探討某上市公司信息網(wǎng)絡(luò)監(jiān)測預(yù)警系統(tǒng)構(gòu)建

孫志欣

[摘? ? 要] 隨著互聯(lián)網(wǎng)的發(fā)展以及相關(guān)技術(shù)的成熟與普及，信息網(wǎng)絡(luò)安全形勢愈加嚴峻，其中信息安全攻擊手段向簡單化綜合化演變，而攻擊形式卻向多樣化復(fù)雜化發(fā)展，可以說網(wǎng)絡(luò)威脅愈演愈烈，如何更好地保護上市公司數(shù)據(jù)安全和商業(yè)利益，就顯得尤為重要，文章提出探討公司信息網(wǎng)絡(luò)監(jiān)測預(yù)警系統(tǒng)構(gòu)建，以期為上市公司長遠發(fā)展保駕護航。

[關(guān)鍵詞] 互聯(lián)網(wǎng);網(wǎng)絡(luò)安全;監(jiān)測;預(yù)警

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 05. 067

[中圖分類號] TP393.0? ? [文獻標識碼]? A? ? ? [文章編號]? 1673 - 0194（2019）05- 0174- 04

1? ? ? 背? ? 景

隨著互聯(lián)網(wǎng)的發(fā)展以及相關(guān)技術(shù)的成熟與普及，越來越多的業(yè)務(wù)通過互聯(lián)網(wǎng)的方式對外開展，在為用戶提供便民服務(wù)的同時，也面臨來自互聯(lián)網(wǎng)越來越多的攻擊與威脅。目前某上市公司服務(wù)于不同部門的業(yè)務(wù)及應(yīng)用系統(tǒng)幾十個，單純依賴粗放式的人工監(jiān)控與安全管理已經(jīng)無法適應(yīng)安全動態(tài)發(fā)展的變化，急需針對局域網(wǎng)內(nèi)重要業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)流量建立有效監(jiān)控和風(fēng)險預(yù)警體系，確保內(nèi)部業(yè)務(wù)系統(tǒng)等重要信息系統(tǒng)的安全穩(wěn)定運行，減少內(nèi)部漏洞、非法篡改、非授權(quán)訪問以及業(yè)務(wù)系統(tǒng)故障等安全事件。

2? ? ? 建設(shè)原則

網(wǎng)絡(luò)監(jiān)測預(yù)警系統(tǒng)建設(shè)要遵循“安全、先進、易用、可擴展”的原則。

安全性：系統(tǒng)要對上市公司各業(yè)務(wù)系統(tǒng)與網(wǎng)絡(luò)環(huán)境進行監(jiān)測預(yù)警，保證系統(tǒng)自身的安全性是基本原則。

先進性：要采用成熟先進的技術(shù)，確保系統(tǒng)投入的有效和可持續(xù)性。

易用性：信息網(wǎng)絡(luò)監(jiān)測預(yù)警涉及面廣，工作任務(wù)比較繁重，提高工作效率是系統(tǒng)的目標之一，因此要重視系統(tǒng)的易用性，降低系統(tǒng)部署、學(xué)習(xí)難度，提高系統(tǒng)的自動化水平。

可擴展：系統(tǒng)未來要達到對子公司相關(guān)業(yè)務(wù)系統(tǒng)和信息網(wǎng)絡(luò)的集中監(jiān)管，系統(tǒng)需要對接大量的管理信息系統(tǒng)，因此可擴展性是必須具備的特征。

