网络安全事件定义范文
时间:2023-06-05 18:00:27
导语:如何才能写好一篇网络安全事件定义,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。
篇1
关键词:网络安全;异常检测;方案
网络安全事件异常检测问题方案,基于网络安全事件流中频繁情节发展的研究之上。定义网络安全异常事件检测模式,提出网络频繁密度概念,针对网络安全异常事件模式的间隔限制,利用事件流中滑动窗口设计算法,对网络安全事件流中异常检测进行探讨。但是,由于在网络协议设计上对安全问题的忽视以及在管理和使用上的不健全,使网络安全受到严重威胁。本文通过针对网络安全事件流中异常检测流的特点的探讨分析,对此加以系统化的论述并找出合理经济的解决方案。
1、建立信息安全体系统一管理网络安全
在综合考虑各种网络安全技术的基础上,网络安全事件流中异常检测在未来网络安全建设中应该采用统一管理系统进行安全防护。直接采用网络连接记录中的基本属性,将基于时间的统计特征属性考虑在内,这样可以提高系统的检测精度。
1.1网络安全帐号口令管理安全系统建设
终端安全管理系统扩容,扩大其管理的范围同时考虑网络系统扩容。完善网络审计系统、安全管理系统、网络设备、安全设备、主机和应用系统的部署,采用高新技术流程来实现。采用信息化技术管理需要帐号口令,有效地实现一人一帐号和帐号管理流程安全化。此阶段需要部署一套帐号口令统一管理系统,对所有帐号口令进行统一管理,做到职能化、合理化、科学化。
信息安全建设成功结束后,全网安全基本达到规定的标准,各种安全产品充分发挥作用,安全管理也到位和正规化。此时进行安全管理建设,主要完善系统体系架构图编辑,加强系统平台建设和专业安全服务。体系框架中最要的部分是平台管理、账号管理、认证管理、授权管理、审计管理,本阶段可以考虑成立安全管理部门,聘请专门的安全服务顾问,建立信息安全管理体系,建立PDCA机制,按照专业化的要求进行安全管理通过系统的认证。
边界安全和网络安全建设主要考虑安全域划分和加强安全边界防护措施,重点考虑Internet外网出口安全问题和各节点对内部流量的集中管控。因此,加强各个局端出口安全防护,并且在各个节点位置部署入侵检测系统,加强对内部流量的检测。主要采用的技术手段有网络边界隔离、网络边界入侵防护、网络边界防病毒、内容安全管理等。
1.2综合考虑和解决各种边界安全技术问题
随着网络病毒攻击越来越朝着混合性发展的趋势,在网络安全建设中采用统一管理系统进行边界防护,考虑到性价比和防护效果的最大化要求,统一网络管理系统是最适合的选择。在各分支节点交换和部署统一网络管理系统,考虑到以后各节点将实现INITERNET出口的统一,要充分考虑分支节点的internet出口的深度安全防御。采用了UTM统一网络管理系统,可以实现对内部流量访问业务系统的流量进行集中的管控,包括进行访问控制、内容过滤等。
网络入侵检测问题通过部署UTM产品可以实现静态的深度过滤和防护,保证内部用户和系统的安全。但是安全威胁是动态变化的,因此采用深度检测和防御还不能最大化安全效果,为此建议采用入侵检测系统对通过UTM的流量进行动态的检测,实时发现其中的异常流量。在各个分支的核心交换机上将进出流量进行集中监控,通过入侵检测系统管理平台将入侵检测系统产生的事件进行有效的呈现,从而提高安全维护人员的预警能力。
1.3防护IPS入侵进行internet出口位置的整合
防护IPS入侵进行internet出口位置的整合,可以考虑将新增的服务器放置到服务器区域。同时在核心服务器区域边界位置采用入侵防护系统进行集中的访问控制和综合过滤,采用IPS系统可以预防服务器因为没有及时添加补丁而导致的攻击等事件的发生。
在整合后的internet边界位置放置一台IPS设备,实现对internet流量的深度检测和过滤。安全域划分和系统安全考虑到自身业务系统的特点,为了更好地对各种服务器进行集中防护和监控,将各种业务服务器进行集中管控,并且考虑到未来发展需要,可以将未来需要新增的服务器进行集中放置,这样我们可以保证对服务器进行同样等级的保护。在接入交换机上划出一个服务器区域,前期可以将已有业务系统进行集中管理。
2、科学化进行网络安全事件流中异常检测方案的探讨
网络安全事件本身也具有不确定性,在正常和异常行为之间应当有一个平滑的过渡。在网络安全事件检测中引入模糊集理论,将其与关联规则算法结合起来,采用模糊化的关联算法来挖掘网络行为的特征,从而提高系统的灵活性和检测精度。异常检测系统中,在建立正常模式时必须尽可能多得对网络行为进行全面的描述,其中包含出现频率高的模式,也包含低频率的模式。
2.1基于网络安全事件流中频繁情节方法分析
针对网络安全事件流中异常检测问题,定义网络安全异常事件模式为频繁情节,主要基于无折叠出现的频繁度研究,提出了网络安全事件流中频繁情节发现方法,该方法中针对事件流的特点,提出了频繁度密度概念。针对网络安全异常事件模式的时间间隔限制,利用事件流中滑动窗口设计算法。针对复合攻击模式的特点,对算法进行实验证明网络时空的复杂性、漏报率符合网络安全事件流中异常检测的需求。
传统的挖掘定量属性关联规则算法,将网络属性的取值范围离散成不同的区间,然后将其转化为“布尔型”关联规则算法,这样做会产生明显的边界问题,如果正常或异常略微偏离其规定的范围,系统就会做出错误的判断。在基于网络安全事件流中频繁情节方法分析中,建立网络安全防火墙,在网络系统的内部和外网之间构建保护屏障。针对事件流的特点,利用事件流中滑动窗口设计算法,采用复合攻击模式方法,对算法进行科学化的测试。
2.2采用系统连接方式检测网络安全基本属性
在入侵检测系统中,直接采用网络连接记录中的基本属性,其检测效果不理想,如果将基于时间的统计特征属性考虑在内,可以提高系统的检测精度。网络安全事件流中异常检测引入数据化理论,将其与关联规则算法结合起来,采用设计化的关联算法来挖掘网络行为的特征,从而提高系统的灵活性和检测精度。异常检测系统中,在建立正常的数据化模式尽可能多得对网络行为进行全面的描述,其中包含出现频率高的模式,也包含低频率的模式。
在网络安全数据集的分析中,发现大多数属性值的分布较稀疏,这意味着对于一个特定的定量属性,其取值可能只包含它的定义域的一个小子集,属性值分布也趋向于不均匀。这些统计特征属性大多是定量属性,传统的挖掘定量属性关联规则的算法是将属性的取值范围离散成不同的区间,然后将其转化为布尔型关联规则算法,这样做会产生明显的边界问题,如果正常或异常略微偏离其规定的范围,系统就会做出错误的判断。网络安全事件本身也具有模糊性,在正常和异常行为之间应当有一个平滑的过渡。
另外,不同的攻击类型产生的日志记录分布情况也不同,某些攻击会产生大量的连续记录,占总记录数的比例很大,而某些攻击只产生一些孤立的记录,占总记录数的比例很小。针对网络数据流中属性值分布,不均匀性和网络事件发生的概率不同的情况,采用关联算法将其与数据逻辑结合起来用于检测系统。实验结果证明,设计算法的引入不仅可以提高异常检测的能力,还显著减少了规则库中规则的数量,提高了网络安全事件异常检测效率。
2.3建立整体的网络安全感知系统,提高异常检测的效率
作为网络安全态势感知系统的一部分,建立整体的网络安全感知系统主要基于netflow的异常检测。为了提高异常检测的效率,解决传统流量分析方法效率低下、单点的问题以及检测对分布式异常检测能力弱的问题。对网络的netflow数据流采用,基于高位端口信息的分布式异常检测算法实现大规模网络异常检测。
通过网络数据设计公式推导出高位端口计算结果,最后采集局域网中的数据,通过对比试验进行验证。大规模网络数据流的特点是数据持续到达、速度快、规模宏大。因此,如何在大规模网络环境下进行检测网络异常并为提供预警信息,是目前需要解决的重要问题。结合入侵检测技术和数据流挖掘技术,提出了一个大规模网络数据流频繁模式挖掘和检测算法,根据“加权欧几里得”距离进行模式匹配。
实验结果表明,该算法可以检测出网络流量异常。为增强网络抵御智能攻击的能力,提出了一种可控可管的网络智能体模型。该网络智能体能够主动识别潜在异常,及时隔离被攻击节点阻止危害扩散,并报告攻击特征实现信息共享。综合网络选择原理和危险理论,提出了一种新的网络智能体训练方法,使其在网络中能更有效的识别节点上的攻击行为。通过分析智能体与对抗模型,表明网络智能体模型能够更好的保障网络安全。
结语:
伴随着计算机和通信技术的迅速发展,伴随着网络用户需求的不断增加,计算机网络的应用越来越广泛,其规模也越来越庞大。同时,网络安全事件层出不穷,使得计算机网络面临着严峻的信息安全形势的挑战,传统的单一的防御设备或者检测设备已经无法满足安全需求。网络安全安全检测技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对安全状况的发展趋势进行预测和预警,为增强网络安全性提供可靠的参照依据。因此,针对网络的安全态势感知研究已经成为目前网络安全领域的热点。
参考文献:
[1]沈敬彦.网络安全事件流中异常检测方法[J].重庆师专学报,2000,(4).
