网络安全应急响应技术精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全应急响应技术主题范文,仅供参考,欢迎阅读并收藏。
第1篇:网络安全应急响应技术范文
【关键词】计算机网络 安全隐患 应急响应技术
当今社会,计算机网络已经成为人们日常生活、办公的重要组成部分。近些年来兴起网购热潮和社交平台更是进一步推动计算机网络融入,甚至是已经改变了人们的生活方式。然而,与此同时,计算机网络的安全问题也逐渐引起人们的重视,如何开发有效的计算机应急响应技术,采取强有力的针对性措施来防范计算机网络存在的安全隐患,成为当下人们关注的重点。
1 计算机网络安全
1.1 计算机网络安全的含义
目前,计算机网络安全问题突出,各式各样的安全隐患问题频发,严重影响了计算机网络的良性发展,而计算机网络安全的内容就是要保障网络信息的安全性。计算机网络安全是一个涵盖诸多领域的课题,从广义上讲,但凡涉及到网络信息的安全、保密和真实性的技术理论,都属于该课题的研究范围。因此,广义上的计算机网络安全指的是网系统的软硬件及其数据不受破坏,能够保持正常运行,并有效防止非法和有害信息传播,维护社会道德和国家法律法规。而狭义上的计算机网络安全则侧重于网络信息的安全性和保密性,防止攻击者利用系统存在的漏洞达到破坏或窃取合法用户的权益,狭义的网络安全指的是运用计算机、网络、密码和信息等技术保护网络中信息传输、交换、存储的保密性、完整性,并控制不良信息的传播。
1.2 计算机网络安全的现状
当今社会已经进入了信息时代,人们生活的方方面面都已经离不开计算机网络。快捷、方便的网络系统在为人们生活提供便利的同时,其存在的安全问题也隐藏着巨大的风险,网络安全已经是国际社会共同关注的话题。各种网络安全的威胁也越来越智能化、多样化,并表现出较强的攻击性。因此,各种用于维护网络安全的技术也迅速发展起来,但是存在着一定的误解夸大现象,此外,在网络安全管理中还存在着轻管理、重技术等问题。
2 计算机网络安全的隐患
2.1 缺乏完善的操作系统
目前,我们所用的操作系统大都存在体系庞大、结构复杂的问题,并且还需要通过不断的升级维护,采用补丁程序的方式来弥补漏洞。然而就操作系统而言,这种方式并不能取得很好的效果,反而是在升级和维护过程中,预设口令的操作方式还增加了计算机网络的安全隐患,提高了被攻击的频率。
2.2 网络协议存在漏洞
网络协议漏洞包括协议服务漏洞和协议自身漏洞两种。网络攻击者会通过攻击网络协议的数据链路层、传输层、网络层、应用层等四个层次的漏洞,从而对网络安全造成隐患。同时,作为网络系统的节点,任何一台系统内的计算机网络遭受攻击都有可能通过发送错误数据包等方式,从而对整个系统构成威胁。
2.3 病毒的广泛传播
一些像木马程序或者蠕虫病毒等计算机病毒,具有很强的繁殖能力,攻击计算机后会大幅度降低系统的运行速度,最终导致文件丢失、硬件损坏,甚至造成整个网络系统的瘫痪,具有严重的破坏性,是计算机网络安全面临的重要问题。此外,一些破坏性的程序也和病毒一样,可能会威胁到计算机网络的安全运行。
2.4 黑客的频繁攻击
计算机网络的开放性、灵活性、自由行等特点在给用户带来便利的同时,也为一些网络黑客提供了可乘之机。黑客会通过网络安全漏洞,结合自身的专业知识,对合法用户的计算机网络进行非法入侵,盗取或破坏合法用户的数据、信息等资料,从而造成合法用户的信息泄露、财产丢失等严重问题。尤其是近些年来,网络黑客对计算机网络的攻击频率越来越高,成为了计算机网络安全的重要威胁。
2.5 网络管理员的素质不高
网络管理员在计算机网络安全管理中扮演着重要的角色。然而,目前大部分网络管理员无论是专业技术水平,还是职业道德素养上都尚未达到一定的要求,体现在实际的网络管理工作中,就出现了防范意识较差、防护措施不当等问题,并且给予网络用户过多的权利。由于计算机网络管理人员对计算机网络可能存在的风险没有足够正确的认识和有效的预防措施,增加了计算机网络安全隐患。
3.1 防火墙技术
防火墙技术是一项广泛应用的计算机应急响应技术,主要包括硬件防火墙、软件防火墙、嵌入式防火墙等类型,它的应用在很大程度上减少了计算机网络的安全隐患。尽管防火墙技术会使网络的运行速度有所减慢,但是其高安全性、经济性等特点,依然被人们广泛采用。防火墙技术可以通过过滤不明邮件等可疑因素、隔离内网和外网,从而实现对内部网络良好的防护,充分保证内网的安全运行。
3.2 防病毒软件
诸如我们常见的杀毒软件,如诺顿、卡巴斯基、360安全卫士、金山毒霸等,可以实现对外部入侵病毒的拦截和对计算机内部病毒的查杀,从而在很大程度上提高计算机网络的安全性。尤其是现在计算机病毒日益复杂、多变,应用防病毒软件,并及时做好更新和查杀工作,可以很好的抵御计算机病毒通过网络对计算机网络的安全运行产生危害。
3.3 数字加密技术
数字加密技术是一种通过加密处理网络信息的方式,致使非法用户无法准确的对信息进行有效的识别,从而防止非法用户对合法用户的信息进行窃取或者破坏。数字加密技术更多的被应用于金融领域和商业领域等,如企业间贸易的订单详情、企业内商业信息的传输等,都需要采用这种技术,以防止非法用户从中获取商业机密,保证金融贸易的安全性。
3.4 网络追踪技术和访问控制技术
网络追踪技术是指网络管理员即时观察计算机网络的运行状况,并收集相关信息,对存在网络攻击行为的IP地址进行锁定和追踪,并分析它们的活动情况,建立类似于“黑名单”的数据库,从而采取相应的措施对它们的网络活动进行有效的控制。网络追踪技术又可以划分为主动追踪技术和被动追踪技术两种。此外,采用在合理的网络访问准则的框架下,对网络访问行为进行适当的控制,并结合采用素质签名技术来确保数据的可靠性和有效性,是一种降低计算机网络运行中的安全隐患的有效途径,即访问控制技术。
3.5 入侵检测系统
入侵检测系统是在收集并分析相关网络行为、计算机网络关键信息、安全日志、审计数据的基础上,有效识别计算机网络运行中恶意攻击或违法安全策略行为,并及时采取相应的措施进行有效的控制。相较于防火墙技术,该技术融入了入侵检测、网络监控、网络管理等内容,是一种更加主动的安全防护技术,可以有效识别计算机网络运行过程中遭受的内部攻击、外部攻击等行为,有效弥补防火墙技术的不足,将安全隐患拦截在网络系统外部。
3.6 入侵取证技术
取证技术主要为司法鉴定提供确实有效的证据,从而有力打击网络犯罪和非法用户。计算机取证技术寻找证据的主要途径包括获取日志文件等原始数据、恢复删除文件等,首先是发现可疑信息,进而通过采集、分析、识别网络设备或硬件中数据信息来获取凭证。
3.7 系统恢复技术
系统恢复技术主要应用在计算机网络遭受攻击之后,通过运用该技术,使系统恢复正常运行,从而降低由于网络攻击造成的损失。主要的方法包括系统备份、数据恢复、漏洞修补等。系统备份可以利用GHOST软件对系统进行备份,遭受攻击后运行该备份以重新恢复系统;数据恢复的需要通过使用相关的软件来实现;采用安装补丁的方式可以实现对系统漏洞的修补。
4 结束语
计算机网络技术已经改变了人们的生活方式,为人们的生活提供了极大的便利,然而与此同时,计算机网络存在的安全隐患也同时给合法用户的数据、信息安全带了严重的威胁。因此,采取有效的计算机应激相应技术,如防火墙技术、数字加密技术等能起到有效的防护作用。然而,解决计算机网络安全问题,不仅是一个技术上的问题,更是一个意识上的问题,提高网络管理员以及合法用户的的防范意识和风险意识,对计算机网络安全意义重大。
参考文献
[1]胡世昌.计算机安全隐患分析与防范措施探讨[J].信息与电脑,2010(10).
[2]李刚.计算机网络安全隐患与应急响应技术[J].软件,2012,33(5).
[3]林材安,吴亚娜.计算机网络安全隐患与应急响应技术[J].高教论坛,2013(06).
[4]吴焘.机房网络安全隐患及网络安全技术和对策的应用分析[J].计算机光盘软件与应用,2012(24).
[5]马洪雷.基于CBR的网络安全应急响应系统的分析与设计[D].上海交通大学硕士学位论文,201(01).