3? ? ? 建設(shè)目標

通過建設(shè)公司網(wǎng)絡(luò)監(jiān)測預(yù)警系統(tǒng)，形成一套“橫縱一體”、“相互支撐”的安全體系。一方面橫向?qū)净ヂ?lián)網(wǎng)資產(chǎn)進行7×24小時實時監(jiān)測，及時發(fā)現(xiàn)安全漏洞、網(wǎng)頁掛馬、頁面篡改、業(yè)務(wù)系統(tǒng)故障等安全隱患和問題，探測出互聯(lián)網(wǎng)邊界與入侵渠道等安全關(guān)鍵因素;另一方面縱向?qū)钟蚓W(wǎng)業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)流量實時監(jiān)測，通過采集、分析、匯總局域網(wǎng)各種設(shè)備的安全數(shù)據(jù)，實現(xiàn)安全監(jiān)控的自動化，安全信息的在線預(yù)警響應(yīng)，實時安全監(jiān)測分析以及資產(chǎn)和知識管理的自動化。

通過實時監(jiān)測、安全預(yù)警、應(yīng)急響應(yīng)等多種方式完善信息安全工作的目標決策與組織協(xié)調(diào)、工作執(zhí)行與日常反饋、監(jiān)控預(yù)警與檢查評估、應(yīng)急管理與匯總分析等工作，逐步形成可駕馭的信息系統(tǒng)安全綜合保障體系，促進上市信息安全保障能力的提升。

4? ? ? 需求分析

4.1? ?互聯(lián)網(wǎng)監(jiān)測預(yù)警需求分析

建立行之有效的公司互聯(lián)網(wǎng)安全監(jiān)控系統(tǒng)，以便于能夠全面、及時地了解公司互聯(lián)網(wǎng)信息安全整體狀況、突發(fā)事件及相關(guān)信息，具備監(jiān)測、預(yù)警的能力。并將采集到的安全數(shù)據(jù)進行集中展示，便于內(nèi)容和行為的事后全程可追溯，主要涉及互聯(lián)網(wǎng)資產(chǎn)監(jiān)控體系、互聯(lián)網(wǎng)漏洞驗證工具集、互聯(lián)網(wǎng)監(jiān)測預(yù)警系統(tǒng)等內(nèi)容。

4.2? ?網(wǎng)絡(luò)監(jiān)測預(yù)警需求分析

目前上市公司辦公大樓日常登錄使用的IP地址有2 000多個，存在的安全威脅主要有網(wǎng)絡(luò)互連、攻擊快速傳播帶來的安全風(fēng)險和來自網(wǎng)絡(luò)資源濫用的安全風(fēng)險以及漏洞存在的安全風(fēng)險。

4.3? ?功能需求分析

局域網(wǎng)監(jiān)測預(yù)警系統(tǒng)需要提供信息資產(chǎn)管理、日志信息采集、漏洞掃描統(tǒng)計、事件關(guān)聯(lián)分析、安全威脅預(yù)警、運維態(tài)勢感知、系統(tǒng)決策支撐等功能。其中信息資產(chǎn)管理功能，可以對網(wǎng)絡(luò)中的管理對象資產(chǎn)進行管理。除基本資產(chǎn)信息外，還可以自定義資產(chǎn)標簽，實現(xiàn)資產(chǎn)的動態(tài)屬性擴展。能夠提供基于拓撲的資產(chǎn)視圖，可以按圖形化拓撲模式顯示資產(chǎn)，并可編輯資產(chǎn)之間的網(wǎng)絡(luò)連接關(guān)系，通過資產(chǎn)視圖可直接查看該資產(chǎn)的狀態(tài)、事件及告警信息。

4.4? ?服務(wù)需求分析

主要包括實時安全監(jiān)測服務(wù)、威脅分析服務(wù)、實施監(jiān)測服務(wù)、滲透測試服務(wù)等服務(wù)需求。

5? ? ? 建設(shè)內(nèi)容

5.1? ?互聯(lián)網(wǎng)監(jiān)測預(yù)警系統(tǒng)建設(shè)

5.1.1? ?互聯(lián)網(wǎng)監(jiān)測預(yù)警系統(tǒng)體系架構(gòu)

