網絡安全事件定義精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網絡安全事件定義主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網絡安全事件定義范文

（一）網絡安全事件流中主機的異常檢測所引發的安全事件。

主機異常所帶來的危害包括：計算機病毒、蠕蟲、特洛伊木馬、破解密碼、未經授權進行文件訪問等情況，導致電腦死機或文件泄露等危害。

（二）主機異常檢測的原理及指標確定。

當前，隨著科技的不斷發展，主機可以自主進行檢測，同時及時、準確地對問題進行處理。如果內部文件出現變化時，主機自行將新記錄的內容同原始數據進行比較，查詢是否符合標準，如果答案為否定，則立刻向管理人員發出警報。

（三）主機異常檢測的優點。

1.檢測特定的活動。主機的異常檢測可以對用戶的訪問活動進行檢測，其中包含對文件的訪問，對文件的轉變，建立新文件等。

2.可以檢測出網絡異常檢測中查詢不出的問題。主機的異常檢測可以查詢出網絡異常檢測所查詢不出的問題，例如：主服務器鍵盤的問題就未經過網絡，從而躲避了網絡異常檢測，但卻可被主機異常檢測所發現。

（四）主機異常檢測的缺點。

主機異常檢測不能全面提供實時反應，盡管其反應速度也非常快捷，接近實時，但從操作系統的記錄到判斷結果之間會存在一定的延時情況。

二、網絡安全事件流中漏洞的異常檢測

（一）網絡安全事件流中漏洞的異常所引發的安全事件。

網絡中的操縱系統存在一定的漏洞，這就給不法人員造就了機會。漏洞檢測技術產生的安全事件包含：對文件的更改、數據庫、注冊號等的破壞、系統崩潰等問題。

（二）漏洞異常檢測的方法及指標確定。

漏洞的檢測方法可以歸納為：白盒檢測、黑盒檢測及灰盒檢測三種。白盒檢測在獲取軟件代碼下進行那個檢測；黑盒檢測在無法獲取軟件代碼，只利用輸出的結果進行檢測；灰盒檢測則介于兩種檢測方法之間，利用RE轉化二進制代碼為人們可以利用的文件，管理人員可以通過找尋指令的入口點發現漏洞的位置。

（三）漏洞異常檢測的優缺點。

第2篇：網絡安全事件定義范文

關鍵詞：網絡安全；評價系統；設計；實現

一、網絡安全態勢感知

態勢感知（Situation Awareness）這一概念源于航天飛行的人因（Human Factors）研究，此后在軍事戰場、核反應控制、空中交通監管（Air Traffic Control，ATC）以及醫療應急調度等領域被廣泛地研究。Endsley在1995年把態勢感知（Situation Awareness）定義為感知在一定的時間和空間環境中的元素，包括它們現在的狀況和它們未來的發展趨勢。Endsleys把態勢感知分成3個層次（如圖1所示）的信息處理：（1）要素獲取：感知和獲取環境中的重要線索或元素，這是態勢感知最基礎的一步；（2）理解：整合感知到的數據和信息，分析其相關性；（3）預測：基于對環境信息的感知和理解，預測未來的發展趨勢，這是態勢感知中最高層次的要求。

圖1態勢感知的三級模型

而網絡態勢感知則源于空中交通監管（Air Traffic Control，ATC）態勢感知（Mogford R H,1997），是一個比較新的概念，并且在這方面開展研究的個人和機構也相對較少。1999年，Tim Bass首次提出了網絡態勢感知（Cyberspace Situation Awareness）這個概念（Bass T, 2000），并對網絡態勢感知與ATC態勢感知進行了類比，旨在把ATC態勢感知的成熟理論和技術借鑒到網絡態勢感知中去。目前，對網絡態勢感知還未能給出統一的、全面的定義。IATF網站中提出，所謂的網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。值得注意的是，態勢是一種狀態，一種趨勢，是一個整體和全局的概念，任何單一的情況或狀態都不能稱之為態勢。因此，網絡態勢感知是在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。

圖2網絡安全態勢感知系統框架

基于態勢感知的三級模型，譚小彬等（2008）提出了一種網絡安全態勢感知系統的設計框架，如圖2所示。該系統首先通過多傳感器采集網絡系統的各種信息，然后通過精確的數學模型刻畫網絡系統的當前的安全態勢值及其變化趨勢。此外，該系統還給出針對當前狀態的網絡系統的安全加方案，加固方案指導用戶減少威脅和修復脆弱性，從而提高系統的安全態勢。此外該系統還給出針對當前狀態的網絡系統的安全加固方案，加固方案指導用戶減少威脅和修復脆弱性，從而提高網絡系統的安全態勢。

二、網絡信息系統安全測試評估支撐平臺

網絡信息系統安全測試評估支撐平臺由管理控制、資產識別、在線測試、安全事件驗證、滲透測試、惡意代碼檢測、脆弱性檢測和安全態勢評估與預測等八個子系統組成，如圖3所示。各子系統采用松耦合結構，以數據交互作為聯系方式，能夠獨立進行測試或評估。

圖3支撐平臺的組成

三、網絡安全評估系統的實現

網絡安全評估系統由六個子系統組成，其中一個管理控制子系統,一個態勢評估與預測子系統，其他都是各種測試子系統。由于網絡安全評估是本文的重點，所以本章主要介紹態勢評估與預測子系統的實現，其他子系統的實現在本文不作介紹。

3.1風險評估中的關鍵技術

在風險評估模塊中，風險值將采用兩種模型計算，分別是矩陣模型和加權模型：

（1）矩陣模型。

該模型是GB/T 20984《信息安全風險評估規范》中提出的一種模型，采用該模型主要是為了方便以往使用其它風險評估系統的用戶，使他們能夠很快地習慣本評估系統。矩陣模型主要由三步組成，首先通過安全事件可能性矩陣計算安全事件的可能性，該步以威脅發生的可能性和脆弱性嚴重程度作為輸入，在安全事件可能性矩陣直接查找對應的安全事件的可能性,然后將結果映射到5個等級。

（2）加權模型。

基于加權的風險評估模型在總體框架和基本思路上，與GB/T20984所提出的典型風險評估模型一致，不同之處主要在于對安全事件作用在風險評估中的處理，通過引入加權，進而明確滲透測試和安全事件驗證在風險評估中的定性和定量分析作用。該模型認為，已發生的安全事件和證明能夠發生的安全事件，在風險評估中的作用應該得到加強。其原理如圖4所示。

圖4加權模型

3.2態勢評估中的關鍵技術

態勢評估中采用多層次多角度的網絡安全風險評估方法作為設計理念，向用戶展現了多個層次、多個角度的態勢評估。在角度上體現為專題角度、要素角度和綜合角度，通過專題角度，用戶可以深入了解威脅、脆弱性和資產的所有信息；通過要素角度，用戶可以了解保密性、完整性和可用性這三個安全要素方面的態勢情況；通過綜合角度用戶可以了解系統的綜合態勢情況。在層次上體現為對威脅、脆弱性和資產的不同層次的劃分，通過總體層次，用戶可以了解所有威脅、脆弱性和資產的態勢情況；通過類型層次，用戶可以了解不同威脅類型、脆弱性類型和資產類型的態勢情況；通過細微層次，用戶可以了解每一個威脅、脆弱性和資產的態勢情況。

對于態勢值的計算，參考了風險值計算的原理，并在此基礎上加入了Markov博弈分析，使得態勢值的計算更加入微，有關Markov博弈分析的理論在第3章中作了詳細介紹。通過Markov博弈分析的理論，可以計算出每一個威脅給系統態勢帶來的影響，但系統中往往有許多的威脅，所有我們需要對所有的威脅帶來的影響做出處理，而不能將他們帶來的影響簡單地相加，否則2個中等級的威脅對態勢的影響將大于一個高等級的威脅對態勢的影響，這是不合理的。在本系統中，我們采用了如下公式來對它們進行處理。

其中S為系統的總體態勢值，為第個威脅造成的態勢值，為系統中所有的威脅集合。

結語

網絡系統安全評估是一個年輕的研究課題，特別是其中的網絡態勢評估，現在才剛剛起步，本文對風險評估和態勢評估中的關鍵技術進行了研究，取得了一定的研究成果，但仍存在一些待完善的工作。網絡安全態勢評估中，對與安全態勢值沒有一個統一的標準，普通用戶將很難對安全態勢值 有一個直觀的認識，只能通過多次態勢評估的結果比較，了解網絡安全態勢的走向。在本系統的態勢評估中僅對安全態勢值作了一個簡單的等級映射，該部分還需要進一步完善。