作者简介
陈改霞(1980-),女,河南省周口市人。硕士学位。现为鹤壁汽车工程职业学院讲师。主要研究方向为计算机应用、计算机网络。
耿瑞焕(1986年-),女,河南省濮阳市人。硕士学位。现为鹤壁汽车工程职业学院助教。研究方向为模式识别、人工智能。
作者单位
第2篇:网络安全应急响应技术范文
关键词:计算机网络安全;影响因素;防火墙技术
DOI:10.16640/j.cnki.37-1222/t.2018.07.130
0前言
现阶段,计算机网络技术被广泛的应用于各个领域当中,其为人们的交流提供了很大的方便,在很大程度上改变了人们工作的方式,是实现网络一体化重要的手段。近年来,网络安全问题逐渐被人们所关注,经常会有网络恶意攻击或者病毒侵入,导致网络安全无法保障,出现账号失窃或信息被盗等问题,甚至会给人们造成巨大的经济损失。在网络系统中,防火墙技术能够有效保障网络安全,也是现阶段最常见的防病毒技术,因此,需进一步完善防火墙技术,全面提升计算机网络安全。
1计算机网络安全影响因素分析
(1)网络自身的因素。随着网络技术的不断发展,为人们沟通提供了很大的方便,其打破地域的限制,但是,与此同时,计算机网络也因其虚拟性和开放性为人们带来了很大的困扰。除特殊情况外,网络的大部分时间处于开放状态,每个用户可以随时登录,只要有网络就能够使用,但是一旦开放,就会有很多内容出现,这些内容良莠不齐,对人们的影响也有所不同。在网络世界中,都是虚拟的内容,管理网络十分困难,难免会遭到不法分子的破坏。现阶段,较为流行的操作系统是windows和Unix等,这些系统在某种程度上都存在一定的漏洞。随着网络信息技术的不断发展,网络产品快速更新,出现的漏洞也越来越多,网络安全技术相对来说比较滞后,无法跟随网络发展的速度[1]。
(2)外界因素的影响。计算机网络安全外界影响因素主要有:局域网内部和外部的攻击,一般都是一些不法分子利用他人用户身份,在登录之后盗窃他人信息,篡改他人数据,破坏网络安全系统;在网络安全中,病毒也是主要危害之一,互联网络与世界各地相连,如果病毒侵入,那么会快速的传播,造成巨大的破坏力;除此之外,黑客攻击也是威胁网络安全的罪魁祸首之一,一些不法分子通过利用网络的漏洞,恶意侵入,泄露和侵犯他人的隐私。很多软件以及操作系统编写过程中会留后门,而黑客趁虚而入。计算机是一种物理硬件,如果遭到破坏,那么会直接威胁计算机网络的安全。
(3)评估安全技术落后的影响。想要防止黑客的侵入,有效保障网络安全,就需要设置完善的安全评估系统,实时监控网络,全面评估网络系统。如果发现漏洞,或系统存在被攻击可能性,就能够进行技术修复和防范,降低网络被攻击可能性。现阶段,我国网络安全的评估系统,都相对比较落后,很难为广大用户提供良好网络环境[2]。
2防火墙技术应用产品分析
(1)服务器的应用。在防火墙技术中,服务器是十分重要的一种,其原理是通过开放性系统会话层,利用网络系统,从而达到网络资源共享。网络系统中的服务器有中转功能,能够控制和监督网络资源,对用户的账号及密码等资源进行全面管理,加强了监管力度,保障了用户信息安全。但是,服务器只能够在网络运行质量较高的情况下才能够发挥其作用,所运行程序较为繁琐,对网络条件的要求也十分严格。因此,在服务器应用过程中,需要保障网络的性能良好[3]。
(2)包过滤技术的应用。包过滤技术指的是选择信息数据,通过信息数据的传输,和原来安全注册表对比分析,从而判断信息数据传输的安全性。在防火墙应用产品中,计算机网络管理员可以通过防火墙的访问设备清单对包过滤标准进行合理设置。在控制访问标准中,主要包含以下内容:包原地址、目的地址、请求连接方向、请求服务类型以及数据包协议等。在包过滤技术中,将计算机的内外网划分为两类途径:从内到外的信息传输控制,从外到计算机内部信息传输控制,除此之外,在路由器或计算机上应用包过滤技术,包含封闭和开放两种应用模式。
(3)复合技术的应用。复合技术是对包过滤技术以及服务器技术的综合,其能够提升防护措施的稳定性,具有明显的优势。复合技术将服务器技术和包过滤技术相结合,从而弥补防火墙技术出现的漏洞,提升防火墙技术便捷性。在防火墙技术不断完善和发展过程中,其能够有效抵御网络病毒的攻击,发挥安全防护功能,对网络进行多层防护,具有较强的监测能力和防护能力。复合技术应用方式是:加强网络安全认证,保障网络环境安全畅通,对网络信息进行安全认知,从而实现动态防护网络系统;智能处理用户信息,如果计算机网络遭到病毒攻击,或者存在安全隐患,那么复合技术可以第一时间警报提示,保障用户信息能够得到安全保护;充分发挥复合技术优势,提升网络交互的能力,從而实现对网络的实时监控,解决网络安全隐患[4]。
3防火墙技术应用研究
(1)防火墙技术的含义。防火墙技术属于一种隔离性质的技术,其通过硬件和软件在互联网的内外部形成保护的屏障,实时监控网络信息以及数据包,为信息的流出提供安全通道。只有用户同意之后,其他用户信息和数据才能够输入进来,如不同意,那么可以将信息数据拒之门外。
(2)安全功能分析。首先,防火墙技术具有安全报警功能,如果外来用户想要进入,那么防火墙将信息以通知方式告知用户,用户自行判断是否同意外来用户信息。如本局域网之内其他用户提出请求,通过防火墙技术可以查询用户机名,如用户不允许外来用户进入,那么机主可以设置防火墙,使用黑白名单的功能进行操作。
其次,防火墙技术具有数据流量查看功能,还可以查看上传及下载信息的速度等。防火墙能够查看和启动关闭计算机内部服务的程序,通过系统的日志功能,每日记录网络系统的安全状态及流量。
(3)防火墙技术应用分析。防火墙技术能够有效保障计算机网络安全,其主要有单防火墙以及单子网两种管理方式。对于网络资源来讲,其内容十分丰富,因此所面临的风险及挑战也有所差别。网络安全风险主要体现在资源自身风险以及其他因素的影响导致的风险。各类动态服务器也会带来很多安全问题,此时,设置网络系统防火墙,能够有效减少网络风险。在计算机网络系统中,很多信息都有数据库,这些信息敏感性要比网络服务器高,因此需要设置多一层的保护。单防火墙以及单子网系统能够将服务器安装在一个子网当中,在内外部网络及路由器之间设置防火墙,从而抵制外来服务器攻击。此种模式能够保障服务器安全运行,还能够保护网络应用系统。由此可见,对网络服务器进行隔离,不能够保障信息数据安全性,但防火墙技术能够达到此目的。
在网络系统运行过程中,可以分为多个子网,网络安全管理员可以将内部网络划分为多个子网,这些子网保持互相独立,不同服务器会带入到不同子网中。原理是通过防火墙的构建,开放多个端口,之后通过防火墙对网络进行划分,彼此独立,在不同数据层上,每个数据层的服务器只能接受中间服务器的连接端口,从而保障服务器的安全性。选择此种模式,网络用户能够直接对表述层的服务器进行访问,而表述层的服务器只能够对中间层的服务器进行访问,此种设计能够满足系统需求的同时,严格控制数据层,保障计算机网络安全。
4结语
综上所述,计算机网络信息技术在很大程度上推动了现代社会进步,逐渐改善人们生活方式。随着计算机网络技术的不断应用和发展,所带来的安全问题不容小觑,特别是对关键数据的传输,可能会使用户信息失窃,为人们带来经济财产损失。因此,必须加强计算机网络安全防范,应用防火墙技术,全面提升网络系统安全性,保障用户信息安全。
参考文献:
[1]赵荣刚.浅谈计算机网络安全影响因素和防火墙技术的应用[J].山东工业技术,2016(01).
[2]波涛.计算机网络安全及防火墙技术分析[J].信息系统工程,2016(10).
[3]范海峰.试论网络安全及防火墙技术在网络安全中的具体运用[J].商,2015(47).
第3篇:网络安全应急响应技术范文
关键词:SDH;无线网络;移动传输网络;安全性
Abstract: according to the characteristics of the local mobile transmission network, and puts forward some important influence factors of network security; And discusses how to avoid the detailed the influence factors of the local transmission network security.
