网络安全可视化范文

导语：如何才能写好一篇网络安全可视化，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词：云计算；电子政务；网络安全；可视化；云平台；风险分析；安全特性

引言

电子政务自出现以来就得到了我国政府的高度重视，随着这些年的蓬勃发展其已经被广泛应用到了我国经济发展的方方面面，为我国各级政府稳定运转和高效管理做出了重大的贡献。我国社会生产正在向着信息化的方向发展，在这样的背景下电子政务也已经不再是传统的办公工具，其正在我国进行各项重大改革、执行关键决策的过程中扮演着不可或缺的角色，极大提升了我国各级政府的治理能力。当前我国电子政务的主要发展方向就是同云计算技术相结合，这也大大改变了电子政务传统的建设模式，电子政务网络也逐渐转化为政务云，这不仅提升了我国电子政务网络基础设施的使用效率，还是我国电子政务集约化和可持续发展的可靠保障，有效缓解了我国各级政府存在的信息共享不足和各自为政的问题，真正实现了政务资源整合共享，增强了政府的管理能力。云计算是推动信息技术能力实现按需供给、促进信息技术和数据资源充分利用的全新业态，是信息化发展的重大变革和必然趋势。随着智慧政务各种应用的不断落地，各级政务部门开发的应用系统越来越多，大都通过集约化部署的方式集中部署在电子政务云平台上。但是在这种模式下电子政务网络中将会存储巨大的数据和信息，这就成为了许多不法黑客的主要攻击目标，尤其是在电子政务网络中引入了云技术之后，一旦电子政务网络受到了黑客攻击并且出现了各种问题不能正常运行，将会造成数据和信息的泄露，最终将导致巨大的经济损失。

1对政务云所面临安全风险的简要分析

1.1平台建设优先，灾备保护不足

两级政务云平台建设发展速度较快，受到电子政务“十二五”规划纲要、信息共享等相关政策的影响，各省市开始整合现有的软硬件资源，构建电子政务公共平台，并投入大量资金进行设备购买，两级政务云环境基本形成。但另一方面可以看到，云平台的灾备建设还刚刚起步，大量的政务云系统缺乏统一的灾备规划、管控，部署数据容灾方式还停留在较为原始的技术水平，缺乏有效的异地备份、分级备份方式和统一管控的手段。特别是业务集中上云以后，对业务连续性和数据安全可靠性保障提出了更高要求。现有的灾备模式和代表政务公众形象的政务云低RTO、低RPO要求不相匹配。

1.2业务发展速度加快，传统规模估算模式略显吃力

在两级政务云建设模式下，业务系统建设逐步加速，“横”、“纵”两个维度的需求催生了政务云系统快速发展和扩张：协同办公、并联审批、信用平台、资源交易平台等横向建设的业务系统，一般由经信委、发改委牵头建设，业务建设由国家发文，省级单位统一规划建设；工商管理系统、交管综合系统、房管信息系统等涉及到部门专项业务的纵向业务系统，一般由部委牵头统一建设。业务建设由国家、部委发文，部委、省厅统一规划建设。

1.3政务云建设发展不均衡风险

政务云建设发展水平不均，落后地区建设预算不足，运维保障能力弱对于东部沿海地区省份、以及省会等区域中心城市，由于建设资金雄厚，政务云系统建设整体进展较快，设备资源较为充裕，运维水平较高；而对于欠发达地区，例如一些省份中的落后地区，当地财政预算不够充裕，又或者是垂直部委下辖的欠发达省份，建设资金无法满足建设需求，而与之而来的运维保障能力较弱，也成为了政务云建设中的短板。

1.4自建政务云与购买云服务关系有待协调

很多省市开始采用运营商、集成商为政府专门建设的云服务，其中有很多政府部门既有自建政务云平台，又有采购第三方云服务，两个平台之间使用、管理关系未统一，导致使用及管理复杂。

2对云计算的电子政务网络安全风险规避策略的简要分析

2.1加大资源贡献力度

全局资源共享，提供跨域云资源服务，有效解决地市政务云暂时性资源紧缺的问题当地市有业务上线需求，但苦于平台建设进度无法跟上、没有充足资源匹配的情况，可向省级云租借空闲的资源使用，市级云管理员可以向管理自有市级云资源一样，统一管理租借来的云资源，实现了业务系统跨云自动部署、迁移、弹性伸缩，使资源充分利用，让资源在省内按需流动。

2.2省市两级云运维服务流程与规范统一

在两级政务云框架下，省内发达和落后地区的政务云资源由省级平台通过集中管理系统进行统一管理，纵向实现两级云分级、分权、分域管理，使全省运维标准统一，解决了各地市电子政务运维队伍差异大，运维水平不均衡的问题。

2.3加大灾备统一管理的力度

统一灾备服务，有效解决灾备系统选点难、投资大、管理复杂的难题在省级云建设统一的政务云灾备中心，为省、市两级各政务云站点提供统一灾备服务，可快速提高全省政务云系统和数据的可靠性和连续性问题，整体减低建设、投资及管理的复杂度及成本。

3结束语

电子政务网络不仅提升了我国电子政务网络基础设施的使用效率，还是我国电子政务集约化和可持续发展的可靠保障，有效缓解了我国各级政府存在的信息共享不足和各自为政的问题，真正实现了政务资源整合共享，增强了政府的管理能力。

参考文献

[1]吴为,张博涵,任海清,王晓云.2018年底前河北建设政府统一数据开放平台[J].计算机与网络.2017(04).

篇2

关键词：病毒；系统还原；网络安全

1网络病毒特点及应对

病毒通过网络侵入电脑，受感染的电脑运行速度下降，系统资源被破坏，无法响应用户的正常指令，网络无法使用。防治网络病毒一举成为网络领域重点研究课题。

网络上病毒的传播及传染方式相对复杂：感染终端一服务器硬件资源一服务器硬盘共享资源一其他终端设备。电脑病毒在网络环境下所展现出的一些新特点，如表1所示。

2校园网络中的总体防毒措施

计算机间的通信就像人们走亲访友一般，从一个门进入另一个门，而网络病毒也会想方设法地跟着偷偷溜进来。网络安全体系的建立不仅仅需要病毒防范技术，还需要遵守管理制度，出台法律约束，并加强个人的安全防范意识和防毒技能，也可以用下面的式子表述：

信息安全体系=法律+意识+技术+管理+技能

用户对病毒的防范技术的掌握是有效防范病毒入侵的必要手段。病毒防范的一些基础技能是每个网内用户必须掌握的，如杀毒软件的基本功能的使用，某些典型病毒的防范技巧等，也可以请专业的反病毒公司进行指导。如果每一个用户都是一个防毒查毒杀毒能手的话，团结起来便会成为有巨大力量的天网，那么病毒将无处藏身，无路可退，最终无法生存。

应通过对网络端口类型分析、端口状态分析、关闭不必要的端口等网络自身的防毒措施对病毒进行抵御。在网络本身所具备的防病毒体系和防火墙技术、虚拟局域网技术对网络病毒的制约的基础之上，校园网内还应提供卡巴斯基等强力杀毒软件对病毒进行查杀。

某学院教学楼网络中心机房结构如图1所示。

网络病毒及木马对校园网和终端的伤害是特别大的。曾几何时，熊猫烧香肆虐着局域网内的所有终端设备，ARP病毒也曾经困扰很多高校机房。一旦感染此类病毒，老师无法正常教学，学生无法正常练习，行政人员无法使用正常的网络办公，所以防治局域网内的病毒就成为第一个要抓的重点。刚才提到的行政办公人员和使用教学设备的学生、老师是校园网中最主要的使用者。行政人员的设备终端包括计算机和手机设备，多通过各自办公室的路由器连接到楼层交换机上，因为有网络防火墙的保护，办公室内部的病毒传播有限，防治的方法也很简单，只要在终端安装可靠的防火墙和杀毒软件即可。而使用教学设备的老师和学生则更加难以控制，终端病毒需要特别防范，不同WLANT的病毒传播也不得不防，所以要维持校园网络畅通真的是困难重重。

