前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全發展報告主題范文,僅供參考,歡迎閱讀并收藏。
本刊訊
5月29日在上海國際貴都大酒店“2015中國網絡空間安全(上海)論壇”順利舉行。該論壇由公安部第三研究所、上海市電子口岸建設聯席會議辦公室和上海市公安局網絡安全保衛總隊共同主辦。國家網絡與信息安全信息通報中心副主任、公安部十一局副局長袁旭陽,上海市互聯網信息辦公室副主任趙彥龍,公安部第三研究所黨委書記馮曰銘出席論壇開幕式并致辭。市公安局副局長曹忠平、公安部三所所長胡傳平、中科院院士鄂維南等做主題報告。
本次論壇的主題是“從國家戰略安全的高度,推進信息網絡安全的發展”,分為互聯網金融安全、電子取證和隱私保護、車(物)聯網的安全應用、網絡安全與大數據保護、移動互聯網安全等五個專場展開討論。清華大學教授蘇光大、上海交大信息安全學院院長李建華、奇虎360副總裁譚曉生、啟明星辰首席戰略官潘柱廷等40位專家學者、行業權威發表專題報告,并就熱點議題展開討論分享。此外,本屆網絡安全論壇專門為網絡安全企業提供了網絡安全公眾體驗展,參展企業帶來業界最新的網絡安全技術研究成果。
上海市軟件行業協會積極組織了網絡信息安全上下游企業共30家齊聚本屆論壇,以網絡安全論壇為契機,推進網絡安全的多方參與,搭建溝通橋梁,凝聚社會共識,為營造安全、穩定、可靠、有序的網絡環境,維護信息網絡安全、促進互聯網和諧健康發展做出了有益的貢獻。
隨著網絡技術和應用的迅速發展,網絡空間已成為陸、海、空、天以外的第五疆域。在某種意義上,網絡安全影響著甚至決定著其他疆域的安全,全球網絡空間軍備競賽的風險不斷增加。世界各國都開始重視加強網絡戰的攻防實力,紛紛組建網絡攻擊力量,構建各自的“網絡威懾”,已經有50多個國家成立了網絡部隊,其中包括美國、俄羅斯、以色列等,各國仍在進一步擴大網絡部隊規模。
會上,工業和信息化部賽迪智庫信息安全研究所劉權所長分享了賽迪智庫網絡安全研究所第一季度的總結和分析。在移動互聯網領域,用戶和應用的數量快速增長,帶來嚴重信息安全隱患,移動終端惡意軟件數量暴增,《2013中國移動互聯網環境治理報告》指出, 2013年,移動互聯網惡意程序傳播事件1295萬余次,比2012年同期增長22倍。據阿里巴巴移動安全報告顯示,參與檢測的app樣本中,近97%的app都存在漏洞問題,且平均漏洞量高達40個。
劉權所長指出,我國網絡安全系統攻防能力不足,網絡空間缺乏戰略威懾。產業根基不牢,安全可控戰略實現面臨困難。我國網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節;重要信息系統和工業控制系統對外依賴嚴重。目前,13%的重要系統若沒有境外技術支持和運維服務,系統就無法正常運行;產品存在“帶病上崗”現象,對國外產品缺少安全仿真驗證環境。長期“跟隨跑”戰術已經使得我國的信息安全技術喪失了獨立性,技術發展過程中過多地使用“拿來主義”,淪為代工廠。同時我國對各類網絡犯罪技術缺乏有效應對。“心臟出血”漏洞以超強破壞力在網絡安全業界引發了廣泛擔憂,從近期一份有關“從應對‘心臟出血’漏洞看各國攻防能力”的研究成果顯示,我國在網絡空間上的重要資產數量遠低于其他國家,但在漏洞修復趨勢和危機應急反應能力方面,全球排名僅占第102位,與我國的網絡大國地位極不相稱。
中央網絡安全和信息化領導小組的成立,是我國把信息安全提高到國家戰略的層面給予高度重視的體現。網絡安全已然受到越來越多的關注。一方面網絡管理進一步加強的同時,網絡安全審查制度將出臺;另一方面,包括蘋果公司在內的若干全球品牌已被相關部門從政府采購名單中剔除,網絡安全和信息化領域的國產化迅速發展。這些都促進了中國的信息安全熱潮被掀起。
1總則
1.1編制目的
為保障XX市醫療保障局網絡和信息安全,提高應對網絡安全事件的能力,預防和減少網絡安全事件造成的損失和危害,進一步完善網絡安全事件應急處置機制,制定本預案。
1.2編制依據
《中華人民共和國網絡安全法》、《國家網絡安全事件應急預案》、《信息安全技術信息安全事件分類分級指南》(GB/Z20986-2007)、《信息安全事件管理指南》(GB/Z20985-2007)、《應急預案編制導則》(GBA29639-2013)、《信息技術服務運行維護第3部分:應急響應規范》(GBA28827.3-2012)等相關規定。
1.3工作原則
強化監測,主動防御。強化網絡和信息安全防護意識,加強日常安全檢測,積極主動防御,做到安全風險早發現。
明確分工,落實責任。加強網絡和信息安全組織體系建設,明確網絡安全應急工作權責,健全安全信息通報機制,做到安全風險早通報。
快速響應,有效處置。加強日常監管和運維,強化人力、物資、技術等基礎資源儲備,增強應急響應能力,做到安全問題早處置。
1.4適用范圍
本預案適用于市醫療保障局網絡和信息安全事件應急工作。
2事件分級與監測預警
2.1事件分類
網絡安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網絡安全事件。
(1)有害程序事件。包括:計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。
(2)網絡攻擊事件。包括:拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。
(3)信息破壞事件。包括:信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。