Keywords: SDH; Wireless network; Mobile transmission network; safety
中图分类号:P624.8文献标识码:A 文章编号:
随着各运营商逐步完善自己的基础网络,无线网络覆盖率将不再是影响移动网络质量的主要原因,通信网络的服务质量主要取决于无线网络优化和通信设备的稳定性。随着各业务对传输需求的不断增加,传输网络的规模不断扩大,网络组织日益复杂,传输网络的安全性成为评估通信网络服务质量的重要因素。针对本地移动通信传输网的特点,如何进一步完善现有的本地移动传输网络,优化传输网络组织结构、提高网络的安全性,成为本地移动传输网建设和优化中的重点问题。结合我多年对传输网络的规划建设和维护经验,粗略地探讨如何提高本地移动通信网中传输网络的安全性。
一、针对影响安全因素,采取的措施
针对目前影响本地移动传输网络安全的因素,可以考虑在传输网络建设初期进行合理的规划线路路由和组网方式,在网络建设后期进行合理的传输网络优化来提高传输网络的安全性。
(一)光缆路由方面
在传输网络建设前期,根据工程投资和实际情况合理的规划工程建设,尽量避免形成传输重要节点出入局同缆现象。
对于已经形成的节点出入局同缆和同缆组环,考虑采用新建或者租用不同路由加以优化解决。在传输工程设计之初和线路施工中,尽量避免形成星型网络结构和长链路结构。
(二)传输组网方面
工程前期做好前期规划、工程建设中期做好组网设计、工程建设后期做好传输网络优化,尽量采用SDH环路保护,甚至采用网状网保护。
对于大容量或重要业务环路,考虑采用双节点保护组网;对大容量或多节点环路,考虑物理上组成双平面传输环或者多平面传输环。
不能新建线路改造的星型结构,考虑采用较分支结构安全的同缆组环方式或跳纤分散支路的方式。
不能成环的重要分支链路,考虑利用同速率的SDH微波和传输设备进行混合组网,完成环路保护。
传输网络的组网应尽量避免过于复杂,宜采用两层组网结构(骨干层和接入层)。
SDH传输环内时钟规划也相当重要,一定要避免时钟互锁或构成环路,尽量避免时钟链路过长。
(三)传输设备方面
对重要传输节点关键单盘进行1:1或者n:1热备保护。对重要电路采用业务分流或者负荷分担的方式进行调整。环路上设备尽量采用同一家、同一型号的传输设备,避开不同厂家设备的对接;采用具备过压保护功能的传输设备。在传输本地网中不建议大量的采用微波和PDH组网。
二、复用方式
由于低速SDH信号是以字节间插方式复用进高速SDH信号的帧结构中的,这样就使低速SDH信号在高速SDH信号的帧中的位置是固定的、有规律的,也就是说是可预见的。这样就能从高速SDH信号例如2.5Gbit/s(STM-16)中直接分/插出低速SDH信号例如155Mbit/s(STM-1),从而简化了信号的复接和分接,使SDH体制特别适合于高速大容量的光纤通信系统。
另外,由于采用了同步复用方式和灵活的映射结构,可将PDH低速支路信号(例如2Mbit/s)复用进SDH信号的帧中去(STM-N),这样使低速支路信号在STM-N帧中的位置也是可预见的,于是可以从STM-N信号中直接分/插出低速支路信号。注意此处不同于前面所说的从高速SDH信号中直接分插出低速SDH信号,此处是指从SDH信号中直接分/插出低速支路信号,例如2Mbit/s,34Mbit/s与140Mbit/s等低速信号。从而节省了大量的复接/分接设备(背靠背设备),增加了可靠性,减少了信号损伤、设备成本、功耗、复杂性等,使业务的上、下更加简便。
SDH的这种复用方式使数字交叉连接(DXC)功能更易于实现,使网络具有了很强的自愈功能,便于用户按需动态组网,实现灵活的业务调配。
网络自愈是指当业务信道损坏导致业务中断时,网络会自动将业务切换到备用业务信道,使业务能在较短的时间(ITU-T规定为50ms以内)得以恢复正常传输。注意这里仅是指业务得以恢复,而发生故障的设备和发生故障的信道则还是要人去修复。
三、运行维护方面
SDH信号的帧结构中安排了丰富的用于运行维护(OAM)功能的开销字节,使网络的监控功能大大加强,也就是说维护的自动化程度大大加强。PDH的信号中开销字节不多,以致于在对线路进行性能监控时,还要通过在线路编码时加入冗余比特来完成。以PCM30/32信号为例,其帧结构中仅有TS0时隙和TS16时隙中的比特是用于OAM功能。
SDH信号丰富的开销占用整个帧所有比特的1/20,大大加强了OAM功能。这样就使系统的维护费用大大降低,而在通信设备的综合成本中,维护费用占相当大的一部分,于是SDH系统的综合成本要比PDH系统的综合成本低,据估算仅为PDH系统的65.8%。
SDH传输网兼容性的实现
SDH有很强的兼容性,这也就意味着当组建SDH传输网时,原有的PDH传输网不会作废,两种传输网可以共同存在。也就是说可以用SDH网传送PDH业务,另外,异步转移模式的信号(ATM)、FDDI信号等其他体制的信号也可用SDH网来传输。
SDH网中用SDH信号的基本传输模块(STM-1)可以容纳PDH的三个数字信号系列和其它的各种体制的数字信号系列——ATM、FDDI、DQDB等,从而体现了SDH的前向兼容性和后向兼容性,确保了PDH向SDH及SDH向ATM的顺利过渡。
五、SDH的缺陷所在
凡事有利就有弊,SDH的这些优点是以牺牲其他方面为代价的。
(一)频带利用率低
我们知道有效性和可靠性是一对矛盾,增加了有效性必将降低可靠性,增加可靠性也会相应的使有效性降低。例如,收音机的选择性增加,可选的电台就增多,这样就提高了选择性。但是由于这时通频带相应的会变窄,必然会使音质下降,也就是可靠性下降。相应的,SDH的一个很大的优势是系统的可靠性大大的增强了(运行维护的自动化程度高),这是由于在SDH的信号--STM-N帧中加入了大量的用于OAM功能的开销字节,这样必然会使在传输同样多有效信息的情况下,PDH信号所占用的频带(传输速率)要比SDH信号所占用的频带(传输速率)窄,即PDH信号所用的速率低。例如:SDH的STM-1信号可复用进63个2Mbit/s或3个34Mbit/s(相当于48×2Mbit/s)或1个140Mbit/s(相当于64×2Mbit/s)的PDH信号。只有当PDH信号是以140Mbit/s的信号复用进STM-1信号的帧时,STM-1信号才能容纳64×2Mbit/s的信息量,但此时它的信号速率是155Mbit/s,速率要高于PDH同样信息容量的E4信号(140Mbit/s),也就是说STM-1所占用的传输频带要大于PDH E4信号的传输频带。
(二)指针调整机理复杂
SDH体制可从高速信号(例如STM-1)中直接下低速信号(例如2Mbit/s),省去了多级复用/解复用过程。而这种功能的实现是通过指针机理来完成的,指针的作用就是时刻指示低速信号的位置,以便在“拆包”时能正确地拆分出所需的低速信号,保证了SDH从高速信号中直接下低速信号的功能的实现。可以说指针是SDH的一大特色。
但是指针功能的实现增加了系统的复杂性。最重要的是使系统产生SDH的一种特有抖动--由指针调整引起的结合抖动。这种抖动多发于网络边界处(SDH/PDH),其频率低、幅度大,会导致低速信号在拆出后性能劣化,这种抖动的滤除会相当困难。
(三)软件的大量使用对系统安全性的影响
SDH的一大特点是OAM的自动化程度高,这也意味着软件在系统中占用相当大的比重,这就使系统很容易受到计算机病毒的侵害,特别是在计算机病毒无处不在的今天。另外,在网络层上人为的错误操作、软件故障,对系统的影响也是致命的。这样,系统的安全性就成了很重要的一个方面。
SDH体制是一种在发展中不断成熟的体制,尽管还有这样那样的缺陷,但它已在传输网的发展中,显露出了强大的生命力,传输网从PDH过渡到SDH是一个不争的事实。
第4篇:网络安全应急响应技术范文
关键词:网络信息安全;应急响应;联动系统
随着互联网对各个领域的渗透,我国的网络安全防护任务越来越重。从20世纪90年代至今网络信息安全可分为4个阶段的发展过程,即通信安全、计算机安全、网络安全、内容安全。在这4个阶段中,前两个发展阶段属于运行安全方面―OPSEC。而对于网络基础设施与信息的保护则称之为物理安全―PHYSEC。随着网络的发展,随后又提出了内容安全―CONTSEC,其目的是为了解决信息利用方面的安全问题。为了应对日益增加的网络安全事件,网络安全对抗必须进一步的细化以及升级。在此背景下,应急响应联动系统的建立尤为重要,因为通过系统的建立,可以提高政府对各种网络安全事件的解决能力,减少和预防网络安全事件造成的损失和危害。因此目前对应急响应及联动系统的基础理论、框架构建、技术操作方面的研究尤为重要。
1 应急响应的基本内容
1.1 应急响应系统的建立
为应对网络安全事件发生,事前准备工作或事后有效措施的实施便是应急响应系统建立的目的。应急响应系统包含5个步骤。
(1)管理。即组织对事情发生前后人员之间的职能划分。
(2)准备。对于各种网络安全事件提前制定的一些应急预案措施。
(3)响应。网络安全事件发生后进行,系统对事件进行安全检测有效防止系统信息进一步遭到破坏,并对已受到破坏的数据进行恢复。
(4)分析。为各种安全事件的应急预案提供调整的依据,提高防御能力。
(5)服务。通过对各种资源的整合为应急响应对计算机运行安全提供更多的有力的保障。
1.2 应急响应系统建立必须遵循的原则
(1)规范化原则。为能保证应急响应系统有效策略的实施,各个组织都应该建立相应的文档描述。任何组织应急响应系统应该有清晰和完全的文档。并有相关的规章条例保证系统的有效运行。组织成员作为应急响应系统的服务者必须遵守相关的条例,也可以写入工作职责来保证系统的有效运行。
(2)动态性原则。信息安全无时无刻不在发生变化,因此各种安全事件的复杂性使得应急响应策略的制定更加具有难度。为了完善应急响应策略就必须注重信息安全的动态性原则,并对策略实时作出相应调整。
(3)信息共享原则。应急响应过程中,系统会提供大量可能与安全事件无关的信息,如果提高应急响应系统中重要信息被发现的可能性,在信息提取过程中,信息共享是应急响应的关键,应该考虑将信息共享的对象与内容进行筛选,交叉分析。
(4)整体性原则。作为一个系统体系应急响应的策略具有整体性、全局性,应该在所有的互联网范中进行安全防护,不放过任何一点的细节,因为一点点的疏漏都会导致全网的瘫痪。整个应急响应策略体系除了要从技术层面考虑问题也要从管理方面着手,因为管理问题而导致的安全事件更为严重。因此,制定管理方法时要投入更多的精力来进行统筹安排,既要完善管理方法,也要注重技术层面。
(5)现实可行性原则。通过判断应急响应策略是否合理性来衡量是否在线上具有可行性。
(6)指导性原则。应急响应系统体系中的策略并非百分之百的解决方案,ψ橹而言,它只是对于处理网络安全事件方法进行一定的指导,而对整个组织工作也只是提供全局性的指导。
2 应急响应系统体系的总体框架
如果对应急响应系统体系进行划分,可以将其划分为两个中心和两个组。
(1)两个中心。应急响应中心与信息共享分析中心。应急响应系统体系的关键是信息共享分析中心。它主要负责的是对中心收集来的各级组织的信息进行交换和共享,并对整个网络作出预警或者事件的跟踪,并对收集来的信息进行整理。而应急响应中心的任务则是对系统体系预案进行管理,通过对信息共享分析中心各种信息安全事件的分类分析并进行应急响应。
(2)两个组。应急管理组及专业应急组。应急组对整个事件进行全局性指导,并协调各个机构,指导各个组织成员对事件进行应急策略的制定。在各类安全事件发生的过程中,应急响应与救援处于一个重要的环节,而专业应急组是环节的关键,是实现信息安全保障的核心。通过应急组的响应迅速使网络系统得到恢复。
3 应急响应的层次
“八方威胁,六面防护,四位一体,应急响应”这句话形容的则是应急响应体系的整个工作过程。
