网络安全监控体系构建

◆孙梅玲 李降宇 王寅永



网络安全监控体系构建

◆孙梅玲1李降宇2王寅永3

（1.大连市地方税务局 辽宁 116015；2.大连理工大学网络与信息化中心 辽宁 116024；3.大连智通信息技术有限公司 辽宁 116023）

随着税务信息化建设的不断推进及信息技术的广泛应用，大连地税局承载的业务系统在不断增多，系统运行的业务数据关系到税收管理等政府敏感信息、企业数据以及个人隐私重要业务数据，信息安全问题更加突出，对税务系统数据的安全提出了更高的要求。由于不正确的安全策略和安全机制，以及缺乏先进的网络安全技术、工具、手段和产品等原因，面临的信息安全形势也越来越严峻。大连地税局构建的网络安全监控体系，从信息安全保障的角度为税务业务信息化发展提供保驾护航，确实保证网络监控背后数据的安全性。

网络安全；监控体系

1 系统建设背景

随着网络和信息技术的高速发展，税务业务系统规模的扩大，各种应用系统不断完善，大连地税局承载的业务系统在不断增多，用户规模在不断扩大，网络中的流量变得也愈加复杂。同时，系统运行的业务数据关系到税收管理等政府敏感信息、企业数据以及个人隐私重要业务数据，对税务系统数据的安全提出了更高的要求。

在互联网环境下，机房安全运维工作越来越繁琐与复杂，保障业务系统的稳定运行，保障数据的安全可靠，给网络安全运维管理人员带来了巨大的压力。借助计算机信息化管理技术与计算机网络安全技术，构建智能化的网络安全监控体系在大连地税局已势在必行[1]。

2 网络安全面临威胁分析

通过实时监控网络或主机活动，监视分析用户和系统的行为，审计系统配置和漏洞，评估敏感系统和数据的完整性，识别攻击行为，对异常行为进行统计和跟踪，识别违反安全法规的行为，使用诱骗服务器记录黑客行为等功能，使管理员有效地监视、控制和评估网络或主机系统[2]。通过前期调研分析，总结了目前网络安全运维管理存在的几点安全隐患问题：

（1）对IP地址的使用情况掌握的不全面。

（2）内网中IP地址是否暴露在互联网。

（3）不清楚安全域之间的访问关系真实情况。

（4）不清楚是否存在因防火墙配置错误而被放行的违规访问。

（5）针对网络流量的分析缺乏简单易用的工具支撑。

（6）作为基础安全防护手段的防火墙策略随着时间的变化，策略也在不断增多，防火墙的性能也在不断下降。

基于目前网络安全和信息安全的建设需要，迫切需要建设主动化网络安全监控管理体系，集网络访问行为监控、网络流量管理、监控、分析于一体，并提供专门的防火墙策略分析和梳理功能，可应用于网络异常行为分析、网络流量审计、异常流量分析、故障定位等，充分满足运维人员、安全服务人员的需求，提供必要的防护措施，以提高在网络环境中关键任务应用的安全性。

3 网络安全监控体系功能设计

系统采用流量采集引擎分布式旁路部署，和数据中心集中存储、分析、展现部署。

3.1 流量采集

采用分布式流量采集，数据集中存储、分析、展现的系统架构，将采集引擎部署到不同的位置，如网络出口、安全域之间、网络汇聚层、接入层等，配置多个网络设备向流量监控数据中心发送流量数据[3]，系统部署方案如图1。

图1 系统部署方案

3.2 数据存储

采用容量为6T~16T的磁盘存储空间，多块磁盘组成RAID阵列，满足持久、可靠的流量存储需求。海量的数据存储能力为全面、大跨度地做流量分析、审计、取证提供了保障。

3.3 行为管理

按照黑白名单方式管理流量的功能。为访问关系配置黑白名单，可以预先在系统新建黑白名单，也可以从excel表导入。黑白名单由五元组定义，名单的IP地址对象可以配置地理位置。基于用户配置的黑白名单访问关系，实时检测流量的合规性，并可以在访问关系监控图上醒目地看到是否存在违规访问行为，是否存在未知的访问行为。对于未知的访问行为，系统会如实记录，通过对未知访问行为的分析，将方便地在线确认为对应的名单类型。

3.4 行为监控

互联监控功能包括安全域互联监控和境内、境外互联监控。

（1）安全域互联监控：以拓扑图形式展现特定或全部安全域之间的互联关系及其黑白名单类型，支持监控图内容过滤，支持图形对象下钻，支持监控图的缩放、导出、打印等操作。

（2）境内、境外互联监控：以地图形式展现用户网络与境内外的互联情况，形象展示互联关系黑白名单类型、互联频次大小、互联关系连线可下钻。

3.5 行为分析

系统通过对网络报文或流数据的解析，形成三类数据作为流量行为分析的基础：

（1）流信息：支持TCP、UDP、ICMP三种最常见的流解析。流信息由基本信息和扩展信息构成。包括源和目的IP、源和目的端口、传输层协议、流起止时间、包数、会话时长、流量、MAC地址等；扩展信息包括IP地理位置、所属分组、设备名等，其中IP地理位置由系统自动提供[4]。

（2）payload信息：支持Oracle、HTTP、Telnet、FTP应用层协议的账号和指令解析。

（3）网络报文：原始的网络报文，以pcap文件形式存储。

4 关键业务实现效果

4.1 流量监控

可以对当前已规划好的组内ip进行流量监控，也可单独都组内IP进行监控。当网络出现大量异常流量是可随时检查流量去向，避免造成更严重损失。

图2 流量监控页面

4.2 防火墙策略梳理

通过镜像流量，长期存储流量概要信息。当导入防火墙策略后，可通过流量信息对防火墙策略进行匹配比对，检查防火墙策略的命中率与策略的合理性。

通过检查结果，比对防火墙策略进行修改，即可删除冗余策略，同时可合并覆盖策略。减少防火墙策略条目数，增强防火墙性能，可导出防火墙策略梳理报告。

5 结束语

随着税务信息化建设的不断推进及信息技术的广泛应用，国家敏感信息、企业数据风险以及个人隐私的安全性受到的挑战日趋严重，信息安全问题更加突出。由于不正确的安全策略和安全机制以及缺乏先进的网络安全技术、工具、手段和产品等原因，网络黑客对网络的攻击越来越猛烈并屡屡得手，面临的信息安全形势也越来越严峻。大连地税局构建的网络安全监控体系，从信息安全保障的角度为税务业务信息化发展提供保驾护航，确实保证网络监控背后数据的安全性，真正跟上时代发展的脚步，开启一个崭新的网络安全监控时代。

[1]郑洲.新时期高校机房数字化智能监控系统设计与应用探讨[J].无线互联科技，2017.

[2]叶伟.网络安全监控系统的研究与设计[J].信息与电脑， 2017.

[3]卞琛，于兴艳，修位蓉等.基于MPLS VPN 技术的网络监控系统分析与设计[J].科学技术研究，2015.

[4]赵衍.基于网络数据挖掘的信息安全监控体系[J].上海管理科学，2010.