前言:中文期刊网精心挑选了基于某企业的网络安全策略范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
基于某企业的网络安全策略范文1
Abstract: Aiming at the network security architecture, make a research and analysis; based on expounding the network security architecture, introduce the content of network security architecture design, and ensure the network security, so as to provide a more stable service for people.
关键词: 网络安全;结构体系;设计要点
Key words: network security;structural system;design points
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2017)03-0080-02
0 引言
信息技术的快速发展,使计算机网络的连接形式变得更加多样化,而网络本身又具有开放性和互联性,终端的分布具有不均匀性,在这样的背景之下,计算机网络在具体运行过程中容易遭受黑客攻击,不仅会影响用于在具体应用过程中的安全性,而且会导致用户的信息发生泄漏,并且会伴随着较为严重的经济损失,因此构建网络安全体系势在必行。
1 网络安全体系结构
一般来说,网络安全体系设计过程分为以下四步:①网络安全策略定义。②网络安全需求分析。③网络安全设计。④网络安全实现。设计模型图如图1所示。
从现代网络的具体应用情况来看,从高级安全需求分析渗入到具体执行上,两者之间存在的一定差距[1]。从高级策略不断发展,最终形成了一个结构和功能复杂的系统,部分组件可能会呈现出不一定特性,将会引起错误的执行需要的安全策略,引起危险的失误和安全漏洞。
1.1 安全策略定义
详细的描述安全策略定义,该过程中的最终目的是能够为网络的正常使用提供有效的支持,同时需要相关研究人员注意的是,在分析网络安全系统过程中,应当与其领域的科学结合,从而使其适应性能够得到进一步提高。例如,操作安全、人员安全、物理安全、社会机制等多项内容。该过程通常依据对企业中存在的风险进行分析,并且需要将高级安全策略和控制作为整个操作的主要依据,最后通过自然语言描述控制文档和网络安全,这也就是我们常说的高级安全策略。
1.2 安全需求分析
安全需求分析是网络安全体系结构设计的第二步,其是上一步高级安全策略形式内容的具体描述。通过大量的实践可以发现,通过形式化完成对高级安全策略的具体描述可以具有诸多优点,主要体现在以下几个方面:通过分析可以全面细致的完成对冲突的检查,同时也可以将高级策略中的模糊描述消除[2]。曾有学者提出,通过行形式化方法对高级安全策略进行处理,并且取得了不错的效果。
2 网络安全设计的具体内容
2.1 设计的目标
现代网络的快速发展与应用,一方面使人们的生活和工作变得更加便利,另一方面也增加了安全隐患,人们在生活与工作中利用网络的同时必须加强对安全问题的思考。随着人们网络安全意识的不断提升,人们在应用网络中,加强了对网络安全设计的研究与分析。
2.2 体系结构设计
安全体系的构建要依据安全需求的具体情况而定,只有这样才能使最终所设计的系统与实际情况相符。在设计过程中,依据OSI模型中各个层之间存在的依赖性,安全方面的需求,从逻辑角度出发,科学的将安全内容细致的分到不同层中。具体内容如下:
①物理层:该层在信息安全上存在的问题主要集中在,物理通量受到非法窃停和干扰等,从而会对物理层的性能造成不良影响。
②链路层:该层的主要作用是确保通过链路层所传送的信息,在传送过程中不会受到外界的截取。在具体操作过程中采用方式为划分局域网、远程网等手段[3]。
③网络层:该层的作用是避免网络服务被非法人员使用,通过网络层的有效控制,使得只有授权的客户才能够享受到相应的服务,通过该方式可以确保网络路由的正确性,提供了网络层的安全性,有效地避免了数据被监听。操作系统,保证资料和访问控制的安全性,同时在操作过程中,要对系统中涉及到的内容进行审计,审计工作要依据相关的标准进行,确保最终审计结果的合理性,有效地避免安全问题的发生。
④应用平台与应用系统。前者指的是应用软件服务,目前比较常见的有数据库、电子邮件服务器等,通过分析不难发现,应用平台中的系统的结构复杂,应用相对说比较繁琐,为了提高应用平台的安全性,通过需要通过多种技术完成,比较常见的技术有SSL;后者的作用就是为用户服务,系统的安全与设计实现两者之间的联系十分紧密。通过科学的方式应用系统,能够为应用平台提供全服务得到相应的保护。
2.3 安全策略的设计与实现
