前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全分析报告范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词:信息安全;需求;分析
中图分类号:TP309.2文献标识码:A 文章编号:1009-3044(2008)36-2844-02
The Requirement of Information Security the Analysis for An Enterprise of Fujian
CHEN Rong-sheng, GUO Yong, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: For information on the degree of rising-to-business information security threats are increasing, according to the standards of information security framework for an enterprise's information security status of the analysis, come to conclusions, and the enterprise in the information security requirement.
Key words: information security; requirement; analysis
1 引言
随着信息化程度的不断提高和互联网应用的不断发展,新的信息安全风险也随之不断暴露出来。原先由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失。根据CNCERT 统计报告指出,2007年接受网络安全事件报告同比2006年增长近3倍,目前我国大陆地区约1500多万个IP 地址被植入木马程序,位居全球第二位(其中福建省占10%,居全国第三位);有28477个网站被篡改(其中政府网站占16%);网站仿冒事件占居全球第二位;拒绝服务攻击事件频繁发生。
针对于次,为福建企业制定一个统一、规范的信息安全体系结构是迫在眉睫的。本文根据福建企业特点,参照国内外有的规范和理论体系,制定了企业信息安全需求调研计划,并对调研结果进行分析,为进一步制定信息安全体系结构和具体实施建议奠定坚实基础。整个分析报告按照图1的步骤形成。
2 分析报告指导理论模型框架
2.1 总体指导模型
一个完整的信息安全体系由组织体系、技术体系和管理体系组成,如图2所示。
其中,组织体系是有关信息安全工作部门集合,这些部门负责信息安全技术和管理资源的整合和使用;技术体系则是从技术的角度考察安全,通过综合集成方式而形成的技术集合,技术体系包含内容有安全防护、安全检测、安全审计、应急响应恢复、密码、物理安全、安全机制与安全服务等;管理体系则是根据具体信息系统的环境,而采取管理方法和管理措施的集合,管理体系涉及到的主要内容管理制度、管理规范、教育培训、管理流程等。
2.2 ISO/IEC 15408 标准
图1 分析报告形成流程
图2 信息安全体系结构
图3 GB/T18336 标准要素关系
信息技术安全性评估通用准则ISO15408已被颁布为国家标准GB/T18336,简称通用准则(CC),它是评估信息技术产品和系统安全性的基础准则。该标准提供关于信息资产的安全分析框架,其中安全分析涉及到资产、威胁、脆弱性、安全措施、风险等各个要素,各要素之间相互作用,如图3所示。资产因为其价值而受到威胁,威胁者利用资产的脆弱性构成威胁。安全措施则是对资产进行保护,修补资产的脆弱性,从而可降低资产的风险。
3 分析报告素材获取
作为分析报告,必须要有真实的分析素材才能得出可靠的分析结论。我们在素材获取方法、获取内容、获取对象和最后素材整理上都有具体规范。
3.1 获取方法
在素材获取方法上,采取安全访谈、调查问卷、文档资料收集等3种工作方法来获取信息安全需求。
3.2 获取对象与内容
素材获取对象为两种类型,分别为部门领导和普通员工。其中:部门领导主要侧重于信息安全管理、岗位、流程、资产和培训方面的信息获取;普通员工主要侧重于信息安全岗位责任、操作习惯和安全配置与管理方面的信息获取。
素材获取内容分三个方面:一是管理调研;二是业务;三是的IT技术调研。素材获取内容安排有五种类型,其中:管理类2种,分别为高层管理访谈和中层部门领导访谈;技术类2种,分别为网络安全访谈和主机及数据库信息安全访谈;业务类1种,为业务及应用系统安全访谈。
最后的素材资料整理分为管理和技术两大类资料。
4 目前信息安全现状的分析
4.1 组织现状分析
通过对最后资料的分析看出,目前有一些企业对信息安全的管理还是十分重视的,很多成立了自己的安全小组,安全小组也定义了各个岗位,并明确了职责。安全小组目前的还存在着几点不足的地方:
1)安全小组的人员大部分是兼职工作,安全工作往往和本职工作之间存在的工作上时间冲突问题;2)安全小组的侧重于生产安全,信息安全的工作内容不够突出,信息安全的专业性不够强;3)信息的安全的监督机制有,并有一些安全考核的指标,较难执行,执行力不够;4)信息安全的人事培训管理已经作得比较好,可以增加信息安全方面专家的培训内容,更好的提高每个员工的信息安全意识。
4.2 信息安全管理现状
目前,许多已经有IT支持能力的企业在信息安全管理方面还有以下地方可以完善:对信息安全策略定义可以进一步完善;控制方式比较分散,不够统一;制度上可进一步细化,增强可操作性;在项目的安全管理上还有很多可以完善的地方;增加人力投入,加强安全管控。
4.3 信息安全技术现状
通过对最后技术资料的分析,得知以下信息安全基本情况:
1)主机的安全运行有专门的技术人员支持和维护,建立了比较全面的安全操作规范,具备应对突发事件的能力,能够比较好的保障主机系统工作的连续性和完整性;2)主机系统的安全管理主要涉及到服务器硬件、操作系统、数据库系统、应用服务系统等内容,密钥管理手段不科学,主机系统的日志缺乏定期的安全分析,主机的安全风险依赖于管理者的安全配置,缺少安全管理工具和安全监测措施;3)主机安全人员配备上没有专职的系统安全管理员,一个人需要管理多台主机设备,主要靠人工监视主机系统的运作管理;4)用户安全管理方面,口令管理手段不科学;5)主机漏洞修补方面不及时,已知漏洞不能完全堵上;6)主机系统的安全管理手段主要依赖系统自身提供的安全措施;7)主机系统的日志没有无远程备份日志服务器;8)主机设备类型多,监测和管理手段依靠人工方式,没有自动工具;9)系统人员管理一般从远程管理主机,没有全部采取远程安全措施;10)部门分工按职能划分,未按系统划分。
5 分析结论:信息安全需求
基于以上分析,得出了以下结论,主要分为信息安全整体需求和集体归纳。
5.1 信息安全整体需求
大部分的企业没有建立起完善的信息安全组织、管理团队,技术方面欠缺。从总体上考虑,信息安全管理需要解决以下问题:
1)企业内部的信息安全组织结构的协调一致性;2)技术和管理方法的发展均衡性;3)公司内部的业务发展急迫性与信息安全建设周期性之间的矛盾;4)员工之间对信息安全认知的差异性;5)与第三方机构(供应商、服务商、应用开发商)之间的信息安全管理关系。
5.2 信息安全需求的集体归纳
5.2.1 信息安全组织与管理
根据上述对信息安全组织和管理现状的分析,安全组织与管理总体需求可以归纳为:在组织方面,建立打造一支具有专业水准和过硬本领的信息安全队伍;在管理方面建立相应的信息安全管理措施。
5.2.2 网络安全需求
网络安全,其目标是网络的机密性、可用性、完整性和可控制性,不致因网络设备、网络通信协议、网络管理受到人为和自然因素的危害,而导致网络传输信息丢失、泄露或破坏。集体为:
1)集中统一的网络接入认证、授权、审计安全技术;2)集中统一的网络安全状态监测技术;3)针对通讯网络系统的网络开发安全检查工具集,包括网络安全策略执行检查、网络漏洞扫描、网络渗透测试等;4)能够支持网络的安全综合管理平台,能够支持网络用户安全管理。
5.2.3 主机系统安全需求
主机系统的安全需求归纳如下:
1)诸多主机的集中认证、授权、审计安全管理技术;2)针对主机系统的安全状态监测技术;3)针对主机系统的安全检查工具包;4)能够支持主机的安全综合管理平台。
5.2.4 数据安全需求
数据安全,是指包括数据生成、数据处理、数据传输、数据存储、数据利用、数据销毁等过程的安全。其目标是保证数据的保密性、可用性、完整性、可控制性,确保不因数据操作、操作系统、数据库系统、网络传输、管理等因素受到人为的或自然因素的危害而引起数据丢失、泄露或破坏。具体需求要求如下:
1)需要建立一个支持认证、授权、审计、安全等功能的数据生命周期管理机制;2)需要建立一套数据攻击防范系统,包括非法行为监控、威胁报警、数据垃圾过滤等;3)需要建立一套数据容灾系统,能够提供数据应急响应、防止失窃、损毁和发霉变质。
5.2.5 应用系统安全需求
应用系统安全,是指包括需求调查、系统设计、开发、测试、维护中所涉及到的安全问题。其目标是应用信息系统的保密性、可用性、完整性、可控制性,不致因需求调查、系统设计、开发、测试、维护过程受到人为和自然因素的危害,从而导致应用信息系统数据丢失、泄露或破坏。应用方面的安全需求归纳如下:
1)需要建立一套关于应用系统分类、应用系统安全接口、应用系统操作流程等方面的应用系统管理规范;2)需要建立一套独立的应用系统安全测试环境,满足应用系统上线前能够得到充分的安全测试;3)需要建立一个基于角色认证、授权、审计的授权管理系统,能够支持按员工的工作岗位授权管理,能够支持事后责任追查的法律依据;4)需要建立一个统一集中的应用系统监控管理平台,能够支持检测到异常的操作。
6 结束语
文章通过对福建某企业的信息安全现状进行相关素材获取,依照信息安全体系相关标准对整理后资料进行分析,得出了该企业的信息安全现状的评估结论,并提出了此类企业在信息安全体系建设上的需求分析。本文的结论,对此类企业的信息安全体系建设有一定的参考意义。
参考文献:
[1] 张世永.网络安全原理与应用[M].北京:科学出版社,2003.
