時間:2023-06-08 10:57:29
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)安全事件定義,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
關(guān)鍵詞:安全事件管理器;網(wǎng)絡(luò)安全
中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2008)08-10ppp-0c
1 相關(guān)背景
隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展,網(wǎng)絡(luò)信息安全越來越成為人們關(guān)注的焦點,同時網(wǎng)絡(luò)安全技術(shù)也成為網(wǎng)絡(luò)技術(shù)研究的熱點領(lǐng)域之一。到目前為止,得到廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)主要有防火墻(Firewall),IDS,IPS系統(tǒng),蜜罐系統(tǒng)等,這些安全技術(shù)在網(wǎng)絡(luò)安全防護方面發(fā)揮著重要的作用。但是隨著網(wǎng)絡(luò)新應(yīng)用的不斷發(fā)展,這些技術(shù)也受到越來越多的挑戰(zhàn),出現(xiàn)了不少的問題,主要體現(xiàn)在以下三個方面:
(1)眾多異構(gòu)環(huán)境下的安全設(shè)備每天產(chǎn)生大量的安全事件信息,海量的安全事件信息難以分析和處理。
(2)網(wǎng)絡(luò)安全應(yīng)用的發(fā)展,一個組織內(nèi)可能設(shè)置的各種安全設(shè)備之間無法信息共享,使得安全管理人員不能及時掌網(wǎng)絡(luò)的安全態(tài)勢。
(3)組織內(nèi)的各種安全設(shè)備都針對某一部分的網(wǎng)絡(luò)安全威脅而設(shè)置,整個組織內(nèi)各安全設(shè)備無法形成一個有效的,整合的安全防護功能。
針對以上問題,安全事件管理器技術(shù)作為一種新的網(wǎng)絡(luò)安全防護技術(shù)被提出來了,與其它的網(wǎng)絡(luò)安全防護技術(shù)相比,它更強調(diào)對整個組織網(wǎng)絡(luò)內(nèi)的整體安全防護,側(cè)重于各安全設(shè)備之間的信息共享與信息關(guān)聯(lián),從而提供更為強大的,更易于被安全人員使用的網(wǎng)絡(luò)安全保護功能。
2 安全事件管理器的概念與架構(gòu)
2.1 安全事件管理器概念
安全事件管理器的概念主要側(cè)重于以下二個方面:
(1)整合性:現(xiàn)階段組織內(nèi)部安裝的多種安全設(shè)備隨時產(chǎn)生大量的安全事件信息,安全事件管理器技術(shù)注重將這些安全事件信息通過各種方式整合在一起,形成統(tǒng)一的格式,有利于安全管理人員及時分析和掌握網(wǎng)絡(luò)安全動態(tài)。同時統(tǒng)一的、格式化的安全事件信息也為專用的,智能化的安全事件信息分析工具提供了很有價值的信息源。
(2)閉環(huán)性:現(xiàn)有的安全防護技術(shù)大都是針對安全威脅的某一方面的威脅而采取防護。因此它們只關(guān)注某一類安全事件信息,然后作出判斷和動作。隨著網(wǎng)絡(luò)入侵和攻擊方式的多樣化,這些技術(shù)會出現(xiàn)一些問題,主要有誤報,漏報等。這些問題的主要根源來自于以上技術(shù)只側(cè)重對某一類安全事件信息分析,不能與其它安全設(shè)備產(chǎn)生的信息進行關(guān)聯(lián),從而造成誤判。安全事件管理器從這個角度出發(fā),通過對組織內(nèi)各安全設(shè)備產(chǎn)生的信息進行整合和關(guān)聯(lián),實現(xiàn)對安全防護的閉環(huán)自反饋系統(tǒng),達到對網(wǎng)絡(luò)安全態(tài)勢更準(zhǔn)確的分析判斷結(jié)果。
從以上二個方面可以看出,安全事件管理器并沒有提供針對某類網(wǎng)絡(luò)安全威脅直接的防御和保護,它是通過整合,關(guān)聯(lián)來自不同設(shè)備的安全事件信息,實現(xiàn)對網(wǎng)絡(luò)安全狀況準(zhǔn)確的分析和判斷,從而實現(xiàn)對網(wǎng)絡(luò)更有效的安全保護。
2.2 安全事件管理器的架構(gòu)
安全事件管理器的架構(gòu)主要如下圖所示。
圖1 安全事件事件管理系統(tǒng)結(jié)構(gòu)與設(shè)置圖
從圖中可以看出安全事件管理主要由三個部分組成的:安全事件信息的數(shù)據(jù)庫:主要負責(zé)安全事件信息的收集、格式化和統(tǒng)一存儲;而安全事件分析服務(wù)器主要負責(zé)對安全事件信息進行智能化的分析,這部分是安全事件管理系統(tǒng)的核心部分,由它實現(xiàn)對海量安全事件信息的統(tǒng)計和關(guān)聯(lián)分析,形成多層次、多角度的閉環(huán)監(jiān)控系統(tǒng);安全事件管理器的終端部分主要負責(zé)圖形界面,用于用戶對安全事件管理器的設(shè)置和安全事件警報、查詢平臺。
3 安全事件管理器核心技術(shù)
3.1 數(shù)據(jù)抽取與格式化技術(shù)
數(shù)據(jù)抽取與格式化技術(shù)是安全事件管理器的基礎(chǔ),只要將來源不同的安全事件信息從不同平臺的設(shè)備中抽取出來,并加以格式化成為統(tǒng)一的數(shù)據(jù)格式,才可以實現(xiàn)對安全設(shè)備產(chǎn)生的安全事件信息進行整合、分析。而數(shù)據(jù)的抽取與格式化主要由兩方面組成,即數(shù)據(jù)源獲取數(shù)據(jù),數(shù)據(jù)格式化統(tǒng)一描述。
從數(shù)據(jù)源獲取數(shù)據(jù)主要的途徑是通過對網(wǎng)絡(luò)中各安全設(shè)備的日志以及設(shè)備數(shù)據(jù)庫提供的接口來直接獲取數(shù)據(jù),而獲取的數(shù)據(jù)都是各安全設(shè)備自定義的,所以要對數(shù)據(jù)要采用統(tǒng)一的描述方式進行整理和格式化,目前安全事件管理器中采用的安全事件信息表達格式一般采用的是基于XML語言來描述的,因為XML語言是一種與平臺無關(guān)的標(biāo)記描述語言,采用文本方式,因而通過它可以實現(xiàn)對安全事件信息的統(tǒng)一格式的描述后,跨平臺實現(xiàn)對安全事件信息的共享與交互。
3.2 關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)
關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)是安全事件管理器的功能核心,安全事件管理器強調(diào)是多層次與多角度的對來源不同安全設(shè)備的監(jiān)控信息進行分析,因此安全事件管理器的分析功能也由多種技術(shù)組成,其中主要的是關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)。
關(guān)聯(lián)分析技術(shù)主要是根據(jù)攻擊者入侵網(wǎng)絡(luò)可能會同時在不同的安全設(shè)備上留下記錄信息,安全事件管理器通過分析不同的設(shè)備在短時間內(nèi)記錄的信息,在時間上的順序和關(guān)聯(lián)可有可能準(zhǔn)備地分析出結(jié)果。而統(tǒng)計分析技術(shù)則是在一段時間內(nèi)對網(wǎng)絡(luò)中記錄的安全事件信息按屬性進行分類統(tǒng)計,當(dāng)某類事件在一段時間內(nèi)發(fā)生頻率異常,則認(rèn)為網(wǎng)絡(luò)可能面臨著安全風(fēng)險危險,這是一種基于統(tǒng)計知識的分析技術(shù)。與關(guān)聯(lián)分析技術(shù)不同的是,這種技術(shù)可以發(fā)現(xiàn)不為人知的安全攻擊方式,而關(guān)聯(lián)分析技術(shù)則是必須要事先確定關(guān)聯(lián)規(guī)則,也就是了解入侵攻擊的方式才可以實現(xiàn)準(zhǔn)確的發(fā)現(xiàn)和分析效果。
4 安全事件管理器未來的發(fā)展趨勢
目前安全事件管理器的開發(fā)已經(jīng)在軟件產(chǎn)業(yè),特別是信息安全產(chǎn)業(yè)中成為了熱點,并形成一定的市場。國內(nèi)外主要的一些在信息安全產(chǎn)業(yè)有影響的大公司如: IBM和思科公司都有相應(yīng)的產(chǎn)品推出,在國內(nèi)比較有影響是XFOCUS的OPENSTF系統(tǒng)。
從總體上看,隨著網(wǎng)絡(luò)入侵手段的復(fù)雜化以及網(wǎng)絡(luò)安全設(shè)備的多樣化,造成目前網(wǎng)絡(luò)防護中的木桶現(xiàn)象,即網(wǎng)絡(luò)安全很難形成全方面的、有效的整體防護,其中任何一個設(shè)備的失誤都可能會造成整個防護系統(tǒng)被突破。
從技術(shù)發(fā)展來看,信息的共享是網(wǎng)絡(luò)安全防護發(fā)展的必然趨勢,網(wǎng)絡(luò)安全事件管理器是采用安全事件信息共享的方式,將整個網(wǎng)絡(luò)的安全事件信息集中起來,進行分析,達到融合現(xiàn)有的各種安全防護技術(shù),以及未來防護技術(shù)兼容的優(yōu)勢,從而達到更準(zhǔn)備和有效的分析與判斷效果。因此有理由相信,隨著安全事件管理器技術(shù)的進一步發(fā)展,尤其是安全事件信息分析技術(shù)的發(fā)展,安全事件管理器系統(tǒng)必然在未來的信息安全領(lǐng)域中占有重要的地位。
參考文獻:
【關(guān)鍵詞】網(wǎng)絡(luò)安全;管理技術(shù);應(yīng)用
1網(wǎng)絡(luò)安全管理要素
目前,隨著互聯(lián)網(wǎng)的普及與發(fā)展,人們對網(wǎng)絡(luò)的應(yīng)用越來越廣泛,對網(wǎng)絡(luò)安全的意識也不斷增強,尤其是對于企業(yè)而言,網(wǎng)絡(luò)安全管理一直以來都存在諸多問題。網(wǎng)絡(luò)安全管理涉及到的要素非常多,例如安全策略、安全配置、安全事件以及安全事故等等,這些要素對于網(wǎng)絡(luò)安全管理而言有著重大影響,針對這些網(wǎng)絡(luò)安全管理要素的分析與研究具有十分重要的意義。
1.1安全策略
網(wǎng)絡(luò)安全的核心在于安全策略。在網(wǎng)絡(luò)系統(tǒng)安全建立的過程中,安全策略具有重要的指導(dǎo)性作用。通過安全策略,可以網(wǎng)絡(luò)系統(tǒng)的建立的安全性、資源保護以及資源保護方式予以明確。作為重要的規(guī)則,安全策略對于網(wǎng)絡(luò)系統(tǒng)安全而言有著重要的控制作用。換言之,就是指以安全需求、安全威脅來源以及組織機構(gòu)狀況為出發(fā)點,對安全對象、狀態(tài)以及應(yīng)對方法進行明確定義。在網(wǎng)絡(luò)系統(tǒng)安全檢查過程中,安全策略具有重要且唯一的參考意義。網(wǎng)絡(luò)系統(tǒng)的安全性、安全狀況以及安全方法,都只有參考安全策略。作為重要的標(biāo)準(zhǔn)規(guī)范,相關(guān)工作人員必須對安全策略有一個深入的認(rèn)識與理解。工作人員必須采用正確的方法,利用有關(guān)途徑,對安全策略及其制定進行了解,并在安全策略系統(tǒng)下接受培訓(xùn)。同時,安全策略的一致性管理與生命周期管理的重要性不言而喻,必須確保不同的安全策略的和諧、一致,使矛盾得以有效避免,否則將會導(dǎo)致其失去實際意義,難以充分發(fā)揮作用。安全策略具有多樣性,并非一成不變,在科學(xué)技術(shù)不斷發(fā)展的背景下,為了保證安全策略的時效性,需要對此進行不斷調(diào)整與更新。只有在先進技術(shù)手段與管理方法的支持下,安全策略才能夠充分發(fā)揮作用。
1.2安全配置
從微觀上來講,實現(xiàn)安全策略的重要前提就是合理的安全配置。安全配置指的是安全設(shè)備相關(guān)配置的構(gòu)建,例如安全設(shè)備、系統(tǒng)安全規(guī)則等等。安全配置涉及到的內(nèi)容比較廣泛,例如防火墻系統(tǒng)。VPN系統(tǒng)、入侵檢測系統(tǒng)等等,這些系統(tǒng)的安全配置及其優(yōu)化對于安全策略的有效實施具有十分重要的意義。安全配置水平在很大程度上決定了安全系統(tǒng)的作用是否能夠發(fā)揮。合理、科學(xué)的安全配置能夠使安全系統(tǒng)及設(shè)備的作用得到充分體現(xiàn),能夠很好的符合安全策略的需求。如果安全配置不當(dāng),那么就會導(dǎo)致安全系統(tǒng)設(shè)備缺乏實際意義,難以發(fā)揮作用,情況嚴(yán)重時還會產(chǎn)生消極影響。例如降低網(wǎng)絡(luò)的流暢性以及網(wǎng)絡(luò)運行效率等等。安全配置的管理與控制至關(guān)重要,任何人對其隨意更改都會產(chǎn)生嚴(yán)重的影響。并且備案工作對于安全配置也非常重要,應(yīng)做好定期更新工作,并進行及時檢查,確保其能夠?qū)踩呗缘男枨竽軌蚍从吵鰜恚瑸橄嚓P(guān)工作人員工作的開展提供可靠的依據(jù)。
1.3安全事件
所謂的安全事件,指的是對計算機系統(tǒng)或網(wǎng)絡(luò)安全造成不良影響的行為。在計算機與域網(wǎng)絡(luò)中,這些行為都能夠被觀察與發(fā)現(xiàn)。其中破壞系統(tǒng)、網(wǎng)絡(luò)中IP包的泛濫以及在未經(jīng)授權(quán)的情況下對另一個用戶的賬戶或系統(tǒng)特殊權(quán)限的篡改導(dǎo)致數(shù)據(jù)被破壞等都屬于惡意行為。一方面,計算機系統(tǒng)與網(wǎng)絡(luò)安全指的是計算機系統(tǒng)與網(wǎng)絡(luò)數(shù)據(jù)、信息的保密性與完整性以及應(yīng)用、服務(wù)于網(wǎng)絡(luò)等的可用性。另一方面,在網(wǎng)絡(luò)發(fā)展過程中,網(wǎng)絡(luò)安全事件越來越頻繁,違反既定安全策略的不在預(yù)料之內(nèi)的對系統(tǒng)與網(wǎng)絡(luò)使用、訪問等行為都在安全事件的范疇之內(nèi)。安全事件是指與安全策略要求相違背的行為。安全事件涉及到的內(nèi)容比較廣泛,包括安全系統(tǒng)與設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及應(yīng)用系統(tǒng)的日志與之間等等。安全事件將網(wǎng)絡(luò)、操作以及應(yīng)用系統(tǒng)的安全情況與發(fā)展直接的反映了出來,對于網(wǎng)絡(luò)系統(tǒng)而言,其安全狀況可以通過安全事件得到充分體現(xiàn)。在安全管理中,安全事件的重要性不言而喻,安全事件的特點在于數(shù)量多、分布散、技術(shù)復(fù)雜等。因此,在安全事件管理中往往存在諸多難題。在工作實踐中,不同的管理人員負責(zé)不同的系統(tǒng)管理。由于日志與安全事件數(shù)量龐大,系統(tǒng)安全管理人員往往難以全面觀察與分析,安全系統(tǒng)與設(shè)備的安全缺乏實際意義,其作用也沒有得到充分發(fā)揮。安全事件造成的影響有可能比較小,然而網(wǎng)絡(luò)安全狀況與發(fā)展趨勢在很大程度上受到這一要素的影響。必須采用相應(yīng)的方法對安全事件進行收集,通過數(shù)據(jù)挖掘、信息融合等方法,對其進行冗余處理與綜合分析,以此來確定對網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用系統(tǒng)產(chǎn)生影響的安全事件,即安全事故。
1.4安全事故
安全事故如果產(chǎn)生了一定的影響并造成了損失,就被稱為安全事故。如果有安全事故發(fā)生那么網(wǎng)絡(luò)安全管理人員就必須針對此采取一定的應(yīng)對措施,使事故造成的影響以及損失得到有效控制。安全事故的處理應(yīng)具有準(zhǔn)確性、及時性,相關(guān)工作人員應(yīng)針對事故發(fā)生各方面要素進行分析,發(fā)現(xiàn)事故產(chǎn)生的原因,以此來實現(xiàn)對安全事故的有效處理。在安全事故的處理中,應(yīng)對信息資源庫加以利用,對事故現(xiàn)場系統(tǒng)或設(shè)備情況進行了解,如此才能夠針對實際情況采取有效的技術(shù)手段,使安全事故產(chǎn)生的影響得到有效控制。
1.5用戶身份管理
