企業網絡安全評估精選(五篇)
發布時間:2023-09-20 17:50:40
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇企業網絡安全評估,期待它們能激發您的靈感。
篇1
目前,企業信息系統中的威脅主要來源于外部因素,隨著社會的快速發展,在激烈的市場競爭中信息占有非常重要的位置,有很多不法分子會想方設法的利用各種手段竊取企業信息,最終獲得經濟效益。還存在部分企業在與對手競爭中為占取有利位置會采取不正當手段獲取對方企業信息,最終達到擊敗對方的目的。目前在國內黑客人侵企業網絡的主要手段有直接進攻企業信息系統和傳播病毒兩種。
二、當前企業信息化建設中完善信息安全的對策
(一)樹立正確安全意識企業在信息化發展的進程中,應意識到企業信息的安全問題與企業發展之間存在的關聯性。一旦企業的重要信息被竊取或外泄,企業機密被泄漏,對企業所造成的打擊是非常巨大的,同時也給競爭對手創造了有利的機會。因此樹立正確的安全意識對于企業是非常重要的這樣才能為后面的工作打下良好的基礎。
(二)選擇安全性能高的防護軟件雖然任何軟件都是有可以破解方法的,但是對于安全性能高的軟件而言,其破解的困難性也隨之增加,所以企業在選擇安全軟件時應盡量選擇安全性能高的,不要為節省企業開支而選擇性能差的防護軟件,如果出現問題其造成的損失價值會遠遠的大于軟件價格。
(三)加強企業內部信息系統管理首先,對于企業信息系統安全而言,無論是使用哪種安全軟件都會遭到攻擊和破解,所以在安全防御中信息技術并不能占據主體,而管理才是信息安全系統的主體。因此建立合理、規范的信息安全管理體質對于企業而言是非常重要的,只有合理、規范的管理信息,才能為系統安全打下良好的基礎。其次,建立安全風險評價機制。企業的信息系統并不是在同一技術和時間下所建設的,在日常的操作和管理過程中,任何系統都是會存在不同的優勢和劣勢的因此企業應對自身的信息系統做安全風險評估,根據系統的不同找出影響系統安全的漏洞和因素,并制定出詳細的應對策略。
(四)加強網絡安全管理意識首先,網絡安全管理部門應樹立正確的網絡安全觀念,加強對網絡安全的維護,在企業人員培訓中加入對人員的網絡安全培訓,從而使企業工作人員自覺提升安全防范意識,擺脫傳統的思維模式,突破網絡認識誤區。加強對對網絡黑客尤其是未成年人黑客的網絡道德和法律教育,提高他們的法律意識,從而使他們自覺遵守網絡使用的法律法規。其次,應當利用合理有效的方式普及對全體員工有關于網絡法律法規及網絡知識的教育,以提高他們的網絡安全意識。
(五)網絡的開放性使得網絡不存在絕對的安全,所以一勞永逸的安全保護策略也是不存在的由此可以看出,企業實施的網絡安全策隨著網絡問題的升級而發展的,具有動態特征。因此企業制定的策略要在符合法律法規的基礎上,通過網絡信息技術的支持,并根據網絡發展狀況、策略執行情以及突發事件處理能力進行相應的調整與更新,這樣才能確保安全策略的有效性。此外企業還應綜合分析地方網絡安全需求,進一步制定更加完善的網絡安全防護體系,以減少網絡安全存在的風險,保證信息化網絡的安全性。絕大部分的企業信息被竊取都是不法分子通過網絡進行的,因此必須加強企業的網絡管理,才能確保企業信息系統在安全的狀態下運行。針對信息安全的種類和等級制定出行之有效的方案,并提前制定出如果發生了特定的信息安全事故企業應采取哪種應對方案。當企業信息安全危機發生時,企業應快速成立處理小組,根據信息安全危機的處理步驟和管理預案,做好危機處理工作,避免出現由于不當處置而導致的連鎖危機的發生。另外,還應在企業內部做好信息安全的培訓和教育工作,提高信息安全的管理意識,提高工作人員對安全危機事件的處理能力。
三、結語
篇2
關鍵詞:樸素貝葉斯;網絡安全態勢;態勢評估;評估方法;分類器
中圖分類號: TP393.08
文獻標志碼:A
Network security situation assessment method based on Naive Bayes classifier
WEN Zhicheng*, CAO Chunli, ZHOU Hao
College of Computer and Communication, Hunan University of Technology, Zhuzhou Hunan 412007, China
Abstract: Concerning the problem that the current network security situation assessment has characteristics of limited scope, single information source, high time and space complexity and big deviation in accuracy, a new network security situation assessment method based on Naive Bayes classifier was proposed. It fully considered multiinformation sources and fusion of multilevel heterogeneous information, and had the features of rapidity and high efficiency. It dynamically demonstrated the whole security state of the network, which could precisely reflect the network security situation. Finally, the proposed method was verified using the reality data from network and its validity was proved.
