前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡安全工作報告主題范文,僅供參考,歡迎閱讀并收藏。
一、2020年度網(wǎng)絡安全檢查工作組織開展情況
一、統(tǒng)一思想認識,提高政治站位。迅速召開專題會議,傳達學習財政部網(wǎng)絡安全和信息化領(lǐng)導小組辦公室《關(guān)于地方財政部門進一步強化網(wǎng)絡安全暨開展2020年網(wǎng)絡安全檢查的通知》文件精神,并對網(wǎng)絡安全工作作出了重要指示和部署。
二、加強統(tǒng)一領(lǐng)導,落實安全責任。為進一步加強對網(wǎng)絡安全檢查自查工作的組織領(lǐng)導,成立了由局黨組書記、局長吳冰同志為組長,各黨組成員為副組長的自查工作領(lǐng)導小組,負責網(wǎng)絡安全檢查自查工作安排部署,嚴格對照核查內(nèi)容和工作要求,認真開展了自查工作。
三、加強督查督導,確保整改到位。結(jié)合我縣財政實際情況,組織安排好本地區(qū)財政系統(tǒng)網(wǎng)絡安全檢查工作,全面排查網(wǎng)絡風險、漏洞和突出問題,及時部署整改措施,提高網(wǎng)絡安全防護能力。
二、2020年網(wǎng)絡安全檢查情況匯總
一是組織領(lǐng)導方面。成立了由主要領(lǐng)導擔任第一責任人、各相關(guān)股室參與、信息中心負責具體工作的財政系統(tǒng)安全保護工作領(lǐng)導小組,統(tǒng)一協(xié)調(diào)全局開展財政專網(wǎng)運行安全管理工作。
二是網(wǎng)絡安全方面。一是做好本級計算機安全檢查。從內(nèi)外網(wǎng)是否混接、財政應用軟件是否使用ukey登錄、計算機殺毒、系統(tǒng)漏洞補丁修復、計算機實名制管理等方面對全局所有財政專網(wǎng)計算機進行網(wǎng)絡安全檢查。二是重新部署內(nèi)網(wǎng)殺毒確保安全。所有金財網(wǎng)pc端及服務器均安裝了省廳統(tǒng)一部署的亞信防病毒軟件,所有外網(wǎng)安裝了360、金山毒霸等殺毒軟件;pc端及服務器均采用了登錄強口令密碼、數(shù)據(jù)庫異地存儲備份、數(shù)據(jù)加密等安全防護措施。三是切實抓好金財網(wǎng)、外網(wǎng)、媒介和應用軟件的管理,對金財網(wǎng)pc端、外網(wǎng)pc端實行分網(wǎng)管理,嚴格區(qū)分內(nèi)網(wǎng)和外網(wǎng),確保內(nèi)外網(wǎng)不混用、不同用。四是加強對硬件安全的管理,包括防塵、防潮、防雷、防火、防盜、和電源連接等;加強密碼管理、ip管理、互聯(lián)網(wǎng)行為管理等;加強計算機應用安全管理,包括郵件系統(tǒng)、資源庫管理、軟件管理等。
三是落實責任方面。一是建立健全相關(guān)制度。為確保計算機網(wǎng)絡安全、建立健全了《計算機安全保密制度》、《網(wǎng)絡信息安全管理制度》等一系列規(guī)章制度,確保本單位信息系統(tǒng)建設(shè)和網(wǎng)絡安全能夠正常運行。二是制定了《縣財政局網(wǎng)絡安全應急預案》,按照要求定期開展應急演練。三是按照州財政局要求,聯(lián)合縣電信公司對全縣金財網(wǎng)ip地址進行了規(guī)范改造。四是結(jié)合省財政廳相關(guān)要求,正在對關(guān)鍵系統(tǒng)開展等保評測工作,嚴格按照網(wǎng)絡安全行業(yè)主管部門的要求,及時查漏補缺,完成評測整改工作。確保核心業(yè)務系統(tǒng)安全運行,保障全縣財政業(yè)務正常開展。五是對照國家等級保護2.0標準及省財政廳制定的相關(guān)技術(shù)規(guī)范添置入侵檢測、入侵防護、安全審計、數(shù)據(jù)備份等網(wǎng)絡安全防護設(shè)備。強化網(wǎng)絡安全硬件保障基礎(chǔ),補齊網(wǎng)絡安全硬件建設(shè)上的短板。
四是宣傳教育方面。一是加強網(wǎng)絡安全學習培訓。定期不定期組織全局人員專題培訓等方式全方位宣傳學習《網(wǎng)絡安全法》等。二是積極主動對接當?shù)鼐W(wǎng)信辦及網(wǎng)安部門,參加網(wǎng)絡安全宣傳周活動,每年定期組織預算單位財務人員集中培訓網(wǎng)絡安全知識與日常管理技巧,提高網(wǎng)絡安全意識,防范不規(guī)范操作,規(guī)避內(nèi)外網(wǎng)互聯(lián)風險。
五是落實經(jīng)費方面。將網(wǎng)絡安全建設(shè)經(jīng)費納入年初預算,確保經(jīng)費保障充足,相繼采購防火墻、堡壘機、安全管理系統(tǒng)等網(wǎng)絡安全產(chǎn)品,進一步提高了網(wǎng)絡安全技術(shù)保障能力。
三、存在的問題
一、整體安全狀況的基本判斷
從檢查情況看,網(wǎng)絡與信息安全總體情況良好。始終把信息安全作為信息化工作的重點內(nèi)容,網(wǎng)絡信息安全工作機構(gòu)健全、責任明確,日常管理維護工作比較規(guī)范;管理制度完善,技術(shù)防護措施得當,信息安全風險得到有效降低;比較重視信息系統(tǒng)系統(tǒng)管理員和網(wǎng)絡安全技術(shù)人員培訓,應急預案與應急處置技術(shù)隊伍有落實,工作經(jīng)費有一定保障,基本保證了網(wǎng)信息系統(tǒng)持續(xù)安全穩(wěn)定運行。
二、發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)
雖然我縣財政系統(tǒng)網(wǎng)絡安全在上級部門的指導下取得了一定的成績,但在檢查過程中也發(fā)現(xiàn)了一些管理方面存在的薄弱環(huán)節(jié),如網(wǎng)絡信息安全知識宣傳較少、網(wǎng)絡安全管理專業(yè)技術(shù)力量薄弱等。
