序論:在您撰寫網絡安全預警時,參考他人的優秀作品可以開闊視野��,小編為您整理的7篇范文�,希望這些建議能夠激發您的創作熱情���,引導您走向新的創作高度。
第1篇
關鍵詞:水利��;網絡�;風險���;體系
2019年6月����,水利部網信辦《水利網絡安全管理辦法(試行)》����,文件指出,水利網絡安全遵循“積極利用����、科學發展����、依法管理、確保安全”的方針�,建立相應的應對機制���,能夠及時發現系統中的問題并處理���,以此來確保網絡系統的安全性����,保障水利信息建設的順利進行。
1.水利網絡安全面臨的風險
1.1網絡攻擊
目前��,水利關鍵信息基礎設施網絡安全面臨前所未有的威脅�����、風險和挑戰����,也是可能遭到重點攻擊的目標�����?!拔锢砀綦x”防線可被跨網入侵��,調配指令可被惡意篡改����,信息可被竊取����,這些都是重大風險隱患�。截止到目前,水利部門機關已經預防了上百萬次網絡攻擊��,攻擊的主要目標是水利部網站�����,針對這些大規模的網絡武器級攻擊��,水利部門迫切需要建立一個安全的��、高效的水利網絡安全監測與預警體系���。
1.2安全措施不夠健全
雖然當前大部分機關部門都已經制定了網絡安全管理制度,但是由于各種外界和內在的因素����,再具體的工作中尚沒有落實到位��。盡管當前相關部門已經建立了眾多防護設備�,例如防火墻等����,但是在現在的體制中還缺乏一個較為完善的網絡安全監測與預警體系,再加上已形成的機制中還存在不科學����、不嚴謹的問題�����,工作人員不能及時發現出現的網絡風險。
1.3對出現的安全漏洞處理不及時
目前���,大部分單位都能夠定期對網絡漏洞進行掃描,但是由于人力和技術有限�,這就使得大部分部門針對漏洞的處理只停留在檢查報告的層面,而沒有針對漏洞本身及時采取相應的處理措施,最終導致漏洞長期存在系統中�,對其后續安全的運行造成嚴重影響。
2.水利網絡安全監測與預警體系的構建
2.1構建水利網絡安全監測體系
首先�����,要聯合多個部門形成較為健全���、完善的監測機制�����。水利部門要和行政部門等其他形成多級監測架構�。其中���,水利部門主要負責對涉及到本行業網絡的安全性能進行監測。而行政機構主要是負責本單位及其下屬部門的網絡安全性的監測���。其次�,要對信息進行收集����,同時對收集到的信息進行認真的分析�,篩選出對水利網絡安全不利的信息,以此為依據制定相應的預防策略����,從而實現對可能出現的水利網絡安全風險的有針對性的、科學性的安全事前預警��。再次����,開展互聯網服務安全監測。水利部門的信息網站是其開展各種業務�����、進行各種活動的主要平臺之一���,因此,在實際的工作中要注意對水利部門信息網站和一些網絡業務的監測���,避免有病毒木馬的入侵,為水利部門的安全運行提供保障�����。對一些水利相關的業務主要是由水利部門負責其網絡安全監測����,而行政機構主要是負責本單位及其下屬部門的網絡安全性監測���。此外,還可以采取掃描和風險評估的技術對系統中可能出現的安全問題進行監測和分析�����,對網站內各個系統以及相應的設備進行網絡安全監測����,并將監測的結果以報告的形式呈現,為管理者提供相應的決策依據���。針對水利部門專網的安全掃描主要包括各種信息設備、網絡�,而針對服務器的掃描主要包括一些目錄、文件等�,針對網絡安全性的草廟主要包括對路由器���、防火墻等設備�����。在系統存儲關鍵信息的位置也需要設置相應的網絡安全監測機制,對文件傳輸內容及其傳輸環境情況進行進一步的分析和監測�,確定安全之后才可以進行后續操作。最后�,要注意對水利信息網內部的風險監測工作。通過內部的安全管理平臺���,對水利信息部門的服務器���、數據庫���、網絡設備等軟件和硬件日志進行收集���,以便及時了解防火墻等設備的預警信息���,實現全方面的網絡安全監測����。同時還要對收集到的信息進行篩選和分類�����,分析其中的相關性,從整體的角度對系統中存在的風險進行進一步的分析�,從而制定相應的策略���,設置網絡安全事件響應級別��,使水利行業整體效益發揮到最大���。此外����,水利部門還要在內部建立聯動機制����,整合人力和資源進行網絡安全信息數據收集���。在水利信息安全管理平臺中包括展示層、功能層���、應用接口層�、采集層��。其中展示層包括可視化管理����、綜合展現管理、全國狀態展現�、告警與響應�、報表管理。功能層包括安全事件��、威脅態勢�����、安全策略�����、風險評估、預警管理�����、資產管理等�����。應用接口層主要是進行資產�、工單��、認證統一展示��。采集層包括資產采集�����、拓撲采集�、性能采集���、日志采集���、策略采集、弱點采集����。
第2篇
