高原環(huán)境下網(wǎng)絡(luò)安全應急響應工具

于勃，王磊

（1．國網(wǎng)西藏電力研究院，拉薩850000；2．國網(wǎng)山東省電力公司信息通信公司，濟南250001）

高原環(huán)境下網(wǎng)絡(luò)安全應急響應工具

于勃1，王磊2

（1．國網(wǎng)西藏電力研究院，拉薩850000；2．國網(wǎng)山東省電力公司信息通信公司，濟南250001）

在高原環(huán)境下，由于高海拔和寬地域，網(wǎng)絡(luò)入侵事件無法及時處理，導致事態(tài)擴大。自適應高原環(huán)境的網(wǎng)絡(luò)入侵應急響應工具采用集成安全應急響應技術(shù)，遠程及時、便捷地處理入侵事件，克服高原環(huán)境下設(shè)備運輸不便、地域遠等問題。經(jīng)測試，具有較好的時效性和實用性。

高原環(huán)境；網(wǎng)絡(luò)安全；應急響應

0 引言

在高原地區(qū)，由于高海拔和地域?qū)拸V，一旦出現(xiàn)網(wǎng)絡(luò)故障和入侵事件，無法像沿海地區(qū)那樣快速響應，同時由于高海拔、日溫差大、強烈日照輻射等惡劣工況，使得常用的各類網(wǎng)絡(luò)安全設(shè)備經(jīng)常會出現(xiàn)不正常工作狀態(tài)，從而會導致入侵事件處理延遲、事態(tài)擴大，有時會引起社會反響。因此有必要研究在高原環(huán)境下可以進行快速響應的網(wǎng)絡(luò)安全應急工具。

西藏平均海拔在4 000 m以上，氣候干燥、空氣稀薄，號稱“世界屋脊”、“生命禁區(qū)”，這里海拔高、氣溫低、日溫差大、有時有沙塵暴、強烈日照輻射。IEC、ISO國際標準規(guī)定的電器產(chǎn)品適用海拔高度一般不超過1 000 m，個別達到2 000 m，而西藏由于高海拔造成的低氣壓、空氣稀薄，使信息安全設(shè)備面臨著許多故障問題：比如材料工況惡化，降低設(shè)備冷卻系統(tǒng)散熱效率；電器設(shè)備易產(chǎn)生外絕緣放電、電暈等現(xiàn)象，加速絕緣材料和設(shè)備失效損壞；電子元器件在高原環(huán)境下性能也會受到極大影響，故障率明顯增加；日溫差大易使材料和設(shè)備結(jié)構(gòu)部件開裂、變形，設(shè)備內(nèi)部凝露受潮會加速金屬腐蝕；沙塵進入引起設(shè)備運轉(zhuǎn)部件機械損傷加速磨損；阻礙通風散熱系統(tǒng)導致發(fā)生故障；腐蝕性或?qū)щ娦苑蹓m沉積在物質(zhì)表面吸濕潮解后，也會使其加速腐蝕，出現(xiàn)絕緣漏電或短路現(xiàn)象。這些高原特有環(huán)境會導致信息安全應急響應設(shè)備經(jīng)常出現(xiàn)不能正常工作的問題。同時由于西藏地廣人稀，對于許多網(wǎng)絡(luò)入侵應急響應來說，工作人員無法多次往返網(wǎng)絡(luò)安全故障現(xiàn)場，從而希望前往現(xiàn)場一次就能解決故障問題。

1 應急響應要求

安全事件應急響應是指針對已經(jīng)發(fā)生或可能發(fā)生的安全事件進行監(jiān)控、分析、協(xié)調(diào)、處理、保護資產(chǎn)安全屬性的活動。安全事件應急響應工作的特點是高度的壓力、短暫的時間和有限的資源。應急響應是一項需要充分準備并嚴密組織的工作。它必須避免不正確的和可能是災難性的動作或忽略了關(guān)鍵步驟的情況發(fā)生。它的大部分工作應該是對各種可能發(fā)生的安全事件制定應急預案，并通過多種形式的應急演練，不斷提高應急預案的實際可操作性［1］。具有必要技能和相當資源的應急響應組織是安全事件響應的保障。應急響應除了需要技術(shù)方面的技能外，還需要必備的安全應急響應工具。常見的網(wǎng)絡(luò)入侵應急響應工具有日志分析系統(tǒng)、漏洞掃描系統(tǒng)、入侵檢測系統(tǒng)等。但是在西藏高原環(huán)境下，一旦發(fā)生網(wǎng)絡(luò)入侵安全事件，安全應急響應人員無法一次攜帶許多設(shè)備前往現(xiàn)場。急需一種網(wǎng)絡(luò)入侵應急響應的集成工具，集成漏洞掃描、日志檢查、安全配置檢查等功能于一體，同時硬件須適應高原特有環(huán)境條件，便于攜帶，易使用，多功能，便于在西藏高原地區(qū)快速開展網(wǎng)絡(luò)入侵安全應急響應工作。

