网络安全事件定义精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全事件定义主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全事件定义范文

（一）网络安全事件流中主机的异常检测所引发的安全事件。

主机异常所带来的危害包括：计算机病毒、蠕虫、特洛伊木马、破解密码、未经授权进行文件访问等情况，导致电脑死机或文件泄露等危害。

（二）主机异常检测的原理及指标确定。

当前，随着科技的不断发展，主机可以自主进行检测，同时及时、准确地对问题进行处理。如果内部文件出现变化时，主机自行将新记录的内容同原始数据进行比较，查询是否符合标准，如果答案为否定，则立刻向管理人员发出警报。

（三）主机异常检测的优点。

1.检测特定的活动。主机的异常检测可以对用户的访问活动进行检测，其中包含对文件的访问，对文件的转变，建立新文件等。

2.可以检测出网络异常检测中查询不出的问题。主机的异常检测可以查询出网络异常检测所查询不出的问题，例如：主服务器键盘的问题就未经过网络，从而躲避了网络异常检测，但却可被主机异常检测所发现。

（四）主机异常检测的缺点。

主机异常检测不能全面提供实时反应，尽管其反应速度也非常快捷，接近实时，但从操作系统的记录到判断结果之间会存在一定的延时情况。

二、网络安全事件流中漏洞的异常检测

（一）网络安全事件流中漏洞的异常所引发的安全事件。

网络中的操纵系统存在一定的漏洞，这就给不法人员造就了机会。漏洞检测技术产生的安全事件包含：对文件的更改、数据库、注册号等的破坏、系统崩溃等问题。

（二）漏洞异常检测的方法及指标确定。

漏洞的检测方法可以归纳为：白盒检测、黑盒检测及灰盒检测三种。白盒检测在获取软件代码下进行那个检测；黑盒检测在无法获取软件代码，只利用输出的结果进行检测；灰盒检测则介于两种检测方法之间，利用RE转化二进制代码为人们可以利用的文件，管理人员可以通过找寻指令的入口点发现漏洞的位置。

（三）漏洞异常检测的优缺点。

第2篇：网络安全事件定义范文

关键词：网络安全；评价系统；设计；实现

一、网络安全态势感知

态势感知（Situation Awareness）这一概念源于航天飞行的人因（Human Factors）研究，此后在军事战场、核反应控制、空中交通监管（Air Traffic Control，ATC）以及医疗应急调度等领域被广泛地研究。Endsley在1995年把态势感知（Situation Awareness）定义为感知在一定的时间和空间环境中的元素，包括它们现在的状况和它们未来的发展趋势。Endsleys把态势感知分成3个层次（如图1所示）的信息处理：（1）要素获取：感知和获取环境中的重要线索或元素，这是态势感知最基础的一步；（2）理解：整合感知到的数据和信息，分析其相关性；（3）预测：基于对环境信息的感知和理解，预测未来的发展趋势，这是态势感知中最高层次的要求。

图1态势感知的三级模型

而网络态势感知则源于空中交通监管（Air Traffic Control，ATC）态势感知（Mogford R H,1997），是一个比较新的概念，并且在这方面开展研究的个人和机构也相对较少。1999年，Tim Bass首次提出了网络态势感知（Cyberspace Situation Awareness）这个概念（Bass T, 2000），并对网络态势感知与ATC态势感知进行了类比，旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去。目前，对网络态势感知还未能给出统一的、全面的定义。IATF网站中提出，所谓的网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。值得注意的是，态势是一种状态，一种趋势，是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。因此，网络态势感知是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。

图2网络安全态势感知系统框架

基于态势感知的三级模型，谭小彬等（2008）提出了一种网络安全态势感知系统的设计框架，如图2所示。该系统首先通过多传感器采集网络系统的各种信息，然后通过精确的数学模型刻画网络系统的当前的安全态势值及其变化趋势。此外，该系统还给出针对当前状态的网络系统的安全加方案，加固方案指导用户减少威胁和修复脆弱性，从而提高系统的安全态势。此外该系统还给出针对当前状态的网络系统的安全加固方案，加固方案指导用户减少威胁和修复脆弱性，从而提高网络系统的安全态势。

二、网络信息系统安全测试评估支撑平台

网络信息系统安全测试评估支撑平台由管理控制、资产识别、在线测试、安全事件验证、渗透测试、恶意代码检测、脆弱性检测和安全态势评估与预测等八个子系统组成，如图3所示。各子系统采用松耦合结构，以数据交互作为联系方式，能够独立进行测试或评估。

图3支撑平台的组成

三、网络安全评估系统的实现

网络安全评估系统由六个子系统组成，其中一个管理控制子系统,一个态势评估与预测子系统，其他都是各种测试子系统。由于网络安全评估是本文的重点，所以本章主要介绍态势评估与预测子系统的实现，其他子系统的实现在本文不作介绍。

3.1风险评估中的关键技术

在风险评估模块中，风险值将采用两种模型计算，分别是矩阵模型和加权模型：

（1）矩阵模型。

该模型是GB/T 20984《信息安全风险评估规范》中提出的一种模型，采用该模型主要是为了方便以往使用其它风险评估系统的用户，使他们能够很快地习惯本评估系统。矩阵模型主要由三步组成，首先通过安全事件可能性矩阵计算安全事件的可能性，该步以威胁发生的可能性和脆弱性严重程度作为输入，在安全事件可能性矩阵直接查找对应的安全事件的可能性,然后将结果映射到5个等级。

（2）加权模型。

基于加权的风险评估模型在总体框架和基本思路上，与GB/T20984所提出的典型风险评估模型一致，不同之处主要在于对安全事件作用在风险评估中的处理，通过引入加权，进而明确渗透测试和安全事件验证在风险评估中的定性和定量分析作用。该模型认为，已发生的安全事件和证明能够发生的安全事件，在风险评估中的作用应该得到加强。其原理如图4所示。

图4加权模型

3.2态势评估中的关键技术

态势评估中采用多层次多角度的网络安全风险评估方法作为设计理念，向用户展现了多个层次、多个角度的态势评估。在角度上体现为专题角度、要素角度和综合角度，通过专题角度，用户可以深入了解威胁、脆弱性和资产的所有信息；通过要素角度，用户可以了解保密性、完整性和可用性这三个安全要素方面的态势情况；通过综合角度用户可以了解系统的综合态势情况。在层次上体现为对威胁、脆弱性和资产的不同层次的划分，通过总体层次，用户可以了解所有威胁、脆弱性和资产的态势情况；通过类型层次，用户可以了解不同威胁类型、脆弱性类型和资产类型的态势情况；通过细微层次，用户可以了解每一个威胁、脆弱性和资产的态势情况。

对于态势值的计算，参考了风险值计算的原理，并在此基础上加入了Markov博弈分析，使得态势值的计算更加入微，有关Markov博弈分析的理论在第3章中作了详细介绍。通过Markov博弈分析的理论，可以计算出每一个威胁给系统态势带来的影响，但系统中往往有许多的威胁，所有我们需要对所有的威胁带来的影响做出处理，而不能将他们带来的影响简单地相加，否则2个中等级的威胁对态势的影响将大于一个高等级的威胁对态势的影响，这是不合理的。在本系统中，我们采用了如下公式来对它们进行处理。

其中S为系统的总体态势值，为第个威胁造成的态势值，为系统中所有的威胁集合。

结语

网络系统安全评估是一个年轻的研究课题，特别是其中的网络态势评估，现在才刚刚起步，本文对风险评估和态势评估中的关键技术进行了研究，取得了一定的研究成果，但仍存在一些待完善的工作。网络安全态势评估中，对与安全态势值没有一个统一的标准，普通用户将很难对安全态势值 有一个直观的认识，只能通过多次态势评估的结果比较，了解网络安全态势的走向。在本系统的态势评估中仅对安全态势值作了一个简单的等级映射，该部分还需要进一步完善。

第3篇：网络安全事件定义范文

关键词：技术；管理；内网安全

引言

网络没有绝对的安全。只有相对的安全，这与互联网设计本身有一定关系。现在我们能做的只是尽最大的努力，使网络相对安全。在已经发生的网络安全事件中，有超过70％是发生在内网上的，内网资源的误用、滥用和恶用，是内网面临的最大的三大威胁。随着网络技术的不断发展。内网安全将面临着前所未有的挑战。

一、网络安全含义

网络安全的定义为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。我们可以理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。