安全策略的设计与实现是网络安全体系结构设计过程中的第一步,该过程的主要目的是确定科学的安全策略。但是,在具体应用中,受各方面因素的影响,计算机网络配置与部门两项内容在具体操作过程中会发生改变,而这种改变通常都是不可控和不可预知的,这也就直接导致了安全需求也会发生改变,并且该变化通常都比较明显,会引起一系列的变化。由此可以判断,网络安全自身并不是静止不变的,因此要不断调整和完善安全策略内容。企业在具体运用过程中要想获取理想的经济收益,就必须要确保具有一个科学的安全策略,并且要按照规范的要求执行。安全策略在企业中的应用,需要能够全面、清楚识别存在风险的资源,并且要依据企业和其所处的具体环境给出合理的环节威胁的具体方法。该策略的核心问题是对系统中的哪一个用户可以访问哪一种资源进行定义,从而避免资源被非法访问而引发安全问题[4]。需要注意的是,需要做好对审计跟踪用户进行定义,同时需要帮助用户对出现的伤害进行识别,并且要及时做出相应的响应,避免危害进一步扩大,造成更大的影响。
安全策略管理要需要包含所有的安全组件。例如,路由器、访问列表、防火墙等,从而构建网络安全策略管理实现的实现模型。目前,网络安全策略管理实现的模型以IETF安全体系框架中的RFC275策略管理为基础,该模型策略管理的应用十分广泛,在整个网络中都所有分布。现阶段,适合所有用户的有网络安全层以及服务网络安全层。策略管理包括的功能有以下几点:策略实现点、策略决定点、策略仓库。网络策略中的每一项信息点都应被存储在策略仓库中,完成对计算机以及网络用户各项内容的研究与分析,各项内容的执行都应当在仓库内完成,确保执行结果的合理性。
策略服务器与策略决定点两者都是对网络进行抽象,成为策略控制信息,再将信息传递给策略执行点。策略实现点接受PAPs中的策略,作为网络或安全设备。公共开放策略服务以TCP作为基础协议进行应答,从而完成PEPs和PDP两者之间策略信息的交换。
3 网络安全的实现
网络安全体系结构中,安全管理运的工作站和服务器上,对网络辅助级和网络及的上的安全,通过对应用级的安全管理来实现。在网络操作者中存在一些身份较为特殊的用户,这些用户的认证主体和授权程序都更为严格。因此,管理人员在具体操作过程中具有更大的功能权限和访问授权,因此为了确保一切操作的安全性,他们的行为和访问等操作都必须要安全,从而确保网络的性能、配置以及存活能力都能够达到要求标准。通过大量实践经验可以发现,企业的网络管理系统的开放性和集中性越高,安全管理的需求也就越急迫[5]。安全网络管理是一个整体方法,网络安全体系结构包含多个领域。在具体操作过程中,记录安全行为对用户以及管理员在网络结构的各项行为都有着严格的要求。
为了确保操作的合理性,网络操作者认证需要在集中管理和执行口令的基础上完成,确保没有获得授权的用户无法访问系统,通过这一方式有效地避免了非法访问的出现。网络操作者授权通过已经认证的身份对用户的访问权限进行认证,判断得到授权的用户可以在系统中的对哪些内容进行访问,实现何种功能。网络管理事物加密起到的作用就是保护网络管理数据的机密性,避免数据被非法人员盗取,通过加密能够对外部和内部都提供高度保护,从而确保网络体系结构的安全。操作者安全远程访问:对IPsec进行合理应用,提供一个VPN,这是一种强制性的解决方案,通过该方案可以为远程操作者提供科学的加密和认证。利用防火墙和VLANs将网络分离开,在管理上要分开进行。在应用通过入侵检测系统锁构成的管理服务器,通过提出管理员存在的不安因素(例如,在运行过程中,服务其妥协和拒绝服务袭击),完成对网络的保护操作。
网络安全体系实现的实例如下:某企业为了确保企业中网络安全采取了以下措施:①构建防火墙。在网关上安装防火墙,分组过滤和ip伪装,监视网络内外的通信,全面掌握企业网络情况。②采用身份验证技术。针对企业中的不同用户设定了不同的访问权限,并且定期对用户的权限进行检查,避免非法访问。③入侵检测技术。④口令管理。每个用户设置口令,定义口令存活期。⑤病毒防护安装杀毒软件,及时查杀服务器和终端;限制共享目录及读写权限;限制网上下载和盗版软件使用。⑤系统管理,及时下载安装系统补丁;设置开机口令;设置屏保口令;删除不用账户。该企业通过以上方式,构建了网络安全体系,确保了企业中网络的安全性。
4 结束语
网络安全体系结构的设计与实现对用户使用网络的安全性会产生直接影响,同时也会对计算机网络安全的健康发展造成影响。在提出网络安全系统设计框架基础上,对网络安全的设计问题进行详细划分,提出了安全体系结构模型和策略管理执行模型的设计与实现。最后合理地将安全体系结构、安全策略管理的实现与网络机制结合,确保了高级安全策略向网络安全机制的合理过渡,推动了网络的健康发展。同时,本文也为网络安全体系结构的设计与实现指明了方向。
参考文献:
[1]梁树军,李玉华,尚展垒.基于访问控制技术的网络安全体系结构研究与设计[J].网络安全技术与应用,2016(05):23-24.
[2]姜.金保工程信息网络安全保障体系设计与实现[J]. 数字技术与应用,2016(05):201.
