時間:2023-09-21 17:35:50
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全研究,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
摘 要:網絡安全態勢感知(SA)的研究對于提高網絡的監控能力、應急響應能力和預測網絡安全的發展趨勢具有重要的意義。基于態勢感知的概念模型,詳細闡述了態勢感知的三個主要研究內容:網絡安全態勢要素提取、態勢理解和態勢預測,重點論述各研究點需解決的核心問題、主要算法以及各種算法的優缺點;最后對各研究點的相關理論及其應用實現的發展趨勢進行了分析和展望。
關鍵詞:態勢感知;網絡安全;數據融合;態勢預測
中圖分類號: TP393.08 文獻標志碼:A
Research survey of network security situation awareness
XI Rongrong*, YUN Xiaochun, JIN Shuyuan, ZHANG Yongzheng
(Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China Beijing 100190, China --!> 2. National Engineering Laboratory for Information Security Technologies, Beijing 100190, China --!> )
Abstract: The research of network security Situation Awareness (SA) is important in improving the abilities of network detection, response to emergency and predicting the network security trend. In this paper, based on the conceptual model of situational awareness, three main problems with regard to network security situational awareness were discussed: extraction of the elements in the network security situation, comprehension of the network security situation and projection of future situation. The core issues to be resolved, and major algorithms as well as the advantages and disadvantages of various algorithms were focused. Finally, the opening issues and challenges for network security situation awareness concerning both theory and implementation in near future were proposed.
Key words: Situation Awareness (SA); network security; data fusion; situational prediction
0 引言
隨著網絡的飛速發展,安全問題日益突出,雖然已經采取了各種網絡安全防護措施,但是單一的安全防護措施沒有綜合考慮各種防護措施之間的關聯性,無法滿足從宏觀角度評估網絡安全性的需求。網絡安全態勢感知的研究就是在這種背景下產生的。它在融合各種網絡安全要素的基礎上從宏觀的角度實時評估網絡的安全態勢,并在一定條件下對網絡安全態勢的發展趨勢進行預測。
網絡安全態勢感知研究是近幾年發展起來的一個熱門研究領域。它融合所有可獲取的信息實時評估網絡的安全態勢,為網絡安全管理員的決策分析提供依據,將不安全因素帶來的風險和損失降到最低。網絡安全態勢感知在提高網絡的監控能力、應急響應能力和預測網絡安全的發展趨勢等方面都具有重要的意義。
1 網絡安全態勢感知概述
1988年,Endsley首次明確提出態勢感知的定義,態勢感知(Situation Awareness, SA)是指“在一定的時空范圍內,認知、理解環境因素,并且對未來的發展趨勢進行預測”[1],該定義的概念模型如圖1所示。但是傳統的態勢感知的概念主要應用于對航空領域人為因素的考慮,并沒有引入到網絡安全領域。
1999年,Bass等[2]指出,“下一代網絡入侵檢測系統應該融合從大量的異構分布式網絡傳感器采集的數據,實現網絡空間的態勢感知(cyberspace situational awareness)”,并且基于數據融合的JDL(Joint Directors of Laboratories)模型,提出了基于多傳感器數據融合的網絡態勢感知功能模型。如圖2所示。
雖然網絡態勢根據不同的應用領域,可分為安全態勢、拓撲態勢和傳輸態勢等,但目前關于網絡態勢的研究都是圍繞網絡的安全態勢展開的。
Endsley[1]和Bass[2]為網絡安全態勢感知的研究奠定了基礎。基于Endsley[1]態勢感知的概念模型和Bass[2]的功能模型,后來的研究者又陸續提出了十幾種網絡安全態勢感知的模型。不同的模型組成部分名稱可能不同,但功能基本都是一致的。基于網絡安全態勢感知的功能,本文將其研究內容歸結為3個方面:
1)網絡安全態勢要素的提取;
2)網絡安全態勢的評估;
3)網絡安全態勢的預測。
下面將從這3個方面對網絡安全態勢的研究進行詳細的闡述。
2 網絡安全態勢的提取
準確、全面地提取網絡中的安全態勢要素是網絡安全態勢感知研究的基礎。然而由于網絡已經發展成一個龐大的非線性復雜系統,具有很強的靈活性,使得網絡安全態勢要素的提取存在很大難度。
目前網絡的安全態勢要素主要包括靜態的配置信息、動態的運行信息以及網絡的流量信息等。其中:靜態的配置信息包括網絡的拓撲信息、脆弱性信息和狀態信息等基本的環境配置信息;動態的運行信息包括從各種防護措施的日志采集和分析技術獲取的威脅信息等基本的運行信息。
國外的學者一般通過提取某種角度的態勢要素來評估網絡的安全態勢。如Jajodia等[3]和Wang等[4-5]采集網絡的脆弱性信息來評估網絡的脆弱性態勢;Ning等[6-7]采集網絡的警報信息來評估網絡的威脅性態勢;Barford等[8]和Dacier等[9]利用honeynet采集的數據信息,來評估網絡的攻擊態勢。
國內的學者一般綜合考慮網絡各方面的信息,從多個角度分層次描述網絡的安全態勢。如王娟等[10]提出了一種網絡安全指標體系,根據不同層次、不同信息來源、不同需求提煉了4個表征宏觀網絡性質的二級綜合性指標,并擬定了20多個一級指標構建網絡安全指標體系,通過網絡安全指標體系定義需要提取的所有網絡安全態勢要素。
綜上所述,網絡安全態勢要素的提取存在以下問題:1)國外的研究從某種單一的角度采集信息,無法獲取全面的信息;2)國內的研究雖然力圖獲取全面的信息,但沒有考慮指標體系中各因素之間的關聯性,將會導致信息的融合處理存在很大難度;3)缺乏指標體系有效性的驗證,無法驗證指標體系是否涵蓋了網絡安全的所有方面。
第1期 席榮榮等:網絡安全態勢感知研究綜述 計算機應用 第32卷3 網絡安全態勢的理解
網絡安全態勢的理解是指在獲取海量網絡安全數據信息的基礎上,通過解析信息之間的關聯性,對其進行融合,獲取宏觀的網絡安全態勢。本文將該過程稱為態勢評估,數據融合是網絡安全態勢評估的核心。
網絡安全態勢評估摒棄了研究單一的安全事件,而是從宏觀角度去考慮網絡整體的安全狀態,以期獲得網絡安全的綜合評估,達到輔助決策的目的。
目前應用于網絡安全態勢評估的數據融合算法,大致分為以下幾類:基于邏輯關系的融合方法、基于數學模型的融合方法、基于概率統計的融合方法以及基于規則推理的融合方法。
3.1 基于邏輯關系的融合方法
基于邏輯關系的融合方法依據信息之間的內在邏輯,對信息進行融和。警報關聯是典型的基于邏輯關系的融合方法。
警報關聯是指基于警報信息之間的邏輯關系對其進行融合,從而獲取宏觀的攻擊態勢。警報之間的邏輯關系分為:警報屬性特征的相似性,預定義攻擊模型中的關聯性,攻擊的前提和后繼條件之間的相關性。Ning等[6-7]實現了通過警報關聯,從海量警報信息中分析網絡的威脅性態勢的方法。
基于邏輯關系的融合方法,很容易理解,而且可以直觀地反映網絡的安全態勢。但是該方法的局限性在于:1)融合的數據源為單源數據;2)邏輯關系的獲取存在很大的難度,如攻擊預定義模型的建立以及攻擊的前提和后繼條件的形式化描述都存在很大的難度;3)邏輯關系不能解釋系統中存在的不確定性。
3.2 基于數學模型的融合方法
基于數學模型的融合方法,綜合考慮影響態勢的各項態勢因素,構造評定函數,建立態勢因素集合R到態勢空間θ的映射關系θ=f(r1,r2,…,rn),ri∈R(1≤i≤n)為態勢因素,其中最具代表性的評定函數為加權平均。
加權平均法是最常用、最簡單的基于數學模型的融合方法。加權平均法的融合函數通常由態勢因素和其重要性權值共同確定。西安交通大學的陳秀真等[11]提出的層次化網絡安全威脅態勢量化評估方法,對服務、主機本身的重要性因子進行加權,層次化計算服務、主機以及整個網絡系統的威脅指數,進而分析網絡的安全態勢。
加權平均法可以直觀地融合各種態勢因素,但是其最主要的問題是:權值的選擇沒有統一的標準,大都是依據領域知識或者經驗而定,缺少客觀的依據。
基于邏輯關系的融合方法和基于數學模型的融合方法的前提是確定的數據源,但是當前網絡安全設備提供的信息,在一定程度上是不完整的、不精確的,甚至存在著矛盾,包含大量的不確定性信息,而態勢評估必須借助這些信息來進行推理,因此直接基于數據源的融合方法具有一定的局限性。對于不確定性信息,最好的解決辦法是利用對象的統計特性和概率模型進行操作。
3.3 基于概率統計的融合方法
基于概率統計的融合方法,充分利用先驗知識的統計特性,結合信息的不確定性,建立態勢評估的模型,然后通過模型評估網絡的安全態勢。貝葉斯網絡、隱馬爾可夫模型(Hidden Markov Model, HMM)是最常見的基于概率統計的融合方法。
在網絡態勢評估中,貝葉斯網絡是一個有向無環圖G=〈V,E〉,節點V表示不同的態勢和事件,每個節點對應一個條件概率分配表,節點間利用邊E進行連接,反映態勢和事件之間概率依賴關系,在某些節點獲得證據信息后,貝葉斯網絡在節點間傳播和融合這些信息,從而獲取新的態勢信息。以色列IBM海法實驗室的Etzion等[12]在不確定性數據融合方面作了大量的研究工作,Etzion等[12]和Gal[13] 提出利用貝葉斯網絡進行態勢感知。Oxenham等[14],Holsopple等[15]和Sabata等[16]基于貝葉斯網絡,通過融合多源數據信息評估網絡的攻擊態勢[14-16]。李偉生等[17]根據網絡安全態勢和安全事件之間的不同的關聯性建立態勢評估的貝葉斯網絡模型,并給出相應的信息傳播算法,以安全事件的發生為觸發點,根據相應的信息傳播算法評估網絡的安全態勢。
HMM相當于動態的貝葉斯網絡,它是一種采用雙重隨機過程的統計模型。在網絡態勢評估中,將網絡安全狀態的轉移過程定義為隱含狀態序列,按照時序獲取的態勢因素定義為觀察值序列,利用觀察值序列和隱含狀態序列訓練HMM模型,然后運用模型評估網絡的安全態勢。Arnes等[18-19]和Ourston等[20]將網絡安全狀態的變化過程模型化為隱馬爾可夫過程,并通過該模型獲取網絡的安全態勢。
基于概率統計的融合方法能夠融合最新的證據信息和先驗知識,而且推理過程清晰,易于理解。但是該方法存在以下局限性:1)統計模型的建立需要依賴一個較大的數據源,在實際工作中會占有很大的工作量,且模型需要的存儲量和匹配計算的運算量相對較大,容易造成維數爆炸的問題,影響態勢評估的實時性;2)特征提取、模型構建和先驗知識的獲取都存在一定的困難。
3.4 基于規則推理的融合方法
基于規則推理的融合方法,首先模糊量化多源多屬性信息的不確定性;然后利用規則進行邏輯推理,實現網絡安全態勢的評估。目前DS證據組合方法和模糊邏輯是研究熱點。
DS證據組合方法對單源數據每一種可能決策的支持程度給出度量,即數據信息作為證據對決策的支持程度。然后尋找一種證據合成規則,通過合成能得出兩種證據的聯合對決策的支持程度,通過反復運用合成規則,最終得到全體數據信息的聯合體對某種決策總的支持程度,完成證據融合的過程。其核心是證據合成規則。Sabata等[16] 提出了一個多源證據融合的方法,完成對分布式實時攻擊事件的融合,實現對網絡態勢的感知。徐曉輝等[22]將DS理論引入網絡態勢評估,對其過程進行了詳細描述。
在網絡態勢評估中,首先建立證據和命題之間的邏輯關系,即態勢因素到態勢狀態的匯聚方式,確定基本概率分配;然后根據到來的證據,即每一則事件發生的上報信息,使用證據合成規則進行證據合成,得到新的基本概率分配,并把合成后的結果送到決策邏輯進行判斷,將具有最大置信度的命題作為備選命題。當不斷有事件發生時,這個過程便得以繼續,直到備選命題的置信度超過一定的閾值,證據達到要求,即認為該命題成立,態勢呈現某種狀態。
模糊邏輯提供了一種處理人類認知不確定性的數學方法,對于模型未知或不能確定的描述系統,應用模糊集合和模糊規則進行推理,實行模糊綜合判斷。
在網絡態勢評估中,首先對單源數據進行局部評估,然后選取相應的模型參數,對局部評估結果建立隸屬度函數,將其劃分到相應的模糊集合,實現具體值的模糊化,將結果進行量化。量化后,如果某個狀態屬性值超過了預先設定的閾值,則將局部評估結果作為因果推理的輸入,通過模糊規則推理對態勢進行分類識別,從而完成對當前態勢的評估。Rao等[23]利用模糊邏輯與貝葉斯網絡相結合的方法,對多源數據信息進行處理,生成宏觀態勢圖。李偉生等[24]使用模糊邏輯的方法處理事件發生的不確定性,基于一定的知識產生對當前態勢的假設,并使用DS方法對獲得的信息進行合成,從而構造一個對戰場態勢進行分析、推理和預測的求解模型。
基于規則推理的融合方法,不需要精確了解概率分布,當先驗概率很難獲得時,該方法更為有效。但是缺點是計算復雜度高,而且當證據出現沖突時,方法的準確性會受到嚴重的影響。
4 網絡安全態勢的預測
網絡安全態勢的預測是指根據網絡安全態勢的歷史信息和當前狀態對網絡未來一段時間的發展趨勢進行預測。網絡安全態勢的預測是態勢感知的一個基本目標。
由于網絡攻擊的隨機性和不確定性,使得以此為基礎的安全態勢變化是一個復雜的非線性過程,限制了傳統預測模型的使用。目前網絡安全態勢預測一般采用神經網絡、時間序列預測法和支持向量機等方法。
神經網絡是目前最常用的網絡態勢預測方法,該算法首先以一些輸入輸出數據作為訓練樣本,通過網絡的自學習能力調整權值,構建態勢預測模型;然后運用模型,實現從輸入狀態到輸出狀態空間的非線性映射。上海交通大學的任偉等[25]和Lai等[26]分別利用神經網絡方法對態勢進行了預測,并取得了一定的成果。
神經網絡具有自學習、自適應性和非線性處理的優點。另外神經網絡內部神經元之間復雜的連接和可變的連接權值矩陣,使得模型運算中存在高度的冗余,因此網絡具有良好的容錯性和穩健性。但是神經網絡存在以下問題,如難以提供可信的解釋,訓練時間長,過度擬合或者訓練不足等。
時間序列預測法是通過時間序列的歷史數據揭示態勢隨時間變化的規律,將這種規律延伸到未來,從而對態勢的未來做出預測。在網絡安全態勢預測中,將根據態勢評估獲取的網絡安全態勢值x抽象為時間序列t的函數,即:x=f(t),此態勢值具有非線性的特點。網絡安全態勢值可以看作一個時間序列,假定有網絡安全態勢值的時間序列x={xi|xi∈R,i=1,2,…,L},預測過程就是通過序列的前N個時刻的態勢值預測出后M個態勢值。
時間序列預測法實際應用比較方便,可操作性較好。但是,要想建立精度相當高的時序模型不僅要求模型參數的最佳估計,而且模型階數也要合適,建模過程是相當復雜的。
支持向量機是一種基于統計學習理論的模式識別方法,基本原理是通過一個非線性映射將輸入空間向量映射到一個高維特征空間,并在此空間上進行線性回歸,從而將低維特征空間的非線性回歸問題轉換為高維特征空間的線性回歸問題來解決。張翔等[27]根據最近一段時間內入侵檢測系統提供的網絡攻擊數據,使用支持向量機完成了對網絡攻擊態勢的預測。
綜上所述,神經網絡算法主要依靠經驗風險最小化原則,容易導致泛化能力的下降且模型結構難以確定。在學習樣本數量有限時,學習過程誤差易收斂于局部極小點,學習精度難以保證;學習樣本數量很多時,又陷入維數災難,泛化性能不高。而時間序列預測法在處理具有非線性關系、非正態分布特性的宏觀網絡態勢值所形成的時間序列數據時,效果并不是不理想。支持向量機有效避免了上述算法所面臨的問題,預測絕對誤差小,保證了預測的正確趨勢率,能準確預測網絡態勢的發展趨勢。支持向量機是目前網絡安全態勢預測的研究熱點。
5 結語
本文基于網絡安全態勢感知的概念模型,詳細闡述了態勢感知中三個主要的研究內容:安全態勢要素提取、態勢理解和態勢預測,重點討論各研究點需解決的核心問題、主要算法以及各種算法的優缺點。目前對于網絡安全態勢感知的研究還處于初步階段,許多問題有待進一步解決,本文認為未來的研究方向有以下幾個方面。
1)網絡安全態勢的形式化描述。
網絡安全態勢的描述是態勢感知的基礎。網絡是個龐大的非線性的復雜系統,復雜系統描述本身就是難點。在未來的研究中,需要具體分析安全態勢要素及其關聯性,借鑒已有的成熟的系統表示方法,對網絡安全態勢建立形式化的描述。其中源于哲學概念的本體論方法是重要的研究方向。本體論強調領域中的本質概念,同時強調這些本質概念之間的關聯,能夠將領域中的各種概念及概念之間的關系顯式化,形式化地表達出來,從而表達出概念中包含的語義,增強對復雜系統的表示能力。但其理論體系龐大,使用復雜,將其應用于網絡安全態勢的形式化描述需要進一步深入的研究。
