前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全工作报告主题范文,仅供参考,欢迎阅读并收藏。
一、2020年度网络安全检查工作组织开展情况
一、统一思想认识,提高政治站位。迅速召开专题会议,传达学习财政部网络安全和信息化领导小组办公室《关于地方财政部门进一步强化网络安全暨开展2020年网络安全检查的通知》文件精神,并对网络安全工作作出了重要指示和部署。
二、加强统一领导,落实安全责任。为进一步加强对网络安全检查自查工作的组织领导,成立了由局党组书记、局长吴冰同志为组长,各党组成员为副组长的自查工作领导小组,负责网络安全检查自查工作安排部署,严格对照核查内容和工作要求,认真开展了自查工作。
三、加强督查督导,确保整改到位。结合我县财政实际情况,组织安排好本地区财政系统网络安全检查工作,全面排查网络风险、漏洞和突出问题,及时部署整改措施,提高网络安全防护能力。
二、2020年网络安全检查情况汇总
一是组织领导方面。成立了由主要领导担任第一责任人、各相关股室参与、信息中心负责具体工作的财政系统安全保护工作领导小组,统一协调全局开展财政专网运行安全管理工作。
二是网络安全方面。一是做好本级计算机安全检查。从内外网是否混接、财政应用软件是否使用ukey登录、计算机杀毒、系统漏洞补丁修复、计算机实名制管理等方面对全局所有财政专网计算机进行网络安全检查。二是重新部署内网杀毒确保安全。所有金财网pc端及服务器均安装了省厅统一部署的亚信防病毒软件,所有外网安装了360、金山毒霸等杀毒软件;pc端及服务器均采用了登录强口令密码、数据库异地存储备份、数据加密等安全防护措施。三是切实抓好金财网、外网、媒介和应用软件的管理,对金财网pc端、外网pc端实行分网管理,严格区分内网和外网,确保内外网不混用、不同用。四是加强对硬件安全的管理,包括防尘、防潮、防雷、防火、防盗、和电源连接等;加强密码管理、ip管理、互联网行为管理等;加强计算机应用安全管理,包括邮件系统、资源库管理、软件管理等。
三是落实责任方面。一是建立健全相关制度。为确保计算机网络安全、建立健全了《计算机安全保密制度》、《网络信息安全管理制度》等一系列规章制度,确保本单位信息系统建设和网络安全能够正常运行。二是制定了《县财政局网络安全应急预案》,按照要求定期开展应急演练。三是按照州财政局要求,联合县电信公司对全县金财网ip地址进行了规范改造。四是结合省财政厅相关要求,正在对关键系统开展等保评测工作,严格按照网络安全行业主管部门的要求,及时查漏补缺,完成评测整改工作。确保核心业务系统安全运行,保障全县财政业务正常开展。五是对照国家等级保护2.0标准及省财政厅制定的相关技术规范添置入侵检测、入侵防护、安全审计、数据备份等网络安全防护设备。强化网络安全硬件保障基础,补齐网络安全硬件建设上的短板。
四是宣传教育方面。一是加强网络安全学习培训。定期不定期组织全局人员专题培训等方式全方位宣传学习《网络安全法》等。二是积极主动对接当地网信办及网安部门,参加网络安全宣传周活动,每年定期组织预算单位财务人员集中培训网络安全知识与日常管理技巧,提高网络安全意识,防范不规范操作,规避内外网互联风险。
五是落实经费方面。将网络安全建设经费纳入年初预算,确保经费保障充足,相继采购防火墙、堡垒机、安全管理系统等网络安全产品,进一步提高了网络安全技术保障能力。
三、存在的问题
一、整体安全状况的基本判断
从检查情况看,网络与信息安全总体情况良好。始终把信息安全作为信息化工作的重点内容,网络信息安全工作机构健全、责任明确,日常管理维护工作比较规范;管理制度完善,技术防护措施得当,信息安全风险得到有效降低;比较重视信息系统系统管理员和网络安全技术人员培训,应急预案与应急处置技术队伍有落实,工作经费有一定保障,基本保证了网信息系统持续安全稳定运行。
二、发现的主要问题和薄弱环节
虽然我县财政系统网络安全在上级部门的指导下取得了一定的成绩,但在检查过程中也发现了一些管理方面存在的薄弱环节,如网络信息安全知识宣传较少、网络安全管理专业技术力量薄弱等。
关键字 电子商务 网络安全 事件类型 安全建议
1前言
随着Internet的快速发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。国家计算机网络应急技术处理协调中心(以下简称CNCERT/CC)作为接收国内网络安全事件报告的重要机构,2005年上半年共收到网络安全事件报告65679件,为2004年全年64686件还要多。在CNCERT/CC处理的网络安全事件报告中,网页篡改占45.91%,网络仿冒占29%,其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等,2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。数字显示,电子商务等网站极易成为攻击者的目标,其安全防范有待加强。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
2影响电子商务发展的主要网络安全事件类型
