网络资产安全管理
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络资产安全管理范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络资产安全管理范文第1篇
随着宽带网络和用户规模的不断增长,用户对宽带接入业务的高可用性要求不断增强,对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手,结合电信IP城域网,提出电信IP城域网安全管理、风险评估和加固的实践方法建议。
关键字(Keywords):
安全管理、风险、弱点、评估、城域网、IP、AAA、DNS
1信息安全管理概述
普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。
信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图一所示:
图一信息安全风险管理模型
既然信息安全是一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。
图二信息安全体系的“PDCA”管理模型
2建立信息安全管理体系的主要步骤
如图二所示,在PLAN阶段,就需要遵照BS7799等相关标准、结合企业信息系统实际情况,建设适合于自身的ISMS信息安全管理体系,ISMS的构建包含以下主要步骤:
(1)确定ISMS的范畴和安全边界
(2)在范畴内定义信息安全策略、方针和指南
(3)对范畴内的相关信息和信息系统进行风险评估
a)Planning(规划)
b)InformationGathering(信息搜集)
c)RiskAnalysis(风险分析)
uAssetsIdentification&valuation(资产鉴别与资产评估)
uThreatAnalysis(威胁分析)
uVulnerabilityAnalysis(弱点分析)
u资产/威胁/弱点的映射表
uImpact&LikelihoodAssessment(影响和可能性评估)
uRiskResultAnalysis(风险结果分析)
d)Identifying&SelectingSafeguards(鉴别和选择防护措施)
e)Monitoring&Implementation(监控和实施)
f)Effectestimation(效果检查与评估)
(4)实施和运营初步的ISMS体系
(5)对ISMS运营的过程和效果进行监控
(6)在运营中对ISMS进行不断优化
3IP宽带网络安全风险管理主要实践步骤
目前,宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险。
由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:
3.1项目准备阶段。
a)主要搜集和分析与项目相关的背景信息;
b)和客户沟通并明确项目范围、目标与蓝图;
c)建议并明确项目成员组成和分工;
d)对项目约束条件和风险进行声明;
e)对客户领导和项目成员进行意识、知识或工具培训;
f)汇报项目进度计划并获得客户领导批准等。
3.2项目执行阶段。
a)在项目范围内进行安全域划分;
b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;
c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;
d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。
3.3项目总结阶段
a)项目中产生的策略、指南等文档进行审核和批准;
b)对项目资产鉴别报告、风险分析报告进行审核和批准;
c)对需要进行的相关风险处置建议进行项目安排;
4IP宽带网络安全风险管理实践要点分析
运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同,其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段,需要特别注意以下要点:
4.1安全目标
充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。
4.2项目范畴
应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统:如网管系统、AAA平台、DNS等。
4.3项目成员
应该得到运营商高层领导的明确支持,项目组长应该具备管理大型安全咨询项目经验的人承担,且项目成员除了包含一些专业安全评估人员之外,还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。
4.4背景信息搜集:
背景信息搜集之前,应该对信息搜集对象进行分组,即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含:
a)IP宽带网络总体架构
b)城域网结构和配置
c)接入网结构和配置
d)AAA平台系统结构和配置
e)DNS系统结构和配置
f)相关主机和设备的软硬件信息
g)相关业务操作规范、流程和接口
h)相关业务数据的生成、存储和安
全需求信息
i)已有的安全事故记录
j)已有的安全产品和已经部署的安全控制措施
k)相关机房的物理环境信息
l)已有的安全管理策略、规定和指南
m)其它相关
4.5资产鉴别
资产鉴别应该自顶向下进行鉴别,必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组;然后可以在一级资产组内,按照功能或地域进行划分二级资产组,如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组;进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别,鉴别其设备类型、地址配置、软硬件配置等信息。
4.6威胁分析
威胁分析应该具有针对性,即按照不同的资产组进行针对性威胁分析。如针对IP城域网,其主要风险可能是:蠕虫、P2P、路由攻击、路由设备入侵等;而对于DNS或AAA平台,其主要风险可能包括:主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。
4.7威胁影响分析
是指对不同威胁其可能造成的危害进行评定,作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见,尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。
