網絡安全可視化范文
時間:2023-09-22 17:20:16
導語:如何才能寫好一篇網絡安全可視化,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:云計算;電子政務;網絡安全;可視化;云平臺;風險分析;安全特性
引言
電子政務自出現(xiàn)以來就得到了我國政府的高度重視,隨著這些年的蓬勃發(fā)展其已經被廣泛應用到了我國經濟發(fā)展的方方面面,為我國各級政府穩(wěn)定運轉和高效管理做出了重大的貢獻。我國社會生產正在向著信息化的方向發(fā)展,在這樣的背景下電子政務也已經不再是傳統(tǒng)的辦公工具,其正在我國進行各項重大改革、執(zhí)行關鍵決策的過程中扮演著不可或缺的角色,極大提升了我國各級政府的治理能力。當前我國電子政務的主要發(fā)展方向就是同云計算技術相結合,這也大大改變了電子政務傳統(tǒng)的建設模式,電子政務網絡也逐漸轉化為政務云,這不僅提升了我國電子政務網絡基礎設施的使用效率,還是我國電子政務集約化和可持續(xù)發(fā)展的可靠保障,有效緩解了我國各級政府存在的信息共享不足和各自為政的問題,真正實現(xiàn)了政務資源整合共享,增強了政府的管理能力。云計算是推動信息技術能力實現(xiàn)按需供給、促進信息技術和數(shù)據(jù)資源充分利用的全新業(yè)態(tài),是信息化發(fā)展的重大變革和必然趨勢。隨著智慧政務各種應用的不斷落地,各級政務部門開發(fā)的應用系統(tǒng)越來越多,大都通過集約化部署的方式集中部署在電子政務云平臺上。但是在這種模式下電子政務網絡中將會存儲巨大的數(shù)據(jù)和信息,這就成為了許多不法黑客的主要攻擊目標,尤其是在電子政務網絡中引入了云技術之后,一旦電子政務網絡受到了黑客攻擊并且出現(xiàn)了各種問題不能正常運行,將會造成數(shù)據(jù)和信息的泄露,最終將導致巨大的經濟損失。
1對政務云所面臨安全風險的簡要分析
1.1平臺建設優(yōu)先,災備保護不足
兩級政務云平臺建設發(fā)展速度較快,受到電子政務“十二五”規(guī)劃綱要、信息共享等相關政策的影響,各省市開始整合現(xiàn)有的軟硬件資源,構建電子政務公共平臺,并投入大量資金進行設備購買,兩級政務云環(huán)境基本形成。但另一方面可以看到,云平臺的災備建設還剛剛起步,大量的政務云系統(tǒng)缺乏統(tǒng)一的災備規(guī)劃、管控,部署數(shù)據(jù)容災方式還停留在較為原始的技術水平,缺乏有效的異地備份、分級備份方式和統(tǒng)一管控的手段。特別是業(yè)務集中上云以后,對業(yè)務連續(xù)性和數(shù)據(jù)安全可靠性保障提出了更高要求。現(xiàn)有的災備模式和代表政務公眾形象的政務云低RTO、低RPO要求不相匹配。
1.2業(yè)務發(fā)展速度加快,傳統(tǒng)規(guī)模估算模式略顯吃力
在兩級政務云建設模式下,業(yè)務系統(tǒng)建設逐步加速,“橫”、“縱”兩個維度的需求催生了政務云系統(tǒng)快速發(fā)展和擴張:協(xié)同辦公、并聯(lián)審批、信用平臺、資源交易平臺等橫向建設的業(yè)務系統(tǒng),一般由經信委、發(fā)改委牽頭建設,業(yè)務建設由國家發(fā)文,省級單位統(tǒng)一規(guī)劃建設;工商管理系統(tǒng)、交管綜合系統(tǒng)、房管信息系統(tǒng)等涉及到部門專項業(yè)務的縱向業(yè)務系統(tǒng),一般由部委牽頭統(tǒng)一建設。業(yè)務建設由國家、部委發(fā)文,部委、省廳統(tǒng)一規(guī)劃建設。
1.3政務云建設發(fā)展不均衡風險
政務云建設發(fā)展水平不均,落后地區(qū)建設預算不足,運維保障能力弱對于東部沿海地區(qū)省份、以及省會等區(qū)域中心城市,由于建設資金雄厚,政務云系統(tǒng)建設整體進展較快,設備資源較為充裕,運維水平較高;而對于欠發(fā)達地區(qū),例如一些省份中的落后地區(qū),當?shù)刎斦A算不夠充裕,又或者是垂直部委下轄的欠發(fā)達省份,建設資金無法滿足建設需求,而與之而來的運維保障能力較弱,也成為了政務云建設中的短板。
1.4自建政務云與購買云服務關系有待協(xié)調
很多省市開始采用運營商、集成商為政府專門建設的云服務,其中有很多政府部門既有自建政務云平臺,又有采購第三方云服務,兩個平臺之間使用、管理關系未統(tǒng)一,導致使用及管理復雜。
2對云計算的電子政務網絡安全風險規(guī)避策略的簡要分析
2.1加大資源貢獻力度
全局資源共享,提供跨域云資源服務,有效解決地市政務云暫時性資源緊缺的問題當?shù)厥杏袠I(yè)務上線需求,但苦于平臺建設進度無法跟上、沒有充足資源匹配的情況,可向省級云租借空閑的資源使用,市級云管理員可以向管理自有市級云資源一樣,統(tǒng)一管理租借來的云資源,實現(xiàn)了業(yè)務系統(tǒng)跨云自動部署、遷移、彈性伸縮,使資源充分利用,讓資源在省內按需流動。
2.2省市兩級云運維服務流程與規(guī)范統(tǒng)一
在兩級政務云框架下,省內發(fā)達和落后地區(qū)的政務云資源由省級平臺通過集中管理系統(tǒng)進行統(tǒng)一管理,縱向實現(xiàn)兩級云分級、分權、分域管理,使全省運維標準統(tǒng)一,解決了各地市電子政務運維隊伍差異大,運維水平不均衡的問題。
2.3加大災備統(tǒng)一管理的力度
統(tǒng)一災備服務,有效解決災備系統(tǒng)選點難、投資大、管理復雜的難題在省級云建設統(tǒng)一的政務云災備中心,為省、市兩級各政務云站點提供統(tǒng)一災備服務,可快速提高全省政務云系統(tǒng)和數(shù)據(jù)的可靠性和連續(xù)性問題,整體減低建設、投資及管理的復雜度及成本。
3結束語
電子政務網絡不僅提升了我國電子政務網絡基礎設施的使用效率,還是我國電子政務集約化和可持續(xù)發(fā)展的可靠保障,有效緩解了我國各級政府存在的信息共享不足和各自為政的問題,真正實現(xiàn)了政務資源整合共享,增強了政府的管理能力。
參考文獻
[1]吳為,張博涵,任海清,王曉云.2018年底前河北建設政府統(tǒng)一數(shù)據(jù)開放平臺[J].計算機與網絡.2017(04).
篇2
關鍵詞:病毒;系統(tǒng)還原;網絡安全
1網絡病毒特點及應對
病毒通過網絡侵入電腦,受感染的電腦運行速度下降,系統(tǒng)資源被破壞,無法響應用戶的正常指令,網絡無法使用。防治網絡病毒一舉成為網絡領域重點研究課題。
網絡上病毒的傳播及傳染方式相對復雜:感染終端一服務器硬件資源一服務器硬盤共享資源一其他終端設備。電腦病毒在網絡環(huán)境下所展現(xiàn)出的一些新特點,如表1所示。
2校園網絡中的總體防毒措施
計算機間的通信就像人們走親訪友一般,從一個門進入另一個門,而網絡病毒也會想方設法地跟著偷偷溜進來。網絡安全體系的建立不僅僅需要病毒防范技術,還需要遵守管理制度,出臺法律約束,并加強個人的安全防范意識和防毒技能,也可以用下面的式子表述:
信息安全體系=法律+意識+技術+管理+技能
用戶對病毒的防范技術的掌握是有效防范病毒入侵的必要手段。病毒防范的一些基礎技能是每個網內用戶必須掌握的,如殺毒軟件的基本功能的使用,某些典型病毒的防范技巧等,也可以請專業(yè)的反病毒公司進行指導。如果每一個用戶都是一個防毒查毒殺毒能手的話,團結起來便會成為有巨大力量的天網,那么病毒將無處藏身,無路可退,最終無法生存。
應通過對網絡端口類型分析、端口狀態(tài)分析、關閉不必要的端口等網絡自身的防毒措施對病毒進行抵御。在網絡本身所具備的防病毒體系和防火墻技術、虛擬局域網技術對網絡病毒的制約的基礎之上,校園網內還應提供卡巴斯基等強力殺毒軟件對病毒進行查殺。
某學院教學樓網絡中心機房結構如圖1所示。
網絡病毒及木馬對校園網和終端的傷害是特別大的。曾幾何時,熊貓燒香肆虐著局域網內的所有終端設備,ARP病毒也曾經困擾很多高校機房。一旦感染此類病毒,老師無法正常教學,學生無法正常練習,行政人員無法使用正常的網絡辦公,所以防治局域網內的病毒就成為第一個要抓的重點。剛才提到的行政辦公人員和使用教學設備的學生、老師是校園網中最主要的使用者。行政人員的設備終端包括計算機和手機設備,多通過各自辦公室的路由器連接到樓層交換機上,因為有網絡防火墻的保護,辦公室內部的病毒傳播有限,防治的方法也很簡單,只要在終端安裝可靠的防火墻和殺毒軟件即可。而使用教學設備的老師和學生則更加難以控制,終端病毒需要特別防范,不同WLANT的病毒傳播也不得不防,所以要維持校園網絡暢通真的是困難重重。
對于教學人群密集的教學樓內的計算機設備,需通過2種截然不同的方式防范病毒的傳播和入侵。首先,對購置年限較長的計算機實行無硬盤化管理,也就是無盤工作站模式,由千兆線連接交換機及服務器,由服務器實現(xiàn)對軟件的安裝、維護和升級,只要局域網絡暢通,服務器沒有斷電,所有無盤工作站都會正常有序地運行。當然,防毒也只限于服務器了。其次,對購置年限較短的計算機實行還原保護管理,也就是安裝保護卡,給所有入網的教學設備安裝了保護卡,由千兆線連接交換機,對所有硬盤區(qū)域進行細致分析,多系統(tǒng)劃分,多功能劃分,開機還原,具體化安排課表,完全控制學生機合理操作。從根本上保證系統(tǒng)的純凈,杜絕病毒和木馬,給老師和學生創(chuàng)造了一個良好的學習環(huán)境。
3機房及各系部辦公室客戶端的安全細化設計
在客戶終端上必須安裝一些應用軟件保證和維護校園辦公和教務的正常進行。
(1)系統(tǒng)殺毒。正版的卡巴斯基殺毒軟件,由于升級繁瑣、兼容性差和對硬件要求高,很難普及。360安全防護系統(tǒng)可以很好地補充漏洞,它能查殺木馬,管理插件和軟件,清理系統(tǒng)垃圾,手機管理,修復被棄管的XP漏洞等。同時提供系統(tǒng)實時保護,全方位捍衛(wèi)用戶系統(tǒng)。另外,還有配套的360殺毒軟件,結合起來一起使用,效果也是很好的。如今多數(shù)學校的大部分系統(tǒng)都使用360安全衛(wèi)士及配套殺毒軟件。
