基于某企业的网络安全策略精选(九篇)
第1篇:基于某企业的网络安全策略范文
1概述
1.1研究背景
网络可生存性起源于军事领域,是继可靠性、可用性安全性可依赖性之后对网络性能进行评价的又一新指标【1】。生存概念融合了传统的安全理念,又经进一步延伸而包含了新内容,强调网络业务的持续性,即系统在遭受攻击、故障及意外事件时依然能及时完成关键任务的能力【2-5】。网络入侵行为的简单化和智能化使得信息所有方和信息使用方的所有权关系发生了改变,而且这一转变似乎具有不可逆转的趋势,由此产生的信息安全问题成为了当前的关注焦点。
1.2国内外研究不足
在处理不完全信息要素时,通过将某些参与人“类型”的不确定性作为信息不完全性的一种表征,这种方法将继续得以采用,即博弈中参与人面临的信息不完全性(无论它是指何种信息)将完全由某些参与人的“类型”的不确定性加以刻画【6-8】。同时,作为动态博弈,“序贯理性”的思想将一直得到贯彻。在不完全信息动态博弈中将信息不完全程度削减到零,则不完全信息动态博弈就自然应退化成一种完全信息动态博弈,其相应的精炼均衡概念就由精炼贝叶斯回到子博弈精炼均衡【9】。传统的信息安全技术中,运用战略式表述动态博弈,其缺陷表现在:看不出行动的先后顺序;对于描述2人以上的博弈较不方便。在本次研究中将会针对不足做出算法改进,确保信息安全。
1.3研究意义
本文研究中,提出一种基于多阶段动态博弈的信息安全技术,对提升信息安全性发挥积极影响。在现阶段,很少有研究注重实证分析。本次研究中,优化信息安全技术模型,建立主动的防御安全体系,通过态势感知、风险评估、安全检测等手段来实施主动防御成为了本次信息安全技术的研究战略目标;并通过设计实现,分析该信息安全技术应用效益,使得本研究具有实用价值。
2多阶段动态博弈技术
2.1需求分析
对于当前信息安全技术中,其对于信息的安全需求,以及实际安全是有相对性的。只有在某种信息安全的水平条件下,以及在某种特定情况下,信息安全技术才可被认为是最安全的,超出这个情况,不一定是安全的【10】。对于信息安全技术中,进行多阶段动态博弈,可以针对每一个阶段情况进行分析,确保提升信息安全技术水平【11】。信息网络节点越多信息网络越脆弱【12】。随着当前我国信息化水平技术的提高,以及国家互联网技术的发展,信息网络结点越多,对于信息安全技术的需求也会越大。
2.2多阶段动态博弈的原理
对于多阶段动态博弈之中,其参与人进行的安全行动,也有先后的顺序,对于后行动参与人,可以观测先行动人的行动,特别是能根据先行动的参与人的行动调整或做出自己的战略选择。多阶段动态博弈树的基本材料如图1所示:
对于网络信息安全技术中,基于多阶段动态博弈,当信息安全技术提升,那么该技术下层面客户以及合作伙伴就会越安全。
2.2避免信息混淆
某参与一个战略的表述是,将其在每一个信息集选择的行动依次排列;为了避免表述的混乱,不同信息集,同样行动应应采用不一样的标识【13-15】。例如,在上例中,“坦白,抵赖”,和“抵赖,坦白”容易产生混淆,因此,最好将决策点c的行动表述为“也坦白”和“也抵赖”。这时,参与人2的四个战略就分别为:“坦白,也坦白”,“坦白,也抵赖”,“抵赖,也坦白”,“抵赖,也抵赖”。
2.3逆向归纳法重复剔出劣战略
运用逆行归纳法,可以多阶段的在扩展式博弈上重复剔出劣战略:从最后一个决策结开始,依次剔除掉每个子博弈的劣战略,最后保留下来的战略构成精炼纳什均衡【16】。两个参与人都是理性的,如果参与人1不认为参与人2是理性的,参与人1在第一阶段可能会选择D,期望在第二阶段参与人2可能选择R,从而自己(参与人1)在第三阶段有选择U的机会。或者,即使参与人2知道参与人1是理性的,但如果参与人1不认为参与人2知道参与人1是理性的,参与人1在第一阶段选择D,期待参与人2认为自己(参与人1)不理性,因而在第二阶段选择选择R,期待自己(参与人1)在第三阶段选择D'。
例如,图2。
可以应用纳什均衡支付向量,以此来代替子博弈,一旦参与1的第二个信息集开始的子博弈被它的纳什均衡结果取代,就可提升信息安全。
3基于多阶段动态博弈的信息安全技术
对于某网络企业发展中,设网关遭受病毒侵害时,其损坏概率为p,且p>O;网关成本是c,且c>0[8]。如下图3中描述的就是该网络信息安全技术的模型。