对于教学人群密集的教学楼内的计算机设备，需通过2种截然不同的方式防范病毒的传播和入侵。首先，对购置年限较长的计算机实行无硬盘化管理，也就是无盘工作站模式，由千兆线连接交换机及服务器，由服务器实现对软件的安装、维护和升级，只要局域网络畅通，服务器没有断电，所有无盘工作站都会正常有序地运行。当然，防毒也只限于服务器了。其次，对购置年限较短的计算机实行还原保护管理，也就是安装保护卡，给所有入网的教学设备安装了保护卡，由千兆线连接交换机，对所有硬盘区域进行细致分析，多系统划分，多功能划分，开机还原，具体化安排课表，完全控制学生机合理操作。从根本上保证系统的纯净，杜绝病毒和木马，给老师和学生创造了一个良好的学习环境。

3机房及各系部办公室客户端的安全细化设计

在客户终端上必须安装一些应用软件保证和维护校园办公和教务的正常进行。

（1）系统杀毒。正版的卡巴斯基杀毒软件，由于升级繁琐、兼容性差和对硬件要求高，很难普及。360安全防护系统可以很好地补充漏洞，它能查杀木马，管理插件和软件，清理系统垃圾，手机管理，修复被弃管的XP漏洞等。同时提供系统实时保护，全方位捍卫用户系统。另外，还有配套的360杀毒软件，结合起来一起使用，效果也是很好的。如今多数学校的大部分系统都使用360安全卫士及配套杀毒软件。

篇3

关键词：恶意移动代码；蜜罐技术；监测；数据采集

中图分类号：TP309.5文献标识码：A文章编号：1672-7800（2012）010-0160-02

基金项目：河南省教育科学“十一五”规划2009年项目（2009-JKGHAG-0321）

作者简介：王乐乐（1985-），女，中国人民信息工程大学信息工程学院硕士研究生，研究方向为网络安全；邢颖（1985-），女，中原工学院软件学院助教，研究方向为网格计算与云计算。

0引言

恶意移动代码（MaliciousMobileCode-MMC）是指在计算机之间以及网络之间移动的任何程序代码，这些代码未经任何允许和授权，有意对计算机系统内容进行篡改，从而达到破坏计算机数据完整性以及降低网络运行可用性的目的。恶意移动代码包括计算机病毒、木马、蠕虫、恶意脚本以及流氓软件等。恶意移动代码具有自我复制和自我传播特性，主要表现为：用户机密信息受到威胁、造成骨干网或局域网阻塞、网络服务中断、僵尸网络（Botnet）等，严重威胁着Internet网络安全。蜜罐技术可通过模拟服务来获取入侵事件的具体信息，已成为目前网络安全领域的新兴技术，本文提出的基于蜜罐技术的恶意移动代码扫描监测模型能有效对网络中恶意移动代码进行监测，及早、有效地发现面临的威胁，保护网络与主机安全。

1常用网络监测技术

为了减少网络恶意侵害行为对互联网基础设施以及主要应用系统的危害，必须对相关网络威胁进行监测和追踪。目前，监测方式主要分为两类：主机监测和网络监测。主机监测是指在用户主机上安装反病毒软件和基于主机的入侵检测软件，对入侵主机的已知恶意代码进行检测和告警。网络监测方式中，常用技术是在活动（active）网络中被动监听网络流量，利用检测算法识别网络入侵行为。虽然监测活动网络扩大了监测范围，但是如何区分活动网络中的“善意”和恶意流量却变得非常困难，导致检测结果中存在大量虚警；另一种网络监测技术是指在未使用的IP地址空间内被动收集数据。但这种集中收集恶意流量的方式割裂了恶意流量与原有活动网络流量之间的关联；最后一种网络监测技术是将未使用地址空间伪装成活动网络空间，通过与入侵者的主动交互获取入侵详细信息，如蜜罐技术（HoneynetProject，相关软件有honeyd等）。与以上两种网络监测技术相比，蜜罐技术能够有效地将活动网络中的恶意流量分离出来，监测到与活动主机相关联的网络入侵行为，从而达到保护网络的目的。

2蜜罐技术

蜜罐（Honeypot）技术作为一种典型的主动防御技术，是近年来的研究热点。蜜罐技术研究发起人LanceSpitzner给出的定义是：蜜罐是一种安全资源，它的价值体现在被刺探、攻击或者被摧毁的时候。蜜罐系统主要包括了网络诱骗、数据控制、数据捕获、数据报警、数据分析和日志远程存储等功能模块。

蜜罐的工作原理是通过引诱攻击者的入侵来保护系统本身安全，能通过某种方式监测与跟踪入侵者的行为，并将其记录在日志中对攻击方法进行技术分析，从而学习入侵者的工具、策略和方法。

蜜罐按照交互的级别，可以分为低、中、高三种交互级别：

低交互honeypot没有真正的操作系统可供攻击者使用，也不会给系统带来额外的风险。由于它不可能观察攻击者与操作系统的交互过程，因此不能收集到真正有意义的信息。此阶段主要提供检测功能。

中交互honeypot设置了一些信息以供交互，但未提供一个真正的底层操作系统。因为honeypot的交互能力提高了，攻击者发现安全漏洞的可能性也更大，所以增加了风险。

高交互honeypot有真正的底层操作系统，攻击者能够上传、安装新文件，可以与操作系统交互，也能够攻击各种应用程序，会给系统带来很大的风险，但捕获到有用信息的可能性越大。

3基于蜜罐的扫描监测原型系统设计与实现

本文在分析了蜜罐技术在实际部署中必须考虑的相关因素的基础上，针对恶意移动代码的特点，构建了基于蜜罐技术的恶意移动代码扫描监测模型，目标是对校园网内的恶意扫描源进行监测和预警。模型按功能实现可以划分为两部分：监测部分和预警处理部分，监测部分是预警处理部分的基础。

3.1模型构成

整个系统由6个模块构成，如图1所示，分别为监测数据采集模块、数据存储和预处理模块、单点检测预警模块、检测结果可视化模块、多点综合处理与预警模块、防火墙访问规则自动生成模块。除监测数据采集模块属于监测部分外，其余模块均属于预警处理部分。

系统框图如图1所示。整个系统的数据处理流程描述如下：

监测数据采集模块负责在监控网络内采集恶意扫描流量，将流量数据输送至数据存储与预处理模块中的数据服务器，并对存储格式进行简单转换处理，然后单点检测预警模块分别对各采集点的流量数据进行统计分析，形成单点扫描检测预警结果。该结果一方面由可视化模块进行可视化，另一方面传输给多点综合处理与预警模块进行综合处理与预警。综合检测与预警结果由可视化模块进行可视化输出，同时由防火墙规则自动生成模块生成防火墙访问规则，与防火墙联动对恶意扫描源行为进行控制。

3.2监测数据采集模块

监测数据采集模块为模型的基础模块，只有监测数据采集准确，才能提供有效的处理信息给后续预警分析。在监测数据采集模块中，首先应该确定监测点在网络中的部署位置。因为本文系统提出的设计目标是监测校园网内的恶意扫描源，所以监测重点是出现在校园网内部的扫描连接，根据部署原则，监测点需要部署在校园网防火墙内，并且是由内部路由器连接的网络中。由于蜜罐技术可以把网络中路由未使用的IP地址伪装成“活动主机”，因此在内部网络中，监测点主要以活动主机的形式存在。

3.3单点检测预警模块

单点检测预警模块为模型的核心处理模块之一，其功能是对各个监测采集点数据进行独立统计，并且进行扫描源与扫描端口的监测、报警、预警。根据蜜罐的工作原理，访问蜜罐的网络行为被认为未授权或恶意行为，所以基于蜜罐技术的扫描监测模型捕获到的流量一定是纯的异常流量。本文采用的蜜罐技术可以直接确定访问源性质，从而将研究重点集中在扫描源行为的研究而不是在扫描源识别上。

3.4可视化模块

可视化模块是实现数据检测结果方便用户可视的重要模块，主要由Web网页相关处理脚本构成，建立了专门的Web网站扫描源检测处理可视化结果。网站可以自动更新每日扫描源检测报警、预警结果，提供数据库查询接口页面，并且为用户提供以日、周、月为单位的扫描源检测结果。

3.5多点综合处理与预警模块

多点综合处理与预警模块是模型的核心模块，其功能是以时间为尺度对各个单点检测报警的结果进行关联分析和综合分类，从而形成来自于不同的监控网段共同扫描行为的综合报警和预警报告，并且将结果输入到防火墙访问规则自动生成模块，进而对后续相同的扫描源的恶意移动行为进行控制。有关关联分析处理参阅文献。

