拟态防御技术在政府门户网站建设中的应用

◆凌颖 余新胜 徐李定 付琳

拟态防御技术在政府门户网站建设中的应用

◆凌颖 余新胜 徐李定 付琳

（中国电子科技集团公司第三十二研究所 上海 201808）

政府门户网站作为政府职能部门信息化建设的重要内容，属于国家重要信息系统。主要实现信息公开、在线办事、全民参与等功能。大数据时代，政府门户网站承载业务数量逐渐增加，面对网站被篡改、网络钓鱼、SQL注入等攻击事件，网站安全形势日益严峻。拟态防御技术能够主动防御未知漏洞与后门，本文研究拟态防御技术在政府门户网站中的应用，提高网站整体安全性，解决政府网站被攻击后面临的政治风险、公信力下降等问题。

拟态防御；政府门户；网络安全

在信息时代和数字经济时代，网络安全与数据安全问题异常严峻，是不可小觑的重大问题，更是国家安全的重要组成部分，而政府门户网站作为政府机关实现政务信息公开、服务企业和社会公众、互动交流的重要渠道[1]，其安全问题更不容忽视。一旦被黑客进行网页内容篡改，其负面影响是非常严重的，除了政府形象受损、信息传达失真之外，甚至可能引发信息泄密等安全事故。根据国家计算机网络应急技术处理协调中心（英文简称CNCERT/CC）公开发布的《2021年上半年我国互联网网络安全监测数据分析报告》[2]中指出，2021年上半年我国境内遭篡改的政府网站共有177个。随着2017年6月1日《网络安全法》正式实施以及2021年9月1日《数据安全法》正式实施，这意味中国在追求网络安全和数据安全的道路上迈上了新台阶。

1 传统防御技术

目前，主流的传统安全防御体系综合采用防火墙技术、虚拟局域网技术、入侵检测、身份认证、漏洞修补等防护技术，阻挡或隔绝外界入侵，进行安全防护[3]。在一定程度上，是能够起到防御作用的，但它们都属于静态防御技术，它们有一个共同的特点：必须要等到攻击出现以后，安全厂商才能针对已发起的恶意攻击进行特征检测，提取相关规则，并提供相应的防护措施。换言之，是漏洞在先，防护在后。当病毒和恶意攻击不断更新，传统防御措施却只能不断地跟在安全威胁后面，陷入“被动挨打”的局面，而在面对“难缠”的黑客不断试探时，也未必能够抵挡住入侵。

2 拟态防御技术

面对当前网络空间的安全态势“易攻难守”的现状，邬江兴院士提出的网络空间拟态防御（Cyberspace Mimic Defense，CMD）原理[4-5]，这一网络防御新思想不再追求精确已知的漏洞与后门，采用拟态防御技术的核心架构——动态异构冗余（Dynamic Heterogeneous Redundancy，DHR）能够主动防御未知漏洞与后门，有效解决当今传统网络防御技术中存在的不确定性和被动性。

图1 DHR架构模型

DHR架构模型（如图1）主要包括分发器、异构冗余执行体集、裁决器、负反馈控制器和热备异构执行体集等模块。各模块功能如下：

（1）分发器

分发器接收到来自外部输入请求后，同时向异构冗余执行体集N1N2、……、Nm进行分发请求。

（2）异构冗余执行体集

异构冗余执行体集以满足至少两个执行体、两种架构为佳，各执行体在接收到分发器分发过来的请求进行处理，并作出相应的响应，传送给裁决器。

（3）裁决器

裁决器在接收到异构冗余执行体集传送的响应后，调用裁决算法进行一致性裁决，如有异常，则向调度传送异常信息。

（4）负反馈控制器

负反馈控制器接收到裁决器发送的异常信息后，将异常执行体进行强制下线，进行清洗，并将热备异构执行体集中的备用执行体进行上线。注意清洗恢复顺序为清洗在先，恢复/上线为后。

（5）热备异构执行体集

热备异构执行体集中按不同架构划分，根据调度机制[6]，原则上保持异构最大化，动态选取备用执行体，备用执行体各方面都与在用执行体保持一致，上线前需要完成数据迁移工作。

3 政府门户网站安全现状

随着政府门户网站上线数量不断增加，网站的安全性也越来越重要。政府门户网站作为我国网站的核心部分，其网络安全性关系到政府的影响力、公信力和权威性。如果政府门户网站群中的某一站点一旦被攻击，将直接影响到整个政府门户网站群的安全运行，其影响范围与普通门户网站相比更为严重。

