前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全概念主題范文,僅供參考,歡迎閱讀并收藏。
針對當前網絡安全態勢信息的共享、復用問題,建立一種基于本體的網絡安全態勢要素知識庫模型,來解決無法統一的難題。利用網絡安全態勢要素知識的多源異構性,從分類和提取中建立由領域本體、應用本體和原子本體為組成的網絡安全態勢要素知識庫模型,并通過具體態勢場景來驗證其有效性。
【關鍵詞】
網絡安全態勢感知;本體;知識庫;態勢場景
現代網絡環境的復雜化、多樣化、異構化趨勢,對于網絡安全問題日益引起廣泛關注。網絡安全態勢作為網絡安全領域研究的重要難題,如何從網絡入侵檢測、網絡威脅感知中來提升安全目標,防范病毒入侵,自有從網絡威脅信息中進行協同操作,借助于網絡安全態勢感知領域的先進技術,實現對多源安全設備的信息融合。然而,面對網絡安全態勢問題,由于涉及到異構格式處理問題,而要建立這些要素信息的統一描述,迫切需要從網絡安全態勢要素知識庫模型構建上,解決多源異構數據間的差異性,提升網絡安全管理人員的防范有效性。
1網絡安全態勢要素知識庫模型研究概述
對于知識庫模型的研究,如基于XML的知識庫模型,能夠從語法規則上進行跨平臺操作,具有較高的靈活性和延伸性;但因XML語言缺乏描述功能,對于語義豐富的網絡安全態勢要素知識庫具有較大的技術限制;對于基于IDMEF的知識庫模型,主要是通過對入侵檢測的交互式訪問來實現,但因針對IDS系統,無法實現多源異構系統的兼容性要求;對于基于一階邏輯的知識庫模型,雖然能夠從知識推理上保持一致性和正確性,但由于推理繁復,對系統資源占用較大;基于本體的多源信息知識庫模型,不僅能夠實現對領域知識的一致性表達,還能夠滿足多源異構網絡環境,實現對多種語義描述能力的邏輯推理。如AlirezaSadighian等人通過對上下文環境信息的本體報警來進行本體表達和存儲警報信息,以降低IDS誤報率;IgorKotenko等人利用安全指標本體分析方法,從拓撲指標、攻擊指標、犯罪指標、代價指標、系統指標、漏洞攻擊指標等方面,對安全細心及事件管理系統進行安全評估,并制定相應的安全策略;王前等人利用多維分類攻擊模型,從邏輯關系和層次化結構上來構建攻擊知識的描述、共享和復用;吳林錦等人借助于入侵知識庫分類,從網絡入侵知識庫模型中建立領域本體、任務本體、應用本體和原子本體,能夠實現對入侵知識的復用和共享。總的來看,對于基于本體的網絡安全態勢要素知識庫模型的構建,主要是針對IDS警報,從反應網絡安全狀態上來進行感知,對各安全要素的概念定義較為模糊和抽象,在實際操作中缺乏實用性。
2網絡安全態勢要素的分類與提取
針對多源異構網絡環境下的網絡安全狀態信息,在對各要素進行分類上,依據不同的數據來源、互補性、可靠性、實時性、冗余度等原則,主要分為網絡環境、網絡漏洞、網絡攻擊三類。對于網絡環境,主要是構建網絡安全態勢的基礎環境,如各類網絡設備、網絡主機、安全設備,以及構建網絡安全的拓撲結構、進程和應用配置等內容;對于網絡漏洞,是構成網絡安全態勢要素的核心,也是對各類網絡系統中帶來威脅的協議、代碼、安全策略等內容;這些程序缺陷是誘發系統攻擊、危害網絡安全的重點。對于網絡攻擊,主要是利用各種攻擊手段形成非法入侵、竊取網絡信息、破壞網絡環境的攻擊對象,如攻擊工具、攻擊者、攻擊屬性等。在對網絡環境進行安全要素提取中,并非是直接獲取,而是基于相關的網絡安全事件,從大量的網絡安全事件中來提取態勢要素。這些構成網絡威脅的安全事件,往往被記錄到網絡系統的運行日志中,如原始事件、日志事件。
3構建基于本體的網絡安全態勢要素知識庫模型
在構建網絡安全態勢要素知識庫模型中,首先要明確本體概念。對于本體,主要是基于邏輯、語義豐富的形式化模型,用于描述某一領域的知識。其次,在構建方法選擇上,利用本體的特異性,從本體的領域范圍、抽象出領域的關鍵概念來作為類,并從類與實例的定義中來描述概念與個體之間的關系。如要明確定義類與類、實例與實例之間、類與實例之間的層次化關系;將網絡安全態勢要素知識進行分類,形成知識領域本體、應用本體和原子本體三個類別。
3.1態勢要素知識領域本體
領域本體是構建網絡安全態勢要素知識庫的最高本體,也是對領域內關系概念進行分類和定義的集合。如核心概念類、關鍵要素類等。從本研究中設置四個關鍵類,即Context表示網絡環境、Attack表示網絡攻擊、Vulnerability表示網絡漏洞、Event表示網絡安全事件。在關系描述上設置五種關系,如isExploitedBy表示為被攻擊者利用;hasVulnerability表示存在漏洞;happenIn表示安全事件發生在網絡環境中;cause表示攻擊引發的事件;is-a表示為子類關系。
3.2態勢要素知識應用本體
對于領域本體內的應用本體,主要是表現為網絡安全態勢要素的構成及方式,在描述上分為四類:一是用于描述網絡拓撲結構和網絡配置狀況;二是對網絡漏洞、漏洞屬性和利用方法進行描述;三是對攻擊工具、攻擊屬性、安全狀況、攻擊結果的描述;四是對原始事件或日志事件的描述。
3.3態勢要素知識原子本體
對于原子本體是可以直接運用的實例化說明,也最底層的本體。如各類應用本體、類、以及相互之間的關系等。利用形式化模型來構建基于本體的描述邏輯,以實現語義的精確描述。對于網絡拓撲中的網絡節點、網關,以及網絡配置系統中的程序、服務、進程和用戶等。這些原子本體都是進行邏輯描述的重點內容。如對于某一節點,可以擁有一個地址,屬于某一網絡。對于網絡漏洞領域內的原子本體,主要有漏洞嚴重程度、結果類型、訪問需求、情況;漏洞對象主要有代碼漏洞、配置漏洞、協議漏洞;對漏洞的利用方法有郵箱、可移動存儲介質、釣魚等。以漏洞嚴重程度為例,可以設置為高、中、低三層次;對于訪問需求可以分為遠程訪問、用戶訪問、本地訪問;對于結果類型有破壞機密性、完整性、可用性和權限提升等。
3.4網絡安全態勢知識庫模型的特點
關鍵詞:安全事件管理器;網絡安全
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)08-10ppp-0c
1 相關背景
隨著網絡應用的發展,網絡信息安全越來越成為人們關注的焦點,同時網絡安全技術也成為網絡技術研究的熱點領域之一。到目前為止,得到廣泛應用的網絡安全技術主要有防火墻(Firewall),IDS,IPS系統,蜜罐系統等,這些安全技術在網絡安全防護方面發揮著重要的作用。但是隨著網絡新應用的不斷發展,這些技術也受到越來越多的挑戰,出現了不少的問題,主要體現在以下三個方面:
(1)眾多異構環境下的安全設備每天產生大量的安全事件信息,海量的安全事件信息難以分析和處理。
(2)網絡安全應用的發展,一個組織內可能設置的各種安全設備之間無法信息共享,使得安全管理人員不能及時掌網絡的安全態勢。
(3)組織內的各種安全設備都針對某一部分的網絡安全威脅而設置,整個組織內各安全設備無法形成一個有效的,整合的安全防護功能。
針對以上問題,安全事件管理器技術作為一種新的網絡安全防護技術被提出來了,與其它的網絡安全防護技術相比,它更強調對整個組織網絡內的整體安全防護,側重于各安全設備之間的信息共享與信息關聯,從而提供更為強大的,更易于被安全人員使用的網絡安全保護功能。
