烟草商业网络安全通报预警机制的研究

程曦

摘要：随着计算机技术和网络技术的超速发展，计算机网络的安全问题也愈发受到人们重视。对网络安全进行防范，采取有效的措施，制定相应的安全通报预警机制，已经成为业界研究的热点。该文对目前烟草网络安全预警技术进行了阐述和分析，以期为实践工作提供指导。

关键词：烟草；网络；预警技术

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）25-0011-02

Early Warning Mechanism of Network Security： A Case Study on Tobacco Commercial Network

CHENG Xi

（Hefei Anhui Tobacco Company， Hefei 230001， China）

Abstract： With the rapid development of network technology and computer technology， the network security is getting much public attention. Taking effective measures for the network security and formulating the corresponding early warning mechanism of network security， has become the focus of network research. This paper has described and analysis the early warning technology of network security of the tobacco industry， and hope to provide guidance for the practical works.

Key words： tobacco； network； early warning mechanism

“十二五”期间，“卷烟上水平”，提升企业的核心竞争是，合肥市烟草公司努力方向。通过“应用体系、基础设施体系、信息安全体系、运维保障体系”体系建设。自零九年五月，全国烟草行业信息化工作会议，强调要把信息化作为提高行业科学发展的最强动力。因此在新的发展时期，信息安全体系已成为合肥市烟草公司进行各项管理工作的创新源头和驱动力。

信息安全目前已经成为企业信息化最为关注的研究课题。随着计算机技术的发展，计算机病毒、木马、流氓软件的产生与传播、黑客入侵、服务器被非法访问等均呈现飞速增长的状态，网络和计算机的安全性受到极大挑战，给个人、企业和国家都造成了重大的经济损失。烟草信息网络担负着重要的任务，决定了其应具有很高的安全性、可控性以及具有对各种威胁和攻击提前通报预警的功能。公安部网络安全保卫局总工程师郭启全在2014年年中国互联网安全大会明确表示：要深入推进信息安全等级保护工作和网络安全监测、通报预警工作，加快国家网络安全通报预警机制建设，及时监测、预警、处置网络安全重大突发事件和威胁、隐患。本研究以合肥市烟草公司为例，对烟草商业网络的安全通报预警机制进行研究。

1 烟草商业网络安全通报预警机制的建立原则和特点

合肥市烟草公司的网络安全通报预警机制是能够对合肥市整个烟草商业系统各个网络终端动态进行全面监视，及时发现各种攻击意向、攻击动态以及错误操作并及时发布各种动态以及所造成的影响，及时对系统资源的可靠性、可控性、机密性以及完整性进行保障的技术。建立的网络安全通报预警机制是否合理、可靠，将直接关系到网络安全水平。网络安全通报预警机制的建立应遵从以下几个指导原则：

1）科学性：网络安全通报预警机制的建立必须以科学理论为指导，定量与定性分析共同结合，正确反映内部元素与系统整体相互关系的特点为指导。预警机制的建立应该符合我国有关的法律和法规。

2）全面性：网络安全通报预警机制应完整的反映网络所有终端的即时动态、切实有效的对网络安全的性能和本质进行。

4）经济性：网络安全通报预警机制的运行不能妨碍原有系统中各个进程的正常运行。

5）可操作性：网络安全通报预警机制的建立应符合实际网络安全防护工作的需要，易于操作和实施。数据便于收集和处理，以方便管理员实施具体的安全防护活动。

与市面上其它安全网络安全通报预警机制一致，建立完善的烟草商业网络安全预警机制系统必须包含以下的基本特点[1]：

1）安全性：安全通报预警机制系统自身的安全必须有保证。

2）时效性：及时发现各种系统攻击、入侵行为，以及有攻击意向的行为，掌握事发前的趋势。

3）可扩展性：安全通报预警机制可在原有机制体系不变的情况下进行扩充，对新的指标和终端进行有效的监测。

2 烟草商业网络安全通报预警机制的建立

烟草商业网络可采用的安全通报预警机制的结构如图1所示，与市面上大多安全通报预警机制一致，主要包括数据采集、数据提取、数据分析、安全行为数据处理、异常数据行为响应5个模块[2-3]。

