序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的網絡安全保障措施樣本,期待這些樣本能夠為您提供豐富的參考和啟發�����,請盡情閱讀�����。
第1篇
關鍵詞 網絡通信�����;信息安全加密處理�����;身份驗證防護墻
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2014)04-0115-01
在網絡和計算機不斷出現技術創新和結構進步的背景下�����,世界進入了信息化發展的時代,當前電子商務、協議數據通訊�����、電子政務和電子金融等各種網絡類服務正在走向成熟,網絡通信正在發揮著方便人們生活�����,加速生產和交換的作用�����,在網絡中如何實現通信信息的安全就顯得尤為重要�����。應該高度重視網絡通信信息的安全�����,立足于對網絡通信信息安全的相關問題的實際分析與研究�����,探尋出有利于網絡通信信息安全實現的措施和方法�����。
1 網絡通信信息安全的重要價值
網絡通信的方式靈活�����,具有快速而開放的特點,能夠滿足互聯時代人們生產和生活的各項需求�����,特別是在當前的社會條件下,網絡通信信息更是實現了范圍的擴大、交往的加深和作用的提高�����。伴隨網絡通信的發展各類安全問題也隨之浮出水面,網絡中不合理的結構�����、系統中嚴重的漏洞可能為黑客和病毒提供可以侵入網絡通信系統的機會,不但嚴重影響網絡通信的系統,并且會經常的造成網絡通信信息安全問題的出現�����,進而導致網絡通信信息出現錯誤�����、刪除�����,進而不能為社會�����、用戶和個人提供安全的網絡通信信息�����,影響了信息時代各方面對信息的強烈需求�����。因此�����,社會和行業提出了實現網絡通信信息安全的目標�����,并將網絡通信信息安全作為一項最根本的任務來進行不斷的改進,并且還希望通過網絡通信信息安全來提高通信的質量�����,為網絡通信信息的交換實現保駕護航�����,進而完成網絡通信技術方面人們生活,加速企業生產和提高社會交換的總體目標。
2 網絡通信信息安全問題的典型性問題
2.1 網絡通信信息結構的安全問題
當前網絡通信主要立足于TCP/IP協議�����,以此來實現網絡的數據交換,而這一協議存在結構上的問題�����,由于這種通信形式屬于樹狀方式�����,導致網絡連接間存在漏洞,而這一漏洞會被黑客和病毒所利用�����,進而實現了對通信網絡的攻擊,不但容易造成網絡信息的竊聽�����,而且會出現網絡信息丟失的問題�����。
2.2 網絡通信軟件存在的安全問題
當前網絡通信的基礎性軟件和應用性軟件都有開放化和公開化的發展趨勢,這會導致軟件系統的在源代碼方面容易被黑客和不法分子所利用�����,他們可以通過對軟件和系統的攻擊達到不法的目的,不但對網絡通信信息系統造成嚴重的影響�����,而且還容易使網絡通信信息出現破壞和丟失�����。
2.3 對惡意攻擊的被動性問題
應該看到�����,對網絡通信信息網絡攻擊的方法眾多,而相當多的攻擊屬于創新型攻擊,為了實現網絡通信信息安全�����,就必須從各方面加大網絡通信的防火墻系統建設�����,通過查缺補漏來完善防火墻系統�����,建立網絡通信信息安全維護工作體系�����,這樣才能夠對攻擊起到預防的作用�����。但是不管如何對系統和結構進行建設�����,都不能改變對惡意攻擊被動防御的態勢,在管理部門和主要人員沒有加強對防火墻系統建設重要性認識的背景下�����,不法分子惡意攻擊的行為極容易引起更大的隱患和問題�����。
3 實現網絡通信信息安全的主要措施
3.1 提高網絡通信系統對IP地址的保護能力
對IP地址的保護工作需要從以下幾個方面進行:對網絡交換機進行嚴格的控制�����,整個信息傳遞的樹狀網絡結構中,交換機是TCP/IP結構的第二層�����,是信息傳遞的必經之路�����,能夠有效保護IP地址的安全;對路由器進行隔離控制也是保護用戶IP地址的有效方法�����,對前后的訪問地質進行有效監控�����,預防IP地址受到攻擊。
3.2 實現網絡通信信息的加密處理
目前網絡通信過程中所采用的信息加密技術有多種�����,主要集中在密碼設立和信息加密兩個方面�����,網絡維護工作者可以根據實際情況選擇合適的信息加密方式�����。
3.3 完善網絡身份驗證系統
當前的網絡身份驗證方法主要是通過建立用戶人的姓名和設定自己的安全密碼來實現�����,如果要進行網絡相關資源的運用,需要同時具備前面所提到的兩者才能獲得使用權限。目前的網絡資源運用中,這種方法是比較流行的�����。一般來說,用戶名和密碼要進行分開保存�����,以避免丟失或者遺忘。但是�����,當今社會的網絡身份驗證中�����,還有一個稱作一次性密碼的身份驗證方法�����,這種驗證方法也有一定的作用�����。比如,它可以有效的防止個人數據被盜或被不法分子監測。但是,這種網絡身份驗證法只能在一定的時間內使用才能夠具有其安全性�����,卻不能避免其用戶密碼被截留或者其它中間環節所攻擊�����;不過,我們也可以采取輔助的身份識別方法來提高網絡使用的安全性,如密令牌等,它是由系統的管理員進行發放�����,具有唯一性和可靠性�����,它可以和我們傳統的網絡驗證方法配合使用。而不乏有一些較為新興的身份驗證的手段更需要我們關注�����,比如我們可以結合生物檢測的手段�����,例如�����,指紋檢測系統、掌紋檢測系統以及視網膜檢測系統等等�����,它們因難于模仿和偽造�����,具有較為更高的安全性。
3.4 完善防火墻系統
防火墻系統是指設置在可信任的企業內部網或網絡安全域之間的一系列部件的組合�����。它能夠通過監測�����、限制、更改穿越防火墻的數據流�����,盡可能地對外部進行屏蔽網絡內部的信息�����、結構和運行狀況�����, 以此來進行實現網絡的安全防護�����。因此,在邏輯上,它可以是一個分離器,一個限制器,也可以是一個分析器,能夠有效地監控內部網和Internet之間的任何網絡數據活動�����,很好的保證了內部網絡數據的安全�����,進而來保護我們每個用戶個人信息。但是,在使用網絡防火墻的過程中一定要增加掃描病毒的各項插件�����,這樣還能夠防治某些惡意病毒軟件的入侵�����,如果安裝的掃描病毒插件還是不夠�����,還應該創設起一個更好更為完善的防火墻系統�����,每一次使用網絡時都應該對反病毒軟件進行不斷的數據更新,這樣才能很好的保障網絡通信安全中的信息安全,防火墻系統既適合個人用戶使用�����,也適合企業網絡使用。
4 結束語
簡而言之�����,當前政府�����、教育、企業�����、生活對于網絡通信信息有著強烈地需要�����,隨著經濟和社會的發展這種趨勢只能是越來越強烈,這就需要我們在提高網絡通信信息質量和裙邊網絡通信信息安全等方面下功夫�����。作為從業者應該將網絡通信信息安全問題進行分類�����,有針對性地展開對各類問題的探索�����,進而形成網絡通信信息安全的應對策略和方法�����,促進安全而健康的通信信息網絡的構建�����。
參考文獻
[1]桑亞輝,曹社香.網絡通信安全策略研究[J].軟件導刊�����,2012(11).
[2]黃婷婷.網絡通信安全分析及其安全防護措施[J].科技傳播,2012(15).
[3]吳飛.網絡信息安全面臨的問題及對策的思考[J].哈爾濱工程大學學報�����,2011(03).