一般来说,对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等,而近几年来出现的网络仿冒(Phishing),已逐步成为影响电子商务应用与发展的主要威胁之一。
2.1网络篡改
网络篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。
2.2网络蠕虫
网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其它系统进行传播。网络蠕虫的危害通常有两个方面:1、蠕虫在进入被攻击的系统后,一旦具有控制系统的能力,就可以使得该系统被他人远程操纵。其危害一方面是重要系统会出现失密现象,另一方面会被利用来对其他系统进行攻击。2、蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。
2.3拒绝服务攻击
拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。
一般来说,这是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。
2.4特罗伊木马
特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界连接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其它系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。
2.4网络仿冒(Phishing)
Phishing又称网络仿冒、网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡帐号、用户名、密码、社会福利号码等,随后利用骗得的帐号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。
根据国际反仿冒邮件工作小组(Anti-Phishing Working Group,APWG)统计,2005年4月共有2854起仿冒邮件事件报告;从2004年7月至2005年4月,平均每月的仿冒邮件事件报告数量的递增达率15%;仅在2005年4月,就共有79个各类机构被仿冒。2005年上半年CNCERT/CC广东分中心就处理了15多期的网络仿冒事件。从这些数字可以看到,Phishing事件不仅数量多、仿冒范围大,而且仍然在不断增长。
网络仿冒者为了逃避相关组织和管理机构的打击,充分利用互联网的开放性,往往会将仿冒网站建立在其他国家,而又利用第三国的邮件服务器来发送欺诈邮件,这样既便是仿冒网站被人举报,但是关闭仿冒网站就比较麻烦,对网络欺诈者的追查就更困难了,这是现在网络仿冒犯罪的主要趋势之一。
据统计,中国已经成为第二大仿冒网站的属地国,仅次于美国,而就目前CNCERT/CC的实际情况来看,已经接到多个国家要求协助处理仿冒网站的合作请求。因此,需要充分重视网络仿冒行为的跨国化。
3安全建议
随着网络应用日益普及和更为复杂,网络安全事件不断出现,电子商务的安全问题日益突出,需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施,才能有效保护电子商务的正常应用与发展。
3.1不断完善法律与政策依据 充分发挥应急响应组织的作用
目前我国对于互联网的相关法律法规还较为欠缺,尤其是互联网这样一个开放和复杂的领域,相对于现实社会,其违法犯罪行为的界定、取证、定位都较为困难。因此,对于影响电子商务发展的基于互联网的各类网络安全事件的违法犯罪行为的立法,需要一个漫长的过程。
根据互联网的体系结构和网络安全事件的特点,需要建立健全协调一致,快速反应的各级网络应急体系。要制定有关管理规定,为网络安全事件的有效处理提供法律和政策依据。
转贴于 互联网应急响应组织是响应并处理公共互联网网络与信息安全事件的组织,在我国,CNCERT/CC是国家级的互联网应急响应组织,目前已经建立起了全国性的应急响应体系;同时,CNCERT/CC还是国际应急响应与安全小组论坛(FIRST,Forum of Incident Response and Security Teams)等国际机构的成员。
应急响应组织通过发挥其技术优势,利用其支撑单位,即国内主要网络安全厂商的行业力量,为相关机构提供网络安全的咨询与技术服务,共同提高网络安全水平,能有效减少各类的网络事件的出现;通过聚集相关科研力量,研究相关技术手段,以及如何建立新的电子交易的信任体系,为电子商务等互联网应用的普及和顺利发展提供前瞻性的技术研究方面具有积极意义。
对于目前跨国化趋势的各类网络安全事件,可以通过国际组织之间的合作,利用其协调机制,予以积极处理。事实上,从CNCERT/CC成立以来,已经成功地处理了多起境外应急响应组织提交的网络仿冒等安全事件协查请求,关闭了上百个各类仿冒网站;同时,CNCERT/CC充分发挥其组织、协调作用,成功地处理了国内网页篡改、网络仿冒、木马等网络安全事件。
3.2建立整体的网络安全架构 切实保障电子商务的应用发展
