當前網絡安全狀況范文

導語：如何才能寫好一篇當前網絡安全狀況，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】計算機技術 網絡安全技術 技術應用 作用發揮

1 計算機網絡安全技術的特性

1.1 保密性

當前計算機網絡安全技術的特定首要的即是其保密性，需要針對用戶數據進行嚴密的保護，通過技術手段實現禁止私密信息外流，保護穩定存儲、維持信息私密、避免信息保護受到破壞和干擾。

1.2 適用性

適用性是指計算機網絡安全技術必須保證用戶的正常信息取用，授權用戶能夠穩定、安全地獲取信息資料，并且避免對可用性產生破壞，避免破壞網絡運行和授權服務等。

1.3 操控性

需要通過計算機網絡剛落安全技術的應用實現對信息取用、存儲、傳輸過程中的信息安全進行維護，并且保證內容的控制性，避免產生信息安全問題。

2 當前計算機網絡安全技術應用的現狀

當前計算機網絡安全技術多集中在開發功能功能更加綜合全面的防火墻技術和反病毒技術，以及與計算機終端應用相適應的入侵檢測技術，并取得了一定的穩定成效，能夠基本保障大多數情況下的網絡信息安全，但仍舊存在著受網絡技術應用升級和技術更迭不及時的情況，并可能產生一些不良影響。而且，當前一些新生的網絡病毒、網絡攻擊方式也不斷升級，產生了更加多樣的豐富變化，以及出現更多的自動化攻擊、多應用環境下的攻擊等，電腦病毒的隱蔽性強，導致信息入侵方式更加難以防范。另外，一些新生的信息系統環境還存在較多的漏洞，計算機網絡管理能力還非常欠缺，這都是導致當前計算機網絡環境面臨安全挑戰的重要因素，也使得當前的網絡安全控制形勢變得尤為嚴峻。

3 當前計算機網絡防護技術中所存在的主要問題

3.1 缺乏有效的信息加密技術進行配合

長期以來，計算機網絡環境中，存在著很大程度上的信息泄露問題。這主要是一些用戶信息未能有效的避免信息，出現易于被曝光，容易被破解的情況。特別是在一些簡單的信息加密處理下，很可能就未能真正有效實現信息加密處理，導致整體上，對信息內容的保護措施不充分，產生網絡信息安全管理問題。

3.2 用戶缺乏科學的計算機網絡安全意識

當前很大程度上存在著用戶的安全意識缺乏，產生了容易遭受計算機網絡安全問題的主觀可能。用戶的網絡使用習慣和信息處理習慣，以及用戶所適應的終端設備形式和處理方式，都在一定程度上存在著不安全的因素。用戶主觀上缺乏應對網絡安全問題的準備性措施，也并沒有采取積極主動的防護措施。

3.3 缺乏有效的網絡安全管理平臺

缺乏整體性的，全面性的具有即時性處理能力的綜合性安全管理平臺，是當前產生計算機網絡安全管理問題的主要原因。當前計算機網絡安全技術的具體應用還相對較為獨立，未能形成綜合性具備體系化的相互配合，特別是進行網絡攻擊事件的信息采集和反饋處理上，防護能力和解決安全問題的主要方式都未能有效滿足當前的網絡環境發展的現實需要，產生了一定程度上的安全管理上的嚴重問題，是當前網絡安全受到嚴重的挑戰威脅的深層次原因。

4 加強計算機網絡防護技術應用的具體措施

4.1 加強科學的信息加密技術進行配合

加強計算機網絡防護技術需要采取多維度的信息加密處理技術，形成網絡安全的相互配合，減少信息的惡意篡改和信息竊取的問題。同時，施行有效的信息加密技術進行配合，減少用戶信息的，控制用戶信息的開放性，從而有效避免產生計算機網絡安全的防護問題。

4.2 增強用戶的網絡安全意識

這一方面首先是需要加強用戶對計算機防護措施的準備，及時更新防護軟件，進行全面有效的升級措施，養成良好的安全習慣，進行全面徹底的漏洞修復，減少不安全的操作。其次是讓用戶及時更換性能良好的設備，配置安全級別較高的計算機操作系統，并且限制一定的系統功能，避免留有安全維護上的漏洞。最后是增強用戶的安全知識能力，加強用戶對密碼設置、軟件設置、路由器設置上的安全應用能力。

4.3 建立有效的網絡安全管理平臺

建立較為成熟的全面性的網絡安全管理平臺，通過安全技術的綜合應用，安全軟件的深度開發和廣泛應用，利用所研發的安全殺毒軟件、新型防火墻等，進行安全環境的基礎性營造，在此基礎上，通過豐富的網絡資源保障計算機的網絡安全，集合多方面的技術配合，形成健全的網絡管理平臺，集成安全預警、安全檢查、安全狀況分析、安全狀況投訴和信息回執以及即時性處理能力建設等，來進一步拓寬計算機網絡防護技術的綜合應用范圍，都能夠形成更好的網絡安全維護效果。

5 結束語

綜上所述，在但當前信息技術廣泛應用的社會環境下，網絡安全關乎著社會各界人群的生活各個方面，也是關乎社會發展、經濟穩定、軍事安全、個人隱私安全等問題的重要發展條件。積極施行計算機網絡安全技術的應用，能夠有效促進對計算機網絡安全狀況的維護效果，確保網絡安全和穩定。全社會應當充分重視網絡安全的營造和維護，加強計算機網絡安全技術的具體應用，應當努力通過建成網絡安全管理平臺、科學進行計算機系統管理、拓寬計算機驗證技術的應用等措施，來有效增進計算機網絡安全的運用效果，更好地維護計算機網絡安全，促進社會發展和經濟穩定，給人們營造更加高質量的網絡環境。

參考文獻

[1]武文斌，楊智榕.信息化背景下對計算機網絡安全技術的概述與探索[J].河北大學學報（哲學社會科學版），2013（03）：158-160.

[2]楊永剛.計算機網絡安全技術的影響因素與防范措施[J].中國管理信息化，2010（18）：81-83.

[3]鄭紫燕.計算機網絡安全中虛擬網絡技術的應用研究[J].信息通信，2015（12）：180-181.

篇2

【關鍵詞】網絡安全態勢；預測方法；應用研究

隨著計算機及網絡在全世界的應用與普及，其對于人類的各項生產活動，以及日常工作與生活都有著非常重大的意義。而伴隨著計算機與網絡的蓬勃發展，隨之而來的安全問題也越來越多，并且出現得越來越頻繁，最典型且常見的就是計算機及網絡受到各種病毒的干擾與侵犯，所導致的嚴重后果不一而足，當網絡由此而癱瘓時，所影響的范圍是非常廣大的，這會嚴重阻礙社會生產、工作生活的有序進行，會為國家及人民帶來極大的人力、財力、物力等損失。因而為了維護計算機網絡的正常運行，增強其安全性能，可以通過科學的辦法對網絡安全的態勢進行合理預測與研究，從而實現維護網絡安全、保持社會經濟生活穩定發展的目標與愿景。

一、對網絡的安全態勢進行預測

計算機網絡里的潛在威脅，可以通過對網絡的態勢安全進行預測被發掘出來。經由對網絡安全態勢進行預測，能夠使部分原始文件得到分析處理，隨后可以將那些顯現出有關特點，并且暴露了網絡安全問題特征的相關訊息整理出來。再通過相應計算與已有技術、知識來預測網絡的安全問題的產生原因、過程以及潛在的發展趨勢，進而使后續的網絡安全管理工作能夠具有準確的數據及訊息作為依據。網絡安全態勢的測評與估算是復雜且分層次的，總體分為以下幾種形式：對網絡安全態勢的發現、領會以及預測。具體指的是：選出網絡態勢中相應的元素，在將它們歸類并整合，再對當前的網絡安全態勢進行相應理解，最后全面預測各種網絡的安全態勢，再對其由個體向整體網絡安全態勢的發展作出預測。

這三個步驟的級別是不同的，依次為像素結合、特征結合、決策層面。在網絡安全態勢的評估過程中會產生諸多訊息，其結論要作為后續工作的依托，所以對于冗余以及不實訊息要予以清理，而這一步驟的工作要借助相關的數學以及網絡建模知識，從而令網絡的安全態勢預測更為精準和科學。當前由于數據結合被應用于諸多方面，且出發點和視角不同，所以它的定義至今沒有得到唯一確定。通常情況下，數據在結合時會顯現多種信息處理的特性，具體表現為不同級別與不同層面。

二、預測時所應用的基本原理

追溯網絡安全態勢預測工作原理的出處，即為：“態勢”可以使被研究者處于構成不簡單、范圍寬廣、與不少因素有關的情境時，仍能展現出總體上的發展情況。而在網絡安全態勢系統的設立中，需要對態勢的相關分析是能夠施行并且精確的，這樣才能使管理員得到具體、明確、時效性高的相關訊息，以便其能夠順利的對網絡的總體安全情況做出有效預測。網絡中發生安全問題事件的相應數據是進行網絡的安全態勢預測的依據，具體要對這些數據做出整合與處理，并且對預測過程中的信息要依據其產生的時間順序來進行搜集與歸納。此外，要將支持向量機應用于網絡的安全態勢預測工作中，因其可以輕松適應網絡安全態勢中的不穩定及多變的特性。

三、對網絡的安全態勢進行評估

網絡中的安全系統主要有四個層次，分別是：遠程網、局域網以及主機、相關服務，其構造較為繁復。局部優先、總體隨后，從下往上的順序，是當網絡安全態勢屬于層次型這種評價估算模型時所應用的評估方式。那些網絡安全破壞者針對計算機網絡的一些弊端與弱點來對網絡進行侵入、干擾甚至是破壞，他們得到的原始數據信息，通常來源于網絡系統顯示的多源安全數據，接下來他們會對最初的數據信息做出更準確的鎖定。下面具體介紹：

第一點，若要對每個服務層次的安全狀況進行全面了解，就要以被侵入的層次做出的統計為依據，從而能夠使網絡帶寬的被使用程度，以及網絡被侵入的程度、頻度和數量得到相應的分析；第二點，要對與主機相關的服務狀況及其防范的水準做出比較，進而評價估測出每個主機層次在網絡的安全系統里的安全狀況。具體來說就是，首先要根據主機中每個服務層次所屬的重要性，來測出它們的安全狀態，接下來要測試并算出這部主機的加強防范能力的相關狀況，然后就可以了解這部主機總體上的安全狀況；第三點，要調查分析局域網這個層次中每個局域網絡系統的安全狀況，需要以主機的安全狀況作為根據；第四點，當局域網絡這個層次的安全狀況被了解掌握之時，要將其和網絡的系統結構放在一起考慮，進而測評估算出網絡整體上的安全狀況。

結語：

作為先進科學的一項技術，網絡的安全態勢預測能夠對網絡安全作出及其及時有效的監測與控制。其發掘潛在威脅的能力極強，可以幫助網絡安全系統有效預防外來的惡意入侵與破壞。隨著計算機網絡的快速發展以及廣泛應用，網絡安全態勢的預測能夠為網絡安全的管理與維護做出更大的貢獻，對它的進一步研究與發展是極其必要的，應該引起相關從業者更多的關注與更高的重視。

參考文獻：

[1]黃同慶，莊毅.一種實時網絡安全態勢預測方法[J].小型微型計算機系統，2014（02）.

