網絡安全態勢感知精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全態勢感知主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全態勢感知范文
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2014)05-0064-02
隨著計算機及網絡技術的普及,網絡安全問題越來越突出,尤其網絡攻擊行為往往給企業的正常運作帶來嚴重影響,甚至影響社會的穩定。為此,加強網絡安全態勢研究,采取針對性措施不斷提高網絡安全水平具有重要的現實意義。鑒于此,國內眾多專家對網絡安全態勢感知系統進行研究,并取得豐碩成果,為我國網絡運行營造了良好的外部環境。
1 網絡安全態勢感知系統結構
1.1 系統框架介紹
網絡安全態勢感知系統以通信系統思想為基礎,依據數據處理流程可分為采集、融合、分析、預測、展示共五個環節,可實現收集、預處理、分析、評估、預測等功能。這五個環節相互獨立并對應網絡安全感知系統相關流程。系統框架如圖1所示。
圖1 網絡安全態勢感知系統框架
其中采集環節的主要任務為采集、傳輸以及存儲適時數據和傳輸網絡安全狀況信息等,包括漏洞信息、拓撲信息以及IT資產信息等;融合環節的功能在于將收集、存儲的數據進行解析,將一些冗余信息除去,并融合多源數據。該環節包括數據歸一化和事件預處理兩項內容。所謂數據歸一化指將采集的數據信息進行歸一、標準化,同時擴展事件相關屬性。而事件預處理指對采集來的重要數據進行歸一化和標準化處理。分析則指借助專家系統與相關知識庫,結合存儲在服務器的事件與安全數據,對網絡安全態勢進行分析。預測指通過分析各種信息要素,借助相關理論方法歸納與判斷網絡未來安全形勢。展示指將業務與態勢評估結果輸入到響應和預警模塊,不但對接預警系統,而且以人工判讀為基礎介入到態勢的響應操作。
1.2 態勢評估流程
對網絡安全態勢進行評估一般按照下列流程進行:首先,從監測網絡數據感知元件中獲得網絡數據信息,進行去噪處理后進行分析。并充分結合趨勢知識庫以及數據挖掘成果,評估網絡安全具體趨勢;其次,充分掌握不同環節情況,對網絡安全態勢分配特定的值,并利用貝葉斯網絡技術對備選態勢的可信度進行評價,得出最終結果。
從網絡安全形勢角度出發網絡安全態勢的評估主要由以下步驟組成。監測:通過監測數據感知組件對監測數據進行收集、整理以保證感知安全事件工作的順利進行。覺察:以采集到的當前網絡安全態勢數據為基礎,評估網絡安全態勢情況,以判定是否有安全事件發生,一旦發現異常,就報告安全事件情況;傳播:依據獲得的數據安全事件情況,對不同部分的趨勢進行評估;理解:依據獲得的安全形勢,對態勢數據進行更新,構建評估局勢新的演化模型;反饋:收集數據感知組件的領先在線目的地,并對網絡安全態勢數據情況的更新值進行評估;分析:結合確定的網絡安全態勢類型判斷更新的確認值是否對其進行支持。如支持確定網絡安全態勢類型,反之,使網絡數據感知元件繼續對網絡安全態勢數據進行監測;決策:對網絡安全形勢的數據模型和具體特點進行評估,并對演變趨勢進行預測,從而尋找積極的措施,對管理員的決策進行正確引導。
1.3 數據決策方法
目前自適應數據決策算法有很多包括:子帶濾波、最小均方差算法、遞推最小二乘算法等,其中后兩種方法比較典型,下面對其進行介紹。
1)最小均方誤差算法。該方法運用瞬時值對梯度矢量進行估計,計算依據的公式為:
結合梯度矢量估計以及自適應濾波器濾波系數矢量變化等相關知識,可推算出遞歸最小二乘法算法調整濾波器系數公式:
公式中μ表示步長因子,其值越大算法的收斂速度越快,穩態誤差就越大,反之,算法收斂就越慢,穩態誤差就越小。為確保算法穩態收斂,一般μ的取值應落在以下范圍內:
2)遞歸最小二乘法。遞歸最小二乘法依據的計算公式為:
公式中K(n)表示Kalman增益向量,λ∈(0,1)為加權因子。對該算法進行初始化時通常使P(-1)=1/δ1,H(-1)=0,其中δ為最小正整數。
對比兩者的收斂速度可知,算法(1)優于算法(2),不過算法(1)實際操作比算法(2)復雜。為降低該方法計算復雜度且并使算法(1)的收斂性能得到保持,部分專家優化了算法(1)延伸出了快速橫向濾波器算法、漸變格子算法等。算法(2)較為突出的優點為操作簡單,不過其包括的可調參數只有一個。
2 網絡安全態勢感知系統關鍵技術
互聯網節點數量龐大網絡結構復雜,網絡攻擊行為也呈現復雜化、規模化以及分布化態勢。根據采集的感知數據信息,對網絡安全態勢進行準確的評估,及時檢測潛在的漏洞及可能發生的安全事件,并對整個網絡狀態的變化情況進行預測,是網絡安全態勢感知系統的重要工作。為實現上述目標需要一定的技術支撐。目前網絡安全態勢感知系統中應用的關鍵技術包括網絡安全態勢數據融合、網絡安全態勢計算以及網絡安全態勢預測技術。下面逐一對其進行詳細的介紹。
1)網絡安全態勢數據融合技術。互聯網中不同安全系統和設備具備的功能有所差異,對網絡安全事件描述的數據格式也有所不同。這些安全系統和設備共同構建了一個多傳感器環境,在該環境中系統與設備之間需要進行互聯,因此必須要多傳感器數據融合技術做支撐,為監控網絡安全態勢提供更多跟多有效的數據。當前,數據融合技術應用較為廣泛,例如用于估計威脅、追蹤和識別目標以及感知網絡安全態勢等。利用該技術進行基礎數據的融合、壓縮以及提煉等,為評估和預警網絡安全態勢提供重要參考依據。
數據融合包括數據級、功能級以及決策級三個級別間的融合。其中數據級融合可使細節數據精度進一步提高,不過需要處理大量數據,受計算機內存容量、處理速度等因素限制,需進行較高層次的融合。決策級融合需要處理的數據量較小,不過較為模糊和抽象,準確度較低。功能級融合則處于數據級和決策級融合之間。
2)網絡安全態勢計算技術。該技術指利用相關數學方法,將大量網絡安全態勢信息進行處理,最終整合至處于某范圍內的數值。該數值會隨網絡資產價值改變、網絡安全事件頻率、網絡性能等情況改變而變動。