第3篇：網絡安全事件定義范文

關鍵詞：技術；管理；內網安全

引言

網絡沒有絕對的安全。只有相對的安全，這與互聯網設計本身有一定關系。現在我們能做的只是盡最大的努力，使網絡相對安全。在已經發生的網絡安全事件中，有超過70％是發生在內網上的，內網資源的誤用、濫用和惡用，是內網面臨的最大的三大威脅。隨著網絡技術的不斷發展。內網安全將面臨著前所未有的挑戰。

一、網絡安全含義

網絡安全的定義為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。我們可以理解為：通過采用各種技術和管理措施，使網絡系統正常運行，從而確保網絡數據的可用性、完整性和保密性。

二、內外網絡安全的區別

建立網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據不會發生增加、修改、丟失和泄露等。而常規安全防御理念往往局限于網關級別、網絡邊界等方面的防御。隨著越來越多安全事件由內網引發，內網安全也成了大家關注的焦點。

外網安全主要防范外部入侵或者外部非法流量訪問，技術上也以防火墻、入侵檢測等防御角度出發的技術為主。內網在安全管理上比外網要細得多。同時技術上內網安全通常采用的是加固技術，比如設置訪問控制、身份管理等。

三、內網安全技術防范措施

內網安全首先應采用技術方法，有效保護內網核心業務的安全。

1　關掉無用的網絡服務器，建立可靠的無線訪問。

2　限制VPN的訪問，為合作網絡建立內網型的邊界防護。

3　在邊界展開黑客防護措施，建立并加強內網防范策略。

4　建立安全過客訪問，重點保護重要資源。

另外在技術上采用安全交換機、重要數據的備份、使用網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等措施也不可缺少。

四、內網安全管理措施

內網安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。而內網90％以上的組成為客戶端，所以對客戶端的管理當之無愧地成為內網安全的重中之重，目前內網客戶端存在的問題主要包括以下幾點：

1　非法外聯問題

通常情況下，內網(Intranet)和外網(Internet)之間有防火墻、防病毒墻等安全設備保障內網的安全性。但若內部人員使用撥號、寬帶等方式接入外網，使內網與外網間開出新的連接通道，外部的黑客攻擊或者病毒就能夠繞過原本連接在內、外網之間的防護屏障，順利侵入非法外聯的計算機，盜竊內網的敏感信息和機密數據，甚至利用該機作為跳板，攻擊、傳染內網的重要服務器，導致整個內網工作癱瘓。

2　使用軟件違規問題

內部人員在計算機上安裝使用盜版軟件，不但引入了潛在的安全漏洞，降低了計算機系統的安全系數，還有可能惹來知識產權的麻煩。有些內部人員出于好奇心或者惡意破壞的目的，在內部計算機上安裝使用黑客軟件，從內部發起攻擊。還有些內部人員安全意識淡薄，不安裝指定的防毒軟件等。這些行為都對內網安全構成了極大的威脅。

3　計算機外部設備管理

如果不加限制地讓內部人員在內網計算機上安裝、使用可移動的存儲設備如光驅、USB接口的閃盤、移動硬盤、數碼相機等。將會通過移動存儲介質間接地與外網進行數據交換，導致病毒的傳入或者敏感信息、機密數據的傳播與泄漏。

建立可控、可信內部網絡，管理好客戶端，我們必須從以下幾方面著手：

1　完善規章制度

因為管理的制度化程度極大地影響著整個網絡信息系統的安全，嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。

2　建立適用的資產、信息管理

對接入內網的計算機的用戶信息進行登記注冊。在發生安全事件時能夠以最快速度定位到具體的用戶，對于未進行登記注冊的將其隔離；收集客戶端與安全相關的一些系統信息，包括：操作系統版本、操作系統補丁、軟硬件變動等信息，同時針對這些收集的信息進行統計和分析，了解內網安全狀況。

3　加強客戶端進程、設備的有效管理

對搜集來的計算機軟、硬件信息，形成內網計算機的軟件資產報表，從而使管理員了解各計算機軟、硬件及變化信息。及時發現安全隱患并予以解決。同時，配置軟件運行預案，指定內網計算機必須運行的軟件和禁止運行的軟件，從而對計算機的軟件運行情況進行檢查，對未運行必須軟件的情況發出報警，終止已運行的禁用軟件的進程。

第4篇：網絡安全事件定義范文

當前移動互聯網、大數據及云技術等更新進程不斷加快，數據量成指數級增長，人們對于大數據時代下網絡安全的相關問題也越來越關注。信息技術創新發展伴隨的安全威脅與傳統安全問題相互交織，使得網絡空間安全問題日益復雜隱蔽，面臨的網絡安全風險不斷加大，各種網絡攻擊事件層出不窮。2016年，我國互聯網網絡安全狀況總體平穩，未出現影響互聯網正常運行的重大網絡安全事件，但移動互聯網惡意程序數量持續高速上漲且具有明顯趨利性；來自境外的針對我國境內的網站攻擊事件頻繁發生；聯網智能設備被惡意控制，并用于發起大流量分布式拒絕服務攻擊的現象更加嚴重；網站數據和個人信息泄露帶來的危害不斷擴大；欺詐勒索軟件在互聯網上肆虐；具有國家背景黑客組織發動的高級持續性威脅（APT）攻擊事件直接威脅了國家安全和穩定。由于大數據網絡安全攻擊事件仍呈高發態勢，而且內容多又復雜，利用大數據分析技術特有的特點，為大規模網絡安全事件監測分析提供計算支撐力量，并且對海量的基礎數據進行深度挖掘及分析處理，及時監測發現網絡安全事件，實現對整體網絡安全態勢的感知。

二、大數據基本概述及分析技術

（一）大數據基本概述

隨著信息技術全面融入社會生活，整個世界的信息量正在不斷增多，而且增長的速度也在不斷加快。所謂的大數據是指無法在一定時間范圍內用常規軟件工具進行獲取、存儲、管理和處理分析的數據集合，是需要新處理模式才能具有更強的決策力、洞察發現力和流程優化能力的海量、高增長率和多樣化的信息資產。大數據的規模之大，其在獲取、存儲、分析等方面已經遠遠超出傳統軟件工具能力范圍，業界通常用4個V(即Volume、Variety、Value、Velocity)來概括大數據的特征，分別是大量化，多樣化，快速化，價值密度低。

（二）HadoopMapReduce大數據技術

Hadoop除了提供為大家所共識的HDFS分布式數據存儲功能之外，還提供了叫做MapReduce的數據處理功能。HadoopMapReduce是一種編程模型，用于大規模數據集（大于1TB）的并行運算。概念"Map（映射）"和"Reduce（歸約）"，其來源于函數式編程語言或者矢量編程語言里的特性。Mapreduce是一個計算框架，其表現形式就是具有一個輸入（input），mapreduce操作這個輸入（input），通過本身定義好的計算模型，得到一個輸出（output），這個輸出就是最終需要的結果，計算模型如下圖所示：

（三）Spark大數據分析技術

Spark是一個基于內存計算的開源的集群(分布式）計算系統，Spark非常小巧玲瓏，由加州伯克利大學AMP實驗室的Matei為主的小團隊所開發。使用的語言是Scala，項目的core部分的代碼只有63個Scala文件，非常短小精悍。由于是基于內存計算，效率要高于擁有Hadoop，Job中間輸出和結果可以保存在內存中，從而不再需要讀寫HDFS，節省了磁盤IO耗時，號稱性能比Hadoop快100倍。Spark是繼HadoopMap-Reduce之后新興的基于內存的大數據計算框架，相對于HadoopMapReduce來說，Spark具有一定的優勢。一是計算速度快。大數據處理首先追求的是速度。官方指出“Spark允許Hadoop集群中的應用程序在內存中以100倍的速度運行，即使在磁盤上運行也能快10倍”。二是應用靈活。Spark在簡單的Map及Reduce操作之外，還支持SQL查詢、流式查詢及復雜查詢，比如開箱即用的機器學習算法。同時，用戶可以在同一個工作流中無縫地搭配這些能力，應用十分靈活。三是兼容性好。Spark可以獨立運行，除了可以運行在當下的YARN集群管理外，還可以讀取已有的任何Hadoop數據。它可以運行在任何Hadoop數據源上，比如HBase、HDFS等。四是Spark比Hadoop更通用。Spark提供了大量的庫，包括SQL、DataFrames、MLlib、GraphX、SparkStreaming。開發者可以在同一個應用程序中無縫組合使用這些庫。五是實時處理性能強。Spark很好地支持實時的流計算，依賴SparkStreaming對數據進行實時處理。SparkStreaming具備功能強大的API，允許用戶快速開發流應用程序。而且不像其他的流解決方案，比如Storm，SparkStreaming無須額外的代碼和配置，就可以做大量的恢復和交付工作。隨著UCBerkeleyAMPLab推出的新一代大數據平臺Spark系統的出現和逐步發展成熟，近年來國內外開始關注在Spark平臺上如何實現各種機器學習和數據挖掘并行化算法設計。