二、内外网络安全的区别

建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。而常规安全防御理念往往局限于网关级别、网络边界等方面的防御。随着越来越多安全事件由内网引发，内网安全也成了大家关注的焦点。

外网安全主要防范外部入侵或者外部非法流量访问，技术上也以防火墙、入侵检测等防御角度出发的技术为主。内网在安全管理上比外网要细得多。同时技术上内网安全通常采用的是加固技术，比如设置访问控制、身份管理等。

三、内网安全技术防范措施

内网安全首先应采用技术方法，有效保护内网核心业务的安全。

1　关掉无用的网络服务器，建立可靠的无线访问。

2　限制VPN的访问，为合作网络建立内网型的边界防护。

3　在边界展开黑客防护措施，建立并加强内网防范策略。

4　建立安全过客访问，重点保护重要资源。

另外在技术上采用安全交换机、重要数据的备份、使用网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等措施也不可缺少。

四、内网安全管理措施

内网安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。而内网90％以上的组成为客户端，所以对客户端的管理当之无愧地成为内网安全的重中之重，目前内网客户端存在的问题主要包括以下几点：

1　非法外联问题

通常情况下，内网(Intranet)和外网(Internet)之间有防火墙、防病毒墙等安全设备保障内网的安全性。但若内部人员使用拨号、宽带等方式接入外网，使内网与外网间开出新的连接通道，外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障，顺利侵入非法外联的计算机，盗窃内网的敏感信息和机密数据，甚至利用该机作为跳板，攻击、传染内网的重要服务器，导致整个内网工作瘫痪。

2　使用软件违规问题

内部人员在计算机上安装使用盗版软件，不但引入了潜在的安全漏洞，降低了计算机系统的安全系数，还有可能惹来知识产权的麻烦。有些内部人员出于好奇心或者恶意破坏的目的，在内部计算机上安装使用黑客软件，从内部发起攻击。还有些内部人员安全意识淡薄，不安装指定的防毒软件等。这些行为都对内网安全构成了极大的威胁。

3　计算机外部设备管理

如果不加限制地让内部人员在内网计算机上安装、使用可移动的存储设备如光驱、USB接口的闪盘、移动硬盘、数码相机等。将会通过移动存储介质间接地与外网进行数据交换，导致病毒的传入或者敏感信息、机密数据的传播与泄漏。

建立可控、可信内部网络，管理好客户端，我们必须从以下几方面着手：

1　完善规章制度

因为管理的制度化程度极大地影响着整个网络信息系统的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很大程度上降低其它层次的安全漏洞。

2　建立适用的资产、信息管理

对接入内网的计算机的用户信息进行登记注册。在发生安全事件时能够以最快速度定位到具体的用户，对于未进行登记注册的将其隔离；收集客户端与安全相关的一些系统信息，包括：操作系统版本、操作系统补丁、软硬件变动等信息，同时针对这些收集的信息进行统计和分析，了解内网安全状况。

3　加强客户端进程、设备的有效管理

对搜集来的计算机软、硬件信息，形成内网计算机的软件资产报表，从而使管理员了解各计算机软、硬件及变化信息。及时发现安全隐患并予以解决。同时，配置软件运行预案，指定内网计算机必须运行的软件和禁止运行的软件，从而对计算机的软件运行情况进行检查，对未运行必须软件的情况发出报警，终止已运行的禁用软件的进程。

第4篇：网络安全事件定义范文

当前移动互联网、大数据及云技术等更新进程不断加快，数据量成指数级增长，人们对于大数据时代下网络安全的相关问题也越来越关注。信息技术创新发展伴随的安全威胁与传统安全问题相互交织，使得网络空间安全问题日益复杂隐蔽，面临的网络安全风险不断加大，各种网络攻击事件层出不穷。2016年，我国互联网网络安全状况总体平稳，未出现影响互联网正常运行的重大网络安全事件，但移动互联网恶意程序数量持续高速上涨且具有明显趋利性；来自境外的针对我国境内的网站攻击事件频繁发生；联网智能设备被恶意控制，并用于发起大流量分布式拒绝服务攻击的现象更加严重；网站数据和个人信息泄露带来的危害不断扩大；欺诈勒索软件在互联网上肆虐；具有国家背景黑客组织发动的高级持续性威胁（APT）攻击事件直接威胁了国家安全和稳定。由于大数据网络安全攻击事件仍呈高发态势，而且内容多又复杂，利用大数据分析技术特有的特点，为大规模网络安全事件监测分析提供计算支撑力量，并且对海量的基础数据进行深度挖掘及分析处理，及时监测发现网络安全事件，实现对整体网络安全态势的感知。

二、大数据基本概述及分析技术

（一）大数据基本概述

随着信息技术全面融入社会生活，整个世界的信息量正在不断增多，而且增长的速度也在不断加快。所谓的大数据是指无法在一定时间范围内用常规软件工具进行获取、存储、管理和处理分析的数据集合，是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。大数据的规模之大，其在获取、存储、分析等方面已经远远超出传统软件工具能力范围，业界通常用4个V(即Volume、Variety、Value、Velocity)来概括大数据的特征，分别是大量化，多样化，快速化，价值密度低。

（二）HadoopMapReduce大数据技术

Hadoop除了提供为大家所共识的HDFS分布式数据存储功能之外，还提供了叫做MapReduce的数据处理功能。HadoopMapReduce是一种编程模型，用于大规模数据集（大于1TB）的并行运算。概念"Map（映射）"和"Reduce（归约）"，其来源于函数式编程语言或者矢量编程语言里的特性。Mapreduce是一个计算框架，其表现形式就是具有一个输入（input），mapreduce操作这个输入（input），通过本身定义好的计算模型，得到一个输出（output），这个输出就是最终需要的结果，计算模型如下图所示：

（三）Spark大数据分析技术

Spark是一个基于内存计算的开源的集群(分布式）计算系统，Spark非常小巧玲珑，由加州伯克利大学AMP实验室的Matei为主的小团队所开发。使用的语言是Scala，项目的core部分的代码只有63个Scala文件，非常短小精悍。由于是基于内存计算，效率要高于拥有Hadoop，Job中间输出和结果可以保存在内存中，从而不再需要读写HDFS，节省了磁盘IO耗时，号称性能比Hadoop快100倍。Spark是继HadoopMap-Reduce之后新兴的基于内存的大数据计算框架，相对于HadoopMapReduce来说，Spark具有一定的优势。一是计算速度快。大数据处理首先追求的是速度。官方指出“Spark允许Hadoop集群中的应用程序在内存中以100倍的速度运行，即使在磁盘上运行也能快10倍”。二是应用灵活。Spark在简单的Map及Reduce操作之外，还支持SQL查询、流式查询及复杂查询，比如开箱即用的机器学习算法。同时，用户可以在同一个工作流中无缝地搭配这些能力，应用十分灵活。三是兼容性好。Spark可以独立运行，除了可以运行在当下的YARN集群管理外，还可以读取已有的任何Hadoop数据。它可以运行在任何Hadoop数据源上，比如HBase、HDFS等。四是Spark比Hadoop更通用。Spark提供了大量的库，包括SQL、DataFrames、MLlib、GraphX、SparkStreaming。开发者可以在同一个应用程序中无缝组合使用这些库。五是实时处理性能强。Spark很好地支持实时的流计算，依赖SparkStreaming对数据进行实时处理。SparkStreaming具备功能强大的API，允许用户快速开发流应用程序。而且不像其他的流解决方案，比如Storm，SparkStreaming无须额外的代码和配置，就可以做大量的恢复和交付工作。随着UCBerkeleyAMPLab推出的新一代大数据平台Spark系统的出现和逐步发展成熟，近年来国内外开始关注在Spark平台上如何实现各种机器学习和数据挖掘并行化算法设计。

三、基于Spark技术的网络安全大数据分析平台

（一）大数据分析平台整体架构

本文提出了基于Spark技术的网络大数据分析平台，该平台分为五层，即数据接入层、解析处理层、后台分布式数据存储系统层、数据挖掘分析层、接口层，整体架构图如图3。其中，数据接入层提供多源数据的接入。解析处理层负责对接入的多源数据进行解析。后台分布式数据存储系统层负责所有数据的存储、读取和更新的功能，提供基本的API供上层调用。数据挖掘分析层基于Spark等引擎，实现分布式数据关联分析、特征提取、统计分析等安全事件挖掘能力，同时提供实时检索与溯源能力。接口层为用户可以查询的功能，其中包括数据上传、查看、任务的生成、参数设定等。