利用網絡安全態勢計算技術得出的數值,可幫助管理對網絡系統的安全狀況進行評估,如該數據在允許的范圍之內則表示網絡安全態勢是相對安全的,反之則不安全。該數值大小客觀的反映出網絡損毀和網絡威脅程度,并能實時、快速和直觀的顯示網絡系統安全狀態。系統管理員采用圖表顯示或回顧歷史數據便能對某時間段的網絡安全情況進行監視和掌握。
3)網絡安全態勢預測技術。網絡安全態勢預測技術指通過分析歷史資料以及網絡安全態勢數據,憑借之前實踐經驗以及理論內容整理、歸納和判斷網絡未來安全形勢。眾所周知,網絡安全態勢發展具有較大不確定性,而且預測性質、范圍、時間以及對象不同應用的預測方法也不同。根據屬性可將網絡安全態勢預測方法分為定性預測方法、時間序列分析法以及因果預測方法。其中網絡安全態勢定性預測方法指結合網絡系統之前與當前安全態勢數據情況,以直覺邏輯基礎人為的對網絡安全態勢進行預測。時間序列分析方法指依據歷史數據與時間的關系,對下一次的系統變量進行預測。由于該方法僅考慮時間變化的系統性能定量,因此,比較適合應用在依據簡單統計數據隨時間變化的對象上。因果預測方法指依據系統變量之間存在的因果關系,確定某些因素影響造成的結果,建立其與數學模型間的關系,根據可變因素的變化情況,對結果變量的趨勢和方向進行預測。
3 總結
網絡安全事件時有發生,往往給社會造成較大損失。因此,對網絡安全態勢進行準確的評估、感知具有重要意義。為此要求網絡安全相關部門,認真研究網絡安全態勢感知系統結構,進而采用先進的技術手段不斷優化。同時加強網絡安全態勢感知系統關鍵技術研究,以提高網絡安全態勢感知系統的準確性、穩定性,并根據網絡運行情況在合適位置部署中心檢測設備、防火墻等,及時發現并定位威脅網絡安全行為,從而采取針對性措施防止攻擊行為的進一步發展,為網絡安全的可靠運行創造良好的外部環境。
參考文獻
[1]單宇鋒.網絡安全態勢感知系統的關鍵技術研究與實現[D].北京郵電大學,2012.
[2]孟錦.網絡安全態勢評估與預測關鍵技術研究[D].南京理工大學,2012.
[3]潘峰,孫鵬,張電.網絡安全態勢感知系統關鍵技術研究與實現[J].保密科學技術,2012(11):52-56.
[4]馮川.網絡安全態勢感知系統關鍵技術分析[J].網絡安全技術與應用,2013(09):119-120.
[5]馬東君.網絡安全態勢感知技術與系統[J].網絡安全技術與應用,2013(11):69,68.
第2篇:網絡安全態勢感知范文
關鍵詞 大數據 網絡安全 態勢感知
中圖分類號:TP393.08 文獻標識碼:A
0 引言
對于一個大型網絡,在網絡安全層面,除了訪問控制、入侵檢測、身份識別等基礎技術手段,需要安全運維和管理人員能夠及時感知網絡中的異常事件與整體安全態勢。對于安全運維人員來說,如何從成千上萬的安全事件和日志中找到最有價值、最需要處理和解決的安全問題,從而保障網絡的安全狀態,是他們最關心也是最需要解決的問題。與此同時,對于安全管理者和高層管理者而言,如何描述當前網絡安全的整體狀況,如何預測和判斷風險發展的趨勢,如何指導下一步安全建設與規劃,則是一道持久的難題。
隨著大數據技術的成熟、應用與推廣,網絡安全態勢感知技術有了新的發展方向,大數據技 術特有的海量存儲、并行計算、高效查詢等特點,為大規模網絡安全態勢感知的關鍵技術創造了突破的機遇。本文將對大規模網絡環境下的安全態勢感知、大數據技術在安全感知方面的促進做一些探討。
1 基于大數據的網絡安全態勢感知
隨著網絡的發展,大規模網絡所引發的安全保障的復雜度激增,主要面臨的問題包括:安全數據量巨大;安全事件被割裂,從而難以感知;安全的整體狀況無法描述。
網絡安全感知能力具體可分為資產感知、脆弱性感知、安全事件感知和異常行為感知4個方面。資產感知是指自動化快速發現和收集大規模網絡資產的分布情況、更新情況、屬性等信息;脆弱性感知則包括3個層面的脆弱性感知能力:不可見、可見、可利用;安全事件感知是指能夠確定安全事件發生的時間、地點、人物、起因、經過和結果;異常行為感知是指通過異常行為判定風險,以彌補對不可見脆弱性、未知安全事件發現的不足,主要面向的是感知未知的攻擊。
隨著Hadoop、NoSQL等技術的興起,BigData大數據的應用逐漸增多和成熟,而大數據自身擁有Velocity快速處理、Volume大數據量存儲、Variety支持多類數據格式三大特性。大數據的這些天生特性,恰巧可以用于大規模網絡的安全感知。首先,多類數據格式可以使網絡安全感知獲取更多類型的日志數據,包括網絡與安全設備的日志、網絡運行情況信息、業務與應用的日志記錄等;其次,大數據量存儲與快速處理為高速網絡流量的深度安全分析提供了技術支持,可以為高智能模型算法提供計算資源;最后,在異常行為的識別過程中,核心是對正常業務行為與異常攻擊行為之間的未識別行為進行離群度分析,大數據使得在分析過程中采用更小的匹配顆粒與更長的匹配時間成為可能。
2目前研究成果
中國移動自2010年起在云計算和大數據方面就開始了積極探索。中國移動的“大云”系統目前已實現了分布式海量數據倉庫、分布式計算框架、云存儲系統、彈性計算系統、并行數據挖掘工具等關鍵功能。在“大云”系統的基礎上,中國移動的網絡安全感知也具備了一定的技術積累,進行了大規模網絡安全感知和防御體系的技術研究,在利用云平臺進行脆弱性發現方面的智能型任務調度算法、主機和網絡異常行為發現模式等關鍵技術上均有突破,在安全運維中取得了一些顯著的效果。
3總結
大數據的出現,擴展了計算和存儲資源,提供了基礎平臺和大數據量處理的技術支撐,為安全態勢的分析、預測創造了無限可能。
參考文獻
[1] 龔正虎,卓瑩.網絡態勢感知研究[J].軟件學報,2010,21(7):1605-1619.
[2] 韋勇,連一峰,馮登國.基于信息融合的網絡安全態勢評估模型[J].計算機研究與發展,2009,46(3):353-362.
