時間:2022-02-27 04:42:28
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全事件管理,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
第一章
總
則
第一條
為明確網絡安全事故責任主體(以下簡稱“責任主體”),追究網絡安全事故的責任,結合醫院實際情況,制定本制度。責任主體的范圍包括科室或個人等。
第二條
負責追究責任主體事故責任的單位或個人統稱為責任追究主體,主要為衛計部門網絡安全領導小組和蒲窩鎮衛生院網絡安全工作領導小組。
第三條
本制度適用于蒲窩鎮衛生院所有科室,各科室根據本制度落實具體網絡安全工作。
第四條
網絡安全事故責任認定實行“誰主管誰負責、誰使用誰負責”的原則。
第五條
發生網絡安全事故后,應根據安全事件造成的影響及相關責任主體的態度,作出如下處理:
(一)
批評教育。包括責令責任主體檢查、誡勉談話等;
(二)
書面檢查。責令責任主體向主管領導作出書面檢查;
(三)
通報批評。在衛健系統范圍內對責任主體發文通報,責令整改;
(四)
一般處理。降低或扣除責任主體的月薪補貼,將事故寫入月度或年度考核中;
(五)
嚴肅處理。追究網絡安全事故發生負有領導責任的負責人的管理責任,發生嚴重網絡安全事故的,對相關責任人處以罰款、責令其賠償事故損失、通報批評、降職處理、直至開除。
(六)
報警處理。嚴重損壞社會或國家利益的,上報當地公安部門處理。
第六條
責任追究應當堅持公平公正、有責必究、過罰相當、教育與懲戒相結合的原則。
第二章
責任追究范圍和適用
第七條
責任主體有下列行為之一者,應對其進行批評教育或責令作出書面檢查:
(一)
發生一般或較大安全事件,未按要求上報的;
(二)
未按規定落實相關網絡安全管理制度及技術規范,且未導致安全事件發生的;
(三)
發生重大安全事件后,對調查工作配合不力的。
第八條
責任主體有下列行為之一者,應當責令其作出書面檢查或通報批評:
(一)
發生重大安全事件,未按要求上報的;
(二)
未按規定落實相關網絡安全管理制度技術規范,導致一般或較大安全事件發生的;
(三)
發生重大或特別重大安全事件,且發生安全事件后處理及時,未對醫院財產或聲譽造成影響的;
(四)
經過批評教育或責令作出書面檢查后,仍不按規定落實相關網絡安全管理制度及技術規范的;
(五)
發生特別重大安全事件后,對調查工作配合不力的。
第九條
責任主體有下列行為之一者,應當予以通報批評或一般處理:
(一)
發生特別重大安全事件,未按要求上報的;
(二)
發生重大或特別重大安全事件,且發生安全事件后處理不及時,給醫院財產或聲譽帶來一定影響的;
(三)
發生特別重大安全事件后,對調查工作不配合的。
第十條
責任主體有下列行為之一者,應當予嚴肅處理,情況十分嚴重者應報警處理:
(一)
發生重大或特別重大安全事件造成后果嚴重并刻意隱瞞或謊報,造成惡劣影響的;
(二)
未按規定落實相關網絡安全管理制度及技術規范導致發生重大或特別重大安全事件,且發生安全事件后處理不及時,給醫院財產或聲譽帶來惡劣影響的;
(三)
發生安全事件后銷毀證據、弄虛作假的。
第十一條
對應追究責任主體責任而敷衍結案、弄虛作假的,應當對責任追究主體通報批評。
第十二條
有下列情形之一者,不追究責任主體的責任:
(一)
因不可抗力導致發生的網絡安全事故;
(二)
有充分證據證明完全落實了相關安全要求,由未知原因導致網絡安全事故發生的。
第十三條
責任主體主動承認過錯并及時修補管理或技術漏洞,減少損失、挽回影響,態度非常好的,應當予以從輕或減輕責任追究。
第三章
責任追究程序和實施
第十四條
責任追究過程采用層層負責制,下級責任追究主體對上級責任追究主體負責。
第十五條
責任追究程序包括調查、對調查報告審核、作出責任追究決定等。
第十六條
對網絡安全事故的調查和對事故責任的初步定性由醫院網絡安全工作領導小組及醫院網絡安全工作領導小組辦公室負責,并對調查報告進行審核。
第十七條
調查報告的審核重點:
(一)
事故的事實是否清楚;
(二)
證據是否確實、充分;
(三)
性質認定是否準確;
(四)
責任劃分是否明確。
第十八條
責任追究決定:
(一)
對責任主體作出批評教育、責令作出書面檢查、通報批評時,由醫院網絡安全工作領導小組直接決定。
(二)
對責任主體作出一般處理、嚴肅處理時,由責任主體所在科室或上級部門網絡安全工作領導小組安全辦公室、人事、主管部門共同作出決定,并報網絡安全工作領導小組審批通過后執行。
第十九條
對責任主體的追究決定由人事、財務、相對應的主管部門、網絡安全工作領導小組辦公室等職能部門分別負責實施。
第四章
附
則
第二十條
本制度解釋權歸屬蒲窩鎮衛生院醫院網絡安全工作領導小組辦公室。
第二十一條
本制度自之日起執行。
信息化時代的到來,推進了網絡技術的高速發展和應用,但各種計算機病毒和黑客的入侵也層出不窮,讓人防不勝防,建立強有力的預警系統,,全方位地保障網絡安全,是我們首先要做到的。預警定位的目的就是警戒距離,及時正確的探測目標活動范圍,探測事實的真假,獲得有關數據,處理相關信息,并迅速并自己獲得的探測情報快速傳送到信息安全控制中心,為其提供正確的決策信息。網絡隔離,就是把有害的攻擊隔離在可信網絡之外,同時也保證可信網絡內部信息不外泄,還能夠完成可信網絡之間的數據安全交換。
1 國內外網絡安全問題現狀
國外的網絡安全預警系統及入侵檢測技術的研究比我國要早,在重要政治,軍事以及經濟網絡的非法入侵加強了防范和監控。在美國還專門設立了計算機安全中心以及預警系統,專門對付非法網絡入侵,負責搜索預警情報,網絡攻防技術,網絡信息戰指導以及網絡戰戰術預警中心等。美英對網絡安全問題都特別重視,自九七年以來,一直致力于網絡安全預警技術的研究和開發,并取得了不錯的成績,在預警技術研究上也遙遙領先于其他國家。
目前,我國還沒有專門的大規模預警系統工程,只是在某些領域局部地建立了入侵檢測預警系統。但是,要想跟上時代的步伐,適應信息化時展的需要,保障我國各方面網絡系統的正常運行,我們必須大力投入網絡入侵預警定位和隔離控制系統的研究,提升我們國家網絡系統的反應能力,減少惡意網絡攻擊對我們造成的傷害,加強我們的跟蹤和反擊能力。
2 網絡安全預警系統的研究
現在大規模的網絡安全事件時有爆發,而小規模的網絡安全事件,更是層出不窮,為了防范和應對頻繁爆發的網絡安全問題,我們必須在全國范圍甚至全世界范圍內建立一個統一的網絡安全系統,保障我們的網絡能夠安全可靠地運行。
如何確保網絡安全?特別是面對大規模大范圍內的網絡安全威脅問題如早幾年轟動一時的蠕蟲事件,我們又該怎樣來應對呢?我們要對安全事件的重災區實行強有力的反擊,我們還要通過分析安全事件的特征,建立大規模網絡安全事件預警機制,通過監控手段實時掌握安全事件的活動范圍,對警戒災區進行快速定位,安全隔離,力爭把損失降到最少。
2.1 網絡安全事件的模式
網絡安全事件的模式大致分為已知安全事件和未知安全事件兩種模式。而網絡預警技術就是要通過分析大規模網絡安全事件的特性,從中找到和發現規律,從而能夠準確地檢測安全事件和正確地預警。網絡預警技術能夠從網絡的正常活動和異樣的活動中發現其規律,來進行入侵預警,提高工作人員的判斷能力,力爭把網絡安全威脅拒之門外。
2.2 網絡安全事件的控制
對于傳染蔓延性網絡安全事件,我們一定要在第一時間控制。傳染蔓延性網絡安全大體可以分為三個傳播階段:緩慢開始階段,快速傳播階段,緩慢結束階段。剛開始緩慢傳播階段,因為受控主機數量少,輻射傳播范圍也小,傳播速度也緩慢,就容易控制。所以,我們就要對安全事件擴散蔓延進行第一時間的預測,判斷,直至預警,統一安排隔離,快速撒下大網覆蓋所有受感染主機,確保將傳染性蔓延消失在萌芽狀態。
2.3 網絡安全整體戰略
對于大規模的網絡安全事件,我們一定要樹立整體戰略觀念,在全網范圍內要統一行動,共同對外,共御強敵。對于網絡安全事件,各個部分都要統一行動起來,團結一致貢獻自己的力量,把非法入侵分子趕出網絡。
對于預警災區邊界地帶,也要加強防范,統一布置,該隔離就隔離,該治療就治療等,確保網絡安全。
3 實現網絡安全的方法和技術
在DCEORICS中,每一個獨立的自治網絡通過協同控制,共同工作,醞造一個安全舒適的網絡世界。各個不同的自治網絡還可以實現資源和信息安全共享,實現更大領域的協調互補,建立大規模網絡統一安全體系。
3.1 入侵蔓延預測模型的建立
我們在全網建立完善的入侵監控模型,通過審核監控進入和外發流量,及時將數據輸送給預警監控中心,讓監控中心通過統計分析這些數據,建立其預警預測機制,確保網絡安全。
3.2 全網統一安全控制策略
對各分布式網絡實行統一管理,建立統一的公共安全控制模型。對主機傳播的文件數據進行嚴格的審查,針對各個不同安全事件的活動特性,采取不同的隔離防范措施,研究隔離控制策略的自動生成方式,自動生成隔離控制策略,建立隔離數據庫。多側面,多層次,全方位地研究隔離的策略,管理方式等,力爭把安全事件消滅在萌芽狀態,及時隔離控制。
3.3 協同預警與隔離控制模型
協同預警與隔離控制模型既要服從,又要相互尊重,相互協作。上層系統由協同預警模塊與隔離控制模塊組成。安全控制策略模型把全網絡分成安全區,警戒區,危險區,問題區,并且對各個不同的區采用不同的隔離策略,全網還有一個最高指揮系統――安全控制中心,負責統一調配等。
4 結語
對于大規模網絡的預警定位與快速隔離控制,我們不再是束手無策了,DCEORICS已然能夠輕松自如地進行準確的監控和預警,并且能夠及時定位,而且還能立馬采取應對措施,實行安全控制和隔離,確保網絡正常運行。
參考文獻
[1]趙剛.試論網絡信息安全控制技術及應用[J].湖北科技學院學報,2013,33(11):194-195.
[2]姚志強,張文.企業網的安全控制技術[J].高師理科學刊,2002,22(2):13-15.
