导语:如何才能写好一篇网络安全事件管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
(3)组织内的各种安全设备都针对某一部分的网络安全威胁而设置,整个组织内各安全设备无法形成一个有效的,整合的安全防护功能。
针对以上问题,安全事件管理器技术作为一种新的网络安全防护技术被提出来了,与其它的网络安全防护技术相比,它更强调对整个组织网络内的整体安全防护,侧重于各安全设备之间的信息共享与信息关联,从而提供更为强大的,更易于被安全人员使用的网络安全保护功能。
2安全事件管理器的概念与架构
2.1安全事件管理器概念
安全事件管理器的概念主要侧重于以下二个方面:
(1)整合性:现阶段组织内部安装的多种安全设备随时产生大量的安全事件信息,安全事件管理器技术注重将这些安全事件信息通过各种方式整合在一起,形成统一的格式,有利于安全管理人员及时分析和掌握网络安全动态。同时统一的、格式化的安全事件信息也为专用的,智能化的安全事件信息分析工具提供了很有价值的信息源。
从以上二个方面可以看出,安全事件管理器并没有提供针对某类网络安全威胁直接的防御和保护,它是通过整合,关联来自不同设备的安全事件信息,实现对网络安全状况准确的分析和判断,从而实现对网络更有效的安全保护。
2.2安全事件管理器的架构
安全事件管理器的架构主要如下图所示。
图1安全事件事件管理系统结构与设置图
从图中可以看出安全事件管理主要由三个部分组成的:安全事件信息的数据库:主要负责安全事件信息的收集、格式化和统一存储;而安全事件分析服务器主要负责对安全事件信息进行智能化的分析,这部分是安全事件管理系统的核心部分,由它实现对海量安全事件信息的统计和关联分析,形成多层次、多角度的闭环监控系统;安全事件管理器的终端部分主要负责图形界面,用于用户对安全事件管理器的设置和安全事件警报、查询平台。
3安全事件管理器核心技术
3.1数据抽取与格式化技术
从数据源获取数据主要的途径是通过对网络中各安全设备的日志以及设备数据库提供的接口来直接获取数据,而获取的数据都是各安全设备自定义的,所以要对数据要采用统一的描述方式进行整理和格式化,目前安全事件管理器中采用的安全事件信息表达格式一般采用的是基于XML语言来描述的,因为XML语言是一种与平台无关的标记描述语言,采用文本方式,因而通过它可以实现对安全事件信息的统一格式的描述后,跨平台实现对安全事件信息的共享与交互。
3.2关联分析技术与统计分析技术
4安全事件管理器未来的发展趋势
目前安全事件管理器的开发已经在软件产业,特别是信息安全产业中成为了热点,并形成一定的市场。国内外主要的一些在信息安全产业有影响的大公司如:IBM和思科公司都有相应的产品推出,在国内比较有影响是XFOCUS的OPENSTF系统。
从总体上看,随着网络入侵手段的复杂化以及网络安全设备的多样化,造成目前网络防护中的木桶现象,即网络安全很难形成全方面的、有效的整体防护,其中任何一个设备的失误都可能会造成整个防护系统被突破。
从技术发展来看,信息的共享是网络安全防护发展的必然趋势,网络安全事件管理器是采用安全事件信息共享的方式,将整个网络的安全事件信息集中起来,进行分析,达到融合现有的各种安全防护技术,以及未来防护技术兼容的优势,从而达到更准备和有效的分析与判断效果。因此有理由相信,随着安全事件管理器技术的进一步发展,尤其是安全事件信息分析技术的发展,安全事件管理器系统必然在未来的信息安全领域中占有重要的地位。
参考文献:
协同式知识管理系统的建置
安全性分析
关键词:设计与实现;系统;监控管理;网络安全
中图分类号:TP393.08
1网络管理与设计
1.1网络管理的意义概念
网络管理就是用某一种方式方法来对网络来进行管理,让网络能够正常并且有效的运行。这样做的目的是对网络中的信息资源的利用扩大到最大化,从实际操作上来讲,管理可以是对主干网络进行管理,可以是对接收的端口来进行管理,也可以是对于网络资源的信息管理。网络信息安全的管理软件的发展,从单方面维护到对网络信息的整理,经历了不少的过程,做这个软件应该考虑到,对于信息的整理和分析,达到真正的网络高效的管理。
