于勃，王磊

（1．國(guó)網(wǎng)西藏電力研究院，拉薩850000；2．國(guó)網(wǎng)山東省電力公司信息通信公司，濟(jì)南250001）

高原環(huán)境下網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工具

于勃1，王磊2

（1．國(guó)網(wǎng)西藏電力研究院，拉薩850000；2．國(guó)網(wǎng)山東省電力公司信息通信公司，濟(jì)南250001）

在高原環(huán)境下，由于高海拔和寬地域，網(wǎng)絡(luò)入侵事件無(wú)法及時(shí)處理，導(dǎo)致事態(tài)擴(kuò)大。自適應(yīng)高原環(huán)境的網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)工具采用集成安全應(yīng)急響應(yīng)技術(shù)，遠(yuǎn)程及時(shí)、便捷地處理入侵事件，克服高原環(huán)境下設(shè)備運(yùn)輸不便、地域遠(yuǎn)等問(wèn)題。經(jīng)測(cè)試，具有較好的時(shí)效性和實(shí)用性。

高原環(huán)境；網(wǎng)絡(luò)安全；應(yīng)急響應(yīng)

0 引言

在高原地區(qū)，由于高海拔和地域?qū)拸V，一旦出現(xiàn)網(wǎng)絡(luò)故障和入侵事件，無(wú)法像沿海地區(qū)那樣快速響應(yīng)，同時(shí)由于高海拔、日溫差大、強(qiáng)烈日照輻射等惡劣工況，使得常用的各類網(wǎng)絡(luò)安全設(shè)備經(jīng)常會(huì)出現(xiàn)不正常工作狀態(tài)，從而會(huì)導(dǎo)致入侵事件處理延遲、事態(tài)擴(kuò)大，有時(shí)會(huì)引起社會(huì)反響。因此有必要研究在高原環(huán)境下可以進(jìn)行快速響應(yīng)的網(wǎng)絡(luò)安全應(yīng)急工具。

西藏平均海拔在4 000 m以上，氣候干燥、空氣稀薄，號(hào)稱“世界屋脊”、“生命禁區(qū)”，這里海拔高、氣溫低、日溫差大、有時(shí)有沙塵暴、強(qiáng)烈日照輻射。IEC、ISO國(guó)際標(biāo)準(zhǔn)規(guī)定的電器產(chǎn)品適用海拔高度一般不超過(guò)1 000 m，個(gè)別達(dá)到2 000 m，而西藏由于高海拔造成的低氣壓、空氣稀薄，使信息安全設(shè)備面臨著許多故障問(wèn)題：比如材料工況惡化，降低設(shè)備冷卻系統(tǒng)散熱效率；電器設(shè)備易產(chǎn)生外絕緣放電、電暈等現(xiàn)象，加速絕緣材料和設(shè)備失效損壞；電子元器件在高原環(huán)境下性能也會(huì)受到極大影響，故障率明顯增加；日溫差大易使材料和設(shè)備結(jié)構(gòu)部件開(kāi)裂、變形，設(shè)備內(nèi)部凝露受潮會(huì)加速金屬腐蝕；沙塵進(jìn)入引起設(shè)備運(yùn)轉(zhuǎn)部件機(jī)械損傷加速磨損；阻礙通風(fēng)散熱系統(tǒng)導(dǎo)致發(fā)生故障；腐蝕性或?qū)щ娦苑蹓m沉積在物質(zhì)表面吸濕潮解后，也會(huì)使其加速腐蝕，出現(xiàn)絕緣漏電或短路現(xiàn)象。這些高原特有環(huán)境會(huì)導(dǎo)致信息安全應(yīng)急響應(yīng)設(shè)備經(jīng)常出現(xiàn)不能正常工作的問(wèn)題。同時(shí)由于西藏地廣人稀，對(duì)于許多網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)來(lái)說(shuō)，工作人員無(wú)法多次往返網(wǎng)絡(luò)安全故障現(xiàn)場(chǎng)，從而希望前往現(xiàn)場(chǎng)一次就能解決故障問(wèn)題。

