基于協(xié)議的網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)應(yīng)用研究

0 引言

隨著信息化與工業(yè)化的深度融合，信息系統(tǒng)已經(jīng)成為各行業(yè)開展業(yè)務(wù)的必備條件。移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、電子商務(wù)、網(wǎng)絡(luò)媒體、微博客等新技術(shù)新業(yè)務(wù)相互促進、快速發(fā)展，成為推動經(jīng)濟社會變革的重要力量。但隨之而來的信息安全問題嚴峻，黑客活動日趨頻繁，網(wǎng)站后門、網(wǎng)絡(luò)釣魚、惡意程序、拒絕服務(wù)攻擊呈大幅增長態(tài)勢，直接影響網(wǎng)民和企業(yè)的權(quán)益，阻礙行業(yè)健康發(fā)展。

為落實國家信息安全等級保護制度，對本單位的信息系統(tǒng)進行實時監(jiān)測，及時掌握信息系統(tǒng)、服務(wù)器及網(wǎng)絡(luò)的運行情況，及時發(fā)現(xiàn)異常數(shù)據(jù)流量，異常鏈接。在復雜、多變的網(wǎng)絡(luò)環(huán)境下及時排除信息安全隱患，保證本單位信息系統(tǒng)的安全穩(wěn)定運行。

1 網(wǎng)絡(luò)安全監(jiān)測技術(shù)簡介

網(wǎng)絡(luò)安全監(jiān)測技術(shù)主要包括實時安全監(jiān)測技術(shù)和安全掃描技術(shù)。

實時安全監(jiān)控技術(shù)通過硬件或軟件實時檢查網(wǎng)絡(luò)數(shù)據(jù)流并將其與系統(tǒng)入侵特征數(shù)據(jù)庫的數(shù)據(jù)相比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立即根據(jù)用戶所定義的動作做出反應(yīng)。這些動作可以是切斷網(wǎng)絡(luò)連接，也可以是通知防火墻系統(tǒng)調(diào)整訪問控制策略，將入侵的數(shù)據(jù)包過濾掉。

安全掃描技術(shù)是一種基于Internet遠程檢測目標網(wǎng)絡(luò)或本地主機安全性脆弱點的技術(shù)。通過對網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員能夠發(fā)現(xiàn)所管理服務(wù)器的各種TCP/IP端口的分配、開放的服務(wù)、服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在Internet上的安全漏洞。網(wǎng)絡(luò)安全掃描技術(shù)采用積極的、非破壞性的辦法來檢驗系統(tǒng)是否有可能被攻擊崩潰，它利用了一系列的腳本模擬對系統(tǒng)進行攻擊的行為，并對結(jié)果進行分析。這種技術(shù)通常被用來進行模擬攻擊和網(wǎng)絡(luò)安全審計。

2 紅楓校區(qū)網(wǎng)絡(luò)現(xiàn)狀分析

目前紅楓校區(qū)網(wǎng)絡(luò)機房的信息系統(tǒng)包含：門戶網(wǎng)站、教務(wù)管理、電子圖書、生產(chǎn)管理信息系統(tǒng)、心里測試系統(tǒng)、課程錄制采編系統(tǒng)、招聘考試系統(tǒng)、綜合測評考試、素質(zhì)測評考試系統(tǒng)、電力營銷培訓系統(tǒng)等。隨著培訓、教學和管理業(yè)務(wù)量的加大，網(wǎng)絡(luò)機房內(nèi)各信息系統(tǒng)的訪問量和數(shù)據(jù)量也隨之增加，來自外網(wǎng)和內(nèi)網(wǎng)的掃描攻擊、滲透攻擊、注入攻擊、漏洞攻擊、拒絕服務(wù)攻擊等次數(shù)會越來越多，信息安全隱患加劇。