第3篇:網絡安全態勢感知范文
關鍵詞:網絡安全;評價系統;設計;實現
一、網絡安全態勢感知
態勢感知(Situation Awareness)這一概念源于航天飛行的人因(Human Factors)研究,此后在軍事戰場、核反應控制、空中交通監管(Air Traffic Control,ATC)以及醫療應急調度等領域被廣泛地研究。Endsley在1995年把態勢感知(Situation Awareness)定義為感知在一定的時間和空間環境中的元素,包括它們現在的狀況和它們未來的發展趨勢。Endsleys把態勢感知分成3個層次(如圖1所示)的信息處理:(1)要素獲取:感知和獲取環境中的重要線索或元素,這是態勢感知最基礎的一步;(2)理解:整合感知到的數據和信息,分析其相關性;(3)預測:基于對環境信息的感知和理解,預測未來的發展趨勢,這是態勢感知中最高層次的要求。
圖1態勢感知的三級模型
而網絡態勢感知則源于空中交通監管(Air Traffic Control,ATC)態勢感知(Mogford R H,1997),是一個比較新的概念,并且在這方面開展研究的個人和機構也相對較少。1999年,Tim Bass首次提出了網絡態勢感知(Cyberspace Situation Awareness)這個概念(Bass T, 2000),并對網絡態勢感知與ATC態勢感知進行了類比,旨在把ATC態勢感知的成熟理論和技術借鑒到網絡態勢感知中去。目前,對網絡態勢感知還未能給出統一的、全面的定義。IATF網站中提出,所謂的網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。值得注意的是,態勢是一種狀態,一種趨勢,是一個整體和全局的概念,任何單一的情況或狀態都不能稱之為態勢。因此,網絡態勢感知是在大規模網絡環境中,對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。
圖2網絡安全態勢感知系統框架
基于態勢感知的三級模型,譚小彬等(2008)提出了一種網絡安全態勢感知系統的設計框架,如圖2所示。該系統首先通過多傳感器采集網絡系統的各種信息,然后通過精確的數學模型刻畫網絡系統的當前的安全態勢值及其變化趨勢。此外,該系統還給出針對當前狀態的網絡系統的安全加方案,加固方案指導用戶減少威脅和修復脆弱性,從而提高系統的安全態勢。此外該系統還給出針對當前狀態的網絡系統的安全加固方案,加固方案指導用戶減少威脅和修復脆弱性,從而提高網絡系統的安全態勢。
二、網絡信息系統安全測試評估支撐平臺
網絡信息系統安全測試評估支撐平臺由管理控制、資產識別、在線測試、安全事件驗證、滲透測試、惡意代碼檢測、脆弱性檢測和安全態勢評估與預測等八個子系統組成,如圖3所示。各子系統采用松耦合結構,以數據交互作為聯系方式,能夠獨立進行測試或評估。
圖3支撐平臺的組成
三、網絡安全評估系統的實現
網絡安全評估系統由六個子系統組成,其中一個管理控制子系統,一個態勢評估與預測子系統,其他都是各種測試子系統。由于網絡安全評估是本文的重點,所以本章主要介紹態勢評估與預測子系統的實現,其他子系統的實現在本文不作介紹。
3.1風險評估中的關鍵技術
在風險評估模塊中,風險值將采用兩種模型計算,分別是矩陣模型和加權模型:
(1)矩陣模型。
該模型是GB/T 20984《信息安全風險評估規范》中提出的一種模型,采用該模型主要是為了方便以往使用其它風險評估系統的用戶,使他們能夠很快地習慣本評估系統。矩陣模型主要由三步組成,首先通過安全事件可能性矩陣計算安全事件的可能性,該步以威脅發生的可能性和脆弱性嚴重程度作為輸入,在安全事件可能性矩陣直接查找對應的安全事件的可能性,然后將結果映射到5個等級。
(2)加權模型。
基于加權的風險評估模型在總體框架和基本思路上,與GB/T20984所提出的典型風險評估模型一致,不同之處主要在于對安全事件作用在風險評估中的處理,通過引入加權,進而明確滲透測試和安全事件驗證在風險評估中的定性和定量分析作用。該模型認為,已發生的安全事件和證明能夠發生的安全事件,在風險評估中的作用應該得到加強。其原理如圖4所示。
圖4加權模型
3.2態勢評估中的關鍵技術
態勢評估中采用多層次多角度的網絡安全風險評估方法作為設計理念,向用戶展現了多個層次、多個角度的態勢評估。在角度上體現為專題角度、要素角度和綜合角度,通過專題角度,用戶可以深入了解威脅、脆弱性和資產的所有信息;通過要素角度,用戶可以了解保密性、完整性和可用性這三個安全要素方面的態勢情況;通過綜合角度用戶可以了解系統的綜合態勢情況。在層次上體現為對威脅、脆弱性和資產的不同層次的劃分,通過總體層次,用戶可以了解所有威脅、脆弱性和資產的態勢情況;通過類型層次,用戶可以了解不同威脅類型、脆弱性類型和資產類型的態勢情況;通過細微層次,用戶可以了解每一個威脅、脆弱性和資產的態勢情況。
對于態勢值的計算,參考了風險值計算的原理,并在此基礎上加入了Markov博弈分析,使得態勢值的計算更加入微,有關Markov博弈分析的理論在第3章中作了詳細介紹。通過Markov博弈分析的理論,可以計算出每一個威脅給系統態勢帶來的影響,但系統中往往有許多的威脅,所有我們需要對所有的威脅帶來的影響做出處理,而不能將他們帶來的影響簡單地相加,否則2個中等級的威脅對態勢的影響將大于一個高等級的威脅對態勢的影響,這是不合理的。在本系統中,我們采用了如下公式來對它們進行處理。
其中S為系統的總體態勢值,為第個威脅造成的態勢值,為系統中所有的威脅集合。
結語
網絡系統安全評估是一個年輕的研究課題,特別是其中的網絡態勢評估,現在才剛剛起步,本文對風險評估和態勢評估中的關鍵技術進行了研究,取得了一定的研究成果,但仍存在一些待完善的工作。網絡安全態勢評估中,對與安全態勢值沒有一個統一的標準,普通用戶將很難對安全態勢值 有一個直觀的認識,只能通過多次態勢評估的結果比較,了解網絡安全態勢的走向。在本系統的態勢評估中僅對安全態勢值作了一個簡單的等級映射,該部分還需要進一步完善。
