前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全态势感知主题范文,仅供参考,欢迎阅读并收藏。
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)05-0064-02
随着计算机及网络技术的普及,网络安全问题越来越突出,尤其网络攻击行为往往给企业的正常运作带来严重影响,甚至影响社会的稳定。为此,加强网络安全态势研究,采取针对性措施不断提高网络安全水平具有重要的现实意义。鉴于此,国内众多专家对网络安全态势感知系统进行研究,并取得丰硕成果,为我国网络运行营造了良好的外部环境。
1 网络安全态势感知系统结构
1.1 系统框架介绍
网络安全态势感知系统以通信系统思想为基础,依据数据处理流程可分为采集、融合、分析、预测、展示共五个环节,可实现收集、预处理、分析、评估、预测等功能。这五个环节相互独立并对应网络安全感知系统相关流程。系统框架如图1所示。
图1 网络安全态势感知系统框架
其中采集环节的主要任务为采集、传输以及存储适时数据和传输网络安全状况信息等,包括漏洞信息、拓扑信息以及IT资产信息等;融合环节的功能在于将收集、存储的数据进行解析,将一些冗余信息除去,并融合多源数据。该环节包括数据归一化和事件预处理两项内容。所谓数据归一化指将采集的数据信息进行归一、标准化,同时扩展事件相关属性。而事件预处理指对采集来的重要数据进行归一化和标准化处理。分析则指借助专家系统与相关知识库,结合存储在服务器的事件与安全数据,对网络安全态势进行分析。预测指通过分析各种信息要素,借助相关理论方法归纳与判断网络未来安全形势。展示指将业务与态势评估结果输入到响应和预警模块,不但对接预警系统,而且以人工判读为基础介入到态势的响应操作。
1.2 态势评估流程
对网络安全态势进行评估一般按照下列流程进行:首先,从监测网络数据感知元件中获得网络数据信息,进行去噪处理后进行分析。并充分结合趋势知识库以及数据挖掘成果,评估网络安全具体趋势;其次,充分掌握不同环节情况,对网络安全态势分配特定的值,并利用贝叶斯网络技术对备选态势的可信度进行评价,得出最终结果。
从网络安全形势角度出发网络安全态势的评估主要由以下步骤组成。监测:通过监测数据感知组件对监测数据进行收集、整理以保证感知安全事件工作的顺利进行。觉察:以采集到的当前网络安全态势数据为基础,评估网络安全态势情况,以判定是否有安全事件发生,一旦发现异常,就报告安全事件情况;传播:依据获得的数据安全事件情况,对不同部分的趋势进行评估;理解:依据获得的安全形势,对态势数据进行更新,构建评估局势新的演化模型;反馈:收集数据感知组件的领先在线目的地,并对网络安全态势数据情况的更新值进行评估;分析:结合确定的网络安全态势类型判断更新的确认值是否对其进行支持。如支持确定网络安全态势类型,反之,使网络数据感知元件继续对网络安全态势数据进行监测;决策:对网络安全形势的数据模型和具体特点进行评估,并对演变趋势进行预测,从而寻找积极的措施,对管理员的决策进行正确引导。
1.3 数据决策方法
目前自适应数据决策算法有很多包括:子带滤波、最小均方差算法、递推最小二乘算法等,其中后两种方法比较典型,下面对其进行介绍。
1)最小均方误差算法。该方法运用瞬时值对梯度矢量进行估计,计算依据的公式为:
结合梯度矢量估计以及自适应滤波器滤波系数矢量变化等相关知识,可推算出递归最小二乘法算法调整滤波器系数公式:
公式中μ表示步长因子,其值越大算法的收敛速度越快,稳态误差就越大,反之,算法收敛就越慢,稳态误差就越小。为确保算法稳态收敛,一般μ的取值应落在以下范围内:
2)递归最小二乘法。递归最小二乘法依据的计算公式为:
公式中K(n)表示Kalman增益向量,λ∈(0,1)为加权因子。对该算法进行初始化时通常使P(-1)=1/δ1,H(-1)=0,其中δ为最小正整数。
对比两者的收敛速度可知,算法(1)优于算法(2),不过算法(1)实际操作比算法(2)复杂。为降低该方法计算复杂度且并使算法(1)的收敛性能得到保持,部分专家优化了算法(1)延伸出了快速横向滤波器算法、渐变格子算法等。算法(2)较为突出的优点为操作简单,不过其包括的可调参数只有一个。
2 网络安全态势感知系统关键技术
互联网节点数量庞大网络结构复杂,网络攻击行为也呈现复杂化、规模化以及分布化态势。根据采集的感知数据信息,对网络安全态势进行准确的评估,及时检测潜在的漏洞及可能发生的安全事件,并对整个网络状态的变化情况进行预测,是网络安全态势感知系统的重要工作。为实现上述目标需要一定的技术支撑。目前网络安全态势感知系统中应用的关键技术包括网络安全态势数据融合、网络安全态势计算以及网络安全态势预测技术。下面逐一对其进行详细的介绍。
1)网络安全态势数据融合技术。互联网中不同安全系统和设备具备的功能有所差异,对网络安全事件描述的数据格式也有所不同。这些安全系统和设备共同构建了一个多传感器环境,在该环境中系统与设备之间需要进行互联,因此必须要多传感器数据融合技术做支撑,为监控网络安全态势提供更多跟多有效的数据。当前,数据融合技术应用较为广泛,例如用于估计威胁、追踪和识别目标以及感知网络安全态势等。利用该技术进行基础数据的融合、压缩以及提炼等,为评估和预警网络安全态势提供重要参考依据。
数据融合包括数据级、功能级以及决策级三个级别间的融合。其中数据级融合可使细节数据精度进一步提高,不过需要处理大量数据,受计算机内存容量、处理速度等因素限制,需进行较高层次的融合。决策级融合需要处理的数据量较小,不过较为模糊和抽象,准确度较低。功能级融合则处于数据级和决策级融合之间。
2)网络安全态势计算技术。该技术指利用相关数学方法,将大量网络安全态势信息进行处理,最终整合至处于某范围内的数值。该数值会随网络资产价值改变、网络安全事件频率、网络性能等情况改变而变动。