1.1網絡及安全技術網絡安全技術涉及到的層面較多��,本節主要分析系統自身安全����。基于角色的訪問控制��,作為現階段最具有發展前景的訪問模式���,已經充分的引起民眾的廣泛關注。和以往的權限直接下放到用戶自身的手里相對比��,在RBAC程序當中����,權限和用戶之間存在一定的聯系�,每一個“角色”則是一個用戶或者一批用戶的操控整合。注冊用戶在通過管理員同意之后賦予特定的訪問權限以及操作權限后�����,能夠大幅度的降低授權管理的工作任務量���。在某個特定的組織結構當中,角色是為了滿足特定的任務組建而成。角色可以按照實際需要以及系統自身的整合系統而被授予特定的權限�,而對于這些權限功能也隨著工作任務的完成被整體進行回收����。在一個程序當中授權給注冊用戶的訪問權限�,一般情況下通過注冊用戶在某個特定程序當中的角色來承擔。1.2工作流技術工作流的前提條件是計算機工作�,軟件的全部功能的實現��,以及部分功能的自主化�,甚至半自主化管理都是以此前提實現的�。整個流程有電腦軟件控制運行的現象稱為工作流。整個管理系統存在一個的核心部分�����,這一部分是工作流引擎��。在完成相應的定義之后��,根據其運行的需要����,注釋被提出����,數據模擬等也被一并提出。工作流的概念與計算機關系密切�����,它的界定需要借助計算機技術���,同時工作流的運行,管理�����,以及信息傳遞等都需要得到計算機技術的支持���。工作流的調配和功能完成是通過工作流引擎完成的。工作流引擎是工作流的主要內容�,它不僅可以建立執行過程���、執行管理系統�,而且還能監管功能等。過程模型和基本業務流程兩者關系甚密��。一個流程亦或是其子流程�,是由諸多活動組合出的�����,而完整業務流程,則是一個亦或是多個子流程的集合��,且在活動階段內也各有不同的執行聯系�。
2網絡安全預警結構設計
系統設計的根本目的是通過大量收集并歸類分析用戶網絡行為�����,進一步通過數據挖掘和特征分析算法分析出其內在的規律并以此規律作為網絡安全預警的主要依據�,通過對大量用戶的網絡行為聚類和預測,及時發現并切斷不安全網絡行為��,從根源上切斷網絡不安全因素���。網絡安全預警結構包括用戶網絡行為采集模塊�����、服務器安全中心模塊、系統管理員模塊等�,針對使用行為展開建模,通過研究得到能夠表示�����、測量使用行為的特征值�����,從定量的角度對使用行為進行描述�����。這種模型不但能夠將網絡使用行為的實際情況呈現出來,而且能夠進行自我學習���,對行為變化順序進行總結���,并掌握其規律,將規律應用到使用行為中去��。
3系統設計與實現
3.1ADO.NET結構設計數據訪問層的位置處于這一系統的最底層�����,且其只擁有一個基礎的單元數據庫�����,也就是Database,然而數據訪問層的作用卻十分重要�,原因在于數據庫內容納有該系統全部的數據信息,故而數據訪問層的安全和整體系統的安全都是密切聯系�����、息息相關的����。論文主要借助ADO.NET針對網絡行為管理以及數據庫進行交接�����。對于ADO.NET是借助數據源通過一定的轉換完成和數據庫的對接�����。微軟將其明名為ADO.NET����。由于此數據庫在NET編碼的背景下完成的數據現結�����。同時其最大的優點在于能夠和不同種類的數據進行相互匹配和銜接�����,很大程度上簡化了研發者的工作量�。3.2系統網絡架構設計在此次研發的系統當中����,還需要在服務器創建對應的儲存列陣以及服務器匯集的網絡程序,在此次研究過程當中重點用區域網路來存儲數據��,在存儲數據的時候�����,分不同的區域來存儲�,最后通過集群技術來調取,保證各區域數據能夠相互作用�。主要運用了數據庫��、web等幾種類型���。同時借助多機冗余方式來保障系統自身的安全可靠運行。在交換機外部明確防火墻和相關入侵系統的檢測體制�,更好的抵御危險。在系統與數據庫相互訪問時��,為了更好地讓數據在其中流動,可以根據時間段����、關鍵字等更便捷地獲取數據,保證定位以及相關的請求能夠準確地發送和傳遞����。另外,通過多重的相互確認可以更快地訪問���。為了確保系統安全��,系統通過部署信息強隔離裝置、防火墻及入侵檢測設備等相關障礙��,可有效阻止外界的入侵�,即時發現和消除網絡安全威脅�����,系統限制同一用戶在同一時間內的登錄次數�����,若連續多次登錄失敗�,系統自動斷開連接���,并在一定時間內用戶無法繼續登錄���。實現設備特權用戶的權限分離���,系統不支持時應部署日志服務器保證管理員的操作能夠被審計��,并且網絡特權用戶管理員無權對審計記錄進行操作��。3.3系統實現本文主要利用的是WindowsServer2008操作系統平臺��,采用的硬件設備CPU為英特爾酷睿i5����,主頻3.0GHz�����。系統運行內存為16GB�����,存儲空間8TB,網絡帶寬20M獨享�。系統數據存儲軟件是MSSQLServer2015��。
4結論
針對網絡迅速發展過程中的存在的安全問題,提出了一種基于網絡行為分析的網絡安全預警系統����,該系統通過對大量用戶的網絡行為聚類和預測,及時發現并切斷不安全網絡行為����,從根源上切斷網絡不安全因素���。系統采用數據挖掘算法挖掘惡意網絡行為內在規律��,系統采用ASP.NET框架以及SQLServer2012數據庫��,選用工作流技術為主要技術。系統設計完成后經過實際測試表明�����,系統運行穩定�,在網絡安全預警實時性和精確度方面滿足要求。
參考文獻
[1]蔣勵,張家錄.基于網絡安全事件的預警系統設計[J].湖南理工學院學報(自然科學版),2016,29(02):30-37.
