劉琦

摘要：該文主要闡述了網(wǎng)絡(luò)安全事件應(yīng)急處置管理平臺(tái)設(shè)計(jì)的背景、國(guó)內(nèi)外研究現(xiàn)狀、平臺(tái)的設(shè)計(jì)目標(biāo)和總體設(shè)計(jì)、實(shí)現(xiàn)功能等內(nèi)容。該文的研究對(duì)設(shè)計(jì)及開(kāi)發(fā)全面搜集信息、準(zhǔn)確分析信息、正確處理信息的管理平臺(tái)具有一定借鑒作用。

關(guān)鍵詞：網(wǎng)絡(luò)安全事件；應(yīng)急處置；安全事件預(yù)警

中圖分類號(hào)： TP315 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）26-0027-02

Design and Implementation of Emergency Disposal and Management Platform for Network Security

LIU Qi1， 2

（1.The PLA Information Engineering University， Zhengzhou 450000， China； 2. Information Security Department， Henan Police College， Zhengzhou 450000， China）

Abstract： This paper mainly described the background， present situation of domestic and foreign research， the design object and the overall design of the platform. Study of this paper may have a certain reference to design and develop comprehensive collection of information， accurate analysis of information， correct process of information.

Key words： network security event； emergency disposal； security incident warning

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展及應(yīng)用，互聯(lián)網(wǎng)接入的設(shè)信息中心單位越來(lái)越多，網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，對(duì)設(shè)信息單位實(shí)施有效保護(hù)，是網(wǎng)絡(luò)安全防范的重要內(nèi)容，也是網(wǎng)絡(luò)虛擬社會(huì)管理的重要組成部分。目前，許多設(shè)信息中心的單位當(dāng)有信息安全事件發(fā)生時(shí)，有時(shí)不處理也不上報(bào)當(dāng)?shù)毓矙C(jī)關(guān)，這為公安機(jī)關(guān)在網(wǎng)絡(luò)安全管理及事后調(diào)查取證方面帶來(lái)諸多不便。從公安網(wǎng)絡(luò)安全保衛(wèi)部門業(yè)務(wù)出發(fā)，有及時(shí)掌握各單位網(wǎng)絡(luò)安全事件發(fā)生、應(yīng)急處理情況的必要性。在需要時(shí)，應(yīng)能提供技術(shù)支撐，并對(duì)安全事件分析評(píng)估、安全事件預(yù)警等。

目前國(guó)外已有不少網(wǎng)絡(luò)安全事件管理系統(tǒng)，并針對(duì)單一事件、多種事件的現(xiàn)象進(jìn)行了有效的管理。但這些系統(tǒng)都是對(duì)一個(gè)信息中心而設(shè)計(jì)安裝的，用于接入互聯(lián)網(wǎng)設(shè)信息中心單位的網(wǎng)絡(luò)安全事件管理，且大部分信息中心沒(méi)有安裝這類系統(tǒng)。網(wǎng)絡(luò)安全保衛(wèi)部門需要掌握本地安全事件的發(fā)生情況，在必要時(shí)對(duì)設(shè)信息中心單位提供技術(shù)支援，同時(shí)能對(duì)網(wǎng)絡(luò)安全事件的發(fā)生進(jìn)行預(yù)警。因此，有必要開(kāi)發(fā)一套部署于設(shè)信息中心單位、各級(jí)網(wǎng)絡(luò)安全保衛(wèi)部門的安全事件管理系統(tǒng)，提高對(duì)網(wǎng)絡(luò)虛擬社會(huì)綜合管控能力。

1 設(shè)計(jì)目標(biāo)及總體設(shè)計(jì)

1.1 設(shè)計(jì)目標(biāo)

