時間:2023-09-21 17:36:04
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全可視化,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞: 計算機網絡安全; 信息可視化; 網絡包; 網絡流;數據方塊圖; 研究平臺
中圖分類號: TN915.08?34; TM417 文獻標識碼: A 文章編號: 1004?373X(2017)01?0070?04
Abstract: The computer network security visualization research platform was designed and implemented aiming at the current situation. On the basis of analyzing the available visualization toolkit, the overall goal of the computer network security visualization research platform is proposed in combination with the characteristics of the computer network security visualization research, so as to implement the security data integration, visualization methods integration, analysis and operation integration. The research platform was designed according to the specifications of plug?ins, integration, scalability, openness, platform independence and easy operation. A prototype system was implemented. The platform can be regarded as the tool of the computer network security visualization research, and used in the teaching experiment, visualization method testing, and collaboration communication.
Keywords: computer network security; information visualization; network packet; network flow; data block diagram; research platform
S著計算機網絡技術的不斷發展,網絡已成為現代生活的重要組成部分。目前,隨著網絡規模的不斷擴大,網絡安全問題也日益嚴重,安全研究正面臨新的挑戰[1]。計算機網絡安全可視化研究是信息可視化和計算機網絡安全研究結合的產物,是一個全新的研究課題。通過對該課題深入研究,可以幫助研究人員從全新的視角理解安全現象,進而揭示安全機理、發現安全規律,最終達到解決安全問題的目的[2]。
1 平臺設計
1.1 總體目標
計算機網絡安全可視化研究平臺是要建立一個可用于計算機網絡安全可視化研究的統一支撐環境,方便研究人員基于不同的分析任務、使用多種可視化手段進行相關安全問題的可視化研究。該研究平臺達到的總體目標是實現三個層次的整合,即對數據的整合、對可視化方法的整合、對分析操作的整合[3]。
數據整合是數據層面的整合,目的是提供對各種安全數據的支持,使各種數據都可以方便的在平臺中使用;可視化方法整合是方法層面的整合,目的是將眾多的可視化技術方法集成到平臺之中,為各種數據提供豐富的可視化表現形式,同時增強各種可視化方法之間的聯系,使各種方法可以相互協調、綜合運用;分析操作整合是應用層面的整合,目的是在數據整合和可視化方法整合的基礎上為使用者提供一個統一的操作環境,屏蔽由于數據異構性和可視化方法多樣性帶來的操作復雜性問題,使研究人員可以在該平臺上使用相對統一的操作過程完成各種安全可視化分析研究工作[4]。
1.2 設計要求
根據以上總體目標,對計算機網絡安全可視化研究平臺的設計提出以下要求:
(1) 插件化。該平臺的基礎結構應該是一個插件的容器,各種功能的實現由具體功能插件完成。
(2) 集成化。該平臺是一個具備綜合能力的計算機安全可視化研究環境,需要對多種數據類型、多種可視化方法提供支持。
(3) 可擴展性。考慮到未來發展的需要,該平臺應該具備良好的可擴展性。
(4) 開放性。該平臺不是一個封閉的系統,需要與其他系統進行交互。
(5) 平臺無關性。為了滿足不同研究人員對操作系統使用的習慣,實現跨平臺運行能力,該平臺采用Java語言開發。
(6) 易操作性。該平臺需要為研究人員提供風格統一的操作方式,屏蔽由于數據異構性和可視化方法多樣性帶來的操作復雜性問題。
1.3 總體結構
根據總體目標和設計要求,計算機網絡安全可視化研究平臺包括數據處理模塊、信息可視化模塊、交互模塊和平臺管理控制模塊四個模塊[4]。其中,數據處理模塊主要負責完成數據的映射,將各種安全數據轉換為最終用于可視化表達的形式;信息可視化模塊完成數據的可視化映射,將數據處理模塊輸出的數據根據不同可視化方法轉換為相應的視圖;交互模塊提供各種人機交互手段,幫助平臺使用者對可視化視圖進行交互式探索工作;平臺管理控制模塊是平臺的基礎框架,負責協調、控制其他功能模塊共同完成平臺使用者的各種分析研究任務,同時為其他功能模塊的運行提供所需環境[5]。
1.4 用戶對象
計算機網絡安全可視化研究平臺的使用主要針對兩類用戶:可視化算法的研究人員與基于可視化的安全分析人員。
可視化算法的研究人員通過創建新算法插件,將可視化方法集成到平臺中,利用平臺提供的數據處理功能,大大簡化數據的處理過程,使研究重點更容易集中于可視化算法本身。同時,利用平臺提供的多種可視化表達形式,方便研究人員對新老方法進行對比研究[6]。
基于可視化的安全分析人員通過該平臺進行安全數據的處理、可視化圖形的生成以及交互式的可視化分析等工作。根據分析任務的不同,分析人員可以選用多種可視化表達形式,從不同側面全方位地展示數據的內在信息,再通過綜合運用各種分析手段快速發現數據背后隱藏的安全問題。
2 平臺實現
2.1 基礎平臺介紹
通過基礎平臺為其他各功能模塊的運行提供所需的支撐環境,同時負責協調、控制其他功能模塊共同完成平臺使用者的各種分析研究任務。基礎平臺對應總體結構中的平臺管理控制模塊。經過調研對比,選擇KNIME(The Konstanz Information Miner,康斯坦茨信息挖掘器)作為計算機網絡安全可視化研究平臺原型系統的基礎平臺[7]。KNIME的主要特點如下:
(1) 使用工作流(Workflow)技術,可視化地展示了數據處理、分析、挖掘的全過程,并可以對各個處理步驟進行交互式操作設置。
(2) 使用節點(Node)處理單元,封裝各種處理功能,降低彼此間的耦合性,方便使用者進行功能擴展。
(3) 提供種類繁多的點庫,根據具體的挖掘任務需要,選擇不同功能節點,將輸入輸出端口相互連接組成各種數據挖掘工作流。
對KNIME的數據結構、節點和工作流進行簡要介紹,用于指導原型系統其他各功能模塊的開發。
2.1.1 數據結構
在KNIME中使用DataTable類封裝節點之間流動的數據。DataTable包含數據的元信息和數據本身,其中每行數據都是DataRow對象,可以通過對DataRow實例的迭代,訪問數據表中的數據。每個DataRow中都包含一個惟一的標識和一定數量的DataCell對象,該對象中保存著實際數據。
DataTable,DataRow和DataCell等主要類的相互依賴關系如圖1所示。
2.1.2 節點
節點是KNIME中最主要的處理單元,它通常會被組裝到一個工作流中。Node類封裝了節點的所有功能,用戶可以通過擴展NodeModel,NodeDialog和NodeView三個抽象類來開發自己的功能節點。NodeModel類主要承擔計算任務;NodeDialog類用來實現節點的配置對話框,用戶根據需要調整節點的相關參數,從而影響節點的執行;NodeView類可以被重寫多次以實現在同一數據模型上顯示不同視圖。如果自定義的功能節點無需配置對話框和視圖窗體,可以不實現NodeDialog和NodeView類。節點的這種設計遵循了MVC設計模式[8]。另外,為了實現數據或模型在節點中的傳輸,每個節點都具有輸入輸出端口。節點及主要類的依賴關系如圖2所示。
2.1.3 工作流
在KNIME中,工作流就是由節點相互連接構成的有向圖。在兩個節點間允許插入新節點和有向邊,而且工作流可以保存節點的狀態,需要時能夠進行返回。這種圖形化的表達方式使用戶可以按需定制所需的處理流程,并可以從宏觀上了解整個處理步驟。
通過上述介紹,KNIME系統作為基礎平臺基本滿足計算機網絡安全可視化研究平臺管理控制功能的設計需要。但是,就計算機網絡安全可視化研究這種具體應用而言,缺少對安全數據的支持,缺少專用的安全可視化方法,所以無法支撐安全可視化方面的研究,還需要有針對性的開發相應功能以滿足平臺的總體設計需求。
2.2 數據處理模塊實現
在計算機網絡安全可視化研究平臺的原型系統中,數據處理模塊主要提供對安全數據的支持能力,目前,已支持網絡數據包數據(PCAP格式文件)和NetFlow網絡流數據(CSV格式文件)兩種安全數據類型。通過不同的功能節點可以完成數據的解析、格式的變換、內部數據的生成及轉換等操作。此處以MatrixConverter節點實現為例,說明數據轉換構件中功能節點的實現方法,其他數據解析構件、數據映射構件中功能節點的實現可以參考此例進行。
MatrixConverter節點主要負責對內部數據進行轉換,具體功能是將NetFlow網絡流數據中以“源地址,目的地址,連接權值(某種連接屬性值)”形式存在的內部數據轉換為以鄰接矩陣形式存在的內部數據,為后續可視化節點的使用提供適合的數據表達形式。在execute()方法中首先從節點的輸入端獲取數據;其次對該數據進行處理得到對應的鄰接矩陣形式數據;最后將鄰接矩陣形式的數據送至節點的輸出端。
節點功能開發完成后,還需修改插件的入口文件plugin.xml,平臺將根據這個文件的設置加載插件。通過設置,MatrixConverter節點將會出現在節點庫的SecViz類別文件夾下,并可以提供相應的處理功能。
2.3 信息可視化模塊實現
在計算機網絡安全可視化研究平臺的原型系統中,信息可視化模塊主要提供各種安全可視化方法。目前,已集成了網絡數據包數據方塊水平布局圖、堆疊布局圖和網絡流數據的鄰接矩陣圖等三種專用安全可視化方法。