Key words: Naive Bayes; network security situation; situation assessment; assessment method; classifier
0引言
因特網的迅速普及與發展,信息的全球網絡化已成為當今信息社會發展的必然趨勢,計算機網絡起著主要因素與巨大推動作用,并逐步滲透到社會各行各業當中,然而與此同時,網絡的安全也日益受到威脅。面臨著無處不在無時不有的安全威脅,嚴重制約著日常網絡信息的可靠利用,已成為當今一個亟待解決的問題。為了幫助網管人員盡快對所監管網絡的情況有一個清晰全局的認知,需對網絡的安全態勢進行宏觀評估,獲得對網絡安全狀況一個整體認識,及時作出相應的決策,有望解決網絡安全問題。
Bass[1]于1999年首次提出了網絡態勢感知(Cyberspace Situation Awareness, CSA)的概念,并指出“基于信息融合的網絡態勢感知”將成為網絡安全與管理的發展方向。態勢是一種狀態、一種趨勢、一個整體和宏觀全局的概念,主要強調周圍環境、動態性以及實體之間的聯系,任何單一的情況或狀態都不能稱之為態勢。網絡安全態勢感知是網絡態勢感知的一種,從整體動態上把握網絡當前的安全狀況、預測未來發展趨勢。網管人員根據宏觀分析和預測結果,及時作出決策,將網絡損失和風險降到最低。
網絡安全態勢評估主要研究整體上從網絡中的實體賦予獲取、理解和預測網絡安全要素的能力,并依此生成應對網絡安全中的威脅策略,為實現異構、泛化網絡中各種安全實體的協同工作與信息融合,構建無縫的網絡安全體系提供一種新的思路[2]。網絡安全態勢評估結果的合理性與真實性非常關鍵,對于安全策略的制定具有深遠的影響,因為安全策略的制定與實施主要依賴于評估的可信程度。一般從底層決策指標開始,逐層進行可信度評估,直到最高層,從而得到一個整體網絡安全態勢。
本文針對傳統安全態勢評估的范圍局限、信息來源單一、時空復雜度較高且準確性偏差較大等問題,將樸素貝葉斯分類器引入態勢評估之中,在深入研究評估方法的基礎上,提出基于樸素貝葉斯分類器的網絡安全態勢推理方法,并結合網絡三級分層的基礎運行性、脆弱性與威脅性指數的推理進行逐層融合,能快速高效地融合多層異構數據源,給網管人員展現出一個宏觀整體的網絡安全狀況。
1
2網絡安全態勢
網絡安全態勢
從網絡基礎運行性(Runnability)、網絡脆弱性(Vulnerability)和網絡威脅性(Threat)三個方面通過評估函數融合而成,即存在評估函數h,有: SA=h(Runnabilitynet, Vulnerabilitynet, Threatnet),從三個不同角度向網管人員展示當前網絡安全整體狀況。
網絡的基礎運行
由網絡上所有組件的基礎運行性評估函數融合而成,即存在評估函數g1,有: Runnabilitynet=g1(Runnabilitycom,1, Runnabilitycom,2, …, Runnabilitycom,m),其他兩個維度如網絡脆弱性與網絡威脅性情形類似,都由組件相應的評估函數g2和g3融合而成。
組件的基礎運行性
由與運行信息相關的決策變量X通過評估函數融合而成,即存在評估函數f1,有:Runnabilitycom=f1(X1, X2,…,Xn),其他兩個維度如組件脆弱性與組件威脅性形成類似,由相應的評估函數f2和f3融合而成。
計算機網絡結構中存在大量的主機、服務器、路由器、防火墻和入侵檢測系統(Intrusion Detection System, IDS)等各種網絡硬件,稱之為組件。每個維度都有組件和網絡之分,如基礎運行性,有組件基礎運行性和網絡基礎運行性,而網絡基礎運行性則由N個組件基礎運行性評估融合生成,為了區別術語網絡(network)與組件(component),相應的標識符以下標net和com作為區別。
本文主要確定三個評估函數f、g、h,一旦確定了此三個評估函數,當采集到決策變量X值時,容易通過相應的評估函數逐層融合,最后獲得整個網絡安全態勢SA。其中,評估函數f分為f1、f2和f3,評估函數g分為g1、g2和g3。評估函數g和f通過樸素貝葉斯分類器來實現,而評估函數h則由各項指標經驗加權而成。
3樸素貝葉斯分類器構建
3.1樸素貝葉斯分類器
在樸素貝葉斯分類模型中,用一個n維特征向量X來表示訓練樣本數據,設類集合C有m個不同的取值,則時間復雜度為O(m*n)。輸入到樸素貝葉斯分類器是一個n維向量X∈Rn,而X分類器的輸出是一個類別標簽集合Y={c1, c2,…,ck}。當給定一個輸入n維向量x∈X,則分類器給出其所屬的類別標簽y∈Y。這里,x,y分別是集合X和Y上的隨機變量,分類器樣本訓練集為T={(x1,y1),(x2,y2),…,(xn,yn)},P(X,Y)表示輸入變量X與輸出變量Y的概率聯合分布。
樸素貝葉斯分類器對P(X=x|Y=ck)作了較強的假設,也即條件獨立性假設,各個決策變量獨立同分布。有:
P(X=x|Y=ck)=P(X(1)=x1,X(2)=x2,…,X(n)=xn|Y=ck)=
∏nj=1P(X(j)=xj|Y=ck)
樸素貝葉斯分類器具有簡單和有效的分類模型[11],假設各決策變量獨立,參數易于獲取且推理結果比較近似等特點,在網絡安全態勢評估上具有先天優勢。
3.2決策變量離散化
決策變量X可取離散和連續型兩種觀測值,而樸素貝葉斯分類器中的節點都使用離散值,為了便于應用,需把連續型離散化。根據實際意義,連續型決策變量X可離散化為“高、中高、中、中低、低”或“2、1、0、-1、-2”五等值。若決策變量本來就是離散型取值,則按實際情況取這五等值。
引理1設連續型X服從高斯分布,即X~N(μ, σ2),則Z=(X-μ)/σ~N(0, 1),μ表示X的數學期望,σ2表示方差。
根據概率論知識,把決策變量X的歷史大樣本觀測值劃分為五個互不相交的區間SSi:(-∞, μ-3σ)∪(μ+3σ,+∞),(μ-3σ, μ-2.5σ)∪(μ+2.5σ, μ+3σ),(μ-25σ, μ-2σ)∪(μ+2σ, μ+2.5σ),(μ-2σ, μ-σ)∪(μ+σ, μ+2σ)和[μ-σ, μ+σ]。
經計算,五個區間SSi(i=1~5)對應的概率PSi (i=1~5)分別為0.26%、 0.98%、 3.32%、 27.18%和6826%,也就是連續型決策變量X取“-2、-1、0、1、2”時對應的概率。
在實際應用中,當監測到決策變量X值時,由引理1高斯分布標準化后,觀察Z值落入五個區間SSi的情況,確定決策變量X離散化為“-2、-1、0、1、2”中的某個相應值。
3.3決策變量的遴選
在實際應用中,有必要遴選出一些具有典型代表性的指標,剔除一些與安全態勢評估不相關的、冗余的指標,形成網絡安全態勢評估所需的決策變量。
計算兩個決策變量xi和xj的相關系數:
ρxixj=Cov(xi,xj)/D(xi)*D(xj)
Cov(xi,xj)為xi和xj的協方差,其中:
Cov(xi,xj)=E{[xi-E(xi)][xj-E(xj)]}=E(xixj)-E(xi)E(xj)
根據第3.2節指標離散化的方法,每個連續型觀測指標可以離散化為五等。在某一個時間段監測若干個數據,以出現的頻率近似它們的概率,代入其相關概率公式中計算。給定一個任意實數0
3.4構建樸素貝葉斯分類器
決策變量X是一個向量,每個分量對應于樸素貝葉斯分類器一個具體的葉子節點xi,取離散或連續型兩種觀測值;本文需要構建兩類樸素貝葉斯分類器,一類是組件級的樸素貝葉斯分類器,如圖1所示,由三個子分類器構成,分別代表三個評估函數f1、f2和f3;另一類是網絡級的樸素貝葉斯分類器,如圖2所示,也由三個子分類器構成,分別代表三個評估函數g1、g2和g3。
在圖1的組件級樸素貝葉斯分類器中,三類相關指標看成決策變量X,而三個類別看成Y,其中X和Y都取五等離散值,也是說決策變量X的分量xi可以指CPU利用率、占用內存大小、網絡流量等,可取五等離散值,而類別Y的分量yi可以指基礎運行性、脆弱性、威脅性,也取五等離散值。
圖2的網絡級樸素貝葉斯分類器中,存在n個組件,任一個組件的一維作為決策變量XX,而網絡的三個類別看成YY,它們共同構成一個樸素貝葉斯分類器。注意,圖2中決策變量的XX就是圖1的類屬Y,也即圖1的評估函數f是圖2評估函數g的基礎。
在組件級樸素貝葉斯分類器f中,當采集到決策變量X的值時,經過離散化預處理,通過訓練好的樸素貝葉斯分類器f,把目前狀態推理分類給適當的類Y,具有一定的概率P(Y),Y取五等離散值,五個概率之和為1;再由網絡級樸素貝葉斯分類器g,把目前狀態分類給適當的類YY,也具有一定的概率P(YY),YY取五等離散值,五個概率之和為1。
3.5參數確定
經上述方法,構建兩類樸素貝葉斯分類器,若要能在實際上應用,必須要獲取相應條件概率P(Y|X)和P(YY|XX),一般通過大樣本的參數學習得到。
以圖1的樸素貝葉斯分類器f為例,當采集到決策變量X連續型值后,經離散化預處理,取相應的五等化值X(j)=xj;對于類別Y的采集一般通過專門軟件如360安全防護軟件等,獲得其推薦值,再通過五等離散化類別ck;通過參數學習確定P(Y|X)。
如圖1所示的樸素貝葉斯分類器f,通過大樣本參數學習,只需要訓練估計P(Y=ck)與P(X(j)=xj|Y=ck)(1≤i≤n,1≤k≤m)的值即可,從而可對決策變量X分類為Y:
P(Y=ck|X=x)=P(X=x|Y=ck)P(Y=ck)∑kP(X=x|Y=ck)P(Y=ck)
這里,經過大樣本觀察,有:
P(Y=ck)=sk/s
P(X(j)=xj|Y=ck)=skj/sk
其中:sk為樣本訓練集中類別為ck的樣本數,s為樣本總數,skj為樣本訓練中類別為ck且屬性取值xj的樣本數。
4安全態勢評估
4.1組件級態勢評估
組件級態勢評估函數f,通過如圖1所示的樸素貝葉斯分類器來實現的。當采集到一組決策變量的值X,經過分類器f得到它們所屬類別Y,各類別具有一定的概率,表示為:
P(Y)=P(Y=ck|X=x)P(X=x)=P(X=x|Y=ck)P(Y=ck)∑kP(X=x|Y=ck)P(Y=ck); ck=2,1,0,-1,-2(1)
式(1)表示,決策變量X取定值時,經樸素貝葉斯分類器推理,類屬Y=ck具有一定的概率P(Y)。也就是說,圖1的三個樸素貝葉斯分類器f,每一個類別都具有五個ck對應的概率P(Y=ck),它們是圖2所示的樸素貝葉斯分類器的基礎(因為XX=Y)。圖1的分類器f是圖2的分類器g的基礎。
4.2網絡級態勢評估
網絡級態勢評估函數g通過如圖2所示的樸素貝葉斯分類器來實現,以評估函數f為基礎。在圖1中,當采集到決策變量X值經樸素貝葉斯分類器f,網絡上每個組件上基礎運行性、脆弱性和威脅性都具有五個類別及相應的概率,以組件基礎運行性為例,令:
P(XX)=P(Y)=P(Y=ck|X=x);ck=2,1,0,-1,-2 (2)
式(2)中,X可取“CPU利用率、占用內存大、子網流量變化率、子網數據流總量、子網內不同大小數據包的分布等”,Y為“基礎運行性”。
在圖2的樸素貝葉斯分類器評估函數g中,有:
P(YY)=P(XX=xx)P(YY=ck|XX=xx)=[P(YY=ck)∏jP(XX(j)=xxj|YY=ck)
P(XX(j)=xxj)]/
[∑kP(YY=ck)∏jP(XX(j)=xxj|YY=ck)
P(XX(j)=xxj)]; ck=2,1,0,-1,-2(3)
從式(3)中,可得出網絡基礎運行性、網絡脆弱性與網絡威脅性三維中每維取五等離散化值的概率P(YY=ck),再作為4.3節圖3網絡安全態勢評估函數h的基礎。
4.3網絡安全態勢評估
如圖3所示,網絡安全態勢SA由網絡基礎運行性、網絡脆弱性與網絡威脅性三維通過評估函數h向上融合生成。
圖3網絡安全態勢評估函數h示意圖
圖3中的決策變量Z其實就是圖2中的類屬YY,為了便于敘述,用Z表示決策變量YY。經過圖2的樸素貝葉斯分類器推理,可得每個維度都有五種離散型概率取值,令:
P(Z=ck)=P(YY=ck); ck=2,1,0,-1,-2 (4)
由于網絡安全態勢SA由三個維度通過評估h融合生成,而每個維度由五等加權生成,以網絡基礎運行性Runnabilityn為例,根據經驗,它的實值可以定義如下:
Runnabilitynet=100*[P(Z=2)+0.5*P(Z=1)-0.5*P(Z=-1)-5*P(Z=-2)] (5)
