前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全態(tài)勢感知主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng);關(guān)鍵;技術(shù);研究
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2014)05-0064-02
隨著計算機及網(wǎng)絡(luò)技術(shù)的普及,網(wǎng)絡(luò)安全問題越來越突出,尤其網(wǎng)絡(luò)攻擊行為往往給企業(yè)的正常運作帶來嚴重影響,甚至影響社會的穩(wěn)定。為此,加強網(wǎng)絡(luò)安全態(tài)勢研究,采取針對性措施不斷提高網(wǎng)絡(luò)安全水平具有重要的現(xiàn)實意義。鑒于此,國內(nèi)眾多專家對網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)進行研究,并取得豐碩成果,為我國網(wǎng)絡(luò)運行營造了良好的外部環(huán)境。
1 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)
1.1 系統(tǒng)框架介紹
網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)以通信系統(tǒng)思想為基礎(chǔ),依據(jù)數(shù)據(jù)處理流程可分為采集、融合、分析、預(yù)測、展示共五個環(huán)節(jié),可實現(xiàn)收集、預(yù)處理、分析、評估、預(yù)測等功能。這五個環(huán)節(jié)相互獨立并對應(yīng)網(wǎng)絡(luò)安全感知系統(tǒng)相關(guān)流程。系統(tǒng)框架如圖1所示。
圖1 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架
其中采集環(huán)節(jié)的主要任務(wù)為采集、傳輸以及存儲適時數(shù)據(jù)和傳輸網(wǎng)絡(luò)安全狀況信息等,包括漏洞信息、拓撲信息以及IT資產(chǎn)信息等;融合環(huán)節(jié)的功能在于將收集、存儲的數(shù)據(jù)進行解析,將一些冗余信息除去,并融合多源數(shù)據(jù)。該環(huán)節(jié)包括數(shù)據(jù)歸一化和事件預(yù)處理兩項內(nèi)容。所謂數(shù)據(jù)歸一化指將采集的數(shù)據(jù)信息進行歸一、標準化,同時擴展事件相關(guān)屬性。而事件預(yù)處理指對采集來的重要數(shù)據(jù)進行歸一化和標準化處理。分析則指借助專家系統(tǒng)與相關(guān)知識庫,結(jié)合存儲在服務(wù)器的事件與安全數(shù)據(jù),對網(wǎng)絡(luò)安全態(tài)勢進行分析。預(yù)測指通過分析各種信息要素,借助相關(guān)理論方法歸納與判斷網(wǎng)絡(luò)未來安全形勢。展示指將業(yè)務(wù)與態(tài)勢評估結(jié)果輸入到響應(yīng)和預(yù)警模塊,不但對接預(yù)警系統(tǒng),而且以人工判讀為基礎(chǔ)介入到態(tài)勢的響應(yīng)操作。
1.2 態(tài)勢評估流程
對網(wǎng)絡(luò)安全態(tài)勢進行評估一般按照下列流程進行:首先,從監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)感知元件中獲得網(wǎng)絡(luò)數(shù)據(jù)信息,進行去噪處理后進行分析。并充分結(jié)合趨勢知識庫以及數(shù)據(jù)挖掘成果,評估網(wǎng)絡(luò)安全具體趨勢;其次,充分掌握不同環(huán)節(jié)情況,對網(wǎng)絡(luò)安全態(tài)勢分配特定的值,并利用貝葉斯網(wǎng)絡(luò)技術(shù)對備選態(tài)勢的可信度進行評價,得出最終結(jié)果。
從網(wǎng)絡(luò)安全形勢角度出發(fā)網(wǎng)絡(luò)安全態(tài)勢的評估主要由以下步驟組成。監(jiān)測:通過監(jiān)測數(shù)據(jù)感知組件對監(jiān)測數(shù)據(jù)進行收集、整理以保證感知安全事件工作的順利進行。覺察:以采集到的當前網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)為基礎(chǔ),評估網(wǎng)絡(luò)安全態(tài)勢情況,以判定是否有安全事件發(fā)生,一旦發(fā)現(xiàn)異常,就報告安全事件情況;傳播:依據(jù)獲得的數(shù)據(jù)安全事件情況,對不同部分的趨勢進行評估;理解:依據(jù)獲得的安全形勢,對態(tài)勢數(shù)據(jù)進行更新,構(gòu)建評估局勢新的演化模型;反饋:收集數(shù)據(jù)感知組件的領(lǐng)先在線目的地,并對網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)情況的更新值進行評估;分析:結(jié)合確定的網(wǎng)絡(luò)安全態(tài)勢類型判斷更新的確認值是否對其進行支持。如支持確定網(wǎng)絡(luò)安全態(tài)勢類型,反之,使網(wǎng)絡(luò)數(shù)據(jù)感知元件繼續(xù)對網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)進行監(jiān)測;決策:對網(wǎng)絡(luò)安全形勢的數(shù)據(jù)模型和具體特點進行評估,并對演變趨勢進行預(yù)測,從而尋找積極的措施,對管理員的決策進行正確引導(dǎo)。
1.3 數(shù)據(jù)決策方法
目前自適應(yīng)數(shù)據(jù)決策算法有很多包括:子帶濾波、最小均方差算法、遞推最小二乘算法等,其中后兩種方法比較典型,下面對其進行介紹。
1)最小均方誤差算法。該方法運用瞬時值對梯度矢量進行估計,計算依據(jù)的公式為:
結(jié)合梯度矢量估計以及自適應(yīng)濾波器濾波系數(shù)矢量變化等相關(guān)知識,可推算出遞歸最小二乘法算法調(diào)整濾波器系數(shù)公式:
公式中μ表示步長因子,其值越大算法的收斂速度越快,穩(wěn)態(tài)誤差就越大,反之,算法收斂就越慢,穩(wěn)態(tài)誤差就越小。為確保算法穩(wěn)態(tài)收斂,一般μ的取值應(yīng)落在以下范圍內(nèi):
2)遞歸最小二乘法。遞歸最小二乘法依據(jù)的計算公式為:
公式中K(n)表示Kalman增益向量,λ∈(0,1)為加權(quán)因子。對該算法進行初始化時通常使P(-1)=1/δ1,H(-1)=0,其中δ為最小正整數(shù)。
對比兩者的收斂速度可知,算法(1)優(yōu)于算法(2),不過算法(1)實際操作比算法(2)復(fù)雜。為降低該方法計算復(fù)雜度且并使算法(1)的收斂性能得到保持,部分專家優(yōu)化了算法(1)延伸出了快速橫向濾波器算法、漸變格子算法等。算法(2)較為突出的優(yōu)點為操作簡單,不過其包括的可調(diào)參數(shù)只有一個。
2 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)關(guān)鍵技術(shù)
互聯(lián)網(wǎng)節(jié)點數(shù)量龐大網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,網(wǎng)絡(luò)攻擊行為也呈現(xiàn)復(fù)雜化、規(guī)?;约胺植蓟瘧B(tài)勢。根據(jù)采集的感知數(shù)據(jù)信息,對網(wǎng)絡(luò)安全態(tài)勢進行準確的評估,及時檢測潛在的漏洞及可能發(fā)生的安全事件,并對整個網(wǎng)絡(luò)狀態(tài)的變化情況進行預(yù)測,是網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的重要工作。為實現(xiàn)上述目標需要一定的技術(shù)支撐。目前網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)中應(yīng)用的關(guān)鍵技術(shù)包括網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)融合、網(wǎng)絡(luò)安全態(tài)勢計算以及網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù)。下面逐一對其進行詳細的介紹。
1)網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)融合技術(shù)?;ヂ?lián)網(wǎng)中不同安全系統(tǒng)和設(shè)備具備的功能有所差異,對網(wǎng)絡(luò)安全事件描述的數(shù)據(jù)格式也有所不同。這些安全系統(tǒng)和設(shè)備共同構(gòu)建了一個多傳感器環(huán)境,在該環(huán)境中系統(tǒng)與設(shè)備之間需要進行互聯(lián),因此必須要多傳感器數(shù)據(jù)融合技術(shù)做支撐,為監(jiān)控網(wǎng)絡(luò)安全態(tài)勢提供更多跟多有效的數(shù)據(jù)。當前,數(shù)據(jù)融合技術(shù)應(yīng)用較為廣泛,例如用于估計威脅、追蹤和識別目標以及感知網(wǎng)絡(luò)安全態(tài)勢等。利用該技術(shù)進行基礎(chǔ)數(shù)據(jù)的融合、壓縮以及提煉等,為評估和預(yù)警網(wǎng)絡(luò)安全態(tài)勢提供重要參考依據(jù)。
數(shù)據(jù)融合包括數(shù)據(jù)級、功能級以及決策級三個級別間的融合。其中數(shù)據(jù)級融合可使細節(jié)數(shù)據(jù)精度進一步提高,不過需要處理大量數(shù)據(jù),受計算機內(nèi)存容量、處理速度等因素限制,需進行較高層次的融合。決策級融合需要處理的數(shù)據(jù)量較小,不過較為模糊和抽象,準確度較低。功能級融合則處于數(shù)據(jù)級和決策級融合之間。
2)網(wǎng)絡(luò)安全態(tài)勢計算技術(shù)。該技術(shù)指利用相關(guān)數(shù)學(xué)方法,將大量網(wǎng)絡(luò)安全態(tài)勢信息進行處理,最終整合至處于某范圍內(nèi)的數(shù)值。該數(shù)值會隨網(wǎng)絡(luò)資產(chǎn)價值改變、網(wǎng)絡(luò)安全事件頻率、網(wǎng)絡(luò)性能等情況改變而變動。