MatrixViz功能節點的實現主要涉及三類:MatrixVizNodeModel類,MatrixVizNodeView類和MatrixVizViewPanel類。MatrixVizNodeModel類繼承了NodeModel抽象類,主要用于獲得待可視化的內部數據;MatrixVizNodeView類繼承了NodeView抽象類,用于管理控制可視化視圖,它是完成可視化方法集成的關鍵類;MatrixVizViewPanel類繼承了Swing的JPanel類,用于創建顯示面板進行可視化繪制。首先定義MatrixVizViewPanel類型的成員變量m_viewPanel,用于繪制可視化視圖;其次在構造函數中對MatrixVizViewPanel類進行實例化;最后顯示繪圖面板。MatrixVizNodeView類將數據對象和繪圖對象關聯在一起,共同完成特定的可視化功能。
2.4 交互模塊實現
交互功能的實現,可以利用AWT/Swing自身機制捕獲鼠標、鍵盤等事件,并通過相應的事件處理器完成對特定事件的響應及處理。首先,通過addXxxListener()方法將某類事件監聽器或適配器注冊給指定的組件,當該組件發生特定事件時,被注冊到該組件的事件監聽器或適配器中對應的事件處理器將被觸發,從而完成對該事件的響應及處理。使用addMouseListener()方法給繪圖面板m_viewPanel注冊鼠標事件的適配器,用于監聽鼠標事件。同時,重寫mouseReleased()和mousePressed()方法,實現對鼠標鍵松開、按下事件的處理。
3 平臺應用實驗
3.1 展示性任務實驗
該實驗的目的是通過計算機網絡安全可視化研究平臺生成待分析數據的可視化視圖。實驗使用的數據是一個CSV格式的NetFlow網絡流數據文件(文件名為DisplayTest_NetFlow.csv),并使用鄰接矩陣圖作為最終的可視化表達形式。通常,進行這種展示性任務一般包括三個步驟:
第一步,構建任務工作流;
第二步,對各功能節點進行必要配置(某些節點無需配置);
第三步,依次執行工作流中的各節點,得到最終的可視化結果。
在第一步中構建的任務工作流,使用了四個功能節點:CSV文件讀取節點(CSVReader)、列過濾器節點(ColumnFilter)、矩陣轉換器節點(MatrixConverter)和矩陣圖可視化節點(MatrixViz)。CSVReader節點負責數據文件的讀取;ColumnFilter節點和MatrixConverter節點負責內部數據格式的轉換;MatrixViz節點負視圖的繪制與顯示。
第二步是對各功能節點進行必要配置,此任務中需要在CSVReader節點中指定DisplayTest_NetFlow.csv文件的路徑,同時通過Column Filter節點選擇后續處理所需的數據列,MatrixConverter和MatrixViz節點無需配置。最后,依次運行各節點,執行相應的節點功能,得到NetFlow網絡流數據的鄰接矩陣圖,如圖3所示。
3.2 探索性任務實驗
該實驗的目的是通過計算機網絡安全可視化研究平臺分析安全數據、發現數據中存在的異常現象。實驗使用了兩類安全數據:一類是PCAP格式的網絡包數據(文件名為ExploreTest.pcap);另一類是由網絡包數據處理得到的CSV格式的NetFlow網絡流數據(文件名為ExploreTest_NetFlow.csv)。與展示性任務不同,探索性任務通常需要綜合使用多種可視化手段和分析方法,經過不斷地迭代探索過程才能得到最終的結論。
在對安全數據進行探索性分析時,一般的思路是“從整體到細節”,即先從數據的整體特征上分析有無異常現象,然后再進一步分析數據的細節特征。根據這一思路,最終完成該探索性任務的工作。
(1) 網絡流數據處理子工作流。包括兩個處理分支:鄰接矩陣圖繪制和平行坐標圖繪制,用于從不同側面展示數據特征。同展示性任務的工作流相比,該工作流多了行過濾器節點(Row Filter)和平行坐標圖可視化節點(Parallel Coordinates)。Row Filter節點負責對數據行進行過濾;Parallel Coordinates節點負責繪制平行坐標可視化圖形,該功能節點是基礎平臺提供的一種經典可視化方法。
(2) 網絡數據包處理子工作流。使用了兩個功能節點:PCAP文件讀取節點(PCAP Reader)和數據方塊圖可視化節點(PacketViz)。其中,PCAP Reader節點負責讀取PCAP格式的網絡數據包;PacketViz節點負責繪制網絡數據包的數據方塊圖。
在進行探索性分析時,首先對網絡流數據進行分析,獲取對網絡中數據傳輸關系的全面理解。接下來,利用平行坐標圖對135.2.1.2節點進行有針對性的可視化分析。最后,為了進一步挖掘掃描攻擊的細節信息,選用網絡流數據對應的網絡數據包,該數據中記錄了網絡通信中最原始的信息。
通過以上使用不同的安全數據,采用各種可視化手段進行綜合分析,得出如下結論:網絡中主機135.2.1.2正在對網絡進行掃描攻擊,且攻擊類型為TCPSYN端口掃描攻擊。
通過應用實驗,討論計算機網絡安全可視化研究平臺在可視化展示和可視化探索中的應用。該安全可視化研究平臺綜合使用各種可視化方法(如鄰接矩陣圖、平行坐標圖、數據方塊圖等),針對多種安全數據(如網絡包數據、網絡流數據等)進行集中統一的處理,基本達到平臺的總體目標,能夠為安全可視化研究提供整合的支持環境。另外,使用工作流方式進行安全可視化分析,方便建立標準規范的分析步驟,為安全可視化分析研究提供指導和幫助。
4 結 論
本文在對現有可視化工具包(或整合系統)分析研究的基礎上,結合計算機網絡安全可視化研究的特點,提出計算機網絡安全可視化研究平臺的總體目標:實現安全可視化研究三個層次的整合,即數據整合、可視化方法整合、分析操作整合。根據插件化、集成化、可擴展性、開放性、平臺無關性和易操作性等方面的具體要求,對該研究平臺進行設計,并實現原型系統。針對可視化展示和可視化探索兩種不同的任務類型,對該研究平臺的原型系統進行應用實驗。
參考文獻
[1] 靖培棟.信息可視化―情報學研究的新領域[J].情報科學,2003,21(7):685?687.
[2] 郭陟,萬海,顧明.可視化安全審計模型與系統框架研究[C]//全國網絡與信息安全技術研討會2004論文集.北京:中國通信學會,2004:433?437.
[3] 周寧.信息可視化技術在端口掃描檢測中的應用研究[D].天津:天津大學,2007.
[4] 李忠武,陳麗清.計算機網絡安全評價中神經網絡的應用研究[J].現代電子技術,2014,37(10):80?82.
[5] 任磊,王威信,周明駿,等.一種模型驅動的交互式信息可視化開發方法[J].軟件學報,2008,19(8):1947?1964.
[6] SHIRAVI A, SHIRAVI H, TAVALLAEE M, et al. Toward developing a systematic approach to generate benchmark datasets for intrusion detection [J]. Computers & security, 2012, 31(3): 357?374.
隨著互聯網技術的不斷發展,互聯網在生活與工作中的應用范圍越來越廣,并逐漸改變著人們的生活與工作方式,其影響意義比較深遠。但是互聯網也存在較大的安全隱患,會導致網絡癱瘓或者信息丟失,嚴重影響人們的生活與工作。在傳統的網絡安全管理中通常會采用防火墻、惡意代碼檢測與入侵檢測等技術,但其安全防范效率不夠理想。為了提高網絡安全管理水平,促進網絡整體的正常運行,需要及時采取加固措施,以便對整體網絡安全進行有效的評估與預測。然而網絡安全態勢感知隨之產生,并逐漸受到人們的關注。本文就網絡安全態勢感知模型概況進行分析,探討網絡安全態勢感知模型的設計與關鍵技術的實現情況,以便提高網絡安全與管理質量。
關鍵詞:
網絡安全;態勢感知模型;設計與實現
0引言
在當今科學技術高度發展的時候,互聯網已經普遍應用與社會各個領域中,在給人們生活與工作帶來較大便利的同時,由于網絡攻擊、惡意行為等安全事件頻發,嚴重威脅到網絡安全,給人們的信息與隱私帶來較大的不良影響。因此,需要加強對網絡安全技術的研究,以便有效的提高網絡安全,減少安全隱患的發生。目前,大多數研究者將關注點放在網絡安全態勢感知研究上,其成為解決現有網絡安全事件的研究關鍵。其是一種有效的事前防御措施,對網絡安全環境信息進行收集,并對系統可能存在的威脅進行分析,從而預測未來網絡安全狀況的發展趨勢,以便減少網絡安全風險。
1網絡安全態勢感知模型概況
網絡安全態勢感知最早是在航空領域中提出與研究,其主要是通過對態勢感知理論進行研究,以便對飛行器進行分析,之后隨著該理論的逐漸成熟,逐漸廣泛用于軍事、交通、核工業等領域中。越來越多的人們關注態勢感知的研究。逐漸網絡態勢感知被提出,最早分為態勢要素獲取、態勢理解與態勢預測三級模型。隨著研究力度的不斷加大,在原有的基礎上進行異構傳感器管理的功能模型,主要是對異構網絡的安全態勢基礎數據進行采集,并對數據進行整合處理,以便對信息進行對比而形成威脅庫與靜態庫。
1.1網絡安全態勢的提取
網絡安全態勢信息的提取主要是態勢感知的基礎,對數據進行全面的收集,并使用成熟的指標體系,可以有效的確保結果的正確性,因此,需要重視態勢感知提取的重要性。網絡安全態勢感知的來源比較多元化,采取不同的收集昂發與設備,其收集到的數據格式也會不同。網絡安全態勢信息主要有流量、運行狀態、配置與用戶行為等內容。
1.2網絡安全態勢的理解
首先,需要對網絡安全事件進行關聯性分析。由于網絡安全事件的報警數據據具有重復性,沒有經過處理的態勢對對系統的正常運行帶來一定的負擔,并影響到分析結果。因此,需要對其進行關聯分析,以便對安全時間進行過濾。通過防火墻、入侵系統以及脆弱性分析等方式來處理。以便對虛假的網絡安全時間進行篩選,需要對基礎數據進行有效的過濾。
1.3網絡安全態勢預測
其主要是根據網絡目前與歷史完全數據進行分析,對其味蕾的發展情況以及可能出現的完全事故等進行預測。通過態勢預測可以盡可能早的發現網絡環境中可能出現的安全隱患,并對其及時采取有效的預防,從而可以達到較好的安全管理作用。
1.4態勢可視化
可視化是系統管理提供的一個可以感知的態勢感知平臺,能夠方便管理,對系統的整體情況通過可視化來感知。并且其展示的方式逐漸多元化,包括分支展示、曲線展示、統計展示等。
2網絡安全態勢感知模型的設計方案
2.1網絡安全態勢感知系統的定位設計
在網絡安全態勢感知模型中,其主要是應用與網絡安全管理中,其系統定位主要包括:在系統運行的時候,展示整體運行情況,并對管理人員提供可視化的管理平臺,以便積極采取響應措施。同時,需要對數據進行有效的采集,以便提高該系統運行的準確性。并且需要選擇高性能的評估與預測算法,對態勢感知進行綜合評估與預測。
2.2設計原則