由于網絡安全態勢值需取0~100的實值,所以式(5)中乘上了100。按此方法計算網絡基礎運行性接近實際,因為評估網絡安全態勢,主要看位于“高”時的概率,也要突出位于“低”和“中低”時的情況,而當位于“中”時的概率可以忽略不計。
本節從網絡的基礎運行性、網絡的脆弱性與網絡的威脅性再向上通過評估函數h最終生成網絡的安全態勢SA。有:
SA=h(Runnabilitynet,Vulnerabilitynet,Threatnet)=η1Runnabilitynet+η2Vulnerabilitynet+η3Threatnet
(6)
可根據經驗確定式(6)中權值參數ηi的值。網絡安全態勢中,基礎運行性表征網絡正常運行,居主導地位,所占比重應該最大,可取值為0.5;而其他兩項也有可能導致網絡安全態勢降低,因此可各占比重0.25,即可取:
η1=0.5,η2=025,η3=025,
這三個權值η的取定具有經驗性,可參考專家的經驗意見。SA結果取0~100的實值,為當前網絡安全態勢,從底層逐步通過評估函數f、g和h生成。
4.4評估算法
4.4.1樸素貝葉斯分類器參數學習算法
輸入決策變量X大樣本觀察數據;
輸出樸素貝葉斯分類器。
程序前
s決策變量X樣本總數
let sk=0, skj=0,
for every s
if Y=ck then sk=sk+1
if X(j)=xj then skj=skj+1
endfor
compute every P(Y=ck)=sk/s
compute every P(X(j)=xj|Y=ck)=skj/sk
output parameter P(Y) and P(X|Y)
程序后
4.4.2網絡安全態勢評估算法
輸入決策變量X一次觀察數據;
輸出網絡安全態勢SA。
程序前
采集一組決策變量X實時觀測值,并離散化五等
for every Y in {Runnability,Threat,Vulnerable} and ck in {2, 1, 0, -1,-2}
P(Y)P(Y=ck|X=x)*P(X=x)
endfor
let XX=Y
for every XX in {Runnability,Threat,Vulnerable} and ck in {2,1,0,-1,-2}
P(YY)P(XX=xx)*P(YY=ck|XX=xx)
endfor
for RVT in {Runnabilitynet,Vulnerabilitynet,Threatnet}
RVTn100*[P(Z=2)+0.5*P(Z=1)-0.5*P(Z=-1)-5*P(Z=-2)]
endfor
compute SAh(Runnabilitynet,Vulnerabilitynet,Threatnet)=0.5*Runnabilitynet+0.25*Vulnerabilitynet+0.25*Threatnet
output SA
程序后
5仿真實驗
本章采用Matlab 7.0進行仿真實驗,實驗數據主要來源于:一類是通過開發一個安裝在各個網絡組件上的軟件監測得到的實時數據;一類來源于Snort入侵檢測系統中的觀測數據,并將各類惡意網絡流量的數據按照預先規則注入到正常流量中,來獲得實驗中所需要的異常數據。
在一個設定的10s時間內,動態采集2000個大樣本作為離散化的歷史數據, 當所采集的每個決策變量為大樣本數據時(樣本量足夠大),計算其樣本的數學期望μ與方差σ2,按照引理1,為每個連續型決策變量xi劃分為五個離散取值區域SSk,每個區域有相應的概率PSk(k=1,2,3,4,5)。
經過組件2000個大樣本數據參數學習,獲得樸素貝葉斯分類器f的參數P(Y|X)近似值,以決策變量X為CPU利用率及類屬Y為基礎運行性為例,得到表1的參數。對于圖1來說,有多少個決策變量X,就有多少個這樣的參數表1。
在異常情況下,組件不安裝任何防病毒軟件,且對此組件施實木馬和蠕蟲等病毒攻擊,會對各類決策變量產生影響,CPU利用率、內存使用情況及網絡流量等明顯增加。經異常數據不斷流入,網絡中存在一定數量的異常情況組件,通過決策變量采集、五等離散化后,組件經遴選后的三類決策變量值如表2所示,表示某個時刻該組件上所有決策變量取值。網絡上多少個組件,在某個時刻t時就有多少個這樣的參數表2。
決策變量X取值如表2所示,經圖1所示的三個評估函數f1、f2和f3融合后,得到如表3所示的一個組件三個維度的概率。網絡中有多少個組件,則就有多少個參數表3。
當網絡上N個組件各自經評估函數f融合后,再經圖2所示的三個評估函數g1、g2和g3融合,得到如表4網絡級三維的概率。一個網絡上只有一個參數表4。
根據表4的取值,網絡級三維如網絡基礎運行性、網絡脆弱性與網絡威脅性由公式Runnabilityn=100*[P(Z=2)+0.5*P(Z=1)-0.5*P(Z=-1)-0.5*P(Z=-2)] 計算,式(5)計算,可得三維數值為(28.010,46.625,0),再經融合函數h加權,得SA=25.66。
經過多次決策變量X數據觀測,根據上述三級評估函數f、g、h數據融合,繪出如圖4所示的網絡安全態勢圖,反映出本時間段內的安全態勢波動情況,給網絡管理員一個整體宏觀的展現,以便及時調整相應的安全策略。
6結語
本文提出了一個基于樸素貝葉斯分類器的網絡安全態勢評估方法,給出了解決網絡安全與管理的一個嘗試方案,充分考慮了多信息源與多層次異構信息融合,從整體動態上生成網絡當前安全態勢,準確地反映了網絡當前安全狀況,能提高網管員對整個網絡運行狀況的全局認知與理解,當發現安全態勢異常時,輔助指揮員及時準確地作出高層決策,彌補當前網管的不足。
本文的難點在于樸素貝葉斯網的構建以及數據的獲取,今后的研究工作包括完善網絡安全態勢評估方法,進一步提高算法的效率,研究更全面的安全態勢因子及其表示方法。
參考文獻:
[1]
BASS T. Intrusion detection systems and multisensor data fusion [J]. Communications of the ACM, 2000,43(4): 99-105.