關(guān)鍵字 電子商務 網(wǎng)絡安全 事件類型 安全建議
1前言
隨著Internet的快速發(fā)展,電子商務已經(jīng)逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動。電子商務的發(fā)展前景十分誘人,而其安全問題也變得越來越突出。近年來,網(wǎng)絡安全事件不斷攀升,電子商務金融成了攻擊目標,以網(wǎng)頁篡改和垃圾郵件為主的網(wǎng)絡安全事件正在大幅攀升。國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心(以下簡稱CNCERT/CC)作為接收國內(nèi)網(wǎng)絡安全事件報告的重要機構(gòu),2005年上半年共收到網(wǎng)絡安全事件報告65679件,為2004年全年64686件還要多。在CNCERT/CC處理的網(wǎng)絡安全事件報告中,網(wǎng)頁篡改占45.91%,網(wǎng)絡仿冒占29%,其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等,2004年以來,我國面臨的網(wǎng)絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網(wǎng)站和電子商務網(wǎng)站。數(shù)字顯示,電子商務等網(wǎng)站極易成為攻擊者的目標,其安全防范有待加強。如何建立一個安全、便捷的電子商務應用環(huán)境,對信息提供足夠的保護,已經(jīng)成為商家和用戶都十分關(guān)心的話題。
2影響電子商務發(fā)展的主要網(wǎng)絡安全事件類型
一般來說,對電子商務應用影響較多、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁篡改、網(wǎng)絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網(wǎng)絡仿冒等,而近幾年來出現(xiàn)的網(wǎng)絡仿冒(Phishing),已逐步成為影響電子商務應用與發(fā)展的主要威脅之一。
2.1網(wǎng)絡篡改
網(wǎng)絡篡改是指將正常的網(wǎng)站主頁更換為黑客所提供的網(wǎng)頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計算機系統(tǒng)本身不會產(chǎn)生直接的損失,但對電子商務等需要與用戶通過網(wǎng)站進行溝通的應用來說,就意味著電子商務將被迫終止對外的服務。對企業(yè)網(wǎng)站而言,網(wǎng)頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業(yè)形象與信譽造成嚴重損害。
2.2網(wǎng)絡蠕蟲
網(wǎng)絡蠕蟲是指一種可以不斷復制自己并在網(wǎng)絡中傳播的程序。這種程序利用互聯(lián)網(wǎng)上計算機系統(tǒng)的漏洞進入系統(tǒng),自我復制,并繼續(xù)向互聯(lián)網(wǎng)上的其它系統(tǒng)進行傳播。網(wǎng)絡蠕蟲的危害通常有兩個方面:1、蠕蟲在進入被攻擊的系統(tǒng)后,一旦具有控制系統(tǒng)的能力,就可以使得該系統(tǒng)被他人遠程操縱。其危害一方面是重要系統(tǒng)會出現(xiàn)失密現(xiàn)象,另一方面會被利用來對其他系統(tǒng)進行攻擊。2、蠕蟲的不斷蛻變并在網(wǎng)絡上的傳播,可能導致網(wǎng)絡被阻塞的現(xiàn)象發(fā)生,從而致使網(wǎng)絡癱瘓,使得各種基于網(wǎng)絡的電子商務等應用系統(tǒng)失效。
2.3拒絕服務攻擊
拒絕服務攻擊是指在互聯(lián)網(wǎng)上控制多臺或大量的計算機針對某一個特定的計算機進行大規(guī)模的訪問,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務,使得電子商務這類應用無法正常工作。
一般來說,這是黑客常用的一種行之有效的方法。如果所調(diào)動的攻擊計算機足夠多,則更難進行處置。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網(wǎng)進行的,加大了打擊犯罪的難度。
2.4特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統(tǒng)中不為用戶所知的惡意程序,通常用于潛伏在計算機系統(tǒng)中來與外界連接,并接受外界的指令。被植入木馬的計算機系統(tǒng)內(nèi)的所有文件都會被外界所獲得,并且該系統(tǒng)也會被外界所控制,也可能會被利用作為攻擊其它系統(tǒng)的攻擊源。很多黑客在入侵系統(tǒng)時都會同時把木馬植入到被侵入的系統(tǒng)中。
2.4網(wǎng)絡仿冒(Phishing)
Phishing又稱網(wǎng)絡仿冒、網(wǎng)絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網(wǎng)頁設(shè)計來誘騙收件人提供信用卡帳號、用戶名、密碼、社會福利號碼等,隨后利用騙得的帳號和密碼竊取受騙者金錢。近年來,隨著電子商務、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務在日常生活中的普及,網(wǎng)絡仿冒事件在我國層出不窮,諸如中國銀行網(wǎng)站等多起金融網(wǎng)站被仿冒。網(wǎng)絡仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應用,特別是電子商務應用的主要威脅之一。
