導(dǎo)語(yǔ)：如何才能寫好一篇網(wǎng)絡(luò)安全可視化，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：云計(jì)算；電子政務(wù)；網(wǎng)絡(luò)安全；可視化；云平臺(tái)；風(fēng)險(xiǎn)分析；安全特性

引言

電子政務(wù)自出現(xiàn)以來(lái)就得到了我國(guó)政府的高度重視，隨著這些年的蓬勃發(fā)展其已經(jīng)被廣泛應(yīng)用到了我國(guó)經(jīng)濟(jì)發(fā)展的方方面面，為我國(guó)各級(jí)政府穩(wěn)定運(yùn)轉(zhuǎn)和高效管理做出了重大的貢獻(xiàn)。我國(guó)社會(huì)生產(chǎn)正在向著信息化的方向發(fā)展，在這樣的背景下電子政務(wù)也已經(jīng)不再是傳統(tǒng)的辦公工具，其正在我國(guó)進(jìn)行各項(xiàng)重大改革、執(zhí)行關(guān)鍵決策的過(guò)程中扮演著不可或缺的角色，極大提升了我國(guó)各級(jí)政府的治理能力。當(dāng)前我國(guó)電子政務(wù)的主要發(fā)展方向就是同云計(jì)算技術(shù)相結(jié)合，這也大大改變了電子政務(wù)傳統(tǒng)的建設(shè)模式，電子政務(wù)網(wǎng)絡(luò)也逐漸轉(zhuǎn)化為政務(wù)云，這不僅提升了我國(guó)電子政務(wù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的使用效率，還是我國(guó)電子政務(wù)集約化和可持續(xù)發(fā)展的可靠保障，有效緩解了我國(guó)各級(jí)政府存在的信息共享不足和各自為政的問(wèn)題，真正實(shí)現(xiàn)了政務(wù)資源整合共享，增強(qiáng)了政府的管理能力。云計(jì)算是推動(dòng)信息技術(shù)能力實(shí)現(xiàn)按需供給、促進(jìn)信息技術(shù)和數(shù)據(jù)資源充分利用的全新業(yè)態(tài)，是信息化發(fā)展的重大變革和必然趨勢(shì)。隨著智慧政務(wù)各種應(yīng)用的不斷落地，各級(jí)政務(wù)部門開(kāi)發(fā)的應(yīng)用系統(tǒng)越來(lái)越多，大都通過(guò)集約化部署的方式集中部署在電子政務(wù)云平臺(tái)上。但是在這種模式下電子政務(wù)網(wǎng)絡(luò)中將會(huì)存儲(chǔ)巨大的數(shù)據(jù)和信息，這就成為了許多不法黑客的主要攻擊目標(biāo)，尤其是在電子政務(wù)網(wǎng)絡(luò)中引入了云技術(shù)之后，一旦電子政務(wù)網(wǎng)絡(luò)受到了黑客攻擊并且出現(xiàn)了各種問(wèn)題不能正常運(yùn)行，將會(huì)造成數(shù)據(jù)和信息的泄露，最終將導(dǎo)致巨大的經(jīng)濟(jì)損失。

1對(duì)政務(wù)云所面臨安全風(fēng)險(xiǎn)的簡(jiǎn)要分析

1.1平臺(tái)建設(shè)優(yōu)先，災(zāi)備保護(hù)不足

兩級(jí)政務(wù)云平臺(tái)建設(shè)發(fā)展速度較快，受到電子政務(wù)“十二五”規(guī)劃綱要、信息共享等相關(guān)政策的影響，各省市開(kāi)始整合現(xiàn)有的軟硬件資源，構(gòu)建電子政務(wù)公共平臺(tái)，并投入大量資金進(jìn)行設(shè)備購(gòu)買，兩級(jí)政務(wù)云環(huán)境基本形成。但另一方面可以看到，云平臺(tái)的災(zāi)備建設(shè)還剛剛起步，大量的政務(wù)云系統(tǒng)缺乏統(tǒng)一的災(zāi)備規(guī)劃、管控，部署數(shù)據(jù)容災(zāi)方式還停留在較為原始的技術(shù)水平，缺乏有效的異地備份、分級(jí)備份方式和統(tǒng)一管控的手段。特別是業(yè)務(wù)集中上云以后，對(duì)業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全可靠性保障提出了更高要求?，F(xiàn)有的災(zāi)備模式和代表政務(wù)公眾形象的政務(wù)云低RTO、低RPO要求不相匹配。

1.2業(yè)務(wù)發(fā)展速度加快，傳統(tǒng)規(guī)模估算模式略顯吃力

在兩級(jí)政務(wù)云建設(shè)模式下，業(yè)務(wù)系統(tǒng)建設(shè)逐步加速，“橫”、“縱”兩個(gè)維度的需求催生了政務(wù)云系統(tǒng)快速發(fā)展和擴(kuò)張：協(xié)同辦公、并聯(lián)審批、信用平臺(tái)、資源交易平臺(tái)等橫向建設(shè)的業(yè)務(wù)系統(tǒng)，一般由經(jīng)信委、發(fā)改委牽頭建設(shè)，業(yè)務(wù)建設(shè)由國(guó)家發(fā)文，省級(jí)單位統(tǒng)一規(guī)劃建設(shè)；工商管理系統(tǒng)、交管綜合系統(tǒng)、房管信息系統(tǒng)等涉及到部門專項(xiàng)業(yè)務(wù)的縱向業(yè)務(wù)系統(tǒng)，一般由部委牽頭統(tǒng)一建設(shè)。業(yè)務(wù)建設(shè)由國(guó)家、部委發(fā)文，部委、省廳統(tǒng)一規(guī)劃建設(shè)。

1.3政務(wù)云建設(shè)發(fā)展不均衡風(fēng)險(xiǎn)

政務(wù)云建設(shè)發(fā)展水平不均，落后地區(qū)建設(shè)預(yù)算不足，運(yùn)維保障能力弱對(duì)于東部沿海地區(qū)省份、以及省會(huì)等區(qū)域中心城市，由于建設(shè)資金雄厚，政務(wù)云系統(tǒng)建設(shè)整體進(jìn)展較快，設(shè)備資源較為充裕，運(yùn)維水平較高；而對(duì)于欠發(fā)達(dá)地區(qū)，例如一些省份中的落后地區(qū)，當(dāng)?shù)刎?cái)政預(yù)算不夠充裕，又或者是垂直部委下轄的欠發(fā)達(dá)省份，建設(shè)資金無(wú)法滿足建設(shè)需求，而與之而來(lái)的運(yùn)維保障能力較弱，也成為了政務(wù)云建設(shè)中的短板。

1.4自建政務(wù)云與購(gòu)買云服務(wù)關(guān)系有待協(xié)調(diào)

很多省市開(kāi)始采用運(yùn)營(yíng)商、集成商為政府專門建設(shè)的云服務(wù)，其中有很多政府部門既有自建政務(wù)云平臺(tái)，又有采購(gòu)第三方云服務(wù)，兩個(gè)平臺(tái)之間使用、管理關(guān)系未統(tǒng)一，導(dǎo)致使用及管理復(fù)雜。

2對(duì)云計(jì)算的電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)規(guī)避策略的簡(jiǎn)要分析

2.1加大資源貢獻(xiàn)力度

全局資源共享，提供跨域云資源服務(wù)，有效解決地市政務(wù)云暫時(shí)性資源緊缺的問(wèn)題當(dāng)?shù)厥杏袠I(yè)務(wù)上線需求，但苦于平臺(tái)建設(shè)進(jìn)度無(wú)法跟上、沒(méi)有充足資源匹配的情況，可向省級(jí)云租借空閑的資源使用，市級(jí)云管理員可以向管理自有市級(jí)云資源一樣，統(tǒng)一管理租借來(lái)的云資源，實(shí)現(xiàn)了業(yè)務(wù)系統(tǒng)跨云自動(dòng)部署、遷移、彈性伸縮，使資源充分利用，讓資源在省內(nèi)按需流動(dòng)。

2.2省市兩級(jí)云運(yùn)維服務(wù)流程與規(guī)范統(tǒng)一

在兩級(jí)政務(wù)云框架下，省內(nèi)發(fā)達(dá)和落后地區(qū)的政務(wù)云資源由省級(jí)平臺(tái)通過(guò)集中管理系統(tǒng)進(jìn)行統(tǒng)一管理，縱向?qū)崿F(xiàn)兩級(jí)云分級(jí)、分權(quán)、分域管理，使全省運(yùn)維標(biāo)準(zhǔn)統(tǒng)一，解決了各地市電子政務(wù)運(yùn)維隊(duì)伍差異大，運(yùn)維水平不均衡的問(wèn)題。

2.3加大災(zāi)備統(tǒng)一管理的力度

統(tǒng)一災(zāi)備服務(wù)，有效解決災(zāi)備系統(tǒng)選點(diǎn)難、投資大、管理復(fù)雜的難題在省級(jí)云建設(shè)統(tǒng)一的政務(wù)云災(zāi)備中心，為省、市兩級(jí)各政務(wù)云站點(diǎn)提供統(tǒng)一災(zāi)備服務(wù)，可快速提高全省政務(wù)云系統(tǒng)和數(shù)據(jù)的可靠性和連續(xù)性問(wèn)題，整體減低建設(shè)、投資及管理的復(fù)雜度及成本。

3結(jié)束語(yǔ)

電子政務(wù)網(wǎng)絡(luò)不僅提升了我國(guó)電子政務(wù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的使用效率，還是我國(guó)電子政務(wù)集約化和可持續(xù)發(fā)展的可靠保障，有效緩解了我國(guó)各級(jí)政府存在的信息共享不足和各自為政的問(wèn)題，真正實(shí)現(xiàn)了政務(wù)資源整合共享，增強(qiáng)了政府的管理能力。

參考文獻(xiàn)

[1]吳為,張博涵,任海清,王曉云.2018年底前河北建設(shè)政府統(tǒng)一數(shù)據(jù)開(kāi)放平臺(tái)[J].計(jì)算機(jī)與網(wǎng)絡(luò).2017(04).

篇2

關(guān)鍵詞：病毒；系統(tǒng)還原；網(wǎng)絡(luò)安全

1網(wǎng)絡(luò)病毒特點(diǎn)及應(yīng)對(duì)

病毒通過(guò)網(wǎng)絡(luò)侵入電腦，受感染的電腦運(yùn)行速度下降，系統(tǒng)資源被破壞，無(wú)法響應(yīng)用戶的正常指令，網(wǎng)絡(luò)無(wú)法使用。防治網(wǎng)絡(luò)病毒一舉成為網(wǎng)絡(luò)領(lǐng)域重點(diǎn)研究課題。

網(wǎng)絡(luò)上病毒的傳播及傳染方式相對(duì)復(fù)雜：感染終端一服務(wù)器硬件資源一服務(wù)器硬盤共享資源一其他終端設(shè)備。電腦病毒在網(wǎng)絡(luò)環(huán)境下所展現(xiàn)出的一些新特點(diǎn)，如表1所示。

2校園網(wǎng)絡(luò)中的總體防毒措施

計(jì)算機(jī)間的通信就像人們走親訪友一般，從一個(gè)門進(jìn)入另一個(gè)門，而網(wǎng)絡(luò)病毒也會(huì)想方設(shè)法地跟著偷偷溜進(jìn)來(lái)。網(wǎng)絡(luò)安全體系的建立不僅僅需要病毒防范技術(shù)，還需要遵守管理制度，出臺(tái)法律約束，并加強(qiáng)個(gè)人的安全防范意識(shí)和防毒技能，也可以用下面的式子表述：

信息安全體系=法律+意識(shí)+技術(shù)+管理+技能

用戶對(duì)病毒的防范技術(shù)的掌握是有效防范病毒入侵的必要手段。病毒防范的一些基礎(chǔ)技能是每個(gè)網(wǎng)內(nèi)用戶必須掌握的，如殺毒軟件的基本功能的使用，某些典型病毒的防范技巧等，也可以請(qǐng)專業(yè)的反病毒公司進(jìn)行指導(dǎo)。如果每一個(gè)用戶都是一個(gè)防毒查毒殺毒能手的話，團(tuán)結(jié)起來(lái)便會(huì)成為有巨大力量的天網(wǎng)，那么病毒將無(wú)處藏身，無(wú)路可退，最終無(wú)法生存。

應(yīng)通過(guò)對(duì)網(wǎng)絡(luò)端口類型分析、端口狀態(tài)分析、關(guān)閉不必要的端口等網(wǎng)絡(luò)自身的防毒措施對(duì)病毒進(jìn)行抵御。在網(wǎng)絡(luò)本身所具備的防病毒體系和防火墻技術(shù)、虛擬局域網(wǎng)技術(shù)對(duì)網(wǎng)絡(luò)病毒的制約的基礎(chǔ)之上，校園網(wǎng)內(nèi)還應(yīng)提供卡巴斯基等強(qiáng)力殺毒軟件對(duì)病毒進(jìn)行查殺。

某學(xué)院教學(xué)樓網(wǎng)絡(luò)中心機(jī)房結(jié)構(gòu)如圖1所示。

網(wǎng)絡(luò)病毒及木馬對(duì)校園網(wǎng)和終端的傷害是特別大的。曾幾何時(shí)，熊貓燒香肆虐著局域網(wǎng)內(nèi)的所有終端設(shè)備，ARP病毒也曾經(jīng)困擾很多高校機(jī)房。一旦感染此類病毒，老師無(wú)法正常教學(xué)，學(xué)生無(wú)法正常練習(xí)，行政人員無(wú)法使用正常的網(wǎng)絡(luò)辦公，所以防治局域網(wǎng)內(nèi)的病毒就成為第一個(gè)要抓的重點(diǎn)。剛才提到的行政辦公人員和使用教學(xué)設(shè)備的學(xué)生、老師是校園網(wǎng)中最主要的使用者。行政人員的設(shè)備終端包括計(jì)算機(jī)和手機(jī)設(shè)備，多通過(guò)各自辦公室的路由器連接到樓層交換機(jī)上，因?yàn)橛芯W(wǎng)絡(luò)防火墻的保護(hù)，辦公室內(nèi)部的病毒傳播有限，防治的方法也很簡(jiǎn)單，只要在終端安裝可靠的防火墻和殺毒軟件即可。而使用教學(xué)設(shè)備的老師和學(xué)生則更加難以控制，終端病毒需要特別防范，不同WLANT的病毒傳播也不得不防，所以要維持校園網(wǎng)絡(luò)暢通真的是困難重重。

對(duì)于教學(xué)人群密集的教學(xué)樓內(nèi)的計(jì)算機(jī)設(shè)備，需通過(guò)2種截然不同的方式防范病毒的傳播和入侵。首先，對(duì)購(gòu)置年限較長(zhǎng)的計(jì)算機(jī)實(shí)行無(wú)硬盤化管理，也就是無(wú)盤工作站模式，由千兆線連接交換機(jī)及服務(wù)器，由服務(wù)器實(shí)現(xiàn)對(duì)軟件的安裝、維護(hù)和升級(jí)，只要局域網(wǎng)絡(luò)暢通，服務(wù)器沒(méi)有斷電，所有無(wú)盤工作站都會(huì)正常有序地運(yùn)行。當(dāng)然，防毒也只限于服務(wù)器了。其次，對(duì)購(gòu)置年限較短的計(jì)算機(jī)實(shí)行還原保護(hù)管理，也就是安裝保護(hù)卡，給所有入網(wǎng)的教學(xué)設(shè)備安裝了保護(hù)卡，由千兆線連接交換機(jī)，對(duì)所有硬盤區(qū)域進(jìn)行細(xì)致分析，多系統(tǒng)劃分，多功能劃分，開(kāi)機(jī)還原，具體化安排課表，完全控制學(xué)生機(jī)合理操作。從根本上保證系統(tǒng)的純凈，杜絕病毒和木馬，給老師和學(xué)生創(chuàng)造了一個(gè)良好的學(xué)習(xí)環(huán)境。

