時(shí)間:2022-02-27 04:42:28
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)安全事件管理,希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友,陪伴您不斷探索和進(jìn)步。
第一章
總
則
第一條
為明確網(wǎng)絡(luò)安全事故責(zé)任主體(以下簡(jiǎn)稱“責(zé)任主體”),追究網(wǎng)絡(luò)安全事故的責(zé)任,結(jié)合醫(yī)院實(shí)際情況,制定本制度。責(zé)任主體的范圍包括科室或個(gè)人等。
第二條
負(fù)責(zé)追究責(zé)任主體事故責(zé)任的單位或個(gè)人統(tǒng)稱為責(zé)任追究主體,主要為衛(wèi)計(jì)部門網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組和蒲窩鎮(zhèn)衛(wèi)生院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組。
第三條
本制度適用于蒲窩鎮(zhèn)衛(wèi)生院所有科室,各科室根據(jù)本制度落實(shí)具體網(wǎng)絡(luò)安全工作。
第四條
網(wǎng)絡(luò)安全事故責(zé)任認(rèn)定實(shí)行“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則。
第五條
發(fā)生網(wǎng)絡(luò)安全事故后,應(yīng)根據(jù)安全事件造成的影響及相關(guān)責(zé)任主體的態(tài)度,作出如下處理:
(一)
批評(píng)教育。包括責(zé)令責(zé)任主體檢查、誡勉談話等;
(二)
書面檢查。責(zé)令責(zé)任主體向主管領(lǐng)導(dǎo)作出書面檢查;
(三)
通報(bào)批評(píng)。在衛(wèi)健系統(tǒng)范圍內(nèi)對(duì)責(zé)任主體發(fā)文通報(bào),責(zé)令整改;
(四)
一般處理。降低或扣除責(zé)任主體的月薪補(bǔ)貼,將事故寫入月度或年度考核中;
(五)
嚴(yán)肅處理。追究網(wǎng)絡(luò)安全事故發(fā)生負(fù)有領(lǐng)導(dǎo)責(zé)任的負(fù)責(zé)人的管理責(zé)任,發(fā)生嚴(yán)重網(wǎng)絡(luò)安全事故的,對(duì)相關(guān)責(zé)任人處以罰款、責(zé)令其賠償事故損失、通報(bào)批評(píng)、降職處理、直至開除。
(六)
報(bào)警處理。嚴(yán)重?fù)p壞社會(huì)或國(guó)家利益的,上報(bào)當(dāng)?shù)毓膊块T處理。
第六條
責(zé)任追究應(yīng)當(dāng)堅(jiān)持公平公正、有責(zé)必究、過(guò)罰相當(dāng)、教育與懲戒相結(jié)合的原則。
第二章
責(zé)任追究范圍和適用
第七條
責(zé)任主體有下列行為之一者,應(yīng)對(duì)其進(jìn)行批評(píng)教育或責(zé)令作出書面檢查:
(一)
發(fā)生一般或較大安全事件,未按要求上報(bào)的;
(二)
未按規(guī)定落實(shí)相關(guān)網(wǎng)絡(luò)安全管理制度及技術(shù)規(guī)范,且未導(dǎo)致安全事件發(fā)生的;
(三)
發(fā)生重大安全事件后,對(duì)調(diào)查工作配合不力的。
第八條
責(zé)任主體有下列行為之一者,應(yīng)當(dāng)責(zé)令其作出書面檢查或通報(bào)批評(píng):
(一)
發(fā)生重大安全事件,未按要求上報(bào)的;
(二)
未按規(guī)定落實(shí)相關(guān)網(wǎng)絡(luò)安全管理制度技術(shù)規(guī)范,導(dǎo)致一般或較大安全事件發(fā)生的;
(三)
發(fā)生重大或特別重大安全事件,且發(fā)生安全事件后處理及時(shí),未對(duì)醫(yī)院財(cái)產(chǎn)或聲譽(yù)造成影響的;
(四)
經(jīng)過(guò)批評(píng)教育或責(zé)令作出書面檢查后,仍不按規(guī)定落實(shí)相關(guān)網(wǎng)絡(luò)安全管理制度及技術(shù)規(guī)范的;
(五)
發(fā)生特別重大安全事件后,對(duì)調(diào)查工作配合不力的。
第九條
責(zé)任主體有下列行為之一者,應(yīng)當(dāng)予以通報(bào)批評(píng)或一般處理:
(一)
發(fā)生特別重大安全事件,未按要求上報(bào)的;
(二)
發(fā)生重大或特別重大安全事件,且發(fā)生安全事件后處理不及時(shí),給醫(yī)院財(cái)產(chǎn)或聲譽(yù)帶來(lái)一定影響的;
(三)
發(fā)生特別重大安全事件后,對(duì)調(diào)查工作不配合的。
第十條
責(zé)任主體有下列行為之一者,應(yīng)當(dāng)予嚴(yán)肅處理,情況十分嚴(yán)重者應(yīng)報(bào)警處理:
(一)
發(fā)生重大或特別重大安全事件造成后果嚴(yán)重并刻意隱瞞或謊報(bào),造成惡劣影響的;
(二)
未按規(guī)定落實(shí)相關(guān)網(wǎng)絡(luò)安全管理制度及技術(shù)規(guī)范導(dǎo)致發(fā)生重大或特別重大安全事件,且發(fā)生安全事件后處理不及時(shí),給醫(yī)院財(cái)產(chǎn)或聲譽(yù)帶來(lái)惡劣影響的;
(三)
發(fā)生安全事件后銷毀證據(jù)、弄虛作假的。
第十一條
對(duì)應(yīng)追究責(zé)任主體責(zé)任而敷衍結(jié)案、弄虛作假的,應(yīng)當(dāng)對(duì)責(zé)任追究主體通報(bào)批評(píng)。
第十二條
有下列情形之一者,不追究責(zé)任主體的責(zé)任:
(一)
因不可抗力導(dǎo)致發(fā)生的網(wǎng)絡(luò)安全事故;
(二)
有充分證據(jù)證明完全落實(shí)了相關(guān)安全要求,由未知原因?qū)е戮W(wǎng)絡(luò)安全事故發(fā)生的。
第十三條
責(zé)任主體主動(dòng)承認(rèn)過(guò)錯(cuò)并及時(shí)修補(bǔ)管理或技術(shù)漏洞,減少損失、挽回影響,態(tài)度非常好的,應(yīng)當(dāng)予以從輕或減輕責(zé)任追究。
第三章
責(zé)任追究程序和實(shí)施
第十四條
責(zé)任追究過(guò)程采用層層負(fù)責(zé)制,下級(jí)責(zé)任追究主體對(duì)上級(jí)責(zé)任追究主體負(fù)責(zé)。
第十五條
責(zé)任追究程序包括調(diào)查、對(duì)調(diào)查報(bào)告審核、作出責(zé)任追究決定等。
第十六條
對(duì)網(wǎng)絡(luò)安全事故的調(diào)查和對(duì)事故責(zé)任的初步定性由醫(yī)院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組及醫(yī)院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé),并對(duì)調(diào)查報(bào)告進(jìn)行審核。
第十七條
調(diào)查報(bào)告的審核重點(diǎn):
(一)
事故的事實(shí)是否清楚;
(二)
證據(jù)是否確實(shí)、充分;
(三)
性質(zhì)認(rèn)定是否準(zhǔn)確;
(四)
責(zé)任劃分是否明確。
第十八條
責(zé)任追究決定:
(一)
對(duì)責(zé)任主體作出批評(píng)教育、責(zé)令作出書面檢查、通報(bào)批評(píng)時(shí),由醫(yī)院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組直接決定。
(二)
對(duì)責(zé)任主體作出一般處理、嚴(yán)肅處理時(shí),由責(zé)任主體所在科室或上級(jí)部門網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組安全辦公室、人事、主管部門共同作出決定,并報(bào)網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組審批通過(guò)后執(zhí)行。
第十九條
對(duì)責(zé)任主體的追究決定由人事、財(cái)務(wù)、相對(duì)應(yīng)的主管部門、網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組辦公室等職能部門分別負(fù)責(zé)實(shí)施。
第四章
附
則
第二十條
本制度解釋權(quán)歸屬蒲窩鎮(zhèn)衛(wèi)生院醫(yī)院網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組辦公室。
第二十一條
本制度自之日起執(zhí)行。
信息化時(shí)代的到來(lái),推進(jìn)了網(wǎng)絡(luò)技術(shù)的高速發(fā)展和應(yīng)用,但各種計(jì)算機(jī)病毒和黑客的入侵也層出不窮,讓人防不勝防,建立強(qiáng)有力的預(yù)警系統(tǒng),,全方位地保障網(wǎng)絡(luò)安全,是我們首先要做到的。預(yù)警定位的目的就是警戒距離,及時(shí)正確的探測(cè)目標(biāo)活動(dòng)范圍,探測(cè)事實(shí)的真假,獲得有關(guān)數(shù)據(jù),處理相關(guān)信息,并迅速并自己獲得的探測(cè)情報(bào)快速傳送到信息安全控制中心,為其提供正確的決策信息。網(wǎng)絡(luò)隔離,就是把有害的攻擊隔離在可信網(wǎng)絡(luò)之外,同時(shí)也保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄,還能夠完成可信網(wǎng)絡(luò)之間的數(shù)據(jù)安全交換。
1 國(guó)內(nèi)外網(wǎng)絡(luò)安全問題現(xiàn)狀
國(guó)外的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)及入侵檢測(cè)技術(shù)的研究比我國(guó)要早,在重要政治,軍事以及經(jīng)濟(jì)網(wǎng)絡(luò)的非法入侵加強(qiáng)了防范和監(jiān)控。在美國(guó)還專門設(shè)立了計(jì)算機(jī)安全中心以及預(yù)警系統(tǒng),專門對(duì)付非法網(wǎng)絡(luò)入侵,負(fù)責(zé)搜索預(yù)警情報(bào),網(wǎng)絡(luò)攻防技術(shù),網(wǎng)絡(luò)信息戰(zhàn)指導(dǎo)以及網(wǎng)絡(luò)戰(zhàn)戰(zhàn)術(shù)預(yù)警中心等。美英對(duì)網(wǎng)絡(luò)安全問題都特別重視,自九七年以來(lái),一直致力于網(wǎng)絡(luò)安全預(yù)警技術(shù)的研究和開發(fā),并取得了不錯(cuò)的成績(jī),在預(yù)警技術(shù)研究上也遙遙領(lǐng)先于其他國(guó)家。
目前,我國(guó)還沒有專門的大規(guī)模預(yù)警系統(tǒng)工程,只是在某些領(lǐng)域局部地建立了入侵檢測(cè)預(yù)警系統(tǒng)。但是,要想跟上時(shí)代的步伐,適應(yīng)信息化時(shí)展的需要,保障我國(guó)各方面網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行,我們必須大力投入網(wǎng)絡(luò)入侵預(yù)警定位和隔離控制系統(tǒng)的研究,提升我們國(guó)家網(wǎng)絡(luò)系統(tǒng)的反應(yīng)能力,減少惡意網(wǎng)絡(luò)攻擊對(duì)我們?cè)斐傻膫Γ訌?qiáng)我們的跟蹤和反擊能力。
2 網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的研究
現(xiàn)在大規(guī)模的網(wǎng)絡(luò)安全事件時(shí)有爆發(fā),而小規(guī)模的網(wǎng)絡(luò)安全事件,更是層出不窮,為了防范和應(yīng)對(duì)頻繁爆發(fā)的網(wǎng)絡(luò)安全問題,我們必須在全國(guó)范圍甚至全世界范圍內(nèi)建立一個(gè)統(tǒng)一的網(wǎng)絡(luò)安全系統(tǒng),保障我們的網(wǎng)絡(luò)能夠安全可靠地運(yùn)行。
如何確保網(wǎng)絡(luò)安全?特別是面對(duì)大規(guī)模大范圍內(nèi)的網(wǎng)絡(luò)安全威脅問題如早幾年轟動(dòng)一時(shí)的蠕蟲事件,我們又該怎樣來(lái)應(yīng)對(duì)呢?我們要對(duì)安全事件的重災(zāi)區(qū)實(shí)行強(qiáng)有力的反擊,我們還要通過(guò)分析安全事件的特征,建立大規(guī)模網(wǎng)絡(luò)安全事件預(yù)警機(jī)制,通過(guò)監(jiān)控手段實(shí)時(shí)掌握安全事件的活動(dòng)范圍,對(duì)警戒災(zāi)區(qū)進(jìn)行快速定位,安全隔離,力爭(zhēng)把損失降到最少。
2.1 網(wǎng)絡(luò)安全事件的模式
網(wǎng)絡(luò)安全事件的模式大致分為已知安全事件和未知安全事件兩種模式。而網(wǎng)絡(luò)預(yù)警技術(shù)就是要通過(guò)分析大規(guī)模網(wǎng)絡(luò)安全事件的特性,從中找到和發(fā)現(xiàn)規(guī)律,從而能夠準(zhǔn)確地檢測(cè)安全事件和正確地預(yù)警。網(wǎng)絡(luò)預(yù)警技術(shù)能夠從網(wǎng)絡(luò)的正常活動(dòng)和異樣的活動(dòng)中發(fā)現(xiàn)其規(guī)律,來(lái)進(jìn)行入侵預(yù)警,提高工作人員的判斷能力,力爭(zhēng)把網(wǎng)絡(luò)安全威脅拒之門外。
2.2 網(wǎng)絡(luò)安全事件的控制
對(duì)于傳染蔓延性網(wǎng)絡(luò)安全事件,我們一定要在第一時(shí)間控制。傳染蔓延性網(wǎng)絡(luò)安全大體可以分為三個(gè)傳播階段:緩慢開始階段,快速傳播階段,緩慢結(jié)束階段。剛開始緩慢傳播階段,因?yàn)槭芸刂鳈C(jī)數(shù)量少,輻射傳播范圍也小,傳播速度也緩慢,就容易控制。所以,我們就要對(duì)安全事件擴(kuò)散蔓延進(jìn)行第一時(shí)間的預(yù)測(cè),判斷,直至預(yù)警,統(tǒng)一安排隔離,快速撒下大網(wǎng)覆蓋所有受感染主機(jī),確保將傳染性蔓延消失在萌芽狀態(tài)。
2.3 網(wǎng)絡(luò)安全整體戰(zhàn)略
對(duì)于大規(guī)模的網(wǎng)絡(luò)安全事件,我們一定要樹立整體戰(zhàn)略觀念,在全網(wǎng)范圍內(nèi)要統(tǒng)一行動(dòng),共同對(duì)外,共御強(qiáng)敵。對(duì)于網(wǎng)絡(luò)安全事件,各個(gè)部分都要統(tǒng)一行動(dòng)起來(lái),團(tuán)結(jié)一致貢獻(xiàn)自己的力量,把非法入侵分子趕出網(wǎng)絡(luò)。
對(duì)于預(yù)警災(zāi)區(qū)邊界地帶,也要加強(qiáng)防范,統(tǒng)一布置,該隔離就隔離,該治療就治療等,確保網(wǎng)絡(luò)安全。
3 實(shí)現(xiàn)網(wǎng)絡(luò)安全的方法和技術(shù)
在DCEORICS中,每一個(gè)獨(dú)立的自治網(wǎng)絡(luò)通過(guò)協(xié)同控制,共同工作,醞造一個(gè)安全舒適的網(wǎng)絡(luò)世界。各個(gè)不同的自治網(wǎng)絡(luò)還可以實(shí)現(xiàn)資源和信息安全共享,實(shí)現(xiàn)更大領(lǐng)域的協(xié)調(diào)互補(bǔ),建立大規(guī)模網(wǎng)絡(luò)統(tǒng)一安全體系。
3.1 入侵蔓延預(yù)測(cè)模型的建立
我們?cè)谌W(wǎng)建立完善的入侵監(jiān)控模型,通過(guò)審核監(jiān)控進(jìn)入和外發(fā)流量,及時(shí)將數(shù)據(jù)輸送給預(yù)警監(jiān)控中心,讓監(jiān)控中心通過(guò)統(tǒng)計(jì)分析這些數(shù)據(jù),建立其預(yù)警預(yù)測(cè)機(jī)制,確保網(wǎng)絡(luò)安全。
3.2 全網(wǎng)統(tǒng)一安全控制策略
對(duì)各分布式網(wǎng)絡(luò)實(shí)行統(tǒng)一管理,建立統(tǒng)一的公共安全控制模型。對(duì)主機(jī)傳播的文件數(shù)據(jù)進(jìn)行嚴(yán)格的審查,針對(duì)各個(gè)不同安全事件的活動(dòng)特性,采取不同的隔離防范措施,研究隔離控制策略的自動(dòng)生成方式,自動(dòng)生成隔離控制策略,建立隔離數(shù)據(jù)庫(kù)。多側(cè)面,多層次,全方位地研究隔離的策略,管理方式等,力爭(zhēng)把安全事件消滅在萌芽狀態(tài),及時(shí)隔離控制。
3.3 協(xié)同預(yù)警與隔離控制模型
協(xié)同預(yù)警與隔離控制模型既要服從,又要相互尊重,相互協(xié)作。上層系統(tǒng)由協(xié)同預(yù)警模塊與隔離控制模塊組成。安全控制策略模型把全網(wǎng)絡(luò)分成安全區(qū),警戒區(qū),危險(xiǎn)區(qū),問題區(qū),并且對(duì)各個(gè)不同的區(qū)采用不同的隔離策略,全網(wǎng)還有一個(gè)最高指揮系統(tǒng)――安全控制中心,負(fù)責(zé)統(tǒng)一調(diào)配等。
4 結(jié)語(yǔ)
對(duì)于大規(guī)模網(wǎng)絡(luò)的預(yù)警定位與快速隔離控制,我們不再是束手無(wú)策了,DCEORICS已然能夠輕松自如地進(jìn)行準(zhǔn)確的監(jiān)控和預(yù)警,并且能夠及時(shí)定位,而且還能立馬采取應(yīng)對(duì)措施,實(shí)行安全控制和隔離,確保網(wǎng)絡(luò)正常運(yùn)行。
參考文獻(xiàn)
[1]趙剛.試論網(wǎng)絡(luò)信息安全控制技術(shù)及應(yīng)用[J].湖北科技學(xué)院學(xué)報(bào),2013,33(11):194-195.