根據(jù)國際反仿冒郵件工作小組(Anti-Phishing Working Group,APWG)統(tǒng)計,2005年4月共有2854起仿冒郵件事件報告;從2004年7月至2005年4月,平均每月的仿冒郵件事件報告數(shù)量的遞增達率15%;僅在2005年4月,就共有79個各類機構(gòu)被仿冒。2005年上半年CNCERT/CC廣東分中心就處理了15多期的網(wǎng)絡仿冒事件。從這些數(shù)字可以看到,Phishing事件不僅數(shù)量多、仿冒范圍大,而且仍然在不斷增長。
網(wǎng)絡仿冒者為了逃避相關(guān)組織和管理機構(gòu)的打擊,充分利用互聯(lián)網(wǎng)的開放性,往往會將仿冒網(wǎng)站建立在其他國家,而又利用第三國的郵件服務器來發(fā)送欺詐郵件,這樣既便是仿冒網(wǎng)站被人舉報,但是關(guān)閉仿冒網(wǎng)站就比較麻煩,對網(wǎng)絡欺詐者的追查就更困難了,這是現(xiàn)在網(wǎng)絡仿冒犯罪的主要趨勢之一。
據(jù)統(tǒng)計,中國已經(jīng)成為第二大仿冒網(wǎng)站的屬地國,僅次于美國,而就目前CNCERT/CC的實際情況來看,已經(jīng)接到多個國家要求協(xié)助處理仿冒網(wǎng)站的合作請求。因此,需要充分重視網(wǎng)絡仿冒行為的跨國化。
3安全建議
隨著網(wǎng)絡應用日益普及和更為復雜,網(wǎng)絡安全事件不斷出現(xiàn),電子商務的安全問題日益突出,需要從國家相關(guān)法律建設(shè)的大環(huán)境到企業(yè)制定的電子商務網(wǎng)絡安全管理整體架構(gòu)的具體措施,才能有效保護電子商務的正常應用與發(fā)展。
3.1不斷完善法律與政策依據(jù) 充分發(fā)揮應急響應組織的作用
目前我國對于互聯(lián)網(wǎng)的相關(guān)法律法規(guī)還較為欠缺,尤其是互聯(lián)網(wǎng)這樣一個開放和復雜的領(lǐng)域,相對于現(xiàn)實社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于影響電子商務發(fā)展的基于互聯(lián)網(wǎng)的各類網(wǎng)絡安全事件的違法犯罪行為的立法,需要一個漫長的過程。
根據(jù)互聯(lián)網(wǎng)的體系結(jié)構(gòu)和網(wǎng)絡安全事件的特點,需要建立健全協(xié)調(diào)一致,快速反應的各級網(wǎng)絡應急體系。要制定有關(guān)管理規(guī)定,為網(wǎng)絡安全事件的有效處理提供法律和政策依據(jù)。
轉(zhuǎn)貼于 互聯(lián)網(wǎng)應急響應組織是響應并處理公共互聯(lián)網(wǎng)網(wǎng)絡與信息安全事件的組織,在我國,CNCERT/CC是國家級的互聯(lián)網(wǎng)應急響應組織,目前已經(jīng)建立起了全國性的應急響應體系;同時,CNCERT/CC還是國際應急響應與安全小組論壇(FIRST,F(xiàn)orum of Incident Response and Security Teams)等國際機構(gòu)的成員。
應急響應組織通過發(fā)揮其技術(shù)優(yōu)勢,利用其支撐單位,即國內(nèi)主要網(wǎng)絡安全廠商的行業(yè)力量,為相關(guān)機構(gòu)提供網(wǎng)絡安全的咨詢與技術(shù)服務,共同提高網(wǎng)絡安全水平,能有效減少各類的網(wǎng)絡事件的出現(xiàn);通過聚集相關(guān)科研力量,研究相關(guān)技術(shù)手段,以及如何建立新的電子交易的信任體系,為電子商務等互聯(lián)網(wǎng)應用的普及和順利發(fā)展提供前瞻性的技術(shù)研究方面具有積極意義。
對于目前跨國化趨勢的各類網(wǎng)絡安全事件,可以通過國際組織之間的合作,利用其協(xié)調(diào)機制,予以積極處理。事實上,從CNCERT/CC成立以來,已經(jīng)成功地處理了多起境外應急響應組織提交的網(wǎng)絡仿冒等安全事件協(xié)查請求,關(guān)閉了上百個各類仿冒網(wǎng)站;同時,CNCERT/CC充分發(fā)揮其組織、協(xié)調(diào)作用,成功地處理了國內(nèi)網(wǎng)頁篡改、網(wǎng)絡仿冒、木馬等網(wǎng)絡安全事件。
3.2建立整體的網(wǎng)絡安全架構(gòu) 切實保障電子商務的應用發(fā)展
從各類網(wǎng)絡安全事件分析中我們看到,電子商務的網(wǎng)絡安全問題不是純粹的計算機安全問題,從企業(yè)的角度出發(fā),應該建立整體的電子商務網(wǎng)絡安全架構(gòu),結(jié)合安全管理以及具體的安全保護、安全監(jiān)控、事件響應和恢復等一套機制來保障電子商務的正常應用。
3.2.1安全管理
安全管理主要是通過嚴格科學的管理手段以達到保護企業(yè)網(wǎng)絡安全的目的。內(nèi)容可包括安全管理制度的制定、實施和監(jiān)督,安全策略的制定、實施、評估和修改,相關(guān)人員的安全意識的培訓、教育,日常安全管理的具體要求與落實等。
3.2.2安全保護
安全保護主要是指應用網(wǎng)絡安全產(chǎn)品、工具和技術(shù)保護網(wǎng)絡系統(tǒng)、數(shù)據(jù)和用戶。這種保護主要是指靜態(tài)保護,通常是一些基本的防護,不具有實時性,如在防火墻的規(guī)則中實施一條安全策略,禁止所有外部網(wǎng)用戶到內(nèi)部網(wǎng)Web服務器的連接請求,一旦這條規(guī)則生效,它就會持續(xù)有效,除非我們改變這條規(guī)則。這樣的保護能預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態(tài)保護。
3.2.3安全監(jiān)控/審計
