河南省環(huán)保網(wǎng)絡(luò)安全事件分析與態(tài)勢展現(xiàn)建設(shè)

王凱麗 門寧 付博 張成

摘要

網(wǎng)絡(luò)安全態(tài)勢感知能夠?qū)W(wǎng)絡(luò)整體安全風(fēng)險進行展現(xiàn)，能夠提高單位網(wǎng)絡(luò)安全主動防御能力。河南省環(huán)保系統(tǒng)網(wǎng)絡(luò)安全建設(shè)，結(jié)合已有安全防護措施與工作中遇到的問題，實施網(wǎng)絡(luò)安全事件分析風(fēng)險監(jiān)控。通過安全事件數(shù)據(jù)分析工作，協(xié)助落實全覆蓋、全流程、全崗責(zé)的省級網(wǎng)絡(luò)安全工作格局。本文對環(huán)保網(wǎng)絡(luò)安全事件分析與安全態(tài)勢展現(xiàn)的建設(shè)需求、建設(shè)模型、建設(shè)思路進行了闡述。

【關(guān)鍵詞】網(wǎng)絡(luò)安全 事件分析 態(tài)勢感知 態(tài)勢展現(xiàn)

1 背景

2016年3月發(fā)布的《中華人民共和國國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要》，簡稱“十三五”規(guī)劃（2016-2020年），第二十八章為“強化信息安全保障”，指出：統(tǒng)籌網(wǎng)絡(luò)安全和信息化發(fā)展，完善國家網(wǎng)絡(luò)安全保障體系，強化重要信息系統(tǒng)和數(shù)據(jù)資源保護，提高網(wǎng)絡(luò)治理能力，保障國家信息安全，明確要求加強關(guān)鍵信息基礎(chǔ)設(shè)施威脅感知和持續(xù)防御能力建設(shè)。2017年6月1日實施的《中華人民共和國網(wǎng)絡(luò)安全法》，要求關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護。

環(huán)保信息系統(tǒng)屬于關(guān)鍵信息基礎(chǔ)設(shè)施類的系統(tǒng)，系統(tǒng)安全直接關(guān)乎國家安全、經(jīng)濟安全、社會穩(wěn)定和公共利益。環(huán)保業(yè)務(wù)網(wǎng)絡(luò)規(guī)模上已形成了國家、省、市分級部署。近兩年，根據(jù)國家對信息安全管理工作的要求，結(jié)合環(huán)保業(yè)務(wù)網(wǎng)絡(luò)、數(shù)據(jù)、系統(tǒng)和網(wǎng)管安管平臺等工作基礎(chǔ)和信息安全現(xiàn)狀，加強網(wǎng)絡(luò)安全態(tài)勢分析、風(fēng)險監(jiān)控、預(yù)測預(yù)警管理工作成為了省局單位在網(wǎng)絡(luò)管理中的重要需求。

2 網(wǎng)絡(luò)安全現(xiàn)狀及問題

省局環(huán)保網(wǎng)絡(luò)系統(tǒng)已經(jīng)建立了邊界防護措施、縱深防御系統(tǒng)體系，已經(jīng)建設(shè)防火墻、接入VPN、入侵防御、VVEB應(yīng)用防護等安全防護措施。但隨著新技術(shù)的不斷發(fā)展，攻擊者的手段也在不斷發(fā)展變化，傳統(tǒng)的監(jiān)測技術(shù)相對固化，越來越難以有效地識別攻擊，難以防御和應(yīng)對。問題表現(xiàn)為：

2.1 缺乏對各類IT資產(chǎn)以及邊界運行情況的了解，應(yīng)急響應(yīng)速度慢

隨著安全體系架構(gòu)和IT資產(chǎn)的日益復(fù)雜，應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端等資產(chǎn)的運行情況、連接狀態(tài)、版本信息、流量信息、配置信息、漏洞信息以及由此產(chǎn)生的流量異常和連接異常行為，在發(fā)生網(wǎng)絡(luò)安全事件時，無法準確定位故障點。