1 應(yīng)急響應(yīng)要求

安全事件應(yīng)急響應(yīng)是指針對(duì)已經(jīng)發(fā)生或可能發(fā)生的安全事件進(jìn)行監(jiān)控、分析、協(xié)調(diào)、處理、保護(hù)資產(chǎn)安全屬性的活動(dòng)。安全事件應(yīng)急響應(yīng)工作的特點(diǎn)是高度的壓力、短暫的時(shí)間和有限的資源。應(yīng)急響應(yīng)是一項(xiàng)需要充分準(zhǔn)備并嚴(yán)密組織的工作。它必須避免不正確的和可能是災(zāi)難性的動(dòng)作或忽略了關(guān)鍵步驟的情況發(fā)生。它的大部分工作應(yīng)該是對(duì)各種可能發(fā)生的安全事件制定應(yīng)急預(yù)案，并通過(guò)多種形式的應(yīng)急演練，不斷提高應(yīng)急預(yù)案的實(shí)際可操作性［1］。具有必要技能和相當(dāng)資源的應(yīng)急響應(yīng)組織是安全事件響應(yīng)的保障。應(yīng)急響應(yīng)除了需要技術(shù)方面的技能外，還需要必備的安全應(yīng)急響應(yīng)工具。常見(jiàn)的網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)工具有日志分析系統(tǒng)、漏洞掃描系統(tǒng)、入侵檢測(cè)系統(tǒng)等。但是在西藏高原環(huán)境下，一旦發(fā)生網(wǎng)絡(luò)入侵安全事件，安全應(yīng)急響應(yīng)人員無(wú)法一次攜帶許多設(shè)備前往現(xiàn)場(chǎng)。急需一種網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)的集成工具，集成漏洞掃描、日志檢查、安全配置檢查等功能于一體，同時(shí)硬件須適應(yīng)高原特有環(huán)境條件，便于攜帶，易使用，多功能，便于在西藏高原地區(qū)快速開(kāi)展網(wǎng)絡(luò)入侵安全應(yīng)急響應(yīng)工作。

2 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工具設(shè)計(jì)

作為集成化的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工具需要集成漏洞掃描、日志檢查、安全配置、抓包分析等功能，因此工具采用模塊化設(shè)計(jì)，如圖1所示，依次分為4層：數(shù)據(jù)處理引擎層、系統(tǒng)核心層、報(bào)告引擎層、系統(tǒng)界面層，每層內(nèi)部劃分不同的功能模塊，滿足高原環(huán)境下集成安全應(yīng)急響應(yīng)工具的需要。工具硬件平臺(tái)采用專用的適應(yīng)高原環(huán)境高配置筆記本電腦，以適應(yīng)高原環(huán)境的需要。

圖1 模塊化的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工具設(shè)計(jì)

2.1 數(shù)據(jù)處理引擎層

數(shù)據(jù)處理引擎層主要包含數(shù)據(jù)處理引擎和系統(tǒng)服務(wù)引擎。數(shù)據(jù)處理引擎是系統(tǒng)內(nèi)部的數(shù)據(jù)接口，提供了數(shù)據(jù)庫(kù)訪問(wèn)、數(shù)據(jù)緩存、數(shù)據(jù)同步等功能。數(shù)據(jù)處理引擎屏蔽了數(shù)據(jù)庫(kù)系統(tǒng)操作的細(xì)節(jié)，減少數(shù)據(jù)庫(kù)的連接，優(yōu)化數(shù)據(jù)庫(kù)的訪問(wèn)，緩存常用的計(jì)算復(fù)雜數(shù)據(jù)，集中處理數(shù)據(jù)的邏輯，降低了其他功能模塊的維護(hù)工作量。

系統(tǒng)服務(wù)引擎是系統(tǒng)內(nèi)部的功能接口，提供了系統(tǒng)還原點(diǎn)備份與恢復(fù)、任務(wù)數(shù)據(jù)導(dǎo)入導(dǎo)出等功能。系統(tǒng)服務(wù)引擎解耦了前臺(tái)操作和后臺(tái)操作，后臺(tái)功能以特定的權(quán)限運(yùn)行，增加了系統(tǒng)的安全性。

2.2 系統(tǒng)核心層

系統(tǒng)核心層包含掃描處理模塊（主機(jī)發(fā)現(xiàn)、操作系統(tǒng)識(shí)別、服務(wù)識(shí)別、弱口令檢測(cè)、漏洞掃描）、日志分析模塊、配置核查模塊、抓包分析模塊、證書(shū)升級(jí)模塊等，同時(shí)還具有較多可擴(kuò)展的模塊和插件。這層主要實(shí)現(xiàn)網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)各類功能。