2 安全事件管理器的概念與架構
2.1 安全事件管理器概念
安全事件管理器的概念主要側重于以下二個方面:
(1)整合性:現階段組織內部安裝的多種安全設備隨時產生大量的安全事件信息,安全事件管理器技術注重將這些安全事件信息通過各種方式整合在一起,形成統一的格式,有利于安全管理人員及時分析和掌握網絡安全動態。同時統一的、格式化的安全事件信息也為專用的,智能化的安全事件信息分析工具提供了很有價值的信息源。
(2)閉環性:現有的安全防護技術大都是針對安全威脅的某一方面的威脅而采取防護。因此它們只關注某一類安全事件信息,然后作出判斷和動作。隨著網絡入侵和攻擊方式的多樣化,這些技術會出現一些問題,主要有誤報,漏報等。這些問題的主要根源來自于以上技術只側重對某一類安全事件信息分析,不能與其它安全設備產生的信息進行關聯,從而造成誤判。安全事件管理器從這個角度出發,通過對組織內各安全設備產生的信息進行整合和關聯,實現對安全防護的閉環自反饋系統,達到對網絡安全態勢更準確的分析判斷結果。
從以上二個方面可以看出,安全事件管理器并沒有提供針對某類網絡安全威脅直接的防御和保護,它是通過整合,關聯來自不同設備的安全事件信息,實現對網絡安全狀況準確的分析和判斷,從而實現對網絡更有效的安全保護。
2.2 安全事件管理器的架構
安全事件管理器的架構主要如下圖所示。
圖1 安全事件事件管理系統結構與設置圖
從圖中可以看出安全事件管理主要由三個部分組成的:安全事件信息的數據庫:主要負責安全事件信息的收集、格式化和統一存儲;而安全事件分析服務器主要負責對安全事件信息進行智能化的分析,這部分是安全事件管理系統的核心部分,由它實現對海量安全事件信息的統計和關聯分析,形成多層次、多角度的閉環監控系統;安全事件管理器的終端部分主要負責圖形界面,用于用戶對安全事件管理器的設置和安全事件警報、查詢平臺。
3 安全事件管理器核心技術
3.1 數據抽取與格式化技術
數據抽取與格式化技術是安全事件管理器的基礎,只要將來源不同的安全事件信息從不同平臺的設備中抽取出來,并加以格式化成為統一的數據格式,才可以實現對安全設備產生的安全事件信息進行整合、分析。而數據的抽取與格式化主要由兩方面組成,即數據源獲取數據,數據格式化統一描述。
從數據源獲取數據主要的途徑是通過對網絡中各安全設備的日志以及設備數據庫提供的接口來直接獲取數據,而獲取的數據都是各安全設備自定義的,所以要對數據要采用統一的描述方式進行整理和格式化,目前安全事件管理器中采用的安全事件信息表達格式一般采用的是基于XML語言來描述的,因為XML語言是一種與平臺無關的標記描述語言,采用文本方式,因而通過它可以實現對安全事件信息的統一格式的描述后,跨平臺實現對安全事件信息的共享與交互。
3.2 關聯分析技術與統計分析技術
關聯分析技術與統計分析技術是安全事件管理器的功能核心,安全事件管理器強調是多層次與多角度的對來源不同安全設備的監控信息進行分析,因此安全事件管理器的分析功能也由多種技術組成,其中主要的是關聯分析技術與統計分析技術。
關聯分析技術主要是根據攻擊者入侵網絡可能會同時在不同的安全設備上留下記錄信息,安全事件管理器通過分析不同的設備在短時間內記錄的信息,在時間上的順序和關聯可有可能準備地分析出結果。而統計分析技術則是在一段時間內對網絡中記錄的安全事件信息按屬性進行分類統計,當某類事件在一段時間內發生頻率異常,則認為網絡可能面臨著安全風險危險,這是一種基于統計知識的分析技術。與關聯分析技術不同的是,這種技術可以發現不為人知的安全攻擊方式,而關聯分析技術則是必須要事先確定關聯規則,也就是了解入侵攻擊的方式才可以實現準確的發現和分析效果。
4 安全事件管理器未來的發展趨勢
目前安全事件管理器的開發已經在軟件產業,特別是信息安全產業中成為了熱點,并形成一定的市場。國內外主要的一些在信息安全產業有影響的大公司如: IBM和思科公司都有相應的產品推出,在國內比較有影響是XFOCUS的OPENSTF系統。
從總體上看,隨著網絡入侵手段的復雜化以及網絡安全設備的多樣化,造成目前網絡防護中的木桶現象,即網絡安全很難形成全方面的、有效的整體防護,其中任何一個設備的失誤都可能會造成整個防護系統被突破。
從技術發展來看,信息的共享是網絡安全防護發展的必然趨勢,網絡安全事件管理器是采用安全事件信息共享的方式,將整個網絡的安全事件信息集中起來,進行分析,達到融合現有的各種安全防護技術,以及未來防護技術兼容的優勢,從而達到更準備和有效的分析與判斷效果。因此有理由相信,隨著安全事件管理器技術的進一步發展,尤其是安全事件信息分析技術的發展,安全事件管理器系統必然在未來的信息安全領域中占有重要的地位。
參考文獻:
關鍵詞:IT行業;計算機網絡安全;概念;工作效率;策略
引言
隨著現代計算機技術與網絡技術不斷創新發展,如今計算機網絡已經應用于各個領域。而互聯網絡為人們帶來便捷的同時,卻也隱藏著諸多的不安全因素,因此我們如今加強互聯網安全問題是必須要面對的。現代計算機信息網絡是互聯網絡發展的基礎,假如不能夠對計算網絡系統進行相應的安全保護措施,那么諸多網絡黑客、病毒就會從潛伏的狀態變得猖狂,讓計算機使用者蒙受巨大損失。因此,我們需要找到有效的措施來加強計算機網絡安全。
1 現代計算機網絡安全概述
1.1 現代計算機網絡安全的相關概念
現代計算機網絡指的是網絡系統中的硬件、軟件以及相關網絡系統的資料安全,而國際標準化組織將現代計算機網絡安全內涵定義為:能夠為信息處理系統構建與選擇有效的技術與管理措施防止計算機網絡信息遭到人為破壞與變更,可以為計算機網絡環境提供相對安全的保障,維持日常的運行。當前主要影響計算機互聯網絡安全的因素有病毒、黑客等,所以務必要構建完善的計算機網絡安全體系來保障我們的日常使用。
1.2 現代計算機網絡安全現狀分析
隨著現代網絡技術不斷發展,讓全球進入到信息化時代,然而隨著網絡信息技術不斷進步,卻逐漸滋生了網絡安全隱患。根據美國去年FBI數據統計顯示,每年美國社會中的網絡安全問題直接導致企業公司的損失就超過了80億美元,并且全世界平均每一分鐘就會出現三件網絡入侵事件,這可以說是嚴重影響到計算機網絡的使用。而在我國社會,由于計算機網絡技術起步較晚,發展相對滯后,因此讓國內諸多網站的病毒猖獗,嚴重影響到人們的日常工作。首先,個人網絡中的數據遭受到病毒的大肆入侵,使得數據信息直接崩潰;其次,用戶個人信息也直接被暴露。另外,地區政府的網站也被黑客所入侵,很多機要信息被泄露與篡改,影響到國家安全問題。
2 影響現代計算機網絡安全問題因素分析
2.1 病毒威脅因素
當前計算機網絡中的病毒攻擊是最常見的安全威脅因素,網絡病毒通常是以惡意程序為載體,然后借助一段代碼來表示,然后在計算機中擴散后會直接影響到整個計算機系統,使得計算機系統瀕臨崩潰,難以運行。在表面上似乎不會對計算機造成巨大的威脅,但是一旦這些病毒以軟件為載體安裝進計算機之后,就會大范圍蔓延,波及到其他的計算機軟件,進而讓整個計算機不能正常運行。并且這些病毒潛伏性較高,通常是難以將其徹底刪除的。
