网络安全事件应急处置与管理平台的设计与实现

刘琦

摘要：该文主要阐述了网络安全事件应急处置管理平台设计的背景、国内外研究现状、平台的设计目标和总体设计、实现功能等内容。该文的研究对设计及开发全面搜集信息、准确分析信息、正确处理信息的管理平台具有一定借鉴作用。

关键词：网络安全事件；应急处置；安全事件预警

中图分类号： TP315 文献标识码：A 文章编号：1009-3044（2015）26-0027-02

Design and Implementation of Emergency Disposal and Management Platform for Network Security

LIU Qi1， 2

（1.The PLA Information Engineering University， Zhengzhou 450000， China； 2. Information Security Department， Henan Police College， Zhengzhou 450000， China）

Abstract： This paper mainly described the background， present situation of domestic and foreign research， the design object and the overall design of the platform. Study of this paper may have a certain reference to design and develop comprehensive collection of information， accurate analysis of information， correct process of information.

Key words： network security event； emergency disposal； security incident warning

随着互联网技术的发展及应用，互联网接入的设信息中心单位越来越多，网络安全事件时有发生，对设信息单位实施有效保护，是网络安全防范的重要内容，也是网络虚拟社会管理的重要组成部分。目前，许多设信息中心的单位当有信息安全事件发生时，有时不处理也不上报当地公安机关，这为公安机关在网络安全管理及事后调查取证方面带来诸多不便。从公安网络安全保卫部门业务出发，有及时掌握各单位网络安全事件发生、应急处理情况的必要性。在需要时，应能提供技术支撑，并对安全事件分析评估、安全事件预警等。

目前国外已有不少网络安全事件管理系统，并针对单一事件、多种事件的现象进行了有效的管理。但这些系统都是对一个信息中心而设计安装的，用于接入互联网设信息中心单位的网络安全事件管理，且大部分信息中心没有安装这类系统。网络安全保卫部门需要掌握本地安全事件的发生情况，在必要时对设信息中心单位提供技术支援，同时能对网络安全事件的发生进行预警。因此，有必要开发一套部署于设信息中心单位、各级网络安全保卫部门的安全事件管理系统，提高对网络虚拟社会综合管控能力。

1 设计目标及总体设计

1.1 设计目标

系统总体目标是：一套部署于省级节点、地市核心节点、网络终端接入用户等互联网环境下各信息中心单位的网络安全事件警务应急处置与管理平台（NSMAS， Network Security Monitor and Alarm System）。

1.2 总体设计

为保障信息安全性，不少单位在信息网络中配置了安全产品，如防火墙、入侵监测、防病毒系统等等。这些系统部署在信息网络中，安全信息分散在这些系统中，为了及时有效地了解这些系统的运行状况，对整个网络的安全状况做出评估，可以通过部署一套网络信息安全监视及管理平台解决这一问题。平台整体设计如图1所示。

图1 网络信息安全监视及管理平台整体设计

平台设计定位应该将各级单位信息网络中与安全相关的信息集中，利用数据仓库技术作灵活的展示。应该能够实现对网络安全产品、网络组网产品、网络节点及服务器等产品、系统进行信息搜集、分析处理及预警等功能。应对相关信息生成定期报表，对安全事件做出预警及辅助决策等等。

用户查询管理平台监控、管理的设备时，可以在实时及历史两种模式下，通过Web方式方便查询。图2所示。

图2 网络安全应急处置系统

2 实现功能

首先，要实现对所有接入教育科研网高校信息中心设备的漏洞扫描，能够及时发现漏洞及风险点。其次，对扫描出的漏洞、风险点能够实现科学地统计、分析、排名。再次，能够对各高校信息中心发生的安全事件进行扫描、上报、报警并进行统计分析。并且能够对安全事件进行应急处置。能够根据不断更新的专家知识库，为应急处置工作组提供专家辅助决策功能。具体如下。

2.1完整的 Web 服务支持

软件系统应该能够提供完整的、可移植的Web服务支持、能够进行互操作。

2.2自动收集安全事件

由于网络设备都是在热运行的，因此应能够在线完成安全数据的收集。由于用户安全数据随网络运行实时产生，数据量呈海量增长态势，因此手动收集数据是不可行的。 系统应该提供在设备热运行的过程中收集安全数据，不需要停机或者中断，对于用户的网络几乎没有额外的负担。所有数据收集应具有实时性，自动性，可以实时反应网络的安全状况。

2.3自动进行安全事件分析

设计出的系统应该实现对于安全事件的自动分析，用户提供一些基本的设置信息，例如安全等级，是否忽略警告信息等，系统就应进行及时、准确响应，自动过滤掉非安全事件等等。

2.4安全预警

发现及分析出网络存在的安全事件后，该系统应根据用户配置自动生成预警报告，并且通过各种方式通知警戒单位。

2.5 查看、管理设备

图3 网络安全应急处置与管理平台主界面

应能够快速、简便地查看和管理设备， 降低用户的使用门槛， 节省用户的培训时间和成本。

主要功能如图3至图6所示。

图4 安全事件分析

图5 安全预警

图6 用户管理

3 结论

本系统的核心功能在于对网络安全产品、网络组网产品及终端用户进行安全监测、预警及处置等工作。平台设计过程中在数据收集、安全评估方面存在一些问题。具体如下。数据收集方面，主要考虑如何将各种产品的安全信息收集和整合起来；安全评估方面，主要考虑如何根据收集到的信息挖掘、准确评估出系统的安全状态。这些内容将在进一步的工作中展开。

参考文献：

[1]穆祥坤. 基于云架构的网络安全事件监测研究[D]. 天津理工大学， 2014.

[2]罗军舟. 云计算：体积架构与关键技术[J]. 通信学报， Journal on Communications. 2011（7）：3-21.

[3]穆祥坤. 基于云架构的网络安全事件监测研究[D]. 天津理工大学，2014.

[4]夏秦，王志文，卢柯.入侵检测系统利用信息熵检测网络攻击的方法[J]. 西安交通大学学报，2013-2，47 （2）：14-19.

[5]K. Salah，J. M. Alcaraz-Calero，S. Zeadally，S. Almulla，M. Alzaabi. Using Cloud Computing to Implement a Security Overlay Network[J]. Security & Privacy， IEEE.2013， Page（s）： 44-53.

[6]李全良，贺旭娜，杨鸾.网络安全事件流中异常检测方案研究[J]. 信息与电脑（理论版）， China Computer & Communication.2011（5）.