论文部分内容阅读
摘 要 自治区电子政务网是我区使用设备最多,用户最多,结构最复杂,应用最广泛、最重要的网络系统,其中网络节点的安全直接影响着整个政务网络,这就对政务专网的监管提出了更高的要求,建设信息安全监测体系,及时发现和处置网络攻击,防止有害信息传播,对网络和信息系统实施保护与监测是当务之急。
关键词 内蒙古 政务信息系统 安全预警
随着互联网的广泛应用,信息化的不断发展,我区各级政务部门、企事业单位都已基本建成了基于网络的业务系统,特别是建成了自上而下,横向连接各级政务部门,纵向覆盖自治区、地(市)、区(县)的统一的内蒙古自治区电子政务骨干传输网络,实现了各级政务部门互联互通、信息共享,确保了我区政务专网的统一性和完整性,满足了社会管理和公共服务的需求。自治区电子政务网是我区使用设备最多,用户最多,结构最复杂,应用最广泛、最重要的网络系统,其中网络节点的安全直接影响着整个政务网络,这就对政务专网的监管提出了更高的要求,建设信息安全监测体系,及时发现和处置网络攻击,防止有害信息传播,对网络和信息系统实施保护与监测是当务之急。
内蒙古政务信息系统已深入到全区各个政府机关单位,其设计架构和应用都比较复杂。当前的应用需要更加关注全网的整体安全,强调从业务信息系统安全风险的角度,而非单一安全威胁和防御机制的角度去更加主动地管理安全。而要做好安全管理工作,就需要一套相应的安全管理体系。在这个体系中除了组织保障和流程保障,很重要的是信息安全预警监测和应急响应处置能力,还要对网络和业务信息系统实施有计划地、持续地监视、检测、审计、分析、评估、预警、响应和报告,并能够实现管理与检测相互之间的协同。
一、我区政务信息安全建设存在的主要问题
我区信息化建设在国家政策以及大环境的带动下,得到了迅速积极的发展。但是,我区信息化建设和信息安全保障仍存在一些亟待解决的问题,政务信息共享和业务协同水平不高,核心技术受制于人;信息安全工作的战略统筹和综合协调不够,重要信息系统和基础信息网络防护能力不强,移动互联网等技术应用给信息安全带来严峻挑战。必须进一步增强紧迫感,采取更加有力的政策措施,大力推进信息化发展,切实保障信息安全。
经过多年信息安全建设,我区很多单位已经配备了防火墙、入侵检测、IPS等信息安全防范设备,但是由于各单位信息化水平参差不齐,人员配备不足,技术手段不能适应信息技术的发展,很多安全设备没有得到充分利用,而安全事件一旦发生,又没有一个专门面向网络与信息安全的平台与机构来发挥预警、处理和支援的作用,安全意识不到位、技术手段不足和处理时机的延误等诸多因素都会带来无法估量的损失和影响。
二、主要应用技术
(一)分布式计算平台技术
分布式计算平台用来为各种任务提供分布式执行的能力。就是如何让多台服务器有效的来执行各种web检测任务。
分布式计算平台组成,包括用于存储任务的队列(IN QUEUE和OUT UQUEUE);用于驱使任务被调度的client单元;用于做分布式任务调度的Gearman Server单元;用于具体处理任务(挂马检测任务、篡改检测任务等)的worker单元。
用户的请求(比如一个页面的挂马扫描请求)会被放入IN QUEUE输入队列中,client从IN QUEUE输入队列中获取任务,传递给GS(Gearman Server),由GS挑选一个空闲的worker 进行执行,worker执行完成之后将结果由GS返回给client,再由client统一将结果放入OUT QUEUE输出队列。
(二)智能页面抓取技术
基于模拟点击技术的智能爬虫能高效并尽可能多的抓取网站页面,主要组成部分包含两个部件,部件一用于爬虫策略的控制、登陆验证数据的控制、及自定义可抓取页面、不可抓取页面的控制等,称为控制部件;部件二用于提取页面内连接,通过模拟点击技术来操纵DOM数据模型,并通过截获脚本执行数据达到提取链接和阻止对服务器数据的破坏,称为处理部件。
