基于下一代防火墻的網(wǎng)上技術(shù)交易市場(chǎng)網(wǎng)絡(luò)安全防護(hù)方案研究

葛鵬　韓傳武

摘要：文章首先對(duì)網(wǎng)上技術(shù)交易市場(chǎng)進(jìn)行了簡(jiǎn)單的介紹，然后分析了網(wǎng)上技術(shù)交易市場(chǎng)在線(xiàn)業(yè)務(wù)系統(tǒng)面臨的主要網(wǎng)絡(luò)威脅，并設(shè)計(jì)了一種基于下一代防火墻的網(wǎng)絡(luò)安全防護(hù)方案。

關(guān)鍵詞：下一代防火墻；網(wǎng)上技術(shù)交易市場(chǎng)；網(wǎng)絡(luò)安全

1 網(wǎng)上技術(shù)交易市場(chǎng)簡(jiǎn)介

網(wǎng)上技術(shù)交易市場(chǎng)是傳統(tǒng)技術(shù)市場(chǎng)在現(xiàn)代網(wǎng)絡(luò)經(jīng)濟(jì)和網(wǎng)絡(luò)技術(shù)飛速發(fā)展的背景下出現(xiàn)的一種新的發(fā)展趨勢(shì)，有著傳統(tǒng)技術(shù)市場(chǎng)不可比擬的優(yōu)勢(shì)。它不僅能加快、改善技術(shù)交易的流程，縮短技術(shù)轉(zhuǎn)移周期，而且能為技術(shù)交易提供更為便利的增值服務(wù)，從而大大提高技術(shù)交易的效率。

徐州市也開(kāi)展了網(wǎng)上技術(shù)交易市場(chǎng)的建設(shè)，以提供科技成果轉(zhuǎn)化過(guò)程中的各類(lèi)信息為主要服務(wù)內(nèi)容，為高等院校、科研院所、企業(yè)、各類(lèi)中介服務(wù)機(jī)構(gòu)以及相關(guān)管理部門(mén)等創(chuàng)新主體提供全方位、全公益性的信息服務(wù)。網(wǎng)上技術(shù)交易市場(chǎng)的基本運(yùn)行機(jī)制為會(huì)員制，包括2類(lèi)會(huì)員：一類(lèi)是供給類(lèi)會(huì)員，是擁有技術(shù)研發(fā)能力和技術(shù)成果并愿意在網(wǎng)上技術(shù)交易市場(chǎng)發(fā)布和交易的單位，主要包括高等院校、科研院所等。另一類(lèi)是需求類(lèi)會(huì)員，是指對(duì)技術(shù)成果有需求的從事生產(chǎn)活動(dòng)的單位，主要是企業(yè)。

網(wǎng)上技術(shù)交易市場(chǎng)定位為“科技成果轉(zhuǎn)化一站式信息服務(wù)平臺(tái)”，是建立在互聯(lián)網(wǎng)上的在線(xiàn)服務(wù)平臺(tái)。平臺(tái)主要包括技術(shù)成果信息發(fā)布模塊、技術(shù)需求信息發(fā)布模塊、技術(shù)合同管理模塊、技術(shù)合作洽談模塊和技術(shù)與金融對(duì)接模塊等。

在線(xiàn)服務(wù)平臺(tái)的信息發(fā)布功能與門(mén)戶(hù)網(wǎng)站類(lèi)似，但系統(tǒng)結(jié)構(gòu)與業(yè)務(wù)流程卻不盡相同。一般網(wǎng)站的信息發(fā)布由網(wǎng)站工作人員來(lái)操作，業(yè)務(wù)流程簡(jiǎn)單，工作人員通常從內(nèi)網(wǎng)登錄系統(tǒng)發(fā)布信息，對(duì)網(wǎng)絡(luò)安全性要求不高。而網(wǎng)上技術(shù)交易市場(chǎng)需要會(huì)員的參與，無(wú)論是供給類(lèi)會(huì)員還是需求類(lèi)會(huì)員，都須從外網(wǎng)訪(fǎng)問(wèn)在線(xiàn)服務(wù)平臺(tái)并發(fā)布信息，這就對(duì)系統(tǒng)的安全性提出了更高的要求。平臺(tái)系統(tǒng)本身從安全方面考慮，采用了基于角色的權(quán)限管理，針對(duì)供給方會(huì)員用戶(hù)、需求方會(huì)員用戶(hù)、工作人員用戶(hù)以及管理員用戶(hù)不同的業(yè)務(wù)需求，將用戶(hù)定義為不同的角色，通過(guò)為不同的角色賦予不同的權(quán)限，使用戶(hù)只能訪(fǎng)問(wèn)自己被授權(quán)的資源，從而保障平臺(tái)系統(tǒng)的安全。

