关键词:广播电视监测网;网络;安全
随着广播电视数字化、网络化的迅速发展,广播电视监测工作由过去靠人工的传统落后手段转变为网络化、自动化的方式,监测网的建成使监测工作发生了飞跃式的变化,提高了信息反馈速度,丰富了监测信息内容,拓展了监测业务类型,扩大了监测地理范围,大大提高了广播电视监测的综合监测能力。但是,随着网络规模的扩大,监测网的复杂性和风险性也在不断增加。业务的发展对网络性能的要求也在不断提高,如何运用先进技术方案保障监测网络安全而高效地运转已经成为我们面临的重要工作。
1 监测网网络结构特点
网络规模大、系统复杂、专业性强,通常由一个或多个局域网系统及数个地理位置分散的远程无人值守遥控站点组成分布式广域网系统。
多种通信方式并存,监测网系统的通信建立倚赖于当地的通信条件,造成系统具有多种接入方式。
软件开发基于J2EE平台,软件体系多采用C/S架构。
2 风险性分析
目前,广播电视监测网主要面临以下问题:
2.1缺乏完整的安全体系
广播电视监测网建设是根据总体规划,分步实施的,系统往往边运行边扩展规模。这种情况造成监测网系统建设之初,对系统安全很难进行全面规划。随着网络规模的扩大及应用范围的扩展,网络的脆弱性不断增加,同时,系统配置的更改,软件的升级也造成系统的安全需求不断变化,现有的安全手段将很难胜任。
2.2系统分布方式带来安全的复杂性
监测网系统具有节点分布广,地理位置分散等特点,使得对网络安全状况的集中控制变得困难,带来数据安全的复杂性。不同的环节将需要不同手段的安全方案。
2.3网络本身的安全漏洞
监测系统是一个基于IP的网络系统,采用TCP/IP协议软件,本身在应用、传输时存在较多不安全因素。
3 安全技术方案
鉴于对以上几种风险性因素的分析,根据系统的实际情况,结合考虑需求、风险、成本等因素,在总体规划的基础上制订了既可满足网络系统及信息安全的基本需求,又不造成浪费的解决方案。
3.1网络资源总体规划
实践证明,合理、统一的网络规划对网络维护及安全运行都有极大的好处,有利于保障监测网系统在不断扩展中的可持续性,因此,在监测网建立之初统一进行网络资源的设计,制定合理的IP规划、网络拓扑规划,对各种资源进行统一编码是保障网络安全的第一步。
3.2设备安全配置
对于重要安全设备如交换机、路由器等,需要制定良好的配置管理方案,关闭不必要的设备服务,设置口令、密码,加强设备访问的认证与授权,升级BIOS,限制访问、限制数据包类型等。
3.3操作系统安全方案
操作系统大部分的安全问题归根结底是由于系统管理不善所导致的。解决方案是正确更新使用密码设置、权限设置,正确进行服务器配置。建立健全操作系统安全升级制度,及时下载并安装补丁。
3.4备份方案
为保证监测网的安全稳定运行,对于监测网的核心局域网系统硬件可采用双机热备方案,磁盘阵列、交换机、防火墙等硬件采用双机并行,负载均衡的方式运行,应用服务器、数据库服务器还可互为备份,从而保证不会因某一点出现故障而影响整个系统的正常使用。
3.5病毒防护
监测网系统覆盖的点多面广,防毒系统应采用集中控制多层防护的方案,在监测系统各个网络都分级部署防病毒软件,中心网络对下一级系统进行实时集中病毒监测,定时升级。制定和采用统一的防病毒策略,使得网络中的所有服务器和客户端都能得到相同的防病毒保护。
3.6防火墙系统
监测网系统由于其分布特性往往由多个安全域组成,应加装防火墙,以实现系统内各级网络之间的隔离和访问控制;实现对服务器的安全保护及对远程用户的安全认证与访问权限控制,并实现对专线资源的流量管理控制和防攻击。
3.7应用安全
可采用多种手段保障应用层安全。如:系统日志审核、服务器账户管理、用户登录权限管理、数据定期备份等。
3.8数据传输安全
监测网作为一个广域网主要利用广电光缆或电信线路进行通信,为保证安全性,数据的传输须采取加密措施。具体方案可针对不同通信方式及数据安全级别制定。
4 结束语
网络是一个多样、复杂、动态的系统,单一的安全产品和技术不能够满足网络安全的所有要求,只有各个安全部件相互关联、各种安全措施相互补充,网络安全才能得到保障。同时,任何一个网络的安全目标都不是仅依靠技术手段就能实现的,还应采取措施加强操作人员素质管理,提高值班员责任心。做到管理规范,才能确保监测网安全、高效运行。
参考文献
一、监测网网络的安全分析
目前我国的广播电视监测网的网络在安全方面存在的严重问题主要体现在以下几个方面:
(1)缺少健全的网络安全体系
成体系的安全保障,可以极大地防范某些已知的安全风险,甚至因为体系本身的连锁性与内部关联性还可以消除掉某些未知的安全风险。然而我国目前为止还没有建立健全这类广播电视事业方面必须的也是急需的网络安全保障体系。缺少这样的保障体系无疑就将整个广播电视事业的安全推向了危险的边缘。
