短消息中心系统安全防护方案探析.doc

短消息中心系统安全防护方案探讨 　　[摘要]本文介绍72消息中心系统的安全防护经验，通过在主机系统开启SSH的白名单、限制防问ORACLE主机的IP地址、启用主机防火墙iptables进行端口防问控制方式增加短消息中心系统的安全性 [关键词]短消息中心 安全 防护 一、背景 随着信息安全工作的重视，某通信运营商的短消息中心系统是上级公司和工信部信息安全检查的重点系统，其网络结构如图1所示 在公司组织的安全自查中，共发现系统安全漏洞544个，经过升级操作系统，打软件补丁等方式解决512个，但有32个漏洞由于系统冲突，操作系统厂商停止服务和业务限制等原因无法进行根本性修复，给系统运行带来一定的安全风险。对于此类安全问题，可采取的其它方式进行规避 通常的规避方法为采用防火墙的方式在边界进行控制，即EDM300防火墙上做防问策略，只允许其它网段特定的主机防问短消息中心特定的服务器。通过防火墙的限制，可以消除绝大部分的安全威胁，但当安全威胁来自短消息中心系统内部时，防火墙就无能为力，特别上级部门检查，要求避开防火墙接入内网进行漏洞扫描，因此，防火墙对系统的保护对于安全检查时无法发挥作用。因此需要从其它的途径寻找方法，消除漏洞给信息安全带来的风险 经过对残存的系统漏洞进行统计，可以归纳为三类： 1.SSH远程登录 2.ORACLE数据库系统方面 3.Apache Tomcat JSP应用服务器程序 二、解决方案 2.1SSH远程登录方面解决方案 SSH是目前较可靠，专为远程登录会话的协议工具，以加密方式传送数据，在短消息中心系统中，用于远程登录维护服务器使用，短消息的业务实现本身不使用SSH协议。因此，短消息中心的SSH服务使用者仅限于系统维护人员。因为SSH为本身的服务，可以通过系统服务白名单的方式将允许登录的主机限定于系统维护人员的主机，拒绝其它主机的连接请求 具体做法如下： 1、修改/etc/hosts.allow文件，添加如下内容： sshd：192.168.1.2：allow 表示允许192.168.1.2地址连接系统的SSH服务 2、修改/etc/hosts.deny文件，添加如下内容： sshd：all：deny 此文件是拒绝服务列表，修改后文件内容表示拒绝了所有sshd远程连接。当hosts.allow和host.deny相冲突时，以hosts.allow设置为准，这样就通过IP地址精确的指定了可以防问短消息系统的主机 3、重启系统的SSH服务 /etc/init.d/sshd restart 以此步骤，将系统维护人员机器的IP加入到短消息系统的各个主机，使之只允许维护人员远程登录，拒绝其它任何主机的SSH连接 2.2ORACLE数据库系统方面漏洞的解决方案 经过向短消息中心厂商了解，短消息中心的Oracle数据主要在业务实现时各个服务器之间的相互调用，并不需要对其它外界的主机提供的服务。因此对Oracle的连接仅限于短消息中心各个服务器之间，对于其它的IP址，完全可以禁止连接 由于Oracle数据库系统服务并非linux系统本身自带服务，因此不能通过操作系统黑白名单方式进行解决。Oracle提供限制与允许特定的IP或主机名通过Oracle Net来访问数据库。这个功能由sqlnet.ora配置文件来实现。该文件通常$ORACLE_HOME/network/admin/目录下，与tnsnames.ora以及listener.ora位于同一路径。通过监听器的限制，实现轻量级访问限制，比在数据库内部通过触发器进行限制效率要高 根据安全服务厂商绿盟的提供的其它运营商的经验，并经过短消息中心厂商研发确认，决定采用配置sqlnet.ora的方法限制IP访问数据库。具体做法如下： 1、统计短消息中心服务的所有地址，包括服务地址、私网地址及双机浮动地址，并制成列表，避免遗漏以免造成系统之间的数据库访问失败从而影响短消息业务 2、在数据库的主机上修改tnsnames.ora文件，将统计到地址全部加入到tnsnames.ora文件： tcp.validnode_cheching=yes tcp.invited_nodes=（172.50.XXX.1，172.50.XXX.2，172.50.XXX.3，ip4，ip5） 通过设置tnsnames.ora文件invited_nodes值，所有没有包含在invited_nodes值中的IP或主机将无法通过Oracel Net连接到数据库，不能使用数据库的服务 3、重启监听器使之生效 Isnrctl reload listener