首先,高效性原則。通過對復雜的網絡結構進行分析,在數據收集的時候,需要確保數據收集的高效性,從而促進系統的安全運行,以便快速的發現安全隱患,作出充足的應急方案。其次,實時性原則。重點需要在網絡動態情況下及時發現系統可能存在的安全隱患,以便及時采取措施來確保系統網絡的安全性。并且在感知的過程中需要對每個階段與流程堅持實時性原則,以便及時、準確的展示系統的運行狀態。再次,可擴展性原則。在態勢感知系統中主要是一個管理支撐平臺,必須要確保系統具備可擴展性,以便設計出靈活的接口形式,形成可擴展的網絡安全平臺。
2.3總結架構
網絡安全態勢感知模型是以態勢評估為主線,也是自主研發的態勢感知平臺,在設計的時候運用的是松耦合設計原則,各個模塊之間具有較強的獨立性,并且模塊之間通過數據接口來交互。該系統主要分為界面層與功能層兩方面。界面層中,是網絡安全態勢感知的展示與配置功能,主要是對網絡設備進行配飾,并對網絡拓撲結構進行繪制。同時,還具備動態計劃任務設置、管理、安全態勢指標配置等功能。而在功能層中,其主要是網絡安全態勢感知系統的核心所在,主要功能包括關聯分析、統計分析、數據采集、指標配置、態勢預測、評語與展示等。
2.4功能模塊關系
系統功能模塊之間的關系為核心模塊提供了基礎的保障,其主要的模塊是網絡安全態勢評估模塊。系統中的數據流主要是通過數據采集器在各種網絡環境中采集而來,并將其提高給態勢分析模塊,數據處理后需要向上層態勢模塊提交評估數據。在整個系統的交互過程中,數據采集器對數據進行基礎數據存儲與關聯分析,并對安全時間的數據庫進行存儲,同時,需要對網絡安全態勢評估后的結果進行存儲。
3網絡安全態勢感知模型設計的實現
3.1網絡安全態勢評估工作流程
其主要流程包括:(1)數據采集與關聯分析。對各種網絡環境中的數據進行有效的采集,并對其進行簡單的數據處理后,將其存入基礎數據庫。之后對網絡安全事件進行關聯性分析,從而形成網絡安全事件數據庫(。2)確定指標體系。對系統中需要的指標進行確定,以便根據評估算法來建立評估指標。(3)對模糊評估進行統計分析。在網絡安全系統中,通過對數據庫進行關聯性分析,可以形成可用性、安全性與可靠性的基礎數據庫(。4)安全響應。通過對態勢感知的評估結果進行分析后及時采取有效的影響措施來處理。(5)結果顯示。通過可視化功能對整體網絡安全態勢的運行情況進行展示。
3.2關鍵模塊功能的實現
通過對可用性、設備信息以及脆弱性信息進行有效的采集后,通過數據模塊采集,并給網絡安全態勢評估提供相關的數據庫資源。在指標配置模塊中,需要對動態配置指標進行有效的配置。而在關聯性分析模塊中,需要對網絡安全事件進行關聯性分析,從而形成網絡安全事件數據庫。在態勢評估模塊中,網絡安全態勢需要通過評估來了解系統目前的系統信息。而響應模塊需要對當前情況進行分析,以便響應網絡安全事件,并向管理人員提供安全響應。在態勢展示模塊中需要對整體的結果進行展示,對網絡節點信息展示并具有一定的告警展示。
3.3數據收集模塊的實現
在數據收集模塊中,主要是針對安全態勢感知而提出基礎數據源,在態勢評估過程中屬于第一個步驟。由于在網絡環境中,主要包括各種設備,例如防火墻、主機、網關燈,這些異構設備在運行環境、使用的協議以及數據格式等方面具有較大的不同。在對數據進行收集的時候,需要對無用的數據進行過濾,并對格式進行統一化,從而取得網絡的拓撲結構,對設備的相關信息進行完善,以便促進管理人員的安全管理。在數據收集模塊的設計與實現的時候,需要對網絡中的流量數據、日志數據以及漏洞數據等進行收集,并對其進行過濾,統一形成一種數據格式,之后將這些數據統一發送到服務器端。數據收集模塊的實現主要是通過管理中的計劃任務功能來完成的,在某個主機發生危險的時候,通過對數據的收集,從而快速的、準確的分析網絡安全事件,并積極采取有效的措施來解決。
3.4指標配置模塊的實現
在指標配置模塊中,其主要的功能是對網絡的安全態勢進行一級、二級指標配置,以便對其進行動態管理,輸入操作態勢評估,并且需要完成擴展功能,以便為今后的指標體系擴展提供相關的接口服務。該模塊主要是通過對指標間層次關系進行展示來實現的,并對數據源進行指標,以接口的形式來獲取數據,從而確保該模塊的正常運行。
3.5關聯分析模塊的實現
在網絡安全態勢感知模型中,關聯分析模塊是其中比較重要的一部分,對系統中網絡安全事件能夠有效的進行融合性分析,并對其進行分類與統計,可以過濾冗余的信息,對警報間的關系進行分析,從而緩解系統的工作。
3.6態勢評估模塊的實現
在該模塊中,需要對數據進行采集,并對其統計分析后形成數據庫,通過一定的計算方法進行網絡安全評估。通過對當前的網絡狀況進行評估來對該系統進行分層分析,從而達到網絡安全態勢評估的目的。通過層次分析的作用對指標權重值進行確定,并結合模糊匹配的評價方式來實現網絡安全態勢評估。
4總結
為了能夠有效的提高網絡安全管理質量與水平,減少網絡安全事故的發生,需要加強對網絡安全態勢感知模型進行分析研究,以便將其充分應用于網絡安全管理中。態勢感知模型是一種定量的分析方式,能夠進行準確的度量分析,在網絡安全管理中起著至關重要的作用。根據當前的網絡安全環境與實際需求來設計網絡安全態勢感知模型,可以有效的滿足實際需求,解決網絡安全隱患。
作者:徐振華 單位:北京信息職業技術學院
參考文獻
[1]王慧強,賴積保,胡明明,等.網絡安全態勢感知關鍵實現技術研究[J].武漢大學學報,2013,33(28):129-130.
[2]陳彥德,趙陸文,潘志松,等.網絡安全態勢感知系統結構研究[J].計算機工程與應用,2014,22(18):784-785.
[3]蒙仕偉.網絡安全態勢感知模型研究[J].硅谷,2013,19(12):832-833.
通過下一代防火墻、態勢感知檢測響應、安全云端、安全運營平臺,初步構建“網-端-云-平臺”一體化框架進行風險控制閉環。框架中,下一代防火墻、態勢感知檢測響應等網絡和端點安全設備持續采集網絡和端點側流量日志,安全云端和本地安全運營平臺通過發現和關聯流量日志中各類攻擊威脅失陷標志,找出入侵攻擊鏈,進一步在網絡和端點側進行控制處置,切斷攻擊鏈。
3.2建立初步的信任評估和控制機制
以上網行為管理和SSLVPN設備組件為基礎,對接各類型終端,入網前基于設備狀態和身份信息進行信任等級判定。并建立內部應用訪問身份認證機制。下一階段工作通過零信任技術建立更全面的訪問前信息采集和持續評估能力,進一步打通網絡、應用、數據訪問的身份和信任判決及控制。
3.3建立本地化安全運營能力
基于安全運營平臺,將全網終端威脅、網絡攻擊及業務系統安全通過大屏可視化的方式呈現,結合外部安全服務專家專屬服務化的方式,實現了網絡安全的閉環響應與處置,同時為內部人員提供信息安全知識與技能,沉淀本地知識經驗庫;基于安全運營平臺分析結果進行決策,指導各部門開展網絡安全工作;通過網絡安全運營平臺指導安全建設,提供安全策略優化指導,全面提升系統安全運營能力。
3.4構建針對未知威脅防控的人機共智能力
基于本地安全運營平臺、下一代防火墻、態勢感知檢測響應等設備組件中人工智能算法,借助安全云端的全球威脅情報和安全大數據分析輔助,初步構建針對已知和未知Web攻擊、僵尸網絡、各類型病毒、漏洞利用、部分APT攻擊和異常業務行為的檢測識別能力。通過演練成果應用,實現了滿足等級保護2.0合規要求,具備在實戰化攻防對抗中抵御攻擊、快速恢復能力,同時日常服務運維過程中對各類型業務和數據提供常態化安全防護。
4創新性與價值
信息系統安全建設基于自身信息化業務需求和網絡安全監管法規要求,以“體系合規,面向實戰,常態保護”為目標,“統籌風險,精益安全,持續推進,人機共智”為安全能力構建方向,逐步推進建設落地。規劃建設過程,體現了以下幾方面特色和優勢:(1)體系化統籌,從高層要求、監管法規等業務和內外部需求出發,從風險、安全、推進、智能四方面,體系化地規劃安全能力和落地過程[5]。(2)全面保障,整個建設理念和框架覆蓋的保護對象從物理環境,到網絡、主機、邊界等各層面,并對各類型業務和場景具有普適性。(3)面向未來,利用人機共智的三位一體能力,以及階段性演進的成熟度坐標,規劃面向未來的能力演進體系。(4)有效落地,創新網絡安全微服務架構,提升自動化管理效率,利用專家服務和輔助決策降低人員門檻,進一步通過可視化指標體系呈現安全建設績效。
1 前言
隨著信息化發展速度不斷加快,信息系統用戶規模不斷擴大、需求不斷更新、自動化程度不斷提高,信息系統安全狀況與企業經濟效益越來越密切,直接影響到企業的經營和形象問題。目前,防火墻、IDS、IPS等安全設備已經得到普遍使用,但是同時這些設備產生了海量安全數據,采用人工分析的方法已經無法實現安全威脅的及時預警與處置。另一方面,現有安全設備之間相對孤立,數據沒有得到關聯分析和綜合考慮,很難面對當今各種利用先進手段、高度隱蔽的網絡攻擊形式。因此,在現有安全手段的基礎上,獲取和分析海量攻擊行為數據,結合態勢感知技術實現信息安全行為的準確定位和智能預警,在信息安全防護工作中是非常必要的。
2 平臺構成
信息安全態勢智能預警分析平臺由系統數據接口、數據挖掘與融合技術、態勢分析與風險預警、可視化展示與系統管理六大部分。其中,系統數據接口用于查看目前監控的設備及應用系統;數據挖掘與融合提供有效的數據分析處理模型和數據分析方法;態勢分析和風險預警提供當前網絡安全態勢評估、未來網絡安全態勢預測及響應告警功能;可視化展示定義生成各類表單、圖表、報告、報表等用戶界面。
3 關鍵技術
3.1 數據采集
3.1.1 設備實時監測數據
信息安全態勢智能預警分析平臺監測重要網絡設備及服務器的運行狀態,主要對網絡邊界設備、核心交換設備、重要服務器等進行監視,獲取CPU、內存、網絡流量等性能或安全參數信息。通過該系統數據接口,可按照單個設備、某類設備、整個網絡設備來獲取相關設備數據。
3.1.2 掃描數據
采集日常運維中掃描數據,主要包括利用漏洞掃描工具發現的漏洞、弱口令等安全隱患信息。
3.1.3 日志文件數據
采集重要設備的日志文件數據,主要包括網絡邊界設備、核心交換設備、重要服務器的系統日志、安全日志、應用日志及告警日志等。
3.1.4 策略配置數據
采集重要設備的策略配置數據,主要包括主機、服務器、網絡設備等的安全策略配置信息以及策略變更信息等。
3.2 數據挖掘
數據挖掘的方法有很多種,其中關聯規則挖掘方法能夠從大量數據中挖掘出有價值描述數據項之間相互聯系的有關知識,挖掘用戶操作行為之間的關聯規則,反映用戶的操作傾向。
現實中網絡環境復雜,網絡設備種類多,影響因素之間相互關聯。選取的算法要能有效的對多源異構數據進行關聯分析并具有自學習性,能夠解決決策層的不確定性,不能僅憑專家經驗確定各指標對網絡安全狀態的影響程度。在底層使用關聯規則挖掘算法對異構數據進行關聯性分析,使用云模型對異構數據進行融合處理,在決策層使用貝葉斯決策方法進行態勢預測,較好的解決了態勢評估的不確定性。
3.3 態勢感知與風險預警