安全監(jiān)控主要是指實時監(jiān)控網(wǎng)絡上正在發(fā)生的事情,這是任何一個網(wǎng)絡管理員都想知道的。審計一直被認為是經(jīng)典安全模型的一個重要組成部分。審計是通過記錄通過網(wǎng)絡的所有數(shù)據(jù)包,然后分析這些數(shù)據(jù)包,幫助查找已知的攻擊手段、可疑的破壞行為,來達到保護網(wǎng)絡的目的。
安全監(jiān)控和審計是實時保護的一種策略,它主要滿足一種動態(tài)安全的需求。因為網(wǎng)絡安全技術(shù)在發(fā)展的同時,黑客技術(shù)也在不斷的發(fā)展,網(wǎng)絡安全不是一成不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應該時刻關(guān)注網(wǎng)絡安全的發(fā)展動向以及網(wǎng)絡上發(fā)生的各種各樣的事情,以便及時發(fā)現(xiàn)新的攻擊,制定新的安全策略??梢赃@樣說,安全保護是基本,安全監(jiān)控和審計是其有效的補充,兩者的有效結(jié)合,才能較好地滿足動態(tài)安全的需要。
3.2.4事件響應與恢復
事件響應與恢復主要針對發(fā)生攻擊事件時相應的應急措施與恢復正常應用的機制。就是當攻擊發(fā)生時,能及時做出響應,這需要建立一套切實有效、操作性強的響應機制,及時防止攻擊的進一步發(fā)展。響應是整個安全架構(gòu)中的重要組成部分,因為網(wǎng)絡構(gòu)筑沒有絕對的安全,安全事件的發(fā)生是不可能完全避免的,當安全事件發(fā)生的時候,應該有相應的機制快速反應,以便讓管理員及時了解攻擊情況,采取相應措施修改安全策略,盡量減少并彌補攻擊的損失,防止類似攻擊的再次發(fā)生。
當安全事件發(fā)生后,對系統(tǒng)可能會造成不同程度的破壞,如網(wǎng)絡不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等,這時,必須有一套機制能盡快恢復系統(tǒng)的正常應用,因為攻擊既然已經(jīng)發(fā)生了,系統(tǒng)也遭到了破壞,這時只有讓系統(tǒng)以最快的速度運行起來才是最重要的,否則損失將更為嚴重。因此恢復在電子商務安全的整體架構(gòu)中也是不可缺少的組成部分。 4小結(jié)
Internet的快速發(fā)展,使電子商務逐漸進入人們的日常生活,而伴隨各類網(wǎng)絡安全事件的日益增加與發(fā)展,電子商務的安全問題也變得日益突出,建立一個安全、便捷的電子商務應用環(huán)境,已經(jīng)成為商家和用戶密切關(guān)注的話題。
本文主要從目前深刻影響電子商務應用與發(fā)展的幾種主要的網(wǎng)絡安全事件類型出發(fā),闡述了電子商務的網(wǎng)絡安全問題,并從國家相關(guān)法制建設(shè)的大環(huán)境,應急響應組織的作用與意義,以及企業(yè)具體的電子商務網(wǎng)絡安全整體架構(gòu)等方面,給出一些建議與思考。
參考文獻
1
CNCERT/CC.“2005年上半年網(wǎng)絡安全工作報告”
2
CNCERT/CC上海分中心.“網(wǎng)絡欺詐的分析和研究”.2005年3月
3
關(guān)鍵詞:校園網(wǎng);網(wǎng)絡安全;入侵檢測
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)31-0800-03
The Cooperative Intrusion Detection System Model Based on Campus Network
LI Ang1,2, HU Xiao-long1
(1.School of Information Science and Engineering, Central South University, Changsha 410075, China; 2.Modern Education Technology Center, Hunan Institute of Technology, Hengyang 421002, China)
Abstract: Through the existing analysis of network security and intrusion detection technology, this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly, processes in multilateral cooperation, and constructs the large-network IDS. Then, it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions, this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.
Key words: campus network; network security; intrusion detection
1 網(wǎng)絡安全形勢分析
2007年,我國公共互聯(lián)網(wǎng)網(wǎng)絡整體上運行基本正常,但從CNCERT/CC接收和監(jiān)測的各類網(wǎng)絡安全事件情況可以看出,網(wǎng)絡信息系統(tǒng)存在的安全漏洞和隱患層出不窮,利益驅(qū)使下的地下黑客產(chǎn)業(yè)繼續(xù)發(fā)展,網(wǎng)絡攻擊的種類和數(shù)量成倍增長,終端用戶和互聯(lián)網(wǎng)企業(yè)是主要的受害者,基礎(chǔ)網(wǎng)絡和重要信息系統(tǒng)面臨著嚴峻的安全威脅。在地下黑色產(chǎn)業(yè)鏈的推動下,網(wǎng)絡犯罪行為趨利性表現(xiàn)更加明顯,追求經(jīng)濟利益依然是主要目標。黑客往往利用仿冒網(wǎng)站、偽造郵件、盜號木馬、后門病毒等,并結(jié)合社會工程學,竊取大量用戶數(shù)據(jù)牟取暴利,包括網(wǎng)游賬號、網(wǎng)銀賬號和密碼、網(wǎng)銀數(shù)字證書等。木馬、病毒等惡意程序的制作、傳播、用戶信息竊取、第三方平臺銷贓、洗錢等各環(huán)節(jié)的流水作業(yè)構(gòu)成了完善的地下黑色產(chǎn)業(yè)鏈條,為各種網(wǎng)絡犯罪行為帶來了利益驅(qū)動,加之黑客攻擊手法更具隱蔽性,使得對這些網(wǎng)絡犯罪行為的取證、追查和打擊都非常困難[1]。
