高原環(huán)境下網絡安全應急響應工具

于勃，王磊

（1．國網西藏電力研究院，拉薩850000；2．國網山東省電力公司信息通信公司，濟南250001）

高原環(huán)境下網絡安全應急響應工具

于勃1，王磊2

（1．國網西藏電力研究院，拉薩850000；2．國網山東省電力公司信息通信公司，濟南250001）

在高原環(huán)境下，由于高海拔和寬地域，網絡入侵事件無法及時處理，導致事態(tài)擴大。自適應高原環(huán)境的網絡入侵應急響應工具采用集成安全應急響應技術，遠程及時、便捷地處理入侵事件，克服高原環(huán)境下設備運輸不便、地域遠等問題。經測試，具有較好的時效性和實用性。

高原環(huán)境；網絡安全；應急響應

0 引言

在高原地區(qū)，由于高海拔和地域寬廣，一旦出現網絡故障和入侵事件，無法像沿海地區(qū)那樣快速響應，同時由于高海拔、日溫差大、強烈日照輻射等惡劣工況，使得常用的各類網絡安全設備經常會出現不正常工作狀態(tài)，從而會導致入侵事件處理延遲、事態(tài)擴大，有時會引起社會反響。因此有必要研究在高原環(huán)境下可以進行快速響應的網絡安全應急工具。

西藏平均海拔在4 000 m以上，氣候干燥、空氣稀薄，號稱“世界屋脊”、“生命禁區(qū)”，這里海拔高、氣溫低、日溫差大、有時有沙塵暴、強烈日照輻射。IEC、ISO國際標準規(guī)定的電器產品適用海拔高度一般不超過1 000 m，個別達到2 000 m，而西藏由于高海拔造成的低氣壓、空氣稀薄，使信息安全設備面臨著許多故障問題：比如材料工況惡化，降低設備冷卻系統(tǒng)散熱效率；電器設備易產生外絕緣放電、電暈等現象，加速絕緣材料和設備失效損壞；電子元器件在高原環(huán)境下性能也會受到極大影響，故障率明顯增加；日溫差大易使材料和設備結構部件開裂、變形，設備內部凝露受潮會加速金屬腐蝕；沙塵進入引起設備運轉部件機械損傷加速磨損；阻礙通風散熱系統(tǒng)導致發(fā)生故障；腐蝕性或導電性粉塵沉積在物質表面吸濕潮解后，也會使其加速腐蝕，出現絕緣漏電或短路現象。這些高原特有環(huán)境會導致信息安全應急響應設備經常出現不能正常工作的問題。同時由于西藏地廣人稀，對于許多網絡入侵應急響應來說，工作人員無法多次往返網絡安全故障現場，從而希望前往現場一次就能解決故障問題。

1 應急響應要求

安全事件應急響應是指針對已經發(fā)生或可能發(fā)生的安全事件進行監(jiān)控、分析、協(xié)調、處理、保護資產安全屬性的活動。安全事件應急響應工作的特點是高度的壓力、短暫的時間和有限的資源。應急響應是一項需要充分準備并嚴密組織的工作。它必須避免不正確的和可能是災難性的動作或忽略了關鍵步驟的情況發(fā)生。它的大部分工作應該是對各種可能發(fā)生的安全事件制定應急預案，并通過多種形式的應急演練，不斷提高應急預案的實際可操作性［1］。具有必要技能和相當資源的應急響應組織是安全事件響應的保障。應急響應除了需要技術方面的技能外，還需要必備的安全應急響應工具。常見的網絡入侵應急響應工具有日志分析系統(tǒng)、漏洞掃描系統(tǒng)、入侵檢測系統(tǒng)等。但是在西藏高原環(huán)境下，一旦發(fā)生網絡入侵安全事件，安全應急響應人員無法一次攜帶許多設備前往現場。急需一種網絡入侵應急響應的集成工具，集成漏洞掃描、日志檢查、安全配置檢查等功能于一體，同時硬件須適應高原特有環(huán)境條件，便于攜帶，易使用，多功能，便于在西藏高原地區(qū)快速開展網絡入侵安全應急響應工作。

2 網絡安全應急響應工具設計

作為集成化的網絡安全應急響應工具需要集成漏洞掃描、日志檢查、安全配置、抓包分析等功能，因此工具采用模塊化設計，如圖1所示，依次分為4層：數據處理引擎層、系統(tǒng)核心層、報告引擎層、系統(tǒng)界面層，每層內部劃分不同的功能模塊，滿足高原環(huán)境下集成安全應急響應工具的需要。工具硬件平臺采用專用的適應高原環(huán)境高配置筆記本電腦，以適應高原環(huán)境的需要。

圖1 模塊化的網絡安全應急響應工具設計

2.1 數據處理引擎層

數據處理引擎層主要包含數據處理引擎和系統(tǒng)服務引擎。數據處理引擎是系統(tǒng)內部的數據接口，提供了數據庫訪問、數據緩存、數據同步等功能。數據處理引擎屏蔽了數據庫系統(tǒng)操作的細節(jié)，減少數據庫的連接，優(yōu)化數據庫的訪問，緩存常用的計算復雜數據，集中處理數據的邏輯，降低了其他功能模塊的維護工作量。