在統(tǒng)一網(wǎng)絡(luò)安全管理體系中,用戶管理身份系統(tǒng)占據(jù)著重要地位。最終用戶是用戶身份管理的主要對象,通過這部分系統(tǒng),最終用戶可以獲取集中的身份鑒別中心功能。在登錄網(wǎng)絡(luò)或者對網(wǎng)絡(luò)資源進行使用的過程中,身份管理系統(tǒng)會鑒別用戶身份,以此保障用戶的安全。
2企業(yè)網(wǎng)絡(luò)安全方案研究
本文以某卷煙廠網(wǎng)絡(luò)安全方案為例,針對網(wǎng)絡(luò)安全技術(shù)在OSS中的應(yīng)用進行分析。該企業(yè)屬于生產(chǎn)型企業(yè),其網(wǎng)絡(luò)安全部署圖具體如圖1所示。該企業(yè)網(wǎng)絡(luò)安全管理中,采用針對性的安全部署策略,采用安全信息收集與信息綜合的方法實施網(wǎng)絡(luò)安全管理。在網(wǎng)絡(luò)設(shè)備方面,作為網(wǎng)絡(luò)設(shè)備安全的基本防護方法:①對設(shè)備進行合理配置,為設(shè)備所需的必要服務(wù)進行開放,僅運行指定人員的訪問;②該企業(yè)對設(shè)備廠商的漏洞予以高度關(guān)注,對網(wǎng)絡(luò)設(shè)備補丁進行及時安裝;③全部網(wǎng)絡(luò)設(shè)備的密碼會定期更換,并且密碼具有一定的復(fù)雜程度,其破解存在一定難度;④該企業(yè)對設(shè)備維護有著高度重視,采取合理方法,為網(wǎng)絡(luò)設(shè)備運營的穩(wěn)定性提供了強有力的保障。在企業(yè)數(shù)據(jù)方面,對于企業(yè)而言,網(wǎng)絡(luò)安全的實施主要是為了病毒威脅的預(yù)防,以及數(shù)據(jù)安全的保護。作為企業(yè)核心內(nèi)容之一,尤其是對于高科技企業(yè)而言,數(shù)據(jù)的重要性不言而喻。為此,企業(yè)內(nèi)部對數(shù)據(jù)安全的保護有著高度重視。站在企業(yè)的角度,該企業(yè)安排特定的專業(yè)技術(shù)人員對數(shù)據(jù)進行觀察,為數(shù)據(jù)的有效利用提供強有力的保障。同時,針對于業(yè)務(wù)無關(guān)的人員,該企業(yè)禁止其對數(shù)據(jù)進行查看,具體采用的方法如下:①采用加密方法處理總公司與子公司之間傳輸?shù)臄?shù)據(jù)。現(xiàn)階段,很多大中型企業(yè)在各地區(qū)都設(shè)有分支機構(gòu),該卷煙廠也不例外,企業(yè)核心信息在公司之間傳輸,為了預(yù)防非法人員查看,其發(fā)送必須采取加密處理。并且,采用Internet進行郵件發(fā)送的方式被嚴(yán)令禁止;②為了確保公司內(nèi)部人員對數(shù)據(jù)進行私自復(fù)制并帶出公司的情況得到控制,該企業(yè)構(gòu)建了客戶端軟件系統(tǒng)。該系統(tǒng)不具備U盤、移動硬盤燈功能,無線、藍牙等設(shè)備也無法使用,如此一來,內(nèi)部用戶將數(shù)據(jù)私自帶出的情況就能夠得到有效避免。此外,該企業(yè)針對辦公軟件加密系統(tǒng)進行構(gòu)建,對辦公文檔加以制定,非制定權(quán)限人員不得查看。在內(nèi)部網(wǎng)絡(luò)安全上,為了使外部網(wǎng)絡(luò)入侵得到有效控制,企業(yè)采取了防火墻安裝的方法,然而在網(wǎng)絡(luò)內(nèi)部入侵上,該方法顯然無法應(yīng)對。因此,該企業(yè)針對其性質(zhì)進行細致分析,采取了內(nèi)部網(wǎng)絡(luò)安全的應(yīng)對方法。企業(yè)內(nèi)部網(wǎng)絡(luò)可以分為兩種,即辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)。前者可以對Internet進行訪問,存在較大安全隱患,而后者則只需將內(nèi)部服務(wù)器進行連接,無需對Internet進行訪問。二者針對防火墻系統(tǒng)隔離進行搭建,使生產(chǎn)網(wǎng)絡(luò)得到最大限度的保護,為公司核心業(yè)務(wù)的運行提供保障。為了使網(wǎng)絡(luò)故障影響得到有效控制,應(yīng)對網(wǎng)絡(luò)區(qū)域進行劃分,可以對VLAN加以利用,隔離不同的網(wǎng)絡(luò)區(qū)域,并在其中進行安全策略的設(shè)置,使區(qū)域間影響得到分隔,確保任何一個VLAN的故障不會對其他VLAN造成影響。在客戶端安全管理方面,該企業(yè)具有較多客戶端,大部分都屬于windows操作系統(tǒng),其逐一管理難度打,因此企業(yè)內(nèi)部采用Windows組側(cè)策略對客戶端進行管理。在生產(chǎn)使用的客戶端上,作業(yè)人員的操作相對簡單,只需要利用嚴(yán)格的限制手段,就可以實現(xiàn)對客戶端的安全管理。
參考文獻
[1]崔小龍.論網(wǎng)絡(luò)安全中計算機信息管理技術(shù)的應(yīng)用[J].計算機光盤軟件與應(yīng)用,2014(20):181~182.
[2]何曉冬.淺談計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].長春教育學(xué)院學(xué)報,2015(11):61~62.
[3]劉睿.計算機信息管理技術(shù)在網(wǎng)絡(luò)安全應(yīng)用中的研究[J].科技創(chuàng)新與應(yīng)用,2013(30):71.
關(guān)鍵詞: 電力內(nèi)網(wǎng);事件關(guān)聯(lián);分析引擎
0 引言
對電力企業(yè)信息內(nèi)網(wǎng)海量安全事件進行高效、準(zhǔn)確的關(guān)聯(lián)分析是實現(xiàn)電力企業(yè)網(wǎng)絡(luò)安全設(shè)備聯(lián)動的前提,而如何設(shè)計與實現(xiàn)一個高效的電力企業(yè)安全事件關(guān)聯(lián)分析引擎正是電力企業(yè)信息內(nèi)網(wǎng)安全事件關(guān)聯(lián)分析應(yīng)該解決的關(guān)鍵問題。
1 安全事件關(guān)聯(lián)分析研究現(xiàn)狀及存在的問題
關(guān)聯(lián)分析在網(wǎng)絡(luò)安全領(lǐng)域中是指對網(wǎng)絡(luò)全局的安全事件數(shù)據(jù)進行自動、連續(xù)分析,通過與用戶定義的、可配置的規(guī)則匹配來識別網(wǎng)絡(luò)潛在的威脅和復(fù)雜的攻擊模式,從而發(fā)現(xiàn)真正的安全風(fēng)險,達到對當(dāng)前安全態(tài)勢的準(zhǔn)確、實時評估,并根據(jù)預(yù)先制定策略做出快速的響應(yīng),以方便管理人員全面監(jiān)控網(wǎng)絡(luò)安全狀況的技術(shù)。關(guān)聯(lián)分析可以提高網(wǎng)絡(luò)安全防護效率和防御能力,并為安全管理和應(yīng)急響應(yīng)提供重要的技術(shù)支持。關(guān)聯(lián)分析主要解決以下幾個問題:
1)為避免產(chǎn)生虛警,將單個報警事件與可能的安全場景聯(lián)系起來;
2)為避免重復(fù)報警,對相同、相近的報警事件進行處理;
3)為達到識別有計劃攻擊的目的,增加攻擊檢測率,對深層次、復(fù)雜的攻擊行為進行挖掘;
4)提高分析的實時性,以便于及時進行響應(yīng)。
2 安全事件關(guān)聯(lián)分析引擎的設(shè)計
安全事件關(guān)聯(lián)分析方法包括離線分析和在線分析兩種。離線分析是在事件發(fā)生后通過對日志信息的提取和分析,再現(xiàn)入侵過程,為入侵提供證據(jù),其優(yōu)點是對系統(tǒng)性能要求不高,但是實時性比較低,不能在入侵的第一時間做出響應(yīng)。在線分析是對安全事件進行實時分析,雖然其對系統(tǒng)性能要求比較高,但是可以實時發(fā)現(xiàn)攻擊行為并實現(xiàn)及時響應(yīng)。由于電力工業(yè)的特點決定了電力企業(yè)信息內(nèi)網(wǎng)安全不僅具有一般企業(yè)內(nèi)網(wǎng)安全的特征,而且還關(guān)系到電力實時運行控制系統(tǒng)信息的安全,所以對電力企業(yè)安全事件的關(guān)聯(lián)分析必須是實時在線的,本文所研究的安全事件關(guān)聯(lián)分析引擎是一個進行在線分析的引擎。
2.1 安全事件關(guān)聯(lián)分析系統(tǒng)
安全事件管理系統(tǒng)是國家電網(wǎng)網(wǎng)絡(luò)安全設(shè)備聯(lián)運系統(tǒng)的一個子系統(tǒng),它是將安全事件作為研究對象,實現(xiàn)對安全事件的統(tǒng)一分析和處理,包括安全事件的采集、預(yù)處理、關(guān)聯(lián)分析以及關(guān)聯(lián)結(jié)果的實時反饋。
內(nèi)網(wǎng)設(shè)備:內(nèi)網(wǎng)設(shè)備主要是電力企業(yè)信息內(nèi)網(wǎng)中需要被管理的對象,包括防病毒服務(wù)器、郵件內(nèi)容審計系統(tǒng)、IDS、路由器等安全設(shè)備和網(wǎng)絡(luò)設(shè)備。通過端收集這些設(shè)備產(chǎn)生的安全事件,經(jīng)過預(yù)處理后發(fā)送到關(guān)聯(lián)分析模塊進行關(guān)聯(lián)分析。
事件采集端:主要負責(zé)收集和處理事件信息。收集數(shù)據(jù)是通過Syslog、SNMP trap、JDBC、ODBC協(xié)議主動的與內(nèi)網(wǎng)設(shè)備進行通信,收集安全事件或日志信息。由于不同的安全設(shè)備對同一條事件可能產(chǎn)生相同的事件日志,而且格式各異,這就需要在端將數(shù)據(jù)發(fā)送給服務(wù)器端前對這些事件進行一些預(yù)處理,包括安全事件格式的規(guī)范化,事件過濾、以及事件的歸并。
關(guān)聯(lián)分析:其功能包括安全事件頻繁模式挖掘、關(guān)聯(lián)規(guī)則生成以及模式匹配。關(guān)聯(lián)分析方法主要是先利用數(shù)據(jù)流頻繁模式挖掘算法挖掘出頻繁模式,再用多模式匹配算法與預(yù)先設(shè)定的關(guān)聯(lián)規(guī)則進行匹配,產(chǎn)生報警響應(yīng)。
控制臺:主要由風(fēng)險評估、資產(chǎn)管理、報表管理和應(yīng)急響應(yīng)中心組成。風(fēng)險評估主要是通過對日志事件的審計以及關(guān)聯(lián)分析結(jié)果,對企業(yè)網(wǎng)絡(luò)設(shè)備及業(yè)務(wù)系統(tǒng)的風(fēng)險狀態(tài)進行評估。應(yīng)急響應(yīng)中心是根據(jù)結(jié)合電力企業(yè)的特點所制定的安全策略,對于不同的報警進行不同的響應(yīng)操作。資產(chǎn)管理與報表管理分別完成對電力企業(yè)業(yè)務(wù)系統(tǒng)資產(chǎn)的管理和安全事件的審計查看等功能。另外,對于關(guān)聯(lián)分析模塊匹配規(guī)則、端過濾規(guī)則等的制定和下發(fā)等也在控制成。
數(shù)據(jù)庫:數(shù)據(jù)庫包括關(guān)聯(lián)規(guī)則庫、策略庫和安全事件數(shù)據(jù)庫三種。關(guān)聯(lián)規(guī)則庫用來存儲關(guān)聯(lián)分析所必須的關(guān)聯(lián)規(guī)則,策略庫用來存儲策略文件,安全事件數(shù)據(jù)庫用來存儲從端獲取用于關(guān)聯(lián)的數(shù)據(jù)、進行關(guān)聯(lián)的中間數(shù)據(jù)以及關(guān)聯(lián)后結(jié)果的數(shù)據(jù)庫。
2.2 關(guān)聯(lián)分析引擎結(jié)構(gòu)
事件關(guān)聯(lián)分析引擎作為安全事件關(guān)聯(lián)分析系統(tǒng)的核心部分,由事件采集、通信模塊、關(guān)聯(lián)分析模塊和存儲模塊四部分組成。其工作原理為:首先接收安全事件采集發(fā)送來的安全事件,經(jīng)過預(yù)處理后對其進行關(guān)聯(lián)分析,確定安全事件的危害程度,從而進行相應(yīng)響應(yīng)。引擎結(jié)構(gòu)如圖1所示。
2.3 引擎各模塊功能設(shè)計
1)事件采集模塊。事件日志的采集由事件采集來完成。事件采集是整個系統(tǒng)的重要組成部分,它運行于電力企業(yè)內(nèi)網(wǎng)中各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備和系統(tǒng)終端上,包括采集模塊、解析模塊和通信模塊三個部分。它首先利用Syslog、trap、JDBC、ODBC協(xié)議從不同安全設(shè)備、系統(tǒng)中采集各種安全事件數(shù)據(jù),由解析模塊進行數(shù)據(jù)的預(yù)處理,然后由通信模塊發(fā)送到關(guān)聯(lián)分析引擎。
2)事件預(yù)處理。由于日志數(shù)據(jù)來源于交換機、路由器、防火墻、網(wǎng)絡(luò)操作系統(tǒng)、單機操作系統(tǒng)、防病毒軟件以及各類網(wǎng)絡(luò)管理軟件,可能包含噪聲數(shù)據(jù)、空缺數(shù)據(jù)和不一致數(shù)據(jù),這將嚴(yán)重影響數(shù)據(jù)分析結(jié)果的正確性。而通過數(shù)據(jù)預(yù)處理,則可以解決這個問題,達到數(shù)據(jù)類型相同化、數(shù)據(jù)格式一致化、數(shù)據(jù)信息精練化的目的。
事件預(yù)處理仍在事件采集中完成,主要包括事件過濾、事件范化和事件歸并三部分。
3)事件關(guān)聯(lián)分析模塊。事件的屬性包括:事件分類、事件嚴(yán)重等級、事件源地址、源端口、目的地址、目的端口、協(xié)議、事件發(fā)生時間等,這些屬性在關(guān)聯(lián)分析時需要用到,故把規(guī)則屬性集設(shè)置為:
各字段分別表示:規(guī)則名稱、源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議、設(shè)備編號、事件發(fā)生時間、事件嚴(yán)重等級。
該模塊將經(jīng)過處理的海量日志信息數(shù)據(jù)流在內(nèi)存中利用滑動窗口處理模型,經(jīng)過關(guān)聯(lián)分析算法進行關(guān)聯(lián)規(guī)則挖掘后,采用高效的模式匹配算法將得到的關(guān)聯(lián)規(guī)則與規(guī)則庫中預(yù)先設(shè)定的規(guī)則進行不斷的匹配,以便實時地發(fā)現(xiàn)異常行為,為后續(xù)告警響應(yīng)及安全風(fēng)險分析等提供依據(jù)。
3 結(jié)束語
本文首先基于引擎的設(shè)計背景介紹了引擎的總體結(jié)構(gòu)以及關(guān)聯(lián)分析流程,然后分別給出了事件采集、事件關(guān)聯(lián)分析模塊的設(shè)計方案,包括模塊功能、模塊結(jié)構(gòu)以及規(guī)則庫的設(shè)計方案。
參考文獻:
[1]熊云艷、毛宜軍、丁志,安全事件關(guān)聯(lián)分析引擎的研究與設(shè)計,計算機工程,2006,32(13):280-282.
關(guān)鍵詞:入侵響應(yīng);事件分類;成本分析
中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2010)19-5189-05
Response Cost Analysis Based on Fine-grained Event Categories
LI Cheng-dong
(Department of Electronic Science and Engineering, National University of Defense Technology, Changsha 410073, China)
Abstract: In automatic intrusion response system, cost analysis is a crucial basis for response to make decision. The paper, based on the research on cost analysis, describes security events categories fine-grandly, points out one quantitative cost analysis and examines it's validity by experiments.
