常用网络安全标准汇总十篇
常用网络安全标准篇(1)
经济飞速发展的同时,科学技术也在不断地进步,网络已经成为当前社会生产生活中不可或缺的重要组成部分,给人们带来了极大的便利。与此同时,网络系统也遭受着一定的安全威胁,这给人们正常使用网络系统带来了不利影响。尤其是在大数据时代,无论是国家还是企业、个人,在网络系统中均存储着大量重要的信息,网络系统一旦出现安全问题将会造成极大的损失。
1基本概念
1.1网络安全态势感知
网络安全态势感知是对网络安全各要素进行综合分析后,评估网络安全整体情况,对其发展趋势进行预测,最终以可视化系统展示给用户,同时给出相应的统计报表和风险应对措施。网络安全态势感知包括五个方面1:(1)网络安全要素数据采集:借助各种检测工具,对影响网络安全性的各类要素进行检测,采集获取相应数据;(2)网络安全要素数据理解:对各种网络安全要素数据进行分析、处理和融合,对数据进一步综合分析,形成网络安全整体情况报告;(3)网络安全评估:对网络安全整体情况报告中各项数据进行定性、定量分析,总结当前的安全概况和安全薄弱环节,针对安全薄弱环境提出相应的应对措施;(4)网络安全态势预测:通过对一段时间的网络安全评估结果的分析,找出关键影响因素,并预测未来这些关键影响因素的发展趋势,进而预测未来的安全态势情况以及可以采取的应对措施。(5)网络安全态势感知报告:对网络安全态势以图表统计、报表等可视化系统展示给用户。报告要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施。
1.2DPI技术
DPI(DeepPacketInspection)是一种基于数据包的深度检测技术,针对不同的网络传输协议(例如HTTP、DNS等)进行解析,根据协议载荷内容,分析对应网络行为的技术。DPI技术广泛应用于网络流量分析的场景,比如网络内容分析领域等。DPI技术应用于网络安全态势感知领域,通过DPI技术的应用识别能力,将网络安全关注的网络攻击、威胁行为对应的流量进行识别,并形成网络安全行为日志,实现网络安全要素数据精准采集。DPI技术发展到现在,随着后端业务应用的多元化,对DPI系统的能力也提出了更高的要求。传统DPI技术的实现主要是基于知名协议的端口、特征字段等作为识别依据,比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等协议特征的识别、基于源IP、目的IP、源端口和目的端口的五元组特征识别。但是随着互联网应用的发展,越来越多的应用采用加密手段和私有协议进行数据传输,网络流量中能够准确识别到应用层行为的占比呈现越来越低的趋势。在当前网络应用复杂多变的背景下,很多网络攻击行为具有隐蔽性,比如数据传输时采用知名网络协议的端口,但是对传输流量内容进行定制,传统DPI很容易根据端口特征,将流量识别为知名应用,但是实际上,网络攻击行为却“瞒天过海”,绕过基于传统DPI技术的IDS、防火墙等网络安全屏障,在互联网上肆意妄为。新型DPI技术在传统DPI技术的基础上,对流量的识别能力更强。基本实现原理是对接入的网络流量根据网络传输协议、内容、流特征等多元化特征融合分析,实现网络流量精准识别。其目的是为了给后端的态势感知系统提供准确的、可控的数据来源。新型DPI技术通过对流量中传输的不同应用的传输协议、应用层内容、协议特征、流特征等进行多维度的分析和打标,形成协议识别引擎。新型DPI的协议识别引擎除了支持标准、知名应用协议的识别,还可以对应用层进行深度识别。
2新型DPI技术在网络安全态势感知领域的应用
新型DPI技术主要应用于数据采集和数据理解环节。在网络安全要素数据采集环节,应用新型DPI技术,可以实现网络流量的精准采集,避免安全要素数据采集不全、漏采或者多采的现象。在网络安全要素数据理解环节,在对数据进行分析时,需要基于新型DPI技术的特征知识库,提供数据标准的说明,帮助态势感知应用可以理解这些安全要素数据。新型DPI技术在进行网络流量分析时主要有以下步骤,(1)需要对攻击威胁的流量特征、协议特征等进行分析,将特征形成知识库,协议识别引擎加载特征知识库后,对实时流量进行打标,完成流量识别。这个步骤需要确保获取的特征是有效且准确的,需要基于真实的数据进行测试统计,避免由于特征不准确误判或者特征不全面漏判的情况出现。有了特征库之后,(2)根据特征库,对流量进行过滤、分发,识别流量中异常流量对应的攻击威胁行为。这个步骤仍然要借助于协议识别特征知识库,在协议识别知识库中记录了网络异常流量和攻击威胁行为的映射关系,使得系统可以根据异常流量对应的特征库ID,进而得出攻击威胁行为日志。攻击威胁行为日志包含捕获时间、攻击者IP和端口、被攻击者IP和端口、攻击流量特征、攻击流量的行为类型等必要的字段信息。(3)根据网络流量进一步识别被攻击的灾损评估,同样是基于协议识别知识库中行为特征库,判断有哪些灾损动作产生、灾损波及的数据类型、数据范围等。网络安全态势感知的分析是基于步骤2产生的攻击威胁行为日志中记录的流量、域名、报文和恶意代码等多元数据入手,对来自互联网探针、终端、云计算和大数据平台的威胁数据进行处理,分析不同类型数据中潜藏的异常行为,对流量、域名、报文和恶意代码等安全元素进行多层次的检测。针对步骤1的协议识别特征库,可以采用两种实现技术:分别是协议识别特征库技术和流量“白名单”技术。
2.1协议识别特征库
在网络流量识别时,协议识别特征库是非常重要的,形成协议识别特征库主要有两种方式。一种是传统方式,正向流量分析方法。这种方法是基于网络攻击者的视角分析,模拟攻击者的攻击行为,进而分析模拟网络流量中的流量特征,获取攻击威胁的流量特征。这种方法准确度高,但是需要对逐个应用进行模拟和分析,研发成本高且效率低下,而且随着互联网攻击行为的层出不穷和不断升级,这种分析方法往往存在一定的滞后性。第二种方法是近年随着人工智能技术的进步,逐渐应用的智能识别特征库。这种方法可以基于威胁流量的流特征、已有网络攻击、威胁行为特征库等,通过AI智能算法来进行训练,获取智能特征库。这种方式采用AI智能识别算法实现,虽然在准确率方面要低于传统方式,但是这种方法可以应对互联网上层出不穷的新应用流量,效率更高。而且随着特征库的积累,算法本身具备更好的进化特性,正在逐步替代传统方式。智能特征库不仅仅可以识别已经出现的网络攻击行为,对于未来可能出现的网络攻击行为,也具备一定的适应性,其适应性更强。这种方式还有另一个优点,通过对新发现的网络攻击、威胁行为特征的不断积累,完成样本库的自动化更新,基于自动化更新的样本库,实现自动化更新的流量智能识别特征库,进而实现AI智能识别算法的自动升级能力。为了确保采集流量精准,新型DPI的协议识别特征库具备更深度的协议特征识别能力,比如对于http协议能够实现基于头部信息特征的识别,包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等头部信息,对于https协议,也能够实现基于SNI的特征识别。对于目前主流应用,支持识别的应用类型包括网络购物、新闻、即时消息、微博、网络游戏、应用市场、网络视频、网络音频、网络直播、DNS、远程控制等,新型DPI的协议特征识别库更为强大。新型DPI的协议识别特征库在应用时还可以结合其他外部知识库,使得分析更具目的性。比如通过结合全球IP地址库,实现对境外流量定APP、特定URL或者特定DNS请求流量的识别,分析其中可能存在的跨境网络攻击、安全威胁行为等。
2.2流量“白名单”
在网络流量识别时也同时应用“流量白名单”功能,该功能通过对网络访问流量规模的统计,对流量较大的、且已知无害的TOPN的应用特征进行提取,同时将这些特征标记为“流量白名单”。由于“流量白名单”中的应用往往对应较高的网络流量规模,在网络流量识别时,可以优先对流量进行“流量白名单”特征比对,比对成功则直接标记为“安全”。使用“流量白名单”技术,可以大大提高识别效率,将更多的分析和计算能力留给未知的、可疑的流量。流量白名单通常是域名形式,这就要求新型DPI技术能够支持域名类型的流量识别和过滤。随着https的广泛应用,也有很多流量较大的白名单网站采用https作为数据传输协议,新型DPI技术也必须能够支持https证书类型的流量识别和过滤。流量白名单库和协议识别特征库对网络流量的处理流程参考下图1:
3新型DPI技术中数据标准
安全态势感知系统在发展中,从各个厂商独立作战,到现在可以接入不同厂商的数据,实现多源数据的融合作战,离不开新型DPI技术中的数据标准化。为了保证各个厂商采集到的安全要素数据能够统一接入安全态势感知系统,各厂商通过制定行业数据标准,一方面行业内部的安全数据采集、数据理解达成一致,另一方面安全态势感知系统在和行业外部系统进行数据共享时,也能够提供和接入标准化的数据。新型DPI技术中的数据标准包括三个部分,第一个部分是控制指令部分,安全态势感知系统发送控制指令,新型DPI在接收到指令后,对采集的数据范围进行调整,实现数据采集的可视化、可定制化。同时不同的厂商基于同一套控制指令,也可以实现不同厂商设备之间指令操作的畅通无阻。第二个部分是安全要素数据部分,新型DPI在输出安全要素数据时,基于统一的数据标准,比如HTTP类型的数据,统一输出头域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常见头部和头部关键内容。对于DNS类型的数据,统一输出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通过定义数据描述文件,对输出字段顺序、字段说明进行描述。针对不同的协议数据,定义各自的数据输出标准。数据输出标准也可以从业务应用角度进行区分,比如针对网络攻击行为1定义该行为采集到安全要素数据的输出标准。第三个部分是内容组织标准,也就是需要定义安全要素数据以什么形式记录,如果是以文件形式记录,标准中就需要约定文件内容组织形式、文件命名标准等,以及为了便于文件传输,文件的压缩和加密标准等。安全态势感知系统中安全要素数据标准构成参考下图2:新型DPI技术的数据标准为安全态势领域各类网络攻击、异常监测等数据融合应用提供了基础支撑,为不同领域厂商之间数据互通互联、不同系统之间数据共享提供便利。
4新型DPI技术面临的挑战
目前互联网技术日新月异、各类网络应用层出不穷的背景下,新型DPI技术在安全要素采集时,需要从互联网流量中,将网络攻击、异常流量识别出来,这项工作难度越来越大。同时随着5G应用越来越广泛,万物互联离我们的生活越来越近,接入网络的终端类型也多种多样,针对不同类型终端的网络攻击也更为“个性化”。新型DPI技术需要从规模越来越大的互联网流量中,将网络安全相关的要素数据准确获取到仍然有很长的路要走。基于新型DPI技术,完成网络态势感知系统中的安全要素数据采集,实现从网络流量到数据的转化,这只是网络安全态势感知的第一步。网络安全态势感知系统还需要基于网络安全威胁评估实现从数据到信息、从信息到网络安全威胁情报的完整转化过程,对网络异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击和未知代码攻击等多种类型的网络安全威胁数据进行统计建模与评估,网络安全态势感知系统才能做到对攻击行为、网络系统异常等的及时发现与检测,实现全貌还原攻击事件、攻击者意图,客观评估攻击投入和防护效能,为威胁溯源提供必要的线索。
常用网络安全标准篇(2)
中图分类号:TP39 文献标识码:A
进入21世纪,先进网络技术的使用和计算机技术的应用将人们带入数据时代,网络信息的传递为人们提供越来越便利的生产生活资源,现代人已经无法离开网络技术。但是,网络技术在应用时除了会给我们带来便利还会制造出一些安全隐患,会给人们正常使用计算机带来一定的障碍。所以加强网络安全非常重要,而网络安全评价又是保证网络安全的基础,因此,相关工作人员采取高效的方法对计算机网络安全进行评价,精神网络在网络安全评价中的使用能够极大提高计算机网络安全评价的效率。
一、计算机网络的概念
目前,计算机技术和网络技术在企业管理中的应用十分广泛,在企业运行的过程中,要求企业能够使用计算机网络密码技术对企业信息进行保护,以实现对企业综合竞争力进行保护的目的。如果由于网络安全质量无法得到有效保障导致企业机密信息泄露将会导致企业竞争实力降低,对企业的健康发展十分不利。所以在网络技术使用时,相关工作人员应该对使用网络技术对网络运行安全进行维护,切实保障网络应用安全,为数据信息安全性的保证奠定坚实基础。
二、神经网络在计算机网络安全评价中的具体应用
1.计算机网络安全评价体系的建立
若想保证计算机网络安全的评价质量,提高网络安全管理水平,建立科学规范的计算机网络安全评价体系是非常必要的。只有建立起相应的网络安全预估机制,才能有效防止网络安全事故发生。完善的计算机网络安全评价体系能够对网络安全状况进行系统、科学的监督,及时发展网络运行中存在的不安全因素,并对这些因素进行彻底排除。而对于还体系中的各项测评标准的确定则需要相关工作人员根据实际工作经验对可能对网络安全产生影响的各方面因素进行综合考量后得出。这样才能保证计算机网络安全评价的准确性,从而有针对性地对计算机网络安全进行维护,确保神经网络在网络安全评价中的作用得到有效发挥。
(1)评价指标集的建立
评价指标是对计算机网络安全性进行评估的重要依据,所以评价指标的确定一定要具有严格的科学性,然后还将这些分散的指标集中起来,建立一个系统的、完整的数据集合,这个数据集的建立严格按照安全、精确、简单的标准来造成。通常计算机网络安全评价指标的精确性是指能够通过该指标来对使用的网络运行状况进行精确地评估。而安全评估指标的完整性则是指所确定的具体指标一定要能够将网络安全的实际情况完完整整的表现出来,并能够实现对安全状态的精确反馈。另外,还要求计算机网络安全评价指标的选取具有一定的独立性,这一特性是要求所有评价指标之间的联系程度要尽可能削弱,以避免重复指标项目的存在导致计算机网络评价系统评价的准确性降低。除了这些之外,简单性和可执行性也是在对指标集进行建立时选择指标的重要标准,要求指标具有极强的指向性和代表性,同时最后确定的指标还需要具有较高的可操作性,要与实际评估环境、技术水平以及评价环境相适应。
在遵守上述五项原则的基础上,计算机网络安全评价指标的选择工作还要确保安全性,并且还要根据管理要求的不同对体系中的各项指标进行等级分类,以确保指标体系的科学性和规范性,推动计算机网络安全管理工作运行质量的提高。
(2)各个评价指标的取值和标准化
正是因为各个评价指标集描述的因素不同,对定量评价和定性评价这两种指标的评价侧重点有所区别,都是从各自的方面对计算机网络安全状况进行反映,这就使得各个指标的取值不能进行直接的对比。因此,在各种评价指标的取值规则中,也要做出相应的调整,对定量评价和定性评价标准化处理。对于定量评价来说,在实际的评价过程中,要根据所评价的计算机网络系统的具体状况,进行取值,科学地分析问题。
2.基于BP神经网络的计算机网络安全评价模型的设计
在神经网络网络的应用中,BP神经网络的应用最为广泛。它主要是对样本信号进行不断地传播训练,以减小传播信号的误差,使之达到预定的限度,从而能够在实际应用中产生效果。对于BP神经网络的计算机网络安全评价模式设计,首先在输入层的设计中,生警员接的数量一定要符合评价指标的数量。其次,对于隐含才能够完成的设计,BP神经网络大多数都是采用单隐含层,要重视隐节点数量对网络性能产生的影响作用。最后,对于输入层的设计,可以根据评价结果以及评语集进行设计,保证计算机网络完全评价结果的准确可靠性。
结语
神经网络是当前计算机网络安全评价工作中常用的一种技术,该技术的使用能够对传统的计算机网络安全隐患进行弥补,填补过去网络运行安全工作中存在的不足,可以为计算机网络安全质量的提升及管理质量的提高奠定基础。尽管在过去很长一段时间的发展中神经网络技术已经逐渐成熟,但该技术目前还存在一些不足之处,加强这一技术在计算机网络安全评价中应用的研究有利于相关工作人员及时发现工作中的问题,并通过实践找到解决这些问题的办法,这样有利于促进计算机网络安全评价水平的提高,从而使网络安全性得到增强。
常用网络安全标准篇(3)
关键词:计算机;网络信息;安全
引言
计算机网络发展迅速,网络信息安全的有效管理直接关系到计算机网络的应用效果。根据计算机网络信息发展,逐步分析信息推进发展标准,利用网络信息的安全化管理中突显的各种问题,采取有效的技术解决方法,提升网络信息的安全效果。