利用網(wǎng)絡(luò)安全態(tài)勢計算技術(shù)得出的數(shù)值,可幫助管理對網(wǎng)絡(luò)系統(tǒng)的安全狀況進行評估,如該數(shù)據(jù)在允許的范圍之內(nèi)則表示網(wǎng)絡(luò)安全態(tài)勢是相對安全的,反之則不安全。該數(shù)值大小客觀的反映出網(wǎng)絡(luò)損毀和網(wǎng)絡(luò)威脅程度,并能實時、快速和直觀的顯示網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)。系統(tǒng)管理員采用圖表顯示或回顧歷史數(shù)據(jù)便能對某時間段的網(wǎng)絡(luò)安全情況進行監(jiān)視和掌握。
3)網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù)。網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù)指通過分析歷史資料以及網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù),憑借之前實踐經(jīng)驗以及理論內(nèi)容整理、歸納和判斷網(wǎng)絡(luò)未來安全形勢。眾所周知,網(wǎng)絡(luò)安全態(tài)勢發(fā)展具有較大不確定性,而且預(yù)測性質(zhì)、范圍、時間以及對象不同應(yīng)用的預(yù)測方法也不同。根據(jù)屬性可將網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法分為定性預(yù)測方法、時間序列分析法以及因果預(yù)測方法。其中網(wǎng)絡(luò)安全態(tài)勢定性預(yù)測方法指結(jié)合網(wǎng)絡(luò)系統(tǒng)之前與當前安全態(tài)勢數(shù)據(jù)情況,以直覺邏輯基礎(chǔ)人為的對網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測。時間序列分析方法指依據(jù)歷史數(shù)據(jù)與時間的關(guān)系,對下一次的系統(tǒng)變量進行預(yù)測。由于該方法僅考慮時間變化的系統(tǒng)性能定量,因此,比較適合應(yīng)用在依據(jù)簡單統(tǒng)計數(shù)據(jù)隨時間變化的對象上。因果預(yù)測方法指依據(jù)系統(tǒng)變量之間存在的因果關(guān)系,確定某些因素影響造成的結(jié)果,建立其與數(shù)學(xué)模型間的關(guān)系,根據(jù)可變因素的變化情況,對結(jié)果變量的趨勢和方向進行預(yù)測。
3 總結(jié)
網(wǎng)絡(luò)安全事件時有發(fā)生,往往給社會造成較大損失。因此,對網(wǎng)絡(luò)安全態(tài)勢進行準確的評估、感知具有重要意義。為此要求網(wǎng)絡(luò)安全相關(guān)部門,認真研究網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu),進而采用先進的技術(shù)手段不斷優(yōu)化。同時加強網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)關(guān)鍵技術(shù)研究,以提高網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的準確性、穩(wěn)定性,并根據(jù)網(wǎng)絡(luò)運行情況在合適位置部署中心檢測設(shè)備、防火墻等,及時發(fā)現(xiàn)并定位威脅網(wǎng)絡(luò)安全行為,從而采取針對性措施防止攻擊行為的進一步發(fā)展,為網(wǎng)絡(luò)安全的可靠運行創(chuàng)造良好的外部環(huán)境。
參考文獻
[1]單宇鋒.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的關(guān)鍵技術(shù)研究與實現(xiàn)[D].北京郵電大學(xué),2012.
[2]孟錦.網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測關(guān)鍵技術(shù)研究[D].南京理工大學(xué),2012.
[3]潘峰,孫鵬,張電.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)關(guān)鍵技術(shù)研究與實現(xiàn)[J].保密科學(xué)技術(shù),2012(11):52-56.
[4]馮川.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)關(guān)鍵技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2013(09):119-120.
[5]馬東君.網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)與系統(tǒng)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2013(11):69,68.
關(guān)鍵詞 大數(shù)據(jù) 網(wǎng)絡(luò)安全 態(tài)勢感知
中圖分類號:TP393.08 文獻標識碼:A
0 引言
對于一個大型網(wǎng)絡(luò),在網(wǎng)絡(luò)安全層面,除了訪問控制、入侵檢測、身份識別等基礎(chǔ)技術(shù)手段,需要安全運維和管理人員能夠及時感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢。對于安全運維人員來說,如何從成千上萬的安全事件和日志中找到最有價值、最需要處理和解決的安全問題,從而保障網(wǎng)絡(luò)的安全狀態(tài),是他們最關(guān)心也是最需要解決的問題。與此同時,對于安全管理者和高層管理者而言,如何描述當前網(wǎng)絡(luò)安全的整體狀況,如何預(yù)測和判斷風(fēng)險發(fā)展的趨勢,如何指導(dǎo)下一步安全建設(shè)與規(guī)劃,則是一道持久的難題。
隨著大數(shù)據(jù)技術(shù)的成熟、應(yīng)用與推廣,網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)有了新的發(fā)展方向,大數(shù)據(jù)技 術(shù)特有的海量存儲、并行計算、高效查詢等特點,為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知的關(guān)鍵技術(shù)創(chuàng)造了突破的機遇。本文將對大規(guī)模網(wǎng)絡(luò)環(huán)境下的安全態(tài)勢感知、大數(shù)據(jù)技術(shù)在安全感知方面的促進做一些探討。
1 基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知
隨著網(wǎng)絡(luò)的發(fā)展,大規(guī)模網(wǎng)絡(luò)所引發(fā)的安全保障的復(fù)雜度激增,主要面臨的問題包括:安全數(shù)據(jù)量巨大;安全事件被割裂,從而難以感知;安全的整體狀況無法描述。
網(wǎng)絡(luò)安全感知能力具體可分為資產(chǎn)感知、脆弱性感知、安全事件感知和異常行為感知4個方面。資產(chǎn)感知是指自動化快速發(fā)現(xiàn)和收集大規(guī)模網(wǎng)絡(luò)資產(chǎn)的分布情況、更新情況、屬性等信息;脆弱性感知則包括3個層面的脆弱性感知能力:不可見、可見、可利用;安全事件感知是指能夠確定安全事件發(fā)生的時間、地點、人物、起因、經(jīng)過和結(jié)果;異常行為感知是指通過異常行為判定風(fēng)險,以彌補對不可見脆弱性、未知安全事件發(fā)現(xiàn)的不足,主要面向的是感知未知的攻擊。
隨著Hadoop、NoSQL等技術(shù)的興起,BigData大數(shù)據(jù)的應(yīng)用逐漸增多和成熟,而大數(shù)據(jù)自身擁有Velocity快速處理、Volume大數(shù)據(jù)量存儲、Variety支持多類數(shù)據(jù)格式三大特性。大數(shù)據(jù)的這些天生特性,恰巧可以用于大規(guī)模網(wǎng)絡(luò)的安全感知。首先,多類數(shù)據(jù)格式可以使網(wǎng)絡(luò)安全感知獲取更多類型的日志數(shù)據(jù),包括網(wǎng)絡(luò)與安全設(shè)備的日志、網(wǎng)絡(luò)運行情況信息、業(yè)務(wù)與應(yīng)用的日志記錄等;其次,大數(shù)據(jù)量存儲與快速處理為高速網(wǎng)絡(luò)流量的深度安全分析提供了技術(shù)支持,可以為高智能模型算法提供計算資源;最后,在異常行為的識別過程中,核心是對正常業(yè)務(wù)行為與異常攻擊行為之間的未識別行為進行離群度分析,大數(shù)據(jù)使得在分析過程中采用更小的匹配顆粒與更長的匹配時間成為可能。
2目前研究成果
中國移動自2010年起在云計算和大數(shù)據(jù)方面就開始了積極探索。中國移動的“大云”系統(tǒng)目前已實現(xiàn)了分布式海量數(shù)據(jù)倉庫、分布式計算框架、云存儲系統(tǒng)、彈性計算系統(tǒng)、并行數(shù)據(jù)挖掘工具等關(guān)鍵功能。在“大云”系統(tǒng)的基礎(chǔ)上,中國移動的網(wǎng)絡(luò)安全感知也具備了一定的技術(shù)積累,進行了大規(guī)模網(wǎng)絡(luò)安全感知和防御體系的技術(shù)研究,在利用云平臺進行脆弱性發(fā)現(xiàn)方面的智能型任務(wù)調(diào)度算法、主機和網(wǎng)絡(luò)異常行為發(fā)現(xiàn)模式等關(guān)鍵技術(shù)上均有突破,在安全運維中取得了一些顯著的效果。
3總結(jié)
大數(shù)據(jù)的出現(xiàn),擴展了計算和存儲資源,提供了基礎(chǔ)平臺和大數(shù)據(jù)量處理的技術(shù)支撐,為安全態(tài)勢的分析、預(yù)測創(chuàng)造了無限可能。
參考文獻
[1] 龔正虎,卓瑩.網(wǎng)絡(luò)態(tài)勢感知研究[J].軟件學(xué)報,2010,21(7):1605-1619.
[2] 韋勇,連一峰,馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機研究與發(fā)展,2009,46(3):353-362.