篇3
關鍵詞:惡意移動代碼;蜜罐技術;監(jiān)測;數(shù)據(jù)采集
中圖分類號:TP309.5文獻標識碼:A文章編號:1672-7800(2012)010-0160-02
基金項目:河南省教育科學“十一五”規(guī)劃2009年項目(2009-JKGHAG-0321)
作者簡介:王樂樂(1985-),女,中國人民信息工程大學信息工程學院碩士研究生,研究方向為網絡安全;邢穎(1985-),女,中原工學院軟件學院助教,研究方向為網格計算與云計算。
0引言
惡意移動代碼(MaliciousMobileCode-MMC)是指在計算機之間以及網絡之間移動的任何程序代碼,這些代碼未經任何允許和授權,有意對計算機系統(tǒng)內容進行篡改,從而達到破壞計算機數(shù)據(jù)完整性以及降低網絡運行可用性的目的。惡意移動代碼包括計算機病毒、木馬、蠕蟲、惡意腳本以及流氓軟件等。惡意移動代碼具有自我復制和自我傳播特性,主要表現(xiàn)為:用戶機密信息受到威脅、造成骨干網或局域網阻塞、網絡服務中斷、僵尸網絡(Botnet)等,嚴重威脅著Internet網絡安全。蜜罐技術可通過模擬服務來獲取入侵事件的具體信息,已成為目前網絡安全領域的新興技術,本文提出的基于蜜罐技術的惡意移動代碼掃描監(jiān)測模型能有效對網絡中惡意移動代碼進行監(jiān)測,及早、有效地發(fā)現(xiàn)面臨的威脅,保護網絡與主機安全。
1常用網絡監(jiān)測技術
為了減少網絡惡意侵害行為對互聯(lián)網基礎設施以及主要應用系統(tǒng)的危害,必須對相關網絡威脅進行監(jiān)測和追蹤。目前,監(jiān)測方式主要分為兩類:主機監(jiān)測和網絡監(jiān)測。主機監(jiān)測是指在用戶主機上安裝反病毒軟件和基于主機的入侵檢測軟件,對入侵主機的已知惡意代碼進行檢測和告警。網絡監(jiān)測方式中,常用技術是在活動(active)網絡中被動監(jiān)聽網絡流量,利用檢測算法識別網絡入侵行為。雖然監(jiān)測活動網絡擴大了監(jiān)測范圍,但是如何區(qū)分活動網絡中的“善意”和惡意流量卻變得非常困難,導致檢測結果中存在大量虛警;另一種網絡監(jiān)測技術是指在未使用的IP地址空間內被動收集數(shù)據(jù)。但這種集中收集惡意流量的方式割裂了惡意流量與原有活動網絡流量之間的關聯(lián);最后一種網絡監(jiān)測技術是將未使用地址空間偽裝成活動網絡空間,通過與入侵者的主動交互獲取入侵詳細信息,如蜜罐技術(HoneynetProject,相關軟件有honeyd等)。與以上兩種網絡監(jiān)測技術相比,蜜罐技術能夠有效地將活動網絡中的惡意流量分離出來,監(jiān)測到與活動主機相關聯(lián)的網絡入侵行為,從而達到保護網絡的目的。
2蜜罐技術
蜜罐(Honeypot)技術作為一種典型的主動防御技術,是近年來的研究熱點。蜜罐技術研究發(fā)起人LanceSpitzner給出的定義是:蜜罐是一種安全資源,它的價值體現(xiàn)在被刺探、攻擊或者被摧毀的時候。蜜罐系統(tǒng)主要包括了網絡誘騙、數(shù)據(jù)控制、數(shù)據(jù)捕獲、數(shù)據(jù)報警、數(shù)據(jù)分析和日志遠程存儲等功能模塊。
蜜罐的工作原理是通過引誘攻擊者的入侵來保護系統(tǒng)本身安全,能通過某種方式監(jiān)測與跟蹤入侵者的行為,并將其記錄在日志中對攻擊方法進行技術分析,從而學習入侵者的工具、策略和方法。
蜜罐按照交互的級別,可以分為低、中、高三種交互級別:
低交互honeypot沒有真正的操作系統(tǒng)可供攻擊者使用,也不會給系統(tǒng)帶來額外的風險。由于它不可能觀察攻擊者與操作系統(tǒng)的交互過程,因此不能收集到真正有意義的信息。此階段主要提供檢測功能。
中交互honeypot設置了一些信息以供交互,但未提供一個真正的底層操作系統(tǒng)。因為honeypot的交互能力提高了,攻擊者發(fā)現(xiàn)安全漏洞的可能性也更大,所以增加了風險。
高交互honeypot有真正的底層操作系統(tǒng),攻擊者能夠上傳、安裝新文件,可以與操作系統(tǒng)交互,也能夠攻擊各種應用程序,會給系統(tǒng)帶來很大的風險,但捕獲到有用信息的可能性越大。
3基于蜜罐的掃描監(jiān)測原型系統(tǒng)設計與實現(xiàn)
本文在分析了蜜罐技術在實際部署中必須考慮的相關因素的基礎上,針對惡意移動代碼的特點,構建了基于蜜罐技術的惡意移動代碼掃描監(jiān)測模型,目標是對校園網內的惡意掃描源進行監(jiān)測和預警。模型按功能實現(xiàn)可以劃分為兩部分:監(jiān)測部分和預警處理部分,監(jiān)測部分是預警處理部分的基礎。
3.1模型構成
整個系統(tǒng)由6個模塊構成,如圖1所示,分別為監(jiān)測數(shù)據(jù)采集模塊、數(shù)據(jù)存儲和預處理模塊、單點檢測預警模塊、檢測結果可視化模塊、多點綜合處理與預警模塊、防火墻訪問規(guī)則自動生成模塊。除監(jiān)測數(shù)據(jù)采集模塊屬于監(jiān)測部分外,其余模塊均屬于預警處理部分。
系統(tǒng)框圖如圖1所示。整個系統(tǒng)的數(shù)據(jù)處理流程描述如下:
監(jiān)測數(shù)據(jù)采集模塊負責在監(jiān)控網絡內采集惡意掃描流量,將流量數(shù)據(jù)輸送至數(shù)據(jù)存儲與預處理模塊中的數(shù)據(jù)服務器,并對存儲格式進行簡單轉換處理,然后單點檢測預警模塊分別對各采集點的流量數(shù)據(jù)進行統(tǒng)計分析,形成單點掃描檢測預警結果。該結果一方面由可視化模塊進行可視化,另一方面?zhèn)鬏斀o多點綜合處理與預警模塊進行綜合處理與預警。綜合檢測與預警結果由可視化模塊進行可視化輸出,同時由防火墻規(guī)則自動生成模塊生成防火墻訪問規(guī)則,與防火墻聯(lián)動對惡意掃描源行為進行控制。
3.2監(jiān)測數(shù)據(jù)采集模塊
監(jiān)測數(shù)據(jù)采集模塊為模型的基礎模塊,只有監(jiān)測數(shù)據(jù)采集準確,才能提供有效的處理信息給后續(xù)預警分析。在監(jiān)測數(shù)據(jù)采集模塊中,首先應該確定監(jiān)測點在網絡中的部署位置。因為本文系統(tǒng)提出的設計目標是監(jiān)測校園網內的惡意掃描源,所以監(jiān)測重點是出現(xiàn)在校園網內部的掃描連接,根據(jù)部署原則,監(jiān)測點需要部署在校園網防火墻內,并且是由內部路由器連接的網絡中。由于蜜罐技術可以把網絡中路由未使用的IP地址偽裝成“活動主機”,因此在內部網絡中,監(jiān)測點主要以活動主機的形式存在。
3.3單點檢測預警模塊
單點檢測預警模塊為模型的核心處理模塊之一,其功能是對各個監(jiān)測采集點數(shù)據(jù)進行獨立統(tǒng)計,并且進行掃描源與掃描端口的監(jiān)測、報警、預警。根據(jù)蜜罐的工作原理,訪問蜜罐的網絡行為被認為未授權或惡意行為,所以基于蜜罐技術的掃描監(jiān)測模型捕獲到的流量一定是純的異常流量。本文采用的蜜罐技術可以直接確定訪問源性質,從而將研究重點集中在掃描源行為的研究而不是在掃描源識別上。
3.4可視化模塊
可視化模塊是實現(xiàn)數(shù)據(jù)檢測結果方便用戶可視的重要模塊,主要由Web網頁相關處理腳本構成,建立了專門的Web網站掃描源檢測處理可視化結果。網站可以自動更新每日掃描源檢測報警、預警結果,提供數(shù)據(jù)庫查詢接口頁面,并且為用戶提供以日、周、月為單位的掃描源檢測結果。
3.5多點綜合處理與預警模塊
多點綜合處理與預警模塊是模型的核心模塊,其功能是以時間為尺度對各個單點檢測報警的結果進行關聯(lián)分析和綜合分類,從而形成來自于不同的監(jiān)控網段共同掃描行為的綜合報警和預警報告,并且將結果輸入到防火墻訪問規(guī)則自動生成模塊,進而對后續(xù)相同的掃描源的惡意移動行為進行控制。有關關聯(lián)分析處理參閱文獻。
3.6防火墻訪問規(guī)則自動生成模塊
當今網絡中普遍采用的網絡安全防御部署系統(tǒng)主要有防火墻、入侵防護系統(tǒng)(IPS)和入侵檢測系統(tǒng)(IDS)等。這幾個系統(tǒng)的基本工作原理是根據(jù)一定的訪問控制規(guī)則對惡意移動行為進行邏輯判斷,因此如何提取和制定控制規(guī)則對于這些網絡安全防御系統(tǒng)的正常運行起著重要作用。因為蜜罐技術具有針對性強、檢測準確的檢測優(yōu)勢,所以檢測結果可生成相對應的訪問控制規(guī)則,并且反饋給其他廣泛應用的網絡安全防御系統(tǒng)使用,以便于發(fā)揮更大的檢測效用。
4結語
蜜罐技術是目前網絡安全領域的新興技術,通過模擬服務來獲取入侵事件的具體信息,通過在一臺物理主機上虛擬網絡和不同操作系統(tǒng)的主機來擴大監(jiān)測地址空間。本文主要工作為:設計了基于蜜罐技術的惡意移動代碼掃描監(jiān)測模型,并對監(jiān)測數(shù)據(jù)采集模塊、數(shù)據(jù)存儲和預處理模塊、單點檢測預警模塊、檢測結果可視化模塊、多點綜合處理與預警模塊、防火墻訪問規(guī)則自動生成模塊等各個模塊進行了詳細介紹,此模型能有效檢測惡意移動代碼威脅。模型的具體實現(xiàn),以及多矢量傳播監(jiān)測系統(tǒng)部署問題是下一步研究的主要工作。
參考文獻:
[1]GRIMESRA.MaliciousMobileCode[C].USA:O’Reilly&Associates,2001.