从各类网络安全事件分析中我们看到,电子商务的网络安全问题不是纯粹的计算机安全问题,从企业的角度出发,应该建立整体的电子商务网络安全架构,结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。
3.2.1安全管理
安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,相关人员的安全意识的培训、教育,日常安全管理的具体要求与落实等。
3.2.2安全保护
安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护,通常是一些基本的防护,不具有实时性,如在防火墙的规则中实施一条安全策略,禁止所有外部网用户到内部网Web服务器的连接请求,一旦这条规则生效,它就会持续有效,除非我们改变这条规则。这样的保护能预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
3.2.3安全监控/审计
安全监控主要是指实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的。审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录通过网络的所有数据包,然后分析这些数据包,帮助查找已知的攻击手段、可疑的破坏行为,来达到保护网络的目的。
安全监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,网络安全不是一成不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。可以这样说,安全保护是基本,安全监控和审计是其有效的补充,两者的有效结合,才能较好地满足动态安全的需要。
3.2.4事件响应与恢复
事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时,能及时做出响应,这需要建立一套切实有效、操作性强的响应机制,及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分,因为网络构筑没有绝对的安全,安全事件的发生是不可能完全避免的,当安全事件发生的时候,应该有相应的机制快速反应,以便让管理员及时了解攻击情况,采取相应措施修改安全策略,尽量减少并弥补攻击的损失,防止类似攻击的再次发生。
当安全事件发生后,对系统可能会造成不同程度的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制能尽快恢复系统的正常应用,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。 4小结
Internet的快速发展,使电子商务逐渐进入人们的日常生活,而伴随各类网络安全事件的日益增加与发展,电子商务的安全问题也变得日益突出,建立一个安全、便捷的电子商务应用环境,已经成为商家和用户密切关注的话题。
本文主要从目前深刻影响电子商务应用与发展的几种主要的网络安全事件类型出发,阐述了电子商务的网络安全问题,并从国家相关法制建设的大环境,应急响应组织的作用与意义,以及企业具体的电子商务网络安全整体架构等方面,给出一些建议与思考。
参考文献
1
CNCERT/CC.“2005年上半年网络安全工作报告”
2
CNCERT/CC上海分中心.“网络欺诈的分析和研究”.2005年3月
3
关键词:校园网;网络安全;入侵检测
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)31-0800-03
The Cooperative Intrusion Detection System Model Based on Campus Network
LI Ang1,2, HU Xiao-long1
(1.School of Information Science and Engineering, Central South University, Changsha 410075, China; 2.Modern Education Technology Center, Hunan Institute of Technology, Hengyang 421002, China)
Abstract: Through the existing analysis of network security and intrusion detection technology, this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly, processes in multilateral cooperation, and constructs the large-network IDS. Then, it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions, this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.