Key word: intrusion response; event categories; cost analysis
成本分析,通俗的理解就是考慮價格。通常我們做事情都會有意識或無意識的考慮價格或者代價,就是去考慮所做事情是否值得的問題。如果收獲比付出大,就是值得的;相反的收益較低,那就不值得做。
在網(wǎng)絡(luò)安全上,我們同樣也需要考慮價格和代價。這一思想,從整體網(wǎng)絡(luò)安全的角度上看,就是目前提出的“適度安全”的概念。所謂“適度安全”,就是在信息安全風(fēng)險和投入之間取得平衡。例如,如果一個企業(yè)在信息安全風(fēng)險方面的預(yù)算是一年100萬元,那么,可以肯定的是它在信息安全上的投入不會是1000萬元。
在網(wǎng)絡(luò)入侵響應(yīng)上,我們同樣面臨著這樣的問題。首先舉一個簡單的例子:一家移動運營商被黑客入侵一個關(guān)鍵業(yè)務(wù),那么作為響應(yīng),他可能會在防火墻訪問控制策略中添加一條嚴(yán)格的規(guī)則,用來防止類似事件的再次發(fā)生。然而,這樣的一條規(guī)則增加,很有可能造成的后果是通信服務(wù)質(zhì)量下滑。所以是否要采用這些措施,必須由經(jīng)營者對潛在的安全威脅進行審議,考慮入侵帶來的損失和響應(yīng)造成的服務(wù)質(zhì)量下降造成的損失孰重孰輕。
一個理想的入侵響應(yīng)系統(tǒng)應(yīng)該是用最小的代價來最大限度減少入侵帶來的損失。入侵響應(yīng)必須從實際情況出發(fā)來應(yīng)對入侵事件,不惜一切代價的“響應(yīng)”是不合理的。因此,入侵響應(yīng)必須要考慮成本,也就是說,一個基本的思想是響應(yīng)成本不能超過預(yù)期的入侵造成的損失。
目前,在入侵響應(yīng)的技術(shù)研究方面主要側(cè)重于技術(shù)上的可行性或技術(shù)上的有效性,而忽視了在實際應(yīng)用方面成本。這是因為技術(shù)人員和商業(yè)用戶在同一問題上的考慮重點不同,對技術(shù)人員來說,并沒有把費用放在第一位。
通過以上分析討論,可以看出,對響應(yīng)的成本分析進行深入研究是非常有意義與有必要的。
1 細粒度安全事件分類描述
大量系統(tǒng)漏洞的存在是安全事件產(chǎn)生的根源,網(wǎng)絡(luò)攻擊事件更是對安全事件的研究的主體。因此與網(wǎng)絡(luò)安全事件相關(guān)的分類研究主要包括對漏洞的分類研究和對攻擊的分類研究。下面主要從這兩個方面對相關(guān)分類研究進行介紹。
1.1 系統(tǒng)安全漏洞分類研究
系統(tǒng)漏洞也可以稱為脆弱性,是指計算機系統(tǒng)在硬件,軟件,協(xié)議等在設(shè)計,實施以及具體的安全政策和制度上存在的缺陷和不足。由于漏洞的存在,未經(jīng)授權(quán)的用戶有可能利用這些漏洞取得系統(tǒng)權(quán)限,執(zhí)行非法操作,從而造成安全事故的發(fā)生
對漏洞分類的研究有一段時間,提出了許多分類方法,但大多數(shù)是停留在一維的分類上面。Landwehr在總結(jié)前人研究的基礎(chǔ)上,提出了一個多層面的脆弱性分類[1]。這種脆弱性分類,主要從漏洞來源、引入時間和存在位置三個角度進行詳細的分類,目的是建立一種更安全的軟件系統(tǒng)。Landwehr的漏洞分類三維模型如圖1所示。
這種分類方法的缺點是概念上存在交叉和模糊現(xiàn)象,在分類方法上還不夠完善。但是它的意義是提出了一種多維的分類模型,同時也說明了按照事物的多個屬性從多個維度進行分類的必要性。
1.2 攻擊分類研究
對攻擊的分類研究有助于更好地防御攻擊,保護系統(tǒng)。攻擊分類對恰當(dāng)?shù)闹贫ü舨呗源鷥r估算是必不可少的。
根據(jù)不同的應(yīng)用目的,攻擊的分類方法各有不同,與漏洞分類類似,多維的角度是共同的需求。在總結(jié)前人基礎(chǔ)上, Linqvist進一步闡述了Landwehr的多維分類思想。他認(rèn)為,一個事物往往有多個屬性,分類的主要問題是選擇哪個屬性作為分類基礎(chǔ)的問題。Linqvist認(rèn)為,攻擊的分類應(yīng)該從系統(tǒng)管理員的角度來看,系統(tǒng)管理員所關(guān)注的是在一次攻擊中使用的攻擊技術(shù)和攻擊造成的結(jié)果。因此,Linqvist以技術(shù)為基礎(chǔ),在攻擊技術(shù)和攻擊結(jié)果兩個角度上對網(wǎng)絡(luò)攻擊進行了分類[2],其目的在于建立一個有系統(tǒng)的研究框架。Linqvist的攻擊分類,如圖2所示。
通過對以上這些安全事件相關(guān)分類研究的介紹,我們可以得到以下兩點啟發(fā):
1) 安全事件的分類應(yīng)該以事件的多個屬性為依據(jù),從多個維度進行分類。
2) 分類研究應(yīng)該以應(yīng)用為目的,應(yīng)該滿足分類的可用性要求。
所以對網(wǎng)絡(luò)安全事件的分類研究應(yīng)該是面向應(yīng)急響應(yīng)過程的。
1.3 細粒度事件分類
通過以上的簡要介紹,我們從應(yīng)急響應(yīng)過程的要求出發(fā)有重點的提取分類依據(jù),構(gòu)建了一個面向響應(yīng)的多維分類模型。
1.3.1 安全事件要素分析
一個安全事件的形式化描述[3]如圖3所示。攻擊者利用某種工具或攻擊技術(shù),通過系統(tǒng)的某個安全漏洞進入系統(tǒng),對攻擊目標(biāo)執(zhí)行非法操作,從而導(dǎo)致某個結(jié)果產(chǎn)生,影響或破壞到系統(tǒng)的安全性。最后一步是整個事件達到的目的,比如是達到了政治目的還是達到了經(jīng)濟目的。
以上描述指出了安全事件的多個要素,這些要素可以作為安全事件的分類依據(jù)。從而我們可以從不同維度出發(fā),構(gòu)造一個多維分類模型。
1.3.2 細粒度的分類方法
安全事件應(yīng)急響應(yīng)是針對一個網(wǎng)絡(luò)安全事件,為達到防止或減少對系統(tǒng)安全造成的影響所采取的補救措施和行動。根據(jù)事件應(yīng)急響應(yīng)六階段的方法論[4],響應(yīng)過程包括:準(zhǔn)備,檢測,抑制,根除,恢復(fù),追蹤六個階段。其中的關(guān)鍵步驟是抑制反應(yīng),根除和恢復(fù)。
在上述討論的基礎(chǔ)上,我們提出了一種面向應(yīng)急響應(yīng)的網(wǎng)絡(luò)安全事件分類方法。這種方法以事件的多個要素作為分類依據(jù),同時引入時間概念,其中每一個維度都有具體的粒度劃分。在這6個維度中,又根據(jù)響應(yīng)過程的要求,以系統(tǒng)安全漏洞和事件結(jié)果兩個角度作為重點。
通過多維分類模型,我們可以從不同角度對網(wǎng)絡(luò)安全事件進行詳細分類,確定事件的多個性質(zhì)或?qū)傩?從而有利于生成準(zhǔn)確的安全事件報告,并對響應(yīng)成本進行決策分析。利用此模型,我們還可以對以往的安全事件進行多維度的數(shù)據(jù)分析和知識發(fā)現(xiàn)。
當(dāng)然,模型也有需要改進的地方,比如在每個維度的詳細劃分上仍然存在某些概念上的交叉與模糊,在下一步的具體應(yīng)用中應(yīng)逐步加以改進和完善。
2 成本因素與成本量化
以本文提出的多維度的安全事件分類為基礎(chǔ)進行成本分析,首先需要確定與安全事故的因素有關(guān)的費用。依據(jù)經(jīng)驗,我們考慮的與響應(yīng)相關(guān)的費用主要來自兩個方面:入侵損失和響應(yīng)代價。
入侵損失由既成損失和潛在損失構(gòu)成。一個安全事件發(fā)生,它可能會造成一些對目標(biāo)系統(tǒng)的損害,這是既成損失。潛在損失可以理解為如果安全事件是在系統(tǒng)中以繼續(xù)存在可能造成的相關(guān)聯(lián)的損失,記為PDC(Potential Damage Cost)。
響應(yīng)代價是指針對某次入侵行為,采取相應(yīng)的響應(yīng)措施需要付出的代價,可以記為RC(Response Cost)。
入侵響應(yīng)的目的是在檢測到安全事件后,為防止事件繼續(xù)擴大而采取的有效措施和行動,在此過程中我們應(yīng)盡最大可能消除或減少潛在損失。因此成本分析的主要目標(biāo)是對潛在損失進行分析。在入侵響應(yīng)過程中考慮成本因素,其主要目的應(yīng)是在潛在損失和響應(yīng)成本之間尋找一個平衡點。也就是說,響應(yīng)成本不能高于潛在損失,否則就沒有必要進行響應(yīng)。
在確定成本因素之后,成本分析的關(guān)鍵是成本量化問題。與此相關(guān)的研究,我們參考網(wǎng)絡(luò)安全風(fēng)險評估的方法。所謂風(fēng)險評估,是指對一個企業(yè)的信息系統(tǒng)或網(wǎng)絡(luò)的資產(chǎn)價值、安全漏洞、安全威脅進行評估確定的過程。
確定方法可以定性,也可以量化。從安全風(fēng)險評估工作的角度來看,完全的,精確化的量化是相當(dāng)困難的,但定性分析和定量分析結(jié)合起來是一個很好的選擇。另外,與風(fēng)險評估相似,我們的工作主要是給出一個成本量化的方法,具體的量化值應(yīng)該由用戶參與確定。因為同樣的入侵行為,給一個小的傳統(tǒng)企業(yè)帶來的潛在損失可能是10萬,而給一個已經(jīng)實現(xiàn)信息化的大企業(yè)帶來的潛在損失可能就是100萬。
1) 潛在損失(PDC)
入侵的潛在損失可能取決于多個方面。這里我們主要從入侵行為本身和入侵目標(biāo)兩個方面進行考慮。入侵目標(biāo)的關(guān)鍵性記為Criticality,關(guān)鍵目標(biāo)的量化主要依據(jù)經(jīng)驗,可以通過目標(biāo)系統(tǒng)在網(wǎng)絡(luò)中所具備的功能或所起的作用體現(xiàn)出來。我們?nèi)∧繕?biāo)關(guān)鍵性值域為(0, 5),5為最高值。一般的,我們可以把網(wǎng)關(guān)、路由器、防火墻、DNS服務(wù)器的關(guān)鍵性值定義為5; Web, Mail, FTP等服務(wù)器記為4;而普通UNIX 工作站可以定義為2;Windows工作站可以定義為l。當(dāng)然,定義也可以根據(jù)具體的網(wǎng)絡(luò)環(huán)境進行調(diào)整。
入侵的致命性是指入侵行為本身所具有的危害性或者威脅性的高低,記為Lethality。這個量與入侵所針對的目標(biāo)無關(guān),只是對入侵行為本身的一個描述。比如,一個可以獲取根用戶權(quán)限的攻擊的危害程度就高于只可以獲取普通用戶權(quán)限的攻擊的危害程度;而主動攻擊的危害性也高于被動攻擊的危害性。這里我們給出一個表(表2),根據(jù)經(jīng)驗量化了基本的幾類攻擊的危害性。
依據(jù)上述的描述,我們把入侵潛在損失定義為:
PDC=Criticality×Lethality
比如同樣是遭受到DOS攻擊,若攻擊目標(biāo)是Web服務(wù)器,入侵潛在損失為
PDC=4×30=120;
若攻擊目標(biāo)是普通UNIX工作站,則入侵損失為
PDC=2×30=60。
2) 響應(yīng)代價(RC)
響應(yīng)代價的量化主要基本的響應(yīng)策略和響應(yīng)機制等因素決定。響應(yīng)策略不同,代價也會不一樣,比如主動響應(yīng)的代價就比被動響應(yīng)的代價要高;而同樣的響應(yīng)策略,不同的響應(yīng)機制也可能導(dǎo)致響應(yīng)代價不同。
從另外一個角度講,響應(yīng)成本主要包括兩部分內(nèi)容:執(zhí)行響應(yīng)措施的資源耗費和響應(yīng)措施執(zhí)行以后帶來的負面影響,后者在響應(yīng)決策過程中往往被忽視,響應(yīng)帶來的負面影響是多方面的。比如,為了避免入侵帶來更大的損失,必要的時候需要緊急關(guān)閉受攻擊服務(wù)器,如果該服務(wù)器用于提供關(guān)鍵業(yè)務(wù),那業(yè)務(wù)的中斷就會帶來相應(yīng)的損失。再比如,有時候為了阻止攻擊,可能會通過防火墻阻塞來自攻擊方IP的通信流量,但是如果攻擊者是利用合法用戶作為跳板攻擊,那響應(yīng)可能就會對該合法用戶造成損失。這樣的損失也是響應(yīng)決策過程中應(yīng)該考慮的。
因此,對響應(yīng)代價的完全量化是比較困難的。為了說明響應(yīng)成本分析的核心思想,同樣將響應(yīng)代價的量化簡化,我們直接給出一個經(jīng)驗值(見表2)。這樣,在確定了事件的潛在損失與響應(yīng)代價之后,我們就可以做出響應(yīng)決策:
如果RC≤PDC,即響應(yīng)代價小于或者等于潛在損失,則進行響應(yīng)。
如果RC>PDC,即響應(yīng)代價超過了潛在的損失,則不進行響應(yīng)。
從前面的分析我們可以得出,在某些情況下,比如掃描、嗅探等此類的攻擊,響應(yīng)成本已經(jīng)超過了潛在的損失,那就沒有必要采取響應(yīng)措施了。
3 成本分析響應(yīng)算法
理想化的成本分析,只需要引入潛在損失與響應(yīng)代價兩個量。但是實際情況并非如此簡單。我們在構(gòu)建響應(yīng)成本分析模型,特別是評估入侵帶來的潛在損失的時候,必須從響應(yīng)系統(tǒng)的輸入,也就是入侵檢測系統(tǒng)的輸出開始考慮。
在安全事件發(fā)生后,還沒有完成入侵行動的情況下進行先期響應(yīng)部署時本文提出的成本分析方法的重點。引起響應(yīng)的有效性因素是降低反應(yīng)選擇在調(diào)整這種反應(yīng)行動將來使用。這種反應(yīng)的選擇和部署的情況下自動完成它允許任何用戶干預(yù)的快速遏制入侵防御,從而使系統(tǒng)更加有效。本文提出的方案優(yōu)點在于以下幾個方面:
1) 本算法確定先發(fā)制人的部署響應(yīng)。
2) 在成本敏感反應(yīng)的方法的響應(yīng)選擇是基于經(jīng)濟因素,并采用由攻擊成本和發(fā)生的損失作為響應(yīng)的依據(jù)。
3.1 成本分析的響應(yīng)算法流程
本文的研究基于這樣一個假設(shè),入侵行為在某種程度上具備相似性,入侵響應(yīng)系統(tǒng)可以記錄所有曾經(jīng)在系統(tǒng)中出現(xiàn)的入侵行為,無論響應(yīng)的結(jié)果是成功或者控制失敗,發(fā)生更大的災(zāi)難。成本分析的自動響應(yīng)模式分為以下三個步驟:
第一步是確定何時進行先期的入侵抑制響應(yīng)行動。本文以上述六個維度的指標(biāo)作為衡量,計算相應(yīng)的數(shù)值,然后和系統(tǒng)所能夠容忍的行為進行匹配比較,確定是否進行先期入侵抑制。也就是說攻擊序列已達到系統(tǒng)不可接受的程度,系統(tǒng)在較大概率上遇到一個實際的攻擊,此時進行先期抑制行為。
第二個步驟主要是確定候選的入侵響應(yīng)集合,在這一步驟進行加強可以減少由于第一步抑制行為的不正確引起的錯誤。響應(yīng)集合元素的選擇基于上述的兩個因素潛在損失和響應(yīng)成本的估算。響應(yīng)成本,代表了一個響應(yīng)的影響對系統(tǒng)進行操作,潛在的損害成本一般量化因素資源或計算能力。設(shè)置成本因素精確測量在現(xiàn)階段工程上來講存在諸多的不足。雖然目前很難確定究竟是什么時間進行量化最為有效,至少在入侵方向上使用基于特征的入侵檢測響應(yīng)系統(tǒng)可以在量化上做出較好的工作。
在最后一步,響應(yīng)系統(tǒng)從候選集合中選擇最好的響應(yīng)方案,進行響應(yīng)。
下面,對具體的實行步驟進行詳細的討論:
第1步:先期響應(yīng)抑制。在檢測到某個序列與攻擊序列的相似度達到管理員設(shè)定的閾值的時候,系統(tǒng)啟動先期抑制響應(yīng)。需要注意的是,早期階段,對于潛在的威脅做估算,即將上任的序列可以與多次入侵模式的前綴序列相匹配。該響應(yīng)也可以在一段時間后才確認(rèn)入侵。
為了指導(dǎo)響應(yīng)部署過程,本文定義一個概率閾值,表示可以接受的信任水平,某些攻擊一旦進行,那么其相應(yīng)的響應(yīng)行動就應(yīng)該被觸發(fā)。因此,本文設(shè)計的先期抑制響應(yīng)的條件為:一旦一個特定序列發(fā)生時,其前綴為攻擊序列的概率超過預(yù)先指定的概率閾值,那么可以推斷的是攻擊正在進行。這個閾值稱為信心水平,其公式如下:
步驟2:響應(yīng)集合的確定。一旦我們決定做出反應(yīng),即威脅概率已經(jīng)超出容忍限度之際,我們需要確定可部署的響應(yīng)策略。正如之前提到,先期抑制響應(yīng)可能導(dǎo)致錯誤發(fā)生,因為不正確的響應(yīng)或由于響應(yīng)過度而使得系統(tǒng)效率降低。因此,我們的目標(biāo)在這里使用下列參數(shù),損害成本(DC damage cost)和響應(yīng)成本(RC response cost)。響應(yīng)的選擇滿足公式如下:
DC*σ>RC
第3步:最優(yōu)選擇的條件。要確定最佳的響應(yīng),在步驟2中選擇最佳的行動,本文考慮到兩個因素:成功因子(SF success factor)及風(fēng)險因子(RF risk factor)。前者是在已有的響應(yīng)事件中成功響應(yīng),制止入侵行為的次數(shù)百分比,后者是響應(yīng)的嚴(yán)格程度。所謂的嚴(yán)格程度,本文是指對資源的影響與對合法用戶的影響。嚴(yán)格的響應(yīng)可能停止入侵,但也是帶來了不利的影響,影響系統(tǒng)性能和用戶使用情況。從本質(zhì)上講,風(fēng)險因子代表了響應(yīng)成本是與響應(yīng)行動有關(guān)的。本文使用期望值來對最優(yōu)響應(yīng)進行評估,從而確定響應(yīng)策略。其計算公式如下:
E(R)=Psuccess(S)*SF+Pris(S)*(-RF)
以上是闡述了成本分析的核心思想和算法,在此基礎(chǔ)上,對現(xiàn)有模型進行了改進。通過分析可以看到,成本分析的關(guān)鍵問題還在于成本因素的合理量化,并且成本量化的問題還與企業(yè)的具體應(yīng)用相關(guān)。
3.2 算法實現(xiàn)實例分析
典型的響應(yīng)過程如下所示:
1) 假設(shè)系統(tǒng)的存在的序列拓撲如圖4所示,響應(yīng)門限設(shè)為0.5。
序列的初始設(shè)定情況,如表3所示。
2) 檢測到序列{6},檢測PDC是否大于0.5,因為不存在,該點,因此不做任何處理,繼續(xù)進行檢測;
3) 檢測到序列{6,8},那么其相應(yīng)的信任水平值為表4,都是低于0.5的,因此,還是不進行操作。
4) 檢測到{6,8,5},{6,8,10},{6,8,9}。計算信任水平如表5。
都正好是0.5,因此都進行計算期望值,如表6所示。
5) 因此選擇{6,8,9,1}的響應(yīng)作為最佳的響應(yīng)策略
4 成本分析有效性驗證
本文通過一個模擬實驗來對入侵響應(yīng)的成本分析的有效性進行驗證。
4.1 實驗系統(tǒng)設(shè)計
本實驗選用兩種攻擊模式進行攻擊入侵,主要的數(shù)據(jù)如表7所示。
系統(tǒng)的數(shù)據(jù)來源是來自林肯實驗室2005年離線評估數(shù)據(jù)。由表7所示,每一個跟攻擊狀態(tài)相關(guān)以損害成本的整體損失成本跟蹤作為對各狀態(tài)損害成本跟蹤的總和。雖然本文的算法可以關(guān)聯(lián)多個響應(yīng)行動的一系列異常,但是,為了評估本文測試了當(dāng)個序列的響應(yīng)情況。
4.2 實驗結(jié)果分析
首先測試了在不同的響應(yīng)閾值情況下的平均潛在損失情況,其結(jié)果如圖5所示。
從實驗結(jié)果可以看出,比較穩(wěn)定的門限值在0.4到0.7之間,在這之間內(nèi),平均損失比較固定。在門限為1的情況下,損失最低。
加入成本分析后,系統(tǒng)誤判隨著門限的不同而出現(xiàn)的情況如圖6所示,圖6是針對dos攻擊的情況,從中可以看出誤判的比率隨著門限的降低而降低,在0.65左右,進入誤差為零的狀態(tài)。
參考文獻:
[1] Landwehr C E,Bull A R,McDermott J P,et al.A Taxonomy of Computer Program Security Flaws[J].ACM Computing Surveys,1994,26(3):211-254.