第4篇:網絡安全態勢感知范文
關鍵詞 鏈路性能分析 網絡安全
中圖分類號:TP393.08 文獻標識碼:A
本文將層次結構與權重分析相結合的方法運用于面向服務的網絡安全態勢評估方法的研究中,提出了基于鏈路性能分析的網絡安全態勢評估方法,該方法以網絡鏈路為可測對象的最小元素來建立層次結構的網絡安全態勢量化評估模型,通過測量分析鏈路上的客觀性能信息來評估網絡的安全狀況,對未知攻擊具有良好的感知能力。
1攻擊分類
根據攻擊目的的不同和人們對攻擊熟知程度的不同可以將攻擊進行分類,見表1。已知攻擊和未知攻擊的攻擊目的都是破壞網絡信息的安全特性,網絡信息的安全特性主要包括完整性、保密性、可靠性和可用性等四個方面,當它們遭受破壞后,網絡系統中都會有相應的性能指標發生變化從而對攻擊進行反映。因此,雖然未知攻擊不能像已知攻擊那樣可以用網絡安全檢測設備來察覺發現,但是它可以通過相應性能指標出現的變化來感知發現。在網絡安全態勢評估研究中,針對不同的攻擊和網絡環境應該選擇不同的網絡性能指標。
2網絡性能指標的處理
可測對象的性能信息是本文網絡安全態勢評估方法的數據源,因此對其進行的處理尤為重要。為了更好地說明網絡性能指標的處理方法,先介紹以下概念:
(1)positive指標:表示該指標的值與網絡性能成正相關,即該指標的值越大代表網絡性能越好;反之,該指標的值越小,網絡性能越差。
(2)negative指標:表示該指標的值與網絡性能成反相關,即該指標的值越大代表網絡性能越差;反之,該指標的值越小,網絡性能越好。
在網絡安全態勢評估的研究中,可測對象的性能指標很有可能同時出現positive指標和negative指標,這時為了統一,需要計算出指標的無量綱的相對數,其計算公式如下:
其中,和分別為第j個可測對象的第項positive指標和negative指標的無量綱的相對數,為第個可測對象的第i項測量指標值,為第i項測量指標可能出現的最不理想的取值,為第i項指標可能出現的最理想的取值。為參加評價的可測對象的個數。通過以上處理,最終得到的無量綱的相對數保持了與人們正常思維的一致性,即其值越大,網絡性能越好。
3評估模型
文獻[2][3]指出通過測量網絡中所有相關鏈路而獲取的性能指標可以反映網絡整體狀況。因此本章網絡安全態勢評估模型中可測對象的最小元素是網絡鏈路,將網絡鏈路上的流量作為數據源,通過統計分析得到網絡性能指標,將往返延遲、丟包率和可利用帶寬作為反映網絡可用性狀態的性能指標,提出的評估框架如圖1所示:
第一步,根據不同時刻各鏈路的往返延遲、丟包率和可利用帶寬計算獲取不同時段的各鏈路性能差熵。然后,根據各鏈路性能差熵計算各鏈路的安全態勢值,以矩陣表示。
第二步,通過服務權重計算主機權重,通過主機權重計算鏈路權重,然后將鏈路安全態勢值與鏈路權重進行加權求和得到網絡不同時段的安全態勢,以向量表示。
參考文獻
[1] 黃正興,蘇D.基于鏈路性能分析的網絡安全態勢評估研究[J].計算機應用, 2013,33(11):3224-3227.
第5篇:網絡安全態勢感知范文
在我國計算機技術不斷發展的現階段,信息時代的到來使得人們的日常生活與生產活動發生了天翻地覆的變化,對于社會的方方面面都產生了較大的影響,在信息技術的支撐之下,人們的生活變得更加便捷,社會生產變得更為高效,因此,各個行業領域都已經將信息化和智能化作為自身發展的主流方向。計算機網絡的自身具有開放性的特點,人們能夠實現信息的共享,但也是由于這種開放性的特點,使得信息的獲取并沒有具體的限制,一些不法分子會通過網絡技術來非法竊取相關的個人或企業或國家的信息,給社會的發展帶來了不可預估的損失。而且,由于網絡黑客和木馬病毒的增多,再加之人們自身的安全防范意識不高,使得計算機網絡中存在著很多風險因素,對于人們的生活和社會生產帶來了十分不利的影響。因此,對網絡安全態勢進行評估具有十分重要的現實意義。
2網絡安全態勢評估流程
網絡安全態勢評估實際上就是對計算機網絡中存在的潛在安全風險因素進行科學、合理、有效的判斷,主要包括網絡信息的價值、系統運行的內在安全隱患、網絡系統的脆弱性以及對安全防范措施的測試等,以實現對網絡安全態勢的評定。網絡安全態勢評估的流程主要包括監測、覺察、傳播、理解、反饋、分析與決策。監測就是利用系統中相關的數據感知組件來實現對所監測的數據的采集和整理。察覺就是將所采集到的數據作為態勢評估的依據,一旦發現有異常的情況,就實現安全事件的報告。傳播實際上是一個分類評估的過程,即對異常事件的不同部分進行分析。理解的過程實際上就是一個對安全態勢進行模擬建模的過程。反饋就是利用網絡技術中的實時性特點,對數據的最新情況進行評估。分析的過程是在確定網絡安全態勢數據最新情況的前提下,來判斷對其是否支持;如果支持,則能夠確定網絡安全態勢的類型;如果不支持,數據感知元件就會繼續進行監測。決策就是根據確定的網絡安全態勢類型和數據模型的具體特點,來對其態勢演變的方向進行預測,并選擇有效的解決措施。
3網絡安全態勢評估的關鍵技術
網絡攻擊行為逐漸呈現出廣泛化、復雜化和規模化的特點,給網絡安全態勢的評估工作提出了越來越高的要求。計算機網絡安全態勢評估系統的正常運行是以信息技術為依托才得以實現的,因此,現就其中的若干關鍵技術進行詳細的研究。
3.1數據融合技術
數據融合技術是網絡安全態勢評估系統中重要的技術支撐。數據融合技術主要是由數據級、功能級和決策級三個級別之間的數據融合所構成。其中,數據級的融合能夠進一步的提高細節數據的精準度,但是由于受到計算機處理速度和內存大小等因素的影響,通常需要對大量的數據進行處理;功能級的融合處于數據級和決策級之間;而決策級的數據融合,由于數據具有抽象和模糊的特點,導致其需要處理的數據較少,且精準度較低。在計算機網絡中,由于不同的設備功能和安全系統之間存在較大的差異,對于描述網絡安全事件的數據格式也是不同的,要想實現不同設備、系統之間的相互關聯,就必須建立一個多傳感器的環境,而數據融合技術就是其最重要的技術。利用數據融合技術,能夠將基礎數據進行提煉、壓縮和融合,為網絡安全態勢的評估提供科學的參考依據,主要應用于估計威脅、識別與追蹤目標等。
