網絡資產安全管理
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡資產安全管理范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡資產安全管理范文第1篇
隨著寬帶網絡和用戶規模的不斷增長,用戶對寬帶接入業務的高可用性要求不斷增強,對電信運營商在IP城域、接入網絡和支撐系統提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關技術入手,結合電信IP城域網,提出電信IP城域網安全管理、風險評估和加固的實踐方法建議。
關鍵字(Keywords):
安全管理、風險、弱點、評估、城域網、IP、AAA、DNS
1信息安全管理概述
普遍意義上,對信息安全的定義是“保護信息系統和信息,防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏,保證信息系統能夠連續、可靠、正常的運行”。所以說信息安全應該理解為一個動態的管理過程,通過一系列的安全管理活動來保證信息和信息系統的安全需求得到持續滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。
信息安全管理的本質,可以看作是動態地對信息安全風險的管理,即要實現對信息和信息系統的風險進行有效管理和控制。標準ISO15408-1(信息安全風險管理和評估規則),給出了一個非常經典的信息安全風險管理模型,如下圖一所示:
圖一信息安全風險管理模型
既然信息安全是一個管理過程,則對PDCA模型有適用性,結合信息安全管理相關標準BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT(計劃-實施與部署-監控與評估-維護和改進)的循環過程。
圖二信息安全體系的“PDCA”管理模型
2建立信息安全管理體系的主要步驟
如圖二所示,在PLAN階段,就需要遵照BS7799等相關標準、結合企業信息系統實際情況,建設適合于自身的ISMS信息安全管理體系,ISMS的構建包含以下主要步驟:
(1)確定ISMS的范疇和安全邊界
(2)在范疇內定義信息安全策略、方針和指南
(3)對范疇內的相關信息和信息系統進行風險評估
a)Planning(規劃)
b)InformationGathering(信息搜集)
c)RiskAnalysis(風險分析)
uAssetsIdentification&valuation(資產鑒別與資產評估)
uThreatAnalysis(威脅分析)
uVulnerabilityAnalysis(弱點分析)
u資產/威脅/弱點的映射表
uImpact&LikelihoodAssessment(影響和可能性評估)
uRiskResultAnalysis(風險結果分析)
d)Identifying&SelectingSafeguards(鑒別和選擇防護措施)
e)Monitoring&Implementation(監控和實施)
f)Effectestimation(效果檢查與評估)
(4)實施和運營初步的ISMS體系
(5)對ISMS運營的過程和效果進行監控
(6)在運營中對ISMS進行不斷優化
3IP寬帶網絡安全風險管理主要實踐步驟
目前,寬帶IP網絡所接入的客戶對網絡可用性和自身信息系統的安全性需求越來越高,且IP寬帶網絡及客戶所處的信息安全環境和所面臨的主要安全威脅又在不斷變化。IP寬帶網絡的運營者意識到有必要對IP寬帶網絡進行系統的安全管理,以使得能夠動態的了解、管理和控制各種可能存在的安全風險。
由于網絡運營者目前對于信息安全管理還缺乏相應的管理經驗和人才隊伍,所以一般采用信息安全咨詢外包的方式來建立IP寬帶網絡的信息安全管理體系。此類咨詢項目一般按照以下幾個階段,進行項目實踐:
3.1項目準備階段。
a)主要搜集和分析與項目相關的背景信息;
b)和客戶溝通并明確項目范圍、目標與藍圖;
c)建議并明確項目成員組成和分工;
d)對項目約束條件和風險進行聲明;
e)對客戶領導和項目成員進行意識、知識或工具培訓;
f)匯報項目進度計劃并獲得客戶領導批準等。
3.2項目執行階段。
a)在項目范圍內進行安全域劃分;
b)分安全域進行資料搜集和訪談,包括用戶規模、用戶分布、網絡結構、路由協議與策略、認證協議與策略、DNS服務策略、相關主機和數據庫配置信息、機房和環境安全條件、已有的安全防護措施、曾經發生過的安全事件信息等;
c)在各個安全域進行資產鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析,形成資產表、威脅評估表、風險評估表和風險關系映射表;
