基于NESSUE安全态势监控的信息系统应用研究
(430302 民航湖北空管分局 湖北 武汉)
【摘 要】随着计算机和通信技术的迅速发展,计算机网络的应用越来越广泛,其规模越来越庞大,多层面的网络安全威胁和安全风险也在不断增加。与之而来的网络病毒、漏洞攻击等构成的威胁和损失越来越大。网络攻击行为向着分布化、规模化、复杂化等趋势发展,仅仅依靠防火墙、入侵检测、防病毒、访问控制等单一的网络安全防护技术已不能满足网络安全的需求,迫切需要新的技术及时发现网络中的异常事件,实时掌握网络安全状况,将之前很多时候亡羊补牢的事中、事后处理,转向事前自动评估预测,主动降低网络安全风险,提高网络安全防护能力。
【关键词】Nessue;安全态势;漏洞
引言
在上个世纪末90年代,态势感知才被引入到信息技术安全领域,并首先用于对下一代检测系统的研究,出现了网络安全态势感知(NetworkSituation Awareness),或者安全态势感知(Security SituationAwareness)的概念。网络安全态势感知技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对网络安全的发展趋势进行预测和预警。大数据技术特有的海量存储、并行计算、高效查询等特点,为大规模网络安全态势感知技术的突破创造了机遇,借助大数据分析,对成千上万的网络日志等信息进行自动分析处理与深度挖掘,对网络的安全状态进行分析评价,感知网络中的异常事件与整体安全态势。
一、态势感知的基本概念介绍
态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落实。态势感知是利用数据融合、数据挖掘、智能分析和可视化等技术,直观显示网络环境系统运行环境的实时安全状况,为网络安全提供保障。
借助安全态势感知,监管人员可以及时了解网络及系统的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况,对发起攻击的网络采取措施;用户可以清楚地掌握所在网络的安全状态和趋势,做好相应的防范准备,避免和减少网络中病毒和恶意攻击带来的损失;应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础。
二、基于Linux部署Nuess漏洞扫描的基本介绍
在Nuess官网下载Linux安装包。使用dpkg -i命令安装在Linux主机上并为Nuess创建一个用户登录使用。在Nuess的Web访问界面可以配置Policies,在Policies->NewPolicy中配置扫描策略,其中Advanced Scan为自定义策略的配置模板,可以自定义漏洞扫描项Plugins。
在Nuess上,Permissions是权限管理,用于设定是否准许其他的nessus用户来使用你这个策略;Discovery包含主机自动发现、端口扫描和服务发现等功能;assessment是暴力破解的一些设定;Report是对报告的一些设定;Advanced是一些超时、每秒扫描多少项等基础设定,Nuess不仅仅是漏洞扫描器还可以进行安全态势评估。
三、安全态势感知在信息系统中的应用
(一)数据采集
数据采集层包括系统平台级感知数据收集,以及分别针对各级子单位广域网和内部的数据采集子平台。该层负责对安全类设备(如防火墙、IPS、防病毒)、主机类设备、关键性管制辅助信息系统的分散数据进行收集汇总。
(二)数据分析
数据分析层通过对掌握的结构化及非结构化元数据进行清洗、关联、建模和多维分析等步骤,对数据进行深度挖掘,形成行为特征。
同时依靠分布式高速计算能力,对收集数据进行横向分析,采用数据收集—分析学习—建模—特征对比—收集—学习,这样持续循环的方式提升平台预警能力。
四、Nessus监控系统态势感知预警功能分析
在信息系统中使用基于态势感知的安全监测预警平台,不但能够为行业相关机构在互联网、生产网或业务网上运行的重要信息系统提供安全监测预警和态势感知服务,涉及防黑客DDos攻击、防CC攻击、防入侵、防后门、防数据窃取、网站漏洞监测、网站可用性监控、攻击溯源等,而且能为相关行业监管部门掌握本行业内部的网络安全态势提供更加准确、真实有效的数据,便于做出更加合理的决策,并提供必要的应急支撑。
基于Nessus监控信息系统态势感知能力,能够有效的提高该系统架构下网络的信息化、专业化、精细化管理水平和网络信息安全事件处置的“预”警能力。有效提高生产环境下互联网与生产网的风险隐患发现、监测预警和突发事件处置能力。
重要系统态势感知监控的构建,为相关监管维护部门提供系统安全态势情报,进一步为网络安全事件处置提供精确的决策支持,减少生产网信息安全事件危害程度。从而提高决策及协调整体防御能力。
与此同时,合理运用Nessus安全态势监控在关键信息系统、网络安全事件的发现预警、协调处置、风险最小化,保障行业内部重要信息系统服务的正常、连续运行等方面,可以发挥出重要作用。
参考文献:
[1]屈晔,张昊.Bugscam自动化静态漏洞检测的分析[J].信息安全与通信保密,2007.3