3.6防火墙访问规则自动生成模块

当今网络中普遍采用的网络安全防御部署系统主要有防火墙、入侵防护系统（IPS）和入侵检测系统（IDS）等。这几个系统的基本工作原理是根据一定的访问控制规则对恶意移动行为进行逻辑判断，因此如何提取和制定控制规则对于这些网络安全防御系统的正常运行起着重要作用。因为蜜罐技术具有针对性强、检测准确的检测优势，所以检测结果可生成相对应的访问控制规则，并且反馈给其他广泛应用的网络安全防御系统使用，以便于发挥更大的检测效用。

4结语

蜜罐技术是目前网络安全领域的新兴技术，通过模拟服务来获取入侵事件的具体信息，通过在一台物理主机上虚拟网络和不同操作系统的主机来扩大监测地址空间。本文主要工作为：设计了基于蜜罐技术的恶意移动代码扫描监测模型，并对监测数据采集模块、数据存储和预处理模块、单点检测预警模块、检测结果可视化模块、多点综合处理与预警模块、防火墙访问规则自动生成模块等各个模块进行了详细介绍，此模型能有效检测恶意移动代码威胁。模型的具体实现，以及多矢量传播监测系统部署问题是下一步研究的主要工作。

参考文献：

[1]GRIMESRA.MaliciousMobileCode[C].USA：O’Reilly&Associates，2001.

[2]SymantecCorporation[EB/OL].http：//.1995/20075-10-29.

[3]SANS.Sans-InternetStormCenter-CooperativeCyberThreatMonitorandAlertSystem[M].Press，2004.

[4]HoneynetProject[EB/OL].2003-01-01/2007-05-15.http：//.

篇4

通过下一代防火墙、态势感知检测响应、安全云端、安全运营平台，初步构建“网-端-云-平台”一体化框架进行风险控制闭环。框架中，下一代防火墙、态势感知检测响应等网络和端点安全设备持续采集网络和端点侧流量日志，安全云端和本地安全运营平台通过发现和关联流量日志中各类攻击威胁失陷标志，找出入侵攻击链，进一步在网络和端点侧进行控制处置，切断攻击链。

3.2建立初步的信任评估和控制机制

以上网行为管理和SSLVPN设备组件为基础，对接各类型终端，入网前基于设备状态和身份信息进行信任等级判定。并建立内部应用访问身份认证机制。下一阶段工作通过零信任技术建立更全面的访问前信息采集和持续评估能力，进一步打通网络、应用、数据访问的身份和信任判决及控制。

3.3建立本地化安全运营能力

基于安全运营平台，将全网终端威胁、网络攻击及业务系统安全通过大屏可视化的方式呈现，结合外部安全服务专家专属服务化的方式，实现了网络安全的闭环响应与处置，同时为内部人员提供信息安全知识与技能，沉淀本地知识经验库；基于安全运营平台分析结果进行决策，指导各部门开展网络安全工作；通过网络安全运营平台指导安全建设，提供安全策略优化指导，全面提升系统安全运营能力。

3.4构建针对未知威胁防控的人机共智能力

基于本地安全运营平台、下一代防火墙、态势感知检测响应等设备组件中人工智能算法，借助安全云端的全球威胁情报和安全大数据分析辅助，初步构建针对已知和未知Web攻击、僵尸网络、各类型病毒、漏洞利用、部分APT攻击和异常业务行为的检测识别能力。通过演练成果应用，实现了满足等级保护2.0合规要求，具备在实战化攻防对抗中抵御攻击、快速恢复能力，同时日常服务运维过程中对各类型业务和数据提供常态化安全防护。

4创新性与价值

信息系统安全建设基于自身信息化业务需求和网络安全监管法规要求，以“体系合规，面向实战，常态保护”为目标，“统筹风险，精益安全，持续推进，人机共智”为安全能力构建方向，逐步推进建设落地。规划建设过程，体现了以下几方面特色和优势：（1）体系化统筹，从高层要求、监管法规等业务和内外部需求出发，从风险、安全、推进、智能四方面，体系化地规划安全能力和落地过程[5]。（2）全面保障，整个建设理念和框架覆盖的保护对象从物理环境，到网络、主机、边界等各层面，并对各类型业务和场景具有普适性。（3）面向未来，利用人机共智的三位一体能力，以及阶段性演进的成熟度坐标，规划面向未来的能力演进体系。（4）有效落地，创新网络安全微服务架构，提升自动化管理效率，利用专家服务和辅助决策降低人员门槛，进一步通过可视化指标体系呈现安全建设绩效。

篇5

 

1 前言

 

随着信息化发展速度不断加快，信息系统用户规模不断扩大、需求不断更新、自动化程度不断提高，信息系统安全状况与企业经济效益越来越密切，直接影响到企业的经营和形象问题。目前，防火墙、IDS、IPS等安全设备已经得到普遍使用，但是同时这些设备产生了海量安全数据，采用人工分析的方法已经无法实现安全威胁的及时预警与处置。另一方面，现有安全设备之间相对孤立，数据没有得到关联分析和综合考虑，很难面对当今各种利用先进手段、高度隐蔽的网络攻击形式。因此，在现有安全手段的基础上，获取和分析海量攻击行为数据，结合态势感知技术实现信息安全行为的准确定位和智能预警，在信息安全防护工作中是非常必要的。

 

2 平台构成

 

信息安全态势智能预警分析平台由系统数据接口、数据挖掘与融合技术、态势分析与风险预警、可视化展示与系统管理六大部分。其中，系统数据接口用于查看目前监控的设备及应用系统;数据挖掘与融合提供有效的数据分析处理模型和数据分析方法;态势分析和风险预警提供当前网络安全态势评估、未来网络安全态势预测及响应告警功能;可视化展示定义生成各类表单、图表、报告、报表等用户界面。

 

3 关键技术

 

3.1 数据采集

 

3.1.1 设备实时监测数据

 

信息安全态势智能预警分析平台监测重要网络设备及服务器的运行状态，主要对网络边界设备、核心交换设备、重要服务器等进行监视，获取CPU、内存、网络流量等性能或安全参数信息。通过该系统数据接口，可按照单个设备、某类设备、整个网络设备来获取相关设备数据。

 

3.1.2 扫描数据

 

采集日常运维中扫描数据，主要包括利用漏洞扫描工具发现的漏洞、弱口令等安全隐患信息。

 

3.1.3 日志文件数据

 

采集重要设备的日志文件数据，主要包括网络边界设备、核心交换设备、重要服务器的系统日志、安全日志、应用日志及告警日志等。

 

3.1.4 策略配置数据

 

采集重要设备的策略配置数据，主要包括主机、服务器、网络设备等的安全策略配置信息以及策略变更信息等。

 

3.2 数据挖掘

 

数据挖掘的方法有很多种，其中关联规则挖掘方法能够从大量数据中挖掘出有价值描述数据项之间相互联系的有关知识，挖掘用户操作行为之间的关联规则，反映用户的操作倾向。

 

现实中网络环境复杂，网络设备种类多，影响因素之间相互关联。选取的算法要能有效的对多源异构数据进行关联分析并具有自学习性，能够解决决策层的不确定性，不能仅凭专家经验确定各指标对网络安全状态的影响程度。在底层使用关联规则挖掘算法对异构数据进行关联性分析，使用云模型对异构数据进行融合处理，在决策层使用贝叶斯决策方法进行态势预测，较好的解决了态势评估的不确定性。

 

3.3 态势感知与风险预警

 

网络安全态势感知主要对网络中部署的各类设备的运行状态进行监测，对动态监测数据、设备运行日志、脆弱性、策略配置数据等进行融合分析，对目前网络安全状况进行风险评估，同时也对未来几天网络安全状况进行预测。

 

安全风险预警实现各类安全隐患的报警功能。借助安全态势感知功能对各类数据综合分析，提出信息安全风险的来源分布以及风险可能带来的危害，及时的对信息安全隐患或风险进行报警。

 

3.3.1 网络实时状况警报

 

