应用、全文检索、信息采集、数据网关、视频点播、文件下载、统计分析、网站论坛、繁简转换等多种应用，分布在近二十台服务器上。所有应用均面向外网公开提供服务．各应用之间存在模块调用、数据交换、访问重定向、应用代理等多种互动关系。因此，需要根据门户网站群自身特点规划设计一个基于网络的较为完善的安全防护体系。
    二、站群安全体系的总体规划
    
    安全体系建设涵盖的范围很广，从传统意义上来讲，要保证信息不被窃取、篡改和破坏，系统不被攻击和入侵：除此之外，良好的的安全架构设计还能够为系统的高可用、高性能、高稳定运行提供保障。在门户网站群的安全体系设计中，技术与管理并重，应采用先进的安全技术并辅以完善的管理机制，从物理、网络、系统、应用、数据等多层次为网站的安全稳定运行保驾护航（参见图1）。
    物理安全方面，通过对机房、门禁、电路、硬件设备等方面采取安全措施，从物理上实现安全防护的目的。
    网络安全方面，通过划分子网建立独立的安全区域：通过建设CDN的转向解析隐藏真实地址：采用旁路侦听、入侵检测、防火墙过滤、动态监控等方法防范黑客入侵，拒绝访问攻击。
    系统安全方面，通过集群架构保证系统的高性能和高可用；对不同应用进行安全区域划分，隐藏重要应用的访问端口；通过系统升级、病毒防护、主机加固、漏洞扫描等方法保障系统主体安全。
    应用安全方面，通过身份鉴别防止非法用户访问：通过权限控制体系对资源权限进行细粒度、多层级的访问控制；通过安全审计和日志分析实现对数据和资源访问行为的监控。
    数据安全方面，通过数据加密、数据防篡改、数据镜像等方法保障数据的高安全和高可用性。
    安全机制方面，通过人为控制、策略控制等方法修补安全管理漏洞。
    三、物理安全
    （一）机房
    站群置于符合国家相关标准的机房区域，并通过门禁管理系统对出人人员进行授权、监控和记录。
    （二）供电
    站群所有设备部署在专门的门户网站区，使用独立专用机柜。每个机柜采用两路独立UPS电源供电，荷载量充足，保证供电安全。
    （三）设备
    站群所有服务器均配备两路及以上冗余电源，硬盘均配置为RAID5及以上级别阵列．支持电源及磁盘的热插拔更换及维修，最大限度提供设备级的安全保障。

四、网络安全
    
    （一）独立子网
    门户网站群单独规划了64个连续lP地址的网段，采用成熟稳定的网络链路与交换设备，形成一个专门的门户子网。该子网置于三层防火墙之后，拥有独立的安全区域，通过独立的安全策略保障网络和站群安全。
    （二）防火墙策略
    防火墙是网站安全的基础和保障，门户网站群采用硬件防火墙。所有相关设备均被置于防火墙之后。除在防火墙上实现lP访问规则策略设定、进行包过滤等日常工作外，在站群安全规划中为每台服务器制定了与IP区域对应的端口开放规则，端口管理规则对应到每个具体lP，关闭所有不对外提供服务的端口，杜绝针对端口发起攻击和植入木马的可能。
    （三）CDN转向解析
    门户网站群所有数据与服务（包括Web静态发布、视频数据、文件下载、访谈评论等互动应用）均通过CDN缓存系统进行网络分发，在全国十几个骨干节点形成内容镜像，采用缓存和动态链路选择访问机制提升访问性能，消除源站带宽瓶颈，缓解源点压力，同时解决南北网络衔接所带来的用户访问速度问题，提升用户体验。
    CDN缓存系统是外部用户访问门户网站时要经过的第一扇安全门，通过使用CDN技术，不仅极大地提升了网站性能，结合DNS转向解析技术还能够隐藏站群源点lP以降低风险，成为防范外部攻击的首道关口。
    （四）入侵检测
    在外网系统的互联网接入区，采用入侵防护系统，实时对网络攻击和入侵进行过滤和防范。除此之外，在三层防火墙后，采用IDS入侵检测设备通过旁路侦听的方式，专门针对站群网络及关键应用进行异常行为检测，及时发现黑客入侵和拒绝访问攻击等安全问题。

