前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡安全事件定義主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡安全事件定義范文

（一）網(wǎng)絡安全事件流中主機的異常檢測所引發(fā)的安全事件。

主機異常所帶來的危害包括：計算機病毒、蠕蟲、特洛伊木馬、破解密碼、未經(jīng)授權進行文件訪問等情況，導致電腦死機或文件泄露等危害。

（二）主機異常檢測的原理及指標確定。

當前，隨著科技的不斷發(fā)展，主機可以自主進行檢測，同時及時、準確地對問題進行處理。如果內(nèi)部文件出現(xiàn)變化時，主機自行將新記錄的內(nèi)容同原始數(shù)據(jù)進行比較，查詢是否符合標準，如果答案為否定，則立刻向管理人員發(fā)出警報。

（三）主機異常檢測的優(yōu)點。

1.檢測特定的活動。主機的異常檢測可以對用戶的訪問活動進行檢測，其中包含對文件的訪問，對文件的轉(zhuǎn)變，建立新文件等。

2.可以檢測出網(wǎng)絡異常檢測中查詢不出的問題。主機的異常檢測可以查詢出網(wǎng)絡異常檢測所查詢不出的問題，例如：主服務器鍵盤的問題就未經(jīng)過網(wǎng)絡，從而躲避了網(wǎng)絡異常檢測，但卻可被主機異常檢測所發(fā)現(xiàn)。

（四）主機異常檢測的缺點。

主機異常檢測不能全面提供實時反應，盡管其反應速度也非?？旖?，接近實時，但從操作系統(tǒng)的記錄到判斷結果之間會存在一定的延時情況。

二、網(wǎng)絡安全事件流中漏洞的異常檢測

（一）網(wǎng)絡安全事件流中漏洞的異常所引發(fā)的安全事件。

網(wǎng)絡中的操縱系統(tǒng)存在一定的漏洞，這就給不法人員造就了機會。漏洞檢測技術產(chǎn)生的安全事件包含：對文件的更改、數(shù)據(jù)庫、注冊號等的破壞、系統(tǒng)崩潰等問題。

（二）漏洞異常檢測的方法及指標確定。

漏洞的檢測方法可以歸納為：白盒檢測、黑盒檢測及灰盒檢測三種。白盒檢測在獲取軟件代碼下進行那個檢測；黑盒檢測在無法獲取軟件代碼，只利用輸出的結果進行檢測；灰盒檢測則介于兩種檢測方法之間，利用RE轉(zhuǎn)化二進制代碼為人們可以利用的文件，管理人員可以通過找尋指令的入口點發(fā)現(xiàn)漏洞的位置。

（三）漏洞異常檢測的優(yōu)缺點。

第2篇：網(wǎng)絡安全事件定義范文

關鍵詞：網(wǎng)絡安全；評價系統(tǒng)；設計；實現(xiàn)

一、網(wǎng)絡安全態(tài)勢感知

態(tài)勢感知（Situation Awareness）這一概念源于航天飛行的人因（Human Factors）研究，此后在軍事戰(zhàn)場、核反應控制、空中交通監(jiān)管（Air Traffic Control，ATC）以及醫(yī)療應急調(diào)度等領域被廣泛地研究。Endsley在1995年把態(tài)勢感知（Situation Awareness）定義為感知在一定的時間和空間環(huán)境中的元素，包括它們現(xiàn)在的狀況和它們未來的發(fā)展趨勢。Endsleys把態(tài)勢感知分成3個層次（如圖1所示）的信息處理：（1）要素獲?。焊兄瞳@取環(huán)境中的重要線索或元素，這是態(tài)勢感知最基礎的一步；（2）理解：整合感知到的數(shù)據(jù)和信息，分析其相關性；（3）預測：基于對環(huán)境信息的感知和理解，預測未來的發(fā)展趨勢，這是態(tài)勢感知中最高層次的要求。

圖1態(tài)勢感知的三級模型

而網(wǎng)絡態(tài)勢感知則源于空中交通監(jiān)管（Air Traffic Control，ATC）態(tài)勢感知（Mogford R H,1997），是一個比較新的概念，并且在這方面開展研究的個人和機構也相對較少。1999年，Tim Bass首次提出了網(wǎng)絡態(tài)勢感知（Cyberspace Situation Awareness）這個概念（Bass T, 2000），并對網(wǎng)絡態(tài)勢感知與ATC態(tài)勢感知進行了類比，旨在把ATC態(tài)勢感知的成熟理論和技術借鑒到網(wǎng)絡態(tài)勢感知中去。目前，對網(wǎng)絡態(tài)勢感知還未能給出統(tǒng)一的、全面的定義。IATF網(wǎng)站中提出，所謂的網(wǎng)絡態(tài)勢是指由各種網(wǎng)絡設備運行狀況、網(wǎng)絡行為以及用戶行為等因素所構成的整個網(wǎng)絡當前狀態(tài)和變化趨勢。值得注意的是，態(tài)勢是一種狀態(tài)，一種趨勢，是一個整體和全局的概念，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢。因此，網(wǎng)絡態(tài)勢感知是在大規(guī)模網(wǎng)絡環(huán)境中，對能夠引起網(wǎng)絡態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預測未來的發(fā)展趨勢。

圖2網(wǎng)絡安全態(tài)勢感知系統(tǒng)框架

基于態(tài)勢感知的三級模型，譚小彬等（2008）提出了一種網(wǎng)絡安全態(tài)勢感知系統(tǒng)的設計框架，如圖2所示。該系統(tǒng)首先通過多傳感器采集網(wǎng)絡系統(tǒng)的各種信息，然后通過精確的數(shù)學模型刻畫網(wǎng)絡系統(tǒng)的當前的安全態(tài)勢值及其變化趨勢。此外，該系統(tǒng)還給出針對當前狀態(tài)的網(wǎng)絡系統(tǒng)的安全加方案，加固方案指導用戶減少威脅和修復脆弱性，從而提高系統(tǒng)的安全態(tài)勢。此外該系統(tǒng)還給出針對當前狀態(tài)的網(wǎng)絡系統(tǒng)的安全加固方案，加固方案指導用戶減少威脅和修復脆弱性，從而提高網(wǎng)絡系統(tǒng)的安全態(tài)勢。

二、網(wǎng)絡信息系統(tǒng)安全測試評估支撐平臺

網(wǎng)絡信息系統(tǒng)安全測試評估支撐平臺由管理控制、資產(chǎn)識別、在線測試、安全事件驗證、滲透測試、惡意代碼檢測、脆弱性檢測和安全態(tài)勢評估與預測等八個子系統(tǒng)組成，如圖3所示。各子系統(tǒng)采用松耦合結構，以數(shù)據(jù)交互作為聯(lián)系方式，能夠獨立進行測試或評估。

圖3支撐平臺的組成

三、網(wǎng)絡安全評估系統(tǒng)的實現(xiàn)

網(wǎng)絡安全評估系統(tǒng)由六個子系統(tǒng)組成，其中一個管理控制子系統(tǒng),一個態(tài)勢評估與預測子系統(tǒng)，其他都是各種測試子系統(tǒng)。由于網(wǎng)絡安全評估是本文的重點，所以本章主要介紹態(tài)勢評估與預測子系統(tǒng)的實現(xiàn)，其他子系統(tǒng)的實現(xiàn)在本文不作介紹。

3.1風險評估中的關鍵技術

在風險評估模塊中，風險值將采用兩種模型計算，分別是矩陣模型和加權模型：

（1）矩陣模型。

該模型是GB/T 20984《信息安全風險評估規(guī)范》中提出的一種模型，采用該模型主要是為了方便以往使用其它風險評估系統(tǒng)的用戶，使他們能夠很快地習慣本評估系統(tǒng)。矩陣模型主要由三步組成，首先通過安全事件可能性矩陣計算安全事件的可能性，該步以威脅發(fā)生的可能性和脆弱性嚴重程度作為輸入，在安全事件可能性矩陣直接查找對應的安全事件的可能性,然后將結果映射到5個等級。

（2）加權模型。

基于加權的風險評估模型在總體框架和基本思路上，與GB/T20984所提出的典型風險評估模型一致，不同之處主要在于對安全事件作用在風險評估中的處理，通過引入加權，進而明確滲透測試和安全事件驗證在風險評估中的定性和定量分析作用。該模型認為，已發(fā)生的安全事件和證明能夠發(fā)生的安全事件，在風險評估中的作用應該得到加強。其原理如圖4所示。

圖4加權模型

3.2態(tài)勢評估中的關鍵技術

態(tài)勢評估中采用多層次多角度的網(wǎng)絡安全風險評估方法作為設計理念，向用戶展現(xiàn)了多個層次、多個角度的態(tài)勢評估。在角度上體現(xiàn)為專題角度、要素角度和綜合角度，通過專題角度，用戶可以深入了解威脅、脆弱性和資產(chǎn)的所有信息；通過要素角度，用戶可以了解保密性、完整性和可用性這三個安全要素方面的態(tài)勢情況；通過綜合角度用戶可以了解系統(tǒng)的綜合態(tài)勢情況。在層次上體現(xiàn)為對威脅、脆弱性和資產(chǎn)的不同層次的劃分，通過總體層次，用戶可以了解所有威脅、脆弱性和資產(chǎn)的態(tài)勢情況；通過類型層次，用戶可以了解不同威脅類型、脆弱性類型和資產(chǎn)類型的態(tài)勢情況；通過細微層次，用戶可以了解每一個威脅、脆弱性和資產(chǎn)的態(tài)勢情況。

對于態(tài)勢值的計算，參考了風險值計算的原理，并在此基礎上加入了Markov博弈分析，使得態(tài)勢值的計算更加入微，有關Markov博弈分析的理論在第3章中作了詳細介紹。通過Markov博弈分析的理論，可以計算出每一個威脅給系統(tǒng)態(tài)勢帶來的影響，但系統(tǒng)中往往有許多的威脅，所有我們需要對所有的威脅帶來的影響做出處理，而不能將他們帶來的影響簡單地相加，否則2個中等級的威脅對態(tài)勢的影響將大于一個高等級的威脅對態(tài)勢的影響，這是不合理的。在本系統(tǒng)中，我們采用了如下公式來對它們進行處理。

其中S為系統(tǒng)的總體態(tài)勢值，為第個威脅造成的態(tài)勢值，為系統(tǒng)中所有的威脅集合。

結語

網(wǎng)絡系統(tǒng)安全評估是一個年輕的研究課題，特別是其中的網(wǎng)絡態(tài)勢評估，現(xiàn)在才剛剛起步，本文對風險評估和態(tài)勢評估中的關鍵技術進行了研究，取得了一定的研究成果，但仍存在一些待完善的工作。網(wǎng)絡安全態(tài)勢評估中，對與安全態(tài)勢值沒有一個統(tǒng)一的標準，普通用戶將很難對安全態(tài)勢值 有一個直觀的認識，只能通過多次態(tài)勢評估的結果比較，了解網(wǎng)絡安全態(tài)勢的走向。在本系統(tǒng)的態(tài)勢評估中僅對安全態(tài)勢值作了一個簡單的等級映射，該部分還需要進一步完善。

