时间:2022-02-27 04:42:28
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全事件管理,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
第一章
总
则
第一条
为明确网络安全事故责任主体(以下简称“责任主体”),追究网络安全事故的责任,结合医院实际情况,制定本制度。责任主体的范围包括科室或个人等。
第二条
负责追究责任主体事故责任的单位或个人统称为责任追究主体,主要为卫计部门网络安全领导小组和蒲窝镇卫生院网络安全工作领导小组。
第三条
本制度适用于蒲窝镇卫生院所有科室,各科室根据本制度落实具体网络安全工作。
第四条
网络安全事故责任认定实行“谁主管谁负责、谁使用谁负责”的原则。
第五条
发生网络安全事故后,应根据安全事件造成的影响及相关责任主体的态度,作出如下处理:
(一)
批评教育。包括责令责任主体检查、诫勉谈话等;
(二)
书面检查。责令责任主体向主管领导作出书面检查;
(三)
通报批评。在卫健系统范围内对责任主体发文通报,责令整改;
(四)
一般处理。降低或扣除责任主体的月薪补贴,将事故写入月度或年度考核中;
(五)
严肃处理。追究网络安全事故发生负有领导责任的负责人的管理责任,发生严重网络安全事故的,对相关责任人处以罚款、责令其赔偿事故损失、通报批评、降职处理、直至开除。
(六)
报警处理。严重损坏社会或国家利益的,上报当地公安部门处理。
第六条
责任追究应当坚持公平公正、有责必究、过罚相当、教育与惩戒相结合的原则。
第二章
责任追究范围和适用
第七条
责任主体有下列行为之一者,应对其进行批评教育或责令作出书面检查:
(一)
发生一般或较大安全事件,未按要求上报的;
(二)
未按规定落实相关网络安全管理制度及技术规范,且未导致安全事件发生的;
(三)
发生重大安全事件后,对调查工作配合不力的。
第八条
责任主体有下列行为之一者,应当责令其作出书面检查或通报批评:
(一)
发生重大安全事件,未按要求上报的;
(二)
未按规定落实相关网络安全管理制度技术规范,导致一般或较大安全事件发生的;
(三)
发生重大或特别重大安全事件,且发生安全事件后处理及时,未对医院财产或声誉造成影响的;
(四)
经过批评教育或责令作出书面检查后,仍不按规定落实相关网络安全管理制度及技术规范的;
(五)
发生特别重大安全事件后,对调查工作配合不力的。
第九条
责任主体有下列行为之一者,应当予以通报批评或一般处理:
(一)
发生特别重大安全事件,未按要求上报的;
(二)
发生重大或特别重大安全事件,且发生安全事件后处理不及时,给医院财产或声誉带来一定影响的;
(三)
发生特别重大安全事件后,对调查工作不配合的。
第十条
责任主体有下列行为之一者,应当予严肃处理,情况十分严重者应报警处理:
(一)
发生重大或特别重大安全事件造成后果严重并刻意隐瞒或谎报,造成恶劣影响的;
(二)
未按规定落实相关网络安全管理制度及技术规范导致发生重大或特别重大安全事件,且发生安全事件后处理不及时,给医院财产或声誉带来恶劣影响的;
(三)
发生安全事件后销毁证据、弄虚作假的。
第十一条
对应追究责任主体责任而敷衍结案、弄虚作假的,应当对责任追究主体通报批评。
第十二条
有下列情形之一者,不追究责任主体的责任:
(一)
因不可抗力导致发生的网络安全事故;
(二)
有充分证据证明完全落实了相关安全要求,由未知原因导致网络安全事故发生的。
第十三条
责任主体主动承认过错并及时修补管理或技术漏洞,减少损失、挽回影响,态度非常好的,应当予以从轻或减轻责任追究。
第三章
责任追究程序和实施
第十四条
责任追究过程采用层层负责制,下级责任追究主体对上级责任追究主体负责。
第十五条
责任追究程序包括调查、对调查报告审核、作出责任追究决定等。
第十六条
对网络安全事故的调查和对事故责任的初步定性由医院网络安全工作领导小组及医院网络安全工作领导小组办公室负责,并对调查报告进行审核。
第十七条
调查报告的审核重点:
(一)
事故的事实是否清楚;
(二)
证据是否确实、充分;
(三)
性质认定是否准确;
(四)
责任划分是否明确。
第十八条
责任追究决定:
(一)
对责任主体作出批评教育、责令作出书面检查、通报批评时,由医院网络安全工作领导小组直接决定。
(二)
对责任主体作出一般处理、严肃处理时,由责任主体所在科室或上级部门网络安全工作领导小组安全办公室、人事、主管部门共同作出决定,并报网络安全工作领导小组审批通过后执行。
第十九条
对责任主体的追究决定由人事、财务、相对应的主管部门、网络安全工作领导小组办公室等职能部门分别负责实施。
第四章
附
则
第二十条
本制度解释权归属蒲窝镇卫生院医院网络安全工作领导小组办公室。
第二十一条
本制度自之日起执行。
信息化时代的到来,推进了网络技术的高速发展和应用,但各种计算机病毒和黑客的入侵也层出不穷,让人防不胜防,建立强有力的预警系统,,全方位地保障网络安全,是我们首先要做到的。预警定位的目的就是警戒距离,及时正确的探测目标活动范围,探测事实的真假,获得有关数据,处理相关信息,并迅速并自己获得的探测情报快速传送到信息安全控制中心,为其提供正确的决策信息。网络隔离,就是把有害的攻击隔离在可信网络之外,同时也保证可信网络内部信息不外泄,还能够完成可信网络之间的数据安全交换。
1 国内外网络安全问题现状
国外的网络安全预警系统及入侵检测技术的研究比我国要早,在重要政治,军事以及经济网络的非法入侵加强了防范和监控。在美国还专门设立了计算机安全中心以及预警系统,专门对付非法网络入侵,负责搜索预警情报,网络攻防技术,网络信息战指导以及网络战战术预警中心等。美英对网络安全问题都特别重视,自九七年以来,一直致力于网络安全预警技术的研究和开发,并取得了不错的成绩,在预警技术研究上也遥遥领先于其他国家。
目前,我国还没有专门的大规模预警系统工程,只是在某些领域局部地建立了入侵检测预警系统。但是,要想跟上时代的步伐,适应信息化时展的需要,保障我国各方面网络系统的正常运行,我们必须大力投入网络入侵预警定位和隔离控制系统的研究,提升我们国家网络系统的反应能力,减少恶意网络攻击对我们造成的伤害,加强我们的跟踪和反击能力。
2 网络安全预警系统的研究
现在大规模的网络安全事件时有爆发,而小规模的网络安全事件,更是层出不穷,为了防范和应对频繁爆发的网络安全问题,我们必须在全国范围甚至全世界范围内建立一个统一的网络安全系统,保障我们的网络能够安全可靠地运行。
如何确保网络安全?特别是面对大规模大范围内的网络安全威胁问题如早几年轰动一时的蠕虫事件,我们又该怎样来应对呢?我们要对安全事件的重灾区实行强有力的反击,我们还要通过分析安全事件的特征,建立大规模网络安全事件预警机制,通过监控手段实时掌握安全事件的活动范围,对警戒灾区进行快速定位,安全隔离,力争把损失降到最少。
2.1 网络安全事件的模式
网络安全事件的模式大致分为已知安全事件和未知安全事件两种模式。而网络预警技术就是要通过分析大规模网络安全事件的特性,从中找到和发现规律,从而能够准确地检测安全事件和正确地预警。网络预警技术能够从网络的正常活动和异样的活动中发现其规律,来进行入侵预警,提高工作人员的判断能力,力争把网络安全威胁拒之门外。
2.2 网络安全事件的控制
对于传染蔓延性网络安全事件,我们一定要在第一时间控制。传染蔓延性网络安全大体可以分为三个传播阶段:缓慢开始阶段,快速传播阶段,缓慢结束阶段。刚开始缓慢传播阶段,因为受控主机数量少,辐射传播范围也小,传播速度也缓慢,就容易控制。所以,我们就要对安全事件扩散蔓延进行第一时间的预测,判断,直至预警,统一安排隔离,快速撒下大网覆盖所有受感染主机,确保将传染性蔓延消失在萌芽状态。
2.3 网络安全整体战略
对于大规模的网络安全事件,我们一定要树立整体战略观念,在全网范围内要统一行动,共同对外,共御强敌。对于网络安全事件,各个部分都要统一行动起来,团结一致贡献自己的力量,把非法入侵分子赶出网络。
对于预警灾区边界地带,也要加强防范,统一布置,该隔离就隔离,该治疗就治疗等,确保网络安全。
3 实现网络安全的方法和技术
在DCEORICS中,每一个独立的自治网络通过协同控制,共同工作,酝造一个安全舒适的网络世界。各个不同的自治网络还可以实现资源和信息安全共享,实现更大领域的协调互补,建立大规模网络统一安全体系。
3.1 入侵蔓延预测模型的建立
我们在全网建立完善的入侵监控模型,通过审核监控进入和外发流量,及时将数据输送给预警监控中心,让监控中心通过统计分析这些数据,建立其预警预测机制,确保网络安全。
3.2 全网统一安全控制策略
对各分布式网络实行统一管理,建立统一的公共安全控制模型。对主机传播的文件数据进行严格的审查,针对各个不同安全事件的活动特性,采取不同的隔离防范措施,研究隔离控制策略的自动生成方式,自动生成隔离控制策略,建立隔离数据库。多侧面,多层次,全方位地研究隔离的策略,管理方式等,力争把安全事件消灭在萌芽状态,及时隔离控制。
3.3 协同预警与隔离控制模型
协同预警与隔离控制模型既要服从,又要相互尊重,相互协作。上层系统由协同预警模块与隔离控制模块组成。安全控制策略模型把全网络分成安全区,警戒区,危险区,问题区,并且对各个不同的区采用不同的隔离策略,全网还有一个最高指挥系统――安全控制中心,负责统一调配等。
4 结语
对于大规模网络的预警定位与快速隔离控制,我们不再是束手无策了,DCEORICS已然能够轻松自如地进行准确的监控和预警,并且能够及时定位,而且还能立马采取应对措施,实行安全控制和隔离,确保网络正常运行。
参考文献
[1]赵刚.试论网络信息安全控制技术及应用[J].湖北科技学院学报,2013,33(11):194-195.
