时间:2023-09-21 17:36:04
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全可视化,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词: 计算机网络安全; 信息可视化; 网络包; 网络流;数据方块图; 研究平台
中图分类号: TN915.08?34; TM417 文献标识码: A 文章编号: 1004?373X(2017)01?0070?04
Abstract: The computer network security visualization research platform was designed and implemented aiming at the current situation. On the basis of analyzing the available visualization toolkit, the overall goal of the computer network security visualization research platform is proposed in combination with the characteristics of the computer network security visualization research, so as to implement the security data integration, visualization methods integration, analysis and operation integration. The research platform was designed according to the specifications of plug?ins, integration, scalability, openness, platform independence and easy operation. A prototype system was implemented. The platform can be regarded as the tool of the computer network security visualization research, and used in the teaching experiment, visualization method testing, and collaboration communication.
Keywords: computer network security; information visualization; network packet; network flow; data block diagram; research platform
S着计算机网络技术的不断发展,网络已成为现代生活的重要组成部分。目前,随着网络规模的不断扩大,网络安全问题也日益严重,安全研究正面临新的挑战[1]。计算机网络安全可视化研究是信息可视化和计算机网络安全研究结合的产物,是一个全新的研究课题。通过对该课题深入研究,可以帮助研究人员从全新的视角理解安全现象,进而揭示安全机理、发现安全规律,最终达到解决安全问题的目的[2]。
1 平台设计
1.1 总体目标
计算机网络安全可视化研究平台是要建立一个可用于计算机网络安全可视化研究的统一支撑环境,方便研究人员基于不同的分析任务、使用多种可视化手段进行相关安全问题的可视化研究。该研究平台达到的总体目标是实现三个层次的整合,即对数据的整合、对可视化方法的整合、对分析操作的整合[3]。
数据整合是数据层面的整合,目的是提供对各种安全数据的支持,使各种数据都可以方便的在平台中使用;可视化方法整合是方法层面的整合,目的是将众多的可视化技术方法集成到平台之中,为各种数据提供丰富的可视化表现形式,同时增强各种可视化方法之间的联系,使各种方法可以相互协调、综合运用;分析操作整合是应用层面的整合,目的是在数据整合和可视化方法整合的基础上为使用者提供一个统一的操作环境,屏蔽由于数据异构性和可视化方法多样性带来的操作复杂性问题,使研究人员可以在该平台上使用相对统一的操作过程完成各种安全可视化分析研究工作[4]。
1.2 设计要求
根据以上总体目标,对计算机网络安全可视化研究平台的设计提出以下要求:
(1) 插件化。该平台的基础结构应该是一个插件的容器,各种功能的实现由具体功能插件完成。
(2) 集成化。该平台是一个具备综合能力的计算机安全可视化研究环境,需要对多种数据类型、多种可视化方法提供支持。
(3) 可扩展性。考虑到未来发展的需要,该平台应该具备良好的可扩展性。
(4) 开放性。该平台不是一个封闭的系统,需要与其他系统进行交互。
(5) 平台无关性。为了满足不同研究人员对操作系统使用的习惯,实现跨平台运行能力,该平台采用Java语言开发。
(6) 易操作性。该平台需要为研究人员提供风格统一的操作方式,屏蔽由于数据异构性和可视化方法多样性带来的操作复杂性问题。
1.3 总体结构
根据总体目标和设计要求,计算机网络安全可视化研究平台包括数据处理模块、信息可视化模块、交互模块和平台管理控制模块四个模块[4]。其中,数据处理模块主要负责完成数据的映射,将各种安全数据转换为最终用于可视化表达的形式;信息可视化模块完成数据的可视化映射,将数据处理模块输出的数据根据不同可视化方法转换为相应的视图;交互模块提供各种人机交互手段,帮助平台使用者对可视化视图进行交互式探索工作;平台管理控制模块是平台的基础框架,负责协调、控制其他功能模块共同完成平台使用者的各种分析研究任务,同时为其他功能模块的运行提供所需环境[5]。
1.4 用户对象
计算机网络安全可视化研究平台的使用主要针对两类用户:可视化算法的研究人员与基于可视化的安全分析人员。
可视化算法的研究人员通过创建新算法插件,将可视化方法集成到平台中,利用平台提供的数据处理功能,大大简化数据的处理过程,使研究重点更容易集中于可视化算法本身。同时,利用平台提供的多种可视化表达形式,方便研究人员对新老方法进行对比研究[6]。
基于可视化的安全分析人员通过该平台进行安全数据的处理、可视化图形的生成以及交互式的可视化分析等工作。根据分析任务的不同,分析人员可以选用多种可视化表达形式,从不同侧面全方位地展示数据的内在信息,再通过综合运用各种分析手段快速发现数据背后隐藏的安全问题。
2 平台实现
2.1 基础平台介绍
通过基础平台为其他各功能模块的运行提供所需的支撑环境,同时负责协调、控制其他功能模块共同完成平台使用者的各种分析研究任务。基础平台对应总体结构中的平台管理控制模块。经过调研对比,选择KNIME(The Konstanz Information Miner,康斯坦茨信息挖掘器)作为计算机网络安全可视化研究平台原型系统的基础平台[7]。KNIME的主要特点如下:
(1) 使用工作流(Workflow)技术,可视化地展示了数据处理、分析、挖掘的全过程,并可以对各个处理步骤进行交互式操作设置。
(2) 使用节点(Node)处理单元,封装各种处理功能,降低彼此间的耦合性,方便使用者进行功能扩展。
(3) 提供种类繁多的点库,根据具体的挖掘任务需要,选择不同功能节点,将输入输出端口相互连接组成各种数据挖掘工作流。
对KNIME的数据结构、节点和工作流进行简要介绍,用于指导原型系统其他各功能模块的开发。
2.1.1 数据结构
在KNIME中使用DataTable类封装节点之间流动的数据。DataTable包含数据的元信息和数据本身,其中每行数据都是DataRow对象,可以通过对DataRow实例的迭代,访问数据表中的数据。每个DataRow中都包含一个惟一的标识和一定数量的DataCell对象,该对象中保存着实际数据。
DataTable,DataRow和DataCell等主要类的相互依赖关系如图1所示。
2.1.2 节点
节点是KNIME中最主要的处理单元,它通常会被组装到一个工作流中。Node类封装了节点的所有功能,用户可以通过扩展NodeModel,NodeDialog和NodeView三个抽象类来开发自己的功能节点。NodeModel类主要承担计算任务;NodeDialog类用来实现节点的配置对话框,用户根据需要调整节点的相关参数,从而影响节点的执行;NodeView类可以被重写多次以实现在同一数据模型上显示不同视图。如果自定义的功能节点无需配置对话框和视图窗体,可以不实现NodeDialog和NodeView类。节点的这种设计遵循了MVC设计模式[8]。另外,为了实现数据或模型在节点中的传输,每个节点都具有输入输出端口。节点及主要类的依赖关系如图2所示。
2.1.3 工作流
在KNIME中,工作流就是由节点相互连接构成的有向图。在两个节点间允许插入新节点和有向边,而且工作流可以保存节点的状态,需要时能够进行返回。这种图形化的表达方式使用户可以按需定制所需的处理流程,并可以从宏观上了解整个处理步骤。
通过上述介绍,KNIME系统作为基础平台基本满足计算机网络安全可视化研究平台管理控制功能的设计需要。但是,就计算机网络安全可视化研究这种具体应用而言,缺少对安全数据的支持,缺少专用的安全可视化方法,所以无法支撑安全可视化方面的研究,还需要有针对性的开发相应功能以满足平台的总体设计需求。
2.2 数据处理模块实现
在计算机网络安全可视化研究平台的原型系统中,数据处理模块主要提供对安全数据的支持能力,目前,已支持网络数据包数据(PCAP格式文件)和NetFlow网络流数据(CSV格式文件)两种安全数据类型。通过不同的功能节点可以完成数据的解析、格式的变换、内部数据的生成及转换等操作。此处以MatrixConverter节点实现为例,说明数据转换构件中功能节点的实现方法,其他数据解析构件、数据映射构件中功能节点的实现可以参考此例进行。
MatrixConverter节点主要负责对内部数据进行转换,具体功能是将NetFlow网络流数据中以“源地址,目的地址,连接权值(某种连接属性值)”形式存在的内部数据转换为以邻接矩阵形式存在的内部数据,为后续可视化节点的使用提供适合的数据表达形式。在execute()方法中首先从节点的输入端获取数据;其次对该数据进行处理得到对应的邻接矩阵形式数据;最后将邻接矩阵形式的数据送至节点的输出端。
节点功能开发完成后,还需修改插件的入口文件plugin.xml,平台将根据这个文件的设置加载插件。通过设置,MatrixConverter节点将会出现在节点库的SecViz类别文件夹下,并可以提供相应的处理功能。
2.3 信息可视化模块实现
在计算机网络安全可视化研究平台的原型系统中,信息可视化模块主要提供各种安全可视化方法。目前,已集成了网络数据包数据方块水平布局图、堆叠布局图和网络流数据的邻接矩阵图等三种专用安全可视化方法。