在网络中,有A1企业和A2企业,且每个企业目标都为实现利润的最大化,在其设计实现信息安全技术决策中。实验网络的攻防博弈粗糙图可以用弧目录形式来表示。通过对攻防博弈下近似粗糙图的分析可以得到 Eve 的攻击路径有 3 条。第 1 条攻击路径序列为( a1或 a2,a5,a4) ,即 Eve 通过管理员用户或者正常用户登录后,假冒 USER2 使用 ApacheChunk 进行攻击进而控制 Apache,再通过 Ftp. rhost漏洞的专用工具取得 File 的访问权限; 第 2 条攻击路径序列为( a1,a5,a4) ,即 Eve 通过正常用户登录后,假冒 USER1 使用 Apache Chunk 进行攻击控制 Apache,再通过 Ftp. rhost 漏洞的专用工具取得File 的访问权限; 第 3 条攻击路径序列为( a1,a3,a4)即 Eve 通过正常用户登录后,假冒 USER1 使用溢出攻击来对 DB 服务器的攻击。
1)当2个A1企业和A2企业在同时投资,都不会感染到信息病毒,也不需要负担信息安全中的网关损失,企业受益是Yi-ci(见图4中所述)。
比较能够得出,在A2不投资时,A1可能会传染A2,并且有A2、A1共同去负担网关安全技术损失,这样就会使得 A1企业投资过程中的约束条件变紧,降低其投资信息安全技术方面的动机。
4应用效益分析
在信息安全技术中,运用多阶段动态博弈,应用信息安全标准,基于访问控制以及入侵检测方面,计算其效益,公式为:
( B为收益,C为成本,K则为折现率,t是时间周期,n表示思考所用时间周期的数量),根据这个净现值模型,评估多阶段动态博弈中信息安全技术的应用效益。同时,优化设计多阶段动态博弈策略选择算法,有助于积极积极记录、分析、量化攻击方式、目标、数量及类型,优化配置信息网络,将有效提高信息安全技术应用性能,提升达8.0%。基于多阶段动态博弈的信息安全算法,最终可使网络上各个用户的利益最大化,发挥应用效能。
4 结论
综上所述,在实际信息安全技术中,可以基于多阶段动态博弈,设计多阶段动态博弈策略选择算法,有助于提升信息安全技术应用性能,发挥积极应用价值。
第2篇:基于某企业的网络安全策略范文
关键词:电信企业;计算机网络;安全;策略
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)35-7939-02
当前计算机网络安全形势非常严峻,计算机病毒种类复杂(如表1所示已知不同计算机病毒及所占的百分比),而且每秒钟会出现4种新型病毒。因此电信企业的计算机网络系统要想稳定的运作和健康的发展,必须增加计算机网络安全技术与资金的投入,加强网络安全构建策略的研究和探讨。
1 电信计算机网络安全现状
1.1 存在于网络层面的问题
计算机网络的交互性与开放性特点,增大了网络终端设备正常运行的风险系数,例如计算机病毒横行轻则影响计算机的正常工作,重则可能会导致整个计算机网络的瘫痪造成不可估量的经济损失。另外,电信网络规模庞大涉及较多的模块和内容,运行过程中将不可避免的与外界进行通信,进而可能感染网络病毒。这些网络病毒首先会浪费网络资源,消耗网络带宽,导致电信企业的某些服务器拒绝访问,无法为用户和管理人员提供正常的服务;其次,电信企业中安装的防火墙系统,将重点放在了外网病毒的排除上,无法避免企业内部不安全访问行为的出现;最后,电信企业的路由器中虽然配置了ACL,但是实现比较复杂的控制策略比较困难,配置过程中可能会产生未知的漏洞。另外,随着电信企业计算机数量的增加,IP的分配不合理,也会为计算机网络系统的正常运行埋下隐患。
1.2 人为因素存在的安全问题
电信工作人员网络安全意识较弱,忽略主机口令的更新给黑客的破解创造了条件,当黑客通过非常手段获得主机的账户、密码等信息时,就获得了对主机的管理权限,因此可以肆意的进行破坏活动,由此造成的损失可想而知。
1.3 对电信计算机网络安全认识存在误区
大多数工作人员认为计算机只要不感染病毒就是安全的,因此只要定期使用杀毒软件进行杀毒就行了,其实这种想法是非常危险的,因为引起网络不安全的因素有很多,感染病毒、木马只是其中一方面。除此之外,计算机网络会受到黑客等人为的攻击,以及内部员工管理不慎引发各类网络安全问题等。还有部分工作人员存在CA认证系统。能够完全保证网络的安全的错误认识,忽略了网络安全方面的考虑。