系統(tǒng)總體目標(biāo)是：一套部署于省級(jí)節(jié)點(diǎn)、地市核心節(jié)點(diǎn)、網(wǎng)絡(luò)終端接入用戶等互聯(lián)網(wǎng)環(huán)境下各信息中心單位的網(wǎng)絡(luò)安全事件警務(wù)應(yīng)急處置與管理平臺(tái)（NSMAS， Network Security Monitor and Alarm System）。

1.2 總體設(shè)計(jì)

為保障信息安全性，不少單位在信息網(wǎng)絡(luò)中配置了安全產(chǎn)品，如防火墻、入侵監(jiān)測(cè)、防病毒系統(tǒng)等等。這些系統(tǒng)部署在信息網(wǎng)絡(luò)中，安全信息分散在這些系統(tǒng)中，為了及時(shí)有效地了解這些系統(tǒng)的運(yùn)行狀況，對(duì)整個(gè)網(wǎng)絡(luò)的安全狀況做出評(píng)估，可以通過(guò)部署一套網(wǎng)絡(luò)信息安全監(jiān)視及管理平臺(tái)解決這一問(wèn)題。平臺(tái)整體設(shè)計(jì)如圖1所示。

圖1 網(wǎng)絡(luò)信息安全監(jiān)視及管理平臺(tái)整體設(shè)計(jì)

平臺(tái)設(shè)計(jì)定位應(yīng)該將各級(jí)單位信息網(wǎng)絡(luò)中與安全相關(guān)的信息集中，利用數(shù)據(jù)倉(cāng)庫(kù)技術(shù)作靈活的展示。應(yīng)該能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)安全產(chǎn)品、網(wǎng)絡(luò)組網(wǎng)產(chǎn)品、網(wǎng)絡(luò)節(jié)點(diǎn)及服務(wù)器等產(chǎn)品、系統(tǒng)進(jìn)行信息搜集、分析處理及預(yù)警等功能。應(yīng)對(duì)相關(guān)信息生成定期報(bào)表，對(duì)安全事件做出預(yù)警及輔助決策等等。

用戶查詢管理平臺(tái)監(jiān)控、管理的設(shè)備時(shí)，可以在實(shí)時(shí)及歷史兩種模式下，通過(guò)Web方式方便查詢。圖2所示。

圖2 網(wǎng)絡(luò)安全應(yīng)急處置系統(tǒng)

2 實(shí)現(xiàn)功能

首先，要實(shí)現(xiàn)對(duì)所有接入教育科研網(wǎng)高校信息中心設(shè)備的漏洞掃描，能夠及時(shí)發(fā)現(xiàn)漏洞及風(fēng)險(xiǎn)點(diǎn)。其次，對(duì)掃描出的漏洞、風(fēng)險(xiǎn)點(diǎn)能夠?qū)崿F(xiàn)科學(xué)地統(tǒng)計(jì)、分析、排名。再次，能夠?qū)Ω鞲咝Ｐ畔⒅行陌l(fā)生的安全事件進(jìn)行掃描、上報(bào)、報(bào)警并進(jìn)行統(tǒng)計(jì)分析。并且能夠?qū)Π踩录M(jìn)行應(yīng)急處置。能夠根據(jù)不斷更新的專家知識(shí)庫(kù)，為應(yīng)急處置工作組提供專家輔助決策功能。具體如下。

2.1完整的 Web 服務(wù)支持

軟件系統(tǒng)應(yīng)該能夠提供完整的、可移植的Web服務(wù)支持、能夠進(jìn)行互操作。

2.2自動(dòng)收集安全事件

由于網(wǎng)絡(luò)設(shè)備都是在熱運(yùn)行的，因此應(yīng)能夠在線完成安全數(shù)據(jù)的收集。由于用戶安全數(shù)據(jù)隨網(wǎng)絡(luò)運(yùn)行實(shí)時(shí)產(chǎn)生，數(shù)據(jù)量呈海量增長(zhǎng)態(tài)勢(shì)，因此手動(dòng)收集數(shù)據(jù)是不可行的。 系統(tǒng)應(yīng)該提供在設(shè)備熱運(yùn)行的過(guò)程中收集安全數(shù)據(jù)，不需要停機(jī)或者中斷，對(duì)于用戶的網(wǎng)絡(luò)幾乎沒(méi)有額外的負(fù)擔(dān)。所有數(shù)據(jù)收集應(yīng)具有實(shí)時(shí)性，自動(dòng)性，可以實(shí)時(shí)反應(yīng)網(wǎng)絡(luò)的安全狀況。