[2] Christopher Alberts, Audrey Dorofee. Managing Information Security Risks. Pearson Education, Inc. 2003:10,80~82.
[3] 董良喜,王嘉祯,康广.计算机网络威胁发生可能性评价指标研究[J]. 计算机工程与应用,2004,40(26):143~148.
9月14日,360企业安全集团的态势感知与安全运营平台(NGSOC)在多家银行、政府、企业客户的见证下。360网神董事长兼CEO齐向东介绍,NGSOC是一款以大数据安全分析能力为基础、以威胁情报为驱动的新一代产品。它将会成为新的安全智慧的核心,给企业与机构的安全管理运营提供了新的“大脑”与智慧协同的平台。
大数据加速安全产品协同化
现代战争需要协同陆、海、空各个兵种联合的力量才能有机会取得胜利,我们已经看不到依靠单一兵种能够取得战争胜利的例子。网络攻击如今就像置身于现代战争一样,不能只依靠终端或者防火墙等单一产品来防范和发现各类威胁和攻击了。
齐向东表示,传统网络安全防护模式已经无法应对日益频繁的,新的和更高级的网络攻击。在提出了数据驱动安全理念后,360在今年互联网安全大会上又提出了协同联动的安全理念。希望能够实现不同的安全设备之间的协同联动,来提升应对网络威胁的防护能力。
为了构建这样一个协同安全产品,360在2016年先后了新一代的威胁感知系统(360天眼)、新一代的终端安全系统(360天擎)、新一代智慧防火墙(360天堤)。现在只缺一个情报枢纽,将数据进行汇总分析协同响应,贯穿监测与防护整个体系,来达到智慧安全的协同,这就是今天的360态势感知与安全运营平台,也叫NGSOC。
根据Gartner的2016年安全信息与事件管理(SIEM)市场分析报告显示,在产品功能方面,国际SIEM厂商都在加入威胁情报、异常检测、行为监测、用户行为分析功能。领先的SIEM厂商则在将其产品与大数据平台进行整合。这说明结合大数据分析平台和威胁情报支持将是SOC产品的未来方向。
齐向东介绍, NGSOC自身具有很多的优势。首先,360创新性地将互联网大数据分析平台用在NGSOC中,能够实现海量数据的存储、实时挖掘和分析。对海量日志进行数据分析,是确保360态势感知和安全运营平台有异常行为发现的能力,使得平台可以更加准确及时地发现各种潜在威胁和攻击,并及时响应和处置。这也是国内第一个把实时的挖掘分析、告警、响应和处置联动起来的一套系统。
其次,态势感知和安全运营可视化分析技术,可以将企业内外部安全态势进行直观的呈现。在一个平台上既可以感知到企业外网即外部世界的安全态势,同时又能够可视化直观地展示企业内部即现在所面临的安全态势,NGSOC都能快速定位和处置并拓展分析,从而可以保障企业业务系统的顺利进行。
同时,360态势感知与安全运营平台对传统SOC的革新与丰富,基本上是符合、甚至是引领业界方向的。
智能、可视化的平台
作为一家从互联网起家的安全公司,360一直具有浓厚的互联网基因。360态势感知与安全运营平台也是360核心优势技术集中的一个产品,除了大数据分析等技术之外,另外一个就是可视化技术。据了解,360在三年之前就开始接触可视化技术,并参加了当时全球最大的一个竞赛项目,竞赛的目的就是将真实的数据拿过来进行可视化分析,看看它到底能给安全带来哪些帮助和作用。
360企业安全集团总裁吴云坤表示,“可视化分析的作用是这样,数据评比有时候是杂乱无章的,通过不同的眼睛和视觉,呈现出来的所谓的异常,包括一些规律性的东西,通过可视化可以让人通过肉眼的方式找到。” 可视化分析技术将企业内外部安全态势进行直观的呈现,使得企业的管理者能够实时掌握企业内的安全状况,甚至对行业、地域的安全态势进行对比;而对于安全运维人员,以资产和人为视角出发的安全管理,丰富的安全运维与服务工具,也会帮助提升日常的安全管理运维效率。
目前可视化技术已经在国内很多行业进行了应用,一些高校和竞赛中也开始对此进行研究和实践。通过可视化技术(不仅仅是数据,还有图片等等信息),还可以实现溯源分析,甚至在一些特殊机构中可以进行间谍行为分析。
“可视化技术和大数据分析是紧密关联的,也是研究数据的一种方法”。360企业安全集团副总裁韩永刚表示,“通过数据加图片的方式,可以了解更多的信息。比如一个人在酒吧晚上12点没有动,早上6点出去了,这个人估计是喝醉了。当用图像表现的时候可以显示出其中意义,如果只有表格的话你可能根本不知道是什么意思。只有通过可视化的方式描述出来,才能知道背后发生的事情。”