Key words: campus network; network security; intrusion detection
1 网络安全形势分析
2007年,我国公共互联网网络整体上运行基本正常,但从CNCERT/CC接收和监测的各类网络安全事件情况可以看出,网络信息系统存在的安全漏洞和隐患层出不穷,利益驱使下的地下黑客产业继续发展,网络攻击的种类和数量成倍增长,终端用户和互联网企业是主要的受害者,基础网络和重要信息系统面临着严峻的安全威胁。在地下黑色产业链的推动下,网络犯罪行为趋利性表现更加明显,追求经济利益依然是主要目标。黑客往往利用仿冒网站、伪造邮件、盗号木马、后门病毒等,并结合社会工程学,窃取大量用户数据牟取暴利,包括网游账号、网银账号和密码、网银数字证书等。木马、病毒等恶意程序的制作、传播、用户信息窃取、第三方平台销赃、洗钱等各环节的流水作业构成了完善的地下黑色产业链条,为各种网络犯罪行为带来了利益驱动,加之黑客攻击手法更具隐蔽性,使得对这些网络犯罪行为的取证、追查和打击都非常困难[1]。
从IDC网络安全调查数据来看,网络的安全威胁主要来自三个方面:第一、网络的恶意破坏者,也就是我们所说的黑客,造成的正常网络服务的不可用、系统/数据的破坏;第二、无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播;第三、就是别有用心的间谍人员,通过窃取他人身份进行越权数据访问,以及偷取机密的或者他人的私密信息。其中,由于内部人员而造成的网络安全问题占到了70% 。
纵观高校校园网安全现状,我们会发现同样符合上面的规律,即安全主要来自这三方面。而其中,来自校园网内部的安全事件占到了绝大多数。这与校园网的用户是息息相关的。一方面,高校学生这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索的高智商和冲劲,却缺乏全面思考的责任感。同时网络也使得黑客工具等的获取更加的轻松。另一方面,校园网内却又存在着很多这样的用户,他们使用网络来获取资料,在网络上办公、娱乐,但是安全意识却明显薄弱,他们不愿意或者疏于安装防火墙、杀毒软件。
此外,我们的网络管理者会发现,还面临这其他一些挑战,比如:
1) 用户可以在随意接入网络,出现安全问题后无法追查到用户身份;
2) 网络病毒泛滥,网络攻击成上升趋势。安全事件从发现到控制,基本采取手工方式,难以及时控制与防范;
3) 对于未知的安全事件和网络病毒,无法控制;
4) 用户普遍安全意识不足,校方单方面的安全控制管理,难度大;
5) 现有安全设备工作分散,无法协同管理、协同工作,只能形成单点防御。各种安全设备管理复杂,对于网络的整体安全性提升有限。
6) 某些安全设备采取网络内串行部署的方式,容易造成性能瓶颈和单点故障;
7) 无法对用户的网络行为进行记录,事后审计困难;
总之,网络安全保障已经成为各相关部门的工作重点之一,我国互联网的安全态势将有所改变。
2 入侵检测概述
James Aderson在1980年使用了“威胁”概述术语,其定义与入侵含义相同。将入侵企图或威胁定义未经授权蓄意尝试访问信息、窜改信息、使系统不可靠或不能使用。Heady给出定外的入侵定义,入侵时指任何企图破坏资源的完整性、机密性及可用性的活动集合。Smaha从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。
从技术上入侵检测系统可分为异常检测型和误用检测型两大类。异常入侵检测是指能够根据异常行为和使用计算机资源情况检测出来的入侵。异常检测试图用定量方式描述可接受的行为特征,以区别非正常的、潜在入侵。误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。与异常入侵检测相反,误用入侵检测能直接检测不利的或不可接受的行为,而异常入侵检测是检查同正常行为相违背的行为。