2)準確而高效的融合算法研究。
基于網絡攻擊行為分布性的特點,而且不同的網絡節點采用不同的安全設備,使得采用單一的數據融合方法監控整個網絡的安全態勢存在很大的難度。應該結合網絡態勢感知多源數據融合的特點,對具體問題具體分析,有針對性地對目前已經存在的各種數據融合方法進行改進和優化。在保證準確性的前提下,提高算法的性能,盡量降低額外的網絡負載,提高系統的容錯能力。另一方面可以結合各種算法的利弊綜合利用,提高態勢評估的準確率。
3)預測算法的研究。
網絡攻擊的隨機性和不確定性決定了安全態勢的變化是一個復雜的非線性過程。利用簡單的統計數據預測非線性過程隨時間變化的趨勢存在很大的誤差。如時間序列分析法,根據系統對象隨時間變化的歷史信息對網絡的發展趨勢進行定量預測已不能滿足網絡安全態勢預測的需求。未來的研究應建立在基于因果關系的分析之上。通過分析網絡系統中各因素之間存在的某種前因后果關系,找出影響某種結果的幾個因素,然后利用個因素的變化預測整個網絡安全態勢的變化。基于因果關系的數學模型的建立存在很大的難度,需要進一步深入的研究。另外,模式識別的研究已經比較廣泛,它為態勢預測算法奠定了理論基礎,可以結合模式識別的理論,將其很好地應用于態勢預測中。
參考文獻:
[1] ENDSLEY M R. Design and evaluation for situation awareness enhancement [C]// Proceeding of the 32nd Human Factors Society Annual Meeting. Santa Monica: Human Factors and Ergonomics Society, 1988: 97-101.
[2] BASS T, ARBOR A. Multisensor data fusion for next generation distributed intrusion detection systems [C]// Proceeding of IRIS National Symposium on Sensor and Data Fusion. Laurel, MD: [s.n.], 1999: 24-27.
[3] JAJODIA S, NOEL S, OBERRY B. Topological analysis of network attack vulnerability [M]// KUMAR V, SRIVASTAVA J, LAZAREVIC A. Managing Cyber Threats: Issues, Approaches and Challenges. Dordrecht: Kluwer Academic Publisher, 2005: 247-266.
[4] WANG LINGYU, SINGHAL A, JAJODIA S. Measuring network security using attack graphs [C]// Proceedings of the 2007 ACM Workshop on Quality of Protection. New York: ACM Press, 2007: 49-54.
[5] WANG LINGYU, SINGHAL A, JAJODIA S. Measuring the overall security of network configurations using attack graphs [C]// Proceedings of the 21st IFIP WG 11.3Working Conference on Data and Applications Security. Berlin: SpringerVerlag, 2007: 98-112.
[6] NING PENG, CUI YUN, REEVES D S, et al. Techniques and tools for analyzing intrusion alerts [J]. ACM Transactions on Information and System Security, 2004, 7(2): 274-318.
[7] XU DINGBANG, NING PENG. Alert correlation though trigger event and common resource [C]// Proceedings of the 20th Annual Computer Security Applications Conference. Washington, DC: IEEE Computer Society, 2004: 360-369.
[8] BARFORD P, CHEN YAN, GOYAL A, et al. Employing honeynets for network situational awareness [C]// Proceedings of the Fourth Workshop on Hot Topics in Networks. Berlin: SpringerVerlag, 2005: 71-102.
[9] THONNARD O, DACIER M. A framework for attack patterns discovery in honeynet data [C]// Proceeding of the 8th Digital Forensics Research Conference. Baltimore: [s.n.], 2008: S128-S139.
[10] 王娟,張鳳荔,傅,等.網絡態勢感知中的指標體系研究[J].計算機應用,2007,27(8):1907-1909.
[11] 陳秀真,鄭慶華,管曉宏,等.層次化網絡安全威脅態勢量化評估方法[J].軟件學報,2006,17(4):885-897.
[12] WASSERKRUG S, ETZION O, GAL A. Inference and prediction of uncertain events in active systems: A language and execution model [EB/OL]. [20110425].省略rmatik.rwthaachen.de/Publications/CEURWS/Vol76/wasserkrug.pdf.
[13] GAL A. Managing uncertainty in schema matching with topk schema mappings [J]. Journal on Data Semantics VI, 2006, 4090: 90-114.
[14] OXENHAM M, CHALLA S, MORELANDE M. Fusion of disparate identity estimates for shared situation awareness in a networkcentric environment [J]. Information Fusion, 2006, 7(4): 395-417.
[15] HOLSOPPLE J, YANG S J, SUDIT M. TANDI: Threat assessment of network data and information [EB/OL]. [20110420]. ritdml.rit.edu/handle/1850/10737.
[16] SABATA B, ORNES C. Multisource evidence fusion for cybersituation assessment [C]// Proceedings of Multisensor, Multisource Information Fusion Conference. Bellingham: SPIE, 2006: 1-9.
[17] 李偉生,王寶樹.基于貝葉斯網絡的態勢評估[J].系統工程與電子技術,2003,25(4):480-483.
[18] ARNES A, VALEUR F, VIGNA G, et al. Using hidden Markov models to evaluate the risks of intrusions [C]// Proceedings of the 9th Symposium on Recent Advances in Intrusion Detection, LNCS 4219. Berlin: SpringerVerlag, 2006: 145-164.
[19] ARNES A, SALLHAMMAR K, HASLUM K, et al. Realtime risk assessment with network sensors and intrusion detection systems [C]// Proceeding of 2005 International Conference on Computational Intelligence and Security, LNCS 3802. Berlin: SpringerVerlag, 2005: 388-397.
[20] OURSTON D, MATZNER S, STUMP W, et al. Applications of hidden Markov models to detecting multistage network attacks [C]// Proceedings of the 36th Hawaii International Conference on System Sciences. Washington, DC: IEEE Computer Society, 2003: 334.2.
[21] QU ZHAOYANG, LI YAYING, LI PENG. A network security situation evaluation method based on DS evidence theory [C]// Proceedings of the 2010 International Conference on Environmental Science and Information Application Technology. Washington, DC: IEEE Computer Society, 2010: 496-499.
[22] 徐曉輝,劉作良.基于DS證據理論的態勢評估方法[J].電光與控制,2005,12(5):36-37.
[23] RAO N P, KASHYAP S K, GIRIJA G. Situation assessment in air combat: A fuzzyBayesian hybrid approach [C]// Proceedings of 2008 International Conference on Aerospace Science and Technology. Bangalore: [s.n.], 2008: 26-28.
[24] 李偉生,王寶樹.基于模糊邏輯和DS證據理論的一種態勢估計方法[J].系統工程與電子技術,2003,25(10):1278-1280.
[25] 任偉,蔣興浩,孫錟鋒.基于RBF神經網絡的網絡安全態勢預測方法[J].計算機工程與應用,2006,42(31):136-138.
[26] LAI JIBAO, WANG HUIQIANG, LIU XIAOWU, et al. A quantitative prediction method of network security situation based on wavelet neural network [C]// Proceedings of the First International Symposium on Data, Privacy, and ECommerce. Washington, DC: IEEE Computer Society, 2007: 197-202.
[27] 張翔,胡昌振,劉勝航,等.基于支持向量機的網絡攻擊態勢預測技術研究[J].計算機工程,2007,33(11):10-12.
[28]王娟.大規模網絡安全態勢感知關鍵技術研究[D].成都:電子科技大學,2010.
[29] 龔正虎,卓瑩.網絡態勢感知研究[J].軟件學報,2010,21(7):1605-1619.
[30]王慧強.網絡安全態勢感知研究新進展[J].大慶師范學院學報,2010,30(3):1-8.
[31] RABINER L R. A tutorial on hidden Markov models and selected applications in speech recognition [J]. Proceedings of the IEEE, 1989, 77(2): 257-286.
[32] ADI A, BOTZER D, ETZION O. The situation manager component of Amit ― Active middleware technology [C]// Proceedings of the 5th International Workshop on Next Generation Information Technologies and Systems. Berlin: SpringerVerlag, 2002: 158-168.
[33] VALEUR F. Real time intrusion detection alert correlation [D]. Santa Barbara: University of California, 2006.
[34] ZHAI YAN. Integrating multiple information resources to analyzing intrusion alerts [D]. Raleigh: North Carolina State University, 2006.
[35]PORRAS P A, FONG M W, VALDES A. A missionimpactbased approach to INFOSEC alarm correlation [C]// Proceedings of the 5th International Symposium on Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002: 95-114.
[36] MORIN B, M L, DEBAR H, et al. M2D2: A formal data model for IDS alert correlation [C]// Proceedings of the International Symposium on Recent Advances in Intrusion Detection. Berlin: SpringerVerlag, 2002: 115-137.
[37] SMITH D, SINGH S. Approaches to multisensor data fusion in target tracking: A survey [J]. IEEE Transactions on Knowledge and Data Engineering, 2006, 18(12): 1696-1710.
[38] HINMAN M L. Some computational approaches for situation assessment and impact assessment [C]// Proceedings of the Fifth International Conference on Information Fusion. Washington, DC: IEEE Computer Society, 2002: 687-693.
[39] OXENHAM M, CHALLA S, MORELANDE M. Fusion of disparate identity estimates for shared situation awareness in a networkcentric environment [J]. Information Fusion, 2006, 7(4): 395-417.
[40] IVANSSON J. Situation assessment in a stochastic environment using Bayesian networks [D]. Linkping: Linkping University, 2002.
[41] JAJODIA S, LIU P, SWARUP V, et al. Cyber situation awareness: Issue and research (advanced in information security) [M]. Berlin: SpringerVerlag, 2009.
[42] LIGGINS M E, HALL D L, LLINAS J. Handbook of multisensor data fusion: Theory and practice [M]. Boca Raton: CRC Press, 2009.
[43] RAOL J R. Multisensor data fusion: Theory and practice [M]. Boca Raton: CRC Press, 2009.