4.8威胁可能性分析
是指某种威胁可能发生的概率,其发生概率评定非常困难,所以一般情况下都应该采用定性的分析方法,制定出一套评价规则,主要由运营商管理人员按照规则进行评价。
网络资产安全管理范文第2篇
关键词:网络安全;地面测发控
中图分类号:TP311
我国航天研制、发射任务日益增加,信息环境复杂、多样,导致测发控信息暴露于越来越多、越来越广的威胁和脆弱性当中,测发控信息资产需要加以适应的保护。同时,测发控网络系统建立年代较早,其网络安全性设计与意识远远落后。因此,保障网络正常安全运行并建立测发控网络安全管理系统是测发控网络的工作重点,加强网络安全管理迫在眉睫。
1 测发控网络安全现状
目前,网络安全防护采用“技术30%,管理70%”的布局,偏颇管理和加强人员网络安全意识的效力,并且技术上仅通过采用杀毒软件、防火墙以实现网络安全防护,技术措施单一,缺乏解决深层次网络安全问题和威胁的能力。现有测发控网络安全图如图1所示。为此,从系统综合整体的角度去看待、分析,在提供灵活且高效的网络通讯及信息服务,组成并协调建立地面测发控网络安全系统已事在必行。
2 新型网络安全管理系统
2.1 新型网络安全管理功能
测发控网络安全的解决是一个综合性问题,涉及到诸多因素,包括技术、产品和管理等。进行网络安全体系建设,要综合考虑、注重实效,在考虑网间安全、防火墙、病毒查杀、入侵检测,甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时,也要同时考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为,才可能最大限度的构建和谐、干净的测发控网络环境。测发控网络安全管理系统主要实现以下功能:
(1)对测发控网络分系统工作站进行集中的安全保护、监控、审计和管理;
(2)防范非法设备接入内网,确保测发控网络内网安全;
(3)整体规划测发控网络与设备的网络传输行为的计算机网络安全设备;
(4)建立网间防护,保证各分系统与C3I、异地协同网络之间的网间安全;
(5)安全隔离与信息交换与数据加密,保障测试数据在网络传输过程中可靠完整;
(6)测发控网络设备与工作站等资产的统一配置、监控、预警、评估、响应,策略、检测、防护,实现安全资产和安全信息的归一化等功能。
2.2 测发控网络安全管理系统组成
立足现有测发控网络现状,结合远期异地协同规划,测发控网络安全管理确保在安全、可靠和保密的网络环境下完成测试任务,帮助各分系统网络设备使用统一优化、规范管理,并在远期实现与北京总部的异地协同项目加强网间安全。
测发控网络安全管理系统
(1)安全防护子系统。安全防护子系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。
安全防护子系统由客户端模块、服务器模块、控制台三部分组成。客户端模块对终端计算机进行监控,需要部署于每台需要被管理的终端计算机上,用于收集数据信息,并执行来自服务器模块的指令。服务器模块存储终端安全策略、终端计算机信息、漏洞补丁数据等等,并由服务器向终端计算机客户模块发送指令。
(2)网间防护子系统。采用安全边际技术,通过防火墙、防病毒墙、入侵防护等技术,整体规划测发控网络或网络设备的网络传输行为的计算机网络安全设备,增加子网与网间安全,实时动态保护技术以全面、有效地保护网络不受侵害,使测发控网络与异地协同网络实现数据交换。
(3)数据加密子系统。通过安全隔离与信息交换与数据加密,保障数据在网络传输过程中可靠完整,保护关键业务的机密数据安全,同时保障数据在传输过程中不被破坏和恶意窃取。网络加密机制建立可信的安全连接,保证数据的安全传输,实现安全通信的虚拟专用线路,提供全面、可靠、安全和多层次的数据保护。
(4)管理配置子系统。以资产设备为中心,通过策略配置、设备监控、审计预警、态势评估、安全响应的全流程管理,进行安全资产和安全信息的归一化处理、监控、分析、审计、报警、响应、存储和报告等功能。管理配置子系统采用三层分布式体系结构,主要由被管对象层、管理中心层、控制台层组成。
3 结论
新型地面测发控网络安全管理系统立足现有测发控网络,解决现有病毒查杀费时费力、网络设备与存储介质的管理失控、各分系统应用软件安装不受控、IP地址更改随意等现状;结合异地协同项目,完善管理配置子系统网间防护子系统,统筹规划各分系统子网与C3I之间的网络架构,消除网络边际隐患。同时,建立集中安全信息管理系统;加强应用覆盖范围。
新型网络安全管理系统以测发控网络为基点,重新规划、提高和完善测试环境,从软件和硬件上采取控制措施以避免安全漏洞,提高测发控网络安全水平,在测发控网络中具有极为重要的意义。
参考文献:
网络资产安全管理范文第3篇
【 关键词 】 互联网;安全;防御;威胁
Key Measures of the "Internet +" Under the New Normal, Safe Operation of the Internet
Xiong Wei
(CPC Hunan Provincial Committee Party School HunanXiangtan 410006 )
【 Abstract 】 With cloud computing, distributed computing, rapid development of mobile computing technology and improve the development of a new generation of computer technology gave birth to the "Internet +" era, to achieve widespread popularity of the Internet in industrial production, commerce, and virtual reality in and achieved remarkable results. "Internet +" era of many types of network applications, applications scale complex and require strict network security management system and preventive measures, in order to be able to improve network security defense capabilities to ensure the normal application of network security.
