常用网络安全标准精品(七篇)
常用网络安全标准篇(1)
关键词:新型DPI;网络安全态势感知;网络流量采集
经济飞速发展的同时,科学技术也在不断地进步,网络已经成为当前社会生产生活中不可或缺的重要组成部分,给人们带来了极大的便利。与此同时,网络系统也遭受着一定的安全威胁,这给人们正常使用网络系统带来了不利影响。尤其是在大数据时代,无论是国家还是企业、个人,在网络系统中均存储着大量重要的信息,网络系统一旦出现安全问题将会造成极大的损失。
1基本概念
1.1网络安全态势感知
网络安全态势感知是对网络安全各要素进行综合分析后,评估网络安全整体情况,对其发展趋势进行预测,最终以可视化系统展示给用户,同时给出相应的统计报表和风险应对措施。网络安全态势感知包括五个方面1:(1)网络安全要素数据采集:借助各种检测工具,对影响网络安全性的各类要素进行检测,采集获取相应数据;(2)网络安全要素数据理解:对各种网络安全要素数据进行分析、处理和融合,对数据进一步综合分析,形成网络安全整体情况报告;(3)网络安全评估:对网络安全整体情况报告中各项数据进行定性、定量分析,总结当前的安全概况和安全薄弱环节,针对安全薄弱环境提出相应的应对措施;(4)网络安全态势预测:通过对一段时间的网络安全评估结果的分析,找出关键影响因素,并预测未来这些关键影响因素的发展趋势,进而预测未来的安全态势情况以及可以采取的应对措施。(5)网络安全态势感知报告:对网络安全态势以图表统计、报表等可视化系统展示给用户。报告要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施。
1.2DPI技术
DPI(DeepPacketInspection)是一种基于数据包的深度检测技术,针对不同的网络传输协议(例如HTTP、DNS等)进行解析,根据协议载荷内容,分析对应网络行为的技术。DPI技术广泛应用于网络流量分析的场景,比如网络内容分析领域等。DPI技术应用于网络安全态势感知领域,通过DPI技术的应用识别能力,将网络安全关注的网络攻击、威胁行为对应的流量进行识别,并形成网络安全行为日志,实现网络安全要素数据精准采集。DPI技术发展到现在,随着后端业务应用的多元化,对DPI系统的能力也提出了更高的要求。传统DPI技术的实现主要是基于知名协议的端口、特征字段等作为识别依据,比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等协议特征的识别、基于源IP、目的IP、源端口和目的端口的五元组特征识别。但是随着互联网应用的发展,越来越多的应用采用加密手段和私有协议进行数据传输,网络流量中能够准确识别到应用层行为的占比呈现越来越低的趋势。在当前网络应用复杂多变的背景下,很多网络攻击行为具有隐蔽性,比如数据传输时采用知名网络协议的端口,但是对传输流量内容进行定制,传统DPI很容易根据端口特征,将流量识别为知名应用,但是实际上,网络攻击行为却“瞒天过海”,绕过基于传统DPI技术的IDS、防火墙等网络安全屏障,在互联网上肆意妄为。新型DPI技术在传统DPI技术的基础上,对流量的识别能力更强。基本实现原理是对接入的网络流量根据网络传输协议、内容、流特征等多元化特征融合分析,实现网络流量精准识别。其目的是为了给后端的态势感知系统提供准确的、可控的数据来源。新型DPI技术通过对流量中传输的不同应用的传输协议、应用层内容、协议特征、流特征等进行多维度的分析和打标,形成协议识别引擎。新型DPI的协议识别引擎除了支持标准、知名应用协议的识别,还可以对应用层进行深度识别。
2新型DPI技术在网络安全态势感知领域的应用
新型DPI技术主要应用于数据采集和数据理解环节。在网络安全要素数据采集环节,应用新型DPI技术,可以实现网络流量的精准采集,避免安全要素数据采集不全、漏采或者多采的现象。在网络安全要素数据理解环节,在对数据进行分析时,需要基于新型DPI技术的特征知识库,提供数据标准的说明,帮助态势感知应用可以理解这些安全要素数据。新型DPI技术在进行网络流量分析时主要有以下步骤,(1)需要对攻击威胁的流量特征、协议特征等进行分析,将特征形成知识库,协议识别引擎加载特征知识库后,对实时流量进行打标,完成流量识别。这个步骤需要确保获取的特征是有效且准确的,需要基于真实的数据进行测试统计,避免由于特征不准确误判或者特征不全面漏判的情况出现。有了特征库之后,(2)根据特征库,对流量进行过滤、分发,识别流量中异常流量对应的攻击威胁行为。这个步骤仍然要借助于协议识别特征知识库,在协议识别知识库中记录了网络异常流量和攻击威胁行为的映射关系,使得系统可以根据异常流量对应的特征库ID,进而得出攻击威胁行为日志。攻击威胁行为日志包含捕获时间、攻击者IP和端口、被攻击者IP和端口、攻击流量特征、攻击流量的行为类型等必要的字段信息。(3)根据网络流量进一步识别被攻击的灾损评估,同样是基于协议识别知识库中行为特征库,判断有哪些灾损动作产生、灾损波及的数据类型、数据范围等。网络安全态势感知的分析是基于步骤2产生的攻击威胁行为日志中记录的流量、域名、报文和恶意代码等多元数据入手,对来自互联网探针、终端、云计算和大数据平台的威胁数据进行处理,分析不同类型数据中潜藏的异常行为,对流量、域名、报文和恶意代码等安全元素进行多层次的检测。针对步骤1的协议识别特征库,可以采用两种实现技术:分别是协议识别特征库技术和流量“白名单”技术。
2.1协议识别特征库
在网络流量识别时,协议识别特征库是非常重要的,形成协议识别特征库主要有两种方式。一种是传统方式,正向流量分析方法。这种方法是基于网络攻击者的视角分析,模拟攻击者的攻击行为,进而分析模拟网络流量中的流量特征,获取攻击威胁的流量特征。这种方法准确度高,但是需要对逐个应用进行模拟和分析,研发成本高且效率低下,而且随着互联网攻击行为的层出不穷和不断升级,这种分析方法往往存在一定的滞后性。第二种方法是近年随着人工智能技术的进步,逐渐应用的智能识别特征库。这种方法可以基于威胁流量的流特征、已有网络攻击、威胁行为特征库等,通过AI智能算法来进行训练,获取智能特征库。这种方式采用AI智能识别算法实现,虽然在准确率方面要低于传统方式,但是这种方法可以应对互联网上层出不穷的新应用流量,效率更高。而且随着特征库的积累,算法本身具备更好的进化特性,正在逐步替代传统方式。智能特征库不仅仅可以识别已经出现的网络攻击行为,对于未来可能出现的网络攻击行为,也具备一定的适应性,其适应性更强。这种方式还有另一个优点,通过对新发现的网络攻击、威胁行为特征的不断积累,完成样本库的自动化更新,基于自动化更新的样本库,实现自动化更新的流量智能识别特征库,进而实现AI智能识别算法的自动升级能力。为了确保采集流量精准,新型DPI的协议识别特征库具备更深度的协议特征识别能力,比如对于http协议能够实现基于头部信息特征的识别,包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等头部信息,对于https协议,也能够实现基于SNI的特征识别。对于目前主流应用,支持识别的应用类型包括网络购物、新闻、即时消息、微博、网络游戏、应用市场、网络视频、网络音频、网络直播、DNS、远程控制等,新型DPI的协议特征识别库更为强大。新型DPI的协议识别特征库在应用时还可以结合其他外部知识库,使得分析更具目的性。比如通过结合全球IP地址库,实现对境外流量定APP、特定URL或者特定DNS请求流量的识别,分析其中可能存在的跨境网络攻击、安全威胁行为等。
2.2流量“白名单”
在网络流量识别时也同时应用“流量白名单”功能,该功能通过对网络访问流量规模的统计,对流量较大的、且已知无害的TOPN的应用特征进行提取,同时将这些特征标记为“流量白名单”。由于“流量白名单”中的应用往往对应较高的网络流量规模,在网络流量识别时,可以优先对流量进行“流量白名单”特征比对,比对成功则直接标记为“安全”。使用“流量白名单”技术,可以大大提高识别效率,将更多的分析和计算能力留给未知的、可疑的流量。流量白名单通常是域名形式,这就要求新型DPI技术能够支持域名类型的流量识别和过滤。随着https的广泛应用,也有很多流量较大的白名单网站采用https作为数据传输协议,新型DPI技术也必须能够支持https证书类型的流量识别和过滤。流量白名单库和协议识别特征库对网络流量的处理流程参考下图1:
3新型DPI技术中数据标准
