[摘要] 1 现况 随着水利信息化技术的发展,水利信息化系统在水利事业中应用越来越广泛,水利信息化系统涉及的水利信息越来越多,这时一个
1 现况
随着水利信息化技术的发展,水利信息化系统在水利事业中应用越来越广泛,水利信息化系统涉及的水利信息越来越多,这时一个很重要的问题摆在了人们的面前,那就是水利信息化系统的安全问题。如果水利信息化系统被人攻击,水利信息被人窃取,将给国家和人民造成巨大的损失。
天津市水务局水利信息化网络包括防汛抗旱、办公自动化、水文水资源、水土保持、水质监测等各种应用系统,面对当前严峻的水利信息安全形势,为了保障水利信息化系统安全正常的运行,天津市水务局建设了水利信息安全防护体系,其安全基础设施主要包括防火墙、入侵检测及漏洞扫描、Web信息防篡改系统、网络接入控制和安全审计、防病毒软件、身份认证等安全产品。
这些安全产品在各自的岗位上发挥着重要的作用,保护着网络的安全。但是从系统整体安全考虑,这些网络安全产品都只是各司其职,没有沟通合作,缺乏统一调度,容易造成信息冗余和资源的浪费,对网络的保护存在局限性,在遭遇复杂的综合型攻击时,安全防护体系就会非常脆弱,将不能保护水利信息化系统的安全。
因此,我们提出水利信息安全管理系统,对这些安全产品进行统一的管理和整体配置,实现各安全产品间的信息互通和联动合作,让他们的功能得到充分的发挥,共同确保整个水利信息化系统的安全。
2 水利信息安全管理系统的功能分析
水利信息安全管理系统是一个综合的、动态的安全体系,需要解决各种安全技术和产品的统一管理和协调问题,能实现水利信息系统中的安全设备间的互操作,从整体上提高水利信息系统整体的抵抗攻击和防御入侵的能力,保持系统及服务的安全性、可靠性和可用性。
水利信息安全管理系统要实时采集各安全设备的安全信息,监控各安全设备的运行状况。所以网络安全管理平台要具有高效的安全信息收集和设备监控功能,平台能够收集各集成安全设备发出的安全告警信息、系统日志数据等安全信息,这些数据经平台的综合分析处理,使平台监控中心能在整体上掌握整个系统的综合安全状况,及时发现影响水利信息系统安全的不当行为。
水利信息安全管理系统要有集中管理功能。能够对水利信息系统中的多种安全设备进行集中管理,将系统中的各种安全设备发送的信息数据进行采集,将不同格式的数据进行统一格式化,方便对各信息的整合、归并与关联分析,过滤事件中的误报和冗余事件,产生确定的安全警报,并根据制定的联动策略对安全设备进行动态配置,快速调动各安全设备联动操作,消除水利信息系统受到的安全威胁。
水利信息安全管理系统要保证高安全性[1],要保证水利信息安全管理系统的安全,保证安全信息采集和处理过程的安全。并且系统中的设备间设置高强度安全通道,保证安全信息传输过程中的安全。
水利信息安全管理系统是一个高扩展性平台[1],可实现与各种安全设备之间的互通与联动,支持多种安全设备的统一管理,对新出现的安全技术和产品也保留了开放的扩展接口,易于与新的安全设备相结合。
3 水利信息安全管理系统的整体结构
水利信息安全管理系统分为用户层,数据采集层、安全管理中心、数据库支撑层和被管设备层五层结构。
用户层是安全管理系统的控制平台,提供方便系统管理员操作的可视化界面。系统安全管理员可以通过网页?丝窗踩?报告、进行策略配置等操作,便于管理和维护系统。
数据采集层的主要工作是从水利信息系统中的各种安全设备上采集安全信息,并初步对这些安全信息进行加密和格式化处理,然后将数据发送给安全管理中心。
安全管理中心是水利信息安全管理系统的神经中枢,由风险评估模块,关联分析模块,策略响应模块,数据采集代理控制模块等组成,支配着安全管理设备的互联合作。
数据库支撑层包括事件数据库、规则数据库和策略数据库。其中,事件数据库中存放收集的安全信息;规则数据库中存放事件关联的规则;策略数据库中存放系统策略。
被管设备层指水利信息系统中的各种被管理的安全设备,防火墙,入侵检测系统,防病毒系统等。
4 关键技术的实现
4.1 数据采集
数据?集指能够有效、正确、稳定的获取所需要的信息。本系统采用管理者/代理的数据采集方式,在被管理对象(防火墙、IDS等)上安装数据采集代理Agent。
数据采集代理Agent的主要工作是采集网络中个安全产品的配置情况、事件日志、运行状态、流量统计,安全信息等数据,对数据进行格式化和加密预处理后上报给安全管理中心进行数据处理,同时接收管理中心的控制命令传输给被管设备。
数据采集代理Agent是水利信息安全管理系统的一部分,是安全管理系统与安全产品之间、安全产品与宿主机之间、安全产品彼此之间的一个联系纽带。但它和系统之间在实现上具有一定的独立性。采用Agent结构,无论被管安全产品运行何种系统,只要是开发了支持该系统的Agent,就可以把此安全产品纳入本系统的管理之中,使得网络安全管理系统能够管理运行于各种系统的安全设备,并且可以很方便地随时添加或删除被管部件[4]。
4.2 数据处理
在水利信息安全管理系统中,数据处理主要对代理上报的信息进行风险评估,分类,筛选和关联分析等处理,去除数据中的冗余或错误信息,识别威胁,产生应对策略。 数据处理模块首先分析采集代理上报的数据,此数据是根据一定规则进行封装的信息,通过比对信息各字段的值,如在1s内,某两个信息各字段的值相同,则我们认为产生了冗余事件则去除其中一个冗余信息,并根据字段中安全信息的类型分类存储到事件数据库中。同时对此事件进行风险评估和关联分析。
本系统用实时风险评估技术分析安全信息[3],动态地获得网络的各种资源的风险信息,从整体上评估水利信息系统网络和主机的安全状况,为用户及时调整网络安全状况提供重要的依据。
本系统采取基于规则的关联模型[3]对获得的安全信息进行关联分析,用来判断一系列安全事件是否源于同一个攻击行为并完成攻击场景的重构,识别出攻击的类型,攻击者的身份,得出安全分析报告。
接着对数据进行更进一步的融合,从整体上分析出安全威胁的真正所在,并对其发展趋势进行估计,为管理员提供方便直观的系统安全信息。
4.3 联动控制的实现
本系统联动控制是通过联动策略实现的[6]。当数据经过处理后,控制中心判断需要进行安全产品联动防御病毒入侵时,控制中心将要求提供给策略响应组件,此组件从策略库中选择相应的联动策略并传递给相应的安全设备代理,控制安全设备的运行。
本系统联动策略包含一个规则集,每条规则采用if
联动控制技术帮助安全体系有效组合并提升性能。例如防火墙与入侵检测系统联动,使防护体系由静态到动态,由平面到立体,提升了防火墙的机动性和实时反应能力,也增强了入侵检测系统的阻断功能等。
5 结语
水利信息安全管理系统,是一个更全面、更智能的一体化安全防护体系,能有效的保护水利信息的安全。本文对水利信息安全管理系统的功能进行了详细的分析,对系统的组成和关键技术的实现展开了深入地讨论。随着联动机制的进一步发展和成熟,水利信息安全管理系统将更加完善。