程曦

摘要：隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的超速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題也愈發(fā)受到人們重視。對(duì)網(wǎng)絡(luò)安全進(jìn)行防范，采取有效的措施，制定相應(yīng)的安全通報(bào)預(yù)警機(jī)制，已經(jīng)成為業(yè)界研究的熱點(diǎn)。該文對(duì)目前煙草網(wǎng)絡(luò)安全預(yù)警技術(shù)進(jìn)行了闡述和分析，以期為實(shí)踐工作提供指導(dǎo)。

關(guān)鍵詞：煙草；網(wǎng)絡(luò)；預(yù)警技術(shù)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）25-0011-02

Early Warning Mechanism of Network Security： A Case Study on Tobacco Commercial Network

CHENG Xi

（Hefei Anhui Tobacco Company， Hefei 230001， China）

Abstract： With the rapid development of network technology and computer technology， the network security is getting much public attention. Taking effective measures for the network security and formulating the corresponding early warning mechanism of network security， has become the focus of network research. This paper has described and analysis the early warning technology of network security of the tobacco industry， and hope to provide guidance for the practical works.

Key words： tobacco； network； early warning mechanism

“十二五”期間，“卷煙上水平”，提升企業(yè)的核心競(jìng)爭(zhēng)是，合肥市煙草公司努力方向。通過(guò)“應(yīng)用體系、基礎(chǔ)設(shè)施體系、信息安全體系、運(yùn)維保障體系”體系建設(shè)。自零九年五月，全國(guó)煙草行業(yè)信息化工作會(huì)議，強(qiáng)調(diào)要把信息化作為提高行業(yè)科學(xué)發(fā)展的最強(qiáng)動(dòng)力。因此在新的發(fā)展時(shí)期，信息安全體系已成為合肥市煙草公司進(jìn)行各項(xiàng)管理工作的創(chuàng)新源頭和驅(qū)動(dòng)力。

信息安全目前已經(jīng)成為企業(yè)信息化最為關(guān)注的研究課題。隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒、木馬、流氓軟件的產(chǎn)生與傳播、黑客入侵、服務(wù)器被非法訪問(wèn)等均呈現(xiàn)飛速增長(zhǎng)的狀態(tài)，網(wǎng)絡(luò)和計(jì)算機(jī)的安全性受到極大挑戰(zhàn)，給個(gè)人、企業(yè)和國(guó)家都造成了重大的經(jīng)濟(jì)損失。煙草信息網(wǎng)絡(luò)擔(dān)負(fù)著重要的任務(wù)，決定了其應(yīng)具有很高的安全性、可控性以及具有對(duì)各種威脅和攻擊提前通報(bào)預(yù)警的功能。公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全在2014年年中國(guó)互聯(lián)網(wǎng)安全大會(huì)明確表示：要深入推進(jìn)信息安全等級(jí)保護(hù)工作和網(wǎng)絡(luò)安全監(jiān)測(cè)、通報(bào)預(yù)警工作，加快國(guó)家網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制建設(shè)，及時(shí)監(jiān)測(cè)、預(yù)警、處置網(wǎng)絡(luò)安全重大突發(fā)事件和威脅、隱患。本研究以合肥市煙草公司為例，對(duì)煙草商業(yè)網(wǎng)絡(luò)的安全通報(bào)預(yù)警機(jī)制進(jìn)行研究。

1 煙草商業(yè)網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制的建立原則和特點(diǎn)

合肥市煙草公司的網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制是能夠?qū)戏适姓麄€(gè)煙草商業(yè)系統(tǒng)各個(gè)網(wǎng)絡(luò)終端動(dòng)態(tài)進(jìn)行全面監(jiān)視，及時(shí)發(fā)現(xiàn)各種攻擊意向、攻擊動(dòng)態(tài)以及錯(cuò)誤操作并及時(shí)發(fā)布各種動(dòng)態(tài)以及所造成的影響，及時(shí)對(duì)系統(tǒng)資源的可靠性、可控性、機(jī)密性以及完整性進(jìn)行保障的技術(shù)。建立的網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制是否合理、可靠，將直接關(guān)系到網(wǎng)絡(luò)安全水平。網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制的建立應(yīng)遵從以下幾個(gè)指導(dǎo)原則：