实现网络中的网络设备、服务器、中间件等的实时运行状态进行监控，并依据的上下限值提供报警功能。将告警指标和风险处理方法进行结合，实现在动态地图上显示出来并提供报警，能够快速的定位出现问题的设备。实现网络中关键的硬件设备配置的监控，实现对硬件的更换、策略的变更的报警功能。

 

3.3.2 态势要素提取

 

态势要素提取是态势评估与预测的基础。读取核心交换机、重要业务服务器及信息系统、门户网站、路由器、IPS、IDS等关键核心接入设备的配置信息、服务的状态、操作日志、关键性能参数等。

 

3.3.3 态势评估与分析

 

研究信息安全风险评估和分析方法，制定风险评估指标体系和评估模型，开展基于多协议和应用的关联分析，识别程序或用户的恶意行为，追踪并提供威胁分析。

 

态势感知的核心是态势评估，是对当前安全态势的一个动态理解过程。识别态势信息中的安全事件并确定它们之间的关联关系，根据所受到的威胁程度生成相应的安全态势图，反映出整个网络的安全态势状况。

 

研究分层次的安全评估模型，以攻击报警、扫描结果和网络流量等信息为原始数据，发现各关键设备影响因素的脆弱性或威胁情况，在此基础上，综合评估网络系统中各关键设备的安全状况，再根据网络系统结构，评估多个局部范围网络的安全态势，然后再综合分析和统计整个宏观网络的安全态势。

 

3.3.4 态势预测

 

态势预测主要基于各类网络设备、服务器、终端设备以及安全设备的记录，进行关联性分析，给出总体信息安全趋势。态势预测数据的来源包括用户数据的输入和监测到历史数据和实时数据。

 

3.3.5 响应与报警

 

针对存在的威胁事件、预知的安全风险以及信息系统故障等进行报警，并提供解决的建议。利用数据挖掘与融合技术处理历史数据和监测数据，经过网络安全态势评估与预测分析，对潜在安全风险进行分析预测，输出预警信息。

 

3.4 可视化展示

 

根据用户的不同需求，定义不同的功能视图，实现多样化、多元化的展示方式，包括漏洞、弱口令、病毒感染、违规外联、威胁报警等信息。

 

4 结语

 

通过信息安全态势感知与智能预警平台，利用大数据技术将现有各类监测数据、日志数据、扫描数据等进行有效整合，能自动识别未知的新型攻击、缩短事件响应时间并提高提高人员工作效率，为实时掌握网络整体安全状态和变化趋势提供了基础，从而提升企业信息安全主动防御能力。

篇6

关键词 网络安全；技术；网络信息

中图分类号：TP3 文献标识码：A 文章编号：1671-7597（2013）14-0086-02

互联网技术高速发展，在显著提高了人们的生活质量的同时，正逐步改变着人们的生活方式。与此同时，互联网安全问题也日益凸显，成为影响用户体验的主要因素受到各界人士的广泛关且已达成普遍的共识。信息资源的安全防范涉及到硬件和软件两方面内容，因此应采取系统性的保障措施，防止信息传递过程中泄露、破坏和更改，保证网络系统正常、安全、稳定的运行。

1 信息安全管理存在的问题

1.1 操作系统漏洞

计算机软件系统中操作系统是最基本、最重要的系统，为用户正常使用计算机或安装其他程序提供可运行的平台。另外，操作系统还具备对计算机资源的管理功能，例如，可以通过相应的操作查看计算硬件和相关软件存在的问题并对其进行管理。管理过程中会涉及系统某个模块或程序的安全运行问题，这些模块如果存在一些缺陷可能造成整个系统崩溃，影响计算机的正常使用。操作系统对信息传输、程序加载提供支持，尤其通过ftp传输的某些文件。这些文件中如果包含可执行文件也会带来不安全因素。众所周知，这些文件都是程序员编写而成其中难免出现较多漏洞，这些漏洞不但会威胁计算机资源的安全，而且还可能引起整个操作系统的崩溃。本质上来看计算机操作系统出现问题的原因在于其允许用户创建进程，能够对其进行远程激活，一旦被不法分子利用创建一些非法进程就能实现对计算机的控制威胁计算机安全。同时计算机还能通过操作系统实现对远程硬、软件的调用，在互联网上传递调用信息是会经过很多网络节点，这些网络节点被别人窃听就会造成相关信息的泄露，带来巨大的经济损失。

1.2 网络开放性存在的漏洞

开放性是计算机网络的显著特点，该特点在促进网络技术快速发展的同时，也给网络安全带来较大安全隐患。首先，互联网的开放性使接入网络的门槛降低，不同地区的不同人群纷纷接入网络，他们相互交流互联网的学术问题，不断提出新的思想和方法，为互联网技术的发展奠定坚实的基础。其次，接入的这些用户难免存在图谋不轨的人，他们中的多数人要么为某个非法组织效力，要么为了炫耀网络技术，进而对互联网进行攻击，这些攻击有的是针对计算机软件漏洞发起攻击行为，有的对网络层中的传输协议进行攻击。从发起攻击的范围来看，大多数网路攻击来源于本地用户，部分来源于其它国家，尤其发生在国家之间的攻击案例屡见不鲜，这些攻击者拥有较强的网络技能，进行的攻击行为往往会给某个国家带来严重的损失。因此，互联网安全问题是世界性的问题，应引起人们的高度重视。

2 网络安全技术介绍

2.1 入侵检测

入侵检测指通过收集审计数据，分析安全日志和网络行为，判断计算机系统中是否出现被攻击或者违法安全策略行为。入侵检测能够使系统在入侵之前进行拦截，因此是一种积极主动的安全防御技术，被人们称为除防火墙外的第一道安全防护闸门。入侵检测的优点不仅体现在保护计算机安全上，还体现在入侵检测时不会对网络性能产生影响上。检测入侵能够时时监控来自外部攻击、内部攻击行为，提高计算机资源的安全系数。目前来看计算机检测入侵主要分为混合入侵检测、基于主机和网络入侵检测三种，在保障网络安全运行中基于网络入侵检测技术应用较为广泛。

2.2 可视化

在入侵检测、防火墙以及漏洞扫描的基础上，为了提高网络安全的可视操作延伸出了网络安全可视化技术，该技术可以说是上述安全技术的补充。网络安全可视化技术将网络中的系统数据和较为抽象的网络结构以图像化的形式展现在人们面前，并能时时反映网络中出现的特殊信息，监控整个网络的运行状态，最终较为人性的提示用户网络中可能存在的安全风险，为网络安全技术员分析网络潜在的安全问题提供便利。网络安全技术人员利用高维信息展开网络具体状况，从而能够及时有效的发现网络入侵行为，并对网络安全事件的未来发展趋势进行估计和评定，以此采取针对性措施进行处理，保证网络安全防护更为便捷、智能和有效。

2.3 防火墙

防火墙是人们较为熟悉的网络安全防范技术，是一种根据事先定义好的安全规则，对内外网之间的通信行为进行强制性检查的防范措施，其主要作用是隐藏内部网络结构，加强内外网通信之间的访问控制。即根据实际情况设定外网访问权限限制不符合访问规则的行为，从而防止外网非法行为的入侵，保证内部网络资源的安全。同时规范内网之间的访问行为进一步提高网络资源的安全级别。目前防火墙主要包含网络层防火墙和应用层防火墙两种类型，其中可将网络层防火墙看做是IP封包过滤器，在底层的TCP/IP协议上运作。网络管理员设置时可以只允许符合要求的封包通过，剩余的禁止穿过防火墙，不过注意一点防火墙并不能防止病毒的入侵。另外，网络管理员也可以用较为宽松的角度设置防火墙，例如只要封装包不符合任一“否定规则”就允许通过，目前很多网络设备已实现内置防火墙功能；应用层防火墙主要在TCP/IP堆栈上的“应用层”上运作，一般通过浏览器或使用FTP上传数据产生的数据流就属于这一层。应用层防火墙可以拦截所有进出某应用程序的封包，通常情况将封包直接丢弃以达到拦截的目的。理论上来讲这种防火墙能够防止所有外界数据流入侵到受保护的机器中。