第3篇：網(wǎng)絡安全事件定義范文

關鍵詞：技術；管理；內(nèi)網(wǎng)安全

引言

網(wǎng)絡沒有絕對的安全。只有相對的安全，這與互聯(lián)網(wǎng)設計本身有一定關系?，F(xiàn)在我們能做的只是盡最大的努力，使網(wǎng)絡相對安全。在已經(jīng)發(fā)生的網(wǎng)絡安全事件中，有超過70％是發(fā)生在內(nèi)網(wǎng)上的，內(nèi)網(wǎng)資源的誤用、濫用和惡用，是內(nèi)網(wǎng)面臨的最大的三大威脅。隨著網(wǎng)絡技術的不斷發(fā)展。內(nèi)網(wǎng)安全將面臨著前所未有的挑戰(zhàn)。

一、網(wǎng)絡安全含義

網(wǎng)絡安全的定義為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。我們可以理解為：通過采用各種技術和管理措施，使網(wǎng)絡系統(tǒng)正常運行，從而確保網(wǎng)絡數(shù)據(jù)的可用性、完整性和保密性。

二、內(nèi)外網(wǎng)絡安全的區(qū)別

建立網(wǎng)絡安全保護措施的目的是確保經(jīng)過網(wǎng)絡傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。而常規(guī)安全防御理念往往局限于網(wǎng)關級別、網(wǎng)絡邊界等方面的防御。隨著越來越多安全事件由內(nèi)網(wǎng)引發(fā)，內(nèi)網(wǎng)安全也成了大家關注的焦點。

外網(wǎng)安全主要防范外部入侵或者外部非法流量訪問，技術上也以防火墻、入侵檢測等防御角度出發(fā)的技術為主。內(nèi)網(wǎng)在安全管理上比外網(wǎng)要細得多。同時技術上內(nèi)網(wǎng)安全通常采用的是加固技術，比如設置訪問控制、身份管理等。

三、內(nèi)網(wǎng)安全技術防范措施

內(nèi)網(wǎng)安全首先應采用技術方法，有效保護內(nèi)網(wǎng)核心業(yè)務的安全。

1　關掉無用的網(wǎng)絡服務器，建立可靠的無線訪問。

2　限制VPN的訪問，為合作網(wǎng)絡建立內(nèi)網(wǎng)型的邊界防護。

3　在邊界展開黑客防護措施，建立并加強內(nèi)網(wǎng)防范策略。

4　建立安全過客訪問，重點保護重要資源。

另外在技術上采用安全交換機、重要數(shù)據(jù)的備份、使用網(wǎng)關、確保操作系統(tǒng)的安全、使用主機防護系統(tǒng)和入侵檢測系統(tǒng)等措施也不可缺少。

四、內(nèi)網(wǎng)安全管理措施

內(nèi)網(wǎng)安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規(guī)則等。而內(nèi)網(wǎng)90％以上的組成為客戶端，所以對客戶端的管理當之無愧地成為內(nèi)網(wǎng)安全的重中之重，目前內(nèi)網(wǎng)客戶端存在的問題主要包括以下幾點：

1　非法外聯(lián)問題

通常情況下，內(nèi)網(wǎng)(Intranet)和外網(wǎng)(Internet)之間有防火墻、防病毒墻等安全設備保障內(nèi)網(wǎng)的安全性。但若內(nèi)部人員使用撥號、寬帶等方式接入外網(wǎng)，使內(nèi)網(wǎng)與外網(wǎng)間開出新的連接通道，外部的黑客攻擊或者病毒就能夠繞過原本連接在內(nèi)、外網(wǎng)之間的防護屏障，順利侵入非法外聯(lián)的計算機，盜竊內(nèi)網(wǎng)的敏感信息和機密數(shù)據(jù)，甚至利用該機作為跳板，攻擊、傳染內(nèi)網(wǎng)的重要服務器，導致整個內(nèi)網(wǎng)工作癱瘓。

2　使用軟件違規(guī)問題

內(nèi)部人員在計算機上安裝使用盜版軟件，不但引入了潛在的安全漏洞，降低了計算機系統(tǒng)的安全系數(shù)，還有可能惹來知識產(chǎn)權的麻煩。有些內(nèi)部人員出于好奇心或者惡意破壞的目的，在內(nèi)部計算機上安裝使用黑客軟件，從內(nèi)部發(fā)起攻擊。還有些內(nèi)部人員安全意識淡薄，不安裝指定的防毒軟件等。這些行為都對內(nèi)網(wǎng)安全構成了極大的威脅。

3　計算機外部設備管理

如果不加限制地讓內(nèi)部人員在內(nèi)網(wǎng)計算機上安裝、使用可移動的存儲設備如光驅(qū)、USB接口的閃盤、移動硬盤、數(shù)碼相機等。將會通過移動存儲介質(zhì)間接地與外網(wǎng)進行數(shù)據(jù)交換，導致病毒的傳入或者敏感信息、機密數(shù)據(jù)的傳播與泄漏。

建立可控、可信內(nèi)部網(wǎng)絡，管理好客戶端，我們必須從以下幾方面著手：

1　完善規(guī)章制度

因為管理的制度化程度極大地影響著整個網(wǎng)絡信息系統(tǒng)的安全，嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。

2　建立適用的資產(chǎn)、信息管理

對接入內(nèi)網(wǎng)的計算機的用戶信息進行登記注冊。在發(fā)生安全事件時能夠以最快速度定位到具體的用戶，對于未進行登記注冊的將其隔離；收集客戶端與安全相關的一些系統(tǒng)信息，包括：操作系統(tǒng)版本、操作系統(tǒng)補丁、軟硬件變動等信息，同時針對這些收集的信息進行統(tǒng)計和分析，了解內(nèi)網(wǎng)安全狀況。

3　加強客戶端進程、設備的有效管理

對搜集來的計算機軟、硬件信息，形成內(nèi)網(wǎng)計算機的軟件資產(chǎn)報表，從而使管理員了解各計算機軟、硬件及變化信息。及時發(fā)現(xiàn)安全隱患并予以解決。同時，配置軟件運行預案，指定內(nèi)網(wǎng)計算機必須運行的軟件和禁止運行的軟件，從而對計算機的軟件運行情況進行檢查，對未運行必須軟件的情況發(fā)出報警，終止已運行的禁用軟件的進程。

第4篇：網(wǎng)絡安全事件定義范文

當前移動互聯(lián)網(wǎng)、大數(shù)據(jù)及云技術等更新進程不斷加快，數(shù)據(jù)量成指數(shù)級增長，人們對于大數(shù)據(jù)時代下網(wǎng)絡安全的相關問題也越來越關注。信息技術創(chuàng)新發(fā)展伴隨的安全威脅與傳統(tǒng)安全問題相互交織，使得網(wǎng)絡空間安全問題日益復雜隱蔽，面臨的網(wǎng)絡安全風險不斷加大，各種網(wǎng)絡攻擊事件層出不窮。2016年，我國互聯(lián)網(wǎng)網(wǎng)絡安全狀況總體平穩(wěn)，未出現(xiàn)影響互聯(lián)網(wǎng)正常運行的重大網(wǎng)絡安全事件，但移動互聯(lián)網(wǎng)惡意程序數(shù)量持續(xù)高速上漲且具有明顯趨利性；來自境外的針對我國境內(nèi)的網(wǎng)站攻擊事件頻繁發(fā)生；聯(lián)網(wǎng)智能設備被惡意控制，并用于發(fā)起大流量分布式拒絕服務攻擊的現(xiàn)象更加嚴重；網(wǎng)站數(shù)據(jù)和個人信息泄露帶來的危害不斷擴大；欺詐勒索軟件在互聯(lián)網(wǎng)上肆虐；具有國家背景黑客組織發(fā)動的高級持續(xù)性威脅（APT）攻擊事件直接威脅了國家安全和穩(wěn)定。由于大數(shù)據(jù)網(wǎng)絡安全攻擊事件仍呈高發(fā)態(tài)勢，而且內(nèi)容多又復雜，利用大數(shù)據(jù)分析技術特有的特點，為大規(guī)模網(wǎng)絡安全事件監(jiān)測分析提供計算支撐力量，并且對海量的基礎數(shù)據(jù)進行深度挖掘及分析處理，及時監(jiān)測發(fā)現(xiàn)網(wǎng)絡安全事件，實現(xiàn)對整體網(wǎng)絡安全態(tài)勢的感知。

二、大數(shù)據(jù)基本概述及分析技術

（一）大數(shù)據(jù)基本概述

隨著信息技術全面融入社會生活，整個世界的信息量正在不斷增多，而且增長的速度也在不斷加快。所謂的大數(shù)據(jù)是指無法在一定時間范圍內(nèi)用常規(guī)軟件工具進行獲取、存儲、管理和處理分析的數(shù)據(jù)集合，是需要新處理模式才能具有更強的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力的海量、高增長率和多樣化的信息資產(chǎn)。大數(shù)據(jù)的規(guī)模之大，其在獲取、存儲、分析等方面已經(jīng)遠遠超出傳統(tǒng)軟件工具能力范圍，業(yè)界通常用4個V(即Volume、Variety、Value、Velocity)來概括大數(shù)據(jù)的特征，分別是大量化，多樣化，快速化，價值密度低。

（二）HadoopMapReduce大數(shù)據(jù)技術

Hadoop除了提供為大家所共識的HDFS分布式數(shù)據(jù)存儲功能之外，還提供了叫做MapReduce的數(shù)據(jù)處理功能。HadoopMapReduce是一種編程模型，用于大規(guī)模數(shù)據(jù)集（大于1TB）的并行運算。概念"Map（映射）"和"Reduce（歸約）"，其來源于函數(shù)式編程語言或者矢量編程語言里的特性。Mapreduce是一個計算框架，其表現(xiàn)形式就是具有一個輸入（input），mapreduce操作這個輸入（input），通過本身定義好的計算模型，得到一個輸出（output），這個輸出就是最終需要的結果，計算模型如下圖所示：

