基于下一代防火墙的网上技术交易市场网络安全防护方案研究
葛鹏 韩传武
摘要:文章首先对网上技术交易市场进行了简单的介绍,然后分析了网上技术交易市场在线业务系统面临的主要网络威胁,并设计了一种基于下一代防火墙的网络安全防护方案。
关键词:下一代防火墙;网上技术交易市场;网络安全
1 网上技术交易市场简介
网上技术交易市场是传统技术市场在现代网络经济和网络技术飞速发展的背景下出现的一种新的发展趋势,有着传统技术市场不可比拟的优势。它不仅能加快、改善技术交易的流程,缩短技术转移周期,而且能为技术交易提供更为便利的增值服务,从而大大提高技术交易的效率。
徐州市也开展了网上技术交易市场的建设,以提供科技成果转化过程中的各类信息为主要服务内容,为高等院校、科研院所、企业、各类中介服务机构以及相关管理部门等创新主体提供全方位、全公益性的信息服务。网上技术交易市场的基本运行机制为会员制,包括2类会员:一类是供给类会员,是拥有技术研发能力和技术成果并愿意在网上技术交易市场发布和交易的单位,主要包括高等院校、科研院所等。另一类是需求类会员,是指对技术成果有需求的从事生产活动的单位,主要是企业。
网上技术交易市场定位为“科技成果转化一站式信息服务平台”,是建立在互联网上的在线服务平台。平台主要包括技术成果信息发布模块、技术需求信息发布模块、技术合同管理模块、技术合作洽谈模块和技术与金融对接模块等。
在线服务平台的信息发布功能与门户网站类似,但系统结构与业务流程却不尽相同。一般网站的信息发布由网站工作人员来操作,业务流程简单,工作人员通常从内网登录系统发布信息,对网络安全性要求不高。而网上技术交易市场需要会员的参与,无论是供给类会员还是需求类会员,都须从外网访问在线服务平台并发布信息,这就对系统的安全性提出了更高的要求。平台系统本身从安全方面考虑,采用了基于角色的权限管理,针对供给方会员用户、需求方会员用户、工作人员用户以及管理员用户不同的业务需求,将用户定义为不同的角色,通过为不同的角色赋予不同的权限,使用户只能访问自己被授权的资源,从而保障平台系统的安全。
随着互联网的发展,来自网络的安全威胁越来越严重,特别是在网络上运行关键业务时,网络安全是首先要解决的问题。网上技术交易市场在线服务平台在互联网上对公众开放,因此除了平台系统本身的安全外,还需要考虑到网络安全问题。
2 网上技术交易市场面临的主要网络威胁
以往的网络攻击方式有ARP欺骗、路由欺骗、拒绝服务式攻击、洪水攻击、会话劫持、DNS欺骗等,这些攻击大多位于网络底层,而现在越来越多的攻击发生在应用层,针对应用层的攻击已经成为现阶段网络安全最大的威胁。其中,Web应用安全问题、APT攻击以及敏感信息的泄漏是业务系统面临的主要威胁。
2.1 Web应用安全问题
互联网技术的高速发展,大量Web应用快速上线,包括网上技术交易市场在内的大多数在线业务系统都是基于Web的应用,web业务成为当前互联网应用最为广泛的业务。大多数Web系统都十分脆弱,易受攻击。根据著名咨询机构Gartner的调查,安全攻击有75%都是发生在Web应用层。而且针对Web的攻击往往隐藏在正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。
Web业务系统面临的安全问题主要有几个方面:一是系统开发时遗留的问题,由于Web应用程序的编写人员在编程的过程中没有考虑到安全的因素,使得黑客能够利用这些漏洞发起对网站的攻击,比如SQL注入、跨站脚本攻击等;二是系统底层漏洞问题,Web系统包括底层的操作系统和Web业务常用的发布系统(如IIS,Apache),这些系统本身存在诸多的安全漏洞,这些漏洞可以给入侵者可乘之机;三是网络运维管理中的问题,业务系统中在管理方面存在许多安全隐患,如弱口令、内网安全缺陷等,导致被黑客利用对网站进行攻击。
2.2 APT攻击
APT攻击,即高级持续性威胁(Advanced PersistentThreat,APT)攻击,是近几年来出现的一种利用先进的攻击手段对特定目标进行长期持续性的网络攻击,具有难检测、持续时间长和攻击目标明确等特点。APT在发动攻击之前对攻击对象的业务流程和目标系统进行精确的收集,这种行为往往经过长期的策划,具备高度的隐蔽性。在收集的过程中,会主动挖掘信息系统和应用程序的漏洞,并针对特定对象有计划性和组织性地窃取数据。
APT攻击的过程通常包括的步骤是:首先,攻击者通过各种途径收集用户相关信息,包括从外部扫描了解信息以及从内部利用社会工程学了解相关用户信息;其次,攻击者通过包括漏洞攻击、Web攻击等各种攻击手段入侵目标系统,采用低烈度的攻击模式避免目标发现以及防御;再次,攻击者通过突破内部某一台服务器或终端电脑渗透进内部网络,进而对目标全网造成危害;最后,攻击者逐步了解全网结构及获取更高权限后锁定目标资产,进而开始对数据进行窃取或者造成其他重大侵害。