【 Keywords 】 internet; security; defense; threats
1 引言
目前,随着新一代信息技术地发展和改进,其催生了物联网、社会计算、云计算、大数据、移动计算等技术,进而实现了网络创新2.0,推动了创新2.0的改革和演变,形成了体验实验区、个人创造实验室、应用创新园区、维基模式等应用系统的诞生,实现了传统行业与互联网融合发展,形成了“互联网+”时代的新业态和新形态。“互联网+”时代促进了各类基于网络的应用系统诞生和普及,以云计算、物联网、车联网、大数据为代表的新一代信息技术与工业制造、生产服务、金融经济融合创新,打造了新的产业增长点,为大众创业、万众创新提供了新的环境,支撑产业智能化、经济发展创新化发展。随着人类信息化社会进入“互联网+”时代,互联网应用规模迅速上升,复杂程度也大幅度增加,互联网新常态下面临了更多的安全威胁,具体表现在几个方面。
(1)“互联网+”时代安全威胁更加智能。“互联网+”时代的到来,促进了网络木马、病毒和黑客攻击技术的提升,导致网络安全威胁日趋智能化,能够发现互联网应用系统存在的、更加隐蔽的风险和漏洞进行攻击。
(2)“互联网+”时代安全威胁传播范围广、速度快。“互联网+”时代,云计算技术、分布式计算技术、移动计算技术使更多的网络节点通过光纤网络连接在一起,如果一个网络节点存在漏洞被安全威胁攻击,则将在更短的时间内感染其他节点,产生更大的损失。
因此,为了能够提高“互联网+”时代网络安全管理成效,需要创新网络安全管理体系和模式,全方位实现网络安全漏洞扫描和风险评估,对“互联网+”安全管理涉及的节点资源进行审计,采用主动防御技术实现网络安全管理,具有重要的作用和意义。
2 互联网安全管理体系创新及其模式
2.1 网络安全风险评估
网络安全风险评估可以有效评估网络软硬件资源受到的威胁,以便能够将安全威胁控制在可接受的范围内。网络安全风险评估是确定计算机网络中是否存在潜在威胁和攻击事件的重要工具。网络安全风险评估包括五种基本要素,分别是资产、威胁、脆弱性、信息安全风险和安全措施。资产是指计算机网络节点使用的、有价值的固定设备、软件系统等有形或无形的资产。威胁是指可能对资产造成损害的一些潜在的攻击事件或非法事件,威胁可以使用主体、动机、资源和途径等多个属性进行联合刻画。脆弱性是指可能被威胁利用的薄弱环节或漏洞,其可以对资产造成损失。信息安全风险包括自热因素造成的风险或人为因素造成的风险,能够利用计算机软硬件存在的漏洞攻击计算机网络,破坏网络的安全性。安全措施是指为了能够防御计算机信息系统遭到破坏,以便能够采用入侵检测、防火墙等具体的措施,保护资产安全,防御安全攻击事件发生,并且能够用来打击犯罪,其包括各类规范、防御技术等。
2.2 网络安全审计
网络安全审计可以通过数据采集、数据分析、安全审计响应等过程,能够获取网络操作系统的使用状况和设备状态信息,并且可以将采集到的数据进行统一变换,实施预处理,接着使用数据分析技术,按照既定的安全审计规则,鉴别数据中存在的异常行为、非法行为。安全审计分析完成之后,可以根据安全审计的结果做出相关的响应操作,安全审计响应主要包括主动响应和被动响应。安全审计系统检测到网络中存在的异常行为之后,安全审计系统不主动做出响应;安全审计系统通过发出异常检测报警,可以通过告警弹窗、发送短消息、邮件等到管理员处,由其他人员或者安全设备采取预防或改进措施。