[3]罗旬,严承华.无线Mesh网络安全体系研究与设计[J].信息网络安全,2015(06):61-66.
基于某企业的网络安全策略范文2
企业办公的信息系统是基于公司防火墙、服务器、访问web、邮件、公司内部网络、办公pc机、数据库、互联网技术及相应的辅助硬件设备组成的,是一个综合管理系统。从安全形势来看,企业办公的信息系统存在着严重的威胁。信息设备提供了便捷及资源共享,但同时在安全方面又是脆弱和复杂的,对数据安全和保密构成威胁。潜在的安全威胁主要有以下方面:信息泄露:信息被泄露或透露给某个非授权的实体;破坏信息的完整性:数据未经非授权被增删、修改或破坏而受到损失;拒绝服务:对信息或其他资源的合法访问被无条件地阻止;非授权访问:某一资源被某个非授权的人,或以非授权的方式使用;窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息;业务流分析:通过对系统进行长期监听,利用统计分析方法对某些参数进行研究,从中发现有价值的信息和规律;假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击;旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱获得非授权的权利;授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”;特洛伊木马:软件中含有一个觉察不出的有害的程序段,当其被执行时,会破坏用户的安全;陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略;抵赖:这是一种来自用户的攻击,如否认自己曾经过的某条消息、伪造一份对方来信等;重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送;计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序;人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人;媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得;物理侵入:侵入者绕过物理控制而获得对系统的访问;窃取:重要的安全物品,如令牌或身份卡被盗;业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等。
2企业办公中的信息安全策略
2.1保护网络安全
网络安全是为保护企业内部各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:全面规划网络平台的安全策略;制订网络安全的管理措施;使用防火墙;尽可能记录网络上的一切活动;注意对网络设备的物理保护;检验网络平台系统的脆弱性;建立可靠的鉴别机制。
2.2保护应用安全
保护应用安全,主要是针对特定应用(如Web服务器、数据库服务器、ftp服务器等)所建立的安全防护措施,这种安全防护措施独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。由于应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决企业信息系统的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
2.3保护系统安全
保护系统安全,是指从整体信息系统的角度进行安全防护,与网络系统硬件平台、操作系统、各种应用软件等互相关联,其安全策略包含下述一些措施:①在安装的软件中,检查和确认未知的安全漏洞;②技术与管理相结合,使系统具有最小穿透风险性。③建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
2.4加强员工的信息安全培训
基于某企业的网络安全策略范文3
关键词:防火墙;类型;安全性
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 05-0000-01
Firewall Design and Application
Lu An,Yang Tianyi
(Chongqing University,Chongqing400715)
Abstract:The firewall as a system of infrastructure,its role is to cut off the communications network controlled by the main trunk route through the controlled safe handling of any communications.There are currently firewall packet filtering,application proxy,and state detection of several types.Firewall security depends on whether the firewall is based on the safety of the operating system and using dedicated hardware platform.