關(guān)鍵詞:網(wǎng)絡(luò)安全;評價系統(tǒng);設(shè)計;實現(xiàn)
一、網(wǎng)絡(luò)安全態(tài)勢感知
態(tài)勢感知(Situation Awareness)這一概念源于航天飛行的人因(Human Factors)研究,此后在軍事戰(zhàn)場、核反應(yīng)控制、空中交通監(jiān)管(Air Traffic Control,ATC)以及醫(yī)療應(yīng)急調(diào)度等領(lǐng)域被廣泛地研究。Endsley在1995年把態(tài)勢感知(Situation Awareness)定義為感知在一定的時間和空間環(huán)境中的元素,包括它們現(xiàn)在的狀況和它們未來的發(fā)展趨勢。Endsleys把態(tài)勢感知分成3個層次(如圖1所示)的信息處理:(1)要素獲?。焊兄瞳@取環(huán)境中的重要線索或元素,這是態(tài)勢感知最基礎(chǔ)的一步;(2)理解:整合感知到的數(shù)據(jù)和信息,分析其相關(guān)性;(3)預(yù)測:基于對環(huán)境信息的感知和理解,預(yù)測未來的發(fā)展趨勢,這是態(tài)勢感知中最高層次的要求。
圖1態(tài)勢感知的三級模型
而網(wǎng)絡(luò)態(tài)勢感知則源于空中交通監(jiān)管(Air Traffic Control,ATC)態(tài)勢感知(Mogford R H,1997),是一個比較新的概念,并且在這方面開展研究的個人和機構(gòu)也相對較少。1999年,Tim Bass首次提出了網(wǎng)絡(luò)態(tài)勢感知(Cyberspace Situation Awareness)這個概念(Bass T, 2000),并對網(wǎng)絡(luò)態(tài)勢感知與ATC態(tài)勢感知進行了類比,旨在把ATC態(tài)勢感知的成熟理論和技術(shù)借鑒到網(wǎng)絡(luò)態(tài)勢感知中去。目前,對網(wǎng)絡(luò)態(tài)勢感知還未能給出統(tǒng)一的、全面的定義。IATF網(wǎng)站中提出,所謂的網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)當前狀態(tài)和變化趨勢。值得注意的是,態(tài)勢是一種狀態(tài),一種趨勢,是一個整體和全局的概念,任何單一的情況或狀態(tài)都不能稱之為態(tài)勢。因此,網(wǎng)絡(luò)態(tài)勢感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中,對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢。
圖2網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)框架
基于態(tài)勢感知的三級模型,譚小彬等(2008)提出了一種網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的設(shè)計框架,如圖2所示。該系統(tǒng)首先通過多傳感器采集網(wǎng)絡(luò)系統(tǒng)的各種信息,然后通過精確的數(shù)學(xué)模型刻畫網(wǎng)絡(luò)系統(tǒng)的當前的安全態(tài)勢值及其變化趨勢。此外,該系統(tǒng)還給出針對當前狀態(tài)的網(wǎng)絡(luò)系統(tǒng)的安全加方案,加固方案指導(dǎo)用戶減少威脅和修復(fù)脆弱性,從而提高系統(tǒng)的安全態(tài)勢。此外該系統(tǒng)還給出針對當前狀態(tài)的網(wǎng)絡(luò)系統(tǒng)的安全加固方案,加固方案指導(dǎo)用戶減少威脅和修復(fù)脆弱性,從而提高網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢。
二、網(wǎng)絡(luò)信息系統(tǒng)安全測試評估支撐平臺
網(wǎng)絡(luò)信息系統(tǒng)安全測試評估支撐平臺由管理控制、資產(chǎn)識別、在線測試、安全事件驗證、滲透測試、惡意代碼檢測、脆弱性檢測和安全態(tài)勢評估與預(yù)測等八個子系統(tǒng)組成,如圖3所示。各子系統(tǒng)采用松耦合結(jié)構(gòu),以數(shù)據(jù)交互作為聯(lián)系方式,能夠獨立進行測試或評估。
圖3支撐平臺的組成
三、網(wǎng)絡(luò)安全評估系統(tǒng)的實現(xiàn)
網(wǎng)絡(luò)安全評估系統(tǒng)由六個子系統(tǒng)組成,其中一個管理控制子系統(tǒng),一個態(tài)勢評估與預(yù)測子系統(tǒng),其他都是各種測試子系統(tǒng)。由于網(wǎng)絡(luò)安全評估是本文的重點,所以本章主要介紹態(tài)勢評估與預(yù)測子系統(tǒng)的實現(xiàn),其他子系統(tǒng)的實現(xiàn)在本文不作介紹。
3.1風(fēng)險評估中的關(guān)鍵技術(shù)
在風(fēng)險評估模塊中,風(fēng)險值將采用兩種模型計算,分別是矩陣模型和加權(quán)模型:
(1)矩陣模型。
該模型是GB/T 20984《信息安全風(fēng)險評估規(guī)范》中提出的一種模型,采用該模型主要是為了方便以往使用其它風(fēng)險評估系統(tǒng)的用戶,使他們能夠很快地習(xí)慣本評估系統(tǒng)。矩陣模型主要由三步組成,首先通過安全事件可能性矩陣計算安全事件的可能性,該步以威脅發(fā)生的可能性和脆弱性嚴重程度作為輸入,在安全事件可能性矩陣直接查找對應(yīng)的安全事件的可能性,然后將結(jié)果映射到5個等級。
(2)加權(quán)模型。
基于加權(quán)的風(fēng)險評估模型在總體框架和基本思路上,與GB/T20984所提出的典型風(fēng)險評估模型一致,不同之處主要在于對安全事件作用在風(fēng)險評估中的處理,通過引入加權(quán),進而明確滲透測試和安全事件驗證在風(fēng)險評估中的定性和定量分析作用。該模型認為,已發(fā)生的安全事件和證明能夠發(fā)生的安全事件,在風(fēng)險評估中的作用應(yīng)該得到加強。其原理如圖4所示。
圖4加權(quán)模型
3.2態(tài)勢評估中的關(guān)鍵技術(shù)
態(tài)勢評估中采用多層次多角度的網(wǎng)絡(luò)安全風(fēng)險評估方法作為設(shè)計理念,向用戶展現(xiàn)了多個層次、多個角度的態(tài)勢評估。在角度上體現(xiàn)為專題角度、要素角度和綜合角度,通過專題角度,用戶可以深入了解威脅、脆弱性和資產(chǎn)的所有信息;通過要素角度,用戶可以了解保密性、完整性和可用性這三個安全要素方面的態(tài)勢情況;通過綜合角度用戶可以了解系統(tǒng)的綜合態(tài)勢情況。在層次上體現(xiàn)為對威脅、脆弱性和資產(chǎn)的不同層次的劃分,通過總體層次,用戶可以了解所有威脅、脆弱性和資產(chǎn)的態(tài)勢情況;通過類型層次,用戶可以了解不同威脅類型、脆弱性類型和資產(chǎn)類型的態(tài)勢情況;通過細微層次,用戶可以了解每一個威脅、脆弱性和資產(chǎn)的態(tài)勢情況。
對于態(tài)勢值的計算,參考了風(fēng)險值計算的原理,并在此基礎(chǔ)上加入了Markov博弈分析,使得態(tài)勢值的計算更加入微,有關(guān)Markov博弈分析的理論在第3章中作了詳細介紹。通過Markov博弈分析的理論,可以計算出每一個威脅給系統(tǒng)態(tài)勢帶來的影響,但系統(tǒng)中往往有許多的威脅,所有我們需要對所有的威脅帶來的影響做出處理,而不能將他們帶來的影響簡單地相加,否則2個中等級的威脅對態(tài)勢的影響將大于一個高等級的威脅對態(tài)勢的影響,這是不合理的。在本系統(tǒng)中,我們采用了如下公式來對它們進行處理。
其中S為系統(tǒng)的總體態(tài)勢值,為第個威脅造成的態(tài)勢值,為系統(tǒng)中所有的威脅集合。
結(jié)語
網(wǎng)絡(luò)系統(tǒng)安全評估是一個年輕的研究課題,特別是其中的網(wǎng)絡(luò)態(tài)勢評估,現(xiàn)在才剛剛起步,本文對風(fēng)險評估和態(tài)勢評估中的關(guān)鍵技術(shù)進行了研究,取得了一定的研究成果,但仍存在一些待完善的工作。網(wǎng)絡(luò)安全態(tài)勢評估中,對與安全態(tài)勢值沒有一個統(tǒng)一的標準,普通用戶將很難對安全態(tài)勢值 有一個直觀的認識,只能通過多次態(tài)勢評估的結(jié)果比較,了解網(wǎng)絡(luò)安全態(tài)勢的走向。在本系統(tǒng)的態(tài)勢評估中僅對安全態(tài)勢值作了一個簡單的等級映射,該部分還需要進一步完善。
關(guān)鍵詞 鏈路性能分析 網(wǎng)絡(luò)安全
中圖分類號:TP393.08 文獻標識碼:A
本文將層次結(jié)構(gòu)與權(quán)重分析相結(jié)合的方法運用于面向服務(wù)的網(wǎng)絡(luò)安全態(tài)勢評估方法的研究中,提出了基于鏈路性能分析的網(wǎng)絡(luò)安全態(tài)勢評估方法,該方法以網(wǎng)絡(luò)鏈路為可測對象的最小元素來建立層次結(jié)構(gòu)的網(wǎng)絡(luò)安全態(tài)勢量化評估模型,通過測量分析鏈路上的客觀性能信息來評估網(wǎng)絡(luò)的安全狀況,對未知攻擊具有良好的感知能力。
1攻擊分類
根據(jù)攻擊目的的不同和人們對攻擊熟知程度的不同可以將攻擊進行分類,見表1。已知攻擊和未知攻擊的攻擊目的都是破壞網(wǎng)絡(luò)信息的安全特性,網(wǎng)絡(luò)信息的安全特性主要包括完整性、保密性、可靠性和可用性等四個方面,當它們遭受破壞后,網(wǎng)絡(luò)系統(tǒng)中都會有相應(yīng)的性能指標發(fā)生變化從而對攻擊進行反映。因此,雖然未知攻擊不能像已知攻擊那樣可以用網(wǎng)絡(luò)安全檢測設(shè)備來察覺發(fā)現(xiàn),但是它可以通過相應(yīng)性能指標出現(xiàn)的變化來感知發(fā)現(xiàn)。在網(wǎng)絡(luò)安全態(tài)勢評估研究中,針對不同的攻擊和網(wǎng)絡(luò)環(huán)境應(yīng)該選擇不同的網(wǎng)絡(luò)性能指標。
2網(wǎng)絡(luò)性能指標的處理
可測對象的性能信息是本文網(wǎng)絡(luò)安全態(tài)勢評估方法的數(shù)據(jù)源,因此對其進行的處理尤為重要。為了更好地說明網(wǎng)絡(luò)性能指標的處理方法,先介紹以下概念:
(1)positive指標:表示該指標的值與網(wǎng)絡(luò)性能成正相關(guān),即該指標的值越大代表網(wǎng)絡(luò)性能越好;反之,該指標的值越小,網(wǎng)絡(luò)性能越差。
(2)negative指標:表示該指標的值與網(wǎng)絡(luò)性能成反相關(guān),即該指標的值越大代表網(wǎng)絡(luò)性能越差;反之,該指標的值越小,網(wǎng)絡(luò)性能越好。
在網(wǎng)絡(luò)安全態(tài)勢評估的研究中,可測對象的性能指標很有可能同時出現(xiàn)positive指標和negative指標,這時為了統(tǒng)一,需要計算出指標的無量綱的相對數(shù),其計算公式如下:
其中,和分別為第j個可測對象的第項positive指標和negative指標的無量綱的相對數(shù),為第個可測對象的第i項測量指標值,為第i項測量指標可能出現(xiàn)的最不理想的取值,為第i項指標可能出現(xiàn)的最理想的取值。為參加評價的可測對象的個數(shù)。通過以上處理,最終得到的無量綱的相對數(shù)保持了與人們正常思維的一致性,即其值越大,網(wǎng)絡(luò)性能越好。
3評估模型
文獻[2][3]指出通過測量網(wǎng)絡(luò)中所有相關(guān)鏈路而獲取的性能指標可以反映網(wǎng)絡(luò)整體狀況。因此本章網(wǎng)絡(luò)安全態(tài)勢評估模型中可測對象的最小元素是網(wǎng)絡(luò)鏈路,將網(wǎng)絡(luò)鏈路上的流量作為數(shù)據(jù)源,通過統(tǒng)計分析得到網(wǎng)絡(luò)性能指標,將往返延遲、丟包率和可利用帶寬作為反映網(wǎng)絡(luò)可用性狀態(tài)的性能指標,提出的評估框架如圖1所示:
第一步,根據(jù)不同時刻各鏈路的往返延遲、丟包率和可利用帶寬計算獲取不同時段的各鏈路性能差熵。然后,根據(jù)各鏈路性能差熵計算各鏈路的安全態(tài)勢值,以矩陣表示。
第二步,通過服務(wù)權(quán)重計算主機權(quán)重,通過主機權(quán)重計算鏈路權(quán)重,然后將鏈路安全態(tài)勢值與鏈路權(quán)重進行加權(quán)求和得到網(wǎng)絡(luò)不同時段的安全態(tài)勢,以向量表示。
參考文獻
[1] 黃正興,蘇D.基于鏈路性能分析的網(wǎng)絡(luò)安全態(tài)勢評估研究[J].計算機應(yīng)用, 2013,33(11):3224-3227.
