公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)安全審計范文

網(wǎng)絡(luò)安全審計精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全審計主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)安全審計

第1篇:網(wǎng)絡(luò)安全審計范文

電子數(shù)據(jù)安全是建立在計算機網(wǎng)絡(luò)安全基礎(chǔ)上的一個子項安全系統(tǒng),它既是計算機網(wǎng)絡(luò)安全概念的一部分,但又和計算機網(wǎng)絡(luò)安全緊密相連,從一定意義上講,計算機網(wǎng)絡(luò)安全其實質(zhì)即是電子數(shù)據(jù)安全。國際標(biāo)準(zhǔn)化組織(ISO)對計算機網(wǎng)絡(luò)安全的定義為:“計算機系統(tǒng)有保護(hù)計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞。”歐洲幾個國家共同提出的“信息技術(shù)安全評級準(zhǔn)則”,從保密性、完整性和可用性來衡量計算機安全。對電子數(shù)據(jù)安全的衡量也可借鑒這三個方面的內(nèi)容,保密性是指計算機系統(tǒng)能防止非法泄露電子數(shù)據(jù);完整性是指計算機系統(tǒng)能防止非法修改和刪除電子數(shù)據(jù);可用性是指計算機系統(tǒng)能防止非法獨占電子數(shù)據(jù)資源,當(dāng)用戶需要使用計算機資源時能有資源可用。

二、電子數(shù)據(jù)安全的性質(zhì)

電子數(shù)據(jù)安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統(tǒng)對外部威脅的防范,而廣義的安全是計算機系統(tǒng)在保證電子數(shù)據(jù)不受破壞并在給定的時間和資源內(nèi)提供保證質(zhì)量和確定的服務(wù)。在電子數(shù)據(jù)運行在電子商務(wù)等以計算機系統(tǒng)作為一個組織業(yè)務(wù)目標(biāo)實現(xiàn)的核心部分時,狹義安全固然重要,但需更多地考慮廣義的安全。在廣義安全中,安全問題涉及到更多的方面,安全問題的性質(zhì)更為復(fù)雜。

(一)電子數(shù)據(jù)安全的多元性

在計算機網(wǎng)絡(luò)系統(tǒng)環(huán)境中,風(fēng)險點和威脅點不是單一的,而存在多元性。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關(guān)鍵設(shè)施、設(shè)備的安全和硬件資產(chǎn)存放地點的安全等內(nèi)容;邏輯安全涉及到訪問控制和電子數(shù)據(jù)完整性等方面;安全管理包括人員安全管理政策、組織安全管理政策等內(nèi)容。電子數(shù)據(jù)安全出現(xiàn)問題可能是其中一個方面出現(xiàn)了漏洞,也可能是其中兩個或是全部出現(xiàn)互相聯(lián)系的安全事故。

(二)電子數(shù)據(jù)安全的動態(tài)性

由于信息技術(shù)在不斷地更新,電子數(shù)據(jù)安全問題就具有動態(tài)性。因為在今天無關(guān)緊要的地方,在明天就可能成為安全系統(tǒng)的隱患;相反,在今天出現(xiàn)問題的地方,在將來就可能已經(jīng)解決。例如,線路劫持和竊聽的可能性會隨著加密層協(xié)議和密鑰技術(shù)的廣泛應(yīng)用大大降低,而客戶機端由于B0這樣的黑客程序存在,同樣出現(xiàn)了安全需要。安全問題的動態(tài)性導(dǎo)致不可能存在一勞永逸的解決方案。

(三)電子數(shù)據(jù)安全的復(fù)雜性

安全的多元性使僅僅采用安全產(chǎn)品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外,因為黑客常常利用防火墻的隔離性,持續(xù)幾個月在防火墻外試探系統(tǒng)漏洞而未被發(fā)覺,并最終攻入系統(tǒng)。另外,攻擊者通常會從不同的方面和角度,例如對物理設(shè)施或協(xié)議、服務(wù)等邏輯方式對系統(tǒng)進(jìn)行試探,可能繞過系統(tǒng)設(shè)置的某些安全措施,尋找到系統(tǒng)漏洞而攻入系統(tǒng)。它涉及到計算機和網(wǎng)絡(luò)的硬件、軟件知識,從最底層的計算機物理技術(shù)到程序設(shè)計內(nèi)核,可以說無其不包,無所不在,因為攻擊行為可能并不是單個人的,而是掌握不同技術(shù)的不同人群在各個方向上展開的行動。同樣道理,在防范這些問題時,也只有掌握了各種入侵技術(shù)和手段,才能有效的將各種侵犯拒之門外,這樣就決定了電子數(shù)據(jù)安全的復(fù)雜性。

(四)電子數(shù)據(jù)安全的安全悖論

目前,在電子數(shù)據(jù)安全的實施中,通常主要采用的是安全產(chǎn)品。例如防火墻、加密狗、密鑰等,一個很自然的問題會被提出:安全產(chǎn)品本身的安全性是如何保證的?這個問題可以遞歸地問下去,這便是安全的悖論。安全產(chǎn)品放置點往往是系統(tǒng)結(jié)構(gòu)的關(guān)鍵點,如果安全產(chǎn)品自身的安全性差,將會后患無窮。當(dāng)然在實際中不可能無限層次地進(jìn)行產(chǎn)品的安全保證,但一般至少需要兩層保證,即產(chǎn)品開發(fā)的安全保證和產(chǎn)品認(rèn)證的安全保證。

(五)電子數(shù)據(jù)安全的適度性

由以上可以看出,電子數(shù)據(jù)不存在l00%的安全。首先由于安全的多元性和動態(tài)性,難以找到一個方法對安全問題實現(xiàn)百分之百的覆蓋;其次由于安全的復(fù)雜性,不可能在所有方面應(yīng)付來自各個方面的威脅;再次,即使找到這樣的方法,一般從資源和成本考慮也不可能接受。目前,業(yè)界普遍遵循的概念是所謂的“適度安全準(zhǔn)則”,即根據(jù)具體情況提出適度的安全目標(biāo)并加以實現(xiàn)。

三、電子數(shù)據(jù)安全審計

電子數(shù)據(jù)安全審計是對每個用戶在計算機系統(tǒng)上的操作做一個完整的記錄,以備用戶違反安全規(guī)則的事件發(fā)生后,有效地追查責(zé)任。電子數(shù)據(jù)安全審計過程的實現(xiàn)可分成三步:第一步,收集審計事件,產(chǎn)生審記記錄;第二步,根據(jù)記錄進(jìn)行安全違反分析;第三步,采取處理措施。

電子數(shù)據(jù)安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統(tǒng)上的活動、上機下機時間,與計算機信息系統(tǒng)內(nèi)敏感的數(shù)據(jù)、資源、文本等安全有關(guān)的事件,可隨時記錄在日志文件中,便于發(fā)現(xiàn)、調(diào)查、分析及事后追查責(zé)任,還可以為加強管理措施提供依據(jù)。

(一)審計技術(shù)

電子數(shù)據(jù)安全審計技術(shù)可分三種:了解系統(tǒng),驗證處理和處理結(jié)果的驗證。

1.了解系統(tǒng)技術(shù)

審計人員通過查閱各種文件如程序表、控制流程等來審計。

2.驗證處理技術(shù)

這是保證事務(wù)能正確執(zhí)行,控制能在該系統(tǒng)中起作用。該技術(shù)一般分為實際測試和性能測試,實現(xiàn)方法主要有:

(1)事務(wù)選擇

審計人員根據(jù)制訂的審計標(biāo)準(zhǔn),可以選擇事務(wù)的樣板來仔細(xì)分析。樣板可以是隨機的,選擇軟件可以掃描一批輸入事務(wù),也可以由操作系統(tǒng)的事務(wù)管理部件引用。

(2)測試數(shù)據(jù)

這種技術(shù)是程序測試的擴展,審計人員通過系統(tǒng)動作準(zhǔn)備處理的事務(wù)。通過某些獨立的方法,可以預(yù)見正確的結(jié)果,并與實際結(jié)果相比較。用此方法,審計人員必須通過程序檢驗被處理的測試數(shù)據(jù)。另外,還有綜合測試、事務(wù)標(biāo)志、跟蹤和映射等方法。

(3)并行仿真。審計人員要通過一應(yīng)用程序來仿真操作系統(tǒng)的主要功能。當(dāng)給出實際的和仿真的系統(tǒng)相同數(shù)據(jù)后,來比較它們的結(jié)果。仿真代價較高,借助特定的高級語音可使仿真類似于實際的應(yīng)用。

(4)驗證處理結(jié)果技術(shù)

這種技術(shù),審計人員把重點放在數(shù)據(jù)上,而不是對數(shù)據(jù)的處理上。這里主要考慮兩個問題:

一是如何選擇和選取數(shù)據(jù)。將審計數(shù)據(jù)收集技術(shù)插入應(yīng)用程序?qū)徲嬆K(此模塊根據(jù)指定的標(biāo)準(zhǔn)收集數(shù)據(jù),監(jiān)視意外事件);擴展記錄技術(shù)為事務(wù)(包括面向應(yīng)用的工具)建立全部的審計跟蹤;借用于日志恢復(fù)的備份庫(如當(dāng)審計跟蹤時,用兩個可比較的備份去檢驗賬目是否相同);通過審計庫的記錄抽取設(shè)施(它允許結(jié)合屬性值隨機選擇文件記錄并放在工作文件中,以備以后分析),利用數(shù)據(jù)庫管理系統(tǒng)的查詢設(shè)施抽取用戶數(shù)據(jù)。

二是從數(shù)據(jù)中尋找什么?一旦抽取數(shù)據(jù)后,審計人員可以檢查控制信息(含檢驗控制總數(shù)、故障總數(shù)和其他控制信息);檢查語義完整性約束;檢查與無關(guān)源點的數(shù)據(jù)。

(二)審計范圍

在系統(tǒng)中,審計通常作為一個相對獨立的子系統(tǒng)來實現(xiàn)。審計范圍包括操作系統(tǒng)和各種應(yīng)用程序。

操作系統(tǒng)審計子系統(tǒng)的主要目標(biāo)是檢測和判定對系統(tǒng)的滲透及識別誤操作。其基本功能為:審計對象(如用戶、文件操作、操作命令等)的選擇;審計文件的定義與自動轉(zhuǎn)換;文件系統(tǒng)完整性的定時檢測;審計信息的格式和輸出媒體;逐出系統(tǒng)、報警閥值的設(shè)置與選擇;審計日態(tài)記錄及其數(shù)據(jù)的安全保護(hù)等。

應(yīng)用程序?qū)徲嬜酉到y(tǒng)的重點是針對應(yīng)用程序的某些操作作為審計對象進(jìn)行監(jiān)視和實時記錄并據(jù)記錄結(jié)果判斷此應(yīng)用程序是否被修改和安全控制,是否在發(fā)揮正確作用;判斷程序和數(shù)據(jù)是否完整;依靠使用者身份、口令驗證終端保護(hù)等辦法控制應(yīng)用程序的運行。

(三)審計跟蹤

通常審計跟蹤與日志恢復(fù)可結(jié)合起來使用,但在概念上它們之間是有區(qū)別的。主要區(qū)別是日志恢復(fù)通常不記錄讀操作;但根據(jù)需要,日記恢復(fù)處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結(jié)合起來,就可以在違反安全規(guī)則的事件發(fā)生時,或在威脅安全的重要操作進(jìn)行時,及時向安檢員發(fā)出告警信息,以便迅速采取相應(yīng)對策,避免損失擴大。審計記錄應(yīng)包括以下信息:事件發(fā)生的時間和地點;引發(fā)事件的用戶;事件的類型;事件成功與否。

審計跟蹤的特點是:對被審計的系統(tǒng)是透明的;支持所有的應(yīng)用;允許構(gòu)造事件實際順序;可以有選擇地、動態(tài)地開始或停止記錄;記錄的事件一般應(yīng)包括以下內(nèi)容:被審訊的進(jìn)程、時間、日期、數(shù)據(jù)庫的操作、事務(wù)類型、用戶名、終端號等;可以對單個事件的記錄進(jìn)行指定。

按照訪問控制類型,審計跟蹤描述一個特定的執(zhí)行請求,然而,數(shù)據(jù)庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密,因為審計人員可以限制時間,但代價比較昂貴。

(四)審計的流程

電子數(shù)據(jù)安全審計工作的流程是:收集來自內(nèi)核和核外的事件,根據(jù)相應(yīng)的審計條件,判斷是否是審計事件。對審計事件的內(nèi)容按日志的模式記錄到審計日志中。當(dāng)審計事件滿足報警閥的報警值時,則向?qū)徲嬋藛T發(fā)送報警信息并記錄其內(nèi)容。當(dāng)事件在一定時間內(nèi)連續(xù)發(fā)生,滿足逐出系統(tǒng)閥值,則將引起該事件的用戶逐出系統(tǒng)并記錄其內(nèi)容。

常用的報警類型有:用于實時報告用戶試探進(jìn)入系統(tǒng)的登錄失敗報警以及用于實時報告系統(tǒng)中病毒活動情況的病毒報警等。

第2篇:網(wǎng)絡(luò)安全審計范文

1 利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或帳號,冒充合法用戶作案,篡改磁性介質(zhì)記錄竊取資產(chǎn)。

2 利用網(wǎng)絡(luò)遠(yuǎn)距離竊取的商業(yè)秘密以換取錢財,或利用網(wǎng)絡(luò)傳播計算機病毒以破壞企業(yè)的信息系統(tǒng)。

3 建立在計算機網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無紙化”,越來越多的業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結(jié)算單及其它帳單,就有可能將公私財產(chǎn)的所有權(quán)進(jìn)行轉(zhuǎn)移。

計算機網(wǎng)絡(luò)帶來會計系統(tǒng)的開放與數(shù)據(jù)共享,而開放與共享的基礎(chǔ)則是安全。企業(yè)一方面通過網(wǎng)絡(luò)開放自己,向全世界推銷自己的形象和產(chǎn)品,實現(xiàn)電子貿(mào)易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財務(wù)秘密,而其中已實現(xiàn)了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創(chuàng)造一個安全的環(huán)境,抵抗來自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開放的放開共享,該封閉的要讓黑客無奈。

一、網(wǎng)絡(luò)安全審計及基本要素

安全審計是一個新概念,它指由專業(yè)審計人員根據(jù)有關(guān)的法規(guī)、財產(chǎn)所有者的委托和管理當(dāng)局的授權(quán),對計算機網(wǎng)絡(luò)環(huán)境下的有關(guān)活動或行為進(jìn)行系統(tǒng)的、獨立的檢查驗證,并作出相應(yīng)評價。

沒有網(wǎng)絡(luò)安全,就沒有網(wǎng)絡(luò)世界。任何一個建立網(wǎng)絡(luò)環(huán)境計算機會計系統(tǒng)的機構(gòu),都會對系統(tǒng)的安全提出要求,在運行和維護(hù)中也都會從自己的角度對安全作出安排。那么系統(tǒng)是否安全了呢?這是一般人心中無數(shù)也最不放心的。應(yīng)該肯定,一個系統(tǒng)運行的安全與否,不能單從雙方當(dāng)事人的判斷作出結(jié)論,而必須由第三方的專業(yè)審計人員通過審計作出評價。因為安全審計人員不但具有專門的安全知識,而且具有豐富的安全審計經(jīng)驗,只有他們才能作出客觀、公正、公平和中立的評價。

安全審計涉及四個基本要素:控制目標(biāo)、安全漏洞、控制措施和控制測試。其中,控制目標(biāo)是指企業(yè)根據(jù)具體的計算機應(yīng)用,結(jié)合單位實際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易擾或破壞的地方。控制措施是指企業(yè)為實現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)、配置及各種規(guī)范制度??刂茰y試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較,確定各項控制措施是否存在、是否得到執(zhí)行、對漏洞的防范是否有效,評價企業(yè)安全措施的可依賴程度。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業(yè)技術(shù)知識與技能。

安全審計是審計的一個組成部分。由于計算機網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國家安危,更涉及到企業(yè)的經(jīng)濟(jì)利益。因此,我們認(rèn)為必須迅速建立起國家、、企業(yè)三位一體的安全審計體系。其中,國家安全審計機關(guān)應(yīng)依據(jù)國家法律,特別是針對計算機網(wǎng)絡(luò)本身的各種安全技術(shù)要求,對廣域網(wǎng)上企業(yè)的信息安全實施年審制。另外,應(yīng)該社會中介機構(gòu),對計算機網(wǎng)絡(luò)環(huán)境的安全提供審計服務(wù),它與會計師事務(wù)所、律師事務(wù)所一樣,是社會對企業(yè)的計算機網(wǎng)絡(luò)系統(tǒng)的安全作出評價的機構(gòu)。當(dāng)企業(yè)管理當(dāng)局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來的潛在損失時,他們需要通過中介機構(gòu)對安全性作出檢查和評價。此外財政、財務(wù)審計也離不開網(wǎng)絡(luò)安全專家,他們對網(wǎng)絡(luò)的安全控制作出評價, 幫助注冊會計師對相應(yīng)的信息處理系統(tǒng)所披露信息的真實性、可靠性作出正確判斷。

二、網(wǎng)絡(luò)安全審計的程序安全

審計程序是安全監(jiān)督活動的具體規(guī)程,它規(guī)定安全審計工作的具體、時間安排、具體的審計方法和手段。與其它審計一樣,安全審計主要包括三個階段:審計準(zhǔn)備階段、實施階段以及終結(jié)階段。

安全審計準(zhǔn)備階段需要了解審計對象的具體情況、安全目標(biāo)、企業(yè)的制度、結(jié)構(gòu)、一般控制和應(yīng)用控制情況,并對安全審計工作制訂出具體的工作計劃。在這一階段,審計人員應(yīng)重點確定審計對象的安全要求、審計重點、可能的漏洞及減少漏洞的各種控制措施。

1 了解企業(yè)網(wǎng)絡(luò)的基本情況。例如,應(yīng)該了解企業(yè)內(nèi)部網(wǎng)的類型、局域網(wǎng)之間是否設(shè)置了單向存取限制、企業(yè)網(wǎng)與Internet的聯(lián)接方式、是否建立了虛擬專用網(wǎng)(VPN)?

2 了解企業(yè)的安全控制目標(biāo)。安全控制目標(biāo)一般包括三個方面:第一,保證系統(tǒng)的運轉(zhuǎn)正常,數(shù)據(jù)的可靠完整;第二,保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力;第三, 對系統(tǒng)資源使用的授權(quán)與限制。當(dāng)然安全控制目標(biāo)因企業(yè)的經(jīng)營性質(zhì)、規(guī)模的大小以及管理當(dāng)局的要求而有所差異。

3 了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計人員應(yīng)充分取得企業(yè)對網(wǎng)絡(luò)環(huán)境的安全保密計劃,了解所有有關(guān)的控制對上述的控制目標(biāo)的實現(xiàn)情況,系統(tǒng)還有哪些潛在的漏洞。

安全審計實施階段的主要任務(wù)是對企業(yè)現(xiàn)有的安全控制措施進(jìn)行測試,以明確企業(yè)是否為安全采取了適當(dāng)?shù)目刂拼胧?,這些措施是否發(fā)揮著作用。審計人員在實施環(huán)節(jié)應(yīng)充分利用各種技術(shù)工具產(chǎn)品,如網(wǎng)絡(luò)安全測試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計器。

安全審計終結(jié)階段應(yīng)對企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評價,并提出改進(jìn)和完善的方法和其他意見。安全審計終結(jié)的評價,按系統(tǒng)的完善程度、漏洞的大小和存在問題的性質(zhì)可以分為三個等級:危險、不安全和基本安全。危險是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患(如缺乏合理的數(shù)據(jù)備份機制與有效的病毒防范措施)和系統(tǒng)的盲目開放性(如有意和無意用戶經(jīng)常能闖入系統(tǒng),對系統(tǒng)數(shù)據(jù)進(jìn)行查閱或刪改)。不安全是指系統(tǒng)尚存在一些較常見的問題和漏洞,如系統(tǒng)缺乏監(jiān)控機制和數(shù)據(jù)檢測手段等?;景踩侵父鱾€企業(yè)網(wǎng)絡(luò)應(yīng)達(dá)到的目標(biāo),其大漏洞僅限于不可預(yù)見或罕預(yù)見性、技術(shù)極限性以及窮舉性等,其他小問題發(fā)生時不影響系統(tǒng)運行,也不會造成大的損失,且具有隨時發(fā)現(xiàn)問題并糾正的能力。

三、安全審計的主要測試

測試是安全審計實施階段的主要任務(wù),一般應(yīng)包括對數(shù)據(jù)通訊、硬件系統(tǒng)、軟件系統(tǒng)、數(shù)據(jù)資源以及安全產(chǎn)品的測試。

下面是對網(wǎng)絡(luò)環(huán)境信息系統(tǒng)的主要測試。

1 數(shù)據(jù)通訊的控制測試數(shù)據(jù)通訊控制的總目標(biāo)是數(shù)據(jù)通道的安全與完整。具體說,能發(fā)現(xiàn)和糾正設(shè)備的失靈,避免數(shù)據(jù)丟失或失真,能防止和發(fā)現(xiàn)來自Internet及內(nèi)部的非法存取操作。為了達(dá)到上述控制目標(biāo),審計人員應(yīng)執(zhí)行以下控制測試:(1)抽取一組會計數(shù)據(jù)進(jìn)行傳輸,檢查由于線路噪聲所導(dǎo)致數(shù)據(jù)失真的可能性。(2)檢查有關(guān)的數(shù)據(jù)通訊記錄,證實所有的數(shù)據(jù)接收是有序及正確的。(3)通過假設(shè)系統(tǒng)外一個非授權(quán)的進(jìn)入請求,測試通訊回叫技術(shù)的運行情況。(4)檢查密鑰管理和口令控制程序,確認(rèn)口令文件是否加密、密鑰存放地點是否安全。(5)發(fā)送一測試信息測試加密過程,檢查信息通道上在各不同點上信息的。(6)檢查防火墻是否控制有效。防火墻的作用是在Internet與內(nèi)部網(wǎng)之間建立一道屏障,其有效性主要包括靈活性以及過濾、分離、報警等方面的能力。例如,防火墻應(yīng)具有拒絕任何不準(zhǔn)確的申請者的過濾能力,只有授權(quán)用戶才能通過防火墻訪問會計數(shù)據(jù)。

2 硬件系統(tǒng)的控制測試硬件控制測試的總目標(biāo)是評價硬件的各項控制的適當(dāng)性與有效性。測試的重點包括:實體安全、火災(zāi)報警防護(hù)系統(tǒng)、使用記錄、后備電源、操作規(guī)程、災(zāi)害恢復(fù)計劃等。審計人員應(yīng)確定實物安全控制措施是否適當(dāng)、在處理日常運作及部件失靈中操作員是否作出了適當(dāng)?shù)挠涗浥c定期、硬件的災(zāi)難恢復(fù)計劃是否適當(dāng)、是否制定了相關(guān)的操作規(guī)程、各硬件的資料歸檔是否完整。

3 軟件系統(tǒng)的控制測試軟件系統(tǒng)包括系統(tǒng)軟件和軟件,其中最主要的是操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和會計軟件系統(tǒng)。總體控制目標(biāo)應(yīng)達(dá)到防止來自硬件失靈、機黑客、病毒感染、具有特權(quán)職員的各種破壞行為,保障系統(tǒng)正常運行。對軟件系統(tǒng)的測試主要包括:(1)檢查軟件產(chǎn)品是否從正當(dāng)途徑購買,審計人員應(yīng)對購買訂單進(jìn)行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。(3)證實只有授權(quán)的軟件才安裝到系統(tǒng)里。

4 數(shù)據(jù)資源的控制測試數(shù)據(jù)控制目標(biāo)包括兩方面:一是數(shù)據(jù)備份,為恢復(fù)被丟失、損壞或擾的數(shù)據(jù),系統(tǒng)應(yīng)有足夠備份;二是個人應(yīng)當(dāng)經(jīng)授權(quán)限制性地存取所需的數(shù)據(jù),未經(jīng)授權(quán)的個人不能存取數(shù)據(jù)庫。審計測試應(yīng)檢查是否提供了雙硬盤備份、動態(tài)備份、業(yè)務(wù)日志備份等功能,以及在日常工作中是否真正實施了這些功能。根據(jù)系統(tǒng)的授權(quán)表,檢查存取控制的有效性。

5 系統(tǒng)安全產(chǎn)品的測試隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要,各種用于保障網(wǎng)絡(luò)安全的軟、硬件產(chǎn)品應(yīng)運而生,如VPN、防火墻、身份認(rèn)證產(chǎn)品、CA產(chǎn)品等等。企業(yè)將在不斷的安全產(chǎn)品市場上購買各種產(chǎn)品以保障系統(tǒng)的安全,安全審計機構(gòu)應(yīng)對這些產(chǎn)品是否有效地使用并發(fā)揮其應(yīng)有的作用進(jìn)行測試與作出評價。例如,檢查安全產(chǎn)品是否經(jīng)過認(rèn)證機構(gòu)或公安部部門的認(rèn)征,產(chǎn)品的銷售商是否具有銷售許可證產(chǎn)品的安全保護(hù)功能是否發(fā)揮作用。

四、應(yīng)該建立內(nèi)部安全審計制度

第3篇:網(wǎng)絡(luò)安全審計范文

計算機網(wǎng)絡(luò)技術(shù)已經(jīng)逐漸發(fā)展成為廣泛應(yīng)用于人們?nèi)粘Ia(chǎn)生活的重要技術(shù),而在實際的使用過程中,卻難免要遇到安全隱患,例如黑客的入侵、安全漏洞和病毒傳播等。在計算機網(wǎng)絡(luò)安全的評價體系中,神經(jīng)網(wǎng)絡(luò)的應(yīng)用以其能夠形成非線性自適應(yīng)動態(tài)系統(tǒng)的特點,迅速適應(yīng)網(wǎng)絡(luò)環(huán)境,進(jìn)而實現(xiàn)對信息的運算、識別和控制功能,提高了計算機的工作效率和安全性。

2計算機網(wǎng)絡(luò)安全的概念

計算機的網(wǎng)絡(luò)安全,主要指的是針對網(wǎng)絡(luò)信息瀏覽和操作等過程中的安全管理,以達(dá)到提高網(wǎng)絡(luò)信息保密性、安全性的目的,維護(hù)使用者的合法權(quán)益,最終實現(xiàn)整個網(wǎng)絡(luò)的順利運行。我國當(dāng)前的計算機網(wǎng)絡(luò)安全問題通常涉及到信息安全、計算機網(wǎng)絡(luò)技術(shù)等多個方面,而伴隨計算機網(wǎng)絡(luò)的日益普及,其網(wǎng)絡(luò)信息的安全問題更加為人們所重視。例如,對于企業(yè)而言,其日常經(jīng)營活動中往往會運用到計算機網(wǎng)絡(luò),因此要求網(wǎng)絡(luò)必須具備核心技術(shù),對企業(yè)信息實施保護(hù)和保密,維護(hù)重要內(nèi)部信息的安全性,從而維護(hù)企業(yè)利益。即便是個人在使用計算機網(wǎng)絡(luò)時,也同樣需要網(wǎng)絡(luò)對個人信息實施控制與保護(hù),防止泄漏或被不法分子盜取,損害人民的權(quán)益和實際利益。

3神經(jīng)網(wǎng)絡(luò)概述

3.1概念

所謂神經(jīng)網(wǎng)絡(luò),其模型建立的基礎(chǔ),是人體腦部的信息處理模式作為參考,然后運用數(shù)學(xué)模型,模擬生物的神經(jīng)元、腦細(xì)胞結(jié)構(gòu),以及其生理特征,最終模擬獲得該神經(jīng)網(wǎng)絡(luò)模型。此后,計算機專家則以此模型為基礎(chǔ),添加入編制好的學(xué)習(xí)機制,然后將其應(yīng)用到實際工程中,最終開發(fā)出了感知器神經(jīng)網(wǎng)絡(luò)模型。該模型具備了聲納波的識別功能,可用于探測潛艇位置等實踐中。經(jīng)過進(jìn)一步的深入研究,相關(guān)研究人員在其中運用了映射拓?fù)湫再|(zhì),在計算機的基礎(chǔ)之上建立了映射自組織網(wǎng)絡(luò)模型;繼而通過分析研究生物自組織神經(jīng)網(wǎng)絡(luò),確定神經(jīng)網(wǎng)絡(luò)模的實質(zhì),獲得一組微分非線性方程,然后將神經(jīng)網(wǎng)絡(luò)應(yīng)用于實際,最終形成了神經(jīng)網(wǎng)絡(luò)的系統(tǒng)性科學(xué)研究,例如具有一定代表性的BP神經(jīng)網(wǎng)絡(luò)。

3.2神經(jīng)網(wǎng)絡(luò)的優(yōu)越性

神經(jīng)網(wǎng)絡(luò)建立的基礎(chǔ)是生物大腦結(jié)構(gòu)和工作原理,因而屬于人工智能系統(tǒng),該系統(tǒng)基于計算機網(wǎng)絡(luò)內(nèi)部大量節(jié)點的關(guān)系分析,發(fā)揮出方面優(yōu)越的應(yīng)用性能,主要包括以下方面:

3.2.1自學(xué)功能

神經(jīng)網(wǎng)絡(luò)系統(tǒng)能夠進(jìn)行自我學(xué)習(xí),通過自動識別正在輸入的信息,自行為操作者總結(jié)相關(guān)的規(guī)律,進(jìn)而形成聯(lián)想的模式。其優(yōu)勢即在于這種對于信息的識別能力,使系統(tǒng)能夠在之后的工作中,進(jìn)行獨立自動運作,從而縮短操作人員的工作時間?,F(xiàn)有計算機神經(jīng)網(wǎng)絡(luò)系統(tǒng),甚至能夠?qū)崿F(xiàn)高于聯(lián)想模式的預(yù)測功能,應(yīng)用于證券市場中,系統(tǒng)可以基于對當(dāng)前股市證券、市場經(jīng)濟(jì)和企業(yè)現(xiàn)狀的研究分析,預(yù)測其未來的效益,從而企業(yè)未來的良性發(fā)展,提供了有力的智能支持。

3.2.2優(yōu)化系統(tǒng)

神經(jīng)網(wǎng)絡(luò)同時還具備了自我優(yōu)化的能力,可以自行提高計算機運轉(zhuǎn)能力,同時幫助操作用戶,針對某些問題提出解決方案?;诖?,神經(jīng)網(wǎng)絡(luò)系統(tǒng)被建議應(yīng)用于計算機的網(wǎng)絡(luò)安全評價中,以發(fā)揮其自身的優(yōu)越性能。

4計算機網(wǎng)絡(luò)安全評價中神經(jīng)網(wǎng)絡(luò)的應(yīng)用

4.1計算機網(wǎng)絡(luò)安全評價體系的構(gòu)建

4.1.1構(gòu)建神經(jīng)網(wǎng)絡(luò)體系的必要性

基于神經(jīng)網(wǎng)絡(luò)的計算機網(wǎng)絡(luò)安全評價保護(hù)是多元化的,由于其對于環(huán)境的適應(yīng)力較強,因而能夠迅速適應(yīng)周圍狀況,并對自身進(jìn)行調(diào)整,以降低誤差。另外,神經(jīng)網(wǎng)絡(luò)的自我訓(xùn)練使其能夠在計算機網(wǎng)絡(luò)安全評價的體系中,實現(xiàn)自我總結(jié)和完善。此外,神經(jīng)網(wǎng)絡(luò)還具備了良好的容錯性,對于一些不完整信息、噪聲等并不敏感,因而在網(wǎng)絡(luò)節(jié)點出現(xiàn)問題時,不會對神經(jīng)網(wǎng)絡(luò)的整體保護(hù)產(chǎn)生影響。且神經(jīng)網(wǎng)絡(luò)在進(jìn)行自我訓(xùn)練之后,能夠?qū)⒄5墓ぷ餍侍嵘脸R?guī)的4~5倍。加上神經(jīng)網(wǎng)絡(luò)對于結(jié)果的獲取高效快捷,因此更加便于使用,其各方面的設(shè)置也更加人性化。

4.1.2安全評價體系構(gòu)成指標(biāo)

計算機網(wǎng)絡(luò)安全的一級評價,其中的指標(biāo)通常包括:管理安全、物理安全以及邏輯安全,具體如下:①管理安全評價指標(biāo)時二級指標(biāo),分別為安全組織體系、安全管理制度、人員安全培訓(xùn)以及應(yīng)急響應(yīng)機制;②物理安全評價指標(biāo)為二級指標(biāo),包括防電磁泄漏措施、供電線路、網(wǎng)絡(luò)機房、容錯冗余以及設(shè)備安全;③邏輯安全評價指標(biāo)同樣是二級指標(biāo),包括數(shù)據(jù)的備份、恢復(fù),訪問的控制、軟件安全、防病毒措施、系統(tǒng)審計、數(shù)字簽名、數(shù)據(jù)加密以及入侵防范。

4.2實現(xiàn)評價指標(biāo)的標(biāo)準(zhǔn)化

不同的評價指標(biāo)集,對于影響因素的描述也存在差異,因此需要在實施定量、定性評價時有所側(cè)重。此外,應(yīng)當(dāng)合理運用科學(xué)的方法,對計算機的網(wǎng)絡(luò)安全情況作出反應(yīng),因而一定程度上影響了指標(biāo)的客觀對比。因此,必須保持客觀的態(tài)度,對評價指標(biāo)的取值規(guī)則進(jìn)行調(diào)整,以實現(xiàn)指標(biāo)的標(biāo)準(zhǔn)化。在定量指標(biāo)評價時,相關(guān)工作人員應(yīng)當(dāng)結(jié)合計算機網(wǎng)絡(luò)系統(tǒng)的實際運行狀況,對其進(jìn)行客觀評價與取值,進(jìn)行科學(xué)的分析。此外,對于不同的評價指標(biāo),應(yīng)當(dāng)使用不同的衡量單位,有所側(cè)重地進(jìn)行標(biāo)準(zhǔn)化處理,將取值固定到一定范圍內(nèi),通常在0~1之間。而為了實現(xiàn)定性指標(biāo)評價,則通常會采用打分的方式來客觀評價計算機的網(wǎng)絡(luò)系統(tǒng)機型,定性指標(biāo)評價標(biāo)準(zhǔn)化。

4.3基于神經(jīng)網(wǎng)絡(luò)的計算機網(wǎng)絡(luò)安全評價構(gòu)建

4.3.1服務(wù)器維護(hù)機制規(guī)范化構(gòu)建

構(gòu)建計算機網(wǎng)絡(luò)安全評價體系,其首要的任務(wù)和硬件維護(hù)的關(guān)鍵,即在于服務(wù)器維護(hù)。在構(gòu)建服務(wù)器維護(hù)機制規(guī)范化的過程中,應(yīng)當(dāng)注意避免不當(dāng)服務(wù)器所可能造成的傷害,要求操作人員時刻警醒,保證及時清除網(wǎng)卡冗余,調(diào)整服務(wù)器的荷載,以維持服務(wù)器的平衡與穩(wěn)定。

4.3.2云主機的建立

以神經(jīng)網(wǎng)絡(luò)為基礎(chǔ)建立的計算機網(wǎng)絡(luò)安全評價體系,需要快速打造安全云主機,用以集成包括了云鎖服務(wù)安全軟件的所有安全防護(hù)體系,從而達(dá)到突破傳統(tǒng)服務(wù)器安防理念,實現(xiàn)對于用戶的實時安全服務(wù)效果。因此,構(gòu)建過程中需要在云主機中使用很多快捷自動安裝軟件,如MYSQL、PHP、ASP等。這些軟件的共同點在于均適用于對網(wǎng)站數(shù)據(jù)庫的實時管控、對于站點信息的實時監(jiān)控,以及對于計算機各種軟件溫度進(jìn)行的調(diào)節(jié),和WebShell病毒查殺功能。如今的計算機網(wǎng)絡(luò)安全系統(tǒng)已經(jīng)首創(chuàng)了以C/S的神經(jīng)網(wǎng)絡(luò)架構(gòu)為基礎(chǔ)的應(yīng)用體系,實現(xiàn)了計算機端和服務(wù)器之間的遠(yuǎn)程訪問與控制功能,從而提升了計算機網(wǎng)絡(luò)對于木馬、病毒和惡意代碼、惡意攻擊等危害的防御能力,起到保護(hù)計算機服務(wù)器與網(wǎng)站安全的作用。

4.3.3安全管理和服務(wù)體系的建立

基于神經(jīng)網(wǎng)絡(luò)建立起來的計算機網(wǎng)絡(luò)安全評價體系,其作用即在于在進(jìn)行安全評價時,管理人員能夠提供與評價標(biāo)準(zhǔn)判定相對應(yīng)的具體內(nèi)容、實施范圍等信息,然后針對計算機安全狀況、信息技術(shù)的關(guān)鍵點,實施研究與分析,運用評價方法測算其安全等級。計算機網(wǎng)絡(luò)的安全級別評價,可以按照以下公式生成評價因子,基于神經(jīng)網(wǎng)絡(luò)的計算機網(wǎng)絡(luò)安全評價級別公式如下:f=(x1,x2,x3……,xi……xm)式中:xi-計算機網(wǎng)絡(luò)安全評價中最主要的評價因子;f-計算機網(wǎng)絡(luò)安全評價模型主體。管理人員應(yīng)當(dāng)結(jié)合實際,為計算機系統(tǒng)選取正確的評價模型主體與安全等級,進(jìn)而依據(jù)系統(tǒng)要求,對神經(jīng)網(wǎng)絡(luò)安全管理體系采取必要的優(yōu)化措施,以做到有備無患。

4.4建立并完善評價結(jié)果評語集

基于計算機網(wǎng)絡(luò)安全評價指標(biāo)特征,可建立評價結(jié)果評語集,按照網(wǎng)絡(luò)安全等級差異,將該評語集劃分為四個集合:①第一等集合設(shè)置為“安全”;②第二等集合設(shè)置為“較為安全”;③第三等集合設(shè)置為“不安全”;④最后一個等集合則設(shè)置為“很不安全”。此外,還可以對這些集合附以說明,從而有效地位計算機使用者提供便捷的方式,來了解計算機網(wǎng)絡(luò)安全狀況,提供良。

5結(jié)語

神經(jīng)網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)安全評價中的應(yīng)用,實現(xiàn)了評價體系的自動抽提功能,體現(xiàn)出了外推性、容錯性、適應(yīng)性等優(yōu)勢,滿足了計算機網(wǎng)絡(luò)的在線實用性要求,在有效提高計算機網(wǎng)絡(luò)評價客觀性、正確性的同時,為用戶提供了安全的使用環(huán)境,確保用戶能夠通過網(wǎng)絡(luò)獲得可靠、有效的數(shù)據(jù)信息。

參考文獻(xiàn)

[1]王強.基于神經(jīng)網(wǎng)絡(luò)的計算機網(wǎng)絡(luò)故障診斷[J].信息與電腦:理論版,2015(10):157~158.

第4篇:網(wǎng)絡(luò)安全審計范文

關(guān)鍵詞:神經(jīng)網(wǎng)絡(luò) 計算機安全 入侵檢測

中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-098X(2012)12(c)-00-01

自從1960年Widrow等提出自適應(yīng)線形神經(jīng)元用于信號處理中的自適應(yīng)濾波、預(yù)測和模型識別以來,神經(jīng)網(wǎng)絡(luò)技術(shù)便被用來解決現(xiàn)實生活中的問題。而在McCulloch等基于模仿人腦結(jié)構(gòu)和功能建立起一種人工智能的信息處理系統(tǒng)后,人工神經(jīng)網(wǎng)絡(luò)在土木工程、農(nóng)業(yè)、經(jīng)濟(jì)管理及企業(yè)管理等不同領(lǐng)域中被廣泛應(yīng)用[1-2]。該文介紹了神經(jīng)網(wǎng)絡(luò)的概念及特點,并分析神經(jīng)網(wǎng)絡(luò)在計算機安全尤其是在網(wǎng)絡(luò)入侵檢測中的應(yīng)用。

1 神經(jīng)網(wǎng)絡(luò)的概念及特點

1.1 神經(jīng)網(wǎng)絡(luò)的概念

神經(jīng)網(wǎng)絡(luò)是一個并行、分布處理結(jié)構(gòu),是由神經(jīng)元及稱為聯(lián)接的無向訊號通道互連而成。人工神經(jīng)網(wǎng)絡(luò)(Artificial Neural Network,ANN)指的則是模仿生理神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)和功能而設(shè)計的一種信息處理系統(tǒng),即由多個非常簡單的處理單元彼此按某種方式相互連接而形成的信息處理網(wǎng)絡(luò)[3]。

1.2 神經(jīng)網(wǎng)絡(luò)的特點

在人工神經(jīng)網(wǎng)絡(luò)中,由于網(wǎng)絡(luò)中的每一個單元都是獨立的信息處理單元,因此其計算可獨立進(jìn)行,而整個網(wǎng)絡(luò)系統(tǒng)卻是并行計算的。這不同于傳統(tǒng)的計算機的串行運算。由于神經(jīng)網(wǎng)絡(luò)是一個大規(guī)?;ヂ?lián)的復(fù)雜網(wǎng)絡(luò)系統(tǒng),因而是大規(guī)模的并行處理,這在一定程度上提高了系統(tǒng)的處理速度,同時也為實時處理提供了重要條件。人工神經(jīng)網(wǎng)絡(luò)與人腦類似,具有學(xué)習(xí)的功能。通常只要給出所需的數(shù)據(jù)、實例,由網(wǎng)絡(luò)去學(xué)習(xí),而學(xué)習(xí)獲得的知識都分布儲存在整個網(wǎng)絡(luò)的用權(quán)系數(shù)表示的連接線上。不同網(wǎng)絡(luò)因?qū)W習(xí)方法及內(nèi)容不同,可得到不同的功能和不同的應(yīng)用。因而有可能解決傳統(tǒng)人工智能目前最感困難的機器學(xué)習(xí)中知識獲取、知識表示等問題。此外神經(jīng)網(wǎng)絡(luò)還對于輸入數(shù)據(jù)的失真具有相當(dāng)?shù)膹椥浴?/p>

1.3 常用的神經(jīng)網(wǎng)絡(luò)算法

常用的神經(jīng)網(wǎng)絡(luò)算法包括ARTMAP模型、ART模型、概率模型PNN、模糊模型ART、模糊多層感知器、Kohonen特征映射網(wǎng)絡(luò)、反饋多層感知器模型等[4-5]。其中,ART模型和Kohonen特征映射網(wǎng)絡(luò)、模糊模型ART屬于無監(jiān)督訓(xùn)練算法,而反饋多層感知器模型是受限反饋,ARTMAP模型、ART模型屬于反饋的網(wǎng)絡(luò)拓?fù)?/p>

結(jié)構(gòu)。

2 神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用

2.1 神經(jīng)網(wǎng)絡(luò)應(yīng)用于網(wǎng)絡(luò)入侵檢測的優(yōu)勢

由于神經(jīng)網(wǎng)絡(luò)對于數(shù)據(jù)訓(xùn)練獲得預(yù)測能力的過程是通過完全抽象計算實現(xiàn)的,而不強調(diào)對于數(shù)據(jù)分布的假設(shè)前提,因此在建立神經(jīng)網(wǎng)絡(luò)模型過程中沒有必要向神經(jīng)網(wǎng)絡(luò)解釋知識的具體細(xì)節(jié)。同時,神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測中,可以通過數(shù)據(jù)運算而形成異常的判別值,這樣可以對于當(dāng)前是否受到攻擊行為影響做出判斷,從而實現(xiàn)對檢測對象是否存在異常情況的檢測[6-8]。

2.2 神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用

神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)安全尤其是入侵檢測方面已有了相當(dāng)?shù)难芯縖9]。有研究者將組織聚類神經(jīng)網(wǎng)絡(luò)應(yīng)用于計算機安全研究中,其采用了自適應(yīng)諧振學(xué)習(xí)法進(jìn)行數(shù)據(jù)的前期訓(xùn)練,對于無顯著意義的平均誤差減少時,采用遺傳算法繼續(xù)在前期基礎(chǔ)上進(jìn)行數(shù)據(jù)數(shù)據(jù)以得到最佳的權(quán)值。國內(nèi)也在神經(jīng)網(wǎng)絡(luò)應(yīng)用于網(wǎng)絡(luò)入侵檢測上做了大量工作。王勇等研究者在參考MIT Lincoln有關(guān)網(wǎng)絡(luò)入侵檢測方法基礎(chǔ)上,提出了基于Linux主機的網(wǎng)絡(luò)入侵檢測方案,實現(xiàn)了對于多種網(wǎng)絡(luò)攻擊的特征進(jìn)行抽取及檢測的目的[10]。

神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測中有廣泛的應(yīng)用空間[11-12],今后應(yīng)該擴大訓(xùn)練數(shù)據(jù)的數(shù)量和范圍,并擴大操作系統(tǒng)的研究空間,通過模擬真實的計算機網(wǎng)絡(luò)環(huán)境,將神經(jīng)網(wǎng)絡(luò)技術(shù)真正應(yīng)用于計算機安全尤其是入侵檢測工作中。

參考文獻(xiàn)

[1] 李季,蒲彪.人工神經(jīng)網(wǎng)絡(luò)在食品微生物發(fā)酵中的應(yīng)用[J].食品研究與開發(fā),2009,30(4):171-174.

[2] 李聰超,周鐵軍.人工神經(jīng)網(wǎng)絡(luò)在農(nóng)業(yè)中的應(yīng)用[J].農(nóng)業(yè)網(wǎng)絡(luò)信息,2008(1):35-38.

[3] 李麗霞,張敏,郜艷暉,等.人工神經(jīng)網(wǎng)絡(luò)在醫(yī)學(xué)研究中的應(yīng)用[J].數(shù)理醫(yī)藥學(xué)雜志,2009,22(1):80-82.

[4] 高雋.人工神經(jīng)網(wǎng)絡(luò)原理及仿真實例[M].北京:機械工業(yè)出版社,2003:44-73.

[5] 楊行峻,鄭君里.人工神經(jīng)網(wǎng)絡(luò)與盲信號處理[M].北京:清華大學(xué)出版社,2003:23-105.

[6] 程麗麗.基于模糊神經(jīng)網(wǎng)絡(luò)的入侵檢測設(shè)計模型[D].哈爾濱:哈爾濱理工大學(xué),2005.

[7] 周開利,康耀紅.神經(jīng)網(wǎng)絡(luò)模型及其MATLAB仿真程序設(shè)計[M].北京:清華大學(xué)出版社,2005.

[8] 李家春,李之堂.神經(jīng)模糊入侵檢測系統(tǒng)的研究[J].計算機工程與應(yīng)用,2001,23(17):37-39,

[9] 王勇,楊輝華.一種基于進(jìn)化神經(jīng)網(wǎng)絡(luò)的入侵檢測實驗系統(tǒng)[J].華東理工大學(xué)學(xué)報(自然科學(xué)版),2005(6):362-366

[10] 喬瑞.基于優(yōu)化自組織聚類神經(jīng)網(wǎng)絡(luò)的入侵檢測方法研究[J].計算機與現(xiàn)代化,2005(1):77-79.

第5篇:網(wǎng)絡(luò)安全審計范文

 

“安檢門”后藏秘密

 

博覽會上,觀眾趙先生走過一道“安檢門”后,個人金融信息就被泄露在大屏幕上,讓在場的參觀者驚奇。原來“安檢門”是模擬黑客攻擊的檢測系統(tǒng),趙先生的芯片銀行卡的姓名、身份證號、銀行卡號、卡片有效期、最近10次消費時間、消費地點、取現(xiàn)記錄、轉(zhuǎn)賬記錄等詳細(xì)信息就被讀取出來 。

 

原來,這道“安檢門”來自互聯(lián)網(wǎng)安全公司360的全球網(wǎng)絡(luò)威脅態(tài)勢感知系統(tǒng)中的“網(wǎng)絡(luò)透明人”體驗門。對此,360網(wǎng)絡(luò)安全專家在現(xiàn)場做出解釋,實際上,存放趙先生錢包的安檢框里存有一張具有NFC(即近距離通信)功能的無線讀卡器,旁邊還有配套的信號接收器和電腦等設(shè)備,所以只要芯片銀行卡足夠靠近讀卡器,卡片的信息就會顯示出來。

 

網(wǎng)絡(luò)專家進(jìn)一步解釋,并不是所有的銀行卡都能被讀取,像信用卡和早期使用的磁條卡是不能被讀取的,但是帶有閃付功能的芯片銀行卡,在靠近讀卡器10厘米內(nèi)的距離中就可能會被讀取到信息。為此,360安全專家研發(fā)并展示了用于屏蔽讀卡器信息的防護(hù)“卡套”,只要將芯片卡放在里面,讀卡器近距離將無法讀取信息。

 

行車助手記錄儀

 

伴隨著國內(nèi)汽車數(shù)量越來越多,各種交通事故的發(fā)生概率也隨之攀升。為了能夠有效地降低自身的損失,私家車主越來越多的倚重于車聯(lián)網(wǎng)智能硬件的幫助。

 

360展臺前,正在學(xué)車的大學(xué)生張鐸在對360行車記錄儀視覺體驗后說:“很多開車人都喜歡看手機,這樣一來很容易走神影響正常駕駛安全,這款360行車記錄儀的情景化解讀ADAS功能,在汽車與前車距離太近或偏離車道時都會進(jìn)行報警提示,提高了駕駛員的安全反應(yīng)意識。”

 

記者觀察到,360行車記錄儀在日間、夜間都可以保證拍攝出全高清的畫質(zhì),增加的WiFi直連功能,車主可以不用花費額外的手機流量,即可實時將拍攝畫面同步到手機端的360行車記錄儀APP,并同步地理位置信息。

 

360展臺技術(shù)人員介紹:“在汽車行駛后安全熄火斷電期間,360行車記錄儀會進(jìn)入休眠狀態(tài),若車體受到碰撞,記錄儀將啟動一分鐘的監(jiān)控錄像,記錄下碰撞的視頻情景。”有趣的是,360行車記錄儀還可以用在例如戶外運動、旅行攝影、家庭室內(nèi)安全監(jiān)控等環(huán)境中,擴展到更多的使用范圍中。

 

電信詐騙需謹(jǐn)慎

 

生活中,每個人都接到過“恭喜中獎”“來我辦公室一趟”“猜猜我是誰”等等一類的電信詐騙電話,這就是網(wǎng)絡(luò)信息化生活中的新型違法犯罪形式。在“4.29首都網(wǎng)絡(luò)安全日”的打擊防范電信網(wǎng)絡(luò)詐騙宣傳體驗展區(qū)中,為提高人們防范意識,北京市公安局的相關(guān)專家對電信詐騙進(jìn)行專業(yè)知識普及。

 

據(jù)記者了解,北京公安局針對北京市地區(qū)范圍內(nèi)的電信網(wǎng)絡(luò)詐騙案件,聯(lián)合北京電信、北京移動、北京聯(lián)通迅速建立起關(guān)停涉案號碼的處置機制,共累計關(guān)停涉案手機號碼2.8萬余個;處置境外語音詐騙電話1441萬多個;屏蔽惡意網(wǎng)站鏈接6400余個。

 

北京市公安局網(wǎng)絡(luò)安全保衛(wèi)總隊相關(guān)負(fù)責(zé)人表示,日常生活中會出現(xiàn)各類抽獎或免費贈送等活動,往往會需要參與者填寫相關(guān)個人資料,這種情況下就需要公民盡量精簡個人信息。尤其在網(wǎng)絡(luò)活動中,網(wǎng)銀、支付、社交軟件、郵箱賬號密碼、手機驗證碼等信息,一定要核實精準(zhǔn)后使用。

 

面對花樣百出的電信網(wǎng)絡(luò)詐騙,公民不斷增強警惕意識和防范詐騙的常識知識,是保護(hù)自身信息財務(wù)不被竊取的根本方法。北京公安局相關(guān)專家強調(diào),希望通過打擊防范電信網(wǎng)絡(luò)詐騙宣傳體驗展區(qū)的設(shè)置,可以使公民有“個人信息不泄露、來歷不明不輕信、核實之前不轉(zhuǎn)賬”的意識,并建立起防范欺詐的思想屏障。

第6篇:網(wǎng)絡(luò)安全審計范文

【關(guān)鍵詞】網(wǎng)絡(luò)安全 系統(tǒng) 身份認(rèn)證 發(fā)展

如今全球信息化的速度越來越快,全球的信息產(chǎn)業(yè)越來越重視信息安全,特別是現(xiàn)在信息網(wǎng)絡(luò)化正是發(fā)達(dá)的時期,信息產(chǎn)業(yè)的發(fā)展離不開網(wǎng)絡(luò)安全,如何在網(wǎng)絡(luò)環(huán)境中建立起一個完善的安全系統(tǒng),身份認(rèn)證技術(shù)就成為了在網(wǎng)絡(luò)安全中首先要解決的問題。

身份認(rèn)證技術(shù)就是通過計算機網(wǎng)絡(luò)來確定使用者的身份,重點是為了解決網(wǎng)絡(luò)雙方的身份信息是否真實的問題,使通訊雙方在進(jìn)行各種信息交流可以在一個安全的環(huán)境中。在信息安全里,身份認(rèn)證技術(shù)在整個安全系統(tǒng)中是重點,也是信息安全系統(tǒng)首要“看門人”。因此,基本的安全服務(wù)就是身份認(rèn)證,另外的安全服務(wù)也都需要建立在身份認(rèn)證的基礎(chǔ)上,使身份認(rèn)證系統(tǒng)具有了十分重要的地位,但也最容易受到攻擊。

一、身份認(rèn)證的含義

身份認(rèn)證技術(shù)簡單意義上來講就是對通訊雙方進(jìn)行真實身份鑒別,也是對網(wǎng)絡(luò)信息資源安全進(jìn)行保護(hù)的第一個防火墻,目的就是驗證辨識網(wǎng)絡(luò)信息使用用戶的身份是否具有真實性和合法性,然后給予授權(quán)才能訪問系統(tǒng)資源,不能通過識別用戶就會阻止其訪問。由此可知,身份認(rèn)證在安全管理中是個重點,同時也是最基礎(chǔ)的安全服務(wù)。

(一)身份認(rèn)證技術(shù)的應(yīng)用

信息安全中身份認(rèn)證是最重要的一門技術(shù),也是在網(wǎng)絡(luò)安全里的第一道防線,可以很好的識別出訪問的用戶是否具有訪問的權(quán)限,允許通過識別的用戶進(jìn)行訪問操作,并進(jìn)行一定的監(jiān)督,防止出現(xiàn)不正當(dāng)?shù)牟僮髑闆r,同時也是保護(hù)計算機不受病毒和黑客入侵的一個重要方法。使用者在進(jìn)入網(wǎng)絡(luò)安全系統(tǒng)的時候,先需要讓身份認(rèn)證系統(tǒng)識別出自己的身份,通過了身份認(rèn)證系統(tǒng)識別以后,再依據(jù)使用者的權(quán)限、身份級別來決定可以訪問哪些系統(tǒng)資源和可以進(jìn)行哪些系統(tǒng)操作權(quán)限。與此同時,進(jìn)入安全系統(tǒng)時,檢測系統(tǒng)需要進(jìn)行登記,包括記錄、報警等,對用戶的行為和請求進(jìn)行記錄,并識別出是否入侵了安全系統(tǒng)[1]。

(二)基于網(wǎng)絡(luò)的身份認(rèn)證

身份認(rèn)證系統(tǒng)在安全系統(tǒng)中非常重要,雖然它是最基礎(chǔ)的安全服務(wù),但是另外的安全服務(wù)都需要它才能完成,只要身份認(rèn)證系統(tǒng)受到攻擊入侵,就會導(dǎo)致系統(tǒng)里的安全措施都無法產(chǎn)生作用,而黑客入侵的首要目標(biāo)一般都是先攻破身份認(rèn)證系統(tǒng)。但是因為網(wǎng)絡(luò)連接具有復(fù)雜性、流動性等特點,在復(fù)雜的網(wǎng)絡(luò)環(huán)境中會導(dǎo)致身份認(rèn)證也變得復(fù)雜,分析網(wǎng)絡(luò)運行時的各類因素,可得出在網(wǎng)絡(luò)環(huán)境中的身份認(rèn)證具有以下特點:

1.雖然在網(wǎng)絡(luò)中使用身份認(rèn)證技術(shù)后,提高了網(wǎng)絡(luò)的安全性,但是因為身份認(rèn)證技術(shù)需要使用加密算法來實施復(fù)雜計算,就會導(dǎo)致出現(xiàn)實時性變差,降低了網(wǎng)絡(luò)通信率。

2.身份認(rèn)真系統(tǒng)在處于單機狀態(tài)下無法很好的實現(xiàn)。

3.入侵者往往會通過對用戶的通信通道上竊聽出身份認(rèn)證信息,從而非法獲得合法用戶的身份信息,并使用這些截取的身份信息入網(wǎng)。

4.因為使用者一般具有不穩(wěn)定性和流動性,所以進(jìn)行身份認(rèn)證就必須要考慮到相對應(yīng)的方式,就是確認(rèn)用戶身份進(jìn)行認(rèn)證時具有唯一性、完整性,防止出現(xiàn)用戶身份冒充、偽造等情況,在此基礎(chǔ)上也需要考慮到認(rèn)證系統(tǒng)是否會對系統(tǒng)流暢運行帶來影響。

二、用戶身份認(rèn)證的技術(shù)應(yīng)用

身份認(rèn)證技術(shù)在以后的發(fā)展里,首先需要提高其安全性、穩(wěn)定性、效率性、實用性等特點,在認(rèn)證終端需要向小型化發(fā)展。重點可以從下面幾個方面來進(jìn)行發(fā)展:

(一)生物認(rèn)證技術(shù)

生物特征指的是人體自帶的生理特征和行為特征。因為每個人的生物特征都具有唯一性,由此來對用戶進(jìn)行驗證。生物特征的身份認(rèn)證方法有著可靠、穩(wěn)定等特點,也是最安全的身份認(rèn)證方法。但是在目前還沒有哪種生物認(rèn)證的方法可以保證100%的正確率。因此,怎么提高識別算法和硬件水平來保證高正確率是一個重點。

(二)非生物認(rèn)證技術(shù)

非生物認(rèn)證一般是采用口令的認(rèn)證方式,而現(xiàn)在傳統(tǒng)的身份認(rèn)證技術(shù)就是使用口令認(rèn)證??诹钫J(rèn)證方法具有簡單性、操作性等特點。認(rèn)證者首先需要擁有用戶使用賬號,還需要保證使用賬號在用戶數(shù)據(jù)庫里是唯一的。而主要一般是兩種口令的認(rèn)證方式:一種是使用動態(tài)口令,用戶在使用網(wǎng)絡(luò)安全系統(tǒng)的時候,所需要輸入的口令都是變化的,不會固定,每次都有變化,就算這次輸入的口令被他人獲得,但是下次卻不可以再次使用。另一種是靜態(tài)口令,使用用戶經(jīng)過系統(tǒng)設(shè)定和保存后,在指定的時間內(nèi)不會發(fā)生變化,一個口令能夠長期使用,這種口令相比于動態(tài)口令雖然操作簡單,但是卻沒有動態(tài)口令安全。

(三)多因素認(rèn)證

結(jié)合利用各類因素認(rèn)證技術(shù),增強身份認(rèn)證的安全性?,F(xiàn)在手機短信認(rèn)證和Web的口令認(rèn)證早已經(jīng)在網(wǎng)絡(luò)安全中得到利用,并獲得不錯的口碑[2]。

三、身份認(rèn)證的發(fā)展趨勢

文章介紹了各種身份認(rèn)證技術(shù)手段,也指出了各種身份認(rèn)證技術(shù)所存在的缺陷,把身份認(rèn)真應(yīng)用到網(wǎng)絡(luò)安全中,首先要根據(jù)用戶認(rèn)證方式和實際需求來進(jìn)行綜合考慮分析,只要是能夠滿足用戶使用就是最好的,用戶使用是否喜歡和安全性能并不一定成正比。在以后的身份認(rèn)證技術(shù)發(fā)展中,首先要解決如何降低身份認(rèn)證機制的通信量和計算量,在降低設(shè)備成本和計算時間的同時,也要能夠提供一個比較高的安全性能,綜合運用多因素認(rèn)證方法,改變單一因素認(rèn)證的弊端,使用生物認(rèn)證技術(shù),改進(jìn)識別方式和提高硬件水平,保證正確率[3]。

現(xiàn)如今計算機技術(shù)發(fā)展腳步迅速,相信不久的將來計算機身份認(rèn)證技術(shù)也會更加完善,未來會出現(xiàn)更安全、高性能的身份認(rèn)證技術(shù),從而充分保障用戶計算機的信息安全。

參考文獻(xiàn):

[1]李俊林.身份認(rèn)證技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].電腦編程技巧與維護(hù),2013(02):34-35.

第7篇:網(wǎng)絡(luò)安全審計范文

關(guān)鍵詞:安全模型;身份驗證;IP;IPSec

0 引言

傳統(tǒng)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的注重點是數(shù)據(jù)安全,而不是網(wǎng)絡(luò)基礎(chǔ)設(shè)施本身的安全。在網(wǎng)絡(luò)攻擊不斷泛濫的形勢下,有必要將安全保護(hù)的對象由通信的數(shù)據(jù)轉(zhuǎn)向通信的物理設(shè)備,沒有安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐,安全的網(wǎng)絡(luò)通信如同空中樓閣。

1 面向報文信息的網(wǎng)絡(luò)安全模型

目前,討論的大多數(shù)通信模型是一方通過互聯(lián)網(wǎng)傳送報文給另一方,雙方協(xié)調(diào)共同完成信息交換。如需要保護(hù)信息傳輸防止攻擊者竊取和破壞信息時,就該在原有的通信模型基礎(chǔ)上提供安全服務(wù)。目前有兩類安全服務(wù)模型,即網(wǎng)絡(luò)傳輸安全模型和網(wǎng)絡(luò)訪問安全模型。

網(wǎng)絡(luò)傳輸安全模型是在數(shù)據(jù)發(fā)送或接收前對其進(jìn)行安全轉(zhuǎn)換,保證通信雙方數(shù)據(jù)的保密性,避免攻擊者竊取報文后直接讀取,有時需要可信任第三方負(fù)責(zé)分發(fā)保密信息。網(wǎng)絡(luò)訪問安全模型是利用驗證或訪問控制等方式控制非授權(quán)網(wǎng)絡(luò)實體非法訪問資源。除上述兩種安全模型之外,還有一種網(wǎng)絡(luò)安全模型,旨在提供集成的網(wǎng)絡(luò)安全,但僅僅是個一般概念上的描述模型,并非成熟實用。

網(wǎng)絡(luò)傳輸安全模型,IPSec在TCP/IP網(wǎng)絡(luò)層協(xié)議基礎(chǔ)上提供了具體的安全服務(wù)框架,主要為數(shù)據(jù)通信增加安全保護(hù),是網(wǎng)絡(luò)傳輸較安全的一個實施方案。

2 安全框架lPSec

國際標(biāo)準(zhǔn)組織(Iso)制訂的Is07498―2提出一個典型的傳統(tǒng)網(wǎng)絡(luò)安全體系結(jié)構(gòu)(NSA),該結(jié)構(gòu)描述了一系列的安全服務(wù)以及實現(xiàn)這些安全服務(wù)的機制。大多數(shù)安全服務(wù)可存在于ISO協(xié)議模型的任何一層,但其中IP層具有簡單透明的優(yōu)勢,而其他協(xié)議層實現(xiàn)起來既增大系統(tǒng)開銷,又會降低系統(tǒng)效率。于是,1ETF工作組于1998年11月制定了全新的IPSec安全體系結(jié)構(gòu),一系列相關(guān)規(guī)范文檔,推出多種IP層安全服務(wù)框架。

IPSec安全體系結(jié)構(gòu)規(guī)范州詳細(xì)描述提供的多種安全服務(wù)以及實現(xiàn)安全服務(wù)的多種安全機制。安全服務(wù)主要包括數(shù)據(jù)保密、數(shù)據(jù)完整性驗證、數(shù)據(jù)源驗證、訪問控制、抗重發(fā)攻擊等。這些服務(wù)通過安全協(xié)議ESP(Encapsulating Security Payload)和AH(Authentication Header)實現(xiàn),它們建立在密碼技術(shù)之上,可提供多種加密算法和驗證算法供用戶選擇。

無論是加密算法還是驗證算法都要使用密鑰,因此IPSec提供了密鑰交換協(xié)議IKE(Internet Key Exchange)。IKE是基于ISAKMP密鑰交換框架定義的密鑰交換協(xié)議,它定義了兩個協(xié)商階段。階段一是建立一個IKESA,可通過兩種交換模式實現(xiàn):一種是主模式交換,一種是自信模式交換。階段二是建立一個IPSecSA,只能通過快速模式交換實現(xiàn)。其中安全關(guān)聯(lián)SA(security Association)數(shù)據(jù)庫是一個三元組集合,每個三元組稱為SAID即。服務(wù)類型可以是驗證服務(wù)(AH)或者封裝安全凈荷服務(wù)(ESP),SPI是端系統(tǒng)用來標(biāo)識通信流的一個整數(shù)值。IKE協(xié)議是一個復(fù)雜的協(xié)}義,它用于動態(tài)地管理密鑰,其安全性對IPSec提供的安全性影響至關(guān)重要。

2.1 IPSec工作原理

無論IPSec以什么方式實現(xiàn),其工作原理都類似。IPSec工作原理(見圖2):當(dāng)IP數(shù)據(jù)包進(jìn)入或離開IPSec結(jié)構(gòu)時,它會根據(jù)安全策略數(shù)據(jù)庫(SPD)對該IP包進(jìn)行相應(yīng)的處理。當(dāng)接口接收到一個IP分組(里面包含了IPSec頭)后,從該IP包中提取安全參數(shù)索引SPI、目的地址、協(xié)議號――它們組成一個三元組SAID,并根據(jù)該SAID檢索安全關(guān)聯(lián)數(shù)據(jù)庫SADB,以找到處理該分組的安全關(guān)聯(lián)SA;對接收分組進(jìn)行序列號檢查、完整性驗證和解密處理,最終恢復(fù)明文分組;從明文分組中提取源、目的地址,上層協(xié)議,端口號,構(gòu)造出選擇符,將SA指向的SPD條目所對應(yīng)的選擇符與接收報文構(gòu)造出的選擇符進(jìn)行比較,如果一致,再比較該SPD條目的安全要求與接收分組的實際安全策略是否相符,若出現(xiàn)不一致的情況,則將分組丟棄,否則繼續(xù)處理分組。

當(dāng)一個IP分組被發(fā)送時,其源/目的地址、協(xié)議號、端口號等元素構(gòu)成選擇符,并作為關(guān)鍵字檢索安全策略數(shù)據(jù)庫SPD,由SPD檢索輸出相應(yīng)的安全策略有三種:一是丟棄發(fā)送報文;二是不進(jìn)行安全服務(wù)處理;三是應(yīng)用網(wǎng)絡(luò)層安全服務(wù),返回策略條目相對應(yīng)的SA條目指針。如果指針非空,則根據(jù)指向的SA對該IP包進(jìn)行相應(yīng)的安全處理;如果指針為空,即SPD中沒有建立對應(yīng)的安全關(guān)聯(lián)SA,IPSec會通過策略引擎調(diào)用密鑰協(xié)商模塊IKE,按照策略要求協(xié)商SA,并將產(chǎn)生的SA填入SADB中,并應(yīng)用于待處理的分組。

2.2 IPSec性能分析

我們利用工具CASTSJ(communication Analysis and Sim-ulation T001)對裝有集成IPSec功能的NETBSD操作系統(tǒng)的兩臺工作站進(jìn)行了測試,從端到端TCP包通信的數(shù)據(jù)吞吐量和單向數(shù)據(jù)傳輸時間延遲兩個方面來考察IPSec性能。測試分三類:運行未使用IPSec的服務(wù)(classl),運行具有IPSec驗證功能的服務(wù)(class2),運行具有IPSec加密功能的服務(wù)(class3)。從試驗結(jié)果可以明顯得出以下兩個結(jié)論。第一,相同時間內(nèi)兩端的平均數(shù)據(jù)吞吐量:classl>class2>class3,三類比值大約為15:11:5;第二,單向數(shù)據(jù)傳輸平均時間延遲:class3>class2>classl,三類比值大約為7:2:1。

雖然IPSec提供端到端的安全通信,但是,整個網(wǎng)絡(luò)層安全解決方案是在操作系統(tǒng)內(nèi)核中集成IPSec,這樣必然會影響網(wǎng)絡(luò)性能。并且,如果使用了IPSec服務(wù),實時通信也會比較難實現(xiàn)。為了減少計算量提高網(wǎng)絡(luò)性能,一個可行的解決方法是針對不同的數(shù)據(jù)實施不同的安全保護(hù)措施,對于不重要的數(shù)據(jù)可以不進(jìn)行安全保護(hù)。

從空間復(fù)雜度角度分別對AH協(xié)議和ESP協(xié)議的兩種模式(傳輸模式和隧道模式)進(jìn)行了比較分析。在傳輸模式下,IPSec AH協(xié)議報頭固定字段長度為12Byms,驗證數(shù)據(jù)域(可選)長度12Byms,總共24Bytes。而IPSec ESP協(xié)議報頭固定字段長度為10Byms,驗證數(shù)據(jù)域(可選)長度12Byms,總共22Byms。在隧道模式下,IPSec AH協(xié)議報頭固定字段長度為12Byms,還有新IP報頭20Bytes,驗證數(shù)據(jù)域(可 選)長度12Byms,總共44Byms。而IPSec ESP協(xié)議報頭固定字段長度為12Byms,還有新IP報頭20Bytes,驗證數(shù)據(jù)域(可選)長度12Bytes,總共42Bytes。

另外,從時間復(fù)雜度和吞吐量兩個角度分別對IPSec中使用的加密算法3DES和驗證算法MD5,SHA-1、HMAC-MD5、HMAC-SHAl進(jìn)行了試驗比較。試驗結(jié)果為,對于同―種指令處理能力,數(shù)據(jù)吞吐量由大到小的算法依次為:MD5,HMAC-MD5,SHAl,HMAC-SHAl,3DES,而HMAC-MD5的執(zhí)行時間比MD5要長,HMAC-SHAl的執(zhí)行時間比SHAl要長。

2.3 IPSec數(shù)據(jù)源驗證服務(wù)及存在問題

IPSec在網(wǎng)絡(luò)層提供了多種安全服務(wù),為現(xiàn)有網(wǎng)絡(luò)以及下一代網(wǎng)絡(luò)提供了一定的安全保障。其中,源驗證服務(wù)使得IP報文接收者能確信整個報文未被修改,報文確實是從其所聲稱的源IP地址主機發(fā)送出來的?;诠蚕砻荑€實現(xiàn)的驗證服務(wù),是由AH協(xié)議提供的服務(wù),其作用范圍為整個報文,它利用密碼技術(shù)和驗證技術(shù)來實現(xiàn),通過有密鑰控制的Hash算法產(chǎn)生的報文摘要提供了基于密鑰的報文驗證機制,實現(xiàn)了報文完整性驗證和數(shù)據(jù)源驗證兩方面服務(wù)。

上述服務(wù)存在一個前提,即主機IP地址已經(jīng)存在。因為無論報文發(fā)送還是接收,需要根據(jù)報文選擇符檢索安全策略數(shù)據(jù)庫SPD,數(shù)據(jù)庫的每個條目是根據(jù)真實的源地址和目的地址建立的。但是IPSec數(shù)據(jù)源驗證服務(wù)不能保證報文源IP地址的真實可靠性,無法檢測子網(wǎng)內(nèi)IP地址假冒報文,不能抵制IP地址假冒攻擊。另外密鑰協(xié)商過程比較復(fù)雜,而且需要用戶參與,其透明度不高。

綜上所述,IPSec數(shù)據(jù)源驗證存在如下不足。

(1)IPSec需要通過用戶密鑰協(xié)商之后再提供數(shù)據(jù)源驗證服務(wù),而不能提供基于網(wǎng)絡(luò)實體特征信息的密鑰協(xié)商過程,對用戶而言透明性不好。

(2)利用IKE進(jìn)行密鑰協(xié)商前,通信實體之間需要經(jīng)過身份驗證。主要有三種驗證方式:預(yù)置共享密鑰認(rèn)證、數(shù)字簽名和公鑰系統(tǒng)。第一種方式并不實用,而后兩種方式需要可信任第三方參與。整個密鑰協(xié)商過程比較繁瑣,性能不高。

任何一個網(wǎng)絡(luò)安全解決方案不可能解決所有的安全問題,從上述兩個問題可以看出:首先,IPSec著重從用戶和信息安全角度保障通信數(shù)據(jù)的安全,而忽視網(wǎng)絡(luò)通信實體的安全,不能提供安全的IP地址供接入網(wǎng)絡(luò)的實體使用。而且目前針對網(wǎng)絡(luò)設(shè)備的攻擊屢見不鮮,存在多種基于網(wǎng)絡(luò)實體的攻擊方法,包括基于DNS攻擊、基于路由器攻擊、基于普通主機攻擊和基于各種服務(wù)器攻擊。其次,由于數(shù)據(jù)源驗證服務(wù)基于密鑰和IP地址實現(xiàn),盡管在IKE密鑰協(xié)商之前通信實體進(jìn)行互相驗證,但所提供的幾種身份驗證機制并不簡單實用。再次,IPSec主要應(yīng)用于建設(shè)VPN網(wǎng)絡(luò),通過公網(wǎng)搭建企業(yè)內(nèi)部網(wǎng)可大大降低成本,但是,由于其復(fù)雜性以及用戶透明度低,目前IPsec應(yīng)用于端系統(tǒng)尚不普及。

因此,在上述安全模型基礎(chǔ)上應(yīng)該考慮網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性,在保證網(wǎng)絡(luò)通信實體可信的前提下,再進(jìn)一步提供可靠的安全服務(wù)。

3 面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全模型

為了從根本上解決安全隱患,在源頭遏制多種攻擊的發(fā)生,應(yīng)該從主機接入開始進(jìn)行安全的管理和監(jiān)控,因此一種新型的網(wǎng)絡(luò)安全模型面向網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全模型被提了出來。所示為在轉(zhuǎn)發(fā)設(shè)備可信、網(wǎng)絡(luò)終端設(shè)備不可信的假設(shè)前提下,面向基礎(chǔ)設(shè)施(主機)的安全模型。

主機A接入子網(wǎng)1時受到主機接入控制,主要是監(jiān)測和控制主機A的身份標(biāo)識和IP地址配置情況。其次,主機A收發(fā)報文時受到報文收發(fā)控制,主要是監(jiān)測和控制主機A發(fā)送或接收報文過程中出現(xiàn)的異常情況,比如地址假冒或頻率超高等。主機A的報文在網(wǎng)絡(luò)傳輸過程中受到報文傳遞控制,主要是監(jiān)測和控制報文在路由結(jié)點之間轉(zhuǎn)發(fā)傳遞的報文完整性和真實性。最后,主機A的報文發(fā)送和接收全程受到信息安全控制,主要是端到端通信過程中數(shù)據(jù)加密,解密以及密鑰管理等處理。

該模型假定轉(zhuǎn)發(fā)設(shè)備是可信的,也就是說轉(zhuǎn)發(fā)設(shè)備是不在主機接入控制范圍內(nèi)。如果把轉(zhuǎn)發(fā)設(shè)備看作終端設(shè)備,只是比普通主機功能更強大,那么可以把假設(shè)前提定為轉(zhuǎn)發(fā)設(shè)備和網(wǎng)絡(luò)終端設(shè)備均不可信。在這種情況下,這個模型也是適用的,只是任何接入網(wǎng)絡(luò)的物理設(shè)備進(jìn)入網(wǎng)絡(luò)時都要受到接入控制。

對于IP假冒,雖然IPSec在其相應(yīng)前提條件下可以為通信的數(shù)據(jù)提供良好的源驗證服務(wù),但在網(wǎng)絡(luò)設(shè)備的接入和IP地址安全可靠使用等方面沒有提供較完善的驗證服務(wù),其前提條件較多不太合理,因此并不能提供可靠的數(shù)據(jù)源驗證以監(jiān)測IP地址假冒行為。在面向基礎(chǔ)設(shè)施網(wǎng)絡(luò)模型指導(dǎo)下,實體接入網(wǎng)絡(luò)時增加安全控制機制,在此基礎(chǔ)上通過網(wǎng)絡(luò)層身份驗證機制提供可靠的數(shù)據(jù)源驗證,可以有效檢測控制假冒報文。

4 新的網(wǎng)絡(luò)層身份驗證機制

IPSec安全框架選擇在網(wǎng)絡(luò)層提供安全服務(wù),其優(yōu)點是不需要對其他協(xié)議層次作任何改動,可以為IP層以上協(xié)議提供透明的安全服務(wù)。網(wǎng)絡(luò)發(fā)展趨勢是Everything Over IP,在網(wǎng)絡(luò)層提供安全服務(wù)是最好的選擇,可以屏蔽各類通信子網(wǎng),而且不會影響上層的服務(wù)。但網(wǎng)絡(luò)層所提供的功能必須高效快速,不應(yīng)嚴(yán)重影響網(wǎng)絡(luò)性能,否則將得不償失,安全也就失去了意義。借鑒IPSec在網(wǎng)絡(luò)層設(shè)計安全服務(wù)的優(yōu)點,選擇網(wǎng)絡(luò)層作為設(shè)計的基礎(chǔ)是合理的。

IP地址作為一個終端實體的身份標(biāo)識,每個報文中所攜帶的源IP地址是否合法真實,報文是否為真正的實體所發(fā)送,通常可利用數(shù)據(jù)源身份驗證機制解決。

身份驗證系統(tǒng)至少應(yīng)該有兩個實體,一個是驗證實體,一個是被驗證實體。此外,還應(yīng)該明確驗證對象是什么?針對IP假冒問題,這里驗證的對象是傳輸中的報文,如果驗證通過說明報文中所聲稱的實體就是真實的報文發(fā)送實體,如果未通過則說明報文是由假冒實體發(fā)送的。因此,最初狀態(tài)安全實體網(wǎng)絡(luò)開始形成時,應(yīng)該建立對象之間的驗證關(guān)系和驗證信息,實體和IP地址形成關(guān)聯(lián),然后利用它們監(jiān)控網(wǎng)絡(luò)內(nèi)實體的報文發(fā)送情況,及時發(fā)現(xiàn)IP假冒行為。

結(jié)合面向網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全模型和上述分析,身份驗證機制分為三個階段:

(1)第一個階段,建立身份驗證子網(wǎng)絡(luò),即建立實體間的驗證關(guān)系。

(2)第二個階段,建立實體身份標(biāo)識和安全的驗證信息,即為所有加入驗證子網(wǎng)絡(luò)的實體建立身份標(biāo)識并且分配安全的驗證信息,以便檢測和控制網(wǎng)內(nèi)實體的通信報文。

(3)第三個階段,通信過程中檢測和控制網(wǎng)內(nèi)傳輸?shù)膱笪?,即利用上一個階段所建立的驗證信息檢查報文的真?zhèn)?,確定其是否為真實的實體發(fā)出的。

上述三個階段的身份驗證機制可有效解決IPSec存在的一些不足之處。首先,不需要事先存在IP地址,因為在第二個階段時可以為接入的網(wǎng)絡(luò)實體配置安全的IP地址。其次,第二個階段后,驗證實體可利用報文發(fā)送實體特有的安全驗證信息檢測接收報文的真實性,提供可靠的數(shù)據(jù)源驗證,有效檢測控制IP假冒行為,無需用戶過多參與,增加透明度。最后,驗證實體和被驗證實體間密鑰協(xié)商過程比較簡單,可提高性能。

5 結(jié)束語

第8篇:網(wǎng)絡(luò)安全審計范文

關(guān)鍵詞:嬰幼兒奶粉質(zhì)量;安全性評價;BP神經(jīng)網(wǎng)絡(luò);供應(yīng)鏈

中圖分類號:TP183;TS252.7 文獻(xiàn)標(biāo)識碼:A 文章編號:0439-8114(2017)04-0740-05

2008年發(fā)生的三鹿奶粉的三聚氰胺問題讓國內(nèi)消費者對國產(chǎn)嬰幼兒奶粉安全信心崩塌,國產(chǎn)奶粉市場占有率不斷下降;2013年恒天然的肉毒桿菌事件表明國外嬰幼兒奶粉安全性也存在諸多問題[1,2]。保障嬰幼兒奶粉質(zhì)量安全,已經(jīng)成為政府和眾多專家學(xué)者研究的熱點。白世貞等[2]基于供應(yīng)鏈視角對乳制品質(zhì)量安全進(jìn)行了研究,孫肖明等[3]針對影響乳制品質(zhì)量因素和解決辦法進(jìn)行了研究,柳亦博等[4]利用危害分析臨界控制點(Hazard Analysis Critical Control Point,HACCP)體系針對乳制品質(zhì)量安全監(jiān)理進(jìn)行了研究。

研究表明,影響乳制品質(zhì)量安全的因素很多。在乳制品中,嬰幼兒奶粉食用對象為嬰幼兒,其質(zhì)量安全問題更需保證。嬰幼兒奶粉最終到消費者手中時,經(jīng)歷從生產(chǎn)到銷售的眾多環(huán)節(jié),每一個環(huán)節(jié)出現(xiàn)問題都有可能對嬰幼兒奶粉質(zhì)量產(chǎn)生影響,如何科學(xué)和有效評價嬰幼兒奶粉質(zhì)量是非常必要的。葛哲學(xué)等[5]基于監(jiān)測數(shù)據(jù)和BP神經(jīng)網(wǎng)絡(luò)構(gòu)建了食品安全預(yù)警模型;章德賓等[6]基于BP神經(jīng)網(wǎng)絡(luò)構(gòu)建了乳制品質(zhì)量安全評價研究。但已有研究存在以下不足:①都是針對多種商品的食品安全建模,由此建立BP神經(jīng)網(wǎng)絡(luò)模型相對寬泛,而針對嬰幼兒配方奶粉質(zhì)量安全評價時,商品以及其供應(yīng)鏈更加具體、國家標(biāo)準(zhǔn)更加嚴(yán)格,HACCP關(guān)鍵點控制的不同,其評價指標(biāo)必須更加具體和詳細(xì);②建立的BP神經(jīng)網(wǎng)絡(luò)模型是針對多種商品,針對嬰幼兒奶粉質(zhì)量安全評價模型研究較少。

BP神經(jīng)網(wǎng)結(jié)構(gòu)簡單,訓(xùn)練與調(diào)控參數(shù)豐富,在神經(jīng)網(wǎng)絡(luò)中應(yīng)用最廣泛,其不需要輸入、輸出值間存在嚴(yán)格的假設(shè)關(guān)系,同時能夠以區(qū)間數(shù)、模糊數(shù)等方式處理定性信息[7],在模式識別[7,8]、危害分析和HACCP中關(guān)鍵點股市分析預(yù)測[9-12]、管理問題優(yōu)化與決策等方面得到大量的實際應(yīng)用[13]。本研究在分析湖南卓躍生物科技有限公司日常監(jiān)測數(shù)據(jù)基礎(chǔ)上,基于嬰幼兒奶粉供應(yīng)鏈,從奶牛養(yǎng)殖、擠奶、加工包裝、倉儲運輸、銷售整個過程出發(fā),參照HACCP和GB10765-2010《食品安全國家標(biāo)準(zhǔn):嬰兒配方食品》要求[14],在每個環(huán)節(jié)中選取關(guān)鍵點作為評價指標(biāo),分析建立基于BP神經(jīng)網(wǎng)絡(luò)的嬰幼兒奶粉質(zhì)量安全評價模型,在MATLAB中編程實現(xiàn),并進(jìn)行模型有效性驗證。

1 嬰幼兒奶粉質(zhì)量安全評價指標(biāo)的篩選

嬰幼兒奶粉供應(yīng)鏈可分為奶牛養(yǎng)殖、擠奶、加工包裝、倉儲運輸、銷售5個環(huán)節(jié)。每個環(huán)節(jié)基于HACCP關(guān)鍵點控制方法和國家標(biāo)準(zhǔn)GB10765-2010《食品安全國家標(biāo)準(zhǔn):嬰兒配方食品》篩選評價指標(biāo),篩選的主要原則是:

1)記錄整個嬰幼兒奶粉供應(yīng)鏈所涉及企業(yè)的信息。

2)篩選出對嬰幼兒奶粉安全有影響的信息。

3)所篩選的指標(biāo)要符合國家相應(yīng)的法律法規(guī)的要求。

4)所篩指標(biāo)準(zhǔn)確可靠,指標(biāo)集簡單可行。

基于上述篩選原則和飼養(yǎng)規(guī)律把養(yǎng)殖環(huán)節(jié)分成養(yǎng)殖飼料科學(xué)性與安全性、養(yǎng)殖衛(wèi)生環(huán)境、疾病防疫水平等3個主要評價指標(biāo)。

基于上述篩選原則,結(jié)合工廠實際檢測相關(guān)指標(biāo),把擠奶環(huán)節(jié)評價指標(biāo)分為必需含有評價指標(biāo)、污染物評價指標(biāo)、真菌霉素評價指標(biāo)、微生物評價指標(biāo)。其中,蛋白質(zhì)含量和脂肪含量必需含有評價指標(biāo);污染物評價指標(biāo)包括鉛、汞、鉻、砷、三聚氰胺、硒硝酸鹽、亞硝酸鹽含量;真菌霉素評價指標(biāo)包含黃霉素M1含量;微生物評價指標(biāo)原奶中細(xì)菌總數(shù)、大腸菌落含量。

加工包裝環(huán)節(jié)、倉儲運輸環(huán)節(jié)、銷售環(huán)節(jié)的評價指標(biāo)都是依據(jù)上述篩選原則,結(jié)合各自環(huán)節(jié)所存在問題確定,其具體原則如下:

嬰幼兒奶粉供應(yīng)鏈的5個環(huán)節(jié)具體27個評價指標(biāo)如表1所示,表1中限于空間只列舉了6組用于嬰幼兒奶粉質(zhì)量安全評價的原始數(shù)據(jù)。由表1可知,數(shù)據(jù)存在如下特點:

1)抽象性變量,如養(yǎng)殖信息中養(yǎng)殖飼料科學(xué)性和安全性難以用精確的指標(biāo)反映出來,這些評價指標(biāo)就需要依靠專家打分來反映相對客觀、合理的結(jié)果。

2)具體測量種類較多,要將這些數(shù)據(jù)全部納入到一個模型中,就需要一個相對簡單的方法來處理這些不同類型數(shù)據(jù)。采用了歸一化處理的方法。

2 神經(jīng)網(wǎng)絡(luò)建模

神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)方式與用途有很多種類,其中具有誤差反向傳播算法的BP神經(jīng)網(wǎng)絡(luò)是目前應(yīng)用最為廣泛的一種人工神經(jīng)網(wǎng)絡(luò)。BP神經(jīng)網(wǎng)絡(luò)除輸入層和輸出層外,還包括一個或多個隱含層,各個層神經(jīng)元之間實現(xiàn)全連接,而同層內(nèi)各神經(jīng)元無連接。含有單個隱含層的BP神經(jīng)網(wǎng)絡(luò)可以任意逼近含有多個隱含層的BP神經(jīng)網(wǎng)絡(luò),因此采用由輸入層、隱含層、輸出層構(gòu)成的3層BP神經(jīng)網(wǎng)絡(luò)。

BP神經(jīng)網(wǎng)絡(luò)建模,首先確定輸入層和輸出層節(jié)點個數(shù)。隱含層節(jié)點個數(shù)的確定首先利用試湊法預(yù)估范圍,然后利用MATLAB仿真_定最佳的隱含層節(jié)點個數(shù)。

2.1 輸入層和輸出層節(jié)點個數(shù)的確定

輸入層個數(shù)的確定是以湖南卓躍生物科技有限公司日常監(jiān)測數(shù)據(jù)為樣本,篩選并選擇了與嬰幼兒奶粉質(zhì)量安全評價最為相關(guān)的27種指標(biāo)因素,以27種指標(biāo)因素作為輸入層個數(shù),具體指標(biāo)見表1中評價指標(biāo)項。

輸出層個數(shù)確定為1,質(zhì)量安全評價模型輸出結(jié)果應(yīng)遵循原則為簡單、直觀、有效。所以采用評價等級數(shù)字作為輸出層,來反映整個供應(yīng)鏈下嬰幼兒奶粉質(zhì)量安全評價分。評分為1~9分,1分表明嬰幼兒奶粉質(zhì)量安全最差,9分表明質(zhì)量安全最好,低于6分就表明嬰幼兒奶粉質(zhì)量安全存在問題。

2.2 隱含層節(jié)點個數(shù)的確定

隱含層節(jié)點個數(shù)確定是一個非常復(fù)雜的問題,目前還沒有一個理想的解析式可以準(zhǔn)確確定隱含層節(jié)點個數(shù),這也是BP神經(jīng)網(wǎng)絡(luò)的缺點之一[15]。但是,在實際應(yīng)用過程中可以根據(jù)經(jīng)驗公式M=■估計隱含層神經(jīng)元的個數(shù)[16]。其中,n表示輸入層個數(shù),這里是27;m表示輸出層的個數(shù),這里是1;a為1~10的常數(shù),由試湊法可知,隱含層神經(jīng)元的個數(shù)7~16,然后分別比較所構(gòu)建的10個BP神經(jīng)網(wǎng)絡(luò)的性能,選取均方誤差精度最小時隱含層個數(shù)作為本研究BP神經(jīng)網(wǎng)絡(luò)模型隱含層神經(jīng)元個數(shù)。

BP神經(jīng)網(wǎng)絡(luò)要求傳遞函數(shù)全部可微,現(xiàn)有可微傳遞函數(shù)主要有Purelin、logsing、tansig 3種[7],因為輸入變量p的維度27還是有點大,為了能夠較快得到收斂,選擇tansig()函數(shù)為隱層神經(jīng)元的傳遞函數(shù);輸出層神經(jīng)元的傳遞函數(shù)也選擇tansig()函數(shù);訓(xùn)練BP神經(jīng)網(wǎng)絡(luò)選擇基于數(shù)值優(yōu)化的Trainlm()函數(shù),因為Trainlm()函數(shù)與傳統(tǒng)的梯度下降法相比,具有收斂速度快和精度高等特點。權(quán)值和閾值的初始化采用Newff()函數(shù)自動完成[14]。

使用MATLAB 7.10的神經(jīng)網(wǎng)絡(luò)工具箱,用300個樣本來測試構(gòu)建的10個BP神經(jīng)網(wǎng)絡(luò)的性能。由表2可知,隱含層神經(jīng)元個數(shù)為12時,構(gòu)建BP神經(jīng)網(wǎng)絡(luò)性能最佳。構(gòu)建了嬰幼兒奶粉質(zhì)量安全評價的BP神經(jīng)網(wǎng)絡(luò)模型,如圖1所示。

3 MATLAB實現(xiàn)與驗證

根據(jù)BP神經(jīng)網(wǎng)絡(luò)模型,開始訓(xùn)練BP神經(jīng)網(wǎng)絡(luò)。神經(jīng)網(wǎng)絡(luò)的訓(xùn)練首先要設(shè)定最大訓(xùn)練次數(shù)、目標(biāo)精度、學(xué)習(xí)率等參數(shù)。圖1模型在不設(shè)置訓(xùn)練次數(shù)的情況下,最優(yōu)訓(xùn)練精度在訓(xùn)練8 000次左右即穩(wěn)定于1e-16,但此時的測驗樣本平均絕對誤差達(dá)到了0.952 3,出現(xiàn)了訓(xùn)練樣本過度學(xué)習(xí)的過擬合現(xiàn)象。為防止過擬合現(xiàn)象的出現(xiàn),目標(biāo)精度應(yīng)低于最優(yōu)值的水平,經(jīng)過測試將訓(xùn)練目標(biāo)精度設(shè)為1e-8,訓(xùn)練次數(shù)設(shè)為2 000,BP神經(jīng)網(wǎng)絡(luò)性能較好。學(xué)習(xí)率設(shè)為0.01,因為學(xué)習(xí)率過大,會造成學(xué)習(xí)過程的不穩(wěn)定,通過測試發(fā)現(xiàn)學(xué)習(xí)率設(shè)為0.01較為合理。

在以上訓(xùn)練參數(shù)下,選取300個樣本來訓(xùn)練,10個測試樣本作為驗證,訓(xùn)練結(jié)果如圖2所示。由圖2可知,在訓(xùn)練周期為51次時,該網(wǎng)絡(luò)收斂于穩(wěn)定,目標(biāo)精度達(dá)到預(yù)設(shè)的1e-8。

嬰幼兒奶粉質(zhì)量安全實際評分與預(yù)測評分散點圖如圖3所示。由圖3可知,預(yù)測評分與實際評分結(jié)果非常接近。

10個測試樣本的預(yù)測評分與誤差率見表3。由表3可知,10個測試樣本誤差率都在0~4%之內(nèi),平均誤差率是1.10%,說明已構(gòu)建的BP神經(jīng)網(wǎng)絡(luò)較為準(zhǔn)確的,可以對嬰幼兒奶粉質(zhì)量安全進(jìn)行評價。

4 結(jié)論

通過建立BP神經(jīng)網(wǎng)絡(luò)模型對歷史數(shù)據(jù)進(jìn)行訓(xùn)練,能夠在系統(tǒng)內(nèi)部規(guī)律未知的情況下,對新的待測樣本做出較為精確的預(yù)估。本研究基于BP神經(jīng)網(wǎng)絡(luò)的這種優(yōu)點,結(jié)合嬰幼兒奶粉供應(yīng)鏈特點,以湖南卓躍生物科技有限公司日常監(jiān)測數(shù)據(jù)為樣本,篩選并選擇了與嬰幼兒奶粉質(zhì)量安全評價最為相關(guān)的27種指標(biāo)因素,以27種指標(biāo)因素組成輸入層,評價結(jié)果組成輸出層。針對隱含層節(jié)點個數(shù),首先利用試湊法預(yù)估范圍,然后利用MATLAB仿真確定最佳的隱含層節(jié)點個數(shù)。最后利用10組數(shù)據(jù)對神經(jīng)網(wǎng)絡(luò)評價模型進(jìn)行了仿真驗證。結(jié)果表明,基于BP神經(jīng)網(wǎng)絡(luò)的嬰幼兒奶粉質(zhì)量安全評價模型能夠在實際訓(xùn)練數(shù)據(jù)樣本進(jìn)行有效預(yù)測,是一種可行的嬰幼兒奶粉質(zhì)量安全評價方法。

參考文獻(xiàn):

[1] 郭利亞,王加啟.當(dāng)前我國奶業(yè)發(fā)展的五個特征[J].中畜牧雜志,2013,49(8):3-5.

[2] 白世貞,劉忠剛.基于供應(yīng)鏈視角的乳制品質(zhì)量安全問題研究[J].商品儲運與養(yǎng)護(hù),2013,35(12):105-108.

[3] 孫肖明,孟憲梅.影響乳制品質(zhì)量安全的因素與解決措施[J].畜牧獸醫(yī)科技信息,2013(8):9-10.

[4] 柳亦博,樸貞子.HACCP體系控制與乳制品質(zhì)量安全監(jiān)管研究[J].山東農(nóng)業(yè)科學(xué),2010(3):98-101.

[5] 葛哲學(xué),孫志強.神經(jīng)網(wǎng)絡(luò)理論與MATLABR2007實現(xiàn)[M].北京:電子工業(yè)出版社,2007.

[6] 章德賓,徐家鵬,許建軍,等.基于監(jiān)測數(shù)據(jù)和BP神經(jīng)網(wǎng)絡(luò)的食品安全預(yù)警模型[J].農(nóng)業(yè)工程學(xué)報,2010,26(1),221-226.

[7] 趙 杰,林 輝.基于BP神經(jīng)網(wǎng)絡(luò)模型的目標(biāo)屬性識別仿真[J].系統(tǒng)仿真學(xué)報,2007,19(11):2571-2573.

[8] 陳 紅,熊利榮,胡筱波,等.基于神經(jīng)網(wǎng)絡(luò)與圖像處理的花生仁霉變識別方法[J].農(nóng)業(yè)工程學(xué)報,2007,23(4):158-161.

[9] CHEN C R,RAMASWAMY H S. Analysis of critical control points in deviant thermal processes using artifical neural networks[J].Journal of Food Engineerings,2003,57(3):225-235.

[10] 張紹秋,胡躍明.基于BP神經(jīng)網(wǎng)絡(luò)的稅收預(yù)測模型[J].華南理工大學(xué)學(xué)報(自然科學(xué)版),2006,34(6):55-58.

[11] DUBUS I G,BEULKE S,BROWN C D.Calibration of pesticide leaching models:Critical review and guidance for reporting[J].PestManagementScience,2002,58(8):745-758.

[12] CAMPO I S,BEGHIN J C. Dairy food consumption,supply, and policy in Japan[J].Food Policy,2006,31(3):228-227.

[13] 禹建麗,孫增圻,VALERI KROUMOV,等.基于BP神經(jīng)網(wǎng)絡(luò)的股市建模與決策[J].系統(tǒng)工程理論與實踐,2003,23(5):15-19.

[14] 孫紅英.BP神經(jīng)網(wǎng)絡(luò)方法在用電量預(yù)測中的應(yīng)用[D].廣州:中山大學(xué),2005.

第9篇:網(wǎng)絡(luò)安全審計范文

[摘要]計算機網(wǎng)絡(luò)安全建設(shè)是涉及我國經(jīng)濟(jì)發(fā)展、社會發(fā)展和國家安全的重大問題。本文結(jié)合網(wǎng)絡(luò)安全建設(shè)的全面信息,在對網(wǎng)絡(luò)系統(tǒng)詳細(xì)的需求分析基礎(chǔ)上,依照計算機網(wǎng)絡(luò)安全設(shè)計目標(biāo)和計算機網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃,設(shè)計了一個完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系。

[關(guān)鍵詞]網(wǎng)絡(luò)安全方案設(shè)計實現(xiàn)

一、計算機網(wǎng)絡(luò)安全方案設(shè)計與實現(xiàn)概述

影響網(wǎng)絡(luò)安全的因素很多,保護(hù)網(wǎng)絡(luò)安全的技術(shù)、手段也很多。一般來說,保護(hù)網(wǎng)絡(luò)安全的主要技術(shù)有防火墻技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)、防病毒技術(shù)、加密技術(shù)、身份認(rèn)證技術(shù),等等。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全,必須結(jié)合網(wǎng)絡(luò)的具體需求,將多種安全措施進(jìn)行整合,建立一個完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系,這樣一個全面的網(wǎng)絡(luò)安全解決方案,可以防止安全風(fēng)險的各個方面的問題。

二、計算機網(wǎng)絡(luò)安全方案設(shè)計并實現(xiàn)

1.桌面安全系統(tǒng)

用戶的重要信息都是以文件的形式存儲在磁盤上,使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率,但同時也造成用戶的信息易受到攻擊,造成泄密。特別是對于移動辦公的情況更是如此。因此,需要對移動用戶的文件及文件夾進(jìn)行本地安全管理,防止文件泄密等安全隱患。

本設(shè)計方案采用清華紫光公司出品的紫光S鎖產(chǎn)品,“紫光S鎖”是清華紫光“桌面計算機信息安全保護(hù)系統(tǒng)”的商品名稱。紫光S鎖的內(nèi)部集成了包括中央處理器(CPU)、加密運算協(xié)處理器(CAU)、只讀存儲器(ROM),隨機存儲器(RAM)、電可擦除可編程只讀存儲器(E2PROM)等,以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS(ChipOperatingSystem)、硬件ID號、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認(rèn)證的SmartCOS,其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改,防止非法軟件對S鎖進(jìn)行操作。

2.病毒防護(hù)系統(tǒng)

基于單位目前網(wǎng)絡(luò)的現(xiàn)狀,在網(wǎng)絡(luò)中添加一臺服務(wù)器,用于安裝IMSS。

(1)郵件防毒。采用趨勢科技的ScanMailforNotes。該產(chǎn)品可以和Domino的群件服務(wù)器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫中,可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件,實時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作,并提供實時監(jiān)控病毒流量的活動記錄報告。ScanMail是NotesDominoServer使用率最高的防病毒軟件。

(2)服務(wù)器防毒。采用趨勢科技的ServerProtect。該產(chǎn)品的最大特點是內(nèi)含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響,另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點進(jìn)行部署,管理和更新。

(3)客戶端防毒。采用趨勢科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng),使管理者通過單點控制所有客戶機上的防毒模塊,并可以自動對所有客戶端的防毒模塊進(jìn)行更新。其最大特點是擁有靈活的產(chǎn)品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。

(4)集中控管TVCS。管理員可以通過此工具在整個企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)趨勢科技的防病毒軟件,支持跨域和跨網(wǎng)段的管理,并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。無論運行于何種平臺和位置,TVCS在整個網(wǎng)絡(luò)中總起一個單一管理控制臺作用。簡便的安裝和分發(fā)部署,網(wǎng)絡(luò)的分析和病毒統(tǒng)計功能以及自動下載病毒代碼文件和病毒爆發(fā)警報,給管理帶來極大的便利。

3.動態(tài)口令身份認(rèn)證系統(tǒng)

動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎(chǔ)上,結(jié)合生成動態(tài)口令的特點,加以精心修改,通過十次以上的非線性迭代運算,完成時間參數(shù)與密鑰充分的混合擴散。在此基礎(chǔ)上,采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式,從整體上保證了系統(tǒng)的安全性。

4.訪問控制“防火墻”

單位安全網(wǎng)由多個具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成,在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,從而構(gòu)成了對網(wǎng)絡(luò)安全的重要隱患。本設(shè)計方案選用四臺網(wǎng)御防火墻,分別配置在高性能服務(wù)器和三個重要部門的局域網(wǎng)出入口,實現(xiàn)這些重要部門的訪問控制。

通過在核心交換機和高性能服務(wù)器群之間及核心交換機和重要部門之間部署防火墻,通過防火墻將網(wǎng)絡(luò)內(nèi)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段,彼此隔離。這樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器,使其不受來自內(nèi)部的攻擊,也保護(hù)了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)您的一個部門,或者如果病毒開始蔓延,網(wǎng)段能夠限制造成的損壞進(jìn)一步擴大。

5.信息加密、信息完整性校驗

為有效解決辦公區(qū)之間信息的傳輸安全,可以在多個子網(wǎng)之間建立起獨立的安全通道,通過嚴(yán)格的加密和認(rèn)證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實性和私有性。

SJW-22網(wǎng)絡(luò)密碼機系統(tǒng)組成

網(wǎng)絡(luò)密碼機(硬件):是一個基于專用內(nèi)核,具有自主版權(quán)的高級通信保護(hù)控制系統(tǒng)。

本地管理器(軟件):是一個安裝于密碼機本地管理平臺上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機本地管理系統(tǒng)軟件。

中心管理器(軟件):是一個安裝于中心管理平臺(Windows系統(tǒng))上的對全網(wǎng)的密碼機設(shè)備進(jìn)行統(tǒng)一管理的系統(tǒng)軟件。

6.安全審計系統(tǒng)

根據(jù)以上多層次安全防范的策略,安全網(wǎng)的安全建設(shè)可采取“加密”、“外防”、“內(nèi)審”相結(jié)合的方法,“內(nèi)審”是對系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查,識別系統(tǒng)是否正在受到攻擊以及內(nèi)部機密信息是否泄密,以解決內(nèi)層安全。

安全審計系統(tǒng)能幫助用戶對安全網(wǎng)的安全進(jìn)行實時監(jiān)控,及時發(fā)現(xiàn)整個網(wǎng)絡(luò)上的動態(tài),發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為,忠實記錄網(wǎng)絡(luò)上發(fā)生的一切,提供取證手段。作為網(wǎng)絡(luò)安全十分重要的一種手段,安全審計系統(tǒng)包括識別、記錄、存儲、分析與安全相關(guān)行為有關(guān)的信息。

在安全網(wǎng)中使用的安全審計系統(tǒng)應(yīng)實現(xiàn)如下功能:安全審計自動響應(yīng)、安全審計數(shù)據(jù)生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。

本設(shè)計方案選用“漢邦軟科”的安全審計系統(tǒng)作為安全審計工具。

漢邦安全審計系統(tǒng)是針對目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的安全問題,面向企事業(yè)的網(wǎng)絡(luò)管理人員而設(shè)計的一套網(wǎng)絡(luò)安全產(chǎn)品,是一個分布在整個安全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測、控制系統(tǒng)。

(1)安全審計系統(tǒng)由安全監(jiān)控中心和主機傳感器兩個部分構(gòu)成。主機傳感器安裝在要監(jiān)視的目標(biāo)主機上,其監(jiān)視目標(biāo)主機的人機界面操作、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情況及共享資源的使用情況。安全監(jiān)控中心是管理平臺和監(jiān)控平臺,網(wǎng)絡(luò)管理員通過安全監(jiān)控中心為主機傳感器設(shè)定監(jiān)控規(guī)則,同時獲得監(jiān)控結(jié)果、報警信息以及日志的審計。主要功能有文件保護(hù)審計和主機信息審計。

①文件保護(hù)審計:文件保護(hù)安裝在審計中心,可有效的對被審計主機端的文件進(jìn)行管理規(guī)則設(shè)置,包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。以及對文件保護(hù)進(jìn)行用戶管理。

②主機信息審計:對網(wǎng)絡(luò)內(nèi)公共資源中,所有主機進(jìn)行審計,可以審計到主機的機器名、當(dāng)前用戶、操作系統(tǒng)類型、IP地址信息。

(2)資源監(jiān)控系統(tǒng)主要有四類功能。①監(jiān)視屏幕:在用戶指定的時間段內(nèi),系統(tǒng)自動每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結(jié)束。②監(jiān)視鍵盤:在用戶指定的時間段內(nèi),截獲HostSensorProgram用戶的所有鍵盤輸入,用戶實時控制鍵盤截獲的開始和結(jié)束。

③監(jiān)測監(jiān)控RAS連接:在用戶指定的時間段內(nèi),記錄所有的RAS連接信息。用戶實時控制ass連接信息截獲的開始和結(jié)束。當(dāng)gas連接非法時,系統(tǒng)將自動進(jìn)行報警或掛斷連接的操作。

④監(jiān)測監(jiān)控網(wǎng)絡(luò)連接:在用戶指定的時間段內(nèi),記錄所有的網(wǎng)絡(luò)連接信息(包括:TCP,UDP,NetBios)。用戶實時控制網(wǎng)絡(luò)連接信息截獲的開始和結(jié)束。由用戶指定非法的網(wǎng)絡(luò)連接列表,當(dāng)出現(xiàn)非法連接時,系統(tǒng)將自動進(jìn)行報警或掛斷連接的操作。

單位內(nèi)網(wǎng)中安全審計系統(tǒng)采集的數(shù)據(jù)來源于安全計算機,所以應(yīng)在安全計算機安裝主機傳感器,保證探頭能夠采集進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)。安全監(jiān)控中心安裝在信息中心的一臺主機上,負(fù)責(zé)為主機傳感器設(shè)定監(jiān)控規(guī)則,同時獲得監(jiān)控結(jié)果、報警信息以及日志的審計。單位內(nèi)網(wǎng)中的安全計算機為600臺,需要安裝600個傳感器。

7.入侵檢測系統(tǒng)IDS

入侵檢測作為一種積極主動的安全防護(hù)技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā),入侵檢測理應(yīng)受到人們的高度重視,這從國際入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出。

根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度,選擇IDS探測器(百兆)配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機處放置,核心交換機放置控制臺,監(jiān)控和管理所有的探測器因此提供了對內(nèi)部攻擊和誤操作的實時保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

在單位安全內(nèi)網(wǎng)中,入侵檢測系統(tǒng)運行于有敏感數(shù)據(jù)的幾個要害部門子網(wǎng)和其他部門子網(wǎng)之間,通過實時截取網(wǎng)絡(luò)上的是數(shù)據(jù)流,分析網(wǎng)絡(luò)通訊會話軌跡,尋找網(wǎng)絡(luò)攻擊模式和其他網(wǎng)絡(luò)違規(guī)活動。

8.漏洞掃描系統(tǒng)

本內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決定了整個系統(tǒng)的安全性。在內(nèi)網(wǎng)高性能服務(wù)器處配置一臺網(wǎng)絡(luò)隱患掃描I型聯(lián)動型產(chǎn)品。I型聯(lián)動型產(chǎn)品適用于該內(nèi)網(wǎng)這樣的高端用戶,I型聯(lián)動型產(chǎn)品由手持式掃描儀和機架型掃描服務(wù)器結(jié)合一體,網(wǎng)管人員就可以很方便的實現(xiàn)了集中管理的功能。網(wǎng)絡(luò)人員使用I型聯(lián)動型產(chǎn)品,就可以很方便的對200信息點以上的多個網(wǎng)絡(luò)進(jìn)行多線程較高的掃描速度的掃描,可以實現(xiàn)和IDS、防火墻聯(lián)動,尤其適合于制定全網(wǎng)統(tǒng)一的安全策略。同時移動式掃描儀可以跨越網(wǎng)段、穿透防火墻,實現(xiàn)分布式掃描,服務(wù)器和掃描儀都支持定時和多IP地址的自動掃描,網(wǎng)管人員可以很輕松的就可以進(jìn)行整個網(wǎng)絡(luò)的掃描,根據(jù)系統(tǒng)提供的掃描報告,配合我們提供的三級服務(wù)體系,大大的減輕了工作負(fù)擔(dān),極大的提高了工作效率。

聯(lián)動掃描系統(tǒng)支持多線程掃描,有較高的掃描速度,支持定時和多IP地址的自動掃描,網(wǎng)管人員可以很輕松的對自己的網(wǎng)絡(luò)進(jìn)行掃描和漏洞的彌補。同時提供了Web方式的遠(yuǎn)程管理,網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。另外對于信息點少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)隱患掃描II型移動式掃描儀。移動式掃描儀使用靈活,可以跨越網(wǎng)段、穿透防火墻,對重點的服務(wù)器和網(wǎng)絡(luò)設(shè)備直接掃描防護(hù),這樣保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性,最大可能地消除安全隱患。

在防火墻處部署聯(lián)動掃描系統(tǒng),在部門交換機處部署移動式掃描儀,實現(xiàn)放火墻、聯(lián)動掃描系統(tǒng)和移動式掃描儀之間的聯(lián)動,保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性,最大可能的消除安全隱患,盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補,優(yōu)化資源,提高網(wǎng)絡(luò)的運行效率和安全性。

三、結(jié)束語