网络安全事件
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全事件范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全事件范文第1篇
关键词:网络安全;异常检测;方案
网络安全事件异常检测问题方案,基于网络安全事件流中频繁情节发展的研究之上。定义网络安全异常事件检测模式,提出网络频繁密度概念,针对网络安全异常事件模式的间隔限制,利用事件流中滑动窗口设计算法,对网络安全事件流中异常检测进行探讨。但是,由于在网络协议设计上对安全问题的忽视以及在管理和使用上的不健全,使网络安全受到严重威胁。本文通过针对网络安全事件流中异常检测流的特点的探讨分析,对此加以系统化的论述并找出合理经济的解决方案。
1、建立信息安全体系统一管理网络安全
在综合考虑各种网络安全技术的基础上,网络安全事件流中异常检测在未来网络安全建设中应该采用统一管理系统进行安全防护。直接采用网络连接记录中的基本属性,将基于时间的统计特征属性考虑在内,这样可以提高系统的检测精度。
1.1网络安全帐号口令管理安全系统建设
终端安全管理系统扩容,扩大其管理的范围同时考虑网络系统扩容。完善网络审计系统、安全管理系统、网络设备、安全设备、主机和应用系统的部署,采用高新技术流程来实现。采用信息化技术管理需要帐号口令,有效地实现一人一帐号和帐号管理流程安全化。此阶段需要部署一套帐号口令统一管理系统,对所有帐号口令进行统一管理,做到职能化、合理化、科学化。
信息安全建设成功结束后,全网安全基本达到规定的标准,各种安全产品充分发挥作用,安全管理也到位和正规化。此时进行安全管理建设,主要完善系统体系架构图编辑,加强系统平台建设和专业安全服务。体系框架中最要的部分是平台管理、账号管理、认证管理、授权管理、审计管理,本阶段可以考虑成立安全管理部门,聘请专门的安全服务顾问,建立信息安全管理体系,建立PDCA机制,按照专业化的要求进行安全管理通过系统的认证。
边界安全和网络安全建设主要考虑安全域划分和加强安全边界防护措施,重点考虑Internet外网出口安全问题和各节点对内部流量的集中管控。因此,加强各个局端出口安全防护,并且在各个节点位置部署入侵检测系统,加强对内部流量的检测。主要采用的技术手段有网络边界隔离、网络边界入侵防护、网络边界防病毒、内容安全管理等。
1.2综合考虑和解决各种边界安全技术问题
随着网络病毒攻击越来越朝着混合性发展的趋势,在网络安全建设中采用统一管理系统进行边界防护,考虑到性价比和防护效果的最大化要求,统一网络管理系统是最适合的选择。在各分支节点交换和部署统一网络管理系统,考虑到以后各节点将实现INITERNET出口的统一,要充分考虑分支节点的internet出口的深度安全防御。采用了UTM统一网络管理系统,可以实现对内部流量访问业务系统的流量进行集中的管控,包括进行访问控制、内容过滤等。
网络入侵检测问题通过部署UTM产品可以实现静态的深度过滤和防护,保证内部用户和系统的安全。但是安全威胁是动态变化的,因此采用深度检测和防御还不能最大化安全效果,为此建议采用入侵检测系统对通过UTM的流量进行动态的检测,实时发现其中的异常流量。在各个分支的核心交换机上将进出流量进行集中监控,通过入侵检测系统管理平台将入侵检测系统产生的事件进行有效的呈现,从而提高安全维护人员的预警能力。
1.3防护IPS入侵进行internet出口位置的整合
防护IPS入侵进行internet出口位置的整合,可以考虑将新增的服务器放置到服务器区域。同时在核心服务器区域边界位置采用入侵防护系统进行集中的访问控制和综合过滤,采用IPS系统可以预防服务器因为没有及时添加补丁而导致的攻击等事件的发生。
在整合后的internet边界位置放置一台IPS设备,实现对internet流量的深度检测和过滤。安全域划分和系统安全考虑到自身业务系统的特点,为了更好地对各种服务器进行集中防护和监控,将各种业务服务器进行集中管控,并且考虑到未来发展需要,可以将未来需要新增的服务器进行集中放置,这样我们可以保证对服务器进行同样等级的保护。在接入交换机上划出一个服务器区域,前期可以将已有业务系统进行集中管理。
2、科学化进行网络安全事件流中异常检测方案的探讨
网络安全事件本身也具有不确定性,在正常和异常行为之间应当有一个平滑的过渡。在网络安全事件检测中引入模糊集理论,将其与关联规则算法结合起来,采用模糊化的关联算法来挖掘网络行为的特征,从而提高系统的灵活性和检测精度。异常检测系统中,在建立正常模式时必须尽可能多得对网络行为进行全面的描述,其中包含出现频率高的模式,也包含低频率的模式。