安全态势感知系统在发展中,从各个厂商独立作战,到现在可以接入不同厂商的数据,实现多源数据的融合作战,离不开新型DPI技术中的数据标准化。为了保证各个厂商采集到的安全要素数据能够统一接入安全态势感知系统,各厂商通过制定行业数据标准,一方面行业内部的安全数据采集、数据理解达成一致,另一方面安全态势感知系统在和行业外部系统进行数据共享时,也能够提供和接入标准化的数据。新型DPI技术中的数据标准包括三个部分,第一个部分是控制指令部分,安全态势感知系统发送控制指令,新型DPI在接收到指令后,对采集的数据范围进行调整,实现数据采集的可视化、可定制化。同时不同的厂商基于同一套控制指令,也可以实现不同厂商设备之间指令操作的畅通无阻。第二个部分是安全要素数据部分,新型DPI在输出安全要素数据时,基于统一的数据标准,比如HTTP类型的数据,统一输出头域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常见头部和头部关键内容。对于DNS类型的数据,统一输出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通过定义数据描述文件,对输出字段顺序、字段说明进行描述。针对不同的协议数据,定义各自的数据输出标准。数据输出标准也可以从业务应用角度进行区分,比如针对网络攻击行为1定义该行为采集到安全要素数据的输出标准。第三个部分是内容组织标准,也就是需要定义安全要素数据以什么形式记录,如果是以文件形式记录,标准中就需要约定文件内容组织形式、文件命名标准等,以及为了便于文件传输,文件的压缩和加密标准等。安全态势感知系统中安全要素数据标准构成参考下图2:新型DPI技术的数据标准为安全态势领域各类网络攻击、异常监测等数据融合应用提供了基础支撑,为不同领域厂商之间数据互通互联、不同系统之间数据共享提供便利。
4新型DPI技术面临的挑战
目前互联网技术日新月异、各类网络应用层出不穷的背景下,新型DPI技术在安全要素采集时,需要从互联网流量中,将网络攻击、异常流量识别出来,这项工作难度越来越大。同时随着5G应用越来越广泛,万物互联离我们的生活越来越近,接入网络的终端类型也多种多样,针对不同类型终端的网络攻击也更为“个性化”。新型DPI技术需要从规模越来越大的互联网流量中,将网络安全相关的要素数据准确获取到仍然有很长的路要走。基于新型DPI技术,完成网络态势感知系统中的安全要素数据采集,实现从网络流量到数据的转化,这只是网络安全态势感知的第一步。网络安全态势感知系统还需要基于网络安全威胁评估实现从数据到信息、从信息到网络安全威胁情报的完整转化过程,对网络异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击和未知代码攻击等多种类型的网络安全威胁数据进行统计建模与评估,网络安全态势感知系统才能做到对攻击行为、网络系统异常等的及时发现与检测,实现全貌还原攻击事件、攻击者意图,客观评估攻击投入和防护效能,为威胁溯源提供必要的线索。
5结论
常用网络安全标准篇(2)
关键词:计算机;网络安全;对策
0 引言
计算机应用发展迅速,加强计算机网络安全性的管理是极其重要的。计算机网络安全技术是一项复杂的工作,需要明确计算机网路系统技术的多方面管理步骤,明确计算机安全运行操作的基础性管理标准要求,按照计算机网络安全运行标准,对可能涉及需要防范的管理措施和管理标准进行技术分析,明确计算机相关设备的技术应用要素,根据计算机的网络安全性要点进行合理的分析,提出有效完善网络安全防范管理的技术措施,为计算机网络的安全化管理进行有效的技术水平提升。
1 计算机的网络化安全
计算机的网络化安全管理是根据实际需要采取的相关技术要点、处理措施、管理要求等内容进行合理的分析,充分研究计算机网路系统安全中的软件、硬件、数据资源内容,加强计算机网络系统的安全化运行管理,对网络化信息系统的相关处理过程和处理效果进行准确的分析,完善计算机网络内部、外部、数据网络信息之间的管理要点,结合互联网,不断提升计算机网络发展速度水平,为人们的日常生活提供良好的物质条件,不断完善计算机网络信息的安全化管理,提升网路数据信息的内部安全性水平,确保数据信息的及时调取和分析,不断完善计算机网络数据信息的安全性,防止可能出现的各种安全威胁,明确计算机应用安装的相关软件,对可能发生的各种类似事件进行预警分析,提升计算机的安全可靠性。
2 计算机网络安全隐患
2.1 计算机病毒
随着计算机病毒的发展,计算机网络受到严重的威胁,计算机信息数据受病毒的侵害,造成计算机的工作效率下降,严重的影响计算机系统的稳定性,部分计算机文件数据丢失,甚至造成计算机主板损坏。计算机病毒种类泛滥,传播速度快,种类复杂,对计算机网络的攻击性大,破坏性强,很难彻底的清除,这对于计算机网络的安全性造成严重的威胁。
2.2 IP盗用
计算机网络是利用局域网的IP地址进行区域的划分,如果这些IP地址被盗用,计算机的原始IP用户就无法登录使用网络,盗用者以隐藏的身份使用这些IP地址,对用户造成严重的威胁,影响网络信息的安全性。
2.3 黑客对计算机网络的威胁
计算机网络安全受黑客的攻击影响,系统出现运行错乱的现象。通常黑客采用破坏性的方式入侵目标用户的电脑,盗取、破坏用户的电脑数据信息,达到获取不良有益的目的。黑客往往对用户的电子邮件、登录口令进行攻击,设置欺骗性病毒,造成计算机网络系统出现漏洞,实现黑客的非法入侵行为。
2.4 垃圾邮件信息
电子计算机网络的垃圾信息极多,垃圾邮件是具有特点的一个类别。用户对每日的邮件只有接收的权利,而没有拒收的权利。网络邮件泛滥,入侵人们的工作生活信箱,根据人们日常操作的信息,窃取人们的个人信息内容。垃圾邮件占用服务器的内容,占用带宽,影响网络信息的有效传播。
2.5 计算机网络监管不足
计算机网络信息的安全管理不足,管理结构制度不够规范,岗位职责不够明确,这直接影响网络信息的安全化管理,对计算机的网络化安全运行造成一定的破坏,计算机病毒、黑客、计算机犯罪等问题严重的影响计算机数据平台,对计算机的网络信息造成严重的威胁问题。
3 激素啊你就网络安全的改进对策
3.1 建立防火墙软件
根据计算机网络安全的规划要求,建立防火墙软件。利用网络计算机硬件和软件的基本配置组合,明确网络公共信息的安全性水平,按照网络资源的私有规划制度进行合理的分析。防火墙可以极大程度的提升网络信息的安全级别,利用网络过滤的方式,降低网络信息的风险问题,制定合理的防火墙信息协议管理标准,确定网络环境的安全水平,提升计算机全方位的安全管理,提升对病毒的抵御水平。例如,使用360卫士、金山毒霸软件进行杀毒处理。
3.2 黑客的防御
制定安全用户管理标准,设置准确高级别的密码,结合用户权限制定智能卡,生物卡,指纹识别系统,尽可能的避免黑客的入侵。采用防火墙技术,通过对网络信息的限制访问,控制网络数据信息的访问级别,设置内外网络管理及时,确定数据访问级别,设置合理的网络黑客抵御防护标准。
3.3 口令设置
采用智能卡标注进行口令设置,采用生物特征对信息进行口令的分析,记录系统相关用户的信息内容,对不可以公开的信息进行限定。采用有效的用户信息管理系统,不断完善用户信息的数据内容,确定符合用户信息的口令表,提升信息系统准入级别。
3.4 网络安全意识的管理
在网路信息安全化技术管理上,不断完善网络信息技术人才的规划和管理,提升网络信息技术人才的安全意识管理水平,避免他们可能出现的各种失误问题,提升网络信息的安全性和有效可靠性级别。建立符合计算机网络应用的管理岗位,加强网络系统的信息安全管理级别,不断提升网络信息的管理水平和管理能力,做好数据信息的有效备份,提升数据信息的加密性,制定黑维护计算机网路信息安全管理运行的技术标准,逐步提升网络信息用户的管理意识,实现对网络信息安全的准确意识管理。
3.5 数据加密的处理方案
对高级别保密数据信息进行加密处理,提升数据信息传输的伪装性,提升数据信息的安全级别。在数据信息传递过程中,对于专用的高级别数据信息,采用单一线路的加密传输方式,不断完善数据信息的加密管理级别,设置准确的密钥,提升数据信息的安全级别,对TCP/IP进行封装管理,提升数据信息的保密性,传递成功后及时对保密数据进行恢复处理,确保数据信息的有效性。
4 结语
综上所述,计算机网络信息的安全管理是一项复杂而多项的内容,需要针对网络信息的发展管理目标,逐步完善网络计算机的网络信息安全性管理意识,提升网络信息的安全性技术水平,避免可能出现的黑客攻击问题,提高杀毒和预防管理工作,确保计算机网络信息的安全运行,实现计算机网络的阿全快速发展。
参考文献:
[1]张伟,庞永清.计算机网络安全现状及防治措施研究[J].计算机光盘软件与应用.2012(19)
常用网络安全标准篇(3)
关键词:网络系统;安全测试;安全评估
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)13-3019-04
1 网络安全评估技术简介
当前,随着网络技术和信息技术的发展与应用,人们对于网络的安全性能越来越关注,网络安全技术已从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究、加强顶层设计,提出系统的、完整的解决方案。
网络信息系统安全评估的目的是为了让决策者进行风险处置,即运用综合的策略来解决风险。信息系统可根据安全评估结果来定义安全需求,最终采用适当的安全控制策略来管理安全风险。
安全评估的结果就是对信息保护系统的某种程度上的确信,开展网络安全系统评估技术研究,可以对国防军工制造业数字化网络系统、国家电子政务信息系统、各类信息安全系统等的规划、设计、建设、运行等各阶段进行系统级的测试评估,找出网络系统的薄弱环节,发现并修正系统存在的弱点和漏洞,保证网络系统的安全性,提出安全解决方案。
2 网络安全评估理论体系和标准规范
2.1 网络安全评估所要进行的工作是:
通过对实际网络的半实物仿真,进行测试和安全评估技术的研究,参考国际相关技术标准,建立网络安全评估模型,归纳安全评估指标,研制可操作性强的信息系统安全评测准则,并形成网络信息安全的评估标准体系。