(4)信息內容安全事件。指通過網絡傳播法律法規禁止信息,組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益的事件。
(5)設備設施故障。包括:軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。
(6)災害性事件。指由自然災害等其他突發事件導致的網絡安全事件。
(7)其他事件。指除以上所列事件之外的網絡安全事件。
2.2事件分級
按照事件性質、嚴重程度、可控性和影響范圍等因素,將市醫療保障局網絡和信息安全事件劃分為四級:Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級,分別對應特別重大、重大、較大和一般安全應急事件。
(1)Ⅰ級(特別重大)。局網絡和信息系統發生全局性癱瘓,事態發展超出控制能力,產生特別嚴重的社會影響或損害的安全事件。
(2)Ⅱ級(重大)。局網絡與信息系統發生大規模癱瘓,對社會造成嚴重損害,需要局各科室(單位)協同處置應對的安全事件。
(3)Ⅲ級(較大)。局部分網絡和信息系統癱瘓,對社會造成一定損害,事態發展在掌控之中的安全事件。
(4)Ⅳ級(一般)。局網絡與信息系統受到一定程度的損壞,對社會不構成影響的安全事件。
2.3預警監測
有關科室(單位)應加強日常預警和監測,必要時應啟動應急預案,同時向局網絡安全和信息化領導小組(以下簡稱“領導小組”)通報情況。收到或發現預警信息,須及時進行技術分析、研判,根據問題的性質、危害程度,提出安全預警級別。
(1)對發生或可能發生的Ⅳ級安全事件,及時消除隱患避免產生更為嚴重的后果。
(2)對發生或可能發生的Ⅲ級安全事件,迅速組織技術力量,研判風險,消除影響,并將處置情況和結果報領導小組,由領導小組預警信息。
(3)對發生和可能發生的Ⅱ級安全事件,應迅速啟動應急預案,召開應急工作會議,研究確定事件等級,研判事件產生的影響和發展趨勢,組織技術力量進行應急處置,并將處置情況報領導小組,由領導小組預警信息。
(4)對于發生和可能發生的Ⅰ級安全事件,迅速啟動應急預案,由領導小組向省醫療保障局、市委網絡安全和信息化委員會辦公室、市公安局通報,并在省級有關部門的指揮下開展應急處置工作,預警信息由省級有關部門。
3應急處置
3.1網頁被篡改時處置流程
(1)網頁由主辦網站的科室(單位)負責隨時密切監視顯示內容。
(2)發現非法篡改時,通知技術單位派專人處理,并作好必要記錄,確認清除非法信息后,重新恢復網站訪問。
(3)保存有關記錄及日志,排查非法信息來源。
(4)向領導小組匯報處理情況。
(5)情節嚴重時向公安部門報警。
3.2遭受攻擊時處置流程
(1)發現網絡被攻擊時,立即將被攻擊的服務器等設備斷網隔離,并及時向領導小組通報情況。
(2)進行系統恢復或重建。
(3)保持日志記錄,排查攻擊來源和攻擊路徑。
(4)如果不能自行處理或屬嚴重事件的,應保留記錄資料并立即向公安部門報警。
3.3病毒感染處置流程
(1)發現計算機被感染上病毒后,將該機從網絡上隔離。
(2)對該設備的硬盤進行數據備份。
(3)啟用殺病毒軟件對該機器進行殺毒處理工作。
(4)必要時重新安裝操作系統。
3.4軟件系統遭受攻擊時處置流程
(1)重要的軟件系統應做異地存儲備份。
(2)遭受攻擊時,應及時采取相應措施減少或降低損害,必要時關停服務,斷網隔離,并立即向領導小組報告。
(3)網絡安全人員排查問題,確保安全后重新部署系統。
(4)檢查日志等資料,確定攻擊來源。
(5)情況嚴重時,應保留記錄資料并立即向公安部門報警。
3.5數據庫安全緊急處置流程
(1)主要數據庫系統應做雙機熱備,并存于異地。
(2)發生數據庫崩潰時,立即啟動備用系統。
(3)在備用系統運行的同時,盡快對故障系統進行修復。
(4)若兩主備系統同時崩潰,應立即向領導小組報告,并向軟硬件廠商請求支援。
(5)系統恢復后,排查原因,出具調查報告。
3.6網絡中斷處置流程
(1)網絡中斷后,立即安排人員排查原因,尋找故障點。
(2)如屬線路故障,重新修復線路。
(3)如是路由器、交換機配置問題,應迅速重新導入備份配置。
(4)如是路由器、交換機等網絡設備硬件故障,應立即使用備用設備,并調試通暢。
(5)如故障節點屬電信部門管轄范圍,立即與電信維護部門聯系,要求修復。
3.7發生火災處置流程
(1)首先確保人員安全,其次確保核心信息資產的安全,條件允許的情況下再確保一般信息資產的安全。
(2)及時疏散無關人員,撥打119報警電話。
(3)現場緊急切斷電源,啟動滅火裝置。
(4)向領導小組報告火災情況。
4調查與評估
(1)網絡和信息安全事件應急處置結束后,由相關科室(單位)自行組織調查的,科室(單位)對事件產生的原因、影響以及責任認定進行調查,調查報告報領導小組。
(2)網絡和信息安全事件應急處置結束后,對按照規定需要成立調查組的事件,由領導小組組織成立調查組,對事件產生的原因、影響及責任認定進行調查。
(3)網絡和信息安全事件應急處置結束后,對產生社會影響且由省級有關部門進行調查的,按照省級有關部門的要求配合進行事件調查。
5附則
關鍵詞:通信網絡;安全;維護
隨著信息技術的不斷發展,通信網絡的迅速發展使人們的信息溝通方式也得以改變,通信網絡作為信息傳遞的一種主要載體,在推進信息化的過程中與多種社會經濟生活有著十分緊密的關聯。自改革開這幾十年來,通信網絡取得了前所未有的發展,在基礎性和全局性地位日益突出的同時,也不斷面臨著日益多樣化的安全威脅和越來越復雜的網絡安全環境。通信網絡安全通常包括承載網與業務網安全,網絡服務安全以及信息傳遞安全。通信網絡安全不涉及意識形態安全。
