因此,可采用安全設(shè)備內(nèi)置HTTPS證書的防護(hù)解決方案,應(yīng)用服務(wù)器利用安全設(shè)備進(jìn)行SSL解密、計(jì)算后完成安全檢測(cè),然后再將數(shù)據(jù)加密轉(zhuǎn)化為安全的HTTPS服務(wù),解決安全性和穩(wěn)定性的問題。

本文選擇的安全設(shè)備是布置在數(shù)據(jù)出入口的防火墻設(shè)備。選擇防火墻的原因有二：一是防火墻可對(duì)所有的數(shù)據(jù)流量進(jìn)行分析;二是防火墻可以對(duì)出入流量進(jìn)行基本的安全檢測(cè)。防火墻設(shè)備（即WAF設(shè)備）可對(duì)HTTP協(xié)議的傳輸進(jìn)行安全監(jiān)控,通過對(duì)其功能的開發(fā),也可以實(shí)現(xiàn)HTTPS的安全防護(hù)。

5.2 功能開發(fā)設(shè)計(jì)

在用戶業(yè)務(wù)應(yīng)用訪問過程中,首先在通過防火墻時(shí)將應(yīng)用層加密數(shù)據(jù)解密成明文,并進(jìn)行原有的各個(gè)安全模塊（SQL注入、XSS攻擊、漏洞檢測(cè)等）檢測(cè)后,再次封裝SSL進(jìn)行加密,將數(shù)據(jù)安全地傳輸?shù)胶笈_(tái)應(yīng)用服務(wù)器。

在防火墻上開發(fā)一個(gè)HTTPS安全檢測(cè)功能的模塊（見圖5）,設(shè)計(jì)如下。

1）第一步,需要對(duì)證書進(jìn)行管理,沒有CA機(jī)構(gòu)頒布的證書,就無法對(duì)加密數(shù)據(jù)進(jìn)行解密。內(nèi)置的SSL配置模塊可確定所屬加密算法是國(guó)密算法還是國(guó)際算法,然后導(dǎo)入擁有的證書。

2）第二步,要完成應(yīng)用功能防護(hù)設(shè)計(jì),在防火墻應(yīng)用防護(hù)中新建一個(gè)HTTPS的虛擬服務(wù),以完成SSL等信息配置。然后對(duì)真實(shí)服務(wù)器的IP、端口、SSL版本進(jìn)行配置,由于是對(duì)HTTPS進(jìn)行防護(hù),端口應(yīng)該選擇443,如果經(jīng)過檢測(cè)后不再進(jìn)行加密傳輸,也可以選擇HTTP模式和80端口。

3）第三步,完成上述兩個(gè)步驟就完成了對(duì)HTTPS的解密過程,還需設(shè)置安全防護(hù),對(duì)解密后的內(nèi)容進(jìn)行如SQL注入、跨站腳本攻擊以及中間件漏洞等一些深層次的檢測(cè)和攻擊防御設(shè)置。

圖5 安全防護(hù)設(shè)計(jì)Fig.5 The design of security protection

5.3 安全防護(hù)流程

安全防護(hù)流程如圖6所示。

圖6 安全防護(hù)流程Fig.6 The procedure of security protection

具體流程如下：

1）客戶端發(fā)起HTTPS連接;

2）安全設(shè)備與客戶端進(jìn)行SSL協(xié)商通信,并發(fā)送服務(wù)器證書通過認(rèn)證;

3）解密數(shù)據(jù);

4）安全設(shè)備進(jìn)行檢測(cè)和安全防護(hù);

5）安全設(shè)備與服務(wù)器進(jìn)行SSL協(xié)商通信,加密處理后,變成密文的HTTPS數(shù)據(jù);

6）將加密后的安全信息傳輸?shù)椒?wù)器。

 6 結(jié)語

電力營(yíng)銷業(yè)務(wù)涉及用戶繳費(fèi)等敏感信息,需要在外網(wǎng)繳費(fèi)平臺(tái)和移動(dòng)終端應(yīng)用上進(jìn)行加密傳輸,以確保用戶個(gè)人信息不被泄露。目前電力業(yè)務(wù)系統(tǒng)已經(jīng)有少量采用HTTPS協(xié)議加密的站點(diǎn),例如電力市場(chǎng)交易平臺(tái),但基本都沒有實(shí)現(xiàn)對(duì)HTTPS協(xié)議的檢測(cè)、分析和防護(hù),存在一定的安全隱患。

本文結(jié)合電力業(yè)務(wù)系統(tǒng)現(xiàn)有的防護(hù)體系,通過創(chuàng)新性改造,采用HTTPS協(xié)議加密移動(dòng)互聯(lián)網(wǎng)應(yīng)用,利用HTTPS流量分析技術(shù)實(shí)現(xiàn)SSL卸載和再加密功能。經(jīng)過解密,在現(xiàn)有防護(hù)體系中對(duì)傳輸?shù)膬?nèi)容進(jìn)行檢測(cè)及防護(hù),然后再應(yīng)用加密技術(shù)完成安全的數(shù)據(jù)傳輸。本文研究可顯著提升信息外網(wǎng)HTTPS站點(diǎn)的防護(hù)能力。