前言：本站為你精心整理了網(wǎng)絡(luò)防護(hù)體系建構(gòu)范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

本文作者：王剛耀馬杰作者單位：人民日?qǐng)?bào)社技術(shù)部

虛擬化應(yīng)用運(yùn)行過(guò)程

從圖1中可以看出，虛擬化應(yīng)用位于網(wǎng)絡(luò)的DMZ區(qū)。Cisco6509、Cisco4506、Cisco3750和防火墻設(shè)備運(yùn)行的都是路由模式。報(bào)社互聯(lián)網(wǎng)上的用戶要訪問(wèn)單位的虛擬化應(yīng)用，數(shù)據(jù)包首先通過(guò)4506交換機(jī)，再到防火墻上。在防火墻上配置有相應(yīng)的安全策略，會(huì)根據(jù)數(shù)據(jù)包的源和目的IP地址，以及端口號(hào)來(lái)判斷是否對(duì)數(shù)據(jù)包進(jìn)行路由，允許通過(guò)的數(shù)據(jù)包將會(huì)傳輸?shù)紻MZ區(qū)的Cisco3750交換機(jī)上，最終訪問(wèn)到虛擬化服務(wù)器上的業(yè)務(wù)應(yīng)用。報(bào)社部分編輯、記者用戶，需要通過(guò)虛擬化應(yīng)用訪問(wèn)到報(bào)社內(nèi)部網(wǎng)絡(luò)上的一些采編應(yīng)用系統(tǒng)，這樣圖1中的虛擬化服務(wù)器就會(huì)作為服務(wù)器，通過(guò)Cisco3750、防火墻和Cisco6509，最終訪問(wèn)到報(bào)社內(nèi)部服務(wù)器上的資源。從采編應(yīng)用服務(wù)器上返回的數(shù)據(jù)包也是先到達(dá)DMZ區(qū)的虛擬化應(yīng)用服務(wù)器上，然后服務(wù)器再把數(shù)據(jù)包返回給報(bào)社互聯(lián)網(wǎng)上的用戶。

虛擬化應(yīng)用安全思考

安全是應(yīng)用的基礎(chǔ)。目前，使用報(bào)社虛擬化的用戶主要來(lái)自互聯(lián)網(wǎng)，但是隨著報(bào)社信息化建設(shè)的不斷發(fā)展，桌面虛擬化和網(wǎng)絡(luò)虛擬化也相繼在報(bào)社進(jìn)行測(cè)試應(yīng)用。所以隨著虛擬化使用范圍的越來(lái)越廣，更應(yīng)該注重虛擬化在安全方面的防護(hù)和加固。（1）安全防護(hù)五要素。虛擬化應(yīng)用和其它應(yīng)用系統(tǒng)一樣，都應(yīng)該從五個(gè)方面進(jìn)行安全加固，如圖2所示。一是用戶身份安全。它能夠提供用戶名密碼、USB-KEY、硬件特征碼、數(shù)字證書、短信認(rèn)證中的一種或多種身份認(rèn)證方式，保障用戶身份接入的可靠性。二是終端安全。應(yīng)當(dāng)加強(qiáng)終端設(shè)備的病毒、木馬防護(hù)，及時(shí)升級(jí)系統(tǒng)的漏洞補(bǔ)丁，檢測(cè)、攔截和移除病毒、間諜軟件。三是傳輸安全。要使用標(biāo)準(zhǔn)的加密算法保障數(shù)據(jù)的安全傳輸。四是應(yīng)用權(quán)限安全。能夠針對(duì)每個(gè)部門、每個(gè)用戶進(jìn)行應(yīng)用、URL級(jí)別的授權(quán)，并可針對(duì)用戶終端安全環(huán)境、登錄時(shí)間的不同，進(jìn)行差別授權(quán)和靈活控制。五是審計(jì)安全。日志中心能提供詳細(xì)的報(bào)告，作為網(wǎng)絡(luò)規(guī)劃的依據(jù)，并且具備管理員權(quán)限的分級(jí)功能，提高管理安全性。（2）虛擬化應(yīng)用安全隱患。報(bào)社虛擬化應(yīng)用最普遍的方法是，用戶用各種終端通過(guò)互聯(lián)網(wǎng)連接到單位DMZ區(qū)的虛擬化服務(wù)器上，虛擬化服務(wù)器再作為就可以訪問(wèn)到內(nèi)網(wǎng)的采編應(yīng)用系統(tǒng)上，如圖3所示。從圖中可以看出，接入到虛擬化應(yīng)用的終端有很多種，只要能接入到互聯(lián)網(wǎng)就可以訪問(wèn)到報(bào)社的虛擬化應(yīng)用。但是，訪問(wèn)虛擬化應(yīng)用的“用戶身份安全”不是很好驗(yàn)證，存在用戶不能通過(guò)智能手機(jī)或PDA掌上電腦，使用USB-Key認(rèn)證訪問(wèn)報(bào)社的虛擬化應(yīng)用的問(wèn)題，因?yàn)檫@些設(shè)備上沒(méi)有USB接口。所以為了方便用戶訪問(wèn)虛擬化應(yīng)用，就開通了“用戶名密碼+認(rèn)證碼”的認(rèn)證訪問(wèn)方式，這樣用戶無(wú)論使用什么樣的終端都可以訪問(wèn)到虛擬化應(yīng)用。但是，使用“用戶名密碼+認(rèn)證碼”的認(rèn)證方式屬于靜態(tài)認(rèn)證，一旦用戶名和密碼泄露會(huì)造成嚴(yán)重的后果。況且認(rèn)證碼也是一種非常簡(jiǎn)單的認(rèn)證方式，它的目的是保證登錄網(wǎng)站的是人而不是程序。非法用戶完全可以通過(guò)一些專用的破解軟件，把密碼破譯出來(lái)。所以，在虛擬化應(yīng)用中最好不要使用“用戶名密碼”的認(rèn)證方式。