2.4 漏洞扫描

漏洞扫描通过漏洞扫描程序对本地主机或远程设备进行安全扫描，从而及时发现系统中存在的安全漏洞，通过打补丁等方式保证系统的安全。工作过程中漏洞扫描程序通过扫描TCP/IP相关服务端口监控主机系统，并通过模拟网络攻击记录目标主机的响应情况从而收集有用的数据信息，通过漏洞扫描能够及时的发现和掌握计算机网络系统存在安全漏洞，以此准确反映网络运行的安全状况，为网络安全的审计创造良好的条件。从而能够根据反馈的信息制定有效的应对措，例如下载相关的漏洞补丁或优化系统等及时的修补漏洞，减少有漏洞引起的网络安全风险。

2.5 数据加密

数据加密是现在常用的安全技术即通过一定的规则将明文进行重新编码，翻译成别人无法识别的数据，当编码后的数据传输过程中即便被不法人员截获，但是没有密钥就不能破解加密后的信息，就无法知道信息的具体内容。数据加密技术主要应用在信息和动态数据的保护上，在当今电子商务发展迅速的时代，该项技术应用较为广阔。数据加密系统主要有密钥集合、明文集合、密文集合以及相关的加密算法构成，其中算法和数据是数据加密系统基本组成元素，算法主要有相关的计算法则和一些公式组成，它是实现数据加密的核心部分。密钥则可看做算法的相关参数。数据加密技术的应用确保了数据在互联网开放环境中的安全，它既不违背互联网开放性特点，又保证了信息传递的安全性。

3 加强网络信息资源管理措施

3.1 注重管理人员业务技能的提升

网络信息资源管理面临的最大威胁是人为攻击，其中黑客攻击就是人为攻击的一种。目前可将网络信息资源的攻击行为分为主动攻击和被动攻击两种，其中主动攻击指利用非法手段破坏传输信息的完整性，即更改截获来的数据包中的相关内容，以此达到误导接收者的目的，或者进入系统占用大量系统资源，使系统不能提供正常的服务影响合法用户的正常使用。被动攻击在不影响数据信息传递的前提下，截取、破解传递的信息，这种攻击手段通常不容易被人发觉，容易造成较大经济损失。因此，针对这种情况应定期举行相关的技术培训，提高管理人员的专业技能水平，加强安全网络的监测力度，并针对不同的攻击方式制定有效的防御措施，同时在总结之前常见的网络攻击手段的研究，加强与国外先进技术的交流合作，共同探讨防止网络攻击的新技术、新思路。

3.2 加强计算机软件、硬件管理

软件管理在保证网络资源安全方面起着至关重要的作用，因此平时应注重软件的管理。威胁软件安全的主要因素是计算机病毒，所以管理员应定期利用杀毒软件查杀病毒，并注重更新下载相关的补丁及时修补软件漏洞。

加强计算机硬件管理应从两方面入手，首先应为计算机的运行创造良好的外部环境，尤其应注重防火、防潮等工作，从而降低硬件损坏给网络带来的影响；其次，制定严格的管理制度，未经管理员允许不能打开机箱更换硬件，同时平时还应注重对硬件性能的检测，发现问题应及时通知管理员进行排除。

4 总结

网络为人们提供了新的信息共享方式，同时其安全性也面临着严峻的考验，面对当前互联网安全存在的问题我国应加强这方面的技术研究，采用多种网络安全技术保证信息传递的安全性。同时国家相关部门应制定详细的法律法规，严厉打击网络攻击和犯罪行为，以此营造良好的互联网运营秩序。

参考文献

[1]张泉龙.对网络安全技术管理的探讨[J].科技资讯，2011（18）.

[2]王贤秋.浅议计算机网络的信息资源管理[J].内江科技，2009（07）.

[3]崔蓉.计算机信息网络安全技术及发展方向[J].信息与电脑（理论版），2010（10）.

篇7

关键词：新型DPI；网络安全态势感知；网络流量采集

经济飞速发展的同时，科学技术也在不断地进步，网络已经成为当前社会生产生活中不可或缺的重要组成部分，给人们带来了极大的便利。与此同时，网络系统也遭受着一定的安全威胁，这给人们正常使用网络系统带来了不利影响。尤其是在大数据时代，无论是国家还是企业、个人，在网络系统中均存储着大量重要的信息，网络系统一旦出现安全问题将会造成极大的损失。

1基本概念

1.1网络安全态势感知

网络安全态势感知是对网络安全各要素进行综合分析后，评估网络安全整体情况，对其发展趋势进行预测，最终以可视化系统展示给用户，同时给出相应的统计报表和风险应对措施。网络安全态势感知包括五个方面1：（1）网络安全要素数据采集：借助各种检测工具，对影响网络安全性的各类要素进行检测，采集获取相应数据；（2）网络安全要素数据理解：对各种网络安全要素数据进行分析、处理和融合，对数据进一步综合分析，形成网络安全整体情况报告；（3）网络安全评估：对网络安全整体情况报告中各项数据进行定性、定量分析，总结当前的安全概况和安全薄弱环节，针对安全薄弱环境提出相应的应对措施；（4）网络安全态势预测：通过对一段时间的网络安全评估结果的分析，找出关键影响因素，并预测未来这些关键影响因素的发展趋势，进而预测未来的安全态势情况以及可以采取的应对措施。（5）网络安全态势感知报告：对网络安全态势以图表统计、报表等可视化系统展示给用户。报告要做到深度和广度兼备，从多层次、多角度、多粒度分析系统的安全性并提供应对措施。

1.2DPI技术

DPI（DeepPacketInspection）是一种基于数据包的深度检测技术，针对不同的网络传输协议（例如HTTP、DNS等）进行解析，根据协议载荷内容，分析对应网络行为的技术。DPI技术广泛应用于网络流量分析的场景，比如网络内容分析领域等。DPI技术应用于网络安全态势感知领域，通过DPI技术的应用识别能力，将网络安全关注的网络攻击、威胁行为对应的流量进行识别，并形成网络安全行为日志，实现网络安全要素数据精准采集。DPI技术发展到现在，随着后端业务应用的多元化，对DPI系统的能力也提出了更高的要求。传统DPI技术的实现主要是基于知名协议的端口、特征字段等作为识别依据，比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等协议特征的识别、基于源IP、目的IP、源端口和目的端口的五元组特征识别。但是随着互联网应用的发展，越来越多的应用采用加密手段和私有协议进行数据传输，网络流量中能够准确识别到应用层行为的占比呈现越来越低的趋势。在当前网络应用复杂多变的背景下，很多网络攻击行为具有隐蔽性，比如数据传输时采用知名网络协议的端口，但是对传输流量内容进行定制，传统DPI很容易根据端口特征，将流量识别为知名应用，但是实际上，网络攻击行为却“瞒天过海”，绕过基于传统DPI技术的IDS、防火墙等网络安全屏障，在互联网上肆意妄为。新型DPI技术在传统DPI技术的基础上，对流量的识别能力更强。基本实现原理是对接入的网络流量根据网络传输协议、内容、流特征等多元化特征融合分析，实现网络流量精准识别。其目的是为了给后端的态势感知系统提供准确的、可控的数据来源。新型DPI技术通过对流量中传输的不同应用的传输协议、应用层内容、协议特征、流特征等进行多维度的分析和打标，形成协议识别引擎。新型DPI的协议识别引擎除了支持标准、知名应用协议的识别，还可以对应用层进行深度识别。

2新型DPI技术在网络安全态势感知领域的应用

新型DPI技术主要应用于数据采集和数据理解环节。在网络安全要素数据采集环节，应用新型DPI技术，可以实现网络流量的精准采集，避免安全要素数据采集不全、漏采或者多采的现象。在网络安全要素数据理解环节，在对数据进行分析时，需要基于新型DPI技术的特征知识库，提供数据标准的说明，帮助态势感知应用可以理解这些安全要素数据。新型DPI技术在进行网络流量分析时主要有以下步骤，（1）需要对攻击威胁的流量特征、协议特征等进行分析，将特征形成知识库，协议识别引擎加载特征知识库后，对实时流量进行打标，完成流量识别。这个步骤需要确保获取的特征是有效且准确的，需要基于真实的数据进行测试统计，避免由于特征不准确误判或者特征不全面漏判的情况出现。有了特征库之后，（2）根据特征库，对流量进行过滤、分发，识别流量中异常流量对应的攻击威胁行为。这个步骤仍然要借助于协议识别特征知识库，在协议识别知识库中记录了网络异常流量和攻击威胁行为的映射关系，使得系统可以根据异常流量对应的特征库ID，进而得出攻击威胁行为日志。攻击威胁行为日志包含捕获时间、攻击者IP和端口、被攻击者IP和端口、攻击流量特征、攻击流量的行为类型等必要的字段信息。（3）根据网络流量进一步识别被攻击的灾损评估，同样是基于协议识别知识库中行为特征库，判断有哪些灾损动作产生、灾损波及的数据类型、数据范围等。网络安全态势感知的分析是基于步骤2产生的攻击威胁行为日志中记录的流量、域名、报文和恶意代码等多元数据入手,对来自互联网探针、终端、云计算和大数据平台的威胁数据进行处理,分析不同类型数据中潜藏的异常行为,对流量、域名、报文和恶意代码等安全元素进行多层次的检测。针对步骤1的协议识别特征库，可以采用两种实现技术：分别是协议识别特征库技术和流量“白名单”技术。