[2] Lindqvist U,Jonsson E.How to systematically classify computer security intrusions[C].Oakland CA:Proceedings of the IEEE Symposium on Research in Security and Privacy,1997.
關(guān)鍵詞:網(wǎng)絡(luò)系統(tǒng);安全測試;安全評估
中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2011)13-3019-04
1 網(wǎng)絡(luò)安全評估技術(shù)簡介
當(dāng)前,隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的發(fā)展與應(yīng)用,人們對于網(wǎng)絡(luò)的安全性能越來越關(guān)注,網(wǎng)絡(luò)安全技術(shù)已從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性,進而又發(fā)展為“攻、防、測、控、管、評”等多方面的基礎(chǔ)理論和實施技術(shù)。信息安全是一個綜合、交叉學(xué)科領(lǐng)域,它要綜合利用數(shù)學(xué)、物理、通信和計算機諸多學(xué)科的長期知識積累和最新發(fā)展成果,進行自主創(chuàng)新研究、加強頂層設(shè)計,提出系統(tǒng)的、完整的解決方案。
網(wǎng)絡(luò)信息系統(tǒng)安全評估的目的是為了讓決策者進行風(fēng)險處置,即運用綜合的策略來解決風(fēng)險。信息系統(tǒng)可根據(jù)安全評估結(jié)果來定義安全需求,最終采用適當(dāng)?shù)陌踩刂撇呗詠砉芾戆踩L(fēng)險。
安全評估的結(jié)果就是對信息保護系統(tǒng)的某種程度上的確信,開展網(wǎng)絡(luò)安全系統(tǒng)評估技術(shù)研究,可以對國防軍工制造業(yè)數(shù)字化網(wǎng)絡(luò)系統(tǒng)、國家電子政務(wù)信息系統(tǒng)、各類信息安全系統(tǒng)等的規(guī)劃、設(shè)計、建設(shè)、運行等各階段進行系統(tǒng)級的測試評估,找出網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié),發(fā)現(xiàn)并修正系統(tǒng)存在的弱點和漏洞,保證網(wǎng)絡(luò)系統(tǒng)的安全性,提出安全解決方案。
2 網(wǎng)絡(luò)安全評估理論體系和標(biāo)準(zhǔn)規(guī)范
2.1 網(wǎng)絡(luò)安全評估所要進行的工作是:
通過對實際網(wǎng)絡(luò)的半實物仿真,進行測試和安全評估技術(shù)的研究,參考國際相關(guān)技術(shù)標(biāo)準(zhǔn),建立網(wǎng)絡(luò)安全評估模型,歸納安全評估指標(biāo),研制可操作性強的信息系統(tǒng)安全評測準(zhǔn)則,并形成網(wǎng)絡(luò)信息安全的評估標(biāo)準(zhǔn)體系。
2.2 當(dāng)前在網(wǎng)絡(luò)技術(shù)上主要的、通用的、主流的信息安全評估標(biāo)準(zhǔn)規(guī)范
2.2.1 歐美等西方國家的通用安全標(biāo)準(zhǔn)準(zhǔn)則
1) 美國可信計算機安全評價標(biāo)準(zhǔn)(TCSEC)
2) 歐洲網(wǎng)絡(luò)安全評價標(biāo)準(zhǔn)(ITSEC)
3) 國際網(wǎng)絡(luò)安全通用準(zhǔn)則(CC)
2.2.2 我國制定的網(wǎng)絡(luò)系統(tǒng)安全評估標(biāo)準(zhǔn)準(zhǔn)則
1) 《國家信息技術(shù)安全性評估的通用準(zhǔn)則》GB/T 18336標(biāo)準(zhǔn)
2) 公安部《信息網(wǎng)絡(luò)安全等級管理辦法》
3) BMZ1-2000《信息系統(tǒng)分級保護技術(shù)要求》
4) 《GJB 2646-96軍用計算機安全評估準(zhǔn)則》
5) 《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》等
3 安全評估過程模型
目前比較通用的對網(wǎng)絡(luò)信息系統(tǒng)進行安全評估的流程主要包括信息系統(tǒng)的資產(chǎn)(需保護的目標(biāo))識別、威脅識別、脆弱性識別、安全措施分析、安全事件影響分析以及綜合風(fēng)險判定等。
對測評流程基本邏輯模型的構(gòu)想如圖1所示。
在這個測試評估模型中,主要包括6方面的內(nèi)容:
1) 系統(tǒng)分析:對信息系統(tǒng)的安全需求進行分析;
2) 識別關(guān)鍵資產(chǎn):根據(jù)系統(tǒng)分析的結(jié)果識別出系統(tǒng)的重要資產(chǎn);
3) 識別威脅:識別出系統(tǒng)主要的安全威脅以及威脅的途徑和方式;
4) 識別脆弱性:識別出系統(tǒng)在技術(shù)上的缺陷、漏洞、薄弱環(huán)節(jié)等;
5) 分析影響:分析安全事件對系統(tǒng)可能造成的影響;
6) 風(fēng)險評估:綜合關(guān)鍵資產(chǎn)、威脅因素、脆弱性及控制措施,綜合事件影響,評估系統(tǒng)面臨的風(fēng)險。
4 網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢評估
安全態(tài)勢評估是進行網(wǎng)絡(luò)系統(tǒng)級安全評估的重要環(huán)節(jié),合理的安全態(tài)勢評估方法可以有效地評定威脅級別不同的安全事件。對系統(tǒng)安全進行評估通常與攻擊給網(wǎng)絡(luò)帶來的損失是相對應(yīng)的,造成的損失越大,說明攻擊越嚴(yán)重、網(wǎng)絡(luò)安全狀況越差。通過攻擊的損失可以評估攻擊的嚴(yán)重程度,從而評估網(wǎng)絡(luò)安全狀況。
結(jié)合網(wǎng)絡(luò)資產(chǎn)安全價值進行評估的具體算法如下:
設(shè)SERG為待評估安全事件關(guān)聯(lián)圖:
定義
IF(threatTa){AddSERGTToHighigh ImpactSetAndReport}
其中,SERG表示安全事件關(guān)聯(lián),SERGStatei表示攻擊者獲取的直接資源列表;ASV(a)表示對應(yīng)資產(chǎn)a的資產(chǎn)安全價值;Ta表示可以接受的威脅閥值;HighImpactSet表示高風(fēng)險事件集合。
常用的對一個網(wǎng)絡(luò)信息系統(tǒng)進行安全態(tài)勢評估的算法有如下幾種。
4.1 專家評估法(Delphi法)
專家法也稱專家征詢法(Delphi法),其基本步驟如下:
1) 選擇專家:這是很重要的一步,選的好與不好將直接影響到結(jié)果的準(zhǔn)確性,一般情況下,應(yīng)有網(wǎng)絡(luò)安全領(lǐng)域中既有實際工作經(jīng)驗又有較深理論修養(yǎng)的專家10人以上參與評估,專家數(shù)目太少時則影響此方法的準(zhǔn)確性;
2) 確定出與網(wǎng)絡(luò)系統(tǒng)安全相關(guān)的m個被評估指標(biāo),將這些指標(biāo)以及統(tǒng)一的權(quán)數(shù)確定規(guī)則發(fā)給選定的各位專家,由他們各自獨立地給出自己所認(rèn)為的對每一個指標(biāo)的安全態(tài)勢評價(Xi)以及每一個評價指標(biāo)在網(wǎng)絡(luò)系統(tǒng)整體安全態(tài)勢評估中所占有的比重權(quán)值(Wi);
3) 回收專家們的評估結(jié)果并計算各安全態(tài)勢指標(biāo)及指標(biāo)權(quán)數(shù)的均值和標(biāo)準(zhǔn)差:
計算估計值和平均估計值的偏差
4) 將計算結(jié)果及補充材料返還給各位專家,要求所有的專家在新的基礎(chǔ)上重新確定各指標(biāo)安全態(tài)勢及所占有的安全評價權(quán)重;
5) 重復(fù)上面兩步,直至各指標(biāo)權(quán)數(shù)與其均值的離差不超過預(yù)先給定的標(biāo)準(zhǔn)為止,也就是各專家的意見基本趨于一致,以此時對該指標(biāo)的安全評價作為系統(tǒng)最終安全評價,并以此時各指標(biāo)權(quán)數(shù)的均值作為該指標(biāo)的權(quán)數(shù)。
歸納起來,專家法評估的核心思想就是采用匿名的方式,收集和征詢該領(lǐng)域?qū)<覀兊囊庖姡瑢⑵浯饛?fù)作統(tǒng)計分析,再將分析結(jié)果反饋給領(lǐng)域?qū)<遥瑫r進一步就同一問題再次征詢專家意見,如此反復(fù)多輪,使專家們的意見逐漸集中到某個有限的范圍內(nèi),然后將此結(jié)果用中位數(shù)和四分位數(shù)來表示。對各個征詢意見做統(tǒng)計分析和綜合歸納時,如果發(fā)現(xiàn)專家的評價意見離散度太大,很難取得一致意見時,可以再進行幾輪征詢,然后再按照上述方法進行統(tǒng)計分析,直至取得較為一致的意見為止。該方法適用于各種評價指標(biāo)之間相互獨立的場合,各指標(biāo)對綜合評價值的貢獻彼此沒有什么影響。若評價指標(biāo)之間不互相獨立,專家們比較分析的結(jié)果必然導(dǎo)致信息的重復(fù),就難以得到符合客觀實際的綜合評價值。
4.2 基于“熵”的網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢評估
網(wǎng)絡(luò)安全性能評價指標(biāo)選取后,用一定的方法對其進行量化,即可得到對網(wǎng)絡(luò)系統(tǒng)的安全性度量,而可把網(wǎng)絡(luò)系統(tǒng)受攻擊前后的安全性差值作為攻擊效果的一個測度。考慮到進行網(wǎng)絡(luò)攻擊效果評估時,我們關(guān)心的只是網(wǎng)絡(luò)系統(tǒng)遭受攻擊前后安全性能的變化,借鑒信息論中“熵”的概念,可以提出評價網(wǎng)絡(luò)性能的“網(wǎng)絡(luò)熵”理論。“網(wǎng)絡(luò)熵”是對網(wǎng)絡(luò)安全性能的一種描述,“網(wǎng)絡(luò)熵”值越小,表明該網(wǎng)絡(luò)系統(tǒng)的安全性越好。對于網(wǎng)絡(luò)系統(tǒng)的某一項性能指標(biāo)來說,其熵值可以定義為:
Hi=-log2Vi
式中:Vi指網(wǎng)絡(luò)第i項指標(biāo)的歸一化參數(shù)。
網(wǎng)絡(luò)信息系統(tǒng)受到攻擊后,其安全功能下降,系統(tǒng)穩(wěn)定性變差,這些變化必然在某些網(wǎng)絡(luò)性能指標(biāo)上有所體現(xiàn),相應(yīng)的網(wǎng)絡(luò)熵值也應(yīng)該有所變化。因此,可以用攻擊前后網(wǎng)絡(luò)熵值的變化量對攻擊效果進行描述。
網(wǎng)絡(luò)熵的計算應(yīng)該綜合考慮影響網(wǎng)絡(luò)安全性能的各項指標(biāo),其值為各單項指標(biāo)熵的加權(quán)和:
式中:n-影響網(wǎng)絡(luò)性能的指標(biāo)個數(shù);
?Ai-第i項指標(biāo)的權(quán)重;
Hi第i項指標(biāo)的網(wǎng)絡(luò)熵。
在如何設(shè)定各網(wǎng)絡(luò)單項指標(biāo)的權(quán)重以逼真地反映其對整個網(wǎng)絡(luò)熵的貢獻時,設(shè)定的普遍通用的原則是根據(jù)網(wǎng)絡(luò)防護的目的和網(wǎng)絡(luò)服務(wù)的類型確定?Ai的值,在實際應(yīng)用中,?Ai值可以通過對各項指標(biāo)建立判斷矩陣,采用層次分析法逐層計算得出。一般而言,對網(wǎng)絡(luò)熵的設(shè)定時主要考慮以下三項指標(biāo)的網(wǎng)絡(luò)熵:
1) 網(wǎng)絡(luò)吞吐量:單位時間內(nèi)網(wǎng)絡(luò)結(jié)點之間成功傳送的無差錯的數(shù)據(jù)量;
2) 網(wǎng)絡(luò)響應(yīng)時間:網(wǎng)絡(luò)服務(wù)請求和響應(yīng)該請求之間的時間間隔;
3) 網(wǎng)絡(luò)延遲抖動:指平均延遲變化的時間量。
設(shè)網(wǎng)絡(luò)攻擊發(fā)生前,系統(tǒng)各指標(biāo)的網(wǎng)絡(luò)熵為H攻擊發(fā)生后,系統(tǒng)各指標(biāo)的網(wǎng)絡(luò)熵為 ,則網(wǎng)絡(luò)攻擊的效果可以表示為:
EH=H'-H
則有:
利用上式,僅需測得攻擊前后網(wǎng)絡(luò)的各項性能指標(biāo)參數(shù)(Vi,Vi'),并設(shè)定好各指標(biāo)的權(quán)重(?Ai),即可計算出網(wǎng)絡(luò)系統(tǒng)性能的損失,評估網(wǎng)絡(luò)系統(tǒng)受攻擊后的結(jié)果。EH是對網(wǎng)絡(luò)攻擊效果的定量描述,其值越大,表明網(wǎng)絡(luò)遭受攻擊后安全性能下降的越厲害,也就是說網(wǎng)絡(luò)安全性能越差。
