如何提高網(wǎng)絡安全監(jiān)控能力

1、公安機關(guān)如何提高網(wǎng)絡安全監(jiān)控能力網(wǎng)絡安全的重要性現(xiàn)實中，隨著互聯(lián)網(wǎng)絡的發(fā)展，我國互聯(lián)網(wǎng)無論從用戶規(guī)模，業(yè)務應用、技術(shù)實現(xiàn)等方面都發(fā)生著巨大的變化，僅1998年至2005年，我國互聯(lián)網(wǎng)用戶數(shù)就從117.5萬發(fā)展到近11100萬，互聯(lián)網(wǎng)站從3700個發(fā)展到694200個。作為一塊正在加速膨脹的思想陣地，互聯(lián)網(wǎng)已演化成一個虛擬社會，而加上網(wǎng)絡本身虛擬性、隱蔽性、發(fā)散性、滲透性和隨意性等特點，越來越多的人愿意通過此類渠道表達真實的想法，于出現(xiàn)了信息混雜，良莠不齊的局面。為了維護國家安全和社會穩(wěn)定，加強互聯(lián)網(wǎng)管理，如何提高網(wǎng)絡安全監(jiān)控能力成為目前各級公安部門面臨的急需解決的現(xiàn)實問題。落后的傳統(tǒng)安全網(wǎng)絡安

2、全上的攻防如同在進行軍備上的較量，且攻擊者一方具有較大的優(yōu)勢。首先，防衛(wèi)者必須對所有可能的攻擊進行防范，而攻擊者需要做的就是找到其中一個弱點或者漏洞。其次，現(xiàn)代巨大而復雜的網(wǎng)絡使得防衛(wèi)者不可能保證100%的安全性。另外，熟練的攻擊者可以將復雜的攻擊手段整合到軟件中去，使得即使是一些非內(nèi)行人士也可以很容易的使用它們。這就不奇怪為什么連一個專業(yè)的信息官也無法完全地掌握所有這些可能威脅，普通人就更不可能做到了。計算機安全已經(jīng)發(fā)展了40幾年，每年都有新的研究，新的技術(shù)，新的產(chǎn)品，甚至新的法律不斷出現(xiàn)，然而網(wǎng)絡的安全狀況卻似乎一年比一年更糟。在互聯(lián)網(wǎng)上，安全只能說是相對的。安全管理監(jiān)控預防、檢測、響應現(xiàn)

3、實世界里的安全，可以概括為預防，檢測，響應。如果預防機制很完善，甚至可以不需要檢測和響應，但是遺憾的是沒有哪個預防機制是完美的。實際上，對于計算機網(wǎng)絡，所有的軟件產(chǎn)品都存在或大或小的安全漏洞，大多數(shù)網(wǎng)絡設(shè)備也都存在錯誤的配置，用戶方面也可能會出現(xiàn)各種操作上的失誤。所以沒有檢測和響應，預防機制所體現(xiàn)出來的價值是相當有限的。另外，比起設(shè)置更多的預防措施，加入檢測和響應反而更具成本效益，也更加高效。在互聯(lián)網(wǎng)上，我們統(tǒng)稱為監(jiān)控。監(jiān)控才是真正的安全。一個偷竊者，無論如何入侵或者怎樣做。只要有足夠的行為感應器，電子眼，和壓力板設(shè)置在你的房子里，只要他進來過，你就可以捉到他的蛛絲馬跡。同理，如果監(jiān)控做得到位