2.1协议识别特征库

在网络流量识别时，协议识别特征库是非常重要的，形成协议识别特征库主要有两种方式。一种是传统方式，正向流量分析方法。这种方法是基于网络攻击者的视角分析，模拟攻击者的攻击行为，进而分析模拟网络流量中的流量特征，获取攻击威胁的流量特征。这种方法准确度高，但是需要对逐个应用进行模拟和分析，研发成本高且效率低下，而且随着互联网攻击行为的层出不穷和不断升级，这种分析方法往往存在一定的滞后性。第二种方法是近年随着人工智能技术的进步，逐渐应用的智能识别特征库。这种方法可以基于威胁流量的流特征、已有网络攻击、威胁行为特征库等，通过AI智能算法来进行训练，获取智能特征库。这种方式采用AI智能识别算法实现，虽然在准确率方面要低于传统方式，但是这种方法可以应对互联网上层出不穷的新应用流量，效率更高。而且随着特征库的积累，算法本身具备更好的进化特性，正在逐步替代传统方式。智能特征库不仅仅可以识别已经出现的网络攻击行为，对于未来可能出现的网络攻击行为，也具备一定的适应性，其适应性更强。这种方式还有另一个优点，通过对新发现的网络攻击、威胁行为特征的不断积累，完成样本库的自动化更新，基于自动化更新的样本库，实现自动化更新的流量智能识别特征库，进而实现AI智能识别算法的自动升级能力。为了确保采集流量精准，新型DPI的协议识别特征库具备更深度的协议特征识别能力，比如对于http协议能够实现基于头部信息特征的识别，包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等头部信息，对于https协议，也能够实现基于SNI的特征识别。对于目前主流应用，支持识别的应用类型包括网络购物、新闻、即时消息、微博、网络游戏、应用市场、网络视频、网络音频、网络直播、DNS、远程控制等，新型DPI的协议特征识别库更为强大。新型DPI的协议识别特征库在应用时还可以结合其他外部知识库，使得分析更具目的性。比如通过结合全球IP地址库，实现对境外流量定APP、特定URL或者特定DNS请求流量的识别，分析其中可能存在的跨境网络攻击、安全威胁行为等。

2.2流量“白名单”

在网络流量识别时也同时应用“流量白名单”功能，该功能通过对网络访问流量规模的统计，对流量较大的、且已知无害的TOPN的应用特征进行提取，同时将这些特征标记为“流量白名单”。由于“流量白名单”中的应用往往对应较高的网络流量规模，在网络流量识别时，可以优先对流量进行“流量白名单”特征比对，比对成功则直接标记为“安全”。使用“流量白名单”技术，可以大大提高识别效率，将更多的分析和计算能力留给未知的、可疑的流量。流量白名单通常是域名形式，这就要求新型DPI技术能够支持域名类型的流量识别和过滤。随着https的广泛应用，也有很多流量较大的白名单网站采用https作为数据传输协议，新型DPI技术也必须能够支持https证书类型的流量识别和过滤。流量白名单库和协议识别特征库对网络流量的处理流程参考下图1：

3新型DPI技术中数据标准

安全态势感知系统在发展中，从各个厂商独立作战，到现在可以接入不同厂商的数据，实现多源数据的融合作战，离不开新型DPI技术中的数据标准化。为了保证各个厂商采集到的安全要素数据能够统一接入安全态势感知系统，各厂商通过制定行业数据标准，一方面行业内部的安全数据采集、数据理解达成一致，另一方面安全态势感知系统在和行业外部系统进行数据共享时，也能够提供和接入标准化的数据。新型DPI技术中的数据标准包括三个部分，第一个部分是控制指令部分，安全态势感知系统发送控制指令，新型DPI在接收到指令后，对采集的数据范围进行调整，实现数据采集的可视化、可定制化。同时不同的厂商基于同一套控制指令，也可以实现不同厂商设备之间指令操作的畅通无阻。第二个部分是安全要素数据部分，新型DPI在输出安全要素数据时，基于统一的数据标准，比如HTTP类型的数据，统一输出头域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常见头部和头部关键内容。对于DNS类型的数据，统一输出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通过定义数据描述文件，对输出字段顺序、字段说明进行描述。针对不同的协议数据，定义各自的数据输出标准。数据输出标准也可以从业务应用角度进行区分，比如针对网络攻击行为1定义该行为采集到安全要素数据的输出标准。第三个部分是内容组织标准，也就是需要定义安全要素数据以什么形式记录，如果是以文件形式记录，标准中就需要约定文件内容组织形式、文件命名标准等，以及为了便于文件传输，文件的压缩和加密标准等。安全态势感知系统中安全要素数据标准构成参考下图2：新型DPI技术的数据标准为安全态势领域各类网络攻击、异常监测等数据融合应用提供了基础支撑，为不同领域厂商之间数据互通互联、不同系统之间数据共享提供便利。

4新型DPI技术面临的挑战

目前互联网技术日新月异、各类网络应用层出不穷的背景下，新型DPI技术在安全要素采集时，需要从互联网流量中，将网络攻击、异常流量识别出来，这项工作难度越来越大。同时随着5G应用越来越广泛，万物互联离我们的生活越来越近，接入网络的终端类型也多种多样，针对不同类型终端的网络攻击也更为“个性化”。新型DPI技术需要从规模越来越大的互联网流量中，将网络安全相关的要素数据准确获取到仍然有很长的路要走。基于新型DPI技术，完成网络态势感知系统中的安全要素数据采集，实现从网络流量到数据的转化，这只是网络安全态势感知的第一步。网络安全态势感知系统还需要基于网络安全威胁评估实现从数据到信息、从信息到网络安全威胁情报的完整转化过程，对网络异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击和未知代码攻击等多种类型的网络安全威胁数据进行统计建模与评估，网络安全态势感知系统才能做到对攻击行为、网络系统异常等的及时发现与检测，实现全貌还原攻击事件、攻击者意图，客观评估攻击投入和防护效能，为威胁溯源提供必要的线索。

5结论

篇8

大数据安全标准化研究进展

国家信息安全标准化概述

物联网安全参考架构研究

无线网络的中间人攻击研究

国内外云计算安全标准研究

移动互联网信息安全标准综述

智慧校园一卡通系统安全研究

融合的世界需要安全模式的创新

美国网络威慑战略解析及启示

物理空间信息安全技术发展综述

可见光信息隐蔽传输与检测技术

基于大数据分析的APT防御方法

面向大数据安全的密码技术研究

数据安全重删系统与关键技术研究

恶意URL多层过滤检测模型策略研究

基于RI码计算的Word复制文档鉴别

无线通信调制信号的信息安全风险分析

恶意USB设备攻击与防护技术研究

大数据安全和隐私保护技术架构研究

面向网络搜索日志的方法研究

基于数字签名的QR码水印认证系统

大数据安全形势下电商的机遇与挑战

基于声信道的隐蔽信息传输关键技术

应急资源大数据云安全管理模式研究

渗透测试之信息搜集的研究与漏洞防范

一种新型的RSA密码体制模数分解算法

基于WinHex手机图片信息的恢复与取证

光纤通信的光信息获取及防护技术研究

基于Web日志的Webshell检测方法研究

国内外工业控制系统信息安全标准研究

智慧城市网络安全标准化研究及进展

智慧城市网络安全保障评价体系研究

一种基于安卓系统的手机侧抓包分析方法

大数据时代的网络舆情管理与引导研究

基于系统调用的恶意软件检测技术研究

安全通论——“非盲对抗”之“童趣游戏”