【关键词】石油录井 计算机网络 远程传输
石油录井技术是在油气勘探开发中的一项最基本的技术,它的特点是获取地下信息及时、多样而且分析解释快捷,是勘探方面信息技术的一个分支。随着近几年录井指数的快速发展,新的录井技术和方法也是层出不穷,产生了实时录井、传输、检测、处理的一系列的现代录井技术。在信息数字化的今天,计算机在石油录井行业中的应用及其地位已经日趋重要。
1 录井技术的发展趋势
录井的参数更加的趋近于定量化的方向发展,随着网络计算机技术的发展,以及录井技术本身的提高,今后录井的参数会更加的准确和灵敏,原来探测不到的数据,也会随之的进行探测。数据的采集向着定量化的方向发展,可以更加准确的探测到地下地质的特点,明显提高油气层的发现率和探测的精确度。
录井资料的采集向着更加及时的方向发展,录井技术已经不是单一的常规的录井,经过近些年的发展,各项的技术标准都有提高。录井技术的多样化的发展,所采集的信息量不断的增加,探测对象和重点也随之转移,有针对性质的录井技术也随之发展壮大。今后录井技术的发展要能更加及时的发现井内的状况,实行同步的探测,这样才能增加录井技术的生命力。向着综合性的方向发展,更加深入,这样才能使录井技术在勘探开发中起到更加重要的作用。2 计算机在石油录井中的应用
信息技术的发展,为录井技术的发展注入的新的活力,是建设现代化录井技术发展的必然趋势。计算机技术应用在录井技术上,推动了录井技术的快速发展,使录井技术从手工化到机械化和自动化进行了飞快的发展,使录井技术从单方面的分析到多方面综合化的资料分析的进程,工作的效率大大提高了。计算机网络在录井技术中主要在远程数据传输无线局域网和井场计算机有线局域网进行应用。计算机通过对资料的采集,用互联网络进行实时的数据传播分析,监控勘探的过程。
计算机在录井中的应用,对综合评价技术的发展起到了一定的推进作用,采用计算机网络软件对工作的的资料进行了具体的分析报告,大大提升了工作的效率和资料整理。利用计算机技术可以进行多个矿井的勘探,从而进行数据的对比分析,得出更加可信的数据,从而建立区域结构的剖面立体图,更加明显和合理的使用录井的参数。
计算机的应用,录井数据管理和决策技术得到了进一步的发展,先进的综合录井系统可以对数据的管理和决策提供服务。此系统可以在钻井过程中对数据采集的信息进行存储、实时显示和处理应用。该系统主要包括如下软件或软件包:工程计算;井涌监测系统;岩屑描述资料包;综合报告生成软件;地层压力软件包;卡钻测量与预防软件;岩石物理特性软件包;钻井扭矩和阻力监控软件;数据实时作图及系统管理软件,通过这些软件对信息的采集处理分析,计算机数据的传输,从而实现了在钻井过程中及时的发现油气层,现场评价地层的特点,及时发现钻井过程中存在的问题,进而提高油层的发现速度,更加有效的对油气层进行保护,达到更好的勘探目的。
另外计算机网络可以开发更多的实用软件,提高系统的稳定性和可靠性,使数据库的发展更加的稳固,从而形成一种定型的分析系统的模式。计算机在应用传输方面的便捷性和数据的精确性都是有效的提高录井技术发展的指标,建立有效的网络结构,对复杂地形的录井有更明显的效果。从20世纪80年代以来国内外录井公司设备及软件生产厂商竞相开发出30 余种录井软件,目前在用的也有近20种版本,多种录井软件为其发展增添了活力。
计算机录井软件是现代录井技术的发展核心,在特定的要求下,录井一般都是靠计算机录井软件来实现的,录井软件有录井联机和录井脱机两种系统构成。联机系统主要是对信息的传输进行实时性的处理。
3 计算机在石油录井应用中的安全分析
计算机存在着病毒,其感染会为石油录井带来威胁,一旦井场的局域网受到病毒的感染和攻击,就将会造成数据的丢失,也有可能使录井系统瘫痪无法使用,从而影响到探测的进度。由于现在在录井仪器上没有统一的标准,从事录井技术的公司所使用的硬件设施不统一,低等的设施应用在录井中,可能会对计算机网络的正常运行和数据采集及数据安全带来了潜在的风险和威胁。
计算机在网络管理也同样面临着安全隐患,井场的技术工作人员设置的密码口令过于简单,因而便于破解,管理的用户权限责任不清楚,工作人员随意透露计算机用户名和口令,工作人员的素质,随意的使用计算机设备都是在管理不严的隐患。计算机网络运行故障和维护的安全风险,网络故障就是计算机的软件和硬件所存在的故障。这些都将影响到资料的采集和存储,使录井作业无法正常的完成。网络计算机的防火墙,可以对计算机起到一定的保护作用,完成网络安全的扫描,过滤危险的网络信息。