[2]姚志強(qiáng),張文.企業(yè)網(wǎng)的安全控制技術(shù)[J].高師理科學(xué)刊,2002,22(2):13-15.
一、高度重視,迅速貫徹落實(shí)
通過(guò)召開專題會(huì)議、發(fā)送微信通知,及時(shí)將上級(jí)的文件精神傳達(dá)給每位干部職工,讓全體黨員干部充分認(rèn)識(shí)到做好當(dāng)前網(wǎng)絡(luò)信息安全保障工作的重要性和必要性,并作為當(dāng)前的一件頭等大事來(lái)抓,確保網(wǎng)絡(luò)安全。
二、強(qiáng)化管理,明確責(zé)任
為進(jìn)一步完善網(wǎng)絡(luò)信息安全管理機(jī)制,嚴(yán)格按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、屬地管理”的原則,明確了第一責(zé)任人和直接責(zé)任人,加強(qiáng)對(duì)本單位的內(nèi)部辦公網(wǎng)及其它信息網(wǎng)站的監(jiān)督管理,防范黑客的入侵。嚴(yán)禁傳播、下載、發(fā)表一切不利于黨和國(guó)家的信息資料,堅(jiān)決制止違紀(jì)違規(guī)行為發(fā)生,確保網(wǎng)絡(luò)信息安全。按照上級(jí)要求,迅速成立了網(wǎng)絡(luò)安全工作小組,負(fù)責(zé)網(wǎng)絡(luò)安全應(yīng)急工作,組織單位有關(guān)方面做好應(yīng)急處置工作,組織開展局域網(wǎng)絡(luò)安全信息的匯集、研判,及時(shí)向縣網(wǎng)信辦報(bào)告。當(dāng)發(fā)生重大網(wǎng)絡(luò)安全事件時(shí),能及時(shí)做好應(yīng)急響應(yīng)相關(guān)工作。由辦公室負(fù)責(zé)本區(qū)域網(wǎng)絡(luò)安全事件的監(jiān)測(cè)預(yù)警和應(yīng)急處置工作,分管副局長(zhǎng)為網(wǎng)絡(luò)安全工作小組的副組長(zhǎng),負(fù)責(zé)辦公室。建立了本單位計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理崗位責(zé)任制,明確主管領(lǐng)導(dǎo),落實(shí)責(zé)任部門,各盡其職,常抓不懈,并按照“誰(shuí)主管誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,切實(shí)履行好網(wǎng)絡(luò)信息安全保障職責(zé)。
三、信息報(bào)告與應(yīng)急支持
1.積極響應(yīng)上級(jí)領(lǐng)導(dǎo)的有關(guān)要求,實(shí)時(shí)觀測(cè)本區(qū)域網(wǎng)絡(luò)安全信息,努力做到有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件,一旦發(fā)生重大安全網(wǎng)絡(luò)事件及時(shí)向縣網(wǎng)信辦報(bào)送網(wǎng)絡(luò)安全事件和風(fēng)險(xiǎn)信息,并及時(shí)上報(bào)相關(guān)部門,積極配合協(xié)同做好應(yīng)急準(zhǔn)備工作或處置。
2.積極建立健全本系統(tǒng)、本部門、本行業(yè)重大網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機(jī)制。應(yīng)急處置時(shí),需要其他部門、行業(yè)或技術(shù)支撐隊(duì)伍支持的,一定及時(shí)報(bào)請(qǐng)縣網(wǎng)信辦協(xié)調(diào),同時(shí)配合其他部門盡快解決。
四、細(xì)化措施,排除隱患。
辦公室將對(duì)對(duì)全局的網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)進(jìn)行一次細(xì)致的排查。檢查安裝桌面終端安全管理系統(tǒng)和殺毒軟件,確保桌面終端安全管理系統(tǒng)注冊(cè)率和360殺毒軟件覆蓋率達(dá)百分之百。對(duì)于在檢查中發(fā)現(xiàn)的問題或可能存在的安全隱患、安全漏洞和薄弱環(huán)節(jié),立即進(jìn)行整改。進(jìn)一步完善相關(guān)應(yīng)急預(yù)案,落實(shí)應(yīng)急保障條件。杜絕出現(xiàn)違規(guī)“自選動(dòng)作”,遇重大突發(fā)敏感事件,一律按統(tǒng)一部署進(jìn)行報(bào)道。各科室要嚴(yán)把網(wǎng)上宣傳報(bào)道導(dǎo)向關(guān),嚴(yán)格規(guī)范稿源,不得違規(guī)自采,不得違規(guī)轉(zhuǎn)裁稿件,不得擅自篡改標(biāo)題。嚴(yán)格網(wǎng)上新聞報(bào)道審校制度,防止出現(xiàn)低級(jí)錯(cuò)誤,同時(shí)加大了對(duì)新聞跟帖的管理,組織本單位網(wǎng)評(píng)員積極跟帖。
五、應(yīng)急值守
1.單位網(wǎng)絡(luò)安全應(yīng)急負(fù)責(zé)人、聯(lián)系人要保持網(wǎng)絡(luò)暢通,及時(shí)接收風(fēng)險(xiǎn)提示、預(yù)警信息和任務(wù)要求,并按要求報(bào)告相關(guān)情況。負(fù)責(zé)人、聯(lián)系人名單或聯(lián)系方式有調(diào)整的,及時(shí)函告縣網(wǎng)信辦。
2.值班期間,實(shí)行每日“零報(bào)告”制度,每日下午17:00前,報(bào)送當(dāng)天本部門網(wǎng)絡(luò)安全運(yùn)行情況、受攻擊情況和事件情況,一旦發(fā)生網(wǎng)絡(luò)安全事件,立即啟動(dòng)應(yīng)急預(yù)案,迅速應(yīng)對(duì),有效處置,并按規(guī)定程序及時(shí)報(bào)告有關(guān)情況。
六、工作要求
隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,互聯(lián)網(wǎng)在生活與工作中的應(yīng)用范圍越來(lái)越廣,并逐漸改變著人們的生活與工作方式,其影響意義比較深遠(yuǎn)。但是互聯(lián)網(wǎng)也存在較大的安全隱患,會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓或者信息丟失,嚴(yán)重影響人們的生活與工作。在傳統(tǒng)的網(wǎng)絡(luò)安全管理中通常會(huì)采用防火墻、惡意代碼檢測(cè)與入侵檢測(cè)等技術(shù),但其安全防范效率不夠理想。為了提高網(wǎng)絡(luò)安全管理水平,促進(jìn)網(wǎng)絡(luò)整體的正常運(yùn)行,需要及時(shí)采取加固措施,以便對(duì)整體網(wǎng)絡(luò)安全進(jìn)行有效的評(píng)估與預(yù)測(cè)。然而網(wǎng)絡(luò)安全態(tài)勢(shì)感知隨之產(chǎn)生,并逐漸受到人們的關(guān)注。本文就網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型概況進(jìn)行分析,探討網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的設(shè)計(jì)與關(guān)鍵技術(shù)的實(shí)現(xiàn)情況,以便提高網(wǎng)絡(luò)安全與管理質(zhì)量。
關(guān)鍵詞:
網(wǎng)絡(luò)安全;態(tài)勢(shì)感知模型;設(shè)計(jì)與實(shí)現(xiàn)
0引言
在當(dāng)今科學(xué)技術(shù)高度發(fā)展的時(shí)候,互聯(lián)網(wǎng)已經(jīng)普遍應(yīng)用與社會(huì)各個(gè)領(lǐng)域中,在給人們生活與工作帶來(lái)較大便利的同時(shí),由于網(wǎng)絡(luò)攻擊、惡意行為等安全事件頻發(fā),嚴(yán)重威脅到網(wǎng)絡(luò)安全,給人們的信息與隱私帶來(lái)較大的不良影響。因此,需要加強(qiáng)對(duì)網(wǎng)絡(luò)安全技術(shù)的研究,以便有效的提高網(wǎng)絡(luò)安全,減少安全隱患的發(fā)生。目前,大多數(shù)研究者將關(guān)注點(diǎn)放在網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究上,其成為解決現(xiàn)有網(wǎng)絡(luò)安全事件的研究關(guān)鍵。其是一種有效的事前防御措施,對(duì)網(wǎng)絡(luò)安全環(huán)境信息進(jìn)行收集,并對(duì)系統(tǒng)可能存在的威脅進(jìn)行分析,從而預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全狀況的發(fā)展趨勢(shì),以便減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
1網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型概況
網(wǎng)絡(luò)安全態(tài)勢(shì)感知最早是在航空領(lǐng)域中提出與研究,其主要是通過(guò)對(duì)態(tài)勢(shì)感知理論進(jìn)行研究,以便對(duì)飛行器進(jìn)行分析,之后隨著該理論的逐漸成熟,逐漸廣泛用于軍事、交通、核工業(yè)等領(lǐng)域中。越來(lái)越多的人們關(guān)注態(tài)勢(shì)感知的研究。逐漸網(wǎng)絡(luò)態(tài)勢(shì)感知被提出,最早分為態(tài)勢(shì)要素獲取、態(tài)勢(shì)理解與態(tài)勢(shì)預(yù)測(cè)三級(jí)模型。隨著研究力度的不斷加大,在原有的基礎(chǔ)上進(jìn)行異構(gòu)傳感器管理的功能模型,主要是對(duì)異構(gòu)網(wǎng)絡(luò)的安全態(tài)勢(shì)基礎(chǔ)數(shù)據(jù)進(jìn)行采集,并對(duì)數(shù)據(jù)進(jìn)行整合處理,以便對(duì)信息進(jìn)行對(duì)比而形成威脅庫(kù)與靜態(tài)庫(kù)。
1.1網(wǎng)絡(luò)安全態(tài)勢(shì)的提取
網(wǎng)絡(luò)安全態(tài)勢(shì)信息的提取主要是態(tài)勢(shì)感知的基礎(chǔ),對(duì)數(shù)據(jù)進(jìn)行全面的收集,并使用成熟的指標(biāo)體系,可以有效的確保結(jié)果的正確性,因此,需要重視態(tài)勢(shì)感知提取的重要性。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的來(lái)源比較多元化,采取不同的收集昂發(fā)與設(shè)備,其收集到的數(shù)據(jù)格式也會(huì)不同。網(wǎng)絡(luò)安全態(tài)勢(shì)信息主要有流量、運(yùn)行狀態(tài)、配置與用戶行為等內(nèi)容。
1.2網(wǎng)絡(luò)安全態(tài)勢(shì)的理解
首先,需要對(duì)網(wǎng)絡(luò)安全事件進(jìn)行關(guān)聯(lián)性分析。由于網(wǎng)絡(luò)安全事件的報(bào)警數(shù)據(jù)據(jù)具有重復(fù)性,沒有經(jīng)過(guò)處理的態(tài)勢(shì)對(duì)對(duì)系統(tǒng)的正常運(yùn)行帶來(lái)一定的負(fù)擔(dān),并影響到分析結(jié)果。因此,需要對(duì)其進(jìn)行關(guān)聯(lián)分析,以便對(duì)安全時(shí)間進(jìn)行過(guò)濾。通過(guò)防火墻、入侵系統(tǒng)以及脆弱性分析等方式來(lái)處理。以便對(duì)虛假的網(wǎng)絡(luò)安全時(shí)間進(jìn)行篩選,需要對(duì)基礎(chǔ)數(shù)據(jù)進(jìn)行有效的過(guò)濾。
1.3網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)
其主要是根據(jù)網(wǎng)絡(luò)目前與歷史完全數(shù)據(jù)進(jìn)行分析,對(duì)其味蕾的發(fā)展情況以及可能出現(xiàn)的完全事故等進(jìn)行預(yù)測(cè)。通過(guò)態(tài)勢(shì)預(yù)測(cè)可以盡可能早的發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中可能出現(xiàn)的安全隱患,并對(duì)其及時(shí)采取有效的預(yù)防,從而可以達(dá)到較好的安全管理作用。
1.4態(tài)勢(shì)可視化
可視化是系統(tǒng)管理提供的一個(gè)可以感知的態(tài)勢(shì)感知平臺(tái),能夠方便管理,對(duì)系統(tǒng)的整體情況通過(guò)可視化來(lái)感知。并且其展示的方式逐漸多元化,包括分支展示、曲線展示、統(tǒng)計(jì)展示等。
2網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的設(shè)計(jì)方案
2.1網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的定位設(shè)計(jì)
在網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型中,其主要是應(yīng)用與網(wǎng)絡(luò)安全管理中,其系統(tǒng)定位主要包括:在系統(tǒng)運(yùn)行的時(shí)候,展示整體運(yùn)行情況,并對(duì)管理人員提供可視化的管理平臺(tái),以便積極采取響應(yīng)措施。同時(shí),需要對(duì)數(shù)據(jù)進(jìn)行有效的采集,以便提高該系統(tǒng)運(yùn)行的準(zhǔn)確性。并且需要選擇高性能的評(píng)估與預(yù)測(cè)算法,對(duì)態(tài)勢(shì)感知進(jìn)行綜合評(píng)估與預(yù)測(cè)。
2.2設(shè)計(jì)原則
首先,高效性原則。通過(guò)對(duì)復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分析,在數(shù)據(jù)收集的時(shí)候,需要確保數(shù)據(jù)收集的高效性,從而促進(jìn)系統(tǒng)的安全運(yùn)行,以便快速的發(fā)現(xiàn)安全隱患,作出充足的應(yīng)急方案。其次,實(shí)時(shí)性原則。重點(diǎn)需要在網(wǎng)絡(luò)動(dòng)態(tài)情況下及時(shí)發(fā)現(xiàn)系統(tǒng)可能存在的安全隱患,以便及時(shí)采取措施來(lái)確保系統(tǒng)網(wǎng)絡(luò)的安全性。并且在感知的過(guò)程中需要對(duì)每個(gè)階段與流程堅(jiān)持實(shí)時(shí)性原則,以便及時(shí)、準(zhǔn)確的展示系統(tǒng)的運(yùn)行狀態(tài)。再次,可擴(kuò)展性原則。在態(tài)勢(shì)感知系統(tǒng)中主要是一個(gè)管理支撐平臺(tái),必須要確保系統(tǒng)具備可擴(kuò)展性,以便設(shè)計(jì)出靈活的接口形式,形成可擴(kuò)展的網(wǎng)絡(luò)安全平臺(tái)。
2.3總結(jié)架構(gòu)
網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型是以態(tài)勢(shì)評(píng)估為主線,也是自主研發(fā)的態(tài)勢(shì)感知平臺(tái),在設(shè)計(jì)的時(shí)候運(yùn)用的是松耦合設(shè)計(jì)原則,各個(gè)模塊之間具有較強(qiáng)的獨(dú)立性,并且模塊之間通過(guò)數(shù)據(jù)接口來(lái)交互。該系統(tǒng)主要分為界面層與功能層兩方面。界面層中,是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的展示與配置功能,主要是對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配飾,并對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行繪制。同時(shí),還具備動(dòng)態(tài)計(jì)劃任務(wù)設(shè)置、管理、安全態(tài)勢(shì)指標(biāo)配置等功能。而在功能層中,其主要是網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的核心所在,主要功能包括關(guān)聯(lián)分析、統(tǒng)計(jì)分析、數(shù)據(jù)采集、指標(biāo)配置、態(tài)勢(shì)預(yù)測(cè)、評(píng)語(yǔ)與展示等。
2.4功能模塊關(guān)系
系統(tǒng)功能模塊之間的關(guān)系為核心模塊提供了基礎(chǔ)的保障,其主要的模塊是網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模塊。系統(tǒng)中的數(shù)據(jù)流主要是通過(guò)數(shù)據(jù)采集器在各種網(wǎng)絡(luò)環(huán)境中采集而來(lái),并將其提高給態(tài)勢(shì)分析模塊,數(shù)據(jù)處理后需要向上層態(tài)勢(shì)模塊提交評(píng)估數(shù)據(jù)。在整個(gè)系統(tǒng)的交互過(guò)程中,數(shù)據(jù)采集器對(duì)數(shù)據(jù)進(jìn)行基礎(chǔ)數(shù)據(jù)存儲(chǔ)與關(guān)聯(lián)分析,并對(duì)安全時(shí)間的數(shù)據(jù)庫(kù)進(jìn)行存儲(chǔ),同時(shí),需要對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估后的結(jié)果進(jìn)行存儲(chǔ)。
3網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型設(shè)計(jì)的實(shí)現(xiàn)
3.1網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估工作流程
其主要流程包括:(1)數(shù)據(jù)采集與關(guān)聯(lián)分析。對(duì)各種網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)進(jìn)行有效的采集,并對(duì)其進(jìn)行簡(jiǎn)單的數(shù)據(jù)處理后,將其存入基礎(chǔ)數(shù)據(jù)庫(kù)。之后對(duì)網(wǎng)絡(luò)安全事件進(jìn)行關(guān)聯(lián)性分析,從而形成網(wǎng)絡(luò)安全事件數(shù)據(jù)庫(kù)(。2)確定指標(biāo)體系。對(duì)系統(tǒng)中需要的指標(biāo)進(jìn)行確定,以便根據(jù)評(píng)估算法來(lái)建立評(píng)估指標(biāo)。(3)對(duì)模糊評(píng)估進(jìn)行統(tǒng)計(jì)分析。在網(wǎng)絡(luò)安全系統(tǒng)中,通過(guò)對(duì)數(shù)據(jù)庫(kù)進(jìn)行關(guān)聯(lián)性分析,可以形成可用性、安全性與可靠性的基礎(chǔ)數(shù)據(jù)庫(kù)(。4)安全響應(yīng)。通過(guò)對(duì)態(tài)勢(shì)感知的評(píng)估結(jié)果進(jìn)行分析后及時(shí)采取有效的影響措施來(lái)處理。(5)結(jié)果顯示。通過(guò)可視化功能對(duì)整體網(wǎng)絡(luò)安全態(tài)勢(shì)的運(yùn)行情況進(jìn)行展示。