（二）网络安全大数据分析平台实现相关技术

表1网络安全大数据分析平台实现相关技术结语总而言之，当前基于大数据下的网络安全面临着越来越多的挑战，因此我们必须高度重视大数据时代下网络安全问题，应对好大数据分析处理工作。本文从当前网络安全现状及面临的问题出发，浅析HadoopMapReduce和Spark大数据分析技术，提出基于Spark技术的网络安全大数据分析平台，实现对海量数据的快速分析，该平台具有高效、高可扩展性，具有很强的适应性。

作者:陈平阳 单位:国家互联网应急中心福建分中心

参考文献：

［1］国家计算机网络应急技术处理协调中心。《2016年我国互联网网络安全态势综述》。2016.04.19

［2］邓坤。基于大数据时代下的网络安全问题分析。《课程教育研究:学法教法研究》，2016(18):15-15

第5篇：网络安全事件定义范文

关键词 业务平台；安全事件

中图分类号：TN92 文献标识码：A 文章编号：1671-7597（2013）17-0083-02

伴随着互联网技术的不断进步，人们的日常生活与互联网联系的越来越紧密，网络安全问题也越来越突出。“5.19暴风影音攻击DNS事件”、“百度域名劫持事件”等恶性安全事件频频发生，同时央视“3.15”晚会等媒体也针对网络安全问题进行过多次报道，网络安全问题已经成为了一个社会话题。业务平台作为信息社会的重要组成部分以及通信运营企业新生的效益增长点，其安全问题就显得尤为重要。

根据中国互联网络信息中心（CNNIC）2008年《第23次中国互联网络发展状况统计报告》，2008年新增病毒、木马数量13899717个，相比2007年增长了48倍；国家互联网应急中心（CNCERT）监测发现大陆地区外98230个主机地址参与控制我国大陆被植入木马的计算机，与07年相比增长26.4%。“病毒经济”、“木马产业”等灰色产业链的形成，更是对2009年的网络安全维护工作提出了严峻的挑战。

1 原因分析

业务平台安全性可从规程、人员、技术3个方面查找末端原因，如图1所示。

2 确定主要原因

确认要因（一）：

1）确认内容：部门增值业务平台安全管理制度是否存在不完善。

2）确认方法：小组成员讨论核对。

3）确认标准：安全管理制度完善、合理，具备可操作性。

确认要因（二）：

1）确认内容：部门增值业务平台安全管理制度是否执行到位。

2）确认方法：现场调查。

3）确认标准：检查增值业务平台各项安全设置符合安全管理制度，相关记录表格填写全面、详细。

确认要因（三）：

1）确认内容：维护人员技术水平不足。

2）确认方法：组织员工进行系统平台安全维护知识测试。

3）确认标准：通过组织员工进行测试，员工对防火墙、网络、操作系统、中间件及应用层面安全维护知识测试结果均在合格以上。

确认要因（四）：

1）确认内容：维护人员安全意识不到位。

2）确认方法：组织员工进行系统平台安全管理制度规范测试。

3）确认标准：通过组织员工进行测试，员工对系统平台安全管理制度规范掌握情况良好。

确认要因（五）：

1）确认内容：维护手段落后，维护工作效率不高。

2）确认方法：现场考察，计算用于安全维护工作的工作量。

3）确认标准：每月用于安全维护工作的工作量不超过总工作量的10%。

确认要因（六）：

1）确认内容：平台防火墙策略不严格。

2）确认方法：现场检查。

3）确认标准：各业务平台防火墙策略严格，未开放不必要端口。

确认要因（七）：

1）确认内容：部分网络攻击缺乏防御手段。

2）确认方法：现场检查年度安全事件记录，组织技术交流，对现有平台安全设备进行评估。

3）确认标准：各平台安全设备能够对主流攻击、入侵、病毒等安全事件做出有效防御。

确认要因（八）：

1）确认内容：应用程序层存在漏洞。

2）确认方法：现场检查，组织漏洞扫描设备技术交流，对平台进行漏洞扫描。

3）确认标准：各平台没有高危安全漏洞。

确认要因（九）：

1）确认内容：攻击手段更新快，新手段层出不穷。

2）确认方法：检查平台安全防护设备技术更新情况。

3）确认标准：业务平台安全防护设备具备定期更新功能。

确认要因（十）：

1）确认内容：监控告警不及时。

2）确认方法：分析历史安全事件记录，检查告警及时率。

3）确认标准：对于网管系统监控到的各类安全事件，网管系统能够产生及时、准确的告警。

确认要因（十一）：

1）确认内容：监控告警不可靠。

2）确认方法：分析历史安全事件记录，检查告警准确率。

3）确认标准：年度部门内安全事件告警率。

确认要因（十二）：

1）确认内容：安全审计工作复杂，难度高

2）确认方法：现场调查。

3）确认标准：员工能够熟练完成安全审计工作，能够排查出系统安全隐患和系统安全事件。

确认要因（十三）：

1）确认内容：安全日志存在篡改可能。

2）确认方法：现场检查。

3）确认标准：各设备系统日志、审计日志能够实现异地备份。

3 制定与实施对策

3.1 发掘先进网管监控手段，提高维护工作效率

选择网管监控系统作为业务平台全局网管监控系统，对增值平台实施全方位监控。更换平台内单机版防病毒软件为Symantec Endpoint Protection网络版，通过集中管理界面对所有服务器设备的病毒定义更新、病毒感染情况进行管理，并对平台内安全风险情况做出评估，有效的简化了服务器病毒管理工作。

3.2 部署新型安全防护设备——IPS

选择IPS安全防护产品。该产品采用串接方式接入平台互联网总出口位置，平时可用于核心业务平台的IPS安全防护，在某业务平台遭受攻击时，可以临时将IPS串接至该平台进行安全防护。

3.3 优化网管监控体系，提高网管系统可靠性

针对集中式CACTI监控系统出现断网、流量异常时，有可能无法正常监控的现象，以及全网监控粒度较大的弊端，实施分布式CACTI监控软件的部署。

传统网管系统针对网络是否畅通、设备是否存活层面的监控功能，不能完全实现对系统平台安全事件的告警。因此，在各系统平台部署Solarwinds、Hp OpenView等能够对设备性能、资源实现阈值监控的网管监控软件，当出现设备资源过度消耗、流量突增等可疑事件时，能够实现监控告警。

3.4 为业务平台配置漏洞扫描设备

选择漏洞扫描设备对各平台对外IP进行系统漏洞扫描，并利用Webravor漏扫软件，对各平台应用服务进行漏洞扫描，根据扫描结果，对各平台进行安全漏洞整改。

3.5 部署集中SysLog服务器和日志分析系统

为了实现各设备、操作系统日志的异地备份，部署集中的SysLog服务器用于日志采集。同时部署Sawmill、Arcsight日志分析软件，作为平台安全日志的智能分析系统。

参考文献

第6篇：网络安全事件定义范文

在科学技术如此发达的今天,网络已经成为了生活中不可或缺的一部分,但是网络带给我们的就只有优点吗？很显然答案是否定的,网络带给我们的缺点大家也应该早有体会,我们所接触到、影响最深的应该就是信息安全问题了。在新闻中网络个人信息被盗造成损害的案例已经屡见不鲜,本文将以此为研究点,以信息安全控制原理为基础,对信息安全中常见的存在问题进行研究,并介绍与信息安全相关的技术和方法。

关键词:

信息安全网络控制

1信息安全控制原理

1.1信息安全

信息是一种资源,它具有增值性、多效性、普遍性和可处理性,这使得对人类具有非常重要的意义。信息安全就是确保网络信息资源的安全和信息系统的安全,避免受到外界各种干扰和侵害,换而言之就是确保安全。信息安全在国际标准化组织是这样定义的:指信息的完整性、可靠性、可用性和保密性。

1.2自动控制原理

所谓自动控制就是指在没有人直接参与的情况下,控制装置或者控制器能够按照预先设定的规律使机器、设备或者生产过程(统称为被控对象)的某个工作状态或者参数(即控制量)自动地运行。自动控制系统(automaticcontrolsystems)是在没有人直接参与的时候可使工作过程或其他过程按预期的规律或预想程序进行的系统控制。自动化控制系统是实现自动化的重要手段。

