開篇:寫作不僅是一種記錄�����,更是一種創(chuàng)造����,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上����。下面是小編精心整理的12篇網(wǎng)絡(luò)安全事件���,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友��,陪伴您不斷探索和進(jìn)步。
第1篇
一、 指導(dǎo)思想
認(rèn)真落實(shí)“預(yù)防為主���,積極處理”的宗旨,牢固安全意識(shí),提高防范和處理能力��,一切以維護(hù)正常的工作秩序和營造綠色健康的網(wǎng)絡(luò)環(huán)境為中心�����,進(jìn)一步完善網(wǎng)絡(luò)管理機(jī)制,提高突發(fā)事件的應(yīng)急能力�。
二�、組織領(lǐng)導(dǎo)及職責(zé)
成立信息化領(lǐng)導(dǎo)小組
主要職責(zé):部署工作���,安排�、檢查落實(shí)網(wǎng)絡(luò)安全具體事宜。信息化管理員負(fù)責(zé)具體執(zhí)行。
三、應(yīng)急措施及要求
1. 各處室要加強(qiáng)對本部門人員進(jìn)行及時(shí)、全面地教育和引導(dǎo)����,提高安全防范意識(shí)�����。
2. 信息化管理員嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全管理制度,規(guī)范辦公室上網(wǎng),落實(shí)上網(wǎng)電腦專人專用和日志留存�。
3. 建立健全重要數(shù)據(jù)及時(shí)備份和災(zāi)難性數(shù)據(jù)恢復(fù)機(jī)制��。
4. 采取多層次的有害信息、惡意攻擊防范與處理措施�����。信息化管理員負(fù)責(zé)對所有信息進(jìn)行監(jiān)視及信息審核�,發(fā)現(xiàn)有害信息及時(shí)處理。
5. 切實(shí)做計(jì)算機(jī)好網(wǎng)絡(luò)設(shè)備的防火�、防盜��、防雷和防非法信號(hào)接入。
6. 所有涉密計(jì)算機(jī)一律不允許接入互聯(lián)網(wǎng)���,做到專網(wǎng)、專機(jī)����、專人��、專用��,做好物理隔離���。連接互聯(lián)網(wǎng)的計(jì)算機(jī)絕對不能存儲(chǔ)涉及國家秘密����、工作秘密�、商業(yè)秘密的文件。
四�、網(wǎng)絡(luò)安全事件應(yīng)急處理措施
(一) 當(dāng)人為�����、病毒破壞或設(shè)備損壞的災(zāi)害發(fā)生時(shí)���,具體按以下順序進(jìn)行:判斷破壞的來源與性質(zhì)�����,斷開影響安全與穩(wěn)定的信息網(wǎng)絡(luò)設(shè)備,斷開與破壞來源的網(wǎng)絡(luò)物理連接���,跟蹤并鎖定破壞來源的IP或其它網(wǎng)絡(luò)用戶信息,修復(fù)被破壞的信息�����,恢復(fù)信息系統(tǒng)���。按照災(zāi)害發(fā)生的性質(zhì)分別采用以下方案:
1. 網(wǎng)站����、網(wǎng)頁出現(xiàn)非法言論事件緊急處置措施
(1) 網(wǎng)站�����、網(wǎng)頁由信息化管理員負(fù)責(zé)隨時(shí)密切監(jiān)視信息內(nèi)容�。
(2) 發(fā)現(xiàn)在網(wǎng)上出現(xiàn)內(nèi)容被篡改或非法信息時(shí)�����,信息化管理員做好必要記錄����,清理非法信息�����,妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄�����,必要時(shí)中斷服務(wù)器網(wǎng)線連接。
(3) 追查非法信息來源�����,并將有關(guān)情況向信息化領(lǐng)導(dǎo)小組匯報(bào)����。
(4) 若事態(tài)嚴(yán)重,立即向市政府信息化辦公室和公安部門報(bào)警。
2.黑客攻擊事件緊急處置措施
(1) 當(dāng)發(fā)現(xiàn)黑客正在進(jìn)行攻擊時(shí)或者已經(jīng)被攻擊時(shí)�,首先將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來����,保護(hù)現(xiàn)場�����。
(2) 信息化管理員對現(xiàn)場進(jìn)行分析,并做好記錄。
(3) 恢復(fù)與重建被攻擊或破壞的系統(tǒng)�。
(4) 若事態(tài)嚴(yán)重����,立即向市政府信息化辦公室和公安部門報(bào)警�。
3.病毒事件緊急處置措施
(1) 當(dāng)發(fā)現(xiàn)計(jì)算機(jī)被感染上病毒后,立即將該機(jī)從網(wǎng)絡(luò)上隔離出來。
(2) 對該機(jī)的硬盤進(jìn)行數(shù)據(jù)備份��。
(3) 啟用反病毒軟件對該機(jī)進(jìn)行殺毒處理���,同時(shí)通過病毒檢測軟件對其它計(jì)算機(jī)進(jìn)行病毒掃描和清除工作�����。
(4) 如果現(xiàn)行反病毒軟件無法清除該病毒��,應(yīng)立即向信息化領(lǐng)導(dǎo)小組報(bào)告�,并迅速聯(lián)系有關(guān)產(chǎn)品研究解決��。
(5) 若情況嚴(yán)重��,立即向市政府信息化辦公室和公安部門報(bào)警。
4.軟件系統(tǒng)遭到破壞性攻擊的緊急處置措施
(1) 重要的軟件系統(tǒng)平時(shí)必須存有備份,與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須按本單位容災(zāi)備份規(guī)定的間隔按時(shí)進(jìn)行備份�,并將它們保存于安全處���。
(2) 一旦軟件遭到破壞性攻擊���,立即將該系統(tǒng)停止運(yùn)行�����。
(3) 檢查信息系統(tǒng)的日志等資料����,確定攻擊來源,并將有關(guān)情況向信息化領(lǐng)導(dǎo)小組匯報(bào),再恢復(fù)軟件系統(tǒng)和數(shù)據(jù)�。
(4) 若事態(tài)嚴(yán)重�����,立即向市政府信息化辦公室和公安部門報(bào)警。
5.數(shù)據(jù)庫安全緊急處置措施
(1) 對于重要的信息系統(tǒng)�,主要數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)要進(jìn)行備份��。
(2) 一旦數(shù)據(jù)庫崩潰,信息化管理員應(yīng)對主機(jī)進(jìn)行維修并做數(shù)據(jù)恢復(fù)����。
(3) 如果系統(tǒng)崩潰無法恢復(fù)���,應(yīng)立即向有關(guān)廠商請求緊急支援����。
6.廣域網(wǎng)外部線路中斷緊急處置措施
(1) 判斷故障節(jié)點(diǎn)����,查明故障原因。
(2) 如屬我方管轄范圍��,由信息化管理員予以恢復(fù)�����。
(3) 如屬于電信部門管轄范圍��,立即與電信維護(hù)部門聯(lián)系,盡快恢復(fù)����。
(4) 如有必要,向信息化領(lǐng)導(dǎo)小組匯報(bào)�。
7.局域網(wǎng)中斷緊急處置措施
(1) 配備相關(guān)備用設(shè)備��,存放在指定位置。
(2) 局域網(wǎng)中斷后���,判斷事故節(jié)點(diǎn),查明故障原因�。
(3) 如屬線路故障�����,應(yīng)重新安裝線路。
(4) 如屬路由器�����、交換機(jī)等網(wǎng)絡(luò)設(shè)備故障����,應(yīng)立即從指定位置將備用設(shè)備取出接上,并調(diào)試通暢�。
(5) 如屬路由器���、交換機(jī)配置文件破壞�,應(yīng)迅速按照要求重新配置,并調(diào)試通暢�����。
(6) 如有必要��,向信息化小組匯報(bào)����。
(二)當(dāng)發(fā)生自然災(zāi)害時(shí)����,先保障人身安全�,再保障數(shù)據(jù)安全,最后是設(shè)備安全����。具體方法包括:硬盤的拔出與保存�����,設(shè)備的斷電與拆卸、搬遷等。
(三)當(dāng)發(fā)生火災(zāi)時(shí)����,若因用電等原因引起火災(zāi)����,立即切斷電源���,撥打119報(bào)警��,組織人員開啟滅火器進(jìn)行撲救��。
(1) 對于初起火災(zāi),現(xiàn)場人員應(yīng)立即實(shí)施撲救工作�����,使用滅火器撲救工作��。
(2) 火勢較大時(shí)��,應(yīng)立即撥打119火災(zāi)報(bào)警電話和根據(jù)火災(zāi)情況啟動(dòng)有關(guān)消防設(shè)備,通知有關(guān)人員到場滅火��。
(3) 在保障人員安全的前提下���,按上款保護(hù)數(shù)據(jù)及設(shè)備���。
第2篇
【 關(guān)鍵詞 】 網(wǎng)絡(luò)����;安全�;檢測
Analysis of Network Security Event Stream Anomaly Detection Method
Cui fang
(Electronic and Information Engineering of Qiongzhou Universitxy HainanSanya 572020)
【 Abstract 】 With the development of the Internet," hacker"," invasion" and so on we use network poses a serious threat. On the network security event stream detection to find the problem in time, take measures to protect the rights of the majority of Internet users. On these abnormal detection methods, mainly based on the network, host based anomaly detection method based on vulnerability and, based on the three methods of analysis.
【 Keywords 】 network;security; detection
0 引言
網(wǎng)絡(luò)安全的目標(biāo)是保護(hù)有可能被侵犯或破壞的機(jī)密信息不受外來非法操作者的控制。但是由于互聯(lián)網(wǎng)舊有協(xié)議存在著“先天”的漏洞����,在設(shè)計(jì)時(shí)其思想是開放并且友好的��,僅支持有限的加密能力。在互聯(lián)網(wǎng)高速發(fā)展的今天��,各種網(wǎng)絡(luò)應(yīng)用對協(xié)議安全性提出了更高的要求��。原有的協(xié)議設(shè)計(jì)不但不能滿足日益增長的安全需求���,而且協(xié)議本身甚至都有安全隱患及漏洞�。這給一些不法分子提供了可乘之機(jī)���,也對廣大用戶的信息安全造成了威脅����。
在對網(wǎng)絡(luò)安全的維護(hù)中,先是防火墻�����,然后入侵檢測系統(tǒng)逐步走入我們視野中。防火墻,故名思義�����,防止發(fā)生外來的�,不可預(yù)測的���、潛在破壞入�。它一般放置在網(wǎng)關(guān)的位置,就是內(nèi)網(wǎng)與外網(wǎng)的連接處���。它是設(shè)置好規(guī)則,靜態(tài)的守株待兔式的網(wǎng)絡(luò)攻擊防御軟硬件設(shè)備�����。而入侵檢測系統(tǒng)則是一種積極主動(dòng)的安全防護(hù)技術(shù)����,它對網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視和分析,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施�����,即使內(nèi)部人員有越界行為���,實(shí)時(shí)監(jiān)視系統(tǒng)也能發(fā)現(xiàn)情況并發(fā)出警告���。
比如內(nèi)部網(wǎng)里有臺(tái)計(jì)算機(jī)中了病毒�,不停地發(fā)送大量的數(shù)據(jù)包,那么通過入侵檢測系統(tǒng)就能發(fā)現(xiàn)并定位���,進(jìn)而采取措施。而防火墻對于這些已進(jìn)入內(nèi)網(wǎng)的病毒或惡就顯得束手無策了����。雖然現(xiàn)在有的防火墻也增加了號(hào)稱是入侵檢測的功能,但是是與專門的入侵檢測設(shè)備無法相比的��。
入侵檢測系統(tǒng)被公認(rèn)為是防火墻之后的第二道安全閘門, 從網(wǎng)絡(luò)安全立體縱深��、多層次防御的角度出發(fā), 對防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù), 從而能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵�����。入侵檢測技術(shù)可以彌補(bǔ)單純的防火墻技術(shù)暴露出明顯的不足和弱點(diǎn), 它們在功能上可以形成互補(bǔ)關(guān)系。
而基于異常的檢測技術(shù)則是先定義一組系統(tǒng)“正常”情況的數(shù)值,如CPU利用率��、內(nèi)存利用率���、文件校驗(yàn)和等(這類數(shù)據(jù)可以人為定義��,也可以通過觀察系統(tǒng)�、并 用統(tǒng)計(jì)的辦法得出)���,然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正?���!鼻闆r比較,得出是否有被攻擊的跡象��。這種檢測方式的核心在于如何定義所謂的“正?����!鼻闆r�。
不同于防火墻�,入侵檢測系統(tǒng)是一個(gè)監(jiān)聽設(shè)備,沒有跨接在任何鏈路上�,無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作���。因此�,對它的部署�,唯一的要求是:它應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上����。
異常發(fā)現(xiàn)技術(shù)的前提是假定所有入侵行為都是與正常行為不同的����。首先通過訓(xùn)練過程建立起系統(tǒng)正常行為的軌跡����,然后在實(shí)際運(yùn)用中把所有正常軌跡不同的系統(tǒng)狀態(tài)視為可疑。
異常檢測系統(tǒng)按其輸入數(shù)據(jù)的來源來看�����,可以分為三類��。
1 基于網(wǎng)絡(luò)的異常檢測系統(tǒng)
通常稱做硬件檢測系統(tǒng)��,位置在比較重要的網(wǎng)段內(nèi),不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包��。對每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析�。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合,入侵檢測系統(tǒng)就會(huì)發(fā)出警報(bào)甚至直接切斷網(wǎng)絡(luò)連接,網(wǎng)管可以在Windows平臺(tái)進(jìn)行配置�����、中央管理�����。目前�,大部分入侵檢測產(chǎn)品是基于網(wǎng)絡(luò)的����。
1.1 這種異常檢測系統(tǒng)的優(yōu)點(diǎn)很多
它能夠檢測那些來自網(wǎng)絡(luò)的攻擊��,它能夠檢測到超過授權(quán)的非法訪問����。由于它不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件���,從而不會(huì)影響這些機(jī)器的CPU���、I/O與磁盤等資源的使用�,不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。它發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行,布署一個(gè)網(wǎng)絡(luò)異常檢測系統(tǒng)的風(fēng)險(xiǎn)比主機(jī)入侵檢測系統(tǒng)的風(fēng)險(xiǎn)少得多�����。網(wǎng)絡(luò)異常檢測系統(tǒng)近年內(nèi)有向?qū)iT的設(shè)備發(fā)展的趨勢�,安裝這樣的一個(gè)網(wǎng)絡(luò)異常檢測系統(tǒng)非常方便,只需將定制的設(shè)備接上電源����,做很少一些配置���,將其連到網(wǎng)絡(luò)上即可�。
1.2 這種檢測系統(tǒng)的弱點(diǎn)
只檢查它直接連接網(wǎng)段的通信�,不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包,在使用交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)監(jiān)測范圍的局限����。而安裝多臺(tái)網(wǎng)絡(luò)入侵檢測系統(tǒng)的傳感器會(huì)使布署整個(gè)系統(tǒng)的成本大大增加����。
為了性能目標(biāo)通常采用特征檢測的方法��,它可以檢測出普通的一些攻擊�����,而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測����。
