網絡安全防御知識范文

時間:2023-11-06 17:53:15

導語:如何才能寫好一篇網絡安全防御知識,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

網絡安全防御知識

篇1

1系統(tǒng)架構

網絡安全事件預警系統(tǒng)的體系結構如圖1所示,其中的系統(tǒng)中心、流檢測服務器、載荷檢測服務器、配置管理服務器是系統(tǒng)的邏輯組成部分,并非是必須獨立的硬件服務器。對于中等規(guī)模的網絡可以運行于一臺硬件服務器上。

2系統(tǒng)處理流程

如圖1所示,以檢測流經路由器R1的流量為例,介紹系統(tǒng)的處理流程。

(1)路由器R1生成流記錄,并將記錄輸出到流檢測服務器。流記錄符合IPFIX格式,流以五元組(SrcIP、SrcPort、DestIP、DescPort、Protocol)標識。

(2)流檢測服務器采用基于流特征的檢測方法對流量進行檢測,將流量分成正常流量和安全事件流量,并將分類結果發(fā)送系統(tǒng)中心。

(3)系統(tǒng)中心根據安全事件策略庫中的監(jiān)控策略分析檢測結果,這里會出現三種情況。流量正常不需要控制,系統(tǒng)顯示檢測結果;檢測結果達到控制標準,發(fā)出預警或通知。需要深度包檢測,通知配置服務器鏡像R1上特定流量。

(4)配置服務器向R1發(fā)出相關鏡像配置命令。

(5)R1執(zhí)行鏡像命令,通過鏡像鏈路鏡像相應流量。

(6)載荷檢測服務器對這些數據報文進行捕捉并通過深度包檢測方法確定進行分析。

(7)顯示檢測結果,對安全事件發(fā)出預警或通知服務器。

網絡預警系統(tǒng)檢測方法研究

1流特征檢測方法

基于流記錄特征的流量分析技術主要應用NetFlow技術,對網絡中核心設備產生的NetFlow數據進行分析、檢測分類、統(tǒng)計。NetFlow協(xié)議由Cisco公司開發(fā),是一種實現網絡層高性能交換的技術。它運行在路由器中動態(tài)地收集經過路由器的流的信息,然后緩存在設備內存中,當滿足預設的條件后,將緩存數據發(fā)送到指定的服務器。一個信息流可以通過七元組(源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型、服務類型、路由器輸入接口)唯一標識。

數據流檢測的數據流程主要為:操作人員啟動采集,程序通過libpcap對相應端口中的NetFlow數據進行接收,先緩存直內存中,達到一定數量后壓縮存儲直對應的文件中,進行下一次接收,同時定時啟動分析模塊,調入NetFlow規(guī)則庫并調取相應的壓縮NetFlow數據文件,對數據進行處理后,將NetFlow數據內容與規(guī)則庫進行匹配,獲得相應的處理結果存入數據庫中,再次等待下一次分析模塊啟動。

2深度包檢測方法

深度包檢測方法是用來識別數據包內容的一種方法。傳統(tǒng)的數據檢測只檢測數據包頭,但是這種檢測對隱藏在數據荷載中的惡意信息卻無能為力。深度包檢測的目的是檢測數據包應用載荷,并與指定模式匹配。當IP數據包、TCP或UDP數據流通過基于DPI技術的管理系統(tǒng)時,該系統(tǒng)通過深入讀取IP數據包載荷中的內容來對應用層信息進行重組,從而得到整個應用程序的通信內容,然后按照系統(tǒng)定義的管理策略對流量進行過濾操作。這種技術使用一個載荷特征庫存儲載荷的特征信息,符合載荷特征的數據包即視為特定應用的數據包。

深度包檢測的數據流程主要為:操作人員啟動采集,程序先調入相應的協(xié)議規(guī)則,程序通過libpcap對相應網絡端口中對應協(xié)議的數據進行抓包捕獲,對數據包進行協(xié)議分析拆包處理后,調入正則規(guī)則并進行優(yōu)化處理,將數據包內容與優(yōu)化過的規(guī)則進行多線程匹配,獲得相應的處理結果存入數據庫中,再次進行下一步處理。

3復合型檢測方法研究與分析

復合型檢測,既結合了基于流特征的檢測,從宏觀上檢測整個網絡的安全狀態(tài),又結合了深度包檢測的方法,對某些安全事件進行包內容的詳細特征檢測,可以極大的提高安全事件檢測的準確度,減少誤報率和漏報率,并可有效地提高深度包檢測的效率,大幅降低深度包檢測對系統(tǒng)的配置要求。

根據復合型規(guī)則的定義,來處理流檢測和深度包檢測的關系??梢愿鶕煌陌踩录x對應的復合方式,即可實現兩種檢測方法同時進行,也可先進行流檢測符合相應規(guī)則后,再進行深度包檢測,最后判定是否為此安全事件。

復合型規(guī)則中,數據流規(guī)則與深度包規(guī)則的對應關系是M:N的關系。既一個數據流規(guī)則可以對應多個深度包規(guī)則,這表示這個數據流預警的安全事件可能是由多種深度包預警的安全事件引起,需要多個深度包檢測來進行確認。同時多個數據流規(guī)則可以對應一個深度包規(guī)則,這表示這個深度包規(guī)則對應的安全事件可以引起發(fā)生多條數據流預警的安全事件。這種設計方式可方便地通過基礎安全事件擴展多種不同的安全事件。

總結

篇2

關鍵詞:計算機網絡;求精技術;防御策略

引言

目前,計算機網絡技術在人們的生活、學習中發(fā)揮著重要的作用。計算機網絡技術以極高的“辦事效率”方便著人們的生活。然而伴隨著網絡技術的不斷發(fā)展,出現了很多安全隱患。傳統(tǒng)的安全軟件只可以抵御小規(guī)模的網絡攻擊,面對大規(guī)模且新型的網絡攻擊略顯不足。因此,對計算機網絡技術防御策略的求精關鍵技術研究有著鮮明的現實意義。

1 移動互聯(lián)時代計算機的安全現狀

當今,隨著國民經濟的不斷發(fā)展及科學技術的不斷突破,計算機已經走進了挨家挨戶。并改變著人們的生活方式。目前,計算機網絡所面臨的問題便是計算機網絡安全。怎樣才可以保障用戶的信息安全,全方位的解決計算機網絡安全問題,逐漸成為了人們關注的重點。就目前來說,伴隨著計算機網絡安全問題而產生的計算機防御措施,并不能全方位的解決計算機網絡安全問題。從目前計算機網絡技術的發(fā)展形勢來看,計算機將會持續(xù)現今發(fā)展趨勢。從計算機網絡技術的演變形勢來看,計算機網絡技術的所面臨的問題主要是系統(tǒng)漏洞和病毒感染。它們會隱藏在網絡傳遞信息之中,從而對用戶的信息進行盜取和泄露,在很大的程度上使得計算機網絡環(huán)境埋下巨大的安全隱患。

2 計算機網絡防御及求精技術關鍵

2.1 防御策略的模型

防御策略的模型是將現有計算機網絡知識和防御系統(tǒng)相關理念進行科學的結合。達到技術與實際的完美統(tǒng)一。防御策略的模型構建,會對數據庫、用戶信息、計算機設備等進行完善,達到保護用戶信息及維護網絡安全的目的。并且在防御策略模型的構建中,技術與思想的有機結合,防御好知識系統(tǒng)的統(tǒng)一對推動計算機發(fā)展和計算機網絡工程的運作有著總要的意義。防御策略系統(tǒng)模型的構建在整個防御系統(tǒng)的的構建中處在重要的位置。并且,防御策略模型的構建需要以計算機當前運行狀況為前提。防御策略的構建大大降低了人工管理精力,使得計算機在網絡安全問題的防御上變得更加的迅速和靈活。

2.2 求精技術

2.2.1 求精技術模型

求精技術是一個由簡入繁的過程,它的目的在于將高層防御策略變成操作層防御策略。其中所謂的高層防御策略就是應用網絡運營管理者設計的安全防御方法并由管理者對網絡安全問題進行防御。操作層的防御策略方法是應用計算機自身安全防御方法,執(zhí)行正確的安全問題防御策略。計算機求精技術模型中包含了四大操作層防御策略及高層防御策略,其中有響應、檢測、恢復、保護。

2.2.2 求精技術設計規(guī)則

計算機網絡求精技術中操作層防御規(guī)則及高層防御規(guī)則包括六個方面:RU(用戶和設定角色兩者之間求精規(guī)則)、RS(源點、源域及用戶之間求精規(guī)則)、RC(漏洞和漏洞類型之間求精規(guī)則)、RA(動作和活動兩者直接的求精規(guī)則)、RR(資源以及目標兩者之間的求精規(guī)則)、RDD(防御動作、手段、防御實體三者之間的求精規(guī)則)。

2.2.3 求精技術的計算方法

根據大量的實驗以及對計算機求精技術的現狀分析,依據以上的問題及求精技術特殊的構成方式,求精技術的計算方法主要以CNDPR為主。

3 計算機網絡防御策略求精關鍵技術的完善措施

3.1 建立滿足當代社會需求的網絡安全管理體系

計算機網絡安全防御策略求精技術還有很多不足,并不能真正的達到由高層防御策略完全過度到操作層防御策略中去。因此,我們應該加大對管理人員的培訓,使得用戶網絡信息得到很好的保障。建立科學的計算機網絡管理機制,完善對計算機網絡安全的維護。根據計算機獨有的特點構建專屬的計算機網絡管理體系。將各項規(guī)定落實到實際中,加大對網絡安全知識的宣傳,提高網絡用戶安全意識。

