探討某上市公司信息網絡監測預警系統構建

孫志欣

[摘? ? 要] 隨著互聯網的發展以及相關技術的成熟與普及，信息網絡安全形勢愈加嚴峻，其中信息安全攻擊手段向簡單化綜合化演變，而攻擊形式卻向多樣化復雜化發展，可以說網絡威脅愈演愈烈，如何更好地保護上市公司數據安全和商業利益，就顯得尤為重要，文章提出探討公司信息網絡監測預警系統構建，以期為上市公司長遠發展保駕護航。

[關鍵詞] 互聯網;網絡安全;監測;預警

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 05. 067

[中圖分類號] TP393.0? ? [文獻標識碼]? A? ? ? [文章編號]? 1673 - 0194（2019）05- 0174- 04

1? ? ? 背? ? 景

隨著互聯網的發展以及相關技術的成熟與普及，越來越多的業務通過互聯網的方式對外開展，在為用戶提供便民服務的同時，也面臨來自互聯網越來越多的攻擊與威脅。目前某上市公司服務于不同部門的業務及應用系統幾十個，單純依賴粗放式的人工監控與安全管理已經無法適應安全動態發展的變化，急需針對局域網內重要業務系統及網絡流量建立有效監控和風險預警體系，確保內部業務系統等重要信息系統的安全穩定運行，減少內部漏洞、非法篡改、非授權訪問以及業務系統故障等安全事件。

2? ? ? 建設原則

網絡監測預警系統建設要遵循“安全、先進、易用、可擴展”的原則。

安全性：系統要對上市公司各業務系統與網絡環境進行監測預警，保證系統自身的安全性是基本原則。

先進性：要采用成熟先進的技術，確保系統投入的有效和可持續性。

易用性：信息網絡監測預警涉及面廣，工作任務比較繁重，提高工作效率是系統的目標之一，因此要重視系統的易用性，降低系統部署、學習難度，提高系統的自動化水平。

可擴展：系統未來要達到對子公司相關業務系統和信息網絡的集中監管，系統需要對接大量的管理信息系統，因此可擴展性是必須具備的特征。

3? ? ? 建設目標

通過建設公司網絡監測預警系統，形成一套“橫縱一體”、“相互支撐”的安全體系。一方面橫向對公司互聯網資產進行7×24小時實時監測，及時發現安全漏洞、網頁掛馬、頁面篡改、業務系統故障等安全隱患和問題，探測出互聯網邊界與入侵渠道等安全關鍵因素;另一方面縱向對局域網業務系統及網絡流量實時監測，通過采集、分析、匯總局域網各種設備的安全數據，實現安全監控的自動化，安全信息的在線預警響應，實時安全監測分析以及資產和知識管理的自動化。

通過實時監測、安全預警、應急響應等多種方式完善信息安全工作的目標決策與組織協調、工作執行與日常反饋、監控預警與檢查評估、應急管理與匯總分析等工作，逐步形成可駕馭的信息系統安全綜合保障體系，促進上市信息安全保障能力的提升。

4? ? ? 需求分析

4.1? ?互聯網監測預警需求分析

建立行之有效的公司互聯網安全監控系統，以便于能夠全面、及時地了解公司互聯網信息安全整體狀況、突發事件及相關信息，具備監測、預警的能力。并將采集到的安全數據進行集中展示，便于內容和行為的事后全程可追溯，主要涉及互聯網資產監控體系、互聯網漏洞驗證工具集、互聯網監測預警系統等內容。

4.2? ?網絡監測預警需求分析

目前上市公司辦公大樓日常登錄使用的IP地址有2 000多個，存在的安全威脅主要有網絡互連、攻擊快速傳播帶來的安全風險和來自網絡資源濫用的安全風險以及漏洞存在的安全風險。