在我國計算機技術(shù)不斷發(fā)展的現(xiàn)階段,信息時代的到來使得人們的日常生活與生產(chǎn)活動發(fā)生了天翻地覆的變化,對于社會的方方面面都產(chǎn)生了較大的影響,在信息技術(shù)的支撐之下,人們的生活變得更加便捷,社會生產(chǎn)變得更為高效,因此,各個行業(yè)領(lǐng)域都已經(jīng)將信息化和智能化作為自身發(fā)展的主流方向。計算機網(wǎng)絡(luò)的自身具有開放性的特點,人們能夠?qū)崿F(xiàn)信息的共享,但也是由于這種開放性的特點,使得信息的獲取并沒有具體的限制,一些不法分子會通過網(wǎng)絡(luò)技術(shù)來非法竊取相關(guān)的個人或企業(yè)或國家的信息,給社會的發(fā)展帶來了不可預(yù)估的損失。而且,由于網(wǎng)絡(luò)黑客和木馬病毒的增多,再加之人們自身的安全防范意識不高,使得計算機網(wǎng)絡(luò)中存在著很多風(fēng)險因素,對于人們的生活和社會生產(chǎn)帶來了十分不利的影響。因此,對網(wǎng)絡(luò)安全態(tài)勢進行評估具有十分重要的現(xiàn)實意義。
2網(wǎng)絡(luò)安全態(tài)勢評估流程
網(wǎng)絡(luò)安全態(tài)勢評估實際上就是對計算機網(wǎng)絡(luò)中存在的潛在安全風(fēng)險因素進行科學(xué)、合理、有效的判斷,主要包括網(wǎng)絡(luò)信息的價值、系統(tǒng)運行的內(nèi)在安全隱患、網(wǎng)絡(luò)系統(tǒng)的脆弱性以及對安全防范措施的測試等,以實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的評定。網(wǎng)絡(luò)安全態(tài)勢評估的流程主要包括監(jiān)測、覺察、傳播、理解、反饋、分析與決策。監(jiān)測就是利用系統(tǒng)中相關(guān)的數(shù)據(jù)感知組件來實現(xiàn)對所監(jiān)測的數(shù)據(jù)的采集和整理。察覺就是將所采集到的數(shù)據(jù)作為態(tài)勢評估的依據(jù),一旦發(fā)現(xiàn)有異常的情況,就實現(xiàn)安全事件的報告。傳播實際上是一個分類評估的過程,即對異常事件的不同部分進行分析。理解的過程實際上就是一個對安全態(tài)勢進行模擬建模的過程。反饋就是利用網(wǎng)絡(luò)技術(shù)中的實時性特點,對數(shù)據(jù)的最新情況進行評估。分析的過程是在確定網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)最新情況的前提下,來判斷對其是否支持;如果支持,則能夠確定網(wǎng)絡(luò)安全態(tài)勢的類型;如果不支持,數(shù)據(jù)感知元件就會繼續(xù)進行監(jiān)測。決策就是根據(jù)確定的網(wǎng)絡(luò)安全態(tài)勢類型和數(shù)據(jù)模型的具體特點,來對其態(tài)勢演變的方向進行預(yù)測,并選擇有效的解決措施。
3網(wǎng)絡(luò)安全態(tài)勢評估的關(guān)鍵技術(shù)
網(wǎng)絡(luò)攻擊行為逐漸呈現(xiàn)出廣泛化、復(fù)雜化和規(guī)?;奶攸c,給網(wǎng)絡(luò)安全態(tài)勢的評估工作提出了越來越高的要求。計算機網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)的正常運行是以信息技術(shù)為依托才得以實現(xiàn)的,因此,現(xiàn)就其中的若干關(guān)鍵技術(shù)進行詳細的研究。
3.1數(shù)據(jù)融合技術(shù)
數(shù)據(jù)融合技術(shù)是網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)中重要的技術(shù)支撐。數(shù)據(jù)融合技術(shù)主要是由數(shù)據(jù)級、功能級和決策級三個級別之間的數(shù)據(jù)融合所構(gòu)成。其中,數(shù)據(jù)級的融合能夠進一步的提高細節(jié)數(shù)據(jù)的精準度,但是由于受到計算機處理速度和內(nèi)存大小等因素的影響,通常需要對大量的數(shù)據(jù)進行處理;功能級的融合處于數(shù)據(jù)級和決策級之間;而決策級的數(shù)據(jù)融合,由于數(shù)據(jù)具有抽象和模糊的特點,導(dǎo)致其需要處理的數(shù)據(jù)較少,且精準度較低。在計算機網(wǎng)絡(luò)中,由于不同的設(shè)備功能和安全系統(tǒng)之間存在較大的差異,對于描述網(wǎng)絡(luò)安全事件的數(shù)據(jù)格式也是不同的,要想實現(xiàn)不同設(shè)備、系統(tǒng)之間的相互關(guān)聯(lián),就必須建立一個多傳感器的環(huán)境,而數(shù)據(jù)融合技術(shù)就是其最重要的技術(shù)。利用數(shù)據(jù)融合技術(shù),能夠?qū)⒒A(chǔ)數(shù)據(jù)進行提煉、壓縮和融合,為網(wǎng)絡(luò)安全態(tài)勢的評估提供科學(xué)的參考依據(jù),主要應(yīng)用于估計威脅、識別與追蹤目標等。
3.2計算技術(shù)
網(wǎng)絡(luò)安全態(tài)勢評估中的計算技術(shù)就是通過相關(guān)的數(shù)學(xué)計算方法,來實現(xiàn)對大量網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)信息的處理,將其集中于在一定范圍內(nèi)的數(shù)值,而且,在網(wǎng)絡(luò)安全事件的頻率、網(wǎng)絡(luò)性能和網(wǎng)絡(luò)資產(chǎn)價值發(fā)生改變的同時,這些數(shù)值也會隨之發(fā)生變化。這些數(shù)值的大小變化情況能夠直接、實時、快速地反應(yīng)出網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)和威脅程度的大小,監(jiān)管人員可以以此為根據(jù)來實現(xiàn)對網(wǎng)絡(luò)安全情況的把握。通常情況下,如果數(shù)值在一定的范圍內(nèi)進行變化,說明態(tài)勢是相對安全的;如果數(shù)值的變化呈現(xiàn)出了較大的上升或下降,則說明存在安全威脅。
3.3掃描技術(shù)
掃描技術(shù)是網(wǎng)絡(luò)安全態(tài)勢評估中最常用的一種方式手段。與傳統(tǒng)的網(wǎng)絡(luò)防護機制相比較而言,掃描技術(shù)更為主動,能夠?qū)W(wǎng)絡(luò)動態(tài)進行實時的監(jiān)控,以收集到的數(shù)據(jù)信息為依據(jù),通過對安全因素的判斷,來實現(xiàn)對惡意攻擊行為的防范。掃描技術(shù)的主要應(yīng)用對象包括了系統(tǒng)主機、信息通道的端口和網(wǎng)絡(luò)漏洞。對系統(tǒng)主機進行掃描是實現(xiàn)數(shù)據(jù)信息整合的第一階段,主要是通過網(wǎng)絡(luò)控制信息協(xié)議(ICMP)對數(shù)據(jù)信息進行記憶與判斷,通過向目標發(fā)送錯誤的IP數(shù)據(jù)包,根據(jù)其反應(yīng)和反饋的情況來進行判斷。對信息通道的端口進行掃描,實際上就是對內(nèi)外交互的數(shù)據(jù)信息的安全性進行監(jiān)測。漏洞掃描則主要是針對網(wǎng)絡(luò)黑客的攻擊,對計算機系統(tǒng)進行維護。
3.4可視化技術(shù)
可視化技術(shù)就是將采集到的數(shù)據(jù)信息轉(zhuǎn)換成圖像信息,使其能夠以圖形的形式直觀的顯示在計算機的主屏幕之上,在通過交互式技術(shù)對數(shù)據(jù)信息進行處理之后,管理人員可以直觀地發(fā)現(xiàn)其中的隱藏規(guī)律,從而為數(shù)據(jù)的處理與分析提供科學(xué)依據(jù)。但是,由于網(wǎng)絡(luò)安全數(shù)據(jù)中的關(guān)鍵信息常常不容易被提取出來,因此,利用可視化技術(shù)的時候還要注意解決這一實際問題。
3.5預(yù)測技術(shù)
網(wǎng)絡(luò)安全態(tài)勢評估的發(fā)展具有不可確定性,而預(yù)測技術(shù)則可以根據(jù)對象的屬性,結(jié)合已有的網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)和實際經(jīng)驗來實現(xiàn)對未來安全態(tài)勢發(fā)展的預(yù)測。預(yù)測技術(shù)主要包括了因果預(yù)測、時間序列分析和定性預(yù)測等內(nèi)容,既能夠通過歷史數(shù)據(jù)和當前數(shù)據(jù)之間的關(guān)系進行態(tài)勢預(yù)測,又能夠通過因果關(guān)系的數(shù)據(jù)建模來實現(xiàn)對結(jié)果變化趨勢的預(yù)測。