三、基于Spark技術的網絡安全大數據分析平臺

（一）大數據分析平臺整體架構

本文提出了基于Spark技術的網絡大數據分析平臺，該平臺分為五層，即數據接入層、解析處理層、后臺分布式數據存儲系統層、數據挖掘分析層、接口層，整體架構圖如圖3。其中，數據接入層提供多源數據的接入。解析處理層負責對接入的多源數據進行解析。后臺分布式數據存儲系統層負責所有數據的存儲、讀取和更新的功能，提供基本的API供上層調用。數據挖掘分析層基于Spark等引擎，實現分布式數據關聯分析、特征提取、統計分析等安全事件挖掘能力，同時提供實時檢索與溯源能力。接口層為用戶可以查詢的功能，其中包括數據上傳、查看、任務的生成、參數設定等。

（二）網絡安全大數據分析平臺實現相關技術

表1網絡安全大數據分析平臺實現相關技術結語總而言之，當前基于大數據下的網絡安全面臨著越來越多的挑戰，因此我們必須高度重視大數據時代下網絡安全問題，應對好大數據分析處理工作。本文從當前網絡安全現狀及面臨的問題出發，淺析HadoopMapReduce和Spark大數據分析技術，提出基于Spark技術的網絡安全大數據分析平臺，實現對海量數據的快速分析，該平臺具有高效、高可擴展性，具有很強的適應性。

作者:陳平陽 單位:國家互聯網應急中心福建分中心

參考文獻：

［1］國家計算機網絡應急技術處理協調中心。《2016年我國互聯網網絡安全態勢綜述》。2016.04.19

［2］鄧坤。基于大數據時代下的網絡安全問題分析。《課程教育研究:學法教法研究》，2016(18):15-15

第5篇：網絡安全事件定義范文

關鍵詞 業務平臺；安全事件

中圖分類號：TN92 文獻標識碼：A 文章編號：1671-7597（2013）17-0083-02

伴隨著互聯網技術的不斷進步，人們的日常生活與互聯網聯系的越來越緊密，網絡安全問題也越來越突出。“5.19暴風影音攻擊DNS事件”、“百度域名劫持事件”等惡性安全事件頻頻發生，同時央視“3.15”晚會等媒體也針對網絡安全問題進行過多次報道，網絡安全問題已經成為了一個社會話題。業務平臺作為信息社會的重要組成部分以及通信運營企業新生的效益增長點，其安全問題就顯得尤為重要。

根據中國互聯網絡信息中心（CNNIC）2008年《第23次中國互聯網絡發展狀況統計報告》，2008年新增病毒、木馬數量13899717個，相比2007年增長了48倍；國家互聯網應急中心（CNCERT）監測發現大陸地區外98230個主機地址參與控制我國大陸被植入木馬的計算機，與07年相比增長26.4%。“病毒經濟”、“木馬產業”等灰色產業鏈的形成，更是對2009年的網絡安全維護工作提出了嚴峻的挑戰。

1 原因分析

業務平臺安全性可從規程、人員、技術3個方面查找末端原因，如圖1所示。

2 確定主要原因

確認要因（一）：

1）確認內容：部門增值業務平臺安全管理制度是否存在不完善。

2）確認方法：小組成員討論核對。

3）確認標準：安全管理制度完善、合理，具備可操作性。

確認要因（二）：

1）確認內容：部門增值業務平臺安全管理制度是否執行到位。

2）確認方法：現場調查。

3）確認標準：檢查增值業務平臺各項安全設置符合安全管理制度，相關記錄表格填寫全面、詳細。

確認要因（三）：

1）確認內容：維護人員技術水平不足。

2）確認方法：組織員工進行系統平臺安全維護知識測試。

3）確認標準：通過組織員工進行測試，員工對防火墻、網絡、操作系統、中間件及應用層面安全維護知識測試結果均在合格以上。

確認要因（四）：

1）確認內容：維護人員安全意識不到位。

2）確認方法：組織員工進行系統平臺安全管理制度規范測試。

3）確認標準：通過組織員工進行測試，員工對系統平臺安全管理制度規范掌握情況良好。

確認要因（五）：

1）確認內容：維護手段落后，維護工作效率不高。

2）確認方法：現場考察，計算用于安全維護工作的工作量。

3）確認標準：每月用于安全維護工作的工作量不超過總工作量的10%。

確認要因（六）：

1）確認內容：平臺防火墻策略不嚴格。

2）確認方法：現場檢查。

3）確認標準：各業務平臺防火墻策略嚴格，未開放不必要端口。

確認要因（七）：

1）確認內容：部分網絡攻擊缺乏防御手段。

2）確認方法：現場檢查年度安全事件記錄，組織技術交流，對現有平臺安全設備進行評估。

3）確認標準：各平臺安全設備能夠對主流攻擊、入侵、病毒等安全事件做出有效防御。

確認要因（八）：

1）確認內容：應用程序層存在漏洞。

2）確認方法：現場檢查，組織漏洞掃描設備技術交流，對平臺進行漏洞掃描。

3）確認標準：各平臺沒有高危安全漏洞。

確認要因（九）：

1）確認內容：攻擊手段更新快，新手段層出不窮。

2）確認方法：檢查平臺安全防護設備技術更新情況。

3）確認標準：業務平臺安全防護設備具備定期更新功能。

確認要因（十）：

1）確認內容：監控告警不及時。

2）確認方法：分析歷史安全事件記錄，檢查告警及時率。

3）確認標準：對于網管系統監控到的各類安全事件，網管系統能夠產生及時、準確的告警。

確認要因（十一）：

1）確認內容：監控告警不可靠。

2）確認方法：分析歷史安全事件記錄，檢查告警準確率。

3）確認標準：年度部門內安全事件告警率。

確認要因（十二）：

1）確認內容：安全審計工作復雜，難度高

2）確認方法：現場調查。

3）確認標準：員工能夠熟練完成安全審計工作，能夠排查出系統安全隱患和系統安全事件。

確認要因（十三）：

1）確認內容：安全日志存在篡改可能。

2）確認方法：現場檢查。

3）確認標準：各設備系統日志、審計日志能夠實現異地備份。

3 制定與實施對策

3.1 發掘先進網管監控手段，提高維護工作效率

選擇網管監控系統作為業務平臺全局網管監控系統，對增值平臺實施全方位監控。更換平臺內單機版防病毒軟件為Symantec Endpoint Protection網絡版，通過集中管理界面對所有服務器設備的病毒定義更新、病毒感染情況進行管理，并對平臺內安全風險情況做出評估，有效的簡化了服務器病毒管理工作。

3.2 部署新型安全防護設備——IPS

選擇IPS安全防護產品。該產品采用串接方式接入平臺互聯網總出口位置，平時可用于核心業務平臺的IPS安全防護，在某業務平臺遭受攻擊時，可以臨時將IPS串接至該平臺進行安全防護。

3.3 優化網管監控體系，提高網管系統可靠性

針對集中式CACTI監控系統出現斷網、流量異常時，有可能無法正常監控的現象，以及全網監控粒度較大的弊端，實施分布式CACTI監控軟件的部署。

傳統網管系統針對網絡是否暢通、設備是否存活層面的監控功能，不能完全實現對系統平臺安全事件的告警。因此，在各系統平臺部署Solarwinds、Hp OpenView等能夠對設備性能、資源實現閾值監控的網管監控軟件，當出現設備資源過度消耗、流量突增等可疑事件時，能夠實現監控告警。

3.4 為業務平臺配置漏洞掃描設備

選擇漏洞掃描設備對各平臺對外IP進行系統漏洞掃描，并利用Webravor漏掃軟件，對各平臺應用服務進行漏洞掃描，根據掃描結果，對各平臺進行安全漏洞整改。

3.5 部署集中SysLog服務器和日志分析系統

為了實現各設備、操作系統日志的異地備份，部署集中的SysLog服務器用于日志采集。同時部署Sawmill、Arcsight日志分析軟件，作為平臺安全日志的智能分析系統。

參考文獻

第6篇：網絡安全事件定義范文

在科學技術如此發達的今天,網絡已經成為了生活中不可或缺的一部分,但是網絡帶給我們的就只有優點嗎？很顯然答案是否定的,網絡帶給我們的缺點大家也應該早有體會,我們所接觸到、影響最深的應該就是信息安全問題了。在新聞中網絡個人信息被盜造成損害的案例已經屢見不鮮,本文將以此為研究點,以信息安全控制原理為基礎,對信息安全中常見的存在問題進行研究,并介紹與信息安全相關的技術和方法。

關鍵詞:

信息安全網絡控制

1信息安全控制原理

1.1信息安全

信息是一種資源,它具有增值性、多效性、普遍性和可處理性,這使得對人類具有非常重要的意義。信息安全就是確保網絡信息資源的安全和信息系統的安全,避免受到外界各種干擾和侵害,換而言之就是確保安全。信息安全在國際標準化組織是這樣定義的:指信息的完整性、可靠性、可用性和保密性。