隨著互聯(lián)網(wǎng)的發(fā)展，來(lái)自網(wǎng)絡(luò)的安全威脅越來(lái)越嚴(yán)重，特別是在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵業(yè)務(wù)時(shí)，網(wǎng)絡(luò)安全是首先要解決的問(wèn)題。網(wǎng)上技術(shù)交易市場(chǎng)在線(xiàn)服務(wù)平臺(tái)在互聯(lián)網(wǎng)上對(duì)公眾開(kāi)放，因此除了平臺(tái)系統(tǒng)本身的安全外，還需要考慮到網(wǎng)絡(luò)安全問(wèn)題。

2 網(wǎng)上技術(shù)交易市場(chǎng)面臨的主要網(wǎng)絡(luò)威脅

以往的網(wǎng)絡(luò)攻擊方式有ARP欺騙、路由欺騙、拒絕服務(wù)式攻擊、洪水攻擊、會(huì)話(huà)劫持、DNS欺騙等，這些攻擊大多位于網(wǎng)絡(luò)底層，而現(xiàn)在越來(lái)越多的攻擊發(fā)生在應(yīng)用層，針對(duì)應(yīng)用層的攻擊已經(jīng)成為現(xiàn)階段網(wǎng)絡(luò)安全最大的威脅。其中，Web應(yīng)用安全問(wèn)題、APT攻擊以及敏感信息的泄漏是業(yè)務(wù)系統(tǒng)面臨的主要威脅。

2.1 Web應(yīng)用安全問(wèn)題

互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，大量Web應(yīng)用快速上線(xiàn)，包括網(wǎng)上技術(shù)交易市場(chǎng)在內(nèi)的大多數(shù)在線(xiàn)業(yè)務(wù)系統(tǒng)都是基于Web的應(yīng)用，web業(yè)務(wù)成為當(dāng)前互聯(lián)網(wǎng)應(yīng)用最為廣泛的業(yè)務(wù)。大多數(shù)Web系統(tǒng)都十分脆弱，易受攻擊。根據(jù)著名咨詢(xún)機(jī)構(gòu)Gartner的調(diào)查，安全攻擊有75%都是發(fā)生在Web應(yīng)用層。而且針對(duì)Web的攻擊往往隱藏在正常訪(fǎng)問(wèn)業(yè)務(wù)行為中，導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無(wú)法發(fā)現(xiàn)和阻止這些攻擊。

Web業(yè)務(wù)系統(tǒng)面臨的安全問(wèn)題主要有幾個(gè)方面：一是系統(tǒng)開(kāi)發(fā)時(shí)遺留的問(wèn)題，由于Web應(yīng)用程序的編寫(xiě)人員在編程的過(guò)程中沒(méi)有考慮到安全的因素，使得黑客能夠利用這些漏洞發(fā)起對(duì)網(wǎng)站的攻擊，比如SQL注入、跨站腳本攻擊等；二是系統(tǒng)底層漏洞問(wèn)題，Web系統(tǒng)包括底層的操作系統(tǒng)和Web業(yè)務(wù)常用的發(fā)布系統(tǒng)（如IIS，Apache），這些系統(tǒng)本身存在諸多的安全漏洞，這些漏洞可以給入侵者可乘之機(jī)；三是網(wǎng)絡(luò)運(yùn)維管理中的問(wèn)題，業(yè)務(wù)系統(tǒng)中在管理方面存在許多安全隱患，如弱口令、內(nèi)網(wǎng)安全缺陷等，導(dǎo)致被黑客利用對(duì)網(wǎng)站進(jìn)行攻擊。

2.2 APT攻擊

APT攻擊，即高級(jí)持續(xù)性威脅（Advanced PersistentThreat，APT）攻擊，是近幾年來(lái)出現(xiàn)的一種利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性的網(wǎng)絡(luò)攻擊，具有難檢測(cè)、持續(xù)時(shí)間長(zhǎng)和攻擊目標(biāo)明確等特點(diǎn)。APT在發(fā)動(dòng)攻擊之前對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集，這種行為往往經(jīng)過(guò)長(zhǎng)期的策劃，具備高度的隱蔽性。在收集的過(guò)程中，會(huì)主動(dòng)挖掘信息系統(tǒng)和應(yīng)用程序的漏洞，并針對(duì)特定對(duì)象有計(jì)劃性和組織性地竊取數(shù)據(jù)。