[2]姚志强,张文.企业网的安全控制技术[J].高师理科学刊,2002,22(2):13-15.
一、高度重视,迅速贯彻落实
通过召开专题会议、发送微信通知,及时将上级的文件精神传达给每位干部职工,让全体党员干部充分认识到做好当前网络信息安全保障工作的重要性和必要性,并作为当前的一件头等大事来抓,确保网络安全。
二、强化管理,明确责任
为进一步完善网络信息安全管理机制,严格按照“谁主管谁负责、属地管理”的原则,明确了第一责任人和直接责任人,加强对本单位的内部办公网及其它信息网站的监督管理,防范黑客的入侵。严禁传播、下载、发表一切不利于党和国家的信息资料,坚决制止违纪违规行为发生,确保网络信息安全。按照上级要求,迅速成立了网络安全工作小组,负责网络安全应急工作,组织单位有关方面做好应急处置工作,组织开展局域网络安全信息的汇集、研判,及时向县网信办报告。当发生重大网络安全事件时,能及时做好应急响应相关工作。由办公室负责本区域网络安全事件的监测预警和应急处置工作,分管副局长为网络安全工作小组的副组长,负责办公室。建立了本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好网络信息安全保障职责。
三、信息报告与应急支持
1.积极响应上级领导的有关要求,实时观测本区域网络安全信息,努力做到有效应对网络安全事件,一旦发生重大安全网络事件及时向县网信办报送网络安全事件和风险信息,并及时上报相关部门,积极配合协同做好应急准备工作或处置。
2.积极建立健全本系统、本部门、本行业重大网络安全事件应急响应机制。应急处置时,需要其他部门、行业或技术支撑队伍支持的,一定及时报请县网信办协调,同时配合其他部门尽快解决。
四、细化措施,排除隐患。
办公室将对对全局的网络设备、计算机进行一次细致的排查。检查安装桌面终端安全管理系统和杀毒软件,确保桌面终端安全管理系统注册率和360杀毒软件覆盖率达百分之百。对于在检查中发现的问题或可能存在的安全隐患、安全漏洞和薄弱环节,立即进行整改。进一步完善相关应急预案,落实应急保障条件。杜绝出现违规“自选动作”,遇重大突发敏感事件,一律按统一部署进行报道。各科室要严把网上宣传报道导向关,严格规范稿源,不得违规自采,不得违规转裁稿件,不得擅自篡改标题。严格网上新闻报道审校制度,防止出现低级错误,同时加大了对新闻跟帖的管理,组织本单位网评员积极跟帖。
五、应急值守
1.单位网络安全应急负责人、联系人要保持网络畅通,及时接收风险提示、预警信息和任务要求,并按要求报告相关情况。负责人、联系人名单或联系方式有调整的,及时函告县网信办。
2.值班期间,实行每日“零报告”制度,每日下午17:00前,报送当天本部门网络安全运行情况、受攻击情况和事件情况,一旦发生网络安全事件,立即启动应急预案,迅速应对,有效处置,并按规定程序及时报告有关情况。
六、工作要求
随着互联网技术的不断发展,互联网在生活与工作中的应用范围越来越广,并逐渐改变着人们的生活与工作方式,其影响意义比较深远。但是互联网也存在较大的安全隐患,会导致网络瘫痪或者信息丢失,严重影响人们的生活与工作。在传统的网络安全管理中通常会采用防火墙、恶意代码检测与入侵检测等技术,但其安全防范效率不够理想。为了提高网络安全管理水平,促进网络整体的正常运行,需要及时采取加固措施,以便对整体网络安全进行有效的评估与预测。然而网络安全态势感知随之产生,并逐渐受到人们的关注。本文就网络安全态势感知模型概况进行分析,探讨网络安全态势感知模型的设计与关键技术的实现情况,以便提高网络安全与管理质量。
关键词:
网络安全;态势感知模型;设计与实现
0引言
在当今科学技术高度发展的时候,互联网已经普遍应用与社会各个领域中,在给人们生活与工作带来较大便利的同时,由于网络攻击、恶意行为等安全事件频发,严重威胁到网络安全,给人们的信息与隐私带来较大的不良影响。因此,需要加强对网络安全技术的研究,以便有效的提高网络安全,减少安全隐患的发生。目前,大多数研究者将关注点放在网络安全态势感知研究上,其成为解决现有网络安全事件的研究关键。其是一种有效的事前防御措施,对网络安全环境信息进行收集,并对系统可能存在的威胁进行分析,从而预测未来网络安全状况的发展趋势,以便减少网络安全风险。
1网络安全态势感知模型概况
网络安全态势感知最早是在航空领域中提出与研究,其主要是通过对态势感知理论进行研究,以便对飞行器进行分析,之后随着该理论的逐渐成熟,逐渐广泛用于军事、交通、核工业等领域中。越来越多的人们关注态势感知的研究。逐渐网络态势感知被提出,最早分为态势要素获取、态势理解与态势预测三级模型。随着研究力度的不断加大,在原有的基础上进行异构传感器管理的功能模型,主要是对异构网络的安全态势基础数据进行采集,并对数据进行整合处理,以便对信息进行对比而形成威胁库与静态库。
1.1网络安全态势的提取
网络安全态势信息的提取主要是态势感知的基础,对数据进行全面的收集,并使用成熟的指标体系,可以有效的确保结果的正确性,因此,需要重视态势感知提取的重要性。网络安全态势感知的来源比较多元化,采取不同的收集昂发与设备,其收集到的数据格式也会不同。网络安全态势信息主要有流量、运行状态、配置与用户行为等内容。
1.2网络安全态势的理解
首先,需要对网络安全事件进行关联性分析。由于网络安全事件的报警数据据具有重复性,没有经过处理的态势对对系统的正常运行带来一定的负担,并影响到分析结果。因此,需要对其进行关联分析,以便对安全时间进行过滤。通过防火墙、入侵系统以及脆弱性分析等方式来处理。以便对虚假的网络安全时间进行筛选,需要对基础数据进行有效的过滤。
1.3网络安全态势预测
其主要是根据网络目前与历史完全数据进行分析,对其味蕾的发展情况以及可能出现的完全事故等进行预测。通过态势预测可以尽可能早的发现网络环境中可能出现的安全隐患,并对其及时采取有效的预防,从而可以达到较好的安全管理作用。
1.4态势可视化
可视化是系统管理提供的一个可以感知的态势感知平台,能够方便管理,对系统的整体情况通过可视化来感知。并且其展示的方式逐渐多元化,包括分支展示、曲线展示、统计展示等。
2网络安全态势感知模型的设计方案
2.1网络安全态势感知系统的定位设计
在网络安全态势感知模型中,其主要是应用与网络安全管理中,其系统定位主要包括:在系统运行的时候,展示整体运行情况,并对管理人员提供可视化的管理平台,以便积极采取响应措施。同时,需要对数据进行有效的采集,以便提高该系统运行的准确性。并且需要选择高性能的评估与预测算法,对态势感知进行综合评估与预测。
2.2设计原则
首先,高效性原则。通过对复杂的网络结构进行分析,在数据收集的时候,需要确保数据收集的高效性,从而促进系统的安全运行,以便快速的发现安全隐患,作出充足的应急方案。其次,实时性原则。重点需要在网络动态情况下及时发现系统可能存在的安全隐患,以便及时采取措施来确保系统网络的安全性。并且在感知的过程中需要对每个阶段与流程坚持实时性原则,以便及时、准确的展示系统的运行状态。再次,可扩展性原则。在态势感知系统中主要是一个管理支撑平台,必须要确保系统具备可扩展性,以便设计出灵活的接口形式,形成可扩展的网络安全平台。
2.3总结架构
网络安全态势感知模型是以态势评估为主线,也是自主研发的态势感知平台,在设计的时候运用的是松耦合设计原则,各个模块之间具有较强的独立性,并且模块之间通过数据接口来交互。该系统主要分为界面层与功能层两方面。界面层中,是网络安全态势感知的展示与配置功能,主要是对网络设备进行配饰,并对网络拓扑结构进行绘制。同时,还具备动态计划任务设置、管理、安全态势指标配置等功能。而在功能层中,其主要是网络安全态势感知系统的核心所在,主要功能包括关联分析、统计分析、数据采集、指标配置、态势预测、评语与展示等。
2.4功能模块关系
系统功能模块之间的关系为核心模块提供了基础的保障,其主要的模块是网络安全态势评估模块。系统中的数据流主要是通过数据采集器在各种网络环境中采集而来,并将其提高给态势分析模块,数据处理后需要向上层态势模块提交评估数据。在整个系统的交互过程中,数据采集器对数据进行基础数据存储与关联分析,并对安全时间的数据库进行存储,同时,需要对网络安全态势评估后的结果进行存储。
3网络安全态势感知模型设计的实现
3.1网络安全态势评估工作流程
其主要流程包括:(1)数据采集与关联分析。对各种网络环境中的数据进行有效的采集,并对其进行简单的数据处理后,将其存入基础数据库。之后对网络安全事件进行关联性分析,从而形成网络安全事件数据库(。2)确定指标体系。对系统中需要的指标进行确定,以便根据评估算法来建立评估指标。(3)对模糊评估进行统计分析。在网络安全系统中,通过对数据库进行关联性分析,可以形成可用性、安全性与可靠性的基础数据库(。4)安全响应。通过对态势感知的评估结果进行分析后及时采取有效的影响措施来处理。(5)结果显示。通过可视化功能对整体网络安全态势的运行情况进行展示。
3.2关键模块功能的实现
通过对可用性、设备信息以及脆弱性信息进行有效的采集后,通过数据模块采集,并给网络安全态势评估提供相关的数据库资源。在指标配置模块中,需要对动态配置指标进行有效的配置。而在关联性分析模块中,需要对网络安全事件进行关联性分析,从而形成网络安全事件数据库。在态势评估模块中,网络安全态势需要通过评估来了解系统目前的系统信息。而响应模块需要对当前情况进行分析,以便响应网络安全事件,并向管理人员提供安全响应。在态势展示模块中需要对整体的结果进行展示,对网络节点信息展示并具有一定的告警展示。
3.3数据收集模块的实现
在数据收集模块中,主要是针对安全态势感知而提出基础数据源,在态势评估过程中属于第一个步骤。由于在网络环境中,主要包括各种设备,例如防火墙、主机、网关灯,这些异构设备在运行环境、使用的协议以及数据格式等方面具有较大的不同。在对数据进行收集的时候,需要对无用的数据进行过滤,并对格式进行统一化,从而取得网络的拓扑结构,对设备的相关信息进行完善,以便促进管理人员的安全管理。在数据收集模块的设计与实现的时候,需要对网络中的流量数据、日志数据以及漏洞数据等进行收集,并对其进行过滤,统一形成一种数据格式,之后将这些数据统一发送到服务器端。数据收集模块的实现主要是通过管理中的计划任务功能来完成的,在某个主机发生危险的时候,通过对数据的收集,从而快速的、准确的分析网络安全事件,并积极采取有效的措施来解决。
3.4指标配置模块的实现
在指标配置模块中,其主要的功能是对网络的安全态势进行一级、二级指标配置,以便对其进行动态管理,输入操作态势评估,并且需要完成扩展功能,以便为今后的指标体系扩展提供相关的接口服务。该模块主要是通过对指标间层次关系进行展示来实现的,并对数据源进行指标,以接口的形式来获取数据,从而确保该模块的正常运行。
3.5关联分析模块的实现
在网络安全态势感知模型中,关联分析模块是其中比较重要的一部分,对系统中网络安全事件能够有效的进行融合性分析,并对其进行分类与统计,可以过滤冗余的信息,对警报间的关系进行分析,从而缓解系统的工作。
3.6态势评估模块的实现
在该模块中,需要对数据进行采集,并对其统计分析后形成数据库,通过一定的计算方法进行网络安全评估。通过对当前的网络状况进行评估来对该系统进行分层分析,从而达到网络安全态势评估的目的。通过层次分析的作用对指标权重值进行确定,并结合模糊匹配的评价方式来实现网络安全态势评估。
4总结
为了能够有效的提高网络安全管理质量与水平,减少网络安全事故的发生,需要加强对网络安全态势感知模型进行分析研究,以便将其充分应用于网络安全管理中。态势感知模型是一种定量的分析方式,能够进行准确的度量分析,在网络安全管理中起着至关重要的作用。根据当前的网络安全环境与实际需求来设计网络安全态势感知模型,可以有效的满足实际需求,解决网络安全隐患。
作者:徐振华 单位:北京信息职业技术学院
参考文献
[1]王慧强,赖积保,胡明明,等.网络安全态势感知关键实现技术研究[J].武汉大学学报,2013,33(28):129-130.