篇2
关键词:网络安全事件;关联规则;攻击模式;序列模式挖掘
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)35-0014-03
Abstract: With the continuously growing of network security incidents, it is becoming insufficient to manually modify and maintain network security event correlation rules. This paper proposes a framework to automatically generate security rule based on network attack traffic, NSRAG (Network Security Rule Automatically Generation Framework). The framework uses real network attack traffic to trigger network security testing and monitoring software, and collects alarms and target state information generated by the software. Then the framework uses these data to automatically generate the network security event correlation rules. There are two algorithms associated to generate rules in NSRAG: attack mode-based automatic generation algorithm for known attack mode, and sequence mode mining-based automatic generation algorithm for unknown attack mode. Test and practical application show that NSRAG can automatically generate rules based on network attack traffic, and it improves efficiency of network security rules generation.
Key words: network security incidents; association rules; attack mode; sequential pattern mining
1 引言
网络安全事件关联规则是对网络安全事件之间关系的定义和描述,它反映了一个或一类攻击成功执行时所表现的动态过程和状态,是对攻击过程的抽象。基于规则的关联分析技术易于实现且能有效的发现不同网络安全事件之间的关系,将多个底层探针告警替换成一个更具可理解性的高级警报,为管理员提供更准确的网络安全视图,这种技术在当前主流的网络安全产品中得到了广泛的应用[1-4]。网络安全事件关联规则的完善程度决定了关联引擎对网络安全事件和攻击的识别能力,其结果直接影响到上层应用的质量。
目前在网络安全事件关联分析领域,研究主要集中在关联分析方法和关联引擎结构方面,对于关联规则的研究主要集中在关联规则的表示和应用上,对于关联规则的生成方法的研究较少。然而如果没有丰富和可靠的关联规则集,那么基于规则的关联分析将是无源之水。从当前典型的产品应用来看,现有的关联规则集在种类上和数量上都远远不能涵盖已出现的各种网络攻击。因此,对关联规则自动生成方法进行研究具有非常重要的应用价值。
2 相关研究
在已有的网络安全系统及产品方面,目前采用的主要还是基于网络安全专家的经验手工添加网络安全关联规则的方法。OSSIM[1]中的关联引擎使用了层次式的树形规则,由XML进行描述和存储,并采用可视化技术,提供了简易的规则编辑界面,省去了规则维护人员编写XML文件的工作量,但本质上规则的增加还是手工完成。Drools[2]关联分析推理引擎也使用了层次式的规则结构,由“IF,ELSE”语句块来描述,规则的增加也需要手工完成。SEC[3]关联分析系统将关联规则进行了详细的分类,支持正则表达式,不同的分类可以进行组合,用以表述更复杂的攻击,但关联规则也需用户手工来编制。
手工增加规则的缺陷主要有以下四点:(1)规则的增加依赖于专家知识;(2)规则增加效率低;(3)规则正确性无法保证,依赖于攻击知识;(4)关联规则更新困难,关联引擎是工作在底层探针之上的,所以关联规则是由底层探针的输出按一定关系组织起来的,当底层探针及规则库或知识库更新时,上层的关联规则也应作出相应的调整。
在关联规则自动生成的研究方面,首先用LAMBDA语言对每一攻击进行详细描述,然后通过分析每个攻击的前提集和结果集,自动生成关联规则。这种方法提高了关联规则的增加效率,但规则生成之前需对每一个攻击进行LAMBDA语言描述,这又要依赖于专家知识。从数据挖掘的角度出发,利用FP-树对安全事件集进行频繁项集的挖掘,规则的生成无需手工干预,但是该方法直接将挖掘布尔规则的关联规则算法应用于具有多维属性且有序列关系的网络安全数据,这样不仅会产生大量毫无意义的频繁项集,还使得安全事件中的不同字段失去了固有的联系和意义,得出的频繁项集不能准确反映原来的攻击。采用Apriori算法对安全事件集进行频繁项集的挖掘,挖掘出的规则存在着相似的问题。
3 基于攻击流量的关联规则自动化生成框架NSRAG
自动化生成关联规则的一个基本思路就是利用真实的攻击流量来触发网络安全检测和监控软件,收集它们产生的告警和目标状态信息,以此为数据源产生关联规则。
基于上述思路,本文提出如下自动生成的方法:
(1) 搭建攻击床,布署漏洞主机、网络安全检测和监控软件、嗅探器;
(2) 通过执行攻击或重放攻击数据集来产生攻击流量;
(3) 收集攻击流量所触发的告警和目标状态;
(4) 以第3步输出为数据来源,生成攻击对应的关联规则;
(5) 嗅探器捕获的攻击流量用于关联规则的测试和后续开发。
该方法使得增加关联规则无需分析攻击知识和网络安全检测、监控软件的输出,只需在攻击床中执行或重放一次攻击。在攻击床中执行的攻击可知,可控,所以可以生成攻击词典,攻击日志等有用信息,也可捕获攻击流量,为关联规则的生成和测试提供支持。Metasploit[8]能够实现攻击的自动执行,可大大提高规则增加效率;另外,攻击程序也可从站点[9-10]获取
NSRAG系统中关联规则自动生成算法有两种,在攻击模式已知的情况下采用基于攻击模式的规则自动生成算法,否则,采用基于序列挖掘的规则自动生成算法。
3.1 基于攻击模式的规则自动生成算法
每一类网络攻击都有各自的特征,同类网络攻击的不同攻击实例在实施时往往需要经历相同的步骤,例如远程缓冲区溢出攻击,要想成功执行都需经过溢出尝试,shellcode执行(获取权限),实施破坏这几个主要过程。对于同一类攻击的不同阶段,底层安全工具输出的事件往往具有相同的类型。也就是说,对于同一类攻击来说,攻击步骤与攻击结果具有不少共同的特征,可将这些共同而又独立于其他种类攻击的步骤抽取出来,作为一种攻击模式,根据攻击模式,结合底层事件集,自动生成关联规则。
NSRAG系统中基于攻击模式的规则扰动生成过程如下:先总结分析攻击模式,以攻击模式作为输入得到攻击对应的关联规则的层次结构;再提取安全事件集,将其与攻击步骤相对应,填充已得到的规则层次结构;最后结合事件集,对关联规则进行细粒度的划分,得到最终的攻击实例关联规则集合。
3.2 基于序列挖掘的规则自动生成算法
NSRAG系统中对于未知攻击模式主要利用数据挖掘中的关联分析方法,结合相关技术从海量的安全事件集中挖掘出大规模网络攻击的攻击模式,进而生成可以反复使用的关联规则。
一般数据挖掘算法对类似于购物篮商品的数据的挖掘,都只强调同时出现的关系,而忽略了数据中的序列关系,然而安全事件之间都具有固有的序列特征,这意味着在它们之间存在着基于时间的先后次序,这种先后次序对于表述现实的攻击具有重要的意义,不能忽略。在序列数据集中,每一行都记录着与一个特定的对象相关联的一些事件在给定时刻的出现,因此系列模式挖掘更能体现网络安全事件之间的时间顺序关系。
NSRAG系统中序列模式挖掘分为五个阶段:1)排序阶段(sort phase);2)大项集阶段(litemset phase);3)转化阶段(transformation phrase);4)序列阶段(sequence phrase);5)最大化阶段(maximal phrase)。在排序阶段,按照主关键字(对象ID)和次关键字(时间戳)将数据库中中的数据行进行排序;在大项集阶段,找到所有的频繁项集组成集合,并进行编码,建立频繁项和编码之间的一一映射关系;在转化阶段,通过这种映射关系对数据库进行处理,以生成一个内存中较小的映像;在序列阶段找到所有的序列模式;最后在最大化阶段,去掉不必要的子序列模式,找到包含序列元素最多的序列模式。其中前三个阶段是预处理阶段,为挖掘算法的分析做好准备,后两个阶段是挖掘序列模式的关键阶段。
3.2.1 基于候选集的序列模式挖掘
这类算法基于频繁项集中的一个先验原理:如果一个项集是频繁的,则它的所有子集一定也是频繁的。该先验原理也适用于序列模式,因为包含k-序列的任何数据序列必然包含该k-序列的所有(k-1)-序列。对经典的Apriori算法做出一定的修改即可实现对k-序列模式的挖掘,典型的代表有AprioriAll算法和GSP算法,这些算法采用了逐层的候选序列生成和测试方法,需要多趟次扫描原序列数据库。算法第一次扫描将发现频繁1-序列,然后以对频繁1-序列进行连接生成候选频繁2-序列,首先利用前述的先验原理进行必要的剪枝,然后再扫描一次原数据库,计算每个候选序列的支持度,满足最小支持度的候选序列即为频繁序列,依次类推生成频繁k-序列。
这类算法都要产生大量的候选集,随着项数的增加,需要更多的空间来存储项的支持度计数,另外频繁项集的数目也随着数据维度增加而增长,计算量和I/O开销也将急剧增加。
3.2.2 基于频繁模式增长的序列模式挖掘
这类算法包括FreeSpan算法和PrefixSpan算法等。这类算法都采用了分而治之的思想,挖掘过程中无需生成候选序列,而以某种压缩的形式保留了原数据库的基本数据分组,随后的分析可以聚焦于计算相关数据集而非候选序列。另外,算法的每一次迭代并不是对原来数据库进行完整扫描,而是通过数据库投影来对将要检查的数据集和序列模式进行划分,这样将减少搜索空间,提高算法性能。FreeSpan算法基于任何频繁子序列对序列数据库投影,并在子序列的任何位置上增长,可能会产生很多琐碎的投影数据库,在某些情况下算法收敛的速度会很慢;PrefixSpan仅仅基于频繁前缀子序列投影并通过在其后添加后缀来实现序列的增长,因此包含更少的投影库和子序列连接而性能更忧。
常规的购物篮数据中的布尔关联规则生成时,要对得到的频繁项集中的每一个非空子集进行迭代,计算该非空子集作为蕴含式前件的概率是否满足最小置信度,如果满足,则生成一条关联规则。这种关联规则的产生方法中,频繁项集中的各个项是无序的关系,最后生成的关联规则才确定了各个项之间的先后次序。
从大量的网络安全事件集中挖掘出的序列模式反映了大规模网络中的一般行为规律或者大规模网络攻击的攻击模式,我们通过对各种数据挖掘算法的测试和分析发现,经过PrefixSpan得到的序列模式正好反映了各种网络安全事件之间的关系,这里的关联规则可以由序列模式直接转化,而不一定非要通过置信度的方法来生成。在转化序列模式为关联规则之前,先要去掉不必要的子序列模式,仅保留包含元素最多的序列模式,这就是前面所说的最大化阶段。
要注意的是,数据挖掘方法得到的序列模式并不一定都是对攻击的反应,其中肯定有正常网络行为的模式,这就需要专家对最终生成的关联规则进行评审,以分别哪些是正常行为模式,哪些是大规模攻击行为模式,只有攻击行为的序列模式最后才被转化为关联规则并最终纳入网络安全事件关联规则库中。
4 结论
随着网络安全攻击类型的日新月异和网络安全事件的不断增加,手工添加和维护网络安全事件检测规则已经越来越不能满足需求,本文提出了一种自动化生成网络安全关联规则的方法,构建了一个自动化离线生成关联规则的框架NSRAG,在该框架下,规则维护人员无需手工编制规则,只需执行或重放一次攻击就行了,我们使用defcon17数据集进行关联规则的挖掘实验和有效性测试,defcon17数据集是2009年第17届defcon大会上,对黑客竞赛时的攻击流量的捕获和存档,该数据集包含了大量真实的攻击数据。实验结果证明NSRAG可以根据网络攻击流量自动生成规则,减少了对网络攻击知识的依赖,提高了网络安全事件关联规则增加的效率。
参考文献:
[1] AlienVault LLC. http:///community.php?section=Home.