2.3 報(bào)告引擎層

報(bào)表引擎層主要包括報(bào)告引擎和調(diào)度引擎，報(bào)告引擎是報(bào)表展示的核心處理模塊，能夠提供HTML、WORD、EXCEL、PDF等多種報(bào)表格式。調(diào)度引擎是掃描工作的協(xié)調(diào)中心，根據(jù)用戶操作不同可能有立即執(zhí)行的任務(wù)、定時(shí)執(zhí)行的任務(wù)、周期執(zhí)行的任務(wù)等，檢測(cè)出任務(wù)的類型和優(yōu)先級(jí)，進(jìn)行漏洞掃描或者配置檢查、口令猜測(cè)。

2.4 系統(tǒng)界面層

系統(tǒng)接入層包含了用戶通過(guò)瀏覽器訪問(wèn)Web頁(yè)面、通過(guò)串口訪問(wèn)控制臺(tái)、通過(guò)數(shù)據(jù)接口進(jìn)行數(shù)據(jù)交互等方式，其中數(shù)據(jù)接口包含第三方平臺(tái)管理數(shù)據(jù)接口、SNMP Trap。

3 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工具特點(diǎn)

3.1 集成化自動(dòng)處理

網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)工具支持全方位的安全漏洞掃描、安全配置、日志分析、數(shù)據(jù)抓包分析，包含了日常安全應(yīng)急響應(yīng)的主要工作內(nèi)容，通過(guò)集成化和統(tǒng)一化的自動(dòng)處理，實(shí)現(xiàn)了工具的有效集成。特別在高原環(huán)境下，可以較好地啟動(dòng)和攜帶，可以更好地實(shí)現(xiàn)高原環(huán)境下的網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)。

3.2 便攜設(shè)備隨時(shí)響應(yīng)

網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)工具為高原環(huán)境特有便攜式設(shè)備，小巧輕便，在保證快速應(yīng)急響應(yīng)的基礎(chǔ)上，方便攜帶進(jìn)行現(xiàn)場(chǎng)安全檢查，實(shí)現(xiàn)性能和便攜要求的統(tǒng)一。

工具提供多種靈活的部署方式，能夠滿足復(fù)雜的網(wǎng)絡(luò)環(huán)境下的要求，并且優(yōu)先應(yīng)用輕量級(jí)部署方案。網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)工具可靈活適應(yīng)各種網(wǎng)絡(luò)拓?fù)洵h(huán)境，便于擴(kuò)展。

另外，考慮到虛擬化和IPv6網(wǎng)絡(luò)的逐步應(yīng)用，網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)工具也支持通過(guò)虛擬化鏡像方式在虛擬化環(huán)境下直接部署，支持IPv6網(wǎng)絡(luò)環(huán)境下的部署和漏洞掃描。

3.3 風(fēng)險(xiǎn)統(tǒng)一分析

常用的應(yīng)急響應(yīng)有很多獨(dú)立的安全應(yīng)急響應(yīng)設(shè)備組成，包括漏洞掃描、配置檢查、Web應(yīng)用掃描等工具，在對(duì)信息系統(tǒng)進(jìn)行安全檢查后，分別得到不同的檢查報(bào)告，互相之間沒(méi)有聯(lián)系，實(shí)際上不同脆弱性的檢查結(jié)果都從不同方面反映網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)狀態(tài)，要了解信息系統(tǒng)總體安全風(fēng)險(xiǎn)狀況，需要對(duì)應(yīng)急響應(yīng)系統(tǒng)脆弱性的所有方面統(tǒng)一進(jìn)行分析和評(píng)估。

網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)工具支持全方位的安全漏洞掃描、安全配置、日志分析、抓包分析等功能，通過(guò)統(tǒng)一的安全風(fēng)險(xiǎn)計(jì)算方法，對(duì)應(yīng)急響應(yīng)系統(tǒng)中多個(gè)方面的安全脆弱性統(tǒng)一進(jìn)行分析和風(fēng)險(xiǎn)評(píng)估，給出總體安全狀態(tài)評(píng)價(jià)，全面掌握應(yīng)急響應(yīng)系統(tǒng)的安全風(fēng)險(xiǎn)，便于更好地進(jìn)行針對(duì)性安全應(yīng)急響應(yīng)。

