发布时间:2023-06-22 09:32:02
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的网络安全事件定义样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
医院网络安全形势严峻,传统的网络安全措施,均只照顾到单点或局部安全。防火墙虽能有效保护出口安全或服务器区域安全,阻止某些攻击,但无法分析深层数据,尤其无法处理内部攻击;杀毒软件面对种类繁多的病毒,已经陷入亡羊补牢的被动局面,难以主动防御,今年“熊猫烧香”、“灰鸽子”病毒爆发,就让杀毒软件束手无策。
目前医院网络安全技术基本上还是单兵作战,由杀毒软件和防火墙等独立安全产品对攻击进行防御。这些防范措施漏洞百出,被动挨打,无法实现真正的全局网络安全。而医院网络安全事关重大,院内管理、处方监控、患者服务等等信息,关乎生命健康,因此确保医院网络安全,具有重大的社会意义。
多兵种协同作战
确保医院全局网络安全
在我国网络安全领域居于领先地位的GSN全局安全解决方案,集自动、主动、联动特征于一身,使拥有“纵深防御”特性的新型网络安全模式成为可能。目前已经开始应用于医疗卫生单位,并在2006年底,以厦门集美大学网络为平台,建成了全国唯一一个万人规模下全局网络安全应用工程,获得2007年第八届信息安全大会最佳安全实践奖。
GSN(Global Security Network全局安全网络),由安全交换机、安全管理平台、安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素联合组成,能实现同一网络环境下的全局联动。GSN将用户入网强制安全、主机信息收集和健康性检查、安全事件下的设备联动,集成到一个网络安全解决方案中,用“多兵种”协同作战的方式,实现网络全方位安全,同时实现对网络安全威胁的自动防御,网络受损系统的自动修复。GSN拥有针对网络环境变化和新网络行为的自动学习能力,防范未知安全事件,从被动防御变成了主动出击。
GSN在医院网络中作用机制
“联动”是GSN精髓所在。GSN的入侵检测系统分布在网络的各个角落,进行安全事件检测,最终上报给安全管理平台。当网络被病毒攻击时,安全管理平台自动将安全策略下发到安全事件发生的网络区域,并自动同步到整个网络中,从而达到网络自动防御。
安全管理平台对安全事件的处理主要包括下发警告消息,下发修复程序,下发阻断或者隔离策略。根据不同等级的安全事件,管理员能够制定不同的处理方式。如针对安全等级较低,危害较小的攻击(如扫描),管理员只下发警告消息。如果某些攻击是由于未打某补丁,则可以下发修复程序,由用户进行修复。如果某安全事件危害很大(如蠕虫病毒),则可以下发阻断或者隔离策略,对用户进行隔离,或者阻断其攻击报文的发送,避免该蠕虫病毒在整个局域网中传播。
GSN全局网络安全系统,从ARP协议入手,针对ARP协议动态学习、自动更新的天生缺陷,由GSN方案中各安全组件进行互动,在客户端进行静态ARP的绑定,在网关进行可信任ARP的绑定,并实现自动部分接管ARP协议的功能,达到从根本上解决ARP欺骗的问题。同时结合锐捷安全交换机,完全杜绝ARP欺骗报文在网络中的传播和泛滥,结合GSN方案的其它功能,还能够解决IP冲突等带来的一些问题。方案中锐捷网络还自定义了“可信任ARP”和相关机制,使得网络安全真正做到了没有漏洞。
关键词:网络安全 安全态势建模 安全态势生成 知识发现
网络安全态势感知在安全告警事件的基础上提供统一的网络安全高层视图,使安全管理员能够快速准确地把握网络当前的安全状态,并以此为依据采取相应的措施。实现网络安全态势感知,需要在广域网环境中部署大量的、多种类型的安全传感器,来监测目标网络系统的安全状态。通过采集这些传感器提供的信息,并加以分析、处理,明确所受攻击的特征,包括攻击的来源、规模、速度、危害性等,准确地描述网络的安全状态,并通过可视化手段显示给安全管理员,从而支持对安全态势的全局理解和及时做出正确的响应。
1.网络安全态势建模
安全态势建模的主要目的是构建适应于度量网络安全态势的数据模型,以支持安全传感器的告警事件精简、过滤和融合的通用处理过程。用于安全态势建模的数据源主要是分布式异构传感器采集的各种安全告警事件。网络安全态势建模过程是由多个阶段组成的。在初始的预处理阶段,通过告警事件的规格化,将收到的所有安全事件转化为能够被数据处理模块理解的标准格式。这些告警事件可能来自不同的传感器,并且告警事件的格式各异,例如IDS的事件、防火墙日志、主机系统日志等。规格化的作用是将传感器事件的相关属性转换为一个统一的格式。我们针对不同的传感器提供不同的预处理组件,将特定传感器的信息转换为预定义的态势信息模型属性值。根据该模型,针对每个原始告警事件进行预处理,将其转换为标准的格式,各个属性域被赋予适当的值。在态势数据处理阶段,将规格化的传感器告警事件作为输入,并进行告警事件的精简、过滤和融合处理。其中,事件精简的目标是合并传感器检测到的相同攻击的一系列冗余事件。