3機(jī)房及各系部辦公室客戶端的安全細(xì)化設(shè)計(jì)

在客戶終端上必須安裝一些應(yīng)用軟件保證和維護(hù)校園辦公和教務(wù)的正常進(jìn)行。

（1）系統(tǒng)殺毒。正版的卡巴斯基殺毒軟件，由于升級(jí)繁瑣、兼容性差和對(duì)硬件要求高，很難普及。360安全防護(hù)系統(tǒng)可以很好地補(bǔ)充漏洞，它能查殺木馬，管理插件和軟件，清理系統(tǒng)垃圾，手機(jī)管理，修復(fù)被棄管的XP漏洞等。同時(shí)提供系統(tǒng)實(shí)時(shí)保護(hù)，全方位捍衛(wèi)用戶系統(tǒng)。另外，還有配套的360殺毒軟件，結(jié)合起來(lái)一起使用，效果也是很好的。如今多數(shù)學(xué)校的大部分系統(tǒng)都使用360安全衛(wèi)士及配套殺毒軟件。

篇3

關(guān)鍵詞：惡意移動(dòng)代碼；蜜罐技術(shù)；監(jiān)測(cè)；數(shù)據(jù)采集

中圖分類號(hào)：TP309.5文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-7800（2012）010-0160-02

基金項(xiàng)目：河南省教育科學(xué)“十一五”規(guī)劃2009年項(xiàng)目（2009-JKGHAG-0321）

作者簡(jiǎn)介：王樂(lè)樂(lè)（1985-），女，中國(guó)人民信息工程大學(xué)信息工程學(xué)院碩士研究生，研究方向?yàn)榫W(wǎng)絡(luò)安全；邢穎（1985-），女，中原工學(xué)院軟件學(xué)院助教，研究方向?yàn)榫W(wǎng)格計(jì)算與云計(jì)算。

0引言

惡意移動(dòng)代碼（MaliciousMobileCode-MMC）是指在計(jì)算機(jī)之間以及網(wǎng)絡(luò)之間移動(dòng)的任何程序代碼，這些代碼未經(jīng)任何允許和授權(quán)，有意對(duì)計(jì)算機(jī)系統(tǒng)內(nèi)容進(jìn)行篡改，從而達(dá)到破壞計(jì)算機(jī)數(shù)據(jù)完整性以及降低網(wǎng)絡(luò)運(yùn)行可用性的目的。惡意移動(dòng)代碼包括計(jì)算機(jī)病毒、木馬、蠕蟲(chóng)、惡意腳本以及流氓軟件等。惡意移動(dòng)代碼具有自我復(fù)制和自我傳播特性，主要表現(xiàn)為：用戶機(jī)密信息受到威脅、造成骨干網(wǎng)或局域網(wǎng)阻塞、網(wǎng)絡(luò)服務(wù)中斷、僵尸網(wǎng)絡(luò)（Botnet）等，嚴(yán)重威脅著Internet網(wǎng)絡(luò)安全。蜜罐技術(shù)可通過(guò)模擬服務(wù)來(lái)獲取入侵事件的具體信息，已成為目前網(wǎng)絡(luò)安全領(lǐng)域的新興技術(shù)，本文提出的基于蜜罐技術(shù)的惡意移動(dòng)代碼掃描監(jiān)測(cè)模型能有效對(duì)網(wǎng)絡(luò)中惡意移動(dòng)代碼進(jìn)行監(jiān)測(cè)，及早、有效地發(fā)現(xiàn)面臨的威脅，保護(hù)網(wǎng)絡(luò)與主機(jī)安全。

1常用網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)

為了減少網(wǎng)絡(luò)惡意侵害行為對(duì)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施以及主要應(yīng)用系統(tǒng)的危害，必須對(duì)相關(guān)網(wǎng)絡(luò)威脅進(jìn)行監(jiān)測(cè)和追蹤。目前，監(jiān)測(cè)方式主要分為兩類：主機(jī)監(jiān)測(cè)和網(wǎng)絡(luò)監(jiān)測(cè)。主機(jī)監(jiān)測(cè)是指在用戶主機(jī)上安裝反病毒軟件和基于主機(jī)的入侵檢測(cè)軟件，對(duì)入侵主機(jī)的已知惡意代碼進(jìn)行檢測(cè)和告警。網(wǎng)絡(luò)監(jiān)測(cè)方式中，常用技術(shù)是在活動(dòng)（active）網(wǎng)絡(luò)中被動(dòng)監(jiān)聽(tīng)網(wǎng)絡(luò)流量，利用檢測(cè)算法識(shí)別網(wǎng)絡(luò)入侵行為。雖然監(jiān)測(cè)活動(dòng)網(wǎng)絡(luò)擴(kuò)大了監(jiān)測(cè)范圍，但是如何區(qū)分活動(dòng)網(wǎng)絡(luò)中的“善意”和惡意流量卻變得非常困難，導(dǎo)致檢測(cè)結(jié)果中存在大量虛警；另一種網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)是指在未使用的IP地址空間內(nèi)被動(dòng)收集數(shù)據(jù)。但這種集中收集惡意流量的方式割裂了惡意流量與原有活動(dòng)網(wǎng)絡(luò)流量之間的關(guān)聯(lián)；最后一種網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)是將未使用地址空間偽裝成活動(dòng)網(wǎng)絡(luò)空間，通過(guò)與入侵者的主動(dòng)交互獲取入侵詳細(xì)信息，如蜜罐技術(shù)（HoneynetProject，相關(guān)軟件有honeyd等）。與以上兩種網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)相比，蜜罐技術(shù)能夠有效地將活動(dòng)網(wǎng)絡(luò)中的惡意流量分離出來(lái)，監(jiān)測(cè)到與活動(dòng)主機(jī)相關(guān)聯(lián)的網(wǎng)絡(luò)入侵行為，從而達(dá)到保護(hù)網(wǎng)絡(luò)的目的。

2蜜罐技術(shù)

蜜罐（Honeypot）技術(shù)作為一種典型的主動(dòng)防御技術(shù)，是近年來(lái)的研究熱點(diǎn)。蜜罐技術(shù)研究發(fā)起人LanceSpitzner給出的定義是：蜜罐是一種安全資源，它的價(jià)值體現(xiàn)在被刺探、攻擊或者被摧毀的時(shí)候。蜜罐系統(tǒng)主要包括了網(wǎng)絡(luò)誘騙、數(shù)據(jù)控制、數(shù)據(jù)捕獲、數(shù)據(jù)報(bào)警、數(shù)據(jù)分析和日志遠(yuǎn)程存儲(chǔ)等功能模塊。

蜜罐的工作原理是通過(guò)引誘攻擊者的入侵來(lái)保護(hù)系統(tǒng)本身安全，能通過(guò)某種方式監(jiān)測(cè)與跟蹤入侵者的行為，并將其記錄在日志中對(duì)攻擊方法進(jìn)行技術(shù)分析，從而學(xué)習(xí)入侵者的工具、策略和方法。

蜜罐按照交互的級(jí)別，可以分為低、中、高三種交互級(jí)別：

低交互honeypot沒(méi)有真正的操作系統(tǒng)可供攻擊者使用，也不會(huì)給系統(tǒng)帶來(lái)額外的風(fēng)險(xiǎn)。由于它不可能觀察攻擊者與操作系統(tǒng)的交互過(guò)程，因此不能收集到真正有意義的信息。此階段主要提供檢測(cè)功能。

中交互honeypot設(shè)置了一些信息以供交互，但未提供一個(gè)真正的底層操作系統(tǒng)。因?yàn)閔oneypot的交互能力提高了，攻擊者發(fā)現(xiàn)安全漏洞的可能性也更大，所以增加了風(fēng)險(xiǎn)。

高交互honeypot有真正的底層操作系統(tǒng)，攻擊者能夠上傳、安裝新文件，可以與操作系統(tǒng)交互，也能夠攻擊各種應(yīng)用程序，會(huì)給系統(tǒng)帶來(lái)很大的風(fēng)險(xiǎn)，但捕獲到有用信息的可能性越大。

3基于蜜罐的掃描監(jiān)測(cè)原型系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

本文在分析了蜜罐技術(shù)在實(shí)際部署中必須考慮的相關(guān)因素的基礎(chǔ)上，針對(duì)惡意移動(dòng)代碼的特點(diǎn)，構(gòu)建了基于蜜罐技術(shù)的惡意移動(dòng)代碼掃描監(jiān)測(cè)模型，目標(biāo)是對(duì)校園網(wǎng)內(nèi)的惡意掃描源進(jìn)行監(jiān)測(cè)和預(yù)警。模型按功能實(shí)現(xiàn)可以劃分為兩部分：監(jiān)測(cè)部分和預(yù)警處理部分，監(jiān)測(cè)部分是預(yù)警處理部分的基礎(chǔ)。

3.1模型構(gòu)成

整個(gè)系統(tǒng)由6個(gè)模塊構(gòu)成，如圖1所示，分別為監(jiān)測(cè)數(shù)據(jù)采集模塊、數(shù)據(jù)存儲(chǔ)和預(yù)處理模塊、單點(diǎn)檢測(cè)預(yù)警模塊、檢測(cè)結(jié)果可視化模塊、多點(diǎn)綜合處理與預(yù)警模塊、防火墻訪問(wèn)規(guī)則自動(dòng)生成模塊。除監(jiān)測(cè)數(shù)據(jù)采集模塊屬于監(jiān)測(cè)部分外，其余模塊均屬于預(yù)警處理部分。

系統(tǒng)框圖如圖1所示。整個(gè)系統(tǒng)的數(shù)據(jù)處理流程描述如下：

監(jiān)測(cè)數(shù)據(jù)采集模塊負(fù)責(zé)在監(jiān)控網(wǎng)絡(luò)內(nèi)采集惡意掃描流量，將流量數(shù)據(jù)輸送至數(shù)據(jù)存儲(chǔ)與預(yù)處理模塊中的數(shù)據(jù)服務(wù)器，并對(duì)存儲(chǔ)格式進(jìn)行簡(jiǎn)單轉(zhuǎn)換處理，然后單點(diǎn)檢測(cè)預(yù)警模塊分別對(duì)各采集點(diǎn)的流量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，形成單點(diǎn)掃描檢測(cè)預(yù)警結(jié)果。該結(jié)果一方面由可視化模塊進(jìn)行可視化，另一方面?zhèn)鬏斀o多點(diǎn)綜合處理與預(yù)警模塊進(jìn)行綜合處理與預(yù)警。綜合檢測(cè)與預(yù)警結(jié)果由可視化模塊進(jìn)行可視化輸出，同時(shí)由防火墻規(guī)則自動(dòng)生成模塊生成防火墻訪問(wèn)規(guī)則，與防火墻聯(lián)動(dòng)對(duì)惡意掃描源行為進(jìn)行控制。

3.2監(jiān)測(cè)數(shù)據(jù)采集模塊

監(jiān)測(cè)數(shù)據(jù)采集模塊為模型的基礎(chǔ)模塊，只有監(jiān)測(cè)數(shù)據(jù)采集準(zhǔn)確，才能提供有效的處理信息給后續(xù)預(yù)警分析。在監(jiān)測(cè)數(shù)據(jù)采集模塊中，首先應(yīng)該確定監(jiān)測(cè)點(diǎn)在網(wǎng)絡(luò)中的部署位置。因?yàn)楸疚南到y(tǒng)提出的設(shè)計(jì)目標(biāo)是監(jiān)測(cè)校園網(wǎng)內(nèi)的惡意掃描源，所以監(jiān)測(cè)重點(diǎn)是出現(xiàn)在校園網(wǎng)內(nèi)部的掃描連接，根據(jù)部署原則，監(jiān)測(cè)點(diǎn)需要部署在校園網(wǎng)防火墻內(nèi)，并且是由內(nèi)部路由器連接的網(wǎng)絡(luò)中。由于蜜罐技術(shù)可以把網(wǎng)絡(luò)中路由未使用的IP地址偽裝成“活動(dòng)主機(jī)”，因此在內(nèi)部網(wǎng)絡(luò)中，監(jiān)測(cè)點(diǎn)主要以活動(dòng)主機(jī)的形式存在。

3.3單點(diǎn)檢測(cè)預(yù)警模塊

單點(diǎn)檢測(cè)預(yù)警模塊為模型的核心處理模塊之一，其功能是對(duì)各個(gè)監(jiān)測(cè)采集點(diǎn)數(shù)據(jù)進(jìn)行獨(dú)立統(tǒng)計(jì)，并且進(jìn)行掃描源與掃描端口的監(jiān)測(cè)、報(bào)警、預(yù)警。根據(jù)蜜罐的工作原理，訪問(wèn)蜜罐的網(wǎng)絡(luò)行為被認(rèn)為未授權(quán)或惡意行為，所以基于蜜罐技術(shù)的掃描監(jiān)測(cè)模型捕獲到的流量一定是純的異常流量。本文采用的蜜罐技術(shù)可以直接確定訪問(wèn)源性質(zhì)，從而將研究重點(diǎn)集中在掃描源行為的研究而不是在掃描源識(shí)別上。

3.4可視化模塊

可視化模塊是實(shí)現(xiàn)數(shù)據(jù)檢測(cè)結(jié)果方便用戶可視的重要模塊，主要由Web網(wǎng)頁(yè)相關(guān)處理腳本構(gòu)成，建立了專門的Web網(wǎng)站掃描源檢測(cè)處理可視化結(jié)果。網(wǎng)站可以自動(dòng)更新每日掃描源檢測(cè)報(bào)警、預(yù)警結(jié)果，提供數(shù)據(jù)庫(kù)查詢接口頁(yè)面，并且為用戶提供以日、周、月為單位的掃描源檢測(cè)結(jié)果。

3.5多點(diǎn)綜合處理與預(yù)警模塊

多點(diǎn)綜合處理與預(yù)警模塊是模型的核心模塊，其功能是以時(shí)間為尺度對(duì)各個(gè)單點(diǎn)檢測(cè)報(bào)警的結(jié)果進(jìn)行關(guān)聯(lián)分析和綜合分類，從而形成來(lái)自于不同的監(jiān)控網(wǎng)段共同掃描行為的綜合報(bào)警和預(yù)警報(bào)告，并且將結(jié)果輸入到防火墻訪問(wèn)規(guī)則自動(dòng)生成模塊，進(jìn)而對(duì)后續(xù)相同的掃描源的惡意移動(dòng)行為進(jìn)行控制。有關(guān)關(guān)聯(lián)分析處理參閱文獻(xiàn)。