1）科學(xué)性：網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制的建立必須以科學(xué)理論為指導(dǎo)，定量與定性分析共同結(jié)合，正確反映內(nèi)部元素與系統(tǒng)整體相互關(guān)系的特點(diǎn)為指導(dǎo)。預(yù)警機(jī)制的建立應(yīng)該符合我國(guó)有關(guān)的法律和法規(guī)。

2）全面性：網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制應(yīng)完整的反映網(wǎng)絡(luò)所有終端的即時(shí)動(dòng)態(tài)、切實(shí)有效的對(duì)網(wǎng)絡(luò)安全的性能和本質(zhì)進(jìn)行。

4）經(jīng)濟(jì)性：網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制的運(yùn)行不能妨礙原有系統(tǒng)中各個(gè)進(jìn)程的正常運(yùn)行。

5）可操作性：網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制的建立應(yīng)符合實(shí)際網(wǎng)絡(luò)安全防護(hù)工作的需要，易于操作和實(shí)施。數(shù)據(jù)便于收集和處理，以方便管理員實(shí)施具體的安全防護(hù)活動(dòng)。

與市面上其它安全網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制一致，建立完善的煙草商業(yè)網(wǎng)絡(luò)安全預(yù)警機(jī)制系統(tǒng)必須包含以下的基本特點(diǎn)[1]：

1）安全性：安全通報(bào)預(yù)警機(jī)制系統(tǒng)自身的安全必須有保證。

2）時(shí)效性：及時(shí)發(fā)現(xiàn)各種系統(tǒng)攻擊、入侵行為，以及有攻擊意向的行為，掌握事發(fā)前的趨勢(shì)。

3）可擴(kuò)展性：安全通報(bào)預(yù)警機(jī)制可在原有機(jī)制體系不變的情況下進(jìn)行擴(kuò)充，對(duì)新的指標(biāo)和終端進(jìn)行有效的監(jiān)測(cè)。

2 煙草商業(yè)網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制的建立

煙草商業(yè)網(wǎng)絡(luò)可采用的安全通報(bào)預(yù)警機(jī)制的結(jié)構(gòu)如圖1所示，與市面上大多安全通報(bào)預(yù)警機(jī)制一致，主要包括數(shù)據(jù)采集、數(shù)據(jù)提取、數(shù)據(jù)分析、安全行為數(shù)據(jù)處理、異常數(shù)據(jù)行為響應(yīng)5個(gè)模塊[2-3]。

圖1 網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制體系

1）數(shù)據(jù)采集：是預(yù)警機(jī)制的基礎(chǔ)，負(fù)責(zé)提供數(shù)據(jù)的來(lái)源。這些數(shù)據(jù)來(lái)自于系統(tǒng)及各個(gè)終端的監(jiān)測(cè)信息、操作記錄信息、日志信息、報(bào)警信息以及流量變化和趨勢(shì)。

2）數(shù)據(jù)提?。喊巡杉降臄?shù)據(jù)進(jìn)行處理，如通過(guò)過(guò)濾、數(shù)據(jù)轉(zhuǎn)換等把數(shù)據(jù)統(tǒng)一標(biāo)準(zhǔn)化。

3）數(shù)據(jù)分析：將上一步處理好的標(biāo)準(zhǔn)數(shù)據(jù)進(jìn)行深入分析，按不同的模型把數(shù)據(jù)進(jìn)行分類(lèi)，劃分到不同的規(guī)則集中。

4）安全行為數(shù)據(jù)處理：接收數(shù)據(jù)分析的結(jié)果，對(duì)正常的安全行為的數(shù)據(jù)，生成預(yù)測(cè)模型。

5）異常行為通報(bào)響應(yīng)：接收數(shù)據(jù)分析的結(jié)果，對(duì)異常行為的數(shù)據(jù)進(jìn)行通報(bào)，產(chǎn)生響應(yīng)，生成預(yù)測(cè)模型。

