安全之所倚：分层、立体化、联动

　　除了运维，保证电子政务外网的安全是大连市政府网站管理中心最重要的工作。一个有着3.2万用户、承载着700多种业务和数十个纵向专网、同时满足互联网访问和公共服务发布需求的复杂网络，其安全需求绝不是上几台设备就能解决的。基于多年工作经验和对业务的理解，耿主任提出了分层、立体化与联动的方法论，明确了目前及未来安全防护工作的方向。同时，对于应用流量失控可能对业务可靠性造成的影响，运营者也没有一味地去打压流量，而是借助缓存设备为用户提供了更好的应用体验。这种以用户为本、变堵为疏的成功经验，值得所有网络运营者借鉴。

　　Q：除了更精细化的控制，大连电子政务外网在涉及到公众服务的区域还用到哪些安全防护手段?

　　耿昭：安全防护体系的规模比较大，实现也比较复杂，我们的核心思想就是在各个环节做立体化、精细化的控制，这比单纯上一堆安全设备防护由外而内的攻击更有效。刚才说了Web服务器到出口，其实后端的数据库到Web服务器也有类似的访问控制策略。除了IP、端口这种4层控制，还有单独的设备去做审计和应用流量管理，只允许数据库协议的流量通过。

　　Q：你们的访问控制策略就做到7层协议为止么?是否会基于应用协议信令做控制?比如HTTP只允许GET这样的控制?否则如果成功运行起一个WebShell，岂不是可以规避刚才提到的所有防护手段了?

　　耿昭：这种是有的，但是不会在安全设备里做。安全设备上做的策略一定是相对通用的，越个性的越要在终端上面做。实际上如果把WebShell跑起来，说明终端至少一部分权限被获取了，本地策略也可能被修改了。安全设备封住一次，攻击者可以换一种手段再试，还是治标不治本。所以立体防御体系中还有一个重要的环节就是主机端，我们是基于Windows和Linux都做了强制访问控制，规定每个账号有权利使用哪些文件，允许读、写还是其它操作，以及能够访问的进程。因为我们大部分都是Web服务器，你就算进来可能也没有意义，因为所有的文件都只能看不能修改，也传不了任何东西。你想传个脚本上来运行，对不起，这些都是禁止操作的。

　　Q：现在入侵的目的更多是获取数据，对于数据库又有哪些防护手段呢?

　　耿昭：数据库服务器是没有外网IP的，想接触必须通过前段的Web主机。我们在数据库这块还有增强型安全机制，禁止了很多操作。攻击者对数据库表项或账号做任何操作，我们都会收到报警。总体来说你可以认为我每道关卡都不是很高端很强大，但你必须突破所有关卡才能做成一些事情，成本和难度都是很高的。

　　Q：听起来已经比较完善了，但这也只是由外而内的正常访问流程。如果有电子政务外网内部的用户，不管主动还是被动，进行了带有恶意目的的操作，又如何防护呢?

　　耿昭：电子政务外网的区域规划原则就是不能互访的，内网用户如果访问内部资源就不能访问互联网，访问互联网就不能访问内部资源，这样可以规避掉实时的受控或基于跳板的操作。如果是间接的数据窃取，比如通过木马记录下访问的内部资源，等连通外网时再发送这种，我们主要靠两种方法去限制。第一是互联网区的上网行为管理设备，会有一些策略去限制已知木马的行为;第二是我们旁路部署了一套网络威协识别产品，通过模式识别去检测木马的行为。两个产品配合起来用，发现问题就实时跟踪、告警。对木马光用技术手段是没用的，管理必须得跟上，该断就断，该通报就通报，才能让所有用户都重视。几年前我们发通报都是一堆感染主机，每台都能报几百次安全事件，只能弄个TOP排名，到现在慢慢才算是清理得比较干净了。当然没有告警不代表就没有木马了，安全防护永远不是做了就一定安全，只能说不做就一定不安全。

　　Q：相信净化内网的过程肯定不像您讲的这么云淡风轻，在这个过程中，你们遇到哪些困难，又是如何解决的呢?