APT攻擊的過(guò)程通常包括的步驟是：首先，攻擊者通過(guò)各種途徑收集用戶(hù)相關(guān)信息，包括從外部掃描了解信息以及從內(nèi)部利用社會(huì)工程學(xué)了解相關(guān)用戶(hù)信息；其次，攻擊者通過(guò)包括漏洞攻擊、Web攻擊等各種攻擊手段入侵目標(biāo)系統(tǒng)，采用低烈度的攻擊模式避免目標(biāo)發(fā)現(xiàn)以及防御；再次，攻擊者通過(guò)突破內(nèi)部某一臺(tái)服務(wù)器或終端電腦滲透進(jìn)內(nèi)部網(wǎng)絡(luò)，進(jìn)而對(duì)目標(biāo)全網(wǎng)造成危害；最后，攻擊者逐步了解全網(wǎng)結(jié)構(gòu)及獲取更高權(quán)限后鎖定目標(biāo)資產(chǎn)，進(jìn)而開(kāi)始對(duì)數(shù)據(jù)進(jìn)行竊取或者造成其他重大侵害。

2.3 數(shù)據(jù)泄漏問(wèn)題

近幾年，數(shù)據(jù)泄漏事件愈來(lái)愈頻繁的發(fā)生，公民信息數(shù)據(jù)在網(wǎng)上大規(guī)模泄露事件時(shí)有發(fā)生，給網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)重危害，產(chǎn)生了重大的社會(huì)影響。2013年，2000萬(wàn)開(kāi)房信息數(shù)據(jù)被泄露下載，通過(guò)被泄露的數(shù)據(jù)庫(kù)文件，可以輕易查到個(gè)人姓名、身份證號(hào)、地址、手機(jī)、住宿時(shí)間等隱私信息。2014年，12306的用戶(hù)數(shù)據(jù)泄漏，導(dǎo)致大量用戶(hù)數(shù)據(jù)在網(wǎng)絡(luò)上傳播，涉及用戶(hù)賬號(hào)、明文密碼、身份證件、郵箱等信息。2015年，30多個(gè)省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞，數(shù)千萬(wàn)用戶(hù)的社保信息因此被泄露。10月，網(wǎng)易郵箱過(guò)億用戶(hù)敏感信息遭泄露，泄露信息包括用戶(hù)名、密碼、密碼密保信息等，部分郵箱所關(guān)聯(lián)的其他服務(wù)賬號(hào)也受到影響。

網(wǎng)上技術(shù)交易市場(chǎng)的后臺(tái)數(shù)據(jù)庫(kù)中，保存有會(huì)員的數(shù)據(jù)信息，包括企業(yè)用戶(hù)信息和個(gè)人用戶(hù)信息，如果涉及交易信息、價(jià)格信息等敏感的數(shù)據(jù)遭到泄露，可能使用戶(hù)遭受經(jīng)濟(jì)損失，甚至對(duì)社會(huì)秩序、公眾利益造成危害。

3 基于下一代防火墻的網(wǎng)絡(luò)安全防護(hù)方案設(shè)計(jì)

針對(duì)網(wǎng)上技術(shù)交易市場(chǎng)的安全防護(hù)，必須有效應(yīng)對(duì)這些網(wǎng)絡(luò)威脅。而且，由于網(wǎng)上技術(shù)交易市場(chǎng)規(guī)模不大，還需要考慮到控制成本并易于管理。

典型的網(wǎng)絡(luò)安全方案通常配置防火墻、防病毒設(shè)備、入侵檢測(cè)設(shè)備、漏洞掃描設(shè)備以及Web應(yīng)用層防火墻。這些設(shè)備功能專(zhuān)一，能夠防護(hù)不同類(lèi)別的網(wǎng)絡(luò)攻擊，但如果不全部部署，則會(huì)在相應(yīng)的保護(hù)功能上出現(xiàn)安全短板。但全部部署又存在成本高、管理難、效率低的問(wèn)題。首先是成本問(wèn)題，對(duì)于中小規(guī)模的網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)，將這些設(shè)備全部配齊，價(jià)格昂貴；其次，安全設(shè)備種類(lèi)繁多也增加了管理上的成本，網(wǎng)管人員需要在每臺(tái)設(shè)備上逐一部署安全策略、安全防護(hù)規(guī)則等，讓不同類(lèi)型的設(shè)備能夠協(xié)同工作，勢(shì)必會(huì)在日常運(yùn)維中耗費(fèi)大量的時(shí)間和精力；在防護(hù)效果方面，各種設(shè)備之間無(wú)法對(duì)安全信息進(jìn)行統(tǒng)一分杯不能達(dá)到良好的整體防護(hù)效果。

因此，針對(duì)網(wǎng)上技術(shù)交易市場(chǎng)的實(shí)際應(yīng)用需求，設(shè)計(jì)了一種基于下一代防火墻的網(wǎng)絡(luò)安全防護(hù)的方案。

