網絡行為審計范文

時間:2023-06-06 17:56:39

導語:如何才能寫好一篇網絡行為審計,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

網絡行為審計

篇1

【關鍵詞】 神經網絡; 財務危機; 預警模型

一、企業(yè)財務危機預警的現實意義

財務危機是由于種種原因導致的企業(yè)財務狀況持續(xù)惡化,財務風險加劇,出現不能清償債務的信用危機,直至最終破產的一系列事件的總稱。財務危機將危害到企業(yè)正常的生產經營,制約企業(yè)的發(fā)展后勁,打亂企業(yè)正常的生產經營秩序,挫傷職工的生產積極性等。而有效的企業(yè)預警機制能夠起到提高企業(yè)危機管理意識,提高企業(yè)適應能力和競爭能力等作用,對企業(yè)進行有效的監(jiān)督和預警也直接關系到企業(yè)相關利益人決策、市場競爭機制的客觀要求、財務監(jiān)督、財務預測等方面。所以,對我國企業(yè)財務危機進行有效的預警就變得迫切和必要。

二、財務危機預警模型指標體系的選擇

任何一種經濟現象都具有多方面的特征,財務指標體系就是對經濟現象特征的整體描述。在以往的研究成果和我國的企業(yè)評價指標體系的基礎上,結合我國企業(yè)的具體特征,充分考慮各個指標的實際應用效果和獲取指標的難易程度,可選擇下列指標來建立適合我國企業(yè)財務危機預警模型的指標體系:資產負債率;流動比率;凈資產收益率;總資產周轉率;主營業(yè)務收入增長率和每股經營活動產生的現金流量凈額。這些指標兼顧到了償債能力、盈利能力、資產營運能力、增長能力以及現金流量狀況五個方面,同時鑒于針對的是企業(yè)的財務危機的預警指標,所以在選擇構成指標時,也適當側重了企業(yè)的償債能力和盈利能力指標。

三、基于BP神經網絡的財務危機模型的建立及預測結果分析

(一)BP神經網絡原理與財務危機預警的可行性分析

BP神經網絡是一種調整連接權值及結點閾值時采用的誤差逆?zhèn)鞑W習方法,是一種典型的誤差修正方法。其基本思想是:把網絡學習時輸出層出現的與“事實”不符的誤差,歸結為連接層中各單元間連接權值及閾值的“過錯”,通過把輸出層單元的誤差逐層向輸入層逆向傳播以“分攤”給各連接單元,并據此對各連接權進行相應的調整,使網絡適應所要求的映射(圖1)。而財務危機預警的6項指標與企業(yè)的財務狀況之間的關系是很難用普通的方法加以定量化的表述,而通過大量的樣本表現出的數學統計學特征的準確表達正是神經網絡的優(yōu)勢所在,為此,我們認為神經網絡是可行的。

(二)財務危機預警模型樣本的選擇

考慮到我國近幾年在經濟、法律、會計方面進行了較大的政策調整,因此在選擇樣本的過程中我們選取了信息較為連續(xù)可比、取得較為容易的上市公司中制造業(yè)行業(yè)的6個子行業(yè)2000―2002年之間的數據,選擇了行業(yè)中25家ST公司和25家非ST公司作為訓練樣本,ST公司樣本數據為其被ST的前一年的數據資料,隨機選擇的非ST公司的樣本數據為與ST公司同期的數據。我們還選擇了2003年同行業(yè)的38家ST公司和隨機選擇的同期非ST公司作為檢驗樣本,用模型的預測結果與已知的實際結果進行對照,以檢驗模型的準確性。選擇這一期間的樣本數據是因為這些樣本數據的時間跨度不大,在這幾年中,國家的會計制度、稅收政策和退市制度也沒有太明顯的變化,整個國民經濟的發(fā)展比較穩(wěn)定,無明顯的經濟周期影響。

(三)網絡結構及參數的選取

1.網絡結構的確定

輸入節(jié)點數由控制的目標確定,控制目標為6個,因此輸入節(jié)點數為6個;輸出節(jié)點數由風險因素確定,輸出節(jié)點為2個。一個S型隱含層加上一個線性輸出層的網絡,能夠逼近任何有理函數,增加隱層數主要可以更進一步降低誤差,提高訓練的精度,本系統中只設一個隱含層,主要通過調節(jié)隱層節(jié)點數、動量項、學習率提高網絡的訓練精度。

2.各參數選取

把經過處理后88組樣本數據輸入到神經網絡,前50組作為訓練樣本,后38組作為預測樣本,網絡的預期誤差0.001。利用神經網絡系統對學習數據反復訓練,得到實驗結果最好的一次,各參數如下:

動量項?準=0.3;學習率?濁=0.4;學習次數n=10000;隱層節(jié)點數p=6;網絡實際誤差?孜=0.0024

(四)財務危機預警預測結果分析

利用前述訓練結果,對38個檢驗樣本進行預測,預測的結果(表3)根據下列標準進行判斷,如果預測結果逼近于1,則判斷為非財務危機公司,如果預測結果偏離1就可判斷有財務危機的可能性,可以發(fā)出財務危機預警。

通過預測結果與實際結果的比較,可以得出以下驗證結果:

1.對于非ST公司,預測的準確率為94.74%;

2.對于ST公司,預測的準確率為84.21%;

3.綜合預測準確率為89.47%。

四、該財務危機預警模型的局限性分析

利用神經網絡進行財務危機預警模型的研究,從模型的訓練和預測結果可以看出,還是具有一定的可行性和有效性。但也存在一些問題:

(一)忽視了企業(yè)規(guī)模對企業(yè)財務狀況的影響

本次研究中所選擇的ST樣本是所屬行業(yè)的全部樣本量,而配對樣本則是隨機抽取的,在選擇的過程中,沒有重點關注企業(yè)規(guī)模對財務危機指標標準的不同要求。

(二)非ST樣本公司的代表性

所選取的ST企業(yè)被界定為財務危機公司還不容易引起爭議,但對非ST公司而言,每個公司仍然存在財務狀況非常好、較好或一般的差異,因此用不同的非ST公司和ST公司配對,就不能排除財務危機公司財務狀況之間的差異,這也直接影響了預測數據判別的準確率。

(三)ST界定自身具有的不適應性

根據我國對ST公司的劃分標準,可以看出其主要看中的還是公司的盈利能力和資本結構比率,而財務危機是企業(yè)綜合財務狀況出現問題的集中表現,它受到多項能力和指標的影響,兩者之間并不對等。

(四)神經網絡理論自身的缺陷

神經網絡自身擅長解決不精確和模糊的信息處理問題,在處理過程中,他會有自動刪除樣本“噪聲”和自動調整的功能,如果其修正數據的過程中出現偏差,或訓練過程中參數確定的不準確,也會直接影響預測的準確性。

(五)樣本選擇的局限性

本次預測過程中受諸多因素的影響,所選擇的樣本不具有普遍的代表性,局限在了上市公司,連續(xù)數據的選擇也導致了數據的時效性較差,對當前新經濟形勢下的企業(yè)財務危機的參考作用有待觀察。

五、結論

財務危機預警模型通過神經網絡原理,在目前是可以實現的,只要在模型建立的過程中,將不穩(wěn)定因素的影響降低到最低,就可以極大地提高預測的準確率。另外,由于不同的行業(yè)有其不同的生產和財務特性,他們的數據表現的要求也不盡相同,因此對于差異較大的行業(yè),應適當建立行業(yè)財務危機預警模型,以更好地提高預測的準確程度。

當然,企業(yè)財務危機預警模型作為財務危機預警系統的一個有機組成部分。它的作用必須借助于整個系統作用的發(fā)揮,也需要企業(yè)的高層管理者確實認識到財務危機預警的必要性,才能真正實現對財務危機抑制和防范作用。

【參考文獻】

[1] 盧雁影.財務分析[M].湖北:武漢大學出版社,2002:296-303.