MatrixViz功能节点的实现主要涉及三类:MatrixVizNodeModel类,MatrixVizNodeView类和MatrixVizViewPanel类。MatrixVizNodeModel类继承了NodeModel抽象类,主要用于获得待可视化的内部数据;MatrixVizNodeView类继承了NodeView抽象类,用于管理控制可视化视图,它是完成可视化方法集成的关键类;MatrixVizViewPanel类继承了Swing的JPanel类,用于创建显示面板进行可视化绘制。首先定义MatrixVizViewPanel类型的成员变量m_viewPanel,用于绘制可视化视图;其次在构造函数中对MatrixVizViewPanel类进行实例化;最后显示绘图面板。MatrixVizNodeView类将数据对象和绘图对象关联在一起,共同完成特定的可视化功能。
2.4 交互模块实现
交互功能的实现,可以利用AWT/Swing自身机制捕获鼠标、键盘等事件,并通过相应的事件处理器完成对特定事件的响应及处理。首先,通过addXxxListener()方法将某类事件监听器或适配器注册给指定的组件,当该组件发生特定事件时,被注册到该组件的事件监听器或适配器中对应的事件处理器将被触发,从而完成对该事件的响应及处理。使用addMouseListener()方法给绘图面板m_viewPanel注册鼠标事件的适配器,用于监听鼠标事件。同时,重写mouseReleased()和mousePressed()方法,实现对鼠标键松开、按下事件的处理。
3 平台应用实验
3.1 展示性任务实验
该实验的目的是通过计算机网络安全可视化研究平台生成待分析数据的可视化视图。实验使用的数据是一个CSV格式的NetFlow网络流数据文件(文件名为DisplayTest_NetFlow.csv),并使用邻接矩阵图作为最终的可视化表达形式。通常,进行这种展示性任务一般包括三个步骤:
第一步,构建任务工作流;
第二步,对各功能节点进行必要配置(某些节点无需配置);
第三步,依次执行工作流中的各节点,得到最终的可视化结果。
在第一步中构建的任务工作流,使用了四个功能节点:CSV文件读取节点(CSVReader)、列过滤器节点(ColumnFilter)、矩阵转换器节点(MatrixConverter)和矩阵图可视化节点(MatrixViz)。CSVReader节点负责数据文件的读取;ColumnFilter节点和MatrixConverter节点负责内部数据格式的转换;MatrixViz节点负视图的绘制与显示。
第二步是对各功能节点进行必要配置,此任务中需要在CSVReader节点中指定DisplayTest_NetFlow.csv文件的路径,同时通过Column Filter节点选择后续处理所需的数据列,MatrixConverter和MatrixViz节点无需配置。最后,依次运行各节点,执行相应的节点功能,得到NetFlow网络流数据的邻接矩阵图,如图3所示。
3.2 探索性任务实验
该实验的目的是通过计算机网络安全可视化研究平台分析安全数据、发现数据中存在的异常现象。实验使用了两类安全数据:一类是PCAP格式的网络包数据(文件名为ExploreTest.pcap);另一类是由网络包数据处理得到的CSV格式的NetFlow网络流数据(文件名为ExploreTest_NetFlow.csv)。与展示性任务不同,探索性任务通常需要综合使用多种可视化手段和分析方法,经过不断地迭代探索过程才能得到最终的结论。
在对安全数据进行探索性分析时,一般的思路是“从整体到细节”,即先从数据的整体特征上分析有无异常现象,然后再进一步分析数据的细节特征。根据这一思路,最终完成该探索性任务的工作。
(1) 网络流数据处理子工作流。包括两个处理分支:邻接矩阵图绘制和平行坐标图绘制,用于从不同侧面展示数据特征。同展示性任务的工作流相比,该工作流多了行过滤器节点(Row Filter)和平行坐标图可视化节点(Parallel Coordinates)。Row Filter节点负责对数据行进行过滤;Parallel Coordinates节点负责绘制平行坐标可视化图形,该功能节点是基础平台提供的一种经典可视化方法。
(2) 网络数据包处理子工作流。使用了两个功能节点:PCAP文件读取节点(PCAP Reader)和数据方块图可视化节点(PacketViz)。其中,PCAP Reader节点负责读取PCAP格式的网络数据包;PacketViz节点负责绘制网络数据包的数据方块图。
在进行探索性分析时,首先对网络流数据进行分析,获取对网络中数据传输关系的全面理解。接下来,利用平行坐标图对135.2.1.2节点进行有针对性的可视化分析。最后,为了进一步挖掘扫描攻击的细节信息,选用网络流数据对应的网络数据包,该数据中记录了网络通信中最原始的信息。
通过以上使用不同的安全数据,采用各种可视化手段进行综合分析,得出如下结论:网络中主机135.2.1.2正在对网络进行扫描攻击,且攻击类型为TCPSYN端口扫描攻击。
通过应用实验,讨论计算机网络安全可视化研究平台在可视化展示和可视化探索中的应用。该安全可视化研究平台综合使用各种可视化方法(如邻接矩阵图、平行坐标图、数据方块图等),针对多种安全数据(如网络包数据、网络流数据等)进行集中统一的处理,基本达到平台的总体目标,能够为安全可视化研究提供整合的支持环境。另外,使用工作流方式进行安全可视化分析,方便建立标准规范的分析步骤,为安全可视化分析研究提供指导和帮助。
4 结 论
本文在对现有可视化工具包(或整合系统)分析研究的基础上,结合计算机网络安全可视化研究的特点,提出计算机网络安全可视化研究平台的总体目标:实现安全可视化研究三个层次的整合,即数据整合、可视化方法整合、分析操作整合。根据插件化、集成化、可扩展性、开放性、平台无关性和易操作性等方面的具体要求,对该研究平台进行设计,并实现原型系统。针对可视化展示和可视化探索两种不同的任务类型,对该研究平台的原型系统进行应用实验。
参考文献
[1] 靖培栋.信息可视化―情报学研究的新领域[J].情报科学,2003,21(7):685?687.
[2] 郭陟,万海,顾明.可视化安全审计模型与系统框架研究[C]//全国网络与信息安全技术研讨会2004论文集.北京:中国通信学会,2004:433?437.
[3] 周宁.信息可视化技术在端口扫描检测中的应用研究[D].天津:天津大学,2007.
[4] 李忠武,陈丽清.计算机网络安全评价中神经网络的应用研究[J].现代电子技术,2014,37(10):80?82.
[5] 任磊,王威信,周明骏,等.一种模型驱动的交互式信息可视化开发方法[J].软件学报,2008,19(8):1947?1964.
[6] SHIRAVI A, SHIRAVI H, TAVALLAEE M, et al. Toward developing a systematic approach to generate benchmark datasets for intrusion detection [J]. Computers & security, 2012, 31(3): 357?374.
随着互联网技术的不断发展,互联网在生活与工作中的应用范围越来越广,并逐渐改变着人们的生活与工作方式,其影响意义比较深远。但是互联网也存在较大的安全隐患,会导致网络瘫痪或者信息丢失,严重影响人们的生活与工作。在传统的网络安全管理中通常会采用防火墙、恶意代码检测与入侵检测等技术,但其安全防范效率不够理想。为了提高网络安全管理水平,促进网络整体的正常运行,需要及时采取加固措施,以便对整体网络安全进行有效的评估与预测。然而网络安全态势感知随之产生,并逐渐受到人们的关注。本文就网络安全态势感知模型概况进行分析,探讨网络安全态势感知模型的设计与关键技术的实现情况,以便提高网络安全与管理质量。
关键词:
网络安全;态势感知模型;设计与实现
0引言
在当今科学技术高度发展的时候,互联网已经普遍应用与社会各个领域中,在给人们生活与工作带来较大便利的同时,由于网络攻击、恶意行为等安全事件频发,严重威胁到网络安全,给人们的信息与隐私带来较大的不良影响。因此,需要加强对网络安全技术的研究,以便有效的提高网络安全,减少安全隐患的发生。目前,大多数研究者将关注点放在网络安全态势感知研究上,其成为解决现有网络安全事件的研究关键。其是一种有效的事前防御措施,对网络安全环境信息进行收集,并对系统可能存在的威胁进行分析,从而预测未来网络安全状况的发展趋势,以便减少网络安全风险。
1网络安全态势感知模型概况
网络安全态势感知最早是在航空领域中提出与研究,其主要是通过对态势感知理论进行研究,以便对飞行器进行分析,之后随着该理论的逐渐成熟,逐渐广泛用于军事、交通、核工业等领域中。越来越多的人们关注态势感知的研究。逐渐网络态势感知被提出,最早分为态势要素获取、态势理解与态势预测三级模型。随着研究力度的不断加大,在原有的基础上进行异构传感器管理的功能模型,主要是对异构网络的安全态势基础数据进行采集,并对数据进行整合处理,以便对信息进行对比而形成威胁库与静态库。
1.1网络安全态势的提取
网络安全态势信息的提取主要是态势感知的基础,对数据进行全面的收集,并使用成熟的指标体系,可以有效的确保结果的正确性,因此,需要重视态势感知提取的重要性。网络安全态势感知的来源比较多元化,采取不同的收集昂发与设备,其收集到的数据格式也会不同。网络安全态势信息主要有流量、运行状态、配置与用户行为等内容。
1.2网络安全态势的理解
首先,需要对网络安全事件进行关联性分析。由于网络安全事件的报警数据据具有重复性,没有经过处理的态势对对系统的正常运行带来一定的负担,并影响到分析结果。因此,需要对其进行关联分析,以便对安全时间进行过滤。通过防火墙、入侵系统以及脆弱性分析等方式来处理。以便对虚假的网络安全时间进行筛选,需要对基础数据进行有效的过滤。
1.3网络安全态势预测
其主要是根据网络目前与历史完全数据进行分析,对其味蕾的发展情况以及可能出现的完全事故等进行预测。通过态势预测可以尽可能早的发现网络环境中可能出现的安全隐患,并对其及时采取有效的预防,从而可以达到较好的安全管理作用。
1.4态势可视化
可视化是系统管理提供的一个可以感知的态势感知平台,能够方便管理,对系统的整体情况通过可视化来感知。并且其展示的方式逐渐多元化,包括分支展示、曲线展示、统计展示等。
2网络安全态势感知模型的设计方案
2.1网络安全态势感知系统的定位设计
在网络安全态势感知模型中,其主要是应用与网络安全管理中,其系统定位主要包括:在系统运行的时候,展示整体运行情况,并对管理人员提供可视化的管理平台,以便积极采取响应措施。同时,需要对数据进行有效的采集,以便提高该系统运行的准确性。并且需要选择高性能的评估与预测算法,对态势感知进行综合评估与预测。
2.2设计原则