1.2网络监控管理系统的设计原则
依照当今的市场主流思想,这个系统应当是一个在实现过程中简单可靠,并且实用的软件。依据这个原则,需要做的便是要研究当下的计算机网络技术和网络技术,对这个软件尽可能的使用成熟先进的主流技术。研究网络信息中心的需求,对需求和特点进行分析。对于其他的一些网络监管系统进行对比和创新,将不足的地方进行简化修改和修复。优化该系统,让这个系统的资源占用小,被监管资源也能够监管到位,可操作性强,方便,实用,可靠,简单。
1.3网络监控管理系统的制作目标
网络监管系统是为了让人能够更好的对网络进行管理,一般而言,对于系统所需要达到的目的是根据客户要求要做的。而一般系统中,都有一些通用的目标特点。能够远程的操控和维护该系统,操作性强,能够跨平台的运行其主要的运用和服务。遇到漏洞或错误能够自动的修复,能够24小时自动对监控对象进行管理。方便使用系统中的功能,易于操作并且拥有一定的课扩展性,还能提供比较全面的报表。
2网络监控管理系统的结构
2.1系统的主要结构
就系统来说,大致可以分为两个部分,也就是后台数据采集和前台的监控。后台数据采集考虑到它的安全性,采用的一般都是独立运行。后台数据采集是非常重要的,主要影响到了呼气的数据的整理,独立性能减少被攻击的可能,使系统更加的安全。前台的监管系统来说,主要是连接网络设备和洽谈的资源。用来管理资源。
2.2网络设备的管理
在网络发现模块传送到了计算机内的时候,能够通过网络的设备所连接到的所有的客户端口,可以在端口中建立新的管理属性。例如将主机、服务器等设备,通过传送到网络管理模块,来新添加管理的属性,例如联系人、负责人等信息。
2.3服务器管理模块
因为服务器十分的主要,所有这个要作为一个单独的管理模块,服务器管理模块,是被管理的一个部分。对于windows的系统的服务器来说,可以用基于windows系统的WMI技术,可以周期性的采集服务器的处理类、IP包类、网络接口类、DUP包类、内存类、物理储存类、TCP包类、服务类等,以及被管理的计算机的运行基本状况信息,例如内存占用率、网络占用率等,在此同时,也能够对服务器进行远程的控制,例如开关机等。而对于不是windows的系统来说呢,一般用到的是SNMP协议的管理,这个协议的管理是基础WMI的技术而言的。
2.4网络的接入管理模块。
这里对于网络接入的管理,是采用的IP和MAC地址绑定的方法来实现的。对网络接入管理有特殊的要求的情况下来说,可以用来读取被接入的网络设备,就像,交换机IP,同时记录的了IP地主和MAC地址,如果在意外中发现了接入设备的地址,不论是IP地址还是MAC地址,和之前的不同,就可以发送信息到总计,并且能够关闭端口或者是报警等等可以设置的措施。对于安全性来说是必不可少的。
4系统的主要特点
4.1可应用于多个平台
这个系统可一用到各种不同的平台之中,增加了系统的运用率。可以用于LINUX、windows、NT、Unix等平台,使不同的客户能够根据实际的情况来选择不同的平台下的本产品,而且由于通用性好,在端口服务中,能够进行远程的操控。满足多端口控制,也能够进行自动化的集中的监控和管理,使用起来更便捷。
4.2完善的数据库
系统能够对于采集来的信息数据进行缉拿单的分化操作,支持多种数据库。由于后台的独立性,能够最大化的保证他的安全性,减少访问次数,也能够减少它的内存占用率,让它运行起来更流畅,也能对恶意攻击的系统进行屏蔽。
4.3提供图纸
能够直观的生成系统检测图,从任意一个模块开始,搜索整个的网络,用来寻找和发现数据,快速并方便的自动管理网络设备和信息数据,并传送到端口。能够对于每一个系统进行监控,能够及时的发现软件是否运行正常,管理人员也能够快速的对其进行定位和使用。
5结束语
近年来,随着信息技术的进步和网络的发展,网络监管安全系统能够使使用人员能够快速、方便、安全的对系统数据进行分析和管理。同时也能够及时的对各个运行的软件和系统进行自动修复,能够稳定高效的运行,同时保障系统的安全。可以说在这个科技高速发展的今天,这种方便、安全的系统的出现是必然的。
[1]陈兵,土立松.基于立气层架构的网络拓扑结构发现[J].计算机应用,2002,22(6).
