[♦网络信息安全♦
1009-0940(2021)-2-39-41
省域网络安全远程检测平台的分析与设计傅小兵国家计算机网络应急技术处理协调中心江西分中心南昌市330038 摘要:为督促省域内各单位进一步做好网络安全防护工作,防范化解网络安全风险,设计开发网络安全远程检测平台,实现对省域内各地各单位网络安全远程检测。同时,系统采用了大数据及虚拟化相关技术优化系统计算和存储能力。 关键词:网络安全远程检测虚拟化技术行为审计
0前言
随着全球竞争日益加剧,越来越多的高级攻击团队和组织对我国网络空间造成了巨大的安全威胁,网络安全工作是关乎国家安全的一项基础性、综合性和战略性的工作,其重要性不言而喻。伴随着《网络安全法》及相关政策法规的实施,各地各部门不断提升自身的网络安全防护能力。为进一步推动网络安全工作责任制有效落实,督促各单位进一步健全防范化解网络风险,构建网络安全远程检测平台,实现对省域内各单位互联网可访问资产的远程检测,及时发现网络安全风险和隐患。
1系统功能需求
网络安全远程检测平台主要实现对省域内各政企单位网络安全防护情况开展远程检测,主要功能需求如下:
(1)资产上报核查。为各政企单位提供信息上报接口通道,满足各政企单位资产填报、归档入库、统计等功能。同时,系统利用技术手段对填报信息进行核验和资产探测为后续工作开展提供基础数据支撑。
(2)远程安全检测。对各政企单位开展远程安全检测工作,发现各单位互联网可访问资产存在的安全风险和事件。系统需具备身份认证、安全风险(事件)提交、专家审核、结果研判、可视化展示等功能。为尽可能的规避检测工作中的潜在风险,系统需支撑行为审计、高危行为发现、一键阻断违规行为等功能[11o
根据系统的主要功能需求,将系统的用户角主要分为监管单位、被考核单位和技术支撑单位。
2总体设计
网络安全远程检测平台总体有五部分构成,包含平台纵览层、核心应用层、大数据建模分析层、安全监测与系统采集层。平台纵览层负责提供多维度功能展示;核心应用层提供平台基础管理、资产上报
和核查、事件整改和综合展示、远程安全检测等功能的应用;大数据分析层负责提供多种数据存储检索引擎进行数据存储,并通过数据汇聚对接采集探针收集数据并加载到数据中心;安全监测与数据采集层负责对资产数据、远程安全检测过程数据进行采集。
平台功能架构图如图1所示。
图1平台功能架构层
39
Jiangxi Communication Science&Technology
3核心功能设计
远程检测功能是平台的核心功能,实现对被考核对象的远程扫描检测。首先,由第三方安全检测人员,通过VPN隧道登入到安全检测平台,通过双向认证(用户-平台双向认证)后分配到授权检测账户,进入到堡垒机做两次用户认证、环境授权(检测虚拟机分配)、权限分配和行为审计。然后,点击进入超融合平台(云计算平台),在其分配的虚拟机上传安装各类所需的安全检测工具,继而对被检测单位开始各类安全检测。
在开展远程检测过程中,平台实时获取、主动监测被检测单位的网络出口、业务系统、数据可用性等参数是否存在影响(超过阈值)。如果超过阀值,平台报警,经过人工审核后,发送异常联动信息给安全策略集中管理系统,通过其安全联动协议,自动下发安全策略给防火墙,实现自动阻断本次渗透测试活动,防止破坏扩大化,尽快降低相关恶劣影响。如果渗透测试一切正常(没有造成被检测单位系统的可用性风险),渗透测试结束后,提交相关检测报告,归档,并责令其基于报告做整改。
网络安全远程检测平台以远程检测功能为核心,整合超融合系统、VPN安全网关、堡垒主机等为远程
无铬达克罗检测工作提供必要的资源申请、资源开通、目标健康监测、危险动作控制和全过程审计等目标[2]。整个功能模块的实现流程如图2所示。
图2远程检测主要流程示意图
根据图2所示,远程检测的主要流程包括以下几个方面:
(1)检测申请、发起:支撑单位向监管单位发起检测申请;
(2)授权账号:监管单位在批准检测请求或发起检测任务后,向支撑单位发布授权(信息可以在系统内流转),包括:VPN账号、堡垒机账号、虚拟机账号、工具软件账号等所需的信息;
(3)虚拟机授权:系统自动驱动超融合,启用预定的虚机(包括:虚机可用的时间限制等);炼焦配煤