图1 网络安全通报预警机制体系

1）数据采集：是预警机制的基础，负责提供数据的来源。这些数据来自于系统及各个终端的监测信息、操作记录信息、日志信息、报警信息以及流量变化和趋势。

2）数据提取：把采集到的数据进行处理，如通过过滤、数据转换等把数据统一标准化。

3）数据分析：将上一步处理好的标准数据进行深入分析，按不同的模型把数据进行分类，划分到不同的规则集中。

4）安全行为数据处理：接收数据分析的结果，对正常的安全行为的数据，生成预测模型。

5）异常行为通报响应：接收数据分析的结果，对异常行为的数据进行通报，产生响应，生成预测模型。

在预警机制系统中，5个模块协同合作，共同完成网络安全预警的机制。首先对系统和各个终端的网络入侵、安全、攻击漏洞等事件的数据进行收集，根据烟草商业网络安全的规定，采用统计分析方法，对数据进行深入挖掘，对原始低级数据重新进行组合，过滤无效数据，保留有效数据。再将不同级别的数据标准化，建立数据联动机制。数据分析的结果与正常的数据进行对比，建立基于差异模型的检测模型，对于异常的数据及时生成警告报告和时间，反馈到通报系统中，同时进行预警响应，对警告报告和相应的时间及时采取相应的措施。

3 烟草商业网络安全通报预警机制的实现原理

对于至关重要的烟草商业而言，网络安全通报预警机制的研究不仅包括入侵检测的研究，更需要深入进行入侵检测的策略分析，将理论与技术结合起来，形成一个综合性的预警机制，包括人工误操作、弱点漏洞检测、风险识别以及风险控制等，当发现网络违规行为和未授权的异常网络访问时，预警机制能够做出极快的反应，通报并建立入侵事件的预警模型

3.1 安全漏洞预警

安全漏洞是在软件、协议、硬件层面的实现或系统安全策略上存在的缺陷，由此可以使攻击的人能够在没有授权的情况下访问或者破坏系统。是受限制的计算机以及相关组件和应用程序或其他联机资源的无意或有意中留下的不受保护的入口。安全漏洞是网络攻击发生的根源，安全漏洞的时间决定着网络安全系统的可靠性。网络攻击是对安全漏洞的运用，攻击行为利用安全漏洞从较低的访问等级上升至较高的访问等级。安全漏洞预警对网络中有可能存在的安全漏洞或者受保护的有关系统进行了主动检测，根据检测所到的信息来预测可能发生的攻击，从而进行预警并且通报。因此，为了最大限度的保护网络安全，网络安全预警机制随时扫描系统中存在的漏洞，及时发现系统内漏洞，来预测可能发生的有关攻击行为，并提前对应采取防范措施。

3.2 攻击行为预警

攻击行为预警是指通过识别攻击行的规则，根据己经发生的攻击事件所形成的警报序列，对下一步可能出现的攻击行为和结果进行预测，并发送预警信息。网络攻击通常是按照一定的步骤或者路径进行，不同的攻击行为之间一般存在以下三种关系[4，5]：

1）因果关系：一个攻击行为的成功结果是另一个攻击行为发生的原因。

2）并列关系：多个攻击行为分别攻击成功，另一个攻击行为独自发生。

3）选择关系：多个攻击行为中任意一个攻击成功，其它的攻击行为则可以进行攻击。

在预测时，检测的单个攻击的警报尚不能形成一个完整的入侵过程，与参考数值比较，在未能准确预报可能的攻击时，选取发生概率最大的数值作为可能发生的入侵；也可以根据已发生的入侵值，识别出最有可能的攻击和入侵，然后对下一时刻的入侵和步骤进行推算预测，并生成预警模型。因此，基于警报数据入侵过程的识别和可能目标的判断可以实现安全预警。

4 烟草商业网络安全通报预警机制系统的检测对象

网络安全所面临的主要威胁为两类，一是对网络中信息的威胁，二是对网络中设备的威胁。从人的因素来看，影响网络安全的因素还区分人为和非人为的两种情况。在在海量的安全隐患数据中，我们应该优先关注关系到影响烟草商业发展的检测对象，实时分析汇总并及时通报预警。