2.2 当前在网络技术上主要的、通用的、主流的信息安全评估标准规范
2.2.1 欧美等西方国家的通用安全标准准则
1) 美国可信计算机安全评价标准(TCSEC)
2) 欧洲网络安全评价标准(ITSEC)
3) 国际网络安全通用准则(CC)
2.2.2 我国制定的网络系统安全评估标准准则
1) 《国家信息技术安全性评估的通用准则》GB/T 18336标准
2) 公安部《信息网络安全等级管理办法》
3) BMZ1-2000《信息系统分级保护技术要求》
4) 《GJB 2646-96军用计算机安全评估准则》
5) 《计算机信息系统安全保护等级划分准则》等
3 安全评估过程模型
目前比较通用的对网络信息系统进行安全评估的流程主要包括信息系统的资产(需保护的目标)识别、威胁识别、脆弱性识别、安全措施分析、安全事件影响分析以及综合风险判定等。
对测评流程基本逻辑模型的构想如图1所示。
在这个测试评估模型中,主要包括6方面的内容:
1) 系统分析:对信息系统的安全需求进行分析;
2) 识别关键资产:根据系统分析的结果识别出系统的重要资产;
3) 识别威胁:识别出系统主要的安全威胁以及威胁的途径和方式;
4) 识别脆弱性:识别出系统在技术上的缺陷、漏洞、薄弱环节等;
5) 分析影响:分析安全事件对系统可能造成的影响;
6) 风险评估:综合关键资产、威胁因素、脆弱性及控制措施,综合事件影响,评估系统面临的风险。
4 网络系统安全态势评估
安全态势评估是进行网络系统级安全评估的重要环节,合理的安全态势评估方法可以有效地评定威胁级别不同的安全事件。对系统安全进行评估通常与攻击给网络带来的损失是相对应的,造成的损失越大,说明攻击越严重、网络安全状况越差。通过攻击的损失可以评估攻击的严重程度,从而评估网络安全状况。
结合网络资产安全价值进行评估的具体算法如下:
设SERG为待评估安全事件关联图:
定义
IF(threatTa){AddSERGTToHighigh ImpactSetAndReport}
其中,SERG表示安全事件关联,SERGStatei表示攻击者获取的直接资源列表;ASV(a)表示对应资产a的资产安全价值;Ta表示可以接受的威胁阀值;HighImpactSet表示高风险事件集合。
常用的对一个网络信息系统进行安全态势评估的算法有如下几种。
4.1 专家评估法(Delphi法)
专家法也称专家征询法(Delphi法),其基本步骤如下:
1) 选择专家:这是很重要的一步,选的好与不好将直接影响到结果的准确性,一般情况下,应有网络安全领域中既有实际工作经验又有较深理论修养的专家10人以上参与评估,专家数目太少时则影响此方法的准确性;
2) 确定出与网络系统安全相关的m个被评估指标,将这些指标以及统一的权数确定规则发给选定的各位专家,由他们各自独立地给出自己所认为的对每一个指标的安全态势评价(Xi)以及每一个评价指标在网络系统整体安全态势评估中所占有的比重权值(Wi);
3) 回收专家们的评估结果并计算各安全态势指标及指标权数的均值和标准差:
计算估计值和平均估计值的偏差
4) 将计算结果及补充材料返还给各位专家,要求所有的专家在新的基础上重新确定各指标安全态势及所占有的安全评价权重;
5) 重复上面两步,直至各指标权数与其均值的离差不超过预先给定的标准为止,也就是各专家的意见基本趋于一致,以此时对该指标的安全评价作为系统最终安全评价,并以此时各指标权数的均值作为该指标的权数。
归纳起来,专家法评估的核心思想就是采用匿名的方式,收集和征询该领域专家们的意见,将其答复作统计分析,再将分析结果反馈给领域专家,同时进一步就同一问题再次征询专家意见,如此反复多轮,使专家们的意见逐渐集中到某个有限的范围内,然后将此结果用中位数和四分位数来表示。对各个征询意见做统计分析和综合归纳时,如果发现专家的评价意见离散度太大,很难取得一致意见时,可以再进行几轮征询,然后再按照上述方法进行统计分析,直至取得较为一致的意见为止。该方法适用于各种评价指标之间相互独立的场合,各指标对综合评价值的贡献彼此没有什么影响。若评价指标之间不互相独立,专家们比较分析的结果必然导致信息的重复,就难以得到符合客观实际的综合评价值。
4.2 基于“熵”的网络系统安全态势评估
网络安全性能评价指标选取后,用一定的方法对其进行量化,即可得到对网络系统的安全性度量,而可把网络系统受攻击前后的安全性差值作为攻击效果的一个测度。考虑到进行网络攻击效果评估时,我们关心的只是网络系统遭受攻击前后安全性能的变化,借鉴信息论中“熵”的概念,可以提出评价网络性能的“网络熵”理论。“网络熵”是对网络安全性能的一种描述,“网络熵”值越小,表明该网络系统的安全性越好。对于网络系统的某一项性能指标来说,其熵值可以定义为:
Hi=-log2Vi
式中:Vi指网络第i项指标的归一化参数。
网络信息系统受到攻击后,其安全功能下降,系统稳定性变差,这些变化必然在某些网络性能指标上有所体现,相应的网络熵值也应该有所变化。因此,可以用攻击前后网络熵值的变化量对攻击效果进行描述。
网络熵的计算应该综合考虑影响网络安全性能的各项指标,其值为各单项指标熵的加权和:
式中:n-影响网络性能的指标个数;
?Ai-第i项指标的权重;
Hi第i项指标的网络熵。
在如何设定各网络单项指标的权重以逼真地反映其对整个网络熵的贡献时,设定的普遍通用的原则是根据网络防护的目的和网络服务的类型确定?Ai的值,在实际应用中,?Ai值可以通过对各项指标建立判断矩阵,采用层次分析法逐层计算得出。一般而言,对网络熵的设定时主要考虑以下三项指标的网络熵:
1) 网络吞吐量:单位时间内网络结点之间成功传送的无差错的数据量;
2) 网络响应时间:网络服务请求和响应该请求之间的时间间隔;
3) 网络延迟抖动:指平均延迟变化的时间量。
设网络攻击发生前,系统各指标的网络熵为H攻击发生后,系统各指标的网络熵为 ,则网络攻击的效果可以表示为:
EH=H'-H
则有:
利用上式,仅需测得攻击前后网络的各项性能指标参数(Vi,Vi'),并设定好各指标的权重(?Ai),即可计算出网络系统性能的损失,评估网络系统受攻击后的结果。EH是对网络攻击效果的定量描述,其值越大,表明网络遭受攻击后安全性能下降的越厉害,也就是说网络安全性能越差。
国际标准中较为通用的根据EH值对网络安全性能进行评估的参考标准值如表1所示。
4.3模糊综合评判法
模糊综合评判法也是常用的一种对网络系统的安全态势进行综合评判的方法,它是根据模糊数学的基本理论,先选定被评估网络系统的各评估指标域,而后利用模糊关系合成原理,通过构造等级模糊子集把反映被评事物的模糊指标进行量化(即确定隶属度),然后利用模糊变换原理对各指标进行综合。
模糊综合评判法一般按以下程序进行:
1) 确定评价对象的因素论域U
U={u1,u2,…,un}
也就是首先确定被评估网络系统的n个网络安全领域的评价指标。
这一步主要是确定评价指标体系,解决从哪些方面和用哪些因素来评价客观对象的问题。
2) 确定评语等级论域V
V={v1,v2,…,vm}
也就是对确定的各个评价指标的等级评定程度,即等级集合,每一个等级可对应一个模糊子集。正是由于这一论域的确定,才使得模糊综合评价得到一个模糊评判向量,被评价对象对评语等级隶属度的信息通过这个模糊向量表示出来,体现出评判的模糊性。
从技术处理的角度来看,评语等级数m通常取3≤m≤7,若m过大会超过人的语义能力,不易判断对象的等级归属;若m过小又可能不符合模糊综合评判的质量要求,故其取值以适中为宜。 取奇数的情况较多,因为这样可以有一个中间等级,便于判断被评事物的等级归属,具体等级可以依据评价内容用适当的语言描述,比如评价数据管理制度,可取V={号,较好,一般,较差,差};评价防黑客入侵设施,可取V={强,中,弱}等。
3) 进行单因素评价,建立模糊关系矩阵R
在构造了等级模糊子集后,就要逐个对各被评价指标ui确定其对各等级模糊子集vi的隶属程度。这样,可得到一个ui与vi间的模糊关系数据矩阵:
R=|r21r22…r2m|
式中:
rij表示U中因素ui对应V中等级vi的隶属关系,即因素ui隶属于vi的等级程度。
4) 确定评判因素的模糊权向量集
一般说来,所确定的网络安全的n个评价指标对于网络整体的安全态势评估作用是不同的,各方面因素的表现在整体中所占的比重是不同的。
因此,定义了一个所谓模糊权向量集A的概念,该要素权向量集就是反映被评价指标的各因素相对于整体评价指标的重要程度。权向量的确定与其他评估方法相同,可采用层次分析等方法获得。权向量集A可表示为:
A=(a1,a2,…,an)
并满足如下关系:
5) 将A与R合成,得到被评估网络系统的模糊综合评判向量B
B=A・R
B=A・R= (a1,a2,…,an) |r21r22…r2m|
式中:
rij表示的是模糊关系数据矩阵R经过与模糊权向量集A矩阵运算后,得到的修正关系向量。
这样做的意义在于使用模糊权向量集A矩阵来对关系隶属矩阵R进行修正,使得到的综合评判向量更为客观准确。
6) 对模糊综合评判结果B的归一化处理
根据上一步的计算,得到了对网络各安全评价指标的评判结果向量集B=(b1,b2,…,bn)
由于对每个评价指标的评判结果都是一个模糊向量,不便于各评价指标间的排序评优,因而还需要进一步的分析处理。