d)對存在的主要風險進行風險等級綜合評價,并按照重要次序,給出相應的防護措施選擇和風險處置建議。
3.3項目總結階段
a)項目中產生的策略、指南等文檔進行審核和批準;
b)對項目資產鑒別報告、風險分析報告進行審核和批準;
c)對需要進行的相關風險處置建議進行項目安排;
4IP寬帶網絡安全風險管理實踐要點分析
運營商IP寬帶網絡和常見的針對以主機為核心的IT系統的安全風險管理不同,其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風險管理的方法和資料。在項目執行的不同階段,需要特別注意以下要點:
4.1安全目標
充分保證自身IP寬帶網絡及相關管理支撐系統的安全性、保證客戶的業務可用性和質量。
4.2項目范疇
應該包含寬帶IP骨干網、IP城域網、IP接入網及接入網關設備、管理支撐系統:如網管系統、AAA平臺、DNS等。
4.3項目成員
應該得到運營商高層領導的明確支持,項目組長應該具備管理大型安全咨詢項目經驗的人承擔,且項目成員除了包含一些專業安全評估人員之外,還應該包含與寬帶IP相關的“業務與網絡規劃”、“設備與系統維護”、“業務管理”和“相關系統集成商和軟件開發商”人員。
4.4背景信息搜集:
背景信息搜集之前,應該對信息搜集對象進行分組,即分為IP骨干網小組、IP接入網小組、管理支撐系統小組等。分組搜集的信息應包含:
a)IP寬帶網絡總體架構
b)城域網結構和配置
c)接入網結構和配置
d)AAA平臺系統結構和配置
e)DNS系統結構和配置
f)相關主機和設備的軟硬件信息
g)相關業務操作規范、流程和接口
h)相關業務數據的生成、存儲和安
全需求信息
i)已有的安全事故記錄
j)已有的安全產品和已經部署的安全控制措施
k)相關機房的物理環境信息
l)已有的安全管理策略、規定和指南
m)其它相關
4.5資產鑒別
資產鑒別應該自頂向下進行鑒別,必須具備層次性。最頂層可以將資產鑒別為城域網、接入網、AAA平臺、DNS平臺、網管系統等一級資產組;然后可以在一級資產組內,按照功能或地域進行劃分二級資產組,如AAA平臺一級資產組可以劃分為RADIUS組、DB組、計費組、網絡通信設備組等二級資產組;進一步可以針對各個二級資產組的每個設備進行更為細致的資產鑒別,鑒別其設備類型、地址配置、軟硬件配置等信息。
4.6威脅分析
威脅分析應該具有針對性,即按照不同的資產組進行針對性威脅分析。如針對IP城域網,其主要風險可能是:蠕蟲、P2P、路由攻擊、路由設備入侵等;而對于DNS或AAA平臺,其主要風險可能包括:主機病毒、后門程序、應用服務的DOS攻擊、主機入侵、數據庫攻擊、DNS釣魚等。
4.7威脅影響分析
是指對不同威脅其可能造成的危害進行評定,作為下一步是否采取或采取何種處置措施的參考依據。在威脅影響分析中應該充分參考運營商意見,尤其要充分考慮威脅發生后可能造成的社會影響和信譽影響。
4.8威脅可能性分析
是指某種威脅可能發生的概率,其發生概率評定非常困難,所以一般情況下都應該采用定性的分析方法,制定出一套評價規則,主要由運營商管理人員按照規則進行評價。
網絡資產安全管理范文第2篇
關鍵詞:網絡安全;地面測發控
中圖分類號:TP311
我國航天研制、發射任務日益增加,信息環境復雜、多樣,導致測發控信息暴露于越來越多、越來越廣的威脅和脆弱性當中,測發控信息資產需要加以適應的保護。同時,測發控網絡系統建立年代較早,其網絡安全性設計與意識遠遠落后。因此,保障網絡正常安全運行并建立測發控網絡安全管理系統是測發控網絡的工作重點,加強網絡安全管理迫在眉睫。
1 測發控網絡安全現狀
目前,網絡安全防護采用“技術30%,管理70%”的布局,偏頗管理和加強人員網絡安全意識的效力,并且技術上僅通過采用殺毒軟件、防火墻以實現網絡安全防護,技術措施單一,缺乏解決深層次網絡安全問題和威脅的能力。現有測發控網絡安全圖如圖1所示。為此,從系統綜合整體的角度去看待、分析,在提供靈活且高效的網絡通訊及信息服務,組成并協調建立地面測發控網絡安全系統已事在必行。
2 新型網絡安全管理系統
2.1 新型網絡安全管理功能
測發控網絡安全的解決是一個綜合性問題,涉及到諸多因素,包括技術、產品和管理等。進行網絡安全體系建設,要綜合考慮、注重實效,在考慮網間安全、防火墻、病毒查殺、入侵檢測,甚至身份認證等系統來解決有關外部黑客入侵、病毒困擾時,也要同時考慮來自內部網絡的可信環境下的非授權網絡行為和授權濫用行為,才可能最大限度的構建和諧、干凈的測發控網絡環境。測發控網絡安全管理系統主要實現以下功能:
(1)對測發控網絡分系統工作站進行集中的安全保護、監控、審計和管理;
(2)防范非法設備接入內網,確保測發控網絡內網安全;
(3)整體規劃測發控網絡與設備的網絡傳輸行為的計算機網絡安全設備;