3.6防火墻訪問(wèn)規(guī)則自動(dòng)生成模塊

當(dāng)今網(wǎng)絡(luò)中普遍采用的網(wǎng)絡(luò)安全防御部署系統(tǒng)主要有防火墻、入侵防護(hù)系統(tǒng)（IPS）和入侵檢測(cè)系統(tǒng)（IDS）等。這幾個(gè)系統(tǒng)的基本工作原理是根據(jù)一定的訪問(wèn)控制規(guī)則對(duì)惡意移動(dòng)行為進(jìn)行邏輯判斷，因此如何提取和制定控制規(guī)則對(duì)于這些網(wǎng)絡(luò)安全防御系統(tǒng)的正常運(yùn)行起著重要作用。因?yàn)槊酃藜夹g(shù)具有針對(duì)性強(qiáng)、檢測(cè)準(zhǔn)確的檢測(cè)優(yōu)勢(shì)，所以檢測(cè)結(jié)果可生成相對(duì)應(yīng)的訪問(wèn)控制規(guī)則，并且反饋給其他廣泛應(yīng)用的網(wǎng)絡(luò)安全防御系統(tǒng)使用，以便于發(fā)揮更大的檢測(cè)效用。

4結(jié)語(yǔ)

蜜罐技術(shù)是目前網(wǎng)絡(luò)安全領(lǐng)域的新興技術(shù)，通過(guò)模擬服務(wù)來(lái)獲取入侵事件的具體信息，通過(guò)在一臺(tái)物理主機(jī)上虛擬網(wǎng)絡(luò)和不同操作系統(tǒng)的主機(jī)來(lái)擴(kuò)大監(jiān)測(cè)地址空間。本文主要工作為：設(shè)計(jì)了基于蜜罐技術(shù)的惡意移動(dòng)代碼掃描監(jiān)測(cè)模型，并對(duì)監(jiān)測(cè)數(shù)據(jù)采集模塊、數(shù)據(jù)存儲(chǔ)和預(yù)處理模塊、單點(diǎn)檢測(cè)預(yù)警模塊、檢測(cè)結(jié)果可視化模塊、多點(diǎn)綜合處理與預(yù)警模塊、防火墻訪問(wèn)規(guī)則自動(dòng)生成模塊等各個(gè)模塊進(jìn)行了詳細(xì)介紹，此模型能有效檢測(cè)惡意移動(dòng)代碼威脅。模型的具體實(shí)現(xiàn)，以及多矢量傳播監(jiān)測(cè)系統(tǒng)部署問(wèn)題是下一步研究的主要工作。

參考文獻(xiàn)：

[1]GRIMESRA.MaliciousMobileCode[C].USA：O’Reilly&Associates，2001.

[2]SymantecCorporation[EB/OL].http：//.1995/20075-10-29.

[3]SANS.Sans-InternetStormCenter-CooperativeCyberThreatMonitorandAlertSystem[M].Press，2004.

[4]HoneynetProject[EB/OL].2003-01-01/2007-05-15.http：//.

篇4

通過(guò)下一代防火墻、態(tài)勢(shì)感知檢測(cè)響應(yīng)、安全云端、安全運(yùn)營(yíng)平臺(tái)，初步構(gòu)建“網(wǎng)-端-云-平臺(tái)”一體化框架進(jìn)行風(fēng)險(xiǎn)控制閉環(huán)?？蚣苤校乱淮阑饓?、態(tài)勢(shì)感知檢測(cè)響應(yīng)等網(wǎng)絡(luò)和端點(diǎn)安全設(shè)備持續(xù)采集網(wǎng)絡(luò)和端點(diǎn)側(cè)流量日志，安全云端和本地安全運(yùn)營(yíng)平臺(tái)通過(guò)發(fā)現(xiàn)和關(guān)聯(lián)流量日志中各類攻擊威脅失陷標(biāo)志，找出入侵攻擊鏈，進(jìn)一步在網(wǎng)絡(luò)和端點(diǎn)側(cè)進(jìn)行控制處置，切斷攻擊鏈。

3.2建立初步的信任評(píng)估和控制機(jī)制

以上網(wǎng)行為管理和SSLVPN設(shè)備組件為基礎(chǔ)，對(duì)接各類型終端，入網(wǎng)前基于設(shè)備狀態(tài)和身份信息進(jìn)行信任等級(jí)判定。并建立內(nèi)部應(yīng)用訪問(wèn)身份認(rèn)證機(jī)制。下一階段工作通過(guò)零信任技術(shù)建立更全面的訪問(wèn)前信息采集和持續(xù)評(píng)估能力，進(jìn)一步打通網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)訪問(wèn)的身份和信任判決及控制。

3.3建立本地化安全運(yùn)營(yíng)能力

基于安全運(yùn)營(yíng)平臺(tái)，將全網(wǎng)終端威脅、網(wǎng)絡(luò)攻擊及業(yè)務(wù)系統(tǒng)安全通過(guò)大屏可視化的方式呈現(xiàn)，結(jié)合外部安全服務(wù)專家專屬服務(wù)化的方式，實(shí)現(xiàn)了網(wǎng)絡(luò)安全的閉環(huán)響應(yīng)與處置，同時(shí)為內(nèi)部人員提供信息安全知識(shí)與技能，沉淀本地知識(shí)經(jīng)驗(yàn)庫(kù)；基于安全運(yùn)營(yíng)平臺(tái)分析結(jié)果進(jìn)行決策，指導(dǎo)各部門開(kāi)展網(wǎng)絡(luò)安全工作；通過(guò)網(wǎng)絡(luò)安全運(yùn)營(yíng)平臺(tái)指導(dǎo)安全建設(shè)，提供安全策略優(yōu)化指導(dǎo)，全面提升系統(tǒng)安全運(yùn)營(yíng)能力。

3.4構(gòu)建針對(duì)未知威脅防控的人機(jī)共智能力

基于本地安全運(yùn)營(yíng)平臺(tái)、下一代防火墻、態(tài)勢(shì)感知檢測(cè)響應(yīng)等設(shè)備組件中人工智能算法，借助安全云端的全球威脅情報(bào)和安全大數(shù)據(jù)分析輔助，初步構(gòu)建針對(duì)已知和未知Web攻擊、僵尸網(wǎng)絡(luò)、各類型病毒、漏洞利用、部分APT攻擊和異常業(yè)務(wù)行為的檢測(cè)識(shí)別能力。通過(guò)演練成果應(yīng)用，實(shí)現(xiàn)了滿足等級(jí)保護(hù)2.0合規(guī)要求，具備在實(shí)戰(zhàn)化攻防對(duì)抗中抵御攻擊、快速恢復(fù)能力，同時(shí)日常服務(wù)運(yùn)維過(guò)程中對(duì)各類型業(yè)務(wù)和數(shù)據(jù)提供常態(tài)化安全防護(hù)。

4創(chuàng)新性與價(jià)值

信息系統(tǒng)安全建設(shè)基于自身信息化業(yè)務(wù)需求和網(wǎng)絡(luò)安全監(jiān)管法規(guī)要求，以“體系合規(guī)，面向?qū)崙?zhàn)，常態(tài)保護(hù)”為目標(biāo)，“統(tǒng)籌風(fēng)險(xiǎn)，精益安全，持續(xù)推進(jìn)，人機(jī)共智”為安全能力構(gòu)建方向，逐步推進(jìn)建設(shè)落地。規(guī)劃建設(shè)過(guò)程，體現(xiàn)了以下幾方面特色和優(yōu)勢(shì)：（1）體系化統(tǒng)籌，從高層要求、監(jiān)管法規(guī)等業(yè)務(wù)和內(nèi)外部需求出發(fā)，從風(fēng)險(xiǎn)、安全、推進(jìn)、智能四方面，體系化地規(guī)劃安全能力和落地過(guò)程[5]。（2）全面保障，整個(gè)建設(shè)理念和框架覆蓋的保護(hù)對(duì)象從物理環(huán)境，到網(wǎng)絡(luò)、主機(jī)、邊界等各層面，并對(duì)各類型業(yè)務(wù)和場(chǎng)景具有普適性。（3）面向未來(lái)，利用人機(jī)共智的三位一體能力，以及階段性演進(jìn)的成熟度坐標(biāo)，規(guī)劃面向未來(lái)的能力演進(jìn)體系。（4）有效落地，創(chuàng)新網(wǎng)絡(luò)安全微服務(wù)架構(gòu)，提升自動(dòng)化管理效率，利用專家服務(wù)和輔助決策降低人員門檻，進(jìn)一步通過(guò)可視化指標(biāo)體系呈現(xiàn)安全建設(shè)績(jī)效。

篇5

 

1 前言

 

隨著信息化發(fā)展速度不斷加快，信息系統(tǒng)用戶規(guī)模不斷擴(kuò)大、需求不斷更新、自動(dòng)化程度不斷提高，信息系統(tǒng)安全狀況與企業(yè)經(jīng)濟(jì)效益越來(lái)越密切，直接影響到企業(yè)的經(jīng)營(yíng)和形象問(wèn)題。目前，防火墻、IDS、IPS等安全設(shè)備已經(jīng)得到普遍使用，但是同時(shí)這些設(shè)備產(chǎn)生了海量安全數(shù)據(jù)，采用人工分析的方法已經(jīng)無(wú)法實(shí)現(xiàn)安全威脅的及時(shí)預(yù)警與處置。另一方面，現(xiàn)有安全設(shè)備之間相對(duì)孤立，數(shù)據(jù)沒(méi)有得到關(guān)聯(lián)分析和綜合考慮，很難面對(duì)當(dāng)今各種利用先進(jìn)手段、高度隱蔽的網(wǎng)絡(luò)攻擊形式。因此，在現(xiàn)有安全手段的基礎(chǔ)上，獲取和分析海量攻擊行為數(shù)據(jù)，結(jié)合態(tài)勢(shì)感知技術(shù)實(shí)現(xiàn)信息安全行為的準(zhǔn)確定位和智能預(yù)警，在信息安全防護(hù)工作中是非常必要的。

 

2 平臺(tái)構(gòu)成

 

信息安全態(tài)勢(shì)智能預(yù)警分析平臺(tái)由系統(tǒng)數(shù)據(jù)接口、數(shù)據(jù)挖掘與融合技術(shù)、態(tài)勢(shì)分析與風(fēng)險(xiǎn)預(yù)警、可視化展示與系統(tǒng)管理六大部分。其中，系統(tǒng)數(shù)據(jù)接口用于查看目前監(jiān)控的設(shè)備及應(yīng)用系統(tǒng);數(shù)據(jù)挖掘與融合提供有效的數(shù)據(jù)分析處理模型和數(shù)據(jù)分析方法;態(tài)勢(shì)分析和風(fēng)險(xiǎn)預(yù)警提供當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估、未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)及響應(yīng)告警功能;可視化展示定義生成各類表單、圖表、報(bào)告、報(bào)表等用戶界面。

 

3 關(guān)鍵技術(shù)

 

3.1 數(shù)據(jù)采集

 

3.1.1 設(shè)備實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)

 

信息安全態(tài)勢(shì)智能預(yù)警分析平臺(tái)監(jiān)測(cè)重要網(wǎng)絡(luò)設(shè)備及服務(wù)器的運(yùn)行狀態(tài)，主要對(duì)網(wǎng)絡(luò)邊界設(shè)備、核心交換設(shè)備、重要服務(wù)器等進(jìn)行監(jiān)視，獲取CPU、內(nèi)存、網(wǎng)絡(luò)流量等性能或安全參數(shù)信息。通過(guò)該系統(tǒng)數(shù)據(jù)接口，可按照單個(gè)設(shè)備、某類設(shè)備、整個(gè)網(wǎng)絡(luò)設(shè)備來(lái)獲取相關(guān)設(shè)備數(shù)據(jù)。

 

3.1.2 掃描數(shù)據(jù)

 

采集日常運(yùn)維中掃描數(shù)據(jù)，主要包括利用漏洞掃描工具發(fā)現(xiàn)的漏洞、弱口令等安全隱患信息。

 

3.1.3 日志文件數(shù)據(jù)

 

采集重要設(shè)備的日志文件數(shù)據(jù)，主要包括網(wǎng)絡(luò)邊界設(shè)備、核心交換設(shè)備、重要服務(wù)器的系統(tǒng)日志、安全日志、應(yīng)用日志及告警日志等。

 

3.1.4 策略配置數(shù)據(jù)

 

采集重要設(shè)備的策略配置數(shù)據(jù)，主要包括主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等的安全策略配置信息以及策略變更信息等。

 

3.2 數(shù)據(jù)挖掘

 

數(shù)據(jù)挖掘的方法有很多種，其中關(guān)聯(lián)規(guī)則挖掘方法能夠從大量數(shù)據(jù)中挖掘出有價(jià)值描述數(shù)據(jù)項(xiàng)之間相互聯(lián)系的有關(guān)知識(shí)，挖掘用戶操作行為之間的關(guān)聯(lián)規(guī)則，反映用戶的操作傾向。

 

現(xiàn)實(shí)中網(wǎng)絡(luò)環(huán)境復(fù)雜，網(wǎng)絡(luò)設(shè)備種類多，影響因素之間相互關(guān)聯(lián)。選取的算法要能有效的對(duì)多源異構(gòu)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析并具有自學(xué)習(xí)性，能夠解決決策層的不確定性，不能僅憑專家經(jīng)驗(yàn)確定各指標(biāo)對(duì)網(wǎng)絡(luò)安全狀態(tài)的影響程度。在底層使用關(guān)聯(lián)規(guī)則挖掘算法對(duì)異構(gòu)數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析，使用云模型對(duì)異構(gòu)數(shù)據(jù)進(jìn)行融合處理，在決策層使用貝葉斯決策方法進(jìn)行態(tài)勢(shì)預(yù)測(cè)，較好的解決了態(tài)勢(shì)評(píng)估的不確定性。

 

3.3 態(tài)勢(shì)感知與風(fēng)險(xiǎn)預(yù)警

 

網(wǎng)絡(luò)安全態(tài)勢(shì)感知主要對(duì)網(wǎng)絡(luò)中部署的各類設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)，對(duì)動(dòng)態(tài)監(jiān)測(cè)數(shù)據(jù)、設(shè)備運(yùn)行日志、脆弱性、策略配置數(shù)據(jù)等進(jìn)行融合分析，對(duì)目前網(wǎng)絡(luò)安全狀況進(jìn)行風(fēng)險(xiǎn)評(píng)估，同時(shí)也對(duì)未來(lái)幾天網(wǎng)絡(luò)安全狀況進(jìn)行預(yù)測(cè)。

 

安全風(fēng)險(xiǎn)預(yù)警實(shí)現(xiàn)各類安全隱患的報(bào)警功能。借助安全態(tài)勢(shì)感知功能對(duì)各類數(shù)據(jù)綜合分析，提出信息安全風(fēng)險(xiǎn)的來(lái)源分布以及風(fēng)險(xiǎn)可能帶來(lái)的危害，及時(shí)的對(duì)信息安全隱患或風(fēng)險(xiǎn)進(jìn)行報(bào)警。

 

3.3.1 網(wǎng)絡(luò)實(shí)時(shí)狀況警報(bào)

 

