網(wǎng)絡(luò)安全事件應(yīng)急處置與管理平臺的設(shè)計與實現(xiàn)

劉琦

摘要：該文主要闡述了網(wǎng)絡(luò)安全事件應(yīng)急處置管理平臺設(shè)計的背景、國內(nèi)外研究現(xiàn)狀、平臺的設(shè)計目標和總體設(shè)計、實現(xiàn)功能等內(nèi)容。該文的研究對設(shè)計及開發(fā)全面搜集信息、準確分析信息、正確處理信息的管理平臺具有一定借鑒作用。

關(guān)鍵詞：網(wǎng)絡(luò)安全事件；應(yīng)急處置；安全事件預(yù)警

中圖分類號： TP315 文獻標識碼：A 文章編號：1009-3044（2015）26-0027-02

Design and Implementation of Emergency Disposal and Management Platform for Network Security

LIU Qi1， 2

（1.The PLA Information Engineering University， Zhengzhou 450000， China； 2. Information Security Department， Henan Police College， Zhengzhou 450000， China）

Abstract： This paper mainly described the background， present situation of domestic and foreign research， the design object and the overall design of the platform. Study of this paper may have a certain reference to design and develop comprehensive collection of information， accurate analysis of information， correct process of information.

Key words： network security event； emergency disposal； security incident warning

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展及應(yīng)用，互聯(lián)網(wǎng)接入的設(shè)信息中心單位越來越多，網(wǎng)絡(luò)安全事件時有發(fā)生，對設(shè)信息單位實施有效保護，是網(wǎng)絡(luò)安全防范的重要內(nèi)容，也是網(wǎng)絡(luò)虛擬社會管理的重要組成部分。目前，許多設(shè)信息中心的單位當有信息安全事件發(fā)生時，有時不處理也不上報當?shù)毓矙C關(guān)，這為公安機關(guān)在網(wǎng)絡(luò)安全管理及事后調(diào)查取證方面帶來諸多不便。從公安網(wǎng)絡(luò)安全保衛(wèi)部門業(yè)務(wù)出發(fā)，有及時掌握各單位網(wǎng)絡(luò)安全事件發(fā)生、應(yīng)急處理情況的必要性。在需要時，應(yīng)能提供技術(shù)支撐，并對安全事件分析評估、安全事件預(yù)警等。

目前國外已有不少網(wǎng)絡(luò)安全事件管理系統(tǒng)，并針對單一事件、多種事件的現(xiàn)象進行了有效的管理。但這些系統(tǒng)都是對一個信息中心而設(shè)計安裝的，用于接入互聯(lián)網(wǎng)設(shè)信息中心單位的網(wǎng)絡(luò)安全事件管理，且大部分信息中心沒有安裝這類系統(tǒng)。網(wǎng)絡(luò)安全保衛(wèi)部門需要掌握本地安全事件的發(fā)生情況，在必要時對設(shè)信息中心單位提供技術(shù)支援，同時能對網(wǎng)絡(luò)安全事件的發(fā)生進行預(yù)警。因此，有必要開發(fā)一套部署于設(shè)信息中心單位、各級網(wǎng)絡(luò)安全保衛(wèi)部門的安全事件管理系統(tǒng)，提高對網(wǎng)絡(luò)虛擬社會綜合管控能力。

1 設(shè)計目標及總體設(shè)計

1.1 設(shè)計目標

系統(tǒng)總體目標是：一套部署于省級節(jié)點、地市核心節(jié)點、網(wǎng)絡(luò)終端接入用戶等互聯(lián)網(wǎng)環(huán)境下各信息中心單位的網(wǎng)絡(luò)安全事件警務(wù)應(yīng)急處置與管理平臺（NSMAS， Network Security Monitor and Alarm System）。

1.2 總體設(shè)計

為保障信息安全性，不少單位在信息網(wǎng)絡(luò)中配置了安全產(chǎn)品，如防火墻、入侵監(jiān)測、防病毒系統(tǒng)等等。這些系統(tǒng)部署在信息網(wǎng)絡(luò)中，安全信息分散在這些系統(tǒng)中，為了及時有效地了解這些系統(tǒng)的運行狀況，對整個網(wǎng)絡(luò)的安全狀況做出評估，可以通過部署一套網(wǎng)絡(luò)信息安全監(jiān)視及管理平臺解決這一問題。平臺整體設(shè)計如圖1所示。

圖1 網(wǎng)絡(luò)信息安全監(jiān)視及管理平臺整體設(shè)計

平臺設(shè)計定位應(yīng)該將各級單位信息網(wǎng)絡(luò)中與安全相關(guān)的信息集中，利用數(shù)據(jù)倉庫技術(shù)作靈活的展示。應(yīng)該能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)安全產(chǎn)品、網(wǎng)絡(luò)組網(wǎng)產(chǎn)品、網(wǎng)絡(luò)節(jié)點及服務(wù)器等產(chǎn)品、系統(tǒng)進行信息搜集、分析處理及預(yù)警等功能。應(yīng)對相關(guān)信息生成定期報表，對安全事件做出預(yù)警及輔助決策等等。

