基于協(xié)議自動(dòng)化代理的信息安全運(yùn)維控制系統(tǒng)

任 宇，劉西成

（1.成都醫(yī)學(xué)院 現(xiàn)代教育技術(shù)中心，成都 610500；2.西南石油大學(xué) 電氣信息學(xué)院，成都 610500）

0 引言

目前計(jì)算機(jī)與因特網(wǎng)直接相連，信息屬性發(fā)生了改變，相應(yīng)的信息安全運(yùn)維控制系統(tǒng)這不僅僅是一個(gè)普通的防御系統(tǒng)，也是一個(gè)特殊的防御系統(tǒng)，不斷升級(jí)的密碼泄露讓互聯(lián)網(wǎng)充滿了危險(xiǎn)[1]。為進(jìn)一步規(guī)范信息安全管理，建立“監(jiān)督、管理、控制”一整套工作機(jī)制，提高信息安全管理水平，有必要整合安全管理平臺(tái)。盡管我國(guó)當(dāng)前已經(jīng)構(gòu)建了運(yùn)維控制體系，但在實(shí)際環(huán)境中仍存在安全隱患問(wèn)題，缺乏對(duì)運(yùn)營(yíng)管理者的集中管理，信息系統(tǒng)敏感信息、運(yùn)維時(shí)間有限，運(yùn)維監(jiān)控與管理不足，安全隱患較多，信息安全運(yùn)維控制統(tǒng)計(jì)與分析過(guò)于片面，無(wú)法精準(zhǔn)獲取運(yùn)維數(shù)據(jù)[2]。

針對(duì)以往使用的傅里葉變換控制和小波理論控制方法，均采用窗口形式展示出函數(shù)與信號(hào)相乘結(jié)果，該結(jié)果在時(shí)域上以片斷形式存在，從而實(shí)現(xiàn)對(duì)系統(tǒng)的控制。但由于傅里葉變換并非加窗變換，因此在變換結(jié)果中可以看到相應(yīng)的正弦信號(hào)峰，因此沒(méi)有出現(xiàn)頻率負(fù)的結(jié)果，從而導(dǎo)致控制效果不好。用小波控制方法作為轉(zhuǎn)移信號(hào)時(shí)，雖然時(shí)域信息有明顯的變化，但很多離散數(shù)據(jù)中的突變信號(hào)由于函數(shù)振蕩而無(wú)法準(zhǔn)確捕捉到。為此，提出了基于協(xié)議自動(dòng)化代理的信息安全運(yùn)維控制系統(tǒng)。

1 系統(tǒng)硬件結(jié)構(gòu)設(shè)計(jì)

在體系結(jié)構(gòu)上，安全運(yùn)營(yíng)服務(wù)綜合管理平臺(tái)分為三層：數(shù)據(jù)采集層、總結(jié)層和表示層，如圖1所示。

圖1 系統(tǒng)硬件結(jié)構(gòu)

由圖1可知，數(shù)據(jù)采集層通過(guò)采集設(shè)備，將索引信息存儲(chǔ)到數(shù)據(jù)庫(kù)中；總結(jié)層負(fù)責(zé)處理業(yè)務(wù)，實(shí)現(xiàn)設(shè)備監(jiān)控與運(yùn)維管理；表示層將總結(jié)層產(chǎn)生各種信息匯總成圖表、列表，展示給運(yùn)維控制管理人員，為運(yùn)維工作提供依據(jù)[3]。

1.1 數(shù)據(jù)采集器

數(shù)據(jù)采集器包含了條形碼掃描設(shè)備和PC終端，該終端具備離線操作和實(shí)時(shí)采集功能[4]。i6300A數(shù)據(jù)采集器如圖2所示。

圖2 i6300A 數(shù)據(jù)采集器

由圖2可知，使用i6300A數(shù)據(jù)采集器，搭配四核1.2GHz處理器，配有1GRAM和8GROM，可實(shí)現(xiàn)多任務(wù)進(jìn)程，確保工作順利進(jìn)行[5]。本采集器具有高效的掃描引擎，4G全網(wǎng)通使用靈活，配置專業(yè)Pogo Pin接口，減少主機(jī)損耗，500萬(wàn)像素?cái)z像頭，對(duì)焦速度大幅度提升[6]。

