網(wǎng)絡(luò)安全監(jiān)控體系構(gòu)建

◆孫梅玲 李降宇 王寅永

?

網(wǎng)絡(luò)安全監(jiān)控體系構(gòu)建

◆孫梅玲1李降宇2王寅永3

（1.大連市地方稅務(wù)局 遼寧 116015；2.大連理工大學(xué)網(wǎng)絡(luò)與信息化中心 遼寧 116024；3.大連智通信息技術(shù)有限公司 遼寧 116023）

隨著稅務(wù)信息化建設(shè)的不斷推進(jìn)及信息技術(shù)的廣泛應(yīng)用，大連地稅局承載的業(yè)務(wù)系統(tǒng)在不斷增多，系統(tǒng)運(yùn)行的業(yè)務(wù)數(shù)據(jù)關(guān)系到稅收管理等政府敏感信息、企業(yè)數(shù)據(jù)以及個(gè)人隱私重要業(yè)務(wù)數(shù)據(jù)，信息安全問題更加突出，對(duì)稅務(wù)系統(tǒng)數(shù)據(jù)的安全提出了更高的要求。由于不正確的安全策略和安全機(jī)制，以及缺乏先進(jìn)的網(wǎng)絡(luò)安全技術(shù)、工具、手段和產(chǎn)品等原因，面臨的信息安全形勢(shì)也越來越嚴(yán)峻。大連地稅局構(gòu)建的網(wǎng)絡(luò)安全監(jiān)控體系，從信息安全保障的角度為稅務(wù)業(yè)務(wù)信息化發(fā)展提供保駕護(hù)航，確實(shí)保證網(wǎng)絡(luò)監(jiān)控背后數(shù)據(jù)的安全性。

網(wǎng)絡(luò)安全；監(jiān)控體系

1 系統(tǒng)建設(shè)背景

隨著網(wǎng)絡(luò)和信息技術(shù)的高速發(fā)展，稅務(wù)業(yè)務(wù)系統(tǒng)規(guī)模的擴(kuò)大，各種應(yīng)用系統(tǒng)不斷完善，大連地稅局承載的業(yè)務(wù)系統(tǒng)在不斷增多，用戶規(guī)模在不斷擴(kuò)大，網(wǎng)絡(luò)中的流量變得也愈加復(fù)雜。同時(shí)，系統(tǒng)運(yùn)行的業(yè)務(wù)數(shù)據(jù)關(guān)系到稅收管理等政府敏感信息、企業(yè)數(shù)據(jù)以及個(gè)人隱私重要業(yè)務(wù)數(shù)據(jù)，對(duì)稅務(wù)系統(tǒng)數(shù)據(jù)的安全提出了更高的要求。

在互聯(lián)網(wǎng)環(huán)境下，機(jī)房安全運(yùn)維工作越來越繁瑣與復(fù)雜，保障業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行，保障數(shù)據(jù)的安全可靠，給網(wǎng)絡(luò)安全運(yùn)維管理人員帶來了巨大的壓力。借助計(jì)算機(jī)信息化管理技術(shù)與計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，構(gòu)建智能化的網(wǎng)絡(luò)安全監(jiān)控體系在大連地稅局已勢(shì)在必行[1]。

2 網(wǎng)絡(luò)安全面臨威脅分析

通過實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)或主機(jī)活動(dòng)，監(jiān)視分析用戶和系統(tǒng)的行為，審計(jì)系統(tǒng)配置和漏洞，評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性，識(shí)別攻擊行為，對(duì)異常行為進(jìn)行統(tǒng)計(jì)和跟蹤，識(shí)別違反安全法規(guī)的行為，使用誘騙服務(wù)器記錄黑客行為等功能，使管理員有效地監(jiān)視、控制和評(píng)估網(wǎng)絡(luò)或主機(jī)系統(tǒng)[2]。通過前期調(diào)研分析，總結(jié)了目前網(wǎng)絡(luò)安全運(yùn)維管理存在的幾點(diǎn)安全隱患問題：

