河北醫(yī)科大學(xué)圖書館〔河北省石家莊市 050091〕 李仁玲

河北醫(yī)科大學(xué)基礎(chǔ)課教學(xué)部〔河北省石家莊市 050091〕 王建嶺*

Web服務(wù)器是使用一個(gè)標(biāo)準(zhǔn)化的XM L消息機(jī)制,不依賴于任何操作系統(tǒng)和編程語言,通過互聯(lián)網(wǎng)向用戶提供服務(wù)的工具。目前,各圖書館為了延長服務(wù)時(shí)間和提高服務(wù)效果,都紛紛建立了Web服務(wù)網(wǎng)站。W eb服務(wù)器的任何服務(wù)都是在互聯(lián)網(wǎng)上進(jìn)行的。Web服務(wù)器的互操作性、自我控制和自我描述,使其適合于實(shí)現(xiàn)復(fù)雜的分布式服務(wù)。然而,互聯(lián)網(wǎng)是一個(gè)很不安全的環(huán)境,病毒、攻擊不斷爆發(fā),嚴(yán)重地威脅著Web服務(wù)器的設(shè)備和信息安全。由于Web服務(wù)器的可移動(dòng)、不可靠、容易發(fā)生故障和易受各種攻擊,因而面向服務(wù)的架構(gòu)往往不穩(wěn)定。能否經(jīng)住入侵和故障的考驗(yàn),Web服務(wù)器的可用性和生存能力非常重要。

圖書館W eb服務(wù)器在網(wǎng)絡(luò)中不能完全杜絕故障或被攻擊。為了使Web服務(wù)器在被入侵、數(shù)據(jù)遭到破壞的情況下,仍能有效得到控制,繼續(xù)向合法用戶提供不間斷的服務(wù),我們設(shè)計(jì)了多層入侵容錯(cuò)系統(tǒng),利用多種網(wǎng)絡(luò)安全技術(shù)形成不同層次的安全系統(tǒng),預(yù)防、偵測、隔離和容錯(cuò)攻擊,保障了 Web服務(wù)器的安全性和服務(wù)功能。

一、Web服務(wù)器常用安全防護(hù)工具

(一)Web服務(wù)器防火墻

Web服務(wù)器防火墻(WSF)是應(yīng)用程序級(jí)網(wǎng)關(guān),強(qiáng)制所有的連接都必須經(jīng)過檢查才能連接,保護(hù)內(nèi)部網(wǎng)站資源免遭非法入侵。W eb服務(wù)器的大多數(shù)消息協(xié)議是 SOAP,基于XM L的信息格式包含用戶請求和服務(wù)響應(yīng),與相關(guān)的 HTTP作為基本傳輸協(xié)議。惡意 SOAP消息有可能造成Web服務(wù)器損害,因此防止這類攻擊的手段,是在 SOAP消息提交到Web服務(wù)器前驗(yàn)證該消息語法的完整性。W eb服務(wù)器防火墻可以防止無效或惡意請求的服務(wù),阻止用于惡意目的的瀏覽器和 HTTP攻擊行為,消除利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動(dòng)的攻擊。

(二)入侵檢測系統(tǒng) (IDS)

入侵檢測系統(tǒng)通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,會(huì)及時(shí)做出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。W eb服務(wù)器在運(yùn)行一個(gè)服務(wù)操作后,入侵檢測系統(tǒng)檢查系統(tǒng)響應(yīng)和狀態(tài)遷移的有效性以確定下一步可接受的狀態(tài)。而且,入侵檢測系統(tǒng)還可以對保護(hù)的日志文件進(jìn)行脫機(jī)審計(jì),以發(fā)現(xiàn)系統(tǒng)異常活動(dòng)。

(三 )入侵恢復(fù)