　　耿昭：一开始的时候我们每天都下日报，包括安全日报、威胁日报等等，督促各级部门进行排查。后来人家也有点糊涂，因为他自己看不到网络里的情况，没有技术手段发现问题、解决问题。所以我们做了一件事：现在不仅是出口有上网行为管理，在绝大多数大型接入区也都部署了二级上网行为管理设备。这一样有两个好处，第一个好处是他有了自己排查问题的手段，分摊了我们中心的压力;第二个好处是他自己可以管理自己，包括应用流量控制也好、安全策略也好，在不违背我们集中管理策略的原则下自己优化调整。

　　Q：上网行为管理也不只用到安全功能吧?像政务外网这种服务器与上网终端共用一套互联网出口的结构，不管你出口带宽有多大，不做流控也肯定会影响关键业务，造成安全事件。

　　耿昭：在互联网区的流量控制是分级做的，总出口的设备会做一些粗粒度的带宽保证，不会去看流量具体是什么应用，协议识别控制是下面的设备去做的。你说的带宽问题其实我们也有感触，未来电子政务外网要接更多的用户进来，总不能说建了统一平台就把用户体验搞下降了。所以在增加带宽和做流量整形的同时，我们一直在找提高带宽利用率的方法。前年我们部署了一台大型的缓存设备，它有一些机制去把比较热门的资源抓取下来，现在看基本上能让我们节省20%-30%的带宽资源。

　　Q：刚才聊了这么多，我们觉得您除了对业务理解得很深刻外，对安全技术和产品也很了解，不妨也谈谈您在这方面的看法。

　　耿昭：其实安全方面的考虑一定是要从业务需求出发的，比如我们为什么要对应用流量做识别控制，很重要的一个原因是很多7层协议管道化了，不继续剥是不行的。也有些产品技术不能满足现在的需求了，比如网闸。这个东西我们是需要的，但它效率一直上不去，没法满足业务增长，像网上报税这样的关键业务最后只能把网闸都撤下来了，现在也就是四大库这种业务量和实时性要求不太高的地方还在用。还有一个就是IPS和IDS基于非特征模式的阻断，我们现在也不建议采取透明方式去做，因为误判的可能性和代价都是很高的。有些业务系统在逻辑上类似木马或者远程控制，你给断掉肯定不行。我这么说不代表不看好基于行为的识别，相反我非常看重，但是第一是目前真能做到很好效果的产品不多，第二就是即便有很好的效果也要慎重去配严格的策略。

　　Q：确实现在基于单体设备发现问题的有效性已经很低了，很多安全事件必须综合不同设备的检测结果才能做出判断。我们最近测试下一代防火墙的时候就有个感受，在用户身份统一后，它实际上已经具备了结合多种安全业务做关联分析的可能，去挖掘更多的隐藏威胁并做出智能响应。

　　耿昭：我个人认为未来的安全设备发展趋势应该是多设备联动，当然多个模块也算。更安全只是一方面追求，完整目的准确说来还是保障业务需求，涉及面很大。比如防火墙发现一些问题流量来了，除了做防护，还要会告诉链路负载均衡和上网行为管理说，把第一套策略换成第二套策略。当然这个整网策略我必须提前做好预案，但不一定要写死。理想状态是能让用户定一些原则，比如哪些关键业务是绝对不能断的、哪些流量是平时要保障但非常时期可以断的、哪些安全业务的检测力度是非常时期要加强的，然后根据具体情况去浮动。这一系列工作现在是用户自己把控的，我希望未来在设备层面能有一定的智能化实现。

　　Q：设备层面的智能联动不是没有厂商提过，但要不产品方案走向私有化，要不就是开放协议却很难形成健全的生态系统。您愿意被特定厂商绑死吗?

　　耿昭：我明白你的意思，开放与否实际上不是个技术问题。就现在我们和一些厂商交流的情况看，用开放标准实现多设备联动应该会有不错的方案。其实原来我们做SOC实现安全管理的联动效果就还可以，但它是纯粹基于安全这条主线来做的。现在我只是希望能在此基础上再进一步，不仅仅是做安全方面的集中管理和联动，还能做到应用交付层面的集中管理和联动，应该是有可能的。