- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
电子政务网络安全事件预警应急响应方案
录入:edatop.com 点击:
政府是社会和经济运转的核心,业务职能非常广泛。电子政务作为国家信息化建设的重点工程,利用了现代网络技术,突破部门和区域限制,对于提高政府办公效率、增加政府办公透明度具有重要作用。
1 概述
政府是社会和经济运转的核心,业务职能非常广泛。电子政务作为国家信息化建设的重点工程,利用了现代网络技术,突破部门和区域限制,对于提高政府办公效率、增加政府办公透明度具有重要作用。电子政务网络按敏感级别和业务类型,可划分为:
1、 涉密机要专网
2、 电子政务专网
3、 电子政务外网
电子政务外网是为市民提供政务公开信息和网上服务场所的媒体,直接同因特网连接;政务专网上运行关键的政务应用,是为公务员提供协同办公、信 息传输交互和业务数据处理的网络平台;电子政务专网和政府外网逻辑隔离;涉密机要专网与电子政务专网实行物理隔离、与政府外网实行物理隔离。
2 安全建设问题与需求
随着电子政务的建设发展,各级政府机构对网络安全也日益重视,政务网都对计算机网络采取了一定的安全防护措施,一般是:
有一定的安全方面投入,部署防火墙、防病毒系统等安全设备,有的网络零散部署了入侵检测系统
具有基本的安全管理制度和流程
网络中曾经出现了安全事件;甚至并不清楚网络是否出现过安全问题
分散处理遇到的安全问题
整个单位中安全管理人员的技术水平差异比较大
然而,在进行了一定的安全投资,采购了部分安全产品后,政务网中仍然存在比较多的安全问题,而这些安全问题导致已有的安全投资效果并不明显:
购买的安全设备起不到应有的作用,网络中仍旧频频出现安全事件。
网络出现安全事件时,不能及时发现、无法及时处理。
无法全面了解整个网络中正在发生的内部越权访问和外部攻击。
新出现的网络蠕虫病毒造成了较大的损失,甚至造成工作和业务的停顿,但无法根除。
在网络速度变慢的情况下,无法迅速查明真正的原因。
本系统的各个单位各自为政,没有对遇到的安全问题进行统一考虑,从而不能形成"一盘棋"的安全状态。
从网络安全的本质来看,为了保障政务网的安全,必须及时知道网络中出现的安全问题,把握网络风险,及时处理安全事件。为此,启明星辰公司推出了政务网安全事件预警与应急响应体系,力图真正、彻底解决政务网安全建设中遇到的这些问题。
3 应急响应体系概述
安全事件预警与应急响应体系(Venus Computer Emergency Response Team,简称VeCERT)是启明星辰公司协助客户单位建立的综合体系,是通过整体部署天阗入侵检测与预警系统作为有效的技术手段,建立以客户安全队伍为基础、启明星辰公司技术服务队伍为后备,建设组织管理、预案流程、制度规范等综合措施,以便尽早对有重大危害的计算机和网络安全事件进行发现、分析和确 认,并对其进行响应,以降低可能造成的风险和损失的综合安全体系。
VeCERT响应的安全事件主要是指那些可能在较大范围内发生,传播速度快,影响范围广,造成危害大,紧急发生的网络违规行为。典型的应急响 应安全事件包括网络蠕虫(如Nimda蠕虫、Sql slammer蠕虫)、恶意代码、网络攻击、异常网络流量、异常网络内容等。
这些安全事件的共同特点是:
1、 突发性
2、非典型性
3、 大范围、涉及面广
4、 有重要危害和影响
5、受影响的网络或系统存在显著的脆弱性
6、 需要动员内部和外部力量协同解决
4 应急响应体系建设内容
与政务网的网络体系和行政管理关系状况相适应,VeCERT是分层次建设的。对建设单位来说,应急响应中心建设在总部的相关部门(如信息中 心),各级应急响应单元分布建设在下属的各级单位,共同组成一个分层次的、统一指挥的、协同工作的、一体化的预警与应急响应体系。
VeCERT的建设单位需要建设的和实施主要内容是:部署支撑系统,建立组织结构,制订应急预案、日常流程,建设应急响应知识库。