(4)远程登录:支撑单位技术人员登录VPN及堡垒机,并登录指定的检测虚拟机;
(5)资源限制:为确保安全检测人员不因故意或误操作等原因使用类DDoS攻击测试造成被检目标宕机(或其他可用性受严重损害的情况),通过边界防火墙进行流量、并发连接数的限制;
(6)可用性监测:在远程检测的过程中,平台会对远程检测目标进行可用性监测,一旦发现远程检测目标出现延时或者不可用的现象,平台通过报警机制联动安全策略集中管理系统下发阻断策略。轮胎帘布>数显角度尺
(7)行为限制:对于高概率引起被检目标可用性、完整性故障的高危漏洞利用行为,可通过前端部署的威胁检测系统(视具体需求可配置为IPS/IDS、WAF、APT/全威胁检测等)进行识别,按照监管单位相关保护策略可直接进行阻断,即上报给系统,并根据预定的策略向防火墙下发阻断策略,阻断当前行为或在多次违规后封堵检测虚拟机的所有通信;
(8)行为审计:由于所有操作都经过堡垒机代理,检测人员在检测虚拟机上的所有操作都会被图形化方式记录下来(无桌面环境的Linux操作也会被记录完整的命令行过程),能够起到规范操作行为、追溯违规操作的关键作用。
设备运维管理系统4系统部署设计
为保障系统的稳定运行和各功能模块达到设计的预期效果,系统部署示意图如图3所示。
网络安全远程检测平台根据用户角(监管单位、被考核单位、支撑单位)系统为不同角用户提供了不同功能模块。系统的主要核心功能部署于监管单位侧。系统采用旁路部署的方式,部署位置位于网络核心位置,用于支持单位远程登录检测环境的身份
40
网络信息安全
核查及检测过程审计,系统将对支撑单位人员逬行唯一身份的识别,保障支持单位人员的身份唯一性。
并在远程检测的同时采用命令记录,图形记录,视频记录等方式保存远程检测的全部过程,并实现对过程的审计。同时,超融合一体机提供了计算虚拟化、网络虚拟化和分布式存储,提供多种虚拟资源池的统一管
事件整改
资产核查
远程安全检查
资产唸
I I I I
支撐单优
图3系统部署示意图理、虚拟网络设备的创建和管理和统一存储服务%VPN安全网关部署位置旁路部署在网络核心位置,用于被考核单位的资产上报数据传输安全及支持单位远程安全检测的通信加密。网关采用SSLVPN加密技术及国密加密算法,保障数据在传输互联网过程中的安全性。
pinset
5预期效果
本系统从省域内网络安全工作开展实际需求出发,按照”底琳得清、告警报的准、重点抓得到、监管推的动、成效看得见、资源受得了”的要求建设网络安全远程楡则平台,省域内各单位做好网络安全防护工作,提升防范网络安全风险能力。在平台的数据存储和应用层面使用了強据融拟化相关技术,可直接通过扩展硬件的方式获得歸系统计算和存储能力的扩展,无需再逬行数据备份、软件更新等繁复操作,极大的降低了系统管理维护成本,同时,系统使用了模块化设计的方法,可以保证不同软件功能与模块之间的解耦和,实现数据采集灵活调整,分部实施。
參考文献
[1]李泽峰.一种网络安全监管平台及其使用方法:, 2019.
⑵召卩翠.网络安全管理平台中的数据融合技术[J].计算册品与流通,2018(02):62.
[3]张如国.计算机网络安全中虚拟技术的作用[J1中国新通信,2020,v.22(03):163-163.
(上接第38页)
參考文献
[11胡健,2012:《面向企业关系价值分析的数据挖掘方法研究》,吉林大学出版社。
⑵召E峰晶、于忠清,2003:《数据挖掘原理与算法》,中国水利水电出版社。
⑶阿祁祥,2009:《保险学》,寸惊大学出版社。
[4]张云涛、龚玲,2004:《数据挖掘原理与技术》,电子工业出版社。
⑸赵彦昌,2014:《R语言与数据挖掘最佳实践和经典案例》,中译本,机械工业出版社。
[6]易辉,郝演苏.共享经济背景下的众筹相互保险山中央财经大学学报,20⑹04).
[71孙立娟,李莹蕾.日本相互保险公司的发展演变及其原因分析[J]现代日本经济,20⑶02).
⑻郭学勤王秀芝相互保险及其对我国发展职工互助保障的启示[JI江西社会科学,2007,(04).
[9]赵婉竹相互保险公司在我国发展潜力的SWOT 分析[J1经营与管理,20⑸
07).
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议