水利信息安全管理系統(tǒng)的分析與研究

1、.水利信息安全管理系統(tǒng)的分析與研究-安全生產(chǎn)論文水利信息安全管理系統(tǒng)的分析與研究【摘 要】 水利信息化是我國(guó)信息化建設(shè)的重要組成部分，水利信息化網(wǎng)絡(luò)在實(shí)際應(yīng)用過(guò)程中，會(huì)遇到各種安全問(wèn)題的威脅，嚴(yán)重影響了水利信息化發(fā)展的安全性和穩(wěn)定性。本文對(duì)天津市水務(wù)局水利信息化網(wǎng)絡(luò)中安全產(chǎn)品的現(xiàn)狀進(jìn)行了分析，闡述了其網(wǎng)絡(luò)安全產(chǎn)品的局限性，提出了水利信息安全管理系統(tǒng)，對(duì)系統(tǒng)應(yīng)具備的功能進(jìn)行了詳細(xì)的分析，對(duì)系統(tǒng)的組成進(jìn)行了研究，并對(duì)其關(guān)鍵技術(shù)的實(shí)現(xiàn)展開(kāi)了深入地討論?！娟P(guān)鍵詞】水利信息化 安全管理 聯(lián)動(dòng)策略1 現(xiàn)況隨著水利信息化技術(shù)的發(fā)展，水利信息化系統(tǒng)在水利事業(yè)中應(yīng)用越來(lái)越廣泛，水利信息化系統(tǒng)涉及的水利信息越來(lái)越

2、多，這時(shí)一個(gè)很重要的問(wèn)題擺在了人們的面前，那就是水利信息化系統(tǒng)的安全問(wèn)題。如果水利信息化系統(tǒng)被人攻擊，水利信息被人竊取，將給國(guó)家和人民造成巨大的損失。天津市水務(wù)局水利信息化網(wǎng)絡(luò)包括防汛抗旱、辦公自動(dòng)化、水文水資源、水土保持、水質(zhì)監(jiān)測(cè)等各種應(yīng)用系統(tǒng)，面對(duì)當(dāng)前嚴(yán)峻的水利信息安全形勢(shì)，為了保障水利信息化系統(tǒng)安全正常的運(yùn)行，天津市水務(wù)局建設(shè)了水利信息安全防護(hù)體系，其安全基礎(chǔ)設(shè)施主要包括防火墻、入侵檢測(cè)及漏洞掃描、Web信息防篡改系統(tǒng)、網(wǎng)絡(luò)接入控制和安全審計(jì)、防病毒軟件、身份認(rèn)證等安全產(chǎn)品。這些安全產(chǎn)品在各自的崗位上發(fā)揮著重要的作用，保護(hù)著網(wǎng)絡(luò)的安全。但是從系統(tǒng)整體安全考慮，這些網(wǎng)絡(luò)安全產(chǎn)品都只是各司其

3、職，沒(méi)有溝通合作，缺乏統(tǒng)一調(diào)度，容易造成信息冗余和資源的浪費(fèi)，對(duì)網(wǎng)絡(luò)的保護(hù)存在局限性，在遭遇復(fù)雜的綜合型攻擊時(shí)，安全防護(hù)體系就會(huì)非常脆弱，將不能保護(hù)水利信息化系統(tǒng)的安全。因此，我們提出水利信息安全管理系統(tǒng)，對(duì)這些安全產(chǎn)品進(jìn)行統(tǒng)一的管理和整體配置，實(shí)現(xiàn)各安全產(chǎn)品間的信息互通和聯(lián)動(dòng)合作，讓他們的功能得到充分的發(fā)揮，共同確保整個(gè)水利信息化系統(tǒng)的安全。2 水利信息安全管理系統(tǒng)的功能分析水利信息安全管理系統(tǒng)是一個(gè)綜合的、動(dòng)態(tài)的安全體系，需要解決各種安全技術(shù)和產(chǎn)品的統(tǒng)一管理和協(xié)調(diào)問(wèn)題，能實(shí)現(xiàn)水利信息系統(tǒng)中的安全設(shè)備間的互操作，從整體上提高水利信息系統(tǒng)整體的抵抗攻擊和防御入侵的能力，保持系統(tǒng)及服務(wù)的安全性、