篇2

關鍵詞:卷積神經網絡 人體行為識別 Dropout

中圖分類號:TP391.41 文獻標識碼:A 文章編號:1672-3791(2017)04(c)-0028-02

該文采用隨機Dropout卷積神經網絡,筆者將此法的優(yōu)點大致概況為將繁瑣雜亂的前期圖像處理簡易化,原來的圖像不可以直接輸入,現在的原始圖像即可實現直輸功能,因其特性得到廣泛研究與應用。另外,卷積神經網絡在圖像的處理中能夠將指定的姿勢、陽光的照射反應、遮避、平面移動、縮小與放大等其他形式的扭曲達到魯棒性,從而達到良好的容錯能力,進而可以發(fā)現其在自適應能力方面也非常強大。因為卷積神經網絡在之前建立網絡模型時,樣本庫為訓練階段提供的樣本,數量有限,品質上也很難滿足要求,致使網絡權值參數不能夠完成實時有效的調度與整理。

1 卷積神經網絡

據調查卷積神經網絡由K.Fukushima在80年代提出,那時候它被稱為神經認知機,這一認知成為當時的第一個網絡,后來網絡算法發(fā)生了規(guī)模性變革,由LeCun為代表提出了第一個手寫數字識別模型,并成功投入到商業(yè)用途中。LeNet被業(yè)界冠以卷積神經網絡的代表模型,這類系統在很多方面都起到了不容小趨的作用,它多數應用于各類不同的識別圖像及處理中,在這些層面上取得了重要成果。

筆者經查閱資料發(fā)現卷積神經網絡其實是由兩個種類組合而來,它們分別是特征提取、分類器,這種組成我們可以看到特征提取類可由一定數量的卷積層以及子采樣層相互重疊組合而成,全部都連接起來的1層或者2層神經網絡,就是由分類器來進行安排的。卷積神經網絡中的局部區(qū)域得到的感覺、權值的參數及子采樣等可以說是重要網絡結構特征。

1.1 基本CNN網絡結構

圖1中就是最為經典的LeNet-5網絡模型結構圖。通過圖1中我們可以獲悉,該模型有輸入輸出層,除這兩層外還有6層,其征提取可在前4層中體現,后兩層體現的是分類器。

在特征提取部分,6個卷積核通過卷積,是圖像經尺寸為32×32的輸入而得見表1,運算過程如式(1):

(1)

式中:卷積后的圖像與一個偏置組合起來,使函數得到激活,因此特征圖變誕生了,通過輸出得到了6個尺寸的特征圖,這6個尺寸均為28×28,近而得到了第一層的卷積,以下筆者把它簡要稱為c1;那么c1層中的6個同尺寸圖再經由下面的子采樣2×2尺寸,再演變成特征圖,數量還是6個,尺寸卻變成了14×14,具體運算如公式(2):

通過表2我們可以使xi生成的和與采樣系數0.25相乘,那么采樣層的生成也就是由加上了一個偏置,從而使函數被激活形成了采樣層的第1個層次,以下我們簡要稱為s1;這種過程我們可反復運用,從而呈現出卷積層中的第2層,可以簡要稱之為c2,第2層簡稱s2;到目前為止,我們對特征的提取告一段落。

神經網絡的識別,我們可以看到它是由激活函數而形成的一個狀態(tài),這一狀態(tài)是由每個單元的輸出而得;那么分類器在這里起到的作用是將卷積層全部連接起來,這種通過連接而使1層與上面1層所有特征圖進行了串連,簡要稱之為c5;因而2層得到了退變與簡化效應,從而使該神經網絡成為經典,簡要稱之為F6,向量及權值是由F6 輸送,然后由點積加上偏置得到結果的有效判定。

1.2 改進的隨機DropoutCNN網絡

1.2.1 基本Dropout方法

神經網絡泛化能力能夠得到提升,是基于Dropout方法的深入學習。固定關系中存在著節(jié)點的隱含,為使權值不再依附于這種關系,上述方法可隨機提取部分神經元,這一特性是通過利用Dropout在網絡訓練階段中隨機性而得,對于取值能夠有效的存儲及保護存留,這一特性在輸出設定方面一定要注重為0,這些被選擇的神經元隨然這次被抽中應用,但并不影響下次訓練的過程,并具還可以恢復之前保留的取值,那么每兩個神經元同時產生作用的規(guī)避,可以通過重復下次隨機選擇部分神經元的過程來解決;我們通過這種方法,使網絡結構在每次訓練階段中都能呈現不同變化,使一些受限制的特征,不再受到干擾,使其真正能展現自身的優(yōu)點,在基于Dropout方法中,我們可以將一些神經元的一半設為0來進行輸出,隨機神經元的百分比可控制在50%,有效的避免了特征的過度相似與穩(wěn)合。

1.2.2 隨機Dropout方法

Dropout方法就是隨機輸出為0的設定,它將一定比例神經元作為決定的因素,其定義網絡在構建模型時得到廣泛采用。神經元基于隨機Dropout的方法是該文的重要網絡輸出途徑,通過設定輸出為0,使其在網絡中得到變。圖2是隨機Dropout的加入神經元連接示意圖,其在圖中可知兩類神經元:一類是分類器的神經元,這一階段的神經元可分榱講悖渙硪煥嗌窬元是由輸出而形成的層次。模型在首次訓練的階段會使神經元隨機形成凍結狀態(tài),這一狀態(tài)所占的百分比為40%、60%,我們還可以看到30%及50%的神經元可能在網絡隨機被凍結,那么這次凍結可以發(fā)生在模型第二次訓練,那么第三次神經元的凍結可從圖示中得出70%及40%,還可以通過變化用人工設置,其范圍值宜為35%~65%,那么網絡神經元連接次序的多樣化,也因此更為突出與精進,網絡模型的泛化能力也得到了跨越勢的提高。

2 實驗及結果分析

2.1 實驗方法

卷積神經網絡通過實驗,通過輸入層呈現一灰色圖像,該圖像尺寸被設定成28×28的PNG格式,這里我們以圖像框架圖得到雙線性差值,用來處理圖像及原視頻中的影像,將框架圖的卷積核設定為5×5的尺寸,子采樣系數控制值為0.25,采用SGD迭代200次,樣本數量50個進行設定,一次誤差反向傳播實現批量處理,進行權值調整。實驗采用交叉驗證留一法,前四層為特征提取層,C1-S1-C2-S2按順序排列,6-6-12-12個數是相應特征,通過下階段加入隨機Dropout,這階段為雙層也就是兩層,進行連接,連接層為全體,從而可知結果由分類得出,又從輸出層輸出。

2.2 實驗結果分析

識別錯誤率可通過卷積神經網絡模型,及訓練過程與檢測過程中可查看到的。在訓練階段中,我們可以將Dropout的網絡中融入200次訓練,在將沒有使用該方法的網絡進行相互比較分析,我可以得知,后者訓練時的識別錯誤率稍高于前者,前者與后的相比較所得的差異不是很大,進而我們可知使用Dropout方法,對卷積神經網絡在泛化能力上得到有效的提升,從而有效的防止擬合。

3 結語

筆者基于Dropout卷積神經網絡,人體行為識別在視頻中進行, 通過Weizmann數據集檢測實驗結果,隨機Dropout在分類器中加入。通過實驗可以得知:隨機Dropout的加入,使卷積神經構建了完美網絡模型,并且使其在人體行為識別中的效率贏得了大幅度的提升,近而使泛化能力可以通過此類方法得到提高,可以防止擬合。

參考文獻

[1] 其它計算機理論與技術[J].電子科技文摘,2002(6).