2.1基于网络安全事件流中频繁情节方法分析
针对网络安全事件流中异常检测问题,定义网络安全异常事件模式为频繁情节,主要基于无折叠出现的频繁度研究,提出了网络安全事件流中频繁情节发现方法,该方法中针对事件流的特点,提出了频繁度密度概念。针对网络安全异常事件模式的时间间隔限制,利用事件流中滑动窗口设计算法。针对复合攻击模式的特点,对算法进行实验证明网络时空的复杂性、漏报率符合网络安全事件流中异常检测的需求。
传统的挖掘定量属性关联规则算法,将网络属性的取值范围离散成不同的区间,然后将其转化为“布尔型”关联规则算法,这样做会产生明显的边界问题,如果正常或异常略微偏离其规定的范围,系统就会做出错误的判断。在基于网络安全事件流中频繁情节方法分析中,建立网络安全防火墙,在网络系统的内部和外网之间构建保护屏障。针对事件流的特点,利用事件流中滑动窗口设计算法,采用复合攻击模式方法,对算法进行科学化的测试。
2.2采用系统连接方式检测网络安全基本属性
在入侵检测系统中,直接采用网络连接记录中的基本属性,其检测效果不理想,如果将基于时间的统计特征属性考虑在内,可以提高系统的检测精度。网络安全事件流中异常检测引入数据化理论,将其与关联规则算法结合起来,采用设计化的关联算法来挖掘网络行为的特征,从而提高系统的灵活性和检测精度。异常检测系统中,在建立正常的数据化模式尽可能多得对网络行为进行全面的描述,其中包含出现频率高的模式,也包含低频率的模式。
在网络安全数据集的分析中,发现大多数属性值的分布较稀疏,这意味着对于一个特定的定量属性,其取值可能只包含它的定义域的一个小子集,属性值分布也趋向于不均匀。这些统计特征属性大多是定量属性,传统的挖掘定量属性关联规则的算法是将属性的取值范围离散成不同的区间,然后将其转化为布尔型关联规则算法,这样做会产生明显的边界问题,如果正常或异常略微偏离其规定的范围,系统就会做出错误的判断。网络安全事件本身也具有模糊性,在正常和异常行为之间应当有一个平滑的过渡。
另外,不同的攻击类型产生的日志记录分布情况也不同,某些攻击会产生大量的连续记录,占总记录数的比例很大,而某些攻击只产生一些孤立的记录,占总记录数的比例很小。针对网络数据流中属性值分布,不均匀性和网络事件发生的概率不同的情况,采用关联算法将其与数据逻辑结合起来用于检测系统。实验结果证明,设计算法的引入不仅可以提高异常检测的能力,还显著减少了规则库中规则的数量,提高了网络安全事件异常检测效率。
2.3建立整体的网络安全感知系统,提高异常检测的效率
作为网络安全态势感知系统的一部分,建立整体的网络安全感知系统主要基于netflow的异常检测。为了提高异常检测的效率,解决传统流量分析方法效率低下、单点的问题以及检测对分布式异常检测能力弱的问题。对网络的netflow数据流采用,基于高位端口信息的分布式异常检测算法实现大规模网络异常检测。
通过网络数据设计公式推导出高位端口计算结果,最后采集局域网中的数据,通过对比试验进行验证。大规模网络数据流的特点是数据持续到达、速度快、规模宏大。因此,如何在大规模网络环境下进行检测网络异常并为提供预警信息,是目前需要解决的重要问题。结合入侵检测技术和数据流挖掘技术,提出了一个大规模网络数据流频繁模式挖掘和检测算法,根据“加权欧几里得”距离进行模式匹配。
实验结果表明,该算法可以检测出网络流量异常。为增强网络抵御智能攻击的能力,提出了一种可控可管的网络智能体模型。该网络智能体能够主动识别潜在异常,及时隔离被攻击节点阻止危害扩散,并报告攻击特征实现信息共享。综合网络选择原理和危险理论,提出了一种新的网络智能体训练方法,使其在网络中能更有效的识别节点上的攻击行为。通过分析智能体与对抗模型,表明网络智能体模型能够更好的保障网络安全。
结语:
伴随着计算机和通信技术的迅速发展,伴随着网络用户需求的不断增加,计算机网络的应用越来越广泛,其规模也越来越庞大。同时,网络安全事件层出不穷,使得计算机网络面临着严峻的信息安全形势的挑战,传统的单一的防御设备或者检测设备已经无法满足安全需求。网络安全安全检测技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对安全状况的发展趋势进行预测和预警,为增强网络安全性提供可靠的参照依据。因此,针对网络的安全态势感知研究已经成为目前网络安全领域的热点。
参考文献:
[1]沈敬彦.网络安全事件流中异常检测方法[J].重庆师专学报,2000,(4).