國際標(biāo)準(zhǔn)中較為通用的根據(jù)EH值對網(wǎng)絡(luò)安全性能進行評估的參考標(biāo)準(zhǔn)值如表1所示。
4.3模糊綜合評判法
模糊綜合評判法也是常用的一種對網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢進行綜合評判的方法,它是根據(jù)模糊數(shù)學(xué)的基本理論,先選定被評估網(wǎng)絡(luò)系統(tǒng)的各評估指標(biāo)域,而后利用模糊關(guān)系合成原理,通過構(gòu)造等級模糊子集把反映被評事物的模糊指標(biāo)進行量化(即確定隸屬度),然后利用模糊變換原理對各指標(biāo)進行綜合。
模糊綜合評判法一般按以下程序進行:
1) 確定評價對象的因素論域U
U={u1,u2,…,un}
也就是首先確定被評估網(wǎng)絡(luò)系統(tǒng)的n個網(wǎng)絡(luò)安全領(lǐng)域的評價指標(biāo)。
這一步主要是確定評價指標(biāo)體系,解決從哪些方面和用哪些因素來評價客觀對象的問題。
2) 確定評語等級論域V
V={v1,v2,…,vm}
也就是對確定的各個評價指標(biāo)的等級評定程度,即等級集合,每一個等級可對應(yīng)一個模糊子集。正是由于這一論域的確定,才使得模糊綜合評價得到一個模糊評判向量,被評價對象對評語等級隸屬度的信息通過這個模糊向量表示出來,體現(xiàn)出評判的模糊性。
從技術(shù)處理的角度來看,評語等級數(shù)m通常取3≤m≤7,若m過大會超過人的語義能力,不易判斷對象的等級歸屬;若m過小又可能不符合模糊綜合評判的質(zhì)量要求,故其取值以適中為宜。 取奇數(shù)的情況較多,因為這樣可以有一個中間等級,便于判斷被評事物的等級歸屬,具體等級可以依據(jù)評價內(nèi)容用適當(dāng)?shù)恼Z言描述,比如評價數(shù)據(jù)管理制度,可取V={號,較好,一般,較差,差};評價防黑客入侵設(shè)施,可取V={強,中,弱}等。
3) 進行單因素評價,建立模糊關(guān)系矩陣R
在構(gòu)造了等級模糊子集后,就要逐個對各被評價指標(biāo)ui確定其對各等級模糊子集vi的隸屬程度。這樣,可得到一個ui與vi間的模糊關(guān)系數(shù)據(jù)矩陣:
R=|r21r22…r2m|
式中:
rij表示U中因素ui對應(yīng)V中等級vi的隸屬關(guān)系,即因素ui隸屬于vi的等級程度。
4) 確定評判因素的模糊權(quán)向量集
一般說來,所確定的網(wǎng)絡(luò)安全的n個評價指標(biāo)對于網(wǎng)絡(luò)整體的安全態(tài)勢評估作用是不同的,各方面因素的表現(xiàn)在整體中所占的比重是不同的。
因此,定義了一個所謂模糊權(quán)向量集A的概念,該要素權(quán)向量集就是反映被評價指標(biāo)的各因素相對于整體評價指標(biāo)的重要程度。權(quán)向量的確定與其他評估方法相同,可采用層次分析等方法獲得。權(quán)向量集A可表示為:
A=(a1,a2,…,an)
并滿足如下關(guān)系:
5) 將A與R合成,得到被評估網(wǎng)絡(luò)系統(tǒng)的模糊綜合評判向量B
B=A?R
B=A?R= (a1,a2,…,an) |r21r22…r2m|
式中:
rij表示的是模糊關(guān)系數(shù)據(jù)矩陣R經(jīng)過與模糊權(quán)向量集A矩陣運算后,得到的修正關(guān)系向量。
這樣做的意義在于使用模糊權(quán)向量集A矩陣來對關(guān)系隸屬矩陣R進行修正,使得到的綜合評判向量更為客觀準(zhǔn)確。
6) 對模糊綜合評判結(jié)果B的歸一化處理
根據(jù)上一步的計算,得到了對網(wǎng)絡(luò)各安全評價指標(biāo)的評判結(jié)果向量集B=(b1,b2,…,bn)
由于對每個評價指標(biāo)的評判結(jié)果都是一個模糊向量,不便于各評價指標(biāo)間的排序評優(yōu),因而還需要進一步的分析處理。
對模糊綜合評判結(jié)果向量 進行歸一化處理:
bj'=bj/n
從而得到各安全評價指標(biāo)的歸一化向量,從而對各歸一化向量進行相應(yīng)。
5 結(jié)束語
本論文首先介紹了網(wǎng)絡(luò)安全評估技術(shù)的基本知識,然后對安全評估模型進行了分析計算,闡述了網(wǎng)絡(luò)安全技術(shù)措施的有效性;最后對網(wǎng)絡(luò)安全態(tài)勢的評估給出了具體的算法和公式。通過本文的技術(shù)研究,基本上對網(wǎng)絡(luò)信息系統(tǒng)的安全評估技術(shù)有了初步的了解,下一步還將對安全評估的風(fēng)險、安全評估中相關(guān)聯(lián)的各項因素進行研究。
參考文獻:
[1] 逮昭義.計算機通信網(wǎng)信息量理論[M].北京:電子工業(yè)出版社,1997:57-58.
[2] 張義榮.計算機網(wǎng)絡(luò)攻擊效果評估技術(shù)研究[J].國防科技大學(xué)學(xué)報,2002(5).
建立健全廣電網(wǎng)絡(luò)安全防御體系
1廣電網(wǎng)絡(luò)特征
(1)我國廣電網(wǎng)絡(luò)發(fā)展正處于數(shù)字電視及模擬電視轉(zhuǎn)型階段,且廣電網(wǎng)絡(luò)正處于轉(zhuǎn)型期,除此以外,我國網(wǎng)絡(luò)安全投資經(jīng)費遠遠不能夠滿足實際需要;(2)我國網(wǎng)絡(luò)管理機制不健全、管理人員專業(yè)技能及綜合素養(yǎng)普遍不高,且我國網(wǎng)絡(luò)管理手段大多為管理性能不高的局部管理軟件或網(wǎng)絡(luò)設(shè)備廠家免費贈送的網(wǎng)絡(luò)管理軟件;(3)我國網(wǎng)絡(luò)安全與系統(tǒng)建設(shè)不成熟,尚處于發(fā)展的低級階段,且安全集中式管理模式基本缺失,這對于我國廣電網(wǎng)絡(luò)安全均造成了不少的安全隱患。
2立體網(wǎng)絡(luò)安全防御體系結(jié)構(gòu)層次
隨著技術(shù)的發(fā)展及廣電網(wǎng)絡(luò)安全意識的提高,立體安全防御體系建立被得到深入發(fā)展,這為提高廣電網(wǎng)絡(luò)安全防御性能發(fā)揮著巨大的作用。立體安全防御體系主要分為安全管理系統(tǒng)、安全防護系統(tǒng)及安全監(jiān)理系統(tǒng)等三大部分。在整個網(wǎng)絡(luò)安全體系中,安全監(jiān)控系統(tǒng)扮演著中樞系統(tǒng)的角色。安全監(jiān)控系統(tǒng)重點功能模塊包括安全策略管理模塊、安全知識庫及報表模塊、用戶權(quán)限管理模塊、安全預(yù)警管理、安全事件流程管理模塊、風(fēng)險評估模塊、安全區(qū)域管理模塊、安全資產(chǎn)管理模塊、安全信息監(jiān)控管理模塊、安全事件智能關(guān)聯(lián)及分析模塊、安全事件采集模塊、安全知識學(xué)習(xí)平臺模塊。就防護級別而言,安全防護系統(tǒng)涉及的模塊包括:(1)專控保護區(qū)域:多路供配電系統(tǒng)、攻擊防護模塊、空氣調(diào)節(jié)及通風(fēng)控制、數(shù)據(jù)訪問控制、防火及火警探測、系統(tǒng)訪問控制、水患及水浸控制、系統(tǒng)日志控制、物理出入控制、密碼管理控制、定期衛(wèi)生及清潔控制、認(rèn)證及識別系統(tǒng)、設(shè)數(shù)據(jù)訪問控制、備及介質(zhì)控制;(2)強制保護區(qū)域:不間斷供電系統(tǒng)、攻擊防護模塊、多路供配電系統(tǒng)、漏洞管理和修補、空氣調(diào)節(jié)及通風(fēng)控制、激活業(yè)務(wù)控制、防火及火警探測、程序開發(fā)控制、水患及水浸控制、系統(tǒng)更改控制、物理出入控制、病毒防護模塊、數(shù)據(jù)訪問控制、定期衛(wèi)生及清潔控制、系統(tǒng)訪問控制、系統(tǒng)日志控制、設(shè)備及介質(zhì)控制;(3)監(jiān)督保護區(qū)域:多路供配電系統(tǒng)、密鑰管理模塊、空氣調(diào)節(jié)及通風(fēng)控制、攻擊防護模塊、防火及火警探測、漏洞管理和修補、水患及水浸控制、激活業(yè)務(wù)控制、物理出入控制、系統(tǒng)更改控制、定期衛(wèi)生及清潔控制、病毒防護模塊、設(shè)備及介質(zhì)控制、數(shù)據(jù)訪問控制、系統(tǒng)訪問控制、系統(tǒng)日志控制;(4)指導(dǎo)保護區(qū):物理出入控制、密碼管理控制、定期衛(wèi)生及清潔控制、漏洞管理和修補、設(shè)備及介質(zhì)控制、激活業(yè)務(wù)控制、系統(tǒng)訪問控制、系統(tǒng)更改控制、病毒防護模塊、數(shù)據(jù)訪問控制;(5)一般保護區(qū):系統(tǒng)訪問控制、用戶行為管理模塊、數(shù)據(jù)訪問控制、漏洞管理和修補、病毒防護模塊;(6)安全管理系統(tǒng):安全技術(shù)及設(shè)備管理、部門與人員組織規(guī)則、安全管理制度等。
工程實例
南京廣電網(wǎng)絡(luò)屬于復(fù)雜網(wǎng)絡(luò)結(jié)合體,其涵蓋了三個物理結(jié)構(gòu),即MSTP傳輸網(wǎng)、IP傳輸網(wǎng)、HFC網(wǎng),且該網(wǎng)絡(luò)系統(tǒng)包含的系統(tǒng)及部門眾多。
1安全監(jiān)控系統(tǒng)
南京廣電公司堅持“分級監(jiān)控體系”原則,即公司層面設(shè)安全監(jiān)控中心,各部門設(shè)子系統(tǒng)監(jiān)控分中心。網(wǎng)絡(luò)監(jiān)控系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)內(nèi)各主要鏈路狀態(tài)及主要節(jié)點設(shè)備進行實時監(jiān)控,且構(gòu)建了緊急事件相應(yīng)流程及自動報警機制,并對管理漏洞、網(wǎng)絡(luò)配置及未授權(quán)行為進行嚴(yán)格檢測,此外,如實保存并審計相關(guān)安全事件及異常事件日志(見下圖)。
2安全防護體系
南京廣電公司于安全防護體系之上始終堅持“分級防護“原則。基于信息資產(chǎn)及業(yè)務(wù)系統(tǒng)重要性的不同,安全防護體系被劃分為五大保護等級。信息安全等級保護工作應(yīng)堅持“分類指導(dǎo)、分級負責(zé)、分步實施、突出重點”原則;遵循“誰運營-誰負責(zé)、誰主管-誰負責(zé)”要求。防護體系架構(gòu):安全防護體系層次模型被劃分為縱向及橫向兩個層面相結(jié)合安全防護體系,該安全防護系統(tǒng)有助于對廣電網(wǎng)絡(luò)各系統(tǒng)及系統(tǒng)各層次進行安全全面而系統(tǒng)地把握。就橫向管理體系(見下圖一)而言,考慮的核心在于對安全數(shù)據(jù)進行集中式監(jiān)控及處理,并以等級保護相關(guān)規(guī)范為根據(jù),對各系統(tǒng)不同等級安全保護域加以確定;就縱向管理體系(見圖二)而言,考慮的核心在于以系統(tǒng)ISO七層體系模型為參考依據(jù),監(jiān)控并管理各系統(tǒng)各層次。
安全防護體系層次劃分標(biāo)準(zhǔn):橫向?qū)哟螛?biāo)準(zhǔn):劃分橫向?qū)哟伟踩驊?yīng)該以國家系統(tǒng)等級保護標(biāo)準(zhǔn)格式為依據(jù),并基于企業(yè)系統(tǒng)程度,將廣電網(wǎng)絡(luò)定義為五大保護等級,且以保護等級為依據(jù)將網(wǎng)絡(luò)體系劃分為安全域;縱向?qū)哟螛?biāo)準(zhǔn):縱向?qū)哟蝿澐謽?biāo)準(zhǔn)應(yīng)以ISO七層網(wǎng)絡(luò)模型為參考依據(jù),具體劃分標(biāo)準(zhǔn)包括物理層安全防護(環(huán)境安全、設(shè)備安全、介質(zhì)安全)、系統(tǒng)層安全防護、網(wǎng)絡(luò)層安全防護、安全管理(安全技術(shù)及設(shè)備管理、部門及人員組織規(guī)則、安全管理制度)。
關(guān)鍵詞:內(nèi)網(wǎng);安全;網(wǎng)絡(luò);管理;措施
中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2009)36-10207-02
The Importance of Enterprise Network Security and Management Measures
ZHU Chang-yun
(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)
Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including online, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user application level security and other reasons, has always been safe construction difficult.