（1）對(duì)IP地址的使用情況掌握的不全面。

（2）內(nèi)網(wǎng)中IP地址是否暴露在互聯(lián)網(wǎng)。

（3）不清楚安全域之間的訪問關(guān)系真實(shí)情況。

（4）不清楚是否存在因防火墻配置錯(cuò)誤而被放行的違規(guī)訪問。

（5）針對(duì)網(wǎng)絡(luò)流量的分析缺乏簡單易用的工具支撐。

（6）作為基礎(chǔ)安全防護(hù)手段的防火墻策略隨著時(shí)間的變化，策略也在不斷增多，防火墻的性能也在不斷下降。

基于目前網(wǎng)絡(luò)安全和信息安全的建設(shè)需要，迫切需要建設(shè)主動(dòng)化網(wǎng)絡(luò)安全監(jiān)控管理體系，集網(wǎng)絡(luò)訪問行為監(jiān)控、網(wǎng)絡(luò)流量管理、監(jiān)控、分析于一體，并提供專門的防火墻策略分析和梳理功能，可應(yīng)用于網(wǎng)絡(luò)異常行為分析、網(wǎng)絡(luò)流量審計(jì)、異常流量分析、故障定位等，充分滿足運(yùn)維人員、安全服務(wù)人員的需求，提供必要的防護(hù)措施，以提高在網(wǎng)絡(luò)環(huán)境中關(guān)鍵任務(wù)應(yīng)用的安全性。

3 網(wǎng)絡(luò)安全監(jiān)控體系功能設(shè)計(jì)

系統(tǒng)采用流量采集引擎分布式旁路部署，和數(shù)據(jù)中心集中存儲(chǔ)、分析、展現(xiàn)部署。

3.1 流量采集

采用分布式流量采集，數(shù)據(jù)集中存儲(chǔ)、分析、展現(xiàn)的系統(tǒng)架構(gòu)，將采集引擎部署到不同的位置，如網(wǎng)絡(luò)出口、安全域之間、網(wǎng)絡(luò)匯聚層、接入層等，配置多個(gè)網(wǎng)絡(luò)設(shè)備向流量監(jiān)控?cái)?shù)據(jù)中心發(fā)送流量數(shù)據(jù)[3]，系統(tǒng)部署方案如圖1。

圖1 系統(tǒng)部署方案

3.2 數(shù)據(jù)存儲(chǔ)

采用容量為6T~16T的磁盤存儲(chǔ)空間，多塊磁盤組成RAID陣列，滿足持久、可靠的流量存儲(chǔ)需求。海量的數(shù)據(jù)存儲(chǔ)能力為全面、大跨度地做流量分析、審計(jì)、取證提供了保障。

3.3 行為管理

按照黑白名單方式管理流量的功能。為訪問關(guān)系配置黑白名單，可以預(yù)先在系統(tǒng)新建黑白名單，也可以從excel表導(dǎo)入。黑白名單由五元組定義，名單的IP地址對(duì)象可以配置地理位置。基于用戶配置的黑白名單訪問關(guān)系，實(shí)時(shí)檢測(cè)流量的合規(guī)性，并可以在訪問關(guān)系監(jiān)控圖上醒目地看到是否存在違規(guī)訪問行為，是否存在未知的訪問行為。對(duì)于未知的訪問行為，系統(tǒng)會(huì)如實(shí)記錄，通過對(duì)未知訪問行為的分析，將方便地在線確認(rèn)為對(duì)應(yīng)的名單類型。

3.4 行為監(jiān)控

互聯(lián)監(jiān)控功能包括安全域互聯(lián)監(jiān)控和境內(nèi)、境外互聯(lián)監(jiān)控。

（1）安全域互聯(lián)監(jiān)控：以拓?fù)鋱D形式展現(xiàn)特定或全部安全域之間的互聯(lián)關(guān)系及其黑白名單類型，支持監(jiān)控圖內(nèi)容過濾，支持圖形對(duì)象下鉆，支持監(jiān)控圖的縮放、導(dǎo)出、打印等操作。

（2）境內(nèi)、境外互聯(lián)監(jiān)控：以地圖形式展現(xiàn)用戶網(wǎng)絡(luò)與境內(nèi)外的互聯(lián)情況，形象展示互聯(lián)關(guān)系黑白名單類型、互聯(lián)頻次大小、互聯(lián)關(guān)系連線可下鉆。