[2]
JAKOBSON G. Mission cyber security situation assessment using impact dependency graphs [C]// Proceedings of the 2011 14th International Conference on Information Fusion. Piscataway: IEEE, 2011:1-8.
[3]
ZHAO J, ZHOU Y, SHUO L. A situation awareness model of system survivability based on variable fuzzy set [J]. Telkomnika: Indonesian Journal of Electrical Engineering, 2012, 10(8): 2239-2246.
[4]
WANG J, ZHANG F,FU C, et al. Study on index system in network situation awareness [J]. Journal of Computer Applications, 2007, 27(8): 1907-1909. (王娟,張鳳荔,傅,等.網絡態勢感知中的指標體系研究[J].計算機應用,2007,27(8):1907-1909.)
[5]
XI R, YUN X, ZHANG Y, et al. An improved quantitative evaluation method for network security [J]. Chinese Journal of Computers, 2015, 38(4): 749-758. (席榮榮,云曉春,張永錚,等.一種改進的網絡安全態勢量化評估方法[J].計算機學報,2015,38(4):749-758.)
[6]
LI F, ZHENG B, ZHU J, et al. A method of network security situation prediction based on ACRBF neural network [J].Journal of Chongqing University of Posts and Telecommunications: Natural Science Edition, 2014, 26(5):576-581. (李方偉,鄭波,朱江,等.一種基于ACRBF神經網絡的網絡安全態勢預測方法[J].重慶郵電大學學報:自然科學版,2014,26(5):576-581.)
[7]
XIE L,WANG Y. New method of network security situation awareness [J]. Journal of Beijing University of Posts and Telecommunications, 2014,37(5):31-35. (謝麗霞,王亞超.網絡安全態勢感知新方法[J].北京郵電大學學報,2014,37(5):31-35.)
[8]
LYU H, PENG W,WANG R, et al. A realtime network threat recognition and assessment method base on association analysis of time and space [J]. Journal of Computer Research and Development, 2014, 51(5): 1039-1049. (呂慧穎,彭武,王瑞梅,等.基于時空關聯分析的網絡實時威脅識別與評估[J].計算機研究與發展,2014,51(5):1039-1049.)
[9]
TANG C, TANG S, QIANG B. Assessment and validation of network security situation based on DS and knowledge fusion [J]. Computer Science,2014,41(4):107-110. (唐成華,湯申生,強保華.DS融合知識的網絡安全態勢評估及驗證[J].計算機科學,2014,41(4):107-110.)
[10]
XIE L, WANG Y, YU J. Network security situation awareness based on neural network [J]. Journal of Tsinghua University: Science and Technology, 2013,53(12):1750-1760. (謝麗霞,王亞超,于巾博.基于神經網絡的網絡安全態勢感知[J].清華大學學報:自然科學版,2013,53(12):1750-1760.)
篇3
一、企業網絡安全威脅產生的原因
計算機網絡作為現代交際工具,其快捷方便的獨特優勢贏得人們的信賴,企業網絡應運而生。然而,由于計算機本身及系統、協議及數據庫等設計上存在缺陷,網絡操作系統在本身結構設計和代碼設計時偏重考慮系統使用的方便性,導致系統在遠程訪問、權限控制和口令管理等許多方面存在安全漏洞;同時,由于企業網絡自身錯誤的管理和配置都可能導致網絡的安全問題發生。眾多企業網絡信息遭侵襲的事件一再提醒我們,網絡安全問題必須引起充分重視。網絡安全同其他事物一樣是有規可循的,應該從外部網絡安全和內部網絡安全兩個層面進行分析:
第一層面,外部網絡連接及數據訪問所帶來的安全威脅。包括:1、外部用戶對內網的連接。由于出差員工、分公司及其他業務相關企業都需要和本企業進行數據交換,這就要通過互聯網連接進入內部網絡,這時,非法的網絡用戶也可以通過各種手段入侵內部網絡。2、服務器網站對外提供的公共服務。由于企業宣傳需要,企業網站提供對外的公共服務,這些公共服務在為用戶提供便利的同時,也帶來了安全隱患。3、辦公自動化及業務網絡與Internet連接。這些操作平臺往往偏重于系統使用方便性,而忽視了系統安全性。
第二層面,內部網絡主機之間的連接所帶來的安全威脅。企業網絡上的層次節點眾多,網絡應用復雜,網絡管理困難。主要體現在:1、網絡的實際結構無法控制。網絡的物理連接經常會發生變化,如果不能及時發現并做出調整,很可能發生網絡配置不當,造成網絡安全的嚴重隱患。2、網管無法及時了解網絡的運行狀況。企業網絡平臺上運行著網站系統、辦公系統、財務系統等多種應用系統。同時,可能發生用戶運行其他應用程序的情況,這樣做的后果一方面可能降低網絡系統的工作效率;另一方面還可能破壞系統的總體安全策略,對網絡安全造成威脅。3、無法了解網絡的漏洞和可能發生的攻擊。4、對于已經或正在發生的攻擊缺乏有效的防御和追查手段。
由此可見,網絡系統的可靠運轉是基于通訊子網、計算機硬件和操作系統及各種應用軟件等各方面、各層次的良好運行。它的風險將來自對企業網絡的各個關鍵點可能造成的威脅,這些威脅可能造成總體功能的失效。因此,維護辦公局域網、服務器網站系統的安全,是企業網絡的基本安全需求。
二、企業網絡安全系統總體規劃制定