2.3 网络主动防御系统
传统的网络安全通常采用访问控制列表、防火墙、包过滤、入侵检测等技术,虽然能够阻止网络木马、病毒和黑客的攻击。但是随着“互联网+”时代的到来,网络安全威胁技术日趋智能,传播速度越来越快,感染范围也越来越广泛,传统网络安全防御已经无法满足“互联网+”时代网络安全管理需求,因此在网络安全管理过程中,可以采用网络安全主动防御技术提高网络安全管理能力。网络安全主动防御技术主要包括预警、防护、检测、响应、恢复和反击六种,将这六种技术有机集成在一起,分布于网络安全防御的不同层次,构建深度防御体系,能够及时地发现大数据时代网络中非法入侵信息和不正常数据,以便能够及时地对攻击行为进行阻断、反击,恢复网络至正常的运行状态。
3 互联网安全运营的关键措施
3.1 管理措施
“互联网+”时代,网络应用系统使用制度具有较为重要的作用,许多计算机网络安全专家提出,网络安全七分防御、三分管理,因此可以甚至网络安全管理制度在安全管理过程中,具有不可替代的作用。网络安全应用用户越来越多,网络安全操作用户大部分非计算机专业人才,因此需要建立健全管理制度,以便能够规范网络用户操作,强化用户网络安全防御技术培训,定期对网络系统进行安全漏洞扫描和评估,并且制定网络安全防御策略,使得网络安全管理制度融入到工作、生活和学习过程中,通过学习、培训,提高用户的安全意识,增强用户的警觉性。
3.2 技术措施
网络安全主动防御技术主要包括安全预警、安全保护、安全监测、安全响应、网络恢复和网络反攻击等六种。网络安全预警可以有效地对网络中可能发生的攻击进行警告,包括漏洞预警、行为预警、攻击趋势预警等措施,预知网络未来可能发生的网络攻击。网络安全保护可以采用多种手段,保护网络安全系统的机密性、可用性、完整性、不可否认性和可控性,网络安全保护措施主要包括防病毒软件、防火墙服务器、虚拟专用网等技术。网络安全监测的主要目的是能够及时地发现网络中存在的攻击信息,以便能够检测网络中是否存在非法信息流,检测网络服务系统是否存在安全漏洞等,以便能够实时地应对网络安全攻击,网络安全监测技术包括入侵检测技术、网络安全扫描技术和网络实时监控技术。
网络安全响应能够对网络中存在的病毒、木马等安全威胁做出及时的反应,以便进一步阻止网络攻击,将网络安全威胁阻断或者引诱到其他的备用主机上。网络恢复技术可以为了保证网络受到攻击之后,能够及时地恢复系统,需要在平时做好备份工作,常用的备份技术包括现场外备份、现场内备份和冷热备份等。网络安全反击技术是主动防御系统最为重要的特征之一,其可以对网络攻击源进行有效的反击,网络安全反击综合采用各类网络攻击手段,确保网络高效服务用户。
4 结束语
随着“互联网+”时代的到来,网络安全攻击技术更加智能、传播速度更快、影响范围更加广泛,构建和实现新的网络安全管理系统,可以全方位实现网络安全防御。
参考文献
[1] 郭威,曾涛,刘伟霞.计算机网络技术与安全管理维护的研究[J]. 信息通信, 2014, 32(10):164-164.
[2] 田红广.如何加强计算机网络的安全管理和安全防范[J].软件, 2014, 26(1):92-93.
[3] 蔡艳.探讨数据挖掘技术在网络信息安全管理中的应用[J]. 网络安全技术与应用, 2013, 21(10):58-58.