(2)复杂的系统分布威胁安全
我国的广播电视事业的一个最显著的特点就是与我国的广阔国土资源相关的,那就是广播电视事业的疆域之广。这个广度几乎已经覆盖了我国的整个国土的绝大部分地区,甚至已经覆盖了我国的部分无人区。与之相应的,监测网络系统也必须随之扩展,这就造成了我国的广播电视监测网络具有着在地理上的分散性、在通信手段上的复杂多样性、在节点上的分布性。正是这分散、复杂、分布三种特性使得在我国开展彻底的、有效的、真正能够确保安全的监测变得极为困难。
首先,就是分布性,分布性最大的难题就是部署监测网络的也要与之对应地分布,然而,分布不是最终目的,最终目的是要实现实时的统一控制、集中管理,在一个非常广阔的区域上分布已经不易,实现实时的统一控制、集中管理就更是难上加难。
其次,由于我国的各个广播电视机构之间存在着设备与技术的不统一性,某些已经发展起来的大的省级甚至市级电视台已经有能力布署超过中央级的广播电视设备。并且,每个广播电视台站都可以选择不同的、甚至多种通信方式并存的数据传输与传播方式。而每一种数据传输与传播方式其监测的技术与手段各有不同,这种复杂性就给监测网络的安全造成了极大的威胁。
(3)IP网络自身存在安全缺陷
世界各国的广播电视监测网络包括我国的广播电视监测网络都是一种与互联网架构相同的基于TCP/IP协议(TCP=传输控制协议IP=互联传输协议)的网络。当然,还有基于无线的与模拟信号的监测网络系统。TCP/IP网络虽然产生的历史较为悠久,但这种基于TCP/IP协议的开放性、通用性、可访问性、可探测性也是其极易被攻击的致命弱点。如在应用层,由于应用程序和操作系统的漏洞可导致被攻击与破坏,在网络层和传输层,主要有拒绝服务攻击和数据窃听的风险,而在硬件设备与数据链路层,主要的威胁是设备的破坏等。
(4)管理体系不够健全
广播电视监测网发展迅速,规模和网络产生了非常大的扩张,但在系统建设、保证网络系统安全运行和信息保密的问题上,目前仍然缺少统一的安全标准、全面的管理机制以及法规条例。
二、广播电视监测网网络主要系统结构
遥控监测站系统:该系统通常情况下包括广播电视监测数据信息的采集记录,主要功能是能够收集本地的广播电视信号。
网络传输系统:利用广播电视干线网SDH的2M传输通道和网络监测连接中心将不同地区的监测系统和数据处理系统进行相连,从而形成一个统一的广播电视监测网。
三、提高广播电视监测网网络系统安全性的措施
1 引言
网络监听,在网络安全中通常发生在以太网中对其他主机的监听,一直以来,都缺乏很好的检测方法。这是由于产生网络监听行为的主机在工作时只是被动地收集数据包,不会主动发出任何信息的原因。目前有如下解决方法:向怀疑有网络监听行为的网络发送大量垃圾数据包,根据各个主机回应的情况进行判断,正常的系统回应的时间应该没有太明显的变化,而处于混杂模式的系统由于对大量的垃圾信息照单全收,所以很有可能回应时间会发生较大的变化;许多的网络监听软件都会尝试进行地址反向解析,因为这些检测都是建立在假设之上的,其检测结果准确率有待提高。在实际中也很难实现。
作为一种发展比较成熟的技术,网络监听在协助网络管理员检测网络传输数据,排除网络故障方面具有不可替代的作用,但网络监听也给以太网络安全带来了极大隐患,许多的网络入侵往往都是伴随着以太网内网络监听行为,从而造成口令失窃,敏感数据被截获等连锁性安全事故。在网络上,监听效果最好的地方是在网关、路由器、防火墙一类的设备处,通常由网络管理员来操作。
2 网络监听原理
以太网可以把相邻的计算机、终端、大容量存储器的设备、控制器、显示器以及为连接其他网络而使用的网络连接器等相互连接起来,具有设备共享、信息共享、高速数据通讯等特点。以太网这种工作方式,一个形象的比喻:学校很多的学生集中在一间大教室里,教室就像是一个共享的信道,里面的每个人好像是一台主机。教师所说的话是信息包,在教室中到处传播。当我们对其中某同学说话时,所有的人都能听到。正常情况下只有名字相符的那个人才会作出反应,并进行回应。但其他人了解谈话的内容,也可对所有谈话内容作出反应。因此,网络监听用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。
3 网络监听的特点
(1)手段灵活。网络监听可以在网上的任何位置实施,可以是网上的一台主机、路由器,也可以是调制解调器。
(2)隐蔽性强。进行网络监听的主机只是被动地接收网上传输的信息,没有任何主动的行为,既不修改网上传输的数据包,也不往链路上插入任何数据,很难被网络管理员觉察到。
4 网络监听的检测
(1)对于怀疑运行监听程序的机器,向局域网内的主机发送非广播方式的ARP包(错误的物理地址),如果局域网内的某个主机响应了这个ARP请求,我们就可以判断该机器处于杂乱模式。而正常的机器不处于杂乱模式,对于错误的物理地址不会得到响应。