[2] JBoss Community. http:///drools.
篇3
关键词 管理体制;网络安全;对策
中图分类号 TP393 文献标识码 A 文章编号 1007-5739(2012)03-0068-01
任何一个系统的安全,都包括2个方面,即系统的安全管理措施和保护系统安全的各种技术手段,也就是人的因素和技术的因素[1]。系统安全策略的制定与实施、各种安全技术和产品的使用和部署,都是通过系统管理员和用户来完成的。健全的管理体制是维护网络正常安全运行的关键[2]。很多系统由于缺乏健全的安全管理体制,因此常出现管理疏忽而导致严重的问题。
1 明确专门负责网络安全管理的部门
网络安全管理部门是系统内部具体处理信息安全问题的权威机构,其主要职责包括以下10个方面:一是研究和评估各类网络安全技术,应用推广适合本系统的技术。二是制定、监督执行及修订安全策略和安全管理规定。三是制订出适合单位内使用的各类操作系统和网络设备配置指南。四是指导和监督信息系统及设施的建设,以确保信息系统满足安全要求。五是各接入单位部门计算机内严禁安装黑客软件和病毒软件、散布黑客软件和病毒或攻击其他联网主机,建立病毒数据库自动更新和定时升级安全补丁,定期检测网内病毒和安全漏洞,病毒信息,采取必要的防治措施。六是应做好网络系统备份工作,确保在系统发生故障时能及时恢复,对各种应用系统的配置规划和备份计划进行审查,检查其是否符合安全要求。七是只允许网管中心工作人员操作网络设备、修改网络设置,其他任何人一概不允许;根据使用权限正确分配管理计算机服务器系统,并添加口令予以保护,定期修改口令,严禁任何非系统管理员使用、猜测管理员口令。八是对各类个人主机、应用系统和设备进行不定期地安全检查。九是定期对网络管理员进行安全培训和教育,提高其相关的操作技能和安全保密意识,以便能够识别安全事件,掌握基本的安全技能及正确的处理方法。十是对各用户安全事件的日常汇报进行处理[3-4]。
2 制定网络安全管理规定
为明确职责和责任,一般网络安全管理规定应包括以下7个方面:一是计算机网络安全建设规定。用于建设专用网络安全设施以及描述建设各类信息系统应遵循的一般要求。二是计算机网络安全管理规定。用于对违反规定的行为进行处罚以及描述用户应遵守的一般要求。三是安全事件应急响应流程。定义发生各类安全事件时相关人员的职责及处理流程。安全事件包括不明原因引起的线路中断、系统故障导致瘫痪、感染计算机病毒、硬件被盗、严重泄密、黑客入侵、误操作导致重要数据丢失等。四是明确安全注意事项和系统使用指南。主管人员应制订相关应用系统的使用指南和安全注意事项,让应用系统的操作人员能够掌握正确的使用方法,以保证各种系统正常运行和维护,避免因操作不当而造成损失。五是安全保密管理规定。定义网络系统内部对人员的一般要求、对各类信息的保密要求以及对违反规定行为的处罚措施。六是机房出入管理制度。由专人值守,出入时登记,从而对非管理人员进出中心机房进行管理。七是系统数据备份制度。规定对重要系统和重要数据必须备份,针对不同的应用系统作出不同的规定,包括备份保存和恢复、备份方式、备份周期等。
3 明确网络安全管理人员岗位工作职责
一是建立健全的网络安全管理组织,设立计算机网络安全管理工作责任人制度,负责全面领导本单位计算机的防黄、防黑、防不良信息、防毒等网络安全工作。二是网络安全管理人员要进行网络安全培训,并实行持证上岗制。三是网络安全管理人员应当保障计算机网络设备和配套设施、信息、运行环境的安全。四是网络安全管理人员应当保障网络系统和信息系统的正常安全运行。五是网络安全管理人员必须接受并配合国家有关部门对网络依法进行的监督检查和上级网络中心对其进行的网络系统及信息系统的安全检查。六是网络安全管理人员必须对网络接入的用户,用防火墙技术屏蔽非法站点和保留日志文件,并进行定期检查。七是网络安全管理人员定期检查各种设备,确保网络畅通和系统正常运行,定期备份系统数据,仔细阅读记录文件,不放过任何异常现象,定期保养、维护网络中心交换设备。八是网络安全管理人员定期检测网内病毒和安全漏洞,病毒信息,并采取必要措施加以防治。
4 结语
计算机信息网络国际互联网上充斥着大量的有害信息和不安全因素,为了加强维护公共秩序、保护互联网的安全和社会稳定,应当接受公安机关的检查、指导和安全监督,如实向公安机关提供有关安全保护的数据文件、信息、资料等,协助公安机关查处通过互联网进行的违法犯罪活动。
5 参考文献
[1] WILLIAM STALLINGS.网络安全基础[M].4版.白国强,译.北京:清华大学出版社,2001.
[2] MARK STAMP.信息安全原理与实践[M].杜瑞颖,译.北京:电子工业出版社,2007.