一 网络信息安全发展基础水平
1 病毒的危害
计算机网络信息是开放的平台,受计算机各种程序的影响,计算机网络平台往往是共享的,而非单独存在的。一些具有隐蔽性危害的病毒潜伏在其他程序中,对计算机网络信息造成巨大的破坏,这直接影响计算机网络系统的正常运行。计算机网络病毒一般带有前缀,如Win32、W95等,这些病毒主要对计算机信息操作系统的.DLL文件或.EXE文件进行攻击性干扰,造成计算机病毒的产生,对计算机基础性软件造成应用性的干扰。
2 木马和蠕虫病毒
木马病毒的前缀以Trojan为主,后缀以Hack为主,通过网络系统漏洞,对用户的信息系统进行侵害,泄露用户的隐蔽信息。通过有效的数据分析途径,黑客可以对实际的截面进行可视化的管理,这实现对电脑的远程化控制。木马病毒正是利用其侵害方式,切入到用户计算机内部,盗取信息。蠕虫病毒前缀是Worm,利用病毒的特殊性,通过网络平台的漏洞进行病毒传播,这种蠕虫病毒是对外发送邮件,用户一旦打开邮件,就会感染网络化病毒,造成网络数据的冲击化阻塞性问题,影响用户计算机的使用。
3 信息数据制度的不合理
国家有关管理部门没有建立良好的计算机信息安全管理标准,计算机网络信息存在严重的漏洞,这种不安全隐患为黑客提供良好的空间。据统计分析显示,全球网络信息安全受管理制度不足影响发生的安全泄露事件达到46%,严重的信息管理不足直接影响信息技术的安全稳定。
4 黑客的威胁
计算机网络信息安全的管理制度中需要建立良好的黑客打艄娣豆芾肀曜迹如果不进行有效的规范,就会对计算机网络系统造成影响,国内外黑客都会利用计算机网络信息的漏洞平台,采用信息侵入的方式,获取不合法信息。黑客利用这些计算机数据信息,采取买卖、攻击信息系统等违法行为,严重的破坏网络信息技术的正常使用和发展。
二 网络信息安全的有效防护管理技术标准
1 建立良好的网络信息发展管理防火墙
建立良好的网络信息发展管理防火墙,对防火墙的相关信息进行控制提升,逐步明确信息内部的网络安全平台,对服务奉献进行调整和过滤,提升信息网络的安全应用效果。通过有效的建立防火墙,提升网络信息的安全级别,实现网络的安全保护。利用防火墙可以有效的提升信息的安全性,对重要信息进行隔离处理,限制局部重点安全问题的查阅,加强网络信息技术的应用。通过有效的VPN数据分析,对事业单位的地域分布范围进行分析,确定实际专用子网,明确通信网络线路的应用标准,对用户信息的共享网络技术水平进行提升。
2 网络信息的安全策略化标准
网络信息防火墙的安全信息策略标准是以有效的安全软件发展管理标准为前提,通过加密、身份认证、审计等方式,实现对防火墙数据信息的有效配置,对网络信息的访问标准和数据存储方式进行审查记录,明确实际访问防火墙的相关内容。按照防火墙记录的相关数据,准确的分析实际统计网络信息的使用量。
3 身份的认证是利用网络身份的核查方式,对用户信息的存储使用权限范围进行准确的分析,明确实际身份识别的标准性,对用户系统需要出示的相关证明进行判断,确定工作通常可以认证的身份标准。
身份认证需要至少有验证性和授权性协议标准。验证性是通过网络和计算机系统的使用权限分析,确定实际个人数据和特定权限标准,明确实际身份体系的应用指标。按照技术指标对用户的身份进行分析,对可能存在冒充或损害用户利益的问题进行判断,明确实际对用户访问控制、安全审计、入侵防范的有效实施。通过身份技术的密码、口令、指纹等技术,采用密钥、二维码、人脸识别等方式完成认证鉴定,提高智能化密码身份有效识别效果,提升生物技术的认证水平。
4 信息加密技术的分析
信息加密技术是通过对信息存储和数据的有效传输,实现对信息技术的密钥加密的过程,保证密钥数据信息的准确。这种加密是一种互补的方式。对密钥进行加密可以提高密码的安全性,延长破解时间,改变密钥的算法,采用不同方式进行加密,提升密码数据管理的准确性。通过有效的加密方式,提升加密技术的管理效果。充分考虑密码设置的协议标准,密码分配方式、密钥存储管理办法等,对实际存在的信息加密技术进行合理的应用,提高信息密码的安全级别。加密方式一般有二重加密和三重加密,二重加密往往是采用密码和密钥对应的方式,三重加密则利用生物密码方式,提升对访问用户身份的识别准确度的验证性。但是,不论是二次加密,还是三次加密,主要目的是实现信息的安全,防止黑客利用病毒攻击计算机网络系统,防止信息的泄露。
结语
综上所述,计算机网络信息的安全化管理需要从计算机本身使用出发,准确的分析计算机实际应用的技术标准和技术效果,研究计算机网络信息的安全处理方式,认知黑客使用病毒攻击的切入方法,研究有效提升计算机网络信息安全的方法,利用数字密码、防火墙、生物密码验证等方式,加强计算机网络信息技术安全的可靠性发展,提升计算机网络信息安全的服务化管理水平。我国未来将增加计算机网络信息技术安全的研发技术,提升计算机网络信息的安全级别,更好的提升计算机网络信息化应用的安全性。
参考文献
常用网络安全标准篇(4)
0 引言
计算机应用发展迅速,加强计算机网络安全性的管理是极其重要的。计算机网络安全技术是一项复杂的工作,需要明确计算机网路系统技术的多方面管理步骤,明确计算机安全运行操作的基础性管理标准要求,按照计算机网络安全运行标准,对可能涉及需要防范的管理措施和管理标准进行技术分析,明确计算机相关设备的技术应用要素,根据计算机的网络安全性要点进行合理的分析,提出有效完善网络安全防范管理的技术措施,为计算机网络的安全化管理进行有效的技术水平提升。
1 计算机的网络化安全
计算机的网络化安全管理是根据实际需要采取的相关技术要点、处理措施、管理要求等内容进行合理的分析,充分研究计算机网路系统安全中的软件、硬件、数据资源内容,加强计算机网络系统的安全化运行管理,对网络化信息系统的相关处理过程和处理效果进行准确的分析,完善计算机网络内部、外部、数据网络信息之间的管理要点,结合互联网,不断提升计算机网络发展速度水平,为人们的日常生活提供良好的物质条件,不断完善计算机网络信息的安全化管理,提升网路数据信息的内部安全性水平,确保数据信息的及时调取和分析,不断完善计算机网络数据信息的安全性,防止可能出现的各种安全威胁,明确计算机应用安装的相关软件,对可能发生的各种类似事件进行预警分析,提升计算机的安全可靠性。
2 计算机网络安全隐患
2.1 计算机病毒
随着计算机病毒的发展,计算机网络受到严重的威胁,计算机信息数据受病毒的侵害,造成计算机的工作效率下降,严重的影响计算机系统的稳定性,部分计算机文件数据丢失,甚至造成计算机主板损坏。计算机病毒种类泛滥,传播速度快,种类复杂,对计算机网络的攻击性大,破坏性强,很难彻底的清除,这对于计算机网络的安全性造成严重的威胁。
2.2 IP盗用
计算机网络是利用局域网的IP地址进行区域的划分,如果这些IP地址被盗用,计算机的原始IP用户就无法登录使用网络,盗用者以隐藏的身份使用这些IP地址,对用户造成严重的威胁,影响网络信息的安全性。
2.3 黑客对计算机网络的威胁
计算机网络安全受黑客的攻击影响,系统出现运行错乱的现象。通常黑客采用破坏性的方式入侵目标用户的电脑,盗取、破坏用户的电脑数据信息,达到获取不良有益的目的。黑客往往对用户的电子邮件、登录口令进行攻击,设置欺骗性病毒,造成计算机网络系统出现漏洞,实现黑客的非法入侵行为。
2.4 垃圾邮件信息
电子计算机网络的垃圾信息极多,垃圾邮件是具有特点的一个类别。用户对每日的邮件只有接收的权利,而没有拒收的权利。网络邮件泛滥,入侵人们的工作生活信箱,根据人们日常操作的信息,窃取人们的个人信息内容。垃圾邮件占用服务器的内容,占用带宽,影响网络信息的有效传播。
2.5 计算机网络监管不足
计算机网络信息的安全管理不足,管理结构制度不够规范,岗位职责不够明确,这直接影响网络信息的安全化管理,对计算机的网络化安全运行造成一定的破坏,计算机病毒、黑客、计算机犯罪等问题严重的影响计算机数据平台,对计算机的网络信息造成严重的威胁问题。
3 激素啊你就网络安全的改进对策
3.1 建立防火墙软件
根据计算机网络安全的规划要求,建立防火墙软件。利用网络计算机硬件和软件的基本配置组合,明确网络公共信息的安全性水平,按照网络资源的私有规划制度进行合理的分析。防火墙可以极大程度的提升网络信息的安全级别,利用网络过滤的方式,降低网络信息的风险问题,制定合理的防火墙信息协议管理标准,确定网络环境的安全水平,提升计算机全方位的安全管理,提升对病毒的抵御水平。例如,使用360卫士、金山毒霸软件进行杀毒处理。