下一代防火墻是一種可以全面應(yīng)對(duì)應(yīng)用層威脅的高性能防火墻，通過(guò)分析網(wǎng)絡(luò)流量中的使用者、應(yīng)用和內(nèi)容，能夠?yàn)橛脩?hù)提供有效的應(yīng)用層一體化安全防護(hù)，幫助用戶(hù)安全地開(kāi)展業(yè)務(wù)并簡(jiǎn)化用戶(hù)的網(wǎng)絡(luò)安全架構(gòu)。下一代防火墻具有應(yīng)用層洞察與控制、威脅防護(hù)、應(yīng)用層數(shù)據(jù)防泄漏、全網(wǎng)設(shè)備集中管理等功能特性，這些功能能夠有效地、有針對(duì)性地應(yīng)對(duì)網(wǎng)上技術(shù)交易市場(chǎng)業(yè)務(wù)系統(tǒng)面臨的主要網(wǎng)絡(luò)威脅。

在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)方面，將下一代防火墻部署在網(wǎng)絡(luò)邊界、服務(wù)器交換機(jī)的前端，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)所在服務(wù)器與互聯(lián)網(wǎng)的邏輯隔離，從攻擊源頭上防止來(lái)自網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面以及數(shù)據(jù)層面對(duì)網(wǎng)上技術(shù)市場(chǎng)業(yè)務(wù)系統(tǒng)的安全威脅（見(jiàn)圖1）。

在解決Web應(yīng)用安全的問(wèn)題上，下一代防火墻能夠提供全方位、高性能、深層次的應(yīng)用安全防護(hù)。下一代防火墻采用高度集成的一體化智能過(guò)濾引擎技術(shù)，能夠在一次數(shù)據(jù)拆包過(guò)程中，對(duì)數(shù)據(jù)進(jìn)行并行深度檢測(cè)，完成2～7層的安全處理。同時(shí)，下一代防火墻內(nèi)置有高精度應(yīng)用識(shí)別引擎，可以采用多種識(shí)別方式進(jìn)行細(xì)粒度、深層次的應(yīng)用和協(xié)議識(shí)別，具有極高的應(yīng)用協(xié)議識(shí)別率與精確度，對(duì)于主流應(yīng)用、加密業(yè)務(wù)應(yīng)用、移動(dòng)應(yīng)用、企業(yè)內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用都可以實(shí)現(xiàn)全方位識(shí)別。

在應(yīng)對(duì)APT攻擊方面，下一代防火墻的安全監(jiān)測(cè)引擎和威脅檢測(cè)特征庫(kù)，對(duì)基于已知漏洞、惡意代碼發(fā)起的APT攻擊能進(jìn)行有效的防護(hù)。在針對(duì)零日漏洞和未知惡意代碼的威脅時(shí)，下一代防火墻通過(guò)沙箱技術(shù)構(gòu)建虛擬運(yùn)行環(huán)境，隔離運(yùn)行未知或可疑代碼，分析威脅相關(guān)信息，識(shí)別各種未知的惡意代碼，并自動(dòng)生成阻斷規(guī)則，實(shí)時(shí)、主動(dòng)地防范APT攻擊。

下一代防火墻實(shí)現(xiàn)數(shù)據(jù)防泄漏主要是利用應(yīng)用識(shí)別技術(shù)和文件過(guò)濾技術(shù)。高精度應(yīng)用識(shí)別引擎能夠?qū)哂袛?shù)據(jù)傳輸能力的應(yīng)用進(jìn)行數(shù)據(jù)掃描，文件過(guò)濾技術(shù)可以基于文件特征進(jìn)行掃描，敏感信息檢測(cè)功能可以自定義“身份證號(hào)碼”“銀行卡號(hào)”“密碼”等多種內(nèi)容并進(jìn)行監(jiān)測(cè)，通過(guò)這些技術(shù)的綜合運(yùn)用，可以有效地識(shí)別、報(bào)警并阻斷敏感信息被非法泄漏。

4 結(jié)語(yǔ)

下一代防火墻用一臺(tái)設(shè)備替代了傳統(tǒng)的防火墻、防病毒設(shè)備、入侵檢測(cè)設(shè)備、Web應(yīng)用層防火墻等多臺(tái)設(shè)備，但又不是簡(jiǎn)單地把現(xiàn)有的安全設(shè)備整合在一起，而是實(shí)現(xiàn)了防護(hù)功能與安全策略的智能聯(lián)動(dòng)。與配置傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的方案相比，降低了設(shè)備購(gòu)置成本，簡(jiǎn)化了設(shè)備運(yùn)維管理難度，并能夠有效地應(yīng)對(duì)業(yè)務(wù)系統(tǒng)面臨的主要網(wǎng)絡(luò)威脅，適合網(wǎng)上技術(shù)交易市場(chǎng)使用。