[2]劉玉嶺，馮登國，連一峰，陳愷，吳迪.基于時空維度分析的網絡安全態勢預測方法[J].計算機研究與發展，2014（08）.

篇3

關鍵詞：網絡安全；計算機網絡技術；現狀；發展

一、當前計算機網絡安全的基本現狀分析

近些年，互聯網以迅猛的發展態勢席卷社會各行業，成為推動社會變革的主要力量。通過對計算機終端和網絡的借助，實現網絡的資源共享，這對于人們的交流和信息傳遞而言都是革命性的提升[1]。然而，隨著網絡的廣泛應用，網絡安全問題也日漸突出，主要表現在網絡病毒猖獗，信息丟失、泄漏嚴重和軟硬件運行可靠性不足等方面，對網絡的深度應用造成極為嚴重的阻礙。

二、當前計算機網絡安全問題的主要表現形式

2.1用戶安全意識匱乏。計算機網絡的服務群體為廣大的網絡用戶，用戶使用網絡過程中的安全防護意識對網絡安全防護的作用極大[2]。當前的許多用戶安全意識匱乏，在用網過程中存在許多違規行為，如瀏覽陌生網絡網頁，隨意下載、接受資料等，這成為許多網絡問題的產生根源。2.2軟件管控手段不規范。經過大量的數據調查表明，當前計算機網絡存在軟件自身運行條件不足的問題，影響到了網絡運行的安全性。具體來說，首先是在軟件的實踐開發過程中，開發者不注重軟件的質量監督，導致軟件自身存在缺陷；其次是信息核查環節的嚴重缺失，導致信息存在比對失誤。上述兩方面內容導致軟件應用過程中各類安全問題不斷出現，影響軟件的正常使用，對網絡安全產生極為不利的影響。2.3硬件應用存在缺陷。硬件是網絡實現的基礎，其硬件的應用缺陷導致網絡陷入癱瘓，造成信息的丟失或失竊。具體來說，主要是硬件維護和操控問題，由于維護不當，操控不合理導致網絡硬件的運行狀況發生異常，影響網絡硬件的功能發揮，導致數據傳輸受阻。

三、應對計算機網絡安全問題的相關舉措

3.1規范上網行為。在網絡系統操作過程中禁止對陌生網頁的瀏覽，接收、下載未知來源的文件等，以此來避免不規范操作行為影響到網絡環境的安全性。同時，用戶還應定期展開病毒掃描行為，及時發現計算機中存有的隱藏病毒，并對其展開行之有效的處理，營造一個良好的網絡運行空間。3.2硬件防火墻。防火墻是介于兩個網絡之間的設備，用來控制兩個網絡之間的通信。通過防火墻的應用可以對網絡訪問等進行審查，有效抵御來自外部網絡的攻擊和病毒傳播，起到極好的防護效果。在此基礎上，應用入侵檢測系統，即IDS，能夠實現對內部網絡的有效監測，及時發現內部的非法訪問，進而采取針對性的處理措施。相對硬件防火墻而言，IDS是基于主動防御技術的更高一級應用。3.3 訪問與控制。授權控制不同用戶對信息資源的訪問權限，即哪些用戶可訪問哪些資源以及可訪問的用戶各自具有的權限。通過這種授權訪問的形式能夠實現網絡信息的限制性管理，提高了信息的防護級別和安全性，是進行網絡信息資源保護的行之有效的手段。

四、我國網絡安全技術發展的趨勢

4.1網絡安全技術產業鏈生態化轉變。當前，網絡安全技術的發展較為零散，難以形成集約化發展，不利于技術的研發和應用，該種局面在未來將得到改善，企業之間的合作將逐步增強，戰略伙伴也將成為計算機產業鏈中無法取代的重要因素。4.2網絡安全技術優化向智能化、自動化方向發展。網絡安全技術是一個長期的過程優化、網絡發展的過程。隨著技術的發展，人工智能和專家系統技術等安全防護技術逐漸成熟，其防護優勢日漸體現。具體來說，通過智能決策支持系統的引入，能增強網絡安全防護的邏輯判斷能力，提高網絡服務的質量和操作的安全性。4.3向大容量網絡發展。據專家預測，每10個月，互聯網骨干鏈路的帶寬將會翻倍。有效地處理計算機數據處理能力與社會發展的市場需求成為了當前網絡安全技術發展的核心內容。鑒于此，網絡應該有一個高速數據包轉發和處理能力，強大的VPN網絡能力和完善的質量保證機制，這成為網絡開始向大容量發展的推動力量。

結束語

總體而言，網絡安全問題是計算機網絡的發展的伴生產物，難以實現根除，且將隨著網絡技術的發展而發生形式和內容上的轉變，具有極強的危害性。因此，必須根據安全問題的表現和特點進行網絡技術的發展和應用提升，從而取得理想的網絡安全防護效果。

參考文獻

[1]賈海松.關于計算機網絡信息安全技術的探討[J].移動信息,2016(6).

篇4

關鍵詞：樸素貝葉斯；網絡安全態勢；態勢評估；評估方法；分類器

中圖分類號： TP393.08

文獻標志碼：A

Network security situation assessment method based on Naive Bayes classifier

WEN Zhicheng*， CAO Chunli， ZHOU Hao

College of Computer and Communication， Hunan University of Technology， Zhuzhou Hunan 412007， China

Abstract： Concerning the problem that the current network security situation assessment has characteristics of limited scope， single information source， high time and space complexity and big deviation in accuracy， a new network security situation assessment method based on Naive Bayes classifier was proposed. It fully considered multiinformation sources and fusion of multilevel heterogeneous information， and had the features of rapidity and high efficiency. It dynamically demonstrated the whole security state of the network， which could precisely reflect the network security situation. Finally， the proposed method was verified using the reality data from network and its validity was proved.

Key words： Naive Bayes； network security situation； situation assessment； assessment method； classifier

0引言

因特網的迅速普及與發展，信息的全球網絡化已成為當今信息社會發展的必然趨勢，計算機網絡起著主要因素與巨大推動作用，并逐步滲透到社會各行各業當中，然而與此同時，網絡的安全也日益受到威脅。面臨著無處不在無時不有的安全威脅，嚴重制約著日常網絡信息的可靠利用，已成為當今一個亟待解決的問題。為了幫助網管人員盡快對所監管網絡的情況有一個清晰全局的認知，需對網絡的安全態勢進行宏觀評估，獲得對網絡安全狀況一個整體認識，及時作出相應的決策，有望解決網絡安全問題。

Bass[1]于1999年首次提出了網絡態勢感知（Cyberspace Situation Awareness， CSA）的概念，并指出“基于信息融合的網絡態勢感知”將成為網絡安全與管理的發展方向。態勢是一種狀態、一種趨勢、一個整體和宏觀全局的概念，主要強調周圍環境、動態性以及實體之間的聯系，任何單一的情況或狀態都不能稱之為態勢。網絡安全態勢感知是網絡態勢感知的一種，從整體動態上把握網絡當前的安全狀況、預測未來發展趨勢。網管人員根據宏觀分析和預測結果，及時作出決策，將網絡損失和風險降到最低。

網絡安全態勢評估主要研究整體上從網絡中的實體賦予獲取、理解和預測網絡安全要素的能力，并依此生成應對網絡安全中的威脅策略，為實現異構、泛化網絡中各種安全實體的協同工作與信息融合，構建無縫的網絡安全體系提供一種新的思路[2]。網絡安全態勢評估結果的合理性與真實性非常關鍵，對于安全策略的制定具有深遠的影響，因為安全策略的制定與實施主要依賴于評估的可信程度。一般從底層決策指標開始，逐層進行可信度評估，直到最高層，從而得到一個整體網絡安全態勢。

本文針對傳統安全態勢評估的范圍局限、信息來源單一、時空復雜度較高且準確性偏差較大等問題，將樸素貝葉斯分類器引入態勢評估之中，在深入研究評估方法的基礎上，提出基于樸素貝葉斯分類器的網絡安全態勢推理方法，并結合網絡三級分層的基礎運行性、脆弱性與威脅性指數的推理進行逐層融合，能快速高效地融合多層異構數據源，給網管人員展現出一個宏觀整體的網絡安全狀況。

1

2網絡安全態勢

網絡安全態勢

從網絡基礎運行性（Runnability）、網絡脆弱性（Vulnerability）和網絡威脅性（Threat）三個方面通過評估函數融合而成，即存在評估函數h，有： SA=h（Runnabilitynet， Vulnerabilitynet， Threatnet），從三個不同角度向網管人員展示當前網絡安全整體狀況。

網絡的基礎運行

由網絡上所有組件的基礎運行性評估函數融合而成，即存在評估函數g1，有： Runnabilitynet=g1（Runnabilitycom，1， Runnabilitycom，2， …， Runnabilitycom，m），其他兩個維度如網絡脆弱性與網絡威脅性情形類似，都由組件相應的評估函數g2和g3融合而成。

組件的基礎運行性

由與運行信息相關的決策變量X通過評估函數融合而成，即存在評估函數f1，有：Runnabilitycom=f1（X1， X2，…，Xn），其他兩個維度如組件脆弱性與組件威脅性形成類似，由相應的評估函數f2和f3融合而成。