(1)“八方威胁”是指应急响应系统中的网络安全事件。而根据事件的危害程度对其进行编号的话,1类为有害程度最轻的事件,8类则最为严重,俨然一场网络战争。而且一般的安全事件都不是单独发生的,通常许多事件都是紧密联系环环相扣。
(2)“六面防护”防护是指技术层面的防御,主要是风险评估、等级保护、入侵检测、网络监审、事件跟踪和预防6个方面。
(3)“四位一体” 主要是指各个小组的组织保障体系,如应急组、专业组、组织协调机构、专家顾问组。
(4)应急响应。应急响应系统的核心为应急响应的实施功能。应急响应系统通过对网络安全事件的目标进行分类并分析,通过对事件的判断进行事件分级,制定具体的预案或措施,并有通过各个小组进行信息实施,并有技术组对系统进行恢复重建和应急管理,保证目标的信息系统安全。
4 应急响应体系的周期性
通过应急响应系统的工作,分析应急响应联动系统在网络安全事件中可能具有生命周期性。网络安全事件的生命周期从风险分析开始,一般的风险分析包括网络风险评估和资源损失评估等。对风险分析进行正确有效的分析有利于高效率的应急响应。为了这一阶段响应过程的顺利进行,需要制订安全政策以及各种应急响应优先权的各种规定。安全工具与系统、网络配置工具,使网络的安全性与可用性两者之间处于平衡状态。在检测阶段,通过各种手段收集信息,利用系统特征或IDS工具来预测安全事件的发生。之后响应阶段,利用各种手段抑制、消除安全事件并进行有利反击。最后在恢复阶段对受到攻击的对象进行恢复,使其恢复到事件发生之前。网络安全事件的周期性更全面,更实际地概括了应急响应系统的工作过程。
5 应急响应体系的联动性
(1)“六面防护”的联动。 首先由风险评估对网络安全事件作出安全评估并确定其“威胁”等,再由等级保护进行措施制定,对其入侵的主体进行入侵检测确定威胁漏洞所在,再通过网络监审发现安全事件并进行事件跟踪再由事件跟踪对其事件进行分析,并通过预防对响应策略进行调整,并分析防御的有效性。
(2)“四位一体”的联动。联动的主要目的是为了应急响应系统的有效运行,因此应急组、专业组、组织协调机构、专家顾问组之间就要努力做好协调工作。组织协调机构主要负责总体的协调工作,应急组与专家顾问组主要负责对网络安全事件的应急处理工作,同时应急组还承担着对突发的安全事件进行信息收集,分析以及信息上报的工作,并对组织协调机构提出的相关事件的应急预案或者保护措施进行执行的工作。
(3)应急响应的联动。作为应急响应系统的核心,应急响应实施功能通过信息,在应急预案或保护措施实施过程中,对事件的发展情况、处理进程进行全程跟踪。尤其是在事后对事件进行跟踪分析,从而进行恢复重建,排除事件对系统产生的威胁。除了对事件进行全程跟踪外,作为核心,还应对相关的应急资源进行协调,做好应急管理工作。
第5篇:网络安全应急响应技术范文
[关键词] 网络安全 事件 安全对策
随着网络时代的到来,越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。在国家计算机网络应急技术处理协调中心(CNCERT/CC)2005处理的网络安全事件报告中,网页篡改占45.91%,网络仿冒占29%,其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为电子商务的所有参与者十分关心的话题。
一、电子商务中的主要网络安全事件分析
归纳起来,对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等,网页篡改、网络仿冒(Phishing),逐步成为影响电子商务应用与发展的主要威胁。
1.网页篡改
网页篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。
2.网络仿冒(Phishing)
网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号、用户名、密码、社会福利号码等,随后利用骗得的账号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。
网络仿冒者为了逃避相关组织和管理机构的打击,充分利用互联网的开放性,往往会将仿冒网站建立在其他国家,而又利用第三国的邮件服务器来发送欺诈邮件,这样既便是仿冒网站被人举报,但是关闭仿冒网站就比较麻烦,对网络欺诈者的追查就更困难了,这是现在网络仿冒犯罪的主要趋势之一。
3.网络蠕虫
网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其他系统进行传播。蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。
4.拒绝服务攻击(Dos)
拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。拒绝服务攻击是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。
5.特罗伊木马
特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界联接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其他系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。
二、解决电子商务中网络安全问题的对策研究
随着网络应用日益普及和更为复杂,网络安全事件不断出现,电子商务的安全问题日益突出,需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施,才能有效保护电子商务的正常应用与发展。
1.进一步完善法律与政策依据 充分发挥应急响应组织的作用
我国目前对于互联网的相关法律法规还较为欠缺,尤其是互联网这样一个开放和复杂的领域,相对于现实社会,其违法犯罪行为的界定、取证、定位都较为困难。因此,对于影响电子商务发展的基于互联网的各类网络安全事件的违法犯罪行为的立法,需要一个漫长的过程。根据互联网的体系结构和网络安全事件的特点,需要建立健全协调一致,快速反应的各级网络应急体系。要制定有关管理规定,为网络安全事件的有效处理提供法律和政策依据。
互联网应急响应组织是响应并处理公共互联网网络与信息安全事件的组织,在我国,CNCERT/CC是国家级的互联网应急响应组织,目前已经建立起了全国性的应急响应体系;同时,CNCERT/CC还是国际应急响应与安全小组论坛(FIRST,Forum of Incident Response and Security Teams)等国际机构的成员。应急响应组织通过发挥其技术优势,利用其支撑单位,即国内主要网络安全厂商的行业力量,为相关机构提供网络安全的咨询与技术服务,共同提高网络安全水平,能有效减少各类的网络事件的出现;通过聚集相关科研力量,研究相关技术手段,以及如何建立新的电子交易的信任体系,为电子商务等互联网应用的普及和顺利发展提供前瞻性的技术研究方面具有积极意义。
2.从网络安全架构整体上保障电子商务的应用发展
网络安全事件研究中看到,电子商务的网络安全问题不是纯粹的计算机安全问题,从企业的角度出发,应该建立整体的电子商务网络安全架构,结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。
安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,相关人员的安全意识的培训、教育,日常安全管理的具体要求与落实等。
安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护,通常是一些基本的防护,不具有实时性,如在防火墙的规则中实施一条安全策略,禁止所有外部网用户到内部网Web服务器的连接请求,一旦这条规则生效,它就会持续有效,除非我们改变这条规则。这样的保护能预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
安全监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,网络安全不是一成不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向,以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。可以这样说,安全保护是基本,安全监控和审计是其有效的补充,两者的有效结合,才能较好地满足动态安全的需要。
事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时,能及时做出响应,这需要建立一套切实有效、操作性强的响应机制,及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分,因为网络构筑没有绝对的安全,安全事件的发生是不可能完全避免的,当安全事件发生的时候,应该有相应的机制快速反应,以便让管理员及时了解攻击情况,采取相应措施修改安全策略,尽量减少并弥补攻击的损失,防止类似攻击的再次发生。当安全事件发生后,对系统可能会造成不同程度的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制能尽快恢复系统的正常应用,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。
三、结论
Internet的快速发展,使电子商务逐渐进入人们的日常生活,而伴随各类网络安全事件的日益增加与发展,电子商务的安全问题也变得日益突出,建立一个安全、便捷的电子商务应用环境,解决好电子商务应用与发展的网络安全问题必将对保障和促进电子商务的快速发展起到良好的推动作用。
参考文献:
[1]CNCERT/CC.2005年上半年网络安全工作报告
[2]李 卫:计算机网络安全与管理.北京:清华大学出版社,2000
[3]李海泉:计算机网络安全与加密技术.北京:科学出版社,2001
第6篇:网络安全应急响应技术范文
关键词:校园网;网络安全;PDRR
Research on campus network security system based on PDRR
Zhong Caihong(Zhejiang Zhuji technical school,Zhejiang Zhuji 311800)
Abstract:With the development of information technology,the campus network security problems is becoming more and more outstanding.Single solution can't guarantee the network of schools to such a complex network environment security needs.The model of PDRR is the most useful model of network security network architecrure is divided into four parts by this model: protection, detection,response and recovery.This article prepared for network security model based on PDRR,on the basis of constructing the network security system for campus network environment.