[2]SymantecCorporation[EB/OL].http://.1995/20075-10-29.
[3]SANS.Sans-InternetStormCenter-CooperativeCyberThreatMonitorandAlertSystem[M].Press,2004.
[4]HoneynetProject[EB/OL].2003-01-01/2007-05-15.http://.
篇4
通過下一代防火墻、態(tài)勢感知檢測響應、安全云端、安全運營平臺,初步構建“網-端-云-平臺”一體化框架進行風險控制閉環(huán)。框架中,下一代防火墻、態(tài)勢感知檢測響應等網絡和端點安全設備持續(xù)采集網絡和端點側流量日志,安全云端和本地安全運營平臺通過發(fā)現(xiàn)和關聯(lián)流量日志中各類攻擊威脅失陷標志,找出入侵攻擊鏈,進一步在網絡和端點側進行控制處置,切斷攻擊鏈。
3.2建立初步的信任評估和控制機制
以上網行為管理和SSLVPN設備組件為基礎,對接各類型終端,入網前基于設備狀態(tài)和身份信息進行信任等級判定。并建立內部應用訪問身份認證機制。下一階段工作通過零信任技術建立更全面的訪問前信息采集和持續(xù)評估能力,進一步打通網絡、應用、數(shù)據(jù)訪問的身份和信任判決及控制。
3.3建立本地化安全運營能力
基于安全運營平臺,將全網終端威脅、網絡攻擊及業(yè)務系統(tǒng)安全通過大屏可視化的方式呈現(xiàn),結合外部安全服務專家專屬服務化的方式,實現(xiàn)了網絡安全的閉環(huán)響應與處置,同時為內部人員提供信息安全知識與技能,沉淀本地知識經驗庫;基于安全運營平臺分析結果進行決策,指導各部門開展網絡安全工作;通過網絡安全運營平臺指導安全建設,提供安全策略優(yōu)化指導,全面提升系統(tǒng)安全運營能力。
3.4構建針對未知威脅防控的人機共智能力
基于本地安全運營平臺、下一代防火墻、態(tài)勢感知檢測響應等設備組件中人工智能算法,借助安全云端的全球威脅情報和安全大數(shù)據(jù)分析輔助,初步構建針對已知和未知Web攻擊、僵尸網絡、各類型病毒、漏洞利用、部分APT攻擊和異常業(yè)務行為的檢測識別能力。通過演練成果應用,實現(xiàn)了滿足等級保護2.0合規(guī)要求,具備在實戰(zhàn)化攻防對抗中抵御攻擊、快速恢復能力,同時日常服務運維過程中對各類型業(yè)務和數(shù)據(jù)提供常態(tài)化安全防護。
4創(chuàng)新性與價值
信息系統(tǒng)安全建設基于自身信息化業(yè)務需求和網絡安全監(jiān)管法規(guī)要求,以“體系合規(guī),面向實戰(zhàn),常態(tài)保護”為目標,“統(tǒng)籌風險,精益安全,持續(xù)推進,人機共智”為安全能力構建方向,逐步推進建設落地。規(guī)劃建設過程,體現(xiàn)了以下幾方面特色和優(yōu)勢:(1)體系化統(tǒng)籌,從高層要求、監(jiān)管法規(guī)等業(yè)務和內外部需求出發(fā),從風險、安全、推進、智能四方面,體系化地規(guī)劃安全能力和落地過程[5]。(2)全面保障,整個建設理念和框架覆蓋的保護對象從物理環(huán)境,到網絡、主機、邊界等各層面,并對各類型業(yè)務和場景具有普適性。(3)面向未來,利用人機共智的三位一體能力,以及階段性演進的成熟度坐標,規(guī)劃面向未來的能力演進體系。(4)有效落地,創(chuàng)新網絡安全微服務架構,提升自動化管理效率,利用專家服務和輔助決策降低人員門檻,進一步通過可視化指標體系呈現(xiàn)安全建設績效。
篇5
1 前言
隨著信息化發(fā)展速度不斷加快,信息系統(tǒng)用戶規(guī)模不斷擴大、需求不斷更新、自動化程度不斷提高,信息系統(tǒng)安全狀況與企業(yè)經濟效益越來越密切,直接影響到企業(yè)的經營和形象問題。目前,防火墻、IDS、IPS等安全設備已經得到普遍使用,但是同時這些設備產生了海量安全數(shù)據(jù),采用人工分析的方法已經無法實現(xiàn)安全威脅的及時預警與處置。另一方面,現(xiàn)有安全設備之間相對孤立,數(shù)據(jù)沒有得到關聯(lián)分析和綜合考慮,很難面對當今各種利用先進手段、高度隱蔽的網絡攻擊形式。因此,在現(xiàn)有安全手段的基礎上,獲取和分析海量攻擊行為數(shù)據(jù),結合態(tài)勢感知技術實現(xiàn)信息安全行為的準確定位和智能預警,在信息安全防護工作中是非常必要的。
2 平臺構成
信息安全態(tài)勢智能預警分析平臺由系統(tǒng)數(shù)據(jù)接口、數(shù)據(jù)挖掘與融合技術、態(tài)勢分析與風險預警、可視化展示與系統(tǒng)管理六大部分。其中,系統(tǒng)數(shù)據(jù)接口用于查看目前監(jiān)控的設備及應用系統(tǒng);數(shù)據(jù)挖掘與融合提供有效的數(shù)據(jù)分析處理模型和數(shù)據(jù)分析方法;態(tài)勢分析和風險預警提供當前網絡安全態(tài)勢評估、未來網絡安全態(tài)勢預測及響應告警功能;可視化展示定義生成各類表單、圖表、報告、報表等用戶界面。
3 關鍵技術
3.1 數(shù)據(jù)采集
3.1.1 設備實時監(jiān)測數(shù)據(jù)
信息安全態(tài)勢智能預警分析平臺監(jiān)測重要網絡設備及服務器的運行狀態(tài),主要對網絡邊界設備、核心交換設備、重要服務器等進行監(jiān)視,獲取CPU、內存、網絡流量等性能或安全參數(shù)信息。通過該系統(tǒng)數(shù)據(jù)接口,可按照單個設備、某類設備、整個網絡設備來獲取相關設備數(shù)據(jù)。
3.1.2 掃描數(shù)據(jù)
采集日常運維中掃描數(shù)據(jù),主要包括利用漏洞掃描工具發(fā)現(xiàn)的漏洞、弱口令等安全隱患信息。
3.1.3 日志文件數(shù)據(jù)
采集重要設備的日志文件數(shù)據(jù),主要包括網絡邊界設備、核心交換設備、重要服務器的系統(tǒng)日志、安全日志、應用日志及告警日志等。
3.1.4 策略配置數(shù)據(jù)
采集重要設備的策略配置數(shù)據(jù),主要包括主機、服務器、網絡設備等的安全策略配置信息以及策略變更信息等。
3.2 數(shù)據(jù)挖掘
數(shù)據(jù)挖掘的方法有很多種,其中關聯(lián)規(guī)則挖掘方法能夠從大量數(shù)據(jù)中挖掘出有價值描述數(shù)據(jù)項之間相互聯(lián)系的有關知識,挖掘用戶操作行為之間的關聯(lián)規(guī)則,反映用戶的操作傾向。
現(xiàn)實中網絡環(huán)境復雜,網絡設備種類多,影響因素之間相互關聯(lián)。選取的算法要能有效的對多源異構數(shù)據(jù)進行關聯(lián)分析并具有自學習性,能夠解決決策層的不確定性,不能僅憑專家經驗確定各指標對網絡安全狀態(tài)的影響程度。在底層使用關聯(lián)規(guī)則挖掘算法對異構數(shù)據(jù)進行關聯(lián)性分析,使用云模型對異構數(shù)據(jù)進行融合處理,在決策層使用貝葉斯決策方法進行態(tài)勢預測,較好的解決了態(tài)勢評估的不確定性。
3.3 態(tài)勢感知與風險預警
網絡安全態(tài)勢感知主要對網絡中部署的各類設備的運行狀態(tài)進行監(jiān)測,對動態(tài)監(jiān)測數(shù)據(jù)、設備運行日志、脆弱性、策略配置數(shù)據(jù)等進行融合分析,對目前網絡安全狀況進行風險評估,同時也對未來幾天網絡安全狀況進行預測。
安全風險預警實現(xiàn)各類安全隱患的報警功能。借助安全態(tài)勢感知功能對各類數(shù)據(jù)綜合分析,提出信息安全風險的來源分布以及風險可能帶來的危害,及時的對信息安全隱患或風險進行報警。
3.3.1 網絡實時狀況警報
實現(xiàn)網絡中的網絡設備、服務器、中間件等的實時運行狀態(tài)進行監(jiān)控,并依據(jù)的上下限值提供報警功能。將告警指標和風險處理方法進行結合,實現(xiàn)在動態(tài)地圖上顯示出來并提供報警,能夠快速的定位出現(xiàn)問題的設備。實現(xiàn)網絡中關鍵的硬件設備配置的監(jiān)控,實現(xiàn)對硬件的更換、策略的變更的報警功能。
3.3.2 態(tài)勢要素提取
態(tài)勢要素提取是態(tài)勢評估與預測的基礎。讀取核心交換機、重要業(yè)務服務器及信息系統(tǒng)、門戶網站、路由器、IPS、IDS等關鍵核心接入設備的配置信息、服務的狀態(tài)、操作日志、關鍵性能參數(shù)等。
3.3.3 態(tài)勢評估與分析
研究信息安全風險評估和分析方法,制定風險評估指標體系和評估模型,開展基于多協(xié)議和應用的關聯(lián)分析,識別程序或用戶的惡意行為,追蹤并提供威脅分析。
態(tài)勢感知的核心是態(tài)勢評估,是對當前安全態(tài)勢的一個動態(tài)理解過程。識別態(tài)勢信息中的安全事件并確定它們之間的關聯(lián)關系,根據(jù)所受到的威脅程度生成相應的安全態(tài)勢圖,反映出整個網絡的安全態(tài)勢狀況。