它可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中����。在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會(huì)產(chǎn)生大量的分析數(shù)據(jù)流量�。一些系統(tǒng)在實(shí)現(xiàn)時(shí)采用一定方法來減少回傳的數(shù)據(jù)量,對異常判斷的決策由傳感器實(shí)現(xiàn)��,而中央控制臺(tái)成為狀態(tài)顯示與通信中心���,不再作為異常行為分析器����。
處理加密的會(huì)話過程較困難,目前通過加密通道的攻擊尚不多�����,但隨著IPv6的普及��,這個(gè)問題會(huì)越來越突出�����。它通過在網(wǎng)段上對通信數(shù)據(jù)的偵聽來采集數(shù)據(jù)。當(dāng)它同時(shí)檢測許多臺(tái)主機(jī)的時(shí)候�,系統(tǒng)的性能將會(huì)下降��,特別是在網(wǎng)速越來越快的情況下。由于系統(tǒng)需要長期保留許多臺(tái)主機(jī)的受攻擊信息記錄�,所以會(huì)導(dǎo)致系統(tǒng)資源耗竭��。
盡管存在這些缺點(diǎn)��,但由于基于網(wǎng)絡(luò)的異常檢測系統(tǒng)易于配置和易于作為一個(gè)獨(dú)立的組件來進(jìn)行管理而且他們對受保護(hù)系統(tǒng)的性能不產(chǎn)生影響或影響很小����,所以他們?nèi)匀缓苁軞g迎�����。
2 基于主機(jī)的異常檢測系統(tǒng)
基于主機(jī)的異常檢測系統(tǒng)出現(xiàn)在20世紀(jì)80年代初期��,那時(shí)網(wǎng)絡(luò)規(guī)模還比較小,檢查可疑行為的審計(jì)記錄相對比較容易���,況且在當(dāng)時(shí)異常行為非常少,通過對攻擊的事后分析就可以防止隨后的攻擊��。同樣�,目前仍使用審計(jì)記錄,但主機(jī)能自動(dòng)進(jìn)行檢測���,而且能準(zhǔn)確及時(shí)地作出響應(yīng)例如,當(dāng)有文件發(fā)生變化時(shí),將新的記錄條目與攻擊標(biāo)記相比較���,看其是否匹配,如果匹配系統(tǒng)就會(huì)向管理員報(bào)警。對關(guān)鍵的系統(tǒng)文件和可執(zhí)行文件的異常檢測是主要內(nèi)容之一,通常進(jìn)行定期檢查校驗(yàn)和,以便發(fā)現(xiàn)異常變化。此外,大多數(shù)這樣的產(chǎn)品都監(jiān)聽端口的活動(dòng)�����,在特定端口被訪問時(shí)向管理員報(bào)警���。
2.1 監(jiān)視特定的系統(tǒng)活動(dòng)
監(jiān)視用戶和訪問文件的活動(dòng)����,包括文件訪問、改變文件權(quán)限����,試圖建立新的可執(zhí)行文件或者試圖訪問特殊的設(shè)備。
2.2 能夠檢查到基于網(wǎng)絡(luò)的入侵檢查系統(tǒng)檢查不出的攻擊
可以檢測到那些基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)察覺不到的攻擊。例如,來自主要服務(wù)器鍵盤的攻擊不經(jīng)過網(wǎng)絡(luò),所以可以躲開基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)��。
2.3 適用于采用了數(shù)據(jù)加密和交換式連接的子網(wǎng)環(huán)境
由于它安裝在遍布子網(wǎng)的各種豐機(jī)上����,它們比基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)更加適于交換式連接和進(jìn)行了數(shù)據(jù)加密的環(huán)境。
2.4 有較高的實(shí)時(shí)性
盡管不能提供真正實(shí)時(shí)的反應(yīng),但如果應(yīng)用正確,反應(yīng)速度可以非常接近實(shí)時(shí)�。盡管在從操作系統(tǒng)作出記錄到得到檢測結(jié)果之間的這段時(shí)間有一段延遲��,但大多數(shù)情況下,在破壞發(fā)生之前,系統(tǒng)就能發(fā)現(xiàn)入侵者���,并中止他的攻擊。
2.5 不需增加額外的硬件設(shè)備
它存在于現(xiàn)行網(wǎng)絡(luò)結(jié)構(gòu)之中�,包括文件服務(wù)器�,Web服務(wù)器及其他共享資源。這使得基于主機(jī)的系統(tǒng)效率很高。
3 基于漏洞的異常檢測系統(tǒng)
操作系統(tǒng)的漏洞給了黑客或病毒以可乘之機(jī)���,以前的“沖擊波”病毒曾造成大面積的網(wǎng)絡(luò)癱瘓,其實(shí)究其原因,也就是因?yàn)闆]有給微軟的IIS打上補(bǔ)丁。如果打了補(bǔ)丁就會(huì)防患于未燃。這也跟某些網(wǎng)管員忽略安全防犯的思想有關(guān)����。
目前很多主機(jī)�����,已經(jīng)安裝了更新版本的操作系統(tǒng),很多針對以前操作系統(tǒng)漏洞進(jìn)行的攻擊,已經(jīng)發(fā)揮不了作用���。但是,由于這種發(fā)揮不了作用的攻擊存在�����,隨之也就會(huì)產(chǎn)生很多的無用警報(bào)�����,使得安全管理員無法判定,到底哪些警報(bào)最為迫切���,最為危險(xiǎn)。
通過對內(nèi)部網(wǎng)絡(luò)或者主機(jī)的掃描�����,找出目前內(nèi)部網(wǎng)絡(luò)中各個(gè)主機(jī)存在的漏洞信息����,根據(jù)這些信息對異常檢測中的每個(gè)特征規(guī)則進(jìn)行檢查,將沒有相應(yīng)檢測漏洞的異常檢測規(guī)則屏蔽��。在高速網(wǎng)絡(luò)環(huán)境下�,警報(bào)減少率、檢測效率及丟包率是衡量異常檢測系統(tǒng)的指標(biāo)�。實(shí)驗(yàn)結(jié)果表明���,對異常檢測規(guī)則進(jìn)行屏蔽�,可以大量減少無用的檢測規(guī)則��;減少相應(yīng)的警報(bào)信息��。隨著網(wǎng)絡(luò)信息化的日益推進(jìn),漏洞檢測技術(shù)已經(jīng)成為目前網(wǎng)絡(luò)安全研究的重點(diǎn)。漏洞檢測工具能夠檢測出計(jì)算機(jī)系統(tǒng)存在的漏洞,并提供相應(yīng)的補(bǔ)救方案����,提高了系統(tǒng)的安全性和可靠性���。目前�,漏洞檢測軟件采用不同標(biāo)準(zhǔn)的漏洞定義庫�����,相互之間兼容性差,支持的操作系統(tǒng)種類不全面�,計(jì)算機(jī)網(wǎng)絡(luò)的安全性難以得到高質(zhì)量保證����。
當(dāng)前實(shí)際網(wǎng)絡(luò)中存在的攻擊����,對檢驗(yàn)異常檢測的各項(xiàng)指標(biāo)具有重要意義,還可以為其它信息安全研究提供有效的測試數(shù)據(jù)�。
隨著網(wǎng)絡(luò)入侵攻擊種類的增加���,其特征庫也在不斷地增加����,這些異常檢測的硬件設(shè)備和軟件也需要不斷升級(jí)�����。
參考文獻(xiàn)
[1] 朱曉妹.基于網(wǎng)絡(luò)隱寫的主動(dòng)身份認(rèn)證系統(tǒng)研究[D].南京理工大學(xué).2009.
[2] 金誠.基于神經(jīng)網(wǎng)絡(luò)集成的入侵檢測技術(shù)[D].哈爾濱理工大學(xué).2009.
第3篇
網(wǎng)絡(luò)安全管理技術(shù)
目前���,網(wǎng)絡(luò)安全管理技術(shù)越來越受到人們的重視�����,而網(wǎng)絡(luò)安全管理系統(tǒng)也逐漸地應(yīng)用到企事業(yè)單位����、政府機(jī)關(guān)和高等院校的各種計(jì)算機(jī)網(wǎng)絡(luò)中�。隨著網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)的規(guī)模不斷發(fā)展和擴(kuò)大,網(wǎng)絡(luò)安全防范技術(shù)也得到了迅猛發(fā)展����,同時(shí)出現(xiàn)了若干問題,例如網(wǎng)絡(luò)安全管理和設(shè)備配置的協(xié)調(diào)問題�����、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控問題�����、網(wǎng)絡(luò)安全預(yù)警響應(yīng)問題�����,以及網(wǎng)絡(luò)中大量數(shù)據(jù)的安全存儲(chǔ)和使用問題等等。
網(wǎng)絡(luò)安全管理在企業(yè)管理中最初是被作為一個(gè)關(guān)鍵的組成部分,從信息安全管理的方向來看�����,網(wǎng)絡(luò)安全管理涉及到整個(gè)企業(yè)的策略規(guī)劃和流程�、保護(hù)數(shù)據(jù)需要的密碼加密、防火墻設(shè)置���、授權(quán)訪問、系統(tǒng)認(rèn)證���、數(shù)據(jù)傳輸安全和外界攻擊保護(hù)等等。在實(shí)際應(yīng)用中���,網(wǎng)絡(luò)安全管理并不僅僅是一個(gè)軟件系統(tǒng),它涵蓋了多種內(nèi)容����,包括網(wǎng)絡(luò)安全策略管理��、網(wǎng)絡(luò)設(shè)備安全管理、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控等多個(gè)方面�����。
防火墻技術(shù)
互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術(shù)來防止未授權(quán)的訪問進(jìn)行出入����,是一個(gè)控制經(jīng)過防火墻進(jìn)行網(wǎng)絡(luò)活動(dòng)行為和數(shù)據(jù)信息交換的軟件防護(hù)系統(tǒng)��,目的是為了保證整個(gè)網(wǎng)絡(luò)系統(tǒng)不受到任何侵犯����。
防火墻是根據(jù)企業(yè)的網(wǎng)絡(luò)安全管理策略來控制進(jìn)入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息�����,而且其具有一定程度的抗外界攻擊能力�����,所以可以作為企業(yè)不同網(wǎng)絡(luò)之間,或者多個(gè)局域網(wǎng)之間進(jìn)行數(shù)據(jù)信息交換的出入接口。防火墻是保證網(wǎng)絡(luò)信息安全�、提供安全服務(wù)的基礎(chǔ)設(shè)施���,它不僅是一個(gè)限制器���,更是一個(gè)分離器和分析器�����,能夠有效控制企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)信息交換���,從而保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全�。
將防火墻技術(shù)引入到網(wǎng)絡(luò)安全管理系統(tǒng)之中是因?yàn)閭鹘y(tǒng)的子網(wǎng)系統(tǒng)并不十分安全�����,很容易將信息暴露給網(wǎng)絡(luò)文件系統(tǒng)和網(wǎng)絡(luò)信息服務(wù)等這類不安全的網(wǎng)絡(luò)服務(wù),更容易受到網(wǎng)絡(luò)的攻擊和竊聽�����。目前����,互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設(shè)置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題。
入侵檢測技術(shù)
入侵檢測是一種增強(qiáng)系統(tǒng)安全的有效方法�。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動(dòng)�。通過對系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進(jìn)行評(píng)估��,并根據(jù)評(píng)價(jià)結(jié)果來判斷行為的正常性���,從而幫助系統(tǒng)管理人員采取相應(yīng)的對策措施����。入侵檢測可分為:異常檢測���、行為檢測����、分布式免疫檢測等。
企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)設(shè)計(jì)
1系統(tǒng)設(shè)計(jì)目標(biāo)
該文的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)目的是需要克服原有網(wǎng)絡(luò)安全技術(shù)的不足��,提出一種通用的�、可擴(kuò)展的、模塊化的網(wǎng)絡(luò)安全管理系統(tǒng)��,以多層網(wǎng)絡(luò)架構(gòu)的安全防護(hù)方式����,將身份認(rèn)證�、入侵檢測、訪問控制等一系列網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用到網(wǎng)絡(luò)系統(tǒng)之中�,使得這些網(wǎng)絡(luò)安全防護(hù)技術(shù)能夠相互彌補(bǔ)�、彼此配合�����,在統(tǒng)一的控制策略下對網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測和監(jiān)控�,從而形成一個(gè)分布式網(wǎng)絡(luò)安全防護(hù)體系�����,從而有效提高網(wǎng)絡(luò)安全管理系統(tǒng)的功能性�、實(shí)用性和開放性���。
2系統(tǒng)原理框圖
該文設(shè)計(jì)了一種通用的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)�����,該系統(tǒng)的原理圖如圖1所示��。
2.1系統(tǒng)總體架構(gòu)
網(wǎng)絡(luò)安全管理中心作為整個(gè)企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的核心部分,能夠在同一時(shí)間與多個(gè)網(wǎng)絡(luò)安全終端連接�,并通過其對多個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行管理����,還能夠提供處理網(wǎng)絡(luò)安全事件���、提供網(wǎng)絡(luò)配置探測器�、查詢網(wǎng)絡(luò)安全事件,以及在網(wǎng)絡(luò)中發(fā)生響應(yīng)命令等功能。
網(wǎng)絡(luò)安全是以分布式的方式����,布置在受保護(hù)和監(jiān)控的企業(yè)網(wǎng)絡(luò)中����,網(wǎng)絡(luò)安全是提供網(wǎng)絡(luò)安全事件采集�����,以及網(wǎng)絡(luò)安全設(shè)備管理等服務(wù)的���,并且與網(wǎng)絡(luò)安全管理中心相互連接����。
網(wǎng)絡(luò)設(shè)備管理包括了對企業(yè)整個(gè)網(wǎng)絡(luò)系統(tǒng)中的各種網(wǎng)絡(luò)基礎(chǔ)設(shè)備����、設(shè)施的管理。網(wǎng)絡(luò)安全管理專業(yè)人員能夠通過終端管理設(shè)備�����,對企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)進(jìn)行有效的安全管理�。
2.2系統(tǒng)網(wǎng)絡(luò)安全管理中心組件功能
系統(tǒng)網(wǎng)絡(luò)安全管理中心核心功能組件:包括了網(wǎng)絡(luò)安全事件采集組件、網(wǎng)絡(luò)安全事件查詢組件、網(wǎng)絡(luò)探測器管理組件和網(wǎng)絡(luò)管理策略生成組件�。網(wǎng)絡(luò)探測器管理組件是根據(jù)網(wǎng)絡(luò)的安全狀況實(shí)現(xiàn)對模塊進(jìn)行添加����、刪除的功能����,它是到系統(tǒng)探測器模塊數(shù)據(jù)庫中進(jìn)行選擇,找出與功能相互匹配的模塊,將它們添加到網(wǎng)絡(luò)安全探測器上�����。網(wǎng)絡(luò)安全事件采集組件是將對網(wǎng)絡(luò)安全事件進(jìn)行分析和過濾的結(jié)構(gòu)添加到數(shù)據(jù)庫中���。網(wǎng)絡(luò)安全事件查詢組件是為企業(yè)網(wǎng)絡(luò)安全專業(yè)管理人員提供對網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行一系列操作的主要結(jié)構(gòu)�����。而網(wǎng)絡(luò)管理策略生產(chǎn)組件則是對輸入的網(wǎng)絡(luò)安全事件分析結(jié)果進(jìn)行自動(dòng)查詢,并將管理策略發(fā)送給網(wǎng)絡(luò)安全。
系統(tǒng)網(wǎng)絡(luò)安全管理中心數(shù)據(jù)庫模塊組件:包括了網(wǎng)絡(luò)安全事件數(shù)據(jù)庫����、網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫��,以及網(wǎng)絡(luò)響應(yīng)策略數(shù)據(jù)庫。網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫是由核心功能組件進(jìn)行添加和刪除的����,它主要是對安裝在網(wǎng)絡(luò)探測器上的功能模塊進(jìn)行存儲(chǔ)��。網(wǎng)絡(luò)安全事件數(shù)據(jù)庫是對輸入的網(wǎng)絡(luò)安全事件進(jìn)行分析和統(tǒng)計(jì),主要用于對各種網(wǎng)絡(luò)安全事件的存儲(chǔ)�。網(wǎng)絡(luò)相應(yīng)策略數(shù)據(jù)庫是對輸入網(wǎng)絡(luò)安全事件的分析結(jié)果反饋相應(yīng)的處理策略�����,并且對各種策略進(jìn)行存儲(chǔ)。
