前言:中文期刊网精心挑选了网络安全事件管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全事件管理范文1
关键词:计算机网络;信息系统;安全管理
近几年来,伴随着网络技术的快速发展,网络信息化在给人们带来种种的方便同时,我们也正受到日益严重的来自网络的安全威胁。我们要以影响计算机网络安全的主要因素为突破口,重点分析防范各种不利于计算机网络正常运行的措施,从而全面了解影响计算机网络安全的情况。
1 影响计算机网络信息系统安全的因素
1.1 自然环境导致的安全问题
物理安全是保护计算机网络设备、设施等。避免遭到地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。例如:电源是计算机系统正常工作的重要因素。机房内的计算机系统都应接插在具有保护装置的不间断电源设备上,防止电源中断、电压瞬变、冲击等异常状况。
1.2 网络软件的漏洞
系统漏洞是指系统软、硬件存在安全方面的脆弱性,系统漏洞的存在导致非法用户入侵系统或未经授权获得访问权限,造成信息篡改和泄露、拒绝服务或系统崩溃等问题。网络漏洞会影响到很大范围的软硬件设备,包括操作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。
换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。
这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。
1.3 人为原因导致的安全问题
人为的无意失误对网络计算机系统造成的威胁,包括:操作员安全配置不当造成的安全漏洞;不合理地设定资源访问控制;用户将自己的账号随意转借他人或与别人共享等等。此外还有人为地恶意攻击,这是计算机网络所面临的最大威胁,它以各种方式有选择地破坏信息的有效性和完整性,并对其进行更改使它失效,或者故意添加一些有利于自己的信息,起到信息误导的作用。
1.4 计算机病毒
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。那可能给社会造成灾难性的后果。计算机病毒将自己附在其他程序上,在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后,轻则使系统上作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。
2 维护计算机网络信息系统安全的技术
2.1 网络加密技术
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原。
加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解密的一种算法。
在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。网络加密技术提供的安全功能或服务主要包括:访问控制;无连接完整性;数据起源认证;抗重放攻击;机密性;有限的数据流机密性。
2.2 防火墙技术
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。
防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,其二是使用不当,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
2.3 操作系统安全内核技术
操作系统安全加固技术,是一项利用安全内核来提升操作系统安全水平的技术,其核心是在操作系统的核心层重构操作系统的权限访问模型,实现真正的强制访问控制。操作系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。
在具体的功能应用上,主要是从以下三个方面来实现系统内核加固技术:第一、强制访问控制MAC,分为两部分,一是基于用户对文件的访问控制,二是基于进程对文件的访问控制;第二、进程保护机制,在进程操作访问界面上,判断内存中的进程及其用户的标记,来判断是否有权限让该用户终止该进程;第三、三权分立管理,将系统的超级管理员分成安全管理员、审计管理员、系统管理员三个部分,安全管理员负责系统权限的分配,审计管理员负责安全事件的统计分析,为其他管理员制定安全策略提供依据;系统管理员则通过被授予的权限进行日常操作,如安装指定软件、网站建设等。
2.4 入侵检测技术
入侵检测系统(Intrusion Detection System,简称IDS)是由硬件和软件组成的,用来检测系统或者网络以发现可能的入侵或攻击的系统。入侵检测系统通过定时的检测,检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式,监视与安全有关的活动。
根据检测对象的不同,入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。
3 计算机网络信息系统安全的管理策略
3.1 建立安全小组
安全策略的创建往往需要一个团队的协同工作,以保证所制定的策略是全面的、切合实际的、能够有效实施的、性能优良的。把来自公司不同部门的人组成一个小组或团队的另一个理由是当团队中的某些成员意见分歧时,能够进行充分的讨论,以得到一个较好的解决问题的办法。这样的效果远远好于从营销、销售或开发方面得到的信息更完善。
安全计划小组应该包含那些来自企业不同部门不同专业的人们,IT 小组成员,系统和计算机管理员,都应出现在团队当中。从不同部门来的有责任心有代表性的人之间应该保持联系方面和协商渠道的通畅。
3.2 网络安全管理策略
安全管理队伍的建设。在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。
同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP 地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP 地址资源统一管理、统一分配。
对于盗用IP 资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
参考文献:
[1] 李淑芳.网络安全浅析[J].维普资讯,2006(2).