2.3 数据泄漏问题
近几年,数据泄漏事件愈来愈频繁的发生,公民信息数据在网上大规模泄露事件时有发生,给网络安全构成了严重危害,产生了重大的社会影响。2013年,2000万开房信息数据被泄露下载,通过被泄露的数据库文件,可以轻易查到个人姓名、身份证号、地址、手机、住宿时间等隐私信息。2014年,12306的用户数据泄漏,导致大量用户数据在网络上传播,涉及用户账号、明文密码、身份证件、邮箱等信息。2015年,30多个省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息因此被泄露。10月,网易邮箱过亿用户敏感信息遭泄露,泄露信息包括用户名、密码、密码密保信息等,部分邮箱所关联的其他服务账号也受到影响。
网上技术交易市场的后台数据库中,保存有会员的数据信息,包括企业用户信息和个人用户信息,如果涉及交易信息、价格信息等敏感的数据遭到泄露,可能使用户遭受经济损失,甚至对社会秩序、公众利益造成危害。
3 基于下一代防火墙的网络安全防护方案设计
针对网上技术交易市场的安全防护,必须有效应对这些网络威胁。而且,由于网上技术交易市场规模不大,还需要考虑到控制成本并易于管理。
典型的网络安全方案通常配置防火墙、防病毒设备、入侵检测设备、漏洞扫描设备以及Web应用层防火墙。这些设备功能专一,能够防护不同类别的网络攻击,但如果不全部部署,则会在相应的保护功能上出现安全短板。但全部部署又存在成本高、管理难、效率低的问题。首先是成本问题,对于中小规模的网络系统来说,将这些设备全部配齐,价格昂贵;其次,安全设备种类繁多也增加了管理上的成本,网管人员需要在每台设备上逐一部署安全策略、安全防护规则等,让不同类型的设备能够协同工作,势必会在日常运维中耗费大量的时间和精力;在防护效果方面,各种设备之间无法对安全信息进行统一分杯不能达到良好的整体防护效果。
因此,针对网上技术交易市场的实际应用需求,设计了一种基于下一代防火墙的网络安全防护的方案。
下一代防火墙是一种可以全面应对应用层威胁的高性能防火墙,通过分析网络流量中的使用者、应用和内容,能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。下一代防火墙具有应用层洞察与控制、威胁防护、应用层数据防泄漏、全网设备集中管理等功能特性,这些功能能够有效地、有针对性地应对网上技术交易市场业务系统面临的主要网络威胁。
在网络拓扑结构设计方面,将下一代防火墙部署在网络边界、服务器交换机的前端,实现业务系统所在服务器与互联网的逻辑隔离,从攻击源头上防止来自网络层面、系统层面、应用层面以及数据层面对网上技术市场业务系统的安全威胁(见图1)。
在解决Web应用安全的问题上,下一代防火墙能够提供全方位、高性能、深层次的应用安全防护。下一代防火墙采用高度集成的一体化智能过滤引擎技术,能够在一次数据拆包过程中,对数据进行并行深度检测,完成2~7层的安全处理。同时,下一代防火墙内置有高精度应用识别引擎,可以采用多种识别方式进行细粒度、深层次的应用和协议识别,具有极高的应用协议识别率与精确度,对于主流应用、加密业务应用、移动应用、企业内网业务应用都可以实现全方位识别。
在应对APT攻击方面,下一代防火墙的安全监测引擎和威胁检测特征库,对基于已知漏洞、恶意代码发起的APT攻击能进行有效的防护。在针对零日漏洞和未知恶意代码的威胁时,下一代防火墙通过沙箱技术构建虚拟运行环境,隔离运行未知或可疑代码,分析威胁相关信息,识别各种未知的恶意代码,并自动生成阻断规则,实时、主动地防范APT攻击。
下一代防火墙实现数据防泄漏主要是利用应用识别技术和文件过滤技术。高精度应用识别引擎能够对具有数据传输能力的应用进行数据扫描,文件过滤技术可以基于文件特征进行扫描,敏感信息检测功能可以自定义“身份证号码”“银行卡号”“密码”等多种内容并进行监测,通过这些技术的综合运用,可以有效地识别、报警并阻断敏感信息被非法泄漏。
4 结语
下一代防火墙用一台设备替代了传统的防火墙、防病毒设备、入侵检测设备、Web应用层防火墙等多台设备,但又不是简单地把现有的安全设备整合在一起,而是实现了防护功能与安全策略的智能联动。与配置传统网络安全设备的方案相比,降低了设备购置成本,简化了设备运维管理难度,并能够有效地应对业务系统面临的主要网络威胁,适合网上技术交易市场使用。