1.2 交換機(jī)

網(wǎng)絡(luò)交換機(jī)是一種網(wǎng)絡(luò)硬件，它通過(guò)消息交換接收數(shù)據(jù)并將數(shù)據(jù)轉(zhuǎn)發(fā)到目標(biāo)設(shè)備，這是一個(gè)擴(kuò)展的網(wǎng)絡(luò)設(shè)備，提供更多的連接到子網(wǎng)上以連接更多的計(jì)算機(jī)。

網(wǎng)絡(luò)交換機(jī)結(jié)構(gòu)如圖3所示。

圖3 網(wǎng)絡(luò)交換機(jī)結(jié)構(gòu)

由圖3可知，網(wǎng)絡(luò)交換機(jī)采用1000BASE-T模塊化設(shè)計(jì)方案，接入層支持該模塊，使用固定端口和擴(kuò)展插槽的交換機(jī)傳輸10/100M數(shù)據(jù)[7]；開關(guān)的主要功能包括物理尋址、網(wǎng)絡(luò)拓?fù)洹㈠e(cuò)誤檢測(cè)、幀序列、流量控制，該交換機(jī)還擁有VLAN（虛擬LAN）、鏈路聚合（鏈路聚合）甚至防火墻等功能。

1.3 網(wǎng)絡(luò)設(shè)備

1.3.1 中繼器

中繼器是局域網(wǎng)簡(jiǎn)單的互連設(shè)備，主要用于接收網(wǎng)絡(luò)信號(hào)，并將其發(fā)送到其他分支。該設(shè)備負(fù)責(zé)連接不同物理介質(zhì)，并傳送數(shù)據(jù)包。

1.3.2 網(wǎng)橋

中繼器雖然能夠連接多媒體設(shè)備，但為了擴(kuò)大連接范圍，通過(guò)網(wǎng)橋連接不同分支，使用以太網(wǎng)能夠在較大范圍內(nèi)發(fā)送數(shù)據(jù)包。

1.3.3 路由器

路由器在信息安全運(yùn)維控制系統(tǒng)中扮演著多個(gè)網(wǎng)絡(luò)間數(shù)據(jù)交換介質(zhì)的角色，通過(guò)在獨(dú)立網(wǎng)絡(luò)上交換協(xié)議能夠高效傳輸信息，并過(guò)濾和分離網(wǎng)絡(luò)流量[8]。

1.3.4 防火墻

防火墻是系統(tǒng)內(nèi)部一道屏障，該設(shè)備安全穩(wěn)定運(yùn)行直接關(guān)系到網(wǎng)絡(luò)內(nèi)部安全，因此，日常例行檢查對(duì)保證設(shè)備穩(wěn)定運(yùn)行是具有重要性的。

1.4 運(yùn)維服務(wù)管理控制模塊

運(yùn)維服務(wù)管理控制模塊，如圖4所示。

圖4 運(yùn)維服務(wù)管理控制模塊

由圖4可知，該模塊中的工作流引擎是運(yùn)維服務(wù)管理核心，通過(guò)服務(wù)管理、時(shí)間管理及問(wèn)題管理設(shè)計(jì)運(yùn)維控制流程。不同等級(jí)用戶具有不同自定義控制權(quán)限，通過(guò)該權(quán)限接收來(lái)自管理平臺(tái)的數(shù)據(jù)。

運(yùn)維服務(wù)管理控制模塊，主要包括：

1）發(fā)現(xiàn)和記錄

在一個(gè)完整運(yùn)行周期內(nèi)，檢測(cè)、跟蹤、監(jiān)控設(shè)備運(yùn)行狀態(tài)，方便安全運(yùn)維控制。

2）處理服務(wù)請(qǐng)求

處理的服務(wù)請(qǐng)求類型不同。

3）分類和初始支持

提供解決方案，將影響和緊急程度按事件類別和輕重緩急排序。

4）調(diào)查與診斷

調(diào)查和處理事件、收集診斷數(shù)據(jù)、進(jìn)行事件報(bào)告、按照服務(wù)級(jí)別協(xié)議的要求管理報(bào)告或功能報(bào)告。