計算機網絡結構中存在大量的主機、服務器、路由器、防火墻和入侵檢測系統（Intrusion Detection System， IDS）等各種網絡硬件，稱之為組件。每個維度都有組件和網絡之分，如基礎運行性，有組件基礎運行性和網絡基礎運行性，而網絡基礎運行性則由N個組件基礎運行性評估融合生成，為了區別術語網絡（network）與組件（component），相應的標識符以下標net和com作為區別。

本文主要確定三個評估函數f、g、h，一旦確定了此三個評估函數，當采集到決策變量X值時，容易通過相應的評估函數逐層融合，最后獲得整個網絡安全態勢SA。其中，評估函數f分為f1、f2和f3，評估函數g分為g1、g2和g3。評估函數g和f通過樸素貝葉斯分類器來實現，而評估函數h則由各項指標經驗加權而成。

3樸素貝葉斯分類器構建

3.1樸素貝葉斯分類器

在樸素貝葉斯分類模型中，用一個n維特征向量X來表示訓練樣本數據，設類集合C有m個不同的取值，則時間復雜度為O（m*n）。輸入到樸素貝葉斯分類器是一個n維向量X∈Rn，而X分類器的輸出是一個類別標簽集合Y={c1， c2，…，ck}。當給定一個輸入n維向量x∈X，則分類器給出其所屬的類別標簽y∈Y。這里，x，y分別是集合X和Y上的隨機變量，分類器樣本訓練集為T={（x1，y1），（x2，y2），…，（xn，yn）}，P（X，Y）表示輸入變量X與輸出變量Y的概率聯合分布。

樸素貝葉斯分類器對P（X=x|Y=ck）作了較強的假設，也即條件獨立性假設，各個決策變量獨立同分布。有：

P（X=x|Y=ck）=P（X（1）=x1，X（2）=x2，…，X（n）=xn|Y=ck）=

∏nj=1P（X（j）=xj|Y=ck）

樸素貝葉斯分類器具有簡單和有效的分類模型[11]，假設各決策變量獨立，參數易于獲取且推理結果比較近似等特點，在網絡安全態勢評估上具有先天優勢。

3.2決策變量離散化

決策變量X可取離散和連續型兩種觀測值，而樸素貝葉斯分類器中的節點都使用離散值，為了便于應用，需把連續型離散化。根據實際意義，連續型決策變量X可離散化為“高、中高、中、中低、低”或“2、1、0、-1、-2”五等值。若決策變量本來就是離散型取值，則按實際情況取這五等值。

引理1設連續型X服從高斯分布，即X～N（μ， σ2），則Z=（X-μ）/σ～N（0， 1），μ表示X的數學期望，σ2表示方差。

根據概率論知識，把決策變量X的歷史大樣本觀測值劃分為五個互不相交的區間SSi：（-∞， μ-3σ）∪（μ+3σ，+∞），（μ-3σ， μ-2.5σ）∪（μ+2.5σ， μ+3σ），（μ-25σ， μ-2σ）∪（μ+2σ， μ+2.5σ），（μ-2σ， μ-σ）∪（μ+σ， μ+2σ）和[μ-σ， μ+σ]。

經計算，五個區間SSi（i=1～5）對應的概率PSi （i=1～5）分別為0.26%、 0.98%、 3.32%、 27.18%和6826%，也就是連續型決策變量X取“-2、-1、0、1、2”時對應的概率。

在實際應用中，當監測到決策變量X值時，由引理1高斯分布標準化后，觀察Z值落入五個區間SSi的情況，確定決策變量X離散化為“-2、-1、0、1、2”中的某個相應值。

3.3決策變量的遴選

在實際應用中，有必要遴選出一些具有典型代表性的指標，剔除一些與安全態勢評估不相關的、冗余的指標，形成網絡安全態勢評估所需的決策變量。

計算兩個決策變量xi和xj的相關系數：

ρxixj=Cov（xi，xj）/D（xi）*D（xj）

Cov（xi，xj）為xi和xj的協方差，其中：

Cov（xi，xj）=E{[xi-E（xi）][xj-E（xj）]}=E（xixj）-E（xi）E（xj）

根據第3.2節指標離散化的方法，每個連續型觀測指標可以離散化為五等。在某一個時間段監測若干個數據，以出現的頻率近似它們的概率，代入其相關概率公式中計算。給定一個任意實數0

3.4構建樸素貝葉斯分類器

決策變量X是一個向量，每個分量對應于樸素貝葉斯分類器一個具體的葉子節點xi，取離散或連續型兩種觀測值；本文需要構建兩類樸素貝葉斯分類器，一類是組件級的樸素貝葉斯分類器，如圖1所示，由三個子分類器構成，分別代表三個評估函數f1、f2和f3；另一類是網絡級的樸素貝葉斯分類器，如圖2所示，也由三個子分類器構成，分別代表三個評估函數g1、g2和g3。

在圖1的組件級樸素貝葉斯分類器中，三類相關指標看成決策變量X，而三個類別看成Y，其中X和Y都取五等離散值，也是說決策變量X的分量xi可以指CPU利用率、占用內存大小、網絡流量等，可取五等離散值，而類別Y的分量yi可以指基礎運行性、脆弱性、威脅性，也取五等離散值。

圖2的網絡級樸素貝葉斯分類器中，存在n個組件，任一個組件的一維作為決策變量XX，而網絡的三個類別看成YY，它們共同構成一個樸素貝葉斯分類器。注意，圖2中決策變量的XX就是圖1的類屬Y，也即圖1的評估函數f是圖2評估函數g的基礎。

在組件級樸素貝葉斯分類器f中，當采集到決策變量X的值時，經過離散化預處理，通過訓練好的樸素貝葉斯分類器f，把目前狀態推理分類給適當的類Y，具有一定的概率P（Y），Y取五等離散值，五個概率之和為1；再由網絡級樸素貝葉斯分類器g，把目前狀態分類給適當的類YY，也具有一定的概率P（YY），YY取五等離散值，五個概率之和為1。

3.5參數確定

經上述方法，構建兩類樸素貝葉斯分類器，若要能在實際上應用，必須要獲取相應條件概率P（Y|X）和P（YY|XX），一般通過大樣本的參數學習得到。

以圖1的樸素貝葉斯分類器f為例，當采集到決策變量X連續型值后，經離散化預處理，取相應的五等化值X（j）=xj；對于類別Y的采集一般通過專門軟件如360安全防護軟件等，獲得其推薦值，再通過五等離散化類別ck；通過參數學習確定P（Y|X）。

如圖1所示的樸素貝葉斯分類器f，通過大樣本參數學習，只需要訓練估計P（Y=ck）與P（X（j）=xj|Y=ck）（1≤i≤n，1≤k≤m）的值即可，從而可對決策變量X分類為Y：

P（Y=ck|X=x）=P（X=x|Y=ck）P（Y=ck）∑kP（X=x|Y=ck）P（Y=ck）

這里，經過大樣本觀察，有：

P（Y=ck）=sk/s

P（X（j）=xj|Y=ck）=skj/sk

其中：sk為樣本訓練集中類別為ck的樣本數，s為樣本總數，skj為樣本訓練中類別為ck且屬性取值xj的樣本數。

4安全態勢評估

4.1組件級態勢評估

組件級態勢評估函數f，通過如圖1所示的樸素貝葉斯分類器來實現的。當采集到一組決策變量的值X，經過分類器f得到它們所屬類別Y，各類別具有一定的概率，表示為：

P（Y）=P（Y=ck|X=x）P（X=x）=P（X=x|Y=ck）P（Y=ck）∑kP（X=x|Y=ck）P（Y=ck）； ck=2，1，0，-1，-2（1）

式（1）表示，決策變量X取定值時，經樸素貝葉斯分類器推理，類屬Y=ck具有一定的概率P（Y）。也就是說，圖1的三個樸素貝葉斯分類器f，每一個類別都具有五個ck對應的概率P（Y=ck），它們是圖2所示的樸素貝葉斯分類器的基礎（因為XX=Y）。圖1的分類器f是圖2的分類器g的基礎。

4.2網絡級態勢評估

網絡級態勢評估函數g通過如圖2所示的樸素貝葉斯分類器來實現，以評估函數f為基礎。在圖1中，當采集到決策變量X值經樸素貝葉斯分類器f，網絡上每個組件上基礎運行性、脆弱性和威脅性都具有五個類別及相應的概率，以組件基礎運行性為例，令：

P（XX）=P（Y）=P（Y=ck|X=x）；ck=2，1，0，-1，-2 （2）

式（2）中，X可取“CPU利用率、占用內存大、子網流量變化率、子網數據流總量、子網內不同大小數據包的分布等”，Y為“基礎運行性”。

在圖2的樸素貝葉斯分類器評估函數g中，有：

P（YY）=P（XX=xx）P（YY=ck|XX=xx）=[P（YY=ck）∏jP（XX（j）=xxj|YY=ck）

P（XX（j）=xxj）]/

[∑kP（YY=ck）∏jP（XX（j）=xxj|YY=ck）

P（XX（j）=xxj）]； ck=2，1，0，-1，-2（3）

從式（3）中，可得出網絡基礎運行性、網絡脆弱性與網絡威脅性三維中每維取五等離散化值的概率P（YY=ck），再作為4.3節圖3網絡安全態勢評估函數h的基礎。

4.3網絡安全態勢評估

如圖3所示，網絡安全態勢SA由網絡基礎運行性、網絡脆弱性與網絡威脅性三維通過評估函數h向上融合生成。

圖3網絡安全態勢評估函數h示意圖

圖3中的決策變量Z其實就是圖2中的類屬YY，為了便于敘述，用Z表示決策變量YY。經過圖2的樸素貝葉斯分類器推理，可得每個維度都有五種離散型概率取值，令：

P（Z=ck）=P（YY=ck）； ck=2，1，0，-1，-2 （4）

由于網絡安全態勢SA由三個維度通過評估h融合生成，而每個維度由五等加權生成，以網絡基礎運行性Runnabilityn為例，根據經驗，它的實值可以定義如下：

Runnabilitynet=100*[P（Z=2）+0.5*P（Z=1）-0.5*P（Z=-1）-5*P（Z=-2）] （5）

由于網絡安全態勢值需取0～100的實值，所以式（5）中乘上了100。按此方法計算網絡基礎運行性接近實際，因為評估網絡安全態勢，主要看位于“高”時的概率，也要突出位于“低”和“中低”時的情況，而當位于“中”時的概率可以忽略不計。

本節從網絡的基礎運行性、網絡的脆弱性與網絡的威脅性再向上通過評估函數h最終生成網絡的安全態勢SA。有：

SA=h（Runnabilitynet，Vulnerabilitynet，Threatnet）=η1Runnabilitynet+η2Vulnerabilitynet+η3Threatnet

（6）

可根據經驗確定式（6）中權值參數ηi的值。網絡安全態勢中，基礎運行性表征網絡正常運行，居主導地位，所占比重應該最大，可取值為0.5；而其他兩項也有可能導致網絡安全態勢降低，因此可各占比重0.25，即可?。?/p>

η1=0.5，η2=025，η3=025，

這三個權值η的取定具有經驗性，可參考專家的經驗意見。SA結果取0～100的實值，為當前網絡安全態勢，從底層逐步通過評估函數f、g和h生成。

4.4評估算法

4.4.1樸素貝葉斯分類器參數學習算法

輸入決策變量X大樣本觀察數據；

輸出樸素貝葉斯分類器。

程序前

s決策變量X樣本總數

let sk=0， skj=0，

for every s

if Y=ck then sk=sk+1

if X（j）=xj then skj=skj+1

endfor

compute every P（Y=ck）=sk/s

compute every P（X（j）=xj|Y=ck）=skj/sk

output parameter P（Y） and P（X|Y）

程序后

4.4.2網絡安全態勢評估算法

輸入決策變量X一次觀察數據；

輸出網絡安全態勢SA。

程序前

采集一組決策變量X實時觀測值，并離散化五等

for every Y in {Runnability，Threat，Vulnerable} and ck in {2， 1， 0， -1，-2}

P（Y）P（Y=ck|X=x）*P（X=x）

endfor

let XX=Y

for every XX in {Runnability，Threat，Vulnerable} and ck in {2，1，0，-1，-2}

P（YY）P（XX=xx）*P（YY=ck|XX=xx）

endfor

for RVT in {Runnabilitynet，Vulnerabilitynet，Threatnet}

RVTn100*[P（Z=2）+0.5*P（Z=1）-0.5*P（Z=-1）-5*P（Z=-2）]

endfor

compute SAh（Runnabilitynet，Vulnerabilitynet，Threatnet）=0.5*Runnabilitynet+0.25*Vulnerabilitynet+0.25*Threatnet

output SA

程序后

5仿真實驗

本章采用Matlab 7.0進行仿真實驗，實驗數據主要來源于：一類是通過開發一個安裝在各個網絡組件上的軟件監測得到的實時數據；一類來源于Snort入侵檢測系統中的觀測數據，并將各類惡意網絡流量的數據按照預先規則注入到正常流量中，來獲得實驗中所需要的異常數據。

在一個設定的10s時間內，動態采集2000個大樣本作為離散化的歷史數據， 當所采集的每個決策變量為大樣本數據時（樣本量足夠大），計算其樣本的數學期望μ與方差σ2，按照引理1，為每個連續型決策變量xi劃分為五個離散取值區域SSk，每個區域有相應的概率PSk（k=1，2，3，4，5）。

經過組件2000個大樣本數據參數學習，獲得樸素貝葉斯分類器f的參數P（Y|X）近似值，以決策變量X為CPU利用率及類屬Y為基礎運行性為例，得到表1的參數。對于圖1來說，有多少個決策變量X，就有多少個這樣的參數表1。

在異常情況下，組件不安裝任何防病毒軟件，且對此組件施實木馬和蠕蟲等病毒攻擊，會對各類決策變量產生影響，CPU利用率、內存使用情況及網絡流量等明顯增加。經異常數據不斷流入，網絡中存在一定數量的異常情況組件，通過決策變量采集、五等離散化后，組件經遴選后的三類決策變量值如表2所示，表示某個時刻該組件上所有決策變量取值。網絡上多少個組件，在某個時刻t時就有多少個這樣的參數表2。

決策變量X取值如表2所示，經圖1所示的三個評估函數f1、f2和f3融合后，得到如表3所示的一個組件三個維度的概率。網絡中有多少個組件，則就有多少個參數表3。

當網絡上N個組件各自經評估函數f融合后，再經圖2所示的三個評估函數g1、g2和g3融合，得到如表4網絡級三維的概率。一個網絡上只有一個參數表4。

根據表4的取值，網絡級三維如網絡基礎運行性、網絡脆弱性與網絡威脅性由公式Runnabilityn=100*[P（Z=2）+0.5*P（Z=1）-0.5*P（Z=-1）-0.5*P（Z=-2）] 計算，式（5）計算，可得三維數值為（28.010，46.625，0），再經融合函數h加權，得SA=25.66。

經過多次決策變量X數據觀測，根據上述三級評估函數f、g、h數據融合，繪出如圖4所示的網絡安全態勢圖，反映出本時間段內的安全態勢波動情況，給網絡管理員一個整體宏觀的展現，以便及時調整相應的安全策略。

6結語

本文提出了一個基于樸素貝葉斯分類器的網絡安全態勢評估方法，給出了解決網絡安全與管理的一個嘗試方案，充分考慮了多信息源與多層次異構信息融合，從整體動態上生成網絡當前安全態勢，準確地反映了網絡當前安全狀況，能提高網管員對整個網絡運行狀況的全局認知與理解，當發現安全態勢異常時，輔助指揮員及時準確地作出高層決策，彌補當前網管的不足。

本文的難點在于樸素貝葉斯網的構建以及數據的獲取，今后的研究工作包括完善網絡安全態勢評估方法，進一步提高算法的效率，研究更全面的安全態勢因子及其表示方法。

參考文獻：

[1]

BASS T. Intrusion detection systems and multisensor data fusion [J]. Communications of the ACM， 2000，43（4）： 99-105.

[2]

JAKOBSON G. Mission cyber security situation assessment using impact dependency graphs [C]// Proceedings of the 2011 14th International Conference on Information Fusion. Piscataway： IEEE， 2011：1-8.

[3]

ZHAO J， ZHOU Y， SHUO L. A situation awareness model of system survivability based on variable fuzzy set [J]. Telkomnika： Indonesian Journal of Electrical Engineering， 2012， 10（8）： 2239-2246.

[4]

WANG J， ZHANG F，FU C， et al. Study on index system in network situation awareness [J]. Journal of Computer Applications， 2007， 27（8）： 1907-1909. （王娟，張鳳荔，傅，等.網絡態勢感知中的指標體系研究[J].計算機應用，2007，27（8）：1907-1909.）

[5]

XI R， YUN X， ZHANG Y， et al. An improved quantitative evaluation method for network security [J]. Chinese Journal of Computers， 2015， 38（4）： 749-758. （席榮榮，云曉春，張永錚，等.一種改進的網絡安全態勢量化評估方法[J].計算機學報，2015，38（4）：749-758.）

[6]

LI F， ZHENG B， ZHU J， et al. A method of network security situation prediction based on ACRBF neural network [J].Journal of Chongqing University of Posts and Telecommunications： Natural Science Edition， 2014， 26（5）：576-581. （李方偉，鄭波，朱江，等.一種基于ACRBF神經網絡的網絡安全態勢預測方法[J].重慶郵電大學學報：自然科學版，2014，26（5）：576-581.）

[7]

XIE L，WANG Y. New method of network security situation awareness [J]. Journal of Beijing University of Posts and Telecommunications， 2014，37（5）：31-35. （謝麗霞，王亞超.網絡安全態勢感知新方法[J].北京郵電大學學報，2014，37（5）：31-35.）

[8]

LYU H， PENG W，WANG R， et al. A realtime network threat recognition and assessment method base on association analysis of time and space [J]. Journal of Computer Research and Development， 2014， 51（5）： 1039-1049. （呂慧穎，彭武，王瑞梅，等.基于時空關聯分析的網絡實時威脅識別與評估[J].計算機研究與發展，2014，51（5）：1039-1049.）

[9]

TANG C， TANG S， QIANG B. Assessment and validation of network security situation based on DS and knowledge fusion [J]. Computer Science，2014，41（4）：107-110. （唐成華，湯申生，強保華.DS融合知識的網絡安全態勢評估及驗證[J].計算機科學，2014，41（4）：107-110.）

[10]

XIE L， WANG Y， YU J. Network security situation awareness based on neural network [J]. Journal of Tsinghua University： Science and Technology， 2013，53（12）：1750-1760. （謝麗霞，王亞超，于巾博.基于神經網絡的網絡安全態勢感知[J].清華大學學報：自然科學版，2013，53（12）：1750-1760.）

篇5

1、教學環節是培養大學生網絡詐騙防范意識的重要渠道：教師應針對當前大學生的網絡安全狀況，結合教學內容，對他們進行安全意識的培養，防患于未然。

2、積極拓展課外空間,開展形式多樣的網絡安全教育活動：開設網絡安全知識專題講座是對課堂教學的一個有效補充,也是有效地引導大學生關注網絡安全問題的有效途徑。

3、成立校級的信息安全管理機構：高校應該成立專門的信息安全管理機構,負責校園網的日常安全與管理工作,及時了解本校學生的網絡使用情況。

（來源：文章屋網 ）

篇6

1網絡安全概述及發展現狀分析

隨著社會經濟的不斷發展，網絡信息技術也在不斷更新完善，這就要求網絡安全工作也必須不斷做出改革和創新。信息安全及系統安全是構成網絡安全管理工作的兩大核心內容，其中前者主要指的是對數據在傳輸和處理過程中的安全保護，尤其是對一些保密性較強的數據進行保護，避免數據被非法盜用，出現修改的狀況，并最大限度的維護數據的可用性，使其能夠在突發意外的情況下也可以正常應用于各項工作，不影響網絡數據信息的使用效果，提高數據信息的安全性；而后者則主要指的是從硬件設施和軟件裝備來提高系統的可靠程度，涉及各個網絡運行元件的安全。就我國當前網絡安全管理工作的現狀來看，我國已經頒布了一系列的政策措施并投入了一定的資金，在網絡安全保障工作方面取得了一定的成效，構建了網絡信息管理安全體系，但仍存在一些問題。惡意篡改、非法侵入數據信息庫、病毒感染、網絡黑客等違法行為，對網絡信息系統安全造成了極大的危害，不利于信息可用性和真實性的保護，是當前信息安全保障工作的重中之重。

2增強信息安全保障體系的措施

2.1落實網絡信息安全基礎保障工作

由于網絡環境的虛擬化、信息傳輸超高速化和區域無界化，網絡信息安全保障工作具有一定的特殊性，其本質可以看作是實時性的安全預防、管理和應對。因此，不僅需要對國家現有的網絡平臺進行鞏固，確?；镜男畔⒐芾碓O備和裝置的合理應用和正常運行，還需要研制重點網絡安全問題的應對機制。同時為了更好地開展信息安全保障工作，應加大網絡安全的宣傳力度，通過不同的途徑和渠道讓廣大民眾認識到信息安全保障工作的重要性和必要性，樹立正確的網絡安全意識，從而更好的遵守網絡行為規范。還要打造一支網絡安全意識強、安全管理能力高的專業化團隊，為增強網絡信息安全管理提供堅實的保障。除此之外，職能部門也應制定相應的安全管理計劃方案，通過法律制度和標準，為信息安全管理工作的開展提供更好的政策依據。

2.2政府要加大對信息安全體系的構建力度

根據我國網絡安全的重點問題，政府職能部門必須加強對信息安全的管控?？梢圆扇≡囼炘圏c的方式，對多種安全防治措施和方案進行探索和研究。在研發過程中可以從用戶身份識別、信息來源追蹤及用戶對所接受消息的檢測三個角度進行分析。譬如研發一套規范的數字證書驗證體系，對網絡用戶的身份進行實名制認證，實現對用戶信息和權限的系統化管理。這樣，一旦發現問題，便可以立即采取有效的措施進行解決，從而創建一個安全的網絡服務平臺。

2.3構建健全的網絡信息安全保障體系

在網絡信息安全保障體系的構建過程中，除了做好基礎保障工作，還應該不斷地提高網絡管理者的專業技能，完善網絡體系的硬件和軟件，讓體系內的各個組成部分都擁有自身安全管理的機制。同時應明確網絡環境中信息保護的根本目的，圍繞信息安全的各個方面開展工作，提高和改善網絡信息安全系統的監測能力、恢復能力、防御能力、反擊能力、預警能力及應急能力。只有具備了以上六項能力才能做到運籌帷幄，對網絡安全進行全面監控，對入侵行為進行有效的反擊，對突發問題做出快速反應和及時處理，對數據信息進行合理的備份存儲，使網絡安全管理效率得到最大程度的提升。此外，還應制定一套系統自檢測方案，對系統的安全性進行定時檢測，對其中存在的漏洞問題進行處理，完成網絡設備的自主檢測和檢測結果分析匯報。

3結語

篇7

[關鍵詞]網絡；安全技術；安全威脅；發展趨勢

doi：10.3969/j.issn.1673 - 0194.2015.12.035

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2015）12-00-01

當前的信息網絡越發龐大，涵蓋的用戶和節點也日趨擴大，在這個流通量極大的節點上，只要一個小小的位置出現安全威脅，就會產生非常危險的結果。因而隨著網絡的包容性和開放性的不斷擴大，網絡安全技術的進步也變得越來越重要。網絡本身的連通性和傳遞性使網絡安全防護必須面對比自身多得多的威脅，因而要全面思索應對各種各樣層出不窮的問題。

1 網絡技術安全情況現狀分析

網絡安全技術的發展是隨著網絡技術的進步而進步的，網絡發展對安全防護水平提出更高的要求，從而促進網絡安全技術的發展。近年來，我國的網絡覆蓋發展極為迅猛，而網絡技術也隨之普及到了各個用戶身上。在網絡安全方面，我國的基礎網絡防護措施達標率呈上升趨勢，面臨的風險程度也稍有下降，總體而言并沒有隨著網絡的拓展而陷入更大的安全威脅之中，但也必須承認在安全技術的發展方面，還有很多不足。

我國面臨的網絡安全風險并沒有很大程度地降低，依舊面臨傳統和非傳統的安全威脅，受到的網絡攻擊也呈上升趨勢。網絡安全威脅可謂無處不在，而其種類更是復雜多樣。因此，在網絡安全技術的發展方面，也呈現出全方位和多點開花的狀況，從防護、應對及數據恢復等多方面全方位推進，并創立了網絡安全模型。只有在多重安全措施并行的情況下，才能將網絡安全威脅的生存空間壓制到最小。

網絡安全技術如同網絡的大門和墻壁，是以對訪問進行排查、對系統進行清理和搜檢及對網絡權限的部分限制為主體的多層次全方位綜合體。

2 威脅網絡安全的幾大因素

2.1 系統不穩定和容易被利用漏洞破壞

網絡的安全漏洞一般而言不容易完全避免，在設計之初并不能做到盡善盡美。就現在的情況而言，漏洞的蔓延往往防不勝防，很難及時發現漏洞侵襲，導致真正需要應對時早已損失慘重。一旦重要部分如操作系統遭到漏洞攻擊，其造成的損害也非常巨大。安全技術防護面臨的節點數不勝數，但攻擊者只需要突破其中一點，就可以造成大片的損失，這是由網絡本身的結構所決定的。

2.2 網絡管理制度缺位

就管理制度而言，現階段網絡管理缺少一套整體適用的系統方案，在標準方面往往各自為政，大多數情況下都是根據各自需要選擇相應的安全手段，從而形成一個配合并不密切的整體。這樣如同臨時七拼八湊起來的結構，自然無法面對無處不在無從預防的網絡侵襲。雖然部分企業從全局出發進行安全技術設計，但是軟件和硬件本身的隔離，以及國家在系統軟件方面的力不從心，導致其自身的努力并不能完全實現。要完全改變現狀，就要從整體上重新設計架構，盡量明確管理，確定責任，并完善自身的防御功能，以緩解危機。

2.3 網絡對應安全策略缺乏

現階段已正式建立了計算機網絡安全體系，但其應變不及時，在安全體系遭到破壞之后，恢復和修復工作不甚理想。而事先預防的難度又太大，難以完全做到防患未然。因此，企圖依靠預防來進行完全控制并不現實，而完全依靠恢復和補救的方式又比較被動。應急性的方案并不多，可以操作的臨時安全系統也缺乏實用性?！暗诙婪谰€”的建立，還需要付出更多的努力。

對應的安全策略缺乏，還體現在面對各類不同的網絡侵襲行為時，由于相關的安全防護手段有其特定的安全防護范圍，不得不依靠多種安全技術互相堆疊，而這些技術可能會互相沖突，或者導致其中一部分失效，從而影響安全技術的整體應用和各個部分的有效發揮。

2.4 局域網的開放性漏洞

局域網是建立在資源共享的基礎上的，因此其安全防護并沒有互聯網那樣嚴密，但是由于準入機制過于疏松，導致內部數據很容易被混進來的操作混亂和遺失。如局域網很容易被網絡釣魚者接入，然后竊取和篡改其資料，造成巨大的損失?？傮w來說，要在建設局域網的時候加強其端口的準入設計，對于連接外網的情況，要有足夠的審核方式來進行篩選和控制。

3 網絡安全技術的發展前景

當前網絡技術存在的缺陷是“道高一尺魔高一丈”的狀況的體現，被動的安全技術對主動的破解技術而言是處于劣勢狀態的。但這并不會影響到網絡安全技術的發展前景，正因為面臨著更多安全威脅，才會刺激網絡安全技術的進一步發展，從而實現更高的飛躍。

3.1 安全防護模式進入智能控制階段

網絡安全技術的發展是在收集數據、分析防御方式、尋找問題的過程中逐步發展起來的，現階段由于僅限于歸納已有的問題，而陷入被動的窘境之中。隨著網絡的進一步優化，相信計算機的智能化會帶動安全技術的智能化，從而自動的進行最優選擇。而隨著未來完善的NGN網絡的建立，相信這樣的控制并非虛妄之言。

3.2 網絡容量的擴展和安全技術覆蓋的擴大

近年來，IP技術不斷發展并擴大業務，網絡安全技術也隨之而動，進一步提高自身的覆蓋深度和廣度。隨著云計算技術的普及和完善，對云數據的保護也成為了需要關注的問題，廣闊的安全防護需求決定了網絡安全技術覆蓋面必將進一步擴大。

主要參考文獻

[1]李偉成.新世紀中的網絡安全技術與中國的發展策略考慮[J].網絡科學技術，2009，17（3）：22-25.

篇8

關鍵詞：校園網安全；統計分析；措施與建議

中圖分類號：TP393 文獻標識碼：A文章編號：1009-3044(2011)18-4297-02

Investigation and Analysis on Campus Network Security in Hainan Province

BAI Xiao-bo, OU Jun

(Hainan College of Software Technology, Qionghai 571400, China)

Abstract: With the development of the campus network in China, its safety has been becoming more and more important. Service quality of campus network seriously restricted the improvement of university network information management and normal teaching activities. Based on extensive sampling data, it analyzed all kinds of factors affected campus network security in Hainan province.Considering from security policies, management, technology, and personnel training, it proposed the improving measures and suggestions of protecting the campus network security and accumulated research materials.