從入侵中得到恢復(fù)需要通過有效的恢復(fù)方法來實(shí)現(xiàn)。一般通過回卷機(jī)制和安全事件審計(jì)來恢復(fù)系統(tǒng)。Web服務(wù)器主機(jī)的回卷機(jī)制只允許W eb服務(wù)器授權(quán)操作策略許可的操作訪問文件系統(tǒng)。回卷進(jìn)程可以控制文件的訪問,即使這個(gè)進(jìn)程受到緩沖區(qū)溢出攻擊了,回卷也能允許文件訪問和防止未經(jīng)授權(quán)的訪問。一旦回卷失敗,主機(jī)監(jiān)視系統(tǒng)能立即通過安全事件審計(jì)系統(tǒng)檢測到新創(chuàng)建的進(jìn)程和每個(gè)文件訪問。

二、Web服務(wù)器的多層入侵容錯(cuò)系統(tǒng)結(jié)構(gòu)

圖書館W eb服務(wù)器都存在一些容易受攻擊點(diǎn)。在系統(tǒng)可容忍的限度內(nèi),這些受攻擊點(diǎn)并不會(huì)對系統(tǒng)的服務(wù)造成很壞的影響,系統(tǒng)仍能提供服務(wù)。在交互平臺(tái)的網(wǎng)絡(luò)環(huán)境中,入侵容忍能保證服務(wù)端在適當(dāng)降低服務(wù)效率的情況下,仍能不間斷地為客戶端服務(wù)。這也是對服務(wù)端信譽(yù)的有力保證。不僅要考慮Web服務(wù)器的安全防護(hù),還要考慮如何在受到入侵時(shí)仍能生存,并提供服務(wù)和保證系統(tǒng)的可用性、完整性和保密性。

為了使圖書館 Web服務(wù)器在不安全的網(wǎng)絡(luò)環(huán)境中仍能穩(wěn)定、可靠地提供服務(wù),我們結(jié)合安全防護(hù)技術(shù),設(shè)計(jì)了一個(gè)多層入侵容錯(cuò)系統(tǒng)。其結(jié)構(gòu)如“圖1”所示。 Web服務(wù)器防火墻 (W FS)接收用戶請求,

圖 1 Web服務(wù)器的多層入侵容錯(cuò)系統(tǒng)

使用特征庫內(nèi)已知的攻擊模式和規(guī)則驗(yàn)證用戶請求。只有通過驗(yàn)證的服務(wù)請求才可以放行,并將請求添加到系統(tǒng)日志中,以提交主服務(wù)器。主服務(wù)器的調(diào)度模塊檢測請示,并把請求提交給服務(wù)器的服務(wù)模塊。

入侵檢測系統(tǒng)通過審計(jì)日志文件來檢測和警報(bào)異常行為,一旦發(fā)現(xiàn)入侵或可疑行為就立刻發(fā)出警報(bào)(包含服務(wù) ID、報(bào)警結(jié)點(diǎn))。該事件管理模塊(EMG)接到報(bào)警后,根據(jù)Web服務(wù)列表查詢受損結(jié)點(diǎn),并拆除受損的結(jié)點(diǎn)列表。服務(wù)控制模塊(RCFG)根據(jù)拆除的受損結(jié)點(diǎn)停止主服務(wù)器上的受損服務(wù)。當(dāng)清除入侵故障后,入侵檢測模塊對受保護(hù)的日志文件進(jìn)行攻擊診斷。通過診斷確定是哪些請求引起的系統(tǒng)故障,提取這些請求的攻擊特征并更新入侵檢測攻擊特征數(shù)據(jù)庫。這樣,系統(tǒng)就可以增強(qiáng)對以前未知的攻擊的識(shí)別,防止它再次引起系統(tǒng)破壞。事件管理通過對惡意入侵請求信息進(jìn)行分析,從服務(wù)狀態(tài)遷移中提取入侵特征,更新防火墻攻擊模式特征庫,以防護(hù)類似攻擊再次侵入。