1. 通信網絡安全現狀
由于互聯網具有開放性、全球性、虛擬性、身份的不確定性、非中心化與平等性等特征,使得人們的某些需求得以滿足。也正是由于互聯網的這些特征,同時又產生了許多安全問題。
“去年,通信網絡安全與非傳統安全問題突出,網絡而已行為的趨利化特征日益明顯,黑客個體、地下產業鏈等對通信網絡安全提出了嚴峻挑戰,網絡安全整體形勢日趨嚴峻。”中國通信企業協會會長劉立清在致辭中指出。
在中國互聯網絡信息中心(CNNIC)和國家互聯網應急中心(CNCERT)近日聯合的調查報告顯示,在2009年,我國52%的網民曾遭遇過網絡安全事件,網民處理安全事件所支付的相關服務費用共計153億元人民幣。據報告中顯示,在遭遇網絡安全事件的網民中,77.5%是因為在網絡下載或瀏覽時遭遇病毒或木馬的攻擊。其中,網絡安全事件給21.2%的網民帶來直接經濟損失,包括網絡游戲、即時通信等賬號被盜造成的虛擬財產損失,網銀密碼、賬號被盜造成的財產損失等。
正是因為計算機系統和網絡的開放性、虛擬性等特點,使計算機系統和網絡受攻擊是不可避免的。計算機病毒的“不斷推新”及其大范圍的惡意傳播,對當今日發展的社會通信網絡安全產生威脅。現在企業單位各部門信息傳輸的物理媒介,大部分是依靠普通通信線路來完成的,雖然也有一定的防護措施和技術,但還是容易被竊取。由于商用軟件的源代碼以及源程序完全或部分公開,顯然這些軟件存在著安全隱患,而通信系統大部分都是使用這種商業軟件,通信網絡安全性必然也存在問題。
2. 通信網絡安全分析
工信部通信保障局網絡安全管理處處長閆宏強在論壇上分析了當前我國通信網絡安全防護領域所面臨的問題,他指出當前信息安全問題已經不僅是針對個人及企業用戶,通過今年發生的5.19和6.25兩起攻擊事件可以看出,我國通信基礎設施現在也正在遭受嚴重的威脅和影響。
針對計算機系統和網絡的那些特點,必須加強網絡管理員的技術水平和安全意識,盡全力使其安全隱患降到最低。如果技術水平不強和安全意識弱,違反安全保密制度,明密界限不清楚,密件明發,并且總是使用同一種密鑰,密碼被破譯的可能性極大,這將會造成系統混亂。可見加強網絡管理員的安全保密意識是非常有必要的。
軟硬件設施存在安全隱患。由于有些軟硬件系統在設計過程中設計了遠程終端的登錄控制通道,所以在軟件設計時也存在著不多bug,又加上商用軟件源程序的公開性,使得在使用通信網絡的過程中,不法分子可以直覺入侵到網絡系統中,達到竊取通信信息的目的。還有就是傳輸信道上的安全隱患,不發分子可以利用專門的設備在傳輸信道上竊取機密信息。
另外,目前,在通信網建設和管理上,審批不嚴格,標準不統一,建設質量低,維護管理差,網絡效率不高,人為因素干擾等問題。
3.通信網絡安全維護措施
CCSA TC8副主席舒敏在論壇上匯報了CCSA TC8網絡與信息安全標準化工作進展情況。她指出,協會已經完成103項網絡信息安全標準的制定,涵蓋了網絡設備、終端設備、電信業務、短信業務、垃圾郵件等方面,有效的保護了用戶利益,為政府在信息安全技術標準領域提供了有力的支撐。
為了實現通信網絡安全性,必須實施安全技術來防御系統。其安全技術主要有:防火墻技術。防火墻技術,最初是針對網絡不安全因素所采取的一種保護措施。顧名思義,防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障,其目的就是防止外部網絡用戶未經授權的訪問。因此,防火墻是網絡安全的重要技術之一;入侵檢測技術。入侵檢測技術是防火墻的一個補充,它對網絡系統內外部的攻擊進行實時保護,在網絡受到威脅之前進行攔截,二樣提高了安全性;網絡加密技術。由于采用網絡加密技術,公網數據傳輸的安全性和遠程用戶訪問內網的安全性都得以解決;身份認證技術。通過身份認證技術可以保障信息的機密性、完整性、不可否認性及可控性等功能特性;虛擬專用網(VPN)技術。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接;漏洞掃描技術。因為光依靠網絡管理員尋找安全漏洞是不夠的,所以要借助網絡安全掃面工具來優化系統配置,找出漏洞。
4.總結
通信網絡安全問題不是一朝一夕就能夠完全解決的。解決通信網絡安全問題的難度很大,需要繼續進行理論上的研究和在試驗環境下進行實際測試來驗證,才能在一定程度上解決網絡的安全問題。進一步加強通信網絡安全政策研究制定,完善網絡安全防護體系,切實作好網絡安全關鍵技術研發及相關標準化工作。
參考文獻:
[1]范忠禮,《系統構建網絡安全體系》,通信世界網,2004年12月13日.
緊接著,全球最大的中文搜索引擎百度也遭遇攻擊,從而導致用戶不能正常訪問,眾多網站最近頻遭網絡攻擊的消息,不禁引起業界及廣大網民的深刻反思:“我們的互聯網真的安全嗎?”
據中國互聯網絡信息中心的調查報告,2009年我國網民規模達到3.84億人,普及率達28.9%,網民規模較2008年底增長8600萬人,年增長率為28.9%。中國互聯網呈現出前所未有的發展與繁榮。
然而,在高速發展的背后,我們不能忽視的是互聯網安全存在的極大漏洞,期盼互聯網增長的不僅有渴望信息的網民,也有心存不善的黑客,不僅有滾滾而來的財富,也有讓人猝不及防的損失。此次發生的政府網站篡改事件、百度被攻擊事件已經給我們敲響了警鐘:“重視互聯網安全刻不容緩!”