1.3信息安全控制控制原理

信息安全控制与自动控制有着密不可分的关系,因为信息的特殊性质导致信息系统具有变化的不定性,进而导致整个信息系统的安全控制都会随着信息不断变化,另外信息系统在变化过程中不仅会受到外界系统的攻击和影响,其系统内部的缺陷也会威胁其系统安全。所以信息安全系统的建立必须要完善,从外部和内部多个层面进行全方位的因素考虑。信息安全控制主要是为了有效控制信息系统存在的内在威胁和外界的恶意攻击。所以信息安全控制的主要措施是:对于系统内部,要尽可能的切断一切潜在危险源;对于系统外部,建立完善的信息安全控制体系。对于信息系统而言,安全控制策略库的建立可以让信息系统的运行在可控范围内进行,从而使信息威胁程度降低最低,这样就可以保证信息系统的安全性。

2加密技术

2.1事件监控

安全监控子系统实时收集日志信息进行存储与分析,当发现高危安全事件时,采用声、光、短信的方式在管理员界面中呈现给安全监控人员,安全监控人员对安全事件的级别和影响进行评估,判断为严重事件时则启动工单系统通知客服人员,由客服人员向客户发送预警信息;若事件未达到预警级别,则安全监控人员创建工单,通知安全分析人员做处理。

2.2安全分析

安全分析人员对非预警安全事件进行分析,排除误警虚警信息,尝试解决可处理安全事件。判断为不能处理的安全事件和经尝试不能解决的安全事件,提交运维经理,请经理协调各方资源协助解决。如资源难以协调则继续向上一级主管领导发起协调资源请求,直至问题解决。经过安全分析人员对攻击数据包进行分析,迅速判断出此次攻击主要针对80端口的ddos攻击,遭受攻击的网站由于资源消耗过大而无法再给用户提供正常的页面访问。由于世博业务可持续性运行的重要性,于是决定本着"先抢通后修复"的原则,先利用防火墙、utm制定相应的安全策略协助该单位恢复系统正常工作。同时运维人员根据安全事件对该风险进行评估,确定攻击类型、波及范围及造成的影响,并制定都详细的加固解决方案。

2.3安全预警

安全监控平台发现客户网络出现高危安全事件时,安全专家团队子系统的安全分析人员,根据事件信息确定预警级别,通过工单系统向网络管理员提交预警信息。若预警级别较高,则通报给相关主管领导、同时发起预警,同时派遣专业人员协助处理安全事件。

2.分析报告

安全运维小组事后给用户提供了一份详细的事情分析报告,报告中包括记录文档和安全策略的建议,此份建议中多次提到安全技术使用不够完善的问题,虽然有防毒系统和防火前,但是没有利用更大的资源解决网络安全问题。报告的意义是让客户知道问题出在哪里,在哪里容易出问题,怎么解决已经出现的问题,今后应该如何防范。

2.5加固测试

根据安全评估报告协助用户对系统自身的安全漏洞进行修补,并对加固后的系统,进行模拟测试。安全专家模拟黑客攻击的方式对用户指定的ip地址采用工具和人工检查相结合的办法进行远程安全测试,评估加固后的系统是否达到安全要求。防火墙策略生效之后,攻击逐渐减弱,通过外网访问web服务器,速度正常。至此初步判断,由于防火墙、umt的防护和安全监控平台监测,已经令恶意攻击者知难而退,暂时停止实施攻击。经过现场一段时间的观察客户网络正常运行,后期运维小组重点对该网络进行远程监控跟踪。

2.6形成知识库

将此次安全事件发现、分析、解决的过程以知识库的形式保存,以便下次同类问题的快速处理及客户人员的自学习。根据统计,不仅中国在尽力打造信息安全网络,在世博会期间,浙江联通也退出了很多项创新业务支撑网络安全。为保证世博会此项工作的顺利进行,联通的营业厅及多个服务店、10010客服热线、投诉、vip贵宾服务、电子渠道等方面,在人性化、便捷化、差异化方面做出巨大改变,最终使得用户能充分信息安全的基础上,享受了更大的便捷与自由。

参考文献

[1]张淑媛.基于信息安全控制原理的安全网络技术[J].技术研发,2013(18).

第7篇：网络安全事件定义范文

关键词：windows终端；安全模板；安全策略；自动化部署

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)22-5326-04

Deploying Windows-Based Terminal Security Policy Based on Security Templates

TAN Ke-jiu1,2

(1.Hubei University of Technology, Wuhang 430068, China; 2.Hechi University, Yizhou 546300, China)

Abstract: With the increasing degree of institutional informationization, information security issues are also increasingly having a tremendous impact on the organization's security operationfs, and the terminal computer security and overall information security level of institutions is at stake. Windows operating systemhas a high market share in the global institutions terminal. It is an urgent to solve the problem that how to carry on the security policy deployment to the Windows office terminal, improve the effectiveness and efficiency of security management. This Paper will explore how to use the security templates provided by Microsoft and Windows command-line tool for office terminal deployment.

Key words: Windows-based terminal; security template; security policy; automation deployment

1 Windows办公终端安全风险

终端计算机作为机构信息处理的一个重要组成部分，其安全事关整个信息系统。近年来的网络安全形势不容乐观，国家互联网应急中心的《2010年上半年中国互联网网络安全报告》指出2010年上半年CNCERT共接收到网络安全事件报告与2009年上半年相比增长105%，给企业造成了不可挽回的经济和政治上的损失。另据市场研究公司NetApplications的最新数据显示，2010年Windows操作系统的全球市场占有率达91%，Windows系统占据着大部分企业、政府部门和学校的办公电脑终端。

很多企事业单位的办公终端数量多，分布地理位置分散又未进行集约管理，管理人员少而负责事务杂，用户计算机水平参差不齐，出现信息安全问题多，管理员疲于奔命。如何更快速有效的对Windows终端进行安全策略部署、管理、监测，是亟需解决的问题。本文将利用安全模板部署工具尝试解决这一问题。

2 安全模板（Security Templates）

安全模板是基于文本的INF文件，该文件以特定格式定义了几个安全区域的安全设置。这些安全区域包括密码和帐户锁定策略，审核、用户权利及安全选项策略，事件日志设置，受限制的组设置，系统服务设置，注册表安全设置和文件系统安全设置。模板文件的某些章节包含由安全描述符定义语言(SDDL)定义的特定访问控制列表(ACL)。

使用MMC系统控制台的“安全模板”管理单元或文本编辑器来更改这些文件，进而使用MMC系统控制台的“安全配置和分析”模块或命令行工具将安全模板所定义的安全设置应用到计算机，利用该模块分析计算机安全配置是否符合政策规定的安全级别，允许管理员跟踪并确保计算机处在合适的安全状态。

3 安全策略部署流程

建立合适的安全策略部署模型是实施有效安全管理的基础，是实现安全管理可持续、可控制、可维护的依据，实现信息系统的可用性、保密性和完整性的保证，所以选择适当的安全策略部署模型非常重要。参考国际通行的APPDRR网络安全模型，安全策略生命周期部署模型见图1。

通过Windows终端安全风险分析确认机构中信息终端中需要实施安全管理的具体对象，找出终端的安全短板和面临的威胁，评估发生安全事件的概率，估算能承受的风险值，为安全策略制定与实施提供依据。

制定安全策略是整个Windows终端安全保障工程的关键环节，是在安全政策和安全管理原则的指导下，在安全风险评估结果和用户需求基础上，根据终端系统要实现的安全目标制定，目的是确保目标终端在应用此策略后能实现相当的安全级别。

策略实施就是在完成Windows终端安全策略制定后，通过一系列的安全技术和方法，利用系统自带的安全管理工具或第三方安全管理软件完成安全策略的实现、测试、部署工作，完成Windows终端系统保护，阻止安全事件发生，保证安全事件发生的概率和危害，都在机构可接受范围之内。

安全策略实施后并非一劳永逸，我们需要定期检测安全策略在Windows终端部署运行情况，安全管理工具是否按既定的方案保护终端计算机，询问用户在操作Windows终端时有无发现因为安全策略实施而导致的异常。在安全事件发生后，提取日志和重现事件来分析造成安全事件的原因，据此纠正Windows终端安全策略。这就要求在部署安全策略时应具有可追溯性，提供必要的安全策略实施备忘文件和终端系统安全日志记录，以保证我们能实现有效的监测和及时的响应。