收稿日期:20110801;修回日期:20110909。
【 關鍵詞 】 網絡安全;評估;漏洞掃描
The Research of Network Security Evaluation
Wu Guo-qiang
(Institute of Geophysics, China Earthquake Administration Beijing 100085)
【 Abstract 】 at present, the network has brought great change to people's life, work and study. People in the enjoyment of the Internet brought not only convenience but also security influence. Due to the network with the sharing of resources, widely distributed and open features, to cyber criminals had to take advantage of the machine, to the society and the individual has brought incalculable harm. The network hacker attacks to network bu the use of network management and technical flaws, on the network security evaluation, targeted to network repair job, can fundamentally solve the problem of network security hidden danger, will put an end to. In the existing application level basis, establish and improve the network security assessment system for network, normal, safe and stable operation is of great value in the practical application.
【 Keywords 】 network security; assessment; vulnerability scanning
0 引言
隨著網絡用戶的增多,人們對網絡的依賴性越來越嚴重,網絡已經成為人們生活中不可分割的一部分,但是,受到網絡危害的人數也在逐年增加。據不完全統計,我國超過一半以上的企事業單位受到過網絡安全事故的危害,而且這個數字還在逐年增加。其網絡安全的危害主要表現在:黑客攻擊、木馬侵襲和病毒傳染等。
當前,我國的信息化安全建設也隨著技術的發展不斷進步,但是,由于網絡資源共享和分布不均勻的特性及相關法律不健全的影響,讓眾多網絡用戶受到網絡危害及損失之后,其個人名譽和財產無法得到有效地保護。因此,加強自身網絡的安全建設,及時有效地網絡系統進行評估,是十分有必要的。
1 模型和算法
網絡安全評估主要從物理安全、究全控制、管理安全、數據安全和技術安全幾個層次進行評估。當前,社會上存在的評估系統,都是從某個方面入手進行評估驗證,只把握住了局部問題,而沒有從全局出發,缺乏必要的合理性和科學性。綜合國內外準則和技術指標,都是僅僅規定了體系和框架,對于具體的安全掃描操作沒有給出具體的步驟和過程。為了能夠設計出更加完善的網絡安全評估系統,給出定性的安全保護策略和安全評級,首先需要做的是確定其評估模型。
1.1 評估模型分類
(1)定性評估方法
該方法的特點是預見性。模型在沒有建立以前,就要確定其漏洞及其危害性。對于漏洞的分析主要通過三個方面進行:一是性質和成區(查看具體由操作系統、應用軟件和端口哪一方面引起);二是危害程度(越級訪問、遠程控制、非法竊取、非法訪問、遠程欺騙和拒絕服務);三是漏洞級別(一般、嚴重和非常嚴重)。
該評估模型的優點是實現簡單、操作方便,最大的不足之處就是主觀性強,需要研發人員對網絡安全有足夠的經驗和水平并且盡可能地多采集相關的信息。其代表方法有歷史比較法、因素分析法和德菲爾法等。
(2)定量的評估方法
該方法主要是通過判斷影響網絡安全的數值來進行的。其優點是客觀公正、科學,其缺點是由于要進行大量的數據比較,其實現相對復雜。其代表的方法有決策樹法、因子分解法和聚類分析法等。
(3)綜合的評估方法
該方法是結合了前兩種方法的優點,其代表的方法有模糊數學法、威脅樹法和層次分析法等。
(4)基于模型的評估方法
該方法是目前最有效的方法,它所基于的模型都是建立在成熟的模型的基礎之上,所以設計簡單、發現漏洞的效率高、易發現未知的攻擊模式和脆弱的系統等,能夠從全局上對網絡進行評估。當前,它所基于的模型主要有故障樹模型、信息流模型、訪問控制模型和基于角色的訪問控制模型等。
1.2 評估模型理論
什么是NKS?NKS的英文全名是A New Kind of Science,2002年,著名的數學軟件Mathematica的設計者Wolfram出版了一本書就叫這個名字,專門研究各種簡單程序,例如細胞自動機、圖靈機、替代系統等等,并得出了豐富的結論,他把這門科學叫做NKS。
評估模型建立的是一種層次化的網絡質量度量方法NKS,其主要的評估要素由一系列小的質量要素(:物理安全、技術安全、管理安全和管理策略等)組成,而小的質量要素又是由網絡安全評估衡量標準(脆弱性、漏洞和各種弱口令等)組成,標準又通過安全度量元(脆弱性情況、漏洞嚴重程度和弱口令復雜度等)的特性來完成。通過一層層的遞進關系,來準確地評估出確切的評估要素值。
1.3 評估算法
在網絡安全評估中,只有通過具體的值才能在計算機中得到體現,一般度量值有兩種類型,分別是邏輯型和數值型。邏輯型相對比較簡單,只需要根據對應的值進行邏輯判斷即可;而數值型則需要通過復雜的數值計算才能夠得出具體的判定層次。
在此我們對數值型進行簡要的介紹。
首先,將評估要素設成兩元關系的集合,第一個參數代表評估的結果,第二個表示其結果在整個網絡中所起到的權重值。每一個模型所進行數值計算都是不同的,但不管哪一個,一般都通過采用以下幾個要素組合來取得最終的結果,它們是專家庫、關系方程、概率分析和權重等。
2 網絡安全評估系統組成和功能
在上面理論的基礎之上,我們設計出NKS網絡安全評估系統,以確保整個網絡的安全和對潛在威脅的及時發現。
2.1 系統組成簡介
整個系統主要由四個模塊組成,分別是評估結果管理模塊、安全性檢測與評估報告生成模塊、系統設置模塊和附加功能模塊。其結構圖如圖1所示。
(1)評估結果管理模塊
模塊主要體現在結果的顯示和歷史記錄的查詢上面,由搜索掃描記錄、刪除掃描記錄和顯示評估結果組成。
(2)安全性檢測與評估報告生成模塊
在整個系統中,所有功能及模塊都是圍繞該模塊而運行,它是系統的核心。它首先進行主機存活性識別操作,假如該主機處于活躍狀態,那么將對其操作系統進行探測,然后依次進行端口/服務掃描、漏洞掃描和弱口令探測等一系列活動,最后通過安全評估算法的合理運算,生成評估報告。
(3)系統設置及插件配置模塊
從系統的角度出發,為了保證合法用戶的正確使用,防止非法用戶的入侵,必須設置必要的賬戶進行管理,合法用戶可以通過賬戶進行系統的管理。其主要的功能有添加、刪除賬戶及修改密碼等。插件配置子程序主要完成端口掃描、漏洞掃描和弱口令掃描等。
(4)附加功能模塊
提供SQL可注入性檢測功能的實現。
2.2 功能介紹
該系統的主要功能體現在九個方面。(1)目標主機存活性探測。通過遠程對目標主機的存活性進行探測。其具體的要求是速度盡可能地快、正確率盡可能高和穿越防火墻的能力盡可能地強。(2)網絡拓撲發現。能夠描述出目標主機所在的網絡拓撲圖。其具體的要求是圖形顯示網絡拓撲和區別各種網絡設備。(3)操作系統識別。能夠查出目標主機上所具體使用的操作系統的版本相關信息。其具體的要求是通過TCL/IP協議實現。(4)弱口令探測。能夠查出目標主機上常用的SQL數據庫、FTP和WEB服務的常用口令。(5)開放端口/服務掃描。要求是通過TCP、UDP端口進行掃描。(6)漏洞掃描。它能夠對所有的Windows操作系統和部分Linux操作系統進行分析,并對數據庫和文檔進行集成。(7)木馬檢查。(8)生成報告。其要求是要以文本和網頁兩種形式表現出來,并且報告要針對管理員和一般用戶進行區分。(9)用戶管理。其具體的要求是能夠添加、刪除用戶,并且對用戶的密碼進行修改主,并且用戶的界面要盡可能地人性化。
3 網絡安全評估系統詳細設計
根據以上的介紹,我們根據網絡安全評估系統的功能,對其主要的功能模塊進行實現。
3.1 獲取遠程本機的基本信息
要獲取本機的網絡安全評估指數,首先要確定其本地的基本信息,如網卡的MAC地址、IP所屬的網絡段和操作系統基本信息等參數。
3.2 開放端口的判斷
端口的開放程度對主機的安全性影響巨大,如何判斷該機的哪些端口開放,哪些沒有開放,在整個系統的運行中是十分必要的。我們可以通過往某個端口發送其固定數據,看是否接收,來進行判斷,其具體的代碼如下:
4 總結
針對網絡安全展開討論,首先詳細分析了網絡安全的模型和算法,對網絡安全評估的幾種常用方法進行了比較,其次分析了網絡安全評估系統的組成和功能,并給出了具體的模塊結構圖,最后對整個系統的具體實現進行詳細的描述,重點介紹了主機常用信息的獲取和端口開放的判斷,對于其它的內容由于篇幅所限,在此并沒有給出。
參考文獻
[1] 許曉.應用系統的安全威脅及其防護.信息化研究,2009.
[2] 崔孝林.網絡安全評估系統的設計與實現.安徽:中國科學技術大學,2009.
[3] 邢栩嘉,林闖,蔣屹立.計算機系統脆弱性評估研究.計算機學報,2004.
[4] 陳冬雨.趨勢科技安全威脅評估報告.計算機安全,2009.
關鍵詞:醫院信息系統;網絡安全;解決策略;研究
0引言
提高網絡系統運行安全指數,對于任何領域來說都尤為重要,特別是作為關乎著億萬人生命健康的醫院。隨著科學技術的發展,醫院信息系統已經開始取得了質的飛躍,特別是已經開始采用專業管理模式進行管理,但是針對醫院信息網絡安全方面仍然有很多問題需要解決。從醫院的整體發展方向來看,日后醫院信息系統的作用只會越來越大,但是醫院信息系統網絡安全不能夠得到妥善解決,那么網絡系統一旦被病毒或者是侵入者侵入,造成系統癱瘓、數據丟失。那么醫院不僅僅會面臨巨大的經濟損失,也會影響到醫生對患者的救治,出現誤診的情況。所以應將醫院信息系統網路安全問題放在首位。只有將此問題解決,醫院才能夠提高工作效率,提高服務質量,向著持續發展的方向前進。
1醫院信息系統的網絡安全簡述
醫院信息系統在使用過程當中,參與人數較多,并且涉及的種類也很復雜,所以極其容易發生網絡安全問題,因為醫院信息系統涉及到患者信息以及隱私,所以對于網絡安全方面要求更高,但是醫院信息系統所受到的威脅較多,主要來源于以下幾個方面。
1.1內部存在的安全問題
工作人員在使用醫院信息系統時,偶爾會使用U盤進行信息傳遞或者是瀏覽網站,這不僅僅會造成工作人員分心同時也會給信息系統中植入病毒,當新的病毒侵入到醫院信息系統時極有可能使網絡中斷,嚴重時會造成系統絮亂致使數據丟失,無法恢復,影響到系統正常使用。當醫院信息系統發生數據被篡改或者是癱瘓時,醫生根據醫院信息系統所提供的信息對患者進行治療,會產生誤診情況,造成醫患糾紛產生,阻礙了醫院健康發展。內部少數工作人員也有可能會利用職務之變進行買賣信息,造成患者信息泄露,使不法分子有可乘之機,會造成醫院與患者的經濟損失。在我國大部分工作人員并不重視網絡安全信息,醫院也沒有提供相應的培訓,所以內部安全問題較為嚴重。
1.2外部存在的安全問題
外部存在的安全隱患主要是由非醫院工作人員對信息系統進行侵入。主要有四種方式,第一種是竊聽,是由黑客使用竊聽技術進行信息系統進行監控,竊取一些敏感數據,用作不法活動,以此達到目的。第二種是木馬,這種方式是遠程控制技術,雖然其不是病毒,但是本身具有記憶功能,一旦醫院信息系統中被植入木馬,那么安全性會較低,醫院信息系統中所使用的賬戶密碼信息就會被竊取,這樣醫院信息系統將被侵入者自由登錄進出,那么信息數據極有可能丟失。第三種就是DOS攻擊,主要針對服務器開展攻擊,通過系統漏洞,向服務器不間斷發送海量數據信息,造成服務器沒辦法及時反應,從而導致服務器無法使用。針對醫院信息系統來看,一旦服務器無法正常使用,醫院針對就診患者就沒辦法快速做出反應,也沒辦法開藥,延誤患者最佳就診時間。第四種就是篡改信息,侵入者進入到醫院信息系統當中,就可以非法進行篡改患者相關信息,從而擾亂醫生診斷結果,致使誤診情況發生。以上安全問題,需要有專業的網絡安全工作人員進行管理,而且對醫院相關工作人員也要提出一定要求,進行網絡安全知識講座,但是從目前各個醫院情況來看,這方面培訓仍然欠缺。
1.3網路安全管理方面存在的問題
醫院信息系統針對網絡安全方面需要做的工作有很多,比如說需要工作人員對系統進行定期殺毒以及系統補丁更新等,但是大部分醫院雖然在電腦上安裝了殺毒系統,但是使用的次數較少,并不能及時消除病毒,致使網絡系統容易被侵入。也有少數醫院為了避免遭受外部病毒侵入,會將IP地址和MIC地址進行綁定,使每臺機器進行獨立操作,雖然能在一定程度上達到防御效果,但是也增加了操作難度。
2醫院信息系統網絡安全解決策略
醫院想要健康發展,離不開信息系統的支持,能夠保證醫院信息系統網絡安全的方式有很多,目前主要方式是使用多種入侵檢測技術進行安全檢測,同時與防火墻技術進行相互配合,可以有效提高數據的安全性。
2.1物理安全管理策略
物理安全能夠保證醫院信息系統發揮最大作用,所以我們應該針對醫院信息系統的基礎設施進行維護。首先,我們應該維護好中心機房的工作,要保證中心機房內的空氣溫度濕度在恒溫狀態,減少中心機器的損傷。同時中心機房也應該禁止非工作人員進入,保證機器不受人為傷害。醫院也應該明令禁止工作人員將個人設備連接到醫院電腦上,以及不能使用醫院電腦進行查閱使用其他網站。從而阻止由內部侵入病毒。同時醫院也應加強對相關工作人員網絡安全意識的培訓,定期的組織專業認識針對這以方面進行講解,從根本上提高工作人員的防范意識,避免由內部人員帶入病毒。
2.2防火墻技術與入侵檢測技術聯動方案
防火墻技術作為醫院信息系統的第一道安全保護技術,雖然并不能防御未知病毒,但是入侵檢測技術卻可以幫助防火墻進行防御,因為入侵檢測技術能夠利用人工智能技術,使用科學有效的算法防御檢測到未知病毒,所以由入侵檢測技術進行前期檢測,把檢測結果發送到防火墻,由防火墻進行防御,從而達到防御未知病毒的效果。比如有侵入者通過接口發出攻擊行為,那么受到保護的網絡就會將信息發送到入侵檢測系統,通過識別以后,將最終結果通知到防火墻,防火墻會根據情況進行阻斷網絡提出預警信息,通過聯動,就能夠起到一定的防范作用。
2.3備份技術的應用
但是再嚴密的系統,都存在這一定的漏洞,一旦醫院信息系統被侵入,造成數據丟失致使系統無法工作,那么醫院將會面臨巨大損失。所以一定要有備份系統,如發生意外,那么及時啟動備份系統就能夠將數據信息保護起來。傳統備份系統有信息備份、人工備份等等,但是傳統備份的缺點就是恢復信息較為麻煩,常常需要較多的時間和人力才能夠恢復,這就會影響工作效率,耽誤病人就醫,甚至是耽誤治療。因此醫院系統應該使用新的備份技術。可以將備份技術建立在存儲層以及網絡層當中。存儲層中有主要磁盤陣列和次要磁盤陣列,在其中安裝備軟件,那么數據通過主要磁盤陣列時,備份軟件能夠及時進行備份,使所有信息能夠被完成保存下來。但是這種備份技術有時候仍然需要人工進行恢復,但是恢復時間將會縮短。網絡層中建立備份系統,就是在信息系統服務器以及磁盤陣列的存儲設備間添加上虛擬化控制器。這樣醫院信息系統所使用得數據經過虛擬化控制器時,所有數據自動被復制成兩份進行存儲,并且分別存在不同的磁盤當中。這樣所有數據能夠保持一致。當其中一份數據被篡改或者是丟失時,能夠在最短時間內啟用備份數據進行使用,并不會影響到工作人員的使用。并且這種方式不需要人工監測,降低了成本,提高了維護質量。因此這種備份技術被廣泛認可應用。
3總結
綜上所述,醫院信息系統能夠受到的網絡安全問題主要就是內在安全問題和外在安全問題,針對這兩個問題進行了分析,并提出以防火墻與入侵檢測技術進行聯動,大大減少了信息系統受到攻擊所要承擔的風險。同時也可以增加了備份技術。這樣就能夠使醫院信息系統得到最大的保護。從而提升醫院信息系統的工作效率,推動醫院能夠更好的發展,為人類做出更多貢獻。
參考文獻:
[1]劉璘.醫院網絡與信息安全策略研究[J].電腦編程技巧與維護,2017.