顯然,互聯網以其網絡的開放性、技術的滲透性、信息傳播的交互性而廣泛滲透到各個領域,有力地促進了經濟社會的發展。但同時,網絡信息安全問題日益突出,如不及時采取積極有效的應對措施,必將影響我國信息化的深入持續發展,對我國經濟社會的健康發展帶來不利影響。進一步加強網絡安全工作,創建一個健康、和諧的網絡環境,需要我們深入研究,落實措施。
首先,要深刻認識網絡安全工作的重要性和緊迫性。黨的十七大指出,要大力推進信息化與工業化的融合。推進信息化與工業化融合發展,對網絡安全必須有新的要求。信息化發展越深入,經濟社會對網絡的應用性越強,保證網絡安全就顯得越重要,要求也更高。因此,政府各級主管部門要從戰略高度認識網絡安全的重要性、緊迫性,始終堅持一手抓發展,一手抓管理。在加強互聯網發展,深入推動信息化進程的同時,采取有效措施做好網絡安全各項工作,著力構建一個技術先進、管理高效、安全可靠的網絡信息安全保障體系。
第二,要進一步完善網絡應急處理協調機制。網絡安全是一項跨部門、跨行業的系統工程,涉及政府部門、企業應用部門、行業組織、科研院校等方方面面,各方面要秉承共建共享的理念,建立起運轉靈活、反應快速的協調機制,形成合力有效應對各類網絡安全問題。特別是,移動互聯網安全防護體系建設包含網絡防護、重要業務系統防護、基礎設施安全防護等多個層面,包含外部威脅和內部管控、第三方管理等多個方位的安全需求,因此應全面考慮不同層面、多個方位的立體防護策略。
第三,要著力加強網絡安全隊伍建設和技術研究。要牢固樹立人才第一觀念,為加強網絡管理提供堅實的人才保障和智力支持。要發揮科研院所和高校的優勢,積極支持網絡安全學科專業和培訓機構的建設,努力培養一支管理能力強、業務水平高、技術素質過硬的復合型隊伍。不斷加強創新建設,是有效提升網絡安全水平的基礎,要加強相關技術,特別是關鍵核心技術的攻關力度,積極研究制訂和推動出臺有關扶持政策,有效應對網絡安全面臨的各種挑戰。
第四,要進一步加強網絡安全國際交流與合作。在立足我國國情,按照政府主導、多方參與、民主決策、透明高效的互聯網管理原則的基礎上,不斷增強應急協調能力,進一步加強網絡安全領域的國際交流與合作,推動形成公平合理的國際互聯網治理新格局,共同營造和維護良好的網絡環境。
第五,要加強網絡和信息安全戰略與規劃的研究,針對網絡信息安全的薄弱環節,不斷完善有關規章制度。如在當前的市場準入中,要求運營商必須承諾信息安全保障措施和信息安全責任,并監督其自覺履行相關義務。還要充分發揮行業自律及社會監督作用,利用行業自律組織完善行業規范、制定行業章程、推廣安全技術、倡導網絡文明。
關鍵詞:新型DPI;網絡安全態勢感知;網絡流量采集
經濟飛速發展的同時,科學技術也在不斷地進步,網絡已經成為當前社會生產生活中不可或缺的重要組成部分,給人們帶來了極大的便利。與此同時,網絡系統也遭受著一定的安全威脅,這給人們正常使用網絡系統帶來了不利影響。尤其是在大數據時代,無論是國家還是企業、個人,在網絡系統中均存儲著大量重要的信息,網絡系統一旦出現安全問題將會造成極大的損失。
1基本概念
1.1網絡安全態勢感知
網絡安全態勢感知是對網絡安全各要素進行綜合分析后,評估網絡安全整體情況,對其發展趨勢進行預測,最終以可視化系統展示給用戶,同時給出相應的統計報表和風險應對措施。網絡安全態勢感知包括五個方面1:(1)網絡安全要素數據采集:借助各種檢測工具,對影響網絡安全性的各類要素進行檢測,采集獲取相應數據;(2)網絡安全要素數據理解:對各種網絡安全要素數據進行分析、處理和融合,對數據進一步綜合分析,形成網絡安全整體情況報告;(3)網絡安全評估:對網絡安全整體情況報告中各項數據進行定性、定量分析,總結當前的安全概況和安全薄弱環節,針對安全薄弱環境提出相應的應對措施;(4)網絡安全態勢預測:通過對一段時間的網絡安全評估結果的分析,找出關鍵影響因素,并預測未來這些關鍵影響因素的發展趨勢,進而預測未來的安全態勢情況以及可以采取的應對措施。(5)網絡安全態勢感知報告:對網絡安全態勢以圖表統計、報表等可視化系統展示給用戶。報告要做到深度和廣度兼備,從多層次、多角度、多粒度分析系統的安全性并提供應對措施。
1.2DPI技術
DPI(DeepPacketInspection)是一種基于數據包的深度檢測技術,針對不同的網絡傳輸協議(例如HTTP、DNS等)進行解析,根據協議載荷內容,分析對應網絡行為的技術。DPI技術廣泛應用于網絡流量分析的場景,比如網絡內容分析領域等。DPI技術應用于網絡安全態勢感知領域,通過DPI技術的應用識別能力,將網絡安全關注的網絡攻擊、威脅行為對應的流量進行識別,并形成網絡安全行為日志,實現網絡安全要素數據精準采集。DPI技術發展到現在,隨著后端業務應用的多元化,對DPI系統的能力也提出了更高的要求。傳統DPI技術的實現主要是基于知名協議的端口、特征字段等作為識別依據,比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等協議特征的識別、基于源IP、目的IP、源端口和目的端口的五元組特征識別。但是隨著互聯網應用的發展,越來越多的應用采用加密手段和私有協議進行數據傳輸,網絡流量中能夠準確識別到應用層行為的占比呈現越來越低的趨勢。在當前網絡應用復雜多變的背景下,很多網絡攻擊行為具有隱蔽性,比如數據傳輸時采用知名網絡協議的端口,但是對傳輸流量內容進行定制,傳統DPI很容易根據端口特征,將流量識別為知名應用,但是實際上,網絡攻擊行為卻“瞞天過海”,繞過基于傳統DPI技術的IDS、防火墻等網絡安全屏障,在互聯網上肆意妄為。新型DPI技術在傳統DPI技術的基礎上,對流量的識別能力更強。基本實現原理是對接入的網絡流量根據網絡傳輸協議、內容、流特征等多元化特征融合分析,實現網絡流量精準識別。其目的是為了給后端的態勢感知系統提供準確的、可控的數據來源。新型DPI技術通過對流量中傳輸的不同應用的傳輸協議、應用層內容、協議特征、流特征等進行多維度的分析和打標,形成協議識別引擎。新型DPI的協議識別引擎除了支持標準、知名應用協議的識別,還可以對應用層進行深度識別。