4 Windows办公终端风险分析

1) Windows终端漏洞层出不穷，利用第三方软件漏洞攻击系统事件频发。从漏洞出现到被恶意利用的时间越来越短，给终端计算机造成严重威胁。终端计算机往往是机构管控的盲端，出现的系统漏洞不能得到及时修补，第三方软件漏洞未能得到重视，给恶意软件提供一个隐蔽的攻击通道。

2) 病毒、木马和恶意软件攻击。它们主要是通过网页浏览、下载软件、局域网和U盘等几个途径传播。Windows终端未能进行正确的权限配置，大多以管理权限运行，导致病毒木马入侵计算机后获得高权限，造成严重危害。

3) 终端缺乏准入规范，造成终端的非授权访问风险，破坏数据的完整性和机密性。用户往往为了方便，将Windows终端设定为自动登陆，有的干脆不设置帐户密码，给Windows终端安全带来隐患。

4) 用户缺乏安全意识和安全知识。用户的不当操作或对系统设置的随意修改造成终端系统安全防线崩溃。如开启Guest帐户，设置不恰当的共享，使用弱密码或空密码，开启不必要的服务项等。

5 安全策略制定

在安全策略规划实施过程中，应当贯彻最小权限和最少服务原则、可追溯性原则、易用性与安全性统一原则和可维护性原则。

1) 最小权限和最小服务原则

帐户安全。帐户安全是信息系统安全的第一道防线，通过密码安全策略来防止用户使用空密码或弱密码，设置帐户锁定策略来防止暴力破解密码，关闭一些特殊帐户如Guest帐户等。

系统服务安全。服务是后台运行的应用程序，为本地和通过网络访问的用户提供某些功能。根据用户需要，禁止不必要的服务，授予或禁止用户具有特定服务项的权限。如禁用Remote Registry、TCP/IP NetBIOS Helper、Workstation和Server服务等。

文件系统权限。禁止用户写入某些容易被病毒利用的目录，禁止用户访问某些文件和禁止一些危险程序运行来提高系统安全级别。如禁止用户从硬盘分区根目录下运行程序，避免用户双击硬盘根目录导致误执行病毒程序。

注册表安全。注册表是Windows特有用于保存系统和软件相关信息的数据库，病毒木马经常利用注册表实现得开机自启动功能。有必要对病毒和木马经常利用的注册表项进行安全配置，禁止用户写入某些风险度较高的注册表项，如自启动项，Image File Execution Options映像劫持项等。

网络访问权限设置。办公终端是办公网络的一个有机组成，因此面临着非法入侵、数据泄密和网络滥用等威胁，采取措施控制网络的访问权限，设置一道无形的防火墙。通过“本地安全策略”禁止SAM帐户的匿名枚举，不允许SAM帐户和共享的匿名枚举，禁止匿名SID/名称转换等，通过防火墙关闭危险端口，阻止可疑程序访问该计算机或从该计算机访问网络。

用户权利控制。用户对计算机具有各种权利，这些用户权利将直接决定他们的访问行为。我们要严格控制用户对计算机的访问权利，限制用户使用一些特殊的权利，比如管理审核和安全日志、还原文件及目录权限，降低网络访问程序的运行权限级别。对只进行诸如文字处理、工作管理一类应用的办公终端，使用受限帐户登陆即可，要限制用户使用高权限帐户登陆系统、运行程序。禁止用户随意修改系统配置文件，卸载杀毒软件和非法安装ActiveX控件，开启终端计算机的缓冲区溢出保护功能等。

2) 可追溯性

合适的安全事件日志设定。安全事件日志是安全事件的收集、保存和显示的重要工具，对于安全事件的识别、处理和调查非常重要，在发生安全事件后，可通过安全日志追踪事件产生的来龙去脉。必须在系统安全策略中设置好审核策略和设定事件日志存储、维护和访问控制，保证安全事件日志能在安全事件发生后提供事后分析所应有的功能，方便系统管理员做出相应对策，并可以根据安全事件日志优化安全模板。

审核重点目录和文件的访问，审核重点程序和用户的行为。利用Windows提供的审核功能对一些安全风险较大的目录、文件和程序进行审核，比如对病毒木马容易利用的CMD.exe、Net.exe和Reg.exe等程序设置审核，对权限最大的administrators帐户组的操作进行审核。这些必要的审核方便我们在发生安全事件后可通过事件日志分析事件发生过程，迅速定位安全威胁，进而能使安全响应更准确，提高安全管理的效果和效率。

3) 可扩展性和可维护性

维护信息系统的安全并不是一个静态过程，而是不断的动态变化，用户需求改变、安装软件变化和硬件的改变，都有可能要求重新审视安全策略应用是否达到合适的安全级别，所以安全策略部署过程都应具备良好的可扩展性和可维护性。通过安全模板管理工具对安全模板进行管理，注重安全模板版本管理，每次升级修改都有日志，做到安全策略配置文件的可控可管。

4) 易用性与安全性统一

做好需求分析，保证安全性与易用性相统一。信息系统的安全性强度总是和信息系统的易用性相矛盾的，高安全性必然导致易用性下降，用户操作时极易产生挫败感而影响工作效率。我们在设计和实施安全策略前，要做好需求分析，尽可能使系统拥有足够的安全级别，又能保证易用性。比如放开某些安全风险较小的权限和将某些系统设置功能隐藏等。

6 基于安全模块的安全策略部署

6.1 创建与修改安全策略模板

微软在系统管理控制台中提供了“安全模板”管理单元用来创建、修改和管理安全模板文件。“安全模板”管理单元提供了一个功能强大的图形界面，管理员可以方便地按层次结构导航到某个安全属性设置区域进行编辑修改。微软在Windows中提供了七个预配置的安全模板文件供系统管理人员参考，默认情况下，这些管理模板存储在“\%Systemroot%\Security\Templates”目录中，在“安全模板”管理单元可以直接读取。

为了管理和配置方便，我们需要使用虚拟机或专门配置一台母机，安装和终端同样的软件，模拟出相同环境进行调试。

安全模板创建与修改操作步骤如下：

1) 首先，运行MMC命令，打开Microsoft管理控制台，并在“文件”――“选项”确认控制台处于“作者模式”，使用户具有访问所有MMC功能的全部权限。

2) 在“控制台”菜单上，单击“添加/删除管理单元”，然后单击“添加”。选择“安全模板”，单击“添加”――“关闭”――“确定”。将配置好的控制台保存到合适的位置，此处我们使用“D:\SafeSet”。

3) 在“安全模板”管理单元中，右键单击“安全模板”，选择“新加模板搜索路径”，将路径设定为“D:\SafeSet”。

4) 在新建的路径上右击，选择“新加模板”，设置好模板名和描述。

5) 根据定义好的安全策略在控制台上对安全模板进行编辑。每个设置项的属性中都有相关项的解释说明，避免在设置时误操作而引发不良后果。

6) 将该模板以“SafeSetTemplate_Base.inf”保存到“D:\SafeSet”备用。

6.2 测试安全策略模板

微软在系统管理控制台中还提供了“安全配置和分析”管理单元，它是一个图形化实用程序，用于配置和分析与系统安全相关的各个方面。“安全性配置”可以直接配置本地系统的安全性，利用安全数据库，可以导入由“安全模板”创建的安全模板，并将这些模板应用于本地计算机，立即使用模板中指定的级别配置系统安全性。操作步骤如下：

1) 首先在控制台中添加“安全配置和分析”模块，操作步骤类似于上述添加“安全模板”的方法。

2) 右击“安全配置和分析”单元，选择“打开数据库”，导航到“D:\SafeSet”，在“文件名”输入框中输入“SafeSetDb.sdb”，新建安全数据库文件，单击“打开”。

3) 在弹出的“导入模板”对话框，导航到“D:\SafeSet”，导入我们做好的安全模板。

4) 右击“安全配置和分析”单元，选择“立即配置计算机”，在弹出的“配置系统”窗口中设置好错误日志文件路径和文件名，如“D:\SafeSet\SafeSetConfigureLog.txt”，确定并开始执行配置计算机操作。

5) 通过检查日志文件确认应用安全策略模板的过程有无异常。如果发现异常，可以直接在“安全配置和分析”模块中修改相关选项，重新进行配置计算机操作，并导出改后的安全模板设置覆盖原来的模板文件。

