论文部分内容阅读
摘 要 为提升业务平台安全性,本文从影响安全的原因分析入手,指出了确定原因的方法,并给出了制定与实施的对策。
关键词 业务平台;安全事件
中图分类号:TN92 文献标识码:A 文章编号:1671-7597(2013)17-0083-02
伴随着互联网技术的不断进步,人们的日常生活与互联网联系的越来越紧密,网络安全问题也越来越突出。“5.19暴风影音攻击DNS事件”、“百度域名劫持事件”等恶性安全事件频频发生,同时央视“3.15”晚会等媒体也针对网络安全问题进行过多次报道,网络安全问题已经成为了一个社会话题。业务平台作为信息社会的重要组成部分以及通信运营企业新生的效益增长点,其安全问题就显得尤为重要。
根据中国互联网络信息中心(CNNIC)2008年《第23次中国互联网络发展状况统计报告》,2008年新增病毒、木马数量13899717个,相比2007年增长了48倍;国家互联网应急中心(CNCERT)监测发现大陆地区外98230个主机地址参与控制我国大陆被植入木马的计算机,与07年相比增长26.4%。“病毒经济”、“木马产业”等灰色产业链的形成,更是对2009年的网络安全维护工作提出了严峻的挑战。
1 原因分析
业务平台安全性可从规程、人员、技术3个方面查找末端原因,如图1所示。
2 确定主要原因
确认要因(一):
1)确认内容:部门增值业务平台安全管理制度是否存在不完善。
2)确认方法:小组成员讨论核对。
3)确认标准:安全管理制度完善、合理,具备可操作性。
确认要因(二):
1)确认内容:部门增值业务平台安全管理制度是否执行到位。
2)确认方法:现场调查。
3)确认标准:检查增值业务平台各项安全设置符合安全管理制度,相关记录表格填写全面、详细。
确认要因(三):
1)确认内容:维护人员技术水平不足。
2)确认方法:组织员工进行系统平台安全维护知识测试。
3)确认标准:通过组织员工进行测试,员工对防火墙、网络、操作系统、中间件及应用层面安全维护知识测试结果均在合格以上。
确认要因(四):
1)确认内容:维护人员安全意识不到位。
2)确认方法:组织员工进行系统平台安全管理制度规范测试。
3)确认标准:通过组织员工进行测试,员工对系统平台安全管理制度规范掌握情况良好。
确认要因(五):
1)确认内容:维护手段落后,维护工作效率不高。
2)确认方法:现场考察,计算用于安全维护工作的工作量。
3)确认标准:每月用于安全维护工作的工作量不超过总工作量的10%。
确认要因(六):
1)确认内容:平台防火墙策略不严格。
2)确认方法:现场检查。
3)确认标准:各业务平台防火墙策略严格,未开放不必要端口。
确认要因(七):
1)确认内容:部分网络攻击缺乏防御手段。
2)确认方法:现场检查年度安全事件记录,组织技术交流,对现有平台安全设备进行评估。
3)确认标准:各平台安全设备能够对主流攻击、入侵、病毒等安全事件做出有效防御。
确认要因(八):
1)确认内容:应用程序层存在漏洞。
2)确认方法:现场检查,组织漏洞扫描设备技术交流,对平台进行漏洞扫描。
3)确认标准:各平台没有高危安全漏洞。
确认要因(九):
1)确认内容:攻击手段更新快,新手段层出不穷。
2)确认方法:检查平台安全防护设备技术更新情况。
3)确认标准:业务平台安全防护设备具备定期更新功能。
确认要因(十):
1)确认内容:监控告警不及时。
2)确认方法:分析历史安全事件记录,检查告警及时率。
3)确认标准:对于网管系统监控到的各类安全事件,网管系统能够产生及时、准确的告警。
确认要因(十一):
1)确认内容:监控告警不可靠。
2)确认方法:分析历史安全事件记录,检查告警准确率。
3)确认标准:年度部门内安全事件告警率。
确认要因(十二):
1)确认内容:安全审计工作复杂,难度高
2)确认方法:现场调查。
3)确认标准:员工能够熟练完成安全审计工作,能够排查出系统安全隐患和系统安全事件。
确认要因(十三):