[2]陈彦德,赵陆文,潘志松,等.网络安全态势感知系统结构研究[J].计算机工程与应用,2014,22(18):784-785.
[3]蒙仕伟.网络安全态势感知模型研究[J].硅谷,2013,19(12):832-833.
【关键词】 医院信息化建设 IT运维与安全管理
引言:
目前,随着信息技术的日新月异和网络信息系统应用的发展,医院、企业网络技术的应用层次正在从传统的、小型业务系统逐渐向大型、关键业务系统扩展。面对日趋复杂的IT系统,不同背景的运维人员已给企事业信息系统安全运行带来较大的潜在风险,如医院信息系统是医院日常工作的重要应用,存储着重要的数据资源,是医院正常运行必不可少的组成部分,所以必须加强安全保障体系的建设。于是,堡垒机在医院中的应用,为医院工作的应用提供了安全可靠的运行环境。
传统的网络安全审计系统给医院的的运维安全问题带来了很多风险,如:账号管理无秩序,暗藏巨大隐患;粗放式权限管理的安全性难以保证;设备自身陈旧,无法审计运维加密协议、远程桌面内容等,从而难以有效定位安全事件。
以上所面临的风险严重破坏政府、医院、企业等的信息系统安全,已经成为其信息系统安全运行的严重隐患,尤其是医院,将影响其效益。尤其医院信息系统是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。
因此在考虑安全保障体系时,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
如何有效监控业务系统访问行为和敏感信息的传播,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求,是企事业迫切需要解决的问题,即IT运维安全管理的变革已刻不容缓!
堡垒机提供一套先进的运维安全管控与审计解决方案,它通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,为整体网络安全策略的制定提供权威可靠的支持。
随着堡垒机在医院中的应用,其主要实现了以下功能:
1)账号管理集中
堡垒机建立于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备等无缝连接,集中管理主账号(普通用户)、从账号(目标设备系统账号)及相关属性。
2)访问控制集中
堡垒机通过集中对应用系统的访问控制,通过对主机、服务器、网络、数据库等网络中所有资源的统一访问控制,确保用户拥有的权限是完成任务所需的最小权限,实现集中有序的运维操作管理,防止非法、越权访问事件的发生。
3)安全审计集中
基于唯一身份标识,堡垒机通过对用户从登录到退出的全程操作行为审计,监控用户对被管理设备的所有敏感的关键操作,提供分级告警,聚焦关键事件,能完成对医院内网所有网上行为的监控和对安全事件及时预警发现、准确可查的功能。
通过此体系监控到的数据能对医院内部网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等这些情况有较全面的了解。
信息安全是一个动态的过程,要根据网络安全的变化不断调整安全措施,适应新的网络环境,M足新的网络安全需求。
安全管理制度也有一个不断完善的过程,经过安全事件的处理和安全风险评估,会发现原有的安全管理制定中存在的不足之处。根据安全事件处理经验教训和安全风险评估的结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整。
参 考 文 献
[1]赵瑞霞.构建堡垒主机抵御网络攻击[J].网络安全技术与应用,2010,08.
随着网络的大规模应用,承担着大量教学任务的高校计算机开放实验室的信息网络安全问题日益突出。这些安全问题直接影响着学校教育教学活动的正常开展。因此,对计算机实验室信息网络安全问题进行研究分析具有十分重要的意义。
2 实验室信息网络安全事件的调查及特点分析
为了研究实验室信息网络安全问题。本人在调研访问其它农业院校时对其实验员关于安全问题进行了调查。在北京农学院,每日的工作中,观察、询问、指导上机学生的信息网络安全问题并且记录下来,同时本人将整个实验中心每日维护记录中分散的信息网络安全事件进行统计和分析,形成如表1所示的两个学期中发生在北京农学院计算机实验室的信息网络安全事件的统计表。通过对实验室信息网络安全问题的所有调查资料的整理和分析,发现农业院校实验室信息网络安全问题有如下特点。
2.1 感染恶意代码是实验室面临的主要威胁
恶意代码(也称恶意软件)是指能够影响计算机操作系统、应用程序和数据完整性、可用性、可控性和保密性的计算机程序或代码。主要包括计算机病毒、蠕虫、木马程序等。
调查发现:感染恶意代码是农业院校实验室面临的最主要的信息网络安全问题。比如:在北京农学院实验室中,与其他农业院校类似,频繁更替上机的是大量的本科学生兼少量的研究生,这些学生的计算机感染上恶意代码事件就有168件,占所有实验室信息网络安全事件的57%(见表1) ,高居首位。
调查还发现:截止到2014年上学期结束,在本校及其他农业院校计算机实验室出现的最多的恶意代码,主要有:
1) “木马下载者”(Trojan_Downloader)及变种;2) Trojan_Hijclpk及变种; 3) “木马”(Trojan_Agent)及变种;4) Trojan_Generic.TNK;5) “灰鸽子”(Backdoor_GreyPigeon);6) Hack_Kido及变种;7) “U盘杀手”(Worm_Autorun)及变种。
2.2 垃圾邮件、网页遭篡改、网络攻击或端口扫描问题依然存在
在调查过程中发现:1) 实验室中有的学生的信箱空间被大量的垃圾邮件侵占,影响了正常地学习交流邮件的发送。他们每天都要花费时间来处理这些垃圾邮件。这些垃圾邮件的内容包括:赚钱信息、成人/游戏广告、商业或个人网站广告、连环信、电子杂志等。并且以各种宣传广告等对收件人影响不大的良性垃圾邮件居多,恶性的垃圾邮件较少。2) 学生的网页遭篡改问题主要是浏览器主页被篡改。通常学生在安装新软件时会导致浏览器主页被篡改,大部分篡改是出于给自己的主页做广告的目的。3) 攻击者为了扫描查看端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷,以便进行下一步攻击,从而对实验室中学生的主机从0开始的每个端口都发送了TCP SYN或UDP报文。
虽然计算机信息网络安全防御技术进步很快,但是从调查结果来看垃圾邮件、网页遭篡改、网络攻击或端口扫描问题并没有从农业院校实验室消失,而是依然存在,并且不容忽视。例如,本校,遭到网络攻击或端口扫描事件12件,占总事件的4%;垃圾邮件事件52件,占总事件的17.7%;网页遭篡改事件45件,占总的实验室网络安全事件的15.3%(见表1) 。
2.3 网络盗窃或网络钓鱼问题增长较快
网络钓鱼是通过伪造来自于银行或其他知名机构的电子邮件、Web 站点,意图引诱对方给出敏感信息(如用户名、口令、帐号、ID、ATM PIN 码或信用卡详细信息)的攻击方式。
调查结果显示:农业院校计算机实验室的网络盗窃或网络钓鱼问题增长较快。比如:本校,网络盗窃或网络钓鱼事件共16件,占所有实验室信息网络安全事件的5%(见表1) ,是去年发生的该类事件的8倍,增长较快。
在本校及其他农业院校计算机实验室中,学生遇到的钓鱼网站主要有以下几个:
1) 假冒支付宝类钓鱼网站:http://aasswweess11.tk/pay/;骗取银行卡号及密码。2) 假冒中国好声音类钓鱼网站:http://zjtvt55.com/;虚假中奖信息,诱骗用户汇款。3) 假冒爸爸去哪儿类钓鱼网站:http://babwe.com/;虚假中奖信息,诱骗其汇款。4) 假冒工商银行类钓鱼网站:http://23.244.155.48/;骗取银行卡号及密码。
调查发现,在实验室遭遇网络盗窃的大多数为大一新生兼少量大二学生,他们相信某些网站、投放的广告或链接,在使用QQ、阿里旺旺等客户端聊天工具时,网游、支付宝或银行密码和帐号泄漏或被盗窃控制,造成了经济损失。
[类型\&感染恶意代码\&遭到网络攻击或端口扫描\&网页遭篡改\&垃圾邮件\&网络盗窃或网络钓鱼\&数量(件)\&168\&12\&45\&52\&16\&比例\&57%\&4%\&15.3%\&17.7%\&5%\&]
3 导致信息网络安全事件发生的原因分析
在调查导致这些农业院校实验室信息网络安全事件发生原因的过程中,本人主要从支持安全事件发生的要素着手进行分析。
1) 未修补安全漏洞是计算机实验室网络安全事件发生的最主要原因。操作系统、浏览器和应用软件中都存在大量的漏洞,是不法分子用来传播病毒、挂马和发动攻击的最主要途径。
2) 弱口令或缺少访问控制也是导致实验室的信息网络安全问题发生的原因之一。
3) 频繁更替的上机学生通过网络下载或浏览器使得病毒传播。他们直接下载的未经杀毒的应用软件中可能含有病毒、木马等恶意程序,尤其各类游戏网站更是病毒木马散布的温床。
4) 由于农业院校公共计算机实验室通常只针对系统分区(C盘)开启还原保护功能,提供给学生使用的其他分区未启用该功能。因此,当计算机重新启动以后,未受保护的磁盘分区可能仍保存有病毒程序的寄生文件。一旦学生操作不慎,就有可能激活未保护分区上的病毒。
5) 一些农业院校的部分计算机专业实验室是不自动还原的,学生可以下载、安装和设置实验相关软件,以锻炼农业信息化专业学生的实践能力,但这种设置给恶意代码带来了机会。
6) 有的学生总轻易打开一些来历不明的邮件 及附件,这样木马、蠕虫等恶性代码就潜入。
7) 实验室中,学生使用的QQ、MSN等即时通信软件易被病毒攻击,并且学生容易点击其中的恶意网站链接。这些病毒可监视或截获键盘、鼠标的输入等,从而窃取用户信息。
8) 学生在实验室使用u盘等移动存储设备时,常常直接打开移动分区查看里面内容,这个行为会激活寄存在u盘内的autorun病毒,引发其在操作计算机上的再次传播。
另外,从主观上分析原因。实验管理员依赖硬盘保护卡、杀毒软件等已有防护,导致安全漏洞补得不及时,病毒特征库升级不及时。同样,学生缺乏病毒防范意识和计算机设备安全操作规范。以上这些都是导致计算机实验室信息网络安全事件发生的原因。
4 结束语
本文对农业院校计算机实验室信息网络安全事件进行统计,分析出其特点,找出了导致信息网络安全事件发生的原因,以便提高农业院校计算机实验室信息网络安全管理水平。
参考文献:
[1] 杜治国,徐东风,等. 实验室信息系统安全与规范化管理模式探究[J].实验技术与管理,2013(7):217-220.
