于勃,王磊
(1.国网西藏电力研究院,拉萨850000;2.国网山东省电力公司信息通信公司,济南250001)
高原环境下网络安全应急响应工具
于勃1,王磊2
(1.国网西藏电力研究院,拉萨850000;2.国网山东省电力公司信息通信公司,济南250001)
在高原环境下,由于高海拔和宽地域,网络入侵事件无法及时处理,导致事态扩大。自适应高原环境的网络入侵应急响应工具采用集成安全应急响应技术,远程及时、便捷地处理入侵事件,克服高原环境下设备运输不便、地域远等问题。经测试,具有较好的时效性和实用性。
高原环境;网络安全;应急响应
在高原地区,由于高海拔和地域宽广,一旦出现网络故障和入侵事件,无法像沿海地区那样快速响应,同时由于高海拔、日温差大、强烈日照辐射等恶劣工况,使得常用的各类网络安全设备经常会出现不正常工作状态,从而会导致入侵事件处理延迟、事态扩大,有时会引起社会反响。因此有必要研究在高原环境下可以进行快速响应的网络安全应急工具。
西藏平均海拔在4 000 m以上,气候干燥、空气稀薄,号称“世界屋脊”、“生命禁区”,这里海拔高、气温低、日温差大、有时有沙尘暴、强烈日照辐射。IEC、ISO国际标准规定的电器产品适用海拔高度一般不超过1 000 m,个别达到2 000 m,而西藏由于高海拔造成的低气压、空气稀薄,使信息安全设备面临着许多故障问题:比如材料工况恶化,降低设备冷却系统散热效率;电器设备易产生外绝缘放电、电晕等现象,加速绝缘材料和设备失效损坏;电子元器件在高原环境下性能也会受到极大影响,故障率明显增加;日温差大易使材料和设备结构部件开裂、变形,设备内部凝露受潮会加速金属腐蚀;沙尘进入引起设备运转部件机械损伤加速磨损;阻碍通风散热系统导致发生故障;腐蚀性或导电性粉尘沉积在物质表面吸湿潮解后,也会使其加速腐蚀,出现绝缘漏电或短路现象。这些高原特有环境会导致信息安全应急响应设备经常出现不能正常工作的问题。同时由于西藏地广人稀,对于许多网络入侵应急响应来说,工作人员无法多次往返网络安全故障现场,从而希望前往现场一次就能解决故障问题。
安全事件应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动。安全事件应急响应工作的特点是高度的压力、短暂的时间和有限的资源。应急响应是一项需要充分准备并严密组织的工作。它必须避免不正确的和可能是灾难性的动作或忽略了关键步骤的情况发生。它的大部分工作应该是对各种可能发生的安全事件制定应急预案,并通过多种形式的应急演练,不断提高应急预案的实际可操作性[1]。具有必要技能和相当资源的应急响应组织是安全事件响应的保障。应急响应除了需要技术方面的技能外,还需要必备的安全应急响应工具。常见的网络入侵应急响应工具有日志分析系统、漏洞扫描系统、入侵检测系统等。但是在西藏高原环境下,一旦发生网络入侵安全事件,安全应急响应人员无法一次携带许多设备前往现场。急需一种网络入侵应急响应的集成工具,集成漏洞扫描、日志检查、安全配置检查等功能于一体,同时硬件须适应高原特有环境条件,便于携带,易使用,多功能,便于在西藏高原地区快速开展网络入侵安全应急响应工作。
作为集成化的网络安全应急响应工具需要集成漏洞扫描、日志检查、安全配置、抓包分析等功能,因此工具采用模块化设计,如图1所示,依次分为4层:数据处理引擎层、系统核心层、报告引擎层、系统界面层,每层内部划分不同的功能模块,满足高原环境下集成安全应急响应工具的需要。工具硬件平台采用专用的适应高原环境高配置笔记本电脑,以适应高原环境的需要。
图1 模块化的网络安全应急响应工具设计
2.1 数据处理引擎层
数据处理引擎层主要包含数据处理引擎和系统服务引擎。数据处理引擎是系统内部的数据接口,提供了数据库访问、数据缓存、数据同步等功能。数据处理引擎屏蔽了数据库系统操作的细节,减少数据库的连接,优化数据库的访问,缓存常用的计算复杂数据,集中处理数据的逻辑,降低了其他功能模块的维护工作量。
系统服务引擎是系统内部的功能接口,提供了系统还原点备份与恢复、任务数据导入导出等功能。系统服务引擎解耦了前台操作和后台操作,后台功能以特定的权限运行,增加了系统的安全性。
2.2 系统核心层
系统核心层包含扫描处理模块(主机发现、操作系统识别、服务识别、弱口令检测、漏洞扫描)、日志分析模块、配置核查模块、抓包分析模块、证书升级模块等,同时还具有较多可扩展的模块和插件。这层主要实现网络入侵应急响应各类功能。