4、，無論誰進行了什么舉動，都可以在第一時間發(fā)現(xiàn)它，從而為公安機關(guān)的各項工作提供便利。網(wǎng)絡安全監(jiān)控網(wǎng)絡監(jiān)控意味著一系列的嗅探器覆蓋在網(wǎng)絡的周圍，并且針對每一個網(wǎng)絡設(shè)備和服務器生成連續(xù)的數(shù)據(jù)流的審計信息。若發(fā)現(xiàn)可疑的行為，智能檢測系統(tǒng)便發(fā)送提示信息，每一個其他的安全產(chǎn)品便會以某種方式產(chǎn)生報警信號然而這些嗅探器本身并不提供安全性，所以必須了解他們的不足之處，并且假設(shè)攻擊者已經(jīng)完全掌握這些嗅探器的特征前提下做出應對措施。第一步是智能的提高警覺，要求人們做到：1）分析軟件發(fā)現(xiàn)可疑訊息2）更加深入的了解可疑事件，確定真實情況；3）將錯誤的警報和真正的攻擊區(qū)別開來；4）了解他們的聯(lián)系。做好網(wǎng)絡監(jiān)控工作，需要做

5、到上面的每一步。軟件不會想人一樣思考，不會發(fā)問，也不會自我適應。缺少了人，計算機安全軟件，只是一種靜態(tài)的防御。而軟件和專家相結(jié)合，可以擁有一個更完整的更高級別的安全性。第八條公共信息網(wǎng)絡安全監(jiān)察部門對重點單位進行安全監(jiān)督管理的主要內(nèi)容包括：（一）國家和地方有關(guān)計算機信息系統(tǒng)安全管理法律法規(guī)和安全技術(shù)標準的貫徹執(zhí)行情況；（二）安全管理機構(gòu)和安全管理人員的組織、培訓等落實情況；（三）各種安全管理制度、安全責任制的建立和貫徹執(zhí)行情況；（四）計算機信息系統(tǒng)的環(huán)境、機房、設(shè)備及媒體安全情況；（五）采取安全技術(shù)措施的情況；（六）計算機病毒、黑客攻擊等有害數(shù)據(jù)防治工作情況；（七）危害計算機信息系統(tǒng)安全的案件

6、（包括重大事故）的報告制度執(zhí)行情況；（八）安全隱患整改情況；（九）其它安全管理情況。2.2互聯(lián)網(wǎng)安全監(jiān)督管理2.2.1安全監(jiān)督管理的對象第十二條公安機關(guān)公共信息網(wǎng)絡安全監(jiān)察部門應重點對以下聯(lián)網(wǎng)單位和用戶進行管理：（一）互聯(lián)網(wǎng)接入服務提供單位（ISP）；（二）互聯(lián)網(wǎng)信息服務提供單位（ICP）；（三）互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）；（四）互聯(lián)網(wǎng)專線用戶；（五）信息小區(qū)；第十三條公安機關(guān)公共信息網(wǎng)絡安全監(jiān)察部門應監(jiān)督管理ICP提供的以下服務內(nèi)容：（一）郵件服務；（二）主頁服務；（三）電子商務；（四）BBS服務；（五）虛擬主機服務；（六）網(wǎng)絡尋呼；（七）網(wǎng)絡短信息；（八）聊天室；（九）其他信息服務。2.2.

7、2安全監(jiān)督管理的主要內(nèi)容第十四條公共信息網(wǎng)絡安全監(jiān)察部門應督促檢查互聯(lián)網(wǎng)聯(lián)網(wǎng)單位下列內(nèi)容的建立與落實情況（一）安全組織的建立，安全管理員、信息審核員的安全責任制度；（二）新聞組、BBS等交互信息欄目及個人主頁等信息服務欄目的安全管理責任制度；（三）信息發(fā)布審核、登記制度；（四）信息監(jiān)視、保存、清除和備份制度；（五）病毒和網(wǎng)絡安全漏洞檢測制度；（六）違法犯罪案件報告和協(xié)助查處制度；（七）帳號使用登記和操作權(quán)限管理制度；安全管理人員崗位工作職責；（八）安全教育和培訓制度；（九）備案制度；（十）其他與安全保護相關(guān)的管理制度。提高網(wǎng)絡監(jiān)控能力的幾項措施防火墻的最佳伴侶IDSIDS被認為是防火墻之后的第