(2)网络和主机响应时间测试。向网上发大量不存在的物理地址的包,处于混杂模式下的机器则缺乏此类底层的过滤,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,骤然增加的网络通讯流量会对该机器造成较明显的影响,这将导致性能下降。通过比较前后该机器性能加以判断是否存在网络监听。
(3)使用反监听工具如antisniffer等进行检测。
5 网络监听的防范
首先是网络分段,网络分段即采用网络分段技术建立安全的拓扑结构,将一个大的网络分成若干个小网络,如将一个部门、一个办公室等可以相互信任的主机放在一个物理网段上,网段之间再通过网桥、交换机或路由器相连,实现相互隔离。这样只有相互信任的主机才在同一网段,才可进行直接的通信。这是控制网络风暴的一种基本手段,也是防范网络监听的一项重要措施。因此,网段外的主机无法直接对网段内的主机进行监听,从而减少网段内主机被基于广播原理监听的可能性,即使某个网段被监听了,网络中其他网段还是安全的,因为数据包只能在该子网的网段内被截获,网络中的剩余部分则被保护了。
其次是数据加密,数据加密的优越性在于,即使攻击者获得了数据,如果不能破译,这些数据对他们也是没有用的。一般而言,人们真正关心的是那些秘密数据的安全传输,使其不被监听和偷换。如果这些信息以明文的形式传输,就很容易被截获而且阅读出来。因此,对秘密数据进行加密传输是一个很好的办法。
再次是加强身份验证,采用一定的安全措施,使主机之间的信任和主机身份识别需要IP地址和MAC地址,而不是单纯依靠IP地址或MAC地址。这样监听者主机就无法利用ARP欺骗技术来冒充被监听的主机。
关键词:调度数据网;网络安全;工作监测
1电网调度数据网网络安全在线监测工作现状
1.1设备运行情况不清晰
交换机以及路由器是电网调度数据网的基础部分,只有保证此类网络设备运行正常才可以促使整个电网调度数据网络的正常运行。但是工作人员往往不能实现对网络设备运行情况的实时监控,进而使得工作人员难以在第一时间了解网络设备的运行情况。一旦发生网络设备的故障,管理人员难以发现,给后期的设备维护工作造成了困难。此外,工作人员因为不能了解网络设备的运行状态,所以有关于设备的温度、CPU占用率、电源以及内存占用率等基础信息很难准确掌握,从而在日常检测设备时无法及时发现数据异常情况,导致后期网络设备出现故障的风险。
1.2设备故障管理不合理
现阶段,工作人员在调度数据网时存在“放小抓大”的设备故障管理现象,即针对于链路通断、网络设备托管等对整个电网运行影响较大的设备故障第一时间组织人员,查明问题原因并加以解决,而针对于那些CPU内存轻微超标、温度超标、内存超标等小故障未加以重视。电网运行过程中,不仅网络设备的数量庞大,而且使用过程较为复杂,若对此类设备的小故障不加以及时控制,后期往往会发展为大故障。例如,温度偏高常常被工作人员所忽视,但是温度过高现象持续时间过长会使得网络设备出现重启现象,不仅对数据的安全产生不良影响,而且还会影响正常的工作秩序[1]。
1.3网络入侵防御不全面
现阶段的电网调度数据网网络防御系统不论是其内部核心层还是其外部的接入层,都显得较为被动,缺少完整的网络入侵防御系统,仅凭借二次系统安全防护中之中的纵向认证以及横向隔离不能保证电网调度数据网运行过程安全。在电网调度数据网实际运行过程中,利用二次系统防护难以及时对业务数据中存在的潜在威胁进行有效判断。例如,黑客病毒、木马以及蠕虫等。电子邮件、网页浏览、网络的不正规下载等操作都是感染各种病毒的途径,传统的防护仅仅是通过防火墙将流入的信息进行及时过滤,只能对数据进行基本的识别,难以保证数据的安全性。
1.4内部安全防护不完善
电网调度数据网内部的安全隐患有如下3种。第一,恶意攻击行为。恶意攻击行为往往是人为的,是现如今电网调度数据网面临的最大威胁,即在保证网络系统正常运行的前提下,对电网调度数据网之中的业务系统进行盗窃、截取以及破译,进而非法获得数据的行为。第二,无意失误行为。此种行为常常是因为工作人员的不正规操作手段使得数据出现泄露、丢失等现象,影响内部电网调度数据网的正常运行。第三,系统内部漏洞。系统内部存在的漏洞是部分不法黑客侵入系统的首选目标。电网调度数据网的内部安全防护不仅应该做好对外部入侵的防护,而且需保证防护系统内部威胁。但是电网调度数据网络还不能对内部的非法授权访问、WEB页面访问以及用户数据访问中的流量进行及时监测,所以难以对内部的安全威胁做到有效控制,使得网络内部运行状态难以达到稳定状态,一旦发生网络安全事故,难以及时找出原因并且加以解决[2]
1.5网络运维工作不周密