第3篇
關鍵詞:網絡安全預警���;NAT���;防火墻/NAT的穿越
0網絡安全預警系統
0.1功能及體系結構
目前的網絡安全預警系統通常采用多層式結構����,以入侵檢測系統作為中心,對受保護的網絡進行安全預警�����。該類系統通常由嗅探器模塊�、安全管理中心����、遠程管理系統服務器、遠程終端管理器組成���。嗅探器模塊按一定策略檢測網絡流量,對非法的流量進行記錄以便審計����,并按照安全策略進行響應;安全管理中心管理嗅探器運行�,并生成及加載嗅探器需要的安全策略���,接受嗅探器的檢測信息��,生成審計結果����;遠程管理系統服務器負責監聽控制信息�����,接收控制信息傳遞給安全管理中心����,為實現遠程管理實現條件����;遠程終端管理器為用戶提供遠程管理界面���。
0.2局限性
(1)目前的網絡安全預警系統主要以入侵檢測系統的檢測結果作為預警信息的主要來源�����。由于入侵檢測系統檢測的被動性�����,使得預警自身就存在被動性��,無法積極對受保護的網絡實施預警���。
(2)新的攻擊手段層出不窮�����,而作為中心的入侵檢測系統在新的攻擊面前顯得力不從心�����。雖然目前也出現了一些啟發式的檢測方法��,但是由于誤報率或者漏報率比較高�����,在實際使用時也不太理想���。
(3)預警信息傳送的時效性。目前令人可喜的是用戶己經注意到了安全問題�����,所以采用了一些安全部件如防火墻�、入侵檢測系統等對網絡進行保護���。
(4)傳統的網絡預警系統中著重在預警,相應的響應很少或者沒有��。
1 NAT技術
1.1概念
NAT����,即Networ Address Translation,可譯為網絡地址轉換或網絡地址翻譯�。它是一個IETF標準�,允許一個機構以一個地址出現在Internet上�。NAT將每個局域網節點的地址轉換成一個IP地址�,反之亦然��。它也可以應用到防火墻技術里����,把個別IP地址隱藏起來不被外界發現,使外界無法直接訪問內部網絡設備�。同時,它還幫助網絡可以超越地址的限制����,合理地安排網絡中的公有Internet地址和私有IP地址的使用。
1.2分類
1.2.1靜態NAT(Static NAT)
即靜態轉換靜態轉換是指將內部網絡的私有IP地址轉換為公有IP地址����,IP地址對是一對一的,是一成不變的�����,某個私有IP地址只轉換為某個公有IP地址�。私有地址和公有地址的對應關系由管理員手工指定���。借助于靜態轉換�,可以實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問�,并使該設備在外部用戶看來變得“不透明”。
1.2.2動態地址NAT(Pooled NAT)
即動態轉換動態轉換是指將內部網絡的私有IP地址轉換為公用IP地址時�����,IP地址對并不是一一對應的����,而是隨機的����。所有被管理員授權訪問外網的私有IP地址可隨機轉換為任何指定的公有IP地址��。也就是說���,只要指定哪些內部地址可以進行轉換,以及用哪些合法地址作為外部地址時��,就可以進行動態轉換�����。每個地址的租用時間都有限制����。這樣,當ISP提供的合法IP地址略少于網絡內部的計算機數量時�����,可以采用動態轉換的方式����。
1.2.3網絡地址端口轉換NAPT(Port-Level NAT)
即端口多路復用通過使用端口多路復用���,可以達到一個公網地址對應多個私有地址的一對多轉換���。在這種工作方式下,內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問�����,來自不同內部主機的流量用不同的隨機端口進行標示��,從而可以最大限度地節約IP地址資源����。同時���,又可隱藏網絡內部的所有主機�,有效避免來自Internet的攻擊���。因此,目前網絡中應用最多的就是端口多路復用方式�。
1.3常用穿越技術
由于NAT的種類不同����,所以具體對于NAT的穿越技術也有所不同。目前比較典型的穿越技術是協議隧道傳輸和反彈木馬穿透�����。前者��,采用直接從外網往內網連接的方式�,利用防火墻通常允許通過的協議(如HTTP協議)�,將數據包按協議進行封裝,從而實現從外網向內網進行數據傳輸��,但是如果數據在通過防火墻時經過了NAT轉換���,就會失效;后者是采用由內向外的連接方式�����,通常防火墻會允許由內向外的連接通過����,但是沒有真正解決防火墻的穿越問題,無法解決對于由外向內的對實時性要求較高的數據傳輸����,并且對于應用型防火墻��,穿越時也比較困難���。
2網絡安全預警系統中防火墻/NAT的穿越
2.1應用型防火墻檢測及信息注冊模塊
本模塊主要用于驗證發送方和接收方的報文是否能通過自身所在網絡的防火墻��,尤其是穿越應用服務器的注冊相關信息��,并獲取必要的信息�����。
當發送方或接收方存在應用型防火墻時,可由發送方或接收方連接服務器����,從而建立映射關系。由于發送方或接收方采用TCP連接方式連接服務器�,所以映射關系可以一直保持����。所以當服務器與主機連接時只需要知道相應的服務器地址��、端口即可�,而這些信息又可以從全局預警中心的注冊信息中獲得,從而解決了穿越應用型防火墻的問題���。
2.2 NAT映射維持模塊
本模塊主要根據NAT及包過濾�����、狀態檢測型防火墻檢測模塊的檢測結果����,反映出不同的映射維持。
當接收方所在網絡存在NAT時����,經過映射維持����,使得在接收方所在網絡的NAT處始終保持了一條接收方外網地址與內網地址的映射關系,從而使得發送方只要根據接收方的外網地址和端口即可與接收方直接通信���,從而解決了外網與內網直接通信的問題。
當接收方所在的網絡不存在NAT����,但存在狀態檢測、包過濾類型的防火墻時����,由于不斷發送的NAT維持報文的存在,相應地在防火墻處開放了相應的端口�,使得發送方可以從外到內通過此端口進行信息傳送。
2.3信息傳送模塊
防火墻的問題����。對于一般類型的包過濾�、狀態檢測防火墻,因為通信內容已封裝成HTTPS協議的格式����,所以對于從防火墻內部向外部的連接可穿越此類型的防火墻。對于從防火墻外部到內部的連接��, NAT映射維持模塊中NAT映射報文的存在也巧妙的解決了信息傳送的問題�。
3結束語
本文采用HTTPS封裝實際傳輸數據���,可以使得數據安全傳送�����,保證了信息可以穿越防火墻/NAT進行。但也存在著增加硬件額外開銷�����、NAT映射相對維持報文較頻繁等缺點��,這些有待在進一步的研究中予以解決�����。
參考文獻
[1]肖楓濤.網絡安全主動預警系統關鍵技術研究與實現 [D].長沙:國防科學技術大學��,2009.