[2]刘妹,李成忠.网络自动拓扑发现算法的研究与设计[J].计算机应用研究,2002,2.
[3]邱林,张建忠.基厂端日流量的物理网络拓扑发现方法研究[J].计算机工程与应用,2002,22.
[4]李天剑,曾文方.扑图自动构造的研究与实现[J].计算机T程与设计,2001,2(l).
关键词:压力容器压力管;3G无线网络技术;安全监控
1引言
压力容器及压力管道具有一定的爆炸危险性,是化工企业生产中的重要设备,随着我国经济的持续快速发展,它在我们生产和生活中的应用日益广泛。安全生产是企业生存的核心,加强压力容器及压力管道的监控对企业的安全生产就显得特别重要。当前各生产企业对压力容器的安全监控仅仅停留在规章制度的制定及操作规程的设计层次,对安全的监控集中在对人的管理方面,系统性的安全监控平台还没有得到普遍应用。
宜化集团现有几十个子公司,仅股份公司就有近一千五百个压力容器及三千五百个压力管道,任何一个设备发生的任何一次事故都牵动着管理者的神经。加强对这些压力设备的监控刻不容缓。
压力容器安全性的检测是由全国各地的特种设备检验所负责的,有部分特种设备检验所在研发类似的监控装置。但这些监控装置只能针对某些特定的设备,不具有对企业所有压力设备进行全面监控的能力。
2基本思路
运用先进的信息技术以及各种传感器,将压力容器检测仪器设备的信号自动或者人工方式采集到计算机或智能手机中,在3G无线网中,或者在互联网中,将压力容器的检测数据自动接入相应的压力容器监控软件系统,依据系统预先设计的数学模型,自动对检测数据进行判定,并给出相应的报警信息,从而实现对压力容器安全状态的全面电子化管理。本项目产品适用于各种使用到压力容器的生产企业;以及生产压力监测仪器仪表的生产企业对检测设备的数字化改造与信息自动采集。
本项目的全部技术均为自主研发,拥有完全自主知识产权和核心竞争力。项目的软件部分建立在微软.Net框架基础之上,采用C#语言编程,浏览器/服务器模式,多层架构体系,能够较好的满足开发的要求。宜化股份公司是一资深的化工生产企业,在企业安全生产方面积累了丰富的生产经验,企业拥有一批优秀的设备管理方面的专家,有一些先进的检测仪器设备,能够在硬件方面为安全监控平台的建立提供的支撑。
压力容器安全监控平台
5关键技术
条形码是指由一组规则排列的条、空及其对应字符组成的标识,用以表示一定的商品信息的符号。其中条为深色、空为纳色,用于条形码识读设备的扫描识读。其对应字符由一组阿拉伯数字组成,供人们直接识读或通过键盘向计算机输人数据使用。这一组条空和相应的字符所表示的信息是相同的。
条形码技术是随着计算机与信息技术的发展和应用而诞生的,它是集编码、印刷、识别、数据采集和处理于一身的新型技术。使用条形码扫描是今后设备识别的大趋势。目前世界上常用的码制有ENA条形码、UPC条形码、二五条形码、交叉二五条形码、库德巴条形码、三九条形码和128条形码等。
智能手机具有独立的操作系统,像个人电脑一样能够在其中开发应用程序,同时可通过移动通讯网络来实现无线网络接入。目前,全球多数手机厂商都有智能手机产品,而芬兰诺基亚、美国苹果、加拿大RIM(黑莓)、美国摩托罗拉、中国台湾宏达(htc)更是智能机中的佼佼者。