2新型DPI技術在網絡安全態勢感知領域的應用
新型DPI技術主要應用于數據采集和數據理解環節。在網絡安全要素數據采集環節,應用新型DPI技術,可以實現網絡流量的精準采集,避免安全要素數據采集不全、漏采或者多采的現象。在網絡安全要素數據理解環節,在對數據進行分析時,需要基于新型DPI技術的特征知識庫,提供數據標準的說明,幫助態勢感知應用可以理解這些安全要素數據。新型DPI技術在進行網絡流量分析時主要有以下步驟,(1)需要對攻擊威脅的流量特征、協議特征等進行分析,將特征形成知識庫,協議識別引擎加載特征知識庫后,對實時流量進行打標,完成流量識別。這個步驟需要確保獲取的特征是有效且準確的,需要基于真實的數據進行測試統計,避免由于特征不準確誤判或者特征不全面漏判的情況出現。有了特征庫之后,(2)根據特征庫,對流量進行過濾、分發,識別流量中異常流量對應的攻擊威脅行為。這個步驟仍然要借助于協議識別特征知識庫,在協議識別知識庫中記錄了網絡異常流量和攻擊威脅行為的映射關系,使得系統可以根據異常流量對應的特征庫ID,進而得出攻擊威脅行為日志。攻擊威脅行為日志包含捕獲時間、攻擊者IP和端口、被攻擊者IP和端口、攻擊流量特征、攻擊流量的行為類型等必要的字段信息。(3)根據網絡流量進一步識別被攻擊的災損評估,同樣是基于協議識別知識庫中行為特征庫,判斷有哪些災損動作產生、災損波及的數據類型、數據范圍等。網絡安全態勢感知的分析是基于步驟2產生的攻擊威脅行為日志中記錄的流量、域名、報文和惡意代碼等多元數據入手,對來自互聯網探針、終端、云計算和大數據平臺的威脅數據進行處理,分析不同類型數據中潛藏的異常行為,對流量、域名、報文和惡意代碼等安全元素進行多層次的檢測。針對步驟1的協議識別特征庫,可以采用兩種實現技術:分別是協議識別特征庫技術和流量“白名單”技術。
2.1協議識別特征庫
在網絡流量識別時,協議識別特征庫是非常重要的,形成協議識別特征庫主要有兩種方式。一種是傳統方式,正向流量分析方法。這種方法是基于網絡攻擊者的視角分析,模擬攻擊者的攻擊行為,進而分析模擬網絡流量中的流量特征,獲取攻擊威脅的流量特征。這種方法準確度高,但是需要對逐個應用進行模擬和分析,研發成本高且效率低下,而且隨著互聯網攻擊行為的層出不窮和不斷升級,這種分析方法往往存在一定的滯后性。第二種方法是近年隨著人工智能技術的進步,逐漸應用的智能識別特征庫。這種方法可以基于威脅流量的流特征、已有網絡攻擊、威脅行為特征庫等,通過AI智能算法來進行訓練,獲取智能特征庫。這種方式采用AI智能識別算法實現,雖然在準確率方面要低于傳統方式,但是這種方法可以應對互聯網上層出不窮的新應用流量,效率更高。而且隨著特征庫的積累,算法本身具備更好的進化特性,正在逐步替代傳統方式。智能特征庫不僅僅可以識別已經出現的網絡攻擊行為,對于未來可能出現的網絡攻擊行為,也具備一定的適應性,其適應性更強。這種方式還有另一個優點,通過對新發現的網絡攻擊、威脅行為特征的不斷積累,完成樣本庫的自動化更新,基于自動化更新的樣本庫,實現自動化更新的流量智能識別特征庫,進而實現AI智能識別算法的自動升級能力。為了確保采集流量精準,新型DPI的協議識別特征庫具備更深度的協議特征識別能力,比如對于http協議能夠實現基于頭部信息特征的識別,包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等頭部信息,對于https協議,也能夠實現基于SNI的特征識別。對于目前主流應用,支持識別的應用類型包括網絡購物、新聞、即時消息、微博、網絡游戲、應用市場、網絡視頻、網絡音頻、網絡直播、DNS、遠程控制等,新型DPI的協議特征識別庫更為強大。新型DPI的協議識別特征庫在應用時還可以結合其他外部知識庫,使得分析更具目的性。比如通過結合全球IP地址庫,實現對境外流量定APP、特定URL或者特定DNS請求流量的識別,分析其中可能存在的跨境網絡攻擊、安全威脅行為等。
2.2流量“白名單”
在網絡流量識別時也同時應用“流量白名單”功能,該功能通過對網絡訪問流量規模的統計,對流量較大的、且已知無害的TOPN的應用特征進行提取,同時將這些特征標記為“流量白名單”。由于“流量白名單”中的應用往往對應較高的網絡流量規模,在網絡流量識別時,可以優先對流量進行“流量白名單”特征比對,比對成功則直接標記為“安全”。使用“流量白名單”技術,可以大大提高識別效率,將更多的分析和計算能力留給未知的、可疑的流量。流量白名單通常是域名形式,這就要求新型DPI技術能夠支持域名類型的流量識別和過濾。隨著https的廣泛應用,也有很多流量較大的白名單網站采用https作為數據傳輸協議,新型DPI技術也必須能夠支持https證書類型的流量識別和過濾。流量白名單庫和協議識別特征庫對網絡流量的處理流程參考下圖1:
3新型DPI技術中數據標準
安全態勢感知系統在發展中,從各個廠商獨立作戰,到現在可以接入不同廠商的數據,實現多源數據的融合作戰,離不開新型DPI技術中的數據標準化。為了保證各個廠商采集到的安全要素數據能夠統一接入安全態勢感知系統,各廠商通過制定行業數據標準,一方面行業內部的安全數據采集、數據理解達成一致,另一方面安全態勢感知系統在和行業外部系統進行數據共享時,也能夠提供和接入標準化的數據。新型DPI技術中的數據標準包括三個部分,第一個部分是控制指令部分,安全態勢感知系統發送控制指令,新型DPI在接收到指令后,對采集的數據范圍進行調整,實現數據采集的可視化、可定制化。同時不同的廠商基于同一套控制指令,也可以實現不同廠商設備之間指令操作的暢通無阻。第二個部分是安全要素數據部分,新型DPI在輸出安全要素數據時,基于統一的數據標準,比如HTTP類型的數據,統一輸出頭域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常見頭部和頭部關鍵內容。