篇4
日前,天融信推出客户网络安全运营业务平台(简称“CSOC平台”),该平台能够帮助集团型企业建立一个可运营的安全管理平台。
该平台由四部分组成:运营核心平台、数据采集子系统、客户服务支撑子系统、安全专家团队。运营核心平台依托网络安全信息数据库,通过对采集到的网络访问信息进行智能分析,实现安全对象管理、安全事件管理、系统脆弱性管理,将发现的高危安全事件生成预警信息通知到客户服务支撑子系统;数据采集子系统部署在客户网络端,能从客户网络的安全监控对象上采集日志数据,并将预处理后的数据信息加密后通过互联网带内方式发送至安全运营服务核心平台进行分析;客户服务支撑子系统提供客户访问界面,供客户查询安全事件,向客户展现安全风险状况和安全风险趋势,同时定期向客户报送安全报表和安全通告,在发生高危安全事件时向客户提供预警;安全专家团队包括安全监控人员、安全分析人员、安全专家组、现场服务人员,安全专家团队负责对安全事件进行实时监控与分析,帮助客户发现真正有威胁的安全事件。据悉,该平台的主要服务功能包括:
以安全事件收集为基础,通过对互联网接入客户安全设备、网络设备、主机设备、服务器等事件收集,归一化处理、关联分析等,为客户提供安全事件管理、网络以及应用安全事件告警、安全事件报表服务。
通过对客户Web网站,针对敏感、低俗关键字、网页挂马检测,SQL注入漏洞、XSS跨站脚本漏洞等进行安全扫描,并与国家网络安全权威漏洞信息数据库比对,发现Web网站系统中存在的安全漏洞和安全隐患,为客户提供完善的漏洞扫描结果报告、网页安全检测报告及安全整改措施建议等服务。
为用户提供安全评估功能,并给出相应的安全加固建议,对可能存在的安全隐患进行预警为用户提供安全评估功能,并给出相应的安全加固建议,对可能存在的安全隐患进行预警。
为客户提供配置安全核查、安全漏洞检测及修复、安全响应支持等功能。(姜妹)
希捷新开放存储平台提供云架构
近日,希捷了Kinetic开放存储平台将重新定义云存储基础设施。希捷Kinetic开放存储平台不仅能简化数据管理,提高性能和可扩展性,还可以同时降低一般云基础设施的总体拥有成本(TCO)。
该平台让各应用和存储设备之间可以直接传递指令,消除了传统数据中心架构中的存储服务器层,进而降低超大规模存储基础设施在购置、部署以及服务支持方面所涉及的费用。通过降低功耗和冷却成本,企业可实现存储密度最大化,同时降低云数据中心扩建成本。
该平台充分利用了希捷在硬件及软件存储系统的优势,将新的即将开放源代码的核心应用程序界面、以太网和希捷硬盘技术相结合。该技术专为在各种云存储软件栈快速实施和部署而设计,可广泛应用于各种存储设施,帮助系统构建商和软件开发商设计新的解决方案,以应对一系列的云数据中心使用案例。
该平台通过重新定义硬件和软件功能,使云服务提供商和独立软件供应商能够优化扩展文件和基于对象的存储。利用Kinetic开放存储平台,应用程序现在可以管理具体的特性和功能,并在任何云存储软件栈快速实施和部署。该技术还可以通过消除性能瓶颈,优化集群管理、数据复制、迁移和主动归档性能,进而提高I/O效率。(张惠)
惠普BIOS自动修复安全解决方案
10月28日,惠普在“惠普商务IT新型态之商务笔记本秋季新品会”上了能自动修复BIOS的安全解决方――HP BiOSphere。
该解决方案能将受到攻击或受损的BIOS系统自动修复到之前未受损的状态。目前,惠普已经将HP BiOSphere加入到包含多重安全防护的HP Client Security解决方案套件中。
该解决方案可抵御由恶意软件袭击及电脑BIOS更新失败造成的系统崩溃,即使BIOS受损亦能进行系统自动修复,从而保证企业用户的不间断工作。不管是恶意攻击、更新失败或是其它意外原因引起的问题,该解决方案都可对电脑BIOS进行修复,确保用户可以连续工作,减少企业员工向IT部门寻求帮助的次数。
该解决方案还加入了一个嵌入式安全控制器“凤凰”芯片,可抵御永久性阻断服务攻击,并可检测、抵御安全威胁,同时可在受到高级持续性攻击后进行自动修复,帮助企业用户抵御恶意软件的攻击,防止宕机。另外,还可为惠普商务笔记本电脑的数据提供自动保护,确保其配置性和管理性,并为HP ClientSecurity解决方案以及HP ClientManagement解决方案提供支持。(杨光)
RiVerbed推出全新应用及网络性能管理产品
近日,Pdverbed宣布推出集成应用感知网络性能管理与应用性能管理功能的全新设备。这一方案通过深层次数据包及网络流分析,提供端对端应用事务监测与终端用户体验(EUE)的性能管理。用户现在可通过该解决方案,实现其关键应用在性能、可用性及生产效率等方面的优化。
本次包括用于AppR esponse Xpert的Shark模块,它将网络智能运用到应用性能中;AppResponse Xpert与Profiler设备和Pilot软件的整合,可将应用分析运用到整个性能管理中。此外,Riverbed还为严苛且高性能的应用基础设施引入了新型AppResponse Xpert 6000设备。
集成Shark模块的AppResponse Xpert将终端用户体验、应用事务分析和深层网络智能统一到单台设备中,有助于优化所有应用层、全球网络和各种用户设备的监测并解决性能问题。
Shark模块增加了网络智能,补充AppResponse Xpert现有的终端用户体验监测与事务分析,创造了一个独立且统一的设备,结合终端用户体验、应用事务分析与深层网络智能,同一位置不再需要部署多个设备。(洪蕾)
立华科技单路处理器产品面市
近日,北京立华莱康平台科技有限公司了采用单路Intel Xeon E5-2600系列处理器的网络应用硬件平台FW-8877,适用于应用交付、Web防火墙、UTM、SoC、数据库安全审计、网络管理,云计算,Hadoop等诸多应用。
FW-8877采用Intel Patsburg C602J服务器级PCH,支持单路Intel Sandy Bridge EP E5-2600及Intel Ivy Bridge EPE5-2600V2系列至强处理器,CPU集成内存控制器,支持四通道DDR31600MHz Non-ECC/ECC内存。
篇5
网络安全态势分析是一个综合的研究课题,包括对原始事件的收集、事件的关联、安全态势的评估方法、态势结果的存放和展示、态势预测等。它为网络管理人员的决策提供技术支持,在复杂的网络环境下帮助网络管理人员迅速准确的得到网络的整体信息。由于本文需要在特定的网络环境下设计态势预测模型,因此也要对数据的收集处理、态势的评估等进行研究。本文从数据预处理、事件关联、态势评估和态势预测等四方面介绍了态势分析领域的相关技术和研究成果。
1数据预处理
网络安全事件来自于部署在网络中的各种安全设备,它们的工作原理不同,关注的侧重点也不尽相同,因此从这些设备中获取的数据可能存在不完整和不一致,给数据处理工作带来很大的困难。数据预处理能够对不完整的数据进行补充,纠正错误数据并去除冗余数据,将数据转换为统一的格式进行下一步处理。数据预处理包括三部分内容,数据清理、数据转换和数据归并。数据清理的工作包括补充数据中缺失但需要的内容,去除冗余数据。数据清理分为有监督和无监督两种方式,有监督的方式是在相关专家指导下进行的,无监督的方式是通过建立规则库,根据设定好的规则进行的。数据转换是通过一足方法将杂乱无章的数据转换成统一的格式,有以下几种处理方式:数据缩放,同一属性的数据最大值和最小值差距可能很大,这样会对一些算法的性能造成影响,可以将数据按比例缩放从而映射到一个范围较小的区间;数据泛化,采用概念分层的方法将低层的原始数据抽象成高层次的概念,属性构造:根据数据源中己有的一个或者几个属性生成新的属性,有助于理解高维的数据结构的;数据平滑,去除数据中的噪声。数据归并对数据进行整理,去掉与系统关键特征无关的属性,合并同类型的关键数据,在保持数据完整性的基础上使得数据尽可能精炼,方便以后的操作。
2事件关联
事件关联就是对采集到的大量数据进行分析,从各种不同类型的数据中找出他们的联系,从而还原一个攻击行为。事件关联技术通过对收集到的大量的安全事件进行处理,减少了事件的数量,并提高了事件的准确性。事件关联技术:①基于规则的推理(RBR)是最早出现的一种技术。②基于事例的推理(CBR)。③基于模型的推理(MBR)。④代码书关联模型(CCM)。⑤通信有限状态机(CFSM)。
3态势评估
网络安全态势评估是将采集到的大量的网络安全事件进行分析处理,通过相应的模型和算法计算出一组或几组有意义的数值,并据此研究网络的安全态势。
3.1网络安全态势评估标准
国外有以下几种有代表性的评估标准:①可信计算机系统评估准则TCSEC(TrustedComputerSystemEvaluationCriteria)是计算机系统安全评估的第一个正式标准,由美国国防部在1985年12月。TCSEC最初是军用标准,后来使用范围逐渐推广。②信息技术安全评估准则ITSEC(InformationTechnologySecurityEvaluationCriteria),是欧洲的安全评价标准,主要应用在军队、政府部门和商业领域。③信息技术安全评价通用准则CC标准(TheCommonCriteriaforInformationTechnologysecurityEvaluation)1993年6月由美国、加拿大及欧洲共同体起草,并将其推广到国际。国内的有代表性的安全评估标准:①GB17859-1999计算机信息系统安全保护等级划分准则,由国家质量技术监督局于1999年9月。本标准给出了计算机信息系统相关定义,规定了计算机系统安全保护能力的五个等级:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。这五个等级对计算机信息系统安全保护能力的要求依次升高。②GBIT18336-2001信息技术安全评估准则,2001年3月,是由国家信息安全测评认证中心主持,联合其他相关单位共同起草的国家标准,等同于ISO/IEC15408,并直接应用于我国的信息安全测评认证工作。该准则定义了评估信息技术产品和系统安全性所需的基础准则,对确定安全态势评估模型以及关键态势因素等具有很强的指导作用。③GB-T20984-2007信息安全风险评估规范,2007年,为网络信息系统的安全态势评估工作提供指导和规范。该标准提出了风险评估的基本概念,给出了系统各要素之间的关系,并介绍了风险评估的分析原理、实施流程和评估方法。
3.2网络安全态势评估方法
在一定时间内不同的网络安全设备提供的安全事件往往存在着内在的联系,态势评估就是要通过一定的模型和算法分析这些安全事件得出态势值来衡量网络的安全状况。
3.2.1层次分析法
层次分析法(AnalyticHierarchyProcess,简称AHP)是一种定性与定量相结合的分析方法,由美国运筹学家T.L.Satty在上个世纪70年代提出。这种方法将与决策有关的元素分解成目标、准则、方案等层次,使决策的思维过程模型化,从而为复杂的决策问题提供简便决策。
3.2.2数据融合
由于数据融合技术的研究内容广泛且复杂多样,目前对数据融合还没有统一的定义,一般认为,数据融合技术是指利用计算机将按时序获得的若干观测是数据根据一定标准自动分析、综合,以完成所需决策和评估的信息处理技术。数据融合包含如下三个层次:数据层融合,是在原始数据层进行融合,即对采集的数据直接进行融合,这是低层次的融合;特征层融合,先对采集到的原始数据进行特征提取,然后对提取的特征进行融合,属于中间层次的融合。这种融合方式压缩了数据量,有利于对信息的实时处理。特征层融合一般采用分布式或集中式的融合体系,可分为目标状态融合和目标特性融合;决策层融合,先对采集的数据进行预处理、特征提取、识别或判决等,然后将决策层的判决通过一定的关联分析进行融合,是最高层次的融合。
3.2.3支持向量机
支持向量机(SupportVectorMachine,SVM)是一种机器学习方法,参照了统计学习理论中的VC维理论和结构风险最小化原理,更适合小样本、非线性和高维模式识别问题,并有效克服了机器学习中维数灾难和过学习等问题。
4态势预测
为了能够准确预测未来的网络安全状况及其变化趋势,研究人员最初从脆弱性、安全威胁等单安全要素的预测分析上开展研究,该方面的研究比较成熟且有了丰富的研究成果。随后研究人员意识到安全管理员的操作和决策更佑赖于网络的整体安全状况,因此目前的研究更侧重于将网络中各安全要素的信息融合,得出网络整体的安全状况后进行预测。
4.1时间序列分析方法
时间序列是依据时间顺序生成的观察值的集合。按集合的连续性和离散性,时间序列可分为连续时间序列和离散时间序列;按是否能用精确的函数数学模型表达,可分为线性时间序列和非线性时间序列。
4.2灰色系统理论
灰色系统是一种既含有己知信息又含有未知或未确知信息的系统。灰色系统理论即是研究对灰色系统的建模、预测和控制等。灰色系统包含的信息是有限且离散的,需要从中找出规律来进行建模。目前最常见的灰色预测模型为GM(1,1)模型。它的特点是算法简单,易于实现,在运行时不需要进行参数设定或者其他的人为操作,速度也比较快,能够体现网络安全趋势,适用于小样本预测。
4.3人工智能方法
人工智能的基本思想是通过建立机器的自动感知和自学习机制,使其具有思维能力和行为能力。由于人工智能方法对非线性时间序列具有很强的逼近和拟合能力,许多研究人员将其应用于非线性时间序列的预侧中,如遗传算法、神经网络和支持向量机等智能预测方法。此类方法的优点是具有自学习能力,中短期预测精度较高,需要较少的人为参与。但是遗传算法的进化学习机制较为简单,神经网络存在泛化能力弱,易陷入局部极小值等问题,而支持向量机的算法性能易受惩罚参数、不敏感损失参数等关键参数的影响。
作者:易静 单位:河北医科大学图书
引用:
[1]彭熙,李艳,肖德宝.网络故障管理中几种事件关联技术的分析与比较[J].计算机应用研究,2003.