第2篇
關鍵詞:云環境 移動視頻監控系統 安全性 保障措施
中圖分類號:TP391.41�����;TP277 文獻標識碼:A 文章編號:1007-9416(2014)05-0203-01
移動視頻監控系統具有移動性�����、實用性以及即時性等諸多優勢[1]�����,因而獲得了快速發展。在云計算研究不斷深入的背景下,基于云環境的移動視頻監控系統應運而生�����,且獲得了廣泛應用�����。本文基于后臺�����、網絡�����、前端的安全保障措施進行相關探討�����,旨在促進該系統安全性能的提升。
1 總體架構
每一個網絡攝像機均可被視作一個云終端�����。用戶經由網絡訪問目標網絡攝像機以得到所需服務�����。當發生異常時�����,異常信息將會被捕捉和收集�����,并提供給網絡�����,后者制定針對性的補丁�����,然后利用補丁以彌補網絡攝像機的不足(如圖1)。
2 系統功能
(1)網絡攝像機將相關服務于網絡上�����,用戶可基于自身需要經由以找到對應的服務�����。(2)用戶訪問網絡攝像機的過程中�����,均會記錄其相關信息�����,整理并輸送到云數據庫中保存起來。當用戶再次訪問時,系統將會以自動的方式優先顯示用戶所需服務。 (3)任意網絡攝像機均能夠滿足用戶的服務定制需求�����。(4)某服務發生異常時�����,將會接收到相關信息并予以數據分析�����,然后對安全模塊進行更新。(5)該系統的安全機制主要涉及三點[2],即后臺安全�����、網絡安全�����、前端安全�����。
3 系統安全保障措施
3.1 后臺安全保障措施
(1)數據安全存儲與管理�����。對于移動視頻監控系統而言,數據存儲與管理是安全保障工作的核心所在�����。對系統核心機密數據進行加密處理�����,然后進行“云”傳輸或者對磁盤信息進行直接加密,防止個別不法“云”服務商或者用戶截取和篡改信息。然而加密有可能導致數據不完整�����,提高數據的復雜性,同時還會給用戶的索引及搜索操作帶來一定的難度。所以�����,有必要對系統中的數據信息予以分門別類,有選擇和有目的地予以加密,也可將相關數據存儲在私有“云”中。(2)SaaS應用中相關信息存取安全問題��。SaaS(軟件即服務)屬于一種經由因特網提供軟件及其服務的模式[3]����。用戶可通過網絡以達成集中存取信息的目的,同時也在某種程度上弱化了自身對于信息的掌控能力����,存在一定的安全風險���?��;诒U嫌脩羯矸菪畔⒑腿罩緮祿嫒“踩目紤]����,建議采用如下措施:1)為應對黑客單點攻擊問題�,可將數據服務器、Web服務器�����、應用服務器三者有機隔離開來,提高惡意攻擊的難度�。2)數據服務器屬于重中之重��,應予以云備份。當數據遭到破壞之后����,可借助備份予以修復�����,確保服務不會因為該類問題而中斷����。3)對系統絕密信息予以加密存儲�����。當用戶需要讀取和調用該類數據時���,要求系統對用戶身份進行認證���,并對傳輸協議進行加密�����。如此一來���,即便數據被竊取�,也很難正確讀取��。
3.2 網絡安全保障措施
在網絡安全方面���,需要重點研究的是視頻傳輸安全。這一類安全威脅主要包括:1)被動攻擊:竊聽�、流量分析���。2)主動攻擊:數據篡改��、中間人攻擊�����、主機欺騙、重放攻擊����。
對于以上網絡安全威脅���,當前主要借助SSL及諸多加密算法�����、消息摘要算法��、數字簽名等一系列措施的結合應用予以解決。SSL層協議屬于應用層和TCP/IP的中間環節�����,由上層協議傳輸到該層的信息被加密��,然后借助TCP/IP途徑傳送給目的主機����,由TCP/IP傳輸給SSL層后予以解密�,采用客戶端��、服務器雙向認證的做法���,對隱私或關鍵數據進行加密��,同時借助數字簽名以確保數據具有足夠的完整性,構建一個高安全系數的通信通道。最后基于如下方面提供安全服務:1)認證����,2)機密性3)完整性���。
3.3 前端安全保障措施
(1)身份認證���。身份認證是系統針對用戶身份進行核對的一個過程�,以判斷其是否具有訪問資格以及使用權限����。在身份認證機制中,基于密碼的身份認證是最典型、最常用的一種機制。(2)授權����。所謂授權指的是�,用戶身份得到合法確認之后�,賦予該用戶相應的系統訪問權限。授權同樣是一個典型的、常用的安全機制���。通過授權能夠防范非法入侵者對關鍵信息進行破壞,同時還能夠阻止合法用戶對非法信息進行訪問,從而實現在更近的層次上有效保護信息安全����。 (3)審計����。所謂審計指的是����,將全部用戶的行為均有效記錄下來�����,從而便于后期核查��。通過審計能夠讓用戶對自己做出的一系列行為負責,不容其抵賴���。
4 結語
基于云環境的移動視頻監控系統以其諸多優勢獲得了廣泛應用,然而其安全問題也不容忽視�。只有基于后臺���、網絡����、前端等角度采取相應的安全保障措施��,才能降低安全風險���,保障其正常運行�����。
參考文獻
[1]陳飛玲����,陳湘軍�,郁建橋等.移動視頻監控系統設計[J].電子測量技術,2014����,04:109-113.
第3篇
對CBTC系統車地無線通信安全構成威脅的風險源主要分為無線干擾和惡意攻擊2類。
1.1無線干擾目前����,對車地無線通信造成干擾的來源主要有:乘客信息系統�、商用無線網絡��、多徑效應等[2]��。
1)乘客信息系統(PassengerInformationSystem,簡為PIS):是一個多媒體咨詢���、播控與管理的平臺,可在多種顯示終端上顯示多種類型���、多信息源、平行�、分區���、帶優先級的信息��。其中,既包括數據量小的文本信息�����,也包括數據量大的媒體文件信息�����。目前�����,PIS主要采用IEEE802.11a/g/n標準的WLAN進行傳輸�,并且和信號系統的WLAN使用了相同的頻段,從而可能對CBTC系統的車地無線通信造成同頻干擾�����。
2)商用無線網絡:3G網絡的普及使得人們可以隨時隨地自組WiFi無線網絡�����。這些無線網絡的信道是可變的���,并很有可能會同城市軌道交通信號系統WLAN處于同一信道而造成干擾����。乘客自組的WiFi無線網絡的頻段如果與CBTC系統車地通信頻段相同,就很容易造成無線干擾而影響信號系統的正常工作。
3)多徑效應:無線信號是沿著直線傳播的�����,但是在隧道和城市高樓林立的環境中�,信號會經過建筑物的反射和衍射再到達接收端�����。這樣,接收端收到的信號就可能包括直線傳播的信號和經過若干次反射和衍射后的信號,這些信號因為傳播路徑的不一致而先后到達接收端�����,這就造成了多徑效應����。多徑效應的存在使得信號不穩定并且可能會出現數據錯誤�,因而對車地通信安全造成影響。
1.2安全攻擊黑客、等對城市軌道交通的惡意攻擊��,不僅可能造成運營中斷,甚至還可能通過發送錯誤指令等方式造成列車相撞或者遠程控制列車。因此,軌道交通CBTC系統必須對網絡安全攻擊進行防護。網絡安全攻擊一般可以分為如下5種類型[1]���。
1)被動攻擊:包括流量分析、對無防護通信進行監視、對弱加密的通信進行解碼�����、驗證信息捕獲等���。被動攻擊可以在用戶不知情的情況下被攻擊者獲取信息或數據文件�����。
2)主動攻擊:包括繞開或破壞安全防線���、植入惡意代碼��、竊取或修改信息等。主動攻擊可以導致數據文件的泄露或傳播,拒絕服務或數據修改��。
3)物理接入攻擊:未授權人員物理上接近網絡���、系統或設備���,目的是修改�、搜集或拒絕訪問信息�����。物理上的接近可以是秘密的�,也可以是公開的��。
4)內部人員攻擊:可分為惡意和非惡意的攻擊2種�����。惡意攻擊是指內部人員有意地偷聽、竊取或破壞信息�����,欺詐性地使用信息或者拒絕其他授權用戶訪問信息���;非惡意攻擊通常是由于不小心�����、缺乏相關知識等原因而繞開安全防護�����。