[2] 袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社,2002.
网络安全事件管理范文2
1 校园无线网络应用的必要性
随着网络的普及,越来越多的大学为了方便师生使用而在学校的部分热点区域甚至是整个范围内覆盖了无线网络。如何更好地建设校园网并对其进行有效的安全管理越来越受到人们的关注。随着近些年高校人数的不断增加,校园内的师生人数呈现一定的增长趋势,这就使得校园有线网络越来越不能满足师生的使用需求,有线网络的缺陷和不足也就逐渐暴露出来。无线网络的建设和发展方便了师生工作和学习需要的同时也给其生活和娱乐带来了极大的便利。师生的教学科研工作越来越依赖于无线网络的使用。另外,随着远程教育事业的蓬勃发展,利用校园网进行信息化资源建设的工作越来越受到教育界的重视。为了使学生能够更加便捷地在学校所提供的网络平台上获得知识资源,更新网络平台,加强校园无线网络的安全性建设是十分必要的,对于教学活动的开展与传播有着重要的意义。
2 在校园内我们要建立什么样的无线网络
2.1 校园无线网络要随时随地都能使用
随着人们对知识的渴望的增强,师生希望能够在校园的任何一个角落都能够搜索到校园无线网络,从而能够利用无线网络来寻找解决遇到的问题的答案。无线网络要帮助校园内的师生了解社会的最新消息,让师生即使不出校门,也能够对外部世界有清晰的了解,避免校内师生和外部社会脱轨,让培养出来的学生能够与社会需求相匹配。
2.2 校园无线网络要有组网灵活和维护方便
在高校进行无线网络的建设时要充分了解现有校区已成形的有线网络布置,在此前提下对现有网络进行扩建、合并和重组。因为重新布线要耗费大量的资金和时间,且工程较为复杂。无线网络的布置是一个较为简单直接的方案,能够节约布线成本。要在每个教室或者学生宿舍的每个楼层预留网络接口,实现无线网络的全面覆盖。校园无线网络的接口要进行科学的论证和合理的布局,这样才能方便学生在校园内随时随地上网,实现数字化校园。
2.3 校园无线网络的管理要简单易行
高校内的学生数量很大,在校园内铺设无线网络之后,校园内部的网络部门的管理者要对校园内师生和工作人员的无线网络进行管理,为了减少校园无线网络管理部门管理者的工作负担,我们希望校园无线网络的管提供论文写作和写作服务lunwen. 1KEJI AN. C OM,欢迎您的光临理要简单易行,从而能够让网络管理者只需耗费少量的时间就能解决校园无线网络存在的问题,并且对网络的资源进行管理与分配,促进资源的合理利用。
2.4 校园无线网络的使用要实行自动化的服务
现如今,科学技术水平得到了提高,但人们也渐渐变得懒惰,所以针对校园无线网络的建设,我们必须为校园无线网络的使用增加自动化服务,以此来帮助师生进行校园无线网络的连接,让师生在寻找问题的答案的过程中享受到无线网络的方便与快捷,并且有效缩短网络使用者和网络管理者在使用和管理过程中所耗费的时间。
2.5 校园无线网络要能够确保多个媒体的正常应用
随着经济的不断进步以及社会的不断发展,人们对移动网络设备有了更高的要求,他们要求移动网络设备具有学习、听音乐、看电影、看小说、网上聊天和网上游戏等功能,但是校园无线网络的建设缺少科学合理的网络规划,所以不能满足师生对移动网络设备各项功能的要求,也无法提高师生的满意度,降低了师生继续学习的热情,不利于人才的培养。
2.6 校园无线网络的计费要透明、公正
有的学生在使用移动网络设备的时候,由于一时的疏忽大意,在没有购买流量的情况下进行网上活动,会让移动网络设备的使用者花费大量的资金,并且由于无线网络的计费缺乏透明性和公开性,更增添了一些莫名其妙的用网费用,这样就会影响使用者的心情,影响师生工作的积极性。当移动网络设备的使用者向人工服务台进行举报时,缺乏完整的数据来对自己的网上行为进行准确地记录,所以话费的数量遭到人们的质疑,不利于校园无线网络的终端与使用者之间的友好相处。
3 怎样建立理想的校园无线网络
3.1 在校园内覆盖高速的无线网络
为了让校园内的师生能够随时随地使用校园无线网络解决在工作、学习和生活中遇到的问题,校园有关部门要在校园内覆盖高速的无线网络,让校园无线网络分布在校园的每一个角落,使得师生能够及时找到解决问题的办法,激发师生学习的热情,让师生对科学有更深刻的理解,增强师生的创造力。
3.2 增加校园无线网络的安全保护措施
为了保障校园无线网络的安全,校园无线网络必须要能够抵抗网络用户利用专用工具的恶意攻击,还要能够防止外部的窃听,为了充分保障校园无线网络用户的安全,要对校园无线网络的用户设定安全准入窗口,防止不法分子的进入。随着不法分子进行不法行为手段的提高,要对校园无线网络进行多层次的安全防护,对无线网络用户的身份进行验证,对其访问的网址进行控制,进而保证合法用户的用网安全。
3.3 在校园内安排网管对校园的无线网络进行管理
随着移动互联设备的增加,大学生需要更加优惠划算的无线网络来进行网上活动,所以就会催动一些人利用计算机技术私自建立无线网络,影响他人无线网络的使用,为了解决这一难题,我们在校园内要安排网管来对校园的无线网络进行管理,减少不法用户的数量,保证合法用户的用网安全。
3.4 在校园无线网络中安装并运行关键性应用,从而确保校园无线网络应用的方便
当代大学生为了获得更多的知识,也为了给枯燥无聊的日子增添一些色彩,他们需要校园无线网络为他们提供更加方便快捷的登录点来进行网上活动,所以我们必须在校园无线网络 中安装并运行关键性的应用,从而给学生的学习和娱乐提供方便,为学生的生活增加光彩。
3.5 做好校园无线网络的规划
在校园无线网络中,为了让师生充分享受网上活动的方便与快捷,在建设校园无线网络时,我们必须对校园无线网络进行规划,使校园无线网络能够给无线宽带应用做好铺垫,减少为了改造无线网络消耗的资金,并且无线网络在规划时要考虑到师生网上活动的需求,让师生能够利用多样的媒体进行工作和生活。
3.6 增加校园无线网络计费的透明度,并确保计费的准确性
根据对校园无线网络用户的调查结果可知,很多用户在使用无线网络的过程中,因为不了解无线网络的计费标准提供论文写作和写作服务lunwen. 1KEJI AN. C OM,欢迎您的光临,对于购买的无线网络的满意程度总是很低,不利于校园无线网络的健康发展。为了改变这一不良影响,我们必须增加校园无线网络计费的透明度,对网络的使用费用进行准确的计算,促进校园无线网络的健康发展。
4 校园无线网络在安全管理上存在的问题
4.1 校园无线网络面临着网络入侵的威胁