3.2關(guān)鍵模塊功能的實(shí)現(xiàn)
通過(guò)對(duì)可用性、設(shè)備信息以及脆弱性信息進(jìn)行有效的采集后,通過(guò)數(shù)據(jù)模塊采集,并給網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估提供相關(guān)的數(shù)據(jù)庫(kù)資源。在指標(biāo)配置模塊中,需要對(duì)動(dòng)態(tài)配置指標(biāo)進(jìn)行有效的配置。而在關(guān)聯(lián)性分析模塊中,需要對(duì)網(wǎng)絡(luò)安全事件進(jìn)行關(guān)聯(lián)性分析,從而形成網(wǎng)絡(luò)安全事件數(shù)據(jù)庫(kù)。在態(tài)勢(shì)評(píng)估模塊中,網(wǎng)絡(luò)安全態(tài)勢(shì)需要通過(guò)評(píng)估來(lái)了解系統(tǒng)目前的系統(tǒng)信息。而響應(yīng)模塊需要對(duì)當(dāng)前情況進(jìn)行分析,以便響應(yīng)網(wǎng)絡(luò)安全事件,并向管理人員提供安全響應(yīng)。在態(tài)勢(shì)展示模塊中需要對(duì)整體的結(jié)果進(jìn)行展示,對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)信息展示并具有一定的告警展示。
3.3數(shù)據(jù)收集模塊的實(shí)現(xiàn)
在數(shù)據(jù)收集模塊中,主要是針對(duì)安全態(tài)勢(shì)感知而提出基礎(chǔ)數(shù)據(jù)源,在態(tài)勢(shì)評(píng)估過(guò)程中屬于第一個(gè)步驟。由于在網(wǎng)絡(luò)環(huán)境中,主要包括各種設(shè)備,例如防火墻、主機(jī)、網(wǎng)關(guān)燈,這些異構(gòu)設(shè)備在運(yùn)行環(huán)境、使用的協(xié)議以及數(shù)據(jù)格式等方面具有較大的不同。在對(duì)數(shù)據(jù)進(jìn)行收集的時(shí)候,需要對(duì)無(wú)用的數(shù)據(jù)進(jìn)行過(guò)濾,并對(duì)格式進(jìn)行統(tǒng)一化,從而取得網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),對(duì)設(shè)備的相關(guān)信息進(jìn)行完善,以便促進(jìn)管理人員的安全管理。在數(shù)據(jù)收集模塊的設(shè)計(jì)與實(shí)現(xiàn)的時(shí)候,需要對(duì)網(wǎng)絡(luò)中的流量數(shù)據(jù)、日志數(shù)據(jù)以及漏洞數(shù)據(jù)等進(jìn)行收集,并對(duì)其進(jìn)行過(guò)濾,統(tǒng)一形成一種數(shù)據(jù)格式,之后將這些數(shù)據(jù)統(tǒng)一發(fā)送到服務(wù)器端。數(shù)據(jù)收集模塊的實(shí)現(xiàn)主要是通過(guò)管理中的計(jì)劃任務(wù)功能來(lái)完成的,在某個(gè)主機(jī)發(fā)生危險(xiǎn)的時(shí)候,通過(guò)對(duì)數(shù)據(jù)的收集,從而快速的、準(zhǔn)確的分析網(wǎng)絡(luò)安全事件,并積極采取有效的措施來(lái)解決。
3.4指標(biāo)配置模塊的實(shí)現(xiàn)
在指標(biāo)配置模塊中,其主要的功能是對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)進(jìn)行一級(jí)、二級(jí)指標(biāo)配置,以便對(duì)其進(jìn)行動(dòng)態(tài)管理,輸入操作態(tài)勢(shì)評(píng)估,并且需要完成擴(kuò)展功能,以便為今后的指標(biāo)體系擴(kuò)展提供相關(guān)的接口服務(wù)。該模塊主要是通過(guò)對(duì)指標(biāo)間層次關(guān)系進(jìn)行展示來(lái)實(shí)現(xiàn)的,并對(duì)數(shù)據(jù)源進(jìn)行指標(biāo),以接口的形式來(lái)獲取數(shù)據(jù),從而確保該模塊的正常運(yùn)行。
3.5關(guān)聯(lián)分析模塊的實(shí)現(xiàn)
在網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型中,關(guān)聯(lián)分析模塊是其中比較重要的一部分,對(duì)系統(tǒng)中網(wǎng)絡(luò)安全事件能夠有效的進(jìn)行融合性分析,并對(duì)其進(jìn)行分類與統(tǒng)計(jì),可以過(guò)濾冗余的信息,對(duì)警報(bào)間的關(guān)系進(jìn)行分析,從而緩解系統(tǒng)的工作。
3.6態(tài)勢(shì)評(píng)估模塊的實(shí)現(xiàn)
在該模塊中,需要對(duì)數(shù)據(jù)進(jìn)行采集,并對(duì)其統(tǒng)計(jì)分析后形成數(shù)據(jù)庫(kù),通過(guò)一定的計(jì)算方法進(jìn)行網(wǎng)絡(luò)安全評(píng)估。通過(guò)對(duì)當(dāng)前的網(wǎng)絡(luò)狀況進(jìn)行評(píng)估來(lái)對(duì)該系統(tǒng)進(jìn)行分層分析,從而達(dá)到網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的目的。通過(guò)層次分析的作用對(duì)指標(biāo)權(quán)重值進(jìn)行確定,并結(jié)合模糊匹配的評(píng)價(jià)方式來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估。
4總結(jié)
為了能夠有效的提高網(wǎng)絡(luò)安全管理質(zhì)量與水平,減少網(wǎng)絡(luò)安全事故的發(fā)生,需要加強(qiáng)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型進(jìn)行分析研究,以便將其充分應(yīng)用于網(wǎng)絡(luò)安全管理中。態(tài)勢(shì)感知模型是一種定量的分析方式,能夠進(jìn)行準(zhǔn)確的度量分析,在網(wǎng)絡(luò)安全管理中起著至關(guān)重要的作用。根據(jù)當(dāng)前的網(wǎng)絡(luò)安全環(huán)境與實(shí)際需求來(lái)設(shè)計(jì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型,可以有效的滿足實(shí)際需求,解決網(wǎng)絡(luò)安全隱患。
作者:徐振華 單位:北京信息職業(yè)技術(shù)學(xué)院
參考文獻(xiàn)
[1]王慧強(qiáng),賴積保,胡明明,等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵實(shí)現(xiàn)技術(shù)研究[J].武漢大學(xué)學(xué)報(bào),2013,33(28):129-130.
[2]陳彥德,趙陸文,潘志松,等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu)研究[J].計(jì)算機(jī)工程與應(yīng)用,2014,22(18):784-785.
[3]蒙仕偉.網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型研究[J].硅谷,2013,19(12):832-833.
【關(guān)鍵詞】 醫(yī)院信息化建設(shè) IT運(yùn)維與安全管理
引言:
目前,隨著信息技術(shù)的日新月異和網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的發(fā)展,醫(yī)院、企業(yè)網(wǎng)絡(luò)技術(shù)的應(yīng)用層次正在從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。面對(duì)日趨復(fù)雜的IT系統(tǒng),不同背景的運(yùn)維人員已給企事業(yè)信息系統(tǒng)安全運(yùn)行帶來(lái)較大的潛在風(fēng)險(xiǎn),如醫(yī)院信息系統(tǒng)是醫(yī)院日常工作的重要應(yīng)用,存儲(chǔ)著重要的數(shù)據(jù)資源,是醫(yī)院正常運(yùn)行必不可少的組成部分,所以必須加強(qiáng)安全保障體系的建設(shè)。于是,堡壘機(jī)在醫(yī)院中的應(yīng)用,為醫(yī)院工作的應(yīng)用提供了安全可靠的運(yùn)行環(huán)境。
傳統(tǒng)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)給醫(yī)院的的運(yùn)維安全問題帶來(lái)了很多風(fēng)險(xiǎn),如:賬號(hào)管理無(wú)秩序,暗藏巨大隱患;粗放式權(quán)限管理的安全性難以保證;設(shè)備自身陳舊,無(wú)法審計(jì)運(yùn)維加密協(xié)議、遠(yuǎn)程桌面內(nèi)容等,從而難以有效定位安全事件。
以上所面臨的風(fēng)險(xiǎn)嚴(yán)重破壞政府、醫(yī)院、企業(yè)等的信息系統(tǒng)安全,已經(jīng)成為其信息系統(tǒng)安全運(yùn)行的嚴(yán)重隱患,尤其是醫(yī)院,將影響其效益。尤其醫(yī)院信息系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)工程,涉及人、技術(shù)、操作等要素,單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。
因此在考慮安全保障體系時(shí),必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。
如何有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問行為和敏感信息的傳播,準(zhǔn)確掌握網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài),及時(shí)發(fā)現(xiàn)違反安全策略的事件并實(shí)時(shí)告警、記錄,同時(shí)進(jìn)行安全事件定位分析,事后追查取證,滿足合規(guī)性審計(jì)要求,是企事業(yè)迫切需要解決的問題,即IT運(yùn)維安全管理的變革已刻不容緩!
堡壘機(jī)提供一套先進(jìn)的運(yùn)維安全管控與審計(jì)解決方案,它通過(guò)網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識(shí)別,實(shí)時(shí)動(dòng)態(tài)監(jiān)測(cè)通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量,發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為,實(shí)時(shí)報(bào)警響應(yīng),全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會(huì)話和事件,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評(píng)估及安全事件的準(zhǔn)確全程跟蹤定位,為整體網(wǎng)絡(luò)安全策略的制定提供權(quán)威可靠的支持。
隨著堡壘機(jī)在醫(yī)院中的應(yīng)用,其主要實(shí)現(xiàn)了以下功能:
1)賬號(hào)管理集中
堡壘機(jī)建立于唯一身份標(biāo)識(shí)的全局實(shí)名制管理,支持統(tǒng)一賬號(hào)管理策略,實(shí)現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無(wú)縫連接,集中管理主賬號(hào)(普通用戶)、從賬號(hào)(目標(biāo)設(shè)備系統(tǒng)賬號(hào))及相關(guān)屬性。
2)訪問控制集中
堡壘機(jī)通過(guò)集中對(duì)應(yīng)用系統(tǒng)的訪問控制,通過(guò)對(duì)主機(jī)、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等網(wǎng)絡(luò)中所有資源的統(tǒng)一訪問控制,確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限,實(shí)現(xiàn)集中有序的運(yùn)維操作管理,防止非法、越權(quán)訪問事件的發(fā)生。
3)安全審計(jì)集中
基于唯一身份標(biāo)識(shí),堡壘機(jī)通過(guò)對(duì)用戶從登錄到退出的全程操作行為審計(jì),監(jiān)控用戶對(duì)被管理設(shè)備的所有敏感的關(guān)鍵操作,提供分級(jí)告警,聚焦關(guān)鍵事件,能完成對(duì)醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控和對(duì)安全事件及時(shí)預(yù)警發(fā)現(xiàn)、準(zhǔn)確可查的功能。
通過(guò)此體系監(jiān)控到的數(shù)據(jù)能對(duì)醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量、應(yīng)用提供比例、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動(dòng)作情況、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡(luò)整體風(fēng)險(xiǎn)情況等這些情況有較全面的了解。
信息安全是一個(gè)動(dòng)態(tài)的過(guò)程,要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施,適應(yīng)新的網(wǎng)絡(luò)環(huán)境,M足新的網(wǎng)絡(luò)安全需求。
安全管理制度也有一個(gè)不斷完善的過(guò)程,經(jīng)過(guò)安全事件的處理和安全風(fēng)險(xiǎn)評(píng)估,會(huì)發(fā)現(xiàn)原有的安全管理制定中存在的不足之處。根據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)估的結(jié)果,對(duì)信息安全管理策略進(jìn)行修改,對(duì)信息安全管理范圍進(jìn)行調(diào)整。
參 考 文 獻(xiàn)
[1]趙瑞霞.構(gòu)建堡壘主機(jī)抵御網(wǎng)絡(luò)攻擊[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2010,08.
隨著網(wǎng)絡(luò)的大規(guī)模應(yīng)用,承擔(dān)著大量教學(xué)任務(wù)的高校計(jì)算機(jī)開放實(shí)驗(yàn)室的信息網(wǎng)絡(luò)安全問題日益突出。這些安全問題直接影響著學(xué)校教育教學(xué)活動(dòng)的正常開展。因此,對(duì)計(jì)算機(jī)實(shí)驗(yàn)室信息網(wǎng)絡(luò)安全問題進(jìn)行研究分析具有十分重要的意義。
2 實(shí)驗(yàn)室信息網(wǎng)絡(luò)安全事件的調(diào)查及特點(diǎn)分析
為了研究實(shí)驗(yàn)室信息網(wǎng)絡(luò)安全問題。本人在調(diào)研訪問其它農(nóng)業(yè)院校時(shí)對(duì)其實(shí)驗(yàn)員關(guān)于安全問題進(jìn)行了調(diào)查。在北京農(nóng)學(xué)院,每日的工作中,觀察、詢問、指導(dǎo)上機(jī)學(xué)生的信息網(wǎng)絡(luò)安全問題并且記錄下來(lái),同時(shí)本人將整個(gè)實(shí)驗(yàn)中心每日維護(hù)記錄中分散的信息網(wǎng)絡(luò)安全事件進(jìn)行統(tǒng)計(jì)和分析,形成如表1所示的兩個(gè)學(xué)期中發(fā)生在北京農(nóng)學(xué)院計(jì)算機(jī)實(shí)驗(yàn)室的信息網(wǎng)絡(luò)安全事件的統(tǒng)計(jì)表。通過(guò)對(duì)實(shí)驗(yàn)室信息網(wǎng)絡(luò)安全問題的所有調(diào)查資料的整理和分析,發(fā)現(xiàn)農(nóng)業(yè)院校實(shí)驗(yàn)室信息網(wǎng)絡(luò)安全問題有如下特點(diǎn)。
2.1 感染惡意代碼是實(shí)驗(yàn)室面臨的主要威脅
惡意代碼(也稱惡意軟件)是指能夠影響計(jì)算機(jī)操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)完整性、可用性、可控性和保密性的計(jì)算機(jī)程序或代碼。主要包括計(jì)算機(jī)病毒、蠕蟲、木馬程序等。
調(diào)查發(fā)現(xiàn):感染惡意代碼是農(nóng)業(yè)院校實(shí)驗(yàn)室面臨的最主要的信息網(wǎng)絡(luò)安全問題。比如:在北京農(nóng)學(xué)院實(shí)驗(yàn)室中,與其他農(nóng)業(yè)院校類似,頻繁更替上機(jī)的是大量的本科學(xué)生兼少量的研究生,這些學(xué)生的計(jì)算機(jī)感染上惡意代碼事件就有168件,占所有實(shí)驗(yàn)室信息網(wǎng)絡(luò)安全事件的57%(見表1) ,高居首位。
調(diào)查還發(fā)現(xiàn):截止到2014年上學(xué)期結(jié)束,在本校及其他農(nóng)業(yè)院校計(jì)算機(jī)實(shí)驗(yàn)室出現(xiàn)的最多的惡意代碼,主要有:
1) “木馬下載者”(Trojan_Downloader)及變種;2) Trojan_Hijclpk及變種; 3) “木馬”(Trojan_Agent)及變種;4) Trojan_Generic.TNK;5) “灰鴿子”(Backdoor_GreyPigeon);6) Hack_Kido及變種;7) “U盤殺手”(Worm_Autorun)及變種。
2.2 垃圾郵件、網(wǎng)頁(yè)遭篡改、網(wǎng)絡(luò)攻擊或端口掃描問題依然存在
在調(diào)查過(guò)程中發(fā)現(xiàn):1) 實(shí)驗(yàn)室中有的學(xué)生的信箱空間被大量的垃圾郵件侵占,影響了正常地學(xué)習(xí)交流郵件的發(fā)送。他們每天都要花費(fèi)時(shí)間來(lái)處理這些垃圾郵件。這些垃圾郵件的內(nèi)容包括:賺錢信息、成人/游戲廣告、商業(yè)或個(gè)人網(wǎng)站廣告、連環(huán)信、電子雜志等。并且以各種宣傳廣告等對(duì)收件人影響不大的良性垃圾郵件居多,惡性的垃圾郵件較少。2) 學(xué)生的網(wǎng)頁(yè)遭篡改問題主要是瀏覽器主頁(yè)被篡改。通常學(xué)生在安裝新軟件時(shí)會(huì)導(dǎo)致瀏覽器主頁(yè)被篡改,大部分篡改是出于給自己的主頁(yè)做廣告的目的。3) 攻擊者為了掃描查看端口是否處于激活狀態(tài)、主機(jī)提供了哪些服務(wù)、提供的服務(wù)中是否含有某些缺陷,以便進(jìn)行下一步攻擊,從而對(duì)實(shí)驗(yàn)室中學(xué)生的主機(jī)從0開始的每個(gè)端口都發(fā)送了TCP SYN或UDP報(bào)文。