（三）Spark大數(shù)據(jù)分析技術

Spark是一個基于內(nèi)存計算的開源的集群(分布式）計算系統(tǒng)，Spark非常小巧玲瓏，由加州伯克利大學AMP實驗室的Matei為主的小團隊所開發(fā)。使用的語言是Scala，項目的core部分的代碼只有63個Scala文件，非常短小精悍。由于是基于內(nèi)存計算，效率要高于擁有Hadoop，Job中間輸出和結果可以保存在內(nèi)存中，從而不再需要讀寫HDFS，節(jié)省了磁盤IO耗時，號稱性能比Hadoop快100倍。Spark是繼HadoopMap-Reduce之后新興的基于內(nèi)存的大數(shù)據(jù)計算框架，相對于HadoopMapReduce來說，Spark具有一定的優(yōu)勢。一是計算速度快。大數(shù)據(jù)處理首先追求的是速度。官方指出“Spark允許Hadoop集群中的應用程序在內(nèi)存中以100倍的速度運行，即使在磁盤上運行也能快10倍”。二是應用靈活。Spark在簡單的Map及Reduce操作之外，還支持SQL查詢、流式查詢及復雜查詢，比如開箱即用的機器學習算法。同時，用戶可以在同一個工作流中無縫地搭配這些能力，應用十分靈活。三是兼容性好。Spark可以獨立運行，除了可以運行在當下的YARN集群管理外，還可以讀取已有的任何Hadoop數(shù)據(jù)。它可以運行在任何Hadoop數(shù)據(jù)源上，比如HBase、HDFS等。四是Spark比Hadoop更通用。Spark提供了大量的庫，包括SQL、DataFrames、MLlib、GraphX、SparkStreaming。開發(fā)者可以在同一個應用程序中無縫組合使用這些庫。五是實時處理性能強。Spark很好地支持實時的流計算，依賴SparkStreaming對數(shù)據(jù)進行實時處理。SparkStreaming具備功能強大的API，允許用戶快速開發(fā)流應用程序。而且不像其他的流解決方案，比如Storm，SparkStreaming無須額外的代碼和配置，就可以做大量的恢復和交付工作。隨著UCBerkeleyAMPLab推出的新一代大數(shù)據(jù)平臺Spark系統(tǒng)的出現(xiàn)和逐步發(fā)展成熟，近年來國內(nèi)外開始關注在Spark平臺上如何實現(xiàn)各種機器學習和數(shù)據(jù)挖掘并行化算法設計。

三、基于Spark技術的網(wǎng)絡安全大數(shù)據(jù)分析平臺

（一）大數(shù)據(jù)分析平臺整體架構

本文提出了基于Spark技術的網(wǎng)絡大數(shù)據(jù)分析平臺，該平臺分為五層，即數(shù)據(jù)接入層、解析處理層、后臺分布式數(shù)據(jù)存儲系統(tǒng)層、數(shù)據(jù)挖掘分析層、接口層，整體架構圖如圖3。其中，數(shù)據(jù)接入層提供多源數(shù)據(jù)的接入。解析處理層負責對接入的多源數(shù)據(jù)進行解析。后臺分布式數(shù)據(jù)存儲系統(tǒng)層負責所有數(shù)據(jù)的存儲、讀取和更新的功能，提供基本的API供上層調(diào)用。數(shù)據(jù)挖掘分析層基于Spark等引擎，實現(xiàn)分布式數(shù)據(jù)關聯(lián)分析、特征提取、統(tǒng)計分析等安全事件挖掘能力，同時提供實時檢索與溯源能力。接口層為用戶可以查詢的功能，其中包括數(shù)據(jù)上傳、查看、任務的生成、參數(shù)設定等。

（二）網(wǎng)絡安全大數(shù)據(jù)分析平臺實現(xiàn)相關技術

表1網(wǎng)絡安全大數(shù)據(jù)分析平臺實現(xiàn)相關技術結語總而言之，當前基于大數(shù)據(jù)下的網(wǎng)絡安全面臨著越來越多的挑戰(zhàn)，因此我們必須高度重視大數(shù)據(jù)時代下網(wǎng)絡安全問題，應對好大數(shù)據(jù)分析處理工作。本文從當前網(wǎng)絡安全現(xiàn)狀及面臨的問題出發(fā)，淺析HadoopMapReduce和Spark大數(shù)據(jù)分析技術，提出基于Spark技術的網(wǎng)絡安全大數(shù)據(jù)分析平臺，實現(xiàn)對海量數(shù)據(jù)的快速分析，該平臺具有高效、高可擴展性，具有很強的適應性。

作者:陳平陽 單位:國家互聯(lián)網(wǎng)應急中心福建分中心

參考文獻：

［1］國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心?！?016年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述》。2016.04.19

［2］鄧坤。基于大數(shù)據(jù)時代下的網(wǎng)絡安全問題分析。《課程教育研究:學法教法研究》，2016(18):15-15

第5篇：網(wǎng)絡安全事件定義范文

關鍵詞 業(yè)務平臺；安全事件

中圖分類號：TN92 文獻標識碼：A 文章編號：1671-7597（2013）17-0083-02

伴隨著互聯(lián)網(wǎng)技術的不斷進步，人們的日常生活與互聯(lián)網(wǎng)聯(lián)系的越來越緊密，網(wǎng)絡安全問題也越來越突出?！?.19暴風影音攻擊DNS事件”、“百度域名劫持事件”等惡性安全事件頻頻發(fā)生，同時央視“3.15”晚會等媒體也針對網(wǎng)絡安全問題進行過多次報道，網(wǎng)絡安全問題已經(jīng)成為了一個社會話題。業(yè)務平臺作為信息社會的重要組成部分以及通信運營企業(yè)新生的效益增長點，其安全問題就顯得尤為重要。

根據(jù)中國互聯(lián)網(wǎng)絡信息中心（CNNIC）2008年《第23次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》，2008年新增病毒、木馬數(shù)量13899717個，相比2007年增長了48倍；國家互聯(lián)網(wǎng)應急中心（CNCERT）監(jiān)測發(fā)現(xiàn)大陸地區(qū)外98230個主機地址參與控制我國大陸被植入木馬的計算機，與07年相比增長26.4%。“病毒經(jīng)濟”、“木馬產(chǎn)業(yè)”等灰色產(chǎn)業(yè)鏈的形成，更是對2009年的網(wǎng)絡安全維護工作提出了嚴峻的挑戰(zhàn)。

1 原因分析

業(yè)務平臺安全性可從規(guī)程、人員、技術3個方面查找末端原因，如圖1所示。

2 確定主要原因

確認要因（一）：

1）確認內(nèi)容：部門增值業(yè)務平臺安全管理制度是否存在不完善。

2）確認方法：小組成員討論核對。

3）確認標準：安全管理制度完善、合理，具備可操作性。

確認要因（二）：

1）確認內(nèi)容：部門增值業(yè)務平臺安全管理制度是否執(zhí)行到位。

2）確認方法：現(xiàn)場調(diào)查。

3）確認標準：檢查增值業(yè)務平臺各項安全設置符合安全管理制度，相關記錄表格填寫全面、詳細。

確認要因（三）：

1）確認內(nèi)容：維護人員技術水平不足。

2）確認方法：組織員工進行系統(tǒng)平臺安全維護知識測試。

3）確認標準：通過組織員工進行測試，員工對防火墻、網(wǎng)絡、操作系統(tǒng)、中間件及應用層面安全維護知識測試結果均在合格以上。

確認要因（四）：

1）確認內(nèi)容：維護人員安全意識不到位。

2）確認方法：組織員工進行系統(tǒng)平臺安全管理制度規(guī)范測試。

3）確認標準：通過組織員工進行測試，員工對系統(tǒng)平臺安全管理制度規(guī)范掌握情況良好。

確認要因（五）：

1）確認內(nèi)容：維護手段落后，維護工作效率不高。

2）確認方法：現(xiàn)場考察，計算用于安全維護工作的工作量。

3）確認標準：每月用于安全維護工作的工作量不超過總工作量的10%。

確認要因（六）：

1）確認內(nèi)容：平臺防火墻策略不嚴格。

2）確認方法：現(xiàn)場檢查。

3）確認標準：各業(yè)務平臺防火墻策略嚴格，未開放不必要端口。

確認要因（七）：

1）確認內(nèi)容：部分網(wǎng)絡攻擊缺乏防御手段。

2）確認方法：現(xiàn)場檢查年度安全事件記錄，組織技術交流，對現(xiàn)有平臺安全設備進行評估。

3）確認標準：各平臺安全設備能夠?qū)χ髁鞴?、入侵、病毒等安全事件做出有效防御?/p>

確認要因（八）：

1）確認內(nèi)容：應用程序?qū)哟嬖诼┒础?/p>

2）確認方法：現(xiàn)場檢查，組織漏洞掃描設備技術交流，對平臺進行漏洞掃描。

3）確認標準：各平臺沒有高危安全漏洞。

確認要因（九）：

1）確認內(nèi)容：攻擊手段更新快，新手段層出不窮。

2）確認方法：檢查平臺安全防護設備技術更新情況。

3）確認標準：業(yè)務平臺安全防護設備具備定期更新功能。

確認要因（十）：

1）確認內(nèi)容：監(jiān)控告警不及時。

2）確認方法：分析歷史安全事件記錄，檢查告警及時率。

3）確認標準：對于網(wǎng)管系統(tǒng)監(jiān)控到的各類安全事件，網(wǎng)管系統(tǒng)能夠產(chǎn)生及時、準確的告警。

確認要因（十一）：

1）確認內(nèi)容：監(jiān)控告警不可靠。

2）確認方法：分析歷史安全事件記錄，檢查告警準確率。

3）確認標準：年度部門內(nèi)安全事件告警率。

確認要因（十二）：

1）確認內(nèi)容：安全審計工作復雜，難度高

2）確認方法：現(xiàn)場調(diào)查。

3）確認標準：員工能夠熟練完成安全審計工作，能夠排查出系統(tǒng)安全隱患和系統(tǒng)安全事件。

確認要因（十三）：

1）確認內(nèi)容：安全日志存在篡改可能。

2）確認方法：現(xiàn)場檢查。

3）確認標準：各設備系統(tǒng)日志、審計日志能夠?qū)崿F(xiàn)異地備份。

3 制定與實施對策

3.1 發(fā)掘先進網(wǎng)管監(jiān)控手段，提高維護工作效率

選擇網(wǎng)管監(jiān)控系統(tǒng)作為業(yè)務平臺全局網(wǎng)管監(jiān)控系統(tǒng)，對增值平臺實施全方位監(jiān)控。更換平臺內(nèi)單機版防病毒軟件為Symantec Endpoint Protection網(wǎng)絡版，通過集中管理界面對所有服務器設備的病毒定義更新、病毒感染情況進行管理，并對平臺內(nèi)安全風險情況做出評估，有效的簡化了服務器病毒管理工作。

3.2 部署新型安全防護設備——IPS

選擇IPS安全防護產(chǎn)品。該產(chǎn)品采用串接方式接入平臺互聯(lián)網(wǎng)總出口位置，平時可用于核心業(yè)務平臺的IPS安全防護，在某業(yè)務平臺遭受攻擊時，可以臨時將IPS串接至該平臺進行安全防護。

3.3 優(yōu)化網(wǎng)管監(jiān)控體系，提高網(wǎng)管系統(tǒng)可靠性

針對集中式CACTI監(jiān)控系統(tǒng)出現(xiàn)斷網(wǎng)、流量異常時，有可能無法正常監(jiān)控的現(xiàn)象，以及全網(wǎng)監(jiān)控粒度較大的弊端，實施分布式CACTI監(jiān)控軟件的部署。

傳統(tǒng)網(wǎng)管系統(tǒng)針對網(wǎng)絡是否暢通、設備是否存活層面的監(jiān)控功能，不能完全實現(xiàn)對系統(tǒng)平臺安全事件的告警。因此，在各系統(tǒng)平臺部署Solarwinds、Hp OpenView等能夠?qū)υO備性能、資源實現(xiàn)閾值監(jiān)控的網(wǎng)管監(jiān)控軟件，當出現(xiàn)設備資源過度消耗、流量突增等可疑事件時，能夠?qū)崿F(xiàn)監(jiān)控告警。

