網絡安全監控體系構建

◆孫梅玲 李降宇 王寅永

?

網絡安全監控體系構建

◆孫梅玲1李降宇2王寅永3

（1.大連市地方稅務局 遼寧 116015；2.大連理工大學網絡與信息化中心 遼寧 116024；3.大連智通信息技術有限公司 遼寧 116023）

隨著稅務信息化建設的不斷推進及信息技術的廣泛應用，大連地稅局承載的業務系統在不斷增多，系統運行的業務數據關系到稅收管理等政府敏感信息、企業數據以及個人隱私重要業務數據，信息安全問題更加突出，對稅務系統數據的安全提出了更高的要求。由于不正確的安全策略和安全機制，以及缺乏先進的網絡安全技術、工具、手段和產品等原因，面臨的信息安全形勢也越來越嚴峻。大連地稅局構建的網絡安全監控體系，從信息安全保障的角度為稅務業務信息化發展提供保駕護航，確實保證網絡監控背后數據的安全性。

網絡安全；監控體系

1 系統建設背景

隨著網絡和信息技術的高速發展，稅務業務系統規模的擴大，各種應用系統不斷完善，大連地稅局承載的業務系統在不斷增多，用戶規模在不斷擴大，網絡中的流量變得也愈加復雜。同時，系統運行的業務數據關系到稅收管理等政府敏感信息、企業數據以及個人隱私重要業務數據，對稅務系統數據的安全提出了更高的要求。

在互聯網環境下，機房安全運維工作越來越繁瑣與復雜，保障業務系統的穩定運行，保障數據的安全可靠，給網絡安全運維管理人員帶來了巨大的壓力。借助計算機信息化管理技術與計算機網絡安全技術，構建智能化的網絡安全監控體系在大連地稅局已勢在必行[1]。

2 網絡安全面臨威脅分析

通過實時監控網絡或主機活動，監視分析用戶和系統的行為，審計系統配置和漏洞，評估敏感系統和數據的完整性，識別攻擊行為，對異常行為進行統計和跟蹤，識別違反安全法規的行為，使用誘騙服務器記錄黑客行為等功能，使管理員有效地監視、控制和評估網絡或主機系統[2]。通過前期調研分析，總結了目前網絡安全運維管理存在的幾點安全隱患問題：

（1）對IP地址的使用情況掌握的不全面。

（2）內網中IP地址是否暴露在互聯網。

（3）不清楚安全域之間的訪問關系真實情況。

（4）不清楚是否存在因防火墻配置錯誤而被放行的違規訪問。

（5）針對網絡流量的分析缺乏簡單易用的工具支撐。

（6）作為基礎安全防護手段的防火墻策略隨著時間的變化，策略也在不斷增多，防火墻的性能也在不斷下降。

基于目前網絡安全和信息安全的建設需要，迫切需要建設主動化網絡安全監控管理體系，集網絡訪問行為監控、網絡流量管理、監控、分析于一體，并提供專門的防火墻策略分析和梳理功能，可應用于網絡異常行為分析、網絡流量審計、異常流量分析、故障定位等，充分滿足運維人員、安全服務人員的需求，提供必要的防護措施，以提高在網絡環境中關鍵任務應用的安全性。

3 網絡安全監控體系功能設計

系統采用流量采集引擎分布式旁路部署，和數據中心集中存儲、分析、展現部署。

3.1 流量采集

采用分布式流量采集，數據集中存儲、分析、展現的系統架構，將采集引擎部署到不同的位置，如網絡出口、安全域之間、網絡匯聚層、接入層等，配置多個網絡設備向流量監控數據中心發送流量數據[3]，系統部署方案如圖1。

圖1 系統部署方案

3.2 數據存儲

采用容量為6T~16T的磁盤存儲空間，多塊磁盤組成RAID陣列，滿足持久、可靠的流量存儲需求。海量的數據存儲能力為全面、大跨度地做流量分析、審計、取證提供了保障。

3.3 行為管理

按照黑白名單方式管理流量的功能。為訪問關系配置黑白名單，可以預先在系統新建黑白名單，也可以從excel表導入。黑白名單由五元組定義，名單的IP地址對象可以配置地理位置?；谟脩襞渲玫暮诎酌麊卧L問關系，實時檢測流量的合規性，并可以在訪問關系監控圖上醒目地看到是否存在違規訪問行為，是否存在未知的訪問行為。對于未知的訪問行為，系統會如實記錄，通過對未知訪問行為的分析，將方便地在線確認為對應的名單類型。

3.4 行為監控

互聯監控功能包括安全域互聯監控和境內、境外互聯監控。

（1）安全域互聯監控：以拓撲圖形式展現特定或全部安全域之間的互聯關系及其黑白名單類型，支持監控圖內容過濾，支持圖形對象下鉆，支持監控圖的縮放、導出、打印等操作。

（2）境內、境外互聯監控：以地圖形式展現用戶網絡與境內外的互聯情況，形象展示互聯關系黑白名單類型、互聯頻次大小、互聯關系連線可下鉆。

3.5 行為分析

系統通過對網絡報文或流數據的解析，形成三類數據作為流量行為分析的基礎：

（1）流信息：支持TCP、UDP、ICMP三種最常見的流解析。流信息由基本信息和擴展信息構成。包括源和目的IP、源和目的端口、傳輸層協議、流起止時間、包數、會話時長、流量、MAC地址等；擴展信息包括IP地理位置、所屬分組、設備名等，其中IP地理位置由系統自動提供[4]。

（2）payload信息：支持Oracle、HTTP、Telnet、FTP應用層協議的賬號和指令解析。

（3）網絡報文：原始的網絡報文，以pcap文件形式存儲。

4 關鍵業務實現效果

4.1 流量監控

可以對當前已規劃好的組內ip進行流量監控，也可單獨都組內IP進行監控。當網絡出現大量異常流量是可隨時檢查流量去向，避免造成更嚴重損失。

圖2 流量監控頁面

4.2 防火墻策略梳理

通過鏡像流量，長期存儲流量概要信息。當導入防火墻策略后，可通過流量信息對防火墻策略進行匹配比對，檢查防火墻策略的命中率與策略的合理性。

通過檢查結果，比對防火墻策略進行修改，即可刪除冗余策略，同時可合并覆蓋策略。減少防火墻策略條目數，增強防火墻性能，可導出防火墻策略梳理報告。

5 結束語

隨著稅務信息化建設的不斷推進及信息技術的廣泛應用，國家敏感信息、企業數據風險以及個人隱私的安全性受到的挑戰日趨嚴重，信息安全問題更加突出。由于不正確的安全策略和安全機制以及缺乏先進的網絡安全技術、工具、手段和產品等原因，網絡黑客對網絡的攻擊越來越猛烈并屢屢得手，面臨的信息安全形勢也越來越嚴峻。大連地稅局構建的網絡安全監控體系，從信息安全保障的角度為稅務業務信息化發展提供保駕護航，確實保證網絡監控背后數據的安全性，真正跟上時代發展的腳步，開啟一個嶄新的網絡安全監控時代。

[1]鄭洲.新時期高校機房數字化智能監控系統設計與應用探討[J].無線互聯科技，2017.

[2]葉偉.網絡安全監控系統的研究與設計[J].信息與電腦， 2017.

[3]卞琛，于興艷，修位蓉等.基于MPLS VPN 技術的網絡監控系統分析與設計[J].科學技術研究，2015.

[4]趙衍.基于網絡數據挖掘的信息安全監控體系[J].上海管理科學，2010.