(4)建立網間防護,保證各分系統與C3I、異地協同網絡之間的網間安全;
(5)安全隔離與信息交換與數據加密,保障測試數據在網絡傳輸過程中可靠完整;
(6)測發控網絡設備與工作站等資產的統一配置、監控、預警、評估、響應,策略、檢測、防護,實現安全資產和安全信息的歸一化等功能。
2.2 測發控網絡安全管理系統組成
立足現有測發控網絡現狀,結合遠期異地協同規劃,測發控網絡安全管理確保在安全、可靠和保密的網絡環境下完成測試任務,幫助各分系統網絡設備使用統一優化、規范管理,并在遠期實現與北京總部的異地協同項目加強網間安全。
測發控網絡安全管理系統
(1)安全防護子系統。安全防護子系統可以對內部終端計算機進行集中的安全保護、監控、審計和管理,可自動向終端計算機分發系統補丁,禁止重要信息通過外設和端口泄漏,防止終端計算機非法外聯,防范非法設備接入內網,有效地管理終端資產等。
安全防護子系統由客戶端模塊、服務器模塊、控制臺三部分組成。客戶端模塊對終端計算機進行監控,需要部署于每臺需要被管理的終端計算機上,用于收集數據信息,并執行來自服務器模塊的指令。服務器模塊存儲終端安全策略、終端計算機信息、漏洞補丁數據等等,并由服務器向終端計算機客戶模塊發送指令。
(2)網間防護子系統。采用安全邊際技術,通過防火墻、防病毒墻、入侵防護等技術,整體規劃測發控網絡或網絡設備的網絡傳輸行為的計算機網絡安全設備,增加子網與網間安全,實時動態保護技術以全面、有效地保護網絡不受侵害,使測發控網絡與異地協同網絡實現數據交換。
(3)數據加密子系統。通過安全隔離與信息交換與數據加密,保障數據在網絡傳輸過程中可靠完整,保護關鍵業務的機密數據安全,同時保障數據在傳輸過程中不被破壞和惡意竊取。網絡加密機制建立可信的安全連接,保證數據的安全傳輸,實現安全通信的虛擬專用線路,提供全面、可靠、安全和多層次的數據保護。
(4)管理配置子系統。以資產設備為中心,通過策略配置、設備監控、審計預警、態勢評估、安全響應的全流程管理,進行安全資產和安全信息的歸一化處理、監控、分析、審計、報警、響應、存儲和報告等功能。管理配置子系統采用三層分布式體系結構,主要由被管對象層、管理中心層、控制臺層組成。
3 結論
新型地面測發控網絡安全管理系統立足現有測發控網絡,解決現有病毒查殺費時費力、網絡設備與存儲介質的管理失控、各分系統應用軟件安裝不受控、IP地址更改隨意等現狀;結合異地協同項目,完善管理配置子系統網間防護子系統,統籌規劃各分系統子網與C3I之間的網絡架構,消除網絡邊際隱患。同時,建立集中安全信息管理系統;加強應用覆蓋范圍。
新型網絡安全管理系統以測發控網絡為基點,重新規劃、提高和完善測試環境,從軟件和硬件上采取控制措施以避免安全漏洞,提高測發控網絡安全水平,在測發控網絡中具有極為重要的意義。
參考文獻:
網絡資產安全管理范文第3篇
【 關鍵詞 】 互聯網;安全;防御;威脅
Key Measures of the "Internet +" Under the New Normal, Safe Operation of the Internet
Xiong Wei
(CPC Hunan Provincial Committee Party School HunanXiangtan 410006 )
【 Abstract 】 With cloud computing, distributed computing, rapid development of mobile computing technology and improve the development of a new generation of computer technology gave birth to the "Internet +" era, to achieve widespread popularity of the Internet in industrial production, commerce, and virtual reality in and achieved remarkable results. "Internet +" era of many types of network applications, applications scale complex and require strict network security management system and preventive measures, in order to be able to improve network security defense capabilities to ensure the normal application of network security.