5)分發攻擊:這是集中在軟、硬件工廠或分發中對軟���、硬件做出惡意修改。這種攻擊可能是向產品中引入惡意代碼�����。例如��,為了在以后對信息或者系統功能進行未授權訪問所留的后門程序等。
2城市軌道交通安全保障的研發目標與措施
2.1安全保障研發目標針對當前城市軌道交通存在的信息安全隱患,以及城市軌道交通CBTC系統信息安全的新需求,應結合既有CBTC系統�����,開發適合當前城市軌道交通使用的CBTC系統數據加解密設備、專用防火墻���、網絡攻擊檢測、安全車地無線通信設備等��。應搭建信息安全管控平臺�����,通過技術和管理手段相結合�����,以有效避免城市軌道交通信息安全事故的發生。其核心技術的研發目標如下:
1)項目研發應具有實用性:相關技術的研究以城市軌道交通控制和調度系統應用為基礎��,相關技術的應用不能影響信息的正常傳輸����。
2)保證控制與調度信息的安全性:應保證通信網絡中數據不受到非法監聽、截獲及篡改�����,所研究的信息安全技術能夠保證傳輸數據的唯一性和真實性�����。
3)實現通信網絡的智能檢測:采用CS(客戶端—服務端)工作結構��,全面實現對通信網絡工作狀態的監控和對網絡攻擊的定位��;自動實現通信網絡健壯性的檢測���,并提供相關報警和日志記錄�。
4)建立身份認證管理機制:應實施客戶端身份認證管理和無線設備接入認證密鑰多樣化管理�����。
2.2安全保障措施安全保障措施包括行政措施和技術措施����。行政措施包括制訂信息安全和網絡安全的管控措施����、對網絡設備的投標和使用加強審查和控制等。以下列舉在實際應用中可使用的車地無線通信安全保障的技術措施。
1)數據加解密設備。車地無線通信運用的是基于SMS4密碼的加解密技術��。SMS4GM/T0002—2012《SM4分組密碼算法》是國家密碼管理局批準的�。該算法是一個分組算法,分組長度為128bit,密鑰長度為128bit�����。加密算法與密鑰擴展算法都采用32輪非線性迭代結構�。
2)無線接入認證管理機制。該無線接入認證方式是疊加在既有控制系統的無線通信之上,且對控制系統的無線傳輸性能無影響��。應接入認證密鑰的動態管理�����,采用多種密鑰更新方式�。采用“工作站—服務器”模式�,可實現各子系統、多條線路的接入認證管理。
3)網絡攻擊檢測和報警�。針對軌道交通列車控制與調度系統的特點,采用專用的網絡攻擊檢測和報警系統�,實現控制系統傳輸網絡邊界的自動識別��。
4)網絡隔離系統。在保持內外網絡有效隔離的基礎上���,實現兩網間安全、受控的數據交換��。主要為用戶提供了一種在物理隔離的內外網之間(或高低密級網絡之間)安全地將外部信息(或低密級信息)通過以太網單向導入到內部網絡(或高密級網絡)的解決方案�。
5)主機審計系統。主要用于監控和審計計算機的數據輸入/輸出接口�����、設備以及被控端用戶的敏感行為,從而加強軌道交通列車控制與調度指揮系統的管理�,以達到有效地預防失密����、泄密事件發生的目的���。本系統為鐵路機構提供了方便����、準確、快捷的終端用戶安全管理手段。
6)主機加固技術�����。主要是提供主機的安全配置等設置的檢查�,根據安全配置是否符合相應的安全要求,提出供主機加固的建議。
7)定義封閉系統�。封閉系統是不對大家都可以訪問的默認SSID(ServiceSetIdentifier����,服務網絡標識符)進行響應的系統���,也不會向客戶端廣播SSID���,即取消了SSID自動播放功能�����。封閉系統可以防止其它WLAN設備搜索無線信號,從而禁止非授權訪問��。
8)MAC地址過濾�����。MAC(MediaAccessControl�,媒體訪問控制)地址僅標識1臺無線網絡設備����,不存在2塊具有相同MAC地址的網卡��。MAC地址過濾可以起到阻止非信任硬件訪問的作用�。
9)WPA2加密和動態密鑰。WPA2(WiFiProtectedAccess���,WiFi保護接入)中采用AES(AdvancedEncryptionStandard�,高級加密標準)加密,其算法不能破解�����,再結合動態密鑰,保證了信息傳輸的安全性。WPA2的PSK(Pre-sharedKey����,預共享式保護訪問)認證中����,每臺車載無線設備都需要1個密鑰才能接入無線網絡�,且這個密鑰設置很復雜,能確保信息安全�。
3結語
第4篇
信息安全時代,大數據平臺承載了巨大數據資源,必然成為黑客組織��、各類敵對勢力網絡攻擊的重要目標���。因此���,大數據時代的網絡安全問題,將是所有大數據利用的前提條件�����。與此同時,我們也可以利用大數據技術來提升我國網絡安全技術水平����,在保障國家網絡空間安全方面發揮作用�����。
大數據時代
網絡安全的主要威脅
大數據時代����,我國網絡安全面臨著多重安全威脅�。
首先,網絡基礎設施及基礎軟硬件系統受制于人。大數據平臺依托于互聯網面向政府��、企業及廣大公眾提供服務,但我國互聯網從基礎設施層面即已存在不可控因素。
另外���,我國對大數據平臺的基礎軟硬件系統也未完全實現自主控制��。在能源����、金融����、電信等重要信息系統的核心軟硬件實施上,服務器���、數據庫等相關產品皆由國外企業占據市場壟斷地位��。
其次�,網站及應用漏洞�、后門層出不窮。據我國安全企業網站安全檢測服務統計�,我國高達60%的網站存在安全漏洞和后門??梢哉f���,網站及應用系統的漏洞是大數據平臺面臨的最大威脅之一。而我國的各類大數據行業應用�����,廣泛采用了各種第三方數據庫��、中間件���,但此類系統的安全狀況不容樂觀,廣泛存在漏洞�。更為堪憂的是���,各類網站漏洞修復的情況難以令人滿意。
第三�����,系統問題之外,網絡攻擊手段更加豐富����。其中����,終端惡意軟件�、惡意代碼是黑客或敵對勢力攻擊大數據平臺、竊取數據的主要手段之一�。目前網絡攻擊越來越多地是從終端發起的,終端滲透攻擊也已成為國家間網絡戰的主要方式����。另外,針對大數據平臺的高級持續性威脅(簡稱APT)攻擊非常常見�����。APT攻擊非常具有破壞性,是未來網絡戰的主要手段�,也是對我國網絡空間安全危害最大的一種攻擊方式����。近年來�,具備國家和組織背景的APT攻擊日益增多,毫無疑問���,大數據平臺也將成為APT攻擊的主要目標。
以大數據技術
對抗大數據平臺安全威脅
由上述分析可知�����,針對大數據平臺這種重要目標的網絡攻擊�����,其技術手段的先進性、復雜度、隱蔽性和持續性���,以及背后的支持力量,都已超出了傳統網絡安全技術的應對能力。全球網絡安全行業都在研究探討應對這種高級威脅的新型技術體系,大數據技術成為其中重要的方面。包括360公司在內的互聯網安全企業��,已經在利用大數據技術提供各種網絡安全服務��,為提升大數據平臺的安全保障���,增強國家網絡安全空間的安全防衛能力提供有力的支持���。
利用大數據技術應對DNS安全威脅�����,積極推動基礎軟硬件自主控制。以DNS為例,作為互聯網基礎設施�,我國首先應積極爭取獲得域名服務器的運營管理權����,構筑完整的安全防范體系�����。另外�����,我們應該積極利用大數據技術�,研發高性能、抗攻擊的安全DNS系統。依托大數據技術建立DNS應急災備系統����,緩存全球DNS系統的各級數據��。同時還可以利用DNS解析的大數據來分析網絡攻擊�����。
盡管在國家推動和產業參與下��,我國在自主可控的基礎軟硬件產品的研發方面取得了一定成效����。但由于我國在該領域起步較晚�����,在大數據時代��,以操作系統等基礎軟硬件的國產化和自主知識產權化,仍然需要政府的推動�、企業的投入和科研院校的參與�����,更有必要依托大數據技術實現研發數據的共享。
利用大數據技術防護網站攻擊�����,定位攻擊來源�。一方面,開發并優化網站衛士服務���。我國安全公司已針對網站漏洞���、后門等威脅推出了相應的網站安全衛士服務�����,能夠利用大數據平臺資源�,幫助網站實現針對各類應用層入侵�、DDoS/CC流量型攻擊��、DNS攻擊的安全防護,同時向網站提供加速�����、緩存��、數據分析等功能。同時通過對海量日志大數據的分析����,可以挖掘發現大量新的網站攻擊特征、網站漏洞等�����。另一方面�����,通過對日志大數據進行分析,還能進一步幫助我們溯源定位網站攻擊的來源、獲取黑客信息�����,為公安部門提供有價值的線索���。
