试析网站信息安全事件监测平台的设计与实现

　　互联网技术的广泛运用改变着社会的生产和发展方式，互联网安全深刻影响着社会的经济、政治等各个方面，保障网站信息安全变得越来越重要，深入加强对网站信息安全的监测和管理引起我国的高度重视，文章主要分析网站信息安全监测平台的设计和实现。

　　目前，我国在网站信息安全事件监测过程中存在的问题有：现今有些加入平台监测的部门会拦截和屏蔽事件监测与漏洞检测爬取行为，平台工作人员只能通知网络管理人员对防护策略进行调整，或者是把平台地址放入白名单，因为需要监测大量部门的网站，通知单位开放对监测平台的限制会消耗大量精力，所以对监测工作的顺利进行造成了不利影响。当前监测平台实现的经济效益只能承担平台日常的运行、人员和维护等支出，不能够对平台的技术和扩容进行进一步研究，还没有在日常任务上开展一些安全测评、应急支援和安全咨询等附加服务。基于此，笔者对网站信息安全事件监测平台设计与实现进行了系统研究。

　　1 系统设计目标及原则

　　监测平台在实现功能和性能的的基础上，应该对日常维护和升级进行充分地考虑，因此在设计时应遵循下面几个原则。

　　1.1 可靠性

　　保证监测平台在24 h内可以持续稳健地运行，并且具有容错、恢复能力的对应系统。

　　1.2 安全性

　　对监测平台的访问用户进行控制，全面有效地对非法用户进行阻止，加大对访问用户的控制力，提高平台信息和每项系统资源的安全水平。

　　1.3 易用性

　　监测平台的界面美观大方，每个操作都可以快速直接地使用，具有快捷性和直观性的特点。

　　1.4 可扩展性

　　监测平台不仅可以扩展后期软件的功能，还可以扩展硬件的资源，让系统得到充分地利用。

　　1.5 先进性

　　监测平台应该保持技术架构以及手段的先进性，让其能够得到更好的开发和运维。

　　2 系统技术架构设计

　　2.1 网络架构设计

　　选择双链路将网站信息安全事件监测平台接入互联网，防止由单个运营商出现的单点故障，并且使系统的时效性得到保障。多链路负载技术能够让负载均衡以及链路实现就近访问，

　　放置1台链路负载均衡设备于网络的总出口，上联广域网2条，实现对ISP链路全路径的动态安全检测，选择就进技术与DNS技术对被检查单位网站的负载均衡，保证网络可以持续使用。

　　2.2 部署架构设计

　　应用Web管理方式让用户方便管理，应用浏览器经过数字证书、SSL通道和Web界面相互交叉。将平台分成模块进行设计，1台管理中心和10台监测引擎建立成系统物理架构。

　　2.3 逻辑架构设计

　　网站信息安全事件监测平台主要是分布式计算子平台、数据库和数据分析这三个部分组成。

　　分布式计算子平台是技术平台中比较重要的部分，子平台下面是被调度中心调度的多台引擎设备，主要是对目标站点进行页面爬取和风险分析;数据库里面有各种安全数据，作用是对比分析分布式计算子平台的页面，生成各项数据库;数据分析是用来统计和呈现监测的数据。

　　2.4 存储架构设计

　　把原有存储当做备份存储来应用，采用12 Tb存储设备，通过光纤存储、交换机和HBA卡完成对虚拟平台的升级，光纤交换机和光纤存储用来连接每台服务器内的HBA卡，配备比较高端的光纤存储系统来保障数据的安全和稳定，提高通道的速率。

　　平台本身可以智能存储系统的日志，考虑到需要具备大量的存储空间来监测1 000个网站，存储的方式有：

　　①管控中心存储。管控中心有1T的本地存储容量，能够全面记录六个月内被监测的1000个网站的全部日志，可以忽略六个月前监测的概括性日志所占用的容量。

　　②其他存储设备。管控中心可以自动备份和清空日志，当日志容量达到设定值时，系统发出警告后会在配置好的FIP服务器里面自动进行数据的备份。

　　2.5 安全架构设计

　　为了更有效地管理使用核心业务的人员，以及保证监测数据的安全性，对应地配备了平台安全认证系统。主要是维护以下方面的安全：

　　在数字证书基础上的身份管理、管控中心内部的双因子身份管理和选用HTTPS系统加密信息。

　　用户必须经过双向的身份认证和接入U盾才可以进入平台，原有的用户登录过程和权限管理系统不会发生变化。平台系统安全架构，如图1所示。

　　3 系统实现

　　3.1 系统架构运作流程

　　平台监测到事件后发生告警的主要步骤是：

　　①策略配置。在用户下发了监控策略之后就可以对告警策略进行配置，策略包含告警的方式和内容，告警的方式可以设置成在告警平台上展示和邮件通知，告警的内容包括挂马和存在不同程度风险的漏洞。

　　②监测过程。模块在发现告警事件后会及时地展示在告警平台，会通过设置的告警方式对监测人员进行报告。

　　③告警处理。用户在收到告警通知后可以处理告警事件，处理的状态分成：确定、稍后处理、已处理、忽略和误报。

　　3.2 系统测试

　　应该建立涵盖事前、事中和事后的漏洞检测和信息安全事件监测体系，实施对网站7*24 h的安全监测，利用远程监测及时收集和分析被监测网站系统的全部安全信息，提高发现不同安全事件的及时性，其中的安全信息包括网站的挂马、网页中的恶意程序和网站中出现的敏感信息，同时定期地检测网站中具有的WEB应用漏洞。结合平台的功能和性能制定出测试系统的方案，测试并验证监测平台中重要产品的参数、性能指标和实现水平等，比如测试的环境，见表1。

　　目前社会信息技术加速发展，技术的革新和应用不断进步和发展，各个单位网站面临的信息安全问题变得复杂化，保持网站安全的运行是我国社会信息发展重要的组成部分，网站信息安全事件监测平台可以降低我国各单位发生信息安全事件的几率，避免信息安全事件对经济造成的损失，让各单位减少在信息安全上的不必要支出，减少信息安全事件对社会产生的各种不利影响。

　　4 结 语

　　我国互联网安全日渐复杂，大多数网站的管理人员还不能完全实时掌控自身网络系统的安全，一般的单机检测系统很难保证网络检测的实效性和全面性，网站容易受到恶意入侵，对社会经济会造成不利的影响。建立一个具有及时性、可靠性和持续性特点的网站信息安全事件检测平台，可以进一步保障我国基础信息与重要信息系统的安全，提高我国应对信息突发安全事件的能力，能够更及时有效地处理信息安全威胁事件，同时还可以帮助我国建设和管理信息安全支援队伍，促进我国信息安全管理制度的改革。

　　作者：施德伟 来源：企业技术开发·下旬刊 2016年5期