一、高度重視,迅速貫徹落實
通過召開專題會議、發送微信通知,及時將上級的文件精神傳達給每位干部職工,讓全體黨員干部充分認識到做好當前網絡信息安全保障工作的重要性和必要性,并作為當前的一件頭等大事來抓,確保網絡安全。
二、強化管理,明確責任
為進一步完善網絡信息安全管理機制,嚴格按照“誰主管誰負責、屬地管理”的原則,明確了第一責任人和直接責任人,加強對本單位的內部辦公網及其它信息網站的監督管理,防范黑客的入侵。嚴禁傳播、下載、發表一切不利于黨和國家的信息資料,堅決制止違紀違規行為發生,確保網絡信息安全。按照上級要求,迅速成立了網絡安全工作小組,負責網絡安全應急工作,組織單位有關方面做好應急處置工作,組織開展局域網絡安全信息的匯集、研判,及時向縣網信辦報告。當發生重大網絡安全事件時,能及時做好應急響應相關工作。由辦公室負責本區域網絡安全事件的監測預警和應急處置工作,分管副局長為網絡安全工作小組的副組長,負責辦公室。建立了本單位計算機信息網絡系統應用管理崗位責任制,明確主管領導,落實責任部門,各盡其職,常抓不懈,并按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,切實履行好網絡信息安全保障職責。
三、信息報告與應急支持
1.積極響應上級領導的有關要求,實時觀測本區域網絡安全信息,努力做到有效應對網絡安全事件,一旦發生重大安全網絡事件及時向縣網信辦報送網絡安全事件和風險信息,并及時上報相關部門,積極配合協同做好應急準備工作或處置。
2.積極建立健全本系統、本部門、本行業重大網絡安全事件應急響應機制。應急處置時,需要其他部門、行業或技術支撐隊伍支持的,一定及時報請縣網信辦協調,同時配合其他部門盡快解決。
四、細化措施,排除隱患。
辦公室將對對全局的網絡設備、計算機進行一次細致的排查。檢查安裝桌面終端安全管理系統和殺毒軟件,確保桌面終端安全管理系統注冊率和360殺毒軟件覆蓋率達百分之百。對于在檢查中發現的問題或可能存在的安全隱患、安全漏洞和薄弱環節,立即進行整改。進一步完善相關應急預案,落實應急保障條件。杜絕出現違規“自選動作”,遇重大突發敏感事件,一律按統一部署進行報道。各科室要嚴把網上宣傳報道導向關,嚴格規范稿源,不得違規自采,不得違規轉裁稿件,不得擅自篡改標題。嚴格網上新聞報道審校制度,防止出現低級錯誤,同時加大了對新聞跟帖的管理,組織本單位網評員積極跟帖。
五、應急值守
1.單位網絡安全應急負責人、聯系人要保持網絡暢通,及時接收風險提示、預警信息和任務要求,并按要求報告相關情況。負責人、聯系人名單或聯系方式有調整的,及時函告縣網信辦。
2.值班期間,實行每日“零報告”制度,每日下午17:00前,報送當天本部門網絡安全運行情況、受攻擊情況和事件情況,一旦發生網絡安全事件,立即啟動應急預案,迅速應對,有效處置,并按規定程序及時報告有關情況。
六、工作要求
隨著互聯網技術的不斷發展,互聯網在生活與工作中的應用范圍越來越廣,并逐漸改變著人們的生活與工作方式,其影響意義比較深遠。但是互聯網也存在較大的安全隱患,會導致網絡癱瘓或者信息丟失,嚴重影響人們的生活與工作。在傳統的網絡安全管理中通常會采用防火墻、惡意代碼檢測與入侵檢測等技術,但其安全防范效率不夠理想。為了提高網絡安全管理水平,促進網絡整體的正常運行,需要及時采取加固措施,以便對整體網絡安全進行有效的評估與預測。然而網絡安全態勢感知隨之產生,并逐漸受到人們的關注。本文就網絡安全態勢感知模型概況進行分析,探討網絡安全態勢感知模型的設計與關鍵技術的實現情況,以便提高網絡安全與管理質量。
關鍵詞:
網絡安全;態勢感知模型;設計與實現
0引言
在當今科學技術高度發展的時候,互聯網已經普遍應用與社會各個領域中,在給人們生活與工作帶來較大便利的同時,由于網絡攻擊、惡意行為等安全事件頻發,嚴重威脅到網絡安全,給人們的信息與隱私帶來較大的不良影響。因此,需要加強對網絡安全技術的研究,以便有效的提高網絡安全,減少安全隱患的發生。目前,大多數研究者將關注點放在網絡安全態勢感知研究上,其成為解決現有網絡安全事件的研究關鍵。其是一種有效的事前防御措施,對網絡安全環境信息進行收集,并對系統可能存在的威脅進行分析,從而預測未來網絡安全狀況的發展趨勢,以便減少網絡安全風險。
1網絡安全態勢感知模型概況
網絡安全態勢感知最早是在航空領域中提出與研究,其主要是通過對態勢感知理論進行研究,以便對飛行器進行分析,之后隨著該理論的逐漸成熟,逐漸廣泛用于軍事、交通、核工業等領域中。越來越多的人們關注態勢感知的研究。逐漸網絡態勢感知被提出,最早分為態勢要素獲取、態勢理解與態勢預測三級模型。隨著研究力度的不斷加大,在原有的基礎上進行異構傳感器管理的功能模型,主要是對異構網絡的安全態勢基礎數據進行采集,并對數據進行整合處理,以便對信息進行對比而形成威脅庫與靜態庫。
1.1網絡安全態勢的提取
網絡安全態勢信息的提取主要是態勢感知的基礎,對數據進行全面的收集,并使用成熟的指標體系,可以有效的確保結果的正確性,因此,需要重視態勢感知提取的重要性。網絡安全態勢感知的來源比較多元化,采取不同的收集昂發與設備,其收集到的數據格式也會不同。網絡安全態勢信息主要有流量、運行狀態、配置與用戶行為等內容。
1.2網絡安全態勢的理解
首先,需要對網絡安全事件進行關聯性分析。由于網絡安全事件的報警數據據具有重復性,沒有經過處理的態勢對對系統的正常運行帶來一定的負擔,并影響到分析結果。因此,需要對其進行關聯分析,以便對安全時間進行過濾。通過防火墻、入侵系統以及脆弱性分析等方式來處理。以便對虛假的網絡安全時間進行篩選,需要對基礎數據進行有效的過濾。
1.3網絡安全態勢預測
其主要是根據網絡目前與歷史完全數據進行分析,對其味蕾的發展情況以及可能出現的完全事故等進行預測。通過態勢預測可以盡可能早的發現網絡環境中可能出現的安全隱患,并對其及時采取有效的預防,從而可以達到較好的安全管理作用。
1.4態勢可視化
可視化是系統管理提供的一個可以感知的態勢感知平臺,能夠方便管理,對系統的整體情況通過可視化來感知。并且其展示的方式逐漸多元化,包括分支展示、曲線展示、統計展示等。
2網絡安全態勢感知模型的設計方案
2.1網絡安全態勢感知系統的定位設計
在網絡安全態勢感知模型中,其主要是應用與網絡安全管理中,其系統定位主要包括:在系統運行的時候,展示整體運行情況,并對管理人員提供可視化的管理平臺,以便積極采取響應措施。同時,需要對數據進行有效的采集,以便提高該系統運行的準確性。并且需要選擇高性能的評估與預測算法,對態勢感知進行綜合評估與預測。
2.2設計原則
首先,高效性原則。通過對復雜的網絡結構進行分析,在數據收集的時候,需要確保數據收集的高效性,從而促進系統的安全運行,以便快速的發現安全隱患,作出充足的應急方案。其次,實時性原則。重點需要在網絡動態情況下及時發現系統可能存在的安全隱患,以便及時采取措施來確保系統網絡的安全性。并且在感知的過程中需要對每個階段與流程堅持實時性原則,以便及時、準確的展示系統的運行狀態。再次,可擴展性原則。在態勢感知系統中主要是一個管理支撐平臺,必須要確保系統具備可擴展性,以便設計出靈活的接口形式,形成可擴展的網絡安全平臺。
2.3總結架構
網絡安全態勢感知模型是以態勢評估為主線,也是自主研發的態勢感知平臺,在設計的時候運用的是松耦合設計原則,各個模塊之間具有較強的獨立性,并且模塊之間通過數據接口來交互。該系統主要分為界面層與功能層兩方面。界面層中,是網絡安全態勢感知的展示與配置功能,主要是對網絡設備進行配飾,并對網絡拓撲結構進行繪制。同時,還具備動態計劃任務設置、管理、安全態勢指標配置等功能。而在功能層中,其主要是網絡安全態勢感知系統的核心所在,主要功能包括關聯分析、統計分析、數據采集、指標配置、態勢預測、評語與展示等。
2.4功能模塊關系
系統功能模塊之間的關系為核心模塊提供了基礎的保障,其主要的模塊是網絡安全態勢評估模塊。系統中的數據流主要是通過數據采集器在各種網絡環境中采集而來,并將其提高給態勢分析模塊,數據處理后需要向上層態勢模塊提交評估數據。在整個系統的交互過程中,數據采集器對數據進行基礎數據存儲與關聯分析,并對安全時間的數據庫進行存儲,同時,需要對網絡安全態勢評估后的結果進行存儲。
3網絡安全態勢感知模型設計的實現
3.1網絡安全態勢評估工作流程
其主要流程包括:(1)數據采集與關聯分析。對各種網絡環境中的數據進行有效的采集,并對其進行簡單的數據處理后,將其存入基礎數據庫。之后對網絡安全事件進行關聯性分析,從而形成網絡安全事件數據庫(。2)確定指標體系。對系統中需要的指標進行確定,以便根據評估算法來建立評估指標。(3)對模糊評估進行統計分析。在網絡安全系統中,通過對數據庫進行關聯性分析,可以形成可用性、安全性與可靠性的基礎數據庫(。4)安全響應。通過對態勢感知的評估結果進行分析后及時采取有效的影響措施來處理。(5)結果顯示。通過可視化功能對整體網絡安全態勢的運行情況進行展示。
3.2關鍵模塊功能的實現
通過對可用性、設備信息以及脆弱性信息進行有效的采集后,通過數據模塊采集,并給網絡安全態勢評估提供相關的數據庫資源。在指標配置模塊中,需要對動態配置指標進行有效的配置。而在關聯性分析模塊中,需要對網絡安全事件進行關聯性分析,從而形成網絡安全事件數據庫。在態勢評估模塊中,網絡安全態勢需要通過評估來了解系統目前的系統信息。而響應模塊需要對當前情況進行分析,以便響應網絡安全事件,并向管理人員提供安全響應。在態勢展示模塊中需要對整體的結果進行展示,對網絡節點信息展示并具有一定的告警展示。
3.3數據收集模塊的實現
在數據收集模塊中,主要是針對安全態勢感知而提出基礎數據源,在態勢評估過程中屬于第一個步驟。由于在網絡環境中,主要包括各種設備,例如防火墻、主機、網關燈,這些異構設備在運行環境、使用的協議以及數據格式等方面具有較大的不同。在對數據進行收集的時候,需要對無用的數據進行過濾,并對格式進行統一化,從而取得網絡的拓撲結構,對設備的相關信息進行完善,以便促進管理人員的安全管理。在數據收集模塊的設計與實現的時候,需要對網絡中的流量數據、日志數據以及漏洞數據等進行收集,并對其進行過濾,統一形成一種數據格式,之后將這些數據統一發送到服務器端。數據收集模塊的實現主要是通過管理中的計劃任務功能來完成的,在某個主機發生危險的時候,通過對數據的收集,從而快速的、準確的分析網絡安全事件,并積極采取有效的措施來解決。
3.4指標配置模塊的實現
在指標配置模塊中,其主要的功能是對網絡的安全態勢進行一級、二級指標配置,以便對其進行動態管理,輸入操作態勢評估,并且需要完成擴展功能,以便為今后的指標體系擴展提供相關的接口服務。該模塊主要是通過對指標間層次關系進行展示來實現的,并對數據源進行指標,以接口的形式來獲取數據,從而確保該模塊的正常運行。
3.5關聯分析模塊的實現
在網絡安全態勢感知模型中,關聯分析模塊是其中比較重要的一部分,對系統中網絡安全事件能夠有效的進行融合性分析,并對其進行分類與統計,可以過濾冗余的信息,對警報間的關系進行分析,從而緩解系統的工作。
3.6態勢評估模塊的實現
在該模塊中,需要對數據進行采集,并對其統計分析后形成數據庫,通過一定的計算方法進行網絡安全評估。通過對當前的網絡狀況進行評估來對該系統進行分層分析,從而達到網絡安全態勢評估的目的。通過層次分析的作用對指標權重值進行確定,并結合模糊匹配的評價方式來實現網絡安全態勢評估。
4總結
為了能夠有效的提高網絡安全管理質量與水平,減少網絡安全事故的發生,需要加強對網絡安全態勢感知模型進行分析研究,以便將其充分應用于網絡安全管理中。態勢感知模型是一種定量的分析方式,能夠進行準確的度量分析,在網絡安全管理中起著至關重要的作用。根據當前的網絡安全環境與實際需求來設計網絡安全態勢感知模型,可以有效的滿足實際需求,解決網絡安全隱患。
作者:徐振華 單位:北京信息職業技術學院
參考文獻
[1]王慧強,賴積保,胡明明,等.網絡安全態勢感知關鍵實現技術研究[J].武漢大學學報,2013,33(28):129-130.