由于校园无线网络具有开放性的特点,所以非法用户能够利用这一特点对无线网络的合法用户进行攻击,从而影响校园无线网络合法用户的使用,有的时候甚至会使整个校园无线网络出现大面积瘫痪的现象,影响教师的正常教学,机密文件缺乏安全保证,师生的个人信息会泄露。
4.2 高校内的学生使用非法的无线网络
校内的学生为了能够满足多数人对于网络的需求,会在学校现有的有线网络基础上私自建立不合法的无线网络,从而影响校园有线网络的使用,给校园的无线网络带来压力,学生的这种行为将会对校园无线网络的使用者带来影响,影响他们的用网速度,不利于提高校内学生对无线网络满意程度。
4.3 非法的校园无线网络用户对校园无线网络进行攻击
校园内存在很多外界不法分子感兴趣的项目研究和师生的学术论文,为了获得这些重要的资料,校园外部的非法用户会利用会话欺骗和拦截等手段来帮助其对无线网络进行攻击,窃取网络中重要的资料,不利于学校的发展。
4.4 校园内部的人员会对校园无线网络进行入侵
随着人们对知识的渴望逐渐加强,校园内部的人员也会对学校的资料产生兴趣,如果他们拥有比较先进的计算机技术,就有可能入侵校园无线网络,进而窃取校园内部的重要资料,给信息的使用者造成不便,影响校园的用网安全。
5 如何保障校园无线网络的安全
5.1 师生在使用校园无线网络时要进行资格认证
校园无线网络的开放性给师生的资料带来了威胁,为了将威胁降到最低,师生在进入无线网络时,要进行入网资格验证,从而避免其他非法用户的网络入侵,影响师生正常用网。
5.2 网络管理人员定期对校园无线网络进行检测
在校园提供论文写作和写作服务lunwen. 1KEJI AN. C OM,欢迎您的光临内,为了解决学生私自建立无线网络的问题,校园内部的网络管理人员要定期对校园的无线站点进行检测, 如果搜索到未知的无线站点,要采取有效措施来禁止未经授权的网络设备的使用,从而保证合法校园无线网络用户的合法权益。
5.3 将重要的资料与无线网络分割开来,防止重要资料的泄露
由于非法用户会利用一些先进的手段来窃取网络的地址信息,从而攻击校园无线网络的系统,窃取校园内部重要的信息,影响校园无线网络用户信息的安全。为了消除这一影响我们要将重要信息与无线网络分割开来,防止非法用户入侵校内系统,对信息进行窃取或篡改,避免给校园无线网络的使用者造成巨大的损失。
5.4 在校园无线网络内部增设防火墙和追踪、记录系统
俗话说得好,“日防夜防,家贼难防”,为了防止校园内部人员的入侵,我们必须在校园无线网络的内部增设防火墙,还要在无线网络内部安装追踪记录系统,从而追踪非法入侵者的IP地址,将其非法入侵的过程进行记录,从而为抓捕非法入侵的用户提供证据。
6 结语
随着校内师生对校园内无线网络的要求的提高,我们必须对校园无线网络进行改进,让校园无线网络实现随时随地的使用,确保校园无线网络的安全,实现无线网络的实时管理以及使用的方便快捷,并能够应用多样的多媒体,为师生带来视觉和听觉方面的感受,在计费方面还要保证准确,让师生能够安心地使用校园无线网络。除此之外,我们还要对校园无线网络进行安全管理,从而实现校园无线网络的安全。
网络安全事件管理范文3
[关键词]高校 安全管理 网络防范 对策
[作者简介]王华彪(1973- ),男,湖北汉川人,河北建筑工程学院,副教授,硕士,研究方向为思想政治教育。(河北 张家口 075000)孙智宏(1981- ),男,吉林长春人,河北广播电视大学党(校)办副主任,讲师,硕士,研究方向为思想政治教育、职业指导。(河北 张家口 050000)林青(1978- ),男,河北南宫人,河北建筑工程学院,讲师,研究方向为思想政治教育。(河北 张家口 075000)
[基金项目]本文系2014年河北省哲学社会科学基金项目“实现中国梦愿景下培育和践行社会主义核心价值观研究”(项目编号:HB2014WK023)、2013年河北省哲学社会科学基金项目“新媒体语境下政府应对网络舆情的对策研究”(项目编号:HB13ZZ004)和2011年河北省教育厅人文社会科学青年基金项目“七位一体的思政理论课实践性教学研究”(项目编号:S2011408)的阶段性研究成果。
[中图分类号]G642 [文献标识码]A [文章编号]1004-3985(2014)35-0177-02
一、信息多变性,传播快捷性,网络时代给高校安全管理带来诸多挑战
1.网络信息的多变性和丰富性,使高校安全面临巨大挑战,受不良信息负面影响持续加大。当今社会,信息的巨大冗余是高校师生最直接的感受,信息以网络形式为主,结合其他不断进化的传统媒体,无时无刻不在浸泡着年轻一代师生。其中一些极具煽动性和蛊惑力的偏激言论,如与当前社会的负面因素相联系,必然会使青年师生的世界观、价值观受到强烈的冲击和影响。保持广大师生思想、政治上纯洁稳定,难度增大,任务艰巨。
2.网上沟通的复杂性和隐身性,使新的犯罪诱因大量滋生,给高校预防工作带来诸多问题。互联网、移动通信等新型信息交流平台的特有属性,对人们的思想、行为和社会交往方式产生了深远影响,也衍生出许多新的诱发违法违纪问题的因素,给高校预防犯罪工作带来诸多新的课题。一是网络使犯罪活动隐身。手机、互联网交流的匿名性、虚拟性特点,助长了个别人以此进行违法犯罪活动的侥幸心理。近年来,高校发生的各类犯罪案件中,涉案人员都想方设法利用手机、网络的这种特性进行违法犯罪活动。二是网络使聊天交友便捷。手机、互联网交流的适时性、开放性特点,为个别师生不正当交往提供了便利渠道。随着拇指一族、网络一族走进高校,以网上交流不当而导致的违法违纪问题层出不穷。三是网络使痴迷者心理失衡。网上聊天、网络游戏的依赖性、成瘾性特点,使许多痴迷者产生了严重的网络心理问题。近年来,师生心理问题引发的案件事故逐渐增多,其中网络心理问题占有相当比例,应予以高度关注。四是网络使不良信息泛滥成灾。互联网是一个畅通无阻的虚拟世界,使信息交流呈现出前所未有的便利和开放性特点,从而使信息内容的可控性大大降低。长期接触网上不良信息,部分高校师生极易产生心理偏差,进而导致大量心理性疾病的产生。
3.网络传播的适时性和快捷性,使不良事态发展难以控制,给高校危机管理带来新挑战。一是事态发展难把握。信息化条件下,一件极小的事情,一旦处置不当就可能通过网络迅速升级,引起师生广泛关注,甚至使参与者成几何级数增长,最终导致事态越来越严重。二是影响范围难控制。网络时代条件下,即便是发生在偏远地方的事件,只要进入网络就会被迅速扩散,引起广泛的社会影响。三是负面影响难消除。任何信息只要接触网络,往往都会在极短的时间内被克隆延伸出无数个版本,转接到各个网站,甚至被下载到各个网络用户的终端,无法彻底清除。高校发生的各类问题,只要被发送到互联网上,就很难根除痕迹,随时有被人任意篡改、恶意歪曲、重新炒作的可能。必须清醒认识到信息网络所具有的负面作用。