1.2自動控制原理

所謂自動控制就是指在沒有人直接參與的情況下,控制裝置或者控制器能夠按照預先設定的規律使機器、設備或者生產過程(統稱為被控對象)的某個工作狀態或者參數(即控制量)自動地運行。自動控制系統(automaticcontrolsystems)是在沒有人直接參與的時候可使工作過程或其他過程按預期的規律或預想程序進行的系統控制。自動化控制系統是實現自動化的重要手段。

1.3信息安全控制控制原理

信息安全控制與自動控制有著密不可分的關系,因為信息的特殊性質導致信息系統具有變化的不定性,進而導致整個信息系統的安全控制都會隨著信息不斷變化,另外信息系統在變化過程中不僅會受到外界系統的攻擊和影響,其系統內部的缺陷也會威脅其系統安全。所以信息安全系統的建立必須要完善,從外部和內部多個層面進行全方位的因素考慮。信息安全控制主要是為了有效控制信息系統存在的內在威脅和外界的惡意攻擊。所以信息安全控制的主要措施是:對于系統內部,要盡可能的切斷一切潛在危險源;對于系統外部,建立完善的信息安全控制體系。對于信息系統而言,安全控制策略庫的建立可以讓信息系統的運行在可控范圍內進行,從而使信息威脅程度降低最低,這樣就可以保證信息系統的安全性。

2加密技術

2.1事件監控

安全監控子系統實時收集日志信息進行存儲與分析,當發現高危安全事件時,采用聲、光、短信的方式在管理員界面中呈現給安全監控人員,安全監控人員對安全事件的級別和影響進行評估,判斷為嚴重事件時則啟動工單系統通知客服人員,由客服人員向客戶發送預警信息;若事件未達到預警級別,則安全監控人員創建工單,通知安全分析人員做處理。

2.2安全分析

安全分析人員對非預警安全事件進行分析,排除誤警虛警信息,嘗試解決可處理安全事件。判斷為不能處理的安全事件和經嘗試不能解決的安全事件,提交運維經理,請經理協調各方資源協助解決。如資源難以協調則繼續向上一級主管領導發起協調資源請求,直至問題解決。經過安全分析人員對攻擊數據包進行分析,迅速判斷出此次攻擊主要針對80端口的ddos攻擊,遭受攻擊的網站由于資源消耗過大而無法再給用戶提供正常的頁面訪問。由于世博業務可持續性運行的重要性,于是決定本著"先搶通后修復"的原則,先利用防火墻、utm制定相應的安全策略協助該單位恢復系統正常工作。同時運維人員根據安全事件對該風險進行評估,確定攻擊類型、波及范圍及造成的影響,并制定都詳細的加固解決方案。

2.3安全預警

安全監控平臺發現客戶網絡出現高危安全事件時,安全專家團隊子系統的安全分析人員,根據事件信息確定預警級別,通過工單系統向網絡管理員提交預警信息。若預警級別較高,則通報給相關主管領導、同時發起預警,同時派遣專業人員協助處理安全事件。

2.分析報告

安全運維小組事后給用戶提供了一份詳細的事情分析報告,報告中包括記錄文檔和安全策略的建議,此份建議中多次提到安全技術使用不夠完善的問題,雖然有防毒系統和防火前,但是沒有利用更大的資源解決網絡安全問題。報告的意義是讓客戶知道問題出在哪里,在哪里容易出問題,怎么解決已經出現的問題,今后應該如何防范。

2.5加固測試

根據安全評估報告協助用戶對系統自身的安全漏洞進行修補,并對加固后的系統,進行模擬測試。安全專家模擬黑客攻擊的方式對用戶指定的ip地址采用工具和人工檢查相結合的辦法進行遠程安全測試,評估加固后的系統是否達到安全要求。防火墻策略生效之后,攻擊逐漸減弱,通過外網訪問web服務器,速度正常。至此初步判斷,由于防火墻、umt的防護和安全監控平臺監測,已經令惡意攻擊者知難而退,暫時停止實施攻擊。經過現場一段時間的觀察客戶網絡正常運行,后期運維小組重點對該網絡進行遠程監控跟蹤。

2.6形成知識庫

將此次安全事件發現、分析、解決的過程以知識庫的形式保存,以便下次同類問題的快速處理及客戶人員的自學習。根據統計,不僅中國在盡力打造信息安全網絡,在世博會期間,浙江聯通也退出了很多項創新業務支撐網絡安全。為保證世博會此項工作的順利進行,聯通的營業廳及多個服務店、10010客服熱線、投訴、vip貴賓服務、電子渠道等方面,在人性化、便捷化、差異化方面做出巨大改變,最終使得用戶能充分信息安全的基礎上,享受了更大的便捷與自由。

參考文獻

[1]張淑媛.基于信息安全控制原理的安全網絡技術[J].技術研發,2013(18).

第7篇：網絡安全事件定義范文

關鍵詞：windows終端；安全模板；安全策略；自動化部署

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)22-5326-04

Deploying Windows-Based Terminal Security Policy Based on Security Templates

TAN Ke-jiu1,2

(1.Hubei University of Technology, Wuhang 430068, China; 2.Hechi University, Yizhou 546300, China)

Abstract: With the increasing degree of institutional informationization, information security issues are also increasingly having a tremendous impact on the organization's security operationfs, and the terminal computer security and overall information security level of institutions is at stake. Windows operating systemhas a high market share in the global institutions terminal. It is an urgent to solve the problem that how to carry on the security policy deployment to the Windows office terminal, improve the effectiveness and efficiency of security management. This Paper will explore how to use the security templates provided by Microsoft and Windows command-line tool for office terminal deployment.

Key words: Windows-based terminal; security template; security policy; automation deployment

1 Windows辦公終端安全風險

終端計算機作為機構信息處理的一個重要組成部分，其安全事關整個信息系統。近年來的網絡安全形勢不容樂觀，國家互聯網應急中心的《2010年上半年中國互聯網網絡安全報告》指出2010年上半年CNCERT共接收到網絡安全事件報告與2009年上半年相比增長105%，給企業造成了不可挽回的經濟和政治上的損失。另據市場研究公司NetApplications的最新數據顯示，2010年Windows操作系統的全球市場占有率達91%，Windows系統占據著大部分企業、政府部門和學校的辦公電腦終端。

很多企事業單位的辦公終端數量多，分布地理位置分散又未進行集約管理，管理人員少而負責事務雜，用戶計算機水平參差不齊，出現信息安全問題多，管理員疲于奔命。如何更快速有效的對Windows終端進行安全策略部署、管理、監測，是亟需解決的問題。本文將利用安全模板部署工具嘗試解決這一問題。

2 安全模板（Security Templates）

安全模板是基于文本的INF文件，該文件以特定格式定義了幾個安全區域的安全設置。這些安全區域包括密碼和帳戶鎖定策略，審核、用戶權利及安全選項策略，事件日志設置，受限制的組設置，系統服務設置，注冊表安全設置和文件系統安全設置。模板文件的某些章節包含由安全描述符定義語言(SDDL)定義的特定訪問控制列表(ACL)。

使用MMC系統控制臺的“安全模板”管理單元或文本編輯器來更改這些文件，進而使用MMC系統控制臺的“安全配置和分析”模塊或命令行工具將安全模板所定義的安全設置應用到計算機，利用該模塊分析計算機安全配置是否符合政策規定的安全級別，允許管理員跟蹤并確保計算機處在合適的安全狀態。

3 安全策略部署流程

建立合適的安全策略部署模型是實施有效安全管理的基礎，是實現安全管理可持續、可控制、可維護的依據，實現信息系統的可用性、保密性和完整性的保證，所以選擇適當的安全策略部署模型非常重要。參考國際通行的APPDRR網絡安全模型，安全策略生命周期部署模型見圖1。

通過Windows終端安全風險分析確認機構中信息終端中需要實施安全管理的具體對象，找出終端的安全短板和面臨的威脅，評估發生安全事件的概率，估算能承受的風險值，為安全策略制定與實施提供依據。

制定安全策略是整個Windows終端安全保障工程的關鍵環節，是在安全政策和安全管理原則的指導下，在安全風險評估結果和用戶需求基礎上，根據終端系統要實現的安全目標制定，目的是確保目標終端在應用此策略后能實現相當的安全級別。

策略實施就是在完成Windows終端安全策略制定后，通過一系列的安全技術和方法，利用系統自帶的安全管理工具或第三方安全管理軟件完成安全策略的實現、測試、部署工作，完成Windows終端系統保護，阻止安全事件發生，保證安全事件發生的概率和危害，都在機構可接受范圍之內。