在預(yù)警機(jī)制系統(tǒng)中，5個(gè)模塊協(xié)同合作，共同完成網(wǎng)絡(luò)安全預(yù)警的機(jī)制。首先對(duì)系統(tǒng)和各個(gè)終端的網(wǎng)絡(luò)入侵、安全、攻擊漏洞等事件的數(shù)據(jù)進(jìn)行收集，根據(jù)煙草商業(yè)網(wǎng)絡(luò)安全的規(guī)定，采用統(tǒng)計(jì)分析方法，對(duì)數(shù)據(jù)進(jìn)行深入挖掘，對(duì)原始低級(jí)數(shù)據(jù)重新進(jìn)行組合，過(guò)濾無(wú)效數(shù)據(jù)，保留有效數(shù)據(jù)。再將不同級(jí)別的數(shù)據(jù)標(biāo)準(zhǔn)化，建立數(shù)據(jù)聯(lián)動(dòng)機(jī)制。數(shù)據(jù)分析的結(jié)果與正常的數(shù)據(jù)進(jìn)行對(duì)比，建立基于差異模型的檢測(cè)模型，對(duì)于異常的數(shù)據(jù)及時(shí)生成警告報(bào)告和時(shí)間，反饋到通報(bào)系統(tǒng)中，同時(shí)進(jìn)行預(yù)警響應(yīng)，對(duì)警告報(bào)告和相應(yīng)的時(shí)間及時(shí)采取相應(yīng)的措施。

3 煙草商業(yè)網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制的實(shí)現(xiàn)原理

對(duì)于至關(guān)重要的煙草商業(yè)而言，網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制的研究不僅包括入侵檢測(cè)的研究，更需要深入進(jìn)行入侵檢測(cè)的策略分析，將理論與技術(shù)結(jié)合起來(lái)，形成一個(gè)綜合性的預(yù)警機(jī)制，包括人工誤操作、弱點(diǎn)漏洞檢測(cè)、風(fēng)險(xiǎn)識(shí)別以及風(fēng)險(xiǎn)控制等，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的異常網(wǎng)絡(luò)訪問(wèn)時(shí)，預(yù)警機(jī)制能夠做出極快的反應(yīng)，通報(bào)并建立入侵事件的預(yù)警模型

3.1 安全漏洞預(yù)警

安全漏洞是在軟件、協(xié)議、硬件層面的實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，由此可以使攻擊的人能夠在沒(méi)有授權(quán)的情況下訪問(wèn)或者破壞系統(tǒng)。是受限制的計(jì)算機(jī)以及相關(guān)組件和應(yīng)用程序或其他聯(lián)機(jī)資源的無(wú)意或有意中留下的不受保護(hù)的入口。安全漏洞是網(wǎng)絡(luò)攻擊發(fā)生的根源，安全漏洞的時(shí)間決定著網(wǎng)絡(luò)安全系統(tǒng)的可靠性。網(wǎng)絡(luò)攻擊是對(duì)安全漏洞的運(yùn)用，攻擊行為利用安全漏洞從較低的訪問(wèn)等級(jí)上升至較高的訪問(wèn)等級(jí)。安全漏洞預(yù)警對(duì)網(wǎng)絡(luò)中有可能存在的安全漏洞或者受保護(hù)的有關(guān)系統(tǒng)進(jìn)行了主動(dòng)檢測(cè)，根據(jù)檢測(cè)所到的信息來(lái)預(yù)測(cè)可能發(fā)生的攻擊，從而進(jìn)行預(yù)警并且通報(bào)。因此，為了最大限度的保護(hù)網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全預(yù)警機(jī)制隨時(shí)掃描系統(tǒng)中存在的漏洞，及時(shí)發(fā)現(xiàn)系統(tǒng)內(nèi)漏洞，來(lái)預(yù)測(cè)可能發(fā)生的有關(guān)攻擊行為，并提前對(duì)應(yīng)采取防范措施。

3.2 攻擊行為預(yù)警

攻擊行為預(yù)警是指通過(guò)識(shí)別攻擊行的規(guī)則，根據(jù)己經(jīng)發(fā)生的攻擊事件所形成的警報(bào)序列，對(duì)下一步可能出現(xiàn)的攻擊行為和結(jié)果進(jìn)行預(yù)測(cè)，并發(fā)送預(yù)警信息。網(wǎng)絡(luò)攻擊通常是按照一定的步驟或者路徑進(jìn)行，不同的攻擊行為之間一般存在以下三種關(guān)系[4，5]：