在3G全面普及的今天,将通过3G无线网,在压力容器运行现场与安全监控中心构建一个无缝的宽带网,运行现场的检测数据能以文字、视频、音频等方式直接上传数据中心,从而实现对生产现场检测的有效监管。
6结束语
本项目完全采用面向对象的分析方法开发,精心设计系统架构。目前的“宜化集团压力容器管道监控系统”已经过客户近三年的使用,从宜化集团下属十个企业中的使用情况来看,系统运行情况良好,能够很好地满足企业管理的需要。
本项目的应用将极大的提升化工企业的信息化管理水平,与电子化管理相适应的,将大大促进压力容器检测仪器设备向小型化、数字化方向的发展,带动以嵌入式软件为核心的检测仪器设备的快速发展。
伴随宜化集团的发展壮大,压力容器安全监控平台必将在北京、湖北、湖南、河南、河北、云南、重庆、贵州、四川、山西、内蒙、新疆、宁夏、青海、黑龙江、越南等地得到应用。它将为各地的化工企业搭建全面信息化管理系统提供样板工程。
本项目经过适当修改,也可适用于其它各类生产企业的安全管理。因此,本项目的应用范围极其广泛,有很大的上升空间。
[1]梁润华,高峰,林都.压力容器检验信息系统的开发与设计[J].机械管理开发,2006,2.
[2]祝勇仁,邹金桥,曹焕亚.锅炉压力容器CAPP系统开发平台的研究[J].研究探讨,2005.
1网络安全事件关联与态势评测技术国内外发展现状
2网络安全事件关联分析技术概述
3网络安全态势评测技术概述
4网络安全事件特征提取和关联分析研究
在构建网络安全态势指标体系时,要遵循全面、客观和易操作的原则。在对网络安全事件特征提取时,要找出最能反映安全态势的指标,对网络安全态势进行分析预测。网络安全事件可以从网络威胁性信息中选取,通过端口扫描、监听等方式进行数据采集。并利用现有的软件进行扫描,采集网络流量信息,找出流量的异常变化,从而发现网络潜在的威胁。其次就是利用简单网络管理协议(SimpleNetworkManagementProtocol,SNMP)来进行网络和主机状态信息的采集,查看带宽和CPU的利用率,从而找出问题所在。除了这些,还有服务状态信息、链路状态信息和资源配置信息等[4]。
5结语
近年来,随着科技的快速发展,互联网技术得到了一个质的飞跃。互联网渗透到人们的生活中,成为人们工作、生活不可或缺的一部分,而且随着个人计算机的普及应用,使得网络的规模也逐渐增大,互联网进入了大数据时代。数据信息的重要性与日俱增,同时网络安全问题越来越严重。黑客攻击、病毒感染等一些恶意入侵破坏网络的正常运行,威胁信息的安全,从而影响着社会的和谐稳定。因此,网络管理人员对当前技术进行深入的研究,及时掌控技术的局面,并对未来的发展作出正确的预测是非常有必要的。
作者:李胜军单位:吉林省经济管理干部学院
[参考文献]
[1]赵国生,王慧强,王健.基于灰色关联分析的网络可生存性态势评估研究[J].小型微型计算机系统,2006(10):1861-1864.