4 结论
随着计算机应用技术的快速发展,计算机在录井技术中的应用,录井勘探技术的要求越来越高。勘探环境复杂,地层的发现油气层的难度也随之增加,如何有效的利用计算机在石油录井中的应用,是以后需要努力的方向和目标。录井技术的发展在以后石油的勘探方面有着非常重要的作用,可以更好的提供服务,结合最新的计算机网络技术,从点到面,从宏观到微观,更加全面的的完善探测的手段。录井技术在计算机网络的支持之下,良好的网络服务,需要有安全的保障。计算机本身的复杂性和综合性,涉及到很多的方面,将来计算机在录井技术的应用中只会起到更重要的作用,所以良好的网络安全系统,优秀的工作人员都必须在网络的设计过程中,做好全面的保护措施,更可能的提高石油录井网络和录井数据的安全性,降低网络系统的风险。针对不同的录井对象,研究相对应的配套的系统设施,提高工作的效率,加快建立现代计算机录井技术体系,是录井技术发展的重要机遇和挑战。
参考文献
[1] 蔡云军,程国英.网络技术在录井技术中的应用[M].2004.02
[2] 张建兴.录井管理信息系统的设计与实现[D].哈尔滨工程大学,2003
【关键词】电子信息;互联网;结合
前言
电子信息技术作为一种综合性的技术,不仅仅包括了网络、通信及密码等多项技术。而且在各项技术使用过程中,也是相互作用的。电子信息技术在互联网使用过程中,可以维护信息传输的安全,避免存在黑客攻击的现象。而且可以保证数据使用过程中的安全,作为一名高中生,对于我们将来进入社会,掌握信息是非常有必要的。而且互联网已经变成了当前社会中不可缺少的一部分,我们在加强对于互联网学习的过程中,要注重将电子信息和互联网不断结合在一起,从而提升对于现代技术的认识,帮助我们更好的工作和学习。
一、什么是电子信息技术
电子信息作为一种综合性能力非常强的技术,在一定程度上涉及了计算机网络、通信等多种功能的技术。同时还结合了计算机网络等学科,信息管理技术在一定程度上体现在计算机通信和传感技术。在当前较为开放的互联网环境下,主要加强对于互联网安全的维护,以此来避免存在一些潜在性的危险。就当前电子信息技术发展过程中,主要存在硬件、软件两个发展方向。前者主要辅助信息传播和通信,后者主要是参与了信息相关的理论知识和管理方面的学习。
二、电子信息与互联网结合
互联网系统过程中会存在一些漏洞,导致了网络安全存在隐患。如果在操作系统过程中存在不同程度的漏洞,一旦遭到攻击,就会对用户造成一定的损失和威胁。严重情况下会导致整个网络和整个系统存在瘫痪的现象,导致整个网络无法正常运转。受到网络设计特点的影响,在一定程度上互联网具有开放性的思想特点。信息传输容易受到阻挠,影响信息传输的整体性和完整性。有些病毒和黑客也会严重影响到计算机的正常运行,为了确保互联网使用过程中的安全,可以将电子信息技术和互联网相互结合在一起。1.密码技术。电子信息技术最基本的功能就是密码技术,在一定程度上它可以加强对于互联网安全的保护。在信息传输过程中,由于对于外部环境的要求较高,我们在传输信息的时候,为了保证不被窃取,我们可以通过密码技术,不断构建网络。通过密码技术可以达到传输信息的安全。2.防病毒技术。互联网在我们当前到学习和工作中,越来越普遍。但是普遍的同时,也会给我们日常的生活带来一定的困扰。比方说病毒传播的速度越快,对网络的影响也是非常大的。在网络系统应用过程中互联网和局域网之间,可以通过信息的传输,利用电子信息技术,加强对于病毒的防范,为信息的传输提供安全性的保障。在一定程度上如果互联网受到了侵害的现象,那就会导致需要存保存的信息存在丢失的情况。为了给用户挽回一定的经济损失,在我们日常网络使用过程中,要积极开展防病毒技术的训练,最大强护的保护互联网信息传输过程中的安全性。在我们高中学习过程中,往往会通过网络搜集一些知识,浏览相关的页面和相关的内容。但是这些这些页面中都会存在病毒,借助电子信息技术,可以减少病毒对于互联网的侵害。3.防火墙技术。防火墙技术作为应用最为较早的信息技术,在一定程度上建立在通信技术之上,防火墙技术可以在一定程度上,维护整个互联网的安全。同时也可以将一些不安全的因素及时过滤,真正保证从根本上解决病毒的入侵。4.扫描技术。扫描技术在一定程度上,可以及时发现存在的漏洞,并且采用相应的措施,进行处理。