二、认识有偏差,防范不到位,网络尚未完全纳入高校安全管理范畴
1.对网络的现实威胁和潜在影响,认识不够。一是对网络信息的影响力认识不清。对网络信息给师生思想带来的消极影响认识不清楚。有的认为网络信息如同报纸、电视、广播等大众传媒一样,是社会发展到一定阶段的必然产物,忽视了必要的教育引导;有的不善于学习研究新事物,对网络信息一知半解,对网络信息的危害说不清、道不明,缺乏教育引导的说服力。二是对网络窃密的严峻性认识不清。对网络技术已成为隐蔽敌对势力渗透重要工具的现实危险认识不清楚。有的思想麻痹,对隐蔽敌对势力进攻的猖狂程度估计不足,有的敌情观念淡薄,对互联网给意识形态渗透工作带来的冲击和影响估计不足。三是对涉网事件的冲击力认识不清。对涉网事件可能给高校声誉、政治稳定造成的恶劣影响认识不清。有的高校思想政治工作者仍然只注意传统媒体信息,对网络信息关注不够,特别是对涉及高校的负面信息在网上的传播、炒作缺乏应有的警惕。
2.对网络的巨大冲击和负面因素,措施不利。一是思想工作不深入。有的搞教育时不注重对象,不从实际出发,“一刀切”“一锅煮”;有的矫正错误思想软弱无力,少数师生受社会错误思潮的影响,拜金主义、享乐主义和极端个人主义不断增长,甚至在日常生活中都有所流露,所在单位普遍忽视对他们的教育帮助,错失了将事件扼杀在萌芽状态的良机。二是交往关口没把住。不正常对外交往是案件和问题发生的重要原因。有的案犯案发前就交往过滥,单位不少人包括高校的党政领导都可能知道,但没有人制止;有的学生平时生活西化,酗酒上网,夜不归校,高校学工干部没有深究细查;有的热衷网络交友,有事不找教工找网友,经常去网吧,或与网友约会,甚至把网友带入校园留宿,但学校却没有采取有效措施解决。
三、教育谋实效,管理求科学,加强信息化条件下高校安全管理工作
1.加强警示教育力度,筑牢高校安全管理的思想防线。一是教育要有针对性。就警示性法制教育效果而言,教育要有针对性,立足师生不同的文化程度、不同的家庭背景、不同的生活经历、不同的思想觉悟、不同的工作性质、组织的不同教育内容和教育方法,做到因人施教,因事施教,因时施教。人员上要区分干部、群众,科研岗位、教学岗位、服务岗位干部和高年级、低年级学生等层次;环节上要区分入学、实习和社会实践等学习时段;时机上要区分重要节日、重大活动、敏感时期、季节变化、重大舆情发生及毕业生离校、新生入学、干部调整工作接替敏感时机等。二是教育要有渗透性。要把教育渗透到具体工作中,结合师生的本职岗位、本职工作搞好经常性教育。把教育渗透到现实生活中,注重运用身边违法违纪的人和事,教育警示师生,让师生切实感受到违法违纪行为给他人、自己、家庭、高校、社会造成的严重危害,自觉远离违法乱纪。要把教育渗透到校园环境中,坚持点滴养成,耳濡目染,在校区、实习场所以及办公场所等重点部位,适当张贴警示性标语,营造警示性氛围,使师生抬头见警示、低头思责任,时刻注意安全稳定。通过强有力的教育渗透,真正使企图违法犯罪的人受到震慑,知道违法犯罪是要受到法律制裁的,使心存侥幸的人悬崖勒马,使违反纪律的人受到警醒,使每一名师生都受到触动,知道工作失职酿成重大案件是要追究责任的,自觉远离法律的“高压线”、划清道德的“情感线”、把握工作的“原则线”、绷紧学习的“意识线”。三是教育要有融合性。善于把警示教育与高校主题教育相融合,搞好统筹,保证效果。善于把警示性教育与管理相结合,既突出教育的引导作用、警示作用,更发挥教育的行为规范作用,让师生边提高思想认识边矫正不良行为,培养良好的思想道德品质和行为习惯。四是教育要有覆盖面。警示性教育必须强调覆盖全员,既要抓基层师生,又要突出领导机关和学工干部;既要抓好在校人员的基本教育,又要强化外出实践学习流动人员的延伸管理,确保人人受教育,个个受触动。
2.把握网络问题重点,做好高校涉网案件的预防工作。注重预防受网上舆论影响可能发生的政治性问题。针对网上集中出现的政治性敏感、热点话题和错误言论以及各种不良政治信息,要保持高度的政治敏锐性。始终把坚定师生政治信仰、把握高校的社会主义办学方向、确保党对高校的绝对领导,放在安全稳定工作最核心、最重要的位置来抓。及时加强对师生的正面教育和思想引导,澄清各种错误思想的影响和干扰,严格政治纪律,坚决抵御、反对不负责任的政治言论,坚决查处违背政治纪律的言行,确保高校政治上的集中统一。注重预防网上敌对势力和错误思潮的引诱。近年来,高校发生的此类案件和问题重点集中在以下五种人:犯了错误、受了挫折,丧失了前进动力的人;提职无望、晋升职称泡汤,认为组织亏待了自己的人;纪律性差、经常外出,交往过滥的师生;追求高消费、花钱大手大脚,经济花费超出家庭承载供给能力的学生;个人家庭生活困难且长期得不到解决,思想波动较大的人。要重点加强教育和管控,切实掌握他们的思想底数和行为动向,满腔热忱、想方设法帮他们解决工作和生活上的各种实际困难。网络信息交流已成为当下师生社会交往的重要渠道之一,特别是网络征婚、求偶、,对高校年轻师生更具吸引力。要通过深入细致的思想政治工作,真诚务实地抓好高校内部风气、内部关系建设,切实把师生从被网络恋情的虚无寄托中拉回来,防止由此引发的各种违法违纪行为。
3.妥善处理涉网危机,确保高校危机管理不失控。网络时代条件下,高校安全稳定与社会的关联性、互动性进一步增强,案件和问题的多样性、突发性和不可控性特征明显。一般性案件问题诱发、转化为重大安全问题的可能性大大增加,及时稳妥地应对处置各种危机问题至关重要。危机处置要“快”。受领情况要快,行动部署要快,调查处置要快,善后处理要快,要用处置工作的高速度和高效益来应对网络传播的高速,通过快速反应取得的正面效果来遏制消除网上可能形成的负面影响。问题解决要“早”。危机具有复杂性和传染性,特别是在信息化条件下,信息传递扩散的速度快,控制影响难,如果危机处理不当,极易带来连锁反应,使小问题酿成重大安全问题,个体问题扩展成,单一问题发展成复杂的国际外交问题,必须见事早、反应快,及时采取有效措施,努力把危机化解在初期、控制在局部、解决在当地,把危害控制在最小程度。处理质量要“高”。危机处置事关所在单位和相关人员的切身利益,如果凭感情、想当然,主观臆断,草率从事,处理不公,极易拖泥带水,产生一系列后遗症。在危机处置过程中,应严格掌握政策法规,坚持客观、公正、准确,坚持精到、坚决、彻底,努力使问题的处理经得起政策、法律和历史的检验,做到案结即事了,不留后患。校内校外联合要“牢”。危机处置涉及高校建设的方方面面,网络时代条件下发生的的可控性差,仅靠高校自身很难控制局面,需要高校和地方维护治安的公安人员联合采取行动,才能尽快平息事态。在危机处置中应充分发挥地方政府和有关部门的资源和技术优势,加强沟通协调,在资源共享中消除危机,在互助共赢中维护稳定。
