大数据支持的高校网络空间安全动态评估系统设计与实现
大数据支持的高校网络空间安全动态评估系统设计与实现
现阶段,随着信息化技术的飞速发展,高校管理与信息化已密不可分,但网络空间安全问题也日益突显。通过明晰高校网络空间风险特点,认清高校网络空间风险新形势,全方位提升高校网络空间风险治理能力,科学实施高校网络空间风险治理策略,切实保障高校网络空间安全。
标签:大数据;高校网络空间;安全动态;评估系统设计
引言
随着互联网技术的快速发展和推广应用,高校网络空间安全面临着严峻挑战和威胁。大数据环境下,高校网络空间安全面临着高级可持续性威胁、分布式拒绝服务、大数据隐私泄露和移动智能终端安全威胁等典型问题。本文结合高校网络空间实际问题,制定了高校网络空间安全对策及保障体系。此外,分析了高校网络空间中的网络应用安全风险、用户终端安全风险、基于物联网设备的安全风险、云计算环境安全风险和基于用户行为的安全风险等,对提高高校网络空间的安全保障能力具有一定参考价值。
1大数据支持的高校网络空间安全动态评估系统设计分析
①资产评估模块资产是系统中具有价值的设备、资源、有形或无形的信息,是实施策略保护的对象。资产评估模块主要完成对当前网络系统存在的资产进行知识采集、识别、分类和赋值的功能。该模块由专家进行问卷评估的形式完成,将高校校园资产分为数据,软件,基础设备等大类。在资产评估模块选中各个类别进行分别评估操作,完成资产识别、分类,再根据系统分布设置的权重计算出当前网络系统资产值分布。系统资产类别和权重有管理权限可以在线动态修改。
②风险评估模块对资产评估模块、威胁评估和脆弱性评估模块的数据进行汇总处理,查询知识库中对应的评价指标,计算出系统最后的网络系统风险值,最后返回风险情况评估分析。校园网络空间安全风险值评估流程主要是系统用户成功登录后接收客户机浏览器端传递过来的表单数据,查询评估指标表、资产表、威胁表及脆弱性表,得到空间各模块脆弱值、威胁值计算出安全事件可能性,得到空间各模块资产值、威胁值计算各安全事件损失,计算空间风险值,生成评估报表,展示安全防范措施。
2大数据环境下高校网络空间安全评估系统实现
2.1制度建设与落实并重
由于高校网络具有系统庞大、逻辑关系复杂的特点,高校可从技术和管理两方面着手建立制度体系,技术方面涉及物理、网络、主机、应用和数据安全,管理方面涉及安全、机构、人员、系统建设和系统运维,以制度形式确立,落实责任人、分管人,并签订安全责任书。同时,高校要积极引进信息安全人员,加强
网络空间安全态势感知与大数据分析平台建设方案V1.0
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及 大数据 智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的 运营支持服务。 1.1 网络空间 态势感知系统 系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块 和通报 预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功 能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能 力,统 筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高 效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理, 定期组织攻防演练。 