雖然計(jì)算機(jī)信息網(wǎng)絡(luò)安全防御技術(shù)進(jìn)步很快,但是從調(diào)查結(jié)果來(lái)看垃圾郵件、網(wǎng)頁(yè)遭篡改、網(wǎng)絡(luò)攻擊或端口掃描問題并沒有從農(nóng)業(yè)院校實(shí)驗(yàn)室消失,而是依然存在,并且不容忽視。例如,本校,遭到網(wǎng)絡(luò)攻擊或端口掃描事件12件,占總事件的4%;垃圾郵件事件52件,占總事件的17.7%;網(wǎng)頁(yè)遭篡改事件45件,占總的實(shí)驗(yàn)室網(wǎng)絡(luò)安全事件的15.3%(見表1) 。
2.3 網(wǎng)絡(luò)盜竊或網(wǎng)絡(luò)釣魚問題增長(zhǎng)較快
網(wǎng)絡(luò)釣魚是通過(guò)偽造來(lái)自于銀行或其他知名機(jī)構(gòu)的電子郵件、Web 站點(diǎn),意圖引誘對(duì)方給出敏感信息(如用戶名、口令、帳號(hào)、ID、ATM PIN 碼或信用卡詳細(xì)信息)的攻擊方式。
調(diào)查結(jié)果顯示:農(nóng)業(yè)院校計(jì)算機(jī)實(shí)驗(yàn)室的網(wǎng)絡(luò)盜竊或網(wǎng)絡(luò)釣魚問題增長(zhǎng)較快。比如:本校,網(wǎng)絡(luò)盜竊或網(wǎng)絡(luò)釣魚事件共16件,占所有實(shí)驗(yàn)室信息網(wǎng)絡(luò)安全事件的5%(見表1) ,是去年發(fā)生的該類事件的8倍,增長(zhǎng)較快。
在本校及其他農(nóng)業(yè)院校計(jì)算機(jī)實(shí)驗(yàn)室中,學(xué)生遇到的釣魚網(wǎng)站主要有以下幾個(gè):
1) 假冒支付寶類釣魚網(wǎng)站:http://aasswweess11.tk/pay/;騙取銀行卡號(hào)及密碼。2) 假冒中國(guó)好聲音類釣魚網(wǎng)站:http://zjtvt55.com/;虛假中獎(jiǎng)信息,誘騙用戶匯款。3) 假冒爸爸去哪兒類釣魚網(wǎng)站:http://babwe.com/;虛假中獎(jiǎng)信息,誘騙其匯款。4) 假冒工商銀行類釣魚網(wǎng)站:http://23.244.155.48/;騙取銀行卡號(hào)及密碼。
調(diào)查發(fā)現(xiàn),在實(shí)驗(yàn)室遭遇網(wǎng)絡(luò)盜竊的大多數(shù)為大一新生兼少量大二學(xué)生,他們相信某些網(wǎng)站、投放的廣告或鏈接,在使用QQ、阿里旺旺等客戶端聊天工具時(shí),網(wǎng)游、支付寶或銀行密碼和帳號(hào)泄漏或被盜竊控制,造成了經(jīng)濟(jì)損失。
[類型\&感染惡意代碼\&遭到網(wǎng)絡(luò)攻擊或端口掃描\&網(wǎng)頁(yè)遭篡改\&垃圾郵件\&網(wǎng)絡(luò)盜竊或網(wǎng)絡(luò)釣魚\&數(shù)量(件)\&168\&12\&45\&52\&16\&比例\&57%\&4%\&15.3%\&17.7%\&5%\&]
3 導(dǎo)致信息網(wǎng)絡(luò)安全事件發(fā)生的原因分析
在調(diào)查導(dǎo)致這些農(nóng)業(yè)院校實(shí)驗(yàn)室信息網(wǎng)絡(luò)安全事件發(fā)生原因的過(guò)程中,本人主要從支持安全事件發(fā)生的要素著手進(jìn)行分析。
1) 未修補(bǔ)安全漏洞是計(jì)算機(jī)實(shí)驗(yàn)室網(wǎng)絡(luò)安全事件發(fā)生的最主要原因。操作系統(tǒng)、瀏覽器和應(yīng)用軟件中都存在大量的漏洞,是不法分子用來(lái)傳播病毒、掛馬和發(fā)動(dòng)攻擊的最主要途徑。
2) 弱口令或缺少訪問控制也是導(dǎo)致實(shí)驗(yàn)室的信息網(wǎng)絡(luò)安全問題發(fā)生的原因之一。
3) 頻繁更替的上機(jī)學(xué)生通過(guò)網(wǎng)絡(luò)下載或?yàn)g覽器使得病毒傳播。他們直接下載的未經(jīng)殺毒的應(yīng)用軟件中可能含有病毒、木馬等惡意程序,尤其各類游戲網(wǎng)站更是病毒木馬散布的溫床。
4) 由于農(nóng)業(yè)院校公共計(jì)算機(jī)實(shí)驗(yàn)室通常只針對(duì)系統(tǒng)分區(qū)(C盤)開啟還原保護(hù)功能,提供給學(xué)生使用的其他分區(qū)未啟用該功能。因此,當(dāng)計(jì)算機(jī)重新啟動(dòng)以后,未受保護(hù)的磁盤分區(qū)可能仍保存有病毒程序的寄生文件。一旦學(xué)生操作不慎,就有可能激活未保護(hù)分區(qū)上的病毒。
5) 一些農(nóng)業(yè)院校的部分計(jì)算機(jī)專業(yè)實(shí)驗(yàn)室是不自動(dòng)還原的,學(xué)生可以下載、安裝和設(shè)置實(shí)驗(yàn)相關(guān)軟件,以鍛煉農(nóng)業(yè)信息化專業(yè)學(xué)生的實(shí)踐能力,但這種設(shè)置給惡意代碼帶來(lái)了機(jī)會(huì)。
6) 有的學(xué)生總輕易打開一些來(lái)歷不明的郵件 及附件,這樣木馬、蠕蟲等惡性代碼就潛入。
7) 實(shí)驗(yàn)室中,學(xué)生使用的QQ、MSN等即時(shí)通信軟件易被病毒攻擊,并且學(xué)生容易點(diǎn)擊其中的惡意網(wǎng)站鏈接。這些病毒可監(jiān)視或截獲鍵盤、鼠標(biāo)的輸入等,從而竊取用戶信息。
8) 學(xué)生在實(shí)驗(yàn)室使用u盤等移動(dòng)存儲(chǔ)設(shè)備時(shí),常常直接打開移動(dòng)分區(qū)查看里面內(nèi)容,這個(gè)行為會(huì)激活寄存在u盤內(nèi)的autorun病毒,引發(fā)其在操作計(jì)算機(jī)上的再次傳播。
另外,從主觀上分析原因。實(shí)驗(yàn)管理員依賴硬盤保護(hù)卡、殺毒軟件等已有防護(hù),導(dǎo)致安全漏洞補(bǔ)得不及時(shí),病毒特征庫(kù)升級(jí)不及時(shí)。同樣,學(xué)生缺乏病毒防范意識(shí)和計(jì)算機(jī)設(shè)備安全操作規(guī)范。以上這些都是導(dǎo)致計(jì)算機(jī)實(shí)驗(yàn)室信息網(wǎng)絡(luò)安全事件發(fā)生的原因。
4 結(jié)束語(yǔ)
本文對(duì)農(nóng)業(yè)院校計(jì)算機(jī)實(shí)驗(yàn)室信息網(wǎng)絡(luò)安全事件進(jìn)行統(tǒng)計(jì),分析出其特點(diǎn),找出了導(dǎo)致信息網(wǎng)絡(luò)安全事件發(fā)生的原因,以便提高農(nóng)業(yè)院校計(jì)算機(jī)實(shí)驗(yàn)室信息網(wǎng)絡(luò)安全管理水平。
參考文獻(xiàn):
[1] 杜治國(guó),徐東風(fēng),等. 實(shí)驗(yàn)室信息系統(tǒng)安全與規(guī)范化管理模式探究[J].實(shí)驗(yàn)技術(shù)與管理,2013(7):217-220.
[2] 鐘平.高校網(wǎng)絡(luò)安全實(shí)驗(yàn)室建設(shè)探索[J].實(shí)驗(yàn)室科學(xué)2010(1):122-124.
關(guān)鍵詞:網(wǎng)絡(luò);安全管理;技術(shù)
隨著科學(xué)技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)信息技術(shù)的全球化運(yùn)轉(zhuǎn),網(wǎng)絡(luò)信息技術(shù)已經(jīng)深入了各行各業(yè)的運(yùn)營(yíng)管理發(fā)展中。網(wǎng)絡(luò)信息技術(shù)具有快速、準(zhǔn)確、系統(tǒng)等多方面的信息傳遞優(yōu)勢(shì),運(yùn)用網(wǎng)絡(luò)信息技術(shù)進(jìn)行企業(yè)經(jīng)營(yíng)管理,直接影響了整個(gè)企業(yè)的經(jīng)濟(jì)效益和經(jīng)營(yíng)管理效率。但是,隨著企業(yè)管理網(wǎng)絡(luò)的不斷擴(kuò)大和衍生,網(wǎng)絡(luò)安全管理難度系數(shù)越來(lái)越大,經(jīng)常會(huì)因?yàn)楦鞣N網(wǎng)絡(luò)安全問題導(dǎo)致企業(yè)網(wǎng)絡(luò)癱瘓,企業(yè)一旦遭遇網(wǎng)絡(luò)癱瘓的癥狀,會(huì)對(duì)企業(yè)的經(jīng)營(yíng)管理造成極大的影響,直接損壞了企業(yè)的經(jīng)濟(jì)效益[1]。因此,各企業(yè)運(yùn)營(yíng)中越來(lái)越重視其網(wǎng)絡(luò)安全管理工作,本文重點(diǎn)分析了網(wǎng)絡(luò)安全管理技術(shù)問題,并提出了解決方案。
1 網(wǎng)絡(luò)安全管理主要解決的問題
網(wǎng)路安全管理對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)營(yíng)具有重大意義,其安全管理工作包括防火墻的設(shè)置、網(wǎng)絡(luò)密碼加密、電子服務(wù)器認(rèn)證系統(tǒng)以及病毒防控等內(nèi)容,在安全管理工作當(dāng)中一旦忽略了當(dāng)中某一個(gè)安全管理環(huán)節(jié),會(huì)導(dǎo)致網(wǎng)絡(luò)安全出現(xiàn)漏洞,嚴(yán)重影響整個(gè)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)營(yíng)工。因此,如何保證網(wǎng)絡(luò)安全管理工作備受業(yè)界關(guān)注。目前網(wǎng)絡(luò)安全管理工作需要解決的主要問題包括:
⑴進(jìn)行嚴(yán)密的安全監(jiān)控是網(wǎng)絡(luò)安全管理工作的一個(gè)重要部分。通過(guò)安全監(jiān)控工作企業(yè)可以及時(shí)了解企業(yè)內(nèi)部網(wǎng)絡(luò)的安全狀況,一旦出現(xiàn)問題,可以及時(shí)發(fā)現(xiàn)并采取相應(yīng)的措施進(jìn)行監(jiān)控。
⑵對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行補(bǔ)丁管理的配置,在網(wǎng)絡(luò)安全監(jiān)控工作中一旦出現(xiàn)企業(yè)安全漏洞,可以通過(guò)補(bǔ)丁快速進(jìn)行修復(fù),這樣一方面可以大大提高網(wǎng)絡(luò)系統(tǒng)安全防御能力,同時(shí)又能較好的控制企業(yè)用戶的授權(quán)問題。
⑶對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行集中策略的管理,通過(guò)以網(wǎng)絡(luò)系統(tǒng)為主單位,建議一個(gè)自上而下的安全管理策略,將安全管理策略融入到企業(yè)網(wǎng)絡(luò)系統(tǒng)的不同執(zhí)行點(diǎn)當(dāng)中,對(duì)網(wǎng)絡(luò)安全管理工作具有重要意義。
2 網(wǎng)絡(luò)安全管理的核心要素
網(wǎng)絡(luò)安全管理的主要包括安全策略、安全配置以及安全事件等元素,其具體內(nèi)容包括以下幾個(gè)方面:
2.1 安全策略
在網(wǎng)絡(luò)安全管理技術(shù)當(dāng)中實(shí)施安全策略是網(wǎng)絡(luò)安全的首要因素。通過(guò)網(wǎng)絡(luò)安全管理策略的制定,可以明確網(wǎng)絡(luò)安全系統(tǒng)建立的理論原因,明確網(wǎng)絡(luò)安全管理的具體內(nèi)容以及可以得到什么樣的保護(hù)。通過(guò)安全策略對(duì)網(wǎng)絡(luò)管理規(guī)定的安全原則,來(lái)定義網(wǎng)絡(luò)安全管理的對(duì)象、安全管理方法以及網(wǎng)絡(luò)安全狀態(tài)。另外安全策略指定的過(guò)程中要遵守安全管理工作的一致性,避免系統(tǒng)內(nèi)部安全管理工作當(dāng)中出現(xiàn)沖突和矛盾,否則容易造成網(wǎng)絡(luò)安全管理工作的失控[2]。
2.2 安全配置
網(wǎng)絡(luò)安全配置是指構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)的各種設(shè)置、網(wǎng)絡(luò)系統(tǒng)管理的安全選項(xiàng)、安全策略以及安全規(guī)則等配置,對(duì)網(wǎng)絡(luò)安全管理具有重要意義。一般情況下,網(wǎng)絡(luò)安全管理配置主要包括網(wǎng)絡(luò)運(yùn)營(yíng)系統(tǒng)中的防火墻設(shè)置、網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)、操作系統(tǒng)等安全設(shè)置,在實(shí)際運(yùn)營(yíng)過(guò)程當(dāng)中要對(duì)網(wǎng)絡(luò)安全配置進(jìn)行嚴(yán)格的控制和管理,禁止任何人對(duì)網(wǎng)絡(luò)安全配置進(jìn)行更改操作。
2.3 安全事件
網(wǎng)絡(luò)安全事件主要是指影響網(wǎng)絡(luò)安全以及整個(gè)計(jì)算機(jī)系統(tǒng)的惡意行為。主要包括計(jì)算機(jī)網(wǎng)絡(luò)遭到惡意攻擊和非法侵入,網(wǎng)絡(luò)遭遇惡意攻擊和非法入侵會(huì)導(dǎo)致企業(yè)利用網(wǎng)絡(luò)進(jìn)行的商業(yè)活動(dòng)被迫終止,程序停止運(yùn)營(yíng),極大程度上影響了企業(yè)網(wǎng)絡(luò)安全管理工作[3]。破壞網(wǎng)絡(luò)安全的惡意行為通常表現(xiàn)為,利用木馬病毒的入侵復(fù)制、盜竊企業(yè)內(nèi)部資料和信息;組織企業(yè)利用網(wǎng)絡(luò)進(jìn)行的商業(yè)活動(dòng);終止企業(yè)運(yùn)營(yíng)過(guò)程中需要用到的網(wǎng)絡(luò)資源;監(jiān)控企業(yè)的實(shí)際運(yùn)營(yíng)管理工作,這給企業(yè)正常經(jīng)營(yíng)管理工作帶來(lái)極大的影響。
3 網(wǎng)絡(luò)安全管理發(fā)展趨勢(shì)
現(xiàn)階段網(wǎng)絡(luò)安全管理技術(shù)還比較單調(diào),尚未形成一個(gè)系統(tǒng)的安全管理機(jī)制,在實(shí)際管理工作當(dāng)中還存在許多不足。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和進(jìn)步,網(wǎng)絡(luò)安全管理技術(shù)也將得到快速發(fā)展,網(wǎng)絡(luò)安全管理體系將對(duì)安全軟件以及安全設(shè)備進(jìn)行集中化管理,通過(guò)對(duì)網(wǎng)絡(luò)安全的全面監(jiān)控,切實(shí)保障網(wǎng)絡(luò)安全的可靠性,及時(shí)發(fā)現(xiàn)運(yùn)營(yíng)過(guò)程中存在的網(wǎng)絡(luò)安全隱患;同時(shí),網(wǎng)絡(luò)安全管理技術(shù)將實(shí)現(xiàn)系統(tǒng)動(dòng)態(tài)反應(yīng)以及應(yīng)急處理中心,實(shí)現(xiàn)對(duì)突發(fā)網(wǎng)絡(luò)安全事件進(jìn)行有效預(yù)案處理;另外,企業(yè)網(wǎng)絡(luò)安全管理還將對(duì)網(wǎng)絡(luò)系統(tǒng)的相關(guān)管理人員、軟件、硬件等安全設(shè)置集中管理中心,完善安全管理系統(tǒng)[4]。
因此,企業(yè)要加強(qiáng)對(duì)網(wǎng)絡(luò)信息技術(shù)的安全管理,采取措施嚴(yán)格控制病毒、黑客對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)的攻擊,維護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性,保證企業(yè)在激烈的競(jìng)爭(zhēng)環(huán)境中長(zhǎng)遠(yuǎn)發(fā)展下去。
[參考文獻(xiàn)]
[1]中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局,中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).信息技術(shù)安全技術(shù).信息安全管理實(shí)用規(guī)則[s].中國(guó)高新技術(shù)企業(yè),2010,(1):121-122.
[2]wimmasat山ngs,著,楊明,青光輝,齊東望,等,譯.密碼編碼學(xué)與網(wǎng)絡(luò)安全:原理與實(shí)踐(第二版),電子工業(yè)出版社,2001.4.
關(guān)鍵詞:網(wǎng)絡(luò)安全;安全管理;網(wǎng)絡(luò)監(jiān)管系統(tǒng)
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2010) 09-0000-02
Research&Application of Network Security Management System
Huang Yang
(The 772th Research Institute of China Shipbuilding Industry Corporation,Hubei430064,China)
Abstract:Aiming at the fact that there are lots of potential safety hazard on network,this paper researched and discussed the network security management system.Firstly the current information on network of security management system was analyzed,on the basis of analysis,the design and realization of network information security management system was discussed in details,and the whole structure levels and function models were pointed out;on the other hand,the realization scheme of the network information security management system was analyzed from the client,server and the long-distance communication,the three aspects were also discussed.All this work is significative for enhancing the information security level on network.