2.2 黑客入侵威脅因素
由于部分計算機存在著漏洞,因此讓許多黑客入侵,然后達到篡改信息、偷竊數據的目的,讓許多公司單位的信息暴露或者丟失。當前黑客入侵是計算機網絡安全中最大的威脅因素,因為這些黑客入侵通常有重要的目的,不會以破壞計算機網絡,反而通常是去偷竊重要的數據內容。許多黑客都是先分析將要入侵的計算機的情況,然后有選擇性地進入其數據庫。
2.3 網絡釣魚影響因素
當前許多人們關注了網絡購物活動,想要在網上買到物美價廉的貨物,這促使了網絡購物成為人們日常生活重要組成部分。但是也有一些不法分子用電子郵件等方式來進行網絡釣魚行為。通常這些人會將自己的網站偽造成為了某個品牌的網站進行促銷活動,亦或是吸引網友參與到抽獎中,然后實施詐騙行為,這會讓一些沒有提防的網友上當受騙,泄露出自己的信息、密碼等。
2.4 用戶自身的操作失誤因素
部分計算機用戶缺乏安全意識,很多時候并不能對安全防范工作引起重視,難以選擇正確的防范措施。并且有時候不小心泄露了賬號信息,讓別有用心的人具有可乘之機了。
2.5 網絡防火墻技術
這種技術是通過軟硬件來對計算機系統所接受的信息進行分類過濾與攔截的方式,也是現代計算機網絡安全中最基礎的防護措施。所以,我們完善自身的防火墻技術是十分必要的。首先,要設置安全的軟件系統,能夠為建筑高端防火墻技術夯實基礎,減少計算機防火墻部分功能的漏洞,進而做好內部保護工作。其次,這些計算機防火墻要對不同的信息數據進行過濾,降低使用網絡的安全,進而確保計算機信息安全。
2.6 安裝反病毒軟件
即便安裝了防火墻軟件之后,計算機網絡依然會遭受到病毒的侵蝕,所以務必要安裝相關的殺毒軟件。這些軟件有助于維護計算機網絡安全,并且方便用戶管理,自動對網絡病毒進行防御。假如計算機的病毒會在網絡資源中進行攻擊,那么用戶就要根據實際情況來安裝不同的軟件進行防范,在硬件、軟件、服務器網關等方面分別設防。
2.7 要及時安裝漏洞補丁程度
由于系統經常出現漏洞,這也為計算機網絡安全帶來了巨大影響,因此相關的軟件公司也不斷新的補丁程度彌補這些漏洞。而計算機用戶也要及時對這些補丁程序進行安裝,解決出現的安全問題。日常對漏洞進行掃描時,可以使用COPS、tiger等專門檢測漏洞的軟件進行掃描,亦或是使用360安全衛士、瑞星卡卡等國產的防護軟件來及時檢測掃描,并根據提示來下載相應的補丁。
2.8 不斷強化賬戶的安全性
許多計算機的賬號通常使用的是默認的密碼,這就給予了黑客可乘之機,因此用戶需要去設置一些復雜的密碼。并且進行設置過程中,避免用相似的信息去設置多個賬戶,并且盡可能將數字、字幕、特殊符號組合在一起,也需要定期進行修改,保障自身賬戶信息的安全。
3 結束語
我們務必要認識到,工作、生活中運用計算機網絡能夠為我們帶來巨大便捷同時,也要注意到網絡信息安全的風險,因此如何確保計算機網絡安全問題成為我們亟待解決的問題。隨著新時期計算機網絡安全的位置越來越重要,因此要找到更為廣闊的渠道來規避網絡威脅的風險,確保日常生活與工作的正常化發展。
參考文獻
[1]張紅剛.淺談計算機網絡安全與防范策略[J].新課程(教育學術),2012.
[2]彭 ,高 .計算機網絡信息安全及防護策略研究[J].計算機與數字工程,2011.
[3]方園.學校計算機信息系統安全管理措施分析[J].計算機光盤軟件與應用,2012.
[4]程 .計算機網絡安全的現狀及防范對策[J].湘潭師范學院學報(自然科學版),2007.
【關鍵詞】網絡安全;設備;專利;分析
1.概述
網絡安全設備作為保護互聯網安全的重要手段,從互聯網發明之初,就伴隨著互聯網共同成長。如今,網絡安全設備正成為各國的投資重點,據IDC(國際數據公司)公布的數據,在2015年第一季度,網絡安全設備工廠銷售收入和出貨量持續增長。全球廠商銷售收入同比增長了7.5%達到了23億美元,標志著該市場的銷售收入已經連續22個季度增長。單位出貨量增長達到526767,和去年同期相比增長了9.4%,這是出貨量連續第六個季度出現增長。
專利申請在一定程度上能夠反映一個行業的發展水平,通過對海量專利數據進行深層次的分析挖掘,幫助企業、科研機構等提升創新能力及競爭力,同時能夠為企業研發、戰略決策提供強有力的支撐。
2.全球發展趨勢分析
從全球來看,有關網絡安全設備的專利主要集中于防火墻、虛擬專用網絡(VPN)設備、入侵檢測/防護(IDS/IPS)設備、抗拒絕服務(DoS)攻擊設備以及災難恢復設備,其中防火墻、入侵檢測/防護(IDS/IPS)設備以及虛擬專用網絡設備所占比重最大,占全部網絡安全設備的64%。而抗拒絕服務(DoS)攻擊設備以及災難恢復設備分別占到總數的18%和9%,其他網絡安全設備占9%。
網絡安全設備的專利申請量在1995年后迅速增加,在2003年后達到頂峰,而我國有關網絡安全設備的專利直到2000年左右才出現。從2007年開始,由于受到世界經濟危機的影響,世界主要國家以及各大公司開始節省開支,縮減科研經費,因此,可以看到從2007年開始全球的網絡安全設備的專利申請量是在逐年遞減的,并且至2013年為止還沒有上升的跡象。而中國由于受經濟危機的影響較小,網絡安全設備相關專利的申請量僅在2008年和2009年有小幅停滯,隨后漲勢迅猛,并與2010年前后歷史性的超越了世界其他國家的申請量總和。其中,中國和美國的申請量最大,中美兩國6種主要網絡安全設備相關專利的申請量之和均超過了全球申請量的50%。
3.技術路線分析
第一代包過濾防火墻出現于1988年,由DEC公司的工程師們發明;1989-1990年AT&T實驗室的Dave Presetto, Janardan Sharma以及Kshitij Nigam開發出了第二代防火墻,并稱其為電路級網關;第三代應用級防火墻出現于1994年,第三代防火墻最大的優勢在于可以“理解”特定的應用及協議,并由此出現了WEB應用級防火墻。2004年9月,IDC首度提出“統一威脅管理”的概念,即將防病毒、入侵檢測和防火墻安全設備劃歸統一威脅管理(Unified Threat Management,簡稱UTM)新類別。IDC將防病毒、防火墻和入侵檢測等概念融合到被稱為統一威脅管理的新類別中,該概念引起了業界的廣泛重視,并推動了以整合式安全設備為代表的市場細分的誕生。在2008年左右,出現了防火墻與云技術相結合的云防火墻專利。2009年,著名咨詢機構Gartner提出為應對當前與未來新一代的網絡安全威脅,防火墻必需要再一次升級,并將其稱為“下一代防火墻(NGFW)”。
入侵檢測系統(IDS)的模型最早由Dorothy E. Denning于1984年提出,早期的IDS都都是基于模式匹配的入侵檢測,后來出現了基于神經網絡的IDS,入侵檢測系統可以利用神經網絡的學習能力來提取網絡數據的特征輪廓,通過構造智能化的神經網絡分類器來識別異常,從而達到檢測入侵行為的目的。2000年后,出現了基于數據挖掘的IDS的相關專利,由于該方案具有通用性(它可以處理各種結構化的數據)和自動處理的功能,因而可在許多不同的網絡環境中構建相應的入侵檢測系統。在2000年后還出現了基于人工免疫原理的自適應IDS的專利。