[2]陳彥德,趙陸文,潘志松,等.網絡安全態勢感知系統結構研究[J].計算機工程與應用,2014,22(18):784-785.
[3]蒙仕偉.網絡安全態勢感知模型研究[J].硅谷,2013,19(12):832-833.
【關鍵詞】 醫院信息化建設 IT運維與安全管理
引言:
目前,隨著信息技術的日新月異和網絡信息系統應用的發展,醫院、企業網絡技術的應用層次正在從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。面對日趨復雜的IT系統,不同背景的運維人員已給企事業信息系統安全運行帶來較大的潛在風險,如醫院信息系統是醫院日常工作的重要應用,存儲著重要的數據資源,是醫院正常運行必不可少的組成部分,所以必須加強安全保障體系的建設。于是,堡壘機在醫院中的應用,為醫院工作的應用提供了安全可靠的運行環境。
傳統的網絡安全審計系統給醫院的的運維安全問題帶來了很多風險,如:賬號管理無秩序,暗藏巨大隱患;粗放式權限管理的安全性難以保證;設備自身陳舊,無法審計運維加密協議、遠程桌面內容等,從而難以有效定位安全事件。
以上所面臨的風險嚴重破壞政府、醫院、企業等的信息系統安全,已經成為其信息系統安全運行的嚴重隱患,尤其是醫院,將影響其效益。尤其醫院信息系統是一個復雜的系統工程,涉及人、技術、操作等要素,單靠技術或單靠管理都不可能實現。
因此在考慮安全保障體系時,必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。
如何有效監控業務系統訪問行為和敏感信息的傳播,準確掌握網絡系統的安全狀態,及時發現違反安全策略的事件并實時告警、記錄,同時進行安全事件定位分析,事后追查取證,滿足合規性審計要求,是企事業迫切需要解決的問題,即IT運維安全管理的變革已刻不容緩!
堡壘機提供一套先進的運維安全管控與審計解決方案,它通過網絡數據的采集、分析、識別,實時動態監測通信內容、網絡行為和網絡流量,發現和捕獲各種敏感信息、違規行為,實時報警響應,全面記錄網絡系統中的各種會話和事件,實現對網絡信息的智能關聯分析、評估及安全事件的準確全程跟蹤定位,為整體網絡安全策略的制定提供權威可靠的支持。
隨著堡壘機在醫院中的應用,其主要實現了以下功能:
1)賬號管理集中
堡壘機建立于唯一身份標識的全局實名制管理,支持統一賬號管理策略,實現與各服務器、網絡設備等無縫連接,集中管理主賬號(普通用戶)、從賬號(目標設備系統賬號)及相關屬性。
2)訪問控制集中
堡壘機通過集中對應用系統的訪問控制,通過對主機、服務器、網絡、數據庫等網絡中所有資源的統一訪問控制,確保用戶擁有的權限是完成任務所需的最小權限,實現集中有序的運維操作管理,防止非法、越權訪問事件的發生。
3)安全審計集中
基于唯一身份標識,堡壘機通過對用戶從登錄到退出的全程操作行為審計,監控用戶對被管理設備的所有敏感的關鍵操作,提供分級告警,聚焦關鍵事件,能完成對醫院內網所有網上行為的監控和對安全事件及時預警發現、準確可查的功能。
通過此體系監控到的數據能對醫院內部網絡的使用率、數據流量、應用提供比例、安全事件記錄、網絡設備的動作情況、網絡內人員的網上行為記錄、網絡整體風險情況等這些情況有較全面的了解。
信息安全是一個動態的過程,要根據網絡安全的變化不斷調整安全措施,適應新的網絡環境,M足新的網絡安全需求。
安全管理制度也有一個不斷完善的過程,經過安全事件的處理和安全風險評估,會發現原有的安全管理制定中存在的不足之處。根據安全事件處理經驗教訓和安全風險評估的結果,對信息安全管理策略進行修改,對信息安全管理范圍進行調整。
參 考 文 獻
[1]趙瑞霞.構建堡壘主機抵御網絡攻擊[J].網絡安全技術與應用,2010,08.
隨著網絡的大規模應用,承擔著大量教學任務的高校計算機開放實驗室的信息網絡安全問題日益突出。這些安全問題直接影響著學校教育教學活動的正常開展。因此,對計算機實驗室信息網絡安全問題進行研究分析具有十分重要的意義。
2 實驗室信息網絡安全事件的調查及特點分析
為了研究實驗室信息網絡安全問題。本人在調研訪問其它農業院校時對其實驗員關于安全問題進行了調查。在北京農學院,每日的工作中,觀察、詢問、指導上機學生的信息網絡安全問題并且記錄下來,同時本人將整個實驗中心每日維護記錄中分散的信息網絡安全事件進行統計和分析,形成如表1所示的兩個學期中發生在北京農學院計算機實驗室的信息網絡安全事件的統計表。通過對實驗室信息網絡安全問題的所有調查資料的整理和分析,發現農業院校實驗室信息網絡安全問題有如下特點。
2.1 感染惡意代碼是實驗室面臨的主要威脅
惡意代碼(也稱惡意軟件)是指能夠影響計算機操作系統、應用程序和數據完整性、可用性、可控性和保密性的計算機程序或代碼。主要包括計算機病毒、蠕蟲、木馬程序等。
調查發現:感染惡意代碼是農業院校實驗室面臨的最主要的信息網絡安全問題。比如:在北京農學院實驗室中,與其他農業院校類似,頻繁更替上機的是大量的本科學生兼少量的研究生,這些學生的計算機感染上惡意代碼事件就有168件,占所有實驗室信息網絡安全事件的57%(見表1) ,高居首位。
調查還發現:截止到2014年上學期結束,在本校及其他農業院校計算機實驗室出現的最多的惡意代碼,主要有:
1) “木馬下載者”(Trojan_Downloader)及變種;2) Trojan_Hijclpk及變種; 3) “木馬”(Trojan_Agent)及變種;4) Trojan_Generic.TNK;5) “灰鴿子”(Backdoor_GreyPigeon);6) Hack_Kido及變種;7) “U盤殺手”(Worm_Autorun)及變種。
2.2 垃圾郵件、網頁遭篡改、網絡攻擊或端口掃描問題依然存在
在調查過程中發現:1) 實驗室中有的學生的信箱空間被大量的垃圾郵件侵占,影響了正常地學習交流郵件的發送。他們每天都要花費時間來處理這些垃圾郵件。這些垃圾郵件的內容包括:賺錢信息、成人/游戲廣告、商業或個人網站廣告、連環信、電子雜志等。并且以各種宣傳廣告等對收件人影響不大的良性垃圾郵件居多,惡性的垃圾郵件較少。2) 學生的網頁遭篡改問題主要是瀏覽器主頁被篡改。通常學生在安裝新軟件時會導致瀏覽器主頁被篡改,大部分篡改是出于給自己的主頁做廣告的目的。3) 攻擊者為了掃描查看端口是否處于激活狀態、主機提供了哪些服務、提供的服務中是否含有某些缺陷,以便進行下一步攻擊,從而對實驗室中學生的主機從0開始的每個端口都發送了TCP SYN或UDP報文。
雖然計算機信息網絡安全防御技術進步很快,但是從調查結果來看垃圾郵件、網頁遭篡改、網絡攻擊或端口掃描問題并沒有從農業院校實驗室消失,而是依然存在,并且不容忽視。例如,本校,遭到網絡攻擊或端口掃描事件12件,占總事件的4%;垃圾郵件事件52件,占總事件的17.7%;網頁遭篡改事件45件,占總的實驗室網絡安全事件的15.3%(見表1) 。
2.3 網絡盜竊或網絡釣魚問題增長較快
網絡釣魚是通過偽造來自于銀行或其他知名機構的電子郵件、Web 站點,意圖引誘對方給出敏感信息(如用戶名、口令、帳號、ID、ATM PIN 碼或信用卡詳細信息)的攻擊方式。
調查結果顯示:農業院校計算機實驗室的網絡盜竊或網絡釣魚問題增長較快。比如:本校,網絡盜竊或網絡釣魚事件共16件,占所有實驗室信息網絡安全事件的5%(見表1) ,是去年發生的該類事件的8倍,增長較快。
在本校及其他農業院校計算機實驗室中,學生遇到的釣魚網站主要有以下幾個:
1) 假冒支付寶類釣魚網站:http://aasswweess11.tk/pay/;騙取銀行卡號及密碼。2) 假冒中國好聲音類釣魚網站:http://zjtvt55.com/;虛假中獎信息,誘騙用戶匯款。3) 假冒爸爸去哪兒類釣魚網站:http://babwe.com/;虛假中獎信息,誘騙其匯款。4) 假冒工商銀行類釣魚網站:http://23.244.155.48/;騙取銀行卡號及密碼。
調查發現,在實驗室遭遇網絡盜竊的大多數為大一新生兼少量大二學生,他們相信某些網站、投放的廣告或鏈接,在使用QQ、阿里旺旺等客戶端聊天工具時,網游、支付寶或銀行密碼和帳號泄漏或被盜竊控制,造成了經濟損失。
[類型\&感染惡意代碼\&遭到網絡攻擊或端口掃描\&網頁遭篡改\&垃圾郵件\&網絡盜竊或網絡釣魚\&數量(件)\&168\&12\&45\&52\&16\&比例\&57%\&4%\&15.3%\&17.7%\&5%\&]
3 導致信息網絡安全事件發生的原因分析
在調查導致這些農業院校實驗室信息網絡安全事件發生原因的過程中,本人主要從支持安全事件發生的要素著手進行分析。
1) 未修補安全漏洞是計算機實驗室網絡安全事件發生的最主要原因。操作系統、瀏覽器和應用軟件中都存在大量的漏洞,是不法分子用來傳播病毒、掛馬和發動攻擊的最主要途徑。