6) 尽管部分设置已经被应用，但是它们在执行“Gpupeate.exe”命令或重启计算机之后才生效。所以关闭“安全配置和分析”工具并重启计算机，对照安全策略配置检验表进行检查，检查所做安全策略配置是否达到预期目的，反复进行安全策略模板修改与应用其到试验的系统中，直到符合要求后开始编写自动化部署文件。

6.3 生成安全策略模板自动化部署脚本

使用“安全配置和分析”工具可以实现单台计算机安全策略配置和分析，但使用该工具在多台计算机上完成案例策略配置和分析不方便。微软为此提供了secedit.exe命令行工具以便系统管理员完成企业级的部署，该命令行允许我们使用安全数据库中的安全性设置来配置系统。语法如下：

Secedit /configure /dbfilename [/cfgfilename] [/overwrite] [/areasarea1area2...] [/logfilename] [/quiet]

/dbfilename 定义用来执行安全性配置的数据库。

/cfgfilename 定义导入到数据库的安全性模板。

/logfilename 定义要记录配置操作状态的文件。

利用命令行工具构建安全策略模板自动化部署脚本，并完成其它Windows终端优化和安全配置操作，比如帐户配置、安全登陆操作提示等。

在“D:\SAFESET”中新建“SafeSet.CMD”，用记事本打开并输入以下内容并保存：

@Echo off

Set Soft=XX学院Windows终端系统自动配置程序

Set Grade=Base

Set Version=V1.2.20110202

:Start

CLS

Color FC

Title %Soft%[安全级别：%Grade%][版本：%Version%]

Echo %Soft%[版本：%Version%]

Echo.

Set Choice=

Set /P Choice=脚本将在您的系统中应用设定好的安全策略，请按"Y"键继续，终止运行请按"Q"：

If "%Choice%"=="" Goto Start

IF Not "%Choice%"=="" Set Choice=%Choice:~0,1%

If /I "%Choice%"=="Y" Goto ConStartPre

If /I "%Choice%"=="Q" Exit

Goto Start

Echo开始用户帐户配置

:ConStartPre

Echo.

Echo.

Set AdminPasswords=

Set UserPasswords=

Set /P AdminPasswords=请输入内置管理帐户Adminstrator的密码（请务必确认后再回车）：

Set /P UserPasswords=请输入日常工作帐户User的密码（请务必确认后再回车）：

Set Choice=

Set /P Choice=请检查您输入的密码是否正确，请按"Y"键继续，任意键重新输入密码：

If "%Choice%"=="" Goto Start

IF Not "%Choice%"=="" Set Choice=%Choice:~0,1%

If /I "%Choice%"=="Y" (GotoConStart) Else Goto ConstartPre

:ConStart

Net user administrator %AdminPasswords% /FULLNAME:"管理用户"

Net user user %UserPasswords% /add /FULLNAME:"日常工作" /USERCOMMENT:"受限用户" /COMMENT:"这是日常工作专用的受限帐户" /EXPIRES:NEVER

Net user guest /active:no

Echo配置帐户完成，开始进行系统安全策略部署...

Secedit /configure /db SecSetDb.sdb /cfgSafeSet Template_Base.inf /overwrite /quiet /logSafeSet ConfigureLog.txt

Echo系统安全策略部署完成，请按任意键退出。

6.4 实施

将在 “D:\SafeSet”目录下生成的所有文件复制到目标机，以管理员权限运行“SafeSet.CMD”脚本，根据提示完成安全策略在Windows终端的部署。我们可以依照上文所述步骤，依据终端计算机等级保护的不同安全需要和不同的安全保护政策，设计出不同的安全策略部署模板，方便管理。

7 安全策略检查与响应

Windows系统管理控台中的“安全配置和分析”管理单元的安全性分析工具，允许系统管理员对Windows终端安全策略部署情况进行检查，提供详细的安全分析结果，对不符合安全策略要求的做出可视化的标记，跟踪并确保在每台计算机上有足够的安全级，检测在系统长期运行过程中出现的安全故障。利用该工具定期检测Windows终端安全策略保护系统情况，保证安全策略得到有效执行。

8 总结

本文提出的使用安全模板结合脚本技术对Windows操作系统进行安全策略部署方法，应用于办公信息系统安全管理工作中，基本实现安全政策要求的可用性、可追溯性、可扩展性和可维护的目标，对于信息安全管理人员应对信息系统安全威胁和进行批量安全策略部署，具有一定的借鉴意义。

参考文献：

[1] 操作系统市场市场的占有率[EB/OL]./operating-system-market-share.aspx?qprid=8&qptimeframe=Y&qpsp=2010&qpnp=1.

[2] 国家互联网应急中心.2010年上半年中国互联网网络安全报告[EB/OL]..cn/UserFiles/File/2010 first half.pdf.

[3] 余磊.信息安全战――企业信息安全建设之道[M].上海:东方出版社,2010.

[4] 程迎春.Windows安全应用策略和实施方案手册[M].北京:人民邮电出版社,2005.

第8篇：网络安全事件定义范文

关键词：信息安全；网络安全；体系模型

中图分类号：TP309.2 文献标识码：A

1 引言

以往，许多安全体系都是根据相关风险进行设计的，缺乏对整个安全体系的动态、全面考虑。所以，为最大程度满足安全需要，我们需要设计出全方位多角度的信息与网络安全体系，并在体系中完整的包含安全建设所要需要实现的各种功能、服务以及安全机制和相关技术和操作等[2]，并对多种因素进行合理的安排和部署。

2 PDR模型

PDR模型包含了三方面的元素，即P――防护（Protection）和D――检测（Detection）以及R――反应（ Reaction）。PDR模型认为所谓的“安全”指的是“保护的时间”要大于“检测的时间”。因此，在PDR模型中，十分强调时间的概念，并对保护时间和检测时间以及响应时间和暴露时间进行了定义。我们用Pt来表示从攻击开始到攻击成功的时间，即攻击所需要的具体时间，或者也可以是故障或非人为因素造成的破坏从发生到造成影响所生产的时间；用Dt来表示检测系统安全的时间；用Rt来表示从检测到安全问题到采取相应的措施进行反抗的时间，即对安全事件的反应时间[3]。经分析可知，我们无法控制安全问题出现的可能性，做不到无懈可击，所以只有通过尽可能的延长各种安全问题攻击所需要的具体时间来提高整个体系的安全程度。也就是说，我们要尽可能的增大Pt的值，从而为安全体系检测各种攻击事件，并及时进行相应的反应来争取尽可能的时间。另外，我们也可以通过缩短检测系统安全的时间以及从检测到安全问题 到采取相应的措施进行反抗的时间来提高体系的安全性，即尽量减少Dt和Rt的具体值[4]。所以说，如果体系对安全事件的反应时间Pt大于检测系统安全的时间Dt和安全事件的反应时间Rt之和的时候，整个系统是安全的；如果体系对安全事件的反应时间Pt小于检测系统安全的时间Dt和安全事件的反应时间Rt之和，则表示整个系统是不安全的。

3 P2DR 模型

P2DR模型把信息安全保障分成了一下四个环节：P――策略（Policy）、P――保护（Protection）、D――检测（Detection）和R――响应（Reaction）。P2DR模型是可适应网络安全理论的主要模型，在整体的安全策略的控制和指导下，在综合运用各种防护工具的同时，也积极的利用多种检测工具来了解和评估系统所处的安全状态。并按照具体的状态作出最适当的反应，从而保证整个系统处于最安全的状态。P2DR模型中的防护、检测以及响应形成了一个十分完整的、处于动态变化的安全循环模式，在具体安全策略的指导下，有效的保证信息系统的安全性。在P2DR体系模型中，用户们可以充分考虑实际情况，选择更加切合实际情况的安全方案。网络与信息安全涉及到许多复杂的问题，在P2DR体系模型中，用户需要认识到，首先，要注意人的作用。任何安全问题都需要人来操作，认识主观能动的个体，对整个体系的安全性起着至关重要的作用。其次，要注意工具问题。工具是人们用来实现安全的基本手段，是保证安全策略实现的有力保证。而工具问题中则包含了安全体系设计到的各种技术[5，6]。不过，通常情况下，对用户来说，并不需要过分关注安全技术问题，因为技术问题涉及面太广，也过于复杂。而且，会有十分专业的公司来负责将各种最新最实用的安全技术转化为各种可以供广大用户直接使用的工具。