Keywords:Network security;Security management;Network management system
一、引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,信息與網(wǎng)絡(luò)技術(shù)正逐漸改變著人們的政治、經(jīng)濟(jì)、文化生活的方式。同時(shí),隨著人們對(duì)網(wǎng)絡(luò)依賴性的增強(qiáng),網(wǎng)絡(luò)安全問題逐漸暴露,網(wǎng)絡(luò)安全事件層出不窮。在信息化程度逐步提高的現(xiàn)代社會(huì),信息安全越來(lái)越得到關(guān)注。
本論文重點(diǎn)結(jié)合局域網(wǎng)內(nèi)信息安全的要求,對(duì)網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)進(jìn)行開發(fā)設(shè)計(jì)與研究,以期從中找到可靠有效的信息安全管理模式和網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)的開發(fā)管理經(jīng)驗(yàn),并以此和廣大同行分享。
二、網(wǎng)絡(luò)安全監(jiān)管應(yīng)用現(xiàn)狀分析
為了防范安全攻擊,提高網(wǎng)絡(luò)安全性,安全廠商紛紛采用各種安全技術(shù),推出各類安全產(chǎn)品,如防病毒、防火墻、入侵監(jiān)測(cè)、入侵保護(hù)、VPN等等,并且加強(qiáng)操作系統(tǒng)和應(yīng)用系統(tǒng)自身的安全防護(hù),加強(qiáng)安全審計(jì)。這些措施都在很大程度上提高了網(wǎng)絡(luò)的安全狀況,然而,不同的安全產(chǎn)品都是解決某一方面的安全問題,例如:防火墻用于檢測(cè)和限制外部網(wǎng)絡(luò)對(duì)受保護(hù)網(wǎng)絡(luò)的訪問,對(duì)穿過(guò)防火墻的惡意數(shù)據(jù)包卻無(wú)能為力,更不能防范內(nèi)部威脅。
針對(duì)上述情況,需要有相應(yīng)的技術(shù)和產(chǎn)品來(lái)整合不同的安全產(chǎn)品,能夠?qū)?lái)自不同事件源的事件統(tǒng)一監(jiān)控起來(lái),并對(duì)這些事件進(jìn)行分析,向用戶提供網(wǎng)絡(luò)運(yùn)行的整體安全狀況,有效減少誤報(bào)和漏報(bào),極大提高報(bào)警準(zhǔn)確性,發(fā)現(xiàn)復(fù)雜的攻擊行為,并能根據(jù)保存的歷史事件數(shù)據(jù)對(duì)事件進(jìn)行深入調(diào)查和安全審計(jì)。
為了解決上述問題,本文提出了統(tǒng)一的網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng),該系統(tǒng)從網(wǎng)絡(luò)的整體安全出發(fā),通過(guò)對(duì)網(wǎng)絡(luò)中各種安全設(shè)備的集中監(jiān)控,收集各安全設(shè)備產(chǎn)生的安全事件,并通過(guò)對(duì)收集到各種安全事件進(jìn)行深層的分析、統(tǒng)計(jì)和關(guān)聯(lián),定位安全風(fēng)險(xiǎn),對(duì)各類安全事件及時(shí)提供處理方法和建議的安全解決方案。
三、網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)的設(shè)計(jì)研究
(一)系統(tǒng)總體層次架構(gòu)設(shè)計(jì)
安全監(jiān)測(cè)分析系統(tǒng)的基本功能是采集防火墻、IDS、IPS、網(wǎng)站防護(hù)設(shè)備、防病毒網(wǎng)關(guān)等安全設(shè)備安全事件,對(duì)網(wǎng)絡(luò)邊界進(jìn)行全天候?qū)崟r(shí)安全監(jiān)測(cè)及深度分析。整合各種安全事件并進(jìn)行關(guān)聯(lián)分析,實(shí)時(shí)顯示全網(wǎng)安全態(tài)勢(shì),并形成各類安全監(jiān)測(cè)分析報(bào)告。
根據(jù)功能要求,安全監(jiān)測(cè)分析系統(tǒng)的軟件結(jié)構(gòu)由下至上,由三個(gè)層次組成:采集層、分析層、展示層。采集層負(fù)責(zé)從安全設(shè)備中收集這些設(shè)備產(chǎn)生的安全日志,此外還從交換機(jī)鏡像流量中分析收集攻擊事件和敏感信息。采集層收集到的數(shù)據(jù)按照指定的篩選要求進(jìn)行篩選后發(fā)送給分析層進(jìn)行集中的存儲(chǔ)和分析。由于安全設(shè)備發(fā)送過(guò)來(lái)的日志采用的協(xié)議不同,報(bào)文內(nèi)部的格式也不同,需要采集端能夠?qū)ζ溥M(jìn)行識(shí)別和預(yù)處理,即對(duì)安全事件進(jìn)行標(biāo)準(zhǔn)化處理。分析層對(duì)采集到的海量數(shù)據(jù)進(jìn)行集中的存儲(chǔ)和分析,以提取出主要關(guān)注的信息。分析層實(shí)現(xiàn)數(shù)據(jù)接收、實(shí)時(shí)分析、深度分析的功能。其中包括事件準(zhǔn)確定位、時(shí)間關(guān)聯(lián)分析、知識(shí)庫(kù)、安全態(tài)勢(shì)分析、告警生成、存儲(chǔ)索引、數(shù)據(jù)統(tǒng)計(jì)、人工分析與報(bào)告等。展示層提供人機(jī)交互接口,將分析結(jié)果以直觀的形式展示給安全管理員,并接受安全管理員的操作指令。
(二)系統(tǒng)功能模塊設(shè)計(jì)
本論文所設(shè)計(jì)的網(wǎng)絡(luò)信息安全監(jiān)管系統(tǒng),也采用分散式管理的模式,以客戶端和服務(wù)器構(gòu)成整個(gè)局域網(wǎng)信息的安全監(jiān)管模式。
以客戶端與服務(wù)器結(jié)構(gòu)的設(shè)計(jì),安全監(jiān)管系統(tǒng)的客戶端,是安裝于遠(yuǎn)端上的監(jiān)控程序,它的主要的功能需求為以下四方面:
1.提供管理對(duì)各組件的安裝、刪除、及運(yùn)行參數(shù)的設(shè)置與維護(hù);
2.提供所有監(jiān)控內(nèi)容的查看并發(fā)給遠(yuǎn)端監(jiān)控服務(wù)器;
3.提供實(shí)時(shí)信息捕獲;
4.提供對(duì)服務(wù)器監(jiān)控端的自動(dòng)升級(jí),升級(jí)不成功可恢復(fù)最后一次有效版本。
安全監(jiān)管系統(tǒng)的服務(wù)器端,是安裝于本地的、可對(duì)遠(yuǎn)端監(jiān)控程序進(jìn)行有效管理與信息接收,它的主要功能需求為以下幾方面:
1.提供實(shí)時(shí)顯示服務(wù)器的監(jiān)控內(nèi)容;
2.提供有效的遠(yuǎn)端控制;
3.提供對(duì)遠(yuǎn)端服務(wù)器監(jiān)控端的升級(jí)管理;
4.支持多管理員管理;
5.提供有效的數(shù)據(jù)雙重備份功能。
(三)系統(tǒng)的具體實(shí)現(xiàn)
1.網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)客戶端設(shè)計(jì)
客戶端的設(shè)計(jì)為三個(gè)部分:狀態(tài)掃描模塊、信息收發(fā)模塊和參數(shù)管理工具。
(1)狀態(tài)掃描模塊:是用于狀態(tài)掃描的驅(qū)動(dòng)。它將為整個(gè)系統(tǒng)提供與服務(wù)器進(jìn)行通信的模塊、信息收發(fā)模塊和參數(shù)管理工具。
(2)信息收發(fā)模塊:它將與狀態(tài)掃描模塊進(jìn)行通信,并將收集和整理好的數(shù)據(jù)發(fā)給遠(yuǎn)端的監(jiān)控管理端。
(3)參數(shù)管理工具:可以進(jìn)行參數(shù)設(shè)定的工具。
當(dāng)信息收發(fā)模塊收集到信息時(shí),轉(zhuǎn)發(fā)到遠(yuǎn)程控制程序上,但是有個(gè)問題會(huì)出現(xiàn),當(dāng)一臺(tái)機(jī)器發(fā)送信息時(shí),遠(yuǎn)程服務(wù)端可以正常接收到信息,但當(dāng)同時(shí)有一千個(gè)這樣的信息從不同的服務(wù)器傳來(lái)時(shí),控制端程序?qū)?huì)面臨巨大的負(fù)載,最重要的是可能會(huì)丟掉重要的信息,如遠(yuǎn)端的告警信息。所以對(duì)于要發(fā)送的信息,在發(fā)送和接收時(shí)都需要進(jìn)行一些處理,它們將被分開來(lái)發(fā)送,并且發(fā)送到不同的服務(wù)器程序上。
2.網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)服務(wù)器設(shè)計(jì)
服務(wù)器端設(shè)計(jì)成一個(gè)C/S結(jié)構(gòu),每個(gè)管理員所使用的將是一個(gè)可登錄的管理客戶端程序,但是這里的服務(wù)器將不是一個(gè),而是多個(gè),因?yàn)槎鄠€(gè)服務(wù)器端程序?qū)⒂脕?lái)處理不同的信息。服務(wù)器端可以處理多種形式的數(shù)據(jù),有效減少單機(jī)的通信負(fù)載、降低整體結(jié)構(gòu)的處理難度,從而對(duì)于不同權(quán)限的管理員進(jìn)行管理。管理員將使用管理終端程序進(jìn)行登錄后在不同的服務(wù)器端上進(jìn)行相應(yīng)的數(shù)據(jù)查詢,這樣的結(jié)構(gòu)可以使設(shè)計(jì)與實(shí)現(xiàn)變得容易。
3.網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)通信方式設(shè)計(jì)
為了解決遠(yuǎn)程通信的問題,在發(fā)送端會(huì)將信息分類處理,并發(fā)給不同的接收端,這樣作的最大好處在于,可以減少處理難度和降低通信負(fù)載。信息可以分為三大類:
(1)用于管理的狀態(tài)信息;
(2)用于管理區(qū)域的信息;
(3)告警信息。
對(duì)于在多管理員管理時(shí)同樣會(huì)發(fā)揮良好的結(jié)構(gòu)優(yōu)勢(shì)。當(dāng)有多個(gè)管理員同時(shí)在管理不同的服務(wù)器時(shí),他們只需按其所需與這些服務(wù)器進(jìn)行交互,例如一個(gè)管理員如果想查看局域網(wǎng)在線人數(shù)、局域網(wǎng)資源占用等等信息時(shí),只需要與服務(wù)器進(jìn)行通信,而維護(hù)人員在檢查服務(wù)器時(shí)它可能只會(huì)在狀態(tài)服務(wù)器進(jìn)行查看,而在告警出現(xiàn)時(shí)告警服務(wù)器會(huì)保存告警信息,并發(fā)出警告等待人員處理。
四、結(jié)語(yǔ)
在信息化時(shí)代的今天,網(wǎng)絡(luò)十分容易受到非法攻擊和侵入,為此對(duì)于網(wǎng)絡(luò)安全的監(jiān)管顯得十分重要,本論文對(duì)于網(wǎng)絡(luò)信息安全監(jiān)管系統(tǒng)的設(shè)計(jì)研究,對(duì)于網(wǎng)絡(luò)信息安全監(jiān)理與管理是一次有益的嘗試與探索,當(dāng)然,其中還有很多的技術(shù)問題有待于廣大技術(shù)工作人員的共同努力,才能夠最終實(shí)現(xiàn)我國(guó)網(wǎng)絡(luò)信息安全的有效監(jiān)理與管理,進(jìn)而保障信息安全。
參考文獻(xiàn):
[1]邢戈,張玉清,馮登國(guó).網(wǎng)絡(luò)安全管理平臺(tái)研究[J].計(jì)算機(jī)工程,2004,30(10):129-131
關(guān)鍵詞:網(wǎng)絡(luò)安全;評(píng)價(jià)系統(tǒng);設(shè)計(jì);實(shí)現(xiàn)
一、網(wǎng)絡(luò)安全態(tài)勢(shì)感知
態(tài)勢(shì)感知(Situation Awareness)這一概念源于航天飛行的人因(Human Factors)研究,此后在軍事戰(zhàn)場(chǎng)、核反應(yīng)控制、空中交通監(jiān)管(Air Traffic Control,ATC)以及醫(yī)療應(yīng)急調(diào)度等領(lǐng)域被廣泛地研究。Endsley在1995年把態(tài)勢(shì)感知(Situation Awareness)定義為感知在一定的時(shí)間和空間環(huán)境中的元素,包括它們現(xiàn)在的狀況和它們未來(lái)的發(fā)展趨勢(shì)。Endsleys把態(tài)勢(shì)感知分成3個(gè)層次(如圖1所示)的信息處理:(1)要素獲取:感知和獲取環(huán)境中的重要線索或元素,這是態(tài)勢(shì)感知最基礎(chǔ)的一步;(2)理解:整合感知到的數(shù)據(jù)和信息,分析其相關(guān)性;(3)預(yù)測(cè):基于對(duì)環(huán)境信息的感知和理解,預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì),這是態(tài)勢(shì)感知中最高層次的要求。
圖1態(tài)勢(shì)感知的三級(jí)模型
而網(wǎng)絡(luò)態(tài)勢(shì)感知?jiǎng)t源于空中交通監(jiān)管(Air Traffic Control,ATC)態(tài)勢(shì)感知(Mogford R H,1997),是一個(gè)比較新的概念,并且在這方面開展研究的個(gè)人和機(jī)構(gòu)也相對(duì)較少。1999年,Tim Bass首次提出了網(wǎng)絡(luò)態(tài)勢(shì)感知(Cyberspace Situation Awareness)這個(gè)概念(Bass T, 2000),并對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知與ATC態(tài)勢(shì)感知進(jìn)行了類比,旨在把ATC態(tài)勢(shì)感知的成熟理論和技術(shù)借鑒到網(wǎng)絡(luò)態(tài)勢(shì)感知中去。目前,對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知還未能給出統(tǒng)一的、全面的定義。IATF網(wǎng)站中提出,所謂的網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)。值得注意的是,態(tài)勢(shì)是一種狀態(tài),一種趨勢(shì),是一個(gè)整體和全局的概念,任何單一的情況或狀態(tài)都不能稱之為態(tài)勢(shì)。因此,網(wǎng)絡(luò)態(tài)勢(shì)感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中,對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)。
圖2網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)框架
基于態(tài)勢(shì)感知的三級(jí)模型,譚小彬等(2008)提出了一種網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的設(shè)計(jì)框架,如圖2所示。該系統(tǒng)首先通過(guò)多傳感器采集網(wǎng)絡(luò)系統(tǒng)的各種信息,然后通過(guò)精確的數(shù)學(xué)模型刻畫網(wǎng)絡(luò)系統(tǒng)的當(dāng)前的安全態(tài)勢(shì)值及其變化趨勢(shì)。此外,該系統(tǒng)還給出針對(duì)當(dāng)前狀態(tài)的網(wǎng)絡(luò)系統(tǒng)的安全加方案,加固方案指導(dǎo)用戶減少威脅和修復(fù)脆弱性,從而提高系統(tǒng)的安全態(tài)勢(shì)。此外該系統(tǒng)還給出針對(duì)當(dāng)前狀態(tài)的網(wǎng)絡(luò)系統(tǒng)的安全加固方案,加固方案指導(dǎo)用戶減少威脅和修復(fù)脆弱性,從而提高網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢(shì)。
二、網(wǎng)絡(luò)信息系統(tǒng)安全測(cè)試評(píng)估支撐平臺(tái)
網(wǎng)絡(luò)信息系統(tǒng)安全測(cè)試評(píng)估支撐平臺(tái)由管理控制、資產(chǎn)識(shí)別、在線測(cè)試、安全事件驗(yàn)證、滲透測(cè)試、惡意代碼檢測(cè)、脆弱性檢測(cè)和安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)等八個(gè)子系統(tǒng)組成,如圖3所示。各子系統(tǒng)采用松耦合結(jié)構(gòu),以數(shù)據(jù)交互作為聯(lián)系方式,能夠獨(dú)立進(jìn)行測(cè)試或評(píng)估。
圖3支撐平臺(tái)的組成
三、網(wǎng)絡(luò)安全評(píng)估系統(tǒng)的實(shí)現(xiàn)
網(wǎng)絡(luò)安全評(píng)估系統(tǒng)由六個(gè)子系統(tǒng)組成,其中一個(gè)管理控制子系統(tǒng),一個(gè)態(tài)勢(shì)評(píng)估與預(yù)測(cè)子系統(tǒng),其他都是各種測(cè)試子系統(tǒng)。由于網(wǎng)絡(luò)安全評(píng)估是本文的重點(diǎn),所以本章主要介紹態(tài)勢(shì)評(píng)估與預(yù)測(cè)子系統(tǒng)的實(shí)現(xiàn),其他子系統(tǒng)的實(shí)現(xiàn)在本文不作介紹。
3.1風(fēng)險(xiǎn)評(píng)估中的關(guān)鍵技術(shù)
在風(fēng)險(xiǎn)評(píng)估模塊中,風(fēng)險(xiǎn)值將采用兩種模型計(jì)算,分別是矩陣模型和加權(quán)模型:
(1)矩陣模型。
該模型是GB/T 20984《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中提出的一種模型,采用該模型主要是為了方便以往使用其它風(fēng)險(xiǎn)評(píng)估系統(tǒng)的用戶,使他們能夠很快地習(xí)慣本評(píng)估系統(tǒng)。矩陣模型主要由三步組成,首先通過(guò)安全事件可能性矩陣計(jì)算安全事件的可能性,該步以威脅發(fā)生的可能性和脆弱性嚴(yán)重程度作為輸入,在安全事件可能性矩陣直接查找對(duì)應(yīng)的安全事件的可能性,然后將結(jié)果映射到5個(gè)等級(jí)。
(2)加權(quán)模型。
基于加權(quán)的風(fēng)險(xiǎn)評(píng)估模型在總體框架和基本思路上,與GB/T20984所提出的典型風(fēng)險(xiǎn)評(píng)估模型一致,不同之處主要在于對(duì)安全事件作用在風(fēng)險(xiǎn)評(píng)估中的處理,通過(guò)引入加權(quán),進(jìn)而明確滲透測(cè)試和安全事件驗(yàn)證在風(fēng)險(xiǎn)評(píng)估中的定性和定量分析作用。該模型認(rèn)為,已發(fā)生的安全事件和證明能夠發(fā)生的安全事件,在風(fēng)險(xiǎn)評(píng)估中的作用應(yīng)該得到加強(qiáng)。其原理如圖4所示。
圖4加權(quán)模型
3.2態(tài)勢(shì)評(píng)估中的關(guān)鍵技術(shù)
態(tài)勢(shì)評(píng)估中采用多層次多角度的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法作為設(shè)計(jì)理念,向用戶展現(xiàn)了多個(gè)層次、多個(gè)角度的態(tài)勢(shì)評(píng)估。在角度上體現(xiàn)為專題角度、要素角度和綜合角度,通過(guò)專題角度,用戶可以深入了解威脅、脆弱性和資產(chǎn)的所有信息;通過(guò)要素角度,用戶可以了解保密性、完整性和可用性這三個(gè)安全要素方面的態(tài)勢(shì)情況;通過(guò)綜合角度用戶可以了解系統(tǒng)的綜合態(tài)勢(shì)情況。在層次上體現(xiàn)為對(duì)威脅、脆弱性和資產(chǎn)的不同層次的劃分,通過(guò)總體層次,用戶可以了解所有威脅、脆弱性和資產(chǎn)的態(tài)勢(shì)情況;通過(guò)類型層次,用戶可以了解不同威脅類型、脆弱性類型和資產(chǎn)類型的態(tài)勢(shì)情況;通過(guò)細(xì)微層次,用戶可以了解每一個(gè)威脅、脆弱性和資產(chǎn)的態(tài)勢(shì)情況。
對(duì)于態(tài)勢(shì)值的計(jì)算,參考了風(fēng)險(xiǎn)值計(jì)算的原理,并在此基礎(chǔ)上加入了Markov博弈分析,使得態(tài)勢(shì)值的計(jì)算更加入微,有關(guān)Markov博弈分析的理論在第3章中作了詳細(xì)介紹。通過(guò)Markov博弈分析的理論,可以計(jì)算出每一個(gè)威脅給系統(tǒng)態(tài)勢(shì)帶來(lái)的影響,但系統(tǒng)中往往有許多的威脅,所有我們需要對(duì)所有的威脅帶來(lái)的影響做出處理,而不能將他們帶來(lái)的影響簡(jiǎn)單地相加,否則2個(gè)中等級(jí)的威脅對(duì)態(tài)勢(shì)的影響將大于一個(gè)高等級(jí)的威脅對(duì)態(tài)勢(shì)的影響,這是不合理的。在本系統(tǒng)中,我們采用了如下公式來(lái)對(duì)它們進(jìn)行處理。
其中S為系統(tǒng)的總體態(tài)勢(shì)值,為第個(gè)威脅造成的態(tài)勢(shì)值,為系統(tǒng)中所有的威脅集合。
結(jié)語(yǔ)
網(wǎng)絡(luò)系統(tǒng)安全評(píng)估是一個(gè)年輕的研究課題,特別是其中的網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估,現(xiàn)在才剛剛起步,本文對(duì)風(fēng)險(xiǎn)評(píng)估和態(tài)勢(shì)評(píng)估中的關(guān)鍵技術(shù)進(jìn)行了研究,取得了一定的研究成果,但仍存在一些待完善的工作。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中,對(duì)與安全態(tài)勢(shì)值沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn),普通用戶將很難對(duì)安全態(tài)勢(shì)值 有一個(gè)直觀的認(rèn)識(shí),只能通過(guò)多次態(tài)勢(shì)評(píng)估的結(jié)果比較,了解網(wǎng)絡(luò)安全態(tài)勢(shì)的走向。在本系統(tǒng)的態(tài)勢(shì)評(píng)估中僅對(duì)安全態(tài)勢(shì)值作了一個(gè)簡(jiǎn)單的等級(jí)映射,該部分還需要進(jìn)一步完善。
關(guān)鍵詞:工業(yè)控制系統(tǒng);行為審計(jì);智能分析;信息安全
引言
伴隨著工業(yè)化和信息化融合發(fā)展,大量IT技術(shù)被引入現(xiàn)代工業(yè)控制系統(tǒng).網(wǎng)絡(luò)設(shè)備、計(jì)算設(shè)備、操作系統(tǒng)、嵌入式平臺(tái)等多種IT技術(shù)在工控系統(tǒng)中的遷移應(yīng)用已經(jīng)司空見慣.然而,工控系統(tǒng)與IT系統(tǒng)存在本質(zhì)差異,差異特質(zhì)決定了工控系統(tǒng)安全與IT系統(tǒng)安全不同.(1)工控系統(tǒng)的設(shè)計(jì)目標(biāo)是監(jiān)視和控制工業(yè)過(guò)程,主要是和物理世界互動(dòng),而IT系統(tǒng)主要用于與人的交互和信息管理.電力配網(wǎng)終端可以控制區(qū)域電力開關(guān),類似這類控制能力決定了安全防護(hù)的效果.(2)常規(guī)IT系統(tǒng)生命周期往往在5年左右,因此系統(tǒng)的遺留問題一般都較小.而工控系統(tǒng)的生命周期通常有8~15年,甚至更久,遠(yuǎn)大于常規(guī)IT系統(tǒng),對(duì)其遺留的系統(tǒng)安全問題必須重視.相關(guān)的安全加固投入涉及到工業(yè)領(lǐng)域商業(yè)模式的深層次問題(如固定資產(chǎn)投資與折舊).(3)工控系統(tǒng)安全遵循SRA(Safety、Reliability和AGvailability)模型,與IT系統(tǒng)的安全模型CIA(ConfidentialGity、Integrity和Availability)迥異.IT安全的防護(hù)機(jī)制需要高度的侵入性,對(duì)系統(tǒng)可靠性、可用性都有潛在的重要影響.因此,現(xiàn)有的安全解決方案很難直接用于工控系統(tǒng),需要深度設(shè)計(jì)相關(guān)解決方案,以匹配工控系統(tǒng)安全環(huán)境需求[1G2].