2) 弱口令或缺少訪問控制也是導致實驗室的信息網絡安全問題發生的原因之一。
3) 頻繁更替的上機學生通過網絡下載或瀏覽器使得病毒傳播。他們直接下載的未經殺毒的應用軟件中可能含有病毒、木馬等惡意程序,尤其各類游戲網站更是病毒木馬散布的溫床。
4) 由于農業院校公共計算機實驗室通常只針對系統分區(C盤)開啟還原保護功能,提供給學生使用的其他分區未啟用該功能。因此,當計算機重新啟動以后,未受保護的磁盤分區可能仍保存有病毒程序的寄生文件。一旦學生操作不慎,就有可能激活未保護分區上的病毒。
5) 一些農業院校的部分計算機專業實驗室是不自動還原的,學生可以下載、安裝和設置實驗相關軟件,以鍛煉農業信息化專業學生的實踐能力,但這種設置給惡意代碼帶來了機會。
6) 有的學生總輕易打開一些來歷不明的郵件 及附件,這樣木馬、蠕蟲等惡性代碼就潛入。
7) 實驗室中,學生使用的QQ、MSN等即時通信軟件易被病毒攻擊,并且學生容易點擊其中的惡意網站鏈接。這些病毒可監視或截獲鍵盤、鼠標的輸入等,從而竊取用戶信息。
8) 學生在實驗室使用u盤等移動存儲設備時,常常直接打開移動分區查看里面內容,這個行為會激活寄存在u盤內的autorun病毒,引發其在操作計算機上的再次傳播。
另外,從主觀上分析原因。實驗管理員依賴硬盤保護卡、殺毒軟件等已有防護,導致安全漏洞補得不及時,病毒特征庫升級不及時。同樣,學生缺乏病毒防范意識和計算機設備安全操作規范。以上這些都是導致計算機實驗室信息網絡安全事件發生的原因。
4 結束語
本文對農業院校計算機實驗室信息網絡安全事件進行統計,分析出其特點,找出了導致信息網絡安全事件發生的原因,以便提高農業院校計算機實驗室信息網絡安全管理水平。
參考文獻:
[1] 杜治國,徐東風,等. 實驗室信息系統安全與規范化管理模式探究[J].實驗技術與管理,2013(7):217-220.
[2] 鐘平.高校網絡安全實驗室建設探索[J].實驗室科學2010(1):122-124.
關鍵詞:網絡;安全管理;技術
隨著科學技術的迅猛發展,網絡信息技術的全球化運轉,網絡信息技術已經深入了各行各業的運營管理發展中。網絡信息技術具有快速、準確、系統等多方面的信息傳遞優勢,運用網絡信息技術進行企業經營管理,直接影響了整個企業的經濟效益和經營管理效率。但是,隨著企業管理網絡的不斷擴大和衍生,網絡安全管理難度系數越來越大,經常會因為各種網絡安全問題導致企業網絡癱瘓,企業一旦遭遇網絡癱瘓的癥狀,會對企業的經營管理造成極大的影響,直接損壞了企業的經濟效益[1]。因此,各企業運營中越來越重視其網絡安全管理工作,本文重點分析了網絡安全管理技術問題,并提出了解決方案。
1 網絡安全管理主要解決的問題
網路安全管理對企業網絡系統的正常運營具有重大意義,其安全管理工作包括防火墻的設置、網絡密碼加密、電子服務器認證系統以及病毒防控等內容,在安全管理工作當中一旦忽略了當中某一個安全管理環節,會導致網絡安全出現漏洞,嚴重影響整個網絡系統的正常運營工。因此,如何保證網絡安全管理工作備受業界關注。目前網絡安全管理工作需要解決的主要問題包括:
⑴進行嚴密的安全監控是網絡安全管理工作的一個重要部分。通過安全監控工作企業可以及時了解企業內部網絡的安全狀況,一旦出現問題,可以及時發現并采取相應的措施進行監控。
⑵對企業網絡進行補丁管理的配置,在網絡安全監控工作中一旦出現企業安全漏洞,可以通過補丁快速進行修復,這樣一方面可以大大提高網絡系統安全防御能力,同時又能較好的控制企業用戶的授權問題。
⑶對企業網絡進行集中策略的管理,通過以網絡系統為主單位,建議一個自上而下的安全管理策略,將安全管理策略融入到企業網絡系統的不同執行點當中,對網絡安全管理工作具有重要意義。
2 網絡安全管理的核心要素
網絡安全管理的主要包括安全策略、安全配置以及安全事件等元素,其具體內容包括以下幾個方面:
2.1 安全策略
在網絡安全管理技術當中實施安全策略是網絡安全的首要因素。通過網絡安全管理策略的制定,可以明確網絡安全系統建立的理論原因,明確網絡安全管理的具體內容以及可以得到什么樣的保護。通過安全策略對網絡管理規定的安全原則,來定義網絡安全管理的對象、安全管理方法以及網絡安全狀態。另外安全策略指定的過程中要遵守安全管理工作的一致性,避免系統內部安全管理工作當中出現沖突和矛盾,否則容易造成網絡安全管理工作的失控[2]。
2.2 安全配置
網絡安全配置是指構建網絡安全系統的各種設置、網絡系統管理的安全選項、安全策略以及安全規則等配置,對網絡安全管理具有重要意義。一般情況下,網絡安全管理配置主要包括網絡運營系統中的防火墻設置、網絡數據庫系統、操作系統等安全設置,在實際運營過程當中要對網絡安全配置進行嚴格的控制和管理,禁止任何人對網絡安全配置進行更改操作。
2.3 安全事件
網絡安全事件主要是指影響網絡安全以及整個計算機系統的惡意行為。主要包括計算機網絡遭到惡意攻擊和非法侵入,網絡遭遇惡意攻擊和非法入侵會導致企業利用網絡進行的商業活動被迫終止,程序停止運營,極大程度上影響了企業網絡安全管理工作[3]。破壞網絡安全的惡意行為通常表現為,利用木馬病毒的入侵復制、盜竊企業內部資料和信息;組織企業利用網絡進行的商業活動;終止企業運營過程中需要用到的網絡資源;監控企業的實際運營管理工作,這給企業正常經營管理工作帶來極大的影響。
3 網絡安全管理發展趨勢
現階段網絡安全管理技術還比較單調,尚未形成一個系統的安全管理機制,在實際管理工作當中還存在許多不足。隨著網絡技術的不斷發展和進步,網絡安全管理技術也將得到快速發展,網絡安全管理體系將對安全軟件以及安全設備進行集中化管理,通過對網絡安全的全面監控,切實保障網絡安全的可靠性,及時發現運營過程中存在的網絡安全隱患;同時,網絡安全管理技術將實現系統動態反應以及應急處理中心,實現對突發網絡安全事件進行有效預案處理;另外,企業網絡安全管理還將對網絡系統的相關管理人員、軟件、硬件等安全設置集中管理中心,完善安全管理系統[4]。
因此,企業要加強對網絡信息技術的安全管理,采取措施嚴格控制病毒、黑客對企業網絡系統的攻擊,維護企業網絡系統的安全性,保證企業在激烈的競爭環境中長遠發展下去。
[參考文獻]
[1]中華人民共和國國家質量監督檢驗檢疫總局,中國國家標準化管理委員會.信息技術安全技術.信息安全管理實用規則[s].中國高新技術企業,2010,(1):121-122.
[2]wimmasat山ngs,著,楊明,青光輝,齊東望,等,譯.密碼編碼學與網絡安全:原理與實踐(第二版),電子工業出版社,2001.4.
關鍵詞:網絡安全;安全管理;網絡監管系統
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2010) 09-0000-02
Research&Application of Network Security Management System
Huang Yang
(The 772th Research Institute of China Shipbuilding Industry Corporation,Hubei430064,China)
Abstract:Aiming at the fact that there are lots of potential safety hazard on network,this paper researched and discussed the network security management system.Firstly the current information on network of security management system was analyzed,on the basis of analysis,the design and realization of network information security management system was discussed in details,and the whole structure levels and function models were pointed out;on the other hand,the realization scheme of the network information security management system was analyzed from the client,server and the long-distance communication,the three aspects were also discussed.All this work is significative for enhancing the information security level on network.