典型的例子就是在端口扫描中,IDS可能对各端口的每个扫描包产生检测事件,通过维护一定时间窗口内的事件流,对同一来源、同一目标主机的同类事件进行合并,以大大减少事件数量。事件过滤的目标是删除不满足约束要求的事件,这些约束要求是根据安全态势感知的需要以属性或者规则的形式存储在知识库中。例如,将关键属性空缺或不满足要求范围的事件除去,因为这些事件不具备态势分析的意义。另外,通过对事件进行简单的确认,可以区分成功攻击和无效攻击企图。在事件的过滤处理时,无效攻击企图并不被简单地丢弃,而是标记为无关事件,因为即使是无效攻击也代表着恶意企图,对最终的全局安全状态会产生某种影响。通过精简和过滤,重复的安全事件被合并,事件数量大大减少而抽象程度增加,同时其中蕴含的态势信息得到了保留。事件融合功能是基于D-S证据理论提供的,其通过将来自不同传感器的、经过预处理、精简和过滤的事件引入不同等级的置信度,融合多个属性对网络告警事件进行量化评判,从而有效降低安全告警事件的误报率和漏报率,并且可以为网络安全态势的分析、推理和生成提供支持。
2.网络安全态势生成
2.1知识发现的关联规则提取
用于知识发现的数据来源主要有两个:模拟攻击产生的安全告警事件集和历史安全告警事件集。知识发现就是在这样的告警事件集上发现和抽取出态势关联所需要的知识。由于安全报警事件的复杂性,这个过程难以完全依赖于人工来完成。可以通过知识发现的方法,针对安全告警事件集进行模式挖掘、模式分析和学习,以实现安全态势关联规则的提取。
2.2安全告警事件精简和过滤
通过实验观察发现,安全传感器的原始告警事件集中存在大量无意义的频繁模式,而且这些频繁模式大多是与系统正常访问或者配置问题相关的。如果直接在这样的原始入侵事件集上进行知识发现,必然产生很多无意义的知识。因此,需要以D-S证据理论为基础建立告警事件筛选机制,根据告警事件的置信度进行程序的统计分析。首先,利用程序自动统计各类安全事件的分布情况。然后,利用D-S证据理论,通过精简和过滤规则评判各类告警事件的重要性,来删除无意义的事件。
2.3安全态势关联规则提取
在知识发现过程中发现的知识,通过加入关联动作转化为安全态势的关联规则,用于网络安全态势的在线关联分析。首先,分析FP-Tree算法所挖掘的安全告警事件属性间的强关联规则,如果该规则所揭示的规律与某种正常访问相关,则将其加入删除动作,并转化成安全告警事件的过滤规则。接着,分析Winepi算法所挖掘的安全告警事件间的序列关系。如果这种序列关系与某种类型的攻击相关,形成攻击事件的组合规则,则增加新的安全攻击事件。最后,将形成的关联规则转化成形式化的规则编码,加入在线关联知识库。
3.网络安全态势生成算法
网络安全态势就是被监察的网络区域在一定时间窗口内遭受攻击的分布情况及其对安全目标的影响程度。网络安全态势信息与时间变化、空间分布均有关系,对于单个节点主要表现为攻击指数和资源影响度随时间的变化,对于整个网络区域则还表现为攻击焦点的分布变化。对于某一时刻网络安全态势的计算,必须考虑一个特定的评估时间窗口T,针对落在时间窗口内的所有事件进行风险值的计算和累加。随着时间的推移,一些告警事件逐渐移出窗口,而新的告警事件则进入窗口。告警事件发生的频度反映了安全威胁的程度。告警事件频发时,网络系统的风险值迅速地累积增加;而当告警事件不再频发时,风险值则逐渐地降低。首先,需要根据融合后的告警事件计算网络节点的风险等级。主要考虑以下因素:告警置信度c、告警严重等级s、资源影响度m。其中,告警可信度通过初始定义和融合计算后产生;告警严重等级被预先指定,包含在告警信息中;资源影响度则是指攻击事件对其目标的具体影响程度,不同攻击类别对不同资源造成的影响程度不同,与具体配置、承担的业务等有关。此外,还应考虑节点的安全防护等级Pn、告警恢复系数Rn等因素。
4.结束语
本文提出了一个基于知识发现的网络安全态势建模和生成框架。在该框架的基础上设计并实现了网络安全态势感知系统,系统支持网络安全态势的准确建模和高效生成。实验表明本系统具有统一的网络安全态势建模和生成框架;准确构建网络安全态势度量的形式模型;通过知识发现方法,有效简化告警事件库,挖掘频繁模式和序列模式并转化为态势关联规则。
参考文献:
该系统包括安全事件管理模块、安全业务模块、控制中心、安全策略库、日志数据库、网间协作模块。
1.1安全事件管理模块
1.1.1安全事件收集子模块
能够通过多种方式收集各类信息安全设备发送的安全事件信息,收集方式包含几种:(1)基于SNMPTrap和Syslog方式收集事件;(2)通过0DBC数据库接口获取设备在各种数据库中的安全相关信息;(3)通过OPSec接口接收事件。在收集安全事件后,还需要安全事件预处理模块的处理后,才能送到安全事件分析子模块进行分析。
1.1.2安全事件预处理模块
通过几个步骤进行安全事件的预处理:(1)标准化:将外部设备的日志统一格式;(2)过滤:在标准化步骤后,自定义具有特别属性(包括事件名称、内容、产生事件设备IP/MAC等)的不关心的安全事件进行丢弃或特别关注的安全事件进行特别标记;(3)归并:针对大量相同属性事件进行合并整理。
1.1.3安全事件分析子模块
