时间:2023-09-13 17:14:22
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全信息法,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
当前是我国信息化发展的最佳时机也是信息化发展最蓬勃的时刻,但发展背后的安全隐患也不可忽视。虽然很多城市目前采用的专网或局域网网络架构能够降低与外网的接触率,在一定程度上减少用网风险。但随着信息化的进一步发展,监控网络安全的需求也在逐渐变大,利用网络监控提高网络安全也将成为信息时代网络安全的大趋势。因此如何提高监控网络安全将是我们现在甚至很久之后都需要关注并需要深入研究的课题。
一、监控网络安全技术发展的必要性
(一)用户需求。
个人、商业信息因网络普及不再成为秘密。个人和商业私密信息在通过网络存储和传输时,这种携带私密信息的载体很容易遭到破坏从而导致私密信息泄露,且犯罪分子层出不穷的手段让远程监控甚至网络系统自身已经不再安全。如,2013年4月黑客———“叙利亚电子军”入侵美联社官方Twitter账号后”白宫爆炸,奥巴马受伤”的假新闻从而引发美股暴跌,损失约2,000亿美元。而城市公安系统为了确保用户安全推出的公安系统、平安城市系统、手机监控等也和互联网密切相关,若没有良好的监控网络,犯罪分子很可能会利用系统漏洞访问公安系统进行犯罪。这些用网隐患让使用者对网络安全的需求愈发膨胀。监控网络安全信息技术的使用迫在眉睫。
(二)安全产品升级需求。
目前,很多流媒体形式的视频监控应用产品应需求而生,但是这种流媒体本身因其自身的便易性和广泛性,很容易遭到破坏和攻击。不久之前某市的银行抢劫案中,犯罪分子即是利用配电箱切断监控网络系统实施的抢劫。这也说明,当前的监控网络安全信息技术并不成熟,设计者还需研究实用性更强、符合标准的监控网络安全产品。
二、网络监控安全信息技术的发展
网络监控安全信息技术的发展不是一步即成的,要想加强监控网络安全的实用性和可靠性,还需要从以下几个方面进行技术深化。
(一)计算机系统安全。
监控网络安全是弱电系统,计算机系统是其得以实施的物理安全保障。例如在实际网络工程建设中,首先要考虑计算机硬件设备能够有效应对地震、水灾、火灾等事故,同时对由温度、环境造成的破坏是否有一定抵御能力。而计算机其他配套如USP备份电源以防止因停电对计算机造成影响,恢复出厂默认设置以恢复人为错误操作造成的严重后果,健全的报警系统和双机多冗余等等计算机系统安全设计也必不可少。只有先确保监控网络的物理安全,才能够保证监控网络能够正常工作。
(二)网络传输。
单个的监控网络安全系统并不能真正实现整个网络的安全。因为监控网络需要及时将网络监控信息传输至互联网,一旦监控网络安全系统与外界通信,就可能会遭受攻击或者被网络病毒感染。倘若安全系统被攻击或感染,不仅系统自身会遭到破坏,与之连接的内部网络也会遭殃。因此安装监控网络安全系统的同时还应保证与安全系统相连接的服务器具备良好的防护措施。目前最好的方法是在外界通信的互联网上装上如防护墙、正版操作系统屏蔽漏洞等软件。接受外网信息时,只允许对应主机接受正常通信的数据包,对于不明来历的请求应直接拒绝。只有做好传出、接入两方面的管控,才能够确保监控网络安全系统在一个不受干扰的环境下工作。
(三)后端软件要求。
后端软件安全主要有两大方面:一是被传输数据的服务器上的软件安装应尽量确保安全性,确保监控网络系统传输数据时不会有危险,且对于被传输服务器上的登陆用户需要有权限和密码要求,明确登陆者责任和及时发现隐患;二是监控网络安全系统自身安装的软件也需要严格把关。平台软件可以使用LINUX核心平台构架从而提高平台操作稳定性。系统信息存储可以采用ISCSI技术的分布式网络存储,该技术支持本地、中心、前端等多级存储方式,数据存储空间大,存储数据不易丢失。此外智能负载平衡技术和高可用在线热备技术能够确保安全系统平台长时间运行并支持大信息量数据搜索。
三、监控网络安全信息技术的应用
随着研究的深入,监控网络安全信息技术日趋成熟,应用也愈发广泛。基于实际网络安全应用需要,目前监控网络安全信息技术主要有以下几个方面的应用。
(一)防火墙。
防火墙能够依照特定规则,允许或限制传输的数据通过。它有效结合计算机硬件、软件和安全策略,为用户用网筑起一道强有力的安全屏障。用户可以通过安装防火墙软件或者架设防火墙硬件来为电脑屏蔽安全隐患。防火墙可以智能规避危险,让内部人员只访问安全的外部服务,也可以拒绝外部服务的非合理访问请求。为确保用户用网权利不受侵犯,可以在如路由器、服务器上设置防火墙,这样可以保证只有合法用户能够访问网络资源,而企图攻击路由进入内部网络的非法网络不仅会被拒绝还会被跟踪,严重者甚至报警。
(二)信息身份验证。
信息身份验证为用户提供了准确的个性化个人信息,方便用户简单、安全地登陆不同网站。如密码、邮箱验证码、动态手机口令等信息验证大大提高了使用者信息的安全性,降低了其他人非法登陆用户网络系统的可能性。而实名认证、手机号、邮箱绑定的方式也方便用户在个人网络遭受攻击被盗取之后能够及时通过身份验证找回,避免造成损失。
(三)信息加密。
信息加密主要是视频流加密,当监控视频被传输到后端系统时,文件在打包压缩的同时也被加密,只有特定的密码才可解压,而其他妄图非法取得或篡改视频的操作都会被拒绝。这种通过对传输数据进行加密的方式提高数据安全性的技术即是数据加密技术。数据加密技术的使用提高了传输数据的安全性,应用价值很高。目前流媒体对于数据加密技术的应用较多,但是安防监控领域对于这一技术的使用并不多,当前在使用的仅仅只有少数几个平台厂家。由此可看出,安防监控领域的安全监控技术还有待进一步深入、加强。流媒体对于数据加密技术的使用虽然日趋成熟,但考虑到流媒体自身存储数据的图像实时性,因此在加密和解压的同时需要结合实际情况评估解密速度对数据实时性的影响,计算解密速度和数据包大小的对应关系。利用序列密码进行流媒体数据加密也是一种不错的加密方法,但使用这种加密方式也须考虑实际需求。
(四)VPN技术。
VPN技术适用于连锁超市、集团公司、加油站、公共场所等地方,它能够在公共信息网中建立虚拟局部网络,监控数据可以基于虚拟局部网络实现数据的安全传递。也正是基于此,连锁超市、集团公司和加油站等分布散、数量多的个体只要将数据专线接入本地网络,即可在自己的虚拟局部网络中安全传递信息。此外,若想节省高昂的布线成本,也可以采用拨号方式接入VPN监控网络来构建监控网络,传递信息。
四、结语
监控网络安全信息技术应互联网大环境而生,且经过多年的研究已有了一定的成果,基于当前互联网中存在的安全隐患也有了一定的防御能力。但不可否认网络攻击手段日新月异,层出不穷,现在的监控网络安全信息技术还远远不够,监控网络安全信息技术仍然需要面对极大的安全挑战,也需要不断地更新,完善。而网络安全,仅仅有监控网络安全系统还远远不够,健全的网络管理制度和操作者的高度安全防范意识也是不可或缺的,只有三者具备,才能实现真正意义上的安全网络环境。
【参考文献】
[1]梓墨.监控网络安全信息技术发展与应用[J].中国安防,2011,8
[2]厉颖,韩殿国.网络安全管理技术研究[J].软件导刊,2013,2
[3]陈利.基于行为分析的网络通信监控技术研究[J].计算机应用技术,2011
2019年学校国家网络安全宣传周活动方案
根据教育部、省高校工委关于做好2019年国家网络安全宣传周相关工作的要求,学院决定举办2019年国家网络安全宣传周(以下简称宣传周)。为做好宣传周的相关组织工作,制订如下实施方案:
一、指导思想
学习宣传网络强国战略思想,大力培育有高度的安全意识、有文明的网络素养、有守法的行为习惯、有必备的防护技能的新一代“四有中国好网民”,增强学院广大师生的网络安全意识,提升基本防护技能,营造安全健康文明的网络环境,共同维护国家网络安全。
二、活动时间和主题
1. 活动时间:9月19日至25日,其中9月20日为教育主题日。