4、可靠性和可用性。水利信息安全管理系統(tǒng)要實(shí)時(shí)采集各安全設(shè)備的安全信息，監(jiān)控各安全設(shè)備的運(yùn)行狀況。所以網(wǎng)絡(luò)安全管理平臺(tái)要具有高效的安全信息收集和設(shè)備監(jiān)控功能，平臺(tái)能夠收集各集成安全設(shè)備發(fā)出的安全告警信息、系統(tǒng)日志數(shù)據(jù)等安全信息，這些數(shù)據(jù)經(jīng)平臺(tái)的綜合分析處理，使平臺(tái)監(jiān)控中心能在整體上掌握整個(gè)系統(tǒng)的綜合安全狀況，及時(shí)發(fā)現(xiàn)影響水利信息系統(tǒng)安全的不當(dāng)行為。水利信息安全管理系統(tǒng)要有集中管理功能。能夠?qū)λ畔⑾到y(tǒng)中的多種安全設(shè)備進(jìn)行集中管理，將系統(tǒng)中的各種安全設(shè)備發(fā)送的信息數(shù)據(jù)進(jìn)行采集，將不同格式的數(shù)據(jù)進(jìn)行統(tǒng)一格式化，方便對(duì)各信息的整合、歸并與關(guān)聯(lián)分析，過(guò)濾事件中的誤報(bào)和冗余事件，產(chǎn)生確定的安全警報(bào)，并根據(jù)

5、制定的聯(lián)動(dòng)策略對(duì)安全設(shè)備進(jìn)行動(dòng)態(tài)配置，快速調(diào)動(dòng)各安全設(shè)備聯(lián)動(dòng)操作，消除水利信息系統(tǒng)受到的安全威脅。水利信息安全管理系統(tǒng)要保證高安全性1，要保證水利信息安全管理系統(tǒng)的安全，保證安全信息采集和處理過(guò)程的安全。并且系統(tǒng)中的設(shè)備間設(shè)置高強(qiáng)度安全通道，保證安全信息傳輸過(guò)程中的安全。水利信息安全管理系統(tǒng)是一個(gè)高擴(kuò)展性平臺(tái)1，可實(shí)現(xiàn)與各種安全設(shè)備之間的互通與聯(lián)動(dòng)，支持多種安全設(shè)備的統(tǒng)一管理，對(duì)新出現(xiàn)的安全技術(shù)和產(chǎn)品也保留了開(kāi)放的擴(kuò)展接口，易于與新的安全設(shè)備相結(jié)合。3 水利信息安全管理系統(tǒng)的整體結(jié)構(gòu)水利信息安全管理系統(tǒng)分為用戶層，數(shù)據(jù)采集層、安全管理中心、數(shù)據(jù)庫(kù)支撐層和被管設(shè)備層五層結(jié)構(gòu)。用戶層是安全管理系統(tǒng)

6、的控制平臺(tái)，提供方便系統(tǒng)管理員操作的可視化界面。系統(tǒng)安全管理員可以通過(guò)網(wǎng)頁(yè)査看安全報(bào)告、進(jìn)行策略配置等操作，便于管理和維護(hù)系統(tǒng)。數(shù)據(jù)采集層的主要工作是從水利信息系統(tǒng)中的各種安全設(shè)備上采集安全信息，并初步對(duì)這些安全信息進(jìn)行加密和格式化處理，然后將數(shù)據(jù)發(fā)送給安全管理中心。安全管理中心是水利信息安全管理系統(tǒng)的神經(jīng)中樞，由風(fēng)險(xiǎn)評(píng)估模塊，關(guān)聯(lián)分析模塊，策略響應(yīng)模塊，數(shù)據(jù)采集代理控制模塊等組成，支配著安全管理設(shè)備的互聯(lián)合作。數(shù)據(jù)庫(kù)支撐層包括事件數(shù)據(jù)庫(kù)、規(guī)則數(shù)據(jù)庫(kù)和策略數(shù)據(jù)庫(kù)。其中，事件數(shù)據(jù)庫(kù)中存放收集的安全信息；規(guī)則數(shù)據(jù)庫(kù)中存放事件關(guān)聯(lián)的規(guī)則；策略數(shù)據(jù)庫(kù)中存放系統(tǒng)策略。被管設(shè)備層指水利信息系統(tǒng)中的各種被管