Keywords:Network security;Security management;Network management system
一、引言
隨著計算機網絡的發展,信息與網絡技術正逐漸改變著人們的政治、經濟、文化生活的方式。同時,隨著人們對網絡依賴性的增強,網絡安全問題逐漸暴露,網絡安全事件層出不窮。在信息化程度逐步提高的現代社會,信息安全越來越得到關注。
本論文重點結合局域網內信息安全的要求,對網絡安全監管系統進行開發設計與研究,以期從中找到可靠有效的信息安全管理模式和網絡安全監管系統的開發管理經驗,并以此和廣大同行分享。
二、網絡安全監管應用現狀分析
為了防范安全攻擊,提高網絡安全性,安全廠商紛紛采用各種安全技術,推出各類安全產品,如防病毒、防火墻、入侵監測、入侵保護、VPN等等,并且加強操作系統和應用系統自身的安全防護,加強安全審計。這些措施都在很大程度上提高了網絡的安全狀況,然而,不同的安全產品都是解決某一方面的安全問題,例如:防火墻用于檢測和限制外部網絡對受保護網絡的訪問,對穿過防火墻的惡意數據包卻無能為力,更不能防范內部威脅。
針對上述情況,需要有相應的技術和產品來整合不同的安全產品,能夠將來自不同事件源的事件統一監控起來,并對這些事件進行分析,向用戶提供網絡運行的整體安全狀況,有效減少誤報和漏報,極大提高報警準確性,發現復雜的攻擊行為,并能根據保存的歷史事件數據對事件進行深入調查和安全審計。
為了解決上述問題,本文提出了統一的網絡安全監測系統,該系統從網絡的整體安全出發,通過對網絡中各種安全設備的集中監控,收集各安全設備產生的安全事件,并通過對收集到各種安全事件進行深層的分析、統計和關聯,定位安全風險,對各類安全事件及時提供處理方法和建議的安全解決方案。
三、網絡安全監管系統的設計研究
(一)系統總體層次架構設計
安全監測分析系統的基本功能是采集防火墻、IDS、IPS、網站防護設備、防病毒網關等安全設備安全事件,對網絡邊界進行全天候實時安全監測及深度分析。整合各種安全事件并進行關聯分析,實時顯示全網安全態勢,并形成各類安全監測分析報告。
根據功能要求,安全監測分析系統的軟件結構由下至上,由三個層次組成:采集層、分析層、展示層。采集層負責從安全設備中收集這些設備產生的安全日志,此外還從交換機鏡像流量中分析收集攻擊事件和敏感信息。采集層收集到的數據按照指定的篩選要求進行篩選后發送給分析層進行集中的存儲和分析。由于安全設備發送過來的日志采用的協議不同,報文內部的格式也不同,需要采集端能夠對其進行識別和預處理,即對安全事件進行標準化處理。分析層對采集到的海量數據進行集中的存儲和分析,以提取出主要關注的信息。分析層實現數據接收、實時分析、深度分析的功能。其中包括事件準確定位、時間關聯分析、知識庫、安全態勢分析、告警生成、存儲索引、數據統計、人工分析與報告等。展示層提供人機交互接口,將分析結果以直觀的形式展示給安全管理員,并接受安全管理員的操作指令。
(二)系統功能模塊設計
本論文所設計的網絡信息安全監管系統,也采用分散式管理的模式,以客戶端和服務器構成整個局域網信息的安全監管模式。
以客戶端與服務器結構的設計,安全監管系統的客戶端,是安裝于遠端上的監控程序,它的主要的功能需求為以下四方面:
1.提供管理對各組件的安裝、刪除、及運行參數的設置與維護;
2.提供所有監控內容的查看并發給遠端監控服務器;
3.提供實時信息捕獲;
4.提供對服務器監控端的自動升級,升級不成功可恢復最后一次有效版本。
安全監管系統的服務器端,是安裝于本地的、可對遠端監控程序進行有效管理與信息接收,它的主要功能需求為以下幾方面:
1.提供實時顯示服務器的監控內容;
2.提供有效的遠端控制;
3.提供對遠端服務器監控端的升級管理;
4.支持多管理員管理;
5.提供有效的數據雙重備份功能。
(三)系統的具體實現
1.網絡安全監管系統客戶端設計
客戶端的設計為三個部分:狀態掃描模塊、信息收發模塊和參數管理工具。
(1)狀態掃描模塊:是用于狀態掃描的驅動。它將為整個系統提供與服務器進行通信的模塊、信息收發模塊和參數管理工具。
(2)信息收發模塊:它將與狀態掃描模塊進行通信,并將收集和整理好的數據發給遠端的監控管理端。
(3)參數管理工具:可以進行參數設定的工具。
當信息收發模塊收集到信息時,轉發到遠程控制程序上,但是有個問題會出現,當一臺機器發送信息時,遠程服務端可以正常接收到信息,但當同時有一千個這樣的信息從不同的服務器傳來時,控制端程序將會面臨巨大的負載,最重要的是可能會丟掉重要的信息,如遠端的告警信息。所以對于要發送的信息,在發送和接收時都需要進行一些處理,它們將被分開來發送,并且發送到不同的服務器程序上。
2.網絡安全監管系統服務器設計
服務器端設計成一個C/S結構,每個管理員所使用的將是一個可登錄的管理客戶端程序,但是這里的服務器將不是一個,而是多個,因為多個服務器端程序將用來處理不同的信息。服務器端可以處理多種形式的數據,有效減少單機的通信負載、降低整體結構的處理難度,從而對于不同權限的管理員進行管理。管理員將使用管理終端程序進行登錄后在不同的服務器端上進行相應的數據查詢,這樣的結構可以使設計與實現變得容易。
3.網絡安全監管系統通信方式設計
為了解決遠程通信的問題,在發送端會將信息分類處理,并發給不同的接收端,這樣作的最大好處在于,可以減少處理難度和降低通信負載。信息可以分為三大類:
(1)用于管理的狀態信息;
(2)用于管理區域的信息;
(3)告警信息。
對于在多管理員管理時同樣會發揮良好的結構優勢。當有多個管理員同時在管理不同的服務器時,他們只需按其所需與這些服務器進行交互,例如一個管理員如果想查看局域網在線人數、局域網資源占用等等信息時,只需要與服務器進行通信,而維護人員在檢查服務器時它可能只會在狀態服務器進行查看,而在告警出現時告警服務器會保存告警信息,并發出警告等待人員處理。
四、結語
在信息化時代的今天,網絡十分容易受到非法攻擊和侵入,為此對于網絡安全的監管顯得十分重要,本論文對于網絡信息安全監管系統的設計研究,對于網絡信息安全監理與管理是一次有益的嘗試與探索,當然,其中還有很多的技術問題有待于廣大技術工作人員的共同努力,才能夠最終實現我國網絡信息安全的有效監理與管理,進而保障信息安全。
參考文獻:
[1]邢戈,張玉清,馮登國.網絡安全管理平臺研究[J].計算機工程,2004,30(10):129-131
關鍵詞:網絡安全;評價系統;設計;實現
一、網絡安全態勢感知
態勢感知(Situation Awareness)這一概念源于航天飛行的人因(Human Factors)研究,此后在軍事戰場、核反應控制、空中交通監管(Air Traffic Control,ATC)以及醫療應急調度等領域被廣泛地研究。Endsley在1995年把態勢感知(Situation Awareness)定義為感知在一定的時間和空間環境中的元素,包括它們現在的狀況和它們未來的發展趨勢。Endsleys把態勢感知分成3個層次(如圖1所示)的信息處理:(1)要素獲取:感知和獲取環境中的重要線索或元素,這是態勢感知最基礎的一步;(2)理解:整合感知到的數據和信息,分析其相關性;(3)預測:基于對環境信息的感知和理解,預測未來的發展趨勢,這是態勢感知中最高層次的要求。
圖1態勢感知的三級模型
而網絡態勢感知則源于空中交通監管(Air Traffic Control,ATC)態勢感知(Mogford R H,1997),是一個比較新的概念,并且在這方面開展研究的個人和機構也相對較少。1999年,Tim Bass首次提出了網絡態勢感知(Cyberspace Situation Awareness)這個概念(Bass T, 2000),并對網絡態勢感知與ATC態勢感知進行了類比,旨在把ATC態勢感知的成熟理論和技術借鑒到網絡態勢感知中去。目前,對網絡態勢感知還未能給出統一的、全面的定義。IATF網站中提出,所謂的網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。值得注意的是,態勢是一種狀態,一種趨勢,是一個整體和全局的概念,任何單一的情況或狀態都不能稱之為態勢。因此,網絡態勢感知是在大規模網絡環境中,對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。
圖2網絡安全態勢感知系統框架
基于態勢感知的三級模型,譚小彬等(2008)提出了一種網絡安全態勢感知系統的設計框架,如圖2所示。該系統首先通過多傳感器采集網絡系統的各種信息,然后通過精確的數學模型刻畫網絡系統的當前的安全態勢值及其變化趨勢。此外,該系統還給出針對當前狀態的網絡系統的安全加方案,加固方案指導用戶減少威脅和修復脆弱性,從而提高系統的安全態勢。此外該系統還給出針對當前狀態的網絡系統的安全加固方案,加固方案指導用戶減少威脅和修復脆弱性,從而提高網絡系統的安全態勢。
二、網絡信息系統安全測試評估支撐平臺
網絡信息系統安全測試評估支撐平臺由管理控制、資產識別、在線測試、安全事件驗證、滲透測試、惡意代碼檢測、脆弱性檢測和安全態勢評估與預測等八個子系統組成,如圖3所示。各子系統采用松耦合結構,以數據交互作為聯系方式,能夠獨立進行測試或評估。
圖3支撐平臺的組成
三、網絡安全評估系統的實現
網絡安全評估系統由六個子系統組成,其中一個管理控制子系統,一個態勢評估與預測子系統,其他都是各種測試子系統。由于網絡安全評估是本文的重點,所以本章主要介紹態勢評估與預測子系統的實現,其他子系統的實現在本文不作介紹。
3.1風險評估中的關鍵技術
在風險評估模塊中,風險值將采用兩種模型計算,分別是矩陣模型和加權模型:
(1)矩陣模型。
該模型是GB/T 20984《信息安全風險評估規范》中提出的一種模型,采用該模型主要是為了方便以往使用其它風險評估系統的用戶,使他們能夠很快地習慣本評估系統。矩陣模型主要由三步組成,首先通過安全事件可能性矩陣計算安全事件的可能性,該步以威脅發生的可能性和脆弱性嚴重程度作為輸入,在安全事件可能性矩陣直接查找對應的安全事件的可能性,然后將結果映射到5個等級。
(2)加權模型。
基于加權的風險評估模型在總體框架和基本思路上,與GB/T20984所提出的典型風險評估模型一致,不同之處主要在于對安全事件作用在風險評估中的處理,通過引入加權,進而明確滲透測試和安全事件驗證在風險評估中的定性和定量分析作用。該模型認為,已發生的安全事件和證明能夠發生的安全事件,在風險評估中的作用應該得到加強。其原理如圖4所示。
圖4加權模型
3.2態勢評估中的關鍵技術
態勢評估中采用多層次多角度的網絡安全風險評估方法作為設計理念,向用戶展現了多個層次、多個角度的態勢評估。在角度上體現為專題角度、要素角度和綜合角度,通過專題角度,用戶可以深入了解威脅、脆弱性和資產的所有信息;通過要素角度,用戶可以了解保密性、完整性和可用性這三個安全要素方面的態勢情況;通過綜合角度用戶可以了解系統的綜合態勢情況。在層次上體現為對威脅、脆弱性和資產的不同層次的劃分,通過總體層次,用戶可以了解所有威脅、脆弱性和資產的態勢情況;通過類型層次,用戶可以了解不同威脅類型、脆弱性類型和資產類型的態勢情況;通過細微層次,用戶可以了解每一個威脅、脆弱性和資產的態勢情況。
對于態勢值的計算,參考了風險值計算的原理,并在此基礎上加入了Markov博弈分析,使得態勢值的計算更加入微,有關Markov博弈分析的理論在第3章中作了詳細介紹。通過Markov博弈分析的理論,可以計算出每一個威脅給系統態勢帶來的影響,但系統中往往有許多的威脅,所有我們需要對所有的威脅帶來的影響做出處理,而不能將他們帶來的影響簡單地相加,否則2個中等級的威脅對態勢的影響將大于一個高等級的威脅對態勢的影響,這是不合理的。在本系統中,我們采用了如下公式來對它們進行處理。
其中S為系統的總體態勢值,為第個威脅造成的態勢值,為系統中所有的威脅集合。
結語
網絡系統安全評估是一個年輕的研究課題,特別是其中的網絡態勢評估,現在才剛剛起步,本文對風險評估和態勢評估中的關鍵技術進行了研究,取得了一定的研究成果,但仍存在一些待完善的工作。網絡安全態勢評估中,對與安全態勢值沒有一個統一的標準,普通用戶將很難對安全態勢值 有一個直觀的認識,只能通過多次態勢評估的結果比較,了解網絡安全態勢的走向。在本系統的態勢評估中僅對安全態勢值作了一個簡單的等級映射,該部分還需要進一步完善。
關鍵詞:工業控制系統;行為審計;智能分析;信息安全
引言
伴隨著工業化和信息化融合發展,大量IT技術被引入現代工業控制系統.網絡設備、計算設備、操作系統、嵌入式平臺等多種IT技術在工控系統中的遷移應用已經司空見慣.然而,工控系統與IT系統存在本質差異,差異特質決定了工控系統安全與IT系統安全不同.(1)工控系統的設計目標是監視和控制工業過程,主要是和物理世界互動,而IT系統主要用于與人的交互和信息管理.電力配網終端可以控制區域電力開關,類似這類控制能力決定了安全防護的效果.(2)常規IT系統生命周期往往在5年左右,因此系統的遺留問題一般都較小.而工控系統的生命周期通常有8~15年,甚至更久,遠大于常規IT系統,對其遺留的系統安全問題必須重視.相關的安全加固投入涉及到工業領域商業模式的深層次問題(如固定資產投資與折舊).(3)工控系統安全遵循SRA(Safety、Reliability和AGvailability)模型,與IT系統的安全模型CIA(ConfidentialGity、Integrity和Availability)迥異.IT安全的防護機制需要高度的侵入性,對系統可靠性、可用性都有潛在的重要影響.因此,現有的安全解決方案很難直接用于工控系統,需要深度設計相關解決方案,以匹配工控系統安全環境需求[1G2].