系統(tǒng)服務引擎是系統(tǒng)內部的功能接口，提供了系統(tǒng)還原點備份與恢復、任務數據導入導出等功能。系統(tǒng)服務引擎解耦了前臺操作和后臺操作，后臺功能以特定的權限運行，增加了系統(tǒng)的安全性。

2.2 系統(tǒng)核心層

系統(tǒng)核心層包含掃描處理模塊（主機發(fā)現、操作系統(tǒng)識別、服務識別、弱口令檢測、漏洞掃描）、日志分析模塊、配置核查模塊、抓包分析模塊、證書升級模塊等，同時還具有較多可擴展的模塊和插件。這層主要實現網絡入侵應急響應各類功能。

2.3 報告引擎層

報表引擎層主要包括報告引擎和調度引擎，報告引擎是報表展示的核心處理模塊，能夠提供HTML、WORD、EXCEL、PDF等多種報表格式。調度引擎是掃描工作的協(xié)調中心，根據用戶操作不同可能有立即執(zhí)行的任務、定時執(zhí)行的任務、周期執(zhí)行的任務等，檢測出任務的類型和優(yōu)先級，進行漏洞掃描或者配置檢查、口令猜測。

2.4 系統(tǒng)界面層

系統(tǒng)接入層包含了用戶通過瀏覽器訪問Web頁面、通過串口訪問控制臺、通過數據接口進行數據交互等方式，其中數據接口包含第三方平臺管理數據接口、SNMP Trap。

3 網絡安全應急響應工具特點

3.1 集成化自動處理

網絡入侵應急響應工具支持全方位的安全漏洞掃描、安全配置、日志分析、數據抓包分析，包含了日常安全應急響應的主要工作內容，通過集成化和統(tǒng)一化的自動處理，實現了工具的有效集成。特別在高原環(huán)境下，可以較好地啟動和攜帶，可以更好地實現高原環(huán)境下的網絡入侵應急響應。

3.2 便攜設備隨時響應

網絡入侵應急響應工具為高原環(huán)境特有便攜式設備，小巧輕便，在保證快速應急響應的基礎上，方便攜帶進行現場安全檢查，實現性能和便攜要求的統(tǒng)一。

工具提供多種靈活的部署方式，能夠滿足復雜的網絡環(huán)境下的要求，并且優(yōu)先應用輕量級部署方案。網絡入侵應急響應工具可靈活適應各種網絡拓撲環(huán)境，便于擴展。

另外，考慮到虛擬化和IPv6網絡的逐步應用，網絡入侵應急響應工具也支持通過虛擬化鏡像方式在虛擬化環(huán)境下直接部署，支持IPv6網絡環(huán)境下的部署和漏洞掃描。

3.3 風險統(tǒng)一分析

常用的應急響應有很多獨立的安全應急響應設備組成，包括漏洞掃描、配置檢查、Web應用掃描等工具，在對信息系統(tǒng)進行安全檢查后，分別得到不同的檢查報告，互相之間沒有聯(lián)系，實際上不同脆弱性的檢查結果都從不同方面反映網絡系統(tǒng)的安全風險狀態(tài)，要了解信息系統(tǒng)總體安全風險狀況，需要對應急響應系統(tǒng)脆弱性的所有方面統(tǒng)一進行分析和評估。

網絡入侵應急響應工具支持全方位的安全漏洞掃描、安全配置、日志分析、抓包分析等功能，通過統(tǒng)一的安全風險計算方法，對應急響應系統(tǒng)中多個方面的安全脆弱性統(tǒng)一進行分析和風險評估，給出總體安全狀態(tài)評價，全面掌握應急響應系統(tǒng)的安全風險，便于更好地進行針對性安全應急響應。

3.4 大數據處理故障快速定位

網絡入侵應急響應工具部署完成后，首先盡量收集IT系統(tǒng)環(huán)境信息，建立起IT資產關系列表。準備工作完成后，系統(tǒng)基于資產信息進行脆弱性掃描、日志獲取、數據抓包分析，然后進行大數據處理，快速實現故障定位，從而實現應急響應功能。網絡入侵應急響應工具分析結果以儀表盤方式展示，從風險發(fā)生區(qū)域、類型、嚴重程度、故障問題等進行不同維度的分類分析報告，應急響應者可以全局掌握安全風險，關注重點安全故障，對嚴重問題優(yōu)先進行應急響應［2］。同時也提供強大的搜索功能，可以根據資產范圍、風險程度等條件搜索定位故障。