网络资产安全管理范文第4篇
IM和P2P沦为黑客攻击管道
从终端来看,垃圾邮件,蠕虫病毒,间谍软件,针对即时通讯和P2P应用安全事件正成为终端安全隐患的主要来源。
FaceTime通讯公司最新的调查报告说,微软的MSN网络仍然是被攻击得最多的即时通讯网络,2004年和2005年都是如此,而被攻击数量下降得最快的网络是美国在线的AIM 网络。即时通讯威胁对于企业的IT人员来说是一种非常大的挑战,因为它们利用了实时通讯的管道以及全球各地的即时通讯网络进行繁殖,它们的传播速度比电子邮件攻击快很多。
根据披露,2005年11月有一个国际黑客组织已经利用即时通讯软件病毒控制了1.7万台个人电脑组成僵尸网络为商业目的攻击行为做准备。
我们也已知道,即时消息和P2P 应用在带来方便性、实时性、新业务商机的同时,也给最终用户、企业网络和电信网络带来多方位的安全威胁。通常来说,这些安全威胁包括:边界安全措施失效;难以控制文件数据的共享和流动,带来病毒、木马、蠕虫等;容易导致知识产权损失、泄密等;由于大量使用非标准、不公开协议,使用动态、随即、非固定的端口;难以检测、过滤和管理;隐藏于HTTP管道中的各种潜在的隐秘通道。
我们也可以看到在复杂的网络环境下一些有代表性的P2P网络安全产品,提供基于包过滤特性提供针对P2P传输的防护,在保障安全的同时还可阻止并记录国际上几乎所有的P2P封杀机构(如RIAA、MPAA、MediaForce、BaySTP、NetPD等等)对计算机进行探测连接,从而避免隐私外泄,可以自动下载最新的屏蔽列表来屏蔽各种广告、间谍软件及研究机构对机器的扫描。
目前业界一些致力于IM/P2P的专业厂商也推出了针对保护用户免受IM与P2P的安全威胁,将检测和分析通过IM传播的病毒与蠕虫、通过IM发送的垃圾邮件“SPIM”、恶意代码等的整体方案。
针对IM的安全管理,比如IM监控,P2P的监控等,正在成为网关级防御,针对IM和P2P,垃圾邮件监控、管理和控制等等需求和话题正在不断催生出相关应用的针对性安全解决方案。
UTM:潮流趋势所至
在企业级领域,由于信息基础设施的不断增加和应用的不断扩展,企业公共出口的网络安全基础设施的布局已经发展到一定阶段,随着纵深防御概念逐渐深入,威胁已经从外部转向内部。从产品来看,UTM(一体化的威胁管理)正在成为新的增长点。在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而对于集成多种安全功能的UTM设备来说,以其基于应用协议层防御、超低误报率检测、高可靠高性能平台、统一组件化管理的优势将得到越来越多的青睐。
由于UTM设备是串联接入的安全设备,因此UTM设备本身的性能和可靠性要求非常高,同时,UTM时代的产品形态,实际上是结合了原有的多种产品、技术精华,在统一的产品管理平台下,集成防火墙、VPN、网关防病毒、IPS、防拒绝服务攻击等众多产品功能于一体,实现多种的防御功能。
鉴此,安全厂商与网络厂商合作,共同开发和研制UTM设备将是今后发展的必然趋势。
威胁由外转内
对于内网安全,已经进入到内网合规性管理的阶段。目前,内网安全的需求有两大趋势,一是终端的合规性管理,即终端安全策略、文件策略和系统补丁的统一管理;二是内网的业务行为审计,即从传统的安全审计或网络审计,向对业务行为审计的发展,这两个方面都是非常重要的。
从现状来看,根据美国洋基集团(Yankee Group)一项针对北美和西欧六百家公司的调查显示,2005年的安全问题有六成源自内部,高于前一年的四成。该集团表示:“威胁已从外部转向内部”。每年企业界动辄投资上千万防毒防黑,但企业防御失效的另一个容易被忽略的问题是:来自员工、厂商或其它合法使用系统者的内部滥用。在漏洞攻击愈来愈快速的今日,有可能因为一个访客携入的计算机而瘫痪几千万IT设备。