3.2 推動防火墻等一系列安全防御軟件的開發(fā)

防火墻的作用毋庸置疑,它本就是為了連接計算機和網絡系統(tǒng)從而實現對潛在計算機網絡安全隱患的監(jiān)測,它可以保證沒有應用的系統(tǒng)端口在特定時間內不受外界干擾,從根本上解決計算機網絡安全隱患,同時提升了計算機網絡安全防護的效率。因此,鑒于現今的網絡技術發(fā)展速度,對防火墻和網絡安全防御軟件的開發(fā)推廣,仍然有著重要作用。

3.3 應用和完善反病毒技術

針對計算機網絡中的病毒感染問題,我們要做出及時的防御措施。為使計算機可以全面、高效的運作,對計算機網絡病毒感染的防御有著重要的意義。因此,在計算機網絡技術發(fā)展的同時,網絡運營管理者應該加大對網絡安全知識的宣傳,告誡用戶以使用正版的計算機軟件為主。加大對違法盜版用戶的打擊力度。并且,對重要文件進行備份處理,以防止意外發(fā)生。在計算機上設置必要的權限,禁止非法登錄盜取他人信息。提高自己的信息保護安全意識及計算機系統(tǒng)安全。

3.4 掃描技術的應用

掃描技術與防火墻及反病毒技術有相同的目的,讓它們三個共同協(xié)作可以加大計算機安全性能。計算機掃描技術是一種廣泛的計算機防御技術。因為它的普遍性計算機掃描技術而不被大多網絡用戶重視。然而隨著計算機網絡求精技術的發(fā)展,計算機掃描技術的不斷更新,將會在計算機網絡安全問題防御上起到更大的作用。

4 結束語

計算機網絡技術不斷發(fā)展,在人們生活學習中已經起到了重要的作用,它影響著社會發(fā)展方向,對社會發(fā)展進程有著不可估量的作用。隨著計算機深入人們生活,網絡安全問題也隨之而來。事實證明,計算機網絡防御策略求精關鍵技術可以很好的在現今的計算機發(fā)展背景下保護用戶的信息安全。我們相信通過對計算機網絡防御策略求精關鍵技術的研究和突破及其它網絡安全模式的推廣可以構建一個和諧安全的計算機網絡環(huán)境。讓網絡用戶更好的享受對計算機網絡的體驗。

參考文獻

[1]苗斌.智能電網中計算機網絡系統(tǒng)的安全作用[J].數字技術與應用,2016,7:250-251.

[2]李延香,袁輝.網絡環(huán)境下計算機病毒及其防御技術的研究與實施[J].自動化技術與應用,2016,7:36-38+64.

篇3

關鍵詞:計算機網絡;安全現狀;防御技術

計算機網絡的出現,改變人類生活,縮短了人與人之間在時間、空間上的距離,雖然計算機網絡發(fā)展時間并不長,但人們對其依賴程度卻不小,人們會將很多信息都存儲到計算機上,但計算機網絡安全問題也逐漸增多,很容易給企業(yè)、個人帶來損失,因此,做好計算機網絡安全防御就成為現階段最重要的工作。

1 計算機網絡安全現狀

雖然我國應用計算機網絡的時間并不比國外短多少,但存在于計算機網絡安全中的問題依然沒有得到徹底解決,嚴重降低了人們安全使用計算機網絡的信心,尤其近年來,利用網絡進行破壞活動的不良分子逐漸增多,因此怎樣減少網絡犯罪,提高計算機網絡安全性就成為人們最關心的問題。對于計算機網絡安全情況具體可以從以下幾點看:

1.1 硬件缺陷

對于計算機網絡來說,在運行中最不可缺少的就是硬件,它是計算機運行的根本,然而,現有計算機網絡卻存在嚴重的硬件缺陷問題,很容易出現網絡信息失竊等情況[1]。在眾多的硬件缺陷中,最嚴重的莫過于電子輻射泄露,一旦發(fā)生這種情況,存儲在計算機中的重要信息都會丟失,這也是計算機網絡中最難解決的問題。此外,信息資源通信部分還存在安全隱患,特別是各種用于傳輸信息的線路很容易被非法分子截取,進而引起信息泄露與丟失。

1.2 操作系統(tǒng)不健全

計算機是否安全與網絡有直接關系,用戶在使用計算機的過程中,需要利用操作系統(tǒng)連接網絡,并進行相應操作,如果操作系統(tǒng)不健全就會給計算機安全帶來威脅,如果操作系統(tǒng)內核技術過于落后,面對復雜的網絡環(huán)境,很容易出現操作失誤的情況,進而引發(fā)網絡安全危機。所以,一定要重視計算機操作系統(tǒng)的維護,及時修補系統(tǒng)漏洞。

1.3 軟件把控存在問題

通過研究計算機網絡安全問題得知,由于軟件把控存在問題的事件數不勝數,其主要原因是相關工作人員并沒有重視軟件把控,使得軟件市場十分混亂,部分設計本身存在缺陷的軟件也被不明所以的用戶安裝使用,這樣一來,就給計算機網絡安全帶來巨大威脅,所以,相關工作人員與部門應重視對軟件的把控,認真檢查所有軟件,只有這樣才能減少安全事件的發(fā)生,確保財產不受損失。

2 計算機網絡安全防御技術

2.1 防火墻技術

為加強計算機網絡安全防御,首先要從防火墻設置入手,設置好防火墻可以確保信息安全,并根據系統(tǒng)設置自動確定是否進行數據傳輸。對于防火墻而言,它既可以是計算機上的一個硬件,也可以是安裝在硬件上的軟件,在設置完防火墻以后,可以確保信息順利傳遞,保證工作順利完成[2]。同時,將防火墻應用到計算機網絡中,用戶還可以清楚的了解到其訪問情況,并從中獲得自己想要的數據。防火墻技術的應用可以保護內外網絡,它是最可靠最常用的網絡安全防御技術之一。

2.2 加密技術

為做好信息安全保護工作,還要做好信息編碼工作,將重要且真實信息隱藏起來,以便實現對用戶數據的保護,這就是常說的加密技術。對于數據加密來說,可以采用三種方式,一種是對鏈接進行加密,也就是對網絡節(jié)點加密,由于節(jié)點不同,所設置的密碼就不同,這樣一來,只有信息融入到節(jié)點以后才能完成解密。第二種是節(jié)點加密,這種加密方式與銜接加密十分相似,其差別在于數據在節(jié)點傳輸的過程中,并不是用明碼格式加密,而是需要應用到類似保險箱之類的設計,然后再解密或加密[3]。第三種,首尾加密,這種加密方式應用較多,就是在數據進入網絡后再加密,并在數據傳輸前完成解密。這些加密技術都可以保護計算機網絡安全,

2.3 病毒防御技術

隨著科技與網絡技術發(fā)展,計算機網絡也隨之不斷發(fā)展,信息傳輸速度也越來越快,盡管方便了人們使用,但同時也給計算機網絡安全使用帶來較大威脅,如病毒傳輸速度也隨信息傳輸速度的增長而增長,一旦病毒入侵到計算機,就會在很短的時間內遍布整個網絡,給人們生產生活帶來無法估計的損失。為減少病毒對計算機網絡的侵襲,強化病毒防御就成為最重要的工作。對于病毒防御技術來說,應全面監(jiān)測與掃描網絡傳輸中的各個文件,并自動識別非法信息,如果用戶在利用計算機對某些文件或網站進行訪問的過程中,病毒防御系統(tǒng)檢測出存在病毒,就要給予用戶提示,并強制用戶關閉該網頁,這也是減少病毒入侵的有效方式。

2.4 身份驗證技術

要做好計算機網絡安全,防止存儲在計算機中的信息不受非法利用,就要做好密碼身份驗證,只有這樣才能確保信息完整。所謂的身份驗證技術來說,最重要的就是對使用計算機的人員進行身份核實,在用戶開啟計算機以后,系統(tǒng)會將經驗證信息自動發(fā)送到界面上,以便了解用戶是否合法,如果通過驗證,用戶就可以訪問與使用計算機,如果驗證失敗,用戶將被限制使用權利,計算機也會自動關閉。此外,為保證計算機網絡安全,還需要將審計與跟蹤技術應用到計算機網絡中,該技術的作用就是檢查與記錄業(yè)務往來情況,該技術的典型代表有入侵檢測系統(tǒng),其主要作用是防止不良分子進行網絡攻擊,及時彌補防火墻漏洞,并通過這樣的方式逐步擴大管理員管理范圍,保證計算機始終處于安全運行狀態(tài),進而完善信息安全結構[4]。

3 結束語

通過研究發(fā)現,計算機網絡已經成為現代人生產生活中不可缺少的一部分,很多人都將重要信息存儲在計算機上,保護計算機網絡就等于保護財產,但由于受多種因素影響,計算機網絡安全問題層出不窮,這就需要相關工作人員做好網絡安全防御設計,應用最新防御技術,只有這樣才能逐步提高計算機網絡安全性,防止企業(yè)與個人遭受損失。因此,本文聯(lián)系實際情況,提出了幾種加強計算機網絡安全的防御技術,希望能為相關人士帶來參考。

參考文獻

[1]朱玉林. 計算機網絡安全現狀與防御技術研究[J]. 信息安全與技術,2013,01:27-28+56.