网络安全事件范文第2篇
【 关键词 】 网络;安全;检测
Analysis of Network Security Event Stream Anomaly Detection Method
Cui fang
(Electronic and Information Engineering of Qiongzhou Universitxy HainanSanya 572020)
【 Abstract 】 With the development of the Internet," hacker"," invasion" and so on we use network poses a serious threat. On the network security event stream detection to find the problem in time, take measures to protect the rights of the majority of Internet users. On these abnormal detection methods, mainly based on the network, host based anomaly detection method based on vulnerability and, based on the three methods of analysis.
【 Keywords 】 network;security; detection
0 引言
网络安全的目标是保护有可能被侵犯或破坏的机密信息不受外来非法操作者的控制。但是由于互联网旧有协议存在着“先天”的漏洞,在设计时其思想是开放并且友好的,仅支持有限的加密能力。在互联网高速发展的今天,各种网络应用对协议安全性提出了更高的要求。原有的协议设计不但不能满足日益增长的安全需求,而且协议本身甚至都有安全隐患及漏洞。这给一些不法分子提供了可乘之机,也对广大用户的信息安全造成了威胁。
在对网络安全的维护中,先是防火墙,然后入侵检测系统逐步走入我们视野中。防火墙,故名思义,防止发生外来的,不可预测的、潜在破坏入。它一般放置在网关的位置,就是内网与外网的连接处。它是设置好规则,静态的守株待兔式的网络攻击防御软硬件设备。而入侵检测系统则是一种积极主动的安全防护技术,它对网络传输进行即时监视和分析,在发现可疑传输时发出警报或者采取主动反应措施,即使内部人员有越界行为,实时监视系统也能发现情况并发出警告。
比如内部网里有台计算机中了病毒,不停地发送大量的数据包,那么通过入侵检测系统就能发现并定位,进而采取措施。而防火墙对于这些已进入内网的病毒或恶就显得束手无策了。虽然现在有的防火墙也增加了号称是入侵检测的功能,但是是与专门的入侵检测设备无法相比的。
入侵检测系统被公认为是防火墙之后的第二道安全闸门, 从网络安全立体纵深、多层次防御的角度出发, 对防范网络恶意攻击及误操作提供了主动的实时保护, 从而能够在网络系统受到危害之前拦截和响应入侵。入侵检测技术可以弥补单纯的防火墙技术暴露出明显的不足和弱点, 它们在功能上可以形成互补关系。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并 用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
不同于防火墙,入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对它的部署,唯一的要求是:它应当挂接在所有所关注流量都必须流经的链路上。
异常发现技术的前提是假定所有入侵行为都是与正常行为不同的。首先通过训练过程建立起系统正常行为的轨迹,然后在实际运用中把所有正常轨迹不同的系统状态视为可疑。
异常检测系统按其输入数据的来源来看,可以分为三类。
1 基于网络的异常检测系统
通常称做硬件检测系统,位置在比较重要的网段内,不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接,网管可以在Windows平台进行配置、中央管理。目前,大部分入侵检测产品是基于网络的。
1.1 这种异常检测系统的优点很多
它能够检测那些来自网络的攻击,它能够检测到超过授权的非法访问。由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。它发生故障不会影响正常业务的运行,布署一个网络异常检测系统的风险比主机入侵检测系统的风险少得多。网络异常检测系统近年内有向专门的设备发展的趋势,安装这样的一个网络异常检测系统非常方便,只需将定制的设备接上电源,做很少一些配置,将其连到网络上即可。