1工控系統(tǒng)安全威脅及成因
工業(yè)控制系統(tǒng)安全威脅主要有以下幾個(gè)方面[3G5]:(1)工業(yè)控制專用協(xié)議安全威脅.工業(yè)控制系統(tǒng)采用了大量的專用封閉工控行業(yè)通信協(xié)議,一直被誤認(rèn)為是安全的.這些協(xié)議以保障高可用性和業(yè)務(wù)連續(xù)性為首要目的,缺乏安全性考慮,一旦被攻擊者關(guān)注,極易造成重大安全事件.(2)網(wǎng)絡(luò)安全威脅.TCP/IP協(xié)議等通用協(xié)議與開發(fā)標(biāo)準(zhǔn)引入工控系統(tǒng),使得開放的工業(yè)控制系統(tǒng)面臨各種各樣的網(wǎng)絡(luò)安全威脅[6G7].早期工業(yè)控制系統(tǒng)為保證操作安全,往往和企業(yè)管理系統(tǒng)相隔離.近年來(lái),為了實(shí)時(shí)采集數(shù)據(jù),滿足管理需求,工業(yè)控制系統(tǒng)通過(guò)邏輯隔離方式與企業(yè)管理系統(tǒng)直接通信,而企業(yè)管理系統(tǒng)一般連接Internet,這種情況下,工業(yè)控制系統(tǒng)接入的范圍不僅擴(kuò)展到了企業(yè)網(wǎng),而且面臨來(lái)自Internet的威脅.在公用網(wǎng)絡(luò)和專用網(wǎng)絡(luò)混合的情況下,工業(yè)控制系統(tǒng)安全狀態(tài)更加復(fù)雜.(3)安全規(guī)程風(fēng)險(xiǎn).為了優(yōu)先保證系統(tǒng)高可用性而把安全規(guī)程放在次要位置,甚至犧牲安全來(lái)實(shí)現(xiàn)系統(tǒng)效率,造成了工業(yè)控制系統(tǒng)常見的安全隱患.以介質(zhì)訪問控制策略為代表的多種隱患時(shí)刻威脅著工控系統(tǒng)安全.為實(shí)現(xiàn)安全管理制定符合需求的安全策略,并依據(jù)策略制定管理流程,是確保ICS系統(tǒng)安全性和穩(wěn)定性的重要保障.(4)操作系統(tǒng)安全威脅.工業(yè)控制系統(tǒng)有各種不同的通用操作系統(tǒng)(Window、Linux)以及嵌入式OS,大量操作系統(tǒng)版本陳舊(Win95、Winme、Win2K等).鑒于工控軟件與操作系統(tǒng)補(bǔ)丁存在兼容性問題,系統(tǒng)上線和運(yùn)行后一般不會(huì)對(duì)平臺(tái)打補(bǔ)丁,導(dǎo)致應(yīng)用系統(tǒng)存在很大的安全風(fēng)險(xiǎn).(5)終端及應(yīng)用安全風(fēng)險(xiǎn).工業(yè)控制系統(tǒng)終端應(yīng)用大多固定不變,系統(tǒng)在防范一些傳統(tǒng)的惡意軟件時(shí),主要在應(yīng)用加載前檢測(cè)其完整性和安全性,對(duì)于層出不窮的新型攻擊方式和不斷改進(jìn)的傳統(tǒng)攻擊方式,采取這種安全措施遠(yuǎn)遠(yuǎn)不能為終端提供安全保障.因此,對(duì)靜態(tài)和動(dòng)態(tài)內(nèi)容必須進(jìn)行安全完整性認(rèn)證檢查.
2審計(jì)方案設(shè)計(jì)及關(guān)鍵技術(shù)
2.1系統(tǒng)總體架構(gòu)
本方案針對(duì)工控系統(tǒng)面臨的五大安全威脅,建立了基于專用協(xié)議識(shí)別和異常分析技術(shù)的安全審計(jì)方案,采用基于Fuzzing的漏洞挖掘技術(shù),利用海量數(shù)據(jù)分析,實(shí)現(xiàn)工控系統(tǒng)的異常行為監(jiān)測(cè)和安全事件智能分析,實(shí)現(xiàn)安全可視化,系統(tǒng)框架如圖1所示.電力、石化行業(yè)工業(yè)控制系統(tǒng)行為審計(jì),主要對(duì)工業(yè)控制系統(tǒng)的各種安全事件信息進(jìn)行采集、智能關(guān)聯(lián)分析和軟硬件漏洞挖掘,實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)進(jìn)行安全評(píng)估及安全事件準(zhǔn)確定位的目的[8G9].審計(jì)系統(tǒng)采用四層架構(gòu)設(shè)計(jì),分別是數(shù)據(jù)采集層、信息數(shù)據(jù)管理層、安全事件智能分析層和安全可視化展示層.其中數(shù)據(jù)采集層通過(guò)安全、鏡像流量、抓取探測(cè)等方式,監(jiān)測(cè)工控網(wǎng)絡(luò)系統(tǒng)中的服務(wù)日志、通信會(huì)話和安全事件.多層部署采用中繼隔離方式單向上報(bào)采集信息,以適應(yīng)各種網(wǎng)絡(luò)環(huán)境.信息數(shù)據(jù)管理層解析MODBUS、OPC、Ethernet/IP、DNP3、ICCP等各種專用協(xié)議,對(duì)海量數(shù)據(jù)進(jìn)行分布式存儲(chǔ),優(yōu)化存儲(chǔ)結(jié)構(gòu)和查詢效率,實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)層可伸縮性和可擴(kuò)展性.智能分析層通過(guò)對(duì)異構(gòu)數(shù)據(jù)的分析結(jié)果進(jìn)行預(yù)處理,采用安全事件關(guān)聯(lián)分析和安全數(shù)據(jù)挖掘技術(shù),審計(jì)工控系統(tǒng)應(yīng)用過(guò)程中的協(xié)議異常和行為異常.安全綜合展示層,對(duì)安全審計(jì)結(jié)果可視化,呈現(xiàn)工業(yè)控制系統(tǒng)安全事件,標(biāo)識(shí)安全威脅,并對(duì)工業(yè)控制系統(tǒng)安全趨勢(shì)作出預(yù)判.
2.2審計(jì)系統(tǒng)關(guān)鍵技術(shù)及實(shí)現(xiàn)
2.2.1專用協(xié)議識(shí)別和異常分析技術(shù)系統(tǒng)實(shí)現(xiàn)對(duì)各種常見協(xié)議智能化識(shí)別,并且重組恢復(fù)通信數(shù)據(jù),在此基礎(chǔ)上分析協(xié)議數(shù)據(jù)語(yǔ)義,進(jìn)而識(shí)別出各種通信會(huì)話和系統(tǒng)事件,最終達(dá)到審計(jì)目的[10G11].2.2.2核心組件脆弱性及漏洞挖掘技術(shù)基于Fuzzing的漏洞挖掘技術(shù),實(shí)現(xiàn)工業(yè)控制系統(tǒng)核心組件軟硬件漏洞挖掘,及時(shí)發(fā)現(xiàn)并規(guī)避隱患,使之適應(yīng)當(dāng)前的安全環(huán)境.Fuzzing技術(shù)將隨機(jī)數(shù)據(jù)作為測(cè)試輸入,對(duì)程序運(yùn)行過(guò)程中的任何異常進(jìn)行檢測(cè),通過(guò)判斷引起程序異常的隨機(jī)數(shù)據(jù)進(jìn)一步定位程序缺陷[12-14]通用漏洞挖掘技術(shù)無(wú)法完全適應(yīng)工控系統(tǒng)及網(wǎng)絡(luò)的特殊性,無(wú)法有效挖掘漏洞,部分漏洞掃描軟件還會(huì)對(duì)工控系統(tǒng)和網(wǎng)絡(luò)造成破壞,使工控系統(tǒng)癱瘓.本文結(jié)合電力、石化行業(yè)工控系統(tǒng)特點(diǎn),研究設(shè)計(jì)了工控行業(yè)專用Fuzzing漏洞挖掘技術(shù)和方法,解決了漏洞探測(cè)技術(shù)的安全性和高效性問題,實(shí)現(xiàn)了工業(yè)控制協(xié)議(OPC/Modbus/Fieldbus)和通用協(xié)議(IRC/DHCP/TCP)等漏洞Fuzzing工具、應(yīng)用程序的FileFzzinug、針對(duì)ActiveX的COMRaidGer和AxMan、操作系統(tǒng)內(nèi)核的Fuzzing工具應(yīng)用,構(gòu)建了通用、可擴(kuò)展的Fuzzing框架,涵蓋多種ICS系統(tǒng)組件.ICS系統(tǒng)測(cè)試組件眾多,具有高度自動(dòng)化的Fuzzing漏洞挖掘系統(tǒng)可以大大提高漏洞挖掘效率.生成的測(cè)試用例既能有效擴(kuò)展Fuzzing發(fā)現(xiàn)漏洞的范圍,又可避免產(chǎn)生類似于組合測(cè)試中常見的狀態(tài)爆炸情況[15].采用模塊(Peach、Sulley)負(fù)責(zé)監(jiān)測(cè)對(duì)象異常,實(shí)現(xiàn)并行Fuzzing以提高運(yùn)行效率;還可以將引擎和分離,在不同的機(jī)子上運(yùn)行,用分布式應(yīng)用程序分別進(jìn)行Fuzzing測(cè)試.2.2.3異常行為檢測(cè)技術(shù)針對(duì)工控系統(tǒng)的異常行為檢測(cè),本方案采用海量數(shù)據(jù)和長(zhǎng)效攻擊行為關(guān)聯(lián)分析技術(shù),內(nèi)容如下:(1)建立工業(yè)控制系統(tǒng)環(huán)境行為架構(gòu),檢查當(dāng)前活動(dòng)與正常活動(dòng)架構(gòu)預(yù)期的偏離程度,由此判斷和確認(rèn)入侵行為,診斷安全事件.(2)研究行為異常的實(shí)時(shí)或準(zhǔn)實(shí)時(shí)在線分析技術(shù),縮短行為分析時(shí)間,快速形成分析報(bào)告.(3)基于DPI技術(shù),對(duì)網(wǎng)絡(luò)層異常行為安全事件進(jìn)行檢測(cè)分析.基于海量數(shù)據(jù)處理平臺(tái)實(shí)現(xiàn)對(duì)數(shù)據(jù)包的深度實(shí)時(shí)/離線分析,從而有效監(jiān)測(cè)工控設(shè)備的異常流量,進(jìn)而有效監(jiān)測(cè)多種網(wǎng)絡(luò)攻擊行為[16].(4)應(yīng)用層異常行為檢測(cè).應(yīng)用層異常行為安全事件檢測(cè)圍繞工業(yè)控制系統(tǒng)軟件應(yīng)用展開,該功能基于應(yīng)用層數(shù)據(jù)收集結(jié)果進(jìn)行,支持運(yùn)行狀態(tài)分析檢測(cè)、指令篡改分析檢測(cè)、異常配置變更分析檢測(cè)等.(5)系統(tǒng)操作異常行為安全事件檢測(cè).系統(tǒng)攻擊檢測(cè)基于海量日志分析技術(shù)進(jìn)行,在檢測(cè)整個(gè)系統(tǒng)安全狀態(tài)的同時(shí),以大規(guī)模系統(tǒng)運(yùn)行狀態(tài)為模型,發(fā)掘出有悖于系統(tǒng)正常運(yùn)行的各種信息,支持系統(tǒng)安全事件反向查詢,并詳細(xì)描述系統(tǒng)的運(yùn)行軌跡,為系統(tǒng)攻擊防范提供必要信息.(6)異常行為安全事件取證.基于安全檢測(cè)平臺(tái)所提供的多維度多時(shí)段網(wǎng)絡(luò)安全數(shù)據(jù)信息進(jìn)行異常行為安全事件取證,有效支持對(duì)單點(diǎn)安全事件的獲取,達(dá)到安全事件單時(shí)段、多時(shí)段、分時(shí)段提取,進(jìn)而支撐基于事實(shí)數(shù)據(jù)的安全取證功能.2.2.4安全事件智能分析技術(shù)方案把工業(yè)控制系統(tǒng)海量安全事件的智能關(guān)聯(lián)分析、安全評(píng)估、事件定位及回溯相關(guān)分析技術(shù)應(yīng)用于分析系統(tǒng),并且基于不同的粒度進(jìn)行安全態(tài)勢(shì)預(yù)警.(1)安全事件聚合.采用聚類分析模型,將數(shù)據(jù)分析后的IDS、防火墻等網(wǎng)絡(luò)設(shè)備產(chǎn)生的大量重復(fù)或相似的安全事件進(jìn)行智能聚合,并設(shè)計(jì)不同條件進(jìn)行歸并,從而將大量重復(fù)的無(wú)用信息剔除,找到安全事件發(fā)生的本質(zhì)原因.(2)安全事件關(guān)聯(lián).系統(tǒng)將安全事件基于多個(gè)要素進(jìn)行關(guān)聯(lián),包括將同源事件、異源事件、多對(duì)象信息進(jìn)行關(guān)聯(lián),從而在多源數(shù)據(jù)中提取出一系列相關(guān)安全事件序列,通過(guò)該安全事件序列,對(duì)事件輪廓進(jìn)行詳細(xì)刻畫,充分了解攻擊者的攻擊手段和攻擊步驟,從而為攻擊防范提供知識(shí)準(zhǔn)備[17].2.2.5安全可視化安全可視化是一項(xiàng)綜合展現(xiàn)技術(shù),其核心是為用戶提供工控系統(tǒng)安全事件審計(jì)全局視圖,進(jìn)行安全狀態(tài)追蹤、監(jiān)控和反饋,為決策者提供準(zhǔn)確、有效的參考信息,并在一定程度上減小制定決策所花費(fèi)的時(shí)間和精力,盡可能減少人為失誤,提高整體管理效率.安全可視化包括報(bào)表、歷史分析、實(shí)時(shí)監(jiān)控、安全事件、安全模型5大類.其中,歷史分析包括時(shí)序分析、關(guān)聯(lián)圖、交互分析和取證分析.實(shí)時(shí)監(jiān)控重點(diǎn)通過(guò)儀表盤來(lái)表現(xiàn).