7、理的安全設(shè)備，防火墻，入侵檢測(cè)系統(tǒng)，防病毒系統(tǒng)等。4 關(guān)鍵技術(shù)的實(shí)現(xiàn)4.1 數(shù)據(jù)采集數(shù)據(jù)釆集指能夠有效、正確、穩(wěn)定的獲取所需要的信息。本系統(tǒng)采用管理者/代理的數(shù)據(jù)采集方式，在被管理對(duì)象（防火墻、IDS等）上安裝數(shù)據(jù)采集代理Agent。數(shù)據(jù)采集代理Agent的主要工作是采集網(wǎng)絡(luò)中個(gè)安全產(chǎn)品的配置情況、事件日志、運(yùn)行狀態(tài)、流量統(tǒng)計(jì)，安全信息等數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行格式化和加密預(yù)處理后上報(bào)給安全管理中心進(jìn)行數(shù)據(jù)處理，同時(shí)接收管理中心的控制命令傳輸給被管設(shè)備。數(shù)據(jù)采集代理Agent是水利信息安全管理系統(tǒng)的一部分，是安全管理系統(tǒng)與安全產(chǎn)品之間、安全產(chǎn)品與宿主機(jī)之間、安全產(chǎn)品彼此之間的一個(gè)聯(lián)系紐帶。但它和系統(tǒng)之

8、間在實(shí)現(xiàn)上具有一定的獨(dú)立性。采用Agent結(jié)構(gòu)，無(wú)論被管安全產(chǎn)品運(yùn)行何種系統(tǒng)，只要是開(kāi)發(fā)了支持該系統(tǒng)的Agent，就可以把此安全產(chǎn)品納入本系統(tǒng)的管理之中，使得網(wǎng)絡(luò)安全管理系統(tǒng)能夠管理運(yùn)行于各種系統(tǒng)的安全設(shè)備，并且可以很方便地隨時(shí)添加或刪除被管部件4。4.2 數(shù)據(jù)處理在水利信息安全管理系統(tǒng)中，數(shù)據(jù)處理主要對(duì)代理上報(bào)的信息進(jìn)行風(fēng)險(xiǎn)評(píng)估，分類，篩選和關(guān)聯(lián)分析等處理，去除數(shù)據(jù)中的冗余或錯(cuò)誤信息，識(shí)別威脅，產(chǎn)生應(yīng)對(duì)策略。數(shù)據(jù)處理模塊首先分析采集代理上報(bào)的數(shù)據(jù)，此數(shù)據(jù)是根據(jù)一定規(guī)則進(jìn)行封裝的信息，通過(guò)比對(duì)信息各字段的值，如在1s內(nèi)，某兩個(gè)信息各字段的值相同，則我們認(rèn)為產(chǎn)生了冗余事件則去除其中一個(gè)冗余信息，

