電子政務信息系統(tǒng)安全監(jiān)控的研究范文
本站小編為你精心準備了電子政務信息系統(tǒng)安全監(jiān)控的研究參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
1.1安全監(jiān)控平臺總體功能架構
安全監(jiān)控平臺以各種IT支撐設備和系統(tǒng)的監(jiān)測信息和日志信息作為數(shù)據(jù)源,以各類數(shù)據(jù)的流轉和處理為功能劃分依據(jù),將總體功能分為數(shù)據(jù)采集功能、數(shù)據(jù)處理功能、數(shù)據(jù)分析功能、安全監(jiān)測功能4大類別。
(1)數(shù)據(jù)采集功能:根據(jù)平臺指定的運維策略,數(shù)據(jù)采集層負責各種IT支撐設備和系統(tǒng)采集各種安全相關信息,并進行數(shù)據(jù)格式標準化、數(shù)據(jù)歸并、數(shù)據(jù)壓縮等處理。
(2)數(shù)據(jù)處理功能:中心平臺一旦發(fā)現(xiàn)各類受監(jiān)測的軟硬件系統(tǒng)發(fā)生異常或故障,馬上以系統(tǒng)告警形式報告中心平臺操作員,并實時定位提取相關責任單位基本信息。知識庫管理作為數(shù)據(jù)處理的重要輔助手段引入至中心平臺,用來提升安全監(jiān)測的準確性和應急事件的處理能力。
(3)數(shù)據(jù)分析功能:以豐富的報表展現(xiàn)手段對各類數(shù)據(jù)進行直觀顯示,輔助以網絡拓撲、地理位置兩種圖形化功能為平臺用戶提供方便快捷的信息獲取途徑,也會借助知識庫提供的分析策略提高數(shù)據(jù)分析的準確性。
(4)安全監(jiān)測功能:實現(xiàn)整個平臺的靈活展示和配置管理。一方面通過豐富的圖形化展示方式呈現(xiàn)政務外網、大型網絡互聯(lián)網接入、重要信息系統(tǒng)、網站等安全狀況,提供有效的安全監(jiān)測,減少安全破壞的發(fā)生,降低安全事件所造成的損失;另一方面對整個平臺進行配置與維護。
1.2電子政務系統(tǒng)外部網絡監(jiān)控技術
(1)物理層監(jiān)控技術。政務系統(tǒng)外網物理層的安全,必須實時監(jiān)控底層設備狀態(tài),比如防火墻系統(tǒng)、VPN網關、身份認證系統(tǒng)、交換機設備和路由器設備都屬于網絡節(jié)點關鍵設備,一旦這些設備出現(xiàn)故障,整個網絡將無法正常運行。對這些底層設備的監(jiān)控可以采集設備的工作環(huán)境數(shù)據(jù)(電壓、電流、溫度、風扇轉速等)、運行狀態(tài)(CPU負載、內存占用、磁盤空間、進程狀態(tài)、端口流量、協(xié)議流量等)、報警日志等。通過對這些指標進行綜合分析,配合網絡拓撲圖、地理位置圖,以圖示的方式顯示可以方便管理員實時監(jiān)視這些設備的運行情況,及時發(fā)現(xiàn)并定位故障點。
(2)網絡層監(jiān)控技術。在政務系統(tǒng)網絡邊界如果發(fā)生拒絕服務(DoS)攻擊,邊界路由設備上運行的BGP、OSPF路由會發(fā)生重啟,產生路由震蕩。路由震蕩會使交換路由設備的控制層耗費大量資源,會對電子政務外網性能造成極大的影響。因此,應實時監(jiān)控邊界路由設備的路由狀態(tài),可以使用SNMP(簡單網絡管理協(xié)議)、RMON(遠程監(jiān)控)對邊界路由設備的路由信息、流量信息進行監(jiān)控,及時發(fā)現(xiàn)問題。采用具有動態(tài)自適應地調節(jié)Hello定時器值的路由設備,可以大大減少了鏈路震蕩引起的路由震蕩。
(3)應用層監(jiān)控技術。應用層的安全需要考慮若干方面因素,對于電子政務外網而言,大體可分成:ACL、VPN、QoS、認證、內容過濾、審計、病毒防護和災難恢復等。對這些方面的監(jiān)控需要針對不同的系統(tǒng)進行日志事件分析,運用統(tǒng)計分析、聚類分析、業(yè)務流分析技術及時發(fā)現(xiàn)或預測安全事件。