Key words:campus network;network security;PDRR
随着时代的发展,Internet的不断普及,网络已经成为信息资源的海洋,给人们带来了极大的方便。但由于Internet是一个开放的、无控制机构的网络,经常会受到黑客、计算机病毒、木马等的侵袭,因此,计算机网络安全问题必须放在首位。
1 校园网网络安全问题分析
校园网具有速度快、规模大,计算机系统管理复杂,随着其应用的深入,校园网络的安全问题也逐渐突出,直接影响着学校各项工作的正常开展。因此,在全面了解校园网的安全现状基础上,合理构建安全体系结构,改善网络应用环境的工作迫在眉睫。当前,校园网络常见的安全隐患有以下几种:⑴计算机系统缺陷。⑵计算机病毒的破坏。⑶来自网络外部的入侵、攻击等恶意破坏行为。⑷校园网用户对网络资源的滥用。⑸非正常途径访问或内部破坏。⑹校园网安全管理有缺陷。
2 构建校园网络安全管理体系模型
根据上述存在的实际情况,一般而言,学校目前普遍采用PDRR模型来构建安全防御体系。因为PDRR网络安全模型简单并且容易实施,不需要考虑网络安全的底层问题,并且对于学校而言 PDRR网络安全模型更加适用。
PDRR模型就是4个英文单词的头字符:Protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复)。这四个部分组成了一个动态的信息安全周期,如图:
安全策略的每一部分包括一组相应的安全措施来实施一定的安全功能。安全策略的第一个战线是防护。根据系统已知的所有安全问题做出防护的措施,如打补丁、访问控制、数据加密等等。安全策略的第二个战线就是检测。攻击者如果穿过了防护系统,检测系统就会检测出来。这个安全战线的功能就是检测出入侵者的身份,包括攻击源、系统损失等。一旦检测出入侵,响应系统开始响应包括事件处理和其他业务。安全策略的最后一个战线就是恢复。在入侵事件发生后,把系统和数据恢复到原来的状态。每次发生入侵事件,防御系统都要更新,保证相同类型的入侵事件不能再发,所以整个安全策略包括防护、检测、响应和恢复,这四个方面组成了一个信息安全周期。
3 基于安全体系的学校网络安全解决方案研究
从严格的意义上来讲,100%的安全网络系统是没有的,网络安全工作是一个循序渐进、不断完善的过程。校园网的安全问题是一个较为复杂的系统工程,根据PDRR模型,全面考虑综合运用防火墙、入侵检测、杀毒软件等多项技术来构建网络安全防范体系。
3.1 定义网络安全防范体系
一般来说,我们将网络受到一次攻击分为三个阶段,攻击前,攻击中,攻击后。攻击前主要要做的工作就是防护,也是PDRR模型中最重要的部分。攻击中主要负责对实时的攻击做出反应,入侵检测系统检测所有经过防火墙进入到内网的数据,综合分析各种信息,分析各种连接,动态的分析出这些攻击,并且立刻做出反应。攻击后主要是恢复系统与数据,并且及时打好补丁,以防下次攻击。根据此规律,结合PDRR模型构建出如图2所示的网络安全防范体系。
3.2 校园网络安全体系的部署与实施方案研究
我们在进行网络的安全解决方案的时候,采用了易操作性、适用性、灵活性、多重保护性、综合性整体性、职权分立等原则。
3.2.1 网络安全隔离策略
提供Internet上网服务是网络所必须提供的服务之一,但是必须制定相关的策略来保证对Internet访问的安全。防火墙是一个保护装置,能有效地实现网络访问控制、身份认证、服务,从而保护内部网的访问安全。作为网络的总出入口,可以设置高性能的硬件防火墙,可以按照服务功能的不同制定特定的策略。作为校园网络中的计算机可以安装天网、瑞星等防火墙软件。
3.2.2 安全漏洞防范策略
安全漏洞扫描技术是一类重要的网络安全技术。通过对网络的扫描,可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级;还可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。网络安全漏洞扫描工具可以采用俄罗斯SSS软件。SSS可以对很大范围内的系统漏洞进行安全、高效、可靠的安全检测,对系统全部扫描之后,SSS可以对收集的信息进行分析,发现系统设置中容易被攻击的地方和可能的错误,得出对发现问题的可能的解决方法。
3.2.3 计算机病毒防范策略
⑴校园网络系统要使用安全策略。
⑵选择合适的防病毒软件,及时更新病毒库。防病毒软件分为两大类:网络版和单机版。
⑶计算机用户要增强网络安全意识。不要轻易使用盗版和存在安全隐患的软件;不轻易浏览一些缺乏可信度的网站;不要随便打开不明来历的电子邮件。
3.2.4 身份认证与访问权限策略
⑴身份认证。身份认证是对通信方进行身份确认来阻止非授权用户进入。常用的身份认证方法有口令认证法。主要是给帐户设置足够复杂的强密码,最好是字母+数字+符号的组合;口令应严格管理,不定期地予以更换。
⑵访问权限。访问权限即每个不同的群组所能访问的网络资源不同。根据访问权限的不同,能访问的相应的资源不同,如普通老师子网的群组不允许访问学校高层子网的资源。
3.2.5 入侵检测及防御策略
入侵检测系统(IDS,Intrusion Detection System)的布置可以分为两个层次,首先为NDIS,主要启用防火墙的IDS模块功能。另外启用HIDS功能及服务器上安装个人防火墙设置。可以为安装MICROSOFT ISA 2006。为了检测有害的入侵者,ISA Server将网络通信以及日志项与熟知的攻击方法进行比较。如发现可疑的行为会触发一组预先设定的措施或者警报。这些措施包括终止链接、终止服务、电子邮件警报、记入日志、以及运行一个选定的程序。
入侵防御系统(IPS,Intrusion Prevention System),可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管事中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。可以在校园网与外部网络的连接部位(入口/出口);重要服务器集群前端;校园网内部接入层部署IPS。至于其它区域,可以根据实际情况与重要程度,酌情部署。
3.2.6 应急响应处理策略
应急响应(Emergency Response)通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。应急响应处理主要包括两个方面:
第一、未雨绸缪,即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意识的培训、以安全通告的方式进行的预警、以及各种防范措施;
第二、亡羊补牢,即在事件发生后采取的措施,其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人,也可能来自系统,发现事件发生后,采取系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
以上两个方面的工作要相互补充。首先,事前的计划和准备为事件发生后的响应动作提供了指导框架,否则,响应动作将陷入混乱,而这些毫无章法的响应动作有可能造成比事件本身更大的损失;其次,事后的响应可能发现事前计划的不足,吸取教训,从而进一步完善安全计划。因此,这两个方面应该形成一种正反馈的机制,逐步强化组织的安全防范体系,建立应急响应预案。
3.2.7 系统恢复策略
如果要想系统和数据能够恢复到受攻击前,那么最重要的就是做好数据备份,包括网络配置(路由表、DNS服务器数据备份)、服务器数据库等数据的备份。如果手动备份工作量太大,现在一般都采用软件来进行备份,可以使用IBM Tivoli Storage Manager 6.1软件。TSM能够为用户提供企业级的存储数据管理解决方案,包括备份、归档、空间管理以及灾难恢复管理等功能。
4 结束语
校园网的安全问题是一个较为复杂的系统工程,需要全方位防范,防范不仅是被动的,更要主动进行。PDRR模型主要强调的是技术方面的,在网络安全日益影响到校园网运行的情况下,更要完善校园网管理制度,对相关的校园网管理人员进行培训,对学生进行网络道德的教育,提高公德意识;安装最新的防病毒软件和病毒防火墙,不断安装软件补丁更新系统漏洞,对重要文件要进行备份,从多个方面进行防范,尽一切可能去制止、减小一切非法的访问和操作,把校园网不安全因素降到最少。
[参考文献]
[1]代建军,揭金良.一种改进的PDRR模型[J].电脑与科学技术,第6期,2003年.
[2]汪宇光.计算机网络应急响应和主要技术[J].电子材料与电子技术评论,第三期,2004年.
[3]张千里,陈光英,编著.网络安全新技术.北京:清华大学出版社,2003.
