《网络安全分析及监控平台安全防护技术(精品推荐).docx》由会员分享,可在线阅读,更多相关《网络安全分析及监控平台安全防护技术(精品推荐).docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全分析及监控平台安全防护技术摘要:网络安全分析与监控平台通过收集防火墙、入侵防御系统等网络安全设备的事件日志、安全策略等信息,实现对整个网络的安全分析与监控,因而其安全性尤其重要。为了保障平台安全性,提出多重安全防护机制:利用智能密码钥匙和数字证书,实现高强度的身份鉴别;通过设置多级管理体系,实现管理权限的分割与访问控制;对每一次操作进行日志记录和数字签名,保证操作行为日志的完好性,可用于安全审计与责任追溯;采用机密分享技术实现对对称密钥的分割存储,以保证安全策略等重要数据备份恢复的安全性。这些安全防护技术的使用,能够有效加强网络安全分析与监控平台的安全性,防止攻击者通过平台获取关键信息
2、,或进行非法篡改等恶意攻击。关键词:网络安全;安全策略;身份鉴别;数字签名;机密分享在电力、能源等领域的信息网络环境中,应用了各种规模庞大的生产、办公等业务系统,信息化已浸透到电网价值链的各个环节,因而保障信息网络安全已成为电力信息系统正常、稳定运行的关键因素。为了保证电力信息网的安全性,需要在网络边界部署防火墙、入侵检测系统IDS等多种网络安全防护设备,并根据业务需求制定安全防护策略。然而,随着访问控制策略的不断增加,由于网络安全设备数量多,且分布分散,假如对设备运行状态、策略内容采用人工手动管理方式,则实时性差、效率低下、问题定位耗时,而且无法呈现策略生命全经过,管理特别困难。为了对网络安
3、全设备进行统一管理与集中分析,需要建立一个网络安全分析与监控平台,以实现安全策略管理集中化、策略操作流程化、策略内容和配置合规化、设备运行状态实时化等,进而实现对全网防护设备进行安全、集中、规范化管理,营造良好的网络环境。近年来,很多研究者提出各种类型的网络安全监控与分析平台1-4,这些平台不但能够收集网络安全设备的配置文件、安全事件、流量日志等信息,还能实现对网络的实时监控与动态管理。如宁建创等5提出基于大数据的网络安全分析技术发展趋势,利用大数据进行网络资源的优化配置与主动防御;宋岩6对网络安全综合监控平台的安全策略进行分析,以实现对安全策略的一致性检测与冲突消解;赵颖等7对网络安全综合平
4、台的展示层和可视化技术进行系统阐述,通过交互式可视化工具提升网络安全分析能力。对网络安全综合监控平台更具体的综述可参见参考文献8-10。网络安全分析与监控平台通过收集防火墙等网络安全设备的事件日志、安全策略等信息,实现对整个网络的全局分析与实时监控,因而该平台是整个网络安全的管理核心和数据聚集点。为了保障平台安全性,需要从平台管理员身份鉴别与访问控制、关键数据机密性与完好性保护、平台操作行为安全审计与不可否认性等方面进行重点防护。针对网络安全分析与监控平台的安全风险,本文提出一系列安全防护技术以加强其安全性。在身份鉴别方面,利用智能密码钥匙和数字证书,实现对超级管理员、管理员和审计员的双因素身
5、份鉴别;通过设置三级管理体系,实现管理权限的分割与访问控制;管理员在平台上的每一次操作,都进行日志记录和数字签名,以便于安全审计与责任追溯;采用Shamir的门限机密分享技术,实现对密钥的分割保存,保证安全策略等重要数据备份恢复的机密性与完好性。因而,这些安全措施能够有效提升整个网络环境的安全性。1网络安全分析与监控平台架构设计网络安全分析与监控平台架构如图1所示,包括采集控制层、接口层、应用服务层和业务展现层。1采集控制层主要面对防火墙、入侵检测系统等网络安全设备,通过Telnet、SSH、SNMP、TFTP等协议实现安全策略收集、事件日志收集、运行状态采集等功能。2接口层包括采集控制接口、
6、工单系统接口、4A系统接口等,分别与网络中的各业务系统进行数据对接。3应用服务层位于采集控制层与展现层之间,负责对采集的数据信息根据业务规则、业务关系进行分析与逻辑处理,为展现层提供必要的数据信息。4业务展现层是对系统功能进行集中展现与交互的界面,可实现设备状态监控、预告警中心等功能。2平台安全防护关键技术网络安全分析与监控平台通过收集各种网络安全设备的安全策略、事件信息、日志信息等数据,以对其进行综合分析、实时监控和统一管理,因而其安全性至关重要。针对该平台的安全防护技术包括管理员身份鉴别、访问控制、通信安全、安全审计、关键数据备份等。通过单一的登录口令或生物特征进行身份鉴别,其安全强度较低