[2]趙海存,宋麗輝,劉一鳴. 計算機網絡安全的防御技術分析[J]. 電子制作,2013,06:158.

篇4

關鍵詞:網絡安全;防火墻;入侵檢測;數據加密

中圖分類號:TP273文獻標識碼:A文章編號:1007-9599 (2011) 03-0000-01

The Device Itself Safety Study of Access Ring Ethernet

Si Yanfang,Zhang Hong,Lai Xiaojun

(No.713 Research Institute,Zhengzhou450015,China)

Abstract:In this paper,the characteristics of ship and use the ethernet ring network security situation is now more difficult to construct a firewall,intrusion detection systems,port management,data encryption,vulnerability management,disaster recovery and other security policy of security and defense systems,effective protection of ethernet ring network security,ethernet connection for the ships safety equipment.

Keywords:Network security;Firewall;Intrusion detection;Data encryption

一、概述

環(huán)形以太網是由一組IEEE 802.1兼容的以太網節(jié)點組成的環(huán)形拓撲,隨著環(huán)形以太網的普及和網絡技術的飛速發(fā)展,人們在充分享受信息共享帶來的便利時,也被網絡病毒和網絡攻擊問題所困擾,網絡安全問題被提上日程,并有了快速的發(fā)展。

二、常用的安全技術

鑒于越來越嚴峻的網絡安全形勢,對網絡安全技術的研究也越來越深入,常用的網絡安全技術有:防火墻,入侵監(jiān)測系統(tǒng)以及數據加密技術等。

(一)防火墻。防火墻是指在兩個網絡之間加強訪問控制的一個或一系列網絡設備,是安裝了防火墻軟件的主機、路由器或多機系統(tǒng)。防火墻還包括了整個網絡的安全策略和安全行為,是一整套保障網絡安全的手段。已有的防火墻系統(tǒng)是一個靜態(tài)的網絡防御系統(tǒng),它對新協(xié)議和新服務不能進行動態(tài)支持,所以很難提供個性化的服務。

傳統(tǒng)防火墻的不足和弱點逐漸暴露出來:

1.不能阻止來自網絡內部的襲擊;

2.不能提供實時的入侵檢測能力;

3.對病毒也束手無策。

(二)入侵檢測技術。入侵檢測技術是一種主動保護自己免受攻擊的一種網絡安全技術。作為防火墻的合理補充,入侵檢測技術能夠幫助系統(tǒng)對付網絡攻擊,擴展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎結構的完整性。它可以主動實時檢測來自被保護系統(tǒng)內部與外部的未授權活動。

(三)數據加密技術。數據加密技術是指對被保護數據采用加密密鑰進行加密形成密文,只有被授予解密密鑰的用戶才能在接收到數據之后用解密密鑰對數據進行解密形成原始的明文進行閱讀。數據加密技術作為一種被動的安全防御機制,是在數據被竊取的情況下對數據最后的保護,是保護數據安全的一種有效手段。

三、安全防御系統(tǒng)的構建

根據環(huán)形以太網傳播模式多樣、傳輸數據量大的特點及常見的網絡安全技術的分析,本文構建了由防火墻、入侵監(jiān)測系統(tǒng)、端口管理、漏洞管理、安全策略組成的完整的安全防御系統(tǒng)。

(一)使用防火墻。防火墻設置在受保護的系統(tǒng)和不受保護的系統(tǒng)之間,通過監(jiān)控網絡通信來隔離內部和外部系統(tǒng),以阻擋來自被保護網絡外部的安全威脅。當被保護系統(tǒng)接收到外部發(fā)來的服務申請時,防火墻根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果該服務符合防火墻設定的安全策略,就判定該服務為安全服務,繼而向內部系統(tǒng)轉發(fā)這項請求,反之拒絕,從而保護內部系統(tǒng)不被非法訪問。

(二)選用合適的入侵檢測系統(tǒng)。本文提出的安全防御系統(tǒng)主要是為了保護環(huán)形以太網中的各個結點免受網絡威脅的入侵,所以選擇基于主機的入侵檢測系統(tǒng),既可以更好的保護主機信息,又方便與防火墻結合。入侵檢測系統(tǒng)與防火墻采用將入侵監(jiān)測系統(tǒng)嵌入到防火墻中的方式結合,如圖1所示。

該結構處理步驟如下:

1.防火墻把不符合安全策略的數據首先拒絕其進入系統(tǒng)內部,把符合安全策略的數據傳遞給入侵檢測系統(tǒng)做進一步檢測;

2.入侵檢測系統(tǒng)對防火墻放行的數據做進一步分析,對含有安全威脅的數據直接丟棄,反之放行使其進入系統(tǒng)內部;

3.入侵檢測系統(tǒng)定期對系統(tǒng)內部的系統(tǒng)日志等系統(tǒng)數據進行分析檢測,從而發(fā)現來自系統(tǒng)內部的威脅。

將防火墻這種靜態(tài)安全技術與入侵檢測系統(tǒng)這種動態(tài)安全技術結合使用,可以在被動檢測的基礎上通過入侵檢測系統(tǒng)進行主動檢測,同時檢測來自系統(tǒng)內部與外部的安全威脅。

(三)端口管理。只開放環(huán)形以太網中的特定的少數機器的端口,允許其與外部存儲設備進行數據交換,然后在其它節(jié)點需要該交換數據時,使其與開放端口的節(jié)點進行通信,并且對這幾臺機器的安全系統(tǒng)進行及時升級更新,從而有效保護環(huán)形以太網的內部安全。

(四)漏洞管理。加強軟件管理,及時發(fā)現系統(tǒng)軟件、應用軟件尤其是系統(tǒng)安全防御軟件的漏洞,并下載補丁,盡量避免漏洞被入侵者利用,從而提高系統(tǒng)整體的安全性。同時,要注意人為管理漏洞的防御,提高網絡操作員的網絡安全意識,制訂嚴格的計算機操作規(guī)章制度,使網絡安全管理有章可循。

四、結論

本文根據環(huán)形以太網的特點和現在嚴峻的網絡安全形勢,構建了一個針對環(huán)形以太網的安全防御系統(tǒng),在實際應用中可以根據被保護環(huán)形以太網的實際需要進行合理的選擇和增減。

參考文獻:

[1]劉長松.具有入侵檢測功能的防火墻系統(tǒng)的設計與實現[J].四川:電子科技大學,2003

[2]王峰.如何制定網絡安全策略[J].電腦知識與技術,2007,2,1:64-65,73

篇5

關鍵詞:通信網絡 風險評估 安全威脅 防御

中圖分類號:TN915 文獻標識碼:A 文章編號:1007-9416(2015)03-0187-01

1 引言

目前,通信網絡經歷若干代的發(fā)展進入了光纖通信時代,網絡帶寬也從原來的Kbps提升到了Gbps,實現了大幅度跨越,并且在分布式計算、云計算和移動計算等領域得到了廣泛地應用,有力的促進了人們的生活進入光速網絡時代。目前,通信網絡給人們帶來了極大的方便,但是由于網絡系統(tǒng)架構逐漸變得復雜,潛在的安全威脅也越來越嚴重,需要對通信網絡采用風險評估技術,能夠發(fā)現通信網絡中存在的漏洞和威脅,以便能夠及時采取防御措施,保證網絡安全運行。

2 通信網絡安全風險評估

隨著時間的推移,通信網絡信息系統(tǒng)安全風險評估技術已經得到了極大地改進和完善,取得了顯著的成效。目前,常用的主流風險評估技術主要包括專家評價方法、事故樹分析方法、層次分析方法、模糊綜合評判法、BP神經網絡法等,可以有效的評估通信網絡存在的漏洞和威脅[1]。

2.1 專家評價方法

專家評價方法是一種非常有效的風險評估方法。根據通信網絡風險評估專家的評估實踐和經驗,可以構建一個系統(tǒng)的安全風險評估指標體系,以便能夠確保通信網絡風險評估依據嚴格的標準和原則,積極的進行探索和分析,預測通信網絡安全發(fā)展趨勢。專家評價方法包括兩種具體的執(zhí)行方式,分別是專家審議法和專家質疑法,都可以有效的進行風險分析和評估[2]。

2.2 事故樹分析方法

事故樹分析方法是一種較為有效的演繹分析方法,該方法可以通過各個事故之間的邏輯關系,揭示安全事故發(fā)生的最為基本的原因,事故樹分析方法的基本目的能夠有效的識別出引起通信網絡產生風險的基本元素,比如人為的失誤或者設備的固有的漏洞。

2.3 層次分析方法

層次分析方法可以根據通信網絡的風險評估性質和需要達到的總體目標,可以將問題分解為許多不同的組成要素,并且能夠按照各種要素進行相互關聯(lián),根據相關要素的影響、隸屬關系能夠將引起風險的原因進行不同層次的分類,組織為一個層次化的分析結構模型,并且能夠最終把相關的風險分析問題歸結為一個相對優(yōu)劣次序的排序問題,具有重要的風險評估意義。