应对高级网络威胁建立新型网络防御系统

基于人工免疫的移动恶意代码检测模型

乌克兰电力系统遭受攻击事件综合分析

一种实时网络风险可视化技术研究及实现

电商大数据服务与监管时代的机遇与合作

更快、更高、更强:DT时代的信息安全挑战

信息设备电磁泄漏还原图像的文本识别研究

网络空间信息基础设施核心要素的自主之路

网络安全标准是“牛鼻子”促进标准实施应用

Windows7下USB存储设备接入痕迹的证据提取

基于大数据分析的电信基础网安全态势研究

篇9

此外，瑞星在2012年7月的信息安全报告显示，感染型病毒仍普遍存在于国内企业网络中，严重影响企业办公效率。同时，由员工网络操作不当造成的黑客入侵、商业机密泄露也威胁着企业的生存和发展。

B/S+C/S混合架构

随着企业不断壮大、业务量增加，企业网络环境也日渐复杂：终端多，增速快，分布在全国甚至在全球各地；企业内部存在大量异构网络，IT运维面临桌面终端无法可视化和可管理化的难题。

以往的安全解决方案多采用B/S或C/S单一架构。C/S架构的优点是容易开发，操作简单，但应用程序升级和客户端维护麻烦，运维工作量大。近年来，一线安全厂商出于便捷管理的需要，大都采用B/S架构，通过外部网络也可以对系统进行维护，并且能够降低了成本。但B/S架构难以做到实时性，IT人员下发的安全策略难以尽快部署完毕。瑞星安全专家唐威表示，这是因为B/S架构不能实现在网络上直接检测和接收指令。

单一的B/S或C/S架构都难以应对复杂的网络环境，满足用户的多样化需求。为此，瑞星近日了瑞星企业终端安全管理系统，创新性地采用B/S+C/S混合架构，以帮助企业应对复杂的网络环境。“混合架构的好处在于既容易操作，又具有灵活性、伸缩性和实时性。”唐威称，“瑞星企业终端安全管理系统的定位是平台化的系统，其设计理念是整合B/S和C/S架构的优势，在不打破用户习惯的前提下，根据用户的个性化需求，将公司的Web体系和OA系统整合，集成到行业管理平台中。”按照唐威的解释，该系统通过混合架构对企业网络进行一体化管理，并且可以实时部署安全策略。

混合架构之所以能实现复杂网络环境的安全管理，得益于瑞星的一项自主研发的核心技术——网络通信中间件。“如果使用第三方或开源的通信中间件，在可靠性方面会存在问题。瑞星自主开发使得效率提升和安全性都能得到保证。”瑞星研发部产品经理盛颖表示，IT人员部署安全策略之后很快就能得到反馈结果，这在很大程度上提升了用户体验。

内外网管理一体化

对于怎样完善内网安全策略，企业并没有一个明确的思路。企业甚至不知道该从哪里着手。企业已经意识到制定完善的安全策略的重要性，但是仍有疏漏。企业的网络安全建设落后，不同品牌和功能的信息安全设备被杂乱无章地堆叠在企业网络中，不但兼容性差，还容易造成企业网络拥堵，降低办公效率。对此，瑞星研发部产品经理盛颖在接受本报记者采访时表示：“内网安全解决方案已经不只是简单地做好内网安全，而是应该包括外网安全并向整个网络安全解决方案发展。安全厂商必须提供一揽子方案，而不是让用户自己拼凑出一个安全系统。”

瑞星企业终端安全管理系统分为管理和维护两大部分。在内网管理上，该系统囊括了内网安全管理、客户端行为审计、即时通信管理和审计、客户端漏洞扫描和补丁管理等功能。用户可以通过可视化界面对企业内网客户端的使用情况和网络访问情况进行全面的管理和审计。在内网和外网统一管理方面，该系统加入了IT资产管理功能，使管理员能够在全网范围内对软硬件的异常情况一览无遗。同时，为了应对不同规模和行业的用户对安全的差异化需求，瑞星企业终端安全管理系统采用模块化设计，企业可以根据自身情况定制相应功能模块，并且可以在瑞星在线商城购买和升级。

篇10

关键词：电子政务外网 安全管理平台 SOC 安全策略

一、前言

国家电子政务外网作为一个支持跨部门和地区业务应用、数据交换和信息共享的电子政务建设的新生事物，尽管其建设规模还不大，建设时间也不长，但在国家有关部门的指导和支持下，依靠各部委和各地的通力合作，它已经充分展现了一个创新性网络巨大的活力，开始得到了各部门和各地的重视和关注。目前，已有30多个部门的系统平台接入政务外网，例如国务院应急办国家应急平台外网系统、自然资源和地理空间基础数据库、文化部文化信息资源共享平台等一批关系国计民生的重要系统接入政务外网。从政务外网建设及应用情况来看，各部门对政务外网的需求是紧迫的，同时也对政务外网的安全性有了更高的要求。

二、国家电子政务外网安全管理平台概述

如何对国家电子政务外网的安全进行有效的管理，如何保证利用政务外网开展业务的应用系统的安全性，是对负责政务外网网络安全的人员管理能力的一种考验。传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理，这样导致安全信息分散、互不相通，安全策略难以保持一致。因此这种传统的管理运行方式成为许许多多安全隐患形成的根源，很难对国家电子政务外网进行统一的、有效的安全管理。

国家电子政务外网安全管理平台（Security Operation Center，SOC）为电子政务外网制定统一安全策略、统一安全标准，实现全网统一管理和监控，保障电子政务外网安全、稳定、高效地运行，实现政务外网基于安全的互联互通。国家电子政务外网安全管理平台实现了将不同位置、不同类型设备，不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析，得出整个电子政务外网的全局安全风险事件，并形成统一的安全决策对安全事件进行响应和处理，从而保障电子政务业务应用系统的真实性、完整性和保密性。

三、国家电子政务外网安全管理平台框架

国家电子政务外网安全管理平台（SOC)的主要思想是采用多种安全产品的Agent和安全控制中心，最大化地利用技术手段，在统一安全策略的指导下，将系统中的各个安全部件协同起来，实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动，并且能够在多个安全部件协同的基础上实现实时监控、安全事件预警、报表处理、统计分析、应急响应等功能，使得网络安全管理工作由繁变简，更为有效。

国家电子政务外网安全管理平台（SOC）的体系架构具备适应性强（能够适用于不同省级节点接入网络和系统环境）、可扩充性强、集中化安全管理等优点，其框架体系主要是为了解决目前各类安全产品各自为阵、难以组成一个整体安全防御体系的问题。真正的整体安全是在一个整体的安全策略下，安全产品、安全管理、安全服务以及管理制度相互协调的基础上才能够实现。国家电子政务外网安全管理平台（SOC）框架如图1所示。

四、国家电子政务外网安全管理平台的主要功能

国家电子政务外网安全管理平台为系统管理员和用户提供对系统整体安全的监管，它在整个政务外网体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁，使得各类安全手段能与现有的国家电子政务外网应用体系紧密结合而实现无缝连接，以促成网络安全与国家电子政务外网应用的真正一体化。目前，国家电子政务外网安全管理平台基本实现了对国家电子政务外网中央城域网、广域网骨干网的主要网络设备、安全设备和网络承载的业务系统的安全事件的管理，并具备监控、预警、响应、审计追踪等功能。

图2描述了国家电子政务外网安全管理平台的功能框架。以下对其功能予以详细阐述。

⒈统一管理

政务外网安全管理平台（SOC）建立在安全设备部署的基础之上，主要围绕安全的预防、发现、反应环节搭建，实现了安全预警、集中监控、安全事件处理等更高层次的安全管理。这些建立在安全设备部署之上的安全管理包括：预防环节的安全预警信息通告，安全评估结果综合分析的安全信息库；发现环节的收集防火墙、入侵检测、日志系统、防病毒系统中的有关安全事件，呈现安全告警的集中安全监控系统；反应环节的以电子流的方式，进行安全事件处理流转，保存安全事件处理经验的安全事件运行系统。

政务外网安全管理平台（SOC)对各种安全产品的监控和管理，可以利用各个安全子系统中已有的信息采集和控制机制来实现，也可以采用直接与安全设备交互的方式进行，主要取决于各个安全子系统自身的构架以及提供的管理接口。