关联分析:通过内置的安全规则库,将原本孤立的实时事件进行纵向时间轴与历史事件比对和横向属性轴与其他安全事件比对,识别威胁事件。事件分析子模块是SOC系统中最复杂的部分,涉及各种分析技术,包括相关性分析、结构化分析、入侵路径分析、行为分析。事件告警:通过上述过程产生的告警信息通过XML格式进行安全信息标准化、规范化,告警信息集中存储于日志数据库,能够满足容纳长时间信息存储的需求。
1.2安全策略库及日志库
安全策略库主要功能是传递各类安全管理信息,同时将处理过的安全事件方法和方案收集起来,形成安全共享知识库,为培养高素质网络安全技术人员提供培训资源。信息内容包括安全管理信息、风险评估信息、网络安全预警信息、网络安全策略以及安全案例库等安全信息。安全日志库主要功能是存储事件管理模块中收集的安全日志,可采用主流的关系性数据库实现,例如Oracle、DB2、SQLServer等。
1.3安全业务模块
安全业务模块包括拓扑管理子模块和安全风险评估子模块。拓扑管理子模块具备的功能:(1)通过网络嗅探自动发现加入网络中的设备及其连接,获取最初的资产信息;(2)对网络拓扑进行监控,监控节点运行状态;(3)识别新加入和退出节点;(4)改变网络拓扑结构,其过程与现有同类SOC产品类似,在此不再赘述。目前按照国标(GB/T20984-2007信息安全风险评估规范),将信息系统安全风险分为五个等级,从低到高分别为微风险、一般风险、中等风险、高风险和极高风险。系统将通过接收安全事件管理模块的分析结果,完成资产的信息安全风险计算工作,进行定损分析,并自动触发任务单和响应来降低资产风险,达到管理和控制风险的效果。
1.4控制中心模块
该模块负责管理全网的安全策略,进行配置管理,对全网资产进行统一配置和策略统一下发,改变当前需要对每个设备分别下方策略所带来的管理负担,并不断进行优化调整。控制中心提供全网安全威胁和事故的集中处理服务,事件的响应可通过各系统的联动、向第三方提供事件信息传递接口、输出任务工单等方式实现。该模块对于确认的安全事件可以通过自动响应机制,一方面给出多种告警方式(如控制台显示、邮件、短信等),另一方面通过安全联动机制阻止攻击(如路由器远程控制、交换机远程控制等)。各系统之间联动通过集合防火墙、入侵监测、防病毒系统、扫描器的综合信息,通过自动调整安全管理中心内各安全产品的安全策略,以减弱或者消除安全事件的影响。
1.5网间协作模块
该模块的主要功能是根据结合自身的工作任务,判定是否需要其它SOC的协同。若需要进行协同,则与其它SOC之间进行通信,传输相关数据,请求它们协助自己完成安全威胁确认等任务。
2结束语
一、对象与方法
调查于2016年10-11月进行,采用匿名、自填、送发式问卷的调查方法。研究对象为南京在读大学生,来自6所综合性院校,每个学校调查200人,抽样方法为定额抽样,要求各校样本男女学生数、各年级人数相近。调查问卷为自制问卷,内容包括基本情况、网络系统安全情况、网络信息安全、网络安全事件、网络安全教育。研究根据被调查对象所存在的网络安全行为与意识的相关问题而判断的网络安全教育必要性定义为客观需求,将被调查对象自我觉察到的需求定义为主观需求。研究中以被调查者对网络安全事件的处理正确率来判断客观需求,以被调查者目前获取网络安全信息的途径、网络安全专题教育的必要性、对于高校网络安全教育的评价和期待的网络安全教育形式反映主观需求程度。问卷调查数据采用SPSS软件进行录入和分析,主要进行了描述性统计分析和卡方(X2)检验,检验水准α定为0.05。
二、结果
1.被调查者基本情况。被调查者中男生略多,占50.7%,大一、大二年级的偏多,分别占27.9%和28.4%;工科生和文科生偏多,分别占38.3%和27.8%,如表1所示。调查结果显示,超过半数的大学生在校期间每天平均使用网路的时间超过3小时,被调查大学生的上网目的由高到低依次排列:学习67.2%、观看网络视频62.1%、网游戏等娱乐活动51.3%、购物50.2%、新闻浏览49.8%、交友40.3%、生活信息浏览35.4%、工作17.0%。2.大学生网络安全教育的客观需求。(1)网络系统软件安全维护行为在被调查的大学生中,分别有37.8%和27.6%的学生“偶尔”或“从不”在网上下载文件或软件时杀毒后再使用,卡方检验提示:性别和专业性质在网络系统软件使用的行为选择上有较大差异,男生和公安类学生在网络系统软件的使用中更偏向选择安全维护行为,如表2所示。表2被调查者在从网上下载文件或软件后是否杀毒再使用的情况(%)(2)网上支付安全行为几乎所有对象(95.3%)近一年有过网上支付行为,其中分别有26.3%、22.3%和21.8%的对象使用公共场所无密码WIFI进行网络支付、没有仔细辨认支付页面的网址和使用公共计算机网络支付后没有及时消除上网痕迹等行为,卡方检验提示:年级和专业性质在网络支付信息的行为选择上存在偏差,大四和工科学生更注重网络支付的信息安全,具体如表3所示。(3)邮件接受安全行为对于垃圾邮件的处理,过半数的被调查大学生会选择“设置垃圾邮件过滤”(56.3%)或者“看过发件人和主题后,判断是垃圾邮件的话,手动删除”(54.8%),只有少部分人会选择“拒收不明来源的邮件”(30.9%)、“为防止收到垃圾邮件,不轻易公开自己的私人邮箱”(26.3%)、“将发现的垃圾邮件标志为广告邮件”(19.2%)、“向邮箱的运营商举报垃圾邮件”(16.8%)或者“专门准备一个专门邮箱用于各类网络会员注册用”(13.4%),还有3.9%的被调查者没有采取过以上任一措施。