杜鵬

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與進(jìn)步，全球信息化進(jìn)程日益加速，特別是高校信息網(wǎng)絡(luò)規(guī)模日漸壯大，為高校信息化建設(shè)帶來了巨大發(fā)展動(dòng)力。但是，高校信息網(wǎng)絡(luò)安全問題也引起了高校與社會(huì)的關(guān)注?；诖?，為預(yù)防和減少高校網(wǎng)絡(luò)安全事件的發(fā)生，本文以烏魯木齊職業(yè)大學(xué)為例，研究了其網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢(shì)評(píng)測(cè)技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全事件 關(guān)聯(lián)分析 態(tài)勢(shì)評(píng)測(cè)技術(shù) 研究

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）07-0191-01

新時(shí)期，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)日漸成熟，教育行業(yè)的信息化建設(shè)也不斷完善，已逐步由教育行業(yè)網(wǎng)絡(luò)信息化平臺(tái)建設(shè)階段，通過擴(kuò)大教育應(yīng)用系統(tǒng)和教育內(nèi)容等內(nèi)容，傳播和共享階段，發(fā)展和普及互聯(lián)網(wǎng)技能，知識(shí)，介紹了基于電子商務(wù)交流的內(nèi)容材料和成果，形成了基于信息技術(shù)教育產(chǎn)業(yè)和其他領(lǐng)域的信息。

受各種因素影響，國內(nèi)高校信息化建設(shè)遇到了很多問題，比如缺乏統(tǒng)一規(guī)劃和部署的網(wǎng)絡(luò)信息、數(shù)據(jù)標(biāo)準(zhǔn)和接口標(biāo)準(zhǔn)，集成和應(yīng)用系統(tǒng)集成是困難的品種和數(shù)據(jù)庫，數(shù)據(jù)庫結(jié)構(gòu)差異較大，重復(fù)了大量的基礎(chǔ)數(shù)據(jù)存儲(chǔ)和存儲(chǔ)，導(dǎo)致了數(shù)據(jù)交換和同步的難度增大等，這使得網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估和預(yù)測(cè)越來越受到人們的越來越多的預(yù)測(cè)注意，成為網(wǎng)絡(luò)安全管理領(lǐng)域研究的一個(gè)熱點(diǎn)問題。本文以烏魯木齊職業(yè)大學(xué)為例，研究了網(wǎng)絡(luò)安全事件相關(guān)分析與評(píng)價(jià)技術(shù)。

1 網(wǎng)絡(luò)安全事件相關(guān)分析與評(píng)價(jià)技術(shù)概念

1.1 網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析概念

對(duì)于網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析來說，其主要包括網(wǎng)絡(luò)安全數(shù)據(jù)預(yù)處理、網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)提取和網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析和聚合三方面內(nèi)容。其中，網(wǎng)絡(luò)安全數(shù)據(jù)預(yù)處理包括數(shù)據(jù)清洗、數(shù)據(jù)集成、數(shù)據(jù)交換、數(shù)據(jù)規(guī)約等幾部分；網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)提取則主要從網(wǎng)絡(luò)技術(shù)的可靠性、可用性、危險(xiǎn)性和脆弱性四個(gè)方面開展；網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析通常采用貝葉斯網(wǎng)絡(luò)、決策樹關(guān)聯(lián)分析技術(shù)，包括屬性關(guān)聯(lián)、因果關(guān)聯(lián)和告警關(guān)聯(lián)三種方法。

1.2 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)測(cè)技術(shù)

所謂的網(wǎng)絡(luò)安全態(tài)勢(shì)，主要指的是在網(wǎng)絡(luò)運(yùn)行環(huán)境中，采集能夠引起網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)生變化的網(wǎng)絡(luò)安全狀態(tài)信息，并對(duì)這些信息進(jìn)行分析、理解、處理以及預(yù)測(cè)未來發(fā)展趨勢(shì)。分析網(wǎng)絡(luò)安全態(tài)勢(shì)主要包括態(tài)勢(shì)要素的獲取、態(tài)勢(shì)理解、態(tài)勢(shì)評(píng)估和態(tài)勢(shì)預(yù)測(cè)四部分。

2 網(wǎng)絡(luò)安全綜合管理平臺(tái)系統(tǒng)及功能

2.1 系統(tǒng)概述

泰合信息安全運(yùn)營(yíng)中心（Center Operation Security ）是一個(gè)安全管理平臺(tái)，用于整個(gè)網(wǎng)絡(luò)資源。其資源的各種網(wǎng)絡(luò)安全領(lǐng)域的劃分，以及大規(guī)模異構(gòu)網(wǎng)絡(luò)和安全事件的獲取、處理和分析，建立了一套面向業(yè)務(wù)的信息系統(tǒng)的可測(cè)風(fēng)險(xiǎn)模型，實(shí)現(xiàn)了各級(jí)管理人員對(duì)整個(gè)網(wǎng)絡(luò)運(yùn)行監(jiān)控、事件分析和審計(jì)、風(fēng)險(xiǎn)評(píng)估與測(cè)量、預(yù)警及相應(yīng)、趨勢(shì)分析，并用規(guī)范化的流程管理實(shí)現(xiàn)了持續(xù)的安全運(yùn)行。