從IDC網(wǎng)絡安全調(diào)查數(shù)據(jù)來看,網(wǎng)絡的安全威脅主要來自三個方面:第一、網(wǎng)絡的惡意破壞者,也就是我們所說的黑客,造成的正常網(wǎng)絡服務的不可用、系統(tǒng)/數(shù)據(jù)的破壞;第二、無辜的內(nèi)部人員造成的網(wǎng)絡數(shù)據(jù)的破壞、網(wǎng)絡病毒的蔓延擴散、木馬的傳播;第三、就是別有用心的間諜人員,通過竊取他人身份進行越權(quán)數(shù)據(jù)訪問,以及偷取機密的或者他人的私密信息。其中,由于內(nèi)部人員而造成的網(wǎng)絡安全問題占到了70% 。
縱觀高校校園網(wǎng)安全現(xiàn)狀,我們會發(fā)現(xiàn)同樣符合上面的規(guī)律,即安全主要來自這三方面。而其中,來自校園網(wǎng)內(nèi)部的安全事件占到了絕大多數(shù)。這與校園網(wǎng)的用戶是息息相關(guān)的。一方面,高校學生這群精力充沛的年輕一族對新鮮事物有著強烈的好奇心,他們有著探索的高智商和沖勁,卻缺乏全面思考的責任感。同時網(wǎng)絡也使得黑客工具等的獲取更加的輕松。另一方面,校園網(wǎng)內(nèi)卻又存在著很多這樣的用戶,他們使用網(wǎng)絡來獲取資料,在網(wǎng)絡上辦公、娛樂,但是安全意識卻明顯薄弱,他們不愿意或者疏于安裝防火墻、殺毒軟件。
此外,我們的網(wǎng)絡管理者會發(fā)現(xiàn),還面臨這其他一些挑戰(zhàn),比如:
1) 用戶可以在隨意接入網(wǎng)絡,出現(xiàn)安全問題后無法追查到用戶身份;
2) 網(wǎng)絡病毒泛濫,網(wǎng)絡攻擊成上升趨勢。安全事件從發(fā)現(xiàn)到控制,基本采取手工方式,難以及時控制與防范;
3) 對于未知的安全事件和網(wǎng)絡病毒,無法控制;
4) 用戶普遍安全意識不足,校方單方面的安全控制管理,難度大;
5) 現(xiàn)有安全設(shè)備工作分散,無法協(xié)同管理、協(xié)同工作,只能形成單點防御。各種安全設(shè)備管理復雜,對于網(wǎng)絡的整體安全性提升有限。
6) 某些安全設(shè)備采取網(wǎng)絡內(nèi)串行部署的方式,容易造成性能瓶頸和單點故障;
7) 無法對用戶的網(wǎng)絡行為進行記錄,事后審計困難;
總之,網(wǎng)絡安全保障已經(jīng)成為各相關(guān)部門的工作重點之一,我國互聯(lián)網(wǎng)的安全態(tài)勢將有所改變。
2 入侵檢測概述
James Aderson在1980年使用了“威脅”概述術(shù)語,其定義與入侵含義相同。將入侵企圖或威脅定義未經(jīng)授權(quán)蓄意嘗試訪問信息、竄改信息、使系統(tǒng)不可靠或不能使用。Heady給出定外的入侵定義,入侵時指任何企圖破壞資源的完整性、機密性及可用性的活動集合。Smaha從分類角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務、惡意使用六種類型。
從技術(shù)上入侵檢測系統(tǒng)可分為異常檢測型和誤用檢測型兩大類。異常入侵檢測是指能夠根據(jù)異常行為和使用計算機資源情況檢測出來的入侵。異常檢測試圖用定量方式描述可接受的行為特征,以區(qū)別非正常的、潛在入侵。誤用入侵檢測是指利用已知系統(tǒng)和應用軟件的弱點攻擊模式來檢測入侵。與異常入侵檢測相反,誤用入侵檢測能直接檢測不利的或不可接受的行為,而異常入侵檢測是檢查同正常行為相違背的行為。
從系統(tǒng)結(jié)構(gòu)上分,入侵檢測系統(tǒng)大致可以分為基于主機型、基于網(wǎng)絡型和基于主體型三種。
基于主機入侵檢測系統(tǒng)為早期的入侵檢測系統(tǒng)結(jié)構(gòu)、其檢測的目標主要是主機系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件,檢測系統(tǒng)可以運行在被檢測的主機上。這種類型系統(tǒng)依賴于審計數(shù)據(jù)或系統(tǒng)日志準確性和完整性以及安全事件的定義。若入侵者設(shè)法逃避設(shè)計或進行合作入侵,則基于主機檢測系統(tǒng)就暴露出其弱點,特別是在現(xiàn)在的網(wǎng)絡環(huán)境下。單獨地依靠主機設(shè)計信息進行入侵檢測難以適應網(wǎng)絡安全的需求。這主要表現(xiàn),一是主機的審計信息弱點,如易受攻擊,入侵者可通過通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計本身更低級的操作來逃避審計。二是不能通過分析主機審計記錄來檢測網(wǎng)絡攻擊(域名欺騙、端口掃描等)。因此,基于網(wǎng)絡入侵檢測系統(tǒng)對網(wǎng)絡安全是必要的,這種檢測系統(tǒng)根據(jù)網(wǎng)絡流量、協(xié)議分析、簡單網(wǎng)絡管理協(xié)議信息等數(shù)據(jù)檢測入侵。主機和網(wǎng)絡型的入侵檢測系統(tǒng)是一個統(tǒng)一集中系統(tǒng),但是,隨著網(wǎng)絡系統(tǒng)結(jié)構(gòu)復雜化和大型化,系統(tǒng)的弱點或漏洞將趨向于分布式。另外,入侵行為不再是單一的行為,而是表現(xiàn)出相互協(xié)作入侵特點。入侵檢測系統(tǒng)要求可適應性、可訓練性、高效性、容錯性、可擴展性等要求。不同的IDS之間也需要共享信息,協(xié)作檢測。于是,美國普度大學安全研究小組提出基于主體入侵檢測系統(tǒng)。其主要的方法是采用相互獨立運行的進程組(稱為自治主體)分別負責檢測,通過訓練這些主體,并觀察系統(tǒng)行為,然后將這些主體認為是異常的行為標記出來,并將檢測結(jié)果傳送到檢測中心。另外,S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。