3.1 站群集约化

根据调研，现在政府门户网站群多为基于顶层设计，通常由特定的信息中心负责，通过统一标准体系、统一规划建设，搭建统一技术平台，建立统一安全防护，进行统一运维管理。站群集约化有节约政府资源、实现信息公开、数据共享、互动交流、业务协同，服务融合等特色。集约化管理，将一群独立的政府门户网站集约成一个独立运营但又相互关联的政府门户网站群，虽然能够有效解决政府门户网站信息孤岛、数据烟囱等问题，但网站群被攻击的频次也会增加，集约共享的同时，风险也被集中到政府门户网站群中[7]，这无疑对政府门户网站的安全运行带来了新的挑战。

3.2 安全意识薄弱

近年来，政府门户网站多次遭受境内外黑客强攻篡改页面，安全漏洞突出等问题，这也侧面反映了网站管理安全意识薄弱——重上线、轻管理。随着信息技术的不断发展，黑客的攻击手段也越来越高，除了网站研发人员编码上可能存在不够严谨之外，同时，也存在不少政府门户网站通过向网络公司租用网络空间来搭建网站，这些网络服务器可能不在国内，一旦面临攻击，相关部门也无法立刻采取相应措施，这对于政府门户网站的安全监管增加了不少难度。

4 基于拟态防御技术的政府门户网站建设

根据国办发[2017]47号《政府网站发展指引》中指示，政府门户网站不同于其他门户网站，原则上不得关停，即使是网站改版升级也应在确保正常运行的情况下进行[8]。毫无疑问，如果仅靠传统防御技术，就好比是“亡羊补牢”，想要达到“网络攻防平衡”，其前提和基础是要积极部署网络防御技术。自邬江兴院士提出拟态防御原理以来，其理论已经得到逐渐完善与广泛应用，拟态防御的有效性也得到充分验证，拟态防御技术作为一种新型防御，应用于政府门户网站中，将为信息安全提供强有力的保障。

4.1 拟态通用运行环境

拟态通用运行环境（Mimic Common Operating Environment，MCOE）[9]以DHR架构为基础，将拟态信息系统的异构执行体池作为对象，提供N（N≥2）个异构执行体，部署应用、分发请求、执行裁决、管理等，确保在黑客攻击的情况下，能够正常运行。MCOE架构图如图2所示。

为实现拟态防御，首先要构建异构化的基础环境，对异构执行体可进行多个层面的异构化，在软硬件基础层可使用异构的CPU、操作系统；应用支撑层可使用异构的Web容器、容器云；在应用层可使用异构化的应用编译方法、源代码来部署异构的执行体资源池。

为实现MCOE环境部署的N异构执行体的动态性和异构性，因此需提供调度服务，为用户提供异构最大化的执行体初始化调度。通过在短时间内动态地改变目标系统基础环境和攻击表面增加了攻击者的攻击难度，在拟态判决出现异常的情况下通过异常替换调度来维持N异构执行体的动态性。通过调度出随机性、动态性和异构性三性最大化的N异构执行体服务器，为拟态防御提供了异构化的基础环境。

应用部署前需要完成准备工作：设定选择执行体数目X，通过调度机制从异构执行体池内“异构最大化”选取X个异构执行体，其内部配置好数据库代理地址、管理模块收集X个异构执行体信息。

图2 MCOE架构

MCOE架构时序说明：

（1）客户端向分发模块发起请求；

（2）分发模块在接收到客户端传来的请求访问后，先调用“管理接口1”，获取异构执行体、内部裁决、协同执行及相应的代理信息，以确定需要向哪些异构执行体下达分发请求；

（3）分发模块在得知上一步中获取的信息后，将此地址文件下发给代理模块，代理收到后将地址文件以JSON文件的形式存储于本地；

（4）分发模块根据上一步中JSON文件得知X个异构执行体信息对应的IP 和端口号，将客户端发起的请求分发给各个异构执行体；

（5）X个异构执行体（应用）由内部配置的数据库代理地址，通过数据库代理，访问数据库，并接收sql执行命令，数据库裁决对接收到的sql执行命令进行一致性裁决，裁决后将裁决结果提供给“裁决结果接口1”。并将裁决为一致的响应返回给执行体。

（6）X个异构执行体将请求响应返回给分发模块；

（7）分发模块在收到X个异构执行体返回的响应后，先调用“管理接口2”，获取外部裁决及相应代理信息，以确定外部裁决地址；

（8）分发模块在收到上一步中的信息后，将带裁决响应数据打包发送给外部裁决模块，外部裁决模块对接收到的响应数据进行一致性裁决，裁决后将结果提供给“裁决结果接口2”。并将裁决为一致的响应返回给分发模块；

（9）分发模块在收到外部裁决模块返回的响应数据后，将其返回给客户端。至此，完成客户端发起请求，收到响应的过程。

负反馈模块将定时调取裁决结果接口1&2，若读取到异常，则立即进行异常处理（即异构执行体上下线），先将异常执行体进行下线，调度根据调度机制从异构执行体池中选取匹配的执行体进行数据迁移并上线，此时管理模块需要重新获取三个异构执行体信息。