篇3

關鍵詞:成都中小微企業(yè) 人工神經網絡 預測

1、人工神經網絡

人工神經網絡是一種應用類似于大腦神經突觸聯接的結構進行信息處理的數學模型。在工程與學術界也常直接簡稱為神經網絡或類神經網絡。神經網絡是一種運算模型,由大量的節(jié)點(或稱神經元)和之間相互聯接構成。每個節(jié)點代表一種特定的輸出函數,稱為激勵函數(activation function)。每兩個節(jié)點間的連接都代表一個對于通過該連接信號的加權值,稱之為權重,這相當于人工神經網絡的記憶。網絡的輸出則依網絡的連接方式,權重值和激勵函數的不同而不同。而網絡自身通常都是對自然界某種算法或者函數的逼近,也可能是對一種邏輯策略的表達。

2、基于人工神經網絡的預測模型的構建

在運用ANN預測模型預測這兩個指標時,我們采取下面的預測步驟:

(1)首先將1-6月份的數據標準化,及轉化為0-1之間的標準化數據;

(2)我們將輸入設為1月份、2月份、3月份、4月份的數據,輸出設為5月份的數據;

(3)在matlab中調用newff函數,建立一個5個輸入節(jié)點、10個隱含層節(jié)點、一個輸出節(jié)點的BP神經網絡,隱含層和輸出層轉移函數分別采用tansig(tansig(n) = 2/(1+exp(-2*n))-1)和purelin(y=x),訓練函數選擇貝葉斯正則化算法trainbr,得到網絡仿真數據;

(4)通過得到的網絡仿真數據與實際的數據進行比較,我們可以發(fā)現該預測模型的精度很高。從而我們可以利用該預測模型預測未來月份的數據,作為決策者進行決策的依據。

3、分圈層企業(yè)運行態(tài)勢預測模型

3.1一圈層企業(yè)運行態(tài)勢預測模型

一圈層主要包括成華區(qū)、高新區(qū)、金牛區(qū)、錦江區(qū)、青羊區(qū)和武侯區(qū)。

我們按照上述步驟,得到最終的預測值,如表1所示,可見,預測值與實際值之間相差并不大,誤差為0.099933%。

表1運行監(jiān)測指標按圈層(一圈層)ANN預測模型實際值與預測值對比表

3.2二圈層企業(yè)運行態(tài)勢預警模型

二圈層主要包括龍泉、郫縣、青白江、雙流、溫江和新都。

我們按照上述步驟,得到最終的預測值,如表2所示,可見,預測值與實際值之間相差并不大,誤差為0.09995%。

表2運行監(jiān)測指標按圈層(二圈層)ANN預測模型實際值與預測值對比表

3.3三圈層企業(yè)運行態(tài)勢預警模型

三圈層包括崇州、大邑、都江堰、金堂、蒲江、邛崍和新津。

我們按照上述步驟,得到最終的預測值,如表3所示,可見,預測值與實際值之間相差并不大,誤差為0.1%。

表3 運行監(jiān)測指標按圈層(三圈層)ANN預測模型實際值與預測值對比表

4、結束語

運行監(jiān)測指數和信心指數能很好的反映成都市中小企業(yè)的發(fā)展運營情況,本報告運用人工神經網絡這種高精度的預測方法,對這兩種指數進行了預測,預測結果精確,經濟意義顯著。能很好預測未來月份的中小企業(yè)的指標值,從而為決策者的決策提供有力的支持和依據。

參考文獻:

[1]張乃堯,閻平凡.神經網絡與模糊控制[M].北京: 清華大學出版社,1998.

篇4

目前,北京市各部門中已有人大、政協、市高級法院,各區(qū)縣政府,市屬機構等25個單位在首都之窗上建立自己的網站。現在首都之窗的月平均瀏覽量達到600多萬人次,半年時間,市長信箱就收到3000多封網上來函。今年北京市計劃在電子政務方面,積極推行網上辦公,網上審批制度,提高政府辦公效率。為適應信息服務的不斷發(fā)展,保證電子政務的網絡安全,北京市信息安全測評中心實施了網絡安全管理體系建設。通過針對北京市電子政務外網的信息內容進行安全檢測提出的解決方案,及時掌握、統計和分析信息流的動態(tài)情況,及時掌握用戶對信息服務的訪問行為,及時發(fā)現有無違規(guī)的信息與訪問,及時發(fā)現涉密信息的泄露和敏感信息的訪問。

解決方案:國都興業(yè)為北京市電子政務網絡的網絡安全監(jiān)測審計需求提供了先進的、完善的解決方案。在電子政務骨干網上部署了四套“網絡一體化監(jiān)控審計系統Egilance II”,分別安裝在四個骨干節(jié)點上。“網絡一體化監(jiān)控審計系統Egilance II”是基于網絡會話級的安全監(jiān)測審計產品,它通過對網絡會話的行為和內容的實時監(jiān)測、報警、記錄和審計,提高用戶的網絡應用和信息安全。

在方案中使用的Egilance系統是采用一個上級中心審計控制臺,四個下級監(jiān)測審計點的構架,中心審計控制臺可以根據整體審計需要向四個下級監(jiān)測審計點下發(fā)審計規(guī)則配置和報警策略,也可以分別下發(fā)不同的審計規(guī)則配置和報警策略,四個下級監(jiān)測審計點的監(jiān)測審計報警和審計記錄即可在本級審計控制臺上報警顯示,又可同時發(fā)送給上級中心審計控制臺。在四個監(jiān)測審計點采用了千兆光纖TAP網絡信號旁路接入器ESentry,將光信號旁路分向后輸入給千兆級網絡會話采集器EProbe,EProbe對網絡數據流進行旁路采集和提取各種網絡應用的處理,網絡應用分析器Enalyzer對各種網絡應用行為做實時監(jiān)測、報警、記錄和審計,并將監(jiān)測報警和審計記錄發(fā)給中心審計控制臺EConsole。

篇5

關鍵詞:堡壘機;運維操作審計;工作原理

中圖分類號:TQ016.5+5 文獻標識碼:A 文章編號:1007-9599?。?012) 18-0000-02

1 堡壘機的概念和種類

“堡壘”一詞的含義是指用于防守的堅 固建筑物或比喻難于攻破的事物,因此從字面的意思來看,“堡壘機”是指用于防御攻擊的計算機。在實際應用中堡壘機又被稱為“堡壘主機”,是一個主機系統,其自身通常經過了一定的加固,具有較高的安全性,可抵御一定的攻擊,其作用主要是將需要保護的信息系統資源與安全威脅的來源進行隔離,從而在被保護的資源前面形成一個堅固的“堡壘”,并且在抵御威脅的同時又不影響普通用戶對資源的正常訪問。基于其應用場景,堡壘機可分為兩種類型:

1.1 網關型堡壘機

網關型的堡壘機被部署在外部網絡和內部網絡之間,其本身不再直接向外部提供服務,而是作為進入內部網絡的一個檢查點,用于提供對內部網絡特定資源的安全訪問控制。這類堡壘機不提供路由功能,將內 外網從網絡層隔離開來,因此除非授權訪問外,還可以過濾掉一些針對內網的來自應用層以下的攻擊,為內部網絡資源提供了一道安全屏障。但由于此類堡壘機需要處理應用 層的數據內容,性能消耗很大,所以隨著網絡進出口處流量越來越大,部署在網關位置的堡壘機逐漸成為了性能瓶頸,因此網關型的堡壘機逐漸被日趨成熟的防火墻、UTM、IPS、網閘等安全產品所取代。

1.2 運維審計型堡壘機

運維審計型堡壘機的原理與網關型堡壘機類似,但其部署位置與應用場景不同,且更為復雜。運維審計型堡壘機被部署在內網中的服務器和網絡設備等核心資源的前面,對運維人員的操作權限進行控制和操作行為審計;運維審計型堡壘機既解決了運維人員權限難以控制的混亂局面,又可對違規(guī)操作行為進行控制和審計,而且由于運維操作本身不會產生大規(guī)模的流量,堡壘機不會成為性能的瓶頸,所以堡壘機作為運維操作審計的手段得到了快速發(fā)展。

2 堡壘機運維操作審計的工作原理

在實際使用場景中,堡壘機的使用人員通??煞譃楣芾砣藛T、運維操作人員、審計人員三類用戶。

管理員最重要的職責是根據相應的安全策略和運維人員應有的操作權限來配置堡壘機的安全策略。堡壘機管理員登錄堡壘機后,在堡壘機內部,“策略管理”組件負責與管理員進行交互,并將管理 員輸入的安全策略存儲到堡壘機內部的策略配置庫中。

“應用”組件是堡壘機的核心,負責中轉運維操作用戶的操作,并與堡壘機內部其他組件進行交互?!皯谩苯M件收到運維人員的操作請求后,調用“策略管理”組件對該操作行為進行核查,核查依據便是管理員已經配置好的策略配置庫,如此次操作不符合安全策略,”組件將拒絕該操作行為的執(zhí)行。

運維人員的操作行為通過“策略管理”組件的核查之后,“應用”組件則代替運維人員連接目標設備完成相應操作,并將操作返回結果返回給對應的運維操作人員;同時此次操作過程被提交給堡壘機內部的“審計模塊”,然后此次操作過程被記錄到審計日志數據庫中。