利用网络安全态势计算技术得出的数值,可帮助管理对网络系统的安全状况进行评估,如该数据在允许的范围之内则表示网络安全态势是相对安全的,反之则不安全。该数值大小客观的反映出网络损毁和网络威胁程度,并能实时、快速和直观的显示网络系统安全状态。系统管理员采用图表显示或回顾历史数据便能对某时间段的网络安全情况进行监视和掌握。
3)网络安全态势预测技术。网络安全态势预测技术指通过分析历史资料以及网络安全态势数据,凭借之前实践经验以及理论内容整理、归纳和判断网络未来安全形势。众所周知,网络安全态势发展具有较大不确定性,而且预测性质、范围、时间以及对象不同应用的预测方法也不同。根据属性可将网络安全态势预测方法分为定性预测方法、时间序列分析法以及因果预测方法。其中网络安全态势定性预测方法指结合网络系统之前与当前安全态势数据情况,以直觉逻辑基础人为的对网络安全态势进行预测。时间序列分析方法指依据历史数据与时间的关系,对下一次的系统变量进行预测。由于该方法仅考虑时间变化的系统性能定量,因此,比较适合应用在依据简单统计数据随时间变化的对象上。因果预测方法指依据系统变量之间存在的因果关系,确定某些因素影响造成的结果,建立其与数学模型间的关系,根据可变因素的变化情况,对结果变量的趋势和方向进行预测。
3 总结
网络安全事件时有发生,往往给社会造成较大损失。因此,对网络安全态势进行准确的评估、感知具有重要意义。为此要求网络安全相关部门,认真研究网络安全态势感知系统结构,进而采用先进的技术手段不断优化。同时加强网络安全态势感知系统关键技术研究,以提高网络安全态势感知系统的准确性、稳定性,并根据网络运行情况在合适位置部署中心检测设备、防火墙等,及时发现并定位威胁网络安全行为,从而采取针对性措施防止攻击行为的进一步发展,为网络安全的可靠运行创造良好的外部环境。
参考文献
[1]单宇锋.网络安全态势感知系统的关键技术研究与实现[D].北京邮电大学,2012.
[2]孟锦.网络安全态势评估与预测关键技术研究[D].南京理工大学,2012.
[3]潘峰,孙鹏,张电.网络安全态势感知系统关键技术研究与实现[J].保密科学技术,2012(11):52-56.
[4]冯川.网络安全态势感知系统关键技术分析[J].网络安全技术与应用,2013(09):119-120.
[5]马东君.网络安全态势感知技术与系统[J].网络安全技术与应用,2013(11):69,68.
关键词 大数据 网络安全 态势感知
中图分类号:TP393.08 文献标识码:A
0 引言
对于一个大型网络,在网络安全层面,除了访问控制、入侵检测、身份识别等基础技术手段,需要安全运维和管理人员能够及时感知网络中的异常事件与整体安全态势。对于安全运维人员来说,如何从成千上万的安全事件和日志中找到最有价值、最需要处理和解决的安全问题,从而保障网络的安全状态,是他们最关心也是最需要解决的问题。与此同时,对于安全管理者和高层管理者而言,如何描述当前网络安全的整体状况,如何预测和判断风险发展的趋势,如何指导下一步安全建设与规划,则是一道持久的难题。
随着大数据技术的成熟、应用与推广,网络安全态势感知技术有了新的发展方向,大数据技 术特有的海量存储、并行计算、高效查询等特点,为大规模网络安全态势感知的关键技术创造了突破的机遇。本文将对大规模网络环境下的安全态势感知、大数据技术在安全感知方面的促进做一些探讨。
1 基于大数据的网络安全态势感知
随着网络的发展,大规模网络所引发的安全保障的复杂度激增,主要面临的问题包括:安全数据量巨大;安全事件被割裂,从而难以感知;安全的整体状况无法描述。
网络安全感知能力具体可分为资产感知、脆弱性感知、安全事件感知和异常行为感知4个方面。资产感知是指自动化快速发现和收集大规模网络资产的分布情况、更新情况、属性等信息;脆弱性感知则包括3个层面的脆弱性感知能力:不可见、可见、可利用;安全事件感知是指能够确定安全事件发生的时间、地点、人物、起因、经过和结果;异常行为感知是指通过异常行为判定风险,以弥补对不可见脆弱性、未知安全事件发现的不足,主要面向的是感知未知的攻击。
随着Hadoop、NoSQL等技术的兴起,BigData大数据的应用逐渐增多和成熟,而大数据自身拥有Velocity快速处理、Volume大数据量存储、Variety支持多类数据格式三大特性。大数据的这些天生特性,恰巧可以用于大规模网络的安全感知。首先,多类数据格式可以使网络安全感知获取更多类型的日志数据,包括网络与安全设备的日志、网络运行情况信息、业务与应用的日志记录等;其次,大数据量存储与快速处理为高速网络流量的深度安全分析提供了技术支持,可以为高智能模型算法提供计算资源;最后,在异常行为的识别过程中,核心是对正常业务行为与异常攻击行为之间的未识别行为进行离群度分析,大数据使得在分析过程中采用更小的匹配颗粒与更长的匹配时间成为可能。
2目前研究成果
中国移动自2010年起在云计算和大数据方面就开始了积极探索。中国移动的“大云”系统目前已实现了分布式海量数据仓库、分布式计算框架、云存储系统、弹性计算系统、并行数据挖掘工具等关键功能。在“大云”系统的基础上,中国移动的网络安全感知也具备了一定的技术积累,进行了大规模网络安全感知和防御体系的技术研究,在利用云平台进行脆弱性发现方面的智能型任务调度算法、主机和网络异常行为发现模式等关键技术上均有突破,在安全运维中取得了一些显著的效果。
3总结
大数据的出现,扩展了计算和存储资源,提供了基础平台和大数据量处理的技术支撑,为安全态势的分析、预测创造了无限可能。
参考文献
[1] 龚正虎,卓莹.网络态势感知研究[J].软件学报,2010,21(7):1605-1619.
[2] 韦勇,连一峰,冯登国.基于信息融合的网络安全态势评估模型[J].计算机研究与发展,2009,46(3):353-362.