虛擬化應(yīng)用安全防護(hù)措施

針對(duì)應(yīng)用系統(tǒng)的安全防護(hù)五要素，和報(bào)社虛擬化應(yīng)用的實(shí)際情況，提出以下四點(diǎn)虛擬化應(yīng)用的安全防護(hù)措施。（1）手機(jī)動(dòng)態(tài)密碼驗(yàn)證。報(bào)社很多業(yè)務(wù)應(yīng)用系統(tǒng)，對(duì)安全性的要求也很高，而手機(jī)動(dòng)態(tài)密碼的認(rèn)證方式，在國(guó)內(nèi)有的銀行已經(jīng)廣泛應(yīng)用，例如交通銀行。所以它的安全性已經(jīng)得到認(rèn)可，完全可以把它應(yīng)用到報(bào)社的虛擬化認(rèn)證中。它是一種動(dòng)態(tài)的、互動(dòng)的密碼認(rèn)證方式，即使非法用戶盜用了銀行用戶的銀行卡和支付密碼，若他沒(méi)有銀行用戶的手機(jī)也不能完成網(wǎng)上支付，因?yàn)閯?dòng)態(tài)密碼只發(fā)送到銀行用戶本人的手機(jī)上。而且在向銀行用戶發(fā)送動(dòng)態(tài)密碼時(shí)會(huì)包括一個(gè)“密碼序號(hào)”，如圖4所示的上半部分，是用戶進(jìn)入到銀行支付頁(yè)面的提示。在“動(dòng)態(tài)密碼”輸入框的后邊就有一個(gè)提示“密碼序號(hào)：56”；同樣在圖4的下半部分的黃色顯示區(qū)域，是銀行用戶本人手機(jī)上收到的動(dòng)態(tài)密碼提示信息，在其中也包含有“密碼序列：56”，這兩個(gè)序號(hào)的數(shù)值必須一致才是真實(shí)有效的密碼，這就進(jìn)一步提高了手機(jī)動(dòng)態(tài)密碼的安全性。（2）擴(kuò)展USB-Key認(rèn)證使用范圍。人民日?qǐng)?bào)社目前已部署有完善的PKI認(rèn)證系統(tǒng)，用戶在訪問(wèn)重要的業(yè)務(wù)應(yīng)用前，都需要通過(guò)USB-Key認(rèn)證。而且，從表1對(duì)幾種認(rèn)證方式的比較可以看出，安全性最高的是USB-Key和動(dòng)態(tài)口令認(rèn)證方式。所以，在報(bào)社的虛擬化應(yīng)用上，采用USB-Key認(rèn)證就能保證所有業(yè)務(wù)應(yīng)用系統(tǒng)在認(rèn)證方式上的統(tǒng)一性。相比較而言，USB-Key認(rèn)證方式性價(jià)比高，而且USB接口又有通用性，因此USB-Key認(rèn)證技術(shù)最適合應(yīng)用推廣。由于USB-Key具有安全可靠、便于攜帶、使用方便、成本低廉的優(yōu)點(diǎn)，加上PKI體系完善的數(shù)據(jù)保護(hù)機(jī)制，使用USB-Key存儲(chǔ)數(shù)字證書的認(rèn)證方式已經(jīng)成為目前主要的認(rèn)證模式。報(bào)社用戶通過(guò)互聯(lián)網(wǎng)，使用智能手機(jī)、PDA等沒(méi)有USB接口的設(shè)備，遠(yuǎn)程登錄虛擬化應(yīng)用時(shí)，可以使用USB接口的轉(zhuǎn)接線，把設(shè)備上的接口轉(zhuǎn)換成USB接口，就可以繼續(xù)使用USB-Key的認(rèn)證方式。（3）遠(yuǎn)程安全桌面應(yīng)用。