五．系统安全
    
    （一）集群架构
    站群发布系统及内容管理系统均采用集群架构，前端使用负载均衡器对来自外部的访问进行动态分发。集群架构扩展性很强，可以随时增添新成员分担访问压力，提升系统性能。同样，在集群单点出现故障的情况下，能够智能监测并调整分发目的地，保证发布系统的安全稳定运行。
    （二）内部安全区域控制
    为最大限度地提升集群系统的安全性，减少站群应用对外部暴露的端口，在门户子网内部进行了安全区域划分，将站群应用分为接入区、应用区和存储区三个级别的安全区域（参见图2）。
    存储区包括站群核心数据库、全文检索数据库、MySql数据库等应用，只对子网应用区的业务提供服务，防火墙关闭所有存储区端口，杜绝一切来自外部的访问链接。
    应用区包括站群所有应用主体，内容管理系统、网站互动应用、身份认证应用、全文检索应用、土地市场应用等应用服务器均架设在应用区，仅响应来自接入区应用的访问，并将结果反馈给接入区应用。防火墙禁止一切针对应用服务器端口的外部访问，只对特定管理员lP例外。
    接入区为所有Web发布应用．面向来自外部的访问链接，并通过ApacHe代理将请求转发给应用区的具体应用，同时将应用区的处理结果转发给请求方。
    通过上述内部安全区域的规划，采用前端反向代理隐藏后端应用，防火墙只开放代理端口，最大限度地降低针对网站应用发起的黑客入侵和外部攻击几率。
    （三）系统升级
    站群服务器采用的操作系统种类较多，包括Windows Server、UniX、Linux等多种版本。应及时对系统自身的漏洞进行修补和升级，随着技术的发展以及根据用户反馈，产品提供商会不断发布相应的补丁程序并完善系统组件功能的升级包，因此需要实时关注相关信息并即时更新。同时，应为支持自动升级的操作系统设置定时升级。
    （四）病毒防护
    门户站群选用网络版防杀病毒程序的服务器版客户端，实现对病毒的在线监控和预警：与防病毒中心协作，预先制定升级策略，由防病毒中心按照策略主动推送，完成病毒库的升级。
    （五）主机加固
    门户网站群采用专门的主机加固产品，通过操作系统底层提供基础支撑，形成安全保障机制，对服务器自身的操作系统和应用系统进行加固，有效地解决来自内部的攻击。通过安全管理中心向所有站群服务器的操作系统内核下发统一的安全策略，形成可信任程序白名单，任何未经认可的程序无法在被加固的主机上运行，通过这种方式实现内核级的访问控制。
    （六）安全漏洞扫描
    对门户网站群的部分应用，还邀请了国家认定的具有一级安全资质的第三方评估机构或有关专家对网络安全进行评估。通过远程扫描或模拟远程攻击的方法，主动发现应用程序代码漏洞、木马植入、SQL注入、跨站脚本等问题，针对这些问题进行修补，在恶意入侵者发现安全漏洞之前自行预警，并提前加以防范。
    六、应用安全
    
