□侯琳琳 宋博 李婧 侯爵

（河南省水利信息中心）

惡意代碼監(jiān)控系統(tǒng)在水利信息網(wǎng)中的影響

□侯琳琳 宋博 李婧 侯爵

（河南省水利信息中心）

網(wǎng)站的安全直接影響數(shù)據(jù)庫的安全，因此網(wǎng)站的安全防護尤為重要。惡意代碼是一段程序能隱藏在另一個程序中，在運行過程中可自啟動，從而達到破壞被感染計算機的數(shù)據(jù)、程序以及對被感染計算機進行信息竊取。惡意代碼已成為信息安全急需解決的問題。文章分析了河南省水利網(wǎng)站的現(xiàn)狀，面臨的安全隱患，并介紹了惡意代碼綜合監(jiān)控系統(tǒng)的含義，以及在防護保障網(wǎng)站安全起到的作用。

水利信息；網(wǎng)站安全；網(wǎng)絡(luò)攻擊；監(jiān)控系統(tǒng)

1 引言

進入21世紀后，全球經(jīng)濟社會的發(fā)展深受信息化的影響，一個國家和地區(qū)現(xiàn)代化水平發(fā)展如何更多體現(xiàn)在信息化發(fā)展水平上。網(wǎng)站成為互聯(lián)網(wǎng)、通信與計算機技術(shù)快速發(fā)展的產(chǎn)物，也是網(wǎng)絡(luò)發(fā)布信息的重要載體。近年來，各事業(yè)單位越來越重視網(wǎng)絡(luò)應(yīng)用，并通過自身對網(wǎng)絡(luò)的應(yīng)用程度來加大影響力。大力發(fā)展網(wǎng)絡(luò)應(yīng)用有利有弊，帶來的便利之外，也存在一些隱患，網(wǎng)絡(luò)攻擊就是問題之一。

隨著信息化的深入發(fā)展,信息安全的重要性也提上日程。目前中國網(wǎng)絡(luò)與信息安全工作面臨的問題有：網(wǎng)站被篡改、網(wǎng)絡(luò)仿冒、網(wǎng)頁惡意代碼、計算機被植入木馬等。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）2014年3月發(fā)布的《2013年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》，2013年中國境內(nèi)被篡改網(wǎng)站數(shù)量為24 034個，其中政府網(wǎng)站被篡改數(shù)量為2 430個；我國境內(nèi)被植入后門的網(wǎng)站數(shù)量為76 160個，其中政府網(wǎng)站2 425個。因此，必須采取措施保障和防護政府網(wǎng)站安全。在水利信息化基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用快速發(fā)展的同時，作為水利信息化保障環(huán)境之一的安全體系也應(yīng)逐步建立和發(fā)展。

2 河南省水利網(wǎng)站發(fā)展現(xiàn)狀

2.1 背景

河南省水利信息化自2001年建設(shè)以來，專業(yè)應(yīng)用系統(tǒng)包括：防汛抗旱指揮系統(tǒng)、水資源管理信息系統(tǒng)、水利電子政務(wù)系統(tǒng)、水利財務(wù)管理系統(tǒng)、初步建設(shè)了河南省水土保持監(jiān)測系統(tǒng)一期工程、按照水利部安排，初步建設(shè)了河南省水利移民管理信息系統(tǒng)。同時實現(xiàn)了和省氣象局、省國土廳信息共享。目前，河南省水利信息網(wǎng)已初具規(guī)模。見圖1所示。

圖1 水利信息網(wǎng)絡(luò)平臺圖

2.2 面臨的問題

每天都不斷地有惡意軟件新樣本產(chǎn)生，高達83%的企業(yè)遭受過高級持續(xù)威脅（APT）的攻擊。2013年APT已經(jīng)被人們扣上了“網(wǎng)絡(luò)安全漏洞之年”的帽子。大量的網(wǎng)絡(luò)攻擊事件讓眾多金融機構(gòu)損失高達數(shù)百萬美元；政府和企業(yè)的保密與受控信息被大量竊取?？偨Y(jié)近年來的安全事件，其相表現(xiàn)出的特點有以下幾個方面。