对模糊综合评判结果向量 进行归一化处理:
bj'=bj/n
从而得到各安全评价指标的归一化向量,从而对各归一化向量进行相应。
5 结束语
本论文首先介绍了网络安全评估技术的基本知识,然后对安全评估模型进行了分析计算,阐述了网络安全技术措施的有效性;最后对网络安全态势的评估给出了具体的算法和公式。通过本文的技术研究,基本上对网络信息系统的安全评估技术有了初步的了解,下一步还将对安全评估的风险、安全评估中相关联的各项因素进行研究。
参考文献:
[1] 逮昭义.计算机通信网信息量理论[M].北京:电子工业出版社,1997:57-58.
[2] 张义荣.计算机网络攻击效果评估技术研究[J].国防科技大学学报,2002(5).
常用网络安全标准篇(4)
关键词:信息标准化;流程;应用
近年来,互联网技术发展是非常快速的,这样就使得网络安全问题也慢慢受到了人们的关注,供电企业在发展过程中对信息安全的要求也在不断提高,在这种情况下,供电企业在发展过程中,开始在办公终端上进行了改变,这样也使得计算机安全方面得到了更好的控制,同时在操作的时候也能更加方便,这样能够更好的促进供电企业安全防护能力。规范计算机入网前软件安装及系统设置为入手点,这样能够更好的将终端和管理方式进行结合,同时也能更好的避免出现终端口令问题,同时也能防止病毒软件和系统补丁对供电企业的信息安全一定的影响。
1 办公计算机接入管理现状及存在的问题
计算机在接入到公司网络的时候,经常是存在着终端用户往往为了保证不被桌面终端管控系统阻断,通常会在第一时间就会按照桌面终端管控注册安装,在这种情况下是经常会发生信息违规告警的,因此,在进行安装的时候是经常会出现口令比较弱,或者是防病毒软件不符合情况的。导致口令比较弱和操作系统是有很大的关系的,因此,企业在发展计算机网络的时候,要对企业业务应用系统的适应性进行调整,很多的办公网络在终端方面通常会选择Windows XP操作系统,在进行操作时,企业可以建立一个新的计算机管理员,这样在进行操作的时候,能够避免下次登录计算机的时候出现登录入口,这样能够更好的方便计算机在使用的时候切换到安全模式,这样在登录界面就可以看到账号的记录,在这种情况下,在其他计算机上进行账号登录是会发出违规信号的,因此,也能更好的保证登录安全。终端运行维护人员要对系统中的所有账号都设置非常强的口令,这样能够更好的保证账号的安全。同时,在出现一键还原的情况下,很多的计算机在使用过程中经常是存在着反映速度非常慢的情况的,在这种情况下,很多的操作人员通常会自行使用一键还原对系统进行重置,在这种情况下能够对系统反应慢的情况进行解决,但是,也是会导致出现弱口令的情况的,因此,在使用计算机系统的时候要避免出现操作系统随意安装的情况,这样能够更好的保证系统的操作安全。
系统在使用过程中是要进行运行维护的,但是,现在市场中很多的操作系统都存在着无法对操作系统进行补丁升级的情况,在这种情况下进行手动补丁的安装也是存在无法进行的情况。在进行补丁安装时,系统的终端要通过注册接入到企业的办公网络,在这种情况下是非常容易出现很多的系统漏洞的,同时也是会出现漏洞被病毒、木马和黑客利用的,这样就会导致终端在进行使用的时候出现公司网络安全受到影响的情况,同时也是存在着网络不畅通的情况的。计算机在接入公司网络以前,要对其应用程序进行很好的检测和管理,这样能够避免出现对办公网络发生冲击的情况,同时在很多的情况下,操作人员在进行操作的时候经常是会下载很多的系统的,很多的系统通常都是存在着很多的漏洞的,同时对系统也是会带来很大的影响,因此,非常容易导致域名解析故障和网络无法使用的情况,这样也是会导致办公业务出现无法运行的情况的,因此,对办公终端操作系统的安全问题要进行重视,在管理方面也要进行加强。
2 标准化注册管理介绍
在计算机接入到办公网络前没有进行系统加固是会导致很多的违规现象的出现,因此,在公司员工计算机水平不断提高的情况下,操作人员可以自行安装一些操作系统,这样是会导致更多的违规现象的出现,因此,在进行终端安全运行维护时,要对出现的问题进行解决,加强终端入网标准化注册流程,这样能够更好的保证网络安全。对桌面终端管理控制系统进行研究能够更好的在计算机桌面安装终端客户端软件,同时,也能对计算机运行的环境进行检查,这样能够更好的保证安全性,同时也能更好的将数据传输到桌面终端后台服务器上,这样一旦用户没有安装杀毒软件或者是没有设置账号口令,都是能够发出告警的,对入网流程进行规范,能够避免出现信息违规的现象。
供电公司入网管理办法的入网设置流程:首先,用户填写《供电分公司内网终端接入申请表》;确认预接入的计算机未连接网络;完成操作系统版本确认。通过计算机桌面“我的电脑”右键属性,查看计算机操作系统版本是否合格;完成应用程序清理。通过“控制面板”-“添加删除程序”进行互联网应用程序、游戏软件、炒股软件及娱乐软件的卸载。要求所有接入内网的计算机不允许存在非办公用应用程序;完成操作系统补丁加固。按照查看计算机操作系统版本的方法查看当前系统补丁版本。要求Windows XP必须安装SP3或以上的补丁集;完成所有系统帐号的密码加固。对系统所有帐号进行密码设置,要求密码长度大于8位,且必须为字母、数字及符号的混合字串;完成计算机名称的更改。
3 终端标准化管理工作的创新
为了进一步规范终端标准化管理,落实公司计算机入网设置流程规定,避免基层终端用户习惯性操作违规,降低基层终端运维人员的操作难度,为此,公司自主研发了一套终端标准化注册程序,实现计算机入网前对系统进行关键加固项检查,以技术手段为管理工作提供保障。
标准化注册程序是以运城供电公司计算机入网设置流程为依据,其主要功能实现了,通过技术手段在计算机注册入网前,对计算机名称是否规范、是否安装非办公软件、防病毒软件是否规范、操作系统补丁是否合格、系统是否存在弱口令等方面进行检查,若存在不合格项,则阻止该计算机注册并提示用户进行整改,从而借助桌面终端管理系统实现了阻止未经过系统加固的计算机接入办公网络。流程图见图1。
通过在运城供电公司办公网内试运行标准化注册程序,公司终端运行指标得到显著提升,通过观察,自2012年3月开始至今,公司终端弱口令违规数量逐月降低,防病毒软件安装情况得到极大的改善,表1和表2分别为运城公司2012年和2013年的终端违规统计说明。
4结束语
对计算机入网进行规范化管理,能够更好的避免出现公司内网受到病毒、木马以及黑客攻击的情况,这样也能更好的减轻终端运行维护人员的工作量,同时也能对运行维护人员的技术要求进行降低。在入网标准化管理不断推进的情况下,能够更好的保证公司网络的安全性,同时也能更好的促进供电公司获得更好的发展。
参考文献
常用网络安全标准篇(5)
论文摘要:网络攻击行为已经蔓延的越来越广,网络的安全问题日趋严重。网络的安全问题来自多方面的各种原因。本文就是有效的防止网络故障的发生以及发现故障并且维护网络,采取一些防范的网络安全策略和解决办法。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。宗上所述,网络管理就尤为重要,随看计算机网络规模的扩大和复杂性的增加,网络管理在计算机网络系统中的地位越来越重要。本文在算机网络管理和维护的基础上,介绍了以下的解决方法
前 言
随着计算机技术和internet的发展,企业和政府部门开始大规模的建立网络来推动电子商务和政务的发展,伴随着网络的业务和应用的丰富,对计算机网络的管理与维护也就变得至关重要。人们普遍认为,网络管理是计算机网络的关键技术之一,尤其在大型计算机网络中更是如此。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
网络故障极为普遍,网络故障的种类也多种多样,要在网络出现故障时及时对出现故障的网络进行维护,以最快的速度恢复网络的正常运行,掌握一套行之有效的网络维护理论、方法和技术是关键。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。
随着计算机的广泛应用和网络的日趋流行,功能独立的多个计算机系统互联起来,互联形成日渐庞大的网络系统。计算机网络系统的稳定运转已与功能完善的网络软件密不可分。计算机网络系统,就是利用通讯设备和线路将地理位置不同的、信息交换方式及网络操作系统等共享,包括硬件资源和软件资源的共享:因此,如何有效地做好本单位计算机网络的日常维护工作,确保其安全稳定地运行,这是网络运行维护人员的一项非常重要的工作。
在排除比较复杂网络的故障时,我们常常要从多种角度来测试和分析故障的现象,准确确定故障点。
第一章 网络安全技术
1.1概述
网络安全技术是指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理的安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其他的安全服务和安全机制策略。
21世纪全世界的计算机都将通过internet联到一起,信息安全的内涵也就发生了根本的变化.它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在.当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系.