對于DNS類型的數據,統一輸出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通過定義數據描述文件,對輸出字段順序、字段說明進行描述。針對不同的協議數據,定義各自的數據輸出標準。數據輸出標準也可以從業務應用角度進行區分,比如針對網絡攻擊行為1定義該行為采集到安全要素數據的輸出標準。第三個部分是內容組織標準,也就是需要定義安全要素數據以什么形式記錄,如果是以文件形式記錄,標準中就需要約定文件內容組織形式、文件命名標準等,以及為了便于文件傳輸,文件的壓縮和加密標準等。安全態勢感知系統中安全要素數據標準構成參考下圖2:新型DPI技術的數據標準為安全態勢領域各類網絡攻擊、異常監測等數據融合應用提供了基礎支撐,為不同領域廠商之間數據互通互聯、不同系統之間數據共享提供便利。
4新型DPI技術面臨的挑戰
目前互聯網技術日新月異、各類網絡應用層出不窮的背景下,新型DPI技術在安全要素采集時,需要從互聯網流量中,將網絡攻擊、異常流量識別出來,這項工作難度越來越大。同時隨著5G應用越來越廣泛,萬物互聯離我們的生活越來越近,接入網絡的終端類型也多種多樣,針對不同類型終端的網絡攻擊也更為“個性化”。新型DPI技術需要從規模越來越大的互聯網流量中,將網絡安全相關的要素數據準確獲取到仍然有很長的路要走。基于新型DPI技術,完成網絡態勢感知系統中的安全要素數據采集,實現從網絡流量到數據的轉化,這只是網絡安全態勢感知的第一步。網絡安全態勢感知系統還需要基于網絡安全威脅評估實現從數據到信息、從信息到網絡安全威脅情報的完整轉化過程,對網絡異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊等多種類型的網絡安全威脅數據進行統計建模與評估,網絡安全態勢感知系統才能做到對攻擊行為、網絡系統異常等的及時發現與檢測,實現全貌還原攻擊事件、攻擊者意圖,客觀評估攻擊投入和防護效能,為威脅溯源提供必要的線索。
5結論
【關鍵詞】醫院 網絡 安全防御 攻擊預測
1 引言
互聯網技術的快速發展促進了信息化系統在醫院的應用,許多醫院引入了電子病歷系統、遠程會診系統、住院管理系統、醫學影像診斷管理系統、藥房管理系統等,提高了醫院診斷、救治等工作的信息化水平,具有重要的作用。隨著醫院網絡服務平臺接入系統的增多,由于許多系統采用的架構、開發語言不通,同時部分醫院工作人員沒有經過專業計算機操作訓練,使用系統時存在嚴重的不規范現象,去掉容易感染病毒、木馬,造成網絡系統不能夠正常運行導致系統亟需構建一個動態的、縱深的網絡安全管理系統,以提高系統安全防御能力。
2 醫院網絡安全管理現狀分析
隨著網絡技術的發展和改進,醫院網絡信息化系統防御技術有所提升,但是網絡病毒、木馬和黑客攻擊技術也大幅度改進,并且呈現出了攻擊渠道多樣化、威脅智能化、范圍廣泛化等特點。
2.1 供給渠道多樣化
醫院網絡系統接入渠道較多,按照內外網劃分為內網接入、外網接入;按照有線、無線可以劃分為有線接入、無線接入;按照接入設備可以劃分為PC接入、移動智能終端接入等多種類別。接入渠道較多,也給攻擊威脅提供了較多的入侵渠道。
2.2 威脅智能化
醫院網絡攻擊威脅程序設計技術的提升,使得病毒、木馬隱藏的周期更長,行為更加隱蔽,傳統的網絡木馬、病毒防御工具無法查殺。
2.3 破壞范圍更廣
隨著醫院網絡信息系統的集成化增強,不同類型的系統管理平臺都通過JSP技術、ASP .NET技術、SQLServer數據庫、Oracle數據庫接入到醫院門戶網集群平臺上,一旦某個應用軟件系統受到攻擊,病毒可以在很短的時間內傳播到其他子系統,破壞范圍更廣。
3 醫院網絡安全系統功能設計
本文通過對醫院網絡安全管理人員進行調研和分析,導出了網絡安全管理的關鍵功能,分別是網絡安全監控管理、網絡安全策略管理、網絡安全日志管理、網絡安全預測管理、網絡安全防御管理和基本信息管理。如圖1所示。
醫院網絡安全管理系統設計過程中,采用了主動式、層次化的安全防御原則和技術,并且引入了網絡安全預警、安全監測和安全保護等多種主動式防御技術。
3.1 安全預警
醫院網絡安全預警技術主要包括漏洞預警、行為預警和攻擊趨勢預警功能。醫院網絡集成了多種異構應用軟件,這些軟件采用不同的架構、開發語言和環境實現,集成過程中使用接口進行通信,容易產生各類型漏洞,給安全攻擊提供渠道。漏洞預警可以及時地為用戶提供打補丁的機會,抵御外來威脅;行為預警或攻擊趨勢預測可以通過觀察網絡不正常流量,使用支持向量機、遺傳算法、K均值、關聯規則等算法來預測網絡中存在的攻擊行為,進一步提高預警能力,保證系統具備初步的安全性。
3.2 安全監測
醫院網絡實施安全監測是非常必要的,其可以采用網絡流量抓包技術、網絡深度包過濾技術、入侵檢測技術等實時獲取網絡流量,利用軟件或硬件關聯規則分析技術進行挖掘,將挖掘的結果報告給下一層,由安全保護功能負責清除威脅。目前,醫院網絡已經引入了漏洞掃描技術,能夠實時掃描系統中存在的漏洞,及時進行補丁,防止系統遭受非法入侵。
3.3 安全保護
醫院網絡采用的安全措施較多,這些安全防御措施包括殺毒工具、防火墻防御系統、系統安全訪問控制列表、虛擬專用網絡等多個內容。這些防御工具或軟件采用單一部署、集成部署等模式,可以有效地保證醫院網絡數據的完整性。目前,隨著醫院網絡的普及和推廣,安全防御措施又引入了先進的數字簽名等防御技術,以防止數據通信過程中存在的抵賴行為。安全防御系統將多種網絡安全防御技術整合在一起,實現網絡病毒、木馬查殺,避免網絡木馬和病毒蔓延,防止醫院網絡被攻擊和感染,擾亂醫院網絡正常使用。
4 結束語
醫院網絡安全管理是一個動態的、系統的過程,其可以根據網絡安全面臨的現狀設計安全策略,提高醫院信息化系統防御能力,保障醫院工作的正常開展。
參考文獻
[1]唐尹.醫院計算機網絡安全管理工作的維護策略探析[J].電子技術與軟件工程,2015,24(9):230-230.