2. 活动主题:网络安全为人民,网络安全靠人民。
三、活动内容
(一)举办全院大学生网络安全知识竞赛
9月19日至10月31日,各系部组织学生参加“全国大学生网络安全知识竞赛”,通过网络答题方式普及网络安全知识。激发学生学习网络安全知识兴趣,提升网络安全防护技能。
竞赛网址:xx
请各系部于9月27日前将学生参赛情况报送到学生工作处(团委)。
牵头部门:学生工作处(团委)
(二)开展网络安全教育专题活动
1.网站和宣传橱窗宣传
在学院网站开设网络安全宣传专栏,相关的安全知识、法律法规及相关案例,并组织相关资料供广大师生下载学习使用。
宣传周期间,校园各宣传橱窗张贴宣传周官方海报、相关网络安全知识海报等。
牵头部门:宣传部
2.学院电子大屏幕播放
宣传周期间,利用学院电子大屏幕,播放宣传周的官方海报、视频、口号标语等,积极营造网络安全文化氛围。
牵头部门:现代教育中心
3.微信推送
宣传周期间,利用“青春威职”,面向全院师生进行网络安全信息推送。
牵头部门:学生工作处(团委)
4.校园广播宣传
宣传周期间,校园广播站广播有关网络安全的常识,提高师生网络安全意识。
牵头部门:学生工作处(团委)
5. 开展网络安全教育主题日(9.20)活动
(1)集中活动。在步行街利用宣传展板、散发宣传折页和网络安全小知识等形式,向全院师生宣传网络安全信息。
(2)分批活动。各系部利用班会、微信等渠道,宣传网络安全教育知识等。
牵头部门:学生工作处(团委)
(三)开展网络安全宣传体验活动
联系相关网络安全企业,以案例讲解、现场观摩、情景模拟等方式,组织师生进行网络安全体验,近距离感知网络安全,增强网络安全意识,提升网络安全风险防范能力。
牵头部门:现代教育中心
四、工作要求
(一)高度重视,加强组织领导。举办宣传周活动是贯彻落实中央关于网络安全和信息化战略部署的重要举措,各部门要高度重视,组织师生积极参与宣传教育活动,充分调动学生的积极性、主动性和创造性,推动活动形成声势。
(二)加强宣传报道和信息报送。各牵头部门和参与部门要在宣传周期间大力宣传报道。现代教育中心负责做好摄影摄像工作,留存图片影像资料。各牵头部门要指定专人根据活动情况及时向宣传部提交活动动态,活动结束后请于9月28日提交总结,提交材料要图文并茂,有条件的可配以视频资料。宣传部指定专人负责,及时向省高工委报送我院活动信息,并在活动结束后及时将总结材料报省高工委。
【关键词】网络安全 技术 管理
随着网络技术的发展,尤其是因特网的发展,信息技术产业也取得了很大的发展,信息交流更加方便快捷,然而这也给网络信息安全提出了较高的要求。鉴于此,笔者分析了网络安全风险,并对加强网络安全技术进行了探讨。
一、网络安全风险分析
1.1 系统的漏洞及“后门”
编程人员为了方便软件公司查找盗版信息,就会在软件中设置“后门”,如果“漏洞”和“后门”被他人得知,网络系统就会缺乏安全保障,许多黑客就是从系统的“漏洞”和“后门”进人计算机并对其进行攻击。
1.2 网络内部的攻击
在局域网内部,部分非法用户会想方设法地窃取合法用户的账户和密码,并用其账号和密码登陆网站,剽窃绝密信息,篡改信息内容,干扰网络系统的正常运作。
1.3 网络外部的攻击
在局域网外部,非法用户会对网络进行恶意攻击;冒充合法用户登陆网站并阻止其他用户访问网站;有选择地毁坏网络信息的完整性和有效性;在服务器端和用户端之间设置关卡,阻拦和阅读机密信息。
1.4 病毒感染
由于网络具有开放性,病毒可以通过网络迅速地传播,并能轻而易举地通过验证,邮件接收和软件下载等都很容易携带病毒,在打开邮件和运行软件时,病毒就会趁机攻击网络,破坏网络的正常运行。
1.5 用户操作不合法
一些非法行为,例如,随便允许用户访问网站、管理员安全配置不当、访问不合法的信息资源、丢失口令等,都为网络埋下了安全隐患。
二、网络安全技术管理探讨
2.1 构建多级网络安全管理
所谓“多级”包括人员、进程和数据的分类和安全等级,在用户登录网站查阅信息时要依据这些分类和等级进行处理。信息和人员的安全标识主要包括两部分:(1)用“类型”表示不同类型的信息,“类型”与等级关系无关。(2)用“密级”表示不同数据类型的等级陛,将数据按照等级分为无密、机密、秘密、绝密级。如果要维护网络安全,就要构建多级网络安全管理,其主要包括以下四个方面:
(1) VPN网关。它可以保证数据在传输过程中不受外界干扰,确保数据的完整性和真实性。它还可以扩展网络,采取先进的网络连接方式连接多个网络,不再采用外接硬件加密设备连接来多个网络。
(2)访问控制网关和单安全等级服务器。访问控制网关对维护网络安全有着重要的作用,它可以迅速地识别用户安全等级,使服务器端和用户端之间的信息流得到控制。如果服务器端的安全等级大于用户的等级,就只允许信息从用户流向服务器,反之,则只允许信息从服务器流向用户,如果两者的安全等级相等,则允许服务器和用户间信息的双向流动。
(3)多级安全服务器。此服务器上需要安装具有强大功能的操作系统,保证该系统能对用户访问进行严格地控制,快速将用户分为不同的安全等级,并为其提供相关的访问信息或资源。同时,该操作系统提供的信息必须是真实、可靠的[1]。
(4)可信终端。可信终端设备是一种先进的终端设备,它能够通过系统软硬件的验证、得到系统允许进入系统。网络安全架构中的终端有两个,分别为当前安全等级和最高安全等级,前者表示当前使用该终端用户的安全等级,后者则表示可以使用该终端的用户的最高安全等级。
2.2 传统网络安全技术
(1)加密技术。此技术是面向网络的技术,能够加密通信协议。它可以对通信协议的数据进行加密,包括数字签名、完整性检测等,这些协议都是具有安全保障的,它们绝大多数采用了Hash函数、MD系列、DES分组密码以及RAS公钥密码算法来保证信息安全,可以防止黑客入侵网络,修改、假冒和伪造信息,从而保证网络系统的正常运行。
(2)基于主机的安全措施。经常利用主机操作系统来控制用户访问,保护主机资源,此安全措施只能保证主机自身的安全,而无法保证整个网络的安全。
(3)防火墙技术。该技术是一种较为先进的技术性措施,它可以对外部网和内部网进行控制,有效维护计算机网络安全。
(4)其他安全措施。它包括多种技术,例如备份和恢复技术、防病毒技术、审计监控、入侵检测技术、数字签名技术和鉴别技术等。
三、结语
[关键词]网络安全 信息技术 发展态势
中图分类号:V263 文献标识码:A 文章编号:1009-914X(2017)10-0007-01
网络安全问题涉及到各个方面,包括产品的管理以及技术安全。就研究的内容而言,网络安全问题涉及到逻辑安全、管理安全以及物理安全等。我国当前网络信息安全技术的发展与过去相比取得了显著的成绩,但是在系统安全方面依然和西方一些发达国家相比有一定差距,加上我国需求变化较大,发展时间不长等,从而造成我国现阶段的信息安全产业链发展不够完善,因而了解当前的网络安全技术及发展趋势都显得十分必要。
1、网络安全信息技术的应用分析
网络安全信息技术在应用种类十分多样,包括常见的身份认证技术、数据加密技术、防火墙技术、访问控制技术以及网络入侵检测技术等,笔者以身份认证技术、数据加密技术、防火墙技术、访问控制技术进行分析。
1.1 身份认证技术
所谓的身份认证指的是对某个参与通信者的身份进行验证,从而了解其是否与声称的身份一致。当前较为常见的身份认证技术就是数字证书技术和数字签名技术。其中,数字证书技术也叫做网络身份证和数字身份证,通过公钥体制,也就是通过相互匹配的密钥进行的一系列加密过程,其通常由认证中心发起并签名的,其中的文件包括公开密钥信息相关者和拥有者[1]。数字签名指的是仅信息发送者通过密钥算法公开的一种技术创造出来无法被别人伪造的数字串,该技术是交易成功进行的核心技术。
1.2 数据加密技术