就当前我国社会的互联网环境较为复杂,而且很多网络系统中心存在一些变化,如果单纯的加强对于网络的管理,那么就很难实现对于漏洞的控制。所以要积极的加强对于扫描技术的引用,找到安全漏洞存在的问题,并且做出安全分析报告,确保消除安全漏洞,让互联网处于一种安全良好的状态。5.入侵检测。入侵检测技术是一种响应和识别网络环境内部和外部的一种技术,它应用在互联网中可以对于网络信息入侵事件进行及时的反映。它是一种外部的行为的检测技术,而且在互联网使用过程中,可以将网络的信息中入侵事件进行及时的响应,来确保网络环境的安全,确保信息使用的健康。通过加强对于入侵检测技术的应用,可以防止互联网页面使用过程中存在外界入侵的现象,及时的将病毒预防和防护。
三、结束语
随着互联网技术不断的发展,为了确保互联网的安全。在我们日常学习和生活中,要加强对于互联网的管理,积极引入电子信息技术。将密码、防火墙和漏洞扫描等多项技术运用在实际生活中和实践中。以此来提高对于互联网的维护,为信息的传输构建安全稳定的环境。避免外界病毒入侵,而导致损失。
参考文献:
[1]吴钇佐.基于互联网+电子信息技术现状及未来发展趋势[J].电子测试,2016,(20):173+175.
关键词:工业控制系统;行为审计;智能分析;信息安全
引言
伴随着工业化和信息化融合发展,大量IT技术被引入现代工业控制系统.网络设备、计算设备、操作系统、嵌入式平台等多种IT技术在工控系统中的迁移应用已经司空见惯.然而,工控系统与IT系统存在本质差异,差异特质决定了工控系统安全与IT系统安全不同.(1)工控系统的设计目标是监视和控制工业过程,主要是和物理世界互动,而IT系统主要用于与人的交互和信息管理.电力配网终端可以控制区域电力开关,类似这类控制能力决定了安全防护的效果.(2)常规IT系统生命周期往往在5年左右,因此系统的遗留问题一般都较小.而工控系统的生命周期通常有8~15年,甚至更久,远大于常规IT系统,对其遗留的系统安全问题必须重视.相关的安全加固投入涉及到工业领域商业模式的深层次问题(如固定资产投资与折旧).(3)工控系统安全遵循SRA(Safety、Reliability和AGvailability)模型,与IT系统的安全模型CIA(ConfidentialGity、Integrity和Availability)迥异.IT安全的防护机制需要高度的侵入性,对系统可靠性、可用性都有潜在的重要影响.因此,现有的安全解决方案很难直接用于工控系统,需要深度设计相关解决方案,以匹配工控系统安全环境需求[1G2].
1工控系统安全威胁及成因
工业控制系统安全威胁主要有以下几个方面[3G5]:(1)工业控制专用协议安全威胁.工业控制系统采用了大量的专用封闭工控行业通信协议,一直被误认为是安全的.这些协议以保障高可用性和业务连续性为首要目的,缺乏安全性考虑,一旦被攻击者关注,极易造成重大安全事件.(2)网络安全威胁.TCP/IP协议等通用协议与开发标准引入工控系统,使得开放的工业控制系统面临各种各样的网络安全威胁[6G7].早期工业控制系统为保证操作安全,往往和企业管理系统相隔离.近年来,为了实时采集数据,满足管理需求,工业控制系统通过逻辑隔离方式与企业管理系统直接通信,而企业管理系统一般连接Internet,这种情况下,工业控制系统接入的范围不仅扩展到了企业网,而且面临来自Internet的威胁.在公用网络和专用网络混合的情况下,工业控制系统安全状态更加复杂.(3)安全规程风险.为了优先保证系统高可用性而把安全规程放在次要位置,甚至牺牲安全来实现系统效率,造成了工业控制系统常见的安全隐患.以介质访问控制策略为代表的多种隐患时刻威胁着工控系统安全.为实现安全管理制定符合需求的安全策略,并依据策略制定管理流程,是确保ICS系统安全性和稳定性的重要保障.(4)操作系统安全威胁.工业控制系统有各种不同的通用操作系统(Window、Linux)以及嵌入式OS,大量操作系统版本陈旧(Win95、Winme、Win2K等).鉴于工控软件与操作系统补丁存在兼容性问题,系统上线和运行后一般不会对平台打补丁,导致应用系统存在很大的安全风险.(5)终端及应用安全风险.工业控制系统终端应用大多固定不变,系统在防范一些传统的恶意软件时,主要在应用加载前检测其完整性和安全性,对于层出不穷的新型攻击方式和不断改进的传统攻击方式,采取这种安全措施远远不能为终端提供安全保障.因此,对静态和动态内容必须进行安全完整性认证检查.