互聯(lián)網(wǎng)監(jiān)測預(yù)警系統(tǒng)主要有兩部分組成。

互聯(lián)網(wǎng)邊界管理：對公司互聯(lián)網(wǎng)相關(guān)資產(chǎn)進行實時感知，預(yù)知資產(chǎn)詳細變化情況，實現(xiàn)保護目標變化的及時感知，動態(tài)掌握互聯(lián)網(wǎng)登錄入口、非業(yè)務(wù)端口以及敏感鏈接等互聯(lián)網(wǎng)邊界;

公司內(nèi)部的資產(chǎn)統(tǒng)計及管理都是由財務(wù)審計為出發(fā)點，后逐步融入了資產(chǎn)盤點，資產(chǎn)進銷賬管理等等內(nèi)容，但其本質(zhì)均是為滿足財務(wù)管理。而這種管理并不能實質(zhì)的反映出資產(chǎn)在安全風(fēng)險要素中所承擔(dān)的角色和意義。從安全管理的角度來看，資產(chǎn)感知的主要目的是識別與定位到網(wǎng)絡(luò)中資產(chǎn)設(shè)備和組件信息，并對抓取信息進行指紋鑒別和分類。例如：設(shè)備型號、設(shè)備版本、組件版本、組件系統(tǒng)等。定期對網(wǎng)絡(luò)中資產(chǎn)的狀態(tài)變化情況進行探查，及時發(fā)現(xiàn)資產(chǎn)狀態(tài)變化情況，將這種變化反饋至安全維護人員以及系統(tǒng)管理人員，及時糾正異常變化?；ヂ?lián)網(wǎng)資產(chǎn)管理的內(nèi)容及范圍主要包括Web中間件的特征檢測、Web服務(wù)端語言特征檢測、WebCMS版本檢測、端口與服務(wù)檢測等。

互聯(lián)網(wǎng)入侵渠道管理：對可能出現(xiàn)的互聯(lián)網(wǎng)入侵渠道以及互聯(lián)網(wǎng)資產(chǎn)進行安全監(jiān)測，獲取系統(tǒng)脆弱性數(shù)據(jù)，發(fā)現(xiàn)和感知重要互聯(lián)網(wǎng)信息系統(tǒng)及其相關(guān)業(yè)務(wù)系統(tǒng)的安全漏洞，并評估安全漏洞的影響范圍及影響程度，將漏洞感知數(shù)據(jù)反饋至響應(yīng)處置流程（用于及時開展漏洞處置）。

總體框架如圖1所示。

互聯(lián)網(wǎng)監(jiān)測預(yù)警系統(tǒng)部署如圖2所示，互聯(lián)網(wǎng)監(jiān)測預(yù)警系統(tǒng)通過新增互聯(lián)網(wǎng)線路的方式對原有公司互聯(lián)網(wǎng)業(yè)務(wù)及相關(guān)資產(chǎn)進行監(jiān)控及安全數(shù)據(jù)收集。

5.1.2? ?數(shù)據(jù)采集工具

互聯(lián)網(wǎng)監(jiān)測預(yù)警系統(tǒng)通過系統(tǒng)配套監(jiān)測及數(shù)據(jù)采集引擎和調(diào)用外部工具（或模塊）采集數(shù)據(jù)等兩種方式完成數(shù)據(jù)采集。

5.2? ?局域網(wǎng)監(jiān)測預(yù)警系統(tǒng)建設(shè)

局域網(wǎng)網(wǎng)絡(luò)監(jiān)測預(yù)警系統(tǒng)主要由兩部分組成：網(wǎng)絡(luò)監(jiān)測預(yù)警管理系統(tǒng)和各種監(jiān)測采集系統(tǒng)組成。

其中網(wǎng)絡(luò)監(jiān)測預(yù)警管理系統(tǒng)負責(zé)收集網(wǎng)站和業(yè)務(wù)系統(tǒng)安全監(jiān)測系統(tǒng)的數(shù)據(jù)，展示安全態(tài)勢（整體安全態(tài)勢、區(qū)域安全態(tài)勢、重點網(wǎng)站安全態(tài)勢）、威脅統(tǒng)計（包括漏洞、掛馬、頁面篡改等）、實時告警等，同時可實現(xiàn)整改通知、資產(chǎn)管理、風(fēng)險管理、預(yù)警管理、報表管理、系統(tǒng)管理等多方面的管理功能。