首先,高效性原则。通过对复杂的网络结构进行分析,在数据收集的时候,需要确保数据收集的高效性,从而促进系统的安全运行,以便快速的发现安全隐患,作出充足的应急方案。其次,实时性原则。重点需要在网络动态情况下及时发现系统可能存在的安全隐患,以便及时采取措施来确保系统网络的安全性。并且在感知的过程中需要对每个阶段与流程坚持实时性原则,以便及时、准确的展示系统的运行状态。再次,可扩展性原则。在态势感知系统中主要是一个管理支撑平台,必须要确保系统具备可扩展性,以便设计出灵活的接口形式,形成可扩展的网络安全平台。
2.3总结架构
网络安全态势感知模型是以态势评估为主线,也是自主研发的态势感知平台,在设计的时候运用的是松耦合设计原则,各个模块之间具有较强的独立性,并且模块之间通过数据接口来交互。该系统主要分为界面层与功能层两方面。界面层中,是网络安全态势感知的展示与配置功能,主要是对网络设备进行配饰,并对网络拓扑结构进行绘制。同时,还具备动态计划任务设置、管理、安全态势指标配置等功能。而在功能层中,其主要是网络安全态势感知系统的核心所在,主要功能包括关联分析、统计分析、数据采集、指标配置、态势预测、评语与展示等。
2.4功能模块关系
系统功能模块之间的关系为核心模块提供了基础的保障,其主要的模块是网络安全态势评估模块。系统中的数据流主要是通过数据采集器在各种网络环境中采集而来,并将其提高给态势分析模块,数据处理后需要向上层态势模块提交评估数据。在整个系统的交互过程中,数据采集器对数据进行基础数据存储与关联分析,并对安全时间的数据库进行存储,同时,需要对网络安全态势评估后的结果进行存储。
3网络安全态势感知模型设计的实现
3.1网络安全态势评估工作流程
其主要流程包括:(1)数据采集与关联分析。对各种网络环境中的数据进行有效的采集,并对其进行简单的数据处理后,将其存入基础数据库。之后对网络安全事件进行关联性分析,从而形成网络安全事件数据库(。2)确定指标体系。对系统中需要的指标进行确定,以便根据评估算法来建立评估指标。(3)对模糊评估进行统计分析。在网络安全系统中,通过对数据库进行关联性分析,可以形成可用性、安全性与可靠性的基础数据库(。4)安全响应。通过对态势感知的评估结果进行分析后及时采取有效的影响措施来处理。(5)结果显示。通过可视化功能对整体网络安全态势的运行情况进行展示。
3.2关键模块功能的实现
通过对可用性、设备信息以及脆弱性信息进行有效的采集后,通过数据模块采集,并给网络安全态势评估提供相关的数据库资源。在指标配置模块中,需要对动态配置指标进行有效的配置。而在关联性分析模块中,需要对网络安全事件进行关联性分析,从而形成网络安全事件数据库。在态势评估模块中,网络安全态势需要通过评估来了解系统目前的系统信息。而响应模块需要对当前情况进行分析,以便响应网络安全事件,并向管理人员提供安全响应。在态势展示模块中需要对整体的结果进行展示,对网络节点信息展示并具有一定的告警展示。
3.3数据收集模块的实现
在数据收集模块中,主要是针对安全态势感知而提出基础数据源,在态势评估过程中属于第一个步骤。由于在网络环境中,主要包括各种设备,例如防火墙、主机、网关灯,这些异构设备在运行环境、使用的协议以及数据格式等方面具有较大的不同。在对数据进行收集的时候,需要对无用的数据进行过滤,并对格式进行统一化,从而取得网络的拓扑结构,对设备的相关信息进行完善,以便促进管理人员的安全管理。在数据收集模块的设计与实现的时候,需要对网络中的流量数据、日志数据以及漏洞数据等进行收集,并对其进行过滤,统一形成一种数据格式,之后将这些数据统一发送到服务器端。数据收集模块的实现主要是通过管理中的计划任务功能来完成的,在某个主机发生危险的时候,通过对数据的收集,从而快速的、准确的分析网络安全事件,并积极采取有效的措施来解决。
3.4指标配置模块的实现
在指标配置模块中,其主要的功能是对网络的安全态势进行一级、二级指标配置,以便对其进行动态管理,输入操作态势评估,并且需要完成扩展功能,以便为今后的指标体系扩展提供相关的接口服务。该模块主要是通过对指标间层次关系进行展示来实现的,并对数据源进行指标,以接口的形式来获取数据,从而确保该模块的正常运行。
3.5关联分析模块的实现
在网络安全态势感知模型中,关联分析模块是其中比较重要的一部分,对系统中网络安全事件能够有效的进行融合性分析,并对其进行分类与统计,可以过滤冗余的信息,对警报间的关系进行分析,从而缓解系统的工作。
3.6态势评估模块的实现
在该模块中,需要对数据进行采集,并对其统计分析后形成数据库,通过一定的计算方法进行网络安全评估。通过对当前的网络状况进行评估来对该系统进行分层分析,从而达到网络安全态势评估的目的。通过层次分析的作用对指标权重值进行确定,并结合模糊匹配的评价方式来实现网络安全态势评估。
4总结
为了能够有效的提高网络安全管理质量与水平,减少网络安全事故的发生,需要加强对网络安全态势感知模型进行分析研究,以便将其充分应用于网络安全管理中。态势感知模型是一种定量的分析方式,能够进行准确的度量分析,在网络安全管理中起着至关重要的作用。根据当前的网络安全环境与实际需求来设计网络安全态势感知模型,可以有效的满足实际需求,解决网络安全隐患。
作者:徐振华 单位:北京信息职业技术学院
参考文献
[1]王慧强,赖积保,胡明明,等.网络安全态势感知关键实现技术研究[J].武汉大学学报,2013,33(28):129-130.
[2]陈彦德,赵陆文,潘志松,等.网络安全态势感知系统结构研究[J].计算机工程与应用,2014,22(18):784-785.
[3]蒙仕伟.网络安全态势感知模型研究[J].硅谷,2013,19(12):832-833.
通过下一代防火墙、态势感知检测响应、安全云端、安全运营平台,初步构建“网-端-云-平台”一体化框架进行风险控制闭环。框架中,下一代防火墙、态势感知检测响应等网络和端点安全设备持续采集网络和端点侧流量日志,安全云端和本地安全运营平台通过发现和关联流量日志中各类攻击威胁失陷标志,找出入侵攻击链,进一步在网络和端点侧进行控制处置,切断攻击链。
3.2建立初步的信任评估和控制机制
以上网行为管理和SSLVPN设备组件为基础,对接各类型终端,入网前基于设备状态和身份信息进行信任等级判定。并建立内部应用访问身份认证机制。下一阶段工作通过零信任技术建立更全面的访问前信息采集和持续评估能力,进一步打通网络、应用、数据访问的身份和信任判决及控制。
3.3建立本地化安全运营能力
基于安全运营平台,将全网终端威胁、网络攻击及业务系统安全通过大屏可视化的方式呈现,结合外部安全服务专家专属服务化的方式,实现了网络安全的闭环响应与处置,同时为内部人员提供信息安全知识与技能,沉淀本地知识经验库;基于安全运营平台分析结果进行决策,指导各部门开展网络安全工作;通过网络安全运营平台指导安全建设,提供安全策略优化指导,全面提升系统安全运营能力。
3.4构建针对未知威胁防控的人机共智能力
基于本地安全运营平台、下一代防火墙、态势感知检测响应等设备组件中人工智能算法,借助安全云端的全球威胁情报和安全大数据分析辅助,初步构建针对已知和未知Web攻击、僵尸网络、各类型病毒、漏洞利用、部分APT攻击和异常业务行为的检测识别能力。通过演练成果应用,实现了满足等级保护2.0合规要求,具备在实战化攻防对抗中抵御攻击、快速恢复能力,同时日常服务运维过程中对各类型业务和数据提供常态化安全防护。
4创新性与价值
信息系统安全建设基于自身信息化业务需求和网络安全监管法规要求,以“体系合规,面向实战,常态保护”为目标,“统筹风险,精益安全,持续推进,人机共智”为安全能力构建方向,逐步推进建设落地。规划建设过程,体现了以下几方面特色和优势:(1)体系化统筹,从高层要求、监管法规等业务和内外部需求出发,从风险、安全、推进、智能四方面,体系化地规划安全能力和落地过程[5]。(2)全面保障,整个建设理念和框架覆盖的保护对象从物理环境,到网络、主机、边界等各层面,并对各类型业务和场景具有普适性。(3)面向未来,利用人机共智的三位一体能力,以及阶段性演进的成熟度坐标,规划面向未来的能力演进体系。(4)有效落地,创新网络安全微服务架构,提升自动化管理效率,利用专家服务和辅助决策降低人员门槛,进一步通过可视化指标体系呈现安全建设绩效。
1 前言
随着信息化发展速度不断加快,信息系统用户规模不断扩大、需求不断更新、自动化程度不断提高,信息系统安全状况与企业经济效益越来越密切,直接影响到企业的经营和形象问题。目前,防火墙、IDS、IPS等安全设备已经得到普遍使用,但是同时这些设备产生了海量安全数据,采用人工分析的方法已经无法实现安全威胁的及时预警与处置。另一方面,现有安全设备之间相对孤立,数据没有得到关联分析和综合考虑,很难面对当今各种利用先进手段、高度隐蔽的网络攻击形式。因此,在现有安全手段的基础上,获取和分析海量攻击行为数据,结合态势感知技术实现信息安全行为的准确定位和智能预警,在信息安全防护工作中是非常必要的。
2 平台构成
信息安全态势智能预警分析平台由系统数据接口、数据挖掘与融合技术、态势分析与风险预警、可视化展示与系统管理六大部分。其中,系统数据接口用于查看目前监控的设备及应用系统;数据挖掘与融合提供有效的数据分析处理模型和数据分析方法;态势分析和风险预警提供当前网络安全态势评估、未来网络安全态势预测及响应告警功能;可视化展示定义生成各类表单、图表、报告、报表等用户界面。
3 关键技术
3.1 数据采集
3.1.1 设备实时监测数据
信息安全态势智能预警分析平台监测重要网络设备及服务器的运行状态,主要对网络边界设备、核心交换设备、重要服务器等进行监视,获取CPU、内存、网络流量等性能或安全参数信息。通过该系统数据接口,可按照单个设备、某类设备、整个网络设备来获取相关设备数据。
3.1.2 扫描数据
采集日常运维中扫描数据,主要包括利用漏洞扫描工具发现的漏洞、弱口令等安全隐患信息。
3.1.3 日志文件数据
采集重要设备的日志文件数据,主要包括网络边界设备、核心交换设备、重要服务器的系统日志、安全日志、应用日志及告警日志等。
3.1.4 策略配置数据
采集重要设备的策略配置数据,主要包括主机、服务器、网络设备等的安全策略配置信息以及策略变更信息等。
3.2 数据挖掘
数据挖掘的方法有很多种,其中关联规则挖掘方法能够从大量数据中挖掘出有价值描述数据项之间相互联系的有关知识,挖掘用户操作行为之间的关联规则,反映用户的操作倾向。
现实中网络环境复杂,网络设备种类多,影响因素之间相互关联。选取的算法要能有效的对多源异构数据进行关联分析并具有自学习性,能够解决决策层的不确定性,不能仅凭专家经验确定各指标对网络安全状态的影响程度。在底层使用关联规则挖掘算法对异构数据进行关联性分析,使用云模型对异构数据进行融合处理,在决策层使用贝叶斯决策方法进行态势预测,较好的解决了态势评估的不确定性。
3.3 态势感知与风险预警
