探讨某上市公司信息网络监测预警系统构建

来源:用户上传      作者:

　　[摘    要] 随着互联网的发展以及相关技术的成熟与普及，信息网络安全形势愈加严峻，其中信息安全攻击手段向简单化综合化演变，而攻击形式却向多样化复杂化发展，可以说网络威胁愈演愈烈，如何更好地保护上市公司数据安全和商业利益，就显得尤为重要，文章提出探讨公司信息网络监测预警系统构建，以期为上市公司长远发展保驾护航。
　　[关键词] 互联网;网络安全;监测;预警
　　doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 05. 067
　　[中图分类号] TP393.0    [文献标识码]  A      [文章编号]  1673 - 0194（2019）05- 0174- 04
　　1      背    景
　　随着互联网的发展以及相关技术的成熟与普及，越来越多的业务通过互联网的方式对外开展，在为用戶提供便民服务的同时，也面临来自互联网越来越多的攻击与威胁。目前某上市公司服务于不同部门的业务及应用系统几十个，单纯依赖粗放式的人工监控与安全管理已经无法适应安全动态发展的变化，急需针对局域网内重要业务系统及网络流量建立有效监控和风险预警体系，确保内部业务系统等重要信息系统的安全稳定运行，减少内部漏洞、非法篡改、非授权访问以及业务系统故障等安全事件。
　　2      建设原则
　　网络监测预警系统建设要遵循“安全、先进、易用、可扩展”的原则。
　　安全性：系统要对上市公司各业务系统与网络环境进行监测预警，保证系统自身的安全性是基本原则。
　　先进性：要采用成熟先进的技术，确保系统投入的有效和可持续性。
　　易用性：信息网络监测预警涉及面广，工作任务比较繁重，提高工作效率是系统的目标之一，因此要重视系统的易用性，降低系统部署、学习难度，提高系统的自动化水平。
　　可扩展：系统未来要达到对子公司相关业务系统和信息网络的集中监管，系统需要对接大量的管理信息系统，因此可扩展性是必须具备的特征。
　　3      建设目标
　　通过建设公司网络监测预警系统，形成一套“横纵一体”、“相互支撑”的安全体系。一方面横向对公司互联网资产进行7×24小时实时监测，及时发现安全漏洞、网页挂马、页面篡改、业务系统故障等安全隐患和问题，探测出互联网边界与入侵渠道等安全关键因素;另一方面纵向对局域网业务系统及网络流量实时监测，通过采集、分析、汇总局域网各种设备的安全数据，实现安全监控的自动化，安全信息的在线预警响应，实时安全监测分析以及资产和知识管理的自动化。
　　通过实时监测、安全预警、应急响应等多种方式完善信息安全工作的目标决策与组织协调、工作执行与日常反馈、监控预警与检查评估、应急管理与汇总分析等工作，逐步形成可驾驭的信息系统安全综合保障体系，促进上市信息安全保障能力的提升。
　　4      需求分析
　　4.1   互联网监测预警需求分析
　　建立行之有效的公司互联网安全监控系统，以便于能够全面、及时地了解公司互联网信息安全整体状况、突发事件及相关信息，具备监测、预警的能力。并将采集到的安全数据进行集中展示，便于内容和行为的事后全程可追溯，主要涉及互联网资产监控体系、互联网漏洞验证工具集、互联网监测预警系统等内容。
　　4.2   网络监测预警需求分析
　　目前上市公司办公大楼日常登录使用的IP地址有2 000多个，存在的安全威胁主要有网络互连、攻击快速传播带来的安全风险和来自网络资源滥用的安全风险以及漏洞存在的安全风险。
　　4.3   功能需求分析
　　局域网监测预警系统需要提供信息资产管理、日志信息采集、漏洞扫描统计、事件关联分析、安全威胁预警、运维态势感知、系统决策支撑等功能。其中信息资产管理功能，可以对网络中的管理对象资产进行管理。除基本资产信息外，还可以自定义资产标签，实现资产的动态属性扩展。能够提供基于拓扑的资产视图，可以按图形化拓扑模式显示资产，并可编辑资产之间的网络连接关系，通过资产视图可直接查看该资产的状态、事件及告警信息。
　　4.4   服务需求分析
　　主要包括实时安全监测服务、威胁分析服务、实施监测服务、渗透测试服务等服务需求。
　　5      建设内容
　　5.1   互联网监测预警系统建设
　　5.1.1   互联网监测预警系统体系架构
　　互联网监测预警系统主要有两部分组成。
　　互联网边界管理：对公司互联网相关资产进行实时感知，预知资产详细变化情况，实现保护目标变化的及时感知，动态掌握互联网登录入口、非业务端口以及敏感链接等互联网边界;
　　公司内部的资产统计及管理都是由财务审计为出发点，后逐步融入了资产盘点，资产进销账管理等等内容，但其本质均是为满足财务管理。而这种管理并不能实质的反映出资产在安全风险要素中所承担的角色和意义。从安全管理的角度来看，资产感知的主要目的是识别与定位到网络中资产设备和组件信息，并对抓取信息进行指纹鉴别和分类。例如：设备型号、设备版本、组件版本、组件系统等。定期对网络中资产的状态变化情况进行探查，及时发现资产状态变化情况，将这种变化反馈至安全维护人员以及系统管理人员，及时纠正异常变化。互联网资产管理的内容及范围主要包括Web中间件的特征检测、Web服务端语言特征检测、WebCMS版本检测、端口与服务检测等。 　　互联网入侵渠道管理：对可能出现的互联网入侵渠道以及互联网资产进行安全监测，获取系统脆弱性数据，发现和感知重要互联网信息系统及其相关业务系统的安全漏洞，并评估安全漏洞的影响范围及影响程度，将漏洞感知数据反馈至响应处置流程（用于及时开展漏洞处置）。