烏魯木齊職業(yè)大學(xué)聯(lián)合信息安全運(yùn)營(yíng)中心是在原有安全管理平臺(tái)的基礎(chǔ)上，進(jìn)行進(jìn)一步的需求整理、挖掘，實(shí)現(xiàn)監(jiān)控、監(jiān)測(cè)、考核、服務(wù)、管理、運(yùn)維等功能。

2.2 系的主要功能

2.2.1 網(wǎng)絡(luò)運(yùn)行監(jiān)控

該系統(tǒng)可以很好的監(jiān)控網(wǎng)絡(luò)設(shè)備和相關(guān)安全設(shè)備，在監(jiān)控過程中如果發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或者網(wǎng)絡(luò)故障的現(xiàn)象，可以及時(shí)的對(duì)該網(wǎng)絡(luò)設(shè)備或者安全設(shè)備進(jìn)行定位，并且發(fā)出警報(bào)，防止重要信息的遺失或者被盜取，產(chǎn)生較為嚴(yán)重的后果。在該系統(tǒng)中，通過用戶的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，可以非常容易的在地圖上進(jìn)行設(shè)備的定位，該功能可以很好的對(duì)用戶提供安全保障。

2.2.2 事件及交通管理

該套系統(tǒng)在事件及交通管理方面非常的智能化，可以將網(wǎng)絡(luò)設(shè)別、安全設(shè)備等報(bào)警事件通過自動(dòng)整理、歸類，并以一種相同的形式放在一起。在其中包括統(tǒng)一事件的嚴(yán)重性、統(tǒng)一的事件類型和名稱，管理員可以在系統(tǒng)管理控制臺(tái)方便地瀏覽所有安全事件并確保信息一致性。對(duì)于所有的安全事件，該系統(tǒng)可以結(jié)合一個(gè)獨(dú)特的事件相關(guān)分析引擎的各種事件相關(guān)分析，包括規(guī)則，漏洞管理，統(tǒng)計(jì)關(guān)聯(lián)等。

除了收集各種安全事件，該系統(tǒng)還可以收集如NetFlow流量日志。根據(jù)采集到的NetFlow流量日志的分析，系統(tǒng)可以建立網(wǎng)絡(luò)流量模型，通過基于網(wǎng)絡(luò)的特征分析算法，對(duì)網(wǎng)絡(luò)的異常行為被發(fā)現(xiàn)。

2.2.3 漏洞管理

系統(tǒng)支持多種類型的第三方漏洞掃描，應(yīng)用掃描和人工評(píng)估漏洞信息，形成漏洞和資產(chǎn)基礎(chǔ)上的業(yè)務(wù)信息數(shù)據(jù)庫，并計(jì)算資產(chǎn)和業(yè)務(wù)的脆弱性。該系統(tǒng)可以提醒新發(fā)現(xiàn)的漏洞信息。

2.2.4 安全預(yù)警和風(fēng)險(xiǎn)管理

系統(tǒng)能夠以“用戶服務(wù)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估和分析20984-20984 GB T的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的要求一致，信息安全技術(shù)、漏洞和威脅對(duì)資產(chǎn)和業(yè)務(wù)信息的價(jià)值，并計(jì)算資產(chǎn)或業(yè)務(wù)的風(fēng)險(xiǎn)水平，預(yù)警和顯示。系統(tǒng)還可以是一個(gè)重要的威脅事件，漏洞信息的早期預(yù)警和顯示。

2.2.5 情況分析

泰國聯(lián)合安全運(yùn)營(yíng)中心系統(tǒng)是第一個(gè)有能力分析的宏觀安全管理平臺(tái)的情況。收集大量的安全事件系統(tǒng)，解決信息熵分析，三重?zé)狎?yàn)證和數(shù)據(jù)挖掘技術(shù)的分析，分析和幫助管理員從宏觀層面把握整體安全狀況，識(shí)別，定位，預(yù)測(cè)和跟蹤的主要威脅。

2.2.6 應(yīng)對(duì)管理

系統(tǒng)具有完善的應(yīng)急管理功能，可以根據(jù)用戶設(shè)定的觸發(fā)條件，通過各種方式（如電子郵件、短信、語音、SNMP陷阱，等）通知用戶，可以觸發(fā)一個(gè)自定義的響應(yīng)過程，直到跟蹤處理完成，從而實(shí)現(xiàn)安全事件閉環(huán)管理。系統(tǒng)支持設(shè)備控制腳本，允許管理員自動(dòng)控制設(shè)備，及時(shí)阻止攻擊源。內(nèi)置的工作流引擎，可以對(duì)自定義進(jìn)程作出反應(yīng)。系統(tǒng)采用開放式接口，實(shí)現(xiàn)了對(duì)碼頭的第三方運(yùn)行和維護(hù)管理系統(tǒng)。