3.4 為業(yè)務平臺配置漏洞掃描設備

選擇漏洞掃描設備對各平臺對外IP進行系統(tǒng)漏洞掃描，并利用Webravor漏掃軟件，對各平臺應用服務進行漏洞掃描，根據(jù)掃描結果，對各平臺進行安全漏洞整改。

3.5 部署集中SysLog服務器和日志分析系統(tǒng)

為了實現(xiàn)各設備、操作系統(tǒng)日志的異地備份，部署集中的SysLog服務器用于日志采集。同時部署Sawmill、Arcsight日志分析軟件，作為平臺安全日志的智能分析系統(tǒng)。

參考文獻

第6篇：網(wǎng)絡安全事件定義范文

在科學技術如此發(fā)達的今天,網(wǎng)絡已經(jīng)成為了生活中不可或缺的一部分,但是網(wǎng)絡帶給我們的就只有優(yōu)點嗎？很顯然答案是否定的,網(wǎng)絡帶給我們的缺點大家也應該早有體會,我們所接觸到、影響最深的應該就是信息安全問題了。在新聞中網(wǎng)絡個人信息被盜造成損害的案例已經(jīng)屢見不鮮,本文將以此為研究點,以信息安全控制原理為基礎,對信息安全中常見的存在問題進行研究,并介紹與信息安全相關的技術和方法。

關鍵詞:

信息安全網(wǎng)絡控制

1信息安全控制原理

1.1信息安全

信息是一種資源,它具有增值性、多效性、普遍性和可處理性,這使得對人類具有非常重要的意義。信息安全就是確保網(wǎng)絡信息資源的安全和信息系統(tǒng)的安全,避免受到外界各種干擾和侵害,換而言之就是確保安全。信息安全在國際標準化組織是這樣定義的:指信息的完整性、可靠性、可用性和保密性。

1.2自動控制原理

所謂自動控制就是指在沒有人直接參與的情況下,控制裝置或者控制器能夠按照預先設定的規(guī)律使機器、設備或者生產(chǎn)過程(統(tǒng)稱為被控對象)的某個工作狀態(tài)或者參數(shù)(即控制量)自動地運行。自動控制系統(tǒng)(automaticcontrolsystems)是在沒有人直接參與的時候可使工作過程或其他過程按預期的規(guī)律或預想程序進行的系統(tǒng)控制。自動化控制系統(tǒng)是實現(xiàn)自動化的重要手段。

1.3信息安全控制控制原理

信息安全控制與自動控制有著密不可分的關系,因為信息的特殊性質(zhì)導致信息系統(tǒng)具有變化的不定性,進而導致整個信息系統(tǒng)的安全控制都會隨著信息不斷變化,另外信息系統(tǒng)在變化過程中不僅會受到外界系統(tǒng)的攻擊和影響,其系統(tǒng)內(nèi)部的缺陷也會威脅其系統(tǒng)安全。所以信息安全系統(tǒng)的建立必須要完善,從外部和內(nèi)部多個層面進行全方位的因素考慮。信息安全控制主要是為了有效控制信息系統(tǒng)存在的內(nèi)在威脅和外界的惡意攻擊。所以信息安全控制的主要措施是:對于系統(tǒng)內(nèi)部,要盡可能的切斷一切潛在危險源;對于系統(tǒng)外部,建立完善的信息安全控制體系。對于信息系統(tǒng)而言,安全控制策略庫的建立可以讓信息系統(tǒng)的運行在可控范圍內(nèi)進行,從而使信息威脅程度降低最低,這樣就可以保證信息系統(tǒng)的安全性。

2加密技術

2.1事件監(jiān)控

安全監(jiān)控子系統(tǒng)實時收集日志信息進行存儲與分析,當發(fā)現(xiàn)高危安全事件時,采用聲、光、短信的方式在管理員界面中呈現(xiàn)給安全監(jiān)控人員,安全監(jiān)控人員對安全事件的級別和影響進行評估,判斷為嚴重事件時則啟動工單系統(tǒng)通知客服人員,由客服人員向客戶發(fā)送預警信息;若事件未達到預警級別,則安全監(jiān)控人員創(chuàng)建工單,通知安全分析人員做處理。

2.2安全分析

安全分析人員對非預警安全事件進行分析,排除誤警虛警信息,嘗試解決可處理安全事件。判斷為不能處理的安全事件和經(jīng)嘗試不能解決的安全事件,提交運維經(jīng)理,請經(jīng)理協(xié)調(diào)各方資源協(xié)助解決。如資源難以協(xié)調(diào)則繼續(xù)向上一級主管領導發(fā)起協(xié)調(diào)資源請求,直至問題解決。經(jīng)過安全分析人員對攻擊數(shù)據(jù)包進行分析,迅速判斷出此次攻擊主要針對80端口的ddos攻擊,遭受攻擊的網(wǎng)站由于資源消耗過大而無法再給用戶提供正常的頁面訪問。由于世博業(yè)務可持續(xù)性運行的重要性,于是決定本著"先搶通后修復"的原則,先利用防火墻、utm制定相應的安全策略協(xié)助該單位恢復系統(tǒng)正常工作。同時運維人員根據(jù)安全事件對該風險進行評估,確定攻擊類型、波及范圍及造成的影響,并制定都詳細的加固解決方案。

2.3安全預警

安全監(jiān)控平臺發(fā)現(xiàn)客戶網(wǎng)絡出現(xiàn)高危安全事件時,安全專家團隊子系統(tǒng)的安全分析人員,根據(jù)事件信息確定預警級別,通過工單系統(tǒng)向網(wǎng)絡管理員提交預警信息。若預警級別較高,則通報給相關主管領導、同時發(fā)起預警,同時派遣專業(yè)人員協(xié)助處理安全事件。

2.分析報告

安全運維小組事后給用戶提供了一份詳細的事情分析報告,報告中包括記錄文檔和安全策略的建議,此份建議中多次提到安全技術使用不夠完善的問題,雖然有防毒系統(tǒng)和防火前,但是沒有利用更大的資源解決網(wǎng)絡安全問題。報告的意義是讓客戶知道問題出在哪里,在哪里容易出問題,怎么解決已經(jīng)出現(xiàn)的問題,今后應該如何防范。

2.5加固測試

根據(jù)安全評估報告協(xié)助用戶對系統(tǒng)自身的安全漏洞進行修補,并對加固后的系統(tǒng),進行模擬測試。安全專家模擬黑客攻擊的方式對用戶指定的ip地址采用工具和人工檢查相結合的辦法進行遠程安全測試,評估加固后的系統(tǒng)是否達到安全要求。防火墻策略生效之后,攻擊逐漸減弱,通過外網(wǎng)訪問web服務器,速度正常。至此初步判斷,由于防火墻、umt的防護和安全監(jiān)控平臺監(jiān)測,已經(jīng)令惡意攻擊者知難而退,暫時停止實施攻擊。經(jīng)過現(xiàn)場一段時間的觀察客戶網(wǎng)絡正常運行,后期運維小組重點對該網(wǎng)絡進行遠程監(jiān)控跟蹤。

2.6形成知識庫

將此次安全事件發(fā)現(xiàn)、分析、解決的過程以知識庫的形式保存,以便下次同類問題的快速處理及客戶人員的自學習。根據(jù)統(tǒng)計,不僅中國在盡力打造信息安全網(wǎng)絡,在世博會期間,浙江聯(lián)通也退出了很多項創(chuàng)新業(yè)務支撐網(wǎng)絡安全。為保證世博會此項工作的順利進行,聯(lián)通的營業(yè)廳及多個服務店、10010客服熱線、投訴、vip貴賓服務、電子渠道等方面,在人性化、便捷化、差異化方面做出巨大改變,最終使得用戶能充分信息安全的基礎上,享受了更大的便捷與自由。

參考文獻

[1]張淑媛.基于信息安全控制原理的安全網(wǎng)絡技術[J].技術研發(fā),2013(18).

第7篇：網(wǎng)絡安全事件定義范文

關鍵詞：windows終端；安全模板；安全策略；自動化部署

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)22-5326-04

Deploying Windows-Based Terminal Security Policy Based on Security Templates

TAN Ke-jiu1,2

(1.Hubei University of Technology, Wuhang 430068, China; 2.Hechi University, Yizhou 546300, China)

Abstract: With the increasing degree of institutional informationization, information security issues are also increasingly having a tremendous impact on the organization's security operationfs, and the terminal computer security and overall information security level of institutions is at stake. Windows operating systemhas a high market share in the global institutions terminal. It is an urgent to solve the problem that how to carry on the security policy deployment to the Windows office terminal, improve the effectiveness and efficiency of security management. This Paper will explore how to use the security templates provided by Microsoft and Windows command-line tool for office terminal deployment.

Key words: Windows-based terminal; security template; security policy; automation deployment

1 Windows辦公終端安全風險

終端計算機作為機構信息處理的一個重要組成部分，其安全事關整個信息系統(tǒng)。近年來的網(wǎng)絡安全形勢不容樂觀，國家互聯(lián)網(wǎng)應急中心的《2010年上半年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》指出2010年上半年CNCERT共接收到網(wǎng)絡安全事件報告與2009年上半年相比增長105%，給企業(yè)造成了不可挽回的經(jīng)濟和政治上的損失。另據(jù)市場研究公司NetApplications的最新數(shù)據(jù)顯示，2010年Windows操作系統(tǒng)的全球市場占有率達91%，Windows系統(tǒng)占據(jù)著大部分企業(yè)、政府部門和學校的辦公電腦終端。

很多企事業(yè)單位的辦公終端數(shù)量多，分布地理位置分散又未進行集約管理，管理人員少而負責事務雜，用戶計算機水平參差不齊，出現(xiàn)信息安全問題多，管理員疲于奔命。如何更快速有效的對Windows終端進行安全策略部署、管理、監(jiān)測，是亟需解決的問題。本文將利用安全模板部署工具嘗試解決這一問題。

2 安全模板（Security Templates）

安全模板是基于文本的INF文件，該文件以特定格式定義了幾個安全區(qū)域的安全設置。這些安全區(qū)域包括密碼和帳戶鎖定策略，審核、用戶權利及安全選項策略，事件日志設置，受限制的組設置，系統(tǒng)服務設置，注冊表安全設置和文件系統(tǒng)安全設置。模板文件的某些章節(jié)包含由安全描述符定義語言(SDDL)定義的特定訪問控制列表(ACL)。

使用MMC系統(tǒng)控制臺的“安全模板”管理單元或文本編輯器來更改這些文件，進而使用MMC系統(tǒng)控制臺的“安全配置和分析”模塊或命令行工具將安全模板所定義的安全設置應用到計算機，利用該模塊分析計算機安全配置是否符合政策規(guī)定的安全級別，允許管理員跟蹤并確保計算機處在合適的安全狀態(tài)。