2.2 傳統(tǒng)安全分析能力力不從心，無法追蹤溯源

在安全體系架構(gòu)日益復(fù)雜的同時，各種類型的安全數(shù)據(jù)越來越多，網(wǎng)絡(luò)安全數(shù)據(jù)分析工作中，安全審計崗的工作顯得尤為突出，在滿足日志留存至少6個月的同時，安全審計崗人員還需對日志和網(wǎng)絡(luò)流量等數(shù)據(jù)進行深度的分析審計，使得事后能及時追蹤溯源，調(diào)整優(yōu)化策略。但因安全審計工作的特殊性，單純的依靠網(wǎng)絡(luò)中部署傳統(tǒng)的日志審計、網(wǎng)絡(luò)行為審計、數(shù)據(jù)庫審計和主機審計等審計類設(shè)備來完成，且設(shè)備在最初采購后添加少量的策略，未及時進行深度的策略配置，面對日益嚴峻的網(wǎng)絡(luò)安全態(tài)勢，僅僅依靠單臺未及時更新策略的審計設(shè)備和不夠健全的安全管理制度，無法及時應(yīng)對復(fù)雜嚴重的安全事件，且設(shè)備誤報幾率大，影響安全審計工作效果，同時在發(fā)生“刪庫”等安全事件后，無法追蹤溯源。

2.3 缺少主動式網(wǎng)絡(luò)安全防護

環(huán)保網(wǎng)絡(luò)架構(gòu)在橫向可劃分為互聯(lián)網(wǎng)接入?yún)^(qū)、業(yè)務(wù)專網(wǎng)區(qū)，如何將區(qū)域關(guān)鍵數(shù)據(jù)統(tǒng)一集中數(shù)據(jù)分析，并有效的展現(xiàn)，成為建設(shè)態(tài)勢感知平臺的基礎(chǔ)。而實現(xiàn)系統(tǒng)網(wǎng)絡(luò)安全數(shù)據(jù)分析及態(tài)勢展現(xiàn)，需要有專業(yè)的人員，采用專業(yè)的設(shè)備，專業(yè)的安全服務(wù)。

3 總體設(shè)計

為使網(wǎng)絡(luò)安全數(shù)據(jù)分析及態(tài)勢展現(xiàn)效果更加突出，需要采集網(wǎng)絡(luò)資產(chǎn)所產(chǎn)生的協(xié)議流量、日志、攻擊病毒、資源能耗、漏洞違規(guī)、服務(wù)器主機及應(yīng)用等組成部分，進行全方位的整體關(guān)聯(lián)分析，確保事件分析和態(tài)勢展現(xiàn)結(jié)果精準可靠。并結(jié)合《網(wǎng)絡(luò)安全法》要求，最大程度上解決用數(shù)據(jù)分析等需求，建立以數(shù)據(jù)收集與處理、數(shù)據(jù)分析和數(shù)據(jù)展現(xiàn)的全流程機制。

網(wǎng)絡(luò)安全事件分析從原始數(shù)據(jù)的來源采集、采集之后的數(shù)據(jù)處理，通過數(shù)據(jù)分析，采用關(guān)多事件關(guān)聯(lián)分析，針對威脅目標、威脅源、攻擊過程等進行詳細的數(shù)據(jù)分析，最后通過工具進行態(tài)勢展現(xiàn)。整體設(shè)計如圖1所示。

4 網(wǎng)絡(luò)安全事件分析與態(tài)勢展現(xiàn)環(huán)節(jié)

4.1 數(shù)據(jù)采集

現(xiàn)有網(wǎng)絡(luò)安全數(shù)據(jù)采集分析對象主要以包數(shù)據(jù)、流數(shù)據(jù)和事件數(shù)據(jù)等組成，其中最常見的包括日志、流量等，日志或者日志消息是數(shù)據(jù)的核心，日志消息就是計算機系統(tǒng)、設(shè)備、軟件等在某種攻擊環(huán)境“刺激”下反應(yīng)生成的數(shù)據(jù)，確切的“刺激”在很大程度上取決于日志消息的來源，如Linux操作系統(tǒng)會記錄用戶登錄和注銷的消息，防火墻將記錄ACL通過和拒絕的消息等。