关键词:网络安全;评价系统;设计;实现
一、网络安全态势感知
态势感知(Situation Awareness)这一概念源于航天飞行的人因(Human Factors)研究,此后在军事战场、核反应控制、空中交通监管(Air Traffic Control,ATC)以及医疗应急调度等领域被广泛地研究。Endsley在1995年把态势感知(Situation Awareness)定义为感知在一定的时间和空间环境中的元素,包括它们现在的状况和它们未来的发展趋势。Endsleys把态势感知分成3个层次(如图1所示)的信息处理:(1)要素获取:感知和获取环境中的重要线索或元素,这是态势感知最基础的一步;(2)理解:整合感知到的数据和信息,分析其相关性;(3)预测:基于对环境信息的感知和理解,预测未来的发展趋势,这是态势感知中最高层次的要求。
图1态势感知的三级模型
而网络态势感知则源于空中交通监管(Air Traffic Control,ATC)态势感知(Mogford R H,1997),是一个比较新的概念,并且在这方面开展研究的个人和机构也相对较少。1999年,Tim Bass首次提出了网络态势感知(Cyberspace Situation Awareness)这个概念(Bass T, 2000),并对网络态势感知与ATC态势感知进行了类比,旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去。目前,对网络态势感知还未能给出统一的、全面的定义。IATF网站中提出,所谓的网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。值得注意的是,态势是一种状态,一种趋势,是一个整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此,网络态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。
图2网络安全态势感知系统框架
基于态势感知的三级模型,谭小彬等(2008)提出了一种网络安全态势感知系统的设计框架,如图2所示。该系统首先通过多传感器采集网络系统的各种信息,然后通过精确的数学模型刻画网络系统的当前的安全态势值及其变化趋势。此外,该系统还给出针对当前状态的网络系统的安全加方案,加固方案指导用户减少威胁和修复脆弱性,从而提高系统的安全态势。此外该系统还给出针对当前状态的网络系统的安全加固方案,加固方案指导用户减少威胁和修复脆弱性,从而提高网络系统的安全态势。
二、网络信息系统安全测试评估支撑平台
网络信息系统安全测试评估支撑平台由管理控制、资产识别、在线测试、安全事件验证、渗透测试、恶意代码检测、脆弱性检测和安全态势评估与预测等八个子系统组成,如图3所示。各子系统采用松耦合结构,以数据交互作为联系方式,能够独立进行测试或评估。
图3支撑平台的组成
三、网络安全评估系统的实现
网络安全评估系统由六个子系统组成,其中一个管理控制子系统,一个态势评估与预测子系统,其他都是各种测试子系统。由于网络安全评估是本文的重点,所以本章主要介绍态势评估与预测子系统的实现,其他子系统的实现在本文不作介绍。
3.1风险评估中的关键技术
在风险评估模块中,风险值将采用两种模型计算,分别是矩阵模型和加权模型:
(1)矩阵模型。
该模型是GB/T 20984《信息安全风险评估规范》中提出的一种模型,采用该模型主要是为了方便以往使用其它风险评估系统的用户,使他们能够很快地习惯本评估系统。矩阵模型主要由三步组成,首先通过安全事件可能性矩阵计算安全事件的可能性,该步以威胁发生的可能性和脆弱性严重程度作为输入,在安全事件可能性矩阵直接查找对应的安全事件的可能性,然后将结果映射到5个等级。
(2)加权模型。
基于加权的风险评估模型在总体框架和基本思路上,与GB/T20984所提出的典型风险评估模型一致,不同之处主要在于对安全事件作用在风险评估中的处理,通过引入加权,进而明确渗透测试和安全事件验证在风险评估中的定性和定量分析作用。该模型认为,已发生的安全事件和证明能够发生的安全事件,在风险评估中的作用应该得到加强。其原理如图4所示。
图4加权模型
3.2态势评估中的关键技术
态势评估中采用多层次多角度的网络安全风险评估方法作为设计理念,向用户展现了多个层次、多个角度的态势评估。在角度上体现为专题角度、要素角度和综合角度,通过专题角度,用户可以深入了解威胁、脆弱性和资产的所有信息;通过要素角度,用户可以了解保密性、完整性和可用性这三个安全要素方面的态势情况;通过综合角度用户可以了解系统的综合态势情况。在层次上体现为对威胁、脆弱性和资产的不同层次的划分,通过总体层次,用户可以了解所有威胁、脆弱性和资产的态势情况;通过类型层次,用户可以了解不同威胁类型、脆弱性类型和资产类型的态势情况;通过细微层次,用户可以了解每一个威胁、脆弱性和资产的态势情况。
对于态势值的计算,参考了风险值计算的原理,并在此基础上加入了Markov博弈分析,使得态势值的计算更加入微,有关Markov博弈分析的理论在第3章中作了详细介绍。通过Markov博弈分析的理论,可以计算出每一个威胁给系统态势带来的影响,但系统中往往有许多的威胁,所有我们需要对所有的威胁带来的影响做出处理,而不能将他们带来的影响简单地相加,否则2个中等级的威胁对态势的影响将大于一个高等级的威胁对态势的影响,这是不合理的。在本系统中,我们采用了如下公式来对它们进行处理。
其中S为系统的总体态势值,为第个威胁造成的态势值,为系统中所有的威胁集合。
结语
网络系统安全评估是一个年轻的研究课题,特别是其中的网络态势评估,现在才刚刚起步,本文对风险评估和态势评估中的关键技术进行了研究,取得了一定的研究成果,但仍存在一些待完善的工作。网络安全态势评估中,对与安全态势值没有一个统一的标准,普通用户将很难对安全态势值 有一个直观的认识,只能通过多次态势评估的结果比较,了解网络安全态势的走向。在本系统的态势评估中仅对安全态势值作了一个简单的等级映射,该部分还需要进一步完善。