【 Keywords 】 internet; security; defense; threats
1 引言
目前,隨著新一代信息技術地發展和改進,其催生了物聯網、社會計算、云計算、大數據、移動計算等技術,進而實現了網絡創新2.0,推動了創新2.0的改革和演變,形成了體驗實驗區、個人創造實驗室、應用創新園區、維基模式等應用系統的誕生,實現了傳統行業與互聯網融合發展,形成了“互聯網+”時代的新業態和新形態。“互聯網+”時代促進了各類基于網絡的應用系統誕生和普及,以云計算、物聯網、車聯網、大數據為代表的新一代信息技術與工業制造、生產服務、金融經濟融合創新,打造了新的產業增長點,為大眾創業、萬眾創新提供了新的環境,支撐產業智能化、經濟發展創新化發展。隨著人類信息化社會進入“互聯網+”時代,互聯網應用規模迅速上升,復雜程度也大幅度增加,互聯網新常態下面臨了更多的安全威脅,具體表現在幾個方面。
(1)“互聯網+”時代安全威脅更加智能。“互聯網+”時代的到來,促進了網絡木馬、病毒和黑客攻擊技術的提升,導致網絡安全威脅日趨智能化,能夠發現互聯網應用系統存在的、更加隱蔽的風險和漏洞進行攻擊。
(2)“互聯網+”時代安全威脅傳播范圍廣、速度快。“互聯網+”時代,云計算技術、分布式計算技術、移動計算技術使更多的網絡節點通過光纖網絡連接在一起,如果一個網絡節點存在漏洞被安全威脅攻擊,則將在更短的時間內感染其他節點,產生更大的損失。
因此,為了能夠提高“互聯網+”時代網絡安全管理成效,需要創新網絡安全管理體系和模式,全方位實現網絡安全漏洞掃描和風險評估,對“互聯網+”安全管理涉及的節點資源進行審計,采用主動防御技術實現網絡安全管理,具有重要的作用和意義。
2 互聯網安全管理體系創新及其模式
2.1 網絡安全風險評估
網絡安全風險評估可以有效評估網絡軟硬件資源受到的威脅,以便能夠將安全威脅控制在可接受的范圍內。網絡安全風險評估是確定計算機網絡中是否存在潛在威脅和攻擊事件的重要工具。網絡安全風險評估包括五種基本要素,分別是資產、威脅、脆弱性、信息安全風險和安全措施。資產是指計算機網絡節點使用的、有價值的固定設備、軟件系統等有形或無形的資產。威脅是指可能對資產造成損害的一些潛在的攻擊事件或非法事件,威脅可以使用主體、動機、資源和途徑等多個屬性進行聯合刻畫。脆弱性是指可能被威脅利用的薄弱環節或漏洞,其可以對資產造成損失。信息安全風險包括自熱因素造成的風險或人為因素造成的風險,能夠利用計算機軟硬件存在的漏洞攻擊計算機網絡,破壞網絡的安全性。安全措施是指為了能夠防御計算機信息系統遭到破壞,以便能夠采用入侵檢測、防火墻等具體的措施,保護資產安全,防御安全攻擊事件發生,并且能夠用來打擊犯罪,其包括各類規范、防御技術等。
2.2 網絡安全審計
網絡安全審計可以通過數據采集、數據分析、安全審計響應等過程,能夠獲取網絡操作系統的使用狀況和設備狀態信息,并且可以將采集到的數據進行統一變換,實施預處理,接著使用數據分析技術,按照既定的安全審計規則,鑒別數據中存在的異常行為、非法行為。安全審計分析完成之后,可以根據安全審計的結果做出相關的響應操作,安全審計響應主要包括主動響應和被動響應。安全審計系統檢測到網絡中存在的異常行為之后,安全審計系統不主動做出響應;安全審計系統通過發出異常檢測報警,可以通過告警彈窗、發送短消息、郵件等到管理員處,由其他人員或者安全設備采取預防或改進措施。
2.3 網絡主動防御系統
傳統的網絡安全通常采用訪問控制列表、防火墻、包過濾、入侵檢測等技術,雖然能夠阻止網絡木馬、病毒和黑客的攻擊。但是隨著“互聯網+”時代的到來,網絡安全威脅技術日趨智能,傳播速度越來越快,感染范圍也越來越廣泛,傳統網絡安全防御已經無法滿足“互聯網+”時代網絡安全管理需求,因此在網絡安全管理過程中,可以采用網絡安全主動防御技術提高網絡安全管理能力。網絡安全主動防御技術主要包括預警、防護、檢測、響應、恢復和反擊六種,將這六種技術有機集成在一起,分布于網絡安全防御的不同層次,構建深度防御體系,能夠及時地發現大數據時代網絡中非法入侵信息和不正常數據,以便能夠及時地對攻擊行為進行阻斷、反擊,恢復網絡至正常的運行狀態。
3 互聯網安全運營的關鍵措施
3.1 管理措施