[2]中国信息安全产品测评认证中心.GB/T18336-2001.信息技术安全评估准则[S].北京:国家质量技术监督局,2001.
[3]中国信息安全产品测评认证中心.GB/T20984-2007.信息安全风险评估规范[S].北京:国家质量监督检验检疫总局,2007.
[4]徐俊,刘娜.层次分析法的基本思想与实际应用[[J].情报探索,2008.
篇6
关键词:信息完全;技术;体系
一、前言
随着金川集团公司跨国经营战略的实施,企业信息化进程不断深入,企业信息安全己经引起公司领导的的高度重视,但依然存在不少问题。调查结果表明,造成网络安全事件发生的原因有很多,一是安全技术保障体系尚不完善,企业花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标;二是应急反应体系没有经常化、制度化;三是企业信息安全的标准、制度建设滞后。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的80%,登录密码过于简单或未修改密码导致发生安全事件的占19%。近年来,虽然使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,但是,很多企业存在安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平还比较低。因此现代企业迫切需要建立信息资源安全管理体系。
二、企业信息资源安全管理体系构建
1、企业信息安全组织管理
企业信息安全组织体系定义为一个三层的组织,组织架构如图所示:
企业信息安全组织
l)总经理通过总经办负责企业信息、安全的决策事项。2)总经理任命一名信息安全主管负责企业信息安全的风险管理,该主管领导一个有各个部门主要负责人参加的信息安全管理小组维护企业信息安全管理体系、管理企业信息安全风险。3)总经理任命一名信息安全审计师,负责企业信息安全活动的审计。4)行政部门、业务部门和分支机构执行信息安全管理体系中的相应安全政策,并在信息安全管理主管的领导下,实施风险管理计划。各个部门负责人有义务向信息安全主管报告所管辖部门的信息安全状况,信息安全主管应定期在组织范围内和向上级机关报告企业信息安全状况。
2、企业信息安全政策管理
根据企业信息安全风险分析的结果和信息安全政策制定的原则,设计信息安全政策体系包括以下几点:(1)企业信息安全风险管理政策:a)信息安全风险定义,包括风险等级定义和安全类别定义;b)信息安全风险评估执行要求,包括时问周期要求、范围要求、基于事件的风险评估要求:c)信息安全风险评估责任,包括信息安全管理人员责任和业务部门责任。(2)企业信息安全体系管理政策:a)管理体系的规划,包括规划的时机、规划的内容、规划的依据、规划的责任人:b)管理体系的实施,包括、培训、执行奖惩。c)管理体系的验证,包括周期管理评审、安全审计、事件评审、残留风险评估。d)管理体系的改进,包括分析和变更控制。(3)病毒抵御安全政策:a)操作程序一运行网络管理人员日常工作的程序。这部分安全政策主要控制的风险是不规范的管理活动造成无效或低效的管理。b)关键资源监控一识别出关键设备并对关键设备的运行状态进行监控。这部分安全政策主要控制的风险是关键资源异常情况不能被及时发现和处理。c)软件系统维护一对软件系统及时地升级和打补丁。这部分安全政策主要控制的风险是软件系统未及时升级和/或打补丁而造成的信息故障或者安全事故。d)敏感资料存储一对在业务进行过程中产生的敏感信息的存放管理。这部分安全政策主要控制的风险是由于对敏感资料存储不当导致资料的丢失或泄漏。
3、企业信息安全事件管理
目前,没有任何一种具有代表性的信息安全策略或防护措施可对信息、信息系统、服务或网络提供绝对的保护。即使采取了防护措施,仍可能存在残留的弱点,使得信息安全防护变得无效,从而导致信息安全事件发生,并对企业的业务运行直接或间接地产生负面影响。此外,以前未被认识到的威胁也将会不可避免地发生。企业如果对如何应对这些事件没有作好充分准备,其任何实际响应的效率都会大打折扣,甚至还可能增加潜在的业务负面影响。因此,企业应着重做好信息安全事件管理工作。信息安全事件管理方案的必企业应着重做好信息安全事件管理工作。信息安全事件管理方案的必要过程包括:(1)发现和报告发生的信息安全事态,无论是由企业人员/顾客引起的还是自动发生的(如防火墙警报)。(2)收集有关信息安全事态的信息,由企业的运行支持组人员进行评估,确定该事态属于信息安全事件还是发生了误报。确认该事态是否属于信息安全事件,如果是,则立即作出响应,同时启动必要的法律取证分析、沟通活动。(3)进行评审以确定该信息安全事件是否处于控制下。(4)如果处于控制下,则启动任何所需要的进一步的后续响应,以确保所有相关信息准备完毕,供事件解决后评审所用。(5)如果不在控制下,则采取“危机求助”活动并召集相关人员,如企业中负责业务连续性的管理者和工作组。(6)在整个阶段按要求进行上报,以便进一步评估和决策。(7)确保所有相关人员,正确记录所有活动以备后面分析所用。(8)确保对电子证据进行收集和安全保存,同时确保电子证据的安全保存得到持续监视,以备法律起诉或内部处罚所需。(9)确保包括信息安全事件追踪和事件报告更新的变更控制制度得到维护,从而使得信息安全事态/事件数据库保持最新。
4、企业信息安全技术管理
我们所构建的信息安全管理体系中,不能忽视技术的作用,虽然只使用技术控制不能保证一个信息安全环境,但是在通常情况下,它是信息安全项目的基础部分。(1)密码服务技术。密码服务技术为密码的有效应用提供技术支持。通常密码服务系统由密码芯片、密码模块、密码机或软件,以及密码服务接口构成。通常,企业会涉及以下几个方面的密码应用:数字证书运算、密钥加密运算、数据传输、数据储存、数字签名、数字信封。(2)故障恢复技术。故障恢复的主要措施有:群集配置,由多台计算机组成群集结构,尽可能消除整个系统可能存在的单点故障;双机热备份,在任何一台设备失效的情况下,按照预先定义的规则快速切换至相应的备份设备,维持业务的正常运行;故障恢复管理,由专门的集群软件进行管理和监控,使应用系统在任何软硬件组成单元发生故障时,能够根据 故障情况重新分配任务。(3)恶意代码防范技术:恶意代码防范技术包括四大系统:病毒查杀系统、网关防毒系统、群件防毒系统、集中管理系统。(4)入侵检测技术。入侵检测系统是实现入侵检测功能的一系列的软件、硬件的组合。入侵检测系统以实时方式监测网络通信,对其进行分析并实时安全预警,从而使企业能够有效管理内部人员和资源,并对外部攻击进行早期预警和跟踪,有效保障系统安全。基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。通过比较这些审计记录文件与攻击签名是否匹配,如果匹配立即报警采取行动.基于网络的入侵检测系统把原始的网络数据包作为数据源。它是利用网络适配器来实时监视并分析通过网络进行传输的所有通信业务。(5)扫描与分析技术。端口扫描工具能识别网络上活动的计算机,同样也可以识别这些计算机上的活动端口和服务。可以扫描特定类型的计算机、协议和资源,也可进行普遍扫描。漏洞扫描可以扫描网络并得到非常详细的信息。可以识别暴露的用户名和组,显示开放的网络共享,并暴露配置问题和其他服务器漏洞。内容过滤器也能有效地保护机构系统,使其不受误用和无意的拒绝服务。
5、企业信息安全培训的必要性
公司目前很多岗位和部门的员工都从事涉密数据相关工作,有很多数据和信息涉及到公司的机密和知识产权,但是大多数员工信息安全意识差,在平时的工作中在意识上和实际工作中存在很多问题,导致涉密数据的外漏,给公司的生产经营造成不可挽回的损失。在有管理组织、政策制度和技术保障的情况下,通过对涉密数据相关工作人员的信息安全意识和信息安全操作培训是非常必要的。
三、结语
总之,企业信息安全管理体系是一个企业日常经营和持续发展的基本保证,也是企业战略和管理的重要环节。建立信息安全管理体系的目的就是降低信息风险对企业的危害。并将企业信息系统投资和商业利益最大化。信息安全不只是个技术问题,而更多的是商业、管理和法律问题。实现信息安全不仅仅需要采用技术措施,还需要更多地借助于技术以外的其他手段。
参考文献:
篇7
Abstract: Presented the complexity, chaotic and the risk based on the present Secondary vocational school campus net use, this article elaborated the campus network security's present situation, and synthesized the network security technology and the safety control, proposed that a set suited in the campus network security measure.