對于入侵檢測系統(tǒng)評估,主要性能指標有:
1) 可靠性――系統(tǒng)具有容錯能力和可連續(xù)運行;
2) 可用性――系統(tǒng)開銷要最小,不會嚴重降低網(wǎng)絡系統(tǒng)性能;
3) 可測試――通過攻擊可以檢測系統(tǒng)運行;
4) 適應性――對系統(tǒng)來說必須是易于開發(fā)和添加新的功能,能隨時適應系統(tǒng)環(huán)境的改變;
5) 實時性――系統(tǒng)能盡快地察覺入侵企圖以便制止和限制破壞;
6) 準確性――檢測系統(tǒng)具有低的誤警率和漏警率;
7) 安全性――檢測系統(tǒng)必須難于被欺騙和能夠保護自身安全[4]。
3 協(xié)作式入侵檢測系統(tǒng)模型
隨著黑客入侵手段的提高,尤其是分布式、協(xié)同式、復雜模式攻擊的出現(xiàn)和發(fā)展,傳統(tǒng)、單一、缺乏協(xié)作的入侵檢測技術(shù)已不能滿足需求,要有充分的協(xié)作機制,下面就提出協(xié)作式入侵檢測的基本模型。
3.1 協(xié)作式入侵檢測系統(tǒng)由以下幾個部分組成
1) 安全認證客戶端(SU)。能夠執(zhí)行端點防護功能,并參與用戶的身份認證過程。參與了合法用戶的驗證工作完成認證計費操作,而且還要完成安全策略接收、系統(tǒng)信息收集、安全漏洞上傳,系統(tǒng)補丁接收修復等大量的工作,對系統(tǒng)的控制能力大大增強。
2) 安全計費服務器(SMA)。承擔身份認證過程中的Radius服務器角色,負責對網(wǎng)絡用戶接入、開戶,計費等系統(tǒng)管理工作外,還要負責與安全管理平臺的聯(lián)動,成為協(xié)作式入侵檢測系統(tǒng)中非常重要的一個環(huán)節(jié)。
3) 安全管理平臺(SMP)。用于制定端點防護策略、網(wǎng)絡攻擊防護防止規(guī)則,協(xié)調(diào)系統(tǒng)中的其他組件在網(wǎng)絡資源面臨的安全威脅進行防御,能夠完成事前預防、事中處理、事后記錄等三個階段的工作。智能的提供一次配置持續(xù)防護的安全服務。
4) 安全事件解析器(SEP)。接收處理NIDS發(fā)送過來的網(wǎng)絡攻擊事件信息,處理后發(fā)送給安全管理平臺,目的是屏弊不同廠家的NIDS的差異,把不同廠商、不同的入侵事件轉(zhuǎn)換成統(tǒng)一的安全管理平臺能處理的格式轉(zhuǎn)發(fā)給安全管理平臺,便于安全管理平臺處理。
5) 入侵檢測系統(tǒng)(IDS)。網(wǎng)絡入侵檢測設(shè)備,對網(wǎng)絡流量進行旁路監(jiān)聽,檢測網(wǎng)絡攻擊事件,并通過SEP向安全管理平臺反饋網(wǎng)絡攻擊事件,由安全管理平臺處埋這些攻擊事件。一個網(wǎng)絡中可以布暑多個IDS設(shè)備。
入侵檢測系統(tǒng)由三個部分組成:
1) Sensor探測器,也就是我們??吹降挠布O(shè)備,它的作用是接入網(wǎng)絡環(huán)境,接收和分析網(wǎng)絡中的流量。
2) 控制臺:提供GUI管理界面,配置和管理所有的傳感器并接收事件報警、配置和管理對于不同安全事件的響應方式、生成并查看關(guān)于安全事件、系統(tǒng)事件的統(tǒng)計報告,控制臺負責把安全事件信息顯示在控制臺上。
3) EC(Event Collector)事件收集器,它主要起以下作用:負責從sensor接收數(shù)據(jù)、收集sensor日志信息、負責把相應策略及簽名發(fā)送給sensor、管理用戶權(quán)限、提供對用戶操作的審計,向SEP發(fā)送入侵事件等工作。EC可以和控制臺安裝在同一個工作站中。
3.2 協(xié)作式入侵檢測系統(tǒng)中組件間的交互過程
1) SAM和SMP的交互過程
在協(xié)作式入侵檢測系統(tǒng)中,SMP同SAM的關(guān)系就是,SMP連接到SAM。連接成功后,接收SAM發(fā)送的接入用戶上線,下線消息。Su上線,SAM發(fā)送用戶上線消息。Su下線,SAM發(fā)送用戶下線消息。Su重認證,SAM發(fā)送用戶上線消息。
2) JMS相關(guān)原理
SMP同SAM之間的交互是通過JMS(Java Message Service)。SAM啟動JBoss自帶的JMS服務器,該服務器用于接收和發(fā)送JMS消息。SAM同時也作為JMS客戶端(消息生產(chǎn)者),負責產(chǎn)生JMS信息,并且發(fā)送給JMS服務器,SMP也是JMS客戶端(消息消費者)。目前SAM所實現(xiàn)的JMS服務器是以“主題”的方式的,即有多少個JMS客戶端到JMS服務器訂閱JMS消息,JMS服務器就會發(fā)送給多少個JMS客戶端。當然了消息生產(chǎn)者也可以多個。相當于JMS服務器(如SAM)是一個郵局,其它如JMS客戶端(如SMP,NTD)都是訂閱雜志的用戶,同時SAM也作為出版商產(chǎn)生雜志。這樣,SAM產(chǎn)生用戶上下線消息,發(fā)送到SAM所在Jboss服務器的JMS服務器中,JMS服務器發(fā)現(xiàn)SMP訂閱了該消息,則發(fā)送該消息給SMP。