电网调度数据网络的运维工作是保证电力系统正常运行的关键,运维工作人员主要应该保证整个调度数据的准确性,但是调度数据涉及到的网络设备较多,往往难以保证运维工作效率和质量达到规定标准。此外,现如今的网络运维工作常常只负责各种网络设备的故障以及维护工作,而对网络中出现的安全事件不重视,未及时查明安全事件发生的原因。这不仅给后期的运维工作无意间增加了难度,而且还增加了工作人员的工作量。
2电网调度数据网网络安全在线监测工作建议
2.1构建网络安全管理平台
工作人员应该及时在电网调度数据网中构建网络安全管理平台,利用网络安全管理平台可以实现对运行的所有网络设备的有效管理。网络安全管理平台是利用SNMP技术对每一个网络设备的运行状态信息进行获取,在获取后将信息汇总到系统内部,通过对数据的分析处理,进而将可能存在运行故障的网络设备及时通知给当地的工作人员,以便保证工作人员可以及时对故障进行处理。此外,当网络安全管理平台中出现的设备故障达到一定数量时,网络安全管理平台会自动将此类现象升级为安全事件,此时管理人员会在特定地区内部进行重点排查,进而保证电网调度数据网络的正常运行。
2.2重视设备的实时监控
为了尽可能减少人为网络故障以及设备自身网络故障现象的发生,管理人员应该保证对网络设备可以做到实时监控。第一,网络设备系统的实时监视。若想做到对网络设备系统的实时监视,工作人员应该做好设备的系统日志,将网络设备运行过程中的系统问题以及软硬件问题进行及时记录,然后网络安全管理平台会利用Telnet的方式主动对网络设备系统日志中的数据进行分析,依据电网调度数据网中的事故警报级别对系统异常信息进行集中显示,及时帮助工作人员寻找到可能的事故风险。第二,做到网络设备配置的实时监视。网络设备的配置主要应有如下两种,运行配置以及启动配置。运行配置指的是电网调度数据网络设备运行时的配置;启动配置指的是设备启动时需要加载的配置。网络安全管理平台可以采用Telnet及时将各种设备进行主动连接,对目前的启动配置以及运行配置的细节加以分析,进而实现对网络设备配置的实时监控。对网络设备配置进行实时监控的主要目的在于可以对目前网络设备的启动配置和运行配置的协调程度进行及时分析,如果发现配置存在差异,说明此配置有被认为更改的现象,由此可以对目前电网调度数据网络设备配置进行实时管理[3]。
2.3设立入侵防御系统
虽然每个市县公司内部为了应对电网调度数据网络的内部威胁将防火墙中输入的数据流量进行了实时监控,但是此种方法只能避免一些较为简单的病毒数据,而对于复杂的病毒数据难以做到及时清除。因此,工作人员应该在电网调度数据网内部设立入侵防御系统。此种防御系统不但可以对流入数据的IP地址进行及时过滤,还可以对应用层面所产生的各种恶意代码以及恶意入侵行为进行检测,进而作出应对措施。入侵防御系统一般使用旁路部署的手段,利用流量镜像技术将各个地区内部的核心路由器相互联系,对其内部的流量数据进行分析处理,然后将系统得出的结果传递给中心的管理系统进行汇总,以及时检测到各种异常行为。
2.4及时监测流量以及链路
为有效保证电网调度数据网网络系统的运行安全,工作人员应该及时对网络流量以及链路进行监测。第一,网络流量的监测。网络流量涉及到的数据应该及时采集,并且通过对数据的分析与统计可以显示出最近几个小时内的流量趋势。此外,还可以利用目的IP、源IP以及会话等多方面显示出各个区域内部的网络流量的排名情况,为后期的电网调度数据网网络运营和维护提供基础数据支持。第二,链路的监测。链路的监测与网络流量的监测相似,同样需要对网络流量信息进行监测与分析,二者的不同之处在于链路监测需要对内部的比特率进行定期采样,同时还应该通过Ping计算出相应的链路反应时间,最后再将一段时间内的链路反应延迟趋势进行汇总,进而达到对链路的实时监测。
2.5合理设计安全管理框架
安全管理框架是电网调度数据网网络稳定运行的基础,主要应该注意如下3点。第一,具有可行性。安全管理框架应该与区域内部的电力行业的运行实际情况相匹配,在设计时应该保证管理框架符合目前业务水平,实现各种资源的高效利用。第二,符合政策标准。电网调度数据网的管理框架应该以我国的电力行业的相关法律法规为基础,然后依据当前的行业发展需要合理调整框架内容。第三,具备时效性。目前,电网调度数据网的安全管理框架应该根据实际的发展需求逐步优化,保证管理框架可以与时俱进。
关键词:水利;网络;风险;体系
2019年6月,水利部网信办《水利网络安全管理办法(试行)》,文件指出,水利网络安全遵循“积极利用、科学发展、依法管理、确保安全”的方针,建立相应的应对机制,能够及时发现系统中的问题并处理,以此来确保网络系统的安全性,保障水利信息建设的顺利进行。
1.水利网络安全面临的风险
1.1网络攻击