研究分層次的安全評估模型,以攻擊報警、掃描結果和網絡流量等信息為原始數(shù)據(jù),發(fā)現(xiàn)各關鍵設備影響因素的脆弱性或威脅情況,在此基礎上,綜合評估網絡系統(tǒng)中各關鍵設備的安全狀況,再根據(jù)網絡系統(tǒng)結構,評估多個局部范圍網絡的安全態(tài)勢,然后再綜合分析和統(tǒng)計整個宏觀網絡的安全態(tài)勢。
3.3.4 態(tài)勢預測
態(tài)勢預測主要基于各類網絡設備、服務器、終端設備以及安全設備的記錄,進行關聯(lián)性分析,給出總體信息安全趨勢。態(tài)勢預測數(shù)據(jù)的來源包括用戶數(shù)據(jù)的輸入和監(jiān)測到歷史數(shù)據(jù)和實時數(shù)據(jù)。
3.3.5 響應與報警
針對存在的威脅事件、預知的安全風險以及信息系統(tǒng)故障等進行報警,并提供解決的建議。利用數(shù)據(jù)挖掘與融合技術處理歷史數(shù)據(jù)和監(jiān)測數(shù)據(jù),經過網絡安全態(tài)勢評估與預測分析,對潛在安全風險進行分析預測,輸出預警信息。
3.4 可視化展示
根據(jù)用戶的不同需求,定義不同的功能視圖,實現(xiàn)多樣化、多元化的展示方式,包括漏洞、弱口令、病毒感染、違規(guī)外聯(lián)、威脅報警等信息。
4 結語
通過信息安全態(tài)勢感知與智能預警平臺,利用大數(shù)據(jù)技術將現(xiàn)有各類監(jiān)測數(shù)據(jù)、日志數(shù)據(jù)、掃描數(shù)據(jù)等進行有效整合,能自動識別未知的新型攻擊、縮短事件響應時間并提高提高人員工作效率,為實時掌握網絡整體安全狀態(tài)和變化趨勢提供了基礎,從而提升企業(yè)信息安全主動防御能力。
篇6
關鍵詞 網絡安全;技術;網絡信息
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2013)14-0086-02
互聯(lián)網技術高速發(fā)展,在顯著提高了人們的生活質量的同時,正逐步改變著人們的生活方式。與此同時,互聯(lián)網安全問題也日益凸顯,成為影響用戶體驗的主要因素受到各界人士的廣泛關且已達成普遍的共識。信息資源的安全防范涉及到硬件和軟件兩方面內容,因此應采取系統(tǒng)性的保障措施,防止信息傳遞過程中泄露、破壞和更改,保證網絡系統(tǒng)正常、安全、穩(wěn)定的運行。
1 信息安全管理存在的問題
1.1 操作系統(tǒng)漏洞
計算機軟件系統(tǒng)中操作系統(tǒng)是最基本、最重要的系統(tǒng),為用戶正常使用計算機或安裝其他程序提供可運行的平臺。另外,操作系統(tǒng)還具備對計算機資源的管理功能,例如,可以通過相應的操作查看計算硬件和相關軟件存在的問題并對其進行管理。管理過程中會涉及系統(tǒng)某個模塊或程序的安全運行問題,這些模塊如果存在一些缺陷可能造成整個系統(tǒng)崩潰,影響計算機的正常使用。操作系統(tǒng)對信息傳輸、程序加載提供支持,尤其通過ftp傳輸?shù)哪承┪募_@些文件中如果包含可執(zhí)行文件也會帶來不安全因素。眾所周知,這些文件都是程序員編寫而成其中難免出現(xiàn)較多漏洞,這些漏洞不但會威脅計算機資源的安全,而且還可能引起整個操作系統(tǒng)的崩潰。本質上來看計算機操作系統(tǒng)出現(xiàn)問題的原因在于其允許用戶創(chuàng)建進程,能夠對其進行遠程激活,一旦被不法分子利用創(chuàng)建一些非法進程就能實現(xiàn)對計算機的控制威脅計算機安全。同時計算機還能通過操作系統(tǒng)實現(xiàn)對遠程硬、軟件的調用,在互聯(lián)網上傳遞調用信息是會經過很多網絡節(jié)點,這些網絡節(jié)點被別人竊聽就會造成相關信息的泄露,帶來巨大的經濟損失。
1.2 網絡開放性存在的漏洞
開放性是計算機網絡的顯著特點,該特點在促進網絡技術快速發(fā)展的同時,也給網絡安全帶來較大安全隱患。首先,互聯(lián)網的開放性使接入網絡的門檻降低,不同地區(qū)的不同人群紛紛接入網絡,他們相互交流互聯(lián)網的學術問題,不斷提出新的思想和方法,為互聯(lián)網技術的發(fā)展奠定堅實的基礎。其次,接入的這些用戶難免存在圖謀不軌的人,他們中的多數(shù)人要么為某個非法組織效力,要么為了炫耀網絡技術,進而對互聯(lián)網進行攻擊,這些攻擊有的是針對計算機軟件漏洞發(fā)起攻擊行為,有的對網絡層中的傳輸協(xié)議進行攻擊。從發(fā)起攻擊的范圍來看,大多數(shù)網路攻擊來源于本地用戶,部分來源于其它國家,尤其發(fā)生在國家之間的攻擊案例屢見不鮮,這些攻擊者擁有較強的網絡技能,進行的攻擊行為往往會給某個國家?guī)韲乐氐膿p失。因此,互聯(lián)網安全問題是世界性的問題,應引起人們的高度重視。
2 網絡安全技術介紹
2.1 入侵檢測
入侵檢測指通過收集審計數(shù)據(jù),分析安全日志和網絡行為,判斷計算機系統(tǒng)中是否出現(xiàn)被攻擊或者違法安全策略行為。入侵檢測能夠使系統(tǒng)在入侵之前進行攔截,因此是一種積極主動的安全防御技術,被人們稱為除防火墻外的第一道安全防護閘門。入侵檢測的優(yōu)點不僅體現(xiàn)在保護計算機安全上,還體現(xiàn)在入侵檢測時不會對網絡性能產生影響上。檢測入侵能夠時時監(jiān)控來自外部攻擊、內部攻擊行為,提高計算機資源的安全系數(shù)。目前來看計算機檢測入侵主要分為混合入侵檢測、基于主機和網絡入侵檢測三種,在保障網絡安全運行中基于網絡入侵檢測技術應用較為廣泛。
2.2 可視化
在入侵檢測、防火墻以及漏洞掃描的基礎上,為了提高網絡安全的可視操作延伸出了網絡安全可視化技術,該技術可以說是上述安全技術的補充。網絡安全可視化技術將網絡中的系統(tǒng)數(shù)據(jù)和較為抽象的網絡結構以圖像化的形式展現(xiàn)在人們面前,并能時時反映網絡中出現(xiàn)的特殊信息,監(jiān)控整個網絡的運行狀態(tài),最終較為人性的提示用戶網絡中可能存在的安全風險,為網絡安全技術員分析網絡潛在的安全問題提供便利。網絡安全技術人員利用高維信息展開網絡具體狀況,從而能夠及時有效的發(fā)現(xiàn)網絡入侵行為,并對網絡安全事件的未來發(fā)展趨勢進行估計和評定,以此采取針對性措施進行處理,保證網絡安全防護更為便捷、智能和有效。
2.3 防火墻
防火墻是人們較為熟悉的網絡安全防范技術,是一種根據(jù)事先定義好的安全規(guī)則,對內外網之間的通信行為進行強制性檢查的防范措施,其主要作用是隱藏內部網絡結構,加強內外網通信之間的訪問控制。即根據(jù)實際情況設定外網訪問權限限制不符合訪問規(guī)則的行為,從而防止外網非法行為的入侵,保證內部網絡資源的安全。同時規(guī)范內網之間的訪問行為進一步提高網絡資源的安全級別。目前防火墻主要包含網絡層防火墻和應用層防火墻兩種類型,其中可將網絡層防火墻看做是IP封包過濾器,在底層的TCP/IP協(xié)議上運作。網絡管理員設置時可以只允許符合要求的封包通過,剩余的禁止穿過防火墻,不過注意一點防火墻并不能防止病毒的入侵。另外,網絡管理員也可以用較為寬松的角度設置防火墻,例如只要封裝包不符合任一“否定規(guī)則”就允許通過,目前很多網絡設備已實現(xiàn)內置防火墻功能;應用層防火墻主要在TCP/IP堆棧上的“應用層”上運作,一般通過瀏覽器或使用FTP上傳數(shù)據(jù)產生的數(shù)據(jù)流就屬于這一層。應用層防火墻可以攔截所有進出某應用程序的封包,通常情況將封包直接丟棄以達到攔截的目的。理論上來講這種防火墻能夠防止所有外界數(shù)據(jù)流入侵到受保護的機器中。
2.4 漏洞掃描
漏洞掃描通過漏洞掃描程序對本地主機或遠程設備進行安全掃描,從而及時發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞,通過打補丁等方式保證系統(tǒng)的安全。工作過程中漏洞掃描程序通過掃描TCP/IP相關服務端口監(jiān)控主機系統(tǒng),并通過模擬網絡攻擊記錄目標主機的響應情況從而收集有用的數(shù)據(jù)信息,通過漏洞掃描能夠及時的發(fā)現(xiàn)和掌握計算機網絡系統(tǒng)存在安全漏洞,以此準確反映網絡運行的安全狀況,為網絡安全的審計創(chuàng)造良好的條件。從而能夠根據(jù)反饋的信息制定有效的應對措,例如下載相關的漏洞補丁或優(yōu)化系統(tǒng)等及時的修補漏洞,減少有漏洞引起的網絡安全風險。
2.5 數(shù)據(jù)加密
數(shù)據(jù)加密是現(xiàn)在常用的安全技術即通過一定的規(guī)則將明文進行重新編碼,翻譯成別人無法識別的數(shù)據(jù),當編碼后的數(shù)據(jù)傳輸過程中即便被不法人員截獲,但是沒有密鑰就不能破解加密后的信息,就無法知道信息的具體內容。數(shù)據(jù)加密技術主要應用在信息和動態(tài)數(shù)據(jù)的保護上,在當今電子商務發(fā)展迅速的時代,該項技術應用較為廣闊。數(shù)據(jù)加密系統(tǒng)主要有密鑰集合、明文集合、密文集合以及相關的加密算法構成,其中算法和數(shù)據(jù)是數(shù)據(jù)加密系統(tǒng)基本組成元素,算法主要有相關的計算法則和一些公式組成,它是實現(xiàn)數(shù)據(jù)加密的核心部分。密鑰則可看做算法的相關參數(shù)。數(shù)據(jù)加密技術的應用確保了數(shù)據(jù)在互聯(lián)網開放環(huán)境中的安全,它既不違背互聯(lián)網開放性特點,又保證了信息傳遞的安全性。