實(shí)現(xiàn)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件等的實(shí)時(shí)運(yùn)行狀態(tài)進(jìn)行監(jiān)控，并依據(jù)的上下限值提供報(bào)警功能。將告警指標(biāo)和風(fēng)險(xiǎn)處理方法進(jìn)行結(jié)合，實(shí)現(xiàn)在動(dòng)態(tài)地圖上顯示出來(lái)并提供報(bào)警，能夠快速的定位出現(xiàn)問(wèn)題的設(shè)備。實(shí)現(xiàn)網(wǎng)絡(luò)中關(guān)鍵的硬件設(shè)備配置的監(jiān)控，實(shí)現(xiàn)對(duì)硬件的更換、策略的變更的報(bào)警功能。

 

3.3.2 態(tài)勢(shì)要素提取

 

態(tài)勢(shì)要素提取是態(tài)勢(shì)評(píng)估與預(yù)測(cè)的基礎(chǔ)。讀取核心交換機(jī)、重要業(yè)務(wù)服務(wù)器及信息系統(tǒng)、門戶網(wǎng)站、路由器、IPS、IDS等關(guān)鍵核心接入設(shè)備的配置信息、服務(wù)的狀態(tài)、操作日志、關(guān)鍵性能參數(shù)等。

 

3.3.3 態(tài)勢(shì)評(píng)估與分析

 

研究信息安全風(fēng)險(xiǎn)評(píng)估和分析方法，制定風(fēng)險(xiǎn)評(píng)估指標(biāo)體系和評(píng)估模型，開(kāi)展基于多協(xié)議和應(yīng)用的關(guān)聯(lián)分析，識(shí)別程序或用戶的惡意行為，追蹤并提供威脅分析。

 

態(tài)勢(shì)感知的核心是態(tài)勢(shì)評(píng)估，是對(duì)當(dāng)前安全態(tài)勢(shì)的一個(gè)動(dòng)態(tài)理解過(guò)程。識(shí)別態(tài)勢(shì)信息中的安全事件并確定它們之間的關(guān)聯(lián)關(guān)系，根據(jù)所受到的威脅程度生成相應(yīng)的安全態(tài)勢(shì)圖，反映出整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)狀況。

 

研究分層次的安全評(píng)估模型，以攻擊報(bào)警、掃描結(jié)果和網(wǎng)絡(luò)流量等信息為原始數(shù)據(jù)，發(fā)現(xiàn)各關(guān)鍵設(shè)備影響因素的脆弱性或威脅情況，在此基礎(chǔ)上，綜合評(píng)估網(wǎng)絡(luò)系統(tǒng)中各關(guān)鍵設(shè)備的安全狀況，再根據(jù)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)，評(píng)估多個(gè)局部范圍網(wǎng)絡(luò)的安全態(tài)勢(shì)，然后再綜合分析和統(tǒng)計(jì)整個(gè)宏觀網(wǎng)絡(luò)的安全態(tài)勢(shì)。

 

3.3.4 態(tài)勢(shì)預(yù)測(cè)

 

態(tài)勢(shì)預(yù)測(cè)主要基于各類網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端設(shè)備以及安全設(shè)備的記錄，進(jìn)行關(guān)聯(lián)性分析，給出總體信息安全趨勢(shì)。態(tài)勢(shì)預(yù)測(cè)數(shù)據(jù)的來(lái)源包括用戶數(shù)據(jù)的輸入和監(jiān)測(cè)到歷史數(shù)據(jù)和實(shí)時(shí)數(shù)據(jù)。

 

3.3.5 響應(yīng)與報(bào)警

 

針對(duì)存在的威脅事件、預(yù)知的安全風(fēng)險(xiǎn)以及信息系統(tǒng)故障等進(jìn)行報(bào)警，并提供解決的建議。利用數(shù)據(jù)挖掘與融合技術(shù)處理歷史數(shù)據(jù)和監(jiān)測(cè)數(shù)據(jù)，經(jīng)過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)分析，對(duì)潛在安全風(fēng)險(xiǎn)進(jìn)行分析預(yù)測(cè)，輸出預(yù)警信息。

 

3.4 可視化展示

 

根據(jù)用戶的不同需求，定義不同的功能視圖，實(shí)現(xiàn)多樣化、多元化的展示方式，包括漏洞、弱口令、病毒感染、違規(guī)外聯(lián)、威脅報(bào)警等信息。

 

4 結(jié)語(yǔ)

 

通過(guò)信息安全態(tài)勢(shì)感知與智能預(yù)警平臺(tái)，利用大數(shù)據(jù)技術(shù)將現(xiàn)有各類監(jiān)測(cè)數(shù)據(jù)、日志數(shù)據(jù)、掃描數(shù)據(jù)等進(jìn)行有效整合，能自動(dòng)識(shí)別未知的新型攻擊、縮短事件響應(yīng)時(shí)間并提高提高人員工作效率，為實(shí)時(shí)掌握網(wǎng)絡(luò)整體安全狀態(tài)和變化趨勢(shì)提供了基礎(chǔ)，從而提升企業(yè)信息安全主動(dòng)防御能力。

篇6

關(guān)鍵詞 網(wǎng)絡(luò)安全；技術(shù)；網(wǎng)絡(luò)信息

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2013）14-0086-02

互聯(lián)網(wǎng)技術(shù)高速發(fā)展，在顯著提高了人們的生活質(zhì)量的同時(shí)，正逐步改變著人們的生活方式。與此同時(shí)，互聯(lián)網(wǎng)安全問(wèn)題也日益凸顯，成為影響用戶體驗(yàn)的主要因素受到各界人士的廣泛關(guān)且已達(dá)成普遍的共識(shí)。信息資源的安全防范涉及到硬件和軟件兩方面內(nèi)容，因此應(yīng)采取系統(tǒng)性的保障措施，防止信息傳遞過(guò)程中泄露、破壞和更改，保證網(wǎng)絡(luò)系統(tǒng)正常、安全、穩(wěn)定的運(yùn)行。

1 信息安全管理存在的問(wèn)題

1.1 操作系統(tǒng)漏洞

計(jì)算機(jī)軟件系統(tǒng)中操作系統(tǒng)是最基本、最重要的系統(tǒng)，為用戶正常使用計(jì)算機(jī)或安裝其他程序提供可運(yùn)行的平臺(tái)。另外，操作系統(tǒng)還具備對(duì)計(jì)算機(jī)資源的管理功能，例如，可以通過(guò)相應(yīng)的操作查看計(jì)算硬件和相關(guān)軟件存在的問(wèn)題并對(duì)其進(jìn)行管理。管理過(guò)程中會(huì)涉及系統(tǒng)某個(gè)模塊或程序的安全運(yùn)行問(wèn)題，這些模塊如果存在一些缺陷可能造成整個(gè)系統(tǒng)崩潰，影響計(jì)算機(jī)的正常使用。操作系統(tǒng)對(duì)信息傳輸、程序加載提供支持，尤其通過(guò)ftp傳輸?shù)哪承┪募?。這些文件中如果包含可執(zhí)行文件也會(huì)帶來(lái)不安全因素。眾所周知，這些文件都是程序員編寫而成其中難免出現(xiàn)較多漏洞，這些漏洞不但會(huì)威脅計(jì)算機(jī)資源的安全，而且還可能引起整個(gè)操作系統(tǒng)的崩潰。本質(zhì)上來(lái)看計(jì)算機(jī)操作系統(tǒng)出現(xiàn)問(wèn)題的原因在于其允許用戶創(chuàng)建進(jìn)程，能夠?qū)ζ溥M(jìn)行遠(yuǎn)程激活，一旦被不法分子利用創(chuàng)建一些非法進(jìn)程就能實(shí)現(xiàn)對(duì)計(jì)算機(jī)的控制威脅計(jì)算機(jī)安全。同時(shí)計(jì)算機(jī)還能通過(guò)操作系統(tǒng)實(shí)現(xiàn)對(duì)遠(yuǎn)程硬、軟件的調(diào)用，在互聯(lián)網(wǎng)上傳遞調(diào)用信息是會(huì)經(jīng)過(guò)很多網(wǎng)絡(luò)節(jié)點(diǎn)，這些網(wǎng)絡(luò)節(jié)點(diǎn)被別人竊聽(tīng)就會(huì)造成相關(guān)信息的泄露，帶來(lái)巨大的經(jīng)濟(jì)損失。

1.2 網(wǎng)絡(luò)開(kāi)放性存在的漏洞

開(kāi)放性是計(jì)算機(jī)網(wǎng)絡(luò)的顯著特點(diǎn)，該特點(diǎn)在促進(jìn)網(wǎng)絡(luò)技術(shù)快速發(fā)展的同時(shí)，也給網(wǎng)絡(luò)安全帶來(lái)較大安全隱患。首先，互聯(lián)網(wǎng)的開(kāi)放性使接入網(wǎng)絡(luò)的門檻降低，不同地區(qū)的不同人群紛紛接入網(wǎng)絡(luò)，他們相互交流互聯(lián)網(wǎng)的學(xué)術(shù)問(wèn)題，不斷提出新的思想和方法，為互聯(lián)網(wǎng)技術(shù)的發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。其次，接入的這些用戶難免存在圖謀不軌的人，他們中的多數(shù)人要么為某個(gè)非法組織效力，要么為了炫耀網(wǎng)絡(luò)技術(shù)，進(jìn)而對(duì)互聯(lián)網(wǎng)進(jìn)行攻擊，這些攻擊有的是針對(duì)計(jì)算機(jī)軟件漏洞發(fā)起攻擊行為，有的對(duì)網(wǎng)絡(luò)層中的傳輸協(xié)議進(jìn)行攻擊。從發(fā)起攻擊的范圍來(lái)看，大多數(shù)網(wǎng)路攻擊來(lái)源于本地用戶，部分來(lái)源于其它國(guó)家，尤其發(fā)生在國(guó)家之間的攻擊案例屢見(jiàn)不鮮，這些攻擊者擁有較強(qiáng)的網(wǎng)絡(luò)技能，進(jìn)行的攻擊行為往往會(huì)給某個(gè)國(guó)家?guī)?lái)嚴(yán)重的損失。因此，互聯(lián)網(wǎng)安全問(wèn)題是世界性的問(wèn)題，應(yīng)引起人們的高度重視。

2 網(wǎng)絡(luò)安全技術(shù)介紹

2.1 入侵檢測(cè)

入侵檢測(cè)指通過(guò)收集審計(jì)數(shù)據(jù)，分析安全日志和網(wǎng)絡(luò)行為，判斷計(jì)算機(jī)系統(tǒng)中是否出現(xiàn)被攻擊或者違法安全策略行為。入侵檢測(cè)能夠使系統(tǒng)在入侵之前進(jìn)行攔截，因此是一種積極主動(dòng)的安全防御技術(shù)，被人們稱為除防火墻外的第一道安全防護(hù)閘門。入侵檢測(cè)的優(yōu)點(diǎn)不僅體現(xiàn)在保護(hù)計(jì)算機(jī)安全上，還體現(xiàn)在入侵檢測(cè)時(shí)不會(huì)對(duì)網(wǎng)絡(luò)性能產(chǎn)生影響上。檢測(cè)入侵能夠時(shí)時(shí)監(jiān)控來(lái)自外部攻擊、內(nèi)部攻擊行為，提高計(jì)算機(jī)資源的安全系數(shù)。目前來(lái)看計(jì)算機(jī)檢測(cè)入侵主要分為混合入侵檢測(cè)、基于主機(jī)和網(wǎng)絡(luò)入侵檢測(cè)三種，在保障網(wǎng)絡(luò)安全運(yùn)行中基于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)應(yīng)用較為廣泛。

2.2 可視化

在入侵檢測(cè)、防火墻以及漏洞掃描的基礎(chǔ)上，為了提高網(wǎng)絡(luò)安全的可視操作延伸出了網(wǎng)絡(luò)安全可視化技術(shù)，該技術(shù)可以說(shuō)是上述安全技術(shù)的補(bǔ)充。網(wǎng)絡(luò)安全可視化技術(shù)將網(wǎng)絡(luò)中的系統(tǒng)數(shù)據(jù)和較為抽象的網(wǎng)絡(luò)結(jié)構(gòu)以圖像化的形式展現(xiàn)在人們面前，并能時(shí)時(shí)反映網(wǎng)絡(luò)中出現(xiàn)的特殊信息，監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行狀態(tài)，最終較為人性的提示用戶網(wǎng)絡(luò)中可能存在的安全風(fēng)險(xiǎn)，為網(wǎng)絡(luò)安全技術(shù)員分析網(wǎng)絡(luò)潛在的安全問(wèn)題提供便利。網(wǎng)絡(luò)安全技術(shù)人員利用高維信息展開(kāi)網(wǎng)絡(luò)具體狀況，從而能夠及時(shí)有效的發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，并對(duì)網(wǎng)絡(luò)安全事件的未來(lái)發(fā)展趨勢(shì)進(jìn)行估計(jì)和評(píng)定，以此采取針對(duì)性措施進(jìn)行處理，保證網(wǎng)絡(luò)安全防護(hù)更為便捷、智能和有效。

2.3 防火墻

防火墻是人們較為熟悉的網(wǎng)絡(luò)安全防范技術(shù)，是一種根據(jù)事先定義好的安全規(guī)則，對(duì)內(nèi)外網(wǎng)之間的通信行為進(jìn)行強(qiáng)制性檢查的防范措施，其主要作用是隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，加強(qiáng)內(nèi)外網(wǎng)通信之間的訪問(wèn)控制。即根據(jù)實(shí)際情況設(shè)定外網(wǎng)訪問(wèn)權(quán)限限制不符合訪問(wèn)規(guī)則的行為，從而防止外網(wǎng)非法行為的入侵，保證內(nèi)部網(wǎng)絡(luò)資源的安全。同時(shí)規(guī)范內(nèi)網(wǎng)之間的訪問(wèn)行為進(jìn)一步提高網(wǎng)絡(luò)資源的安全級(jí)別。目前防火墻主要包含網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻兩種類型，其中可將網(wǎng)絡(luò)層防火墻看做是IP封包過(guò)濾器，在底層的TCP/IP協(xié)議上運(yùn)作。網(wǎng)絡(luò)管理員設(shè)置時(shí)可以只允許符合要求的封包通過(guò)，剩余的禁止穿過(guò)防火墻，不過(guò)注意一點(diǎn)防火墻并不能防止病毒的入侵。另外，網(wǎng)絡(luò)管理員也可以用較為寬松的角度設(shè)置防火墻，例如只要封裝包不符合任一“否定規(guī)則”就允許通過(guò)，目前很多網(wǎng)絡(luò)設(shè)備已實(shí)現(xiàn)內(nèi)置防火墻功能；應(yīng)用層防火墻主要在TCP/IP堆棧上的“應(yīng)用層”上運(yùn)作，一般通過(guò)瀏覽器或使用FTP上傳數(shù)據(jù)產(chǎn)生的數(shù)據(jù)流就屬于這一層。應(yīng)用層防火墻可以攔截所有進(jìn)出某應(yīng)用程序的封包，通常情況將封包直接丟棄以達(dá)到攔截的目的。理論上來(lái)講這種防火墻能夠防止所有外界數(shù)據(jù)流入侵到受保護(hù)的機(jī)器中。