7、,而且不能实现机密性、完好性、不可否认性等安全需求。因而,本文采用数字证书的方式,不但能够实现管理员高强度身份鉴别,还能实现关键数据完好性保护、操作行为不可否认性以及密钥协商等功能。为了实现对平台管理员的身份鉴别,需要建立一个CA数字认证系统。该系统支持SM2国产椭圆曲线密码算法,负责为平台的各类管理员生成非对称密钥对并颁发数字证书,每名管理员使用一个USB接口的智能密钥作为私钥和数字证书的载体,每一次签名运算都在智能密钥内部生成,以保证其安全性。关于CA数字认证系统的建设和数字证书的使用,参见参考文献11、12。本平台采用SM2椭圆曲线密码算法13实现数字签名和密钥协商功能,并采用SM3密码
8、杂凑算法14作为哈希运算算法,以及SM4分组密码算法15作为数据加密算法。2.1身份鉴别与访问控制本平台采用三级管理机制,包括超级管理员、管理员和审计员,以实现不同管理权限的分割与访问控制:超级管理员负责对管理员与审计员账号进行设置,不负责平台详细日常操作;管理员负责平台日常管理和监控操作,包括对各种网络安全设备的实时监控、策略备份恢复、事件分析等,每一次操作都记入日志,并进行数字签名;审计员负责对平台进行审计,同时对管理员的操作行为日志进行安全审计。平台管理员设置及身份鉴别工作流程描绘如下:1系统初始化。平台初始化时,首先生成超级管理员,为超级管理员生成SM2非对称密钥对和数字证书,并导入智
9、能密钥。超级管理员需要设置口令,作为使用智能密钥的认证凭证。2生成管理员和审计员。超级管理员在平台插入智能密钥,输入口令成功登录后,能够生成管理员和审计员,并为每个管理员和审计员生成SM2非对称密钥对、数字证书和相应的智能密钥。根据平台使用情况,能够成3个以上的管理员,每个管理员拥有本人的智能密钥和数字证书。3管理员登录与操作。当管理员登录时,需要插入智能密钥并输入正确口令才能成功登录,在平台进行的每一笔操作都要用本人的私钥进行签名,以保证每一次操作的不可否认性。4审计员登录与审计操作。审计员插入智能密钥、输入口令登录平台后,对平台的日志记录和管理员操作活动进行审计。管理员活动包括对平台上的信
10、息进行查看、修改、备份、恢复等操作。日志信息包括使用资源、使用时间、执行操作等。超级管理员、管理员和审计员的登录经过是一个以挑战应答协议为基础的身份鉴别经过,详细实现流程如下:登录者发起身份鉴别请求。管理员或超级管理员、审计员登录时,首先向平台发起身份鉴别请求;平台发送挑战码。平台接收到请求后,产生一个随机数R,并发送给登录者;登录者发回签名作为响应。登录者收到随机数R后,对随机数R及其它相关信息例如时间戳,双方数字证书等进行签名,将签名结果发回平台;平台验证签名。平台收到登录者签名后,采用登录者公钥验证签名正确性,如验证通过则登录成功,否则拒绝登录请求。2.2数据采集与通信网络安全分析与监控
11、平台的数据采集功能将获取防火墙、入侵检测系统等网络安全设备的配置信息、安全策略、网络日志等信息,并将其记录到平台中。因而,要保证相关数据在网络传输中的机密性与完好性。不同网络安全设备可能使用不同的管理配置或日志记录接口,常见协议包括SNMP、SSH、Syslog等。SNMPV3和SSH等协议本身都支持数据加密功能,因而能够直接配置加密传输,即可保证数据传输的机密性。Syslog协议本身不支持加密功能,但能够采用SSL/TLS协议,以实现对Syslog数据传输的加密保护。对于某些特殊的网络安全设备,假如允许安装采集客户端软件,并分别为平台和采集客户端生成数字证书和SM2非对称密钥对,用于双方的身
12、份鉴别和安全通信,则详细通信流程如下:发送采集指令。平台向网络安全设备的采集客户端发送数据收集指令;启动密钥协商。采集客户端收到指令后,向平台发起SM2密钥协商协议;生成对称密钥。平台和网络安全设备之间经过若干轮的密钥协商交互协议,完成SM2密钥协商经过,产生一个双方分享的SM4密码算法对称密钥Session_Key;加密传输。网络安全设备的采集客户端将相应的配置、策略、日志等信息使用SM4密码算法密钥为Session_Key加密后,将密文传输给平台;数据解密。平台将密文利用SM4密码算法密钥为Session_Key解密后,将数据存入平台,并采用平台私钥对数据进行数字签名,以保证数据完好性,防