[2]葛晏君.醫院計算機網絡安全隱患的來源與檢測防御措施[J].電子測試,2014,18(4):74-76.
[3]彭兆強.淺談醫院信息網絡安全面臨的問題及防范措施[J].電子技術與軟件工程,2014,16(2):247-247.
【關鍵詞】 石油企業 網絡安全 防范體系
隨著信息技術的飛速發展,石油公司開始廣泛應用計算機網絡進行往來的貿易和辦公,這就給網絡安全帶來了嚴峻的挑戰。建立和完善規范的石油企業網絡安全體系已成為當務之急。所以我們首先需要分析石油企業網絡安全的影響因素。
一、石油企業網絡安全的影響因素
1.1 主觀因素方面
首先,從網民的角度看,網民的安全意識和水平參差不齊,大多數人都知道網絡安全知識,對于安全的意識淡薄。其次,從黑客攻擊的角度來看,它是計算機網絡安全所面臨的敵人。如果你不小心打開或下載了這些資源,那么你的網絡連接用戶名、密碼等賬戶信息和個人機密信息都有可能因為它而被泄露,或系統資源占用。
1.2 客觀因素
系統安全漏洞和缺陷是不可避免的,這就給黑客提供了一個著陸點。黑客取得某一網站的信息機密事件時常發生,原因就是網絡操作系統和應用軟件出現漏洞,導致因安全措施不足而造成的。此外,在操作系統和應用軟件的“漏洞”和“后門”上都是由公司內部的程序員為了方便自己而設置的,在正常情況下,不被外人所知,但一旦打開,其后果可能是災難性的。
二、石油企業網絡的安全防范措施
2.1 健立健全企業規章制度
要確保網絡是否是相對安全的,就必須制定詳細的安全系統,了解并認識到網絡安全的重要性,在網絡安全事故的發生中,應該進行相應的處罰,必須嚴格遵照執行的地方,絕不能姑息憐憫。對于記錄中出現不遵守情況的人員,要給予相應的處罰,并編寫檢查結果的報告,可以為以后出現類似的情況,做到有證據可依的地步。
2.2 樹立員工網絡安全意識
為了在工作中樹立企業員工的網絡信息安全意識,并且讓員工認識到網絡安全是一個首要任務,只有員工對企業信息安全的發展與進步有了足夠的重視,才能有效地防范日后工作的網絡安全問題。企業應實施適當的網絡安全信息培訓,從而提高工作人員的網絡安全知識,利用各種形式,增強員工的網絡安全意識,激勵員工養成健康使用計算機的習慣。
2.3 防火墻技術
防火墻技術是現階段許多石油企業廣泛應用的最流行的網絡安全技術,在不安全的外部網絡環境的前提下,創造一個相對安全的企業內部網絡環境。石油公司的內部網站應該禁止公司中一般員工或無關人員的訪問,在最大程度上防止了外部社會網絡環境中的黑客訪問到企業內部網站進行鏈接的復制、篡改,或破壞重要機密信息。因此,防火墻是一種屏障技術,是隔斷內部網絡和外部社會網絡環境之間的有效屏障。
2.4 數據加密技術
企業內部一些重要的機密文件需要通過使用數據加密技術進行加密發送到外部網絡之中,這需要防火墻技術和數據加密技術結合使用,才能夠提高石油企業網絡信息系統和內部數據的保密性和安全性,防范外部人員惡意損傷企業的重要機密數據。
2.5 系統平臺與漏洞的處理
網絡安全管理員可以使用系統漏洞的掃描技術來提前獲取網絡應用進程中的漏洞,通過漏洞處理技術可以盡快修復網絡安全存在漏洞,而且,還應該盡快的修正網絡安全設備和持續應用過程中的一些錯誤配置,在黑客攻擊之前進行預防措施。
三、加強石油企業網絡安全的建議
面對如今種種的網絡安全問題和現象,我們應該加強企業網絡安全。首先,對于公司內部的網絡系統問題,應該統一公司內部人員對于電腦網絡的操作,對于操作過的電腦要進行及時的定期掃描和修補安全漏洞;其次,對于公司內部的網絡操作系統應該加入應該具有的防火墻功能,阻擋一切其他惡意的攻擊;第三,對于企業的網絡安全而言,還應該加強應有的殺毒軟件,并且及時更新病毒種類,要堅持每天定期進行病毒的掃描工作,這樣可以幫助企業實現網絡安全。
參 考 文 獻
[1] 邵琳,劉源. 淺談企業網絡安全問題及其對策[J]. 科技傳播,2010,(10):186
關鍵詞:網絡安全;網絡設計原則
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)18-4332-02
隨著信息技術的快速發展、現代網絡的普及、企業網絡化運作,企業門戶網站、企業電子商務等在企業經營運作過程中扮演著重要的角色,許多有遠見的企業都認識到依托先進的信息技術構建企業自身業務和運營平臺將極大地提升企業的競爭力,使企業在殘酷的競爭中脫穎而出。然而,企業在具有信息優勢的同時,也對企業的網絡安全提出了嚴峻的考驗。據報道,現在全世界平均每20秒就會發生一次計算機網絡入侵事件。據智能網絡安全和數據保護解決方案的領先供應商SonicWALL公司日前了其2011年年中網絡威脅情報報告:“報告顯示,企業正面臨越來越多網絡犯罪分子的攻擊,這些人企圖攻擊的主要對象是那些通過移動設備連接訪問企業網絡以及越來越頻繁使用社交媒體的企業員工。基于惡意軟件以及社交媒體詐騙的增多,正引發新的以及更嚴重的來自數據入侵、盜竊和丟失等方面造成的企業業務漏洞。”可見,企業網絡安全面臨的壓力越來越大,認清企業網絡安全面臨的主要威脅、設計實施合適的網絡安全策略,已成為擺在企業面前迫在眉睫的問題。