[2] 钟平.高校网络安全实验室建设探索[J].实验室科学2010(1):122-124.
关键词:网络;安全管理;技术
随着科学技术的迅猛发展,网络信息技术的全球化运转,网络信息技术已经深入了各行各业的运营管理发展中。网络信息技术具有快速、准确、系统等多方面的信息传递优势,运用网络信息技术进行企业经营管理,直接影响了整个企业的经济效益和经营管理效率。但是,随着企业管理网络的不断扩大和衍生,网络安全管理难度系数越来越大,经常会因为各种网络安全问题导致企业网络瘫痪,企业一旦遭遇网络瘫痪的症状,会对企业的经营管理造成极大的影响,直接损坏了企业的经济效益[1]。因此,各企业运营中越来越重视其网络安全管理工作,本文重点分析了网络安全管理技术问题,并提出了解决方案。
1 网络安全管理主要解决的问题
网路安全管理对企业网络系统的正常运营具有重大意义,其安全管理工作包括防火墙的设置、网络密码加密、电子服务器认证系统以及病毒防控等内容,在安全管理工作当中一旦忽略了当中某一个安全管理环节,会导致网络安全出现漏洞,严重影响整个网络系统的正常运营工。因此,如何保证网络安全管理工作备受业界关注。目前网络安全管理工作需要解决的主要问题包括:
⑴进行严密的安全监控是网络安全管理工作的一个重要部分。通过安全监控工作企业可以及时了解企业内部网络的安全状况,一旦出现问题,可以及时发现并采取相应的措施进行监控。
⑵对企业网络进行补丁管理的配置,在网络安全监控工作中一旦出现企业安全漏洞,可以通过补丁快速进行修复,这样一方面可以大大提高网络系统安全防御能力,同时又能较好的控制企业用户的授权问题。
⑶对企业网络进行集中策略的管理,通过以网络系统为主单位,建议一个自上而下的安全管理策略,将安全管理策略融入到企业网络系统的不同执行点当中,对网络安全管理工作具有重要意义。
2 网络安全管理的核心要素
网络安全管理的主要包括安全策略、安全配置以及安全事件等元素,其具体内容包括以下几个方面:
2.1 安全策略
在网络安全管理技术当中实施安全策略是网络安全的首要因素。通过网络安全管理策略的制定,可以明确网络安全系统建立的理论原因,明确网络安全管理的具体内容以及可以得到什么样的保护。通过安全策略对网络管理规定的安全原则,来定义网络安全管理的对象、安全管理方法以及网络安全状态。另外安全策略指定的过程中要遵守安全管理工作的一致性,避免系统内部安全管理工作当中出现冲突和矛盾,否则容易造成网络安全管理工作的失控[2]。
2.2 安全配置
网络安全配置是指构建网络安全系统的各种设置、网络系统管理的安全选项、安全策略以及安全规则等配置,对网络安全管理具有重要意义。一般情况下,网络安全管理配置主要包括网络运营系统中的防火墙设置、网络数据库系统、操作系统等安全设置,在实际运营过程当中要对网络安全配置进行严格的控制和管理,禁止任何人对网络安全配置进行更改操作。
2.3 安全事件
网络安全事件主要是指影响网络安全以及整个计算机系统的恶意行为。主要包括计算机网络遭到恶意攻击和非法侵入,网络遭遇恶意攻击和非法入侵会导致企业利用网络进行的商业活动被迫终止,程序停止运营,极大程度上影响了企业网络安全管理工作[3]。破坏网络安全的恶意行为通常表现为,利用木马病毒的入侵复制、盗窃企业内部资料和信息;组织企业利用网络进行的商业活动;终止企业运营过程中需要用到的网络资源;监控企业的实际运营管理工作,这给企业正常经营管理工作带来极大的影响。
3 网络安全管理发展趋势
现阶段网络安全管理技术还比较单调,尚未形成一个系统的安全管理机制,在实际管理工作当中还存在许多不足。随着网络技术的不断发展和进步,网络安全管理技术也将得到快速发展,网络安全管理体系将对安全软件以及安全设备进行集中化管理,通过对网络安全的全面监控,切实保障网络安全的可靠性,及时发现运营过程中存在的网络安全隐患;同时,网络安全管理技术将实现系统动态反应以及应急处理中心,实现对突发网络安全事件进行有效预案处理;另外,企业网络安全管理还将对网络系统的相关管理人员、软件、硬件等安全设置集中管理中心,完善安全管理系统[4]。
因此,企业要加强对网络信息技术的安全管理,采取措施严格控制病毒、黑客对企业网络系统的攻击,维护企业网络系统的安全性,保证企业在激烈的竞争环境中长远发展下去。
[参考文献]
[1]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.信息技术安全技术.信息安全管理实用规则[s].中国高新技术企业,2010,(1):121-122.
[2]wimmasat山ngs,著,杨明,青光辉,齐东望,等,译.密码编码学与网络安全:原理与实践(第二版),电子工业出版社,2001.4.
关键词:网络安全;安全管理;网络监管系统
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-02
Research&Application of Network Security Management System
Huang Yang
(The 772th Research Institute of China Shipbuilding Industry Corporation,Hubei430064,China)
Abstract:Aiming at the fact that there are lots of potential safety hazard on network,this paper researched and discussed the network security management system.Firstly the current information on network of security management system was analyzed,on the basis of analysis,the design and realization of network information security management system was discussed in details,and the whole structure levels and function models were pointed out;on the other hand,the realization scheme of the network information security management system was analyzed from the client,server and the long-distance communication,the three aspects were also discussed.All this work is significative for enhancing the information security level on network.