根據計算機網絡技術原理及實踐經驗,在進行計算機網絡安全設計規劃時應遵循以下原則:一是需求、風險、代價平衡分析的原則。對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,確定最優的安全策略,切忌只顧及需求而忽視安全;二是綜合性、整體性原則。運用系統工程的方法,分析網絡的安全問題,并制定具體措施,嚴防以偏概全,顧此失彼;三是一致性原則。這主要是指制定的網絡安全體系結構必須與網絡的安全需求相一致,防止文不對題,勞而無功;四是易操作性原則。安全措施要由人來完成,如果措施過于復雜,對人的技能要求過高,本身就降低了網絡的安全性;五是適應性、靈活性原則。安全措施必須能隨著網絡性能及安全需求的變化而變化,要容易適應和修改,網絡的安全防范是一個過程,不可能一蹴而就;六是多重保護原則。任何安全保護措施都不是絕對安全的,需要建立一個多重保護系統,各層保護相互補充。據此,進行外部用戶接入內部網的安全設計和內部網絡安全管理的實現。
對外部用戶進入內部網絡應實施以下安全保障:(1)增強用戶的認證。用戶認證在網絡和信息的安全中屬于技術措施的第一道大門。用戶認證的主要目的是提供訪問控制和不可抵賴的作用。(2)授權。這主要為特許用戶提供合適的訪問權限,并監控用戶的活動,使其不越權使用。(3)數據的傳輸加密,數據通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。(4)審計和監控,確切地說,還應包括數據備份,這是系統安全的最后一道防線。系統一旦出了問題,這部分可以提供問題的再現、責任追查、重要數據復原等保障。
對內應根據管理原則和該系統處理數據的保密性,制定相應的管理制度或采用相應規范,其具體工作是:(1)確定該系統的安全等級,并根據確定的安全等級,確定安全管理的范圍;(2)制定相應的機房出入管理制度,對安全等級要求較高的系統,要實行分區控制,限制工作人員出入與己無關的區域;(3)制定嚴格的操作規程,操作規程要根據職責分離和多人負責的原則,各負其責;(4)制定完備的系統維護制度,維護時必須有安全管理人員在場,故障原因、維護內容等要詳細記錄;(5)制定在緊急情況下,系統如何盡快恢復的應急措施,使損失減至最小。
三、網絡安全方案設計應把握的幾個關鍵點
1、應用防火墻技術,控制訪問權限,實現網絡安全集中管理。防火墻是近年發展起來的重要安全技術,其主要作用是在網絡入口點檢查網絡通訊,根據用戶設定的安全規則,在保護內部網絡安全的前提下,提供內外網絡通訊。使用防火墻的意義在于:通過過濾不安全的服務,可以極大地提高網絡安全,保護脆弱的服務;可以提供對主機系統的訪問控制;可以對企業內部網實現集中的安全管理,在防火墻上定義的安全規則可以運用于整個內部網絡系統;可以阻止攻擊者獲取攻擊網絡系統的有用信息,增強了信息的保密性;可以記錄和統計網絡利用數據以及非法使用數據;提供了制定和執行網絡安全策略的手段。
由于防火墻是內部網絡和外部網絡的唯一通訊渠道,能夠在內外網之間提供安全的網絡保護,因此防火墻可以對所有針對內部網絡的訪問進行詳細的記錄,形成完整的日志文件。
2、應用入侵檢測技術保護主機資源。利用防火墻技術,降低了網絡安全風險。但是,僅僅使用防火墻、網絡安全還遠遠不夠,因為入侵者可尋找防火墻背后可能敞開的后門,也可能就在防火墻內。由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。
入侵檢測系統的功能是保護關鍵應用的服務器,它能精確地判斷入侵事件,包括判斷應用層的入侵事件,對入侵者可以立即進行反應,能對網絡進行全方位的監控與保護。可有效地解決來自防火墻后由于用戶誤操作或內部人員惡意攻擊所帶來的安全威脅。
3、應用安全掃描技術主動探測網絡安全漏洞,進行網絡安全評估。網絡安全技術中,另一類重要技術為安全掃描技術。安全掃描技術與防火墻、入侵監測系統互相配合,能夠提供較高安全性的網絡。通過對網絡的掃描,網絡管理員可以了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級,更正系統中的錯誤配置。如果說防火墻和入侵監控系統是被動的防御手段,那么安全掃描就是一種主動的防范措施,可以有效避免黑客攻擊的發生,做到防患于未然。
安全掃描器提供綜合的審計工具,發現網絡環境中的安全漏洞,保證網絡安全的完整性。它可以評估企業內部網絡、服務器、防火墻、路由器,掃描和測試確定存在的可被黑客利用的網絡薄弱環節。我們應在局域網內設置該工具,定期對網絡進行掃描。
4、應用VPN技術,保證外部用戶訪問內部網的安全性。企業網絡接入到公網中,存在著兩個主要危險:一是來自公網的未經授權的對企業內部網的存取;二是當網絡系統通過公網進行通訊時,信息可能受到竊聽和非法修改。如何保證外部用戶遠程訪問內部網的安全性:首先,應嚴格限制外部用戶所能訪問的系統信息和資源,這一功能可通過在防火墻和應用服務來實現。其次,應加強對外部用戶進入內部網的身份驗證功能。第三,在數據傳輸過程中采用加密技術,防止數據被非法竊取。這就應采用軟件或防火墻所提供的VPN(虛擬專網)技術、完整的集成化的企業VPN安全解決方案、提供在公網上安全的雙向通訊,以及透明的加密方案以保證數據的完整性和保密性。
篇4
關鍵詞:油田企業;網絡安全;防火墻技術;應用
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 15-0000-01
Application of Oilfield Enterprise Network Security and Firewall Technology
Hou Haidong
(Qinghai Oilfield Company Huatugou Community managemen Center,Haixi816400,China)
Abstract:With the computer technology in various enterprise wide applications,network security issues have been increasingly valued by everyone.Firewall to ensurenetwork security barrier,is an integral part of the secure network.Of oil companies innetwork security,analysis of some problems which have to focus on coping strategies,to explore oil fields in the enterprise network firewall technology to ensurethe security of oil enterprise network,corporate network security to prevent oil fieldaccident.Discuss specific network security solutions,integrated network securitymeasures,improve enterprise network security field.