2 網(wǎng)絡(luò)安全應急響應工具設(shè)計

作為集成化的網(wǎng)絡(luò)安全應急響應工具需要集成漏洞掃描、日志檢查、安全配置、抓包分析等功能，因此工具采用模塊化設(shè)計，如圖1所示，依次分為4層：數(shù)據(jù)處理引擎層、系統(tǒng)核心層、報告引擎層、系統(tǒng)界面層，每層內(nèi)部劃分不同的功能模塊，滿足高原環(huán)境下集成安全應急響應工具的需要。工具硬件平臺采用專用的適應高原環(huán)境高配置筆記本電腦，以適應高原環(huán)境的需要。

圖1 模塊化的網(wǎng)絡(luò)安全應急響應工具設(shè)計

2.1 數(shù)據(jù)處理引擎層

數(shù)據(jù)處理引擎層主要包含數(shù)據(jù)處理引擎和系統(tǒng)服務引擎。數(shù)據(jù)處理引擎是系統(tǒng)內(nèi)部的數(shù)據(jù)接口，提供了數(shù)據(jù)庫訪問、數(shù)據(jù)緩存、數(shù)據(jù)同步等功能。數(shù)據(jù)處理引擎屏蔽了數(shù)據(jù)庫系統(tǒng)操作的細節(jié)，減少數(shù)據(jù)庫的連接，優(yōu)化數(shù)據(jù)庫的訪問，緩存常用的計算復雜數(shù)據(jù)，集中處理數(shù)據(jù)的邏輯，降低了其他功能模塊的維護工作量。

系統(tǒng)服務引擎是系統(tǒng)內(nèi)部的功能接口，提供了系統(tǒng)還原點備份與恢復、任務數(shù)據(jù)導入導出等功能。系統(tǒng)服務引擎解耦了前臺操作和后臺操作，后臺功能以特定的權(quán)限運行，增加了系統(tǒng)的安全性。

2.2 系統(tǒng)核心層

系統(tǒng)核心層包含掃描處理模塊（主機發(fā)現(xiàn)、操作系統(tǒng)識別、服務識別、弱口令檢測、漏洞掃描）、日志分析模塊、配置核查模塊、抓包分析模塊、證書升級模塊等，同時還具有較多可擴展的模塊和插件。這層主要實現(xiàn)網(wǎng)絡(luò)入侵應急響應各類功能。

2.3 報告引擎層

報表引擎層主要包括報告引擎和調(diào)度引擎，報告引擎是報表展示的核心處理模塊，能夠提供HTML、WORD、EXCEL、PDF等多種報表格式。調(diào)度引擎是掃描工作的協(xié)調(diào)中心，根據(jù)用戶操作不同可能有立即執(zhí)行的任務、定時執(zhí)行的任務、周期執(zhí)行的任務等，檢測出任務的類型和優(yōu)先級，進行漏洞掃描或者配置檢查、口令猜測。

2.4 系統(tǒng)界面層

系統(tǒng)接入層包含了用戶通過瀏覽器訪問Web頁面、通過串口訪問控制臺、通過數(shù)據(jù)接口進行數(shù)據(jù)交互等方式，其中數(shù)據(jù)接口包含第三方平臺管理數(shù)據(jù)接口、SNMP Trap。

3 網(wǎng)絡(luò)安全應急響應工具特點

3.1 集成化自動處理

網(wǎng)絡(luò)入侵應急響應工具支持全方位的安全漏洞掃描、安全配置、日志分析、數(shù)據(jù)抓包分析，包含了日常安全應急響應的主要工作內(nèi)容，通過集成化和統(tǒng)一化的自動處理，實現(xiàn)了工具的有效集成。特別在高原環(huán)境下，可以較好地啟動和攜帶，可以更好地實現(xiàn)高原環(huán)境下的網(wǎng)絡(luò)入侵應急響應。

3.2 便攜設(shè)備隨時響應

網(wǎng)絡(luò)入侵應急響應工具為高原環(huán)境特有便攜式設(shè)備，小巧輕便，在保證快速應急響應的基礎(chǔ)上，方便攜帶進行現(xiàn)場安全檢查，實現(xiàn)性能和便攜要求的統(tǒng)一。