Keywords:Network security;Security management;Network management system
一、引言
随着计算机网络的发展,信息与网络技术正逐渐改变着人们的政治、经济、文化生活的方式。同时,随着人们对网络依赖性的增强,网络安全问题逐渐暴露,网络安全事件层出不穷。在信息化程度逐步提高的现代社会,信息安全越来越得到关注。
本论文重点结合局域网内信息安全的要求,对网络安全监管系统进行开发设计与研究,以期从中找到可靠有效的信息安全管理模式和网络安全监管系统的开发管理经验,并以此和广大同行分享。
二、网络安全监管应用现状分析
为了防范安全攻击,提高网络安全性,安全厂商纷纷采用各种安全技术,推出各类安全产品,如防病毒、防火墙、入侵监测、入侵保护、VPN等等,并且加强操作系统和应用系统自身的安全防护,加强安全审计。这些措施都在很大程度上提高了网络的安全状况,然而,不同的安全产品都是解决某一方面的安全问题,例如:防火墙用于检测和限制外部网络对受保护网络的访问,对穿过防火墙的恶意数据包却无能为力,更不能防范内部威胁。
针对上述情况,需要有相应的技术和产品来整合不同的安全产品,能够将来自不同事件源的事件统一监控起来,并对这些事件进行分析,向用户提供网络运行的整体安全状况,有效减少误报和漏报,极大提高报警准确性,发现复杂的攻击行为,并能根据保存的历史事件数据对事件进行深入调查和安全审计。
为了解决上述问题,本文提出了统一的网络安全监测系统,该系统从网络的整体安全出发,通过对网络中各种安全设备的集中监控,收集各安全设备产生的安全事件,并通过对收集到各种安全事件进行深层的分析、统计和关联,定位安全风险,对各类安全事件及时提供处理方法和建议的安全解决方案。
三、网络安全监管系统的设计研究
(一)系统总体层次架构设计
安全监测分析系统的基本功能是采集防火墙、IDS、IPS、网站防护设备、防病毒网关等安全设备安全事件,对网络边界进行全天候实时安全监测及深度分析。整合各种安全事件并进行关联分析,实时显示全网安全态势,并形成各类安全监测分析报告。
根据功能要求,安全监测分析系统的软件结构由下至上,由三个层次组成:采集层、分析层、展示层。采集层负责从安全设备中收集这些设备产生的安全日志,此外还从交换机镜像流量中分析收集攻击事件和敏感信息。采集层收集到的数据按照指定的筛选要求进行筛选后发送给分析层进行集中的存储和分析。由于安全设备发送过来的日志采用的协议不同,报文内部的格式也不同,需要采集端能够对其进行识别和预处理,即对安全事件进行标准化处理。分析层对采集到的海量数据进行集中的存储和分析,以提取出主要关注的信息。分析层实现数据接收、实时分析、深度分析的功能。其中包括事件准确定位、时间关联分析、知识库、安全态势分析、告警生成、存储索引、数据统计、人工分析与报告等。展示层提供人机交互接口,将分析结果以直观的形式展示给安全管理员,并接受安全管理员的操作指令。
(二)系统功能模块设计
本论文所设计的网络信息安全监管系统,也采用分散式管理的模式,以客户端和服务器构成整个局域网信息的安全监管模式。
以客户端与服务器结构的设计,安全监管系统的客户端,是安装于远端上的监控程序,它的主要的功能需求为以下四方面:
1.提供管理对各组件的安装、删除、及运行参数的设置与维护;
2.提供所有监控内容的查看并发给远端监控服务器;
3.提供实时信息捕获;
4.提供对服务器监控端的自动升级,升级不成功可恢复最后一次有效版本。
安全监管系统的服务器端,是安装于本地的、可对远端监控程序进行有效管理与信息接收,它的主要功能需求为以下几方面:
1.提供实时显示服务器的监控内容;
2.提供有效的远端控制;
3.提供对远端服务器监控端的升级管理;
4.支持多管理员管理;
5.提供有效的数据双重备份功能。
(三)系统的具体实现
1.网络安全监管系统客户端设计
客户端的设计为三个部分:状态扫描模块、信息收发模块和参数管理工具。
(1)状态扫描模块:是用于状态扫描的驱动。它将为整个系统提供与服务器进行通信的模块、信息收发模块和参数管理工具。
(2)信息收发模块:它将与状态扫描模块进行通信,并将收集和整理好的数据发给远端的监控管理端。
(3)参数管理工具:可以进行参数设定的工具。
当信息收发模块收集到信息时,转发到远程控制程序上,但是有个问题会出现,当一台机器发送信息时,远程服务端可以正常接收到信息,但当同时有一千个这样的信息从不同的服务器传来时,控制端程序将会面临巨大的负载,最重要的是可能会丢掉重要的信息,如远端的告警信息。所以对于要发送的信息,在发送和接收时都需要进行一些处理,它们将被分开来发送,并且发送到不同的服务器程序上。
2.网络安全监管系统服务器设计
服务器端设计成一个C/S结构,每个管理员所使用的将是一个可登录的管理客户端程序,但是这里的服务器将不是一个,而是多个,因为多个服务器端程序将用来处理不同的信息。服务器端可以处理多种形式的数据,有效减少单机的通信负载、降低整体结构的处理难度,从而对于不同权限的管理员进行管理。管理员将使用管理终端程序进行登录后在不同的服务器端上进行相应的数据查询,这样的结构可以使设计与实现变得容易。
3.网络安全监管系统通信方式设计
为了解决远程通信的问题,在发送端会将信息分类处理,并发给不同的接收端,这样作的最大好处在于,可以减少处理难度和降低通信负载。信息可以分为三大类:
(1)用于管理的状态信息;
(2)用于管理区域的信息;
(3)告警信息。
对于在多管理员管理时同样会发挥良好的结构优势。当有多个管理员同时在管理不同的服务器时,他们只需按其所需与这些服务器进行交互,例如一个管理员如果想查看局域网在线人数、局域网资源占用等等信息时,只需要与服务器进行通信,而维护人员在检查服务器时它可能只会在状态服务器进行查看,而在告警出现时告警服务器会保存告警信息,并发出警告等待人员处理。
四、结语
在信息化时代的今天,网络十分容易受到非法攻击和侵入,为此对于网络安全的监管显得十分重要,本论文对于网络信息安全监管系统的设计研究,对于网络信息安全监理与管理是一次有益的尝试与探索,当然,其中还有很多的技术问题有待于广大技术工作人员的共同努力,才能够最终实现我国网络信息安全的有效监理与管理,进而保障信息安全。
参考文献:
[1]邢戈,张玉清,冯登国.网络安全管理平台研究[J].计算机工程,2004,30(10):129-131
关键词:网络安全;评价系统;设计;实现
一、网络安全态势感知
态势感知(Situation Awareness)这一概念源于航天飞行的人因(Human Factors)研究,此后在军事战场、核反应控制、空中交通监管(Air Traffic Control,ATC)以及医疗应急调度等领域被广泛地研究。Endsley在1995年把态势感知(Situation Awareness)定义为感知在一定的时间和空间环境中的元素,包括它们现在的状况和它们未来的发展趋势。Endsleys把态势感知分成3个层次(如图1所示)的信息处理:(1)要素获取:感知和获取环境中的重要线索或元素,这是态势感知最基础的一步;(2)理解:整合感知到的数据和信息,分析其相关性;(3)预测:基于对环境信息的感知和理解,预测未来的发展趋势,这是态势感知中最高层次的要求。
图1态势感知的三级模型
而网络态势感知则源于空中交通监管(Air Traffic Control,ATC)态势感知(Mogford R H,1997),是一个比较新的概念,并且在这方面开展研究的个人和机构也相对较少。1999年,Tim Bass首次提出了网络态势感知(Cyberspace Situation Awareness)这个概念(Bass T, 2000),并对网络态势感知与ATC态势感知进行了类比,旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去。目前,对网络态势感知还未能给出统一的、全面的定义。IATF网站中提出,所谓的网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。值得注意的是,态势是一种状态,一种趋势,是一个整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此,网络态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。
图2网络安全态势感知系统框架
基于态势感知的三级模型,谭小彬等(2008)提出了一种网络安全态势感知系统的设计框架,如图2所示。该系统首先通过多传感器采集网络系统的各种信息,然后通过精确的数学模型刻画网络系统的当前的安全态势值及其变化趋势。此外,该系统还给出针对当前状态的网络系统的安全加方案,加固方案指导用户减少威胁和修复脆弱性,从而提高系统的安全态势。此外该系统还给出针对当前状态的网络系统的安全加固方案,加固方案指导用户减少威胁和修复脆弱性,从而提高网络系统的安全态势。
二、网络信息系统安全测试评估支撑平台
网络信息系统安全测试评估支撑平台由管理控制、资产识别、在线测试、安全事件验证、渗透测试、恶意代码检测、脆弱性检测和安全态势评估与预测等八个子系统组成,如图3所示。各子系统采用松耦合结构,以数据交互作为联系方式,能够独立进行测试或评估。
图3支撑平台的组成
三、网络安全评估系统的实现
网络安全评估系统由六个子系统组成,其中一个管理控制子系统,一个态势评估与预测子系统,其他都是各种测试子系统。由于网络安全评估是本文的重点,所以本章主要介绍态势评估与预测子系统的实现,其他子系统的实现在本文不作介绍。
3.1风险评估中的关键技术
在风险评估模块中,风险值将采用两种模型计算,分别是矩阵模型和加权模型:
(1)矩阵模型。
该模型是GB/T 20984《信息安全风险评估规范》中提出的一种模型,采用该模型主要是为了方便以往使用其它风险评估系统的用户,使他们能够很快地习惯本评估系统。矩阵模型主要由三步组成,首先通过安全事件可能性矩阵计算安全事件的可能性,该步以威胁发生的可能性和脆弱性严重程度作为输入,在安全事件可能性矩阵直接查找对应的安全事件的可能性,然后将结果映射到5个等级。
(2)加权模型。
基于加权的风险评估模型在总体框架和基本思路上,与GB/T20984所提出的典型风险评估模型一致,不同之处主要在于对安全事件作用在风险评估中的处理,通过引入加权,进而明确渗透测试和安全事件验证在风险评估中的定性和定量分析作用。该模型认为,已发生的安全事件和证明能够发生的安全事件,在风险评估中的作用应该得到加强。其原理如图4所示。
图4加权模型
3.2态势评估中的关键技术
态势评估中采用多层次多角度的网络安全风险评估方法作为设计理念,向用户展现了多个层次、多个角度的态势评估。在角度上体现为专题角度、要素角度和综合角度,通过专题角度,用户可以深入了解威胁、脆弱性和资产的所有信息;通过要素角度,用户可以了解保密性、完整性和可用性这三个安全要素方面的态势情况;通过综合角度用户可以了解系统的综合态势情况。在层次上体现为对威胁、脆弱性和资产的不同层次的划分,通过总体层次,用户可以了解所有威胁、脆弱性和资产的态势情况;通过类型层次,用户可以了解不同威胁类型、脆弱性类型和资产类型的态势情况;通过细微层次,用户可以了解每一个威胁、脆弱性和资产的态势情况。
对于态势值的计算,参考了风险值计算的原理,并在此基础上加入了Markov博弈分析,使得态势值的计算更加入微,有关Markov博弈分析的理论在第3章中作了详细介绍。通过Markov博弈分析的理论,可以计算出每一个威胁给系统态势带来的影响,但系统中往往有许多的威胁,所有我们需要对所有的威胁带来的影响做出处理,而不能将他们带来的影响简单地相加,否则2个中等级的威胁对态势的影响将大于一个高等级的威胁对态势的影响,这是不合理的。在本系统中,我们采用了如下公式来对它们进行处理。
其中S为系统的总体态势值,为第个威胁造成的态势值,为系统中所有的威胁集合。
结语
网络系统安全评估是一个年轻的研究课题,特别是其中的网络态势评估,现在才刚刚起步,本文对风险评估和态势评估中的关键技术进行了研究,取得了一定的研究成果,但仍存在一些待完善的工作。网络安全态势评估中,对与安全态势值没有一个统一的标准,普通用户将很难对安全态势值 有一个直观的认识,只能通过多次态势评估的结果比较,了解网络安全态势的走向。在本系统的态势评估中仅对安全态势值作了一个简单的等级映射,该部分还需要进一步完善。
关键词:工业控制系统;行为审计;智能分析;信息安全
引言
伴随着工业化和信息化融合发展,大量IT技术被引入现代工业控制系统.网络设备、计算设备、操作系统、嵌入式平台等多种IT技术在工控系统中的迁移应用已经司空见惯.然而,工控系统与IT系统存在本质差异,差异特质决定了工控系统安全与IT系统安全不同.(1)工控系统的设计目标是监视和控制工业过程,主要是和物理世界互动,而IT系统主要用于与人的交互和信息管理.电力配网终端可以控制区域电力开关,类似这类控制能力决定了安全防护的效果.(2)常规IT系统生命周期往往在5年左右,因此系统的遗留问题一般都较小.而工控系统的生命周期通常有8~15年,甚至更久,远大于常规IT系统,对其遗留的系统安全问题必须重视.相关的安全加固投入涉及到工业领域商业模式的深层次问题(如固定资产投资与折旧).(3)工控系统安全遵循SRA(Safety、Reliability和AGvailability)模型,与IT系统的安全模型CIA(ConfidentialGity、Integrity和Availability)迥异.IT安全的防护机制需要高度的侵入性,对系统可靠性、可用性都有潜在的重要影响.因此,现有的安全解决方案很难直接用于工控系统,需要深度设计相关解决方案,以匹配工控系统安全环境需求[1G2].