5）重大事件的應(yīng)急處理

向高度優(yōu)先的事件提供必要的協(xié)調(diào)、報(bào)告、溝通和資源，以應(yīng)對(duì)通常情況以外的嚴(yán)重事件。

6）解決和恢復(fù)

配合變更管理程序，執(zhí)行補(bǔ)救措施。

7）結(jié)束

在事件解決中，用戶在關(guān)閉和管理事件記錄之前更新事件記錄。

2 系統(tǒng)軟件部分設(shè)計(jì)

2.1 基于協(xié)議自動(dòng)化代理信息處理

協(xié)議自動(dòng)化代理ISCAP是封裝在Web3中的常用庫(kù)，它為上層應(yīng)用平臺(tái)提供API，通過(guò)對(duì)ETH上的一些操作，以便其他開發(fā)人員調(diào)用。目錄大的數(shù)據(jù)并不存在ETH鏈上，而是存在鏈外，通過(guò)ScryDBFactory可以做到這點(diǎn)。針對(duì)ScryDBFactory使用的封裝模式，簡(jiǎn)化了契約中許多部分的工作，使各個(gè)部分返回到狀態(tài)，從而簡(jiǎn)化了操作并改善最終用戶體驗(yàn)。

詳細(xì)流程如圖5所示。

圖5 協(xié)議自動(dòng)化代理封裝流程

由圖5可知，ISCAP負(fù)責(zé)接收應(yīng)用程序調(diào)用，與ETH代理節(jié)點(diǎn)進(jìn)行交互，并向應(yīng)用程序返回結(jié)果。應(yīng)用程序不直接操作代理節(jié)點(diǎn)，也不在乎承載問(wèn)題。

1）使用者會(huì)調(diào)用 SCRY,SCRYIOFO,SCRY,DBFactory等客戶端工具來(lái)連接Basthosts主機(jī)，Basthosts代理會(huì)根據(jù)客戶信息從數(shù)據(jù)庫(kù)配置表中提取配置信息。

2）驗(yàn)證登錄用戶是否具有權(quán)限，如果有，則需通過(guò)后臺(tái)服務(wù)模塊填寫登錄信息；如果沒(méi)有，則退出該程序。

3）分析后臺(tái)服務(wù)器捕獲到的數(shù)據(jù)及返回屏幕的數(shù)據(jù)，將該數(shù)據(jù)轉(zhuǎn)換為命令形式，執(zhí)行權(quán)限控制及數(shù)據(jù)存儲(chǔ)操作。

2.2 運(yùn)維控制流程設(shè)計(jì)

運(yùn)維管控機(jī)制實(shí)現(xiàn)流程：

步驟一：初始化的安全運(yùn)營(yíng)控制系統(tǒng)角色分為系統(tǒng)管理員、系統(tǒng)審核員和運(yùn)行操作員；

步驟二：系統(tǒng)運(yùn)維控制人員可根據(jù)系統(tǒng)實(shí)際運(yùn)行情況，劃分不同等級(jí)管理人員，如網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員及信息管理員；

步驟三：運(yùn)維者可以根據(jù)經(jīng)營(yíng)需要將經(jīng)營(yíng)劃分為不同的用戶群（如經(jīng)營(yíng)系統(tǒng)、IP、端口、協(xié)議等等），審計(jì)人員的角色和安全最為獨(dú)立，能夠在不受訪問(wèn)控制策略、策略限制的情況下對(duì)任何經(jīng)營(yíng)事件進(jìn)行發(fā)現(xiàn)、跟蹤和比較，并且不改變?nèi)魏慰杀灰暈椤巴该鞯谌健钡南到y(tǒng)；

步驟四：使用向?qū)Р僮髂Ｊ?，在人機(jī)界面中應(yīng)保證每一步都具備返回與轉(zhuǎn)發(fā)數(shù)據(jù)操作，符合運(yùn)維管理人員修改習(xí)慣；