　　总体框架如图1所示。
　　互联网监测预警系统部署如图2所示，互联网监测预警系统通过新增互联网线路的方式对原有公司互联网业务及相关资产进行监控及安全数据收集。
　　5.1.2   数据采集工具
　　互联网监测预警系统通过系统配套监测及数据采集引擎和调用外部工具（或模块）采集数据等两种方式完成数据采集。
　　5.2   局域网监测预警系统建设
　　局域网网络监测预警系统主要由两部分组成：网络监测预警管理系统和各种监测采集系统组成。
　　其中网络监测预警管理系统负责收集网站和业务系统安全监测系统的数据，展示安全态势（整体安全态势、区域安全态势、重点网站安全态势）、威胁统计（包括漏洞、挂马、页面篡改等）、实时告警等，同时可實现整改通知、资产管理、风险管理、预警管理、报表管理、系统管理等多方面的管理功能。
　　各种监测采集系统通过采集、扫描、核查等方式进行各种数据源的采集输送到管理系统。x
　　5.2.1   体系架构
　　监测预警系统基于信息安全模型构建，涵盖了数据采集和解析、数据通信、分析计算、分布式应用及系统安全等，根据流程分为采集—分析—处理三个阶段各模块之间采用加密通讯，确保传输安全，系统日志数据逐级上传，管理数据逐级下发。
　　数据采集和解析：通过信息收集引擎和数据采集模块来完成。
　　数据通信：基于SOA技术，具备可信的通信网络服务。
　　分析计算：使用数据仓库技术，通过多维数据集分析、数据挖掘等技术来完成复杂的数据分析。
　　分布式应用：采用B/S三层架构（J2EE）。
　　5.2.2   数据采集工具
　　5.2.2.1   控制台
　　控制台是网络监测预警系统的控制中心，分别安装平台管理系统、软件采集平台和数据库系统。
　　5.2.2.2   业务监测系统
　　通过旁路部署在网络内，自动进行监控和检测，24小时不间断进行Web和业务系统安全监测，根据审计业务的类型进行命令和字段的自动提取，用户可以选择提取后的命令或字段作为重点对象进行分析。针对数据库类业务，可分析并形成数据库名、表名、命令等列表;针对Web业务，可分析并形成URL、访问模式等列表。通过智能分析功能，可以简化用户对审计数据的分析过程，大大提高分析的效率。针对敏感数据资产的各类访问行为进行审计，达到实时告警、事后溯源的目的。
　　5.2.2.3   异常流量监测系统
　　（1）流检测
　　通过公司局域网内数据流量的采集，对局域网间的数据流向进行分析，根据业务及管理的逻辑，定义设备连接关系的白名单。并通过对互联关系的积累，逐渐定义黑名单。理清公司内各业务系统的数据流向关系。
　　采用旁路接入，通过流量镜像技术，基于恶意流量行为特征的检测技术，系统采用IP地理定位技术，实现了IP来源定位、名单/策略的IP地址区域配置支持。
　　（2）包检测
　　对公司局域网流量数据包进行拆包分析，与攻击检测特征库进行比对从而对局域网内病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为（如P2P上传/下载、网络游戏、视频/音频、网络炒股）等威胁进行检测。
　　（3）文件检测
　　通过对公司局域网流量内数据进行提取，包括多种方式提取原始文件、特定流量、报警会话完整流等各种现场数据快照，来支撑网络监测预警系统分析、确认报警事件时所需要的现场数据。
　　5.3   实时安全监测分析服务
　　5.3.1   实时监测数据分析服务
　　通过驻场实时监测数据分析服务提供的日常系统运维、规则升级管理、网站安全监测、日常告警处置、安全事件分析、整理阶段监测报告等多方面的运维服务，保障互联网及局域网监测平台的稳定运行、7×24小时持续安全监测、日常告警安全事件的及时有效处理。提供3年驻场实时监测数据分析服务，安排3名监测数据分析服务人员实时维护系统。
　　5.3.2   远程侦测支撑服务
　　通过安全监测团队及攻防实验室团队远程对高危/突发安全漏洞、网页挂马、页面篡改等安全事件进行技术支撑以及对漏洞平台漏洞监测的服务支撑。
　　技术支撑，通过对高危/突发安全漏洞、网页挂马、页面篡改等安全事件进行技术支撑，使相关安全事件得到更深入的分析处理。
　　服务支撑，通过对乌云、CNVD等漏洞平台漏洞的监测，及时发现外部披露的外网网站漏洞，及时发现，及时处理，可降低网站风险，减少可能带来的损失。
　　6      结    语
　　本文在某上市公司网络安全现状分析基础上，从互联网监测预警、网络监测预警、实现功能、系统服务等方面进行需求分析，并根据系统需求提出了互联网监测预警系统、局域网监测预警系统、实时安全监测分析服务等建设内容，更好地抵御网络攻击，守护公司网络安全。
　　主要参考文献
　　[1]杨斌.影响网络信息安全因素探析[J].网络安全技术与应用，2016（4）：11.
　　[2]王斌. 基于互联网时代下计算机信息安全的探析[J].电脑知识与技术，2017（13）：76-77.
　　[3]高山山.基于网络信息安全技术管理下的计算机应用探究[J].科技创新与应用，2015（33）：106.
　　[4]贾术恒.影响企业信息安全管理因素探析——以A公司为例[D].北京：北京大学，2012.
转载注明来源:https://www.xzbu.com/3/view-15167933.htm