[2]張險峰等.網絡安全分布式預警體系結構研究[J].計算機應用�����,2011(�����,05).
第4篇
1系統架構
網絡安全事件預警系統的體系結構如圖1所示���,其中的系統中心、流檢測服務器���、載荷檢測服務器�����、配置管理服務器是系統的邏輯組成部分�,并非是必須獨立的硬件服務器�����。對于中等規模的網絡可以運行于一臺硬件服務器上�。
2系統處理流程
如圖1所示,以檢測流經路由器R1的流量為例��,介紹系統的處理流程�。
(1)路由器R1生成流記錄��,并將記錄輸出到流檢測服務器�����。流記錄符合IPFIX格式���,流以五元組(SrcIP���、SrcPort���、DestIP�����、DescPort��、Protocol)標識。
(2)流檢測服務器采用基于流特征的檢測方法對流量進行檢測�,將流量分成正常流量和安全事件流量,并將分類結果發送系統中心����。
(3)系統中心根據安全事件策略庫中的監控策略分析檢測結果�����,這里會出現三種情況�����。流量正常不需要控制,系統顯示檢測結果���;檢測結果達到控制標準,發出預警或通知��。需要深度包檢測��,通知配置服務器鏡像R1上特定流量��。
(4)配置服務器向R1發出相關鏡像配置命令�����。
(5)R1執行鏡像命令�����,通過鏡像鏈路鏡像相應流量���。
(6)載荷檢測服務器對這些數據報文進行捕捉并通過深度包檢測方法確定進行分析。
(7)顯示檢測結果����,對安全事件發出預警或通知服務器����。
網絡預警系統檢測方法研究
1流特征檢測方法
基于流記錄特征的流量分析技術主要應用NetFlow技術�����,對網絡中核心設備產生的NetFlow數據進行分析、檢測分類�����、統計�����。NetFlow協議由Cisco公司開發��,是一種實現網絡層高性能交換的技術��。它運行在路由器中動態地收集經過路由器的流的信息,然后緩存在設備內存中����,當滿足預設的條件后,將緩存數據發送到指定的服務器�����。一個信息流可以通過七元組(源IP地址�、目的IP地址���、源端口號�、目的端口號���、協議類型、服務類型����、路由器輸入接口)唯一標識。
數據流檢測的數據流程主要為:操作人員啟動采集����,程序通過libpcap對相應端口中的NetFlow數據進行接收�����,先緩存直內存中,達到一定數量后壓縮存儲直對應的文件中�,進行下一次接收,同時定時啟動分析模塊���,調入NetFlow規則庫并調取相應的壓縮NetFlow數據文件,對數據進行處理后�����,將NetFlow數據內容與規則庫進行匹配��,獲得相應的處理結果存入數據庫中,再次等待下一次分析模塊啟動��。
2深度包檢測方法
深度包檢測方法是用來識別數據包內容的一種方法�。傳統的數據檢測只檢測數據包頭,但是這種檢測對隱藏在數據荷載中的惡意信息卻無能為力��。深度包檢測的目的是檢測數據包應用載荷�,并與指定模式匹配��。當IP數據包���、TCP或UDP數據流通過基于DPI技術的管理系統時�,該系統通過深入讀取IP數據包載荷中的內容來對應用層信息進行重組���,從而得到整個應用程序的通信內容����,然后按照系統定義的管理策略對流量進行過濾操作��。這種技術使用一個載荷特征庫存儲載荷的特征信息���,符合載荷特征的數據包即視為特定應用的數據包。
深度包檢測的數據流程主要為:操作人員啟動采集��,程序先調入相應的協議規則����,程序通過libpcap對相應網絡端口中對應協議的數據進行抓包捕獲��,對數據包進行協議分析拆包處理后�,調入正則規則并進行優化處理,將數據包內容與優化過的規則進行多線程匹配��,獲得相應的處理結果存入數據庫中�����,再次進行下一步處理�。
3復合型檢測方法研究與分析
復合型檢測,既結合了基于流特征的檢測��,從宏觀上檢測整個網絡的安全狀態�,又結合了深度包檢測的方法����,對某些安全事件進行包內容的詳細特征檢測,可以極大的提高安全事件檢測的準確度�����,減少誤報率和漏報率,并可有效地提高深度包檢測的效率�����,大幅降低深度包檢測對系統的配置要求����。
根據復合型規則的定義��,來處理流檢測和深度包檢測的關系?�?梢愿鶕煌陌踩录x對應的復合方式����,即可實現兩種檢測方法同時進行,也可先進行流檢測符合相應規則后�����,再進行深度包檢測���,最后判定是否為此安全事件。
復合型規則中����,數據流規則與深度包規則的對應關系是M:N的關系���。既一個數據流規則可以對應多個深度包規則�,這表示這個數據流預警的安全事件可能是由多種深度包預警的安全事件引起,需要多個深度包檢測來進行確認��。同時多個數據流規則可以對應一個深度包規則����,這表示這個深度包規則對應的安全事件可以引起發生多條數據流預警的安全事件���。這種設計方式可方便地通過基礎安全事件擴展多種不同的安全事件��。
總結
第5篇
關鍵詞:系統工程�;預警機制����;安全管理��;安全服務
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 19-0000-02
Research of the Early Warning Mechanism of Campus Network Security
Li Xia
(Network Center of Binzhou Medical University,Binzhou256603,China)
Abstract:Based on the campus network environment of Binzhou Medical University,from the view of system engineering,the research on early warning mechanism about technology, management,service and the other aspects of the campus network security is given.With the security policy as the core,technology as the support,security management and security services for the implementation of means,It emphasizes the close cooperation in administrators and users,points out the importance of safety training to enhance safety awareness,and how to improve the quality of network service.