[参考文献]
网络安全事件管理范文4
关键词:网络安全管理;网络安全管理系统;企业信息安全
中图分类号:TP271 文献标识码:A 文章编号:1009-3044(2012)33-7915-03
计算机网络是通过互联网服务来为人们提供各种各样的功能,如果想保证这些服务的有效提供,一是需要全面完善计算机网络的基础设施和配置;二是需要有可靠完善的保障体系。可靠完善的保障体系是为了能够保证网络中的信息传输、信息处理和信息共享等功能能够安全进行。
1 网络安全的定义
网络安全问题不但是近些年来网络信息安全领域经常讨论和研究的重要问题,也是现代网络信息安全中亟待解决的关键问题。网络安全的含义是保证整个网络系统中的硬件、软件和数据信息受到有效保护,不会因为网络意外故障的发生,或者人为恶意攻击,病毒入侵而受到破坏,导致重要信息的泄露和丢失,甚至造成整个网络系统的瘫痪。
网络安全的本质就是网络中信息传输、共享、使用的安全,网络安全研究领域包括网络上信息的完整性、可用性、保密性和真实性等一系列技术理论。而网络安全是集合了互联网技术、计算机科学技术、通信技术、信息安全管理技术、密码学、数理学等多种技术于一体的综合性学科。
2 网络安全技术介绍
2.1 安全威胁和防护措施
网络安全威胁指的是具体的人、事、物对具有合法性、保密性、完整性和可用性造成的威胁和侵害。防护措施就是对这些资源进行保护和控制的相关策略、机制和过程。
安全威胁可以分为故意安全威胁和偶然安全威胁两种,而故意安全威胁又可以分为被动安全威胁和主动安全威胁。被动安全威胁包括对网络中的数据信息进行监听、窃听等,而不对这些数据进行篡改,主动安全威胁则是对网络中的数据信息进行故意篡改等行为。
2.2 网络安全管理技术
目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。
网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。
在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。
2.3 防火墙技术
互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。
防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。
将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。
2.4 入侵检测技术
入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。
3 企业网络安全管理系统架构设计
3.1 系统设计目标
该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。
3.2 系统原理框图
该文设计了一种通用的企业网络安全管理系统,该系统的原理图如图1所示。
3.2.1 系统总体架构
网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。
网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。
网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。
网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。
3.2.2 系统网络安全管理中心组件功能
系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。
系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。
3.3 系统架构特点
3.3.1 统一管理,分布部署
该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。
3.3.2 模块化开发方式
本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。
3.3.3 分布式多级应用
对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。
4 结论
随着网络技术的飞速发展,互联网中存储了大量的保密信息数据,这些数据在网络中进行传输和使用,随着网络安全技术的不断更新和发展,新型的网络安全设备也大量出现,由此,企业对于网络安全的要求也逐步提升,因此,该文设计的企业网络安全管理系统具有重要的现实意义和实用价值。
参考文献:
网络安全事件管理范文5
关键词:网络安全运营管理平台;数据采集;综合分析;事件响应
1网络安全运营问题分析
在监测预警方面,目前网络安全监测预警主要采用人工的方式开展监测预警工作,在运的安全平台数据相互独立,每个角色需同时面向多个界面,网络安全运维工作量大;不同类型的安全设备、系统产生了大量冗余、误报的安全数据,安全人员难以实时处理;安全事件独立分散,无法有效的反映真实的网络威胁。在响应处置方面,目前各类安全事件主要依赖于人工进行事件响应,包含查看数据、封禁IP、电话反馈、邮件通报等,一次完整的应急响应需在10个以上的场景间切换。现有的应急响应方式已经不能满足网络安全对抗日趋频繁的现实需求,应急响应自动化的需求已经迫在眉睫。在技术分析方面,对安全告警的深度技术分析主要依赖技术人员的个人能力与经验,且依赖人工的深度分析、溯源反制效率较低,一旦发生分析重心出错的情况,可能遗漏真正具有价值的攻击威胁。在协同指挥方面,目前网络安全设备和系统自动化程度在不断提高,但事实上还存在多个信息孤岛,设备、系统之间缺乏有效的交互,使得内部多个自动化模块是割裂的、局部的、孤立的,不能构成一个实时的有机统一平台,导致信息没有充分共享,进而降低协同联动效率,无法实现统一的指挥决策。在流程管理方面,目前重点的安全管理流程仍以线下管理为主。常态化安全工作中排查发现的系统漏洞需要人工导出清单,完成漏洞预警单编制后下发排查整改,以表格形式汇总和跟踪漏洞整改情况;系统上线测试缺乏统一平台管理测试过程文档和测试情况,复测验证需要专人跟踪闭环,整体工作效率和管控精益度有待提升。