2.4 漏洞掃描

漏洞掃描通過(guò)漏洞掃描程序?qū)Ρ镜刂鳈C(jī)或遠(yuǎn)程設(shè)備進(jìn)行安全掃描，從而及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞，通過(guò)打補(bǔ)丁等方式保證系統(tǒng)的安全。工作過(guò)程中漏洞掃描程序通過(guò)掃描TCP/IP相關(guān)服務(wù)端口監(jiān)控主機(jī)系統(tǒng)，并通過(guò)模擬網(wǎng)絡(luò)攻擊記錄目標(biāo)主機(jī)的響應(yīng)情況從而收集有用的數(shù)據(jù)信息，通過(guò)漏洞掃描能夠及時(shí)的發(fā)現(xiàn)和掌握計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)存在安全漏洞，以此準(zhǔn)確反映網(wǎng)絡(luò)運(yùn)行的安全狀況，為網(wǎng)絡(luò)安全的審計(jì)創(chuàng)造良好的條件。從而能夠根據(jù)反饋的信息制定有效的應(yīng)對(duì)措，例如下載相關(guān)的漏洞補(bǔ)丁或優(yōu)化系統(tǒng)等及時(shí)的修補(bǔ)漏洞，減少有漏洞引起的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

2.5 數(shù)據(jù)加密

數(shù)據(jù)加密是現(xiàn)在常用的安全技術(shù)即通過(guò)一定的規(guī)則將明文進(jìn)行重新編碼，翻譯成別人無(wú)法識(shí)別的數(shù)據(jù)，當(dāng)編碼后的數(shù)據(jù)傳輸過(guò)程中即便被不法人員截獲，但是沒(méi)有密鑰就不能破解加密后的信息，就無(wú)法知道信息的具體內(nèi)容。數(shù)據(jù)加密技術(shù)主要應(yīng)用在信息和動(dòng)態(tài)數(shù)據(jù)的保護(hù)上，在當(dāng)今電子商務(wù)發(fā)展迅速的時(shí)代，該項(xiàng)技術(shù)應(yīng)用較為廣闊。數(shù)據(jù)加密系統(tǒng)主要有密鑰集合、明文集合、密文集合以及相關(guān)的加密算法構(gòu)成，其中算法和數(shù)據(jù)是數(shù)據(jù)加密系統(tǒng)基本組成元素，算法主要有相關(guān)的計(jì)算法則和一些公式組成，它是實(shí)現(xiàn)數(shù)據(jù)加密的核心部分。密鑰則可看做算法的相關(guān)參數(shù)。數(shù)據(jù)加密技術(shù)的應(yīng)用確保了數(shù)據(jù)在互聯(lián)網(wǎng)開(kāi)放環(huán)境中的安全，它既不違背互聯(lián)網(wǎng)開(kāi)放性特點(diǎn)，又保證了信息傳遞的安全性。

3 加強(qiáng)網(wǎng)絡(luò)信息資源管理措施

3.1 注重管理人員業(yè)務(wù)技能的提升

網(wǎng)絡(luò)信息資源管理面臨的最大威脅是人為攻擊，其中黑客攻擊就是人為攻擊的一種。目前可將網(wǎng)絡(luò)信息資源的攻擊行為分為主動(dòng)攻擊和被動(dòng)攻擊兩種，其中主動(dòng)攻擊指利用非法手段破壞傳輸信息的完整性，即更改截獲來(lái)的數(shù)據(jù)包中的相關(guān)內(nèi)容，以此達(dá)到誤導(dǎo)接收者的目的，或者進(jìn)入系統(tǒng)占用大量系統(tǒng)資源，使系統(tǒng)不能提供正常的服務(wù)影響合法用戶的正常使用。被動(dòng)攻擊在不影響數(shù)據(jù)信息傳遞的前提下，截取、破解傳遞的信息，這種攻擊手段通常不容易被人發(fā)覺(jué)，容易造成較大經(jīng)濟(jì)損失。因此，針對(duì)這種情況應(yīng)定期舉行相關(guān)的技術(shù)培訓(xùn)，提高管理人員的專業(yè)技能水平，加強(qiáng)安全網(wǎng)絡(luò)的監(jiān)測(cè)力度，并針對(duì)不同的攻擊方式制定有效的防御措施，同時(shí)在總結(jié)之前常見(jiàn)的網(wǎng)絡(luò)攻擊手段的研究，加強(qiáng)與國(guó)外先進(jìn)技術(shù)的交流合作，共同探討防止網(wǎng)絡(luò)攻擊的新技術(shù)、新思路。

3.2 加強(qiáng)計(jì)算機(jī)軟件、硬件管理

軟件管理在保證網(wǎng)絡(luò)資源安全方面起著至關(guān)重要的作用，因此平時(shí)應(yīng)注重軟件的管理。威脅軟件安全的主要因素是計(jì)算機(jī)病毒，所以管理員應(yīng)定期利用殺毒軟件查殺病毒，并注重更新下載相關(guān)的補(bǔ)丁及時(shí)修補(bǔ)軟件漏洞。

加強(qiáng)計(jì)算機(jī)硬件管理應(yīng)從兩方面入手，首先應(yīng)為計(jì)算機(jī)的運(yùn)行創(chuàng)造良好的外部環(huán)境，尤其應(yīng)注重防火、防潮等工作，從而降低硬件損壞給網(wǎng)絡(luò)帶來(lái)的影響；其次，制定嚴(yán)格的管理制度，未經(jīng)管理員允許不能打開(kāi)機(jī)箱更換硬件，同時(shí)平時(shí)還應(yīng)注重對(duì)硬件性能的檢測(cè)，發(fā)現(xiàn)問(wèn)題應(yīng)及時(shí)通知管理員進(jìn)行排除。

4 總結(jié)

網(wǎng)絡(luò)為人們提供了新的信息共享方式，同時(shí)其安全性也面臨著嚴(yán)峻的考驗(yàn)，面對(duì)當(dāng)前互聯(lián)網(wǎng)安全存在的問(wèn)題我國(guó)應(yīng)加強(qiáng)這方面的技術(shù)研究，采用多種網(wǎng)絡(luò)安全技術(shù)保證信息傳遞的安全性。同時(shí)國(guó)家相關(guān)部門應(yīng)制定詳細(xì)的法律法規(guī)，嚴(yán)厲打擊網(wǎng)絡(luò)攻擊和犯罪行為，以此營(yíng)造良好的互聯(lián)網(wǎng)運(yùn)營(yíng)秩序。

參考文獻(xiàn)

[1]張泉龍.對(duì)網(wǎng)絡(luò)安全技術(shù)管理的探討[J].科技資訊，2011（18）.

[2]王賢秋.淺議計(jì)算機(jī)網(wǎng)絡(luò)的信息資源管理[J].內(nèi)江科技，2009（07）.

[3]崔蓉.計(jì)算機(jī)信息網(wǎng)絡(luò)安全技術(shù)及發(fā)展方向[J].信息與電腦（理論版），2010（10）.

篇7

關(guān)鍵詞：新型DPI；網(wǎng)絡(luò)安全態(tài)勢(shì)感知；網(wǎng)絡(luò)流量采集

經(jīng)濟(jì)飛速發(fā)展的同時(shí)，科學(xué)技術(shù)也在不斷地進(jìn)步，網(wǎng)絡(luò)已經(jīng)成為當(dāng)前社會(huì)生產(chǎn)生活中不可或缺的重要組成部分，給人們帶來(lái)了極大的便利。與此同時(shí)，網(wǎng)絡(luò)系統(tǒng)也遭受著一定的安全威脅，這給人們正常使用網(wǎng)絡(luò)系統(tǒng)帶來(lái)了不利影響。尤其是在大數(shù)據(jù)時(shí)代，無(wú)論是國(guó)家還是企業(yè)、個(gè)人，在網(wǎng)絡(luò)系統(tǒng)中均存儲(chǔ)著大量重要的信息，網(wǎng)絡(luò)系統(tǒng)一旦出現(xiàn)安全問(wèn)題將會(huì)造成極大的損失。

1基本概念

1.1網(wǎng)絡(luò)安全態(tài)勢(shì)感知

網(wǎng)絡(luò)安全態(tài)勢(shì)感知是對(duì)網(wǎng)絡(luò)安全各要素進(jìn)行綜合分析后，評(píng)估網(wǎng)絡(luò)安全整體情況，對(duì)其發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)，最終以可視化系統(tǒng)展示給用戶，同時(shí)給出相應(yīng)的統(tǒng)計(jì)報(bào)表和風(fēng)險(xiǎn)應(yīng)對(duì)措施。網(wǎng)絡(luò)安全態(tài)勢(shì)感知包括五個(gè)方面1：（1）網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)采集：借助各種檢測(cè)工具，對(duì)影響網(wǎng)絡(luò)安全性的各類要素進(jìn)行檢測(cè)，采集獲取相應(yīng)數(shù)據(jù)；（2）網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)理解：對(duì)各種網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)進(jìn)行分析、處理和融合，對(duì)數(shù)據(jù)進(jìn)一步綜合分析，形成網(wǎng)絡(luò)安全整體情況報(bào)告；（3）網(wǎng)絡(luò)安全評(píng)估：對(duì)網(wǎng)絡(luò)安全整體情況報(bào)告中各項(xiàng)數(shù)據(jù)進(jìn)行定性、定量分析，總結(jié)當(dāng)前的安全概況和安全薄弱環(huán)節(jié)，針對(duì)安全薄弱環(huán)境提出相應(yīng)的應(yīng)對(duì)措施；（4）網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)：通過(guò)對(duì)一段時(shí)間的網(wǎng)絡(luò)安全評(píng)估結(jié)果的分析，找出關(guān)鍵影響因素，并預(yù)測(cè)未來(lái)這些關(guān)鍵影響因素的發(fā)展趨勢(shì)，進(jìn)而預(yù)測(cè)未來(lái)的安全態(tài)勢(shì)情況以及可以采取的應(yīng)對(duì)措施。（5）網(wǎng)絡(luò)安全態(tài)勢(shì)感知報(bào)告：對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)以圖表統(tǒng)計(jì)、報(bào)表等可視化系統(tǒng)展示給用戶。報(bào)告要做到深度和廣度兼?zhèn)?，從多層次、多角度、多粒度分析系統(tǒng)的安全性并提供應(yīng)對(duì)措施。

1.2DPI技術(shù)

DPI（DeepPacketInspection）是一種基于數(shù)據(jù)包的深度檢測(cè)技術(shù)，針對(duì)不同的網(wǎng)絡(luò)傳輸協(xié)議（例如HTTP、DNS等）進(jìn)行解析，根據(jù)協(xié)議載荷內(nèi)容，分析對(duì)應(yīng)網(wǎng)絡(luò)行為的技術(shù)。DPI技術(shù)廣泛應(yīng)用于網(wǎng)絡(luò)流量分析的場(chǎng)景，比如網(wǎng)絡(luò)內(nèi)容分析領(lǐng)域等。DPI技術(shù)應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域，通過(guò)DPI技術(shù)的應(yīng)用識(shí)別能力，將網(wǎng)絡(luò)安全關(guān)注的網(wǎng)絡(luò)攻擊、威脅行為對(duì)應(yīng)的流量進(jìn)行識(shí)別，并形成網(wǎng)絡(luò)安全行為日志，實(shí)現(xiàn)網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)精準(zhǔn)采集。DPI技術(shù)發(fā)展到現(xiàn)在，隨著后端業(yè)務(wù)應(yīng)用的多元化，對(duì)DPI系統(tǒng)的能力也提出了更高的要求。傳統(tǒng)DPI技術(shù)的實(shí)現(xiàn)主要是基于知名協(xié)議的端口、特征字段等作為識(shí)別依據(jù)，比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等協(xié)議特征的識(shí)別、基于源IP、目的IP、源端口和目的端口的五元組特征識(shí)別。但是隨著互聯(lián)網(wǎng)應(yīng)用的發(fā)展，越來(lái)越多的應(yīng)用采用加密手段和私有協(xié)議進(jìn)行數(shù)據(jù)傳輸，網(wǎng)絡(luò)流量中能夠準(zhǔn)確識(shí)別到應(yīng)用層行為的占比呈現(xiàn)越來(lái)越低的趨勢(shì)。在當(dāng)前網(wǎng)絡(luò)應(yīng)用復(fù)雜多變的背景下，很多網(wǎng)絡(luò)攻擊行為具有隱蔽性，比如數(shù)據(jù)傳輸時(shí)采用知名網(wǎng)絡(luò)協(xié)議的端口，但是對(duì)傳輸流量?jī)?nèi)容進(jìn)行定制，傳統(tǒng)DPI很容易根據(jù)端口特征，將流量識(shí)別為知名應(yīng)用，但是實(shí)際上，網(wǎng)絡(luò)攻擊行為卻“瞞天過(guò)海”，繞過(guò)基于傳統(tǒng)DPI技術(shù)的IDS、防火墻等網(wǎng)絡(luò)安全屏障，在互聯(lián)網(wǎng)上肆意妄為。新型DPI技術(shù)在傳統(tǒng)DPI技術(shù)的基礎(chǔ)上，對(duì)流量的識(shí)別能力更強(qiáng)?；緦?shí)現(xiàn)原理是對(duì)接入的網(wǎng)絡(luò)流量根據(jù)網(wǎng)絡(luò)傳輸協(xié)議、內(nèi)容、流特征等多元化特征融合分析，實(shí)現(xiàn)網(wǎng)絡(luò)流量精準(zhǔn)識(shí)別。其目的是為了給后端的態(tài)勢(shì)感知系統(tǒng)提供準(zhǔn)確的、可控的數(shù)據(jù)來(lái)源。新型DPI技術(shù)通過(guò)對(duì)流量中傳輸?shù)牟煌瑧?yīng)用的傳輸協(xié)議、應(yīng)用層內(nèi)容、協(xié)議特征、流特征等進(jìn)行多維度的分析和打標(biāo)，形成協(xié)議識(shí)別引擎。新型DPI的協(xié)議識(shí)別引擎除了支持標(biāo)準(zhǔn)、知名應(yīng)用協(xié)議的識(shí)別，還可以對(duì)應(yīng)用層進(jìn)行深度識(shí)別。