1)确认内容:安全日志存在篡改可能。
2)确认方法:现场检查。
3)确认标准:各设备系统日志、审计日志能够实现异地备份。
3 制定与实施对策
3.1 发掘先进网管监控手段,提高维护工作效率
选择网管监控系统作为业务平台全局网管监控系统,对增值平台实施全方位监控。更换平台内单机版防病毒软件为Symantec Endpoint Protection网络版,通过集中管理界面对所有服务器设备的病毒定义更新、病毒感染情况进行管理,并对平台内安全风险情况做出评估,有效的简化了服务器病毒管理工作。
3.2 部署新型安全防护设备——IPS
选择IPS安全防护产品。该产品采用串接方式接入平台互联网总出口位置,平时可用于核心业务平台的IPS安全防护,在某业务平台遭受攻击时,可以临时将IPS串接至该平台进行安全防护。
3.3 优化网管监控体系,提高网管系统可靠性
针对集中式CACTI监控系统出现断网、流量异常时,有可能无法正常监控的现象,以及全网监控粒度较大的弊端,实施分布式CACTI监控软件的部署。
传统网管系统针对网络是否畅通、设备是否存活层面的监控功能,不能完全实现对系统平台安全事件的告警。因此,在各系统平台部署Solarwinds、Hp OpenView等能够对设备性能、资源实现阈值监控的网管监控软件,当出现设备资源过度消耗、流量突增等可疑事件时,能够实现监控告警。
3.4 为业务平台配置漏洞扫描设备
选择漏洞扫描设备对各平台对外IP进行系统漏洞扫描,并利用Webravor漏扫软件,对各平台应用服务进行漏洞扫描,根据扫描结果,对各平台进行安全漏洞整改。
3.5 部署集中SysLog服务器和日志分析系统
为了实现各设备、操作系统日志的异地备份,部署集中的SysLog服务器用于日志采集。同时部署Sawmill、Arcsight日志分析软件,作为平台安全日志的智能分析系统。
参考文献
[1]赵伟,贾卓生.应用级的Web安全[J].铁路计算机应用,2004(01).
[2]潘登.浅析防火墙技术[J].株洲工学院学报,2004(02).
关键词 业务平台;安全事件
中图分类号:TN92 文献标识码:A 文章编号:1671-7597(2013)17-0083-02
伴随着互联网技术的不断进步,人们的日常生活与互联网联系的越来越紧密,网络安全问题也越来越突出。“5.19暴风影音攻击DNS事件”、“百度域名劫持事件”等恶性安全事件频频发生,同时央视“3.15”晚会等媒体也针对网络安全问题进行过多次报道,网络安全问题已经成为了一个社会话题。业务平台作为信息社会的重要组成部分以及通信运营企业新生的效益增长点,其安全问题就显得尤为重要。
根据中国互联网络信息中心(CNNIC)2008年《第23次中国互联网络发展状况统计报告》,2008年新增病毒、木马数量13899717个,相比2007年增长了48倍;国家互联网应急中心(CNCERT)监测发现大陆地区外98230个主机地址参与控制我国大陆被植入木马的计算机,与07年相比增长26.4%。“病毒经济”、“木马产业”等灰色产业链的形成,更是对2009年的网络安全维护工作提出了严峻的挑战。
1 原因分析
业务平台安全性可从规程、人员、技术3个方面查找末端原因,如图1所示。
2 确定主要原因
确认要因(一):
1)确认内容:部门增值业务平台安全管理制度是否存在不完善。
2)确认方法:小组成员讨论核对。
3)确认标准:安全管理制度完善、合理,具备可操作性。
确认要因(二):
1)确认内容:部门增值业务平台安全管理制度是否执行到位。
2)确认方法:现场调查。
3)确认标准:检查增值业务平台各项安全设置符合安全管理制度,相关记录表格填写全面、详细。
确认要因(三):
1)确认内容:维护人员技术水平不足。
2)确认方法:组织员工进行系统平台安全维护知识测试。
3)确认标准:通过组织员工进行测试,员工对防火墙、网络、操作系统、中间件及应用层面安全维护知识测试结果均在合格以上。
确认要因(四):