对客户建立的整个安全事件预警与响应体系来讲,包括了多个这样的单元。各个单元的网络之间是互联互通的,安全事件预警系统之间是上传下达的,日常流程是一致的,应急预案是统一的。
客户最上层的单位作为应急响应中心,在启明星辰的协助下,制订并下发统一的安全事件预警与应急响应策略,各级下属单位遵照应急响应中心的模式和要求进行建设。由于下属单位可能是多级的(如:省、地、县),应急响应体系也是多级的。
启明星辰应急队伍直接负责对客户最上层VeCERT单元(总控中心)的技术支持。
5 支撑系统部署
政务网建设VeCERT的首要步骤是部署应急响应支撑系统。要对应急响应进行有效的支持,VeCERT的支撑系统必须具有如下七大技术功能:
1、预警能力。强大的预警能力是VeCERT正常运行的保障要素。VeCERT不但能够对通用入侵行为进行检测,还要能够监测特定的安全行为,满足不同的特殊应用。
2、分布式部署。是建设VeCERT的基本要素。这是与政务网网络的情况相关的,只有进行整个网络范围内的分布式部署,才能发现重大的安全问题,也才能够进行全网的应急响应。
3、 集中管理。是建设VeCERT的基本要素。与网络的行政管理关系相一致,VeCERT的管理必须分层次控制,组成三级或者更多级的管理结构。总控制中心连 接各级分控制中心,总控中心制定并下发全局入侵管理策略,接收并显示全局网络安全态势;各级控制中心一方面监测本地的安全事件,另一方面作为上级的子控, 或者作为下级的父控,起到"上传下达"的作用。
4 、异常分析。是提升VeCERT有效性的关键要素。对异常流量、异常网络内容等异常行为进行实时分析和报警, 对未知的攻击方式发出预警信号,具有对异常行为的检测能力。
5、 综合分析。是提升VeCERT有效性的关键要素。VeCERT综合分析以下多种关联信息:入侵行为与入侵行为之间的关联性、入侵行为与漏洞之间的关联性、网络行为与主机事件之间的关联性。
6、 入侵管理。是VeCERT运行的核心支撑要素。支撑系统应提高对全局入侵行为的可视化管理,实现良好的可控性、可管理性,具有将入侵检测、漏洞扫描、防火墙、网管等安全产品联合起来,组成入侵防御系统的能力。
7 、及时响应。是VeCERT进行响应的关键要素。具备多样性、灵活性、及时性、有效性的报警和响应方式是能够及时处理安全事件的重要条件。
启明星辰天阗入侵检测系统实现了上述全部技术,是对VeCERT应急响应体系进行支撑的优秀产品。利用天阗入侵监测系统建立全面的黑客入侵防御体系,包括网络入侵检测系统和主机入侵检测系统,分别对网络和重要服务器进行防护。对因为网络蠕虫病毒、黑客事件引起的非授权访问、数据/资源窃取行为进行实时监测和取证,并通过安全策略的定制,最大程度地避免网络受到外部、内部人员的侵害。
同时,应该对网络漏洞、系统漏洞进行定期、不定期的扫描,并针对结果进行漏洞修补和救援。对政务网中要求物理隔离的网络,还要配备专门针对"一机两用"现象的自动监测和自动切断系统,杜绝非法外联现象。
6 应急响应的意义
建设政务网应急响应体系是基于如下的基本认识:
1、 网络安全的保障基础是大规模的检测、预警和响应系统。
2、 应急响应是保障信息网络可生存性的必要手段和措施。
3、 应急响应是积极防御和纵深防御体系中的最后一道防线。
4、 由于技术的因素,信息技术不对称,网络漏洞必然存在。因而,对网络安全事件进行应急响应是必不可少的重要环节。
5、 应急响应是入侵管理过程中的关键环节。
6、 应急响应是降低风险的主动有效措施,是增强积极防御能力的手段。
整个预警与应急响应体系是以入侵检测为核心的,容纳并联合了其它安全防护设备,如防火墙、网络隔离、漏洞扫描、外联检测、拓扑发现等设备,统一进行入侵管理,支撑应急响应体系。
预警与应急响应体系对建设单位、单位的主管领导和技术人员都可以带来好处。对单位来说,应急响应体系可以:
1、 提升安全理念。尤其是全面提高整个单位的系统安全认识,进行全面细致的安全工作部署。
2、降低风险。对网络进行全局范围内的监控,全面了解网络中发生了什么,掌握发生的内部违规事件和外部入侵行为,可以大大降低网络被侵害的风险。
