時間:2023-06-02 09:21:05
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全事件,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
一、 指導思想
認真落實“預防為主,積極處理”的宗旨,牢固安全意識,提高防范和處理能力,一切以維護正常的工作秩序和營造綠色健康的網絡環境為中心,進一步完善網絡管理機制,提高突發事件的應急能力。
二、組織領導及職責
成立信息化領導小組
主要職責:部署工作,安排、檢查落實網絡安全具體事宜。信息化管理員負責具體執行。
三、應急措施及要求
1. 各處室要加強對本部門人員進行及時、全面地教育和引導,提高安全防范意識。
2. 信息化管理員嚴格執行網絡安全管理制度,規范辦公室上網,落實上網電腦專人專用和日志留存。
3. 建立健全重要數據及時備份和災難性數據恢復機制。
4. 采取多層次的有害信息、惡意攻擊防范與處理措施。信息化管理員負責對所有信息進行監視及信息審核,發現有害信息及時處理。
5. 切實做計算機好網絡設備的防火、防盜、防雷和防非法信號接入。
6. 所有涉密計算機一律不允許接入互聯網,做到專網、專機、專人、專用,做好物理隔離。連接互聯網的計算機絕對不能存儲涉及國家秘密、工作秘密、商業秘密的文件。
四、網絡安全事件應急處理措施
(一) 當人為、病毒破壞或設備損壞的災害發生時,具體按以下順序進行:判斷破壞的來源與性質,斷開影響安全與穩定的信息網絡設備,斷開與破壞來源的網絡物理連接,跟蹤并鎖定破壞來源的IP或其它網絡用戶信息,修復被破壞的信息,恢復信息系統。按照災害發生的性質分別采用以下方案:
1. 網站、網頁出現非法言論事件緊急處置措施
(1) 網站、網頁由信息化管理員負責隨時密切監視信息內容。
(2) 發現在網上出現內容被篡改或非法信息時,信息化管理員做好必要記錄,清理非法信息,妥善保存有關記錄及日志或審計記錄,必要時中斷服務器網線連接。
(3) 追查非法信息來源,并將有關情況向信息化領導小組匯報。
(4) 若事態嚴重,立即向市政府信息化辦公室和公安部門報警。
2.黑客攻擊事件緊急處置措施
(1) 當發現黑客正在進行攻擊時或者已經被攻擊時,首先將被攻擊的服務器等設備從網絡中隔離出來,保護現場。
(2) 信息化管理員對現場進行分析,并做好記錄。
(3) 恢復與重建被攻擊或破壞的系統。
(4) 若事態嚴重,立即向市政府信息化辦公室和公安部門報警。
3.病毒事件緊急處置措施
(1) 當發現計算機被感染上病毒后,立即將該機從網絡上隔離出來。
(2) 對該機的硬盤進行數據備份。
(3) 啟用反病毒軟件對該機進行殺毒處理,同時通過病毒檢測軟件對其它計算機進行病毒掃描和清除工作。
(4) 如果現行反病毒軟件無法清除該病毒,應立即向信息化領導小組報告,并迅速聯系有關產品研究解決。
(5) 若情況嚴重,立即向市政府信息化辦公室和公安部門報警。
4.軟件系統遭到破壞性攻擊的緊急處置措施
(1) 重要的軟件系統平時必須存有備份,與軟件系統相對應的數據必須按本單位容災備份規定的間隔按時進行備份,并將它們保存于安全處。
(2) 一旦軟件遭到破壞性攻擊,立即將該系統停止運行。
(3) 檢查信息系統的日志等資料,確定攻擊來源,并將有關情況向信息化領導小組匯報,再恢復軟件系統和數據。
(4) 若事態嚴重,立即向市政府信息化辦公室和公安部門報警。
5.數據庫安全緊急處置措施
(1) 對于重要的信息系統,主要數據庫系統數據要進行備份。
(2) 一旦數據庫崩潰,信息化管理員應對主機進行維修并做數據恢復。
(3) 如果系統崩潰無法恢復,應立即向有關廠商請求緊急支援。
6.廣域網外部線路中斷緊急處置措施
(1) 判斷故障節點,查明故障原因。
(2) 如屬我方管轄范圍,由信息化管理員予以恢復。
(3) 如屬于電信部門管轄范圍,立即與電信維護部門聯系,盡快恢復。
(4) 如有必要,向信息化領導小組匯報。
7.局域網中斷緊急處置措施
(1) 配備相關備用設備,存放在指定位置。
(2) 局域網中斷后,判斷事故節點,查明故障原因。
(3) 如屬線路故障,應重新安裝線路。
(4) 如屬路由器、交換機等網絡設備故障,應立即從指定位置將備用設備取出接上,并調試通暢。
(5) 如屬路由器、交換機配置文件破壞,應迅速按照要求重新配置,并調試通暢。
(6) 如有必要,向信息化小組匯報。
(二)當發生自然災害時,先保障人身安全,再保障數據安全,最后是設備安全。具體方法包括:硬盤的拔出與保存,設備的斷電與拆卸、搬遷等。
(三)當發生火災時,若因用電等原因引起火災,立即切斷電源,撥打119報警,組織人員開啟滅火器進行撲救。
(1) 對于初起火災,現場人員應立即實施撲救工作,使用滅火器撲救工作。
(2) 火勢較大時,應立即撥打119火災報警電話和根據火災情況啟動有關消防設備,通知有關人員到場滅火。
(3) 在保障人員安全的前提下,按上款保護數據及設備。
【 關鍵詞 】 網絡;安全;檢測
Analysis of Network Security Event Stream Anomaly Detection Method
Cui fang
(Electronic and Information Engineering of Qiongzhou Universitxy HainanSanya 572020)
【 Abstract 】 With the development of the Internet," hacker"," invasion" and so on we use network poses a serious threat. On the network security event stream detection to find the problem in time, take measures to protect the rights of the majority of Internet users. On these abnormal detection methods, mainly based on the network, host based anomaly detection method based on vulnerability and, based on the three methods of analysis.
【 Keywords 】 network;security; detection
0 引言
網絡安全的目標是保護有可能被侵犯或破壞的機密信息不受外來非法操作者的控制。但是由于互聯網舊有協議存在著“先天”的漏洞,在設計時其思想是開放并且友好的,僅支持有限的加密能力。在互聯網高速發展的今天,各種網絡應用對協議安全性提出了更高的要求。原有的協議設計不但不能滿足日益增長的安全需求,而且協議本身甚至都有安全隱患及漏洞。這給一些不法分子提供了可乘之機,也對廣大用戶的信息安全造成了威脅。
在對網絡安全的維護中,先是防火墻,然后入侵檢測系統逐步走入我們視野中。防火墻,故名思義,防止發生外來的,不可預測的、潛在破壞入。它一般放置在網關的位置,就是內網與外網的連接處。它是設置好規則,靜態的守株待兔式的網絡攻擊防御軟硬件設備。而入侵檢測系統則是一種積極主動的安全防護技術,它對網絡傳輸進行即時監視和分析,在發現可疑傳輸時發出警報或者采取主動反應措施,即使內部人員有越界行為,實時監視系統也能發現情況并發出警告。
比如內部網里有臺計算機中了病毒,不停地發送大量的數據包,那么通過入侵檢測系統就能發現并定位,進而采取措施。而防火墻對于這些已進入內網的病毒或惡就顯得束手無策了。雖然現在有的防火墻也增加了號稱是入侵檢測的功能,但是是與專門的入侵檢測設備無法相比的。
入侵檢測系統被公認為是防火墻之后的第二道安全閘門, 從網絡安全立體縱深、多層次防御的角度出發, 對防范網絡惡意攻擊及誤操作提供了主動的實時保護, 從而能夠在網絡系統受到危害之前攔截和響應入侵。入侵檢測技術可以彌補單純的防火墻技術暴露出明顯的不足和弱點, 它們在功能上可以形成互補關系。
而基于異常的檢測技術則是先定義一組系統“正常”情況的數值,如CPU利用率、內存利用率、文件校驗和等(這類數據可以人為定義,也可以通過觀察系統、并 用統計的辦法得出),然后將系統運行時的數值與所定義的“正常”情況比較,得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況。
不同于防火墻,入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網絡流量流經它便可以工作。因此,對它的部署,唯一的要求是:它應當掛接在所有所關注流量都必須流經的鏈路上。
異常發現技術的前提是假定所有入侵行為都是與正常行為不同的。首先通過訓練過程建立起系統正常行為的軌跡,然后在實際運用中把所有正常軌跡不同的系統狀態視為可疑。
異常檢測系統按其輸入數據的來源來看,可以分為三類。
1 基于網絡的異常檢測系統
通常稱做硬件檢測系統,位置在比較重要的網段內,不停地監視網段中的各種數據包。對每一個數據包或可疑的數據包進行特征分析。如果數據包與產品內置的某些規則吻合,入侵檢測系統就會發出警報甚至直接切斷網絡連接,網管可以在Windows平臺進行配置、中央管理。目前,大部分入侵檢測產品是基于網絡的。
1.1 這種異常檢測系統的優點很多
它能夠檢測那些來自網絡的攻擊,它能夠檢測到超過授權的非法訪問。由于它不會在業務系統的主機中安裝額外的軟件,從而不會影響這些機器的CPU、I/O與磁盤等資源的使用,不會影響業務系統的性能。它發生故障不會影響正常業務的運行,布署一個網絡異常檢測系統的風險比主機入侵檢測系統的風險少得多。網絡異常檢測系統近年內有向專門的設備發展的趨勢,安裝這樣的一個網絡異常檢測系統非常方便,只需將定制的設備接上電源,做很少一些配置,將其連到網絡上即可。