1.3電子政務系統(tǒng)內部網絡安全監(jiān)控技術
電子政務網絡內部應用缺乏管理、內部人員的違規(guī)操作、故意違法犯罪,發(fā)生故意竊密行為對整個系統(tǒng)的威脅更大。需要針對內部人員、維護人員的網絡使用行為、操作規(guī)范等方面進行監(jiān)控管理。
(1)網絡使用行為管理技術。由于傳統(tǒng)的網絡安全設備只是對網絡數(shù)據(jù)包進行檢測、過濾,無法對上網用戶的使用行為進行監(jiān)測和控制。可以應用統(tǒng)計分析技術,分析識別用戶的上網數(shù)據(jù)流,并轉換為圖數(shù)據(jù)結構。然后使用頻繁子圖挖掘技術對其進行分析,能對網絡行為中的已知安全事件進行檢測的同時對安全事件進行預測,為網絡安全管理員提供了一種行之有效的檢測方式。
(2)數(shù)據(jù)庫訪問監(jiān)控技術。政務系統(tǒng)中存在大量應用服務系統(tǒng),這些應用系統(tǒng)對數(shù)據(jù)庫的訪問一般使用共享數(shù)據(jù)庫賬號,這樣就造成一旦數(shù)據(jù)庫發(fā)生安全事件,無法追查到自然人,無法追究責任的情況。同樣,系統(tǒng)中的維護人員由于擁有較高權限的賬號,對其操作過程的審計也是非常重要的。建設數(shù)據(jù)庫統(tǒng)一訪問控制系統(tǒng)可以使數(shù)據(jù)庫賬號與自然人關聯(lián),實現(xiàn)了對自然人的數(shù)據(jù)訪問、操作行為進行記錄、分析、展現(xiàn)、操作追蹤回放等功能。由于應用系統(tǒng)(WEB應用)賬號無法與數(shù)據(jù)庫操作行為準確關聯(lián),可以采用關聯(lián)規(guī)則技術對應用系統(tǒng)的用戶請求和數(shù)據(jù)庫操作進行分析,找到應用系統(tǒng)賬號的請求與數(shù)據(jù)庫操作的關系,以獲得數(shù)據(jù)庫操作與自然人的關聯(lián)。
(3)終端設備監(jiān)控技術。政務系統(tǒng)中的大量終端設備的監(jiān)控也是內網安全監(jiān)控工作中的重點。移動設備管制、網絡垃圾數(shù)據(jù)監(jiān)測、惡意軟件監(jiān)測、系統(tǒng)補丁分發(fā)、病毒、蠕蟲、木馬的防護等工作都需要落實,以免系統(tǒng)內部的漏洞或非法操作威脅整個政務系統(tǒng)的正常運行。
(4)內部網絡設備、服務器管理技術。由于對內部的網絡設備、服務器的管理操作一般很難被第三方控制,可以采用堡壘機技術接管對這些網絡設備、服務器的管理操作,審核通過后再轉發(fā)給被管理的設備、服務器。同時進行日志記錄,審計記錄。
1.4政務系統(tǒng)安全態(tài)勢監(jiān)控
對政務系統(tǒng)的監(jiān)控不僅要從外網和內網進行監(jiān)控,還需要綜合分析政務系統(tǒng)的總體安全狀況。采用安全態(tài)勢技術對政務系統(tǒng)進行總體的綜合分析,給出系統(tǒng)當前的安全態(tài)勢,進行安全態(tài)勢預測,使管理者更快速、更直觀的對系統(tǒng)當前的狀態(tài)進行判斷,及時做出決策。網絡安全態(tài)勢感知是應用多傳感器數(shù)據(jù)融合建立網絡安全態(tài)勢感知的框架,利用入侵檢測系統(tǒng)、網絡安全設備、連接設備、主機的分布式傳感器進行數(shù)據(jù)融合,對網絡安全態(tài)勢進行評估。
2結束語
電子政務系統(tǒng)作為面向社會的公眾服務的系統(tǒng),面臨各種安全風險和威脅。如果電子政務系統(tǒng)癱瘓造成業(yè)務停頓,帶來的損失和波及的范圍將會非常巨大,所以對政務系統(tǒng)的安全監(jiān)控應受到高度重視。通過相關技術手段實現(xiàn)對政務系統(tǒng)的安全監(jiān)控,可以提高對各種安全威脅的識別、控制能力,為政務系統(tǒng)高效穩(wěn)定運行提供保障。
作者:劉鵬吳艷艷魏彬單位:北京市政務信息安全應急處置中心