網絡安全態勢感知主要對網絡中部署的各類設備的運行狀態進行監測,對動態監測數據、設備運行日志、脆弱性、策略配置數據等進行融合分析,對目前網絡安全狀況進行風險評估,同時也對未來幾天網絡安全狀況進行預測。
安全風險預警實現各類安全隱患的報警功能。借助安全態勢感知功能對各類數據綜合分析,提出信息安全風險的來源分布以及風險可能帶來的危害,及時的對信息安全隱患或風險進行報警。
3.3.1 網絡實時狀況警報
實現網絡中的網絡設備、服務器、中間件等的實時運行狀態進行監控,并依據的上下限值提供報警功能。將告警指標和風險處理方法進行結合,實現在動態地圖上顯示出來并提供報警,能夠快速的定位出現問題的設備。實現網絡中關鍵的硬件設備配置的監控,實現對硬件的更換、策略的變更的報警功能。
3.3.2 態勢要素提取
態勢要素提取是態勢評估與預測的基礎。讀取核心交換機、重要業務服務器及信息系統、門戶網站、路由器、IPS、IDS等關鍵核心接入設備的配置信息、服務的狀態、操作日志、關鍵性能參數等。
3.3.3 態勢評估與分析
研究信息安全風險評估和分析方法,制定風險評估指標體系和評估模型,開展基于多協議和應用的關聯分析,識別程序或用戶的惡意行為,追蹤并提供威脅分析。
態勢感知的核心是態勢評估,是對當前安全態勢的一個動態理解過程。識別態勢信息中的安全事件并確定它們之間的關聯關系,根據所受到的威脅程度生成相應的安全態勢圖,反映出整個網絡的安全態勢狀況。
研究分層次的安全評估模型,以攻擊報警、掃描結果和網絡流量等信息為原始數據,發現各關鍵設備影響因素的脆弱性或威脅情況,在此基礎上,綜合評估網絡系統中各關鍵設備的安全狀況,再根據網絡系統結構,評估多個局部范圍網絡的安全態勢,然后再綜合分析和統計整個宏觀網絡的安全態勢。
3.3.4 態勢預測
態勢預測主要基于各類網絡設備、服務器、終端設備以及安全設備的記錄,進行關聯性分析,給出總體信息安全趨勢。態勢預測數據的來源包括用戶數據的輸入和監測到歷史數據和實時數據。
3.3.5 響應與報警
針對存在的威脅事件、預知的安全風險以及信息系統故障等進行報警,并提供解決的建議。利用數據挖掘與融合技術處理歷史數據和監測數據,經過網絡安全態勢評估與預測分析,對潛在安全風險進行分析預測,輸出預警信息。
3.4 可視化展示
根據用戶的不同需求,定義不同的功能視圖,實現多樣化、多元化的展示方式,包括漏洞、弱口令、病毒感染、違規外聯、威脅報警等信息。
4 結語
通過信息安全態勢感知與智能預警平臺,利用大數據技術將現有各類監測數據、日志數據、掃描數據等進行有效整合,能自動識別未知的新型攻擊、縮短事件響應時間并提高提高人員工作效率,為實時掌握網絡整體安全狀態和變化趨勢提供了基礎,從而提升企業信息安全主動防御能力。
關鍵詞 網絡安全;技術;網絡信息
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2013)14-0086-02
互聯網技術高速發展,在顯著提高了人們的生活質量的同時,正逐步改變著人們的生活方式。與此同時,互聯網安全問題也日益凸顯,成為影響用戶體驗的主要因素受到各界人士的廣泛關且已達成普遍的共識。信息資源的安全防范涉及到硬件和軟件兩方面內容,因此應采取系統性的保障措施,防止信息傳遞過程中泄露、破壞和更改,保證網絡系統正常、安全、穩定的運行。
1 信息安全管理存在的問題
1.1 操作系統漏洞
計算機軟件系統中操作系統是最基本、最重要的系統,為用戶正常使用計算機或安裝其他程序提供可運行的平臺。另外,操作系統還具備對計算機資源的管理功能,例如,可以通過相應的操作查看計算硬件和相關軟件存在的問題并對其進行管理。管理過程中會涉及系統某個模塊或程序的安全運行問題,這些模塊如果存在一些缺陷可能造成整個系統崩潰,影響計算機的正常使用。操作系統對信息傳輸、程序加載提供支持,尤其通過ftp傳輸的某些文件。這些文件中如果包含可執行文件也會帶來不安全因素。眾所周知,這些文件都是程序員編寫而成其中難免出現較多漏洞,這些漏洞不但會威脅計算機資源的安全,而且還可能引起整個操作系統的崩潰。本質上來看計算機操作系統出現問題的原因在于其允許用戶創建進程,能夠對其進行遠程激活,一旦被不法分子利用創建一些非法進程就能實現對計算機的控制威脅計算機安全。同時計算機還能通過操作系統實現對遠程硬、軟件的調用,在互聯網上傳遞調用信息是會經過很多網絡節點,這些網絡節點被別人竊聽就會造成相關信息的泄露,帶來巨大的經濟損失。
1.2 網絡開放性存在的漏洞
開放性是計算機網絡的顯著特點,該特點在促進網絡技術快速發展的同時,也給網絡安全帶來較大安全隱患。首先,互聯網的開放性使接入網絡的門檻降低,不同地區的不同人群紛紛接入網絡,他們相互交流互聯網的學術問題,不斷提出新的思想和方法,為互聯網技術的發展奠定堅實的基礎。其次,接入的這些用戶難免存在圖謀不軌的人,他們中的多數人要么為某個非法組織效力,要么為了炫耀網絡技術,進而對互聯網進行攻擊,這些攻擊有的是針對計算機軟件漏洞發起攻擊行為,有的對網絡層中的傳輸協議進行攻擊。從發起攻擊的范圍來看,大多數網路攻擊來源于本地用戶,部分來源于其它國家,尤其發生在國家之間的攻擊案例屢見不鮮,這些攻擊者擁有較強的網絡技能,進行的攻擊行為往往會給某個國家帶來嚴重的損失。因此,互聯網安全問題是世界性的問題,應引起人們的高度重視。
2 網絡安全技術介紹
2.1 入侵檢測
入侵檢測指通過收集審計數據,分析安全日志和網絡行為,判斷計算機系統中是否出現被攻擊或者違法安全策略行為。入侵檢測能夠使系統在入侵之前進行攔截,因此是一種積極主動的安全防御技術,被人們稱為除防火墻外的第一道安全防護閘門。入侵檢測的優點不僅體現在保護計算機安全上,還體現在入侵檢測時不會對網絡性能產生影響上。檢測入侵能夠時時監控來自外部攻擊、內部攻擊行為,提高計算機資源的安全系數。目前來看計算機檢測入侵主要分為混合入侵檢測、基于主機和網絡入侵檢測三種,在保障網絡安全運行中基于網絡入侵檢測技術應用較為廣泛。
2.2 可視化
在入侵檢測、防火墻以及漏洞掃描的基礎上,為了提高網絡安全的可視操作延伸出了網絡安全可視化技術,該技術可以說是上述安全技術的補充。網絡安全可視化技術將網絡中的系統數據和較為抽象的網絡結構以圖像化的形式展現在人們面前,并能時時反映網絡中出現的特殊信息,監控整個網絡的運行狀態,最終較為人性的提示用戶網絡中可能存在的安全風險,為網絡安全技術員分析網絡潛在的安全問題提供便利。網絡安全技術人員利用高維信息展開網絡具體狀況,從而能夠及時有效的發現網絡入侵行為,并對網絡安全事件的未來發展趨勢進行估計和評定,以此采取針對性措施進行處理,保證網絡安全防護更為便捷、智能和有效。
2.3 防火墻
防火墻是人們較為熟悉的網絡安全防范技術,是一種根據事先定義好的安全規則,對內外網之間的通信行為進行強制性檢查的防范措施,其主要作用是隱藏內部網絡結構,加強內外網通信之間的訪問控制。即根據實際情況設定外網訪問權限限制不符合訪問規則的行為,從而防止外網非法行為的入侵,保證內部網絡資源的安全。同時規范內網之間的訪問行為進一步提高網絡資源的安全級別。目前防火墻主要包含網絡層防火墻和應用層防火墻兩種類型,其中可將網絡層防火墻看做是IP封包過濾器,在底層的TCP/IP協議上運作。網絡管理員設置時可以只允許符合要求的封包通過,剩余的禁止穿過防火墻,不過注意一點防火墻并不能防止病毒的入侵。另外,網絡管理員也可以用較為寬松的角度設置防火墻,例如只要封裝包不符合任一“否定規則”就允許通過,目前很多網絡設備已實現內置防火墻功能;應用層防火墻主要在TCP/IP堆棧上的“應用層”上運作,一般通過瀏覽器或使用FTP上傳數據產生的數據流就屬于這一層。應用層防火墻可以攔截所有進出某應用程序的封包,通常情況將封包直接丟棄以達到攔截的目的。理論上來講這種防火墻能夠防止所有外界數據流入侵到受保護的機器中。
2.4 漏洞掃描
漏洞掃描通過漏洞掃描程序對本地主機或遠程設備進行安全掃描,從而及時發現系統中存在的安全漏洞,通過打補丁等方式保證系統的安全。工作過程中漏洞掃描程序通過掃描TCP/IP相關服務端口監控主機系統,并通過模擬網絡攻擊記錄目標主機的響應情況從而收集有用的數據信息,通過漏洞掃描能夠及時的發現和掌握計算機網絡系統存在安全漏洞,以此準確反映網絡運行的安全狀況,為網絡安全的審計創造良好的條件。從而能夠根據反饋的信息制定有效的應對措,例如下載相關的漏洞補丁或優化系統等及時的修補漏洞,減少有漏洞引起的網絡安全風險。
2.5 數據加密
數據加密是現在常用的安全技術即通過一定的規則將明文進行重新編碼,翻譯成別人無法識別的數據,當編碼后的數據傳輸過程中即便被不法人員截獲,但是沒有密鑰就不能破解加密后的信息,就無法知道信息的具體內容。數據加密技術主要應用在信息和動態數據的保護上,在當今電子商務發展迅速的時代,該項技術應用較為廣闊。數據加密系統主要有密鑰集合、明文集合、密文集合以及相關的加密算法構成,其中算法和數據是數據加密系統基本組成元素,算法主要有相關的計算法則和一些公式組成,它是實現數據加密的核心部分。密鑰則可看做算法的相關參數。數據加密技術的應用確保了數據在互聯網開放環境中的安全,它既不違背互聯網開放性特點,又保證了信息傳遞的安全性。
3 加強網絡信息資源管理措施
3.1 注重管理人員業務技能的提升
網絡信息資源管理面臨的最大威脅是人為攻擊,其中黑客攻擊就是人為攻擊的一種。目前可將網絡信息資源的攻擊行為分為主動攻擊和被動攻擊兩種,其中主動攻擊指利用非法手段破壞傳輸信息的完整性,即更改截獲來的數據包中的相關內容,以此達到誤導接收者的目的,或者進入系統占用大量系統資源,使系統不能提供正常的服務影響合法用戶的正常使用。被動攻擊在不影響數據信息傳遞的前提下,截取、破解傳遞的信息,這種攻擊手段通常不容易被人發覺,容易造成較大經濟損失。因此,針對這種情況應定期舉行相關的技術培訓,提高管理人員的專業技能水平,加強安全網絡的監測力度,并針對不同的攻擊方式制定有效的防御措施,同時在總結之前常見的網絡攻擊手段的研究,加強與國外先進技術的交流合作,共同探討防止網絡攻擊的新技術、新思路。
3.2 加強計算機軟件、硬件管理
軟件管理在保證網絡資源安全方面起著至關重要的作用,因此平時應注重軟件的管理。威脅軟件安全的主要因素是計算機病毒,所以管理員應定期利用殺毒軟件查殺病毒,并注重更新下載相關的補丁及時修補軟件漏洞。
加強計算機硬件管理應從兩方面入手,首先應為計算機的運行創造良好的外部環境,尤其應注重防火、防潮等工作,從而降低硬件損壞給網絡帶來的影響;其次,制定嚴格的管理制度,未經管理員允許不能打開機箱更換硬件,同時平時還應注重對硬件性能的檢測,發現問題應及時通知管理員進行排除。
4 總結
網絡為人們提供了新的信息共享方式,同時其安全性也面臨著嚴峻的考驗,面對當前互聯網安全存在的問題我國應加強這方面的技術研究,采用多種網絡安全技術保證信息傳遞的安全性。同時國家相關部門應制定詳細的法律法規,嚴厲打擊網絡攻擊和犯罪行為,以此營造良好的互聯網運營秩序。
參考文獻
[1]張泉龍.對網絡安全技術管理的探討[J].科技資訊,2011(18).