2.3 报告引擎层
报表引擎层主要包括报告引擎和调度引擎,报告引擎是报表展示的核心处理模块,能够提供HTML、WORD、EXCEL、PDF等多种报表格式。调度引擎是扫描工作的协调中心,根据用户操作不同可能有立即执行的任务、定时执行的任务、周期执行的任务等,检测出任务的类型和优先级,进行漏洞扫描或者配置检查、口令猜测。
2.4 系统界面层
系统接入层包含了用户通过浏览器访问Web页面、通过串口访问控制台、通过数据接口进行数据交互等方式,其中数据接口包含第三方平台管理数据接口、SNMP Trap。
3.1 集成化自动处理
网络入侵应急响应工具支持全方位的安全漏洞扫描、安全配置、日志分析、数据抓包分析,包含了日常安全应急响应的主要工作内容,通过集成化和统一化的自动处理,实现了工具的有效集成。特别在高原环境下,可以较好地启动和携带,可以更好地实现高原环境下的网络入侵应急响应。
3.2 便携设备随时响应
网络入侵应急响应工具为高原环境特有便携式设备,小巧轻便,在保证快速应急响应的基础上,方便携带进行现场安全检查,实现性能和便携要求的统一。
工具提供多种灵活的部署方式,能够满足复杂的网络环境下的要求,并且优先应用轻量级部署方案。网络入侵应急响应工具可灵活适应各种网络拓扑环境,便于扩展。
另外,考虑到虚拟化和IPv6网络的逐步应用,网络入侵应急响应工具也支持通过虚拟化镜像方式在虚拟化环境下直接部署,支持IPv6网络环境下的部署和漏洞扫描。
3.3 风险统一分析
常用的应急响应有很多独立的安全应急响应设备组成,包括漏洞扫描、配置检查、Web应用扫描等工具,在对信息系统进行安全检查后,分别得到不同的检查报告,互相之间没有联系,实际上不同脆弱性的检查结果都从不同方面反映网络系统的安全风险状态,要了解信息系统总体安全风险状况,需要对应急响应系统脆弱性的所有方面统一进行分析和评估。
网络入侵应急响应工具支持全方位的安全漏洞扫描、安全配置、日志分析、抓包分析等功能,通过统一的安全风险计算方法,对应急响应系统中多个方面的安全脆弱性统一进行分析和风险评估,给出总体安全状态评价,全面掌握应急响应系统的安全风险,便于更好地进行针对性安全应急响应。
3.4 大数据处理故障快速定位
网络入侵应急响应工具部署完成后,首先尽量收集IT系统环境信息,建立起IT资产关系列表。准备工作完成后,系统基于资产信息进行脆弱性扫描、日志获取、数据抓包分析,然后进行大数据处理,快速实现故障定位,从而实现应急响应功能。网络入侵应急响应工具分析结果以仪表盘方式展示,从风险发生区域、类型、严重程度、故障问题等进行不同维度的分类分析报告,应急响应者可以全局掌握安全风险,关注重点安全故障,对严重问题优先进行应急响应[2]。同时也提供强大的搜索功能,可以根据资产范围、风险程度等条件搜索定位故障。
在高原环境下,网络入侵安全应急响应和其余地方的网络入侵安全应急响应流程有所不同,由于客观高原环境影响,网络入侵安全应急响应希望能做到每次出动都能尽快解决问题,往返事故现场的次数越少越好,尽可能少的携带应急响应设备。因此提出的高原环境下的网络入侵应急响应工具能满足高原环境下的网络入侵应急响应需要。同时在高原环境下还需要一个安全应急响应的流程,系统通常存在各种残余风险的客观情况下,应急响应是一个必要的保护策略。需要强调的是,尽管有效的应急响应可以在某种程度上弥补安全防护措施的不足,但不可能完全代替安全防护措施。缺乏必要的安全措施,会带来更多的安全事件,最终造成资源浪费。
高原环境下安全事件应急响应的目标通常包括:采取紧急措施,恢复业务到正常服务状态;调查安全事件发生的原因,避免同类安全事件再次发生;在需要司法机关介入时,提供法律的数字证据等[3]。
结合高原环境,安全事件应急响应工作流程包括准备、检测、抑制、根除、恢复和跟进6个阶段[4]。
准备阶段。准备阶段是安全事件响应的第一个阶段,即在事件真正发生前为事件响应做好准备。这一阶段极为重要,因为事件发生时可能需要在短时间内处理较多的事情,如果没有足够的准备,那么将无法正确的完成响应工作。在准备阶段应关注以下信息:基于威胁建立合理的安全保障措施;建立有针对性的安全事件应急响应预案,并进行应急演练;为安全事件应急响应提供足够的资源和人员;建立支持事件响应活动管理体系。
