公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)安全研究范文

網(wǎng)絡(luò)安全研究精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全研究主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)安全研究

第1篇:網(wǎng)絡(luò)安全研究范文

關(guān)鍵詞網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)防火墻

1網(wǎng)絡(luò)安全及其現(xiàn)狀

1.1網(wǎng)絡(luò)安全的概念

國(guó)際標(biāo)準(zhǔn)化組織(ISO)將“計(jì)算機(jī)安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說的信息安全,是指對(duì)信息的保密性、完整性和可用性的保護(hù),而網(wǎng)絡(luò)安全性的含義是信息安全的引申,即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。

1.2網(wǎng)絡(luò)安全的現(xiàn)狀

目前歐州各國(guó)的小型企業(yè)每年因計(jì)算機(jī)病毒導(dǎo)致的經(jīng)濟(jì)損失高達(dá)220億歐元,而這些病毒主要是通過電子郵件進(jìn)行傳播的。據(jù)反病毒廠商趨勢(shì)公司稱,像Sobig、Slammer等網(wǎng)絡(luò)病毒和蠕蟲造成的網(wǎng)絡(luò)大塞車,去年就給企業(yè)造成了550億美元的損失。而包括從身份竊賊到間諜在內(nèi)的其他網(wǎng)絡(luò)危險(xiǎn)造成的損失則很難量化,網(wǎng)絡(luò)安全問題帶來的損失由此可見一斑。

2網(wǎng)絡(luò)安全的主要技術(shù)

安全是網(wǎng)絡(luò)賴以生存的保障,只有安全得到保障,網(wǎng)絡(luò)才能實(shí)現(xiàn)自身的價(jià)值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實(shí)踐的發(fā)展而發(fā)展,其涉及的技術(shù)面非常廣,主要的技術(shù)如認(rèn)證、加密、防火墻及入侵檢測(cè)是網(wǎng)絡(luò)安全的重要防線。

2.1認(rèn)證

對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問,使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無權(quán)查看的信息。現(xiàn)列舉幾種如下:

2.1.1身份認(rèn)證

當(dāng)系統(tǒng)的用戶要訪問系統(tǒng)資源時(shí)要求確認(rèn)是否是合法的用戶,這就是身份認(rèn)證。常采用用戶名和口令等最簡(jiǎn)易方法進(jìn)行用戶身份的認(rèn)證識(shí)別。

2.1.2報(bào)文認(rèn)證

主要是通信雙方對(duì)通信的內(nèi)容進(jìn)行驗(yàn)證,以保證報(bào)文由確認(rèn)的發(fā)送方產(chǎn)生、報(bào)文傳到了要發(fā)給的接受方、傳送中報(bào)文沒被修改過。

2.1.3訪問授權(quán)

主要是確認(rèn)用戶對(duì)某資源的訪問權(quán)限。

2.1.4數(shù)字簽名

數(shù)字簽名是一種使用加密認(rèn)證電子信息的方法,其安全性和有用性主要取決于用戶私匙的保護(hù)和安全的哈希函數(shù)。數(shù)字簽名技術(shù)是基于加密技術(shù)的,可用對(duì)稱加密算法、非對(duì)稱加密算法或混合加密算法來實(shí)現(xiàn)。

2.2數(shù)據(jù)加密

加密就是通過一種方式使信息變得混亂,從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。

2.2.1私匙加密

私匙加密又稱對(duì)稱密匙加密,因?yàn)橛脕砑用苄畔⒌拿艹拙褪墙饷苄畔⑺褂玫拿艹?。私匙加密為信息提供了進(jìn)一步的緊密性,它不提供認(rèn)證,因?yàn)槭褂迷撁艹椎娜魏稳硕伎梢詣?chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點(diǎn)是速度很快,很容易在硬件和軟件件中實(shí)現(xiàn)。

2.2.2公匙加密

公匙加密比私匙加密出現(xiàn)得晚,私匙加密使用同一個(gè)密匙加密和解密,而公匙加密使用兩個(gè)密匙,一個(gè)用于加密信息,另一個(gè)用于解密信息。公匙加密系統(tǒng)的缺點(diǎn)是它們通常是計(jì)算密集的,因而比私匙加密系統(tǒng)的速度慢得多,不過若將兩者結(jié)合起來,就可以得到一個(gè)更復(fù)雜的系統(tǒng)。

2.3防火墻技術(shù)

防火墻是網(wǎng)絡(luò)訪問控制設(shè)備,用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù),它不同于只會(huì)確定網(wǎng)絡(luò)信息傳輸方向的簡(jiǎn)單路由器,而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點(diǎn)時(shí)對(duì)其實(shí)施一整套訪問策略的一個(gè)或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護(hù)自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?,其中最流行的技術(shù)有靜態(tài)分組過濾、動(dòng)態(tài)分組過濾、狀態(tài)過濾和服務(wù)器技術(shù),它們的安全級(jí)別依次升高,但具體實(shí)踐中既要考慮體系的性價(jià)比,又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外,現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測(cè)技術(shù)。

防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內(nèi)外提供一致的安全策略;而且防火墻只實(shí)現(xiàn)了粗粒度的訪問控制,也不能與企業(yè)內(nèi)部使用的其他安全機(jī)制(如訪問控制)集成使用;另外,防火墻難于管理和配置,由多個(gè)系統(tǒng)(路由器、過濾器、服務(wù)器、網(wǎng)關(guān)、保壘主機(jī))組成的防火墻,管理上難免有所疏忽。

2.4入侵檢測(cè)系統(tǒng)

入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn),是一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時(shí)代的發(fā)展,入侵檢測(cè)技術(shù)將朝著三個(gè)方向發(fā)展:分布式入侵檢測(cè)、智能化入侵檢測(cè)和全面的安全防御方案。

入侵檢測(cè)系統(tǒng)(InstusionDetectionSystem,簡(jiǎn)稱IDS)是進(jìn)行入侵檢測(cè)的軟件與硬件的組合,其主要功能是檢測(cè),除此之外還有檢測(cè)部分阻止不了的入侵;檢測(cè)入侵的前兆,從而加以處理,如阻止、封閉等;入侵事件的歸檔,從而提供法律依據(jù);網(wǎng)絡(luò)遭受威脅程度的評(píng)估和入侵事件的恢復(fù)等功能。

2.5虛擬專用網(wǎng)(VPN)技術(shù)

VPN是目前解決信息安全問題的一個(gè)最新、最成功的技術(shù)課題之一,所謂虛擬專用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò),使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機(jī)制,這兩種機(jī)制為路由過濾技術(shù)和隧道技術(shù)。目前VPN主要采用了如下四項(xiàng)技術(shù)來保障安全:隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密匙管理技術(shù)(KeyManagement)和使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機(jī)制應(yīng)能技術(shù)不同層次的安全服務(wù),這些安全服務(wù)包括不同強(qiáng)度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號(hào)VPN;按隧道協(xié)議可分為第二層和第三層的;按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。

2.6其他網(wǎng)絡(luò)安全技術(shù)

(1)智能卡技術(shù),智能卡技術(shù)和加密技術(shù)相近,其實(shí)智能卡就是密匙的一種媒體,由授權(quán)用戶持有并由該用戶賦與它一個(gè)口令或密碼字,該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊(cè)的密碼一致。智能卡技術(shù)一般與身份驗(yàn)證聯(lián)合使用。

(2)安全脆弱性掃描技術(shù),它為能針對(duì)網(wǎng)絡(luò)分析系統(tǒng)當(dāng)前的設(shè)置和防御手段,指出系統(tǒng)存在或潛在的安全漏洞,以改進(jìn)系統(tǒng)對(duì)網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)。

(3)網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)、備份及容災(zāi)規(guī)劃,它是當(dāng)系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復(fù)數(shù)據(jù),使整個(gè)系統(tǒng)在最短的時(shí)間內(nèi)重新投入正常運(yùn)行的一種安全技術(shù)方案。

其他網(wǎng)絡(luò)安全技術(shù)還有我們較熟悉的各種網(wǎng)絡(luò)防殺病毒技術(shù)等等。

3網(wǎng)絡(luò)安全問題的由來

網(wǎng)絡(luò)設(shè)計(jì)之初僅考慮到信息交流的便利和開放,而對(duì)于保障信息安全方面的規(guī)劃則非常有限,這樣,伴隨計(jì)算機(jī)與通信技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)攻擊與防御技術(shù)循環(huán)遞升,原來網(wǎng)絡(luò)固有優(yōu)越性的開放性和互聯(lián)性變成信息的安全患之便利橋梁。網(wǎng)絡(luò)安全已變成越來越棘手的問題,只要是接入到因特網(wǎng)中的主機(jī)都有可能被攻擊或入侵了,而遭受安全問題的困擾。

目前所運(yùn)用的TCP/IP協(xié)議在設(shè)計(jì)時(shí),對(duì)安全問題的忽視造成網(wǎng)絡(luò)自身的一些特點(diǎn),而所有的應(yīng)用安全協(xié)議都架設(shè)在TCP/IP之上,TCP/IP協(xié)議本身的安全問題,極大地影響了上層應(yīng)用的安全。網(wǎng)絡(luò)的普及和應(yīng)用還是近10年的事,而操作系統(tǒng)的產(chǎn)生和應(yīng)用要遠(yuǎn)早于此,故而操作系統(tǒng)、軟件系統(tǒng)的不完善性也造成安全漏洞;在安全體系結(jié)構(gòu)的設(shè)計(jì)和實(shí)現(xiàn)方面,即使再完美的體系結(jié)構(gòu),也可能一個(gè)小小的編程缺陷,帶來巨大的安全隱患;而且,安全體系中的各種構(gòu)件間缺乏緊密的通信和合作,容易導(dǎo)致整個(gè)系統(tǒng)被各個(gè)擊破。

4網(wǎng)絡(luò)安全問題對(duì)策的思考

網(wǎng)絡(luò)安全建設(shè)是一個(gè)系統(tǒng)工程、是一個(gè)社會(huì)工程,網(wǎng)絡(luò)安全問題的對(duì)策可從下面4個(gè)方面著手。

網(wǎng)絡(luò)安全的保障從技術(shù)角度看。首先,要樹立正確的思想準(zhǔn)備。網(wǎng)絡(luò)安全的特性決定了這是一個(gè)不斷變化、快速更新的領(lǐng)域,況且我國(guó)在信息安全領(lǐng)域技術(shù)方面和國(guó)外發(fā)達(dá)國(guó)家還有較大的差距,這都意味著技術(shù)上的“持久戰(zhàn)”,也意味著人們對(duì)于網(wǎng)絡(luò)安全領(lǐng)域的投資是長(zhǎng)期的行為。其次,建立高素質(zhì)的人才隊(duì)伍。目前在我國(guó),網(wǎng)絡(luò)信息安全存在的突出問題是人才稀缺、人才流失,尤其是拔尖人才,同時(shí)網(wǎng)絡(luò)安全人才培養(yǎng)方面的投入還有較大缺欠。最后,在具體完成網(wǎng)絡(luò)安全保障的需求時(shí),要根據(jù)實(shí)際情況,結(jié)合各種要求(如性價(jià)比等),需要多種技術(shù)的合理綜合運(yùn)用。

網(wǎng)絡(luò)安全的保障從管理角度看??疾煲粋€(gè)內(nèi)部網(wǎng)是否安全,不僅要看其技術(shù)手段,而更重要的是看對(duì)該網(wǎng)絡(luò)所采取的綜合措施,不光看重物理的防范因素,更要看重人員的素質(zhì)等“軟”因素,這主要是重在管理,“安全源于管理,向管理要安全”。再好的技術(shù)、設(shè)備,而沒有高質(zhì)量的管理,也只是一堆廢鐵。

網(wǎng)絡(luò)安全的保障從組織體系角度看。要盡快建立完善的網(wǎng)絡(luò)安全組織體系,明確各級(jí)的責(zé)任。建立科學(xué)的認(rèn)證認(rèn)可組織管理體系、技術(shù)體系的組織體系,和認(rèn)證認(rèn)可各級(jí)結(jié)構(gòu),保證信息安全技術(shù)、信息安全工程、信息安全產(chǎn)品,信息安全管理工作的組織體系。

最后,在盡快加強(qiáng)網(wǎng)絡(luò)立法和執(zhí)法力度的同時(shí),不斷提高全民的文明道德水準(zhǔn),倡導(dǎo)健康的“網(wǎng)絡(luò)道德”,增強(qiáng)每個(gè)網(wǎng)絡(luò)用戶的安全意識(shí),只有這樣才能從根本上解決網(wǎng)絡(luò)安全問題。

參考文獻(xiàn)

1張千里,陳光英.網(wǎng)絡(luò)安全新技術(shù)[M].北京:人民郵電出版社,2003

2高永強(qiáng),郭世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京:人民郵電出版社,2003

第2篇:網(wǎng)絡(luò)安全研究范文

關(guān)鍵詞 惡意代碼 校園網(wǎng)絡(luò)安全 防范

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A

1 惡意代碼概述

1.1 惡意代碼的定義及起源

惡意代碼又可叫做Malware,現(xiàn)在對(duì)惡意代碼的定義有很多種,本人對(duì)惡意代碼的定義是:凡是阻礙計(jì)算機(jī)正常運(yùn)行或者是破壞計(jì)算機(jī)數(shù)據(jù)及硬件的指令或程序統(tǒng)稱為惡意代碼。

第一個(gè)蠕蟲惡意代碼是在1988年美國(guó)康奈爾大學(xué),釋放該惡意代碼的人叫做Robert Morris,在該惡意代碼釋放的短短幾小時(shí)內(nèi),當(dāng)時(shí)整個(gè)Internet聯(lián)網(wǎng)計(jì)算機(jī)因感染惡意代碼而癱瘓的計(jì)算機(jī)多達(dá)6000余臺(tái),占當(dāng)時(shí)整個(gè)聯(lián)網(wǎng)計(jì)算機(jī)總數(shù)10個(gè)百分點(diǎn),直接造成1000多萬美元的經(jīng)濟(jì)損失。而到二十世紀(jì)末,CIH病毒及其變種爆發(fā)后對(duì)Internet聯(lián)網(wǎng)計(jì)算機(jī)造成的危害更加嚴(yán)重,據(jù)不完全統(tǒng)計(jì),僅1999年4月爆發(fā)的CIH病毒變種就造成了超過十億美元的損失,有超過6000萬臺(tái)計(jì)算機(jī)被破壞。截至2011年上半年安天實(shí)驗(yàn)室對(duì)互聯(lián)網(wǎng)惡意代碼疫情統(tǒng)計(jì)表明,惡意代碼的數(shù)量在不斷增長(zhǎng),僅2011年上半年該實(shí)驗(yàn)室就捕獲489萬多個(gè)惡意代碼樣本,同比增長(zhǎng)了10個(gè)百分點(diǎn)。

1.2 惡意代碼的類型及特點(diǎn)

根據(jù)惡意代碼的運(yùn)行特點(diǎn),可以將惡意代碼分為獨(dú)立運(yùn)行和需要宿主的兩大類。獨(dú)立運(yùn)行的惡意代碼是指操作系統(tǒng)能夠調(diào)度和運(yùn)行的完整程序;而需要宿主的是指在脫離了特定的程序或環(huán)境下不能獨(dú)立存在的程序片斷。惡意代碼具有傳染性、隱蔽性、潛伏性、多態(tài)性和破壞性等特點(diǎn)。為擴(kuò)大感染范圍,惡意代碼通過各種辦法從已感染的計(jì)算機(jī)傳播擴(kuò)散到未感染的計(jì)算機(jī),一旦進(jìn)入未感染的計(jì)算機(jī)后,潛伏在計(jì)算機(jī)內(nèi)部,當(dāng)用戶執(zhí)行惡意代碼程序后,就會(huì)迅速搜索目標(biāo)感染繁殖,這就是惡意代碼的傳染性;另外惡意代碼由于其非法性,為了不被在感染前查殺刪除,惡意代碼經(jīng)常通過各種手段躲在合法程序中隱蔽起來,等用戶運(yùn)行后,迅速奪取系統(tǒng)控制權(quán)并大量感染其他程序,而用戶都不會(huì)感到異常,這就是惡意代碼的隱蔽性和潛伏性;惡意代碼每次感染后都試圖改變其形態(tài),惡意代碼的主體相同,但是其改變了表達(dá)方式,通過不同的字節(jié)序列來防止被掃描特征字符串查出,這就是惡意代碼的多態(tài)性;另外有些惡意代碼由于設(shè)計(jì)者的目的就是為了徹底破壞系統(tǒng)數(shù)據(jù),這些惡意代碼一旦被執(zhí)行就會(huì)毀滅系統(tǒng)數(shù)據(jù),使系統(tǒng)癱瘓,這就是惡意代碼的破壞性。

2 現(xiàn)有惡意代碼檢測(cè)方法及評(píng)價(jià)

至今為止,對(duì)于惡意代碼的檢測(cè)還沒有一個(gè)能檢測(cè)所有惡意代碼的方案,究其檢測(cè)的難易程度來說,針對(duì)應(yīng)用系統(tǒng)的惡意代碼檢測(cè)相對(duì)容易一些,而內(nèi)核級(jí)的惡意代碼檢測(cè)就困難復(fù)雜很多。目前,對(duì)惡意代碼攻擊防范的研究主要包括誤用檢測(cè)方法、權(quán)限控制方法、完整性控制方法。通過對(duì)達(dá)到計(jì)算機(jī)的代碼掃描匹配惡意代碼特征庫來檢測(cè)惡意代碼并對(duì)符合惡意代碼特征庫特征的代碼進(jìn)行阻斷,防范惡意代碼入侵稱之為誤用檢測(cè)法;因?yàn)閻阂獯a本身只是一段可執(zhí)行的代碼,只有執(zhí)行后取得系統(tǒng)權(quán)限再進(jìn)行破壞的,所以我們可以通過控制系統(tǒng)權(quán)限,讓惡意代碼的各種請(qǐng)求不被許可,使得惡意代碼喪失破壞力,這就是權(quán)限控制法;加入惡意代碼已經(jīng)感染破壞了某個(gè)文件,我們可以通過破壞該文件的完整性,來阻斷惡意代碼對(duì)整個(gè)系統(tǒng)資源的感染破壞,保護(hù)其它未被感染破壞的系統(tǒng)重要資源的完整性,這就是完整性控制方法。

3 校園網(wǎng)惡意代碼防范思考及實(shí)踐

盡管人們對(duì)惡意代碼作了大量研究并采取了各種方法措施,但問題遠(yuǎn)遠(yuǎn)沒有解決,而且新的破壞性更強(qiáng)的惡意代碼不斷出現(xiàn),校園網(wǎng)信息安全面臨這越來越大的威脅。因此,研究校園網(wǎng)絡(luò)如何應(yīng)對(duì)惡意代碼攻擊具有重要的現(xiàn)實(shí)意義。從上述分析看出,攻擊和防范技術(shù)的競(jìng)爭(zhēng)不會(huì)停止,而在競(jìng)爭(zhēng)中,防范技術(shù)相對(duì)來說總是被動(dòng)的,想一勞永逸的解決惡意代碼問題是不實(shí)際的,只有不停的進(jìn)步,不停的創(chuàng)新,才能更好的防范惡意代碼攻擊。校園網(wǎng)由于具有開放自由、控制自主、投入較少等特點(diǎn),導(dǎo)致校園網(wǎng)絡(luò)安全更為嚴(yán)重,而由于每個(gè)校園網(wǎng)具體情況不同,難以制定一個(gè)統(tǒng)一的解決方法,但是可以借鑒兄弟院校的網(wǎng)絡(luò)安全防范經(jīng)驗(yàn),對(duì)自身校園網(wǎng)不同點(diǎn)進(jìn)行必要的調(diào)整。基于上述考慮,中國(guó)教育和科研網(wǎng)絡(luò)應(yīng)急響應(yīng)組和《中國(guó)教育網(wǎng)絡(luò)》雜志社共同組織成立了一個(gè)名為“校園網(wǎng)運(yùn)行于安全管理論壇”,各高等院校校園網(wǎng)運(yùn)維技術(shù)人員參加,以技術(shù)交流和信息共享促進(jìn)校園網(wǎng)安全管理為宗旨,共同討論校園網(wǎng)常見的安全問題。現(xiàn)該論壇已經(jīng)成為高等院校校園網(wǎng)絡(luò)安全技術(shù)交流的一個(gè)重要的平臺(tái)。

4 結(jié)束語

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)安全威脅越來越大,構(gòu)成威脅的因素很多,造成的損失也越來越大,現(xiàn)在網(wǎng)絡(luò)安全已經(jīng)越來越受到重視。因此,構(gòu)建一個(gè)全面的校園網(wǎng)絡(luò)安全防御體系有著非常重要的意義。

參考文獻(xiàn)

第3篇:網(wǎng)絡(luò)安全研究范文

摘 要:網(wǎng)絡(luò)安全態(tài)勢(shì)感知(SA)的研究對(duì)于提高網(wǎng)絡(luò)的監(jiān)控能力、應(yīng)急響應(yīng)能力和預(yù)測(cè)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)具有重要的意義?;趹B(tài)勢(shì)感知的概念模型,詳細(xì)闡述了態(tài)勢(shì)感知的三個(gè)主要研究?jī)?nèi)容:網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè),重點(diǎn)論述各研究點(diǎn)需解決的核心問題、主要算法以及各種算法的優(yōu)缺點(diǎn);最后對(duì)各研究點(diǎn)的相關(guān)理論及其應(yīng)用實(shí)現(xiàn)的發(fā)展趨勢(shì)進(jìn)行了分析和展望。

關(guān)鍵詞:態(tài)勢(shì)感知;網(wǎng)絡(luò)安全;數(shù)據(jù)融合;態(tài)勢(shì)預(yù)測(cè)

中圖分類號(hào): TP393.08 文獻(xiàn)標(biāo)志碼:A

Research survey of network security situation awareness

XI Rongrong*, YUN Xiaochun, JIN Shuyuan, ZHANG Yongzheng

(Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China Beijing 100190, China --!> 2. National Engineering Laboratory for Information Security Technologies, Beijing 100190, China --!> )

Abstract: The research of network security Situation Awareness (SA) is important in improving the abilities of network detection, response to emergency and predicting the network security trend. In this paper, based on the conceptual model of situational awareness, three main problems with regard to network security situational awareness were discussed: extraction of the elements in the network security situation, comprehension of the network security situation and projection of future situation. The core issues to be resolved, and major algorithms as well as the advantages and disadvantages of various algorithms were focused. Finally, the opening issues and challenges for network security situation awareness concerning both theory and implementation in near future were proposed.

Key words: Situation Awareness (SA); network security; data fusion; situational prediction

0 引言

隨著網(wǎng)絡(luò)的飛速發(fā)展,安全問題日益突出,雖然已經(jīng)采取了各種網(wǎng)絡(luò)安全防護(hù)措施,但是單一的安全防護(hù)措施沒有綜合考慮各種防護(hù)措施之間的關(guān)聯(lián)性,無法滿足從宏觀角度評(píng)估網(wǎng)絡(luò)安全性的需求。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究就是在這種背景下產(chǎn)生的。它在融合各種網(wǎng)絡(luò)安全要素的基礎(chǔ)上從宏觀的角度實(shí)時(shí)評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì),并在一定條件下對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究是近幾年發(fā)展起來的一個(gè)熱門研究領(lǐng)域。它融合所有可獲取的信息實(shí)時(shí)評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì),為網(wǎng)絡(luò)安全管理員的決策分析提供依據(jù),將不安全因素帶來的風(fēng)險(xiǎn)和損失降到最低。網(wǎng)絡(luò)安全態(tài)勢(shì)感知在提高網(wǎng)絡(luò)的監(jiān)控能力、應(yīng)急響應(yīng)能力和預(yù)測(cè)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)等方面都具有重要的意義。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知概述

1988年,Endsley首次明確提出態(tài)勢(shì)感知的定義,態(tài)勢(shì)感知(Situation Awareness, SA)是指“在一定的時(shí)空范圍內(nèi),認(rèn)知、理解環(huán)境因素,并且對(duì)未來的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)”[1],該定義的概念模型如圖1所示。但是傳統(tǒng)的態(tài)勢(shì)感知的概念主要應(yīng)用于對(duì)航空領(lǐng)域人為因素的考慮,并沒有引入到網(wǎng)絡(luò)安全領(lǐng)域。

1999年,Bass等[2]指出,“下一代網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)該融合從大量的異構(gòu)分布式網(wǎng)絡(luò)傳感器采集的數(shù)據(jù),實(shí)現(xiàn)網(wǎng)絡(luò)空間的態(tài)勢(shì)感知(cyberspace situational awareness)”,并且基于數(shù)據(jù)融合的JDL(Joint Directors of Laboratories)模型,提出了基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)態(tài)勢(shì)感知功能模型。如圖2所示。

雖然網(wǎng)絡(luò)態(tài)勢(shì)根據(jù)不同的應(yīng)用領(lǐng)域,可分為安全態(tài)勢(shì)、拓?fù)鋺B(tài)勢(shì)和傳輸態(tài)勢(shì)等,但目前關(guān)于網(wǎng)絡(luò)態(tài)勢(shì)的研究都是圍繞網(wǎng)絡(luò)的安全態(tài)勢(shì)展開的。

Endsley[1]和Bass[2]為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究奠定了基礎(chǔ)。基于Endsley[1]態(tài)勢(shì)感知的概念模型和Bass[2]的功能模型,后來的研究者又陸續(xù)提出了十幾種網(wǎng)絡(luò)安全態(tài)勢(shì)感知的模型。不同的模型組成部分名稱可能不同,但功能基本都是一致的?;诰W(wǎng)絡(luò)安全態(tài)勢(shì)感知的功能,本文將其研究?jī)?nèi)容歸結(jié)為3個(gè)方面:

1)網(wǎng)絡(luò)安全態(tài)勢(shì)要素的提??;

2)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估;

3)網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)。

下面將從這3個(gè)方面對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的研究進(jìn)行詳細(xì)的闡述。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)的提取

準(zhǔn)確、全面地提取網(wǎng)絡(luò)中的安全態(tài)勢(shì)要素是網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究的基礎(chǔ)。然而由于網(wǎng)絡(luò)已經(jīng)發(fā)展成一個(gè)龐大的非線性復(fù)雜系統(tǒng),具有很強(qiáng)的靈活性,使得網(wǎng)絡(luò)安全態(tài)勢(shì)要素的提取存在很大難度。

目前網(wǎng)絡(luò)的安全態(tài)勢(shì)要素主要包括靜態(tài)的配置信息、動(dòng)態(tài)的運(yùn)行信息以及網(wǎng)絡(luò)的流量信息等。其中:靜態(tài)的配置信息包括網(wǎng)絡(luò)的拓?fù)湫畔ⅰ⒋嗳跣孕畔⒑蜖顟B(tài)信息等基本的環(huán)境配置信息;動(dòng)態(tài)的運(yùn)行信息包括從各種防護(hù)措施的日志采集和分析技術(shù)獲取的威脅信息等基本的運(yùn)行信息。

國(guó)外的學(xué)者一般通過提取某種角度的態(tài)勢(shì)要素來評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)。如Jajodia等[3]和Wang等[4-5]采集網(wǎng)絡(luò)的脆弱性信息來評(píng)估網(wǎng)絡(luò)的脆弱性態(tài)勢(shì);Ning等[6-7]采集網(wǎng)絡(luò)的警報(bào)信息來評(píng)估網(wǎng)絡(luò)的威脅性態(tài)勢(shì);Barford等[8]和Dacier等[9]利用honeynet采集的數(shù)據(jù)信息,來評(píng)估網(wǎng)絡(luò)的攻擊態(tài)勢(shì)。

國(guó)內(nèi)的學(xué)者一般綜合考慮網(wǎng)絡(luò)各方面的信息,從多個(gè)角度分層次描述網(wǎng)絡(luò)的安全態(tài)勢(shì)。如王娟等[10]提出了一種網(wǎng)絡(luò)安全指標(biāo)體系,根據(jù)不同層次、不同信息來源、不同需求提煉了4個(gè)表征宏觀網(wǎng)絡(luò)性質(zhì)的二級(jí)綜合性指標(biāo),并擬定了20多個(gè)一級(jí)指標(biāo)構(gòu)建網(wǎng)絡(luò)安全指標(biāo)體系,通過網(wǎng)絡(luò)安全指標(biāo)體系定義需要提取的所有網(wǎng)絡(luò)安全態(tài)勢(shì)要素。

綜上所述,網(wǎng)絡(luò)安全態(tài)勢(shì)要素的提取存在以下問題:1)國(guó)外的研究從某種單一的角度采集信息,無法獲取全面的信息;2)國(guó)內(nèi)的研究雖然力圖獲取全面的信息,但沒有考慮指標(biāo)體系中各因素之間的關(guān)聯(lián)性,將會(huì)導(dǎo)致信息的融合處理存在很大難度;3)缺乏指標(biāo)體系有效性的驗(yàn)證,無法驗(yàn)證指標(biāo)體系是否涵蓋了網(wǎng)絡(luò)安全的所有方面。

第1期 席榮榮等:網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究綜述 計(jì)算機(jī)應(yīng)用 第32卷3 網(wǎng)絡(luò)安全態(tài)勢(shì)的理解

網(wǎng)絡(luò)安全態(tài)勢(shì)的理解是指在獲取海量網(wǎng)絡(luò)安全數(shù)據(jù)信息的基礎(chǔ)上,通過解析信息之間的關(guān)聯(lián)性,對(duì)其進(jìn)行融合,獲取宏觀的網(wǎng)絡(luò)安全態(tài)勢(shì)。本文將該過程稱為態(tài)勢(shì)評(píng)估,數(shù)據(jù)融合是網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的核心。

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估摒棄了研究單一的安全事件,而是從宏觀角度去考慮網(wǎng)絡(luò)整體的安全狀態(tài),以期獲得網(wǎng)絡(luò)安全的綜合評(píng)估,達(dá)到輔助決策的目的。

目前應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的數(shù)據(jù)融合算法,大致分為以下幾類:基于邏輯關(guān)系的融合方法、基于數(shù)學(xué)模型的融合方法、基于概率統(tǒng)計(jì)的融合方法以及基于規(guī)則推理的融合方法。

3.1 基于邏輯關(guān)系的融合方法

基于邏輯關(guān)系的融合方法依據(jù)信息之間的內(nèi)在邏輯,對(duì)信息進(jìn)行融和。警報(bào)關(guān)聯(lián)是典型的基于邏輯關(guān)系的融合方法。

警報(bào)關(guān)聯(lián)是指基于警報(bào)信息之間的邏輯關(guān)系對(duì)其進(jìn)行融合,從而獲取宏觀的攻擊態(tài)勢(shì)。警報(bào)之間的邏輯關(guān)系分為:警報(bào)屬性特征的相似性,預(yù)定義攻擊模型中的關(guān)聯(lián)性,攻擊的前提和后繼條件之間的相關(guān)性。Ning等[6-7]實(shí)現(xiàn)了通過警報(bào)關(guān)聯(lián),從海量警報(bào)信息中分析網(wǎng)絡(luò)的威脅性態(tài)勢(shì)的方法。

基于邏輯關(guān)系的融合方法,很容易理解,而且可以直觀地反映網(wǎng)絡(luò)的安全態(tài)勢(shì)。但是該方法的局限性在于:1)融合的數(shù)據(jù)源為單源數(shù)據(jù);2)邏輯關(guān)系的獲取存在很大的難度,如攻擊預(yù)定義模型的建立以及攻擊的前提和后繼條件的形式化描述都存在很大的難度;3)邏輯關(guān)系不能解釋系統(tǒng)中存在的不確定性。

3.2 基于數(shù)學(xué)模型的融合方法

基于數(shù)學(xué)模型的融合方法,綜合考慮影響態(tài)勢(shì)的各項(xiàng)態(tài)勢(shì)因素,構(gòu)造評(píng)定函數(shù),建立態(tài)勢(shì)因素集合R到態(tài)勢(shì)空間θ的映射關(guān)系θ=f(r1,r2,…,rn),ri∈R(1≤i≤n)為態(tài)勢(shì)因素,其中最具代表性的評(píng)定函數(shù)為加權(quán)平均。

加權(quán)平均法是最常用、最簡(jiǎn)單的基于數(shù)學(xué)模型的融合方法。加權(quán)平均法的融合函數(shù)通常由態(tài)勢(shì)因素和其重要性權(quán)值共同確定。西安交通大學(xué)的陳秀真等[11]提出的層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法,對(duì)服務(wù)、主機(jī)本身的重要性因子進(jìn)行加權(quán),層次化計(jì)算服務(wù)、主機(jī)以及整個(gè)網(wǎng)絡(luò)系統(tǒng)的威脅指數(shù),進(jìn)而分析網(wǎng)絡(luò)的安全態(tài)勢(shì)。

加權(quán)平均法可以直觀地融合各種態(tài)勢(shì)因素,但是其最主要的問題是:權(quán)值的選擇沒有統(tǒng)一的標(biāo)準(zhǔn),大都是依據(jù)領(lǐng)域知識(shí)或者經(jīng)驗(yàn)而定,缺少客觀的依據(jù)。

基于邏輯關(guān)系的融合方法和基于數(shù)學(xué)模型的融合方法的前提是確定的數(shù)據(jù)源,但是當(dāng)前網(wǎng)絡(luò)安全設(shè)備提供的信息,在一定程度上是不完整的、不精確的,甚至存在著矛盾,包含大量的不確定性信息,而態(tài)勢(shì)評(píng)估必須借助這些信息來進(jìn)行推理,因此直接基于數(shù)據(jù)源的融合方法具有一定的局限性。對(duì)于不確定性信息,最好的解決辦法是利用對(duì)象的統(tǒng)計(jì)特性和概率模型進(jìn)行操作。

3.3 基于概率統(tǒng)計(jì)的融合方法

基于概率統(tǒng)計(jì)的融合方法,充分利用先驗(yàn)知識(shí)的統(tǒng)計(jì)特性,結(jié)合信息的不確定性,建立態(tài)勢(shì)評(píng)估的模型,然后通過模型評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)。貝葉斯網(wǎng)絡(luò)、隱馬爾可夫模型(Hidden Markov Model, HMM)是最常見的基于概率統(tǒng)計(jì)的融合方法。

在網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估中,貝葉斯網(wǎng)絡(luò)是一個(gè)有向無環(huán)圖G=〈V,E〉,節(jié)點(diǎn)V表示不同的態(tài)勢(shì)和事件,每個(gè)節(jié)點(diǎn)對(duì)應(yīng)一個(gè)條件概率分配表,節(jié)點(diǎn)間利用邊E進(jìn)行連接,反映態(tài)勢(shì)和事件之間概率依賴關(guān)系,在某些節(jié)點(diǎn)獲得證據(jù)信息后,貝葉斯網(wǎng)絡(luò)在節(jié)點(diǎn)間傳播和融合這些信息,從而獲取新的態(tài)勢(shì)信息。以色列IBM海法實(shí)驗(yàn)室的Etzion等[12]在不確定性數(shù)據(jù)融合方面作了大量的研究工作,Etzion等[12]和Gal[13] 提出利用貝葉斯網(wǎng)絡(luò)進(jìn)行態(tài)勢(shì)感知。Oxenham等[14],Holsopple等[15]和Sabata等[16]基于貝葉斯網(wǎng)絡(luò),通過融合多源數(shù)據(jù)信息評(píng)估網(wǎng)絡(luò)的攻擊態(tài)勢(shì)[14-16]。李偉生等[17]根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)和安全事件之間的不同的關(guān)聯(lián)性建立態(tài)勢(shì)評(píng)估的貝葉斯網(wǎng)絡(luò)模型,并給出相應(yīng)的信息傳播算法,以安全事件的發(fā)生為觸發(fā)點(diǎn),根據(jù)相應(yīng)的信息傳播算法評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)。

HMM相當(dāng)于動(dòng)態(tài)的貝葉斯網(wǎng)絡(luò),它是一種采用雙重隨機(jī)過程的統(tǒng)計(jì)模型。在網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估中,將網(wǎng)絡(luò)安全狀態(tài)的轉(zhuǎn)移過程定義為隱含狀態(tài)序列,按照時(shí)序獲取的態(tài)勢(shì)因素定義為觀察值序列,利用觀察值序列和隱含狀態(tài)序列訓(xùn)練HMM模型,然后運(yùn)用模型評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)。Arnes等[18-19]和Ourston等[20]將網(wǎng)絡(luò)安全狀態(tài)的變化過程模型化為隱馬爾可夫過程,并通過該模型獲取網(wǎng)絡(luò)的安全態(tài)勢(shì)。

基于概率統(tǒng)計(jì)的融合方法能夠融合最新的證據(jù)信息和先驗(yàn)知識(shí),而且推理過程清晰,易于理解。但是該方法存在以下局限性:1)統(tǒng)計(jì)模型的建立需要依賴一個(gè)較大的數(shù)據(jù)源,在實(shí)際工作中會(huì)占有很大的工作量,且模型需要的存儲(chǔ)量和匹配計(jì)算的運(yùn)算量相對(duì)較大,容易造成維數(shù)爆炸的問題,影響態(tài)勢(shì)評(píng)估的實(shí)時(shí)性;2)特征提取、模型構(gòu)建和先驗(yàn)知識(shí)的獲取都存在一定的困難。

3.4 基于規(guī)則推理的融合方法

基于規(guī)則推理的融合方法,首先模糊量化多源多屬性信息的不確定性;然后利用規(guī)則進(jìn)行邏輯推理,實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估。目前DS證據(jù)組合方法和模糊邏輯是研究熱點(diǎn)。

DS證據(jù)組合方法對(duì)單源數(shù)據(jù)每一種可能決策的支持程度給出度量,即數(shù)據(jù)信息作為證據(jù)對(duì)決策的支持程度。然后尋找一種證據(jù)合成規(guī)則,通過合成能得出兩種證據(jù)的聯(lián)合對(duì)決策的支持程度,通過反復(fù)運(yùn)用合成規(guī)則,最終得到全體數(shù)據(jù)信息的聯(lián)合體對(duì)某種決策總的支持程度,完成證據(jù)融合的過程。其核心是證據(jù)合成規(guī)則。Sabata等[16] 提出了一個(gè)多源證據(jù)融合的方法,完成對(duì)分布式實(shí)時(shí)攻擊事件的融合,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)態(tài)勢(shì)的感知。徐曉輝等[22]將DS理論引入網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估,對(duì)其過程進(jìn)行了詳細(xì)描述。

在網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估中,首先建立證據(jù)和命題之間的邏輯關(guān)系,即態(tài)勢(shì)因素到態(tài)勢(shì)狀態(tài)的匯聚方式,確定基本概率分配;然后根據(jù)到來的證據(jù),即每一則事件發(fā)生的上報(bào)信息,使用證據(jù)合成規(guī)則進(jìn)行證據(jù)合成,得到新的基本概率分配,并把合成后的結(jié)果送到?jīng)Q策邏輯進(jìn)行判斷,將具有最大置信度的命題作為備選命題。當(dāng)不斷有事件發(fā)生時(shí),這個(gè)過程便得以繼續(xù),直到備選命題的置信度超過一定的閾值,證據(jù)達(dá)到要求,即認(rèn)為該命題成立,態(tài)勢(shì)呈現(xiàn)某種狀態(tài)。

模糊邏輯提供了一種處理人類認(rèn)知不確定性的數(shù)學(xué)方法,對(duì)于模型未知或不能確定的描述系統(tǒng),應(yīng)用模糊集合和模糊規(guī)則進(jìn)行推理,實(shí)行模糊綜合判斷。

在網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估中,首先對(duì)單源數(shù)據(jù)進(jìn)行局部評(píng)估,然后選取相應(yīng)的模型參數(shù),對(duì)局部評(píng)估結(jié)果建立隸屬度函數(shù),將其劃分到相應(yīng)的模糊集合,實(shí)現(xiàn)具體值的模糊化,將結(jié)果進(jìn)行量化。量化后,如果某個(gè)狀態(tài)屬性值超過了預(yù)先設(shè)定的閾值,則將局部評(píng)估結(jié)果作為因果推理的輸入,通過模糊規(guī)則推理對(duì)態(tài)勢(shì)進(jìn)行分類識(shí)別,從而完成對(duì)當(dāng)前態(tài)勢(shì)的評(píng)估。Rao等[23]利用模糊邏輯與貝葉斯網(wǎng)絡(luò)相結(jié)合的方法,對(duì)多源數(shù)據(jù)信息進(jìn)行處理,生成宏觀態(tài)勢(shì)圖。李偉生等[24]使用模糊邏輯的方法處理事件發(fā)生的不確定性,基于一定的知識(shí)產(chǎn)生對(duì)當(dāng)前態(tài)勢(shì)的假設(shè),并使用DS方法對(duì)獲得的信息進(jìn)行合成,從而構(gòu)造一個(gè)對(duì)戰(zhàn)場(chǎng)態(tài)勢(shì)進(jìn)行分析、推理和預(yù)測(cè)的求解模型。

基于規(guī)則推理的融合方法,不需要精確了解概率分布,當(dāng)先驗(yàn)概率很難獲得時(shí),該方法更為有效。但是缺點(diǎn)是計(jì)算復(fù)雜度高,而且當(dāng)證據(jù)出現(xiàn)沖突時(shí),方法的準(zhǔn)確性會(huì)受到嚴(yán)重的影響。

4 網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)

網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)是指根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)的歷史信息和當(dāng)前狀態(tài)對(duì)網(wǎng)絡(luò)未來一段時(shí)間的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)是態(tài)勢(shì)感知的一個(gè)基本目標(biāo)。

由于網(wǎng)絡(luò)攻擊的隨機(jī)性和不確定性,使得以此為基礎(chǔ)的安全態(tài)勢(shì)變化是一個(gè)復(fù)雜的非線性過程,限制了傳統(tǒng)預(yù)測(cè)模型的使用。目前網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)一般采用神經(jīng)網(wǎng)絡(luò)、時(shí)間序列預(yù)測(cè)法和支持向量機(jī)等方法。

神經(jīng)網(wǎng)絡(luò)是目前最常用的網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)方法,該算法首先以一些輸入輸出數(shù)據(jù)作為訓(xùn)練樣本,通過網(wǎng)絡(luò)的自學(xué)習(xí)能力調(diào)整權(quán)值,構(gòu)建態(tài)勢(shì)預(yù)測(cè)模型;然后運(yùn)用模型,實(shí)現(xiàn)從輸入狀態(tài)到輸出狀態(tài)空間的非線性映射。上海交通大學(xué)的任偉等[25]和Lai等[26]分別利用神經(jīng)網(wǎng)絡(luò)方法對(duì)態(tài)勢(shì)進(jìn)行了預(yù)測(cè),并取得了一定的成果。

神經(jīng)網(wǎng)絡(luò)具有自學(xué)習(xí)、自適應(yīng)性和非線性處理的優(yōu)點(diǎn)。另外神經(jīng)網(wǎng)絡(luò)內(nèi)部神經(jīng)元之間復(fù)雜的連接和可變的連接權(quán)值矩陣,使得模型運(yùn)算中存在高度的冗余,因此網(wǎng)絡(luò)具有良好的容錯(cuò)性和穩(wěn)健性。但是神經(jīng)網(wǎng)絡(luò)存在以下問題,如難以提供可信的解釋,訓(xùn)練時(shí)間長(zhǎng),過度擬合或者訓(xùn)練不足等。

時(shí)間序列預(yù)測(cè)法是通過時(shí)間序列的歷史數(shù)據(jù)揭示態(tài)勢(shì)隨時(shí)間變化的規(guī)律,將這種規(guī)律延伸到未來,從而對(duì)態(tài)勢(shì)的未來做出預(yù)測(cè)。在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)中,將根據(jù)態(tài)勢(shì)評(píng)估獲取的網(wǎng)絡(luò)安全態(tài)勢(shì)值x抽象為時(shí)間序列t的函數(shù),即:x=f(t),此態(tài)勢(shì)值具有非線性的特點(diǎn)。網(wǎng)絡(luò)安全態(tài)勢(shì)值可以看作一個(gè)時(shí)間序列,假定有網(wǎng)絡(luò)安全態(tài)勢(shì)值的時(shí)間序列x={xi|xi∈R,i=1,2,…,L},預(yù)測(cè)過程就是通過序列的前N個(gè)時(shí)刻的態(tài)勢(shì)值預(yù)測(cè)出后M個(gè)態(tài)勢(shì)值。

時(shí)間序列預(yù)測(cè)法實(shí)際應(yīng)用比較方便,可操作性較好。但是,要想建立精度相當(dāng)高的時(shí)序模型不僅要求模型參數(shù)的最佳估計(jì),而且模型階數(shù)也要合適,建模過程是相當(dāng)復(fù)雜的。

支持向量機(jī)是一種基于統(tǒng)計(jì)學(xué)習(xí)理論的模式識(shí)別方法,基本原理是通過一個(gè)非線性映射將輸入空間向量映射到一個(gè)高維特征空間,并在此空間上進(jìn)行線性回歸,從而將低維特征空間的非線性回歸問題轉(zhuǎn)換為高維特征空間的線性回歸問題來解決。張翔等[27]根據(jù)最近一段時(shí)間內(nèi)入侵檢測(cè)系統(tǒng)提供的網(wǎng)絡(luò)攻擊數(shù)據(jù),使用支持向量機(jī)完成了對(duì)網(wǎng)絡(luò)攻擊態(tài)勢(shì)的預(yù)測(cè)。

綜上所述,神經(jīng)網(wǎng)絡(luò)算法主要依靠經(jīng)驗(yàn)風(fēng)險(xiǎn)最小化原則,容易導(dǎo)致泛化能力的下降且模型結(jié)構(gòu)難以確定。在學(xué)習(xí)樣本數(shù)量有限時(shí),學(xué)習(xí)過程誤差易收斂于局部極小點(diǎn),學(xué)習(xí)精度難以保證;學(xué)習(xí)樣本數(shù)量很多時(shí),又陷入維數(shù)災(zāi)難,泛化性能不高。而時(shí)間序列預(yù)測(cè)法在處理具有非線性關(guān)系、非正態(tài)分布特性的宏觀網(wǎng)絡(luò)態(tài)勢(shì)值所形成的時(shí)間序列數(shù)據(jù)時(shí),效果并不是不理想。支持向量機(jī)有效避免了上述算法所面臨的問題,預(yù)測(cè)絕對(duì)誤差小,保證了預(yù)測(cè)的正確趨勢(shì)率,能準(zhǔn)確預(yù)測(cè)網(wǎng)絡(luò)態(tài)勢(shì)的發(fā)展趨勢(shì)。支持向量機(jī)是目前網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的研究熱點(diǎn)。

5 結(jié)語

本文基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念模型,詳細(xì)闡述了態(tài)勢(shì)感知中三個(gè)主要的研究?jī)?nèi)容:安全態(tài)勢(shì)要素提取、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè),重點(diǎn)討論各研究點(diǎn)需解決的核心問題、主要算法以及各種算法的優(yōu)缺點(diǎn)。目前對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究還處于初步階段,許多問題有待進(jìn)一步解決,本文認(rèn)為未來的研究方向有以下幾個(gè)方面。

1)網(wǎng)絡(luò)安全態(tài)勢(shì)的形式化描述。

網(wǎng)絡(luò)安全態(tài)勢(shì)的描述是態(tài)勢(shì)感知的基礎(chǔ)。網(wǎng)絡(luò)是個(gè)龐大的非線性的復(fù)雜系統(tǒng),復(fù)雜系統(tǒng)描述本身就是難點(diǎn)。在未來的研究中,需要具體分析安全態(tài)勢(shì)要素及其關(guān)聯(lián)性,借鑒已有的成熟的系統(tǒng)表示方法,對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)建立形式化的描述。其中源于哲學(xué)概念的本體論方法是重要的研究方向。本體論強(qiáng)調(diào)領(lǐng)域中的本質(zhì)概念,同時(shí)強(qiáng)調(diào)這些本質(zhì)概念之間的關(guān)聯(lián),能夠?qū)㈩I(lǐng)域中的各種概念及概念之間的關(guān)系顯式化,形式化地表達(dá)出來,從而表達(dá)出概念中包含的語義,增強(qiáng)對(duì)復(fù)雜系統(tǒng)的表示能力。但其理論體系龐大,使用復(fù)雜,將其應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)的形式化描述需要進(jìn)一步深入的研究。

2)準(zhǔn)確而高效的融合算法研究。

基于網(wǎng)絡(luò)攻擊行為分布性的特點(diǎn),而且不同的網(wǎng)絡(luò)節(jié)點(diǎn)采用不同的安全設(shè)備,使得采用單一的數(shù)據(jù)融合方法監(jiān)控整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)存在很大的難度。應(yīng)該結(jié)合網(wǎng)絡(luò)態(tài)勢(shì)感知多源數(shù)據(jù)融合的特點(diǎn),對(duì)具體問題具體分析,有針對(duì)性地對(duì)目前已經(jīng)存在的各種數(shù)據(jù)融合方法進(jìn)行改進(jìn)和優(yōu)化。在保證準(zhǔn)確性的前提下,提高算法的性能,盡量降低額外的網(wǎng)絡(luò)負(fù)載,提高系統(tǒng)的容錯(cuò)能力。另一方面可以結(jié)合各種算法的利弊綜合利用,提高態(tài)勢(shì)評(píng)估的準(zhǔn)確率。

3)預(yù)測(cè)算法的研究。

網(wǎng)絡(luò)攻擊的隨機(jī)性和不確定性決定了安全態(tài)勢(shì)的變化是一個(gè)復(fù)雜的非線性過程。利用簡(jiǎn)單的統(tǒng)計(jì)數(shù)據(jù)預(yù)測(cè)非線性過程隨時(shí)間變化的趨勢(shì)存在很大的誤差。如時(shí)間序列分析法,根據(jù)系統(tǒng)對(duì)象隨時(shí)間變化的歷史信息對(duì)網(wǎng)絡(luò)的發(fā)展趨勢(shì)進(jìn)行定量預(yù)測(cè)已不能滿足網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的需求。未來的研究應(yīng)建立在基于因果關(guān)系的分析之上。通過分析網(wǎng)絡(luò)系統(tǒng)中各因素之間存在的某種前因后果關(guān)系,找出影響某種結(jié)果的幾個(gè)因素,然后利用個(gè)因素的變化預(yù)測(cè)整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)的變化?;谝蚬P(guān)系的數(shù)學(xué)模型的建立存在很大的難度,需要進(jìn)一步深入的研究。另外,模式識(shí)別的研究已經(jīng)比較廣泛,它為態(tài)勢(shì)預(yù)測(cè)算法奠定了理論基礎(chǔ),可以結(jié)合模式識(shí)別的理論,將其很好地應(yīng)用于態(tài)勢(shì)預(yù)測(cè)中。

參考文獻(xiàn):

[1] ENDSLEY M R. Design and evaluation for situation awareness enhancement [C]// Proceeding of the 32nd Human Factors Society Annual Meeting. Santa Monica: Human Factors and Ergonomics Society, 1988: 97-101.

[2] BASS T, ARBOR A. Multisensor data fusion for next generation distributed intrusion detection systems [C]// Proceeding of IRIS National Symposium on Sensor and Data Fusion. Laurel, MD: [s.n.], 1999: 24-27.

[3] JAJODIA S, NOEL S, OBERRY B. Topological analysis of network attack vulnerability [M]// KUMAR V, SRIVASTAVA J, LAZAREVIC A. Managing Cyber Threats: Issues, Approaches and Challenges. Dordrecht: Kluwer Academic Publisher, 2005: 247-266.

[4] WANG LINGYU, SINGHAL A, JAJODIA S. Measuring network security using attack graphs [C]// Proceedings of the 2007 ACM Workshop on Quality of Protection. New York: ACM Press, 2007: 49-54.

[5] WANG LINGYU, SINGHAL A, JAJODIA S. Measuring the overall security of network configurations using attack graphs [C]// Proceedings of the 21st IFIP WG 11.3Working Conference on Data and Applications Security. Berlin: SpringerVerlag, 2007: 98-112.

[6] NING PENG, CUI YUN, REEVES D S, et al. Techniques and tools for analyzing intrusion alerts [J]. ACM Transactions on Information and System Security, 2004, 7(2): 274-318.

[7] XU DINGBANG, NING PENG. Alert correlation though trigger event and common resource [C]// Proceedings of the 20th Annual Computer Security Applications Conference. Washington, DC: IEEE Computer Society, 2004: 360-369.

[8] BARFORD P, CHEN YAN, GOYAL A, et al. Employing honeynets for network situational awareness [C]// Proceedings of the Fourth Workshop on Hot Topics in Networks. Berlin: SpringerVerlag, 2005: 71-102.

[9] THONNARD O, DACIER M. A framework for attack patterns discovery in honeynet data [C]// Proceeding of the 8th Digital Forensics Research Conference. Baltimore: [s.n.], 2008: S128-S139.

[10] 王娟,張鳳荔,傅,等.網(wǎng)絡(luò)態(tài)勢(shì)感知中的指標(biāo)體系研究[J].計(jì)算機(jī)應(yīng)用,2007,27(8):1907-1909.

[11] 陳秀真,鄭慶華,管曉宏,等.層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法[J].軟件學(xué)報(bào),2006,17(4):885-897.

[12] WASSERKRUG S, ETZION O, GAL A. Inference and prediction of uncertain events in active systems: A language and execution model [EB/OL]. [20110425].省略rmatik.rwthaachen.de/Publications/CEURWS/Vol76/wasserkrug.pdf.

[13] GAL A. Managing uncertainty in schema matching with topk schema mappings [J]. Journal on Data Semantics VI, 2006, 4090: 90-114.

[14] OXENHAM M, CHALLA S, MORELANDE M. Fusion of disparate identity estimates for shared situation awareness in a networkcentric environment [J]. Information Fusion, 2006, 7(4): 395-417.

[15] HOLSOPPLE J, YANG S J, SUDIT M. TANDI: Threat assessment of network data and information [EB/OL]. [20110420]. ritdml.rit.edu/handle/1850/10737.

[16] SABATA B, ORNES C. Multisource evidence fusion for cybersituation assessment [C]// Proceedings of Multisensor, Multisource Information Fusion Conference. Bellingham: SPIE, 2006: 1-9.

[17] 李偉生,王寶樹.基于貝葉斯網(wǎng)絡(luò)的態(tài)勢(shì)評(píng)估[J].系統(tǒng)工程與電子技術(shù),2003,25(4):480-483.

[18] ARNES A, VALEUR F, VIGNA G, et al. Using hidden Markov models to evaluate the risks of intrusions [C]// Proceedings of the 9th Symposium on Recent Advances in Intrusion Detection, LNCS 4219. Berlin: SpringerVerlag, 2006: 145-164.

[19] ARNES A, SALLHAMMAR K, HASLUM K, et al. Realtime risk assessment with network sensors and intrusion detection systems [C]// Proceeding of 2005 International Conference on Computational Intelligence and Security, LNCS 3802. Berlin: SpringerVerlag, 2005: 388-397.

[20] OURSTON D, MATZNER S, STUMP W, et al. Applications of hidden Markov models to detecting multistage network attacks [C]// Proceedings of the 36th Hawaii International Conference on System Sciences. Washington, DC: IEEE Computer Society, 2003: 334.2.

[21] QU ZHAOYANG, LI YAYING, LI PENG. A network security situation evaluation method based on DS evidence theory [C]// Proceedings of the 2010 International Conference on Environmental Science and Information Application Technology. Washington, DC: IEEE Computer Society, 2010: 496-499.

[22] 徐曉輝,劉作良.基于DS證據(jù)理論的態(tài)勢(shì)評(píng)估方法[J].電光與控制,2005,12(5):36-37.

[23] RAO N P, KASHYAP S K, GIRIJA G. Situation assessment in air combat: A fuzzyBayesian hybrid approach [C]// Proceedings of 2008 International Conference on Aerospace Science and Technology. Bangalore: [s.n.], 2008: 26-28.

[24] 李偉生,王寶樹.基于模糊邏輯和DS證據(jù)理論的一種態(tài)勢(shì)估計(jì)方法[J].系統(tǒng)工程與電子技術(shù),2003,25(10):1278-1280.

[25] 任偉,蔣興浩,孫錟鋒.基于RBF神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[J].計(jì)算機(jī)工程與應(yīng)用,2006,42(31):136-138.

[26] LAI JIBAO, WANG HUIQIANG, LIU XIAOWU, et al. A quantitative prediction method of network security situation based on wavelet neural network [C]// Proceedings of the First International Symposium on Data, Privacy, and ECommerce. Washington, DC: IEEE Computer Society, 2007: 197-202.

[27] 張翔,胡昌振,劉勝航,等.基于支持向量機(jī)的網(wǎng)絡(luò)攻擊態(tài)勢(shì)預(yù)測(cè)技術(shù)研究[J].計(jì)算機(jī)工程,2007,33(11):10-12.

[28]王娟.大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)研究[D].成都:電子科技大學(xué),2010.

[29] 龔正虎,卓瑩.網(wǎng)絡(luò)態(tài)勢(shì)感知研究[J].軟件學(xué)報(bào),2010,21(7):1605-1619.

[30]王慧強(qiáng).網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究新進(jìn)展[J].大慶師范學(xué)院學(xué)報(bào),2010,30(3):1-8.

[31] RABINER L R. A tutorial on hidden Markov models and selected applications in speech recognition [J]. Proceedings of the IEEE, 1989, 77(2): 257-286.

[32] ADI A, BOTZER D, ETZION O. The situation manager component of Amit ― Active middleware technology [C]// Proceedings of the 5th International Workshop on Next Generation Information Technologies and Systems. Berlin: SpringerVerlag, 2002: 158-168.

[33] VALEUR F. Real time intrusion detection alert correlation [D]. Santa Barbara: University of California, 2006.

[34] ZHAI YAN. Integrating multiple information resources to analyzing intrusion alerts [D]. Raleigh: North Carolina State University, 2006.

[35]PORRAS P A, FONG M W, VALDES A. A missionimpactbased approach to INFOSEC alarm correlation [C]// Proceedings of the 5th International Symposium on Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002: 95-114.

[36] MORIN B, M L, DEBAR H, et al. M2D2: A formal data model for IDS alert correlation [C]// Proceedings of the International Symposium on Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002: 115-137.

[37] SMITH D, SINGH S. Approaches to multisensor data fusion in target tracking: A survey [J]. IEEE Transactions on Knowledge and Data Engineering, 2006, 18(12): 1696-1710.

[38] HINMAN M L. Some computational approaches for situation assessment and impact assessment [C]// Proceedings of the Fifth International Conference on Information Fusion. Washington, DC: IEEE Computer Society, 2002: 687-693.

[39] OXENHAM M, CHALLA S, MORELANDE M. Fusion of disparate identity estimates for shared situation awareness in a networkcentric environment [J]. Information Fusion, 2006, 7(4): 395-417.

[40] IVANSSON J. Situation assessment in a stochastic environment using Bayesian networks [D]. Linkping: Linkping University, 2002.

[41] JAJODIA S, LIU P, SWARUP V, et al. Cyber situation awareness: Issue and research (advanced in information security) [M]. Berlin: SpringerVerlag, 2009.

[42] LIGGINS M E, HALL D L, LLINAS J. Handbook of multisensor data fusion: Theory and practice [M]. Boca Raton: CRC Press, 2009.

[43] RAOL J R. Multisensor data fusion: Theory and practice [M]. Boca Raton: CRC Press, 2009.

收稿日期:20110801;修回日期:20110909。

第4篇:網(wǎng)絡(luò)安全研究范文

關(guān)鍵詞:網(wǎng)絡(luò)安全技術(shù) 企業(yè)網(wǎng)絡(luò) 解決方案

中圖分類號(hào):TN711文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào):

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,自由的、開放的、國(guó)際化的Internet給政府機(jī)構(gòu)、企事業(yè)單位帶來了前所未有的變革,使得企事業(yè)單位能夠利用Internet提高辦事效率和市場(chǎng)反應(yīng)能力,進(jìn)而提高競(jìng)爭(zhēng)力。另外,網(wǎng)絡(luò)安全問題也隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而真多,凡是有網(wǎng)絡(luò)的地方就存在著安全隱患。在2007年1月舉行的達(dá)沃斯世界經(jīng)濟(jì)論壇上,與會(huì)者首次觸及了互聯(lián)網(wǎng)安全問題,表明網(wǎng)絡(luò)安全已經(jīng)成為影響互聯(lián)網(wǎng)發(fā)展的重要問題。由于因特網(wǎng)所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí),網(wǎng)絡(luò)安全隱患也越來越大,如何針對(duì)企業(yè)的具體網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)出先進(jìn)的安全方案并選配合理的網(wǎng)絡(luò)安全產(chǎn)品,以及搭建有效的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系是擺在計(jì)算機(jī)工作者面前的巨大課題。

一、企業(yè)網(wǎng)絡(luò)安全隱患分析 企事業(yè)單位可以通過Internet獲取重要數(shù)據(jù),同時(shí)又要面對(duì)Internet開放性帶來的數(shù)據(jù)安全問題。公安部網(wǎng)絡(luò)安全狀況調(diào)查結(jié)果顯示:2009年,被調(diào)查的企業(yè)有49%發(fā)生過網(wǎng)絡(luò)信息安全事件。在發(fā)生過安全事件的企業(yè)中,83%的企業(yè)感染了計(jì)算機(jī)病毒、蠕蟲和木馬程序,36%的企業(yè)受到垃圾電子郵件干擾和影響。59%的企業(yè)發(fā)生網(wǎng)絡(luò)端口掃描,拒絕服務(wù)攻擊和網(wǎng)頁篡改等安全危機(jī)。如何保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的攻擊,已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要解決的一項(xiàng)重要工作。隨著信息技術(shù)的發(fā)展,網(wǎng)絡(luò)病毒和黑客工具軟件具有技術(shù)先進(jìn)、隱蔽性強(qiáng)、傳播速度快、破壞力強(qiáng)等特點(diǎn)。這主要表現(xiàn)在: 1.網(wǎng)絡(luò)安全所面臨的是一個(gè)國(guó)際化的挑戰(zhàn),網(wǎng)絡(luò)的攻擊不僅僅來自本地網(wǎng)絡(luò)的用戶,而是可以來自Internet上的任何一個(gè)終端機(jī)器。2.由于網(wǎng)絡(luò)技術(shù)是全開放的,任何一個(gè)團(tuán)體組織或者個(gè)人都可能獲得,開放性的網(wǎng)絡(luò)導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊往往是多方面的,例如:對(duì)網(wǎng)絡(luò)通信協(xié)議的攻擊,對(duì)物理傳輸線路的攻擊,對(duì)硬件的攻擊,也可以是對(duì)軟件的攻擊等等。3.用戶可以自由地使用和各種類型的信息,自由地訪問網(wǎng)絡(luò)服務(wù)器,因?yàn)榫W(wǎng)絡(luò)最初對(duì)用戶的使用并沒有提供任何的技術(shù)約束。

二、企業(yè)網(wǎng)絡(luò)安全解決方案

(一)物理隔離方案。其基本原理為:從物理上來隔離阻斷網(wǎng)絡(luò)上潛在的攻擊連接。其中包括一系列阻斷的特征,如:沒有連接、沒有命令、沒有協(xié)議、沒有TCP/IP連接,沒有應(yīng)用連接、沒有包轉(zhuǎn)發(fā),只有文件“擺渡”,對(duì)固態(tài)介質(zhì)只有讀和寫兩個(gè)命令。其結(jié)果是無法攻擊、無法入侵、無法破壞。比如可以采用DShield/宇宙盾通用雙向網(wǎng)絡(luò)信息安全隔離網(wǎng)閘。

(二)網(wǎng)絡(luò)系統(tǒng)安全解決方案。網(wǎng)絡(luò)應(yīng)用服務(wù)器的操作系統(tǒng)選擇是一個(gè)很重要的部分,網(wǎng)絡(luò)操作系統(tǒng)的穩(wěn)定性和安全性能決定了服務(wù)器的性能。網(wǎng)絡(luò)操作系統(tǒng)的系統(tǒng)軟件,管理并控制著計(jì)算機(jī)軟硬件資源,并在用戶與計(jì)算之間擔(dān)任著重要的橋梁作用。一般對(duì)其采用下列設(shè)置保障其基本安全

1.關(guān)閉不必要的服務(wù)。2.制定嚴(yán)格的賬戶策略。3.科學(xué)的分配用戶賬戶權(quán)限。4.科學(xué)的安全配置和分析。 (三)入侵檢測(cè)解決方案。在現(xiàn)有的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系中,大部分企業(yè)都部署了防火墻對(duì)企業(yè)進(jìn)行保護(hù)。但是傳統(tǒng)防火墻設(shè)備有其自身的缺點(diǎn)。如果操作系統(tǒng)由于自身的漏洞也有可能帶來較大的安全風(fēng)險(xiǎn)。根據(jù)企業(yè)網(wǎng)絡(luò)的實(shí)際應(yīng)用情況,對(duì)網(wǎng)絡(luò)環(huán)境安全狀況進(jìn)行詳細(xì)的分析研究認(rèn)為,對(duì)外提供應(yīng)用服務(wù)的服務(wù)器應(yīng)該受到重點(diǎn)的監(jiān)控和防護(hù)。在這一區(qū)域部署入侵檢測(cè)系統(tǒng),這樣可以充分發(fā)揮IDS的優(yōu)勢(shì),形成防火墻后的第二道防線,如果充分利用IDS與防火墻的互動(dòng)功能優(yōu)勢(shì),則可以大大提升動(dòng)態(tài)防護(hù)的效果。

(四)安全管理解決方案。信息系統(tǒng)安全管理機(jī)構(gòu)是負(fù)責(zé)信息安全日常事務(wù)工作的,應(yīng)按照國(guó)家信息系統(tǒng)安全的有關(guān)法律、法規(guī)、制度、規(guī)范建立和健全有關(guān)的安全策略和安全目標(biāo),結(jié)合自身信息系統(tǒng)的安全需求建立安全實(shí)施細(xì)則,并負(fù)責(zé)貫徹實(shí)施。 單位安全網(wǎng)(即內(nèi)網(wǎng))系統(tǒng)安全管理機(jī)構(gòu)主要實(shí)現(xiàn)以下職能:

1.建立和健全本系統(tǒng)的系統(tǒng)安全操作規(guī)程。

2.確定信息安全各崗位人員的職責(zé)和權(quán)限,實(shí)行相互授權(quán)、相互牽連,建立崗位責(zé)任制。

3.審議并通過安全規(guī)劃,年度安全報(bào)告,有關(guān)安全的宣傳、教育、培訓(xùn)計(jì)劃。

第5篇:網(wǎng)絡(luò)安全研究范文

在一個(gè)安全域內(nèi)也可進(jìn)一步細(xì)化,被劃分為安全子域。從而,將復(fù)雜的網(wǎng)絡(luò)簡(jiǎn)單化,保障網(wǎng)絡(luò)安全防護(hù)的層次和深度,突出安全防護(hù)的重點(diǎn),便于進(jìn)行有效的運(yùn)維管理,使得整體網(wǎng)絡(luò)系統(tǒng)的安全和各應(yīng)用系統(tǒng)安全都得到提高,抵御潛在威脅,降低安全風(fēng)險(xiǎn)。安全域的劃分,應(yīng)按照以下基本原則:業(yè)務(wù)保障原則:機(jī)房網(wǎng)絡(luò)承載著很多業(yè)務(wù)系統(tǒng),并且很多重要業(yè)務(wù)是需要不間斷持續(xù)運(yùn)行,安全域劃分不僅要考慮到保障機(jī)房整體網(wǎng)絡(luò)的安全可靠,還要保障單位重要業(yè)務(wù)系統(tǒng)的正常和高效運(yùn)行。簡(jiǎn)化劃分原則:安全域的劃分是把原有復(fù)雜的網(wǎng)絡(luò)進(jìn)行簡(jiǎn)單化處理,使網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單、邊界清晰,易于部署。因此,劃分安全域過多、過細(xì),反而適得其反,造成設(shè)計(jì)上的繁冗,不利于在實(shí)施上進(jìn)行防護(hù)部署,也給運(yùn)維和管理帶來不便。等級(jí)保護(hù)原則:安全域劃分應(yīng)綜合考慮其承載的業(yè)務(wù)類型,信息系統(tǒng)、資產(chǎn)等的重要程度,明確不同安全等級(jí)。安全等級(jí)不同,需要設(shè)定的安全環(huán)境及安全策略等保護(hù)措施也不同,同一安全域的信息資產(chǎn)實(shí)施統(tǒng)一的保護(hù)。整體防御原則:根據(jù)網(wǎng)絡(luò)實(shí)際情況,安全域劃分要從網(wǎng)絡(luò)實(shí)際出發(fā),圍繞網(wǎng)絡(luò)防護(hù)重點(diǎn),安全域需要考慮在網(wǎng)絡(luò)的不同層次上進(jìn)行安全防護(hù)設(shè)計(jì),包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全等。并且運(yùn)用多種安全技術(shù)與措施進(jìn)行協(xié)防,達(dá)到整體防御的效果。

1.安全域劃分把網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)和隱患保持在一個(gè)合理范圍,解決可能存在的風(fēng)險(xiǎn)和隱患,不應(yīng)單一考慮安全產(chǎn)品的選擇和安全設(shè)備的簡(jiǎn)單疊加,而是從實(shí)際現(xiàn)狀出發(fā),通過合理布局、有效防護(hù)、全局管理,才能提高安全性。因此,我們以安全域劃分作為網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)的基準(zhǔn),將各個(gè)應(yīng)用系統(tǒng)分別劃入不同的安全域,在根據(jù)每個(gè)安全域內(nèi)部的特定安全需求進(jìn)一步劃分。經(jīng)過對(duì)機(jī)房網(wǎng)絡(luò)的綜合考慮和分析,我們把安全域分為互聯(lián)網(wǎng)域、核心交換域、服務(wù)域、接入域、安全管理域?;ヂ?lián)網(wǎng)域:本區(qū)域是和互聯(lián)網(wǎng)進(jìn)行直接連接,主要放置互聯(lián)網(wǎng)直接訪問的設(shè)備。核心交換域:主要放置網(wǎng)絡(luò)中的核心交換設(shè)備,是支撐整體網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)拓?fù)?。用于?shí)現(xiàn)各業(yè)務(wù)系統(tǒng)的有效劃分、安全隔離,不同系統(tǒng)之間通過安全策略進(jìn)行有規(guī)則的信息交互。服務(wù)域:本區(qū)域包含了各業(yè)務(wù)應(yīng)用服務(wù)器、重要信息系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等,通過基礎(chǔ)網(wǎng)絡(luò)設(shè)施的連接進(jìn)行信息數(shù)據(jù)的存儲(chǔ)及處理。需要注重的是防病毒攻擊、數(shù)據(jù)篡改,保證數(shù)據(jù)完整性。接入域:包含了外部主機(jī)接入和局域網(wǎng)終端用戶接入,需要注重的是加強(qiáng)認(rèn)證、訪問控制、統(tǒng)一部署防病毒等。安全管理域:由安全控制及管理維護(hù)平臺(tái)等設(shè)備構(gòu)成,主要提供對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)系統(tǒng)、終端用戶的集中管理,提高網(wǎng)絡(luò)風(fēng)險(xiǎn)分析和管理能力。

2.安全域基礎(chǔ)防護(hù)策略通過對(duì)安全域的劃分,便于我們清楚地明確網(wǎng)絡(luò)的層次結(jié)構(gòu)。然后,根據(jù)安全域邊界和內(nèi)部風(fēng)險(xiǎn)分析,制定網(wǎng)絡(luò)安全系統(tǒng)的部署,解決安全域邊界防護(hù),安全域內(nèi)防護(hù)問題。安全域邊界:通過對(duì)安全域邊界的控制,保護(hù)安全域不受來自其他域的安全威脅。采用的主要安全技術(shù)為邊界隔離。安全產(chǎn)品部署:防火墻、VLAN劃分相結(jié)合的方式進(jìn)行訪問控制?;ヂ?lián)網(wǎng)域:此處是網(wǎng)絡(luò)對(duì)外連接的重要出口,因此,也是對(duì)網(wǎng)絡(luò)數(shù)據(jù)流入流出很好的監(jiān)控位置。采用的安全技術(shù)是利用入侵防御系統(tǒng),流量監(jiān)控,對(duì)網(wǎng)絡(luò)出口的數(shù)據(jù)流及網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè),防止DDOS攻擊。安全產(chǎn)品部署:IPS設(shè)備、流控設(shè)備等。服務(wù)域內(nèi)部:對(duì)于業(yè)務(wù)服務(wù)器及數(shù)據(jù)存儲(chǔ),通過防火墻制定對(duì)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的訪問規(guī)則,過濾惡意代碼的攻擊,防御系統(tǒng)漏洞、數(shù)據(jù)篡改等,利用入侵檢測(cè)系統(tǒng)監(jiān)視網(wǎng)絡(luò)攻擊行為并進(jìn)行報(bào)警。采用的安全技術(shù)有漏洞掃描系統(tǒng)和入侵檢測(cè)系統(tǒng)。安全產(chǎn)品部署:防火墻、主機(jī)加固、IDS設(shè)備等。接入域:可以統(tǒng)一部署防病毒系統(tǒng),用于對(duì)終端的病毒檢測(cè)和清除,實(shí)現(xiàn)全網(wǎng)病毒防護(hù),防止病毒大范圍傳播。嚴(yán)格控制局域網(wǎng)終端和外部終端的準(zhǔn)入規(guī)則,建立完善的用戶賬號(hào)登錄機(jī)制,避免閑置及過期的用戶存在,控制權(quán)限操作范圍。安全管理域:部署集中管控系統(tǒng),管理劃分的安全域和子域信息,實(shí)現(xiàn)日志管理、數(shù)據(jù)采集、網(wǎng)絡(luò)管理和用戶管理等功能,全面記錄網(wǎng)絡(luò)運(yùn)行情況。對(duì)網(wǎng)絡(luò)進(jìn)行安全審計(jì),有助于分析潛在風(fēng)險(xiǎn)。安全產(chǎn)品部署:集中管理平臺(tái),安全審計(jì)系統(tǒng)等。

二、采用基于安全域的網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì),有以下優(yōu)點(diǎn)

1.網(wǎng)絡(luò)結(jié)構(gòu)擴(kuò)展性和易用性得到充分發(fā)揮通過對(duì)網(wǎng)絡(luò)安全域的劃分,不僅能較好地滿足當(dāng)前安全的需求,而且為今后新業(yè)務(wù)的擴(kuò)展提供了有力的支撐。對(duì)于新增業(yè)務(wù)安全設(shè)計(jì)不必重新投入,只需將支撐該業(yè)務(wù)的應(yīng)用系統(tǒng)接入不同的安全域,就能夠滿足基本的安全需求。不但節(jié)省投資,也適應(yīng)業(yè)務(wù)的發(fā)展。

2.有利于網(wǎng)絡(luò)安全事件的預(yù)警和處理通過對(duì)網(wǎng)絡(luò)安全域的劃分,我們可以清楚地了解網(wǎng)絡(luò)的層次結(jié)構(gòu),更加深入地分析安全域中隱藏的漏洞及隱患。針對(duì)突發(fā)的各種網(wǎng)絡(luò)安全事件,管理員可以盡快的判斷問題所在,究其原因,及時(shí)處理,減小損失。

第6篇:網(wǎng)絡(luò)安全研究范文

關(guān)鍵詞:大數(shù)據(jù);網(wǎng)絡(luò)安全;互聯(lián)網(wǎng)

1概述

大數(shù)據(jù)時(shí)代的來臨對(duì)我們所生活的社會(huì)產(chǎn)生了極為積極的影響的同時(shí),也不可避免的帶來了一些負(fù)面的影響,給計(jì)算機(jī)網(wǎng)絡(luò)帶來了巨大的挑戰(zhàn)。大數(shù)據(jù)已經(jīng)滲透到社會(huì)的各個(gè)行業(yè)、方方面面,各行各業(yè)都在大數(shù)據(jù)的參與下產(chǎn)生了或者正在產(chǎn)生著積極的變化,但我們大家也不應(yīng)該忽略大數(shù)據(jù)時(shí)代帶來的網(wǎng)絡(luò)安全問題。大數(shù)據(jù)提供了更為高速、更為便捷的網(wǎng)絡(luò)服務(wù)的同時(shí),也在產(chǎn)生大量的安全隱患問題,這些問題正在威脅著計(jì)算機(jī)的網(wǎng)絡(luò)安全。因此,研究和分析大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)的安全問題進(jìn)而提出解決安全問題的方案是很有必要的。

2大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全及其潛在威脅

計(jì)算機(jī)網(wǎng)絡(luò)安全就是在互聯(lián)網(wǎng)這個(gè)平臺(tái)上,借助必要的計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)管理手段使得在互聯(lián)網(wǎng)平臺(tái)上進(jìn)行數(shù)據(jù)傳輸?shù)膫鬏斶^程和傳輸數(shù)據(jù)都能在安全的環(huán)境中進(jìn)行,不至于出現(xiàn)信息泄露、篡改等情況,從而有效的保證信息儲(chǔ)存以及傳輸?shù)陌踩院涂煽啃浴㈦[秘性。互聯(lián)網(wǎng)安全是在網(wǎng)絡(luò)互聯(lián)的各個(gè)行業(yè)發(fā)展的前提,然而在大數(shù)據(jù)的背景下,在互聯(lián)網(wǎng)上會(huì)出現(xiàn)更多的媒介手段,更多元化的傳輸方式,這些都決定了將會(huì)有更多的影響因素來影響計(jì)算機(jī)網(wǎng)絡(luò)的安全。本文經(jīng)過研究發(fā)現(xiàn)能夠影響互聯(lián)網(wǎng)安全的因素是多元化的,先將其歸納為以下三種:

2.1人為方面

在互聯(lián)網(wǎng)的全球化進(jìn)程不斷地向前推進(jìn)的過程中,互聯(lián)網(wǎng)使得各個(gè)國(guó)家和組織進(jìn)一步互聯(lián)互通,同時(shí)互聯(lián)網(wǎng)的安全在人為方面顯得更為突出了。

2.2自由化方面的因素

由于互聯(lián)網(wǎng)的開放性,使得所有在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)不需要經(jīng)過安全性方面的篩選,這種因素導(dǎo)致互聯(lián)網(wǎng)本身的安全性受到很大的威脅。

2.3開放性的因素

影響互聯(lián)網(wǎng)安全的還有各種突發(fā)性因素,這些因素包括互聯(lián)網(wǎng)的開放性,開放的網(wǎng)絡(luò)環(huán)境很容易讓心懷不軌的人有可乘之機(jī),制造冰毒,并通過互聯(lián)網(wǎng)傳播到全世界,攻擊和損壞網(wǎng)絡(luò)上的計(jì)算機(jī)。

3大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)安全問題

“大數(shù)據(jù)”的含義是數(shù)據(jù)的種類豐富、容量大。豐富的數(shù)據(jù)種類加上龐大的存儲(chǔ)容量,使得大數(shù)據(jù)的安全管理問題變得越來越棘手??焖贁?shù)據(jù)采集速度和龐大的數(shù)據(jù)采集量使得數(shù)據(jù)采集無時(shí)無刻不在進(jìn)行,無時(shí)無刻不在發(fā)生,這樣的數(shù)據(jù)流動(dòng)加大了冰毒傳播的可能性,增加了冰毒識(shí)別的難度,使得和聯(lián)網(wǎng)的安全問題變得更加嚴(yán)峻。具體來說,體現(xiàn)在以下幾個(gè)方面。

3.1云數(shù)據(jù)

隨著信息技術(shù)的發(fā)展,越來越多的公司和個(gè)人都會(huì)選擇云的方式來存儲(chǔ)和備份數(shù)據(jù)。云存儲(chǔ)有一定的數(shù)據(jù)傳輸能力,可以把數(shù)據(jù)很方便地存儲(chǔ)在云端,方便下載和使用。云數(shù)據(jù)的這種性質(zhì)也使得其成為黑客攻擊的目標(biāo),因此,云存儲(chǔ)的安全性就成為企業(yè)和個(gè)人選擇云服務(wù)的重要的標(biāo)準(zhǔn),如何保護(hù)好云端的數(shù)據(jù),是企業(yè)和個(gè)人一直以來的首選任務(wù)。

3.2網(wǎng)絡(luò)安全問題

隨著社會(huì)經(jīng)濟(jì)和技術(shù)的發(fā)展,人們的消費(fèi)習(xí)慣也悄然發(fā)生著變化,支付方式也隨之改變,移動(dòng)支付、在線支付現(xiàn)已成為主流的支付手段。移動(dòng)支付固然便捷,但也存在著風(fēng)險(xiǎn),移動(dòng)支付手段為不法分子創(chuàng)造了一些新型的詐騙條件。隨著時(shí)代的發(fā)展,詐騙的團(tuán)伙的詐騙技能也在升級(jí),他們也可以通過網(wǎng)絡(luò)盜取詐騙對(duì)象的信息,通過篩選來進(jìn)行作案。這樣的情況無論是企業(yè)還是個(gè)人都要花費(fèi)一定的人力和物力來進(jìn)行防范。另外,移動(dòng)和在線支付也增加了資金被盜刷的可能性,現(xiàn)在的互聯(lián)網(wǎng)安全在這幾方面都存在漏洞,需要我們?cè)谑褂脮r(shí)盡可能地做到謹(jǐn)慎。

3.3隱私被竊取

隨著互聯(lián)網(wǎng)的發(fā)展,幾乎所有的計(jì)算機(jī)都連入了互聯(lián)網(wǎng),越來越多的事務(wù)都是通過網(wǎng)絡(luò)進(jìn)行辦理,在網(wǎng)絡(luò)上毫不避諱地把個(gè)人的隱私傳輸,這樣很容易造成隱私被竊取。另外也有一些不良的互聯(lián)網(wǎng)公司通過Cookie竊取個(gè)人隱私,進(jìn)行非法交易謀取利益。更有甚者通過植入計(jì)算機(jī)病毒控制他人計(jì)算機(jī)和攝像頭等設(shè)備來竊取隱私。

3.4消費(fèi)的風(fēng)險(xiǎn)

隨著互聯(lián)網(wǎng)的發(fā)展,消費(fèi)方式發(fā)生了極大的變化,網(wǎng)上消費(fèi)逐漸成為消費(fèi)的主流。在網(wǎng)上消費(fèi)的過程中,個(gè)人信息和個(gè)人的消費(fèi)記錄等信息就有可能通過網(wǎng)絡(luò)泄露出去。另外,大數(shù)據(jù)時(shí)代背景下我們的瀏覽記錄也會(huì)被心懷不軌者竊取,對(duì)我們的網(wǎng)絡(luò)安全,甚至人身安全造成威脅。

3.5供應(yīng)鏈

在供應(yīng)鏈的作用下企業(yè)之間相互聯(lián)系在一起,供應(yīng)企業(yè)負(fù)責(zé)把最初的數(shù)據(jù)供應(yīng)給其他的企業(yè),所以對(duì)供應(yīng)企業(yè)和被供應(yīng)企業(yè)來說數(shù)據(jù)的保護(hù)是最為重要的。要想保證供應(yīng)鏈中的企業(yè)鏈有序的發(fā)展,首先需要保證供應(yīng)鏈的安全和防護(hù)。各個(gè)企業(yè)都對(duì)這個(gè)問題十分重視,甚至不惜為此打造了一條專門的安全通道,而不計(jì)較成本問題。從這個(gè)角度,我們不難看出大數(shù)據(jù)相關(guān)的5個(gè)問題基本上都是安全問題。在當(dāng)今大數(shù)據(jù)的背景下,企業(yè)的核心數(shù)據(jù)對(duì)于企業(yè)而言是十分重要的。而作為互聯(lián)網(wǎng)上的大數(shù)據(jù),保證數(shù)據(jù)的安全是任何時(shí)候都十分重要的。因此,只有做好大數(shù)據(jù)的安全防護(hù),才能讓大數(shù)據(jù)真正為信息技術(shù)服務(wù)。

4計(jì)算機(jī)網(wǎng)絡(luò)安全問題的創(chuàng)新性措施

4.1利用防火墻來合理解決系統(tǒng)安全防護(hù)

計(jì)算機(jī)操作系統(tǒng)本身就有一定的安全防范能力,但在大數(shù)據(jù)的背景下,除了計(jì)算機(jī)系統(tǒng)本身的安全防護(hù)之外,應(yīng)努力建立現(xiàn)代化的互聯(lián)網(wǎng)安全防護(hù)系統(tǒng),真正的從技術(shù)層面上做到安全。而在這個(gè)安全系統(tǒng)的建立過程中,防范是第一重要的,要有過硬的安全防范能力。多數(shù)企業(yè)會(huì)選擇防火墻作為安全防護(hù)的重要手段,這一技術(shù)正好契合單位互聯(lián)網(wǎng)對(duì)于網(wǎng)絡(luò)環(huán)境的保護(hù)要求。防火墻的應(yīng)用需要使用者具有一定的應(yīng)用技術(shù),能夠通過防火墻對(duì)管理系統(tǒng)進(jìn)行劃分,通過劃分來處理系統(tǒng)信息,最終實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的安全。并且,防火墻可以定期監(jiān)測(cè)外部的安全防護(hù)系統(tǒng),這樣可以及時(shí)清除外部系統(tǒng)的風(fēng)險(xiǎn)。

4.2防范網(wǎng)絡(luò)黑客

在大數(shù)據(jù)時(shí)代的背景下,網(wǎng)絡(luò)上的黑客可以更加方便地對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的攻擊,所以網(wǎng)絡(luò)黑客的供給必然會(huì)變得越來越頻繁,因此處于計(jì)算機(jī)網(wǎng)絡(luò)中的計(jì)算機(jī)應(yīng)用人員應(yīng)從自身角度加強(qiáng)安全意識(shí),在計(jì)算機(jī)的操作過程中嚴(yán)格遵守安全操作規(guī)范,盡可能不給網(wǎng)絡(luò)攻擊制造機(jī)會(huì)。當(dāng)黑客對(duì)計(jì)算機(jī)進(jìn)行攻擊時(shí),可以借助大數(shù)據(jù)對(duì)黑客的攻擊行為進(jìn)行收集識(shí)別,這樣可以在更大程度上提高系統(tǒng)識(shí)別黑客的能力,另外,在防火墻的幫助下對(duì)系統(tǒng)進(jìn)行劃分,從而提升整個(gè)計(jì)算機(jī)系統(tǒng)對(duì)于黑客的識(shí)別和防范水平。這樣可以進(jìn)一步推廣數(shù)字認(rèn)證技術(shù),保證系統(tǒng)的安全進(jìn)出。

4.3對(duì)網(wǎng)絡(luò)管理進(jìn)行加強(qiáng)

加強(qiáng)網(wǎng)絡(luò)安全管理可以有效地使得個(gè)人、企業(yè)、機(jī)構(gòu)的數(shù)據(jù)免受損失。從每個(gè)個(gè)體來看,加強(qiáng)網(wǎng)絡(luò)管理可以通過提升自己的安全意識(shí)來維護(hù)個(gè)體的網(wǎng)絡(luò)安全,從而是自己的信息得到保護(hù)。而從企業(yè)或者是機(jī)構(gòu)這樣的集體來說,增強(qiáng)全體人員的安全意識(shí),重視互聯(lián)網(wǎng)安全管理,并對(duì)大數(shù)據(jù)背景下的網(wǎng)絡(luò)安全的特征進(jìn)行掌握,并進(jìn)行網(wǎng)絡(luò)安全的管理。

4.4安裝相關(guān)殺毒軟件保護(hù)

殺毒軟件是計(jì)算機(jī)互聯(lián)網(wǎng)安全繞不開的問題,在大數(shù)據(jù)的背景下,病毒和殺毒軟件的斗爭(zhēng)在計(jì)算機(jī)系統(tǒng)中從未停歇,計(jì)算機(jī)病毒很大程度上影響著計(jì)算機(jī)網(wǎng)絡(luò)安全,而殺毒軟件則是可以切實(shí)的保證計(jì)算機(jī)的網(wǎng)絡(luò)安全。在實(shí)際的應(yīng)用過程中,能夠通過殺毒軟件的正確應(yīng)用避免計(jì)算機(jī)系統(tǒng)被一些常規(guī)的病毒入侵,并且在計(jì)算機(jī)遭遇到黑客攻擊時(shí)能夠及時(shí)發(fā)出警報(bào),最終實(shí)現(xiàn)保護(hù)信息安全的目的。就現(xiàn)階段而言我,我國(guó)市場(chǎng)上流行許多安全軟件,并且能夠借助云計(jì)算進(jìn)行病毒庫的實(shí)時(shí)更新,這在一定程度上實(shí)現(xiàn)了互聯(lián)網(wǎng)信息安全的保障。

4.5強(qiáng)化信息儲(chǔ)存?zhèn)鬏敯踩?/p>

信息儲(chǔ)存和傳輸是互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的重點(diǎn),互聯(lián)網(wǎng)之所以能夠成為各行各業(yè)離不開的技術(shù)就是依賴于其自身的信息高效傳輸和安全傳輸,在進(jìn)行信息存儲(chǔ)和傳輸?shù)倪^程中能夠通過互聯(lián)網(wǎng)信息加密手段來保證其傳輸安全。將互聯(lián)網(wǎng)信息能夠設(shè)置成密文的形式,即使被黑客截取依舊破解不開,最終能夠保證信息安全,讓信息傳輸過程中的風(fēng)險(xiǎn)得到接觸。

第7篇:網(wǎng)絡(luò)安全研究范文

關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全;防火墻

一、網(wǎng)絡(luò)安全概念

網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、通信技術(shù)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、信息論、數(shù)論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全,從廣義來說,凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。但網(wǎng)絡(luò)安全具體的含義會(huì)因?yàn)椴煌瑢?duì)象而產(chǎn)生不同的理解,對(duì)于網(wǎng)絡(luò)的使用者來說,他們希望商業(yè)秘密、個(gè)人隱私、個(gè)人安全等相關(guān)信息能真實(shí)、完整、保密在網(wǎng)絡(luò)上進(jìn)行傳輸和存儲(chǔ),且避免非法人員利用各種手段對(duì)信息進(jìn)行竊取、篡改,損害使用者的利益;但對(duì)網(wǎng)絡(luò)具體的管理者和維護(hù)人員來說,他們希望網(wǎng)絡(luò)不受病毒感染、遭受攻擊、網(wǎng)絡(luò)資源受到非法占用和控制,保證網(wǎng)絡(luò)及網(wǎng)絡(luò)中的信息能正常訪問和操作。

二、網(wǎng)絡(luò)安全關(guān)鍵技術(shù)

1.防火墻技術(shù)

防火墻(FireWall)技術(shù)是抵抗黑客入侵和防止未授權(quán)訪問的最有效手段之一,也是目前網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略應(yīng)用最為廣泛的工具之一。所謂防火墻就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。

防火墻分為兩種類型,即標(biāo)準(zhǔn)防火墻和雙家網(wǎng)關(guān)。標(biāo)準(zhǔn)防火墻系統(tǒng)包含一個(gè)UNIX工作站,該工作站的兩端各接一個(gè)路由器進(jìn)行緩沖。其中一個(gè)路由器的接口是外部網(wǎng)絡(luò),即internet網(wǎng);另一個(gè)接口連接內(nèi)部私有網(wǎng)絡(luò)。標(biāo)準(zhǔn)防火墻使用專門的軟件,在信息傳輸上因需進(jìn)行轉(zhuǎn)換有一定的延遲。雙家網(wǎng)關(guān)(Dual Home Gateway)則是標(biāo)準(zhǔn)防火墻的擴(kuò)充,又稱堡全主機(jī)(Bation Host)或應(yīng)用層網(wǎng)關(guān)(Applications LayerGateway),它是一個(gè)單個(gè)的系統(tǒng)。雙家網(wǎng)關(guān)的優(yōu)點(diǎn)是能運(yùn)行更復(fù)雜的應(yīng)用同時(shí)防止在互聯(lián)網(wǎng)和內(nèi)部系統(tǒng)之間建立的任何直接的邊疆,可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡(luò)到達(dá)內(nèi)部網(wǎng)絡(luò),反之亦然。

2.虛擬專用網(wǎng)(VPN)技術(shù)

虛擬專用網(wǎng)(VPN)被定義為通過一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的U道,虛擬專用網(wǎng)(VPN)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展虛擬專用網(wǎng)VPN可以幫助遠(yuǎn)程接入用戶、分支機(jī)構(gòu)、合作伙伴等同總部的內(nèi)部網(wǎng)建立安全連接,并保證數(shù)據(jù)的安全保密傳輸。數(shù)據(jù)流通過低成本的公網(wǎng)絡(luò)進(jìn)行傳輸,這將極大地減少網(wǎng)絡(luò)組建的費(fèi)用,同時(shí)還簡(jiǎn)化了網(wǎng)絡(luò)的設(shè)計(jì)和管理,也便于靈活接入。

VPN中采用的關(guān)鍵技術(shù)主要包括隧道技術(shù)、用戶身份認(rèn)證技術(shù)、加密技術(shù)和訪問控制技術(shù)。VPN采用的技術(shù)中最為核心的技術(shù)就是隧道技術(shù),隧道技術(shù)是一種通過互聯(lián)網(wǎng)傳輸私有網(wǎng)絡(luò)數(shù)據(jù)的一種技術(shù)。對(duì)所傳輸?shù)臄?shù)據(jù)在傳送之前被封裝在相應(yīng)的U道協(xié)議里,當(dāng)?shù)竭_(dá)另一端時(shí)被解虬被封裝的數(shù)據(jù)在互聯(lián)網(wǎng)上傳送時(shí)所經(jīng)過的通道是一條虛擬的邏輯通道。U道協(xié)議分為第2層U道協(xié)議和第3層U道協(xié)議及傳輸層安全U道協(xié)議,第2層隧道協(xié)議主要有PPTP、L2TP等,第3層隧道協(xié)議主要有GRE以及IPSec等,傳輸層安全協(xié)議主要有ssl、tls等。L2TP和IPSec是目前應(yīng)用最廣泛的兩種協(xié)議。VPNU道主要有兩種S道,一種是端到端的隧道,另一種是節(jié)點(diǎn)到節(jié)點(diǎn)的隧道。

3.計(jì)算機(jī)病毒防護(hù)技術(shù)

第8篇:網(wǎng)絡(luò)安全研究范文

關(guān)鍵詞 無線網(wǎng)絡(luò) 安全機(jī)制 IEEE802.11 WAPI

中圖分類號(hào):TN92 文獻(xiàn)標(biāo)識(shí)碼:A

1 無線網(wǎng)絡(luò)安全概述

計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制技術(shù)措施,保證在一個(gè)網(wǎng)絡(luò)環(huán)境里,信息數(shù)據(jù)的機(jī)密性、完整性及可使用性受到保護(hù)。無線網(wǎng)絡(luò)是一種利用無線電波在自由空間的傳播實(shí)現(xiàn)終端間通信的網(wǎng)絡(luò)。隨著無線網(wǎng)絡(luò)在各領(lǐng)域的廣泛應(yīng)用和不斷發(fā)展,無線網(wǎng)絡(luò)的安全問題受到人們的普遍關(guān)注。無線網(wǎng)絡(luò)其信號(hào)的輻射四周使得面臨著較大的安全風(fēng)險(xiǎn);由于無線終端在性能上不足使得某些加密算法無法適用于無線環(huán)境;不同類型和用途的無線網(wǎng)絡(luò)對(duì)其對(duì)安全性及其實(shí)現(xiàn)的相關(guān)技術(shù)有著不同的要求。由于無線網(wǎng)絡(luò)的結(jié)構(gòu)不穩(wěn)定性,許多在有線網(wǎng)絡(luò)中實(shí)施很好的安全方案和技術(shù)并不能直接用于無線網(wǎng)絡(luò),同時(shí)由于無線網(wǎng)絡(luò)環(huán)境具有復(fù)雜性和不穩(wěn)定性,使得實(shí)現(xiàn)安全目標(biāo)有一定的困難。

2 無線網(wǎng)絡(luò)的安全特性

無線網(wǎng)絡(luò)的應(yīng)用解決了終端的移動(dòng)通信問題,它具有安裝便捷,網(wǎng)絡(luò)結(jié)構(gòu)動(dòng)態(tài)變化靈活,不需要鋪設(shè)線纜具有一定經(jīng)濟(jì)性,同時(shí)提供無線覆蓋范圍內(nèi)的漫游等優(yōu)勢(shì)。無線網(wǎng)絡(luò)的開放性帶來兩個(gè)安全問題一是接入控制,二是數(shù)據(jù)加密。無線網(wǎng)絡(luò)在信息安全方面表現(xiàn)在以下幾個(gè)方面:

(1) 無線網(wǎng)絡(luò)的開放性使得網(wǎng)絡(luò)更容易受到惡意攻擊;在無線通信中,任何處于信號(hào)傳播范圍內(nèi)的接收設(shè)備都能接收到發(fā)射裝置所發(fā)射的電磁波信號(hào),容易受到從被動(dòng)竊聽到主動(dòng)干擾的各種攻擊。在有線網(wǎng)絡(luò)中,有固定的拓?fù)浣Y(jié)構(gòu),并且具有確定的邊界,攻擊者必須通過物理接入網(wǎng)絡(luò)或經(jīng)過幾道防線,如路由器或網(wǎng)關(guān)和防火墻,才能進(jìn)入內(nèi)部網(wǎng)絡(luò)中。在固定的位置通過接入端口的管理控制能夠有效阻斷惡意攻擊者。

(2)無線網(wǎng)絡(luò)通信存在魯棒性問題。在路由方面,普遍采用多路徑路由方式,數(shù)據(jù)沿著多條路徑同時(shí)傳輸時(shí)雖然在一定程度上提高了數(shù)據(jù)傳輸?shù)目煽啃?,?duì)一些擾動(dòng)因素的變化比如節(jié)點(diǎn)失效等具有一定的魯棒性。有線網(wǎng)絡(luò)的傳輸信號(hào)穩(wěn)定;無線信號(hào)傳輸信道特性是變化的,會(huì)受到衰落、干擾、多徑、多普勒頻移等許多方面的影響,信號(hào)波動(dòng)很大,甚至無法通信。

(3)無線網(wǎng)絡(luò)安全方案部署困難。在有固定邊界的有線網(wǎng)絡(luò)中,通常拓?fù)浣Y(jié)構(gòu)固定,安全技術(shù)方案部署容易。無線網(wǎng)絡(luò)環(huán)境中動(dòng)態(tài)變化的拓?fù)浣Y(jié)構(gòu),缺乏一定的集中管理機(jī)制,安全部署較為復(fù)雜。在無線網(wǎng)絡(luò)中網(wǎng)絡(luò)安全必須依賴所有節(jié)點(diǎn)的共同參與和協(xié)作。

(4)無線網(wǎng)絡(luò)在安全管理方面具有一定難度。有線網(wǎng)絡(luò)的用戶終端過普通線纜與接入設(shè)備之間相連,并固定在一定范圍內(nèi),容易管理。而無線終端在大范圍內(nèi)移動(dòng),可以跨區(qū)域漫游。惡意攻擊者在任何位置實(shí)施攻擊,要想確定并跟蹤一個(gè)特定的移動(dòng)節(jié)點(diǎn)很難;無線網(wǎng)絡(luò)移動(dòng)終端的管理由于其移動(dòng)性而帶來了新的安全管理問題。

3 無線網(wǎng)絡(luò)安全機(jī)制

無線網(wǎng)絡(luò)存在眾多的安全隱患和安全漏洞,其不得不采取一定的安全機(jī)制,一般采用加密認(rèn)證機(jī)制,其中常見加密方式有WEP加密、WPA加密,認(rèn)證包括IEEE802.1X驗(yàn)證等、以及IEEE80211I標(biāo)準(zhǔn)、WPAI等。

傳統(tǒng)意義上無線網(wǎng)絡(luò)使用的安全機(jī)制主要包括SSID和MAC兩種。SSID(Service Set Identifier)即服務(wù)設(shè)置標(biāo)識(shí),也稱ESSID,表示的是無線AP或無線路由器的標(biāo)識(shí)字符,無線客戶端只有輸入正確的SSID才能訪問該無線AP或無線路由器。通過SSID技術(shù)可以區(qū)分不同的無線局域網(wǎng)。它相當(dāng)于一個(gè)簡(jiǎn)單的口令,保證無線局域網(wǎng)的安全。MAC即媒體訪問控制,一般稱為物理地址過濾。通過MAC技術(shù)可以在無線局域網(wǎng)中為無線AP或無線路由器設(shè)置一個(gè)許可接入的用戶的MAC地址表,如果接入的無線網(wǎng)卡的MAC地址不在該列表中,無線AP或無線路由器將拒絕其接入,以實(shí)現(xiàn)物理地址過濾,并保證無線局域網(wǎng)的安全,在無線局域網(wǎng)中,MAC地址過濾屬于硬件認(rèn)證,而不是用戶認(rèn)證。