4.國內主要申請人分析
4.1設備企業專利
在網絡安全設備領域,國內相關專利的主要申請人有華為、中興、漢柏科技、杭州華三通信以及北京啟辰明星,上述5個公司在該領域顯示出了較強的研發實力,但是各個公司研發的側重點并不相同。
華為作為中國最知名的通信企業,其在網絡安全設備領域的專利申請是全方位的,其綜合研發能力位居中國申請人中的頭名。華為公司在網絡安全設備的主要領域中都有申請,其別突出的是災難恢復以及VPN領域,而在防火墻領域,華為公司的國內申請量雖然排在所有中國申請人的第一位,但優勢并不明顯,這顯示出在防火墻領域技術競爭較為激烈。
作為中國排名第二的通信企業,中興通信在主要網絡安全設備領域的專利申請覆蓋面并不像華為那么廣,中興通信的專利申請主要集中在災難恢復以及VPN上。其中,中興通信在災難恢復設備領域表現突出,申請量占到全國總申請量的20%左右,略微領先華為,但在其他方面,則全面落后于華為。中興通信與華為一樣,在IDS/IPS領域沒有太多的申請,國內巨頭在該領域的缺失,給予其他一些國內小型的網絡安全硬件廠商發展的空間。
北京啟明星辰公司專注于IDS/IPS領域,在這一領域的申請量遠超出華為、中興等公司,足見該公司的主要研發精力都集中在該領域,而在其他方面,北京啟明星辰公司幾乎都沒有涉足,顯示出該公司集中力量發展單一領域的策略。
5.總結
中國在信息網絡安全方面發展迅速,在防火墻和安全設備技術路線及發展方向,已經達到了國際先進水平,從專利情況分析中興、華為、啟明星辰等企業做了大量技術儲備,成為國內領先,但總體專利水平和數量與國外企業還有一定差距,需要國家與企業更加重視專利申請,提供整體技術水平。
【關鍵詞】云計算 網絡安全 防范措施
隨著科學技術的高速發展,我們在享受網絡帶來的便利的同時更應該注意網絡環境的安全。如今,網絡信息安全漏洞的威脅隨處可見,那么作為網絡用戶以及網絡消費者的我們應如何保護自己的網絡信息安全呢?了解計算機網絡安全是我們用戶保護自身網絡信息安全的必要基礎,而如何保護則是我們應認真思考的問題。
1 云計算的概念及特征
云計算,是在internet的基礎之上的一種新型的計算方式,通過這種計算方式,可以按照需要提供給計算機或者其他設備以軟硬件資源和信息等,以達成資源共享,它的分布式處理、云儲存和虛擬化技術很大程度地降低了成本以及便利化了網絡生活。云計算一般具備以下特點:第一,安全可靠性高的數據儲存中心;第二,方便快捷,消費者用戶可隨時獲取資源,按需要使用,無論何時都可以以量化方式去購買資源;第三,數據共享,云計算為不同設備之間的數據與應用提供了共享的平臺;第四,無限擴展性能,云計算為不同地域不同數量的用戶去使用網絡提供了無限可能。在云計算提供的環境下,避免了意外以及人為因素造成的計算機軟件硬件數據被竊取、篡改甚至惡意破壞,保證了計算機網絡數據信息的完整和安全。盡管如此,面向全球開放的互聯網仍會使得計算機網絡的安全性有所降低,因此,通過有效的防范措施來提高計算機網絡的安全是有必要的。
2 云計算環境下計算機網絡安全的現狀
2.1 云計算技術隱患
雖然服務商提供的云計算網絡技術給用戶們帶來了方便,但仍然直接牽制著用戶的網絡生活,一旦有服務器故障、中斷、無響應等情況發生,只能使用戶處于被動的不利狀態。在現有的科學技術領域內,internet以TCP/IP協議為核心取得了可觀的發展,但安全性問題仍然不可小視,虛假地址和虛假標簽即為其中最顯著的問題之一。
2.2 云計算網絡環境下急需解決的問題
首先是病毒軟件。在當前網絡環境下,用戶PC上的病毒軟件是一個難以攻克的問題。其次是違法黑客。現如今,業余黑客過渡為違法黑客的比例逐漸升高,并且云計算龐大的數據信息儲存對于違法黑客而言是極大的誘惑,他們利用強大的計算機電腦技術進入用戶的系統,對其信息數據進行竊取甚至破壞,導致“云用戶”對其的信任度有所降低。這些方面對云計算的網絡安全造成了極大的威脅,再加上當前缺乏完善的計算機網絡安全的政策法律的保護,很多時候用戶們只能束手無策,因此完善及強化云計算安全系統迫在眉睫。
2.3 云計算內部的安全隱患
由于互聯網的全球式開放,從而給不法之徒帶來了可趁之機。雖然云計算服務的企業或機構提供了商業上的信用保障,但是誰也無法保證在數據信息傳輸的過程中有無被劫取的情況發生。雖說用戶的私人信息對于其他用戶而言是具有保密性的,但是對其企業或機構的內部人員該保密性能是無效的。因此一旦內部發生狀況,極易導致用戶的個人數據信息泄露,從而使得該企業或機構產生信用危機。
3 改善及加強計算機網絡安全的具體措施
3.1 強化網絡安全系統
保證用戶的網絡數據信息安全是首要的,先是要避免用戶的資料被竊取或篡改,強化網絡身份識別系統,對于用戶在網絡上身份的確認和識別系統要定期更新強化,可降低被其他用戶或違法黑客侵入的可能性。信息傳輸的過程中極易發生信息被劫取的情況,因此要加強信息傳輸的監控系統,禁止非本用戶對其信息的修改,可避免信息的錯亂和對用戶造成的損失和影響。
3.2 強化網絡安全技術
3.2.1 防火墻技術
計算機網絡防護安全,抵御木馬以及病毒的攻擊,防火墻無疑是有力的武器。從概念上來說,防火墻技術是通過網絡拓撲結構和服務類型上的隔離來加強網絡安全的手段。對于一個企業的網絡防御系統來說,防火墻是必不可少的基礎設施。防火墻具有延展性和虛擬性,因此加強防火墻的技術結構以提高網絡的安全性是很有必要的。
3.2.2 認證和數字簽名技術
認證和數字簽名即使用戶的身份得以實現認證的重要工具,它采用了加密技術保證了數據信息文件等的機密性及完整性,防止第三方的冒充,強化了網絡環境的安全。
3.2.3 應用程序和服務器技術
服務器,對于有效避免不法黑客的攻擊,網站瀏覽的加速緩沖等起了很大的作用。在網絡生活中,必要程序的應用來防止外界因素如病毒、信息等的干擾是很有必要的,比如防毒程序,它有效地防止了病毒的入侵,提高了系統的安全性。
3.2.4 加密技術
加密技術是保證用戶信息安全的基礎技術,用戶在選擇程序的時候優先選擇具有加密功能的網絡程序,可加強其信息數據的安全保障,有效防止信息的泄露。
3.3 云計算環境下用戶自身確保信息安全的方法
首先,用戶本身要具有一定的網絡安全知識,樹立牢固的網絡環境安全意識,杜絕“網盲”現象。其次,云計算環境下面臨的網路安全問題是一個多領域、多方面的問題,僅僅靠服務商或是用戶自己本身就解決這個問題是不可能的,需要兩者間的合作互助,定期更新系統,加強網絡的安全防護,抵抗惡意因素的入侵干擾,降低甚至消除網絡環境的安全問題。
3.4 國家保護網絡安全的方法
我國目前出現的眾多偷竊、泄露、篡改等惡意破壞用戶個人信息安全的情況,歸根究底是我國還沒有一個真正完善的政策法律來保護網絡用戶的信息數據安全。云計算環境中的計算機網絡安全的強化保護,國家也應當出一份力,因此立法機關應該出臺相應政策來懲治存在以上行為的不法分子,以建立和諧的網絡環境。
參考文獻
[1]郭寧.淺析計算機網絡安全與防范[J].計算機光盤軟件與應用,2011,(19):86-86.
[2]高銀屏.淺析云計算中的計算機網絡安全[J].中國電子商務,2013,(7):43.