3安全事件評(píng)估
通過(guò)以上安全應(yīng)用分析,能夠?qū)Π踩录纬蓮狞c(diǎn)到面、多視角的分析結(jié)果,對(duì)安全事件帶來(lái)的影響進(jìn)行分級(jí),包括高危級(jí)、危險(xiǎn)級(jí)、中級(jí)、低級(jí)4個(gè)級(jí)別,使網(wǎng)絡(luò)管理者更好地將精力集中于解決對(duì)網(wǎng)絡(luò)安全影響較大的問題.
4安全態(tài)勢(shì)預(yù)警
為對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行全面評(píng)估,建立如圖3所示的全方位多層次異角度的安全態(tài)勢(shì)評(píng)估基本框架,分別進(jìn)行更為細(xì)粒度的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估,評(píng)估內(nèi)容如下:(1)基于專題層次的網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估.評(píng)估各具體因素,這些具體因素都會(huì)不同程度影響工業(yè)控制系統(tǒng)安全,根據(jù)威脅內(nèi)容分為資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估和安全事件評(píng)估4個(gè)模塊,每個(gè)模塊根據(jù)評(píng)估范圍分為3種不同粒度.威脅評(píng)估包含了單個(gè)威脅評(píng)估、某一類威脅評(píng)估和整個(gè)網(wǎng)絡(luò)威脅狀況評(píng)估3種不同粒度的安全分析.(2)基于要素層次的網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估.全方位對(duì)安全要素程度進(jìn)行評(píng)估,體現(xiàn)網(wǎng)絡(luò)各安全要素重要程度,包括保密性評(píng)估、完整性評(píng)估以及可用性評(píng)估.(3)基于整體層次的網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估.綜合評(píng)估工業(yè)控制系統(tǒng)安全狀況,對(duì)不同層次采用不同方法進(jìn)行評(píng)估.采用基于隱Markov模型、Markov博弈模型和基于指數(shù)對(duì)數(shù)分析的評(píng)估技術(shù),對(duì)安全態(tài)勢(shì)的3個(gè)安全要素進(jìn)行評(píng)估,評(píng)估所有與態(tài)勢(shì)值相關(guān)的內(nèi)容;基于指數(shù)對(duì)數(shù)分析評(píng)估技術(shù),實(shí)現(xiàn)由單體安全態(tài)勢(shì)得到整體安全態(tài)勢(shì),具體參數(shù)根據(jù)不同目的和網(wǎng)絡(luò)環(huán)境進(jìn)行設(shè)置.
5工業(yè)控制系統(tǒng)審計(jì)方案部署
本項(xiàng)目要符合電力、石化行業(yè)工業(yè)控制系統(tǒng)特點(diǎn),提供高可用、可擴(kuò)展和高性能解決方案.系統(tǒng)包含數(shù)據(jù)采集器、數(shù)據(jù)存儲(chǔ)服務(wù)器、安全審計(jì)分析服務(wù)器等核心組件,如圖4、圖5所示.(1)數(shù)據(jù)采集器是工業(yè)控制系統(tǒng)的末梢單元,是審計(jì)系統(tǒng)與工業(yè)控制各種設(shè)備、終端的信息接口.數(shù)據(jù)采集器數(shù)量依據(jù)工控終端規(guī)模進(jìn)行分布式動(dòng)態(tài)擴(kuò)展.特定工控采集環(huán)境下,硬件數(shù)據(jù)采集器輔助探針軟件協(xié)同工作.(2)數(shù)據(jù)存儲(chǔ)服務(wù)器用以存儲(chǔ)采集和分析計(jì)算處理后的海量數(shù)據(jù).數(shù)據(jù)存儲(chǔ)服務(wù)器以彈性擴(kuò)展集群方式組成海量數(shù)據(jù)存儲(chǔ)平臺(tái).(3)安全審計(jì)分析服務(wù)器負(fù)責(zé)數(shù)據(jù)處理、安全事件分析、漏洞挖掘等高性能安全計(jì)算和結(jié)果展示,是審計(jì)系統(tǒng)的計(jì)算中心.
6結(jié)語(yǔ)
關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全;入侵檢測(cè)
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)31-0800-03
The Cooperative Intrusion Detection System Model Based on Campus Network
LI Ang1,2, HU Xiao-long1
(1.School of Information Science and Engineering, Central South University, Changsha 410075, China; 2.Modern Education Technology Center, Hunan Institute of Technology, Hengyang 421002, China)
Abstract: Through the existing analysis of network security and intrusion detection technology, this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly, processes in multilateral cooperation, and constructs the large-network IDS. Then, it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions, this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.
Key words: campus network; network security; intrusion detection
1 網(wǎng)絡(luò)安全形勢(shì)分析
2007年,我國(guó)公共互聯(lián)網(wǎng)網(wǎng)絡(luò)整體上運(yùn)行基本正常,但從CNCERT/CC接收和監(jiān)測(cè)的各類網(wǎng)絡(luò)安全事件情況可以看出,網(wǎng)絡(luò)信息系統(tǒng)存在的安全漏洞和隱患層出不窮,利益驅(qū)使下的地下黑客產(chǎn)業(yè)繼續(xù)發(fā)展,網(wǎng)絡(luò)攻擊的種類和數(shù)量成倍增長(zhǎng),終端用戶和互聯(lián)網(wǎng)企業(yè)是主要的受害者,基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)面臨著嚴(yán)峻的安全威脅。在地下黑色產(chǎn)業(yè)鏈的推動(dòng)下,網(wǎng)絡(luò)犯罪行為趨利性表現(xiàn)更加明顯,追求經(jīng)濟(jì)利益依然是主要目標(biāo)。黑客往往利用仿冒網(wǎng)站、偽造郵件、盜號(hào)木馬、后門病毒等,并結(jié)合社會(huì)工程學(xué),竊取大量用戶數(shù)據(jù)牟取暴利,包括網(wǎng)游賬號(hào)、網(wǎng)銀賬號(hào)和密碼、網(wǎng)銀數(shù)字證書等。木馬、病毒等惡意程序的制作、傳播、用戶信息竊取、第三方平臺(tái)銷贓、洗錢等各環(huán)節(jié)的流水作業(yè)構(gòu)成了完善的地下黑色產(chǎn)業(yè)鏈條,為各種網(wǎng)絡(luò)犯罪行為帶來(lái)了利益驅(qū)動(dòng),加之黑客攻擊手法更具隱蔽性,使得對(duì)這些網(wǎng)絡(luò)犯罪行為的取證、追查和打擊都非常困難[1]。
從IDC網(wǎng)絡(luò)安全調(diào)查數(shù)據(jù)來(lái)看,網(wǎng)絡(luò)的安全威脅主要來(lái)自三個(gè)方面:第一、網(wǎng)絡(luò)的惡意破壞者,也就是我們所說(shuō)的黑客,造成的正常網(wǎng)絡(luò)服務(wù)的不可用、系統(tǒng)/數(shù)據(jù)的破壞;第二、無(wú)辜的內(nèi)部人員造成的網(wǎng)絡(luò)數(shù)據(jù)的破壞、網(wǎng)絡(luò)病毒的蔓延擴(kuò)散、木馬的傳播;第三、就是別有用心的間諜人員,通過(guò)竊取他人身份進(jìn)行越權(quán)數(shù)據(jù)訪問,以及偷取機(jī)密的或者他人的私密信息。其中,由于內(nèi)部人員而造成的網(wǎng)絡(luò)安全問題占到了70% 。
縱觀高校校園網(wǎng)安全現(xiàn)狀,我們會(huì)發(fā)現(xiàn)同樣符合上面的規(guī)律,即安全主要來(lái)自這三方面。而其中,來(lái)自校園網(wǎng)內(nèi)部的安全事件占到了絕大多數(shù)。這與校園網(wǎng)的用戶是息息相關(guān)的。一方面,高校學(xué)生這群精力充沛的年輕一族對(duì)新鮮事物有著強(qiáng)烈的好奇心,他們有著探索的高智商和沖勁,卻缺乏全面思考的責(zé)任感。同時(shí)網(wǎng)絡(luò)也使得黑客工具等的獲取更加的輕松。另一方面,校園網(wǎng)內(nèi)卻又存在著很多這樣的用戶,他們使用網(wǎng)絡(luò)來(lái)獲取資料,在網(wǎng)絡(luò)上辦公、娛樂,但是安全意識(shí)卻明顯薄弱,他們不愿意或者疏于安裝防火墻、殺毒軟件。
此外,我們的網(wǎng)絡(luò)管理者會(huì)發(fā)現(xiàn),還面臨這其他一些挑戰(zhàn),比如:
1) 用戶可以在隨意接入網(wǎng)絡(luò),出現(xiàn)安全問題后無(wú)法追查到用戶身份;
2) 網(wǎng)絡(luò)病毒泛濫,網(wǎng)絡(luò)攻擊成上升趨勢(shì)。安全事件從發(fā)現(xiàn)到控制,基本采取手工方式,難以及時(shí)控制與防范;
3) 對(duì)于未知的安全事件和網(wǎng)絡(luò)病毒,無(wú)法控制;
4) 用戶普遍安全意識(shí)不足,校方單方面的安全控制管理,難度大;
5) 現(xiàn)有安全設(shè)備工作分散,無(wú)法協(xié)同管理、協(xié)同工作,只能形成單點(diǎn)防御。各種安全設(shè)備管理復(fù)雜,對(duì)于網(wǎng)絡(luò)的整體安全性提升有限。
6) 某些安全設(shè)備采取網(wǎng)絡(luò)內(nèi)串行部署的方式,容易造成性能瓶頸和單點(diǎn)故障;
7) 無(wú)法對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行記錄,事后審計(jì)困難;
總之,網(wǎng)絡(luò)安全保障已經(jīng)成為各相關(guān)部門的工作重點(diǎn)之一,我國(guó)互聯(lián)網(wǎng)的安全態(tài)勢(shì)將有所改變。
2 入侵檢測(cè)概述
James Aderson在1980年使用了“威脅”概述術(shù)語(yǔ),其定義與入侵含義相同。將入侵企圖或威脅定義未經(jīng)授權(quán)蓄意嘗試訪問信息、竄改信息、使系統(tǒng)不可靠或不能使用。Heady給出定外的入侵定義,入侵時(shí)指任何企圖破壞資源的完整性、機(jī)密性及可用性的活動(dòng)集合。Smaha從分類角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務(wù)、惡意使用六種類型。
從技術(shù)上入侵檢測(cè)系統(tǒng)可分為異常檢測(cè)型和誤用檢測(cè)型兩大類。異常入侵檢測(cè)是指能夠根據(jù)異常行為和使用計(jì)算機(jī)資源情況檢測(cè)出來(lái)的入侵。異常檢測(cè)試圖用定量方式描述可接受的行為特征,以區(qū)別非正常的、潛在入侵。誤用入侵檢測(cè)是指利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來(lái)檢測(cè)入侵。與異常入侵檢測(cè)相反,誤用入侵檢測(cè)能直接檢測(cè)不利的或不可接受的行為,而異常入侵檢測(cè)是檢查同正常行為相違背的行為。
從系統(tǒng)結(jié)構(gòu)上分,入侵檢測(cè)系統(tǒng)大致可以分為基于主機(jī)型、基于網(wǎng)絡(luò)型和基于主體型三種。
基于主機(jī)入侵檢測(cè)系統(tǒng)為早期的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)、其檢測(cè)的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。檢測(cè)原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件,檢測(cè)系統(tǒng)可以運(yùn)行在被檢測(cè)的主機(jī)上。這種類型系統(tǒng)依賴于審計(jì)數(shù)據(jù)或系統(tǒng)日志準(zhǔn)確性和完整性以及安全事件的定義。若入侵者設(shè)法逃避設(shè)計(jì)或進(jìn)行合作入侵,則基于主機(jī)檢測(cè)系統(tǒng)就暴露出其弱點(diǎn),特別是在現(xiàn)在的網(wǎng)絡(luò)環(huán)境下。單獨(dú)地依靠主機(jī)設(shè)計(jì)信息進(jìn)行入侵檢測(cè)難以適應(yīng)網(wǎng)絡(luò)安全的需求。這主要表現(xiàn),一是主機(jī)的審計(jì)信息弱點(diǎn),如易受攻擊,入侵者可通過(guò)通過(guò)使用某些系統(tǒng)特權(quán)或調(diào)用比審計(jì)本身更低級(jí)的操作來(lái)逃避審計(jì)。二是不能通過(guò)分析主機(jī)審計(jì)記錄來(lái)檢測(cè)網(wǎng)絡(luò)攻擊(域名欺騙、端口掃描等)。因此,基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)安全是必要的,這種檢測(cè)系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議信息等數(shù)據(jù)檢測(cè)入侵。主機(jī)和網(wǎng)絡(luò)型的入侵檢測(cè)系統(tǒng)是一個(gè)統(tǒng)一集中系統(tǒng),但是,隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和大型化,系統(tǒng)的弱點(diǎn)或漏洞將趨向于分布式。另外,入侵行為不再是單一的行為,而是表現(xiàn)出相互協(xié)作入侵特點(diǎn)。入侵檢測(cè)系統(tǒng)要求可適應(yīng)性、可訓(xùn)練性、高效性、容錯(cuò)性、可擴(kuò)展性等要求。不同的IDS之間也需要共享信息,協(xié)作檢測(cè)。于是,美國(guó)普度大學(xué)安全研究小組提出基于主體入侵檢測(cè)系統(tǒng)。其主要的方法是采用相互獨(dú)立運(yùn)行的進(jìn)程組(稱為自治主體)分別負(fù)責(zé)檢測(cè),通過(guò)訓(xùn)練這些主體,并觀察系統(tǒng)行為,然后將這些主體認(rèn)為是異常的行為標(biāo)記出來(lái),并將檢測(cè)結(jié)果傳送到檢測(cè)中心。另外,S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。
對(duì)于入侵檢測(cè)系統(tǒng)評(píng)估,主要性能指標(biāo)有:
1) 可靠性――系統(tǒng)具有容錯(cuò)能力和可連續(xù)運(yùn)行;
2) 可用性――系統(tǒng)開銷要最小,不會(huì)嚴(yán)重降低網(wǎng)絡(luò)系統(tǒng)性能;
3) 可測(cè)試――通過(guò)攻擊可以檢測(cè)系統(tǒng)運(yùn)行;
4) 適應(yīng)性――對(duì)系統(tǒng)來(lái)說(shuō)必須是易于開發(fā)和添加新的功能,能隨時(shí)適應(yīng)系統(tǒng)環(huán)境的改變;
5) 實(shí)時(shí)性――系統(tǒng)能盡快地察覺入侵企圖以便制止和限制破壞;
6) 準(zhǔn)確性――檢測(cè)系統(tǒng)具有低的誤警率和漏警率;
7) 安全性――檢測(cè)系統(tǒng)必須難于被欺騙和能夠保護(hù)自身安全[4]。
3 協(xié)作式入侵檢測(cè)系統(tǒng)模型
隨著黑客入侵手段的提高,尤其是分布式、協(xié)同式、復(fù)雜模式攻擊的出現(xiàn)和發(fā)展,傳統(tǒng)、單一、缺乏協(xié)作的入侵檢測(cè)技術(shù)已不能滿足需求,要有充分的協(xié)作機(jī)制,下面就提出協(xié)作式入侵檢測(cè)的基本模型。
3.1 協(xié)作式入侵檢測(cè)系統(tǒng)由以下幾個(gè)部分組成
1) 安全認(rèn)證客戶端(SU)。能夠執(zhí)行端點(diǎn)防護(hù)功能,并參與用戶的身份認(rèn)證過(guò)程。參與了合法用戶的驗(yàn)證工作完成認(rèn)證計(jì)費(fèi)操作,而且還要完成安全策略接收、系統(tǒng)信息收集、安全漏洞上傳,系統(tǒng)補(bǔ)丁接收修復(fù)等大量的工作,對(duì)系統(tǒng)的控制能力大大增強(qiáng)。
2) 安全計(jì)費(fèi)服務(wù)器(SMA)。承擔(dān)身份認(rèn)證過(guò)程中的Radius服務(wù)器角色,負(fù)責(zé)對(duì)網(wǎng)絡(luò)用戶接入、開戶,計(jì)費(fèi)等系統(tǒng)管理工作外,還要負(fù)責(zé)與安全管理平臺(tái)的聯(lián)動(dòng),成為協(xié)作式入侵檢測(cè)系統(tǒng)中非常重要的一個(gè)環(huán)節(jié)。
3) 安全管理平臺(tái)(SMP)。用于制定端點(diǎn)防護(hù)策略、網(wǎng)絡(luò)攻擊防護(hù)防止規(guī)則,協(xié)調(diào)系統(tǒng)中的其他組件在網(wǎng)絡(luò)資源面臨的安全威脅進(jìn)行防御,能夠完成事前預(yù)防、事中處理、事后記錄等三個(gè)階段的工作。智能的提供一次配置持續(xù)防護(hù)的安全服務(wù)。