[2]王賢秋.淺議計算機網絡的信息資源管理[J].內江科技,2009(07).
[3]崔蓉.計算機信息網絡安全技術及發展方向[J].信息與電腦(理論版),2010(10).
關鍵詞:新型DPI;網絡安全態勢感知;網絡流量采集
經濟飛速發展的同時,科學技術也在不斷地進步,網絡已經成為當前社會生產生活中不可或缺的重要組成部分,給人們帶來了極大的便利。與此同時,網絡系統也遭受著一定的安全威脅,這給人們正常使用網絡系統帶來了不利影響。尤其是在大數據時代,無論是國家還是企業、個人,在網絡系統中均存儲著大量重要的信息,網絡系統一旦出現安全問題將會造成極大的損失。
1基本概念
1.1網絡安全態勢感知
網絡安全態勢感知是對網絡安全各要素進行綜合分析后,評估網絡安全整體情況,對其發展趨勢進行預測,最終以可視化系統展示給用戶,同時給出相應的統計報表和風險應對措施。網絡安全態勢感知包括五個方面1:(1)網絡安全要素數據采集:借助各種檢測工具,對影響網絡安全性的各類要素進行檢測,采集獲取相應數據;(2)網絡安全要素數據理解:對各種網絡安全要素數據進行分析、處理和融合,對數據進一步綜合分析,形成網絡安全整體情況報告;(3)網絡安全評估:對網絡安全整體情況報告中各項數據進行定性、定量分析,總結當前的安全概況和安全薄弱環節,針對安全薄弱環境提出相應的應對措施;(4)網絡安全態勢預測:通過對一段時間的網絡安全評估結果的分析,找出關鍵影響因素,并預測未來這些關鍵影響因素的發展趨勢,進而預測未來的安全態勢情況以及可以采取的應對措施。(5)網絡安全態勢感知報告:對網絡安全態勢以圖表統計、報表等可視化系統展示給用戶。報告要做到深度和廣度兼備,從多層次、多角度、多粒度分析系統的安全性并提供應對措施。
1.2DPI技術
DPI(DeepPacketInspection)是一種基于數據包的深度檢測技術,針對不同的網絡傳輸協議(例如HTTP、DNS等)進行解析,根據協議載荷內容,分析對應網絡行為的技術。DPI技術廣泛應用于網絡流量分析的場景,比如網絡內容分析領域等。DPI技術應用于網絡安全態勢感知領域,通過DPI技術的應用識別能力,將網絡安全關注的網絡攻擊、威脅行為對應的流量進行識別,并形成網絡安全行為日志,實現網絡安全要素數據精準采集。DPI技術發展到現在,隨著后端業務應用的多元化,對DPI系統的能力也提出了更高的要求。傳統DPI技術的實現主要是基于知名協議的端口、特征字段等作為識別依據,比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等協議特征的識別、基于源IP、目的IP、源端口和目的端口的五元組特征識別。但是隨著互聯網應用的發展,越來越多的應用采用加密手段和私有協議進行數據傳輸,網絡流量中能夠準確識別到應用層行為的占比呈現越來越低的趨勢。在當前網絡應用復雜多變的背景下,很多網絡攻擊行為具有隱蔽性,比如數據傳輸時采用知名網絡協議的端口,但是對傳輸流量內容進行定制,傳統DPI很容易根據端口特征,將流量識別為知名應用,但是實際上,網絡攻擊行為卻“瞞天過海”,繞過基于傳統DPI技術的IDS、防火墻等網絡安全屏障,在互聯網上肆意妄為。新型DPI技術在傳統DPI技術的基礎上,對流量的識別能力更強。基本實現原理是對接入的網絡流量根據網絡傳輸協議、內容、流特征等多元化特征融合分析,實現網絡流量精準識別。其目的是為了給后端的態勢感知系統提供準確的、可控的數據來源。新型DPI技術通過對流量中傳輸的不同應用的傳輸協議、應用層內容、協議特征、流特征等進行多維度的分析和打標,形成協議識別引擎。新型DPI的協議識別引擎除了支持標準、知名應用協議的識別,還可以對應用層進行深度識別。
2新型DPI技術在網絡安全態勢感知領域的應用
新型DPI技術主要應用于數據采集和數據理解環節。在網絡安全要素數據采集環節,應用新型DPI技術,可以實現網絡流量的精準采集,避免安全要素數據采集不全、漏采或者多采的現象。在網絡安全要素數據理解環節,在對數據進行分析時,需要基于新型DPI技術的特征知識庫,提供數據標準的說明,幫助態勢感知應用可以理解這些安全要素數據。新型DPI技術在進行網絡流量分析時主要有以下步驟,(1)需要對攻擊威脅的流量特征、協議特征等進行分析,將特征形成知識庫,協議識別引擎加載特征知識庫后,對實時流量進行打標,完成流量識別。這個步驟需要確保獲取的特征是有效且準確的,需要基于真實的數據進行測試統計,避免由于特征不準確誤判或者特征不全面漏判的情況出現。有了特征庫之后,(2)根據特征庫,對流量進行過濾、分發,識別流量中異常流量對應的攻擊威脅行為。這個步驟仍然要借助于協議識別特征知識庫,在協議識別知識庫中記錄了網絡異常流量和攻擊威脅行為的映射關系,使得系統可以根據異常流量對應的特征庫ID,進而得出攻擊威脅行為日志。攻擊威脅行為日志包含捕獲時間、攻擊者IP和端口、被攻擊者IP和端口、攻擊流量特征、攻擊流量的行為類型等必要的字段信息。(3)根據網絡流量進一步識別被攻擊的災損評估,同樣是基于協議識別知識庫中行為特征庫,判斷有哪些災損動作產生、災損波及的數據類型、數據范圍等。網絡安全態勢感知的分析是基于步驟2產生的攻擊威脅行為日志中記錄的流量、域名、報文和惡意代碼等多元數據入手,對來自互聯網探針、終端、云計算和大數據平臺的威脅數據進行處理,分析不同類型數據中潛藏的異常行為,對流量、域名、報文和惡意代碼等安全元素進行多層次的檢測。針對步驟1的協議識別特征庫,可以采用兩種實現技術:分別是協議識別特征庫技術和流量“白名單”技術。
2.1協議識別特征庫
在網絡流量識別時,協議識別特征庫是非常重要的,形成協議識別特征庫主要有兩種方式。一種是傳統方式,正向流量分析方法。這種方法是基于網絡攻擊者的視角分析,模擬攻擊者的攻擊行為,進而分析模擬網絡流量中的流量特征,獲取攻擊威脅的流量特征。這種方法準確度高,但是需要對逐個應用進行模擬和分析,研發成本高且效率低下,而且隨著互聯網攻擊行為的層出不窮和不斷升級,這種分析方法往往存在一定的滯后性。第二種方法是近年隨著人工智能技術的進步,逐漸應用的智能識別特征庫。這種方法可以基于威脅流量的流特征、已有網絡攻擊、威脅行為特征庫等,通過AI智能算法來進行訓練,獲取智能特征庫。這種方式采用AI智能識別算法實現,雖然在準確率方面要低于傳統方式,但是這種方法可以應對互聯網上層出不窮的新應用流量,效率更高。而且隨著特征庫的積累,算法本身具備更好的進化特性,正在逐步替代傳統方式。智能特征庫不僅僅可以識別已經出現的網絡攻擊行為,對于未來可能出現的網絡攻擊行為,也具備一定的適應性,其適應性更強。這種方式還有另一個優點,通過對新發現的網絡攻擊、威脅行為特征的不斷積累,完成樣本庫的自動化更新,基于自動化更新的樣本庫,實現自動化更新的流量智能識別特征庫,進而實現AI智能識別算法的自動升級能力。為了確保采集流量精準,新型DPI的協議識別特征庫具備更深度的協議特征識別能力,比如對于http協議能夠實現基于頭部信息特征的識別,包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等頭部信息,對于https協議,也能夠實現基于SNI的特征識別。對于目前主流應用,支持識別的應用類型包括網絡購物、新聞、即時消息、微博、網絡游戲、應用市場、網絡視頻、網絡音頻、網絡直播、DNS、遠程控制等,新型DPI的協議特征識別庫更為強大。新型DPI的協議識別特征庫在應用時還可以結合其他外部知識庫,使得分析更具目的性。比如通過結合全球IP地址庫,實現對境外流量定APP、特定URL或者特定DNS請求流量的識別,分析其中可能存在的跨境網絡攻擊、安全威脅行為等。
2.2流量“白名單”
在網絡流量識別時也同時應用“流量白名單”功能,該功能通過對網絡訪問流量規模的統計,對流量較大的、且已知無害的TOPN的應用特征進行提取,同時將這些特征標記為“流量白名單”。由于“流量白名單”中的應用往往對應較高的網絡流量規模,在網絡流量識別時,可以優先對流量進行“流量白名單”特征比對,比對成功則直接標記為“安全”。使用“流量白名單”技術,可以大大提高識別效率,將更多的分析和計算能力留給未知的、可疑的流量。流量白名單通常是域名形式,這就要求新型DPI技術能夠支持域名類型的流量識別和過濾。隨著https的廣泛應用,也有很多流量較大的白名單網站采用https作為數據傳輸協議,新型DPI技術也必須能夠支持https證書類型的流量識別和過濾。流量白名單庫和協議識別特征庫對網絡流量的處理流程參考下圖1:
3新型DPI技術中數據標準
安全態勢感知系統在發展中,從各個廠商獨立作戰,到現在可以接入不同廠商的數據,實現多源數據的融合作戰,離不開新型DPI技術中的數據標準化。為了保證各個廠商采集到的安全要素數據能夠統一接入安全態勢感知系統,各廠商通過制定行業數據標準,一方面行業內部的安全數據采集、數據理解達成一致,另一方面安全態勢感知系統在和行業外部系統進行數據共享時,也能夠提供和接入標準化的數據。新型DPI技術中的數據標準包括三個部分,第一個部分是控制指令部分,安全態勢感知系統發送控制指令,新型DPI在接收到指令后,對采集的數據范圍進行調整,實現數據采集的可視化、可定制化。同時不同的廠商基于同一套控制指令,也可以實現不同廠商設備之間指令操作的暢通無阻。第二個部分是安全要素數據部分,新型DPI在輸出安全要素數據時,基于統一的數據標準,比如HTTP類型的數據,統一輸出頭域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常見頭部和頭部關鍵內容。對于DNS類型的數據,統一輸出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通過定義數據描述文件,對輸出字段順序、字段說明進行描述。針對不同的協議數據,定義各自的數據輸出標準。數據輸出標準也可以從業務應用角度進行區分,比如針對網絡攻擊行為1定義該行為采集到安全要素數據的輸出標準。第三個部分是內容組織標準,也就是需要定義安全要素數據以什么形式記錄,如果是以文件形式記錄,標準中就需要約定文件內容組織形式、文件命名標準等,以及為了便于文件傳輸,文件的壓縮和加密標準等。安全態勢感知系統中安全要素數據標準構成參考下圖2:新型DPI技術的數據標準為安全態勢領域各類網絡攻擊、異常監測等數據融合應用提供了基礎支撐,為不同領域廠商之間數據互通互聯、不同系統之間數據共享提供便利。