關鍵詞:網絡安全;教學改革;主動學習;任務驅動
一、引言
隨著計算機網絡的高速發展,人們對計算機網絡的依賴性日益增強,越來越多的信息和重要數據資源存儲和傳輸于網絡當中,通過網絡獲取和交換信息的方式已成為當前最主要的信息溝通方式之一。計算機網絡的使用平臺涵蓋了社會的各行各業,如電子商務、電子政務、網絡銀行等。然而,網絡安全威脅也日益增多,黑客入侵、拒絕服務攻擊(DoS)、分布式拒絕服務攻擊(DDoS)以及計算機病毒的廣泛傳播使得網絡安全技術成為了信息技術領域的重要研究課題。高等院校為了適應時代的發展,必須加強大學生對計算機網絡安全技術的學習,培養出符合社會要求的新型網絡安全方面的人才。
二、《網絡信息安全》課程的教學目標
在現代信息化的社會當中,網絡安全問題已成為各國政府普遍關注的問題。目前,國內的大部分高校都已開設了網絡信息安全方面的課程。《網絡信息安全》課程的目的,一方面是為了使學生掌握網絡安全的基本原理以及保障網絡安全的主要技術和方法,培養網絡信息安全方面的專業全才;另一方面在于加強學生的網絡安全意識,培養學生在實際工作和生活中解決一些網絡安全問題的實用人才,使學生能夠更好地滿足社會和企業的基本要求。
《網絡信息安全》課程的教學目標是使學生在已有的計算機原理和計算機網絡原理等理論基礎上,對網絡信息安全方面的理論知識以及計算機網絡安全系統有一個比較系統的、全面的了解。通過本課程的學習,使學生了解和掌握計算機網絡信息安全的基本概念、基本原理和工作方式,了解設計和維護安全的網絡及其應用系統的基本手段和常用方法,包括密碼技術、IDS技術、網絡攻擊技術、PKI技術、常見的網絡病毒與網絡黑客的防范技術、實現安全服務的方法和策略以及如何構建一個網絡安全體系。
三、《網絡信息安全》課程的特點
《網絡信息安全》是一門國家重點發展的新興學科,它涉及到計算機、數學、通信、電子、物理、法律、教育等學科的交叉領域,它既可以說是附屬于計算機學科,又可以說是一門獨立的學科。《網絡信息安全》這門課程注重理論與實踐相互關聯,其涉及的新技術、新概念、新問題以及新方法日新月異,發展極為迅猛。《網絡信息安全》作為一門課程本身具有以下特點:
第一,知識覆蓋面廣,知識更新快。《網絡信息安全》課程包括許多方面的理論知識:密碼學、網絡體系結構、防火墻、IDS(入侵檢測技術)等,它又涉及到網絡安全原理、網絡安全標準、黑客入侵以及計算機病毒的防治等,范圍非常廣。與此同時,網絡攻擊手段與網絡防范技術此消彼長,要想保證系統處于安全狀態,必須要保證網絡安全技術實時更新,才能更好地防患于未然。
第二,學生主體的多樣性和復雜性。高校一般擁有計算機網絡安全專業的學生和其他非計算機專業的學生,學習的主體具有多樣性和復雜性的特點。計算機網絡專業的學生是未來計算機網絡安全維護的主要技術力量,需要深入理解、掌握并且能夠熟練應用網絡信息安全方面的知識。而非計算機專業的學生是面向社會的計算機實用性人才,一般而言只需要掌握計算機網絡安全的基本知識,切實提高自身的網絡安全意識。
第三,實踐性強。學生要想掌握《網絡信息安全》這門課程的基本原理和技術應用,不僅需要擁有良好的預備知識,例如計算機網絡的基本原理、操作系統、數據通信等,還需要開展一定程度的實驗課程。《網絡信息安全》的課程不能離開實踐,否則只能是紙上談兵,讓學生興趣索然。例如防火墻的配置的實驗,學生只有實際地動手操作,才能深刻地領會其工作原理,掌握其工作方式。
四、《網絡信息安全》教學改革的探索
在新一輪的教學改革背景下,為了達到《網絡信息安全》課程設置的目的,就必須改變傳統的教學方法。針對《網絡信息安全》課程的特點,必須在教學模式、教學手段、實驗手段以及考核方式上進行變革。
1.教學模式的改革。在《網絡信息安全》的課程當中,教師應該采用創新的教學模式,切實提高教學質量。在以往的傳統教學模式中,教師常常“滿堂灌”,學生只是被動地接受而缺乏主動地進行思考。因此,在《網絡信息安全》的課程教學改革中,教師要積極推行啟發式教學,在課堂上加強和學生的互動,充分調動學生的學習積極性,通過“啟發式”、“互動式”、“案例式”以及“課堂提問”等形式,引導學生積極參與到課堂的教學當中,使學生積極主動地思考,提高學習質量。
2.教學手段的改革。《網絡信息安全》這門課程中涉及的概念較為抽象,十分瑣碎而又環環相扣,內容比較晦澀難懂,因此,教師必須采用一些現代化的教學手段,提高學生學習這門課的興趣。針對計算機專業的學生和非計算機專業的學生,教師應選取不同的角度去闡述知識,劃分不同的學習內容。隨著計算機網絡和多媒體技術的不斷發展,教師可以充分利用多媒體和網絡課程相結合的教學手段增強學生的感性認識和學習興趣,利用幻燈片、動畫、影片等更直觀地呈現出所授的知識內容。這種教學手段有利于學生在有限的時間內學到更多的知識,能夠實現以學生為中心的情景式教學方式,加強老師的教與學生的學的交流。在《網絡信息安全》的教學過程中,教師應該盡量避免枯燥的文字解讀,應多采用任務驅動法、案例法等進行實時教學。例如在教授關于黑客進行網絡攻擊的模塊時,教師可以使用仿真黑客模擬工具的方法修改學生的計算機密碼,讓學生意識到網絡安全的重要性,同時也使得課堂更富有實際意義。
3.實驗手段的改革。高校首先需要對實驗環境進行改進,《網絡信息安全》的許多實踐課程都需要在實驗過程中才能更好地被學生所理解。因此,學校必須建立一個專門的計算機網絡安全實驗室,構建一個小型的局域網絡,并且搭建專門的網絡安全實驗平臺。其次,需要建立完善的實驗室制度。《網絡信息安全》的實驗課程大都是對一些黑客軟件的應用,由于黑客軟件具有一定的攻擊性,難以監控每一個學生的操作,所以在安排實驗課程時要有嚴格的管理制度,要達到專人專機,建立嚴格的登記制度。對于黑客仿真軟件的使用,教師要嚴格管理其使用過程,避免部分學生因為好奇心驅使而攻擊一般網絡。另外,高校可以在《網絡信息安全》的實驗教學中利用虛擬機技術來解決實驗中所產生的網絡安全問題。最后,高校可以在實驗室中建立專用的安全工具資源數據庫,以便于學生進行網絡安全的自主學習和自由操作。
4.考核方式的改革。教師在設置《網絡信息安全》課程的考核方式時,首先必須要明確大學教育的主要目標不是為了考試的高分,而是為了增強學生的各項技能,提高學生解決實際問題的能力,通過考核使學生對自己的能力有一個正確的認識,能夠及時更正自己的學習方法和思維模式。針對《網絡信息安全》這門課程的課程性質,教師應該以實際動手能力測驗為主,以書面考試形式為輔進行綜合測評考核。考核形式可以讓學生通過團結合作或者分組討論去完成一些網絡安全維護的項目,將考核變成一個實際的操作任務,提高學生在處理網絡安全問題時的能力,增加課程的學習樂趣,以此達到更好的學習效果。
五、結束語
隨著社會的發展,信息安全技術必然會成為維護社會穩定的必要技術之一。因此,深入研究《網絡信息安全》課程的改革方法,培養高素質、高能力的網絡安全技術專才勢在必行。《網絡信息安全》課程的教學改革,不僅要提高學生對計算機網絡安全的使用能力,而且要增加學生的社會競爭技能。針對不同需求的學生群體,高校應積極探索有效的方法對該課程進行改革,以此來加強網絡安全課程的教學效果,提高課程教學質量,形成完整的計算機網絡安全教學體系。
參考文獻:
[1] 陳曉峰.淺析大學計算機網絡安全課程教學改革[J].教育界,2013,(28).