1）因果關(guān)系：一個(gè)攻擊行為的成功結(jié)果是另一個(gè)攻擊行為發(fā)生的原因。

2）并列關(guān)系：多個(gè)攻擊行為分別攻擊成功，另一個(gè)攻擊行為獨(dú)自發(fā)生。

3）選擇關(guān)系：多個(gè)攻擊行為中任意一個(gè)攻擊成功，其它的攻擊行為則可以進(jìn)行攻擊。

在預(yù)測(cè)時(shí)，檢測(cè)的單個(gè)攻擊的警報(bào)尚不能形成一個(gè)完整的入侵過(guò)程，與參考數(shù)值比較，在未能準(zhǔn)確預(yù)報(bào)可能的攻擊時(shí)，選取發(fā)生概率最大的數(shù)值作為可能發(fā)生的入侵；也可以根據(jù)已發(fā)生的入侵值，識(shí)別出最有可能的攻擊和入侵，然后對(duì)下一時(shí)刻的入侵和步驟進(jìn)行推算預(yù)測(cè)，并生成預(yù)警模型。因此，基于警報(bào)數(shù)據(jù)入侵過(guò)程的識(shí)別和可能目標(biāo)的判斷可以實(shí)現(xiàn)安全預(yù)警。

4 煙草商業(yè)網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制系統(tǒng)的檢測(cè)對(duì)象

網(wǎng)絡(luò)安全所面臨的主要威脅為兩類(lèi)，一是對(duì)網(wǎng)絡(luò)中信息的威脅，二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。從人的因素來(lái)看，影響網(wǎng)絡(luò)安全的因素還區(qū)分人為和非人為的兩種情況。在在海量的安全隱患數(shù)據(jù)中，我們應(yīng)該優(yōu)先關(guān)注關(guān)系到影響煙草商業(yè)發(fā)展的檢測(cè)對(duì)象，實(shí)時(shí)分析匯總并及時(shí)通報(bào)預(yù)警。

1）安全漏洞：包括設(shè)備漏洞和信息系統(tǒng)漏洞。2014 年，國(guó)家信息安全漏洞共享平臺(tái)收集整理并公布信息安全漏洞9121 個(gè)，較 2013 年增長(zhǎng) 18%。攻擊者利用網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)鏈路層、傳輸層、網(wǎng)絡(luò)層和應(yīng)用層四個(gè)層次的安全漏洞進(jìn)行攻擊。導(dǎo)致數(shù)據(jù)的丟失和篡改、隱私泄露。2014年4月8日，OpenSSL公布出當(dāng)年最知名的漏洞Heartbleed。利用該漏洞，入侵者使用家里電腦，就可以實(shí)時(shí)獲取約30%的https協(xié)議的用戶(hù)的登錄賬號(hào)與密碼，包括網(wǎng)民最常用的門(mén)戶(hù)、微博、微信、購(gòu)物、網(wǎng)銀、社交、郵箱等網(wǎng)站和服務(wù)，影響至少兩億中國(guó)網(wǎng)民。OpenSSL的安全漏洞再一次把安全問(wèn)題推到了公眾面前。

2）計(jì)算機(jī)病毒：是一種程序代碼，編制者在計(jì)算機(jī)程序中蓄意插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)的代碼，能自我復(fù)制。病毒入侵計(jì)算機(jī)后會(huì)大幅度降低系統(tǒng)的運(yùn)行速度，導(dǎo)致程序無(wú)法正常運(yùn)行，并且會(huì)導(dǎo)致硬件損壞、文件丟失等嚴(yán)重的破壞，是網(wǎng)絡(luò)安全面臨的首要問(wèn)題。計(jì)算機(jī)病毒是以竊取信息和收集情報(bào)為主，對(duì)國(guó)家和企業(yè)的數(shù)據(jù)安全造成嚴(yán)重威脅。

3）釣魚(yú)網(wǎng)站：偽裝成銀行及電子商務(wù)類(lèi)網(wǎng)站，從而對(duì)訪問(wèn)者提交的賬戶(hù)和密碼信息進(jìn)行竊取的網(wǎng)站，嚴(yán)重地影響了在線金融服務(wù)和電子商務(wù)的發(fā)展。

