云计算下的信息安全应急系统研究论文.doc

云计算下的信息安全应急系统研究论文 1引言 随着移动互联网、物联网、云计算、大数据等新技术成为信息化新一轮发展的重要驱动力迫切需要面向网络空间安全的监测预警和应急响应服务平台实现网络安全态势感知、监测预警、应急处置和灾难恢复的一体化运作 2云应急服务 2.1高性能云计算技术 云计算技术应用环境下用户可以利用云端大型服务器的资源优势进行数据计算通过对存储资源、计算资源的虚拟化处理和统一整合云端服务商可以实现对硬件资源的按需分配用户以较低廉的成本使用云端服务器、存储设备和各类应用程序;通过对信息资源进行统一标准化 利用云安全应急服务平台可防止诸如XSS、SQL注入、木马、漏洞攻击、僵尸网络等各种安全问题同时采用跨运营商智能调度、页面优化、页面缓存等技术进一步提升访问速度、降低故障率为用户提供服务式的信息安全 2.2云应急服务 信息安全应急管理是以云应急服务平台为技术支撑系统采用先进的云计算分布式计算技术将信息安全应急以在线服务方式提供给用户用户的安全防护和应急处理的压力转移到云端云应急服务平台可实现统一调配应急资源来实现应急响应、协同直接面对攻击时可采取应急措施将流量智能的分发到其它安全服务节点避免传统安全中单台设备瓶颈或宕机导致服务不可用情况安全应急服务因云计算而强大 云安全应急服务是将用户的DNS切换到云平台通过智能解析将用户流量引导至最近的云端节点云端节点承载用户请求并过滤流量为用户提供监控预警功能云安全应急服务平台以分布式计算为基础云架构采用多线智能解析调度将单点Web资源动态负载至云端节点高性能的云端节点可以承载高并发的用户请求进行流量监控和分析云安全应急平台网络架构分为中心和边缘两部分中心是平台中的智能DNS系统和应急响应系统主要负责发生信息安全事件的应急处置;边缘是分布在各地的节点是信息内容的分发载体由安全保护、Web优化、Cache和负载均衡器组成主要实现监控预警功能保障用户的正常应用 3系统总体架构 云应急系统可以部署在公有或私有云上为广大电子政务或中小企业用户服务通过云平台为用户提供日常的监测预警功能并通过应急响应机制及时地确定与评估突发事件有效、快速地对事态进行控制保持事件发生后能够可靠地恢复确保关键信息服务在面临各种威胁与攻击时仍然维持良好的运转云应急服务平台采用主流的三层系统架构如图1所示分为为云应急技术支撑层、云应急服务层和应急业务层 (1)技术支撑层 主要是指基础设施包括支持系统运行所需的基本硬件、基础软件平台和网络设施硬件主要包括各种服务器(数据服务器、应用服务器和Web服务器)以及相关的存储备份设备、防火墙及入侵检测设备基础软件包括各种操作系统、数据库平台、中间件和其他系统平台 (2)应用服务层 应用支撑平台是构筑在基础软件和数据资源之上为应用系统提供支撑环境实现应用系统共有的、与具体业务无关的功能主要包括通讯服务、安全认证、日志管理、数据备份等数据资源主要用来存储和管理平台涉及到的所有数据内部封装了应急管理活动及其数据、知识、物资、人员等资源可对服务进行高性能检索和调度实现应急业务信息(如应急预案库、案例库、物资库、队伍库、专家库、模型库、病毒库等)的全面整合它不仅包括各类数据在数据库中的存储内容、组织方式和存储机制还指明了数据的管理模式和入库更新机制 (3)业务层 应急平台功能模块划分监测预警、日常安全管理和应急响应三大模块实现具体的业务应用监测预警业务包括对云端用户的漏洞检测、入侵检测和智能分析;日常安全管理主要业务包括应急值守、预案管理、风险评估和应急资源;应急响应包括安全事件处置、事故恢复、事件统计分析和信息发布 4主要功能实现 