最后,當需要調查運維人員的歷史操作記錄時,由審計員登錄堡壘機進行查詢,然后“審計模塊”從審計日志數據庫中讀取相應日志記錄,并展示在審計員交互界面上。

3 如何選擇一款好的堡壘機產品

對于信息系統的管理者來說,除了工作原理以外,可能更關心如何選擇一款好的運維審計堡壘機產品。一個好的運維審計堡壘機產品應實現對服務器、網絡設備、安全設備等核心資產的運維管理賬號的集中賬號管理、集中認證和授權,通過單點登錄,提供對操作行為的精細化管理和審計,達到運維 管理簡單、方便、可靠的目的。

3.1 管理方便

應提供一套簡單直觀的賬號管理、授權 管理策略,管理員可快速方便地查找某個用戶,查詢修改訪問權限??;同時用戶能夠方便的通過登錄堡壘機對自己的基本信息進行管理,包括賬號、口令等進行修改更新。

3.2 可擴展性

當進行新系統建設或擴容時,需要增加 新的設備到堡壘機時,系統應能方便的增加 設備數量和設備種類

3.3 精細審計

針對傳統網絡安全審計產品無法對通過加密、圖形運維操作協議進行審計的缺陷,系統應能實現對RDP、VNC、X-Window、SSH、SFTP、HTTPS 等協議進行集中審計,提供對各種操作的精細授權管理和實時監(jiān)控審計。

3.4 審計可查

可實時監(jiān)控和完整審計記錄所有維護人員的操作行為;并能根據需求,方便快速的 查找到用戶的操作行為日志,以便追查取證。

3.5 安全性

堡壘機自身需具備較高的安全性,須有冗余、備份措施,如日志自動備份等。

3.6 部署方便

系統采用物理旁路,邏輯串聯的模式,不需要改變網絡拓撲結構,不需要在終端安裝客戶端軟件,不改變管理員、運維人員的 操作習慣,也不影響正常業(yè)務運行。

4 結束語

本文簡要分析了堡壘機的概念以及其運維操作審計的主要工作原理。隨著信息安全的快速發(fā)展,來自內部的安全威脅日益增多,綜合防護、內部威脅防護等思想越來越受到重視,而各個層面的政策合規(guī),如“薩班斯法案”、“信息系統等級保護”等等也紛紛對運維人員的操作行為審計提出明確要求。堡壘機作為運維安全審計產品將成為信息系統安全的最后一道防線,其作用也將越來越重要,應用范圍勢必會快速擴展到各個行業(yè)的信息系統。因此在當前的形勢之下,讓大家更加清楚的了解堡壘機也就十分必要了。

參考文獻:

[1]趙瑞霞,王會平.構建堡壘主機抵御網絡攻擊[J].網絡安全技術與應用,2010,08.

[2]閆文耀,王志曉.基于堡壘主機防火墻的安全模型研究[J].網絡安全技術與應用,2008,06.

[3]徐改萍.網絡攻擊與防范實踐問題研究[J].電腦知識與技術(學術交流),2007,10.

[4]桂鑫.淺談網絡安全之漏洞[J].科學之友,2010,06.

[5]朱朝霞.Linux網絡系統攻擊的防范[J].計算機與數字工程,2006,10.

篇6

論文關鍵詞:安全審計 日志 數據挖掘

論文摘要:提出了無線網關安全審計系統的系統模型,介紹了該系統的設計思想,從數據的控制、數據的采集、日志的歸類、日志的審計與報警4個方面描述了設計流程.在系統中通過改進syslog機制,引入有學習能力的數據挖掘技術,實現對無線網關的安全審計.

0 引言

無線網關是無線網絡與布線網絡之間的橋梁,所有的通信都必須經過無線網關的審計與控制.在無線網絡中,無線網關放置在無線網絡的邊緣,相當于無線網絡的大門,當無線網關遭到攻擊和入侵時,災難會殃及整個無線網絡,使無線網絡不能工作或異常工作,由此可見,對無線網關進行安全審計是十分有意義的.

本文中研究的安全審計系統是北京市重點實驗室科、研項目“智能化無線安全網關”的一部分.智能化無線安全網關在無線網關上集成具有IDS和防火墻功能的模塊,以及控制和阻斷模塊,這些功能模塊在統一操作系統的基礎上,既各司其職,又密切合作,共同完成防范、預警、響應和自學習的功能,構成一個有機的安全體系.

無線網關的安全審計系統,其主要功能就是在事后通過審計分析無線安全網關的日志信息,識別系統中的異?;顒?,特別是那些被其它安全防范措施所遺漏的非法操作或入侵活動,并采取相應的報告,以有利于網絡管理員及時有效地對入侵活動進行防范,確保網絡的安全[1].

1 系統功能概述

無線網關安全審計系統是針對無線網絡的安全運作而提出的,主要包括數據控制、數據采集、日志歸類、日志的審計與報警等幾大基本功能.首先,審計系統的數據控制模塊對進出的數據信息進行嚴格的控制,根據預定義的規(guī)則進行必要的限制,適當地降低風險.其次,安全審計系統的數據采集模塊收集無線安全網關的網絡日志、系統日志及用戶和應用日志.隨后,采集部件收集到的日志記錄被送到日志歸類模塊,根據日志記錄行為的不同層次來進行分類.最后,使用審計與報警模塊對日志記錄進行審計分析.這時可以根據預先定義好的安全策略對海量的日志數據進行對比分析,以檢測出無線網關中是否存在入侵行為、異常行為或非法操作.管理員可以初始化或變更系統的配置和運行參數,使得安全審計系統具有良好的適應性和可操作性.

2 系統設計

2.1 系統結構組成(見圖1)

2.2 設計思想

系統從數據采集點采集數據,將數據進行處理后放入審計數據庫,采用有學習能力的數據挖掘方法,從“正?!钡娜罩緮祿邪l(fā)掘“正常”的網絡通信模式,并和常規(guī)的一些攻擊規(guī)則庫進行關聯分析,達到檢測網絡入侵行為和非法操作的目的.

2.3 系統的詳細設計

系統的處理流程如圖2所示:

2.3.1 數據的控制.數據控制模塊使用基于Netfilter架構的防火墻軟件iptables對進出的數據信息進行嚴格的控制,適當地降低風險.

2.3.2 數據的采集.數據采集模塊,即日志的采集部件.為了實現日志記錄的多層次化,需要記錄網絡、系統、應用和用戶等各種行為來全面反映黑客的攻擊行為,所以在無線安全網關中設置了多個數據捕獲點,其中主要有系統審計日志、安全網關日志、防火墻日志和入侵檢測日志4種.2.3.3 日志的歸類.日志歸類模塊主要是為了簡化審計時的工作量而設計的,它的主要功能是根據日志記錄行為的不同層次來進行分類,將其歸為網絡行為、系統行為、應用行為、用戶行為中的一種,同時進行時間歸一化.進行日志分類目的是對海量信息進行區(qū)分,以提高日志審計時的分析效率.

2.3.4 日志審計與報警.日志審計與報警模塊側重對日志信息的事后分析.該模塊的主要功能是對網關日志信息進行審計分析,即將收到的日志信息通過特定的策略進行對比,以檢測出不合規(guī)則的異常事件.隨著審計過程的進行,若該異常事件的可疑度不斷增加以致超過某一閾值時,系統產生報警信息.該模塊包括日志信息的接收、規(guī)則庫的生成、日志數據的預處理、日志審計等幾個功能.

3 系統的實現

3.1 系統的開發(fā)環(huán)境

智能無線安全網關安全審計系統是基于linux操作系統開發(fā)的B/S模式的日志審計系統.開發(fā)工具為:前臺:Windows XP professional+html+php,后臺:Linux+Apache+Mysql + C++.

3.2 日志歸類模塊的實現[2-3]

無線網關的日志采用linux的syslog機制進行記錄,sys-log記錄的日志中日期只包含月和日,沒有年份.在該模塊中,對日志記錄的syslog機制進行一些改進,克服其在日志中不能記錄年的問題.