1工控系統安全威脅及成因
工業控制系統安全威脅主要有以下幾個方面[3G5]:(1)工業控制專用協議安全威脅.工業控制系統采用了大量的專用封閉工控行業通信協議,一直被誤認為是安全的.這些協議以保障高可用性和業務連續性為首要目的,缺乏安全性考慮,一旦被攻擊者關注,極易造成重大安全事件.(2)網絡安全威脅.TCP/IP協議等通用協議與開發標準引入工控系統,使得開放的工業控制系統面臨各種各樣的網絡安全威脅[6G7].早期工業控制系統為保證操作安全,往往和企業管理系統相隔離.近年來,為了實時采集數據,滿足管理需求,工業控制系統通過邏輯隔離方式與企業管理系統直接通信,而企業管理系統一般連接Internet,這種情況下,工業控制系統接入的范圍不僅擴展到了企業網,而且面臨來自Internet的威脅.在公用網絡和專用網絡混合的情況下,工業控制系統安全狀態更加復雜.(3)安全規程風險.為了優先保證系統高可用性而把安全規程放在次要位置,甚至犧牲安全來實現系統效率,造成了工業控制系統常見的安全隱患.以介質訪問控制策略為代表的多種隱患時刻威脅著工控系統安全.為實現安全管理制定符合需求的安全策略,并依據策略制定管理流程,是確保ICS系統安全性和穩定性的重要保障.(4)操作系統安全威脅.工業控制系統有各種不同的通用操作系統(Window、Linux)以及嵌入式OS,大量操作系統版本陳舊(Win95、Winme、Win2K等).鑒于工控軟件與操作系統補丁存在兼容性問題,系統上線和運行后一般不會對平臺打補丁,導致應用系統存在很大的安全風險.(5)終端及應用安全風險.工業控制系統終端應用大多固定不變,系統在防范一些傳統的惡意軟件時,主要在應用加載前檢測其完整性和安全性,對于層出不窮的新型攻擊方式和不斷改進的傳統攻擊方式,采取這種安全措施遠遠不能為終端提供安全保障.因此,對靜態和動態內容必須進行安全完整性認證檢查.
2審計方案設計及關鍵技術
2.1系統總體架構
本方案針對工控系統面臨的五大安全威脅,建立了基于專用協議識別和異常分析技術的安全審計方案,采用基于Fuzzing的漏洞挖掘技術,利用海量數據分析,實現工控系統的異常行為監測和安全事件智能分析,實現安全可視化,系統框架如圖1所示.電力、石化行業工業控制系統行為審計,主要對工業控制系統的各種安全事件信息進行采集、智能關聯分析和軟硬件漏洞挖掘,實現對工業控制系統進行安全評估及安全事件準確定位的目的[8G9].審計系統采用四層架構設計,分別是數據采集層、信息數據管理層、安全事件智能分析層和安全可視化展示層.其中數據采集層通過安全、鏡像流量、抓取探測等方式,監測工控網絡系統中的服務日志、通信會話和安全事件.多層部署采用中繼隔離方式單向上報采集信息,以適應各種網絡環境.信息數據管理層解析MODBUS、OPC、Ethernet/IP、DNP3、ICCP等各種專用協議,對海量數據進行分布式存儲,優化存儲結構和查詢效率,實現系統數據層可伸縮性和可擴展性.智能分析層通過對異構數據的分析結果進行預處理,采用安全事件關聯分析和安全數據挖掘技術,審計工控系統應用過程中的協議異常和行為異常.安全綜合展示層,對安全審計結果可視化,呈現工業控制系統安全事件,標識安全威脅,并對工業控制系統安全趨勢作出預判.
2.2審計系統關鍵技術及實現
2.2.1專用協議識別和異常分析技術系統實現對各種常見協議智能化識別,并且重組恢復通信數據,在此基礎上分析協議數據語義,進而識別出各種通信會話和系統事件,最終達到審計目的[10G11].2.2.2核心組件脆弱性及漏洞挖掘技術基于Fuzzing的漏洞挖掘技術,實現工業控制系統核心組件軟硬件漏洞挖掘,及時發現并規避隱患,使之適應當前的安全環境.Fuzzing技術將隨機數據作為測試輸入,對程序運行過程中的任何異常進行檢測,通過判斷引起程序異常的隨機數據進一步定位程序缺陷[12-14]通用漏洞挖掘技術無法完全適應工控系統及網絡的特殊性,無法有效挖掘漏洞,部分漏洞掃描軟件還會對工控系統和網絡造成破壞,使工控系統癱瘓.本文結合電力、石化行業工控系統特點,研究設計了工控行業專用Fuzzing漏洞挖掘技術和方法,解決了漏洞探測技術的安全性和高效性問題,實現了工業控制協議(OPC/Modbus/Fieldbus)和通用協議(IRC/DHCP/TCP)等漏洞Fuzzing工具、應用程序的FileFzzinug、針對ActiveX的COMRaidGer和AxMan、操作系統內核的Fuzzing工具應用,構建了通用、可擴展的Fuzzing框架,涵蓋多種ICS系統組件.ICS系統測試組件眾多,具有高度自動化的Fuzzing漏洞挖掘系統可以大大提高漏洞挖掘效率.生成的測試用例既能有效擴展Fuzzing發現漏洞的范圍,又可避免產生類似于組合測試中常見的狀態爆炸情況[15].采用模塊(Peach、Sulley)負責監測對象異常,實現并行Fuzzing以提高運行效率;還可以將引擎和分離,在不同的機子上運行,用分布式應用程序分別進行Fuzzing測試.2.2.3異常行為檢測技術針對工控系統的異常行為檢測,本方案采用海量數據和長效攻擊行為關聯分析技術,內容如下:(1)建立工業控制系統環境行為架構,檢查當前活動與正常活動架構預期的偏離程度,由此判斷和確認入侵行為,診斷安全事件.(2)研究行為異常的實時或準實時在線分析技術,縮短行為分析時間,快速形成分析報告.(3)基于DPI技術,對網絡層異常行為安全事件進行檢測分析.基于海量數據處理平臺實現對數據包的深度實時/離線分析,從而有效監測工控設備的異常流量,進而有效監測多種網絡攻擊行為[16].(4)應用層異常行為檢測.應用層異常行為安全事件檢測圍繞工業控制系統軟件應用展開,該功能基于應用層數據收集結果進行,支持運行狀態分析檢測、指令篡改分析檢測、異常配置變更分析檢測等.(5)系統操作異常行為安全事件檢測.系統攻擊檢測基于海量日志分析技術進行,在檢測整個系統安全狀態的同時,以大規模系統運行狀態為模型,發掘出有悖于系統正常運行的各種信息,支持系統安全事件反向查詢,并詳細描述系統的運行軌跡,為系統攻擊防范提供必要信息.(6)異常行為安全事件取證.基于安全檢測平臺所提供的多維度多時段網絡安全數據信息進行異常行為安全事件取證,有效支持對單點安全事件的獲取,達到安全事件單時段、多時段、分時段提取,進而支撐基于事實數據的安全取證功能.2.2.4安全事件智能分析技術方案把工業控制系統海量安全事件的智能關聯分析、安全評估、事件定位及回溯相關分析技術應用于分析系統,并且基于不同的粒度進行安全態勢預警.(1)安全事件聚合.采用聚類分析模型,將數據分析后的IDS、防火墻等網絡設備產生的大量重復或相似的安全事件進行智能聚合,并設計不同條件進行歸并,從而將大量重復的無用信息剔除,找到安全事件發生的本質原因.(2)安全事件關聯.系統將安全事件基于多個要素進行關聯,包括將同源事件、異源事件、多對象信息進行關聯,從而在多源數據中提取出一系列相關安全事件序列,通過該安全事件序列,對事件輪廓進行詳細刻畫,充分了解攻擊者的攻擊手段和攻擊步驟,從而為攻擊防范提供知識準備[17].2.2.5安全可視化安全可視化是一項綜合展現技術,其核心是為用戶提供工控系統安全事件審計全局視圖,進行安全狀態追蹤、監控和反饋,為決策者提供準確、有效的參考信息,并在一定程度上減小制定決策所花費的時間和精力,盡可能減少人為失誤,提高整體管理效率.安全可視化包括報表、歷史分析、實時監控、安全事件、安全模型5大類.其中,歷史分析包括時序分析、關聯圖、交互分析和取證分析.實時監控重點通過儀表盤來表現.
3安全事件評估
通過以上安全應用分析,能夠對安全事件形成從點到面、多視角的分析結果,對安全事件帶來的影響進行分級,包括高危級、危險級、中級、低級4個級別,使網絡管理者更好地將精力集中于解決對網絡安全影響較大的問題.
4安全態勢預警
為對網絡安全態勢進行全面評估,建立如圖3所示的全方位多層次異角度的安全態勢評估基本框架,分別進行更為細粒度的網絡安全態勢評估,評估內容如下:(1)基于專題層次的網絡態勢評估.評估各具體因素,這些具體因素都會不同程度影響工業控制系統安全,根據威脅內容分為資產評估、威脅評估、脆弱性評估和安全事件評估4個模塊,每個模塊根據評估范圍分為3種不同粒度.威脅評估包含了單個威脅評估、某一類威脅評估和整個網絡威脅狀況評估3種不同粒度的安全分析.(2)基于要素層次的網絡態勢評估.全方位對安全要素程度進行評估,體現網絡各安全要素重要程度,包括保密性評估、完整性評估以及可用性評估.(3)基于整體層次的網絡態勢評估.綜合評估工業控制系統安全狀況,對不同層次采用不同方法進行評估.采用基于隱Markov模型、Markov博弈模型和基于指數對數分析的評估技術,對安全態勢的3個安全要素進行評估,評估所有與態勢值相關的內容;基于指數對數分析評估技術,實現由單體安全態勢得到整體安全態勢,具體參數根據不同目的和網絡環境進行設置.