Keywords:Firewall;Type;Security
随着网络技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。
一、防火墙技术的涵义
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。实现防火墙的主要技术有:数据包过滤,应用网关和服务等。
二、防火墙在网络中的应用
(一)防火墙系统总体设计
NP系统下实现软件防火墙的设计与应用,实质上就是基于主机的网络安全解决方案。因此,我们完全可以选择合适的软硬件平台和相应的防火墙设计原理,自己开发出一套能够满足要求的防火墙系统。
(二)网络企业的防火墙设置
可以通过一个安全策略的样本来了解防火墙的理想设置:
设置防火墙的正确位置应该在内部网络与外部网络之间,它能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。
三、防火墙在网络企业中的运用
了解了什么是防火墙和它的各种特性以及防火墙的部署使用规则之后,结合实际的防火墙产品来说明防火墙是如何在一个网络中起到作用的。
在网络企业中有一款防火墙RG-WALL 50,RG-WALL作为一个路由器运行,因此各接口属于不同的网络。在路由器或L4交换设备中,在安装RG-WALL的位置两侧的设备原先是相互直接连接的,只需一个网络地址即可,但是在中间安装RG-WALL之后,需要新的网络地址体系。模拟真实情况下的企业网络运作情况如图1所示。
图1企业网络中拓扑图
四、基于NP系统防火墙总体设计
(一)NP的防火墙系统主要功能
1.全程动态包过滤 本防火墙要在NP下实现全程动态包过滤功能,通过分析数据包的地址、协议、端口对任何网络连接当前状态进行访问控制,从而提高系统的性能和安全性。
2.提供日志审计 本防火墙配备了日志记录系统和查询工具,用于记录系统管理、系统访问及针对安全策略的网络访问情况。
3.防火墙数据库的备份本防火墙制作防火墙过滤数据库,并且管理员可以能动地对该数据库进行设置。
(二)网络处理器NP简介
网络处理器(NP)是一种可以编程的设备,抑或可以说是一种芯片。它是一种为了进行网络分组处理而特定开发的新型产品,专业的应用于通信领域中的某一特殊任务当中,其本身具有专门的指令集和配套的软件开发系统,因此不仅具有较强的编程能力,而且拥有超强的处理性能,从而可以很好的满足当今互联网络高速发展的需求以及互联网业务多元化、多样化发展的趋势。
(三)防火墙系统设计方案
基于NP的网络系统防火墙由主控单元、网络处理单元和电源三部分组成,其中,主控单元采用通用处理器设计的管理与协处理板;网络处理单元采用基于NP的专用网络处理板,其通过PCI总线与主控单元通信;电源则专为主控单元和网络处理单元提供电源支持。
1.主控单元
主控单元硬件部分采用通用中央处理单元设计的主控板,以便于管理配置网络处理板和运行其它非实时性的安全模块。主控单元的软件包括控制管理和高级安全两部分。控制管理软件接收从Web界面和命令行对防火墙传递的配置信息,并转换为网络处理器识别的信息,发送到网络处理单元的控制管理模块,同时接收从网络处理单元的控制管理模块返回的信息。高级安全软件主要是那些对实时性要求不高或在NP中实现极大影响性能功能。
2.网络处理单元
网络处理单元采用NP设计专用的网络处理板,其通过外设组件互连总线与主控单元通信。因为防火墙的安全过滤与操作系统无关,并且与防火墙的配置管理及控制相分离,故网络处理器的安全功能模块可以随时升级。
(四)基于系统安全防火墙关键技术
可靠性设计、可扩展设计和精确流控技术是企业应用防火墙系统设计当中非常关键的三个技术。可靠性设计技术可以解决因高频串扰带来的千兆线速丢包问题以及避免操作系统带来的不稳定性和安全隐患问题。扩展设计可以采用模块化设计和模块分层,并逐层封装,配置与控制层提供功能的扩展接口。精确流控技术可以实现WRED算法和丢包算法,以保证当网络发生拥塞时,避免由于误丢包而带来的流量震荡。
五、结论
在当今互联网络高速发展的今天,企业网络所受到的应用层威胁正在日益加剧。应用层不仅成为黑客入侵企业网络的入口,而且成为员工出现泄密等安全事件的优良载体,防御企业网络应用安全正在成为信息主管与首席安全官共同关注的话题。而研制更安全和更快速的应用防火墙系统,将成为今后互联网络发展应用的一个重要课题。
参考文献:
[1]林晓东,杨义先.网络防火墙技术.电信科学,1997,13
[2]黄允聪,严望佳.防火墙的选型、配置、安装和维护.清华大学出版社,1999
[3]肖晓.教育系统网络安全新贵EDU[J].中国教育网络,2005,7
基于某企业的网络安全策略范文4
【 关键词 】 数据挖掘;网络信息安全;策略
The Research on the Network Information Security Policy Based on Data Mining
Cao Zi-xi Lu Qi Xue Zhi
(Shanghai Jiao Tong University Shanghai 200240)