检测阶段。检测是指以适当的方法确认在系统中是否出现了恶意代码,文件和目录是否被篡改等异常现象。如果可能的话同时确定它的影响范围和问题原因。从操作的角度来讲,事件响应过程中所有的后续阶段都依赖于检测,如果没有检测,就不会存在真正意义上的事件响应。检测阶段是事件响应的触发条件。
抑制阶段。抑制阶段是事件响应的第3个阶段,它的目的是限制攻击破坏所波及的范围,同时也是限制潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上,抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性,制定并实施正确的抑制策略。抑制策略可能包含以下内容:完全关闭所有系统;从网络上断开主机或部分网络;修改所有的防火墙和路由器的过滤规则;封锁或删除被攻击的登陆账号;加强对系统或网络行为的监控;设置诱饵服务器进一步获取事件信息;关闭受攻击系统或其他相关系统的部分服务[5]。
根除阶段。即在准确地抑制事件后,找出事件的根源并彻底根除它,以避免攻击者再次使用相同手段攻击系统,引发安全事件。在根除阶段中需要利用在准备阶段产生的结果。
恢复阶段。事件的根源根除后,进入恢复阶段。恢复阶段的目标是把所有被攻破的系统或网络设备还原到它们正常的任务状态。
跟进阶段。安全事件应急响应的最后一个阶段是跟进阶段,其目标是回顾并整合发生事件的相关信息。跟进阶段也是最可能被忽略的阶段,但这一步也是非常关键的。完成该阶段有助于从安全事件中吸取经验教训,提高技能,有助于评判应急响应组织的事件响应能力。
适合高原环境的网络入侵应急响应工具在采用特别适用高原环境的硬件设备基础上集成了众多常见的应急响应功能,便于携带和使用,可以快速实现高原环境下的网络入侵应急响应,按照特有的高原应急响应流程,可以实现高原环境下高效率的信息网络安全应急响应。
[1]刘玉龙.我国网络与信息安全应急响应体系建设[J].能源技术与管理,2012(3):164-165.
[2]陈祖义,华勇.计算机网络入侵应急响应的研究[J].计算机安全,2009(7):66-69.
[3]张帆.网络攻击过程分析与防范[J].黄石高等专科学校学报,2004(6):4-7.
[4]刘振峰.浅谈网络信息安全事件的应急响应[J].信息网络安全,2007(2):44-47.
[5]钟浩.关于互联网安全应急响应的事件处理[J].电信科学,2005(6):55-58.
Network Security Emergency Response Tools in Plateau Environment
In plateau environment,because of the high altitude and wide area,network intrusion events often fail to be tackled in a timely manner,and lead to expand the situation.In plateau environment,network intrusion emergency response tools utilize integrated security emergency response technology,and have advantages of remote timely and processing intrusion events conveniently.The response tools overcome the problem of equipment inconvenient transportation and difficult access of far-away regions and so on.Practice shows them both effective and practical.
plateau environment;network security;emergency response
TP393.08
:B
:1007-9904(2014)06-0063-04
2014-08-06
于勃(1981),男,工程师,从事电力信息安全技术督查工作;
王磊(1982),男,工程师,从事电力信息通信调控管理工作。