Web服務(wù)器調(diào)度模塊接收到服務(wù)請求后,判斷此次服務(wù) ID的服務(wù)級(jí)別是正常服務(wù)還是降級(jí)服務(wù)。如果是正常服務(wù),則由 NS服務(wù)模塊提供正常服務(wù);若是降級(jí)服務(wù),則由DS服務(wù)模塊進(jìn)行降級(jí)服務(wù)或只提供基本服務(wù),使服務(wù)控制在一定范圍內(nèi)。在 Web服務(wù)器體系結(jié)構(gòu)中,服務(wù)器上分布有若干傳感器,負(fù)責(zé)監(jiān)視服務(wù)器的運(yùn)行狀態(tài)以及其中關(guān)鍵數(shù)據(jù)的機(jī)密性和完整性。一旦傳感器感知到服務(wù)系統(tǒng)的異常將向 RCFG進(jìn)行報(bào)告。

RCFG根據(jù)服務(wù)狀態(tài)測定服務(wù)器的服務(wù)水平。如果發(fā)現(xiàn)服務(wù)可疑,服務(wù)器將提供降級(jí)服務(wù)。如果服務(wù)水平不能滿足Web服務(wù),則由備份進(jìn)行主服務(wù)器恢復(fù)或接替主服務(wù)器。由一個(gè)獨(dú)立只讀磁盤保留所有文件的拷貝,需要的時(shí)候再恢復(fù)到服務(wù)器上。在文件回卷沒有成功時(shí),可以取代受損、刪除或修改過的所有文件。

RCFG模塊包含服務(wù)請求和響應(yīng)預(yù)定,并定期和不定期地進(jìn)行檢測。服務(wù)請求是隨機(jī)的,通過比較服務(wù)的響應(yīng)與預(yù)定義的響應(yīng)集,如果有服務(wù)失敗就能檢測到。當(dāng)檢測到主服務(wù)器服務(wù)故障,服務(wù)器就可以恢復(fù)正常的服務(wù)。但這可能導(dǎo)致攻擊重復(fù)利用這一漏洞使服務(wù)器反復(fù)恢復(fù)。

不過,這一問題可以得到解決。例如,該系統(tǒng)定義t1時(shí)刻啟用恢復(fù)機(jī)制。t2時(shí)刻有一入侵I1發(fā)生,t3時(shí)刻入侵發(fā)動(dòng)攻擊。另一入侵 I2在t4時(shí)刻到來。檢測系統(tǒng)在t5時(shí)刻發(fā)出報(bào)警。我們可以確定入侵屬于t1～t5時(shí)刻間的請求集合,通過審計(jì)此間隔的日志文件排除已知合法請求,余下的作為可疑請求,可能是攻擊。Web服務(wù)器防火墻可以暫時(shí)停止這些請求,避免系統(tǒng)再出現(xiàn)同樣的故障。

三、 結(jié) 束 語

圖書館W eb服務(wù)器的多層入侵容錯(cuò)系統(tǒng),結(jié)合傳統(tǒng)的安全技術(shù)和容錯(cuò)技術(shù),提供了有效的深度防御。它使圖書館Web服務(wù)器在存在攻擊、故障和事故的環(huán)境中,一定程度容忍錯(cuò)誤存在,使W eb服務(wù)器仍然能提供服務(wù)。這將大大提高圖書館Web服務(wù)器的生存能力,增強(qiáng)系統(tǒng)的可靠性。

[1]金鍵,張鴻,梁嘉華,等.W eb服務(wù)安全性分析 [J].微電子學(xué)與計(jì)算機(jī),2004,(3)：19～ 25.

[2]張?jiān)朴?努爾布力,王程明,等.入侵容忍綜述 [J].吉林大學(xué)學(xué)報(bào)：信息科學(xué)版,2009,27(4)：289～ 395.

[3]Alysson,N.and Pau lo,S.and Miguel,C.Cheap Intrusion-Tolerant Protection for CRU TIAL Things[R],Department of Computer Science,University of Lisbon,2009,9.