    （一）身份认证
    门户网站群采用了IDS (Identity Server)统一身份认证系统，实现对站群应用系统的统一管理。IDS身份认证系统是一个遵循“统一身份认证和分布式授权管理”机制的网络信任体系，支持各应用间跨域的单点登录、单点退出和统一的身份管理。
    IDS身份认证体系是为了防止非法用户或冒用他人身份的用户进入系统危害系统安全，同时也可以用来确认正常用户的操作痕迹，使其行为具有不可抵赖性。IDS系统保存所有用户信息及其对网站各子系统的相应权限，通过统一的身份认证，确保用户身份不会被冒用，用户正确登录后即可拥有相应权限。各子系统再对资源进行细粒度分布式授权管理，确保整个系统向正确的用户提供有效的服务。
    IDS还可以很方便地实现对第三方产品的集成，在集成过程中，不需要修改其他应用系统的已有代码。通过IDS代理模块可以截获集成应用的请求，并与IDS主应用通信。被集成的应用只需完成自己本地的逻辑处理过程，并与IDS提供的协作接口互动，即可完成和IDS的集成，将分散的应用系统变为一个有机的整体。
    IDS身份认证系统采用的是静态密码方式。不过，目前最得到认可的用户身份识别的方法是通过CA中心进行基于公钥( PKI)的用户身份认证。为此．IDS身份认证系统留有标准接口，可以与CA认证系统集成，为每位系统用户发放数字证书，通过数字签名验证用户身份，并使用公钥实现数据传输的加密。
    （二）权限控制
    权限控制是实施系统安全保护最常用的措施之一，门户网站的内容管理平台采用一套完整的用户权限管理体系，针对用户和资源提供灵活、易用的权限控制功能。可以通过对不同用户角色授予不同的权限来控制相应用户对系统的应用范围和操作能力。
    内容管理平台的权限控制包括人员组织、数据标识、权限类型、授权模型等内容。网站或应用系统的合法用户、组织与角色被赋予一定的权限，规定他们可以访问的站点、栏目、子栏目、文档等资源。
    在内容管理系统中，通过角色的分配，将授权用户分为几个大类：①系统管理员：拥有最高权限，可以建立新用户，并授予权限。②组管理员：由系统管理员授予所属组管理权限，协助管理员管理本组人员和资源。③普通用户：系统管理员根据他们的实际需要为他们分配操作权限。
    门户网站中还包括一系列系统级权限．如对服务器、数据库以及文档的访问权限等。这些权限控制手段按层次逐渐细化，可以细化到系统中的每一个应用或数据。
    （三）安全审计
    除在各应用系统建立安全审计策略外，门户网站群还采用专门的数据库安全审计系统对数据库系统和数据的访问、修改等行为进行监控和记录，并提供审计日志。
    （四）日志分析
    通过操作系统的日志功能或安装专门的日志统计分析软件对系统进行监测，记录下任何对服务器的操作。日志记录项包括用户的各项操作以及网络中数据接收的正确性、有效性及合法性的检查结果，为日后网络安全分析提供依据。
    通过对日志的分析、统计和审计，可以检测所有来自客户机的还是浏览器的恶意攻击，在一定程度上可以预防各种入侵，提高网络安全。
    七、数据安全
    
    （一）数据加密
    门户网站的内容管理和维护都是通过网络交互进行的，在数据传输和处理的过程中，最重要的是要保证源数据与最终数据的完整一致性，一般是通过算法加密的方法来完成的。
    在门户网站中通过在服务器端建立根证书体系，发放证书并建立SSL加密访问信道方式，以及对数据进行加密等来确保发送数据的安全。
    （二）数据防篡改
    在站群服务器上部署数据防篡改模块，服务器中的数据、文件都能得到控制和保护，根据各应用的具体情况设置可信目录和可信进程。任何不可信进程均无法在主机运行，非经策略允许的数据也无法写入，可有效实现网站数据防篡改和防止非法程序运行等目的。
    （三）数据镜像
    门户网站群的核心数据库采用Oracle的DataGuard主备集群架构。DataGuard是Oracle的高可用性数据库方案．在主节点和备节点间通过日志实时同步的方式来保证数据同步，可以实现快速切换和灾难性恢复。
    在站群规划中．每台数据库服务器都采用双光纤连接SAN交换机，保障链路安全。后端连接SAN存储阵列，并通过DataGuard体系镜像主节点数据．形成双实例双数据的数据安全体系。
    八、安全机制
    
    （一）加强人为控制
    站群设备所在机房按照国家相关安全标准制定了配套的机房管理制度。机房门禁系统通过中控统一管理，以有效杜绝非授权人员出入．并对出入行为进行监控和记录。
    （二）提升安全意识
    通过制定完善的安全体制并加强技术人员安全意识培训来提升网站安全。如要求相关人员不使用服务器上网或下载软件，谨慎利用或不用共享软件；建立健壮的服务器口令机制等。
    （三）完善备份策略
    数据是门户网站的核心，需要制定完善的应用与数据备份策略，以备在遭到攻击或系统出现故障时能迅速恢复系统的正常运行。门户网站群的核心数据库采用定时任务的方式，执行预先编写好的备份脚本，实现双实例双备份。
    九、结语
    
    门户网站群的安全体系建设将在现有基础上不断完善，如采用专用设备对系统和应用进行动态监测，包括对服务器的CPU负载．内存使用、IO量、磁盘空间、集群状态监测等：对应用的可用性，性能，会话数、连接数、进程等的监测。在数据安全方面将进一步考虑异地灾备方案，在制度方面形成定期安全评估机制等。
    参考文献：
    [1]黄旭鹏，安全审计系统中日志数据整合的研究[J].电脑知识与技术，2008 (14)．
    [2]高美蓉网站安全性管理策略探讨[J]软件导刊,2010(5)
    （作者系国土资源部信息中心副研究员、信息服务与网络处副处长）