2.4 模糊綜合評判法

根據模糊數學中的最大隸屬度原理和模糊變化原理,可以有效的分析風險評估過程中涉及的各個要素,以便做出準確的綜合性評價,能夠考慮各個要素的風險影響程度。

2.5 BP神經網絡法

BP神經網絡可以對信息系統(tǒng)運行過程中存在的風險進行訓練和學習,并且將學習結果存儲到知識庫中,通過訓練不斷的改進網絡結構和優(yōu)化BP神經網絡學習參數,使得風險評估更加準確,更好的構建一個完整的風險防御體系。

3 通信網絡安全防御技術

目前,通信網絡安全防御技術包括防火墻、狀態(tài)檢測、深度包過濾等主動防御技術,可以有效的防御網絡黑客攻擊,阻止病毒和木馬侵襲[3,4]。

3.1 網絡層防火墻

防火墻技術在網絡安全保護過程中得到了廣泛的應用,其也是網絡安全防御采用最早的技術之一,防火墻可以有效保護網絡內部信息不受病毒、非法入侵的攻擊,其實質是一種安全訪問控制技術,可以根據設置安全訪問規(guī)則,阻滯非法用戶入侵網絡,避免通信網絡系統(tǒng)信息泄露,避免遭到非法用戶篡改。

3.2 狀態(tài)檢測技術

狀態(tài)檢測技術是一種可以根據網絡數據流上下文信息感知網絡連接的建立和刪除的技術,比如,TCP協(xié)議中包含網絡數據狀態(tài)信息,狀態(tài)檢測技術可以通過TCP數據包中的標志位信息,確定TCP連接的狀態(tài),以便能夠動態(tài)的建立狀態(tài)表項,控制TCP連接的數據內容,由于網絡協(xié)議存在無連接數據,但是狀態(tài)檢測可以為UDP或ICMP協(xié)議創(chuàng)建一種虛擬的連接表,將其作為連接表的一部分,控制外部網絡非法訪問內部網絡。

3.3 智能協(xié)議識別技術

智能協(xié)議識別技術可以有效識別網絡應用層協(xié)議,并且在端口協(xié)議分析技術的基礎上,根據協(xié)議數據的特征判斷或行為特征判斷協(xié)議,區(qū)分靜態(tài)端口、動態(tài)端口,根據特殊協(xié)議使用的端口,在根據相關的協(xié)議動態(tài)庫特征進行識別協(xié)議,組織非法協(xié)議數據通過網絡。

3.4 深度包過濾技術

深度包過濾是相對于傳統(tǒng)的普通包檢測技術來講的,早期普通包過濾技術僅僅能夠分析數據包的四層以下內容,識別協(xié)議的端口號、協(xié)議類型、IP地址和TCP標志位,一些網絡應用協(xié)同可以隱藏或者假冒端口號,能夠躲避包過濾技術檢測和監(jiān)管。因此,深度包過濾增加了應用層數據包內容的深層檢測,確定數據包的真正應用。

4 結語

通信網絡是分布式管理系統(tǒng)的發(fā)展和應用的基礎支撐,其風險評估和安全防御就變得非常重要,基于專家系統(tǒng)、神經網絡、層次分析等技術評估通信網絡風險,并且采用狀態(tài)檢測、深度包過濾等技術構建主動防御體系,確保通信網絡安全運行,具有重要的作用和意義。

參考文獻

[1]梁禮,楊君剛,朱廣良,等.基于實時告警的層次化網絡安全風險評估方法[J].計算機工程與設計,2013,34(7):2315-2323.

[2]紀勇,張偉華,張證崎,等.復雜數據通信網絡風險評估研究[J].東北師大學報:自然科學版,2013,45(3):57-61.

篇6

關鍵詞:信息安全;情景感知;威脅情報;主動防御;安全事件管理

0引言

人們對信息安全的認識隨著信息安全形勢的發(fā)展、信息安全技術的革新而變化,在不同領域的不同時期,解決信息安全問題時的側重也各有不同。以往人們對于安全防護體系的關注焦點是以防護技術為主的相對靜態(tài)的安全體系,而技術的進步導致信息安全問題愈發(fā)嚴峻,信息安全防護要求不斷提高,其動態(tài)性、過程性的發(fā)展要求凸顯。P2DR(Policy,Protection,DetectionandResponse)安全模型和IATF信息保障技術框架是信息安全體系發(fā)展的重要里程碑,奠定了信息安全體系逐步動態(tài)化、過程化的基礎。P2DR模型源于美國ISS公司提出的自適應網絡安全模型(AdaptiveNetworkSecurityModel,ANSM),其在整體安全策略的控制和指導下,綜合利用防護工具和檢測工具了解、評估系統(tǒng)的安全狀態(tài),將系統(tǒng)調整到“最安全”和“風險最低”的狀態(tài)。在此過程中,防護、檢測和響應形成一個完整、動態(tài)的安全威脅響應閉環(huán),在安全策略的整體指導下保證信息系統(tǒng)安全[1]。P2DR安全模型如圖1所示。圖1P2DR安全模型Fig.1P2DRsecuritymodelIATF是美國國家安全局(NSA)組織編寫的一個全面描述信息安全保障體系的框架,它提出了信息保障時代信息基礎設施的全套安全需求,其創(chuàng)造性在于:首次提出了信息保障依賴于人、操作和技術共同實現組織職能/業(yè)務運作的思想,人通過技術支持實施操作過程,最終實現信息保障目標;提出穩(wěn)健的信息保障狀態(tài)取決于信息保障的各項策略、過程、技術和機制,在整個組織信息基礎設施的所有層面上都能得以實施[2]。IATF安全防護框架如圖2所示。網絡攻擊技術的不斷更新使得網絡安全問題日益嚴峻,特別是高級持續(xù)威脅(AdvancedPersistentThreat,APT)的出現,對網絡安全防護提出了新的挑戰(zhàn)。相較于其他攻擊形式,APT主要體現在攻擊者實施攻擊前需精確收集攻擊對象的業(yè)務流程和目標系統(tǒng)信息。而在信息收集過程中,此攻擊會主動挖掘攻擊目標信息系統(tǒng)和應用的漏洞,并利用這些漏洞組建起攻擊者所需的網絡,進一步利用0day漏洞進行攻擊,從而達到終極攻擊目的。針對APT攻擊的防護,Enterasys、Cisco等公司產品都體現了主動防御的理念。在安全防護體系方面,P2DR安全模型側重技術層面,通過更改安全防護策略防護已發(fā)現的安全事件,雖具動態(tài)性,但仍局限于被動的事后響應;IATF安全模型側重人、操作與技術一體,強調人的主動性和流程的主動過程。綜上所述,如何在惡意攻擊行為發(fā)生前主動檢測網絡中存在的脆弱點,研究并預測攻擊者行為,建立起主動型防護體系是信息安全領域中的一個重要課題。本文基于以上2種思路,結合情景感知思想,構建了新一代主動安全防護體系,在事前進行威脅防御[3]。

1基于情景感知的新一代主動防御體系

主動防御是一種前瞻性防御,通過針對性地實施一系列安全防御措施,提前發(fā)現安全薄弱點或安全攻擊行為,并實施安全防護措施。這種防御理念不同于以往滯后于攻擊的防御,能夠檢測未知攻擊,預測未來的安全形勢。主動防御具有自學習能力,能自動對網絡進行監(jiān)控,對發(fā)現的攻擊實時響應,通過分析攻擊方法和技術,對網絡入侵進行取證,對入侵者進行跟蹤甚至進行反擊等[4]。情景感知技術源于普適計算的研究,通過傳感器獲得關于用戶所處環(huán)境的相關信息,從而進一步了解用戶的行為動機等。該技術適用于信息安全主動防御體系,能在特定功能的網絡應用中識別主體、客體以及主體對客體的動機。一方面,基于情景感知技術,能及時識別如地點、時間、漏洞狀態(tài)等當前情景的信息,提升信息安全決策正確性;另一方面,通過構建特定的感知場景進行分析,可降低攻擊的誤報率,包括分辨?zhèn)鹘y(tǒng)安全防護機制無法防護的攻擊以及確定有意義的偏離正常行為[5]。本文提出的主動防御模型是在P2DR安全模型的基礎上進行延伸,包括情景感知(Aware)、動態(tài)防護(Protect)、深度監(jiān)測(Detect)與研判處置(Response),即APDR模型?;谇榫案兄闹鲃臃烙P腿鐖D3所示。