关键词 链路性能分析 网络安全
中图分类号:TP393.08 文献标识码:A
本文将层次结构与权重分析相结合的方法运用于面向服务的网络安全态势评估方法的研究中,提出了基于链路性能分析的网络安全态势评估方法,该方法以网络链路为可测对象的最小元素来建立层次结构的网络安全态势量化评估模型,通过测量分析链路上的客观性能信息来评估网络的安全状况,对未知攻击具有良好的感知能力。
1攻击分类
根据攻击目的的不同和人们对攻击熟知程度的不同可以将攻击进行分类,见表1。已知攻击和未知攻击的攻击目的都是破坏网络信息的安全特性,网络信息的安全特性主要包括完整性、保密性、可靠性和可用性等四个方面,当它们遭受破坏后,网络系统中都会有相应的性能指标发生变化从而对攻击进行反映。因此,虽然未知攻击不能像已知攻击那样可以用网络安全检测设备来察觉发现,但是它可以通过相应性能指标出现的变化来感知发现。在网络安全态势评估研究中,针对不同的攻击和网络环境应该选择不同的网络性能指标。
2网络性能指标的处理
可测对象的性能信息是本文网络安全态势评估方法的数据源,因此对其进行的处理尤为重要。为了更好地说明网络性能指标的处理方法,先介绍以下概念:
(1)positive指标:表示该指标的值与网络性能成正相关,即该指标的值越大代表网络性能越好;反之,该指标的值越小,网络性能越差。
(2)negative指标:表示该指标的值与网络性能成反相关,即该指标的值越大代表网络性能越差;反之,该指标的值越小,网络性能越好。
在网络安全态势评估的研究中,可测对象的性能指标很有可能同时出现positive指标和negative指标,这时为了统一,需要计算出指标的无量纲的相对数,其计算公式如下:
其中,和分别为第j个可测对象的第项positive指标和negative指标的无量纲的相对数,为第个可测对象的第i项测量指标值,为第i项测量指标可能出现的最不理想的取值,为第i项指标可能出现的最理想的取值。为参加评价的可测对象的个数。通过以上处理,最终得到的无量纲的相对数保持了与人们正常思维的一致性,即其值越大,网络性能越好。
3评估模型
文献[2][3]指出通过测量网络中所有相关链路而获取的性能指标可以反映网络整体状况。因此本章网络安全态势评估模型中可测对象的最小元素是网络链路,将网络链路上的流量作为数据源,通过统计分析得到网络性能指标,将往返延迟、丢包率和可利用带宽作为反映网络可用性状态的性能指标,提出的评估框架如图1所示:
第一步,根据不同时刻各链路的往返延迟、丢包率和可利用带宽计算获取不同时段的各链路性能差熵。然后,根据各链路性能差熵计算各链路的安全态势值,以矩阵表示。
第二步,通过服务权重计算主机权重,通过主机权重计算链路权重,然后将链路安全态势值与链路权重进行加权求和得到网络不同时段的安全态势,以向量表示。
参考文献
[1] 黄正兴,苏D.基于链路性能分析的网络安全态势评估研究[J].计算机应用, 2013,33(11):3224-3227.
在我国计算机技术不断发展的现阶段,信息时代的到来使得人们的日常生活与生产活动发生了天翻地覆的变化,对于社会的方方面面都产生了较大的影响,在信息技术的支撑之下,人们的生活变得更加便捷,社会生产变得更为高效,因此,各个行业领域都已经将信息化和智能化作为自身发展的主流方向。计算机网络的自身具有开放性的特点,人们能够实现信息的共享,但也是由于这种开放性的特点,使得信息的获取并没有具体的限制,一些不法分子会通过网络技术来非法窃取相关的个人或企业或国家的信息,给社会的发展带来了不可预估的损失。而且,由于网络黑客和木马病毒的增多,再加之人们自身的安全防范意识不高,使得计算机网络中存在着很多风险因素,对于人们的生活和社会生产带来了十分不利的影响。因此,对网络安全态势进行评估具有十分重要的现实意义。
2网络安全态势评估流程
网络安全态势评估实际上就是对计算机网络中存在的潜在安全风险因素进行科学、合理、有效的判断,主要包括网络信息的价值、系统运行的内在安全隐患、网络系统的脆弱性以及对安全防范措施的测试等,以实现对网络安全态势的评定。网络安全态势评估的流程主要包括监测、觉察、传播、理解、反馈、分析与决策。监测就是利用系统中相关的数据感知组件来实现对所监测的数据的采集和整理。察觉就是将所采集到的数据作为态势评估的依据,一旦发现有异常的情况,就实现安全事件的报告。传播实际上是一个分类评估的过程,即对异常事件的不同部分进行分析。理解的过程实际上就是一个对安全态势进行模拟建模的过程。反馈就是利用网络技术中的实时性特点,对数据的最新情况进行评估。分析的过程是在确定网络安全态势数据最新情况的前提下,来判断对其是否支持;如果支持,则能够确定网络安全态势的类型;如果不支持,数据感知元件就会继续进行监测。决策就是根据确定的网络安全态势类型和数据模型的具体特点,来对其态势演变的方向进行预测,并选择有效的解决措施。
3网络安全态势评估的关键技术
网络攻击行为逐渐呈现出广泛化、复杂化和规模化的特点,给网络安全态势的评估工作提出了越来越高的要求。计算机网络安全态势评估系统的正常运行是以信息技术为依托才得以实现的,因此,现就其中的若干关键技术进行详细的研究。
3.1数据融合技术
数据融合技术是网络安全态势评估系统中重要的技术支撑。数据融合技术主要是由数据级、功能级和决策级三个级别之间的数据融合所构成。其中,数据级的融合能够进一步的提高细节数据的精准度,但是由于受到计算机处理速度和内存大小等因素的影响,通常需要对大量的数据进行处理;功能级的融合处于数据级和决策级之间;而决策级的数据融合,由于数据具有抽象和模糊的特点,导致其需要处理的数据较少,且精准度较低。在计算机网络中,由于不同的设备功能和安全系统之间存在较大的差异,对于描述网络安全事件的数据格式也是不同的,要想实现不同设备、系统之间的相互关联,就必须建立一个多传感器的环境,而数据融合技术就是其最重要的技术。利用数据融合技术,能够将基础数据进行提炼、压缩和融合,为网络安全态势的评估提供科学的参考依据,主要应用于估计威胁、识别与追踪目标等。
