序言:寫作是分享個人見解和探索未知領域的橋梁,我們?yōu)槟x了8篇的網(wǎng)絡安全事件定義樣本����,期待這些樣本能夠為您提供豐富的參考和啟發(fā)��,請盡情閱讀。
第1篇
醫(yī)院網(wǎng)絡安全形勢嚴峻�,傳統(tǒng)的網(wǎng)絡安全措施,均只照顧到單點或局部安全�����。防火墻雖能有效保護出口安全或服務器區(qū)域安全��,阻止某些攻擊���,但無法分析深層數(shù)據(jù)����,尤其無法處理內(nèi)部攻擊;殺毒軟件面對種類繁多的病毒�����,已經(jīng)陷入亡羊補牢的被動局面,難以主動防御,今年“熊貓燒香”����、“灰鴿子”病毒爆發(fā)���,就讓殺毒軟件束手無策���。
目前醫(yī)院網(wǎng)絡安全技術基本上還是單兵作戰(zhàn),由殺毒軟件和防火墻等獨立安全產(chǎn)品對攻擊進行防御��。這些防范措施漏洞百出,被動挨打����,無法實現(xiàn)真正的全局網(wǎng)絡安全���。而醫(yī)院網(wǎng)絡安全事關重大,院內(nèi)管理��、處方監(jiān)控���、患者服務等等信息��,關乎生命健康��,因此確保醫(yī)院網(wǎng)絡安全,具有重大的社會意義��。
多兵種協(xié)同作戰(zhàn)
確保醫(yī)院全局網(wǎng)絡安全
在我國網(wǎng)絡安全領域居于領先地位的GSN全局安全解決方案��,集自動、主動����、聯(lián)動特征于一身����,使擁有“縱深防御”特性的新型網(wǎng)絡安全模式成為可能���。目前已經(jīng)開始應用于醫(yī)療衛(wèi)生單位����,并在2006年底��,以廈門集美大學網(wǎng)絡為平臺��,建成了全國唯一一個萬人規(guī)模下全局網(wǎng)絡安全應用工程����,獲得2007年第八屆信息安全大會最佳安全實踐獎。
GSN(Global Security Network全局安全網(wǎng)絡)��,由安全交換機��、安全管理平臺���、安全計費管理系統(tǒng)�����、網(wǎng)絡入侵檢測系統(tǒng)���、安全修復系統(tǒng)等多重網(wǎng)絡元素聯(lián)合組成��,能實現(xiàn)同一網(wǎng)絡環(huán)境下的全局聯(lián)動�。GSN將用戶入網(wǎng)強制安全��、主機信息收集和健康性檢查����、安全事件下的設備聯(lián)動�,集成到一個網(wǎng)絡安全解決方案中�,用“多兵種”協(xié)同作戰(zhàn)的方式,實現(xiàn)網(wǎng)絡全方位安全�,同時實現(xiàn)對網(wǎng)絡安全威脅的自動防御�,網(wǎng)絡受損系統(tǒng)的自動修復。GSN擁有針對網(wǎng)絡環(huán)境變化和新網(wǎng)絡行為的自動學習能力���,防范未知安全事件,從被動防御變成了主動出擊���。
GSN在醫(yī)院網(wǎng)絡中作用機制
“聯(lián)動”是GSN精髓所在。GSN的入侵檢測系統(tǒng)分布在網(wǎng)絡的各個角落���,進行安全事件檢測,最終上報給安全管理平臺��。當網(wǎng)絡被病毒攻擊時����,安全管理平臺自動將安全策略下發(fā)到安全事件發(fā)生的網(wǎng)絡區(qū)域���,并自動同步到整個網(wǎng)絡中���,從而達到網(wǎng)絡自動防御�。
安全管理平臺對安全事件的處理主要包括下發(fā)警告消息,下發(fā)修復程序�����,下發(fā)阻斷或者隔離策略��。根據(jù)不同等級的安全事件,管理員能夠制定不同的處理方式�。如針對安全等級較低�,危害較小的攻擊(如掃描),管理員只下發(fā)警告消息��。如果某些攻擊是由于未打某補丁��,則可以下發(fā)修復程序,由用戶進行修復����。如果某安全事件危害很大(如蠕蟲病毒)�,則可以下發(fā)阻斷或者隔離策略�,對用戶進行隔離,或者阻斷其攻擊報文的發(fā)送����,避免該蠕蟲病毒在整個局域網(wǎng)中傳播。
GSN全局網(wǎng)絡安全系統(tǒng)�,從ARP協(xié)議入手��,針對ARP協(xié)議動態(tài)學習����、自動更新的天生缺陷,由GSN方案中各安全組件進行互動�����,在客戶端進行靜態(tài)ARP的綁定,在網(wǎng)關進行可信任ARP的綁定�����,并實現(xiàn)自動部分接管ARP協(xié)議的功能�����,達到從根本上解決ARP欺騙的問題��。同時結(jié)合銳捷安全交換機��,完全杜絕ARP欺騙報文在網(wǎng)絡中的傳播和泛濫���,結(jié)合GSN方案的其它功能��,還能夠解決IP沖突等帶來的一些問題��。方案中銳捷網(wǎng)絡還自定義了“可信任ARP”和相關機制����,使得網(wǎng)絡安全真正做到了沒有漏洞。
第2篇
關鍵詞:網(wǎng)絡安全 安全態(tài)勢建模 安全態(tài)勢生成 知識發(fā)現(xiàn)
網(wǎng)絡安全態(tài)勢感知在安全告警事件的基礎上提供統(tǒng)一的網(wǎng)絡安全高層視圖,使安全管理員能夠快速準確地把握網(wǎng)絡當前的安全狀態(tài)�,并以此為依據(jù)采取相應的措施。實現(xiàn)網(wǎng)絡安全態(tài)勢感知����,需要在廣域網(wǎng)環(huán)境中部署大量的��、多種類型的安全傳感器�����,來監(jiān)測目標網(wǎng)絡系統(tǒng)的安全狀態(tài)����。通過采集這些傳感器提供的信息,并加以分析��、處理�,明確所受攻擊的特征���,包括攻擊的來源��、規(guī)模、速度��、危害性等���,準確地描述網(wǎng)絡的安全狀態(tài),并通過可視化手段顯示給安全管理員�����,從而支持對安全態(tài)勢的全局理解和及時做出正確的響應。
1.網(wǎng)絡安全態(tài)勢建模
安全態(tài)勢建模的主要目的是構(gòu)建適應于度量網(wǎng)絡安全態(tài)勢的數(shù)據(jù)模型�,以支持安全傳感器的告警事件精簡����、過濾和融合的通用處理過程���。用于安全態(tài)勢建模的數(shù)據(jù)源主要是分布式異構(gòu)傳感器采集的各種安全告警事件���。網(wǎng)絡安全態(tài)勢建模過程是由多個階段組成的。在初始的預處理階段�����,通過告警事件的規(guī)格化,將收到的所有安全事件轉(zhuǎn)化為能夠被數(shù)據(jù)處理模塊理解的標準格式。這些告警事件可能來自不同的傳感器���,并且告警事件的格式各異��,例如IDS的事件、防火墻日志���、主機系統(tǒng)日志等。規(guī)格化的作用是將傳感器事件的相關屬性轉(zhuǎn)換為一個統(tǒng)一的格式���。我們針對不同的傳感器提供不同的預處理組件�,將特定傳感器的信息轉(zhuǎn)換為預定義的態(tài)勢信息模型屬性值。根據(jù)該模型��,針對每個原始告警事件進行預處理�����,將其轉(zhuǎn)換為標準的格式,各個屬性域被賦予適當?shù)闹怠T趹B(tài)勢數(shù)據(jù)處理階段���,將規(guī)格化的傳感器告警事件作為輸入����,并進行告警事件的精簡、過濾和融合處理���。其中,事件精簡的目標是合并傳感器檢測到的相同攻擊的一系列冗余事件�����。典型的例子就是在端口掃描中,IDS可能對各端口的每個掃描包產(chǎn)生檢測事件�,通過維護一定時間窗口內(nèi)的事件流,對同一來源�、同一目標主機的同類事件進行合并,以大大減少事件數(shù)量���。事件過濾的目標是刪除不滿足約束要求的事件�����,這些約束要求是根據(jù)安全態(tài)勢感知的需要以屬性或者規(guī)則的形式存儲在知識庫中���。例如,將關鍵屬性空缺或不滿足要求范圍的事件除去���,因為這些事件不具備態(tài)勢分析的意義。另外����,通過對事件進行簡單的確認�����,可以區(qū)分成功攻擊和無效攻擊企圖�。在事件的過濾處理時����,無效攻擊企圖并不被簡單地丟棄��,而是標記為無關事件,因為即使是無效攻擊也代表著惡意企圖,對最終的全局安全狀態(tài)會產(chǎn)生某種影響。通過精簡和過濾��,重復的安全事件被合并��,事件數(shù)量大大減少而抽象程度增加,同時其中蘊含的態(tài)勢信息得到了保留�。事件融合功能是基于D-S證據(jù)理論提供的��,其通過將來自不同傳感器的、經(jīng)過預處理���、精簡和過濾的事件引入不同等級的置信度,融合多個屬性對網(wǎng)絡告警事件進行量化評判��,從而有效降低安全告警事件的誤報率和漏報率,并且可以為網(wǎng)絡安全態(tài)勢的分析���、推理和生成提供支持。