5工業控制系統審計方案部署
本項目要符合電力、石化行業工業控制系統特點,提供高可用、可擴展和高性能解決方案.系統包含數據采集器、數據存儲服務器、安全審計分析服務器等核心組件,如圖4、圖5所示.(1)數據采集器是工業控制系統的末梢單元,是審計系統與工業控制各種設備、終端的信息接口.數據采集器數量依據工控終端規模進行分布式動態擴展.特定工控采集環境下,硬件數據采集器輔助探針軟件協同工作.(2)數據存儲服務器用以存儲采集和分析計算處理后的海量數據.數據存儲服務器以彈性擴展集群方式組成海量數據存儲平臺.(3)安全審計分析服務器負責數據處理、安全事件分析、漏洞挖掘等高性能安全計算和結果展示,是審計系統的計算中心.
6結語
關鍵詞:校園網;網絡安全;入侵檢測
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)31-0800-03
The Cooperative Intrusion Detection System Model Based on Campus Network
LI Ang1,2, HU Xiao-long1
(1.School of Information Science and Engineering, Central South University, Changsha 410075, China; 2.Modern Education Technology Center, Hunan Institute of Technology, Hengyang 421002, China)
Abstract: Through the existing analysis of network security and intrusion detection technology, this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly, processes in multilateral cooperation, and constructs the large-network IDS. Then, it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions, this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.
Key words: campus network; network security; intrusion detection
1 網絡安全形勢分析
2007年,我國公共互聯網網絡整體上運行基本正常,但從CNCERT/CC接收和監測的各類網絡安全事件情況可以看出,網絡信息系統存在的安全漏洞和隱患層出不窮,利益驅使下的地下黑客產業繼續發展,網絡攻擊的種類和數量成倍增長,終端用戶和互聯網企業是主要的受害者,基礎網絡和重要信息系統面臨著嚴峻的安全威脅。在地下黑色產業鏈的推動下,網絡犯罪行為趨利性表現更加明顯,追求經濟利益依然是主要目標。黑客往往利用仿冒網站、偽造郵件、盜號木馬、后門病毒等,并結合社會工程學,竊取大量用戶數據牟取暴利,包括網游賬號、網銀賬號和密碼、網銀數字證書等。木馬、病毒等惡意程序的制作、傳播、用戶信息竊取、第三方平臺銷贓、洗錢等各環節的流水作業構成了完善的地下黑色產業鏈條,為各種網絡犯罪行為帶來了利益驅動,加之黑客攻擊手法更具隱蔽性,使得對這些網絡犯罪行為的取證、追查和打擊都非常困難[1]。
從IDC網絡安全調查數據來看,網絡的安全威脅主要來自三個方面:第一、網絡的惡意破壞者,也就是我們所說的黑客,造成的正常網絡服務的不可用、系統/數據的破壞;第二、無辜的內部人員造成的網絡數據的破壞、網絡病毒的蔓延擴散、木馬的傳播;第三、就是別有用心的間諜人員,通過竊取他人身份進行越權數據訪問,以及偷取機密的或者他人的私密信息。其中,由于內部人員而造成的網絡安全問題占到了70% 。
縱觀高校校園網安全現狀,我們會發現同樣符合上面的規律,即安全主要來自這三方面。而其中,來自校園網內部的安全事件占到了絕大多數。這與校園網的用戶是息息相關的。一方面,高校學生這群精力充沛的年輕一族對新鮮事物有著強烈的好奇心,他們有著探索的高智商和沖勁,卻缺乏全面思考的責任感。同時網絡也使得黑客工具等的獲取更加的輕松。另一方面,校園網內卻又存在著很多這樣的用戶,他們使用網絡來獲取資料,在網絡上辦公、娛樂,但是安全意識卻明顯薄弱,他們不愿意或者疏于安裝防火墻、殺毒軟件。
此外,我們的網絡管理者會發現,還面臨這其他一些挑戰,比如:
1) 用戶可以在隨意接入網絡,出現安全問題后無法追查到用戶身份;
2) 網絡病毒泛濫,網絡攻擊成上升趨勢。安全事件從發現到控制,基本采取手工方式,難以及時控制與防范;
3) 對于未知的安全事件和網絡病毒,無法控制;
4) 用戶普遍安全意識不足,校方單方面的安全控制管理,難度大;
5) 現有安全設備工作分散,無法協同管理、協同工作,只能形成單點防御。各種安全設備管理復雜,對于網絡的整體安全性提升有限。
6) 某些安全設備采取網絡內串行部署的方式,容易造成性能瓶頸和單點故障;
7) 無法對用戶的網絡行為進行記錄,事后審計困難;
總之,網絡安全保障已經成為各相關部門的工作重點之一,我國互聯網的安全態勢將有所改變。
2 入侵檢測概述
James Aderson在1980年使用了“威脅”概述術語,其定義與入侵含義相同。將入侵企圖或威脅定義未經授權蓄意嘗試訪問信息、竄改信息、使系統不可靠或不能使用。Heady給出定外的入侵定義,入侵時指任何企圖破壞資源的完整性、機密性及可用性的活動集合。Smaha從分類角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統滲透、泄漏、拒絕服務、惡意使用六種類型。
從技術上入侵檢測系統可分為異常檢測型和誤用檢測型兩大類。異常入侵檢測是指能夠根據異常行為和使用計算機資源情況檢測出來的入侵。異常檢測試圖用定量方式描述可接受的行為特征,以區別非正常的、潛在入侵。誤用入侵檢測是指利用已知系統和應用軟件的弱點攻擊模式來檢測入侵。與異常入侵檢測相反,誤用入侵檢測能直接檢測不利的或不可接受的行為,而異常入侵檢測是檢查同正常行為相違背的行為。
從系統結構上分,入侵檢測系統大致可以分為基于主機型、基于網絡型和基于主體型三種。
基于主機入侵檢測系統為早期的入侵檢測系統結構、其檢測的目標主要是主機系統和系統本地用戶。檢測原理是根據主機的審計數據和系統的日志發現可疑事件,檢測系統可以運行在被檢測的主機上。這種類型系統依賴于審計數據或系統日志準確性和完整性以及安全事件的定義。若入侵者設法逃避設計或進行合作入侵,則基于主機檢測系統就暴露出其弱點,特別是在現在的網絡環境下。單獨地依靠主機設計信息進行入侵檢測難以適應網絡安全的需求。這主要表現,一是主機的審計信息弱點,如易受攻擊,入侵者可通過通過使用某些系統特權或調用比審計本身更低級的操作來逃避審計。二是不能通過分析主機審計記錄來檢測網絡攻擊(域名欺騙、端口掃描等)。因此,基于網絡入侵檢測系統對網絡安全是必要的,這種檢測系統根據網絡流量、協議分析、簡單網絡管理協議信息等數據檢測入侵。主機和網絡型的入侵檢測系統是一個統一集中系統,但是,隨著網絡系統結構復雜化和大型化,系統的弱點或漏洞將趨向于分布式。另外,入侵行為不再是單一的行為,而是表現出相互協作入侵特點。入侵檢測系統要求可適應性、可訓練性、高效性、容錯性、可擴展性等要求。不同的IDS之間也需要共享信息,協作檢測。于是,美國普度大學安全研究小組提出基于主體入侵檢測系統。其主要的方法是采用相互獨立運行的進程組(稱為自治主體)分別負責檢測,通過訓練這些主體,并觀察系統行為,然后將這些主體認為是異常的行為標記出來,并將檢測結果傳送到檢測中心。另外,S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。
對于入侵檢測系統評估,主要性能指標有:
1) 可靠性――系統具有容錯能力和可連續運行;
2) 可用性――系統開銷要最小,不會嚴重降低網絡系統性能;
3) 可測試――通過攻擊可以檢測系統運行;
4) 適應性――對系統來說必須是易于開發和添加新的功能,能隨時適應系統環境的改變;
5) 實時性――系統能盡快地察覺入侵企圖以便制止和限制破壞;
6) 準確性――檢測系統具有低的誤警率和漏警率;
7) 安全性――檢測系統必須難于被欺騙和能夠保護自身安全[4]。
3 協作式入侵檢測系統模型
隨著黑客入侵手段的提高,尤其是分布式、協同式、復雜模式攻擊的出現和發展,傳統、單一、缺乏協作的入侵檢測技術已不能滿足需求,要有充分的協作機制,下面就提出協作式入侵檢測的基本模型。
3.1 協作式入侵檢測系統由以下幾個部分組成
1) 安全認證客戶端(SU)。能夠執行端點防護功能,并參與用戶的身份認證過程。參與了合法用戶的驗證工作完成認證計費操作,而且還要完成安全策略接收、系統信息收集、安全漏洞上傳,系統補丁接收修復等大量的工作,對系統的控制能力大大增強。
2) 安全計費服務器(SMA)。承擔身份認證過程中的Radius服務器角色,負責對網絡用戶接入、開戶,計費等系統管理工作外,還要負責與安全管理平臺的聯動,成為協作式入侵檢測系統中非常重要的一個環節。
3) 安全管理平臺(SMP)。用于制定端點防護策略、網絡攻擊防護防止規則,協調系統中的其他組件在網絡資源面臨的安全威脅進行防御,能夠完成事前預防、事中處理、事后記錄等三個階段的工作。智能的提供一次配置持續防護的安全服務。
4) 安全事件解析器(SEP)。接收處理NIDS發送過來的網絡攻擊事件信息,處理后發送給安全管理平臺,目的是屏弊不同廠家的NIDS的差異,把不同廠商、不同的入侵事件轉換成統一的安全管理平臺能處理的格式轉發給安全管理平臺,便于安全管理平臺處理。
5) 入侵檢測系統(IDS)。網絡入侵檢測設備,對網絡流量進行旁路監聽,檢測網絡攻擊事件,并通過SEP向安全管理平臺反饋網絡攻擊事件,由安全管理平臺處埋這些攻擊事件。一個網絡中可以布暑多個IDS設備。
入侵檢測系統由三個部分組成:
1) Sensor探測器,也就是我們常看到的硬件設備,它的作用是接入網絡環境,接收和分析網絡中的流量。