卡方检验显示:性别和年纪对被调查者的邮件接收行为没有明显差别,专业性质对其有明显差别,公安类学生的邮件接收行为安全性更高,如表4所示。3.大学生网络安全教育的主观需求。(1)目前网络安全信息获取及评价大部分的被调查大学生从网络(85.5%)、同学/朋友/家人(48.1%)、电视(45.6%)获取网络安全信息,只有少部分的人从报刊(28.1%)、手机短信(27.9%)、专题讲座(26.1%)或专业培训(8.7%)。调查结果表明,大部分被调查者认为学校的网络安全教育做得“非常到位”和“比较到位”,分别为11.4%和54.1%,但仍然有近三分之一的人认为所在学校的网络安全教育做得“不太到位”和“很不到位”,分别占31.8%和2.8%。(2)高校网络安全教育的必要性绝大多数(90.2%)被调查对象认为高校有必要开展网络安全教育教育,分别有40.0%和50.2%的对象选择“非常有必要”和“比较有必要”,而选择“不太有必要”和“完全没有必要”的比例仅分别为8.5%和1.3%。卡方检验提示:性别、年级和专业性质在高校网络安全教育需求有明显差别,女生、大二和工科学生对于网络安全的教育需求更大,具体如表5所示。调查还显示,被调查大学生认为有必要的高校网络安全教育的形式由高到低依次为:专题讲座61.3%、课堂教育42.3%、座谈会41.6%、宣传折页发放39.3%和主题班会39.2%。卡方检验提示:性别、年级和专业性质的差异性较小,大多没有统计学显著性。
三、结论与建议
1.大学生网络安全教育主客观需求度均较高,高校需更加重视大学生网络安全教育工作。从客观需求看,半数以上的被调查大学生使用网络的时间超过三小时,上网的目的多集中在学习、观看网络视频、网游戏等娱乐活动、购物、新闻浏览,有37.8%和27.6%的学生在网上下载文件或软件时“偶尔”或“从不”杀毒后再使用。几乎所有对象(95.3%)近一年间有过网上支付行为,其中26.3%的对象使用公共场所无密码WIFI进行网络支付,大学生在网络安全事件的处理上仍然存在较高的不安全行为选择,这意味着高校网络安全教育有着非常迫切的客观需求。另一方面,从主观需求看,绝大多数(90.2%)被调查对象认为高校“非常有必要”(40.0%)或“比较有必要”(50.2%)开展网络安全教育,而仍然有近三分之一的被调查大学生反映学校的网络安全教育做得“不太到位”(31.8%)或“很不到位”(2.8%)。这说明,高校网络安全教育工作的开展情况不容乐观,学生大量需求没有得到满足,高校应该更加重视大学生网络安全教育工作,提供及时、多样的网络安全教育服务。2.多种形式并举,全方位满足高校学生的健康教育需求。在网络安全教育形式的必要性调查中,选择比例都接近或超过4成,可以看出大学生对于不同的网络安全教育形式都有一定的主观需求,高校在开展网络安全教育工作时需要根据学生的需求,采用多种教育形式开展大学生网络安全教育,充分发挥第二课堂的作用,例如充分利用行政手段,通过各种会议进行安全教育;利用教育手段,通过安全学术研讨会、安全知识竞赛、安全知识讲座等进行安全教育;利用学校传播媒介、舆论工具等手段,通过校刊、校报、校园网络、广播、宣传栏等进行安全教育,[9]形成全方位、多层次、多种类的教育体系。3.丰富网络安全教育内容,提高大学生网络素养和能力。随着网络安全事件的频频发生,互联网充斥着虚假、诈骗信息,但从调查结果看,大学生缺乏获取网络安全信息的正规途径。高校网络安全教育工作必须与时俱进,加强网络信息安全知识、网络系统安全知识和网络权益相关知识的普及和教育,开设网络安全教育课程为大学生提供专业的知识培训,培养大学生网络系统安全运行的基本素养和能力,拓宽大学生获取网络安全信息的渠道和方式,培养大学生辨别网络虚假信息的能力,帮助大学生树立网络权益防范和维护意识,提高大学生网络安全意识,规范大学生网络安全行为。本文系2016年度江苏省高等学校大学生创新创业训练计划重点项目“大学生网络安全意识与行为研究———以南京高校为例”(SZDG2016037)的部分成果。
作者:张春柳 张艺璇 周建芳 单位:南京邮电大学人文与社会科学学院
参考文献
[1][2]中国互联网络信息中心.2015年中国手机网民网络安全状况报告[EB/OL]./hlwfzyj/hlwxzbg/qsnbg/201608/P020160812393489128332.pdf.
[3]张俊.强化新形势下的大学生网络安全教育[J].思想理论教育导刊,2013,(11).
[4]马闯.大学生网络安全教育体系构建[J].当代教育实践与教学研究,2016,(4).
[5]李霞.社会工作视域下大学生网络安全教育新模式探析[J].中国成人教育,2015,(23).
[6]邓晖.谈大学生网络安全教育[J].教育探索,2014,(7).
[7]陈联娇,温金英.浅谈当代大学生网络安全教育的策略[J].法制与社会,2008,(36).