[2] 黃劍華,馬婷.信息安全課程教學模式的探索與創新[J].科技信息,2012,(13):226.
[3] 焦燕.高校計算機網絡安全課程教學改革初探[J].管理學家,2014.
[4] 習軍.高校計算機網絡安全課程教學改革與探索[J].科學導報,2015.
[5] 尹少平.談大學網絡安全課程教學與實訓[J].電腦知識與技術,2006,(20).
32學時 2學分
《網絡法概論》課程屬于法學本科專業的選修課程。該課程主要適用于法學本科專業,也可適用于非法學專業的選修課程。
本課程將系統地講述網絡法的基本范疇、基本制度和基本原理,網絡法的概念、特征、體系、淵源,國外電子簽名法,中國電子簽名法,電子商務主體制度,電子商務合同制度,電子商務消費者保護制度,電子政務法律制度,政府信息公開法律制度,國外的網絡安全法律制度,我國的網絡安全法律制度,網絡金融安全保護制度,網絡人格權保護制度,網絡個人信息保護制度,網絡知識產權保護制度,網絡虛擬財產保護制度,網絡犯罪制度,網絡管轄權制度,網絡證據法律制度等內容。
通過該課程的學習,使學生了解本學科的學科性質,熟悉學科的基本框架,準確理解學科的基本概念和基本理論,能夠靈活運用學科知識和理論分析和解決現實的法律問題。
一、課程目標
本課程力求以課程內容體系為綱,結合國內外網絡法研究中的最新成果和前沿觀點,及時反映中國網絡領域的最新進展和實踐探索。通過該課程的學習,使學生了解和掌握網絡法的基本概念、基本理論、基本技術方法和發展動態;在傳遞知識和思想的同時,引導和鍛煉學生的思維能力,能夠運用所學的理論和方法分析、解決網絡法實踐中的問題,對當代中國進行的法治建設進行正確的理解和判斷;結合學生的不同需求,設置相關的話題、案例和討論,增強學生適應社會、解決問題的能力,為未來從事相關工作打下堅實的基礎。
二、課程內容、要求及學時分配
1.主要教學內容
序號
章節
內容及要求
學時
備注
1
第1章
網絡法導論
理解網絡法的基本概念
了解網絡法的法律體系、法律淵源和基本原則
掌握網絡法的調整對象和內容體系
2
2
第2章
電子簽名法
掌握電子簽名和電子簽名法的基本概念
了解國外的電子簽名法
掌握我國的電子簽名法律制度
4
3
第3章
電子商務法
掌握電子商務和電子商務法的基本概念
掌握電子商務主體制度
掌握電子商務合同制度
掌握電子商務消費者保護制度
4
4
第4章
電子政務法
掌握電子政務和電子政務法的基本概念
掌握信息公開法法律制度
了解電子政務法的立法趨勢
4
5
第5章
網絡安全法
熟悉網絡安全與網絡安全立法的基本概況
了解國外網絡安全法的立法和發展
掌握我國網絡安全法律制度
4
6
第6章
隱私與個人信息保護法
掌握網絡環境隱私權保護制度
掌握個人信息保護法律制度
4
7
第7章
網絡財產法律制度
掌握網絡中的知識產權:版權、商標、域名等等
掌握虛擬財產的法律保護
6
8
第8章
網絡犯罪與網絡法律糾紛的解決
掌握網絡犯罪法律制度
掌握網絡管轄制度
掌握網絡證據制度
4
合 計
32
2.實驗安排內容
序號
實驗名稱
內容及要求
學時
合 計
三、師資隊伍
本課程負責人應具備副教授及以上職稱,原則上必須畢業于法學專業,多年從事法學專業的教學和科研工作,并具備五年以上相關課程的教學經驗。
本課程的教學隊伍可由2~4名教師組成。主講教師師資隊伍應該年齡層次合理,學歷層次為研究生,并且系統具備法學的基礎理論及良好的研究能力。
四、教材及教學參考
1.建議教材
劉品新.網絡法學(第2版).北京:中國人民大學出版社,2015
2.教學參考資料
1)李艷.網絡法(第2版).北京:中國政法大學出版社,2017
2)馬克·A.萊姆利.軟件與互聯網法(上).北京:商務印書館,2014
3)羅勝華.網絡法法案例評析.北京:對外經貿大學出版社,2012
3.其他教學資源
1)網絡教學資源:亞太網絡法研究中心、最高人民法院網、中國裁判文書網等
2)微信公眾號:審判研究、法學學術前沿、法律讀庫、首席法務等
3)研論文資料(由任課教師指定)
五、教學組織
總體而言,本課程將以教學大綱和教學日歷為主線,以學生的學習需求為落腳點,以問題引導教學,以互動啟發思考,以講解釋疑解惑。授課教師可以根據最新的立法和司法動態做必要的調整和更新。
本課程將突出參與、對話和分享的理念,使學生由被動接受到主動求知,更加關注教學過程。課上講授和課下學習相結合,主講教師按照教學大綱和教學日歷認真備課,學生根據教學日歷提前預習所學內容、閱讀所提供的教學材料。在對基礎知識、概念和理論進行講授的基礎上,突出每章的重點和難點,在傳遞知識的同時,更加注重訓練學生的思維能力。
探索多種教學方法和形式,如分組討論、辯論、案例教學、專題教學等,培養學生主動學習能力、合作能力、溝通能力。積極挖掘課堂教學中的隱性知識和潛在問題,進行啟發式教學和反思式教學,既可以舉一反三,又能夠為學生留有思考的空間。
課堂講授面向所有學生,梳理課程內容的基本體系和輪廓,突出課程內容的思路和方法,強調重點和難點問題。結合網絡法較強的理論性和實踐性特征,及時選取最新的話題、案例和立法政策等,同時鼓勵學生自行尋找相關素材,尤其是發生在現實身邊的物權法問題,進行研究型學習。
本課程安排至少兩次次正式的集中答疑,時間擬為課程中期和課程結課。根據實際教學進程開展至少2次課程作業,作業可以是針對講授期間的需求安排課上進行,也可以是受時間所限課上沒有展開的內容。作業形式,可以是問答式、是非判斷、小論文、個人讀書報告等。教師的批閱反饋,可以是作業本批閱、PPT課堂展示、個人速遞反饋等形式。
六、課程考核
本課程采取開卷考試或考查的方式,成績由平時成績(30%)和期末成績(70%)構成。
其中,平時成績可以由考勤、平時作業、討論、課堂表現等組成。
七、說明
1)本課程標準從法學類2016級開始使用,課程標準的變更應由課程負責人提出,專業負責人審批并報學院和教務部備案。
2)學習本課程的學生應及時了解網絡法理論或實踐中的熱點和難點,熟悉網絡法的立法和司法的最新進展,觀察和思考現實生活中的網絡法律問題,并有條件的情況下積極參與相關司法活動。
制定者:×××
網絡安全態勢感知是針對網絡安全隱患提出的新型技術,其研究歷史也是由來已久。20世紀90年代,網絡安全態勢感知是由Bass等網絡信息專家首次提出,通過為了深入研究這項技術,借鑒了空中交通監管態勢感知,并其中的理論知識和相關技術運用到網絡網絡安全態勢安全態勢感知體系中,并為其發展創造了良好的開端。進入到21世紀初期,網絡安全態勢感知引入了SILK系統,其作用規模性的監測對網路安全態勢感知。同時,很多網絡信息計算方面的專家對以后網絡安全的發展方向作出了預測,使網絡安全隱患處在了一個可控的范圍內。根據目前我國網絡安全實際情況,關于網絡安全態勢感知體系正做著積極地研究,但其實際應用的普及度還亟待提高。
2網絡安全態勢感知體系結構
(1)體系主要技術
網絡安全態勢感知對網絡安全信息的管理有著很好的效果,其效果的實現是結合了多種網絡網信息安全技術,比如防火墻、殺毒軟件、入侵檢測系統等技術,其作用主要表現在對網絡安全的實時檢測和快速預警。通過實時檢測,網絡安全態勢感知可以對正在運行的網路安全情況進行相應的評估,同時也可以預測網絡以后一定時間的變化趨勢。