从系统结构上分,入侵检测系统大致可以分为基于主机型、基于网络型和基于主体型三种。
基于主机入侵检测系统为早期的入侵检测系统结构、其检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机上。这种类型系统依赖于审计数据或系统日志准确性和完整性以及安全事件的定义。若入侵者设法逃避设计或进行合作入侵,则基于主机检测系统就暴露出其弱点,特别是在现在的网络环境下。单独地依靠主机设计信息进行入侵检测难以适应网络安全的需求。这主要表现,一是主机的审计信息弱点,如易受攻击,入侵者可通过通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击(域名欺骗、端口扫描等)。因此,基于网络入侵检测系统对网络安全是必要的,这种检测系统根据网络流量、协议分析、简单网络管理协议信息等数据检测入侵。主机和网络型的入侵检测系统是一个统一集中系统,但是,随着网络系统结构复杂化和大型化,系统的弱点或漏洞将趋向于分布式。另外,入侵行为不再是单一的行为,而是表现出相互协作入侵特点。入侵检测系统要求可适应性、可训练性、高效性、容错性、可扩展性等要求。不同的IDS之间也需要共享信息,协作检测。于是,美国普度大学安全研究小组提出基于主体入侵检测系统。其主要的方法是采用相互独立运行的进程组(称为自治主体)分别负责检测,通过训练这些主体,并观察系统行为,然后将这些主体认为是异常的行为标记出来,并将检测结果传送到检测中心。另外,S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。
对于入侵检测系统评估,主要性能指标有:
1) 可靠性――系统具有容错能力和可连续运行;
2) 可用性――系统开销要最小,不会严重降低网络系统性能;
3) 可测试――通过攻击可以检测系统运行;
4) 适应性――对系统来说必须是易于开发和添加新的功能,能随时适应系统环境的改变;
5) 实时性――系统能尽快地察觉入侵企图以便制止和限制破坏;
6) 准确性――检测系统具有低的误警率和漏警率;
7) 安全性――检测系统必须难于被欺骗和能够保护自身安全[4]。
3 协作式入侵检测系统模型
随着黑客入侵手段的提高,尤其是分布式、协同式、复杂模式攻击的出现和发展,传统、单一、缺乏协作的入侵检测技术已不能满足需求,要有充分的协作机制,下面就提出协作式入侵检测的基本模型。
3.1 协作式入侵检测系统由以下几个部分组成
1) 安全认证客户端(SU)。能够执行端点防护功能,并参与用户的身份认证过程。参与了合法用户的验证工作完成认证计费操作,而且还要完成安全策略接收、系统信息收集、安全漏洞上传,系统补丁接收修复等大量的工作,对系统的控制能力大大增强。
2) 安全计费服务器(SMA)。承担身份认证过程中的Radius服务器角色,负责对网络用户接入、开户,计费等系统管理工作外,还要负责与安全管理平台的联动,成为协作式入侵检测系统中非常重要的一个环节。
3) 安全管理平台(SMP)。用于制定端点防护策略、网络攻击防护防止规则,协调系统中的其他组件在网络资源面临的安全威胁进行防御,能够完成事前预防、事中处理、事后记录等三个阶段的工作。智能的提供一次配置持续防护的安全服务。
4) 安全事件解析器(SEP)。接收处理NIDS发送过来的网络攻击事件信息,处理后发送给安全管理平台,目的是屏弊不同厂家的NIDS的差异,把不同厂商、不同的入侵事件转换成统一的安全管理平台能处理的格式转发给安全管理平台,便于安全管理平台处理。
5) 入侵检测系统(IDS)。网络入侵检测设备,对网络流量进行旁路监听,检测网络攻击事件,并通过SEP向安全管理平台反馈网络攻击事件,由安全管理平台处埋这些攻击事件。一个网络中可以布暑多个IDS设备。