网络安全态势感知主要对网络中部署的各类设备的运行状态进行监测,对动态监测数据、设备运行日志、脆弱性、策略配置数据等进行融合分析,对目前网络安全状况进行风险评估,同时也对未来几天网络安全状况进行预测。
安全风险预警实现各类安全隐患的报警功能。借助安全态势感知功能对各类数据综合分析,提出信息安全风险的来源分布以及风险可能带来的危害,及时的对信息安全隐患或风险进行报警。
3.3.1 网络实时状况警报
实现网络中的网络设备、服务器、中间件等的实时运行状态进行监控,并依据的上下限值提供报警功能。将告警指标和风险处理方法进行结合,实现在动态地图上显示出来并提供报警,能够快速的定位出现问题的设备。实现网络中关键的硬件设备配置的监控,实现对硬件的更换、策略的变更的报警功能。
3.3.2 态势要素提取
态势要素提取是态势评估与预测的基础。读取核心交换机、重要业务服务器及信息系统、门户网站、路由器、IPS、IDS等关键核心接入设备的配置信息、服务的状态、操作日志、关键性能参数等。
3.3.3 态势评估与分析
研究信息安全风险评估和分析方法,制定风险评估指标体系和评估模型,开展基于多协议和应用的关联分析,识别程序或用户的恶意行为,追踪并提供威胁分析。
态势感知的核心是态势评估,是对当前安全态势的一个动态理解过程。识别态势信息中的安全事件并确定它们之间的关联关系,根据所受到的威胁程度生成相应的安全态势图,反映出整个网络的安全态势状况。
研究分层次的安全评估模型,以攻击报警、扫描结果和网络流量等信息为原始数据,发现各关键设备影响因素的脆弱性或威胁情况,在此基础上,综合评估网络系统中各关键设备的安全状况,再根据网络系统结构,评估多个局部范围网络的安全态势,然后再综合分析和统计整个宏观网络的安全态势。
3.3.4 态势预测
态势预测主要基于各类网络设备、服务器、终端设备以及安全设备的记录,进行关联性分析,给出总体信息安全趋势。态势预测数据的来源包括用户数据的输入和监测到历史数据和实时数据。
3.3.5 响应与报警
针对存在的威胁事件、预知的安全风险以及信息系统故障等进行报警,并提供解决的建议。利用数据挖掘与融合技术处理历史数据和监测数据,经过网络安全态势评估与预测分析,对潜在安全风险进行分析预测,输出预警信息。
3.4 可视化展示
根据用户的不同需求,定义不同的功能视图,实现多样化、多元化的展示方式,包括漏洞、弱口令、病毒感染、违规外联、威胁报警等信息。
4 结语
通过信息安全态势感知与智能预警平台,利用大数据技术将现有各类监测数据、日志数据、扫描数据等进行有效整合,能自动识别未知的新型攻击、缩短事件响应时间并提高提高人员工作效率,为实时掌握网络整体安全状态和变化趋势提供了基础,从而提升企业信息安全主动防御能力。
关键词 网络安全;技术;网络信息
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)14-0086-02
互联网技术高速发展,在显著提高了人们的生活质量的同时,正逐步改变着人们的生活方式。与此同时,互联网安全问题也日益凸显,成为影响用户体验的主要因素受到各界人士的广泛关且已达成普遍的共识。信息资源的安全防范涉及到硬件和软件两方面内容,因此应采取系统性的保障措施,防止信息传递过程中泄露、破坏和更改,保证网络系统正常、安全、稳定的运行。
1 信息安全管理存在的问题
1.1 操作系统漏洞
计算机软件系统中操作系统是最基本、最重要的系统,为用户正常使用计算机或安装其他程序提供可运行的平台。另外,操作系统还具备对计算机资源的管理功能,例如,可以通过相应的操作查看计算硬件和相关软件存在的问题并对其进行管理。管理过程中会涉及系统某个模块或程序的安全运行问题,这些模块如果存在一些缺陷可能造成整个系统崩溃,影响计算机的正常使用。操作系统对信息传输、程序加载提供支持,尤其通过ftp传输的某些文件。这些文件中如果包含可执行文件也会带来不安全因素。众所周知,这些文件都是程序员编写而成其中难免出现较多漏洞,这些漏洞不但会威胁计算机资源的安全,而且还可能引起整个操作系统的崩溃。本质上来看计算机操作系统出现问题的原因在于其允许用户创建进程,能够对其进行远程激活,一旦被不法分子利用创建一些非法进程就能实现对计算机的控制威胁计算机安全。同时计算机还能通过操作系统实现对远程硬、软件的调用,在互联网上传递调用信息是会经过很多网络节点,这些网络节点被别人窃听就会造成相关信息的泄露,带来巨大的经济损失。
1.2 网络开放性存在的漏洞
开放性是计算机网络的显著特点,该特点在促进网络技术快速发展的同时,也给网络安全带来较大安全隐患。首先,互联网的开放性使接入网络的门槛降低,不同地区的不同人群纷纷接入网络,他们相互交流互联网的学术问题,不断提出新的思想和方法,为互联网技术的发展奠定坚实的基础。其次,接入的这些用户难免存在图谋不轨的人,他们中的多数人要么为某个非法组织效力,要么为了炫耀网络技术,进而对互联网进行攻击,这些攻击有的是针对计算机软件漏洞发起攻击行为,有的对网络层中的传输协议进行攻击。从发起攻击的范围来看,大多数网路攻击来源于本地用户,部分来源于其它国家,尤其发生在国家之间的攻击案例屡见不鲜,这些攻击者拥有较强的网络技能,进行的攻击行为往往会给某个国家带来严重的损失。因此,互联网安全问题是世界性的问题,应引起人们的高度重视。
2 网络安全技术介绍
2.1 入侵检测
入侵检测指通过收集审计数据,分析安全日志和网络行为,判断计算机系统中是否出现被攻击或者违法安全策略行为。入侵检测能够使系统在入侵之前进行拦截,因此是一种积极主动的安全防御技术,被人们称为除防火墙外的第一道安全防护闸门。入侵检测的优点不仅体现在保护计算机安全上,还体现在入侵检测时不会对网络性能产生影响上。检测入侵能够时时监控来自外部攻击、内部攻击行为,提高计算机资源的安全系数。目前来看计算机检测入侵主要分为混合入侵检测、基于主机和网络入侵检测三种,在保障网络安全运行中基于网络入侵检测技术应用较为广泛。
2.2 可视化
在入侵检测、防火墙以及漏洞扫描的基础上,为了提高网络安全的可视操作延伸出了网络安全可视化技术,该技术可以说是上述安全技术的补充。网络安全可视化技术将网络中的系统数据和较为抽象的网络结构以图像化的形式展现在人们面前,并能时时反映网络中出现的特殊信息,监控整个网络的运行状态,最终较为人性的提示用户网络中可能存在的安全风险,为网络安全技术员分析网络潜在的安全问题提供便利。网络安全技术人员利用高维信息展开网络具体状况,从而能够及时有效的发现网络入侵行为,并对网络安全事件的未来发展趋势进行估计和评定,以此采取针对性措施进行处理,保证网络安全防护更为便捷、智能和有效。
2.3 防火墙
防火墙是人们较为熟悉的网络安全防范技术,是一种根据事先定义好的安全规则,对内外网之间的通信行为进行强制性检查的防范措施,其主要作用是隐藏内部网络结构,加强内外网通信之间的访问控制。即根据实际情况设定外网访问权限限制不符合访问规则的行为,从而防止外网非法行为的入侵,保证内部网络资源的安全。同时规范内网之间的访问行为进一步提高网络资源的安全级别。目前防火墙主要包含网络层防火墙和应用层防火墙两种类型,其中可将网络层防火墙看做是IP封包过滤器,在底层的TCP/IP协议上运作。网络管理员设置时可以只允许符合要求的封包通过,剩余的禁止穿过防火墙,不过注意一点防火墙并不能防止病毒的入侵。另外,网络管理员也可以用较为宽松的角度设置防火墙,例如只要封装包不符合任一“否定规则”就允许通过,目前很多网络设备已实现内置防火墙功能;应用层防火墙主要在TCP/IP堆栈上的“应用层”上运作,一般通过浏览器或使用FTP上传数据产生的数据流就属于这一层。应用层防火墙可以拦截所有进出某应用程序的封包,通常情况将封包直接丢弃以达到拦截的目的。理论上来讲这种防火墙能够防止所有外界数据流入侵到受保护的机器中。
2.4 漏洞扫描
漏洞扫描通过漏洞扫描程序对本地主机或远程设备进行安全扫描,从而及时发现系统中存在的安全漏洞,通过打补丁等方式保证系统的安全。工作过程中漏洞扫描程序通过扫描TCP/IP相关服务端口监控主机系统,并通过模拟网络攻击记录目标主机的响应情况从而收集有用的数据信息,通过漏洞扫描能够及时的发现和掌握计算机网络系统存在安全漏洞,以此准确反映网络运行的安全状况,为网络安全的审计创造良好的条件。从而能够根据反馈的信息制定有效的应对措,例如下载相关的漏洞补丁或优化系统等及时的修补漏洞,减少有漏洞引起的网络安全风险。
2.5 数据加密
数据加密是现在常用的安全技术即通过一定的规则将明文进行重新编码,翻译成别人无法识别的数据,当编码后的数据传输过程中即便被不法人员截获,但是没有密钥就不能破解加密后的信息,就无法知道信息的具体内容。数据加密技术主要应用在信息和动态数据的保护上,在当今电子商务发展迅速的时代,该项技术应用较为广阔。数据加密系统主要有密钥集合、明文集合、密文集合以及相关的加密算法构成,其中算法和数据是数据加密系统基本组成元素,算法主要有相关的计算法则和一些公式组成,它是实现数据加密的核心部分。密钥则可看做算法的相关参数。数据加密技术的应用确保了数据在互联网开放环境中的安全,它既不违背互联网开放性特点,又保证了信息传递的安全性。
3 加强网络信息资源管理措施
3.1 注重管理人员业务技能的提升
网络信息资源管理面临的最大威胁是人为攻击,其中黑客攻击就是人为攻击的一种。目前可将网络信息资源的攻击行为分为主动攻击和被动攻击两种,其中主动攻击指利用非法手段破坏传输信息的完整性,即更改截获来的数据包中的相关内容,以此达到误导接收者的目的,或者进入系统占用大量系统资源,使系统不能提供正常的服务影响合法用户的正常使用。被动攻击在不影响数据信息传递的前提下,截取、破解传递的信息,这种攻击手段通常不容易被人发觉,容易造成较大经济损失。因此,针对这种情况应定期举行相关的技术培训,提高管理人员的专业技能水平,加强安全网络的监测力度,并针对不同的攻击方式制定有效的防御措施,同时在总结之前常见的网络攻击手段的研究,加强与国外先进技术的交流合作,共同探讨防止网络攻击的新技术、新思路。
3.2 加强计算机软件、硬件管理
软件管理在保证网络资源安全方面起着至关重要的作用,因此平时应注重软件的管理。威胁软件安全的主要因素是计算机病毒,所以管理员应定期利用杀毒软件查杀病毒,并注重更新下载相关的补丁及时修补软件漏洞。
加强计算机硬件管理应从两方面入手,首先应为计算机的运行创造良好的外部环境,尤其应注重防火、防潮等工作,从而降低硬件损坏给网络带来的影响;其次,制定严格的管理制度,未经管理员允许不能打开机箱更换硬件,同时平时还应注重对硬件性能的检测,发现问题应及时通知管理员进行排除。
4 总结
网络为人们提供了新的信息共享方式,同时其安全性也面临着严峻的考验,面对当前互联网安全存在的问题我国应加强这方面的技术研究,采用多种网络安全技术保证信息传递的安全性。同时国家相关部门应制定详细的法律法规,严厉打击网络攻击和犯罪行为,以此营造良好的互联网运营秩序。
参考文献
[1]张泉龙.对网络安全技术管理的探讨[J].科技资讯,2011(18).