1.2 这种检测系统的弱点
只检查它直接连接网段的通信,不能检测在不同网段的网络包,在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络入侵检测系统的传感器会使布署整个系统的成本大大增加。
为了性能目标通常采用特征检测的方法,它可以检测出普通的一些攻击,而很难实现一些复杂的需要大量计算与分析时间的攻击检测。
它可能会将大量的数据传回分析系统中。在一些系统中监听特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减少回传的数据量,对异常判断的决策由传感器实现,而中央控制台成为状态显示与通信中心,不再作为异常行为分析器。
处理加密的会话过程较困难,目前通过加密通道的攻击尚不多,但随着IPv6的普及,这个问题会越来越突出。它通过在网段上对通信数据的侦听来采集数据。当它同时检测许多台主机的时候,系统的性能将会下降,特别是在网速越来越快的情况下。由于系统需要长期保留许多台主机的受攻击信息记录,所以会导致系统资源耗竭。
尽管存在这些缺点,但由于基于网络的异常检测系统易于配置和易于作为一个独立的组件来进行管理而且他们对受保护系统的性能不产生影响或影响很小,所以他们仍然很受欢迎。
2 基于主机的异常检测系统
基于主机的异常检测系统出现在20世纪80年代初期,那时网络规模还比较小,检查可疑行为的审计记录相对比较容易,况且在当时异常行为非常少,通过对攻击的事后分析就可以防止随后的攻击。同样,目前仍使用审计记录,但主机能自动进行检测,而且能准确及时地作出响应例如,当有文件发生变化时,将新的记录条目与攻击标记相比较,看其是否匹配,如果匹配系统就会向管理员报警。对关键的系统文件和可执行文件的异常检测是主要内容之一,通常进行定期检查校验和,以便发现异常变化。此外,大多数这样的产品都监听端口的活动,在特定端口被访问时向管理员报警。
2.1 监视特定的系统活动
监视用户和访问文件的活动,包括文件访问、改变文件权限,试图建立新的可执行文件或者试图访问特殊的设备。
2.2 能够检查到基于网络的入侵检查系统检查不出的攻击
可以检测到那些基于网络的入侵检测系统察觉不到的攻击。例如,来自主要服务器键盘的攻击不经过网络,所以可以躲开基于网络的入侵检测系统。
2.3 适用于采用了数据加密和交换式连接的子网环境
由于它安装在遍布子网的各种丰机上,它们比基于网络的入侵检测系统更加适于交换式连接和进行了数据加密的环境。
2.4 有较高的实时性
尽管不能提供真正实时的反应,但如果应用正确,反应速度可以非常接近实时。尽管在从操作系统作出记录到得到检测结果之间的这段时间有一段延迟,但大多数情况下,在破坏发生之前,系统就能发现入侵者,并中止他的攻击。
2.5 不需增加额外的硬件设备
它存在于现行网络结构之中,包括文件服务器,Web服务器及其他共享资源。这使得基于主机的系统效率很高。
3 基于漏洞的异常检测系统
操作系统的漏洞给了黑客或病毒以可乘之机,以前的“冲击波”病毒曾造成大面积的网络瘫痪,其实究其原因,也就是因为没有给微软的IIS打上补丁。如果打了补丁就会防患于未燃。这也跟某些网管员忽略安全防犯的思想有关。
目前很多主机,已经安装了更新版本的操作系统,很多针对以前操作系统漏洞进行的攻击,已经发挥不了作用。但是,由于这种发挥不了作用的攻击存在,随之也就会产生很多的无用警报,使得安全管理员无法判定,到底哪些警报最为迫切,最为危险。
通过对内部网络或者主机的扫描,找出目前内部网络中各个主机存在的漏洞信息,根据这些信息对异常检测中的每个特征规则进行检查,将没有相应检测漏洞的异常检测规则屏蔽。在高速网络环境下,警报减少率、检测效率及丢包率是衡量异常检测系统的指标。实验结果表明,对异常检测规则进行屏蔽,可以大量减少无用的检测规则;减少相应的警报信息。随着网络信息化的日益推进,漏洞检测技术已经成为目前网络安全研究的重点。漏洞检测工具能够检测出计算机系统存在的漏洞,并提供相应的补救方案,提高了系统的安全性和可靠性。目前,漏洞检测软件采用不同标准的漏洞定义库,相互之间兼容性差,支持的操作系统种类不全面,计算机网络的安全性难以得到高质量保证。
当前实际网络中存在的攻击,对检验异常检测的各项指标具有重要意义,还可以为其它信息安全研究提供有效的测试数据。
随着网络入侵攻击种类的增加,其特征库也在不断地增加,这些异常检测的硬件设备和软件也需要不断升级。
参考文献
[1] 朱晓妹.基于网络隐写的主动身份认证系统研究[D].南京理工大学.2009.
[2] 金诚.基于神经网络集成的入侵检测技术[D].哈尔滨理工大学.2009.