“互聯網+”時代,網絡應用系統使用制度具有較為重要的作用,許多計算機網絡安全專家提出,網絡安全七分防御、三分管理,因此可以甚至網絡安全管理制度在安全管理過程中,具有不可替代的作用。網絡安全應用用戶越來越多,網絡安全操作用戶大部分非計算機專業人才,因此需要建立健全管理制度,以便能夠規范網絡用戶操作,強化用戶網絡安全防御技術培訓,定期對網絡系統進行安全漏洞掃描和評估,并且制定網絡安全防御策略,使得網絡安全管理制度融入到工作、生活和學習過程中,通過學習、培訓,提高用戶的安全意識,增強用戶的警覺性。
3.2 技術措施
網絡安全主動防御技術主要包括安全預警、安全保護、安全監測、安全響應、網絡恢復和網絡反攻擊等六種。網絡安全預警可以有效地對網絡中可能發生的攻擊進行警告,包括漏洞預警、行為預警、攻擊趨勢預警等措施,預知網絡未來可能發生的網絡攻擊。網絡安全保護可以采用多種手段,保護網絡安全系統的機密性、可用性、完整性、不可否認性和可控性,網絡安全保護措施主要包括防病毒軟件、防火墻服務器、虛擬專用網等技術。網絡安全監測的主要目的是能夠及時地發現網絡中存在的攻擊信息,以便能夠檢測網絡中是否存在非法信息流,檢測網絡服務系統是否存在安全漏洞等,以便能夠實時地應對網絡安全攻擊,網絡安全監測技術包括入侵檢測技術、網絡安全掃描技術和網絡實時監控技術。
網絡安全響應能夠對網絡中存在的病毒、木馬等安全威脅做出及時的反應,以便進一步阻止網絡攻擊,將網絡安全威脅阻斷或者引誘到其他的備用主機上。網絡恢復技術可以為了保證網絡受到攻擊之后,能夠及時地恢復系統,需要在平時做好備份工作,常用的備份技術包括現場外備份、現場內備份和冷熱備份等。網絡安全反擊技術是主動防御系統最為重要的特征之一,其可以對網絡攻擊源進行有效的反擊,網絡安全反擊綜合采用各類網絡攻擊手段,確保網絡高效服務用戶。
4 結束語
隨著“互聯網+”時代的到來,網絡安全攻擊技術更加智能、傳播速度更快、影響范圍更加廣泛,構建和實現新的網絡安全管理系統,可以全方位實現網絡安全防御。
參考文獻
[1] 郭威,曾濤,劉偉霞.計算機網絡技術與安全管理維護的研究[J]. 信息通信, 2014, 32(10):164-164.
[2] 田紅廣.如何加強計算機網絡的安全管理和安全防范[J].軟件, 2014, 26(1):92-93.
[3] 蔡艷.探討數據挖掘技術在網絡信息安全管理中的應用[J]. 網絡安全技術與應用, 2013, 21(10):58-58.
網絡資產安全管理范文第4篇
IM和P2P淪為黑客攻擊管道
從終端來看,垃圾郵件,蠕蟲病毒,間諜軟件,針對即時通訊和P2P應用安全事件正成為終端安全隱患的主要來源。
FaceTime通訊公司最新的調查報告說,微軟的MSN網絡仍然是被攻擊得最多的即時通訊網絡,2004年和2005年都是如此,而被攻擊數量下降得最快的網絡是美國在線的AIM 網絡。即時通訊威脅對于企業的IT人員來說是一種非常大的挑戰,因為它們利用了實時通訊的管道以及全球各地的即時通訊網絡進行繁殖,它們的傳播速度比電子郵件攻擊快很多。
根據披露,2005年11月有一個國際黑客組織已經利用即時通訊軟件病毒控制了1.7萬臺個人電腦組成僵尸網絡為商業目的攻擊行為做準備。
我們也已知道,即時消息和P2P 應用在帶來方便性、實時性、新業務商機的同時,也給最終用戶、企業網絡和電信網絡帶來多方位的安全威脅。通常來說,這些安全威脅包括:邊界安全措施失效;難以控制文件數據的共享和流動,帶來病毒、木馬、蠕蟲等;容易導致知識產權損失、泄密等;由于大量使用非標準、不公開協議,使用動態、隨即、非固定的端口;難以檢測、過濾和管理;隱藏于HTTP管道中的各種潛在的隱秘通道。
我們也可以看到在復雜的網絡環境下一些有代表性的P2P網絡安全產品,提供基于包過濾特性提供針對P2P傳輸的防護,在保障安全的同時還可阻止并記錄國際上幾乎所有的P2P封殺機構(如RIAA、MPAA、MediaForce、BaySTP、NetPD等等)對計算機進行探測連接,從而避免隱私外泄,可以自動下載最新的屏蔽列表來屏蔽各種廣告、間諜軟件及研究機構對機器的掃描。
目前業界一些致力于IM/P2P的專業廠商也推出了針對保護用戶免受IM與P2P的安全威脅,將檢測和分析通過IM傳播的病毒與蠕蟲、通過IM發送的垃圾郵件“SPIM”、惡意代碼等的整體方案。
針對IM的安全管理,比如IM監控,P2P的監控等,正在成為網關級防御,針對IM和P2P,垃圾郵件監控、管理和控制等等需求和話題正在不斷催生出相關應用的針對性安全解決方案。
UTM:潮流趨勢所至