下面以無線網關的日志為例,說明其實現過程.網關日志的保存文件為gw.log,用一個shell腳本,在每月的第一天零點,停止syslogd進程,在原來的文件名后面加上上一個月的年和月,如gw.log200603,再新建一個gw.log用于記錄當月的日志,再重啟syslogd記錄日志.這樣就把每月的日志存放在有標志年月的文件中,再利用C++處理一下,在記錄中加入文件名中的年份.

3.3 日志審計與報警模塊的實現

3.3.1 日志審計模塊的處理流程(見圖3).

3.3.2 規(guī)則庫生成的實現.安全審計系統所采用的審計方法主要是基于對日志信息的異常檢測,即通過對當前日志描述的用戶行為是否與已建立的正常行為輪廓相背離來鑒別是否有非法入侵或者越權操作的存在.該方法的優(yōu)點是無需了解系統的缺陷,有較強的適應性.這里所說的規(guī)則庫就是指存儲在檢測異常數據時所要用到的正常的網絡通信及操作規(guī)則的數據庫.規(guī)則庫的建立主要是對正常的日志信息通過數據挖掘的相關算法進行挖掘來完成.

首先系統從數據采集點采集數據,將數據進行處理后放入審計數據庫,通過執(zhí)行安全審計讀入規(guī)則庫來發(fā)現入侵事件,將入侵時間記錄到入侵時間數據庫,而將正常日志數據的訪問放入安全的歷史日志庫,并通過數據挖掘來提取正常的訪問模式.最后通過舊的規(guī)則庫、入侵事件以及正常訪問模式來獲得最新的規(guī)則庫.可以不停地重復上述過程,不斷地進行自我學習的過程,同時不斷更新規(guī)則庫,直到規(guī)則庫達到穩(wěn)定.

3.3.3 日志信息審計的實現.日志審計主要包括日志信息的預處理和日志信息的異常檢測兩個部分.在對日志進行審計之前,首先要對其進行處理,按不同的類別分別接收到日志信息數據庫的不同數據表中.此外,由于所捕獲的日志信息非常龐大,系統中幾乎所有的分析功能都必須建立在對這些數據記錄進行處理的基礎上,而這些記錄中存在的大量冗余信息,在對它們進行的操作處理時必將造成巨大的資源浪費,降低了審計的效率,因此有必要在進行審計分析之前盡可能減少這些冗余信息.所以,在異常檢測之前首先要剔除海量日志中對審計意義不大及相似度很大的冗余記錄,從而大大減少日志記錄的數目,同時大大提高日志信息的含金量,以提高系統的效率.采用的方式就是將收集到的日志分為不同類別的事件,各個事件以不同的標識符區(qū)分,在存放日志的數據庫中將事件標識設為主鍵,如有同一事件到來則計數加一,這樣就可以大大降低日志信息的冗余度.

在日志信息經過預處理之后,就可以對日志信息進行審計.審計的方法主要是將日志信息與規(guī)則庫中的規(guī)則進行對比,如圖3所示.對于檢測出的不合規(guī)則的記錄,即違反規(guī)則的小概率事件,記錄下其有效信息,如源、目的地址等作為一個標識,并對其設置一懷疑度.隨著日志審計的進行,如果屬于該標識的異常記錄數目不斷增加而達到一定程度,即懷疑度超過一定閾值,則對其產生報警信息.

4 數據挖掘相關技術

數據挖掘是一個比較完整地分析大量數據的過程,一般包括數據準備、數據預處理、建立數據挖掘模型、模型評估和解釋等,是一個迭代的過程,通過不斷調整方法和參數以求得到較好的模型[4].

本系統中的有學習能力的數據挖掘方法主要采用了3種算法:

1)分類算法.該算法主要將數據影射到事先定義的一個分類之中.這個算法的結果是產生一個以決策樹或者規(guī)則形式存在的“判別器”.本系統中先收集足夠多的正常審計數據,產生一個“判別器”來對將來的數據進行判別,決定哪些是正常行為,哪些是入侵或非法操作.

2)相關性分析.主要用來決定數據庫里的各個域之間的相互關系.找出被審計數據間的相互關聯,為決定安全審計系統的特征集提供很重要的依據.

3)時間序列分析.該算法用來建立本系統的時間順序模型.這個算法有利于理解審計事件的時間序列一般是如何產生的,這些所獲取的常用時間標準模型可以用來定義網絡事件是否正常.

5 結束語

該系統通過改進syslog機制,使無線網關的日志記錄更加完善.采用有學習能力的數據挖掘技術對無線網關正常日志數據進行學習,獲得正常訪問模式的規(guī)則庫,檢測網絡入侵行為和非法操作,減少人為的知覺和經驗的參與,減少了誤報出現的可能性.該系統結構靈活,易于擴展,具有一定的先進性和創(chuàng)新性,此外,使用規(guī)則合并可以不斷更新規(guī)則庫,對新出現的攻擊方式也可以在最快的時間內做出反應.下一步的工作是進一步完善規(guī)則庫的生成以及審計的算法,增強系統對攻擊的自適應性,提高系統的執(zhí)行效率.

參考文獻:

[1] Branch J W, Petroni N L, Doorn Van L, et al.Autonomic802.11 Wireless LAN Security Auditing[J]. IEEE Security&Privacy, 2004(5/6):56-65.

[2] 李承,王偉釗,程立.基于防火墻日志的網絡安全審計系統研究與實現[J].計算機工程,2002,28(6):17-19.

[3] 劉.無線網絡安全防護[M].北京:機械工業(yè)出版社,2003.

篇7

制作網因為它的特殊性,必然要和外界做信息交換,如廣告商帶來的圖片數據資料、企業(yè)帶來的影像素材、來自移動存儲介質的字幕文件、來自數字攝像機的素材導入(如松下P2卡攝像機的數據導入)、來自筆記本電腦的對白文字或配音文件、來自其他網絡的數據文件(來自光纜的異地節(jié)目上傳)等。這些信息的導入也會帶來各種風險。如何解決制作網與外界信息安全交換的問題,對制作網的安全運行至關重要。在制作網環(huán)境中一個最重要的實體就是終端計算機。終端是網絡劃分中的最終節(jié)點,也是與使用者最接近的設備,所有基于網絡化的日常辦公、學習及娛樂等都直接與終端有關系。尤其是在信息化程度普及的今天,大量的辦公事物都需要通過計算機來完成,這種使用方式往往是使用者通過終端計算機登錄需要的業(yè)務系統,以獲得使用權限并完成相應的工作。在這種情況下,終端的安全往往成為了制作網整體環(huán)境安全的重要節(jié)點,這從以下幾點可以更充分的說明:

(1)終端計算機是內部網絡與外部游離設備的交互點,安全問題可以由此引入。事實上,由于計算機接口的標準化,很多電子設備都趨向于與計算機進行信息交互,如優(yōu)盤、手機、數碼相機等,這些設備與終端形成離散的接入點,可以向終端寫入數據或從終端獲取數據;而終端使用者必須通過它訪問內部網路的授權業(yè)務系統來完成日常工作。這樣,當外部游離設備引入病毒或攻擊程序,在使用者訪問業(yè)務系統時,將會導致制作網環(huán)境受到攻擊。

(2)終端中運行的其他軟件可能影響制作網的正常使用。由于終端計算機為每一個不同的使用者使用,使用者可以在終端安裝各種軟件。這些軟件的使用可能造成制作網通信帶寬的大量占用及其它安全問題。

(3)終端使用者行為難以約束。終端使用者對終端的使用情況是難以控制的,使用者有可能在工作時間上網聊天、打游戲、下載電影;也可能下載各種黑客工具進行研究,把內部網絡作為試驗田;還可能瀏覽黃色網站,傳播不良信息。這些行為都可能導致內部網絡不正常。

(4)終端管理難以進行。政府或企業(yè)的IT管理人員往往承擔著維護內部網絡終端的任務,這些維護工作包括解決出現的問題、安裝日常軟件、配置系統等多方面。在現有條件下,管理員很難實現快速的軟件統一部署、在線解決遠程計算機的問題、統一終端安全策略的制定等,這些問題都需要其它技術手段輔助完成。