隨著無線局域網(wǎng)IEEE802.11標(biāo)準(zhǔn)的風(fēng)行,IEEE802.11系列標(biāo)準(zhǔn)采用的安全技術(shù)也被大家所熟知,其中主要包括用戶認(rèn)證、加密等幾種技術(shù)。在無線網(wǎng)絡(luò)環(huán)境中,要保證網(wǎng)絡(luò)的安全,必須對(duì)用戶的身份進(jìn)行驗(yàn)證。IEEE802.11系列標(biāo)準(zhǔn)中,對(duì)用戶進(jìn)行認(rèn)證的技術(shù)包括3中;開放系統(tǒng)認(rèn)證(Open System Authentication)該認(rèn)證是IEEE802.11默認(rèn)認(rèn)證,也是最簡(jiǎn)單的認(rèn)證算法,即不認(rèn)證,允許任何用戶接入到無線網(wǎng)絡(luò)中去,實(shí)際上根本沒有提供對(duì)數(shù)據(jù)的保護(hù)。封閉系統(tǒng)認(rèn)證(Closed System Authentication),該認(rèn)證與開放系統(tǒng)認(rèn)證相反,通過網(wǎng)絡(luò)設(shè)置可以保證無線網(wǎng)絡(luò)的安全,例如,關(guān)閉SSID廣播等。共享密鑰認(rèn)證(Shared Key Authentication),該認(rèn)證是基于wep的共享密鑰認(rèn)證,它事先假定一個(gè)站點(diǎn)通過一個(gè)獨(dú)立于802.11網(wǎng)絡(luò)的安全信道,已經(jīng)接收到目標(biāo)站點(diǎn)的一個(gè)WEP加密的認(rèn)證幀,然后該站點(diǎn)將該幀通過WEP加密向目標(biāo)站點(diǎn)發(fā)送。目標(biāo)站點(diǎn)接收到之后,利用相同的WEP密鑰進(jìn)行解密,然后進(jìn)行認(rèn)證。在早期IEEE802.11標(biāo)準(zhǔn)中,主要使用的加密技術(shù)就是WEP(Wired Equivalent Protocol,有線等效協(xié)議)。WEP屬于IEEE802.11b標(biāo)準(zhǔn)的一部分,它是一種對(duì)稱加密加密盒解密的密鑰以及算法相同,采用RC4加密算法,24位初始化向量。在一定程度上通過WEP加密可以保證傳輸?shù)臄?shù)據(jù)的安全性,由于其是對(duì)稱加密算法加密強(qiáng)度不大,隨著機(jī)器性能的提升容易破解。為了彌補(bǔ)無線局域網(wǎng)自身存在的缺陷,IEEE標(biāo)準(zhǔn)委員會(huì)正式批準(zhǔn)了新一代的IEEE 802.11i標(biāo)準(zhǔn)即WI-FI,它結(jié)合認(rèn)證和加密,在認(rèn)證方面采用IEEE802.1X認(rèn)證,而在數(shù)據(jù)加密方面,提出了TKIP、CCMP和WRAP三種加密機(jī)制。

由于802.11i并不是WLAN的終極,針對(duì)其不完善之處,例如缺少對(duì)WLAN設(shè)備身份的安全認(rèn)證,我國(guó)在無線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)中提出了安全等級(jí)更高的WAPI;WPAI由WAI和WPI兩個(gè)部分組成, WAPI采用了基于公鑰密碼體制的橢圓曲線密碼算法和對(duì)稱密碼體制的分組密碼算法,通過數(shù)字證書和傳輸數(shù)據(jù)的加解密,實(shí)現(xiàn)設(shè)備的身份鑒別、訪問控制和用戶信息的加密保護(hù)。WAPI安全系統(tǒng)采用公鑰密碼技術(shù),鑒權(quán)服務(wù)器AS負(fù)責(zé)證書的頒發(fā)、驗(yàn)證與吊銷等,無線客戶端與無線接入點(diǎn)AP上都安裝有AS頒發(fā)的公鑰證書,作為自己的數(shù)字身份憑證。當(dāng)無線客戶端登錄至無線接入點(diǎn)AP時(shí),在訪問網(wǎng)絡(luò)之前必須通過鑒別服務(wù)器AS對(duì)雙方進(jìn)行身份驗(yàn)證。根據(jù)驗(yàn)證的結(jié)果,持有合法證書的移動(dòng)終端才能接入持有合法證書的無線接入點(diǎn)AP。

4 結(jié)論

無線攻擊從單純的WEP及WPA連接密碼破解外,還有無線D.O.S、無線欺騙/偽造基站攻擊、無線設(shè)備溢出、數(shù)據(jù)攔截與還原、認(rèn)證體系攻擊等等。除此之外,還有針對(duì)藍(lán)牙、GSM、CDMA、3G等攻擊、欺騙或偽造的技術(shù)。在組建無線網(wǎng)絡(luò)的時(shí)候,千萬要牢記網(wǎng)絡(luò)的不安全因素,要對(duì)設(shè)備進(jìn)行一定的安全配置,同時(shí)個(gè)人移動(dòng)端接入時(shí)也要考慮自身的安全性??紤]網(wǎng)絡(luò)的安全時(shí)不僅要采用一定的加密認(rèn)證等機(jī)制,而且還需要采用入侵檢測(cè)、防火墻等技術(shù)的配合來共同保障,因此部署無線局域網(wǎng)的安全需要從多層次來考慮,利用各種技術(shù)來實(shí)現(xiàn)。

參考文獻(xiàn)

[1] 胡愛群等.無線通信網(wǎng)絡(luò)的安全問題及對(duì)策[M].電信科學(xué),2003.12.

第9篇:網(wǎng)絡(luò)安全研究范文

隨著信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)安全方面的問題,直接影響到了軍事、文化、經(jīng)濟(jì)、政治等不同的領(lǐng)域。在計(jì)算機(jī)網(wǎng)絡(luò)走進(jìn)千家萬戶的同時(shí),隨之而來的是網(wǎng)絡(luò)安全問題,在人們享受這網(wǎng)絡(luò)的方便快捷的同時(shí),也會(huì)被或大或小的網(wǎng)絡(luò)安全問題所困擾。本文以計(jì)算機(jī)網(wǎng)絡(luò)安全及企業(yè)網(wǎng)絡(luò)安全應(yīng)用為基本點(diǎn),進(jìn)行詳細(xì)的分析。

【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò)安全 企業(yè)網(wǎng)絡(luò)安全 應(yīng)用

在計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用越來越廣泛的今天,人們?cè)谙硎苤W(wǎng)絡(luò)帶來的方便快捷生活的同時(shí),也會(huì)被隨之而來的網(wǎng)絡(luò)安全問題而困擾,大多網(wǎng)絡(luò)用戶均屬于非專業(yè)人士,對(duì)網(wǎng)絡(luò)的認(rèn)知較淺,只能簡(jiǎn)單的應(yīng)用,對(duì)于網(wǎng)絡(luò)上常見的安全問題都會(huì)有些束手無策,對(duì)于一些需要用到網(wǎng)絡(luò)的企業(yè)而言,網(wǎng)絡(luò)安全問題更是需要受到重視。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的概述

所謂計(jì)算機(jī)網(wǎng)絡(luò)安全是指技術(shù)人員對(duì)網(wǎng)絡(luò)的性能和安全實(shí)行專業(yè)化的管理和控制,針對(duì)可能出現(xiàn)的狀況制定出合理的解決措施,從而保證數(shù)據(jù)的保密性以及完整性,且網(wǎng)絡(luò)環(huán)境相對(duì)穩(wěn)定,數(shù)據(jù)的各方面都能得到有效地保護(hù)。對(duì)于網(wǎng)絡(luò)的安全管理主要由兩部分構(gòu)成,一部分為物理安全,另一部分為邏輯安全,物理安全是指整個(gè)網(wǎng)絡(luò)系統(tǒng)的相關(guān)硬件以及附帶設(shè)施實(shí)行物理性的保護(hù),防止硬件的丟失或毀損;而邏輯安全則是指對(duì)數(shù)據(jù)傳輸?shù)耐暾?、保密性做到全方位的防護(hù)。

2 企業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀

現(xiàn)階段,網(wǎng)絡(luò)的發(fā)展和早期所設(shè)計(jì)的網(wǎng)絡(luò)意圖有所更改,已經(jīng)將安全問題放在了首位,若不能夠?qū)踩珕栴}解決,會(huì)在一定程度上直接影響到企業(yè)網(wǎng)絡(luò)的應(yīng)用。企業(yè)網(wǎng)絡(luò)的信息當(dāng)中存在著較多的對(duì)網(wǎng)絡(luò)安全會(huì)產(chǎn)生不利影響的特性,例如:網(wǎng)絡(luò)開放性、共享性以及互聯(lián)性等,在當(dāng)前經(jīng)常發(fā)生惡性攻擊事件,極大地顯示出了現(xiàn)階段嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì),所以對(duì)于網(wǎng)絡(luò)安全方面的防范措施,需要具備可以解除不同網(wǎng)絡(luò)威脅的特點(diǎn)。在最近幾年,我國(guó)的網(wǎng)絡(luò)協(xié)議和系統(tǒng)會(huì)產(chǎn)生較多的問題,不能夠安全、完善、健全的體現(xiàn)出所具備的影響價(jià)值。網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)由于具備的多樣性和復(fù)雜性,促使網(wǎng)絡(luò)安全變?yōu)榱艘环N需要不斷提升和更新的范疇。因此,計(jì)算機(jī)網(wǎng)絡(luò)在企業(yè)的應(yīng)用上,需要擁有相應(yīng)的網(wǎng)絡(luò)安全問題的分析,以及網(wǎng)絡(luò)安全的解決對(duì)策,才可以確保企業(yè)網(wǎng)絡(luò)的順暢運(yùn)行。

3 企業(yè)網(wǎng)絡(luò)安全應(yīng)用中的問題

3.1 網(wǎng)絡(luò)軟件的漏洞

網(wǎng)絡(luò)軟件不論多么的優(yōu)秀,都會(huì)產(chǎn)生或多或少的漏洞和缺陷,然而對(duì)于較高水平的黑客而言,定會(huì)將這些缺陷和漏洞作為首要攻擊的目標(biāo)。在早期發(fā)生的黑客攻擊事件當(dāng)中,基本上都是由于產(chǎn)生不完善的軟件安全措施所造成的后果。

3.2 人為無意失誤

人為的失誤方面包含不夠恰當(dāng)?shù)牟僮鲉T安全配置,會(huì)在一定程度上導(dǎo)致安全漏洞的產(chǎn)生,用戶缺失較強(qiáng)的安全意識(shí),經(jīng)常不填寫用戶口令,會(huì)將自身的賬號(hào)隨意的和別人分享或者供他人使用等,會(huì)無意間威脅到企業(yè)網(wǎng)絡(luò)。

3.3 人為惡意失誤

人為的惡意失誤是網(wǎng)絡(luò)的最大程度威脅因素,例如:計(jì)算機(jī)犯罪等。類似的攻擊,基本上能分成兩個(gè)層面:其一為被動(dòng)攻擊,是在不影響到網(wǎng)絡(luò)工作的基礎(chǔ)上,開展的破譯、竊取、截獲后,以此來獲取核心性的機(jī)密信息。其二為主動(dòng)攻擊,是用不同的方法有選擇性的對(duì)信息的完整性和有效性進(jìn)行破壞。這兩個(gè)層面的攻擊,都能夠讓計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)生較大的威脅,同時(shí)會(huì)造成機(jī)密數(shù)據(jù)的嚴(yán)重泄漏。

4 企業(yè)網(wǎng)絡(luò)安全應(yīng)用中的解決對(duì)策

4.1 網(wǎng)絡(luò)設(shè)備的安全

在防護(hù)網(wǎng)絡(luò)安全方面,保證網(wǎng)絡(luò)設(shè)備安全是較為基礎(chǔ)性的防護(hù)模式。其一,需要有效地對(duì)設(shè)備進(jìn)行配置,要保證只對(duì)設(shè)備中必要的服務(wù)有所開放,在運(yùn)行方面,只參考指定人員的訪問;其二,重視設(shè)備廠商所提出的漏洞,要在第一時(shí)間進(jìn)行網(wǎng)絡(luò)設(shè)備補(bǔ)丁的安裝;其三,在計(jì)算機(jī)網(wǎng)絡(luò)中的全部設(shè)備,有必要定期地進(jìn)行密碼的更換,并且密碼方面需要符合相應(yīng)的復(fù)雜度,才能夠不被輕易地破解。最后,組織有效的維護(hù)設(shè)備,保證網(wǎng)絡(luò)設(shè)備的運(yùn)營(yíng)穩(wěn)定性。

4.2 無線網(wǎng)絡(luò)的安全

因?yàn)闊o線網(wǎng)絡(luò)信號(hào)會(huì)利用空氣運(yùn)行,極易產(chǎn)生惡意用戶的竊取,因此無線網(wǎng)絡(luò)安全在一定程度上成為了預(yù)防安全隱患的重點(diǎn)。只是加密無線信號(hào),不可以達(dá)成安全性的要求。現(xiàn)階段,在企業(yè)的內(nèi)部提倡應(yīng)用認(rèn)證和加密的結(jié)合形式,其中所涉及到的認(rèn)證需要與AD相融合,以此來有效地提升賬戶的可管理性。

4.3 客戶端的安全管理

在大中型的企業(yè)當(dāng)中擁有著較多的客戶端,往往都屬于Windows操作系統(tǒng),對(duì)其進(jìn)行分別的管理較為麻煩,需要在企業(yè)的內(nèi)部利用Windows組策略進(jìn)行客戶端的管理。組策略就是利用一次的設(shè)定,制約一部分的對(duì)象。能夠在組策略中創(chuàng)設(shè)較為嚴(yán)謹(jǐn)?shù)牟呗?,以此來把控客戶端的安全運(yùn)行。主要的策略包含:加強(qiáng)賬戶策略、合理刪除Guest等類似次要的用戶;加強(qiáng)系統(tǒng)日志審核功能;局限非管理員的相應(yīng)操作權(quán)限等。這一系列的策略是企業(yè)內(nèi)部較為通用的策略。針對(duì)企業(yè)內(nèi)部生產(chǎn)使用中的客戶端,因?yàn)樽鳂I(yè)人員只應(yīng)用幾個(gè)建議的操作,因此有必要開展較為嚴(yán)格的限制。例如:最小化系統(tǒng)操作、最小化系統(tǒng)開放端口、最小化運(yùn)行的用戶進(jìn)程等。其中的最小化運(yùn)行用戶進(jìn)程所指的是,除了特定的系統(tǒng)進(jìn)程,不能夠使用其他的進(jìn)程。最小化系統(tǒng)操作包含:禁用注冊(cè)表、禁用命令提示符、禁用控制面板、禁用鼠標(biāo)右鍵等。

5 總結(jié)

根據(jù)以上的論述,網(wǎng)絡(luò)安全是較為復(fù)雜性、綜合性的問題,會(huì)與較多的因素相聯(lián)系,具體包含多種管理、產(chǎn)品以及技術(shù)等。不可以單純的依賴防護(hù)系統(tǒng),也不能夠只是將防護(hù)系統(tǒng)作為擺設(shè),而不去貫徹落實(shí)。想要將企業(yè)高效的進(jìn)行網(wǎng)絡(luò)運(yùn)行,就需要為企業(yè)解決網(wǎng)絡(luò)安全的實(shí)質(zhì)性問題,才能做好企業(yè)網(wǎng)絡(luò)信息的可用性、完整性以及保密性。

參考文獻(xiàn)

[1]郭晶晶,牟勝梅,史蓓蕾.關(guān)于某金融企業(yè)網(wǎng)絡(luò)安全應(yīng)用技術(shù)的探討[J].數(shù)字技術(shù)與應(yīng)用,2013,12(09):123-125.

[2]王擁軍,李建清.淺談企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)[J].信息安全與通信保密,2013,11(07):153-171.

[3]胡經(jīng)珍.深入探討企業(yè)網(wǎng)絡(luò)安全管理中的常見問題[J].計(jì)算機(jī)安全,2013,11(07):152-160.

[4]周連兵,張萬.淺議企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)[J].中國(guó)公共安全:學(xué)術(shù)版,2013,10(02):163-175.