1.2 這種檢測系統的弱點
只檢查它直接連接網段的通信,不能檢測在不同網段的網絡包,在使用交換以太網的環境中就會出現監測范圍的局限。而安裝多臺網絡入侵檢測系統的傳感器會使布署整個系統的成本大大增加。
為了性能目標通常采用特征檢測的方法,它可以檢測出普通的一些攻擊,而很難實現一些復雜的需要大量計算與分析時間的攻擊檢測。
它可能會將大量的數據傳回分析系統中。在一些系統中監聽特定的數據包會產生大量的分析數據流量。一些系統在實現時采用一定方法來減少回傳的數據量,對異常判斷的決策由傳感器實現,而中央控制臺成為狀態顯示與通信中心,不再作為異常行為分析器。
處理加密的會話過程較困難,目前通過加密通道的攻擊尚不多,但隨著IPv6的普及,這個問題會越來越突出。它通過在網段上對通信數據的偵聽來采集數據。當它同時檢測許多臺主機的時候,系統的性能將會下降,特別是在網速越來越快的情況下。由于系統需要長期保留許多臺主機的受攻擊信息記錄,所以會導致系統資源耗竭。
盡管存在這些缺點,但由于基于網絡的異常檢測系統易于配置和易于作為一個獨立的組件來進行管理而且他們對受保護系統的性能不產生影響或影響很小,所以他們仍然很受歡迎。
2 基于主機的異常檢測系統
基于主機的異常檢測系統出現在20世紀80年代初期,那時網絡規模還比較小,檢查可疑行為的審計記錄相對比較容易,況且在當時異常行為非常少,通過對攻擊的事后分析就可以防止隨后的攻擊。同樣,目前仍使用審計記錄,但主機能自動進行檢測,而且能準確及時地作出響應例如,當有文件發生變化時,將新的記錄條目與攻擊標記相比較,看其是否匹配,如果匹配系統就會向管理員報警。對關鍵的系統文件和可執行文件的異常檢測是主要內容之一,通常進行定期檢查校驗和,以便發現異常變化。此外,大多數這樣的產品都監聽端口的活動,在特定端口被訪問時向管理員報警。
2.1 監視特定的系統活動
監視用戶和訪問文件的活動,包括文件訪問、改變文件權限,試圖建立新的可執行文件或者試圖訪問特殊的設備。
2.2 能夠檢查到基于網絡的入侵檢查系統檢查不出的攻擊
可以檢測到那些基于網絡的入侵檢測系統察覺不到的攻擊。例如,來自主要服務器鍵盤的攻擊不經過網絡,所以可以躲開基于網絡的入侵檢測系統。
2.3 適用于采用了數據加密和交換式連接的子網環境
由于它安裝在遍布子網的各種豐機上,它們比基于網絡的入侵檢測系統更加適于交換式連接和進行了數據加密的環境。
2.4 有較高的實時性
盡管不能提供真正實時的反應,但如果應用正確,反應速度可以非常接近實時。盡管在從操作系統作出記錄到得到檢測結果之間的這段時間有一段延遲,但大多數情況下,在破壞發生之前,系統就能發現入侵者,并中止他的攻擊。
2.5 不需增加額外的硬件設備
它存在于現行網絡結構之中,包括文件服務器,Web服務器及其他共享資源。這使得基于主機的系統效率很高。
3 基于漏洞的異常檢測系統
操作系統的漏洞給了黑客或病毒以可乘之機,以前的“沖擊波”病毒曾造成大面積的網絡癱瘓,其實究其原因,也就是因為沒有給微軟的IIS打上補丁。如果打了補丁就會防患于未燃。這也跟某些網管員忽略安全防犯的思想有關。
目前很多主機,已經安裝了更新版本的操作系統,很多針對以前操作系統漏洞進行的攻擊,已經發揮不了作用。但是,由于這種發揮不了作用的攻擊存在,隨之也就會產生很多的無用警報,使得安全管理員無法判定,到底哪些警報最為迫切,最為危險。
通過對內部網絡或者主機的掃描,找出目前內部網絡中各個主機存在的漏洞信息,根據這些信息對異常檢測中的每個特征規則進行檢查,將沒有相應檢測漏洞的異常檢測規則屏蔽。在高速網絡環境下,警報減少率、檢測效率及丟包率是衡量異常檢測系統的指標。實驗結果表明,對異常檢測規則進行屏蔽,可以大量減少無用的檢測規則;減少相應的警報信息。隨著網絡信息化的日益推進,漏洞檢測技術已經成為目前網絡安全研究的重點。漏洞檢測工具能夠檢測出計算機系統存在的漏洞,并提供相應的補救方案,提高了系統的安全性和可靠性。目前,漏洞檢測軟件采用不同標準的漏洞定義庫,相互之間兼容性差,支持的操作系統種類不全面,計算機網絡的安全性難以得到高質量保證。
當前實際網絡中存在的攻擊,對檢驗異常檢測的各項指標具有重要意義,還可以為其它信息安全研究提供有效的測試數據。
隨著網絡入侵攻擊種類的增加,其特征庫也在不斷地增加,這些異常檢測的硬件設備和軟件也需要不斷升級。
參考文獻
[1] 朱曉妹.基于網絡隱寫的主動身份認證系統研究[D].南京理工大學.2009.
[2] 金誠.基于神經網絡集成的入侵檢測技術[D].哈爾濱理工大學.2009.
網絡安全管理技術
目前,網絡安全管理技術越來越受到人們的重視,而網絡安全管理系統也逐漸地應用到企事業單位、政府機關和高等院校的各種計算機網絡中。隨著網絡安全管理系統建設的規模不斷發展和擴大,網絡安全防范技術也得到了迅猛發展,同時出現了若干問題,例如網絡安全管理和設備配置的協調問題、網絡安全風險監控問題、網絡安全預警響應問題,以及網絡中大量數據的安全存儲和使用問題等等。
網絡安全管理在企業管理中最初是被作為一個關鍵的組成部分,從信息安全管理的方向來看,網絡安全管理涉及到整個企業的策略規劃和流程、保護數據需要的密碼加密、防火墻設置、授權訪問、系統認證、數據傳輸安全和外界攻擊保護等等。在實際應用中,網絡安全管理并不僅僅是一個軟件系統,它涵蓋了多種內容,包括網絡安全策略管理、網絡設備安全管理、網絡安全風險監控等多個方面。
防火墻技術
互聯網防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入,是一個控制經過防火墻進行網絡活動行為和數據信息交換的軟件防護系統,目的是為了保證整個網絡系統不受到任何侵犯。
防火墻是根據企業的網絡安全管理策略來控制進入和流出網絡的數據信息,而且其具有一定程度的抗外界攻擊能力,所以可以作為企業不同網絡之間,或者多個局域網之間進行數據信息交換的出入接口。防火墻是保證網絡信息安全、提供安全服務的基礎設施,它不僅是一個限制器,更是一個分離器和分析器,能夠有效控制企業內部網絡與外部網絡之間的數據信息交換,從而保證整個網絡系統的安全。
將防火墻技術引入到網絡安全管理系統之中是因為傳統的子網系統并不十分安全,很容易將信息暴露給網絡文件系統和網絡信息服務等這類不安全的網絡服務,更容易受到網絡的攻擊和竊聽。目前,互聯網中較為常用的協議就是TCP/IP協議,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設置從很大程度上解決了子網系統的安全問題。
入侵檢測技術
入侵檢測是一種增強系統安全的有效方法。其目的就是檢測出系統中違背系統安全性規則或者威脅到系統安全的活動。通過對系統中用戶行為或系統行為的可疑程度進行評估,并根據評價結果來判斷行為的正常性,從而幫助系統管理人員采取相應的對策措施。入侵檢測可分為:異常檢測、行為檢測、分布式免疫檢測等。
企業網絡安全管理系統架構設計
1系統設計目標
該文的企業網絡安全管理系統的設計目的是需要克服原有網絡安全技術的不足,提出一種通用的、可擴展的、模塊化的網絡安全管理系統,以多層網絡架構的安全防護方式,將身份認證、入侵檢測、訪問控制等一系列網絡安全防護技術應用到網絡系統之中,使得這些網絡安全防護技術能夠相互彌補、彼此配合,在統一的控制策略下對網絡系統進行檢測和監控,從而形成一個分布式網絡安全防護體系,從而有效提高網絡安全管理系統的功能性、實用性和開放性。
2系統原理框圖
該文設計了一種通用的企業網絡安全管理系統,該系統的原理圖如圖1所示。
2.1系統總體架構
網絡安全管理中心作為整個企業網絡安全管理系統的核心部分,能夠在同一時間與多個網絡安全終端連接,并通過其對多個網絡設備進行管理,還能夠提供處理網絡安全事件、提供網絡配置探測器、查詢網絡安全事件,以及在網絡中發生響應命令等功能。
網絡安全是以分布式的方式,布置在受保護和監控的企業網絡中,網絡安全是提供網絡安全事件采集,以及網絡安全設備管理等服務的,并且與網絡安全管理中心相互連接。
網絡設備管理包括了對企業整個網絡系統中的各種網絡基礎設備、設施的管理。網絡安全管理專業人員能夠通過終端管理設備,對企業網絡安全管理系統進行有效的安全管理。
2.2系統網絡安全管理中心組件功能
系統網絡安全管理中心核心功能組件:包括了網絡安全事件采集組件、網絡安全事件查詢組件、網絡探測器管理組件和網絡管理策略生成組件。網絡探測器管理組件是根據網絡的安全狀況實現對模塊進行添加、刪除的功能,它是到系統探測器模塊數據庫中進行選擇,找出與功能相互匹配的模塊,將它們添加到網絡安全探測器上。網絡安全事件采集組件是將對網絡安全事件進行分析和過濾的結構添加到數據庫中。網絡安全事件查詢組件是為企業網絡安全專業管理人員提供對網絡安全數據庫進行一系列操作的主要結構。而網絡管理策略生產組件則是對輸入的網絡安全事件分析結果進行自動查詢,并將管理策略發送給網絡安全。
系統網絡安全管理中心數據庫模塊組件:包括了網絡安全事件數據庫、網絡探測器模塊數據庫,以及網絡響應策略數據庫。網絡探測器模塊數據庫是由核心功能組件進行添加和刪除的,它主要是對安裝在網絡探測器上的功能模塊進行存儲。網絡安全事件數據庫是對輸入的網絡安全事件進行分析和統計,主要用于對各種網絡安全事件的存儲。網絡相應策略數據庫是對輸入網絡安全事件的分析結果反饋相應的處理策略,并且對各種策略進行存儲。
3系統架構特點
3.1統一管理,分布部署該文設計的企業網絡安全管理系統是采用網絡安全管理中心對系統進行部署和管理,并且根據網絡管理人員提出的需求,將網絡安全分布地布置在整個網絡系統之中,然后將選取出的網絡功能模塊和網絡響應命令添加到網絡安全上,網絡安全管理中心可以自動管理網絡安全對各種網絡安全事件進行處理。
3.2模塊化開發方式本系統的網絡安全管理中心和網絡安全采用的都是模塊化的設計方式,如果需要在企業網絡管理系統中增加新的網絡設備或管理策略時,只需要對相應的新模塊和響應策略進行開發實現,最后將其加載到網絡安全中,而不必對網絡安全管理中心、網絡安全進行系統升級和更新。