[2]刘效武,王慧强.基于异质多传感器融合的网络安全态势感知模型[J].计算机科学,2008(8):69-73.
【关键词】网络安全;管理技术;应用
1网络安全管理要素
目前,随着互联网的普及与发展,人们对网络的应用越来越广泛,对网络安全的意识也不断增强,尤其是对于企业而言,网络安全管理一直以来都存在诸多问题。网络安全管理涉及到的要素非常多,例如安全策略、安全配置、安全事件以及安全事故等等,这些要素对于网络安全管理而言有着重大影响,针对这些网络安全管理要素的分析与研究具有十分重要的意义。
1.1安全策略
1.2安全配置
1.3安全事件
1.4安全事故
1.5用户身份管理
2企业网络安全方案研究
参考文献
[1]崔小龙.论网络安全中计算机信息管理技术的应用[J].计算机光盘软件与应用,2014(20):181~182.
[2]何晓冬.浅谈计算机信息管理技术在网络安全中的应用[J].长春教育学院学报,2015(11):61~62.
[3]刘睿.计算机信息管理技术在网络安全应用中的研究[J].科技创新与应用,2013(30):71.
关键词:网络安全事件;应急响应;联动系统
一、应急响应的技术特点
(一)入侵检测
应急响应由事件引发,同时发现事件依靠检测手段。入侵检测技术指由系统自动完成的检测,是目前最主要检测手段(IDS)。
(二)事件隔离与快速恢复
首先,在检测基础上,确定事件类型和攻击源后,对于安全性、保密性要求高的环境,应及时隔离攻击源,制止事件影响进一步恶化;其次,对外提供不可中断服务的环境,如运营平台、门户网站等,应急响应过程应侧重考虑尽快恢复系统并使之正常运行。这其中涉及事件优先级认定、完整性检测及域名切换等技术。
(三)网络追踪和定位
确定攻击者网络地址及辗转攻击路径,在现在的TCP/IP网络基础设备上网络追踪及定位很困难;新的源地址确认的路由器虽然能够解决问题,但它与现在网络隐私保护存在矛盾。
(四)取证技术
取证是一门针对不同情况要求灵活处理的技术,它要求实施者全面、详细的了解系统、网络和应用软件的使用与运行状态,对人的要求十分的高(这一点与应急响应本身的情况类似)。目前主要的取证对象是各种日志的审计,但并不是绝对的,取证可能来自任何一点蛛丝马迹。但是在目前的情况下,海量的日志信息为取证造成的麻烦越来越大。
二、网络安全事件应急响应联动系统模型
网络安全事件应急响应联动系统模型是从应急响应组及协调中心发展起来的一套应急响应联动体系。它立足于协调地理分布的人力与信息等资源,协同应对网络安全事件,属于应急响应组织发展后期的组织形式。联动含义:1、组织间的协作;2、功能上统一;3、网络安全策略上联合。
(一)联动系统的体系结构
图1联动系统的体系结构
1、应急响应协调中心。是信息共享、交换与分析中心,负责协调体系正常运行,属于联动系统的核心。
2、应急响应组。应急响应组以应对网络安全事件为目标,根据技术力量与资源状况设置机构,甚至承担部分协调中心功能。
3、客户。客户方应在应急响应组协助下进行风险分析、建立安全政策与设立联系人员,增强自身主动防御能力及采取合理措施能力。
(二)应急响应协调中心
应急响应组织具备四核心功能:分类、事件响应、公告与反馈;与此同时还具有非核心功能:分析、信息整理、研发、教育及推广。
图2应急响应协调中心机构设置
2、专家顾问。技术专家对于确定研究与形势影响很大。法律顾问与客户、其他应急响应组织的合作及与法律部门、新闻媒体等合作应有法律依据。