(2)體系組成部分
網絡安全態勢感知體系可以劃分成四個部分。第一部分是特征提取,該層的主要作用是通過防火墻、入侵檢測系統、防病毒、流控、日志審計等系統整理并刪選網絡系統中眾多的數據信息,然后從中提取系統所需要的網絡安全態勢信息;第二部分是安全評估,該部分屬于網絡安全態勢感知體系的核心部分,其作用是分析第一部分所提出的信息,然后結合體系中其他網絡安全技術(防火墻、入侵檢測系統等)評估網絡信息安全的運行狀況,給出評估模型、漏洞掃描和威脅評估;第三個部分就是態勢感知,這一部分的作用是識別網絡安全評估的信息和信息源,然后明確雙方之間存在的聯系,同時根據評估的結果形成安全態勢圖,借此來確定網絡安全受威脅的程度,并直觀反映出網絡安全實時狀況和發展趨勢的可能性;最后一部分是預警系統,這個部分是結合安全態勢圖,對網絡運行中可能受到的安全威脅進行快速的預警,方便安全管理人員可以及時的檢查網絡安全的運行狀況,然后通過針對性的處理措施解決網絡安全隱患。
3網絡安全態勢感知關鍵技術
(1)數據挖掘技術
隨著網絡信息技術的成熟,網絡中的信息量也在不斷增多,同時又需要對這些數據進行快速的分析。針對這種問題,數據挖掘技術就應運而生,其目的是在大量的安全態勢信息中找出有價值且能使用的數據模式,以便檢測不確定的攻擊因素和自動創建檢測模型。數據挖掘廣義上理解就是挖掘網絡中眾多的信息,但挖掘出來的信息是人們所需要的,而按照專業人士的解釋,數據挖掘就是從大量的、不完全的、有噪聲的、模糊的、隨機的實際應用數據中發現隱含的、規律的、人們事先未知的,但又有潛在有用的并且最終可理解的信息和知識的非平凡過程。其中提出的信息和知識由可以轉換為概念、模式、規則、規律等形式。在知識的發現中數據挖掘是非常重要的環節,目前這項技術開始逐漸進入到網絡安全領域,并與入侵檢測系統進行了結合,其中運用的分析方法主要包含4種,即關聯分析、聚類分析、分類分析以及序列模式分析。關聯分析的作用是挖掘各種數據存在的某種聯系,就是通過給定的數據,挖掘出支持度和可信度分別大于用戶給定的最小支持度和最小可信的關聯規則。序列模式分析與關聯分析類似,但其分析更多的是數據之間的前后聯系,即使通過給定的數據,找出最大序列,而這個序列必須是用戶指定,且屬于最小支持度。分類分析對集中的數據進行分析和歸類,并根據數據的類別分別設置不同的分析模型,然后再分類其它數據庫的數據或者信息記錄,一般用的比較多的模型主要包括神經網絡模型、貝葉斯分類模型和決策樹模型。聚類分析與分類分析都是屬于數據的分類,但兩者的區別在于前者不需要對類進行提前定義,其分類是不確定的。具體細分下來聚類分析法又包括以密度為基礎的分類、模糊聚類、動態聚類。關聯分析與序列分析大多用在模式的發展以及特征的構建,分類分析與聚類分析大多用在模型構建完成之后的檢測環節。現階段,雖然數據挖掘已應用到網絡安全領域,也具備較好的發展趨勢,但使用過程中還是有一些問題需要解決。比如,獲得數據挖掘需要的數據途徑較少,數據挖掘的信息量過大,效率較低,費時又費力,難以實現實時性。
(2)信息融合技術
信息融合技術也叫做數據融合技術,或者是多傳感器數據融合,它是處理多源數據信息的重要工具和方法,其作用的原理是將各種數據源的數據結合在一起然后再進行形式化的描述。就信息論而言,相比于單源的數據信息,多源數據信息在提供信息量具有更好的優勢。信息融合的概念在很早以前就提出,而由于近些年高級處理技術和高效處理硬件的應用,信息的實時融和逐漸成為網絡信息技術領域研究的新趨勢,其研究的重點就是對海量的多源信息的處理。正是基于這種研究,信息融合技術的理論研究以及實際應用取得顯著的效果。就信息融合的標準而言,美國數據融合專家組成立之初就進行了相應的工作,且創建了數據融合過程的通用模型,也就是JDL模型,該模型是目前數據融合領域常用的概念模型。這個模型主要有四個關于數據融合處理的過程,即目標提取、態勢提取、威脅提取和過程提取。這些過程在劃分上并不是根據事件的處理流程,每個過程也并沒有規定的處理順序,實際應用的時候,這些過程通常是處于并行處理的狀態。目標提取就是利用各種觀測設備,將不同的觀測數據進行收集,然后把這些數據聯合在一起作為描述目標的信息,進而形成目標趨勢,同時顯示該目標的各種屬性,如類型、位置和狀態等。態勢提取就是根據感知態勢圖的結果將目標進行聯系,進而形成態勢評估,或者將目標評估進行聯系。威脅提取就是根據態勢評估的結果,將有可能存在威脅的建立威脅評估,或者將這些結果與已有的威脅進行聯系。過程提取就是明確怎樣增強上述信息融合過程的評估能力,以及怎樣利用傳感器的控制獲得最重要的數據,最后得出最大限度提高網絡安全評估的能力。
(3)信息可視化技術
信息可視化技術就是利用計算機的圖像處理技術,把數據信息變為圖像信息,使其能夠以圖形或者圖像的方式顯示在屏幕上,同時利用交互式技術實現網絡信息的處理。在計算技術不斷發展的條件下,信息可視化的的研究也得到了不斷的開拓。目前信息可視化研究的領域不再局限于科學計算數據的研究,工程數據以及測量數據同樣也實現了信息的可視化。利用信息可視化技術,可以有效地得知隱藏在數據信息中的規律,使網路信息的處理能獲得可靠的依據。就計算機安全而言,目前網絡安全設備在顯示處理信息結果上,只是通過簡單的文字描述或者圖表形式,而其中的關鍵信息常常很難被提取出來。網絡安全態勢感知體系的主要作用就是通過融合和分類多源信息數據,使網絡安全里人員在進行決策和采取措施時能及時和找準切入點。這就需要將態勢感知最后得出的結果用可視化的形式顯示計算機系統中,充分發揮人類視覺中感知和處理圖像的優勢,從而保證網絡的安全狀態能得到有效地監控以及預測。故而,作為網絡安全態勢感知體系的關鍵技術,可視化技術的發展以及實際應用有了顯著的效果,對于網絡安全態勢感知中的攻擊威脅和流量信息發揮重要的作用。同時,可視化技術的主要作用就是將態勢感知的結果以人們便于認識的形式呈現出來,那么就需要考慮到態勢信息的及時性和直觀性,最后顯示的形式不能太過復雜。此外,未來網絡安全態勢感知體系中可視化技術,還需要解決怎樣把具有攻擊威脅的信息與網絡流量信息進行一定的聯系,且為了加強顯示信息的時效性和規模性,還需要制定相關的標準,保證安全態勢的顯示能規范統一。
4金稅工程網絡安全態勢感知模型實例分析
對金稅工程網絡安全需求為牽引,通過數據挖掘深入感知IT資源(采集的要素信息),構建出金稅工程網絡安全態勢感知模型。模型分解可分解為要素信息采集、事件歸一化、事件預處理、態勢評估、業務評估、預警與響應、流程處理、用戶接口(態勢可視化)、歷史數據分析九個部分。
(1)要素信息采集:
信息采集對象包括資產、拓撲、弱點、性能、事件、日志等。
(2)事件歸一化:
對采集上來的各種要素信息進行事件標準化、歸一化、并對原始事件的屬性進行擴展。
(3)事件預處理:
也是對采集上來的各種要素信息進行事件標準化和歸一化處理。事件預處理尤其是指采集具有專項信息采集和處理能力的分布式模塊。