關鍵詞:網絡安全;網絡化教學;一體化教學體系
作者簡介:廉龍穎(1981-),女,遼寧莊河人,黑龍江科技學院計算機學院,講師。(黑龍江 哈爾濱 150027)
基金項目:本文系黑龍江省高教學會“十二五”教研課題(課題編號:HGJXH C110918)、黑龍江科技學院青年才俊資助項目的研究成果。
中圖分類號:G642.0 文獻標識碼:A 文章編號:1007-0079(2013)05-0092-02
網絡化教學已成為各國教育改革和發展的重要趨勢,它具有突破時空的限制和實現資源共享的基本特點,能夠實現以學習者為主體的主動式學習和協作式學習。利用網絡教學平臺,搭建學習、實踐、測試、交流、管理等教學環境,充分發揮學生的主動性、積極性、合作性和創造性。網絡化教學正逐漸被教學群體廣泛認同,在使用量的橫向上和應用水平的縱向上,均潛在著不可估量的發展空間。
“網絡安全”課程是計算機專業的主干課程。本課程幾乎涉及網絡應用技術的各個層面,如計算機系統安全、網絡硬件安全、網絡服務器安全、網絡應用軟件安全和網絡數據安全,是學生從事網絡管理工作應具備的核心能力之一。黑龍江科技學院“網絡安全”課程由理論課和實驗課兩部分組成,理論課36學時,實驗課12學時,共計48學時,學生僅僅依靠課堂上的學習,遠遠不能滿足實際需求。因此,在“網絡安全”課程教學中采用面對面教學與網絡自學相結合的方式,嘗試把“網絡安全”課程教學從課堂延伸到課外,充分利用現代信息網絡技術彰顯網絡安全教學的最大效益。
一、網絡化教學研究過程
“網絡安全”課程組將網絡化教學應用于“網絡安全”課程的過程如圖1所示,分為四個階段:研究、建設、實施、改進。“網絡安全”課程網絡化教學過程是一個循環的研究過程,通過教師對“網絡安全”課程教學平臺建設的研究,提出教學平臺建設方案,并自主設計和開發“網絡安全”教學平臺,通過對網絡化教學的具體實施,總結出這一教學方式存在的不足并進行進一步的改進。
二、“網絡安全”課程教學平臺建設研究
在“網絡安全”課程網絡化教學研究中,通過教學平臺的建設,實現提供完善的教學功能和友好方便的教學服務,是網絡化教學的重要基礎。平臺設計重點體現“網絡安全”課程“三優三強”的人才培養模式,即優化教學方案、優化教學內容和優化教學方法,以及學生綜合素質強、創新能力強、實踐能力強的教學體系。教學平臺以該課程的專題式教學資源作為設計思想,以課程理論內容和實驗項目作為設計范例,目標是建立基于網絡的“網絡安全”課程學習平臺,學生可以利用校園網或互聯網進行理論知識的學習和實驗內容的實踐,不受課堂時間和空間的限制,在課堂教學內容的基礎上進行選擇性和擴展性學習,更好地理解和掌握網絡安全知識。
“網絡安全”教學平臺主要實現在線課程、教學信息、師生交互等功能,也可以看作是一個由教師、學生、教學資源與教學環境四者之間持續相互作用的在線學習管理系統。網絡教學平臺的主要特征是:教學個性化、實踐網絡化、學習自主化、活動協作化和管理自動化。如圖2所示,“網絡安全”教學平臺分別構建了課程學習平臺、實驗強化平臺、練習自測平臺、互動交流平臺以及管理監控平臺,實現了課程內容的在線自學、實驗內容的小組協作、練習測試的自我考核、學生教師的雙向交流以及對教學質量的有效監控的功能。
三、網絡化教學實施過程研究
網絡化教學不能理解為只是一種網絡教學平臺建設,更不能只是把教科書等教學資源搬到網絡上,而應該是在網絡教學平臺建設基礎之上,在現代教育理論指導下,充分利用網絡化教學對現行教學體系進行全方位改造,從而大大提高“網絡安全”課程教學的質量和效果。研究如何將面對面教學與網絡教學進行有機結合,真正提高“網絡安全”課程的教學質量,提高學生解決網絡安全問題的能力,是“網絡安全”課程網絡化教學改革的核心內容。
1.建立一體化教學體系
為更好地將面對面教學與網絡教學有機結合,本校采用“課堂教學精講、網絡教學精練”的方式構建“網絡安全”課程一體化教學體系。
課堂教學包括理論課教學和實驗課教學兩部分,在課堂教學中,教師要對教學內容進行全方位篩選,選擇“網絡安全”重點知識設計成教學專題,并且為每一個教學專題設計一個實踐演示項目,例如計算機病毒專題、Unicode漏洞專題、SQL注入攻擊專題等,利用有限的課堂教學時間對這些專題內容進行精講。
網絡教學包括理論自學、實踐自練和練習自測三部分。在理論自學部分,自學內容不僅包括課堂教學內容,還適當地選擇課堂教學中沒有涉及的網絡安全知識,例如無線網絡安全、數字簽名等,這些教學內容作為對課堂教學內容的補充,由網絡教學來承載。在實踐自練部分,練習內容由課堂演示項目和實驗課項目兩部分組成,學生可以利用教學平臺對這些實驗項目進行多次強化練習。在練習自測部分,練習和自測內容都選自網絡安全工程師認證考試試題庫,學生通過練習和自測,不僅可以鞏固和復習課程內容,同時可以為將來參加網絡安全工程師認證考試打下堅實的基礎。
2.改革教學方式
全面實施網絡教學,需要更新教學理念。對傳統教學方式進行改革,鼓勵學生利用網絡教學平臺主動學習、自主學習。在傳統面對面教學中,教師是課堂的主體,學生只能被動地接受知識,但學生與學生之間是存在個體差異的,不能保證每名學生都可以在課堂上理解和掌握所有教學內容。但在網絡教學中,學生將成為課堂的主體,學生的學習會更加自由和輕松。課堂教學內容掌握較好的學生,可以選擇更深一些的網絡安全知識來進行網絡自學;而對課堂內容還沒有完全掌握的學生,可以選擇課堂內容來進行網絡復習。
3.改革考核方式
在考核方式上,本校摒棄了“期末一張試卷決定學生成績”的考核方式,不再把教師的單方評價奉為標準,而是提倡學生進行互評和自評。具體考核方式是:教師對學生成績評定占40%,小組同學間的互評成績占30%,學生對自己網絡自學成績評定占30%。考核方式的改革,可以多角度全面客觀地考查學生對網絡安全知識的掌握程度,同時有利于培養學生的自主學習和協作學習的能力,使其養成良好的主體意識,最終激發其自主學習動機。[1]
4.改革交流互動方式
網絡教學應該以交流互動為核心,構建充分發揮學生為主體的教與學的網絡學習環境。傳統課堂的交流互動包括課堂提問、課上討論以及課后答疑等方式,這些互動方式存在教條化、模式化的缺點,而網絡教學可以大大拓寬交流互動途徑。網絡教學中的互動不僅僅局限于“學生和教師”、“教師和教師”以及“學生和學生”之間進行的在線交流和互動,還包括學生與教學資源、教師與教學環境等方面的互動。教師可以根據學生的反饋情況調整教學行為,學生可以下載或上傳教學資源,這些互動方式可以真正實現師生之間的交流,從而提高學生的學習興趣和主體意識。
四、存在的問題及改進措施
本校通過對“網絡安全”課程網絡化教學的具體實施,發現網絡化教學存在學生網絡自學情況差異較大、個別學生參與積極性不高的問題。通過管理監控平臺的數據統計,74%的學生能夠保證網絡自學課時,而且能夠經常在線與教師和同學進行交流;19%的學生網絡自學課時較少;7%的學生從來沒有登錄過網絡自學平臺。因此,本校在下一步“網絡安全”課程網絡化教學研究中,采用調查問卷的形式來調查學生不參與網絡自學的原因,根據了解的情況,安排教師采用個別化輔導形式,鼓勵和推進網絡教學,確保每位學生都能夠親身體驗網絡化學習。
五、總結
本校利用校園網開展“網絡安全”課程網絡教學,豐富并補充了傳統的面對面教學形式,為學生營造了多維交互的在線學習環境。實踐證明,基于網絡教學平臺的“網絡安全”課程網絡化教學可以非常明顯地提升學生學習的動機和興趣,增強學生小組協作學習的自主能力,并在一定程度上彌補課堂教學的遺漏和不足,使“網絡安全”課程教學更加系統,更加完善。[2]在此研究基礎上,還需要進一步分析網絡化教學在“網絡安全”課程教學中的應用效果,探討如何充分發揮網絡化教學的特點和優勢,通過網絡化教學在教育中的應用體現和提升其價值。
參考文獻:
[1]黃磊,楊九民,李文昊.基于免費網絡服務的高校混合式學習模式構建——以“現代教育技術”課程為例[J].電化教育研究,2011,(8):
關鍵詞:校園網 安全 防范體系
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1007-9416(2015)11-0000-00
當今社會,網絡已經成為信息傳播的主要渠道,廣泛應用于社會的各個領域,但由于網絡的開放性、多樣性以及自身安全漏洞的存在等,網絡安全成為一個不可忽視的問題。信息化建設已經成為高校重點開展的項目之一,利用網絡能夠加快信息處理的速度、合理優化和配置教育資源、及時分享和獲取科研成果等[1]。
1 網絡安全的含義
網絡安全和信息安全是網絡信息安全的兩個組成部分。網絡安全主要指的是系統平臺層面的安全范疇,包括硬件組成、操作系統、軟件運行的環境、各種應用軟件等。信息安全指的是數據通信過程中的安全保障,包括數據加密、過濾、備份等,常用的安全技術有防火墻、殺毒軟件等。
學校內每個部門和學生都屬于校園網的一個用戶,每個用戶的信息都需要得到很好的保護。如何有效地管理和保護用戶的信息是校園網安全建設的重要問題,也是信息安全保證環節中最為重要的一環。
2 校園網網絡現狀
校園網通過校內局域網互通的方式,實現了整個學校的教育、科研、管理的統一結合。校園網主要分為三個層次:核心層、匯聚層、接入層。核心層是整個校園網絡的保障,一般選用交換機等作為服務器進行數據的收發工作;接入層直接面向用戶,通過不同的VLAN進行用戶與主機的相連;匯聚層則是相當于核心層與接入層之間的通道。目前主流的校園網拓撲結構比較簡單,學校網絡中心作為校園網的入口,經過一道防火墻,到達中心交換機處,再由中心交換機向四周的匯聚交換機輻射,形成一個星型拓撲結構。
大多數學校由于在校園網建設初期經費有限,往往對網絡安全的建設投入不足,使得校園網絡在一個缺乏有效安全預警和防范措施的環境中使用,僅僅通過一個防火墻的方式來進行防范。同時沒有對用戶的網絡進行設置,從而導致病毒的傳播、網絡攻擊、信息竊取等安全隱患。這些隱患一旦發生,對校園網絡是致命的。校園網建設過程中面臨的主要的問題有:硬件設備簡陋、IP地址攻擊、操作系統漏洞。
硬件設備的優劣關系到校園網內的用戶訪問互聯網的速度。設備簡陋、設備技術指標低是目前校園網硬件平臺的通病,學校往往為了提高用戶的訪問速度,而把防火墻設置較低的等級,這就為網絡建設留下了安全隱患。學校應該加大硬件投入力度,購置多臺性能好的服務器設備,滿足廣大校園網用戶日益增長的網絡使用需求,真正做到安全、高效、便捷的網絡化應用。
TCP/IP協議是互聯網應用的主要傳輸協議,其用物理地址作為網絡節點的唯一標識,校園網中一般采用DHCP 服務器技術,即是說每個節點的IP地址都是不固定的公共數據,這樣,一些不法人員就可以通過直接修改IP地址進行偽裝、冒充可信節點,在網絡中進行攻擊,威脅著校園網絡安全。
Windows系統目前作為學生群體的主流使用的操作系統,屬于 C2 級安全操作系統,擁有用戶標識、身份認證、存儲控制和審計跟蹤等功能,但其本身也存在一些安全漏洞,如果系統中沒有安裝高效的殺毒軟件等,很容易造成病毒的入侵并傳播,造成整個校園網絡的癱瘓或信息的流失。
3 信息安全防范技術
