前言:尋找寫作靈感?中文期刊網(wǎng)用心挑選的運(yùn)營商資產(chǎn)信息安全論文,希望能為您的閱讀和創(chuàng)作帶來靈感,歡迎大家閱讀并分享。
(1)2014年10月,“沙蟲”漏洞(CVE-2014-4114),攻擊者利用WindowsOLE遠(yuǎn)程代碼執(zhí)行漏洞,通過精心構(gòu)造誘使用戶執(zhí)行文件觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞,進(jìn)而控制用戶操作系統(tǒng)主機(jī)。
(2)2014年9月,“破殼”漏洞(CVE-2014-6271),攻擊者利用Bash漏洞可繞過環(huán)境限制遠(yuǎn)程執(zhí)行服務(wù)器shell命令,獲取服務(wù)器當(dāng)前用戶權(quán)限。
(3)2014年4月,“心臟出血”漏洞(CVE-2014-0160),攻擊者利用OpenSSL內(nèi)存越界,可以遠(yuǎn)程讀取存在漏洞版本的OpenSSL服務(wù)器內(nèi)存中的數(shù)據(jù)。通過調(diào)研和分析發(fā)現(xiàn),運(yùn)營商擁有信息系統(tǒng)資產(chǎn)具有幾個(gè)特征:分布廣、種類繁、數(shù)量多。這就帶來了運(yùn)維繁雜和管理困難等主要問題,信息安全工作的管理者無法從全局把握信息資產(chǎn)情況,存在信息資產(chǎn)孤島,面對全網(wǎng)的信息安全風(fēng)險(xiǎn),缺乏全生命周期的安全管控能力。因此,本文重點(diǎn)從資產(chǎn)的維度對信息安全預(yù)警技術(shù)探討,研究分析現(xiàn)有預(yù)警技術(shù)的缺失,提出一種基于軟件模型的資產(chǎn)信息安全預(yù)警技術(shù),實(shí)現(xiàn)運(yùn)營商對信息系統(tǒng)的綜合治理和全網(wǎng)防護(hù)等安全預(yù)警能力的提升,做到知己知彼、精準(zhǔn)預(yù)警,從而保障電信運(yùn)營商在移動(dòng)互聯(lián)網(wǎng)時(shí)代健康高效的發(fā)展。
2現(xiàn)有主要預(yù)警技術(shù)分析
現(xiàn)有的信息系統(tǒng)已經(jīng)部署了大量的信息安全設(shè)備,比如防火墻、入侵檢測系統(tǒng)、掃描器等,而這些系統(tǒng)主要的預(yù)警技術(shù)包括入侵檢測和安全掃描等方式。
2.1入侵檢測技術(shù)
入侵檢測:通過對行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作,檢測到對系統(tǒng)的闖入或闖入的企圖。入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。按檢測方法區(qū)分,入侵檢測技術(shù)主要可以分為誤用檢測和異常檢測。異常檢測模型:檢測與可接受行為之間的偏差。如果可以定義每項(xiàng)可接受的行為,那么每項(xiàng)不可接受的行為就應(yīng)該是入侵。首先總結(jié)正常操作應(yīng)該具有的特征,當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。這種檢測模型漏報(bào)率低,誤報(bào)率高。因?yàn)椴恍枰獙γ糠N入侵行為進(jìn)行定義,所以能有效檢測未知的入侵。誤用檢測模型:檢測與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為,那么每種能夠與之匹配的行為都會(huì)引起告警。收集非正常操作的行為特征,建立相關(guān)的特征庫,當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí),系統(tǒng)就認(rèn)為這種行為是入侵。這種檢測模型誤報(bào)率低、漏報(bào)率高。對于已知的攻擊,它可以詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類型,但是對未知攻擊卻效果有限,而且特征庫必須不斷更新。
2.2安全掃描技術(shù)