Key words: intranet; security; network; management; measures
1 內(nèi)網(wǎng)安全的定義以及與外網(wǎng)安全的區(qū)別
既然要探討內(nèi)網(wǎng)安全,首先要理解內(nèi)網(wǎng)安全的含義,網(wǎng)絡(luò)安全主要包含兩部分,一個就是傳統(tǒng)網(wǎng)絡(luò)安全考慮的是防范外網(wǎng)對內(nèi)網(wǎng)的攻擊,即可以說是外網(wǎng)安全;另一個就是內(nèi)網(wǎng)安全,它是對應(yīng)于外網(wǎng)而言的。主要是指在小范圍內(nèi)的計算機互聯(lián)網(wǎng)絡(luò),這個“小范圍”可以是一個家庭,一所學(xué)校,或者是一家公司。內(nèi)網(wǎng)上的每一臺電腦(或其他網(wǎng)絡(luò)設(shè)備)內(nèi)部分配得到的局域網(wǎng)IP地址在不同的局域網(wǎng)內(nèi)是可以重復(fù)的,不會相互影響。
外網(wǎng)安全的威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的,威脅都來自于外部網(wǎng)絡(luò),其途徑主要通過內(nèi)外網(wǎng)邊界出口。所以,在外網(wǎng)安全的威脅模型假設(shè)下,只要將網(wǎng)絡(luò)邊界處的安全控制措施做好,就可以確保整個網(wǎng)絡(luò)的安全。也就是說,網(wǎng)絡(luò)邊界安全技術(shù)防范來自Internet上的攻擊,主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范減小了黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。傳統(tǒng)的防火墻、人侵檢測系統(tǒng)和VPN都是基于這種思路設(shè)計和考慮的。
對眾多大型企業(yè)而言,隨著業(yè)務(wù)的發(fā)展,用戶希望ERP、OA、Intranet、互聯(lián)網(wǎng)在一張網(wǎng)上實現(xiàn),能夠同時使用有線、無線網(wǎng)絡(luò),在一個網(wǎng)絡(luò)上實現(xiàn)Web、即時通信、協(xié)作、語音、視頻的融合。外網(wǎng)在某種程度上已經(jīng)成為了內(nèi)網(wǎng)的一部分。而隨著移動辦公的興起,安全的邊界越發(fā)模糊,筆記本電腦、手機都成為了企業(yè)OA網(wǎng)絡(luò)中的一部分,而這也增加了內(nèi)網(wǎng)安全的管理難度。
內(nèi)網(wǎng)安全的威脅模型與外網(wǎng)安全模型相比,更加全面和細致。它假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個終端、用戶和網(wǎng)絡(luò)都是不安全和不可信的,威脅既可能來自外網(wǎng),也可能來自內(nèi)網(wǎng)的任何―個節(jié)點上。 所以,在內(nèi)網(wǎng)安全的威脅模型下,需要對內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點和參與者進行細致的管理,實現(xiàn)―個可管理、可控制和可信任的內(nèi)網(wǎng)。
由此可見,相比于外網(wǎng)安全,內(nèi)網(wǎng)安全具有以下特點:
1)要求建立一種更加全面、客觀和嚴(yán)格的信任體系和安全體系。
2)要求建立更加細粒度的安全控制措施,對計算機終端、服務(wù)器、網(wǎng)絡(luò)和使用者都進行更加具有針對性的管理。
3)對信息進行生命周期的完善管理。
2 內(nèi)網(wǎng)安全的威脅
在所有的安全事件中,有超過70%的安全事件是發(fā)生在內(nèi)網(wǎng)上的,并且隨著網(wǎng)絡(luò)的龐大化和復(fù)雜化,這一比例仍有增長的趨勢。因此內(nèi)網(wǎng)安全一直是網(wǎng)絡(luò)安全建設(shè)關(guān)注的重點,但是由于內(nèi)網(wǎng)以純二層交換環(huán)境為主、節(jié)點數(shù)量多、分布復(fù)雜、終端用戶安全應(yīng)用水平參差不齊等原因,一直以來也都是安全建設(shè)的難點。
在實際應(yīng)用當(dāng)中,內(nèi)網(wǎng)安全的威脅主要來自以下幾個方面:
1)移動設(shè)備(筆記本電腦等)和新增設(shè)備未經(jīng)過安全過濾和檢查違規(guī)接入內(nèi)部網(wǎng)絡(luò)。未經(jīng)允許擅自接入電腦設(shè)備會給網(wǎng)絡(luò)帶來病毒傳播、黑客入侵等不安全因素;
2)內(nèi)部網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等網(wǎng)絡(luò)設(shè)備進行在線違規(guī)撥號上網(wǎng)、違規(guī)離線上網(wǎng)等行為;
3)違反規(guī)定將專網(wǎng)專用的計算機帶出網(wǎng)絡(luò)進入到其它網(wǎng)絡(luò);
4)網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲攻擊等安全問題后,不能做到安全事件源的實時、快速、精確定位、遠程阻斷隔離操作。安全事件發(fā)生后,網(wǎng)管一般通過交換機、路由器或防火墻進行封堵,但設(shè)置復(fù)雜,操作風(fēng)險大,而且絕大多數(shù)普通交換機并沒有被設(shè)置成SNMP可管理模式,因此不能夠方便地進行隔離操作;
5)大規(guī)模病毒(安全)事件發(fā)生后,網(wǎng)管無法確定病毒黑客事件源頭、無法找到網(wǎng)絡(luò)中的薄弱環(huán)節(jié),無法做到事后分析、加強安全預(yù)警;
6)靜態(tài)IP地址的網(wǎng)絡(luò)由于用戶原因造成使用管理混亂、網(wǎng)管人員無法知道IP地址的使用、IP同MAC地址的綁定情況以及網(wǎng)絡(luò)中IP分配情況;
7)針對網(wǎng)絡(luò)內(nèi)部安全隱患,自動檢測網(wǎng)絡(luò)中主機的安全防范等級,進行補丁大面積分發(fā),徹底解決網(wǎng)絡(luò)中的不安全因素;
8)大型網(wǎng)絡(luò)系統(tǒng)中區(qū)域結(jié)構(gòu)復(fù)雜,不能明確劃分管理責(zé)任范圍;
9)網(wǎng)絡(luò)中計算機設(shè)備硬件設(shè)備繁多,不能做到精確統(tǒng)計。
以上問題其實可以歸到兩個基本需求:安全與管理。安全方面,需要保證在終端方面可以提供正常工作的基礎(chǔ)IT設(shè)施即計算機是可用的;而管理方面,則保證企業(yè)或都說組織的計算機是用來工作的,規(guī)范計算機在企業(yè)網(wǎng)絡(luò)里邊的行為。
3 加強內(nèi)網(wǎng)安全管理的建議和措施
可管理的安全才是真正的安全。雖然管理對于信息安全的重要性已經(jīng)逐漸達成共識,但如何將安全管理規(guī)章和技術(shù)手段有效的結(jié)合在一起,真正提高信息安全的有效性,依然是我們共同面臨的挑戰(zhàn)。安全關(guān)注的趨勢由外而內(nèi),由邊界到主機,由分散到集中,由系統(tǒng)到應(yīng)用,由通用到專用,由分離到整合,由技術(shù)到管理。從實際工作出發(fā)和借鑒兄弟單位成功經(jīng)驗,我總結(jié)了加強內(nèi)網(wǎng)安全的措施如下:
1)按照企業(yè)的管理框架,根據(jù)不同的業(yè)務(wù)部門或子公司劃成了不同的虛擬網(wǎng)(Vlan)。通過劃分虛擬網(wǎng),可以把廣播限制在各個虛擬網(wǎng)的范圍內(nèi),從而減少整個網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸,提高了網(wǎng)絡(luò)的傳輸效率,同時,由于各虛擬網(wǎng)之間不能直接進行通訊,而必須通過路由器轉(zhuǎn),為高級的安全控制提供了可能,增強了網(wǎng)絡(luò)的安全性,也給管理帶來了極大的方便性。特別是核心業(yè)務(wù)和重要部門根據(jù)安全的需要劃成了不同的虛擬網(wǎng),采用完全隔離或者相對隔離的措施,保證了核心業(yè)務(wù)和重要部門的安全性。
2)對企業(yè)網(wǎng)絡(luò)的物理線路進行規(guī)范化管理。按照區(qū)域、樓層、配線間、房間、具置規(guī)范化管理編號的原則,把所有的網(wǎng)絡(luò)線路編號,套上清晰的線標(biāo),配置可網(wǎng)管的交換機。同時對交換機、配線架、電腦等設(shè)備的物理配置、存放的具置以及電腦的軟件系統(tǒng)和系統(tǒng)配置等基礎(chǔ)數(shù)據(jù)進行詳細的登記,同時還對IP地址進行統(tǒng)一管理,把電腦的IP地址、MAC地址、使用人和各種基礎(chǔ)數(shù)據(jù)進行關(guān)聯(lián),當(dāng)網(wǎng)絡(luò)或者電腦發(fā)生故障時,網(wǎng)管們能夠通過基礎(chǔ)數(shù)據(jù)管理系統(tǒng)實現(xiàn)快速定位、快速排查故障,極大地提高了網(wǎng)管們解決故障的工作效率。
3)部署桌面安全管理系統(tǒng)。企業(yè)部署一套桌面安全策略管理系統(tǒng),是一個面向IT領(lǐng)域建設(shè)的專業(yè)安全解決方案。它采用集成化網(wǎng)絡(luò)安全防衛(wèi)體系,通過多種技術(shù)手段的融合幫助整個企業(yè)有效達成在物理訪問、鏈路傳輸、操作系統(tǒng)、業(yè)務(wù)應(yīng)用、數(shù)據(jù)保護、網(wǎng)間訪問和人員管理等方面的安全策略制定、自動分發(fā)和自動實現(xiàn),減小客戶為保障安全需要付出的高額管理控制成本,在為每一個終端用戶提供透明但高度個性化安全保證的前提下真正提高組織的動作效率和管理水平。終端安全管理是基礎(chǔ),它解決了終端計算機經(jīng)常為病毒、木馬困擾的問題,幫助管理員智能安裝系統(tǒng)與應(yīng)用補丁,提供一系列的終端維護工具與管理工具,使管理員做到對于終端的“中央集權(quán)管理與控制”。
4)部署防病毒系統(tǒng)。病毒、木馬、流氓軟件一直是困擾大家的一大難題,因此通過部署一套專業(yè)防病毒系統(tǒng)是最有效的解決辦法。防毒系統(tǒng)內(nèi)嵌病毒掃描和清除、個人防火墻、安全風(fēng)險檢測與刪除,可以檢測、隔離、刪除和消除或修復(fù)間諜軟件、廣告軟件、撥號程序、黑客工具、玩笑程序等多種安全風(fēng)險造成的負面影響。通過防毒系統(tǒng)中心控制臺可以集中管理客戶端,統(tǒng)一部署防護策略、病毒碼定義更新策略等,集中查看客戶端病毒碼更新情況、病毒分布情況、病毒種類及查殺情況,可以控制客戶端集中或單獨清除病毒。另外,還可以通過病毒隔離區(qū)控制臺,追蹤病毒傳播情況,快速找到病毒源,在第一時間對中毒的電腦進行有效的殺毒和隔離。
5)部署網(wǎng)絡(luò)管理系統(tǒng)。隨著企業(yè)網(wǎng)絡(luò)規(guī)模的擴大,交換機、服務(wù)器的數(shù)量也逐漸增多,如何管理監(jiān)控重點設(shè)備、服務(wù)器的運行情況,不是一件容易的事。為此部署一套網(wǎng)絡(luò)管理系統(tǒng),可對網(wǎng)絡(luò)、系統(tǒng)以及應(yīng)用進行全面的監(jiān)視。它可以提供完整的故障管理和性能管理功能,能自動發(fā)現(xiàn)網(wǎng)絡(luò)主動監(jiān)視網(wǎng)絡(luò)、系統(tǒng)和服務(wù)器并將關(guān)鍵參數(shù)保存在數(shù)據(jù)庫中。通過綜合控制臺可實現(xiàn)對路由器、交換機、服務(wù)器、URL、UPS無線設(shè)備以及打印機等性能的監(jiān)視,不僅提供了網(wǎng)絡(luò)設(shè)備的多種視圖,而且將收集的信息以豐富的圖、報表形式呈現(xiàn)給操作者。
6)部署安全管理系統(tǒng)(SOC)。為了讓管理人員能夠?qū)崟r了解網(wǎng)絡(luò)中動態(tài)和事件,滿足不斷變化的網(wǎng)絡(luò)安全管理(網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用程序、應(yīng)用服務(wù)、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、機房環(huán)境等發(fā)生的故障、超閥值行為、安全事件統(tǒng)稱為網(wǎng)絡(luò)安全問題)的要求,需要有一套專門的安全管理系統(tǒng)來完成。網(wǎng)絡(luò)管理系統(tǒng)是從事件驅(qū)動的目的出發(fā)強調(diào)系統(tǒng)運維、系統(tǒng)故障處理和加強網(wǎng)絡(luò)的性能三個方面的內(nèi)容。與網(wǎng)絡(luò)管理系統(tǒng)不同,安全管理系統(tǒng)最重要的是對威脅的管理,它的側(cè)重點關(guān)注在三個層次上:資產(chǎn)層面,關(guān)注安全威脅對業(yè)務(wù)及資產(chǎn)的影響;威脅層面了解哪些威脅會影響業(yè)務(wù)及資產(chǎn);防護措施層面怎樣防護威脅,保護業(yè)務(wù)及資產(chǎn)。一句話概括,就是安全管理是從保護業(yè)務(wù)及資產(chǎn)的層面進行的風(fēng)險管理。
7)部署垃圾郵件防火墻。隨著電子郵件的普及,電子郵件的作用也越發(fā)重要,但是垃圾郵件卻是件令人煩惱的事,嚴(yán)重干擾了郵件收發(fā)的正常工作。為了解決垃圾郵件問題,可以布署一套垃圾郵件防火墻。垃圾郵件防火墻能支持25000個活躍的電子郵件帳戶每天處理兩千五百萬封電子郵件。
8)對重要資料進行備份。在內(nèi)網(wǎng)系統(tǒng)中數(shù)據(jù)對用戶的重要性越來越大,實際上引起電腦數(shù)據(jù)流失或被損壞、篡改的因素已經(jīng)遠超出了可知的病毒或惡意的攻擊,用戶的一次錯誤操作,系統(tǒng)的一次意外斷電以及其他一些更有針對性的災(zāi)難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。為了維護企業(yè)內(nèi)網(wǎng)的安全,必須對重要資料進行備份,以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰,進而蒙受重大損失。對數(shù)據(jù)的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的。目前應(yīng)用中的備份軟件是比較多的,配合各種災(zāi)難恢復(fù)軟件,可以較為全面地保護數(shù)據(jù)的安全。
9)密鑰管理。在現(xiàn)實中,入侵者攻擊Intranet目標(biāo)的時候,90%會把破譯普通用戶的口令作為第一步。以Unix系統(tǒng)或Linux 系統(tǒng)為例,先用“finger遠端主機名”找出主機上的用戶賬號,然后用字典窮舉法進行攻擊。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典里的單詞都完成。
如果這種方法不能奏效,入侵者就會仔細地尋找目標(biāo)的薄弱環(huán)節(jié)和漏洞,伺機奪取目標(biāo)中存放口令的文件 shadow或者passwd。然后用專用的破解DES加密算法的程序來解析口令。
在內(nèi)網(wǎng)中系統(tǒng)管理員必須要注意所有密碼的管理,如口令的位數(shù)盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統(tǒng)上使用同一口令;輸入口令時應(yīng)在無人的情況下進行;口令中最好要有大小寫字母、字符、數(shù)字;定期改變自己的口令;定期用破解口令程序來檢測shadow文件是否安全。沒有規(guī)律的口令具有較好的安全性。
4 結(jié)束語
當(dāng)然為了更好地解決內(nèi)網(wǎng)的安全問題,需要有更為開闊的思路看待內(nèi)網(wǎng)的安全問題。七分管理,三分技術(shù)。管理是企業(yè)網(wǎng)絡(luò)安全的核心,技術(shù)是安全管理的保證。只有制定完整的規(guī)章制度、行為準(zhǔn)則并和安全技術(shù)手段合理結(jié)合,網(wǎng)絡(luò)系統(tǒng)的安全才會有最大的保障。
參考文獻:
關(guān)鍵詞:企業(yè)內(nèi)部 網(wǎng)絡(luò)安全 漏洞 防范措施
現(xiàn)在隨著企業(yè)信息化建設(shè)的成就日益加大,因此計算機網(wǎng)絡(luò)的安全事件也逐漸增多,而這些事件造成的重要信息、資料與數(shù)據(jù)丟失也不在少數(shù),因此安全事件對企業(yè)造成了極大的威脅。而造成這一原因就是企業(yè)內(nèi)部的網(wǎng)絡(luò)安全漏洞,企業(yè)內(nèi)部網(wǎng)雖然局限于企業(yè)內(nèi)部,但因企業(yè)內(nèi)部網(wǎng)的工作性質(zhì)、地理環(huán)境及跨地區(qū)的網(wǎng)絡(luò)結(jié)構(gòu),使得利用網(wǎng)絡(luò)信息技術(shù)進行工作的同時,網(wǎng)絡(luò)安全漏洞時刻威脅著企業(yè)內(nèi)部網(wǎng)的網(wǎng)絡(luò)安全和信息安全。所以增加企業(yè)內(nèi)部計算機網(wǎng)絡(luò)安全已經(jīng)成為了一個非常重要的問題。
1、網(wǎng)絡(luò)安全漏洞的定義
由于人們經(jīng)常使用的各種計算機軟件、應(yīng)用系統(tǒng)及相關(guān)硬件沒有徹底進行完善,能夠被他人利用來干非法的事,且和安全相關(guān)的缺陷。這個缺陷可以是設(shè)計上的和程序代碼實現(xiàn)上的問題。而問題在沒有得到解決之前,使某些懷有企圖的人,使用某種方法侵入電腦和網(wǎng)絡(luò)系統(tǒng),這就是漏洞。另一方面,漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略以及人為因素上存在的缺陷,從而可以使入侵者能夠在未經(jīng)系統(tǒng)的許可者授權(quán)的情況下訪問或破壞系統(tǒng)。如IE瀏覽器的ActiveX控件被執(zhí)行后門程序,Microsoft Office編程中的內(nèi)存錯誤等都可能被入侵者使用,入侵者利用這些錯誤來運行自己的代碼以達到完全控制設(shè)備、操作系統(tǒng)等目的,從而威脅到系統(tǒng)的安全。
2、企業(yè)內(nèi)部網(wǎng)中主要的安全漏洞和危害