2网络安全管理平台的能力需求
通过网络安全管理平台的建设将设备、流程和技术进行有机的结合,实现网络安全集中监控、预警、运维、管理,满足网络安全平协同指挥的工作要求,以全局视角统筹协调网络安全工作。一是网络安全事件管理集中化,通过对各种网络设备和安全组件的集中统一管理,将原本一个个分离的信息安全孤岛连接成一个有机协作的整体,实现对企业安全策略的制定、设备的统一配置、安全事件的集中管理、安全事故的应急响应以及安全策略的重构,从而有效提高用户网络的可管理性和安全水平。二是网络安全业务流程数字化,以数字化手段建设网络安全管理体系,渗透到网络安全业务链各个环节和各个层级,实现网络安全管理流程线上流转和业务线上管理,实现网络安全信息高度集成和实时共享。三是网络安全运营维护自动化,通过安全设备、安全系统数据的批量采集和关联分析,借助自动化事务调度、自动化安全编排等技术,实现安全态势自动化监控、运行维护自动化作业、风险隐患自动化预警以及安全事件自动化响应。
3安全运营管理平台的建设现状
国内安全厂商在自主研究开发基础上不断对国外厂商的SOC产品分析和研究,推出了多种网络安全管理的概念和产品[1]。安全运营管理平台建设利用安全智能、机器学习和深度学习等技术,依托SIEM+大数据平台,实现警报自动分级与资产自动排查、威胁高度可视和智能定位、风险深度挖掘、安全态势整体感知,打破安全防御孤岛,将各个分散的信息源汇聚后进行统一管理,通过关联分析对风险进行有效的防控。在技术架构体系方面,基于最新的安全运营架构体系构建,实现以SIEM为核心并集成全流量分析模块、威胁情报模块和机器学习模块的新一代SOC架构,提升架构的适应性与灵活性。在安全场景分析方面,在传统基于规则的设计方法之上,引入了用户行为分析技术,通过算法引擎深度挖掘用户的各种异常行为,为识别高级持续威胁攻击、社会工程等提供有力支撑。在提高安全运营工作效率方面,借鉴SOAR理念,通过SIEM平台并集成脚本技术,实现安全分析操作与多个工具的自动编排和高度可视化,以及安全处置操作和流程的自动化,提升安全分析人员效率。在协同管理方面,形成多级管理模式,适应集团型安全管理工作的开展,例如:总部、分支机构的架构模式。在可视化方面,通过大数据分析技术,将日常工作汇总,对安全数据进行统一的可视化展现,从全局视角监测安全态势。
4关键技术
4.1平台架构
网络安全运营管理平台作为网络运营管理的支撑平台,可将整个安全管理体系纳入管理,但其核心还是综合分析和响应处置两个功能,其基本架构如图1所示。平台的数据采集对象包括网络设备、安全设备、主机设备、应用/服务等,通过不同的采集方式进行全要素信息采集。分析引擎主要是对大数据分析技术和人工智能技术的应用,对原始数据进行统计分析和学习建模,从网络安全威胁、用户行为、脆弱性三个方面发现网络面临的风险。对于发现告警事件、应急响应事件,以及活动保障期间事件、作业任务处置流程进行全程闭环管理。
4.2数据采集
网络安全运营管理平台建立在各种网络设备、安全设备、服务器设备、和应用系统所产生的安全数据及事件的基础上。从各种数据源高效灵活的采集安全数据是进行网络安全管理的一项重要的基础工作。安全数据根据涉及的网络架构、协议、流量、设备、人员、管理机制等因素进行分类[2],网络安全数据类型见表1。安全数据的类型、内容、格式各不相同,针对每种数据需要有针对性的采集方式对其进行采集,数据采集方式包括主动采集、被动采集、镜像模式采集等。当原始数据以文件、数据库等形式存储在数据数据产生地,通过在数据产生地部署采集的方式,对指定目录下的文件进行监听、进行增量读取,或通过ODBC/JDBC等通信协议获取数据库存储的原始数据。对于支持主动向第三方系统发送数据的数据源,采用Syslog、SNMP、Webservice等方式发送给指定的数据接收者。通过网络交换设备的镜像端口,接收来自网络中传输的任何网络访问流量。
4.3安全事件综合分析
网络安全事件综合分析通过分析多个事件的之间的联系,将不同来源的数据、知识关联起来,发现孤立的事件无法揭示的问题本质,发现攻击者的真正目的,准确定位攻击意图。一些典型的关联操作如表2所示。事件综合分析的实现主要依托分析算法与高效的分析引擎设计[3]。
4.响应
当网络安全事件分析产生告警事件后,就进入到事件的响应处置环节。需要采取有效措施阻止网络安全事件的进一步扩散,防止网络内基础设施破坏和数据篡改、泄露,保障网络内业务系统安全、稳定和高效地运行。有效的事件响应需要设计合理的事件响应结构,规划好响应过程中所需要的资源、计划好实用的技术、编制规范的事件响应流程、并协调好组织中各部门的关系等[4]。事件响应框架如图2所示。事件响应流程按照PDCERF响应模型可分为准备(prepare)、检测(detect)、抑制(control)、根除(eradicate)、恢复(recover)和跟踪(follow)6个阶段。6个阶段是循环有序的,每个阶段到的工作均是为下一阶段做准备[5]。事件类型的不同,采用的处置流程、涉及的人员和设备也不相同。事件的响应可以通过人工的方式,也可以根据预设的响应流程自动执行。网络安全运营中的事件自动化响应通过事先定义好的流程化框架对系统进行监控,一旦达到触发条件,可以按照预先设置流程,通过多个设备或者服务间的事件协同,实现事件的自动化处置。
5总结与展望
网络安全运营管理平台是在原有安全产品的基础上构建的一体化技术支撑平台,以综合分析、响应处置为核心的网络安全防护能力,在网络安全运营管理中发挥关键作用。而随着安全数据、应用、场景量的激增,网络安全运营管理平台的技术能力也需要不断的提升。对于用户而言,网络安全防护的目标是保障IT资产所承载的业务的可用性、连续性、以及安全性,因此网络安全运营管理平台应从以事件核心逐渐向保障业务安全为核心转变,通过业务建模、分析业务风险,构建面向业务的能力体系。另外,网络安全运营管理平台应以更智能的方式处理日益庞大的安全数据、以自动化的响应方式减少人员的工作强度,通过机器学习、人工智能等技术发现数据背后的原因,通过SOAR技术进行编排和自动化响应。
参考文献
[1]中国信息通信研究院安全研究所、上海斗象科技有限公司.国内网络安全信息与事件管理类产研究与测试报告[R].北京:2021.