3系統(tǒng)架構(gòu)特點(diǎn)
3.1統(tǒng)一管理��,分布部署該文設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)是采用網(wǎng)絡(luò)安全管理中心對系統(tǒng)進(jìn)行部署和管理�,并且根據(jù)網(wǎng)絡(luò)管理人員提出的需求,將網(wǎng)絡(luò)安全分布地布置在整個(gè)網(wǎng)絡(luò)系統(tǒng)之中��,然后將選取出的網(wǎng)絡(luò)功能模塊和網(wǎng)絡(luò)響應(yīng)命令添加到網(wǎng)絡(luò)安全上�,網(wǎng)絡(luò)安全管理中心可以自動(dòng)管理網(wǎng)絡(luò)安全對各種網(wǎng)絡(luò)安全事件進(jìn)行處理。
3.2模塊化開發(fā)方式本系統(tǒng)的網(wǎng)絡(luò)安全管理中心和網(wǎng)絡(luò)安全采用的都是模塊化的設(shè)計(jì)方式�����,如果需要在企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中增加新的網(wǎng)絡(luò)設(shè)備或管理策略時(shí)�����,只需要對相應(yīng)的新模塊和響應(yīng)策略進(jìn)行開發(fā)實(shí)現(xiàn),最后將其加載到網(wǎng)絡(luò)安全中��,而不必對網(wǎng)絡(luò)安全管理中心、網(wǎng)絡(luò)安全進(jìn)行系統(tǒng)升級(jí)和更新�。
3.3分布式多級(jí)應(yīng)用對于機(jī)構(gòu)比較復(fù)雜的網(wǎng)絡(luò)系統(tǒng)����,可使用多管理器連接�,保證全局網(wǎng)絡(luò)的安全。在這種應(yīng)用中����,上一級(jí)管理要對下一級(jí)的安全狀況進(jìn)行實(shí)時(shí)監(jiān)控�����,并對下一級(jí)的安全事件在所轄范圍內(nèi)進(jìn)行及時(shí)全局預(yù)警處理,同時(shí)向上一級(jí)管理中心進(jìn)行匯報(bào)�����。網(wǎng)絡(luò)安全主管部門可以在最短時(shí)間內(nèi)對全局范圍內(nèi)的網(wǎng)絡(luò)安全進(jìn)行嚴(yán)密的監(jiān)視和防范�����。
第4篇
(一)網(wǎng)絡(luò)安全事件流中主機(jī)的異常檢測所引發(fā)的安全事件�。
主機(jī)異常所帶來的危害包括:計(jì)算機(jī)病毒�����、蠕蟲���、特洛伊木馬、破解密碼����、未經(jīng)授權(quán)進(jìn)行文件訪問等情況����,導(dǎo)致電腦死機(jī)或文件泄露等危害�。
(二)主機(jī)異常檢測的原理及指標(biāo)確定。
當(dāng)前�����,隨著科技的不斷發(fā)展��,主機(jī)可以自主進(jìn)行檢測�,同時(shí)及時(shí)�����、準(zhǔn)確地對問題進(jìn)行處理��。如果內(nèi)部文件出現(xiàn)變化時(shí),主機(jī)自行將新記錄的內(nèi)容同原始數(shù)據(jù)進(jìn)行比較,查詢是否符合標(biāo)準(zhǔn)�,如果答案為否定�,則立刻向管理人員發(fā)出警報(bào)�����。
(三)主機(jī)異常檢測的優(yōu)點(diǎn)�。
1.檢測特定的活動(dòng)��。主機(jī)的異常檢測可以對用戶的訪問活動(dòng)進(jìn)行檢測�����,其中包含對文件的訪問,對文件的轉(zhuǎn)變���,建立新文件等�。
2.可以檢測出網(wǎng)絡(luò)異常檢測中查詢不出的問題。主機(jī)的異常檢測可以查詢出網(wǎng)絡(luò)異常檢測所查詢不出的問題,例如:主服務(wù)器鍵盤的問題就未經(jīng)過網(wǎng)絡(luò),從而躲避了網(wǎng)絡(luò)異常檢測���,但卻可被主機(jī)異常檢測所發(fā)現(xiàn)。
(四)主機(jī)異常檢測的缺點(diǎn)。
主機(jī)異常檢測不能全面提供實(shí)時(shí)反應(yīng)���,盡管其反應(yīng)速度也非常快捷����,接近實(shí)時(shí)���,但從操作系統(tǒng)的記錄到判斷結(jié)果之間會(huì)存在一定的延時(shí)情況����。
二、網(wǎng)絡(luò)安全事件流中漏洞的異常檢測
(一)網(wǎng)絡(luò)安全事件流中漏洞的異常所引發(fā)的安全事件。
網(wǎng)絡(luò)中的操縱系統(tǒng)存在一定的漏洞,這就給不法人員造就了機(jī)會(huì)。漏洞檢測技術(shù)產(chǎn)生的安全事件包含:對文件的更改�、數(shù)據(jù)庫��、注冊號(hào)等的破壞、系統(tǒng)崩潰等問題。
(二)漏洞異常檢測的方法及指標(biāo)確定����。
漏洞的檢測方法可以歸納為:白盒檢測����、黑盒檢測及灰盒檢測三種��。白盒檢測在獲取軟件代碼下進(jìn)行那個(gè)檢測���;黑盒檢測在無法獲取軟件代碼��,只利用輸出的結(jié)果進(jìn)行檢測;灰盒檢測則介于兩種檢測方法之間,利用RE轉(zhuǎn)化二進(jìn)制代碼為人們可以利用的文件����,管理人員可以通過找尋指令的入口點(diǎn)發(fā)現(xiàn)漏洞的位置。
(三)漏洞異常檢測的優(yōu)缺點(diǎn)����。
第5篇
關(guān)鍵詞:網(wǎng)絡(luò)拓?fù)?���;安全態(tài)勢����;綜合預(yù)警;安全事件�;控制策略
中圖分類號(hào):TP393.02
1.緒論
Internet正在持續(xù)快速地發(fā)展���,在應(yīng)用上進(jìn)入嶄新的多元化階段���,已融入到人們生產(chǎn)��、生活、工作、學(xué)習(xí)的各個(gè)角落��。然而���,網(wǎng)絡(luò)技術(shù)的發(fā)展在帶來便利的同時(shí)�����,也帶來了巨大的安全隱患�,特別是Internet大范圍的接入�,使得越來越多的系統(tǒng)受到入侵攻擊的威脅。因此����,如何評(píng)估網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢和及早發(fā)現(xiàn)并有效控制網(wǎng)絡(luò)安全事件的蔓延,已成為目前國內(nèi)外網(wǎng)絡(luò)安全專家的研究熱點(diǎn)����。在此背景下����,本文本著主動(dòng)測量和異常檢測相結(jié)合的思路����,基于網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)實(shí)現(xiàn)了大規(guī)模網(wǎng)絡(luò)安全事件綜合預(yù)警系統(tǒng),評(píng)估網(wǎng)絡(luò)安全態(tài)勢��,解決控制執(zhí)行部件部署問題并給出控制策略以及對其進(jìn)行效果評(píng)價(jià)����,有效指導(dǎo)了管理員對網(wǎng)絡(luò)安全的控制����。第二章介紹綜合預(yù)警系統(tǒng)設(shè)計(jì)框架��;第三章提出控制策略�����;第四章實(shí)現(xiàn)系統(tǒng)提出實(shí)現(xiàn)方法。
2.網(wǎng)絡(luò)綜合預(yù)警系統(tǒng)概述
NSAS實(shí)現(xiàn)以上重要功能是因?yàn)闃?gòu)成的四個(gè)子系統(tǒng)相互協(xié)助��,下面將分別介紹四個(gè)子系統(tǒng)��。
網(wǎng)絡(luò)安全事件偵測點(diǎn):分布放置于多個(gè)網(wǎng)絡(luò)出入口�,負(fù)責(zé)檢測本地網(wǎng)絡(luò)的異常事件�����,并將引發(fā)流量異常相關(guān)的主機(jī)地址、事件類型��、嚴(yán)重程度等報(bào)警信息寫入本地?cái)?shù)據(jù)庫并發(fā)送給綜合分析子系統(tǒng)����。拓?fù)浒l(fā)現(xiàn)子系統(tǒng):負(fù)責(zé)對全局范圍內(nèi)的網(wǎng)絡(luò)進(jìn)行拓?fù)湫畔⑹占⑸陕酚蒊P級(jí)的網(wǎng)絡(luò)拓?fù)溥B結(jié)關(guān)系圖,該過程應(yīng)保證低負(fù)荷、無入侵性���、圖生成的高效性。最后,將網(wǎng)絡(luò)拓?fù)湫畔l(fā)送至綜合分析子系統(tǒng)和可視化子系統(tǒng)�。
異常綜合分析子系統(tǒng):綜合分析報(bào)警信息�����,量化網(wǎng)絡(luò)安全威脅指數(shù),提出控制策略�����,解決控制執(zhí)行部件如何部署問題����。
可視化顯示子系統(tǒng):基于網(wǎng)絡(luò)拓?fù)湫畔⒑途W(wǎng)絡(luò)事件綜合分析結(jié)果,顯示各級(jí)網(wǎng)絡(luò)拓?fù)鋱D����、網(wǎng)絡(luò)安全事件宏觀分布圖����、控制點(diǎn)分布圖����、事件最短傳播軌跡圖、安全態(tài)勢趨勢圖等,以便于網(wǎng)絡(luò)管理者進(jìn)行決策���。
3.網(wǎng)絡(luò)安全控制策略生成與評(píng)價(jià)
3.1基本定義
在層次化安全威脅量化和控制策略生成技術(shù)中用到一些基本名詞���,下面給出定義。
定義1安全事件:一次大規(guī)模�����、惡意網(wǎng)絡(luò)安全攻擊行動(dòng)���,如蠕蟲事件����。
定義2安全事件預(yù)警:在目標(biāo)網(wǎng)絡(luò)受到有威脅的安全攻擊前進(jìn)行報(bào)警,提醒目標(biāo)網(wǎng)絡(luò)進(jìn)行防護(hù),使目標(biāo)網(wǎng)絡(luò)免于或降低損失��。
定義3預(yù)警響應(yīng):及時(shí)作出分析��、報(bào)警和處理��,杜絕危害的近一步擴(kuò)大,也包括審計(jì)��、追蹤、報(bào)警和其他事前、事后處理。
定義4安全態(tài)勢感知與評(píng)估:考察網(wǎng)絡(luò)上所發(fā)生的安全事件及其對網(wǎng)絡(luò)造成的損害或影響���;識(shí)別、處理、綜合發(fā)生在重要設(shè)施或組織上的關(guān)鍵信息元素的能力����;具體過程分解為判斷是否發(fā)生攻擊��、發(fā)生哪種攻擊、誰發(fā)起的攻擊、所采取的響應(yīng)效果如何等����。
定義5異常事件:引發(fā)IDS報(bào)警并記錄下來的異常行為�。表示SE={EventTypeID,Type,Port,SIP,DIP,PktNum,ByteNum,AlertTime}.其中EventTypeID,Type,Port分別表示事件標(biāo)識(shí)符�,安全類型�,端口號(hào),根據(jù)EventTypeID可以從異常事件屬性表中得到該事件的破壞程度�。SIP,DIP表示源和目的端IP地址���,PktNum,ByteNum表示涉及的數(shù)據(jù)包數(shù)量和數(shù)據(jù)字節(jié)數(shù)�,AlerTime表示報(bào)警時(shí)間���。異常事件集合SES={se|SE(se)&&se.AlertTime>=StartTime&&se.AlertTime
定義6安全事件損害指數(shù)DSE:根據(jù)安全事件屬性表分類與優(yōu)先級(jí)劃分異常事件的攻擊損害度�。
定義7異常主機(jī)AH和異常路由器AR:AH指已經(jīng)被感染或被攻擊的主機(jī)。AH(h)={h|h.ip=se.DIP,se ∈SES}。異常路由器是指當(dāng)且僅當(dāng)存在主機(jī)h�,AH(h)而且r=GR(h)��。
定義8網(wǎng)關(guān)路由器和下屬主機(jī):主機(jī)h接入Internet的第一條路由器叫做網(wǎng)關(guān)路由器,用r=GR(h)表示�,而對應(yīng)的主機(jī)h叫做網(wǎng)關(guān)路由器r的下屬主機(jī)��,用h=AttachH(r)表示。
定義9邊界路由器:路由器r連接兩個(gè)及以上位于不同自治域系統(tǒng)路由器�����。
3.2控制點(diǎn)選取算法
由于傳統(tǒng)的控制點(diǎn)選取算法存在控制代價(jià)過高的問題���,所以本文針對異常路由器做大規(guī)模擴(kuò)散控制��,提出一種能有效減少控制代價(jià)即控制點(diǎn)數(shù)量的算法�����。當(dāng)路由器r下屬主機(jī)h感染蠕蟲后,r可以通過AccessList訪問控制列表限制源IP地址為h的數(shù)據(jù)包通過來遏制蠕蟲的傳播�,所以異常路由器本身也可以作為控制路由器��。當(dāng)兩個(gè)異常路由器有一個(gè)共同出口時(shí),可以在這個(gè)出口做AccessList配置直接控制這兩個(gè)異常點(diǎn)��,這樣能減少一個(gè)控制點(diǎn)����,出于這種的思想�����,提出一種公共控制點(diǎn)(Commonality Control Route簡稱CommCtrlRt)算法�����。
以教育網(wǎng)拓?fù)湫畔楸尘埃瑧?yīng)用上述算法�����,圖4-1給出應(yīng)用效果����。黑色節(jié)點(diǎn)代表共同控制路由器,紅色節(jié)點(diǎn)代表異常路由器�����,灰色點(diǎn)代表異常路由器同時(shí)本身也是該點(diǎn)的控制路由器�,很顯然只要在紅色節(jié)點(diǎn)和灰色節(jié)點(diǎn)上限制異常節(jié)點(diǎn)的訪問,就可以限制異常事件如蠕蟲的傳播和擴(kuò)散��。
3.3控制策略
選取控制點(diǎn)只是控制策略的第一步���,而在控制點(diǎn)上如何控制更是關(guān)鍵所在。本節(jié)將詳細(xì)介紹在控制路由器上如何部署才能有效控制異常點(diǎn)的傳播與擴(kuò)散��。
3.3.1路由器訪問控制
Cisco等路由器可以針對上下訪問控制�,即利用AcessList命令拒絕某些IP的通過。例如當(dāng)需要在路由器上禁止已經(jīng)被感染的機(jī)器192.168.1.2發(fā)送有害信息的話����,只需要執(zhí)行下述命令:
access-list 100 deny ip 192.168.1.2 255.255.255.255 any
當(dāng)需要在路由器上禁止某網(wǎng)段所有機(jī)器發(fā)送的IP包時(shí)�����,只要執(zhí)行下述命令就可以禁止網(wǎng)絡(luò)地址192.168.1.0網(wǎng)絡(luò)掩碼255.255.255.0的256個(gè)主機(jī)通過路由器�。access-list 100 deny ip 192.168.1.0 255.255.255.0 any基于上下文的訪問控制(CBAC)是Cisco IOS防火墻特性集中最顯著的新增特性。CBAC技術(shù)的重要性在于�����,它第一次使管理員能夠?qū)⒎阑饓χ悄軐?shí)現(xiàn)為一個(gè)集成化單框解決方案的一部分?,F(xiàn)在,緊密安全的網(wǎng)絡(luò)不僅允許今天的應(yīng)用通信�����,而且為未來先進(jìn)的應(yīng)用(例如多媒體和電視會(huì)議)作好了準(zhǔn)備����。CBAC通過嚴(yán)格審查源和目的地址,增強(qiáng)了使用眾所周知端口(例如ftp和電子郵件通信)的TCP和UDP應(yīng)用程序的安全。
3.3.2 CBCA控制應(yīng)用
當(dāng)網(wǎng)絡(luò)偵測點(diǎn)報(bào)警信息的源IP地址為主機(jī)h(P為異常事件攻擊端口)時(shí)�,先通過網(wǎng)絡(luò)拓?fù)湔业疆惓V鳈C(jī)h的網(wǎng)關(guān)路由器r�,然后在r上做訪問控制�����,凡是源IP地址為h且端口號(hào)為P的所有數(shù)據(jù)包被拒絕通過���,這樣就能防止h上異常事件的進(jìn)一步擴(kuò)散或者蔓延�,假定封鎖時(shí)間(2007-6-1)為一天����,則控制策略為:
1 Interface FastEthernet 0
2 ip access-grop 101 in
3 time-range deny-time
4 absolute start 0:00 1 6 2007 to 24:00 1 6 2007
5 ip access-list 101 deny ip IP 0 0.0.0.255 any eq P time-range deny-time
Time-range時(shí)間過后,該條訪問控制自動(dòng)解封,這減輕了管理員手動(dòng)解封的負(fù)擔(dān),而當(dāng)網(wǎng)絡(luò)安全態(tài)勢嚴(yán)重時(shí)��,可以增加封禁時(shí)間�。路由器作為網(wǎng)絡(luò)層最重要的設(shè)備,提供了許多手段來控制和維護(hù)網(wǎng)絡(luò)�����,基于時(shí)間的訪問表不僅可以控制網(wǎng)絡(luò)的訪問�����,還可以控制某個(gè)時(shí)間段的數(shù)據(jù)流量。
4.系統(tǒng)實(shí)現(xiàn)
NSAS主要分為后臺(tái)異常綜合分析Analysis和前臺(tái)結(jié)果可視化FrameVisual兩部分�����。
4.1后臺(tái)
在RedHat Linux 7.2下采用標(biāo)準(zhǔn)C實(shí)現(xiàn)了Analysis和GraphPartion�,編譯器為gcc,數(shù)據(jù)庫訪問接口為Pro*c.