3.2计算技术
网络安全态势评估中的计算技术就是通过相关的数学计算方法,来实现对大量网络安全态势数据信息的处理,将其集中于在一定范围内的数值,而且,在网络安全事件的频率、网络性能和网络资产价值发生改变的同时,这些数值也会随之发生变化。这些数值的大小变化情况能够直接、实时、快速地反应出网络系统的安全状态和威胁程度的大小,监管人员可以以此为根据来实现对网络安全情况的把握。通常情况下,如果数值在一定的范围内进行变化,说明态势是相对安全的;如果数值的变化呈现出了较大的上升或下降,则说明存在安全威胁。
3.3扫描技术
扫描技术是网络安全态势评估中最常用的一种方式手段。与传统的网络防护机制相比较而言,扫描技术更为主动,能够对网络动态进行实时的监控,以收集到的数据信息为依据,通过对安全因素的判断,来实现对恶意攻击行为的防范。扫描技术的主要应用对象包括了系统主机、信息通道的端口和网络漏洞。对系统主机进行扫描是实现数据信息整合的第一阶段,主要是通过网络控制信息协议(ICMP)对数据信息进行记忆与判断,通过向目标发送错误的IP数据包,根据其反应和反馈的情况来进行判断。对信息通道的端口进行扫描,实际上就是对内外交互的数据信息的安全性进行监测。漏洞扫描则主要是针对网络黑客的攻击,对计算机系统进行维护。
3.4可视化技术
可视化技术就是将采集到的数据信息转换成图像信息,使其能够以图形的形式直观的显示在计算机的主屏幕之上,在通过交互式技术对数据信息进行处理之后,管理人员可以直观地发现其中的隐藏规律,从而为数据的处理与分析提供科学依据。但是,由于网络安全数据中的关键信息常常不容易被提取出来,因此,利用可视化技术的时候还要注意解决这一实际问题。
3.5预测技术
网络安全态势评估的发展具有不可确定性,而预测技术则可以根据对象的属性,结合已有的网络安全态势数据和实际经验来实现对未来安全态势发展的预测。预测技术主要包括了因果预测、时间序列分析和定性预测等内容,既能够通过历史数据和当前数据之间的关系进行态势预测,又能够通过因果关系的数据建模来实现对结果变化趋势的预测。
4结语
网络安全管理中的智能化技术就要能够自动识别网络安全威胁因素,这些因素会在网络运行中产生危害作用。其中,智能化的安全识别技术就能够自动捕捉网络不稳定因素,在系统发生安全事故中形成相应的反馈机制,在威胁因素进入系统能够主动报警,分析该行为的规范性,在判定为不稳定因素后立刻将其定义危险。同时,网络运行环境信息包括网络中资产的分布状况以及资产的攻击收益对攻击发生可能性的影响、使用环境中存在的威胁状况等因素。这些环境因素都能影响攻击者攻击目标,智能化的安全识别技术就能够根据系统的环境因素制定诊断体系,有效地识别出网络安全威胁因素。
2网络智能扫描技术
在网络安全管理中,智能扫描就是能够通过预先定义的规则对所有系统信息进行扫面和判定,从而诊断出系统中存在的危险因素和漏洞信息。旧的扫描工具遇到特定的端口找特定的服务,这样可能导致有人将某个服务安装在一个自己任意指定的端口使扫描不彻底。所以扫描工具应具备任意端口任意服务的功能。目前,一些成熟的扫描系统能够将网络中的单个主机的扫描结果整理成报表,并对相应的脆弱性采取一些措施,但是对整个网络系统的安全状况缺乏一个评估,对网络没有一个系统的解决方案,先进的扫描系统不仅能够扫描出脆弱性,而且可以智能化地帮助网络安管理员评估网络的安全状况,给出安全建议,使之能够成为一个安全评估专家系统。此外,智能化的网络扫描技术能够与系统的入侵检测、防火墙以及风险管控技术结合起来,从而形成一体化的安全扫面危险体系,达到进一步提升系统安全性的效果。
3网络安全智能评估技术
传统网络安全评估中需要针对系统进行详细分析与测试,该工作对于网络安全管理员的技术要求较高,并且要求安全管理员的工作强度较大。因此,采用智能化的评估技术就能够降低网络安全管理员的工作流程,其中,智能评估技术就是构建网络自动化分析测试机制,能够针对网络安全进行威胁和安全判断,并能够协助安全管理员提出系统防御措施。网络安全智能评估机制就是按照系统安全脆弱性集合,对系统进行全面测试,并对测试结果进行分析,从而对整个网络系统的安全状况作出总体评价,并预测可能发生的入侵,最后对网络系统存在的脆弱性提出修补建议。网络安全评估系统能够在网络黑客进行入侵或攻击前,帮助安全管理员及早发现网络系统存在的脆弱性,排除安全隐患。
4网络态势智能预测技术
网络态势预测能够在日常网络运行过程中发现网络运行状态,并根据网络运行装填制定进行评估未来网络发展。如果系统在受到不安全因素入侵,在网络运行状态分析中就能够发现网络运行出现波动,从而在系统报警,让系统安全管理员察觉系统出现危险。智能化的网络态势预测技术就是在网络安全态势评估中融入自主决策系统,能够在分析系统运行情况后进行自动反馈,在最短时间内作出响应控制系统安全。网络态势智能化技术能够设定相应预警机制,并且根据系统具体构成设定安全阀值,并在超出安全阀值的情况下采取相应控制措施。此外,网络态势智能预测技术能够实现动态重构、自主决策和自主感知,为整个系统安全管理提供信息数据支持,在网络安全的整体层面达到智能化管理。
5网络优化智能技术分析
网络安全优化是针对网络的内部环境制定优化措施,能够实现网络的整理和整顿,从而保证网络内部环境的安全性。网络优化智能技术就是在系统中能够通过信息采集,利用信息跟踪手段确定网络内部安全状态,根据内部运行状态自动判定网络内部问题,并且能够自动的进行内部配置和优化,促使网络内部安全问题得到解决,保持网络运行效率的最大化。同时,网络优化智能化技术能够构建出专家系统,在整个网络中进行整体规划,对系统功能进行局部优化,将智能决策、优化知识管理和自动反馈等技术融入到网络内部优化中,从而为提供内部工作提供支持。此外,网络优化智能技术能够保证系统运行的稳定性,对于网络系统的安全性有着重要保证,智能化优化措施可以结合系统外部防护形成多维网络管理体制,从而有效地控制网络系统安全。