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高.
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程.为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发.安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业.
信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用
1.2防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
目前的防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国digital公司在internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的ip是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型,网络地址转换—nat,代理型和监测型.
1.3 防火墙主要技术
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,tcp/udp源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造ip地址,骗过包过滤型防火墙.
网络地址转化—nat
网络地址转换是一种用于把ip地址转换成临时的,外部的,注册的ip地址标准.它允许具有私有ip地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的ip地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的ip地址和端口来请求访问.olm防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性.
监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉ftp连接中的put命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上
1.4防火墙体系结构
筛选路由式体系结构
shape \* mergeformat
屏蔽子网式结构
双网主机式体系结构
shape \* mergeformat
屏蔽主机式体系结构
1.5入侵检测系统
1概念
当前,平均每20秒就发生一次入侵计算机网络的事件,超过1/3的互联网防火墙被攻破!面对接2连3的安全问题,人们不禁要问:到底是安全问题本身太复杂,以至于不可能被彻底解决,还的仍然可以有更大的改善,只不过我们所采取的安全措施中缺少了某些重要的环节。有关数据表明,后一种解释更说明问题。有权威机构做过入侵行为统计,发现他、有80%来自于网络内部,也就是说,“堡垒”是从内部被攻破的。另外,在相当一部分黑客攻击当中,黑客都能轻易地绕过防火墙而攻击网站服务器。这就使人们认识到:仅靠防火墙仍然远远不能将“不速之客”拒之门外,还必须借助于一个“补救”环节------入侵检测系统。
入侵检测系统(intrusion detection system,简称ids)是指监视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源的行为的系统。作为分层安全中日益被越普遍采用的成份,入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵企图来加强当前存取控制系统,例如防火墙;识别防火墙通常用不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干个关键点收集信息,并分析这些信息,检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。
作为监控和识别攻击的标准解决方案,ids系统已经成为安防体系的重要组成部分。
ids系统以后台进程的形式运行。发现可疑情况,立即通知有关人员。
防火墙为网络提供了第一道防线,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下对网络进行检测,从而提供对内部攻击、外部攻击和误解操作的实时保护。由于入侵检测系统是防火墙后的又一道防线,从二可以极大地减少网络免受各种攻击的损害。
假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼,但不能保证小偷100%地被拒之门外,更不能防止大楼内部个别人员的不良企图。而一旦小偷爬入大楼,或内部人员有越界行为,门锁就没有任何作用了,这时,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者,同时也针对内部的入侵行为。
2侵检测的主要技术————入侵分析技术
入侵分析技术主要有三大类:签名、统计和数据完整性。
签名分析法
名分析法主要用来检测有无对系统的已知弱点进行的攻击行为。这类攻击可以通过监视有无针对特定对象的某种行为而被检测到。
主要方法:从攻击模式中归纳出其签名,编写到ids系统的代码里,再由ids系统对检测过程中收集到的信息进行签名分析。
签名分析实际上是一个模板匹配操作,匹配的一方是系统设置情况和用户操作动作,一方是已知攻击模式的签名数据库。
统计分析法
统计分析法是以系统正常使用情况下观察到的动作为基础,如果某个操作偏离了正常的轨道,此操作就值得怀疑。
主要方法:首先根据被检测系统的正常行为定义一个规律性的东西,在此称为“写照”,然后检测有没有明显偏离“写照”的行为。
统计分析法的理论经常是统计学,此方法中,“写照”的确定至关重要。
数据完整分析法
数据完整分析法主要用来查证文件或对象是否被修改过,它的理论经常是密码学。
3侵检测系统的分类:
现有的ids的分类,大都基于信息源和分析方法。为了体现对ids从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
控制策略描述了ids的各元素是如何控制的,以及ids的输入和输出是如何管理的。按照控制策略ids可以划分为,集中式ids、部分分布式ids和全部分布式ids。在集中式ids中,一个中央节点控制系统中所有的监视、检测和报告。在部分分布式ids中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式ids中,监控和探测是使用一种叫“代理”的方法,代理进行分析并做出响应决策。
按照同步技术分类
同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。很多早期的基于主机的ids都采用这种方案。在实时连续型ids中,事件一发生,信息源就传给分析引擎,并且立刻得到处理和反映。实时ids是基于网络ids首选的方案。
按照信息源分类
按照信息源分类是目前最通用的划分方法,它分为基于主机的ids、基于网络的ids和分布式ids。基于主机的ids通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的ids是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式ids,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类
按照分析方法ids划分为滥用检测型ids和异常检测型ids。滥用检测型的ids中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。异常检测型ids是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。
按照响应方式分类
按照响应方式ids划分为主动响应ids和被动响应ids。当特定的入侵被检测到时,主动ids会采用以下三种响应:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。被动响应ids则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
4 ids的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价ids的优缺点
就显得非常重要。评价ids的优劣主要有这样几个方面[5]:(1)准确性。准确性是指ids不会标记环境中的一个合法行为为异常或入侵。(2)性能。ids的性能是指处理审计事件的速度。对一个实时ids来说,必须要求性能良好。(3)完整性。完整性是指ids能检测出所有的攻击。(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。(5)自身抵抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁ids,再实施对系统的攻击。(6)及时性(timeliness)。一个ids必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或ids本身。
除了上述几个主要方面,还应该考虑以下几个方面:(1)ids运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。
5 ids的发展趋
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是iss(国际互联网安全系统公司)公司的realsecure。目前较为著名的商用入侵检测产品还有:nai公司的cybercop monitor、axent公司的netprowler、cisco公司的netranger、ca公司的sessionwall-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术,主动的自主代理方法,智能技术以及免疫学原理的应用等。其主要的发展方向可概括为:
(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的 监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。