3.3分布式多級應用對于機構比較復雜的網絡系統,可使用多管理器連接,保證全局網絡的安全。在這種應用中,上一級管理要對下一級的安全狀況進行實時監控,并對下一級的安全事件在所轄范圍內進行及時全局預警處理,同時向上一級管理中心進行匯報。網絡安全主管部門可以在最短時間內對全局范圍內的網絡安全進行嚴密的監視和防范。
(一)網絡安全事件流中主機的異常檢測所引發的安全事件。
主機異常所帶來的危害包括:計算機病毒、蠕蟲、特洛伊木馬、破解密碼、未經授權進行文件訪問等情況,導致電腦死機或文件泄露等危害。
(二)主機異常檢測的原理及指標確定。
當前,隨著科技的不斷發展,主機可以自主進行檢測,同時及時、準確地對問題進行處理。如果內部文件出現變化時,主機自行將新記錄的內容同原始數據進行比較,查詢是否符合標準,如果答案為否定,則立刻向管理人員發出警報。
(三)主機異常檢測的優點。
1.檢測特定的活動。主機的異常檢測可以對用戶的訪問活動進行檢測,其中包含對文件的訪問,對文件的轉變,建立新文件等。
2.可以檢測出網絡異常檢測中查詢不出的問題。主機的異常檢測可以查詢出網絡異常檢測所查詢不出的問題,例如:主服務器鍵盤的問題就未經過網絡,從而躲避了網絡異常檢測,但卻可被主機異常檢測所發現。
(四)主機異常檢測的缺點。
主機異常檢測不能全面提供實時反應,盡管其反應速度也非常快捷,接近實時,但從操作系統的記錄到判斷結果之間會存在一定的延時情況。
二、網絡安全事件流中漏洞的異常檢測
(一)網絡安全事件流中漏洞的異常所引發的安全事件。
網絡中的操縱系統存在一定的漏洞,這就給不法人員造就了機會。漏洞檢測技術產生的安全事件包含:對文件的更改、數據庫、注冊號等的破壞、系統崩潰等問題。
(二)漏洞異常檢測的方法及指標確定。
漏洞的檢測方法可以歸納為:白盒檢測、黑盒檢測及灰盒檢測三種。白盒檢測在獲取軟件代碼下進行那個檢測;黑盒檢測在無法獲取軟件代碼,只利用輸出的結果進行檢測;灰盒檢測則介于兩種檢測方法之間,利用RE轉化二進制代碼為人們可以利用的文件,管理人員可以通過找尋指令的入口點發現漏洞的位置。
(三)漏洞異常檢測的優缺點。
關鍵詞:網絡拓撲;安全態勢;綜合預警;安全事件;控制策略
中圖分類號:TP393.02
1.緒論
Internet正在持續快速地發展,在應用上進入嶄新的多元化階段,已融入到人們生產、生活、工作、學習的各個角落。然而,網絡技術的發展在帶來便利的同時,也帶來了巨大的安全隱患,特別是Internet大范圍的接入,使得越來越多的系統受到入侵攻擊的威脅。因此,如何評估網絡系統安全態勢和及早發現并有效控制網絡安全事件的蔓延,已成為目前國內外網絡安全專家的研究熱點。在此背景下,本文本著主動測量和異常檢測相結合的思路,基于網絡拓撲設計實現了大規模網絡安全事件綜合預警系統,評估網絡安全態勢,解決控制執行部件部署問題并給出控制策略以及對其進行效果評價,有效指導了管理員對網絡安全的控制。第二章介紹綜合預警系統設計框架;第三章提出控制策略;第四章實現系統提出實現方法。
2.網絡綜合預警系統概述
NSAS實現以上重要功能是因為構成的四個子系統相互協助,下面將分別介紹四個子系統。
網絡安全事件偵測點:分布放置于多個網絡出入口,負責檢測本地網絡的異常事件,并將引發流量異常相關的主機地址、事件類型、嚴重程度等報警信息寫入本地數據庫并發送給綜合分析子系統。拓撲發現子系統:負責對全局范圍內的網絡進行拓撲信息收集,并生成路由IP級的網絡拓撲連結關系圖,該過程應保證低負荷、無入侵性、圖生成的高效性。最后,將網絡拓撲信息發送至綜合分析子系統和可視化子系統。
異常綜合分析子系統:綜合分析報警信息,量化網絡安全威脅指數,提出控制策略,解決控制執行部件如何部署問題。
可視化顯示子系統:基于網絡拓撲信息和網絡事件綜合分析結果,顯示各級網絡拓撲圖、網絡安全事件宏觀分布圖、控制點分布圖、事件最短傳播軌跡圖、安全態勢趨勢圖等,以便于網絡管理者進行決策。
3.網絡安全控制策略生成與評價
3.1基本定義
在層次化安全威脅量化和控制策略生成技術中用到一些基本名詞,下面給出定義。
定義1安全事件:一次大規模、惡意網絡安全攻擊行動,如蠕蟲事件。
定義2安全事件預警:在目標網絡受到有威脅的安全攻擊前進行報警,提醒目標網絡進行防護,使目標網絡免于或降低損失。
定義3預警響應:及時作出分析、報警和處理,杜絕危害的近一步擴大,也包括審計、追蹤、報警和其他事前、事后處理。
定義4安全態勢感知與評估:考察網絡上所發生的安全事件及其對網絡造成的損害或影響;識別、處理、綜合發生在重要設施或組織上的關鍵信息元素的能力;具體過程分解為判斷是否發生攻擊、發生哪種攻擊、誰發起的攻擊、所采取的響應效果如何等。
定義5異常事件:引發IDS報警并記錄下來的異常行為。表示SE={EventTypeID,Type,Port,SIP,DIP,PktNum,ByteNum,AlertTime}.其中EventTypeID,Type,Port分別表示事件標識符,安全類型,端口號,根據EventTypeID可以從異常事件屬性表中得到該事件的破壞程度。SIP,DIP表示源和目的端IP地址,PktNum,ByteNum表示涉及的數據包數量和數據字節數,AlerTime表示報警時間。異常事件集合SES={se|SE(se)&&se.AlertTime>=StartTime&&se.AlertTime
定義6安全事件損害指數DSE:根據安全事件屬性表分類與優先級劃分異常事件的攻擊損害度。
定義7異常主機AH和異常路由器AR:AH指已經被感染或被攻擊的主機。AH(h)={h|h.ip=se.DIP,se ∈SES}。異常路由器是指當且僅當存在主機h,AH(h)而且r=GR(h)。
定義8網關路由器和下屬主機:主機h接入Internet的第一條路由器叫做網關路由器,用r=GR(h)表示,而對應的主機h叫做網關路由器r的下屬主機,用h=AttachH(r)表示。
定義9邊界路由器:路由器r連接兩個及以上位于不同自治域系統路由器。
3.2控制點選取算法
由于傳統的控制點選取算法存在控制代價過高的問題,所以本文針對異常路由器做大規模擴散控制,提出一種能有效減少控制代價即控制點數量的算法。當路由器r下屬主機h感染蠕蟲后,r可以通過AccessList訪問控制列表限制源IP地址為h的數據包通過來遏制蠕蟲的傳播,所以異常路由器本身也可以作為控制路由器。當兩個異常路由器有一個共同出口時,可以在這個出口做AccessList配置直接控制這兩個異常點,這樣能減少一個控制點,出于這種的思想,提出一種公共控制點(Commonality Control Route簡稱CommCtrlRt)算法。
以教育網拓撲信息為背景,應用上述算法,圖4-1給出應用效果。黑色節點代表共同控制路由器,紅色節點代表異常路由器,灰色點代表異常路由器同時本身也是該點的控制路由器,很顯然只要在紅色節點和灰色節點上限制異常節點的訪問,就可以限制異常事件如蠕蟲的傳播和擴散。
3.3控制策略
選取控制點只是控制策略的第一步,而在控制點上如何控制更是關鍵所在。本節將詳細介紹在控制路由器上如何部署才能有效控制異常點的傳播與擴散。
3.3.1路由器訪問控制
Cisco等路由器可以針對上下訪問控制,即利用AcessList命令拒絕某些IP的通過。例如當需要在路由器上禁止已經被感染的機器192.168.1.2發送有害信息的話,只需要執行下述命令:
access-list 100 deny ip 192.168.1.2 255.255.255.255 any
當需要在路由器上禁止某網段所有機器發送的IP包時,只要執行下述命令就可以禁止網絡地址192.168.1.0網絡掩碼255.255.255.0的256個主機通過路由器。access-list 100 deny ip 192.168.1.0 255.255.255.0 any基于上下文的訪問控制(CBAC)是Cisco IOS防火墻特性集中最顯著的新增特性。CBAC技術的重要性在于,它第一次使管理員能夠將防火墻智能實現為一個集成化單框解決方案的一部分。現在,緊密安全的網絡不僅允許今天的應用通信,而且為未來先進的應用(例如多媒體和電視會議)作好了準備。CBAC通過嚴格審查源和目的地址,增強了使用眾所周知端口(例如ftp和電子郵件通信)的TCP和UDP應用程序的安全。
3.3.2 CBCA控制應用
當網絡偵測點報警信息的源IP地址為主機h(P為異常事件攻擊端口)時,先通過網絡拓撲找到異常主機h的網關路由器r,然后在r上做訪問控制,凡是源IP地址為h且端口號為P的所有數據包被拒絕通過,這樣就能防止h上異常事件的進一步擴散或者蔓延,假定封鎖時間(2007-6-1)為一天,則控制策略為:
1 Interface FastEthernet 0
2 ip access-grop 101 in
3 time-range deny-time
4 absolute start 0:00 1 6 2007 to 24:00 1 6 2007
5 ip access-list 101 deny ip IP 0 0.0.0.255 any eq P time-range deny-time
Time-range時間過后,該條訪問控制自動解封,這減輕了管理員手動解封的負擔,而當網絡安全態勢嚴重時,可以增加封禁時間。路由器作為網絡層最重要的設備,提供了許多手段來控制和維護網絡,基于時間的訪問表不僅可以控制網絡的訪問,還可以控制某個時間段的數據流量。
4.系統實現
NSAS主要分為后臺異常綜合分析Analysis和前臺結果可視化FrameVisual兩部分。
4.1后臺
在RedHat Linux 7.2下采用標準C實現了Analysis和GraphPartion,編譯器為gcc,數據庫訪問接口為Pro*c.