1.1.1 安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客 组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息 系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处 置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是网站云监测,发现网站可用性的监测、网站漏洞、网站挂马、网站篡改 (黑链 / 暗链)、钓鱼网站、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前 360 补天漏洞众测平台注册有 多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、 IDC 机房流量等流量采集上来后进行检测,发现 webshell 等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端 IOC 威胁情报进行比对,发现 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比 对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘 分析和关联,发现更深层次的安全威胁 1、网站安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术, 实现对重点网站安全性与可用性的监测,及时发现网站漏洞、网站挂马、网站篡改 (黑链 / 暗链)、钓鱼网站、众测漏洞和访问异常等安全事件。 4万 APT
网络空间安全态势感知与大数据分析平台建设方案V1.0
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。
大数据标准体系
附件1 大数据标准体系 序号一级分类二级分类国家标准编号标准名称状态 1 基础标准总则信息技术大数据标准化指南暂时空缺 2 术语信息技术大数据术语已申报 3 参考模型信息技术大数据参考模型已申报 4 数据处理数据整理GB/T 18142-2000 信息技术数据元素值格式记法已发布 5 GB/T 18391.1-2009 信息技术元数据注册系统(MDR)第1部分:框架已发布 6 GB/T 18391.2-2009 信息技术元数据注册系统(MDR)第2部分:分类已发布 7 GB/T 18391.3-2009 信息技术元数据注册系统(MDR)第3部分:注册系统元模型与基本属性已发布 8 GB/T 18391.4-2009 信息技术元数据注册系统(MDR)第4部分:数据定义的形成已发布 9 GB/T 18391.5-2009 信息技术元数据注册系统(MDR)第5部分:命名和标识原则已发布 10 GB/T 18391.6-2009 信息技术元数据注册系统(MDR)第6部分:注册已发布 11 GB/T 21025-2007 XML使用指南已发布 12 GB/T 23824.1-2009 信息技术实现元数据注册系统内容一致性的规程第1 部分:数据元已发布 13 GB/T 23824.3-2009 信息技术实现元数据注册系统内容一致性的规程第3 部分:值域已发布 14 20051294-T-339 信息技术元模型互操作性框架第1部分:参考模型已报批 15 20051295-T-339 信息技术元模型互操作性框架第2部分:核心模型已报批 16 20051296-T-339 信息技术元模型互操作性框架第3部分:本体注册的元模型已报批 17 20051297-T-339 信息技术元模型互操作性框架第4部分:模型映射的元模型已报批 18 20080046-T-469 信息技术元数据模块(MM) 第1 部分:框架已报批
大数据平台 数据质量评价维度
附录A (资料性附录) 数据质量评价维度 A.1 完整性 按照数据规则要求,数据元素被赋予数值的程度。即完整性指的是数据信息是否存在缺失的状况,数据缺失的情况可能是整个数据记录缺失,也可能是数据中某个字段信息的记录缺失。不完整的数据所能借鉴的价值会大大降低,完整性是数据质量评估标准的基础。 表A.1完整性评价指标 A.2 规范性 数据符合数据标准、数据模型、业务规则、元数据或权威参考数据的程度。 表A.1规范性评价指标