3.4 大數(shù)據(jù)處理故障快速定位

網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)工具部署完成后，首先盡量收集IT系統(tǒng)環(huán)境信息，建立起IT資產(chǎn)關(guān)系列表。準(zhǔn)備工作完成后，系統(tǒng)基于資產(chǎn)信息進(jìn)行脆弱性掃描、日志獲取、數(shù)據(jù)抓包分析，然后進(jìn)行大數(shù)據(jù)處理，快速實(shí)現(xiàn)故障定位，從而實(shí)現(xiàn)應(yīng)急響應(yīng)功能。網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)工具分析結(jié)果以儀表盤(pán)方式展示，從風(fēng)險(xiǎn)發(fā)生區(qū)域、類型、嚴(yán)重程度、故障問(wèn)題等進(jìn)行不同維度的分類分析報(bào)告，應(yīng)急響應(yīng)者可以全局掌握安全風(fēng)險(xiǎn)，關(guān)注重點(diǎn)安全故障，對(duì)嚴(yán)重問(wèn)題優(yōu)先進(jìn)行應(yīng)急響應(yīng)［2］。同時(shí)也提供強(qiáng)大的搜索功能，可以根據(jù)資產(chǎn)范圍、風(fēng)險(xiǎn)程度等條件搜索定位故障。

4 高原網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程

在高原環(huán)境下，網(wǎng)絡(luò)入侵安全應(yīng)急響應(yīng)和其余地方的網(wǎng)絡(luò)入侵安全應(yīng)急響應(yīng)流程有所不同，由于客觀高原環(huán)境影響，網(wǎng)絡(luò)入侵安全應(yīng)急響應(yīng)希望能做到每次出動(dòng)都能盡快解決問(wèn)題，往返事故現(xiàn)場(chǎng)的次數(shù)越少越好，盡可能少的攜帶應(yīng)急響應(yīng)設(shè)備。因此提出的高原環(huán)境下的網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)工具能滿足高原環(huán)境下的網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)需要。同時(shí)在高原環(huán)境下還需要一個(gè)安全應(yīng)急響應(yīng)的流程，系統(tǒng)通常存在各種殘余風(fēng)險(xiǎn)的客觀情況下，應(yīng)急響應(yīng)是一個(gè)必要的保護(hù)策略。需要強(qiáng)調(diào)的是，盡管有效的應(yīng)急響應(yīng)可以在某種程度上彌補(bǔ)安全防護(hù)措施的不足，但不可能完全代替安全防護(hù)措施。缺乏必要的安全措施，會(huì)帶來(lái)更多的安全事件，最終造成資源浪費(fèi)。

高原環(huán)境下安全事件應(yīng)急響應(yīng)的目標(biāo)通常包括：采取緊急措施，恢復(fù)業(yè)務(wù)到正常服務(wù)狀態(tài)；調(diào)查安全事件發(fā)生的原因，避免同類安全事件再次發(fā)生；在需要司法機(jī)關(guān)介入時(shí)，提供法律的數(shù)字證據(jù)等［3］。

結(jié)合高原環(huán)境，安全事件應(yīng)急響應(yīng)工作流程包括準(zhǔn)備、檢測(cè)、抑制、根除、恢復(fù)和跟進(jìn)6個(gè)階段［4］。

準(zhǔn)備階段。準(zhǔn)備階段是安全事件響應(yīng)的第一個(gè)階段，即在事件真正發(fā)生前為事件響應(yīng)做好準(zhǔn)備。這一階段極為重要，因?yàn)槭录l(fā)生時(shí)可能需要在短時(shí)間內(nèi)處理較多的事情，如果沒(méi)有足夠的準(zhǔn)備，那么將無(wú)法正確的完成響應(yīng)工作。在準(zhǔn)備階段應(yīng)關(guān)注以下信息：基于威脅建立合理的安全保障措施；建立有針對(duì)性的安全事件應(yīng)急響應(yīng)預(yù)案，并進(jìn)行應(yīng)急演練；為安全事件應(yīng)急響應(yīng)提供足夠的資源和人員；建立支持事件響應(yīng)活動(dòng)管理體系。

檢測(cè)階段。檢測(cè)是指以適當(dāng)?shù)姆椒ù_認(rèn)在系統(tǒng)中是否出現(xiàn)了惡意代碼，文件和目錄是否被篡改等異?，F(xiàn)象。如果可能的話同時(shí)確定它的影響范圍和問(wèn)題原因。從操作的角度來(lái)講，事件響應(yīng)過(guò)程中所有的后續(xù)階段都依賴于檢測(cè)，如果沒(méi)有檢測(cè)，就不會(huì)存在真正意義上的事件響應(yīng)。檢測(cè)階段是事件響應(yīng)的觸發(fā)條件。