目前,水利关键信息基础设施网络安全面临前所未有的威胁、风险和挑战,也是可能遭到重点攻击的目标。“物理隔离”防线可被跨网入侵,调配指令可被恶意篡改,信息可被窃取,这些都是重大风险隐患。截止到目前,水利部门机关已经预防了上百万次网络攻击,攻击的主要目标是水利部网站,针对这些大规模的网络武器级攻击,水利部门迫切需要建立一个安全的、高效的水利网络安全监测与预警体系。
1.2安全措施不够健全
虽然当前大部分机关部门都已经制定了网络安全管理制度,但是由于各种外界和内在的因素,再具体的工作中尚没有落实到位。尽管当前相关部门已经建立了众多防护设备,例如防火墙等,但是在现在的体制中还缺乏一个较为完善的网络安全监测与预警体系,再加上已形成的机制中还存在不科学、不严谨的问题,工作人员不能及时发现出现的网络风险。
1.3对出现的安全漏洞处理不及时
目前,大部分单位都能够定期对网络漏洞进行扫描,但是由于人力和技术有限,这就使得大部分部门针对漏洞的处理只停留在检查报告的层面,而没有针对漏洞本身及时采取相应的处理措施,最终导致漏洞长期存在系统中,对其后续安全的运行造成严重影响。
2.水利网络安全监测与预警体系的构建
2.1构建水利网络安全监测体系
首先,要联合多个部门形成较为健全、完善的监测机制。水利部门要和行政部门等其他形成多级监测架构。其中,水利部门主要负责对涉及到本行业网络的安全性能进行监测。而行政机构主要是负责本单位及其下属部门的网络安全性的监测。其次,要对信息进行收集,同时对收集到的信息进行认真的分析,筛选出对水利网络安全不利的信息,以此为依据制定相应的预防策略,从而实现对可能出现的水利网络安全风险的有针对性的、科学性的安全事前预警。再次,开展互联网服务安全监测。水利部门的信息网站是其开展各种业务、进行各种活动的主要平台之一,因此,在实际的工作中要注意对水利部门信息网站和一些网络业务的监测,避免有病毒木马的入侵,为水利部门的安全运行提供保障。对一些水利相关的业务主要是由水利部门负责其网络安全监测,而行政机构主要是负责本单位及其下属部门的网络安全性监测。此外,还可以采取扫描和风险评估的技术对系统中可能出现的安全问题进行监测和分析,对网站内各个系统以及相应的设备进行网络安全监测,并将监测的结果以报告的形式呈现,为管理者提供相应的决策依据。针对水利部门专网的安全扫描主要包括各种信息设备、网络,而针对服务器的扫描主要包括一些目录、文件等,针对网络安全性的草庙主要包括对路由器、防火墙等设备。在系统存储关键信息的位置也需要设置相应的网络安全监测机制,对文件传输内容及其传输环境情况进行进一步的分析和监测,确定安全之后才可以进行后续操作。最后,要注意对水利信息网内部的风险监测工作。通过内部的安全管理平台,对水利信息部门的服务器、数据库、网络设备等软件和硬件日志进行收集,以便及时了解防火墙等设备的预警信息,实现全方面的网络安全监测。同时还要对收集到的信息进行筛选和分类,分析其中的相关性,从整体的角度对系统中存在的风险进行进一步的分析,从而制定相应的策略,设置网络安全事件响应级别,使水利行业整体效益发挥到最大。此外,水利部门还要在内部建立联动机制,整合人力和资源进行网络安全信息数据收集。在水利信息安全管理平台中包括展示层、功能层、应用接口层、采集层。其中展示层包括可视化管理、综合展现管理、全国状态展现、告警与响应、报表管理。功能层包括安全事件、威胁态势、安全策略、风险评估、预警管理、资产管理等。应用接口层主要是进行资产、工单、认证统一展示。采集层包括资产采集、拓扑采集、性能采集、日志采集、策略采集、弱点采集。
[关键词]网络安全、木马僵尸
中图分类号:TP 文献标识码:A 文章编号:1009-914X(2014)31-0374-01
一、背景
工信部保[2009]157号《木马和僵尸网络监测与处置机制》指出,木马是指由攻击者安装在受害者计算机上秘密运行并用于窃取信息及远程控制的程序。僵尸网络是指由攻击者通过控制服务器控制受害计算集群。木马和僵尸网络通常都包括控制端和被控端两部分。木马和僵尸网络是造成个人隐私泄露、泄密、垃圾邮件和大规模拒绝服务攻击的重要原因。2009年2月,一款名为“猫藓”的恶性木马下载器在我国境内大肆传播,感染了数百万台主机。该病毒通过下载一些热门网游、QQ以及网上银行的盗号木马,盗窃用户网游及网上银行的账号和密码,对互联网个人隐私和财产造成严重危害。木马和僵尸网络的存在不仅侵害了用户利益,造成经济损失和用户隐私信息泄露,并且严重威胁运营商网络安全稳定和日常业务开展,严重影响了企业的品牌形象。因此,在日常网络运行维护管理和定期的自检自查中加强对木马的监测与评估,防止木马窃取敏感信息,保护重要数据,不仅成为当前信息网络安全监管或维护部门的重中之重,也应该成为运营商的首要任务。
二、系统建设必要性