二、制作網的安全管理策略

通過以上分析,筆者認為制作網的安全建設目標是:建立完善的監(jiān)控機制,實現對終端主機的實時監(jiān)視;提供對終端主機的全面遠程安全管理,包括資產管理、事件管理、行為管理等一系列功能。要從一個更高的角度全面掌握網絡終端主機的運行態(tài)勢,為網絡環(huán)境的正常運轉、業(yè)務系統的正常運行提供可靠的保障。下面從終端主機安全管理、安全審計和邊界控制三個方面介紹制作網的安全管理策略。

1終端主機安全管理

(1)身份認證身份認證可以確保每個使用者的合法性,同時也為區(qū)分不同人的上網行為記錄提供依據。對于責任劃分、使用權限等都很有意義。身份認證一般有兩種方式:USBKey認證方式和口令認證方式。

(2)行為管理對于終端計算機管理的情況,應該能夠控制用戶對終端主機的各類操作行為,這些行為包括文件操作行為、軟件使用行為、上網行為、郵件發(fā)送行為、外設使用行為等。系統對用戶行為的監(jiān)控主要包含兩方面:一是針對用戶的所有行為控制操作將生成詳細的日志記錄,以備管理員查詢;二是管理員可以通過策略設置用戶各種行為的使用范圍,例如只允許訪問哪些文件,基于黑白名單的軟件使用許可,只允許訪問哪些網站,是否允許使用哪種外設等。

(3)應用程序控制通過技術手段,實現基于黑名單及白名單的方式控制終端用戶允許運行的應用程序。在黑名單方式下,所有名單中的應用程序將不允許運行,其它程序可以運行,白名單則相反。應用程序控制方式不是基于應用程序的程序名實現的,而是基于特定應用程序的簽名實現的,能夠有效防止惡意使用者通過將未授權程序的名稱改為授權程序名稱而達到運行不合法程序的目的。

(4)Windows策略管理對安裝Windows系統的終端計算機來說,由于操作系統自身的原因和使用計算機用戶的原因,都普遍存在較多的安全問題,如攻擊者可以通過TCP或UDP等端口對Windows系統進行攻擊。針對這些問題,Windows自身提供了一套策略管理機制,Windows操作系統中具有可配置的策略模塊,其中有相當一部分策略可以加固系統的安全性。為了增強Windows系統的安全性,應該規(guī)范用戶外設使用策略,規(guī)范用戶上網行為策略、規(guī)范用戶軟件使用策略、系統補丁下發(fā)策略等。

(5)主機監(jiān)視對終端主機運行狀態(tài)進行監(jiān)視審計。包括CPU使用率、內存使用率、磁盤使用率、應用系統性能等,當監(jiān)視的資源的指標和狀態(tài)違背預設規(guī)則時,將產生事件上報服務器,并可通過多種方式向管理員報警。對于某些監(jiān)視事件,要提供處理功能,例如進程狀態(tài)監(jiān)視中如果進程由運行狀態(tài)變?yōu)橥V範顟B(tài),事件處理器可以根據規(guī)則自動將進程重新啟動。

2主機安全審計

對終端主機的各種系統行為及操作行為進行記錄,對日志審計查詢分析,實時發(fā)現主機出現的安全事件,保證主機處于安全運行狀態(tài)。包括:

(1)文件操作審計。對文件操作行為,包括新建、復制、移動、重命名、覆蓋、刪除等進行審計記錄。記錄信息包括主機名、時間、源文件、目標文件、操作行為等。

(2)共享文件審計。審計主機是否開啟文件共享功能。記錄信息包括主機名、共享名稱、共享路徑、時間等。

(3)程序運行審計。審計主機運行的所有應用程序。記錄信息包括程序名、主機名、時間等。

(4)上網行為審計。記錄終端主機使用者的網絡訪問行為??蓪徲嫷姆诸惏ňW站訪問信息及郵件收發(fā)信息。記錄信息包括訪問的URL、郵件收發(fā)信箱等。

(5)文件打印審計。記錄主機通過本地或網絡打印機輸出的信息。記錄內容包括主機名、時間、打印內容等。

(6)用戶登錄審計。審計用戶等級計算機的信息。記錄內容包括主機名、時間、登錄用戶等。

(7)賬戶變更審計。審計登錄賬戶變更情況。記錄內容包括主機名、時間、源賬戶、現用賬戶等。

3主機邊界控制

3.1違規(guī)外聯控制由于終端計算機存在各種外設,如果安全策略設置不合理,或者使用者主動破壞安全策略企圖進行違規(guī)外聯,這時客戶端將有可能通過無線網卡、USB網卡或其他方式連接到互聯網絡,從而產生信息泄露及被攻擊的風險。要通過技術手段保證計算機在任何情況下不能違規(guī)連入互聯網,一旦檢測違規(guī)外聯,應該能自動阻斷違規(guī)外聯的行為。

3.2非法接入控制接入控制主要解決非法接入網絡計算機的檢測、警告、阻斷。對于非法接入網絡的主機,可采用多種方式進行檢測及阻斷,這些方式根據用戶的使用環(huán)境及對安全性要求的不同而不同。包括:

(1)基于ARP的掃描及欺騙技術,使用ARP掃描技術迅速檢測非法主機的接入,然后通過安全事件警告管理員,并可以通過策略管理和ARP欺騙自動阻斷非法主機訪問其它主機及外部網絡。

(2)基于交換機MAC綁定技術,與交換機聯動,通過IP、MAC綁定技術防止非法主機的接入。對于合法的終端主機也要根據策略的配置定期進行完整性檢查,檢查內容將涉及到主機是否安裝防病毒軟件、是否運行防病毒程序、病毒庫是否更新、補丁是否完整、主機是否存在木馬等,檢查條件可以配置,并且可以擴展。一旦完整性檢查不符合要求,該主機將被自動阻斷任何連接,并劃入威脅主機范圍內,必須等完整性檢查通過后才能重新接入網絡。

3.3移動存儲設備使用管理內部網絡終端主機的惡意攻擊及病毒程序很大一部分是通過頻繁使用移動存儲設備帶來的。一些帶有惡意代碼的數據文件從移動設備流入主機后,將會駐留在主機上,對內部網絡帶來安全威脅。為了解決使用移動設備帶來的安全隱患,所有移動設備都要求通過安全隔離設備才能與內網進行數據交換。

3.4外設控制隨著各種接口技術的發(fā)展,計算機的外設接口不斷豐富,使用者可以通過各種方式與外部介質進行數據交換,比較典型的外設接口包括光驅、軟驅、USB接口、網卡、藍牙、紅外、ADSL接口、PCMCIA等,這些接口有的可以直接連接數碼設備(如手機)進行數據交換,有的可以與其他計算機建立通信連接(如網卡),有的可以將信息輸出到外部設備(如USB打印機)等。無論哪種方式,都形成了信息的流入流出通道。出于安全管理的需要,往往要求對計算機的各種外設接口進行控制,保證只有授權的幾種接口才可以進行數據交換,并受到嚴格審計。

3.5終端防火墻終端計算機可能由于收到惡意攻擊或其它原因而感染病毒,造成頻繁與外部連接,消耗網絡資源。也有可能受到其它主機的非法訪問。終端防火墻功能可以基于網絡層及傳輸層對網絡信息進行過濾。在網絡層,可以控制連接的IP地址,也可以控制IP、ICMP及IGMP協議是否通過;在傳輸層可以控制網絡數據的源端口、目的端口及TCP、UDP協議。在網絡控制中,可以過濾數據的流向,可以控制策略的執(zhí)行時間,也可以將網絡控制策略按照不同的工作組或安全域進行部署實施。

3.6集中管理與外界的數據交換數據信息的交換是業(yè)務工作的一部分,不能因為怕帶來網絡安全上的風險就不進行。基于安全的考慮,同時要兼顧交換的需要,所以對于整個制作網而言,要把與外界的數據交換統一管理起來,不能隨意在任意內網終端上交換數據,所有數據交換的入口和出口都必須經過安全隔離網關統一隔離過濾,在把有用信息導入到內網的同時也能把危險阻擋在了網絡邊界之外。

三、小結

篇8

關鍵字:網絡安全;網絡問題分析;安全策略;網絡應用控制;用戶行為審計

中圖分類號:G250文獻標識碼: A

一、網絡存在問題分析

當前校園網建設面臨著帶寬瓶頸、多業(yè)務融合、安全威脅、用戶認證和管理等諸多問題和挑戰(zhàn):

 如何解決接入帶寬瓶頸?如何解決設備擴展和性能以及投資保護之間的矛盾?