抑制階段。抑制階段是事件響應(yīng)的第3個(gè)階段，它的目的是限制攻擊破壞所波及的范圍，同時(shí)也是限制潛在的損失。所有的抑制活動(dòng)都是建立在能正確檢測(cè)事件的基礎(chǔ)上，抑制活動(dòng)必須結(jié)合檢測(cè)階段發(fā)現(xiàn)的安全事件的現(xiàn)象、性質(zhì)、范圍等屬性，制定并實(shí)施正確的抑制策略。抑制策略可能包含以下內(nèi)容：完全關(guān)閉所有系統(tǒng)；從網(wǎng)絡(luò)上斷開(kāi)主機(jī)或部分網(wǎng)絡(luò)；修改所有的防火墻和路由器的過(guò)濾規(guī)則；封鎖或刪除被攻擊的登陸賬號(hào)；加強(qiáng)對(duì)系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控；設(shè)置誘餌服務(wù)器進(jìn)一步獲取事件信息；關(guān)閉受攻擊系統(tǒng)或其他相關(guān)系統(tǒng)的部分服務(wù)［5］。

根除階段。即在準(zhǔn)確地抑制事件后，找出事件的根源并徹底根除它，以避免攻擊者再次使用相同手段攻擊系統(tǒng)，引發(fā)安全事件。在根除階段中需要利用在準(zhǔn)備階段產(chǎn)生的結(jié)果。

恢復(fù)階段。事件的根源根除后，進(jìn)入恢復(fù)階段?；謴?fù)階段的目標(biāo)是把所有被攻破的系統(tǒng)或網(wǎng)絡(luò)設(shè)備還原到它們正常的任務(wù)狀態(tài)。

跟進(jìn)階段。安全事件應(yīng)急響應(yīng)的最后一個(gè)階段是跟進(jìn)階段，其目標(biāo)是回顧并整合發(fā)生事件的相關(guān)信息。跟進(jìn)階段也是最可能被忽略的階段，但這一步也是非常關(guān)鍵的。完成該階段有助于從安全事件中吸取經(jīng)驗(yàn)教訓(xùn)，提高技能，有助于評(píng)判應(yīng)急響應(yīng)組織的事件響應(yīng)能力。

5 結(jié)語(yǔ)

適合高原環(huán)境的網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)工具在采用特別適用高原環(huán)境的硬件設(shè)備基礎(chǔ)上集成了眾多常見(jiàn)的應(yīng)急響應(yīng)功能，便于攜帶和使用，可以快速實(shí)現(xiàn)高原環(huán)境下的網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)，按照特有的高原應(yīng)急響應(yīng)流程，可以實(shí)現(xiàn)高原環(huán)境下高效率的信息網(wǎng)絡(luò)安全應(yīng)急響應(yīng)。

［1］劉玉龍.我國(guó)網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)體系建設(shè)［J］.能源技術(shù)與管理，2012（3）：164-165.

［2］陳祖義，華勇.計(jì)算機(jī)網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)的研究［J］.計(jì)算機(jī)安全，2009（7）：66-69.

［3］張帆.網(wǎng)絡(luò)攻擊過(guò)程分析與防范［J］.黃石高等?？茖W(xué)校學(xué)報(bào)，2004（6）：4-7.

［4］劉振峰.淺談網(wǎng)絡(luò)信息安全事件的應(yīng)急響應(yīng)［J］.信息網(wǎng)絡(luò)安全，2007（2）：44-47.

［5］鐘浩.關(guān)于互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)的事件處理［J］.電信科學(xué)，2005（6）：55-58.

Network Security Emergency Response Tools in Plateau Environment

In plateau environment，because of the high altitude and wide area，network intrusion events often fail to be tackled in a timely manner，and lead to expand the situation.In plateau environment，network intrusion emergency response tools utilize integrated security emergency response technology，and have advantages of remote timely and processing intrusion events conveniently.The response tools overcome the problem of equipment inconvenient transportation and difficult access of far-away regions and so on.Practice shows them both effective and practical.

plateau environment；network security；emergency response

TP393.08

：B

：1007－9904（2014）06－0063－04

2014-08-06

于勃（1981），男，工程師，從事電力信息安全技術(shù)督查工作；

王磊（1982），男，工程師，從事電力信息通信調(diào)控管理工作。