数据加密技术主要是保护动态信息,在开放网络应用中较为广泛,其能够为不明原因的网络攻击进行抵抗,防止重要的信息被篡改或者泄露。数据加密技术的本质就是通过符号的作用进行数据置换与移位的算法变换过程。这一算法变换过程也叫做密钥符号串控制,一般无论是解密还是加密都是在密钥控制下开展的。数据加密技术分为非对称和对称密钥密码技术两种。
对称密钥密码技术对解密和加密的双方均有要求,其必须在密钥设置上保持一致,解密方和加密方都应当对密钥进行掌控,才能共同完成这一过程。均有典型代表性的对称密钥密码技术就是美国的数据加密算法以及数据加密标准[2]。国际数据加密算法是基于数据加密标准基础上发展形成的,在加密与加密的过程中应用较多,而数据加密标准则在用户识别、文件保护以及计算机网络通信中应用十分广泛。
非对称密钥算法也叫做公钥加密加密算法,其主要涉及到专用密钥和公共密钥两种,二者之间的联系异常紧密。在应用的过程中,公钥系统不仅具有加密的作用,还能M行数字签名。
1.3 防火墙技术
所谓的防火墙技术主要是指的是保护网络运行安全性的技术。防火墙是一层在内外部网络边界上构建的过滤封锁机制,是现阶段网络系统实施安全措施的必备工具。通过了解防火墙相关技术应用情况,能将其划分为型防火墙、应用网关防火墙、数据包过滤防火墙。防火墙运转过程中,主要是通过服务发挥作用,其也叫做TCP通道和链路级网关[3]。防火墙主要是利用网关技术和数据包过滤存在的缺陷而实行的一种防火墙技术,主要特征就是划分任何跨越防火墙网络通信划分为两大段。应用型防火墙一般在专用工作站上进行安装,通过建立于网络应用层上的转发与过滤功能,对一些特定的服务协议涉及到的数据进行过滤与分析,从而形成最终的分析报告[4]。数据包过滤防火墙不仅维护方便,且速度十分快,一般都是防火墙的首道防线。该防火墙对数据包在网络层中的流通进行选择性通过,从而对每一个数据包进行检查,依据数据包的目标地址、源地址等决定是否让其通过。
2、网络安全的发展态势分析
2.1 网络攻击新焦点集中于关键基础设施和大数据平台
公共交通、水利、电力以及电信等行业的关键基础设施和平台是国际民生的关键设施,其如果受到恶意的网络攻击,则会导致巨大的社会损失,近些年来其往往容易被网络攻击者所盯上。例如,近些年来随着美国核心技术设施的建设与完善,其所承受的网络攻击次数也在不断增加。据有关资料显示,2016年以来,西方某发达国家的关键基础设施遭受到的网络攻击行为呈现出成倍的增加趋势。
2.2 网络攻击新矛头指向新型媒体信息
由于信息媒体信息缺乏相应的安全保障机制,往往成为网络攻击的重灾区。其安全性最大的缺陷在于攻击者能够相对轻易利用用户的信任关系,从而构建出虚拟化的信任网络,将一些攻击资源大规模掌握在手中,最终对社会公共服务及网络自身产生巨大的威胁。不法分子能够通过社交网络开展网络攻击活动,以2013年的“叙利亚电子军”事件最为典型,该行为对社会稳定和国家安全带来巨大的危害。
2.3 网络攻击新手段变更为以监听技术为主
当前,在国家政治领域中,私人机构和政府部门开展目标渗透的一项新方式就是网络攻击,并且攻击的方式逐渐从传统途径过渡到移动通信方面。就网络监听而言,以往的监听主要利用对数据包的旁路截获而实现数据监听,但该方式在指向性方面较弱,并且要求数据的存储与处理十分严格。而为了使得监听的内容更加完整及效率更高,当前有关机构实行的监听方式是主动渗透的方式,从而进入到网络设备商、游戏服务商以及搜索服务商等。
3、信息技术的发展态势分析
3.1 后个人计算时期的到来
现如今,全球信息技术的发展已经进入到关键的时期,其出现的变革征兆包括:产业界和科学家在研究后,发现集成电路行业的发展逐渐迈入了后摩尔时代,即在不断突破与超越的过程中涌现出一大批全新的工艺、技术和材料;计算机的发展逐渐向后个人计算机时期跨入,以往的平台逐渐分崩离析,各类平台逐渐进入百姓生活并且相互之间开始不断的竞争;云计算、物联网技术的崛起与革新促进着整个信息技术产业的转型与升级,并且在信息技术的应用过程及处理方法方面也产生了很大的变化;信息技术与网络安全逐渐成为政治领域不得不面对的挑战;大数据时代的到来使得传统的产业模式和研究方向发生了翻天覆地的变化,逐渐成为相关研究人员关注的核心领域;智能信息技术和人脑智能理念的研发将更上一层楼,对于人类智能的认知正发生深刻变化。
3.2 第三代信息技术的成型与发展
相比于传统的信息技术,当前的信息技术更加灵活与便捷,信息技术的“云”创新力度越来越大,其中以物联网、云计算、移动互联网、大数据等为代表的第三代信息技术发展逐渐形成规模,并以平台的方式渗透着对社会的影响,在很大程度上改善了人们的日常生产和生活模式。
结语
网络安全信息技术发展到今天,人类社会享受网络技术带来的便捷之后,也承受到网络安全风险问题。可以说,网络完全是长久而系统的一项工程,不能仅仅通过单个的技术与信息系统来实现,更应当考虑到各类不同系统和平台的要求,从而紧密结合于安全技术,进一步形成一个安全、通用、高效的网络系统。
参考文献
[1] 耿长海.网络管理系统设计及信息管理技术在网络安全中的应用[J].河南科技,2015,01:43-44.
[2] 杨曙光.计算机信息管理技术在网络安全中的应用[J].网络安全技术与应用,2015,04:40-41.
随着数字信息时代的到来,计算机网络安全成为我们普遍关注的问题。从广义上来讲,计算机网络安全是指对计算机用户在网络上的信息以及相关利益进行保护;从狭义上来讲,计算机网络安全是指对计算机的软、硬件设施和计算机系统中的数据进行保护,不让这些设备和信息遭到任何形式的破坏、更改或泄露,同时还要保障计算机系统在正常运行中不会出现网络服务中断。只有保证计算机网络本身安全,计算机用户的相关利益才能有所保障。从计算机网络安全存在的问题来看,计算机网络安全主要包括三个方面的内容。
其一,保密性。为计算机用户提供安全可靠的保密通讯是计算机网络安全的关键。虽然保密性并不是计算机网络安全的唯一内容,但为用户提供安全可靠的保密通信却是计算机网络安全的前提。
其二,安全协议。在安全协议的设计上,关键是要设计出安全的通信协议。设计安全的通信协议是一件非常困难的事情,目前主要采用采用形式化方法、经验分析协议法和找漏洞的分析法来保证通信的安全。
其三,接入控制。主要是控制和设定计算机网络的接入权限。由于计算机网络系统非常的庞大复杂,目前在接入控制系统的设计中,主要用到的是加密技术。
2.计算机网络安全存在的主要问题
通过以上对计算机网络安全基本含义和内容的概括,可知计算机网络安全的威胁来自于我们日常生活的各个方面,同时计算机系统自身的漏洞以及人为使用方法的不当,也是造成计算机网络安全问题不断加剧的主要原因。概括来讲,目前计算机网络安全方面主要存在以下几个方面的问题:
首先,计算机网络系统自身的问题。由于科学技术水平的限制,目前没有一种计算机网络系统是完美无缺的,计算机网络系统中总是存在着一些难以察觉和弥补的系统漏洞。正是由于这些系统漏洞使计算机的网络安全面临着巨大的威胁,造成计算机网络用户大量的网络信息的泄露。另外,计算机系统程序在处理文件和同步方面也存在着一些问题,尤其是在信息处理过程中,攻击者可以通过一个机会窗口在外部进行入侵,使程序无法正常运行。其次,计算机网络系统外部的问题。除计算机系统自身存在的问题外,系统外部的问题也是破坏计算机网络安全的主要原因。这些外部问题主要来源于三个方面:其一是来自网络黑客的威胁和攻击。网络黑客对于网络知识都极为熟悉,而且他们往往会借助于各种先进的和软件工具来入侵计算机用户的网络。网络黑客往往也会找到网络系统中的漏斗来窃取计算机用户的网络信息。
其二是来自在计算机病毒的侵害。计算机病毒是令我们非常头疼的问题,计算机病毒的传播速度和波及范围有时超乎我们的想象,目前它以成为影响计算机网络安全的最大的威胁。有些计算机病毒入侵到客户端后,往往会使用户的网络系统崩溃,系统和用户文件会大量丢失,有些计算机病毒有时甚至会损害计算机的硬件设备。其三是来自间谍软件的威胁。现在网络黑客设计的间谍软件日益繁多,有些间谍软件拥有较强的攻击性,能窃取计算机信息网络系统存储的各种数据信息。还有些间谍软件能直接监视到计算机用户的网络行为,能对其计算机系统进行设置,这不仅给计算机用户的隐私造成巨大的威胁,而且还严重影响到计算机系统的工作性能。再次,网络系统管理制度方面的问题。
除上述两种问题之外,在计算机网络系统管理上也存在着一些问题,对计算机网络安全造成威胁。一方面,管理人员的工作失误和疏漏往往会使网络系统安全受到威胁。由于网络管理人员技术水平的限制,他们难免会对计算机的工作性能不能完全掌握,而且他们对于有些规则制度不是太熟悉,这往往会使计算机网络呈现出现错误,让用户信息无意间泄露。另一方面,由于管理的疏忽,有些工作人员会故意泄露网络信息。在经济社会中,有些网络信息管理人员为了谋取私利,而主动出卖计算机用户的个人信息,他们往往会泄露出计算机的信息系统数据库内的重要秘密,将计算机保密系统的文件和资料提高给别有用心的人,这显然会严重威胁到计算机的网络安全。
3.计算机网络安全防范原则
其一,适度安全原则。网络黑客泄露或滥用计算机用户的信息,对计算机用户的网络进行入侵和修改是计算机网络安全面对的最迫切解决的问题,我们将与这些安全问题相关的内容称为适度安全问题。如前所述,现在并不存在绝对安全的网络系统,我所做的一些维护计算机网络安全的措施都职能解决某一方面的具体问题。因此,实现计算机网络的相对安全,我们在做好安全防范措施时要因地制宜和实事求是地进行,对具体的网络威胁进行具体的分析。也就是说,我们要要具体分析计算机网络信息因为缺乏安全性而产生的后果的损害程度然后再具体选择防范措施。
其二,高密级防护原则。很多计算机网络中安全信息系统在处理多密级信息之时,要严格遵循最高密级的防护原则,对不同密级的信息使用不同的安全防护措施。
其三,授权最小化原则。授权最小化原则是针对两种情况来讲的。一方面,针对计算机网络中安全信息系统在建设规模上遵循最小化,即在一些单位和企业中,如果不是工作必须,则不可不可建设政务内网和内网的终端。另一方面,在信息访问权限的设计上也必须遵循最小化原则,即对于某些工作,非必须悉知的专人,不拥有信息相关的访问权限。
其四,同步建设原则和严格把关原则。同步建设的原则是指在计算机网络安全的建设上同步规划安全信息系统和安全保密设施。严格把关的原则是指在计算机网络安全的建设过程中要落实进行安全保密的审查、审批和把关。
目前高校应用网络的范围非常广,高校网络成为高等教育中的重要组成部分,随着高校网络系统应用的不断深入,校园网络的安全受到的挑战越来越大,高校网络安全问题成为高校网络建设不可忽视的课题之一。
1.1计算机病毒的感染
计算机病毒是目前影响网络安全的主要危害之一,病毒感染对计算机系统的影响是非常大的,它会导致计算机系统正常运行受到影响。计算机病毒主要是通过网络下载或者文件传输等方式侵入计算机系统。高校网络由于其用户非常多,网络接入相对复杂,因此高校很难在根本上对网络病毒进行全面的监控,因此一旦高校网络出现病毒感染会影响整个高校网络资源的正常运行,甚至会导致高校相关数据的丢失。
1.2黑客攻击
黑客攻击是网络安全威胁中技术含量最高的一种威胁形式,黑客攻击一般情况下带有非常明显的目的性,他们不以破坏高校网络系统资源为目的,而是为了获取某种高校资源。高校网络资源由于其内容丰富,其一些资源可能会涉及到一些机密信息等,具有非常高的经济价值,因此高校网络常常会受到黑客的攻击。
1.3网络不良信息传播
高校网络对于高校教育来说是一把双刃剑,其既可以拓展学生的知识,其网络环境的复杂性也会给学生带来不良的影响。高校网络可以实现校园内的信息交流,同时也通过网络的外界连接,拓展了学生了解世界的途径,但是外部网络环境含有大量的不健康的内容,这些内容会影响学生的身心健康发展。
2常用的计算机信息技术减少高校网络安全
影响网络安全的计算机安全信息技术很多,除了计算机基础安全硬件设施外,其还包括一些网络软件系统。①防火墙技术。防火墙技术是介于私有网络和公共网络之间的,用于防止外来不安全因素入侵的一种安全防御设备,防火墙通过对进出网络数据的检测,分析其是否符合安全数据流,如果其不符合,防火墙就会阻止其进入网络系统,对防火墙本身来说,其具有非常强悍的抗外来网络攻击的能力以及自我的免疫能力。②入侵检测技术。入侵检测技术是对防火墙缺陷的补充,其可以对网路异常访问行为进行自主检测,并且根据收集到的各种信息对检测行为做出相应的反应,并且报告检测的结果。③数据加密技术。数据加密技术主要是通过改变信息的编码以及对信息的内容进行某种手段的处理防止信息被外界所窃取或者发生泄露的技术。目前数据加密技术主要包括:数据加密、密钥密码技术以及数字签名认证技术三种。④漏洞扫描技术。计算机系统都存在一定的系统漏洞,因此其必然会存在安全隐患,漏洞扫描技术就是通过对网络系统的扫描发现漏洞,并且采取相应的措施进行修补的技术。⑤杀毒软件技术。杀毒软件技术是人们经常使用的一种网络安全防范技术,杀毒软件是通过一种外在的软件系统对计算机的各个配置进行优化,防止其被外界病毒侵犯。
3计算机信息技术在高校网络安全中的应用分析
高校网络安全受到的威胁因素比较多,对此本文只是将经常应用的集中信息技术进行分析。
3.1防火墙技术在高校网络安全中的应用
防火墙技术是高校网络安全最早的信息系统,其主要是通过对网络流量进行控制实现网络的安全。防火墙将网络非为信任网络和非信任网络,防火墙对非信任网络进行网络访问控制,防火墙一般设置在高校校园网和外部网络的边界接口处,通过对网络内部的ARP数据包进行过滤,可以防止外部的非法ARP数据包入侵,保护高校网络安全。
3.2数据加密技术在高校网络安全中的应用
数据加密技术在高校网络安全中的应用方式主要是:节点加密、链路加密以及端到端加密。节点加密就是在信息的节点处进行加密保证高校信息的传输过程不被外界窃取;链路加密就是在高校网络信息的传递过程中对高校的接受处进行加密设置,它加密保护是物理层面以前;端到端加密就是在高校内部网络信息端和外界网络端同时进行加密,以此保证整个网络信息传递过程不被外界所窃取和发生泄漏。数据加密技术主要表现在:
3.2.1密钥密码技术在高校网络安全中的应用
高校网络资源的保护需要采取密钥密码技术,然而由于高校网络资源使用的对象比较多,因此单靠私钥密码是不能很好的保护高校网络安全的,私钥具有一定的缺陷和漏洞,对此在高校网络安全保护中要采取公用密钥与私用密钥相结合的形式,提高信息传递的安全性。
3.2.2数字签名认证技术在高校网络安全中的应用
数字签名认证技术是高校网络安全中的重要技术,其主要包括口令认证和数字认证两种形式,口令认证一般操作简单,而数字口令则是通过加密技术实现,高校网络资源中心在传递信息资源的时候会通过加密技术来识别信息传递方的身份,如果传递方的身份没有经过认证,那么高校的网络资源管理系统就可以拒接接受信息,进而避免不安全信息的侵入,保护高校网络资源的安全。
3.3入侵检测技术在高校网络安全中的应用
目前防火墙技术与入侵检测技术联动是高校网络安全控制的主要措施,通过入侵检测技术可以有效弥补防火墙技术进行防御的缺陷,入侵检测技术主要是通过对高校内部网络和外部环境的行为识别做出相应的反映,并且提供帮助的技术。入侵检测技术系统主要包括对网络的入侵检测系统和对高校网络主机入侵检测系统,在应用入侵检测技术时在校园网的安全中心部署基于网络的入侵检测系统,将探测端安装在网络核心交换机处,这样就可以对网络访问行为实施全局的监控。在用户终端上,可以部署基于主机的入侵检测系统,通过对主系统日志、安全日志及应用程序日志的分析,发现对终端的攻击行为。
3.4杀毒软件技术在高校网络安全中的应用
关键词:网络安全事件;应急响应;联动系统
一、应急响应的技术特点
网络安全事件指影响计算机系统与网络安全的不正当行为。网络安全事件一般在很短时间内产生,且引起的损失巨大。应对网络事件关键是速度与效率。应急响应(即“Incident Response),指某组织为了应对意外事件发生所做的准备及事件发生后采取的措施。本文网络安全事件的应急响应则指应急响应组织根据对可能情况的准备,在网络安全事件发生后,尽快作出正确反应,减少损失或尽快恢复正常运行,追踪攻击者,搜集证据直至采取法律措施等行动。网络安全事件应急响应的对象,又称应急响应的客体,指:针对计算机与网络信息的安全事件。除了传统的针对保密性、完整性和可用性分类外,广义上应急响应的对象还包括:扫描等违反安全政策的事件。应急响应过程包含三种角色:事件发起者、事件受害者与应急响应的人员。应急响应是被动性的安全体系。它的作用主要表现:1、事先的充分准备;2、事件发生后的采取的抑制、根除和恢复等措施。
(一)入侵检测
应急响应由事件引发,同时发现事件依靠检测手段。入侵检测技术指由系统自动完成的检测,是目前最主要检测手段(IDS)。
(二)事件隔离与快速恢复
首先,在检测基础上,确定事件类型和攻击源后,对于安全性、保密性要求高的环境,应及时隔离攻击源,制止事件影响进一步恶化;其次,对外提供不可中断服务的环境,如运营平台、门户网站等,应急响应过程应侧重考虑尽快恢复系统并使之正常运行。这其中涉及事件优先级认定、完整性检测及域名切换等技术。
(三)网络追踪和定位
确定攻击者网络地址及辗转攻击路径,在现在的TCP/IP网络基础设备上网络追踪及定位很困难;新的源地址确认的路由器虽然能够解决问题,但它与现在网络隐私保护存在矛盾。
(四)取证技术
取证是一门针对不同情况要求灵活处理的技术,它要求实施者全面、详细的了解系统、网络和应用软件的使用与运行状态,对人的要求十分的高(这一点与应急响应本身的情况类似)。目前主要的取证对象是各种日志的审计,但并不是绝对的,取证可能来自任何一点蛛丝马迹。但是在目前的情况下,海量的日志信息为取证造成的麻烦越来越大。
二、网络安全事件应急响应联动系统模型
网络安全事件应急响应联动系统模型是从应急响应组及协调中心发展起来的一套应急响应联动体系。它立足于协调地理分布的人力与信息等资源,协同应对网络安全事件,属于应急响应组织发展后期的组织形式。联动含义:1、组织间的协作;2、功能上统一;3、网络安全策略上联合。
(一)联动系统的体系结构
图1 联动系统的体系结构
1、应急响应协调中心。是信息共享、交换与分析中心,负责协调体系正常运行,属于联动系统的核心。
2、应急响应组。应急响应组以应对网络安全事件为目标,根据技术力量与资源状况设置机构,甚至承担部分协调中心功能。
3、客户。客户方应在应急响应组协助下进行风险分析、建立安全政策与设立联系人员,增强自身主动防御能力及采取合理措施能力。
(二)应急响应协调中心
应急响应组织具备四核心功能:分类、事件响应、公告与反馈;与此同时还具有非核心功能:分析、信息整理、研发、教育及推广。
图2 应急响应协调中心机构设置
1、研发。研发部门,也是实验部门,主要负责研究安全技术与安全工具,以及与网络相关的技术测试、系统测试、产品测试、漏洞测试等。
2、专家顾问。技术专家对于确定研究与形势影响很大。法律顾问与客户、其他应急响应组织的合作及与法律部门、新闻媒体等合作应有法律依据。
3、信息整理与事件跟踪。体系内的具备ISAC功能机构,该部门承担着公告、反馈和信息整理的功能,在研发机构协助下实现信息资源(包括漏洞及补丁信息、新闻动态、技术文献资料、法律法规、公告、安全警报、安全政策、建议等)共享,;还应提供网站资源链接,常见问题(FAQ),常用工具,技术论坛与事件及漏洞的上报渠道等。
4、应急响应。是一线应对事件的机构。响应是联动系统的根本任务,但是联动系统的响应人员在响应过程中可得到体系援助,使应急响应更及时有效。
5、联络。协调应急响应组、应对事件的联动响应及与客户联络。联络中心应具有对应急响应组的约束力,并与该部门承担应急响应功能。
6、培训。包括对组织内人员的技术培训、固定客户的技术支持与培训和面向社会的安全培训三个方面,是保持体系键康发展,提高客户合作能力的机构。
7、公共关系。负责处理应急响应不能回避的与法律组织、媒体、行政部门、科研组织等实体的关系,以及与其他应急响应组织间的联络与合作;承担部分推广的功能。
8、管理机构。协调中心及联动系统运作。
(三)联动系统的功能
联动系统功能包括两方面:1、提供安全事件的应急响应服务;2、信息共享、交换与分析。两功能互相融合、取长补短,使应急响应更加高效、便捷。
1、协调应急响应。在事件响应过程中,响应人员通过网络或传真方式向组织报告事件详细信息,并取得帮助与建议,最终完成响应。依靠资源共享与联动响应期间各响应组的密切联系,响应过程中响应人员得到的建议。事件响应结束后,响应人员要完成事件跟踪报告与总结,并由中心备案。
2、信息共享、交换和分析。信息整理与公告功能是维护网络安全的主动防线。中心通过对组织的安全信息进行统计分析,找出易发生的安全事件,并以预警信息结合预防建议的形式,遏制类似事件发生;中心在安全信息整理和共享等的贡献可大提高应急响应质量,对响应人员和客户方的在线帮助意义重大义。
三、模型其它重要内容
(一)应用应急专线与无线通信手段
在报告事件时,受害者的理想方式:通过网络,交互性较强。但为防止网络受到破坏性攻击、须预先设定紧急联系手段。对事件的即时报告、意见反馈、协调中心或其它帮助都通过响应人员与中心联系实现。除应急响应过程中的联系,客户报告事件也应在网络或专用 软件外拥有应急报告方式,比如传真、移动电话。
(二)事件并行处理的协调
协调中心须实现为事件开辟联动空间保证其独立、高效及可持续。
(三)信息共享与隐私保护以及配套法律建设
联动系统的本就是实现质信息共享。敏感信息应予以保护,比如客户声誉、稳私、机密等。联动系统的信息共享不是完全共享,而是多级权限的共享。此外取证效力及责任、损失鉴定及量刑等的配套法律建设不完善,联动系统也应根据实践建立起自身的规范约束。
(四)异地数据备份与同步和自身的健壮性
应急响应联动系统要求一定权限的数据由协调中心及应急响应组互为备份。依靠体系地理分布实现数据异地备份,保证数据安全性。
参考文献:
关键词:非合作动态博弈;网络安全;主动防御技术
中图分类号:TP393.08
现有的网络防御和入侵检测系统主要的是依靠安全配置的方式对处于联网状态下的网络进行安全防护,这些防御技术具有本身一些缺点,无法对瞬时的攻击以及未知的攻击进行保护,因此在对网络的安全进行保护的时候要做到适当的防护,即有一定的可行性和合理性,又要保证能够做到比较好的防御。博弈理论下的防御技术具有很多的变形,并且具有独特的优点,而非合作动态的博弈理论的应用又进一步的强化了这些特征。
1 博弈论
所谓博弈论,指的是一门研究其他的参加者关于utility(效用)的情况,理性参加者间互相产生作用的科学,其要素包括博弈的参加者中利益或者目标间互相的冲突和均为理性的参加者特点等两个方面。随着理论的发展和时代的进步,现代的博弈论也逐渐发展成为一项涵盖心理学、运筹学、哲学、数学、计算机科学、军事战略、政治、生物、经济等学科领域内容的交叉性学科。通常而言,现代的博弈论所公认的起源是由名为Morgenstern的经济学者与名为Von Neumann的数学家所共同撰写的《博弈的理论与经济的行为》。尽管此处当时所提出理论性博弈论的框架仅仅能够对部分有限的例子进行使用,例如只对非合作与零的博弈问题等进行了讨论,但是该著作是将博弈的问题通过数学的语言作出解决与描述的第一人。在此之后,在众多学者不断的研究与努力下,尤其是在非合作的博弈理论内Nash创造性的将策略的均衡概念进行了引入,博弈论逐步演变成分析中极为有用且重要的工具[1]。
2 多阶段的非合作动态博弈
网络攻防图的表示方式是G(V’,E’,U’),其为一个带环的具有方向的图,其中的V’叫状态节点,表示的是所有有关的物理节点的所有状态的集合。E’={Ea Ed}集合代表的是网络的攻防图中的有向边方面的集合,集合内的每一条边代表的是来自攻击方或者是防御方的攻防策略,U’集合表示的是网络的攻击和防御的策略相对应的策略收益方面的集合。网络的攻击图之上再加上相应的防御策略就变成了网络的攻防策略图。
2.1 攻防博弈树的形成