4.3? ?功能需求分析

局域網監測預警系統需要提供信息資產管理、日志信息采集、漏洞掃描統計、事件關聯分析、安全威脅預警、運維態勢感知、系統決策支撐等功能。其中信息資產管理功能，可以對網絡中的管理對象資產進行管理。除基本資產信息外，還可以自定義資產標簽，實現資產的動態屬性擴展。能夠提供基于拓撲的資產視圖，可以按圖形化拓撲模式顯示資產，并可編輯資產之間的網絡連接關系，通過資產視圖可直接查看該資產的狀態、事件及告警信息。

4.4? ?服務需求分析

主要包括實時安全監測服務、威脅分析服務、實施監測服務、滲透測試服務等服務需求。

5? ? ? 建設內容

5.1? ?互聯網監測預警系統建設

5.1.1? ?互聯網監測預警系統體系架構

互聯網監測預警系統主要有兩部分組成。

互聯網邊界管理：對公司互聯網相關資產進行實時感知，預知資產詳細變化情況，實現保護目標變化的及時感知，動態掌握互聯網登錄入口、非業務端口以及敏感鏈接等互聯網邊界;

公司內部的資產統計及管理都是由財務審計為出發點，后逐步融入了資產盤點，資產進銷賬管理等等內容，但其本質均是為滿足財務管理。而這種管理并不能實質的反映出資產在安全風險要素中所承擔的角色和意義。從安全管理的角度來看，資產感知的主要目的是識別與定位到網絡中資產設備和組件信息，并對抓取信息進行指紋鑒別和分類。例如：設備型號、設備版本、組件版本、組件系統等。定期對網絡中資產的狀態變化情況進行探查，及時發現資產狀態變化情況，將這種變化反饋至安全維護人員以及系統管理人員，及時糾正異常變化。互聯網資產管理的內容及范圍主要包括Web中間件的特征檢測、Web服務端語言特征檢測、WebCMS版本檢測、端口與服務檢測等。

互聯網入侵渠道管理：對可能出現的互聯網入侵渠道以及互聯網資產進行安全監測，獲取系統脆弱性數據，發現和感知重要互聯網信息系統及其相關業務系統的安全漏洞，并評估安全漏洞的影響范圍及影響程度，將漏洞感知數據反饋至響應處置流程（用于及時開展漏洞處置）。

總體框架如圖1所示。

互聯網監測預警系統部署如圖2所示，互聯網監測預警系統通過新增互聯網線路的方式對原有公司互聯網業務及相關資產進行監控及安全數據收集。

5.1.2? ?數據采集工具

互聯網監測預警系統通過系統配套監測及數據采集引擎和調用外部工具（或模塊）采集數據等兩種方式完成數據采集。

5.2? ?局域網監測預警系統建設

局域網網絡監測預警系統主要由兩部分組成：網絡監測預警管理系統和各種監測采集系統組成。

其中網絡監測預警管理系統負責收集網站和業務系統安全監測系統的數據，展示安全態勢（整體安全態勢、區域安全態勢、重點網站安全態勢）、威脅統計（包括漏洞、掛馬、頁面篡改等）、實時告警等，同時可實現整改通知、資產管理、風險管理、預警管理、報表管理、系統管理等多方面的管理功能。

各種監測采集系統通過采集、掃描、核查等方式進行各種數據源的采集輸送到管理系統。x

5.2.1? ?體系架構

監測預警系統基于信息安全模型構建，涵蓋了數據采集和解析、數據通信、分析計算、分布式應用及系統安全等，根據流程分為采集—分析—處理三個階段各模塊之間采用加密通訊，確保傳輸安全，系統日志數據逐級上傳，管理數據逐級下發。