圖5安全桌面應(yīng)用原理圖訪問(wèn)虛擬化應(yīng)用的用戶，無(wú)論是用USB-Key認(rèn)證方式，還是用“用戶名密碼”方式登入虛擬化應(yīng)用系統(tǒng)時(shí)，經(jīng)常會(huì)把報(bào)社內(nèi)網(wǎng)中的資源下載到本地電腦中，其中可能會(huì)包含有涉及到單位的敏感信息，這些信息又極易被黑客和不法分子獲取，若散播到互聯(lián)網(wǎng)上，會(huì)對(duì)報(bào)社帶來(lái)極壞的影響。而安全桌面技術(shù)的應(yīng)用可以很好的解決這一問(wèn)題。安全桌面技術(shù)可以防止重要數(shù)據(jù)留存在用戶終端而泄露的風(fēng)險(xiǎn)。所有和虛擬化應(yīng)用服務(wù)器發(fā)生的訪問(wèn)行為和傳輸?shù)膽?yīng)用數(shù)據(jù)都將置于該安全桌面中，此安全桌面中的所有數(shù)據(jù)均無(wú)法存儲(chǔ)到本機(jī)、無(wú)法拷貝到U盤等外設(shè)設(shè)備、無(wú)法通過(guò)局域網(wǎng)和互聯(lián)網(wǎng)外發(fā)，任何方式都無(wú)法將數(shù)據(jù)從安全桌面內(nèi)泄漏出去。當(dāng)用戶關(guān)閉安全桌面后，其中的所有數(shù)據(jù)將一并銷毀，從而徹底保障重要數(shù)據(jù)被終端訪問(wèn)時(shí)的高安全性。（4）DMZ區(qū)部署七層防火墻。目前，報(bào)社部署的防火墻都是傳統(tǒng)的防火墻設(shè)備，在性能、帶寬和安全性上已遠(yuǎn)遠(yuǎn)不能滿足虛擬化應(yīng)用的各項(xiàng)需求，不能夠在應(yīng)用層面上對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行攔截和監(jiān)控。從圖1中可以看出，互聯(lián)網(wǎng)上的用戶訪問(wèn)報(bào)社內(nèi)部的虛擬化應(yīng)用的所有數(shù)據(jù)，都必須通過(guò)兩臺(tái)防火墻設(shè)備FW-A和FW-B，所以防火墻設(shè)備性能的優(yōu)劣，將會(huì)對(duì)虛擬化應(yīng)用的安全起到?jīng)Q定性作用。七層防火墻增強(qiáng)了允許通過(guò)防火墻的數(shù)據(jù)包的安全性，因?yàn)榫W(wǎng)絡(luò)安全的真實(shí)需求是，既要保證網(wǎng)絡(luò)安全，也必須保證應(yīng)用的正常運(yùn)行。它主要是基于應(yīng)用層開發(fā)的新一代防火墻，與傳統(tǒng)防火墻相比它可以針對(duì)豐富的應(yīng)用提供完整的、可視化的內(nèi)容安全保護(hù)方案。解決了傳統(tǒng)安全設(shè)備在應(yīng)用可視化、應(yīng)用管控、應(yīng)用防護(hù)處理方面的巨大不足，并且滿足了同時(shí)開啟所有功能后性能不會(huì)大幅下降的要求。它既滿足了普遍互聯(lián)網(wǎng)邊界行為管控的要求，同時(shí)還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識(shí)別和控制豐富的內(nèi)網(wǎng)應(yīng)用。在圖1所示的網(wǎng)絡(luò)中部署七層防火墻后，可以識(shí)別出互聯(lián)網(wǎng)上訪問(wèn)虛擬化的各種應(yīng)用及其應(yīng)用動(dòng)作，識(shí)別出用戶IP地址對(duì)應(yīng)的多種信息，并建立組織的用戶分組結(jié)構(gòu)，這將會(huì)大大提高報(bào)社互聯(lián)網(wǎng)用戶訪問(wèn)虛擬化應(yīng)用的安全性。