3 安全策略部署流程

建立合適的安全策略部署模型是實施有效安全管理的基礎，是實現(xiàn)安全管理可持續(xù)、可控制、可維護的依據(jù)，實現(xiàn)信息系統(tǒng)的可用性、保密性和完整性的保證，所以選擇適當?shù)陌踩呗圆渴鹉Ｐ头浅Ｖ匾?。參考國際通行的APPDRR網(wǎng)絡安全模型，安全策略生命周期部署模型見圖1。

通過Windows終端安全風險分析確認機構中信息終端中需要實施安全管理的具體對象，找出終端的安全短板和面臨的威脅，評估發(fā)生安全事件的概率，估算能承受的風險值，為安全策略制定與實施提供依據(jù)。

制定安全策略是整個Windows終端安全保障工程的關鍵環(huán)節(jié)，是在安全政策和安全管理原則的指導下，在安全風險評估結果和用戶需求基礎上，根據(jù)終端系統(tǒng)要實現(xiàn)的安全目標制定，目的是確保目標終端在應用此策略后能實現(xiàn)相當?shù)陌踩墑e。

策略實施就是在完成Windows終端安全策略制定后，通過一系列的安全技術和方法，利用系統(tǒng)自帶的安全管理工具或第三方安全管理軟件完成安全策略的實現(xiàn)、測試、部署工作，完成Windows終端系統(tǒng)保護，阻止安全事件發(fā)生，保證安全事件發(fā)生的概率和危害，都在機構可接受范圍之內(nèi)。

安全策略實施后并非一勞永逸，我們需要定期檢測安全策略在Windows終端部署運行情況，安全管理工具是否按既定的方案保護終端計算機，詢問用戶在操作Windows終端時有無發(fā)現(xiàn)因為安全策略實施而導致的異常。在安全事件發(fā)生后，提取日志和重現(xiàn)事件來分析造成安全事件的原因，據(jù)此糾正Windows終端安全策略。這就要求在部署安全策略時應具有可追溯性，提供必要的安全策略實施備忘文件和終端系統(tǒng)安全日志記錄，以保證我們能實現(xiàn)有效的監(jiān)測和及時的響應。

4 Windows辦公終端風險分析

1) Windows終端漏洞層出不窮，利用第三方軟件漏洞攻擊系統(tǒng)事件頻發(fā)。從漏洞出現(xiàn)到被惡意利用的時間越來越短，給終端計算機造成嚴重威脅。終端計算機往往是機構管控的盲端，出現(xiàn)的系統(tǒng)漏洞不能得到及時修補，第三方軟件漏洞未能得到重視，給惡意軟件提供一個隱蔽的攻擊通道。

2) 病毒、木馬和惡意軟件攻擊。它們主要是通過網(wǎng)頁瀏覽、下載軟件、局域網(wǎng)和U盤等幾個途徑傳播。Windows終端未能進行正確的權限配置，大多以管理權限運行，導致病毒木馬入侵計算機后獲得高權限，造成嚴重危害。

3) 終端缺乏準入規(guī)范，造成終端的非授權訪問風險，破壞數(shù)據(jù)的完整性和機密性。用戶往往為了方便，將Windows終端設定為自動登陸，有的干脆不設置帳戶密碼，給Windows終端安全帶來隱患。

4) 用戶缺乏安全意識和安全知識。用戶的不當操作或?qū)ο到y(tǒng)設置的隨意修改造成終端系統(tǒng)安全防線崩潰。如開啟Guest帳戶，設置不恰當?shù)墓蚕?，使用弱密碼或空密碼，開啟不必要的服務項等。

5 安全策略制定

在安全策略規(guī)劃實施過程中，應當貫徹最小權限和最少服務原則、可追溯性原則、易用性與安全性統(tǒng)一原則和可維護性原則。

1) 最小權限和最小服務原則

帳戶安全。帳戶安全是信息系統(tǒng)安全的第一道防線，通過密碼安全策略來防止用戶使用空密碼或弱密碼，設置帳戶鎖定策略來防止暴力破解密碼，關閉一些特殊帳戶如Guest帳戶等。

系統(tǒng)服務安全。服務是后臺運行的應用程序，為本地和通過網(wǎng)絡訪問的用戶提供某些功能。根據(jù)用戶需要，禁止不必要的服務，授予或禁止用戶具有特定服務項的權限。如禁用Remote Registry、TCP/IP NetBIOS Helper、Workstation和Server服務等。

文件系統(tǒng)權限。禁止用戶寫入某些容易被病毒利用的目錄，禁止用戶訪問某些文件和禁止一些危險程序運行來提高系統(tǒng)安全級別。如禁止用戶從硬盤分區(qū)根目錄下運行程序，避免用戶雙擊硬盤根目錄導致誤執(zhí)行病毒程序。

注冊表安全。注冊表是Windows特有用于保存系統(tǒng)和軟件相關信息的數(shù)據(jù)庫，病毒木馬經(jīng)常利用注冊表實現(xiàn)得開機自啟動功能。有必要對病毒和木馬經(jīng)常利用的注冊表項進行安全配置，禁止用戶寫入某些風險度較高的注冊表項，如自啟動項，Image File Execution Options映像劫持項等。

網(wǎng)絡訪問權限設置。辦公終端是辦公網(wǎng)絡的一個有機組成，因此面臨著非法入侵、數(shù)據(jù)泄密和網(wǎng)絡濫用等威脅，采取措施控制網(wǎng)絡的訪問權限，設置一道無形的防火墻。通過“本地安全策略”禁止SAM帳戶的匿名枚舉，不允許SAM帳戶和共享的匿名枚舉，禁止匿名SID/名稱轉(zhuǎn)換等，通過防火墻關閉危險端口，阻止可疑程序訪問該計算機或從該計算機訪問網(wǎng)絡。

用戶權利控制。用戶對計算機具有各種權利，這些用戶權利將直接決定他們的訪問行為。我們要嚴格控制用戶對計算機的訪問權利，限制用戶使用一些特殊的權利，比如管理審核和安全日志、還原文件及目錄權限，降低網(wǎng)絡訪問程序的運行權限級別。對只進行諸如文字處理、工作管理一類應用的辦公終端，使用受限帳戶登陸即可，要限制用戶使用高權限帳戶登陸系統(tǒng)、運行程序。禁止用戶隨意修改系統(tǒng)配置文件，卸載殺毒軟件和非法安裝ActiveX控件，開啟終端計算機的緩沖區(qū)溢出保護功能等。

2) 可追溯性

合適的安全事件日志設定。安全事件日志是安全事件的收集、保存和顯示的重要工具，對于安全事件的識別、處理和調(diào)查非常重要，在發(fā)生安全事件后，可通過安全日志追蹤事件產(chǎn)生的來龍去脈。必須在系統(tǒng)安全策略中設置好審核策略和設定事件日志存儲、維護和訪問控制，保證安全事件日志能在安全事件發(fā)生后提供事后分析所應有的功能，方便系統(tǒng)管理員做出相應對策，并可以根據(jù)安全事件日志優(yōu)化安全模板。

審核重點目錄和文件的訪問，審核重點程序和用戶的行為。利用Windows提供的審核功能對一些安全風險較大的目錄、文件和程序進行審核，比如對病毒木馬容易利用的CMD.exe、Net.exe和Reg.exe等程序設置審核，對權限最大的administrators帳戶組的操作進行審核。這些必要的審核方便我們在發(fā)生安全事件后可通過事件日志分析事件發(fā)生過程，迅速定位安全威脅，進而能使安全響應更準確，提高安全管理的效果和效率。

3) 可擴展性和可維護性

維護信息系統(tǒng)的安全并不是一個靜態(tài)過程，而是不斷的動態(tài)變化，用戶需求改變、安裝軟件變化和硬件的改變，都有可能要求重新審視安全策略應用是否達到合適的安全級別，所以安全策略部署過程都應具備良好的可擴展性和可維護性。通過安全模板管理工具對安全模板進行管理，注重安全模板版本管理，每次升級修改都有日志，做到安全策略配置文件的可控可管。

4) 易用性與安全性統(tǒng)一

做好需求分析，保證安全性與易用性相統(tǒng)一。信息系統(tǒng)的安全性強度總是和信息系統(tǒng)的易用性相矛盾的，高安全性必然導致易用性下降，用戶操作時極易產(chǎn)生挫敗感而影響工作效率。我們在設計和實施安全策略前，要做好需求分析，盡可能使系統(tǒng)擁有足夠的安全級別，又能保證易用性。比如放開某些安全風險較小的權限和將某些系統(tǒng)設置功能隱藏等。

6 基于安全模塊的安全策略部署

6.1 創(chuàng)建與修改安全策略模板

微軟在系統(tǒng)管理控制臺中提供了“安全模板”管理單元用來創(chuàng)建、修改和管理安全模板文件?！鞍踩０濉惫芾韱卧峁┝艘粋€功能強大的圖形界面，管理員可以方便地按層次結構導航到某個安全屬性設置區(qū)域進行編輯修改。微軟在Windows中提供了七個預配置的安全模板文件供系統(tǒng)管理人員參考，默認情況下，這些管理模板存儲在“\%Systemroot%\Security\Templates”目錄中，在“安全模板”管理單元可以直接讀取。

為了管理和配置方便，我們需要使用虛擬機或?qū)ｉT配置一臺母機，安裝和終端同樣的軟件，模擬出相同環(huán)境進行調(diào)試。

安全模板創(chuàng)建與修改操作步驟如下：

1) 首先，運行MMC命令，打開Microsoft管理控制臺，并在“文件”――“選項”確認控制臺處于“作者模式”，使用戶具有訪問所有MMC功能的全部權限。

2) 在“控制臺”菜單上，單擊“添加/刪除管理單元”，然后單擊“添加”。選擇“安全模板”，單擊“添加”――“關閉”――“確定”。將配置好的控制臺保存到合適的位置，此處我們使用“D:\SafeSet”。

3) 在“安全模板”管理單元中，右鍵單擊“安全模板”，選擇“新加模板搜索路徑”，將路徑設定為“D:\SafeSet”。

4) 在新建的路徑上右擊，選擇“新加模板”，設置好模板名和描述。

5) 根據(jù)定義好的安全策略在控制臺上對安全模板進行編輯。每個設置項的屬性中都有相關項的解釋說明，避免在設置時誤操作而引發(fā)不良后果。

6) 將該模板以“SafeSetTemplate_Base.inf”保存到“D:\SafeSet”備用。

6.2 測試安全策略模板

微軟在系統(tǒng)管理控制臺中還提供了“安全配置和分析”管理單元，它是一個圖形化實用程序，用于配置和分析與系統(tǒng)安全相關的各個方面?！鞍踩耘渲谩笨梢灾苯优渲帽镜叵到y(tǒng)的安全性，利用安全數(shù)據(jù)庫，可以導入由“安全模板”創(chuàng)建的安全模板，并將這些模板應用于本地計算機，立即使用模板中指定的級別配置系統(tǒng)安全性。操作步驟如下：

1) 首先在控制臺中添加“安全配置和分析”模塊，操作步驟類似于上述添加“安全模板”的方法。

2) 右擊“安全配置和分析”單元，選擇“打開數(shù)據(jù)庫”，導航到“D:\SafeSet”，在“文件名”輸入框中輸入“SafeSetDb.sdb”，新建安全數(shù)據(jù)庫文件，單擊“打開”。