4新型DPI技術面臨的挑戰
目前互聯網技術日新月異、各類網絡應用層出不窮的背景下,新型DPI技術在安全要素采集時,需要從互聯網流量中,將網絡攻擊、異常流量識別出來,這項工作難度越來越大。同時隨著5G應用越來越廣泛,萬物互聯離我們的生活越來越近,接入網絡的終端類型也多種多樣,針對不同類型終端的網絡攻擊也更為“個性化”。新型DPI技術需要從規模越來越大的互聯網流量中,將網絡安全相關的要素數據準確獲取到仍然有很長的路要走。基于新型DPI技術,完成網絡態勢感知系統中的安全要素數據采集,實現從網絡流量到數據的轉化,這只是網絡安全態勢感知的第一步。網絡安全態勢感知系統還需要基于網絡安全威脅評估實現從數據到信息、從信息到網絡安全威脅情報的完整轉化過程,對網絡異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊等多種類型的網絡安全威脅數據進行統計建模與評估,網絡安全態勢感知系統才能做到對攻擊行為、網絡系統異常等的及時發現與檢測,實現全貌還原攻擊事件、攻擊者意圖,客觀評估攻擊投入和防護效能,為威脅溯源提供必要的線索。
5結論
大數據安全標準化研究進展
國家信息安全標準化概述
物聯網安全參考架構研究
無線網絡的中間人攻擊研究
國內外云計算安全標準研究
移動互聯網信息安全標準綜述
智慧校園一卡通系統安全研究
融合的世界需要安全模式的創新
美國網絡威懾戰略解析及啟示
物理空間信息安全技術發展綜述
可見光信息隱蔽傳輸與檢測技術
基于大數據分析的APT防御方法
面向大數據安全的密碼技術研究
數據安全重刪系統與關鍵技術研究
惡意URL多層過濾檢測模型策略研究
基于RI碼計算的Word復制文檔鑒別
無線通信調制信號的信息安全風險分析
惡意USB設備攻擊與防護技術研究
大數據安全和隱私保護技術架構研究
面向網絡搜索日志的方法研究
基于數字簽名的QR碼水印認證系統
大數據安全形勢下電商的機遇與挑戰
基于聲信道的隱蔽信息傳輸關鍵技術
應急資源大數據云安全管理模式研究
滲透測試之信息搜集的研究與漏洞防范
一種新型的RSA密碼體制模數分解算法
基于WinHex手機圖片信息的恢復與取證
光纖通信的光信息獲取及防護技術研究
基于Web日志的Webshell檢測方法研究
國內外工業控制系統信息安全標準研究
智慧城市網絡安全標準化研究及進展
智慧城市網絡安全保障評價體系研究
一種基于安卓系統的手機側抓包分析方法
大數據時代的網絡輿情管理與引導研究
基于系統調用的惡意軟件檢測技術研究
安全通論——“非盲對抗”之“童趣游戲”
應對高級網絡威脅建立新型網絡防御系統
基于人工免疫的移動惡意代碼檢測模型
烏克蘭電力系統遭受攻擊事件綜合分析
一種實時網絡風險可視化技術研究及實現
電商大數據服務與監管時代的機遇與合作
更快、更高、更強:DT時代的信息安全挑戰
信息設備電磁泄漏還原圖像的文本識別研究
網絡空間信息基礎設施核心要素的自主之路
網絡安全標準是“牛鼻子”促進標準實施應用
Windows7下USB存儲設備接入痕跡的證據提取
基于大數據分析的電信基礎網安全態勢研究
此外,瑞星在2012年7月的信息安全報告顯示,感染型病毒仍普遍存在于國內企業網絡中,嚴重影響企業辦公效率。同時,由員工網絡操作不當造成的黑客入侵、商業機密泄露也威脅著企業的生存和發展。
B/S+C/S混合架構
隨著企業不斷壯大、業務量增加,企業網絡環境也日漸復雜:終端多,增速快,分布在全國甚至在全球各地;企業內部存在大量異構網絡,IT運維面臨桌面終端無法可視化和可管理化的難題。
以往的安全解決方案多采用B/S或C/S單一架構。C/S架構的優點是容易開發,操作簡單,但應用程序升級和客戶端維護麻煩,運維工作量大。近年來,一線安全廠商出于便捷管理的需要,大都采用B/S架構,通過外部網絡也可以對系統進行維護,并且能夠降低了成本。但B/S架構難以做到實時性,IT人員下發的安全策略難以盡快部署完畢。瑞星安全專家唐威表示,這是因為B/S架構不能實現在網絡上直接檢測和接收指令。
單一的B/S或C/S架構都難以應對復雜的網絡環境,滿足用戶的多樣化需求。為此,瑞星近日了瑞星企業終端安全管理系統,創新性地采用B/S+C/S混合架構,以幫助企業應對復雜的網絡環境。“混合架構的好處在于既容易操作,又具有靈活性、伸縮性和實時性。”唐威稱,“瑞星企業終端安全管理系統的定位是平臺化的系統,其設計理念是整合B/S和C/S架構的優勢,在不打破用戶習慣的前提下,根據用戶的個性化需求,將公司的Web體系和OA系統整合,集成到行業管理平臺中。”按照唐威的解釋,該系統通過混合架構對企業網絡進行一體化管理,并且可以實時部署安全策略。
混合架構之所以能實現復雜網絡環境的安全管理,得益于瑞星的一項自主研發的核心技術——網絡通信中間件。“如果使用第三方或開源的通信中間件,在可靠性方面會存在問題。瑞星自主開發使得效率提升和安全性都能得到保證。”瑞星研發部產品經理盛穎表示,IT人員部署安全策略之后很快就能得到反饋結果,這在很大程度上提升了用戶體驗。
內外網管理一體化
對于怎樣完善內網安全策略,企業并沒有一個明確的思路。企業甚至不知道該從哪里著手。企業已經意識到制定完善的安全策略的重要性,但是仍有疏漏。企業的網絡安全建設落后,不同品牌和功能的信息安全設備被雜亂無章地堆疊在企業網絡中,不但兼容性差,還容易造成企業網絡擁堵,降低辦公效率。對此,瑞星研發部產品經理盛穎在接受本報記者采訪時表示:“內網安全解決方案已經不只是簡單地做好內網安全,而是應該包括外網安全并向整個網絡安全解決方案發展。安全廠商必須提供一攬子方案,而不是讓用戶自己拼湊出一個安全系統。”
瑞星企業終端安全管理系統分為管理和維護兩大部分。在內網管理上,該系統囊括了內網安全管理、客戶端行為審計、即時通信管理和審計、客戶端漏洞掃描和補丁管理等功能。用戶可以通過可視化界面對企業內網客戶端的使用情況和網絡訪問情況進行全面的管理和審計。在內網和外網統一管理方面,該系統加入了IT資產管理功能,使管理員能夠在全網范圍內對軟硬件的異常情況一覽無遺。同時,為了應對不同規模和行業的用戶對安全的差異化需求,瑞星企業終端安全管理系統采用模塊化設計,企業可以根據自身情況定制相應功能模塊,并且可以在瑞星在線商城購買和升級。
關鍵詞:電子政務外網 安全管理平臺 SOC 安全策略
一、前言
國家電子政務外網作為一個支持跨部門和地區業務應用、數據交換和信息共享的電子政務建設的新生事物,盡管其建設規模還不大,建設時間也不長,但在國家有關部門的指導和支持下,依靠各部委和各地的通力合作,它已經充分展現了一個創新性網絡巨大的活力,開始得到了各部門和各地的重視和關注。目前,已有30多個部門的系統平臺接入政務外網,例如國務院應急辦國家應急平臺外網系統、自然資源和地理空間基礎數據庫、文化部文化信息資源共享平臺等一批關系國計民生的重要系統接入政務外網。從政務外網建設及應用情況來看,各部門對政務外網的需求是緊迫的,同時也對政務外網的安全性有了更高的要求。
二、國家電子政務外網安全管理平臺概述
如何對國家電子政務外網的安全進行有效的管理,如何保證利用政務外網開展業務的應用系統的安全性,是對負責政務外網網絡安全的人員管理能力的一種考驗。傳統的安全管理方式是將分散在各地、不同種類的安全防護系統分別管理,這樣導致安全信息分散、互不相通,安全策略難以保持一致。因此這種傳統的管理運行方式成為許許多多安全隱患形成的根源,很難對國家電子政務外網進行統一的、有效的安全管理。
國家電子政務外網安全管理平臺(Security Operation Center,SOC)為電子政務外網制定統一安全策略、統一安全標準,實現全網統一管理和監控,保障電子政務外網安全、穩定、高效地運行,實現政務外網基于安全的互聯互通。國家電子政務外網安全管理平臺實現了將不同位置、不同類型設備,不同安全系統中分散且海量的單一安全事件進行匯總、過濾、收集和關聯分析,得出整個電子政務外網的全局安全風險事件,并形成統一的安全決策對安全事件進行響應和處理,從而保障電子政務業務應用系統的真實性、完整性和保密性。
三、國家電子政務外網安全管理平臺框架
國家電子政務外網安全管理平臺(SOC)的主要思想是采用多種安全產品的Agent和安全控制中心,最大化地利用技術手段,在統一安全策略的指導下,將系統中的各個安全部件協同起來,實現對各種網絡安全資源的集中監控、統一策略管理、智能審計及多種安全功能模塊之間的互動,并且能夠在多個安全部件協同的基礎上實現實時監控、安全事件預警、報表處理、統計分析、應急響應等功能,使得網絡安全管理工作由繁變簡,更為有效。
國家電子政務外網安全管理平臺(SOC)的體系架構具備適應性強(能夠適用于不同省級節點接入網絡和系統環境)、可擴充性強、集中化安全管理等優點,其框架體系主要是為了解決目前各類安全產品各自為陣、難以組成一個整體安全防御體系的問題。真正的整體安全是在一個整體的安全策略下,安全產品、安全管理、安全服務以及管理制度相互協調的基礎上才能夠實現。國家電子政務外網安全管理平臺(SOC)框架如圖1所示。
四、國家電子政務外網安全管理平臺的主要功能
國家電子政務外網安全管理平臺為系統管理員和用戶提供對系統整體安全的監管,它在整個政務外網體系與各類安全技術、安全產品、安全防御措施等安全手段之間搭起橋梁,使得各類安全手段能與現有的國家電子政務外網應用體系緊密結合而實現無縫連接,以促成網絡安全與國家電子政務外網應用的真正一體化。目前,國家電子政務外網安全管理平臺基本實現了對國家電子政務外網中央城域網、廣域網骨干網的主要網絡設備、安全設備和網絡承載的業務系統的安全事件的管理,并具備監控、預警、響應、審計追蹤等功能。