4 动态自适应安全模型

动态自适应安全模型也同样是把安全看作一个动态变化的过程，并认为安全策略的制定要积极的适应网络的动态变化。动态自适应安全模型可以对网络进行动态的监测，并及时的发现系统中存在的漏洞，并对来自各方的安全威胁进行键控。从而为广大用户提供了一个不断循环并及时反馈相关信息的安全模型，利用这个模型，用户可以及时地制定各种安全策略并做出相应的反应[7]。动态自适应安全模型涉及到以下一些问题：

（1）分析与配置。在构建动态自适应安全模型的时候，需要整体把握系统的安全问题，综合考虑多方面因素，例如标志和认证以及密码技术还有完整性控制和操作系统安全，以及数据库、防火墙系统安全和抗抵赖协议等。在充分考虑到多方面因素之后，再给出相应的具体配置。

（2）动态监测。动态自适应安全模型需要对各种网络攻击模式和其它 多种可疑活动，进行实施的动态监测。例如对各种黑客行为的分析，和对病毒特征以及系统弱点的研究等。动态自适应安全模型还要及时的提取各种数据特征，并将其归入监测知识库和方法库，以便于对各种网络攻击和病毒模式进行实时的监测，并及时的发现系统中存在的各种危险漏洞。

（3）报警。动态自适应安全模型中，一旦发现系统中出现了各类攻击模式，或者有漏洞和病毒以及各种违规和泄密活动的存在，便会立即给出相应的报警响应，例如，对相关信息的日志进行及时的记录，通过控制台消息等发出报警信号，或者是阻断非法连接，也可以十多种报警响应的组合应用。

（4）审计和评估。审计和评估是按照具体的报警记录和其它信息向管理员提供各种具有较高参考价值的统计分析报告信息。审计和评估涉及多方面的内容，例如网络使用情况、各种可疑迹象、发生的各种问题等。审计和评估的过程也十分严谨，需要应用统计方法学和审计评估机制来综合评估网络安全现状，制定出最终的审计报告和趋向报告等。

5 APPDRR模型

网络与信息安全是处于不断的变化中的，表现为一个不断改进的过程，全网动态安全体系隐含了网络安全的相对性和动态螺旋上升的过程，因为不可能存在百分之百静态的网络安全。通过风险评估、安全策略、系统防护、动态检测、实时响应和灾难恢复六环节的循环流动，网络安全逐渐地得以完善和提高，从而实现保护网络资源的网络安全目标。可信计算平台指的是为计算提供高可用的、安全的和可控的计算实现平台。而高可信计算平台则是通过在当前的计算平台加入硬件和软件的扩展来支持计算平台的安全性[8]。计算平台的安全性确保计算机系统中的每台主机成为可信的个体，从而既保护了主机，又从源头上减少了网络威胁。统一威胁管理期望把APPDRR模型有机的综合在完整体系而不是各自孤立存在。针对安全防护技术一体化、集成化的趋势，研究统一威胁管理（UTM）与网络安全管理的模型、算法和标准。

6 总结

安全处于永不停息的动态变化中的，不断的随着技术的变化而变化。构建信息与网络安全体系模型的过程中涉及到了多方面的因素，例如管理和技术以及标准和相关法规等。所以，我们不可能将所有安全问题都体现在安全体系中，而是要将安全体系置于动态发展变化中，并不断予以积极的调整，才能保证其更加科学完善。

参考文献

[1] 唐洪玉，崔冬华.一种新的信息安全体系模型的提出[J].信息安全与通信保密，2008，12（06）：102-105.

[2] 周学广，等.信息安全学（第2版）[M].北京：机械工业出版社，2008.

[3] 冯毅.基于P2DR模型的网银安全体系方案设计[J].中国科技信息，2011，03（14）：79-80.

[4] 张思宇.浅析信息化时代企业网络安全重要性[J].中小企业管理与科技，2013，05（18）：91-92.

[5] 沈苏彬，等.自主信息网络安全的概念与模型[J].南京邮电大学学报（自然科学版），2012（05）.

[6] 董建锋，等.云计算环境下信息安全分级防护研究[J].信息网络安全，2011，11（06）：55-56.

[7] 徐林磊，郑明春.一种公共信息和网络安全的社会模型[J].信息网络安全，2010，01（02）：13-14.

[8] 林王冠，等.网络安全模型在水利科研环境中的应用与研究[J].水利信息化，2013，97（01）：42-43.

第9篇：网络安全事件定义范文

关键词：工控；网络安全；安全建设

1前言

随着工业化与信息化的快速发展以及云、大、物、智、移等新技术的逐步发展和深化实践，制造业工业控制系统的应用越来越多，随之而来的网络安全威胁的问题日益突出。特别是国家重点行业例如能源、水利、交通等的工业控制系统关系到一个国家经济命脉，工业控制系统网络一旦出现特殊情况可能会引发直接的人员伤亡和财产损失。本文主要以轨道交通行业CBTC系统业务的安全建设为例介绍工业信息安全防护思路，系统阐述了工业信息安全的发展背景及重要性，以网络安全法和工业基础设施的相关法规和要求等为依据，并结合传统工业控制系统的现状，从技术设计和管理系统建设两个方面来构建工控系统网络安全。

2工业信息安全概述

2.1工控网络的特点

工业控制系统是指各种自动化组件、过程监控组件共同构成的以完成实时数据采集、工业生产流程监测控制的管控系统，也可以说工业控制系统是控制技术（Control）、计算机技术（Computer）、通信技术（Communication）、图形显示技术（CRT）和网络技术（Network）相结合的产物[1]。工控系统网络安全是指工业自动控制系统网络安全，涉及众多行业例如电力、水利、石油石化、航天、汽车制造等众多工业领域，其中超过60%的涉及国计民生的关键基础设施（如公路、轨道交通等）都依靠工控系统来实现自动化作业。

2.2国内外工业安全典型事件

众所周知，工业控制系统是国家工业基础设施的重要组成部分，近年来由于网络技术的快速发展，使得工控系统正逐渐成为网络战的重点攻击目标，不断涌现的安全事件也暴露出工控系统网络安全正面临着严峻的挑战。（1）美国列车信号灯宕机事件2003年发生在美国佛罗里达州铁路服务公司的计算机遭遇震网病毒感染，导致美国东部海岸的列车信号灯系统瞬间宕机，部分地区的高速环线停运。这次事件主要是由于感染震网病毒引起的，而这种病毒常被用来定向攻击基础（能源）设施，比如国家电网、水坝、核电站等。（2）乌克兰电网攻击事件2015年，乌克兰的首都和西部地区电网突发停电，调查发现这次事故是由于黑客攻击造成的。黑客攻击了多座变电站，在电力公司的主控电脑系统里植入了病毒致使系统瘫痪造成停电事故。（3）旧金山轻轨系统遭勒索病毒攻击事件2016年，黑客攻击美国旧金山轻轨系统，造成上千台服务器和工作站感染勒索病毒，数据全部被加密，售票系统全面瘫痪。其实国内也发生过很多工业控制系统里面的安全事件，主要也是因为感染勒索病毒引起的。勒索病毒感染了重要业务系统里面的一些工作站，例如在轨道交通行业里的典型系统：综合监控系统、通信系统和信号系统等，其中大部分是由于移动接入设备的不合规使用而带来的风险。从以上事件可以看出，攻击者要发动网络攻击只需发送一个普通的病毒就可以达到目的，随着网络攻击事件的频发和各种复杂病毒的出现，让我们的工业系统安全以及公共利益、人民财产安全正遭受着严重的威胁。

2.3工控安全参考标准、规范

作为国家基础设施的工业控制系统，正面临着来自网络攻击等的威胁，为此针对工控网络安全，我国制定和了相关法律法规来指导网络安全建设防护工作。其中有国家标准委在2016年10月的《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》《工业自动化和控制系统网络安全可编程序控制器（PLC）第1部分：系统要求》等多项国家标准[2]。同年，工信部印发《工业控制系统信息安全防护指南》，该标准以当前我国工业控制系统面临的安全问题为出发点，分别从技术防护和管理设计两方面来对工业控制系统的安全防护提出建设防护要求。2017年6月，《网络安全法》开始实施，网安法从不同的网络层次规定了网络安全的检测、评估以及防护和管理等要求，促进了我国工业控制系统网络安全的发展。