1企業網絡安全面臨的主要威脅
由于企業網絡由內部網絡、外部網絡和企業廣域網所組成,網絡結構復雜,面臨的主要威脅有以下幾個方面:
1.1網絡缺陷
Internet由于它的開放性迅速在全球范圍內普及,但也正是因為開放性使其保護信息安全存在先天不足。Internet最初的設計考慮主要的是考慮資源共享基本沒有考慮安全問題,缺乏相應的安全監督機制。
1.2病毒侵襲
計算機病毒通常隱藏在文件或程序代碼內,伺機進行自我復制,并能夠通過網絡、磁盤等諸多手段進行傳播,通過網絡傳播計算機病毒,其傳播速度相當快、影響面大,破壞性大大高于單機系統,用戶也很難防范,因此它的危害最能引起人們的關注,病毒時時刻刻威脅著整個互聯網。
1.3黑客入侵
黑客入侵是指黑客利用企業網絡的安全漏洞、木馬等,不經允許非法訪問企業內部網絡或數據資源,從事刪除、復制甚至破壞數據的活動。由于缺乏針對網絡犯罪卓有成效的反擊和跟蹤手段,使得黑客攻擊的隱蔽性好,“殺傷力”強,這是網絡安全的主要威脅之一。
1.4數據竊聽與攔截
這種方式是直接或間接截取網絡上的特定數據包并進行分析來獲取所需信息。這使得企業在與第三方網絡進行傳輸時,需要采取有效的措施來防止重要數據被中途截獲、竊聽。
1.5拒絕服務攻擊
拒絕服務攻擊即攻擊者不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統相應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務,是黑客常用的攻擊手段之,其目的是阻礙合法網絡用戶使用該服務或破壞正常的商務活動。
1.6內部網絡威脅
據網絡安全界統計數據顯示,近80%的網絡安全事件是來自企業內部。這樣的安全犯罪通常目的比較明確,如對企業機密信息的竊取、數據更改、財務欺騙等,因此內部網絡威脅對企業的威脅更為嚴重。
2企業網絡安全設計的主要原則
針對企業網絡安全中主要面臨的威脅,考慮信息安全的機密性、完整性、可用性、可控性、可審查性等要素,建議在設計企業網絡時應遵循以下幾個原則:
2.1整體性原則
在設計網絡時,要分析網絡中的安全隱患并制定整體網絡的安全策略,然后根據制定的安全策略設計出合理的網絡安全體系結構。要清楚計算機網絡中的設備、數據等在整個網絡中的作用及其訪問使用權限,從系統整體的角度去分析,制定有效可行的方案。網絡的整體安全是由安全操作系統、應用系統、防火墻、網絡監控、安全掃描、通信加密、災難恢復等多個安全組件共同組成的,每一個單獨的組件只能完成其中部分功能,而不能完成全部功能。
2.2平衡性原則
任何一個網絡,不可能達到絕對的安全。這就要求我們對企業的網絡需求(包括網絡的作用、性能、結構、可靠性、可維護性等)進行分析研究,制定出符合需求、風險、代價相平衡的網絡安全體系結構。
2.3擴展性原則
隨著信息技術的發展、網絡規模的擴大及應用的增加,面臨的網絡威脅的也會隨之增多,網絡的脆弱性也會增多,一勞永逸地解決網絡中的安全問題也是不可能的,這就要求我們在做網絡安全設計時要考慮到系統的可擴展性,包括接入能力的擴展、帶寬的擴展、處理能力的擴展等。
2.4多層保護原則
任何的網絡安全措施都不會是絕對的安全,都有可能被攻擊被破壞。這就要求我們要建立一個多層保護系統,各層保護相互補充、相互協調,組成一個統一的安全防護整體,當一層保護被攻擊時,其它層保護仍可保護信息的安全。
圖1基于網絡安全設計原則的拓撲示意圖
防火墻:網絡安全的大門,用來鑒別什么樣的數據包可以進出企業內部網絡,阻斷來自外部的威脅,防火墻是不同網絡或網絡安全域之間信息的唯一出入口,防止外部的非法入侵,能根據網絡的安全策略控制訪問資源。
VPN:是Internet公共網絡在局域網絡之間或單點之間安全傳遞數據的技術,是進行加密的最好辦法。一條VPN鏈路是一條采用加密隧道構成的遠程安全鏈路,遠程用戶可以通過VNP鏈路來訪問企業內部數據,提高了系統安全性。
訪問控制:為不同的用戶設置不同的訪問權限,為特定的文件或應用設定密碼保護,將訪問限制在授權用戶的范圍內,提高數據訪問的安全性。
數據備份:是為確保企業數據在發生故障或災難性事件的情況下不丟失,可以將數據恢復到發生故障、災難數據備份的那個狀態,盡可能的減少損失。
3小結
通過分析企業網絡安全面臨的主要威脅及主要設計原則,提出了一個簡單的企業網絡安全設計拓撲示意圖,該圖從技術手段、可操作性上都易于實現,易于部署,為企業提供了一個解決網絡安全問題的方案。
參考文獻: