網絡安全服務的價值模板(10篇)
時間:2023-06-07 15:56:05
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇網絡安全服務的價值,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
本報告研究內容主要包括以下幾個方面:1.中小企業網絡安全的需求特點。根據對中小企業的分類(見報告正文),分別對初級、中級、高級中小企業網絡安全的需求特點做了分析。
2.針對初級、中級、高級中小企業的網絡安全需求分別研究了解決方案。
3.對中小企業網絡安全市場做了增長趨勢預測。
4.分析了網絡安全廠商的捆綁策略,并對網絡安全廠商合作中需要注意的問題和選擇合作伙伴的標準做了建議。
二.中小企業網絡安全的需求
1.中級中小企業防入侵、防垃圾郵件的需求沒有得到中小企業的足夠重視,這兩個方面的需求沒有得到有效的滿足。市場上雖然有解決此類問題的產品,但由于中級中小企業防護意識的缺乏,以及存在信息不對稱和相關知識缺乏的問題,需求并沒有被滿足。這需要廠商加強宣傳和引導。
2.高級中小企業的網絡安全方面,防止內部人員竊取和攻擊、防止無線數據的攔截這兩方面沒有得到中小企業的足夠重視。網絡安全廠商所關注的重點,仍主要集中于防病毒、防垃圾郵件、防止非法入侵、身份識別與訪問控制、反端口掃描、數據的備份和恢復等方面,對防止內部人員竊取和攻擊、防止無線數據的攔截這兩方面重視程度不夠。例如防止無線數據的攔截方面,網絡安全市場就缺乏針對中小企業此方面需求的相關產品。
三.中小企業網絡安全市場的增長趨勢
1.初級中小企業網絡安全的市場價值20__年為0.7億元人民幣。在20__年,市場價值將增加到1.6億元人民幣,但年增長率由20__年的42.9降低到20__年的23.1。
篇2
Computer Communications Security
Jin Xiaoguang
(PLA Equipment Command&Technology College,Education&Security Division,Beijing101416,China)
Abstract:The interpretation of the computer network communication technology and network security-related concepts,the importance of network security and some characteristics of computer networks,put forward the corresponding security measures,the issue for further research laid the foundation of computer communications.
Keywords:Communication network;Security;Data
隨著我國經濟建設的迅速發展,現代社會人們對計算機通信網絡的依賴越來越多,工程施工、信息管理、安全監控等系統的運行也越來越依賴計算機通信網絡。不論是廣域網還是局域網,不管是有線網還是無線網,都將成為人們日常生產生活中不可缺少的信息傳輸、交換和處理的大動脈。然而同時也出現了一些不可忽視的計算機通信網絡問題,危害網絡運行安全。因此,在信息化水平提高、通信技術不斷發展的情況下,必然要對計算機通信安全提出更高的要求。
一、網絡通信技術
計算機的主要網絡功能包括資源共享、數據通信、提高計算機的可靠性和易于進行分布處理。服務器和客戶分別是兩個進程。客戶向服務器主動發出服務或連接請求,服務器等待接收請求,并給出應答。為了解決計算機網絡間進程通信的問題而引入套接字編程接口。套接字與我們平時所見的電話系統很相似,通話雙方相當于相互通信的兩個進程;通話雙方所在的地區相當于一個網絡,電話號碼的長途區位號就相當于網絡地址;地區內一個局間的交換機相當于一臺主機,每個局間有一個局號相當于主機地址;局間交換機為每個電話用戶分配一個局內號碼,這個局內號碼就相當于套接字號。
二、通信網絡安全的定義及其重要性
我們可以從不同角度對通信網絡安全作出不同的解釋。一般意義上,通信網絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”;控制安全則指身份認證、不可否認性、授權和訪問控制。
當今社會,通信網絡的普及和演進讓人們改變了信息溝通的方式,通信網絡作為信息傳遞的一種主要載體,在推進信息化的過程中與多種社會經濟生活有著十分緊密的關聯。這種關聯一方面帶來了巨大的社會價值和經濟價值,另一方面也意味著巨大的潛在危險,―旦通信網絡出現安全事故,就有可能使成千上萬人之間的溝通出現障礙,帶來經濟價值和社會價值的無法預料的損失。
三、我國通信網絡安全現狀
互聯網所俱有的交互性、開放性和分散性特征滿足了人們能夠信息共享、開放、靈活和快速等需求。通信網絡環境為信息交流、信息共享、信息服務創造了理想空間,計算機網絡技術的迅速發展和廣泛應用,為我國社會的進步與經濟的發展提供了巨大推動力。然而,正是由于互聯網的上述特性,在給人們提供巨大便利的同時,也產生了許多安全問題。計算機通信網絡固有的開放性、易損性等特點使其受攻擊不可避免。
四、計算機通信網絡安全的要求
通信網絡安全的總體目標可細化為如下幾個方面:
(1)保證只有合法用戶才能接入并在授權范圍內使用網絡。
(2)防止非授權的接入或操作。
(3)網絡安全架構應有一定彈性,能支持不同的安全策略。
(4)能在網絡中找到安全相關信息,保證所有用戶能對自己在網絡中的行為負責。
(5)發生安全事件或檢測到安全缺陷之后,能在可接受的時間段內恢復到正常安全水平[1]。
五、計算機通信網絡安全分析
針對計算機通信網絡固有的開放性等特點,須采取有效的安全防范措施,才能保證計算機通信網絡安全。
(一)防火墻技術
在網絡的對外接口采用防火墻技術,在網絡層進行訪問控制。通過鑒別,限制,更改跨越防火墻的數據流,來實現對網絡的安全保護,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。
(二)入侵檢測技術
防火墻保護內部網絡不受外部網絡的攻擊,但它對內部網絡的一些非法活動的監控不夠完善,IDS(入侵檢測系統)是防火墻的合理補充,它積極主動地提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,提高了信息安全性。
(三)網絡加密技術
加密技術的作用就是防止公用或私有化信息在網絡上被攔截和竊取,是網絡安全的核心。采用網絡加密技術,對公網中傳輸的IP 包進行加密和封裝實現數據傳輸的保密性、完整性,它可解決網絡在公網上數據傳輸的安全性問題也可解決遠程用戶訪問內網的安全問題。
(四)網絡規劃
網絡規劃主要是在組網方案中解決或緩解一些安全問題,包括安全平面的劃分,在不同安全平面的邊界上進行邊界的整合和保護,IP地址的規劃,不同的網絡、服務間進行隔離,以及必要的擴容等等。安全的網絡規劃可以減輕或消除威脅的擴散和大流量對系統帶來的壓力,并使得網絡易于管理[2]。
六、結語
在經濟日益發展、信息交流速度越來越快的當今社會,保證計算機通信網絡安全有益于對國家、單位及個人的財產、信息的保護。使其免受損失。目前解決通信網絡安全問題的大部分技術是存在的,但是隨著社會的發展,人們對通信網絡功能的要求愈加苛刻,這就決定了通信網絡安全維護是一個長遠持久的課題。我們必須適應社會,不斷提高技術水平,以保證網絡安全維護的順利進行。
篇3
中圖分類號: TN711?34 文獻標識碼: A 文章編號: 1004?373X(2016)03?0084?02
Analysis of network security situation prediction method based on Kalman algorithm
LI Xiaoling, HU Hai
(Gongqing College, Nanchang University, Jiujiang 332020, China)
Abstract: In recent years, the network information technology has rapid development, and is gradually entered into the development of all trades and professions, which changes people′s production mode and life style, and brings great convenience for people′s basic necessities. The network can provide great convenience for people while existing large hidden danger, which threatens people′s privacy and network security. It is necessary to analyze and predict the network security situation, and then find out a reasonable algorithm to analyze the situation. The scientific model of network security situation was established to provide effective information for the network managers to make the security decisions, and improve the network security degree. The Kalman algorithm is used to analyze the prediction method of network security situation. The superiority of the algorithm is analyzed.
Keywords: Kalman algorithm; network security situation; prediction method; network security
0 引 言
在信息技術的推動下,計算機和互聯網技術得到迅速發展,其用戶需求也在不斷擴大,網絡規范發展越來越重要,但是最近發生的網絡安全事件頻頻出現,不利于網絡多元化的發展趨勢,在這種環境下人們更加重視網絡安全問題。為了解決網絡安全問題,確保網絡系統的安全運行,必須對網絡運行進行全面的評估和預測[1]。網絡安全態勢感知是網絡安全健康需求而出現的一種新技術。態勢預測是態勢感知技術的最高級別,能夠為網絡管理者提供決策依據。傳統的預測方法和理論并不能滿足現代網絡安全預測的需求,近幾年人們逐漸開始應用基于卡爾曼算法的網絡安全態勢預測分析實際生活中遇到的網絡安全問題,此預測方法在實際應用中具有較高的預測價值。
1 基于卡爾曼算法的網絡安全態勢預測算法分析
在進行卡爾曼算法網絡安全態勢分析實施之前,首先利用人工免疫的網絡安全態勢進行網路環境安全態勢分析,以便找到網路安全態勢中的預測值,順利完成網絡安全態勢預測分析,提高網絡安全性。所以本文采用人工免疫網絡安全態勢對網絡安全實施評估,并在此基礎上構建模型結構,如圖1所示。
1.1 網絡安全態勢的卡爾曼算法分析
從網絡安全方面來看,網絡安全態勢代表的是一種離散時間動態系統狀態,對此系統進行分析的過程中,可以利用系統中描述狀態向量的過程方程及其觀測方式進行統一表示。從這方面來看其過程方程的表述方式為:
式中:[x(n)]表示的是該系統在離散時刻[n]的狀態向量,這個向量是不可觀測的,只能根據相關數據計算出來;[F(n+1,n)]表示的是此分析過程中所涉及的狀態轉移矩陣模式;[v1(n)]代表的向量屬于過程噪聲向量,它在系統中主要表示的是轉移中間的加速性噪聲。
式中:[J(n)]代表動態系數時間[n]的觀測向量;[C(n)]代表動態系統的觀測矩陣;[x(n)]代表經過[C(n)]的描述變成可觀測的數量;[v2(n)]代表觀測的噪聲向量。
通過以上的分析與計算,可以使用卡爾曼濾波算法對網絡安全態勢進行詳細的分析,再依據分析過程中設置的安全態勢值[J(1),J(2),…,J(n)]進行相關分析,這時可以知道當[n≥1]時,可以利用方程式求出[x(i)]的各個分量。
1.2 卡爾曼預算算法分析
網絡安全態勢卡爾曼預測算法的步驟如下:
首先要分析初始條件:
2 仿真實驗分析
2.1 實驗環境和參數的設定
仿真實驗的分析利用am anel+ +中模擬配置相同的20臺主機構成服務器,同時選擇部分合適的數據作為實驗數據進行分析,采用各種攻擊計算方式對網絡運行過程中所涉及的各種服務器進行相應的分析與觀測,以便為后來的計算鋪墊基礎,在此過程中主要涉及的服務器有3種,分別是:內打印機、虛擬ftp、數據庫等服務器模式[2]。然后分別將這些服務器的參數設置為0.5,0.21,0.8。
2.2 計算機網絡的安全態勢值分析
在詳細網絡安全系統的分析過程中,在各個數據參數配置完成后進一步分析其安全性能,可以根據以上計算公式進行詳細的分析,結合網絡安全態勢值,并將計算結果與網絡攻擊強度進行比較[3?4],結果如圖2所示。
從圖2中可以看出:網絡攻擊強度越高,相應的其網絡安全態勢越高;而當網絡攻擊強度下降,其網絡安全態勢也隨之下降,二者是呈正相關關系。正因如此,在實際網絡環境中當某一攻擊在短時間內再次出現時,這個網絡仍然能夠保持警惕性,起到較好的預防攻擊作用。
2.3 卡爾曼預測算法的預測結果
卡爾曼預測算法的公式為:
利用式(7)分析整個網絡安全態勢,并對此網絡進行預測值分析,然后將計算結果和網絡中的實際值進行分析、比較,如圖3所示。
從圖3中可以看出,此預測算法的預測結果與真實值的變化趨勢有基本的一致性,表明本文的算法是可行的,為了進一步驗證算法的有效性,也可以將此預測算法與卡爾曼預測算法進行比較,證實其有效性。
3 結 語
在實際網絡環境中由于種種原因導致網絡安全態勢模型不能對安全態勢值進行安全預測,導致網絡安全受到較大的威脅,不利于網絡信息多樣化的發展。利用卡爾曼預測算法提出一種網絡安全態勢預測方法,能夠較大幅度的提高網絡安全性。從本文的分析中可以看出,此算法比較準確地預測了網絡安全態勢值,具有較大的實際預測價值,而且更加適用于實際網絡環境中,促進網絡環境的安全性。
參考文獻
[1] 向西西,黃宏光,李予東,等.基于Kalman算法的網絡安全態勢預測方法[J].計算機仿真,2010,27(12):113?116.
[2] BASS T. Intrusion detection systems and multi?sensor data fusion: creating cyberspace situational awareness [J]. Communication of the ACM, 1999, 43(4): 99?105.
[3] 劉雷雷,臧洌,邱相存,等.基于Kalman算法的網絡安全態勢預測[J].計算機與數字工程,2014,42(1):99?102.
篇4
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)25-0030-02
隨著信息技術應用不斷成熟,如今計算機網絡資源被廣泛應用與現代教學體系當中。高等教育作為整個教育體系中的重要階段,無論是該階段教學的形式,還是其教育價值,都是我們在開展教學活動中所必須充分重視的內容。隨著計算機網絡信息技術被廣泛應用與高校圖書館建設管理當中,如今高校圖書館在管理過程中,存在較大隱患,尤其是計算機網絡存在的安全隱患已經成為高校圖書館平臺繼續發揮作用的首要制約因素。
1 當前高校圖書館計算機網絡存在的安全問題和隱患分析
隨著信息化應用不斷成熟,如今圖書館在高校師生學習過程中發揮著重要作用和價值。而電子圖書館也成為師生學習的主要平臺,但是在師生使用圖書館計算機網絡時,存在病毒傳播、木馬傳播等一系列安全隱患,從而影響到師生的具體應用效果。而一旦這些問題不能及時有效解決,那么整個圖書館,尤其是電子圖書就無法得到全面有效的利用。因此,需要我們深入研究當前高校圖書館計算機網絡存在的安全問題和隱患,通過有效應對,從而實現高校圖書館計算機網絡管理的應有價值。
現階段影響高校圖書館計算機網絡安全的問題和隱患的因素有很多種,不僅系統自身、設備或者技術上存在的隱患,也有管理人員素質等方面的原因,總的來說,影響其計算機網絡安全的因素可以分為:
首先,是人為操作上的失誤或者問題。對與圖書館計算機網絡而言,其應用量較大,而其具體管理工作主要有管理員進行管理。因此人為操作上帶來的無意識失誤,就成為影響計算機網絡安全運營的首要因素。通常人為操作上的失誤或者問題主要表現為:安全意識不夠,對系統管理賬號缺乏必要的防范意識,或者由于安全配置上的不準確從而造成的漏洞隱患等等,這些因素都成為影響高校圖書館計算機網絡安全運營的主要因素。
其次,是人為惡意攻擊。而該原因也是目前高校圖書館計算機網絡安全所存在的最大隱患。而該因素也主要表現為兩方面,一方面是通過多種方式有選擇性的進行信息破壞的主動攻擊,通過這一攻擊方式能夠影響整個圖書管理信息的完整性。而另一方面則是在不影響計算機網絡正常工作的同時,通過截獲、竊取等方法來獲取相關信息,可以說這兩種方式,都是人為原因,都對高校圖書館計算機網絡安全造成重大影響,一旦缺乏體系化的防范和把控,都將會對高校圖書館管理工作開展造成巨大影響。
再者,其影響計算機網絡安全的因素是計算機病毒造成的。對計算機系統運轉而言,病毒是人為制造的,而其能夠對整個系統的運轉造成極強的影響,同時病毒一旦入侵,將會影響整個管理系統的正常運轉,甚至會破壞和竊取大量數據,對圖書館運轉造成重大威脅和損失。目前計算機病毒成為計算機網絡安全的常態化問題。
最后,則是高校圖書館計算機網絡中所使用的各種系統軟件所帶來的隱患和問題。目前圖書館管理過程中所使用的各種軟件系統存在安全性能不強、安全措施應對不足等一系列問題。而高校圖書館計算機網絡系統都使用數據庫進行管理,當然整個數據庫體系,數據傳輸和數據庫本身也存在各種漏洞,從而影響整個系統安全運行。
2 現階段高校圖書館計算機網絡安全管理過程中存在的局限性和不足
事實上,無論是計算機病毒,還是木馬,甚至是人為攻擊等問題,其都是計算機網絡運營過程中所不可避免的問題,但是從根本上看,影響高校圖書館計算機網絡安全問題的核心在與其管理過程中存在一定局限性和不足,這些都是限制其整體作用發揮的關鍵。
首先,當前對數高校圖書館不能及時更新軟硬件投入,其較低的軟硬件水準大大影響了圖書館計算機網絡的安全問題。當前很多高校圖書館在運營過程中,其管理經費并不充足,而其網絡操作系統也是長期使用的設備,亟待更新,這些設備由于較為老化,因此很容易遭受攻擊,同時其應對攻擊的防范能力也比較弱。而新購置的軟硬件設備也無法及時予以更新、維護和升級,因此整個軟硬件系統其網絡安全防衛能力較弱,使得圖書館計算機網絡存在較大安全隱患。
其次,部分圖書館工作人員自身知識不夠,且缺乏必要的安全防范意識,未能對圖書館計算機網絡安全體系引起足夠重視。客觀上講,當前很多圖書館工作人員并沒有接受正規、體系化、全面的計算機安全知識教育,加上這些人員重視程度不足,以至于當出現計算機網絡安全問題時,不僅很難給與及時處理,同時不能采取一些日常防范措施,確保整個計算機網絡全面有效運轉,可以說高校圖書館計算機網絡安全很難予以保障,而這一問題如果不能及時有效解決,那么高校圖書館計算機網絡安全就無法得以有效保障。
最后,圖書館自身功能和數字圖書館的特點決定了其潛在的安全隱患不可避免。在信息技術應用不斷成熟背景下,數字圖書館已經成為圖書館重要板塊,但是我們應該清楚數字圖書館是基于虛擬網絡技術的圖書館,整個圖書館的資源可以通過互聯網實現互相共享。正是數字圖書館信息和資源共享決定了整個系統在運轉過程中有著極強的開放性,也就是說整個數字圖書館運轉過程是透明的,非封閉的,這就使得圖書館自身無法避免網絡威脅,該風險是數字圖書館的特性所造成的。
3 高校圖書館計算機網絡安全管理有效開展的具體思路
隨著高校教育體系日益完善,當前圖書館作為學生自學和補充學習的重要通道,其價值日益明顯和突出,在信息技術應用不斷成熟的今天,數字圖書館已經成為圖書館管理過程中極其重要的內容,然而在高校圖書館建設運營過程中,由于其潛在的一系列安全隱患使得整個圖書館運轉存在較大安全問題,解決勢在必行。
首先,在技術上構建完善的安全策略,通過技術上的完善,確保整個系統安全運營。而整個完善機制包括,從完善入網訪問控制、指定目錄級安全控制和服務器安全控制等機制入手。通過結合殺毒軟件和計算機管理系統,從而實現計算機網絡安全管理。在新的運行機制中,要針對網絡的訪問權限予以設置,針對不同用戶組和用戶群體給予不同操作權限。要結合整個系統運轉過程中,服務器的重要作用和價值,完善服務器安全控制,通過設置相關口令,鎖定服務器,從而防止非法用戶篡改數據和對整個系統的攻擊。當然在這一過程中,必須要充分發揮防火墻和殺毒軟件的功能,通過構建網絡與病毒的隔離區間,從而實現圖書館計算機網絡安全管理。
其次,做好數據加密處理。在高校數字圖書館運行過程中,必須對其運營數據進行充分保護,通過實施數據傳輸過程加密、數據存儲加密和密鑰管理等方法,從而確保數字圖書館在運行、管理過程中,其數據能夠得到有效保護,數據的安全性能夠得到充足保障。在數字圖書館運行過程中,要充分完善安全管理技術應用,及時有效防范各種電腦病毒,通過安裝必要的木馬查殺軟件,從而有效防范其對計算機的攻擊。而網絡防護機制建設,勢必能夠大大提升計算機網絡安全機制的運行穩定性。
最后,要重視對圖書館工作人員的培訓和教育,結合數字圖書館運營需要,開展相應教學活動,通過有效提升工作人員的專業素養,從而有效提升圖書館工作人員的安全防范意識和工作態度,確保其能夠對整個圖書館計算機網絡的安全運轉給予充足關注。當然,在這一過程中,也要注重對學生的培養,通過及時極強學生的安全操作意識和思維,從而實現高校圖書館的高效、安全運轉。
4 結語
高校圖書館是高校后勤管理和教育管理中極其重要的環節,學生可以通過圖書館學習自身感興趣的內容,也可以通過圖書資料查閱,有效深化自身知識面。對于高校學生培養來說,其最大的要求在于培養學生掌握必要的自學能力。因此圖書館作為教學的重要補充,其對高校教學活動的開展有著重要意義和價值。隨著教學信息技術不斷應用與革新,如今各個高校在建設過程中,也將計算機信息化技術應用到了高校圖書館管理當中。計算機網絡資源的應用,從某種程度上為高校圖書館管理提供了便利,同時也大大方便了學生查詢學習資料。但是我們應該認識到計算機網絡資源在具體應用的過程中存在較大安全隱患,而這些安全威脅如果不能得到及時有效的解決和處理,那么將會對整個圖書館管理帶來極大損失。
參考文獻:
篇5
隨著計算機網絡技術不斷發展進步,其應用已經逐漸滲透到企業運作以及個人的日常生活中,并且數據安全通信方面的要求也越來越嚴格。在這一背景下,虛擬網絡技術應運而生,網絡節點之間無需傳統上的物理鏈路,從而顯著降低成本以及設備等方面的要求,還可以確保網絡運行的穩定性和數據傳遞的安全性。
1虛擬網絡技術概述
虛擬網絡技術是一種專用網絡技術,可以在公開數據環境當中創建數據網絡。廣大用戶能夠在計算機網絡當中找到特定局域網完成各方面的虛擬活動,即便在不同地點也可以使用相同的虛擬網絡,顯著改善網絡數據傳輸過程當中的安全性。因此虛擬網絡技術有著比較突出的應用價值,在計算機網絡安全當中的應用潛力巨大。虛擬網絡技術特點主要體現在以下幾個方面。第一,采用方式比較多。因為虛擬網絡技術能夠通過多種不同的方式的來改善計算機網絡安全性,企業財務管理、高等院校圖書館管理以及政府單位信息通路等都可以從中獲益。第二,簡化能力比較強。因為虛擬網絡技術有著簡化能力強的特點,同傳統的模式比較而言,顯著減少資金方面的投入量以及專用線路鋪設的問題,并且也能夠最大限度避免搭建專用線路。第三,設備要求低并且擴容性好。虛擬網絡技術對于設備的要求比較,擴容性也良好,這樣一來能夠大大減少學校以及企業等使用該技術所需要投入的成本。
2計算機網絡安全中虛擬網絡技術的應用
2.1MPLS虛擬網絡技術的應用
在計算機網絡安全當中MPLS虛擬網絡計算機網絡安全中虛擬網絡技術的應用研究文/羅慧蘭近些年計算機網絡技術飛速發展,已經廣泛應用在人們的學習、生活以及工作過程當中,計算機的網絡安全問題也受到人們的高度重視。本文簡要介紹虛擬網絡技術的定義及其特點,并在此基礎上重點論述計算機網絡安全中虛擬網絡技術的具體應用。摘要是構建在MPLS技術上的IP專用網絡,基礎是IP寬帶網絡,這一技術能夠有效實現語音、數據還有圖像的高速跨地區通訊,業務安全性以及可靠性都比較理想,同時該技術是構建在差別服務還有流量工程的基礎之上。除此之外,在擴展公眾網絡以及提高網絡可靠性方面該技術也有著比較顯著的應用優勢,可以明顯改善專用網絡性能,并且使得專用網絡更為靈活高效以及安全可靠,最大限度為用戶提供優質網絡服務。MPLS技術的應用需要通過三個步驟加以實現。首先要建立分層服務提供商,在PE路由器之間使用CR-LDP來建立起LSP,通常條件下LSP的包含業務數量比較多,主要包括各種對立關系的VPN,這兩步對網絡運營商至關重要的原因就是能夠提供MPLS。其次是要在PE路由器上實現虛擬專用網絡信息。邊緣設備以及PE路由器的價值在于能夠為服務商骨干網絡提供路由器支持,這一步驟的核心是在對虛擬專用網絡當中的數據傳輸加以控制,也是實現二層虛擬網絡的關鍵步驟。最后是完成虛擬專用網絡的數據傳輸。PEI數據傳輸的形式主要是DLCI.33。在PEl位置上找到相對應的VFT,在刪除數據幀之后壓入LSP標記以及虛擬專用網絡標記,然后根據虛擬專用網絡標記過的數據,搜尋對應VFT表之后傳輸到CE3。
2.2IPSec虛擬網絡技術的應用
IPSec協議當中使用最廣泛的就是虛擬網絡技術,一方面為計算機提供IP地址,另一方面可以保證計算機網絡的安全性,這也是IPSec協議最關鍵的價值。除此之外,組成虛擬專用網絡的部分還包括ESP協議,這一協議使用的范圍比較寬泛,提供完整數據的同時還能夠在同一時間段進行抗重放攻擊還要做好數據保密工作,ESP協議加密算法當中比較常用的主要有AES還有3DES等,分析數據的并且識別數據的完整性識別主要借助于MD5算法。第一種是從網關到網關,例如在一個企業當中各個部門或各個子公司使用的互聯網分布在不同的位置,而且每個網絡當中都使用獨立的網關互相之間建立VPN通道,內部網絡之間數據則借助于這些網關所搭建的IPSec通道來實現企業不同地方網絡的安全連接。另一種是PC到網關,主要指的是兩個不同的PC之間通信是由網關以及異地PC的IPSee加以保護。其中IP頭地址保持不變,主要用在各種端到端場景當中。
2.3企業信息安全當中虛擬網絡技術的應用
現代的企事業單位使用常規計算機信息管理方式已經難以滿足安全辦公的要求,尤其是在信息管理領域。信息管理的精細化管理要求沖破傳統上存在的空間限制,在各個獨立部門信息管理系統之間實現有效的連接,從而實現單位不同部門信息管理之間的同步性。企事業單位的信息管理過程當中借助于應用虛擬網絡技術,可以比較理想地避免傳統空間約束導致的信息通路問題,并且通過應用虛擬網絡技術能夠有效安全實現信息管理。現代化的電子信息技術日益發展條件下,企事業單位的核心信息資料從傳統空間限制逐漸轉變為電子資源,同事電子資源的日益完備也使得信息管理出現根本性的轉變。現代化企事業單位的電子信息資料主要是使用信息通路當作傳輸載體,并且使用專線來提供安全保證,借助于虛擬網絡控制來實現信息資料的加密與管理,最終實現保護資料以及信息安全的目的。借助于架設專用虛擬網絡,可以確保企事業單位的關鍵資料與信息在安全環境下完成傳輸,最大限度防止信息傳遞過程當中的泄露而帶來的損失。
3結語
綜上所述,計算機網絡安全當中應用虛擬網絡技術有重要價值,在網絡信息的管理領域有著不可替代的重要作用。一些新興產業的發展對虛擬網絡技術應用提出更高的要求,因此需要結合已有的網絡信息技術加以深入研究分析,從而持續改進計算機網絡可靠性與安全性,為個人以及企業提供穩定的網絡環境以及信息化服務。
參考文獻
[1]王永剛.虛擬專用網絡技術在計算機網絡信息安全中的應用[J].電子測試,2015,12(09):73-74.
[2]閆應生.網絡技術在消防信息化建設中的應用[J].企業技術開發,2015,15(11):105-106.
篇6
論文摘要:該文論述了文化對人的網絡信息行為的影響,介紹了網絡安全文化的產生背景和構成。并對網絡安全文化的內涵及作用機制進行了研究。
1 引言
網絡環境的出現極大地方便了人們之間的信息交流,推動了人類社會的進步。但同時,它也是一把雙刃劍,它在為我們提供了便利的同時,也帶來了許多問題。其中網絡安全問題已成為日漸棘手、迫切需要解決的一項任務。以往,人們注重從技術上去著手解決這個問題,而往往忽略了其它防護,雖然收到了一定的效果,卻不能從根本上解決網絡安全問題。事實上,信息管理的成功,關鍵在于人的因素。加強人的因素管理,是保障網絡安全的重要途徑。而人是社會的人,他生活在一定的文化背景之中,文化對人的信息安全行為產生巨大影響。因此,筆者從文化、網絡文化、安全文化三者的內在聯系入手,試圖探討一種新的文化—“網絡安全文化”。本文就“網絡安全文化”相關概念、與其它文化的聯系及其意義進行了分析與探討。有關“網絡安全文化”的結構體系與實施途徑等內容,將在另外的論文中予以研究,在此不作贅述。
2 網絡安全文化的產生背景和構成
互聯網出現以后,人們的網絡活動日見頻繁,并隨之產生網絡文化,網絡活動總會有意識或無意識地包含著安全活動。因此,安全文化便自然地融入其中,引導和制約著人們的網絡信息安全行為,起到約束和管理人的網絡信息行為的作用,形成了一種全新的、而被人們忽視了的“網絡安全文化”。基于此,本文提出網絡安全文化的概念,它是安全文化的子類,是安全文化和網絡文化相互滲透的結果。它繼承了安全文化與網絡文化的共性,同時又具有自己的特性。它通過影響網絡操控者人的行為來影響網絡安全,它對網絡安全的影響貫穿人們網絡活動的始終。因此,我們認為網絡安全文化是安全文化和網絡文化的一個子類,它指人們對網絡安全的理解和態度,以及對網絡事故的評判和處理原則, 是每個人對網絡安全的價值觀和行為準則的總和。如前所述,網絡安全文化是網絡文化與安全文化的交集,既是安全文化發展到網絡時代的產物,屬于安全文化的一部分,也是網絡文化的安全影響因素,屬于網絡文化的一部分。
參照傳統的文化結構劃分方法,我們將網絡安全文化分為三層,即網絡安全物質文化、網絡安全制度文化和網絡安全精神文化。網絡安全物質文化是網絡安全文化的外顯部分,也是最基本、最常見構成部分,它主要指包括像防火墻之類的各種網絡安全硬件設備和軟件產品,網絡安全制度文化是更深一層次的文化,包括各種維護網絡安全的法律法規和規章制度,網絡安全精神文化是網絡安全文化的核心,包括人們對網絡安全的意識、心理、理論等。在這三層中,網絡安全物質文化是物質體現,同時也是決定因素,它決定網絡安全制度文化與網絡安全精神文化,網絡安全制度文化是中間層,既由網絡安全物質文化決定,也受網絡安全精神文化的影響,同時也反作用于網絡安全物質文化和網絡安全精神文化,網絡安全精神文化是核心,是網絡安全文化的本質,由網絡安全物質文化和網絡安全制度文化決定,同時內在于前二者,反作用于前二者,三者相互影響,相互促進。
3 網絡安全文化的作用機制
3.1 網絡安全文化的作用方式
1) 網絡安全文化影響人們的網絡安全觀念,安全觀念即人們對網絡安全的認識與評判準則,這個認識可以用幾個問題來描述:網絡應不應該安全;什么是網絡安全;怎么評價網絡安全;如何保證網絡安全。這些問題都會影響到網絡的安全,作為一種價值觀,它可以直接影響到人的行為及其它方面。2) 網絡安全文化影響網絡安全相關法律法規的制定,法律法規是統治階級意志的表現,而這種意志毫無疑問是受價值觀影響的,安全法律法規一旦頒行后就成為強制性的手段規范人們的網絡安全行為。3) 網絡安全文化影響網絡倫理的形成,網絡倫理包括道德意識、道德關系、道德活動三個層次,與法律法規不同,網絡倫理道德是人們在網絡活動中慢慢形成的共同的價值觀與行為準則,它雖然不像法律那樣有強制性,但它能在不知不覺中制約人們的網絡行為,起到一種軟制約的作用,這種作用有時甚至比法律更有力。4) 網絡安全文化影響技術的發展,技術總是為生產力發展服務,而生產力又受到生產關系的制約,當人們越來越注意到網絡安全的時候,那些更能滿足安全需要的技術總能得到較快的發展,像各種安全理論和防火墻之類的安全設備正變得越來越科學與可靠,從而使網絡更安全。5) 網絡安全文影響組織結構與權力分配,在網絡發展初期,人們更看重的是速度與共享,人們自愿地接入網絡而較少考慮安全方面的問題,那時的發展行成了今天網絡的雛形,隨著網絡的發展及安全事故的增加,安全問題越來越受到人們的重視,安全考慮也越來越融入到網絡建設中去,從而各種各樣的網絡安全管理組織應運而生,雖然在互聯網中每個人都是平等的,但也總存在著一些特權組織與用戶,他們擁有一般用戶所沒有的超級權限以便能夠對網絡安全進行管理與監控。
3.2 網絡安全文化的作用過程
網絡是計算機技術與通信技術的結合,它從一開始就是為人們通信服務,它的根本任務始終是信息共享與交流,它的主體是人,客體是信息。網絡安全文化則產生于人的網絡信息活動并影響人的網絡信息活動,它的影響過程是全過程的,即從信息的收集、加工、存儲,到傳輸的整個過程。
1) 網絡安全文化對信息選取、收集的影響。網絡安全文化通過前述各種方式對網絡主體的信息收集行為的影響可以從以下幾個問題來闡述:應該從哪些地方收集信息,原創還是下載;應該怎樣收集信息,用合法手段還是非法手段;應該收集什么樣的信息,有益信息還是有害信息,或者非法信息;為什么要收集信息,合法目的還是非法目的。網絡安全文化就是通過回答這些問題而在行為主體心中形成一定的價值取向從而制約他們的安全行為。2) 網絡安全文化對信息加工、存儲的影響。網絡安全文化對信息加工與存儲的影響可以通過以下幾個問題闡述:為什么要加工信息,合法目的還是非法目的;加工什么樣的信息,有益的還是有害的,或者是非法的;怎樣加工、存儲信息,安全可靠,還是不安全可靠。3) 網絡安全文化對信息、傳輸的影響。網絡安全文化對信息、傳輸的影響可以從以下幾下問題來闡述:應該什么樣的信息,有益的信息還是無用信息,抑或非法信息,應該怎樣信息,通過安全合理的渠道還是相反;如何保證信息傳輸的安全性,用技術手段還是管理手段抑或二者兼有。
4 網絡安全文化建設的意義和作用
網絡安全文化存在于人的心里,是引導和規范人的網絡行為的“心鏡”。人們通過將自己的行為與之相比較,來判斷自己的行為是否應該發生。它和行為主體的動機、情緒、態度等要素一起作用于主體,在很大程度上影響著主體的行為,并使得網絡更加安全和諧,因此培育優秀、先進的網絡安全文化具有重大的現實意義和作用。
1) 能減少網絡安全事故的發生,提高網絡的安全系數并減少由網絡安全事故帶來的經濟損失。
2) 它能增強網絡的安全性和提高網絡的運行效率,網絡安全文化通過影響人的行為來保證網絡的安全高效運行。
3) 它能營造和諧的網絡環境,在網絡中,沒有種族、地域、財富的限制,人人平等,人們可以自由地交流,可以充分地展示自己。
4) 能促進計算機網絡技術的發展,先進的網絡安全文化總是促使人們去自覺發掘網絡中的不安全因素并解決它們,不斷地改進網絡性能,使網絡更加安全,促進計算機網絡技術的發展。
5) 它促進了人類文化的發展,豐富了文化的內涵,推動了人類社會的進步,它能促使人類文化的交融,使優秀的文化得以發揚,使落后的文化得以摒棄。
5 結束語
綜上所述,網絡安全文化是安全文化在網絡時代的發展,是網絡文化的一個重要組成部分,它產生于人們的網絡安全活動,又反過來影響和制約人們的網絡安全活動,它對解決目前日益緊迫的網絡安全問題有著重大的意義,培養積極、健康的網絡安全文化是我們目前面臨的一個重要且緊迫的任務。
參考文獻:
篇7
0 前言
網絡安全正逐漸成為一個國際化的問題,每年全球因計算機網絡的安全系統被破壞而造成的經濟損失達數千億美元。網絡安全是一個系統的概念,有效的安全策略或方案的制定,是網絡信息安全的首要目標。安全風險評估是建立網絡防護系統,實施風險管理程序所開展的一項基礎性工作。
然而,現有的評估方法在科學性、合理性方面存在一定欠缺。例如:評審法要求嚴格按照BS7799標準,缺乏實際可操作性;漏洞分析法只是單純通過簡單的漏洞掃描或滲透測試等方式對安全資產進行評估;層次分析法主要以專家的知識經驗和統計工具為基礎進行定性評估。針對現有網絡安全評估方法中出現的這些問題,本文擬引用一種定性與定量相結合,綜合化程度較高的評標方法――模糊綜合評價法。
模糊綜合評價法可根據多因素對事物進行評價,是一種運用模糊數學原理分析和評價具有“模糊性”的事物的系統分析方法,它是一種以模糊推理為主的定性與定量相結合、非精確與精確相統一的分析評價方法。該方法利用模糊隸屬度理論把定性指標合理的定量化,很好的解決了現有網絡安全風險評估方法中存在的評估指標單一、評估過程不合理的問題。
1 關于風險評估的幾個重要概念
按照ITSEC的定義對本文涉及的重要概念加以解釋:
風險(Risk):威脅主體利用資產的漏洞對其造成損失或破壞的可能性。
威脅(Threat):導致對系統或組織有害的,未預料的事件發生的可能性。
漏洞(Vulnerabmty):指的是可以被威脅利用的系統缺陷,能夠增加系統被攻擊的可能性。
資產(Asset):資產是屬于某個組織的有價值的信息或者資源,本文指的是與評估對象信息處理有關的信息和信息載體。
2 網絡安全風險評估模型
2.1 網絡安全風險評估中的評估要素
從風險評估的角度看,信息資產的脆弱性和威脅的嚴重性相結合,可以獲得威脅產生時實際造成損害的成功率,將此成功率和威脅的暴露率相結合便可以得出安全風險的可能性。
可見,信息資產價值、安全威脅和安全漏洞是風險評估時必須評估的三個要素。從風險管理的角度看,這三者也構成了邏輯上不可分割的有機整體:①信息資產的影響價值表明了保護對象的重要性和必要性。完整的安全策略體系中應當包含一個可接受風險的概念;②根據IS0-13335的定義,安全威脅是有能力造成安全事件并可能造成系統、組織和資產損害的環境因素。可以通過降低威脅的方法來降低安全風險,從而達到降低安全風險的目的;③根據IS0-13335的觀點,漏洞是和資產相聯系的。漏洞可能為威脅所利用,從而導致對信息系統或者業務對象的損害。同樣,也可以通過彌補安全漏洞的方法來降低安全風險。
從以上分析可以看出,安全風險是指資產外部的威脅因素利用資產本身的固有漏洞對資產的價值造成的損害,因此風險評估過程就是資產價值、資產固有漏洞以及威脅的確定過程。
即風險R=f(z,t,v)。其中:z為資產的價值,v為網絡的脆弱性等級,t為對網絡的威脅評估等級。
2.2 資產評估
資產評估是風險評估過程的重要因素,主要是針對與企業運作有關的安全資產。通過對這些資產的評估,根據組織的安全需求,篩選出重要的資產,即可能會威脅到企業運作的資產。資產評估一方面是資產的價值評估,針對有形資產;另一方面是資產的重要性評估,主要是從資產的安全屬性分析資產對企業運作的影響。資產評估能提供:①企業內部重要資產信息的管理;②重要資產的價值評估;③資產對企業運作的重要性評估;④確定漏洞掃描器的分布。
2.3 威脅評估
安全威脅是可以導致安全事故和信息資產損失的活動。安全威脅的獲取手段主要有:IDS取樣、模擬入侵測試、顧問訪談、人工評估、策略及文檔分析和安全審計。通過以上的威脅評估手段,一方面可以了解組織信息安全的環境,另一方面同時對安全威脅進行半定量賦值,分別表示強度不同的安全威脅。
威脅評估大致來說包括:①確定相對重要的財產,以及其價值等安全要求;②明確每種類型資產的薄弱環節,確定可能存在的威脅類型;③分析利用這些薄弱環節進行某種威脅的可能性;④對每種可能存在的威脅具體分析造成損壞的能力;⑤估計每種攻擊的代價;⑥估算出可能的應付措施的費用。
2.4 脆弱性評估
安全漏洞是信息資產自身的一種缺陷。漏洞評估包括漏洞信息收集、安全事件信息收集、漏洞掃描、漏洞結果評估等。
通過對資產所提供的服務進行漏洞掃描得到的結果,我們可以分析出此設備提供的所有服務的風險狀況,進而得出不同服務的風險值。然后根據不同服務在資產中的權重,結合該服務的風險級別,可以最后得到資產的漏洞風險值。
3 評估方法
3.1傳統的評估方法
關于安全風險評估的最直接的評估模型就是,以一個簡單的類數學模型來計算風險。即:風險=威脅+脆弱+資產影響
但是,邏輯與計算需要乘積而不是和的數學模型。即:風險=威脅x脆弱x資產影響
3.2 模糊數學評估方法
然而,為了計算風險,必須計量各單獨組成要素(威脅、脆弱和影響)。現有的評估方法常用一個簡單的數字指標作為分界線,界限兩邊截然分為兩個級別。同時,因為風險要素的賦值是離散的,而非連續的,所以對于風險要素的確定和評估本身也有很大的主觀性和不精確性,因此運用以上評估算法,最后得到的風險值有很大的偏差。用模糊數學方法對網絡安全的風險評估進行研究和分析,能較好地解決評估的模糊性,也在一定程度上解決了從定性到定量的難題。在風險評估中,出現誤差是很普遍的現象。風險評估誤差的存在,增加了評估工作的復雜性,如何把握和處理評估誤差,是評估工作的難點之一。
在本評估模型中,借鑒了模糊數學概念和方法中比較重要的部分。這樣做是為了既能比較簡單地得到一個直觀的用戶易接受的評估結果,又能充分考慮到影響評估的各因素的精度及其他一些因素,盡量消除因為評估的主觀性和離散數據所帶來的偏差。
(1)確定隸屬函數。
在模糊理論中,運用隸屬度來刻畫客觀事物中大量的模糊界限,而隸屬度可用隸屬函數來表達。如在根據下面的表格確定風險等級時,當U值等于49時為低風險,等于51時就成了中等風險。
此時如運用模糊概念,用隸屬度來刻畫這條分界線就好得多。比如,當U值等于50時,隸屬低風險的程度為60%,隸屬中等風險的程度為40%。
為了確定模糊運算,需要為每一個評估因子確定一種隸屬函數。如對于資產因子,考慮到由于資產級別定義時的離散性和不精確性,致使資產重要級別較高的資產(如4級資產)也有隸屬于中級級別資產(如3級資產)的可能性,可定義如下的資產隸屬函數體現這一因素:當資產級別為3時,資產隸屬于二級風險級別的程度為10%,隸屬于三級風險級別的程度為80%,屬于四級風險級別的程度為10%。
威脅因子和漏洞因子的隸屬度函數同樣也完全可以根據評估對象和具體情況進行定義。
(2)建立關系模糊矩陣。
對各單項指標(評估因子)分別進行評價。可取U為各單項指標的集合,則U=(資產,漏洞,威脅);取V為風險級別的集合,針對我們的評估系統,則V=(低,較低,中,較高,高)。對U上的每個單項指標進行評價,通過各自的隸屬函數分別求出各單項指標對于V上五個風險級別的隸屬度。例如,漏洞因子有一組實測值,就可以分別求出屬于各個風險級別的隸屬度,得出一組五個數。同樣資產,威脅因子也可以得出一組數,組成一個5×3模糊矩陣,記為關系模糊矩陣R。
(3)權重模糊矩陣。
一般來說,風險級別比較高的因子對于綜合風險的影響也是最大的。換句話說,高的綜合風險往往來自于那些高風險級別的因子。因此各單項指標中那些風險級別比較高的應該得到更大的重視,即權重也應該較大。設每個單項指標的權重值為β1。得到一個模糊矩陣,記為權重模糊矩陣B,則B=(β1,β2,β3)。
(4)模糊綜合評價算法。
進行單項評價并配以權重后,可以得到兩個模糊矩陣,即權重模糊矩陣B和關系模糊矩陣R。則模糊綜合評價模型為:Y=B x R。其中Y為模糊綜合評估結果。Y應該為一個1x 5的矩陣:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的綜合評估結果隸屬于第i個風險級別的程度。這樣,最后將得到一個模糊評估形式的結果,當然也可以對這個結果進行量化。比如我們可以定義N=1×y1十2×y2十3×y3×y4十5×y5作為一個最終的數值結果。
4 網絡安全風險評估示例
以下用實例說明基于模糊數學的風險評估模型在網絡安全風險評估中的應用。
在評估模型中,我們首先要進行資產、威脅和漏洞的評估。假設對同樣的某項資產,我們進行了資產評估、威脅評估和漏洞評估,得到的風險級別分別為:4、2、2。
那么根據隸屬函數的定義,各個因子隸屬于各個風險級別的隸屬度為:
如果要進行量化,那么最后的評估風險值為:PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。因此此時該資產的安全風險值為2.8。
參考文獻
[1]郭仲偉.風險分析與決策[M].北京:機械工業出版社,1987.
[2]韓立巖,汪培莊.應用模糊數學[M].北京:首都經濟貿易大學出版社,1998.
篇8
對于大多數用戶來說,在Web威脅日益增多的今天,與其自行進行高價低效的網絡安全建設,不如借助值得信賴的權威安全專家替你把好網絡安全關。
三大服務產品
5月22日,趨勢科技“安全可信賴、服務看得見”網絡安全專家服務巡展在北京正式啟動,這是趨勢科技自年初高調宣布服務轉型之后推出的最重量級產品。啟動儀式上,趨勢科技中國區總經理葉偉倫向外界正式了趨勢科技TMES產品―安全專家服務。
此次趨勢科技最新的安全專家服務TMES包括了三個層次的內容。其中,Sky Net是基礎的監控服務,此外還有TMES Premium(高端級)、TMES Standard(標準級)專家服務。
葉偉倫說,Sky Net基礎監控服務是整個專家服務體系的基礎,通過監控平臺對防病毒軟件的運行數據做分析,管理員和監控中心就可以明了目前的防毒狀況,及時修補安全漏洞,避免陷入被動的局面。
他表示,TMES Standard是針對大多數用戶而設計的,提供不間斷的遠程及現場服務,快速病毒響應及處理。同時提供7X24專家在線值守(電話,郵件支持)、緊急上門問題處理 以及日常的報表服務。
最高級別的服務當屬TMESPremium。
這個級別的服務特點是量身定制防病毒體系,提供全面綜合的VIP安全防護服務,主要適用于高端企業用戶和網絡環境復雜的行業用戶。比如專署的TAM服務,由指定的防毒專家全程跟蹤企業,并作為趨勢和用戶之間的接口,合理調動全部的趨勢資源來為用戶服務,包括防毒專家巡檢、主動病毒預警等。
解決方案針對病毒威脅的演化和Web威脅的節節高升,提出了完整的安全管理周期,從最前期的監控預警直至后期的損害修復,提供全程專家服務,提供最快速有效的專家技術響應。中信銀行應用TMES完善了內部安全管理流程,有效提高了工作效率和員工滿意度。
針對目前互聯網愈演愈烈的web威脅,趨勢科技公司全球副總裁暨亞太地區總經理劉家雍指出目前單純的軟硬件防毒已經不足抵擋Web威脅,用戶對于網絡安全的需求也在發生著改變,對于個性化定制安全策略、有針對性的解決安全問題、快速的響應威脅應急處理的需求在不斷提升,趨勢科技安全專家服務的推出將大大為企業用戶解決這個新的安全威脅。
“人”的因素最重要
只要與企業網絡建設有關的行為和行為的結果,能夠通過專業的網絡安全服務變得可以預知與可控,那么這個網絡就是安全可信的。這就需要有專家在這個過程中為企業提供的一系列的專業服務指導,從根本上改變企業只能被動等待病毒出現,才能進行的被動式網絡安全工作現狀,對各類網絡安全威脅都能達到主動防護。
在葉偉倫看來,TMES策略對政府用戶來說也是非常有價值的,他所提供的專家值守服務,能夠有效的解決政府信息部門人手不足的難題。將安全服務外包,只實施內部監控或許是一個不錯的選擇。
篇9
中圖分類號:TP393.08
網絡安全形勢日益嚴峻,網絡安全威脅給網絡安全帶來了巨大的潛在風險。2011年7月,中國互聯網絡信息中心了《第28次中國互聯網絡發展狀況統計報告》,該報告調查的數據顯示,2011年上半年,我國遇到過病毒或木馬攻擊的網民達到2.17億,比例為44.7%[1]。2012年9月,賽門鐵克了《2012年諾頓網絡犯罪報告》[2],據該報告估計,在過去的一年中,全球遭受過網絡犯罪侵害的成人多達5.56億,導致直接經濟損失高達1100億美元。計算機網絡安全環境變幻無常,網絡安全威脅帶來的網絡安全風險更是千變萬化,依靠傳統的特征檢測、定性評估等技術難以滿足網絡安全風險檢測的有效性和準確性要求。
鑒于上述網絡安全形勢,如何對網絡安全風險進行有效地檢測已成為網絡安全業界討論的焦點和網絡安全學術界研究的熱點,大量研究人員正對該問題開展研究。馮登國等研究人員[3]對信息安全風險評估的研究進展進行了研究,其研究成果對信息安全風險評估的國內外現狀、評估體系模型、評估標準、評估方法、評估過程及國內外測評體系進行了分析及探討。李濤等研究人員[4]提出了一種網絡安全風險檢測模型,該研究成果解決了網絡安全風險檢測的實時定量計算問題。韋勇等研究人員[5]提出了基于信息融合的網絡安全態勢評估模型,高會生等研究人員[6]提出了基于D-S證據理論的網絡安全風險評估模型。
1 系統理論基礎
在網絡安全風險檢測的具體實現中,需要一種具有可操作性的工程技術方法,而將人工免疫系統[7]引入到網絡安全風險檢測技術中便是一條切實可行的方法。人工免疫系統借鑒生物免疫系統的仿生學原理,已成功地應用到解決信息安全問題中[8],它具有分布式并行處理、自適應、自學習、自組織、魯棒性和多樣性等優良特性,其在解決網絡安全領域的難點問題上取得了令人矚目的成績[9]。
為了對網絡安全風險進行有效的檢測,本文借鑒人工免疫系統中免疫細胞識別有害抗原的機理,設計了一種基于人工免疫系統的多結點網絡安全風險檢測系統,對網絡攻擊進行分布式地檢測,并對網絡安全風險進行綜合評測。本系統的實現,將為建立大型計算機網絡環境下網絡安全風險檢測系統提供一種有效的方法。
2 系統設計
2.1 系統架構
本系統架構如圖1所示,它由主機安全風險檢測子系統和網絡安全風險檢測子系統組成。主機安全風險檢測子系統部署在網絡主機中,它捕獲網絡數據包,將網絡數據包轉換為免疫格式的待檢測數據,并根據人工免疫原理動態演化和生成網絡攻擊檢測特征,同時,將攻擊檢測器與待檢測數據進行匹配,并累計攻擊檢測器檢測到網絡攻擊的次數,最后以此為基礎數據計算主機的安全風險。網絡安全風險檢測子系統部署在單獨的服務器中,它獲取各主機安全風險檢測子系統中的主機安全風險,并綜合網絡攻擊的危險性和網絡資產的價值,計算網絡安全風險。
圖1 系統架構
本系統采用分布式機制將主機安全風險檢測子系統部署在多個網絡主機結點中,各個主機安全風險檢測子系統獨立運行,并與網絡安全風險檢測子系統進行通信,獲取網絡安全風險檢測子系統的網絡攻擊危險值和網絡資產價值,用以計算當前主機結點的安全風險。
2.2 主機安全風險檢測子系統
主機安全風險檢測子系統由數據捕獲模塊、數據轉換模塊、特征生成模塊、攻擊檢測模塊和主機安全風險檢測模塊構成,其設計方法和運行原理如下。
2.2.1 數據捕獲模塊
本模塊將網卡工作模式設置為混雜模式,然后捕獲通過本網卡的網絡數據包,采用的數據捕獲方法不影響網絡的正常運行,只是收集當前主機結點發出和收到的網絡數據。由于收到的網絡數據量比較多,本模塊只保留網絡數據包的包頭信息,并以隊列的形式保存在內存中,這些數據交由數據轉換模塊進行處理,一旦數據轉換模塊處理完畢,就清除掉這些隊列數據,以保證本系統的高效運行。
2.2.2 數據轉換模塊
本模塊從數據捕獲模塊構建的網絡包頭隊列中獲取包頭信息,并從這些包頭信息中提取出源/目的IP地址、端口號、數據包大小等關鍵信息,構建網絡數據特征。為了采用人工免疫系統原理檢測網絡數據是否為網絡攻擊,將網絡數據特征轉換為免疫數據格式,具體轉換方法為將網絡包頭關鍵信息轉換為二進制字符串,并將其格式化為固定長度的字符串,最后將其形成免疫網絡數據隊列。
2.2.3 特征生成模塊
本模塊負責演化和生成檢測網絡攻擊的免疫檢測特征。在系統初始化階段,本模塊隨機生成免疫檢測特征,以增加免疫檢測特征的多樣性,從而發現更多的網絡攻擊。免疫檢測特征與免疫網絡數據隊列中的數據進行匹配,采用人工免疫機理,對發現異常的免疫檢測特征進行優化升級,達到生成能實際應用到檢測網絡攻擊的免疫檢測特征,本文將這些有效的免疫檢測特征稱為攻擊檢測器。
2.2.4 攻擊檢測模塊
本模塊采用特征生成模塊生成的攻擊檢測器,檢測免疫網絡數據是否為網絡攻擊。采用優化的遍歷算法,從免疫網絡數據隊列摘取所有的免疫網絡數據,并利用所有的攻擊檢測器與其進行比較,一旦攻擊檢測器與免疫網絡數據匹配,則判定該免疫網絡數據對應的網絡數據包為網絡攻擊,同時累加攻擊檢測器檢測到網絡攻擊的次數。
2.2.5 主機安全風險檢測模塊
本模塊計算當前主機因遭受到網絡攻擊而面臨的安全風險,它遍歷所有的攻擊檢測器,如果攻擊檢測器檢測到網絡攻擊的次數大于0,則從網絡安全風險檢測子系統中下載當前網絡攻擊的危險值和該主機的資產價值,將這三個數值進行相乘,形成當前網絡攻擊造成的安全風險值,最后計算所有網絡攻擊造成的安全風險值之和,形成當前主機造成的安全風險。
2.3 網絡安全風險檢測子系統
網絡安全風險檢測子系統由主機安全風險獲取模塊、網絡安全風險檢測模塊、網絡攻擊危險值數據庫和網絡資產價值數據庫構成,其設計方法和運行原理如下。
2.3.1 主機安全風險獲取模塊
為了檢測網絡面臨的整體安全風險,需要以所有的主機安全風險作為支撐,本模塊與所有主機結點中的主機安全風險檢測子系統進行通信,獲取這些主機面臨的安全風險值,并將其保存在主機安全風險隊列中,為下一步的網絡安全風險檢測做好基礎數據準備。
2.3.2 網絡安全風險檢測模塊
本模塊遍歷主機安全風險隊列,并從該隊列中摘取所有的主機安全風險值。同時,從網絡資產價值數據庫中讀取所有主機的資產價值,然后計算所有主機結點在所有網絡資產中的資產權重,并將該權重與對應的主機安全風險值相乘,得到主機安全風險對整體網絡安全風險的影響值,最后累加這些影響值作為整體網絡面臨的安全風險值。
3 結束語
本文設計了一種基于人工免疫原理的多結點網絡安全風險檢測系統,該系統采用分布式機制,在多個主機結點中部署主機安全風險檢測子系統,并采用免疫細胞識別有害抗原的機制,動態生成能識別網絡攻擊的攻擊檢測器,針對網絡攻擊的實際檢測情況計算主機面臨的安全風險,并對所有結點的安全風險進行綜合,以判定整體網絡面臨的安全風險,該系統的設計方法為網絡安全風險檢測提供了一種有效的途徑。
參考文獻:
[1]中國互聯網絡信息中心.第28次中國互聯網絡發展狀況統計報告 [DB/OL].http:///dtygg/dtgg/201107/W020110719521725234632.pdf.
[2]Symantec.2012 NORTON CYBERCRIME REPORT[DB/OL].http:///now/en/pu/images/Promotions/2012/cybercrimeReport/2012_Norton_Cybercrime_Report_Master_FINAL_050912.pdf.
[3]馮登國,張陽,張玉清.信息安全風險評估綜述[J].通信學報,2004(07):10-18.
[4]李濤.基于免疫的網絡安全風險檢測[J].中國科學E輯(信息科學),2005(08):798-816.
[5]韋勇,連一峰,馮登國.基于信息融合的網絡安全態勢評估模型[J].計算機研究與發展,2009(03):353-362.
[6]高會生,朱靜.基于D-S證據理論的網絡安全風險評估模型[J].計算機工程與應用,2008(06):157-159.
[7]莫宏偉,左興權.人工免疫系統[M].北京:科學出版社,2009.
[8]李濤.計算機免疫學[M].北京:電子工業出版社,2004.
篇10
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)22-0024-02
當前,計算機技術和網絡技術正逐漸深入到社會生活的方方面面,世界各國之間通過網絡交流來加強相互聯系,人們對于信息網絡的依賴也正逐步加深。它在給人類社會發展帶來機遇的同時,也帶來了“黑客”、“病毒”等嚴峻的考驗。由于人們的網絡安全意識淡薄,一些不法分子利用網絡漏洞,對國家財產、信息以及居民個人信息進行非法竊取,嚴重影響到社會的健康發展和長治久安。網絡中存在的風險應當引起人們足夠的重視,使我們了解風險并規避風險,以恰當的方式將風險轉化為有利因素。做好防護措施,不斷加強網絡自身安全才是計算機網絡安全的關鍵[1]。
1 網絡防火墻及其分類
1.1 網絡防火墻
計算機網絡防火墻是一種能有效攔截不安全信息的防護網。它減少了不安全因素的入侵攻擊,加強了兩個網絡之間的訪問控制連接以及對網絡內部與外部的防范。它是安裝在網絡內部和外部的連接點上的,外部網絡在進行信息傳遞時,需要通過防火墻的檢測,在確定所傳遞信息沒有問題時,防火墻才會將安全的信息傳遞給內部網絡共享。網絡防火墻主要的組成部分有:限制器、分離器以及分析器等[2]。
1.2 網絡防火墻特性及分類
防火墻在網絡信息傳輸過程中起著屏障保護作用,它將安全防范集中于外部網絡和內部網卡的連接阻塞點上。網絡防火墻具有阻塞信息傳遞的功能,網絡上進出的信息必須通過防火墻這一關鍵傳輸節點,對不合乎規范的信息將進行阻攔。大量信息的交流與傳遞給人們的生產、生活帶來諸多便利的同時,一些人在利益的驅使下,為達到某種目的,對計算機網絡發起惡意侵犯,為網絡安全帶來破壞。從其側重點和防范方式上來講,通常可將網絡防火墻分為兩種類型:包過濾防火墻和服務器。
包過濾防火墻是指對網絡層中的數據進行篩選,使之有選擇性地通過[3]。服務器通常被稱為應用級防火墻,與包過濾防火墻不同,服務器型防火墻是利用服務器的主機將內部網絡與外部網絡分開,內部發出的數據包在通過服務器防火墻的處理后,可以有效地隱藏內部網絡結構[4]。
2 網絡安全與防火墻技術應用分析
2.1 防火墻技術應用的必要性分析
網絡系統的控制會受到各方面的攻擊,其系統在一些情況下是比較脆弱的。在windows系統中默認開放了較多不必要的服務和端口,在資源共享方面沒有進行合理的配置及審核。管理員在通過安全部署并嚴格執行ntfs權限分配后,加強控制系統的映射和共享資源的訪問。在完成這些操作后依然不能說Windows是足夠安全的,它在一定程度上也會受到網絡攻擊,其服務系統在安全性、可用性以及功能性等方面無法進行權衡。防火墻技術的應用對整個網絡安全起到了保障作用,有利于網絡的發展和壯大。在對網絡中所有主機進行維護時,維護問題將不斷復雜升級化,因此啟用安全防火墻顯得尤為必要。
2.2 防火墻技術在網絡安全中的應用分析
計算機網絡中出現的安全問題,促進了防火墻在計算機網絡安全中的應用。為了有效保護網絡安全,體現出防火墻技術的實用性及安全性,可以充分利用從以下幾種方式。
2.2.1 訪問策略中的防火墻技術應用
訪問策略是防護墻技術的應用核心,在計算機網絡安全中占據著主體地位。訪問策略的應用實施主要是以配置為主,在詳細規劃安排的基礎上對整個計算機網絡信息運行過程,形成科學的防護系統。防火墻技術針對計算機網絡的運行實際,制定有效的規劃訪問策略,以此來營造安全的網絡環境。
2.2.2 日志監控中的防火墻技術應用
部分用戶在使用計算機網絡的過程中,善于分析防火墻技術的保護日志,并從中獲取相應有價值的信息。日志監控是計算機網絡的一個重要保護方式,是防火墻技術中的重要保護對象。用戶在對防火墻日志進行分析時,重點把握關鍵信息。用戶在使用防火墻技術對網絡安全進行保護所生成的日志時,僅需要對其中某一類別的信息進行全面采集,防止因數據量過大以及類別劃分等原因造成采集難度增加。有效的信息采集方式能在一定程度上降低惡意屏蔽風險,發揮日志監控的有效作用。用戶在防火墻信息中實時記錄報警信息,在日志監控作用下,防火墻技術保護網絡安全的能力得到了進一步的提升,在優化網絡資源配置的同時,也提高了防火墻技術的篩選能力。
2.2.3 安全配置中的防火墻技術應用
安全配置是防火墻技術應用的重點內容。在安全配置中,可以將網絡安全按照不同的性質劃分為多個不同的模塊,對于需要進行安全防護的模塊進行重點保護。防火墻技術的隔離區屬于單獨的局域網,它是計算機內部網絡的組成部分,對保護網絡服務器內部的信息安全具有重要作用。計算機網絡防火墻對安全配置的要求是相對較高的,主要原因是其應用效率較高。安全配置在隔離區域的設置中具有明顯的特征,與其他的計算機網絡安全防護技術的不同之處在于,其主要工作方式為:網絡防火墻技術監控區域內的信息流通主要是利用地址的轉換,將內網流入到外網的IP地址轉化為公共IP地址,以此來避免外網攻擊者獲取分析IP地址,地址技術的轉化對保護內網、防治外網入侵、保護隱藏IP地址均有重要作用。
防火墻技術與網絡安全建設息息相關,防火墻要適應網絡的發展,并以新的技術和方法來解決網絡發展帶來的問題。在未來的防火墻建設中,我們需要考慮的是建設更加適應網絡信息化發展的防火墻模型,加強網絡評估方法和網絡安全防范技術的升級[5]。
3 結束語
防火墻技術對解決網絡安全起著重要的作用,它是信息化不斷發展的產物。為應對層出不窮的網絡漏洞,網絡防護墻技術也隨之不斷更新和完善。要使防火墻技術更能符合網絡安全發展的需要,研發人員要在提高安全性,加強網絡化性能等方面做好防火墻技術的研究。
參考文獻:
[1] 戴銳. 探析防火墻技術在計算機網絡安全中的應用[J]. 信息與電腦(理論版), 2011(11):45-46.
[2] 曹建文, 柴世紅. 防火墻技術在計算機網絡安全中的應用[J]. 甘肅科技縱橫, 2005(6):41-42.