各種監(jiān)測采集系統(tǒng)通過采集、掃描、核查等方式進行各種數(shù)據(jù)源的采集輸送到管理系統(tǒng)。x

5.2.1? ?體系架構(gòu)

監(jiān)測預(yù)警系統(tǒng)基于信息安全模型構(gòu)建，涵蓋了數(shù)據(jù)采集和解析、數(shù)據(jù)通信、分析計算、分布式應(yīng)用及系統(tǒng)安全等，根據(jù)流程分為采集—分析—處理三個階段各模塊之間采用加密通訊，確保傳輸安全，系統(tǒng)日志數(shù)據(jù)逐級上傳，管理數(shù)據(jù)逐級下發(fā)。

數(shù)據(jù)采集和解析：通過信息收集引擎和數(shù)據(jù)采集模塊來完成。

數(shù)據(jù)通信：基于SOA技術(shù)，具備可信的通信網(wǎng)絡(luò)服務(wù)。

分析計算：使用數(shù)據(jù)倉庫技術(shù)，通過多維數(shù)據(jù)集分析、數(shù)據(jù)挖掘等技術(shù)來完成復(fù)雜的數(shù)據(jù)分析。

分布式應(yīng)用：采用B/S三層架構(gòu)（J2EE）。

5.2.2? ?數(shù)據(jù)采集工具

5.2.2.1? ?控制臺

控制臺是網(wǎng)絡(luò)監(jiān)測預(yù)警系統(tǒng)的控制中心，分別安裝平臺管理系統(tǒng)、軟件采集平臺和數(shù)據(jù)庫系統(tǒng)。

5.2.2.2? ?業(yè)務(wù)監(jiān)測系統(tǒng)

通過旁路部署在網(wǎng)絡(luò)內(nèi)，自動進行監(jiān)控和檢測，24小時不間斷進行Web和業(yè)務(wù)系統(tǒng)安全監(jiān)測，根據(jù)審計業(yè)務(wù)的類型進行命令和字段的自動提取，用戶可以選擇提取后的命令或字段作為重點對象進行分析。針對數(shù)據(jù)庫類業(yè)務(wù)，可分析并形成數(shù)據(jù)庫名、表名、命令等列表;針對Web業(yè)務(wù)，可分析并形成URL、訪問模式等列表。通過智能分析功能，可以簡化用戶對審計數(shù)據(jù)的分析過程，大大提高分析的效率。針對敏感數(shù)據(jù)資產(chǎn)的各類訪問行為進行審計，達到實時告警、事后溯源的目的。

5.2.2.3? ?異常流量監(jiān)測系統(tǒng)

（1）流檢測

通過公司局域網(wǎng)內(nèi)數(shù)據(jù)流量的采集，對局域網(wǎng)間的數(shù)據(jù)流向進行分析，根據(jù)業(yè)務(wù)及管理的邏輯，定義設(shè)備連接關(guān)系的白名單。并通過對互聯(lián)關(guān)系的積累，逐漸定義黑名單。理清公司內(nèi)各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流向關(guān)系。

采用旁路接入，通過流量鏡像技術(shù)，基于惡意流量行為特征的檢測技術(shù)，系統(tǒng)采用IP地理定位技術(shù)，實現(xiàn)了IP來源定位、名單/策略的IP地址區(qū)域配置支持。