3.2計算技術
網絡安全態勢評估中的計算技術就是通過相關的數學計算方法,來實現對大量網絡安全態勢數據信息的處理,將其集中于在一定范圍內的數值,而且,在網絡安全事件的頻率、網絡性能和網絡資產價值發生改變的同時,這些數值也會隨之發生變化。這些數值的大小變化情況能夠直接、實時、快速地反應出網絡系統的安全狀態和威脅程度的大小,監管人員可以以此為根據來實現對網絡安全情況的把握。通常情況下,如果數值在一定的范圍內進行變化,說明態勢是相對安全的;如果數值的變化呈現出了較大的上升或下降,則說明存在安全威脅。
3.3掃描技術
掃描技術是網絡安全態勢評估中最常用的一種方式手段。與傳統的網絡防護機制相比較而言,掃描技術更為主動,能夠對網絡動態進行實時的監控,以收集到的數據信息為依據,通過對安全因素的判斷,來實現對惡意攻擊行為的防范。掃描技術的主要應用對象包括了系統主機、信息通道的端口和網絡漏洞。對系統主機進行掃描是實現數據信息整合的第一階段,主要是通過網絡控制信息協議(ICMP)對數據信息進行記憶與判斷,通過向目標發送錯誤的IP數據包,根據其反應和反饋的情況來進行判斷。對信息通道的端口進行掃描,實際上就是對內外交互的數據信息的安全性進行監測。漏洞掃描則主要是針對網絡黑客的攻擊,對計算機系統進行維護。
3.4可視化技術
可視化技術就是將采集到的數據信息轉換成圖像信息,使其能夠以圖形的形式直觀的顯示在計算機的主屏幕之上,在通過交互式技術對數據信息進行處理之后,管理人員可以直觀地發現其中的隱藏規律,從而為數據的處理與分析提供科學依據。但是,由于網絡安全數據中的關鍵信息常常不容易被提取出來,因此,利用可視化技術的時候還要注意解決這一實際問題。
3.5預測技術
網絡安全態勢評估的發展具有不可確定性,而預測技術則可以根據對象的屬性,結合已有的網絡安全態勢數據和實際經驗來實現對未來安全態勢發展的預測。預測技術主要包括了因果預測、時間序列分析和定性預測等內容,既能夠通過歷史數據和當前數據之間的關系進行態勢預測,又能夠通過因果關系的數據建模來實現對結果變化趨勢的預測。
4結語
第6篇:網絡安全態勢感知范文
網絡安全管理中的智能化技術就要能夠自動識別網絡安全威脅因素,這些因素會在網絡運行中產生危害作用。其中,智能化的安全識別技術就能夠自動捕捉網絡不穩定因素,在系統發生安全事故中形成相應的反饋機制,在威脅因素進入系統能夠主動報警,分析該行為的規范性,在判定為不穩定因素后立刻將其定義危險。同時,網絡運行環境信息包括網絡中資產的分布狀況以及資產的攻擊收益對攻擊發生可能性的影響、使用環境中存在的威脅狀況等因素。這些環境因素都能影響攻擊者攻擊目標,智能化的安全識別技術就能夠根據系統的環境因素制定診斷體系,有效地識別出網絡安全威脅因素。
2網絡智能掃描技術
在網絡安全管理中,智能掃描就是能夠通過預先定義的規則對所有系統信息進行掃面和判定,從而診斷出系統中存在的危險因素和漏洞信息。舊的掃描工具遇到特定的端口找特定的服務,這樣可能導致有人將某個服務安裝在一個自己任意指定的端口使掃描不徹底。所以掃描工具應具備任意端口任意服務的功能。目前,一些成熟的掃描系統能夠將網絡中的單個主機的掃描結果整理成報表,并對相應的脆弱性采取一些措施,但是對整個網絡系統的安全狀況缺乏一個評估,對網絡沒有一個系統的解決方案,先進的掃描系統不僅能夠掃描出脆弱性,而且可以智能化地幫助網絡安管理員評估網絡的安全狀況,給出安全建議,使之能夠成為一個安全評估專家系統。此外,智能化的網絡掃描技術能夠與系統的入侵檢測、防火墻以及風險管控技術結合起來,從而形成一體化的安全掃面危險體系,達到進一步提升系統安全性的效果。
3網絡安全智能評估技術
傳統網絡安全評估中需要針對系統進行詳細分析與測試,該工作對于網絡安全管理員的技術要求較高,并且要求安全管理員的工作強度較大。因此,采用智能化的評估技術就能夠降低網絡安全管理員的工作流程,其中,智能評估技術就是構建網絡自動化分析測試機制,能夠針對網絡安全進行威脅和安全判斷,并能夠協助安全管理員提出系統防御措施。網絡安全智能評估機制就是按照系統安全脆弱性集合,對系統進行全面測試,并對測試結果進行分析,從而對整個網絡系統的安全狀況作出總體評價,并預測可能發生的入侵,最后對網絡系統存在的脆弱性提出修補建議。網絡安全評估系統能夠在網絡黑客進行入侵或攻擊前,幫助安全管理員及早發現網絡系統存在的脆弱性,排除安全隱患。
4網絡態勢智能預測技術
網絡態勢預測能夠在日常網絡運行過程中發現網絡運行狀態,并根據網絡運行裝填制定進行評估未來網絡發展。如果系統在受到不安全因素入侵,在網絡運行狀態分析中就能夠發現網絡運行出現波動,從而在系統報警,讓系統安全管理員察覺系統出現危險。智能化的網絡態勢預測技術就是在網絡安全態勢評估中融入自主決策系統,能夠在分析系統運行情況后進行自動反饋,在最短時間內作出響應控制系統安全。網絡態勢智能化技術能夠設定相應預警機制,并且根據系統具體構成設定安全閥值,并在超出安全閥值的情況下采取相應控制措施。此外,網絡態勢智能預測技術能夠實現動態重構、自主決策和自主感知,為整個系統安全管理提供信息數據支持,在網絡安全的整體層面達到智能化管理。
5網絡優化智能技術分析
網絡安全優化是針對網絡的內部環境制定優化措施,能夠實現網絡的整理和整頓,從而保證網絡內部環境的安全性。網絡優化智能技術就是在系統中能夠通過信息采集,利用信息跟蹤手段確定網絡內部安全狀態,根據內部運行狀態自動判定網絡內部問題,并且能夠自動的進行內部配置和優化,促使網絡內部安全問題得到解決,保持網絡運行效率的最大化。同時,網絡優化智能化技術能夠構建出專家系統,在整個網絡中進行整體規劃,對系統功能進行局部優化,將智能決策、優化知識管理和自動反饋等技術融入到網絡內部優化中,從而為提供內部工作提供支持。此外,網絡優化智能技術能夠保證系統運行的穩定性,對于網絡系統的安全性有著重要保證,智能化優化措施可以結合系統外部防護形成多維網絡管理體制,從而有效地控制網絡系統安全。