安全策略實施后并非一勞永逸，我們需要定期檢測安全策略在Windows終端部署運行情況，安全管理工具是否按既定的方案保護終端計算機，詢問用戶在操作Windows終端時有無發現因為安全策略實施而導致的異常。在安全事件發生后，提取日志和重現事件來分析造成安全事件的原因，據此糾正Windows終端安全策略。這就要求在部署安全策略時應具有可追溯性，提供必要的安全策略實施備忘文件和終端系統安全日志記錄，以保證我們能實現有效的監測和及時的響應。

4 Windows辦公終端風險分析

1) Windows終端漏洞層出不窮，利用第三方軟件漏洞攻擊系統事件頻發。從漏洞出現到被惡意利用的時間越來越短，給終端計算機造成嚴重威脅。終端計算機往往是機構管控的盲端，出現的系統漏洞不能得到及時修補，第三方軟件漏洞未能得到重視，給惡意軟件提供一個隱蔽的攻擊通道。

2) 病毒、木馬和惡意軟件攻擊。它們主要是通過網頁瀏覽、下載軟件、局域網和U盤等幾個途徑傳播。Windows終端未能進行正確的權限配置，大多以管理權限運行，導致病毒木馬入侵計算機后獲得高權限，造成嚴重危害。

3) 終端缺乏準入規范，造成終端的非授權訪問風險，破壞數據的完整性和機密性。用戶往往為了方便，將Windows終端設定為自動登陸，有的干脆不設置帳戶密碼，給Windows終端安全帶來隱患。

4) 用戶缺乏安全意識和安全知識。用戶的不當操作或對系統設置的隨意修改造成終端系統安全防線崩潰。如開啟Guest帳戶，設置不恰當的共享，使用弱密碼或空密碼，開啟不必要的服務項等。

5 安全策略制定

在安全策略規劃實施過程中，應當貫徹最小權限和最少服務原則、可追溯性原則、易用性與安全性統一原則和可維護性原則。

1) 最小權限和最小服務原則

帳戶安全。帳戶安全是信息系統安全的第一道防線，通過密碼安全策略來防止用戶使用空密碼或弱密碼，設置帳戶鎖定策略來防止暴力破解密碼，關閉一些特殊帳戶如Guest帳戶等。

系統服務安全。服務是后臺運行的應用程序，為本地和通過網絡訪問的用戶提供某些功能。根據用戶需要，禁止不必要的服務，授予或禁止用戶具有特定服務項的權限。如禁用Remote Registry、TCP/IP NetBIOS Helper、Workstation和Server服務等。

文件系統權限。禁止用戶寫入某些容易被病毒利用的目錄，禁止用戶訪問某些文件和禁止一些危險程序運行來提高系統安全級別。如禁止用戶從硬盤分區根目錄下運行程序，避免用戶雙擊硬盤根目錄導致誤執行病毒程序。

注冊表安全。注冊表是Windows特有用于保存系統和軟件相關信息的數據庫，病毒木馬經常利用注冊表實現得開機自啟動功能。有必要對病毒和木馬經常利用的注冊表項進行安全配置，禁止用戶寫入某些風險度較高的注冊表項，如自啟動項，Image File Execution Options映像劫持項等。

網絡訪問權限設置。辦公終端是辦公網絡的一個有機組成，因此面臨著非法入侵、數據泄密和網絡濫用等威脅，采取措施控制網絡的訪問權限，設置一道無形的防火墻。通過“本地安全策略”禁止SAM帳戶的匿名枚舉，不允許SAM帳戶和共享的匿名枚舉，禁止匿名SID/名稱轉換等，通過防火墻關閉危險端口，阻止可疑程序訪問該計算機或從該計算機訪問網絡。

用戶權利控制。用戶對計算機具有各種權利，這些用戶權利將直接決定他們的訪問行為。我們要嚴格控制用戶對計算機的訪問權利，限制用戶使用一些特殊的權利，比如管理審核和安全日志、還原文件及目錄權限，降低網絡訪問程序的運行權限級別。對只進行諸如文字處理、工作管理一類應用的辦公終端，使用受限帳戶登陸即可，要限制用戶使用高權限帳戶登陸系統、運行程序。禁止用戶隨意修改系統配置文件，卸載殺毒軟件和非法安裝ActiveX控件，開啟終端計算機的緩沖區溢出保護功能等。

2) 可追溯性

合適的安全事件日志設定。安全事件日志是安全事件的收集、保存和顯示的重要工具，對于安全事件的識別、處理和調查非常重要，在發生安全事件后，可通過安全日志追蹤事件產生的來龍去脈。必須在系統安全策略中設置好審核策略和設定事件日志存儲、維護和訪問控制，保證安全事件日志能在安全事件發生后提供事后分析所應有的功能，方便系統管理員做出相應對策，并可以根據安全事件日志優化安全模板。

審核重點目錄和文件的訪問，審核重點程序和用戶的行為。利用Windows提供的審核功能對一些安全風險較大的目錄、文件和程序進行審核，比如對病毒木馬容易利用的CMD.exe、Net.exe和Reg.exe等程序設置審核，對權限最大的administrators帳戶組的操作進行審核。這些必要的審核方便我們在發生安全事件后可通過事件日志分析事件發生過程，迅速定位安全威脅，進而能使安全響應更準確，提高安全管理的效果和效率。

3) 可擴展性和可維護性

維護信息系統的安全并不是一個靜態過程，而是不斷的動態變化，用戶需求改變、安裝軟件變化和硬件的改變，都有可能要求重新審視安全策略應用是否達到合適的安全級別，所以安全策略部署過程都應具備良好的可擴展性和可維護性。通過安全模板管理工具對安全模板進行管理，注重安全模板版本管理，每次升級修改都有日志，做到安全策略配置文件的可控可管。

4) 易用性與安全性統一

做好需求分析，保證安全性與易用性相統一。信息系統的安全性強度總是和信息系統的易用性相矛盾的，高安全性必然導致易用性下降，用戶操作時極易產生挫敗感而影響工作效率。我們在設計和實施安全策略前，要做好需求分析，盡可能使系統擁有足夠的安全級別，又能保證易用性。比如放開某些安全風險較小的權限和將某些系統設置功能隱藏等。

6 基于安全模塊的安全策略部署

6.1 創建與修改安全策略模板

微軟在系統管理控制臺中提供了“安全模板”管理單元用來創建、修改和管理安全模板文件。“安全模板”管理單元提供了一個功能強大的圖形界面，管理員可以方便地按層次結構導航到某個安全屬性設置區域進行編輯修改。微軟在Windows中提供了七個預配置的安全模板文件供系統管理人員參考，默認情況下，這些管理模板存儲在“\%Systemroot%\Security\Templates”目錄中，在“安全模板”管理單元可以直接讀取。

為了管理和配置方便，我們需要使用虛擬機或專門配置一臺母機，安裝和終端同樣的軟件，模擬出相同環境進行調試。

安全模板創建與修改操作步驟如下：

1) 首先，運行MMC命令，打開Microsoft管理控制臺，并在“文件”――“選項”確認控制臺處于“作者模式”，使用戶具有訪問所有MMC功能的全部權限。

2) 在“控制臺”菜單上，單擊“添加/刪除管理單元”，然后單擊“添加”。選擇“安全模板”，單擊“添加”――“關閉”――“確定”。將配置好的控制臺保存到合適的位置，此處我們使用“D:\SafeSet”。

3) 在“安全模板”管理單元中，右鍵單擊“安全模板”，選擇“新加模板搜索路徑”，將路徑設定為“D:\SafeSet”。

4) 在新建的路徑上右擊，選擇“新加模板”，設置好模板名和描述。

5) 根據定義好的安全策略在控制臺上對安全模板進行編輯。每個設置項的屬性中都有相關項的解釋說明，避免在設置時誤操作而引發不良后果。

6) 將該模板以“SafeSetTemplate_Base.inf”保存到“D:\SafeSet”備用。

6.2 測試安全策略模板

微軟在系統管理控制臺中還提供了“安全配置和分析”管理單元，它是一個圖形化實用程序，用于配置和分析與系統安全相關的各個方面。“安全性配置”可以直接配置本地系統的安全性，利用安全數據庫，可以導入由“安全模板”創建的安全模板，并將這些模板應用于本地計算機，立即使用模板中指定的級別配置系統安全性。操作步驟如下：

1) 首先在控制臺中添加“安全配置和分析”模塊，操作步驟類似于上述添加“安全模板”的方法。

2) 右擊“安全配置和分析”單元，選擇“打開數據庫”，導航到“D:\SafeSet”，在“文件名”輸入框中輸入“SafeSetDb.sdb”，新建安全數據庫文件，單擊“打開”。