[2]王贤秋.浅议计算机网络的信息资源管理[J].内江科技,2009(07).
[3]崔蓉.计算机信息网络安全技术及发展方向[J].信息与电脑(理论版),2010(10).
关键词:新型DPI;网络安全态势感知;网络流量采集
经济飞速发展的同时,科学技术也在不断地进步,网络已经成为当前社会生产生活中不可或缺的重要组成部分,给人们带来了极大的便利。与此同时,网络系统也遭受着一定的安全威胁,这给人们正常使用网络系统带来了不利影响。尤其是在大数据时代,无论是国家还是企业、个人,在网络系统中均存储着大量重要的信息,网络系统一旦出现安全问题将会造成极大的损失。
1基本概念
1.1网络安全态势感知
网络安全态势感知是对网络安全各要素进行综合分析后,评估网络安全整体情况,对其发展趋势进行预测,最终以可视化系统展示给用户,同时给出相应的统计报表和风险应对措施。网络安全态势感知包括五个方面1:(1)网络安全要素数据采集:借助各种检测工具,对影响网络安全性的各类要素进行检测,采集获取相应数据;(2)网络安全要素数据理解:对各种网络安全要素数据进行分析、处理和融合,对数据进一步综合分析,形成网络安全整体情况报告;(3)网络安全评估:对网络安全整体情况报告中各项数据进行定性、定量分析,总结当前的安全概况和安全薄弱环节,针对安全薄弱环境提出相应的应对措施;(4)网络安全态势预测:通过对一段时间的网络安全评估结果的分析,找出关键影响因素,并预测未来这些关键影响因素的发展趋势,进而预测未来的安全态势情况以及可以采取的应对措施。(5)网络安全态势感知报告:对网络安全态势以图表统计、报表等可视化系统展示给用户。报告要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施。
1.2DPI技术
DPI(DeepPacketInspection)是一种基于数据包的深度检测技术,针对不同的网络传输协议(例如HTTP、DNS等)进行解析,根据协议载荷内容,分析对应网络行为的技术。DPI技术广泛应用于网络流量分析的场景,比如网络内容分析领域等。DPI技术应用于网络安全态势感知领域,通过DPI技术的应用识别能力,将网络安全关注的网络攻击、威胁行为对应的流量进行识别,并形成网络安全行为日志,实现网络安全要素数据精准采集。DPI技术发展到现在,随着后端业务应用的多元化,对DPI系统的能力也提出了更高的要求。传统DPI技术的实现主要是基于知名协议的端口、特征字段等作为识别依据,比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等协议特征的识别、基于源IP、目的IP、源端口和目的端口的五元组特征识别。但是随着互联网应用的发展,越来越多的应用采用加密手段和私有协议进行数据传输,网络流量中能够准确识别到应用层行为的占比呈现越来越低的趋势。在当前网络应用复杂多变的背景下,很多网络攻击行为具有隐蔽性,比如数据传输时采用知名网络协议的端口,但是对传输流量内容进行定制,传统DPI很容易根据端口特征,将流量识别为知名应用,但是实际上,网络攻击行为却“瞒天过海”,绕过基于传统DPI技术的IDS、防火墙等网络安全屏障,在互联网上肆意妄为。新型DPI技术在传统DPI技术的基础上,对流量的识别能力更强。基本实现原理是对接入的网络流量根据网络传输协议、内容、流特征等多元化特征融合分析,实现网络流量精准识别。其目的是为了给后端的态势感知系统提供准确的、可控的数据来源。新型DPI技术通过对流量中传输的不同应用的传输协议、应用层内容、协议特征、流特征等进行多维度的分析和打标,形成协议识别引擎。新型DPI的协议识别引擎除了支持标准、知名应用协议的识别,还可以对应用层进行深度识别。
2新型DPI技术在网络安全态势感知领域的应用
新型DPI技术主要应用于数据采集和数据理解环节。在网络安全要素数据采集环节,应用新型DPI技术,可以实现网络流量的精准采集,避免安全要素数据采集不全、漏采或者多采的现象。在网络安全要素数据理解环节,在对数据进行分析时,需要基于新型DPI技术的特征知识库,提供数据标准的说明,帮助态势感知应用可以理解这些安全要素数据。新型DPI技术在进行网络流量分析时主要有以下步骤,(1)需要对攻击威胁的流量特征、协议特征等进行分析,将特征形成知识库,协议识别引擎加载特征知识库后,对实时流量进行打标,完成流量识别。这个步骤需要确保获取的特征是有效且准确的,需要基于真实的数据进行测试统计,避免由于特征不准确误判或者特征不全面漏判的情况出现。有了特征库之后,(2)根据特征库,对流量进行过滤、分发,识别流量中异常流量对应的攻击威胁行为。这个步骤仍然要借助于协议识别特征知识库,在协议识别知识库中记录了网络异常流量和攻击威胁行为的映射关系,使得系统可以根据异常流量对应的特征库ID,进而得出攻击威胁行为日志。攻击威胁行为日志包含捕获时间、攻击者IP和端口、被攻击者IP和端口、攻击流量特征、攻击流量的行为类型等必要的字段信息。(3)根据网络流量进一步识别被攻击的灾损评估,同样是基于协议识别知识库中行为特征库,判断有哪些灾损动作产生、灾损波及的数据类型、数据范围等。网络安全态势感知的分析是基于步骤2产生的攻击威胁行为日志中记录的流量、域名、报文和恶意代码等多元数据入手,对来自互联网探针、终端、云计算和大数据平台的威胁数据进行处理,分析不同类型数据中潜藏的异常行为,对流量、域名、报文和恶意代码等安全元素进行多层次的检测。针对步骤1的协议识别特征库,可以采用两种实现技术:分别是协议识别特征库技术和流量“白名单”技术。
2.1协议识别特征库
在网络流量识别时,协议识别特征库是非常重要的,形成协议识别特征库主要有两种方式。一种是传统方式,正向流量分析方法。这种方法是基于网络攻击者的视角分析,模拟攻击者的攻击行为,进而分析模拟网络流量中的流量特征,获取攻击威胁的流量特征。这种方法准确度高,但是需要对逐个应用进行模拟和分析,研发成本高且效率低下,而且随着互联网攻击行为的层出不穷和不断升级,这种分析方法往往存在一定的滞后性。第二种方法是近年随着人工智能技术的进步,逐渐应用的智能识别特征库。这种方法可以基于威胁流量的流特征、已有网络攻击、威胁行为特征库等,通过AI智能算法来进行训练,获取智能特征库。这种方式采用AI智能识别算法实现,虽然在准确率方面要低于传统方式,但是这种方法可以应对互联网上层出不穷的新应用流量,效率更高。而且随着特征库的积累,算法本身具备更好的进化特性,正在逐步替代传统方式。智能特征库不仅仅可以识别已经出现的网络攻击行为,对于未来可能出现的网络攻击行为,也具备一定的适应性,其适应性更强。这种方式还有另一个优点,通过对新发现的网络攻击、威胁行为特征的不断积累,完成样本库的自动化更新,基于自动化更新的样本库,实现自动化更新的流量智能识别特征库,进而实现AI智能识别算法的自动升级能力。为了确保采集流量精准,新型DPI的协议识别特征库具备更深度的协议特征识别能力,比如对于http协议能够实现基于头部信息特征的识别,包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等头部信息,对于https协议,也能够实现基于SNI的特征识别。对于目前主流应用,支持识别的应用类型包括网络购物、新闻、即时消息、微博、网络游戏、应用市场、网络视频、网络音频、网络直播、DNS、远程控制等,新型DPI的协议特征识别库更为强大。新型DPI的协议识别特征库在应用时还可以结合其他外部知识库,使得分析更具目的性。比如通过结合全球IP地址库,实现对境外流量定APP、特定URL或者特定DNS请求流量的识别,分析其中可能存在的跨境网络攻击、安全威胁行为等。
2.2流量“白名单”
在网络流量识别时也同时应用“流量白名单”功能,该功能通过对网络访问流量规模的统计,对流量较大的、且已知无害的TOPN的应用特征进行提取,同时将这些特征标记为“流量白名单”。由于“流量白名单”中的应用往往对应较高的网络流量规模,在网络流量识别时,可以优先对流量进行“流量白名单”特征比对,比对成功则直接标记为“安全”。使用“流量白名单”技术,可以大大提高识别效率,将更多的分析和计算能力留给未知的、可疑的流量。流量白名单通常是域名形式,这就要求新型DPI技术能够支持域名类型的流量识别和过滤。随着https的广泛应用,也有很多流量较大的白名单网站采用https作为数据传输协议,新型DPI技术也必须能够支持https证书类型的流量识别和过滤。流量白名单库和协议识别特征库对网络流量的处理流程参考下图1:
3新型DPI技术中数据标准
安全态势感知系统在发展中,从各个厂商独立作战,到现在可以接入不同厂商的数据,实现多源数据的融合作战,离不开新型DPI技术中的数据标准化。为了保证各个厂商采集到的安全要素数据能够统一接入安全态势感知系统,各厂商通过制定行业数据标准,一方面行业内部的安全数据采集、数据理解达成一致,另一方面安全态势感知系统在和行业外部系统进行数据共享时,也能够提供和接入标准化的数据。新型DPI技术中的数据标准包括三个部分,第一个部分是控制指令部分,安全态势感知系统发送控制指令,新型DPI在接收到指令后,对采集的数据范围进行调整,实现数据采集的可视化、可定制化。同时不同的厂商基于同一套控制指令,也可以实现不同厂商设备之间指令操作的畅通无阻。第二个部分是安全要素数据部分,新型DPI在输出安全要素数据时,基于统一的数据标准,比如HTTP类型的数据,统一输出头域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常见头部和头部关键内容。对于DNS类型的数据,统一输出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通过定义数据描述文件,对输出字段顺序、字段说明进行描述。针对不同的协议数据,定义各自的数据输出标准。数据输出标准也可以从业务应用角度进行区分,比如针对网络攻击行为1定义该行为采集到安全要素数据的输出标准。第三个部分是内容组织标准,也就是需要定义安全要素数据以什么形式记录,如果是以文件形式记录,标准中就需要约定文件内容组织形式、文件命名标准等,以及为了便于文件传输,文件的压缩和加密标准等。安全态势感知系统中安全要素数据标准构成参考下图2:新型DPI技术的数据标准为安全态势领域各类网络攻击、异常监测等数据融合应用提供了基础支撑,为不同领域厂商之间数据互通互联、不同系统之间数据共享提供便利。