數據采集和解析：通過信息收集引擎和數據采集模塊來完成。

數據通信：基于SOA技術，具備可信的通信網絡服務。

分析計算：使用數據倉庫技術，通過多維數據集分析、數據挖掘等技術來完成復雜的數據分析。

分布式應用：采用B/S三層架構（J2EE）。

5.2.2? ?數據采集工具

5.2.2.1? ?控制臺

控制臺是網絡監測預警系統的控制中心，分別安裝平臺管理系統、軟件采集平臺和數據庫系統。

5.2.2.2? ?業務監測系統

通過旁路部署在網絡內，自動進行監控和檢測，24小時不間斷進行Web和業務系統安全監測，根據審計業務的類型進行命令和字段的自動提取，用戶可以選擇提取后的命令或字段作為重點對象進行分析。針對數據庫類業務，可分析并形成數據庫名、表名、命令等列表;針對Web業務，可分析并形成URL、訪問模式等列表。通過智能分析功能，可以簡化用戶對審計數據的分析過程，大大提高分析的效率。針對敏感數據資產的各類訪問行為進行審計，達到實時告警、事后溯源的目的。

5.2.2.3? ?異常流量監測系統

（1）流檢測

通過公司局域網內數據流量的采集，對局域網間的數據流向進行分析，根據業務及管理的邏輯，定義設備連接關系的白名單。并通過對互聯關系的積累，逐漸定義黑名單。理清公司內各業務系統的數據流向關系。

采用旁路接入，通過流量鏡像技術，基于惡意流量行為特征的檢測技術，系統采用IP地理定位技術，實現了IP來源定位、名單/策略的IP地址區域配置支持。

（2）包檢測

對公司局域網流量數據包進行拆包分析，與攻擊檢測特征庫進行比對從而對局域網內病毒、蠕蟲、木馬、DDoS、掃描、SQL注入、XSS、緩沖區溢出、欺騙劫持等攻擊行為以及網絡資源濫用行為（如P2P上傳/下載、網絡游戲、視頻/音頻、網絡炒股）等威脅進行檢測。

（3）文件檢測

通過對公司局域網流量內數據進行提取，包括多種方式提取原始文件、特定流量、報警會話完整流等各種現場數據快照，來支撐網絡監測預警系統分析、確認報警事件時所需要的現場數據。

5.3? ?實時安全監測分析服務

5.3.1? ?實時監測數據分析服務

通過駐場實時監測數據分析服務提供的日常系統運維、規則升級管理、網站安全監測、日常告警處置、安全事件分析、整理階段監測報告等多方面的運維服務，保障互聯網及局域網監測平臺的穩定運行、7×24小時持續安全監測、日常告警安全事件的及時有效處理。提供3年駐場實時監測數據分析服務，安排3名監測數據分析服務人員實時維護系統。

5.3.2? ?遠程偵測支撐服務

通過安全監測團隊及攻防實驗室團隊遠程對高危/突發安全漏洞、網頁掛馬、頁面篡改等安全事件進行技術支撐以及對漏洞平臺漏洞監測的服務支撐。

技術支撐，通過對高危/突發安全漏洞、網頁掛馬、頁面篡改等安全事件進行技術支撐，使相關安全事件得到更深入的分析處理。

服務支撐，通過對烏云、CNVD等漏洞平臺漏洞的監測，及時發現外部披露的外網網站漏洞，及時發現，及時處理，可降低網站風險，減少可能帶來的損失。

6? ? ? 結? ? 語

本文在某上市公司網絡安全現狀分析基礎上，從互聯網監測預警、網絡監測預警、實現功能、系統服務等方面進行需求分析，并根據系統需求提出了互聯網監測預警系統、局域網監測預警系統、實時安全監測分析服務等建設內容，更好地抵御網絡攻擊，守護公司網絡安全。

主要參考文獻

[1]楊斌.影響網絡信息安全因素探析[J].網絡安全技術與應用，2016（4）：11.

[2]王斌. 基于互聯網時代下計算機信息安全的探析[J].電腦知識與技術，2017（13）：76-77.

[3]高山山.基于網絡信息安全技術管理下的計算機應用探究[J].科技創新與應用，2015（33）：106.

[4]賈術恒.影響企業信息安全管理因素探析——以A公司為例[D].北京：北京大學，2012.