关键词:中职校园网 网络安全 防范措施
Key word: Duty campus net Network security Measure
随着学校信息化建设的推进,中职学校组建校园网已作为学校教育、教学、科研和办公的重要基础设施,在校园管理和日常教学中扮演着越来越重要的角色。但随着校园网络的发展,校园网络安全问题也日趋突出。如何保证中职学校网络能正常的运行,成为各中职学校越来越重视的问题。
一、计算机网络安全的定义
网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。广义来说,凡涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
二、加强中职学校校园网络安全管理的必要性
加强中职学校校园网络安全管理建设,一是关系到学校的整体形象。二是关系到学校的整体利益。目前在各类学校的网络中都存储着大量的信息资料,一旦网络安全方面出现问题,造成信息的丢失或不能及时流通,都将带来难以弥补的损失。所以在校园网络建设的同时,我们更应该重视网络系统在运行时的安全管理问题。
三、目前中职学校校园网络的安全现状
1、网络信息安全意识淡薄
因为思想观念与资金方面的原因,中职学校在网络安全设备上的投入一般都较少,这就给病毒、黑客提供了充分施展身手的空间。同时,校园网没有健全、规范的网络安全管理制度,缺乏网络安全管理人员,网络的安全运行很难得到保障。
2、操作系统存在安全漏洞
操作系统的安全是整个信息系统的基础,由于操作系统的重要地位及不安全因素,攻击者常常以操作系统为主要攻击目标。现在中职学校网络服务器和终端计算机的操作系统都有不同程度的安全漏洞与隐患。这些操作系统的安全隐患对校园网络的安全而言是极大的威胁。
3、病毒入侵破坏网络资源
校园网络在提供给大家方便的同时,也变成了病毒传播最快捷的途径。直接导致校园网用户的隐私和大量重要数据外泄,还会使校园网的部分带宽被病毒占用,使网络速度骤降。
4、黑客威胁引发安全隐患
黑客是指利用不正当手段窃取计算机网络系统的口令和密码,从而非法进入计算机网络的人。黑客攻击不仅来自“外网”,还可能来自校园网络内部,中职学生往往在好奇心的驱动和自我实现价值的刺激下,在校园网络充当 “黑客”一显身手。
5、数据泄露影响教学秩序
校园网络上运行各种数据库系统,如教学资源库、学生选课系统、考试系统,学生成绩管理系统等。因安全措施不够严密,而致使数据库的口令泄露,数据被非法取出和复制,造成信息的泄露,使得基于网络的正常教学管理秩序受到冲击破坏。
四、校园网络安全防范措施
(一)网络安全技术
通过使用不同的网络安全技术,来保证校园网络的安全,这主要包括:
1、精心配置防火墙
防火墙是设置在不同网络之间的一系列软硬件的组合,它在中职校园网与Internet 网络之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界, 从而保护内部网免受非法用户的入侵。
2、入侵检测
人侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术, 是一种用于检测计算机网络中违反安全策略行为的技术。
3、防病毒系统
对于计算机病毒, 采用已有的杀毒软件, 可以顺利地清除一部分已知病毒, 这无疑是一种最便捷的方法。但是, 由于病毒层出不穷, 单靠杀毒是不够的, 更重要的是在日常工作中建立科学的防范制度。
4、安全漏洞扫描技术
随着针对系统“漏洞”攻击的增多,作为操作系统的使用者, 要经常留意这方面的信息, 一有“补丁”程序, 要马上进行安装。
(二)网络安全管理
网络安全管理是网络安全体系的核心,在整个网络安全体系中起到管理、协调和决策的作用。网络安全管理应具有以下主要功能:
1、用户身份认证
网络身份认证是确定用户身份的合法性。身份认证可以对网络用户的身份进行鉴别,根据其权限开放相应服务,在出现网络安全问题时,身份认证系统可以提供肇事者的身份资料,通过这些资料帮助网络管理员解决网络问题。
2、安全审计和日志
通过网络安全管理平台,将全网系统的安全日志、安全事件集中收集管理,以实现事件和日志的集中分析、审计和报告。安全审计和日志通过一些特定的、预先定义的规则来发现日志中潜在的问题,它可以用来对网络安全攻击进行取证,也可以发现潜在的攻击征兆,确保任何安全事件得到及时的响应和处理。
3、建立安全评估策略
校园网络安全不能仅仅依靠防火墙和其他网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。使用安全评估工具是进行安全评估的一种手段,可以对各方面进行检测和反馈信息收集,进而制定策略。
4、数据的备份与恢复
学校应该定期对所有服务器资料,特别是数据服务器,系统日志进行备份。最好使用专业的备份软件,它可以通过优化数据的传输率来提高备份的速度。
篇8
【 关键词 】 云计算;云安全;运营商
1 引言
云计算是继微型计算机、互联网后的再一次IT革命,其是互联网技术发展、优化的必然结果,它的出现,充分体现了“网络就是计算机”的思想,尤其是其创新的计算模式和商业模式,给信息产业带来了深刻的变化。随着云计算市场规模的扩大,一个完整的产业链也在形成,而云计算也将成为互联网的核心,一些使用过云计算服务的企业和个人,其数据和信息的安全将取决于相关系统的安全性和保密性。在这过程中,云计算的安全问题不时出现,给企业,尤其是运营商的可持续发展带来了挑战。通过对运营商当前安全服务中的主要问题进行探讨,并提出全新的云安全服务体系,以实现安全的数据访问与控制,这具有重要的意义。
2 运营商云计算服务中存在的问题
2.1 身份假冒
对于运营商云计算服务而言,身份假冒是最主要的安全问题。从用户身份安全角度来看,客户所需要的是一种强认证机制,这种认证机制应综合一般的ID和密码保护,以确保用户在得到授权以后方可访问特定的系统和应用。而在云计算服务领域,没有身份认证这一定义,从一个云服务转移到另一个云服务的时候,如何验证用户的身份是合法、真实、有效的?如何确定用户是在其权限范围内享受云服务?因此在云服务领域,只有通过联合身份认证技术,才能实现服务和应用在云领域的安全转移。但由于云计算与其他网络服务相同,其存在着一定的虚拟性,不法分子可以通过攻击客户端、网络传输和服务器等环节,来获取客户信息,从而成为合法用户,使用户的信息完全暴露在不法分子面前。
2.2 共享风险
在云计算中,共享风险是一种特有的安全风险。云计算服务,通过虚拟化技术,将软硬件平台共享给多个用户使用,从而提高IT资源的利用效率,节省硬件设备。正是由于云计算的这一特性,使云计算服务中存在着一定的风险。虚拟化技术使认证、授权和访问更加难以控制,并且在用户体验过程中,不法分子传播恶意代码的行为也难以发现,这将会感染主机。此外,虚拟化技术如同虚拟机,如果虚拟机因故障而消失,存储在虚拟机上的数据将会随之扩散到不安全的地方。因此,在运营商的云安全中,要解决虚拟平台的安全问题,尤其是虚拟机管理软件的安全问题。
2.3 隐私泄漏