8、二道安全閘門，它能在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。解決什么問題攻擊者為什么能夠?qū)W(wǎng)絡進行攻擊和入侵呢？原因在于，我們的計算機網(wǎng)絡中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置，主要表現(xiàn)在操作系統(tǒng)、網(wǎng)絡服務、TCP/IP協(xié)議、應用程序（如數(shù)據(jù)庫、瀏覽器等）、網(wǎng)絡設(shè)備等幾個方面。正是這些弱點、漏洞和不安全設(shè)置給攻擊者以可乘之機。另外，由于大部分網(wǎng)絡缺少預警防護機制，即使攻擊者已經(jīng)侵入到內(nèi)部網(wǎng)絡，侵入到關(guān)鍵的主機，并從事非法的操作，我們的網(wǎng)管人員也很難察覺到。這樣，攻擊者就有足夠的時間來做他們想做的任何事情。那么，我們?nèi)绾畏乐购捅苊?/p>

9、遭受攻擊和入侵呢？首先要找出網(wǎng)絡中存在的安全弱點、漏洞和不安全的配置；然后采用相應措施堵塞這些弱點、漏洞，對不安全的配置進行修正，最大限度地避免遭受攻擊和入侵；同時，對網(wǎng)絡活動進行實時監(jiān)測，一旦監(jiān)測到攻擊行為或違規(guī)操作，能夠及時做出反應，包括記錄日志、報警甚至阻斷非法連接。IDS的出現(xiàn)，解決了以上的問題。設(shè)置硬件防火墻，可以提高網(wǎng)絡的通過能力并阻擋一般性的攻擊行為；而采用IDS入侵防護系統(tǒng)，則可以對越過防火墻的攻擊行為以及來自網(wǎng)絡內(nèi)部的違規(guī)操作進行監(jiān)測和響應。IDS是什么IDS是一種網(wǎng)絡安全系統(tǒng)，當有敵人或者惡意用戶試圖通過Internet進入你的網(wǎng)絡甚至計算機系統(tǒng)時，這種系統(tǒng)可以檢測出來，并

10、進行報警，通知你采取措施進行響應。就像買汽車保險一樣，IDS也被認為是“最好買上，以防萬一”的東西，否則等到出事兒的時候就晚了。在本質(zhì)上，入侵檢測系統(tǒng)是一個典型的“窺探設(shè)備”。它不跨接多個物理網(wǎng)段（通常只有一個監(jiān)聽端口），無須轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡上被動地、無聲息地收集它所關(guān)心的報文即可。IDS處理過程分為數(shù)據(jù)采集階段、數(shù)據(jù)處理及過濾階段、入侵分析及檢測階段、報告以及響應階段等四個階段。數(shù)據(jù)采集階段是數(shù)據(jù)審核階段。入侵檢測系統(tǒng)收集目標系統(tǒng)中引擎提供的主機通訊數(shù)據(jù)包和系統(tǒng)使用等情況。數(shù)據(jù)處理及過濾階段是把采集到的數(shù)據(jù)轉(zhuǎn)換為可以識別是否發(fā)生入侵的階段。分析及檢測入侵階段通過分析上一階段提供的

11、數(shù)據(jù)來判斷是否發(fā)生入侵。這一階段是整個入侵檢測系統(tǒng)的核心階段,根據(jù)系統(tǒng)是以檢測異常使用為目的還是以檢測利用系統(tǒng)的脆弱點或應用程序的BUG來進行入侵為目的，可以區(qū)分為異常行為和錯誤使用檢測。報告及響應階段針對上一個階段中進行的判斷做出響應。如果被判斷為發(fā)生入侵，系統(tǒng)將對其采取相應的響應措施，或者通知管理人員發(fā)生入侵，以便于采取措施。最近人們對入侵檢測以及響應的要求日益增加，特別是對其跟蹤功能的要求越來越強烈。入侵檢測/響應流程圖如上圖，網(wǎng)絡入侵系統(tǒng)對網(wǎng)絡活動進行檢測、過濾、監(jiān)控、判斷入侵與否，并根據(jù)管理者的安全策略進行相應地響應，響應的形式可以是多種多樣的。如果一個會話匹配NetworkAgen