2新型DPI技術(shù)在網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域的應(yīng)用

新型DPI技術(shù)主要應(yīng)用于數(shù)據(jù)采集和數(shù)據(jù)理解環(huán)節(jié)。在網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)采集環(huán)節(jié)，應(yīng)用新型DPI技術(shù)，可以實(shí)現(xiàn)網(wǎng)絡(luò)流量的精準(zhǔn)采集，避免安全要素?cái)?shù)據(jù)采集不全、漏采或者多采的現(xiàn)象。在網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)理解環(huán)節(jié)，在對(duì)數(shù)據(jù)進(jìn)行分析時(shí)，需要基于新型DPI技術(shù)的特征知識(shí)庫(kù)，提供數(shù)據(jù)標(biāo)準(zhǔn)的說(shuō)明，幫助態(tài)勢(shì)感知應(yīng)用可以理解這些安全要素?cái)?shù)據(jù)。新型DPI技術(shù)在進(jìn)行網(wǎng)絡(luò)流量分析時(shí)主要有以下步驟，（1）需要對(duì)攻擊威脅的流量特征、協(xié)議特征等進(jìn)行分析，將特征形成知識(shí)庫(kù)，協(xié)議識(shí)別引擎加載特征知識(shí)庫(kù)后，對(duì)實(shí)時(shí)流量進(jìn)行打標(biāo)，完成流量識(shí)別。這個(gè)步驟需要確保獲取的特征是有效且準(zhǔn)確的，需要基于真實(shí)的數(shù)據(jù)進(jìn)行測(cè)試統(tǒng)計(jì)，避免由于特征不準(zhǔn)確誤判或者特征不全面漏判的情況出現(xiàn)。有了特征庫(kù)之后，（2）根據(jù)特征庫(kù)，對(duì)流量進(jìn)行過(guò)濾、分發(fā)，識(shí)別流量中異常流量對(duì)應(yīng)的攻擊威脅行為。這個(gè)步驟仍然要借助于協(xié)議識(shí)別特征知識(shí)庫(kù)，在協(xié)議識(shí)別知識(shí)庫(kù)中記錄了網(wǎng)絡(luò)異常流量和攻擊威脅行為的映射關(guān)系，使得系統(tǒng)可以根據(jù)異常流量對(duì)應(yīng)的特征庫(kù)ID，進(jìn)而得出攻擊威脅行為日志。攻擊威脅行為日志包含捕獲時(shí)間、攻擊者IP和端口、被攻擊者IP和端口、攻擊流量特征、攻擊流量的行為類型等必要的字段信息。（3）根據(jù)網(wǎng)絡(luò)流量進(jìn)一步識(shí)別被攻擊的災(zāi)損評(píng)估，同樣是基于協(xié)議識(shí)別知識(shí)庫(kù)中行為特征庫(kù)，判斷有哪些災(zāi)損動(dòng)作產(chǎn)生、災(zāi)損波及的數(shù)據(jù)類型、數(shù)據(jù)范圍等。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的分析是基于步驟2產(chǎn)生的攻擊威脅行為日志中記錄的流量、域名、報(bào)文和惡意代碼等多元數(shù)據(jù)入手,對(duì)來(lái)自互聯(lián)網(wǎng)探針、終端、云計(jì)算和大數(shù)據(jù)平臺(tái)的威脅數(shù)據(jù)進(jìn)行處理,分析不同類型數(shù)據(jù)中潛藏的異常行為,對(duì)流量、域名、報(bào)文和惡意代碼等安全元素進(jìn)行多層次的檢測(cè)。針對(duì)步驟1的協(xié)議識(shí)別特征庫(kù)，可以采用兩種實(shí)現(xiàn)技術(shù)：分別是協(xié)議識(shí)別特征庫(kù)技術(shù)和流量“白名單”技術(shù)。

2.1協(xié)議識(shí)別特征庫(kù)

在網(wǎng)絡(luò)流量識(shí)別時(shí)，協(xié)議識(shí)別特征庫(kù)是非常重要的，形成協(xié)議識(shí)別特征庫(kù)主要有兩種方式。一種是傳統(tǒng)方式，正向流量分析方法。這種方法是基于網(wǎng)絡(luò)攻擊者的視角分析，模擬攻擊者的攻擊行為，進(jìn)而分析模擬網(wǎng)絡(luò)流量中的流量特征，獲取攻擊威脅的流量特征。這種方法準(zhǔn)確度高，但是需要對(duì)逐個(gè)應(yīng)用進(jìn)行模擬和分析，研發(fā)成本高且效率低下，而且隨著互聯(lián)網(wǎng)攻擊行為的層出不窮和不斷升級(jí)，這種分析方法往往存在一定的滯后性。第二種方法是近年隨著人工智能技術(shù)的進(jìn)步，逐漸應(yīng)用的智能識(shí)別特征庫(kù)。這種方法可以基于威脅流量的流特征、已有網(wǎng)絡(luò)攻擊、威脅行為特征庫(kù)等，通過(guò)AI智能算法來(lái)進(jìn)行訓(xùn)練，獲取智能特征庫(kù)。這種方式采用AI智能識(shí)別算法實(shí)現(xiàn)，雖然在準(zhǔn)確率方面要低于傳統(tǒng)方式，但是這種方法可以應(yīng)對(duì)互聯(lián)網(wǎng)上層出不窮的新應(yīng)用流量，效率更高。而且隨著特征庫(kù)的積累，算法本身具備更好的進(jìn)化特性，正在逐步替代傳統(tǒng)方式。智能特征庫(kù)不僅僅可以識(shí)別已經(jīng)出現(xiàn)的網(wǎng)絡(luò)攻擊行為，對(duì)于未來(lái)可能出現(xiàn)的網(wǎng)絡(luò)攻擊行為，也具備一定的適應(yīng)性，其適應(yīng)性更強(qiáng)。這種方式還有另一個(gè)優(yōu)點(diǎn)，通過(guò)對(duì)新發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊、威脅行為特征的不斷積累，完成樣本庫(kù)的自動(dòng)化更新，基于自動(dòng)化更新的樣本庫(kù)，實(shí)現(xiàn)自動(dòng)化更新的流量智能識(shí)別特征庫(kù)，進(jìn)而實(shí)現(xiàn)AI智能識(shí)別算法的自動(dòng)升級(jí)能力。為了確保采集流量精準(zhǔn)，新型DPI的協(xié)議識(shí)別特征庫(kù)具備更深度的協(xié)議特征識(shí)別能力，比如對(duì)于http協(xié)議能夠?qū)崿F(xiàn)基于頭部信息特征的識(shí)別，包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等頭部信息，對(duì)于https協(xié)議，也能夠?qū)崿F(xiàn)基于SNI的特征識(shí)別。對(duì)于目前主流應(yīng)用，支持識(shí)別的應(yīng)用類型包括網(wǎng)絡(luò)購(gòu)物、新聞、即時(shí)消息、微博、網(wǎng)絡(luò)游戲、應(yīng)用市場(chǎng)、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)音頻、網(wǎng)絡(luò)直播、DNS、遠(yuǎn)程控制等，新型DPI的協(xié)議特征識(shí)別庫(kù)更為強(qiáng)大。新型DPI的協(xié)議識(shí)別特征庫(kù)在應(yīng)用時(shí)還可以結(jié)合其他外部知識(shí)庫(kù)，使得分析更具目的性。比如通過(guò)結(jié)合全球IP地址庫(kù)，實(shí)現(xiàn)對(duì)境外流量定APP、特定URL或者特定DNS請(qǐng)求流量的識(shí)別，分析其中可能存在的跨境網(wǎng)絡(luò)攻擊、安全威脅行為等。

2.2流量“白名單”

在網(wǎng)絡(luò)流量識(shí)別時(shí)也同時(shí)應(yīng)用“流量白名單”功能，該功能通過(guò)對(duì)網(wǎng)絡(luò)訪問(wèn)流量規(guī)模的統(tǒng)計(jì)，對(duì)流量較大的、且已知無(wú)害的TOPN的應(yīng)用特征進(jìn)行提取，同時(shí)將這些特征標(biāo)記為“流量白名單”。由于“流量白名單”中的應(yīng)用往往對(duì)應(yīng)較高的網(wǎng)絡(luò)流量規(guī)模，在網(wǎng)絡(luò)流量識(shí)別時(shí)，可以優(yōu)先對(duì)流量進(jìn)行“流量白名單”特征比對(duì)，比對(duì)成功則直接標(biāo)記為“安全”。使用“流量白名單”技術(shù)，可以大大提高識(shí)別效率，將更多的分析和計(jì)算能力留給未知的、可疑的流量。流量白名單通常是域名形式，這就要求新型DPI技術(shù)能夠支持域名類型的流量識(shí)別和過(guò)濾。隨著https的廣泛應(yīng)用，也有很多流量較大的白名單網(wǎng)站采用https作為數(shù)據(jù)傳輸協(xié)議，新型DPI技術(shù)也必須能夠支持https證書類型的流量識(shí)別和過(guò)濾。流量白名單庫(kù)和協(xié)議識(shí)別特征庫(kù)對(duì)網(wǎng)絡(luò)流量的處理流程參考下圖1：

3新型DPI技術(shù)中數(shù)據(jù)標(biāo)準(zhǔn)

安全態(tài)勢(shì)感知系統(tǒng)在發(fā)展中，從各個(gè)廠商獨(dú)立作戰(zhàn)，到現(xiàn)在可以接入不同廠商的數(shù)據(jù)，實(shí)現(xiàn)多源數(shù)據(jù)的融合作戰(zhàn)，離不開(kāi)新型DPI技術(shù)中的數(shù)據(jù)標(biāo)準(zhǔn)化。為了保證各個(gè)廠商采集到的安全要素?cái)?shù)據(jù)能夠統(tǒng)一接入安全態(tài)勢(shì)感知系統(tǒng)，各廠商通過(guò)制定行業(yè)數(shù)據(jù)標(biāo)準(zhǔn)，一方面行業(yè)內(nèi)部的安全數(shù)據(jù)采集、數(shù)據(jù)理解達(dá)成一致，另一方面安全態(tài)勢(shì)感知系統(tǒng)在和行業(yè)外部系統(tǒng)進(jìn)行數(shù)據(jù)共享時(shí)，也能夠提供和接入標(biāo)準(zhǔn)化的數(shù)據(jù)。新型DPI技術(shù)中的數(shù)據(jù)標(biāo)準(zhǔn)包括三個(gè)部分，第一個(gè)部分是控制指令部分，安全態(tài)勢(shì)感知系統(tǒng)發(fā)送控制指令，新型DPI在接收到指令后，對(duì)采集的數(shù)據(jù)范圍進(jìn)行調(diào)整，實(shí)現(xiàn)數(shù)據(jù)采集的可視化、可定制化。同時(shí)不同的廠商基于同一套控制指令，也可以實(shí)現(xiàn)不同廠商設(shè)備之間指令操作的暢通無(wú)阻。第二個(gè)部分是安全要素?cái)?shù)據(jù)部分，新型DPI在輸出安全要素?cái)?shù)據(jù)時(shí)，基于統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，比如HTTP類型的數(shù)據(jù)，統(tǒng)一輸出頭域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常見(jiàn)頭部和頭部關(guān)鍵內(nèi)容。對(duì)于DNS類型的數(shù)據(jù)，統(tǒng)一輸出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通過(guò)定義數(shù)據(jù)描述文件，對(duì)輸出字段順序、字段說(shuō)明進(jìn)行描述。針對(duì)不同的協(xié)議數(shù)據(jù)，定義各自的數(shù)據(jù)輸出標(biāo)準(zhǔn)。數(shù)據(jù)輸出標(biāo)準(zhǔn)也可以從業(yè)務(wù)應(yīng)用角度進(jìn)行區(qū)分，比如針對(duì)網(wǎng)絡(luò)攻擊行為1定義該行為采集到安全要素?cái)?shù)據(jù)的輸出標(biāo)準(zhǔn)。第三個(gè)部分是內(nèi)容組織標(biāo)準(zhǔn)，也就是需要定義安全要素?cái)?shù)據(jù)以什么形式記錄，如果是以文件形式記錄，標(biāo)準(zhǔn)中就需要約定文件內(nèi)容組織形式、文件命名標(biāo)準(zhǔn)等，以及為了便于文件傳輸，文件的壓縮和加密標(biāo)準(zhǔn)等。安全態(tài)勢(shì)感知系統(tǒng)中安全要素?cái)?shù)據(jù)標(biāo)準(zhǔn)構(gòu)成參考下圖2：新型DPI技術(shù)的數(shù)據(jù)標(biāo)準(zhǔn)為安全態(tài)勢(shì)領(lǐng)域各類網(wǎng)絡(luò)攻擊、異常監(jiān)測(cè)等數(shù)據(jù)融合應(yīng)用提供了基礎(chǔ)支撐，為不同領(lǐng)域廠商之間數(shù)據(jù)互通互聯(lián)、不同系統(tǒng)之間數(shù)據(jù)共享提供便利。

4新型DPI技術(shù)面臨的挑戰(zhàn)

目前互聯(lián)網(wǎng)技術(shù)日新月異、各類網(wǎng)絡(luò)應(yīng)用層出不窮的背景下，新型DPI技術(shù)在安全要素采集時(shí)，需要從互聯(lián)網(wǎng)流量中，將網(wǎng)絡(luò)攻擊、異常流量識(shí)別出來(lái)，這項(xiàng)工作難度越來(lái)越大。同時(shí)隨著5G應(yīng)用越來(lái)越廣泛，萬(wàn)物互聯(lián)離我們的生活越來(lái)越近，接入網(wǎng)絡(luò)的終端類型也多種多樣，針對(duì)不同類型終端的網(wǎng)絡(luò)攻擊也更為“個(gè)性化”。新型DPI技術(shù)需要從規(guī)模越來(lái)越大的互聯(lián)網(wǎng)流量中，將網(wǎng)絡(luò)安全相關(guān)的要素?cái)?shù)據(jù)準(zhǔn)確獲取到仍然有很長(zhǎng)的路要走。基于新型DPI技術(shù)，完成網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)中的安全要素?cái)?shù)據(jù)采集，實(shí)現(xiàn)從網(wǎng)絡(luò)流量到數(shù)據(jù)的轉(zhuǎn)化，這只是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的第一步。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)還需要基于網(wǎng)絡(luò)安全威脅評(píng)估實(shí)現(xiàn)從數(shù)據(jù)到信息、從信息到網(wǎng)絡(luò)安全威脅情報(bào)的完整轉(zhuǎn)化過(guò)程，對(duì)網(wǎng)絡(luò)異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊等多種類型的網(wǎng)絡(luò)安全威脅數(shù)據(jù)進(jìn)行統(tǒng)計(jì)建模與評(píng)估，網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)才能做到對(duì)攻擊行為、網(wǎng)絡(luò)系統(tǒng)異常等的及時(shí)發(fā)現(xiàn)與檢測(cè)，實(shí)現(xiàn)全貌還原攻擊事件、攻擊者意圖，客觀評(píng)估攻擊投入和防護(hù)效能，為威脅溯源提供必要的線索。

5結(jié)論

篇8

大數(shù)據(jù)安全標(biāo)準(zhǔn)化研究進(jìn)展

國(guó)家信息安全標(biāo)準(zhǔn)化概述

物聯(lián)網(wǎng)安全參考架構(gòu)研究

無(wú)線網(wǎng)絡(luò)的中間人攻擊研究

國(guó)內(nèi)外云計(jì)算安全標(biāo)準(zhǔn)研究

移動(dòng)互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)綜述

智慧校園一卡通系統(tǒng)安全研究

融合的世界需要安全模式的創(chuàng)新

美國(guó)網(wǎng)絡(luò)威懾戰(zhàn)略解析及啟示

物理空間信息安全技術(shù)發(fā)展綜述

可見(jiàn)光信息隱蔽傳輸與檢測(cè)技術(shù)

基于大數(shù)據(jù)分析的APT防御方法

面向大數(shù)據(jù)安全的密碼技術(shù)研究

數(shù)據(jù)安全重刪系統(tǒng)與關(guān)鍵技術(shù)研究

惡意URL多層過(guò)濾檢測(cè)模型策略研究

基于RI碼計(jì)算的Word復(fù)制文檔鑒別

無(wú)線通信調(diào)制信號(hào)的信息安全風(fēng)險(xiǎn)分析

惡意USB設(shè)備攻擊與防護(hù)技術(shù)研究

大數(shù)據(jù)安全和隱私保護(hù)技術(shù)架構(gòu)研究

面向網(wǎng)絡(luò)搜索日志的方法研究

基于數(shù)字簽名的QR碼水印認(rèn)證系統(tǒng)