Keywords:Oilfield enterprise;Network security;Firewall technology;Application
計算機從出現到發展,短短幾十年間,無論從生活、學習,還是工作中都帶來了巨大的影響,使我們的生活、學習和工作都起了翻天覆地的變化。在各個企業里面,現代化的建設都是建立在計算機網絡技術應用之上的,計算機技術覆蓋了企業生產的各個大小環節。保證企業中網絡的安全性,使企業生產順利進行,這是企業中網絡運行的基本保障。筆者仔細分析了青海油田企業網絡安全現狀,針對青海油田企業的網絡安全問題,提出相應的解決策略,結合防火墻技術的應用,提高油田企業網絡安全性,保證企業生產的順利進行。
一、青海油田企業網絡工作概況
青海油田是一家大型企業,其二級單位網絡中目前包含華為、港灣、華為3COM、Cisco等廠商設備,屬于多廠商互聯網絡。青海油田企業的整個網絡主體建設于1999年,逐年累建至今。目前網絡集中問題有多個方面,網絡缺乏管理性;多廠商設備,難以統一管理;大部分設備陳舊,匯聚層性能、帶寬不足;冗余可靠性差。由于這些原因,導致匯聚層設備擴展性不夠,一些單位層層級連網,影響網絡的穩定性和可靠性,使得網絡安全問題成為極大的難題。
二、網絡安全風險
網絡安全風險根據不同的方面,有許多的風險因素,比如網絡外部的環境是否安全,包括了電源故障、設備被盜、認為操作失誤、線路截獲、高可用性的硬件、機房環境、雙機多冗余的設計、安全意識、報警系統等。再比如系統完全,包括了整個局域網的網絡硬件平臺、網絡操作系統等。每一個網絡操作系統都有其后門,不可能有絕對安全的操作系統。還有網絡平臺的安全風險,作為企業信息的公開平臺,要是受到了攻擊或者在運行中間出現了問題,對企業的聲譽是極大的影響。同時,作為公開的服務器,本身隨時都面臨著黑客的攻擊,安全風險比其他的原本就要高上許多。另外,應用系統安全也是風險因素中的一個,在不斷發展和增加過程中,其安全漏洞也在日益增加,并且漏洞隱藏得只會越來越深。此外還有管理的安全,管理混亂、責權不分、安全管理制度不健全等都是管理安全的風險因素。
三、油田企業網絡安全管理工作
隨著油田企業中網絡用戶的逐漸增多,網絡安全問題也越來越突出、越來越被網絡管理工作人員所重視。在實際工作中,通過增強單位用戶對網絡安全重要性的緊迫性的認識、強化和規范用戶防病毒意識等手段,全面采用網絡版防病毒系統,部署防病毒服務器和補丁分發服務器。在網絡管理過程中,技術人員定期檢查、預防、控制和及時更新防病毒系統病毒定義碼,按時向總部上報極度防病毒巡檢表。網絡管理技術人員還積極做好入侵保護系統IPS策略的日常管理和日志審計工作,使有限的網絡資源能用于重點保障業務工作的正常進行。
四、油田企業網絡安全防范舉措與防火墻技術應用
在油田企業網絡運行過程中,安全威脅主要有非授權訪問、信息泄露或丟失、拒絕服務攻擊、破壞數據完整性、利用網絡傳播病毒等方面。要防范油田企業網絡安全,主要的防御體系是由漏洞掃描、入侵檢測和防火墻組成的。油田企業的局域網主要又外部網絡、內部職工網絡、內部單位辦公網絡和公開服務器區域組成。在每一個出口通過安裝硬件防火墻設備,用防火墻來實現內部網絡、外部網絡以及公開服務器網的區分。防火墻對外部的安全威脅起到了抵御的作用,但是從內部發動的安全攻擊卻無能為力。這個時候就需要動態監測網絡內部活動以及及時做出響應,將網絡入侵監測系統接入到防火墻和交換機上的IDS端口,一旦發現入侵或者可疑行為之后,立即報告防火墻動態調整安全策略,采取相應的防御措施。另外,網絡安全還需要被動的防御體系,它是由VPN路由和防火墻組成,被動防御體系主要實現了外網的安全接入。外網在于企業網絡之間實現數據傳輸的時候,經過防火墻高強度的加密認證,保證外網接入的安全性。在油田企業網絡安全與防火墻技術應用中,還需要加對病毒的防范、數據安全的保護和數據備份與恢復的建設。在服務器上安裝服務器端殺毒軟件,在每一臺網絡用戶電腦上安裝客戶端殺毒軟件,通過及時更新病毒代碼,防范病毒的入侵。采用自動化備份、安裝磁帶機等外部存貯設備等方法,保證數據的安全。
五、總結
油田企業網絡安全不僅關系著企業的整體發展,還關系著油田企業中廣大職工的網絡使用安全,積極采取防火墻技術應用到網絡安全防范之中,以提高青海油田企業網絡的安全性,保證企業的正常工作、企業職工的正常生活。
參考文獻:
[1]何黎明,方風波,王波濤.油田網絡安全風險評估與策略研究[J].石油天然氣學報,2008,3:279-280
[2]陳崗.大型企業信息網絡安全問題解決方案[J].岳陽師范學院學報(自然科學版),2006,2:168-169
篇5
關鍵詞: 企業;網絡信息安全;威脅;管理對策