【 Abstract 】 With the continuous development of the internet technology, the continuous application of the Cloud Computing, the Big Data era has arrived. The Data Mining technology has brought the analysis capabilities of the data processing to a new level. In this article we studied the Data Mining and the technologies of the network information security. We proposed a network information security policy based on data mining, and improved the difficult issues of dealing with the large amount of data in network information security policy.
【 Keywords 】 dating mining; network information security;tactics
1 引言
近年来,网络技术的飞速发展,互联网上的数据以每天数千万条的速度迅速增长,数据的产生、传输、存储、访问和处理方式都发生了翻天覆地的变化。在这样的一个大背景下,数据挖掘孕育而生。另一方面,各种网络安全检测技术、设备和产品会生成大量的关于网络安全及流量的检测数据,单单依靠传统人工处理以及简单查询统计方法的数据处理模式已经无法适应新时代的需要了,如何从海量网络信息安全检测数据中挖掘发现有价值的信息,需要在网络信息安全策略中运用到数据挖掘的技术。
2 数据挖掘的相关概念
2.1 数据挖掘的定义
数据挖掘就是在一些没有规律、异构结构并且熟练庞大的数据中,通过相关的计算机方法及算法,提炼出具有不确定和未知性的信息的一种方法。数据挖掘的数据源应该是大量且真实的,所寻找出的信息应该是对我们有用的、具有价值的。理论上来说,数据量越大、越随机,数据挖掘所得到的结果就越准确、越具有代表性、越有价值,这就对数据挖掘的相关算法与技术的效率提出了很高的要求。数据挖掘是一门交叉学科,融合了数据库、人工智能、统计学、机器学习等多领域的理论与技术。数据库、人工智能与数理统计为数据挖掘的研究提供了三大技术支持。数据挖掘是将一些离散的、底层的、无序的大规模数据利用相关的技术手段提升到有序的、可接受的、有价值的知识,从而为决策提供帮助的一个过程。具体的说,数据挖掘是通过对大规模的海量数据进行分析,从中找出一些数据间的内在规律与联系。具体过程包括了数据准备、信息挖掘和结果表达三个阶段。
2.2 数据挖掘的主要任务
数据挖掘的主要任务包括有监督学习(Supervised Learning)、关联分析或频繁模式分析(Frequent Pattern Analysis)、聚类分析(Clustering Analysis)、异常检测(Anomaly Detection)等。
有监督学习包括两种形式:分类(Classification)和预测(Prediction),是指根据已知样本的大小、类型来预测新到样本。关联分析或频繁模式分析指的是找到某一事件发生时,另一事件也会发生的这样一种规律性的联系模式。聚类分析指的是将找出所有数据的一些内在规律及特征,并且按照这些特征将数据源划分成若干个数据簇。异常检测通过建立一个数据样本的范本,并将数据源中的数据与其进行比对分析,找出里面存在的异常样本。
3 网络信息安全的相关概念
3.1 网络信息安全的概念
网络信息安全问题的解决方案包括数据挖掘信息安全技术的应用和数据挖掘信息的安全的管理。管理是指根据事物发展的客观规律,通过综合运用人力资源和其他相关的资源,以便有效地实现组织目标的过程,是指在集体活动中,为了完成一定的任务,或者实现一个具体目标,针对特定的对象,遵循既定的原则,依照完善的程序,使用适当的方法,所进行的计划、组织、指挥、协调和控制的活动。比如,在网络安全控制方面,防火墙技术已被广泛应用,为了更好地发挥防火墙的安全保护作用,就必须考虑如何设置防火墙的安全策略,并对它的物理保护和访问控制进行设置。
3.2 网络信息安全的相关技术
3.2.1爬虫技术
Web 爬虫(Crawler)通常也被称为机器人(Robot)或者蜘蛛(Spider),它是一个能够自动下载网页的程序。互联网上有数以万计的网页,这些网页存在于分布在全球各地的各个服务器上。用户可以通过网页链接进行各个网页直接的切换和浏览,而爬虫正是模仿人的行为,将多个站点或者网页下载或存取,然后交给数据处理模块。
3.2.2结构化数据抽取
Web信息收取指的是从一个网页中分析目标信息。通常包括两个问题,第一个是从自然语言文本中抽取信息,第二个就是从网页的结构化数据中抽取信息。我们称抽取这种数据的程序为包装器(Wrapper),包装器有三种方法,分别是手工方法、包装器归纳、自动抽取。
3.2.3规则引擎技术