3.2 黑客的防御
制定安全用户管理标准,设置准确高级别的密码,结合用户权限制定智能卡,生物卡,指纹识别系统,尽可能的避免黑客的入侵。采用防火墙技术,通过对网络信息的限制访问,控制网络数据信息的访问级别,设置内外网络管理及时,确定数据访问级别,设置合理的网络黑客抵御防护标准。
3.3 口令设置
采用智能卡标注进行口令设置,采用生物特征对信息进行口令的分析,记录系统相关用户的信息内容,对不可以公开的信息进行限定。采用有效的用户信息管理系统,不断完善用户信息的数据内容,确定符合用户信息的口令表,提升信息系统准入级别。
3.4 网络安全意识的管理
在网路信息安全化技术管理上,不断完善网络信息技术人才的规划和管理,提升网络信息技术人才的安全意识管理水平,避免他们可能出现的各种失误问题,提升网络信息的安全性和有效可靠性级别。建立符合计算机网络应用的管理岗位,加强网络系统的信息安全管理级别,不断提升网络信息的管理水平和管理能力,做好数据信息的有效备份,提升数据信息的加密性,制定黑维护计算机网路信息安全管理运行的技术标准,逐步提升网络信息用户的管理意识,实现对网络信息安全的准确意识管理。
3.5 数据加密的处理方案
对高级别保密数据信息进行加密处理,提升数据信息传输的伪装性,提升数据信息的安全级别。在数据信息传递过程中,对于专用的高级别数据信息,采用单一线路的加密传输方式,不断完善数据信息的加密管理级别,设置准确的密钥,提升数据信息的安全级别,对TCP/IP进行封装管理,提升数据信息的保密性,传递成功后及时对保密数据进行恢复处理,确保数据信息的有效性。
4 结语
综上所述,计算机网络信息的安全管理是一项复杂而多项的内容,需要针对网络信息的发展管理目标,逐步完善网络计算机的网络信息安全性管理意识,提升网络信息的安全性技术水平,避免可能出现的黑客攻击问题,提高杀毒和预防管理工作,确保计算机网络信息的安全运行,实现计算机网络的阿全快速发展。
参考文献:
常用网络安全标准篇(5)
2高校网络安全建设标准
(1)高校网络安全框架搭建标准。在高校网络安全框架搭建迆程中,应明确划分高校网络安全管理责仸,遵循谁用谁负责的基本原则,通迆成立高校网络安全防护领导小组,详细组织相兲工作的开展。在平时应积枀极建高校网络安全防护体系,仍网络安全管理制度建设、网络安全防护技术体系建设等斱面着手,明确高校网络安全框架的建设标准,幵分析目前存在的不足乊处,仍管理和技术等斱面加以完善。在収生重大网络信息安全亊敀时,高校网络安全防护领导小组要第一时间组织应急处置工作,对网络安全亊敀収展迚行持续监测,采取有敁的处置措施,减少亊敀损失。此外,高校网络安全防护领导小组还要定期对相兲工作迚行评价,改迚工作机制,促迚高校网络安全框架标准的逐步完善[2]。(2)高校网络安全技术体系标准。在高校网络安全技术体系标准建设斱面,面对日益复杂的网络攻击行为,只有不断提高网络安全防护技术水平,提前収现高校网络安全漏洞,才能降低网络风险的収生概率。首兇应有敁识别网络攻击行为以及病毒感染状冴,在现有网络安全防护体系的基础丆,布置多重安全技术手段。比如通迆增设网络安全设备、在应用层系统布置防护体系等,提高抵御黑客攻击和病毒入侵的能力。兵次应加快高校网络安全监测技术的研究,将日志系统与动态监测技术结合起来,实时监测系统运行风险,幵根据网络运行数据和日志数据,及时制定改迚措施。在重大网络安全漏洞的分析迆程中,采取安全态势感知技术,对风险源迚行追踪分析,仍而为安全防护技术的选择提供依据。最后,应综合采用多种数据安全防护技术,包拪数据备仹技术、数据加密技术等,提高数据在网络传播万的安全性[3]。(3)高校网络安全制度建设标准。在高校网络安全制度建设斱面,应基于当前智慧校园建设需求,尽快对网络安全管理制度迚行完善,明确每一名教师、学生在高校网络使用迆程中承担的安全管理责仸,幵对自身操作加以觃范。以彽出现的许多高校网络安全亊敀,都是由于内部人员使用不当造成的。因此,需要制定网络安全制度标准,对高校人员的网络使用行为加以约束。在此斱面,应极建高校网络设计和部署标准,明确运行环境挃标,确保高校网络运行环境良好。同时应明确网络安全亊敀的响应机制,在平时迚行演练,确保网络安全防护工作能够得到全校师生的支持。此外,还要完善信息归档机制,做好使用记彔,一旦収生安全亊敀,要深入分析亊敀原因,幵追究相兲责仸人的责仸,仍而杜绝人为操作对高校网络安全的破坏。
3高校网络安全规范设计
(1)物理防护设计。在高校网络安全觃范设计迆程中,首兇要确保物理层的安全性。对高校机房、网络设施等设备集中的区域,需集中管理,加强网络设备安全防护力度。其体可采用甴磁干扰检测、辐射保护、硬件状态检测等斱法,排除硬件设备可能受到的威胁。对于网络交换机、路由器等兲键设备,需要做好平时的运维检修工作,及时更换受损器件,确保网络正常使用。在高校网络物理防护设计迆程中,还应兲注环境监测系统的设计,消除环境安全隐患,确保机房区域的整洁性。此外,还应安排专门的管理人员,对网络设备迚行定期巟检,为设备安装相应的防护结极,提高设备使用安全性。(2)虚拟网络划分。高校网络属于大型局域网,兵中包含多个小型网络,比如图乢馆网络、学院网络、宿舍楼网络等。在不同子网络的使用迆程中,对兵网络安全标准也有不同要求。对于比较重要的教学网络和行政管理网络,则需要采取更加严栺的安全防护措施。因此,为了满足实际管理需求,需要对高校网络迚行详细划分,基于小型虚拟局域网(VLAN)迚行安全防护设计。然后根据每个VLAN的使用特点,包拪兵应用软件、网络接口设计情冴等,分析可能存在的系统漏洞。在此基础丆,极建事级网络防护体系,通迆安装防火墙和杀毒软件,实现对网络运行安全的有敁防护。(3)数据容错备仹。在高校网络安全觃范设计中,要做好数据安全防护设计。在高校网络受到攻击时,容易出现数据丢失或受损的情冴。因此,需要设计数据容错机制及备仹措施,确保数据在网络环境传辒迆程中的安全性。在服务器容错设计斱面,应实现对硬件的有敁保护,使兵能够在受到破坏时,不影响整个网络运行。此外,为了保证数据传辒安全,应在网络防火墙和交换机丆捆绑MAC地址、IP地址,通迆采取双重捆绑措施,防止数据被截取和盗用。在此情冴万,能够有敁提升高校网络的数据传辒安全性。(4)多重控制机制。为了确保网络使用安全,近年来各种网络安全防护技术収展较快,高校网络安全建设应积枀引迚兇迚的技术手段,应对新的病毒和攻击行为。首兇应加强高校服务器的安全设置,服务器作为核心设备,通常是黑客主要攻击对象,需要为兵配置防火墙,幵定期更换IP地址,修改管理权陎,防止黑客利用系统漏洞实施攻击。兵次,应利用入侵检测技术,及时収现异常访问行为,幵作出处理。在入侵检测技术的应用迆程中,应注意检测算法的更新,有敁识别黑客的伪装行为。最后,需要加强各种网络接入斱式的访问控制管理,杜绝不良信息的渗透,防止对学生身心成长造成影响。
4结语
综丆所述,面对高校网络的安全风险因素,必须通迆制定安全建设标准,觃范设计,才能为高校网络的安全使用提供保障。在其体设计迆程中,应综合采用多种网络安全防护技术,幵根据高校网络使用特点,细化相兲制度标准,确保高校网络的合理利用。在此情冴万,能够有敁提升高校网络安全水平,充分収挥网络技术的使用价值。
参考文献:
常用网络安全标准篇(6)
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)02-0021-02
Abstract: With the open nature of the WLAN,it is easy to be attacked, we must strengthen the security of network urgently. In this paper, the security issues and their strengthening ways of wireless networks were presented , on this basis, the solutions were proposed .
Key words: wireless network; WLAN; intrusion detection; distributed
1 无线局域网背景
无线局域网(WLAN)是在有线网络的基础上,通过添加无线访问点、无线路由器、无线网卡等硬件设备来实现对有线网络的扩充,与有线网络相比,无线网络具有可移动性,只要有无线信号,可以随时随地的上网;同时,无需施工布线,省时省力,既节约成本又能灵活配置,故障易于查找和解决。基于上述优点,WLAN成了新一代网络的发展趋势。目前,无线局域网(WLAN)广泛应用于大学、商场、家庭、宾馆、车站等场合。但是,由于无线网络的开放这一特性,使得其更容易受到攻击,无线局域网采用IEEE 802.11标准,该标准只对无线终端和设备进行认证,却不对用户进行认真,所以存在安全隐患。因此,采用入侵检测系统(IDS)来加强WLAN的安全性就具有了必要性和紧迫性。
2 无线局域网
2.1 无线局域网概述
无线局域网,英文名为Wireless Local Area Networks,简称为WLAN,是一种采用射频技术,使用电磁波进行数据传输的网络,它因为成本低廉,架构简单,一个无线网卡和一个无线AP就可以轻松实现“信息随身化”,因此发展迅猛。相比有线的网线拖放距离,无线网络的信号覆盖范围更广,有阻碍的区域能传输35~50M,在视野空旷的区域能传输250M。
通常WLAN接入有三种模式:基站模式、接入点模式、混合模式。
基站模式是最单位和家庭最常用的模式,主要设备是无线路由器,网速由无线路由器的速度决定。
接入点模式是连接无线网卡,可以当做接入点使用,网速由无线网卡的速率决定。
混合模式是既能与无线路由器连接,又能与无线网卡连接,这种模式可以适应不能的无线网络环境。
2.2 WLAN的安全隐患
WLAN因为其开放便捷的可移动特性被大力发展并广泛使用,然而也正是因为这种开放便捷性导致了无线网络的安全问题。因为没有一个明确的防御边界,它更容易受到攻击,攻击者可以来自四面八方和任意节点,不需要任何的网线接入就可以入侵网络,截取数据包、窃取用户信息等一系列问题使得WLAN的安全问题显得尤为突出。无线漏洞主要有:
a)未经许可的AP是信息泄漏最大的安全隐患,它连最基本的加密功能都没有。
b)未经许可的无线笔记本网络,这类笔记本的无线装置没有任何的防护侦查功能,很容易连接到恶意WLAN。
c)入侵者通过AP时无需认证即能畅通无阻。
d)在无线AP中,存在恶意节点。
3 加强无线网络安全的方法
3.1采用WAPI协议
当前全球无线局域网领域仅有的两个标准,分别是美国行业标准组织提出的IEEE 802.11系列标准(俗称Wi-Fi,包括802.11a/b/g/n/ac等),以及中国提出的WAPI标准。WAPI ,英文全称:Wireless LAN Authentication and Privacy Infrastructure,是一种中国无线局域网强制执行的安全协议标准。
与WIFI的单向加密认证不同,WAPI采用双向认证,从而有效的保证了传输的安全性。WAPI安全协议标准采用的是密钥管理技术,通过安装的鉴别服务器对申请无线网络的客户端和节点颁发证书,当无线客户端请求节点时,鉴别服务器对客户端和节点进行身份验证,根据验证的结果来确定是否访问权限给予通行。
3.2 入侵检测技术的应用
入侵检测,英文全称Intrusion Detection,简称为ID,就是发现入侵行为并收集数据信息进行分析,并对此做出处理的过程。而入侵检测系统(IDS)则是实现这些功能的系统。
目前,在安全市场上,按照数据来源不同将入侵检测系统分为主机入侵检测系统(HIDS)和网络入侵检测系统(NIDS)。
主机入侵检测系统采用主机上的文件作为数据源,早期的HIDS关注的是到达主机系统的各种安全威胁,对此进行数据分析,得出检测报告,但对网络安全并不关注。现行的HIDS虽然还是着重于监视计算机系统状态并对内部的数据检测,但是发展多年,其检测精度、响应速度和文件系统方面都得到了很大的提升。
而NIDS则是对网络入侵行为进行检测,通过对网络运行状态的分析来发现入侵对象。它的来源数据是网络数据包,通过对收集来的数据信息进行分析,与入侵特征比对,从而识别出哪些是正常访问者,哪些是入侵攻击者,并对入侵攻击者采取措施及时响应,
很多应用场合里HIDS和NIDS这两种入侵检测系统其实是互补的,一个好的网络安全解决方案通常是既采用了基于主机的HIDS又采用了基于网络的NIDS。在使用IDS时都配置了基于网络的入侵检测,但网络监测不能保证并防止所有的攻击,特别是一些加密包的攻击,网络中的DNS、Email和Web等服务器经常是首要的攻击目标,因为这些服务器要与外部网络进行交互,不能对其进行数据包的屏蔽,所以,在这类服务器上安装基于主机的入侵检测系统就尤为必要。所以,即使是规模再小的网络架构也常常是两种入侵检测系统同时使用,也就是分布式入侵检测系统。
4 WLAN中的分布式入侵检测系统及其模型架构
4.1系统结构的分析和设计
WLAN中的分布式入侵检测系统(Wireless Distributed Intrusion Detection System,WDIDS)是特别针对WLAN的全面、综合、多层次的安检系统。通过对WLAN的IEEE802.11协议进行分析,抓取到设定区域内的数据包,跟踪并识别其来源和特征,监听并分析其危险性,从而判断是否对WLAN产生威胁,分析其危害性提供有效的解决方案,这一系统在WLAN的规划、设计、安装、运维等方面起到了重要的作用。
4.2 分布式入侵检测系统的模型架构
分布式入侵检测系统通常采用三层管理架构,即分布式安全探测器、管理服务器、管理控制台。如图1所示:
安全探测器:分布于各个无线AP中,负责对整个无线网络的安全进行探测,它的作用是追踪数据包并进行分析,及时发现入侵对象并排除安全隐患。
管理服务器:对无线AP中的安全探测器进行管理,并对收集来的数据和警告进行合并整理,记入相关信息数据库中。
管理控制台:对相应的管理服务器集群和安全探测器进行集中管理和配置,实现数据和检测报告的本地下载,实时显示安全警告信息、GIS网络分布图、数据库查询等,供管理员分析网络中的潜在威胁,并及时排除故障和网络运维。
三层模型架构的入侵检测系统将安全探测、管理和控制融为一体,能够捕捉并防止更多的入侵,形成了一个完整的网络防御体系。
5 结束语
常用网络安全标准篇(7)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)13-3019-04
1 网络安全评估技术简介
当前,随着网络技术和信息技术的发展与应用,人们对于网络的安全性能越来越关注,网络安全技术已从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究、加强顶层设计,提出系统的、完整的解决方案。
网络信息系统安全评估的目的是为了让决策者进行风险处置,即运用综合的策略来解决风险。信息系统可根据安全评估结果来定义安全需求,最终采用适当的安全控制策略来管理安全风险。
安全评估的结果就是对信息保护系统的某种程度上的确信,开展网络安全系统评估技术研究,可以对国防军工制造业数字化网络系统、国家电子政务信息系统、各类信息安全系统等的规划、设计、建设、运行等各阶段进行系统级的测试评估,找出网络系统的薄弱环节,发现并修正系统存在的弱点和漏洞,保证网络系统的安全性,提出安全解决方案。
2 网络安全评估理论体系和标准规范
2.1 网络安全评估所要进行的工作是:
通过对实际网络的半实物仿真,进行测试和安全评估技术的研究,参考国际相关技术标准,建立网络安全评估模型,归纳安全评估指标,研制可操作性强的信息系统安全评测准则,并形成网络信息安全的评估标准体系。
2.2 当前在网络技术上主要的、通用的、主流的信息安全评估标准规范
2.2.1 欧美等西方国家的通用安全标准准则
1) 美国可信计算机安全评价标准(TCSEC)
2) 欧洲网络安全评价标准(ITSEC)
3) 国际网络安全通用准则(CC)
2.2.2 我国制定的网络系统安全评估标准准则
1) 《国家信息技术安全性评估的通用准则》GB/T 18336标准
2) 公安部《信息网络安全等级管理办法》
3) BMZ1-2000《信息系统分级保护技术要求》
4) 《GJB 2646-96军用计算机安全评估准则》
5) 《计算机信息系统安全保护等级划分准则》等
3 安全评估过程模型
目前比较通用的对网络信息系统进行安全评估的流程主要包括信息系统的资产(需保护的目标)识别、威胁识别、脆弱性识别、安全措施分析、安全事件影响分析以及综合风险判定等。
对测评流程基本逻辑模型的构想如图1所示。
在这个测试评估模型中,主要包括6方面的内容:
1) 系统分析:对信息系统的安全需求进行分析;
2) 识别关键资产:根据系统分析的结果识别出系统的重要资产;
3) 识别威胁:识别出系统主要的安全威胁以及威胁的途径和方式;
4) 识别脆弱性:识别出系统在技术上的缺陷、漏洞、薄弱环节等;
5) 分析影响:分析安全事件对系统可能造成的影响;
6) 风险评估:综合关键资产、威胁因素、脆弱性及控制措施,综合事件影响,评估系统面临的风险。
4 网络系统安全态势评估
安全态势评估是进行网络系统级安全评估的重要环节,合理的安全态势评估方法可以有效地评定威胁级别不同的安全事件。对系统安全进行评估通常与攻击给网络带来的损失是相对应的,造成的损失越大,说明攻击越严重、网络安全状况越差。通过攻击的损失可以评估攻击的严重程度,从而评估网络安全状况。
结合网络资产安全价值进行评估的具体算法如下:
设SERG为待评估安全事件关联图:
定义
IF(threatTa){AddSERGTToHighigh ImpactSetAndReport}
其中,SERG表示安全事件关联,SERGStatei表示攻击者获取的直接资源列表;ASV(a)表示对应资产a的资产安全价值;Ta表示可以接受的威胁阀值;HighImpactSet表示高风险事件集合。
常用的对一个网络信息系统进行安全态势评估的算法有如下几种。
4.1 专家评估法(Delphi法)
专家法也称专家征询法(Delphi法),其基本步骤如下:
1) 选择专家:这是很重要的一步,选的好与不好将直接影响到结果的准确性,一般情况下,应有网络安全领域中既有实际工作经验又有较深理论修养的专家10人以上参与评估,专家数目太少时则影响此方法的准确性;
2) 确定出与网络系统安全相关的m个被评估指标,将这些指标以及统一的权数确定规则发给选定的各位专家,由他们各自独立地给出自己所认为的对每一个指标的安全态势评价(Xi)以及每一个评价指标在网络系统整体安全态势评估中所占有的比重权值(Wi);
3) 回收专家们的评估结果并计算各安全态势指标及指标权数的均值和标准差:
计算估计值和平均估计值的偏差
4) 将计算结果及补充材料返还给各位专家,要求所有的专家在新的基础上重新确定各指标安全态势及所占有的安全评价权重;
5) 重复上面两步,直至各指标权数与其均值的离差不超过预先给定的标准为止,也就是各专家的意见基本趋于一致,以此时对该指标的安全评价作为系统最终安全评价,并以此时各指标权数的均值作为该指标的权数。
归纳起来,专家法评估的核心思想就是采用匿名的方式,收集和征询该领域专家们的意见,将其答复作统计分析,再将分析结果反馈给领域专家,同时进一步就同一问题再次征询专家意见,如此反复多轮,使专家们的意见逐渐集中到某个有限的范围内,然后将此结果用中位数和四分位数来表示。对各个征询意见做统计分析和综合归纳时,如果发现专家的评价意见离散度太大,很难取得一致意见时,可以再进行几轮征询,然后再按照上述方法进行统计分析,直至取得较为一致的意见为止。该方法适用于各种评价指标之间相互独立的场合,各指标对综合评价值的贡献彼此没有什么影响。若评价指标之间不互相独立,专家们比较分析的结果必然导致信息的重复,就难以得到符合客观实际的综合评价值。
4.2 基于“熵”的网络系统安全态势评估
网络安全性能评价指标选取后,用一定的方法对其进行量化,即可得到对网络系统的安全性度量,而可把网络系统受攻击前后的安全性差值作为攻击效果的一个测度。考虑到进行网络攻击效果评估时,我们关心的只是网络系统遭受攻击前后安全性能的变化,借鉴信息论中“熵”的概念,可以提出评价网络性能的“网络熵”理论。“网络熵”是对网络安全性能的一种描述,“网络熵”值越小,表明该网络系统的安全性越好。对于网络系统的某一项性能指标来说,其熵值可以定义为:
Hi=-log2Vi
式中:Vi指网络第i项指标的归一化参数。
网络信息系统受到攻击后,其安全功能下降,系统稳定性变差,这些变化必然在某些网络性能指标上有所体现,相应的网络熵值也应该有所变化。因此,可以用攻击前后网络熵值的变化量对攻击效果进行描述。
网络熵的计算应该综合考虑影响网络安全性能的各项指标,其值为各单项指标熵的加权和:
式中:n-影响网络性能的指标个数;
?Ai-第i项指标的权重;
Hi第i项指标的网络熵。
在如何设定各网络单项指标的权重以逼真地反映其对整个网络熵的贡献时,设定的普遍通用的原则是根据网络防护的目的和网络服务的类型确定?Ai的值,在实际应用中,?Ai值可以通过对各项指标建立判断矩阵,采用层次分析法逐层计算得出。一般而言,对网络熵的设定时主要考虑以下三项指标的网络熵:
1) 网络吞吐量:单位时间内网络结点之间成功传送的无差错的数据量;
2) 网络响应时间:网络服务请求和响应该请求之间的时间间隔;
3) 网络延迟抖动:指平均延迟变化的时间量。
设网络攻击发生前,系统各指标的网络熵为H攻击发生后,系统各指标的网络熵为 ,则网络攻击的效果可以表示为:
EH=H'-H
则有:
利用上式,仅需测得攻击前后网络的各项性能指标参数(Vi,Vi'),并设定好各指标的权重(?Ai),即可计算出网络系统性能的损失,评估网络系统受攻击后的结果。EH是对网络攻击效果的定量描述,其值越大,表明网络遭受攻击后安全性能下降的越厉害,也就是说网络安全性能越差。
国际标准中较为通用的根据EH值对网络安全性能进行评估的参考标准值如表1所示。
4.3模糊综合评判法
模糊综合评判法也是常用的一种对网络系统的安全态势进行综合评判的方法,它是根据模糊数学的基本理论,先选定被评估网络系统的各评估指标域,而后利用模糊关系合成原理,通过构造等级模糊子集把反映被评事物的模糊指标进行量化(即确定隶属度),然后利用模糊变换原理对各指标进行综合。
模糊综合评判法一般按以下程序进行:
1) 确定评价对象的因素论域U
U={u1,u2,…,un}
也就是首先确定被评估网络系统的n个网络安全领域的评价指标。
这一步主要是确定评价指标体系,解决从哪些方面和用哪些因素来评价客观对象的问题。
2) 确定评语等级论域V
V={v1,v2,…,vm}
也就是对确定的各个评价指标的等级评定程度,即等级集合,每一个等级可对应一个模糊子集。正是由于这一论域的确定,才使得模糊综合评价得到一个模糊评判向量,被评价对象对评语等级隶属度的信息通过这个模糊向量表示出来,体现出评判的模糊性。
从技术处理的角度来看,评语等级数m通常取3≤m≤7,若m过大会超过人的语义能力,不易判断对象的等级归属;若m过小又可能不符合模糊综合评判的质量要求,故其取值以适中为宜。 取奇数的情况较多,因为这样可以有一个中间等级,便于判断被评事物的等级归属,具体等级可以依据评价内容用适当的语言描述,比如评价数据管理制度,可取V={号,较好,一般,较差,差};评价防黑客入侵设施,可取V={强,中,弱}等。
3) 进行单因素评价,建立模糊关系矩阵R
在构造了等级模糊子集后,就要逐个对各被评价指标ui确定其对各等级模糊子集vi的隶属程度。这样,可得到一个ui与vi间的模糊关系数据矩阵:
R=|r21r22…r2m|
式中:
rij表示U中因素ui对应V中等级vi的隶属关系,即因素ui隶属于vi的等级程度。
4) 确定评判因素的模糊权向量集
一般说来,所确定的网络安全的n个评价指标对于网络整体的安全态势评估作用是不同的,各方面因素的表现在整体中所占的比重是不同的。
因此,定义了一个所谓模糊权向量集A的概念,该要素权向量集就是反映被评价指标的各因素相对于整体评价指标的重要程度。权向量的确定与其他评估方法相同,可采用层次分析等方法获得。权向量集A可表示为:
A=(a1,a2,…,an)
并满足如下关系:
5) 将A与R合成,得到被评估网络系统的模糊综合评判向量B
B=A・R
B=A・R= (a1,a2,…,an) |r21r22…r2m|
式中:
rij表示的是模糊关系数据矩阵R经过与模糊权向量集A矩阵运算后,得到的修正关系向量。
这样做的意义在于使用模糊权向量集A矩阵来对关系隶属矩阵R进行修正,使得到的综合评判向量更为客观准确。
6) 对模糊综合评判结果B的归一化处理
根据上一步的计算,得到了对网络各安全评价指标的评判结果向量集B=(b1,b2,…,bn)
由于对每个评价指标的评判结果都是一个模糊向量,不便于各评价指标间的排序评优,因而还需要进一步的分析处理。
对模糊综合评判结果向量 进行归一化处理:
bj'=bj/n
从而得到各安全评价指标的归一化向量,从而对各归一化向量进行相应。
5 结束语
本论文首先介绍了网络安全评估技术的基本知识,然后对安全评估模型进行了分析计算,阐述了网络安全技术措施的有效性;最后对网络安全态势的评估给出了具体的算法和公式。通过本文的技术研究,基本上对网络信息系统的安全评估技术有了初步的了解,下一步还将对安全评估的风险、安全评估中相关联的各项因素进行研究。
参考文献:
[1] 逮昭义.计算机通信网信息量理论[M].北京:电子工业出版社,1997:57-58.
常用网络安全标准篇(8)
中图分类号:TP393 文献标识码:A
随着移动设备飞速发展以及笔记本电脑的普及,无线网络也得到了极其广泛的应用。然而关于无线网络的安全问题日益明显,像是网络信息遭遇非法窃听、无线网络遭受钓鱼攻击、无线网络被盗用等等,这样一来用户在使用无线网络时就将直接面对这些安全隐患,因此针对现有的无线网络安全问题实施一定的应对策略是十分有必要的,否则这些问题将严重影响无线网络的发展。
一、无线网络存在的安全问题
就目前无线网络日常应用中所遇到的网络安全问题而言,它们可以细分为很多种,并且这些问题给正常的无线网络的正常运行所造成的影响也各有不同,但是这些问题却在无形中威胁到了无线网络正常的运行。以无线网络安全问题的表现来进行分类,大致可以分为以下4类:
1.安全问题――网络遭遇盗用
这个无线网络遭遇盗用是人们日常生活中最为常见的一种无线网络安全问题,也常被人称作“蹭网”,其实它所指的一般就是无线网络遭遇非用户授权的计算机或移动设备接入。这样的“蹭网”行为对于正常用户使用无线网络带的危害非常大,首先是这种行为能直接影响正常用户在进行网络访问时的网络运行速度;其次是对于一些使用无线上网卡的用户来说,这样的“蹭网”行为将直接造成正常用户的经济损失,因为很多无线上网卡都是按网络流量来计费的;另外是一旦用户的无线网络遭遇非法盗用,那将加大其被非法攻击以及入侵的可能性;最后就是无线网络遭遇盗用后,如果这个被黑客利用并进行一系列的黑客行为,那样最终所造成的安全事件,正常用户也极有可能遭受牵连。
2.安全问题――通信遭遇窃听
一般来说网络通信遭遇窃听所指的是用户在正常使用无疑网络时所进行的一系列网络通信信息被同局域网里的其他设备所捕获。绝大多数的用户在进行网络通信时,其通信内容在网络上进行相互传输时都是采用的非加密方式,因此不法分子如果想要窃取正常用户的通信信息,只需要以监听、观察、分析用户的通信信息数据以及他们的数据流模式就能达到对其网络通信信息的窃取目的。比方说最为常见的一种窃取模式,不法分子通过一些专门用来监视的软件来实现盗取正常用户的网络使用信息以及其通信信息的上目的,再将这些盗取的信息在软件中显示出来,最终以非法获取的用户网络通信信息来谋取不正当利益。
3.安全问题――遭遇钓鱼攻击
通常所说的无疑网络遭遇钓鱼攻击指的就是用户在正常使用无疑网络的情况下,无意中接入了“钓鱼”网络接点,从而造成的无疑网络被攻击的网络安全问题。一般来说无线网络钓鱼攻击可以分为以下几步,首先不法分子建立一个无线网络虚假接入点,吸引用户链接至该接入点。随后一旦用户误入至此接入点,其所使用的计算机就很有可能被不法分子所控制,电脑系统被入侵或攻击等,这样的直接结果就是用户电脑上的机密文件被窃取、网络账号与网银账号等被盗以及电脑系统被木马感染等等一系列的网络安全威胁。
4.安全问题――无线AP被控制
无线AP被控制一般指的是无线路由器管理权限被未授权的非法分子所窃取,而无线AP通常指的就是无线网络的接入点,像是企业与家庭中都比较常见的无线路由器便是无线AP中的一种。一般最为常见的无线AP被控制现象多为用户设置的无线AP密码较为简单所造成的,当用户的无线网络被他人所盗用后,其就可以通过无线网线直接访问到无线AP的终端管理界面,如果用户的无线AP密码正好设置得十分简单,那么非法入侵者就能随意更改与设置用户的无线AP的终端管理界面。
二、提高无线网络安全问题的应对策略
由于无线网络在日常使用中所存在的安全问题与安全隐患越来越明显、越来越多样化,因此我们只有采取有针对性的防范措施才能最大程度地降低无线网络的威胁指数、提高其安全系数,减少被攻击的可能性。
1.接入限制
这种方法一般指的是在无线路由器内的MAC地址中设置一定的条件要求,最终实现过滤并阻止非法入侵者的目的。通常这种方法多用计算机数较少同时比较固定的网络环境,因此限制无线网络接入的方法大多用在家庭网络环境,在这种情况下用户只需要将自己家中无线路由器的MAC地址设置成为家庭内计算机MAC地址,就可以简单的实现这个目的。
2. SSID广播隐藏
通常所说的SSID广播隐藏其实就是关闭无线路由器的SSID广播功能,因为一定关闭此功能就能使无线网络信号达到隐身的效果,从而降低那些想要通过SSID功能查找到正常用户无线网络信号的机率,最终实现保护无线网络安全的目的。关闭SSID广播功能同样也是对网络环境有着一定的要求,因为在关闭无线路由器的SSID广播功能后,如果需要正常使用无线网络就必须定向寻找到无线网络信号后方能使用,因此这个功能目前比较常用于一些客户端较为稳定的计算机环境以及家庭网络环境。
3.安全标准的选择
目前很多无线网络用户在设置无线路由器时,通常都是直接采用的WEP标准,然而WEP标准已经被业界公认为是非常不安全一种设置,遭受攻击的可能性非常高,因此用户在设置无线路由器时必须以自身网络安全环境需要为前提,使用WPA标准。虽然说WPA标准也有着被破解与被入侵的可能性,但是相对WEP标准而言,其安全指数仍然要高出很多,所以建议正常用户在使用无线网络时可以将WPA设置成加密模式。
4.无线路由器密码的修改
由于目前很多无线网络用户在使用无线路由器时,对于网络技术以及网络安全的知识都比较贫乏,因此关于无线路由器的用户名和密码设置都是直接采用其默认的用户名和密码,这样一来就大大降低了无线网络的安全系数,让不法分子在实施破解时就变得非常简单,不法分子在破解了无线网络密码后登陆其管理界面便不再是难事。因此正常用户在使用无线路由器时,一定要及时更改无线网络的用户名和密码。
5.无线AP功率降低
由于在无线网络在使用时所采用的无线AP功率的大小能直接影响到无线网络的使用范围,因此很多用户在选择无线AP功率时会盲目的追求较大的功率,反而忽略了其他的相关要素。因为无线网络的覆盖面积越大,其网线环境的安全威胁也会随之增长,遭到非法攻击与入侵的机率也将上升,因此用户在选择无线AP时,应该在保证自身的网速需求的前提下,尽量减少网络的覆盖面积,最终实现保证正常用户用网安全的目的。
6.强壮无线网络密码
曾有学者对无线网络密码的安全等级做过相关的评估,其结果显示,虽然都是采用的WPA加密形式,但是由于这些密码的设计难易程度有所不同,其被破解速度也会随之增加,其中最为简单的就是简单数字排列密码。因此为了保证用网安全,提高密码安全程度,正常用户在设置密码时需要尽量将其复杂化,比如说将数字、字母以及符号相结合来设置密码。
7.其他安全措施
其实不仅仅只有上述这些加强无线网络安全的手段,还有很多一些其他的安全措施同样也可以应用到这个上面,具体如下:
一是防火墙对于提升网络安全性能来说是有着非常不错的效果,它能够更好的隔离病毒与漏洞,特别是如果是企业用户,可以建立一个统一的防火墙来实现阻挡入侵者进入网络的目的。
二是定期不定期的更换无线网络的密码,由于一个密码的破解速度有着一定的时间限制,因此,无线用户可以通过更换密码与用户名的方法来延长攻击者的破解时间,消磨破解者的耐心,最终让其自动放弃攻击。
三是因为无线用户在登陆至无线AP管理页面后,就可以直接查看到所有使用的客户端列表,因此我们可以通过这个方法直接排查非法入侵者,从而对其进行处理。
四是不法分子一般都是搜寻并利用正常用户的网络设置漏洞来进行攻击或其他不法操作的,因此为了保障无线网络的用网安全,应该定期检查加固自身无线网络的安全性能,及时排除网络漏洞,减少被入侵的可能性。
结语
总之,随着我国全民信息时代的到来,无线网络的使用率与覆盖面积也将逐渐扩大,由于其自身所拥有的一些独特的特性,这些都将使无线网络的安全问题更加严峻,因此我们在使用这个无线网络的同时,必须要紧密关注其安全问题,并且适当地采取一些措施预防与解决这些安全问题。
参考文献
[1]菊.关于加强无线网络的信息安全的方法探究[J].科技创新导报,2015(5):222.
常用网络安全标准篇(9)
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 12-0000-01
Wireless Campus Network Access Security
Feng Cheng
(Wuwei Occupational College,Wuwei733000,China)
Abstract:Understand the wireless campus network access technology,the wireless LAN security system is of great significance.Through the comparison between the wireless campus network environment several access security technology,analyzes their advantages and disadvantages,some suggestions are proposed to improve the access security.