6总结
在“十一五”863计划中,包含有很多应用,比如通信技术和信息安全。《国家中长期科技发展规划纲要》(简称《纲要》)对信息产业及现代服务业提出了四点发展思路,其中第四点是以发展高可信网络为重点,开发网络信息安全技术及相关产品,建立信息安全技术保障体系,具备防范各种信息安全突发事件的技术能力。
另一个纲领性文件是《2006―2020国家信息化发展战略》(简称《战略》),《战略》提出了九项战略重点。其中,第八项是建设国家信息安全保障体系,围绕网络安全涉及的内容,全面加强国家信息安全保障体系建设,建立和完善信息安全登记保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。同时,还将加强信息安全风险评估工作,建设和完善信息安全监控体系,提高对网络安全事件应对和防范能力,从实际出发,促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。这些是我们在安排863计划的核心指导方针,是指导性的文件。
在经典的网络模型中,有六个重要要素:分析、安全策略、保护、检测、响应、恢复。围绕着经典的网络安全模型,围绕着《纲要》和《战略》可以看出,863重点安排在八项技术上:第一是安全测评评估技术;第二是安全存储系统技术;第三是主动实时防护模型与技术;第四是网络安全事件监控技术;第五是恶意代码防范与应急响应技术;第六是数据备份与可再生技术;第七是可信计算平台项目;第八是UTM与网络安全管理。
安全测评评估技术
风险分析的重点将放在安全测评评估技术上。它的战略目标是掌握网络、信息系统安全测试及风险评估技术,建立完整的、面向等级保护的测评流程及风险评估体系。这一点和过去不一样,过去做测评是没有强调等级保护的。
国家中长期发展战略已经明确提出,要按照等级保护的原则来做,所以测评也是要服务于这一点。其主要创新点和切入点在于:首先提出适应等级保护和分级测评机制的通用信息系统与信息技术产品测评模型;适应不同的级别要有不同的测评方法,这个分级要符合登记保护体制;重点放在通用产品,要建成一个标准的方法;要建立统一的测评信息库和知识库,测评要有统一的背景,制定相关的国家技术标准;要提出面向大规模网络与复杂信息系统安全风险分析的模型与方法,尤其安全风险分析,重点面向大规模复杂网络,因为复杂网络要分析的要素很多,态势也很强,这是我们追求的创新点;要建立基于管理和技术的风险评估流程,测试风险评估面临的威胁和不安全因素。此外,因为保证信息安全不只是技术,管理不到位也会带来风险,所以风险评估应该把技术和管理都包括在内,要制定定性和定量的测度指标体系。
安全存储系统技术
安全策略的重点应放在安全存储技术上。安全存储系统产品很多,从安全角度来看,它的战略目标有两点:一个是机密性的安全,要掌握海量数据的加密存储和检索技术,保障存储数据的机密性和安全访问能力;另一个是安全自身要可靠,要掌握高可靠海量存储技术,保障海量存储系统中数据的可靠性。创新点在于,应提出海量分布式数据存储设备的高性能加密与存储访问方法,提出数据自毁机理。
加密是容易的,要对海量信息加密,影响当然是有的,但是应该不是很明显,这就对我们算法的效率提出了很高的要求。一旦数据出现被非授权访问,应该产生数据自毁,或者被别人破解时有自我保护能力。我们提出海量存储器的高性能密文数据检索手段,检索就要有规律,但加密的基本思路就是要把它无规则化,让它根本看不到规则,所以我们应找到一个折中的方法:什么样的加密可以支持检索,又具备一定的安全强度。
为此,我们提出了基于冗余的高可靠存储系统的故障监测、透明切换与处理、数据一致性保护方面的新模型预实现手段。双备份是比较简单的,问题在于实时切换,我们现在是整体的切换,如果切换非常频繁,就会出现一些误报警的情况。尤其当数据多备份的时候,就会有数据一致性的问题,为此我们提出信息安全的数据组织方法,提出基于主动防御的存储安全技术。如果不能完全自动备份,可以有两种选择:一种是局部冗余,哪些是重要信息,它在整个系统中不会出现太大的问题;另外一个是数据在相对分散的情况下,怎么能尽可能弱相关。检索要更加智能,要能判断访问是不是非授权访问,这里面要有一定的能力,而不是简单的存储。
主动实时防护模型与技术
防护强调的是主动实时防护模型与技术。它的战略目标是通过掌握态势感知、风险评估、安全检测等手段来对当前安全态势进行判断,并依据判断结果实施网络主动防御的主动安全防护体系的实现方法与技术。当通过态势判断出某个地方出现网络安全事件,别的地方就要跟着调整。特别是随着风险评估,某地方出现威胁,我们要提高风险防护,这被称为主动防护战略。创新点提出主动防护的新模型、新技术、新方法,现在这方面并不是很成熟,还要提出基于态势感知模型、风险模型,做主动实时协同防护机制和方法。
第二个是要提出网络与信息系统的安全运行特征和恶意行为特征的自动分析与提取方法。根据分析才能监控特征,判断现在是不是处于安全状态,不同的系统可能有不同的需求,应该具有提取能力,然后监控,通过监控来判断现在出现的情况。要有提出可组合与可变安全等级的安全防护技术,可能在某种状态下,需要做级别的变化,我们采取一系列各种各样的安全手段,如果某种风险不存在,可以把安全手段降低,就可以提高运行效率,这方面应该提供相应的技术。
网络安全事件监控技术
监测的重点是网络安全事件监控技术。战略目标重点放在国家层面考虑,要掌握保障基础信息网络与重要信息系统安全运行的能力,支持多网融合下的大规模安全事件的监控与分析技术,提高网络安全危机处理的能力。三网融合也是势在必行,不同网的状态融合起来就对监测提出了要求。主要创新点在于,要提出网络数据获取接口标准,并且提出网络流量海量性与分析系统计算能力不匹配的应对方法。