（2）包檢測

對公司局域網(wǎng)流量數(shù)據(jù)包進行拆包分析，與攻擊檢測特征庫進行比對從而對局域網(wǎng)內(nèi)病毒、蠕蟲、木馬、DDoS、掃描、SQL注入、XSS、緩沖區(qū)溢出、欺騙劫持等攻擊行為以及網(wǎng)絡(luò)資源濫用行為（如P2P上傳/下載、網(wǎng)絡(luò)游戲、視頻/音頻、網(wǎng)絡(luò)炒股）等威脅進行檢測。

（3）文件檢測

通過對公司局域網(wǎng)流量內(nèi)數(shù)據(jù)進行提取，包括多種方式提取原始文件、特定流量、報警會話完整流等各種現(xiàn)場數(shù)據(jù)快照，來支撐網(wǎng)絡(luò)監(jiān)測預(yù)警系統(tǒng)分析、確認報警事件時所需要的現(xiàn)場數(shù)據(jù)。

5.3? ?實時安全監(jiān)測分析服務(wù)

5.3.1? ?實時監(jiān)測數(shù)據(jù)分析服務(wù)

通過駐場實時監(jiān)測數(shù)據(jù)分析服務(wù)提供的日常系統(tǒng)運維、規(guī)則升級管理、網(wǎng)站安全監(jiān)測、日常告警處置、安全事件分析、整理階段監(jiān)測報告等多方面的運維服務(wù)，保障互聯(lián)網(wǎng)及局域網(wǎng)監(jiān)測平臺的穩(wěn)定運行、7×24小時持續(xù)安全監(jiān)測、日常告警安全事件的及時有效處理。提供3年駐場實時監(jiān)測數(shù)據(jù)分析服務(wù)，安排3名監(jiān)測數(shù)據(jù)分析服務(wù)人員實時維護系統(tǒng)。

5.3.2? ?遠程偵測支撐服務(wù)

通過安全監(jiān)測團隊及攻防實驗室團隊遠程對高危/突發(fā)安全漏洞、網(wǎng)頁掛馬、頁面篡改等安全事件進行技術(shù)支撐以及對漏洞平臺漏洞監(jiān)測的服務(wù)支撐。

技術(shù)支撐，通過對高危/突發(fā)安全漏洞、網(wǎng)頁掛馬、頁面篡改等安全事件進行技術(shù)支撐，使相關(guān)安全事件得到更深入的分析處理。

服務(wù)支撐，通過對烏云、CNVD等漏洞平臺漏洞的監(jiān)測，及時發(fā)現(xiàn)外部披露的外網(wǎng)網(wǎng)站漏洞，及時發(fā)現(xiàn)，及時處理，可降低網(wǎng)站風(fēng)險，減少可能帶來的損失。

6? ? ? 結(jié)? ? 語

本文在某上市公司網(wǎng)絡(luò)安全現(xiàn)狀分析基礎(chǔ)上，從互聯(lián)網(wǎng)監(jiān)測預(yù)警、網(wǎng)絡(luò)監(jiān)測預(yù)警、實現(xiàn)功能、系統(tǒng)服務(wù)等方面進行需求分析，并根據(jù)系統(tǒng)需求提出了互聯(lián)網(wǎng)監(jiān)測預(yù)警系統(tǒng)、局域網(wǎng)監(jiān)測預(yù)警系統(tǒng)、實時安全監(jiān)測分析服務(wù)等建設(shè)內(nèi)容，更好地抵御網(wǎng)絡(luò)攻擊，守護公司網(wǎng)絡(luò)安全。

主要參考文獻

[1]楊斌.影響網(wǎng)絡(luò)信息安全因素探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（4）：11.

[2]王斌. 基于互聯(lián)網(wǎng)時代下計算機信息安全的探析[J].電腦知識與技術(shù)，2017（13）：76-77.

[3]高山山.基于網(wǎng)絡(luò)信息安全技術(shù)管理下的計算機應(yīng)用探究[J].科技創(chuàng)新與應(yīng)用，2015（33）：106.

[4]賈術(shù)恒.影響企業(yè)信息安全管理因素探析——以A公司為例[D].北京：北京大學(xué)，2012.