Keywords:Wireless local area network;Access control;Security
一、前言
相对于无线网络来说,有线网络访问控制常常是以物理端口接入形式进行监控,其数据输出通过电缆传送到特定的目的地,通常情形下,只有当物理链遭到破坏之时,数据才有被泄漏的可能性。但无线网络的数据传输是运用微波在空气中进行辐射的方式来达到传播的目的,AP无法将无线信号定向到一个特定的接受设备,因此无线的安全保密问题就显得尤为突出。因为只要处于Access Point(AP)覆盖的范围内,所有的无线终端都能接收无线信号,AP无法将无线信号定向到一个特定的接受设备。
二、无线校园网接入的基本安全技术
一般来说网络的安全性绝大多数时候体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发射的数据只能被所期望的用户所接受和理解。无线校园网接入的基本安全技术主要体现在下面2个方面:
(一)无线校园网的安全标准
IEEE802.11的i工作组致力于制订被称为IEEE802.11i的新一代安全标准,这种安全标准为了增强WLAN的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进,其目的是为了让WLAN技术从此种被动局面中解脱出来。
(二)无线校园网的访问控制手技术
1.MAC地址过滤
MAC地址过滤可以有效地防止未经过授权的用户侵入无线网络。由于SSID和MAC地址过滤来控制访问权限的方法无异于在无线网络的入口增加了一把锁,大大提高了无线网络使用的安全性。因此我们在搭建局部校园无线局域网时,使用该方法最为简单、快捷,网络管理员只需要通过简单的配置就可以完成访问权限的设置,十分经济有效。
2.服务集标示SSID
简单来说,SSID就是客户给自己的无线网络所命名的代号而已。SSID技术是能够将一个无线局域网分为几个需要不同身份验证的子网络,并且每一个子网络都需要独立的身份验证,只有通过身份验证的用户才能进入相应的子网络,防止未被授权的用户进入本网络的一种技术。
3.IEEE 802.1x可扩展认证协议
802.1x本身并不提供实际的认证机制,需要和扩展认证协议(EPA)配合来实现用户认证和密钥分发。IEEE 802.1x提供了一个可靠的用户认证和密钥分发的框架,可以控制用户只有在认证通过以后才能连接到网络。
综合IEEE 802.1x的技术特点,其具有的优势可以总结为以下几点。
(1)安全可靠:在二层网络上实现用户认证,结合MAC、VLAN和密码、端口、账户等;绑定技术具有很高的安全性,在无线局域网网络环境中802.1x结合EAP-TLS,EAP-TTLS,可以实现对WEP证书密钥的动态分配,克服无线局域网接入中的安全漏洞。
(2)行业标准:IEEE标准。和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软WindowsXP操作系统内设置支持,Linux也提供了对该协议的支持。
(3)简洁高效:纯以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务。
(4)应用灵活:可以灵活控制认证的颗粒度,用于对单个用户连接、用户ID或者是对接入设备进行认证,认证的层次可以进行灵活的组合,满足特定的接入技术或者是业务的需要。
(5)容易实现:可在普通L3、L2、IPDSLAM上实现,网络综合造价成本低,保留了传统AAA认证的网络架构,可以利用现有的RADIUS设备。
三、结论
通过上面的介绍,大家已经对无线校园网主流的接入安全标准有了一些了解。在将来更强的无线安全标准普及之前,WPA和802.1x两种无线安全技术比SSID、WEP加密能提供更好的安全保护,所以如果你的无线设备支持这两种标准,可优先开启。作者认为只有在现在无线网络安全框架基础上,运用相关的关键技术搭建一个更强的、有足够安全性的无线校园网,这样才能推动无线校园网更为广泛的普及应用。
参考文献:
[1]齐江.无线局域网发展概述[J].中国数据通信,2002,7
[2]李继良.无线局域网安全问题与解决办法[J].计算机安全,2007,10
常用网络安全标准篇(10)
近年来,互联网技术发展是非常快速的,这样就使得网络安全问题也慢慢受到了人们的关注,供电企业在发展过程中对信息安全的要求也在不断提高,在这种情况下,供电企业在发展过程中,开始在办公终端上进行了改变,这样也使得计算机安全方面得到了更好的控制,同时在操作的时候也能更加方便,这样能够更好的促进供电企业安全防护能力。规范计算机入网前软件安装及系统设置为入手点,这样能够更好的将终端和管理方式进行结合,同时也能更好的避免出现终端口令问题,同时也能防止病毒软件和系统补丁对供电企业的信息安全一定的影响。
1 办公计算机接入管理现状及存在的问题
计算机在接入到公司网络的时候,经常是存在着终端用户往往为了保证不被桌面终端管控系统阻断,通常会在第一时间就会按照桌面终端管控注册安装,在这种情况下是经常会发生信息违规告警的,因此,在进行安装的时候是经常会出现口令比较弱,或者是防病毒软件不符合情况的。导致口令比较弱和操作系统是有很大的关系的,因此,企业在发展计算机网络的时候,要对企业业务应用系统的适应性进行调整,很多的办公网络在终端方面通常会选择Windows XP操作系统,在进行操作时,企业可以建立一个新的计算机管理员,这样在进行操作的时候,能够避免下次登录计算机的时候出现登录入口,这样能够更好的方便计算机在使用的时候切换到安全模式,这样在登录界面就可以看到账号的记录,在这种情况下,在其他计算机上进行账号登录是会发出违规信号的,因此,也能更好的保证登录安全。终端运行维护人员要对系统中的所有账号都设置非常强的口令,这样能够更好的保证账号的安全。同时,在出现一键还原的情况下,很多的计算机在使用过程中经常是存在着反映速度非常慢的情况的,在这种情况下,很多的操作人员通常会自行使用一键还原对系统进行重置,在这种情况下能够对系统反应慢的情况进行解决,但是,也是会导致出现弱口令的情况的,因此,在使用计算机系统的时候要避免出现操作系统随意安装的情况,这样能够更好的保证系统的操作安全。
系统在使用过程中是要进行运行维护的,但是,现在市场中很多的操作系统都存在着无法对操作系统进行补丁升级的情况,在这种情况下进行手动补丁的安装也是存在无法进行的情况。在进行补丁安装时,系统的终端要通过注册接入到企业的办公网络,在这种情况下是非常容易出现很多的系统漏洞的,同时也是会出现漏洞被病毒、木马和黑客利用的,这样就会导致终端在进行使用的时候出现公司网络安全受到影响的情况,同时也是存在着网络不畅通的情况的。计算机在接入公司网络以前,要对其应用程序进行很好的检测和管理,这样能够避免出现对办公网络发生冲击的情况,同时在很多的情况下,操作人员在进行操作的时候经常是会下载很多的系统的,很多的系统通常都是存在着很多的漏洞的,同时对系统也是会带来很大的影响,因此,非常容易导致域名解析故障和网络无法使用的情况,这样也是会导致办公业务出现无法运行的情况的,因此,对办公终端操作系统的安全问题要进行重视,在管理方面也要进行加强。
2 标准化注册管理介绍
在计算机接入到办公网络前没有进行系统加固是会导致很多的违规现象的出现,因此,在公司员工计算机水平不断提高的情况下,操作人员可以自行安装一些操作系统,这样是会导致更多的违规现象的出现,因此,在进行终端安全运行维护时,要对出现的问题进行解决,加强终端入网标准化注册流程,这样能够更好的保证网络安全。对桌面终端管理控制系统进行研究能够更好的在计算机桌面安装终端客户端软件,同时,也能对计算机运行的环境进行检查,这样能够更好的保证安全性,同时也能更好的将数据传输到桌面终端后台服务器上,这样一旦用户没有安装杀毒软件或者是没有设置账号口令,都是能够发出告警的,对入网流程进行规范,能够避免出现信息违规的现象。
供电公司入网管理办法的入网设置流程:首先,用户填写《供电分公司内网终端接入申请表》;确认预接入的计算机未连接网络;完成操作系统版本确认。通过计算机桌面“我的电脑”右键属性,查看计算机操作系统版本是否合格;完成应用程序清理。通过“控制面板”-“添加删除程序”进行互联网应用程序、游戏软件、炒股软件及娱乐软件的卸载。要求所有接入内网的计算机不允许存在非办公用应用程序;完成操作系统补丁加固。按照查看计算机操作系统版本的方法查看当前系统补丁版本。要求Windows XP必须安装SP3或以上的补丁集;完成所有系统帐号的密码加固。对系统所有帐号进行密码设置,要求密码长度大于8位,且必须为字母、数字及符号的混合字串;完成计算机名称的更改。
3 终端标准化管理工作的创新
为了进一步规范终端标准化管理,落实公司计算机入网设置流程规定,避免基层终端用户习惯性操作违规,降低基层终端运维人员的操作难度,为此,公司自主研发了一套终端标准化注册程序,实现计算机入网前对系统进行关键加固项检查,以技术手段为管理工作提供保障。
标准化注册程序是以运城供电公司计算机入网设置流程为依据,其主要功能实现了,通过技术手段在计算机注册入网前,对计算机名称是否规范、是否安装非办公软件、防病毒软件是否规范、操作系统补丁是否合格、系统是否存在弱口令等方面进行检查,若存在不合格项,则阻止该计算机注册并提示用户进行整改,从而借助桌面终端管理系统实现了阻止未经过系统加固的计算机接入办公网络。流程图见图1。
通过在运城供电公司办公网内试运行标准化注册程序,公司终端运行指标得到显著提升,通过观察,自2012年3月开始至今,公司终端弱口令违规数量逐月降低,防病毒软件安装情况得到极大的改善,表1和表2分别为运城公司2012年和2013年的终端违规统计说明。
4结束语
对计算机入网进行规范化管理,能够更好的避免出现公司内网受到病毒、木马以及黑客攻击的情况,这样也能更好的减轻终端运行维护人员的工作量,同时也能对运行维护人员的技术要求进行降低。在入网标准化管理不断推进的情况下,能够更好的保证公司网络的安全性,同时也能更好的促进供电公司获得更好的发展。