4）移動(dòng)互聯(lián)網(wǎng)惡意程序：隨著移動(dòng)互聯(lián)網(wǎng)迅速普及，大量竊取用戶(hù)信息、篡改數(shù)據(jù)、發(fā)送垃圾信息擅自使用付費(fèi)業(yè)務(wù)在以智能手機(jī)為代表的移動(dòng)終端上，出現(xiàn)了大量破壞用戶(hù)數(shù)據(jù)、竊取用戶(hù)信息、擅自使用付費(fèi)業(yè)務(wù)、推送廣告、發(fā)送垃圾信息等惡意行為的計(jì)算機(jī)程序。這些惡意程序嚴(yán)重侵犯公眾個(gè)人隱私、財(cái)務(wù)安全。2014年1月25日，央視新聞?lì)l道曝光了全球首個(gè)Android操作系統(tǒng)的木馬“不死”（oldboot）。它會(huì)在用戶(hù)未知的情況下下載大量色情軟件，造成話費(fèi)損失，中國(guó)境內(nèi)感染超過(guò)50萬(wàn)部手機(jī)。與以往的木馬的不同點(diǎn)是：該木馬被寫(xiě)入操作系統(tǒng)磁盤(pán)引導(dǎo)區(qū)，任何殺毒軟件均無(wú)法徹底將其清除，即使可以暫時(shí)查殺，但在手機(jī)重啟后，木馬又會(huì)“復(fù)活”。隨著這個(gè)“不死”木馬的發(fā)現(xiàn)，幕后專(zhuān)門(mén)制造木馬、傳播木馬的黑色產(chǎn)業(yè)鏈也進(jìn)入公眾視線。

5）安全事件：主要包括植入后門(mén)、利用木馬盜取信息等隱蔽性攻擊，導(dǎo)致拒絕服務(wù)、網(wǎng)頁(yè)被篡改、信息遭到竊取等。2014年1月21日下午3點(diǎn)10分左右，國(guó)內(nèi)頂級(jí)域的根服務(wù)器忽然出現(xiàn)異常，導(dǎo)致眾多網(wǎng)站出現(xiàn)DNS解析故障，打量用戶(hù)無(wú)法正常訪問(wèn)。雖然當(dāng)時(shí)國(guó)內(nèi)訪問(wèn)根服務(wù)器很快恢復(fù)，但由于DNS緩存問(wèn)題，部分地區(qū)用戶(hù)“斷網(wǎng)”現(xiàn)象仍持續(xù)了數(shù)個(gè)小時(shí)，至少有2/3的國(guó)內(nèi)網(wǎng)站受到影響。通過(guò)微博調(diào)查，“1·21全國(guó)DNS大劫難”影響空前。此事期間，超過(guò)85%的用戶(hù)遭遇了DNS解析故障，引發(fā)瀏覽網(wǎng)頁(yè)變慢和打不開(kāi)網(wǎng)站的情況。引發(fā)了網(wǎng)民對(duì)信息安全的異常關(guān)注和擔(dān)憂，造成惡劣社會(huì)影響。

5 結(jié)語(yǔ)

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展已經(jīng)改變了人們的生活方式，在煙草商業(yè)行業(yè)中起著舉足輕重的作用。然而與此同時(shí)，網(wǎng)絡(luò)中存在的安全隱患也給合法用戶(hù)的數(shù)據(jù)、信息安全帶了嚴(yán)重的威脅。因此，建立有效的網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制，對(duì)網(wǎng)絡(luò)的攻擊及時(shí)作出反映并發(fā)出警報(bào)，從而得到有效的解決。然而，解決網(wǎng)絡(luò)安全問(wèn)題，不僅需要在技術(shù)上努力，更需要在意識(shí)上加強(qiáng)，在網(wǎng)絡(luò)安全通報(bào)預(yù)警機(jī)制的建立下，提高網(wǎng)絡(luò)管理員以及合法用戶(hù)的的防范意識(shí)和風(fēng)險(xiǎn)意識(shí)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全意義更為重大。

參考文獻(xiàn)：

[1] 宋晶.廣域網(wǎng)安全系統(tǒng)研究及實(shí)現(xiàn)[D].昆明理工大學(xué)，2005.

[2] 穆成坡，黃厚寬，田盛豐.入侵檢測(cè)系統(tǒng)報(bào)警信息聚合與關(guān)聯(lián)技術(shù)研究綜述[J].計(jì)算機(jī)研究與發(fā)展，2006，43（1）：1-8.

[3] 肖楓濤.網(wǎng)絡(luò)安全主動(dòng)預(yù)警系統(tǒng)關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D].國(guó)防科技大學(xué)，2005.

[4] 鮑旭華，戴英俠，馮萍慧，等.基于入侵意圖的復(fù)合攻擊檢測(cè)和預(yù)測(cè)算法[J].軟件學(xué)報(bào)，2005，16（12）：2233- 2138.

[5] 嚴(yán)芬，黃浩，殷新春.基于CTPN的復(fù)合攻擊檢測(cè)方法研究[J].計(jì)算機(jī)學(xué)報(bào)，2006，29（8）：1383-1391.