2.2.1 攻擊手段不斷創(chuàng)新

新的惡意代碼攻擊途徑、躲避手段層出不窮，攻擊技術(shù)不斷創(chuàng)新。攻擊滲透技術(shù)和隱藏技術(shù)是兩大主流攻擊手段；攻擊滲透技術(shù)是使惡意代碼植入到目標主機中；隱藏技術(shù)是該技術(shù)中的隱藏模塊和用戶電腦中的安全檢測工具爭奪對操作系統(tǒng)底層的控制，惡意代碼的隱藏模塊嘗試控制其他檢測程序，并從檢測結(jié)果中刪除所需隱藏的信息。更多的未知攻擊、未知漏洞成為新的安全形勢下實現(xiàn)攻擊的主要形式，APT攻擊作為網(wǎng)絡(luò)攻擊的核武器成為關(guān)注的焦點。

2.2.2 未知惡意代碼數(shù)量迅速增長

據(jù)統(tǒng)計，目前每天未知惡意代碼、特種木馬的數(shù)量增長迅速，并且向產(chǎn)業(yè)化和自動化方向發(fā)展。網(wǎng)頁瀏覽是感染病毒的主要來源，并且攻擊者專注于定制惡意代碼工具包來開發(fā)并傳播威脅。一些預(yù)先設(shè)置的軟件主要用于簡單新穎的網(wǎng)站為推動廣泛運用做鋪墊。這種平臺沒有安全防護措施，因此產(chǎn)生大量病毒漏洞。數(shù)據(jù)顯示，未知威脅中有90%試圖竊取用戶機密信息，尤其是銀行賬戶信息和信用卡數(shù)據(jù)。惡意代碼傳播種類不再純粹是軟件漏洞或錯誤操作導(dǎo)致，也會跨平臺攻擊，惡意代碼類型仍在不斷變化，種類更加復(fù)雜。

2.2.3 攻擊目的日趨復(fù)雜、攻擊后果日趨嚴重

新形勢下網(wǎng)絡(luò)攻擊已經(jīng)不是一些技術(shù)達人炫耀的手段，而是團體利益甚至國家利益的對抗；惡意代碼的攻擊已成為信息數(shù)據(jù)戰(zhàn)、網(wǎng)絡(luò)安全戰(zhàn)最重要的入侵手段之一。危害主要表現(xiàn)有：破壞數(shù)據(jù)、搶占系統(tǒng)資源、占用磁盤存儲空間、影響計算機運行速度等。相對于個人隱私、企業(yè)信息的泄露，新形勢下攻擊更是指向國家機密，后果日益嚴重。

3 監(jiān)控系統(tǒng)的功能

縱觀惡意代碼的整個生命周期，主要包括滲透、潛伏、攻擊3個階段，傳統(tǒng)防護設(shè)備只能在滲透階段通過靜態(tài)特征監(jiān)測的方式實現(xiàn)惡意代碼的前期防護，一旦惡意代碼成功滲透，則對后續(xù)的攻擊無能為力。在惡意代碼的潛伏和攻擊階段，網(wǎng)絡(luò)中存在大量的異常通信行為和活動特征，通過對異常行為的有效監(jiān)控，即可實現(xiàn)對惡意代碼的全周期防護，并有效的防護惡意代碼加殼、變種、變異以及未知惡意威脅。

在異常監(jiān)測的同時，配合其他多種手段，從多個層面實現(xiàn)監(jiān)測，保證了系統(tǒng)的完整性和全面性，其中包括：異常分析（異常不等于誤報，通過分析可以真正的確認威脅、發(fā)現(xiàn)威脅產(chǎn)生的原因以及后果等）、特征監(jiān)測、信譽庫監(jiān)測、自定義監(jiān)測。另外，基于安全大數(shù)據(jù)分析平臺，能夠?qū)崿F(xiàn)與網(wǎng)絡(luò)監(jiān)控審計、數(shù)據(jù)庫監(jiān)控審計、日志審計產(chǎn)品進行深度關(guān)聯(lián)分析，最終形成全面、立體的分析解決方案。所謂異常監(jiān)測技術(shù)，主要通過網(wǎng)絡(luò)通信中的協(xié)議異常、行為異常、流量異常等多個維度進行監(jiān)測分析，同時基于強大的異常監(jiān)測引擎和異常行為庫，實現(xiàn)對異常通信的全面監(jiān)控。