目前主流的信息安全防范技術主要有:防火墻技術、VLAN劃分、流量控制。
防火墻作為最重要的網絡安全設備,是一種位于兩個或多個網絡之間,用于控制訪問的組件集合。它通過軟件和硬件上限制沒有授權的網絡訪問,達到保護網絡和系統不受未知侵犯的目的。硬件上,防火墻可以是路由器、交換機或其他可提供網絡交互的設備,也可以這些設備的組合,它將廣域網和局域網區分開來,作為內網和外網之間信息流通的唯一通道,通過安全設置,將內外網間交互的信息進行限制和保護。管理員可以通過查詢防火墻的工作日志,了解網絡的使用情況。防火墻的缺點就是“防外不防內”,如果攻擊者在內部網絡中實施攻擊,防火墻是無法進行防御的,所以目前對于來自內部網絡用戶的安全威脅,只能通過加強內部管理,如用戶安全教育、定時安全檢查等方式進行規范。
VLAN 又稱虛擬局域網,是一種將物理網絡劃分成多個邏輯(虛擬)局域網的技術。傳統的局域網當中,用戶可以隨意地截取同一局域網內的其他計算機之間的通訊數據,這就給局域網的通信留下了較大的安全隱患。通過劃分VLAN,每一個虛擬局域網之間只能通過路由轉發而不能直接地進行數據交互,大大提高了網絡的安全性。同時,每個路由器可以進行單獨地設置,進而對網絡監聽等一些入侵手段采取有效防范。校園網擁有的用戶群體比較龐大,也比較集中,比如教室、圖書館、宿舍、辦公樓等,每個區域對網絡的使用需求以及對安全性的要求都不相同。因此,采用VLAN技術將校園網劃分成各個不同的局域網區域,滿足各個用戶群體的使用需求和相應的安全防范設置。
校園中網絡使用群體較多,一般都達到數千或上萬人,網絡訪問速度一直是校園網中一個比較關注的問題。上網人數眾多、P2P類軟件下載使用頻繁、加之校園網網絡帶寬有限,常常會因流量負荷過大造成網絡阻塞,嚴重影響用戶的使用體驗效果。因此,增加流量控制設備可以作為一個較好的解決手段,通過流量管理功能合理的分配有限的帶寬資源,優先滿足比較重要的系統應用,保證其正常的運行,同時限制或過濾占用資源大的P2P下載等網絡應用,降低網絡的負荷[2]。同時通過查詢和分析網絡使用過程中的流量分布情況,對一些可能發生的突況進行預控,也可以根據報告定制功能或網絡流量應用管理措施,能夠大大提高網絡管理人員的工作效率。
4 結語
校園網作為一個特殊的網絡形態,在滿足學校教育、科研、管理工作需求的同時,也要保證學生在一個安全健康的網絡環境中學習。因此校園網的網絡安全建設成為整個校園信息化建設的一個重要組成部分,從技術和管理層面相結合,建立一套完善的安全管理體系和安全防范措施。
參考文獻
關鍵詞:網絡安全;發展特點;發展趨勢
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2012)36-8626-02
網絡安全技術的不斷創新關系著網絡安全產業的可持續發展,也是網絡用戶日益增長的市場需求。目前,我國的網絡安全技術的發展在現階段呈現出一些顯著的特點,表現出一定的發展趨勢,把握住這些發展特點和發展趨勢,對于網絡安全產業的創新和網絡用戶的安全使用都具有重要的指導作用。
1 網絡安全技術的發展特點
1.1 網絡保護層面不斷增加
以往的網絡安全系統在保護層面上涵蓋范圍較窄,只是單純的對相關數據資料和信息資料的輸送過程進行保護,在手段上也使用效率較為低下的物理層加密解密方法,這種傳統的網絡維護方法,生產投入的成本資金較高,也沒有適應現代化發展的擴展增容功能。隨著計算機技術的不斷發展,全技術也在不斷提升,安全技術也在向鏈接層保護的方向發展。尤其是在當今社會,網絡的普遍商業化,隨之出現了對商務網絡信息對話、信息交流、信息傳輸的進行安全保護的網絡安全技術。隨著人們的需求和行業業務的發展變化,安全技術的上升空間潛力巨大,加大對網絡安全技術的研究與創新,將有效的促進網絡信息的正常交流,維持安全穩定的網絡市場秩序。
1.2 保護內容在不斷增加
由于人們的生活需求日益多樣化,以及市場業務的不斷擴大,必然要求網絡安全技術的保護內容和保護范圍相應增加和擴大。就目前的發展狀況來看,網絡安全技術的應用范圍包括對各種訪問以及各種視聽信息的有效監控,對這種具有數據竊取和病毒侵害的危險網絡行為的有效檢測,對各種不良網絡信息的篩選過濾,對系統漏洞的掃描與修復,應急通信和應急備份等多種內容。網安全技術內涵的不斷增加為網絡安全產業展示了廣闊的發展前景。
1.3 安全組成系統在不斷增加
隨著現代化技術的發展,網絡在向著系統化、產業化的方向發展,具備了企業式的可運營性、可操作性和一定的盈利性。因此,網絡安全技術也被提升到知識產權維護的層面,并制定了很多具有指導性的網絡技術安全協議。根據現階段網絡發展方向來看,網絡安全技術在保護層面和保護內容上都在不斷增加和深入,整體防御功能也在不斷加強,網絡安全技術的組成系統將不斷增加,這些發展趨勢都為網絡安全設備的聯動和管理提供了一體化的解決方案。
1.4 主動防御功能增強
以往的網絡安全保護功能往往表現的較為被動,其運作方式主要是根據已經發現的攻擊方式和病毒入侵,在網絡中尋找與之相克制的網絡防御技術,以達到發現或阻擋攻擊侵害的目的。被動的網絡防御在及時性上有很大欠缺,而主動的安全監測與危險信息防御,則針對正常的網絡行為來建立數據模型,將所有的網絡數據和正常模式下相匹配的網絡安全技術作出處理和應用,以便阻擋潛在的未知攻擊,做到防患于未然。網絡安全技術從被動防御向主動防御發展,是網絡安全技術的一個顯著特點,新的攻擊技術和攻擊手段在不斷變化,防御功能的技術和手段也要不斷升級,才能避免網絡安全風險帶來的網絡信息資產損失。
2 網絡安全技術的發展趨勢
2.1 網絡溯源技術和法律支持系統將不斷發展
網絡安全技術不斷發展,網絡攻擊技術也在不斷升級,這種對抗狀況不僅將繼續存在,而且還會發展的越來越激烈,而這種對立局面之所以發生,主要就是因為網絡溯源技術沒有得到很好的應用。如果采用了先進的網絡溯源技術,就可以將各種不利的信息內容、非法的網絡行為、惡意的網絡攻擊進行追本溯源,找到其行為的使用用戶終端,這樣有利于網絡安全事故找到始作俑者。但是目前網絡溯源技術的發展還比較緩慢,主要是因為人們普遍沒有認識到網絡溯源技術的重要性,沒有對網絡溯源技術進行更加深入的研究與開發,也沒有相關的法律規范與網絡溯源技術進行緊密結合。這些原因導致了網絡溯源技術不被重視,也沒有很好的推廣和發展。
在當今社會,網絡對人們的社會生活和日常生活發揮著越來越重要的作用,網絡的規模也在不斷擴大,除了民用網絡融入人們的生活,社會經濟行為也在依靠網絡建立商用網絡,各種信息資產的所面對的安全威脅僅僅依靠網絡安全技術的維護還遠遠不夠。作為網絡的使用者和建設者,不僅要靠網絡安全防護技術來進行安全維護和防范,還要依靠法律手段來為網絡信息做安全保障,通過法律手段對黑客行為進行法律制裁,并對過相應的網絡立法規范來打擊黑客對網絡的各種破壞,預防這種網絡犯罪的發生。要想使打擊網絡違法犯罪的工作有效地展開,就需要對網絡進行有效的監管和功能更加強大的網絡溯源技術支撐。實行網絡監管,能夠大大提高網絡的安全性,但是只依靠監管又會限制用戶使用網絡的自由性,對用戶使用網絡的便捷性造成一定程度的影響,也不利于網絡業務的積極創新,不利于網絡經濟的迅速發展,所以,就要積極對網絡溯源技術進行深入研究和開發,以網絡溯源技術來輔助網絡安全監管工作,為相關的法律政策提供相應的技術支持。
2.2 不斷支持差異性安全業務
隨著網絡技術的不斷發展,運營商對于網絡安全方面的資金投入將不斷增加,尤其是三網融合的發展,促進了綜合性的網絡技術生成和應用。對于運營商來說,針對某一領域進行持續的投入,必然希望能夠從這一領域獲得相應的資本回報,由此才能促進自身的發展,獲取良好的收益,所以,把對網絡安全技術的資金投入轉化成具有經濟效益的資本輸出,將網絡安全技術轉變為一種運營業務,對于運營商的經濟發展和效益增長都有重要意義。
以往的單一的安全防御機制不僅工作效率低下,而且在運行過程中效率低下,浪費了很多網絡資源。不能夠滿足各種類型的差異性業務,也不利于信息資產產值的提升。所以,要針對不同需求的網絡業務提供不同等級的、個性化的安全保護技術和手段,體現安全需求的差異性特征。
2.3 融合安全技術體系將逐步完善
以往的網絡通信協議一般都很少考慮協議中有關網絡安全方面的內容,在實際運行過程中,一旦出現了網絡安全事故,再采取補救措施就顯得為時已晚。針對這種情況,為了增強網絡安全協議中信息交流的安全性,IPSec、IKE、TLS等現行通用的安全協議應運而生,并在目前的網絡發展和運行中得到廣泛的應用。認識到網絡安全技術的重要性,新的網絡通信協議就開始與融合性的綜合性技術相結合,為網絡安全技術的發展注入新的內容。根據這種發展趨勢可以預見,具備相應安全機制和融合性新技術的的網絡通信協議將是網絡安全技術的發展方向。
2.4 中小型企業的網絡安全市場具有很大的發展潛力
隨著企業網絡的日漸普及,中小型企業對于網絡的的應用和依賴程度也在逐漸增加,中小型企業的重要信息數據和文件也開始在網絡上進行傳輸和應用,基于對企業自身的數據信息的安全性考慮,中小型企業對于網絡安全技術和網絡安全市場會給與必要的重視。近年來,病毒的入侵和黑客的攻擊開始頻繁出現,中小型企業本身的網絡防護技術就比較薄弱,為了保證自身的安全,在研究的網絡安全形勢下,中小型企業要獲得持續、健康、穩步的發展,就必須重視網絡安全技術的研究與開發。目前,中小型企業的IT應用已經逐步完善,企業的網絡安全防護意識也在逐漸加強,在以后的網絡商務發展中會更加重視網絡安全系統建設。中小型企業的網絡安全產品應更加注重實用性,合理地設置市場價格,盡力滿足用戶的多樣化需求。在安裝及維護方面要做到簡單易行,方便用戶掌握和使用網絡安全技術軟件。現今,我國的中小型企業網絡安全市場正在穩步發展,隨著人們對網絡安全的重視和需求,中小型企業的具有很大的發展潛力。
2.5 不斷開發新的網絡安全技術
隨著網絡技術的不斷發展,我國在網絡病毒預防與攔截、信息加密與解密、漏洞修復與補充、防火墻技術等方面均有顯著地成績,取得了較為領先的自主技術,但是從國際市場角度來看,我國的網絡安全技術與國際領先水平還有一段距離,我國只有不斷推動網絡技術的發展創新和科技進步,才能保障國內產業、部門的信息安全。同時,網絡安全技術的升級與創新也是市場的需求,至于不斷推動技術進步,才能滿足用戶的多樣化需求,以應對不斷發展變化的病毒入侵和黑客攻擊。從網絡安全技術產業來看,技術創新是一個企業不斷發張壯大的有力保障,國家鼓勵科技創新,并給與企業必要的政策支持和資金支持,網絡安全產業在關鍵領域和科技發展前沿掌握核心技術,在國際上擁有自主知識產權,對于我國網絡信息社會的健康發展和科技興國都有重要意義。
總之,網絡安全技術在不斷發展壯大,當溯源技術得到廣泛的推廣和應用時,網絡安全技術也在相應提升,通信技術的不斷升級也將促進網絡信息技術的發展,這些變化趨勢也會促進差異性的安全業務系統的完善。中小企業要把握網絡安全技術的發展特點和發展趨勢,不斷創新新技術,挖掘潛力市場,滿足用戶的多樣化需求,促進網絡安全產業的持續發展。
參考文獻:
[1] 鄭志彬.信息網絡安全威脅及技術發展趨勢[J].電信科學,2009(2).
關鍵詞:計算機;網絡安全;風險分析;系統設計
在現代的社會中,Internet信息網絡技術的應用越來越廣泛,應用領域從小型的業務系統到大型的關鍵業務系統都有涵蓋。在其應用越廣泛的同時,網絡安全問題成為了影響網絡技術最重要的問題。在Internet強調其開放性和自由性的同時,對網絡安全問題也提出了更高的要求。
一、研究背景
Internet的開放性和自由性為社會的進步提供了巨大的動力,但是也正是由于互聯網的這一特性,導致了網絡上的諸多不安全因素。在我國,網絡安全目前主要存在以下幾個問題:計算機系統感染病毒的情況相當嚴重;黑客形成的重大威脅;網絡安全在信息基礎設施方面所面臨的挑戰。網絡環境是多變的、復雜的,其信息系統也是比較脆弱的,這些都是網絡安全受到威脅的客觀存在。近年來,隨著信息化社會的來臨,網絡安全的建設就需要加大力度進行。
二、網絡安全分析
建立、實施網絡信息系統安全體系的時候,需要全面的考慮網絡安全各個方面的內容,只有全面的考慮,才能真正的保證網絡信息系統的的安全性。對于一套安全體系是否能夠真正的解決問題,這就需要進行網絡安全分析來確定。因為網絡安全體系是需要結合實際的結構情況來設計的,沒有一個通用的網絡安全解決方案。
2.1 風險分析
保證網絡安全的重要的一環就是正確合理的網絡系統風險分析。通常情況下,風險分析需要從安全體系的物理層、網絡層、系統層、數據傳輸、病毒威脅和管理等方面的安全性分析來描述網絡系統的安全。
物理層安全是整個網絡結構安全的前提。一般情況下,物理層的安全風險主要表現為:電源故障造成的系統引導失敗和數據庫信息丟失;各種自然災害導致的整個系統化的毀壞;電磁輻射可能導致的信息丟失;不同機密程度的網絡沒有物理隔離等。要保證物理層的安全,在選擇設備方面,首先是滿足國家的標準,其次是要與現實相結合,對重要的設備采用UPS不間斷穩壓電源。
網絡層的分析分析主要是有網絡邊界和網絡傳輸的安全風險分析。網絡邊界的風險分析是對存在外聯服務要求的網絡出口處安裝防火墻的訪問加以控制。網絡傳輸的風險分析主要在于內部業務數據明文方面的威脅,即線路竊聽。
系統層的安全風險分析通常是指網絡操作系統和應用系統的安全風險分析,即對所包含的各組成元素的漏洞和病毒威脅進行分析。具體的風險分析主要有操作數據庫安全風險、系統安全風險和桌面應用系統的安全分析等。
病毒的安全風險方面,傳統的病毒主要是通過各種存儲介質進行傳播的,而現在的病毒主要是通過網絡實現傳播的。當局域網內的一臺客戶機被病毒感染后,就會迅速的通過網絡傳播到同一網絡的成百上千臺機器。
數據傳輸的安全風險主要在于內部網絡傳輸線路存在被竊聽的威脅和局域網內的內部攻擊行為,包括一些內部敏感信息,可能被竊取和篡改造成泄密等,如果沒有專門的軟件進行控制和檢測,就會造成嚴重的后果。
網絡管理的安全風險可能是因為網絡管理的混亂、責任的不明確、制度的不健全以及操作等引起的。解決這一問題最為可行的方法就是管理制度和管理解決方案的相互結合,因為網絡完全是除了技術水平之外,還需要靠安全管理來實現的。
2.2 系統設計
在針對一項網絡工程進行安全系統設計時,需要有一定的步驟,首先必須明確總體的設計目標。例如,在進行校園網絡安全體系建設時,應該采用先進的建設思想,按照“統一規劃、統籌安排、統一標準、相互配套”的患者進行,充分考慮整體和長遠的利益。網絡安全體系結構的設計主要是進行網絡安全各層次的設計。按照網絡OSI的7層模型,網絡安全貫穿于所有的7個層次。安全體系的設計需要遵循風險、需求相互平衡的原則。
三、總述
隨著網絡的深入普及,網絡安全的重要性也越來越凸顯,社會各界對建立網絡安全體系提出了更高的要求。一個現實的網絡安全體系,是應該建立在網絡風險分析的基礎上,遵循一定的設計原則,采用先進的技術進行設計的。就目前而言,我國的網絡安全有了一定的提高,但是還是缺少很多核心的技術,這就需要研究人員加強對計算機網絡安全領域的研究。
參考文獻:
[1]劉建偉.安全審計追蹤技術綜述[J].信息安全與通信保密.2007(7).
[2]陳君,柳國杰.構建防火墻的性能評價模型[J].信陽師范學院學報(自然科學版).2005,18(4).
[3]馬時來.計算機網絡使用技術教程[M].北京:清華大學出版社,2007.144-148.
關鍵詞:網絡安全 檢測 監控
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2016)05-0000-00
伴隨著計算機網絡的快速發展,計算機在廣播電臺中有了十分廣泛的普及應用,與此同時相關的網絡安全問題也愈發嚴重,因此就相關的網絡安全檢測與監控技術,展開相關的分析與探討,其意義十分重大,為確保電臺中的網絡安全,據此下文之中將主要就結合目前網絡安全的實際情況,設計出了相應的網絡安全檢測與監控技術的結構模型,同時針對其中的核心技術予以了設計探討,并對于其中所存在的問題缺陷,進一步闡明了確保電臺網絡安全具體的改進、完善構想。
1 網絡安全檢測技術
在網絡安全檢測技術之中重點包含了實時安全監控與安全掃描技術。實時性的安全監控技術主要是借助于硬件或者是軟件系統,對于網絡的數據流采取及時的檢查,同時還需要將數據流和數據庫當中的存儲數據采取對比分析,對于出現的各類病毒攻擊行為,要能夠及時的依據用戶所設定的指令予以及時的應對處理。相關的指令內容通常可設置為切斷網絡連接、亦或是告知防火墻系統對于訪問程序予以相應的調整,從而使入侵的數據內容能夠被及時的過濾除去。安全掃描技術能夠對于局域網絡、操作系統、Web站點以及防火墻系統之中的缺陷隱患采取掃描處理,從而及時的將問題漏洞上報給主機系統予以修復處理,最大程度的降低系統所承受的安全風險性。
網絡安全檢測技術正是基于自適應的安全管理模式。在這一管理模式當中每一項接入的網絡的部分,都無法完全避免安全隱患的存在。并且自適應性的安全管理模式通常具備有兩項特點,第一個特點為:動態性與自適應性,此兩方面的內容能夠借助于對網絡安全掃描軟件的升級處理,以及病毒數據庫的及時更新來實現;第二個特點為:更為廣泛的應用層次,能夠普遍的應用在網絡層、應用層以及主機操作系統之中,從而促使每一個層次的網絡安全隱患,都能夠得到更加及時的檢測。
網絡安全檢測系統的目的及時發現系統當中所存在的隱患漏洞,因此目前重點是采用在安全限定范圍內的供給方式,來對網絡系統采取模擬性供給,從而尋找出系統所存在的隱患問題與漏洞,以及相關的缺陷不足。整體網絡安全檢測系統的結構圖形如下圖1所示。
2 安全掃描系統
2.1 系統配置模塊
這一模塊是整體系統的主要操控者,可采用GUI亦或是HTML文檔結合瀏覽器兩類方式,來對于整體系統架構采取相應的管理措施。配置模塊部分重點是針對系統當中不同模塊的運行標準予以安排。
首先明確信息獲取的具體范圍。即獲取某一子網掩碼的信息或者是某一臺具體主機的信息,如果需獲取某一子網信息,則應當對這一子網掩碼的具體IP地址予以明確的位置標注,如:202.117.176.1――202.117.176.253,從而便能夠針對子網的202.117.176.0采取安全檢測,將所獲取到的各項信息內容予以詳細的記錄;如若所獲取某一臺特定主機的信息內容,便能夠設置出相應主機的IP地基,例如202.117.176.154。其次要明確漏洞檢查模塊的目標對象,即確切掌握網絡系統的服務漏洞或是操作系統漏洞。在應對網絡服務漏洞之時,可以明確針對Telnet的服務漏洞予以檢測,以及相關的Http、FTP等相關漏洞;在應對操作系統的漏洞之時,可針對文件的權限設置明確檢查相應的漏洞問題,以及系統設置與口令設置等相關操作系統的漏洞。最終,要能夠依據各類所配置的信息要素,產生出具體的系統配置文件,確保所有模塊內容的初始化設置和后期運行,均要依據此文件予以配置。
2.2 信息收集模塊
(1)構建目標網絡的拓撲結構圖。拓撲結構圖能夠直觀的體現出目標網絡之中,各個網絡元素間的相關性。如:路由器、子網與網關三者之間的相關性,以及各個不同的路由器之間的相關性,乃至于子網內部同主機之間的相關性,只有明確的掌握了各個不同網絡設備間的相關性,才能夠使得相關的管理人員了解到各個設備間的連接狀況。對于差異性較大的網絡拓撲結構而言,每一個網絡拓撲結構便存在有其自身的缺點與不足,即為網絡的拓撲結構決定了網絡結構的安全性,因此對于各類不同的網絡拓撲結構便應當采取與之相適應的保護方法。(2)明確目標主機和操作系統的類型與版本。在網絡環境當中,通常會同時存在有各種型號差異明顯的計算機設備,類型不同的計算機其自身所搭載的操作系統往往也不盡相同,加之操作系統的版本多樣性,各種類型的計算機操作系統所存在的安全隱患也是各式各樣的。諸如:UNIX與WINDOWS NT操作系統,目前已經公開的系統漏洞多達上千個之多,因此在應對這些種類繁多的操作系統及其漏洞時,難免會存在疏漏情況,因此明確計算機的操作系統類型與版本是十分必要的。(3)確定目標主機開啟的網絡服務。在網絡環境中每一個計算機主機系統均能夠給予用戶,提供以各類遠程網絡服務,諸如FTP、Http等相關服務內容。然而每一項服務內容均存在有安全隱患的可能,因此為了加強安全系數相關的網絡管理人員,必須要能夠明確主機所開啟的服務內容。在此過程當中應當針對目標主機的特定端口采取掃描措施,重點是采用和目標主機各端口構建起TCP協議,來檢測相應的端口是否存在有服務開通。進而針對所開通的服務程序予以安全檢測。
2.3 掃描調度模塊
這一模塊內容可依據上一模塊當中所獲取到的信息,以及相關的系統配置模塊所產生出的配置文件,采用模擬攻擊方式,針對網絡環境亦或是主機系統予以掃描,而后將掃描所得到的結果內容反饋至下一系統之中。
(1)網絡掃描是指針對網絡服務及傳輸過程當中,所存在的各類隱患問題及時的排查出來。并依據相應的漏洞特征狀況,創設出各類檢測工具與數據包,例如可采用ActiveX破壞控件,來針對HTTPD當中的隱患問題予以檢測;創設出虛構的IP地址數據包來針對IP SPOOFING隱患問題予以檢測等。(2)防火墻掃描,目前的防火墻配置較為復雜,在掃描檢測的過程中首先需注意對防火墻配置規則的檢測,其次要針對防火墻在應對各類網絡攻擊之時的防范能力予以檢測。(3)操作系統掃描,此部分的掃描內容可分為本地與分布式兩類,即為本地操作系統與遠程主機系統的漏洞掃描,具體的檢測目標應當為口令文件的權限設置、根目錄的權限設置;以及系統攻擊者是否在系統中設置以Sniffer程序,亦或是其他的木馬腳本等程序。
3 安全分析系統
3.1 安全分析模塊
最初的安全掃描程序僅是單一的將掃描測試結果逐一列舉出來,簡要、直觀的提供給測試人員而針對具體的信息內容并未做出任何的處理措施,因此在對于網絡狀況的整體性評估方面缺乏全面性的評價。因此為了更加有效的輔助相關的網絡管理人員,對于相關的網絡安全問題予以明確的評估,安全分析模塊至關重要。安全分析模塊能夠通過對掃描調度模塊,所收集到的初始信息予以加工處理,重點是針對檢測過程當中所檢查出的隱患問題予以分類統計,即某一類漏洞問題是從屬于操作系統、網絡服務程序或者是網絡傳輸等相關方面的漏洞,在處理完成之后將所得到的記過內容進一步發送至數據庫控制與報警系統中。
3.2 數據庫控制模塊
這一模塊的主要目標是為了實現漏洞信息庫和報警系統的信息交互。即:將掃描得到的漏洞信息匯總至報警系統當中;亦或是將新型的漏洞問題進行記錄處理,并及時的上報至數據庫當中。
3.3 漏洞信息數據庫
漏洞信息數據庫主要是存儲漏洞掃描、危害狀況以及相關的補救內容等信息。
3.4 報警系統
報警系統重點是依據數據庫的檢索模塊,以及相關的安全隱患問題分析,來形成具體的安全評估報告,報告的形式可選用直方圖、餅狀圖以及HTML三種。
(1)直方圖:可主要用于對安全漏洞的直觀展示。(2)餅狀圖:可主要用于對不同程度漏洞的百分比展示。(3)HTML文件:可主要用于給予遠端用戶報告漏洞信息,以及操作系統的安全程度,同時提出相應的改進措施。
4 安全監控系統
4.1 監測網絡的流量
首先,為了滿足于對全網絡流量的監控要求,則必然要將監控系統安排于網絡系統的各個交換節點之上。這主要是由于所有出入網絡系統的數據內容,均需經過此交換結點。另外,還要使交換結點之上的設備網卡格式,設置于混音格式,以促使進出于網絡當中的數據包均能夠被交換節點的設備獲取。其次,要做到對網絡的實時性流量監測,就必須要掌握不同網絡訪問的流量改變規律,同時采用特征性文件的方式將其保存于系統之中。
4.2 監控網絡的連接情況
因為在TCP/IP端的協議涉及,最初未能夠考慮較多的安全因素,這也便是造成當前大量惡意網絡攻擊是由TCP/IP端的薄弱環節采取攻擊行為。要加強在這一方面的防范工作,通常較為實用的方法便是采用防火墻充當,具體的防范原理如圖2所示。實際的連接情況為防火墻在接收到了SYN的命令請求之后,便會向客戶機發送SYN/ACK數據,并在回饋接收到了客戶機方面的ACK之后,才能夠向服務器發送建立連接的請求。此種方式能夠確保內部服務器免受外界網絡攻擊。
5 結語
綜上所述,本文在電臺工作中首先正對計算機網絡的安全狀況,以及相關的網絡安全技術予以了詳細的闡述,重點分析了網絡安全技術當中的檢測技術內容。并在對于這一技術的細致分析基礎上,結合以相關掃描、分析與監控技術,設計出了一個整體性的網絡安全檢測以及監控系統結構模型,同時針對這當中的核心技術予以了系統化的構建。最終希望借助于本文的分析研究,能夠促使相關的網絡安全檢測,以及相關監控系統的功能性能夠更加的趨向于完善性,確保電臺網絡安全。
參考文獻
[1] 何冀東.基于網絡重要度的貨運計量安全檢測監控設備布局優化方法及應用研究[D].北京交通大學,2013(11).