在協(xié)作式入侵檢測系統(tǒng)中,SMP就是JMS客戶端,SAM既作為JMS消息生產(chǎn)者,也作為JMS服務器。當SMP啟動時,SMP通過1099端口連接到SAM服務器,并且進行JMS消息的訂閱,訂閱成功后,即表示SMP同SAM聯(lián)動成功。當用戶通過su上線成功后,SAM根據(jù)JMS的格式,產(chǎn)生一條JMS信息,然后發(fā)送給JMS服務器,JMS服務器檢查誰訂閱了它的JMS消息,然后發(fā)送給所有的JMS用戶。
3) SU和SMP的交互過程
間接交互:對于Su上傳的端點防護HI狀態(tài)(成功失?。琀I配置文件更新請求,每個Su請求的響應報文,SMP下發(fā)給Su的相關(guān)命令,均通過交換機進行透傳,即上傳的信息都包含再SNMP Trap中,下發(fā)的信息都包含在SNMP Set報文中。交換機將Su上傳的EAPOL報文封裝在SNMP Trap包中,轉(zhuǎn)發(fā)給SMP。交換機將SMP下發(fā)的SNMP Set報文進行解析,提取出其中包含的EAPOL報文,直接轉(zhuǎn)發(fā)給Su。這樣就實現(xiàn)了Su同SMP的間接交互,隱藏了SMP的位置。
直接交互:對于一些數(shù)據(jù)量較大的交互,無法使用EAPOL幀進行傳輸(幀長度限制)。因此Su從SMP上面下載HI配置文件(FTP服務,端口可指定),Su發(fā)送主機信息給SMP的主機信息收集服務(自定義TCP協(xié)議,端口5256,能夠通過配置文件修改端口),都是由SU和SMP直接進行交互。
4) SMP同交換機之間的交互
交換機發(fā)送SNMP Trap報文給SMP。交換機發(fā)送的SNMP Trap都是用于轉(zhuǎn)發(fā)Su上傳的消息,如果沒有Su,交換機不會發(fā)送任何同GSN方案相關(guān)的Trap給SMP的。
SMP發(fā)送SNMP Get和SNMP Set給交換機:a) 在用戶策略同步時,會先通過SNMP Get報文從交換機獲取交換機的策略情況;b) 安裝刪除策略時,SMP將策略相關(guān)信息發(fā)送SNMP Set報文中,發(fā)送給交換機;c) 對用戶進行重人證,強制下線,獲取HI狀態(tài),手動獲取主機信息等命令,都是通過SNMP Set發(fā)送給交換機的,然后由交換機解釋后,生成eapol報文,再發(fā)送給su,由su進行實際的操作。
5) SMP與SEP交互
SEP在收到NIDS檢測到的攻擊事件后(這個攻擊事件是多種廠商的NIDS設(shè)備通過Syslog、UDP、SNMP等報文的形式發(fā)送到SEP的),SEP處理完這些不同廠商發(fā)現(xiàn)不同攻擊事件的信息后,以UDP的方式發(fā)送到SMP中,完成SEP和SMP的交互過程,這是一個單向的過程,也就是說SMP只從SEP中接收數(shù)據(jù),而不向SEP發(fā)送數(shù)據(jù)。
6) SEP與NIDS交互
首先NIDS檢測到某個IP和MAC主機對網(wǎng)絡的攻擊事件,并把結(jié)果通過Syslog、UDP、SNMP等報文的形式發(fā)送到SEP(安全事件解析器),安全事件解析器SEP再把這個攻擊事件通過UDP報文轉(zhuǎn)發(fā)到SMP(安全管理平臺)。
3.3 協(xié)作式入侵檢測系統(tǒng)工作原理及數(shù)據(jù)流圖
協(xié)作式入侵檢測系統(tǒng)工作原理:
1) 身份認證――用戶通過安全客戶端進行身份認證,以確定其在該時間段、該地點是否被允許接入網(wǎng)絡;
2) 身份信息同步――用戶的身份認證信息將會從認證計費管理平臺同步到安全策略平臺。為整個系統(tǒng)提供基于用戶的安全策略實施和查詢;
3) 安全事件檢測――用戶訪問網(wǎng)絡的流量將會被鏡像給入侵防御系統(tǒng),該系統(tǒng)將會對用戶的網(wǎng)絡行為進行檢測和記錄;
4) 安全事件通告――用戶一旦觸發(fā)安全事件,入侵防御系統(tǒng)將自動將其通告給安全策略平臺;
5) 自動告警――安全策略平臺收到用戶的安全事件后,將根據(jù)預定的策略對用戶進行告警提示;
6) 自動阻斷(隔離)――在告警提示的同時,系統(tǒng)將安全(阻斷、隔離)策略下發(fā)到安全交換機,安全交換機將根據(jù)下發(fā)的策略對用戶數(shù)據(jù)流進行阻斷或?qū)τ脩暨M行隔離;
7) 修復程序鏈接下發(fā)――被隔離至修復區(qū)的用戶,將能夠自動接收到系統(tǒng)發(fā)送的相關(guān)修復程序鏈接;
8) 自動獲取并執(zhí)行修復程序――安全客戶端收到系統(tǒng)下發(fā)的修復程序連接后,將自動下載并強制運行,使用戶系統(tǒng)恢復正常。
協(xié)作式入侵檢測數(shù)據(jù)流圖見圖3。
4 結(jié)束語
由于各高校實力不一、校園網(wǎng)規(guī)模不一,出現(xiàn)了許多問題,其中最主要的是“有硬無軟”和“重硬輕軟” 。特別是人們的安全意識淡薄,雖然網(wǎng)絡安全硬件都配備齊全,但關(guān)于網(wǎng)絡的安全事故卻不斷發(fā)生,使校園網(wǎng)的安全面臨極大的威脅。因此,隨著校園網(wǎng)規(guī)模的不斷擴大,如何確保校園網(wǎng)正常、高效和安全地運行是所有高校都面臨的問題。該文結(jié)合高?,F(xiàn)在實際的網(wǎng)絡環(huán)境,充分利用各種現(xiàn)有設(shè)備,構(gòu)建出協(xié)作式入侵檢測系統(tǒng),實現(xiàn)了“多兵種協(xié)同作戰(zhàn)” 的全局安全設(shè)計,同時將安全結(jié)構(gòu)覆蓋網(wǎng)絡傳輸設(shè)備(網(wǎng)絡交換機、路由器等)和網(wǎng)絡終端設(shè)備(用戶PC、服務器等),成為一個全局化的網(wǎng)絡安全綜合體系。
參考文獻:
[1] CNCERT/CC[P].網(wǎng)絡安全工作報告,2007.
[2] 張曉芬,陳明奇,等.入侵檢測系統(tǒng)(IDS)的發(fā)展[J].信息安全與通信保密,2002(03).