[2]张海霞,乔赞瑞,潘啸,黄克振,连一峰.网络安全数据采集关键技术研究[J].计算机科学与应用,2021,14(4),832-839.
[3]刘兰.网络安全事件管理关键技术研究[D].华中科技大学博士学位论文,2007.
[4]吴福怀.网络安全事件应急响应管理系统设计与实现[D].东南大学工程硕士学位论文,2017.
网络安全事件管理范文6
关键词:网络安全态势;地理信息系统;MapXtreme;多级地图;Java技术
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)28-6840-03
Multilevel Map of Network Security Situation Based on MapXtreme
GONG Jian-wei1,2, ZHONG Qiu-xi1, XUAN Lei1, ZHANG Qi1
(1.National University of Defense Technology, Changsha 410073, China; 2.Logistics Base of People's Armed Police Force Headquarters, BeiJing 102613, China)
Abstract: Multilevel map of network security situation was proposed aimed at some problems in visualization of network security situation such as messy figure,visual clutter, unpractical information and incapable geolocation. The information display method and views architecture of the map was explored. The generation algorithm of multilevel network map and algorithm for the relative number of security incidents was designed based on MapXtreme. The feasibility of the map was proved through experiments.
Key words: network security situation; geographic information system; MapXtreme; multilevel map; java technology
网络安全态势可视化将大量、抽象的网络安全信息数据用地图、平行坐标、散点图、统计图等图形图像的方式展现出来,便于网络管理人员从网络安全信息图中直观地发现潜在的安全隐患,从而了解网络的总体安全状况。自2004年始,每年都举行专注于研究网络安全可视化技术的网络安全可视化会议(International Symposium on Visualization for Cyber Security ,简称VizSec)。IEEE VAST (The Institute of Electrical and Electronics Engineers on Visual Analytics Science and Technology)和 ACM(Association for Computing Machinery)等会议和杂志也多次刊出相关文献[1-5],可见可视化在网络安全方面应用日益广泛。
目前在网络安全信息可视化的研究领域还没有一种被广泛公认,完善且合理的技术方法。主要表现在一些显示系统视图复杂,信息叠合严重,信息展示不清晰,给用户带来视觉负担;一些结合了地理信息的技术方法仅仅是在相应的地理位置显示了各地区安全事件数量,没有考虑各地区人口、网络发展情况等影响安全事件数量的因素,同时缺乏对安全事件细节的描述[6-7]。 因此,我们在研究过程中需要设计层次明晰的视图结构和布局合理的视图展示算法,进行整体信息和局部细节信息的综合展示。针对这些情况,本文将综合信息与细节信息按级别与详略不同的地理信息地图结合起来显示,解决了综合信息和细节信息不能同时展现的问题;同时考虑了影响安全事件数量的因素并进行了规范化,使数据更为客观地展现了实际情况。
1 网络安全态势多级地图展示系统模块设计
本文设计了系统的各个层次相应的处理模块,具体见图1所示。
以下简要说明各模块功能:
1) 数据处理模块:分三个子模块,处理数据子模块负责对网络安全信息数据进行属性过滤、数据格式归一化处理,保留数据有效信息,并根据时间属性,提取数据以队列的形式进行缓存,等待显示;生成图层子模块负责将空间数据信息生成图层,并将图层按指定顺序叠加为基础地理地图;确定IP地理位置子模块用于对有效数据信息里的每一个IP地理定位。
2) 数据统计规范模块:统计数据子模块将一定时间段内安全信息数据按安全事件类型进行分别统计数量;标准化子模块负责将统计的数量按网络安全事件发生相对数量算法进行规范化处理。
3) 人机交互处理模块:主要是将用户操作的数据传递给数据处理模块和视图处理模块,并对各种视图参数进行设置,以满足用户的选择需求。其中数据选择人机交互处理子模块用于用户根据需求进行数据选取等,地图人机交互处理子模块主要用于选择地图,图层控制,地图的缩放、平移及鹰眼导航等。
4) 视图处理模块:该模块负责指标和细节地图视图间的切换处理,同时根据网络安全事件图元样式确定算法确定各数据的图元显示方式,通过地理信息系统二次开发技术将网络安全态势数据的源/目的IP以及它们之间的关系以地图图元的方式在地图上展示。
5) 视图显示模块:分为二个子模块,细节地图视图子模块负责将安全事件类型、发生时间、发生地以不同图元形式显示在详细地图上供用户分析和查看;指标地图视图子模块将数据统计规范模块处理后的数据按用户要求进行显示。
以上模块相互协同处理,共同完成网络安全信息的可视化。
2 系统算法研究
在细节地图上将一定采样时间段内网络安全事件的源/目的IP以及它们之间的攻击关系、模式在地图上展示。首先要为源/目的IP和它们之间的攻击模式确定图元样式,然后通过IP地理定位编码算法为源/目的IP地理定位,确定对应点图元的经纬度值并依此经纬度值在地图上展示;在省级指标地图上,根据各省计算机人口将该省的某时段安全事件数量规范化处理后进行展示,各省间的网络链路流量用线图元方式进行展示。
系统主要设计了确定攻击事件类型和网络链路流量状态的图元映射算法,IP地理定位映射算法和各省安全事件发生相对数量算法。分别介绍如下。
2.1网络安全事件图元样式确定算法
在细节地图上,首先确定不同IP类型的图元样式:IP类型的图元样式PN (Si, Cj)由图元形状属性Si(Si∈{, , })和颜色属性Cj(Cj∈{Red, Blue, Orange })确定。具体映射关系见表1。
其次,将安全事件类型用IP图元之间的连线样式表示,连线样式LN(Ti, Cj)由线条类型属性Ti(Ti∈{──, ┉ ┉})和颜色属性Cj(Cj∈{ Black, Magenta, Cyan ,Green })组成,线条样式和安全事件类型的对应关系见表2。
在指标地图上,于各省会所在地的地理位置上显示该省一个采样时间段Ti内发生的安全事件数量(该数量已根据计算机人口进行了正则化处理)。各省间链路流量状态用省会之间的直线图元样式表示,该直线图元样式包括了直线颜色和直线宽度。链路流量状态代表了链路的使用率,是当前链路流量和链路带宽的比值。具体见表3。