3 系統(tǒng)總體方案

3.1 設(shè)計思想

網(wǎng)絡(luò)安全監(jiān)測集成管理的基本思想是：主要通過當前Internet使用的網(wǎng)絡(luò)標準TCP/IP協(xié)議族來實現(xiàn)對網(wǎng)絡(luò)的監(jiān)測，構(gòu)造安全監(jiān)測功能的集成框架，實現(xiàn)安全監(jiān)測功能的組件化，根據(jù)系統(tǒng)的安全目標來確定安全監(jiān)測功能需求，從整體角度考慮網(wǎng)絡(luò)的安全性能和進行安全監(jiān)測功能的選擇。

3.2 系統(tǒng)架構(gòu)

網(wǎng)絡(luò)安全監(jiān)測的目標是對網(wǎng)絡(luò)中存在的安全漏洞和網(wǎng)絡(luò)中發(fā)生的安全事件進行監(jiān)測，因此至少可以分為監(jiān)測功能和處理功能兩部分，在進行監(jiān)測之前先要建立基于TCP/IP協(xié)議的監(jiān)測集。網(wǎng)絡(luò)協(xié)議安全監(jiān)測系統(tǒng)以監(jiān)測集模塊、監(jiān)測功能管理模塊、處理功能管理模塊為主線分別集成為用戶界面友好的一體化環(huán)境，有效支持監(jiān)測準備、監(jiān)測執(zhí)行、監(jiān)測結(jié)果采集、監(jiān)測結(jié)果分析、監(jiān)測報告生成。如圖1所示。

圖1 系統(tǒng)架構(gòu)

在監(jiān)測之前，系統(tǒng)首先要進行監(jiān)測準備，建立監(jiān)測過程；然后，通過監(jiān)測過程管理提交監(jiān)測程序，激活監(jiān)測程序，控制監(jiān)測程序執(zhí)行，收集、采集監(jiān)測結(jié)果；最后，進行監(jiān)測結(jié)果分析，生成監(jiān)測分析報告，打印、顯示監(jiān)測結(jié)果，產(chǎn)生評測報告。

3.2.1 協(xié)議監(jiān)測集模塊

建立、維護基于TCP/IP協(xié)議的安全協(xié)議軟件監(jiān)測集數(shù)據(jù)庫，訪問、瀏覽、入庫、出庫、修改、更新、擴充、管理監(jiān)測集數(shù)據(jù)庫內(nèi)容。

3.2.2 監(jiān)測功能模塊

采集防火墻、IDS、IPS、網(wǎng)站防護設(shè)備、防病毒網(wǎng)關(guān)等安全設(shè)備安全事件，對網(wǎng)絡(luò)邊界進行全天候?qū)崟r安全監(jiān)測及深度分析。整合各種安全事件并進行關(guān)聯(lián)分析，實時顯示全網(wǎng)安全態(tài)勢，并形成各類安全監(jiān)測分析報告，基本實現(xiàn)監(jiān)測過程的自動化。

3.2.3 處理功能模塊

處理功能模塊是根據(jù)檢測結(jié)果，系統(tǒng)一旦檢測到入侵，就開始工作進行事件的處理。

3.2.4 協(xié)議安全監(jiān)測集數(shù)據(jù)庫

監(jiān)測集數(shù)據(jù)庫用來存網(wǎng)絡(luò)協(xié)議安全性監(jiān)測集。監(jiān)測集主要包括：安全功能監(jiān)測集、安全性能監(jiān)測集和脆弱性監(jiān)測集。

3.2.5 監(jiān)測結(jié)果采集數(shù)據(jù)庫

監(jiān)測結(jié)果采集數(shù)據(jù)庫用來存儲各種從安全設(shè)備收集的監(jiān)測數(shù)據(jù)。這些數(shù)據(jù)包括安全日志、攻擊事件和敏感信息等。