大數(shù)據(jù)安全形勢(shì)下電商的機(jī)遇與挑戰(zhàn)

基于聲信道的隱蔽信息傳輸關(guān)鍵技術(shù)

應(yīng)急資源大數(shù)據(jù)云安全管理模式研究

滲透測(cè)試之信息搜集的研究與漏洞防范

一種新型的RSA密碼體制模數(shù)分解算法

基于WinHex手機(jī)圖片信息的恢復(fù)與取證

光纖通信的光信息獲取及防護(hù)技術(shù)研究

基于Web日志的Webshell檢測(cè)方法研究

國(guó)內(nèi)外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)研究

智慧城市網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化研究及進(jìn)展

智慧城市網(wǎng)絡(luò)安全保障評(píng)價(jià)體系研究

一種基于安卓系統(tǒng)的手機(jī)側(cè)抓包分析方法

大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)輿情管理與引導(dǎo)研究

基于系統(tǒng)調(diào)用的惡意軟件檢測(cè)技術(shù)研究

安全通論——“非盲對(duì)抗”之“童趣游戲”

應(yīng)對(duì)高級(jí)網(wǎng)絡(luò)威脅建立新型網(wǎng)絡(luò)防御系統(tǒng)

基于人工免疫的移動(dòng)惡意代碼檢測(cè)模型

烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析

一種實(shí)時(shí)網(wǎng)絡(luò)風(fēng)險(xiǎn)可視化技術(shù)研究及實(shí)現(xiàn)

電商大數(shù)據(jù)服務(wù)與監(jiān)管時(shí)代的機(jī)遇與合作

更快、更高、更強(qiáng):DT時(shí)代的信息安全挑戰(zhàn)

信息設(shè)備電磁泄漏還原圖像的文本識(shí)別研究

網(wǎng)絡(luò)空間信息基礎(chǔ)設(shè)施核心要素的自主之路

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是“牛鼻子”促進(jìn)標(biāo)準(zhǔn)實(shí)施應(yīng)用

Windows7下USB存儲(chǔ)設(shè)備接入痕跡的證據(jù)提取

基于大數(shù)據(jù)分析的電信基礎(chǔ)網(wǎng)安全態(tài)勢(shì)研究

篇9

此外，瑞星在2012年7月的信息安全報(bào)告顯示，感染型病毒仍普遍存在于國(guó)內(nèi)企業(yè)網(wǎng)絡(luò)中，嚴(yán)重影響企業(yè)辦公效率。同時(shí)，由員工網(wǎng)絡(luò)操作不當(dāng)造成的黑客入侵、商業(yè)機(jī)密泄露也威脅著企業(yè)的生存和發(fā)展。

B/S+C/S混合架構(gòu)

隨著企業(yè)不斷壯大、業(yè)務(wù)量增加，企業(yè)網(wǎng)絡(luò)環(huán)境也日漸復(fù)雜：終端多，增速快，分布在全國(guó)甚至在全球各地；企業(yè)內(nèi)部存在大量異構(gòu)網(wǎng)絡(luò)，IT運(yùn)維面臨桌面終端無(wú)法可視化和可管理化的難題。

以往的安全解決方案多采用B/S或C/S單一架構(gòu)。C/S架構(gòu)的優(yōu)點(diǎn)是容易開(kāi)發(fā)，操作簡(jiǎn)單，但應(yīng)用程序升級(jí)和客戶端維護(hù)麻煩，運(yùn)維工作量大。近年來(lái)，一線安全廠商出于便捷管理的需要，大都采用B/S架構(gòu)，通過(guò)外部網(wǎng)絡(luò)也可以對(duì)系統(tǒng)進(jìn)行維護(hù)，并且能夠降低了成本。但B/S架構(gòu)難以做到實(shí)時(shí)性，IT人員下發(fā)的安全策略難以盡快部署完畢。瑞星安全專家唐威表示，這是因?yàn)锽/S架構(gòu)不能實(shí)現(xiàn)在網(wǎng)絡(luò)上直接檢測(cè)和接收指令。

單一的B/S或C/S架構(gòu)都難以應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境，滿足用戶的多樣化需求。為此，瑞星近日了瑞星企業(yè)終端安全管理系統(tǒng)，創(chuàng)新性地采用B/S+C/S混合架構(gòu)，以幫助企業(yè)應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境?！盎旌霞軜?gòu)的好處在于既容易操作，又具有靈活性、伸縮性和實(shí)時(shí)性。”唐威稱，“瑞星企業(yè)終端安全管理系統(tǒng)的定位是平臺(tái)化的系統(tǒng)，其設(shè)計(jì)理念是整合B/S和C/S架構(gòu)的優(yōu)勢(shì)，在不打破用戶習(xí)慣的前提下，根據(jù)用戶的個(gè)性化需求，將公司的Web體系和OA系統(tǒng)整合，集成到行業(yè)管理平臺(tái)中?！卑凑仗仆慕忉專撓到y(tǒng)通過(guò)混合架構(gòu)對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行一體化管理，并且可以實(shí)時(shí)部署安全策略。

混合架構(gòu)之所以能實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)環(huán)境的安全管理，得益于瑞星的一項(xiàng)自主研發(fā)的核心技術(shù)——網(wǎng)絡(luò)通信中間件?！叭绻褂玫谌交蜷_(kāi)源的通信中間件，在可靠性方面會(huì)存在問(wèn)題。瑞星自主開(kāi)發(fā)使得效率提升和安全性都能得到保證?！比鹦茄邪l(fā)部產(chǎn)品經(jīng)理盛穎表示，IT人員部署安全策略之后很快就能得到反饋結(jié)果，這在很大程度上提升了用戶體驗(yàn)。

內(nèi)外網(wǎng)管理一體化

對(duì)于怎樣完善內(nèi)網(wǎng)安全策略，企業(yè)并沒(méi)有一個(gè)明確的思路。企業(yè)甚至不知道該從哪里著手。企業(yè)已經(jīng)意識(shí)到制定完善的安全策略的重要性，但是仍有疏漏。企業(yè)的網(wǎng)絡(luò)安全建設(shè)落后，不同品牌和功能的信息安全設(shè)備被雜亂無(wú)章地堆疊在企業(yè)網(wǎng)絡(luò)中，不但兼容性差，還容易造成企業(yè)網(wǎng)絡(luò)擁堵，降低辦公效率。對(duì)此，瑞星研發(fā)部產(chǎn)品經(jīng)理盛穎在接受本報(bào)記者采訪時(shí)表示：“內(nèi)網(wǎng)安全解決方案已經(jīng)不只是簡(jiǎn)單地做好內(nèi)網(wǎng)安全，而是應(yīng)該包括外網(wǎng)安全并向整個(gè)網(wǎng)絡(luò)安全解決方案發(fā)展。安全廠商必須提供一攬子方案，而不是讓用戶自己拼湊出一個(gè)安全系統(tǒng)。”

瑞星企業(yè)終端安全管理系統(tǒng)分為管理和維護(hù)兩大部分。在內(nèi)網(wǎng)管理上，該系統(tǒng)囊括了內(nèi)網(wǎng)安全管理、客戶端行為審計(jì)、即時(shí)通信管理和審計(jì)、客戶端漏洞掃描和補(bǔ)丁管理等功能。用戶可以通過(guò)可視化界面對(duì)企業(yè)內(nèi)網(wǎng)客戶端的使用情況和網(wǎng)絡(luò)訪問(wèn)情況進(jìn)行全面的管理和審計(jì)。在內(nèi)網(wǎng)和外網(wǎng)統(tǒng)一管理方面，該系統(tǒng)加入了IT資產(chǎn)管理功能，使管理員能夠在全網(wǎng)范圍內(nèi)對(duì)軟硬件的異常情況一覽無(wú)遺。同時(shí)，為了應(yīng)對(duì)不同規(guī)模和行業(yè)的用戶對(duì)安全的差異化需求，瑞星企業(yè)終端安全管理系統(tǒng)采用模塊化設(shè)計(jì)，企業(yè)可以根據(jù)自身情況定制相應(yīng)功能模塊，并且可以在瑞星在線商城購(gòu)買和升級(jí)。

篇10

關(guān)鍵詞：電子政務(wù)外網(wǎng) 安全管理平臺(tái) SOC 安全策略

一、前言

國(guó)家電子政務(wù)外網(wǎng)作為一個(gè)支持跨部門和地區(qū)業(yè)務(wù)應(yīng)用、數(shù)據(jù)交換和信息共享的電子政務(wù)建設(shè)的新生事物，盡管其建設(shè)規(guī)模還不大，建設(shè)時(shí)間也不長(zhǎng)，但在國(guó)家有關(guān)部門的指導(dǎo)和支持下，依靠各部委和各地的通力合作，它已經(jīng)充分展現(xiàn)了一個(gè)創(chuàng)新性網(wǎng)絡(luò)巨大的活力，開(kāi)始得到了各部門和各地的重視和關(guān)注。目前，已有30多個(gè)部門的系統(tǒng)平臺(tái)接入政務(wù)外網(wǎng)，例如國(guó)務(wù)院應(yīng)急辦國(guó)家應(yīng)急平臺(tái)外網(wǎng)系統(tǒng)、自然資源和地理空間基礎(chǔ)數(shù)據(jù)庫(kù)、文化部文化信息資源共享平臺(tái)等一批關(guān)系國(guó)計(jì)民生的重要系統(tǒng)接入政務(wù)外網(wǎng)。從政務(wù)外網(wǎng)建設(shè)及應(yīng)用情況來(lái)看，各部門對(duì)政務(wù)外網(wǎng)的需求是緊迫的，同時(shí)也對(duì)政務(wù)外網(wǎng)的安全性有了更高的要求。

二、國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)概述

如何對(duì)國(guó)家電子政務(wù)外網(wǎng)的安全進(jìn)行有效的管理，如何保證利用政務(wù)外網(wǎng)開(kāi)展業(yè)務(wù)的應(yīng)用系統(tǒng)的安全性，是對(duì)負(fù)責(zé)政務(wù)外網(wǎng)網(wǎng)絡(luò)安全的人員管理能力的一種考驗(yàn)。傳統(tǒng)的安全管理方式是將分散在各地、不同種類的安全防護(hù)系統(tǒng)分別管理，這樣導(dǎo)致安全信息分散、互不相通，安全策略難以保持一致。因此這種傳統(tǒng)的管理運(yùn)行方式成為許許多多安全隱患形成的根源，很難對(duì)國(guó)家電子政務(wù)外網(wǎng)進(jìn)行統(tǒng)一的、有效的安全管理。

國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)（Security Operation Center，SOC）為電子政務(wù)外網(wǎng)制定統(tǒng)一安全策略、統(tǒng)一安全標(biāo)準(zhǔn)，實(shí)現(xiàn)全網(wǎng)統(tǒng)一管理和監(jiān)控，保障電子政務(wù)外網(wǎng)安全、穩(wěn)定、高效地運(yùn)行，實(shí)現(xiàn)政務(wù)外網(wǎng)基于安全的互聯(lián)互通。國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)實(shí)現(xiàn)了將不同位置、不同類型設(shè)備，不同安全系統(tǒng)中分散且海量的單一安全事件進(jìn)行匯總、過(guò)濾、收集和關(guān)聯(lián)分析，得出整個(gè)電子政務(wù)外網(wǎng)的全局安全風(fēng)險(xiǎn)事件，并形成統(tǒng)一的安全決策對(duì)安全事件進(jìn)行響應(yīng)和處理，從而保障電子政務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)的真實(shí)性、完整性和保密性。

三、國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)框架

國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)（SOC)的主要思想是采用多種安全產(chǎn)品的Agent和安全控制中心，最大化地利用技術(shù)手段，在統(tǒng)一安全策略的指導(dǎo)下，將系統(tǒng)中的各個(gè)安全部件協(xié)同起來(lái)，實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)安全資源的集中監(jiān)控、統(tǒng)一策略管理、智能審計(jì)及多種安全功能模塊之間的互動(dòng)，并且能夠在多個(gè)安全部件協(xié)同的基礎(chǔ)上實(shí)現(xiàn)實(shí)時(shí)監(jiān)控、安全事件預(yù)警、報(bào)表處理、統(tǒng)計(jì)分析、應(yīng)急響應(yīng)等功能，使得網(wǎng)絡(luò)安全管理工作由繁變簡(jiǎn)，更為有效。

國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)（SOC）的體系架構(gòu)具備適應(yīng)性強(qiáng)（能夠適用于不同省級(jí)節(jié)點(diǎn)接入網(wǎng)絡(luò)和系統(tǒng)環(huán)境）、可擴(kuò)充性強(qiáng)、集中化安全管理等優(yōu)點(diǎn)，其框架體系主要是為了解決目前各類安全產(chǎn)品各自為陣、難以組成一個(gè)整體安全防御體系的問(wèn)題。真正的整體安全是在一個(gè)整體的安全策略下，安全產(chǎn)品、安全管理、安全服務(wù)以及管理制度相互協(xié)調(diào)的基礎(chǔ)上才能夠?qū)崿F(xiàn)。國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)（SOC）框架如圖1所示。

四、國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)的主要功能

國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)為系統(tǒng)管理員和用戶提供對(duì)系統(tǒng)整體安全的監(jiān)管，它在整個(gè)政務(wù)外網(wǎng)體系與各類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁，使得各類安全手段能與現(xiàn)有的國(guó)家電子政務(wù)外網(wǎng)應(yīng)用體系緊密結(jié)合而實(shí)現(xiàn)無(wú)縫連接，以促成網(wǎng)絡(luò)安全與國(guó)家電子政務(wù)外網(wǎng)應(yīng)用的真正一體化。目前，國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)基本實(shí)現(xiàn)了對(duì)國(guó)家電子政務(wù)外網(wǎng)中央城域網(wǎng)、廣域網(wǎng)骨干網(wǎng)的主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備和網(wǎng)絡(luò)承載的業(yè)務(wù)系統(tǒng)的安全事件的管理，并具備監(jiān)控、預(yù)警、響應(yīng)、審計(jì)追蹤等功能。

圖2描述了國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)的功能框架。以下對(duì)其功能予以詳細(xì)闡述。

⒈統(tǒng)一管理

政務(wù)外網(wǎng)安全管理平臺(tái)（SOC）建立在安全設(shè)備部署的基礎(chǔ)之上，主要圍繞安全的預(yù)防、發(fā)現(xiàn)、反應(yīng)環(huán)節(jié)搭建，實(shí)現(xiàn)了安全預(yù)警、集中監(jiān)控、安全事件處理等更高層次的安全管理。這些建立在安全設(shè)備部署之上的安全管理包括：預(yù)防環(huán)節(jié)的安全預(yù)警信息通告，安全評(píng)估結(jié)果綜合分析的安全信息庫(kù)；發(fā)現(xiàn)環(huán)節(jié)的收集防火墻、入侵檢測(cè)、日志系統(tǒng)、防病毒系統(tǒng)中的有關(guān)安全事件，呈現(xiàn)安全告警的集中安全監(jiān)控系統(tǒng)；反應(yīng)環(huán)節(jié)的以電子流的方式，進(jìn)行安全事件處理流轉(zhuǎn)，保存安全事件處理經(jīng)驗(yàn)的安全事件運(yùn)行系統(tǒng)。