在企業級領域,由于信息基礎設施的不斷增加和應用的不斷擴展,企業公共出口的網絡安全基礎設施的布局已經發展到一定階段,隨著縱深防御概念逐漸深入,威脅已經從外部轉向內部。從產品來看,UTM(一體化的威脅管理)正在成為新的增長點。在混合攻擊肆虐的時代,單一功能的防火墻遠不能滿足業務的需要,而對于集成多種安全功能的UTM設備來說,以其基于應用協議層防御、超低誤報率檢測、高可靠高性能平臺、統一組件化管理的優勢將得到越來越多的青睞。
由于UTM設備是串聯接入的安全設備,因此UTM設備本身的性能和可靠性要求非常高,同時,UTM時代的產品形態,實際上是結合了原有的多種產品、技術精華,在統一的產品管理平臺下,集成防火墻、VPN、網關防病毒、IPS、防拒絕服務攻擊等眾多產品功能于一體,實現多種的防御功能。
鑒此,安全廠商與網絡廠商合作,共同開發和研制UTM設備將是今后發展的必然趨勢。
威脅由外轉內
對于內網安全,已經進入到內網合規性管理的階段。目前,內網安全的需求有兩大趨勢,一是終端的合規性管理,即終端安全策略、文件策略和系統補丁的統一管理;二是內網的業務行為審計,即從傳統的安全審計或網絡審計,向對業務行為審計的發展,這兩個方面都是非常重要的。
從現狀來看,根據美國洋基集團(Yankee Group)一項針對北美和西歐六百家公司的調查顯示,2005年的安全問題有六成源自內部,高于前一年的四成。該集團表示:“威脅已從外部轉向內部”。每年企業界動輒投資上千萬防毒防黑,但企業防御失效的另一個容易被忽略的問題是:來自員工、廠商或其它合法使用系統者的內部濫用。在漏洞攻擊愈來愈快速的今日,有可能因為一個訪客攜入的計算機而癱瘓幾千萬IT設備。
中小企業面臨的三大安全威脅是病毒攻擊、垃圾郵件、網絡攻擊,因而有很多廠商推出了針對中小企業的集成式套裝產品。對內網終端設備的管理,通過基于網絡的控制臺使管理員能夠從產品分發、運行監控、組件升級、配置修改、統一殺毒、應急響應等全過程,實施集中式的管理,強制部署的安全策略,有助于避免企業用戶無心過錯導致的安全漏洞。而新型病毒與黑客技術結合得越來越緊密,與此相對應,防病毒軟件與防火墻、IDS等技術配合得越來越緊密。只有多種技術相互補充配合,才可以有效對付混合威脅。
大型企業有一定的信息化基礎,對于內網安全來說,企業用戶需要實施整體的安全管理策略。 內網安全管理系統需要將安全網管、內網審計與內網監控有機地結合在一起,以解決企業內部專用網絡的安全管理、安全控制和行為監視為目標,采用主動的安全管理和安全控制的方式。將內部網絡的安全隱患以技術的手段進行有效的控制,全面保護網絡、系統、應用和數據。運用多種技術手段,從源頭上阻止了敏感信息泄漏事件的發生。
對于大型企業來說,選用的產品需要能夠自動發現關鍵業務資產,并確定威脅企業IT環境完整性的安全漏洞。通過采集實時的技術庫,并且將它們與基于風險的任務列表(帶有補救指導)中已驗證的漏洞相關聯,并且幫助企業確定哪些漏洞將影響哪些資產。最終為企業提供一份即時的關于關鍵性業務資產的風險評估。對于企業內網來說,行之有效的安全管理是各種規模企業所企盼的,固若金湯的城池,往往在內部安全威脅面前形同虛設。“內憂”勝于“外患”,企業不僅需要鑄造抵抗外部風險的縱深防御體系,同樣需要著重管理,打造安全和諧的內部環境。
網絡資產安全管理范文第5篇
【關鍵詞】安全評估 私網評估 閉環管理
中圖分類號:TP317.1 文獻標識碼:A 文章編號:1006-1010(2016)18-0062-05
1 背景研究
隨著網絡規模的不斷擴大和網絡安全事件的逐年增加,手工加輔助工具方式的傳統主機風險評估系統雖然目前運用得較廣泛,但是這種半自動的方式工作效率不高且操作麻煩,在這種情況下,實現自動化的安全評估系統成為亟待解決的重要問題[1-2]。同時,隨著中國電信安全評估檢查工作的不斷深化開展,越來越多的業務平臺納入到安全評估的檢查范圍,而各業務平臺普遍存在私網資產,針對這些私網資產的安全評估檢查工作對于運維人員來說是一個很大的難題[3]。
1.1 問題分析
在當前的電信網絡實際運行環境中,開展安全評估工作主要存在以下方面的問題[4]:
(1)待檢查的設備數量多,需要人工參與的評估工作量太大,耗費大量的人力資源;
(2)安全運維流程零散雜亂,無電子化的安全運維流程;
(3)系統評估過程中使用的工具多,需要將各安全評估系統臨時接入到各個數據業務系統中進行掃描或采用臨時打通通路的方式,這種安全評估方式要在日常維護中定期頻繁的實施基本上不可行[5];
(4)缺乏統一安全現狀呈現,對于設備安全信息現狀和系統整體安全情況只是體現在定期報告中,無安全現狀的實時呈現[6]。