中小企业面临的三大安全威胁是病毒攻击、垃圾邮件、网络攻击,因而有很多厂商推出了针对中小企业的集成式套装产品。对内网终端设备的管理,通过基于网络的控制台使管理员能够从产品分发、运行监控、组件升级、配置修改、统一杀毒、应急响应等全过程,实施集中式的管理,强制部署的安全策略,有助于避免企业用户无心过错导致的安全漏洞。而新型病毒与黑客技术结合得越来越紧密,与此相对应,防病毒软件与防火墙、IDS等技术配合得越来越紧密。只有多种技术相互补充配合,才可以有效对付混合威胁。
大型企业有一定的信息化基础,对于内网安全来说,企业用户需要实施整体的安全管理策略。 内网安全管理系统需要将安全网管、内网审计与内网监控有机地结合在一起,以解决企业内部专用网络的安全管理、安全控制和行为监视为目标,采用主动的安全管理和安全控制的方式。将内部网络的安全隐患以技术的手段进行有效的控制,全面保护网络、系统、应用和数据。运用多种技术手段,从源头上阻止了敏感信息泄漏事件的发生。
对于大型企业来说,选用的产品需要能够自动发现关键业务资产,并确定威胁企业IT环境完整性的安全漏洞。通过采集实时的技术库,并且将它们与基于风险的任务列表(带有补救指导)中已验证的漏洞相关联,并且帮助企业确定哪些漏洞将影响哪些资产。最终为企业提供一份即时的关于关键性业务资产的风险评估。对于企业内网来说,行之有效的安全管理是各种规模企业所企盼的,固若金汤的城池,往往在内部安全威胁面前形同虚设。“内忧”胜于“外患”,企业不仅需要铸造抵抗外部风险的纵深防御体系,同样需要着重管理,打造安全和谐的内部环境。
网络资产安全管理范文第5篇
【关键词】安全评估 私网评估 闭环管理
中图分类号:TP317.1 文献标识码:A 文章编号:1006-1010(2016)18-0062-05
1 背景研究
随着网络规模的不断扩大和网络安全事件的逐年增加,手工加辅助工具方式的传统主机风险评估系统虽然目前运用得较广泛,但是这种半自动的方式工作效率不高且操作麻烦,在这种情况下,实现自动化的安全评估系统成为亟待解决的重要问题[1-2]。同时,随着中国电信安全评估检查工作的不断深化开展,越来越多的业务平台纳入到安全评估的检查范围,而各业务平台普遍存在私网资产,针对这些私网资产的安全评估检查工作对于运维人员来说是一个很大的难题[3]。
1.1 问题分析
在当前的电信网络实际运行环境中,开展安全评估工作主要存在以下方面的问题[4]:
(1)待检查的设备数量多,需要人工参与的评估工作量太大,耗费大量的人力资源;
(2)安全运维流程零散杂乱,无电子化的安全运维流程;
(3)系统评估过程中使用的工具多,需要将各安全评估系统临时接入到各个数据业务系统中进行扫描或采用临时打通通路的方式,这种安全评估方式要在日常维护中定期频繁的实施基本上不可行[5];
(4)缺乏统一安全现状呈现,对于设备安全信息现状和系统整体安全情况只是体现在定期报告中,无安全现状的实时呈现[6]。
1.2 解决思路
山东电信前期已建成SOC(Security Operation Center,安全运营中心)网络安全管理平台,它是一个统一的安全管理中心,协调包括安全评估子系统、异常流量监控子系统、攻击溯源子系统等众多第三方安全子系统在内的联动工作。因此,在SOC平台中嵌入一键式安全扫描评估闭环模块,从安全运维的实际需求出发,为管理、运维、监控人员提供统一的安全自评估平台,全面实现安全评估自动化、日常化、全面化和集中化。通过提高安全评估工作效率,实现安全工作融入日常工作,将各种评估手段结合起来以实现全面评估,同时进行集中化的分析汇总与呈现[7]。
2 技术方案设计
2.1 设计目标
以SOC网络安全管理平台为中枢,建立统一的安全评估管理流程,分别面向监控、维护及管理人员,提供集中化统一的安全评估界面,全面助力一键式自助安全评估工作落地。
2.2 技术方案
(1)评估闭环管理模型