4 軟件方案

通過在紅楓校區(qū)的服務(wù)器上安裝服務(wù)器安全狗和網(wǎng)站安全狗工具對網(wǎng)絡(luò)安全進行實時的監(jiān)控。服務(wù)器安全狗主要用于防護針對服務(wù)器的各類攻擊，保護服務(wù)器系統(tǒng)環(huán)境安全，網(wǎng)站安全狗主要用于保護服務(wù)器上網(wǎng)站內(nèi)容和網(wǎng)站資源安全。對于服務(wù)器上有網(wǎng)站的用戶，同時安裝服務(wù)器安全狗與網(wǎng)站安全狗，二者配套使用，可以全面保護服務(wù)器的安全。

服務(wù)器安全狗是一款集服務(wù)器安全防護和安全管理為一體的綜合性服務(wù)器工具。服務(wù)器安全狗功能涵蓋了服務(wù)器系統(tǒng)優(yōu)化、服務(wù)器漏洞補丁修復、服務(wù)器程序守護、遠程桌面監(jiān)控、文件目錄守護、系統(tǒng)帳號監(jiān)控、DDOS防火墻、ARP防火墻、安全策略設(shè)置以及郵件實時告警等多方面模塊，為用戶的服務(wù)器在運營過程中提供完善的保護，使其免受惡意的攻擊、破壞。

網(wǎng)站安全狗是一款集網(wǎng)站內(nèi)容安全防護、網(wǎng)站資源保護及網(wǎng)站流量保護功能為一體的服務(wù)器工具。功能涵蓋了網(wǎng)馬/木馬掃描、防SQL注入、防盜鏈、防CC攻擊、網(wǎng)站流量實時監(jiān)控、網(wǎng)站CPU監(jiān)控、下載線程保護、IP黑白名單管理、網(wǎng)頁防篡改功能（結(jié)合安全狗云安全中心使用）等模塊。能夠為用戶提供實時的網(wǎng)站安全防護，避免各類針對網(wǎng)站的攻擊所帶來的危害。

5 配置方案

通過設(shè)置服務(wù)器安全狗和網(wǎng)站安全狗的安全策略功能，同時設(shè)置 Windows系統(tǒng)的安全策略功能來配置整個網(wǎng)絡(luò)安全系統(tǒng)的監(jiān)測功能。

安全策略功能通過執(zhí)行具體的端口保護規(guī)則，限制或者允許進程對端口的連接請求，來保護服務(wù)器安全。

（1）安全狗的安全策略功能的設(shè)置：用戶可以直接使用服務(wù)器安全狗默認設(shè)置的11條端口規(guī)則，也可以根據(jù)實際需要自行設(shè)置。

（2）Windows系統(tǒng)的安全策略設(shè)置如下：

策略一：關(guān)閉windows2003不必要的服務(wù)；

策略二：磁盤權(quán)限設(shè)置：C盤只給administrators和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置；

策略三：禁止 Windows 系統(tǒng)進行空連接；

策略四：關(guān)閉不需要的端口；

策略五：關(guān)閉默認共享的空連接；

策略六：IIS安全設(shè)置；

策略七：注冊表相關(guān)安全設(shè)置；

策略八：組件安全設(shè)置。

6 應(yīng)用實例

下面是紅楓校區(qū)服務(wù)器上安裝的網(wǎng)站安全狗和服務(wù)器安全狗的防護日志。

從防護日志中可以看出，安全狗有效地進行了CC攻擊攔截和網(wǎng)馬防護，為用戶提供了實時的網(wǎng)站安全防護，避免各類針對網(wǎng)站的攻擊所帶來的危害。

7 結(jié)語

通過本課題的研究可以實時生成紅楓校區(qū)內(nèi)部網(wǎng)絡(luò)包括服務(wù)器、路由器、交換機、網(wǎng)絡(luò)終端設(shè)備等多種設(shè)備的網(wǎng)絡(luò)流量圖形化報表，并能夠?qū)@些報表進行統(tǒng)計，幫助網(wǎng)絡(luò)管理員詳細、實時地分析紅楓校區(qū)網(wǎng)絡(luò)和信息系統(tǒng)的數(shù)據(jù)流的性能、趨勢和存在的問題。

圖2 網(wǎng)站安全狗防護日志

圖3 服務(wù)器安全狗防護日志