第7篇:网络安全应急响应技术范文
【 关键词 】 网站;安全;应急;机制
Research About the Information Security Protection and Emergency Response Mechanism
in Anhui Earthquake administration Website
Chen Liang
(Anhui Earthquake Administration HefeiAnhui 230031)
【 Abstract 】 With the increasing application of computers and websites,the safety of websites becomes more and more important. This paper discussed the the website features and potential safety hazard,constructed a integrated website security protection system. Finally,it designed the emergency response mechanism procedure.
【 Keywords 】 website; security; emergency response; mechanism
1 前言
安徽省防震减灾信息网(以下简称“网站”)是安徽省地震局实现政务信息公开,服务社会公众和稳定社会秩序的重要渠道,网站的信息具有高度的权威性和严肃性。而地震行业的敏感及特殊性决定了防震减灾信息网可能遭遇的突发事件庞杂、不可预测,如网站非法言论、感染病毒、网络中断、并发访问堵塞、网站攻击篡改等,其中后两种突发事件造成的社会影响更加恶劣,应对能力的提高是解决问题的关键。
2008年5月12日汶川8.0级强震、2009年4月6日肥东3.5级地震发生后,网站访问量骤然增加,网络堵塞严重,信息部门紧急调配高性能服务器,将门户网站转移以便缓解。之后经联系,省电信部门决定短期援助互联网出口带宽由10M升级至100M。近年来全球地震频发,社会公众关注度逐渐加深,对地震信息的需求越来越高,网站的正常运行和访问、信息的即时都需要应急体系的支撑。
在网络攻击愈演愈烈的大环境下,政府门户网站遭受攻击的几率越来越高。2008年5月31日、6月1日和6月2日,广西防震减灾网被黑客工具多次侵入,网站内容被恶意篡改,服务器全部数据被彻底删除,网站瘫痪。时值汶川震后敏感时期,犯罪分子的地震谣言制造了社会恐慌,严重扰乱了社会秩序,危害了社会稳定。前车之鉴,严峻的现实表明,我局要高度关注网站的安全运行。
随着网站的深入应用,网站的安全性问题也越来越得到人们的重视。国家及各级政府部门相继出台了一系列法律法规、文件精神,从政策角度对网络信息安全进行规范和部署,确保政府网站的安全运行,各行业部门对本行业所可能产生的安全事件及相应的解决措施进行研究,并据此制定了本部门相应的网站信息安全应急预案。2010年1月12日百度公司网站突然无法访问使得网络安全问题引起了社会各界的广泛关注,安徽省信息化主管部门省经济和信息化工作委员会通过此事件清醒地认识到信息安全的极端重要性,已出台《安徽省网络与信息安全事件应急预案》,全力保障我省网络信息安全。
综上所述,为妥善应对和处置各种网站安全突发事件,确保网站和重要信息系统的安全可靠运行,研究网站应急响应机制,在此基础上建立一套行之有效满足安徽省防震减灾信息网网站需求的应急预案是必不可少的措施之一。
2 网站特征及存在的问题
2.1 版块多,更新不易
目前,网站新版本已上线运行。新网站采用PHP脚本语言编写,数据库使用My SQL进行管理。涉及页面数量多,版块块类型丰富,不仅有震情、省局动态、直属单位动态、市县机构动态、行业动态、综合减灾等需每日更新的版块,还包括监测预报、震灾预防、应急救援、群团组织等需定期更新的业务版块。有的信息需从后台直接上传,有的则需要进行网页的编辑更新,丰富的内容需要组织较多人力进行更新。
2.2 部门多,协调不易
网站的管理主要包括网站信息、网站应用程序开发、功能升级、服务器运行和安全维护等工作。一般情况下,日常更新版块由省局及市县各所属部门指定专人通过网站后台上传,办公室进行审核后;定期更新版块由各所属部门提供审核后的信息由局网站技术人员上传。网站应用程序开发、功能升级、服务器运行和安全维护则有局网站技术人员负责。参与网站管理的部门较多,需要完善的网站管理制度来进行管理协调工作。
2.3 内容多,备份不易
随着网站版块的增加和运行时间的延续,网站容量不断加大,不能及时清理的垃圾文件也随之增多。我局网站容量逐年增加,并还将有上涨的趋势。如果今后没有专门的设备和技术,网站的集中备份难度将很大。
2.4 人员多,管理不易
参与网站管理人员不仅包括省局各部门,还包括了大量市县局、台站的工作人员,变化快,网络知识不足,很多管理人员会办公自动化软件的操作,但是普遍缺少网络安全知识和安全技术,安全意识淡薄。
3 可能存在的网站安全隐患
3.1 客观因素
(1)病毒。目前网站安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。
(2)软件漏洞。每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。
(3)黑客。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,危害非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。
3.2 人为因素
(1)安全意识不强。网站管理人员不在岗,用户口令选择不慎,将自己的账号随意转借给他人或与别人共享等都会对网站安全带来威胁。
(2)网站后台配置不当。安全配置不当造成安全漏洞。例如防火墙软件的配置不正确。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置。否则,安全隐患始终存在。
4 网站信息安全防护体系建设
4.1 防护体系设计
中科院刘宝旭等设计了一个基于模型的网络安全综合防护系统(PERR),该模型由防护(Protection)、预警检测(Early warning & Detection)、响应(Response)、恢复(Recovery)四个部分构成一个动态的信息安全周期,同样可以适用于我局网站信息安全的防护与应急工作。
4.2 防护体系建设
4.2.1安全防护中心
网站目前安全防护主要采用硬件防火墙、Webgard软件防火墙、瑞星杀毒、清除木马、360安全卫士及系统安全设置来进行日常的防护。
安全防护中心的主要职能是通过安全产品、技术、制度等手段,达到提高被保护网络信息系统对安全威胁的防御能力和抗攻击能力,同时,加强管理人员对信息系统的安全控管能力。其建设可从安全加固和安全管理两个角度来考虑。通过对网络拓扑结构的调整、系统配置的优化,并部署入侵检测、防病毒、反垃圾邮件、身份认证、数据加密等安全产品和系统进行安全加固;通过制定管理制度进行安全管理,使用安全管理平台等技术手段,统一配置管理系统中的主机、网络设备及安全设备,增强监控能力,使其运转更为协调,最大程度地发挥安全防护效能。
4.2.2安全预警检测中心
网站目前安全检测主要采用IDS(Intrusion Detection Systems )入侵检测、防病毒熊猫网关、防火墙等来进行安全预警检测。
安全预警中心的主要职能:(1)预警,可通过漏洞扫描、网络异常监控、日志分析、问题主机发现等技术手段以及评估、审计等安全服务来实现;(2)检测,可使用入侵检测、病毒检测(防病毒墙)等工具和异常流量、异常网络行为发现等手段和工具。
4.2.3应急响应中心
安全问题发生时需要尽快响应,以阻止攻击行为的进一步破坏。所以需要建立一个完善的的应急响应中心,对安全事件、行为、过程及时做出响应和处理,对可能发生的入侵行为进行限制,杜绝危害的进一步蔓延扩大,最大程度降低其造成的影响,避免出现业务中断等安全事故。
应急响应中心处理的手段包括阻断、隔离、转移、取证、分析、系统恢复、手工加固、跟踪攻击源甚至实施反击等。可通过制定应急响应制度、规范操作流程,并辅以紧急响应工具和服务来实现。
4.2.4灾备恢复中心
网站灾备恢复目前主要采取人工定期备份的方式。灾备恢复中心建设主要通过冗余备份等方式,确保在被保护网络信息系统发生了意想不到的安全事故之后,被破坏的业务系统和关键数据能够迅速得到恢复,从而达到降低网络信息系统遭受灾难性破坏的风险的目的。备份包括本地、异地、冷备、热备等多种方式,按照不同备份策略,利用不同设备和技术手段来实现。
5 应急预案规划设计
5.1 应急队伍建设
组建一支专业化程度较高、技术一流的信息安全技术服务队伍是网站信息安全应急预案规划设计的人员保障。为保证应急情况下应急机制的迅速启动和指挥顺畅,应急组织应设立领导组和技术组。
领导组主要职责包括:(1)研究布置应急行动有关具体事宜;(2)应急行动期间的总体组织指挥;(3)向上级汇报应急行动的进展情况和向有关部门通报相关情况;(4)负责与有关部门进行重大事项的工作协调;(5)负责应急行动其它的有关组织领导工作。
技术组主要职责包括:(1)执行领导组下达的应急指令;(2)负责应急行动物资器材的准备;(3)负责处理现场一切故障现象;(4)随时向领导小组汇报应急工作的进展情况;(5)负责联系相关厂商和技术人员,获取技术支持。
5.2 应急标准
研究网站安全隐患,结合我局网站管理现状,确立应急标准:(1)网站、网页出现非法言论;(2)黑客攻击、网页被篡改;(3)突发事件发生后大量并发访问;(4)软件系统遭受破坏性攻击;(5)设备安全故障;(6)数据库安全受侵害;(7)感染病毒。
5.3 应急流程图设计
如图2所示。
6 结束语
网站信息安全防护与应急是一项综合性和专业化程度较高的安全技术服务措施,制度建设是基础,队伍建设是保证,技术手段是根本。网站安全隐患和安全时间是所有网站管理人员不想遇到但又不可避免的事件,只有通过加强日常的管理和维护,不断完善防护与应急机制,提高技术水平和工作的责任心,才可以有效抑制网站安全事件的发生,保障网站的安全正常运行。
参考文献
[1] 刘宝旭,陈秦伟,池亚平等.基于模型的网络安全综合防护系统研究[J].计算机工程,2007,33(12):151~153.