步驟五：運(yùn)維者通過(guò)流程運(yùn)行內(nèi)部控制策略并使其生效后，可以直接訪問(wèn)有限運(yùn)營(yíng)資源，執(zhí)行受控的運(yùn)營(yíng)，并對(duì)其進(jìn)行監(jiān)控。

3 試驗(yàn)

為了驗(yàn)證基于協(xié)議自動(dòng)化代理的信息安全運(yùn)維控制系統(tǒng)設(shè)計(jì)合理性，進(jìn)行實(shí)驗(yàn)驗(yàn)證分析。

3.1 試驗(yàn)環(huán)境部署

采用邏輯網(wǎng)關(guān)部署方式，配置一臺(tái)Windows服務(wù)器、數(shù)據(jù)庫(kù)及主機(jī)，使用Windows2003操作系統(tǒng)，支持遠(yuǎn)程連接和文件傳輸。試驗(yàn)環(huán)境部署圖如圖6所示。

圖6 試驗(yàn)環(huán)境部署圖

3.2 試驗(yàn)指標(biāo)

使用UDP攻擊方式，攻擊者是以50次/秒速度攻擊用戶所發(fā)送的數(shù)據(jù)。試驗(yàn)的兩個(gè)指標(biāo)分別是漏報(bào)率和運(yùn)維效率：

式(1)、式(2)中，n表示漏報(bào)次數(shù)；m表示上報(bào)總數(shù)。h表示上報(bào)數(shù)據(jù)量；t表示運(yùn)維時(shí)間。

3.3 試驗(yàn)結(jié)果與分析

分別使用傅里葉變換控制方法、小波理論控制方法和基于協(xié)議自動(dòng)化代理控制方法對(duì)系統(tǒng)受到的攻擊進(jìn)行檢測(cè)，對(duì)比結(jié)果如圖7、圖8所示。

圖7 三種方法上報(bào)傳輸漏報(bào)率對(duì)比分析

由圖7、圖8可知，使用傅里葉變換控制方法最高漏報(bào)率80%，最低漏報(bào)率為42%；使用該方法最高運(yùn)維效率為38%，最低漏報(bào)率為9%。使用小波理論控制方法最高漏報(bào)率60%，最低漏報(bào)率為30%；使用該方法最高運(yùn)維效率為50%，最低漏報(bào)率為30%。使用基于協(xié)議自動(dòng)化代理控制方法最高漏報(bào)率12%，最低漏報(bào)率為2%；使用該方法最高運(yùn)維效率為98%，最低漏報(bào)率為80%。由此可知，使用基于協(xié)議自動(dòng)化代理控制方法漏報(bào)率低，運(yùn)維效率高。

圖8 三種方法運(yùn)維效率對(duì)比分析

4 結(jié)語(yǔ)

以協(xié)議自動(dòng)代理為基礎(chǔ)的實(shí)時(shí)監(jiān)控和事件處理負(fù)責(zé)網(wǎng)絡(luò)安全運(yùn)行的實(shí)時(shí)監(jiān)控的信息安全運(yùn)維控制系統(tǒng)，是實(shí)時(shí)掌握企業(yè)網(wǎng)絡(luò)攻擊威脅和報(bào)警狀態(tài)的重要手段。通過(guò)對(duì)企業(yè)網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)并報(bào)警正在發(fā)生和已發(fā)生的安全事件和設(shè)備報(bào)警，確保網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)安全可靠地運(yùn)行。

由于研究時(shí)間的限制，仍有許多問(wèn)題值得深入研究和探討。需要進(jìn)一步研究的問(wèn)題如下：

數(shù)據(jù)庫(kù)在信息系統(tǒng)的日常運(yùn)行與維護(hù)中，操作也十分頻繁，對(duì)數(shù)據(jù)庫(kù)控制和運(yùn)營(yíng)控制之間的關(guān)系需要進(jìn)一步研究和分析，并與業(yè)務(wù)控制結(jié)合起來(lái)。