1工控系统安全威胁及成因
工业控制系统安全威胁主要有以下几个方面[3G5]:(1)工业控制专用协议安全威胁.工业控制系统采用了大量的专用封闭工控行业通信协议,一直被误认为是安全的.这些协议以保障高可用性和业务连续性为首要目的,缺乏安全性考虑,一旦被攻击者关注,极易造成重大安全事件.(2)网络安全威胁.TCP/IP协议等通用协议与开发标准引入工控系统,使得开放的工业控制系统面临各种各样的网络安全威胁[6G7].早期工业控制系统为保证操作安全,往往和企业管理系统相隔离.近年来,为了实时采集数据,满足管理需求,工业控制系统通过逻辑隔离方式与企业管理系统直接通信,而企业管理系统一般连接Internet,这种情况下,工业控制系统接入的范围不仅扩展到了企业网,而且面临来自Internet的威胁.在公用网络和专用网络混合的情况下,工业控制系统安全状态更加复杂.(3)安全规程风险.为了优先保证系统高可用性而把安全规程放在次要位置,甚至牺牲安全来实现系统效率,造成了工业控制系统常见的安全隐患.以介质访问控制策略为代表的多种隐患时刻威胁着工控系统安全.为实现安全管理制定符合需求的安全策略,并依据策略制定管理流程,是确保ICS系统安全性和稳定性的重要保障.(4)操作系统安全威胁.工业控制系统有各种不同的通用操作系统(Window、Linux)以及嵌入式OS,大量操作系统版本陈旧(Win95、Winme、Win2K等).鉴于工控软件与操作系统补丁存在兼容性问题,系统上线和运行后一般不会对平台打补丁,导致应用系统存在很大的安全风险.(5)终端及应用安全风险.工业控制系统终端应用大多固定不变,系统在防范一些传统的恶意软件时,主要在应用加载前检测其完整性和安全性,对于层出不穷的新型攻击方式和不断改进的传统攻击方式,采取这种安全措施远远不能为终端提供安全保障.因此,对静态和动态内容必须进行安全完整性认证检查.
2审计方案设计及关键技术
2.1系统总体架构
本方案针对工控系统面临的五大安全威胁,建立了基于专用协议识别和异常分析技术的安全审计方案,采用基于Fuzzing的漏洞挖掘技术,利用海量数据分析,实现工控系统的异常行为监测和安全事件智能分析,实现安全可视化,系统框架如图1所示.电力、石化行业工业控制系统行为审计,主要对工业控制系统的各种安全事件信息进行采集、智能关联分析和软硬件漏洞挖掘,实现对工业控制系统进行安全评估及安全事件准确定位的目的[8G9].审计系统采用四层架构设计,分别是数据采集层、信息数据管理层、安全事件智能分析层和安全可视化展示层.其中数据采集层通过安全、镜像流量、抓取探测等方式,监测工控网络系统中的服务日志、通信会话和安全事件.多层部署采用中继隔离方式单向上报采集信息,以适应各种网络环境.信息数据管理层解析MODBUS、OPC、Ethernet/IP、DNP3、ICCP等各种专用协议,对海量数据进行分布式存储,优化存储结构和查询效率,实现系统数据层可伸缩性和可扩展性.智能分析层通过对异构数据的分析结果进行预处理,采用安全事件关联分析和安全数据挖掘技术,审计工控系统应用过程中的协议异常和行为异常.安全综合展示层,对安全审计结果可视化,呈现工业控制系统安全事件,标识安全威胁,并对工业控制系统安全趋势作出预判.
2.2审计系统关键技术及实现
2.2.1专用协议识别和异常分析技术系统实现对各种常见协议智能化识别,并且重组恢复通信数据,在此基础上分析协议数据语义,进而识别出各种通信会话和系统事件,最终达到审计目的[10G11].2.2.2核心组件脆弱性及漏洞挖掘技术基于Fuzzing的漏洞挖掘技术,实现工业控制系统核心组件软硬件漏洞挖掘,及时发现并规避隐患,使之适应当前的安全环境.Fuzzing技术将随机数据作为测试输入,对程序运行过程中的任何异常进行检测,通过判断引起程序异常的随机数据进一步定位程序缺陷[12-14]通用漏洞挖掘技术无法完全适应工控系统及网络的特殊性,无法有效挖掘漏洞,部分漏洞扫描软件还会对工控系统和网络造成破坏,使工控系统瘫痪.本文结合电力、石化行业工控系统特点,研究设计了工控行业专用Fuzzing漏洞挖掘技术和方法,解决了漏洞探测技术的安全性和高效性问题,实现了工业控制协议(OPC/Modbus/Fieldbus)和通用协议(IRC/DHCP/TCP)等漏洞Fuzzing工具、应用程序的FileFzzinug、针对ActiveX的COMRaidGer和AxMan、操作系统内核的Fuzzing工具应用,构建了通用、可扩展的Fuzzing框架,涵盖多种ICS系统组件.ICS系统测试组件众多,具有高度自动化的Fuzzing漏洞挖掘系统可以大大提高漏洞挖掘效率.生成的测试用例既能有效扩展Fuzzing发现漏洞的范围,又可避免产生类似于组合测试中常见的状态爆炸情况[15].采用模块(Peach、Sulley)负责监测对象异常,实现并行Fuzzing以提高运行效率;还可以将引擎和分离,在不同的机子上运行,用分布式应用程序分别进行Fuzzing测试.2.2.3异常行为检测技术针对工控系统的异常行为检测,本方案采用海量数据和长效攻击行为关联分析技术,内容如下:(1)建立工业控制系统环境行为架构,检查当前活动与正常活动架构预期的偏离程度,由此判断和确认入侵行为,诊断安全事件.(2)研究行为异常的实时或准实时在线分析技术,缩短行为分析时间,快速形成分析报告.(3)基于DPI技术,对网络层异常行为安全事件进行检测分析.基于海量数据处理平台实现对数据包的深度实时/离线分析,从而有效监测工控设备的异常流量,进而有效监测多种网络攻击行为[16].(4)应用层异常行为检测.应用层异常行为安全事件检测围绕工业控制系统软件应用展开,该功能基于应用层数据收集结果进行,支持运行状态分析检测、指令篡改分析检测、异常配置变更分析检测等.(5)系统操作异常行为安全事件检测.系统攻击检测基于海量日志分析技术进行,在检测整个系统安全状态的同时,以大规模系统运行状态为模型,发掘出有悖于系统正常运行的各种信息,支持系统安全事件反向查询,并详细描述系统的运行轨迹,为系统攻击防范提供必要信息.(6)异常行为安全事件取证.基于安全检测平台所提供的多维度多时段网络安全数据信息进行异常行为安全事件取证,有效支持对单点安全事件的获取,达到安全事件单时段、多时段、分时段提取,进而支撑基于事实数据的安全取证功能.2.2.4安全事件智能分析技术方案把工业控制系统海量安全事件的智能关联分析、安全评估、事件定位及回溯相关分析技术应用于分析系统,并且基于不同的粒度进行安全态势预警.(1)安全事件聚合.采用聚类分析模型,将数据分析后的IDS、防火墙等网络设备产生的大量重复或相似的安全事件进行智能聚合,并设计不同条件进行归并,从而将大量重复的无用信息剔除,找到安全事件发生的本质原因.(2)安全事件关联.系统将安全事件基于多个要素进行关联,包括将同源事件、异源事件、多对象信息进行关联,从而在多源数据中提取出一系列相关安全事件序列,通过该安全事件序列,对事件轮廓进行详细刻画,充分了解攻击者的攻击手段和攻击步骤,从而为攻击防范提供知识准备[17].2.2.5安全可视化安全可视化是一项综合展现技术,其核心是为用户提供工控系统安全事件审计全局视图,进行安全状态追踪、监控和反馈,为决策者提供准确、有效的参考信息,并在一定程度上减小制定决策所花费的时间和精力,尽可能减少人为失误,提高整体管理效率.安全可视化包括报表、历史分析、实时监控、安全事件、安全模型5大类.其中,历史分析包括时序分析、关联图、交互分析和取证分析.实时监控重点通过仪表盘来表现.
3安全事件评估
通过以上安全应用分析,能够对安全事件形成从点到面、多视角的分析结果,对安全事件带来的影响进行分级,包括高危级、危险级、中级、低级4个级别,使网络管理者更好地将精力集中于解决对网络安全影响较大的问题.