入侵检测系统由三个部分组成:
1) Sensor探测器,也就是我们常看到的硬件设备,它的作用是接入网络环境,接收和分析网络中的流量。
2) 控制台:提供GUI管理界面,配置和管理所有的传感器并接收事件报警、配置和管理对于不同安全事件的响应方式、生成并查看关于安全事件、系统事件的统计报告,控制台负责把安全事件信息显示在控制台上。
3) EC(Event Collector)事件收集器,它主要起以下作用:负责从sensor接收数据、收集sensor日志信息、负责把相应策略及签名发送给sensor、管理用户权限、提供对用户操作的审计,向SEP发送入侵事件等工作。EC可以和控制台安装在同一个工作站中。
3.2 协作式入侵检测系统中组件间的交互过程
1) SAM和SMP的交互过程
在协作式入侵检测系统中,SMP同SAM的关系就是,SMP连接到SAM。连接成功后,接收SAM发送的接入用户上线,下线消息。Su上线,SAM发送用户上线消息。Su下线,SAM发送用户下线消息。Su重认证,SAM发送用户上线消息。
2) JMS相关原理
SMP同SAM之间的交互是通过JMS(Java Message Service)。SAM启动JBoss自带的JMS服务器,该服务器用于接收和发送JMS消息。SAM同时也作为JMS客户端(消息生产者),负责产生JMS信息,并且发送给JMS服务器,SMP也是JMS客户端(消息消费者)。目前SAM所实现的JMS服务器是以“主题”的方式的,即有多少个JMS客户端到JMS服务器订阅JMS消息,JMS服务器就会发送给多少个JMS客户端。当然了消息生产者也可以多个。相当于JMS服务器(如SAM)是一个邮局,其它如JMS客户端(如SMP,NTD)都是订阅杂志的用户,同时SAM也作为出版商产生杂志。这样,SAM产生用户上下线消息,发送到SAM所在Jboss服务器的JMS服务器中,JMS服务器发现SMP订阅了该消息,则发送该消息给SMP。
在协作式入侵检测系统中,SMP就是JMS客户端,SAM既作为JMS消息生产者,也作为JMS服务器。当SMP启动时,SMP通过1099端口连接到SAM服务器,并且进行JMS消息的订阅,订阅成功后,即表示SMP同SAM联动成功。当用户通过su上线成功后,SAM根据JMS的格式,产生一条JMS信息,然后发送给JMS服务器,JMS服务器检查谁订阅了它的JMS消息,然后发送给所有的JMS用户。
3) SU和SMP的交互过程
间接交互:对于Su上传的端点防护HI状态(成功失败),HI配置文件更新请求,每个Su请求的响应报文,SMP下发给Su的相关命令,均通过交换机进行透传,即上传的信息都包含再SNMP Trap中,下发的信息都包含在SNMP Set报文中。交换机将Su上传的EAPOL报文封装在SNMP Trap包中,转发给SMP。交换机将SMP下发的SNMP Set报文进行解析,提取出其中包含的EAPOL报文,直接转发给Su。这样就实现了Su同SMP的间接交互,隐藏了SMP的位置。
直接交互:对于一些数据量较大的交互,无法使用EAPOL帧进行传输(帧长度限制)。因此Su从SMP上面下载HI配置文件(FTP服务,端口可指定),Su发送主机信息给SMP的主机信息收集服务(自定义TCP协议,端口5256,能够通过配置文件修改端口),都是由SU和SMP直接进行交互。
4) SMP同交换机之间的交互
交换机发送SNMP Trap报文给SMP。交换机发送的SNMP Trap都是用于转发Su上传的消息,如果没有Su,交换机不会发送任何同GSN方案相关的Trap给SMP的。