2.2.7 知識(shí)管理

知識(shí)庫系統(tǒng)有最完美的安全管理制度，安全事件數(shù)據(jù)庫，安全策略數(shù)據(jù)庫，數(shù)據(jù)庫安全通報(bào)，預(yù)警信息圖書館，漏洞數(shù)據(jù)庫，關(guān)聯(lián)規(guī)則基礎(chǔ)，處理計(jì)劃庫，過程數(shù)據(jù)庫，基本情況，報(bào)告數(shù)據(jù)庫，提供規(guī)則或不規(guī)則的知識(shí)庫更新服務(wù)。

2.2.8 用戶管理

在系統(tǒng)管理系統(tǒng)中采用分離，用戶管理系統(tǒng)管理員、安全操作中心經(jīng)理、審核經(jīng)理的默認(rèn)設(shè)置。使用基于角色的訪問控制策略的用戶管理系統(tǒng)，它是基于系統(tǒng)資源的訪問限制的作用。

3 泰合安管平臺(tái)（SOC）概述

泰和安管網(wǎng)絡(luò)平臺(tái)作為一個(gè)整體網(wǎng)絡(luò)資源集中的安全管理平臺(tái)，其資源的各種網(wǎng)絡(luò)安全領(lǐng)域的劃分，以及大規(guī)模異構(gòu)網(wǎng)絡(luò)、安全、采集、處理和分析的時(shí)間，業(yè)務(wù)為導(dǎo)向的信息系統(tǒng)建立了一套可衡量的風(fēng)險(xiǎn)模型，使管理者在各級(jí)實(shí)現(xiàn)了對(duì)整個(gè)網(wǎng)絡(luò)資產(chǎn)運(yùn)營(yíng)的監(jiān)控、事件分析和評(píng)估、風(fēng)險(xiǎn)評(píng)估和響應(yīng)、態(tài)勢(shì)分析。并借助規(guī)范化的流程管理，實(shí)現(xiàn)持續(xù)的安全運(yùn)行。泰和安管平臺(tái)SOC服務(wù)器操作系統(tǒng)windows 2008 r2，數(shù)據(jù)庫sql server 2008 r2，客戶端操作系統(tǒng)winxp，win7及以上版本，IE版本ie6.0以上。

泰和安系列SOC機(jī)系列主要包括網(wǎng)絡(luò)運(yùn)行監(jiān)控、事件、交通管理、漏洞管理、安全預(yù)警、風(fēng)險(xiǎn)管理、動(dòng)態(tài)分析、應(yīng)急管理、知識(shí)管理、用戶管理、系統(tǒng)管理、信息顯示等功能的報(bào)告和報(bào)表。

4 建立安全體系

安全組織是在綜合管理平臺(tái)的基礎(chǔ)上構(gòu)建數(shù)字化校園安全保障體系的。按照“統(tǒng)一領(lǐng)導(dǎo)、分級(jí)負(fù)責(zé)”的原則，由主管信息化工作的學(xué)校領(lǐng)導(dǎo)統(tǒng)一指揮，由網(wǎng)絡(luò)中心負(fù)責(zé)組織協(xié)調(diào)，由各個(gè)院（系）、部（處）信息管理員具體貫徹執(zhí)行，共同構(gòu)成安全保障體系的完整組織結(jié)構(gòu)。

作為學(xué)校信息化建設(shè)的核心，網(wǎng)絡(luò)中心）信息安全管理功能如下：

（1）開展國家信息安全相關(guān)法律法規(guī)，開展信息安全技術(shù)培訓(xùn)和知識(shí)學(xué)習(xí)。

（2）負(fù)責(zé)學(xué)校計(jì)算機(jī)數(shù)字校園綜合管理平臺(tái)的日常工作。

（3）制定并組織實(shí)施信息安全管理學(xué)校的規(guī)章制度。

（4）監(jiān)督指導(dǎo)做好管理員的信息的安全性和保密性，定期檢查計(jì)算機(jī)數(shù)字校園綜合管理平臺(tái)的安全運(yùn)行，快速處理安全事故，及時(shí)消除安全風(fēng)險(xiǎn)。

參考文獻(xiàn)

[1]王慧強(qiáng)，賴積保等.網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)研究綜述[J].計(jì)算機(jī)科學(xué)，2006，33（10）：5-10.

[2]李彤巖.基于數(shù)據(jù)挖掘的通信網(wǎng)告警相關(guān)性分析研究[D]，成都：電子科技大學(xué)通信與信息工程學(xué)院，2010.

[3]王慧強(qiáng)，賴積保等.網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)研究綜述[J].計(jì)算機(jī)科學(xué).2006，33（10）：5-10.

[4]張勇.網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型研究與實(shí)現(xiàn)[D].合肥：中國科技大學(xué)計(jì)算機(jī)學(xué)院，2010.

[5]溫輝，徐開勇，趙彬，汪濱.網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析及主動(dòng)響應(yīng)機(jī)制的研究[J].計(jì)算機(jī)應(yīng)用與軟件，2010，27（4）：60-63.