一旦数据获取了,我们就要对其进行处理和分析。常用的基于 Python 的规则引擎有几种。PyKE 是一个基于知识的专家系统,采用类似于 Prolog 的语言规范。Prolog 是一种逻辑编程语言,广泛应用于人工智能领域。Pychinko 是一个可以处理语义网的规则引擎,它可以用 RDF 来定义。Intellect 是一个基于领域描述语言(Domain Specific Language,DSL)的规则引擎,可以定义一些规则表达式,来监测网络数据。规则引擎指的是一个创建、存储和管理规则,然后执行规则并推断出其它事实的应用程序。其中的规则主要是指企业或商务业务逻辑、法律条款等。在规则引擎发展的过程中,Rete 算法和 Prolog 语言是两个重要的理论分支,多数规则引擎都是基于以上二者扩展而来的。在工业活动铸造中,发展时间较长、应用广泛的两个体系是 Clips 体系和 Prolog 体系。
4 基于数据挖掘的网络信息安全策略
4.1 安全的网络环境
安全的网络环境包括系统的安全性、防病毒和网络入侵检测、审计分析、网络备份和灾难的恢复等。具体措施如下:隔离和访问控制技术,包括物理和逻辑的隔离,可信与不可信网络的隔离,只允许有授权的用户访问网络资源;采用反病毒技术,病毒已经严重威胁到了网络的安全,它的威胁和破坏性是很难用数字估量的,建立病毒预警、病毒防护和应急机制,就显得尤其必要;网络入侵检测技术会及时对非法入侵者及恶意破坏者建立预警机制,并定期对网络系统进行安全性分析,发现并修正漏洞;分析审计,记录用户使用过程中的计算机网络系统,它不仅能够确定是谁访问了系统,还能记录系统的使用状态,确定是否有网络攻击,审计数据挖掘信息是非常重要的;网络备份和灾难恢复可以确保在最短的时间内使受到破坏的系统恢复可用。
4.2 保证数据挖掘信息安全的策略
安全的数据挖掘信息指数据挖掘信息的存储安全、传输安全和使用安全。数据挖掘信息的物理完整性,逻辑完整性和保密性组成了数据挖掘信息的存储安全;并要通过数据传输加密技术、数据完整性技术和防抵赖性技术来保证数据挖掘信息传输的安全;数据挖掘信息的使用安全是指,为防止非授权主体擅自使用资源,必须对网络中的主体进行验证。
4.3 基于数据挖掘的网络安全数据分析策略
4.3.1关联性分析
关联分析模型的含义是通过对攻击行为要素的归并和组合,结合数据挖掘相关技术,体现宏观网络上最热门的攻击行为态势。一次攻击行为中,(源地址、目的地址、攻击类型)三要素体现了攻击的本质,三要素任意指定和组合,都反应了有意义的网络攻击态势。
4.3.2 事件预测机制
事件预测机制是通过对某一事件的发展趋势进行跟踪观测,运用数据挖掘聚类算法,判断其是否会成为大规模网络事件的模型。对于大规模的网络事件,其最具代表性的特点并不是事件发生的次数,而是其扩散趋势。例如连续观测到涉及同一类木马病毒事件的IP地址数量急剧上升,可能就是一次木马网络攻击事件。
4.3.3 可控数量预测模型
可控数量预测模型是通过观察事件中受控主机状态增长数量,对事件的感染能力做出判断。受控主机状态增长指的是之前未检测到发出某类攻击的主机,通过检测被发现后的状态变化增长。例如对于某种病毒,若以前未检测到主机X受到过感染,但是在观测周期内发现了主机X已经被感染了病毒,那么对于该病毒而言,主机X就是其受控主机增长状态。
4.3.4分析处理模型
分析处理模型的作用在于对运营商的事件处理反馈进行分析,判断其对被控主机的处理能力。该模型从各运营商的被控主机、已处理主机、未处理主机以及处理效率等各方面进行综合评估,由此来分析判断运营商对其辖区内的被控主机处理能力。
4.3.5网络安全数据分析模型
网络安全数据分析模型用于观测网络特征事件的数量,判断是否存在异常。分为学习阶段和实时检测阶段两个阶段运行。学习阶段可以建立事件的判断标准,等学习阶段满足特定条件后便进入实时检测阶段。
学习阶段,先由用户给定各类安全事件的定义,统计学习阶段事件内每个时间间隔中安全事件的数量。然后以小时计数,统计单位时间内安全事件的平均数和方差,记平均数为x,方差为?滓。
实时检测阶段首次按统计当前时间间隔内各类安全事件的数量xi,再判断各安全事件数量是否异常,
xi-x
?滓0?艽xi-x
2σ0?艽xi-x
xi-x?艹3?滓0 重度异常的安全事件数量。
其中的?滓0为判断标准,在模型建立时进行配置,可以根据不同情况,重新调整该参数。最后将各类安全事件数量异常的最高值,作为当前时间间隔的安全事件数量指标值。
5 结束语
当今社会已经进入云计算和大数据时代,计算机网络的应用已经深入到人们生活和生产的各个领域,但随着计算机信息的价值和重要性越来越高,不法分子入侵网络的手段也不断地翻新,使得传统的网络安全防御技术难以应对。将数据挖掘技术应用于网络信息安全策略中,通过聚类挖掘等方法,能够发现一些潜在的威胁与漏洞,更使得该技术具有了良好的发展前景。
参考文献
[1] 朱玉全,杨鹤标,孙蕾.数据挖掘技术[M].南京:东南大学出版社,2006.11.
[2] Han J., Kamber M., 范明(译).数据挖掘: 概念与技术 [M].北京: 机械工业出版社,2001.
[3] 中华人民共和国科学技术部火炬中心“推进我国软件企业工509000质量体系认证的研究”课题组.软件企业工509000质量体系的建立和认证.清华大学出版社,2011.
[4] 刘占全.网络管理与防火墙技术.人民邮电出版社,2010.
[5] 樊成丰、林东.网络数据挖掘信息安全&PGP加密.清华大学出版社,2010.
[6] 斯帝芬P罗宾斯.管理学.中国人民大学出版社,2010.
[7] 张健.防毒杀毒一防杀计算机病毒自学教程.电子工业出版社,2010.
[8] 舒南飞.网络安全态势评估和预测的新进展.信息技术与应用学术会议论文, 2009: 56-57.