[2] 孫凌潔,鐘于勝,沈焱萍等.網絡漏洞安全檢測系統的研究與設計[J].廣東農業科學,2014(1).
[3] 曹立銘,趙逢禹.私有云平臺上的虛擬機進程安全檢測[J].計算機應用研究,2013(5).
[4] 蔡翔.有關計算機網絡安全的檢測與監控技術探討[J].計算機光盤軟件與應用,2012(12).
[5] 許佳森,楊傳斌.基于WinSock DLL 的網絡安全檢測方法研究[J].微機發展,2015(1).
(一)缺乏安全防范意識。
就目前我國各個油田企業的網絡發展情況來看,很多油田企業事先并沒有做好安全防范工作,往往都是網絡安全事故發展之后,才采取措施去解決的。這樣一來,造成了信息泄露,對油田發展十分不利。我國油田企業普遍缺少安全防范意識,這對于油田網絡安全管理十分不利,同時也將嚴重制約了我國油田企業朝著更好方向發展。
(二)網絡安全問題應急措施存在缺陷。
隨著社會經濟的發展,網絡安全問題呈現著新的發展趨勢,傳統觀念和經驗已經無法滿足當下油田網絡安全問題。我國很多油田企業處理網絡安全問題時,依舊利用傳統經驗辦事,這樣一來,很難有效解決問題,造成了故障的滯留,從而帶來較大的損失。
(三)缺乏科學技術投入。
有些油田企業的網絡設備未能跟上時展潮流,依舊停留在初始階段,一些系統設備較為陳舊,不利于當下油田信息化建設發展,影響了油田企業生產效率和經濟效益。究其原因,主要是缺乏科學技術投入,對落后設備不能進行及時有效更新,導致網絡運行不穩定,并且出現網絡安全問題。
二、油田企業網絡安全管理和防護建設措施研究
(一)建立網絡安全預警機制。
網絡安全預警機制的建立,將在很大程度上對入侵的木馬、病毒進行阻擋和預警,可以有效保護油田企業網絡安全。建立網絡安全預警機制,應該注意以下幾點問題:(1)對網絡安全設備進行及時更新,確保相關設備跟上時展潮流,具有一定的先進性。油田網絡安全設備主要涉及到CPU、流量測試設備、接口設備、網絡設備等,確保這些設備的先進性能,將有利于預警功能實現;(2)設置多樣化的警告方式,確保預警機制能夠起到重要作用。網絡預警機制,需要設置相應軟件進行預警監控,多樣化的警告方式,可以保證預警作用實現,避免單一預警信號失去效用;(3)建立相應數據監控系統,通過對數據監測,可以更好發現故障出處,有利于故障解決。在進行實際工作中,一些故障問題具有普遍性,建立數據監控系統,對故障數據進行存儲,可以方便日后故障處理,保證網絡運行穩定性。
(二)提高安全防范意識。
網絡安全防范意識的提升,從主觀上意識到網絡安全重要性,對于網絡安全管理以及防護建設具有重要意義。油田企業日常工作過程中,要注意網絡安全的維護,并且對企業員工灌輸網絡安全防護意識,大家在使用網絡時,不去瀏覽非法網頁,硬盤使用時記著查殺病毒,這樣一來,將在很大程度上切斷病毒傳輸途徑,確保網絡安全。同時,加大網絡安全維護意識以及防范意識,定期對垃圾文件進行清理,安裝病毒防火墻,檢查計算機系統是否存在漏洞,并且進行及時修復。
(三)注重網絡安全維護隊伍建設。
建立一支高素質的網絡人才隊伍,對于解決網絡安全管理問題具有重要作用。我國油田企業為了更好實現網絡安全,應該注意高素質人才隊伍建立,讓這支高素質的網絡人才隊伍,服務于網絡安全管理和防護建設當中,將更加有利于實現網絡安全目的。油田企業建立網絡人才隊伍,應該切實發揮人才在網絡安全管理中的重要作用,為油田企業網絡安全管理維護貢獻自身的力量。同時,油田企業還應該加強網絡安全技術交流,讓網絡安全人才與其他企業的人才進行交流,學習和借鑒先進經驗,更好服務于企業網絡安全管理與防護建設的工作當中。除此之外,企業在網絡安全人才建設過程中,應注意采取靈活的人才管理機制,激發員工工作熱情,為網絡安全人才提供廣闊的發展空間。
三、結束語
電視臺給予網絡安全相當高的重視程度,是因為電視節目播出的安全性和信息的保密性是電視臺的追求和目標。電視臺的網絡信息極其關鍵,它掌控電視臺的存亡。要使電視節目安全播出,電視臺網絡安全不容忽視。廣播電視臺在傳播信息時,信息傳輸速度和質量的提高往往會依靠計算機技術,然而,計算機技術的網絡風險極大,信息容易外泄或遭受竊取。隨著時代的發展,電視臺網絡安全遇到了極大的挑戰和機遇,提高網絡的安全性義不容緩,網絡安全建設是一個龐大的建設。
2電視臺網絡安全的重要性以及網絡安全的問題
2.1電視臺網絡安全的重要性。在廣播電視臺的發展中,互聯網與信息技術是必不可少的。然而,互聯網的快速發展以及信息技術的迅速提升使之出現了網絡安全問題,隨之也成為廣播電視臺極其重視的問題。對于廣播電視臺來說,網絡安全是極為重要的,對其能否正常運行有著重大的意義。相應的工作人員都應給予網絡安全高度重視,了解其重要性。第一,電視臺網絡安全是數據信息傳輸時的保障,是處理信息時的安全保障,保障信息不外泄或被竊取。第二,提高電視臺處理信息的速度和提升其能力,都以網絡安全為基礎,提高互聯網應用能力也以網絡安全為保障。第三,網絡安全的穩定,電視臺的信息與數據才能得到保護并有效地處理。因此,為了保護電視臺信息不被竊取等外部攻擊,管理者必須采取相應措施來加強建設網絡安全,推動電視臺與廣播的發展。2.2電視臺網絡安全的問題。電視臺網絡安全的問題不容忽視,更是亟待解決的一大問題。首先,在網絡硬件系統中占有重要地位的信息系統硬件在保護網絡安全和信息安全的過程中起到了主要的作用。然而,現如今大多數信息系統硬件的安全系數較低,存在著極大的安全隱患。一些只為了追求網絡信息的數量,而忽略了信息建設是否安全,導致許多地方的網絡技術沒有人監管,而給病毒有了可乘之機,使得病毒在網絡上瘋狂繁殖。病毒可以控制電腦、破壞電腦,以及攻擊特定的服務器,導致局域網的總臺遭受癱瘓。無孔不入的病毒帶來的毀滅性是強大的,網絡安全受到嚴峻的挑戰。其次,物理運行環境的好壞也影響著網絡安全的問題。如果計算機在惡劣的物理環境下運行,比如在發生雷電、火災的情況下,計算機就不能正常運行,設備也會受到損壞而發生故障。
3電視臺網絡安全解決對策
3.1加強網絡安全技術。第一,設置防火墻。防火墻是保障網絡安全的重要渠道,它能防止黑客以及一些不良信息入侵電視臺的網絡,能提高電視臺網絡防御能力,確保電視臺信息數據得到安全的保障。第二,使用防毒軟件。使用防毒、殺毒軟件也是保障網絡安全的重要手段之一。防毒軟件能有效地阻擋病毒的入侵,具有較強的防毒功能。根據當地電視臺的實際情況安裝相適應的防毒軟件,能有效地加強網絡的安全性,防止病毒入侵摧毀網絡系統設備。第三,使用密碼技術。在如今信息傳輸和數據通信的時代下,密碼技術是不可缺少的。密碼技術能有效地防御信息外泄,保護網絡的安全。密碼技術對數據信息進行加密,運用信息解密和加密數據的方法來保障數據信息的安全。因此,廣播電視臺應對密碼技術重視起來,引進密碼技術并靈活地使用密碼技術于處理電視臺信息數據的過程中。3.2進行網絡安全檢測。在發送網絡信息之前,需對其進行檢測和檢查工作,并提前對信息進行監察以保障網絡系統的安全性,這就是安全檢測。廣播電視臺的信息之所以很復雜,是因為其數據來源范圍大,而這就會導致電視臺網絡安全受到威脅。為了數據信息能安全存放,這就需要引進安全檢測,防御信息處于危險的環境中,加強電視臺的網絡安全。3.3建立虛擬專有網絡。擁有優越的技術,促進虛擬專有網絡的發展。虛擬專有網絡在電視臺網絡安全發展中起到了一個重要的作用。現實網絡在虛擬專有網絡的掩護和保護之下,能夠有效地提高電視臺網絡的安全性,減少網絡攻擊電視臺的頻率。因此,廣播電視臺應把虛擬專有網絡投入應用當中。3.4加強安全管理,提高管理水平。電視臺網絡安全的管理工作非常重要,強大的安全管理能極大提高網絡的安全性。物理層面的安全管理是物理層面的網絡安全問題的必經之路,是因為物理層面既是獨特的,又是獨立的,而信息處理和交換的層面即指物理層。因此,廣播電視臺應高度重視物理層面的安全管理,根據不同的情況建立不同的物理層面,做好物理層面的隔離工作,符合網絡安全需求,使電視臺網絡安全得到提升。管理水平的高低也給廣播電視臺網絡安全帶來不同的影響。因此,建立一支高素質、懂技術、善于管理的員工隊伍是極其重要的。對外引進人才,對內加強崗位、員工培訓,適當激勵員工發展,這樣才能壯大隊伍,才能變得強大。擁有一支強大的員工隊伍,我們才能為新時代的電視臺提供更有效的網絡安全建設服務。3.5政策上的積極有力的支持。建設電視臺網絡安全不僅僅只是為了宣傳系統,還為造福百姓而努力著。但改造有線電視網絡安全以及整體轉換數字電視需要很多的財力、精力,需要政府部門的配合與支持。只有政府部門給予積極的支持,才能營造出一個良好的環境。轉換數字電視這項偉大的工程建設需要政府部門給予資金上的大力支持和理解,政府在政策和經濟上一并支持,才能有利于電視臺網絡安全的發展。
4總結
總而言之,新時代電視臺的網絡安全不容忽視。由于網絡信息數量增長迅速和快速的信息傳播速度,電視臺網絡安全受到威脅是不可避免的。電視臺的節目信息會遭到外泄,甚至被竊取,導致于電視臺無法進行正常運作。當信息傳輸渠道被破壞時,傳輸時間會增長,那么電視播放質量就會下降。而一些黑客還會篡改或者摧毀信息,使得電視臺網絡安全遭受嚴重的危害。因此,相關工作人員一定要認識到網絡安全的重要性和嚴峻性,加強網絡安全技術,采取相關的網絡安全解決對策,推動新時代電視臺網絡安全的發展。
作者:圖亞 單位:新疆博爾塔拉蒙古自治州精河縣電視臺
參考文獻:
[1]何雄彪.電視臺網絡安全解決方案的分析[J].決策與信息旬刊,2015(5):106.
[2]劉海蕓.廣播電視臺業務網絡網間安全方案設計[J].聲屏世界,2016(s1):45-47.
[3]楊璞.智能手機泄密風險分析及安全保密技術解決方案研究[J].網絡安全技術與應用,2015(4):138-139.
[4]程琦.計算機網絡信息安全影響因素與防范解析[J].網絡安全技術與應用,2016(2):6.