 如何實現校園網多業(yè)務融合的需求,實現網絡資源靈活分配和調度?

 如何實現用戶安全的接入控制,防止病從口入?如何防止惡意攻擊和定位? 如何快速定位鏈路故障點?

 如何實現靈活認證計費策略,如何實現網絡流量的監(jiān)控和分析?

學校網絡主要存在以下幾個方面的問題:

(1)網絡設備性能低下,ARP攻擊頻繁,造成網絡數據傳輸緩慢,網絡穩(wěn)定性差,從而影響學校信息化業(yè)務的正常運行。

(2)沒有完善的網絡安全防范,存在網絡易受到網絡內外惡意攻擊的隱患。

(3)沒有用戶網絡行為的監(jiān)控與管理,存在訪問非法站點、散布不當言論的隱患,不滿足國家公安部82號令對上網行為審計的政策要求。

(4)使用人員在上網時會存在在線看視頻、過度下載等造成業(yè)務帶寬嚴重占用的情況,所以我們必須要進行網絡帶寬的應用控制和管理,過濾垃圾流量、杜絕帶寬濫用,優(yōu)化網絡資源、保證正常業(yè)務穩(wěn)定高效的網絡應用。

二、網絡安全解決方案

1.接入層安全及防ARP

1.1千兆安全交換機

全面的接入安全策略

有些交換機支持特有的ARP入侵檢測功能,可有效防止黑客或攻擊者通過ARP報文實施網絡中逐漸盛行的“中間人”攻擊,對不符合DHCP Snooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報文直接丟棄。同時支持IP Source Check特性,防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內的非法地址仿冒,以及大量地址仿冒帶來的DoS攻擊。另外,利用DHCP Snooping的信任端口特性還可以有效杜絕私設DHCP服務器,保證DHCP環(huán)境的真實性和一致性。

交換機支持端口安全特性族可以有效防范基于MAC地址的攻擊。可以實現基于MAC地址允許/限制流量,或者設定每個端口允許的MAC地址的最大數量,使得某個特定端口上的MAC地址可以由管理員靜態(tài)配置,或者由交換機動態(tài)學習。

交換機提供802.1X和集中MAC認證方式對接入的用戶進行認證,允許合法用戶通過,對于非法用戶則拒絕其上網。同時還支持客戶端軟件版本檢測、Guest VLAN等功能,和CAMS服務器配合還可以實現檢測、雙網卡檢測等功能。通過這些功能的應用可以對用戶的合法性進行充分的檢查和控制,最大程度的減少非法用戶對網絡安全的危害。

1.2百兆安全交換機

完備的安全控制策略

對于千兆支持802.1x認證交換機,在用戶接入網絡時完成必要的身份認證,支持MAC地址和端口等多元組綁定、廣播風暴抑制和端口鎖定功能,保證接入用戶的合法性。

支持跨交換機的遠程端口鏡像功能(RSPAN),可以將接入端口的流量鏡像到核心交換機上,在核心上啟動網流分析(Netstream)功能,對監(jiān)控端口的業(yè)務和流量進行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控。

支持特有的ARP入侵檢測功能和ARP報文限速功能,可有效防止黑客或攻擊者通過ARP報文實施日趨盛行的“ARP欺騙攻擊”,對不符合DHCP Snooping綁定表的非法ARP欺騙報文直接丟棄。

強大硬件ACL能力,能深度識別報文,以便交換機進行后續(xù)的處理。

三、應用控制與行為監(jiān)管

為了解決網絡用戶大量的BT\電驢下載、網絡視頻等行為造成的對業(yè)務帶寬的嚴重占用問題,以及在這些大量的垃圾流量影響下造成對核心網絡及防火墻網關設備巨大的業(yè)務處理壓力,系統必須進行應用流量控制管理、優(yōu)化網絡帶寬資源應用,保證正常業(yè)務的穩(wěn)定運行。

通過在部署一臺應用控制網關設備,能精確檢測BitTorrent、Thunder(迅雷)、QQ等P2P/IM應用,提供告警、限速、干擾或阻斷等多種方式,保障網絡核心業(yè)務正常應用,并提供面向IT服務的流量管理,實現網絡與系統的高效管理。

3.1網絡應用控制

隨著互聯網技術的不斷發(fā)展,各種網絡應用層出不窮,一方面大大豐富了我們的網絡生活,如各種辦公應用、桌面應用等帶來工作效率的提高,但在另一方面各種阻擾網絡應用、非法網絡行為等也愈演愈烈,如侵擾網絡帶寬的大量P2P下載導致網絡出口設備長期超負荷使用、上班期間沉迷IM聊天/網絡游戲/炒股嚴重影響到企業(yè)工作效率、BBS/論壇上各種非法言論的發(fā)表等,如得不到及時的有效控制,將給我們的網絡及生活帶來極大的影響及危害。

考慮到單位人員在上網時會存在在線看視頻、過度下載等造成業(yè)務帶寬嚴重占用的情況,所以我們必須要進行網絡帶寬的應用控制和管理,對這些在線視頻和過度下載行為進行控制管理,保證業(yè)務網絡帶寬,從而優(yōu)化網絡應用、確保正常業(yè)務的穩(wěn)定開展。

基于以上考慮,我們需要部署一臺網絡應用控制與行為監(jiān)管網關設備,進行網絡應用的應用識別、流量管理和用戶行為審計,識別和控制非法網站訪問、過濾垃圾流量、杜絕帶寬濫用,優(yōu)化網絡資源、保證正常業(yè)務穩(wěn)定高效的網絡應用。

3.2用戶行為審計

目前網絡應用行為日益頻繁,網絡中內部安全和內部控制的重要性日益突出,員工通過網絡泄漏重要數據、員工在網上傳播非法言論造成社會惡劣影響等事件時有發(fā)生。及時記錄內部人員的上網行為,從而做到事后有據可查成為目前企業(yè)網迫切需要解決的問題。

應用控制UTM網關能夠提供細致的行為審計,可對各種P2P/IM、網絡游戲、郵件和數據傳輸等行為提供細致的監(jiān)控和記錄,實現細粒度的網絡行為審計管理。

參考文獻:

[1] 劉建偉. 網絡安全--技術與實踐(第2版),清華大學出版社,2011

[2] 劉天華.網絡安全,科學出版社,2010

篇9

深信服科技網絡安全審計設備采用多種領先的技術為用戶提供互聯網安全審計手段,并幫助用戶避免互聯網所帶來的風險,提升用戶寬帶價值。

有針對性的方案

針對政府機關互聯網的需求分析,深信服對政府機關具體面對的互聯網風險歸納如下。法律風險: 法律風險的來源有兩種情況,一是內部人員有意無意地訪問到一些不法網站,二是內部人員在網上的言論可能不經意地觸犯國家利益,這兩種情況都可能給單位帶來一定的法律壓力; 帶寬風險: 網絡視頻、大型網游、特別是用P2P軟件下載電影等,都會大量占用單位的網絡帶寬,使網絡壓力增大,進而影響到機關業(yè)務的運行,辦公效率降低; 病毒風險: 泛濫的DoS攻擊、ARP攻擊會使單位上網出現問題,蠕蟲、木馬會嚴重影響網絡的速度和穩(wěn)定性,或者盜取單位的機密信息; 效率風險: 為了保障工作效率,政府機關該怎樣監(jiān)督網絡應用,使上班工作、下班娛樂兩不相誤?