Analysis為開機自動運行的后臺程序。它結合網絡邏輯拓撲圖,分析報警數據庫中某種安全事件在網絡上的分布狀況,根據IP定位信息,顯示某種安全事件在地理位置的分布狀況,并給出危害程度、傳播路徑和控制策略。
4.2前臺
在WindowsXP下采用VC++6.0實現FrameVisual,用戶接口為圖形界面,其中,數據輸入部分來自Linux的Analysis。FrameVisual把平面可視化的拓撲信息以矢量圖的形式顯示出來,并實現漫游、放縮;同時可視化Analysis的分析結果。在圖形用戶界面下,用戶可以進行任務的配置、添加與刪除,異常事件的瀏覽與同步更新,后臺程序的啟動、暫停、繼續以及停止等。
結論
本文主要基于拓撲測量,針對大規模爆發的網絡安全事件如蠕蟲,探討如何及早發現并有效控制類似事件的發生、擴散等問題,解決了網絡預警系統中異常綜合分析子系統的異常事件分析、威脅量化、控制策略生成等關鍵問題。由于該預警系統不受網絡規模的限制,將在大規模網絡控制和管理上發揮重要作用,具有廣泛的應用前景。
參考文獻
[1]黃梅珍.基于分布式入侵檢測系統的校園網絡安全解決方案.計算機與信息技術,信息化建設,2006,101-104
對于具有開發性、國際性和自由度的互聯網在增加應用自由度的同時,也存在著太多太復雜的安全隱患,信息安全令人擔擾。有人這樣說:“如果上網,你所受到的安全威脅將增大幾倍;而如果不上網,則你所得到的服務將減少幾倍”。因此,可信網絡已經成為當前研究的熱點話題。網絡應為科研服務,作為校園網在提高管理效率、促進教科研發展、方便校園生活的同時,網絡中的各種安全問題也層出不窮,提高IT安全建設和管理水平已成為高校信息化建設中不容忽視的重要工作內容。
2 校園網安全面臨的困難
現在大多數校園網以Windows作為系統平臺,因為其功能太多,太復雜了(Windows操作系統就有上千萬行程序),致使操作系統都不可能做到完全正確,所以其它系統的安全性能都是很難保證的。對于具有更復雜環境的校園網來說,不但面臨著系統安全及其威脅,而且還具有自已的特殊性。一方面,學生的好奇心強,一些學生社會責任感較輕,喜歡挑戰;另一方面,校園網的網絡條件普遍較好,計算機來源又較為復雜,隱蔽的IP地址使之更容易實施網絡攻擊。同時,教育信息化管理中長期形成的“重技術,輕管理”的思想,也使得校園網的安全形勢更加嚴峻。
隨著信息技術的不斷發展,病毒傳播的途徑越來越多樣化。對于校園網管理人員而言,還不得不面對大面積的ARP欺騙病毒,這對于用戶群龐大而導致可控性和有序性很差的校園網提出了巨大的挑戰,構建校園網絡應急響應機制迫在眉睫。
3 校園網應急響應機制的建立
2007年6-7月間,由教育部科技發展中心主辦、中國教育網絡雜志承辦的“2007教育行業信息安全大會”在北京等地召開。會議對“高校建立應急響應機制”進行了專題問卷調查,調查結果顯示,66%的高校未建立安全應急響應機制,33%的高校計劃在年內建立學校的安全應急響應機制。由此可見還有大部分高校在網絡安全管理方面還需加大力度,僅憑單純的安全產品和簡單的防御技術是無法抵擋攻擊的,必須依靠應急響應等一套完整的服務管理機制,建立其相應的流程,通過加強學習努力提高隊伍的技術水平及響應能力,從技術和管理兩個維度保證網絡安全。
校園網應急響應是指在校園網內行使CERT/CC(計算機緊急響應小組及其協調中心)的職能,對校園網內的各網絡應用部門和用戶提供網絡安全事件的快速響應或技術支持服務,也對校園網內的各接入單位及用戶提供安全事件響應相關的咨詢服務。校園網應急響應組的主要職能是:對計算機網絡系統的安全事件一是進行緊急反應,盡快恢復系統或網絡的正常運轉。二是要使系統和網絡設施所遭受的破壞最小化。三是對影響系統和網絡安全的漏洞及防治措施進行通報,對安全風險進行評估等。
比較完善的網絡安全機制,應包括網絡安全服務、網絡安全管理和用戶安全意識三方面。因此,校園網應急響應組依據其職責不同分為以下三個安全工作小組。
(1)事件處理工作小組及職能:主要負責安全事件的應急與救援、事件的分析、安全警報的等。主要職能是服務,制定和實施校園網安全策略及網絡安全突發事件應急響應預案;監測網絡運行日常狀態,及時安全公告、安全建議和安全警報,當發生了安全事件時及時向CERT熱線響應;解答用戶的安全方面的咨詢;定期對網內用戶進行風險評估等。
(2)技術研發工作小組及職能:主要通過研發,尋求安全漏洞的解決方案,應急處理的信息與技術支持平臺。主要職能是安全研究,研究內容是校園網常用網絡攻擊技術及防范。
(3)教育培訓工作小組及職能:建立應急處理服務隊伍,通過各種形式的培訓提高全校師生的網絡安全意識,加強師生行為安全。主要職能是宣傳教育,對校園網用戶進行安全知識的教育與網絡安全技術培訓,使其提高自我保護意識,自覺關注網絡上最新的病毒和黑客攻擊,自主解決網絡安全問題。
應急響應是全方位的工作,再好的經驗也是具有不可復制性,無論建立何種模式的機制,最重要的是要與高校網絡自身特點相結合,建立有自身特色的應急響應機制并在實踐過程中不斷改進和完善。一個良好的響應機制要技術力量到位、部門責任明確、合作流程清晰,并遵循可行性、高效率、高效益和低風險的原則。因此我們應通過加強主動性,使安全故障的應急響應能力從報警向預警的道路上邁出堅實的步伐,為從容不迫應對網絡突發安全事件打下基礎。
關鍵字:信息系統信息安全身份認證安全檢測
一、目前信息系統技術安全的研究
1.信息安全現狀分析
隨著信息化進程的深入,信息安全己經引起人們的重視,但依然存在不少問題。一是安全技術保障體系尚不完善,許多企業、單位花了大量的金錢購買了信息安全設備,但是技術保障不成體系,達不到預想的目標:二是應急反應體系沒有經常化、制度化:三是企業、單位信息安全的標準、制度建設滯后。
2003年5月至2004年5月,在7072家被調查單位中有4057家單位發生過信息網絡安全事件,占被調查總數的58%。其中,發生過1次的占總數的22%,2次的占13%,3次以上的占23%,此外,有7%的調查對象不清楚是否發生過網絡安全事件。從發生安全事件的類型分析,遭受計算機病毒、蠕蟲和木馬程序破壞的情況最為突出,占安全事件總數的79%,其次是垃圾郵件,占36%,拒絕服務、端口掃描和篡改網頁等網絡攻擊情況也比較突出,共占到總數的43%.