3工业控制系统网络安全分析

轨道交通信号系统（CBTC）是基于通信技术的列车控制系统，该系统依靠通信技术实现“车地通信”并且实时地传递“列车定位”信息[3]。目前CBTC安全建设存在以下问题：（1）网络边界无隔离随着CBTC的集成度越来越高，各个子系统之间的联系和数据通信也越来越密切，根据地域一般划分为控制中心、车站、车辆段和停车场，根据业务又划分为ATO、ATS、CI、DCS等多个子系统，各区域之间没有做好访问控制措施，缺失入侵防范和监测的举措。各个子系统之间一般都是互联互通的，不同的子系统由于承载的业务的重要等级不同也是需要对其边界进行防护的，还有一些安全系统和非安全系统之间也都没有做隔离。（2）网络异常查不到针对CBTC系统的网络入侵行为一般隐蔽性很强，没有专门的设备去检测的话很难发现入侵行为。出现安全事件后没有审计记录和追溯的手段，等下次攻击发生依然没有抵抗的能力。没有对流量进行实时监测和记录，不能及时发现高级持续威胁、不能有效应对攻击、不能及时发现各种异常操作。（3）工作站、服务器无防护CBTC系统工作站、服务器的大部分采用Windows系列的操作系统，还有一部分Linux系列的操作系统，系统建设之初基本不会对工作站和服务器的操作系统进行升级，操作系统在使用过程中不断暴露漏洞，而系统漏洞又无法得到及时的修复，这都会导致工作站和服务器面临风险。没有在系统上线前关闭冗余系统服务，没有加强系统的密码策略。除此之外，运维人员可以在调试过程中在操作站和服务器上安装与业务无关的软件，也可能会开启操作系统的远程功能，上线后也不会关闭此功能，这些操作都会使得系统配置简单，更容易受到攻击。目前在CBTC系统各个区域部分尚未部署桌管软件和杀毒软件，无法对USB等外接设备的接入行为进行管控，随意使用移动存储介质的现象非常普遍，这种行为极易将病毒、木马等威胁带入到生产系统中。（4）运维管理不完善单位内安全组织机构人员职责不完善，缺乏专业的人员。没有针对信号系统成立专门的安全管理部门，未明确相关业务部门的安全职责和职员的技能要求，也缺乏专业安全人才。未形成完整的网络安全管理制度政策来规划安全建设和设计工控系统安全需求。另外将工业控制系统的运维工作外包给第三方人员后并无相关的审计和监控措施，当第三方运维人员进行设备维护时，业务系统的运营人员不能及时了解第三方运维人员是否存在误操作行为，一旦发生事故无法及时准确定位问题原因、影响范围和责任追究。目前CBTC系统的网络采用物理隔离，基本可以保证正常生产经营。但是管理网接入工控系统网络后，工控系统网络内部的安全防护措施无法有效抵御来自外部的攻击和威胁，而且由于与管理网的数据安全交互必须在工控网络边界实现，因此做好边界保护尤为重要。

4工业控制系统网络安全防护体系

工控系统信息化建设必须符合国家有关规定，从安全层面来看要符合国家级防护的相关要求，全面规划设计网络安全保障体系，使得工控体系符合相关安全标准，确保工控安全保障体系的广度和深度。根据安全需求建立安全防护体系，通过管理和技术实现主被动安全相结合，有效提升了工控业务系统的安全防护能力。根据业务流量和业务功能特点以及工控系统网络安全的基本要求来设计不同的项目技术方案，从技术角度来识别系统的安全风险，依据系统架构来设计安全加固措施，同时还要按照安全管理的相关要求建立完善的网络安全管理制度体系，来确保整体业务系统的安全有效运行。

4.1边界访问控制

考虑到资产的价值、重要性、部署位置、系统功能、控制对象等要素，我们将轨道交通信号系统业务网络划分为多个子安全域，根据CBTC业务的重要性、实时性、关联性、功能范围、资产属性以及对现场受控设备的影响程度等，将工控网络划分成不同的安全防护区域，所有业务子系统都必须置于相应的安全区域内。通过采取基于角色的身份鉴别、权限分配、访问控制等安全措施来实现工业现场中的设备登录控制、应用服务资源访问的身份认证管理，使得只有获得授权的用户才能对现场设备进行数据更新、参数设定，在控制设备及监控设备上运行程序、标识相应的数据集合等操作，防止未经授权的修改或删除等操作。4.2流量监测与审计网络入侵检测主要用于检测网络中的恶意探测和恶意攻击行为，常见有网络蠕虫、间谍和木马软件、高级持续性威胁攻击、口令暴力破解、缓冲区溢出等各种深度攻击行为[4]。可以利用漏洞扫描设备扫描探测操作系统、网络设备、安全设备、应用系统、中间件、数据库等网络资产和应用，及时发现网络中各种设备和应用的安全漏洞，提出修复和整改建议来保障系统和设备自身的安全性。恶意代码防护可以检测、查杀和抵御各种病毒，如蠕虫病毒、文件病毒等木马或恶意软件、灰色软件等。通过安全配置核查设备来及时发现识别系统设备是否存在不合理的策略配置、系统配置、环境参数配置的问题。另外要加强安全审计管理，通常包括日常运维操作安全审计、数据库访问审计以及所有设备和系统的日志审计，主要体现在对各类用户的操作行为进行审计和对重要安全事件进行记录和审计，审计日志的内容需要包括事件发生的确切时间、用户名称、事件的类型、事件执行情况说明等。

4.3建立统一监测管理平台

根据等级保护制度要求规定，重要等级在第二级以上的信息系统需要在网络中建立统一集中管理中心，通过统一安全管理平台能够对网络设备、安全设备、各类操作系统等的运行状况、安全日志、配置策略进行集中监测、采集、日志范化和归并处理，平台可以呈现CBTC系统中各类设备间的访问关系，形成基于网络访问关系、业务操作指令的工业控制环境的行为白名单，从而可以及时识别和发现未定义的行为以及重要的业务操作指令的异常行为。可以设置监控指标告警阈值，触发告警并记录，对各类报警和日志信息进行关联分析和预警通报。

4.4编制网络安全管理制度

设立安全专属职能的管理部门和领导者及管理成员的岗位，制定总体安全方针，指明组织机构的总体目标和工作原则。对于安全管理成员的角色设计需按三权分立的原则来规划并落实，必须配备专职的安全成员来指导和管理安全的各方面工作。指派专人来制定安全管理制度，而且制度要经过上层组织机构评审和正式，保持对下发制度的定期评审和落实情况的核查。由专人来负责单位内人员的招聘录用工作，对人员的专业能力、背景及任职资格进行审核和考察，人员录用时需要跟被录用人签订保密协议和岗位责任书。编制完善的制度规范，编制范围应涵盖信息系统在规划和建设、安全定级与备案、方案设计、开发与实施、验收与测试以及完成系统交付的整个生命周期。针对不同系统建设阶段分别编制软件开发管理规范、代码编写规范、工程监理制度、测试验收制度，在测试和交付阶段记录和收集各类表单、清单。加强安全运维建设，制定包含物理环境管理、资产管理、系统设备介质管理以及漏洞风险管理等方面的规范要求，对于机房等办公区域的人员进出、设备进出进行记录和控制，建立资产管理制度规范系统资质的管理与使用行为，保存相关的资产清单，对各种软硬件资产做好定期维护，对资产采购、领用和发放制定严格的审批流程。针对漏洞做好风险管理，针对发现的安全问题采取相关的应对措施，形成书面记录和总结报告。在第三方外包人员管理方面应该与外包运维服务商签订第三方运维服务协议，协议中应明确外包工作范围和具体职责。

5结束语

由于工控系统安全性能不高和频繁爆发的网络安全攻击的趋势，近年来我国将网络安全建设提升到了国家安全战略的高度，并且制定了相关的标准、政策、技术、程序等来积极应对安全风险，业务主管部门还应进一步强化网络安全意识，开展网络安全评估，制定网络安全策略，提高工控网络安全水平，确保业务的安全稳定运行。

参考文献：

[1]石勇，刘巍伟，刘博.工业控制系统（ICS）的安全研究[J].网络安全技术与应用，2008（4）.

[2]李俊．工业控制系统信息安全管理措施研究[J].自动化与仪器仪表，2014（9）.