(4)態勢評估:
包括關聯分析、態勢分析、態勢評價,核心是事件關聯分析。關聯分析就是要使用采用數據融合(Da⁃taFusion)技術對多源異構數據從時間、空間、協議等多個方面進行關聯和識別。態勢評估的結果是形成態勢評價報告和網絡綜合態勢圖,借助態勢可視化為管理員提供輔助決策信息,同時為更高階段的業務評估提供輸入。
(5)業務評估:
包括業務風險評估和業務影響評估,還包括業務合規審計。業務風險評估主要采用面向業務的風險評估方法,通過業務的價值、弱點和威脅情況得到量的出業務風險數值;業務影響評估主要分析業務的實際流程,獲知業務中斷帶來的實際影響,從而找到業務對風險的承受程度。
(6)預警與響應:
態勢評估和業務評估的結果都可以送入預警與響應模塊,一方面借助態勢可視化進行預警展示,另一方面,送入流程處理模塊進行流程化響應與安全風險運維。
(7)流程處理:
主要是指按照運維流程進行風險管理的過程。安全管理體系中,該功能是由獨立的運維管理系統擔當。
(8)用戶接口(態勢可視化):
實現安全態勢的可視化、交互分析、追蹤、下鉆、統計、分布、趨勢,等等,是用戶與系統的交互接口。態勢感知系統的運行需要用戶的主動參與,而不是一個自治系統。
(9)歷史數據分析:
這部分實際上不屬于態勢感知的范疇。我們已經提到,態勢感知是一個動態準實時系統,他偏重于對信息的實時分析和預測。在安全管理系統中,除了具備態勢感知能力,還具備歷史數據挖掘能力。
5結束語
關鍵詞:防火墻;網絡安全;網絡服務
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)29-7133-02
網絡的安全是指通過運用各種管理措施和技術,使網絡系統正常運行,從而確保網絡數據的可用性、完整性和保密性。[1]隨著計算機網絡的迅猛發展,網絡安全逐漸成為人們關注的問題。如何才能快捷地訪問外部網絡,同時又能有效地保護內部局域網的安全――防火墻是實現網絡安全的有效產品。
1 防火墻的定義
“防火墻”是獲取安全性方法的一種形象說法,它是由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。[2]換句話說,防火墻是一種用來加強網絡之間訪問控制的特殊網絡互連設備,是一種非常有效的網絡安全模型。
防火墻的核心思想是在不安全的網際網環境中構造一個相對安全的子網環境。目的是為了在被保護的內部網與不安全的非信任網絡之間設立唯一的通道,以按照事先制定的策略控制信息的流入和流出,監督和控制使用者的操作。它可以通過監測、限制、更改跨越防火墻的數據源,盡可能地對外部屏蔽網絡內部信息、結構和運行狀況,以此來保護實現內部網絡的安全,構成結構如圖1所示。
2 防火墻的功能和分類
防火墻主要有以下幾種功能:1)網絡安全的屏障;2)過濾不安全的服務: 3)阻斷特定的網絡攻擊;4)部署NAT機制;5)提供了監視局域網安全和預警的方便端點。
提供包括安全和統計數據在內的審計數據,好的防火墻還能靈活設置各種報警方式。
防火墻主要有分類主要有以下幾種[3]:
1)個人防火墻:在操作系統上運行的軟件,可為個人計算機提供簡單的防火墻功能,如Norton Personal Firewall、天網個人防火墻、瑞星、360個人防火墻等;
2)軟件防火墻:作為網絡防火墻的軟件防火墻具有比個人防火墻更強的控制功能和更高的性能。不僅支持Windows系統,并且多數都支持Unix或Linux系統。如Check Point FireWall-1,Microsoft ISA Server 2006等 。
3)一般硬件防火墻:一般采用PC架構(就是一臺嵌入式主機),但使用的各個配件都量身定制。一般由小型的防火墻廠商開發,或者是大型廠商開發的中低端產品,應用于中小型企業,功能比較全,但性能一般。
4)純硬件防火墻:采用專用芯片(非X86芯片)來處理防火墻核心策略的一種硬件防火墻,也稱為芯片級防火墻。性能高,具有非常高的并發連接數和吞吐量;
5)分布式防火墻:可以對內部網絡實現有效地保護,是一種新型的防火墻體系結構(包含網絡防火墻、主機防火墻和管理中心)。由于其優越的安全防護體系,符合未來的發展趨勢。
3 防火墻的局限性
防火墻只是整個網絡安全防護體系的一部分,而且防火墻并非萬無一失:
① 只能防范經過其本身的非法訪問和攻擊,對繞過防火墻的訪問和攻擊無能為力;
② 來自系統內部網絡的攻擊及安全問題不能解決;
③ 受病毒感染文件的傳輸無法防止;
④ 策略配置不當或錯誤配置引起的網絡安全威脅無法控制;
⑤ 人為或自然的故意破壞無法防止;
⑥ 本身安全漏洞的威脅無法防止。
4 防火墻在網絡安全中的應用
網絡安全隱患的主要原因是由網絡的自由性、開放性、無邊界性造成的。保護網絡安全首先考慮把被保護的網絡從這一公共網絡環境中獨立出來,使之成為有管理、可控制的、安全的內部網絡。防火墻是目前用來實現網絡安全的一種主要措施。利用防火墻,可以用來在拒絕未經允許的網絡連接、阻止敏感數據的泄漏的同時,保證合法用戶的合法網絡流量暢通無阻,可以實現內部網絡(可信任網絡)與外部因特網(不可信任網絡)之間,或是內部不同子網之間的隔離與控制,保證網絡系統及網絡服務的可用性。
網絡中一般可以在以下位置部署防火墻[4]:
1)域網內VLAN之間控制信息流向時。
2)因特網與因特網之間連接時。
3)在廣域網系統中,出于安全需要,總部的局域網可將各分支機構的局域網看成不安全的系統,(通過公網PSTN,DDN,FR,X.25等連接)在總部的局域網和各分支機構連接時采用防火墻隔離。
4)總部的局域網和分支機構的局域網是通過Internet連接,需要分別安裝防火墻,并利用VPN組成虛擬專網。
5)在遠程用戶撥號訪問時,加入虛擬專網。
在網絡安全系統中使用防火墻,對改善網絡系統的安全性有很多優點:
1) 可以隔離網絡,限制安全問題的擴散。防火墻可以隔離不同的網絡,或者隔離網絡中的某一個網段,有效地控制這個網段或網絡中的問題在不同的網絡中傳播,達到限制安全問題擴散效果。
2) 可以對網絡中的安全進行集中化管理,簡化網絡安全管理的復雜度。只要在防火墻上配置好過濾策略,就使防火墻成為一個網絡安全的檢查站,所有進出網絡的信息都需要通過防火墻,把非法訪問拒于門外。從而實現安全的集中統一的管理,簡化安全管理的復雜度。
3) 能夠有效地記錄因特網上的活動。因所有進出內部網絡的信息都必須經過防火墻,所以防火墻能夠收集企業內部網絡和外部網絡之間或者不同網段之間所發生的事件,為管理員的進一步分析與安全管理提供依據。
5 結束語
本文介紹了防火墻概念、功能和分類等,闡述了防火墻在網絡安全中的應用。隨著網絡處理器和ASIC芯片技術的不斷革新,對防火墻的要求也越來越高,高性能、多端口、高粒度控制、減緩病毒和垃圾郵件傳播速度、對入侵行為智能切斷、以及增強抗DOS攻擊能力的將是未來防火墻發展的趨勢。
參考文獻:
[1] 王群.計算機網絡安全技術[M].北京:清華大學出版社,2010.
[2] 石磊,趙慧然.網絡安全與管理[M].北京:清華大學出版社,2009.