利用大數據技術防范終端惡意軟件和特種木馬�����、檢測和防御APT攻擊��?��;诖髷祿驮朴嬎慵夹g實現的云安全系統,可以為防范終端特種木馬攻擊起到有力的支持。目前我國的安全公司已經在為有關部門提供支持���,利用其云安全系統的大數據資源��,幫助有關部門分析定位終端特種木馬的分布���、感染的目標終端���,以及分析同源的特種木馬�����,為有關部門工作提供了有力的支持����。
為了對抗APT攻擊��,我們可以采用大數據分析技術研發APT攻擊檢測和防御產品����。此類產品可以在大時間窗口下對企業內部網絡進行全流量鏡像偵聽,對所有網絡訪問請求實現大數據存儲,并對企業內部網絡訪問行為進行建模、關聯分析及可視化�,自動發現異常的網絡訪問請求行為���,溯源并定位APT攻擊過程���。
另外�,我國還應建立國家級APT防護聯動平臺。當前, 我國重要信息系統具有相互隔離�、孤立的特點,針對APT攻擊難以形成關聯協同��、綜合防御的效應�����,容易被各個擊破�����。因此,在重要信息系統單位部署APT攻擊檢測產品的基礎上����,非常有必要建立國家級的APT防護聯動平臺�����,匯聚不同政府部門、重要信息系統中部署的APT防護產品所檢測的安全事件及攻擊行為數據,對其進行大數據分析挖掘�����,從而形成國家級針對APT攻擊的全面偵測�����、防護能力�。
大數據時代網絡安全的建議
鑒于大數據資源在國家安全方面的戰略價值,除在基礎軟硬件設施建設���、網絡攻擊監測、防護等方面努力之外����,針對國內大數據服務及大數據應用方面還有如下建議��。
對重要大數據應用或服務進行國家網絡安全審查�����。對于涉及國計民生���、政府執政的重要大數據應用或服務�,應納入國家網絡安全審查的范疇,盡快制定明確的安全評估規范,確保這些大數據平臺具備嚴格可靠的安全保障措施�����。
合理約束敏感和重要部門對社交網絡工具的使用。政府部門、央企及重要信息系統單位����,應避免、限制使用社交網絡工具作為日常辦公的通信工具���,并做到辦公用移動終端和個人移動終端的隔離,以防止國家重要和機密信息的泄露�。
敏感和重要部門應謹慎使用第三方云計算服務���。云計算服務是大數據的主要載體,越來越多的政府部門���、企事業單位將電子政務����、企業業務系統建立在第三方云計算平臺上�����。但由于安全意識不夠、安全專業技術力量缺乏���、安全保障措施不到位,第三方云計算平臺自身的安全性往往無法保證。因此��,政府����、央企及重要信息系統單位����,應謹慎使用第三方云服務���,避免使用公共云服務。同時國家應盡快出臺云服務安全評估檢測的相關規范和標準。
嚴格監管�����、限制境外機構實施數據的跨境流動。對于境外機構在國內提供涉及大數據的應用或服務,應對其進行更為嚴格的網絡安全審核���,確保其數據存儲于境內的服務器��,嚴格限制數據的跨境流動�����。
第5篇
隨著我國檔案信息化建設工作已日漸深入����,加強檔案信息安全保障體系的建設尤為重要。檔案信息安全保障體系,簡單來講�����,就是在檔案信息系統的整個生命周期內����,從技術、管理和標準法規等多方面,以積極防御、適度安全和動態保障為安全保護原則�,保障檔案信息安全的保密性����、完整性���、可用性�����、真實性���、可核查性�����、抗抵賴性和可控性屬性����,并保障系統安全的持續性的體系。檔案信息安全保障體系建設���,是目前檔案信息化建設中的重要工作,全國上下都高度重視����,也在不斷探索有效的構建方法���,并加以規范和推廣�����。但是,在檔案信息安全保障體系建設中還存在一些不容忽視的問題�����。一是檔案信息化的有關法律����、法規和制度不夠健全。目前���,我國在檔案信息化建設過程中還沒有專門的法律、法規來對檔案信息化建設進行保護���,僅僅依靠通用的計算機法律、法規來維護檔案信息化建設的安全�。這對那些刻意攻擊、竊取、毀壞檔案信息的破壞分子來說實在是微不足道����,一旦他們得逞�����,勢必給我國的檔案事業發展造成不可估量的損失��。二是檔案信息化網絡建設中信息安全技術應用不夠全面。我國的檔案信息化網絡建設目前處于內網���、專網和外網同時使用階段,隨著信息技術的不斷發展�,信息競爭�����、黑客攻擊等人為惡意破壞因素的存在,檔案信息化網絡建設中信息安全技術應用不夠全面���,使得檔案信息系統變得非常脆弱,易受來自各方面的攻擊��。三是各級檔案部門的安全管理體制不夠完善���。有資料表明�����,大部分的計算機安全保密問題來自其系統內部��,世界上70%信息被盜和泄密來自于內部,這主要是因為人員麻痹和安全管理體制不完善所造成的。四是缺乏法律與制度支持��。檔案信息化安全保障體系建設并非是一個單純的技術層面的問題�����,它還涉及到管理、意識和國家法律等各個層面,因此��,檔案信息安全其實是一個綜合性的問題�,各個環節緊密銜接在一起。使用相關安全產品的同時,應在組織與制度上采用相應措施加以完善����。因此�,需要從理論上進一步加強研究,切實為檔案信息安全保障體系建設提供堅實的思想保障,進一步健全檔案信息安全保障體系�。
二�����、加強行政執法����,為檔案安全保障體系提供法制保障
《檔案法》頒布實施以來,使檔案事業有法可依���,并有力地促進了檔案事業的發展。但是���,目前的檔案執法還處于初級階段�,還存在著一些亟待解決的問題���。有的檔案部門領導和工作人員缺乏對依法治檔�����、依法行政重要性和必要性的認識�;一些單位重視業務指導�,忽視依法監管���,在貫徹實施《檔案法》過程中�����,還帶有主觀片面性和隨意性,未獲得人們所期望達到的效果���。這就要求檔案行政管理部門進一步建立健全檔案執法監督制度���,強化執法監督職能���。一要從思想上入手���,鞏固提高依法治檔、依法行政觀念���。檔案行政管理部門是代表各級政府主管本地檔案事業的部門,也是《檔案法》所確定的檔案行政執法主體和監督機構,這也使得管理檔案事業有了法律的保障����。我們的各級檔案工作者特別是領導干部首先要帶頭認真學習檔案法律���、法規�,做到知法、懂法�、守法�����,并嚴格執法��,帶頭依法辦事、依法行政�����?!稒n案法》和《檔案法實施辦法》規定了檔案部門是行政執法部門�����,要履行法律法規賦予檔案部門的這一職能,應強化執法意識�。二要從立法入手�����,完善檔案法規體系���。在建立社會主義市場經濟體制過程中�,真正做到執法機構依法行政,全體公民自覺守法�����,尚有待于法律體系的不斷完善�����,而檔案執法監督必須有完善的監督法律體系作為依據�,健全完善操作性強的法律規章和相關監督條例�,強化制約功能,是亟待解決的重要任務,各級地方人大���、政府應依照《檔案法》結合本地區實際����,制定出配套性����、實用性�����、可操作性較強的法規���、規章文件�����,依法明確檔案執法監督的形式���、程序和手段�����,從而能夠實行科學��、合理�����、有效的監督���,確保檔案工作方針和法律法規的得以貫徹實施��。三要從規范檔案行政執法入手���,加強檔案監督制約機制的建設��。在加強內部監督制約機制上����,將檔案工作列入本單位的目標管理責任制中�����,考核指標主要由貫徹《檔案法》��、檔案業務等方面組成��,定期對檔案工作進行檢查,以引起部門的高度重視,加大對檔案依法管理工作的監督力度,確保機關檔案的安全性;在加強外部監督制約機制上���,與外部檔案行政執法檢查部門加強聯系,通過行政執法部門對檔案工作的指導和專業性的檢查����,對不規范或不符合要求的地方及時進行整改��,以促進機關檔案工作依法管理�����。通過外部監督,強化機關檔案工作的法制建設����。