圖2描述了國家電子政務外網安全管理平臺的功能框架。以下對其功能予以詳細闡述。
⒈統一管理
政務外網安全管理平臺(SOC)建立在安全設備部署的基礎之上,主要圍繞安全的預防、發現、反應環節搭建,實現了安全預警、集中監控、安全事件處理等更高層次的安全管理。這些建立在安全設備部署之上的安全管理包括:預防環節的安全預警信息通告,安全評估結果綜合分析的安全信息庫;發現環節的收集防火墻、入侵檢測、日志系統、防病毒系統中的有關安全事件,呈現安全告警的集中安全監控系統;反應環節的以電子流的方式,進行安全事件處理流轉,保存安全事件處理經驗的安全事件運行系統。
政務外網安全管理平臺(SOC)對各種安全產品的監控和管理,可以利用各個安全子系統中已有的信息采集和控制機制來實現,也可以采用直接與安全設備交互的方式進行,主要取決于各個安全子系統自身的構架以及提供的管理接口。
⒉安全事件實時監控與實時通報
網絡安全工作的本質在于控制網絡安全風險,風險管理是安全管理的核心。考察安全成本和安全威脅后果之間的關系,以可接受的成本來降低安全風險到可接受的水平。
國家電子政務外網上的各種安全設備和產品每天都要產生大量的各種安全事件。對這些事件的集中監視是控制網絡風險、保證網絡業務正常運行的重要手段。國家電子政務外網安全管理平臺專注于整個政務外網安全相關事件的實時監控,收集并匯總重大安全事件的數據(如:大規模蠕蟲事件,重大攻擊事件等),進行關聯性分析,全面提高對網絡事件的快速反應能力;同時,將安全事件備份到后臺的數據庫中,以備查詢和生成安全運行報告。
安全事件通報與業務系統、工作流緊密結合。國家電子政務外網安全管理平臺在發現某政務外網業務系統內出現安全事件后,還將及時把這些安全事件通知各業務系統的管理員以便及時予以處理。
⒊全網統一安全策略
對于電子政務外網的安全運行維護,最具有挑戰性的莫過于保持全網策略的一致性。尤其是對于日新月異的網絡安全技術,需要經常性頻繁應對出現的新漏洞,根據新的業務調整安全策略。
國家電子政務外網安全管理平臺支持統一、集成的策略管理,包括策略的制定、分發和策略執行情況的檢查。安全策略管理包括設備安全策略、事件響應策略和全局安全策略等。
統一安全策略管理制訂全網的安全策略,這些策略文件可下發給各相關部門,通過直接(也可以手工)的方式進行配置落實。策略的管理能夠通過全局策略的調整、業務的變化、各網管和部門反饋來的意見等情況,不斷調整、優化安全策略。
⒋基于角色的安全事件可視化
國家電子政務外網安全管理平臺提供統一的安全管理,并為不同級別和性質的管理員提供不同層次和性質的管理視圖。由于電子政務外網內部網絡系統是一個復雜的分布式大規模網絡,因此核心層、分布層以及接入層的網絡管理員具有不同的職責。系統不但能夠提供運行核心層的管理員對所有安全系統宏觀的管理視圖,也能夠為各地主要業務網絡的管理員對自己管轄區域內的安全設備和安全系統部件進行區域自治管理,此外,還能夠通過安全管理平臺(SOC)對分布于整個網絡的某個安全子系統,進行整體安全策略的發放和狀態監測及管理。
安全管理平臺(SOC)根據需要設置可視化條件,實時在全網拓撲圖中顯示最重要的多組事件,包括設備名稱、事件定位、風險概況、脆弱性等信息(如圖3所示)。
⒌安全事件關聯分析
安全管理平臺(SOC)要對各個不同安全設備(入侵檢測、漏洞掃描、防火墻等)報告的安全信息進行集中的數據挖掘和分析,進行全局的相關性分析和報表顯示,以發現低級安全事件相關聯后表現出的高級安全事件,以及異常行為之間、漏洞和入侵之間的對應關系,便于對攻擊的確認和安全策略的調整。國家電子政務外網安全管理平臺目前支持基于規則的關聯分析、基于統計的關聯分析和基于漏洞的關聯分析等3種形式。根據此關聯分析的功能,結合國家電子政務外網的業務應用系統的事件特征,通過分析與制定安全域與業務安全控制策略和基于業務應用的流程異常監控,制定相關的特定關聯分析規則,配合事件監控、拓撲管理及綜合顯示等方面的內容,從而實現國家電子政務外網業務安全監控及追蹤功能的事件定位。
⒍宏觀分析與安全決策支持
安全管理平臺(SOC)應支持對各安全設備上報的所有安全數據進行宏觀統計、分析和決策支持。宏觀統計分析主要是在大量數據的基礎上,對安全事件進行綜合分析,比如將攻擊信息和安全漏洞信息關聯起來,產生詳盡的安全報告,提供安全決策支持,強有力地支持全網安全事件的及時發現(檢測)、準確定位(追蹤)、盡快處理(應急響應)、進一步防范(預警)以及全網安全策略制定(策略)。國家電子政務外網運行維護管理員根據宏觀分析提供的全局安全狀況和安全態勢信息,并結合電子政務外網的管理體系、人員管理規章制度、管理流程以及行政管理規定,為針對安全事件的處理決策提供支持。圖4、圖5展示了安全管理人員可以借助安全管理平臺展示的全方位安全信息對政務外網的安全態勢進行宏觀把握,為決策提供支持。
⒎安全事件全局預警
對于像沖擊波、紅色代碼等危害較大的網絡蠕蟲的較大規模入侵,從一個地區向另一地區滲透可能有一定的延時。在這段延時期間,安全管理平臺(SOC)有義務將這種警報到尚未受攻擊的區域中去,以起到提前布防的預警作用。
國家電子政務外網安全管理平臺接到的報警如果符合提前設定的全局預警范圍,則將其下發到非來源的省級政務網絡中心,結合報警信息轉發及上傳的功能,實現這一報警事件下發到所有省級政務外網結點(如圖6所示)。
⒏安全事件知識庫
為了實現安全事件的集中收集、記錄、審計和流程化處理(集中、分類、入庫、處理),共享最新安全知識,保證國家電子政務外網安全人才的儲備,安全管理平臺(SOC)建立安全事件知識庫。知識庫將國家電子政務外網各級安全管理平臺的安全管理信息收集起來,為國家電子政務外網各級安全維護人員形成統一的安全共享知識庫,以完成安全信息管理和WEB,主要實現安全管理信息、安全事件庫、安全策略配置庫、安全技術信息交流、處置預案庫、補丁庫、安全知識庫等欄目的信息管理和瀏覽。安全管理員可以通過安全知識庫的輔助工具學習,了解相關知識,輔助進行運維工作。圖7是一個安全知識庫的截屏。
五、國家電子政務外網安全管理平臺的部署
根據國家電子政務外網安全管理平臺的組成,政務外網安全管理平臺最終建成分層分級結構:頂級為國家級安全管理平臺,第二級為省部級安全管理平臺,第三級為縣市級安全管理平臺。各級網絡安全管理中心負責對本級電子政務外網實施安全監控和集中管理。上級網絡安全管理中心可對下級網絡安全管理中心進行統一安全策略、運行狀態監控、安全信息收集等操作。下級網絡安全管理中心可接受上級網絡安全管理中心的安全預警信息。國家電子政務外網安全管理平臺整體部署如圖8所示。
在部署政務外網各級安全管理平臺過程中,涉及兩類下級安全管理平臺:一是新建的安全管理平臺,另一類是已建的安全管理平臺。對于新建的安全管理平臺在接入上級安全管理平臺時將在統一設計、統一標準、統一技術規范、統一部署的原則下進行建設,與上級安全管理平臺實現平滑和無縫對接。
部分電子政務建設比較好的省市,可能已建成安全管理平臺。在這種情況下,由于早期建設的安全管理平臺沒有統一的標準和規范,在管理對象、管理方式、協議支持等方面不盡相同,所以此類安全管理平臺不能直接與國家級安全管理平臺進行對接。因此需要針對不同的安全管理平臺進行調研和分析,本著最小改造的原則,為其增加設備,通過機制實現其與上級安全管理平臺的對接。
六、總結
目前,國家電子政務外網中央安全管理平臺的建設已基本建設完畢。通過幾個月的建設工作,安全管理平臺的實施為國家電子政務外網的安全運轉提供了良好的保障。首先,國家電子政務外網安全管理平臺提升了信息安全事件的處理水平。因為大量的安全事件通過安全管理平臺的過濾、歸并和排序后,降低到一個人工能夠處理的數量級。另外,安全管理平臺(SOC)自帶的專家知識庫能夠幫助平臺管理員正確地處理事件,減低了安全技術的門檻,為運維人員提供了有力的技術支持。其次,國家電子政務外網安全管理平臺提供了良好的可視化技術,用圖形化的方法向管理員展示了整個國家電子政務外網的安全整體狀況,便于管理員從宏觀上對全網的安全態勢進行整體把握。
綜上所述,國家電子政務外網安全管理平臺的實施是針對政務網絡系統傳統管理方式的一種重大變革。它結合政務網絡自身的特點,將不同位置、不同安全系統中分散且海量的單一安全事件進行匯總、過濾、收集和關聯分析,得出全局角度的安全態勢,并形成統一的安全決策對安全事件進行響應和處理。
作者簡介:
郭紅,女,1966年生,漢族,北京人,高級工程師,國家信息中心網絡安全部處長,研究方向:網絡安全。
王勇,男,1977年生,漢族,山東鄄城人,國家信息中心網絡安全部工程師,研究方向:網絡安全。
關鍵詞:大數據;計算機;網絡安全
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2017)01-0218-01
1 大數據的發展
大數據就是互聯網發展到現今階段的一種表象或特征而已,在以云計算為代表的技術創新大幕的襯托下,這些原本看起來很難收集和使用的數據開始容易被利用起來了,通過各行各業的不斷創新,大數據會逐步為人類創造更多的價值。
大數據是對于傳統數據處理應用程序不足以處理它們的大型或復雜數據集的術語。挑戰包括分析,捕獲,數據整理,搜索,共享,存儲,傳輸,可視化,查詢,更新和信息隱私。術語“大數據”通常僅指預測分析,用戶行為分析或某些其他高級數據分析方法的使用,這些方法從數據中提取價值,很少涉及特定大小的數據集。現在可用的數據量確實很大,但這不是這個新數據生態系統最相關的特征。數據集分析可以發現新的關聯,現貨業務趨勢,預防疾病,打擊犯罪等。科學家,企業高管,醫學從業者,廣告和政府都定期在大型數據集中在互聯網搜索,金融,城市信息學和商業信息學等領域遇到困難。科學家在電子科學工作中遇到限制,包括氣象學,基因組學,連通學,復雜物理模擬,生物學和環境研究數據集迅速增長,部分是因為它們越來越多地由便宜且眾多的信息感測移動設備,天線(遙感),軟件日志,攝像機,克風,射頻識別(RFID)讀取器和無線傳感器網絡收集。