1.1事前情景感知

在攻擊發(fā)生前,主動搜集外部威脅情景和內部情景信息,轉換特定的安全策略應用到防護和監(jiān)測過程中,對內外部威脅提前預警并制定防護策略,另外通過搜集威脅情報與現有資產屬性匹配,實時進行風險預警[6-7]。1)外部情景信息。針對外部攻擊,主要通過獲取威脅情報,依靠專業(yè)的安全分析團隊,綜合分析之后形成情報的處置決策,并通過網絡安全設備或終端上的安全軟件來執(zhí)行決策,實現針對高級攻擊的防范,整個過程可以通過設備自動執(zhí)行。威脅情報一般包括信譽情報(“壞”的URL、IP地址、域名等)、攻擊情報(攻擊源、攻擊工具、利用的漏洞、采取的方式等)等。通??梢詮陌踩諒S商、CERT、防病毒廠商、政府機構和安全組織機構得到安全預警通告、漏洞通告、威脅通告等,這些都屬于典型的安全威脅情報。2)內部情景信息。主要是指對內部異常行為進行監(jiān)控,內部異常行為造成的破壞是導致安全事故的主要因素,外部攻擊者發(fā)起APT攻擊,其中的部分環(huán)節(jié)需要通過“內部行走”才能接觸到敏感數據,從而實現盜取或破壞的目的。企業(yè)內部的威脅源包括可能準備離職的有惡意的內部人員、內部人員長期慢速的信息泄露等,內部攻擊也可能由具備內部訪問權限的合作伙伴或者第三方發(fā)起。通過制定不同的情景,獲取樣本,建立正常行為模型,并分析內部網絡流量或終端服務器上的行為,可及早發(fā)現異常。內部情景主要指“主體”到“客體”的訪問行為情景,主體是人或應用,客體是應用或數據。情景包含的因素有5W(Who、When、Where、What、How),常見的異常情景有:登錄異常行為,包括異常時間、頻繁登錄失敗等行為;業(yè)務違規(guī)行為,包括高頻業(yè)務訪問、業(yè)務繞行等。

1.2事中動態(tài)防護與監(jiān)測

對于事中動態(tài)防護與監(jiān)測,一方面根據已知情景進行威脅行為模式匹配,另一方面能基于網絡交互上下文動態(tài)學習(自學習)和感知網絡特定上下文,建立相應的情景模型,對異常行為進行告警和阻斷[8]。1)威脅模式匹配。對于外部威脅情報中的信譽情報防護設備,直接根據安全事件的某個特征進行模式匹配即可,如檢測有外向連接到已知的危險實體,或者檢測可作為潛在攻擊線索的事件和行為特征的序列等[9-10]。對于攻擊情報中攻擊源、攻擊工具、利用的漏洞、該采取的方式等信息進行威脅情報建模,對安全事件進行特征提取,形成特征序列和威脅情報模型進行關聯(lián)分析。威脅情報標準及其可機讀性是關鍵,為使計算機能自動識別其表達行為,一般采用XML語言自描述。目前成熟的國外威脅情報標準包括網絡可觀察表達式(CyboX)、結構化威脅信息表達式(StructuredThreatInformationeXpression,STIX)、可信自動交換指標信息(TrustedAutomatedeXchangeofIndicatorInformation,TAXII)等。2)威脅行為學習。威脅行為是指不符合業(yè)務邏輯的行為,包括針對性的威脅行為(黑名單)及違反正常行為(白名單),通常表現為基于時間序列或基于統(tǒng)計的行為。威脅行為學習通過分析事件間的關系,利用過濾、關聯(lián)、聚合等技術,最終由簡單事件產生高級事件。行為的學習可以通過業(yè)務專家或者安全專家直接建模,但更多是通過機器學習方式輔以人工知識進行建模。機器建模包括訓練和驗證過程,一般模型的準確率低于專家建模。

1.3事后溯源和研判

事后溯源和研判是指對攻擊行為進行研判和取證,反饋攻擊行為給情景感知模型并修訂防護策略,在適當時機通過技術或者法律手段對入侵者進行反制。1)安全事件研判。采用可視化手段對可疑安全事件或預測性安全事件進行分析,確定攻擊的準確性以及造成的損失。事件研判需要專業(yè)能力強的安全運維人員來進行,除了具備安全知識外,對應用系統(tǒng)的行為也要非常熟悉。交互可視化可以大幅提高事件研判的效率,但定制化因素較多,也可借用成熟的工具進行事件研判,如安全沙箱、網絡分析軟件等。事件研判的結果應立即進入處置流程,使安全事件閉環(huán),從而進一步完善主動防御體系。2)攻擊溯源取證。溯源是指在網絡攻擊發(fā)生后,通過已發(fā)現的攻擊路徑追尋攻擊者的相關信息。溯源相關的事件包括業(yè)務事件和網絡事件,業(yè)務事件的目的是查找使用者,網絡事件的目的是查找網絡報文的發(fā)送者。溯源通過事件或者日志鏈層層查找,而取證則需要對系統(tǒng)或網絡攻擊行為進行還原,涉及的技術比較廣,也是目前針對企業(yè)合規(guī)及司法取證的熱點。

2基于情景感知的主動防御體系實踐

建立主動防御系統(tǒng)是一項十分復雜的工程,從IATF安全保障體系來看,涉及人、流程、技術等要素的有機結合。在主動防御體系建設方面,為體現主動防御體系的前瞻性、自學習、實時響應,除了組織流程建設外,還需要在威脅感知基礎設施方面不斷進行完善,并不斷完善防護、監(jiān)測等技術措施,提升主動防御體系的完整性?;谇榫案兄闹鲃臃烙w系如圖4所示。在組織方面,需要構建內外部威脅情景信息搜集隊伍以及可以編寫內外部威脅模型、能對安全事件進行精準研判的人員。另外,對于情報的搜集要建立適當的渠道,以確保情報的準確性、權威性。目前國內各大企業(yè)側重于體系建設、技術與產品的實施,對運維能力和組織建設方面的關注不夠,導致很多宣稱已經實現的主動防御體系僅僅落實在字面上。與組織對應的是流程體系建設,主動防御體系是基于P2DR動態(tài)防御體系之上的,需要不斷完善流程,應對不斷演進的內外部威脅。建立高效的流程體系,可以確保各種技術、管理手段得以落實,從而更好地滿足企業(yè)政策合規(guī)和生產經營需要。在技術層面,構建主動防御體系需要企業(yè)規(guī)劃有一個總體的清晰線路,各種技術手段相互關聯(lián)、補充。主動防御具有前瞻性的前提是對網絡及應用環(huán)境的資產屬性及安全屬性有全面的掌握,能實時發(fā)現系統(tǒng)的弱點、威脅和風險。在基礎設施方面,安全基線系統(tǒng)建設最為關鍵,由于被防護系統(tǒng)會不停變動、新的系統(tǒng)不斷被引入、用戶賬戶不停新建或撤銷,新的漏洞不斷披露,針對新威脅的適應改造也需一直進行。因此,應持續(xù)對終端設備、服務器端系統(tǒng)、漏洞和網絡交互接口、業(yè)務交互行為進行重定基線以及挖掘發(fā)現。主動防御體系關鍵數據模型如圖5所示。在數據模型方面,需要對主動防御體系的內涵進行詮釋,確保該體系建設過程中數據流和信息流能夠統(tǒng)一和集成。主動防御體系涉及的關鍵信息模型包括威脅情報模型(需要對不同攻擊源進行統(tǒng)一描述)、防護設備策略模型(不同廠商策略的統(tǒng)一便于威脅情報模型在防護設備中得以動態(tài)實施)、防護設備告警模型(需要統(tǒng)一或規(guī)范各廠商設備告警內容的一致性)、業(yè)務情景模型(需要從系統(tǒng)、網絡、業(yè)務層面構建統(tǒng)一的業(yè)務模型),以及監(jiān)測層面的事件模型(統(tǒng)一安全事件,便于事件的統(tǒng)計分析和風險計算)、態(tài)勢感知預測模型(對網絡流量、業(yè)務交互頻率、安全事件發(fā)生頻率等進行建模)等。但這些模型的核心是防護對象的資產模型,包括拓撲屬性、安全屬性、運行屬性等,是上述模型的紐帶和計算基礎。

3結語

從國內信息安全主動防御體系建設來看,電信行業(yè)起步較早,以傳統(tǒng)的安全信息和事件管理(SIEM)為起點,逐漸發(fā)展安全管理平臺(SMP),實現了終端、網絡、應用防護技術的統(tǒng)一,并且承載安全管理、安全合規(guī)、安全處置和安全規(guī)劃等能力,安全建設更加體系化,為主動防護體系實施奠定了基礎。在能源行業(yè),電力二次系統(tǒng)從最早的邊界防護到一體化調度支撐系統(tǒng)的建設,再到可信計算的應用,實現了終端、網絡、應用的層次化縱深防護,也為主動防御體系建設奠定了基礎。如何構建更加智能主動的防御體系,還需要結合具體的業(yè)務情景進行不斷研究。隨著威脅情報標準的制定以及大數據實時流處理、機器學習技術的應用,實時動態(tài)感知威脅情報、實時威脅情景學習與預測將使安全防護措施識別攻擊的成功率和精準度進一步提升,促進主動防御體系的進一步成熟。

作者:楊維永 郭靚 廖鵬 金倩倩 單位:南京南瑞集團公司

參考文獻:

[1]JAJODIAS.網絡空間態(tài)勢感知問題與研究[M].余健,游凌,樊龍飛,等譯.北京:國防工業(yè)出版社,2014.

[2]王慧強,賴積保,朱亮,等.網絡態(tài)勢感知系統(tǒng)研究綜述[J].計算機科學,2006,33(10):5-10.WANGHui-qiang,LAIJi-bao,ZHULiang,etal.Surveyofnetworksituationawarenesssystem[J].ComputerScience,2006,33(10):5-10.

[3]陳秀真,鄭慶華,管曉宏,等.網絡化系統(tǒng)安全態(tài)勢評估的研究[J].西安交通大學學報,2004,38(4):404-408.CHENXiu-zhen,ZHENGQing-hua,GUANXiao-hong,etal.Studyonevaluationforsecuritysituationofnetworkedsystems[J].JournalofXi'anJiaotongUniversity,2004,38(4):404-408.