Keywords:System engineering;Early warning mechanism;Safety management;Safety service
校校園網作為學校重要的基礎設施���,擔負著學校教學����、科研���、管理和對外交流等許多重要任務;在推動教育改革發展�、促進思想文化科技交流��、豐富師生精神文化生活和加強大學生思想政治教育等方面起到了積極作用�。但是我們也要看到,在健全制度��、形成機制�、網絡安全��、職責劃分等方面還存在問題和薄弱環節���。因此�,我們應該進一步采取有效措施����,加強管理���,不斷促進校園網絡健康發展和良性運行�。建立一套切實可行的校園網絡安全預警機制,已成為校園網絡建設中面臨和亟待解決的重要問題�����。
一��、校園網安全現狀分析
要構建有效可行的校園網絡安全預警機制必須了解網絡安全現狀和存在的主要問題��。
以濱州醫學院校園網為例���,我校校園網絡自2000年成立以來���,形成了初步的安全管理制度�。技術方面���,根據校園網絡現狀���,采用了瑞星殺毒軟件網絡版的分級管理��、多重防護體系作為校園網絡的防病毒管理架構,為我校校園網絡建立起一個比較完善的防病毒體系����。為打造網絡整體安全�����,如在濱州校區Internet與校園網的接口處采用了天融信防火墻���,對Internet與校園網之間進行隔離。針對網絡用戶盜用IP現象�����,采用城市熱點軟件�,進行IP綁定和賬戶維護。網絡安全技術方面做了必要的防御措施�。
通過近幾年的網絡運行����,隨著網絡數字化教學與辦公的應用,網絡規模不斷擴大�,網絡建設和管理方面不可避免的暴露了一些問題:硬件設施日趨老化,網絡規模不斷擴大��,而網絡資金投入有限��;管理制度不完善���,如在安全角色的定義上�����,我們設立了專門的人員負責相關操作的安全維護和安全檢查。但實際上因為人員明確但人員的任務不明確�����,造成了安全角色劃分模糊����。網絡用戶教師和學生網絡水平不一,安全意識不夠�,基本防護措施掌握不到位等�,被動攻擊、亡羊補牢���。
二�、校園網安全預警機制模型
校園網中針對網絡安全的預警機制研究不僅是一個非常重要的技術問題,還是一個較為復雜的系統工程�����。校園網安全問題不僅涉及技術、產品��;還要有安全管理和安全服務�����,校園網安全預警機制不僅考慮網管員的技術支持�,重要的是網絡安全預警機制的構建是以安全策略為核心�����,以安全技術作為支撐�,以安全管理作為落實手段,并通過安全培訓加強所有人的安全意識���,完善安全體系賴以生存的大環境���。
實踐一再告訴我們,僅有安全技術防范���,而無嚴格的安全預警機制相配套��,是難以保障網絡系統安全的����。必須制訂一系列安全管理制度��,對安全技術和安全設施進行管理�。校園網網絡安全預警機制�,必然要求網絡管理員、用戶相配合�����,多層次��、多方位的分析��、診斷校園網絡安全可能存在的問題�����,做到防患�����、預后相結合����。由此我們提出如圖模型:
安全策略是整個校園網安全預警機制的核心��,安全技術是整個機制的支撐���。常見的安全技術和工具主要包括防火墻、安全漏洞掃描����、入侵檢測���,重要數據的備份恢復�,最基本的病毒防范等�。這些工具和技術手段是網絡安全中直觀的部分���,缺少任何一種都會有巨大的危險���。這就要求單位必須加大相應的網絡投入����,對網絡管理人員進行相應的培訓�,對設備進行更新換代,對應用系統及常用軟件進行必要的升級�����,做好網絡安全管理的技術支撐�。
安全管理貫穿整個安全預警機制����,是落實手段。代表了安全預警機制中人的因素���。安全管理不僅包括行政意義上的安全管理,更主要的是對安全技術和安全策略的管理��。實現安全管理必須遵循可操作、全局性���、動態性�、管理與技術的有機結合���、責權分明、分權制約及安全管理的制度化等原則��。單位專門設置主管領導��、專管領導和使用部門分級負責�����,按塊管理的模式,逐步加強�����,步步落實���。
安全培訓:最終用戶的安全意識是信息系統是否安全的決定因素��,因此對校園網絡用戶的安全培訓是整個安全體系中重要���、不可或缺的一部分。根據學校實際情況��,對師生進行網絡安全防范意識教育���,使他們具備基本的網絡安全知識��。制定相關的網絡安全管理制度(網絡操作使用規程�����、人員出入機房管理制度��、工作人員操作規程和保密制度等)��。安排專人負責校園網絡的安全保護管理工作����,對學校專業技術人員和用戶定期進行安全教育和培訓����,提高技術人員和用戶的網絡安全的警惕性和自覺性。
安全服務:這是面向校園網絡管理的一個重要方面���,通過網絡管理員對校園網各個網絡用戶進行技術解答�����、對網絡設備進行安全檢查��,對發現得的問題及時解決,采取上門服務���,問卷調查�����,定期回訪等方式,取得網絡用戶對網絡安全問題的積極反饋�����,分別在系統級�����、應用級����、用戶級等各個方面提高網絡服務質量,做好網絡安全防護工作��,真正發揮校園網絡服務教學的作用�����。