用戶查詢管理平臺監(jiān)控、管理的設(shè)備時，可以在實時及歷史兩種模式下，通過Web方式方便查詢。圖2所示。

圖2 網(wǎng)絡(luò)安全應(yīng)急處置系統(tǒng)

2 實現(xiàn)功能

首先，要實現(xiàn)對所有接入教育科研網(wǎng)高校信息中心設(shè)備的漏洞掃描，能夠及時發(fā)現(xiàn)漏洞及風(fēng)險點。其次，對掃描出的漏洞、風(fēng)險點能夠?qū)崿F(xiàn)科學(xué)地統(tǒng)計、分析、排名。再次，能夠?qū)Ω鞲咝Ｐ畔⒅行陌l(fā)生的安全事件進行掃描、上報、報警并進行統(tǒng)計分析。并且能夠?qū)Π踩录M行應(yīng)急處置。能夠根據(jù)不斷更新的專家知識庫，為應(yīng)急處置工作組提供專家輔助決策功能。具體如下。

2.1完整的 Web 服務(wù)支持

軟件系統(tǒng)應(yīng)該能夠提供完整的、可移植的Web服務(wù)支持、能夠進行互操作。

2.2自動收集安全事件

由于網(wǎng)絡(luò)設(shè)備都是在熱運行的，因此應(yīng)能夠在線完成安全數(shù)據(jù)的收集。由于用戶安全數(shù)據(jù)隨網(wǎng)絡(luò)運行實時產(chǎn)生，數(shù)據(jù)量呈海量增長態(tài)勢，因此手動收集數(shù)據(jù)是不可行的。 系統(tǒng)應(yīng)該提供在設(shè)備熱運行的過程中收集安全數(shù)據(jù)，不需要停機或者中斷，對于用戶的網(wǎng)絡(luò)幾乎沒有額外的負擔。所有數(shù)據(jù)收集應(yīng)具有實時性，自動性，可以實時反應(yīng)網(wǎng)絡(luò)的安全狀況。

2.3自動進行安全事件分析

設(shè)計出的系統(tǒng)應(yīng)該實現(xiàn)對于安全事件的自動分析，用戶提供一些基本的設(shè)置信息，例如安全等級，是否忽略警告信息等，系統(tǒng)就應(yīng)進行及時、準確響應(yīng)，自動過濾掉非安全事件等等。

2.4安全預(yù)警

發(fā)現(xiàn)及分析出網(wǎng)絡(luò)存在的安全事件后，該系統(tǒng)應(yīng)根據(jù)用戶配置自動生成預(yù)警報告，并且通過各種方式通知警戒單位。

2.5 查看、管理設(shè)備

圖3 網(wǎng)絡(luò)安全應(yīng)急處置與管理平臺主界面

應(yīng)能夠快速、簡便地查看和管理設(shè)備， 降低用戶的使用門檻， 節(jié)省用戶的培訓(xùn)時間和成本。

主要功能如圖3至圖6所示。

圖4 安全事件分析

圖5 安全預(yù)警

圖6 用戶管理

3 結(jié)論

本系統(tǒng)的核心功能在于對網(wǎng)絡(luò)安全產(chǎn)品、網(wǎng)絡(luò)組網(wǎng)產(chǎn)品及終端用戶進行安全監(jiān)測、預(yù)警及處置等工作。平臺設(shè)計過程中在數(shù)據(jù)收集、安全評估方面存在一些問題。具體如下。數(shù)據(jù)收集方面，主要考慮如何將各種產(chǎn)品的安全信息收集和整合起來；安全評估方面，主要考慮如何根據(jù)收集到的信息挖掘、準確評估出系統(tǒng)的安全狀態(tài)。這些內(nèi)容將在進一步的工作中展開。

參考文獻：

[1]穆祥坤. 基于云架構(gòu)的網(wǎng)絡(luò)安全事件監(jiān)測研究[D]. 天津理工大學(xué)， 2014.

[2]羅軍舟. 云計算：體積架構(gòu)與關(guān)鍵技術(shù)[J]. 通信學(xué)報， Journal on Communications. 2011（7）：3-21.

[3]穆祥坤. 基于云架構(gòu)的網(wǎng)絡(luò)安全事件監(jiān)測研究[D]. 天津理工大學(xué)，2014.

[4]夏秦，王志文，盧柯.入侵檢測系統(tǒng)利用信息熵檢測網(wǎng)絡(luò)攻擊的方法[J]. 西安交通大學(xué)學(xué)報，2013-2，47 （2）：14-19.

[5]K. Salah，J. M. Alcaraz-Calero，S. Zeadally，S. Almulla，M. Alzaabi. Using Cloud Computing to Implement a Security Overlay Network[J]. Security & Privacy， IEEE.2013， Page（s）： 44-53.

[6]李全良，賀旭娜，楊鸞.網(wǎng)絡(luò)安全事件流中異常檢測方案研究[J]. 信息與電腦（理論版）， China Computer & Communication.2011（5）.