2审计方案设计及关键技术
2.1系统总体架构
本方案针对工控系统面临的五大安全威胁,建立了基于专用协议识别和异常分析技术的安全审计方案,采用基于Fuzzing的漏洞挖掘技术,利用海量数据分析,实现工控系统的异常行为监测和安全事件智能分析,实现安全可视化,系统框架如图1所示.电力、石化行业工业控制系统行为审计,主要对工业控制系统的各种安全事件信息进行采集、智能关联分析和软硬件漏洞挖掘,实现对工业控制系统进行安全评估及安全事件准确定位的目的[8G9].审计系统采用四层架构设计,分别是数据采集层、信息数据管理层、安全事件智能分析层和安全可视化展示层.其中数据采集层通过安全、镜像流量、抓取探测等方式,监测工控网络系统中的服务日志、通信会话和安全事件.多层部署采用中继隔离方式单向上报采集信息,以适应各种网络环境.信息数据管理层解析MODBUS、OPC、Ethernet/IP、DNP3、ICCP等各种专用协议,对海量数据进行分布式存储,优化存储结构和查询效率,实现系统数据层可伸缩性和可扩展性.智能分析层通过对异构数据的分析结果进行预处理,采用安全事件关联分析和安全数据挖掘技术,审计工控系统应用过程中的协议异常和行为异常.安全综合展示层,对安全审计结果可视化,呈现工业控制系统安全事件,标识安全威胁,并对工业控制系统安全趋势作出预判.
2.2审计系统关键技术及实现
2.2.1专用协议识别和异常分析技术系统实现对各种常见协议智能化识别,并且重组恢复通信数据,在此基础上分析协议数据语义,进而识别出各种通信会话和系统事件,最终达到审计目的[10G11].2.2.2核心组件脆弱性及漏洞挖掘技术基于Fuzzing的漏洞挖掘技术,实现工业控制系统核心组件软硬件漏洞挖掘,及时发现并规避隐患,使之适应当前的安全环境.Fuzzing技术将随机数据作为测试输入,对程序运行过程中的任何异常进行检测,通过判断引起程序异常的随机数据进一步定位程序缺陷[12-14]通用漏洞挖掘技术无法完全适应工控系统及网络的特殊性,无法有效挖掘漏洞,部分漏洞扫描软件还会对工控系统和网络造成破坏,使工控系统瘫痪.本文结合电力、石化行业工控系统特点,研究设计了工控行业专用Fuzzing漏洞挖掘技术和方法,解决了漏洞探测技术的安全性和高效性问题,实现了工业控制协议(OPC/Modbus/Fieldbus)和通用协议(IRC/DHCP/TCP)等漏洞Fuzzing工具、应用程序的FileFzzinug、针对ActiveX的COMRaidGer和AxMan、操作系统内核的Fuzzing工具应用,构建了通用、可扩展的Fuzzing框架,涵盖多种ICS系统组件.ICS系统测试组件众多,具有高度自动化的Fuzzing漏洞挖掘系统可以大大提高漏洞挖掘效率.生成的测试用例既能有效扩展Fuzzing发现漏洞的范围,又可避免产生类似于组合测试中常见的状态爆炸情况[15].采用模块(Peach、Sulley)负责监测对象异常,实现并行Fuzzing以提高运行效率;还可以将引擎和分离,在不同的机子上运行,用分布式应用程序分别进行Fuzzing测试.2.2.3异常行为检测技术针对工控系统的异常行为检测,本方案采用海量数据和长效攻击行为关联分析技术,内容如下:(1)建立工业控制系统环境行为架构,检查当前活动与正常活动架构预期的偏离程度,由此判断和确认入侵行为,诊断安全事件.(2)研究行为异常的实时或准实时在线分析技术,缩短行为分析时间,快速形成分析报告.(3)基于DPI技术,对网络层异常行为安全事件进行检测分析.基于海量数据处理平台实现对数据包的深度实时/离线分析,从而有效监测工控设备的异常流量,进而有效监测多种网络攻击行为[16].(4)应用层异常行为检测.应用层异常行为安全事件检测围绕工业控制系统软件应用展开,该功能基于应用层数据收集结果进行,支持运行状态分析检测、指令篡改分析检测、异常配置变更分析检测等.