三�、加強制度建設,為檔案安全保障體系提供機制保障
1.建立組織保障體系�。檔案安全保障體系建設需要有人來計劃�����、設計和管理��,任何系統安全設施也不能完全由計算機系統獨立承擔系統安全保障的任務。一方面��,各級檔案部門領導要高度重視����,并積極實施有關檔案系統安全方面的各項措施��;另一方面��,讓工作人員和用戶對網絡安全性要有深入地了解,使他們積極地自覺地遵守各項信息系統安全制度和措施�����,防患于未然��,就能降低檔案網絡信息系統的安全風險����。檔案信息以及檔案工作者頭腦中的包括直覺知識、閱歷�、情感等進行綜合��、概括��、提煉的知識。檔案信息專家能夠充分使用認知�����、自然、情感和行為各個組成部分,在顯性信息服務向隱性知識服務轉變的過程中發揮重要作用�����。所以,一個高水平的檔案館必須重視檔案信息專家的引進和培養,必須注重發揮檔案信息專家的作用���。業務工作者也是掌握多項技能的復合型人才,要求機構中的每位員工都把信息化和檔案業務作為同等重要的基礎性工作來開展���。2.建立制度保障體系��。建立有效的管理制度是保障檔案信息安全的關鍵��。規范檔案管理、保障檔案信息安全的永久性措施應該是建立程序化、制度化管理模式并嚴格執行、落實到位�。這同樣需要分別制定相應的政策與規范,并采取必要的措施強化落實,做到制度正確,落實見效�����。要積極爭取上級有關部門的政策支持���,根據檔案部門的實際情況�,參考《中華人民共和國計算機信息系統安全保護條例》�����、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》�����、《中華人民共和國檔案法》�����、《中華人民共和國保密法》等法律����、法規���,制定出適合檔案部門的規章制度,以此約束所有用戶、系統管理員以及其他成員��,保證檔案信息系統安全���、可靠地正常運行�。由于網絡設備和系統軟件本身存在一定的缺陷,再加上從事黑客的個人或組織技術在不斷升級,所以,檔案信息系統沒有絕對的安全����,只有相對的安全�����。檔案信息化安全保障體系是一個動態的概念�,面對檔案信息系統安全的諸多問題���,必須時刻警惕�,運用多種手段�,不斷在技術上更新����,管理體制上完善����,人員素質和管理理念上緊跟網絡發展的步伐。只有時刻從檔案數據安全的方方面面出發�,點滴不漏�����,常抓不懈,才能建立起完善的檔案信息安全保障體系����,確保檔案信息系統的安全�,保證檔案信息化建設順利進行。
四�、加強設施建設�,為檔案安全保障體系提供物質保障
一是加強檔案庫房建設。為了檔案工作的可持續發展�,我們必須做好檔案實體的保護工作�����。因此���,在檔案庫房與門窗的設計����、防火材料、消防系統��、庫房溫濕度�����、技術與管理方面�����,需要進一步加大投入���。庫房是保管檔案的場所,檔案庫房多數是在機關辦公大樓上的��,客觀上不具備建檔案庫房的條件。在這樣的情況下,首先要考慮檔案庫房的承重問題�。一般作為檔案庫房����,鋼筋的密度要大����,數量要多���,型號要粗。預防火災對機關檔案實體安全來說是頭等大事�����。隨著科學技術的發展,建筑材料���、各種電器設備的種類日益增多,檔案庫房引起火災的危險性可能性進一步增大?�;馂氖钱斀駲n案部門的頭號災害�����,為預防火災�,檔案庫房門口,必須配備消防器材���,如手提滅器或手推移動滅火器等。檔案庫房要做好防火防潮的處理�����,保存的各種載體的檔案對溫濕度都有嚴格的要求����,在技術參數范圍內,檔案能夠長久的保存�����。反之�����,溫濕度過高過低,都會影響檔案的壽命���。門窗要嚴格按國家檔案局要求安裝。作為檔案實體安全的裝具����,我們仍然要求采用可移動鐵皮柜和不可移動密集架��,它具有防火��、防鼠功能���。檔案盒作為貼身裝具��,制作檔案盒的牛皮紙要做去酸處理���,這樣做,有利于檔案實體安全的保護����。二是加強檔案數字化建設���。在系統硬件設備方面����,要做到:第一,內外網隔離��。根據有關安全保密部門的網絡安全規定�,的計算機信息系統��,不得直接或間接與國際互聯網或其它公共信息網互相連接,必須實行隔離���。因此,對檔案部門的內部網絡和國際互聯網���,要嚴格地進行隔離����,防止不宜公開的內部檔案信息通過網絡連接泄露到外部公眾網����。第二�,將內部網絡劃分成若干個安全級別不同的子網�����,實現內部一個網段與另一個網段的隔離。這樣,就能防止某一個網段的安全問題在整個網絡傳播,限制局部網絡安全問題對全局網絡安全造成的影響���。第三���,每個廠家的設備有它獨特的優點也有它不可克服的致命弱點�����,因此在選用檔案網絡設備時�,盡量選用不同廠家不同型號的設備,做到優勢互補���,封堵網絡漏洞����,增強系統的安全性能�����。
五����、加強技術建設,為檔案安全保障體系提供安全保障
網絡�、計算機����、存儲器和信息系統是數字化檔案信息生存的基礎,也是引發安全問題的風險基地�。黑客攻擊、病毒蔓延��、信息竊取���、技術落后、制度不健全����、管理不規范���、措施不到位�、治理不及時是產生不安全因素的根源,其中有客觀的因素,也有主觀的原因。因此,加強對客觀侵害行為的防范,對主管漏洞的治理,對安全事故的補救是保障網絡暢通、系統穩定、數據安全的重要措施。只有網絡和系統安全了,數字化檔案信息的安全才能得以保障���。建立技術保障體系是提高網絡和系統免疫力的重要措施���。1.保障網絡安全:防火墻和入侵檢測技術是常用的保障網絡安全的兩種手段,入侵檢測技術側重于監測�����、監控和預警,而防火墻則在內外網之間的訪問控制領域具有明顯的優勢�����、功能強大,效果明顯。面對網絡攻擊手段復雜度的不斷提高及融合能力的逐漸加強,要在網絡層采取安全技術的應用和安全產品的聯動啟用措施,全面提高網絡的綜合防范能力�。2.保障系統安全:加強升級服務,做到無漏洞運行��。目前各操作系統的開發商已經開通了專業通道,提供升級服務的補丁程序下載、安裝和檢測服務,而且大多是免費的,因此,能否做到系統的無漏洞運行,關鍵在于人們是否使用正版軟件,增強了安全意識并做到及時升級,及時打補丁���,,保障每臺客戶端的無漏洞運行。3.保障檔案信息系統的安全:要做好系統用戶的安全管理,不給偷竊者以機會�。
目前,保障合法用戶的做法是采取強身份認證���、加密和防密碼偷竊等技術����,并保證內部安全管理制度和措施的有效性實施與落實����。4.保障檔案數據的安全:實行隔離�����、加密��、備份等措施���。安全管理的最終目的就是保障網絡上傳輸的�、系統中存儲的、用戶訪問到的檔案數據和信息是真實��、完整和有效的,并保障系統操作者能夠方便地訪問自身權限范圍內的數據,杜絕無權用戶進入系統,因此數據加密、硬盤加密����、文件系統加密,增加系統存儲的復雜性等都成為保障數據安全的有效措施�����。5.病毒防范:建立網絡化的病毒防范體系,實現病毒庫的同步升級幾乎有網絡和計算機存在的地方,病毒都會伴隨。每臺計算機上都應安裝防病毒軟件系統,并及時更新病毒庫,而對于網絡環境下的一個組織而言,病毒殺不盡的原因則是網絡上至少有一臺機器有病毒,并在網上擴散傳播,因此購買網絡版的防病毒軟件,建立網絡化的病毒防范體系,實現病毒庫的統一管理,同步升級,是防范病毒侵害數字化檔案信息的有效措施之一��。同時,加強對病毒知識的學習,提高機構中每位員工的主動防范意識和警惕性也是非常重要的保障措施��。
第6篇
關鍵詞:網絡安全�;多源傳感器;數據融合技術
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)26-0056-02
在網絡普及的今天��,網絡安全尤為重要���,現在市場上已經出現了多種網絡安全保障系統和工具,比如殺毒軟件���、防火墻、入侵檢測工具等����,但是這些安全保障工具只能針對網絡安全的單一的問題進行防范���,無法從整體對網絡安全進行高效的保障��。而多源傳感數據融合技術可以將對信息進行綜合性的分析和處理�,可以很好地解決單源傳感器所具有的局限性���。由此我們可以對網絡安全中多源傳感器數據融合技術進行深入的分析和研究,為了更好的保障網絡的安全��,為網絡用戶提供了一個安全的網絡環境�����。