3、信息整理与事件跟踪。体系内的具备ISAC功能机构,该部门承担着公告、反馈和信息整理的功能,在研发机构协助下实现信息资源(包括漏洞及补丁信息、新闻动态、技术文献资料、法律法规、公告、安全警报、安全政策、建议等)共享,;还应提供网站资源链接,常见问题(FAQ),常用工具,技术论坛与事件及漏洞的上报渠道等。
4、应急响应。是一线应对事件的机构。响应是联动系统的根本任务,但是联动系统的响应人员在响应过程中可得到体系援助,使应急响应更及时有效。
5、联络。协调应急响应组、应对事件的联动响应及与客户联络。联络中心应具有对应急响应组的约束力,并与该部门承担应急响应功能。
6、培训。包括对组织内人员的技术培训、固定客户的技术支持与培训和面向社会的安全培训三个方面,是保持体系键康发展,提高客户合作能力的机构。
7、公共关系。负责处理应急响应不能回避的与法律组织、媒体、行政部门、科研组织等实体的关系,以及与其他应急响应组织间的联络与合作;承担部分推广的功能。
8、管理机构。协调中心及联动系统运作。
(三)联动系统的功能
联动系统功能包括两方面:1、提供安全事件的应急响应服务;2、信息共享、交换与分析。两功能互相融合、取长补短,使应急响应更加高效、便捷。
1、协调应急响应。在事件响应过程中,响应人员通过网络或传真方式向组织报告事件详细信息,并取得帮助与建议,最终完成响应。依靠资源共享与联动响应期间各响应组的密切联系,响应过程中响应人员得到的建议。事件响应结束后,响应人员要完成事件跟踪报告与总结,并由中心备案。
2、信息共享、交换和分析。信息整理与公告功能是维护网络安全的主动防线。中心通过对组织的安全信息进行统计分析,找出易发生的安全事件,并以预警信息结合预防建议的形式,遏制类似事件发生;中心在安全信息整理和共享等的贡献可大提高应急响应质量,对响应人员和客户方的在线帮助意义重大义。
三、模型其它重要内容
(一)应用应急专线与无线通信手段
(二)事件并行处理的协调
协调中心须实现为事件开辟联动空间保证其独立、高效及可持续。
(三)信息共享与隐私保护以及配套法律建设
联动系统的本就是实现质信息共享。敏感信息应予以保护,比如客户声誉、稳私、机密等。联动系统的信息共享不是完全共享,而是多级权限的共享。此外取证效力及责任、损失鉴定及量刑等的配套法律建设不完善,联动系统也应根据实践建立起自身的规范约束。
(四)异地数据备份与同步和自身的健壮性
应急响应联动系统要求一定权限的数据由协调中心及应急响应组互为备份。依靠体系地理分布实现数据异地备份,保证数据安全性。
关键词:电力内网;事件关联;分析引擎
0引言
对电力企业信息内网海量安全事件进行高效、准确的关联分析是实现电力企业网络安全设备联动的前提,而如何设计与实现一个高效的电力企业安全事件关联分析引擎正是电力企业信息内网安全事件关联分析应该解决的关键问题。
1安全事件关联分析研究现状及存在的问题
关联分析在网络安全领域中是指对网络全局的安全事件数据进行自动、连续分析,通过与用户定义的、可配置的规则匹配来识别网络潜在的威胁和复杂的攻击模式,从而发现真正的安全风险,达到对当前安全态势的准确、实时评估,并根据预先制定策略做出快速的响应,以方便管理人员全面监控网络安全状况的技术。关联分析可以提高网络安全防护效率和防御能力,并为安全管理和应急响应提供重要的技术支持。关联分析主要解决以下几个问题:
1)为避免产生虚警,将单个报警事件与可能的安全场景联系起来;
2)为避免重复报警,对相同、相近的报警事件进行处理;