3、 减少损失。出现突发事件时,做到早发现、早确认、迅速定位、全局预警,及时采取措施使网络整体的损失降到最低。不但对已知事件能够快速响应,对未知事件也可及时处理并采取相应措施。
4、 完善安全体系。以入侵检测为核心,联合防火墙、漏洞扫描、入侵验证、违规外联监控等其它安全产品,进行入侵管理,对发生的安全事件进行应急响应,建立整个系统"一盘棋"的安全预警与响应体系。
5、 深入挖掘自身安全需求。有助于明确安全投入重点,量化安全投入、有效投入,让安全措施真正起到有效的作用。
单位的安全主管领导通过应急响应体系,可以:
第一时间了解网络的安全形势。网络中发生了哪些类型的安全事件,有哪些主要的外部入侵行为,有哪些类型的内部违规行为等等,这些安全事件经总结、提升后,第一时间反馈给主管领导,及时了解当前网络的安全形势。
把握安全趋势。VeCERT关注的不仅仅是单个的、局部的安全事件,而是结合客户网络的分布式特点,结合客户网络管理的分级管理、集中监控特点,监测并综合报告全局化的安全趋势,从而把握整个单位的整体网络安全态势。
明确安全责任。对分布在全国各地、管理复杂的网络系统来说,在网络中出现安全事件后,通过VeCERT体系能够迅速定位安全事件的来源,明确安全事件发生的范围,确认网络系统受损害程度,进而明确安全责任。
对安全技术人员来说,应急响应体系的建设可以:
及时发现安全事件。网络中发生了什么安全事件,有哪些外部入侵行为,是否有人对重要的服务器进行攻击,是否有人在进行嗅探… …所有这些突发的安全问题,都能够及时发现。
快速定位安全问题。针对安全事件采取有效措施进行处理,集中监控网络蠕虫等特殊事件,了解并制止潜在的内外攻击行为,及时发现并清除网络病毒、恶意代码。
更好地利用网络安全设备。组成以入侵检测为核心的安全产品联盟,与网络入侵检测、主机入侵检测、网络漏洞扫描、综合审计、防火墙等安全产品互动,形成综合分析的安全报告,更好地让这些安全设备起到应有的作用。
总之,对网络中的安全事件"看得清、管得住"是建立应急响应体系的根本好处。同时,通过启明星辰的服务,能够与国家的应急响应体系连成一体,以最快的速度得到国家安全事件处理信息,进行及时响应和反馈,迅速使问题得到解决。
1 概述
政府是社会和经济运转的核心,业务职能非常广泛。电子政务作为国家信息化建设的重点工程,利用了现代网络技术,突破部门和区域限制,对于提高政府办公效率、增加政府办公透明度具有重要作用。电子政务网络按敏感级别和业务类型,可划分为:
1、 涉密机要专网
2、 电子政务专网
3、 电子政务外网
电子政务外网是为市民提供政务公开信息和网上服务场所的媒体,直接同因特网连接;政务专网上运行关键的政务应用,是为公务员提供协同办公、信 息传输交互和业务数据处理的网络平台;电子政务专网和政府外网逻辑隔离;涉密机要专网与电子政务专网实行物理隔离、与政府外网实行物理隔离。
2 安全建设问题与需求
随着电子政务的建设发展,各级政府机构对网络安全也日益重视,政务网都对计算机网络采取了一定的安全防护措施,一般是:
有一定的安全方面投入,部署防火墙、防病毒系统等安全设备,有的网络零散部署了入侵检测系统
具有基本的安全管理制度和流程
网络中曾经出现了安全事件;甚至并不清楚网络是否出现过安全问题
分散处理遇到的安全问题
整个单位中安全管理人员的技术水平差异比较大
然而,在进行了一定的安全投资,采购了部分安全产品后,政务网中仍然存在比较多的安全问题,而这些安全问题导致已有的安全投资效果并不明显:
购买的安全设备起不到应有的作用,网络中仍旧频频出现安全事件。
网络出现安全事件时,不能及时发现、无法及时处理。
无法全面了解整个网络中正在发生的内部越权访问和外部攻击。
新出现的网络蠕虫病毒造成了较大的损失,甚至造成工作和业务的停顿,但无法根除。
在网络速度变慢的情况下,无法迅速查明真正的原因。
本系统的各个单位各自为政,没有对遇到的安全问题进行统一考虑,从而不能形成"一盘棋"的安全状态。