攻防博弈树被应用与完全信息的网络攻防动态博弈中,可以对其进行有效的描述。攻防博弈树可以对攻击方和防御方的动态策略选择进行描述和了解。为有效的发挥相应的集合的概念需要将网络的攻防图转变成攻防的博弈树T。要对攻防图中的两种子图进行转化,包括入度为n(n>1)的节点子图,以及包含环图的子图。
处于非合作动态博弈理论下的网络安全通过攻防博弈树来进行描述和分析。由于攻防博弈树可以对攻击方或者是防御方的动态策略选择进行秒描述,可以知道参与者会在什么时候采取什么活动进行行动,并且企图通过这个活动产生什么效益和信息。其图形如下图1所示。
要对网络的攻防图和网络的攻防博弈树上的结构差异进行消除,需要将虚拟节点的技术引入才能够实现。网路的攻防图通过引入虚拟节点技术可以将攻防的博弈树的节点结构进行进一步的规范。在此阶段需要采取的算法包括完全信息的多阶段博弈理论的逆向归纳算法,以及非完全信息的多阶段动态博弈的逆向归纳的方法[2]。
2.2 应用实例
为验证该技术的有效性和可行性,下面以该实验场景进行模拟实验,实验的场景如图2所示:
通过漏洞和木马的扫描工具统计出目标系统的相关漏洞信息,将攻击的图生成为子系统的攻击图,再在图中增加各个攻击阶段相对应的防御措施,人后利用以上的攻防博弈图的理论将其转变成相应的攻防博弈树,博弈树中的实线代表的是有方向的一边集合攻击方采用的攻击策略,虚线代表的是有方向的边代表的是防御方所采用的防御策略的集合,并且在有方向的实线的一段引出的节点表示的攻击的节点,有方向的虚线一端引出的就是防御方的节点,而同时具有实线和虚线的节点代表的是混合的节点。所代表的意思为该点既可以在防御的一方采取防御的措施,有可以被攻击的一方作为攻击的节点。通过运算的方式1得出逆向归纳的路径的集合,并且找到最佳的攻防路径,根据运行的结果来计算出攻击方最有可能采取的策略集以及对路由器进行拒绝攻击的服务。防御方要据此来进行最佳的补丁的安装。
攻击博弈树的形状和结构图如下图3:
假设理性的人被违背,那么攻击者采取的措施就会突破防火墙,并且对实验的服务帐号进行尝试破解的工作,这时防御的一方就要采取最佳的防御措施以修复系统的补丁或者是对文件的数据进行恢复。算法2提出的是动态的博弈模型,该模式可能在进行实际的攻击策略时会与预期的攻击策略出现一定的差错或者是不对应的情况,导致在又一个新的节点上采取新的动态博弈的措施,所以算法2可以在攻击的意图发生变化的时候仍旧计算出最佳的攻击集合,并且除此之外,算法2提出的方法能够对整个的状态空间进行全面的博弈局势的掌握,由此便可以推测出最优化的防御措施。这样就可以在全局的大范围内对防御的措施进行最优化的选择[3]。通过实验可以看出基于非合作动态的博弈环境下的网络安全防御技术具有比较好的高效性,并且具有一些很明显的优势,能够对网络的安全起到很强的积极作用。
3 结语
基于目前的静态、被动的网络安全防御的技术缺点,研究主要的分析了新兴的基于非合作动态博弈理论的主动网络防御技术,该技术的特点是引入了虚拟接点的技术,以此实现了网络攻防图和攻防博弈树的转化。该技术还提出了求解最佳的攻防策略的博弈理论算法,经过理论和时间的检验,该技术在对网络进行防御方面具体很强的可操作性。值得在以后的工作和实践中进行推广和使用。
参考文献:
[1]林旺群,王慧,刘家红,邓镭,李爱平,吴泉源,贾焰.基于非动态博弈的网络安全主动防御技术研究[J].计算机研究与发展,2011,02(45):12-13.
[2]姜伟,方滨兴,田志宏.基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报,2009,32(04):817-827.
关键词:网络安全 简单网络管理协议 设备管理 拓扑发现 网络监控
随着互联网的迅猛发展,高校作为培养人才的基地,对网络的要求越来越高,对在互联网上查找信息、在BBS上发表言论、发送邮件、建立博客、浏览网页、看网上视频等宽带要求越来越高,这就在设备的管理、网络安全与网络监控上向校园网络管理人员提出了更高的要求。在这里,校园网络管理人员至少需要考虑四大问题:一是确保网络设备管理正常工作,过滤非法用户使用网络资源情况的出现;二是检测系统漏洞预防病毒和网络黑客攻击;三是实时做好在线远程控制设备控制;四是监控当前网络使用状况,实现网络流量的合理配置。而这一系列问题的根本性措施是要设计出合理的校园网络安全管理系统。
一、校园网网络安全环境概述
网络软、硬件存在的安全漏洞会导致网络系统遇到各种威胁,导致络安全事件发生,因此为维护这个网络系统,要利用其他手段来创造一个良好的网络环境。本文认为应该建立一个网络安全防护体系,该系统既包括先进的技术,还包括安全教育、法律约束和严格的管理。也就是说,当前制定的网络技术安全包括网络安全、物理安全和信息安全。
1、网络安全
网络安全是指主机、网络运行安全、服务器安全、子网安全及局域网安全。网络安全的实现需要内部网与网络安全域之间的隔离、内外网之间的隔离、还要对计算机网络进行审计和监控、及时检测网络安全,同时做好了网络系统备份和网络反病毒。
要实现网络安全,在内、外部网间设置防火墙是最有效、最主要、最经济的措施之一。内部网的不同网段之间的敏感性和受信任度不同,存在很大的差异,所以非常有必要在它们之间设置防火墙,从而限制局部网络的不安全因素影响到全局,以实现内外网的隔离与访问控制。对网络系统可以运用网络安全检测工具进行定期安全性检测和分析,及时发现并修正其存在的弱点和问题。从而运用反病毒环节对网络目录和文件设置访问权等,对网络服务器中的文件进行频繁扫描和监控。在网络系统人为失误或硬件故障的情况下,或者在对网络进行攻击破坏数据完整性或入侵者非授权访问时,备份系统文件可以起到很好的保护作用。
2、物理安全
通过设置装置和应用程序等方式方法来保护计算机和存储介质的安全称为物理安全。一般有两层含义:一是环境安全,通过设立电子监控,设立灾难的预警、应急处理和恢复机制,将灾难发生时的损失尽可能减小,保障区域环境安全。二是设备安全,主要是防线路截获、抗电磁干扰及电源、防电磁信息辐射泄漏、防盗、防毁等设备的安全保护。三是媒体安全,主要是指媒体数据的安全,即防复制、防消磁、防丢失等,另外是媒体本身的安全,包括防盗、防毁、防霉等。
3、信息安全
管理和技术两方面的安全统称为网络安全。信息安全重要体现主要表现在数据的机密性、可用性、完整性和抗否认性等,包括用户口令鉴别,计算机病毒防治,数据存取权限,用户存取权限控制,方式控制、安全问题跟踪、安全审计和数据加密等。
二、网络安全系统设计开发的出发点
针对不同的网络管理人员,网络安全管理系统凭借着能够提供不同的服务的应用功能,可以让使用者在方便使用网络资源库的时候达到良好的管理效果。其关系如图1所示。
图1:人机交互关系图
现在很多校园网络管理者都能够做到严格管理高校校园网网络线路、设备和用户。在整个高校,网络安全管理是网络安全管理系统的核心环节。但从上图可以看出,网络的管理应不限于此,还应该对于其他厂商设备以及网络业务的扩展与应用等方面也相应地采取有效措施。
三、网络安全管理系统功能及分类
路由管理、网络安全审计、用户认证管理、网络故障管理、网络监控等是整个网络安全管理的重要组成成分。
图2:网络安全管理系统基本功能
检测潜在的网络安全隐患、及时监控和发现系统中的病毒,并及时查杀可疑的外来入侵者,并及时发现管理以及网络的访问热点上的薄弱环节。为帮助网络管理人员及时采取现场措施,收集来自路由器的重要信息(如用UDP或TCP协议受到的攻击)数据,确保相关网络安全信息,保障校园网的信息完整性。
(1)路由安全管理
网络管理员可以用图形化界面显示各路由器所在物理位置,察看路由器的端口运行情况,核实路由器的CPU占用率和网络路由拓扑结构,还可以核对路由器的MAC地址及路由协议的性能优化等功能,做到实时地对路由器信息进行添加、删除、修改等操作。对全校所有路由器进行远程管理的功能。
(2)用户认证管理