基于某企业的网络安全策略范文5
自2004年IDC首度提出统一威胁管理(UTM)的概念以来,UTM逐渐被众多厂商所追捧。
经过几年的市场培育,UTM作为域边界的主要防护设备也逐渐取得了用户的认同。但与此同时,众多用户对于如何选择和部署UTM产品仍然持有诸多疑惑。复杂的管理和维护令用户对UTM又爱又恨,安全究竟应该复杂还是简单成了当前用户和安全厂商关注的焦点所在。
网关安全日益复杂
随着网络的日益普及,网上的攻击手段和病毒也呈现出不断变化和泛滥之势,用户所面临的安全威胁越来越复杂多变。廊坊某运营商表示,以往网络威胁大多只是企图利用创新而具破坏性的攻击手法来提高知名度,如今却转以谋利为目的。除了威胁程度日益增加的病毒和蠕虫,还必须面对更加复杂的攻击型态如木马程序、僵尸网络、间谍程序、垃圾邮件、网络钓鱼和网站嫁接等多种攻击。
随着对安全的要求程度越来越高,该运营商对于选择和部署安全网关也开始有了困惑。原来传统的状态检测包过滤防火墙已经不足以抵挡混合式攻击的威胁,而如果配置VPN服务器、防火墙、入侵检测系统等多个安全网关能够构建一个相对安全的网络环境,但随之而来的是初期设备购置投入高、整体性能下降、后期管理分散及人员培训成本提高等问题。
如果采用来自于不同厂商的多个安全网关,设备之间的相互配合也会存在较大问题。当存在多个网关实体时,需要分别实施安全策略,在此情况下想要保证安全策略实施的一致性是非常困难的。
此外,在安全网关日常维护过程中,安全管理粒度越来越细,一个人员的变化、一个座位的调整都可能要求对网关做相应的配置修改。对单台设备进行配置修改、信息监控相对简单,但对于多台具备不同功能尤其当存在多级网关设备时,对安全网关进行相应维护则会非常复杂。
对于网络流量与业务的实时监控是网管人员判断网络安全的重要依据,单一功能安全网关提供的信息不全面,多个安全网关提供的信息关联性差,需要较多的分析工作,这也加大了管理维护工作的复杂度。
化繁为简才是解决之道
启明星辰UTM产品负责人陈胜权认为,将用户的网络安全系统“化繁为简”,将是网络安全设备发展的真谛。而欲成就“简单”,需要从“一体化”入手,做到设备一体化、设计一体化、管理一体化。
统一威胁管理设备的本质就是设备一体化,这已经成为业界的共识。在同一硬件平台上融合多种安全功能,做到设备一体化是解决部署复杂的良药。
在设备一体化的前提下,继而需要解决的是针对复杂威胁的防御能力,这体现在功能和性能两个方面。也就是说既要完全发挥每个功能模块的作用,相互实现配合,又要保障性能。这就要求在软件体系设计上进行创新,实现一体化设计,解决复杂的威胁和复杂的策略实施。
“管理一体化是站在用户角度对‘简单’的有效诠释”,陈胜权补充道,“当管理对象为单台设备时,‘一体化’体现在多个功能之间;当管理对象为多台多级设备时,‘一体化’更体现在统一部署的网关设备和安全策略间。
当然,对于界面、逻辑方面的‘易理解、易学习、易记忆’的维护要求也是‘管理一体化’的重要组成部分。这将从根本上解决复杂的策略实施和复杂的管理两大难题。”
UTM市场酝酿变革
我们可以看到,具备降低安全投入成本、降低信息安全工作强度和技术复杂度的UTM是未来一段时间内中小型企业选择网关产品时的优先考虑,而一体化、集成化的管理技术势必会受到众多行业用户的大力追捧。
四年前,各种厂商开始纷纷进入UTM市场领域,这些厂商包括防火墙厂商、防病毒厂商、IDS/IPS厂商、内容过滤厂商甚至网络设备厂商。由于UTM自身集成了防病毒、入侵检测、防火墙多种功能,要想实现单一设备、简单管理的产品诉求,必然将对产品的整体功能产生一定的影响。
如何让UTM变得简单易用而不牺牲性能成了各大厂商面临的首要问题,UTM市场也因此酝酿着一场变革。
“安全从简单开始,启明星辰认为这就是安全网关发展的真谛,也是大势所趋”,陈胜权说。
繁到终处方化简,面对用户对网关安全的复杂之惑,启明星辰率先发力,标志着UTM市场的新一轮混战的序幕已经拉开,安全巨头们之间的相互博弈已经初露端倪。新的理念、新的产品,日趋理性的用户需求,似乎预示着2007年将成为UTM走向成熟的一年。
唯有“简单”,才能领跑
“简单”是安全的外在表现形式,而技术上的创新是成就“简单”的基石,是“简单”的内涵。
首先,产品应该简化设备的部署。作为网关技术集大成者,现在的很多UTM产品涵盖了防火墙、防病毒(AV)、入侵防御(IPS)、抗拒绝服务(Anti-DOS)、反垃圾邮件(Anti-Spam)、内容过滤,通过一个硬件平台实现所有的在线网关功能。启明星辰天清汉马USG采用了“基于标签的融合式综合匹配技术”和“综合分析引擎技术”,结合经过优化的匹配算法,可以极大提高设备效率,确保性能可以满足需要。
这样用户不再为如何选择犯愁,只需要一个硬件平台即可实现简单部署。
在统一威胁管理设备中“重点在于控制,难点在于检测”,防范网络威胁,准确全面地识别威胁是关键,之后才能进行相应控制。启明星辰天清汉马USG采用“基于插件的协议识别技术”、“自适应多模式匹配算法”、“可追查性检查”、“基于知识库的非法连接请求动态抽样与分析技术”等专利技术,使防御威胁的全面性和准确度都得到非常大的提高,对于威胁的防御变得简单。