3) 在彈出的“導入模板”對話框，導航到“D:\SafeSet”，導入我們做好的安全模板。

4) 右擊“安全配置和分析”單元，選擇“立即配置計算機”，在彈出的“配置系統(tǒng)”窗口中設置好錯誤日志文件路徑和文件名，如“D:\SafeSet\SafeSetConfigureLog.txt”，確定并開始執(zhí)行配置計算機操作。

5) 通過檢查日志文件確認應用安全策略模板的過程有無異常。如果發(fā)現(xiàn)異常，可以直接在“安全配置和分析”模塊中修改相關選項，重新進行配置計算機操作，并導出改后的安全模板設置覆蓋原來的模板文件。

6) 盡管部分設置已經(jīng)被應用，但是它們在執(zhí)行“Gpupeate.exe”命令或重啟計算機之后才生效。所以關閉“安全配置和分析”工具并重啟計算機，對照安全策略配置檢驗表進行檢查，檢查所做安全策略配置是否達到預期目的，反復進行安全策略模板修改與應用其到試驗的系統(tǒng)中，直到符合要求后開始編寫自動化部署文件。

6.3 生成安全策略模板自動化部署腳本

使用“安全配置和分析”工具可以實現(xiàn)單臺計算機安全策略配置和分析，但使用該工具在多臺計算機上完成案例策略配置和分析不方便。微軟為此提供了secedit.exe命令行工具以便系統(tǒng)管理員完成企業(yè)級的部署，該命令行允許我們使用安全數(shù)據(jù)庫中的安全性設置來配置系統(tǒng)。語法如下：

Secedit /configure /dbfilename [/cfgfilename] [/overwrite] [/areasarea1area2...] [/logfilename] [/quiet]

/dbfilename 定義用來執(zhí)行安全性配置的數(shù)據(jù)庫。

/cfgfilename 定義導入到數(shù)據(jù)庫的安全性模板。

/logfilename 定義要記錄配置操作狀態(tài)的文件。

利用命令行工具構建安全策略模板自動化部署腳本，并完成其它Windows終端優(yōu)化和安全配置操作，比如帳戶配置、安全登陸操作提示等。

在“D:\SAFESET”中新建“SafeSet.CMD”，用記事本打開并輸入以下內(nèi)容并保存：

@Echo off

Set Soft=XX學院Windows終端系統(tǒng)自動配置程序

Set Grade=Base

Set Version=V1.2.20110202

:Start

CLS

Color FC

Title %Soft%[安全級別：%Grade%][版本：%Version%]

Echo %Soft%[版本：%Version%]

Echo.

Set Choice=

Set /P Choice=腳本將在您的系統(tǒng)中應用設定好的安全策略，請按"Y"鍵繼續(xù)，終止運行請按"Q"：

If "%Choice%"=="" Goto Start

IF Not "%Choice%"=="" Set Choice=%Choice:~0,1%

If /I "%Choice%"=="Y" Goto ConStartPre

If /I "%Choice%"=="Q" Exit

Goto Start

Echo開始用戶帳戶配置

:ConStartPre

Echo.

Echo.

Set AdminPasswords=

Set UserPasswords=

Set /P AdminPasswords=請輸入內(nèi)置管理帳戶Adminstrator的密碼（請務必確認后再回車）：

Set /P UserPasswords=請輸入日常工作帳戶User的密碼（請務必確認后再回車）：

Set Choice=

Set /P Choice=請檢查您輸入的密碼是否正確，請按"Y"鍵繼續(xù)，任意鍵重新輸入密碼：

If "%Choice%"=="" Goto Start

IF Not "%Choice%"=="" Set Choice=%Choice:~0,1%

If /I "%Choice%"=="Y" (GotoConStart) Else Goto ConstartPre

:ConStart

Net user administrator %AdminPasswords% /FULLNAME:"管理用戶"

Net user user %UserPasswords% /add /FULLNAME:"日常工作" /USERCOMMENT:"受限用戶" /COMMENT:"這是日常工作專用的受限帳戶" /EXPIRES:NEVER

Net user guest /active:no

Echo配置帳戶完成，開始進行系統(tǒng)安全策略部署...

Secedit /configure /db SecSetDb.sdb /cfgSafeSet Template_Base.inf /overwrite /quiet /logSafeSet ConfigureLog.txt

Echo系統(tǒng)安全策略部署完成，請按任意鍵退出。

6.4 實施

將在 “D:\SafeSet”目錄下生成的所有文件復制到目標機，以管理員權限運行“SafeSet.CMD”腳本，根據(jù)提示完成安全策略在Windows終端的部署。我們可以依照上文所述步驟，依據(jù)終端計算機等級保護的不同安全需要和不同的安全保護政策，設計出不同的安全策略部署模板，方便管理。

7 安全策略檢查與響應

Windows系統(tǒng)管理控臺中的“安全配置和分析”管理單元的安全性分析工具，允許系統(tǒng)管理員對Windows終端安全策略部署情況進行檢查，提供詳細的安全分析結果，對不符合安全策略要求的做出可視化的標記，跟蹤并確保在每臺計算機上有足夠的安全級，檢測在系統(tǒng)長期運行過程中出現(xiàn)的安全故障。利用該工具定期檢測Windows終端安全策略保護系統(tǒng)情況，保證安全策略得到有效執(zhí)行。

8 總結

本文提出的使用安全模板結合腳本技術對Windows操作系統(tǒng)進行安全策略部署方法，應用于辦公信息系統(tǒng)安全管理工作中，基本實現(xiàn)安全政策要求的可用性、可追溯性、可擴展性和可維護的目標，對于信息安全管理人員應對信息系統(tǒng)安全威脅和進行批量安全策略部署，具有一定的借鑒意義。

參考文獻：

[1] 操作系統(tǒng)市場市場的占有率[EB/OL]./operating-system-market-share.aspx?qprid=8&qptimeframe=Y&qpsp=2010&qpnp=1.

[2] 國家互聯(lián)網(wǎng)應急中心.2010年上半年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告[EB/OL]..cn/UserFiles/File/2010 first half.pdf.

[3] 余磊.信息安全戰(zhàn)――企業(yè)信息安全建設之道[M].上海:東方出版社,2010.

[4] 程迎春.Windows安全應用策略和實施方案手冊[M].北京:人民郵電出版社,2005.

第8篇：網(wǎng)絡安全事件定義范文

關鍵詞：信息安全；網(wǎng)絡安全；體系模型

中圖分類號：TP309.2 文獻標識碼：A

1 引言

以往，許多安全體系都是根據(jù)相關風險進行設計的，缺乏對整個安全體系的動態(tài)、全面考慮。所以，為最大程度滿足安全需要，我們需要設計出全方位多角度的信息與網(wǎng)絡安全體系，并在體系中完整的包含安全建設所要需要實現(xiàn)的各種功能、服務以及安全機制和相關技術和操作等[2]，并對多種因素進行合理的安排和部署。

2 PDR模型

PDR模型包含了三方面的元素，即P――防護（Protection）和D――檢測（Detection）以及R――反應（ Reaction）。PDR模型認為所謂的“安全”指的是“保護的時間”要大于“檢測的時間”。因此，在PDR模型中，十分強調(diào)時間的概念，并對保護時間和檢測時間以及響應時間和暴露時間進行了定義。我們用Pt來表示從攻擊開始到攻擊成功的時間，即攻擊所需要的具體時間，或者也可以是故障或非人為因素造成的破壞從發(fā)生到造成影響所生產(chǎn)的時間；用Dt來表示檢測系統(tǒng)安全的時間；用Rt來表示從檢測到安全問題到采取相應的措施進行反抗的時間，即對安全事件的反應時間[3]。經(jīng)分析可知，我們無法控制安全問題出現(xiàn)的可能性，做不到無懈可擊，所以只有通過盡可能的延長各種安全問題攻擊所需要的具體時間來提高整個體系的安全程度。也就是說，我們要盡可能的增大Pt的值，從而為安全體系檢測各種攻擊事件，并及時進行相應的反應來爭取盡可能的時間。另外，我們也可以通過縮短檢測系統(tǒng)安全的時間以及從檢測到安全問題 到采取相應的措施進行反抗的時間來提高體系的安全性，即盡量減少Dt和Rt的具體值[4]。所以說，如果體系對安全事件的反應時間Pt大于檢測系統(tǒng)安全的時間Dt和安全事件的反應時間Rt之和的時候，整個系統(tǒng)是安全的；如果體系對安全事件的反應時間Pt小于檢測系統(tǒng)安全的時間Dt和安全事件的反應時間Rt之和，則表示整個系統(tǒng)是不安全的。

3 P2DR 模型

P2DR模型把信息安全保障分成了一下四個環(huán)節(jié)：P――策略（Policy）、P――保護（Protection）、D――檢測（Detection）和R――響應（Reaction）。P2DR模型是可適應網(wǎng)絡安全理論的主要模型，在整體的安全策略的控制和指導下，在綜合運用各種防護工具的同時，也積極的利用多種檢測工具來了解和評估系統(tǒng)所處的安全狀態(tài)。并按照具體的狀態(tài)作出最適當?shù)姆磻?，從而保證整個系統(tǒng)處于最安全的狀態(tài)。P2DR模型中的防護、檢測以及響應形成了一個十分完整的、處于動態(tài)變化的安全循環(huán)模式，在具體安全策略的指導下，有效的保證信息系統(tǒng)的安全性。在P2DR體系模型中，用戶們可以充分考慮實際情況，選擇更加切合實際情況的安全方案。網(wǎng)絡與信息安全涉及到許多復雜的問題，在P2DR體系模型中，用戶需要認識到，首先，要注意人的作用。任何安全問題都需要人來操作，認識主觀能動的個體，對整個體系的安全性起著至關重要的作用。其次，要注意工具問題。工具是人們用來實現(xiàn)安全的基本手段，是保證安全策略實現(xiàn)的有力保證。而工具問題中則包含了安全體系設計到的各種技術[5，6]。不過，通常情況下，對用戶來說，并不需要過分關注安全技術問題，因為技術問題涉及面太廣，也過于復雜。而且，會有十分專業(yè)的公司來負責將各種最新最實用的安全技術轉(zhuǎn)化為各種可以供廣大用戶直接使用的工具。

4 動態(tài)自適應安全模型

動態(tài)自適應安全模型也同樣是把安全看作一個動態(tài)變化的過程，并認為安全策略的制定要積極的適應網(wǎng)絡的動態(tài)變化。動態(tài)自適應安全模型可以對網(wǎng)絡進行動態(tài)的監(jiān)測，并及時的發(fā)現(xiàn)系統(tǒng)中存在的漏洞，并對來自各方的安全威脅進行鍵控。從而為廣大用戶提供了一個不斷循環(huán)并及時反饋相關信息的安全模型，利用這個模型，用戶可以及時地制定各種安全策略并做出相應的反應[7]。動態(tài)自適應安全模型涉及到以下一些問題：