調查結果表明,造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的“%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%.
對于網絡安全管理情況的調查:調查表明,近年來,使用單位對信息網絡安全管理工作的重視程度普遍提高,80%的被調查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織,有2%的單位請信息安全服務企業提供專業化的安全服務。調查表明,認為單位信息網絡安全防護能力“較高”和“一般”的比較多,分別占44%。但是,被調查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題,也說明目前安全管理水平和社會化服務的程度還比較低。
2.企業信息安全防范的任務
信息安全的任務是多方面的,根據當前信息安全的現狀,制定信息安全防范的任務主要是:
從安全技術上,進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網絡防病毒軟件、入侵檢測系統、建立安全認證系統等安全系統。
從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,增強安全防范意識。
信息安全防范要確保以下幾方面的安全。網絡安全:保障各種網絡資源(資源、實體、載體)穩定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應用的機密性(Confidentiality)、完整性(Integrity)、抗否認性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預防內部犯罪。
二、信息系統常見技術安全漏洞與技術安全隱患
每個系統都有漏洞,不論你在系統安全性上投入多少財力,攻擊者仍然可以發現一些可利用的特征和配置缺陷。發現一個已知的漏洞,遠比發現一個未知漏洞要容易的多,這就意味著:多數攻擊者所利用的都是常見的漏洞。這樣的話,采用適當的工具,就能在黑客利用這些常見漏洞之前,查出網絡的薄弱之處。漏洞大體上分為以下幾大類:
(1)權限攻擊。攻擊者無須一個賬號登錄到本地直接獲得遠程系統的管理員權限,通常通過攻擊以root身份執行的有缺陷的系統守護進程來完成。漏洞的絕大部分來源于緩沖區溢出,少部分來自守護進程本身的邏輯缺陷。
(2)讀取受限文件。攻擊者通過利用某些漏洞,讀取系統中他應該沒有權限的文件,這些文件通常是安全相關的。這些漏洞的存在可能是文件設置權限不正確,或者是特權進程對文件的不正確處理和意外dumpcore使受限文件的一部份dump到了core文件中.
(3)拒絕服務。攻擊者利用這類漏洞,無須登錄即可對系統發起拒絕服務攻擊,使系統或相關的應用程序崩潰或失去響應能力。這類漏洞通常是系統本身或其守護進程有缺陷或設置不正確造成的。
(4)口令恢復。因為采用了很弱的口令加密方式,使攻擊者可以很容易的分析出口令的加密方法,從而使攻擊者通過某種方法得到密碼后還原出明文來。
(5)服務器信息泄露。利用這類漏洞,攻擊者可以收集到對于進一步攻擊系統有用的信息。這類漏洞的產生主要是因為系統程序有缺陷,一般是對錯誤的不正確處理。
漏洞的存在是個客觀事實,但漏洞只能以一定的方式被利用,每個漏洞都要求攻擊處于網絡空間一個特定的位置,因此按攻擊的位置劃分,可能的攻擊方式分為以下四類:物理接觸、主機模式、客戶機模式、中間人方式。
三、信息系統的安全防范措施
1.防火墻技術
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為甚。
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。
防火墻是網絡安全的屏障:一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。防止內部信息的外泄:通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
防火墻技術可根據防范的方式和側重點的不同而分為很多種類型,但總體來講可分為二大類:分組過濾、應用。
事件發生以來,業界反應極為迅速,一批網絡安全企業和科研單位通過官方網站和社交媒體等多種渠道,不斷更新威脅動態,共享技術情報,及時技術保護措施和應對方案;政府部門和專業機構也及時公告和處置指南,增進了社會公眾的關注度,加強了對基本防護信息的認知,降低了本次事件的影響程度。由于各方應對及時,“永恒之藍”勒索蠕蟲爆發在5月13日達到高峰后,感染率快速下降,周一上班并未出現更大規模的爆發,總體傳播感染趨勢得到快速控制。事件過后,對網絡安全行業敲響了警鐘,也有必要對這次事件進行經驗總結,現將對勒索蠕蟲病毒事件的一些思考分享出來。
“永恒之藍”事件回溯
2017年4月期間,微軟以及國內的主要安全公司都已經提示客戶升級微軟的相關補丁修復“永恒之藍”漏洞,部分IPS技術提供廠商也提供了IPS規則阻止利用“永恒之藍“的網絡行為;(預警提示)
2017年5月12日下午,病毒爆發;(開始)
2017年5月12日爆發后幾個小時,大部分網絡安全廠商包括360企業安全、安天、亞信安全、深信服等均發出防護通告,提醒用戶關閉445等敏感端口;(圍堵)
2017年5月13日,微軟總部決定公開已停服的XP特別安全補丁;國內瑞星、360企業安全、騰訊、深信服、藍盾等均推出病毒免疫工具,用于防御永恒之藍病毒;(補漏)
2017年5月13日晚,來自英國的網絡安全工程師分析了其行為,注冊了MalwareTech域名,使勒索蠕蟲攻擊暫緩了攻擊的腳步;(分析)
2017年5月15日,廠商陸續“文件恢復”工具,工作機制本質上是采用“刪除文件”恢復原理/機制,即恢復“非粉碎性刪除文件”;(刪除文件恢復)
2017年5月20日,阿里云安全團隊推出“從內存中提取私鑰”的方法,試圖解密加密文件;生效的前提是中毒后電腦沒重啟、中毒后運行時間不能過長(否則會造成粉碎性文件刪除);(僥幸解密恢復)
2017年5月20日之后,亞信安全等網絡安全公司推出基于該病毒行為分析的病毒防護工具,用于預防該病毒變種入侵;(未知變種預防)
2017年6月2日,國內網絡安全企業找到了簡單靈活的、可以解決類似網絡攻擊(勒索病毒)方法的防護方案,需要進一步軟件開發。
事件處理顯示我國網絡安全能力提升
(一)網絡安全產業有能力應對這次“永恒之藍”勒索蠕蟲事件
早在4月15日,NSA泄漏“永恒之藍”利用工具,國內不少主力網絡安全企業就針對勒索軟件等新安全威脅進行了技術和產品的準備,例如深信服等部分企業就提取了“永恒之藍”的防護規則,并部分升級產品,還有部分企業識別并提前向客戶和社會了預警信息,例如,在這次事件爆發時,亞信安全等網絡安全企業保證了客戶的“零損失”。
事件發生后,國內網絡安全企業積極行動,各主要網絡安全企業都進行了緊急動員,全力應對WannaCry/Wcry等勒索病毒及其種的入侵,幫助受到侵害的客戶盡快恢復數據和業務,盡量減少損失。同時,也積極更新未受到侵害客戶的系統和安全策略,提高其防護能力。360企業安全集團、安天等公司及時病毒防范信息,并持續更新補丁工具。此次“永恒之藍” 勒索蠕蟲被迅速遏制,我國網絡安全企業發揮了重要作用,幫助客戶避免被病毒侵害而遭受損失,幫助受到感染的客戶最大限度地減少損失。
(二)網絡安全防護組織架構體系科學、組織協調得力
隨著《中國人民共和國網絡安全法》的頒布實施,我國已經初步建立了一個以網信部門負責統籌協調和監督管理,以工信、公安、保密等其他相關部門依法在各自職責范圍內負責網絡安全保護和監督管理工作的管理體系。既統籌協調、又各自分工,我國的網絡安全管理體系在應對此次事件中發揮了重要作用。
依照相關法律規范,在有關部門指導下,眾多網信企業與國家網絡安全應急響應機構積極協同,快速開展威脅情報、技術方案、通道、宣傳資源、客戶服務等方面的協作,有效地遏制住了事態發展、減少了損失。
安全事件暴露出的問題
(一)網絡安全意識不強,對安全威脅(漏洞)重視不夠
4月14日,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一個攻擊框架和多個Windows 漏洞利用工具。攻擊者利用這些漏洞可以遠程獲取 Windows 系統權限并植入后門。
針對此次泄露的漏洞,微軟提前了安全公告 MS17-010,修復了泄露的多個 SMB 遠程命令執行漏洞。國內網絡安全廠商也提前了針對此次漏洞的安全公告和安全預警。但是國內大部分行業及企事業單位并沒有給予足夠的重視,沒有及時對系統打補丁,導致“永恒之藍”大范圍爆發后,遭受到“永恒之藍”及其變種勒索軟件的攻擊,數據被挾持勒索,業務被中斷。
在服務過程中發現,大量用戶沒有“數據備份”的習慣,這些用戶遭受“永恒之藍”攻擊侵入后,損失很大。
(二)安全技術有待提高(安全攻防工具)
繼2016年8月份黑客組織 Shadow Brokers 放出第一批 NSA“方程式小組”內部黑客工具后,2017年4月14日,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一個攻擊框架和多個Windows 漏洞利用工具。攻擊者利用這些漏洞可以遠程獲取 Windows 系統權限并植入后門。
目前,我國在網絡安全攻防工具方面的研發與歐美國家相比還存在較大差距,我國在網絡安全漏洞分析、安全防護能力上需進一步加強。勒索蠕蟲入侵一些行業和單位表明不少單位的安全運維水平較低。
實際上,防御這次勒索蠕蟲攻擊并不需要特別的網絡安全新技術,各單位只需要踏踏實實地做好網絡安全運維工作就可以基本避免受到侵害。具體而言,各單位切實落實好安全管理的基礎性工作――漏洞閉環管理和防火墻或網絡核心交換設備策略最小化就可以基本防御此次安全事件。
在漏洞管理中運用系統論的觀點和方法,按照時間和工作順序,通過引入過程反饋機制,實現整個管理鏈條的閉環銜接。也就是運用PDCA的管理模式,實現漏洞管理中,計劃、實施、檢查、改進各工作環節的銜接、疊加和演進。要盡力避免重發現、輕修復的情況出現。及時總結問題處置經驗,進行能力和經驗積累,不斷優化安全管理制度體系,落實嚴格、明確的責任制度。需要從脆弱性管理的高度,對系統和軟件補丁、配置缺陷、應用系統問題、業務邏輯缺陷等問題進行集中管理。通過這些規范、扎實的工作,切實地提升安全運維能力。
基礎工作做到位,防護能力確保了,可以有效避免大量網絡安全事件。
對提升網絡安全防護能力的建議
(一)完善隔離網的縱深防御,內網沒有免死金牌!