3 加強網絡信息資源管理措施
3.1 注重管理人員業(yè)務技能的提升
網絡信息資源管理面臨的最大威脅是人為攻擊,其中黑客攻擊就是人為攻擊的一種。目前可將網絡信息資源的攻擊行為分為主動攻擊和被動攻擊兩種,其中主動攻擊指利用非法手段破壞傳輸信息的完整性,即更改截獲來的數(shù)據(jù)包中的相關內容,以此達到誤導接收者的目的,或者進入系統(tǒng)占用大量系統(tǒng)資源,使系統(tǒng)不能提供正常的服務影響合法用戶的正常使用。被動攻擊在不影響數(shù)據(jù)信息傳遞的前提下,截取、破解傳遞的信息,這種攻擊手段通常不容易被人發(fā)覺,容易造成較大經濟損失。因此,針對這種情況應定期舉行相關的技術培訓,提高管理人員的專業(yè)技能水平,加強安全網絡的監(jiān)測力度,并針對不同的攻擊方式制定有效的防御措施,同時在總結之前常見的網絡攻擊手段的研究,加強與國外先進技術的交流合作,共同探討防止網絡攻擊的新技術、新思路。
3.2 加強計算機軟件、硬件管理
軟件管理在保證網絡資源安全方面起著至關重要的作用,因此平時應注重軟件的管理。威脅軟件安全的主要因素是計算機病毒,所以管理員應定期利用殺毒軟件查殺病毒,并注重更新下載相關的補丁及時修補軟件漏洞。
加強計算機硬件管理應從兩方面入手,首先應為計算機的運行創(chuàng)造良好的外部環(huán)境,尤其應注重防火、防潮等工作,從而降低硬件損壞給網絡帶來的影響;其次,制定嚴格的管理制度,未經管理員允許不能打開機箱更換硬件,同時平時還應注重對硬件性能的檢測,發(fā)現(xiàn)問題應及時通知管理員進行排除。
4 總結
網絡為人們提供了新的信息共享方式,同時其安全性也面臨著嚴峻的考驗,面對當前互聯(lián)網安全存在的問題我國應加強這方面的技術研究,采用多種網絡安全技術保證信息傳遞的安全性。同時國家相關部門應制定詳細的法律法規(guī),嚴厲打擊網絡攻擊和犯罪行為,以此營造良好的互聯(lián)網運營秩序。
參考文獻
[1]張泉龍.對網絡安全技術管理的探討[J].科技資訊,2011(18).
[2]王賢秋.淺議計算機網絡的信息資源管理[J].內江科技,2009(07).
[3]崔蓉.計算機信息網絡安全技術及發(fā)展方向[J].信息與電腦(理論版),2010(10).
篇7
關鍵詞:新型DPI;網絡安全態(tài)勢感知;網絡流量采集
經濟飛速發(fā)展的同時,科學技術也在不斷地進步,網絡已經成為當前社會生產生活中不可或缺的重要組成部分,給人們帶來了極大的便利。與此同時,網絡系統(tǒng)也遭受著一定的安全威脅,這給人們正常使用網絡系統(tǒng)帶來了不利影響。尤其是在大數(shù)據(jù)時代,無論是國家還是企業(yè)、個人,在網絡系統(tǒng)中均存儲著大量重要的信息,網絡系統(tǒng)一旦出現(xiàn)安全問題將會造成極大的損失。
1基本概念
1.1網絡安全態(tài)勢感知
網絡安全態(tài)勢感知是對網絡安全各要素進行綜合分析后,評估網絡安全整體情況,對其發(fā)展趨勢進行預測,最終以可視化系統(tǒng)展示給用戶,同時給出相應的統(tǒng)計報表和風險應對措施。網絡安全態(tài)勢感知包括五個方面1:(1)網絡安全要素數(shù)據(jù)采集:借助各種檢測工具,對影響網絡安全性的各類要素進行檢測,采集獲取相應數(shù)據(jù);(2)網絡安全要素數(shù)據(jù)理解:對各種網絡安全要素數(shù)據(jù)進行分析、處理和融合,對數(shù)據(jù)進一步綜合分析,形成網絡安全整體情況報告;(3)網絡安全評估:對網絡安全整體情況報告中各項數(shù)據(jù)進行定性、定量分析,總結當前的安全概況和安全薄弱環(huán)節(jié),針對安全薄弱環(huán)境提出相應的應對措施;(4)網絡安全態(tài)勢預測:通過對一段時間的網絡安全評估結果的分析,找出關鍵影響因素,并預測未來這些關鍵影響因素的發(fā)展趨勢,進而預測未來的安全態(tài)勢情況以及可以采取的應對措施。(5)網絡安全態(tài)勢感知報告:對網絡安全態(tài)勢以圖表統(tǒng)計、報表等可視化系統(tǒng)展示給用戶。報告要做到深度和廣度兼?zhèn)洌瑥亩鄬哟巍⒍嘟嵌取⒍嗔6确治鱿到y(tǒng)的安全性并提供應對措施。
1.2DPI技術
DPI(DeepPacketInspection)是一種基于數(shù)據(jù)包的深度檢測技術,針對不同的網絡傳輸協(xié)議(例如HTTP、DNS等)進行解析,根據(jù)協(xié)議載荷內容,分析對應網絡行為的技術。DPI技術廣泛應用于網絡流量分析的場景,比如網絡內容分析領域等。DPI技術應用于網絡安全態(tài)勢感知領域,通過DPI技術的應用識別能力,將網絡安全關注的網絡攻擊、威脅行為對應的流量進行識別,并形成網絡安全行為日志,實現(xiàn)網絡安全要素數(shù)據(jù)精準采集。DPI技術發(fā)展到現(xiàn)在,隨著后端業(yè)務應用的多元化,對DPI系統(tǒng)的能力也提出了更高的要求。傳統(tǒng)DPI技術的實現(xiàn)主要是基于知名協(xié)議的端口、特征字段等作為識別依據(jù),比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等協(xié)議特征的識別、基于源IP、目的IP、源端口和目的端口的五元組特征識別。但是隨著互聯(lián)網應用的發(fā)展,越來越多的應用采用加密手段和私有協(xié)議進行數(shù)據(jù)傳輸,網絡流量中能夠準確識別到應用層行為的占比呈現(xiàn)越來越低的趨勢。在當前網絡應用復雜多變的背景下,很多網絡攻擊行為具有隱蔽性,比如數(shù)據(jù)傳輸時采用知名網絡協(xié)議的端口,但是對傳輸流量內容進行定制,傳統(tǒng)DPI很容易根據(jù)端口特征,將流量識別為知名應用,但是實際上,網絡攻擊行為卻“瞞天過海”,繞過基于傳統(tǒng)DPI技術的IDS、防火墻等網絡安全屏障,在互聯(lián)網上肆意妄為。新型DPI技術在傳統(tǒng)DPI技術的基礎上,對流量的識別能力更強。基本實現(xiàn)原理是對接入的網絡流量根據(jù)網絡傳輸協(xié)議、內容、流特征等多元化特征融合分析,實現(xiàn)網絡流量精準識別。其目的是為了給后端的態(tài)勢感知系統(tǒng)提供準確的、可控的數(shù)據(jù)來源。新型DPI技術通過對流量中傳輸?shù)牟煌瑧玫膫鬏攨f(xié)議、應用層內容、協(xié)議特征、流特征等進行多維度的分析和打標,形成協(xié)議識別引擎。新型DPI的協(xié)議識別引擎除了支持標準、知名應用協(xié)議的識別,還可以對應用層進行深度識別。
2新型DPI技術在網絡安全態(tài)勢感知領域的應用
新型DPI技術主要應用于數(shù)據(jù)采集和數(shù)據(jù)理解環(huán)節(jié)。在網絡安全要素數(shù)據(jù)采集環(huán)節(jié),應用新型DPI技術,可以實現(xiàn)網絡流量的精準采集,避免安全要素數(shù)據(jù)采集不全、漏采或者多采的現(xiàn)象。在網絡安全要素數(shù)據(jù)理解環(huán)節(jié),在對數(shù)據(jù)進行分析時,需要基于新型DPI技術的特征知識庫,提供數(shù)據(jù)標準的說明,幫助態(tài)勢感知應用可以理解這些安全要素數(shù)據(jù)。新型DPI技術在進行網絡流量分析時主要有以下步驟,(1)需要對攻擊威脅的流量特征、協(xié)議特征等進行分析,將特征形成知識庫,協(xié)議識別引擎加載特征知識庫后,對實時流量進行打標,完成流量識別。這個步驟需要確保獲取的特征是有效且準確的,需要基于真實的數(shù)據(jù)進行測試統(tǒng)計,避免由于特征不準確誤判或者特征不全面漏判的情況出現(xiàn)。有了特征庫之后,(2)根據(jù)特征庫,對流量進行過濾、分發(fā),識別流量中異常流量對應的攻擊威脅行為。這個步驟仍然要借助于協(xié)議識別特征知識庫,在協(xié)議識別知識庫中記錄了網絡異常流量和攻擊威脅行為的映射關系,使得系統(tǒng)可以根據(jù)異常流量對應的特征庫ID,進而得出攻擊威脅行為日志。攻擊威脅行為日志包含捕獲時間、攻擊者IP和端口、被攻擊者IP和端口、攻擊流量特征、攻擊流量的行為類型等必要的字段信息。(3)根據(jù)網絡流量進一步識別被攻擊的災損評估,同樣是基于協(xié)議識別知識庫中行為特征庫,判斷有哪些災損動作產生、災損波及的數(shù)據(jù)類型、數(shù)據(jù)范圍等。網絡安全態(tài)勢感知的分析是基于步驟2產生的攻擊威脅行為日志中記錄的流量、域名、報文和惡意代碼等多元數(shù)據(jù)入手,對來自互聯(lián)網探針、終端、云計算和大數(shù)據(jù)平臺的威脅數(shù)據(jù)進行處理,分析不同類型數(shù)據(jù)中潛藏的異常行為,對流量、域名、報文和惡意代碼等安全元素進行多層次的檢測。針對步驟1的協(xié)議識別特征庫,可以采用兩種實現(xiàn)技術:分別是協(xié)議識別特征庫技術和流量“白名單”技術。
2.1協(xié)議識別特征庫
在網絡流量識別時,協(xié)議識別特征庫是非常重要的,形成協(xié)議識別特征庫主要有兩種方式。一種是傳統(tǒng)方式,正向流量分析方法。這種方法是基于網絡攻擊者的視角分析,模擬攻擊者的攻擊行為,進而分析模擬網絡流量中的流量特征,獲取攻擊威脅的流量特征。這種方法準確度高,但是需要對逐個應用進行模擬和分析,研發(fā)成本高且效率低下,而且隨著互聯(lián)網攻擊行為的層出不窮和不斷升級,這種分析方法往往存在一定的滯后性。第二種方法是近年隨著人工智能技術的進步,逐漸應用的智能識別特征庫。這種方法可以基于威脅流量的流特征、已有網絡攻擊、威脅行為特征庫等,通過AI智能算法來進行訓練,獲取智能特征庫。這種方式采用AI智能識別算法實現(xiàn),雖然在準確率方面要低于傳統(tǒng)方式,但是這種方法可以應對互聯(lián)網上層出不窮的新應用流量,效率更高。而且隨著特征庫的積累,算法本身具備更好的進化特性,正在逐步替代傳統(tǒng)方式。智能特征庫不僅僅可以識別已經出現(xiàn)的網絡攻擊行為,對于未來可能出現(xiàn)的網絡攻擊行為,也具備一定的適應性,其適應性更強。這種方式還有另一個優(yōu)點,通過對新發(fā)現(xiàn)的網絡攻擊、威脅行為特征的不斷積累,完成樣本庫的自動化更新,基于自動化更新的樣本庫,實現(xiàn)自動化更新的流量智能識別特征庫,進而實現(xiàn)AI智能識別算法的自動升級能力。為了確保采集流量精準,新型DPI的協(xié)議識別特征庫具備更深度的協(xié)議特征識別能力,比如對于http協(xié)議能夠實現(xiàn)基于頭部信息特征的識別,包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等頭部信息,對于https協(xié)議,也能夠實現(xiàn)基于SNI的特征識別。對于目前主流應用,支持識別的應用類型包括網絡購物、新聞、即時消息、微博、網絡游戲、應用市場、網絡視頻、網絡音頻、網絡直播、DNS、遠程控制等,新型DPI的協(xié)議特征識別庫更為強大。新型DPI的協(xié)議識別特征庫在應用時還可以結合其他外部知識庫,使得分析更具目的性。比如通過結合全球IP地址庫,實現(xiàn)對境外流量定APP、特定URL或者特定DNS請求流量的識別,分析其中可能存在的跨境網絡攻擊、安全威脅行為等。
2.2流量“白名單”
在網絡流量識別時也同時應用“流量白名單”功能,該功能通過對網絡訪問流量規(guī)模的統(tǒng)計,對流量較大的、且已知無害的TOPN的應用特征進行提取,同時將這些特征標記為“流量白名單”。由于“流量白名單”中的應用往往對應較高的網絡流量規(guī)模,在網絡流量識別時,可以優(yōu)先對流量進行“流量白名單”特征比對,比對成功則直接標記為“安全”。使用“流量白名單”技術,可以大大提高識別效率,將更多的分析和計算能力留給未知的、可疑的流量。流量白名單通常是域名形式,這就要求新型DPI技術能夠支持域名類型的流量識別和過濾。隨著https的廣泛應用,也有很多流量較大的白名單網站采用https作為數(shù)據(jù)傳輸協(xié)議,新型DPI技術也必須能夠支持https證書類型的流量識別和過濾。流量白名單庫和協(xié)議識別特征庫對網絡流量的處理流程參考下圖1:
3新型DPI技術中數(shù)據(jù)標準
安全態(tài)勢感知系統(tǒng)在發(fā)展中,從各個廠商獨立作戰(zhàn),到現(xiàn)在可以接入不同廠商的數(shù)據(jù),實現(xiàn)多源數(shù)據(jù)的融合作戰(zhàn),離不開新型DPI技術中的數(shù)據(jù)標準化。為了保證各個廠商采集到的安全要素數(shù)據(jù)能夠統(tǒng)一接入安全態(tài)勢感知系統(tǒng),各廠商通過制定行業(yè)數(shù)據(jù)標準,一方面行業(yè)內部的安全數(shù)據(jù)采集、數(shù)據(jù)理解達成一致,另一方面安全態(tài)勢感知系統(tǒng)在和行業(yè)外部系統(tǒng)進行數(shù)據(jù)共享時,也能夠提供和接入標準化的數(shù)據(jù)。新型DPI技術中的數(shù)據(jù)標準包括三個部分,第一個部分是控制指令部分,安全態(tài)勢感知系統(tǒng)發(fā)送控制指令,新型DPI在接收到指令后,對采集的數(shù)據(jù)范圍進行調整,實現(xiàn)數(shù)據(jù)采集的可視化、可定制化。同時不同的廠商基于同一套控制指令,也可以實現(xiàn)不同廠商設備之間指令操作的暢通無阻。第二個部分是安全要素數(shù)據(jù)部分,新型DPI在輸出安全要素數(shù)據(jù)時,基于統(tǒng)一的數(shù)據(jù)標準,比如HTTP類型的數(shù)據(jù),統(tǒng)一輸出頭域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常見頭部和頭部關鍵內容。對于DNS類型的數(shù)據(jù),統(tǒng)一輸出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通過定義數(shù)據(jù)描述文件,對輸出字段順序、字段說明進行描述。針對不同的協(xié)議數(shù)據(jù),定義各自的數(shù)據(jù)輸出標準。數(shù)據(jù)輸出標準也可以從業(yè)務應用角度進行區(qū)分,比如針對網絡攻擊行為1定義該行為采集到安全要素數(shù)據(jù)的輸出標準。第三個部分是內容組織標準,也就是需要定義安全要素數(shù)據(jù)以什么形式記錄,如果是以文件形式記錄,標準中就需要約定文件內容組織形式、文件命名標準等,以及為了便于文件傳輸,文件的壓縮和加密標準等。安全態(tài)勢感知系統(tǒng)中安全要素數(shù)據(jù)標準構成參考下圖2:新型DPI技術的數(shù)據(jù)標準為安全態(tài)勢領域各類網絡攻擊、異常監(jiān)測等數(shù)據(jù)融合應用提供了基礎支撐,為不同領域廠商之間數(shù)據(jù)互通互聯(lián)、不同系統(tǒng)之間數(shù)據(jù)共享提供便利。
4新型DPI技術面臨的挑戰(zhàn)
目前互聯(lián)網技術日新月異、各類網絡應用層出不窮的背景下,新型DPI技術在安全要素采集時,需要從互聯(lián)網流量中,將網絡攻擊、異常流量識別出來,這項工作難度越來越大。同時隨著5G應用越來越廣泛,萬物互聯(lián)離我們的生活越來越近,接入網絡的終端類型也多種多樣,針對不同類型終端的網絡攻擊也更為“個性化”。新型DPI技術需要從規(guī)模越來越大的互聯(lián)網流量中,將網絡安全相關的要素數(shù)據(jù)準確獲取到仍然有很長的路要走。基于新型DPI技術,完成網絡態(tài)勢感知系統(tǒng)中的安全要素數(shù)據(jù)采集,實現(xiàn)從網絡流量到數(shù)據(jù)的轉化,這只是網絡安全態(tài)勢感知的第一步。網絡安全態(tài)勢感知系統(tǒng)還需要基于網絡安全威脅評估實現(xiàn)從數(shù)據(jù)到信息、從信息到網絡安全威脅情報的完整轉化過程,對網絡異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊等多種類型的網絡安全威脅數(shù)據(jù)進行統(tǒng)計建模與評估,網絡安全態(tài)勢感知系統(tǒng)才能做到對攻擊行為、網絡系統(tǒng)異常等的及時發(fā)現(xiàn)與檢測,實現(xiàn)全貌還原攻擊事件、攻擊者意圖,客觀評估攻擊投入和防護效能,為威脅溯源提供必要的線索。
5結論
篇8
大數(shù)據(jù)安全標準化研究進展
國家信息安全標準化概述
物聯(lián)網安全參考架構研究
無線網絡的中間人攻擊研究
國內外云計算安全標準研究
移動互聯(lián)網信息安全標準綜述
智慧校園一卡通系統(tǒng)安全研究
融合的世界需要安全模式的創(chuàng)新
美國網絡威懾戰(zhàn)略解析及啟示
物理空間信息安全技術發(fā)展綜述
可見光信息隱蔽傳輸與檢測技術
基于大數(shù)據(jù)分析的APT防御方法
面向大數(shù)據(jù)安全的密碼技術研究
數(shù)據(jù)安全重刪系統(tǒng)與關鍵技術研究
惡意URL多層過濾檢測模型策略研究
基于RI碼計算的Word復制文檔鑒別
無線通信調制信號的信息安全風險分析
惡意USB設備攻擊與防護技術研究
大數(shù)據(jù)安全和隱私保護技術架構研究
面向網絡搜索日志的方法研究
基于數(shù)字簽名的QR碼水印認證系統(tǒng)
大數(shù)據(jù)安全形勢下電商的機遇與挑戰(zhàn)
基于聲信道的隱蔽信息傳輸關鍵技術
應急資源大數(shù)據(jù)云安全管理模式研究
滲透測試之信息搜集的研究與漏洞防范
一種新型的RSA密碼體制模數(shù)分解算法
基于WinHex手機圖片信息的恢復與取證
光纖通信的光信息獲取及防護技術研究
基于Web日志的Webshell檢測方法研究
國內外工業(yè)控制系統(tǒng)信息安全標準研究
智慧城市網絡安全標準化研究及進展
智慧城市網絡安全保障評價體系研究
一種基于安卓系統(tǒng)的手機側抓包分析方法
大數(shù)據(jù)時代的網絡輿情管理與引導研究