企業(yè)內(nèi)部網(wǎng)因為網(wǎng)絡(luò)具有的共性,企業(yè)內(nèi)部網(wǎng)中軟件、硬件和外界的直接的、間接的聯(lián)系,使企業(yè)內(nèi)部網(wǎng)中主要存在的網(wǎng)絡(luò)安全漏洞有:應(yīng)用軟件、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)服務(wù)、通信協(xié)議等方面的安全漏洞。如SMB漏洞:入侵者利用此以包含有漏洞代碼內(nèi)核的權(quán)限執(zhí)行任意代碼。RPC服務(wù)漏洞:入侵者以通過發(fā)送惡意的RPC請求,入侵用戶系統(tǒng),以系統(tǒng)權(quán)限執(zhí)行任意指令。SMTP漏洞:入侵者利用此以系統(tǒng)進程權(quán)限在系統(tǒng)上執(zhí)行任意指令。SNMP服務(wù)漏洞:入侵者通過 SNMP獲取系統(tǒng)信息,修改系統(tǒng)文件或執(zhí)行系統(tǒng)命令。FTP后門漏洞:入侵者用空用戶名,空密碼登錄,獲得root權(quán)限,對主機造成威脅。
3、網(wǎng)絡(luò)安全漏洞防范措施
3.1 訪問控制
訪問控制是網(wǎng)絡(luò)安全防范的主要策略,是保證網(wǎng)絡(luò)信息不被非法使用和非法訪問,是維護網(wǎng)絡(luò)系統(tǒng)安全的重要手段:第一是通過入網(wǎng)訪問控制策略實現(xiàn)第一層防護措施,即入網(wǎng)用戶通過用戶對本地及應(yīng)用程序的登錄和訪問進行用戶賬戶身份的識別與驗證、用戶口令的識別與驗證,用戶口令為加密的有效長度,而且以數(shù)字、字母和其它字符的混合組成,驗證合法,才能登錄成功。以技術(shù)手段度解決用戶空口令。第二是控制和限制普通用戶的訪問權(quán)限,控制普通用戶可訪問哪些資源、哪些目錄和文件。對應(yīng)用系統(tǒng)目錄級的安全屬性:write、modify、erase、access control、create等權(quán)限加以控制。第三是利用交換機做訪問控制,劃分區(qū)域,限制端口。第四是關(guān)閉Wireless Zero Configuration、FTP、Telnet等不必要的服務(wù)與端口。最后是禁止共享策略、刪除不必要的協(xié)議、修改、重命名Administrator帳戶。
3.2 數(shù)據(jù)加密
首先是數(shù)據(jù)傳輸加密,應(yīng)用現(xiàn)在加密技術(shù),信息在發(fā)送端自動加密,進入數(shù)據(jù)包回封,成為不可識別和不可讀的數(shù)據(jù),信息到達目的地,數(shù)據(jù)自動重組、解密,成為可讀的有效數(shù)據(jù)。其次是數(shù)據(jù)存儲加密,數(shù)據(jù)庫將原始數(shù)據(jù)以明文形式存儲于數(shù)據(jù)庫中對存儲數(shù)據(jù)進行加密處理、實現(xiàn)加密保護,非法的用戶,無法解讀加密數(shù)據(jù)。
3.3 系統(tǒng)補丁
系統(tǒng)補丁是防范企業(yè)內(nèi)部網(wǎng)絡(luò)安全漏洞非常重要的一個環(huán)節(jié),它可以有效的減少系統(tǒng)被破壞的概率。因此及時安裝和更新系統(tǒng)補丁和數(shù)據(jù)庫補丁,阻止各種新漏洞不斷出現(xiàn),及時安裝補丁,對于增強系統(tǒng)的安全性,保證系統(tǒng)的穩(wěn)定性具有非常重要的作用。
4、防護
首先是應(yīng)用防火墻限制權(quán)限,設(shè)置訪問策略,禁止非法用戶訪問。其次是應(yīng)用入侵檢測系統(tǒng),對網(wǎng)絡(luò)中出現(xiàn)的異常事件和攻擊行為的進行檢測。防火墻的安全保護是屬于靜態(tài)安全防護,其功能及作用范圍也是有限的,不可能做到全面的防護。入侵檢測技術(shù)與防火墻的互補。對存在、存放重要信息的網(wǎng)絡(luò),配備入侵檢測系統(tǒng),通過實時監(jiān)測進出網(wǎng)絡(luò)的數(shù)據(jù)流,一旦發(fā)現(xiàn)不安全的訪問行為,依據(jù)策略采取相應(yīng)的處理手段(阻斷、報警等)。
5、病毒防護軟件
隨著計算機技術(shù)的不斷發(fā)展,病毒成為計算機網(wǎng)絡(luò)揮之不去的威脅,所以安裝病毒防護軟件,監(jiān)控、查殺企業(yè)網(wǎng)中的病毒,及時更新病毒庫是防止病毒破壞網(wǎng)絡(luò)的重要手段。只有采取了有效的安全防范措施,消除網(wǎng)絡(luò)安全隱患,才能保障證企業(yè)內(nèi)部網(wǎng)的網(wǎng)絡(luò)安全和信息安全。
6、結(jié)語
通過以上對于企業(yè)內(nèi)部網(wǎng)絡(luò)安全漏洞和防范措施的探討,我們可以發(fā)現(xiàn)訪問控制、數(shù)據(jù)加密、系統(tǒng)補丁、及時防護、病毒防護軟件這些措施是保證企業(yè)內(nèi)部網(wǎng)絡(luò)安全運行最主要的方面。因此我們要極為重視對這些措施的應(yīng)用以及建立網(wǎng)絡(luò)安全的運行系統(tǒng),只有這樣才能在最大的程度上減少企業(yè)內(nèi)部網(wǎng)絡(luò)安全問題的發(fā)生,保證其良好運行。之后才能令企業(yè)更好的得到計算機網(wǎng)絡(luò)的便利所在,為推動企業(yè)的進一步發(fā)展,做出極大的貢獻。
參考文獻
[1]司天歌,劉鐸,戴一奇.安全的基于網(wǎng)絡(luò)的計算機系統(tǒng)[J]. 清華大學(xué)學(xué)報(自然科學(xué)版). 2007(07).
關(guān)鍵詞:手機;辦公;安全
中圖分類號:TP309 文獻標(biāo)識碼:A 文章編號:1674-7712 (2013) 20-0000-01
一、背景與意義
手機辦公使手機具備了和電腦一樣的辦公功能,擺脫了時間和場所的限制,可進行隨身化的管理和溝通,無論身在何種緊急情況下,都能高效迅速的開展工作,對于應(yīng)對突發(fā)性事件、應(yīng)急性事件具有重要的意義,隨著手機銀行、手機證券的開展,對信息安全提出了更高的要求。
二、系統(tǒng)架構(gòu)介紹
(一)信息源:信息源是指OA系統(tǒng)、ERP系統(tǒng)的數(shù)據(jù)庫,移動信息助理的主要功能就是從業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中把原有的業(yè)務(wù)邏輯無縫移植到手機上,并通過手機實現(xiàn)隨時隨地的辦公。
(三)服務(wù)器:運行于服務(wù)器端的軟件,負責(zé)響應(yīng)手機客戶端的請求、數(shù)據(jù)傳輸、數(shù)據(jù)加密解密、安全驗證工作。
(四)手機客戶端:運行于手機端的軟件,用戶通過手機客戶端連接到通訊服務(wù)器,完成移動辦公功能,手機客戶端還包括用戶登陸、客戶端設(shè)置等輔助功能。
如下圖3所示,MIA以中間件的方式,和現(xiàn)有辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)無縫銜接,快速將現(xiàn)有系統(tǒng)移植到手機上。
三、網(wǎng)絡(luò)存在的安全問題
由于網(wǎng)絡(luò)開放的特征,用戶往往要直接面對來自網(wǎng)絡(luò)內(nèi)外攻擊的威脅,而日益增長的網(wǎng)絡(luò)安全事件已成為制約網(wǎng)絡(luò)發(fā)展的主要因素。
四、手機辦公網(wǎng)絡(luò)安全防范機制
1.建立長效容災(zāi)備份機制,系統(tǒng)文件、應(yīng)用服務(wù)的配置文件及二次開發(fā)代碼文件都要進行全備份,建立網(wǎng)絡(luò)系統(tǒng)備份體系,包括文件備份和設(shè)備備份,用來恢復(fù)出錯系統(tǒng)或防止數(shù)據(jù)丟失。
2.要做到基本的手機網(wǎng)絡(luò)安全保障,首先就要在物理安全上下功夫。作為重要的、不可或缺安全系統(tǒng),物理安全為手機辦公帶來了保障。網(wǎng)絡(luò)硬件設(shè)備的安全性是任何階段性設(shè)計應(yīng)該考慮的方面。比如防電磁輻射、電源保護、網(wǎng)絡(luò)防雷系統(tǒng)與抗電磁干擾等的防護設(shè)施的安裝,可有效的保護網(wǎng)絡(luò)安全。
3.殺毒軟件可有效的查殺與防治病毒入侵。網(wǎng)絡(luò)管理中心應(yīng)該及時的升級相關(guān)的殺毒軟件,如對程序軟件、掃描引擎、病毒定義碼的升級,并定期的將該軟件向不同服務(wù)器終端與主機網(wǎng)點進行分發(fā),要做到適時更新殺毒軟件。
4.信息交換途徑也是重要的安全薄弱點,在服務(wù)器、客戶間的數(shù)據(jù)交換時,可能會出現(xiàn)安全漏洞。這時應(yīng)該采用SSL(安全套接入層)交換信息,此時,信息就不會因為交互而被更改或竊取。
5.安全步驟的遵守是審計功能檢測發(fā)揮功效的重要組成部分。比如是否預(yù)期配置了相關(guān)的網(wǎng)絡(luò)基礎(chǔ)設(shè)備,是否及時的監(jiān)控了網(wǎng)絡(luò)活動情況,并發(fā)現(xiàn)相應(yīng)的病毒入侵。網(wǎng)絡(luò)設(shè)備日志、數(shù)據(jù)庫日志、操作系統(tǒng)之日志應(yīng)該在審計系統(tǒng)下進行格式的統(tǒng)一轉(zhuǎn)換,隨后再進行統(tǒng)一的分析處理與儲存,對異常的情況應(yīng)該發(fā)出警報。在查詢與報表的生成方面,用戶也不用大費周折的進行。
6.網(wǎng)絡(luò)安全的正常運行應(yīng)該參考相應(yīng)的管理制度,要順利的進行安全管理應(yīng)該以安全技術(shù)相配合。安全意識、安全技術(shù)與安全理論都應(yīng)該在日常的員工培訓(xùn)會加以重點闡述。通過完善的網(wǎng)絡(luò)安全管理制度確保手機辦公的安全,制度應(yīng)該詳細具體,做好執(zhí)行工作,手機辦公安全保駕護航。
五、結(jié)束語
以上只是對手機辦公的網(wǎng)絡(luò)架構(gòu)描述和制定安全措施的初步探討,提出防范外部入侵,維護網(wǎng)絡(luò)安全的一些粗淺看法。建立健全的網(wǎng)絡(luò)管理制度是網(wǎng)絡(luò)安全的一項重要措施,制定完備的容災(zāi)備份計劃,定期地進行有效安全測試進行測試將有助于網(wǎng)絡(luò)安全措施的提高。
參考文獻:
關(guān)鍵詞:網(wǎng)絡(luò)安全,入侵檢測
隨著計算機技術(shù)以及網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展, 許多部門都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng), 以充分利用各類信息資源。但在連接信息能力、流通能力提高的同時,基于網(wǎng)絡(luò)連接的安全問題也日益突出。在現(xiàn)今的網(wǎng)絡(luò)安全技術(shù)中,常用的口令證、防火墻、安全審計及及加密技術(shù)等等,都屬于靜態(tài)防御技術(shù),而系統(tǒng)面臨的安全威脅越來越多,新的攻擊手段也層出不窮,僅僅依靠初步的防御技術(shù)是遠遠不夠的,需要采取有效的手段對整個系統(tǒng)進行主動監(jiān)控。入侵檢測系統(tǒng)是近年來網(wǎng)絡(luò)安全領(lǐng)域的熱門技術(shù),是保障計算機及網(wǎng)絡(luò)安全的有力措施之一。
1 入侵檢測和入侵檢測系統(tǒng)基本概念
入侵檢測(Intrusion Detection)是動態(tài)的跟蹤和檢測方法的簡稱, 是對入侵行為的發(fā)覺,它通過旁路偵聽的方式,對計算機網(wǎng)絡(luò)和計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。
入侵檢測的軟件和硬件組成了入侵檢測系統(tǒng)(IDS:Intrusion Detection System),IDS是繼防火墻之后的第二道安全閘門,它在不影響網(wǎng)絡(luò)性能的情況下依照一定的安全策略,對網(wǎng)絡(luò)的運行狀況進行監(jiān)測。它能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生,對得到的數(shù)據(jù)進行分析,一旦發(fā)現(xiàn)入侵,及進做出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄或者報警等。由于入侵檢測能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)測,為系統(tǒng)提供對內(nèi)部攻擊、外部攻擊和誤操作的有效保護。因此,為網(wǎng)絡(luò)安全提供高效的入侵檢測及相應(yīng)的防護手段,它以探測與控制為技術(shù)本質(zhì),能彌補防火墻的不足,起著主動防御的作用,是網(wǎng)絡(luò)安全中極其重要的部分。免費論文。
2 入侵檢測系統(tǒng)的分類
入侵檢測系統(tǒng)根據(jù)其檢測數(shù)據(jù)來源分為兩類:基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。
基于主機的入侵檢測系統(tǒng)的檢測目標(biāo)是主機系統(tǒng)和系統(tǒng)本地用戶。其原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。該系統(tǒng)通常運行在被監(jiān)測的主機或服務(wù)器上,實時檢測主機安全性方面如操作系統(tǒng)日志、審核日志文件、應(yīng)用程序日志文件等情況,其效果依賴于數(shù)據(jù)的準(zhǔn)確性以及安全事件的定義。基于主機的入侵檢測系統(tǒng)具有檢測效率高,分析代價小,分析速度快的特點,能夠迅速并準(zhǔn)確地定位入侵者,并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對入侵進行進一步分析、響應(yīng)。基于主機的入侵檢測系統(tǒng)只能檢測單個主機系統(tǒng)。
基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)搜集來自網(wǎng)絡(luò)層的信息。這些信息通常通過嗅包技術(shù),使用在混雜模式的網(wǎng)絡(luò)接口獲得。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以監(jiān)視和檢測網(wǎng)絡(luò)層的攻擊。它具有較強的數(shù)據(jù)提取能力。在數(shù)據(jù)提取的實時性、充分性、可靠性方面優(yōu)于基于主機日志的入侵檢測系統(tǒng)。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以對本網(wǎng)段的多個主機系統(tǒng)進行檢測,多個分布于不同網(wǎng)段上的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以協(xié)同工作以提供更強的入侵檢測能力。
3 入侵檢測方法
入侵檢測方法主要分為異常入侵檢測和誤用入侵檢測。
異常入侵檢測的主要前提條件是將入侵性活動作為異常活動的子集,理想狀況是異常活動集與入侵性活動集等同,這樣,若能檢測所有的異常活動,則可檢測所有的入侵活動。但是,入侵性活動并不總是與異常活動相符合。這種活動存在4種可能性:(1)入侵性而非異常;(2)非入侵性且異常;(3)非入侵性且非異常;(4)入侵且異常。異常入侵要解決的問題是構(gòu)造異常活動集,并從中發(fā)現(xiàn)入侵性活動子集。異常入侵檢測方法依賴于異常模型的建立。不同模型構(gòu)成不同的檢測方法,異常檢測是通過觀測到的一組測量值偏離度來預(yù)測用戶行為的變化,然后作出決策判斷的檢測技術(shù)。
誤用入侵檢測是通過將預(yù)先設(shè)定的入侵模式與監(jiān)控到的入侵發(fā)生情況進行模式匹配來檢測。它假設(shè)能夠精確地將入侵攻擊按某種方式編碼,并可以通過捕獲入侵攻擊將其重新分析整理,確認(rèn)該入侵行為是否為基于對同一弱點進行入侵攻擊方法的變種,入侵模式說明導(dǎo)致安全事件或誤用事件的特征、條件、排列和關(guān)系。免費論文。根據(jù)匹配模式的構(gòu)造和表達方式的不同,形成了不同的誤用檢測模型。誤用檢測模型能針對性地建立高效的入侵檢測系統(tǒng),檢測精度高,誤報率低,但它對未知的入侵活動或已知入侵活動的變異檢測的性能較低。
4 入侵檢測系統(tǒng)的評估
對于入侵檢測系統(tǒng)的評估,主要的性能指標(biāo)有:(1)可靠性,系統(tǒng)具有容錯能力和可連續(xù)運行;(2)可用性,系統(tǒng)開銷要最小,不會嚴(yán)重降低網(wǎng)絡(luò)系統(tǒng)性能;(3)可測試,通過攻擊可以檢測系統(tǒng)運行;(4)適應(yīng)性,對系統(tǒng)來說必須是易于開發(fā)的,可添加新的功能,能隨時適應(yīng)系統(tǒng)環(huán)境的改變;(5)實時性,系統(tǒng)能盡快地察覺入侵企圖以便制止和限制破壞;(6)準(zhǔn)確性,檢測系統(tǒng)具有較低的誤警率和漏警率;(7)安全性,檢測系統(tǒng)必須難于被欺騙和能夠保護自身安全。免費論文。
5 入侵檢測的發(fā)展趨勢
入侵檢測作為一種積極主動的安全防護技術(shù),提供了對攻擊和誤操作的實時保護,在網(wǎng)絡(luò)系統(tǒng)受到危險之前攔截和響應(yīng)入侵,但它存在的問題有:誤報率和漏報率高、檢測速度慢,對IDS自身的攻擊,缺乏準(zhǔn)確定位與處理機制、缺乏性能評價體系等。在目前的入侵檢測技術(shù)研究中,其主要的發(fā)展方向可概括為:
(1)大規(guī)模分布式入侵檢測
(2)寬帶高速網(wǎng)絡(luò)的實時入侵檢測技術(shù)
(3)入侵檢測的數(shù)據(jù)融合技術(shù)
(4)與網(wǎng)絡(luò)安全技術(shù)相結(jié)合
6 結(jié)束語
隨著計算機技術(shù)以及網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展,入侵檢測技術(shù)已成為計算機安全策略中的核心技術(shù)之一。它作為一種積極主動的防護技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,為網(wǎng)絡(luò)安全提供高效的入侵檢測及相應(yīng)的防護手段。入侵檢測作為一個新的安全機制開始集成到網(wǎng)絡(luò)系統(tǒng)安全框架中。
[參考文獻]
[1]張杰,戴英俠.入侵檢測系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢[J].計算機與通信,2002,96]:28-32.