這次事件的爆發也反映出不少行業和單位的網絡安全管理意識陳舊落后。部分決策者和運維管理人員盲目地認為網絡隔離是解決安全問題最有效的方式,簡單地認為只要采取了隔離方案就可以高枕無憂。一些單位在內網中沒有設置有效的網絡安全防護手段,一旦被入侵,內網可謂千瘡百孔、一瀉千里。部分單位的內網甚至還缺乏有效的集中化管理手段和工具,對于網絡設備、網絡拓撲、數據資產等不能夠實現有效的統一管理,這給系統排查、業務恢復、應急響應都帶來了很大的困難,也大幅度地增加了響應時間和響應成本。這次事件中一些使用網絡隔離手段的行業損失慘重,這種情況需要高度警醒。
在4?19重要講話中專門指出:“‘物理隔離’防線可被跨網入侵,電力調配指令可被惡意篡改,金融交易信息可被竊取,這些都是重大風險隱患。”
一定要破除“物理隔離就安全”的迷信。隨著IT新技術的不斷涌現和信息化的深入發展,現實中的網絡邊界越來越模糊,業務應用場景越來越復雜,IT 系統越來越龐大,管理疏忽、技術漏洞、人為失誤等都可能被利用,有多種途徑和方法突破隔離網的邊界阻隔。網絡隔離不是萬能的,不能一隔了之,隔離網依然需要完善其縱深防御體系。
在網絡安全建設和運營中,一定要堅持實事求是的科學精神。在全社會,特別是在政府、重點行業的企事業單位各級領導應樹立正確的網絡安全觀仍是當今重要的緊迫工作。
(二)強化協同協作,進一步發揮國家隊的作用
面對日益復雜的網絡空間安全威脅,需要建立體系化的主動防御能力,既有全網安全態勢感知和分析能力,又有縱深的響應和對抗能力。動態防御、整體防御才能有效地應對未知的安全威脅。體系化能力建設的關鍵在于協同和協作,協同協作不僅僅是在網絡安全廠商之間、網信企業之間、網絡安全廠商與客戶之間、網信企業與專業機構之間,國家的相關部門也要參與其中。國家的相關專業機構,如國家互聯網應急中心(CNCERT)等應在其中承擔重要角色。
在安全事件初期,各種信息比較繁雜,并可能存在不準確的信息。建議國家信息安全應急響應機構作為國家隊的代表,在出現重大安全事件時,積極參與并給出一個更獨立、權威的解決方案,必要時可以購買經過驗證的第三方可靠解決方案,通過多種公眾信息平臺,免費提供給社會,以快速高效地應對大規模的網絡攻擊事件。
(三)進一步加強網絡安全意識建設和管理體系建設
三分技術、七分管理、十二分落實。安全意識和責任制度是落的基本保障。
加強網絡安全檢查機制。加強對國家關鍵基礎設施的安全檢查,特別是可能導致大規模安全事件的高危安全漏洞的檢查。定期開展網絡安全巡檢,把網絡安全工作常態化。把安全保障工作的重心放在事前,強化網絡安全運營的理念和作業體系,把網絡安全保障融入到日常工作和管理之中。
采用科學的網絡安全建設模型和工具,做好頂層設計,推進體系化和全生命周期的網絡安全建設與運營。盡力避免事后打補丁式的網絡安全建設模式,把動態發展、整體的網絡安全觀念落實到信息化規劃、建設和運營之中。
安全建設不要僅考慮產品,同時要重視制度、流程和規范的建設,并要加強人的管理和培訓。
加強網絡安全意識教育宣傳。通過互聯網、微信、海報、報刊等各種形式的宣傳,加強全民網絡安全意識教育的普及與重視。在中小學普及網絡安全基礎知識和意識教育。借助“國家網絡安全宣傳周”等重大活動,發動社會資源進行全民宣傳教育,讓“網絡安全為人民、網絡安全靠人民”的思想深入人心。
(四)進一步加強整體能力建設
切實落實“4?19講話”精神,加快構建關鍵信息基礎設施安全保障體系,建立全天候全方位感知網絡安全態勢的國家能力與產業能力,增強網絡安全防御能力和威懾能力。不僅要建立政府和企業網絡安全信息共享機制,同時要積極推進企業之間的網絡安全信息共享,探索產業組織在其中能夠發揮的積極作用。
加強網絡安全核心技術攻關。針對大型網絡安全攻擊,開發具有普適性的核心網絡安全關鍵技術,例如可以有效防御各類數據破壞攻擊(數據刪除、數據加密、數據修改)的安全技術。
完善國家網絡安全產業結構。按照國家網絡安全戰略方針、戰略目標,加強網絡某些安全產品(安全檢測、數據防護等)的研發。
加強網絡安全高端人才培養。加強網絡安全高端人才培養,特別是網絡安全管理、技術專家培養,尤其是網絡安全事件分析、網絡安全應急與防護,密碼學等高級人才的培養。
加強網絡安全攻防演練。演練優化安全協調機制,提高安全技能和安全應急響應效率。
(五)加強對網絡安全犯罪行為的懲罰
安全態勢嚴峻
這是普華永道第19年開展此項網絡調研。11月29日,普華永道中國網絡安全與隱私保護服務合伙人冼嘉樂在一個媒體溝通會上對調查進行了說明。
調查顯示,在過去一年中,平均每家中國企業檢測到的信息安全事件數量高達2577起,是前次調查結果的兩倍。相比之下,在過去一年中,全球各行業檢測到的信息安全事件平均數量卻有所下降,平均每家企業為4782起,比2014年減少3%。與此同時,中國受訪企業在信息安全方面的投資預算比去年減少了7.6%。
盡管從平均每家受訪企業檢測到的安全事件數量來看,中國受訪企業要少于全球受訪企業的平均水平,但是中國受訪企業的安全事件處于上升趨勢,而全球受訪企業卻處于下降趨勢。這到底是什么原因呢?
冼嘉樂認為,這是因為很多發達國家已經過了互聯網的快速發展期,網絡安全產業發展較早,已經形成比較穩定的“你攻我防”的狀態。國內網絡安全產業尚處于起步階段,而“互聯網+”戰略加速了中國傳統行業“企業觸網”的進程,以往缺乏相關經驗使得很多傳統企業受攻擊的數量大幅增加。他強調,這種安全事件數量增加的態勢不僅出現在今年,接下來的幾年還將持續。
關注新技術的安全投入
值得注意的是,88%的中國受訪企業認為,它們在信息安全上的投入受到了數字化戰略的影響,投入的重點在那些與企業自身的商業戰略和安全監管相匹配的網絡安全方面。此外,31.5%的中國受訪企業表示有意在人工智能、機器學習等先進安全技術領域進行投資。
冼嘉樂認為:“國內一些有前瞻性的企業已經在調整信息安全的投資方向,通過加大對先進網絡信息安全技術的投入,來強化其獨有的商業價值,為業務增長保駕護航。”
在商業機會和風險不斷變化的大環境中,加強物聯網中各個連接設備的網絡安全,以及利用云計算來部署企業關鍵應用已成為企業探索的主要方向。調查顯示,57%的中國受訪企業正在為物聯網安全投資,而全球受訪企業的此數據為46%。與此同時,已有約45%的IT系統是基于云計算部署的,而全球受訪企業的此數據為48%。
關鍵詞 灰色模型;殘差改進;神經網絡
中圖分類號:TP393.08 文獻標識碼:B
文章編號:1671-489X(2014)08-0132-04
Application of Network Security Forecast based on Improved Grey Model for Electric Power Industry//GUO Zhengwei, MA Wenlong , HAO Jing
Abstract The paper suggests a new forecasting model for the network security-related problems in the power industry to remedy the shortcomings of the traditional ones which fail to reflect the industry’s overall conditions and cannot accurately predict. The sample data is collected by analyzing the events concerning the network security. Then AHP (analytic hierarchy process) is applied to set up an indicator system to evaluate those data and form a sequential distribution of exceptional values. Based upon that, GM (Grey Model) is introduced to comprehensively predict the conditions of the industry’s information security, and then the prediction results are modified by using artificial neural network method. The simulating tests have also been carried out to prove that the proposed model with improved GM as the basis is viable and valid.