SMP发送SNMP Get和SNMP Set给交换机:a) 在用户策略同步时,会先通过SNMP Get报文从交换机获取交换机的策略情况;b) 安装删除策略时,SMP将策略相关信息发送SNMP Set报文中,发送给交换机;c) 对用户进行重人证,强制下线,获取HI状态,手动获取主机信息等命令,都是通过SNMP Set发送给交换机的,然后由交换机解释后,生成eapol报文,再发送给su,由su进行实际的操作。
5) SMP与SEP交互
SEP在收到NIDS检测到的攻击事件后(这个攻击事件是多种厂商的NIDS设备通过Syslog、UDP、SNMP等报文的形式发送到SEP的),SEP处理完这些不同厂商发现不同攻击事件的信息后,以UDP的方式发送到SMP中,完成SEP和SMP的交互过程,这是一个单向的过程,也就是说SMP只从SEP中接收数据,而不向SEP发送数据。
6) SEP与NIDS交互
首先NIDS检测到某个IP和MAC主机对网络的攻击事件,并把结果通过Syslog、UDP、SNMP等报文的形式发送到SEP(安全事件解析器),安全事件解析器SEP再把这个攻击事件通过UDP报文转发到SMP(安全管理平台)。
3.3 协作式入侵检测系统工作原理及数据流图
协作式入侵检测系统工作原理:
1) 身份认证――用户通过安全客户端进行身份认证,以确定其在该时间段、该地点是否被允许接入网络;
2) 身份信息同步――用户的身份认证信息将会从认证计费管理平台同步到安全策略平台。为整个系统提供基于用户的安全策略实施和查询;
3) 安全事件检测――用户访问网络的流量将会被镜像给入侵防御系统,该系统将会对用户的网络行为进行检测和记录;
4) 安全事件通告――用户一旦触发安全事件,入侵防御系统将自动将其通告给安全策略平台;
5) 自动告警――安全策略平台收到用户的安全事件后,将根据预定的策略对用户进行告警提示;
6) 自动阻断(隔离)――在告警提示的同时,系统将安全(阻断、隔离)策略下发到安全交换机,安全交换机将根据下发的策略对用户数据流进行阻断或对用户进行隔离;
7) 修复程序链接下发――被隔离至修复区的用户,将能够自动接收到系统发送的相关修复程序链接;
8) 自动获取并执行修复程序――安全客户端收到系统下发的修复程序连接后,将自动下载并强制运行,使用户系统恢复正常。
协作式入侵检测数据流图见图3。
4 结束语
由于各高校实力不一、校园网规模不一,出现了许多问题,其中最主要的是“有硬无软”和“重硬轻软” 。特别是人们的安全意识淡薄,虽然网络安全硬件都配备齐全,但关于网络的安全事故却不断发生,使校园网的安全面临极大的威胁。因此,随着校园网规模的不断扩大,如何确保校园网正常、高效和安全地运行是所有高校都面临的问题。该文结合高校现在实际的网络环境,充分利用各种现有设备,构建出协作式入侵检测系统,实现了“多兵种协同作战” 的全局安全设计,同时将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。
参考文献:
[1] CNCERT/CC[P].网络安全工作报告,2007.
[2] 张晓芬,陈明奇,等.入侵检测系统(IDS)的发展[J].信息安全与通信保密,2002(03).
一、加强学习,不断提高。认真学习党的十七大精神,在自学和组织学习的基础上,学习紧紧围绕主题,深刻领会科学发展观的科学内涵,探求发展规律,收到良好效果。学习温总理《政府工作报告》、学习《》(修正案),学习抗震救灾英雄教师的先进事迹。通过教育学习,大家的精神面貌更加振奋,主人翁意识更加坚定,服务态度更加热情,工作责任心进一步增强。
二、积极开展节能减排活动,向管理要效益。为完善制度,规范管理,今年制定了《关于开展节能减排活动的意见》。把牢节电关,减少浪费;针对部分公共部位长明灯现象,明确最终责任人,从点滴做好节电工作。在洗刷间,张贴节水宣传录,以提高师生节水意识;加强巡查,及时发现修复坏损水设备,减少跑漏;适时进行管线改造,从源头采取措施,努力做好节水工作。保证了学校用水需要。今年电费开支约1.5万元,比减少1万元。争取在安全用电、降低用水方面进一步做好工作。