1多源傳感器數據融合的基本原理
多源傳感器數據融合屬于一項人類同其他生物系統普遍具有的功能�。人類本能對身體的各項器官檢測來的信息同已經驗證的知識融合的能力��,由此合理的估計周圍環境以及事件�����。多源傳感器數據融合基本原理同人腦進行信息處理的流程是相似的�,合理地支配和運用多項傳感器以及由傳感器獲得各項信息����,根據一定的規則對其空間以及時間上的冗余以及互補加以綜合,由此獲取被測對象的統一的描述,使得這一系統獲得的較之構成部分組成的系統具有更強的性能�����。詳細地講,多源傳感器融合基本原理如下:
1)多想類型不同的傳感器取得目標數據;
2)提出輸出數據特點,由此取得特征矢量;
3)模式識別特征矢量��,對各個傳感器目標屬性說明工作;
4)根據同一目標對各個傳感器的目標屬性說明信息予以分組,也就是關聯���;
5)通過融合算法合成各個目標對應的傳感器數據���,獲得這一目標統一的描述和解釋��。
因為被測對象很多都是特點存在差異的非電量���,比如灰度、色彩��、溫度等,所以首先需要將轉化為電信號,而多源傳感器的應用是為了進行信號檢測�����。
2 多源傳感器數據融合特點
在各個系統中�����,依靠單一的傳感器是難以實現對環境��、目標的識別以及控制目標���。如果對各個傳感器獲得的信息進行單獨的分析處理�����,一方面會是信息處理工作量進一步增加���,另一方面業使傳感器信息間的聯系被割裂��,嚴重地浪費了信息資源[1]。所以��,應當綜合多源傳感器進行處理,這也就是數據融合����,由此可以獲得更加可靠���、穩定的分析結論���,系統可以更加完美的完成相關操作任務��。總的來說����,多源傳感器數據融合具有以下幾項主要的特點:1)環境描述能力得到了增強���;2)系統的辨識以及運行能力得到了顯著提升�����;3)系統自身的容錯能力以及可靠性均得以顯著提高����;4)觀測范圍得到了時間和空間上的拓展;5)信息的可信度得以增強���,同時系統成本得以降低[2]。
3網絡安全中多源傳感器數據融合技術應用現狀
在網絡安全保障過程中����,數據融合技術通常是在分布式入侵檢測系統(Ditributed Intrusion Detection System�,DIDS)以及網絡安全形態感知系統(NetworkSecurity Situa-tion Awareness,NSSA)中使用【3】�����。勢態感知最早出現在航天飛行人為因素的研究中���。在軍事戰場、核反應控制�、空中交通管制等多個領域的同樣也存在非常廣泛的研究���。勢態感知指的是在特定時空條件下�,對環境因素的采集��、了解和對未來情況的預測【4】�����。Bass T認為DIDS指的是在層次化模式下進行多源傳感器數據融合的問題,同時引入JDL融合處理模型����,將勢態感知引進網絡安全中來�,進而設計出了在多源傳感器數據融合基礎上的網絡態勢感知系統模型框架,這也叫做網絡安全勢態感知(NSSA)[5]����。
我國對于NSSA的研究相對較晚���,近幾年的研究取得了較為顯著的成就��,是現階段網絡管理以及安全領域重要的研究課題��。NSSA和DIDS二者存在諸多的不同之處���,更多地反映在數據來源和系統功能存在差異���。DIDS是在網絡中部署入侵檢測Agent,進而利用入侵檢測Agent來取得各項網絡信息,同時采取綜合性分析�����,由此對被監控網絡進行有效的檢測��,查看其中是否存在任何攻擊行為�,從而確保網絡預計主體的安全����。而NSSA則是運用多項安全系統(殺毒軟件���、防火墻�����、系統審計日志)等形成數據結果以及Netflow采集的網絡信息以及性能指標等數據,進而計算出網絡當前的安全勢態��,并及時向網絡管理員傳遞網絡勢態同時提交相關數據等,為確保網絡運行正常提供數據參考���,其中涉及DIDS的功能。此外,NSSA還具備可預測性以及可評價性,現階段更多單位進一步加強對網絡安全勢態預警系統的研究���。
4 網絡安全中多源傳感器數據融合技術
4.1提高時間分辨率的多源數據融合技術
在時間基礎上的數據融合指的是針對單一或多項數據源獲得的數據實施融合�,在網絡安全保障中對應相關的網絡安全事件�����。時間基礎上的數據融合必須預先針對需要檢測的攻擊及其意圖建模�,比如攻擊圖建模���;進而給模型中各個節點對應的攻擊事件進行賦值�����。最后,通過貝葉斯推理�、加權決策法等方法實施融合決策����。貝葉斯推理主要的是概率論基礎上的貝葉斯訂立,必須預先提出先驗和條件概率�。D-S證據理論用辨識框架表示的是構成假設空間相關元素的集合����,其中各個元素對應的要求互相之間排斥����,同時在基礎上定義一個分配函數概念����。有框架中任何一個元素概念賦值�����,由此可以獲得相應的信任函數(Bel)以及似真度函數(BPA)���,簡稱為PI�,通過Bel以及BPA可以獲得這一命題的信任度空間�。而后,通過Dempster合成原則融合多項似真度函數�����。
Liu Mixia通過D-S證據理論針對DARPA數據統一DDoS攻擊對應的5個環節信息實施融合決策。其一���,定義一個辨識框架= {Normal, Probe�, u2r(user to root)�����,r2l(remote to local)�����,DoS, Uncertain}����;進而針對各個事件采用合適的BPA�����,針對相關命題配置相應的概率值���,同時根據合成規則針對到來的事件采取融合決策��;最后取得各個命題對應的最終概率值�。伴隨事件的不斷來臨�,命題的不確定性也會漸漸降低�,判斷也會更加準確,由此結合判斷結果獲得網絡安全勢態信息。
韋勇在D-S證據理論的指導下有效融合檢測和預知日志集合���,同時根據漏洞信息獲得攻擊成功支持力等信息��,最終通過加權決策法獲得節點勢態。
4.2 拓展空間的多源數據融合技術
在空間基礎上的數據融合主要是指針對網絡中各個部位的傳感器形成的安全信息加以融合。因為每個不同傳感器其相應的功能存在差異���,側重點也具有一定的差異��,所以在空間基礎上的數據融合可以將各個數據源的互補性以及冗余性進行很好的利用��,得到較之單一數據源更加可靠��、更加全面、更加準確的信息����,由此進行更為正確的判斷����。在網絡中裝置的功能、類型各異的Agent���,比如防火墻、入侵檢測系統����、殺毒軟件等���,單獨進行數據收集以及分析活動����。而后不僅能夠運用集中式融合結構�����,將各個Agent采集的數據集中發送至數據融合中心加以融合����,同時也可以通過分布式融合結構,使Agent之間自行進行互通互信,由此取得相應的數據同時采取融合決策,對入侵行為進行判斷等���。
為了實現Agent之間的互通互信,彼此之間進行信息的交流,必須統一信息表達格式及其數據交換安全協議�����。在此過程中,最為著名有公共入侵規范語言(Common Intrusion Specif-ication Language,CISL)���,入侵檢測交互協議(Intrusion Detection Exchange Protocol, IDXP) 、入侵檢測消息交互格式(Intrusion DetecionMessage Exchange Format, IDMEF)等�。
在空間基礎上的數據融合技術通常運用神經網絡����、貝葉斯推理、SVM�����、D-S證據理論等計算方法。SVM以及神經網絡等融合算法需要預先從多源傳感器所形成的數據進行特征的提取���,同時構成獨立的特征向量��,由此將其鍵入模式識別過程中分類識別�。
RST主要是指基于分類而建立的,將分類看作在一定空間條件下的等價關系���,進而組成了對這一空間進行劃分。其重要的思想在于通過已知的知識庫來對不確定或不精準的知識進行近似的刻畫���。