基于某企业的网络安全策略范文6
对于大型企业来说,它的分支机构可能分布于一座城市的不同地点,甚至于分布在不同的城市。那么对于这样的一个大型企业,它的网络安全问题就不仅局限于局域网的安全,还涉及到广域网的安全问题。下面就以笔者所在单位面临的广域网安全问题的解决,来向大家阐述一下大型企业的广域网络的安全策略。
策略一:确保骨干网数据畅通
中国银行福建省分行连接到总行和下属各地市行的网络是该行的骨干网络。该网络必须保证数据畅通,能够快速转发数据。为此,我们的骨干网络均采用两个独立的电信运营商的线路,连接到中国银行福建省分行的两台主干路由器上,其中一条为电信的4M线路,另外一条为联通或广电网络的4M线路。福建省分行到下属各地市行的数据通信采用QoS自动控制数据流量,实现负载均衡。在正常情况下,生产的数据在电信的4M线路上传输,而办公的数据则在联通或广电网络的4M线路上传输。一旦某一条线路出现中断,其上传输的数据会自动转移到另一条线路上,实现两条线路自动热备份。
策略二:使用DDN/ISDN冗余备份
福建省分行到下属各营业网点的线路采用了3条电信的155M ATM线路,将此155M线路划分为2M的时隙分别连接到各下属的100多个营业网点。各营业网点租用了电信的2M SDH线路与省行相连,同时我们还在各营业网点租用了DDN或ISDN的线路作为对2M线路的备份。一旦2M线路出现故障,DDN线路或ISDN线路将自动启用,保证个营业网点业务的正常运行。
策略三:核心网络设备做好应急方案
福建省分行采用两台Cisco 7206路由器与总行连接,采用两台Cisco 7507与下属地市行连接;大楼的核心交换机采用两台华为3Com的Quidway 8016。这些核心网络设备一旦出现故障将严重影响业务的安全生产,因此必须防患于未然,针对每一台核心网络设备制订出相应的应急处理方案,将故障的影响排除到最小,这是网络安全策略的重中之重。
策略四:传输数据采用加密技术
加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类:对称型加密、非对称型加密和不可逆加密。其中不可逆加密算法不存在密钥保管和分发问题,适用于分布式网络系统,但是其加密计算量相当可观。近年来,随着计算机系统性能的不断提高,不可逆加密算法的应用逐渐增加,常用的如RSA公司的MD5和美国国家标准局的SHS。福建省分行的路由器上采用了路由协议MD5认证。
策略五:应用防病毒访问控制列表
在福建省分行路由器广域网端口上应用防病毒访问控制列表,可以避免个别局区域网感染的一些病毒通过广域网传播到另一局域网。
如在广域网端口上应用包含以下内容的访问控制列表:
ip access-list extended virus;
deny tcp any any eq 137;
deny tcp any any eq 138;
deny tcp any any eq 139;
deny tcp any any eq 1433;
deny tcp any any eq 1434。
策略六:使用外联专用路由器
随着银行各项中间业务的拓展,银行与合作伙伴的网络连接越来越多,各种应用交错于银行的网络中。因此,采取安全保护措施,确保银行网络的安全必须予以高度重视。
银行网络和外联单位的外网互联边界,必须和银行内部网络的核心路由器隔离,外网边界集中到一台专用的外网路由器上,便于网络安全的管理及安全防护策略的实施。
针对外联网络专用服务器,可以采取以下安全策略:
在外网路由器上仅采用静态路由,保证路由安全性;
外网路由器必须关闭CDP,以免泄露外网路由器信息;
启用路由器ACS用户认证;
基于多重保护原则,外网路由器也启用ACL,和防火墙安全策略保持一致,确保在防火墙发生故障时还保持相当的防护。
福建省分行采取Cisco PIX 550防火墙在物理上隔离内网和外网,使内网和外网的访问都要通过防火墙的检查,以达到控制内网和外网数据流的目的,从而增强外网安全性,保证了外网边界能够防范和抵御大部分常见黑客攻击手段。
在部署防火墙时,也应考虑一些具体的安全策略,具体如下。
1.外网访问内网的安全策略
对外网采用静态路由,精确到主机位,且不使用缺省路由;外网指定主机通过MIP地址来访问内网中间业务服务器;外网指定主机只允许访问内网中间业务服务器的应用端口。
2.内网访问外网的安全策略
对内采用静态路由,精确到主机位,且不使用缺省路由;内网中间业务服务器访问外网时将转换成相应的MIP,从而屏蔽内网地址;内网中间业务服务器将只访问外网指定主机的应用端口。
3.防火墙自身安全策略
设定防火墙的一个端口为内网端口。使用专用的管理VLAN地址段。仅指定该端口为管理端口,其它端口均不允许提供任何管理防火墙的服务。仅指定专用管理VLAN内的个别或部分IP地址允许对防火墙进行管理。