12、t的規(guī)則，則做出相應的入侵響應。目前，IDS分析及檢測入侵階段一般通過以下幾種技術(shù)手段進行分析：特征庫匹配、基于統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。特征庫匹配就是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化）。一般來講，一種進攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該方法的一大優(yōu)點是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負擔，且技術(shù)已相當成熟。它與病毒防火墻

13、采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。統(tǒng)計分析方法首先給信息對象（如用戶、連接、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值將被用來與網(wǎng)絡、系統(tǒng)的行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發(fā)生。例如，統(tǒng)計分析可能標識一個不正常行為，因為它發(fā)現(xiàn)一個在晚八點至早六點不登錄的賬戶卻在凌晨兩點試圖登錄，或者針對某一特定站點的數(shù)據(jù)流量異常增大等。郭訓平表示，其優(yōu)點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、

14、漏報率高，且不適應用戶正常行為的突然改變。完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數(shù)（例如MD5），能識別極其微小的變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導致了文件或其他對象的任何改變，它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn)，不用于實時響應。IDS如何部署防火墻在網(wǎng)絡安全中起到大門警衛(wèi)的作用，對進出的數(shù)據(jù)依照預先設(shè)定的規(guī)則進行匹配，符合規(guī)則的就予以放行，起訪問控制的作用，是網(wǎng)絡安全的第一道閘門。優(yōu)秀的防火墻甚至對高層的應用協(xié)議進

15、行動態(tài)分析，保護進出數(shù)據(jù)應用層的安全。但防火墻的功能也有局限性。防火墻只能對進出網(wǎng)絡的數(shù)據(jù)進行分析，對網(wǎng)絡內(nèi)部發(fā)生的事件完全無能為力。同時,由于防火墻處于網(wǎng)關(guān)的位置，不可能對進出攻擊作太多判斷，否則會嚴重影響網(wǎng)絡性能。如果把防火墻比作大門警衛(wèi)的話，入侵檢測就是網(wǎng)絡中不間斷的攝像機。在實際的部署中，IDS是并聯(lián)在網(wǎng)絡中，通過旁路監(jiān)聽的方式實時地監(jiān)視網(wǎng)絡中的流量，對網(wǎng)絡的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警，不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。所以說,IDS是網(wǎng)絡安全的第二道閘門，是防火墻的必要補充，可構(gòu)成完整的網(wǎng)絡安全解決方案。加強對敏感

16、信息和不良信息的監(jiān)控隨著Internet的發(fā)展和網(wǎng)絡資源的不斷豐富，越來越多的社會商務活動和個人的信息交流依賴于Internet網(wǎng)絡平臺，然而，Internet技術(shù)在給我們帶來方便的同時，一些消極的因素也正日益影響著Internet網(wǎng)的應用。其中，垃圾以及色情等不健康信息是影響當前Internet應用的重要因素。它包括以下方面的內(nèi)容：1、不良信息，如色情、暴力、反動、邪教、賭博等；2、垃圾郵件；3、廣告信息，中國有數(shù)以億計的大、中、小學生，他們需要通過計算機網(wǎng)絡獲取信息、了解外面世界的同時，卻面對花花世界和不健康信息的侵蝕，這也是教育主管部門、學校和家長和全社會和公安機關(guān)面臨的嚴重問題。信息過濾系統(tǒng)的研究和開發(fā)，正是基于解決以上問題而提出來的，對提高公安工作的效率有著極大的幫助。主要技術(shù):1、對基本的遺傳算法進