数据安全与否和隐私泄漏,是用户最为关注的问题,这类问题如果解决不好将会给用户带来巨大的损失。一般而言,数据安全风险,主要包括数据泄漏、数据丢失、数据篡改等,这些风险点集中在数据传输、处理和存储环节。如果用户在传输数据的过程中,没有采取足够的安全防范措施,将面临泄漏和篡改的风险,这将给用户造成严重的影响。
2.4 不安全接口
云计算服务有一个重要的特点,即开放性,服务商根据不同的商务模式,将软件、硬件和应用,划分成不同的权限,向用户提供相应的标准化应用程序接口,即API。API是用户进行管理和服务的平添,其安全性,也体现了云服务的安全性。如果接口不安全,产生API漏洞,或造成API密钥丢失,将使得不法分子能够轻易地通过虚拟机的安全机制,从而获得相应的系统管理权限,这将会云计算服务一路带来严重的后果。
3 运营商的云安全框架设计
运营商移动的云安全服务,主要是基于其在云计算领域所具有的计算、存储和网络安全防护资源,通过虚拟化技术对其进行整合,将业务受理、技术支撑和计费结算等系统融合在一起,实行集中管理,以实现虚拟资源在全国范围内的调度,按需分配。
3.1 运营商云安全的模块框架
运营商的云安全模型框架,应与云计算的三层SPI模型相对应,即基础设施层(IaaS)、功能与服务平台层(PaaS)、服务展现层(SaaS),每一层之间都通过资源接口、安全接口、服务支持接口等与接口层相连接。
基础设施层(IaaS)主要包括基础设施(如防火墙、主机、IPS、网络设备等)、采集适配装置(如采集配置、采集调度、事件过渡、状态监测、管理、协议适配等)、虚拟化资源池、Web应用云中间件(服务、弹性扩充、云事务处理等)。在基础设施层中,采集适配装置,用来收集来自相关安全对象,如主机、安全设备的安全事件和示警信息,并进行基本的过渡,同时通过协议适配装置来处理不同协议的Syslog示警。当这些信息进入虚拟化资源池后,由虚拟机监控器进行监控和管理,并根据用户的权限,进行相应的资源分配。IaaS通过Web应用云中间件与PaaS实现连接。
功能与服务平台层(PaaS),既包括了服务子层,又包括了安全功能子层。其中服务子层,由数据管理区和服务管理区组成,数据管理区与基础设施层(IaaS)相连,该区域主要是为整个安全框架提供数据交换和存储服务,如安全事件和漏洞库、解决方案库、专家知识库等,相关知识库的自动更新,为安全事件和漏洞的应急处理,提供充足的知识储备。服务管理区,包括资产管理、策略管理、故障相应管理、SLA质量管理等,并与服务展现层(SaaS)相连,向上管理与安全相关的业务,而向下则负责处理安全事件,为运营商的云安全服务提供保障。安全功能子层,包括安全评估、安全监控、DDoS 流量清洗、基本关联分析、事件匹配等,该子层作为具体的安全业务功能承载和输出组件,同时负责对各类安全事件处理,是云安全事件处理的核心。
服务展现层(SaaS)是云安全服务的门户,其用来为用户提供按需自助服务,如统计分析相关的安全事件、输出安全事件报表等。此外,在这一层,用户还可根据自己的需要,定制云安全服务,通过SaaS层,可方便地了解云安全服务的计费信息,并实时了解云安全服务的使用状况。
除了与云计算相呼应的三大层次以外,要实现云安全服务,还需通过一系列接口进行连接,如通过资源接口与基础设施层(IaaS)进行连接,同时与国家计算机应急处理中心、国家病毒处理中心和其他资质较高的安全厂商的数据接口进行连接,不断完善运营商的云安全服务能力。通过安全接口与功能与服务平台层(PaaS)进行连接,收集来自其他安全服务中的数据,向有需要的客户提供运营商基层网络数据。通过服务支持接口与服务展现层(SaaS)连接,随时随地获取有关运营服务的安全信息,并通过运营商在全国范围内统一的业务受理号,如移动的10086,实现云安全服务的一站式受理,通过运营商的计费系统实现服务收费,通过资源管理,实现全国范围内的资源统一调度和技术支持,优化资源配置。
3.2 云安全服务的主要内容
安全检测服务。安全检测是运营商云安全服务的重要内容,其主要通过云端探针,对系统、主机、网络及相应应用的行为和态势进行收集,并通过安全分析,发现其中的隐患。对于发现的安全隐患,通过PaaS层中的基本关联分析,与相应的安全规则进行匹配,再将结果提交到云平台,由云安全服务平台对客户的安全行为和安全事件监控,随时收集安全事件信息,并对此进行汇总生成报表传送给客户,而对于应急事件,可通过示警机制提交应急流程进行处理。安全检测服务,具体包括对主机状况、网络可用性、数据库、Web应用安全等进行检测。
安全防护与相应服务。通过运营商在云安全服务PaaS层中设置的分布式安全事件处理模块,能够对非法入侵进行防护、对DDOS 流量进行清洗、溯源攻击、过滤Web恶意攻击等,为用户提供24小时安全事故处理、在线技术咨询,对突发的安全事件,能够帮助用户分析原因,发现问题来源,排除安全隐患。
3.3 云安全服务的演进部署
按照运营商云安全服务的业务模式、演进原则和部署时序,对云安全服务的演进部署可划分为三个阶段,即基础安全服务、安全增值服务和集中安全管理等。在基础安全服务阶段,要完成云安全模块中的基础设施层建设,利用运营商现有的安全服务平台进行功能扩展,要实现云安全平台的身份鉴别、访问控制、边界保护和安全监控等功能。在安全增值服务阶段,要进一步整合流量监控系统、Web 安全检测系统、安全网关、流量清洗防护单元和解决方案库、专家知识库等,实现用户应用、数据安全等安全增值服务。而在集中安全管理阶段,对数据、应用进一步整合,实现云端大规模安全检测、漏洞扫描等,将区域本地漏洞样本库与虚拟安全网关进行关联,同时实现安全检测与安全防护联动,按需过滤存在漏洞的应用链接。此外,还应推进安全接口的标准化,降低第三方安全应用的准入门槛,以统一和标准化的形式呈现安全应用。
4 运营商云安全框架的支撑体系
要真正推广运营商的云安全服务,不仅要设计和建设完整的云安全框架,还要依托现有的增值服务平台,建设相应的支撑体系,与现有流程相配合,提高云安全服务能力。云安全服务支撑体系主要由营销体系、运营体系和服务体系构成。其中营销体系,由运营商的各级业务部门所组成,其负责本区域内的业务受理及处理、市场开拓和客户维护等。而运营体系通过设立运营中心而成,在总部设立一个统一的云安全服务运营中心,负责业务平台的日常运营和系统维护工作,如业务定制中,为业务部门提供业务受理和技术支撑,对用户的网络安全和应用安全进行监控,而在服务中,根据客户对安全服务的需求,将安全事件信息汇总,形成报表发送给客户。对于安全业务计费,也可利用运营商现有的统一计费体系,进行付费。在服务体系中,要实现运营商云安全服务的标准化,除了推进安全接口的标准化,还要规范相应的服务体系,从服务推广、业务受理、服务实施到服务结束全过程,同时还要对应急服务流程进行规范。
5 结束语
随着云计算的不断发展,数据和信息安全显得越来越重要,而运营商拥有雄厚的资本实力、先进的技术、完整的服务体系和广泛的客户资源,为云安全应用的发展提供了良好的基础。对此,应通过整合现有的网络、存储和虚拟机等云计算基础设施,构建云安全服务体系。
参考文献
[1] 冯登国,张敏,张妍等.云计算安全研究[J]软件学报,2011(22).
[2] 张新跃,刘志勇,赵进延等.基于电信运营商的安全应急响应体系研究[J]信息网络安全,2011(8).