王慧強等人指出在多源傳感器數據融合基礎上構建網絡勢態感知模型����,通過神經網絡以及SVM等算法針對Snort以及Netflow傳感器形成的信息進行特征向量的提取���,之后采取特征降維�,進而實施融合分類����,最終通過分類結果得出相應的網絡安全勢態信息。
Siaterlis在D-S證據理論的指導下設計檢測DoS攻擊模型�,需要預先定義辨識框架�����,通過Snort插件取得報文輸入與輸出之間的比重、通過Cisco對應的Netflow以及SNMP協議采集網絡流量信息����,而后針對取得的兩種信息采用合適的BPA�����,然后對兩個BPA實施融合,由此獲得最終的融合決策數據�����。這一模型促進對DoS攻擊檢測效率的顯著提升,使其報誤率大大降低�����。
Zhuo Ying等人將JDL數據融合模型以及Endsley態勢感知模型進行有機結合����,集中了數據融合挖掘技術,通過RST科學的評估網絡安全勢態��。
5 結束語
綜上,數據融合并非獨立的技術��,而是一項跨多學科的綜合性方法�����,同時處在持續變化發展當中��。伴隨相關研究的進一步深入��,該技術取得了很多的發展。較之單一傳感器的信息處理�����,多源傳感器數據融合技術具有非常顯著的優勢�����,突破了以往單一傳感器信息處理造成的局限���。而該技術應用于網絡安全防護中��,可以有效提升網絡安全保障體系的安全系數,使得各項安全系統和工具實現有機融合,從整體上確保網絡的安全�����,更好地保護了網絡用戶的利益。
參考文獻:
[1] 胡傳奇,王檄�����,侯家槐.多傳感器圖像融合技術及其進展[J].測繪與空間地理信息,2010(2):159-162.
[2] 林加潤,殷建平�����,程杰仁���,等.網絡安全中多源傳感器數據融合技術研究[J].計算機工程與科學,2010(6):30-33.
[3] 黃漫國,樊尚春,鄭德智����,等.多傳感器數據融合技術研究進展[J].傳感器與微系統�,2010(3):5-8+12.
第7篇
關鍵詞 應急響應;保障措施;網絡安全;安全事件
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2014)15-0196-01
迄今為止,網絡信息安全問題不斷變更�����,給社會的發展帶來了嚴重的影響�����,在經歷了通訊安全���、計算機安全�����、網絡安全和內容安全四個過程后,重要網絡基礎設施及信息的保護已經受到國家的高度關注����,并成為國家安全戰略的重要組成部分��,目前����,網絡信息安全問題備受人們關注�����,面對網絡和系統日趨復雜�����,解決網絡安全事件成為應急響應體系建設的重點工作��。
1 應急響應的基本內容
當前����,應急響應主要包括應急響應、信息安全事件和應急響應體系的總體架構三個方面的內容�����。
1)應急響應是指一個組織在各種安全事件發生前后所采取的準備工作及相應的緊急措施,應急響應主要是為了保護網絡基礎設施的安全性�,降低網絡的脆弱性和縮短網絡攻擊事件發生后對相關信息的破壞時間和恢復時間����。
2)信息安全事件���,即信息系統��、服務或網絡的某種不安全狀態�����。而信息安全事件就是導致信息資產丟失或損壞的一種信息安全事故����,且其損壞的發生具有一定的特殊性���。當然�,信息安全事件的發生也具有因果性����、必然性����、偶然性、規律性等特點�����,因此也就是說信息安全事件的發生是可以通過相應的措施進行相關事件的預防�,而應急響應則是事件發生后減少損失的一個重要手段。
3)應急響應體系的總體架構��,而應急響應體系由兩個中心和兩個組組合而成。而兩個中心只要是指信息共享與分析中心和應急響應中心�,其兩個組則由應急管理組和專業應急組組成�����。其中�����,作為處于系統最高層的應急響應指揮協調中心,主要負責協調體系�����、維護信息共享與分析中心平臺���、管理協調各個應急響應組,并且也是系統聯動的控制中心����。而信息共享主要負責與組織進行信息共享和交換�����,它是整個架構的核心�。應急響應中心包含了整個體系的核心任務,即信息安全事件的分類、預案管理及應急響應等���。作為整個體系和聯動運作的總協調機構應急管理組�����,其主要包括:技術研發與策略制定組和專家咨詢組等。專業應急組直接對安全事件實施響應的聯動措施�����。
2 應急響應體系的層次結構
對與應急響應體系的層次結構,主要是針對在具體的應急響應工作中���,相關應急響應體系的層次結構對安全事件的處理,以此體現層次結構在應急響應體系中的作用,對此,基于動態對等網層次結構中的網絡預警模型展開相應的研究�����。這里主要以DPOH模型為例,這種DPOH模型廣泛分布于受保護網絡中,由自治節點構建而成的層次化對等覆蓋網體系�。DPOH模型主要是提供底層的分布式協作和數據共享框架����,從而使得各類異構防護設施能夠接入到一個自適應的全局安全防護體系中���,因此具有跨安全域的數據共享和相應的對等協作能力,為此,可以有效地執行協同檢測和防護任務。
DPOH模型主要是為了保護規模較大的網絡環境的安全而構建的���,其重點是對惡意代碼實施協同檢測和防護而構建的�����。其包括層次化對等結構、數據分布式共享和動態自適應協作等
特點��。
其層次化對等結構具有魯棒性����、可拓展性和可管理性優點。在DPOH模型中具有控制中心���、任務協調中心和安全三類核心節點角色�,然而三種角色又有各自不同的權限���,自上而下形成控制中心群體和任務組兩層對等覆蓋網體系���,使得層次化和對等有機結合在一起�����。
而對于數據分布式共享����,DPOH模型將NIDS、防火墻安全網關等設施通過協議注冊到相關的安全節點��,將異構報警源生成的報警數據通過XML技術進行一致化處理�����,然后再由DHT分布式消息共享機制發到整個網絡安全防護體系中。對此���,DPOH模型還可以整合各類異構網絡安全防護設施的數據資源����,從而實現了安全報警消息的分析式存儲和查詢機制���,并對分布式網絡入侵和攻擊行為進行關聯分析和協調檢測����,從而明確入侵意圖,為深層次信息提供了基本的支撐��。
針對動態適應協作,DPOH模型提供了其機制的底層支持����,主要體現在以下兩點�。
1)預警模型可以完全擺脫節點物理拓撲的約束對網絡安全資源進行調整分配。
2)當安全節點處于模型底層���,并由控制中心根據所需資源��,然后動態地組織任務組覆蓋網,在任務組只占必要的資源的同時實現多任務并行處理���。
3 應急響應體系的聯動
應急響應體系的聯動包含技術防御層的聯動、組織保障層的聯動�、響應實施層的聯動和以事件為中心的層間聯動�。對此,應急響應體系的聯動主要體現于各層內實體和層間實體的聯動�,若沒有實體間的聯動,其功能就無法進行發揮。所以�����,實體間的聯動是十分重要的。而層級結構圖越園��,表明其實體間的聯系就越緊密����,其活躍度就更高��。由外而內,區域逐漸變小����,而其功能越來越復雜�,各層間的聯動活躍度也就越高。
對于無大規模的網絡攻擊或者網絡戰爭的發生����,其聯動是最少的��。在技術防御層中的六個實體間的聯動是通過彼此間的因果關系傳遞的�����,而組織保障層中的四個實體間的聯動在同種形式下是十分緊密的�����,其信息的傳遞可通過雙向傳遞或者點與點直接傳遞,對于響應實施層內的六個功能在通常情況下實體聯動可表現為一體。
4 結束語
在目前網絡飛速的發展中,由于各種因素的影響所造成的網絡漏洞較多�,網絡信息安全事件的發生給人們�,尤其是事業單位造成了很大的困擾��,而應急響應防御體系中的一道重要的防線�����,是網絡信息安全的可靠保障��。急響應體系的建立其工程十分復雜�,應該為此加強安全措施的聯動����,并全面了解層次結構,才能解決主要的問題,才能進一步完善應急響應體系。保證各類信息的安全�。
參考文獻
[1]王瑞剛.網絡與信息安全事件應急響應體系層次結構與聯動研究[J].計算機應用與軟件,2011��,28(10):117-119.