如图1所示,一键式自助安全扫描评估以安全风险管理为核心,通过SOC安全管理平台集中化管理,实现对安全资产的自动化扫描评估,从而达到对安全风险的全面管控,并且与电子运维工单系统对接,将评估结果和整改建议通过工单系统通知到相应的维护责任人,及时对安全漏洞进行整改处置,对于暂时无法整改的漏洞需在SOC平台进行备案说明[8]。
通过一键式自助安全扫描评估,配置不同的任务策略和模板,实现以安全资产或业务系统两种不同维度的任务自动下发,并对扫描评估结果进行统一管理与备案。通过“发现-扫描-评估-整改-复查”的闭环评估法则[9],能够快速发现网络中的未知安全资产,全面扫描安全资产漏洞,清晰定性网络安全风险,并给出修复建议和预防措施,同时将漏洞整改流程固化到系统中,从而在自动化安全评估的基础上实现安全自主掌控[10]。
(2)私网安全评估技术
针对防火墙NAT(Network Address Translation,网络地址转换)后的私网资产无法通过网络直接进行访问,导致远程安全评估无法有效开展的技术难题,通过部署安全私网评估,建立L2TP(Layer 2 Tunneling Protocol,第二层通道协议)安全隧道,远程实现对私网资产的安全扫描。
私网安全评估架构如图2所示。其中,针对私网设备无法实现自动扫描的问题,利用部署在私网平台的机,由机与集中平台(SOC平台)建立通讯通道,通过公网穿透打通集中平台(SOC平台)与私网资产的网络层可达性。机接收集中平台(SOC平台)控制机下发的安全评估指令并转发私网资产;私网资产将安全指令反馈数据返回给机;机上报安全评估指令结果给集中平台(SOC平台)控制机进行备案。整个过程采用心跳机制进行保活。
的角色分为:
SOC平台公共(Public Proxy):部署于中心SOC平台内网,与安全评估子系统同一个子网IP网段;
业务平台分布式本地(Local Proxy):直接通过私网日志采集改造,与业务平台NAT不可达资产都是内网网段。
的作用如下:
隧道协商与建立:各业务平台分布式本地主动向中心SOC平台的外网防火墙进行L2TP隧道协商,协商成功后建立起Hub-and-Spoke的L2TP隧道;
数据流通过隧道Push推送与交互:对于安全评估子系统内扫描工具发起的扫描流量,先到达SOC平台公共,由公共将扫描流量封装进已建立好的L2TP隧道,并转发给业务平台分布式本地,本地收到流量后进行隧道解封,还原内层原始IP包头,将原始扫描流量送到NAT不可达资产上。
通过该方法可有效解决防火墙NAT后不可达资产的自动化安全风险评估问题,且不改变现网的组网架构,业务配置变动实现零配置。通过分布在各业务平台的本地与中心SOC平台的公共进行隧道连接,并通过公共与本地之间的交互,实现扫描流量的转发[11]。
(3)扫描器联动调度
一键式安全扫描评估依托于SOC安全管理平台,由SOC平台与众多第三方安全扫描子系统联动进行扫描,可根据实际应用情况进行相应的接口扩展。通过与安全评估子系统联动的高耦合度,实现日常安全评估工作的任务自动化。
SOC平台扫描器联动调度流程如图3所示。
SOC平台调度分为直连扫描调度和私网扫描调度,具体如下:
直连扫描调度是指扫描器与被扫描设备之间网络可达,直接通过SOC平台调度程序向扫描器发起资产扫描请求,扫描器在扫描完成后再向SOC平台反馈扫描结果;
私网扫描调度是指扫描器与被扫描设备之间网络不可达,需要借助私网评估的VPN(Virtual Private Network,虚拟专用网络)隧道建立连接打通网络后,通过公共和本地间IP扫描报文的传递,把扫描器的IP扫描请求报文发送到私网内的被扫描资产,同时把扫描结果应答传递回扫描器,最后再由扫描器将结果反馈到SOC平台集中展现。
具体步骤如下:
步骤1:通过SOC的安全评估任务计划模块,在计划任务配置时设定扫描资产的私网IP地址段与相关联的本地IP地址(本地的IP地址即通过L2TP建立隧道后拨号获得的唯一地址),通过扫描资产+相关联的本地对,解决私网网段地址重叠问题;
步骤2:可通过预先将扫描工具的网关配置为公共地址,在任务执行时将扫描工具的流量牵引到公共上来;