4.2 關(guān)聯(lián)分析

采用集中安全管控分析工具，針對如SQL注入攻擊、網(wǎng)絡(luò)口令破解等攻擊特征，建立本地化關(guān)聯(lián)規(guī)則，有效利用收集到的監(jiān)測日志，實現(xiàn)安全事件的多維度監(jiān)控，總結(jié)析可能形成的攻擊。

例一：注入攻擊通過日志關(guān)聯(lián)進行分析 （如圖2所示）。

例二：暴力口令破解攻擊利用日志關(guān)聯(lián)分析（如圖3所示）。

例三：多設(shè)備日志關(guān)聯(lián)的網(wǎng)絡(luò)攻擊監(jiān)控分析（如圖4所示）。

4.3 態(tài)勢展現(xiàn)

態(tài)勢展現(xiàn)是根據(jù)各類感知基礎(chǔ)數(shù)據(jù)及系統(tǒng)分析后數(shù)據(jù)進行基于態(tài)勢的信息呈現(xiàn)。通過態(tài)勢展現(xiàn)界面，安全分析管理人員可以更輕松的處理各種數(shù)據(jù)，利用可視化的形式關(guān)聯(lián)數(shù)據(jù)，查明異常行為，為安全調(diào)查提供分析起點。在態(tài)勢展現(xiàn)的基礎(chǔ)上，依據(jù)現(xiàn)有的風(fēng)險變化感知將要發(fā)生的風(fēng)險，利用變化的趨勢感知安全態(tài)勢，以期達到通過邏輯關(guān)系預(yù)測安全態(tài)勢的思路。

5 總結(jié)

通過合理的網(wǎng)絡(luò)安全規(guī)劃，實施網(wǎng)絡(luò)安全事件收集分析，用以保證單位網(wǎng)絡(luò)安全平穩(wěn)運行，安全事件的態(tài)勢展現(xiàn)的方式是在不影響實際業(yè)務(wù)，既保證業(yè)務(wù)的正常顯示，又能保證業(yè)務(wù)的安全可靠，同時能全方位的把握網(wǎng)絡(luò)安全態(tài)勢，便于規(guī)劃統(tǒng)籌，提出數(shù)據(jù)分析及態(tài)勢展現(xiàn)建設(shè)思考，兼顧了長遠深度態(tài)勢感知發(fā)展的需要，為深化安全態(tài)勢感知系統(tǒng)，建成具備主動防御能力的縱深防御體系打下堅實的基礎(chǔ)。

參考文獻

[1]李明，脫永軍，黃云霞.網(wǎng)絡(luò)空間態(tài)勢感知模型及應(yīng)用研究[J].通信技術(shù)，2016，（9）：1211-1216.DOI：10.3969/j.issn.1002-0802.2016.09.020.

[2]李碩，戴欣，周渝霞.網(wǎng)絡(luò)安全態(tài)勢感知研究進展[J].計算機應(yīng)用研究，2010，（9）：3227-3232.DOI：10.3969/j.issn.1001-3695.2 010.09.006.

[3]章學(xué)妙，傅種，盧嘉.基于網(wǎng)絡(luò)安全態(tài)勢感知的網(wǎng)絡(luò)系統(tǒng)自防御體系[J].計算機應(yīng)用與軟件，2017，（9）：159-165.DOI：10. 3969/.1.issn.1000-386x.2017（09）：032.

[4]馬龍，孫江輝，杜程.基于流量分析的網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究[J].信息技術(shù)2016，（8）：97-100，105.DOI：10.13274/j.cnki.hdzj.2016（08）：025.