2) 控制臺:提供GUI管理界面,配置和管理所有的傳感器并接收事件報警、配置和管理對于不同安全事件的響應方式、生成并查看關于安全事件、系統事件的統計報告,控制臺負責把安全事件信息顯示在控制臺上。
3) EC(Event Collector)事件收集器,它主要起以下作用:負責從sensor接收數據、收集sensor日志信息、負責把相應策略及簽名發送給sensor、管理用戶權限、提供對用戶操作的審計,向SEP發送入侵事件等工作。EC可以和控制臺安裝在同一個工作站中。
3.2 協作式入侵檢測系統中組件間的交互過程
1) SAM和SMP的交互過程
在協作式入侵檢測系統中,SMP同SAM的關系就是,SMP連接到SAM。連接成功后,接收SAM發送的接入用戶上線,下線消息。Su上線,SAM發送用戶上線消息。Su下線,SAM發送用戶下線消息。Su重認證,SAM發送用戶上線消息。
2) JMS相關原理
SMP同SAM之間的交互是通過JMS(Java Message Service)。SAM啟動JBoss自帶的JMS服務器,該服務器用于接收和發送JMS消息。SAM同時也作為JMS客戶端(消息生產者),負責產生JMS信息,并且發送給JMS服務器,SMP也是JMS客戶端(消息消費者)。目前SAM所實現的JMS服務器是以“主題”的方式的,即有多少個JMS客戶端到JMS服務器訂閱JMS消息,JMS服務器就會發送給多少個JMS客戶端。當然了消息生產者也可以多個。相當于JMS服務器(如SAM)是一個郵局,其它如JMS客戶端(如SMP,NTD)都是訂閱雜志的用戶,同時SAM也作為出版商產生雜志。這樣,SAM產生用戶上下線消息,發送到SAM所在Jboss服務器的JMS服務器中,JMS服務器發現SMP訂閱了該消息,則發送該消息給SMP。
在協作式入侵檢測系統中,SMP就是JMS客戶端,SAM既作為JMS消息生產者,也作為JMS服務器。當SMP啟動時,SMP通過1099端口連接到SAM服務器,并且進行JMS消息的訂閱,訂閱成功后,即表示SMP同SAM聯動成功。當用戶通過su上線成功后,SAM根據JMS的格式,產生一條JMS信息,然后發送給JMS服務器,JMS服務器檢查誰訂閱了它的JMS消息,然后發送給所有的JMS用戶。
3) SU和SMP的交互過程
間接交互:對于Su上傳的端點防護HI狀態(成功失敗),HI配置文件更新請求,每個Su請求的響應報文,SMP下發給Su的相關命令,均通過交換機進行透傳,即上傳的信息都包含再SNMP Trap中,下發的信息都包含在SNMP Set報文中。交換機將Su上傳的EAPOL報文封裝在SNMP Trap包中,轉發給SMP。交換機將SMP下發的SNMP Set報文進行解析,提取出其中包含的EAPOL報文,直接轉發給Su。這樣就實現了Su同SMP的間接交互,隱藏了SMP的位置。
直接交互:對于一些數據量較大的交互,無法使用EAPOL幀進行傳輸(幀長度限制)。因此Su從SMP上面下載HI配置文件(FTP服務,端口可指定),Su發送主機信息給SMP的主機信息收集服務(自定義TCP協議,端口5256,能夠通過配置文件修改端口),都是由SU和SMP直接進行交互。
4) SMP同交換機之間的交互
交換機發送SNMP Trap報文給SMP。交換機發送的SNMP Trap都是用于轉發Su上傳的消息,如果沒有Su,交換機不會發送任何同GSN方案相關的Trap給SMP的。
SMP發送SNMP Get和SNMP Set給交換機:a) 在用戶策略同步時,會先通過SNMP Get報文從交換機獲取交換機的策略情況;b) 安裝刪除策略時,SMP將策略相關信息發送SNMP Set報文中,發送給交換機;c) 對用戶進行重人證,強制下線,獲取HI狀態,手動獲取主機信息等命令,都是通過SNMP Set發送給交換機的,然后由交換機解釋后,生成eapol報文,再發送給su,由su進行實際的操作。
5) SMP與SEP交互
SEP在收到NIDS檢測到的攻擊事件后(這個攻擊事件是多種廠商的NIDS設備通過Syslog、UDP、SNMP等報文的形式發送到SEP的),SEP處理完這些不同廠商發現不同攻擊事件的信息后,以UDP的方式發送到SMP中,完成SEP和SMP的交互過程,這是一個單向的過程,也就是說SMP只從SEP中接收數據,而不向SEP發送數據。
6) SEP與NIDS交互
首先NIDS檢測到某個IP和MAC主機對網絡的攻擊事件,并把結果通過Syslog、UDP、SNMP等報文的形式發送到SEP(安全事件解析器),安全事件解析器SEP再把這個攻擊事件通過UDP報文轉發到SMP(安全管理平臺)。
3.3 協作式入侵檢測系統工作原理及數據流圖
協作式入侵檢測系統工作原理:
1) 身份認證――用戶通過安全客戶端進行身份認證,以確定其在該時間段、該地點是否被允許接入網絡;
2) 身份信息同步――用戶的身份認證信息將會從認證計費管理平臺同步到安全策略平臺。為整個系統提供基于用戶的安全策略實施和查詢;
3) 安全事件檢測――用戶訪問網絡的流量將會被鏡像給入侵防御系統,該系統將會對用戶的網絡行為進行檢測和記錄;
4) 安全事件通告――用戶一旦觸發安全事件,入侵防御系統將自動將其通告給安全策略平臺;
5) 自動告警――安全策略平臺收到用戶的安全事件后,將根據預定的策略對用戶進行告警提示;
6) 自動阻斷(隔離)――在告警提示的同時,系統將安全(阻斷、隔離)策略下發到安全交換機,安全交換機將根據下發的策略對用戶數據流進行阻斷或對用戶進行隔離;
7) 修復程序鏈接下發――被隔離至修復區的用戶,將能夠自動接收到系統發送的相關修復程序鏈接;
8) 自動獲取并執行修復程序――安全客戶端收到系統下發的修復程序連接后,將自動下載并強制運行,使用戶系統恢復正常。
協作式入侵檢測數據流圖見圖3。
4 結束語
由于各高校實力不一、校園網規模不一,出現了許多問題,其中最主要的是“有硬無軟”和“重硬輕軟” 。特別是人們的安全意識淡薄,雖然網絡安全硬件都配備齊全,但關于網絡的安全事故卻不斷發生,使校園網的安全面臨極大的威脅。因此,隨著校園網規模的不斷擴大,如何確保校園網正常、高效和安全地運行是所有高校都面臨的問題。該文結合高校現在實際的網絡環境,充分利用各種現有設備,構建出協作式入侵檢測系統,實現了“多兵種協同作戰” 的全局安全設計,同時將安全結構覆蓋網絡傳輸設備(網絡交換機、路由器等)和網絡終端設備(用戶PC、服務器等),成為一個全局化的網絡安全綜合體系。
參考文獻:
[1] CNCERT/CC[P].網絡安全工作報告,2007.
[2] 張曉芬,陳明奇,等.入侵檢測系統(IDS)的發展[J].信息安全與通信保密,2002(03).
隨著信息化建設的大力發展,醫療網絡也正進行著一次次質的蛻變,從以往病人親自來醫院看病到網上健康咨詢,從堆積如山的病歷、X線光片到現在的無紙化傳輸、存儲,醫療網絡已經成為現今醫療機構的核心競爭力之一。當然,每一次醫療網絡的變革都伴隨著一次技術上的更替,而改造自己的醫療網絡,提高對患者的服務質量也成為近年來各大醫院紛紛采取的一項舉措。
隨著醫院信息化的不斷發展,數字化的醫院成為醫院信息化建設的目標,最終將實現患者信息的無紙化、無膠片等,全面提升醫院的治療效率,為患者提供更專業的診療服務。同時,醫院的患者電子病歷信息需要被保存5~20年以上。然而,隨著醫院各種信息的網絡化,在提升醫院工作效率的同時,也給患者的各種電子病歷信息、醫院管理信息等帶來了極大的安全隱患。作為涉及患者個人隱私及醫院安全的各種信息在網絡中傳播,如何保障患者的電子病歷信息安全,保障患者電子病歷能夠被合法的用戶安全地獲取并查看,是建設數字化醫院的根本前提。
同時,在目前醫院網絡環境中,由于用戶的不當操作和疏忽,造成各種病毒及其攻擊在醫院網絡中肆意流竄,不斷出現的掃描攻擊、DDOS攻擊、ARP攻擊等,造成醫院門診收費中斷,醫保服務無法正常處理等,給醫院網絡的穩定性造成了極大的沖擊。因此,網絡安全是網絡系統穩定性的根本保障。
可見,穩定、安全已經成為構建新一代醫療網絡最需要注重的兩大環節。針對這種普遍的安全、管理問題,銳捷網絡了其全新的GSN(全局安全網絡)解決方案,并針對各個行業進行了定制化的設置,其中,醫療行業就是GSN已應用成熟的眾多行業之一。
GSN,即 Global Security Network,中文名稱“全局安全網絡”,是由銳捷安全交換機、銳捷安全管理平臺、銳捷安全計費管理系統、網絡入侵檢測系統、安全修復系統等多重網絡元素聯合組成,能實現同一網絡環境下的全局聯動,使每個設備都發揮安全防護的作用。GSN通過將用戶入網強制安全、主機信息收集和健康性檢查、安全事件下的設備聯動集成到一個網絡安全解決方案中,以“多兵種”協同達到網絡全方位的安全,以此達到對網絡安全威脅的自動防御,以及對網絡受損系統的自動修復,同時其針對網絡環境變化和新網絡行為的自動學習能力,也達到了對未知安全事件的防范,做到了真正的主動防御。
下面的原理圖,有助于更深刻地理解GSN的工作原理:
在保證數據穩定、高速傳輸的基礎上,銳捷通過GSN側重對醫療網絡的安全與管理進行了考量。通過GSN,銳捷網絡為醫療行業用戶打造了一個多層面的安全保障:銳捷GSN全局安全涉及到身份準入控制;主機信息收集與管理;主機完整性(HI)管理;安全事件管理(包括IDS技術、安全事件下的設備聯動處理等)等諸多安全技術。在安全管理平臺上,GSN能夠根據主機信息定位到相應的接入用戶,了解整個網絡中各種硬件、軟件、操作系統的分布和使用情況,并協助網絡管理人員更好地制定網絡安全策略;同時,GSN能夠通過主機完整性對整個網絡進行監控、主機完整性指的是用戶所使用的PC是否符合相關的要求,如必須安裝某程序且達到某版本(如某殺毒軟件),禁止安裝某些程序等,符合這些要求的PC即可以認為其符合主機完整性接入網絡,如果存在網絡安全問題或不滿足主機完整性的時候,GSN就會對主機進行斷網隔離處理,并在自動修復成功后重新接入網絡,達到各個層面網絡安全的整合防護,以此打造銳捷全局安全網絡。
全局的安全、有效的管理、高速穩定的網絡是銳捷網絡對醫療行業的三大承諾。作為民族廠商,銳捷網絡一直對國內各行業進行著深入的調研,也正是在這持續性的觀察中,銳捷發現穩定高速、安全、易管理已經成為現今醫療網絡的發展前景,而要想在眾多的醫療機構中脫穎而出,人性化的醫療環境和患者的滿意度就成為了考核醫院成效的最大標準。
關于銳捷網絡