2 信息安全概述
信息安全有時稱為計算機安全,信息技術安全是信息安全應用于技術(最常見的是某種形式的計算機系統)。值得注意的是,計算機不一定意味著家庭桌面。計算機是具有處理器和一些存儲器的任何設備。這樣的設備可以從簡單為計算器的非網絡獨立設備到諸如智能手機和平板計算機的聯網移動計算設備。由于大型企業中的數據的性質和價值,信息安全專家幾乎總是在任何大型企業/機構中找到。他們負責保護公司內的所有技術免受惡意網絡攻擊的威脅,這些攻擊通常試圖突破關鍵的私人信息或獲得內部系統的控制權。信息保證提供信息的信任,不違反信息的保密性,完整性和可用性(CIA)的行為。例如,確保在出現關鍵問題時數據不會丟失。這些問題包括但不限于:自然災害,計算機/服務器故障或物理盜竊。由于大多數信息存儲在我們現代時代的計算機上,信息保證通常由信息安全專家處理。提供信息保證的常見方法是在出現上述問題之一的情況下對數據進行異地備份。
3 大數據背景下的信息安全
在這個快速發展的智能硬件時代,困擾應用開發者的一個重要問題就是如何在功率、覆蓋范圍、傳輸速率和成本之間找到那個微妙的平衡點。企業組織利用相關數據和分析可以幫助它們降低成本、提高效率、開發新產品、做出更明智的業務決策等等,需要通過結合大數據和高性能的分析。大數據背景下的信息安全威脅有許多不同的形式,目前最常見的一些威脅是軟件攻擊,盜竊知識產權,身份竊取,設備或信息盜竊,破壞和信息勒索。大多數人都經歷過某種類型的軟件攻擊。病毒,蠕蟲,網絡釣魚攻擊和特洛伊木馬是軟件攻擊的幾個常見例子。盜竊知識產權對于IT領域的許多企業來說也是一個廣泛的問題。身份竊取是企圖作為別人通常獲取該人的個人信息或利用他們獲取重要信息的行為。由于今天的大多數設備是移動的,設備或信息的偷竊正變得越來越普遍。手機易于被盜,并且隨著數據容量的增加也變得更加理想。破壞通常包括破壞組織的網站,以試圖導致客戶失去信心。信息勒索包括盜竊公司的財產或信息,以試圖接收付款,以交換將信息或財產返還給其所有者(如勒索軟件)。有許多方法可以幫助保護自己免受這些攻擊,但最有用的預防措施之一是用戶的謹慎。關系數據庫管理系統和桌面統計以及可視化包常常難以處理大數據。工作可能需要“在數十,數百甚至數千臺服務器上運行的大規模并行軟件”。什么是“大數據”,取決于用戶及其工具的功能,并且擴展功能使大數據成為一個移動的目標。對于一些組織來說,第一次面對數百GB的數據可能需要重新考慮數據管理選項,而對于其他組織,在數據大小成為一個重要考慮因素之前,可能需要幾十或幾百TB的數據。隨著大數據的快速發展,就像計算機和互聯網一樣,大數據很有可能是新一輪的技術革命。隨之興起的數據挖掘、機器學習和人工智能等相關技術,可能會改變數據世界里的很多算法和基礎理論,實現科學技術上的突破,數據共享將擴展到企業層面,并且成為未來產業的核心一環。
參考文獻
[1]李玉輝.信息安全新形式下的信息安全運維管理研究[J].網絡安全技術與應用,2016(11).
[2]陳立權.網絡與信息安全技術在稅務系統中的應用[J].網絡安全技術與應用,2016(11).
2月17日,本報曾報道了馬年春節前夕全國通用頂級域的根服務器出現異常,導致國內大部分用戶無法正確解析域名從而無法訪問互聯網的事件,并呼吁各界重視并加強對DNS這一互聯網訪問“入口”的安全保障。3月4日,自動化網絡控制廠商Infoblox就在北京了高級DNS防護(Advanced DNS Protection)解決方案。
事實上,這是Infoblox繼DNS防火墻之后,推出的第二款網絡安全產品。一個自動化網絡控制廠商為什么開始涉足安全領域?用Infoblox大中華區售前經理邱迪的話說,之所以推出DNS防護解決方案或者說帶有安全防護功能的DNS產品,正是因為Infoblox注意到網絡安全威脅日益嚴重,注意到未來集成安全功能的網絡設備的市場需求。
“這是首款集成防御分布式拒絕服務(DDoS)攻擊、緩存毒害、異常查詢、隧道技術和其他DNS安全威脅的域名系統(DNS)設備。Infoblox解決方案將防御功能直接加入到強化的DNS服務器中,可實現比當今獨立的外部安全解決方案更強勁、更智能、更全面的保護。”邱迪告訴記者,Infoblox的高級DNS防護解決方案可提供多級防御,包括獨特的威脅檢測與削減能力、集中可見性與透明度、持續防護不斷進化的威脅等。
據介紹,Infoblox Advanced DNS Protection可以智能分析進站DNS查詢,并可將真實用戶的合法流量與DNS DDoS攻擊產生的惡意流量區分開來。通過這些信息,Infoblox設備就會拋棄DDoS攻擊流量,只對合法查詢做出響應。這樣就能在DDoS攻擊時保持業務的持續在線運營,而傳統的響應率限制方法只是簡單地限制DNS查詢響應數量,導致所有流量變慢。
毫無疑問,智能與可視化是網絡與安全產品的發展趨勢。通過Infoblox的高級DNS防護解決方案,企業和服務供應商可以通過一個獨立的控制界面發現其網絡上所有流經Infoblox Advanced DNS Protection設備的異常DNS流量,及早檢測和發現威脅則意味著更為有效的防御。“這一點對于DNS的安全防護非常重要,這是因為DDoS攻擊通常會瞄準多臺DNS服務器,攻擊開始時進行緩慢,而在通常情況下只有達到災難級別時攻擊才會被檢測到。”邱迪說。
此外,邱迪表示,Infoblox的自動更新服務會定期向Advanced DNS Protection設備發送新規則,而傳統安全修復與更新則需要等待數周時間。Infoblox Advanced DNS Protection可防御大范圍的DNS威脅,包括將惡意IP地址DNS緩存的緩存毒害;破壞DNS服務器的異常DNS查詢,以及用于盜取數據的隧道技術。
當然,Infoblox Advanced DNS Protection的優勢還在于它可以完全集成到Infoblox網格(Grid)中。“Infoblox網格是Infoblox網絡集中管理的基礎,如果需要增加安全機制,用戶只需要將設備增加到網格中或替換掉網格中原有的設備即可。基于網格技術,用戶可以做到以前的解決方案和新的方案完全融合在一起。”邱迪告訴記者。
“內置安全優于外接安全。通過智能地將安全功能直接集成到DNS設備中,Infoblox Advanced DNS Protection實現了更強勁更具洞察力的深層次DNS攻擊防御,其效果遠遠優于依靠一堆雜亂的獨立設備和服務。”Infoblox產品戰略兼企業發展執行副總裁Steve Nye表示。
CheckPoint是全球首屈一指的互聯網安全解決方案供貨商,致力于保護互聯網通信及重要數據的安全、提高其可靠性及可用性。CheckPoint提供全方位的安全解決方案,包括從企業網絡到移動設備的安全保護,以及最全面和可視化的安全管理方案,為各界客戶提供業界領先的解決方案,以抵御各種惡意軟件和威脅。CheckPoint以FireWall獲得專利的狀態檢測技術(Stateful inspection)發明而成為IT安全行業的先驅。目前狀態檢測技術仍是大多數網絡安全技術的基礎。作為IT安全行業的領軍企業,CheckPoint已經超越了傳統的被動防御模式,主動監管網絡安全事件狀態。
推出移動威脅防御解決方案
近年來,自帶設備辦公(BYOD)漸成風潮,企業需要管理和減輕自帶設備的風險,并保護員工和企業資產不受移動網絡攻擊。為了讓企業自如應對復雜的移動威脅環境,CheckPoint于2015年推出移動威脅防御解決方案。該解決方案可以阻止蘋果iOS 和安卓操作系統上的移動威脅,并可為現有的安全和移動架構添加實時威脅情報和可視性。CheckPoint移動威脅防御解決方案具有很高的移動威脅捕獲率,可檢測設備、應用和網絡層面的威脅,此外還可以提供透明的用戶體驗,并允許即時檢測和清除移動威脅,讓用戶可以保持安全連接,無需妥協。
打造CPU級別威脅防御功能
2015年初,CheckPoint宣布收購Hyperwise。Hyperwise成立于2013年,總部位于以色列特拉維夫市,是一家隱身模式技術的私有公司。CheckPoint通過本次收購獲得了先進的技術和由業界領先的工程師組成的高級技術團隊,大大提高了其威脅仿真惡意軟件的捕獲率。
Hyperwise發明了一種獨特的、尖端的CPU級別威脅防御引擎,可在感染之前消除威脅攻擊,從而實現了一個更高的威脅捕獲率,可大大提升用戶預防攻擊的能力。目前傳統的威脅防御方法要等到惡意軟件已經激活后,才能刪除或者阻止它,這就導致攻擊初始階段的威脅缺口無法解決。通過收購Hyperwise,CheckPoint可加強對感染之前的威脅檢測,從而彌補了這個缺口。CheckPoint 董事長兼首席執行官Gil Shwed表示,“安全技術創新必須走在威脅創新之前。對Hyperwise的收購為CheckPoint帶來了重要的技術和專家團隊,將會增強我們在威脅防御領域的領導地位。把下一代OS和CPU水平威脅保護與我們威脅仿真解決方案整合,CheckPoint將支持客戶網絡防護策略在攻擊萌芽階段即識別和阻止威脅”。
快速確保文檔安全
面對網絡攻擊,對很多企業來說,文檔依舊是引起感染的主要風險之一。根據CheckPoint的2014年安全報告,84%的公司曾在2013年下載過受感染的文檔。所以企業必須加強安全保護,防范此類攻擊。通過采用已知的安全元素重建文檔,先發制人消除威脅是完整保護文檔安全的重要途徑。激活式內容、嵌入式對象和其他可利用的內容被同時提取,重建后的文檔不再含有潛在威脅,所以可確保內容100%安全。2015年,CheckPoint全新安全解決方案“CheckPoint 威脅凈化”, 能夠以最快速度確保郵遞到網絡的文檔不含有惡意軟件。CheckPoint產品部副總裁DoritDor表示,“傳統的保護文檔不受感染的方法是查找然后隔離惡意軟件,這已不能提供絕對的保護。企業需要一種方法可以先發制人,一次性消除惡意軟件威脅。通過‘CheckPoint 威脅凈化’,企業可使用全新的技術保護自身網絡,確保文檔100%安全。”