关键词:计算机网络安全 计算机局域网 主动防御体系
中图分类号:TP393.1 文献标识码:A 文章编号:1007-9416(2013)03-0217-02
一般组织的计算机局域网如果没有连接互联网之前,安全问题一般都来自内部,一旦局域网与互联网连接后,那么局域网的安全威胁就有可能来自外部网络。由于外部网络(互联网)是开放式的,所以危险性很高。在我们实际应用中,无论是来自局域网内部或者来自外部网络的安全威胁,都会影响局域网的正常工作。一个安全的网络环境是计算机局域网应用基础,因此网络安全也就成为涵盖组织所有信息资源的局域网工作的基础,所以局域网的安全问题就是计算机网络应用的重点所在。目前,主动防御体系尚无标准定义,其做法就是在动态网络安全的基础上进行扩充,以策略和管理为核心,利用预检测以及反击等技术做到主动防御。由于以上各技术之间缺乏安全消息的交互途径,所以不能进行安全消息共享,导致只能重复检测安全事件,这样做直接导致局域网在做安全检测时系统暴露时间增加,从而影响网络的安全。
1 主动防御体系的结构
1.1 主动防御定义
主动防御的定义是:计算机局域网的安全系统利用多种路径接受安全消息,从而根据安全消息所描述的安全威胁信息,提前在系统中部署安全防线,抵御未来攻击。主动防御体系的关键在于系统具备接受和发送安全消息能力,并且能够根据安全消息描述的安全威胁提前部署安全措施。实际中,当计算机局域网中的某安全系统检测到具有安全威胁的安全事件后,利用安全消息形式将该安全事件在局域玩中传播,其它安全系统接收到该安全事件后则根据其内容部署相应的安全防线,从而避免各安全系统重复检测安全事件的过程,有效缩短预警时间,预先在攻击到来之前部署防线,有效防止安全威胁在局域网中扩散,降低危险性,从而提高局域网整体的安全性。
1.2 主动防御体系定义
动态安全体系的结构模型是以整个网络作为安全管理的对象,把策略和管理当做核心,利用相应安全技术来保证对象的安全,例如检测、防护、反应和恢复等安全技术。而主动防御体系则是将局域网主机或者全部主机看做一个安全管理对象,将相应的安全技术(如检测、防护等)部署到各个安全系统中,同时各安全系统采用统一的通信方式进行安全消息共享,从而使得各安全系统既相互关联又能相互独立,从而各系统之间形成多层和纵深的防线,整个网络在安全上形成交互的主动防御体系。具体来说,主动防御体系就是把部署组织资源的主机看作安全系统对象,利用动态安全体系结构模型作为指导,在各安全系统中部署安全防线,各系统之间利用同一的安全消息模式进行消息共享,从而实现主动防御。
1.3 安全消息格式
各安全系统利用主动防御体系协调工作的基础就是安全消息通过统一的协议在各系统间相互传递,通过这种方式有效缩短安全检测时间,以便系统在攻击到来之前部署好安全防线,保证系统安全。同时由于各安全系统技术以及产品千差万别,通信方式各不相同,为实现协同工作,需在主动防御体系中采用统一的安全消息协议,在此我们将安全消息格式定义为:
消息的类型:16位无符号整数,用来表示消息的类型。
消息的ID:32位无符号整数,在一个使用周期内禁止出现重复,允许循环使用。消息ID与源IP地址一起惟一,则表示是一个安全消息。
源的IP地址:32位无符号整数,用来表示安全消息来源;
安全等级:16位无符号整数,用来表示安全的等级;
危险IP的地址:32位无符号整数,用来表示主机(对局域网有安全威胁)的IP地址。
1.4 安全消息的传播方式
安全消息定义后,各安全系统之间的消息传递一致性问题得到了解决,接下来面临该消息如何传播的问题,在此安全消息的传递我们采用组播的形式。每当有以此模型的安全系统进入网络,首先在安全系统服务器上登记,等服务器收到安全消息后,服务器根据其内部存储的各系统IP地址列表进行定时组播,组播采用无连接协议,也就是UDP协议。同时各安全系统也可以自己进行消息组播,它们按照收到的服务器组播IP地址列表进行组播,同样也采用无连接协议UDP协议。网络的安全构架是以检测、相应、防护和恢复作为具体技术来实现,动态安全体系结构模型是以管理和策略为核心。在实际应用中,局域网一般采用的防御措施是网络出口处部署数据包或者网关,或者同时在局域网内部部署入侵检测、安全审计或者病毒防范等安全系统,在实际应用中由于安全系统来自不同厂家,各厂家之间采用的安全消息交换协议并非按照统一的标准,因此各厂家产品均为独立工作,即使相互关联也十分有限,因此导致安全事件信息不能共享,导致各安全系统独立检测安全事件,从而预警时间不足,系统暴露时间过长,导致局域网整体危险性增加。下面对安全系统预警时间做出分析:
在这里,我们假定一个独立的安全系统对网络提供防护需要的时间为Pt,Dt为安全系统检测入侵所需时间,安全系统响应时间为Rt,网络暴露时间为Er,At为共计所需时间,则各变量存在如下关系:
Et=Dt + Rt
Pt≥Dt + Rt
Pt≥Et
根据以上公式我们可以看出,只要Et
根据1.1 章节中提到对主动防御的定义,主动防御就是局域网中各安全系统通过相互交换安全消息以实现信息共享,从而减少各系统安全事件的检测时间,同时根据所获得安全消息,提前主动针对性的部署安全措施,从而实现主动提前确保局域网安全。我们假设St为安全消息传播时间,T0为局域网非主动防御安全体系部署时暴露时间,T1为主动安全防御体系部署时暴露时间,假定局域网中所有主机均部署了安全系统(若系统未部署安全系统,则存在暴露的主机,但该主机对于内部安全威胁来讲不存在安全性),则在这两种防御体系中存在如下关系:
T0=Et (1)
T1=E(Et)+St+Rt+EtSt+Rt (2)
i=(0,1,2…n)为局域网中部署的安全系统数量,根据假设也可理解为局域网中主机的数量。
针对一种具体的安全系统分析如下:
T0=n(Dt+Rt)
T1=Dt+Rt+St+Rt
在这些网段间流量很大,并且路由器以process-switches方式工作时,这种情况下要在接口上采用enable ip route-cache same-interface,下面用采用show interfaces 和show interfaces switching命令识别大量数据包进出的端口;进入端口确定后,打开ip accounting on the outgoing interface看其特征,如果此数据包是攻击命令,则其源地址一般会不断变化,但是其目的地址不变,我们可以采用access list解决此类问题 ,但这是暂时的措施,最终的解决办法是停止攻击源,需要我们通过在接近攻击源的设备上进行配置。在我们实际使用过程中,会遇见很多网络拥塞的情况,例如短时间内大量的UDP流量,这种情况可以通过按照解决spoof attack的方法解决,再比如大量的组播流穿越路由器,而路由器配置了IP NAT并且有很多DNS包穿越等,这些情况都会造成网络拥塞,此时通信双方会丢弃不能传输的数据包以便控制流量。
数据丢包也有很多情况,例如网络路径错误等,如主机默认路由配置发生错误,导致主机发出的访问其它网络的数据包会被网关屏蔽,这种情况属于正常情况下的丢包,对网络影响不大。
3 结语
在实际应用中还会出现丢包现象,其中原因各不相同,涉及到各方面因素,我们可以采用排除法进行筛选,确定丢包原因后再采用相应措施进行处理。
参考文献
[1]王敏杰.TCP隐式丢包检测技术分析.计算机应用研究,2006.