Key words: campus network security; statistical analysis; measures and suggestions

1 課題調研基礎

隨著計算機網絡技術的飛速發展和網絡應用的不斷深入，我國的大中小學普遍建立了自己的校園網，校園網在高校信息交流、教學管理、輔助教學和科研等方面均發揮了重要的作用，取得了非常顯著的成效。校園網已成為各學校建設信息化校園和提升學校核心競爭力的重要依托。

但在校園網的實際管理和應用過程中，普遍存在重應用輕安全的現象，校園網用戶安全意識淡薄，安全管理體制不建全，安全防范措施落后。校園網逐漸成為了計算機病毒的溫床和網絡黑客的樂園，病毒泛濫，網絡攻擊事件頻發，信息失竊現象嚴重，安全問題日益突出，校園網服務質量亟待改善。

2 海南省校園網安全現狀

2.1 海南省校園網安全調研基本信息

2008年11月，課題組以海南省具有行業代表性的高等院校為樣本，發放教師調查問卷300份，回收有效問卷126份，回收率42%；發放學生調查問卷600份，回收有效問卷404份，回收率67.3%。

調查問卷的設計參考了公安部公共信息網絡安全監察局的《2006年全國信息網絡安全狀況暨計算機病毒疫情調查問卷》，并進行了具有針對性的討論和修改。調查問卷的內容設計涵蓋了基本信息、網絡安全管理狀況、網絡安全技術狀況和網絡安全意識等四個方面。調查對象覆蓋了海南省高校所屬行業和層次，樣本分布合理，調查過程具有專人負責，調查數據可信。

2.2 調研統計信息分析

從本次調研結果的統計分析來看，海南省校園網安全現狀不容樂觀，主要體現在如下個方面。

1）校園網安全策略有待改進

海南省校園網的設計普遍采取的是防外勝于防內的安全策略，將防護重心放在對外來攻擊的防護上，忽略了對內部的安全防護。

特別是目前我國高校的師生比基本在1:20左右，這就決定了高校校園網主體用戶是18-22歲左右的大學生，其好奇心和動手能力均高于普通網絡用戶，對黑客和網絡攻擊具有較高的興趣，特別是開設信息安全課程的高校，校園網內部攻擊事件頻發。一項內部調查顯示，校園網內超過40%的聯網計算機內潛伏有冰河木馬，多媒體教室、實驗室、實訓基地的聯網計算機由于網絡安全措施較差導致90%潛伏有不止一種木馬。

計算機病毒的情況更加不容樂觀，當前互聯網病毒的泛濫和爆發致使校園網用戶無一能夠幸免，一個學期重裝一次系統已成為管理員的常規工作，而且周期正在不斷縮短。

2）校園網安全管理體制有待健全

從此次調查結果來看，各學校網絡中心均有關于校園網安全管理規章制度，68%的網絡實驗室有網絡安全管理規章制度，25%的多媒體教室有網絡安全管理規章制度，38%的教師和學生聯網計算機有網絡安全管理規章制度。但在網絡安全管理規定和制度的執行上，所有院校普遍存在管理不到位、流于形式的現象，并缺乏合理有效的監管。

3）校園網計算機病毒防護措施有待完善

目前海南省校園網普遍采用的是內部局域網外接Internet和CERNET的結構，但校園網計算機病毒防護措施普遍采取的卻是各自為政的方式，沒有一所院校的校園網采用統一的計算機病毒防護措施。

此次調查結果顯示，35%的用戶使用瑞星殺毒軟件，29%的用戶使用卡巴斯基殺毒軟件，8%的用戶使用金山殺毒軟件，6%的用戶使用江民殺毒軟件，19%的用戶使用其他殺毒軟件，3%的用戶則在裸奔。在使用殺毒軟件的校園網用戶中，43%的用戶沒有或不會進行殺毒軟件正確設置。

4）校園網用戶的網絡安全意識有待提高

從此次調查結果來看，一個有趣的現象是，高校教師的網絡安全意識低于在校大學生。46%的教師對自己的聯網計算機進行了有效安全防護，58%的學生對自己的聯網計算機進行了有效安全防護，18%的教師堅持對試卷和答案進行加密，61%的教師從未對試卷和答案進行加密。內部調查顯示，甚至曾有教師在校園網FTP上明文傳輸試卷和答案。

綜合來看，從此次調查結果的分析可知，海南省校園網安全的主要問題突出表現為校園網安全策略存在重大缺陷、校園網安全管理體制不健全、校園網安全防護技術有待完善以及校園網用戶的網絡安全意識有待提高等方面。因此，基于校園網安全的改進計劃也應從這些方面著手實施。

3 海南省校園網安全改進措施與建議

3.1 基于合理的網絡安全策略重構安全的校園網結構

網絡安全策略是構建安全校園網的指導方針，鑒于校園網的特殊性，必須制定有別于企事業單位的內外兼顧，甚至是防內重于防外的校園網安全策略，作為規劃校園網結構改造的重中之重，建議從以下幾方面進行：

1）為便于管理，應使用網管交換機將規模較大的內部局域網改造成多級子網的結構；

2）在網絡中心設置雙向防火墻和入侵檢測系統以達到內外兼防的目的；

3）在數字圖書館等關鍵二級網絡防火墻以防范主要來自內網的攻擊；

4）統一購買并部署網絡殺毒軟件，全方位、多層次的進行病毒防范；

3.2 建立健全校園網安全管理規章制度

網絡安全事件調查顯示，超高70%的網絡攻擊事件是由于管理漏洞而非技術漏洞。健全的校園網安全管理規章制度是校園網安全運行的有力保障，校園網安全管理規章制度應涵蓋校園網絡的每個角落，并充分考慮到校園網各部分的特殊性制定有針對性的安全管理規章制度。

1）制定完善的學院校園網安全管理規定；

2）制定針對網絡中心、圖書館、實驗室、實訓基地、多媒體教室、辦公電腦和學生電腦的安全管理規定；

3）成立校園網安全應急小組，制定完善的校園網安全應急預案和管理辦法；

4）成立校園網安全監督委員會，制定完善的校園網安全監督管理辦法，定期檢查，對存在的校園網安全隱患和漏洞進行監督整改；

5）加強人員的安全培訓，除了對用戶進行有關網絡安全的法律和規章制度進行宣傳教育外，重點提高用戶的網絡安全防范意識和常用安全技術，盡量減少人為因素造成的風險。

3.3 完善校園網安全技術

校園網普遍具有用戶數量龐大和網絡突發行為較高的特點。為保證校園網的安全運轉，網絡安全技術也是重要環節，主要包括如下幾個方面：

1）校園網安全規劃

由于Internet的TCP/IP體系結構在設計上即存在安全漏洞，因此要正確認識當前的防火墻技術、入侵檢測技術和防病毒技術的重要性和局限性，采用最適合的安全技術進行校園網的安全規劃和改進；

2）校園網設備安全

網絡設備均屬于高精密弱電電子設備，需要建立一個防塵、防靜電、防雷、防火的安全環境，可參考GB2887《電子計算機場地通用規范》、GB9361《計算機場地安全要求》和GB50174《電子計算機機房設計規范》；

3）校園網平臺安全

校園網平臺多為Windows和Linux，其在設計上均存在不同程度的安全漏洞，必須進行正確的安全設置，并及時下載并安裝漏洞補丁程序。可責成網絡中心或其他部門統一進行；

4）校園網數據庫安全

校園網的特殊性也體現在其校園網中數據庫服務器較多這一特性上，學生信息系統數據庫、教學科研數據庫、圖書館數據庫等均有校園網接口，其安全性要求不容置疑。但遺憾的是，現有的網絡數據庫管理系統（DBMS）均有不同程度的安全漏洞，數據庫管理員必須對網絡數據庫管理系統進行正確的安全設置并及時下載安裝漏洞補丁程序；

5）網絡應用程序安全

現有的網絡應用程序種類繁多，但當前的網絡應用程序在開發時即存在重應用輕安全的現象，導致網絡應用程序的安全漏洞頻發，校園網用戶必須進行正確的安全設置并及時升級和下載安裝漏洞補丁程序。

4 結束語

從嚴格意義上來講，網絡安全是一個相對的概念，世界上沒有一個網絡系統是絕對安全的。校園網安全安全體系的建立是一個復雜的系統工程，校園網安全程度又與網絡效率和投入具有密切的關系。隨著技術的展和進步，我們應當全面綜合考慮運用防火墻技術、入侵檢測技術、防病毒技術、加密技術等多項措施，合理配置,加強管理，構建一個涵蓋校園網安全策略、安全管理規章制度、安全技術規范和應用安全培訓的校園網安全體系，提供一個安全高效的教育和科研網絡環境。

參考文獻：

[1] 公安部公共信息網絡安全監察.2006年全國信息網絡安全狀況暨計算機病毒疫情調查表[EB/OL].(2006-08)..cn/images/2006qgxxwlaqtc.doc.

[2] 馬敏飛,余先虎.構建安全的校園網策略探討[J].寧波廣播電視大學學報,2007(3).

篇9

【 關鍵詞 】 “互聯網+”時代；網絡安全；管理策略；安全體系

On Network Security Policy Analysis and Management Strategy in the “Internet +” Era

Cai Wei

（China Nonferrous Mining Group Co.， Ltd Beijing 100029）

【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat， puts forward the construction of network security situational awareness， intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning， active defense， real-time response to the three basic strategies.

【 Keywords 】 “internet +” era； network security； management strategy； security system

1 引言

當今社會已經進入到了“互聯網+”時代，網絡安全與我們的生活息息相關，密不可分。網絡信息安全對于國家、社會、企業、生活的各個領域以及個人都有十分重要的作用和意義。目前，在網絡應用的深入和技術頻繁升級的同時，非法訪問、惡意攻擊等安全威脅也在不斷推陳出新。防火墻、VNP、IDS、防病毒、身份認證、數據加密、安全審計等安全防護和管理系統在互聯網絡中得到了廣泛應用。隨著大規模網絡的部署和應用領域的迅速拓展，網絡安全的重要性越來越受到人們的關注，但同時網絡安全的脆弱性也引起了人們的重視，網絡安全問題隨時隨地都有可能發生。近年來，國外一些組織曾多次對中國企業、政府等網站進行過大規模的網絡攻擊，網絡安全已滲入到社會生活的各個方面，提高網絡安全防護能力，研究網絡安全管理策略是一項十分緊迫而有意義的課題。

2 “互聯網+”時代網絡安全

互聯網本身在軟硬件方面存在著“先天”的漏洞，“互聯網+”時代的到來讓這只大網的規模急劇擴大，盡管在網絡安全防護方面采取了很多有效性措施，然而網絡信息所具有的高無形價值、低復制成本、低傳播成本和強時效性的特點造成了各種各樣的安全隱患，安全成為了互聯網絡的重要屬性。