6總結
第7篇:網絡安全態勢感知范文
在“十一五”863計劃中,包含有很多應用,比如通信技術和信息安全。《國家中長期科技發展規劃綱要》(簡稱《綱要》)對信息產業及現代服務業提出了四點發展思路,其中第四點是以發展高可信網絡為重點,開發網絡信息安全技術及相關產品,建立信息安全技術保障體系,具備防范各種信息安全突發事件的技術能力。
另一個綱領性文件是《2006―2020國家信息化發展戰略》(簡稱《戰略》),《戰略》提出了九項戰略重點。其中,第八項是建設國家信息安全保障體系,圍繞網絡安全涉及的內容,全面加強國家信息安全保障體系建設,建立和完善信息安全登記保護制度,重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定的重要信息系統。同時,還將加強信息安全風險評估工作,建設和完善信息安全監控體系,提高對網絡安全事件應對和防范能力,從實際出發,促進資源共享,重視災難備份建設,增強信息基礎設施和重要信息系統的抗毀能力和災難恢復能力。這些是我們在安排863計劃的核心指導方針,是指導性的文件。
在經典的網絡模型中,有六個重要要素:分析、安全策略、保護、檢測、響應、恢復。圍繞著經典的網絡安全模型,圍繞著《綱要》和《戰略》可以看出,863重點安排在八項技術上:第一是安全測評評估技術;第二是安全存儲系統技術;第三是主動實時防護模型與技術;第四是網絡安全事件監控技術;第五是惡意代碼防范與應急響應技術;第六是數據備份與可再生技術;第七是可信計算平臺項目;第八是UTM與網絡安全管理。
安全測評評估技術
風險分析的重點將放在安全測評評估技術上。它的戰略目標是掌握網絡、信息系統安全測試及風險評估技術,建立完整的、面向等級保護的測評流程及風險評估體系。這一點和過去不一樣,過去做測評是沒有強調等級保護的。
國家中長期發展戰略已經明確提出,要按照等級保護的原則來做,所以測評也是要服務于這一點。其主要創新點和切入點在于:首先提出適應等級保護和分級測評機制的通用信息系統與信息技術產品測評模型;適應不同的級別要有不同的測評方法,這個分級要符合登記保護體制;重點放在通用產品,要建成一個標準的方法;要建立統一的測評信息庫和知識庫,測評要有統一的背景,制定相關的國家技術標準;要提出面向大規模網絡與復雜信息系統安全風險分析的模型與方法,尤其安全風險分析,重點面向大規模復雜網絡,因為復雜網絡要分析的要素很多,態勢也很強,這是我們追求的創新點;要建立基于管理和技術的風險評估流程,測試風險評估面臨的威脅和不安全因素。此外,因為保證信息安全不只是技術,管理不到位也會帶來風險,所以風險評估應該把技術和管理都包括在內,要制定定性和定量的測度指標體系。
安全存儲系統技術
安全策略的重點應放在安全存儲技術上。安全存儲系統產品很多,從安全角度來看,它的戰略目標有兩點:一個是機密性的安全,要掌握海量數據的加密存儲和檢索技術,保障存儲數據的機密性和安全訪問能力;另一個是安全自身要可靠,要掌握高可靠海量存儲技術,保障海量存儲系統中數據的可靠性。創新點在于,應提出海量分布式數據存儲設備的高性能加密與存儲訪問方法,提出數據自毀機理。
加密是容易的,要對海量信息加密,影響當然是有的,但是應該不是很明顯,這就對我們算法的效率提出了很高的要求。一旦數據出現被非授權訪問,應該產生數據自毀,或者被別人破解時有自我保護能力。我們提出海量存儲器的高性能密文數據檢索手段,檢索就要有規律,但加密的基本思路就是要把它無規則化,讓它根本看不到規則,所以我們應找到一個折中的方法:什么樣的加密可以支持檢索,又具備一定的安全強度。
為此,我們提出了基于冗余的高可靠存儲系統的故障監測、透明切換與處理、數據一致性保護方面的新模型預實現手段。雙備份是比較簡單的,問題在于實時切換,我們現在是整體的切換,如果切換非常頻繁,就會出現一些誤報警的情況。尤其當數據多備份的時候,就會有數據一致性的問題,為此我們提出信息安全的數據組織方法,提出基于主動防御的存儲安全技術。如果不能完全自動備份,可以有兩種選擇:一種是局部冗余,哪些是重要信息,它在整個系統中不會出現太大的問題;另外一個是數據在相對分散的情況下,怎么能盡可能弱相關。檢索要更加智能,要能判斷訪問是不是非授權訪問,這里面要有一定的能力,而不是簡單的存儲。
主動實時防護模型與技術
防護強調的是主動實時防護模型與技術。它的戰略目標是通過掌握態勢感知、風險評估、安全檢測等手段來對當前安全態勢進行判斷,并依據判斷結果實施網絡主動防御的主動安全防護體系的實現方法與技術。當通過態勢判斷出某個地方出現網絡安全事件,別的地方就要跟著調整。特別是隨著風險評估,某地方出現威脅,我們要提高風險防護,這被稱為主動防護戰略。創新點提出主動防護的新模型、新技術、新方法,現在這方面并不是很成熟,還要提出基于態勢感知模型、風險模型,做主動實時協同防護機制和方法。
第二個是要提出網絡與信息系統的安全運行特征和惡意行為特征的自動分析與提取方法。根據分析才能監控特征,判斷現在是不是處于安全狀態,不同的系統可能有不同的需求,應該具有提取能力,然后監控,通過監控來判斷現在出現的情況。要有提出可組合與可變安全等級的安全防護技術,可能在某種狀態下,需要做級別的變化,我們采取一系列各種各樣的安全手段,如果某種風險不存在,可以把安全手段降低,就可以提高運行效率,這方面應該提供相應的技術。
網絡安全事件監控技術
監測的重點是網絡安全事件監控技術。戰略目標重點放在國家層面考慮,要掌握保障基礎信息網絡與重要信息系統安全運行的能力,支持多網融合下的大規模安全事件的監控與分析技術,提高網絡安全危機處理的能力。三網融合也是勢在必行,不同網的狀態融合起來就對監測提出了要求。主要創新點在于,要提出網絡數據獲取接口標準,并且提出網絡流量海量性與分析系統計算能力不匹配的應對方法。