[2]葛志辉.一种新的基于RTT的丢包率估计算法.计算机工程与应用,2005.
关键词:安全管理运营中心;安全运维;安全事件;关联分析
中图分类号:TN915文献标识码:A文章编号:1009-3044(2009)32-8913-02
The Research of Industry Information System Security Manager Operation Center
WANG Qin, MA Hong-en
(Luoee Vocational College of Food, Luohe 462300, China)
Abstract: With the increasing development and improvement of information technology industry, more and more enterprises have recognized the importance of the construction of information security. Meanwhile, with the construction of enterprise information security strengthened, how to make the entire information system security management is becoming increasingly more important. Starting with the construction of the security management operation center, this article described with detail the relationships among the security management operations center, the security management system, the security operation maintenance and the overall association of security events..
Key words: security manager operation center;security operation; security events; relation analysis
随着各行业信息化建设的全面推进,传统的管理机制在改革与创新中逐渐消亡,人们在处理信息和日常办公中越来越依赖计算机和网络,机密与财富越来越集中在计算机系统和网络中。因此,行业各应用系统和计算机网络的安全可靠运行,面临着十分严峻的挑战,网络与信息安全已成为各行业信息化建设非常重要的问题。
而要加强安全管理建设,就必须要切实做好信息系统的安全规划设计,强化安全管理策略,采用成熟的信息系统安全技术和控制方法,逐步实现网络管理的可视、可控、可管,通过建立安全管理运营中心使得所有网络上运行的应用系统与网络设备、安全设备、服务器实现统一、智能化的实时监控,实现应用系统与网络设备、安全设备、服务器系统故障的预警和自动报警,实现网络资源的合理分配,及运行维护的制度化、流程化、自动化。
1 论述
对于行业信息系统而言,虽然大都已经购买并部署了防火墙、防病毒、入侵检测等安全技术产品,并制定了相应的管理和运行制度、流程,但这与行业业务系统的建设速度显然是不对称的,且越来越不能满足行业业务系统的安全、稳定发展需求。因此,必须加快行业信息系统的安全建设的步伐,特别对于安全管理运营中心的建设,更是如此。
对于行业安全管理运营中心而言,它是安全事件集中显现和安全措施正确实施的保证,也是解决全网统一安全监控管理的主要技术手段。它通过对网络中各种设备(包括路由设备、安全设备、服务器等)、安全机制、安全信息的综合管理和分析,对现有安全资源进行有效管理和整合,从全局角度对网络安全状况进行分析、评估与管理,获得全局网络安全视图;并通过制定安全策略指导或自动完成安全设施的重新部署或响应,从而实现可信安全管理的目的。
众所周知,基于综合安全管理运营中心的设计思想,通过在行业网络信息中心部署安全管理平台,并结合组织业务流的特点,可以识别和管理IT基础架构的关键信息资产,帮助制订信息安全策略,通过有效整合网络中部署的各种安全资源,依据智能的辅助决策系统和安全知识库,实施以风险管理为核心的安全事件管理、事件处理流程管理、安全风险管理、网络运行管理等一系列安全管理活动,从而保证业务系统正常运行和持续性发展。具体实现如下:
1.1 通过安全管理运营中心实现与安全管理制度的结合
对于行业信息系统安全管理建设,在制定安全管理制度时,往往由于缺乏足够的知识积累,造成制定的安全管理制度虽然符合企业的安全需求,却对管理制度的人性化、易用性考虑欠佳。而安全管理运营中心恰恰可以利用其安全基础知识库、安全专家知识库为行业用户提供具体管理需求的辅助决策建议,并可以通过安全管理运营中心的分析辅助决功能,分析普通员工的安全操作习惯,然后有选择的对制度文件进行改进和调整。通过系统内置的专家知识库为制定和改进安全管理制度提供了有力的技术支持。
1.2 通过安全管理运营中心实现与日常安全运维的结合
分布式、智能化、可视化的安全监控,可以让管理员实时掌握自身的安全态势,使我们在日常安全运维过程中够实现入侵攻击的追踪或入侵攻击的特征分析,从而将有效提高安全管理人员对于入侵攻击的监控理解、安全事件的正确处理,使整个信息系统的管理更为有效。
通过安全管理运营中心的场景定义、智能分析和安全定位功能确认安全事件或安全故障时,安全管理运营中心可以提供多种方式报警,如:报警灯报警、窗口报警、邮件报警、手机短信报警;管理员收到报警信息后,由安全管理运营中心的工单管理系统直接调派其安全服务人员小组(网络管理人员或者提供安全服务的供应商)进行相应的安全事件处理、安全加固防护。实现事件实时分析、实时预警、实时响应的安全事件全生命周期管理。
1.3 通过安全管理运营中心实现全局安全事件的分析与预警
关键词:企业网端点准入防御网络安全
中图分类号:文献标识码:A文章编号:1007-9416(2010)05-0000-00
1 前言