三�����、結論
一套可行有效的校園網安全預警機制必須不斷的實踐與探索����。在可能獲得的設備和條件的基礎上�,整合資源,多層次����、多方位的分析、診斷校園網絡安全可能存在的問題�����,從技術��、管理�����、服務等幾方面來來不斷的驗證并進行質量的提升��。長期來看�����,沒有絕對安全的網絡系統����,只有通過綜合運用多項措施���,加強管理,建立一套真正適合校園網絡的預警機制����,提高校園網絡的安全防范能力與應急處理能力,才能更好的給校園網用戶提供安全可靠的網絡運行環境�。
參考文獻:
[1]馮登國.國內外信息安全研究現狀及發展趨勢(摘編)[J].信息網絡安全,2007,1:15-17
[3]王曉軍.公共機房針對ARP欺騙的診斷分析與防御[J].實驗室研究與探索.2009,8(28):8,56
[4]劉欽創.關于高校校園網安全若干問題的思考[J].網絡安全技術與應用.2006,1(2):30-31
[5]楊尚森.網絡管理與維護技術[J].電子工業出版社,2006
第6篇
關鍵詞:入侵檢測;安全防護�����;主動保護
1 引言
隨著信息化的高速發展和網絡在人們生活�����、工作中的應用��、普及��,人們的安全意識也太太提高�,對網絡安全產品的需要也日益緊迫和嚴格�����。用戶對于安全管理系統的要求已不滿足于僅僅在出錯時彈出一個對話框�,而是希望系統在監控過往信息的同時能夠對數據進行分析����、消化��。并以一種更加入性化的方式將網絡上存在的安全風險準確地告知用戶����。
入侵檢測系統(Intrus Jon Detection system�����,IDS)是近十幾年來發展起來的一種主動安全防范技術�。所謂入侵檢測就是監視分析用戶和系統的行為�����,審計系統配置和漏洞�����,評估敏感系統和數據的完整性�,識別攻擊行為�����,對異常行為進行統計,自動地收集和系統相美的補丁��,進行審計跟蹤識別違反安全法規的行為�,使用專用服務器記錄黑客行為等功能的總稱��。
IDS為計算機系統的完整性�?���?捎眯约翱尚判蕴峁┓e極主動的保護,并在計算機系統受到危害之前進行攔截防衛��。IDS對網絡的控制手段有:黑名單斷開�、灰名單報警、阻塞HTTP請求��、通知防火墻阻斷和通過SN-MPTrap報警等�����。
2 技術的分析
入侵檢測技術是通過對入侵行為的過程與特征的研究��,使安全系統對入侵事件和入侵過程能做出實時響應����。從方式上可分為三種:異常、誤用和模式的發現技術�。
(1)異常
異常發現技術的前提是假定所有入侵行為都是與正常行為不同的���。首先通過訓練過程建立起系統正常行為的軌跡���,然后在實際運用中把所有與正常軌跡不同的系統狀態視為可疑。例如�。通過流量統計分析將異常時問的異常網絡流量視為可疑�。
但異常發現技術的缺點是并非所有的入侵都表現為異常。
(2)誤用
誤用發現技術的入侵檢測是指通過預先精確定義的入侵模式�����,對觀察到的用戶行為和資源使用情況進行檢測�。如入侵簽名說明了導致誤用事件弱點的特征、條件�、序列和關系��,還包含系統狀態�����。
(3)模式
假定所有入侵行為和手段都能夠表達為一種模式或特征,那么所有已知的入侵方法都可以用匹配發現���。模式發現的關鍵是如何表達入侵的模式,定義發現入侵的規則庫�����,把真正的入侵與正常行為區分開來�。
3 設計的實現
基于不同的結構和偵聽的策略�,IDS可分為兩類:主機型(Host-based IDS)和網絡型(Network-based IDS)。
3.1主機型IDS
主機型IDS為早期的結構����,是基于系統日志,應用程序日志或者通過操作系統的底層支持來進行分析�,實時監視可疑的連接�、系統日志檢查以及特定應用的執行過程。主要用于保護自身所在的關鍵服務器�。
在主機型IDS中,每一臺被監控的服務器上都安裝入侵檢測����。入侵檢測的任務就是通過收集被監控服務器中的系統����、網絡及用戶活動的狀態和行為等數據����,達到跟蹤并記錄這臺服務器上的非授權訪問企圖或其他惡意行為之目的���,如圖01所示�����。
主機型入侵檢測軟件可以提供比網絡型工具更好的應用層安全性����,因為主機型軟件可以檢測到失敗的訪問企圖�,它可以監視用戶訪問文件或目錄的次數��。將軟件加載到眾多服務器和桌面上是一項費用高且耗時的工作����。另外�,一旦發現軟件有新的問題l必須隨之進行升級�。
主機型IDS駐留在被檢測的主機中,網絡傳輸加密對入侵檢測的工作不會產生影響�。因為入侵檢測是通過操作系統來讀取相關信息���,而操作系統已經在收到到來的數據時將其解密了��。另外,主機型IDS還具有接近于實時的檢測和應答響應時間�����。
(1)特點:
假如入侵者突破網絡中的安全防線�,已經進入主機操作���,那么Host-Based IDS對于監測重要的服務器安全狀態具有十分重要的價值�����。
(2)弱點:
①信息審計如易受攻擊���,入侵者可通過使用某些系統特權或調用比審計本身更低級的操作來騙過審計��;
②審計與網絡不能通過分析主機審計記錄來檢測網絡攻擊(域名欺騙��、端口掃描等)����;
③攻擊類型受限Host-Based IDS只能對服務器的特定的用戶�����、應用程序執行動作����、日志進行檢測,所能檢測到的攻擊類型受到限制���,但提供預警報告。
3.2網絡型IDS
網絡型IDS則主要用于實時監控網絡上的數據包�����,其輸入數據來源于網絡的信息流���,能夠檢測該網段上發生的全部網絡入侵����。因此,網絡型IDS可以保護整個網段內的所有主機����。
網絡型IDS利用網絡偵聽技術收集在網絡上傳輸的分組數據包����,并對這些數據包的內容、源地址�����。目的地址等進行分析���,從中發現入侵行為,如圖02所示�����。
(1)特點:
①服務器平立網絡型IDS監視通信流量而不影響服務器平臺的變化與更新����;
②一個接口便可訪問配置簡單的網絡型IDS的環境只需要一個普通的網絡訪問接口;
③防攻擊類型多樣眾多的攻擊標識可以監視多種多樣的攻擊����,包括協議和特定環境的政擊。
(2)弱點:
①無訪問控制措施不像防火墻那樣采取訪問控制措施�����,但防火墻并不是入侵檢測設備����;
②攻擊阻止差網絡型IDS不能去阻止攻擊����,而采用預警方式。
現在一些產品擴展了IDS的功能����,提供具有中斷入侵會話的過程和非法修改訪問控制列表對抗攻擊。
第7篇
中圖分類號:TN711 文獻標識碼:A文章編號:41-1413(2012)01-0000-01
摘 要:網絡帶給人們的便利之一就是信息資源共享�����,然而,與之俱來的是來自各方的網絡安全問題�����。網絡安全預警系統針對大規模的網絡進行預警����,但傳統的系統存在對未知的攻擊缺乏有效的檢測方法�、對安全問題的檢測通常處于被動階段.本文主要介紹NAT技術的特點及網絡安全預警系統中穿越防火墻/NAT技術的實現方法,使網絡信息傳遞更安全�、更快速、更準確����。
關鍵詞:網絡安全預警NAT防火墻/NAT的穿越
0 網絡安全預警系統
0.1 功能及體系結構
網絡安全預警系統主要具有評估不同攻擊者造成的信息戰威脅����、提供信息戰攻擊的指示和報警��、預測攻擊者的行為路徑等功能�����。
目前的網絡安全預警系統通常采用多層式結構,以入侵檢測系統作為中心��,對受保護的網絡進行安全預警����。該類系統通常由嗅探器模塊�、安全管理中心、遠程管理系統服務器�����、遠程終端管理器組成�����。嗅探器模塊按一定策略檢測網絡流量�����,對非法的流量進行記錄以便審計��,并按照安全策略進行響應����;安全管理中心管理嗅探器運行���,并生成及加載嗅探器需要的安全策略,接受嗅探器的檢測信息����,生成審計結果;遠程管理系統服務器負責監聽控制信息�,接收控制信息傳遞給安全管理中心�����,為實現遠程管理實現條件����;遠程終端管理器為用戶提供遠程管理界面。
0.2 局限性
但是隨著目前網絡安全形勢的日漸嚴峻���,傳統的網絡安全預警系統逐漸顯示出以下幾方面的不足:
(1)目前的網絡安全預警系統主要以入侵檢測系統的檢測結果作為預警信息的主要來源���。由于入侵檢測系統檢測的被動性,使得預警自身就存在被動性���,無法積極對受保護的網絡實施預警。另外對于所保護系統產生威脅的根源―受保護系統自身的漏洞重視不夠�,從而當面對新的攻擊時往往束手無策,處于極度被動的局面�。
(2)新的攻擊手段層出不窮,而作為中心的入侵檢測系統在新的攻擊面前顯得力不從心�����。雖然目前也出現了一些啟發式的檢測方法���,但是由于誤報率或者漏報率比較高,在實際使用時也不太理想�。
(3)預警信息傳送的時效性。目前令人可喜的是用戶己經注意到了安全問題�����,所以采用了一些安全部件如防火墻��、入侵檢測系統等對網絡進行保護����,但是同時也為預警信息的傳送帶了問題,即如何穿越防火墻/NAT進行信息的實時���、有效傳送就是一個關鍵的問題��。
(4)傳統的網絡預警系統中著重在預警�,相應的響應很少或者沒有����。
1 NAT技術
1.1 概念
NAT,即Networ Address Translation����,可譯為網絡地址轉換或網絡地址翻譯。它是一個IETF標準�����,允許一個機構以一個地址出現在Internet上�。NAT將每個局域網節點的地址轉換成一個IP地址,反之亦然����。它也可以應用到防火墻技術里,把個別IP地址隱藏起來不被外界發現��,使外界無法直接訪問內部網絡設備。同時���,它還幫助網絡可以超越地址的限制����,合理地安排網絡中的公有Internet地址和私有IP地址的使用。
1.2 分類
1.2.1 靜態NAT(Static NAT)
即靜態轉換靜態轉換是指將內部網絡的私有IP地址轉換為公有IP地址�,IP地址對是一對一的,是一成不變的����,某個私有IP地址只轉換為某個公有IP地址。私有地址和公有地址的對應關系由管理員手工指定�。借助于靜態轉換,可以實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問�,并使該設備在外部用戶看來變得“不透明”�����。