根据工信部保[2009]157号《木马和僵尸网络监测与处置机制》,国家计算机网络应急技术处理协调中心(以下简称CNCERT)受工业和信息化部委托,负责对木马和僵尸网络进行检测、分析、通报,协调处置传播服务器、控制服务器和攻击源。
2.1CNCERT对木马和僵尸网络的监测和通报
1、CNCERT、基础电信运营企业负责对木马和僵尸网络进行监测。
2、基础电信运营企业按照本机制第七条对监测到的事件进行分级,特别重大、重大、较大事件应在发现后2小时内报送通信保障局,同时抄报CNCERT;一般事件应在发现后5个工作日内报送CNCERT。报送内容包括:控制端IP地址、端口、发现时间及其使用的恶意域名。
3、CNCERT汇总自主监测、基础电信运营企业报送和从其他渠道收集的事件,进行综合分析、分级。对于特别重大、重大、较大事件,CNCERT应在2小时内向通信保障局报告,并及时通报相关通信管理局。通信保障局认为必要时,组织有关单位和专家进行研判。事件情况及研判结果由通信保障局直接或委托
CNCERT通报相关单位。对于一般事件,CNCERT应在发现后5个工作日内通报相关单位。事件通报内容包括:
(1)威胁较大的木马和僵尸网络IP地址、端口、发现时间、所属基础电信运营企业。
(2)木马和僵尸网络使用的恶意域名。
(3)木马和僵尸网络的规模和潜在危害。
2.2对木马和僵尸网络的处置和反馈
基础电信运营企业、互联网域名注册管理机构、互联网域名注册服务机构接到CNCERT木马和僵尸网络事件通报后,应按如下流程处理:
1、通知与木马和僵尸网络IP地址和恶意域名相关的具体用户进行清除,并跟踪用户处置情况。对于域名注册信息不真实、不准确、不完整的,互联网域名注册管理机构、互联网域名注册服务机构根据《中国互联网域名管理办法》有关规定进行处置。
2、反馈用户的处置情况。特别重大、重大、较大事件的处置情况应在接到事件通报后4小时内向CNCERT反馈,一般事件的处置情况应在5个工作日内向CNCERT反馈。反馈内容包括:用户已处置的IP地址和恶意域名、单位名称、用户未处置的IP地址和恶意域名及未处置的原因。
3、监测单位验证处置情况:
(1)对于CNCERT自主监测的事件,由CNCERT对处置情况进行验证。特别重大、重大、较大事件应在接到处置单位反馈后2小时内向处置单位反馈验证结果,
一般事件应在5个工作日内反馈验证结果。
(2)对于基础电信运营企业监测到的事件由基础电信运营企业自行验证。特别重大、重大、较大事件应在接到CNCERT事件通报后6小时内向CNCERT反馈
验证结果,一般事件应在10个工作日内向CNCERT反馈验证结果。
4、对于未处置或经验证仍存在恶意连接的木马和僵尸网络IP地址和恶意域名,按如下方式处置:对于重要信息系统单位,向通信保障局反馈用户相关情况,抄报CNCERT,由通信保障局或当地通信管理局书面通知其主管部门。对于其他单位用户和个人用户,应依据与用户签署的服务协议、合同等进行处置。
5、对于特别重大、重大、较大事件的处置情况,CNCERT应在接到处置单位反馈后2小时内向通信保障局和相关通信管理局反馈处置结果,一般事件处置情况由CNCERT每月汇总,按照互联网网络安全信息通报有关办法通报监测和处置情况。
三、系统建设目的和原则
3.1系统建设目的
通过木马和僵尸网络监控系统建设,逐步实现对互联网中木马和僵尸网络的实时监测预警、趋势分析等,具备覆盖互联网内的木马和僵尸网络监测能力。
3.2系统建设原则
木马和僵尸网络防治系统的建设采用统一规划、集中部署、逐步推进的原则,实现对全网的集中分析和处置。具体来说,系统建设包括如下要求:
(1)先进性
木马和僵尸网络防治系统在技术构架、选用技术标准方面,应该充分考虑技术和方案的先进性。
(2)安全性
木马和僵尸网络防治系统对中国电信互联网安全起到至关重要的作用,其建设和维护必须考虑系统自身的安全性。
(3)开放性木马和僵尸网络防治系统必须采用功能模块化、接口开放化的策略。
(4)高可靠性
木马和僵尸网络防治系统在规划和建设中必须考虑高可靠性。
(5)可扩展性
木马和僵尸网络防治系统的建设需充分考虑在结构、容量、通信能力、产品升级、处理能力、数据库、软件开发等方面具备良好的可扩展性和灵活性。
(6)快速开发,易于维护
木马和僵尸网络防治系统的建设应易于实施和维护,具有高品质、高效率、高扩展性与高重用性。
(7)分阶段逐步建设
木马和僵尸网络防治系统是个系统性、长期性的工程,分阶段逐步建设,初期部分检测,后期根据检测效果及防治需要,可逐步实现全部流量检测。
四、系统架构