三、规范操作,积极做好校舍维修。积极从多方渠道争取资金完成了对教学楼的部分教室维修粉刷工作;完成了日常房屋和相关设备维修工作。及时对下水道、化粪池的漏水、漏粪影响社区居民的实际问题进行了解决。
四、规范物品采购,把好质价关。对于纳入政府采购的物品,依据相关政策法规进行规范操作。对于不纳入政府采购的常用物品,坚持做到“货比三家”,定期比价,及时掌握市场行情,以确保所采购的各类物品质优价廉,全年累计采购常用物品1万余元。在工作中能积极做好各部门急需物品的采购工作,努力保证物品急时供给。
五、加强资产管理,提高保障服务水平。严格执行学校制定的各项资产管理制度。做好校产的验收、移交、调拨、报废等方面的日常管理工作;做好各类资产报表的统计工作;做好每学期固定资产清查核和低值品的核对工作,确保各类资产的安全性和数据资料的准确性。做好低值耐用品的日常管理和常用办公用品、设备耗材等物资的保障、发放工作;注意抓好物品管理协调工作,努力使“物尽其用”,避免不必要的浪费。全年发放常用办公用品和设备耗材近万元。
六、规范食堂管理,提高饭菜质量。确保食堂保障正常。针对学生家庭困难的特点,主动与他们沟通,适时召开师生座谈会,分析情况,征求意见,在物价居高不下,成本不断提高的情况下,通过努力使食堂管理逐步规范,伙食保障基本平稳,服务水平不断提高。
七、建立广泛的信息渠道,努力做好日常维修及通信保障工作。日常维修点多面广项目多,为实现维修工作快速及时的承诺,维修管理人员根据学校实际,学生宿舍由以前宿管员每日报修改为主动上门巡察服务,实现了日常维修快速及时的承诺。对公共设施设备的维修,坚持巡视检查制度,发现问题,及时修理,保障了教学服务和教学需要。认真做好通信设施维护工作,确保电话线路的畅通。
八、高标准做好校园保洁保绿工作。高标准做好校园绿化和校园保洁工作。为进一步提高保洁水平,继续坚持不间断保洁,加强岗位操作制度和巡检制度的落实。花木养护工作在做好浇水、施肥、剪修和防治虫害的同时,注重在养肥养秀方面下功夫。通过共同努力,校园绿化和保洁水平不断提升。
九、进一步深化“平安校园”建设。根据学校年度安全工作部署,以“区级治安安全示范单位”建设为目标,强化校内社会治安综合治理,努力确保师生人身安全、学校财产安全,切实维护学校的安全稳定,较好地完成了年初制订的工作计划,基本实现了预期目标。健全制度预案,促进规范有序管理。灭火和应急疏散预案、应急救治和疾病预防措施、处置食物中毒事件应急预案等,为最大程度地预防各类突发事件和减少突发事件造成的损失,保证师生的生命和财产安全,维护校园稳定提供了制度保障。突出工作重点,确保校园安全稳定。校内各类人员进出难以控制,给安全管理工作带来很大难度,年秋学校通过各方努力将后门通道进行了封堵。开展在校生安全防范教育。
一年来,积极配合派出所、交警队、森林派出所等单位通过多形式、多渠道开展在校生的法制教育及交通安全、人身安全、网络安全、危害、森林火灾等方面的宣传教育,进一步增强了在校生的法制观念、安全意识,提高了学生防范自救的能力和参与和谐平安校园建设的积极性。在校园主要通道、公共部位安装了监控探头,并对所有监控设施进行了整合,将控制室移至门卫室。目前,校园内重点要害部位实现了监控全覆盖,为确保学校财产安全和及时发现处理安全隐患、事故苗头提供了有力保障。贯彻防消结合的消防工作方针,落实防火责任制。为确保学校的防火安全,严格执行消防安全制度,每月进行全面的消防专项检查,对校内所有消防设施、器材进行定期保养、更新。确保了消防设施配备合理、安全有效。为提高处置能力,年秋季组织了一次由保安、宿管员和各重点防范部位责任人参加的消防安全教育和灭火演练。