表3中直线宽度的单位为“点”,即1/10磅。
2.2IP地理定位映射算法
在MapXtreme二次开发中,为IP对应点图元(简称IP图元)在地图上确定经纬度坐标值(X, Y)的过程,就是对IP地址地理定位的过程。
对IP地址地理定位,就要获知IP所在城市信息或者所属机构的地理信息。目前常用的IP地理定位数据库有QQwry、IP2Location、GeoIP City和Geolitecity等数据库,表4是GeoIP City地理定位数据表部分字段内容[8]。
从表4可以看到,通过GeoIP City只能查找到IP所在城市名称和城市经纬度。通过细节地图展示网络安全事件,IP点图元在地图上必须分布于IP所在城市区域对象内且不能大量重叠,因此设计了一种IP图元在给定区域内布局算法,用于IP图元在地图上的定位和分布。布局算法如下:
1) 根据城市名称或者城市编号在地图上获取城市区域对象外接最小矩形对角坐标(Xmin, Ymin)、(Xmax, Ymax);
2) 根据算式(X,Y)=((Xmin+(Xmax-Xmin)*Random()),(Ymin+(Ymax-Ymin)*Random())生成点图元坐标,其中随机函数Random()产生[0,1]任意单精度浮点小数,示意图见图2 。
3) 根据PIP(Point in Polygon)算法,判断坐标是否处于给定城市区域对象范围内,是则保留,不是则重复步骤2。
通过上述算法,在具有同一地理坐标的地图上可以为每一个未重复出现的源/目的IP地址赋予一个具体的经纬度值,地理信息系统二次开发技术可根据具体IP图元经纬度值和图元样式将网络安全事件在地图上展示。
2.3 网络安全事件发生相对数量算法
一个地区的网络安全事件发生数量与该省人口数量,计算机网络发展水平等因素息息相关。对单个地区而言,安全事件发生绝对数量不能说明该地区处于危险的网络安全状态。所以单纯用绝对数量比较各地区的网络安全状态是有失偏颇的。这里提出基于地区人口数量和网络发展规模水平的安全事件相对数量的概念。具体算法如下:设某地区人口数量为Npop,该地区的网络发展水平为Ris,人均每个计量时间段内上网时间为Tnet,安全事件发生的绝对数量为Qab,修正系数为常量S(避免安全事件相对数量出现较小的小数),则该地区的安全事件发生的相对数量。
3 系统实现
为了验证网络安全信息多级地图展示系统的可行性,以地图的设计及实现技术为依据,采用MapInfo中间件MapXtreme4.8.2结合java平台开发了网络安全态势多级地图原型系统,实现了网络安全信息的可视化以及验证了此原型系统的可行性。
系统在Windows XP下开发,开发平台为NetBeans6.9.1,开发包为Java2D,地图处理软件为MapInfo Professional v10.0,地图二次开发包为MapXtreme Java4.8.2,数据库为Postgresql9.0,JDBC为postgresql-8.3dev-601.jdbc4。开发平台各软件之间的关系见图3所示。
3.1 分级地图展示效果
网络安全信息详细地图,用4种线图元颜色和两种线型表示了7种安全事件类型,用3种点图元表示该IP在安全事件中的源/目的类型。用户可以对比右边显示的图例明确某一安全事件的类型及发生地理位置,同时可以用鹰眼导航快速定位感兴趣的区域并用鼠标滚轮放大/缩小该区域。
网络安全信息指标地图,将每个省发生的安全事件相对数量显示在该省省会所在的地理位置,并将数量显示出来,用户可以在感兴趣省份的红旗图元上鼠标悬停,系统将显示该省发生各种安全事件的具体次数。同样,指标地图具备放大、缩小、平移、鹰眼导航等基本功能,可以将地图窗口聚焦到感兴趣的区域进行显示。(如图5)。
上述测试结果表明,原型系统各个功能模块工作正常,具备了必要的人机交互功能;多级网络安全信息地图显示效果清晰,层次结构分明,安全信息详略有致,用户对安全事件的地理信息一目了然,方便了用户对网络安全信息从宏观到微观的把握。
4 结束语
本文提出了基于MapXtreme的网络安全信息多级地图展示系统,对地图生成、操作,图元选取、显示进行了详细的设计,并提出了某区域发生安全事件相对数量的算法,最后实验验证了网络安全信息地图的可行性和实用性。多级网络安全信息地图的特点是可以将网络安全信息分为宏观和微观展示,视图结构清晰;相对数量概念的提出,可以很大程度上排除区域人口数量、计算机网络发展水平等因素对安全事件发生绝对次数的影响,从而使用户能把握各区域的实际情况;系统能有效地进行数据的组织,减小显示系统的负担。作为对网络安全信息可视化的尝试,多级网络安全信息地图的提出和实现为网络安全信息可视化领域的相关研究提供了一些可以借鉴的思路。
参考文献:
[1] Conti G.Sven Krasser.Beyond Ethereal: Crafting a Tivo for Security Datastreams[EB/OL].(2011-03-12).cc.gatech.edu/~conti.
[2] Yin X,Yurcik W,Treaster M,et al.Visflowconnect: netflow visualizations of link relationships for security situational awareness[C]//Proceedings of CCS Workshop on Visualization and Data Mining for Computer Security, ACM Conference on Computer and Communications Security,2004.
[3] Webster S,Lippmann R,Zissman M.Experience Using Active and Passive Mapping for Network Situational Awareness[C].Fifth IEEE International Symposium on Network Computing and Applications,2006.
[4] Montigny-Leboeuf A,Massicotte F.Passive Network Discovery for Real Time Situational Awareness[C].Toulouse, France:RTO IST Symposium on Adaptive Defense in Unclassified Networks,2004.
[5] Lakkaraju K A J L,Yurcik W.Nvisionip: netflow visualizations of system state for security situational awareness[C]//Proceedings of CCS Workshop on Visualization and Data Mining for Computer Security, ACM Conference on Computer and Communications Security,2004.
[6] Lippmann R,Riordan J,Yu T.A Global Perspective on Extreme Malicious Behavior[R].VizSec' 10,2010.