篇9
随着科技的发展,信息技术应用范围越来越广,计算机软件更是层出不穷。然而,由于计算机软件研发过程中的复杂因素,计算机系统中存在着许多安全漏洞,一旦被不法分子抓住漏洞恶意攻击,计算机使用者将会面临巨大的损失。因此,对计算机软件中的安全漏洞进行检测具有深刻的现实意义。
【关键词】计算机软件 漏洞检测 系统安全
计算机信息系统在各行各业的大幅运用促进了社会生产力的提高,但同时也带来了许多网络安全问题。由于软件开发人员的技术水平和其它一系列不定变量,安全漏洞的产生是不可避免的,许多不法分子正是利用这点引发了大量网络安全事件。而对计算机软件中安全漏洞的检测方法进行研究,可以帮助我们减少甚至彻底杜绝这类事件的发生。
1 计算机软件中安全漏洞的基本概述
1.1 安全漏洞的性质
所谓计算机软件安全漏洞又称计算机脆弱性,是指软件系统中存在的某些安全弱点。而黑客能够通过这些弱点非法入侵,窃取计算机用户的信息,给用户带来巨大的损失。故而,对安全漏洞的检测与防范是十分重要的。
1.2 安全漏洞的表现形式
安全漏洞通常是由软件编程人员的疏忽导致的错误操作引起的,它的表现形式分以下两种:
1.2.1 功能性漏洞
这种漏洞是内部漏洞,相当于系统bug,只会影响计算机系统的正常运行,而不会带来外部的危险。
1.2.2 安全漏洞
显而易见,安全漏洞就是黑客利用来恶意攻击计算机系统的安全弱点,它会为计算机系统带来风险,使系统无法得到有效的保护,造成计算机信息紊乱。
1.3 安全漏洞产生的原因
无论是哪一种安全漏洞,都必有其产生的原因,经观察研究,主要有以下四点:
(1)计算机软件开发人员在编程时出现逻辑错误,引发系统漏洞;
(2)编程人员处理软件数据及其计算模式时出现失误,造成逻辑漏洞;
(3)网络环境的复杂性(同样的软件系统在不同的硬件中会因为不合理的软硬件配置造成系统漏洞,即使在相同的硬件中也会由于网络环境设定不同从而导致安全隐患);
(4)新兴理论的出现(随着时间的推移,计算机软件编程理论也在不断更新换代,如此一来,检测安全漏洞的速度便会跟不上,造成解决问题不及时的情况)。
2 计算机软件中安全漏洞的检测方法
检测计算机软件中安全漏洞的方法多种多样,大体上可以分为动态与静态两类。
2.1 动态检测技术
动态检测方法主要是修改程序运行的环境,快速直接,具有针对性,然而这种方法本身也会影响计算机软件系统的正常运行,带来新的安全隐患。
2.1.1 非执行栈技术
一些操作系统的栈允许执行与写入,安全弱点明显,因而许多黑客热衷于从栈入手进行攻击。为防止这种攻击行为的发生,最有效的手段便是禁止栈执行代码,但这种技术是基于操作系统的修改,不够全面,且易于引起兼容问题,影响计算机系统的操作性能。
2.1.2 非执行堆和数据技术
基于栈和堆的攻击事件发生较为频繁,而由于堆和数据段的特性,许多人对非执行堆和数据技术持怀疑态度,不敢轻易尝试。事实上,这种技术可使黑客注入的恶意代码丧失执行的机会,虽然成本较高,但检测防范效果明显,对应用程序的影响也很小,可行性较高。
2.1.3 内存映射技术
内存映射技术是唯一一种主动对黑客的攻击进行限制和反击的手段,它能够随机地将代码页映射到不同的内存地址中,给黑客的入侵造成困扰。不过,这种技术对内存要求较高,无法检测和预防新代码的注入,且其在运行时需要重新链接网络。
2.1.4 安全共享库技术
许多常用的函数软件在设计之初便遗留了一些安全漏洞问题,安全共享库技术正是从阻止调用不安全函数的目的出发,利用动态链接技术与数据库及客户连接,排查不安全函数,从而防范安全漏洞的产生,提高计算机系统安全。
2.1.5 沙箱技术
沙箱,顾名思义,是一个隔绝外部骚扰的安全空间,与防火墙有相似之处。它主要通过限制访问来防止攻击,其使用效果取决于对策略的定义,唯有恰到好处的定义才能有效地阻挡黑客的入侵,同时又不影响计算机系统的正常运行。
2.1.6 程序解释技术
程序解释技术是通过对程序运行过程的行为加以监视来检测安全漏洞的,它能够针对不同形式的攻击制定相应的安全策略,科学调整计算机软件程序框架,检测范围十分之广,最实用的是,它对计算机应用程序性能的消耗不大,是一项合理的、有效的、系统的技术。
2.2 静态检测技术
静态检测方法是指对系统代码进行程序分析,能够深入检测安全漏洞,操作方便,具有较高的实用价值。
2.2.1 词法分析技术
这是静态分析方法中最早出现的技术,它只检测源码中可能出现的危险,并不深入分析。这项技术操作简单,但实施过程中的失误率较高且花费成本大。
2.2.2 程序评注技术
程序评注借助评注信息寻找程序中可能出现的漏洞,由于没有增加程序的语言特性,并不会影响源程序。
2.2.3 类型推导技术
类型推导技术的应用较为流行,它是通过已知函数的计算分析能力检测系统程序的运行结果是否符合正常规则。
2.2.4 规则检测技术
规则检测技术是指对软件编程中出现的规则漏洞进行检查,并将程序运行行为与编码程序进行对比分析。
2.2.5 模型检测技术
模型检测技术是对计算机软件系统的执行机构进行检测的方式,通过计算机程序模型的运算模式来检测计算机分析任务和处理命题的能力。这项技术耗时较长,建模困难,但对软件安全性能的保障较高。
2.2.6 定理证明技术
定理证明技术要求严格,它是根据公式形式来判别程序抽象公式是否为真,从而对系统代码进行分析比较。
2.2.7 变异语言技术
这种技术是通过修改合法的程序代码来提高计算机软件的安全性,它能够有效消除程序弱点,但相对地也会引发兼容性问题。
3 总结
现代社会信息化不断发展,可以预见的是,计算机技术在未来必然应用得更为广泛,信息安全也将得到更多的关注。而对计算机软件中安全漏洞检测方法的探索研究,能够帮助人们从源头上解决网络安全事件。因此,我们应当不断加强对安全漏洞的检测,灵活运用多种检测技术,阻止黑客的恶意入侵,从而促进计算机技术的发展,杜绝网络安全事件的发生。
参考文献
[1]陈文博.计算机软件中安全漏洞检测方法研究[J].电脑迷,2014(11):15-16.
[2]李雯琦.计算机软件中安全漏洞检测方法探讨[J].硅谷,2015(03):85-86.
[3]郭宇,贾默然.计算机软件中安全漏洞检测方法研究[J].信息通信,2015(06):125-125.
篇10
工业物联网是一个新概念,是传统工业自动化和工业信息化结合发展到一定阶段的产物。工业物联网突破了传统局域网的限制,将工厂生产、企业管理和市场营销等环节进行了强有力的结合,全方位采集底层基础数据,并进行更深层面的数据分析与挖掘,充分发挥整个企业中机器和人的潜能,提高生产效率。它具有以下四个典型特点:
一是全面感知。工业物联网利用射频识别技术、微机电传感器、二维码等手段随时获取产品从生产到销售到最终用户使用各个阶段的信息数据。传统工业自动化系统信息采集只局限于生产质检阶段,而企业信息化系统并不过分关注具体生产过程。
二是互联传输。工业物联网需利用专用网络与互联网相结合的方式,将物体信息实时准确地传递出去。它对网络的依赖性更高,比传统工业自动化、信息化系统都更强调数据交互。
三是智能处理。工业物联网综合利用云计算、云存储、模糊识别、神经网络等智能计算技术,对海量数据和信息进行分析和处理,并结合大数据技术,深入挖掘数据价值。
四是自组织与自维护。一个完善的工业物联网系统具有自组织与自维护功能。每个节点为整个系统提供自己处理获得的信息或决策数据,当某个节点失效或数据发生变化时,整个系统会自动根据逻辑关系做出相应调整。比如,当用户使用产品过程中出现问题,该“节点故障数据”将回传至系统中“技术部门节点”与“销售部门节点”,技术部门会对故障原因进行分析,若为设计原因可以及时调整生产线,降低损失;销售部门可以根据当前统计数据预估损失,并调整销售策略;售后部门则提前做好售后服务准备。整个系统是全方位互联互通的。
与此同时,工业物联网技术在信息安全方面存在的各种隐患也逐步暴露出来,如工业核心数据泄露、互联终端遭非法操控等,甚至发生黑客通过入侵电力能源工业网络系统攻击国家战略基础设施的事件,这又为工业物联网的发展蒙上一层阴影。工业物联网信息安全面临着四个方面的威胁:
(一)系统漏洞频发导致安全形势进一步恶化。近年来,工业物联网领域安全危机四伏,黑客通过系统漏洞对工业物联网应用进行攻击,实现系统破坏或者数据窃取的目的。虽然工业物联网概念较新,但是其依托的却是现代成熟的工业自动化技术与通信技术,这就导致传统黑客攻击方法对工业物联网系统是可行的。
另外,工业物联网系统中的大量有价值数,也吸引着各方黑客去攻击和破坏。
截至2015年12月,中国国家信息安全漏洞共享平台、美国CVE(公共漏洞库)和ICS-CERT(工控系统网络安全应急响应小组)共披露工控系统相关漏洞达949个,涉及国内外厂商120个, 漏洞数量较2014年增长38%。根据ICS-CERT统计,工业领域网络安全事件呈快速爆发趋势,2010年仅为39件,而2013年竟高达256件。这些网络安全事件多分布在能源(151件,59%)、关键制造业(52件,20%)、市政交通(15件,10%)等涉及国计民生的关键基础行业。能源与关键制造业网络安全事件占总数的80%,这与工业能源领域高度的自动化与信息化密切相关。可以预见,随着工业物联网的快速发展,它面临的安全形势也将更加严峻。
(二)系统节点互联导致安全问题影响范围进一步扩大。和以往工业自动化、信息化系统采用局域网不同,工业物联网从一开始定义便是一个高度互联互通的网络。一个完整的工业物联网系统往往拥有数万个“数据节点”,一旦某个节点被攻破渗透,将对整个系统造成巨大影响,且破坏将通过节点网络高速扩散。2013年Black Hat大会上,有黑客展示了通过入侵某工业生产线网络中某一数据节点逐步夺取整个系统控制决策权,最终更改生产线生产流程决策的过程。包含物料采购子系统、生产子系统、销售数据统计系统在内的整个系统全部沦陷,而整个入侵过程只耗时不到2分钟。这个案例说明,随着工业物联网的发展,工业信息安全问题已不再局限于传统工控系统所涉及的具体生产应用范围,极有可能扩大到整个工业物联网系统的每个节点。
(三)新技术新应用集成导致网络安全问题更加突出。工业物联网系统是一个开放的系统。随着业务不断拓展,大量新技术与新应用被集成进工业物联网系统。受客观条件限制,这些新技术、新应用本身的安全防护强度并没有经过可靠性验证,极易成为整个系统的“安全短板”。
2013年9月,国内某大型金融企业新上线一套内部运营管理系统,该系统某些功能创新性实现了数据分散性存储与控制,但是在对该系统进行综合安全评估时,安全专家竟然从门禁系统入手,一步一步破解获得系统权限,最终成功入侵核心数据库。安全专家表示,整个系统的安全性具有明显的“短板效应”,虽然系统多个关键业务数据节点都进行了多重软硬件加密,但是由于某些非核心业务的新功能(如门禁)本身存在漏洞导致整个系统的安全受到威胁。
(四)网络攻击力量快速发展导致应对难度显著增加。由于工业领域关系一国经济命脉,一旦遭受攻击将造成重大损失。