4結(jié)語
網(wǎng)絡(luò)安全管理中的智能化技術(shù)就要能夠自動識別網(wǎng)絡(luò)安全威脅因素,這些因素會在網(wǎng)絡(luò)運行中產(chǎn)生危害作用。其中,智能化的安全識別技術(shù)就能夠自動捕捉網(wǎng)絡(luò)不穩(wěn)定因素,在系統(tǒng)發(fā)生安全事故中形成相應(yīng)的反饋機制,在威脅因素進入系統(tǒng)能夠主動報警,分析該行為的規(guī)范性,在判定為不穩(wěn)定因素后立刻將其定義危險。同時,網(wǎng)絡(luò)運行環(huán)境信息包括網(wǎng)絡(luò)中資產(chǎn)的分布狀況以及資產(chǎn)的攻擊收益對攻擊發(fā)生可能性的影響、使用環(huán)境中存在的威脅狀況等因素。這些環(huán)境因素都能影響攻擊者攻擊目標,智能化的安全識別技術(shù)就能夠根據(jù)系統(tǒng)的環(huán)境因素制定診斷體系,有效地識別出網(wǎng)絡(luò)安全威脅因素。
2網(wǎng)絡(luò)智能掃描技術(shù)
在網(wǎng)絡(luò)安全管理中,智能掃描就是能夠通過預(yù)先定義的規(guī)則對所有系統(tǒng)信息進行掃面和判定,從而診斷出系統(tǒng)中存在的危險因素和漏洞信息。舊的掃描工具遇到特定的端口找特定的服務(wù),這樣可能導(dǎo)致有人將某個服務(wù)安裝在一個自己任意指定的端口使掃描不徹底。所以掃描工具應(yīng)具備任意端口任意服務(wù)的功能。目前,一些成熟的掃描系統(tǒng)能夠?qū)⒕W(wǎng)絡(luò)中的單個主機的掃描結(jié)果整理成報表,并對相應(yīng)的脆弱性采取一些措施,但是對整個網(wǎng)絡(luò)系統(tǒng)的安全狀況缺乏一個評估,對網(wǎng)絡(luò)沒有一個系統(tǒng)的解決方案,先進的掃描系統(tǒng)不僅能夠掃描出脆弱性,而且可以智能化地幫助網(wǎng)絡(luò)安管理員評估網(wǎng)絡(luò)的安全狀況,給出安全建議,使之能夠成為一個安全評估專家系統(tǒng)。此外,智能化的網(wǎng)絡(luò)掃描技術(shù)能夠與系統(tǒng)的入侵檢測、防火墻以及風(fēng)險管控技術(shù)結(jié)合起來,從而形成一體化的安全掃面危險體系,達到進一步提升系統(tǒng)安全性的效果。
3網(wǎng)絡(luò)安全智能評估技術(shù)
傳統(tǒng)網(wǎng)絡(luò)安全評估中需要針對系統(tǒng)進行詳細分析與測試,該工作對于網(wǎng)絡(luò)安全管理員的技術(shù)要求較高,并且要求安全管理員的工作強度較大。因此,采用智能化的評估技術(shù)就能夠降低網(wǎng)絡(luò)安全管理員的工作流程,其中,智能評估技術(shù)就是構(gòu)建網(wǎng)絡(luò)自動化分析測試機制,能夠針對網(wǎng)絡(luò)安全進行威脅和安全判斷,并能夠協(xié)助安全管理員提出系統(tǒng)防御措施。網(wǎng)絡(luò)安全智能評估機制就是按照系統(tǒng)安全脆弱性集合,對系統(tǒng)進行全面測試,并對測試結(jié)果進行分析,從而對整個網(wǎng)絡(luò)系統(tǒng)的安全狀況作出總體評價,并預(yù)測可能發(fā)生的入侵,最后對網(wǎng)絡(luò)系統(tǒng)存在的脆弱性提出修補建議。網(wǎng)絡(luò)安全評估系統(tǒng)能夠在網(wǎng)絡(luò)黑客進行入侵或攻擊前,幫助安全管理員及早發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)存在的脆弱性,排除安全隱患。
4網(wǎng)絡(luò)態(tài)勢智能預(yù)測技術(shù)
網(wǎng)絡(luò)態(tài)勢預(yù)測能夠在日常網(wǎng)絡(luò)運行過程中發(fā)現(xiàn)網(wǎng)絡(luò)運行狀態(tài),并根據(jù)網(wǎng)絡(luò)運行裝填制定進行評估未來網(wǎng)絡(luò)發(fā)展。如果系統(tǒng)在受到不安全因素入侵,在網(wǎng)絡(luò)運行狀態(tài)分析中就能夠發(fā)現(xiàn)網(wǎng)絡(luò)運行出現(xiàn)波動,從而在系統(tǒng)報警,讓系統(tǒng)安全管理員察覺系統(tǒng)出現(xiàn)危險。智能化的網(wǎng)絡(luò)態(tài)勢預(yù)測技術(shù)就是在網(wǎng)絡(luò)安全態(tài)勢評估中融入自主決策系統(tǒng),能夠在分析系統(tǒng)運行情況后進行自動反饋,在最短時間內(nèi)作出響應(yīng)控制系統(tǒng)安全。網(wǎng)絡(luò)態(tài)勢智能化技術(shù)能夠設(shè)定相應(yīng)預(yù)警機制,并且根據(jù)系統(tǒng)具體構(gòu)成設(shè)定安全閥值,并在超出安全閥值的情況下采取相應(yīng)控制措施。此外,網(wǎng)絡(luò)態(tài)勢智能預(yù)測技術(shù)能夠?qū)崿F(xiàn)動態(tài)重構(gòu)、自主決策和自主感知,為整個系統(tǒng)安全管理提供信息數(shù)據(jù)支持,在網(wǎng)絡(luò)安全的整體層面達到智能化管理。
5網(wǎng)絡(luò)優(yōu)化智能技術(shù)分析
網(wǎng)絡(luò)安全優(yōu)化是針對網(wǎng)絡(luò)的內(nèi)部環(huán)境制定優(yōu)化措施,能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的整理和整頓,從而保證網(wǎng)絡(luò)內(nèi)部環(huán)境的安全性。網(wǎng)絡(luò)優(yōu)化智能技術(shù)就是在系統(tǒng)中能夠通過信息采集,利用信息跟蹤手段確定網(wǎng)絡(luò)內(nèi)部安全狀態(tài),根據(jù)內(nèi)部運行狀態(tài)自動判定網(wǎng)絡(luò)內(nèi)部問題,并且能夠自動的進行內(nèi)部配置和優(yōu)化,促使網(wǎng)絡(luò)內(nèi)部安全問題得到解決,保持網(wǎng)絡(luò)運行效率的最大化。同時,網(wǎng)絡(luò)優(yōu)化智能化技術(shù)能夠構(gòu)建出專家系統(tǒng),在整個網(wǎng)絡(luò)中進行整體規(guī)劃,對系統(tǒng)功能進行局部優(yōu)化,將智能決策、優(yōu)化知識管理和自動反饋等技術(shù)融入到網(wǎng)絡(luò)內(nèi)部優(yōu)化中,從而為提供內(nèi)部工作提供支持。此外,網(wǎng)絡(luò)優(yōu)化智能技術(shù)能夠保證系統(tǒng)運行的穩(wěn)定性,對于網(wǎng)絡(luò)系統(tǒng)的安全性有著重要保證,智能化優(yōu)化措施可以結(jié)合系統(tǒng)外部防護形成多維網(wǎng)絡(luò)管理體制,從而有效地控制網(wǎng)絡(luò)系統(tǒng)安全。
6總結(jié)
在“十一五”863計劃中,包含有很多應(yīng)用,比如通信技術(shù)和信息安全?!秶抑虚L期科技發(fā)展規(guī)劃綱要》(簡稱《綱要》)對信息產(chǎn)業(yè)及現(xiàn)代服務(wù)業(yè)提出了四點發(fā)展思路,其中第四點是以發(fā)展高可信網(wǎng)絡(luò)為重點,開發(fā)網(wǎng)絡(luò)信息安全技術(shù)及相關(guān)產(chǎn)品,建立信息安全技術(shù)保障體系,具備防范各種信息安全突發(fā)事件的技術(shù)能力。
另一個綱領(lǐng)性文件是《2006―2020國家信息化發(fā)展戰(zhàn)略》(簡稱《戰(zhàn)略》),《戰(zhàn)略》提出了九項戰(zhàn)略重點。其中,第八項是建設(shè)國家信息安全保障體系,圍繞網(wǎng)絡(luò)安全涉及的內(nèi)容,全面加強國家信息安全保障體系建設(shè),建立和完善信息安全登記保護制度,重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)。同時,還將加強信息安全風(fēng)險評估工作,建設(shè)和完善信息安全監(jiān)控體系,提高對網(wǎng)絡(luò)安全事件應(yīng)對和防范能力,從實際出發(fā),促進資源共享,重視災(zāi)難備份建設(shè),增強信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的抗毀能力和災(zāi)難恢復(fù)能力。這些是我們在安排863計劃的核心指導(dǎo)方針,是指導(dǎo)性的文件。