工具提供多種靈活的部署方式，能夠滿足復雜的網(wǎng)絡(luò)環(huán)境下的要求，并且優(yōu)先應用輕量級部署方案。網(wǎng)絡(luò)入侵應急響應工具可靈活適應各種網(wǎng)絡(luò)拓撲環(huán)境，便于擴展。

另外，考慮到虛擬化和IPv6網(wǎng)絡(luò)的逐步應用，網(wǎng)絡(luò)入侵應急響應工具也支持通過虛擬化鏡像方式在虛擬化環(huán)境下直接部署，支持IPv6網(wǎng)絡(luò)環(huán)境下的部署和漏洞掃描。

3.3 風險統(tǒng)一分析

常用的應急響應有很多獨立的安全應急響應設(shè)備組成，包括漏洞掃描、配置檢查、Web應用掃描等工具，在對信息系統(tǒng)進行安全檢查后，分別得到不同的檢查報告，互相之間沒有聯(lián)系，實際上不同脆弱性的檢查結(jié)果都從不同方面反映網(wǎng)絡(luò)系統(tǒng)的安全風險狀態(tài)，要了解信息系統(tǒng)總體安全風險狀況，需要對應急響應系統(tǒng)脆弱性的所有方面統(tǒng)一進行分析和評估。

網(wǎng)絡(luò)入侵應急響應工具支持全方位的安全漏洞掃描、安全配置、日志分析、抓包分析等功能，通過統(tǒng)一的安全風險計算方法，對應急響應系統(tǒng)中多個方面的安全脆弱性統(tǒng)一進行分析和風險評估，給出總體安全狀態(tài)評價，全面掌握應急響應系統(tǒng)的安全風險，便于更好地進行針對性安全應急響應。

3.4 大數(shù)據(jù)處理故障快速定位

網(wǎng)絡(luò)入侵應急響應工具部署完成后，首先盡量收集IT系統(tǒng)環(huán)境信息，建立起IT資產(chǎn)關(guān)系列表。準備工作完成后，系統(tǒng)基于資產(chǎn)信息進行脆弱性掃描、日志獲取、數(shù)據(jù)抓包分析，然后進行大數(shù)據(jù)處理，快速實現(xiàn)故障定位，從而實現(xiàn)應急響應功能。網(wǎng)絡(luò)入侵應急響應工具分析結(jié)果以儀表盤方式展示，從風險發(fā)生區(qū)域、類型、嚴重程度、故障問題等進行不同維度的分類分析報告，應急響應者可以全局掌握安全風險，關(guān)注重點安全故障，對嚴重問題優(yōu)先進行應急響應［2］。同時也提供強大的搜索功能，可以根據(jù)資產(chǎn)范圍、風險程度等條件搜索定位故障。

4 高原網(wǎng)絡(luò)安全應急響應流程

在高原環(huán)境下，網(wǎng)絡(luò)入侵安全應急響應和其余地方的網(wǎng)絡(luò)入侵安全應急響應流程有所不同，由于客觀高原環(huán)境影響，網(wǎng)絡(luò)入侵安全應急響應希望能做到每次出動都能盡快解決問題，往返事故現(xiàn)場的次數(shù)越少越好，盡可能少的攜帶應急響應設(shè)備。因此提出的高原環(huán)境下的網(wǎng)絡(luò)入侵應急響應工具能滿足高原環(huán)境下的網(wǎng)絡(luò)入侵應急響應需要。同時在高原環(huán)境下還需要一個安全應急響應的流程，系統(tǒng)通常存在各種殘余風險的客觀情況下，應急響應是一個必要的保護策略。需要強調(diào)的是，盡管有效的應急響應可以在某種程度上彌補安全防護措施的不足，但不可能完全代替安全防護措施。缺乏必要的安全措施，會帶來更多的安全事件，最終造成資源浪費。

高原環(huán)境下安全事件應急響應的目標通常包括：采取緊急措施，恢復業(yè)務到正常服務狀態(tài)；調(diào)查安全事件發(fā)生的原因，避免同類安全事件再次發(fā)生；在需要司法機關(guān)介入時，提供法律的數(shù)字證據(jù)等［3］。

結(jié)合高原環(huán)境，安全事件應急響應工作流程包括準備、檢測、抑制、根除、恢復和跟進6個階段［4］。

準備階段。準備階段是安全事件響應的第一個階段，即在事件真正發(fā)生前為事件響應做好準備。這一階段極為重要，因為事件發(fā)生時可能需要在短時間內(nèi)處理較多的事情，如果沒有足夠的準備，那么將無法正確的完成響應工作。在準備階段應關(guān)注以下信息：基于威脅建立合理的安全保障措施；建立有針對性的安全事件應急響應預案，并進行應急演練；為安全事件應急響應提供足夠的資源和人員；建立支持事件響應活動管理體系。