一、加強學習,不斷提高。認真學習黨的十七大精神,在自學和組織學習的基礎(chǔ)上,學習緊緊圍繞主題,深刻領(lǐng)會科學發(fā)展觀的科學內(nèi)涵,探求發(fā)展規(guī)律,收到良好效果。學習溫總理《政府工作報告》、學習《》(修正案),學習抗震救災英雄教師的先進事跡。通過教育學習,大家的精神面貌更加振奮,主人翁意識更加堅定,服務態(tài)度更加熱情,工作責任心進一步增強。
二、積極開展節(jié)能減排活動,向管理要效益。為完善制度,規(guī)范管理,今年制定了《關(guān)于開展節(jié)能減排活動的意見》。把牢節(jié)電關(guān),減少浪費;針對部分公共部位長明燈現(xiàn)象,明確最終責任人,從點滴做好節(jié)電工作。在洗刷間,張貼節(jié)水宣傳錄,以提高師生節(jié)水意識;加強巡查,及時發(fā)現(xiàn)修復壞損水設(shè)備,減少跑漏;適時進行管線改造,從源頭采取措施,努力做好節(jié)水工作。保證了學校用水需要。今年電費開支約1.5萬元,比減少1萬元。爭取在安全用電、降低用水方面進一步做好工作。
三、規(guī)范操作,積極做好校舍維修。積極從多方渠道爭取資金完成了對教學樓的部分教室維修粉刷工作;完成了日常房屋和相關(guān)設(shè)備維修工作。及時對下水道、化糞池的漏水、漏糞影響社區(qū)居民的實際問題進行了解決。
四、規(guī)范物品采購,把好質(zhì)價關(guān)。對于納入政府采購的物品,依據(jù)相關(guān)政策法規(guī)進行規(guī)范操作。對于不納入政府采購的常用物品,堅持做到“貨比三家”,定期比價,及時掌握市場行情,以確保所采購的各類物品質(zhì)優(yōu)價廉,全年累計采購常用物品1萬余元。在工作中能積極做好各部門急需物品的采購工作,努力保證物品急時供給。
五、加強資產(chǎn)管理,提高保障服務水平。嚴格執(zhí)行學校制定的各項資產(chǎn)管理制度。做好校產(chǎn)的驗收、移交、調(diào)撥、報廢等方面的日常管理工作;做好各類資產(chǎn)報表的統(tǒng)計工作;做好每學期固定資產(chǎn)清查核和低值品的核對工作,確保各類資產(chǎn)的安全性和數(shù)據(jù)資料的準確性。做好低值耐用品的日常管理和常用辦公用品、設(shè)備耗材等物資的保障、發(fā)放工作;注意抓好物品管理協(xié)調(diào)工作,努力使“物盡其用”,避免不必要的浪費。全年發(fā)放常用辦公用品和設(shè)備耗材近萬元。
六、規(guī)范食堂管理,提高飯菜質(zhì)量。確保食堂保障正常。針對學生家庭困難的特點,主動與他們溝通,適時召開師生座談會,分析情況,征求意見,在物價居高不下,成本不斷提高的情況下,通過努力使食堂管理逐步規(guī)范,伙食保障基本平穩(wěn),服務水平不斷提高。
七、建立廣泛的信息渠道,努力做好日常維修及通信保障工作。日常維修點多面廣項目多,為實現(xiàn)維修工作快速及時的承諾,維修管理人員根據(jù)學校實際,學生宿舍由以前宿管員每日報修改為主動上門巡察服務,實現(xiàn)了日常維修快速及時的承諾。對公共設(shè)施設(shè)備的維修,堅持巡視檢查制度,發(fā)現(xiàn)問題,及時修理,保障了教學服務和教學需要。認真做好通信設(shè)施維護工作,確保電話線路的暢通。
八、高標準做好校園保潔保綠工作。高標準做好校園綠化和校園保潔工作。為進一步提高保潔水平,繼續(xù)堅持不間斷保潔,加強崗位操作制度和巡檢制度的落實?;攫B(yǎng)護工作在做好澆水、施肥、剪修和防治蟲害的同時,注重在養(yǎng)肥養(yǎng)秀方面下功夫。通過共同努力,校園綠化和保潔水平不斷提升。
九、進一步深化“平安校園”建設(shè)。根據(jù)學校年度安全工作部署,以“區(qū)級治安安全示范單位”建設(shè)為目標,強化校內(nèi)社會治安綜合治理,努力確保師生人身安全、學校財產(chǎn)安全,切實維護學校的安全穩(wěn)定,較好地完成了年初制訂的工作計劃,基本實現(xiàn)了預期目標。健全制度預案,促進規(guī)范有序管理。滅火和應急疏散預案、應急救治和疾病預防措施、處置食物中毒事件應急預案等,為最大程度地預防各類突發(fā)事件和減少突發(fā)事件造成的損失,保證師生的生命和財產(chǎn)安全,維護校園穩(wěn)定提供了制度保障。突出工作重點,確保校園安全穩(wěn)定。校內(nèi)各類人員進出難以控制,給安全管理工作帶來很大難度,年秋學校通過各方努力將后門通道進行了封堵。開展在校生安全防范教育。
一年來,積極配合派出所、交警隊、森林派出所等單位通過多形式、多渠道開展在校生的法制教育及交通安全、人身安全、網(wǎng)絡安全、危害、森林火災等方面的宣傳教育,進一步增強了在校生的法制觀念、安全意識,提高了學生防范自救的能力和參與和諧平安校園建設(shè)的積極性。在校園主要通道、公共部位安裝了監(jiān)控探頭,并對所有監(jiān)控設(shè)施進行了整合,將控制室移至門衛(wèi)室。目前,校園內(nèi)重點要害部位實現(xiàn)了監(jiān)控全覆蓋,為確保學校財產(chǎn)安全和及時發(fā)現(xiàn)處理安全隱患、事故苗頭提供了有力保障。貫徹防消結(jié)合的消防工作方針,落實防火責任制。為確保學校的防火安全,嚴格執(zhí)行消防安全制度,每月進行全面的消防專項檢查,對校內(nèi)所有消防設(shè)施、器材進行定期保養(yǎng)、更新。確保了消防設(shè)施配備合理、安全有效。為提高處置能力,年秋季組織了一次由保安、宿管員和各重點防范部位責任人參加的消防安全教育和滅火演練。