在經(jīng)典的網(wǎng)絡(luò)模型中,有六個重要要素:分析、安全策略、保護、檢測、響應(yīng)、恢復(fù)。圍繞著經(jīng)典的網(wǎng)絡(luò)安全模型,圍繞著《綱要》和《戰(zhàn)略》可以看出,863重點安排在八項技術(shù)上:第一是安全測評評估技術(shù);第二是安全存儲系統(tǒng)技術(shù);第三是主動實時防護模型與技術(shù);第四是網(wǎng)絡(luò)安全事件監(jiān)控技術(shù);第五是惡意代碼防范與應(yīng)急響應(yīng)技術(shù);第六是數(shù)據(jù)備份與可再生技術(shù);第七是可信計算平臺項目;第八是UTM與網(wǎng)絡(luò)安全管理。
安全測評評估技術(shù)
風(fēng)險分析的重點將放在安全測評評估技術(shù)上。它的戰(zhàn)略目標是掌握網(wǎng)絡(luò)、信息系統(tǒng)安全測試及風(fēng)險評估技術(shù),建立完整的、面向等級保護的測評流程及風(fēng)險評估體系。這一點和過去不一樣,過去做測評是沒有強調(diào)等級保護的。
國家中長期發(fā)展戰(zhàn)略已經(jīng)明確提出,要按照等級保護的原則來做,所以測評也是要服務(wù)于這一點。其主要創(chuàng)新點和切入點在于:首先提出適應(yīng)等級保護和分級測評機制的通用信息系統(tǒng)與信息技術(shù)產(chǎn)品測評模型;適應(yīng)不同的級別要有不同的測評方法,這個分級要符合登記保護體制;重點放在通用產(chǎn)品,要建成一個標準的方法;要建立統(tǒng)一的測評信息庫和知識庫,測評要有統(tǒng)一的背景,制定相關(guān)的國家技術(shù)標準;要提出面向大規(guī)模網(wǎng)絡(luò)與復(fù)雜信息系統(tǒng)安全風(fēng)險分析的模型與方法,尤其安全風(fēng)險分析,重點面向大規(guī)模復(fù)雜網(wǎng)絡(luò),因為復(fù)雜網(wǎng)絡(luò)要分析的要素很多,態(tài)勢也很強,這是我們追求的創(chuàng)新點;要建立基于管理和技術(shù)的風(fēng)險評估流程,測試風(fēng)險評估面臨的威脅和不安全因素。此外,因為保證信息安全不只是技術(shù),管理不到位也會帶來風(fēng)險,所以風(fēng)險評估應(yīng)該把技術(shù)和管理都包括在內(nèi),要制定定性和定量的測度指標體系。
安全存儲系統(tǒng)技術(shù)
安全策略的重點應(yīng)放在安全存儲技術(shù)上。安全存儲系統(tǒng)產(chǎn)品很多,從安全角度來看,它的戰(zhàn)略目標有兩點:一個是機密性的安全,要掌握海量數(shù)據(jù)的加密存儲和檢索技術(shù),保障存儲數(shù)據(jù)的機密性和安全訪問能力;另一個是安全自身要可靠,要掌握高可靠海量存儲技術(shù),保障海量存儲系統(tǒng)中數(shù)據(jù)的可靠性。創(chuàng)新點在于,應(yīng)提出海量分布式數(shù)據(jù)存儲設(shè)備的高性能加密與存儲訪問方法,提出數(shù)據(jù)自毀機理。
加密是容易的,要對海量信息加密,影響當然是有的,但是應(yīng)該不是很明顯,這就對我們算法的效率提出了很高的要求。一旦數(shù)據(jù)出現(xiàn)被非授權(quán)訪問,應(yīng)該產(chǎn)生數(shù)據(jù)自毀,或者被別人破解時有自我保護能力。我們提出海量存儲器的高性能密文數(shù)據(jù)檢索手段,檢索就要有規(guī)律,但加密的基本思路就是要把它無規(guī)則化,讓它根本看不到規(guī)則,所以我們應(yīng)找到一個折中的方法:什么樣的加密可以支持檢索,又具備一定的安全強度。
為此,我們提出了基于冗余的高可靠存儲系統(tǒng)的故障監(jiān)測、透明切換與處理、數(shù)據(jù)一致性保護方面的新模型預(yù)實現(xiàn)手段。雙備份是比較簡單的,問題在于實時切換,我們現(xiàn)在是整體的切換,如果切換非常頻繁,就會出現(xiàn)一些誤報警的情況。尤其當數(shù)據(jù)多備份的時候,就會有數(shù)據(jù)一致性的問題,為此我們提出信息安全的數(shù)據(jù)組織方法,提出基于主動防御的存儲安全技術(shù)。如果不能完全自動備份,可以有兩種選擇:一種是局部冗余,哪些是重要信息,它在整個系統(tǒng)中不會出現(xiàn)太大的問題;另外一個是數(shù)據(jù)在相對分散的情況下,怎么能盡可能弱相關(guān)。檢索要更加智能,要能判斷訪問是不是非授權(quán)訪問,這里面要有一定的能力,而不是簡單的存儲。
主動實時防護模型與技術(shù)
防護強調(diào)的是主動實時防護模型與技術(shù)。它的戰(zhàn)略目標是通過掌握態(tài)勢感知、風(fēng)險評估、安全檢測等手段來對當前安全態(tài)勢進行判斷,并依據(jù)判斷結(jié)果實施網(wǎng)絡(luò)主動防御的主動安全防護體系的實現(xiàn)方法與技術(shù)。當通過態(tài)勢判斷出某個地方出現(xiàn)網(wǎng)絡(luò)安全事件,別的地方就要跟著調(diào)整。特別是隨著風(fēng)險評估,某地方出現(xiàn)威脅,我們要提高風(fēng)險防護,這被稱為主動防護戰(zhàn)略。創(chuàng)新點提出主動防護的新模型、新技術(shù)、新方法,現(xiàn)在這方面并不是很成熟,還要提出基于態(tài)勢感知模型、風(fēng)險模型,做主動實時協(xié)同防護機制和方法。
第二個是要提出網(wǎng)絡(luò)與信息系統(tǒng)的安全運行特征和惡意行為特征的自動分析與提取方法。根據(jù)分析才能監(jiān)控特征,判斷現(xiàn)在是不是處于安全狀態(tài),不同的系統(tǒng)可能有不同的需求,應(yīng)該具有提取能力,然后監(jiān)控,通過監(jiān)控來判斷現(xiàn)在出現(xiàn)的情況。要有提出可組合與可變安全等級的安全防護技術(shù),可能在某種狀態(tài)下,需要做級別的變化,我們采取一系列各種各樣的安全手段,如果某種風(fēng)險不存在,可以把安全手段降低,就可以提高運行效率,這方面應(yīng)該提供相應(yīng)的技術(shù)。
網(wǎng)絡(luò)安全事件監(jiān)控技術(shù)
監(jiān)測的重點是網(wǎng)絡(luò)安全事件監(jiān)控技術(shù)。戰(zhàn)略目標重點放在國家層面考慮,要掌握保障基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)安全運行的能力,支持多網(wǎng)融合下的大規(guī)模安全事件的監(jiān)控與分析技術(shù),提高網(wǎng)絡(luò)安全危機處理的能力。三網(wǎng)融合也是勢在必行,不同網(wǎng)的狀態(tài)融合起來就對監(jiān)測提出了要求。主要創(chuàng)新點在于,要提出網(wǎng)絡(luò)數(shù)據(jù)獲取接口標準,并且提出網(wǎng)絡(luò)流量海量性與分析系統(tǒng)計算能力不匹配的應(yīng)對方法。
一般而言,網(wǎng)絡(luò)帶寬增長每六個月翻一番,我們國家是每七八個月翻一番。計算機運行速度按照摩爾定律每18個月翻一番,這導(dǎo)致計算機處理能力越來越快。我們提出多通道綜合檢測和協(xié)同分析模型與技術(shù),要建立大規(guī)模惡意代碼傳播演變的可視化展示手段。一旦惡意代碼傳播演變了,要有一個跟蹤的態(tài)勢,能在地圖上不斷發(fā)現(xiàn)蠕蟲、病毒。提出蜜罐的攻擊誘惑與自身隱蔽方法,現(xiàn)在的研究比較成熟,人類在防范,攻擊者也尋找新的攻擊誘惑。提出網(wǎng)絡(luò)安全態(tài)勢分析指標體系,建立基于復(fù)雜網(wǎng)絡(luò)行為建模與模擬的網(wǎng)絡(luò)安全態(tài)勢的分析與預(yù)測體系。
這個態(tài)勢怎么來的,要有一個指標體系,我們通過對指標體系的分析,通過重要的端口,或者某種協(xié)議的監(jiān)測,把這些指數(shù)綜合起來,計算當前態(tài)勢。當每個事件出現(xiàn),如果不采取措施,將來會變成什么樣?這需要有復(fù)雜網(wǎng)絡(luò)的模擬網(wǎng)絡(luò),模擬網(wǎng)絡(luò)對復(fù)雜行為建模提出要求,模擬節(jié)點不是幾萬、幾十萬,至少幾百萬量級才能做出判斷,這樣才能真正做到預(yù)測?,F(xiàn)在做到的只是預(yù)警,一個事態(tài)出現(xiàn)到形成規(guī)模不到10分鐘,如果僅僅是預(yù)警,根本來不及采取措施。