[2]王茹.安全信息管理(SIM)風險管理的研究與實現[D].北京郵電大學,2010.
[3]胡文龍.蜜網的數據融合與關聯分析的研究與實現[D].北京郵電大學��,2009.
第8篇
關鍵詞:電子商務�����;安全問題��;策略探析
當前經濟一體化發展形勢下����,電子商務�,作為在網絡技術環境中�����,通過運用信息技術進行在線商品交易���、金融資本交易及其商務活動的過程���,成為推動當前經濟貿易快捷化運行的重要模式����。由于電子信息資源市場的開放性和共享性��,商業信息的安全問題成為當前電子商務運行的重要弊端���。本文從加強電子商務安全性能的角度出發�,對電子商務中的各種安全防范技術進行了分析���。
1.電子商務的內涵特征分析
電子商務,是在經濟全球化發展趨勢下�,隨著計算機信息通訊技術的普及和推廣�,以開放的計算機網絡環境為基礎�,以電子信息技術為手段���,以各種商業貿易活動為核心���,基于信息技術的應用方式,在法律范圍內由從事商務活動的交易雙方在不謀面的情況下進行的各種商貿活動�����,實現網上在線交易購物和電子支付等各種商務活動���、金融活動以及相關綜合服務活動的一種新型商業運營模式。
2.電子商務的安全性能分析
電子商務的安全性能表現在安全隱患安全要素以及安全需求等幾個方面:
2.1 安全威脅
電子商務交易過程中�,往往存在相關商務信息數據在使用過程中被非法竊取����、篡改或假冒等安全隱患現象�,既破壞了商務信息的完整性,網絡非法攻擊者通過假冒合法用戶或者模擬虛假信息來實施詐騙行為��,也降低了電子商務信息的精確度和誠信度,對電子商務造成非常嚴重的不良后果�����。
2.2 安全要素
構成電子商務的安全要素主要包括相關信息的真實有效性��,完整保密性��、信息的可鑒別性及不可抵賴性。保障電子貿易信息的有效性和真實性是開展電子商務的前提����。商業性信息保密是電子商務全面推廣應用的重要保障����。電子商務方式下,通過在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠標識�����,保障了商業信息的完整性和統一性��。
2.3 安全需求
電子商務交易過程具有信息的保密性���、完整性和不可否認性等安全需求��。電子商務運行過程中,要求相關商務信息具有嚴格的保密性能, 相關信息數據在存儲或傳輸過程中未經授權保持不被修改、不被破壞和丟失的特性�����,不得泄露給其它非授權性用戶使用。電子商務信息的不可否認性避免了交易發生后的某方否認自己的商務行為的特性。
3.當前采用的主要電子商務安全技術
當前電子商務運行過程中通常采用的安全技術主要包括加密技術和安全認證技術:
3.1 加密技術
加密技術是電子商務采取的主要安全措施�,是保障相關信息保密性���、完整性的核心���。按照密鑰的不同�,加密技術主要有對稱型密鑰體制和非對稱型密鑰體制。
① 對稱型密碼體制
相關信息的發送方和接收方都必須使用相同的密鑰對消息進行加密和解密運算。對稱加密算法最大的優勢就是開銷小�、加密速度快��,被廣泛應用于對大量數據文件進行加密。
② 非對稱型密鑰體制
具有公開密鑰和私有密鑰兩種密鑰。公開密鑰用于對機密信息加密����,私有密鑰用于對機密信息解密�����。實際應用中通常將兩種加密技術結合起來���,先采用公鑰密碼傳送加密密鑰,再用私鑰密碼加密傳輸信息,從而確保信息的安全傳輸��。
3.2 安全認證技術
目前電子商務交易中僅有加密技術不足以保證交易安全��,身份認證技術是保證電子商務安全的另一重要技術���,包括數字簽名技術���、數字證書技術等手段��。
①數字簽名技術
數字簽名技術是進行身份認證的技術����,它是運用數字摘要技術,為防止他人對傳輸的信息進行篡改或破壞���,保證信息的真實性和完整性���,以及保證信息發送者對發送信息的不可抵賴性而采用的在數字化文檔上進行數字簽名的安全保障手段�����。目前的數字簽名是公用密鑰加密技術的另一類應用。主要有RSA簽名、DSS簽名和Hash簽名三種簽名方法����。
②數字證書技術
數字證書是公共密鑰體制中的密鑰管理媒介�����,并將公鑰和實體身份信息綁定在一起,并包含認證機構的數字簽名�����,通常由具有權威性�、可信任性的第三方認證機構進行頒發��。數字證書技術是一種能夠有效管理公鑰分發,保障公鑰以及與公鑰有關的實體身份信息真實性的安全保障措施����。數字證書在電子商務中用于公鑰的分發�����、傳遞、證明電子商務實體身份與公鑰相匹配���。
4.加強電子商務安全性能的策略
當前��,隨著市場經濟的開放性復雜化發展,加強電子商務安全運行的重要策略如下:
4.1應用電子商務安全保障技術
靈活運用加密技術�����,通過數字簽名和數字證書來實現的身份認證是實現網絡安全的重要措施。在電子商務WEB服務器和客戶端瀏覽器之間建立安全鏈接�����,能保證信息數據在傳輸過程中的安全性�����。防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態�,它的應用可以有效的減少黑客的入侵及攻擊��,保障網絡節點的安全�,優化網絡系統環境�����,為電子商務運作提供了安全平臺���。
4.2完善電子商務安全配套措施
電子商務的安全配套措施主要在于針對關鍵性安全保障技術進行創新突破�,提高運作效率,根據實際需求積極開發大型商務網站,發展與之相配套的物流公司����,盡快對電子商務的有關細則進行立法����,建立嚴格的內部安全機制。完善網絡安全維護日志�����,記錄與安全性相關的信息及事件便于跟蹤查詢�,對重要數據信息要及時進行備份并針對相關數據信息和數據庫進行加密保護。
4.3建立電子商務安全運行體系
針對電子商務網站�,要及時進行科學合理的安全綜合性能評估��,及時發現并解決安全隱患�。綜合采用包括防火墻技術���、病毒檢測技術���、數字加密技術���、數字簽名技術�����、安全認證技術等多種安全保障技術防護���,完善安全防護運行體系并確保系統信息數據的安全與保密����。健全電子商務法律法規�,嚴厲打擊電子商務領域違法犯罪行為,為保證電子商務活動創建和諧的商業運行環境。