3)为达到识别有计划攻击的目的,增加攻击检测率,对深层次、复杂的攻击行为进行挖掘;
4)提高分析的实时性,以便于及时进行响应。
2安全事件关联分析引擎的设计
2.1安全事件关联分析系统
安全事件管理系统是国家电网网络安全设备联运系统的一个子系统,它是将安全事件作为研究对象,实现对安全事件的统一分析和处理,包括安全事件的采集、预处理、关联分析以及关联结果的实时反馈。
内网设备:内网设备主要是电力企业信息内网中需要被管理的对象,包括防病毒服务器、邮件内容审计系统、IDS、路由器等安全设备和网络设备。通过端收集这些设备产生的安全事件,经过预处理后发送到关联分析模块进行关联分析。
事件采集端:主要负责收集和处理事件信息。收集数据是通过Syslog、SNMPtrap、JDBC、ODBC协议主动的与内网设备进行通信,收集安全事件或日志信息。由于不同的安全设备对同一条事件可能产生相同的事件日志,而且格式各异,这就需要在端将数据发送给服务器端前对这些事件进行一些预处理,包括安全事件格式的规范化,事件过滤、以及事件的归并。
关联分析:其功能包括安全事件频繁模式挖掘、关联规则生成以及模式匹配。关联分析方法主要是先利用数据流频繁模式挖掘算法挖掘出频繁模式,再用多模式匹配算法与预先设定的关联规则进行匹配,产生报警响应。
控制台:主要由风险评估、资产管理、报表管理和应急响应中心组成。风险评估主要是通过对日志事件的审计以及关联分析结果,对企业网络设备及业务系统的风险状态进行评估。应急响应中心是根据结合电力企业的特点所制定的安全策略,对于不同的报警进行不同的响应操作。资产管理与报表管理分别完成对电力企业业务系统资产的管理和安全事件的审计查看等功能。另外,对于关联分析模块匹配规则、端过滤规则等的制定和下发等也在控制成。
数据库:数据库包括关联规则库、策略库和安全事件数据库三种。关联规则库用来存储关联分析所必须的关联规则,策略库用来存储策略文件,安全事件数据库用来存储从端获取用于关联的数据、进行关联的中间数据以及关联后结果的数据库。
2.2关联分析引擎结构
事件关联分析引擎作为安全事件关联分析系统的核心部分,由事件采集、通信模块、关联分析模块和存储模块四部分组成。其工作原理为:首先接收安全事件采集发送来的安全事件,经过预处理后对其进行关联分析,确定安全事件的危害程度,从而进行相应响应。引擎结构如图1所示。
2.3引擎各模块功能设计
1)事件采集模块。事件日志的采集由事件采集来完成。事件采集是整个系统的重要组成部分,它运行于电力企业内网中各种安全设备、网络设备和系统终端上,包括采集模块、解析模块和通信模块三个部分。它首先利用Syslog、trap、JDBC、ODBC协议从不同安全设备、系统中采集各种安全事件数据,由解析模块进行数据的预处理,然后由通信模块发送到关联分析引擎。
事件预处理仍在事件采集中完成,主要包括事件过滤、事件范化和事件归并三部分。
该模块将经过处理的海量日志信息数据流在内存中利用滑动窗口处理模型,经过关联分析算法进行关联规则挖掘后,采用高效的模式匹配算法将得到的关联规则与规则库中预先设定的规则进行不断的匹配,以便实时地发现异常行为,为后续告警响应及安全风险分析等提供依据。
3结束语
本文首先基于引擎的设计背景介绍了引擎的总体结构以及关联分析流程,然后分别给出了事件采集、事件关联分析模块的设计方案,包括模块功能、模块结构以及规则库的设计方案。
[1]熊云艳、毛宜军、丁志,安全事件关联分析引擎的研究与设计,计算机工程,2006,32(13):280-282.