随着计算机网络的快速发展,网络已成为企业生产经营不可缺少的工具。网络发展的初期注重设备的互通性、链路的可靠性,从而达到信息共享的通畅。经过多年的应用与发展,伴随着我们对网络软硬件技术认识的深入,网络安全已经超过对网络可靠性、交换能力和服务质量的需求,成为企业网最关心的问题,网络安全基础设施也日渐成为企业网建设的重中之重。在企业网中,新的安全威胁不断涌现,病毒和蠕虫日益肆虐。他们自我繁殖的本性使其对网络的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪,使企业生产经验蒙受严重损失。在企业网中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置),都将直接影响到整个网络的安全。不符合安全策略的终端(如防病毒库版本低,补丁未升级)容易遭受攻击、感染病毒,如果某台终端感染了病毒,它将不断在网络中试图寻找下一个受害者,并使其感染;在一个没有安全防护的网络中,最终的结果可能是全网瘫痪,所有终端都无法正常工作。因此,研究设计一个能够解决这一危害的防御系统尤为必要。
有鉴于此,通过对目前唐钢企业网状况的调研及其需求分析,研究设计了端点准入防御系统。端点准入防御系统在实际应用中切实可行,以下从其架构和组网方法做出分析。
2 端点准入防御系统架构
端点准入防御系统是整合了孤立的单点防御系统,加强对用户的集中管理,统一实施企业网安全策略,提高网络终端的主动抵抗能力。该系统可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。其基本功能是通过安全客户端、安全策略服务器、安全联动设备(如交换机、路由器)以及第三方服务器(如防病毒服务器、补丁服务器)的联动实现的。
2.1安全客户端
安全客户端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体。其主要功能包括:
(1)利用802.1X认证协议通过接入层交换机实现对终端进行身份验证(用户名、密码、IP、MAC、VLAN),从而实现了端点准入控制。
(2)检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。
(3)安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表、禁止、禁止多网卡)、系统修复补丁升级、病毒库升级等功能。不按要求实施安全策略的用户终端将被限制在隔离区。
(4)实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。
2.2安全策略服务器
安全策略服务器是端点准入系统的管理与控制中心。集中、统一的安全策略管理和安全事件监控。具有用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
(1)用户管理。对用户身份信息、权限、分组策略等管理。网络中,不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。
(2)安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。(3)安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制。(4)日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。
2.3安全联动设备
安全联动设备是网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。安全联动设备采用H3C 3600交换机,利用802.1X协议认证实现端点准入控制。安全联动设备主要实现以下功能:
(1)强制网络接入终端进行身份认证和安全状态评估。(2)隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后,可以通过ACL方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。(3)提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如利用H3C 3600交换机的ACL、VLAN功能可以实现按不同用户需求访问不同的信息资源。
2.4第三方服务器
系统中隔离区的资源称为第三方服务器。用于终端进行自我修复的防病毒服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,当用户终端的系统补丁不能满足安全要求时,可以通过补丁服务器进行补丁下载和升级。
3 端点准入防御系统组网方法
该系统组网,不需要对原有主要网络结构进行改动。需要更改的设备只有接入层交换机。接入层交换机只要能支持802.1X协议、ACL、VLAN等功能即可。利用这种组网方法对不符合安全策略的用户隔离严格,可以有效防止来自企业网络内部的安全威胁。
4端点准入防御系统实施的效果
该系统整合防病毒与网络接入控制,大幅提高安全性。确保所有正常接入网络的用户终端符合企业的防病毒标准和系统补丁安装策略。不符合安全策略的用户终端将被隔离到“隔离区”,只能访问网络管理员指定的资源,直到按要求完成相应的升级操作。通过端点准入防御系统的强制措施,可以保证用户终端与企业安全策略的一致,防止其成为网络攻击的对象或“帮凶”。
提高了网络安全性的同时,对网络有效利用率也有很大的提高。减少了用户终端故障频率,提高了工作效率。
5结语
端点准入防御系统提供了一个全新的安全防御体系。将防病毒功能与网络接入控制相融合,加强了对用户终端的集中管理,有效的控制了非法用户接入唐钢企业网,提高了网络终端的主动抵抗能力。该系统通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击,从而大幅度提升了网络抵御新兴安全威胁的能力。
基于数据挖掘的数字图书馆网络安全管理模型
1数据采集
由于多源异构安全系统中的数据资源丰富,对数据源的采集借助Agent自动程序进行。Agent肩负双重任务:一是自动采集目标系统数据,并提交给Sever端进行处理;二是自动监控目标系统的变化,并及时更新变化。Agent自动程序采用多种数据采集策略(日志、Web、Syslog、命令行等)对多源异构安全系统中的数据(安全日志、报警、信息等)进行采集和标准化。这些安全系统在网络中往往是分布式的,并且具有不同的日志格式,Agent能够对它们进行统一信息提取,并将其标准化后以事件类型或XML封装的IDMEF格式发往Server端,以方便Server端进行挖掘。为了能够支持更多的安全系统,Agent使用配置文件采集信息,因而具有良好的扩展能力,能够动态添加新的数据源。