面對以上問題,深信服通過以下方式來解決。頁面訪問、外發(fā)信息審計: 為了規(guī)避法律風險,可以通過頁面訪問、外發(fā)信息審計方式來進行監(jiān)督,以保持內部網絡的健康,也防止與不法頁面的接觸帶來的風險; 外發(fā)信息控制: 對從內網向外發(fā)送的信息進行適當的記錄,防止因出現不良信息發(fā)送而給單位帶來風險; 帶寬審計系統: 帶寬審計系統解決帶寬風險的問題,通過對下載、娛樂進行流量記錄和控制,避免占用過多的帶寬,通過對重要的業(yè)務系統、重要的機關部門進行帶寬保障來保證辦公系統的暢順運行; 安全審計系統: 對于病毒風險,安全審計系統通過網關殺毒、防DoS攻擊、防ARP攻擊等方式來對蠕蟲、木馬、DoS、ARP等主要危害網絡的病毒進行防護; 網絡應用記錄: 面對效率風險,我們可以靈活制定審計策略,對各種網絡應用,可以記錄其使用情況,再加上一定的控制手段,如上班時間限制使用娛樂應用,下班時間則不進行控制,使工作人員張弛有度,保持控制的合理性。

文化局安全審計平臺

北京市文化局建立了較成熟的網絡接入辦公環(huán)境。以前存在問題如下,帶寬問題: 如果有人員在用P2P軟件下載,就會大量占用帶寬,導致響應變慢; 怎樣獲知帶寬使用情況: 原有網絡中沒有記錄日志的系統,因此,沒有一種手段來查看網絡的狀況; 網絡健康性問題: 網絡上的不良網頁可能影響北京市文化局網絡的健康性,甚至還會危害網絡的安全。

針對北京市文化局網絡存在的以上風險,深信服提供了網絡安全審計解決方案,解決方法如下:

對上網流量進行審計: 管理者使用審計產品清楚地獲知內網的人員流量、應用流量等情況,結合QoS優(yōu)先級機制,進行帶寬劃分和分配,實現帶寬資源利用率的最大化。

篇10

防火墻、UTM、防病毒軟件、防后門、防蠕蟲各種安全技術和產品層出不窮,但是他們只能防范外部安全問題,對于企業(yè)組織中內部人員所造成的嚴重攻擊,這些是無能為力的,此時,網絡安全審計系統的作用就顯得尤為重要。

通過使用網絡安全審計系統,可以將管理人員從繁雜、枯燥的IT內審中解放出來,最大程度上降低IT內審工作的工作量、以滿足組織機構內外部合規(guī)性要求、全面體現管理者對業(yè)務系統信息資源的全局把控和調度能力。

決策部門在系統的幫助下可以尋找到治理業(yè)務系統的決策依據,并且定奪治理業(yè)務系統的先后順序,以及重要緊急程度等等一系列審計工作。

為什么需要面向業(yè)務的信息安全審計?

面向業(yè)務的信息安全審計系統,顧名思義,是對用戶業(yè)務的安全審計,與用戶的各項應用業(yè)務有密切的關系,是信息安全審計系統中重要的組成部分,它從用戶的業(yè)務安全角度出發(fā),思考和分析用戶的網絡業(yè)務中存在的脆弱和風險。

我們不妨先看兩個鮮活的案例。不久前,中國青年報報道,上海一電腦高手,方某今年25歲,學的是計算機專業(yè),曾是某超市分店資訊組組長。方某利用職務之便,設計非法軟件程序,進入超市業(yè)務系統,即超市收銀系統的數據庫,通過修改超市收銀系統的數據庫數據信息,每天將超市的銷售記錄的20%營業(yè)款自動刪除,并將收入轉存入自己的賬戶。從2004年6月至2005年8月期間,方某等人截留侵吞超市3家門店營業(yè)款共計397萬余元之多。

程某31歲,是X公司資深軟件研發(fā)工程師,從2005年2月,他由A地運營商系統進入B地運營商的業(yè)務系統――充值中心數據庫,獲得最高系統權限,根據“已充值”的充值卡顯示的18位密碼破解出對應的34位密鑰,然后把“已充值”狀態(tài)改為“未充值”,并修改其有效日期,激活了已經使用過的充值卡。他把面值300元的充值密碼以281.5到285元面值不等價格在網上售出,非法獲利380萬。

通過上述兩個案例,我們不難發(fā)現,內部人員,包括內部員工或者提供第三方IT支持的維護人員等,他們利用職務之便,違規(guī)操作導致的安全問題日益頻繁和突出,這些操作都與客戶的業(yè)務息息相關。雖然防火墻、防病毒、入侵檢測系統、防病毒、內網安全管理等常規(guī)的安全產品可以解決大部分傳統意義上的網絡安全問題,但是,對于這類與業(yè)務息息相關的操作行為、違規(guī)行為的安全問題,必須要有強力的手段來防范和阻止,這就是針對業(yè)務的信息安全審計系統所能夠帶給我們的價值。

用戶需求

事實上,一項針對業(yè)務系統的審計產品的評價手段有很多,理論上講,有從審計準確精確度人手做評價的,也有從審計行為的廣度入手做評價的,可是,無論以什么方式評價一款針對業(yè)務系統的審計產品,從審計行為的結果一 報告來評價是比較科學的。比如,我們以銀行的業(yè)務為例,銀行的業(yè)務主頁有銀行傳統業(yè)務、銀行中間業(yè)務、電子銀行業(yè)務三大類業(yè)務,第一類業(yè)務,是銀行傳統業(yè)務,主要包括了會計業(yè)務,即主要受理對公業(yè)務、面向工商客戶、以轉賬業(yè)務為主等;出納業(yè)務,即包括了受理現金業(yè)務等;對私業(yè)務、還有授信業(yè)務,即包括了工商客戶和個人客戶貸款的發(fā)放和收回逾期、呆賬、呆滯賬務的處理和追溯等。第二類,銀行的中間業(yè)務包括了:代收、電信公司的各類費用;代付企業(yè)的工資、基金購買、銀行承兌等業(yè)務;第三類,電子銀行業(yè)務主要包括了:網上銀行、電話銀行等,他們都是銀行作為電子商務中資金流的一方,所有的這些業(yè)務都有大量的后臺IT信息支撐系統作為支撐。

技術視野

業(yè)務網絡審計系統是基于應用層內容十本技術衍生出的一種強化IT風險管理的應用模式,它需要對應用層的協議、網絡行為等信息進行解析、識別、判斷、記錄、呈現,以達到監(jiān)控違規(guī)網絡行為、降低IT操作風險的目的。

顯然,一個針對業(yè)務系統的審計必須承擔鑒證、保護和證明三方面的作用,從技術角度看,審計系統需要審計的信息量人,采集的數據量多,比如對基本網絡應用協議審計進行詳細的實時監(jiān)控、審計,并可以對操作過程進行回放,對各類操作系統也需要審計,同時,還有一些OA操作的審計,在這些龐雜的信息量下,如果系統呈現的信息缺失、失真或錯誤,往往會給用戶輕則帶來決策失誤,重則帶來安全事件無法追究的窘境。由于報告成為了取證、追查、建立制度的重要依據,報告應該越細越好,因此,報告的細粒度就成為業(yè)務網絡審計系統發(fā)展的必然。

政策推動

隨著中國國際化程度的日益提高,國內許多規(guī)范也正在順應國際化的趨勢上發(fā)展,以SOX法案為例,在美上市的中資企業(yè)如中國移動集團公司以及下屬分公司就面臨著該法案的合規(guī)性要求,而商業(yè)銀行同樣也面臨Basel協議的合規(guī)性要求,政府的行政事業(yè)單位或者國有企業(yè)則有遵循等級保護的合規(guī)性要求。

從2001年起,政府、電信業(yè)、金融業(yè)、大企業(yè)等都已經先后制定了相關的法律法規(guī),這些規(guī)范、文件的出臺,是對IT合規(guī)建設的必然選擇,不得不讓面向業(yè)務的審計系統應該向這些法律法規(guī)的“合規(guī)性要求”方向發(fā)展,這些也促成了報告在審計系統中扮演的角色。

面向業(yè)務的信息安全審計,正在被越來越多的行業(yè)和機構所重視,它代表著由傳統信息安全向業(yè)務信息安全領域縱深發(fā)展的必然的趨勢。

當今信息安全領域,我們已經不能簡單地認為,只要有防火墻、IDS、IPS、內網管理等系統的上線就可以解決網絡安全問題,我們更不能簡單地認為,由于各類業(yè)務系統應用在安全防護下就不會有任何安全風險。事實上,正是面向業(yè)務的信息系統安全審計系統開啟了我們從傳統安全領域向業(yè)務安全領域思考的一扇窗戶,它把我們理解的信息安全思路引向了一個更加貼合業(yè)務應用、更加貼合業(yè)務管理的角度來看待信息安全。