网络安全事件范文第3篇
1.1何为网络安全实训室
网络安全实训室,顾名思义是钻研维护和保护网络使用者的信息和钱财。其服务宗旨是在不影响网络正常运行的情况下,进行一系列的调整和完善网络安全环境。其业务范围是积极配合我国实施的一系列计算机信息网络安全的方针政策;严格遵守法律制度,对公共网络信息进行时刻监管,修补其漏洞,提升网络安全的等级;为其社会提供有效的方法对策,宣传其计算机安全技术的公众服务。网络安全实训室的重点服务对象有客户的管理层即制度的制定者、信息系统管理者、普通用户等等。这是主要的三个不同类别的人员,对其进行网络信息安全知识的咨询和有效培训。其主要目的是培训客户的防范意识和如何破解黑客的方法套路,从而避免在网络中信息的窥探,更好的保护自己的合法权益[1]。
1.2实训室建设的必要性
(1)社会时代的需求。如今是一个科技的时代,科技出现在我们生活的方方面面。我们对计算机的使用也日渐平常,不可否认的是网络的发展,给我们的生活和工作上带来许多的利益。由于现代企业的发展离不开计算机的使用,故企业对其网络的安全问题极为重视。企业内部信息可以说是企业发展的核心,信息的保护是企业在社会上得以生存的重要保障。故网络安全实训室的建设是企业的需要,同时也是我们社会时展的需要。(2)网络使用者信息泄露,造成严重威胁和损失。使用者在网络使用过程中,或多或少会输入一些关于自己的真实信息。这些信息本应该是在网络系统中有保障的,然而由于黑客的木马病毒等多种形式的攻击,造成计算机安全系统的破坏,给使用者的信息造成了严重的威胁和损失。为确保网络使用者的信息安全,网络安全实训室的建设是相当有必要的。
1.3重视高校网络安全实训室建设的原因
在此提出维护高校网络安全实训室的建设,其主要原因是,学生对此方面知识的认识还不够健全,容易受到网络黑客的误导。高校网络的使用者主要是学生,由于学生的自我判断事物的能力不够强,防范意识的低下,成为黑客的主要攻击对象。高校网络的崩塌,必定会给学生造成严重的影响。不仅仅是学生的个人隐私得不到保障,教师的信息和学校的机密也会被泄露,给高校造成严重的损失。
2高校网络安全问题的现状分析
2.1防范意识较低
不得不说,只要是涉及到安全的问题,一般都会强调防范意识的重要性,这好像是条件反射似的。然而,这也是人们常常所忽视的问题。当前,高校网络安全事件频发,其主要原因是学生的自我防范意识低,才给那些不法分子留有漏洞,造成自身隐私和钱财的威胁。学生的防范意识低下,是当前高校维护网络安全的最大障碍之一。倘若,对学生的网络知识宣传到位,或许这样的安全漏洞就会在一定程度上缩小,学生涉及到的网络安全威胁也会因此而减少。
2.2高校网络环境混乱、不稳定
伴随着互联网时代的发展,各大高校为满足学生的学习条件,也渐渐搭建了机房。然而随着机房的建设,问题也随之出现。网络环境是互联网发展的重要保障之一,故我们需要加强对高校网络环境的监管。对网络不良信息的传播进行严厉的打击,对网络病毒进行扼杀和清除。在网络建设过程中,网络的安全使用应该是我们最为担心的问题。虽说网络是一个虚拟的环境,但它的应用却是实在的,给我们的生活带来了便捷,处理了许多事。由于学生在上网过程中,或多或少都会涉及到自身的隐私,而这些隐私信息,本应该是互联网为其作严格保护的。目前,随着科技的发展,许多病毒软件和盗用信息软件也愈发先进,给我们的网络环境维护带来了很大的难度,但这并不是我们就此置之不顾的理由,我们应该严厉抨击网络恶势力,为努力构建良好网络环境做出一系列措施行动[2]。
2.3网络安全系统的不完善
众所周知,系统的安装是电脑安全使用的重要保障。由于科技的迅速发展,不法分子愈发钻研一些电脑病毒,通过一些链接和广告窗口植入电脑,从而窥探我们的隐私。但在病毒软件的不断升级情况下,我们的安全防盗系统在此技术上并没有很大的突破,导致不能很好的拦截病毒的入侵,造成信息的盗取和钱财的流失。如今,我们的网络安全系统在攻克黑客的手段时,一系列的系统建立并非很完善,给予黑客了入侵的机会。在此方面,我们应该更加致力于这方面的钻研,为网络建立安全完善的系统。
3高校网络安全实训室建设问题方法对策
3.1主要对策