[4]李蕊,李仁發(fā).上下文感知計算及系統(tǒng)框架綜述[J].計算機研究與發(fā)展,2007a,44(2):269-276.LIRui,LIRen-fa.Asurveyofcontext-awarecomputinganditssysteminfrastructure[J].JournalofComputerResearchandDevelopment,2007,44(2):269-276.

[5]張屹,張帆,程明鳳,等.泛在學習環(huán)境下基于情境感知的學習資源檢索模型構建[J].中國電化教育,2010(6):104-107.

[6]賈焰,王曉偉,韓偉紅,等.YHSSAS:面向大規(guī)模網絡的安全態(tài)勢感知系統(tǒng)[J].計算機科學,2011,38(2):4-8.JIAYan,WANGXiao-wei,HANWei-hong,etal.YHSSAS:Large-scalenetworkorientedsecuritysituationalawarenesssystem[J].ComputerScience,2011,38(2):4-8.

[7]溫輝,徐開勇,趙彬,等.網絡安全事件關聯(lián)分析及主動響應機制的研究[J].計算機應用與軟件,2010,27(4):60-63.WENHui,XUKai-yong,ZHAOBin,etal.Onnetworksecurityeventcorrelationanalysisandactiveresponsemechanism[J].ComputerApplicationsandSoftware,2010,27(4):60-63.

[8]韋勇,連一峰,馮登國.基于信息融合的網絡安全態(tài)勢評估模型[J].計算機研究與發(fā)展,2009,46(3):353-362.WEIYong,LIANYi-feng,FENGDeng-guo.Anetworksecuritysituationalawarenessmodelbasedoninformationfusion[J].JournalofComputerResearchandDevelopment,2009,46(3):353-362.

篇7

關鍵詞:安全防護;數字校園;信息資源;防護體系

中圖分類號:TP393 文獻標識碼:B 文章編號:1673-8454(2012)21-0024-02

學校網絡安全與信息資源保密工作的重點:一是確保交換、服務、存儲、備份設備正常運行;二是確保網上信息資源不被破壞或竊取;三是嚴格防止計算機或存儲介質在校園網與互聯(lián)網間混用,導致泄密;四是杜絕不符合校園網接入要求的終端或不合法用戶入網。為有效防范各種攻擊破壞行為,確保網絡及信息資源安全,構建數字校園網絡安全防護系統(tǒng)。

一、建設目標與原則

建設“數字校園安全防護系統(tǒng)”的目標和原則包括:構建整體防御體系;注重安全性能平衡;立足終端控制;著眼主動防范攻擊;發(fā)揮原有設備作用;強化制度規(guī)定落實。

二、建設內容與功能

1.防范來自外網的病毒及入侵行為

(1)防火墻

學院校園網與全軍軍事訓練綜合信息網相連,為防止來自外網的端口掃描、蠕蟲等安全威脅,購置具有軍隊認證資質、性能優(yōu)良、擁有自主知識產權的天融信NGFW4000(TG-470C)型防火墻,該設備最大并發(fā)連接數160萬,每秒新建連接數6萬,實現以下功能:采用在線模式部署、在優(yōu)先保證業(yè)務持續(xù)的基礎上提供全面的防護、基于狀態(tài)的鏈路檢測,可以識別并阻斷非法報文、防統(tǒng)計型報文等攻擊行為;可以根據數據包的來源和數據包的特征進行阻斷設置;支持基于源IP地址、目的IP地址、源端口、目的端口、時間、用戶、文件、網址、關鍵字、郵件地址、腳本、MAC地址等多種方式進行訪問控制;具有完善的日志收集、傳輸、存儲、分析、報告等解決方案。

配置位置:全軍網入口處。

(2)防毒墻

為防止來自外網的病毒傳播,利用已有的天融信TOPSEC防病毒網關,串接在內網到全軍網的出口處,過濾攔截雙向的病毒傳播。

配置位置:防火墻串行后端。

(3)入侵防御系統(tǒng)

為防止外網對校園網網絡、服務、存儲、終端設備和內部信息資源的破壞與竊取,及時發(fā)現、處理和防御各種入侵行為,購置1臺H3C IPS T200E入侵防御設備,配合相應軟件構建內網入侵防御系統(tǒng)。該系統(tǒng)在跟蹤數據流狀態(tài)的基礎上,對報文進行3層到7層信息的深度檢測,可以在蠕蟲、病毒、木馬、DoS/DDoS、后門、Walk-in蠕蟲、連接劫持、帶寬濫用等威脅發(fā)生前成功地檢測并阻斷,有效防御針對路由器、交換機、DNS服務器等網絡重要基礎設施的攻擊。

配置位置:防毒墻或防火墻串行后端。

2.防范非法與不安全用戶接入內網

(1)身份認證(用戶入網實名制)

為防止外來終端隨意接入校園網,利用已有的H3C Cams認證系統(tǒng),在客戶端安裝H3C認證軟件,實現用戶名、密碼、IP地址、MAC地址綁定后的統(tǒng)一認證,實現數字校園網絡接入的實名制。

配置位置:安裝在1臺服務器上,接入核心交換機。

(2)端點準入系統(tǒng)(EAD)

為有效解決用戶不及時升級病毒庫、不打操作系統(tǒng)補丁、攜帶眾多安全漏洞上網、運行惡意程序、試用黑客程序等問題,購置1套H3C端點準入防御系統(tǒng)。該系統(tǒng)能夠在身份認證(實名制)的基礎上,支持終端安全的準入控制,實現下線、隔離、提醒、監(jiān)控等多種控制方式,支持安全狀態(tài)評估、網絡中安全威脅定位、安全事件感知及保護措施執(zhí)行等,預防終端補丁、防病毒、ARP攻擊、異常流量、黑白軟件安裝和運行等因素可能帶來的安全威脅,從端點接入上保證每一個接入網絡的終端的安全,從而保證網絡和信息安全。

配置位置:安裝在1臺工控機上,接入核心交換機。

(3)訪問控制(ACL)

利用核心交換機的VLAN TAG劃分及訪問控制列表功能,對各VLAN之間的訪問進行控制,杜絕非法的VLAN互訪,從而通過設置只允許特定用戶訪問的VLAN,形成重要信息隔離區(qū),以保證重要主機、系統(tǒng)和信息的安全,防止越權訪問網絡和使用資源。

配置位置:核心交換機。

3.用戶終端安全防護

(1)防病毒感染

強制用戶安裝瑞星殺毒軟件網絡版或軍事綜合信息網防病毒系統(tǒng),實時自動更新病毒庫,有效防范病毒及木馬。網管通過EAD端點準入防御系統(tǒng),自動檢測上網終端病毒庫更新情況,遇有病毒庫沒有更新的終端,只允許其與殺毒軟件服務器連接,不能訪問網絡上的其它任何設備或信息。

配置位置:安裝于用戶上網終端。

(2)防入侵攻擊

網管利用網絡提供各類個人防火墻軟件,用戶安裝這些軟件,以增強入網終端防攻擊及部分木馬的能力。

配置位置:安裝于用戶上網終端。

(3)防系統(tǒng)漏洞

用戶利用網管已經構建的Windows UPDATA服務器(Windows補丁更新系統(tǒng)),及時更新系統(tǒng)漏洞補丁,杜絕因Windows操作系統(tǒng)漏洞帶來的安全隱患。網管通過EAD端點準入防御系統(tǒng),自動檢測上網終端操作系統(tǒng)補丁安裝情況,遇有沒有安裝補丁的終端,只允許其與Windows UPDATA服務器連接。

配置位置:用戶上網終端與服務器連接自動更新。

4.網站及應用系統(tǒng)安全防護

(1)網站安全

網站安全是網絡安全的重要組成部分,除了利用IPS系統(tǒng)防范蠕蟲、病毒、木馬、DoS/DDoS、后門等攻擊,還要防止黑客向網站進行各類注入及跨站攻擊,為此必須在網站建設初期做好安全防范,主要做好代碼過濾、腳本防范、數據庫防護、服務器安全配置等。

配置位置:網站建設代碼及各服務器。

(2)應用系統(tǒng)安全

校園網運行的各類應用系統(tǒng),必須使用校園“一卡通”統(tǒng)一安全認證機制,配合VLAN的ACL功能,在系統(tǒng)中設計權限控制功能,以保護應用系統(tǒng)及數據安全。

配置位置:應用系統(tǒng)程序權限管理系統(tǒng)。

5.軍訓網網絡值勤綜合管理系統(tǒng)

根據上級《關于配發(fā)軍事訓練信息網網絡值勤綜合管理系統(tǒng)的通知》精神,構建該系統(tǒng)運行環(huán)境。

6.安全管理制度規(guī)定

對網絡及信息資源的安全管理是保證網絡安全運行的基礎,在采用上述網絡安全技術措施的同時,建立一套數字校園安全管理與使用的制度章法體系,并采取切實有效的措施保證制度的落實與執(zhí)行。包括:數字校園網安全管理實施細則;數字校園網使用管理規(guī)定;網管機房管理規(guī)定;數字校園網應急響應預案;教學訓練信息資源使用規(guī)定。

