一种基于云计算的网站安全防护系统的研究与实现

时间:2022-10-25 06:48:32

一种基于云计算的网站安全防护系统的研究与实现

【摘 要】本文利用云计算为企业网站提供了一种一站式的安全解决方案,设计了一种网站安全防护系统CloudFence。该系统使得网站处在CloudFence云平台实时保护中,极大减少了用户的使用和维护成本。同时CloudFence综合采用跨地域、跨运营商智能DNS调度、页面优化、页面缓存等技术,能够进一步提升网站访问速度,降低故障率,从而整体上提升了网站的用户体验。

【关键词】云计算;网站安全防护;智能DNS

1.研究背景

在信息化迅猛发展的今天,金融网络化、电子化已经是不可抗拒的大势,许多银行已经在网络开设了重要应用。而相应的,各种木马、病毒、钓鱼、僵尸网络等安全威胁也接踵而来。据国家互联网应急中心的统计数据显示,2012年,中国内地共有近3.5万家网站被黑客挂马、篡改,仿造银行业务网站的钓鱼网站层出不穷。这些被篡改和挂马网站只是信息安全冰山上的小小一角,通过标准的漏洞扫描工具检测就会发现,超过90%的Web应用程序存在安全漏洞,国内绝大部分银行网站都存在或多或少的安全问题。这些安全问题不仅会给银行带来巨大的经营风险,导致难以估量的经济损失,而且会严重影响银行形象,妨碍电子银行和网上银行工作的正常开展,造成危害更大的社会影响。

为了应对这些安全问题,网站安全需求也在不断的变化和增长。传统的安全防护方案是由用户购买并部署反病毒软件、防火墙、入侵检测等一系列安全设备,不仅成本高昂,对于运营、配置、维护也有着较高的要求,而安全防护的木桶理论又决定了一旦某个环节有所疏漏,整个安全防护体系都会功亏一篑。

传统网站安全解决方案的缺点有:成本高昂、部署麻烦、维护困难,存在带宽瓶颈,串接设备若发生故障影响整个网络。

2.研究内容

本文的主要研究内容包括如何利用先进的云计算[1-2]技术,为用户提供一站式的安全解决方案,在线事务处理系统在“零部署”、“零维护”的情况下,防止诸如XSS、SQL注入、木马、零日攻击、僵尸网络等各种网站安全问题。同时,研究如何采用跨运营商智能调度、页面优化、页面缓存等技术,进一步提升访问速度,降低故障率,从而整体提升用户体验。

3.系统实现

传统的安全都是一种保镖式的安全,随着用户安全意识的逐步提升,诸如防火墙、入侵检测系统等安全设备已经得到了广泛的部署,在这种环境下,攻击者总是会想方设法绕过安全设备去攻击最终的目标。而蓝盾网站安全云平台(CloudFence)提供的最大的变化就是利用云安全[3]的理念,从保镖变成了替身,是思想理念上的变化,将安全以服务的方式提供给用户。

CloudFence以分布式计算为基础云架构[4],采用跨运营商的多线智能解析调度,用户只需将网站的DNS切换到云平台,云平台会通过DNS智能解析调度将单点Web资源动态负载至银行各网点的云端节点,用户访问流量被引导至最近的云端节点,高性能的云端节点可以承载高并发的用户请求流量,并且通过对请求的动态内容优化压缩,静态内容分布缓存,为用户提供高质量的CDN服务,加速用户的访问速度。

目前的网站加速技术主要采用squid和nginx,现在有许多大型的门户网站如 SINA 都采用 squid 反向技术来加速网站的访问速度,可将不同的 URL 请求分发到后台不同的 Web 服务器上,同时互联网用户只能看到反向服务器的地址,加强了网站的访问安全。

从最新的技术来看, Nginx已经具备Squid所拥有的Web缓存加速功能、清除指定URL缓存的功能。同时,通过对多核CPU的利用,Nginx在加速速度上已经超过Squid。另外,在后端服务器故障转移、安全性、易用性上,Nginx也有了更多的提升,故采用Nginx来实现CDN服务。

CloudFenc的网络架构主要由两大部分组成,分为中心和边缘两部分,中心指CloudFence系统中的智能DNS系统,它主要负责全局负载均衡和请求的重定向。边缘主要指分布在各地的CloudFence节点,CloudFence节点是内容分发的载体,主要由安全防护、Web优化、Cache和负载均衡器等组成。

CloudFence云平台节点采用蓝盾安全扫描系统进行远程扫描Web服务器存在的Web漏洞,支持检测SQL注入、跨站脚本攻击、恶意文件上传等多种Web漏洞,并将扫描结果以报表的形式清晰直观地提交给网站维护人员,及时对已知缺陷进行修补。

蓝盾安全扫描系统是集网络扫描、主机扫描和数据库扫描三大扫描技术为一体的集成扫描工具。它适用于对不同规模的Internet/Intranet环境下的各种网络设备、主机系统、数据库系统和应用程序等进行安全扫描、安全评估,并提出相应的安全防护解决方案,帮助使用者了解自己网络的安全风险变化趋势,从而有效降低网络的总体风险,保护关键业务和数据。

该系统不但具有丰富、完善的漏洞库,还能模拟黑客攻击行为,对目标网络进行深层渗透性检测。由于采用了智能端口服务识别、弱口令检测、防火墙穿透等先进技术,该系统能够检测到一般扫描器检测不到的网络缺陷,并以直观的方式报告给使用者。

蓝盾安全扫描系统由扫描主机控制台和客户端两个部分组成。客户端运行用户界面模块,是用户与系统的人机交互界面,包括监控界面和管理界面;扫描主机控制台运行扫描主控软件,扫描主控软件由系统初始化模块、扫描策略定制模块、报表生成模块、漏洞数据库维护模块、扫描引擎、任务调度模块、漏洞检测模块和用户管理模块等组成;目标主机是扫描模块直接从扫描主机上通过网络进行扫描的对象。

云平台管理中心通过统计各节点的访问点击情况,可以为IT部门管理人员和领导提供一份详尽的在线事务处理系统的数据统计报表,使运营者更加了解网站的访问情况和安全状态,为网站优化和服务改进提供数据参考。访问数据统计分析包括:某一时段正常访问数,搜索引擎收录情况,各地区SQL、XSS攻击次数,用户各地分布情况,页面点击排名等。

4.结论

本文利用云计算为企业网站提供了一种一站式的安全解决方案,设计了一种网站安全防护系统CloudFence。该网站安全防护系统能有效抵御木马、XSS、SQL注入、零日志攻击、僵尸网络等恶性攻击。用户只需要登录CloudFence网站注册,进行域名等简单配置,通过审核后就可以让网站处在CloudFence云平台实时保护中,无需装载任何软件,无需部署任何硬件,也无须自己维护,极大减少了用户的使用和维护成本。同时CloudFence综合采用跨地域、跨运营商智能调度、页面优化、页面缓存等技术,能够进一步提升网站访问速度,降低故障率,从而整体提升网站的用户体验。

参考文献:

[1] 陈全,邓倩妮. 云计算及其关键技术[J].计算机应用,2009, 29(9): 2562 -2567

[2] 李乔,郑啸.云计算研究现状综述[J].计算机科学,2011,38(4):39-45

[3] 孙磊 ,戴紫珊.安全服务云框架研究[J].计算机应用, 2012,32(1):13—15,41

[4] 俞能海,郝卓,徐甲甲,张卫明,张驰.云安全研究进展综述[J].电子学报,2013,41(2):371-382

上一篇:光接入网的现状与发展 下一篇:独立学院辅导员对学生管理工作的思考与创新