3.5 行為分析

系統(tǒng)通過對(duì)網(wǎng)絡(luò)報(bào)文或流數(shù)據(jù)的解析，形成三類數(shù)據(jù)作為流量行為分析的基礎(chǔ)：

（1）流信息：支持TCP、UDP、ICMP三種最常見的流解析。流信息由基本信息和擴(kuò)展信息構(gòu)成。包括源和目的IP、源和目的端口、傳輸層協(xié)議、流起止時(shí)間、包數(shù)、會(huì)話時(shí)長、流量、MAC地址等；擴(kuò)展信息包括IP地理位置、所屬分組、設(shè)備名等，其中IP地理位置由系統(tǒng)自動(dòng)提供[4]。

（2）payload信息：支持Oracle、HTTP、Telnet、FTP應(yīng)用層協(xié)議的賬號(hào)和指令解析。

（3）網(wǎng)絡(luò)報(bào)文：原始的網(wǎng)絡(luò)報(bào)文，以pcap文件形式存儲(chǔ)。

4 關(guān)鍵業(yè)務(wù)實(shí)現(xiàn)效果

4.1 流量監(jiān)控

可以對(duì)當(dāng)前已規(guī)劃好的組內(nèi)ip進(jìn)行流量監(jiān)控，也可單獨(dú)都組內(nèi)IP進(jìn)行監(jiān)控。當(dāng)網(wǎng)絡(luò)出現(xiàn)大量異常流量是可隨時(shí)檢查流量去向，避免造成更嚴(yán)重?fù)p失。

圖2 流量監(jiān)控頁面

4.2 防火墻策略梳理

通過鏡像流量，長期存儲(chǔ)流量概要信息。當(dāng)導(dǎo)入防火墻策略后，可通過流量信息對(duì)防火墻策略進(jìn)行匹配比對(duì)，檢查防火墻策略的命中率與策略的合理性。

通過檢查結(jié)果，比對(duì)防火墻策略進(jìn)行修改，即可刪除冗余策略，同時(shí)可合并覆蓋策略。減少防火墻策略條目數(shù)，增強(qiáng)防火墻性能，可導(dǎo)出防火墻策略梳理報(bào)告。

5 結(jié)束語

隨著稅務(wù)信息化建設(shè)的不斷推進(jìn)及信息技術(shù)的廣泛應(yīng)用，國家敏感信息、企業(yè)數(shù)據(jù)風(fēng)險(xiǎn)以及個(gè)人隱私的安全性受到的挑戰(zhàn)日趨嚴(yán)重，信息安全問題更加突出。由于不正確的安全策略和安全機(jī)制以及缺乏先進(jìn)的網(wǎng)絡(luò)安全技術(shù)、工具、手段和產(chǎn)品等原因，網(wǎng)絡(luò)黑客對(duì)網(wǎng)絡(luò)的攻擊越來越猛烈并屢屢得手，面臨的信息安全形勢(shì)也越來越嚴(yán)峻。大連地稅局構(gòu)建的網(wǎng)絡(luò)安全監(jiān)控體系，從信息安全保障的角度為稅務(wù)業(yè)務(wù)信息化發(fā)展提供保駕護(hù)航，確實(shí)保證網(wǎng)絡(luò)監(jiān)控背后數(shù)據(jù)的安全性，真正跟上時(shí)代發(fā)展的腳步，開啟一個(gè)嶄新的網(wǎng)絡(luò)安全監(jiān)控時(shí)代。

[1]鄭洲.新時(shí)期高校機(jī)房數(shù)字化智能監(jiān)控系統(tǒng)設(shè)計(jì)與應(yīng)用探討[J].無線互聯(lián)科技，2017.

[2]葉偉.網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的研究與設(shè)計(jì)[J].信息與電腦， 2017.

[3]卞琛，于興艷，修位蓉等.基于MPLS VPN 技術(shù)的網(wǎng)絡(luò)監(jiān)控系統(tǒng)分析與設(shè)計(jì)[J].科學(xué)技術(shù)研究，2015.

[4]趙衍.基于網(wǎng)絡(luò)數(shù)據(jù)挖掘的信息安全監(jiān)控體系[J].上海管理科學(xué)，2010.