步骤3:公共的网卡设为混杂模式,捕获到该扫描工具的扫描流量,通过已建立好的L2TP隧道,封装报文后通过L2TP隧道转发给本地;
步骤4:本地将L2TP隧道报头拆除,露出内层的原始扫描报文,并将内层扫描报文的源IP地址修改为本地IP,同时在map映射表中记录下这一映射关系,之后将扫描报文转发给被扫描的最终资产;
步骤5:最终资产收到扫描报文后,根据扫描的内容进行响应,将结果回包给本地;
步骤6:本地收到最终资产的扫描结果回包,命中map映射表的映射关系,将报文的目的IP地址还原为扫描工具的IP地址,并封装报文通过L2TP隧道返回给公共;
步骤7:公共收到此报文后将L2TP隧道报头拆除,露出内层的原始扫描结果返回报文,并转发给扫描工具进行结果分析;
步骤8:扫描工具得到扫描结果报文进行分析,将分析结果上传到SOC平台进行结果备案。
3 现网测试效果
利用“一键自助安全评估功能模块”节省了以往人工安全扫描、基线检查的大量时间,并缩短了评估周期,极大地提高了安全评估工作效率。下面是以部门安全管理员的角色执行一次安全巡检、调度整改的闭环使用过程。
3.1 添加扫描评估任务
在“扫描任务管理”菜单下新增扫描评估任务,按系统提示步骤依次输入扫描周期、扫描方式、扫描设备和扫描范围等信息,完成任务的添加,如图4所示。
3.2 扫描评估任务执行
任务添加完成后,系统会根据任务周期定时开始执行扫描任务,任务执行过程中可通过任务状态查看任务是否执行结束,如图5所示。
3.3 评估任务结果查看
任务执行完成后,在漏洞结果管理中可查看到每个资产需要整改的漏洞信息,双击一条漏洞记录可查看到该漏洞的详细信息,包括漏洞名称、漏洞CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露)编号、漏洞描述、漏洞解决方案等,并且还能查看到该漏洞每次扫描的历史状态信息,如图6所示。
3.4 漏洞整改与备案
部门管理员根据漏洞的解决方案对相应的资产进行漏洞整改,整改完成后需要在系统上填写漏洞整改说明,完成漏洞的整改备案,如图7所示。
4 结束语
本文通过研究部署并实现一键式自助安全评估,可极大地提高安全评估的效率,从而提升应对威胁的响应速度。在传统评估方式下,完成一套业务平台全方位的安全评估平均时长是8小时,通过一键式自助安全评估项目的实施,完成同样平台的安全评估仅需要1小时,大大减少了人力成本的投入。同时,通过一键式自助安全评估将日常安全评估工作作为一个周期性的工作流程固化到统一安全管理平台中,有针对性地对存在风险的资产进行定制化的安全评估工作,能够进一步提高评估工作的准确性,从而推动并实现安全评估的自动化、日常化、全面化和集中化。
参考文献:
[1] 汪玉凯. 信息安全是国家安全的当务之急[J]. 中国报道, 2014(122): 2.
[2] 国家互联网应急中心. CNCERT互联网安全威胁报告[R]. 2014.
[3] IP网络安全技术编写组. IP网络安全技术[M]. 北京: 人民邮电出版社, 2008.
[4] 李蔚. 业务安全评估初探[J]. 信息安全与通信保密, 2012(8): 113-115.
[5] 陈涛,高鹏,杜雪涛,等. 运营商业务安全风险评估方法研究[J]. 电信工程技术与标准化, 2013(11): 71-75.
[6] 曹永刚. 电信运营商业务网安全风险评估及防范措施探讨[J]. 电信网技术, 2012(2): 41-44.
[7] 何国锋. 电信运营商在大数据时代的信息安全挑战和机遇探析[J]. 互联网天地, 2014(11): 55-58.
[8] 岳荣,李洪. 探讨移动互联网安全风险及端到端的业务安全评估[J]. 电信科学, 2013(8): 74-79.
[9] 周鸣,常霞. 电信移动业务网络风险评估和安全防护[J]. 信息网络安全, 2013(10): 14-16.