从网络安全的本质来看,为了保障政务网的安全,必须及时知道网络中出现的安全问题,把握网络风险,及时处理安全事件。为此,启明星辰公司推出了政务网安全事件预警与应急响应体系,力图真正、彻底解决政务网安全建设中遇到的这些问题。
3 应急响应体系概述
安全事件预警与应急响应体系(Venus Computer Emergency Response Team,简称VeCERT)是启明星辰公司协助客户单位建立的综合体系,是通过整体部署天阗入侵检测与预警系统作为有效的技术手段,建立以客户安全队伍为基础、启明星辰公司技术服务队伍为后备,建设组织管理、预案流程、制度规范等综合措施,以便尽早对有重大危害的计算机和网络安全事件进行发现、分析和确 认,并对其进行响应,以降低可能造成的风险和损失的综合安全体系。
VeCERT响应的安全事件主要是指那些可能在较大范围内发生,传播速度快,影响范围广,造成危害大,紧急发生的网络违规行为。典型的应急响 应安全事件包括网络蠕虫(如Nimda蠕虫、Sql slammer蠕虫)、恶意代码、网络攻击、异常网络流量、异常网络内容等。
这些安全事件的共同特点是:
1、 突发性
2、非典型性
3、 大范围、涉及面广
4、 有重要危害和影响
5、受影响的网络或系统存在显著的脆弱性
6、 需要动员内部和外部力量协同解决
4 应急响应体系建设内容
与政务网的网络体系和行政管理关系状况相适应,VeCERT是分层次建设的。对建设单位来说,应急响应中心建设在总部的相关部门(如信息中 心),各级应急响应单元分布建设在下属的各级单位,共同组成一个分层次的、统一指挥的、协同工作的、一体化的预警与应急响应体系。
VeCERT的建设单位需要建设的和实施主要内容是:部署支撑系统,建立组织结构,制订应急预案、日常流程,建设应急响应知识库。
对客户建立的整个安全事件预警与响应体系来讲,包括了多个这样的单元。各个单元的网络之间是互联互通的,安全事件预警系统之间是上传下达的,日常流程是一致的,应急预案是统一的。
客户最上层的单位作为应急响应中心,在启明星辰的协助下,制订并下发统一的安全事件预警与应急响应策略,各级下属单位遵照应急响应中心的模式和要求进行建设。由于下属单位可能是多级的(如:省、地、县),应急响应体系也是多级的。
启明星辰应急队伍直接负责对客户最上层VeCERT单元(总控中心)的技术支持。
5 支撑系统部署
政务网建设VeCERT的首要步骤是部署应急响应支撑系统。要对应急响应进行有效的支持,VeCERT的支撑系统必须具有如下七大技术功能:
1、预警能力。强大的预警能力是VeCERT正常运行的保障要素。VeCERT不但能够对通用入侵行为进行检测,还要能够监测特定的安全行为,满足不同的特殊应用。
2、分布式部署。是建设VeCERT的基本要素。这是与政务网网络的情况相关的,只有进行整个网络范围内的分布式部署,才能发现重大的安全问题,也才能够进行全网的应急响应。
3、 集中管理。是建设VeCERT的基本要素。与网络的行政管理关系相一致,VeCERT的管理必须分层次控制,组成三级或者更多级的管理结构。总控制中心连 接各级分控制中心,总控中心制定并下发全局入侵管理策略,接收并显示全局网络安全态势;各级控制中心一方面监测本地的安全事件,另一方面作为上级的子控, 或者作为下级的父控,起到"上传下达"的作用。
4 、异常分析。是提升VeCERT有效性的关键要素。对异常流量、异常网络内容等异常行为进行实时分析和报警, 对未知的攻击方式发出预警信号,具有对异常行为的检测能力。
5、 综合分析。是提升VeCERT有效性的关键要素。VeCERT综合分析以下多种关联信息:入侵行为与入侵行为之间的关联性、入侵行为与漏洞之间的关联性、网络行为与主机事件之间的关联性。
6、 入侵管理。是VeCERT运行的核心支撑要素。支撑系统应提高对全局入侵行为的可视化管理,实现良好的可控性、可管理性,具有将入侵检测、漏洞扫描、防火墙、网管等安全产品联合起来,组成入侵防御系统的能力。
7 、及时响应。是VeCERT进行响应的关键要素。具备多样性、灵活性、及时性、有效性的报警和响应方式是能够及时处理安全事件的重要条件。