控制部件将站点url作为参数传递给处理部件,处理部件从目标web服务器获取web页面,并通过内置浏览器内核将获取的html文档解析成DOM数据模型。然后通过对htlm文档中的不同标记做处理,来提取web页面中的url。在处理script标记的时候,会对其中的用户点击单元进行模拟点击处理,就是模拟人的点击行为来触发点击事件。并在引发DOM数据的变更前截获url,同时拦截对DOM模型的修改,这样既达到了url的提取,又防止了对数据的修改。
(三)远程网页挂马检测技术
网页挂马攻击是指攻击者在获取网站或者网站服务器的部分或者全部权限(获取手段包括SQL注入、XSS攻击等)之后,在网页文件中嵌入一段恶意代码,这些恶意代码主要是一些包括浏览器本身漏洞、第三方ActiveX漏洞或者其它插件漏洞的利用代码,用户访问该挂马页面时,如果系统没有更新恶意代码中利用的漏洞补丁,则会执行恶意代码程序,进行盗号等危险操作。
远程网页挂马检测技术使用的是静态分析和动态解析相结合的主动挂马检测技术。检测实现原理可简单如下描述:挂马检测引擎模拟DOM对象和ActiveX控件,同时截获其内存分配行为,当被挂马代码想操作一个DOM对象或ActiveX控件时,就可以把他的操作行为全部监控下来。有了这种url页面的所有展示行为的监控,就可以分析这些行为,按照预定义的规则来判断是否有恶意代码的存在。判断方式有通过ActiveX的ID判断、通过对象的接口调用来判断和通过HeapSpray检测来判断,这三种判断方法保证了检测的高准确率。
参考文献:
[1]王盟.浅谈电子政务系统中的安全风险分析[J].网络安全技术与应用,2011(04).
[2]王仕龙.公共危机预警系统初探[J].中国商界(下半月),2008(06).
[3]刘邦凡.浅析电子政务建设原则[J].电子政务,2005(Z4).
关键词 内蒙古 政务信息系统 安全预警
随着互联网的广泛应用,信息化的不断发展,我区各级政务部门、企事业单位都已基本建成了基于网络的业务系统,特别是建成了自上而下,横向连接各级政务部门,纵向覆盖自治区、地(市)、区(县)的统一的内蒙古自治区电子政务骨干传输网络,实现了各级政务部门互联互通、信息共享,确保了我区政务专网的统一性和完整性,满足了社会管理和公共服务的需求。自治区电子政务网是我区使用设备最多,用户最多,结构最复杂,应用最广泛、最重要的网络系统,其中网络节点的安全直接影响着整个政务网络,这就对政务专网的监管提出了更高的要求,建设信息安全监测体系,及时发现和处置网络攻击,防止有害信息传播,对网络和信息系统实施保护与监测是当务之急。
内蒙古政务信息系统已深入到全区各个政府机关单位,其设计架构和应用都比较复杂。当前的应用需要更加关注全网的整体安全,强调从业务信息系统安全风险的角度,而非单一安全威胁和防御机制的角度去更加主动地管理安全。而要做好安全管理工作,就需要一套相应的安全管理体系。在这个体系中除了组织保障和流程保障,很重要的是信息安全预警监测和应急响应处置能力,还要对网络和业务信息系统实施有计划地、持续地监视、检测、审计、分析、评估、预警、响应和报告,并能够实现管理与检测相互之间的协同。
一、我区政务信息安全建设存在的主要问题
我区信息化建设在国家政策以及大环境的带动下,得到了迅速积极的发展。但是,我区信息化建设和信息安全保障仍存在一些亟待解决的问题,政务信息共享和业务协同水平不高,核心技术受制于人;信息安全工作的战略统筹和综合协调不够,重要信息系统和基础信息网络防护能力不强,移动互联网等技术应用给信息安全带来严峻挑战。必须进一步增强紧迫感,采取更加有力的政策措施,大力推进信息化发展,切实保障信息安全。