信息安全应急系统设计的核心思想是在日常管理、监控预警、应急响应基本工作上强化统一业务工作流的概念云应急系统软件架构采用面向服务SOA的架构来实现应用层采用组件技术MVC进行构建具有很强的灵活性和兼容性能很好地符合云应急模式的特征 4.1监控预警 主要对接入云端的网站或重要信息系统进行安全评估、脆弱性发现对潜在风险进行分析并及时发出预警报告包括渗透性测试、漏洞扫描、流量分析 云应急服务平台可对监控对象进行安全评估渗透测试是通过模拟黑ke的攻击手段来评估计算机网络系统安全和应用安全这个过程包括对系统漏洞、应用漏洞、配置弱点和技术缺陷进行主动分析完全以黑ke的角色对测试目标展开全面技术攻击并且可对预警事件进行实时监控、查询;同时还能根据资产的机密性价值、可用性价值、完整性价值、物理价值和威胁事件实时计算每个资产的风险值;支持漏洞扫描对网站进行文件上传监测和注入监测;并支持对网络流量进行分析判断;对整体的安全性进行评估 4.2应急值守 借助监控预警系统在云端通过日志采集、流量采集、内容采集、漏洞扫描等多种技术手段获取安全信息实时监控网络的安全态势通过数据聚合、智能行为分析、专家团队综合研判信息系统的安全风险和安全事件可根据事件信息实现事件的分类分级自动关联事件处置预案和处置流程并由值班人员对安全事件进行事件信息报送、处置跟踪、事件归档、事件处置管理等 信息安全事件管理涉及查看所有的事件包括高风险事件、低风险事件、历史事件和实时事件;按照不同的安全信息来源进行分类例如可以分为Unix主机、Windows主机、路由器和交换机、防火墙、NIDS等;可查看所有的实时事件提供过滤功能只显示符合过滤条件的事件过滤条件可以自定义并且依据设定的审计策略对标准化的安全事件进行审计分析 4.3应急资源管理 信息安全应急资源的管理包括机房、重要设备设施、网络、工具软件、应急设备、应急专家、救援小组、应急知识、历史事件、法律法规等应急资源信息的管理 通过建立应急资源数据库包括IT基础设施数据库、关键应用系统数据库、应急预案库、应急专家数据库、通讯录、安全事件信息库、政策法规数据库、应急管理的基础数据云端用户的应急管理人员通过登录应急管理门户利用应急资源完成信息安全风险分析、业务影响分析、安全事件的预警预报管理 安全知识库包括安全知识文章、漏洞库、病毒库、补丁库、安全事件案例库等系统预置了大量的安全知识文章包括安全知识、安全通告等 4.4风险管理 信息安全风险管理以资产为核心结合等级保护中关于资产的价值、脆弱性、威胁并按照相关标准分析资产风险及风险变化情况给出降低风险的解决方案 风险分析参照了国际安全管理标准中的“预定义风险价值矩阵法”确定目标信息资产的价值、威胁发生的概率、脆弱性被威胁利用的概率把风险进行量化主要思想就是通过降低风险来减少安全事件的发生有效提升组织的安全性风险管理协助管理员在最短时间内找出对组织重要资产有严重影响的脆弱点并提供解决方案帮助管理员对脆弱点做出正面积极的响应预防可能发生的损害 4.5预案管理 建立各类信息安全事件应急预案并实现应急预案的数字化在信息安全事件发生时自动关联相关应急预案应急人员参照预案完成信息安全事件应急处置应急预案规制定包括：应急预案规划方案、应急预案程序、应急预案编制清单、恢复计划编制清单、应急预案规划报告、应急预案规划记录等 4.6应急响应 应急响应是对监测分析发现的事件协调各类技术资源协助事发用户、关联单位和相关机构及时对信息安全威胁、预警及事件进行有效处理信息安全应急响应与辅助决策系统围绕各类信息安全事件(有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件)以应急预案为核心实现信息安全事件的处置跟踪、指挥调度和总结评估等功能辅助决策功能使用户在处理安全事件时能够采用数字化预案系统会根据事件的信息自动匹配预案由用户决定是否对事件进行