一般而言,网络带宽增长每六个月翻一番,我们国家是每七八个月翻一番。计算机运行速度按照摩尔定律每18个月翻一番,这导致计算机处理能力越来越快。我们提出多通道综合检测和协同分析模型与技术,要建立大规模恶意代码传播演变的可视化展示手段。一旦恶意代码传播演变了,要有一个跟踪的态势,能在地图上不断发现蠕虫、病毒。提出蜜罐的攻击诱惑与自身隐蔽方法,现在的研究比较成熟,人类在防范,攻击者也寻找新的攻击诱惑。提出网络安全态势分析指标体系,建立基于复杂网络行为建模与模拟的网络安全态势的分析与预测体系。
这个态势怎么来的,要有一个指标体系,我们通过对指标体系的分析,通过重要的端口,或者某种协议的监测,把这些指数综合起来,计算当前态势。当每个事件出现,如果不采取措施,将来会变成什么样?这需要有复杂网络的模拟网络,模拟网络对复杂行为建模提出要求,模拟节点不是几万、几十万,至少几百万量级才能做出判断,这样才能真正做到预测。现在做到的只是预警,一个事态出现到形成规模不到10分钟,如果仅仅是预警,根本来不及采取措施。
恶意代码防范与应急响应技术
响应的相应重点应该放在恶意代码防范与应急响应技术上,其战略目标是掌握有效的恶意代码防范与反击策略。一旦发现恶意代码之后,要迅速提出针对这个恶意代码的遏制手段,要提供国家层面的网络安全事件应急响应支撑技术。其主要创新点在于,提出对蠕虫、病毒、木马、僵尸网络、垃圾邮件等恶意代码的控制机理。
比如,面对冲击波时,用户只有靠打补丁,如果用户没有打补丁,病毒就会通过网络不断传播,这时我们就要把这个端口封锁住。我们要研究每个问题,而且要建立恶意代码攻击的追踪、取证及遏制机制,提出支持遏制手段的恶意代码可控性的特征分析及提取技术。我们不是对恶意代码的判断特征识取,我们需要找出恶意代码特征,判断恶意代码是否存在,还要找出对于什么样的特征可以利用哪些手段去遏制它。
数据备份与可再生技术
数据备份与可生存性技术是围绕灾难恢复来做的。这主要是提供用于第三方实施数据灾难备份的模型与方法,为建设通用灾难备份中心提供理论依据与技术手段,建立网络与信息系统生存性和抗毁性,提高网络与信息系统的可靠性。比如我建立一套系统,如果系统重要,就建立一个应急系统做备份。但是这不适合第三方,现在有一些第三方是服务队伍,需要熟悉原来系统什么样,按照原来系统来做。
怎么能够做第三方呢?这里面创新点是提出源数据存储结构无关的数据远程备份及快速恢复模型、机制、方法与技术。现在,一个系统建完后,你必须掌握系统结构,为你的数据库系统再建一个数据库系统,这样你的数据才能保存起来。但是出现增量怎么办?是不是因为增加一个记录而全部备份呢?答案是否定的,因为大系统从头到尾备份需要3天。如果说传增量,那边没有一模一样的系统也无法把增量去。因此能不能做到结构无关?我们提出基于关键服务的网络与信息系统容错、容侵和容灾模型。如果我的系统资源足够多,入侵者通过连接攻击我的线程空间,但是我线程空间足够大。如果系统彻底垮了,我就换一个系统。而且我们还要提出网络与信息系统自适应生存机理与可恢复模型,提出故障感知模型与异常检测方法,围绕这一点要建立可生存性及抗毁性分析仿真和评测方法。
可信计算平台项目
网络如果采用可信的方法,比如硬件有改动,通过信息来验证,整个系统是可靠、不会被攻击的,这样应用系统都不会被病毒侵入。Vista对这一点是一个重大的推动。对网络安全模型提出一个技术性模型,应该要有一个可信计算平台做整体的支撑。战略目标是掌握基于自主专利与标准的可信平台模块、硬件、软件支撑、应用安全软件、测评等一批核心技术,主导我国可信计算平台的跨越发展。
我国在可信计算方面介入特别早,但现在没有形成一个特别好的体系,只有尽早地提出一个标准体系,我国的产业才能冲上来。其主要创新点在于提出可信计算平台信任链建立和扩展方式,包括可信引导、可信度量、可信网络连接、远程平台证明等。从互操作和安全评估两个角度出发,建立可信计算标准体系。
UTM与网络安全管理
欢迎各位领导来到***核心业务的工作区,这里是充分发挥产业数字化的场景资源优势和数字产业化的数字资源优势,覆盖网络安全态势感知、全省机电一体化运维、工地数字化管控、“两客一危”监管等***公司支撑核心生产经营业务的智慧运维中心。
在我们屏幕的最右侧,是我们中心几个核心职能的形象化展示。
首先,让我们进入网络安全板块。
网络安全态势感知平台,是我们联合国内最顶尖的清华大学孙家广院士团队,共同打造的保护辽宁交通大数据安全的第一道闸门。
在取消省界收费站之后,交通专网的全国一张网覆盖范围为15万公里,管理着2亿上线车辆,交易规模可达每秒10万笔,是全球最大的单一业务专网,面临着前所未有的安全压力。
而我们上线的这个平台,能够提供对威胁的事前预警、事中发现、事后回溯功能。领导请看,系统现在非常健康的100%防护状态,我们已经将全省2万多个软硬件资产实时监测起来,防范威胁,并能自动化解决大量风险漏洞。
在去年9月和今年4月公安部、交通部联合举行的攻防演练中,辽宁均表现优异,多项安全指数排名第一,得到了各方好评。
接下来,让我们进入智能运维板块。
***公司是全省机电的统一运维服务中心,我们现在看到的辽宁高速运行监测平台,可以将省域范围内293个收费站、694个门架、以及所有服务器、车道、车牌识别设备等的状态都实时接入系统,当设备发生故障时,系统会第一时间发送短信报警,使运维人员对故障处理最快响应。
随着烟草行业信息化快速发展及云计算、虚拟化、移动应用等新兴技术运用,使烟草行业的信息安全面临新的挑战,主要表现在以下几点。
1.1核心软硬件被国外垄断,严重威胁行业信息安全
当前,烟草行业的信息系统基础设施,包括主机、存储、操作系统、数据库、中间件等几乎还很大程度上依赖于国外品牌,使得烟草行业信息系统比较容易被国外掌控,威胁烟草行业信息安全。
1.2传统互联网威胁向烟草行业辐射
随着电子商务的快速发展,烟草行业信息系统由半封闭的行业内网向互联网转变,网上订货、网上营销等新型业务与互联网结合日益紧密,同样面临的网络攻击和威胁形势日益复杂严峻,传统互联网威胁(如病毒、木马等)也必将危及行业信息安全。