(3)入侵检测的数据融合技术。目前的ids还存在着很多缺陷。首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。数据融合技术是解决这一系列问题的好方法。
(4)与网络安全技术相结合。结合防火墙,病毒防护以及电子商务技术,提供完整的网络安全保障。
第二章 网络管理
2.1概述
随着计算机技术和internet的发展,企业和政府部门开始大规模的建立网络来推动电子商务和政务的发展,伴随着网络的业务和应用的丰富,对计算机网络的管理与维护也就变得至关重要。人们普遍认为,网络管理是计算机网络的关键技术之一,尤其在大型计算机网络中更是如此。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
关于网络管理的定义目前很多,但都不够权威。一般来说,网络管理就是通过某种方式对网络进行管理,使网络能正常高效地运行。其目的很明确,就是使网络中的资源得到更加有效的利用。它应维护网络的正常运行,当网络出现故障时能及时报告和处理,并协调、保持网络系统的高效运行等。国际标准化组织(iso)在iso/iec7498-4中定义并描述了开放系统互连(osi)管理的术语和概念,提出了一个osi管理的结构并描述了osi管理应有的行为。它认为,开放系统互连管理是指这样一些功能,它们控制、协调、监视osi环境下的一些资源,这些资源保证osi环境下的通信。通常对一个网络管理系统需要定义以下内容:
系统的功能。即一个网络管理系统应具有哪些功能。
网络资源的表示。网络管理很大一部分是对网络中资源的管理。网络中的资源就是指网络中的硬件、软件以及所提供的服务等。而一个网络管理系统必须在系统中将它们表示出来,才能对其进行管理。
网络管理信息的表示。网络管理系统对网络的管理主要靠系统中网络管理信息的传递来实现。网络管理信息应如何表示、怎样传递、传送的协议是什么?这都是一个网络管理系统必须考虑的问题。
系统的结构。即网络管理系统的结构是怎样的。
网络管理这一学科领域自20世纪80年代起逐渐受到重视,许多国际标准化组织、论坛和科研机构都先后开发了各类标准、协议来指导网络管理与设计,但各种网络系统在结构上存在着或大或小的差异,至今还没有一个大家都能接受的标准。当前,网络管理技术主要有以下三种:诞生于internte家族的snmp是专门用于对internet进行管理的,虽然它有简单适用等特点,已成为当前网络界的实际标准,但由于internet本身发展的不规范性,使snmp有先天性的不足,难以用于复杂的网络管理,只适用于tcp/ip网络,在安全方面也有欠缺。已有snmpv1和snmpv2两种版本,其中snmpv2主要在安全方面有所补充。随着新的网络技术及系统的研究与出现,电信网、有线网、宽带网等的融合,使原来的snmp已不能满足新的网络技术的要求;cmip可对一个完整的网络管理方案提供全面支持,在技术和标准上比较成熟.最大的优势在于,协议中的变量并不仅仅是与终端相关的一些信息,而且可以被用于完成某些任务,但正由于它是针对snmp的不足而设计的,因此过于复杂,实施费用过高,还不能被广泛接受;分布对象网络管理技术是将corba技术应用于网络管理而产生的,主要采用了分布对象技术将所有的管理应用和被管元素都看作分布对象,这些分布对象之间的交互就构成了网络管理.此方法最大的特点是屏蔽了编程语言、网络协议和操作系统的差异,提供了多种透明性,因此适应面广,开发容易,应用前景广阔.snmp和cmip这两种协议由于各自有其拥护者,因而在很长一段时期内不会出现相互替代的情况,而如果由完全基于corba的系统来取代,所需要的时间、资金以及人力资源等都过于庞大,也是不能接受的.所以,corba,snmp,cmip相结合成为基于corba的网络管理系统是当前研究的主要方向。
网络管理协议
网络管理协议一般为应用层级协议,它定义了网络管理信息的类别及其相应的确切格式,并且提供了网络管理站和网络管理节点间进行通讯的标准或规则。
网络管理系统通常由管理者(manager)和代理( agent)组成,管理者从各代理那儿采集管理信息,进行加工处理,从而提供相应的网络管理功能,达到对代理管理之目的。即管理者与代理之间孺要利用网络实现管理信息交换,以完成各种管理功能,交换管理信息必须遵循统一的通信规约,我们称这个通信规约为网络管理协议。
目前有两大网管协议,一个是由ietf提出来的简单网络管理协议snmp,它是基于tcp / ip和internet的。因为tcp/ip协议是当今网络互连的工业标准,得到了众多厂商的支持,因此snmp是一个既成事实的网络管理标准协议。snmp的特点主要是采用轮询监控,管理者按一定时间间隔向代理者请求管理信息,根据管理信息判断是否有异常事件发生。轮询监控的主要优点是对代理的要求不高;缺点是在广域网的情形下,轮询不仅带来较大的通信开销,而且轮询所获得的结果无法反映最新的状态。
另一个是iso定义的公共管理信息协议cmip。cmip是以osi的七层协议栈作为基础,它可以对开放系统互连环境下的所有网络资源进行监测和控制,被认为是未来网络管理的标准协议。cmip的特点是采用委托监控,当对网络进行监控时,管理者只需向代理发出一个监控请求,代理会自动监视指定的管理对象,并且只是在异常事件(如设备、线路故障)发生时才向管理者发出告警,而且给出一段较完整的故障报告,包括故障现象、故障原因。委托监控的主要优点是网络管理通信的开销小、反应及时,缺点是对代理的软硬件资源要求高,要求被管站上开发许多相应的代理程序,因此短期内尚不能得到广泛的支持。
网络管理系统的组成
网络管理的需求决定网管系统的组成和规模,任何网管系统无论其规模大小如何,基本上都是由支持网管协议的网管软件平台、网管支撑软件、网管工作平台和支撑网管协议的网络设备组成。
网管软件平台提供网络系统的配置、故障、性能以及网络用户分布方面的基本管理。目前决大多数网管软件平台都是在unix 和dos/windows平台上实现的。目前公认的三大网管软件平台是:hp view、ibm netview和sun netmanager。虽然它们的产品形态有不同的操作系统的版本,但都遵循snmp协议和提供类似的网管功能。
不过,尽管上述网管软件平台具有类似的网管功能,但是它们在网管支撑软件的支持、系统的可靠性、用户界面、操作功能、管理方式和应用程序接口,以及数据库的支持等方面都存在差别。可能在其它操作系统之上实现的netview、 openview、netmanager网 管 软 件 平 台 版 本 仅 是 标 准netview、 openview、netmanager的子集。例如,在ms windows操作系统上实现的netview 网管软件平台版本netview for windows 便仅仅只是netview的子集。
网管支撑软件是运行于网管软件平台之上,支持面向特定网络功能、网络设备和操作系统管理的支撑软件系统。
网络设备生产厂商往往为其生产的网络设备开发专门的网络管理软件。这类软件建立在网络管理平台之上,针对特定的网络管理设备,通过应用程序接口与平台交互,并利用平台提供的数据库和资源,实现对网络设备的管理,比如cisco works就是这种类型的网络管理软件,它可建立在hp open view和ibm netview等管理平台之上,管理广域互联网络中的cisco路由器及其它设备。通过它,可以实现对cisco的各种网络互联设备(如路由器、交换机等)进行复杂网络管理。
网络管理的体系结构
网络管理系统的体系结构(简称网络拓扑)是决定网络管理性能的重要因素之一。通常可以分为集中式和非集中式两类体系结构。
目前,集中式网管体系结构通常采用以平台为中心的工作模式,该工作模式把单一的管理者分成两部分:管理平台和管理应用。管理平台主要关心收集的信息并进行简单的计算,而管理应用则利用管理平台提供的信息进行决策和执行更高级的功能。
非集中方式的网络管理体系结构包括层次方式和分布式。层次方式采用管理者的管理者mom(manager of manager)的概念,以域为单位,每个域有一个管理者,它们之间的通讯通过上层的mom,而不直接通讯。层次方式相对来说具有一定的伸缩性:通过增加一级mom,层次可进一步加深。分布式是端对端(peer to peer)的体系结构,整个系统有多个管理方,几个对等的管理者同时运行于网络中,每个管理者负责管理系统中一个特定部分 “域”,管理者之间可以相互通讯或通过高级管理者进行协调。
对于选择集中式还是非集中式,这要根据实际场合的需要来决定。而介于两者之间的部分分布式网管体系结构,则是近期发展起来的兼顾两者优点的一种新型网管体系结构
2.2常见的几种网络管理技术
基于web的网络管理模式
随着 internet技术的广泛应用,intranet也正在悄然取代原有的企业内部局域网,由于异种平台的存在及网络管理方法和模型的多样性, 使得网络管理软件开发和维护的费用很高, 培训管理人员的时间很长,因此人们迫切需要寻求高效、方便的网络管理模式来适应网络高速发展的新形势。随着intranet和web 及其开发工具的迅速发展,基于web的网络管理技术也因此应运而生。基于web的网管解决方案主要有以下几方面的优点:(1)地理上和系统间的可移动性:系统管理员可以在intranet 上的任何站点或internet的远程站点上利用 web 浏览器透明存取网络管理信息;(2)统一的web浏览器界面方便了用户的使用和学习,从而可节省培训费用和管理开销;(3)管理应用程序间的平滑链接:由于管理应用程序独立于平台,可以通过标准的http协议将多个基于web的管理应用程序集成在一起,实现管理应用程序间的透明移动和访问;(4)利用 java技术能够迅速对软件进行升级。 为了规范和促进基于web的网管系统开发,目前已相继公布了两个主要推荐标准:webm和jmapi。两个推荐标准各有其特色,并基于不同的原理提出。
webm方案仍然支持现存的管理标准和协议,它通过web技术对不同管理平台所提供的分布式管理服务进行集成,并且不会影响现有的网络基础结构。 jmapi 是一种轻型的管理基础结构,采用jmapi来开发集成管理工具存在以下优点:平台无关、高度集成化、消除代理程序版本分发问题、安全性和协议无关性。
2.分布对象网络管理技术
目前广泛采用的网络管理系统模式是一种基于client/server技术的集中式平台模式。由于组织结构简单,自应用以来,已经得到广泛推广,但同时也存在着许多缺陷:一个或几个站点负责收集分析所有网络节点信息,并进行相应管理,造成中心网络管理站点负载过重;所有信息送往中心站点处理,造成此处通信瓶颈;每个站点上的程序是预先定义的,具有固定功能,不利于扩展。随着网络技术和网络规模尤其是因特网的发展,集中式在可扩展性、可靠性、有效性、灵活性等方面有很大的局限,已不能适应发展的需要.
corba技术
corba技术是对象管理组织omg推出的工业标准,主要思想是将分布计算模式和面向对象思想结合在一起,构建分布式应用。corba的主要目标是解决面向对象的异构应用之间的互操作问题,并提供分布式计算所需要的一些其它服务。omg是corba平台的核心,
它用于屏蔽与底层平台有关的细节,使开发者可以集中精力去解决与应用相关的问题,而不必自己去创建分布式计算基础平台。corba将建立在orb之上的所有分布式应用看作分布计算对象,每个计算对象向外提供接口,任何别的对象都可以通过这个接口调用该对象提供的服务。corba同时提供一些公共服务设施,例如名字服务、事务服务等,借助于这些服务,corba可以提供位置透明性、移动透明性等分布透明性。
corba的一般结构
基于corba的网络管理系统通常按照client/server的结构进行构造。其中,服务方是指针对网络元素和数据库组成的被管对象进行的一些基本网络服务,例如配置管理、性能管理等.客户方则是面向用户的一些界面,或者提供给用户进一步开发的管理接口等。其中,从网络元素中获取的网络管理信息通常需要经过corba/snmp网关或corba/cmip网关进行转换,这一部分在有的网络管理系统中被抽象成corba代理的概念.从以上分析可以看出,运用corba技术完全能够实现标准的网络管理系统。不仅如此,由于corba是一种分布对象技术,基于corba的网络管理系统能够克服传统网络管理技术的不足,在网络管理的分布性、可靠性和易开发性方面达到一个新的高度。
2.3统一不同的网络管理系统面临的问题
统一的不同层面
网络管理的统一存在三个层次。
站点级的统计,这是最低级的统一,不同的网络管理系统在同一服务器上运行,相互独立,是不同的nms。
gui级的统一,指不同的网络管理系统操作界面风格统一,运用的术语相同,管理员面对的是一种操作语言,这是一种表面上的统一,具有友好的一次性学习的界面。
管理应用级的统一,这是最高级别的统一。在这个级别上,不但实现了gui的统一,各种网络管理系统的管理应用程序按照统一标准设计,应用程序间可进行信息共享和关联操作。在这一层面上的统一实现了对异构网的综合分析与管理,进行关联操作,网管系统可具有推理判断能力。
统一的内容
网络管理系统统一可从三个方面依次去实现,即操作界面的统一、网管协议的统网管功能的统一。
界面的统一
网络管理系统是管理的工具,但归根到底是要人去操作管理,操作界面的优劣会对管理员产生很大影响。不同网管系统具有不同的操作界面,要求管理员分别学习,或增加管理员人数,形成人力浪费。现在没有统一的网管用户界面的统一标准。现有的网管系统几乎都实现了图形界面,但既有基于unix操作系统的又有基于windows操作系统,且界面的格式千差万别,给管理员的工作增加困难。
网管协议的统一
管理协议是nms核心和管理代理之间进行信息交换遵循的标准,是网管系统统一的关键所在。目前流行的两种网管协议为snmp(simple network management protocal)和cmis/cmip(common mangement information protocal).snmp是由互联网活动委员会iab提出的基于tcp/ip网管协议,cmip是由国际标准化组织iso开发的基于网络互联的网管协议。网管协议的统一就是指这两种协议的统一
网管功能的统一
在iso标准中定义了配置管理、故障管理、性能管理、安全管理、计费管理等领域。现有的网管系统在网管规范尚未成熟就进行了开发,大都是实现了部分模块的部分功能。这些网管系统功能单一,相互独立,不能实现信息的共享。不能从宏观上实现管理,不利于网络的综合管理。
统一的策略
将多个网络管理系统统一在一起的方法有三种,一种是格式转换法,即各个子网管理系统通过代理程序进行格式的转换,以便相互识别和共享资源,是一种分散式管理方式。另一种使用分层网管平台,即建立更高级的管理系统,高级网管系统和低级网管系统间进行通信,分层管理,是一种分布式管理方式。第三种是标准化方法,是遵循标准的规范和协议,建立的综合网络管理系统。
使用分层的网管平台是当前较为流行的方法,如现在广泛研究和讨论的基于corba的tmn(telecomunication management network)就是将tmn中的管理者通过orb(object request broker)连接起来,实现不同管理系统的统一。
格式转换法是目前使用较多的方法,如运营商要求网管系统对外提供统一的数据收集、告警信息。
协议标准化方法是统一网络管理系统的趋势和方向,电信管理网tmn就是在电信领域内的一种标准协议,使得不同的厂商、不同的软硬件网管产品的统一管理成为可能。标准化实现统一的网管功能,包括网管协议的标准化、管理信息集模型的标准化和高层管理应用程序功能的统一规划。
格式转换和应用网管平台的策略是基于现有网管系统的基础上统一网管系统,而标准法策略则不考虑现有网管系统而重新设计一套新的标准,或是对现有网络管理系统进行较大改进,考虑到我们当前的网络管理发展的现状,还是以格式转换和应用网管平台方式统一网络系统。
网络管理系统实现统一的方法
当前网络管理的统一主要涉及两个方面,一是网管协议的统一。另一种是分布系统的统一,即在corba环境下的统一。它是基于面向对象的网管平台和格式转换的策略。
2.4网络管理协议snmp和cmip的统一
snmp和cmip在它们的范围、复杂性、以及解决网络管理问题的方法方面有很大的不同。snmp被设计的很简单,使它非常易于在tcp/ip系统中普及。目前这已经成为事实。可是这一特点也不太适合大型的、复杂的、多企业的网络。相对应的,cmip被设计的比较通用和灵活。但这也同时提高了复杂性。snmp和cmip的统一是指分别支持这两种协议的网络管理系统信息互通,互相兼容。
snmp和cmip统一有两种思想,一种是两种协议共存,一种是两种协议的互作用。
常用网络安全标准篇(6)
计算机网络安全评价是计算机网络安全保障中的一个重要系统。计算机网络在应用过程中,会因为受到漏洞、病毒等因素的影响,从而出现各种各样的安全问题,影响计算机网络应用安全。这时候也就需要应用计算机网络安全评价体系,为计算机网络安全提供有效保障。传统线性评价方法在目前计算机网络安全评价中评测精度较低,从而导致评价结果不佳。基于神经网络的计算机网络评价体系,能够满足当前计算机网络安全应用需求,因此得到广泛应用。本文重点分析神经网络下的计算机网络安全评价体系设计。
【关键词】网络安全;神经网络;评价体系
1计算机网络安全评价体系
计算机网络复杂性较高,影响计算机网络安全因素也比较多,计算机网络安全评价体系的科学合理化设计,有助于有效发挥评价体系的作用。其中在具体评价体系设计中,因为描述因素不同,其评价取值规则也具有差异,之中包括有定量评价指标以及定性评价指标。其中关于定量评价指标,则需要依照评价网络系统的实际情况确定取值范围,还有一部分定性指标也可以通过专家评级方式进行确定,依照计算机网络在评价中的实际情况制定相应的评价等。不同的指标也能够从不同角度评定计算机网络的安全性,指标之间的取值范围没有可比性。为了能够确定评价指标,同时考虑到神经网络训练的收敛问题,则需要是实施指标的标准化处理。其中关于定量指标,基于衡量单位之间的差异,标准化处理确定取值范围在0~1之间;对于定性指标则采用专家打分法,为例确保其和定量之间的可比性,则也需要对其实施标准化处理。通常来讲评价结果分成四个等级,分别为:安全,网络安全保障能力较强,在应用中安全性较高;基本安全;网络安全保障能力还可以,应用中可以确保基本安全;不安全,网络安全保障能力较弱,在应用中存在一定的安全隐患;很不安全,网络安全保障能力非常差,在应用中安全风险较大。在计算机网络安全评价体系设计中需要满足以下几方面需求,分别为:可行性、简要性、独立性、完备性以及准确性。只有这样才能够基于实际需求,提高计算机网络安全评价体系设计的合理性和科学性。
2计算机网络安全评价体系设计及实施步骤
本文以神经网络为例,分析计算机网络安全评价体系的设计及实施。