（1）分析與配置。在構建動態(tài)自適應安全模型的時候，需要整體把握系統(tǒng)的安全問題，綜合考慮多方面因素，例如標志和認證以及密碼技術還有完整性控制和操作系統(tǒng)安全，以及數(shù)據(jù)庫、防火墻系統(tǒng)安全和抗抵賴協(xié)議等。在充分考慮到多方面因素之后，再給出相應的具體配置。

（2）動態(tài)監(jiān)測。動態(tài)自適應安全模型需要對各種網(wǎng)絡攻擊模式和其它 多種可疑活動，進行實施的動態(tài)監(jiān)測。例如對各種黑客行為的分析，和對病毒特征以及系統(tǒng)弱點的研究等。動態(tài)自適應安全模型還要及時的提取各種數(shù)據(jù)特征，并將其歸入監(jiān)測知識庫和方法庫，以便于對各種網(wǎng)絡攻擊和病毒模式進行實時的監(jiān)測，并及時的發(fā)現(xiàn)系統(tǒng)中存在的各種危險漏洞。

（3）報警。動態(tài)自適應安全模型中，一旦發(fā)現(xiàn)系統(tǒng)中出現(xiàn)了各類攻擊模式，或者有漏洞和病毒以及各種違規(guī)和泄密活動的存在，便會立即給出相應的報警響應，例如，對相關信息的日志進行及時的記錄，通過控制臺消息等發(fā)出報警信號，或者是阻斷非法連接，也可以十多種報警響應的組合應用。

（4）審計和評估。審計和評估是按照具體的報警記錄和其它信息向管理員提供各種具有較高參考價值的統(tǒng)計分析報告信息。審計和評估涉及多方面的內(nèi)容，例如網(wǎng)絡使用情況、各種可疑跡象、發(fā)生的各種問題等。審計和評估的過程也十分嚴謹，需要應用統(tǒng)計方法學和審計評估機制來綜合評估網(wǎng)絡安全現(xiàn)狀，制定出最終的審計報告和趨向報告等。

5 APPDRR模型

網(wǎng)絡與信息安全是處于不斷的變化中的，表現(xiàn)為一個不斷改進的過程，全網(wǎng)動態(tài)安全體系隱含了網(wǎng)絡安全的相對性和動態(tài)螺旋上升的過程，因為不可能存在百分之百靜態(tài)的網(wǎng)絡安全。通過風險評估、安全策略、系統(tǒng)防護、動態(tài)檢測、實時響應和災難恢復六環(huán)節(jié)的循環(huán)流動，網(wǎng)絡安全逐漸地得以完善和提高，從而實現(xiàn)保護網(wǎng)絡資源的網(wǎng)絡安全目標?？尚庞嬎闫脚_指的是為計算提供高可用的、安全的和可控的計算實現(xiàn)平臺。而高可信計算平臺則是通過在當前的計算平臺加入硬件和軟件的擴展來支持計算平臺的安全性[8]。計算平臺的安全性確保計算機系統(tǒng)中的每臺主機成為可信的個體，從而既保護了主機，又從源頭上減少了網(wǎng)絡威脅。統(tǒng)一威脅管理期望把APPDRR模型有機的綜合在完整體系而不是各自孤立存在。針對安全防護技術一體化、集成化的趨勢，研究統(tǒng)一威脅管理（UTM）與網(wǎng)絡安全管理的模型、算法和標準。

6 總結

安全處于永不停息的動態(tài)變化中的，不斷的隨著技術的變化而變化。構建信息與網(wǎng)絡安全體系模型的過程中涉及到了多方面的因素，例如管理和技術以及標準和相關法規(guī)等。所以，我們不可能將所有安全問題都體現(xiàn)在安全體系中，而是要將安全體系置于動態(tài)發(fā)展變化中，并不斷予以積極的調(diào)整，才能保證其更加科學完善。

參考文獻

[1] 唐洪玉，崔冬華.一種新的信息安全體系模型的提出[J].信息安全與通信保密，2008，12（06）：102-105.

[2] 周學廣，等.信息安全學（第2版）[M].北京：機械工業(yè)出版社，2008.

[3] 馮毅.基于P2DR模型的網(wǎng)銀安全體系方案設計[J].中國科技信息，2011，03（14）：79-80.

[4] 張思宇.淺析信息化時代企業(yè)網(wǎng)絡安全重要性[J].中小企業(yè)管理與科技，2013，05（18）：91-92.

[5] 沈蘇彬，等.自主信息網(wǎng)絡安全的概念與模型[J].南京郵電大學學報（自然科學版），2012（05）.

[6] 董建鋒，等.云計算環(huán)境下信息安全分級防護研究[J].信息網(wǎng)絡安全，2011，11（06）：55-56.

[7] 徐林磊，鄭明春.一種公共信息和網(wǎng)絡安全的社會模型[J].信息網(wǎng)絡安全，2010，01（02）：13-14.

[8] 林王冠，等.網(wǎng)絡安全模型在水利科研環(huán)境中的應用與研究[J].水利信息化，2013，97（01）：42-43.

第9篇：網(wǎng)絡安全事件定義范文

關鍵詞：工控；網(wǎng)絡安全；安全建設

1前言

隨著工業(yè)化與信息化的快速發(fā)展以及云、大、物、智、移等新技術的逐步發(fā)展和深化實踐，制造業(yè)工業(yè)控制系統(tǒng)的應用越來越多，隨之而來的網(wǎng)絡安全威脅的問題日益突出。特別是國家重點行業(yè)例如能源、水利、交通等的工業(yè)控制系統(tǒng)關系到一個國家經(jīng)濟命脈，工業(yè)控制系統(tǒng)網(wǎng)絡一旦出現(xiàn)特殊情況可能會引發(fā)直接的人員傷亡和財產(chǎn)損失。本文主要以軌道交通行業(yè)CBTC系統(tǒng)業(yè)務的安全建設為例介紹工業(yè)信息安全防護思路，系統(tǒng)闡述了工業(yè)信息安全的發(fā)展背景及重要性，以網(wǎng)絡安全法和工業(yè)基礎設施的相關法規(guī)和要求等為依據(jù)，并結合傳統(tǒng)工業(yè)控制系統(tǒng)的現(xiàn)狀，從技術設計和管理系統(tǒng)建設兩個方面來構建工控系統(tǒng)網(wǎng)絡安全。

2工業(yè)信息安全概述

2.1工控網(wǎng)絡的特點

工業(yè)控制系統(tǒng)是指各種自動化組件、過程監(jiān)控組件共同構成的以完成實時數(shù)據(jù)采集、工業(yè)生產(chǎn)流程監(jiān)測控制的管控系統(tǒng)，也可以說工業(yè)控制系統(tǒng)是控制技術（Control）、計算機技術（Computer）、通信技術（Communication）、圖形顯示技術（CRT）和網(wǎng)絡技術（Network）相結合的產(chǎn)物[1]。工控系統(tǒng)網(wǎng)絡安全是指工業(yè)自動控制系統(tǒng)網(wǎng)絡安全，涉及眾多行業(yè)例如電力、水利、石油石化、航天、汽車制造等眾多工業(yè)領域，其中超過60%的涉及國計民生的關鍵基礎設施（如公路、軌道交通等）都依靠工控系統(tǒng)來實現(xiàn)自動化作業(yè)。

2.2國內(nèi)外工業(yè)安全典型事件

眾所周知，工業(yè)控制系統(tǒng)是國家工業(yè)基礎設施的重要組成部分，近年來由于網(wǎng)絡技術的快速發(fā)展，使得工控系統(tǒng)正逐漸成為網(wǎng)絡戰(zhàn)的重點攻擊目標，不斷涌現(xiàn)的安全事件也暴露出工控系統(tǒng)網(wǎng)絡安全正面臨著嚴峻的挑戰(zhàn)。（1）美國列車信號燈宕機事件2003年發(fā)生在美國佛羅里達州鐵路服務公司的計算機遭遇震網(wǎng)病毒感染，導致美國東部海岸的列車信號燈系統(tǒng)瞬間宕機，部分地區(qū)的高速環(huán)線停運。這次事件主要是由于感染震網(wǎng)病毒引起的，而這種病毒常被用來定向攻擊基礎（能源）設施，比如國家電網(wǎng)、水壩、核電站等。（2）烏克蘭電網(wǎng)攻擊事件2015年，烏克蘭的首都和西部地區(qū)電網(wǎng)突發(fā)停電，調(diào)查發(fā)現(xiàn)這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站，在電力公司的主控電腦系統(tǒng)里植入了病毒致使系統(tǒng)癱瘓造成停電事故。（3）舊金山輕軌系統(tǒng)遭勒索病毒攻擊事件2016年，黑客攻擊美國舊金山輕軌系統(tǒng)，造成上千臺服務器和工作站感染勒索病毒，數(shù)據(jù)全部被加密，售票系統(tǒng)全面癱瘓。其實國內(nèi)也發(fā)生過很多工業(yè)控制系統(tǒng)里面的安全事件，主要也是因為感染勒索病毒引起的。勒索病毒感染了重要業(yè)務系統(tǒng)里面的一些工作站，例如在軌道交通行業(yè)里的典型系統(tǒng)：綜合監(jiān)控系統(tǒng)、通信系統(tǒng)和信號系統(tǒng)等，其中大部分是由于移動接入設備的不合規(guī)使用而帶來的風險。從以上事件可以看出，攻擊者要發(fā)動網(wǎng)絡攻擊只需發(fā)送一個普通的病毒就可以達到目的，隨著網(wǎng)絡攻擊事件的頻發(fā)和各種復雜病毒的出現(xiàn)，讓我們的工業(yè)系統(tǒng)安全以及公共利益、人民財產(chǎn)安全正遭受著嚴重的威脅。

2.3工控安全參考標準、規(guī)范

作為國家基礎設施的工業(yè)控制系統(tǒng)，正面臨著來自網(wǎng)絡攻擊等的威脅，為此針對工控網(wǎng)絡安全，我國制定和了相關法律法規(guī)來指導網(wǎng)絡安全建設防護工作。其中有國家標準委在2016年10月的《工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全建立工業(yè)自動化和控制系統(tǒng)安全程序》《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡安全可編程序控制器（PLC）第1部分：系統(tǒng)要求》等多項國家標準[2]。同年，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》，該標準以當前我國工業(yè)控制系統(tǒng)面臨的安全問題為出發(fā)點，分別從技術防護和管理設計兩方面來對工業(yè)控制系統(tǒng)的安全防護提出建設防護要求。2017年6月，《網(wǎng)絡安全法》開始實施，網(wǎng)安法從不同的網(wǎng)絡層次規(guī)定了網(wǎng)絡安全的檢測、評估以及防護和管理等要求，促進了我國工業(yè)控制系統(tǒng)網(wǎng)絡安全的發(fā)展。