1.3新技术的应用使行业信息安全面临更大挑战
随着云计算、虚拟化、移动应用等新兴技术的快速发展和应用,极大地影响了信息系统的运行和服务方式,互联网服务的开放性特点对烟草行业信息安全工作提出严峻的挑战。
2烟草行业信息安全发展方向
近期,为处理好安全和发展的关系,适应信息技术发展形势需要,提出以安全保发展、以发展促安全是未来一段时间信息安全建设和管理的重要方向。
2.1坚持自主安全可控,健全行业信息安全体系
信息安全自主可控作为行业信息化发展的重要保障,加大安全可靠的先进技术应用力度,提升对核心技术的自主掌控能力,保障行业信息化建设稳步推进,健全以防为主、软硬结合的行业网络安全体系。强化网络基础设施安全,加大安全可控关键软硬件的应用比例,确保行业信息化高效安全平稳运行。
2.2坚持等级保护,提高安全管理水平
执行国家信息安全等级保护制度,以安全策略为核心,坚持技术和管理相结合,构建与行业信息化发展协调一致的行业网络安全体系。
2.3强化安全运维机制,提升安全保障能力
目前,行业信息安全保障尚未全面融入信息化的“建管用”的各个环节,需要进一步建设、健全行业网络安全保障体系,落实安全运维机制,提升安全综合防范能力。
2.4完善应急处置体系,保证系统安全稳定运行
加强日常信息安全监控,进一步完善信息安全应急处置机制,充分评估信息系统面临的威胁,并制订覆盖各类信息系统、各种信息安全事件的应急预案并进行演练,提升信息系统预警、应急处置和恢复能力,保障业务系统的连续稳定运行。
2.5烟草行业信息安全建设思路
随着国家、行业主管单位对信息安全认识和要求的不断深入,烟草行业信息系统综合安全防范能力需要通过建立自主可控的信息安全技术体系;细化和完善信息安全法规制度、标准规范、流程细则的管理体系;和以“常态化”为目标,包括阶段性运维、日常运维、应急工作三个角度的安全运维体系设计,从而提高信息系统信息安全综合防范能力。
2.6建立系统安全基线,提升系统基础防护能力
国家局针对信息安全工作下发了如《信息安全保障体系建设规范》《行业单位等级保护建设规范》等一系列的规范标准,同时以“三全工作”“安全检查”为抓手推动信息安全保障体系的建设。但由于缺乏具体的操作层面的指南,各行业单位对标准规范和安全建设尚不能有效落地,不能执行到具体的业务系统以及所属的主机、网络设备等基础设施层面。为保证信息系统整体安全水平,防止因为各类系统、设备的安全配置不到位而带来安全风险,有必要针对信息系统建立其基本的安全要求(安全基线),确保信息系统具有基本的安全保护能力。
2.7建立自主可控信息安全技术体系
自主可控是信息安全的根本保障。建立自主可控的信息安全技术体系可以从以下方面着手:一是制订行业信息安全技术产品准入要求,启动核心信息技术产品的信息安全检查和认证工作;二是加强对产品或系统的漏洞检测和代码审查,及时发现系统安全隐患,同时明确国外进口产品在使用过程的责任和义务;三是建立烟草行业新技术的安全标准规范,明确新技术的使用、运维和管理的方法和范围。
2.8不断完善行业信息安全标准规范体系
目前烟草行业已经陆续了一系列行业信息安全标准和规范,但是相对于信息化的快速发展来说还存在滞后性。制定、完善和细化行业信息安全标准规范,对于烟草信行业信息安全具有重要意义。例如,针对信息系统的建设,应制订包含在信息系统规划设计、开发建设、运行维护和停用废弃等全生命周期的安全标准规范;针对移动应用,应制订包含由移动终端、移动网络、移动平台、业务应用构成的移动安全框架和建设标准规范,为烟草行业的移动应用建设提供指导;针对烟草行业数据安全,应建立包括数据分类分级、数据分布、数据操作、数据备份和恢复在内数据安全标准规范,为合理保护和利用行业数据提供指导;针对第三方服务外包,制定第三方服务机构服务质量基本评价指标体系。
2.9建立安全运维管理服务体系
一是建立运维监控指标体系。通过对信息系统安全运维水平的层次化监控指标的建立,得到该业务系统的安全运维水平评级,以此来表明该业务系统的安全运维体系的建设成熟度。同时还应将表示安全运维水平的各个指标项建立针对某类安全事件的度量标准。建立监控指标不仅应当包括传统的各种系统资源使用率、数据和应用工作状态等,同时要加强对运维监控中发现的各种异常现象的监控分析,对风险隐患及时处理,同时根据运行分析结果动态评估系统的处理能力,动态优化系统资源配置。二是完善安全运维和管理工作。安全运维和管理工作应包含在信息系统规划设计、开发建设、运行维护和停用废弃等各环节,落实系统建设全生命周期各环节的安全指标和流程要求,做到基础信息网络、重要信息系统与安全防护设施同步规划、同步建设、同步运行。三是完善应急处置机制,保障业务连续性。随着行业数据的集中,各类信息系统整合的不断推进,信息系统的技术体系日趋复杂,需要在日常运维过程中积累、提高对各种技术的把握、优化能力。充分评估各类信息系统潜在的威胁,并制订和完善各类信息安全事件的应急预案,并定期开展应急演练。
2.10开展信息安全风险态势感知体系研究
风险态势感知体系是具有宏观的角度对行业的整体网络安全防护能力进行评估,同样也应对整体安全管理水平进行评估,为提升信息系统整体安全防护能力提供决策支持;同时风险态势感知体系应具备两个维度的态势感知能力。一方面,从安全本身的发展变化入手,通过对事件和威胁的分析来评估当前网络的整体安全态势,包括地址熵态势分析、热点事件分析和威胁态势分析;另一方面,从信息系统所需要达成的安全管理水平入手,通过对一系列管理指标的度量,来评估当前信息系统的安全管理水平;建设完备的信息安全风险感知体系,是提高烟草领域信息安全的重要途径之一。风险态势感知体系的建设应按照信息安全等级保护的相关要求,建设针对信息系统所有的基础设施包括终端、网络、应用、系统、物理各个方面,以及信息系统在业务处理过程中的身份认证、访问控制、数据与内容安全、监控审计、备份恢复等各个环节的信息安全风险态势感知体系,提高信息系统的信息安全保障能力,提高信息安全事件的预警及防范能力。
3结语