Analysis為開機(jī)自動(dòng)運(yùn)行的后臺(tái)程序。它結(jié)合網(wǎng)絡(luò)邏輯拓?fù)鋱D����,分析報(bào)警數(shù)據(jù)庫中某種安全事件在網(wǎng)絡(luò)上的分布狀況�����,根據(jù)IP定位信息,顯示某種安全事件在地理位置的分布狀況���,并給出危害程度、傳播路徑和控制策略���。
4.2前臺(tái)
在WindowsXP下采用VC++6.0實(shí)現(xiàn)FrameVisual,用戶接口為圖形界面��,其中�����,數(shù)據(jù)輸入部分來自Linux的Analysis��。FrameVisual把平面可視化的拓?fù)湫畔⒁允噶繄D的形式顯示出來,并實(shí)現(xiàn)漫游��、放縮�;同時(shí)可視化Analysis的分析結(jié)果。在圖形用戶界面下�,用戶可以進(jìn)行任務(wù)的配置�、添加與刪除����,異常事件的瀏覽與同步更新��,后臺(tái)程序的啟動(dòng)、暫停���、繼續(xù)以及停止等。
結(jié)論
本文主要基于拓?fù)錅y量�����,針對大規(guī)模爆發(fā)的網(wǎng)絡(luò)安全事件如蠕蟲��,探討如何及早發(fā)現(xiàn)并有效控制類似事件的發(fā)生�����、擴(kuò)散等問題,解決了網(wǎng)絡(luò)預(yù)警系統(tǒng)中異常綜合分析子系統(tǒng)的異常事件分析�����、威脅量化�、控制策略生成等關(guān)鍵問題。由于該預(yù)警系統(tǒng)不受網(wǎng)絡(luò)規(guī)模的限制����,將在大規(guī)模網(wǎng)絡(luò)控制和管理上發(fā)揮重要作用�,具有廣泛的應(yīng)用前景���。
參考文獻(xiàn)
[1]黃梅珍.基于分布式入侵檢測系統(tǒng)的校園網(wǎng)絡(luò)安全解決方案.計(jì)算機(jī)與信息技術(shù)���,信息化建設(shè)��,2006,101-104
第6篇
對于具有開發(fā)性��、國際性和自由度的互聯(lián)網(wǎng)在增加應(yīng)用自由度的同時(shí),也存在著太多太復(fù)雜的安全隱患����,信息安全令人擔(dān)擾���。有人這樣說:“如果上網(wǎng)�����,你所受到的安全威脅將增大幾倍�;而如果不上網(wǎng),則你所得到的服務(wù)將減少幾倍”。因此����,可信網(wǎng)絡(luò)已經(jīng)成為當(dāng)前研究的熱點(diǎn)話題����。網(wǎng)絡(luò)應(yīng)為科研服務(wù)�,作為校園網(wǎng)在提高管理效率�、促進(jìn)教科研發(fā)展�、方便校園生活的同時(shí)��,網(wǎng)絡(luò)中的各種安全問題也層出不窮���,提高IT安全建設(shè)和管理水平已成為高校信息化建設(shè)中不容忽視的重要工作內(nèi)容��。
2 校園網(wǎng)安全面臨的困難
現(xiàn)在大多數(shù)校園網(wǎng)以Windows作為系統(tǒng)平臺(tái)�����,因?yàn)槠涔δ芴啵珡?fù)雜了(Windows操作系統(tǒng)就有上千萬行程序),致使操作系統(tǒng)都不可能做到完全正確�,所以其它系統(tǒng)的安全性能都是很難保證的��。對于具有更復(fù)雜環(huán)境的校園網(wǎng)來說,不但面臨著系統(tǒng)安全及其威脅,而且還具有自已的特殊性。一方面�,學(xué)生的好奇心強(qiáng)�����,一些學(xué)生社會(huì)責(zé)任感較輕,喜歡挑戰(zhàn);另一方面,校園網(wǎng)的網(wǎng)絡(luò)條件普遍較好,計(jì)算機(jī)來源又較為復(fù)雜�����,隱蔽的IP地址使之更容易實(shí)施網(wǎng)絡(luò)攻擊。同時(shí)����,教育信息化管理中長期形成的“重技術(shù)�����,輕管理”的思想,也使得校園網(wǎng)的安全形勢更加嚴(yán)峻。
隨著信息技術(shù)的不斷發(fā)展���,病毒傳播的途徑越來越多樣化���。對于校園網(wǎng)管理人員而言��,還不得不面對大面積的ARP欺騙病毒�,這對于用戶群龐大而導(dǎo)致可控性和有序性很差的校園網(wǎng)提出了巨大的挑戰(zhàn)��,構(gòu)建校園網(wǎng)絡(luò)應(yīng)急響應(yīng)機(jī)制迫在眉睫�。
3 校園網(wǎng)應(yīng)急響應(yīng)機(jī)制的建立
2007年6-7月間�,由教育部科技發(fā)展中心主辦、中國教育網(wǎng)絡(luò)雜志承辦的“2007教育行業(yè)信息安全大會(huì)”在北京等地召開�����。會(huì)議對“高校建立應(yīng)急響應(yīng)機(jī)制”進(jìn)行了專題問卷調(diào)查�����,調(diào)查結(jié)果顯示���,66%的高校未建立安全應(yīng)急響應(yīng)機(jī)制��,33%的高校計(jì)劃在年內(nèi)建立學(xué)校的安全應(yīng)急響應(yīng)機(jī)制。由此可見還有大部分高校在網(wǎng)絡(luò)安全管理方面還需加大力度��,僅憑單純的安全產(chǎn)品和簡單的防御技術(shù)是無法抵擋攻擊的�����,必須依靠應(yīng)急響應(yīng)等一套完整的服務(wù)管理機(jī)制���,建立其相應(yīng)的流程�����,通過加強(qiáng)學(xué)習(xí)努力提高隊(duì)伍的技術(shù)水平及響應(yīng)能力��,從技術(shù)和管理兩個(gè)維度保證網(wǎng)絡(luò)安全����。
校園網(wǎng)應(yīng)急響應(yīng)是指在校園網(wǎng)內(nèi)行使CERT/CC(計(jì)算機(jī)緊急響應(yīng)小組及其協(xié)調(diào)中心)的職能��,對校園網(wǎng)內(nèi)的各網(wǎng)絡(luò)應(yīng)用部門和用戶提供網(wǎng)絡(luò)安全事件的快速響應(yīng)或技術(shù)支持服務(wù)�����,也對校園網(wǎng)內(nèi)的各接入單位及用戶提供安全事件響應(yīng)相關(guān)的咨詢服務(wù)�。校園網(wǎng)應(yīng)急響應(yīng)組的主要職能是:對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全事件一是進(jìn)行緊急反應(yīng)��,盡快恢復(fù)系統(tǒng)或網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)���。二是要使系統(tǒng)和網(wǎng)絡(luò)設(shè)施所遭受的破壞最小化�。三是對影響系統(tǒng)和網(wǎng)絡(luò)安全的漏洞及防治措施進(jìn)行通報(bào)��,對安全風(fēng)險(xiǎn)進(jìn)行評(píng)估等���。
比較完善的網(wǎng)絡(luò)安全機(jī)制�,應(yīng)包括網(wǎng)絡(luò)安全服務(wù)����、網(wǎng)絡(luò)安全管理和用戶安全意識(shí)三方面。因此��,校園網(wǎng)應(yīng)急響應(yīng)組依據(jù)其職責(zé)不同分為以下三個(gè)安全工作小組��。
(1)事件處理工作小組及職能:主要負(fù)責(zé)安全事件的應(yīng)急與救援�、事件的分析��、安全警報(bào)的等�����。主要職能是服務(wù)�,制定和實(shí)施校園網(wǎng)安全策略及網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急響應(yīng)預(yù)案;監(jiān)測網(wǎng)絡(luò)運(yùn)行日常狀態(tài),及時(shí)安全公告����、安全建議和安全警報(bào)���,當(dāng)發(fā)生了安全事件時(shí)及時(shí)向CERT熱線響應(yīng)��;解答用戶的安全方面的咨詢;定期對網(wǎng)內(nèi)用戶進(jìn)行風(fēng)險(xiǎn)評(píng)估等�。
(2)技術(shù)研發(fā)工作小組及職能:主要通過研發(fā)����,尋求安全漏洞的解決方案����,應(yīng)急處理的信息與技術(shù)支持平臺(tái)。主要職能是安全研究�,研究內(nèi)容是校園網(wǎng)常用網(wǎng)絡(luò)攻擊技術(shù)及防范��。
(3)教育培訓(xùn)工作小組及職能:建立應(yīng)急處理服務(wù)隊(duì)伍,通過各種形式的培訓(xùn)提高全校師生的網(wǎng)絡(luò)安全意識(shí)����,加強(qiáng)師生行為安全�。主要職能是宣傳教育�,對校園網(wǎng)用戶進(jìn)行安全知識(shí)的教育與網(wǎng)絡(luò)安全技術(shù)培訓(xùn),使其提高自我保護(hù)意識(shí),自覺關(guān)注網(wǎng)絡(luò)上最新的病毒和黑客攻擊,自主解決網(wǎng)絡(luò)安全問題����。
應(yīng)急響應(yīng)是全方位的工作�����,再好的經(jīng)驗(yàn)也是具有不可復(fù)制性��,無論建立何種模式的機(jī)制��,最重要的是要與高校網(wǎng)絡(luò)自身特點(diǎn)相結(jié)合,建立有自身特色的應(yīng)急響應(yīng)機(jī)制并在實(shí)踐過程中不斷改進(jìn)和完善�。一個(gè)良好的響應(yīng)機(jī)制要技術(shù)力量到位���、部門責(zé)任明確���、合作流程清晰�,并遵循可行性�����、高效率����、高效益和低風(fēng)險(xiǎn)的原則。因此我們應(yīng)通過加強(qiáng)主動(dòng)性,使安全故障的應(yīng)急響應(yīng)能力從報(bào)警向預(yù)警的道路上邁出堅(jiān)實(shí)的步伐�,為從容不迫應(yīng)對網(wǎng)絡(luò)突發(fā)安全事件打下基礎(chǔ)����。
第7篇
關(guān)鍵字:信息系統(tǒng)信息安全身份認(rèn)證安全檢測
一��、目前信息系統(tǒng)技術(shù)安全的研究
1.信息安全現(xiàn)狀分析
隨著信息化進(jìn)程的深入���,信息安全己經(jīng)引起人們的重視����,但依然存在不少問題����。一是安全技術(shù)保障體系尚不完善����,許多企業(yè)、單位花了大量的金錢購買了信息安全設(shè)備,但是技術(shù)保障不成體系��,達(dá)不到預(yù)想的目標(biāo):二是應(yīng)急反應(yīng)體系沒有經(jīng)?��;?����、制度化:三是企業(yè)��、單位信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后�����。
2003年5月至2004年5月�,在7072家被調(diào)查單位中有4057家單位發(fā)生過信息網(wǎng)絡(luò)安全事件,占被調(diào)查總數(shù)的58%�����。其中���,發(fā)生過1次的占總數(shù)的22%,2次的占13%,3次以上的占23%�,此外,有7%的調(diào)查對象不清楚是否發(fā)生過網(wǎng)絡(luò)安全事件�����。從發(fā)生安全事件的類型分析�����,遭受計(jì)算機(jī)病毒、蠕蟲和木馬程序破壞的情況最為突出����,占安全事件總數(shù)的79%��,其次是垃圾郵件,占36%���,拒絕服務(wù)、端口掃描和篡改網(wǎng)頁等網(wǎng)絡(luò)攻擊情況也比較突出��,共占到總數(shù)的43%.
調(diào)查結(jié)果表明�,造成網(wǎng)絡(luò)安全事件發(fā)生的主要原因是安全管理制度不落實(shí)和安全防范意識(shí)薄弱。其中�,由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的“%����,登錄密碼過于簡單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%.
對于網(wǎng)絡(luò)安全管理情況的調(diào)查:調(diào)查表明����,近年來,使用單位對信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高,80%的被調(diào)查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織,有2%的單位請信息安全服務(wù)企業(yè)提供專業(yè)化的安全服務(wù)���。調(diào)查表明�,認(rèn)為單位信息網(wǎng)絡(luò)安全防護(hù)能力“較高”和“一般”的比較多����,分別占44%。但是�,被調(diào)查單位也普遍反映用戶安全觀念薄弱����、安全管理員缺乏培訓(xùn)��、安全經(jīng)費(fèi)投入不足和安全產(chǎn)品不能滿足要求等問題,也說明目前安全管理水平和社會(huì)化服務(wù)的程度還比較低��。
2.企業(yè)信息安全防范的任務(wù)
信息安全的任務(wù)是多方面的�,根據(jù)當(dāng)前信息安全的現(xiàn)狀,制定信息安全防范的任務(wù)主要是:
從安全技術(shù)上��,進(jìn)行全面的安全漏洞檢測和分析��,針對檢測和分析的結(jié)果制定防范措施和完整的解決方案;正確配置防火墻����、網(wǎng)絡(luò)防病毒軟件���、入侵檢測系統(tǒng)��、建立安全認(rèn)證系統(tǒng)等安全系統(tǒng)�����。
從安全管理上,建立和完善安全管理規(guī)范和機(jī)制,切實(shí)加強(qiáng)和落實(shí)安全管理制度��,增強(qiáng)安全防范意識(shí)��。
信息安全防范要確保以下幾方面的安全����。網(wǎng)絡(luò)安全:保障各種網(wǎng)絡(luò)資源(資源���、實(shí)體��、載體)穩(wěn)定可靠地運(yùn)行�、受控合法地使用�。信息安全:保障存儲(chǔ)、傳輸��、應(yīng)用的機(jī)密性(Confidentiality)�����、完整性(Integrity)、抗否認(rèn)性(non-Repudiation),可用性(Availability)��。其他安全:病毒防治����、預(yù)防內(nèi)部犯罪。
二����、信息系統(tǒng)常見技術(shù)安全漏洞與技術(shù)安全隱患
每個(gè)系統(tǒng)都有漏洞����,不論你在系統(tǒng)安全性上投入多少財(cái)力�����,攻擊者仍然可以發(fā)現(xiàn)一些可利用的特征和配置缺陷�。發(fā)現(xiàn)一個(gè)已知的漏洞����,遠(yuǎn)比發(fā)現(xiàn)一個(gè)未知漏洞要容易的多,這就意味著:多數(shù)攻擊者所利用的都是常見的漏洞�。這樣的話����,采用適當(dāng)?shù)墓ぞ?�,就能在黑客利用這些常見漏洞之前���,查出網(wǎng)絡(luò)的薄弱之處�����。漏洞大體上分為以下幾大類:
(1)權(quán)限攻擊。攻擊者無須一個(gè)賬號(hào)登錄到本地直接獲得遠(yuǎn)程系統(tǒng)的管理員權(quán)限����,通常通過攻擊以root身份執(zhí)行的有缺陷的系統(tǒng)守護(hù)進(jìn)程來完成���。漏洞的絕大部分來源于緩沖區(qū)溢出�,少部分來自守護(hù)進(jìn)程本身的邏輯缺陷�。
(2)讀取受限文件。攻擊者通過利用某些漏洞�,讀取系統(tǒng)中他應(yīng)該沒有權(quán)限的文件�����,這些文件通常是安全相關(guān)的。這些漏洞的存在可能是文件設(shè)置權(quán)限不正確��,或者是特權(quán)進(jìn)程對文件的不正確處理和意外dumpcore使受限文件的一部份dump到了core文件中.
(3)拒絕服務(wù)���。攻擊者利用這類漏洞�,無須登錄即可對系統(tǒng)發(fā)起拒絕服務(wù)攻擊,使系統(tǒng)或相關(guān)的應(yīng)用程序崩潰或失去響應(yīng)能力����。這類漏洞通常是系統(tǒng)本身或其守護(hù)進(jìn)程有缺陷或設(shè)置不正確造成的�。
(4)口令恢復(fù)��。因?yàn)椴捎昧撕苋醯目诹罴用芊绞?,使攻擊者可以很容易的分析出口令的加密方法����,從而使攻擊者通過某種方法得到密碼后還原出明文來。
(5)服務(wù)器信息泄露�。利用這類漏洞�����,攻擊者可以收集到對于進(jìn)一步攻擊系統(tǒng)有用的信息���。這類漏洞的產(chǎn)生主要是因?yàn)橄到y(tǒng)程序有缺陷��,一般是對錯(cuò)誤的不正確處理�����。
漏洞的存在是個(gè)客觀事實(shí),但漏洞只能以一定的方式被利用,每個(gè)漏洞都要求攻擊處于網(wǎng)絡(luò)空間一個(gè)特定的位置��,因此按攻擊的位置劃分�����,可能的攻擊方式分為以下四類:物理接觸����、主機(jī)模式��、客戶機(jī)模式�����、中間人方式。
三��、信息系統(tǒng)的安全防范措施
1.防火墻技術(shù)
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)�,越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中,尤其以接入Internet網(wǎng)絡(luò)為甚�����。
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合���。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口�����,能根據(jù)企業(yè)的安全政策控制(允許����、拒絕��、監(jiān)測)出入網(wǎng)絡(luò)的信息流��,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施�����。在邏輯上����,防火墻是一個(gè)分離器,一個(gè)限制器�,也是一個(gè)分析器�,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)��,保證了內(nèi)部網(wǎng)絡(luò)的安全�。
防火墻是網(wǎng)絡(luò)安全的屏障:一個(gè)防火墻(作為阻塞點(diǎn)�、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻��,所以網(wǎng)絡(luò)環(huán)境變得更安全���。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略:通過以防火墻為中心的安全方案配置�,能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì):如果所有的訪問都經(jīng)過防火墻��,那么����,防火墻就能記錄下這些訪問并做出日志記錄���,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)��。防止內(nèi)部信息的外泄:通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分�����,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響���。除了安全作用,有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN��。通過VPN��,將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)S米泳W(wǎng)����,有機(jī)地聯(lián)成一個(gè)整體����。不僅省去了專用通信線路,而且為信息共享提供了技術(shù)保障�。
防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型�����,但總體來講可分為二大類:分組過濾、應(yīng)用��。
第8篇
事件發(fā)生以來����,業(yè)界反應(yīng)極為迅速���,一批網(wǎng)絡(luò)安全企業(yè)和科研單位通過官方網(wǎng)站和社交媒體等多種渠道���,不斷更新威脅動(dòng)態(tài)���,共享技術(shù)情報(bào),及時(shí)技術(shù)保護(hù)措施和應(yīng)對方案�;政府部門和專業(yè)機(jī)構(gòu)也及時(shí)公告和處置指南�,增進(jìn)了社會(huì)公眾的關(guān)注度��,加強(qiáng)了對基本防護(hù)信息的認(rèn)知�,降低了本次事件的影響程度�。由于各方應(yīng)對及時(shí),“永恒之藍(lán)”勒索蠕蟲爆發(fā)在5月13日達(dá)到高峰后��,感染率快速下降�����,周一上班并未出現(xiàn)更大規(guī)模的爆發(fā)�,總體傳播感染趨勢得到快速控制��。事件過后�����,對網(wǎng)絡(luò)安全行業(yè)敲響了警鐘,也有必要對這次事件進(jìn)行經(jīng)驗(yàn)總結(jié)��,現(xiàn)將對勒索蠕蟲病毒事件的一些思考分享出來�。
“永恒之藍(lán)”事件回溯
2017年4月期間,微軟以及國內(nèi)的主要安全公司都已經(jīng)提示客戶升級(jí)微軟的相關(guān)補(bǔ)丁修復(fù)“永恒之藍(lán)”漏洞�,部分IPS技術(shù)提供廠商也提供了IPS規(guī)則阻止利用“永恒之藍(lán)“的網(wǎng)絡(luò)行為��;(預(yù)警提示)
2017年5月12日下午,病毒爆發(fā)���;(開始)
2017年5月12日爆發(fā)后幾個(gè)小時(shí)�,大部分網(wǎng)絡(luò)安全廠商包括360企業(yè)安全、安天、亞信安全���、深信服等均發(fā)出防護(hù)通告,提醒用戶關(guān)閉445等敏感端口;(圍堵)
2017年5月13日��,微軟總部決定公開已停服的XP特別安全補(bǔ)?。粐鴥?nèi)瑞星�����、360企業(yè)安全�、騰訊、深信服�����、藍(lán)盾等均推出病毒免疫工具�,用于防御永恒之藍(lán)病毒;(補(bǔ)漏)
2017年5月13日晚���,來自英國的網(wǎng)絡(luò)安全工程師分析了其行為,注冊了MalwareTech域名,使勒索蠕蟲攻擊暫緩了攻擊的腳步���;(分析)
2017年5月15日,廠商陸續(xù)“文件恢復(fù)”工具,工作機(jī)制本質(zhì)上是采用“刪除文件”恢復(fù)原理/機(jī)制,即恢復(fù)“非粉碎性刪除文件”;(刪除文件恢復(fù))
2017年5月20日,阿里云安全團(tuán)隊(duì)推出“從內(nèi)存中提取私鑰”的方法����,試圖解密加密文件�;生效的前提是中毒后電腦沒重啟�、中毒后運(yùn)行時(shí)間不能過長(否則會(huì)造成粉碎性文件刪除);(僥幸解密恢復(fù))
2017年5月20日之后,亞信安全等網(wǎng)絡(luò)安全公司推出基于該病毒行為分析的病毒防護(hù)工具��,用于預(yù)防該病毒變種入侵�����;(未知變種預(yù)防)
2017年6月2日,國內(nèi)網(wǎng)絡(luò)安全企業(yè)找到了簡單靈活的��、可以解決類似網(wǎng)絡(luò)攻擊(勒索病毒)方法的防護(hù)方案��,需要進(jìn)一步軟件開發(fā)��。
事件處理顯示我國網(wǎng)絡(luò)安全能力提升
(一)網(wǎng)絡(luò)安全產(chǎn)業(yè)有能力應(yīng)對這次“永恒之藍(lán)”勒索蠕蟲事件
早在4月15日,NSA泄漏“永恒之藍(lán)”利用工具,國內(nèi)不少主力網(wǎng)絡(luò)安全企業(yè)就針對勒索軟件等新安全威脅進(jìn)行了技術(shù)和產(chǎn)品的準(zhǔn)備����,例如深信服等部分企業(yè)就提取了“永恒之藍(lán)”的防護(hù)規(guī)則��,并部分升級(jí)產(chǎn)品,還有部分企業(yè)識(shí)別并提前向客戶和社會(huì)了預(yù)警信息,例如�����,在這次事件爆發(fā)時(shí),亞信安全等網(wǎng)絡(luò)安全企業(yè)保證了客戶的“零損失”。
事件發(fā)生后�����,國內(nèi)網(wǎng)絡(luò)安全企業(yè)積極行動(dòng)�,各主要網(wǎng)絡(luò)安全企業(yè)都進(jìn)行了緊急動(dòng)員,全力應(yīng)對WannaCry/Wcry等勒索病毒及其種的入侵,幫助受到侵害的客戶盡快恢復(fù)數(shù)據(jù)和業(yè)務(wù)�����,盡量減少損失��。同時(shí)��,也積極更新未受到侵害客戶的系統(tǒng)和安全策略,提高其防護(hù)能力。360企業(yè)安全集團(tuán)���、安天等公司及時(shí)病毒防范信息,并持續(xù)更新補(bǔ)丁工具。此次“永恒之藍(lán)” 勒索蠕蟲被迅速遏制�,我國網(wǎng)絡(luò)安全企業(yè)發(fā)揮了重要作用���,幫助客戶避免被病毒侵害而遭受損失,幫助受到感染的客戶最大限度地減少損失。
(二)網(wǎng)絡(luò)安全防護(hù)組織架構(gòu)體系科學(xué)����、組織協(xié)調(diào)得力
隨著《中國人民共和國網(wǎng)絡(luò)安全法》的頒布實(shí)施����,我國已經(jīng)初步建立了一個(gè)以網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)和監(jiān)督管理�����,以工信���、公安��、保密等其他相關(guān)部門依法在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作的管理體系。既統(tǒng)籌協(xié)調(diào)����、又各自分工�����,我國的網(wǎng)絡(luò)安全管理體系在應(yīng)對此次事件中發(fā)揮了重要作用。
依照相關(guān)法律規(guī)范����,在有關(guān)部門指導(dǎo)下�����,眾多網(wǎng)信企業(yè)與國家網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)構(gòu)積極協(xié)同,快速開展威脅情報(bào)�、技術(shù)方案���、通道、宣傳資源���、客戶服務(wù)等方面的協(xié)作,有效地遏制住了事態(tài)發(fā)展�、減少了損失�。
安全事件暴露出的問題
(一)網(wǎng)絡(luò)安全意識(shí)不強(qiáng)���,對安全威脅(漏洞)重視不夠
4月14日����,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一個(gè)攻擊框架和多個(gè)Windows 漏洞利用工具���。攻擊者利用這些漏洞可以遠(yuǎn)程獲取 Windows 系統(tǒng)權(quán)限并植入后門。
針對此次泄露的漏洞�����,微軟提前了安全公告 MS17-010���,修復(fù)了泄露的多個(gè) SMB 遠(yuǎn)程命令執(zhí)行漏洞。國內(nèi)網(wǎng)絡(luò)安全廠商也提前了針對此次漏洞的安全公告和安全預(yù)警�。但是國內(nèi)大部分行業(yè)及企事業(yè)單位并沒有給予足夠的重視�����,沒有及時(shí)對系統(tǒng)打補(bǔ)丁,導(dǎo)致“永恒之藍(lán)”大范圍爆發(fā)后�����,遭受到“永恒之藍(lán)”及其變種勒索軟件的攻擊��,數(shù)據(jù)被挾持勒索�,業(yè)務(wù)被中斷�����。
在服務(wù)過程中發(fā)現(xiàn),大量用戶沒有“數(shù)據(jù)備份”的習(xí)慣�����,這些用戶遭受“永恒之藍(lán)”攻擊侵入后�,損失很大。
(二)安全技術(shù)有待提高(安全攻防工具)
繼2016年8月份黑客組織 Shadow Brokers 放出第一批 NSA“方程式小組”內(nèi)部黑客工具后,2017年4月14日����,Shadow Brokers 再次公布了一批新的 NSA 黑客工具����,其中包含了一個(gè)攻擊框架和多個(gè)Windows 漏洞利用工具�。攻擊者利用這些漏洞可以遠(yuǎn)程獲取 Windows 系統(tǒng)權(quán)限并植入后門。
目前,我國在網(wǎng)絡(luò)安全攻防工具方面的研發(fā)與歐美國家相比還存在較大差距,我國在網(wǎng)絡(luò)安全漏洞分析、安全防護(hù)能力上需進(jìn)一步加強(qiáng)���。勒索蠕蟲入侵一些行業(yè)和單位表明不少單位的安全運(yùn)維水平較低。
實(shí)際上,防御這次勒索蠕蟲攻擊并不需要特別的網(wǎng)絡(luò)安全新技術(shù)����,各單位只需要踏踏實(shí)實(shí)地做好網(wǎng)絡(luò)安全運(yùn)維工作就可以基本避免受到侵害��。具體而言,各單位切實(shí)落實(shí)好安全管理的基礎(chǔ)性工作――漏洞閉環(huán)管理和防火墻或網(wǎng)絡(luò)核心交換設(shè)備策略最小化就可以基本防御此次安全事件。
在漏洞管理中運(yùn)用系統(tǒng)論的觀點(diǎn)和方法���,按照時(shí)間和工作順序,通過引入過程反饋機(jī)制��,實(shí)現(xiàn)整個(gè)管理鏈條的閉環(huán)銜接�。也就是運(yùn)用PDCA的管理模式,實(shí)現(xiàn)漏洞管理中��,計(jì)劃���、實(shí)施��、檢查、改進(jìn)各工作環(huán)節(jié)的銜接����、疊加和演進(jìn)��。要盡力避免重發(fā)現(xiàn)、輕修復(fù)的情況出現(xiàn)�����。及時(shí)總結(jié)問題處置經(jīng)驗(yàn)�����,進(jìn)行能力和經(jīng)驗(yàn)積累�,不斷優(yōu)化安全管理制度體系��,落實(shí)嚴(yán)格��、明確的責(zé)任制度。需要從脆弱性管理的高度��,對系統(tǒng)和軟件補(bǔ)丁���、配置缺陷����、應(yīng)用系統(tǒng)問題�、業(yè)務(wù)邏輯缺陷等問題進(jìn)行集中管理�����。通過這些規(guī)范����、扎實(shí)的工作�����,切實(shí)地提升安全運(yùn)維能力。
基礎(chǔ)工作做到位�����,防護(hù)能力確保了�����,可以有效避免大量網(wǎng)絡(luò)安全事件���。
對提升網(wǎng)絡(luò)安全防護(hù)能力的建議
(一)完善隔離網(wǎng)的縱深防御�����,內(nèi)網(wǎng)沒有免死金牌!
這次事件的爆發(fā)也反映出不少行業(yè)和單位的網(wǎng)絡(luò)安全管理意識(shí)陳舊落后��。部分決策者和運(yùn)維管理人員盲目地認(rèn)為網(wǎng)絡(luò)隔離是解決安全問題最有效的方式��,簡單地認(rèn)為只要采取了隔離方案就可以高枕無憂��。一些單位在內(nèi)網(wǎng)中沒有設(shè)置有效的網(wǎng)絡(luò)安全防護(hù)手段,一旦被入侵�����,內(nèi)網(wǎng)可謂千瘡百孔�����、一瀉千里。部分單位的內(nèi)網(wǎng)甚至還缺乏有效的集中化管理手段和工具����,對于網(wǎng)絡(luò)設(shè)備����、網(wǎng)絡(luò)拓?fù)?、?shù)據(jù)資產(chǎn)等不能夠?qū)崿F(xiàn)有效的統(tǒng)一管理,這給系統(tǒng)排查、業(yè)務(wù)恢復(fù)����、應(yīng)急響應(yīng)都帶來了很大的困難�,也大幅度地增加了響應(yīng)時(shí)間和響應(yīng)成本���。這次事件中一些使用網(wǎng)絡(luò)隔離手段的行業(yè)損失慘重�����,這種情況需要高度警醒�����。
在4?19重要講話中專門指出:“‘物理隔離’防線可被跨網(wǎng)入侵,電力調(diào)配指令可被惡意篡改��,金融交易信息可被竊取���,這些都是重大風(fēng)險(xiǎn)隱患��?�!?/p>
一定要破除“物理隔離就安全”的迷信���。隨著IT新技術(shù)的不斷涌現(xiàn)和信息化的深入發(fā)展,現(xiàn)實(shí)中的網(wǎng)絡(luò)邊界越來越模糊,業(yè)務(wù)應(yīng)用場景越來越復(fù)雜,IT 系統(tǒng)越來越龐大��,管理疏忽����、技術(shù)漏洞、人為失誤等都可能被利用,有多種途徑和方法突破隔離網(wǎng)的邊界阻隔�。網(wǎng)絡(luò)隔離不是萬能的�����,不能一隔了之,隔離網(wǎng)依然需要完善其縱深防御體系。
在網(wǎng)絡(luò)安全建設(shè)和運(yùn)營中����,一定要堅(jiān)持實(shí)事求是的科學(xué)精神���。在全社會(huì)���,特別是在政府�����、重點(diǎn)行業(yè)的企事業(yè)單位各級(jí)領(lǐng)導(dǎo)應(yīng)樹立正確的網(wǎng)絡(luò)安全觀仍是當(dāng)今重要的緊迫工作。
(二)強(qiáng)化協(xié)同協(xié)作,進(jìn)一步發(fā)揮國家隊(duì)的作用
面對日益復(fù)雜的網(wǎng)絡(luò)空間安全威脅,需要建立體系化的主動(dòng)防御能力,既有全網(wǎng)安全態(tài)勢感知和分析能力���,又有縱深的響應(yīng)和對抗能力。動(dòng)態(tài)防御、整體防御才能有效地應(yīng)對未知的安全威脅�。體系化能力建設(shè)的關(guān)鍵在于協(xié)同和協(xié)作�����,協(xié)同協(xié)作不僅僅是在網(wǎng)絡(luò)安全廠商之間、網(wǎng)信企業(yè)之間、網(wǎng)絡(luò)安全廠商與客戶之間�����、網(wǎng)信企業(yè)與專業(yè)機(jī)構(gòu)之間���,國家的相關(guān)部門也要參與其中����。國家的相關(guān)專業(yè)機(jī)構(gòu)���,如國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)等應(yīng)在其中承擔(dān)重要角色���。
在安全事件初期����,各種信息比較繁雜,并可能存在不準(zhǔn)確的信息�����。建議國家信息安全應(yīng)急響應(yīng)機(jī)構(gòu)作為國家隊(duì)的代表�,在出現(xiàn)重大安全事件時(shí),積極參與并給出一個(gè)更獨(dú)立��、權(quán)威的解決方案�,必要時(shí)可以購買經(jīng)過驗(yàn)證的第三方可靠解決方案,通過多種公眾信息平臺(tái)��,免費(fèi)提供給社會(huì)����,以快速高效地應(yīng)對大規(guī)模的網(wǎng)絡(luò)攻擊事件。
(三)進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全意識(shí)建設(shè)和管理體系建設(shè)
三分技術(shù)�、七分管理���、十二分落實(shí)。安全意識(shí)和責(zé)任制度是落的基本保障�����。
加強(qiáng)網(wǎng)絡(luò)安全檢查機(jī)制。加強(qiáng)對國家關(guān)鍵基礎(chǔ)設(shè)施的安全檢查�����,特別是可能導(dǎo)致大規(guī)模安全事件的高危安全漏洞的檢查���。定期開展網(wǎng)絡(luò)安全巡檢�,把網(wǎng)絡(luò)安全工作常態(tài)化。把安全保障工作的重心放在事前��,強(qiáng)化網(wǎng)絡(luò)安全運(yùn)營的理念和作業(yè)體系���,把網(wǎng)絡(luò)安全保障融入到日常工作和管理之中��。
采用科學(xué)的網(wǎng)絡(luò)安全建設(shè)模型和工具�,做好頂層設(shè)計(jì)���,推進(jìn)體系化和全生命周期的網(wǎng)絡(luò)安全建設(shè)與運(yùn)營��。盡力避免事后打補(bǔ)丁式的網(wǎng)絡(luò)安全建設(shè)模式�,把動(dòng)態(tài)發(fā)展���、整體的網(wǎng)絡(luò)安全觀念落實(shí)到信息化規(guī)劃����、建設(shè)和運(yùn)營之中。
安全建設(shè)不要僅考慮產(chǎn)品�,同時(shí)要重視制度�����、流程和規(guī)范的建設(shè)�,并要加強(qiáng)人的管理和培訓(xùn)。
加強(qiáng)網(wǎng)絡(luò)安全意識(shí)教育宣傳。通過互聯(lián)網(wǎng)���、微信、海報(bào)����、報(bào)刊等各種形式的宣傳�����,加強(qiáng)全民網(wǎng)絡(luò)安全意識(shí)教育的普及與重視。在中小學(xué)普及網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)和意識(shí)教育���。借助“國家網(wǎng)絡(luò)安全宣傳周”等重大活動(dòng),發(fā)動(dòng)社會(huì)資源進(jìn)行全民宣傳教育���,讓“網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民”的思想深入人心。
(四)進(jìn)一步加強(qiáng)整體能力建設(shè)
切實(shí)落實(shí)“4?19講話”精神,加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系�,建立全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢的國家能力與產(chǎn)業(yè)能力�����,增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。不僅要建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制,同時(shí)要積極推進(jìn)企業(yè)之間的網(wǎng)絡(luò)安全信息共享,探索產(chǎn)業(yè)組織在其中能夠發(fā)揮的積極作用。
加強(qiáng)網(wǎng)絡(luò)安全核心技術(shù)攻關(guān)。針對大型網(wǎng)絡(luò)安全攻擊��,開發(fā)具有普適性的核心網(wǎng)絡(luò)安全關(guān)鍵技術(shù)�����,例如可以有效防御各類數(shù)據(jù)破壞攻擊(數(shù)據(jù)刪除�、數(shù)據(jù)加密���、數(shù)據(jù)修改)的安全技術(shù)��。
完善國家網(wǎng)絡(luò)安全產(chǎn)業(yè)結(jié)構(gòu)。按照國家網(wǎng)絡(luò)安全戰(zhàn)略方針、戰(zhàn)略目標(biāo)���,加強(qiáng)網(wǎng)絡(luò)某些安全產(chǎn)品(安全檢測、數(shù)據(jù)防護(hù)等)的研發(fā)。
加強(qiáng)網(wǎng)絡(luò)安全高端人才培養(yǎng)。加強(qiáng)網(wǎng)絡(luò)安全高端人才培養(yǎng)��,特別是網(wǎng)絡(luò)安全管理����、技術(shù)專家培養(yǎng),尤其是網(wǎng)絡(luò)安全事件分析����、網(wǎng)絡(luò)安全應(yīng)急與防護(hù)���,密碼學(xué)等高級(jí)人才的培養(yǎng)���。
加強(qiáng)網(wǎng)絡(luò)安全攻防演練��。演練優(yōu)化安全協(xié)調(diào)機(jī)制����,提高安全技能和安全應(yīng)急響應(yīng)效率�。
(五)加強(qiáng)對網(wǎng)絡(luò)安全犯罪行為的懲罰
第9篇
安全態(tài)勢嚴(yán)峻
這是普華永道第19年開展此項(xiàng)網(wǎng)絡(luò)調(diào)研。11月29日,普華永道中國網(wǎng)絡(luò)安全與隱私保護(hù)服務(wù)合伙人冼嘉樂在一個(gè)媒體溝通會(huì)上對調(diào)查進(jìn)行了說明��。
調(diào)查顯示���,在過去一年中��,平均每家中國企業(yè)檢測到的信息安全事件數(shù)量高達(dá)2577起�����,是前次調(diào)查結(jié)果的兩倍��。相比之下�,在過去一年中����,全球各行業(yè)檢測到的信息安全事件平均數(shù)量卻有所下降,平均每家企業(yè)為4782起�����,比2014年減少3%��。與此同時(shí)���,中國受訪企業(yè)在信息安全方面的投資預(yù)算比去年減少了7.6%��。
盡管從平均每家受訪企業(yè)檢測到的安全事件數(shù)量來看,中國受訪企業(yè)要少于全球受訪企業(yè)的平均水平�����,但是中國受訪企業(yè)的安全事件處于上升趨勢���,而全球受訪企業(yè)卻處于下降趨勢��。這到底是什么原因呢�����?
冼嘉樂認(rèn)為,這是因?yàn)楹芏喟l(fā)達(dá)國家已經(jīng)過了互聯(lián)網(wǎng)的快速發(fā)展期��,網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展較早�,已經(jīng)形成比較穩(wěn)定的“你攻我防”的狀態(tài)。國內(nèi)網(wǎng)絡(luò)安全產(chǎn)業(yè)尚處于起步階段�����,而“互聯(lián)網(wǎng)+”戰(zhàn)略加速了中國傳統(tǒng)行業(yè)“企業(yè)觸網(wǎng)”的進(jìn)程��,以往缺乏相關(guān)經(jīng)驗(yàn)使得很多傳統(tǒng)企業(yè)受攻擊的數(shù)量大幅增加。他強(qiáng)調(diào)�,這種安全事件數(shù)量增加的態(tài)勢不僅出現(xiàn)在今年���,接下來的幾年還將持續(xù)���。
關(guān)注新技術(shù)的安全投入
值得注意的是���,88%的中國受訪企業(yè)認(rèn)為���,它們在信息安全上的投入受到了數(shù)字化戰(zhàn)略的影響��,投入的重點(diǎn)在那些與企業(yè)自身的商業(yè)戰(zhàn)略和安全監(jiān)管相匹配的網(wǎng)絡(luò)安全方面��。此外,31.5%的中國受訪企業(yè)表示有意在人工智能����、機(jī)器學(xué)習(xí)等先進(jìn)安全技術(shù)領(lǐng)域進(jìn)行投資��。
冼嘉樂認(rèn)為:“國內(nèi)一些有前瞻性的企業(yè)已經(jīng)在調(diào)整信息安全的投資方向,通過加大對先進(jìn)網(wǎng)絡(luò)信息安全技術(shù)的投入���,來強(qiáng)化其獨(dú)有的商業(yè)價(jià)值,為業(yè)務(wù)增長保駕護(hù)航�?����!?/p>
在商業(yè)機(jī)會(huì)和風(fēng)險(xiǎn)不斷變化的大環(huán)境中,加強(qiáng)物聯(lián)網(wǎng)中各個(gè)連接設(shè)備的網(wǎng)絡(luò)安全�����,以及利用云計(jì)算來部署企業(yè)關(guān)鍵應(yīng)用已成為企業(yè)探索的主要方向���。調(diào)查顯示��,57%的中國受訪企業(yè)正在為物聯(lián)網(wǎng)安全投資,而全球受訪企業(yè)的此數(shù)據(jù)為46%。與此同時(shí)�����,已有約45%的IT系統(tǒng)是基于云計(jì)算部署的���,而全球受訪企業(yè)的此數(shù)據(jù)為48%��。
第10篇
關(guān)鍵詞 灰色模型����;殘差改進(jìn)�����;神經(jīng)網(wǎng)絡(luò)
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:B
文章編號(hào):1671-489X(2014)08-0132-04
Application of Network Security Forecast based on Improved Grey Model for Electric Power Industry//GUO Zhengwei���, MA Wenlong �����, HAO Jing
Abstract The paper suggests a new forecasting model for the network security-related problems in the power industry to remedy the shortcomings of the traditional ones which fail to reflect the industry’s overall conditions and cannot accurately predict. The sample data is collected by analyzing the events concerning the network security. Then AHP (analytic hierarchy process) is applied to set up an indicator system to evaluate those data and form a sequential distribution of exceptional values. Based upon that, GM (Grey Model) is introduced to comprehensively predict the conditions of the industry’s information security, and then the prediction results are modified by using artificial neural network method. The simulating tests have also been carried out to prove that the proposed model with improved GM as the basis is viable and valid.
Key words grey model��; error improvement��; artificial neural network
1 引言
隨著電力行業(yè)信息化建設(shè)水平的不斷提高��,部門之間信息交換愈加頻繁��,網(wǎng)絡(luò)安全問題日益突出�,為行業(yè)信息化工作的深入開展埋下了諸多隱患����。并且作為重點(diǎn)行業(yè),用戶核心業(yè)務(wù)及敏感數(shù)據(jù)的安全保護(hù)�����,生產(chǎn)大區(qū)與信息大區(qū)分布范圍較廣但信息交換日益增多����,網(wǎng)絡(luò)結(jié)構(gòu)受地區(qū)限制而差異較大,網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜等諸多因素決定了行業(yè)網(wǎng)絡(luò)安全方面的特殊性�����。因此���,針對行業(yè)特點(diǎn),人們提出許多技術(shù)措施和管理手段。
但是由于網(wǎng)絡(luò)安全涉及多個(gè)方面的內(nèi)容[1-12],無法簡單地通過某一方面的數(shù)據(jù)而反映整體網(wǎng)絡(luò)安全狀況���,現(xiàn)有網(wǎng)絡(luò)安全機(jī)制出發(fā)點(diǎn)在于可視化的網(wǎng)絡(luò)管理維護(hù)、突發(fā)事件的應(yīng)急管理、風(fēng)險(xiǎn)評(píng)定等����,這些措施加強(qiáng)了網(wǎng)絡(luò)安全的管理����,但是缺乏對網(wǎng)絡(luò)安全的主動(dòng)預(yù)測��,以便提前遏制可能出現(xiàn)的各類安全問題�����,消除潛在風(fēng)險(xiǎn)����。因此,本文通過綜合日常運(yùn)維工作實(shí)際與各項(xiàng)考核指標(biāo)��,提出一種基于殘差改進(jìn)GM(1�,1)模型的網(wǎng)絡(luò)安全預(yù)測方法。
2 網(wǎng)絡(luò)安全預(yù)測方法與標(biāo)準(zhǔn)
本文所提出的信息風(fēng)險(xiǎn)預(yù)測方法��,以災(zāi)變灰預(yù)測[13-14]為基礎(chǔ)����,從以往的被動(dòng)防御方式,如防火墻�����、入侵檢測技術(shù)等�,轉(zhuǎn)換為主動(dòng)預(yù)測的方式,通過對以往網(wǎng)絡(luò)安全事件發(fā)生的統(tǒng)計(jì)分析�����,包括網(wǎng)絡(luò)安全事件發(fā)生的頻率�、數(shù)量[15]、類型以及威脅程度等多個(gè)方面���,得出原始序列并指定閾值,構(gòu)造異常序列與時(shí)分布映射�����,通過對時(shí)分布序列的GM(1����,1)建模�,對異常值時(shí)分布作預(yù)測,使運(yùn)維管理人員、網(wǎng)絡(luò)及軟件工程師提前采取相應(yīng)的防范措施��,消除風(fēng)險(xiǎn)[16-18]��。
在結(jié)合信息系統(tǒng)安全評(píng)價(jià)考核指標(biāo)與日常運(yùn)行維護(hù)所反映出的主要問題后��,選擇出重要的樣本類型,具體參看圖1,確定權(quán)重。
3 網(wǎng)絡(luò)安全預(yù)測模型構(gòu)建
層次分析法 首先將預(yù)測參考指標(biāo)層次化[16]����,通過相互比較確定各指標(biāo)對于安全預(yù)測的重要程度����,構(gòu)造判斷矩陣�����,而后考察判斷矩陣對應(yīng)于特征根的特征向量是否在容許的范圍內(nèi)����,若通過了一致性檢驗(yàn)��,則再通過層次總排序來決定各個(gè)因素的優(yōu)先程度���,即對于網(wǎng)絡(luò)安全預(yù)測的權(quán)重值��。
GM(1�����,1)模型及災(zāi)變灰預(yù)測 如前所述,使用GM(1����,1)灰色預(yù)測模型,其基本形式為x(0)(k)+az(1)(k)=b,根據(jù)此基本形式�����,可以列出如下兩個(gè)矩陣:
Y=(x(0)(2)��,x(0)(3)���,x(0)(4)�����,……,x(0)(n))T
第11篇
關(guān)鍵詞:網(wǎng)絡(luò)安全 安全態(tài)勢建模 安全態(tài)勢生成 知識(shí)發(fā)現(xiàn)
網(wǎng)絡(luò)安全態(tài)勢感知在安全告警事件的基礎(chǔ)上提供統(tǒng)一的網(wǎng)絡(luò)安全高層視圖�,使安全管理員能夠快速準(zhǔn)確地把握網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)�,并以此為依據(jù)采取相應(yīng)的措施��。實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知��,需要在廣域網(wǎng)環(huán)境中部署大量的、多種類型的安全傳感器,來監(jiān)測目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)。通過采集這些傳感器提供的信息����,并加以分析�����、處理,明確所受攻擊的特征,包括攻擊的來源����、規(guī)模���、速度、危害性等�����,準(zhǔn)確地描述網(wǎng)絡(luò)的安全狀態(tài)���,并通過可視化手段顯示給安全管理員��,從而支持對安全態(tài)勢的全局理解和及時(shí)做出正確的響應(yīng)��。
1.網(wǎng)絡(luò)安全態(tài)勢建模
安全態(tài)勢建模的主要目的是構(gòu)建適應(yīng)于度量網(wǎng)絡(luò)安全態(tài)勢的數(shù)據(jù)模型,以支持安全傳感器的告警事件精簡�����、過濾和融合的通用處理過程�。用于安全態(tài)勢建模的數(shù)據(jù)源主要是分布式異構(gòu)傳感器采集的各種安全告警事件。網(wǎng)絡(luò)安全態(tài)勢建模過程是由多個(gè)階段組成的���。在初始的預(yù)處理階段,通過告警事件的規(guī)格化�,將收到的所有安全事件轉(zhuǎn)化為能夠被數(shù)據(jù)處理模塊理解的標(biāo)準(zhǔn)格式���。這些告警事件可能來自不同的傳感器���,并且告警事件的格式各異�,例如IDS的事件�����、防火墻日志����、主機(jī)系統(tǒng)日志等。規(guī)格化的作用是將傳感器事件的相關(guān)屬性轉(zhuǎn)換為一個(gè)統(tǒng)一的格式�����。我們針對不同的傳感器提供不同的預(yù)處理組件�����,將特定傳感器的信息轉(zhuǎn)換為預(yù)定義的態(tài)勢信息模型屬性值。根據(jù)該模型��,針對每個(gè)原始告警事件進(jìn)行預(yù)處理�,將其轉(zhuǎn)換為標(biāo)準(zhǔn)的格式,各個(gè)屬性域被賦予適當(dāng)?shù)闹?���。在態(tài)勢數(shù)據(jù)處理階段����,將規(guī)格化的傳感器告警事件作為輸入����,并進(jìn)行告警事件的精簡、過濾和融合處理����。其中����,事件精簡的目標(biāo)是合并傳感器檢測到的相同攻擊的一系列冗余事件�。典型的例子就是在端口掃描中,IDS可能對各端口的每個(gè)掃描包產(chǎn)生檢測事件����,通過維護(hù)一定時(shí)間窗口內(nèi)的事件流�,對同一來源���、同一目標(biāo)主機(jī)的同類事件進(jìn)行合并�����,以大大減少事件數(shù)量。事件過濾的目標(biāo)是刪除不滿足約束要求的事件����,這些約束要求是根據(jù)安全態(tài)勢感知的需要以屬性或者規(guī)則的形式存儲(chǔ)在知識(shí)庫中���。例如����,將關(guān)鍵屬性空缺或不滿足要求范圍的事件除去�,因?yàn)檫@些事件不具備態(tài)勢分析的意義。另外,通過對事件進(jìn)行簡單的確認(rèn)���,可以區(qū)分成功攻擊和無效攻擊企圖。在事件的過濾處理時(shí),無效攻擊企圖并不被簡單地丟棄,而是標(biāo)記為無關(guān)事件,因?yàn)榧词故菬o效攻擊也代表著惡意企圖,對最終的全局安全狀態(tài)會(huì)產(chǎn)生某種影響���。通過精簡和過濾,重復(fù)的安全事件被合并,事件數(shù)量大大減少而抽象程度增加�,同時(shí)其中蘊(yùn)含的態(tài)勢信息得到了保留�。事件融合功能是基于D-S證據(jù)理論提供的��,其通過將來自不同傳感器的�����、經(jīng)過預(yù)處理、精簡和過濾的事件引入不同等級(jí)的置信度,融合多個(gè)屬性對網(wǎng)絡(luò)告警事件進(jìn)行量化評(píng)判�����,從而有效降低安全告警事件的誤報(bào)率和漏報(bào)率���,并且可以為網(wǎng)絡(luò)安全態(tài)勢的分析�、推理和生成提供支持�。
2.網(wǎng)絡(luò)安全態(tài)勢生成
2.1知識(shí)發(fā)現(xiàn)的關(guān)聯(lián)規(guī)則提取
用于知識(shí)發(fā)現(xiàn)的數(shù)據(jù)來源主要有兩個(gè):模擬攻擊產(chǎn)生的安全告警事件集和歷史安全告警事件集。知識(shí)發(fā)現(xiàn)就是在這樣的告警事件集上發(fā)現(xiàn)和抽取出態(tài)勢關(guān)聯(lián)所需要的知識(shí)��。由于安全報(bào)警事件的復(fù)雜性,這個(gè)過程難以完全依賴于人工來完成?���?梢酝ㄟ^知識(shí)發(fā)現(xiàn)的方法��,針對安全告警事件集進(jìn)行模式挖掘、模式分析和學(xué)習(xí),以實(shí)現(xiàn)安全態(tài)勢關(guān)聯(lián)規(guī)則的提取���。
2.2安全告警事件精簡和過濾
通過實(shí)驗(yàn)觀察發(fā)現(xiàn),安全傳感器的原始告警事件集中存在大量無意義的頻繁模式,而且這些頻繁模式大多是與系統(tǒng)正常訪問或者配置問題相關(guān)的。如果直接在這樣的原始入侵事件集上進(jìn)行知識(shí)發(fā)現(xiàn)��,必然產(chǎn)生很多無意義的知識(shí)����。因此,需要以D-S證據(jù)理論為基礎(chǔ)建立告警事件篩選機(jī)制,根據(jù)告警事件的置信度進(jìn)行程序的統(tǒng)計(jì)分析��。首先���,利用程序自動(dòng)統(tǒng)計(jì)各類安全事件的分布情況���。然后�,利用D-S證據(jù)理論,通過精簡和過濾規(guī)則評(píng)判各類告警事件的重要性,來刪除無意義的事件�。
2.3安全態(tài)勢關(guān)聯(lián)規(guī)則提取
在知識(shí)發(fā)現(xiàn)過程中發(fā)現(xiàn)的知識(shí)���,通過加入關(guān)聯(lián)動(dòng)作轉(zhuǎn)化為安全態(tài)勢的關(guān)聯(lián)規(guī)則����,用于網(wǎng)絡(luò)安全態(tài)勢的在線關(guān)聯(lián)分析���。首先��,分析FP-Tree算法所挖掘的安全告警事件屬性間的強(qiáng)關(guān)聯(lián)規(guī)則,如果該規(guī)則所揭示的規(guī)律與某種正常訪問相關(guān)��,則將其加入刪除動(dòng)作����,并轉(zhuǎn)化成安全告警事件的過濾規(guī)則。接著�,分析Winepi算法所挖掘的安全告警事件間的序列關(guān)系���。如果這種序列關(guān)系與某種類型的攻擊相關(guān)�����,形成攻擊事件的組合規(guī)則,則增加新的安全攻擊事件���。最后,將形成的關(guān)聯(lián)規(guī)則轉(zhuǎn)化成形式化的規(guī)則編碼�����,加入在線關(guān)聯(lián)知識(shí)庫�。
3.網(wǎng)絡(luò)安全態(tài)勢生成算法
網(wǎng)絡(luò)安全態(tài)勢就是被監(jiān)察的網(wǎng)絡(luò)區(qū)域在一定時(shí)間窗口內(nèi)遭受攻擊的分布情況及其對安全目標(biāo)的影響程度。網(wǎng)絡(luò)安全態(tài)勢信息與時(shí)間變化�、空間分布均有關(guān)系��,對于單個(gè)節(jié)點(diǎn)主要表現(xiàn)為攻擊指數(shù)和資源影響度隨時(shí)間的變化,對于整個(gè)網(wǎng)絡(luò)區(qū)域則還表現(xiàn)為攻擊焦點(diǎn)的分布變化�。對于某一時(shí)刻網(wǎng)絡(luò)安全態(tài)勢的計(jì)算�,必須考慮一個(gè)特定的評(píng)估時(shí)間窗口T��,針對落在時(shí)間窗口內(nèi)的所有事件進(jìn)行風(fēng)險(xiǎn)值的計(jì)算和累加�。隨著時(shí)間的推移���,一些告警事件逐漸移出窗口���,而新的告警事件則進(jìn)入窗口�����。告警事件發(fā)生的頻度反映了安全威脅的程度。告警事件頻發(fā)時(shí)�����,網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)值迅速地累積增加;而當(dāng)告警事件不再頻發(fā)時(shí)���,風(fēng)險(xiǎn)值則逐漸地降低。首先�,需要根據(jù)融合后的告警事件計(jì)算網(wǎng)絡(luò)節(jié)點(diǎn)的風(fēng)險(xiǎn)等級(jí)���。主要考慮以下因素:告警置信度c�、告警嚴(yán)重等級(jí)s��、資源影響度m�。其中���,告警可信度通過初始定義和融合計(jì)算后產(chǎn)生�����;告警嚴(yán)重等級(jí)被預(yù)先指定�����,包含在告警信息中;資源影響度則是指攻擊事件對其目標(biāo)的具體影響程度�����,不同攻擊類別對不同資源造成的影響程度不同��,與具體配置、承擔(dān)的業(yè)務(wù)等有關(guān)。此外���,還應(yīng)考慮節(jié)點(diǎn)的安全防護(hù)等級(jí)Pn、告警恢復(fù)系數(shù)Rn等因素。
4.結(jié)束語
本文提出了一個(gè)基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢建模和生成框架�。在該框架的基礎(chǔ)上設(shè)計(jì)并實(shí)現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)����,系統(tǒng)支持網(wǎng)絡(luò)安全態(tài)勢的準(zhǔn)確建模和高效生成��。實(shí)驗(yàn)表明本系統(tǒng)具有統(tǒng)一的網(wǎng)絡(luò)安全態(tài)勢建模和生成框架�����;準(zhǔn)確構(gòu)建網(wǎng)絡(luò)安全態(tài)勢度量的形式模型;通過知識(shí)發(fā)現(xiàn)方法,有效簡化告警事件庫,挖掘頻繁模式和序列模式并轉(zhuǎn)化為態(tài)勢關(guān)聯(lián)規(guī)則��。
參考文獻(xiàn):
第12篇
計(jì)算機(jī)信息系統(tǒng)安全是一個(gè)動(dòng)態(tài)過程�����。美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司(ISS)對此提出P2DR模型��,其關(guān)鍵是Policy(策略)、Protection(防護(hù))、Detection(檢測)和Response(響應(yīng))四方面�。按照P2DR的觀點(diǎn)����,完整的動(dòng)態(tài)安全體系需要防護(hù)措施(如網(wǎng)絡(luò)或單機(jī)防火墻�����、文件加密、身份認(rèn)證��、操作系統(tǒng)訪問控制����、數(shù)據(jù)庫系統(tǒng)訪問控制等)、動(dòng)態(tài)檢測機(jī)制(入侵檢測�、漏洞掃描等)�、先進(jìn)的資源管理系統(tǒng)(及時(shí)發(fā)現(xiàn)問題并做出響應(yīng))���。
中國石油按照信息安全P2DR模型制定的信息安全系統(tǒng)體系結(jié)構(gòu)包括安全運(yùn)行中心�、網(wǎng)絡(luò)邊界管理系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入控制�、網(wǎng)絡(luò)管理系統(tǒng)����、病毒監(jiān)控與升級(jí)管理系統(tǒng)�����、系統(tǒng)加固與監(jiān)控管理系統(tǒng)�、CA認(rèn)證中心、密鑰管理與分發(fā)系統(tǒng)、數(shù)據(jù)庫防護(hù)系統(tǒng)���、容災(zāi)系統(tǒng)、內(nèi)容訪問監(jiān)控系統(tǒng)和電子郵件監(jiān)控系統(tǒng)。
中國石油廣域網(wǎng)安全基礎(chǔ)設(shè)施
防火墻系統(tǒng)
中國石油廣域網(wǎng)十分龐大,下屬單位很多�����,遍布全國�����,連通世界上很多國家的分支企業(yè)��。因此需要在網(wǎng)絡(luò)各個(gè)相連處部署強(qiáng)力防火墻,確保網(wǎng)絡(luò)的安全性。另外���,在區(qū)域網(wǎng)絡(luò)中心的服務(wù)器群前����,加兩臺(tái)防火墻,以負(fù)載均衡方式��,用千兆光纖連接到區(qū)域網(wǎng)絡(luò)中心路由器上�。在兩臺(tái)防火墻都正常工作情況下,可以提供約兩倍于單臺(tái)設(shè)備的性能�,即約4Gbps的防火墻吞吐量��,當(dāng)一臺(tái)防火墻出現(xiàn)故障時(shí),另一臺(tái)防火墻保證網(wǎng)絡(luò)不間斷運(yùn)行����,保障服務(wù)器群的高可用性���。
利用防火墻技術(shù)�����,能在內(nèi)外網(wǎng)之間提供安全保護(hù); 但有如下局限性: 入侵者可尋找防火墻可能敞開的后門進(jìn)行襲擊; 網(wǎng)絡(luò)結(jié)構(gòu)改變有時(shí)會(huì)造成防火墻安全策略失效,攻擊者可以繞防火墻實(shí)施攻擊; 入侵者可能來自防火墻內(nèi)部; 防火墻可能不能提供實(shí)時(shí)入侵檢測���。
入侵檢測系統(tǒng)
入侵檢測系統(tǒng)分為基于網(wǎng)絡(luò)和基于主機(jī)兩種類型?���;诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)對所在網(wǎng)段的IP數(shù)據(jù)包進(jìn)行分析監(jiān)測���,實(shí)時(shí)發(fā)現(xiàn)和跟蹤有威脅或隱患的網(wǎng)絡(luò)行為���?��;谥鳈C(jī)的入侵檢測系統(tǒng)安裝在需要保護(hù)的主機(jī)上,為關(guān)鍵服務(wù)提供實(shí)時(shí)保護(hù)。通過監(jiān)視來自網(wǎng)絡(luò)的攻擊�、非法闖入和異常進(jìn)程��,能實(shí)時(shí)檢測出攻擊,并做出切斷服務(wù)、重啟服務(wù)器進(jìn)程、發(fā)出警報(bào)、記錄入侵過程等動(dòng)作�。
入侵檢測在網(wǎng)絡(luò)中設(shè)置關(guān)鍵點(diǎn)�,收集信息�����,并加以分析�,查找違反安全策略的行為和遭到襲擊的跡象���。它是第二道安全閘門�����,對內(nèi)外攻擊和誤操作提供實(shí)時(shí)保護(hù)�,又不影響網(wǎng)絡(luò)性能�。其具體功能如下: 監(jiān)視、分析用戶及系統(tǒng)活動(dòng); 系統(tǒng)構(gòu)造和弱點(diǎn)審計(jì); 識(shí)別已知進(jìn)攻的活動(dòng)模式并向相關(guān)人員報(bào)警; 異常行為模式的統(tǒng)計(jì)分析; 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性; 操作系統(tǒng)的審計(jì)跟蹤管理�����,并識(shí)別用戶違反安全策略的行為�����。
中國石油12個(gè)區(qū)域網(wǎng)絡(luò)中心���,均配備入侵檢測系統(tǒng)�,監(jiān)控內(nèi)外網(wǎng)入侵行為。
漏洞掃描系統(tǒng)
漏洞掃描是自動(dòng)檢測遠(yuǎn)端或本地主機(jī)安全脆弱點(diǎn)的技術(shù)�����。它查詢TCP/IP端口�,并記錄目標(biāo)的響應(yīng)����,收集關(guān)于某些特定項(xiàng)目的有用信息,例如正在進(jìn)行的服務(wù)、擁有這些服務(wù)的用戶是否支持不記名登錄���、是否有某些網(wǎng)絡(luò)服務(wù)需要鑒別等。
漏洞掃描系統(tǒng)可安裝在便攜機(jī)中���,在網(wǎng)絡(luò)比較空閑時(shí)檢測。檢測方式可本地可遠(yuǎn)程; 可臨時(shí)檢測某網(wǎng)段����,也可固定檢測某網(wǎng)段�����,但是檢測范圍不可跨越防火墻。
查殺病毒系統(tǒng)
中國石油網(wǎng)絡(luò)上各個(gè)局域網(wǎng)普遍設(shè)立查殺病毒軟件服務(wù)器,不斷更新殺毒軟件�,及時(shí)向用戶機(jī)下推最新版本殺毒軟件�。大大減輕了病毒泛濫和造成的損失��。
網(wǎng)絡(luò)安全策略管理
中國石油全網(wǎng)提供統(tǒng)一安全策略���,各級(jí)分別部署��,從而提高全網(wǎng)整體安全。
企業(yè)網(wǎng)絡(luò)安全策略分為四個(gè)方面:檢測評(píng)估、體系結(jié)構(gòu)、管理措施和網(wǎng)絡(luò)標(biāo)準(zhǔn)�,并構(gòu)成動(dòng)態(tài)循環(huán)系統(tǒng)(圖1)����。安全檢測與評(píng)估隨著安全標(biāo)準(zhǔn)的提高而改進(jìn)��,評(píng)估結(jié)果是網(wǎng)絡(luò)體系結(jié)構(gòu)的完善的依據(jù)�,安全策略管理必須隨之改進(jìn)與增強(qiáng); 技術(shù)的進(jìn)步和網(wǎng)絡(luò)安全要求的提高���,促使網(wǎng)絡(luò)標(biāo)準(zhǔn)的完善與改進(jìn)��。
網(wǎng)絡(luò)安全檢測與評(píng)估涉及網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)操作系統(tǒng)���、應(yīng)用軟件、專業(yè)軟件��、數(shù)據(jù)庫��、電子商務(wù)��、Web網(wǎng)站、電子郵件等�����。安全體系結(jié)構(gòu)涉及物理����、場地、環(huán)境��、訪問控制���、數(shù)據(jù)傳輸與保存�、路由控制。安全管理措施涉及網(wǎng)絡(luò)設(shè)備����、軟件����、密鑰。
路由器和交換機(jī)策略管理是上述安全管理措施中的重要方面��。它們的策略維護(hù)通過訪問控制列表(ACL)實(shí)現(xiàn)�����。這種工作容易出錯(cuò),因而應(yīng)采用專用工具軟件集中管理��。所采用的管理軟件有管理設(shè)備ACL的WEB接口�,通過這個(gè)接口對IP過濾列表進(jìn)行編輯及下載,簡化了管理工作量���,實(shí)現(xiàn)了大型網(wǎng)絡(luò)路由器和交換機(jī)上策略參數(shù)的集中管理。
分系統(tǒng)設(shè)計(jì)
除了上述基礎(chǔ)設(shè)施外�,還必須有屬于“上層建筑”安全措施�。這便是分系統(tǒng)設(shè)計(jì)���。
安全運(yùn)行中心
中國石油信息系統(tǒng)地域分散����、規(guī)模龐大,與多個(gè)業(yè)務(wù)系統(tǒng)耦合性很強(qiáng)�,如何將現(xiàn)有安全系統(tǒng)納入統(tǒng)一管理平臺(tái)���,實(shí)現(xiàn)安全事件全局分析和動(dòng)態(tài)監(jiān)控���,是中國石油廣域網(wǎng)面臨的主要問題���。
建立安全運(yùn)行中心�����,實(shí)現(xiàn)對全網(wǎng)安全狀況的集中監(jiān)測、安全策略的統(tǒng)一配置管理��、統(tǒng)計(jì)分析各類安全事件��,并處理各種安全突發(fā)事件�。安全運(yùn)行中心不僅可以將不同類型安全產(chǎn)品實(shí)現(xiàn)統(tǒng)一管理����,還可以將網(wǎng)絡(luò)中不同位置����、不同系統(tǒng)中單一安全事件進(jìn)行收集、過濾���、關(guān)聯(lián)分析,得出網(wǎng)絡(luò)全局風(fēng)險(xiǎn)事件集,提供安全趨勢報(bào)告,并通過遠(yuǎn)程狀態(tài)監(jiān)控���、遠(yuǎn)程分發(fā)、實(shí)現(xiàn)快速響應(yīng),有效控制風(fēng)險(xiǎn)事件���。
安全運(yùn)行中心功能模塊包括安全配置模塊、網(wǎng)絡(luò)監(jiān)控模塊、內(nèi)容監(jiān)管模塊����、安全事件與預(yù)警模塊以及應(yīng)急響應(yīng)模塊�,具體功能模塊如圖2所示���。下邊介紹幾種主要功能����。
(1)安全配置管理
包括防火墻、入侵檢測、VPN等安全系統(tǒng)的安全規(guī)則����、選項(xiàng)和配置��,各種操作系統(tǒng)、數(shù)據(jù)庫�����、應(yīng)用等系統(tǒng)配置的安全設(shè)置�����、加固和優(yōu)化措施����?��?蓪?shí)現(xiàn)策略創(chuàng)建�����、更新�����、、學(xué)習(xí)和查詢。
(2)網(wǎng)絡(luò)監(jiān)控
模塊可提供對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)拓?fù)?����、服?wù)器��、應(yīng)用系統(tǒng)運(yùn)行情況的可視化監(jiān)控��,確定某個(gè)安全事件是否會(huì)發(fā)生,事件類型、影響程度和范圍�。預(yù)警: 對網(wǎng)絡(luò)設(shè)備����、安全設(shè)備�����、主機(jī)系統(tǒng)、服務(wù)器����、數(shù)據(jù)庫系統(tǒng)日志信息的收集����、集中存儲(chǔ)����、分析、管理���,及時(shí)發(fā)現(xiàn)安全事件,并做出相應(yīng)預(yù)警����。
(3)內(nèi)容監(jiān)管
內(nèi)容監(jiān)控����、內(nèi)容訪問監(jiān)控以及內(nèi)容傳播監(jiān)控��。
中國石油信息安全系統(tǒng)安全運(yùn)行中心由總部�、區(qū)域中心���、地區(qū)公司三級(jí)結(jié)構(gòu)組成�����。
總部級(jí): 制定統(tǒng)一安全配置�����,收集所有匯總上來的數(shù)據(jù)�����,并對其進(jìn)行統(tǒng)一分析���、管理����。通過這種逐級(jí)逐層多級(jí)化模式管理,達(dá)到對信息安全全方位防御的目的�。
區(qū)域中心級(jí): 執(zhí)行對管轄范圍內(nèi)所有地區(qū)公司安全運(yùn)行中心的監(jiān)控�,也可監(jiān)控區(qū)域內(nèi)的網(wǎng)絡(luò)安全��、主機(jī)安全�����、數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)安全等��,并向總部安全運(yùn)行中心上報(bào)相關(guān)數(shù)據(jù)����。
地區(qū)公司級(jí): 部署總部的統(tǒng)一安全配置,監(jiān)控地區(qū)公司內(nèi)部網(wǎng)絡(luò)��、主機(jī)���、數(shù)據(jù)庫����、應(yīng)用系統(tǒng)安全等,收集分析安全事件并做出及時(shí)響應(yīng)�,生成分析報(bào)告,定期向區(qū)域中心匯總。
網(wǎng)絡(luò)邊界管理系統(tǒng)
中國石油網(wǎng)絡(luò)按照其應(yīng)用性質(zhì)的不同和安全要求的不同,劃分為不同的安全域��。整個(gè)網(wǎng)絡(luò)安全符合木桶原則: 最低木板決定木桶裝水量; 網(wǎng)絡(luò)安全最薄弱環(huán)節(jié)決定整個(gè)網(wǎng)絡(luò)的安全性�����。
由于網(wǎng)絡(luò)中不可控制的接入點(diǎn)比較多����,導(dǎo)致全網(wǎng)受攻擊點(diǎn)明顯增多�。通過網(wǎng)絡(luò)邊界管理系統(tǒng)可以最大限度保護(hù)內(nèi)部業(yè)務(wù)數(shù)據(jù)的安全,其中重點(diǎn)保護(hù)與Internet直接連接的區(qū)域。
按照業(yè)務(wù)不同的安全程度要求�����,中國石油各個(gè)企業(yè)網(wǎng)絡(luò)劃分若干安全區(qū)域:
(1)業(yè)務(wù)區(qū)域: 企業(yè)重要信息集中在此���,這里有核心數(shù)據(jù)庫�����,可與相關(guān)單位交換信息����。
(2)生產(chǎn)區(qū)域: 主要指各煉化企業(yè)的生產(chǎn)網(wǎng)絡(luò)��,實(shí)現(xiàn)生產(chǎn)在線監(jiān)控和管理信息的傳遞�。
(3)辦公區(qū)域: 各單位的辦公網(wǎng)�,用戶訪問企業(yè)業(yè)務(wù)系統(tǒng)與互聯(lián)網(wǎng)、收發(fā)電子郵件等。
(4)對外服務(wù)區(qū): 通過因特網(wǎng)對外信息和進(jìn)行電子商務(wù)的區(qū)域�����,該區(qū)域日趨重要��。
(5)因特網(wǎng)接入?yún)^(qū): 因特網(wǎng)瀏覽信息、對外交流的窗口��,最易受攻擊��,要重點(diǎn)保護(hù)���。
通過邊界管理系統(tǒng)在中國石油各局域網(wǎng)邊界實(shí)施邊界管理�����,在內(nèi)部部署入侵檢測系統(tǒng)實(shí)施全面安全保護(hù),并在對外連接處和必要的部位部署防火墻進(jìn)行隔離����。
通過入侵檢測系統(tǒng)和防火墻聯(lián)動(dòng)�����,可以對攻擊行為實(shí)時(shí)阻斷��,提高安全防護(hù)的有效性。
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)
中國石油網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)分四部分: 策略服務(wù)器、客戶端平臺(tái)�����、聯(lián)動(dòng)設(shè)備和第三方服務(wù)器(圖3)��。
(1)安全策略服務(wù)器: 它是網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的管理與控制中心�,實(shí)現(xiàn)用戶管理��、安全策略管理�、安全狀態(tài)評(píng)估����、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能�����。
(2)安全客戶端平臺(tái): 它是安裝在用戶終端系統(tǒng)上的軟件���,可集成各種安全產(chǎn)品插件��,對用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及實(shí)施網(wǎng)絡(luò)安全策略�。
(3)安全聯(lián)動(dòng)設(shè)備: 它是企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)��,起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端���、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。安全管理系統(tǒng)管理平臺(tái)作為安全策略服務(wù)器�����,提供標(biāo)準(zhǔn)協(xié)議接口�����,支持同交換機(jī)��、路由器等各類網(wǎng)絡(luò)設(shè)備的安全聯(lián)動(dòng)。
(4)第三方服務(wù)器: 為病毒服務(wù)器����、補(bǔ)丁服務(wù)器等第三方網(wǎng)絡(luò)安全產(chǎn)品��,通過安全策略的設(shè)置實(shí)施,實(shí)現(xiàn)安全產(chǎn)品功能的整合�。
鏈接
中國石油廣域網(wǎng)安全設(shè)計(jì)原則
在中石油廣域網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)中應(yīng)遵循以下設(shè)計(jì)原則:
高度安全與良好性能兼顧: 安全與性能相互矛盾���,安全程度越高��,性能越受影響�����。任何事物沒有絕對安全��,也不總是越安全越好。安全以投資�、性能�����、效率的付出為代價(jià)。在安全系統(tǒng)設(shè)計(jì)中�����,對不同安全程度要求�,采用不同安全措施,從而保證系統(tǒng)既有高度安全保障��,又有良好系統(tǒng)性能�。所謂高度安全�����,指實(shí)現(xiàn)的安全措施達(dá)到信息安全級(jí)別的要求,對關(guān)鍵信息可以再高一個(gè)級(jí)別�����。
全方位���、均衡性和層次性: 全方位���、均衡性安全設(shè)計(jì)保證消除網(wǎng)絡(luò)中的漏洞���、后門或薄弱環(huán)節(jié); 層次性設(shè)計(jì)保證當(dāng)網(wǎng)絡(luò)中某個(gè)安全屏障(如防火墻)被突破后�,網(wǎng)絡(luò)仍受到其他安全措施(如第二道防火墻)的保護(hù)�。
主動(dòng)和被動(dòng)相結(jié)合: 主動(dòng)對系統(tǒng)中安全漏洞進(jìn)行檢測,及時(shí)消除安全隱患; 被動(dòng)實(shí)施安全策略��,如防火墻措施�����、ACL措施等等����。兩者完美結(jié)合����,有效實(shí)現(xiàn)安全。
切合實(shí)際: 有的放矢、行之有效,避免措施過度導(dǎo)致性能不應(yīng)有的下降。
易于實(shí)施�、管理與維護(hù)���。