4安全态势预警
为对网络安全态势进行全面评估,建立如图3所示的全方位多层次异角度的安全态势评估基本框架,分别进行更为细粒度的网络安全态势评估,评估内容如下:(1)基于专题层次的网络态势评估.评估各具体因素,这些具体因素都会不同程度影响工业控制系统安全,根据威胁内容分为资产评估、威胁评估、脆弱性评估和安全事件评估4个模块,每个模块根据评估范围分为3种不同粒度.威胁评估包含了单个威胁评估、某一类威胁评估和整个网络威胁状况评估3种不同粒度的安全分析.(2)基于要素层次的网络态势评估.全方位对安全要素程度进行评估,体现网络各安全要素重要程度,包括保密性评估、完整性评估以及可用性评估.(3)基于整体层次的网络态势评估.综合评估工业控制系统安全状况,对不同层次采用不同方法进行评估.采用基于隐Markov模型、Markov博弈模型和基于指数对数分析的评估技术,对安全态势的3个安全要素进行评估,评估所有与态势值相关的内容;基于指数对数分析评估技术,实现由单体安全态势得到整体安全态势,具体参数根据不同目的和网络环境进行设置.
5工业控制系统审计方案部署
本项目要符合电力、石化行业工业控制系统特点,提供高可用、可扩展和高性能解决方案.系统包含数据采集器、数据存储服务器、安全审计分析服务器等核心组件,如图4、图5所示.(1)数据采集器是工业控制系统的末梢单元,是审计系统与工业控制各种设备、终端的信息接口.数据采集器数量依据工控终端规模进行分布式动态扩展.特定工控采集环境下,硬件数据采集器辅助探针软件协同工作.(2)数据存储服务器用以存储采集和分析计算处理后的海量数据.数据存储服务器以弹性扩展集群方式组成海量数据存储平台.(3)安全审计分析服务器负责数据处理、安全事件分析、漏洞挖掘等高性能安全计算和结果展示,是审计系统的计算中心.
6结语
关键词:校园网;网络安全;入侵检测
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)31-0800-03
The Cooperative Intrusion Detection System Model Based on Campus Network
LI Ang1,2, HU Xiao-long1
(1.School of Information Science and Engineering, Central South University, Changsha 410075, China; 2.Modern Education Technology Center, Hunan Institute of Technology, Hengyang 421002, China)
Abstract: Through the existing analysis of network security and intrusion detection technology, this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly, processes in multilateral cooperation, and constructs the large-network IDS. Then, it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions, this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.
Key words: campus network; network security; intrusion detection
1 网络安全形势分析
2007年,我国公共互联网网络整体上运行基本正常,但从CNCERT/CC接收和监测的各类网络安全事件情况可以看出,网络信息系统存在的安全漏洞和隐患层出不穷,利益驱使下的地下黑客产业继续发展,网络攻击的种类和数量成倍增长,终端用户和互联网企业是主要的受害者,基础网络和重要信息系统面临着严峻的安全威胁。在地下黑色产业链的推动下,网络犯罪行为趋利性表现更加明显,追求经济利益依然是主要目标。黑客往往利用仿冒网站、伪造邮件、盗号木马、后门病毒等,并结合社会工程学,窃取大量用户数据牟取暴利,包括网游账号、网银账号和密码、网银数字证书等。木马、病毒等恶意程序的制作、传播、用户信息窃取、第三方平台销赃、洗钱等各环节的流水作业构成了完善的地下黑色产业链条,为各种网络犯罪行为带来了利益驱动,加之黑客攻击手法更具隐蔽性,使得对这些网络犯罪行为的取证、追查和打击都非常困难[1]。
从IDC网络安全调查数据来看,网络的安全威胁主要来自三个方面:第一、网络的恶意破坏者,也就是我们所说的黑客,造成的正常网络服务的不可用、系统/数据的破坏;第二、无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播;第三、就是别有用心的间谍人员,通过窃取他人身份进行越权数据访问,以及偷取机密的或者他人的私密信息。其中,由于内部人员而造成的网络安全问题占到了70% 。
纵观高校校园网安全现状,我们会发现同样符合上面的规律,即安全主要来自这三方面。而其中,来自校园网内部的安全事件占到了绝大多数。这与校园网的用户是息息相关的。一方面,高校学生这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索的高智商和冲劲,却缺乏全面思考的责任感。同时网络也使得黑客工具等的获取更加的轻松。另一方面,校园网内却又存在着很多这样的用户,他们使用网络来获取资料,在网络上办公、娱乐,但是安全意识却明显薄弱,他们不愿意或者疏于安装防火墙、杀毒软件。
此外,我们的网络管理者会发现,还面临这其他一些挑战,比如:
1) 用户可以在随意接入网络,出现安全问题后无法追查到用户身份;
2) 网络病毒泛滥,网络攻击成上升趋势。安全事件从发现到控制,基本采取手工方式,难以及时控制与防范;
3) 对于未知的安全事件和网络病毒,无法控制;
4) 用户普遍安全意识不足,校方单方面的安全控制管理,难度大;
5) 现有安全设备工作分散,无法协同管理、协同工作,只能形成单点防御。各种安全设备管理复杂,对于网络的整体安全性提升有限。
6) 某些安全设备采取网络内串行部署的方式,容易造成性能瓶颈和单点故障;
7) 无法对用户的网络行为进行记录,事后审计困难;
总之,网络安全保障已经成为各相关部门的工作重点之一,我国互联网的安全态势将有所改变。
2 入侵检测概述
James Aderson在1980年使用了“威胁”概述术语,其定义与入侵含义相同。将入侵企图或威胁定义未经授权蓄意尝试访问信息、窜改信息、使系统不可靠或不能使用。Heady给出定外的入侵定义,入侵时指任何企图破坏资源的完整性、机密性及可用性的活动集合。Smaha从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。
从技术上入侵检测系统可分为异常检测型和误用检测型两大类。异常入侵检测是指能够根据异常行为和使用计算机资源情况检测出来的入侵。异常检测试图用定量方式描述可接受的行为特征,以区别非正常的、潜在入侵。误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。与异常入侵检测相反,误用入侵检测能直接检测不利的或不可接受的行为,而异常入侵检测是检查同正常行为相违背的行为。
从系统结构上分,入侵检测系统大致可以分为基于主机型、基于网络型和基于主体型三种。
基于主机入侵检测系统为早期的入侵检测系统结构、其检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机上。这种类型系统依赖于审计数据或系统日志准确性和完整性以及安全事件的定义。若入侵者设法逃避设计或进行合作入侵,则基于主机检测系统就暴露出其弱点,特别是在现在的网络环境下。单独地依靠主机设计信息进行入侵检测难以适应网络安全的需求。这主要表现,一是主机的审计信息弱点,如易受攻击,入侵者可通过通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击(域名欺骗、端口扫描等)。因此,基于网络入侵检测系统对网络安全是必要的,这种检测系统根据网络流量、协议分析、简单网络管理协议信息等数据检测入侵。主机和网络型的入侵检测系统是一个统一集中系统,但是,随着网络系统结构复杂化和大型化,系统的弱点或漏洞将趋向于分布式。另外,入侵行为不再是单一的行为,而是表现出相互协作入侵特点。入侵检测系统要求可适应性、可训练性、高效性、容错性、可扩展性等要求。不同的IDS之间也需要共享信息,协作检测。于是,美国普度大学安全研究小组提出基于主体入侵检测系统。其主要的方法是采用相互独立运行的进程组(称为自治主体)分别负责检测,通过训练这些主体,并观察系统行为,然后将这些主体认为是异常的行为标记出来,并将检测结果传送到检测中心。另外,S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。
对于入侵检测系统评估,主要性能指标有:
1) 可靠性――系统具有容错能力和可连续运行;
2) 可用性――系统开销要最小,不会严重降低网络系统性能;
3) 可测试――通过攻击可以检测系统运行;
4) 适应性――对系统来说必须是易于开发和添加新的功能,能随时适应系统环境的改变;
5) 实时性――系统能尽快地察觉入侵企图以便制止和限制破坏;
6) 准确性――检测系统具有低的误警率和漏警率;
7) 安全性――检测系统必须难于被欺骗和能够保护自身安全[4]。
3 协作式入侵检测系统模型
随着黑客入侵手段的提高,尤其是分布式、协同式、复杂模式攻击的出现和发展,传统、单一、缺乏协作的入侵检测技术已不能满足需求,要有充分的协作机制,下面就提出协作式入侵检测的基本模型。
3.1 协作式入侵检测系统由以下几个部分组成
1) 安全认证客户端(SU)。能够执行端点防护功能,并参与用户的身份认证过程。参与了合法用户的验证工作完成认证计费操作,而且还要完成安全策略接收、系统信息收集、安全漏洞上传,系统补丁接收修复等大量的工作,对系统的控制能力大大增强。
2) 安全计费服务器(SMA)。承担身份认证过程中的Radius服务器角色,负责对网络用户接入、开户,计费等系统管理工作外,还要负责与安全管理平台的联动,成为协作式入侵检测系统中非常重要的一个环节。
3) 安全管理平台(SMP)。用于制定端点防护策略、网络攻击防护防止规则,协调系统中的其他组件在网络资源面临的安全威胁进行防御,能够完成事前预防、事中处理、事后记录等三个阶段的工作。智能的提供一次配置持续防护的安全服务。
4) 安全事件解析器(SEP)。接收处理NIDS发送过来的网络攻击事件信息,处理后发送给安全管理平台,目的是屏弊不同厂家的NIDS的差异,把不同厂商、不同的入侵事件转换成统一的安全管理平台能处理的格式转发给安全管理平台,便于安全管理平台处理。