[2] 张帆,刘智.网站安全事件的应急响应措施讨论[J].黄石理工学院学报,2008,24(2):38~40.
[3] 陈胜权.基于USB Key的政府门户网站保护方案[J].信息安全与通信保密,2007(11):36~39.
[4] 张薇.论政府门户网站安全保障体系建设[J].黑龙江科技信息,2008年(21):66~66.
[5] 刘少英.防病毒策略在政府门户网站中的应用[J].网络安全技术与应用,2003(5):20.
[6] 杨莉.政府网站的安全性问题研究[J].科技管理研究,2001(6):77~79.
[7] 曹飒.信息整合是地震政务网站建设的基础和关键[J].国际地震动态,2008,1(1):34~38.
[8] 陈锦华.计算机网络应急响应研究[J].计算机安全,2007(12):50~52.
基金项目:
安徽省地震局2010年科研合同制课题项目(201041)。
第8篇:网络安全应急响应技术范文
站被黑客篡改,发现近48万个木马控制端IP中,22.1万个位于境外,前两位分别是美国(占14.7%)、印度(占8.0%);13782个僵尸网络控制端IP中,6531个位于境外,前三位分别是美国(占21.7%)、印度(占7.2%)和土耳其(占5.7%)。
中国已打响跨境网络安全战役。近日,国家互联网应急中心组织电信运营企业及域名服务机构,开展木马和僵尸网络专项处置行动,清理了多个恶意域名。此外,国际网络安全合作也在进一步加强,以应对快速增长的跨境网络攻击事件。
严重威胁网络安全
境外攻击愈演愈烈
“仅仅是因为好奇打开了一封英文邮件,没想到电脑瞬间蓝屏,强制关机后重启,却发现硬盘里的资料丢失了一大半,许多重要的客户资料都没了。”一封邮件让境外蠕虫病毒顺利“入侵”电脑,这让在北京从事银行业的徐女士至今后悔不已,“都怪自己当时太鲁莽,辛苦整理大半年的资料全泡汤了。”不单病毒入侵,恶性扫描、网络钓鱼等跨境网络攻击事件,每天都在互联网世界上演,严重威胁着网络安全。
据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2010年在中国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册。
网络钓鱼又称网页仿冒,其主要仿冒对象是大型电子商务、金融机构、第三方在线支付网站,黑客通过仿冒这些网站或伪造购物网站诱使用户登录和交易,窃取用户账号密码,造成用户经济损失。
今年7月,国家互联网应急中心自主监测发现的仿冒境内银行的网站域名多达278个,且多为境外注册。数据还显示,由于非法收益较高,自2011年1月起,银行类“钓鱼网站”进入急速攀升阶段,截至2011年7月底,已经连续7个月呈现同比暴增趋势。
共同打击网络犯罪
国际合作对抗“入侵”
跨境网络安全事件的急剧增长,使国际合作打击网络犯罪成为大势所趋。
“感谢中国国家互联网应急中心在打击僵尸网络中采取的迅速而果断的行动,期待将来开展更紧密的合作。”就在去年,我国网络安全应急组织与美国某公司以及欧美一些网络安全机构联手,成功打击了一个名叫Waledac的全球大型僵尸网络。行动成功后,该公司向国家互联网应急中心发来了感谢信。
僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被用来发起大规模的网络攻击。据统计,Waledac僵尸网络控制着全球数十万台计算机,每天都能发出超过15亿封垃圾邮件。国家互联网应急中心在进行技术验证后,马上协调国内相关域名注册机构,在数小时内就关闭了微软提供的僵尸网络所使用的全部16个恶意域名。
作为国际权威组织“事件响应与安全组织论坛”的正式成员,国家互联网应急中心一直积极进行国际交流与合作,并参与了很多国际网络安全合作活动。
此外,我国互联网协会网络安全工作委员会还与美国知名智库――东西方研究所开展了中美网络安全对话机制,与国外应急组织、安全厂商和其他相关组织也建立了互信、畅通的合作渠道。接到国外网络安全组织投诉后,只要验证核实,国家互联网应急中心就会协调域名注册机构暂停被举报仿冒域名的解析服务。
应对日益严峻挑战
科技构筑安全屏障
事实上,由于各国网络犯罪相关法律存在较大差异,在短期内很难建立国际通行或相对统一的实体法和程序法,这导致跨境网络攻击在全球范围内都成为一个日益突出的问题。
此外,有业内专家指出,我国网络安全还存在着银行网络脆弱、安全产品匮乏以及电信部门网络安全意识不足等问题,都给境外网络黑客以更多的可乘之机。
急剧增长的跨境网络攻击事件也让我国的网络安全工作面临着更加严峻的挑战。实现网络信息安全,相关国家应该建立起合作协查机制,预防大规模网络攻击事件的发生,并协力追踪网络黑客的来源。此外,我国也应加强网络安全新技术的应用和人员间的交流互动,以提高打击网络犯罪的成效。
我国在网络安全漏洞的发现和研究方面,与发达国家也存在较大差距,至今还没有系统化的安全漏洞发现与分析能力。在网络监测技术方面,我国还有很大的完善空间,需要各方的共同努力。
链 接
网络安全威胁新特点
移动终端安全问题越来越不容忽视。
智能手机被恶意软件侵袭的事件不绝于耳。
越来越多专门针对移动终端的恶意软件开始出现,恶意订购、窃取隐私等威胁移动终端安全的恶意产品层出不穷。
传统恶意软件仍将是感染互联网上计算机的主要途径。
目前,全球每天新出现约55000个恶意软件,这种指数增长模式贯穿2010年,而且会一直继续下去。
第9篇:网络安全应急响应技术范文
【 关键词 】 指挥信息系统;AP2DR2;安全防护体系;安全管理
Research on The Security Protection Architecture of C4ISR System Based On AP2DR2
Wu Si-gen
(Jiangsu Automation Research Institute JaingsuLianyungang 222006)
【 Abstract 】 This paper firstly introduced the concepts and features of C4ISR System security protection,and then analyzed how to implementate network security in terms of network security strategy and technology.The C4ISR System security protection architecture based on AP2DR2 model is proposed,and disserated the AP2DD2 model is a multilevel and all-wave dynamic defense system.The C4ISR System security protection architecture transforms statics,passive to dynamic,initiative.The security protection architecture ensures effectually the information security of C4ISR System
【 Keywords 】 C4ISR system; AP2DR2; security protection architecture; security management
0 引言
在信息化战争中,指挥信息系统将整个作战空间构成一体化的网络,实现了作战指挥自动化、侦察情报实时化和战场控制数字化,大大提高了军队的作战能力。但是,网络系统特别是无线网络的互连性和开发性不可避免地带来了脆弱性问题,使其容易受到攻击、窃取和利用。在军事斗争中,摧毁和破坏对方的军用信息网络系统,成功地窃取和利用对方的军事信息,就会使其联络中断、指挥控制失灵、协同失调,从而夺取战场信息的控制权,大大削弱对方军队的作战能力。随着战场侦察监视系统日趋完善,大量精确制导武器和电子武器、信息武器将广泛投入作战运用,指挥信息系统安全面临严重威胁。确保指挥信息系统信息安全已经是一件刻不容缓的大事,因此,研究指挥信息系统安全防护体系具有十分重要的战略意义。
1 指挥信息系统安全防护的基本概念和特点
指挥信息系统信息安全是在指挥机构的统一领导下,运用各种技术手段和防护力量,为保护指挥信息系统中各类信息的保密、完整、可用、可控,防止被敌方破坏和利用,而采取的各种措施和进行的相关活动。随着军队建设和未来战争对信息的依赖程度越来越高,指挥信息系统信息安全问题日益突出。
近50年来,信息系统安全经历了通信保密、信息安全和信息保障几个几个重要的发展阶段。图1给出了从通信保密到信息保障的概念发展示意。
通信保密指的是信息在处理、存储、传输和还原的整个过程中通过密码进行保护的技术。它以确保传输信息的机密性和完整性,防止敌方从截获的信号中读取有用信息为目的。通信保密技术经历了从简单到复杂、从早期的单机保密到进入网络时代后的通信网络保密的发展过程。直到现在,加密保护仍是军事通信系统重要防护手段。通信保密的核心是确保信息在传输过程中的机密性。