2.3自動(dòng)進(jìn)行安全事件分析

設(shè)計(jì)出的系統(tǒng)應(yīng)該實(shí)現(xiàn)對(duì)于安全事件的自動(dòng)分析，用戶提供一些基本的設(shè)置信息，例如安全等級(jí)，是否忽略警告信息等，系統(tǒng)就應(yīng)進(jìn)行及時(shí)、準(zhǔn)確響應(yīng)，自動(dòng)過(guò)濾掉非安全事件等等。

2.4安全預(yù)警

發(fā)現(xiàn)及分析出網(wǎng)絡(luò)存在的安全事件后，該系統(tǒng)應(yīng)根據(jù)用戶配置自動(dòng)生成預(yù)警報(bào)告，并且通過(guò)各種方式通知警戒單位。

2.5 查看、管理設(shè)備

圖3 網(wǎng)絡(luò)安全應(yīng)急處置與管理平臺(tái)主界面

應(yīng)能夠快速、簡(jiǎn)便地查看和管理設(shè)備， 降低用戶的使用門檻， 節(jié)省用戶的培訓(xùn)時(shí)間和成本。

主要功能如圖3至圖6所示。

圖4 安全事件分析

圖5 安全預(yù)警

圖6 用戶管理

3 結(jié)論

本系統(tǒng)的核心功能在于對(duì)網(wǎng)絡(luò)安全產(chǎn)品、網(wǎng)絡(luò)組網(wǎng)產(chǎn)品及終端用戶進(jìn)行安全監(jiān)測(cè)、預(yù)警及處置等工作。平臺(tái)設(shè)計(jì)過(guò)程中在數(shù)據(jù)收集、安全評(píng)估方面存在一些問(wèn)題。具體如下。數(shù)據(jù)收集方面，主要考慮如何將各種產(chǎn)品的安全信息收集和整合起來(lái)；安全評(píng)估方面，主要考慮如何根據(jù)收集到的信息挖掘、準(zhǔn)確評(píng)估出系統(tǒng)的安全狀態(tài)。這些內(nèi)容將在進(jìn)一步的工作中展開(kāi)。

參考文獻(xiàn)：

[1]穆祥坤. 基于云架構(gòu)的網(wǎng)絡(luò)安全事件監(jiān)測(cè)研究[D]. 天津理工大學(xué)， 2014.

[2]羅軍舟. 云計(jì)算：體積架構(gòu)與關(guān)鍵技術(shù)[J]. 通信學(xué)報(bào)， Journal on Communications. 2011（7）：3-21.

[3]穆祥坤. 基于云架構(gòu)的網(wǎng)絡(luò)安全事件監(jiān)測(cè)研究[D]. 天津理工大學(xué)，2014.

[4]夏秦，王志文，盧柯.入侵檢測(cè)系統(tǒng)利用信息熵檢測(cè)網(wǎng)絡(luò)攻擊的方法[J]. 西安交通大學(xué)學(xué)報(bào)，2013-2，47 （2）：14-19.

[5]K. Salah，J. M. Alcaraz-Calero，S. Zeadally，S. Almulla，M. Alzaabi. Using Cloud Computing to Implement a Security Overlay Network[J]. Security & Privacy， IEEE.2013， Page（s）： 44-53.

[6]李全良，賀旭娜，楊鸞.網(wǎng)絡(luò)安全事件流中異常檢測(cè)方案研究[J]. 信息與電腦（理論版）， China Computer & Communication.2011（5）.