4) 安全事件解析器(SEP)。接收處理NIDS發(fā)送過(guò)來(lái)的網(wǎng)絡(luò)攻擊事件信息,處理后發(fā)送給安全管理平臺(tái),目的是屏弊不同廠家的NIDS的差異,把不同廠商、不同的入侵事件轉(zhuǎn)換成統(tǒng)一的安全管理平臺(tái)能處理的格式轉(zhuǎn)發(fā)給安全管理平臺(tái),便于安全管理平臺(tái)處理。
5) 入侵檢測(cè)系統(tǒng)(IDS)。網(wǎng)絡(luò)入侵檢測(cè)設(shè)備,對(duì)網(wǎng)絡(luò)流量進(jìn)行旁路監(jiān)聽,檢測(cè)網(wǎng)絡(luò)攻擊事件,并通過(guò)SEP向安全管理平臺(tái)反饋網(wǎng)絡(luò)攻擊事件,由安全管理平臺(tái)處埋這些攻擊事件。一個(gè)網(wǎng)絡(luò)中可以布暑多個(gè)IDS設(shè)備。
入侵檢測(cè)系統(tǒng)由三個(gè)部分組成:
1) Sensor探測(cè)器,也就是我們常看到的硬件設(shè)備,它的作用是接入網(wǎng)絡(luò)環(huán)境,接收和分析網(wǎng)絡(luò)中的流量。
2) 控制臺(tái):提供GUI管理界面,配置和管理所有的傳感器并接收事件報(bào)警、配置和管理對(duì)于不同安全事件的響應(yīng)方式、生成并查看關(guān)于安全事件、系統(tǒng)事件的統(tǒng)計(jì)報(bào)告,控制臺(tái)負(fù)責(zé)把安全事件信息顯示在控制臺(tái)上。
3) EC(Event Collector)事件收集器,它主要起以下作用:負(fù)責(zé)從sensor接收數(shù)據(jù)、收集sensor日志信息、負(fù)責(zé)把相應(yīng)策略及簽名發(fā)送給sensor、管理用戶權(quán)限、提供對(duì)用戶操作的審計(jì),向SEP發(fā)送入侵事件等工作。EC可以和控制臺(tái)安裝在同一個(gè)工作站中。
3.2 協(xié)作式入侵檢測(cè)系統(tǒng)中組件間的交互過(guò)程
1) SAM和SMP的交互過(guò)程
在協(xié)作式入侵檢測(cè)系統(tǒng)中,SMP同SAM的關(guān)系就是,SMP連接到SAM。連接成功后,接收SAM發(fā)送的接入用戶上線,下線消息。Su上線,SAM發(fā)送用戶上線消息。Su下線,SAM發(fā)送用戶下線消息。Su重認(rèn)證,SAM發(fā)送用戶上線消息。
2) JMS相關(guān)原理
SMP同SAM之間的交互是通過(guò)JMS(Java Message Service)。SAM啟動(dòng)JBoss自帶的JMS服務(wù)器,該服務(wù)器用于接收和發(fā)送JMS消息。SAM同時(shí)也作為JMS客戶端(消息生產(chǎn)者),負(fù)責(zé)產(chǎn)生JMS信息,并且發(fā)送給JMS服務(wù)器,SMP也是JMS客戶端(消息消費(fèi)者)。目前SAM所實(shí)現(xiàn)的JMS服務(wù)器是以“主題”的方式的,即有多少個(gè)JMS客戶端到JMS服務(wù)器訂閱JMS消息,JMS服務(wù)器就會(huì)發(fā)送給多少個(gè)JMS客戶端。當(dāng)然了消息生產(chǎn)者也可以多個(gè)。相當(dāng)于JMS服務(wù)器(如SAM)是一個(gè)郵局,其它如JMS客戶端(如SMP,NTD)都是訂閱雜志的用戶,同時(shí)SAM也作為出版商產(chǎn)生雜志。這樣,SAM產(chǎn)生用戶上下線消息,發(fā)送到SAM所在Jboss服務(wù)器的JMS服務(wù)器中,JMS服務(wù)器發(fā)現(xiàn)SMP訂閱了該消息,則發(fā)送該消息給SMP。
在協(xié)作式入侵檢測(cè)系統(tǒng)中,SMP就是JMS客戶端,SAM既作為JMS消息生產(chǎn)者,也作為JMS服務(wù)器。當(dāng)SMP啟動(dòng)時(shí),SMP通過(guò)1099端口連接到SAM服務(wù)器,并且進(jìn)行JMS消息的訂閱,訂閱成功后,即表示SMP同SAM聯(lián)動(dòng)成功。當(dāng)用戶通過(guò)su上線成功后,SAM根據(jù)JMS的格式,產(chǎn)生一條JMS信息,然后發(fā)送給JMS服務(wù)器,JMS服務(wù)器檢查誰(shuí)訂閱了它的JMS消息,然后發(fā)送給所有的JMS用戶。
3) SU和SMP的交互過(guò)程
間接交互:對(duì)于Su上傳的端點(diǎn)防護(hù)HI狀態(tài)(成功失敗),HI配置文件更新請(qǐng)求,每個(gè)Su請(qǐng)求的響應(yīng)報(bào)文,SMP下發(fā)給Su的相關(guān)命令,均通過(guò)交換機(jī)進(jìn)行透?jìng)鳎瓷蟼鞯男畔⒍及賁NMP Trap中,下發(fā)的信息都包含在SNMP Set報(bào)文中。交換機(jī)將Su上傳的EAPOL報(bào)文封裝在SNMP Trap包中,轉(zhuǎn)發(fā)給SMP。交換機(jī)將SMP下發(fā)的SNMP Set報(bào)文進(jìn)行解析,提取出其中包含的EAPOL報(bào)文,直接轉(zhuǎn)發(fā)給Su。這樣就實(shí)現(xiàn)了Su同SMP的間接交互,隱藏了SMP的位置。
直接交互:對(duì)于一些數(shù)據(jù)量較大的交互,無(wú)法使用EAPOL幀進(jìn)行傳輸(幀長(zhǎng)度限制)。因此Su從SMP上面下載HI配置文件(FTP服務(wù),端口可指定),Su發(fā)送主機(jī)信息給SMP的主機(jī)信息收集服務(wù)(自定義TCP協(xié)議,端口5256,能夠通過(guò)配置文件修改端口),都是由SU和SMP直接進(jìn)行交互。
4) SMP同交換機(jī)之間的交互
交換機(jī)發(fā)送SNMP Trap報(bào)文給SMP。交換機(jī)發(fā)送的SNMP Trap都是用于轉(zhuǎn)發(fā)Su上傳的消息,如果沒有Su,交換機(jī)不會(huì)發(fā)送任何同GSN方案相關(guān)的Trap給SMP的。
SMP發(fā)送SNMP Get和SNMP Set給交換機(jī):a) 在用戶策略同步時(shí),會(huì)先通過(guò)SNMP Get報(bào)文從交換機(jī)獲取交換機(jī)的策略情況;b) 安裝刪除策略時(shí),SMP將策略相關(guān)信息發(fā)送SNMP Set報(bào)文中,發(fā)送給交換機(jī);c) 對(duì)用戶進(jìn)行重人證,強(qiáng)制下線,獲取HI狀態(tài),手動(dòng)獲取主機(jī)信息等命令,都是通過(guò)SNMP Set發(fā)送給交換機(jī)的,然后由交換機(jī)解釋后,生成eapol報(bào)文,再發(fā)送給su,由su進(jìn)行實(shí)際的操作。
5) SMP與SEP交互
SEP在收到NIDS檢測(cè)到的攻擊事件后(這個(gè)攻擊事件是多種廠商的NIDS設(shè)備通過(guò)Syslog、UDP、SNMP等報(bào)文的形式發(fā)送到SEP的),SEP處理完這些不同廠商發(fā)現(xiàn)不同攻擊事件的信息后,以UDP的方式發(fā)送到SMP中,完成SEP和SMP的交互過(guò)程,這是一個(gè)單向的過(guò)程,也就是說(shuō)SMP只從SEP中接收數(shù)據(jù),而不向SEP發(fā)送數(shù)據(jù)。
6) SEP與NIDS交互
首先NIDS檢測(cè)到某個(gè)IP和MAC主機(jī)對(duì)網(wǎng)絡(luò)的攻擊事件,并把結(jié)果通過(guò)Syslog、UDP、SNMP等報(bào)文的形式發(fā)送到SEP(安全事件解析器),安全事件解析器SEP再把這個(gè)攻擊事件通過(guò)UDP報(bào)文轉(zhuǎn)發(fā)到SMP(安全管理平臺(tái))。
3.3 協(xié)作式入侵檢測(cè)系統(tǒng)工作原理及數(shù)據(jù)流圖
協(xié)作式入侵檢測(cè)系統(tǒng)工作原理:
1) 身份認(rèn)證――用戶通過(guò)安全客戶端進(jìn)行身份認(rèn)證,以確定其在該時(shí)間段、該地點(diǎn)是否被允許接入網(wǎng)絡(luò);
2) 身份信息同步――用戶的身份認(rèn)證信息將會(huì)從認(rèn)證計(jì)費(fèi)管理平臺(tái)同步到安全策略平臺(tái)。為整個(gè)系統(tǒng)提供基于用戶的安全策略實(shí)施和查詢;
3) 安全事件檢測(cè)――用戶訪問網(wǎng)絡(luò)的流量將會(huì)被鏡像給入侵防御系統(tǒng),該系統(tǒng)將會(huì)對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行檢測(cè)和記錄;
4) 安全事件通告――用戶一旦觸發(fā)安全事件,入侵防御系統(tǒng)將自動(dòng)將其通告給安全策略平臺(tái);
5) 自動(dòng)告警――安全策略平臺(tái)收到用戶的安全事件后,將根據(jù)預(yù)定的策略對(duì)用戶進(jìn)行告警提示;
6) 自動(dòng)阻斷(隔離)――在告警提示的同時(shí),系統(tǒng)將安全(阻斷、隔離)策略下發(fā)到安全交換機(jī),安全交換機(jī)將根據(jù)下發(fā)的策略對(duì)用戶數(shù)據(jù)流進(jìn)行阻斷或?qū)τ脩暨M(jìn)行隔離;
7) 修復(fù)程序鏈接下發(fā)――被隔離至修復(fù)區(qū)的用戶,將能夠自動(dòng)接收到系統(tǒng)發(fā)送的相關(guān)修復(fù)程序鏈接;
8) 自動(dòng)獲取并執(zhí)行修復(fù)程序――安全客戶端收到系統(tǒng)下發(fā)的修復(fù)程序連接后,將自動(dòng)下載并強(qiáng)制運(yùn)行,使用戶系統(tǒng)恢復(fù)正常。
協(xié)作式入侵檢測(cè)數(shù)據(jù)流圖見圖3。
4 結(jié)束語(yǔ)
由于各高校實(shí)力不一、校園網(wǎng)規(guī)模不一,出現(xiàn)了許多問題,其中最主要的是“有硬無(wú)軟”和“重硬輕軟” 。特別是人們的安全意識(shí)淡薄,雖然網(wǎng)絡(luò)安全硬件都配備齊全,但關(guān)于網(wǎng)絡(luò)的安全事故卻不斷發(fā)生,使校園網(wǎng)的安全面臨極大的威脅。因此,隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大,如何確保校園網(wǎng)正常、高效和安全地運(yùn)行是所有高校都面臨的問題。該文結(jié)合高校現(xiàn)在實(shí)際的網(wǎng)絡(luò)環(huán)境,充分利用各種現(xiàn)有設(shè)備,構(gòu)建出協(xié)作式入侵檢測(cè)系統(tǒng),實(shí)現(xiàn)了“多兵種協(xié)同作戰(zhàn)” 的全局安全設(shè)計(jì),同時(shí)將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備(網(wǎng)絡(luò)交換機(jī)、路由器等)和網(wǎng)絡(luò)終端設(shè)備(用戶PC、服務(wù)器等),成為一個(gè)全局化的網(wǎng)絡(luò)安全綜合體系。
參考文獻(xiàn):
[1] CNCERT/CC[P].網(wǎng)絡(luò)安全工作報(bào)告,2007.
[2] 張曉芬,陳明奇,等.入侵檢測(cè)系統(tǒng)(IDS)的發(fā)展[J].信息安全與通信保密,2002(03).
隨著信息化建設(shè)的大力發(fā)展,醫(yī)療網(wǎng)絡(luò)也正進(jìn)行著一次次質(zhì)的蛻變,從以往病人親自來(lái)醫(yī)院看病到網(wǎng)上健康咨詢,從堆積如山的病歷、X線光片到現(xiàn)在的無(wú)紙化傳輸、存儲(chǔ),醫(yī)療網(wǎng)絡(luò)已經(jīng)成為現(xiàn)今醫(yī)療機(jī)構(gòu)的核心競(jìng)爭(zhēng)力之一。當(dāng)然,每一次醫(yī)療網(wǎng)絡(luò)的變革都伴隨著一次技術(shù)上的更替,而改造自己的醫(yī)療網(wǎng)絡(luò),提高對(duì)患者的服務(wù)質(zhì)量也成為近年來(lái)各大醫(yī)院紛紛采取的一項(xiàng)舉措。
隨著醫(yī)院信息化的不斷發(fā)展,數(shù)字化的醫(yī)院成為醫(yī)院信息化建設(shè)的目標(biāo),最終將實(shí)現(xiàn)患者信息的無(wú)紙化、無(wú)膠片等,全面提升醫(yī)院的治療效率,為患者提供更專業(yè)的診療服務(wù)。同時(shí),醫(yī)院的患者電子病歷信息需要被保存5~20年以上。然而,隨著醫(yī)院各種信息的網(wǎng)絡(luò)化,在提升醫(yī)院工作效率的同時(shí),也給患者的各種電子病歷信息、醫(yī)院管理信息等帶來(lái)了極大的安全隱患。作為涉及患者個(gè)人隱私及醫(yī)院安全的各種信息在網(wǎng)絡(luò)中傳播,如何保障患者的電子病歷信息安全,保障患者電子病歷能夠被合法的用戶安全地獲取并查看,是建設(shè)數(shù)字化醫(yī)院的根本前提。
同時(shí),在目前醫(yī)院網(wǎng)絡(luò)環(huán)境中,由于用戶的不當(dāng)操作和疏忽,造成各種病毒及其攻擊在醫(yī)院網(wǎng)絡(luò)中肆意流竄,不斷出現(xiàn)的掃描攻擊、DDOS攻擊、ARP攻擊等,造成醫(yī)院門診收費(fèi)中斷,醫(yī)保服務(wù)無(wú)法正常處理等,給醫(yī)院網(wǎng)絡(luò)的穩(wěn)定性造成了極大的沖擊。因此,網(wǎng)絡(luò)安全是網(wǎng)絡(luò)系統(tǒng)穩(wěn)定性的根本保障。
可見,穩(wěn)定、安全已經(jīng)成為構(gòu)建新一代醫(yī)療網(wǎng)絡(luò)最需要注重的兩大環(huán)節(jié)。針對(duì)這種普遍的安全、管理問題,銳捷網(wǎng)絡(luò)了其全新的GSN(全局安全網(wǎng)絡(luò))解決方案,并針對(duì)各個(gè)行業(yè)進(jìn)行了定制化的設(shè)置,其中,醫(yī)療行業(yè)就是GSN已應(yīng)用成熟的眾多行業(yè)之一。
GSN,即 Global Security Network,中文名稱“全局安全網(wǎng)絡(luò)”,是由銳捷安全交換機(jī)、銳捷安全管理平臺(tái)、銳捷安全計(jì)費(fèi)管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、安全修復(fù)系統(tǒng)等多重網(wǎng)絡(luò)元素聯(lián)合組成,能實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動(dòng),使每個(gè)設(shè)備都發(fā)揮安全防護(hù)的作用。GSN通過(guò)將用戶入網(wǎng)強(qiáng)制安全、主機(jī)信息收集和健康性檢查、安全事件下的設(shè)備聯(lián)動(dòng)集成到一個(gè)網(wǎng)絡(luò)安全解決方案中,以“多兵種”協(xié)同達(dá)到網(wǎng)絡(luò)全方位的安全,以此達(dá)到對(duì)網(wǎng)絡(luò)安全威脅的自動(dòng)防御,以及對(duì)網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù),同時(shí)其針對(duì)網(wǎng)絡(luò)環(huán)境變化和新網(wǎng)絡(luò)行為的自動(dòng)學(xué)習(xí)能力,也達(dá)到了對(duì)未知安全事件的防范,做到了真正的主動(dòng)防御。
下面的原理圖,有助于更深刻地理解GSN的工作原理:
在保證數(shù)據(jù)穩(wěn)定、高速傳輸?shù)幕A(chǔ)上,銳捷通過(guò)GSN側(cè)重對(duì)醫(yī)療網(wǎng)絡(luò)的安全與管理進(jìn)行了考量。通過(guò)GSN,銳捷網(wǎng)絡(luò)為醫(yī)療行業(yè)用戶打造了一個(gè)多層面的安全保障:銳捷GSN全局安全涉及到身份準(zhǔn)入控制;主機(jī)信息收集與管理;主機(jī)完整性(HI)管理;安全事件管理(包括IDS技術(shù)、安全事件下的設(shè)備聯(lián)動(dòng)處理等)等諸多安全技術(shù)。在安全管理平臺(tái)上,GSN能夠根據(jù)主機(jī)信息定位到相應(yīng)的接入用戶,了解整個(gè)網(wǎng)絡(luò)中各種硬件、軟件、操作系統(tǒng)的分布和使用情況,并協(xié)助網(wǎng)絡(luò)管理人員更好地制定網(wǎng)絡(luò)安全策略;同時(shí),GSN能夠通過(guò)主機(jī)完整性對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控、主機(jī)完整性指的是用戶所使用的PC是否符合相關(guān)的要求,如必須安裝某程序且達(dá)到某版本(如某殺毒軟件),禁止安裝某些程序等,符合這些要求的PC即可以認(rèn)為其符合主機(jī)完整性接入網(wǎng)絡(luò),如果存在網(wǎng)絡(luò)安全問題或不滿足主機(jī)完整性的時(shí)候,GSN就會(huì)對(duì)主機(jī)進(jìn)行斷網(wǎng)隔離處理,并在自動(dòng)修復(fù)成功后重新接入網(wǎng)絡(luò),達(dá)到各個(gè)層面網(wǎng)絡(luò)安全的整合防護(hù),以此打造銳捷全局安全網(wǎng)絡(luò)。
全局的安全、有效的管理、高速穩(wěn)定的網(wǎng)絡(luò)是銳捷網(wǎng)絡(luò)對(duì)醫(yī)療行業(yè)的三大承諾。作為民族廠商,銳捷網(wǎng)絡(luò)一直對(duì)國(guó)內(nèi)各行業(yè)進(jìn)行著深入的調(diào)研,也正是在這持續(xù)性的觀察中,銳捷發(fā)現(xiàn)穩(wěn)定高速、安全、易管理已經(jīng)成為現(xiàn)今醫(yī)療網(wǎng)絡(luò)的發(fā)展前景,而要想在眾多的醫(yī)療機(jī)構(gòu)中脫穎而出,人性化的醫(yī)療環(huán)境和患者的滿意度就成為了考核醫(yī)院成效的最大標(biāo)準(zhǔn)。
關(guān)于銳捷網(wǎng)絡(luò)