1 網絡信息安全管理內涵闡述
隨著計算機網絡技術的飛速發展,企業網絡化管理成為當今世界經濟和社會發展的趨勢與主流。在網絡化背景下,企業不僅能夠方便快捷地進行信息共享、信息交流與信息服務,而且極大地提高了工作效率,創造了經濟效益,增加了在激勵市場競爭中的核心競爭力。然而,凡事有利則有弊,網絡技術也不例外,網絡化給企業帶來巨大利益的同時,網絡信息安全問題也成為眾多企業十分頭痛的問題。如何解決常見網絡問題,消除網絡安全隱患,嚴堵安全漏洞,確保企業計算機網絡及信息的安全,從而來確保油田企業生產、科研等工作正確開展,已成為油田企業亟待解決的重要課題。
言及此,筆者覺得十分有必要對網絡信息安全管理的內涵,進行再分析與闡述。一直以來,許多企業,談及網絡信息安全管理,大多認為就是技術層面的工作,如防黑客攻擊、反病毒侵蝕、堵系統安全漏洞等專業技術問題。其實維護網站安全工作,應不止于此。網絡環境下的信息安全不僅涉及到數據加密、防黑客、反病毒、控制入網訪問、防火墻升級技術等專業技術問題,更應該涉及法律政策問題和制度管理問題。不少企業,往往重視升級硬件、技術防范,卻忽視安全管理問題,特別是人員管理、制度管理。其中,安全技術與安全管理齊頭并進,兩手共抓才是企業網絡信息安全致勝的法寶,技術問題是基礎與保障,而安全管理則是信息安全更強大的方式手段。
2 “兩手抓,兩手都要硬”加強企業網絡信息安全管理對策
2.1 高度重視網絡管理制度層面工作
油田企業是科研性單位,許多科技數據、技術數據等對企業生存發展來說至關重要,如錄井技術就是油氣勘探開發活動中最基本的技術,是發現、評估油氣藏最及時、最直接的手段,因而石油勘探企業網絡安全管理問題更是不容忽視,網絡上的任何一個小漏洞,都會導致全網的安全問題,給企業造成不可估量的損失。
首先,我們必須在企業內部制定嚴格并切實可行的網絡安全管理規章制度,企業主管領導應當高度重視,建立內部安全管理制度,如出入機房制度、機房管理制度、設備管理維護制度、崗位責任制、操作安全管理制度、病毒防范制度、應急處理制度等。還要定期對制度落實情況進行例行檢查與抽查,重在落實,避免流于形式。確保通過制度能夠做到業務計算機專門使用,業務系統與其他信息系統充分隔離,企業局域網與互聯的其他網絡充分隔離。充分降低安全風險。其次,要提高員工的網絡安全意識。加強對使用人員的安全知識教育與培訓,組織員工學習熟悉《中國信息系統安全保護條例》、《算機信息網絡國際聯網安全保護管理辦法》等條例,增強相關法律知識,信息安全意識,堅持杜絕員工在工作時間內利用企業工作電腦訪問與業務無關的網站,尤其是開展聊天、游戲、電影、下載、購物等娛樂活動,避免企業內部的文件以及數據甚至機密資料被盜現象。使用中不要隨意使用自帶光盤、移動硬盤與U盤等存儲設備,避免傳染病毒等。再次,通過學習培訓增強網站管理人員的技術水平與能力。管理員必須對企業信息網絡系統的安全狀況和安全漏洞進行周期性評估,以便隨意采取相關措施,有應對突發風險的能力,并通過訪問控制、升級防火墻、漏洞檢測、病毒查殺、入侵檢測等技術,做好日常網站的安全維護工作。
2.2 重視加強網絡安全技術層面工作
目前網絡安全技術工作,早已從操作系統維護、簡單的病毒防范發展到防止黑客惡意進攻,防范蠕蟲、木馬程序等種類多樣的網絡病毒以及變種等諸多工作,表現在高水平防御體系的建構上。
俗話說:病從口入。首先,要做好訪問控制管理,這就是抓好源頭工作。特別是核心技術、重要數據的共享網站,一定要做到對入網訪問控制和網絡資源的訪問控制,可實施有效的用戶口令和訪問賬號密碼,避免用戶非法訪問。此外口令、密碼的設置上應盡量長一些復雜一些,數字字母相結合。如目前實用的USBKEY認證方法也是一種較可靠的方法,出現調離或者解雇員工,應該立即對其的網絡賬號進行清除,避免非法登陸,泄露企業信息。其次,通過防火墻、入侵檢測、網絡安全防漏洞、數據加密傳輸、防殺病毒等全方面的技術工作,保證企業網絡信息的安全。如在防火墻設置原則上,保證實施合理有效的安全過濾原則,嚴格控制外網用戶非法訪問,確保經過精心選擇的應用協議才能通過防火墻,使用網絡防病毒軟件,建立起企業整體防病毒體系,盡可能企業內部一些重要的資料或者核心數據進行加密傳輸與加密儲存,這些一系列的工作可讓網絡環境變得更安全。
當然,網絡安全管理工作是一項長期而細致艱辛的工作,不可能一蹴而就,也不能無所進步,隨著信息技術的快速發展,對信息安全技術、網絡安全管理工作的要求也會隨之增高,今后企業信息安全技術、管理工作應該繼續跟蹤、學習國內外最先進的知識經驗,努力提高企業信息安全管理技術水平。
參考文獻:
[1]由媛,淺談企業網絡信息安全[J].電腦知識與技術,2012(02):1057-1058.