木马和僵尸网络防治系统可采取两级建设,第一级在集团总部建设集中管理平台,同时,根据各省的具体情况,在各省建设相应的监测分析模块,两级之间通过IP网络进行连接。其中,集中管理平台实现策略的统一管理和、资源的集中调度;各省的监测模块通过对各省的恶意代码事件进行有效的监测,从而对各省的木马和僵尸网络恶意事件进行监测。在各省省出口链路侧部署分光器,以实现对原始流量数据的采集。原始流量数据经由监测分析模块处理后,监测分析模块将病毒样本以及日志文件通过骨干路由器、CN2上传至集团的集中管理平台。集中管理平台建设方案。本次工程在集团建设一个木马和僵尸网络监测系统集中管理平台,负责对收集省份的恶意事件统计数据,同时负责与CNCERT平台的接口,保存病毒库以及日常的分析报表数据。新建的集中管理平台与省里设置的监测分析模块通过CN2进行互联。
【关键词】网络舆情监测;食品安全管理;应用分析;实践性;重要性
近些年来随着食品安全问题逐渐获得重视和关注的同时,食品的安全监管体系和监管实施,也受到发展。本文中对2010年9月-2013年9月实施网络舆情监测食品安全管理的流程和实践情况进行分析,现将结果报告如下。
1 网络舆情监测工作的重要性
目前伴随电脑、手机等通讯工具的快速发展,网络应用和获取网络知识已经成为人们生活、工作和学习中必不可少的信息获取方式之一。各种知识和信息以网络的形式进行传播和宣传,已经成为一种趋势,并且具备一定的重要性。在我国提倡言论自由的环境下,更促进了网络对同一事物发生了不同的看法和观点。因不同的观点同网络的快速传播下,使信息成为网络舆论。网络舆论具有传播广泛、相互作用性强,在传播的同时能给相关部门和疾走造成巨大的压力和社会关注例。从某个角度上能够起到放大事实,提高相关事件的透明度;增加社会民众知情度的意义。从而迫使相关部门和机构,能够快速、有效、公正、公开的进行某一时间的处理和解决。网络舆情也就成为监督和监管食品安全相关部门和机构的特殊性方法。
人们在日常上网、工作、学习中通过网络知识,对食品加工制作和运输流通的相关机构和厂商进行有效的监督和随时对不法厂商进行广泛的曝光,或是督促对一些食品安全事件进行良好的处理和关注。
2 食品安全网络舆情体系的创建
我们先探讨一下食品安全网络舆情的相关概念。食品安全网络舆情,是指网络媒体和网民在一定的时空范围内,围绕食品安全事件所形成的公开或非公开的信念、态度、认知、意见和情绪等综合表现。食品安全网络舆情监测,是指专业人员结合人工和自动化两种方式对食品安全网络舆情的热点、趋势等进行有效搜集、跟踪、整理,向有关部门提出预警,并提供应对建议等。建立食品安全网络舆情自动化监测系统,其理论框架主要是识别食品安全关键词热度和敏感度,根据信息来源的权威度、反馈度、互动评论度等,识别新近热点;根据关键词密度和文本语义分析,识别敏感话题;对观点、态度和倾向性进行统计分析;分析食品安全网络舆情趋势走向,分级预警,获取事件全貌并预测发展走势[1]。
3 食品安全网络舆情监测的规模、等级和监测范围
在对食品安全网络舆情监管的情况一般分为两种类型,一类为常规性监管;另一类为重点监管。对食品安全事件较小,网络关注人较少,同时没有造成较为严重的社会影响和严重事件的情况,可进行常规性监管,随时掌握和了解事情的动态变化和相关处理情况。同时对恶意的诋毁和扰乱民众正确观点情况,进行及时有效的疏导,防止错误舆情影响相关部门和组织机构,造成重大影响和损失。对食品安全重大事件、突发性事件或是造成严重后果的情况,网络关注人较多,事件恶劣的情况,应进行重点关注,并且组织相关机构和部门进行处理,进行理性分析后,实施具有针对的应对措施,防止舆情进一步扩大,导致民众恐慌。
4 网络舆情的统计和分析
食品安全网络舆情的监测流程主要是舆情收集、筛选、跟踪、研判等几个阶段,方法上结合自动化和人工监测。舆情分析自动化技术中最关键的是搜索引擎技术,面对海量网络信息自动进行内容归类、汇总、倾向性判别、话题自动跟踪、生成摘要信息等文本识别技术,“其中基于关键词统计分析方法的技术相对比较成熟,但在其有效性方面还有很大的提高空间” [2]。
5 结语
针对于我国的食品安全网络舆情的监管情况较为复杂和多样,同时存在较大的困难,存在较多的不足,体系的建立还不够完善。部分网民的观点和知识水平,相对较低,对食品安全舆情的分辨和判断能力有限,不能更加客观的对待事件。还存在相关食品制作和运输流通、政府部门等对食品安全事件的掩盖真相、假承诺或是不办实事等情况导致网络舆情扩大化,和难于控制其发展和监管。因此在发生食品安全网络舆情的事件后,应督促食品安全监管部门和食品相关企业及时的同IT行业进行良好的沟通和交流,从多个角度和观点进行事件真实性的搜集、统计、分析。提高民众对食品安全事件的知情和正确关注。降低网民在不知情的情况下广泛传播失真报道和激怒民众,导致恶性事件发生[3]。
因此对于食品安全的网络舆情,应进行及时有效的监管和正确对待处理,增加网络舆情的引导能力。
参考文献:
[1] 贾孟飞.基层网络舆情监测工作的实践与思考[J]. 银行家,2 0 1 0,(12):101-102.