表A.2 (续) A.3 一致性 数据与其他特定上下文中使用的数据无矛盾的程度。即一致性是指数据是否遵循了统一的规范,数据集合是否保持了统一的格式。数据质量的一致性主要体现在数据记录的规范和数据是否符合逻辑。 表A.2 一致性评价指标 11
数据准确表示其所描述的真实实体(实际对象)真实值得程度。即准确性是指数据记录的信息是否存在异常或错误。 表A.3 准确性评价指标 A.5 唯一性 数据唯一不重复。即唯一性是指度量哪些数据是重复数据或者数据的哪些属性是重复的。 A.6 关联性 数据的关联不可缺失的。即关联性是度量哪些关联的数据缺失或者未建立索引。 关联性评价因素: a)查找到的信息和主题不完全一致,但确是其中某一方面的阐述; b)查找到的信息集合多数在用户需要的检索主题内; c)提供的信息主题与用户检索主题相匹配; d)查找到的信息多数与用户需要的信息无关; e)信息必须和用户需求有相关性。
数据在时间变化中的正确程度。即及时性是指数据从产生到可以查看的时间间歇,也叫做数据的延时时长,及时性对数据分析本身要求并不高,但如果数据分析周期加上数据建立的时间过长,就可能导致分析出的结论失去借鉴意义。 表A.4 时效性评价指标 A.8 可访问性 数据能被访问的程度。 表A.5 可访问性评价指标 13
评估大数据安全分析平台的五个因素
评估大数据安全分析平台的五 个因素 专家Dan Sullivan概述了评估大数据安全分析平台的标准,以收集,分析和管理为信息安全目的而生成的大量数据。 互联网上网络犯罪和其他恶意活动风险的增加促使企业部署更多的安全控制并收集比以往更多的数据。因此,大数据分析的进步现在正被应用于安全监控,以进行更广泛和更深入的分析,以保护宝贵的公司资源。这项技术称为大数据安全分析,部分利用了大数据的可扩展性,并将其与高级分析和安全事件以及事件管理系统(SIEM)相结合。 大数据安全分析适用于许多(但不是全部)用例。考虑检测和阻止高级持续威胁技术的挑战。使用这些技术的攻击者可能会采用节奏缓慢,低可见性的攻击模式来避免被发现。传统的日志记录和监控技术可能会错过这种攻击。攻击的步骤可能在不同的设备上发生,在较长的时间段内,并且似乎是不相关的。扫描日志和网络流的可疑活动有时可能会错过攻击者杀伤链的关键部分,因为它们与正常活动的差异可能不大。避免丢失数据的一种方法是收集尽可能多的信息。这是大数据安全分析平台中使用的方法。
顾名思义,这种安全分析方法借鉴了用于收集,分析和管理高速生成的大量数据的工具和技术。这些相同的技术用于驱动产品- 从用于流式视频用户的电影推荐系统,到车辆性能特征的分析,以优化运输车队的效率。它们在应用于信息安全时同样有用。 在评估大数据安全分析平台时,请务必考虑对实现大数据分析的全部优势至关重要的五个因素: ?统一数据管理平台; ?支持多种数据类型,包括日志,漏洞和流量; ?可扩展的数据摄取; ?特定于信息安全的分析工具; 和 ?合规报告。 这些功能共同提供了以生成数据的速度收集大量数据所需的广泛功能,并能够足够快地分析数据,使信息安全专业人员能够有效地响应攻击。 因素#1:统一数据管理平台 统一的数据管理平台是大数据安全分析系统的基础; 数据管理平台存储和查询企业数据。这听起来像一个众所周知和解决的问题,它不应该是一个区别特征,但它是。使用大量数据通常需要分布式数据库,因为关系数据库不像分布式NoSQL数据库那样经济高效地扩展 - 例如Cassandra和Accumulo。同时,NoSQL数据库的可扩展性也有其自身的
大数据平台安全建设方案分析
大数据平台 安全建设方案解析
2017年 一、方案概述 随着国家提出大数据促进经济社会转型发展的战略思路,大数据平台建设目前已经是政务信息化建设中的焦点内容,各省级政府依托强大的信息化体系率先做出尝试。大数据平台业务系统搭建之初,作为整个平台稳定、持续运行的基础,安全建设方案会是整个平台项目中重要的一环。 大数据平台整体安全建设,从数据采集到数据资产的梳理,再到平台的访问安全管控和数据存储安全,以及数据共享分发过程中的版权保护,整个安全方案如何形成数据访问和使用过程的闭环,并且能够实现安全策略的统一下发和协同配合,是摆在平台建设方面前的棘手问题,本文以某大数据平台安全建设方案为参考,抛砖引玉,共同探讨行之有效的安全建设思路,该方案已经初步得到建设方认可,具备可落地基础。