安全掃描:是一類重要的網(wǎng)絡(luò)信息安全技術(shù)。通過對資產(chǎn)的掃描,資產(chǎn)管理員可以了解資產(chǎn)的安全配置和運(yùn)行的應(yīng)用服務(wù),及時(shí)發(fā)現(xiàn)安全漏洞,客觀評估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級。資產(chǎn)管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤配置,在黑客攻擊前進(jìn)行防范。安全掃描是一種主動(dòng)的防范措施。按檢測方法區(qū)分,安全掃描技術(shù)主要可以分為插件技術(shù)和漏洞庫匹配技術(shù)。插件技術(shù):由腳本語言編寫的子程序,掃描程序可以通過調(diào)用它來執(zhí)行漏洞掃描,檢測出系統(tǒng)中存在的一個(gè)或多個(gè)漏洞。添加新的插件就可以使漏洞掃描軟件增加新的功能,掃描出更多的漏洞。插件編寫規(guī)范化后,甚至用戶自己都可以用C、Python或自行設(shè)計(jì)的腳本語言編寫的插件來擴(kuò)充漏洞掃描軟件的功能。這種技術(shù)使漏洞掃描軟件的升級維護(hù)變得相對簡單,而專用腳本語言的使用也簡化了編寫新插件的編程工作,使漏洞掃描軟件具有強(qiáng)的擴(kuò)展性。漏洞庫的匹配方法:基于網(wǎng)絡(luò)系統(tǒng)漏洞庫的漏洞掃描的關(guān)鍵部分就是它所使用的漏洞庫。通過采用基于規(guī)則的匹配技術(shù),即根據(jù)安全專家對網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對網(wǎng)絡(luò)系統(tǒng)安全配置的實(shí)際經(jīng)驗(yàn),可以形成一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)漏洞庫,然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則,由掃描程序自動(dòng)的進(jìn)行漏洞掃描的工作。如上分析發(fā)現(xiàn),現(xiàn)有技術(shù)方法主要是從安全檢測和安全評估的角度去分析資產(chǎn)的信息安全問題,但都有其局限性。入侵檢測技術(shù)的安全預(yù)警方法由于檢測方法主要基于特征庫的模式存在一定缺陷很容易導(dǎo)致安全預(yù)警的漏報(bào)和誤報(bào)情況,預(yù)警的精度不高,而且在性能上也有影響。安全掃描技術(shù)主要通過模擬黑客的攻擊手法進(jìn)行安全預(yù)警。以探測的路徑和系統(tǒng)配置規(guī)則庫為基礎(chǔ),但是,基于黑盒的方式進(jìn)行探測很容易造成遺漏,而系統(tǒng)配置規(guī)則庫也存在局限性,這樣將導(dǎo)致預(yù)報(bào)的準(zhǔn)確度不高。
3基于軟件模型的信息安全預(yù)警技術(shù)
3.1技術(shù)方案
基于軟件模型的資產(chǎn)信息安全預(yù)警技術(shù)主要針對軟件資產(chǎn)進(jìn)行元數(shù)據(jù)建模,對不同軟件信息資產(chǎn)進(jìn)行概括和抽象,不涉及各類資產(chǎn)資源的特征。在軟件模型的基礎(chǔ)上,結(jié)合各類資產(chǎn)的特性和相關(guān)規(guī)則可以生成專業(yè)資產(chǎn)核心模型。基于統(tǒng)一的軟件模型,有效實(shí)現(xiàn)各類資產(chǎn)的歸一化處理,通過資產(chǎn)建模和分析,為資產(chǎn)預(yù)警算法提供綜合資源信息。通過對權(quán)威機(jī)構(gòu)的漏洞信息進(jìn)行整理及歸一化處理得到特征漏洞庫。通過模板引擎和預(yù)警引擎生成預(yù)警信息,由于借助資產(chǎn)本身進(jìn)行建模和預(yù)警,本方法能夠達(dá)到精準(zhǔn)預(yù)警的目的,有效地幫助資產(chǎn)管理人員進(jìn)行安全防護(hù),從根本上解決資產(chǎn)的信息安全問題。技術(shù)方案主要包括采集組件、信息庫(資產(chǎn)庫和漏洞庫)、預(yù)警分析和預(yù)警展示。采集組件:包含資產(chǎn)信息的采集和漏洞信息的采集,而資產(chǎn)采集又分為本地的資產(chǎn)巡檢和遠(yuǎn)程的資產(chǎn)爬蟲兩部分。資產(chǎn)采集通過特征指紋庫和機(jī)器學(xué)習(xí)技術(shù)分析資產(chǎn)使用的軟件信息已完成數(shù)據(jù)的采集入庫操作。