(1)宣传网络安全知识。正如上文所发现的问题分析,目前学生在上网过程中,防范意识的低下,给黑客创造了机会,致使高校网络的不稳定运行。故此,需要对高校学生进行网络安全知识传授,教导他们应如何有效避免黑客不良企图的攻击,从而保护自己的信息和钱财。许多学生对于网络安全知识不以为然,对于此方面的知识并不认真学习,造成高校网络安全事件频发,其主要原因在于学生自己。只有学生的网络安全意识提高了,学生能清楚地判断网络事物的好坏,自觉避免不良信息的入侵,才能更好的避免高校网络安全事件的发生。(2)健全和完善计算机相关安全系统。计算机安全系统的重要性,是每位使用电脑的人都知道的。据目前的实际情况调查分析到,高技术的安全系统并不能很广泛运用到每台计算机上。其主要原因是,技术的研发是一项高投资的项目,需要大量的资金和人力来为此做研究。故每一高技术的安全系统都不能普及到我们的社会生活当中,唯一可以享用这些高技术安全系统的人,毫无疑问是有钱的人。技术软件的研发,其本质是服务于人民,故在此研究过程中应尽量控制研发成本,创建高技术低成本的安全系统软件,维护全国的互联网,促使人们都消费得起这一技术软件[3]。(3)安排网络警察,进行实时监督。网络环境的维护,同样是保障网络安全运行的重要因素。这时,需要有人时刻对网络信息的传播进行有效的监督和管理。网络警察在此过程中发挥的作用是巨大的,他能有效的管理网络信息,对不良信息的传播及时做出制止,对于网络黑客也能在一定程度上起到作用。维护网络的秩序稳定,为各网络使用者创建良好有秩序的网络环境,让人们上网更放心,更安全。
3.2总结探讨
高校网络安全实训室的建设是我们社会时展的需要,同样也是确保学生信息安全的重要途径之一。对此进行研究探讨,具有一定的实际作用。网络安全的建设和维护,需要的是我们每一个人的共同努力。其中,对于高校网络安全实训室的建设是尤为重要的。由于目前的网络安全问题日益凸显,故我们需要更加明确维护网络安全的方法对策。积极配合网络专业技术人员的指导,创建安全的网络环境。高校的网络安全问题是国家需要更加重视的,而实训室的建设更需要的是高校中的各级领导的严密配合,加紧实训室的建设控制时间。
4结语
高校网络安全的维护,需要的不仅仅是学校师生的共同努力,更需要的是国家致力于这方面的研究和探讨。本文对高校网络安全实训室的建设问题进行了多方面多角度的分析,提出了相关的方法对策,希望对高校网络安全问题研究探讨的相关学者能有一定的帮助和借鉴意义。
作者:李红叶 单位:山西大同大学大同师范分校
参考文献
[1]袁琦.浅谈学校校园网建设与管理[J].电脑知识与技术,2009(12X):220-222.
网络安全事件范文第4篇
【关键词】无线网络 安全 防范
高效无线网络校园是现在很多高校建设的目标,因此,高校在为用户提供基本的互联网上网服务外,还需要为用户提供安全可靠的网络服务,用户可以在校内或者校外访问相应的资源。网络安全设计实现对内外接入时避免面临网络安全的问题,保证网络资源及网络设备的安全是校园无线网络建设所面临的一个严峻问题。
1 无线网络安全面临的主要问题
1.1 访问权限的控制
学校一般拥有大量的外网地址,但是对外提供服务的只是其中的一部分或者少数几个地址,因此需要在出口设备上严格限制外网对内的访问权限,只有允许的地址或者允许地址的特定端口才是可以被访问的,其它地址一律禁止外网发起的主动访问。
1.2 攻击主机的主动识别和防护
动态监测外网主机对资源平台的访问,当外部主机发起非法攻击或者大量合法请求时,网关设备会主动将非法主机进行隔离,从而保证资源平台的安全性;
2 无线网络安全主要的设计内容
基于“接入安全”的理念,将学院园区无线网络认证过程设置到离学生客户端最近的网络边界处,通过启用Web认证模式,无线控制器和学校目前采用的AAA认证系统的协同工作,当学生在接入无线网络的时候,网络无线控制器和ZZ-OS认证网关进行对接,通过portal的方式将认证页面推送到客户端,然后将学生认证所需要的用户名和密码上传到无线控制器,无线控制器通过与ZZ-OS认证系统的对接,获取学生相关的认证信息,如果认证通过,则无线控制器将通知无线AP接入点,允许该学生访问相关的资源,学生使用浏览器即可完成认证过程,不仅保证了接入学生的学生合法性,而且学生能快捷便利的使用无线网络,极大的提高了学生的体验感。