⒉安全事件实时监控与实时通报

网络安全工作的本质在于控制网络安全风险，风险管理是安全管理的核心。考察安全成本和安全威胁后果之间的关系，以可接受的成本来降低安全风险到可接受的水平。

国家电子政务外网上的各种安全设备和产品每天都要产生大量的各种安全事件。对这些事件的集中监视是控制网络风险、保证网络业务正常运行的重要手段。国家电子政务外网安全管理平台专注于整个政务外网安全相关事件的实时监控，收集并汇总重大安全事件的数据（如：大规模蠕虫事件，重大攻击事件等），进行关联性分析，全面提高对网络事件的快速反应能力；同时，将安全事件备份到后台的数据库中，以备查询和生成安全运行报告。

安全事件通报与业务系统、工作流紧密结合。国家电子政务外网安全管理平台在发现某政务外网业务系统内出现安全事件后，还将及时把这些安全事件通知各业务系统的管理员以便及时予以处理。

⒊全网统一安全策略

对于电子政务外网的安全运行维护，最具有挑战性的莫过于保持全网策略的一致性。尤其是对于日新月异的网络安全技术，需要经常性频繁应对出现的新漏洞，根据新的业务调整安全策略。

国家电子政务外网安全管理平台支持统一、集成的策略管理，包括策略的制定、分发和策略执行情况的检查。安全策略管理包括设备安全策略、事件响应策略和全局安全策略等。

统一安全策略管理制订全网的安全策略，这些策略文件可下发给各相关部门，通过直接（也可以手工）的方式进行配置落实。策略的管理能够通过全局策略的调整、业务的变化、各网管和部门反馈来的意见等情况，不断调整、优化安全策略。

⒋基于角色的安全事件可视化

国家电子政务外网安全管理平台提供统一的安全管理，并为不同级别和性质的管理员提供不同层次和性质的管理视图。由于电子政务外网内部网络系统是一个复杂的分布式大规模网络，因此核心层、分布层以及接入层的网络管理员具有不同的职责。系统不但能够提供运行核心层的管理员对所有安全系统宏观的管理视图，也能够为各地主要业务网络的管理员对自己管辖区域内的安全设备和安全系统部件进行区域自治管理，此外，还能够通过安全管理平台（SOC）对分布于整个网络的某个安全子系统，进行整体安全策略的发放和状态监测及管理。

安全管理平台（SOC）根据需要设置可视化条件，实时在全网拓扑图中显示最重要的多组事件，包括设备名称、事件定位、风险概况、脆弱性等信息（如图3所示）。

⒌安全事件关联分析

安全管理平台（SOC）要对各个不同安全设备（入侵检测、漏洞扫描、防火墙等）报告的安全信息进行集中的数据挖掘和分析，进行全局的相关性分析和报表显示，以发现低级安全事件相关联后表现出的高级安全事件，以及异常行为之间、漏洞和入侵之间的对应关系，便于对攻击的确认和安全策略的调整。国家电子政务外网安全管理平台目前支持基于规则的关联分析、基于统计的关联分析和基于漏洞的关联分析等3种形式。根据此关联分析的功能，结合国家电子政务外网的业务应用系统的事件特征，通过分析与制定安全域与业务安全控制策略和基于业务应用的流程异常监控，制定相关的特定关联分析规则，配合事件监控、拓扑管理及综合显示等方面的内容，从而实现国家电子政务外网业务安全监控及追踪功能的事件定位。

⒍宏观分析与安全决策支持

安全管理平台（SOC）应支持对各安全设备上报的所有安全数据进行宏观统计、分析和决策支持。宏观统计分析主要是在大量数据的基础上，对安全事件进行综合分析，比如将攻击信息和安全漏洞信息关联起来，产生详尽的安全报告，提供安全决策支持，强有力地支持全网安全事件的及时发现（检测）、准确定位（追踪）、尽快处理（应急响应）、进一步防范（预警）以及全网安全策略制定（策略）。国家电子政务外网运行维护管理员根据宏观分析提供的全局安全状况和安全态势信息，并结合电子政务外网的管理体系、人员管理规章制度、管理流程以及行政管理规定,为针对安全事件的处理决策提供支持。图4、图5展示了安全管理人员可以借助安全管理平台展示的全方位安全信息对政务外网的安全态势进行宏观把握，为决策提供支持。

⒎安全事件全局预警

对于像冲击波、红色代码等危害较大的网络蠕虫的较大规模入侵，从一个地区向另一地区渗透可能有一定的延时。在这段延时期间，安全管理平台（SOC）有义务将这种警报到尚未受攻击的区域中去，以起到提前布防的预警作用。

国家电子政务外网安全管理平台接到的报警如果符合提前设定的全局预警范围，则将其下发到非来源的省级政务网络中心，结合报警信息转发及上传的功能，实现这一报警事件下发到所有省级政务外网结点（如图6所示）。

⒏安全事件知识库

为了实现安全事件的集中收集、记录、审计和流程化处理（集中、分类、入库、处理），共享最新安全知识，保证国家电子政务外网安全人才的储备，安全管理平台（SOC）建立安全事件知识库。知识库将国家电子政务外网各级安全管理平台的安全管理信息收集起来，为国家电子政务外网各级安全维护人员形成统一的安全共享知识库，以完成安全信息管理和WEB，主要实现安全管理信息、安全事件库、安全策略配置库、安全技术信息交流、处置预案库、补丁库、安全知识库等栏目的信息管理和浏览。安全管理员可以通过安全知识库的辅助工具学习，了解相关知识，辅助进行运维工作。图7是一个安全知识库的截屏。

五、国家电子政务外网安全管理平台的部署

根据国家电子政务外网安全管理平台的组成，政务外网安全管理平台最终建成分层分级结构：顶级为国家级安全管理平台，第二级为省部级安全管理平台，第三级为县市级安全管理平台。各级网络安全管理中心负责对本级电子政务外网实施安全监控和集中管理。上级网络安全管理中心可对下级网络安全管理中心进行统一安全策略、运行状态监控、安全信息收集等操作。下级网络安全管理中心可接受上级网络安全管理中心的安全预警信息。国家电子政务外网安全管理平台整体部署如图8所示。

在部署政务外网各级安全管理平台过程中，涉及两类下级安全管理平台：一是新建的安全管理平台，另一类是已建的安全管理平台。对于新建的安全管理平台在接入上级安全管理平台时将在统一设计、统一标准、统一技术规范、统一部署的原则下进行建设，与上级安全管理平台实现平滑和无缝对接。

部分电子政务建设比较好的省市，可能已建成安全管理平台。在这种情况下，由于早期建设的安全管理平台没有统一的标准和规范，在管理对象、管理方式、协议支持等方面不尽相同，所以此类安全管理平台不能直接与国家级安全管理平台进行对接。因此需要针对不同的安全管理平台进行调研和分析，本着最小改造的原则，为其增加设备，通过机制实现其与上级安全管理平台的对接。

六、总结

目前，国家电子政务外网中央安全管理平台的建设已基本建设完毕。通过几个月的建设工作，安全管理平台的实施为国家电子政务外网的安全运转提供了良好的保障。首先，国家电子政务外网安全管理平台提升了信息安全事件的处理水平。因为大量的安全事件通过安全管理平台的过滤、归并和排序后，降低到一个人工能够处理的数量级。另外，安全管理平台（SOC）自带的专家知识库能够帮助平台管理员正确地处理事件，减低了安全技术的门槛，为运维人员提供了有力的技术支持。其次，国家电子政务外网安全管理平台提供了良好的可视化技术，用图形化的方法向管理员展示了整个国家电子政务外网的安全整体状况，便于管理员从宏观上对全网的安全态势进行整体把握。

综上所述，国家电子政务外网安全管理平台的实施是针对政务网络系统传统管理方式的一种重大变革。它结合政务网络自身的特点，将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析，得出全局角度的安全态势，并形成统一的安全决策对安全事件进行响应和处理。

作者简介：

郭红，女，1966年生，汉族，北京人，高级工程师，国家信息中心网络安全部处长，研究方向：网络安全。

王勇，男，1977年生，汉族，山东鄄城人，国家信息中心网络安全部工程师，研究方向：网络安全。