Key words grey model; error improvement; artificial neural network
1 引言
隨著電力行業信息化建設水平的不斷提高,部門之間信息交換愈加頻繁,網絡安全問題日益突出,為行業信息化工作的深入開展埋下了諸多隱患。并且作為重點行業,用戶核心業務及敏感數據的安全保護,生產大區與信息大區分布范圍較廣但信息交換日益增多,網絡結構受地區限制而差異較大,網絡結構復雜等諸多因素決定了行業網絡安全方面的特殊性。因此,針對行業特點,人們提出許多技術措施和管理手段。
但是由于網絡安全涉及多個方面的內容[1-12],無法簡單地通過某一方面的數據而反映整體網絡安全狀況,現有網絡安全機制出發點在于可視化的網絡管理維護、突發事件的應急管理、風險評定等,這些措施加強了網絡安全的管理,但是缺乏對網絡安全的主動預測,以便提前遏制可能出現的各類安全問題,消除潛在風險。因此,本文通過綜合日常運維工作實際與各項考核指標,提出一種基于殘差改進GM(1,1)模型的網絡安全預測方法。
2 網絡安全預測方法與標準
本文所提出的信息風險預測方法,以災變灰預測[13-14]為基礎,從以往的被動防御方式,如防火墻、入侵檢測技術等,轉換為主動預測的方式,通過對以往網絡安全事件發生的統計分析,包括網絡安全事件發生的頻率、數量[15]、類型以及威脅程度等多個方面,得出原始序列并指定閾值,構造異常序列與時分布映射,通過對時分布序列的GM(1,1)建模,對異常值時分布作預測,使運維管理人員、網絡及軟件工程師提前采取相應的防范措施,消除風險[16-18]。
在結合信息系統安全評價考核指標與日常運行維護所反映出的主要問題后,選擇出重要的樣本類型,具體參看圖1,確定權重。
3 網絡安全預測模型構建
層次分析法 首先將預測參考指標層次化[16],通過相互比較確定各指標對于安全預測的重要程度,構造判斷矩陣,而后考察判斷矩陣對應于特征根的特征向量是否在容許的范圍內,若通過了一致性檢驗,則再通過層次總排序來決定各個因素的優先程度,即對于網絡安全預測的權重值。
GM(1,1)模型及災變灰預測 如前所述,使用GM(1,1)灰色預測模型,其基本形式為x(0)(k)+az(1)(k)=b,根據此基本形式,可以列出如下兩個矩陣:
Y=(x(0)(2),x(0)(3),x(0)(4),……,x(0)(n))T
關鍵詞:網絡安全 安全態勢建模 安全態勢生成 知識發現
網絡安全態勢感知在安全告警事件的基礎上提供統一的網絡安全高層視圖,使安全管理員能夠快速準確地把握網絡當前的安全狀態,并以此為依據采取相應的措施。實現網絡安全態勢感知,需要在廣域網環境中部署大量的、多種類型的安全傳感器,來監測目標網絡系統的安全狀態。通過采集這些傳感器提供的信息,并加以分析、處理,明確所受攻擊的特征,包括攻擊的來源、規模、速度、危害性等,準確地描述網絡的安全狀態,并通過可視化手段顯示給安全管理員,從而支持對安全態勢的全局理解和及時做出正確的響應。
1.網絡安全態勢建模
安全態勢建模的主要目的是構建適應于度量網絡安全態勢的數據模型,以支持安全傳感器的告警事件精簡、過濾和融合的通用處理過程。用于安全態勢建模的數據源主要是分布式異構傳感器采集的各種安全告警事件。網絡安全態勢建模過程是由多個階段組成的。在初始的預處理階段,通過告警事件的規格化,將收到的所有安全事件轉化為能夠被數據處理模塊理解的標準格式。這些告警事件可能來自不同的傳感器,并且告警事件的格式各異,例如IDS的事件、防火墻日志、主機系統日志等。規格化的作用是將傳感器事件的相關屬性轉換為一個統一的格式。我們針對不同的傳感器提供不同的預處理組件,將特定傳感器的信息轉換為預定義的態勢信息模型屬性值。根據該模型,針對每個原始告警事件進行預處理,將其轉換為標準的格式,各個屬性域被賦予適當的值。在態勢數據處理階段,將規格化的傳感器告警事件作為輸入,并進行告警事件的精簡、過濾和融合處理。其中,事件精簡的目標是合并傳感器檢測到的相同攻擊的一系列冗余事件。典型的例子就是在端口掃描中,IDS可能對各端口的每個掃描包產生檢測事件,通過維護一定時間窗口內的事件流,對同一來源、同一目標主機的同類事件進行合并,以大大減少事件數量。事件過濾的目標是刪除不滿足約束要求的事件,這些約束要求是根據安全態勢感知的需要以屬性或者規則的形式存儲在知識庫中。例如,將關鍵屬性空缺或不滿足要求范圍的事件除去,因為這些事件不具備態勢分析的意義。另外,通過對事件進行簡單的確認,可以區分成功攻擊和無效攻擊企圖。在事件的過濾處理時,無效攻擊企圖并不被簡單地丟棄,而是標記為無關事件,因為即使是無效攻擊也代表著惡意企圖,對最終的全局安全狀態會產生某種影響。通過精簡和過濾,重復的安全事件被合并,事件數量大大減少而抽象程度增加,同時其中蘊含的態勢信息得到了保留。事件融合功能是基于D-S證據理論提供的,其通過將來自不同傳感器的、經過預處理、精簡和過濾的事件引入不同等級的置信度,融合多個屬性對網絡告警事件進行量化評判,從而有效降低安全告警事件的誤報率和漏報率,并且可以為網絡安全態勢的分析、推理和生成提供支持。
2.網絡安全態勢生成
2.1知識發現的關聯規則提取
用于知識發現的數據來源主要有兩個:模擬攻擊產生的安全告警事件集和歷史安全告警事件集。知識發現就是在這樣的告警事件集上發現和抽取出態勢關聯所需要的知識。由于安全報警事件的復雜性,這個過程難以完全依賴于人工來完成。可以通過知識發現的方法,針對安全告警事件集進行模式挖掘、模式分析和學習,以實現安全態勢關聯規則的提取。
2.2安全告警事件精簡和過濾
通過實驗觀察發現,安全傳感器的原始告警事件集中存在大量無意義的頻繁模式,而且這些頻繁模式大多是與系統正常訪問或者配置問題相關的。如果直接在這樣的原始入侵事件集上進行知識發現,必然產生很多無意義的知識。因此,需要以D-S證據理論為基礎建立告警事件篩選機制,根據告警事件的置信度進行程序的統計分析。首先,利用程序自動統計各類安全事件的分布情況。然后,利用D-S證據理論,通過精簡和過濾規則評判各類告警事件的重要性,來刪除無意義的事件。
2.3安全態勢關聯規則提取
在知識發現過程中發現的知識,通過加入關聯動作轉化為安全態勢的關聯規則,用于網絡安全態勢的在線關聯分析。首先,分析FP-Tree算法所挖掘的安全告警事件屬性間的強關聯規則,如果該規則所揭示的規律與某種正常訪問相關,則將其加入刪除動作,并轉化成安全告警事件的過濾規則。接著,分析Winepi算法所挖掘的安全告警事件間的序列關系。如果這種序列關系與某種類型的攻擊相關,形成攻擊事件的組合規則,則增加新的安全攻擊事件。最后,將形成的關聯規則轉化成形式化的規則編碼,加入在線關聯知識庫。
3.網絡安全態勢生成算法
網絡安全態勢就是被監察的網絡區域在一定時間窗口內遭受攻擊的分布情況及其對安全目標的影響程度。網絡安全態勢信息與時間變化、空間分布均有關系,對于單個節點主要表現為攻擊指數和資源影響度隨時間的變化,對于整個網絡區域則還表現為攻擊焦點的分布變化。對于某一時刻網絡安全態勢的計算,必須考慮一個特定的評估時間窗口T,針對落在時間窗口內的所有事件進行風險值的計算和累加。隨著時間的推移,一些告警事件逐漸移出窗口,而新的告警事件則進入窗口。告警事件發生的頻度反映了安全威脅的程度。告警事件頻發時,網絡系統的風險值迅速地累積增加;而當告警事件不再頻發時,風險值則逐漸地降低。首先,需要根據融合后的告警事件計算網絡節點的風險等級。主要考慮以下因素:告警置信度c、告警嚴重等級s、資源影響度m。其中,告警可信度通過初始定義和融合計算后產生;告警嚴重等級被預先指定,包含在告警信息中;資源影響度則是指攻擊事件對其目標的具體影響程度,不同攻擊類別對不同資源造成的影響程度不同,與具體配置、承擔的業務等有關。此外,還應考慮節點的安全防護等級Pn、告警恢復系數Rn等因素。
4.結束語
本文提出了一個基于知識發現的網絡安全態勢建模和生成框架。在該框架的基礎上設計并實現了網絡安全態勢感知系統,系統支持網絡安全態勢的準確建模和高效生成。實驗表明本系統具有統一的網絡安全態勢建模和生成框架;準確構建網絡安全態勢度量的形式模型;通過知識發現方法,有效簡化告警事件庫,挖掘頻繁模式和序列模式并轉化為態勢關聯規則。
參考文獻:
計算機信息系統安全是一個動態過程。美國國際互聯網安全系統公司(ISS)對此提出P2DR模型,其關鍵是Policy(策略)、Protection(防護)、Detection(檢測)和Response(響應)四方面。按照P2DR的觀點,完整的動態安全體系需要防護措施(如網絡或單機防火墻、文件加密、身份認證、操作系統訪問控制、數據庫系統訪問控制等)、動態檢測機制(入侵檢測、漏洞掃描等)、先進的資源管理系統(及時發現問題并做出響應)。
中國石油按照信息安全P2DR模型制定的信息安全系統體系結構包括安全運行中心、網絡邊界管理系統、網絡準入控制、網絡管理系統、病毒監控與升級管理系統、系統加固與監控管理系統、CA認證中心、密鑰管理與分發系統、數據庫防護系統、容災系統、內容訪問監控系統和電子郵件監控系統。