3) 在彈出的“導入模板”對話框，導航到“D:\SafeSet”，導入我們做好的安全模板。

4) 右擊“安全配置和分析”單元，選擇“立即配置計算機”，在彈出的“配置系統”窗口中設置好錯誤日志文件路徑和文件名，如“D:\SafeSet\SafeSetConfigureLog.txt”，確定并開始執行配置計算機操作。

5) 通過檢查日志文件確認應用安全策略模板的過程有無異常。如果發現異常，可以直接在“安全配置和分析”模塊中修改相關選項，重新進行配置計算機操作，并導出改后的安全模板設置覆蓋原來的模板文件。

6) 盡管部分設置已經被應用，但是它們在執行“Gpupeate.exe”命令或重啟計算機之后才生效。所以關閉“安全配置和分析”工具并重啟計算機，對照安全策略配置檢驗表進行檢查，檢查所做安全策略配置是否達到預期目的，反復進行安全策略模板修改與應用其到試驗的系統中，直到符合要求后開始編寫自動化部署文件。

6.3 生成安全策略模板自動化部署腳本

使用“安全配置和分析”工具可以實現單臺計算機安全策略配置和分析，但使用該工具在多臺計算機上完成案例策略配置和分析不方便。微軟為此提供了secedit.exe命令行工具以便系統管理員完成企業級的部署，該命令行允許我們使用安全數據庫中的安全性設置來配置系統。語法如下：

Secedit /configure /dbfilename [/cfgfilename] [/overwrite] [/areasarea1area2...] [/logfilename] [/quiet]

/dbfilename 定義用來執行安全性配置的數據庫。

/cfgfilename 定義導入到數據庫的安全性模板。

/logfilename 定義要記錄配置操作狀態的文件。

利用命令行工具構建安全策略模板自動化部署腳本，并完成其它Windows終端優化和安全配置操作，比如帳戶配置、安全登陸操作提示等。

在“D:\SAFESET”中新建“SafeSet.CMD”，用記事本打開并輸入以下內容并保存：

@Echo off

Set Soft=XX學院Windows終端系統自動配置程序

Set Grade=Base

Set Version=V1.2.20110202

:Start

CLS

Color FC

Title %Soft%[安全級別：%Grade%][版本：%Version%]

Echo %Soft%[版本：%Version%]

Echo.

Set Choice=

Set /P Choice=腳本將在您的系統中應用設定好的安全策略，請按"Y"鍵繼續，終止運行請按"Q"：

If "%Choice%"=="" Goto Start

IF Not "%Choice%"=="" Set Choice=%Choice:~0,1%

If /I "%Choice%"=="Y" Goto ConStartPre

If /I "%Choice%"=="Q" Exit

Goto Start

Echo開始用戶帳戶配置

:ConStartPre

Echo.

Echo.

Set AdminPasswords=

Set UserPasswords=

Set /P AdminPasswords=請輸入內置管理帳戶Adminstrator的密碼（請務必確認后再回車）：

Set /P UserPasswords=請輸入日常工作帳戶User的密碼（請務必確認后再回車）：

Set Choice=

Set /P Choice=請檢查您輸入的密碼是否正確，請按"Y"鍵繼續，任意鍵重新輸入密碼：

If "%Choice%"=="" Goto Start

IF Not "%Choice%"=="" Set Choice=%Choice:~0,1%

If /I "%Choice%"=="Y" (GotoConStart) Else Goto ConstartPre

:ConStart

Net user administrator %AdminPasswords% /FULLNAME:"管理用戶"

Net user user %UserPasswords% /add /FULLNAME:"日常工作" /USERCOMMENT:"受限用戶" /COMMENT:"這是日常工作專用的受限帳戶" /EXPIRES:NEVER

Net user guest /active:no

Echo配置帳戶完成，開始進行系統安全策略部署...

Secedit /configure /db SecSetDb.sdb /cfgSafeSet Template_Base.inf /overwrite /quiet /logSafeSet ConfigureLog.txt

Echo系統安全策略部署完成，請按任意鍵退出。

6.4 實施

將在 “D:\SafeSet”目錄下生成的所有文件復制到目標機，以管理員權限運行“SafeSet.CMD”腳本，根據提示完成安全策略在Windows終端的部署。我們可以依照上文所述步驟，依據終端計算機等級保護的不同安全需要和不同的安全保護政策，設計出不同的安全策略部署模板，方便管理。

7 安全策略檢查與響應

Windows系統管理控臺中的“安全配置和分析”管理單元的安全性分析工具，允許系統管理員對Windows終端安全策略部署情況進行檢查，提供詳細的安全分析結果，對不符合安全策略要求的做出可視化的標記，跟蹤并確保在每臺計算機上有足夠的安全級，檢測在系統長期運行過程中出現的安全故障。利用該工具定期檢測Windows終端安全策略保護系統情況，保證安全策略得到有效執行。

8 總結

本文提出的使用安全模板結合腳本技術對Windows操作系統進行安全策略部署方法，應用于辦公信息系統安全管理工作中，基本實現安全政策要求的可用性、可追溯性、可擴展性和可維護的目標，對于信息安全管理人員應對信息系統安全威脅和進行批量安全策略部署，具有一定的借鑒意義。

參考文獻：

[1] 操作系統市場市場的占有率[EB/OL]./operating-system-market-share.aspx?qprid=8&qptimeframe=Y&qpsp=2010&qpnp=1.

[2] 國家互聯網應急中心.2010年上半年中國互聯網網絡安全報告[EB/OL]..cn/UserFiles/File/2010 first half.pdf.

[3] 余磊.信息安全戰――企業信息安全建設之道[M].上海:東方出版社,2010.

[4] 程迎春.Windows安全應用策略和實施方案手冊[M].北京:人民郵電出版社,2005.

第8篇：網絡安全事件定義范文

關鍵詞：信息安全；網絡安全；體系模型

中圖分類號：TP309.2 文獻標識碼：A

1 引言

以往，許多安全體系都是根據相關風險進行設計的，缺乏對整個安全體系的動態、全面考慮。所以，為最大程度滿足安全需要，我們需要設計出全方位多角度的信息與網絡安全體系，并在體系中完整的包含安全建設所要需要實現的各種功能、服務以及安全機制和相關技術和操作等[2]，并對多種因素進行合理的安排和部署。

2 PDR模型

PDR模型包含了三方面的元素，即P――防護（Protection）和D――檢測（Detection）以及R――反應（ Reaction）。PDR模型認為所謂的“安全”指的是“保護的時間”要大于“檢測的時間”。因此，在PDR模型中，十分強調時間的概念，并對保護時間和檢測時間以及響應時間和暴露時間進行了定義。我們用Pt來表示從攻擊開始到攻擊成功的時間，即攻擊所需要的具體時間，或者也可以是故障或非人為因素造成的破壞從發生到造成影響所生產的時間；用Dt來表示檢測系統安全的時間；用Rt來表示從檢測到安全問題到采取相應的措施進行反抗的時間，即對安全事件的反應時間[3]。經分析可知，我們無法控制安全問題出現的可能性，做不到無懈可擊，所以只有通過盡可能的延長各種安全問題攻擊所需要的具體時間來提高整個體系的安全程度。也就是說，我們要盡可能的增大Pt的值，從而為安全體系檢測各種攻擊事件，并及時進行相應的反應來爭取盡可能的時間。另外，我們也可以通過縮短檢測系統安全的時間以及從檢測到安全問題 到采取相應的措施進行反抗的時間來提高體系的安全性，即盡量減少Dt和Rt的具體值[4]。所以說，如果體系對安全事件的反應時間Pt大于檢測系統安全的時間Dt和安全事件的反應時間Rt之和的時候，整個系統是安全的；如果體系對安全事件的反應時間Pt小于檢測系統安全的時間Dt和安全事件的反應時間Rt之和，則表示整個系統是不安全的。

3 P2DR 模型

P2DR模型把信息安全保障分成了一下四個環節：P――策略（Policy）、P――保護（Protection）、D――檢測（Detection）和R――響應（Reaction）。P2DR模型是可適應網絡安全理論的主要模型，在整體的安全策略的控制和指導下，在綜合運用各種防護工具的同時，也積極的利用多種檢測工具來了解和評估系統所處的安全狀態。并按照具體的狀態作出最適當的反應，從而保證整個系統處于最安全的狀態。P2DR模型中的防護、檢測以及響應形成了一個十分完整的、處于動態變化的安全循環模式，在具體安全策略的指導下，有效的保證信息系統的安全性。在P2DR體系模型中，用戶們可以充分考慮實際情況，選擇更加切合實際情況的安全方案。網絡與信息安全涉及到許多復雜的問題，在P2DR體系模型中，用戶需要認識到，首先，要注意人的作用。任何安全問題都需要人來操作，認識主觀能動的個體，對整個體系的安全性起著至關重要的作用。其次，要注意工具問題。工具是人們用來實現安全的基本手段，是保證安全策略實現的有力保證。而工具問題中則包含了安全體系設計到的各種技術[5，6]。不過，通常情況下，對用戶來說，并不需要過分關注安全技術問題，因為技術問題涉及面太廣，也過于復雜。而且，會有十分專業的公司來負責將各種最新最實用的安全技術轉化為各種可以供廣大用戶直接使用的工具。