檢測階段。檢測是指以適當?shù)姆椒ù_認在系統(tǒng)中是否出現(xiàn)了惡意代碼，文件和目錄是否被篡改等異常現(xiàn)象。如果可能的話同時確定它的影響范圍和問題原因。從操作的角度來講，事件響應過程中所有的后續(xù)階段都依賴于檢測，如果沒有檢測，就不會存在真正意義上的事件響應。檢測階段是事件響應的觸發(fā)條件。

抑制階段。抑制階段是事件響應的第3個階段，它的目的是限制攻擊破壞所波及的范圍，同時也是限制潛在的損失。所有的抑制活動都是建立在能正確檢測事件的基礎(chǔ)上，抑制活動必須結(jié)合檢測階段發(fā)現(xiàn)的安全事件的現(xiàn)象、性質(zhì)、范圍等屬性，制定并實施正確的抑制策略。抑制策略可能包含以下內(nèi)容：完全關(guān)閉所有系統(tǒng)；從網(wǎng)絡(luò)上斷開主機或部分網(wǎng)絡(luò)；修改所有的防火墻和路由器的過濾規(guī)則；封鎖或刪除被攻擊的登陸賬號；加強對系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控；設(shè)置誘餌服務器進一步獲取事件信息；關(guān)閉受攻擊系統(tǒng)或其他相關(guān)系統(tǒng)的部分服務［5］。

根除階段。即在準確地抑制事件后，找出事件的根源并徹底根除它，以避免攻擊者再次使用相同手段攻擊系統(tǒng)，引發(fā)安全事件。在根除階段中需要利用在準備階段產(chǎn)生的結(jié)果。

恢復階段。事件的根源根除后，進入恢復階段。恢復階段的目標是把所有被攻破的系統(tǒng)或網(wǎng)絡(luò)設(shè)備還原到它們正常的任務狀態(tài)。

跟進階段。安全事件應急響應的最后一個階段是跟進階段，其目標是回顧并整合發(fā)生事件的相關(guān)信息。跟進階段也是最可能被忽略的階段，但這一步也是非常關(guān)鍵的。完成該階段有助于從安全事件中吸取經(jīng)驗教訓，提高技能，有助于評判應急響應組織的事件響應能力。

5 結(jié)語

適合高原環(huán)境的網(wǎng)絡(luò)入侵應急響應工具在采用特別適用高原環(huán)境的硬件設(shè)備基礎(chǔ)上集成了眾多常見的應急響應功能，便于攜帶和使用，可以快速實現(xiàn)高原環(huán)境下的網(wǎng)絡(luò)入侵應急響應，按照特有的高原應急響應流程，可以實現(xiàn)高原環(huán)境下高效率的信息網(wǎng)絡(luò)安全應急響應。

［1］劉玉龍.我國網(wǎng)絡(luò)與信息安全應急響應體系建設(shè)［J］.能源技術(shù)與管理，2012（3）：164-165.

［2］陳祖義，華勇.計算機網(wǎng)絡(luò)入侵應急響應的研究［J］.計算機安全，2009（7）：66-69.

［3］張帆.網(wǎng)絡(luò)攻擊過程分析與防范［J］.黃石高等專科學校學報，2004（6）：4-7.

［4］劉振峰.淺談網(wǎng)絡(luò)信息安全事件的應急響應［J］.信息網(wǎng)絡(luò)安全，2007（2）：44-47.

［5］鐘浩.關(guān)于互聯(lián)網(wǎng)安全應急響應的事件處理［J］.電信科學，2005（6）：55-58.

Network Security Emergency Response Tools in Plateau Environment

In plateau environment，because of the high altitude and wide area，network intrusion events often fail to be tackled in a timely manner，and lead to expand the situation.In plateau environment，network intrusion emergency response tools utilize integrated security emergency response technology，and have advantages of remote timely and processing intrusion events conveniently.The response tools overcome the problem of equipment inconvenient transportation and difficult access of far-away regions and so on.Practice shows them both effective and practical.

plateau environment；network security；emergency response

TP393.08

：B

：1007－9904（2014）06－0063－04

2014-08-06

于勃（1981），男，工程師，從事電力信息安全技術(shù)督查工作；

王磊（1982），男，工程師，從事電力信息通信調(diào)控管理工作。