校园网要实行有效的用户管理。上网用户提交的用户信息可以在安全系统系统上进行修改、删除等操作;对用户提交的信息,可以提交至上层进行审批;查看网络管理中心对申请上网的审批结果;可在校范围内上查看全网登记用户信息申请,一一查看和打印审批过程中的审批记录,有效得出审批结果。
(3)网络监控
安全系统对校园网目前所有环节,包括路由器、服务器、交换机客户端等进行监控,可以使网络管理人员对整个网络在图形化的界面下一目了然,直观地表示当前各环节如路由器、服务器等是否处于正常工作状态,便于管理人员进行查阅、统计等工作,详细地记录下监控数据后存放至后台数据库中,便于对其进行信息方面的统计。
(4)网络故障管理
借助网络安全系统,网络中心管理人员可对用户提交的信息进行及时处理,比如提供给用户便捷查看学校网络中心对各种申请的审批结和报修的新增网络点的功能,修改、删除网络配置等各种申请,调整并反馈给用户。
运用网络安全系统,一旦发生网络故障,网络管理人员可启动快速自动响应功能,实时鉴别和判断故障发生的原因,从而将网络故障时间或影响校园网的网络问题降低到最小程度。
四、校园网络安全体系的设计原则与任务
按照“统一规划,分步实施”的原则,在建设网络系统初期应着重考虑到安全性问题,同时要建立一个基础的安全防护体系,再根据应用的变化,补充上防护体系并进一步增强。
(一)校园网络安全体系的设计原则
设计网络安全体系时应根据网络安全性设计的要求,遵循可行性原则、多重保护原则、安全性原则、动态化原则、可承担性原则等原则。
一是可行性原则:校园网用户设计网络安全体系不能纯粹地从理论角度考虑,更应该考虑到设计网络安全体系的目的是指导实施,设计方案在实施中需要切实可行。如果仅仅是为了追求理论上的完美以至于无法实施,那么网络安全体系本身就毫无实际价值。
二是多重保护原则:在硬件上采取冗余、备份等技术多角度保护系统。因为任何安全措施都不能保证绝对安全,所以要建立一个多重保护系统,当一层保护被攻破时,其他层仍可保护信息安全。
三是安全性原则:安全性成为首要目标。原因在于设计网络安全体系的最终目的是保障信息与网络系统的安全。构建网络安全体系的目的是保证系统的正常运行,需要进行权衡网络安全是否影响系统的正常运行,必须选择在安全和性能之间合适的平衡点。网络安全体系包含一些硬件和软件,它们会占用网络系统的一些资源。因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。
四是动态化原则:安全防护随着用户的增加、网络技术的快速发展也需要不断地发展,所以制定安全措施要尽可能引入更多的可变因素,使之具有良好的扩展性。
五是可承担性原则:考虑校园本身运行特点和实际承受能力,要切实可行,没有必要按电信级、银行级标准设计。
(二)校园网络安全体系设计的任务
校园网络安全体系设计的根本任务是为了让高校网络管理人员掌握各种网络安全技术。具体在管理校园网中提供如下服务:
(1)为校园网用户和网络管理者之间提供一个动态网络交流系统,同时,提供对用户的管理功能,对用户的网络运行状况进行动态判断,并为将来创造用户自主服务知识库提供基本条件。
(2)建立能够存放与网络信息相关的各种数据,较为规范的网络安全信息库。
(3)全面管理网络路由设置、网络流量控制、用户防火墙设置、系统漏洞、网络版杀毒软件安装及工作情况等信息,并对网络网络故障响应、用户报修登记等业务提供实时在线服务。
五、结束语
为了控制好一个复杂的计算机网络并运行好其全过程,保证其效率,需要把高校校园网的安全作为一个庞大的系统工程来对待,需要全方位防范。因此,一定要在技术上和管理上强化基础工作。从而达到一个好的网络安全管理系统,即达到网络可靠、安全和高效运行的目的,从而对对各种网络设备及其软件资源进行有效的监视、解释和控制。
参考文献:
[1]谢志强.IPv6过渡技术在高校网络建设中的应用研究[J]. 福建电脑. 2009(02)
[2]吴建平,崔勇,李星,宋林健.??基于软线的互联网IPv6过渡技术构架[J]. 电信科学. 2008(10)
【关键词】 数据融合 网络安全 管理平台
网络安全的最终目前是确保业务的连续性,本质则是风险管理。数据融合技术是利用多个传感器在空间和时间上的互补或冗余进行组合,从而获取被检测数据的一致性描述或解释。在网络管理安全平台中利用数据融合技术可以有效的减少模糊信息,确保系统的安全性。
一、网络安全中引入数据融合的原因
目前,网络遭受的攻击手段越来越多,面对众多的网络攻击手段,单一的网络安全产品显得十分无力。例如,基于病毒码的防病毒软件无法及时的发现蠕虫攻击,而孤立的对网络安全设备进行分析处理,无法对整个系统的态势和安全状况做出准确判断,这对网络运行的安全性来说是一项极大的隐患。
网络防御手段随着计算机技术的快速发展也逐渐增多,其中包括的主要手段有:防火墙、防病毒软件等,这产品在应用过程中会形成大量不同类型的安全信息,从而使系统统一和相互协调管理成为了安全管理中的难点问题。
二、网络安全管理平台中对数据融合的应用
2.1数据融合的层次
数据融合技术是近几年才被应用到网络安全管理平台中的,数据融合层次的分类和每一类所包括的内容如下:
1像素级融合: 在收集到的原始数据基础融合,也被称作最地基融合,该融合的最大优势就是可以保留更多的数据,为了提供大量的为信息,但缺点也较为明显,由于数据量过大,因此处理起来十分麻烦,不仅耗时长,而且需要付出较大的经济代价。
2特征级融合: 在数据融合前,对所采集到的信息的特征进行提取,然后对特征进行处理,完成相应的分析和处理工作,该融合方式的优点是完成了对信息的压缩,便于实时处理工作的开展。此融合技已经在网络入侵检测系统中得到了应用。
3决策级融合: 决策级融合是高层次融合,主要为控制决策提供强有力的支持,在决策级融合过程中需要对特技融合中所提到各项信息进行应用,然后进行再一次的融合,重中获取决策依据。该融合的主要优势在于,具有一定的抗干扰性,容错性好,对信息的来源没有过多要求,但需要注意,在融合之间需要对信息的格式进行转换,转变为同一格式,一边融合的顺利开展。
现代网络安全管理中应用的数据融合模式主要集中在对像素级和特征级信息融合,例如,防毒墙、智能IDS等,决策级信息融合更多的是在集中式网络安全管理中,在决策级融合中所使用的数据主要来自初层次上各种安全设备在经历特征级融合之后而产生的信息。
2.2数据融合在多网络安全技术中的应用实例
在多网络安全技术下,安全设备融合数据的目的、层次、效果都比较特殊。例如,入侵检测系统在运行过程中主要工作数对特征级融合中的信息进行检测。在具体分析过程中,提出了基于多网络安全技术融合的安全评估系统,该系统功能框架如图1所示。
在该系统中,评估系统输入信息为安全技术产生了大量的源信息,信息在格式上可能有所不同,为了便于融合与处理,需要将所有的信息都转化为统一标准格式。整个系统在融合算法中采取的都为证据理论法,对信息的归类处理主要通过聚类合并的方式完成,然后完成对结果的判断,最终将结果存储到数据库中。此外,该系统在对整个网络安全态势的分析主要通过案例推理和贝叶斯网络相结合的方式完成,使网络安全的各项技术都系统中都得到了充分发挥,从而更加全面的掌握了安全管理系统中信息的动态变化和安全性,确保了整个系统的安全性。
三、结束语
电子信息技术发展到今天,信息安全不再是某一个环节上的问题,其已经成为了一个立体的、动态的体系。因此在安全保障措施的制定上,需要从技术、运行、管理三个层面入手。将数据融合技术融入到管理平台中,从整体上加强对安全性的深入探讨与分析,从而获得更加精准的分析结果,彻底摆脱对安全设备进行间断管理的不利局面,全面实现智能化网络管理,确保网络安全管理平台的健康运行。
参 考 文 献
实现系统安全风险的全面识别,才能采取有效安全防范策略。基于这种认识,本文对层次化网络安全威胁态势量化评估方法进行了分析,以期为关注网络安全评估话题的人们提供参考。
【关键词】
层次化网络;安全威胁态势;量化评估方法
引言