4 動態自適應安全模型

動態自適應安全模型也同樣是把安全看作一個動態變化的過程，并認為安全策略的制定要積極的適應網絡的動態變化。動態自適應安全模型可以對網絡進行動態的監測，并及時的發現系統中存在的漏洞，并對來自各方的安全威脅進行鍵控。從而為廣大用戶提供了一個不斷循環并及時反饋相關信息的安全模型，利用這個模型，用戶可以及時地制定各種安全策略并做出相應的反應[7]。動態自適應安全模型涉及到以下一些問題：

（1）分析與配置。在構建動態自適應安全模型的時候，需要整體把握系統的安全問題，綜合考慮多方面因素，例如標志和認證以及密碼技術還有完整性控制和操作系統安全，以及數據庫、防火墻系統安全和抗抵賴協議等。在充分考慮到多方面因素之后，再給出相應的具體配置。

（2）動態監測。動態自適應安全模型需要對各種網絡攻擊模式和其它 多種可疑活動，進行實施的動態監測。例如對各種黑客行為的分析，和對病毒特征以及系統弱點的研究等。動態自適應安全模型還要及時的提取各種數據特征，并將其歸入監測知識庫和方法庫，以便于對各種網絡攻擊和病毒模式進行實時的監測，并及時的發現系統中存在的各種危險漏洞。

（3）報警。動態自適應安全模型中，一旦發現系統中出現了各類攻擊模式，或者有漏洞和病毒以及各種違規和泄密活動的存在，便會立即給出相應的報警響應，例如，對相關信息的日志進行及時的記錄，通過控制臺消息等發出報警信號，或者是阻斷非法連接，也可以十多種報警響應的組合應用。

（4）審計和評估。審計和評估是按照具體的報警記錄和其它信息向管理員提供各種具有較高參考價值的統計分析報告信息。審計和評估涉及多方面的內容，例如網絡使用情況、各種可疑跡象、發生的各種問題等。審計和評估的過程也十分嚴謹，需要應用統計方法學和審計評估機制來綜合評估網絡安全現狀，制定出最終的審計報告和趨向報告等。

5 APPDRR模型

網絡與信息安全是處于不斷的變化中的，表現為一個不斷改進的過程，全網動態安全體系隱含了網絡安全的相對性和動態螺旋上升的過程，因為不可能存在百分之百靜態的網絡安全。通過風險評估、安全策略、系統防護、動態檢測、實時響應和災難恢復六環節的循環流動，網絡安全逐漸地得以完善和提高，從而實現保護網絡資源的網絡安全目標。可信計算平臺指的是為計算提供高可用的、安全的和可控的計算實現平臺。而高可信計算平臺則是通過在當前的計算平臺加入硬件和軟件的擴展來支持計算平臺的安全性[8]。計算平臺的安全性確保計算機系統中的每臺主機成為可信的個體，從而既保護了主機，又從源頭上減少了網絡威脅。統一威脅管理期望把APPDRR模型有機的綜合在完整體系而不是各自孤立存在。針對安全防護技術一體化、集成化的趨勢，研究統一威脅管理（UTM）與網絡安全管理的模型、算法和標準。

6 總結

安全處于永不停息的動態變化中的，不斷的隨著技術的變化而變化。構建信息與網絡安全體系模型的過程中涉及到了多方面的因素，例如管理和技術以及標準和相關法規等。所以，我們不可能將所有安全問題都體現在安全體系中，而是要將安全體系置于動態發展變化中，并不斷予以積極的調整，才能保證其更加科學完善。

參考文獻

[1] 唐洪玉，崔冬華.一種新的信息安全體系模型的提出[J].信息安全與通信保密，2008，12（06）：102-105.

[2] 周學廣，等.信息安全學（第2版）[M].北京：機械工業出版社，2008.

[3] 馮毅.基于P2DR模型的網銀安全體系方案設計[J].中國科技信息，2011，03（14）：79-80.

[4] 張思宇.淺析信息化時代企業網絡安全重要性[J].中小企業管理與科技，2013，05（18）：91-92.

[5] 沈蘇彬，等.自主信息網絡安全的概念與模型[J].南京郵電大學學報（自然科學版），2012（05）.

[6] 董建鋒，等.云計算環境下信息安全分級防護研究[J].信息網絡安全，2011，11（06）：55-56.

[7] 徐林磊，鄭明春.一種公共信息和網絡安全的社會模型[J].信息網絡安全，2010，01（02）：13-14.

[8] 林王冠，等.網絡安全模型在水利科研環境中的應用與研究[J].水利信息化，2013，97（01）：42-43.

第9篇：網絡安全事件定義范文

關鍵詞：工控；網絡安全；安全建設

1前言

隨著工業化與信息化的快速發展以及云、大、物、智、移等新技術的逐步發展和深化實踐，制造業工業控制系統的應用越來越多，隨之而來的網絡安全威脅的問題日益突出。特別是國家重點行業例如能源、水利、交通等的工業控制系統關系到一個國家經濟命脈，工業控制系統網絡一旦出現特殊情況可能會引發直接的人員傷亡和財產損失。本文主要以軌道交通行業CBTC系統業務的安全建設為例介紹工業信息安全防護思路，系統闡述了工業信息安全的發展背景及重要性，以網絡安全法和工業基礎設施的相關法規和要求等為依據，并結合傳統工業控制系統的現狀，從技術設計和管理系統建設兩個方面來構建工控系統網絡安全。

2工業信息安全概述

2.1工控網絡的特點

工業控制系統是指各種自動化組件、過程監控組件共同構成的以完成實時數據采集、工業生產流程監測控制的管控系統，也可以說工業控制系統是控制技術（Control）、計算機技術（Computer）、通信技術（Communication）、圖形顯示技術（CRT）和網絡技術（Network）相結合的產物[1]。工控系統網絡安全是指工業自動控制系統網絡安全，涉及眾多行業例如電力、水利、石油石化、航天、汽車制造等眾多工業領域，其中超過60%的涉及國計民生的關鍵基礎設施（如公路、軌道交通等）都依靠工控系統來實現自動化作業。

2.2國內外工業安全典型事件

眾所周知，工業控制系統是國家工業基礎設施的重要組成部分，近年來由于網絡技術的快速發展，使得工控系統正逐漸成為網絡戰的重點攻擊目標，不斷涌現的安全事件也暴露出工控系統網絡安全正面臨著嚴峻的挑戰。（1）美國列車信號燈宕機事件2003年發生在美國佛羅里達州鐵路服務公司的計算機遭遇震網病毒感染，導致美國東部海岸的列車信號燈系統瞬間宕機，部分地區的高速環線停運。這次事件主要是由于感染震網病毒引起的，而這種病毒常被用來定向攻擊基礎（能源）設施，比如國家電網、水壩、核電站等。（2）烏克蘭電網攻擊事件2015年，烏克蘭的首都和西部地區電網突發停電，調查發現這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站，在電力公司的主控電腦系統里植入了病毒致使系統癱瘓造成停電事故。（3）舊金山輕軌系統遭勒索病毒攻擊事件2016年，黑客攻擊美國舊金山輕軌系統，造成上千臺服務器和工作站感染勒索病毒，數據全部被加密，售票系統全面癱瘓。其實國內也發生過很多工業控制系統里面的安全事件，主要也是因為感染勒索病毒引起的。勒索病毒感染了重要業務系統里面的一些工作站，例如在軌道交通行業里的典型系統：綜合監控系統、通信系統和信號系統等，其中大部分是由于移動接入設備的不合規使用而帶來的風險。從以上事件可以看出，攻擊者要發動網絡攻擊只需發送一個普通的病毒就可以達到目的，隨著網絡攻擊事件的頻發和各種復雜病毒的出現，讓我們的工業系統安全以及公共利益、人民財產安全正遭受著嚴重的威脅。

2.3工控安全參考標準、規范

作為國家基礎設施的工業控制系統，正面臨著來自網絡攻擊等的威脅，為此針對工控網絡安全，我國制定和了相關法律法規來指導網絡安全建設防護工作。其中有國家標準委在2016年10月的《工業通信網絡網絡和系統安全建立工業自動化和控制系統安全程序》《工業自動化和控制系統網絡安全可編程序控制器（PLC）第1部分：系統要求》等多項國家標準[2]。同年，工信部印發《工業控制系統信息安全防護指南》，該標準以當前我國工業控制系統面臨的安全問題為出發點，分別從技術防護和管理設計兩方面來對工業控制系統的安全防護提出建設防護要求。2017年6月，《網絡安全法》開始實施，網安法從不同的網絡層次規定了網絡安全的檢測、評估以及防護和管理等要求，促進了我國工業控制系統網絡安全的發展。

