□侯琳琳 宋博 李婧 侯爵

（河南省水利信息中心）

恶意代码监控系统在水利信息网中的影响

□侯琳琳 宋博 李婧 侯爵

（河南省水利信息中心）

网站的安全直接影响数据库的安全，因此网站的安全防护尤为重要。恶意代码是一段程序能隐藏在另一个程序中，在运行过程中可自启动，从而达到破坏被感染计算机的数据、程序以及对被感染计算机进行信息窃取。恶意代码已成为信息安全急需解决的问题。文章分析了河南省水利网站的现状，面临的安全隐患，并介绍了恶意代码综合监控系统的含义，以及在防护保障网站安全起到的作用。

水利信息；网站安全；网络攻击；监控系统

1 引言

进入21世纪后，全球经济社会的发展深受信息化的影响，一个国家和地区现代化水平发展如何更多体现在信息化发展水平上。网站成为互联网、通信与计算机技术快速发展的产物，也是网络发布信息的重要载体。近年来，各事业单位越来越重视网络应用，并通过自身对网络的应用程度来加大影响力。大力发展网络应用有利有弊，带来的便利之外，也存在一些隐患，网络攻击就是问题之一。

随着信息化的深入发展,信息安全的重要性也提上日程。目前中国网络与信息安全工作面临的问题有：网站被篡改、网络仿冒、网页恶意代码、计算机被植入木马等。根据国家互联网应急中心（CNCERT）2014年3月发布的《2013年我国互联网网络安全态势综述》，2013年中国境内被篡改网站数量为24 034个，其中政府网站被篡改数量为2 430个；我国境内被植入后门的网站数量为76 160个，其中政府网站2 425个。因此，必须采取措施保障和防护政府网站安全。在水利信息化基础设施和业务应用快速发展的同时，作为水利信息化保障环境之一的安全体系也应逐步建立和发展。

2 河南省水利网站发展现状

2.1 背景

河南省水利信息化自2001年建设以来，专业应用系统包括：防汛抗旱指挥系统、水资源管理信息系统、水利电子政务系统、水利财务管理系统、初步建设了河南省水土保持监测系统一期工程、按照水利部安排，初步建设了河南省水利移民管理信息系统。同时实现了和省气象局、省国土厅信息共享。目前，河南省水利信息网已初具规模。见图1所示。

图1 水利信息网络平台图

2.2 面临的问题

每天都不断地有恶意软件新样本产生，高达83%的企业遭受过高级持续威胁（APT）的攻击。2013年APT已经被人们扣上了“网络安全漏洞之年”的帽子。大量的网络攻击事件让众多金融机构损失高达数百万美元；政府和企业的保密与受控信息被大量窃取。总结近年来的安全事件，其相表现出的特点有以下几个方面。

2.2.1 攻击手段不断创新

新的恶意代码攻击途径、躲避手段层出不穷，攻击技术不断创新。攻击渗透技术和隐藏技术是两大主流攻击手段；攻击渗透技术是使恶意代码植入到目标主机中；隐藏技术是该技术中的隐藏模块和用户电脑中的安全检测工具争夺对操作系统底层的控制，恶意代码的隐藏模块尝试控制其他检测程序，并从检测结果中删除所需隐藏的信息。更多的未知攻击、未知漏洞成为新的安全形势下实现攻击的主要形式，APT攻击作为网络攻击的核武器成为关注的焦点。

2.2.2 未知恶意代码数量迅速增长

据统计，目前每天未知恶意代码、特种木马的数量增长迅速，并且向产业化和自动化方向发展。网页浏览是感染病毒的主要来源，并且攻击者专注于定制恶意代码工具包来开发并传播威胁。一些预先设置的软件主要用于简单新颖的网站为推动广泛运用做铺垫。这种平台没有安全防护措施，因此产生大量病毒漏洞。数据显示，未知威胁中有90%试图窃取用户机密信息，尤其是银行账户信息和信用卡数据。恶意代码传播种类不再纯粹是软件漏洞或错误操作导致，也会跨平台攻击，恶意代码类型仍在不断变化，种类更加复杂。