关键词 铁路信号;微机监测系统;网络安全
中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2012)012-0120-01
随着网络技术的发展,很多行业领域都已经采用了微机技术,不但弥补了传统的技术的落后现状,同样也促进了相关行业的迅速发展。我国的铁路信号系统同样采用了微机系统进行管理。但是随之而来的病毒入侵等网络不安全因素,对铁路信号的微机管理系统所造成的潜在威胁同样非常的大。本文就此问题进一步论述,以此对我国现阶段铁路信号微机系统的安全等问题进一步明确,促进我国铁路信号微机系统的发展。
1 微机监测系统网络安全防护现状
目前的微机监测系统一般都是三层次的网络结构,既由车站、领工区(车间)、电务段三级构成的计算机网络,电务段和领工区的管理人员可以通过微机监测网直接看到所辖各站信号设备和战场运作状况。目前网络遭受病毒侵袭的主要途径有:生产已经网络化,网络上任何一点感染病毒后,如不及时处理,容易全网蔓延;随着移动存储设备越来越广泛的使用,病毒通过移动设备感染的机率大大增加。一机多用,如某台终端机既用于调看生产监控,又兼作办公机;其他遭受恶意攻击等非正常感染病毒。
现阶段微机监测系统采取的网络安全防护措施包括以下几个方面。
1)要求把站机、终端机上的I/0接口,如光驱、欤驱、USB插口等用标签加封,并在主板BIOS里修改相应项屏蔽设备端口,杜绝在站机、终端机上进行与业务无关的作业。
2)微机检测安全服务器,站机、终端机,安装有MCAFEE网络版防毒软件或瑞星单机版杀毒软件,但没有建立专用的防病毒服务器,病毒库的更新不及时,单机版的软件只有维护人员到站上才能更新。
3)清理非法接入局域网的计算机,查清有无一机多用甚至多网的可能,并对非法接人的计算机进行屏蔽。
2 现有系统存在的安全问题及改进的主要参考原则
设计新的网络安全防护系统,应确保运行数据的完整性、可用性、可控性、可审查性。安全系统的改进可参考以下几个原则。
1)体系化设计原则。通过分析网络系统的层次关系.提出科学的安全体系和安全构架,从中分析出存在的各种安全风险,充分利用现有投资,并合理运用当今主流的安全防护技术和手段,最大限度地解决网络中可能存在的安全问题。
2)全局性、均衡性、综合性设计原则。从网络整体建设角度出发,提供一个具有相当高度,可扩展性强的安全防护解决方案,应均衡考虑各种安全措施的效果,提供具有最优性价比的网络安全防护解决方案。
3)可行性、可靠性、可审查性原则。可行性是设计网络安全防护方案的根本,它将直接影响到网络通信平台的畅通,可靠性是安全系统和网络通信平台正常运行的保证,可审查性是对出现的安全问题提供依据与手段。
4)分步实施原则。分级管理,分步实施。
3 系统改进可采取的的主要措施
维护管理方面我们可以做好以下几点改进。
1)微机监测增设防病毒服务器,定期升级服务器病毒库,将病毒入侵机率降至最低。安装防火墙,对连接网络中的计算机进行统一管理,确保网络安全。
2)科学处理补丁和病毒之间的矛盾。安装补丁时,应经过慎重的论证测试,可行在开发系统上进行测试,确保安全的前提下,再进行补丁安装,因为有些补丁可能与现行的操作系统发生冲突,进而影响整个系统的稳定性。
3)在生产网上组建VPN,创建一个安全的私有链接。
同时,为保证系统的安全管理 ,避免人为的安全威胁,应根据运行工作的重要程度划分系统的安全等级,根据确定的安全等级确定该系统的管理范围和安全措施。对机房实行安全分区控制,根据工作人员权限限定其工作区域。机房的出入管理可以采取先进的证件识别或安装自动识别登记系统,采用磁卡,身份证等手段对工作人员进行识别、登记、管理。根据职责分离和多人负责的原则,确定工作系统人员的操作范围和管理,制定严格的操作规程。针对工作调动或离职人员要及时调整相应授权。
4 可采用的网络安全新技术
建立完善的微机监测系统网络安全防护系统,需要现有网络安全防护系统的基础上,充分考虑防火墙、入侵检测/防护、漏洞扫描、防病毒系统等安全机制。由于网络技术的不断飞速发展,传统的防护技术已经不能适应复杂多变的新型网络环境,必须采用安全有效的网络安全新技术才能防患于未然,提高整个微机监测网络的安全性。可采用的新型网络安全技术包括以下几种。
1)链路负载均衡技术。链路负载均衡技术是建立在多链路网络结构上的一种网络流量管理技术。它针对不同链路的网络流量,通信质量以及访问路径的长短等诸多因素,对访问产生的径路流量所使用的链路进行调度和选择。可最大限度的扩展和利用链路的带宽,当某一链路发生故障中断时,可以自动将其访问流量分配给其它尚在工作的链路,避免IPS链路上的单点故障。
2)IPS入侵防御系统。网络入侵防御系统作为一种在线部署的产品,提供主动的,实时的防护,其设计目的旨在准确检测网络异常流量,自动应对各类攻击性的流量,不将攻击流量放进内部网络。
3)上网行为管理系统。上网行为管理系统能够提供全面的互联网控制管理,并能实现基于用户和各种网络协议的带宽控制管理。实时监控整个网络使用情况。
4)网络带宽管理系统。对整个网络状况进行细致管理,提高网络使用效率,实现对关键人员使用网络的保障,对关键应用性能的保护,对非关键应用性能的控制。可根据业务需求和应用自身需求进行带宽分配。
5)防毒墙。传统的计算机病毒防范是在需要保护的计算机内部建立反病毒系统,随着网络病毒的日益严重和各种网络威胁的侵害,需要将病毒在通过服务器后企业内部网关之前予以过滤,防毒墙就满足了这一需求。防毒墙是集成了强大的网络杀毒机制,网络层状态包过滤,敏感信息的加密传输,和详尽灵活的日志审计等多种安全技术于一身的硬件平台。在毁灭性病毒和蠕虫病毒进入网络前进行全面扫描,适用于各种复杂的网络拓扑环境。
5 总结
通过本文的分析,可以看出,我国铁路信号微机监测系统的应用得到了初步的效果,但是随着我国铁路系统的继续发展,网络安全是我们不得不考虑的问题,而且随着网络安全问题的越来越多,对我国铁路信号微机监测系统的安全性要求就越高,因此,在未来的发展过程中,我们需要进一步提升铁路信号微机监测系统的安全等级,只有这样才能促进我国铁路信号系统的安全,提升我国铁路信号系统的继续发展。
参考文献
[1]刘琦.铁路信号安全维护及监控系统设计思路及应用[J].安防科技,2007,03.
购物车(0)