2.1 学生数据加密安全
无线AP通过WEP、TKIP和AES加密技术,为接入学生提供完整的数据安全保障机制,确保无线网络的数据传输安全。
2.2 虚拟无线分组技术
通过虚拟无线接入点(Virtual AP)技术,整机可最大提供16个ESSID,支持16个802.1QVLAN,网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离,并可针对每个SSID配置单独的认证方式、加密机制等。
2.3 标准CAPWAP加密隧道确保传输安全
无线AP接入点与网络无线控制器以国际标准的CAPWAP加密隧道模式通信,确保了数据传输过程中的内容安全。
3 安全准入设计
无线网络为开放式的网络环境,基于端口的有线网络管理方式已经无法满足无线用户接入管理的需求。为了解决接入用户管理的问题一般高校都会部署AAA服务器,通过AAA服务器实现无线用户身份认证。
通过引入AAA服务器虽然解决了“谁”可以连接无线网络的问题,但是如何进行用户身份的认证呢?无线网络部署的初期一般采用SU的方式。SU方式需要无线用户在无线终端设备上安装特定的客户端,通过该客户端完成用户身份的校验。但是随着智能终端的出现,接入无线网络的终端不仅仅是笔记本电脑,平板电脑、手机等智能终端也需要接入无线网络,而SU模式并不适合安装在智能终端上。为了解决智能终端接入无线网络的问题很多设备厂商推出了Web认证,智能终端不再需要安装客户端,只需要通过浏览器就可完成身份认证。针对智能终端Web似乎是一种比较完美的身份认证方式。随着互联网应用的迅速崛起,用户希望在物理位置移动的同时可以使用微信、微博等互联网应用。如果依然采用Web方式进行身份认证,用户将会感觉很麻烦,影响用户对无线网络的体验,为了解决认证方式繁琐的问题,无感知认证应用而生,无感知身份认证只需要用户首次进行终端相关用户信息配设置后续终端接入无需用户干预自动完成。
4 安全审计设计
无线网络为了给用户提供良好的上网体验,一般终端接入网络时采用动态地址分配方式,同时公有地址不足是所有国内高校面临的一个问题,为了解决地址不足的问题一般校内采用私有地址,出口网络设备进行NAT转化。在私有地址环境中采用动态地址分配方式,管理员将会面临一个问题:当发生安全事件时,网监部门只能为管理提供一个具体的外网地址和访问的时间点,仅有的信息中要准确定位问题的具体负责人。
传统的日志计平台只记录了出口设备的NAT日志,可以通过公网地址和具体的时间找到对应的私网地址,但是由于地址采用动态分配的方式,能难确定该时间段对应的地址是哪个用户在使用或者说需要查询多个系统才能确认最终的用户,如果多个系统中有一个系统时钟不一致,可能造成最终信息的错误。为了加强出口行为管理和日志记录,解决安全审计方面的问题,安全方案采用elog应用日志及流量管理系统。elog配合出口网关可有效记录NAT日志、流日志、URL日志、会话日志等,并可存储3个月以上,满足公安部82号令相关要求,学校也可对相关安全事件有效溯源。
日志对于网络安全的分析和安全设备的管理非常重要,网关设备采用统一格式记录各种网络攻击和安全威胁,支持本地查看的同时,还能够通过统一的输出接口将日志发送到日志服务器,为用户事后分析、审计提供重要信息。
NAT日志查询(如图1所示)。
在充分考虑校园无线网络安全设计的前提下,对网络自身的数据加密、信息泄露以及网络攻击进行严密防控的同时,提升用户信息安全意识,从用户自身入手防止出现简单密码、默认密码和用户主机杀毒等问题。做到“防范为主、有据可查、追本溯源”,才能更好的应对网络安全问题,提高校园信息的安全性,为师生提供安全可靠的无线网络服务。
参考文献
[1]吴林刚.无线网络的安全隐患及防护对策[J].科技信息,2011(25).
[2]冯博琴,陈主编,吕军,程向前,李波编.计算机网络简明教程[M].北京:高等教育出版2009.
[3]梁富强.高校校园计算机无线网络安全策略研究[J].河南科技,2014(02):19-20.