一般而言,網絡帶寬增長每六個月翻一番,我們國家是每七八個月翻一番。計算機運行速度按照摩爾定律每18個月翻一番,這導致計算機處理能力越來越快。我們提出多通道綜合檢測和協同分析模型與技術,要建立大規模惡意代碼傳播演變的可視化展示手段。一旦惡意代碼傳播演變了,要有一個跟蹤的態勢,能在地圖上不斷發現蠕蟲、病毒。提出蜜罐的攻擊誘惑與自身隱蔽方法,現在的研究比較成熟,人類在防范,攻擊者也尋找新的攻擊誘惑。提出網絡安全態勢分析指標體系,建立基于復雜網絡行為建模與模擬的網絡安全態勢的分析與預測體系。
這個態勢怎么來的,要有一個指標體系,我們通過對指標體系的分析,通過重要的端口,或者某種協議的監測,把這些指數綜合起來,計算當前態勢。當每個事件出現,如果不采取措施,將來會變成什么樣?這需要有復雜網絡的模擬網絡,模擬網絡對復雜行為建模提出要求,模擬節點不是幾萬、幾十萬,至少幾百萬量級才能做出判斷,這樣才能真正做到預測。現在做到的只是預警,一個事態出現到形成規模不到10分鐘,如果僅僅是預警,根本來不及采取措施。
惡意代碼防范與應急響應技術
響應的相應重點應該放在惡意代碼防范與應急響應技術上,其戰略目標是掌握有效的惡意代碼防范與反擊策略。一旦發現惡意代碼之后,要迅速提出針對這個惡意代碼的遏制手段,要提供國家層面的網絡安全事件應急響應支撐技術。其主要創新點在于,提出對蠕蟲、病毒、木馬、僵尸網絡、垃圾郵件等惡意代碼的控制機理。
比如,面對沖擊波時,用戶只有靠打補丁,如果用戶沒有打補丁,病毒就會通過網絡不斷傳播,這時我們就要把這個端口封鎖住。我們要研究每個問題,而且要建立惡意代碼攻擊的追蹤、取證及遏制機制,提出支持遏制手段的惡意代碼可控性的特征分析及提取技術。我們不是對惡意代碼的判斷特征識取,我們需要找出惡意代碼特征,判斷惡意代碼是否存在,還要找出對于什么樣的特征可以利用哪些手段去遏制它。
數據備份與可再生技術
數據備份與可生存性技術是圍繞災難恢復來做的。這主要是提供用于第三方實施數據災難備份的模型與方法,為建設通用災難備份中心提供理論依據與技術手段,建立網絡與信息系統生存性和抗毀性,提高網絡與信息系統的可靠性。比如我建立一套系統,如果系統重要,就建立一個應急系統做備份。但是這不適合第三方,現在有一些第三方是服務隊伍,需要熟悉原來系統什么樣,按照原來系統來做。
怎么能夠做第三方呢?這里面創新點是提出源數據存儲結構無關的數據遠程備份及快速恢復模型、機制、方法與技術。現在,一個系統建完后,你必須掌握系統結構,為你的數據庫系統再建一個數據庫系統,這樣你的數據才能保存起來。但是出現增量怎么辦?是不是因為增加一個記錄而全部備份呢?答案是否定的,因為大系統從頭到尾備份需要3天。如果說傳增量,那邊沒有一模一樣的系統也無法把增量去。因此能不能做到結構無關?我們提出基于關鍵服務的網絡與信息系統容錯、容侵和容災模型。如果我的系統資源足夠多,入侵者通過連接攻擊我的線程空間,但是我線程空間足夠大。如果系統徹底垮了,我就換一個系統。而且我們還要提出網絡與信息系統自適應生存機理與可恢復模型,提出故障感知模型與異常檢測方法,圍繞這一點要建立可生存性及抗毀性分析仿真和評測方法。
可信計算平臺項目
網絡如果采用可信的方法,比如硬件有改動,通過信息來驗證,整個系統是可靠、不會被攻擊的,這樣應用系統都不會被病毒侵入。Vista對這一點是一個重大的推動。對網絡安全模型提出一個技術性模型,應該要有一個可信計算平臺做整體的支撐。戰略目標是掌握基于自主專利與標準的可信平臺模塊、硬件、軟件支撐、應用安全軟件、測評等一批核心技術,主導我國可信計算平臺的跨越發展。
我國在可信計算方面介入特別早,但現在沒有形成一個特別好的體系,只有盡早地提出一個標準體系,我國的產業才能沖上來。其主要創新點在于提出可信計算平臺信任鏈建立和擴展方式,包括可信引導、可信度量、可信網絡連接、遠程平臺證明等。從互操作和安全評估兩個角度出發,建立可信計算標準體系。
UTM與網絡安全管理
第8篇:網絡安全態勢感知范文
歡迎各位領導來到***核心業務的工作區,這里是充分發揮產業數字化的場景資源優勢和數字產業化的數字資源優勢,覆蓋網絡安全態勢感知、全省機電一體化運維、工地數字化管控、“兩客一危”監管等***公司支撐核心生產經營業務的智慧運維中心。
在我們屏幕的最右側,是我們中心幾個核心職能的形象化展示。
首先,讓我們進入網絡安全板塊。
網絡安全態勢感知平臺,是我們聯合國內最頂尖的清華大學孫家廣院士團隊,共同打造的保護遼寧交通大數據安全的第一道閘門。
在取消省界收費站之后,交通專網的全國一張網覆蓋范圍為15萬公里,管理著2億上線車輛,交易規模可達每秒10萬筆,是全球最大的單一業務專網,面臨著前所未有的安全壓力。
而我們上線的這個平臺,能夠提供對威脅的事前預警、事中發現、事后回溯功能。領導請看,系統現在非常健康的100%防護狀態,我們已經將全省2萬多個軟硬件資產實時監測起來,防范威脅,并能自動化解決大量風險漏洞。
在去年9月和今年4月公安部、交通部聯合舉行的攻防演練中,遼寧均表現優異,多項安全指數排名第一,得到了各方好評。
接下來,讓我們進入智能運維板塊。
***公司是全省機電的統一運維服務中心,我們現在看到的遼寧高速運行監測平臺,可以將省域范圍內293個收費站、694個門架、以及所有服務器、車道、車牌識別設備等的狀態都實時接入系統,當設備發生故障時,系統會第一時間發送短信報警,使運維人員對故障處理最快響應。
第9篇:網絡安全態勢感知范文
隨著煙草行業信息化快速發展及云計算、虛擬化、移動應用等新興技術運用,使煙草行業的信息安全面臨新的挑戰,主要表現在以下幾點。
1.1核心軟硬件被國外壟斷,嚴重威脅行業信息安全
當前,煙草行業的信息系統基礎設施,包括主機、存儲、操作系統、數據庫、中間件等幾乎還很大程度上依賴于國外品牌,使得煙草行業信息系統比較容易被國外掌控,威脅煙草行業信息安全。
1.2傳統互聯網威脅向煙草行業輻射
隨著電子商務的快速發展,煙草行業信息系統由半封閉的行業內網向互聯網轉變,網上訂貨、網上營銷等新型業務與互聯網結合日益緊密,同樣面臨的網絡攻擊和威脅形勢日益復雜嚴峻,傳統互聯網威脅(如病毒、木馬等)也必將危及行業信息安全。