4新型DPI技术面临的挑战
目前互联网技术日新月异、各类网络应用层出不穷的背景下,新型DPI技术在安全要素采集时,需要从互联网流量中,将网络攻击、异常流量识别出来,这项工作难度越来越大。同时随着5G应用越来越广泛,万物互联离我们的生活越来越近,接入网络的终端类型也多种多样,针对不同类型终端的网络攻击也更为“个性化”。新型DPI技术需要从规模越来越大的互联网流量中,将网络安全相关的要素数据准确获取到仍然有很长的路要走。基于新型DPI技术,完成网络态势感知系统中的安全要素数据采集,实现从网络流量到数据的转化,这只是网络安全态势感知的第一步。网络安全态势感知系统还需要基于网络安全威胁评估实现从数据到信息、从信息到网络安全威胁情报的完整转化过程,对网络异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击和未知代码攻击等多种类型的网络安全威胁数据进行统计建模与评估,网络安全态势感知系统才能做到对攻击行为、网络系统异常等的及时发现与检测,实现全貌还原攻击事件、攻击者意图,客观评估攻击投入和防护效能,为威胁溯源提供必要的线索。
5结论
大数据安全标准化研究进展
国家信息安全标准化概述
物联网安全参考架构研究
无线网络的中间人攻击研究
国内外云计算安全标准研究
移动互联网信息安全标准综述
智慧校园一卡通系统安全研究
融合的世界需要安全模式的创新
美国网络威慑战略解析及启示
物理空间信息安全技术发展综述
可见光信息隐蔽传输与检测技术
基于大数据分析的APT防御方法
面向大数据安全的密码技术研究
数据安全重删系统与关键技术研究
恶意URL多层过滤检测模型策略研究
基于RI码计算的Word复制文档鉴别
无线通信调制信号的信息安全风险分析
恶意USB设备攻击与防护技术研究
大数据安全和隐私保护技术架构研究
面向网络搜索日志的方法研究
基于数字签名的QR码水印认证系统
大数据安全形势下电商的机遇与挑战
基于声信道的隐蔽信息传输关键技术
应急资源大数据云安全管理模式研究
渗透测试之信息搜集的研究与漏洞防范
一种新型的RSA密码体制模数分解算法
基于WinHex手机图片信息的恢复与取证
光纤通信的光信息获取及防护技术研究
基于Web日志的Webshell检测方法研究
国内外工业控制系统信息安全标准研究
智慧城市网络安全标准化研究及进展
智慧城市网络安全保障评价体系研究
一种基于安卓系统的手机侧抓包分析方法
大数据时代的网络舆情管理与引导研究
基于系统调用的恶意软件检测技术研究
安全通论——“非盲对抗”之“童趣游戏”
应对高级网络威胁建立新型网络防御系统
基于人工免疫的移动恶意代码检测模型
乌克兰电力系统遭受攻击事件综合分析
一种实时网络风险可视化技术研究及实现
电商大数据服务与监管时代的机遇与合作
更快、更高、更强:DT时代的信息安全挑战
信息设备电磁泄漏还原图像的文本识别研究
网络空间信息基础设施核心要素的自主之路
网络安全标准是“牛鼻子”促进标准实施应用
Windows7下USB存储设备接入痕迹的证据提取
基于大数据分析的电信基础网安全态势研究
此外,瑞星在2012年7月的信息安全报告显示,感染型病毒仍普遍存在于国内企业网络中,严重影响企业办公效率。同时,由员工网络操作不当造成的黑客入侵、商业机密泄露也威胁着企业的生存和发展。
B/S+C/S混合架构
随着企业不断壮大、业务量增加,企业网络环境也日渐复杂:终端多,增速快,分布在全国甚至在全球各地;企业内部存在大量异构网络,IT运维面临桌面终端无法可视化和可管理化的难题。
以往的安全解决方案多采用B/S或C/S单一架构。C/S架构的优点是容易开发,操作简单,但应用程序升级和客户端维护麻烦,运维工作量大。近年来,一线安全厂商出于便捷管理的需要,大都采用B/S架构,通过外部网络也可以对系统进行维护,并且能够降低了成本。但B/S架构难以做到实时性,IT人员下发的安全策略难以尽快部署完毕。瑞星安全专家唐威表示,这是因为B/S架构不能实现在网络上直接检测和接收指令。
单一的B/S或C/S架构都难以应对复杂的网络环境,满足用户的多样化需求。为此,瑞星近日了瑞星企业终端安全管理系统,创新性地采用B/S+C/S混合架构,以帮助企业应对复杂的网络环境。“混合架构的好处在于既容易操作,又具有灵活性、伸缩性和实时性。”唐威称,“瑞星企业终端安全管理系统的定位是平台化的系统,其设计理念是整合B/S和C/S架构的优势,在不打破用户习惯的前提下,根据用户的个性化需求,将公司的Web体系和OA系统整合,集成到行业管理平台中。”按照唐威的解释,该系统通过混合架构对企业网络进行一体化管理,并且可以实时部署安全策略。
混合架构之所以能实现复杂网络环境的安全管理,得益于瑞星的一项自主研发的核心技术——网络通信中间件。“如果使用第三方或开源的通信中间件,在可靠性方面会存在问题。瑞星自主开发使得效率提升和安全性都能得到保证。”瑞星研发部产品经理盛颖表示,IT人员部署安全策略之后很快就能得到反馈结果,这在很大程度上提升了用户体验。
内外网管理一体化
对于怎样完善内网安全策略,企业并没有一个明确的思路。企业甚至不知道该从哪里着手。企业已经意识到制定完善的安全策略的重要性,但是仍有疏漏。企业的网络安全建设落后,不同品牌和功能的信息安全设备被杂乱无章地堆叠在企业网络中,不但兼容性差,还容易造成企业网络拥堵,降低办公效率。对此,瑞星研发部产品经理盛颖在接受本报记者采访时表示:“内网安全解决方案已经不只是简单地做好内网安全,而是应该包括外网安全并向整个网络安全解决方案发展。安全厂商必须提供一揽子方案,而不是让用户自己拼凑出一个安全系统。”
瑞星企业终端安全管理系统分为管理和维护两大部分。在内网管理上,该系统囊括了内网安全管理、客户端行为审计、即时通信管理和审计、客户端漏洞扫描和补丁管理等功能。用户可以通过可视化界面对企业内网客户端的使用情况和网络访问情况进行全面的管理和审计。在内网和外网统一管理方面,该系统加入了IT资产管理功能,使管理员能够在全网范围内对软硬件的异常情况一览无遗。同时,为了应对不同规模和行业的用户对安全的差异化需求,瑞星企业终端安全管理系统采用模块化设计,企业可以根据自身情况定制相应功能模块,并且可以在瑞星在线商城购买和升级。
关键词:电子政务外网 安全管理平台 SOC 安全策略
一、前言
国家电子政务外网作为一个支持跨部门和地区业务应用、数据交换和信息共享的电子政务建设的新生事物,尽管其建设规模还不大,建设时间也不长,但在国家有关部门的指导和支持下,依靠各部委和各地的通力合作,它已经充分展现了一个创新性网络巨大的活力,开始得到了各部门和各地的重视和关注。目前,已有30多个部门的系统平台接入政务外网,例如国务院应急办国家应急平台外网系统、自然资源和地理空间基础数据库、文化部文化信息资源共享平台等一批关系国计民生的重要系统接入政务外网。从政务外网建设及应用情况来看,各部门对政务外网的需求是紧迫的,同时也对政务外网的安全性有了更高的要求。
二、国家电子政务外网安全管理平台概述
如何对国家电子政务外网的安全进行有效的管理,如何保证利用政务外网开展业务的应用系统的安全性,是对负责政务外网网络安全的人员管理能力的一种考验。传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理,这样导致安全信息分散、互不相通,安全策略难以保持一致。因此这种传统的管理运行方式成为许许多多安全隐患形成的根源,很难对国家电子政务外网进行统一的、有效的安全管理。
国家电子政务外网安全管理平台(Security Operation Center,SOC)为电子政务外网制定统一安全策略、统一安全标准,实现全网统一管理和监控,保障电子政务外网安全、稳定、高效地运行,实现政务外网基于安全的互联互通。国家电子政务外网安全管理平台实现了将不同位置、不同类型设备,不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出整个电子政务外网的全局安全风险事件,并形成统一的安全决策对安全事件进行响应和处理,从而保障电子政务业务应用系统的真实性、完整性和保密性。
三、国家电子政务外网安全管理平台框架
国家电子政务外网安全管理平台(SOC)的主要思想是采用多种安全产品的Agent和安全控制中心,最大化地利用技术手段,在统一安全策略的指导下,将系统中的各个安全部件协同起来,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,并且能够在多个安全部件协同的基础上实现实时监控、安全事件预警、报表处理、统计分析、应急响应等功能,使得网络安全管理工作由繁变简,更为有效。
国家电子政务外网安全管理平台(SOC)的体系架构具备适应性强(能够适用于不同省级节点接入网络和系统环境)、可扩充性强、集中化安全管理等优点,其框架体系主要是为了解决目前各类安全产品各自为阵、难以组成一个整体安全防御体系的问题。真正的整体安全是在一个整体的安全策略下,安全产品、安全管理、安全服务以及管理制度相互协调的基础上才能够实现。国家电子政务外网安全管理平台(SOC)框架如图1所示。
四、国家电子政务外网安全管理平台的主要功能
国家电子政务外网安全管理平台为系统管理员和用户提供对系统整体安全的监管,它在整个政务外网体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的国家电子政务外网应用体系紧密结合而实现无缝连接,以促成网络安全与国家电子政务外网应用的真正一体化。目前,国家电子政务外网安全管理平台基本实现了对国家电子政务外网中央城域网、广域网骨干网的主要网络设备、安全设备和网络承载的业务系统的安全事件的管理,并具备监控、预警、响应、审计追踪等功能。