1.2.2 動態地址NAT(Pooled NAT)
即動態轉換動態轉換是指將內部網絡的私有IP地址轉換為公用IP地址時���,IP地址對并不是一一對應的��,而是隨機的���。所有被管理員授權訪問外網的私有IP地址可隨機轉換為任何指定的公有IP地址�����。也就是說,只要指定哪些內部地址可以進行轉換�,以及用哪些合法地址作為外部地址時,就可以進行動態轉換��。每個地址的租用時間都有限制����。這樣,當ISP提供的合法IP地址略少于網絡內部的計算機數量時���,可以采用動態轉換的方式����。
1.2.3 網絡地址端口轉換NAPT(Port-Level NAT)
即端口多路復用通過使用端口多路復用����,可以達到一個公網地址對應多個私有地址的一對多轉換。在這種工作方式下���,內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問�����,來自不同內部主機的流量用不同的隨機端口進行標示����,從而可以最大限度地節約IP地址資源����。同時����,又可隱藏網絡內部的所有主機����,有效避免來自Internet的攻擊。因此����,目前網絡中應用最多的就是端口多路復用方式�。
1.3 常用穿越技術
由于NAT的種類不同��,所以具體對于NAT的穿越技術也有所不同�����。目前比較典型的穿越技術是協議隧道傳輸和反彈木馬穿透�。前者��,采用直接從外網往內網連接的方式��,利用防火墻通常允許通過的協議(如HTTP協議)��,將數據包按協議進行封裝�,從而實現從外網向內網進行數據傳輸,但是如果數據在通過防火墻時經過了NAT轉換��,就會失效�;后者是采用由內向外的連接方式,通常防火墻會允許由內向外的連接通過��,但是沒有真正解決防火墻的穿越問題���,無法解決對于由外向內的對實時性要求較高的數據傳輸�����,并且對于應用型防火墻��,穿越時也比較困難��。
2 網絡安全預警系統中防火墻/NAT的穿越
2.1 應用型防火墻檢測及信息注冊模塊
本模塊主要用于驗證發送方和接收方的報文是否能通過自身所在網絡的防火墻�,尤其是穿越應用服務器的注冊相關信息��,并獲取必要的信息�。
當發送方或接收方存在應用型防火墻時�,可由發送方或接收方連接服務器�����,從而建立映射關系�����。由于發送方或接收方采用TCP連接方式連接服務器���,所以映射關系可以一直保持�。所以當服務器與主機連接時只需要知道相應的服務器地址、端口即可��,而這些信息又可以從全局預警中心的注冊信息中獲得�,從而解決了穿越應用型防火墻的問題��。
2.2 陣雨NAT及包過濾���、狀態檢測型防火墻檢測模塊
本模塊主要用于檢測接收方所在網絡是否存在NAT以及是否存在類型為包過濾和狀態檢測類型的防火墻�����。在NAT檢測報文中包含接收方的IP地址和端口��,當到達發送方或者全局預警中心時���,通過檢查NAT檢測報文的來源IP及端口,再比較報文中的IP地址和端口�,若相同���,則未經過NAT�,否則經過了NAT��。單從訪問控制來說,包過濾和狀態檢測類型的防火墻可能會阻止由外網到內網的連接�,但是,它不會改變連接的目的地址以及端口���,所以通過向指定測試端口發送連接請求可看出是否有此類型的防火墻阻隔��。
2.3 NAT映射維持模塊
本模塊主要根據NAT及包過濾、狀態檢測型防火墻檢測模塊的檢測結果�,反映出不同的映射維持。
當接收方所在網絡存在NAT時��,經過映射維持��,使得在接收方所在網絡的NAT處始終保持了一條接收方外網地址與內網地址的映射關系�,從而使得發送方只要根據接收方的外網地址和端口即可與接收方直接通信,從而解決了外網與內網直接通信的問題��。
當接收方所在的網絡不存在NAT����,但存在狀態檢測����、包過濾類型的防火墻時,由于不斷發送的NAT維持報文的存在���,相應地在防火墻處開放了相應的端口�,使得發送方可以從外到內通過此端口進行信息傳送�。
2.4 信息傳送模塊
防火墻的問題。對于一般類型的包過濾�����、狀態檢測防火墻����,因為通信內容已封裝成HTTPS協議的格式,所以對于從防火墻內部向外部的連接可穿越此類型的防火墻����。對于從防火墻外部到內部的連接��, NAT映射維持模塊中NAT映射報文的存在也巧妙的解決了信息傳送的問題�。
3 結束語
本文采用HTTPS封裝實際傳輸數據,可以使得數據安全傳送����,保證了信息可以穿越防火墻/NAT進行����。但也存在著增加硬件額外開銷�����、NAT映射相對維持報文較頻繁等缺點���,這些有待在進一步的研究中予以解決���。
參考文獻:
[1]肖楓濤.網絡安全主動預警系統關鍵技術研究與實現 [D].長沙:國防科學技術大學.2009.
[2]張險峰等.網絡安全分布式預警體系結構研究[J].計算機應用.2011.05.