4 高原網絡安全應急響應流程

在高原環(huán)境下，網絡入侵安全應急響應和其余地方的網絡入侵安全應急響應流程有所不同，由于客觀高原環(huán)境影響，網絡入侵安全應急響應希望能做到每次出動都能盡快解決問題，往返事故現場的次數越少越好，盡可能少的攜帶應急響應設備。因此提出的高原環(huán)境下的網絡入侵應急響應工具能滿足高原環(huán)境下的網絡入侵應急響應需要。同時在高原環(huán)境下還需要一個安全應急響應的流程，系統(tǒng)通常存在各種殘余風險的客觀情況下，應急響應是一個必要的保護策略。需要強調的是，盡管有效的應急響應可以在某種程度上彌補安全防護措施的不足，但不可能完全代替安全防護措施。缺乏必要的安全措施，會帶來更多的安全事件，最終造成資源浪費。

高原環(huán)境下安全事件應急響應的目標通常包括：采取緊急措施，恢復業(yè)務到正常服務狀態(tài)；調查安全事件發(fā)生的原因，避免同類安全事件再次發(fā)生；在需要司法機關介入時，提供法律的數字證據等［3］。

結合高原環(huán)境，安全事件應急響應工作流程包括準備、檢測、抑制、根除、恢復和跟進6個階段［4］。

準備階段。準備階段是安全事件響應的第一個階段，即在事件真正發(fā)生前為事件響應做好準備。這一階段極為重要，因為事件發(fā)生時可能需要在短時間內處理較多的事情，如果沒有足夠的準備，那么將無法正確的完成響應工作。在準備階段應關注以下信息：基于威脅建立合理的安全保障措施；建立有針對性的安全事件應急響應預案，并進行應急演練；為安全事件應急響應提供足夠的資源和人員；建立支持事件響應活動管理體系。

檢測階段。檢測是指以適當的方法確認在系統(tǒng)中是否出現了惡意代碼，文件和目錄是否被篡改等異?，F象。如果可能的話同時確定它的影響范圍和問題原因。從操作的角度來講，事件響應過程中所有的后續(xù)階段都依賴于檢測，如果沒有檢測，就不會存在真正意義上的事件響應。檢測階段是事件響應的觸發(fā)條件。

抑制階段。抑制階段是事件響應的第3個階段，它的目的是限制攻擊破壞所波及的范圍，同時也是限制潛在的損失。所有的抑制活動都是建立在能正確檢測事件的基礎上，抑制活動必須結合檢測階段發(fā)現的安全事件的現象、性質、范圍等屬性，制定并實施正確的抑制策略。抑制策略可能包含以下內容：完全關閉所有系統(tǒng)；從網絡上斷開主機或部分網絡；修改所有的防火墻和路由器的過濾規(guī)則；封鎖或刪除被攻擊的登陸賬號；加強對系統(tǒng)或網絡行為的監(jiān)控；設置誘餌服務器進一步獲取事件信息；關閉受攻擊系統(tǒng)或其他相關系統(tǒng)的部分服務［5］。

根除階段。即在準確地抑制事件后，找出事件的根源并徹底根除它，以避免攻擊者再次使用相同手段攻擊系統(tǒng)，引發(fā)安全事件。在根除階段中需要利用在準備階段產生的結果。

恢復階段。事件的根源根除后，進入恢復階段。恢復階段的目標是把所有被攻破的系統(tǒng)或網絡設備還原到它們正常的任務狀態(tài)。

跟進階段。安全事件應急響應的最后一個階段是跟進階段，其目標是回顧并整合發(fā)生事件的相關信息。跟進階段也是最可能被忽略的階段，但這一步也是非常關鍵的。完成該階段有助于從安全事件中吸取經驗教訓，提高技能，有助于評判應急響應組織的事件響應能力。

5 結語

適合高原環(huán)境的網絡入侵應急響應工具在采用特別適用高原環(huán)境的硬件設備基礎上集成了眾多常見的應急響應功能，便于攜帶和使用，可以快速實現高原環(huán)境下的網絡入侵應急響應，按照特有的高原應急響應流程，可以實現高原環(huán)境下高效率的信息網絡安全應急響應。

［1］劉玉龍.我國網絡與信息安全應急響應體系建設［J］.能源技術與管理，2012（3）：164-165.

［2］陳祖義，華勇.計算機網絡入侵應急響應的研究［J］.計算機安全，2009（7）：66-69.

［3］張帆.網絡攻擊過程分析與防范［J］.黃石高等?？茖W校學報，2004（6）：4-7.

［4］劉振峰.淺談網絡信息安全事件的應急響應［J］.信息網絡安全，2007（2）：44-47.

［5］鐘浩.關于互聯(lián)網安全應急響應的事件處理［J］.電信科學，2005（6）：55-58.

Network Security Emergency Response Tools in Plateau Environment

In plateau environment，because of the high altitude and wide area，network intrusion events often fail to be tackled in a timely manner，and lead to expand the situation.In plateau environment，network intrusion emergency response tools utilize integrated security emergency response technology，and have advantages of remote timely and processing intrusion events conveniently.The response tools overcome the problem of equipment inconvenient transportation and difficult access of far-away regions and so on.Practice shows them both effective and practical.

plateau environment；network security；emergency response

TP393.08

：B

：1007－9904（2014）06－0063－04

2014-08-06

于勃（1981），男，工程師，從事電力信息安全技術督查工作；

王磊（1982），男，工程師，從事電力信息通信調控管理工作。