篇8

關鍵詞:計算機網絡;網絡安全;網絡安全技術

計算機網絡,是指利用通信線路把具有獨立功能的若干計算機和外部設備連接起來,通過網絡操作系統(tǒng),網絡管理軟件和網絡通信協(xié)議的管理協(xié)調,達到資源共享和信息傳遞的計算機系統(tǒng)。

網絡安全是指保護網絡系統(tǒng)的硬件、軟件和系統(tǒng)中的數據,不因外因而使系統(tǒng)連續(xù)可靠正常地運行遭到破壞、泄露、更改,不中斷網絡服務。本質上說,網絡安全就是網絡上的信息安全。網絡安全研究領域包括網絡信息的保密性、可用性、完整性、真實性及可控性的相關技術、理論。網絡安全涉及到計算機科學、網絡技術、密碼技術、通信技術、信息安全技術、數論、應用數學、信息論等多學科。

網絡安全技術的三大內容是防火墻技術、入侵檢測技術以及防病毒技術。

一、網絡安全及網絡安全技術發(fā)展現狀

計算機網絡是基于網絡可識別的網絡協(xié)議基礎上的各種網絡應用的完整組合,協(xié)議本身及應用都可能發(fā)生問題,網絡安全問題包括網絡所使用的協(xié)議的設計問題,也包括實現協(xié)議及應用軟件,還包含人為因素和系統(tǒng)管理失誤等網絡安全問題。

針對網絡安全問題,網絡安全商試圖通過發(fā)展各種安全技術來防范,如:訪問控制技術、密碼技術、防火墻系統(tǒng)、計算機病毒防護、數據庫系統(tǒng)安全等,陸續(xù)推出防火墻、入侵檢測(IDS)、防毒軟件等各類安全軟件,這些措施使得網絡安全問題某些問題得以解決。

發(fā)展過程中,網絡安全技術已經從系統(tǒng)和網絡基礎層面的防護問題上升到應用層面的安全防護問題,安全防護已從底層或簡單數據層面上升到應用層面,應用防護問題已滲透至業(yè)務行為的相關性及信息內容的語義,更多的安全技術已跟應用相結合。

近年,我國網絡安全技術的發(fā)展得益于政府的廣泛重視和網絡安全問題日益嚴重,網絡安全企業(yè)逐步研發(fā)最新安全技術,滿足用戶要求、具時代特色的安全產品逐步推出,網絡安全技術的發(fā)展得以促進。

二、現有網絡安全技術面臨的問題

現有的網絡安全技術只可解決一個或幾個方面的網絡安全問題,不能防范解決其他問題,更不能有效的保護整個網絡系統(tǒng)。如身份認證及訪問控制技術只能確認網絡用戶身份,而不能防止用戶間傳遞信息的安全性;病毒防范技術只防病毒對網絡系統(tǒng)的危害,網絡用戶的身份卻無法識別和辨認。

現有的網絡安全技術,防火墻可解決網絡安全,但防火墻產品也有局限。現代網絡環(huán)境下,防火墻就是在可信網絡和不可信網絡間的緩沖;也是防范由其它網絡發(fā)起攻擊的屏障。防火墻放行的數據安全防火墻自身是無法保證的,這是它最大的局限性。此外,內部攻擊防火墻無法防御;繞過防火墻的攻擊行為無法防御;完全新的威脅無法防御;數據驅動的攻擊防火墻無法防御。從用戶角度看,雖然系統(tǒng)安裝了防火墻,但蠕蟲泛濫、病毒傳播、垃圾郵件和拒絕服務的侵擾仍無法避免。

漏報及誤報嚴重是入侵檢測技術最大的局限性,它只是個參考工具,作為安全工具則不可信賴。單個產品未經入侵檢測,在提前預警方面存在先天不足,在精確定位及全局管理方面還存在很大空間。

大多用戶在單機、終端上都安裝了防毒軟件,但內網的安全并不只是防病毒,安全策略執(zhí)行、外來非法侵入、補丁管理和合規(guī)管理等方面也都是跟內網安全相關的問題。

針對單個系統(tǒng)、數據、軟硬件和程序自身安全的保障形成的網絡安全技術,就網絡安全整體技術框架講仍存在著相當的問題。應用層面的安全必須要把信息語義范疇的內容及網絡虛擬世界的行為作為側重點。

更有效的安全防范產品出現前,大多用戶保護網絡安全仍會選取并依靠于防火墻。但是,隨著新的OS漏洞及網絡層攻擊不斷出現,攻破防火墻、攻擊網絡的事件日益明顯。所以,各網絡安全商及用戶的共都希望開發(fā)出一個更完善的網絡安全防范系統(tǒng),有效保護網絡系統(tǒng)。

三、網絡安全不安全主要成因

應用了網絡安全技術保護的網絡本該是安全的,但卻存在著諸多不安全因素,究其成因,主要有幾下幾方面:

(一)網絡建設單位、管理人員及技術人員安全防范意識匱乏,未主動的實施安全措施防范網絡安全,行為上完全處于被動。

(二)組織及部門的有關人員未明確網絡安全現狀,對網絡安全隱患認識不清,防御攻擊先機人為錯失。

(三)組織及部門完整的、系統(tǒng)化的體系結構的網絡安全防范尚未形成,暴露的缺陷使攻擊者有機可乘。

(四)組織及部門的計算機網絡完善的管理體系尚未建立,未能充分有效地發(fā)揮安全體系及安全控制措施的效能。業(yè)務活動中的安全疏漏泄露了不必要的信息,給攻擊者提供了收集敏感信息的良機。

(五)網絡安全管理人員及技術人員必要的專業(yè)安全知識匱乏,不具備安全地配置管理網絡的能力,已存在的或隨時可能發(fā)生的安全問題未能及時被發(fā)現,未能積極、有效的反應突發(fā)安全事件。

四、網絡安全技術的解決辦法

實現網絡安全的過程勢必是復雜的。只有實施嚴格的管理才能使整個過程是有效的,安全控制措施有效地發(fā)揮效能才可保證,預期安全目標才可最終確保實現。所以,組織建立安全管理體系是網絡安全的核心。從系統(tǒng)工程的角度搭建網絡安全結構體系,利用管理的手段把組織及部門的所有安全措施融為一個整體。安全體系結構由許多靜態(tài)的安全控制措施和動態(tài)的安全分析過程組成。

(一)需求分析知已知彼。明白自身安全需求才可構建出適用的安全體系結構,有效保障網絡系統(tǒng)安全。

(二)安全風險管理。用組織及部門可接受的投資實現最大的安全,對安全需求分析結果中出現的安全威脅及業(yè)務安全需求實施風險評估就是安全風險管理。風險評估為制定組織及部門的安全策略、構架安全體系結構提供了直接的依據。

(三)制定安全策略。按組織及部門安全需求、風險評估結論制定出組織及部門的計算機網絡安全策略。

(四)定期安全審核。安全審核的首要任務是是否正確有效地執(zhí)行了審核組織的安全策略。網絡安全是動態(tài)的,組織及部門的計算機網絡配置變化頻繁,所以組織及部門對安全需求也隨之波動,組織的安全策略要實施相應調整。為在變化發(fā)生時,安全策略及控制措施能適時反映該變化,定期安全審核勢在必行。

(五)外部支持。計算機網絡安全必須依靠必要的外部支持。依靠專業(yè)安全服務機構的支持,可完善網絡安全體系,還可獲得更新的安全資訊,給網絡安全提供安全預警。

(六)網絡安全管理。網絡安全的重要環(huán)節(jié)是實施安全管理,它是網絡安全體系結構的基礎組成。獲得網絡安全的重要條件是依靠適當的管理活動,規(guī)范各項業(yè)務,使網絡實施有序。

四、結語

計算機網絡安全和網絡的發(fā)展密不可分。網絡安全是個系統(tǒng)工程,不能只倚重殺毒軟件、防火墻等來防護,計算機網絡系統(tǒng)是個人機系統(tǒng),是對計算機實施安全保護。人是安全保護的主體,除了注重計算機網絡安全硬件產品研發(fā),構建一個優(yōu)秀的計算機網絡安全系統(tǒng)外,還要重視人的計算機安全意識。只有規(guī)范了各種網絡安全制度,強化了網絡安全教育及培訓,才能防微杜漸,將能把損失降到最低,最終建成一個高效、安全、通用的計算機網絡系統(tǒng)。

參考文獻:

[1]楊永旭.防火墻技術在網絡安全應用中的現狀[J].甘肅科技 .2009.

[2]張旭斌. 計算機網絡安全現狀及防范策略[J].數字技術與應用.2009.

[3]周剛偉.蘇凱.對網絡安全技術的淺析[J].數字技術與應用 .2009.

[4]李忍.戴書文.淺談網絡安全問題及防御[J]. 知識經濟.2009.