作者简介
杨国震(1976-),男。工程硕士,天津交通职业学院副教授。数字化校园。
网络安全事件范文第5篇
1.1网络及安全技术网络安全技术涉及到的层面较多,本节主要分析系统自身安全。基于角色的访问控制,作为现阶段最具有发展前景的访问模式,已经充分的引起民众的广泛关注。和以往的权限直接下放到用户自身的手里相对比,在RBAC程序当中,权限和用户之间存在一定的联系,每一个“角色”则是一个用户或者一批用户的操控整合。注册用户在通过管理员同意之后赋予特定的访问权限以及操作权限后,能够大幅度的降低授权管理的工作任务量。在某个特定的组织结构当中,角色是为了满足特定的任务组建而成。角色可以按照实际需要以及系统自身的整合系统而被授予特定的权限,而对于这些权限功能也随着工作任务的完成被整体进行回收。在一个程序当中授权给注册用户的访问权限,一般情况下通过注册用户在某个特定程序当中的角色来承担。1.2工作流技术工作流的前提条件是计算机工作,软件的全部功能的实现,以及部分功能的自主化,甚至半自主化管理都是以此前提实现的。整个流程有电脑软件控制运行的现象称为工作流。整个管理系统存在一个的核心部分,这一部分是工作流引擎。在完成相应的定义之后,根据其运行的需要,注释被提出,数据模拟等也被一并提出。工作流的概念与计算机关系密切,它的界定需要借助计算机技术,同时工作流的运行,管理,以及信息传递等都需要得到计算机技术的支持。工作流的调配和功能完成是通过工作流引擎完成的。工作流引擎是工作流的主要内容,它不仅可以建立执行过程、执行管理系统,而且还能监管功能等。过程模型和基本业务流程两者关系甚密。一个流程亦或是其子流程,是由诸多活动组合出的,而完整业务流程,则是一个亦或是多个子流程的集合,且在活动阶段内也各有不同的执行联系。
2网络安全预警结构设计
系统设计的根本目的是通过大量收集并归类分析用户网络行为,进一步通过数据挖掘和特征分析算法分析出其内在的规律并以此规律作为网络安全预警的主要依据,通过对大量用户的网络行为聚类和预测,及时发现并切断不安全网络行为,从根源上切断网络不安全因素。网络安全预警结构包括用户网络行为采集模块、服务器安全中心模块、系统管理员模块等,针对使用行为展开建模,通过研究得到能够表示、测量使用行为的特征值,从定量的角度对使用行为进行描述。这种模型不但能够将网络使用行为的实际情况呈现出来,而且能够进行自我学习,对行为变化顺序进行总结,并掌握其规律,将规律应用到使用行为中去。
3系统设计与实现
3.1ADO.NET结构设计数据访问层的位置处于这一系统的最底层,且其只拥有一个基础的单元数据库,也就是Database,然而数据访问层的作用却十分重要,原因在于数据库内容纳有该系统全部的数据信息,故而数据访问层的安全和整体系统的安全都是密切联系、息息相关的。论文主要借助ADO.NET针对网络行为管理以及数据库进行交接。对于ADO.NET是借助数据源通过一定的转换完成和数据库的对接。微软将其明名为ADO.NET。由于此数据库在NET编码的背景下完成的数据现结。同时其最大的优点在于能够和不同种类的数据进行相互匹配和衔接,很大程度上简化了研发者的工作量。3.2系统网络架构设计在此次研发的系统当中,还需要在服务器创建对应的储存列阵以及服务器汇集的网络程序,在此次研究过程当中重点用区域网路来存储数据,在存储数据的时候,分不同的区域来存储,最后通过集群技术来调取,保证各区域数据能够相互作用。主要运用了数据库、web等几种类型。同时借助多机冗余方式来保障系统自身的安全可靠运行。在交换机外部明确防火墙和相关入侵系统的检测体制,更好的抵御危险。在系统与数据库相互访问时,为了更好地让数据在其中流动,可以根据时间段、关键字等更便捷地获取数据,保证定位以及相关的请求能够准确地发送和传递。另外,通过多重的相互确认可以更快地访问。为了确保系统安全,系统通过部署信息强隔离装置、防火墙及入侵检测设备等相关障碍,可有效阻止外界的入侵,即时发现和消除网络安全威胁,系统限制同一用户在同一时间内的登录次数,若连续多次登录失败,系统自动断开连接,并在一定时间内用户无法继续登录。实现设备特权用户的权限分离,系统不支持时应部署日志服务器保证管理员的操作能够被审计,并且网络特权用户管理员无权对审计记录进行操作。3.3系统实现本文主要利用的是WindowsServer2008操作系统平台,采用的硬件设备CPU为英特尔酷睿i5,主频3.0GHz。系统运行内存为16GB,存储空间8TB,网络带宽20M独享。系统数据存储软件是MSSQLServer2015。
4结论
针对网络迅速发展过程中的存在的安全问题,提出了一种基于网络行为分析的网络安全预警系统,该系统通过对大量用户的网络行为聚类和预测,及时发现并切断不安全网络行为,从根源上切断网络不安全因素。系统采用数据挖掘算法挖掘恶意网络行为内在规律,系统采用ASP.NET框架以及SQLServer2012数据库,选用工作流技术为主要技术。系统设计完成后经过实际测试表明,系统运行稳定,在网络安全预警实时性和精确度方面满足要求。
参考文献
[1]蒋励,张家录.基于网络安全事件的预警系统设计[J].湖南理工学院学报(自然科学版),2016,29(02):30-37.