启明星辰天阗入侵检测系统实现了上述全部技术,是对VeCERT应急响应体系进行支撑的优秀产品。利用天阗入侵监测系统建立全面的黑客入侵防御体系,包括网络入侵检测系统和主机入侵检测系统,分别对网络和重要服务器进行防护。对因为网络蠕虫病毒、黑客事件引起的非授权访问、数据/资源窃取行为进行实时监测和取证,并通过安全策略的定制,最大程度地避免网络受到外部、内部人员的侵害。
同时,应该对网络漏洞、系统漏洞进行定期、不定期的扫描,并针对结果进行漏洞修补和救援。对政务网中要求物理隔离的网络,还要配备专门针对"一机两用"现象的自动监测和自动切断系统,杜绝非法外联现象。
6 应急响应的意义
建设政务网应急响应体系是基于如下的基本认识:
1、 网络安全的保障基础是大规模的检测、预警和响应系统。
2、 应急响应是保障信息网络可生存性的必要手段和措施。
3、 应急响应是积极防御和纵深防御体系中的最后一道防线。
4、 由于技术的因素,信息技术不对称,网络漏洞必然存在。因而,对网络安全事件进行应急响应是必不可少的重要环节。
5、 应急响应是入侵管理过程中的关键环节。
6、 应急响应是降低风险的主动有效措施,是增强积极防御能力的手段。
整个预警与应急响应体系是以入侵检测为核心的,容纳并联合了其它安全防护设备,如防火墙、网络隔离、漏洞扫描、外联检测、拓扑发现等设备,统一进行入侵管理,支撑应急响应体系。
预警与应急响应体系对建设单位、单位的主管领导和技术人员都可以带来好处。对单位来说,应急响应体系可以:
1、 提升安全理念。尤其是全面提高整个单位的系统安全认识,进行全面细致的安全工作部署。
2、降低风险。对网络进行全局范围内的监控,全面了解网络中发生了什么,掌握发生的内部违规事件和外部入侵行为,可以大大降低网络被侵害的风险。
3、 减少损失。出现突发事件时,做到早发现、早确认、迅速定位、全局预警,及时采取措施使网络整体的损失降到最低。不但对已知事件能够快速响应,对未知事件也可及时处理并采取相应措施。
4、 完善安全体系。以入侵检测为核心,联合防火墙、漏洞扫描、入侵验证、违规外联监控等其它安全产品,进行入侵管理,对发生的安全事件进行应急响应,建立整个系统"一盘棋"的安全预警与响应体系。
5、 深入挖掘自身安全需求。有助于明确安全投入重点,量化安全投入、有效投入,让安全措施真正起到有效的作用。
单位的安全主管领导通过应急响应体系,可以:
第一时间了解网络的安全形势。网络中发生了哪些类型的安全事件,有哪些主要的外部入侵行为,有哪些类型的内部违规行为等等,这些安全事件经总结、提升后,第一时间反馈给主管领导,及时了解当前网络的安全形势。
把握安全趋势。VeCERT关注的不仅仅是单个的、局部的安全事件,而是结合客户网络的分布式特点,结合客户网络管理的分级管理、集中监控特点,监测并综合报告全局化的安全趋势,从而把握整个单位的整体网络安全态势。
明确安全责任。对分布在全国各地、管理复杂的网络系统来说,在网络中出现安全事件后,通过VeCERT体系能够迅速定位安全事件的来源,明确安全事件发生的范围,确认网络系统受损害程度,进而明确安全责任。
对安全技术人员来说,应急响应体系的建设可以:
及时发现安全事件。网络中发生了什么安全事件,有哪些外部入侵行为,是否有人对重要的服务器进行攻击,是否有人在进行嗅探… …所有这些突发的安全问题,都能够及时发现。
快速定位安全问题。针对安全事件采取有效措施进行处理,集中监控网络蠕虫等特殊事件,了解并制止潜在的内外攻击行为,及时发现并清除网络病毒、恶意代码。
更好地利用网络安全设备。组成以入侵检测为核心的安全产品联盟,与网络入侵检测、主机入侵检测、网络漏洞扫描、综合审计、防火墙等安全产品互动,形成综合分析的安全报告,更好地让这些安全设备起到应有的作用。
总之,对网络中的安全事件"看得清、管得住"是建立应急响应体系的根本好处。同时,通过启明星辰的服务,能够与国家的应急响应体系连成一体,以最快的速度得到国家安全事件处理信息,进行及时响应和反馈,迅速使问题得到解决。