惡意代碼防范與應(yīng)急響應(yīng)技術(shù)
響應(yīng)的相應(yīng)重點應(yīng)該放在惡意代碼防范與應(yīng)急響應(yīng)技術(shù)上,其戰(zhàn)略目標是掌握有效的惡意代碼防范與反擊策略。一旦發(fā)現(xiàn)惡意代碼之后,要迅速提出針對這個惡意代碼的遏制手段,要提供國家層面的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)支撐技術(shù)。其主要創(chuàng)新點在于,提出對蠕蟲、病毒、木馬、僵尸網(wǎng)絡(luò)、垃圾郵件等惡意代碼的控制機理。
比如,面對沖擊波時,用戶只有靠打補丁,如果用戶沒有打補丁,病毒就會通過網(wǎng)絡(luò)不斷傳播,這時我們就要把這個端口封鎖住。我們要研究每個問題,而且要建立惡意代碼攻擊的追蹤、取證及遏制機制,提出支持遏制手段的惡意代碼可控性的特征分析及提取技術(shù)。我們不是對惡意代碼的判斷特征識取,我們需要找出惡意代碼特征,判斷惡意代碼是否存在,還要找出對于什么樣的特征可以利用哪些手段去遏制它。
數(shù)據(jù)備份與可再生技術(shù)
數(shù)據(jù)備份與可生存性技術(shù)是圍繞災(zāi)難恢復(fù)來做的。這主要是提供用于第三方實施數(shù)據(jù)災(zāi)難備份的模型與方法,為建設(shè)通用災(zāi)難備份中心提供理論依據(jù)與技術(shù)手段,建立網(wǎng)絡(luò)與信息系統(tǒng)生存性和抗毀性,提高網(wǎng)絡(luò)與信息系統(tǒng)的可靠性。比如我建立一套系統(tǒng),如果系統(tǒng)重要,就建立一個應(yīng)急系統(tǒng)做備份。但是這不適合第三方,現(xiàn)在有一些第三方是服務(wù)隊伍,需要熟悉原來系統(tǒng)什么樣,按照原來系統(tǒng)來做。
怎么能夠做第三方呢?這里面創(chuàng)新點是提出源數(shù)據(jù)存儲結(jié)構(gòu)無關(guān)的數(shù)據(jù)遠程備份及快速恢復(fù)模型、機制、方法與技術(shù)?,F(xiàn)在,一個系統(tǒng)建完后,你必須掌握系統(tǒng)結(jié)構(gòu),為你的數(shù)據(jù)庫系統(tǒng)再建一個數(shù)據(jù)庫系統(tǒng),這樣你的數(shù)據(jù)才能保存起來。但是出現(xiàn)增量怎么辦?是不是因為增加一個記錄而全部備份呢?答案是否定的,因為大系統(tǒng)從頭到尾備份需要3天。如果說傳增量,那邊沒有一模一樣的系統(tǒng)也無法把增量去。因此能不能做到結(jié)構(gòu)無關(guān)?我們提出基于關(guān)鍵服務(wù)的網(wǎng)絡(luò)與信息系統(tǒng)容錯、容侵和容災(zāi)模型。如果我的系統(tǒng)資源足夠多,入侵者通過連接攻擊我的線程空間,但是我線程空間足夠大。如果系統(tǒng)徹底垮了,我就換一個系統(tǒng)。而且我們還要提出網(wǎng)絡(luò)與信息系統(tǒng)自適應(yīng)生存機理與可恢復(fù)模型,提出故障感知模型與異常檢測方法,圍繞這一點要建立可生存性及抗毀性分析仿真和評測方法。
可信計算平臺項目
網(wǎng)絡(luò)如果采用可信的方法,比如硬件有改動,通過信息來驗證,整個系統(tǒng)是可靠、不會被攻擊的,這樣應(yīng)用系統(tǒng)都不會被病毒侵入。Vista對這一點是一個重大的推動。對網(wǎng)絡(luò)安全模型提出一個技術(shù)性模型,應(yīng)該要有一個可信計算平臺做整體的支撐。戰(zhàn)略目標是掌握基于自主專利與標準的可信平臺模塊、硬件、軟件支撐、應(yīng)用安全軟件、測評等一批核心技術(shù),主導(dǎo)我國可信計算平臺的跨越發(fā)展。
我國在可信計算方面介入特別早,但現(xiàn)在沒有形成一個特別好的體系,只有盡早地提出一個標準體系,我國的產(chǎn)業(yè)才能沖上來。其主要創(chuàng)新點在于提出可信計算平臺信任鏈建立和擴展方式,包括可信引導(dǎo)、可信度量、可信網(wǎng)絡(luò)連接、遠程平臺證明等。從互操作和安全評估兩個角度出發(fā),建立可信計算標準體系。
UTM與網(wǎng)絡(luò)安全管理
歡迎各位領(lǐng)導(dǎo)來到***核心業(yè)務(wù)的工作區(qū),這里是充分發(fā)揮產(chǎn)業(yè)數(shù)字化的場景資源優(yōu)勢和數(shù)字產(chǎn)業(yè)化的數(shù)字資源優(yōu)勢,覆蓋網(wǎng)絡(luò)安全態(tài)勢感知、全省機電一體化運維、工地數(shù)字化管控、“兩客一危”監(jiān)管等***公司支撐核心生產(chǎn)經(jīng)營業(yè)務(wù)的智慧運維中心。
在我們屏幕的最右側(cè),是我們中心幾個核心職能的形象化展示。
首先,讓我們進入網(wǎng)絡(luò)安全板塊。
網(wǎng)絡(luò)安全態(tài)勢感知平臺,是我們聯(lián)合國內(nèi)最頂尖的清華大學(xué)孫家廣院士團隊,共同打造的保護遼寧交通大數(shù)據(jù)安全的第一道閘門。
在取消省界收費站之后,交通專網(wǎng)的全國一張網(wǎng)覆蓋范圍為15萬公里,管理著2億上線車輛,交易規(guī)??蛇_每秒10萬筆,是全球最大的單一業(yè)務(wù)專網(wǎng),面臨著前所未有的安全壓力。
而我們上線的這個平臺,能夠提供對威脅的事前預(yù)警、事中發(fā)現(xiàn)、事后回溯功能。領(lǐng)導(dǎo)請看,系統(tǒng)現(xiàn)在非常健康的100%防護狀態(tài),我們已經(jīng)將全省2萬多個軟硬件資產(chǎn)實時監(jiān)測起來,防范威脅,并能自動化解決大量風(fēng)險漏洞。
在去年9月和今年4月公安部、交通部聯(lián)合舉行的攻防演練中,遼寧均表現(xiàn)優(yōu)異,多項安全指數(shù)排名第一,得到了各方好評。
接下來,讓我們進入智能運維板塊。
***公司是全省機電的統(tǒng)一運維服務(wù)中心,我們現(xiàn)在看到的遼寧高速運行監(jiān)測平臺,可以將省域范圍內(nèi)293個收費站、694個門架、以及所有服務(wù)器、車道、車牌識別設(shè)備等的狀態(tài)都實時接入系統(tǒng),當設(shè)備發(fā)生故障時,系統(tǒng)會第一時間發(fā)送短信報警,使運維人員對故障處理最快響應(yīng)。
隨著煙草行業(yè)信息化快速發(fā)展及云計算、虛擬化、移動應(yīng)用等新興技術(shù)運用,使煙草行業(yè)的信息安全面臨新的挑戰(zhàn),主要表現(xiàn)在以下幾點。
1.1核心軟硬件被國外壟斷,嚴重威脅行業(yè)信息安全
當前,煙草行業(yè)的信息系統(tǒng)基礎(chǔ)設(shè)施,包括主機、存儲、操作系統(tǒng)、數(shù)據(jù)庫、中間件等幾乎還很大程度上依賴于國外品牌,使得煙草行業(yè)信息系統(tǒng)比較容易被國外掌控,威脅煙草行業(yè)信息安全。
1.2傳統(tǒng)互聯(lián)網(wǎng)威脅向煙草行業(yè)輻射
隨著電子商務(wù)的快速發(fā)展,煙草行業(yè)信息系統(tǒng)由半封閉的行業(yè)內(nèi)網(wǎng)向互聯(lián)網(wǎng)轉(zhuǎn)變,網(wǎng)上訂貨、網(wǎng)上營銷等新型業(yè)務(wù)與互聯(lián)網(wǎng)結(jié)合日益緊密,同樣面臨的網(wǎng)絡(luò)攻擊和威脅形勢日益復(fù)雜嚴峻,傳統(tǒng)互聯(lián)網(wǎng)威脅(如病毒、木馬等)也必將危及行業(yè)信息安全。
1.3新技術(shù)的應(yīng)用使行業(yè)信息安全面臨更大挑戰(zhàn)
隨著云計算、虛擬化、移動應(yīng)用等新興技術(shù)的快速發(fā)展和應(yīng)用,極大地影響了信息系統(tǒng)的運行和服務(wù)方式,互聯(lián)網(wǎng)服務(wù)的開放性特點對煙草行業(yè)信息安全工作提出嚴峻的挑戰(zhàn)。
2煙草行業(yè)信息安全發(fā)展方向
近期,為處理好安全和發(fā)展的關(guān)系,適應(yīng)信息技術(shù)發(fā)展形勢需要,提出以安全保發(fā)展、以發(fā)展促安全是未來一段時間信息安全建設(shè)和管理的重要方向。
2.1堅持自主安全可控,健全行業(yè)信息安全體系