5) 入侵检测系统(IDS)。网络入侵检测设备,对网络流量进行旁路监听,检测网络攻击事件,并通过SEP向安全管理平台反馈网络攻击事件,由安全管理平台处埋这些攻击事件。一个网络中可以布暑多个IDS设备。
入侵检测系统由三个部分组成:
1) Sensor探测器,也就是我们常看到的硬件设备,它的作用是接入网络环境,接收和分析网络中的流量。
2) 控制台:提供GUI管理界面,配置和管理所有的传感器并接收事件报警、配置和管理对于不同安全事件的响应方式、生成并查看关于安全事件、系统事件的统计报告,控制台负责把安全事件信息显示在控制台上。
3) EC(Event Collector)事件收集器,它主要起以下作用:负责从sensor接收数据、收集sensor日志信息、负责把相应策略及签名发送给sensor、管理用户权限、提供对用户操作的审计,向SEP发送入侵事件等工作。EC可以和控制台安装在同一个工作站中。
3.2 协作式入侵检测系统中组件间的交互过程
1) SAM和SMP的交互过程
在协作式入侵检测系统中,SMP同SAM的关系就是,SMP连接到SAM。连接成功后,接收SAM发送的接入用户上线,下线消息。Su上线,SAM发送用户上线消息。Su下线,SAM发送用户下线消息。Su重认证,SAM发送用户上线消息。
2) JMS相关原理
SMP同SAM之间的交互是通过JMS(Java Message Service)。SAM启动JBoss自带的JMS服务器,该服务器用于接收和发送JMS消息。SAM同时也作为JMS客户端(消息生产者),负责产生JMS信息,并且发送给JMS服务器,SMP也是JMS客户端(消息消费者)。目前SAM所实现的JMS服务器是以“主题”的方式的,即有多少个JMS客户端到JMS服务器订阅JMS消息,JMS服务器就会发送给多少个JMS客户端。当然了消息生产者也可以多个。相当于JMS服务器(如SAM)是一个邮局,其它如JMS客户端(如SMP,NTD)都是订阅杂志的用户,同时SAM也作为出版商产生杂志。这样,SAM产生用户上下线消息,发送到SAM所在Jboss服务器的JMS服务器中,JMS服务器发现SMP订阅了该消息,则发送该消息给SMP。
在协作式入侵检测系统中,SMP就是JMS客户端,SAM既作为JMS消息生产者,也作为JMS服务器。当SMP启动时,SMP通过1099端口连接到SAM服务器,并且进行JMS消息的订阅,订阅成功后,即表示SMP同SAM联动成功。当用户通过su上线成功后,SAM根据JMS的格式,产生一条JMS信息,然后发送给JMS服务器,JMS服务器检查谁订阅了它的JMS消息,然后发送给所有的JMS用户。
3) SU和SMP的交互过程
间接交互:对于Su上传的端点防护HI状态(成功失败),HI配置文件更新请求,每个Su请求的响应报文,SMP下发给Su的相关命令,均通过交换机进行透传,即上传的信息都包含再SNMP Trap中,下发的信息都包含在SNMP Set报文中。交换机将Su上传的EAPOL报文封装在SNMP Trap包中,转发给SMP。交换机将SMP下发的SNMP Set报文进行解析,提取出其中包含的EAPOL报文,直接转发给Su。这样就实现了Su同SMP的间接交互,隐藏了SMP的位置。
直接交互:对于一些数据量较大的交互,无法使用EAPOL帧进行传输(帧长度限制)。因此Su从SMP上面下载HI配置文件(FTP服务,端口可指定),Su发送主机信息给SMP的主机信息收集服务(自定义TCP协议,端口5256,能够通过配置文件修改端口),都是由SU和SMP直接进行交互。
4) SMP同交换机之间的交互
交换机发送SNMP Trap报文给SMP。交换机发送的SNMP Trap都是用于转发Su上传的消息,如果没有Su,交换机不会发送任何同GSN方案相关的Trap给SMP的。
SMP发送SNMP Get和SNMP Set给交换机:a) 在用户策略同步时,会先通过SNMP Get报文从交换机获取交换机的策略情况;b) 安装删除策略时,SMP将策略相关信息发送SNMP Set报文中,发送给交换机;c) 对用户进行重人证,强制下线,获取HI状态,手动获取主机信息等命令,都是通过SNMP Set发送给交换机的,然后由交换机解释后,生成eapol报文,再发送给su,由su进行实际的操作。
5) SMP与SEP交互
SEP在收到NIDS检测到的攻击事件后(这个攻击事件是多种厂商的NIDS设备通过Syslog、UDP、SNMP等报文的形式发送到SEP的),SEP处理完这些不同厂商发现不同攻击事件的信息后,以UDP的方式发送到SMP中,完成SEP和SMP的交互过程,这是一个单向的过程,也就是说SMP只从SEP中接收数据,而不向SEP发送数据。
6) SEP与NIDS交互
首先NIDS检测到某个IP和MAC主机对网络的攻击事件,并把结果通过Syslog、UDP、SNMP等报文的形式发送到SEP(安全事件解析器),安全事件解析器SEP再把这个攻击事件通过UDP报文转发到SMP(安全管理平台)。
3.3 协作式入侵检测系统工作原理及数据流图
协作式入侵检测系统工作原理:
1) 身份认证――用户通过安全客户端进行身份认证,以确定其在该时间段、该地点是否被允许接入网络;
2) 身份信息同步――用户的身份认证信息将会从认证计费管理平台同步到安全策略平台。为整个系统提供基于用户的安全策略实施和查询;
3) 安全事件检测――用户访问网络的流量将会被镜像给入侵防御系统,该系统将会对用户的网络行为进行检测和记录;
4) 安全事件通告――用户一旦触发安全事件,入侵防御系统将自动将其通告给安全策略平台;
5) 自动告警――安全策略平台收到用户的安全事件后,将根据预定的策略对用户进行告警提示;
6) 自动阻断(隔离)――在告警提示的同时,系统将安全(阻断、隔离)策略下发到安全交换机,安全交换机将根据下发的策略对用户数据流进行阻断或对用户进行隔离;
7) 修复程序链接下发――被隔离至修复区的用户,将能够自动接收到系统发送的相关修复程序链接;
8) 自动获取并执行修复程序――安全客户端收到系统下发的修复程序连接后,将自动下载并强制运行,使用户系统恢复正常。
协作式入侵检测数据流图见图3。
4 结束语
由于各高校实力不一、校园网规模不一,出现了许多问题,其中最主要的是“有硬无软”和“重硬轻软” 。特别是人们的安全意识淡薄,虽然网络安全硬件都配备齐全,但关于网络的安全事故却不断发生,使校园网的安全面临极大的威胁。因此,随着校园网规模的不断扩大,如何确保校园网正常、高效和安全地运行是所有高校都面临的问题。该文结合高校现在实际的网络环境,充分利用各种现有设备,构建出协作式入侵检测系统,实现了“多兵种协同作战” 的全局安全设计,同时将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。
参考文献:
[1] CNCERT/CC[P].网络安全工作报告,2007.
[2] 张晓芬,陈明奇,等.入侵检测系统(IDS)的发展[J].信息安全与通信保密,2002(03).
随着信息化建设的大力发展,医疗网络也正进行着一次次质的蜕变,从以往病人亲自来医院看病到网上健康咨询,从堆积如山的病历、X线光片到现在的无纸化传输、存储,医疗网络已经成为现今医疗机构的核心竞争力之一。当然,每一次医疗网络的变革都伴随着一次技术上的更替,而改造自己的医疗网络,提高对患者的服务质量也成为近年来各大医院纷纷采取的一项举措。
随着医院信息化的不断发展,数字化的医院成为医院信息化建设的目标,最终将实现患者信息的无纸化、无胶片等,全面提升医院的治疗效率,为患者提供更专业的诊疗服务。同时,医院的患者电子病历信息需要被保存5~20年以上。然而,随着医院各种信息的网络化,在提升医院工作效率的同时,也给患者的各种电子病历信息、医院管理信息等带来了极大的安全隐患。作为涉及患者个人隐私及医院安全的各种信息在网络中传播,如何保障患者的电子病历信息安全,保障患者电子病历能够被合法的用户安全地获取并查看,是建设数字化医院的根本前提。
同时,在目前医院网络环境中,由于用户的不当操作和疏忽,造成各种病毒及其攻击在医院网络中肆意流窜,不断出现的扫描攻击、DDOS攻击、ARP攻击等,造成医院门诊收费中断,医保服务无法正常处理等,给医院网络的稳定性造成了极大的冲击。因此,网络安全是网络系统稳定性的根本保障。
可见,稳定、安全已经成为构建新一代医疗网络最需要注重的两大环节。针对这种普遍的安全、管理问题,锐捷网络了其全新的GSN(全局安全网络)解决方案,并针对各个行业进行了定制化的设置,其中,医疗行业就是GSN已应用成熟的众多行业之一。
GSN,即 Global Security Network,中文名称“全局安全网络”,是由锐捷安全交换机、锐捷安全管理平台、锐捷安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素联合组成,能实现同一网络环境下的全局联动,使每个设备都发挥安全防护的作用。GSN通过将用户入网强制安全、主机信息收集和健康性检查、安全事件下的设备联动集成到一个网络安全解决方案中,以“多兵种”协同达到网络全方位的安全,以此达到对网络安全威胁的自动防御,以及对网络受损系统的自动修复,同时其针对网络环境变化和新网络行为的自动学习能力,也达到了对未知安全事件的防范,做到了真正的主动防御。
下面的原理图,有助于更深刻地理解GSN的工作原理:
在保证数据稳定、高速传输的基础上,锐捷通过GSN侧重对医疗网络的安全与管理进行了考量。通过GSN,锐捷网络为医疗行业用户打造了一个多层面的安全保障:锐捷GSN全局安全涉及到身份准入控制;主机信息收集与管理;主机完整性(HI)管理;安全事件管理(包括IDS技术、安全事件下的设备联动处理等)等诸多安全技术。在安全管理平台上,GSN能够根据主机信息定位到相应的接入用户,了解整个网络中各种硬件、软件、操作系统的分布和使用情况,并协助网络管理人员更好地制定网络安全策略;同时,GSN能够通过主机完整性对整个网络进行监控、主机完整性指的是用户所使用的PC是否符合相关的要求,如必须安装某程序且达到某版本(如某杀毒软件),禁止安装某些程序等,符合这些要求的PC即可以认为其符合主机完整性接入网络,如果存在网络安全问题或不满足主机完整性的时候,GSN就会对主机进行断网隔离处理,并在自动修复成功后重新接入网络,达到各个层面网络安全的整合防护,以此打造锐捷全局安全网络。
全局的安全、有效的管理、高速稳定的网络是锐捷网络对医疗行业的三大承诺。作为民族厂商,锐捷网络一直对国内各行业进行着深入的调研,也正是在这持续性的观察中,锐捷发现稳定高速、安全、易管理已经成为现今医疗网络的发展前景,而要想在众多的医疗机构中脱颖而出,人性化的医疗环境和患者的满意度就成为了考核医院成效的最大标准。
关于锐捷网络