3工業(yè)控制系統(tǒng)網(wǎng)絡安全分析

軌道交通信號系統(tǒng)（CBTC）是基于通信技術的列車控制系統(tǒng)，該系統(tǒng)依靠通信技術實現(xiàn)“車地通信”并且實時地傳遞“列車定位”信息[3]。目前CBTC安全建設存在以下問題：（1）網(wǎng)絡邊界無隔離隨著CBTC的集成度越來越高，各個子系統(tǒng)之間的聯(lián)系和數(shù)據(jù)通信也越來越密切，根據(jù)地域一般劃分為控制中心、車站、車輛段和停車場，根據(jù)業(yè)務又劃分為ATO、ATS、CI、DCS等多個子系統(tǒng)，各區(qū)域之間沒有做好訪問控制措施，缺失入侵防范和監(jiān)測的舉措。各個子系統(tǒng)之間一般都是互聯(lián)互通的，不同的子系統(tǒng)由于承載的業(yè)務的重要等級不同也是需要對其邊界進行防護的，還有一些安全系統(tǒng)和非安全系統(tǒng)之間也都沒有做隔離。（2）網(wǎng)絡異常查不到針對CBTC系統(tǒng)的網(wǎng)絡入侵行為一般隱蔽性很強，沒有專門的設備去檢測的話很難發(fā)現(xiàn)入侵行為。出現(xiàn)安全事件后沒有審計記錄和追溯的手段，等下次攻擊發(fā)生依然沒有抵抗的能力。沒有對流量進行實時監(jiān)測和記錄，不能及時發(fā)現(xiàn)高級持續(xù)威脅、不能有效應對攻擊、不能及時發(fā)現(xiàn)各種異常操作。（3）工作站、服務器無防護CBTC系統(tǒng)工作站、服務器的大部分采用Windows系列的操作系統(tǒng)，還有一部分Linux系列的操作系統(tǒng)，系統(tǒng)建設之初基本不會對工作站和服務器的操作系統(tǒng)進行升級，操作系統(tǒng)在使用過程中不斷暴露漏洞，而系統(tǒng)漏洞又無法得到及時的修復，這都會導致工作站和服務器面臨風險。沒有在系統(tǒng)上線前關閉冗余系統(tǒng)服務，沒有加強系統(tǒng)的密碼策略。除此之外，運維人員可以在調(diào)試過程中在操作站和服務器上安裝與業(yè)務無關的軟件，也可能會開啟操作系統(tǒng)的遠程功能，上線后也不會關閉此功能，這些操作都會使得系統(tǒng)配置簡單，更容易受到攻擊。目前在CBTC系統(tǒng)各個區(qū)域部分尚未部署桌管軟件和殺毒軟件，無法對USB等外接設備的接入行為進行管控，隨意使用移動存儲介質(zhì)的現(xiàn)象非常普遍，這種行為極易將病毒、木馬等威脅帶入到生產(chǎn)系統(tǒng)中。（4）運維管理不完善單位內(nèi)安全組織機構人員職責不完善，缺乏專業(yè)的人員。沒有針對信號系統(tǒng)成立專門的安全管理部門，未明確相關業(yè)務部門的安全職責和職員的技能要求，也缺乏專業(yè)安全人才。未形成完整的網(wǎng)絡安全管理制度政策來規(guī)劃安全建設和設計工控系統(tǒng)安全需求。另外將工業(yè)控制系統(tǒng)的運維工作外包給第三方人員后并無相關的審計和監(jiān)控措施，當?shù)谌竭\維人員進行設備維護時，業(yè)務系統(tǒng)的運營人員不能及時了解第三方運維人員是否存在誤操作行為，一旦發(fā)生事故無法及時準確定位問題原因、影響范圍和責任追究。目前CBTC系統(tǒng)的網(wǎng)絡采用物理隔離，基本可以保證正常生產(chǎn)經(jīng)營。但是管理網(wǎng)接入工控系統(tǒng)網(wǎng)絡后，工控系統(tǒng)網(wǎng)絡內(nèi)部的安全防護措施無法有效抵御來自外部的攻擊和威脅，而且由于與管理網(wǎng)的數(shù)據(jù)安全交互必須在工控網(wǎng)絡邊界實現(xiàn)，因此做好邊界保護尤為重要。

4工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系

工控系統(tǒng)信息化建設必須符合國家有關規(guī)定，從安全層面來看要符合國家級防護的相關要求，全面規(guī)劃設計網(wǎng)絡安全保障體系，使得工控體系符合相關安全標準，確保工控安全保障體系的廣度和深度。根據(jù)安全需求建立安全防護體系，通過管理和技術實現(xiàn)主被動安全相結合，有效提升了工控業(yè)務系統(tǒng)的安全防護能力。根據(jù)業(yè)務流量和業(yè)務功能特點以及工控系統(tǒng)網(wǎng)絡安全的基本要求來設計不同的項目技術方案，從技術角度來識別系統(tǒng)的安全風險，依據(jù)系統(tǒng)架構來設計安全加固措施，同時還要按照安全管理的相關要求建立完善的網(wǎng)絡安全管理制度體系，來確保整體業(yè)務系統(tǒng)的安全有效運行。

4.1邊界訪問控制

考慮到資產(chǎn)的價值、重要性、部署位置、系統(tǒng)功能、控制對象等要素，我們將軌道交通信號系統(tǒng)業(yè)務網(wǎng)絡劃分為多個子安全域，根據(jù)CBTC業(yè)務的重要性、實時性、關聯(lián)性、功能范圍、資產(chǎn)屬性以及對現(xiàn)場受控設備的影響程度等，將工控網(wǎng)絡劃分成不同的安全防護區(qū)域，所有業(yè)務子系統(tǒng)都必須置于相應的安全區(qū)域內(nèi)。通過采取基于角色的身份鑒別、權限分配、訪問控制等安全措施來實現(xiàn)工業(yè)現(xiàn)場中的設備登錄控制、應用服務資源訪問的身份認證管理，使得只有獲得授權的用戶才能對現(xiàn)場設備進行數(shù)據(jù)更新、參數(shù)設定，在控制設備及監(jiān)控設備上運行程序、標識相應的數(shù)據(jù)集合等操作，防止未經(jīng)授權的修改或刪除等操作。4.2流量監(jiān)測與審計網(wǎng)絡入侵檢測主要用于檢測網(wǎng)絡中的惡意探測和惡意攻擊行為，常見有網(wǎng)絡蠕蟲、間諜和木馬軟件、高級持續(xù)性威脅攻擊、口令暴力破解、緩沖區(qū)溢出等各種深度攻擊行為[4]?？梢岳寐┒磼呙柙O備掃描探測操作系統(tǒng)、網(wǎng)絡設備、安全設備、應用系統(tǒng)、中間件、數(shù)據(jù)庫等網(wǎng)絡資產(chǎn)和應用，及時發(fā)現(xiàn)網(wǎng)絡中各種設備和應用的安全漏洞，提出修復和整改建議來保障系統(tǒng)和設備自身的安全性。惡意代碼防護可以檢測、查殺和抵御各種病毒，如蠕蟲病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過安全配置核查設備來及時發(fā)現(xiàn)識別系統(tǒng)設備是否存在不合理的策略配置、系統(tǒng)配置、環(huán)境參數(shù)配置的問題。另外要加強安全審計管理，通常包括日常運維操作安全審計、數(shù)據(jù)庫訪問審計以及所有設備和系統(tǒng)的日志審計，主要體現(xiàn)在對各類用戶的操作行為進行審計和對重要安全事件進行記錄和審計，審計日志的內(nèi)容需要包括事件發(fā)生的確切時間、用戶名稱、事件的類型、事件執(zhí)行情況說明等。

4.3建立統(tǒng)一監(jiān)測管理平臺

根據(jù)等級保護制度要求規(guī)定，重要等級在第二級以上的信息系統(tǒng)需要在網(wǎng)絡中建立統(tǒng)一集中管理中心，通過統(tǒng)一安全管理平臺能夠?qū)W(wǎng)絡設備、安全設備、各類操作系統(tǒng)等的運行狀況、安全日志、配置策略進行集中監(jiān)測、采集、日志范化和歸并處理，平臺可以呈現(xiàn)CBTC系統(tǒng)中各類設備間的訪問關系，形成基于網(wǎng)絡訪問關系、業(yè)務操作指令的工業(yè)控制環(huán)境的行為白名單，從而可以及時識別和發(fā)現(xiàn)未定義的行為以及重要的業(yè)務操作指令的異常行為?？梢栽O置監(jiān)控指標告警閾值，觸發(fā)告警并記錄，對各類報警和日志信息進行關聯(lián)分析和預警通報。

4.4編制網(wǎng)絡安全管理制度

設立安全專屬職能的管理部門和領導者及管理成員的崗位，制定總體安全方針，指明組織機構的總體目標和工作原則。對于安全管理成員的角色設計需按三權分立的原則來規(guī)劃并落實，必須配備專職的安全成員來指導和管理安全的各方面工作。指派專人來制定安全管理制度，而且制度要經(jīng)過上層組織機構評審和正式，保持對下發(fā)制度的定期評審和落實情況的核查。由專人來負責單位內(nèi)人員的招聘錄用工作，對人員的專業(yè)能力、背景及任職資格進行審核和考察，人員錄用時需要跟被錄用人簽訂保密協(xié)議和崗位責任書。編制完善的制度規(guī)范，編制范圍應涵蓋信息系統(tǒng)在規(guī)劃和建設、安全定級與備案、方案設計、開發(fā)與實施、驗收與測試以及完成系統(tǒng)交付的整個生命周期。針對不同系統(tǒng)建設階段分別編制軟件開發(fā)管理規(guī)范、代碼編寫規(guī)范、工程監(jiān)理制度、測試驗收制度，在測試和交付階段記錄和收集各類表單、清單。加強安全運維建設，制定包含物理環(huán)境管理、資產(chǎn)管理、系統(tǒng)設備介質(zhì)管理以及漏洞風險管理等方面的規(guī)范要求，對于機房等辦公區(qū)域的人員進出、設備進出進行記錄和控制，建立資產(chǎn)管理制度規(guī)范系統(tǒng)資質(zhì)的管理與使用行為，保存相關的資產(chǎn)清單，對各種軟硬件資產(chǎn)做好定期維護，對資產(chǎn)采購、領用和發(fā)放制定嚴格的審批流程。針對漏洞做好風險管理，針對發(fā)現(xiàn)的安全問題采取相關的應對措施，形成書面記錄和總結報告。在第三方外包人員管理方面應該與外包運維服務商簽訂第三方運維服務協(xié)議，協(xié)議中應明確外包工作范圍和具體職責。

5結束語

由于工控系統(tǒng)安全性能不高和頻繁爆發(fā)的網(wǎng)絡安全攻擊的趨勢，近年來我國將網(wǎng)絡安全建設提升到了國家安全戰(zhàn)略的高度，并且制定了相關的標準、政策、技術、程序等來積極應對安全風險，業(yè)務主管部門還應進一步強化網(wǎng)絡安全意識，開展網(wǎng)絡安全評估，制定網(wǎng)絡安全策略，提高工控網(wǎng)絡安全水平，確保業(yè)務的安全穩(wěn)定運行。

參考文獻：

[1]石勇，劉巍偉，劉博.工業(yè)控制系統(tǒng)（ICS）的安全研究[J].網(wǎng)絡安全技術與應用，2008（4）.

[2]李?。I(yè)控制系統(tǒng)信息安全管理措施研究[J].自動化與儀器儀表，2014（9）.