2.2.3 攻击目的日趋复杂、攻击后果日趋严重

新形势下网络攻击已经不是一些技术达人炫耀的手段，而是团体利益甚至国家利益的对抗；恶意代码的攻击已成为信息数据战、网络安全战最重要的入侵手段之一。危害主要表现有：破坏数据、抢占系统资源、占用磁盘存储空间、影响计算机运行速度等。相对于个人隐私、企业信息的泄露，新形势下攻击更是指向国家机密，后果日益严重。

3 监控系统的功能

纵观恶意代码的整个生命周期，主要包括渗透、潜伏、攻击3个阶段，传统防护设备只能在渗透阶段通过静态特征监测的方式实现恶意代码的前期防护，一旦恶意代码成功渗透，则对后续的攻击无能为力。在恶意代码的潜伏和攻击阶段，网络中存在大量的异常通信行为和活动特征，通过对异常行为的有效监控，即可实现对恶意代码的全周期防护，并有效的防护恶意代码加壳、变种、变异以及未知恶意威胁。

在异常监测的同时，配合其他多种手段，从多个层面实现监测，保证了系统的完整性和全面性，其中包括：异常分析（异常不等于误报，通过分析可以真正的确认威胁、发现威胁产生的原因以及后果等）、特征监测、信誉库监测、自定义监测。另外，基于安全大数据分析平台，能够实现与网络监控审计、数据库监控审计、日志审计产品进行深度关联分析，最终形成全面、立体的分析解决方案。所谓异常监测技术，主要通过网络通信中的协议异常、行为异常、流量异常等多个维度进行监测分析，同时基于强大的异常监测引擎和异常行为库，实现对异常通信的全面监控。

3.1 多维度监控功能

恶意代码综合监控系统是一个集多种检测和监测技术、可以部署在网络关键节点（网络出入口、网络汇聚点、关键应用系统、重要数据系统）、实现多维度检测和监测各种恶意代码以及特种木马为主体的网络攻击威胁的实时监控系统。在网络全数据流上对流量、数据包、会话、网络协议、地址、C&C（控制命令通道）进行异常监测分析，对恶意代码、特种木马进行静态分析、动态分析和活动行为分析，最终实现精准检测“已知”和异常发现“未知”。

3.2 实时的监控报警功能

系统的监控报警功能分为两种类型：一类是事件报警，即由恶意代码、特种木马的特征检测、监测发现并触发的安全事件报警，报警内容包括：事件名称、事件类型、发生时间、目标地址等；报警方式包括：屏幕显示、声音提示。安全管理员可针对报警信息采取相应措施，如：切断被攻击的网络路径及被控主机的网络通信，根据报警提供的事件信息对攻击源与被攻击目标进行排查定位。另一类是由三大异常监测机制和自定义监测策略发现的各种异常行为报警，安全分析人员根据异常报警记录的异常特征信息以及“黑盒”记录的分析数据进行研判分析，确定异常的性质（探测、渗透、联络和攻击）。

3.3 全面的监控态势报告功能

通过按时间点、时间区间、事件类型、网络地址等条件进行监控态势统计，支持各种类型（图形和表格）的可视化呈现，为用户提供全网、重点保护区域、网站、应用系统、数据系统的安全监控态势的展示。

4 结语

河南省水利信息安全体系的构建首先需要有一个顶层设计，使整个体系各要素围绕信息安全的核心理念，最终实现安全防护与管理。在整个设计中利用最新的网络安全技术，通过统一安全的数据接口、数据分析中心、安全策略中心、安全管理中心及集成的安全管理界面完成信息安全技术和管理的整合，构建成先进、稳定、高效、可靠的水利信息安全体系，才是信息安全体系建设的发展方向。

［1］石辉.计算机网络及政府网站的安全性探讨［J］.信息安全与技术，2011（10）：78-80.

［2］詹全忠，陈岚.浅谈水利网络与信息安全体系［J］.水利信息化，2010（10）：32.

编辑：刘长垠 韦诗佳

TV22

B

1673-8853（2017）06-0089-02

2017-03-15