9、并根據(jù)字段中安全信息的類型分類存儲(chǔ)到事件數(shù)據(jù)庫(kù)中。同時(shí)對(duì)此事件進(jìn)行風(fēng)險(xiǎn)評(píng)估和關(guān)聯(lián)分析。本系統(tǒng)用實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估技術(shù)分析安全信息3，動(dòng)態(tài)地獲得網(wǎng)絡(luò)的各種資源的風(fēng)險(xiǎn)信息，從整體上評(píng)估水利信息系統(tǒng)網(wǎng)絡(luò)和主機(jī)的安全狀況，為用戶及時(shí)調(diào)整網(wǎng)絡(luò)安全狀況提供重要的依據(jù)。本系統(tǒng)采取基于規(guī)則的關(guān)聯(lián)模型3對(duì)獲得的安全信息進(jìn)行關(guān)聯(lián)分析，用來(lái)判斷一系列安全事件是否源于同一個(gè)攻擊行為并完成攻擊場(chǎng)景的重構(gòu)，識(shí)別出攻擊的類型，攻擊者的身份，得出安全分析報(bào)告。接著對(duì)數(shù)據(jù)進(jìn)行更進(jìn)一步的融合，從整體上分析出安全威脅的真正所在，并對(duì)其發(fā)展趨勢(shì)進(jìn)行估計(jì)，為管理員提供方便直觀的系統(tǒng)安全信息。4.3 聯(lián)動(dòng)控制的實(shí)現(xiàn)本系統(tǒng)聯(lián)動(dòng)控制是通過(guò)聯(lián)動(dòng)策略

10、實(shí)現(xiàn)的6。當(dāng)數(shù)據(jù)經(jīng)過(guò)處理后，控制中心判斷需要進(jìn)行安全產(chǎn)品聯(lián)動(dòng)防御病毒入侵時(shí)，控制中心將要求提供給策略響應(yīng)組件，此組件從策略庫(kù)中選擇相應(yīng)的聯(lián)動(dòng)策略并傳遞給相應(yīng)的安全設(shè)備代理，控制安全設(shè)備的運(yùn)行。本系統(tǒng)聯(lián)動(dòng)策略包含一個(gè)規(guī)則集，每條規(guī)則采用ifthen模式.一條規(guī)則對(duì)應(yīng)一個(gè)配置動(dòng)作，每一條聯(lián)動(dòng)策略可能由一條規(guī)則組成，也可能由多條規(guī)則組成.每一條規(guī)則對(duì)應(yīng)安全設(shè)備的唯一的狀態(tài)變遷過(guò)程，它包含的每一個(gè)配置動(dòng)作只包含完成一次狀態(tài)改變的配置5。事實(shí)上，只有多條規(guī)則分別作用于不同的設(shè)備才能夠體現(xiàn)設(shè)備的協(xié)同聯(lián)動(dòng)性。因此只要系統(tǒng)的當(dāng)前狀態(tài)和觸發(fā)條件滿足，多個(gè)不矛盾規(guī)則中的配置動(dòng)作可以同時(shí)執(zhí)行。聯(lián)動(dòng)控制技術(shù)幫助安全體系有效組合并提升性能。例如防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)，使防護(hù)體系由靜態(tài)到動(dòng)態(tài)，由平面到立體，提升了防火墻的機(jī)動(dòng)性和實(shí)時(shí)反應(yīng)能力，也增強(qiáng)了入侵檢測(cè)系統(tǒng)的阻斷功能等。5 結(jié)語(yǔ)水利信息安全管理系統(tǒng)，是一個(gè)更全面、更智能的一體化安全防護(hù)體系，能有效的保護(hù)水利信息的安全。本文對(duì)水利信息安全管理系統(tǒng)的功能進(jìn)行了詳細(xì)的分析，對(duì)系統(tǒng)的組成和關(guān)鍵技術(shù)的實(shí)現(xiàn)展開(kāi)了深入地討論。隨著聯(lián)動(dòng)機(jī)制的進(jìn)一步發(fā)展和成熟，水利信息安全管理系統(tǒng)將更加完善。參考文獻(xiàn)：1伏曉，蔡圣聞，謝立.網(wǎng)絡(luò)安全管理技術(shù)研究.計(jì)算機(jī)科學(xué)，2009，36（2）.2邢戈，張玉清，馮登國(guó).網(wǎng)絡(luò)安全管理平臺(tái)研究.計(jì)算機(jī)工程，2004，30（10）