经过多年信息安全建设,我区很多单位已经配备了防火墙、入侵检测、IPS等信息安全防范设备,但是由于各单位信息化水平参差不齐,人员配备不足,技术手段不能适应信息技术的发展,很多安全设备没有得到充分利用,而安全事件一旦发生,又没有一个专门面向网络与信息安全的平台与机构来发挥预警、处理和支援的作用,安全意识不到位、技术手段不足和处理时机的延误等诸多因素都会带来无法估量的损失和影响。
二、主要应用技术
(一)分布式计算平台技术
分布式计算平台用来为各种任务提供分布式执行的能力。就是如何让多台服务器有效的来执行各种web检测任务。
分布式计算平台组成,包括用于存储任务的队列(IN QUEUE和OUT UQUEUE);用于驱使任务被调度的client单元;用于做分布式任务调度的Gearman Server单元;用于具体处理任务(挂马检测任务、篡改检测任务等)的worker单元。
用户的请求(比如一个页面的挂马扫描请求)会被放入IN QUEUE输入队列中,client从IN QUEUE输入队列中获取任务,传递给GS(Gearman Server),由GS挑选一个空闲的worker 进行执行,worker执行完成之后将结果由GS返回给client,再由client统一将结果放入OUT QUEUE输出队列。
(二)智能页面抓取技术
基于模拟点击技术的智能爬虫能高效并尽可能多的抓取网站页面,主要组成部分包含两个部件,部件一用于爬虫策略的控制、登陆验证数据的控制、及自定义可抓取页面、不可抓取页面的控制等,称为控制部件;部件二用于提取页面内连接,通过模拟点击技术来操纵DOM数据模型,并通过截获脚本执行数据达到提取链接和阻止对服务器数据的破坏,称为处理部件。
控制部件将站点url作为参数传递给处理部件,处理部件从目标web服务器获取web页面,并通过内置浏览器内核将获取的html文档解析成DOM数据模型。然后通过对htlm文档中的不同标记做处理,来提取web页面中的url。在处理script标记的时候,会对其中的用户点击单元进行模拟点击处理,就是模拟人的点击行为来触发点击事件。并在引发DOM数据的变更前截获url,同时拦截对DOM模型的修改,这样既达到了url的提取,又防止了对数据的修改。
(三)远程网页挂马检测技术
网页挂马攻击是指攻击者在获取网站或者网站服务器的部分或者全部权限(获取手段包括SQL注入、XSS攻击等)之后,在网页文件中嵌入一段恶意代码,这些恶意代码主要是一些包括浏览器本身漏洞、第三方ActiveX漏洞或者其它插件漏洞的利用代码,用户访问该挂马页面时,如果系统没有更新恶意代码中利用的漏洞补丁,则会执行恶意代码程序,进行盗号等危险操作。
远程网页挂马检测技术使用的是静态分析和动态解析相结合的主动挂马检测技术。检测实现原理可简单如下描述:挂马检测引擎模拟DOM对象和ActiveX控件,同时截获其内存分配行为,当被挂马代码想操作一个DOM对象或ActiveX控件时,就可以把他的操作行为全部监控下来。有了这种url页面的所有展示行为的监控,就可以分析这些行为,按照预定义的规则来判断是否有恶意代码的存在。判断方式有通过ActiveX的ID判断、通过对象的接口调用来判断和通过HeapSpray检测来判断,这三种判断方法保证了检测的高准确率。
参考文献:
[1]王盟.浅谈电子政务系统中的安全风险分析[J].网络安全技术与应用,2011(04).
[2]王仕龙.公共危机预警系统初探[J].中国商界(下半月),2008(06).
[3]刘邦凡.浅析电子政务建设原则[J].电子政务,2005(Z4).