2.1 內涵

“互聯網+”是指依托互聯網基礎平臺，利用移動互聯網、 云計算、大數據技術等新一代信息技術與各行業的跨界融合，發揮互聯網在生產要素配置中的優化和集成作用，實現產業轉型、業務拓展和產品創新的新模式?；ヂ摼W對其他行業的深入影響和滲透，正改變著人們的生成、生活方式，互聯網+傳統集市造就了淘寶，互聯網+傳統百貨公司造就了京東，互聯網+傳統銀行造就了支付寶，互聯網+傳統交通造就了快的、滴滴。隨著“互聯網+”時代的到來，迫切需要“網絡安全+”的保護，否則，互聯網發展的越快遭遇重大損失的風險越大，失去了安全，“互聯網+”就會成為沙中之塔。在國家戰略的推動下，互聯網產業規模的成長空間還很巨大，網絡安全，刻不容緩。

2.2 主要內容

“互聯網+”不僅僅是互聯網移動了、泛在了、與傳統行業對接了，更加入了無所不在的計算、數據、知識，給網絡安全帶來了巨大的挑戰和風險。網絡安全泛指網絡系統的硬件、軟件及其系統上的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄漏，系統連續可靠正常地運行，網絡服務不被中斷。從內容上看，“互聯網+時代”的網絡安全大致包括四個方面：（1）網絡實體安全主要是以網絡機房的物理條件、物理環境及設施、計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等為主；（2）軟件安全主要是保護網絡系統不被非法侵入，系統軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等；（3）數據安全主要是保護數據不被非法存取，確保其完整性、一致性、機密性等；（4）管理安全主要是網絡運行過程中對突發事件的安全處理等，包括采取安全分析技術、建立安全管理制度、開展安全審計、進行風險分析等。

2.3 基本要求

網絡安全包括五個基本要求：機密性、完整性、可用性、可控性與可審查性。（1）機密性是指保證網絡信息不被非授權用戶得到，即使得到也無法知曉信息內容，通過訪問控制、加密變換等方式阻止非授權用戶獲知信息內容；（2）完整性是指網絡在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等，以及網絡安全處理方法的正確性；（3）可用性是指網絡中的各類資源在授權人需要的時候，可以立即獲得；（4）可控性是指能夠對網絡系統實施安全監控，做到能夠控制授權范圍內的信息流向、傳播及行為方式，控制網絡資源的使用方式；（5）可審查性是指對出現的安全問題能夠提供調查的依據和手段，使系統內發生的與安全有關的行為均有說明性記錄可查。

3 “互聯網+”時代網絡安全分析

3.1 特征分析

近年來，無論是在軍事還是在民用信息領域中都出現了一個趨勢：以網絡為中心，各行各業與互聯網緊密相關，即進入了“互聯網+”時代。各類組織、機構的行為對網絡的依賴程度越來越大，以網絡為中心的趨勢導致了兩個顯著的特征：一是互聯網絡的重要性；二是互聯網絡的脆弱性。

網絡的重要性體現在現代人類社會中的諸多要素對互聯網絡的依賴。就像人們離不開水、電、電話一樣，人們也越來越離不開網絡，而且越是發達的地區，對網絡的依賴程度就越大。尤其是隨著重要基礎設施的高度信息化，直接影響國家利益及安全的許多關鍵基礎設施已實現網絡化，與此同時，這些社會的“命脈”和“核心”控制系統也面臨著更大的威脅，一旦上述基礎設施的網絡系統遭受攻擊而失靈，可能造成一個地區，甚至是一個國家社會功能的部分或者是完全癱瘓。

網絡的脆弱性體現在這些重要的網絡中，每時每刻都會面臨惡意攻擊、病毒傳播、錯誤操作、隨機失效等安全威脅，而且這些威脅所導致的損失，也隨著人們對網絡依賴程度的日益增高而變得越來越難以控制?；ヂ摼W最初基本上是一個不設防的網絡空間，其采用的TCP/IP、SNMP等協議的安全性很脆弱。它強調開放性和共享性，本身并不為用戶提供高度的安全保護?；ヂ摼W絡系統的脆弱性，使其容易受到致命的攻擊。事實上，目前我國與互聯網相連的大部分網絡管理中心都遭受過境內外黑客的攻擊或入侵，其中銀行、金融和證券機構是黑客攻擊的重點。

3.2 現狀分析

《2013年中國網民信息安全狀況研究報告》指出：整體上，我國網絡安全環境不容客觀，手機短信安全、應用軟件安全、計算機終端安全和各類服務器安全狀況不盡人意。

從數量規模上看，中國已是網絡大國，但從防護和管理能力上看，還不是網絡強國，網絡安全形勢十分嚴峻復雜。2015年2月，中國互聯網信息中心《第35次中國互聯網絡發展狀況統計報告》顯示，隨著“互聯網+”時代的到來，2014年中國網民規模6.49億，手機網民數量5.57億，網站總數3350000，國際出口帶寬達4118G，中國大陸31個省、直轄市、自治區中網民數量超過千萬規模的達25個。

從應用范圍上，“互聯網+”時代的到來使得龐大的網絡群體帶領中國進入了“低頭閱讀”時代，“微博客賬號12 億，微信日均發送160 億條，QQ 日均發送60 億條，新浪微博、騰訊微博日均發帖2.3 億條，手機客戶端日均啟動20 億次”的數據體現了中國網民的特征。

從網絡安全發展趨勢上看，網絡規模急劇擴大，增加了網絡安全漏洞的可能性；多個行業領域加入互聯網，增加了網絡安全控制的難度和風險；移動智能互聯設備作為互聯網的末端延伸，增加了網絡攻擊的新目標；互聯網經濟規模的躍升，增加了網絡管理的復雜性。

3.3 威脅分析

互聯網絡安全威脅主要來自于幾個方面：一是計算機網絡系統遭受病毒感染和破壞。計算機網絡病毒呈現出異常活躍的態勢，我國約73%的計算機用戶曾感染病毒，且病毒的破壞性較大；二是電腦黑客活動猖獗。網絡系統具有致命的脆弱性、易受攻擊性和開放性，我國95%與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入；三是網絡基礎設施自身的缺陷。各類硬件設施本身存在漏洞和安全隱患，各類網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節。國內與網絡有關的各類違法行為以每年30%的速度遞增，來自于外部的黑客攻擊、病毒入侵和基于多IP的惡意攻擊持續不斷。

從網絡安全威脅對象上看，主要是應用軟件、新型智能終端、移動互聯設備、路由器和各類網站。2015年瑞星公司的《瑞星2014年中國信息安全報告》顯示，新增病毒的總體數量依然呈上漲趨勢，掛馬網站及釣魚網站屢禁不止。新增手機病毒上漲迅速，路由器安全、NFC支付安全、智能可穿戴設備等是當前網絡安全最為薄弱的環節。

從網絡安全狀態上看，僅2014年，總體網民中有46.3%的網民遭遇過網絡安全問題，在安全事件中，電腦或手機中病毒或木馬、賬號或密碼被盜情況最為嚴重，分別達到26.7%和25.9%，在網上遭遇到消費欺詐比例為12.6%。2015年2月境內感染網絡病毒的終端數為2210000，境內被篡改網站數量近10000個，3月電信網內遭受DDOS攻擊流量近18000TB。2015年5月底短短幾天，就有支付寶、網易、Uber等互聯網龍頭接連出現故障，這是海外黑客針對中國APT攻擊的冰山一角。

從網絡安全防護技術上看，一方面，安全問題層出不窮，技術日趨復雜。另一方面，安全問題的迅速發展和網絡規模的迅速擴大，給安全解決方案帶來極大的挑戰，方案本身的研發周期和用戶部署周期的影響，導致安全解決方案在處理實際問題時普遍存在強滯后性、弱通用性和弱有效性的特點。更為重要的是現有安全解決方案通常只能針對特定的安全問題，用戶需要不斷增加部署新的安全解決方案以應對網絡安全的發展。

4 “互聯網+”時代網絡安全管理體系

安全是“互聯網+”時展的核心問題，網絡安全管理至關重要，在“互聯網+”模式提出之后，如何守衛網絡安全將成其發展的關鍵?！盎ヂ摼W+”時代更需要建立一個完整的網絡安全防護體系，提高各網絡設備、系統之間的協同性和關聯性，使網絡安全防護體系由靜態到動態，由被動到主動，提高網絡安全處置的自適應性和實時反應能力，增強入侵檢測的阻斷能力，從而達到全面系統安全管控的效果。

4.1 基于監測預警建立網絡安全態勢感知體系

在現有基礎上，通過互聯網安全態勢評價指標，分級分層部料數據采集和感知分析系統，構建互聯網安全態勢感知體系。評價指標包括網絡運行基礎型指標，網絡脆弱性指標、網絡威脅指標三類。其中運行基礎指標包括基礎網絡性能、基礎網絡流量和網絡設備負載等；網絡脆弱性指標包括關鍵網絡設備性能指數、重要系統的狀態參數、終端服務器運行狀態等；網絡威脅指標包括攻擊事件、攻擊類型、病毒傳播速度、染毒終端數量等。為了有效地獲取各類統計分析數據，需要在重要的節點和核心區域部署數據采集和感知分析系統，對網絡中的應用終端、大型核心服務器等關鍵數據進行采集，如網絡運行狀態數據、病毒感染數據、骨干網絡流量數據、服務器病毒攻擊數據等，通過對采集數據的分析，形成分類、分級的網絡安全態勢，通過對數據的實時關聯分析動態獲取網絡安全態勢，構建一體聯動的態勢感知體系。

4.2 基于主動防御建立網絡安全入侵檢測體系

在現有入侵防御能力基礎上，重點建設主動防御、網絡蜜罐、流量清洗等系統，構建網絡安全入侵檢測體系。一是建設主動防御系統。利用啟發式檢測和入侵行為分析技術構建主動防御系統，部署于各類各級網絡管理終端和核心服務器上，通過對未知網絡威脅、病毒木馬進行檢測和查殺，主動檢測系統漏洞和安全配置，形成上下聯動、多級一體的安全防護能力。二是建設網絡蜜罐系統。利用虛擬化和仿真等技術拓展和豐富網絡蜜罐系統，實現攻擊誘捕和蜜罐數據管理，在重要節點、網站和業務專網以上節點部署攻擊誘捕系統，有針對性地設置虛假目標，誘騙實施方對其攻擊，并記錄詳細的攻擊行為、方法和訪問目標等數據，通過對誘捕攻擊數據分析，形成聯動防御體系。三是建設流量清洗系統，包括流量監測和過濾分系統。在核心交換區域和網絡管理中心部署流量檢測分系統，及時發現網絡中的攻擊流量和惡意流量。在核心骨干節點部署流量過濾分系統，在網絡攻擊發生時，按照設置的過濾規則，自動過濾惡意攻擊流量，確保正常的數據流量，從數據鏈路層阻止惡意攻擊對網絡的破壞。