二、安全建设思路 1、信息资源梳理建设 1.1、业务需求:数据梳理 在进行安全建设之初,针对需要保护的信息资源,需要先进行状况摸底:1)提供对部门的组织结构、业务角色、信息资源类别、信息化系统等的管理和维护功能; 2)能够对业务流程图和数据流程图进行管理,能够识别协同关系和信息共享需求,能够明确职责、挖掘、整合数据资源、规范数据表示; 3)能够对数据库的主题库、逻辑实体、实体关系图、数据映射图、数据元标准、信息分类编码进行管理。 1.2、技术实现:数据库漏扫、数据资产梳理 数据库漏扫:实现对数据库系统的自动化安全评估,能够有效暴露当前数据库系统的安全问题,对数据库的安全状况进行持续化监控。利用数据库漏扫产品覆盖传统数据库漏洞检测项;实现弱口令扫描、敏感数据发现、危险程序扫描、渗透测试等高端检测能力;通过预定义安全策略、自定义安全策略,实现高效、有针对性的安全状况扫描检测,和通过各种角度、各种专题、详略不一的报表直观呈现数据库系统的安全状况样貌。 1.3、数据资产梳理:实现数据资产的“静态+动态”梳理 静态梳理:实现数据库自动嗅探:自动搜索企业中的数据库,可指定IP段和端口的范围进行搜索,自动发现数据库的基本信息;按照敏感数据的特征或预定义的敏感数据特征对数据进行自动识别,持续发现敏感数据;根据不同数据特征,对常见的敏感数据进行分类,然后针对不同的数据类型指定不同的敏感级别。 动态梳理:对平台数据库系统中不同用户、不同对象的权限进行梳理并监控权限变化。监控数据库中用户的启用状态、权限划分、角色归属等基本信息;归纳总结用户访问情况,尤其针对敏感对象,能够着重监测其访问权限划分情况。
基于大数据分析的电梯安全风险评估
基于大数据分析的电梯安全风险评估 摘要:电梯与人民群众的生命财产安全和日常生活息息相关。随着城镇化进程 的加快和人民生活水平的不断提高,电梯已成为市区居民生产、生活不可或缺的 垂直交通工具。近几年以来,电梯每年以15%的数量快速增长,在电梯台数增长 的同时,电梯故障甚至事故也明显增加,新闻媒体屡屡报出电梯关人事件或其他 电梯相关事故。本文分析了大数据分析的电梯安全风险评估方法。 关键词:大数据分析;电梯安全风险;评估方法; 近年来,电梯事故井喷式爆发。2015 年7月,某百货的6楼至7楼上行手扶电梯发生踏 板翻转,30岁的向某被扶梯夹住,消防员现场强拆5 小时将她救出时已经没有生命迹象。目 前电梯发现故障,如果遇到停电,则需要工人到现场确认,导致部分故障无法做到及时发现。 1 大数据的内涵 大数据指不能在规定的时间通过常规软件工具完成捕捉、管理与处理的一种数据集合, 它是借助新技术、新处理模式方可具有突出的决策力以及洞察力的丰富的信息资产。有人曾 给出以下定义:规模庞大,且在数据获取、日常管理、基本存储和常规分析方面远远优于原 有数据库软件的一个数据集合,它包含丰富的数据规模、有效的数据流转、形态各异的数据 类型,且价值密度低。从战略意义的层面来说,大数据技术不单纯是要掌握较多的数据信息,还应基于此进行有效的处理。简单来说,若把大数据看成一种产业,则产业盈利重点则是增 强数据处理能力,借助挖掘使数据体现价值。从技术层面而言,大数据和云计算之间紧密相关。显而易见,大数据不能通过单台计算机实施处理操作,一定要选择分布式结构。其显著 优势为能够对海量数据开展分布式挖掘,且会结合应用云计算、云存储的相关技术,例如, 虚拟化技术和分布式处理。 2 基于大数据分析的电梯安全风险评估 2.1 电梯安全综合评估指标体系。第一,I 级指标。根据收集的坠落事故、触电事故、关 人事故等电梯安全事故案例,在充分分析事故发生直接原因和间接原因的基础上,按主、客 观因素建立评价指标体系。