从服务和主机重要性角度出发对网络安全态势展开量化评估,将能提供直观安全威胁态势分析图,从而在降低网络安全管理人员的工作量的同时,为管理人员制定有针对性的安全策略提供科学依据。因此,相关人员还应该加强该种网络安全威胁态势量化评估方法的研究,以便更好的开展相关工作。
1网络安全威胁态势量化评估研究
所谓的网络态势,其实就是各种网络装备的运行状况,是整个网络当前状态和变化趋势。在用户行为和网络行为发生变化的情况下,网络态势则会随之变化。而网络安全态势则是网络安全状态的变化趋势,对其展开评估需要通过大范围网络监控完成大量网络安全信息的收集。自计算机出现以来,网络安全问题就一直存在,不仅将威胁个人权益,还将威胁国家安全。对网络安全进行评估,则有利于加强网络安全管理。目前,国内在网络安全威胁态势量化评估方面使用的指标比较片面,获得信息的途径也较为单一,很难满足实际需求。在网络空间状态意识框架建立上,未能完成圆形系统构建,以至于较难实现有效评估网络空间安全性的目标。得到广泛使用的评估方法则为SSARE,可以检测计算机攻击状态及呈现出的态势[1]。而利用IDS日志库开展取样分析工作,则能加深对主机了解,从而完成层次化网络安全威胁态势量化评估体系的建立,继而从网络、主机和服务多方面完成评估。
2网络安全威胁态势量化的评估方法
2.1评估模型
按照网络拓扑结构和规模,可以将网络系统划分为网络、主机和服务三个层次,而网络攻击多针对主机提供的特定服务。根据这一特点,可以采取“自下而上”、“先局部后整体”和“横向关联”的策略开展网络安全威胁态势量化评估工作。采取该策略建立评估模型,可以IDS报警和漏洞扫描结果为原始数据,然后在服务层完成单次攻击对信息安全造成的威胁的评估。通过对威胁的严重程度进行评估,则能够完成量化分析。而DoS类攻击主要会在主机层造成危害,该层别态势由攻击对信息和服务造成的威胁严重程度,需要分别结合单台主机上攻击路径和给服务可用性造成的影响展开评估。完成各主机层态势量化评估后,则可以通过计算态势指数加权和完成网络层态势指数的计算。在这一过程中,需要对每个主机服务潜在的威胁展开全面分析,并对威胁攻击的损失程度、网络宽带占用的数据和可能发起的攻击次数等内容展开分析,以便完成主机系统安全性的综合评定。
2.2定量分析
对于层次化网络来讲,网络服务造成的威胁将成为影响网络的重要因素。其中,威胁程度、严重后果和服务访问量都会对网络服务构成威胁。因为,受攻击时间的影响,服务访问量会产生一定差异性。所以在计算时,需要对时间窗口进行分析,并对具体某个时刻的服务威胁指数进行计算。在计算过程中,需完成时间段划分。具体来讲,就是将网络时间划分为晚上12点到8点、上午8点到6点、下午6点到晚上12点三个时间段,然后以各时间段的访问量平均值为依据对正常访问量向量进行赋值,即利用1、2、3、4、5分别代表超低级、低级、中级、高级、超高级这四个级别的访问量。对原始数据进行归一化处理后,则能够得到正常访问量向量值[2]。在此基础上,需要按照攻击事件严重程度开展一系列调查,以确定威胁指数的有效性,确保评估结果符合合理性标准。从有关研究来看,严重程度分别为1和2的分别发生100次和10次攻击,可以获得一致的威胁指数。所以在计算威胁指数时,应增加攻击严重程度,以免威胁指数计算结果因特殊状态而与现实之间出现偏差。
2.3参数确定
在对各层次的威胁指数进行计算时,需要对各层次的威胁程度指数、重要性权重和网络宽带占有率进行确定。确定威胁程度指数,可以将报警日志中的无效攻击尝试排除在外,从而使评估更加准确。因为,考虑无效攻击尝试,将导致成功攻击次数减少,从而导致攻击威胁指数减小。对网络宽带占有量进行测定,则可以为攻击次数的威胁分析提供依据,因为有效攻击将通过消耗网络宽带导致网络拒绝服务[3]。此外,还要通过评估服务器上数据动态、量变和人为因素进行服务和主机重要性权重的确定。
3结论
使用层次化网络安全威胁态势量化评估方法,可以从多个层次直观反映网络安全威胁态势,所以能够帮助网络管理人员更好掌握网络安全动态,并制定有针对性的安全策略。
作者:李智勇 单位:吉林省人力资源和社会保障信息管理中心
参考文献
[1]陈锋,刘德辉,张怡,等.基于威胁传播模型的层次化网络安全评估方法[J].计算机研究与发展,2011,06:945~954.
1.1主观因素
(1)从使用网络的人来看,网络使用者的安全防范意识不尽相同,有的人非常重视网络安全,有的人甚至不知道什么是网络安全,网络安全意识薄弱。
(2)从黑客的角度来分析,黑客对于网络安全的威胁是目前最大的。黑客通常是利用技术将带有病毒的游戏、网页、多媒体等放入软件终端,电脑使用者不留意就会点开这些资源,黑客就会监控电脑的一切活动,会偷取计算机上的用户名、账户、密码等个人隐私数据,或者占用系统资源,严重的情况下会导致系统崩溃,企业相关的资料都会消失,损害企业的经济、财产,并为网络安全带来威胁。
1.2客观因素
石油企业应用网络办公都已经形成了企业独立的网络系统,但还是受到网络安全的威胁,主要是由于影响石油企业网络安全的自然原因主要是操作系统和软件的漏洞。随着科技的发展,网络操作系统和应用软件总在不断地更新,而且其更新比较慢,这就为黑客的入侵提供了缝隙。
2、石油企业网络安全的防护技术措施
随着石油企业网络安全问题的频繁出现,网络使用者必须重视网络安全问题,必须对网络安全采取有效的防护技术和措施,为企业提供安全的网络管理平台。
2.1石油企业建立健全企业规章制度
为了确保企业网络安全,必须建立完善的安全系统,了解网络安全的重要性。对于网络安全事故的发生,应采取处罚制度,并进行记录,一旦出现重大网络安全事故,可以做到有证据可依。
2.2石油企业应对网络数据采取加密技术
石油企业内一些重要的文件必须对其进行加密后再放到外部网络中,并结合防火墙技术,才能进一步提高石油企业网络信息系统内部数据的保密性和安全性,防止数据被非法人员偷盗,损害企业的利益。
2.3石油企业应加强员工网络安全知识的培训
员工作为石油企业网络的使用者,梳理员工网络安全意识变得尤为重要,只有让员工认识到网络安全的危害和意义才能从根本上防止主观因素网络安全问题的发生。石油企业应加强对员工网络安全信息的培训工作,提高员工的网络安全意识,保证企业网络安全的使用。
2.4石油企业应加强系统平台与漏洞的处理
网络管理员可以利用系统漏洞的扫描技术来提前获取网络应用过程中的漏洞,并通过漏洞处理技术快速恢复系统漏洞。
3、关于石油企业网络安全中其它防护技术
在石油企业网络安全防护技术方案中,还应该应用以下几个防护技术:访问控制技术、入侵行为检测技术、异常流量分析与处理技术、终端安全防护与管理技术、身份认证与管理技术。
3.1访问控制技术
企业可以根据企业本身的安全需求、安全级别的不同,在网络的交界处和内部划分出不同的区域,在这些区域中安装防火墙设备进行访问控制。通过防火墙设备对数据包进行过滤、对于有问题的数据进行分析,防止外部未被授权的用户入侵企业网络。单向数据输出的安全区域,防火墙设备应对外区域的访问请求进行阻止;对于需要进行双向数据交互的区域,必须按照制源地址、目的地址、服务、协议、端口内容进行精确的匹配,避免网络安全问题的出现。
3.2入侵行为检测技术
入侵检测就是在石油企业网络的关键位置安装检测软件,对入侵行为进行检测与分析。入侵检测技术可以对整个企业网络进行检测,对产生警告的信息进行记录并处理。
3.3异常流量分析与处理技术
为了保障供应服务的稳定性,避免拒绝服务攻击行为导致业务系统可用性的丧失,需要通过深度包检测。当发现网络流量有问题时,就会将恶意数据删除,保留原有的正常数据,这样就保证了有权限的用户进行正常访问。
3.4终端安全防护与管理技术
企业整体信息安全水平取决于安全防护最薄弱的环节。在石油企业中,企业比较重视网络及应用系统的保护,忽视了对终端计算机的全面防护与管理措施的保护。这些就需要企业利用安全防护管理技术在内部终端计算机进行统一安全防护和安全管理,保证信息的安全。
4、结语