1.2 解決思路
山東電信前期已建成SOC(Security Operation Center,安全運營中心)網絡安全管理平臺,它是一個統一的安全管理中心,協調包括安全評估子系統、異常流量監控子系統、攻擊溯源子系統等眾多第三方安全子系統在內的聯動工作。因此,在SOC平臺中嵌入一鍵式安全掃描評估閉環模塊,從安全運維的實際需求出發,為管理、運維、監控人員提供統一的安全自評估平臺,全面實現安全評估自動化、日常化、全面化和集中化。通過提高安全評估工作效率,實現安全工作融入日常工作,將各種評估手段結合起來以實現全面評估,同時進行集中化的分析匯總與呈現[7]。
2 技術方案設計
2.1 設計目標
以SOC網絡安全管理平臺為中樞,建立統一的安全評估管理流程,分別面向監控、維護及管理人員,提供集中化統一的安全評估界面,全面助力一鍵式自助安全評估工作落地。
2.2 技術方案
(1)評估閉環管理模型
如圖1所示,一鍵式自助安全掃描評估以安全風險管理為核心,通過SOC安全管理平臺集中化管理,實現對安全資產的自動化掃描評估,從而達到對安全風險的全面管控,并且與電子運維工單系統對接,將評估結果和整改建議通過工單系統通知到相應的維護責任人,及時對安全漏洞進行整改處置,對于暫時無法整改的漏洞需在SOC平臺進行備案說明[8]。
通過一鍵式自助安全掃描評估,配置不同的任務策略和模板,實現以安全資產或業務系統兩種不同維度的任務自動下發,并對掃描評估結果進行統一管理與備案。通過“發現-掃描-評估-整改-復查”的閉環評估法則[9],能夠快速發現網絡中的未知安全資產,全面掃描安全資產漏洞,清晰定性網絡安全風險,并給出修復建議和預防措施,同時將漏洞整改流程固化到系統中,從而在自動化安全評估的基礎上實現安全自主掌控[10]。
(2)私網安全評估技術
針對防火墻NAT(Network Address Translation,網絡地址轉換)后的私網資產無法通過網絡直接進行訪問,導致遠程安全評估無法有效開展的技術難題,通過部署安全私網評估,建立L2TP(Layer 2 Tunneling Protocol,第二層通道協議)安全隧道,遠程實現對私網資產的安全掃描。
私網安全評估架構如圖2所示。其中,針對私網設備無法實現自動掃描的問題,利用部署在私網平臺的機,由機與集中平臺(SOC平臺)建立通訊通道,通過公網穿透打通集中平臺(SOC平臺)與私網資產的網絡層可達性。機接收集中平臺(SOC平臺)控制機下發的安全評估指令并轉發私網資產;私網資產將安全指令反饋數據返回給機;機上報安全評估指令結果給集中平臺(SOC平臺)控制機進行備案。整個過程采用心跳機制進行保活。
的角色分為:
SOC平臺公共(Public Proxy):部署于中心SOC平臺內網,與安全評估子系統同一個子網IP網段;
業務平臺分布式本地(Local Proxy):直接通過私網日志采集改造,與業務平臺NAT不可達資產都是內網網段。
的作用如下:
隧道協商與建立:各業務平臺分布式本地主動向中心SOC平臺的外網防火墻進行L2TP隧道協商,協商成功后建立起Hub-and-Spoke的L2TP隧道;
數據流通過隧道Push推送與交互:對于安全評估子系統內掃描工具發起的掃描流量,先到達SOC平臺公共,由公共將掃描流量封裝進已建立好的L2TP隧道,并轉發給業務平臺分布式本地,本地收到流量后進行隧道解封,還原內層原始IP包頭,將原始掃描流量送到NAT不可達資產上。
通過該方法可有效解決防火墻NAT后不可達資產的自動化安全風險評估問題,且不改變現網的組網架構,業務配置變動實現零配置。通過分布在各業務平臺的本地與中心SOC平臺的公共進行隧道連接,并通過公共與本地之間的交互,實現掃描流量的轉發[11]。
(3)掃描器聯動調度
一鍵式安全掃描評估依托于SOC安全管理平臺,由SOC平臺與眾多第三方安全掃描子系統聯動進行掃描,可根據實際應用情況進行相應的接口擴展。通過與安全評估子系統聯動的高耦合度,實現日常安全評估工作的任務自動化。
SOC平臺掃描器聯動調度流程如圖3所示。
SOC平臺調度分為直連掃描調度和私網掃描調度,具體如下:
直連掃描調度是指掃描器與被掃描設備之間網絡可達,直接通過SOC平臺調度程序向掃描器發起資產掃描請求,掃描器在掃描完成后再向SOC平臺反饋掃描結果;