1)确认内容:维护人员安全意识不到位。
2)确认方法:组织员工进行系统平台安全管理制度规范测试。
3)确认标准:通过组织员工进行测试,员工对系统平台安全管理制度规范掌握情况良好。
确认要因(五):
1)确认内容:维护手段落后,维护工作效率不高。
2)确认方法:现场考察,计算用于安全维护工作的工作量。
3)确认标准:每月用于安全维护工作的工作量不超过总工作量的10%。
确认要因(六):
1)确认内容:平台防火墙策略不严格。
2)确认方法:现场检查。
3)确认标准:各业务平台防火墙策略严格,未开放不必要端口。
确认要因(七):
1)确认内容:部分网络攻击缺乏防御手段。
2)确认方法:现场检查年度安全事件记录,组织技术交流,对现有平台安全设备进行评估。
3)确认标准:各平台安全设备能够对主流攻击、入侵、病毒等安全事件做出有效防御。
确认要因(八):
1)确认内容:应用程序层存在漏洞。
2)确认方法:现场检查,组织漏洞扫描设备技术交流,对平台进行漏洞扫描。
3)确认标准:各平台没有高危安全漏洞。
确认要因(九):
1)确认内容:攻击手段更新快,新手段层出不穷。
2)确认方法:检查平台安全防护设备技术更新情况。
3)确认标准:业务平台安全防护设备具备定期更新功能。
确认要因(十):
1)确认内容:监控告警不及时。
2)确认方法:分析历史安全事件记录,检查告警及时率。
3)确认标准:对于网管系统监控到的各类安全事件,网管系统能够产生及时、准确的告警。
确认要因(十一):
1)确认内容:监控告警不可靠。
2)确认方法:分析历史安全事件记录,检查告警准确率。
3)确认标准:年度部门内安全事件告警率。
确认要因(十二):
1)确认内容:安全审计工作复杂,难度高
2)确认方法:现场调查。
3)确认标准:员工能够熟练完成安全审计工作,能够排查出系统安全隐患和系统安全事件。
确认要因(十三):
1)确认内容:安全日志存在篡改可能。
2)确认方法:现场检查。
3)确认标准:各设备系统日志、审计日志能够实现异地备份。
3 制定与实施对策
3.1 发掘先进网管监控手段,提高维护工作效率
选择网管监控系统作为业务平台全局网管监控系统,对增值平台实施全方位监控。更换平台内单机版防病毒软件为Symantec Endpoint Protection网络版,通过集中管理界面对所有服务器设备的病毒定义更新、病毒感染情况进行管理,并对平台内安全风险情况做出评估,有效的简化了服务器病毒管理工作。
3.2 部署新型安全防护设备——IPS
选择IPS安全防护产品。该产品采用串接方式接入平台互联网总出口位置,平时可用于核心业务平台的IPS安全防护,在某业务平台遭受攻击时,可以临时将IPS串接至该平台进行安全防护。
3.3 优化网管监控体系,提高网管系统可靠性
针对集中式CACTI监控系统出现断网、流量异常时,有可能无法正常监控的现象,以及全网监控粒度较大的弊端,实施分布式CACTI监控软件的部署。
传统网管系统针对网络是否畅通、设备是否存活层面的监控功能,不能完全实现对系统平台安全事件的告警。因此,在各系统平台部署Solarwinds、Hp OpenView等能够对设备性能、资源实现阈值监控的网管监控软件,当出现设备资源过度消耗、流量突增等可疑事件时,能够实现监控告警。
3.4 为业务平台配置漏洞扫描设备
选择漏洞扫描设备对各平台对外IP进行系统漏洞扫描,并利用Webravor漏扫软件,对各平台应用服务进行漏洞扫描,根据扫描结果,对各平台进行安全漏洞整改。
3.5 部署集中SysLog服务器和日志分析系统
为了实现各设备、操作系统日志的异地备份,部署集中的SysLog服务器用于日志采集。同时部署Sawmill、Arcsight日志分析软件,作为平台安全日志的智能分析系统。
参考文献
[1]赵伟,贾卓生.应用级的Web安全[J].铁路计算机应用,2004(01).
[2]潘登.浅析防火墙技术[J].株洲工学院学报,2004(02).