图2描述了国家电子政务外网安全管理平台的功能框架。以下对其功能予以详细阐述。
⒈统一管理
政务外网安全管理平台(SOC)建立在安全设备部署的基础之上,主要围绕安全的预防、发现、反应环节搭建,实现了安全预警、集中监控、安全事件处理等更高层次的安全管理。这些建立在安全设备部署之上的安全管理包括:预防环节的安全预警信息通告,安全评估结果综合分析的安全信息库;发现环节的收集防火墙、入侵检测、日志系统、防病毒系统中的有关安全事件,呈现安全告警的集中安全监控系统;反应环节的以电子流的方式,进行安全事件处理流转,保存安全事件处理经验的安全事件运行系统。
政务外网安全管理平台(SOC)对各种安全产品的监控和管理,可以利用各个安全子系统中已有的信息采集和控制机制来实现,也可以采用直接与安全设备交互的方式进行,主要取决于各个安全子系统自身的构架以及提供的管理接口。
⒉安全事件实时监控与实时通报
网络安全工作的本质在于控制网络安全风险,风险管理是安全管理的核心。考察安全成本和安全威胁后果之间的关系,以可接受的成本来降低安全风险到可接受的水平。
国家电子政务外网上的各种安全设备和产品每天都要产生大量的各种安全事件。对这些事件的集中监视是控制网络风险、保证网络业务正常运行的重要手段。国家电子政务外网安全管理平台专注于整个政务外网安全相关事件的实时监控,收集并汇总重大安全事件的数据(如:大规模蠕虫事件,重大攻击事件等),进行关联性分析,全面提高对网络事件的快速反应能力;同时,将安全事件备份到后台的数据库中,以备查询和生成安全运行报告。
安全事件通报与业务系统、工作流紧密结合。国家电子政务外网安全管理平台在发现某政务外网业务系统内出现安全事件后,还将及时把这些安全事件通知各业务系统的管理员以便及时予以处理。
⒊全网统一安全策略
对于电子政务外网的安全运行维护,最具有挑战性的莫过于保持全网策略的一致性。尤其是对于日新月异的网络安全技术,需要经常性频繁应对出现的新漏洞,根据新的业务调整安全策略。
国家电子政务外网安全管理平台支持统一、集成的策略管理,包括策略的制定、分发和策略执行情况的检查。安全策略管理包括设备安全策略、事件响应策略和全局安全策略等。
统一安全策略管理制订全网的安全策略,这些策略文件可下发给各相关部门,通过直接(也可以手工)的方式进行配置落实。策略的管理能够通过全局策略的调整、业务的变化、各网管和部门反馈来的意见等情况,不断调整、优化安全策略。
⒋基于角色的安全事件可视化
国家电子政务外网安全管理平台提供统一的安全管理,并为不同级别和性质的管理员提供不同层次和性质的管理视图。由于电子政务外网内部网络系统是一个复杂的分布式大规模网络,因此核心层、分布层以及接入层的网络管理员具有不同的职责。系统不但能够提供运行核心层的管理员对所有安全系统宏观的管理视图,也能够为各地主要业务网络的管理员对自己管辖区域内的安全设备和安全系统部件进行区域自治管理,此外,还能够通过安全管理平台(SOC)对分布于整个网络的某个安全子系统,进行整体安全策略的发放和状态监测及管理。
安全管理平台(SOC)根据需要设置可视化条件,实时在全网拓扑图中显示最重要的多组事件,包括设备名称、事件定位、风险概况、脆弱性等信息(如图3所示)。
⒌安全事件关联分析
安全管理平台(SOC)要对各个不同安全设备(入侵检测、漏洞扫描、防火墙等)报告的安全信息进行集中的数据挖掘和分析,进行全局的相关性分析和报表显示,以发现低级安全事件相关联后表现出的高级安全事件,以及异常行为之间、漏洞和入侵之间的对应关系,便于对攻击的确认和安全策略的调整。国家电子政务外网安全管理平台目前支持基于规则的关联分析、基于统计的关联分析和基于漏洞的关联分析等3种形式。根据此关联分析的功能,结合国家电子政务外网的业务应用系统的事件特征,通过分析与制定安全域与业务安全控制策略和基于业务应用的流程异常监控,制定相关的特定关联分析规则,配合事件监控、拓扑管理及综合显示等方面的内容,从而实现国家电子政务外网业务安全监控及追踪功能的事件定位。
⒍宏观分析与安全决策支持
安全管理平台(SOC)应支持对各安全设备上报的所有安全数据进行宏观统计、分析和决策支持。宏观统计分析主要是在大量数据的基础上,对安全事件进行综合分析,比如将攻击信息和安全漏洞信息关联起来,产生详尽的安全报告,提供安全决策支持,强有力地支持全网安全事件的及时发现(检测)、准确定位(追踪)、尽快处理(应急响应)、进一步防范(预警)以及全网安全策略制定(策略)。国家电子政务外网运行维护管理员根据宏观分析提供的全局安全状况和安全态势信息,并结合电子政务外网的管理体系、人员管理规章制度、管理流程以及行政管理规定,为针对安全事件的处理决策提供支持。图4、图5展示了安全管理人员可以借助安全管理平台展示的全方位安全信息对政务外网的安全态势进行宏观把握,为决策提供支持。
⒎安全事件全局预警
对于像冲击波、红色代码等危害较大的网络蠕虫的较大规模入侵,从一个地区向另一地区渗透可能有一定的延时。在这段延时期间,安全管理平台(SOC)有义务将这种警报到尚未受攻击的区域中去,以起到提前布防的预警作用。
国家电子政务外网安全管理平台接到的报警如果符合提前设定的全局预警范围,则将其下发到非来源的省级政务网络中心,结合报警信息转发及上传的功能,实现这一报警事件下发到所有省级政务外网结点(如图6所示)。
⒏安全事件知识库
为了实现安全事件的集中收集、记录、审计和流程化处理(集中、分类、入库、处理),共享最新安全知识,保证国家电子政务外网安全人才的储备,安全管理平台(SOC)建立安全事件知识库。知识库将国家电子政务外网各级安全管理平台的安全管理信息收集起来,为国家电子政务外网各级安全维护人员形成统一的安全共享知识库,以完成安全信息管理和WEB,主要实现安全管理信息、安全事件库、安全策略配置库、安全技术信息交流、处置预案库、补丁库、安全知识库等栏目的信息管理和浏览。安全管理员可以通过安全知识库的辅助工具学习,了解相关知识,辅助进行运维工作。图7是一个安全知识库的截屏。
五、国家电子政务外网安全管理平台的部署
根据国家电子政务外网安全管理平台的组成,政务外网安全管理平台最终建成分层分级结构:顶级为国家级安全管理平台,第二级为省部级安全管理平台,第三级为县市级安全管理平台。各级网络安全管理中心负责对本级电子政务外网实施安全监控和集中管理。上级网络安全管理中心可对下级网络安全管理中心进行统一安全策略、运行状态监控、安全信息收集等操作。下级网络安全管理中心可接受上级网络安全管理中心的安全预警信息。国家电子政务外网安全管理平台整体部署如图8所示。
在部署政务外网各级安全管理平台过程中,涉及两类下级安全管理平台:一是新建的安全管理平台,另一类是已建的安全管理平台。对于新建的安全管理平台在接入上级安全管理平台时将在统一设计、统一标准、统一技术规范、统一部署的原则下进行建设,与上级安全管理平台实现平滑和无缝对接。
部分电子政务建设比较好的省市,可能已建成安全管理平台。在这种情况下,由于早期建设的安全管理平台没有统一的标准和规范,在管理对象、管理方式、协议支持等方面不尽相同,所以此类安全管理平台不能直接与国家级安全管理平台进行对接。因此需要针对不同的安全管理平台进行调研和分析,本着最小改造的原则,为其增加设备,通过机制实现其与上级安全管理平台的对接。
六、总结
目前,国家电子政务外网中央安全管理平台的建设已基本建设完毕。通过几个月的建设工作,安全管理平台的实施为国家电子政务外网的安全运转提供了良好的保障。首先,国家电子政务外网安全管理平台提升了信息安全事件的处理水平。因为大量的安全事件通过安全管理平台的过滤、归并和排序后,降低到一个人工能够处理的数量级。另外,安全管理平台(SOC)自带的专家知识库能够帮助平台管理员正确地处理事件,减低了安全技术的门槛,为运维人员提供了有力的技术支持。其次,国家电子政务外网安全管理平台提供了良好的可视化技术,用图形化的方法向管理员展示了整个国家电子政务外网的安全整体状况,便于管理员从宏观上对全网的安全态势进行整体把握。
综上所述,国家电子政务外网安全管理平台的实施是针对政务网络系统传统管理方式的一种重大变革。它结合政务网络自身的特点,将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出全局角度的安全态势,并形成统一的安全决策对安全事件进行响应和处理。
作者简介:
郭红,女,1966年生,汉族,北京人,高级工程师,国家信息中心网络安全部处长,研究方向:网络安全。
王勇,男,1977年生,汉族,山东鄄城人,国家信息中心网络安全部工程师,研究方向:网络安全。
关键词:大数据;计算机;网络安全
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2017)01-0218-01
1 大数据的发展
大数据就是互联网发展到现今阶段的一种表象或特征而已,在以云计算为代表的技术创新大幕的衬托下,这些原本看起来很难收集和使用的数据开始容易被利用起来了,通过各行各业的不断创新,大数据会逐步为人类创造更多的价值。
大数据是对于传统数据处理应用程序不足以处理它们的大型或复杂数据集的术语。挑战包括分析,捕获,数据整理,搜索,共享,存储,传输,可视化,查询,更新和信息隐私。术语“大数据”通常仅指预测分析,用户行为分析或某些其他高级数据分析方法的使用,这些方法从数据中提取价值,很少涉及特定大小的数据集。现在可用的数据量确实很大,但这不是这个新数据生态系统最相关的特征。数据集分析可以发现新的关联,现货业务趋势,预防疾病,打击犯罪等。科学家,企业高管,医学从业者,广告和政府都定期在大型数据集中在互联网搜索,金融,城市信息学和商业信息学等领域遇到困难。科学家在电子科学工作中遇到限制,包括气象学,基因组学,连通学,复杂物理模拟,生物学和环境研究数据集迅速增长,部分是因为它们越来越多地由便宜且众多的信息感测移动设备,天线(遥感),软件日志,摄像机,克风,射频识别(RFID)读取器和无线传感器网络收集。