3.1 多維度監(jiān)控功能

惡意代碼綜合監(jiān)控系統(tǒng)是一個集多種檢測和監(jiān)測技術(shù)、可以部署在網(wǎng)絡(luò)關(guān)鍵節(jié)點（網(wǎng)絡(luò)出入口、網(wǎng)絡(luò)匯聚點、關(guān)鍵應(yīng)用系統(tǒng)、重要數(shù)據(jù)系統(tǒng)）、實現(xiàn)多維度檢測和監(jiān)測各種惡意代碼以及特種木馬為主體的網(wǎng)絡(luò)攻擊威脅的實時監(jiān)控系統(tǒng)。在網(wǎng)絡(luò)全數(shù)據(jù)流上對流量、數(shù)據(jù)包、會話、網(wǎng)絡(luò)協(xié)議、地址、C&C（控制命令通道）進行異常監(jiān)測分析，對惡意代碼、特種木馬進行靜態(tài)分析、動態(tài)分析和活動行為分析，最終實現(xiàn)精準檢測“已知”和異常發(fā)現(xiàn)“未知”。

3.2 實時的監(jiān)控報警功能

系統(tǒng)的監(jiān)控報警功能分為兩種類型：一類是事件報警，即由惡意代碼、特種木馬的特征檢測、監(jiān)測發(fā)現(xiàn)并觸發(fā)的安全事件報警，報警內(nèi)容包括：事件名稱、事件類型、發(fā)生時間、目標地址等；報警方式包括：屏幕顯示、聲音提示。安全管理員可針對報警信息采取相應(yīng)措施，如：切斷被攻擊的網(wǎng)絡(luò)路徑及被控主機的網(wǎng)絡(luò)通信，根據(jù)報警提供的事件信息對攻擊源與被攻擊目標進行排查定位。另一類是由三大異常監(jiān)測機制和自定義監(jiān)測策略發(fā)現(xiàn)的各種異常行為報警，安全分析人員根據(jù)異常報警記錄的異常特征信息以及“黑盒”記錄的分析數(shù)據(jù)進行研判分析，確定異常的性質(zhì)（探測、滲透、聯(lián)絡(luò)和攻擊）。

3.3 全面的監(jiān)控態(tài)勢報告功能

通過按時間點、時間區(qū)間、事件類型、網(wǎng)絡(luò)地址等條件進行監(jiān)控態(tài)勢統(tǒng)計，支持各種類型（圖形和表格）的可視化呈現(xiàn)，為用戶提供全網(wǎng)、重點保護區(qū)域、網(wǎng)站、應(yīng)用系統(tǒng)、數(shù)據(jù)系統(tǒng)的安全監(jiān)控態(tài)勢的展示。

4 結(jié)語

河南省水利信息安全體系的構(gòu)建首先需要有一個頂層設(shè)計，使整個體系各要素圍繞信息安全的核心理念，最終實現(xiàn)安全防護與管理。在整個設(shè)計中利用最新的網(wǎng)絡(luò)安全技術(shù)，通過統(tǒng)一安全的數(shù)據(jù)接口、數(shù)據(jù)分析中心、安全策略中心、安全管理中心及集成的安全管理界面完成信息安全技術(shù)和管理的整合，構(gòu)建成先進、穩(wěn)定、高效、可靠的水利信息安全體系，才是信息安全體系建設(shè)的發(fā)展方向。

［1］石輝.計算機網(wǎng)絡(luò)及政府網(wǎng)站的安全性探討［J］.信息安全與技術(shù)，2011（10）：78-80.

［2］詹全忠，陳嵐.淺談水利網(wǎng)絡(luò)與信息安全體系［J］.水利信息化，2010（10）：32.

編輯：劉長垠 韋詩佳

TV22

B

1673-8853（2017）06-0089-02

2017-03-15