数据库代理的功能是将应用与数据库之间建立桥梁，数据库裁决模块会通过代理接收到的数据库请求信息进行裁决，能够起到对数据库的防护作用。

5.2 政府门户网站拟态化改造

政府门户网站多数采用CMS内容管理系统，由于CMS掌控整个网站动向，因此采取非必要不上线原则，所以本文涉及的改造仅对CMS发布后的前台内容（应用）进行，如实际需求中CMS需要同时上线，也可以针对CMS进行拟态化改造，本文将不赘述。

由于在同一时间内，对于异构执行体同时侵入的概率极低，因此加强了安全防护效果。同时，拟态改造化之后，异构执行体和数据库服务都不会暴露在互联网上，网络模型如图3所示。客户端通过分发入口访问政府门户网站，即使有单个执行体出现异常，也会根据裁决结果立即进行清洗轮换，对于客户端来说，感觉不出任何异常，页面仍可正常访问。

CMS发布新内容后，在各异构执行体进行数据同步时，只需暂停清洗轮换服务，等同步完成后立即开启即可。当然，即使短暂关闭清洗轮换服务对于分发入口影响也微乎其微。比如说异构执行体1的数据为最新版，需要同步至其他异构执行体，但是对于分发入口来说，其裁决结果为少数服从多数原理，并不影响客户端访问。

图3 网络模型

在应用实际改造过程中，需要注意以下几点：

（1）时间戳

拟态环境通过消息体增加时间戳的方法来解决异构执行体中时间戳一致性的问题。在客户端发起请求给分发模块时，由分发模块基于本地时间产生时间戳，并封装到HTTP消息头中，当分发模块下发给异构执行体时，该时间戳也会一并传送。异构执行体收到后可通过HTTP消息头中的时间戳信息进行相应处理。

（2）UUID（唯一标识）

拟态环境通过消息体增加UUID的方法来解决异构执行体唯一标识一致性的问题。在客户端发起请求给分发模块时，由分发模块产生UUID，并封装到HTTP消息头中，当分发模块下发给异构执行体时，该UUID也会一并传送。异构执行体收到后可通过HTTP消息头中的UUID信息进行唯一标识的响应处理。

（3）随机数

像验证码等功能需要用到随机数，若应用不进行相应处理，各异构执行体应用生成的验证码不同，必定会出现裁决不一致的情况。拟态环境可提供两种解决方法，一是拟态环境可通过消息体增加随机数的方式（具体参考时间戳和UUID），二是如果对随机性要求不高，可在应用中直接使用UUID中某几位作为随机数。

（4）第三方插件

应用中发送短信验证码、二维码扫描登录等功能通常会使用到第三方插件，不做处理则无法通过裁决。遇到这类问题，最佳方式是联系第三方接口开发商，进行适配改造。如开发商无法满足需求，则可以在裁决模块前插入中间件进行拦截不做裁决，已确保正常运作。

5 结束语

政府门户网站作为政府部门履行职能，提供百姓服务的主要平台，一旦被黑客恶意攻击入侵，不但有损政府形象，影响社会秩序，削弱政府部门公信力，甚至可能引发社会安全事件。本文通过研究在政府门户网站引入拟态防御技术，希望能够为政府优化网站安全体系建设工作给予一定参考。

[1]刘渊．政府门户网站建设与管理[M]．浙江大学出版社，2003．

[2]2021年上半年我国互联网网络安全监测数据分析报告．国家计算机网络应急技术处理协调中心．https://www.cert.org.cn/publish/main/upload/File/first-half%20%20year%20cyberseurity%20analysis%20%20report%202021.pdf．

[3]刘昕林，黄建华，罗伟峰，等.动态异构冗余架构下Web实践及安全性分析[J].计算机应用，2021，41(S1)：125-130.

[4]邬江兴．网络空间拟态防御导论[M]．北京，科学出版社，2017．

[5]邬江兴．网络空间拟态防御原理[M]．北京，科学出版社，2018．

[6]霍立田，邵培南，徐李定，等.拟态通用运行环境的资源管理与调度技术[J].计算机工程，2020，46(02)：159-169.

[7]陈大文.政府网站群系统安全现状及对策研究[J].无线互联科技，2015(20)：38-39+81.

[8]国务院办公厅. 国务院办公厅关于印发政府网站发展指引的通知[EB/OL]. http://www.gov.cn/zhengce/content/2017-06/08/content_5200760.htm，2017-6-18.

[9]付琳，邵培南，应飞，等.拟态通用运行环境的框架设计[J].计算机工程，2020，46(03)：24-33.