2 信息安全概述
信息安全有时称为计算机安全,信息技术安全是信息安全应用于技术(最常见的是某种形式的计算机系统)。值得注意的是,计算机不一定意味着家庭桌面。计算机是具有处理器和一些存储器的任何设备。这样的设备可以从简单为计算器的非网络独立设备到诸如智能手机和平板计算机的联网移动计算设备。由于大型企业中的数据的性质和价值,信息安全专家几乎总是在任何大型企业/机构中找到。他们负责保护公司内的所有技术免受恶意网络攻击的威胁,这些攻击通常试图突破关键的私人信息或获得内部系统的控制权。信息保证提供信息的信任,不违反信息的保密性,完整性和可用性(CIA)的行为。例如,确保在出现关键问题时数据不会丢失。这些问题包括但不限于:自然灾害,计算机/服务器故障或物理盗窃。由于大多数信息存储在我们现代时代的计算机上,信息保证通常由信息安全专家处理。提供信息保证的常见方法是在出现上述问题之一的情况下对数据进行异地备份。
3 大数据背景下的信息安全
在这个快速发展的智能硬件时代,困扰应用开发者的一个重要问题就是如何在功率、覆盖范围、传输速率和成本之间找到那个微妙的平衡点。企业组织利用相关数据和分析可以帮助它们降低成本、提高效率、开发新产品、做出更明智的业务决策等等,需要通过结合大数据和高性能的分析。大数据背景下的信息安全威胁有许多不同的形式,目前最常见的一些威胁是软件攻击,盗窃知识产权,身份窃取,设备或信息盗窃,破坏和信息勒索。大多数人都经历过某种类型的软件攻击。病毒,蠕虫,网络钓鱼攻击和特洛伊木马是软件攻击的几个常见例子。盗窃知识产权对于IT领域的许多企业来说也是一个广泛的问题。身份窃取是企图作为别人通常获取该人的个人信息或利用他们获取重要信息的行为。由于今天的大多数设备是移动的,设备或信息的偷窃正变得越来越普遍。手机易于被盗,并且随着数据容量的增加也变得更加理想。破坏通常包括破坏组织的网站,以试图导致客户失去信心。信息勒索包括盗窃公司的财产或信息,以试图接收付款,以交换将信息或财产返还给其所有者(如勒索软件)。有许多方法可以帮助保护自己免受这些攻击,但最有用的预防措施之一是用户的谨慎。关系数据库管理系统和桌面统计以及可视化包常常难以处理大数据。工作可能需要“在数十,数百甚至数千台服务器上运行的大规模并行软件”。什么是“大数据”,取决于用户及其工具的功能,并且扩展功能使大数据成为一个移动的目标。对于一些组织来说,第一次面对数百GB的数据可能需要重新考虑数据管理选项,而对于其他组织,在数据大小成为一个重要考虑因素之前,可能需要几十或几百TB的数据。随着大数据的快速发展,就像计算机和互联网一样,大数据很有可能是新一轮的技术革命。随之兴起的数据挖掘、机器学习和人工智能等相关技术,可能会改变数据世界里的很多算法和基础理论,实现科学技术上的突破,数据共享将扩展到企业层面,并且成为未来产业的核心一环。
参考文献
[1]李玉辉.信息安全新形式下的信息安全运维管理研究[J].网络安全技术与应用,2016(11).
[2]陈立权.网络与信息安全技术在税务系统中的应用[J].网络安全技术与应用,2016(11).
2月17日,本报曾报道了马年春节前夕全国通用顶级域的根服务器出现异常,导致国内大部分用户无法正确解析域名从而无法访问互联网的事件,并呼吁各界重视并加强对DNS这一互联网访问“入口”的安全保障。3月4日,自动化网络控制厂商Infoblox就在北京了高级DNS防护(Advanced DNS Protection)解决方案。
事实上,这是Infoblox继DNS防火墙之后,推出的第二款网络安全产品。一个自动化网络控制厂商为什么开始涉足安全领域?用Infoblox大中华区售前经理邱迪的话说,之所以推出DNS防护解决方案或者说带有安全防护功能的DNS产品,正是因为Infoblox注意到网络安全威胁日益严重,注意到未来集成安全功能的网络设备的市场需求。
“这是首款集成防御分布式拒绝服务(DDoS)攻击、缓存毒害、异常查询、隧道技术和其他DNS安全威胁的域名系统(DNS)设备。Infoblox解决方案将防御功能直接加入到强化的DNS服务器中,可实现比当今独立的外部安全解决方案更强劲、更智能、更全面的保护。”邱迪告诉记者,Infoblox的高级DNS防护解决方案可提供多级防御,包括独特的威胁检测与削减能力、集中可见性与透明度、持续防护不断进化的威胁等。
据介绍,Infoblox Advanced DNS Protection可以智能分析进站DNS查询,并可将真实用户的合法流量与DNS DDoS攻击产生的恶意流量区分开来。通过这些信息,Infoblox设备就会抛弃DDoS攻击流量,只对合法查询做出响应。这样就能在DDoS攻击时保持业务的持续在线运营,而传统的响应率限制方法只是简单地限制DNS查询响应数量,导致所有流量变慢。
毫无疑问,智能与可视化是网络与安全产品的发展趋势。通过Infoblox的高级DNS防护解决方案,企业和服务供应商可以通过一个独立的控制界面发现其网络上所有流经Infoblox Advanced DNS Protection设备的异常DNS流量,及早检测和发现威胁则意味着更为有效的防御。“这一点对于DNS的安全防护非常重要,这是因为DDoS攻击通常会瞄准多台DNS服务器,攻击开始时进行缓慢,而在通常情况下只有达到灾难级别时攻击才会被检测到。”邱迪说。
此外,邱迪表示,Infoblox的自动更新服务会定期向Advanced DNS Protection设备发送新规则,而传统安全修复与更新则需要等待数周时间。Infoblox Advanced DNS Protection可防御大范围的DNS威胁,包括将恶意IP地址DNS缓存的缓存毒害;破坏DNS服务器的异常DNS查询,以及用于盗取数据的隧道技术。
当然,Infoblox Advanced DNS Protection的优势还在于它可以完全集成到Infoblox网格(Grid)中。“Infoblox网格是Infoblox网络集中管理的基础,如果需要增加安全机制,用户只需要将设备增加到网格中或替换掉网格中原有的设备即可。基于网格技术,用户可以做到以前的解决方案和新的方案完全融合在一起。”邱迪告诉记者。
“内置安全优于外接安全。通过智能地将安全功能直接集成到DNS设备中,Infoblox Advanced DNS Protection实现了更强劲更具洞察力的深层次DNS攻击防御,其效果远远优于依靠一堆杂乱的独立设备和服务。”Infoblox产品战略兼企业发展执行副总裁Steve Nye表示。
CheckPoint是全球首屈一指的互联网安全解决方案供货商,致力于保护互联网通信及重要数据的安全、提高其可靠性及可用性。CheckPoint提供全方位的安全解决方案,包括从企业网络到移动设备的安全保护,以及最全面和可视化的安全管理方案,为各界客户提供业界领先的解决方案,以抵御各种恶意软件和威胁。CheckPoint以FireWall获得专利的状态检测技术(Stateful inspection)发明而成为IT安全行业的先驱。目前状态检测技术仍是大多数网络安全技术的基础。作为IT安全行业的领军企业,CheckPoint已经超越了传统的被动防御模式,主动监管网络安全事件状态。
推出移动威胁防御解决方案
近年来,自带设备办公(BYOD)渐成风潮,企业需要管理和减轻自带设备的风险,并保护员工和企业资产不受移动网络攻击。为了让企业自如应对复杂的移动威胁环境,CheckPoint于2015年推出移动威胁防御解决方案。该解决方案可以阻止苹果iOS 和安卓操作系统上的移动威胁,并可为现有的安全和移动架构添加实时威胁情报和可视性。CheckPoint移动威胁防御解决方案具有很高的移动威胁捕获率,可检测设备、应用和网络层面的威胁,此外还可以提供透明的用户体验,并允许即时检测和清除移动威胁,让用户可以保持安全连接,无需妥协。
打造CPU级别威胁防御功能
2015年初,CheckPoint宣布收购Hyperwise。Hyperwise成立于2013年,总部位于以色列特拉维夫市,是一家隐身模式技术的私有公司。CheckPoint通过本次收购获得了先进的技术和由业界领先的工程师组成的高级技术团队,大大提高了其威胁仿真恶意软件的捕获率。
Hyperwise发明了一种独特的、尖端的CPU级别威胁防御引擎,可在感染之前消除威胁攻击,从而实现了一个更高的威胁捕获率,可大大提升用户预防攻击的能力。目前传统的威胁防御方法要等到恶意软件已经激活后,才能删除或者阻止它,这就导致攻击初始阶段的威胁缺口无法解决。通过收购Hyperwise,CheckPoint可加强对感染之前的威胁检测,从而弥补了这个缺口。CheckPoint 董事长兼首席执行官Gil Shwed表示,“安全技术创新必须走在威胁创新之前。对Hyperwise的收购为CheckPoint带来了重要的技术和专家团队,将会增强我们在威胁防御领域的领导地位。把下一代OS和CPU水平威胁保护与我们威胁仿真解决方案整合,CheckPoint将支持客户网络防护策略在攻击萌芽阶段即识别和阻止威胁”。
快速确保文档安全
面对网络攻击,对很多企业来说,文档依旧是引起感染的主要风险之一。根据CheckPoint的2014年安全报告,84%的公司曾在2013年下载过受感染的文档。所以企业必须加强安全保护,防范此类攻击。通过采用已知的安全元素重建文档,先发制人消除威胁是完整保护文档安全的重要途径。激活式内容、嵌入式对象和其他可利用的内容被同时提取,重建后的文档不再含有潜在威胁,所以可确保内容100%安全。2015年,CheckPoint全新安全解决方案“CheckPoint 威胁净化”, 能够以最快速度确保邮递到网络的文档不含有恶意软件。CheckPoint产品部副总裁DoritDor表示,“传统的保护文档不受感染的方法是查找然后隔离恶意软件,这已不能提供绝对的保护。企业需要一种方法可以先发制人,一次性消除恶意软件威胁。通过‘CheckPoint 威胁净化’,企业可使用全新的技术保护自身网络,确保文档100%安全。”