政務(wù)外網(wǎng)安全管理平臺(tái)（SOC)對(duì)各種安全產(chǎn)品的監(jiān)控和管理，可以利用各個(gè)安全子系統(tǒng)中已有的信息采集和控制機(jī)制來(lái)實(shí)現(xiàn)，也可以采用直接與安全設(shè)備交互的方式進(jìn)行，主要取決于各個(gè)安全子系統(tǒng)自身的構(gòu)架以及提供的管理接口。

⒉安全事件實(shí)時(shí)監(jiān)控與實(shí)時(shí)通報(bào)

網(wǎng)絡(luò)安全工作的本質(zhì)在于控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，風(fēng)險(xiǎn)管理是安全管理的核心?？疾彀踩杀竞桶踩{后果之間的關(guān)系，以可接受的成本來(lái)降低安全風(fēng)險(xiǎn)到可接受的水平。

國(guó)家電子政務(wù)外網(wǎng)上的各種安全設(shè)備和產(chǎn)品每天都要產(chǎn)生大量的各種安全事件。對(duì)這些事件的集中監(jiān)視是控制網(wǎng)絡(luò)風(fēng)險(xiǎn)、保證網(wǎng)絡(luò)業(yè)務(wù)正常運(yùn)行的重要手段。國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)專注于整個(gè)政務(wù)外網(wǎng)安全相關(guān)事件的實(shí)時(shí)監(jiān)控，收集并匯總重大安全事件的數(shù)據(jù)（如：大規(guī)模蠕蟲(chóng)事件，重大攻擊事件等），進(jìn)行關(guān)聯(lián)性分析，全面提高對(duì)網(wǎng)絡(luò)事件的快速反應(yīng)能力；同時(shí)，將安全事件備份到后臺(tái)的數(shù)據(jù)庫(kù)中，以備查詢和生成安全運(yùn)行報(bào)告。

安全事件通報(bào)與業(yè)務(wù)系統(tǒng)、工作流緊密結(jié)合。國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)在發(fā)現(xiàn)某政務(wù)外網(wǎng)業(yè)務(wù)系統(tǒng)內(nèi)出現(xiàn)安全事件后，還將及時(shí)把這些安全事件通知各業(yè)務(wù)系統(tǒng)的管理員以便及時(shí)予以處理。

⒊全網(wǎng)統(tǒng)一安全策略

對(duì)于電子政務(wù)外網(wǎng)的安全運(yùn)行維護(hù)，最具有挑戰(zhàn)性的莫過(guò)于保持全網(wǎng)策略的一致性。尤其是對(duì)于日新月異的網(wǎng)絡(luò)安全技術(shù)，需要經(jīng)常性頻繁應(yīng)對(duì)出現(xiàn)的新漏洞，根據(jù)新的業(yè)務(wù)調(diào)整安全策略。

國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)支持統(tǒng)一、集成的策略管理，包括策略的制定、分發(fā)和策略執(zhí)行情況的檢查。安全策略管理包括設(shè)備安全策略、事件響應(yīng)策略和全局安全策略等。

統(tǒng)一安全策略管理制訂全網(wǎng)的安全策略，這些策略文件可下發(fā)給各相關(guān)部門，通過(guò)直接（也可以手工）的方式進(jìn)行配置落實(shí)。策略的管理能夠通過(guò)全局策略的調(diào)整、業(yè)務(wù)的變化、各網(wǎng)管和部門反饋來(lái)的意見(jiàn)等情況，不斷調(diào)整、優(yōu)化安全策略。

⒋基于角色的安全事件可視化

國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)提供統(tǒng)一的安全管理，并為不同級(jí)別和性質(zhì)的管理員提供不同層次和性質(zhì)的管理視圖。由于電子政務(wù)外網(wǎng)內(nèi)部網(wǎng)絡(luò)系統(tǒng)是一個(gè)復(fù)雜的分布式大規(guī)模網(wǎng)絡(luò)，因此核心層、分布層以及接入層的網(wǎng)絡(luò)管理員具有不同的職責(zé)。系統(tǒng)不但能夠提供運(yùn)行核心層的管理員對(duì)所有安全系統(tǒng)宏觀的管理視圖，也能夠?yàn)楦鞯刂饕獦I(yè)務(wù)網(wǎng)絡(luò)的管理員對(duì)自己管轄區(qū)域內(nèi)的安全設(shè)備和安全系統(tǒng)部件進(jìn)行區(qū)域自治管理，此外，還能夠通過(guò)安全管理平臺(tái)（SOC）對(duì)分布于整個(gè)網(wǎng)絡(luò)的某個(gè)安全子系統(tǒng)，進(jìn)行整體安全策略的發(fā)放和狀態(tài)監(jiān)測(cè)及管理。

安全管理平臺(tái)（SOC）根據(jù)需要設(shè)置可視化條件，實(shí)時(shí)在全網(wǎng)拓?fù)鋱D中顯示最重要的多組事件，包括設(shè)備名稱、事件定位、風(fēng)險(xiǎn)概況、脆弱性等信息（如圖3所示）。

⒌安全事件關(guān)聯(lián)分析

安全管理平臺(tái)（SOC）要對(duì)各個(gè)不同安全設(shè)備（入侵檢測(cè)、漏洞掃描、防火墻等）報(bào)告的安全信息進(jìn)行集中的數(shù)據(jù)挖掘和分析，進(jìn)行全局的相關(guān)性分析和報(bào)表顯示，以發(fā)現(xiàn)低級(jí)安全事件相關(guān)聯(lián)后表現(xiàn)出的高級(jí)安全事件，以及異常行為之間、漏洞和入侵之間的對(duì)應(yīng)關(guān)系，便于對(duì)攻擊的確認(rèn)和安全策略的調(diào)整。國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)目前支持基于規(guī)則的關(guān)聯(lián)分析、基于統(tǒng)計(jì)的關(guān)聯(lián)分析和基于漏洞的關(guān)聯(lián)分析等3種形式。根據(jù)此關(guān)聯(lián)分析的功能，結(jié)合國(guó)家電子政務(wù)外網(wǎng)的業(yè)務(wù)應(yīng)用系統(tǒng)的事件特征，通過(guò)分析與制定安全域與業(yè)務(wù)安全控制策略和基于業(yè)務(wù)應(yīng)用的流程異常監(jiān)控，制定相關(guān)的特定關(guān)聯(lián)分析規(guī)則，配合事件監(jiān)控、拓?fù)涔芾砑熬C合顯示等方面的內(nèi)容，從而實(shí)現(xiàn)國(guó)家電子政務(wù)外網(wǎng)業(yè)務(wù)安全監(jiān)控及追蹤功能的事件定位。

⒍宏觀分析與安全決策支持

安全管理平臺(tái)（SOC）應(yīng)支持對(duì)各安全設(shè)備上報(bào)的所有安全數(shù)據(jù)進(jìn)行宏觀統(tǒng)計(jì)、分析和決策支持。宏觀統(tǒng)計(jì)分析主要是在大量數(shù)據(jù)的基礎(chǔ)上，對(duì)安全事件進(jìn)行綜合分析，比如將攻擊信息和安全漏洞信息關(guān)聯(lián)起來(lái)，產(chǎn)生詳盡的安全報(bào)告，提供安全決策支持，強(qiáng)有力地支持全網(wǎng)安全事件的及時(shí)發(fā)現(xiàn)（檢測(cè)）、準(zhǔn)確定位（追蹤）、盡快處理（應(yīng)急響應(yīng)）、進(jìn)一步防范（預(yù)警）以及全網(wǎng)安全策略制定（策略）。國(guó)家電子政務(wù)外網(wǎng)運(yùn)行維護(hù)管理員根據(jù)宏觀分析提供的全局安全狀況和安全態(tài)勢(shì)信息，并結(jié)合電子政務(wù)外網(wǎng)的管理體系、人員管理規(guī)章制度、管理流程以及行政管理規(guī)定,為針對(duì)安全事件的處理決策提供支持。圖4、圖5展示了安全管理人員可以借助安全管理平臺(tái)展示的全方位安全信息對(duì)政務(wù)外網(wǎng)的安全態(tài)勢(shì)進(jìn)行宏觀把握，為決策提供支持。

⒎安全事件全局預(yù)警

對(duì)于像沖擊波、紅色代碼等危害較大的網(wǎng)絡(luò)蠕蟲(chóng)的較大規(guī)模入侵，從一個(gè)地區(qū)向另一地區(qū)滲透可能有一定的延時(shí)。在這段延時(shí)期間，安全管理平臺(tái)（SOC）有義務(wù)將這種警報(bào)到尚未受攻擊的區(qū)域中去，以起到提前布防的預(yù)警作用。

國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)接到的報(bào)警如果符合提前設(shè)定的全局預(yù)警范圍，則將其下發(fā)到非來(lái)源的省級(jí)政務(wù)網(wǎng)絡(luò)中心，結(jié)合報(bào)警信息轉(zhuǎn)發(fā)及上傳的功能，實(shí)現(xiàn)這一報(bào)警事件下發(fā)到所有省級(jí)政務(wù)外網(wǎng)結(jié)點(diǎn)（如圖6所示）。

⒏安全事件知識(shí)庫(kù)

為了實(shí)現(xiàn)安全事件的集中收集、記錄、審計(jì)和流程化處理（集中、分類、入庫(kù)、處理），共享最新安全知識(shí)，保證國(guó)家電子政務(wù)外網(wǎng)安全人才的儲(chǔ)備，安全管理平臺(tái)（SOC）建立安全事件知識(shí)庫(kù)。知識(shí)庫(kù)將國(guó)家電子政務(wù)外網(wǎng)各級(jí)安全管理平臺(tái)的安全管理信息收集起來(lái)，為國(guó)家電子政務(wù)外網(wǎng)各級(jí)安全維護(hù)人員形成統(tǒng)一的安全共享知識(shí)庫(kù)，以完成安全信息管理和WEB，主要實(shí)現(xiàn)安全管理信息、安全事件庫(kù)、安全策略配置庫(kù)、安全技術(shù)信息交流、處置預(yù)案庫(kù)、補(bǔ)丁庫(kù)、安全知識(shí)庫(kù)等欄目的信息管理和瀏覽。安全管理員可以通過(guò)安全知識(shí)庫(kù)的輔助工具學(xué)習(xí)，了解相關(guān)知識(shí)，輔助進(jìn)行運(yùn)維工作。圖7是一個(gè)安全知識(shí)庫(kù)的截屏。

五、國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)的部署

根據(jù)國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)的組成，政務(wù)外網(wǎng)安全管理平臺(tái)最終建成分層分級(jí)結(jié)構(gòu)：頂級(jí)為國(guó)家級(jí)安全管理平臺(tái)，第二級(jí)為省部級(jí)安全管理平臺(tái)，第三級(jí)為縣市級(jí)安全管理平臺(tái)。各級(jí)網(wǎng)絡(luò)安全管理中心負(fù)責(zé)對(duì)本級(jí)電子政務(wù)外網(wǎng)實(shí)施安全監(jiān)控和集中管理。上級(jí)網(wǎng)絡(luò)安全管理中心可對(duì)下級(jí)網(wǎng)絡(luò)安全管理中心進(jìn)行統(tǒng)一安全策略、運(yùn)行狀態(tài)監(jiān)控、安全信息收集等操作。下級(jí)網(wǎng)絡(luò)安全管理中心可接受上級(jí)網(wǎng)絡(luò)安全管理中心的安全預(yù)警信息。國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)整體部署如圖8所示。

在部署政務(wù)外網(wǎng)各級(jí)安全管理平臺(tái)過(guò)程中，涉及兩類下級(jí)安全管理平臺(tái)：一是新建的安全管理平臺(tái)，另一類是已建的安全管理平臺(tái)。對(duì)于新建的安全管理平臺(tái)在接入上級(jí)安全管理平臺(tái)時(shí)將在統(tǒng)一設(shè)計(jì)、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一技術(shù)規(guī)范、統(tǒng)一部署的原則下進(jìn)行建設(shè)，與上級(jí)安全管理平臺(tái)實(shí)現(xiàn)平滑和無(wú)縫對(duì)接。

部分電子政務(wù)建設(shè)比較好的省市，可能已建成安全管理平臺(tái)。在這種情況下，由于早期建設(shè)的安全管理平臺(tái)沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，在管理對(duì)象、管理方式、協(xié)議支持等方面不盡相同，所以此類安全管理平臺(tái)不能直接與國(guó)家級(jí)安全管理平臺(tái)進(jìn)行對(duì)接。因此需要針對(duì)不同的安全管理平臺(tái)進(jìn)行調(diào)研和分析，本著最小改造的原則，為其增加設(shè)備，通過(guò)機(jī)制實(shí)現(xiàn)其與上級(jí)安全管理平臺(tái)的對(duì)接。

六、總結(jié)

目前，國(guó)家電子政務(wù)外網(wǎng)中央安全管理平臺(tái)的建設(shè)已基本建設(shè)完畢。通過(guò)幾個(gè)月的建設(shè)工作，安全管理平臺(tái)的實(shí)施為國(guó)家電子政務(wù)外網(wǎng)的安全運(yùn)轉(zhuǎn)提供了良好的保障。首先，國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)提升了信息安全事件的處理水平。因?yàn)榇罅康陌踩录ㄟ^(guò)安全管理平臺(tái)的過(guò)濾、歸并和排序后，降低到一個(gè)人工能夠處理的數(shù)量級(jí)。另外，安全管理平臺(tái)（SOC）自帶的專家知識(shí)庫(kù)能夠幫助平臺(tái)管理員正確地處理事件，減低了安全技術(shù)的門檻，為運(yùn)維人員提供了有力的技術(shù)支持。其次，國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)提供了良好的可視化技術(shù)，用圖形化的方法向管理員展示了整個(gè)國(guó)家電子政務(wù)外網(wǎng)的安全整體狀況，便于管理員從宏觀上對(duì)全網(wǎng)的安全態(tài)勢(shì)進(jìn)行整體把握。

綜上所述，國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)的實(shí)施是針對(duì)政務(wù)網(wǎng)絡(luò)系統(tǒng)傳統(tǒng)管理方式的一種重大變革。它結(jié)合政務(wù)網(wǎng)絡(luò)自身的特點(diǎn)，將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進(jìn)行匯總、過(guò)濾、收集和關(guān)聯(lián)分析，得出全局角度的安全態(tài)勢(shì)，并形成統(tǒng)一的安全決策對(duì)安全事件進(jìn)行響應(yīng)和處理。

作者簡(jiǎn)介：

郭紅，女，1966年生，漢族，北京人，高級(jí)工程師，國(guó)家信息中心網(wǎng)絡(luò)安全部處長(zhǎng)，研究方向：網(wǎng)絡(luò)安全。

王勇，男，1977年生，漢族，山東鄄城人，國(guó)家信息中心網(wǎng)絡(luò)安全部工程師，研究方向：網(wǎng)絡(luò)安全。