根据电梯运行系统的特点,将指标体系分为两大类: 一类是静态指标。该类指标反映电梯运行系统客观因素,相对固定,主要是不可抗力的设备因素,定为“电梯设备U”; 二类是动态指标,即为使用环境、管理、维护等相对变化的人为因素,定为“使用 环境W、运行管理X”。建立的电梯评价指标体系将是“人、机、环境、管理”因素的综合反映。第二,II 级指标。I 级评价指标中“电梯设备U”按照各个子系统的作用和功能不同进行分解, 即划分为: 曳引系统、导向系统、轿厢、门系统、重量平衡系统、电力拖动系统、电气控制系统和安全保护系统,关于整机性能试验的要求,添加整机性能试验评价指标。第三,III、IV 级指标。以国家现行的电梯安全技术法规和标准为依据,综合电梯检验机构历年电梯验收和 定期检验报告、事故分析报告,包括设计、制造、安装、改造、维修保养原始资料文件记录,集合业内专家数轮反复征询、强化探讨,兼顾资料获取的难易程度及现场评价的可操作性, 制定细分化的III、IV 级评价指标。 2.2 电梯诊断。从客户的角度来说,电梯出现突发事故尤为可怕,若想探究出电梯事故的 主要引发原因存在一定困难,这是因为电梯系统较为复杂,存在各种不确定性。一旦出现电 梯事故,一般花费较少时间进行维修,而故障排查过程会花费大量时间来明确故障源。对电 梯行业而言,预诊断应用较少,截止到当前,只有一线品牌和某些自主开发能力突出的电梯 厂家着手布局,借此扩大厂家影响力,而部分人员则通过电梯应急处置平台以及检验检测数 据进行分析和预判。本文主要从以下方面探讨电梯诊断。第一,电梯数据直接获取。随着人 工智能、大数据、云计算的兴起,各个厂家逐渐将数据传输融入电梯的制造过程,远程监控 无需二次对电梯进行改造、加装各种传感器,然后经由移动网络,将电梯数据输送至厂家服 务器,然后利用大数据平台对数据进行分析预判,挖掘各种信息可能带来的结果。这种数据 由于厂家统一部署,数据相对准确,减少了数据误报率。第二,检验检测数据获取。目前从 国家层面已经着手建立检验检测数据归集平台,该平台的上线将汇聚全国各个检验检测机构 的数据,通过对历年检验检测数据的分析得到电梯故障可能发生的概率趋势及故障点,从而
(完整word版)大数据安全分析(分析篇)
这一篇应该是比较容易引起争议的,大家现在乐于说看见(visibility )的力量,如何看到却是一个尚在探索中的问题。数据是看到的基础条件,但是和真正的看见还有巨大的差距。我们需要看到什么?什么样的方法使我们真正看到? 安全分析和事件响应 网络空间的战斗和现实世界有很大的相似性,因此往往可以进行借鉴。美国空军有一套系统理论,有非常的价值,值得深入思考并借鉴,它就是OODA周期模型: 观察(Observe):实时了解我们网络中发生的事件。这里面包括传统的被动检测方式:各种已知检测工具的报警,或者来自第三方的通报(如:用户或者国家部门)。但我们知道这是远远不够的,还需要采用更积极的检测方式。即由事件响应团队基于已知行为模式、情报甚至于某种灵感,积极地去主动发现入侵事件。这种方式有一个很炫的名字叫做狩猎。 定位(Orient):在这里我们要根据相关的环境信息和其他情报,对以下问题进行分析:这是一个真实的攻击吗?是否成功?是否损害了其它资产?攻击者还进行了哪些活动? 决策(Decision):即确定应该做什么。这里面包括了缓解、清除、恢复,同时也可能包括选择请求第三方支持甚至于反击。而反击往往涉及到私自执法带来的风险,并且容易出错伤及无辜,一般情况下不是好的选择。 行动(Action):能够根据决策,快速展开相应活动。 OODA模型相较传统的事件响应六步曲(参见下图),突出了定位和决策的过程,在现今攻击技术越来越高超、过程越来越复杂的形势下,无疑是必要的:针对发现的事件,我们采取怎样的行动,需要有足够的信息和充分的考量。 在整个模型中,观察(对应下文狩猎部分)、定位与决策(对应下文事件响应)这三个阶段就是属于安全分析的范畴,也是我们下面要讨论的内容,附带地也将提出个人看法,关于大数据分析平台支撑安全分析活动所需关键要素。