2.網(wǎng)絡安全態(tài)勢生成
2.1知識發(fā)現(xiàn)的關聯(lián)規(guī)則提取
用于知識發(fā)現(xiàn)的數(shù)據(jù)來源主要有兩個:模擬攻擊產(chǎn)生的安全告警事件集和歷史安全告警事件集�����。知識發(fā)現(xiàn)就是在這樣的告警事件集上發(fā)現(xiàn)和抽取出態(tài)勢關聯(lián)所需要的知識�����。由于安全報警事件的復雜性,這個過程難以完全依賴于人工來完成?�?梢酝ㄟ^知識發(fā)現(xiàn)的方法���,針對安全告警事件集進行模式挖掘、模式分析和學習���,以實現(xiàn)安全態(tài)勢關聯(lián)規(guī)則的提取�����。
2.2安全告警事件精簡和過濾
通過實驗觀察發(fā)現(xiàn),安全傳感器的原始告警事件集中存在大量無意義的頻繁模式�,而且這些頻繁模式大多是與系統(tǒng)正常訪問或者配置問題相關的。如果直接在這樣的原始入侵事件集上進行知識發(fā)現(xiàn)����,必然產(chǎn)生很多無意義的知識。因此����,需要以D-S證據(jù)理論為基礎建立告警事件篩選機制,根據(jù)告警事件的置信度進行程序的統(tǒng)計分析��。首先�,利用程序自動統(tǒng)計各類安全事件的分布情況。然后�����,利用D-S證據(jù)理論���,通過精簡和過濾規(guī)則評判各類告警事件的重要性�����,來刪除無意義的事件。
2.3安全態(tài)勢關聯(lián)規(guī)則提取
在知識發(fā)現(xiàn)過程中發(fā)現(xiàn)的知識��,通過加入關聯(lián)動作轉(zhuǎn)化為安全態(tài)勢的關聯(lián)規(guī)則���,用于網(wǎng)絡安全態(tài)勢的在線關聯(lián)分析�。首先�,分析FP-Tree算法所挖掘的安全告警事件屬性間的強關聯(lián)規(guī)則���,如果該規(guī)則所揭示的規(guī)律與某種正常訪問相關,則將其加入刪除動作����,并轉(zhuǎn)化成安全告警事件的過濾規(guī)則。接著��,分析Winepi算法所挖掘的安全告警事件間的序列關系。如果這種序列關系與某種類型的攻擊相關�����,形成攻擊事件的組合規(guī)則�����,則增加新的安全攻擊事件���。最后,將形成的關聯(lián)規(guī)則轉(zhuǎn)化成形式化的規(guī)則編碼�,加入在線關聯(lián)知識庫��。
3.網(wǎng)絡安全態(tài)勢生成算法
網(wǎng)絡安全態(tài)勢就是被監(jiān)察的網(wǎng)絡區(qū)域在一定時間窗口內(nèi)遭受攻擊的分布情況及其對安全目標的影響程度�����。網(wǎng)絡安全態(tài)勢信息與時間變化、空間分布均有關系�����,對于單個節(jié)點主要表現(xiàn)為攻擊指數(shù)和資源影響度隨時間的變化,對于整個網(wǎng)絡區(qū)域則還表現(xiàn)為攻擊焦點的分布變化�����。對于某一時刻網(wǎng)絡安全態(tài)勢的計算�����,必須考慮一個特定的評估時間窗口T��,針對落在時間窗口內(nèi)的所有事件進行風險值的計算和累加。隨著時間的推移�����,一些告警事件逐漸移出窗口,而新的告警事件則進入窗口�����。告警事件發(fā)生的頻度反映了安全威脅的程度。告警事件頻發(fā)時�����,網(wǎng)絡系統(tǒng)的風險值迅速地累積增加���;而當告警事件不再頻發(fā)時,風險值則逐漸地降低���。首先,需要根據(jù)融合后的告警事件計算網(wǎng)絡節(jié)點的風險等級���。主要考慮以下因素:告警置信度c��、告警嚴重等級s�、資源影響度m。其中����,告警可信度通過初始定義和融合計算后產(chǎn)生����;告警嚴重等級被預先指定,包含在告警信息中�;資源影響度則是指攻擊事件對其目標的具體影響程度,不同攻擊類別對不同資源造成的影響程度不同,與具體配置���、承擔的業(yè)務等有關�����。此外�,還應考慮節(jié)點的安全防護等級Pn、告警恢復系數(shù)Rn等因素��。
4.結(jié)束語
本文提出了一個基于知識發(fā)現(xiàn)的網(wǎng)絡安全態(tài)勢建模和生成框架����。在該框架的基礎上設計并實現(xiàn)了網(wǎng)絡安全態(tài)勢感知系統(tǒng)���,系統(tǒng)支持網(wǎng)絡安全態(tài)勢的準確建模和高效生成���。實驗表明本系統(tǒng)具有統(tǒng)一的網(wǎng)絡安全態(tài)勢建模和生成框架�;準確構(gòu)建網(wǎng)絡安全態(tài)勢度量的形式模型����;通過知識發(fā)現(xiàn)方法,有效簡化告警事件庫����,挖掘頻繁模式和序列模式并轉(zhuǎn)化為態(tài)勢關聯(lián)規(guī)則。
參考文獻:
第3篇
該系統(tǒng)包括安全事件管理模塊�、安全業(yè)務模塊��、控制中心���、安全策略庫�����、日志數(shù)據(jù)庫�、網(wǎng)間協(xié)作模塊����。
1.1安全事件管理模塊
1.1.1安全事件收集子模塊
能夠通過多種方式收集各類信息安全設備發(fā)送的安全事件信息�,收集方式包含幾種:(1)基于SNMPTrap和Syslog方式收集事件���;(2)通過0DBC數(shù)據(jù)庫接口獲取設備在各種數(shù)據(jù)庫中的安全相關信息����;(3)通過OPSec接口接收事件�。在收集安全事件后,還需要安全事件預處理模塊的處理后,才能送到安全事件分析子模塊進行分析�。
1.1.2安全事件預處理模塊
通過幾個步驟進行安全事件的預處理:(1)標準化:將外部設備的日志統(tǒng)一格式���;(2)過濾:在標準化步驟后����,自定義具有特別屬性(包括事件名稱、內(nèi)容����、產(chǎn)生事件設備IP/MAC等)的不關心的安全事件進行丟棄或特別關注的安全事件進行特別標記;(3)歸并:針對大量相同屬性事件進行合并整理����。
1.1.3安全事件分析子模塊
關聯(lián)分析:通過內(nèi)置的安全規(guī)則庫,將原本孤立的實時事件進行縱向時間軸與歷史事件比對和橫向?qū)傩暂S與其他安全事件比對��,識別威脅事件。事件分析子模塊是SOC系統(tǒng)中最復雜的部分�����,涉及各種分析技術�,包括相關性分析、結(jié)構(gòu)化分析��、入侵路徑分析�����、行為分析��。事件告警:通過上述過程產(chǎn)生的告警信息通過XML格式進行安全信息標準化、規(guī)范化�����,告警信息集中存儲于日志數(shù)據(jù)庫��,能夠滿足容納長時間信息存儲的需求���。
1.2安全策略庫及日志庫
安全策略庫主要功能是傳遞各類安全管理信息��,同時將處理過的安全事件方法和方案收集起來�,形成安全共享知識庫�����,為培養(yǎng)高素質(zhì)網(wǎng)絡安全技術人員提供培訓資源�。信息內(nèi)容包括安全管理信息、風險評估信息����、網(wǎng)絡安全預警信息���、網(wǎng)絡安全策略以及安全案例庫等安全信息�。安全日志庫主要功能是存儲事件管理模塊中收集的安全日志,可采用主流的關系性數(shù)據(jù)庫實現(xiàn)�����,例如Oracle�����、DB2、SQLServer等��。
1.3安全業(yè)務模塊
安全業(yè)務模塊包括拓撲管理子模塊和安全風險評估子模塊�。拓撲管理子模塊具備的功能:(1)通過網(wǎng)絡嗅探自動發(fā)現(xiàn)加入網(wǎng)絡中的設備及其連接,獲取最初的資產(chǎn)信息;(2)對網(wǎng)絡拓撲進行監(jiān)控�����,監(jiān)控節(jié)點運行狀態(tài)���;(3)識別新加入和退出節(jié)點���;(4)改變網(wǎng)絡拓撲結(jié)構(gòu),其過程與現(xiàn)有同類SOC產(chǎn)品類似���,在此不再贅述��。目前按照國標(GB/T20984-2007信息安全風險評估規(guī)范),將信息系統(tǒng)安全風險分為五個等級���,從低到高分別為微風險���、一般風險���、中等風險、高風險和極高風險�����。系統(tǒng)將通過接收安全事件管理模塊的分析結(jié)果����,完成資產(chǎn)的信息安全風險計算工作���,進行定損分析,并自動觸發(fā)任務單和響應來降低資產(chǎn)風險���,達到管理和控制風險的效果。
1.4控制中心模塊
該模塊負責管理全網(wǎng)的安全策略���,進行配置管理����,對全網(wǎng)資產(chǎn)進行統(tǒng)一配置和策略統(tǒng)一下發(fā),改變當前需要對每個設備分別下方策略所帶來的管理負擔�����,并不斷進行優(yōu)化調(diào)整�����?��?刂浦行奶峁┤W(wǎng)安全威脅和事故的集中處理服務����,事件的響應可通過各系統(tǒng)的聯(lián)動、向第三方提供事件信息傳遞接口�、輸出任務工單等方式實現(xiàn)�����。該模塊對于確認的安全事件可以通過自動響應機制,一方面給出多種告警方式(如控制臺顯示���、郵件�、短信等),另一方面通過安全聯(lián)動機制阻止攻擊(如路由器遠程控制��、交換機遠程控制等)。各系統(tǒng)之間聯(lián)動通過集合防火墻�����、入侵監(jiān)測�、防病毒系統(tǒng)��、掃描器的綜合信息���,通過自動調(diào)整安全管理中心內(nèi)各安全產(chǎn)品的安全策略����,以減弱或者消除安全事件的影響�。
1.5網(wǎng)間協(xié)作模塊
該模塊的主要功能是根據(jù)結(jié)合自身的工作任務���,判定是否需要其它SOC的協(xié)同。若需要進行協(xié)同��,則與其它SOC之間進行通信�,傳輸相關數(shù)據(jù)�,請求它們協(xié)助自己完成安全威脅確認等任務。
2結(jié)束語
第4篇
一�、對象與方法
調(diào)查于2016年10-11月進行,采用匿名��、自填���、送發(fā)式問卷的調(diào)查方法���。研究對象為南京在讀大學生,來自6所綜合性院校�,每個學校調(diào)查200人��,抽樣方法為定額抽樣�,要求各校樣本男女學生數(shù)�����、各年級人數(shù)相近��。調(diào)查問卷為自制問卷,內(nèi)容包括基本情況��、網(wǎng)絡系統(tǒng)安全情況���、網(wǎng)絡信息安全、網(wǎng)絡安全事件�����、網(wǎng)絡安全教育�。研究根據(jù)被調(diào)查對象所存在的網(wǎng)絡安全行為與意識的相關問題而判斷的網(wǎng)絡安全教育必要性定義為客觀需求�����,將被調(diào)查對象自我覺察到的需求定義為主觀需求。研究中以被調(diào)查者對網(wǎng)絡安全事件的處理正確率來判斷客觀需求����,以被調(diào)查者目前獲取網(wǎng)絡安全信息的途徑����、網(wǎng)絡安全專題教育的必要性�、對于高校網(wǎng)絡安全教育的評價和期待的網(wǎng)絡安全教育形式反映主觀需求程度�。問卷調(diào)查數(shù)據(jù)采用SPSS軟件進行錄入和分析�����,主要進行了描述性統(tǒng)計分析和卡方(X2)檢驗����,檢驗水準α定為0.05����。
二���、結(jié)果
1.被調(diào)查者基本情況���。被調(diào)查者中男生略多,占50.7%���,大一��、大二年級的偏多,分別占27.9%和28.4%�����;工科生和文科生偏多�,分別占38.3%和27.8%,如表1所示�����。調(diào)查結(jié)果顯示�,超過半數(shù)的大學生在校期間每天平均使用網(wǎng)路的時間超過3小時����,被調(diào)查大學生的上網(wǎng)目的由高到低依次排列:學習67.2%����、觀看網(wǎng)絡視頻62.1%�、網(wǎng)游戲等娛樂活動51.3%、購物50.2%�、新聞瀏覽49.8%、交友40.3%�����、生活信息瀏覽35.4%���、工作17.0%����。2.大學生網(wǎng)絡安全教育的客觀需求�����。(1)網(wǎng)絡系統(tǒng)軟件安全維護行為在被調(diào)查的大學生中���,分別有37.8%和27.6%的學生“偶爾”或“從不”在網(wǎng)上下載文件或軟件時殺毒后再使用,卡方檢驗提示:性別和專業(yè)性質(zhì)在網(wǎng)絡系統(tǒng)軟件使用的行為選擇上有較大差異�,男生和公安類學生在網(wǎng)絡系統(tǒng)軟件的使用中更偏向選擇安全維護行為����,如表2所示��。表2被調(diào)查者在從網(wǎng)上下載文件或軟件后是否殺毒再使用的情況(%)(2)網(wǎng)上支付安全行為幾乎所有對象(95.3%)近一年有過網(wǎng)上支付行為�����,其中分別有26.3%�、22.3%和21.8%的對象使用公共場所無密碼WIFI進行網(wǎng)絡支付、沒有仔細辨認支付頁面的網(wǎng)址和使用公共計算機網(wǎng)絡支付后沒有及時消除上網(wǎng)痕跡等行為��,卡方檢驗提示:年級和專業(yè)性質(zhì)在網(wǎng)絡支付信息的行為選擇上存在偏差,大四和工科學生更注重網(wǎng)絡支付的信息安全�,具體如表3所示���。(3)郵件接受安全行為對于垃圾郵件的處理�,過半數(shù)的被調(diào)查大學生會選擇“設置垃圾郵件過濾”(56.3%)或者“看過發(fā)件人和主題后�,判斷是垃圾郵件的話���,手動刪除”(54.8%)�,只有少部分人會選擇“拒收不明來源的郵件”(30.9%)�����、“為防止收到垃圾郵件,不輕易公開自己的私人郵箱”(26.3%)�����、“將發(fā)現(xiàn)的垃圾郵件標志為廣告郵件”(19.2%)�����、“向郵箱的運營商舉報垃圾郵件”(16.8%)或者“專門準備一個專門郵箱用于各類網(wǎng)絡會員注冊用”(13.4%),還有3.9%的被調(diào)查者沒有采取過以上任一措施����??ǚ綑z驗顯示:性別和年紀對被調(diào)查者的郵件接收行為沒有明顯差別,專業(yè)性質(zhì)對其有明顯差別���,公安類學生的郵件接收行為安全性更高��,如表4所示��。3.大學生網(wǎng)絡安全教育的主觀需求。(1)目前網(wǎng)絡安全信息獲取及評價大部分的被調(diào)查大學生從網(wǎng)絡(85.5%)����、同學/朋友/家人(48.1%)、電視(45.6%)獲取網(wǎng)絡安全信息��,只有少部分的人從報刊(28.1%)、手機短信(27.9%)��、專題講座(26.1%)或?qū)I(yè)培訓(8.7%)���。調(diào)查結(jié)果表明,大部分被調(diào)查者認為學校的網(wǎng)絡安全教育做得“非常到位”和“比較到位”����,分別為11.4%和54.1%��,但仍然有近三分之一的人認為所在學校的網(wǎng)絡安全教育做得“不太到位”和“很不到位”��,分別占31.8%和2.8%����。(2)高校網(wǎng)絡安全教育的必要性絕大多數(shù)(90.2%)被調(diào)查對象認為高校有必要開展網(wǎng)絡安全教育教育�����,分別有40.0%和50.2%的對象選擇“非常有必要”和“比較有必要”,而選擇“不太有必要”和“完全沒有必要”的比例僅分別為8.5%和1.3%����??ǚ綑z驗提示:性別、年級和專業(yè)性質(zhì)在高校網(wǎng)絡安全教育需求有明顯差別���,女生、大二和工科學生對于網(wǎng)絡安全的教育需求更大�����,具體如表5所示�。調(diào)查還顯示����,被調(diào)查大學生認為有必要的高校網(wǎng)絡安全教育的形式由高到低依次為:專題講座61.3%��、課堂教育42.3%�����、座談會41.6%�、宣傳折頁發(fā)放39.3%和主題班會39.2%�?��?ǚ綑z驗提示:性別�����、年級和專業(yè)性質(zhì)的差異性較小��,大多沒有統(tǒng)計學顯著性。
三、結(jié)論與建議
1.大學生網(wǎng)絡安全教育主客觀需求度均較高�,高校需更加重視大學生網(wǎng)絡安全教育工作。從客觀需求看���,半數(shù)以上的被調(diào)查大學生使用網(wǎng)絡的時間超過三小時,上網(wǎng)的目的多集中在學習����、觀看網(wǎng)絡視頻���、網(wǎng)游戲等娛樂活動、購物���、新聞瀏覽,有37.8%和27.6%的學生在網(wǎng)上下載文件或軟件時“偶爾”或“從不”殺毒后再使用����。幾乎所有對象(95.3%)近一年間有過網(wǎng)上支付行為����,其中26.3%的對象使用公共場所無密碼WIFI進行網(wǎng)絡支付,大學生在網(wǎng)絡安全事件的處理上仍然存在較高的不安全行為選擇���,這意味著高校網(wǎng)絡安全教育有著非常迫切的客觀需求。另一方面�����,從主觀需求看�����,絕大多數(shù)(90.2%)被調(diào)查對象認為高?!胺浅S斜匾保?0.0%)或“比較有必要”(50.2%)開展網(wǎng)絡安全教育��,而仍然有近三分之一的被調(diào)查大學生反映學校的網(wǎng)絡安全教育做得“不太到位”(31.8%)或“很不到位”(2.8%)�。這說明���,高校網(wǎng)絡安全教育工作的開展情況不容樂觀�����,學生大量需求沒有得到滿足����,高校應該更加重視大學生網(wǎng)絡安全教育工作����,提供及時���、多樣的網(wǎng)絡安全教育服務����。2.多種形式并舉��,全方位滿足高校學生的健康教育需求���。在網(wǎng)絡安全教育形式的必要性調(diào)查中����,選擇比例都接近或超過4成����,可以看出大學生對于不同的網(wǎng)絡安全教育形式都有一定的主觀需求,高校在開展網(wǎng)絡安全教育工作時需要根據(jù)學生的需求�����,采用多種教育形式開展大學生網(wǎng)絡安全教育,充分發(fā)揮第二課堂的作用����,例如充分利用行政手段,通過各種會議進行安全教育��;利用教育手段��,通過安全學術研討會�����、安全知識競賽、安全知識講座等進行安全教育�����;利用學校傳播媒介����、輿論工具等手段�,通過校刊�、校報���、校園網(wǎng)絡��、廣播����、宣傳欄等進行安全教育����,[9]形成全方位��、多層次、多種類的教育體系�。3.豐富網(wǎng)絡安全教育內(nèi)容�����,提高大學生網(wǎng)絡素養(yǎng)和能力。隨著網(wǎng)絡安全事件的頻頻發(fā)生���,互聯(lián)網(wǎng)充斥著虛假���、詐騙信息,但從調(diào)查結(jié)果看�,大學生缺乏獲取網(wǎng)絡安全信息的正規(guī)途徑���。高校網(wǎng)絡安全教育工作必須與時俱進,加強網(wǎng)絡信息安全知識��、網(wǎng)絡系統(tǒng)安全知識和網(wǎng)絡權益相關知識的普及和教育����,開設網(wǎng)絡安全教育課程為大學生提供專業(yè)的知識培訓����,培養(yǎng)大學生網(wǎng)絡系統(tǒng)安全運行的基本素養(yǎng)和能力�,拓寬大學生獲取網(wǎng)絡安全信息的渠道和方式����,培養(yǎng)大學生辨別網(wǎng)絡虛假信息的能力�����,幫助大學生樹立網(wǎng)絡權益防范和維護意識,提高大學生網(wǎng)絡安全意識�,規(guī)范大學生網(wǎng)絡安全行為�����。本文系2016年度江蘇省高等學校大學生創(chuàng)新創(chuàng)業(yè)訓練計劃重點項目“大學生網(wǎng)絡安全意識與行為研究———以南京高校為例”(SZDG2016037)的部分成果���。
作者:張春柳 張藝璇 周建芳 單位:南京郵電大學人文與社會科學學院
參考文獻
[1][2]中國互聯(lián)網(wǎng)絡信息中心.2015年中國手機網(wǎng)民網(wǎng)絡安全狀況報告[EB/OL]./hlwfzyj/hlwxzbg/qsnbg/201608/P020160812393489128332.pdf.
[3]張俊.強化新形勢下的大學生網(wǎng)絡安全教育[J].思想理論教育導刊��,2013,(11).
[4]馬闖.大學生網(wǎng)絡安全教育體系構(gòu)建[J].當代教育實踐與教學研究����,2016�,(4).
[5]李霞.社會工作視域下大學生網(wǎng)絡安全教育新模式探析[J].中國成人教育����,2015����,(23).
[6]鄧暉.談大學生網(wǎng)絡安全教育[J].教育探索,2014�����,(7).
[7]陳聯(lián)嬌,溫金英.淺談當代大學生網(wǎng)絡安全教育的策略[J].法制與社會�,2008,(36).
第5篇
關鍵詞:計算機網(wǎng)絡安全 計算機局域網(wǎng) 主動防御體系
中圖分類號:TP393.1 文獻標識碼:A 文章編號:1007-9416(2013)03-0217-02
一般組織的計算機局域網(wǎng)如果沒有連接互聯(lián)網(wǎng)之前,安全問題一般都來自內(nèi)部�,一旦局域網(wǎng)與互聯(lián)網(wǎng)連接后���,那么局域網(wǎng)的安全威脅就有可能來自外部網(wǎng)絡��。由于外部網(wǎng)絡(互聯(lián)網(wǎng))是開放式的�,所以危險性很高����。在我們實際應用中��,無論是來自局域網(wǎng)內(nèi)部或者來自外部網(wǎng)絡的安全威脅�����,都會影響局域網(wǎng)的正常工作。一個安全的網(wǎng)絡環(huán)境是計算機局域網(wǎng)應用基礎�����,因此網(wǎng)絡安全也就成為涵蓋組織所有信息資源的局域網(wǎng)工作的基礎,所以局域網(wǎng)的安全問題就是計算機網(wǎng)絡應用的重點所在�。目前���,主動防御體系尚無標準定義,其做法就是在動態(tài)網(wǎng)絡安全的基礎上進行擴充����,以策略和管理為核心�����,利用預檢測以及反擊等技術做到主動防御����。由于以上各技術之間缺乏安全消息的交互途徑���,所以不能進行安全消息共享,導致只能重復檢測安全事件���,這樣做直接導致局域網(wǎng)在做安全檢測時系統(tǒng)暴露時間增加,從而影響網(wǎng)絡的安全�。
1 主動防御體系的結(jié)構(gòu)
1.1 主動防御定義
主動防御的定義是:計算機局域網(wǎng)的安全系統(tǒng)利用多種路徑接受安全消息,從而根據(jù)安全消息所描述的安全威脅信息�,提前在系統(tǒng)中部署安全防線�����,抵御未來攻擊。主動防御體系的關鍵在于系統(tǒng)具備接受和發(fā)送安全消息能力����,并且能夠根據(jù)安全消息描述的安全威脅提前部署安全措施。實際中�,當計算機局域網(wǎng)中的某安全系統(tǒng)檢測到具有安全威脅的安全事件后��,利用安全消息形式將該安全事件在局域玩中傳播,其它安全系統(tǒng)接收到該安全事件后則根據(jù)其內(nèi)容部署相應的安全防線���,從而避免各安全系統(tǒng)重復檢測安全事件的過程��,有效縮短預警時間�,預先在攻擊到來之前部署防線���,有效防止安全威脅在局域網(wǎng)中擴散���,降低危險性,從而提高局域網(wǎng)整體的安全性�。
1.2 主動防御體系定義
動態(tài)安全體系的結(jié)構(gòu)模型是以整個網(wǎng)絡作為安全管理的對象���,把策略和管理當做核心,利用相應安全技術來保證對象的安全��,例如檢測、防護�����、反應和恢復等安全技術�����。而主動防御體系則是將局域網(wǎng)主機或者全部主機看做一個安全管理對象����,將相應的安全技術(如檢測����、防護等)部署到各個安全系統(tǒng)中�����,同時各安全系統(tǒng)采用統(tǒng)一的通信方式進行安全消息共享����,從而使得各安全系統(tǒng)既相互關聯(lián)又能相互獨立����,從而各系統(tǒng)之間形成多層和縱深的防線,整個網(wǎng)絡在安全上形成交互的主動防御體系�。具體來說,主動防御體系就是把部署組織資源的主機看作安全系統(tǒng)對象�,利用動態(tài)安全體系結(jié)構(gòu)模型作為指導,在各安全系統(tǒng)中部署安全防線�����,各系統(tǒng)之間利用同一的安全消息模式進行消息共享�,從而實現(xiàn)主動防御���。
1.3 安全消息格式
各安全系統(tǒng)利用主動防御體系協(xié)調(diào)工作的基礎就是安全消息通過統(tǒng)一的協(xié)議在各系統(tǒng)間相互傳遞��,通過這種方式有效縮短安全檢測時間��,以便系統(tǒng)在攻擊到來之前部署好安全防線�,保證系統(tǒng)安全����。同時由于各安全系統(tǒng)技術以及產(chǎn)品千差萬別����,通信方式各不相同����,為實現(xiàn)協(xié)同工作����,需在主動防御體系中采用統(tǒng)一的安全消息協(xié)議���,在此我們將安全消息格式定義為:
消息的類型:16位無符號整數(shù),用來表示消息的類型��。
消息的ID:32位無符號整數(shù),在一個使用周期內(nèi)禁止出現(xiàn)重復��,允許循環(huán)使用�����。消息ID與源IP地址一起惟一,則表示是一個安全消息�����。
源的IP地址:32位無符號整數(shù)���,用來表示安全消息來源����;
安全等級:16位無符號整數(shù),用來表示安全的等級�;
危險IP的地址:32位無符號整數(shù),用來表示主機(對局域網(wǎng)有安全威脅)的IP地址��。
1.4 安全消息的傳播方式
安全消息定義后�����,各安全系統(tǒng)之間的消息傳遞一致性問題得到了解決��,接下來面臨該消息如何傳播的問題����,在此安全消息的傳遞我們采用組播的形式。每當有以此模型的安全系統(tǒng)進入網(wǎng)絡����,首先在安全系統(tǒng)服務器上登記,等服務器收到安全消息后����,服務器根據(jù)其內(nèi)部存儲的各系統(tǒng)IP地址列表進行定時組播��,組播采用無連接協(xié)議��,也就是UDP協(xié)議。同時各安全系統(tǒng)也可以自己進行消息組播�,它們按照收到的服務器組播IP地址列表進行組播���,同樣也采用無連接協(xié)議UDP協(xié)議���。網(wǎng)絡的安全構(gòu)架是以檢測、相應、防護和恢復作為具體技術來實現(xiàn)�,動態(tài)安全體系結(jié)構(gòu)模型是以管理和策略為核心�。在實際應用中���,局域網(wǎng)一般采用的防御措施是網(wǎng)絡出口處部署數(shù)據(jù)包或者網(wǎng)關,或者同時在局域網(wǎng)內(nèi)部部署入侵檢測����、安全審計或者病毒防范等安全系統(tǒng)�,在實際應用中由于安全系統(tǒng)來自不同廠家���,各廠家之間采用的安全消息交換協(xié)議并非按照統(tǒng)一的標準���,因此各廠家產(chǎn)品均為獨立工作,即使相互關聯(lián)也十分有限�,因此導致安全事件信息不能共享����,導致各安全系統(tǒng)獨立檢測安全事件�����,從而預警時間不足����,系統(tǒng)暴露時間過長,導致局域網(wǎng)整體危險性增加���。下面對安全系統(tǒng)預警時間做出分析:
在這里,我們假定一個獨立的安全系統(tǒng)對網(wǎng)絡提供防護需要的時間為Pt����,Dt為安全系統(tǒng)檢測入侵所需時間�����,安全系統(tǒng)響應時間為Rt����,網(wǎng)絡暴露時間為Er,At為共計所需時間����,則各變量存在如下關系:
Et=Dt + Rt
Pt≥Dt + Rt
Pt≥Et
根據(jù)以上公式我們可以看出,只要Et
根據(jù)1.1 章節(jié)中提到對主動防御的定義���,主動防御就是局域網(wǎng)中各安全系統(tǒng)通過相互交換安全消息以實現(xiàn)信息共享��,從而減少各系統(tǒng)安全事件的檢測時間�,同時根據(jù)所獲得安全消息���,提前主動針對性的部署安全措施���,從而實現(xiàn)主動提前確保局域網(wǎng)安全。我們假設St為安全消息傳播時間��,T0為局域網(wǎng)非主動防御安全體系部署時暴露時間����,T1為主動安全防御體系部署時暴露時間�����,假定局域網(wǎng)中所有主機均部署了安全系統(tǒng)(若系統(tǒng)未部署安全系統(tǒng),則存在暴露的主機,但該主機對于內(nèi)部安全威脅來講不存在安全性)�����,則在這兩種防御體系中存在如下關系:
T0=Et (1)
T1=E(Et)+St+Rt+EtSt+Rt (2)
i=(0���,1���,2…n)為局域網(wǎng)中部署的安全系統(tǒng)數(shù)量,根據(jù)假設也可理解為局域網(wǎng)中主機的數(shù)量�����。
針對一種具體的安全系統(tǒng)分析如下:
T0=n(Dt+Rt)
T1=Dt+Rt+St+Rt
在這些網(wǎng)段間流量很大�,并且路由器以process-switches方式工作時����,這種情況下要在接口上采用enable ip route-cache same-interface����,下面用采用show interfaces 和show interfaces switching命令識別大量數(shù)據(jù)包進出的端口;進入端口確定后�����,打開ip accounting on the outgoing interface看其特征���,如果此數(shù)據(jù)包是攻擊命令�����,則其源地址一般會不斷變化����,但是其目的地址不變�,我們可以采用access list解決此類問題 ����,但這是暫時的措施���,最終的解決辦法是停止攻擊源,需要我們通過在接近攻擊源的設備上進行配置�。在我們實際使用過程中���,會遇見很多網(wǎng)絡擁塞的情況����,例如短時間內(nèi)大量的UDP流量����,這種情況可以通過按照解決spoof attack的方法解決,再比如大量的組播流穿越路由器����,而路由器配置了IP NAT并且有很多DNS包穿越等���,這些情況都會造成網(wǎng)絡擁塞����,此時通信雙方會丟棄不能傳輸?shù)臄?shù)據(jù)包以便控制流量。
數(shù)據(jù)丟包也有很多情況��,例如網(wǎng)絡路徑錯誤等,如主機默認路由配置發(fā)生錯誤�����,導致主機發(fā)出的訪問其它網(wǎng)絡的數(shù)據(jù)包會被網(wǎng)關屏蔽�����,這種情況屬于正常情況下的丟包�����,對網(wǎng)絡影響不大���。
3 結(jié)語
在實際應用中還會出現(xiàn)丟包現(xiàn)象�����,其中原因各不相同����,涉及到各方面因素���,我們可以采用排除法進行篩選,確定丟包原因后再采用相應措施進行處理�。
參考文獻
[1]王敏杰.TCP隱式丟包檢測技術分析.計算機應用研究�����,2006.
[2]葛志輝.一種新的基于RTT的丟包率估計算法.計算機工程與應用�,2005.
第6篇
關鍵詞:安全管理運營中心;安全運維;安全事件;關聯(lián)分析
中圖分類號:TN915文獻標識碼:A文章編號:1009-3044(2009)32-8913-02
The Research of Industry Information System Security Manager Operation Center
WANG Qin, MA Hong-en
(Luoee Vocational College of Food, Luohe 462300, China)
Abstract: With the increasing development and improvement of information technology industry, more and more enterprises have recognized the importance of the construction of information security. Meanwhile, with the construction of enterprise information security strengthened, how to make the entire information system security management is becoming increasingly more important. Starting with the construction of the security management operation center, this article described with detail the relationships among the security management operations center, the security management system, the security operation maintenance and the overall association of security events..
Key words: security manager operation center;security operation; security events; relation analysis
隨著各行業(yè)信息化建設的全面推進,傳統(tǒng)的管理機制在改革與創(chuàng)新中逐漸消亡,人們在處理信息和日常辦公中越來越依賴計算機和網(wǎng)絡,機密與財富越來越集中在計算機系統(tǒng)和網(wǎng)絡中��。因此,行業(yè)各應用系統(tǒng)和計算機網(wǎng)絡的安全可靠運行,面臨著十分嚴峻的挑戰(zhàn),網(wǎng)絡與信息安全已成為各行業(yè)信息化建設非常重要的問題�。
而要加強安全管理建設,就必須要切實做好信息系統(tǒng)的安全規(guī)劃設計,強化安全管理策略,采用成熟的信息系統(tǒng)安全技術和控制方法,逐步實現(xiàn)網(wǎng)絡管理的可視���、可控����、可管,通過建立安全管理運營中心使得所有網(wǎng)絡上運行的應用系統(tǒng)與網(wǎng)絡設備�����、安全設備����、服務器實現(xiàn)統(tǒng)一���、智能化的實時監(jiān)控,實現(xiàn)應用系統(tǒng)與網(wǎng)絡設備��、安全設備�、服務器系統(tǒng)故障的預警和自動報警,實現(xiàn)網(wǎng)絡資源的合理分配,及運行維護的制度化�、流程化��、自動化�。
1 論述
對于行業(yè)信息系統(tǒng)而言,雖然大都已經(jīng)購買并部署了防火墻��、防病毒����、入侵檢測等安全技術產(chǎn)品,并制定了相應的管理和運行制度����、流程,但這與行業(yè)業(yè)務系統(tǒng)的建設速度顯然是不對稱的,且越來越不能滿足行業(yè)業(yè)務系統(tǒng)的安全、穩(wěn)定發(fā)展需求���。因此,必須加快行業(yè)信息系統(tǒng)的安全建設的步伐,特別對于安全管理運營中心的建設,更是如此���。
對于行業(yè)安全管理運營中心而言,它是安全事件集中顯現(xiàn)和安全措施正確實施的保證,也是解決全網(wǎng)統(tǒng)一安全監(jiān)控管理的主要技術手段。它通過對網(wǎng)絡中各種設備(包括路由設備����、安全設備�����、服務器等)、安全機制�����、安全信息的綜合管理和分析,對現(xiàn)有安全資源進行有效管理和整合,從全局角度對網(wǎng)絡安全狀況進行分析����、評估與管理,獲得全局網(wǎng)絡安全視圖;并通過制定安全策略指導或自動完成安全設施的重新部署或響應,從而實現(xiàn)可信安全管理的目的����。
眾所周知,基于綜合安全管理運營中心的設計思想,通過在行業(yè)網(wǎng)絡信息中心部署安全管理平臺,并結(jié)合組織業(yè)務流的特點,可以識別和管理IT基礎架構(gòu)的關鍵信息資產(chǎn),幫助制訂信息安全策略,通過有效整合網(wǎng)絡中部署的各種安全資源,依據(jù)智能的輔助決策系統(tǒng)和安全知識庫,實施以風險管理為核心的安全事件管理��、事件處理流程管理�����、安全風險管理、網(wǎng)絡運行管理等一系列安全管理活動,從而保證業(yè)務系統(tǒng)正常運行和持續(xù)性發(fā)展���。具體實現(xiàn)如下:
1.1 通過安全管理運營中心實現(xiàn)與安全管理制度的結(jié)合
對于行業(yè)信息系統(tǒng)安全管理建設,在制定安全管理制度時,往往由于缺乏足夠的知識積累,造成制定的安全管理制度雖然符合企業(yè)的安全需求,卻對管理制度的人性化���、易用性考慮欠佳。而安全管理運營中心恰恰可以利用其安全基礎知識庫�����、安全專家知識庫為行業(yè)用戶提供具體管理需求的輔助決策建議,并可以通過安全管理運營中心的分析輔助決功能,分析普通員工的安全操作習慣,然后有選擇的對制度文件進行改進和調(diào)整。通過系統(tǒng)內(nèi)置的專家知識庫為制定和改進安全管理制度提供了有力的技術支持���。
1.2 通過安全管理運營中心實現(xiàn)與日常安全運維的結(jié)合
分布式、智能化��、可視化的安全監(jiān)控,可以讓管理員實時掌握自身的安全態(tài)勢,使我們在日常安全運維過程中夠?qū)崿F(xiàn)入侵攻擊的追蹤或入侵攻擊的特征分析,從而將有效提高安全管理人員對于入侵攻擊的監(jiān)控理解�����、安全事件的正確處理,使整個信息系統(tǒng)的管理更為有效。
通過安全管理運營中心的場景定義��、智能分析和安全定位功能確認安全事件或安全故障時,安全管理運營中心可以提供多種方式報警,如:報警燈報警����、窗口報警����、郵件報警�、手機短信報警;管理員收到報警信息后,由安全管理運營中心的工單管理系統(tǒng)直接調(diào)派其安全服務人員小組(網(wǎng)絡管理人員或者提供安全服務的供應商)進行相應的安全事件處理���、安全加固防護��。實現(xiàn)事件實時分析���、實時預警、實時響應的安全事件全生命周期管理����。
1.3 通過安全管理運營中心實現(xiàn)全局安全事件的分析與預警
第7篇
關鍵詞:企業(yè)網(wǎng)端點準入防御網(wǎng)絡安全
中圖分類號:文獻標識碼:A文章編號:1007-9416(2010)05-0000-00
1 前言
隨著計算機網(wǎng)絡的快速發(fā)展,網(wǎng)絡已成為企業(yè)生產(chǎn)經(jīng)營不可缺少的工具��。網(wǎng)絡發(fā)展的初期注重設備的互通性��、鏈路的可靠性,從而達到信息共享的通暢。經(jīng)過多年的應用與發(fā)展,伴隨著我們對網(wǎng)絡軟硬件技術認識的深入,網(wǎng)絡安全已經(jīng)超過對網(wǎng)絡可靠性��、交換能力和服務質(zhì)量的需求,成為企業(yè)網(wǎng)最關心的問題,網(wǎng)絡安全基礎設施也日漸成為企業(yè)網(wǎng)建設的重中之重。在企業(yè)網(wǎng)中,新的安全威脅不斷涌現(xiàn),病毒和蠕蟲日益肆虐�。他們自我繁殖的本性使其對網(wǎng)絡的破壞程度和范圍持續(xù)擴大,經(jīng)常引起系統(tǒng)崩潰�����、網(wǎng)絡癱瘓,使企業(yè)生產(chǎn)經(jīng)驗蒙受嚴重損失�。在企業(yè)網(wǎng)中,任何一臺終端的安全狀態(tài)(主要是指終端的防病毒能力����、補丁級別和系統(tǒng)安全設置),都將直接影響到整個網(wǎng)絡的安全���。不符合安全策略的終端(如防病毒庫版本低,補丁未升級)容易遭受攻擊、感染病毒,如果某臺終端感染了病毒,它將不斷在網(wǎng)絡中試圖尋找下一個受害者,并使其感染;在一個沒有安全防護的網(wǎng)絡中,最終的結(jié)果可能是全網(wǎng)癱瘓,所有終端都無法正常工作。因此,研究設計一個能夠解決這一危害的防御系統(tǒng)尤為必要���。
有鑒于此,通過對目前唐鋼企業(yè)網(wǎng)狀況的調(diào)研及其需求分析,研究設計了端點準入防御系統(tǒng)����。端點準入防御系統(tǒng)在實際應用中切實可行,以下從其架構(gòu)和組網(wǎng)方法做出分析�����。
2 端點準入防御系統(tǒng)架構(gòu)
端點準入防御系統(tǒng)是整合了孤立的單點防御系統(tǒng),加強對用戶的集中管理,統(tǒng)一實施企業(yè)網(wǎng)安全策略,提高網(wǎng)絡終端的主動抵抗能力����。該系統(tǒng)可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi),防止“危險”終端對網(wǎng)絡安全的損害,避免“易感”終端受病毒�����、蠕蟲的攻擊����。其基本功能是通過安全客戶端��、安全策略服務器、安全聯(lián)動設備(如交換機�����、路由器)以及第三方服務器(如防病毒服務器��、補丁服務器)的聯(lián)動實現(xiàn)的。
2.1安全客戶端
安全客戶端是安裝在用戶終端系統(tǒng)上的軟件,是對用戶終端進行身份認證、安全狀態(tài)評估以及安全策略實施的主體��。其主要功能包括:
(1)利用802.1X認證協(xié)議通過接入層交換機實現(xiàn)對終端進行身份驗證(用戶名�����、密碼、IP��、MAC�、VLAN),從而實現(xiàn)了端點準入控制。
(2)檢查用戶終端的安全狀態(tài),包括操作系統(tǒng)版本���、系統(tǒng)補丁等信息;同時提供與防病毒客戶端聯(lián)動的接口,實現(xiàn)與第三方防病毒客戶端的聯(lián)動,檢查用戶終端的防病毒軟件版本、病毒庫版本���、以及病毒查殺信息�。
(3)安全策略實施,接收安全策略服務器下發(fā)的安全策略并強制用戶終端執(zhí)行,包括設置安全策略(是否監(jiān)控郵件����、注冊表����、禁止�����、禁止多網(wǎng)卡)��、系統(tǒng)修復補丁升級����、病毒庫升級等功能。不按要求實施安全策略的用戶終端將被限制在隔離區(qū)���。
(4)實時監(jiān)控系統(tǒng)安全狀態(tài),包括是否更改安全設置�、是否發(fā)現(xiàn)新病毒等,并將安全事件定時上報到安全策略服務器,用于事后進行安全審計����。
2.2安全策略服務器
安全策略服務器是端點準入系統(tǒng)的管理與控制中心�����。集中�����、統(tǒng)一的安全策略管理和安全事件監(jiān)控����。具有用戶管理���、安全策略管理��、安全狀態(tài)評估���、安全聯(lián)動控制以及安全事件審計等功能���。
(1)用戶管理。對用戶身份信息��、權限��、分組策略等管理���。網(wǎng)絡中,不同的用戶�����、不同類型的接入終端可能要求不同級別的安全檢查和控制��。安全策略服務器可以為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡服務等級,方便管理員對網(wǎng)絡用戶制定差異化的安全策略。
(2)安全策略管理���。安全策略服務器定義了對用戶終端進行準入控制的一系列策略,包括用戶終端安全狀態(tài)評估配置��、補丁檢查項配置、安全策略配置�����、終端修復配置以及對終端用戶的隔離方式配置等��。(3)安全聯(lián)動控制��。安全策略服務器負責評估安全客戶端上報的安全狀態(tài),控制安全聯(lián)動設備對用戶的隔離與開放,下發(fā)用戶終端的修復方式與安全策略�。通過安全策略服務器的控制,安全客戶端��、安全聯(lián)動設備與防病毒服務器才可以協(xié)同工作,配合完成端到端的安全準入控制����。(4)日志審計。安全策略服務器收集由安全客戶端上報的安全事件,并形成安全日志,可以為管理員追蹤和監(jiān)控網(wǎng)絡的整個網(wǎng)絡的安全狀態(tài) 提供依據(jù)���。
2.3安全聯(lián)動設備
安全聯(lián)動設備是網(wǎng)絡中安全策略的實施點,起到強制用戶準入認證、隔離不合格終端����、為合法用戶提供網(wǎng)絡服務的作用。安全聯(lián)動設備采用H3C 3600交換機,利用802.1X協(xié)議認證實現(xiàn)端點準入控制�����。安全聯(lián)動設備主要實現(xiàn)以下功能:
(1)強制網(wǎng)絡接入終端進行身份認證和安全狀態(tài)評估��。(2)隔離不符合安全策略的用戶終端��。聯(lián)動設備接收到安全策略服務器下發(fā)的隔離指令后,可以通過ACL方式限制用戶的訪問權限;同樣,收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離�����。(3)提供基于身份的網(wǎng)絡服務���。安全聯(lián)動設備可以根據(jù)安全策略服務器下發(fā)的策略,為用戶提供個性化的網(wǎng)絡服務,如利用H3C 3600交換機的ACL���、VLAN功能可以實現(xiàn)按不同用戶需求訪問不同的信息資源��。
2.4第三方服務器
系統(tǒng)中隔離區(qū)的資源稱為第三方服務器�。用于終端進行自我修復的防病毒服務器或補丁服務器���。網(wǎng)絡版的防病毒服務器提供病毒庫升級服務,允許防病毒客戶端進行在線升級;補丁服務器則提供系統(tǒng)補丁升級服務,當用戶終端的系統(tǒng)補丁不能滿足安全要求時,可以通過補丁服務器進行補丁下載和升級�。
3 端點準入防御系統(tǒng)組網(wǎng)方法
該系統(tǒng)組網(wǎng),不需要對原有主要網(wǎng)絡結(jié)構(gòu)進行改動�����。需要更改的設備只有接入層交換機。接入層交換機只要能支持802.1X協(xié)議��、ACL、VLAN等功能即可����。利用這種組網(wǎng)方法對不符合安全策略的用戶隔離嚴格,可以有效防止來自企業(yè)網(wǎng)絡內(nèi)部的安全威脅。
4端點準入防御系統(tǒng)實施的效果
該系統(tǒng)整合防病毒與網(wǎng)絡接入控制,大幅提高安全性�����。確保所有正常接入網(wǎng)絡的用戶終端符合企業(yè)的防病毒標準和系統(tǒng)補丁安裝策略���。不符合安全策略的用戶終端將被隔離到“隔離區(qū)”,只能訪問網(wǎng)絡管理員指定的資源,直到按要求完成相應的升級操作�����。通過端點準入防御系統(tǒng)的強制措施,可以保證用戶終端與企業(yè)安全策略的一致,防止其成為網(wǎng)絡攻擊的對象或“幫兇”。
提高了網(wǎng)絡安全性的同時,對網(wǎng)絡有效利用率也有很大的提高�����。減少了用戶終端故障頻率,提高了工作效率�。
5結(jié)語
端點準入防御系統(tǒng)提供了一個全新的安全防御體系。將防病毒功能與網(wǎng)絡接入控制相融合,加強了對用戶終端的集中管理,有效的控制了非法用戶接入唐鋼企業(yè)網(wǎng),提高了網(wǎng)絡終端的主動抵抗能力�。該系統(tǒng)通過安全客戶端����、安全策略服務器�����、接入設備以及防病毒軟件的聯(lián)動,可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi),防止“危險”終端對網(wǎng)絡安全的損害,避免“易感”終端受病毒�、蠕蟲的攻擊,從而大幅度提升了網(wǎng)絡抵御新興安全威脅的能力���。
第8篇
基于數(shù)據(jù)挖掘的數(shù)字圖書館網(wǎng)絡安全管理模型
1數(shù)據(jù)采集
由于多源異構(gòu)安全系統(tǒng)中的數(shù)據(jù)資源豐富�,對數(shù)據(jù)源的采集借助Agent自動程序進行����。Agent肩負雙重任務:一是自動采集目標系統(tǒng)數(shù)據(jù)���,并提交給Sever端進行處理;二是自動監(jiān)控目標系統(tǒng)的變化�����,并及時更新變化�。Agent自動程序采用多種數(shù)據(jù)采集策略(日志、Web�、Syslog、命令行等)對多源異構(gòu)安全系統(tǒng)中的數(shù)據(jù)(安全日志�、報警�����、信息等)進行采集和標準化。這些安全系統(tǒng)在網(wǎng)絡中往往是分布式的��,并且具有不同的日志格式,Agent能夠?qū)λ鼈冞M行統(tǒng)一信息提取�����,并將其標準化后以事件類型或XML封裝的IDMEF格式發(fā)往Server端���,以方便Server端進行挖掘�����。為了能夠支持更多的安全系統(tǒng),Agent使用配置文件采集信息��,因而具有良好的擴展能力���,能夠動態(tài)添加新的數(shù)據(jù)源。
2數(shù)據(jù)整合與預處理
由于網(wǎng)絡安全管理工具中包含了不同種類和廠商的安全產(chǎn)品�,Agent從這些異構(gòu)產(chǎn)品中收集到的數(shù)據(jù)大部分為多源性�、分布性���、異構(gòu)性的數(shù)據(jù)���,必須對其進行整合和預處理操作,以便進行智能分析���,這是安全管理需要解決的首要問題�。它不僅關系到管理系統(tǒng)能夠支持的安全產(chǎn)品的種類和數(shù)量��,還關系到分析結(jié)果的準確性,并且能夠為提高數(shù)據(jù)挖掘引擎的效能和健壯性打下良好的基礎��。(1)報警格式標準化�。由于各安全系統(tǒng)產(chǎn)生的安全事件的格式不盡相同�,可能會對同一入侵事件同時產(chǎn)生多個報警��,導致了冗余事件的產(chǎn)生����,故需要用統(tǒng)一的格式對安全事件進行標準化處理���。將報警格式統(tǒng)一。(2)報警字段規(guī)范化��。每一個屬性字段里的內(nèi)容的表述規(guī)范化����,如源地址和目的地址的表達(IP、主機名���、MAC地址)��,時間屬性值的取定和同步,攻擊名稱的統(tǒng)一等����。這些處理主要是為了規(guī)范報警消息的表達,使之能夠獨立于具體的系統(tǒng)而識別報警并進行進一步的分析����。(3)數(shù)據(jù)預處理���。針對異構(gòu)安全設備提交的各種報警信息,依據(jù)設定的時間段���,消除冗余事件后并進行錯誤檢測以確保報警不包含明顯錯誤的報警數(shù)據(jù)庫����,漏洞信息庫和資產(chǎn)庫����。包括重復的同一報警歸一化�����;錯誤檢測以確保報警不包含明顯錯誤的信息,如非法的時間戳�����;冗余報警消除��,即如果兩個安全事件除了產(chǎn)生時間和安全系統(tǒng)號兩個字段不同外其余字段完全相同����,而產(chǎn)生時間的差異不超過某固定的閾值,則判斷產(chǎn)生了冗余事件�。對于冗余的安全事件,將其合并為一個事件���,將事件的產(chǎn)生時間設為諸冗余事件中最小的產(chǎn)生時間,而將各冗余事件對應的安全系統(tǒng)號均添加到合并后安全事件的安全系統(tǒng)號數(shù)組中����。
3數(shù)據(jù)挖掘
數(shù)據(jù)挖掘是整個安全管理模型的動力所在�,通過定義數(shù)據(jù)挖掘模型語言,采用合適的數(shù)據(jù)挖掘算法和工具�����,對事件進行統(tǒng)計、關聯(lián)分析�、聚類���、序列分析���,形成對事件的判斷�,識別威脅和產(chǎn)生報警�。(1)關聯(lián)分析��。關聯(lián)分析是從網(wǎng)絡告警信息中發(fā)現(xiàn)告警與告警之間�����、告警與故障之間��、告警與業(yè)務之間的相關性����,即在某一告警信息發(fā)生之后�,另一告警、故障��、業(yè)務發(fā)生的概率����。采用基于協(xié)同和時序因果關聯(lián)的多級報警分析技術能夠有效地關聯(lián)了這些報警日志及相關的背景知識����,把真正潛在的危險的報警從海量日志中提取出,呈現(xiàn)給管理者�����。通過多種報警分析方式實現(xiàn)大量分散單一報警的關聯(lián)�����,有效地識別出真實的入侵行為��;并通過輔助決策系統(tǒng)和安全專家知識庫為用戶提供針對具體威脅的輔助決策建議。關聯(lián)分析能夠?qū)崿F(xiàn)報警信息的精煉化����,提高報警信息的可用信息量,減少報警信息中的無用信息�����,降低安全設備的虛警和誤警���。(2)聚類分析��。聚類分析采用特征聚合和模糊聚類兩種技術來實時地壓縮重復報警�,去除冗余����。特征聚合是通過比較報警的屬性特征,快速地辨別和合并重復的報警��;模糊聚類是通過計算報警之間的相似度�����,來構(gòu)造模糊等價矩陣進行聚類分析,以區(qū)分和歸并難以發(fā)現(xiàn)的重復報警�����。特征聚合和模糊聚類兩種技術合理結(jié)合��,相互補充,不僅縮短了壓縮時間,保證了實時性���,而且提高了壓縮效率�����。聚類分析減少了在異構(gòu)分布環(huán)境下相似事件的數(shù)量����,突出相似安全事件的屬性特征�����。(3)序列分析。序列分析把報警數(shù)據(jù)之間的關聯(lián)性與時間性聯(lián)系起來��,通過時間序列搜索出重復發(fā)生且概率較高的規(guī)則���,其目的是為了挖掘數(shù)據(jù)之間的聯(lián)系。序列分析把告警序列作為以時間為主線的有序序列�����,在一定的時間間隔內(nèi)挖掘知識,注重告警信息的時效性���,為了提高分析的效率���,一般只對告警類型和告警時間兩類謂詞進行挖掘,從中發(fā)現(xiàn)告警信息發(fā)生的趨勢����,提高用戶的自我防范和預測能力���。產(chǎn)生的序列規(guī)則主要描述告警之間在時間上的關系�����,即如果某些告警信息的組合在一個時間段內(nèi)發(fā)生��,那么在另外的一個時間段內(nèi)會有另外一些告警信息的組合發(fā)生。
4用戶接口
用戶接口的作用是將數(shù)據(jù)挖掘的結(jié)果以可視化的方式提供給系統(tǒng)分析員����,系統(tǒng)分析員根據(jù)挖掘結(jié)果來預測此網(wǎng)絡行為的發(fā)展態(tài)勢和可能影響�����,并作出相應的決策��。挖掘結(jié)果分為3類:(1)信息類�����。對應于最低級的告警�����,挖掘結(jié)果保存入數(shù)據(jù)庫中供下次再分析�����。(2)警告類����。對中等級別的告警,挖掘結(jié)果除送入數(shù)據(jù)庫外��,還要進一步分析,并做出相應的決策����。(3)嚴重類。對應于高級別的告警���,根據(jù)預先設定的閥值采取特定的動作,例如防火墻規(guī)則的添加�����,IDS系統(tǒng)的報警等�����。
5信息庫
信息庫由資產(chǎn)信息庫和知識庫組成��,其中資產(chǎn)信息庫包括主機信息庫、漏洞信息庫和網(wǎng)絡信息庫����,知識庫主要包括攻擊知識庫和背景知識庫。主機信息庫包含各個主機的相關信息��;漏洞信息庫是獨立的數(shù)據(jù)庫��;網(wǎng)絡信息庫主要由兩部分組成��,一是利用網(wǎng)絡管理工具進行流量分析和拓撲發(fā)現(xiàn)得到的相關網(wǎng)絡信息,二是對防火墻中的日志進行分析得到的信息�。信息庫的使用極大提高了挖掘引擎的工作效率和智能性。
實驗與分析
1實驗環(huán)境與實驗數(shù)據(jù)來源
(1)實驗環(huán)境:①內(nèi)部網(wǎng)絡環(huán)境包括運行OpenNMS網(wǎng)絡管理系統(tǒng)的DebianLinux主機�,安裝MySQL數(shù)據(jù)庫的主機���,運行客戶端(安裝Nessus漏洞掃描系統(tǒng)、Nmap網(wǎng)絡拓撲掃描工具)Windows主機�,系統(tǒng)服務器(agent+server�,安裝了SnortIDS,P0f�����,Pads�����,SSH���,Iptable等插件)DebianLinux主機�����。②采取Cisco-PIX防火墻��、入侵檢測系統(tǒng)等硬件安全設備及交換機、集線器等網(wǎng)絡設備�����。③來自外網(wǎng)的攻擊主機�����。(2)實驗數(shù)據(jù)來源:實驗中的原始網(wǎng)絡數(shù)據(jù)包括正常的網(wǎng)絡流量和攻擊數(shù)據(jù)流,測試數(shù)據(jù)是DARPA2000數(shù)據(jù)集LLDOS1.0�����。該數(shù)據(jù)集包含大量的正常背景數(shù)據(jù)和各種攻擊數(shù)據(jù)�,其中包括DDoS攻擊,測試目標是檢測模型精簡報警的效率及識別DDoS攻擊場景的能力���,這些攻擊通過從外部攻擊主機重放來模擬來自外網(wǎng)的攻擊��。同時在攻擊過程中,要有一部分正常Internet的網(wǎng)絡流量�����。實驗過程中,我們收集了來自下列安全設備的報警或數(shù)據(jù):Snort入侵檢測系統(tǒng)�、Iptables防火墻、Apache服務器日志�����、IIS服務器日志���、Nmap網(wǎng)絡拓撲結(jié)構(gòu)掃描工具���、Ntop網(wǎng)絡流量檢測工具、Nessus網(wǎng)絡漏洞掃描系統(tǒng)����。利用Netpoke(Tcpdump文件重放工具)對數(shù)據(jù)進行重放��,由Snort2.0入侵檢測系統(tǒng)��、Cisco-PIX防火墻等其他插件檢測和產(chǎn)生報警數(shù)據(jù)��,并對其進行報警整合和挖掘。