随着网络技术的发展,信息系统的安全提上了日程,“保密”的概念逐渐从早期的通信保密发展到适应于保护信息系统的信息安全。保密性、完整性、认证性、抵抗赖性以及可用性和可控性成为信息安全的主要内容。其中保密性仍然是信息安全中最重要的特性。随着网络攻防斗争的日趋激烈,信息安全在信息系统中的地位不断提升。信息安全的基本目标是保护信息资源的归属性和完整性,维护信息设备和系统的正常运转,维护正常应用的行为活动。信息的保密性、完整性、可用性、可识别性、可控性和不可抵赖性成为信息安全的主要内容。
“信息保障”首次出现在美国国防部(DOD)1996年12月6日颁布的官方文件DODDirective S-3600.1:Information Operation中[3]。这些文件把“信息保障”定义为“通过确保系统的信息作战行动,包括综合利用保护、探测和反应能力以恢复系统”。信息保障特别是将保障信息安全所必需的“保护(Protection)”、“检测(Detection)”、“响应(Response)”和“恢复(Restoration)”(PDRR)视为信息安全的四个联动的动态环节,从而安全管理工作在一个大的框架下,能够针对薄弱环节,有的放矢,有效防范,围绕安全策略的具体需求有序地组织在一起,架构一个动态的安全防范体系。
信息化条件下,指挥信息系统的安全防护具有几个特点。
1)防护范围广阔。当前,指挥信息系统已经延伸至陆、海、空、天多维空间。横向上,除了传统的情报侦察、通信、指挥控制等领域外,在武器控制、导航定位、战场监控等领域也得到了广泛运用。纵向上,指挥信息系统已经将上至战略指挥机构下至每一个技术单位和作战单元甚至单兵联成一体。从信息安全防护角度看,信息空间的每一个局部、节点都可以成为信息攻击的目标,并进而影响整个系统的信息安全。
2)防护措施综合。未来信息化战争中指挥信息系统信息安全将面临着火力打击、电子侦察、电磁干扰、病毒破坏、网络渗透等越来越多的“硬杀伤”和“软杀伤”威胁,为了确保指挥信息系统信息安全,仅靠某一手段和方法难以到达目的,而必须采取综合一体的防护措施。从安全技术运用来看,除了需要运用传统的防电磁泄漏和信息加密技术外,还必须综合运用防病毒、防火墙、身份识别、访问控制、审计、入侵检验、备份与应急恢复技术;从信息安全管理角度上看,既要重视发挥各种信息安全防护技术手段等“硬件”的作用,又要重视加强对各类信息的安全管理,提高指挥信息系统各类使用和维护人员的信息安全意识和能力,发挥好“软件”的作用。
3)攻防对抗激烈。指挥信息系统是各类军事信息的集散地和信息处理中心,针对其进行的信息攻击,可以到达牵一发而动全身的效果,并且其行动代价小,易于实现,具有较强的可控性。现在和未来军事斗争的需要必将推动以指挥信息系统为目标的信息斗争进一步发展,无论是战时还是平时,在指挥信息系统对抗方面的斗争将更加复杂、激烈。
2 基于AP2DR2模型的安全防护体系
指挥信息系统安全防护体系主要防止指挥信息系统的软、硬件资源受到破坏、信息失泄(窃)或遭受攻击,采取物理、逻辑以及行为管理的方法与措施,以保证指挥信息系统进行可靠运行与数据存储、处理的安全;防止敌对国家利用信息技术对本国的国防信息系统进行窃取、攻击、破坏,包括防止对方利用信息技术窃取国防情报、垄断信息技术、攻击和破坏国防信息系统、夺取战场上的制信息权等。指挥信息系统安全防护体系强调实施多层次防御,在整个信息基础设施的所有层面上实施安全政策、步骤、技术和机制,使得攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。
针对指挥信息系统安全防护,本文提出的AP2DR2(Analysis Policy Protection Detection Response Recovery,简称AP2DR2)动态安全模型是由分析(A)、策略(P)、防护(P)、检测(D)、响应(R)、恢复(R)等要素构成,以人、策略、技术、管理为核心,在技术上围绕风险分析、防护、检测、响应、恢复这五个安全环节,即人要依据政策和策略,运用相应的技术来实施有效的部署和管理,从而实现整体指挥信息系统安全防护。如图2所示。
该模型在整体的安全分析和安全策略的指导下,在综合运用各种防护技术(如加密、防火墙、防病毒、身份认证、安全管理技术等)的同时,利用实时检测技术(如入侵检测、漏洞扫描、审计机制等)了解和评估系统的安全状态,通过实时响应和系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的动态防御的安全体系。AP2DR2动态安全模型重视系统级的整体安全,强调“人、技术和运作”三大因素的相互作用,在指挥信息系统的生命周期内,从技术、管理、过程和人员等方面提出系统的安全需求,指定系统的安全策略,配置合适的安全机制和安全产品,最后对系统的安全防护能力进行评估。防护、监测、响应和灾难恢复组成了一个完整的、动态的安全循环,共同构造一个指挥信息系统网络安全环境。
1) 风险分析
安全是指挥信息系统正常运行的前提,指挥信息系统的安全不单是单点的安全,而是整个指挥信息系统网络的安全,需要从多角度进行立体防护。要防护,就要清楚安全风险来源于何处,这就需要对网络安全进行风险分析,搞清楚指挥信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响。风险分析是信息安全管理的基础,目的是通过合理的步骤,以防止所有对网络安全构成威胁的事件发生。很多风险不是因为技术原因,而是由于管理原因带来的,所以要在掌握指挥信息系统安全测试及风险评估技术的基础上,建立基于管理和技术的面向等级保护的、完整的测评流程及风险评估体系,最后根据风险分析结果,制定安全策略。这是实施指挥信息系统安全建设必须最先解决的问题。
2) 安全策略
安全策略是一系列政策的集合,用来规范对组织资源的管理、保护以及分配,以达到最终安全的目的。安全策略的设计主要是为了防止发生错误行为并确保管理控制能够保持一种良好的状态。指挥信息系统安全策略涵盖面很多,一个信息网络的总体安全策略,可以概括为“实体可信,行为可控,资源可管,事件可查,运行可靠”。安全策略是指挥信息系统防护重要的依据,要掌握海量数据的加密存储和检索技术,保障存储数据的可靠性、机密性和安全访问能力。
3) 系统防护
指挥信息系统安全需要从物理、网络、系统、应用和管理等方面进行多层次的防护。系统防护是进入网络的一个门户,它根据系统可能出现的安全问题采取的一系列技术与管理的预防措施,实行主动实时的防护战略。防护可以预防一些被入侵检测系统漏掉而又企图非授权访问的行为。通过态势感知、风险评估、安全检测等手段对当前网络安全态势进行判断,并依据判断结果实施网络防御的主动安全防护体系的实现方法与技术。通过态势判断,进行系统的实时调整,主动地做出决策,而不是亡羊补牢,事后做决策。
4) 实时检测
实时检测主要包括入侵检测、漏洞扫描、防病毒、日志与审计等,其中最为核心的是入侵检测。入侵检测是通过对行为、安全日志、审计数据进行分析检测,从中发现违反系统安全策略的行为和遭受攻击的迹象,利用主动或被动响应机制对入侵作出反应。入侵检测系统将网络上传输的数据实时捕获下来,检查是否有入侵或可疑活动的发生,一旦发现有入侵或可疑活动的发生,系统将做出实时报警响应。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测最能体现整个模型的动态性,是支持应急响应体系建设的基本要素。
5) 实时响应
实时响应就是对指挥信息系统网络的异常情况做出快速积极的反应。在安全策略指导下,强调以入侵检测为核心的安全防御体系,发现并及时截断入侵、杜绝可疑后门和漏洞,并启动相关报警信息。入侵检测与防火墙、漏洞扫描系统、防病毒系统、网络管理系统等安全产品均应实现联动,这些联动本身就是应急响应的一个组成部分,使得以前相互独立、需要在不同的时间段内完成的入侵检测和应急响应两个阶段有机地融为一体。要掌握有效的恶意代码防范与反击策略,一旦发现恶意代码之后,要迅速提出针对这个恶意代码的遏制手段,要进一步掌握蠕虫、病毒、木马、僵尸网络、垃圾等恶意代码的控制机理,要提供国家层面的网络安全事件应急响应支撑技术。
6) 灾难恢复
最基本的灾难恢复当然是利用备份技术,对数据进行备份是为了保证数据的一致性和完整性,消除系统使用者和操作者的后顾之忧。其最终目标是业务运作能够恢复到正常的、未破坏之前的状态。从防护技术来看,容错设计、数据备份和恢复是保护数据的最后手段。在多种备份机制的基础上,启用应急响应恢复机制实现指挥信息系统的瞬时还原,进行现场恢复及攻击行为的再现,供研究和取证。灾难恢复大大提高了指挥信息系统的可靠性和可用性。
3 结束语
信息化条件下的现代战争中,对指挥信息系统的安全防护是赢得信息优势的基础和重要保障。针对指挥信息系统信息面临的安全威胁,本文提出一种基于AP2DR2模型的指挥信息系统信息安全防护体系,即严密的安全风险分析、正确的安全策略、主动实时的防护和检测、快速积极的响应、及时可靠的恢复,是一个闭环控制、主动防御的、动态的、有效的安全防护体系,保障了指挥信息系统网络的安全。
参考文献
[1] 曹雷等. 指挥信息系统[M]. 北京:国防工业出版社,2012.
[2] 苏锦海,张传富. 指挥信息系统[M]. 北京:电子工业出版社,2010.
[3] 童志鹏. 综合电子信息系统[M]. 北京:国防工业出版社,2010.
[4] 邢启江. 信息时代网络安全体系的建设与管理[J]. 计算机安全,2006,(10):41-43.
[5] 牛自敏. 网络安全体系及其发展趋势综述[J]. 科技广场,2009,11:230-232.
[6] 石志国等. 计算机网络安全教程[M]. 北京:清华大学出版社,2007.