基于系統(tǒng)調用的惡意軟件檢測技術研究
安全通論——“非盲對抗”之“童趣游戲”
應對高級網絡威脅建立新型網絡防御系統(tǒng)
基于人工免疫的移動惡意代碼檢測模型
烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析
一種實時網絡風險可視化技術研究及實現(xiàn)
電商大數(shù)據(jù)服務與監(jiān)管時代的機遇與合作
更快、更高、更強:DT時代的信息安全挑戰(zhàn)
信息設備電磁泄漏還原圖像的文本識別研究
網絡空間信息基礎設施核心要素的自主之路
網絡安全標準是“牛鼻子”促進標準實施應用
Windows7下USB存儲設備接入痕跡的證據(jù)提取
基于大數(shù)據(jù)分析的電信基礎網安全態(tài)勢研究
篇9
此外,瑞星在2012年7月的信息安全報告顯示,感染型病毒仍普遍存在于國內企業(yè)網絡中,嚴重影響企業(yè)辦公效率。同時,由員工網絡操作不當造成的黑客入侵、商業(yè)機密泄露也威脅著企業(yè)的生存和發(fā)展。
B/S+C/S混合架構
隨著企業(yè)不斷壯大、業(yè)務量增加,企業(yè)網絡環(huán)境也日漸復雜:終端多,增速快,分布在全國甚至在全球各地;企業(yè)內部存在大量異構網絡,IT運維面臨桌面終端無法可視化和可管理化的難題。
以往的安全解決方案多采用B/S或C/S單一架構。C/S架構的優(yōu)點是容易開發(fā),操作簡單,但應用程序升級和客戶端維護麻煩,運維工作量大。近年來,一線安全廠商出于便捷管理的需要,大都采用B/S架構,通過外部網絡也可以對系統(tǒng)進行維護,并且能夠降低了成本。但B/S架構難以做到實時性,IT人員下發(fā)的安全策略難以盡快部署完畢。瑞星安全專家唐威表示,這是因為B/S架構不能實現(xiàn)在網絡上直接檢測和接收指令。
單一的B/S或C/S架構都難以應對復雜的網絡環(huán)境,滿足用戶的多樣化需求。為此,瑞星近日了瑞星企業(yè)終端安全管理系統(tǒng),創(chuàng)新性地采用B/S+C/S混合架構,以幫助企業(yè)應對復雜的網絡環(huán)境。“混合架構的好處在于既容易操作,又具有靈活性、伸縮性和實時性。”唐威稱,“瑞星企業(yè)終端安全管理系統(tǒng)的定位是平臺化的系統(tǒng),其設計理念是整合B/S和C/S架構的優(yōu)勢,在不打破用戶習慣的前提下,根據(jù)用戶的個性化需求,將公司的Web體系和OA系統(tǒng)整合,集成到行業(yè)管理平臺中。”按照唐威的解釋,該系統(tǒng)通過混合架構對企業(yè)網絡進行一體化管理,并且可以實時部署安全策略。
混合架構之所以能實現(xiàn)復雜網絡環(huán)境的安全管理,得益于瑞星的一項自主研發(fā)的核心技術——網絡通信中間件。“如果使用第三方或開源的通信中間件,在可靠性方面會存在問題。瑞星自主開發(fā)使得效率提升和安全性都能得到保證。”瑞星研發(fā)部產品經理盛穎表示,IT人員部署安全策略之后很快就能得到反饋結果,這在很大程度上提升了用戶體驗。
內外網管理一體化
對于怎樣完善內網安全策略,企業(yè)并沒有一個明確的思路。企業(yè)甚至不知道該從哪里著手。企業(yè)已經意識到制定完善的安全策略的重要性,但是仍有疏漏。企業(yè)的網絡安全建設落后,不同品牌和功能的信息安全設備被雜亂無章地堆疊在企業(yè)網絡中,不但兼容性差,還容易造成企業(yè)網絡擁堵,降低辦公效率。對此,瑞星研發(fā)部產品經理盛穎在接受本報記者采訪時表示:“內網安全解決方案已經不只是簡單地做好內網安全,而是應該包括外網安全并向整個網絡安全解決方案發(fā)展。安全廠商必須提供一攬子方案,而不是讓用戶自己拼湊出一個安全系統(tǒng)。”
瑞星企業(yè)終端安全管理系統(tǒng)分為管理和維護兩大部分。在內網管理上,該系統(tǒng)囊括了內網安全管理、客戶端行為審計、即時通信管理和審計、客戶端漏洞掃描和補丁管理等功能。用戶可以通過可視化界面對企業(yè)內網客戶端的使用情況和網絡訪問情況進行全面的管理和審計。在內網和外網統(tǒng)一管理方面,該系統(tǒng)加入了IT資產管理功能,使管理員能夠在全網范圍內對軟硬件的異常情況一覽無遺。同時,為了應對不同規(guī)模和行業(yè)的用戶對安全的差異化需求,瑞星企業(yè)終端安全管理系統(tǒng)采用模塊化設計,企業(yè)可以根據(jù)自身情況定制相應功能模塊,并且可以在瑞星在線商城購買和升級。
篇10
關鍵詞:電子政務外網 安全管理平臺 SOC 安全策略
一、前言
國家電子政務外網作為一個支持跨部門和地區(qū)業(yè)務應用、數(shù)據(jù)交換和信息共享的電子政務建設的新生事物,盡管其建設規(guī)模還不大,建設時間也不長,但在國家有關部門的指導和支持下,依靠各部委和各地的通力合作,它已經充分展現(xiàn)了一個創(chuàng)新性網絡巨大的活力,開始得到了各部門和各地的重視和關注。目前,已有30多個部門的系統(tǒng)平臺接入政務外網,例如國務院應急辦國家應急平臺外網系統(tǒng)、自然資源和地理空間基礎數(shù)據(jù)庫、文化部文化信息資源共享平臺等一批關系國計民生的重要系統(tǒng)接入政務外網。從政務外網建設及應用情況來看,各部門對政務外網的需求是緊迫的,同時也對政務外網的安全性有了更高的要求。
二、國家電子政務外網安全管理平臺概述
如何對國家電子政務外網的安全進行有效的管理,如何保證利用政務外網開展業(yè)務的應用系統(tǒng)的安全性,是對負責政務外網網絡安全的人員管理能力的一種考驗。傳統(tǒng)的安全管理方式是將分散在各地、不同種類的安全防護系統(tǒng)分別管理,這樣導致安全信息分散、互不相通,安全策略難以保持一致。因此這種傳統(tǒng)的管理運行方式成為許許多多安全隱患形成的根源,很難對國家電子政務外網進行統(tǒng)一的、有效的安全管理。
國家電子政務外網安全管理平臺(Security Operation Center,SOC)為電子政務外網制定統(tǒng)一安全策略、統(tǒng)一安全標準,實現(xiàn)全網統(tǒng)一管理和監(jiān)控,保障電子政務外網安全、穩(wěn)定、高效地運行,實現(xiàn)政務外網基于安全的互聯(lián)互通。國家電子政務外網安全管理平臺實現(xiàn)了將不同位置、不同類型設備,不同安全系統(tǒng)中分散且海量的單一安全事件進行匯總、過濾、收集和關聯(lián)分析,得出整個電子政務外網的全局安全風險事件,并形成統(tǒng)一的安全決策對安全事件進行響應和處理,從而保障電子政務業(yè)務應用系統(tǒng)的真實性、完整性和保密性。
三、國家電子政務外網安全管理平臺框架
國家電子政務外網安全管理平臺(SOC)的主要思想是采用多種安全產品的Agent和安全控制中心,最大化地利用技術手段,在統(tǒng)一安全策略的指導下,將系統(tǒng)中的各個安全部件協(xié)同起來,實現(xiàn)對各種網絡安全資源的集中監(jiān)控、統(tǒng)一策略管理、智能審計及多種安全功能模塊之間的互動,并且能夠在多個安全部件協(xié)同的基礎上實現(xiàn)實時監(jiān)控、安全事件預警、報表處理、統(tǒng)計分析、應急響應等功能,使得網絡安全管理工作由繁變簡,更為有效。
國家電子政務外網安全管理平臺(SOC)的體系架構具備適應性強(能夠適用于不同省級節(jié)點接入網絡和系統(tǒng)環(huán)境)、可擴充性強、集中化安全管理等優(yōu)點,其框架體系主要是為了解決目前各類安全產品各自為陣、難以組成一個整體安全防御體系的問題。真正的整體安全是在一個整體的安全策略下,安全產品、安全管理、安全服務以及管理制度相互協(xié)調的基礎上才能夠實現(xiàn)。國家電子政務外網安全管理平臺(SOC)框架如圖1所示。
四、國家電子政務外網安全管理平臺的主要功能
國家電子政務外網安全管理平臺為系統(tǒng)管理員和用戶提供對系統(tǒng)整體安全的監(jiān)管,它在整個政務外網體系與各類安全技術、安全產品、安全防御措施等安全手段之間搭起橋梁,使得各類安全手段能與現(xiàn)有的國家電子政務外網應用體系緊密結合而實現(xiàn)無縫連接,以促成網絡安全與國家電子政務外網應用的真正一體化。目前,國家電子政務外網安全管理平臺基本實現(xiàn)了對國家電子政務外網中央城域網、廣域網骨干網的主要網絡設備、安全設備和網絡承載的業(yè)務系統(tǒng)的安全事件的管理,并具備監(jiān)控、預警、響應、審計追蹤等功能。
圖2描述了國家電子政務外網安全管理平臺的功能框架。以下對其功能予以詳細闡述。
⒈統(tǒng)一管理
政務外網安全管理平臺(SOC)建立在安全設備部署的基礎之上,主要圍繞安全的預防、發(fā)現(xiàn)、反應環(huán)節(jié)搭建,實現(xiàn)了安全預警、集中監(jiān)控、安全事件處理等更高層次的安全管理。這些建立在安全設備部署之上的安全管理包括:預防環(huán)節(jié)的安全預警信息通告,安全評估結果綜合分析的安全信息庫;發(fā)現(xiàn)環(huán)節(jié)的收集防火墻、入侵檢測、日志系統(tǒng)、防病毒系統(tǒng)中的有關安全事件,呈現(xiàn)安全告警的集中安全監(jiān)控系統(tǒng);反應環(huán)節(jié)的以電子流的方式,進行安全事件處理流轉,保存安全事件處理經驗的安全事件運行系統(tǒng)。