1）安全漏洞：包括设备漏洞和信息系统漏洞。2014 年，国家信息安全漏洞共享平台收集整理并公布信息安全漏洞9121 个，较 2013 年增长 18%。攻击者利用网络协议的数据链路层、传输层、网络层和应用层四个层次的安全漏洞进行攻击。导致数据的丢失和篡改、隐私泄露。2014年4月8日，OpenSSL公布出当年最知名的漏洞Heartbleed。利用该漏洞，入侵者使用家里电脑，就可以实时获取约30%的https协议的用户的登录账号与密码，包括网民最常用的门户、微博、微信、购物、网银、社交、邮箱等网站和服务，影响至少两亿中国网民。OpenSSL的安全漏洞再一次把安全问题推到了公众面前。

2）计算机病毒：是一种程序代码，编制者在计算机程序中蓄意插入的破坏计算机功能或者数据的代码，能自我复制。病毒入侵计算机后会大幅度降低系统的运行速度，导致程序无法正常运行，并且会导致硬件损坏、文件丢失等严重的破坏，是网络安全面临的首要问题。计算机病毒是以窃取信息和收集情报为主，对国家和企业的数据安全造成严重威胁。

3）钓鱼网站：伪装成银行及电子商务类网站，从而对访问者提交的账户和密码信息进行窃取的网站，严重地影响了在线金融服务和电子商务的发展。

4）移动互联网恶意程序：随着移动互联网迅速普及，大量窃取用户信息、篡改数据、发送垃圾信息擅自使用付费业务在以智能手机为代表的移动终端上，出现了大量破坏用户数据、窃取用户信息、擅自使用付费业务、推送广告、发送垃圾信息等恶意行为的计算机程序。这些恶意程序严重侵犯公众个人隐私、财务安全。2014年1月25日，央视新闻频道曝光了全球首个Android操作系统的木马“不死”（oldboot）。它会在用户未知的情况下下载大量色情软件，造成话费损失，中国境内感染超过50万部手机。与以往的木马的不同点是：该木马被写入操作系统磁盘引导区，任何杀毒软件均无法彻底将其清除，即使可以暂时查杀，但在手机重启后，木马又会“复活”。随着这个“不死”木马的发现，幕后专门制造木马、传播木马的黑色产业链也进入公众视线。

5）安全事件：主要包括植入后门、利用木马盗取信息等隐蔽性攻击，导致拒绝服务、网页被篡改、信息遭到窃取等。2014年1月21日下午3点10分左右，国内顶级域的根服务器忽然出现异常，导致众多网站出现DNS解析故障，打量用户无法正常访问。虽然当时国内访问根服务器很快恢复，但由于DNS缓存问题，部分地区用户“断网”现象仍持续了数个小时，至少有2/3的国内网站受到影响。通过微博调查，“1·21全国DNS大劫难”影响空前。此事期间，超过85%的用户遭遇了DNS解析故障，引发浏览网页变慢和打不开网站的情况。引发了网民对信息安全的异常关注和担忧，造成恶劣社会影响。

5 结语

网络技术的飞速发展已经改变了人们的生活方式，在烟草商业行业中起着举足轻重的作用。然而与此同时，网络中存在的安全隐患也给合法用户的数据、信息安全带了严重的威胁。因此，建立有效的网络安全通报预警机制，对网络的攻击及时作出反映并发出警报，从而得到有效的解决。然而，解决网络安全问题，不仅需要在技术上努力，更需要在意识上加强，在网络安全通报预警机制的建立下，提高网络管理员以及合法用户的的防范意识和风险意识，对计算机网络安全意义更为重大。

参考文献：

[1] 宋晶.广域网安全系统研究及实现[D].昆明理工大学，2005.

[2] 穆成坡，黄厚宽，田盛丰.入侵检测系统报警信息聚合与关联技术研究综述[J].计算机研究与发展，2006，43（1）：1-8.

[3] 肖枫涛.网络安全主动预警系统关键技术研究与实现[D].国防科技大学，2005.

[4] 鲍旭华，戴英侠，冯萍慧，等.基于入侵意图的复合攻击检测和预测算法[J].软件学报，2005，16（12）：2233- 2138.

[5] 严芬，黄浩，殷新春.基于CTPN的复合攻击检测方法研究[J].计算机学报，2006，29（8）：1383-1391.