篇9

關鍵詞:企業(yè)網絡 安全 防范措施

網絡是任何信息化建設的基礎。隨著網絡信息技術的發(fā)展,企業(yè)計算機網絡的安全將面臨更多的威脅。企業(yè)在信息化建設過程中,必須進一步提高計算機網絡安全意識,采取有效措施切實維護企業(yè)網絡的安全與穩(wěn)定。企業(yè)計算機網絡安全的威脅主要來自內網和外網。內網的威脅主要是由于使用未授權盜版軟件、員工操作不當、內部網絡攻擊等方面造成。企業(yè)內網造成的危害是很大的,很多時候比外網造成的危害嚴重的多。外網是直接與互聯(lián)網相連的,威脅主要來自外面的惡意攻擊等。企業(yè)網絡自身的安全缺陷主要表現在以下問題。

1.企業(yè)內網安全隱患

(1)選用未授權盜版軟件

部分的中小企業(yè)出于節(jié)約成本,會選擇使用未授權盜版軟件。據Insight CN執(zhí)行中國市場調查結果顯示:使用未授權盜版軟件不僅不能明顯降低企業(yè)在IT方面的投入,而且會使企業(yè)遭受系統(tǒng)故障、敏感數據丟失等等風險。

(2)企業(yè)內部人為因素

人為原因有多方面,比如說企業(yè)員工對業(yè)務的不熟悉,對一些數據的修改出現錯誤,或者誤刪了一些重要的數據,容易導致整個系統(tǒng)出現問題,甚至破壞網絡設備,也出現過一些員工因為不滿現在的工作狀態(tài),故意破壞企業(yè)內的一些重要數據。

(3)移動存儲介質的不規(guī)范使用

在企業(yè)信息網絡安全方面,移動存儲介質的使用也是一個重要的安全隱患點。容易導致未授權打印、未授權拷貝等問題,也會出現計算機網絡感染移動存儲介質病毒的問題。

(4)內網網絡攻擊

部分網絡管理員工由于非常熟悉企業(yè)內部網絡架構,利用管理上的一些漏洞入侵他人計算機,非法獲取企業(yè)內部訊息或者破壞信息。這種網絡攻擊方式可歸納為三類:一是非法外聯(lián),即沒有經過上級管理部門的同意,就將企業(yè)內的計算機連入外網中;二是非法入侵,即在沒有授權的情況下,擅自處理信息,導致系統(tǒng)遭受破壞;三是非法接入,即沒有通過網絡管理部門的意見,就直接將計算機接入企業(yè)內網。

2.企業(yè)外網的安全威脅

企業(yè)出于對外業(yè)務的需要通常都會要求企業(yè)的計算機網絡接入互聯(lián)網,面對復雜的互聯(lián)網,企業(yè)網絡在接入時,將會面臨病毒侵襲、黑客非法闖入、電子商務攻擊、惡意掃描等等風險。企業(yè)網絡一旦被被感染,不僅會影響正常辦公,嚴重的甚至會導致整個網絡癱瘓。

病毒、木馬的入侵是威脅企業(yè)網絡安全的首要因素。計算機病毒通常隱藏在文件或程序代碼內,有的員工在不知情的情況下下載了感染病毒的軟件或者是電子郵件,導致了病毒的傳播。有些計算機病毒只會開玩笑似的在受害人機器上顯示警告信息,重則可能破壞或危機整個企業(yè)網絡的安全。例如前幾年出現的“熊貓燒香”的病毒,對不少個人用戶以及企業(yè)用戶造成了極大危害。這些病毒會從一臺計算機迅速傳播到另一臺,令企業(yè)防不勝防。

3.企業(yè)內網的安全防范措施

網絡安全重在防范,為了確保企業(yè)內網的安全運行,必須要重視管理制度、將管理、監(jiān)測和控制三者結合在一起,重視對員工網絡安全知識的培訓,提高所有員工的安全意識,特別是涉及到商業(yè)機密或者政治機密的企事業(yè)單位,尤為重要。同時采用安裝防火墻等網絡安全防范手段和安全檢測手段相結合,主動防御;建立起規(guī)范化的網絡安全日志和審查制度。

(1)提高和加強員工網絡安全知識,各企事業(yè)單位可酌情根據自身狀況合理安排,邀請有經驗的網絡安全專家到公司來授課。

(2)企業(yè)要建立起計算機網絡用戶的信息數據庫,對于一些重要數據的客戶,對他們的登錄時間、訪問地點都需要重要監(jiān)測;要建立起內部網絡主機的登錄日志,對于所有在內部網絡登錄的用戶信息,時間都要有詳細的記錄,發(fā)現可疑操作的時候要采取必要的安全措施。對于未經授權的接入、外聯(lián)、存取都要生成日志記錄,通過必要的技術手段進行檢測和判斷是否對網絡安全構成威脅。企業(yè)還有對網絡設備不斷更新,從技術層面上提高設備的預防能力,比如說防火墻軟件的及時更新,處理數據的計算機更新等。一旦出現網絡安全問題,能及時的對日志進行審查,分析引起網絡安全問題的原因,從而解決相關的問題。

(3)在企業(yè)內網與外網物理隔離的前提下,可將防火墻技術、漏洞掃描技術、入侵檢測技術與安全監(jiān)測、安全控制和安全管理進行集成與融合,從而有效地實現對內網的安全防范。

4.企業(yè)外網的安全防范措施

(1)病毒防護技術

病毒防護技術在企業(yè)計算機網絡安全防御體系中也是一項非常重要的技術。企業(yè)應購置正版授權殺毒軟件,并為每個用戶安裝客戶端,以此來應對越來越復雜和高級的病毒和木馬程序。

(2)防火墻技術

防火墻包括硬件和軟件兩個部分,隨著人們對完全意識的增強,每臺電腦上面都會安裝不同的防火墻,企業(yè)里面一般都會安裝專業(yè)的企業(yè)版防火墻,能有效的實現網絡安全最基本、最有效、最經濟的安全防護,能主動抵御外網的各種攻擊,企業(yè)還可以利用防火墻,阻止對一些網頁的訪問,從而降低遭受外網攻擊的概率。

(3)入侵監(jiān)測技術

在企業(yè)網絡安全中,要建立起防火墻之后的第二道安全閘門——入侵檢測技術,構建一套完整的主動防御體系,在不少的金融企業(yè)和銀行都采用了此項技術,并且收到了良好的效果,此項技術能在不影響網絡性能的情況下實現主動監(jiān)測,可以識別一些防火墻不能識別的內部攻擊,對于一些合法用戶的錯誤操作,能有效的捕捉這些信息,從而實現實時安全保護。

企業(yè)計算機網絡安全涉及了許多領域,要想建立起一個安全穩(wěn)定的網絡環(huán)境,需要企業(yè)做好網絡的各種防護措施。企業(yè)網絡安全性能得到了有效保障,企業(yè)才能順利開展各項業(yè)務。

參考文獻:

篇10

1.1加強網絡安全教育,增強校園網用戶安全意識及防護技能

目前,所有高?;径计占傲诵@網絡,高校學生在校園內部隨處都可以上網,教師和其它人員的工作也離不開網絡的輔助,高校內部的網絡端口日益增多,上網的人數也是與日俱增,其中大多數人并不具備網絡安全方面相關知識,這為高校信息安全埋下了隱患,信息安全方面的教育勢在必行。用戶的流動性強是校園網用戶群體的一個顯著特征,因此,學生的信息安全教育是一項重要并且需要長期堅持的工作。學校應將信息安全知識和防護技能的培訓納入學生計算機基礎課程中,并將有關的教學內容、實驗與學校的信息安全工作聯(lián)系起來,在實現教學目標的同時,也可以起到對學校信息安全的促進與保障作用。目前,高校雖然已經普遍開設了計算機應用基礎課程,仍然有必要選擇性地開設網絡安全課程或專題講座,宣傳網絡安全知識和網絡道德教育,提高所有學生和教師的網絡安全意識,并且可以開展有針對性的實踐技能培訓,提高學生和教師的網絡防護技能。新形勢下,高校學生應當具備一定的網絡基礎知識,讓學生學會正確對待各類網絡信息、合理使用網絡資源的能力,形成正確的價值觀,維護網絡道德規(guī)范。此外,對校園網中其他用戶的信息安全教育與培訓也是一項需要長期堅持的工作。

1.2加強校園網安全維護,增強網絡管理人員的安全意識和技能

校園網信息安全既有管理方面的漏洞,也有技術層面的風險。專業(yè)的網絡管理人員負責整個校園網絡的維護、網絡系統(tǒng)的更新、升級及新技術的研發(fā)。建立一支既懂管理又有技術的信息安全人才隊伍是很有必要的,保障網絡的信息安全首先應當提升這部分專業(yè)人士的安全意識及專業(yè)技術水平,定期進行培訓和考核。其次要從技術層面做好信息安全防御工作。使用必要的網絡安全防護技術,如:身份認證技術、入侵檢測技術、防火墻技術、防病毒網關技術、垃圾郵件過濾系統(tǒng)以及安全審計等技術來防御來自外部或內部的攻擊,有效地對校園網的進行防護。另外,現在市場上網絡安全的新產品、新技術非常多,也可以為校園網提供更好的保護功能。

1.3建立健全校園網安全保障體系

健全的信息安全管理體制,對于在管理層面維護信息安全至關重要。除了建立一支高素質的網絡管理專業(yè)技術人員隊伍外,還必須建立一套嚴格的管理規(guī)章制度。有了技術水平足夠高的設備、軟件支持,再加上有針對其網絡建設和應用設計的完善的規(guī)章制度,整個網絡安全體系才有了根本保障。此外,在科學合理的信息安全管理機制中,應急響應機制尤為重要,因為,沒有絕對安全的網絡系統(tǒng),關鍵在于發(fā)現或發(fā)生安全風險時,能否及時正確做出應對,進行防御,采取措施消除風險,或將損失降到最低,使網絡系統(tǒng)能夠快速恢復正常運行。

2結語