[2]陳明.網(wǎng)絡(luò)安全教程[M].北京:清華大學(xué)出版社,2004,1.
[3]羅守山.入侵檢測[M].北京:北京郵電大學(xué)出版社,2004.
[4]戴云,范平志,入侵檢測系統(tǒng)研究綜述[J].計算機工程與應(yīng)用,2002,4.
關(guān)鍵詞:安全運維;技術(shù)支撐;信息安全
中圖分類號:TP3 文獻標(biāo)識碼:A
1 引言(Introduction)
為進一步規(guī)范信息安全管理,提高信息安全管理水平,建設(shè)一套集“監(jiān)、管、控”功能為一體的安全運維管理平臺勢在必行[1,2],通過對IT基礎(chǔ)設(shè)施與應(yīng)用系統(tǒng)的集中監(jiān)控,實時反映IT資源的運行狀況,對事件、問題、變更、配置等運維服務(wù)進行集中處理,最終實現(xiàn)信息資產(chǎn)可知、運行狀態(tài)可視、服務(wù)流程可管、運維操作可控,全面提升信息安全保障能力,有效支撐業(yè)務(wù)系統(tǒng)的穩(wěn)定運行,為運維工作提供有效技術(shù)支撐。
2 IT運維中存在的問題(Problems in the operation
management)
隨著IT業(yè)務(wù)和規(guī)模不斷在擴展,給信息中心人員的管理帶來了一定程度上的難度,主要體現(xiàn)在以下幾個方面:
一是隨著網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜,傳統(tǒng)的“來電響應(yīng)式”的IT運維管理模式無法及時發(fā)現(xiàn)潛在的網(wǎng)絡(luò)異常及隱患,如何實現(xiàn)網(wǎng)絡(luò)的事前管理和透明化監(jiān)控是保障應(yīng)用系統(tǒng)穩(wěn)定運行、核心業(yè)務(wù)正常運轉(zhuǎn)的關(guān)鍵。
二是業(yè)務(wù)系統(tǒng)的數(shù)量不斷增多,往往是業(yè)務(wù)部門向信息中心反映系統(tǒng)出現(xiàn)問題后,運維人員才發(fā)現(xiàn)系統(tǒng)出現(xiàn)了故障,具有滯后性。同時無法從業(yè)務(wù)角度來審視系統(tǒng)的健康度,導(dǎo)致故障無法快速定位業(yè)務(wù)故障點,也無法通過資源的故障判斷它所影響到的業(yè)務(wù)系統(tǒng)等。
三是缺少有效技術(shù)手段,對網(wǎng)絡(luò)邊界完整性進行監(jiān)控與管理,不能及時發(fā)現(xiàn)私自內(nèi)聯(lián)與非法外聯(lián)等高風(fēng)險行為。對業(yè)務(wù)訪問、后臺運維等操作行為缺少必要的監(jiān)控與審計管理技術(shù)手段。
3 建設(shè)內(nèi)容(The content of the construction)
信息系統(tǒng)安全運維管理平臺應(yīng)該包括以下內(nèi)容:
3.1 綜合監(jiān)控管理子系統(tǒng)
綜合監(jiān)控管理子系統(tǒng)實現(xiàn)對IT基礎(chǔ)層的路由交換設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫、中間件、服務(wù)等以及資源關(guān)聯(lián)的應(yīng)用進程、端口、日志等的全面監(jiān)管,幫助管理人員及時了解IT架構(gòu)(各類IT資源)的運行情況,形成安全事件關(guān)聯(lián)分析,支持策略管理,能自動或手工設(shè)定啟動相關(guān)事件處理流程。
3.2 安全運維服務(wù)管理子系統(tǒng)
運維服務(wù)管理子系統(tǒng)是安全管理、日常工作和服務(wù)管理的有機結(jié)合。運維服務(wù)管理子系統(tǒng)應(yīng)基于ITIL(運維管理最佳實踐等)和實際管理需求,提供服務(wù)流程管理、業(yè)務(wù)資源管理、安全管理為主的綜合性管理,以保障運維管理的規(guī)范化和標(biāo)準(zhǔn)化,提升日常運維管理效能。
3.2.1 安全信息采集與分析
采集各種廠商、各種類型的日志信息,針對采集的各類安全要素信息,實現(xiàn)性能與可用性分析、配置符合性分析、安全事件分析、脆弱性分析、風(fēng)險分析和宏觀態(tài)勢分析。其中,風(fēng)險分析包括了資產(chǎn)價值分析、影響性分析、弱點分析、威脅分析等;宏觀態(tài)勢分析包括了地址熵分析、熱點分析、關(guān)鍵安全指標(biāo)分析、業(yè)務(wù)健康度分析、關(guān)鍵管理指標(biāo)分析。可集成第三方安全管理中心軟件。
(1)安全事件采集
根據(jù)前期從各種網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲、應(yīng)用等對象收集的各種安全資源、對象的安全事件、安全配置、安全漏洞、資產(chǎn)信息等數(shù)據(jù),進行范式化處理,把各種不同表達方式的日志轉(zhuǎn)換成的統(tǒng)一的描述形式。
(2)安全事件分析
透過智能化的安全事件關(guān)聯(lián)分析,提供基于規(guī)則的關(guān)聯(lián)分析、基于情境的關(guān)聯(lián)分析和基于行為的關(guān)聯(lián)分析技術(shù)。
管理對象的日志量和告警事件量應(yīng)在應(yīng)用系統(tǒng)拓撲圖顯示;用戶點擊拓撲節(jié)點可以查詢事件和告警信息詳情;可以對一段時間內(nèi)的安全事件進行行為分析,形象化地展示海量安全事件之間的關(guān)聯(lián)關(guān)系,從宏觀的角度來協(xié)助定位安全問題。
安全事件以可視化視圖展示,具備多種展現(xiàn)手段,至少包括事件拓撲圖、IP全球定位圖、動態(tài)事件移動圖、事件多維分析圖、資產(chǎn)拓撲圖等。
3.2.2 安全隱患預(yù)警與處置
采用主動管理方式,能夠在威脅發(fā)生之前進行事前安全管理。主要提供安全威脅預(yù)警管理、主動漏洞掃描管理、主動攻擊測試等方式配合進行安全核查。
安全威脅預(yù)警管理,用戶可以通過預(yù)警管理功能內(nèi)部及外部的早期預(yù)警信息,并與資產(chǎn)進行關(guān)聯(lián),分析出可能受影響的資產(chǎn),提前讓用戶了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。
主動漏洞掃描管理,能夠主動地、定期自動化地發(fā)起漏洞掃描、攻擊測試等,并將掃描結(jié)果與資產(chǎn)進行匹配,進行資產(chǎn)和業(yè)務(wù)的脆弱性管理。
配合安全檢查管理,夠協(xié)助運維管理人員建立安全配置基線管理體系,實現(xiàn)資產(chǎn)安全配置檢查工作的標(biāo)準(zhǔn)化、自動化,并將其納入全網(wǎng)業(yè)務(wù)脆弱性和風(fēng)險管控體系。
3.2.3 告警管理
為了全面的收集各類事件告警,系統(tǒng)應(yīng)提供所有事件告警的統(tǒng)一管理。
(1)告警內(nèi)容
告警內(nèi)容包含事件的節(jié)點、類型、級別、位置、相關(guān)業(yè)務(wù)等,幫助運維人員在收到故障報警時能夠迅速了解故障相關(guān)的資源、人員、業(yè)務(wù)等信息,快速作出反應(yīng)。
(2)告警處理
系統(tǒng)需要針對各業(yè)務(wù)系統(tǒng)涉及IT資源環(huán)境進行實時故障處理。它能從主機和業(yè)務(wù)系統(tǒng)的各個環(huán)節(jié)收集事件信息,通過對這些信息的過濾、處理、關(guān)聯(lián),分遞給相關(guān)人員,使得最重要的故障能夠優(yōu)先地被關(guān)注及處理。
告警消息能按照應(yīng)用類別、消息種類、消息級別和處理崗位進行分類處理。消息種類可分為:操作系統(tǒng)、數(shù)據(jù)庫、中間件、存儲、硬件、應(yīng)用、安全和網(wǎng)絡(luò)等。
(3)告警
能對告警級別進行自定義,根據(jù)級別確定電話告警,短信告警,郵件告警的方式進行報警。
3.2.4 風(fēng)險管理
信息安全風(fēng)險管理工作是在安全信息分析與處理功能的基礎(chǔ)上進行信息安全風(fēng)險評估、信息安全整改任務(wù)等工作。
信息安全風(fēng)險評估,根據(jù)安全信息分析結(jié)果開展風(fēng)險評估流程,將風(fēng)險評估結(jié)果形成豐富而詳細的圖形及報表。
信息安全整改,將信息安全風(fēng)險評估信息匯總,歸并各個部門需處置的信息安全風(fēng)險,進行集中處置工作并進行整改落實情況分析。
4 結(jié)論(Conclusion)
建立以資產(chǎn)管理為基礎(chǔ),項目管理為紐帶,以信息系統(tǒng)為核心,建立對IT業(yè)務(wù)的全生命周期的完整管理,從狀態(tài)監(jiān)控、行為審計、風(fēng)險評估、服務(wù)管理四個維度建立起來的一套適合安全運維工作需求的統(tǒng)一業(yè)務(wù)支撐平臺,使得各類用戶能夠?qū)ο到y(tǒng)的關(guān)聯(lián)性、健康性、可用性、風(fēng)險性、連續(xù)性、安全性等多維度進行精確度量、分析評估,實現(xiàn)事后運維向事中運維以至向事前防范的轉(zhuǎn)變,最終實現(xiàn)信息系統(tǒng)的持續(xù)安全運營。
參考文獻(References)
[1] 景義瓊.基于ITIL的網(wǎng)絡(luò)運維管理系統(tǒng)的設(shè)計與實現(xiàn)[D].復(fù)
旦大學(xué),2010:15-18.
[2] 李榮華.基于ITIL的IT運維管理系統(tǒng)的設(shè)計與實現(xiàn)[D].北京
郵電大學(xué),2010:13-15.
[3] 李.電子政務(wù)運維管理的關(guān)注因素[J].信息化建設(shè),2009
(02):1-2.
企業(yè)想只通過一些臨時措施來塑造好的安全與隱私能力是不可能的,必須要從被動的狀態(tài)向主動的狀態(tài)轉(zhuǎn)變。
展望2009年,在信息安全領(lǐng)域,有哪些發(fā)展變化是值得我們關(guān)注呢?
首先,互聯(lián)網(wǎng)攻擊與安全保護之間的對抗將變得更為劇烈。在2008年,企業(yè)在互聯(lián)網(wǎng)技術(shù)上已經(jīng)有了明顯的進步,比如部署了內(nèi)容過濾器、實施了網(wǎng)站認(rèn)證、加強了瀏覽器安全以及網(wǎng)絡(luò)安全服務(wù)等。此外,企業(yè)也在其他很多技術(shù)領(lǐng)域?qū)崿F(xiàn)了飛躍,比如保護無線設(shè)備、確保VPN遠程接入的安全以及發(fā)展防止入侵或檢測未授權(quán)設(shè)備的工具等。但隨著金融危機的爆發(fā),經(jīng)濟下滑,成本控制成為了企業(yè)應(yīng)對危機的主要措施之一,由此可能會導(dǎo)致企業(yè)的安全支出減少,并因此成為惡意網(wǎng)絡(luò)攻擊的薄弱環(huán)節(jié)。
此外,隱私保護尚有發(fā)展空間。2008年的調(diào)查結(jié)果顯示,企業(yè)在隱私保護方面的進展很小,71%的受訪者表示他們的企業(yè)沒有一個準(zhǔn)確的員工以及客戶的資料的詳細目錄。近年來,國際上已經(jīng)出現(xiàn)過幾起金融機構(gòu)儲戶資料被盜的案例,這給金融機構(gòu)與儲戶均帶來了巨大的損失。同時,這些也都反應(yīng)出,隱私保護仍有很大的發(fā)展空間。我們相信,加入由第三方評估的檢查隱私標(biāo)準(zhǔn)的評級或通過諸如內(nèi)部審計的管理機制進行內(nèi)部隱私評估,將令很多企業(yè)從中受益。
考慮到信息安全領(lǐng)域的現(xiàn)狀及未來所面臨的挑戰(zhàn),在2009年,我們對企業(yè)如何繼續(xù)提高信息安全水平給出一些建議。企業(yè)想只通過一些臨時措施來塑造好的安全與隱私能力是不可能的,必須要從被動的狀態(tài)向主動的狀態(tài)轉(zhuǎn)變――通過提高創(chuàng)新、分享及與使用者的合作幾方面來提高。同時,企業(yè)需要關(guān)注更具戰(zhàn)略性的方法,并協(xié)調(diào)好以下一些關(guān)鍵措施。
雇用正確的人才 想要更加主動,就需要更具前瞻性的能力與領(lǐng)導(dǎo)力。如果企業(yè)還沒有設(shè)立CISO或CSO的職位,現(xiàn)在可以考慮聘請相關(guān)人員,積極與業(yè)務(wù)及IT決策人一起工作,共同致力于企業(yè)的信息安全。
在全公司更深入地強調(diào)安全意識 帶來良好安全工作成果的最有效動力可能就是安全意識。雖然很多受訪者相信相當(dāng)比例的用戶符合其信息安全政策,但不是所有的公司都進行了相關(guān)的檢測。事實上,若設(shè)立專人負責(zé)員工的安全意識并要求員工完成隱私實踐方面的培訓(xùn),大多數(shù)企業(yè)會從中受益。在清晰地定義好企業(yè)的安全政策后,需要將安全意識與隱私議題發(fā)展成為主要的、深入人心的企業(yè)目標(biāo)之一,并做到持之以恒。
安全考慮事不宜遲 雖然企業(yè)在技術(shù)上的投入提高了安全保護的應(yīng)用軟件、數(shù)據(jù)與網(wǎng)絡(luò),但風(fēng)險仍然存在,尤其是無人顧及的領(lǐng)域。在公司發(fā)展的過程中,盡早地將安全問題納入日程是明智之舉,這樣就可以在發(fā)展的早期將風(fēng)險考慮進來,比在將來不得不重新設(shè)計或重新配置一個成熟的、已執(zhí)行了的系統(tǒng)要簡單得多。
加強安全事件反應(yīng)計劃 為了降低安全事故對企業(yè)的沖擊,企業(yè)應(yīng)該確保一套應(yīng)對安全事件的綜合方法,并由一個由多方面人才組成的團隊實施;具有應(yīng)對安全事件的連貫反應(yīng)流程;回顧安全政策并使之與安全事件反應(yīng)流程相吻合;確保將企業(yè)的服務(wù)提供商納入這一計劃,培訓(xùn)相關(guān)的人員并對相應(yīng)程序進行測試。
綜上所述,信息安全與隱私保護日益彰顯其重要性。企業(yè)在加強信息安全的過程中,一方面要密切關(guān)注國際最新的趨勢與動態(tài),了解與國際先進水平的差距與不足;另一方面要從人員、流程、技術(shù)、觀念、戰(zhàn)略與管理等方面多管齊下,從而做到防患于未然。