关键字:信息系统信息安全身份认证安全检测
一、目前信息系统技术安全的研究
1.信息安全现状分析
随着信息化进程的深入,信息安全己经引起人们的重视,但依然存在不少问题。一是安全技术保障体系尚不完善,许多企业、单位花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业、单位信息安全的标准、制度建设滞后。
2003年5月至2004年5月,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。其中,发生过1次的占总数的22%,2次的占13%,3次以上的占23%,此外,有7%的调查对象不清楚是否发生过网络安全事件。从发生安全事件的类型分析,遭受计算机病毒、蠕虫和木马程序破坏的情况最为突出,占安全事件总数的79%,其次是垃圾邮件,占36%,拒绝服务、端口扫描和篡改网页等网络攻击情况也比较突出,共占到总数的43%.
对于网络安全管理情况的调查:调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低。
2.企业信息安全防范的任务
信息安全的任务是多方面的,根据当前信息安全的现状,制定信息安全防范的任务主要是:
从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。
信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。
二、信息系统常见技术安全漏洞与技术安全隐患
每个系统都有漏洞,不论你在系统安全性上投入多少财力,攻击者仍然可以发现一些可利用的特征和配置缺陷。发现一个已知的漏洞,远比发现一个未知漏洞要容易的多,这就意味着:多数攻击者所利用的都是常见的漏洞。这样的话,采用适当的工具,就能在黑客利用这些常见漏洞之前,查出网络的薄弱之处。漏洞大体上分为以下几大类:
(4)口令恢复。因为采用了很弱的口令加密方式,使攻击者可以很容易的分析出口令的加密方法,从而使攻击者通过某种方法得到密码后还原出明文来。
(5)服务器信息泄露。利用这类漏洞,攻击者可以收集到对于进一步攻击系统有用的信息。这类漏洞的产生主要是因为系统程序有缺陷,一般是对错误的不正确处理。
漏洞的存在是个客观事实,但漏洞只能以一定的方式被利用,每个漏洞都要求攻击处于网络空间一个特定的位置,因此按攻击的位置划分,可能的攻击方式分为以下四类:物理接触、主机模式、客户机模式、中间人方式。
三、信息系统的安全防范措施
1.防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为二大类:分组过滤、应用。
信息安全问题的日益复杂,使传统的、将多种安全设备简单堆叠的防护方式很难达到既定的目标。人们逐渐清晰地认识到,安全防护需要一个综合、动态、各单元安全产品间互联、互动、互操作的整体。
在这种背景下,能提供对网络安全设备进行集中管理与配置、对网络安全状况进行检测与控制等功能,并能提高网络运行效率、降低管理成本、实现网络安全可视化管理的安全管理平台已逐渐成为当前社会研究和应用的热点。
需求之殇
由于目前各类安全产品和技术的管理复杂性较高,安全本身又具有“木桶效应”,所以如何降低安全管理难度、提高安全管理效率已经成为安全保障中急需要解决的重大问题。因此,无论是最终用户,还是专业技术人员,在进行安全管理时,都需要一种具备能够快捷方便地发现安全事件、及时预警定位、快速响应联动的综合管理系统。当前,网络系统的安全不能仅靠几件相互孤立的安全产品来保证,而需要通过综合使用多种安全产品,配置多种防护技术,构建一套安全体系来实现。但是,由于各种网络安全设备的配置和管理日趋复杂,管理工作也变得越来越困难,于是,安全管理平台就应运而生。
管理之痛
安管平台通过统一的管理中心调用各网络安全产品,对整个网络安全状况进行检测和控制,以提高网络的安全性、可用性和可靠性,在整体上提高网络运行的效率,降低管理成本。安管平台在安全防护系统中起到承上启下作用,是安全产品和安全策略之间的纽带。对于安全管理人员而言,安管平台能够搜集网络中所有安全产品的数据信息,并对这些数据进行汇总和分析处理,把处理后的信息(包括报警信息、历史数据、统计信息等)反馈给安全管理人员。这些信息不是单个设备的信息,而是整个系统的综合安全运行信息。