政務外網安全管理平臺(SOC)對各種安全產品的監(jiān)控和管理,可以利用各個安全子系統(tǒng)中已有的信息采集和控制機制來實現(xiàn),也可以采用直接與安全設備交互的方式進行,主要取決于各個安全子系統(tǒng)自身的構架以及提供的管理接口。
⒉安全事件實時監(jiān)控與實時通報
網絡安全工作的本質在于控制網絡安全風險,風險管理是安全管理的核心。考察安全成本和安全威脅后果之間的關系,以可接受的成本來降低安全風險到可接受的水平。
國家電子政務外網上的各種安全設備和產品每天都要產生大量的各種安全事件。對這些事件的集中監(jiān)視是控制網絡風險、保證網絡業(yè)務正常運行的重要手段。國家電子政務外網安全管理平臺專注于整個政務外網安全相關事件的實時監(jiān)控,收集并匯總重大安全事件的數(shù)據(jù)(如:大規(guī)模蠕蟲事件,重大攻擊事件等),進行關聯(lián)性分析,全面提高對網絡事件的快速反應能力;同時,將安全事件備份到后臺的數(shù)據(jù)庫中,以備查詢和生成安全運行報告。
安全事件通報與業(yè)務系統(tǒng)、工作流緊密結合。國家電子政務外網安全管理平臺在發(fā)現(xiàn)某政務外網業(yè)務系統(tǒng)內出現(xiàn)安全事件后,還將及時把這些安全事件通知各業(yè)務系統(tǒng)的管理員以便及時予以處理。
⒊全網統(tǒng)一安全策略
對于電子政務外網的安全運行維護,最具有挑戰(zhàn)性的莫過于保持全網策略的一致性。尤其是對于日新月異的網絡安全技術,需要經常性頻繁應對出現(xiàn)的新漏洞,根據(jù)新的業(yè)務調整安全策略。
國家電子政務外網安全管理平臺支持統(tǒng)一、集成的策略管理,包括策略的制定、分發(fā)和策略執(zhí)行情況的檢查。安全策略管理包括設備安全策略、事件響應策略和全局安全策略等。
統(tǒng)一安全策略管理制訂全網的安全策略,這些策略文件可下發(fā)給各相關部門,通過直接(也可以手工)的方式進行配置落實。策略的管理能夠通過全局策略的調整、業(yè)務的變化、各網管和部門反饋來的意見等情況,不斷調整、優(yōu)化安全策略。
⒋基于角色的安全事件可視化
國家電子政務外網安全管理平臺提供統(tǒng)一的安全管理,并為不同級別和性質的管理員提供不同層次和性質的管理視圖。由于電子政務外網內部網絡系統(tǒng)是一個復雜的分布式大規(guī)模網絡,因此核心層、分布層以及接入層的網絡管理員具有不同的職責。系統(tǒng)不但能夠提供運行核心層的管理員對所有安全系統(tǒng)宏觀的管理視圖,也能夠為各地主要業(yè)務網絡的管理員對自己管轄區(qū)域內的安全設備和安全系統(tǒng)部件進行區(qū)域自治管理,此外,還能夠通過安全管理平臺(SOC)對分布于整個網絡的某個安全子系統(tǒng),進行整體安全策略的發(fā)放和狀態(tài)監(jiān)測及管理。
安全管理平臺(SOC)根據(jù)需要設置可視化條件,實時在全網拓撲圖中顯示最重要的多組事件,包括設備名稱、事件定位、風險概況、脆弱性等信息(如圖3所示)。
⒌安全事件關聯(lián)分析
安全管理平臺(SOC)要對各個不同安全設備(入侵檢測、漏洞掃描、防火墻等)報告的安全信息進行集中的數(shù)據(jù)挖掘和分析,進行全局的相關性分析和報表顯示,以發(fā)現(xiàn)低級安全事件相關聯(lián)后表現(xiàn)出的高級安全事件,以及異常行為之間、漏洞和入侵之間的對應關系,便于對攻擊的確認和安全策略的調整。國家電子政務外網安全管理平臺目前支持基于規(guī)則的關聯(lián)分析、基于統(tǒng)計的關聯(lián)分析和基于漏洞的關聯(lián)分析等3種形式。根據(jù)此關聯(lián)分析的功能,結合國家電子政務外網的業(yè)務應用系統(tǒng)的事件特征,通過分析與制定安全域與業(yè)務安全控制策略和基于業(yè)務應用的流程異常監(jiān)控,制定相關的特定關聯(lián)分析規(guī)則,配合事件監(jiān)控、拓撲管理及綜合顯示等方面的內容,從而實現(xiàn)國家電子政務外網業(yè)務安全監(jiān)控及追蹤功能的事件定位。
⒍宏觀分析與安全決策支持
安全管理平臺(SOC)應支持對各安全設備上報的所有安全數(shù)據(jù)進行宏觀統(tǒng)計、分析和決策支持。宏觀統(tǒng)計分析主要是在大量數(shù)據(jù)的基礎上,對安全事件進行綜合分析,比如將攻擊信息和安全漏洞信息關聯(lián)起來,產生詳盡的安全報告,提供安全決策支持,強有力地支持全網安全事件的及時發(fā)現(xiàn)(檢測)、準確定位(追蹤)、盡快處理(應急響應)、進一步防范(預警)以及全網安全策略制定(策略)。國家電子政務外網運行維護管理員根據(jù)宏觀分析提供的全局安全狀況和安全態(tài)勢信息,并結合電子政務外網的管理體系、人員管理規(guī)章制度、管理流程以及行政管理規(guī)定,為針對安全事件的處理決策提供支持。圖4、圖5展示了安全管理人員可以借助安全管理平臺展示的全方位安全信息對政務外網的安全態(tài)勢進行宏觀把握,為決策提供支持。
⒎安全事件全局預警
對于像沖擊波、紅色代碼等危害較大的網絡蠕蟲的較大規(guī)模入侵,從一個地區(qū)向另一地區(qū)滲透可能有一定的延時。在這段延時期間,安全管理平臺(SOC)有義務將這種警報到尚未受攻擊的區(qū)域中去,以起到提前布防的預警作用。
國家電子政務外網安全管理平臺接到的報警如果符合提前設定的全局預警范圍,則將其下發(fā)到非來源的省級政務網絡中心,結合報警信息轉發(fā)及上傳的功能,實現(xiàn)這一報警事件下發(fā)到所有省級政務外網結點(如圖6所示)。
⒏安全事件知識庫
為了實現(xiàn)安全事件的集中收集、記錄、審計和流程化處理(集中、分類、入庫、處理),共享最新安全知識,保證國家電子政務外網安全人才的儲備,安全管理平臺(SOC)建立安全事件知識庫。知識庫將國家電子政務外網各級安全管理平臺的安全管理信息收集起來,為國家電子政務外網各級安全維護人員形成統(tǒng)一的安全共享知識庫,以完成安全信息管理和WEB,主要實現(xiàn)安全管理信息、安全事件庫、安全策略配置庫、安全技術信息交流、處置預案庫、補丁庫、安全知識庫等欄目的信息管理和瀏覽。安全管理員可以通過安全知識庫的輔助工具學習,了解相關知識,輔助進行運維工作。圖7是一個安全知識庫的截屏。
五、國家電子政務外網安全管理平臺的部署
根據(jù)國家電子政務外網安全管理平臺的組成,政務外網安全管理平臺最終建成分層分級結構:頂級為國家級安全管理平臺,第二級為省部級安全管理平臺,第三級為縣市級安全管理平臺。各級網絡安全管理中心負責對本級電子政務外網實施安全監(jiān)控和集中管理。上級網絡安全管理中心可對下級網絡安全管理中心進行統(tǒng)一安全策略、運行狀態(tài)監(jiān)控、安全信息收集等操作。下級網絡安全管理中心可接受上級網絡安全管理中心的安全預警信息。國家電子政務外網安全管理平臺整體部署如圖8所示。
在部署政務外網各級安全管理平臺過程中,涉及兩類下級安全管理平臺:一是新建的安全管理平臺,另一類是已建的安全管理平臺。對于新建的安全管理平臺在接入上級安全管理平臺時將在統(tǒng)一設計、統(tǒng)一標準、統(tǒng)一技術規(guī)范、統(tǒng)一部署的原則下進行建設,與上級安全管理平臺實現(xiàn)平滑和無縫對接。
部分電子政務建設比較好的省市,可能已建成安全管理平臺。在這種情況下,由于早期建設的安全管理平臺沒有統(tǒng)一的標準和規(guī)范,在管理對象、管理方式、協(xié)議支持等方面不盡相同,所以此類安全管理平臺不能直接與國家級安全管理平臺進行對接。因此需要針對不同的安全管理平臺進行調研和分析,本著最小改造的原則,為其增加設備,通過機制實現(xiàn)其與上級安全管理平臺的對接。
六、總結
目前,國家電子政務外網中央安全管理平臺的建設已基本建設完畢。通過幾個月的建設工作,安全管理平臺的實施為國家電子政務外網的安全運轉提供了良好的保障。首先,國家電子政務外網安全管理平臺提升了信息安全事件的處理水平。因為大量的安全事件通過安全管理平臺的過濾、歸并和排序后,降低到一個人工能夠處理的數(shù)量級。另外,安全管理平臺(SOC)自帶的專家知識庫能夠幫助平臺管理員正確地處理事件,減低了安全技術的門檻,為運維人員提供了有力的技術支持。其次,國家電子政務外網安全管理平臺提供了良好的可視化技術,用圖形化的方法向管理員展示了整個國家電子政務外網的安全整體狀況,便于管理員從宏觀上對全網的安全態(tài)勢進行整體把握。
綜上所述,國家電子政務外網安全管理平臺的實施是針對政務網絡系統(tǒng)傳統(tǒng)管理方式的一種重大變革。它結合政務網絡自身的特點,將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進行匯總、過濾、收集和關聯(lián)分析,得出全局角度的安全態(tài)勢,并形成統(tǒng)一的安全決策對安全事件進行響應和處理。
作者簡介:
郭紅,女,1966年生,漢族,北京人,高級工程師,國家信息中心網絡安全部處長,研究方向:網絡安全。
王勇,男,1977年生,漢族,山東鄄城人,國家信息中心網絡安全部工程師,研究方向:網絡安全。