3工業控制系統網絡安全分析

軌道交通信號系統（CBTC）是基于通信技術的列車控制系統，該系統依靠通信技術實現“車地通信”并且實時地傳遞“列車定位”信息[3]。目前CBTC安全建設存在以下問題：（1）網絡邊界無隔離隨著CBTC的集成度越來越高，各個子系統之間的聯系和數據通信也越來越密切，根據地域一般劃分為控制中心、車站、車輛段和停車場，根據業務又劃分為ATO、ATS、CI、DCS等多個子系統，各區域之間沒有做好訪問控制措施，缺失入侵防范和監測的舉措。各個子系統之間一般都是互聯互通的，不同的子系統由于承載的業務的重要等級不同也是需要對其邊界進行防護的，還有一些安全系統和非安全系統之間也都沒有做隔離。（2）網絡異常查不到針對CBTC系統的網絡入侵行為一般隱蔽性很強，沒有專門的設備去檢測的話很難發現入侵行為。出現安全事件后沒有審計記錄和追溯的手段，等下次攻擊發生依然沒有抵抗的能力。沒有對流量進行實時監測和記錄，不能及時發現高級持續威脅、不能有效應對攻擊、不能及時發現各種異常操作。（3）工作站、服務器無防護CBTC系統工作站、服務器的大部分采用Windows系列的操作系統，還有一部分Linux系列的操作系統，系統建設之初基本不會對工作站和服務器的操作系統進行升級，操作系統在使用過程中不斷暴露漏洞，而系統漏洞又無法得到及時的修復，這都會導致工作站和服務器面臨風險。沒有在系統上線前關閉冗余系統服務，沒有加強系統的密碼策略。除此之外，運維人員可以在調試過程中在操作站和服務器上安裝與業務無關的軟件，也可能會開啟操作系統的遠程功能，上線后也不會關閉此功能，這些操作都會使得系統配置簡單，更容易受到攻擊。目前在CBTC系統各個區域部分尚未部署桌管軟件和殺毒軟件，無法對USB等外接設備的接入行為進行管控，隨意使用移動存儲介質的現象非常普遍，這種行為極易將病毒、木馬等威脅帶入到生產系統中。（4）運維管理不完善單位內安全組織機構人員職責不完善，缺乏專業的人員。沒有針對信號系統成立專門的安全管理部門，未明確相關業務部門的安全職責和職員的技能要求，也缺乏專業安全人才。未形成完整的網絡安全管理制度政策來規劃安全建設和設計工控系統安全需求。另外將工業控制系統的運維工作外包給第三方人員后并無相關的審計和監控措施，當第三方運維人員進行設備維護時，業務系統的運營人員不能及時了解第三方運維人員是否存在誤操作行為，一旦發生事故無法及時準確定位問題原因、影響范圍和責任追究。目前CBTC系統的網絡采用物理隔離，基本可以保證正常生產經營。但是管理網接入工控系統網絡后，工控系統網絡內部的安全防護措施無法有效抵御來自外部的攻擊和威脅，而且由于與管理網的數據安全交互必須在工控網絡邊界實現，因此做好邊界保護尤為重要。

4工業控制系統網絡安全防護體系

工控系統信息化建設必須符合國家有關規定，從安全層面來看要符合國家級防護的相關要求，全面規劃設計網絡安全保障體系，使得工控體系符合相關安全標準，確保工控安全保障體系的廣度和深度。根據安全需求建立安全防護體系，通過管理和技術實現主被動安全相結合，有效提升了工控業務系統的安全防護能力。根據業務流量和業務功能特點以及工控系統網絡安全的基本要求來設計不同的項目技術方案，從技術角度來識別系統的安全風險，依據系統架構來設計安全加固措施，同時還要按照安全管理的相關要求建立完善的網絡安全管理制度體系，來確保整體業務系統的安全有效運行。

4.1邊界訪問控制

考慮到資產的價值、重要性、部署位置、系統功能、控制對象等要素，我們將軌道交通信號系統業務網絡劃分為多個子安全域，根據CBTC業務的重要性、實時性、關聯性、功能范圍、資產屬性以及對現場受控設備的影響程度等，將工控網絡劃分成不同的安全防護區域，所有業務子系統都必須置于相應的安全區域內。通過采取基于角色的身份鑒別、權限分配、訪問控制等安全措施來實現工業現場中的設備登錄控制、應用服務資源訪問的身份認證管理，使得只有獲得授權的用戶才能對現場設備進行數據更新、參數設定，在控制設備及監控設備上運行程序、標識相應的數據集合等操作，防止未經授權的修改或刪除等操作。4.2流量監測與審計網絡入侵檢測主要用于檢測網絡中的惡意探測和惡意攻擊行為，常見有網絡蠕蟲、間諜和木馬軟件、高級持續性威脅攻擊、口令暴力破解、緩沖區溢出等各種深度攻擊行為[4]。可以利用漏洞掃描設備掃描探測操作系統、網絡設備、安全設備、應用系統、中間件、數據庫等網絡資產和應用，及時發現網絡中各種設備和應用的安全漏洞，提出修復和整改建議來保障系統和設備自身的安全性。惡意代碼防護可以檢測、查殺和抵御各種病毒，如蠕蟲病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過安全配置核查設備來及時發現識別系統設備是否存在不合理的策略配置、系統配置、環境參數配置的問題。另外要加強安全審計管理，通常包括日常運維操作安全審計、數據庫訪問審計以及所有設備和系統的日志審計，主要體現在對各類用戶的操作行為進行審計和對重要安全事件進行記錄和審計，審計日志的內容需要包括事件發生的確切時間、用戶名稱、事件的類型、事件執行情況說明等。

4.3建立統一監測管理平臺

根據等級保護制度要求規定，重要等級在第二級以上的信息系統需要在網絡中建立統一集中管理中心，通過統一安全管理平臺能夠對網絡設備、安全設備、各類操作系統等的運行狀況、安全日志、配置策略進行集中監測、采集、日志范化和歸并處理，平臺可以呈現CBTC系統中各類設備間的訪問關系，形成基于網絡訪問關系、業務操作指令的工業控制環境的行為白名單，從而可以及時識別和發現未定義的行為以及重要的業務操作指令的異常行為。可以設置監控指標告警閾值，觸發告警并記錄，對各類報警和日志信息進行關聯分析和預警通報。

4.4編制網絡安全管理制度

設立安全專屬職能的管理部門和領導者及管理成員的崗位，制定總體安全方針，指明組織機構的總體目標和工作原則。對于安全管理成員的角色設計需按三權分立的原則來規劃并落實，必須配備專職的安全成員來指導和管理安全的各方面工作。指派專人來制定安全管理制度，而且制度要經過上層組織機構評審和正式，保持對下發制度的定期評審和落實情況的核查。由專人來負責單位內人員的招聘錄用工作，對人員的專業能力、背景及任職資格進行審核和考察，人員錄用時需要跟被錄用人簽訂保密協議和崗位責任書。編制完善的制度規范，編制范圍應涵蓋信息系統在規劃和建設、安全定級與備案、方案設計、開發與實施、驗收與測試以及完成系統交付的整個生命周期。針對不同系統建設階段分別編制軟件開發管理規范、代碼編寫規范、工程監理制度、測試驗收制度，在測試和交付階段記錄和收集各類表單、清單。加強安全運維建設，制定包含物理環境管理、資產管理、系統設備介質管理以及漏洞風險管理等方面的規范要求，對于機房等辦公區域的人員進出、設備進出進行記錄和控制，建立資產管理制度規范系統資質的管理與使用行為，保存相關的資產清單，對各種軟硬件資產做好定期維護，對資產采購、領用和發放制定嚴格的審批流程。針對漏洞做好風險管理，針對發現的安全問題采取相關的應對措施，形成書面記錄和總結報告。在第三方外包人員管理方面應該與外包運維服務商簽訂第三方運維服務協議，協議中應明確外包工作范圍和具體職責。

5結束語

由于工控系統安全性能不高和頻繁爆發的網絡安全攻擊的趨勢，近年來我國將網絡安全建設提升到了國家安全戰略的高度，并且制定了相關的標準、政策、技術、程序等來積極應對安全風險，業務主管部門還應進一步強化網絡安全意識，開展網絡安全評估，制定網絡安全策略，提高工控網絡安全水平，確保業務的安全穩定運行。

參考文獻：

[1]石勇，劉巍偉，劉博.工業控制系統（ICS）的安全研究[J].網絡安全技術與應用，2008（4）.

[2]李俊．工業控制系統信息安全管理措施研究[J].自動化與儀器儀表，2014（9）.