中國石油廣域網安全基礎設施
防火墻系統
中國石油廣域網十分龐大,下屬單位很多,遍布全國,連通世界上很多國家的分支企業。因此需要在網絡各個相連處部署強力防火墻,確保網絡的安全性。另外,在區域網絡中心的服務器群前,加兩臺防火墻,以負載均衡方式,用千兆光纖連接到區域網絡中心路由器上。在兩臺防火墻都正常工作情況下,可以提供約兩倍于單臺設備的性能,即約4Gbps的防火墻吞吐量,當一臺防火墻出現故障時,另一臺防火墻保證網絡不間斷運行,保障服務器群的高可用性。
利用防火墻技術,能在內外網之間提供安全保護; 但有如下局限性: 入侵者可尋找防火墻可能敞開的后門進行襲擊; 網絡結構改變有時會造成防火墻安全策略失效,攻擊者可以繞防火墻實施攻擊; 入侵者可能來自防火墻內部; 防火墻可能不能提供實時入侵檢測。
入侵檢測系統
入侵檢測系統分為基于網絡和基于主機兩種類型。基于網絡的入侵檢測系統對所在網段的IP數據包進行分析監測,實時發現和跟蹤有威脅或隱患的網絡行為。基于主機的入侵檢測系統安裝在需要保護的主機上,為關鍵服務提供實時保護。通過監視來自網絡的攻擊、非法闖入和異常進程,能實時檢測出攻擊,并做出切斷服務、重啟服務器進程、發出警報、記錄入侵過程等動作。
入侵檢測在網絡中設置關鍵點,收集信息,并加以分析,查找違反安全策略的行為和遭到襲擊的跡象。它是第二道安全閘門,對內外攻擊和誤操作提供實時保護,又不影響網絡性能。其具體功能如下: 監視、分析用戶及系統活動; 系統構造和弱點審計; 識別已知進攻的活動模式并向相關人員報警; 異常行為模式的統計分析; 評估重要系統和數據文件的完整性; 操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
中國石油12個區域網絡中心,均配備入侵檢測系統,監控內外網入侵行為。
漏洞掃描系統
漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術。它查詢TCP/IP端口,并記錄目標的響應,收集關于某些特定項目的有用信息,例如正在進行的服務、擁有這些服務的用戶是否支持不記名登錄、是否有某些網絡服務需要鑒別等。
漏洞掃描系統可安裝在便攜機中,在網絡比較空閑時檢測。檢測方式可本地可遠程; 可臨時檢測某網段,也可固定檢測某網段,但是檢測范圍不可跨越防火墻。
查殺病毒系統
中國石油網絡上各個局域網普遍設立查殺病毒軟件服務器,不斷更新殺毒軟件,及時向用戶機下推最新版本殺毒軟件。大大減輕了病毒泛濫和造成的損失。
網絡安全策略管理
中國石油全網提供統一安全策略,各級分別部署,從而提高全網整體安全。
企業網絡安全策略分為四個方面:檢測評估、體系結構、管理措施和網絡標準,并構成動態循環系統(圖1)。安全檢測與評估隨著安全標準的提高而改進,評估結果是網絡體系結構的完善的依據,安全策略管理必須隨之改進與增強; 技術的進步和網絡安全要求的提高,促使網絡標準的完善與改進。
網絡安全檢測與評估涉及網絡設備、網絡操作系統、應用軟件、專業軟件、數據庫、電子商務、Web網站、電子郵件等。安全體系結構涉及物理、場地、環境、訪問控制、數據傳輸與保存、路由控制。安全管理措施涉及網絡設備、軟件、密鑰。
路由器和交換機策略管理是上述安全管理措施中的重要方面。它們的策略維護通過訪問控制列表(ACL)實現。這種工作容易出錯,因而應采用專用工具軟件集中管理。所采用的管理軟件有管理設備ACL的WEB接口,通過這個接口對IP過濾列表進行編輯及下載,簡化了管理工作量,實現了大型網絡路由器和交換機上策略參數的集中管理。
分系統設計
除了上述基礎設施外,還必須有屬于“上層建筑”安全措施。這便是分系統設計。
安全運行中心
中國石油信息系統地域分散、規模龐大,與多個業務系統耦合性很強,如何將現有安全系統納入統一管理平臺,實現安全事件全局分析和動態監控,是中國石油廣域網面臨的主要問題。
建立安全運行中心,實現對全網安全狀況的集中監測、安全策略的統一配置管理、統計分析各類安全事件,并處理各種安全突發事件。安全運行中心不僅可以將不同類型安全產品實現統一管理,還可以將網絡中不同位置、不同系統中單一安全事件進行收集、過濾、關聯分析,得出網絡全局風險事件集,提供安全趨勢報告,并通過遠程狀態監控、遠程分發、實現快速響應,有效控制風險事件。
安全運行中心功能模塊包括安全配置模塊、網絡監控模塊、內容監管模塊、安全事件與預警模塊以及應急響應模塊,具體功能模塊如圖2所示。下邊介紹幾種主要功能。
(1)安全配置管理
包括防火墻、入侵檢測、VPN等安全系統的安全規則、選項和配置,各種操作系統、數據庫、應用等系統配置的安全設置、加固和優化措施。可實現策略創建、更新、、學習和查詢。
(2)網絡監控
模塊可提供對網絡設備、網絡安全設備、網絡拓撲、服務器、應用系統運行情況的可視化監控,確定某個安全事件是否會發生,事件類型、影響程度和范圍。預警: 對網絡設備、安全設備、主機系統、服務器、數據庫系統日志信息的收集、集中存儲、分析、管理,及時發現安全事件,并做出相應預警。
(3)內容監管
內容監控、內容訪問監控以及內容傳播監控。
中國石油信息安全系統安全運行中心由總部、區域中心、地區公司三級結構組成。
總部級: 制定統一安全配置,收集所有匯總上來的數據,并對其進行統一分析、管理。通過這種逐級逐層多級化模式管理,達到對信息安全全方位防御的目的。
區域中心級: 執行對管轄范圍內所有地區公司安全運行中心的監控,也可監控區域內的網絡安全、主機安全、數據庫安全、應用系統安全等,并向總部安全運行中心上報相關數據。
地區公司級: 部署總部的統一安全配置,監控地區公司內部網絡、主機、數據庫、應用系統安全等,收集分析安全事件并做出及時響應,生成分析報告,定期向區域中心匯總。
網絡邊界管理系統
中國石油網絡按照其應用性質的不同和安全要求的不同,劃分為不同的安全域。整個網絡安全符合木桶原則: 最低木板決定木桶裝水量; 網絡安全最薄弱環節決定整個網絡的安全性。
由于網絡中不可控制的接入點比較多,導致全網受攻擊點明顯增多。通過網絡邊界管理系統可以最大限度保護內部業務數據的安全,其中重點保護與Internet直接連接的區域。
按照業務不同的安全程度要求,中國石油各個企業網絡劃分若干安全區域:
(1)業務區域: 企業重要信息集中在此,這里有核心數據庫,可與相關單位交換信息。
(2)生產區域: 主要指各煉化企業的生產網絡,實現生產在線監控和管理信息的傳遞。
(3)辦公區域: 各單位的辦公網,用戶訪問企業業務系統與互聯網、收發電子郵件等。
(4)對外服務區: 通過因特網對外信息和進行電子商務的區域,該區域日趨重要。
(5)因特網接入區: 因特網瀏覽信息、對外交流的窗口,最易受攻擊,要重點保護。
通過邊界管理系統在中國石油各局域網邊界實施邊界管理,在內部部署入侵檢測系統實施全面安全保護,并在對外連接處和必要的部位部署防火墻進行隔離。
通過入侵檢測系統和防火墻聯動,可以對攻擊行為實時阻斷,提高安全防護的有效性。
網絡準入控制系統
中國石油網絡準入控制系統分四部分: 策略服務器、客戶端平臺、聯動設備和第三方服務器(圖3)。
(1)安全策略服務器: 它是網絡準入控制系統的管理與控制中心,實現用戶管理、安全策略管理、安全狀態評估、安全聯動控制以及安全事件審計等功能。
(2)安全客戶端平臺: 它是安裝在用戶終端系統上的軟件,可集成各種安全產品插件,對用戶終端進行身份認證、安全狀態評估以及實施網絡安全策略。
(3)安全聯動設備: 它是企業網絡中安全策略的實施點,起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。安全管理系統管理平臺作為安全策略服務器,提供標準協議接口,支持同交換機、路由器等各類網絡設備的安全聯動。
(4)第三方服務器: 為病毒服務器、補丁服務器等第三方網絡安全產品,通過安全策略的設置實施,實現安全產品功能的整合。
鏈接
中國石油廣域網安全設計原則
在中石油廣域網絡安全系統的設計中應遵循以下設計原則:
高度安全與良好性能兼顧: 安全與性能相互矛盾,安全程度越高,性能越受影響。任何事物沒有絕對安全,也不總是越安全越好。安全以投資、性能、效率的付出為代價。在安全系統設計中,對不同安全程度要求,采用不同安全措施,從而保證系統既有高度安全保障,又有良好系統性能。所謂高度安全,指實現的安全措施達到信息安全級別的要求,對關鍵信息可以再高一個級別。
全方位、均衡性和層次性: 全方位、均衡性安全設計保證消除網絡中的漏洞、后門或薄弱環節; 層次性設計保證當網絡中某個安全屏障(如防火墻)被突破后,網絡仍受到其他安全措施(如第二道防火墻)的保護。
主動和被動相結合: 主動對系統中安全漏洞進行檢測,及時消除安全隱患; 被動實施安全策略,如防火墻措施、ACL措施等等。兩者完美結合,有效實現安全。
切合實際: 有的放矢、行之有效,避免措施過度導致性能不應有的下降。
易于實施、管理與維護。