(5)系统操作异常行为安全事件检测.系统攻击检测基于海量日志分析技术进行,在检测整个系统安全状态的同时,以大规模系统运行状态为模型,发掘出有悖于系统正常运行的各种信息,支持系统安全事件反向查询,并详细描述系统的运行轨迹,为系统攻击防范提供必要信息.(6)异常行为安全事件取证.基于安全检测平台所提供的多维度多时段网络安全数据信息进行异常行为安全事件取证,有效支持对单点安全事件的获取,达到安全事件单时段、多时段、分时段提取,进而支撑基于事实数据的安全取证功能.2.2.4安全事件智能分析技术方案把工业控制系统海量安全事件的智能关联分析、安全评估、事件定位及回溯相关分析技术应用于分析系统,并且基于不同的粒度进行安全态势预警.(1)安全事件聚合.采用聚类分析模型,将数据分析后的IDS、防火墙等网络设备产生的大量重复或相似的安全事件进行智能聚合,并设计不同条件进行归并,从而将大量重复的无用信息剔除,找到安全事件发生的本质原因.(2)安全事件关联.系统将安全事件基于多个要素进行关联,包括将同源事件、异源事件、多对象信息进行关联,从而在多源数据中提取出一系列相关安全事件序列,通过该安全事件序列,对事件轮廓进行详细刻画,充分了解攻击者的攻击手段和攻击步骤,从而为攻击防范提供知识准备[17].2.2.5安全可视化安全可视化是一项综合展现技术,其核心是为用户提供工控系统安全事件审计全局视图,进行安全状态追踪、监控和反馈,为决策者提供准确、有效的参考信息,并在一定程度上减小制定决策所花费的时间和精力,尽可能减少人为失误,提高整体管理效率.安全可视化包括报表、历史分析、实时监控、安全事件、安全模型5大类.其中,历史分析包括时序分析、关联图、交互分析和取证分析.实时监控重点通过仪表盘来表现.
3安全事件评估
通过以上安全应用分析,能够对安全事件形成从点到面、多视角的分析结果,对安全事件带来的影响进行分级,包括高危级、危险级、中级、低级4个级别,使网络管理者更好地将精力集中于解决对网络安全影响较大的问题.
4安全态势预警
为对网络安全态势进行全面评估,建立如图3所示的全方位多层次异角度的安全态势评估基本框架,分别进行更为细粒度的网络安全态势评估,评估内容如下:(1)基于专题层次的网络态势评估.评估各具体因素,这些具体因素都会不同程度影响工业控制系统安全,根据威胁内容分为资产评估、威胁评估、脆弱性评估和安全事件评估4个模块,每个模块根据评估范围分为3种不同粒度.威胁评估包含了单个威胁评估、某一类威胁评估和整个网络威胁状况评估3种不同粒度的安全分析.(2)基于要素层次的网络态势评估.全方位对安全要素程度进行评估,体现网络各安全要素重要程度,包括保密性评估、完整性评估以及可用性评估.(3)基于整体层次的网络态势评估.综合评估工业控制系统安全状况,对不同层次采用不同方法进行评估.采用基于隐Markov模型、Markov博弈模型和基于指数对数分析的评估技术,对安全态势的3个安全要素进行评估,评估所有与态势值相关的内容;基于指数对数分析评估技术,实现由单体安全态势得到整体安全态势,具体参数根据不同目的和网络环境进行设置.
5工业控制系统审计方案部署
本项目要符合电力、石化行业工业控制系统特点,提供高可用、可扩展和高性能解决方案.系统包含数据采集器、数据存储服务器、安全审计分析服务器等核心组件,如图4、图5所示.(1)数据采集器是工业控制系统的末梢单元,是审计系统与工业控制各种设备、终端的信息接口.数据采集器数量依据工控终端规模进行分布式动态扩展.特定工控采集环境下,硬件数据采集器辅助探针软件协同工作.(2)数据存储服务器用以存储采集和分析计算处理后的海量数据.数据存储服务器以弹性扩展集群方式组成海量数据存储平台.(3)安全审计分析服务器负责数据处理、安全事件分析、漏洞挖掘等高性能安全计算和结果展示,是审计系统的计算中心.
6结语