關鍵詞:電子政務系統;網絡安全;研究;應用
電子政務,即各級機關在實踐管理工作開展過程中需借助電子信息技術,打造分層結構、集中管理網絡管理環境,且推進電子政務系統由“功能單一”向“綜合政務網”轉變,從而提升整體政府服務水平,同時借助網絡平臺加強與公眾間的互動性,并營造雙向信息交流環境,有效應對計算機病毒、黑客攻擊、木馬程序等網絡安全問題。以下就是對電子政務系統網絡安全問題的詳細闡述,望其能為當前政府機構職能效用的有效發揮提供有利參考。
1.電子政務系統網絡安全研究
1.1網絡安全需求
就當前的現狀來看,電子政務系統網絡在運行過程中基于垃圾郵件攻擊、網絡蠕蟲、黑客攻擊、網絡安全威脅等因素的影響下,降低了服務質量。為此,當代政務系統針對網絡安全問題提出了相應的網絡安全需求:第一,網絡信息安全,即在電子政務系統操控過程中為了規避政務信息丟失等問題的凸顯,要求管理人員在實踐信息管理過程中應從信息分級保護、信息保密、身份鑒別、網絡信息訪問權限控制等角度出發,對可用性網絡信息實施管理,打造良好的網絡信息使用環境;第二,管理控制安全。即由于電子政務網絡系統需與Internet連接,因而在內部局域網、外部局域網管理過程中,應設置隔離措施,同時針對每個局域網用戶設定訪問限定資源,并針對用戶身份進行雙向認證,由此規避黑客攻擊等問題的凸顯。而在信息傳輸過程中,亦需針對關鍵應用信息進行加密,且配置網絡監控中心,實時掌控惡意攻擊現象,并做出及時響應;第三,統一管理全網,即為了降低網絡安全風險問題,要求當代電子政務網絡系統在開發過程中應制定VLAN劃分計劃,且針對通信線路、訪問控制體系、網絡功能模塊等實施統一管理,規避非法截獲等安全問題[1]。
1.2網絡安全風險
(1)系統安全風險。就當前的現狀來看,我國UNIX、Windows、NETWARE等操作系統本身存有安全隱患問題,因而網絡侵襲者在對系統進行操控過程中,可借助系統漏洞,登錄服務器或破解靜態口令身份驗證密碼,訪問服務器信息,造成政務信息泄露問題。同時,在電子政務系統網絡管理過程中,部分管理人員缺乏安全管理意識,從而未及時修補系統漏洞,且缺乏硬件服務器等安全評定環節,繼而誘發了系統安全風險。此外,基于電子政務網絡系統運行的基礎上,侵襲者通常在公用網上搭線竊取口令字,同時冒充管理人員,向系統內部局域網直入嗅探程序,從而截獲口令字,獲取網絡管理權限,造成電子政務系統信息損失。為此,為了規避信息截獲等網絡安全問題的凸顯,要求管理人員在實踐管理工作開展過程中應針對操作系統、硬件平臺安全性進行檢測,且健全登錄過程認證環節,打造良好的電子政務系統服務空間,滿足系統運行條件,同時實現對登陸者操作的嚴格把控。(2)應用安全風險。電子政務系統網絡運行中應用安全風險主要體現在以下幾個方面:第一,網絡資源共享風險,即各級政府機構在網絡辦公環境下,為了提升整體工作效率,注重運用網絡平臺共享機關機構組成、政務新聞、政務管理程序等信息。而若某工作人員將政務信息存儲于硬盤中,將基于缺少訪問控制手段的基礎上,造成信息竊取行為;第二,電子郵件風險,即某些不法分子為了獲取政務信息,將特洛伊木馬、病毒等程序植入到郵件中,并發送至電子政務系統,從而通過程序跟蹤,威脅電子政務系統網絡安全性。為此,管理人員在對電子政務系統進行操控過程中應提高對此問題的重視程度,同時強調對垃圾郵件的及時清理[2];第三,用戶使用風險,即在電子政務系統平臺建構過程中,為了規避網絡安全風險問題,設置了“用戶名+口令”身份認證,但由于部分用戶缺乏安全意識,繼而將生日、身份證號、電話號碼等作為口令字,從而遭到非法用戶竊取,引發政務信息泄露或攻擊事件。為此,在系統操控過程中應針對此問題展開行之有效的處理。
2.電子政務系統網絡安全設計應用
2.1系統安全
在電子政務系統應用過程中,為了打造良好的網絡運行空間,在系統設計過程中應融合防火墻隔離、VLAN劃分、HA和負載均衡、動態路由等技術,并在電子政務網絡結構部署過程中,將功能區域劃分為若干個子網結構,同時合理布設出入口,并實時清理故障清單,從根本上規避網絡安全風險問題。同時,在操作系統安全設置過程中,應針對安全配置安全性進行檢測,并限定etc/host、passwd、shadow、group、SAM、LMHOST等關鍵文件使用權限,且加強“用戶名+口令”身份認證設置的復雜性,避免操作風險的凸顯[3]。此外,在電子政務系統操控過程中,為了確保系統安全性,亦應針對系統運行狀況做好打補丁操作環節,并及時升級網絡配置,營造安全、穩定的系統運行空間。
2.2訪問控制
在電子政務系統網絡安全應用過程中加強訪問控制工作的開展是非常必要的,為此,首先要求管理人員在系統操控過程中應結合政務信息的特殊性,建構《用戶授權實施細則》、《口令字及賬戶管理規范》等條例,并嚴格遵從管理制度要求,實現對網絡環境的有效操控。同時,在網絡出入口等網絡內部環境操控過程中,應設置防火墻設備。例如,在Switch、Router安全網絡域連接過程中,即需在二者間設置防火墻,繼而利用防火墻IP、TCP信息過濾功能,如,拒絕、允許、監測等,對政務信息形成保護,同時在網絡入侵行為發生時,及時發出警告信號,且針對用戶身份進行S/Key的驗證,達到網絡訪問控制目的[4]。其次,在網絡訪問控制作業環節開展過程中,為了規避電子政務網內部服務器、WWW、Mail等攻擊現象,應注重應用防火墻應用功能,對安全問題進行有效防控。
2.3數據保護
電子政務數據屬于機密性信息,因而在此基礎上,為了規避數據泄露問題的凸顯影響到社會的發展,要求我國政府部門在電子政務系統運行過程中,應擴大對《上網數據的審批規定》、《數據管理管理辦法》等制度的宣傳,同時在PC機管理過程中,增設文件加密系統,并對訪問者進行限制,最終實現對數據的高效保護。其次,在對SYBASE等通用數據庫進行保護過程中,應增設訪問/存取控制手段,同時完善身份驗證、訪問控制、密碼機制、文件管理等功能模塊,從而通過角色控制、強制控制等方法,對數據形成雙層保護,并加強假冒、泄露、篡改等現象的管理,保障系統網絡安全性[5]。再次,在政務數據使用、傳輸過程中,應定期檢測服務器內容完整性,例如,WWW服務器、FTP、DNS服務器等信息,滿足政務信息使用需求,同時提升政府服務水平。
3.結論
綜上可知,傳統電子政務系統網絡管理工作實施過程中逐漸凸顯出信息截獲、信息泄露等問題,影響到了各級政府機關服務水平。因而在此基礎上,為了實現對網絡安全風險問題的有效處理,要求管理人員在實際工作開展過程中應注重加強安全管理工作,同時從數據保護、訪問控制、系統安全等角度入手,對政務系統網絡環境形成保護,滿足電子政務網絡系統應用需求。
作者:韓戴鴻 鄔顯豪 徐彬凌 胡大川 錢誠 單位:常州市科技信息中心
參考文獻:
[1]王淼,凌捷,郝彥軍.電子政務系統安全域劃分技術的研究與應用[J].計算機工程與科學,2010,12(8):52-55.
[2]魏武華.電子政務系統的網絡架構及其應用研究[J].計算機時代,2013,12(7):13-16.
[3]唐志豪,郝振平.我國電子政務審計的現實模式——基于本土環境和國際經驗借鑒的研究[J].審計研究,2014,15(3):38-44.
現階段我國的科學技術有了很大程度上的發展,在通信網絡領域也如火如荼的進行著,但是在另一方面的通信網絡安全問題也愈來愈突出。故此,這就需要加強對通信網絡安全技術的理論研究,從而更好的指導實踐操作。本文主要就通信網絡安全問題以及關鍵技術進行詳細分析探究,希望此次研究對我國實際通信網絡的發展有所裨益。
關鍵詞
通信網絡;安全技術;安全問題
進入到新的發展時期,信息技術的應用就比較重要,這對人們的生產生活都有著促進作用,所以保障通信網路的安全也就比較重要。在當前通信網絡的功能愈來愈大,而在相應設備方面也愈來愈復雜化,而其自身的安全也依賴著網絡管理以及設備自身的安全等,這樣在對通信網絡安全的防護上就受到很大限制。通過將安全技術在通信網絡中加以應用就有著其必要性。
1通信網絡安全的主要問題分析
1.1通信網絡安全問題分析通信網絡是信息傳遞的重要載體,并且對諸多用戶也是公開透明的,所以在具體的使用過程中就比較難以讓人們在安全性上放心。信息的傳遞過程中也會比較容易被竊取以及破壞,從通信網絡安全問題方面的具體內容來看,主要就是信息遭到泄露,對信息的傳遞以及威脅過程中,一些沒有授權的用戶采用了非法手段對信息進行竊取。還有是抵賴問題,這主要是在信息的發送中雙方實體對各自的行為進行抵賴否認,從而造成了網絡通信協議以及實際應用的規則遭到了破壞等。除此之外,還有就是一些信息數據造成完整的破壞,從而就造成了通信雙方在信息收發上不能夠一致化。然后在非授權對信息的使用過程中,主要就是通信網絡和其中信息遭到了非法破壞,從而造成了網絡產生非預期的結果,比較常見的就是管理層面的失控以及信息的擁堵等問題。
1.2通信網絡安全服務方法分析從通信網絡安全服務的方法層面來看,主要有完整性鑒別以及認證和保密等幾個重要層面。其中的認證主要是用于確信參與者實體在通信當中的身份真實性;而保密的方法則是基于信息的可逆變換對信息的泄漏問題以及非授權使用問題得到有效預防。還有就是完整性鑒別的方法,能夠對蓄意的信息進行完整刪除以及重放等問題得到解決。除此之外,還有對通信網絡的訪問控制的方法,也就是對資源安全級別進行劃分,從而確定禁入及禁出的原則,加強對資源流動范圍進行有效控制。由于通信網絡涉及的環節相對比較多,需要詳細全面的考慮,所以在對一些關鍵技術的應用上就比較重要。
2通信網絡安全關鍵技術分析
通信網絡安全技術是多樣的,通過對這些關鍵技術的有效應用就能對網絡通信的安全得到保障。其中的信息加密技術是比較常用的一種,是在通信網絡的信息傳輸過程中作為常用技術加以應用的,從而保障傳輸信息的安全性。具體而言主要是對兩節點間各種控制協議以及管理信息過程中獲得保密性,在實際應用信息加密技術的時候就常常采取端到端的加密技術以及鏈路加密技術的方式,從而能夠將信息的分析難度得到進一步的提升。通過這一關鍵技術的應用,就能有效的對傳輸信息的安全性得以保障。
再者,對于通信網絡入侵檢測技術的應用也比較重要,這一關鍵技術是對通信網絡中的入侵行為進行的有效識別,然后進行及時報警,對網絡安全的保護作用相對較強。這是在計算機網絡當中應用比較有效的一種安全技術,而將其在通信網絡的安全保護中加以借鑒也能起到很好的網絡保護措施。對通信網絡的入侵檢測是比較重要的,這就需要針對此進行加強設計,從而構建一個比較科學化的入侵檢測系統。在具體設計過程中有節點入侵檢測系統以及網絡入侵檢測系統,這就需要對這兩種情況加以重視,選取比較恰當的方法并針對特定通信網協議,通信網絡的入侵檢測系統的設計要向著實時檢測以及分布式互動等方向進行邁進。另外,對于通信網絡的安全關鍵技術在內部協議的安全方面也比較重要,通信網絡在實際的運行中就會有諸多的控制協議,這也是對網絡的連接以及對信息資源分配使用進行維持的重要保障。在通信網絡的攻擊層面有很多是對協議的攻擊而造成的,故此,這就需要加強對通信網絡的內部協議的安全保護,將數據信息的安全完整性得到有效保障。由此才能真正的將通信網絡安全得到有效保證。
加強對通信網絡的結點內系統安全的保障也比較重要,通信網絡的結點設備是多方面的,其中有路由器以及交換機和網絡設備等。所以要能夠結合網內結點設備配置通過一定安全目標作為指南進行實施多種如入侵檢測以及防火墻等技術,這樣才能全方位的將信息得到有效保障。在當前我國的通信網絡不斷發展下,以WEB為基礎的遠程維護管理技術也愈來愈廣泛,這就需要在通信網節點內系統的安全策略制定過程中得以充分重視。
網絡故障的檢測以及保護倒換等方面也要能夠充分重視,從故障檢測方面來說主要是通信網絡在出現故障過程中網絡運營商要能夠故障檢測下及時的獲得故障的信息,然后及時的采取措施進行實行補救處理,保障通信網絡的安全。再有是保護倒換方面就是在傳輸網節點以及鏈路發生故障的時候進行實施保護倒換,從而就能夠起到網絡保護的效果。最后就是實施通信網絡的安全效果評估,這是對整體的通信網絡規劃以及安全策劃制定實施的保障措施,也是對整個的通信網絡運行環境和安全效果的評估,從而能夠有利于通信網絡的安全運行。
3結語
總而言之,對當前我國的通信網絡安全問題的管理,要從實際出發,針對性的對其中的安全問題加以解決,保障這一領域的安全并非是朝夕就能實現,所以要能制定長遠的計劃。處于當前通信網絡的迅速發展過程中,必須要對通信安全的問題得以重視,積極地應用多種有效的技術加以應對,如此才能保障我國通信網絡的安全穩定發展。
參考文獻
[1]陳敏娜.論通信網絡安全維護[J].企業家天地.2014(03)
[2]魏亮.通信網絡安全分層及關鍵技術[J].世界電信.2013(03)
[3]徐茂.通信網絡安全的系統、實現與關鍵技術[J].電子政務.2014(Z1)