私網掃描調度是指掃描器與被掃描設備之間網絡不可達,需要借助私網評估的VPN(Virtual Private Network,虛擬專用網絡)隧道建立連接打通網絡后,通過公共和本地間IP掃描報文的傳遞,把掃描器的IP掃描請求報文發送到私網內的被掃描資產,同時把掃描結果應答傳遞回掃描器,最后再由掃描器將結果反饋到SOC平臺集中展現。
具體步驟如下:
步驟1:通過SOC的安全評估任務計劃模塊,在計劃任務配置時設定掃描資產的私網IP地址段與相關聯的本地IP地址(本地的IP地址即通過L2TP建立隧道后撥號獲得的唯一地址),通過掃描資產+相關聯的本地對,解決私網網段地址重疊問題;
步驟2:可通過預先將掃描工具的網關配置為公共地址,在任務執行時將掃描工具的流量牽引到公共上來;
步驟3:公共的網卡設為混雜模式,捕獲到該掃描工具的掃描流量,通過已建立好的L2TP隧道,封裝報文后通過L2TP隧道轉發給本地;
步驟4:本地將L2TP隧道報頭拆除,露出內層的原始掃描報文,并將內層掃描報文的源IP地址修改為本地IP,同時在map映射表中記錄下這一映射關系,之后將掃描報文轉發給被掃描的最終資產;
步驟5:最終資產收到掃描報文后,根據掃描的內容進行響應,將結果回包給本地;
步驟6:本地收到最終資產的掃描結果回包,命中map映射表的映射關系,將報文的目的IP地址還原為掃描工具的IP地址,并封裝報文通過L2TP隧道返回給公共;
步驟7:公共收到此報文后將L2TP隧道報頭拆除,露出內層的原始掃描結果返回報文,并轉發給掃描工具進行結果分析;
步驟8:掃描工具得到掃描結果報文進行分析,將分析結果上傳到SOC平臺進行結果備案。
3 現網測試效果
利用“一鍵自助安全評估功能模塊”節省了以往人工安全掃描、基線檢查的大量時間,并縮短了評估周期,極大地提高了安全評估工作效率。下面是以部門安全管理員的角色執行一次安全巡檢、調度整改的閉環使用過程。
3.1 添加掃描評估任務
在“掃描任務管理”菜單下新增掃描評估任務,按系統提示步驟依次輸入掃描周期、掃描方式、掃描設備和掃描范圍等信息,完成任務的添加,如圖4所示。
3.2 掃描評估任務執行
任務添加完成后,系統會根據任務周期定時開始執行掃描任務,任務執行過程中可通過任務狀態查看任務是否執行結束,如圖5所示。
3.3 評估任務結果查看
任務執行完成后,在漏洞結果管理中可查看到每個資產需要整改的漏洞信息,雙擊一條漏洞記錄可查看到該漏洞的詳細信息,包括漏洞名稱、漏洞CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露)編號、漏洞描述、漏洞解決方案等,并且還能查看到該漏洞每次掃描的歷史狀態信息,如圖6所示。
3.4 漏洞整改與備案
部門管理員根據漏洞的解決方案對相應的資產進行漏洞整改,整改完成后需要在系統上填寫漏洞整改說明,完成漏洞的整改備案,如圖7所示。
4 結束語
本文通過研究部署并實現一鍵式自助安全評估,可極大地提高安全評估的效率,從而提升應對威脅的響應速度。在傳統評估方式下,完成一套業務平臺全方位的安全評估平均時長是8小時,通過一鍵式自助安全評估項目的實施,完成同樣平臺的安全評估僅需要1小時,大大減少了人力成本的投入。同時,通過一鍵式自助安全評估將日常安全評估工作作為一個周期性的工作流程固化到統一安全管理平臺中,有針對性地對存在風險的資產進行定制化的安全評估工作,能夠進一步提高評估工作的準確性,從而推動并實現安全評估的自動化、日常化、全面化和集中化。
參考文獻:
[1] 汪玉凱. 信息安全是國家安全的當務之急[J]. 中國報道, 2014(122): 2.
[2] 國家互聯網應急中心. CNCERT互聯網安全威脅報告[R]. 2014.
[3] IP網絡安全技術編寫組. IP網絡安全技術[M]. 北京: 人民郵電出版社, 2008.
[4] 李蔚. 業務安全評估初探[J]. 信息安全與通信保密, 2012(8): 113-115.
[5] 陳濤,高鵬,杜雪濤,等. 運營商業務安全風險評估方法研究[J]. 電信工程技術與標準化, 2013(11): 71-75.
[6] 曹永剛. 電信運營商業務網安全風險評估及防范措施探討[J]. 電信網技術, 2012(2): 41-44.
[7] 何國鋒. 電信運營商在大數據時代的信息安全挑戰和機遇探析[J]. 互聯網天地, 2014(11): 55-58.
[8] 岳榮,李洪. 探討移動互聯網安全風險及端到端的業務安全評估[J]. 電信科學, 2013(8): 74-79.
[9] 周鳴,常霞. 電信移動業務網絡風險評估和安全防護[J]. 信息網絡安全, 2013(10): 14-16.