信息庫:主要維護(hù)底層核心數(shù)據(jù)庫資產(chǎn)庫和漏洞庫。資產(chǎn)庫是按照軟件元數(shù)據(jù)模型進(jìn)行資產(chǎn)信息的存儲(chǔ)。預(yù)警分析:借助基于向量相似性算法完成資產(chǎn)預(yù)警信息的分析,并根據(jù)預(yù)警規(guī)則設(shè)置不同的觸發(fā)條件。預(yù)警展示:依賴大數(shù)據(jù)可視化組件,可以實(shí)現(xiàn)多維跨域的信息呈現(xiàn),以最直觀和有效的方式告知資產(chǎn)運(yùn)維和管理人員。主要依賴JavaEE的技術(shù),基于MVC(ModelViewController)設(shè)計(jì)模式和REST風(fēng)格,包括預(yù)警分析層、預(yù)警算法層和模型庫。其中模型庫由資產(chǎn)庫和漏洞庫構(gòu)成;預(yù)警算法層由UX引擎、分析引擎、預(yù)警引擎和模板引擎組成;預(yù)警分析層由預(yù)警可視化、資產(chǎn)可視化、風(fēng)險(xiǎn)可視化和TOPN組成。
3.2主要功能及效果
基于軟件模型的資產(chǎn)信息安全預(yù)警技術(shù)主要包含如下功能,總體態(tài)勢:多維展示資產(chǎn)總體安全情況,健康值、歷史趨勢、數(shù)字地圖顯示等;預(yù)警分析:根據(jù)資產(chǎn)維度、漏洞維度進(jìn)行精準(zhǔn)和模糊預(yù)警;實(shí)時(shí)預(yù)警:支持以天為粒度進(jìn)行預(yù)警,實(shí)時(shí)顯示預(yù)警風(fēng)險(xiǎn)、重要資產(chǎn)威脅信息等;資產(chǎn)分析:資產(chǎn)明細(xì)數(shù)據(jù)、資產(chǎn)排行榜、資產(chǎn)分布及資產(chǎn)類型占比;漏洞分析:漏洞明細(xì)數(shù)據(jù)、漏洞趨勢、漏洞分布及漏洞類型占比。基于軟件模型的資產(chǎn)信息安全預(yù)警技術(shù)推動(dòng)從信息安全治理工作從現(xiàn)有的事后檢查向事前預(yù)防為主的機(jī)制轉(zhuǎn)變,實(shí)現(xiàn)了平臺(tái)化運(yùn)營能力,為公司的資產(chǎn)管理、業(yè)務(wù)運(yùn)營、安全管控等方面提供了方便快捷的支撐服務(wù)。使信息安全治理工作基本達(dá)到資產(chǎn)可管控、信息可共享、安全可度量、預(yù)警可感知。資產(chǎn)可管控:整合信息資產(chǎn),關(guān)注重要基礎(chǔ)設(shè)施,實(shí)現(xiàn)管理集中化、運(yùn)營專業(yè)化。信息可共享:實(shí)現(xiàn)安全漏洞、安全通告的集中共享,完成集團(tuán)公司和分公司的信息聯(lián)動(dòng)。安全可度量:實(shí)現(xiàn)現(xiàn)有安全問題多維情況的指標(biāo)化度量。預(yù)警可感知:通過智能算法,結(jié)合歷史大數(shù)據(jù)分析實(shí)現(xiàn)預(yù)警感知,豐富的可視化組件,友好界面。
4總結(jié)
本技術(shù)方案能夠較好地提升現(xiàn)有資產(chǎn)的安全性并且能夠及時(shí)進(jìn)行預(yù)警,具備以下優(yōu)點(diǎn):精準(zhǔn)性通過預(yù)警引擎的快速匹配算法能夠精準(zhǔn)的發(fā)現(xiàn)信息資產(chǎn)中的安全漏洞,并發(fā)出預(yù)警信息;自動(dòng)化對于傳統(tǒng)的通過人工排查和滲透測試方式,能夠做到自動(dòng)發(fā)現(xiàn)批量預(yù)警信息。但由于電信運(yùn)營商擁有大量的信息系統(tǒng)和軟件資源,在資產(chǎn)獲取方面還難以實(shí)現(xiàn)自動(dòng)化,后續(xù)將重點(diǎn)研究基于主機(jī)的資產(chǎn)識(shí)別技術(shù),實(shí)現(xiàn)對主機(jī)資產(chǎn)信息發(fā)現(xiàn)、特征提取、資源歸集等功能,從而全面提升電信運(yùn)營商的資產(chǎn)信息安全預(yù)警和感知能力.
作者:張高山 杜雪濤 孟德香 單位:中國移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司