2数据整合与预处理
由于网络安全管理工具中包含了不同种类和厂商的安全产品,Agent从这些异构产品中收集到的数据大部分为多源性、分布性、异构性的数据,必须对其进行整合和预处理操作,以便进行智能分析,这是安全管理需要解决的首要问题。它不仅关系到管理系统能够支持的安全产品的种类和数量,还关系到分析结果的准确性,并且能够为提高数据挖掘引擎的效能和健壮性打下良好的基础。(1)报警格式标准化。由于各安全系统产生的安全事件的格式不尽相同,可能会对同一入侵事件同时产生多个报警,导致了冗余事件的产生,故需要用统一的格式对安全事件进行标准化处理。将报警格式统一。(2)报警字段规范化。每一个属性字段里的内容的表述规范化,如源地址和目的地址的表达(IP、主机名、MAC地址),时间属性值的取定和同步,攻击名称的统一等。这些处理主要是为了规范报警消息的表达,使之能够独立于具体的系统而识别报警并进行进一步的分析。(3)数据预处理。针对异构安全设备提交的各种报警信息,依据设定的时间段,消除冗余事件后并进行错误检测以确保报警不包含明显错误的报警数据库,漏洞信息库和资产库。包括重复的同一报警归一化;错误检测以确保报警不包含明显错误的信息,如非法的时间戳;冗余报警消除,即如果两个安全事件除了产生时间和安全系统号两个字段不同外其余字段完全相同,而产生时间的差异不超过某固定的阈值,则判断产生了冗余事件。对于冗余的安全事件,将其合并为一个事件,将事件的产生时间设为诸冗余事件中最小的产生时间,而将各冗余事件对应的安全系统号均添加到合并后安全事件的安全系统号数组中。
3数据挖掘
数据挖掘是整个安全管理模型的动力所在,通过定义数据挖掘模型语言,采用合适的数据挖掘算法和工具,对事件进行统计、关联分析、聚类、序列分析,形成对事件的判断,识别威胁和产生报警。(1)关联分析。关联分析是从网络告警信息中发现告警与告警之间、告警与故障之间、告警与业务之间的相关性,即在某一告警信息发生之后,另一告警、故障、业务发生的概率。采用基于协同和时序因果关联的多级报警分析技术能够有效地关联了这些报警日志及相关的背景知识,把真正潜在的危险的报警从海量日志中提取出,呈现给管理者。通过多种报警分析方式实现大量分散单一报警的关联,有效地识别出真实的入侵行为;并通过辅助决策系统和安全专家知识库为用户提供针对具体威胁的辅助决策建议。关联分析能够实现报警信息的精炼化,提高报警信息的可用信息量,减少报警信息中的无用信息,降低安全设备的虚警和误警。(2)聚类分析。聚类分析采用特征聚合和模糊聚类两种技术来实时地压缩重复报警,去除冗余。特征聚合是通过比较报警的属性特征,快速地辨别和合并重复的报警;模糊聚类是通过计算报警之间的相似度,来构造模糊等价矩阵进行聚类分析,以区分和归并难以发现的重复报警。特征聚合和模糊聚类两种技术合理结合,相互补充,不仅缩短了压缩时间,保证了实时性,而且提高了压缩效率。聚类分析减少了在异构分布环境下相似事件的数量,突出相似安全事件的属性特征。(3)序列分析。序列分析把报警数据之间的关联性与时间性联系起来,通过时间序列搜索出重复发生且概率较高的规则,其目的是为了挖掘数据之间的联系。序列分析把告警序列作为以时间为主线的有序序列,在一定的时间间隔内挖掘知识,注重告警信息的时效性,为了提高分析的效率,一般只对告警类型和告警时间两类谓词进行挖掘,从中发现告警信息发生的趋势,提高用户的自我防范和预测能力。产生的序列规则主要描述告警之间在时间上的关系,即如果某些告警信息的组合在一个时间段内发生,那么在另外的一个时间段内会有另外一些告警信息的组合发生。
4用户接口
用户接口的作用是将数据挖掘的结果以可视化的方式提供给系统分析员,系统分析员根据挖掘结果来预测此网络行为的发展态势和可能影响,并作出相应的决策。挖掘结果分为3类:(1)信息类。对应于最低级的告警,挖掘结果保存入数据库中供下次再分析。(2)警告类。对中等级别的告警,挖掘结果除送入数据库外,还要进一步分析,并做出相应的决策。(3)严重类。对应于高级别的告警,根据预先设定的阀值采取特定的动作,例如防火墙规则的添加,IDS系统的报警等。
5信息库
信息库由资产信息库和知识库组成,其中资产信息库包括主机信息库、漏洞信息库和网络信息库,知识库主要包括攻击知识库和背景知识库。主机信息库包含各个主机的相关信息;漏洞信息库是独立的数据库;网络信息库主要由两部分组成,一是利用网络管理工具进行流量分析和拓扑发现得到的相关网络信息,二是对防火墙中的日志进行分析得到的信息。信息库的使用极大提高了挖掘引擎的工作效率和智能性。
实验与分析
1实验环境与实验数据来源
(1)实验环境:①内部网络环境包括运行OpenNMS网络管理系统的DebianLinux主机,安装MySQL数据库的主机,运行客户端(安装Nessus漏洞扫描系统、Nmap网络拓扑扫描工具)Windows主机,系统服务器(agent+server,安装了SnortIDS,P0f,Pads,SSH,Iptable等插件)DebianLinux主机。②采取Cisco-PIX防火墙、入侵检测系统等硬件安全设备及交换机、集线器等网络设备。③来自外网的攻击主机。(2)实验数据来源:实验中的原始网络数据包括正常的网络流量和攻击数据流,测试数据是DARPA2000数据集LLDOS1.0。该数据集包含大量的正常背景数据和各种攻击数据,其中包括DDoS攻击,测试目标是检测模型精简报警的效率及识别DDoS攻击场景的能力,这些攻击通过从外部攻击主机重放来模拟来自外网的攻击。同时在攻击过程中,要有一部分正常Internet的网络流量。实验过程中,我们收集了来自下列安全设备的报警或数据:Snort入侵检测系统、Iptables防火墙、Apache服务器日志、IIS服务器日志、Nmap网络拓扑结构扫描工具、Ntop网络流量检测工具、Nessus网络漏洞扫描系统。利用Netpoke(Tcpdump文件重放工具)对数据进行重放,由Snort2.0入侵检测系统、Cisco-PIX防火墙等其他插件检测和产生报警数据,并对其进行报警整合和挖掘。