13、止非法篡改。2.3关键数据存储与备份网络安全分析与监控平台还具有对安全策略等关键数据的备份和恢复功能,即能够将安全策略等关键数据加密后存储到平台外,需要时再进行解密并导入平台中。为了保障关键数据的机密性和完好性,本文采用机密分享和数字签名技术实现对关键数据的加密与签名,以防止数据泄露与非法篡改,详细备份流程如下:1对关键数据进行签名。设需要备份的安全策略等关键数据信息为Data,首先用平台私钥对数据Data进行数字签名,得到签名值SigData。2对数据进行加密。生成一个随机对称密钥Key,对关键数据Data和签名值SigData进行加密,即计算密文Cipher-text=Encrypt_Ke
14、yData,SigData。3对密钥Key的机密分享。随机生成一个素数p和一个小于p的整数a1,得到一个模p的多项式y=a1x+Keymodp。随机选择3个整数x0、x1、x2,分别计算多项式的值y0、y1、y2,并分别将x0,y0、x1,y1、x2,y2存入3名管理员的智能密钥中。4密文存储:密文文件Cipher-text存储在平台外的U盘或硬盘中,将3个智能密钥分别交给3名管理员保存。关键数据恢复流程描绘如下:导入密文数据。读取密文文件Cipher-text,并存储到平台中;恢复密钥Key。两名持有备份智能密码钥匙的管理员能够是3名管理员中的任意两名,先后成功登录平台,并分别插入本人持有的
15、智能密码钥匙。由于有x0,y0、x1,y1、x2,y2中的两对值,因而能够求解y=a1x+Keymodp的参数a1和Key;解密密文。用密钥Key解密密文Cipher-text,得到关键数据Data和签名值SigData;验证签名。用平台公钥验证关键数据Data的签名值SigData,假如验证通过,则关键数据Data未被篡改,将Data导入平台中。3平台安全性分析3.1身份鉴别与访问控制安全性本平台的身份鉴别采用双因子认证的智能密钥,在智能密钥内置数字证书和密钥对,并通过口令进行登录认证,以保证管理员身份鉴别时的安全性。每一次管理员登录时,都由平台发送随机数作为挑战码,由管理员对随机数进行数字
16、签名,平台通过验证签名防止消息重放攻击。超级管理员、管理员和审计员分别具有不同操作权限,每一次操作都进行数字签名并记录日志,可用于日后追溯与审计,实现每一次操作都具有不可抵赖性。3.2远程认证与通信安全性本平台与每一台网络安全设备都具有本人的数字证书和非对称密钥对,用于相互之间的身份鉴别与通信。网络安全设备采用的SSL/TLS、SSH、SNMPV3等安全协议以及本文给出的安全通信协议,都是基于数字证书与Diffie-Hellman密钥协商机制的安全通信协议。首先通过双方的数字证书进行双向认证,然后通过密钥协商协议生成对称秘钥Key,之后的数据传输都采用密钥Key进行加密传输,密钥Key一定时间
17、之后通过重新协商进行更新。因而,整个通信经过实现了平台与网络安全设备之间的双向认证,能够保证数据的机密性和完好性。3.3关键数据备份与恢复安全性对于本平台安全策略等关键数据的备份,必须对数据进行加密后才能导出平台,因而加密关键数据的密钥保护至关重要。本文采用Shamir的t,n门限方案16-20,将密钥通太多项式插值分为3个密钥因子,由3名管理员分别保存,因此具有更高的安全性。当需要将关键数据恢复到平台时,需要3名管理员中的两名同时登录,才能重构密钥,将密文关键数据解密后导入平台。而且在导出关键数据时,用平台私钥对数据进行签名,恢复数据时则需要验证签名,以防数据被篡改。本文设计的网络安全分析与监控平台,采用双因素身份鉴别与数字证书技术,实现了高强度的身份鉴别与访问控制机制;采用双向认证和密钥协商机制,实现与远程设备之间的网络通信安全;采用数字签名与门限密码技术,实现对关键数据的完好性及机密性保护。这些安全防护技术能够显著提高网络安全分析与监控平台的安全防护能力。将来的一个研究方向是采用大数据分析技术对平台收集的各种数据进行分析、挖掘,进而实现对网络安全的整体监控与态势感悟。