2.1神经网络下计算机网络安全评价体系设计
关于神经网络下计算机网络安全评价体系的设计,则主要包括三部分,其中分别为输入层、隐含层以及输出层,具体的设计如下:
2.1.1输入层在输入层神经元节点数量确定中,则一定要和计算机网络安全评价指标数量一样。例如在计算机网络安全评价体系中,二级指标共设计18个,那么在实施输入层神经节点数量的时候,必定也是18个。
2.1.2隐含层通常神经网络应用的均为单向隐含层。在对其设计过程中,隐含层节点数量对神经网络性能具有直接影响。如果隐含层节点数量设计比较多的话,则会延长神经网络的学习时间,甚至还有可能会导致不能收敛;如果隐含层节点数量设计比较少的话,则会影响神经网络的容错能力。因此在其具体设计过程中,则需要依照经验公式确定出现隐含层的节点数量,一般情况下隐含层节点数量为5个。
2.1.3输出层关于神经网络输出层的设计,则主要是针对计算机网络安全评价结构。假设在神经网络输出层设计2个节点,其中如果输出结果显示(1,1)则代表安全;如果输入(1,0)则代表基本安全;如果输出(0,1)则代表不安全;如果输出(0,0)则代表非常不安全。
2.2神经网络下计算机网络安全评价步骤
在计算机网络安全评价模型中,关于计算机网络安全的具体评价步骤,则主要分为:①完善计算机网络安全评价体系设计及构建;②对神经系统实施粒子群优化算法实施优化,以能够避免神经网络在实际应用中存在的局限性。其中关于其具体优化过程则包括:①初始化设置神经网络目标向量、结构以及传递函数等等数据;②设计粒子群初始速度、迭代次数、规模、初始位置、参数位数以及动量系数等等;③对神经网络实施粒子群训练集训练,从而确定其适应度值;④对比分析每个粒子历史,当前适应度值及最好适应度值。如果对比发现适应度值更优于历史最好适应度值,那么也就可以保存目前的粒子适应度值,并将其作为是系统的个体粒子历史最好适应度值;⑤将离子的惯性权值计算出来;⑥更新各个粒子速度及位置,对于各个粒子和粒子群所具有的系统适应度值误差,则需要对其一一记录;⑦判定出具体的系统适应度值误差,如果其误差结果显示在允许最大迭代次数之外,或者已经达到设定误差限值,那么即可以结束训练。在神经网络中,粒子全局历史则为其最优解,最有位置则是最佳权值。在完善神经网络模型优化之后,则可以用来实现计算机网络安全评价工作。
3结语
在网络技术迅速发展环境下,计算机网络应用安全也成为关注热点。其中在神经网络下计算机网络安全评价体系设计中,神经网络技术能够保障系统不断总结自身规律,适应环境,从而将其运行过程中的控制、识别以及运算问题有效完成,另外神经网络在应用中还要具有自行处理技术,能够显著提高其工作效率,因此在计算机网络安全评价体系设计中可以不断加大神经网络应用,以提高计算网络应用安全。
参考文献
[1]李忠武,陈丽清.计算机网络安全评价中神经网络的应用研究[J].现代电子技术,2014,10:80~82.
[2]原锦明.神经网络在计算机网络安全评价中的应用研究[J].网络安全技术与应用,2014,04:52~53.
[3]王昱煜.计算机网络安全评价中神经网络的应用研究[J].信息通信,2015,04:144.
[4]胡波,李俊菊.神经网络在计算机网络安全评价中的应用[J].网络安全技术与应用,2015,07:78+81.
[5]夏宁.网络安全评价量化方法研究[D].长春理工大学,2007.
常用网络安全标准篇(7)
关键词:气象台站局域网设计与维护
随着台站业务自动化程度的提高,各气象台站实现了以局域网为依托,光纤宽带或ADSL宽带通信为纽带的气象业务资料省、市、县3级共享,在各单位内部,也均实现了探测资料、预报服务资料多机共享的运行模式,台站的业务、办公、服务等形成了以计算机为依托的高效运转机制。为保证台站现代化业务、预报、服务工作的顺利开展,在资料准确性、资料共享设置方面提供了充分保障外,网络的通畅和安全的重要性也在不断增强。该文结合台站组网采用的技术手段和特点,阐述了局域网维护的相关问题。
一、台站局域网现用的运行模式
黑龙江省气象局为各县市提供业务服务所用的文件服务器,使各县市登陆到省局服务器存取资料,实现了资料共享的高效和高速运行方式,但台站因业务需求、业务软件自身特点等多方面原因,大都采用星型对等网的模式进行连接,可部分单位已在宽带服务器上设置了包括文件服务器在内的多种服务方式,这对提高内网效率有重要意义。
二、局域网的常见故障原因
典型的气象台站局域网主要有:服务器、工作站、网络接口卡、传输介质以及网络连接涉及到的网卡、网桥、路由器、网关、网线、集线器(Hub)、交换机(Switch)等设备,同时局域网还包括相关网络协议和通信介质及网络建立和运行所必须的相关软件[1]。任何设备和环节出现问题都会造成网络故障,一般表现为网络不通、时通时断、通讯不畅、传输文件慢、显示IP冲突、网络服务不可用以及网络数据的保密性、完整性、可用性受到破坏等现象,使网络不能正常使用。
(1)连网后网卡后面的灯和Hub上相对的端口灯不亮。这属于网线连接问题,更换一根网线,如果灯仍然不亮,则可以考虑是网卡或Hub的端口有硬件故障所致。
(2)Ping127.0.0.1出错。这可能是TCP/IP协议安装不正常,应删除TCP/IP协议并重新启动再重新安装TCP/IP。
(3)Ping局域网内其他电脑的IP地址不通。出现此问题时,应检查网络连线、Hub及网卡的中断与设置。
(4)无法浏览其他机器上的共享资源。出现此问题是由于没有安装“Microsoft网络上文件及打印机共享”,还可能是未设置共享资源,或未安装文件和打印共享所致,应将需要共享的磁盘、文件夹或打印机设置为共享。
(5)可浏览本地资源但是无法共享Modem上Internet。这可能是本地机器TCP/IP协议中的网关和DNS地址未设置为服务器的IP地址,应重新设置[2]。
三、台站局域网防雷安全维护
目前,计算机和网络设备都采用大规模集成电路为主的格式。晶片越来越小、功能越来越强,而整体耐过电压,耐过电流的水平却直线下降,因而对浪涌电压(SURGE)的防护要求也越来越高。雷击、感应雷击、电源尖波等瞬间过电压已成为破坏电子设备的罪魁祸首。每年都有部分台站因雷击造成Hub、网卡、计算机、打印机等设备损坏的事故发生,其中有些还对业务运行造成一定影响。因此,做好网络防雷也是局域网维护的一项重要工作。台站网络传输主要使用光纤和双绞线,连接的物理结构通常由光纤引入机房,通过光纤收发器转入路由器或计算机,而后从路由器接入交换机(或Hub)连接站内各计算机;或者是通过电话线引入ADSL专用线路,而后构建内部星型网[3]。
四、台站局域网的连接管理
台站局域网连接过程中,经常涉及的网络设备包括:光纤收发器、ADSL、路由器、交换机、Hub、网卡和光纤、双绞线。其中除双绞线之外的设备,受技术手段限制,在维护过程中,只需正确做出“正常”、“不正常”或“损坏”的判断就已足够。双绞线是在故障维护过程中唯一可以加以处理的部件,其作为一种最常用的网络连接工具,接法按照10/100BASET的规定有T568A和T568B2种固定的标准,即T568A绿白、绿、橙白、蓝、蓝白、橙、棕白、棕;T568B橙白、橙、绿白、蓝、蓝白、绿、棕白、棕。其常用的接线方法有2种,一种是平行线(也叫直连线),指双绞线的两头采用同样的做法或者两头都用T568A标准,或者两头都用T568B标准的做法;另一种是交叉线,指一头用T568A标准,另外一头用T568B标准(两头不一样)的做法。通常“计算机计算机”采用交叉线;“计算机交换机(或Hub)”采用平行线;“交换机(或Hub)交换机(或Hub)”采用交叉线或者平行线。
局域网应用过程中任何设备和环节出现问题都会造成网络故障,一般表现为网络不通、时通时断、通讯不畅、传输文件慢、显示IP冲突、网络服务不可用以及网络数据的保密性、完整性、可用性受到破坏等现象,因而,必须认真分析局域网,发生故障的可能原因并采取有效的维护措施,科学而全面的检查局域网以保证气象网络的正常运行。
参考文献:
[1]潘绍美,闵利平,黄平.浅析气象网络安全[J].硅谷,2008(4):20.