信息安全自主可控作為行業(yè)信息化發(fā)展的重要保障,加大安全可靠的先進技術(shù)應(yīng)用力度,提升對核心技術(shù)的自主掌控能力,保障行業(yè)信息化建設(shè)穩(wěn)步推進,健全以防為主、軟硬結(jié)合的行業(yè)網(wǎng)絡(luò)安全體系。強化網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全,加大安全可控關(guān)鍵軟硬件的應(yīng)用比例,確保行業(yè)信息化高效安全平穩(wěn)運行。
2.2堅持等級保護,提高安全管理水平
執(zhí)行國家信息安全等級保護制度,以安全策略為核心,堅持技術(shù)和管理相結(jié)合,構(gòu)建與行業(yè)信息化發(fā)展協(xié)調(diào)一致的行業(yè)網(wǎng)絡(luò)安全體系。
2.3強化安全運維機制,提升安全保障能力
目前,行業(yè)信息安全保障尚未全面融入信息化的“建管用”的各個環(huán)節(jié),需要進一步建設(shè)、健全行業(yè)網(wǎng)絡(luò)安全保障體系,落實安全運維機制,提升安全綜合防范能力。
2.4完善應(yīng)急處置體系,保證系統(tǒng)安全穩(wěn)定運行
加強日常信息安全監(jiān)控,進一步完善信息安全應(yīng)急處置機制,充分評估信息系統(tǒng)面臨的威脅,并制訂覆蓋各類信息系統(tǒng)、各種信息安全事件的應(yīng)急預(yù)案并進行演練,提升信息系統(tǒng)預(yù)警、應(yīng)急處置和恢復(fù)能力,保障業(yè)務(wù)系統(tǒng)的連續(xù)穩(wěn)定運行。
2.5煙草行業(yè)信息安全建設(shè)思路
隨著國家、行業(yè)主管單位對信息安全認識和要求的不斷深入,煙草行業(yè)信息系統(tǒng)綜合安全防范能力需要通過建立自主可控的信息安全技術(shù)體系;細化和完善信息安全法規(guī)制度、標準規(guī)范、流程細則的管理體系;和以“常態(tài)化”為目標,包括階段性運維、日常運維、應(yīng)急工作三個角度的安全運維體系設(shè)計,從而提高信息系統(tǒng)信息安全綜合防范能力。
2.6建立系統(tǒng)安全基線,提升系統(tǒng)基礎(chǔ)防護能力
國家局針對信息安全工作下發(fā)了如《信息安全保障體系建設(shè)規(guī)范》《行業(yè)單位等級保護建設(shè)規(guī)范》等一系列的規(guī)范標準,同時以“三全工作”“安全檢查”為抓手推動信息安全保障體系的建設(shè)。但由于缺乏具體的操作層面的指南,各行業(yè)單位對標準規(guī)范和安全建設(shè)尚不能有效落地,不能執(zhí)行到具體的業(yè)務(wù)系統(tǒng)以及所屬的主機、網(wǎng)絡(luò)設(shè)備等基礎(chǔ)設(shè)施層面。為保證信息系統(tǒng)整體安全水平,防止因為各類系統(tǒng)、設(shè)備的安全配置不到位而帶來安全風(fēng)險,有必要針對信息系統(tǒng)建立其基本的安全要求(安全基線),確保信息系統(tǒng)具有基本的安全保護能力。
2.7建立自主可控信息安全技術(shù)體系
自主可控是信息安全的根本保障。建立自主可控的信息安全技術(shù)體系可以從以下方面著手:一是制訂行業(yè)信息安全技術(shù)產(chǎn)品準入要求,啟動核心信息技術(shù)產(chǎn)品的信息安全檢查和認證工作;二是加強對產(chǎn)品或系統(tǒng)的漏洞檢測和代碼審查,及時發(fā)現(xiàn)系統(tǒng)安全隱患,同時明確國外進口產(chǎn)品在使用過程的責(zé)任和義務(wù);三是建立煙草行業(yè)新技術(shù)的安全標準規(guī)范,明確新技術(shù)的使用、運維和管理的方法和范圍。
2.8不斷完善行業(yè)信息安全標準規(guī)范體系
目前煙草行業(yè)已經(jīng)陸續(xù)了一系列行業(yè)信息安全標準和規(guī)范,但是相對于信息化的快速發(fā)展來說還存在滯后性。制定、完善和細化行業(yè)信息安全標準規(guī)范,對于煙草信行業(yè)信息安全具有重要意義。例如,針對信息系統(tǒng)的建設(shè),應(yīng)制訂包含在信息系統(tǒng)規(guī)劃設(shè)計、開發(fā)建設(shè)、運行維護和停用廢棄等全生命周期的安全標準規(guī)范;針對移動應(yīng)用,應(yīng)制訂包含由移動終端、移動網(wǎng)絡(luò)、移動平臺、業(yè)務(wù)應(yīng)用構(gòu)成的移動安全框架和建設(shè)標準規(guī)范,為煙草行業(yè)的移動應(yīng)用建設(shè)提供指導(dǎo);針對煙草行業(yè)數(shù)據(jù)安全,應(yīng)建立包括數(shù)據(jù)分類分級、數(shù)據(jù)分布、數(shù)據(jù)操作、數(shù)據(jù)備份和恢復(fù)在內(nèi)數(shù)據(jù)安全標準規(guī)范,為合理保護和利用行業(yè)數(shù)據(jù)提供指導(dǎo);針對第三方服務(wù)外包,制定第三方服務(wù)機構(gòu)服務(wù)質(zhì)量基本評價指標體系。
2.9建立安全運維管理服務(wù)體系
一是建立運維監(jiān)控指標體系。通過對信息系統(tǒng)安全運維水平的層次化監(jiān)控指標的建立,得到該業(yè)務(wù)系統(tǒng)的安全運維水平評級,以此來表明該業(yè)務(wù)系統(tǒng)的安全運維體系的建設(shè)成熟度。同時還應(yīng)將表示安全運維水平的各個指標項建立針對某類安全事件的度量標準。建立監(jiān)控指標不僅應(yīng)當包括傳統(tǒng)的各種系統(tǒng)資源使用率、數(shù)據(jù)和應(yīng)用工作狀態(tài)等,同時要加強對運維監(jiān)控中發(fā)現(xiàn)的各種異?,F(xiàn)象的監(jiān)控分析,對風(fēng)險隱患及時處理,同時根據(jù)運行分析結(jié)果動態(tài)評估系統(tǒng)的處理能力,動態(tài)優(yōu)化系統(tǒng)資源配置。二是完善安全運維和管理工作。安全運維和管理工作應(yīng)包含在信息系統(tǒng)規(guī)劃設(shè)計、開發(fā)建設(shè)、運行維護和停用廢棄等各環(huán)節(jié),落實系統(tǒng)建設(shè)全生命周期各環(huán)節(jié)的安全指標和流程要求,做到基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)與安全防護設(shè)施同步規(guī)劃、同步建設(shè)、同步運行。三是完善應(yīng)急處置機制,保障業(yè)務(wù)連續(xù)性。隨著行業(yè)數(shù)據(jù)的集中,各類信息系統(tǒng)整合的不斷推進,信息系統(tǒng)的技術(shù)體系日趨復(fù)雜,需要在日常運維過程中積累、提高對各種技術(shù)的把握、優(yōu)化能力。充分評估各類信息系統(tǒng)潛在的威脅,并制訂和完善各類信息安全事件的應(yīng)急預(yù)案,并定期開展應(yīng)急演練。
2.10開展信息安全風(fēng)險態(tài)勢感知體系研究
風(fēng)險態(tài)勢感知體系是具有宏觀的角度對行業(yè)的整體網(wǎng)絡(luò)安全防護能力進行評估,同樣也應(yīng)對整體安全管理水平進行評估,為提升信息系統(tǒng)整體安全防護能力提供決策支持;同時風(fēng)險態(tài)勢感知體系應(yīng)具備兩個維度的態(tài)勢感知能力。一方面,從安全本身的發(fā)展變化入手,通過對事件和威脅的分析來評估當前網(wǎng)絡(luò)的整體安全態(tài)勢,包括地址熵態(tài)勢分析、熱點事件分析和威脅態(tài)勢分析;另一方面,從信息系統(tǒng)所需要達成的安全管理水平入手,通過對一系列管理指標的度量,來評估當前信息系統(tǒng)的安全管理水平;建設(shè)完備的信息安全風(fēng)險感知體系,是提高煙草領(lǐng)域信息安全的重要途徑之一。風(fēng)險態(tài)勢感知體系的建設(shè)應(yīng)按照信息安全等級保護的相關(guān)要求,建設(shè)針對信息系統(tǒng)所有的基礎(chǔ)設(shè)施包括終端、網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)、物理各個方面,以及信息系統(tǒng)在業(yè)務(wù)處理過程中的身份認證、訪問控制、數(shù)據(jù)與內(nèi)容安全、監(jiān)控審計、備份恢復(fù)等各個環(huán)節(jié)的信息安全風(fēng)險態(tài)勢感知體系,提高信息系統(tǒng)的信息安全保障能力,提高信息安全事件的預(yù)警及防范能力。
3結(jié)語