4.3 基于實時響應建立網絡安全應急管控體系

在現有應急響應機制基礎上，通過進一步加強廣域網絡、系統設備和各類用戶終端的控制，構建應急管控體系。一是加強多級、多類核心網絡的控制。依托網絡管理系統、流量監測系統以及流量清洗系統對骨干網絡進行實時監控，實時掌控不同方向、不同區域、不同領域的網絡流量分布情況、網絡帶寬占用情況，便于有效應對各類突況。二是加強網絡安全事件的控制。特別是對影響網絡運行的病毒傳播擴散、惡意攻擊導致網絡癱瘓以及對各類網絡的非法攻擊等行為，要能在第一時間進行預警和處置。三是建立健全應急管控機制。對于不同類型的網絡安全威脅，明確相關的職能部門及必要的防范措施，避免出現網絡安全問題時“無人問津”的情況，確保網絡安全處理的時效性。

5 結束語

時代賦予了互聯網新的職能，互聯網在給我們的生活帶來便利的同時也威脅著人們的安全，必須著重研究和建立新的網絡安全管理體制并制定相應的應對策略。網絡安全策略不能停留在被動的封堵漏洞狀態，也遠遠不是防毒軟件和防火墻等安全產品的簡單堆砌就能夠解決的，網絡安全需要形成一套主動防范、積極應對的可信、可控網絡體系，從根本上提高網絡與信息安全的監管、恢復和抗擊、防護、響應等能力，對于個人、企業、社會甚至國家利益和安全都具有十分重要的現實意義。

參考文獻

[1] 吳賀君.我國互聯網安全現狀及發展趨勢[J].長春師范學院學報，2011（12）.

[2] 陳君.互聯網信息安全的“中國設計”[J].今日中國（中文版），2014（06）.

[3] 周潛之.加強網絡安全管理刻不容緩[N].光明日報，2014（01）.

[4] 羅佳妮.完善互聯網信息安全保障機制的思考[J].新聞傳播，2013（09）.

[5] 胡凌.網絡安全、隱私與互聯網的未來[J].中外法學，2012（02）.

[6] 中國互聯網信息中心.2013年中國網民信息安全狀況研究報告[R].2013（09）.

[7] 娜，劉鵬飛.2015中國互聯網展望[J].新媒在線，2015（03）.

[8] 熊勵，王國正.移動互聯網安全，一道繞不過去的坎[J].社會觀察，2014（05）.

[9] 喻國明.移動互聯網時代的網絡安全：趨勢與對策[J].國明視點，2015（02）.

[10] 蔡志偉.融合網絡行為監測與控制技術研究[D].理工大學碩士論文，2011（06）.

[11] 周鵬.大數據時代網絡安全的防護[J].網絡安全技術與應用，2015（04）.

篇10

【關鍵詞】網絡安全；動態防護體系；設計；實現

在信息高速發展的今天，全球化的網絡結構已經打破了傳統的地域限制，世界各地應用網絡越來越廣泛。但是隨著通過對網絡內部數據訪問的不斷增加，其不穩定因素也隨之增加，為了保障網絡環境的動態安全，應采用基于動態監測的策略聯動響應技術，實現在復雜網絡環境下的網絡交換設備的實時主動防御。

1 動態安全防護機理分析

要實現網絡交換設備的動態安全防護，必須能夠在保證設備本身安全的前提下對進入設備的數據流進行即時檢測和行為分析，根據分析結果匹配相應的響應策略，并實時將策略應用于網絡交換設備訪問控制硬件，達到阻斷后續攻擊、保護網絡交換設備正常業務運行的目的。

2 設計與實現

2.1 安全主動防御模型設計

網絡安全主動防御通過采用積極主動的網絡安全防御手段，和傳統的靜態安全防御手段結合，構筑安全的防御體系模型。網絡安全主動防御模型是一個可擴展的模型，由管理、策略和技術三個層次組成：

1）管理層是整個安全模型的核心，通過合理的組織體系、規章制度和措施，把具有信息安全防御功能的軟硬件設施和使用信息的人整合在一起，確保整個系統達到預定程度的信息安全。

2）策略層是整個網絡安全防御的基礎，通過安全策略來融合各種安全技術達到網絡安全最大化。

3）技術層主要包括監測、預警、保護、檢測、響應。

監測是通過一定的手段和方法發現系統或網絡潛在的隱患，防患于未然。預警是對可能發生的網絡攻擊給出預先的警告，主要是通過收集和分析從開放信息資源搜集而獲得的數據來判斷是否有入侵傾向和潛在的威脅。保護是指根據數據流的行為分析結果所提前采取的技術防護手段。檢測是指對系統當前運行狀態或網絡資源進行實時檢測，及時發現威脅系統安全的入侵者。響應是對危及網絡交換設備安全的事件和行為做出反應，根據檢測結果分別采用不同的響應策略。

這幾個部分相輔相成，相互依托，共同構建集主動、被動防御于一體的網絡交換設備安全立體防護模型。

網絡安全預警模塊通過網絡主動掃描與探測技術，實現網絡信息的主動獲取，建立起相對于攻擊者的信息優勢。網絡安全預警模塊根據數據流行為分析的具體結果，針對有安全風險的設備采用通用的網絡交換設備掃描與探測技術進行實時監控，隨時掌握這些設備的當前狀態信息，并根據其狀態的變化實時更新網絡安全防護系統的相關表項，使網絡安全防護系統進行模式匹配時所使用的規則符合當前網絡中的實際情況，有效地提升系統的安全防護能力和效率。

安全管理平臺主要由安全策略表、日志報警管理和用戶操作管理組成。其中，安全策略表是網絡數據流處理的依據，數據流訪問控制模塊和行為安全分析模塊根據安全策略表中定義的規則對匹配的數據流進行相應的控制和處理。日志報警管理通過查詢數據流行為安全分析、網絡安全預警等模塊產生的工作日志，對其內容進行動態監視，根據預設報警級別和報警方式產生相應的報警信息并通知系統維護人員進行相應處理。用戶操作管理實時接收用戶輸入命令，完成命令解釋，實現對安全防護系統的相關查詢和配置管理。

2.2 動態策略聯動響應設計

（1）數據流分類

網絡數據流進入時，首先根據訪問控制規則對數據流進行過濾，過濾通過的報文在向上遞交的同時被鏡像到數據流識別及分類處理模塊，該模塊首先通過源IP、目的IP、源端口、目的端口、協議類型五元組對數據流進行分類，然后根據流識別數據庫的預設規則確定數據流的分類結果。在分類處理過程中，為提高處理效率，首先將五維分類查找問題分解降維為二維問題，利用成熟的二維IP分類算法進行初步分類。由于協議類型僅限于幾個值，所以可以壓縮所有分類規則中協議類型字段，將其由8位壓縮為3位，節省數據庫空間。由于規則實際所用到的端口號為0-65535中極少一部分，協議值和端口值不同情況的組合數目遠遠小于最大理論值。

（2）深度特征匹配

數據流在進行分類識別后，送入并行檢測器進行深度特征匹配，匹配結果送入行為安全分析模塊進行綜合分析和判斷，并根據具體分析結果進行相應的策略響應。檢測器通過預設在數據庫中的攻擊流檢測規則對應用報文中的多個相關字段進行特征檢查和匹配，最終確定該數據流的屬性。

為了保證檢測器處理入侵信息的完整性，每個檢測器只負責某一類（或幾類）具體應用網絡流量的檢測，檢測器之間采用基于應用的負載均衡算法，該算法根據各檢測器的當前負載情況和可用性狀況來動態調節各檢測器負載，具體原則為：同一類型應用報文分配到同一類檢測器，同類型應用報文基于負載最小優先原則進行檢測器分配。

（3）策略聯動響應

檢測到網絡攻擊時，數據流行為安全分析模塊根據攻擊的危險等級采取相應的攻擊響應機制，對普通危險等級的攻擊只報告和記錄攻擊事件，對高危險的攻擊使用主動實時響應機制。主動響應機制能有效提高系統的防御能力，為了避免產生誤聯動，主要是為一些關鍵的敏感業務流提供更高等級的保護。主動響應機制將與安全策略直接聯動，阻止信息流穿越網絡邊界，切斷惡意的網絡連接操作。

3 應用驗證

通過設計一臺基于動態策略聯動響應的網絡安全防護技術的安全網絡交換設備來驗證該技術在實際網絡應用環境中的安全防護能力。安全網絡交換設備的硬件邏輯由數據處理模塊，安全監測模塊和管理控制模塊組成。

該應用驗證環境在設計上的主要特點在于：

1）該系統以可自主控制的高性能網絡交換芯片為硬件核心，并針對網絡攻擊特點對網絡交換設備系統軟件進行修改和完善，從根本上保證了網絡交換設備本身的安全性。

2）安全監測模塊與網絡交換設備系統軟件相對獨立，保證了網絡交換設備在遭受攻擊時安全監測和處理任務不受影響。

3）安全監測模塊可根據實時網絡數據行為分析結果對網絡交換設備硬件進行實時安全防護設置，實現動態策略聯動應對。

4 結論

為了解決網絡交換設備的動態安全問題，采用基于動態監測的策略聯動響應技術，可實現在復雜網絡環境下的網絡交換設備的實時主動防御。通過Snort等常用攻擊軟件對安全網絡交換設備進行測試，結果表明，該安全網絡交換設備能夠有效地抗擊包括泛洪攻擊、IP碎片、拒絕服務攻擊等多種網絡攻擊形式，保證網絡交換設備的正常業務不受影響，同時能夠正確產生安全日志和相應的報警信息。并且基于該技術實現的網絡交換設備已應形成產品，實際使用情況良好。

參考文獻：