1.3新技術的應用使行業信息安全面臨更大挑戰
隨著云計算、虛擬化、移動應用等新興技術的快速發展和應用,極大地影響了信息系統的運行和服務方式,互聯網服務的開放性特點對煙草行業信息安全工作提出嚴峻的挑戰。
2煙草行業信息安全發展方向
近期,為處理好安全和發展的關系,適應信息技術發展形勢需要,提出以安全保發展、以發展促安全是未來一段時間信息安全建設和管理的重要方向。
2.1堅持自主安全可控,健全行業信息安全體系
信息安全自主可控作為行業信息化發展的重要保障,加大安全可靠的先進技術應用力度,提升對核心技術的自主掌控能力,保障行業信息化建設穩步推進,健全以防為主、軟硬結合的行業網絡安全體系。強化網絡基礎設施安全,加大安全可控關鍵軟硬件的應用比例,確保行業信息化高效安全平穩運行。
2.2堅持等級保護,提高安全管理水平
執行國家信息安全等級保護制度,以安全策略為核心,堅持技術和管理相結合,構建與行業信息化發展協調一致的行業網絡安全體系。
2.3強化安全運維機制,提升安全保障能力
目前,行業信息安全保障尚未全面融入信息化的“建管用”的各個環節,需要進一步建設、健全行業網絡安全保障體系,落實安全運維機制,提升安全綜合防范能力。
2.4完善應急處置體系,保證系統安全穩定運行
加強日常信息安全監控,進一步完善信息安全應急處置機制,充分評估信息系統面臨的威脅,并制訂覆蓋各類信息系統、各種信息安全事件的應急預案并進行演練,提升信息系統預警、應急處置和恢復能力,保障業務系統的連續穩定運行。
2.5煙草行業信息安全建設思路
隨著國家、行業主管單位對信息安全認識和要求的不斷深入,煙草行業信息系統綜合安全防范能力需要通過建立自主可控的信息安全技術體系;細化和完善信息安全法規制度、標準規范、流程細則的管理體系;和以“常態化”為目標,包括階段性運維、日常運維、應急工作三個角度的安全運維體系設計,從而提高信息系統信息安全綜合防范能力。
2.6建立系統安全基線,提升系統基礎防護能力
國家局針對信息安全工作下發了如《信息安全保障體系建設規范》《行業單位等級保護建設規范》等一系列的規范標準,同時以“三全工作”“安全檢查”為抓手推動信息安全保障體系的建設。但由于缺乏具體的操作層面的指南,各行業單位對標準規范和安全建設尚不能有效落地,不能執行到具體的業務系統以及所屬的主機、網絡設備等基礎設施層面。為保證信息系統整體安全水平,防止因為各類系統、設備的安全配置不到位而帶來安全風險,有必要針對信息系統建立其基本的安全要求(安全基線),確保信息系統具有基本的安全保護能力。
2.7建立自主可控信息安全技術體系
自主可控是信息安全的根本保障。建立自主可控的信息安全技術體系可以從以下方面著手:一是制訂行業信息安全技術產品準入要求,啟動核心信息技術產品的信息安全檢查和認證工作;二是加強對產品或系統的漏洞檢測和代碼審查,及時發現系統安全隱患,同時明確國外進口產品在使用過程的責任和義務;三是建立煙草行業新技術的安全標準規范,明確新技術的使用、運維和管理的方法和范圍。
2.8不斷完善行業信息安全標準規范體系
目前煙草行業已經陸續了一系列行業信息安全標準和規范,但是相對于信息化的快速發展來說還存在滯后性。制定、完善和細化行業信息安全標準規范,對于煙草信行業信息安全具有重要意義。例如,針對信息系統的建設,應制訂包含在信息系統規劃設計、開發建設、運行維護和停用廢棄等全生命周期的安全標準規范;針對移動應用,應制訂包含由移動終端、移動網絡、移動平臺、業務應用構成的移動安全框架和建設標準規范,為煙草行業的移動應用建設提供指導;針對煙草行業數據安全,應建立包括數據分類分級、數據分布、數據操作、數據備份和恢復在內數據安全標準規范,為合理保護和利用行業數據提供指導;針對第三方服務外包,制定第三方服務機構服務質量基本評價指標體系。
2.9建立安全運維管理服務體系
一是建立運維監控指標體系。通過對信息系統安全運維水平的層次化監控指標的建立,得到該業務系統的安全運維水平評級,以此來表明該業務系統的安全運維體系的建設成熟度。同時還應將表示安全運維水平的各個指標項建立針對某類安全事件的度量標準。建立監控指標不僅應當包括傳統的各種系統資源使用率、數據和應用工作狀態等,同時要加強對運維監控中發現的各種異常現象的監控分析,對風險隱患及時處理,同時根據運行分析結果動態評估系統的處理能力,動態優化系統資源配置。二是完善安全運維和管理工作。安全運維和管理工作應包含在信息系統規劃設計、開發建設、運行維護和停用廢棄等各環節,落實系統建設全生命周期各環節的安全指標和流程要求,做到基礎信息網絡、重要信息系統與安全防護設施同步規劃、同步建設、同步運行。三是完善應急處置機制,保障業務連續性。隨著行業數據的集中,各類信息系統整合的不斷推進,信息系統的技術體系日趨復雜,需要在日常運維過程中積累、提高對各種技術的把握、優化能力。充分評估各類信息系統潛在的威脅,并制訂和完善各類信息安全事件的應急預案,并定期開展應急演練。
2.10開展信息安全風險態勢感知體系研究
風險態勢感知體系是具有宏觀的角度對行業的整體網絡安全防護能力進行評估,同樣也應對整體安全管理水平進行評估,為提升信息系統整體安全防護能力提供決策支持;同時風險態勢感知體系應具備兩個維度的態勢感知能力。一方面,從安全本身的發展變化入手,通過對事件和威脅的分析來評估當前網絡的整體安全態勢,包括地址熵態勢分析、熱點事件分析和威脅態勢分析;另一方面,從信息系統所需要達成的安全管理水平入手,通過對一系列管理指標的度量,來評估當前信息系統的安全管理水平;建設完備的信息安全風險感知體系,是提高煙草領域信息安全的重要途徑之一。風險態勢感知體系的建設應按照信息安全等級保護的相關要求,建設針對信息系統所有的基礎設施包括終端、網絡、應用、系統、物理各個方面,以及信息系統在業務處理過程中的身份認證、訪問控制、數據與內容安全、監控審計、備份恢復等各個環節的信息安全風險態勢感知體系,提高信息系統的信息安全保障能力,提高信息安全事件的預警及防范能力。
3結語