2 电信计算机网络安全构件策略
2.1 提高网络安全技术水平
1)运用防火墙机制以及Anti-DDOS系统:防火墙通常由一个或一组网络设备组成,例如路由器等,其作用是根据制定的防火墙访问规则,禁止在规则范围内或范围外的通问,由此避免自身设备受到来自网络的攻击。因此,为了保证电信企业网络的安全应在每台终端设备,或交换机等设备中安装防火墙,并制定和不断更新防火墙访问规则。同时安装基于负反馈原理的Anti-DDoS系统,能够有效避免来自网络的攻击。
2)采用访问控制策略:运用访问控制策略是保护计算机网络安全重要的途径。通常运用访问控制能够禁止来自某个IP段的访问,以此避免电信资源被大量非法的占用。现在能够实现访问控制的方法有很多,例如网络权限的访问控制、入网权限的访问控制等,当无权限的用户访问时就会对其屏蔽,出现错误信息提示,或直接拒绝为其提供服务等。另外,如果对电信系统中的某台服务器进行保护,则可以利用访问控制软件,对访问请求进行辨别,不是合法用户则拒绝进入。
3)采用入侵检测和漏洞检测机制:电信企业网络运行期间应定期进行入侵和漏洞检测,从而及时的发现异常访问,并采取有效措施加以制止,例如当通过扫描发现漏洞时应及时打补丁,以防止不法分子通过漏洞进入电信系统内部进行破坏。目前可以利用分布式漏洞扫描器,对网络进行漏洞扫描,其工作原理是通过模拟攻击寻找出网络系统中存在的漏洞。这就要求电信工作人员应定期进行漏洞扫描,进而发现系统中可能存在的漏洞,并通过优化系统等补救措施保持系统的安全性。另外,还需要定期使用分布式网络入侵检测系统,检测系统是否有被入侵的迹象,进而能够及时的跟踪和截获不法行为。同时通过分析入侵检测相关数据还能对网络安全有个详细的了解,进而加强薄弱环节的控制与管理,切实保证电信企业网络安全。
2.2 加强电信网络的安全管理
保证电信企业计算机网络安全,除了采取有效措施预防或禁止来自外界网络的入侵,还应加强电信网络安全内部的管理,其中由于电信工作人员计算机网络知识水平的限制或不规范操作等因素造成的安全问题,应引起电信企业的高度重视,为此应通过以下方面进行管理。
1)建立有效的电信网络安全制度:加强电信工作人员的管理,应首先制定有效的网络安全管理制度,明确不同小组成员的具体任务,规范工作人员工作行为,保证整个电信网络处在适时的监控之中,尤其对网络安全主要负责人的职责应划分清晰,从而使遇到的新网络安全问题能够及时的反馈;其次,定期召开网络安全问题分析会议,总结常见以及新出现的网络安全问题,积极分享网络安全问题的排除技巧和方法,探讨解决新问题的最佳措施;最后,定期进行网络入侵与漏洞扫描,及时发现入侵迹象,并采取有效措施加以制止。定期更改系统的口令,并通过宣传教育让员工充分的认识到口令的重要性,进而自觉的做好保密工作。另外,为了应对网络安全突发的重大问题,工作人员还应对电信网络系统中重要的数据及时进行备份。
2)提高工作人员网络安全意识:提高工作人员的网络安全意识可以从直接和间接两个方面入手。搜集由于工作人员工作疏忽等原因,给企业造成较大经济损失的案例,在会议上进行讲述和分析,使工作人员耳濡目染,充分认识到网络安全在保证电信企业发挥经济效益的重要性;加强工作人员有关网络安全知识技能的培训,使其养成良好的工作习惯,例如定期运用杀毒软件杀毒等,进而减少员工违规操作带来的网络安全问题。同时,还应做好突发问题的演练,从而提高工作人员处理突发网络安全问题的能力,提高网络安全故障排除的效率,减少有网络安全问题带来的损失。
3 总结
电信企业计算机网络的正常运行是保证人们正常通信的基础,因此加强网络安全问题的研究和探讨,通过利用入侵检测和漏洞扫描等方法,及时发现网络安全问题,进而采用有效措施加以制止,确保电信企业计算机网络的安全、稳定运行。
参考文献:
第3篇:基于某企业的网络安全策略范文
【 关键词 】 WiFi;安全问题;安全策略
【 中图分类号 】 TP393 【 文献标识码 】 A
1 引言
互联网改变了我们的生活,而WiFi则改变了我们访问互联网的方式。一方面,随着WiFi技术和应用的发展与创新,以及无线智能终端设备的普及,WiFi技术和应用已经融入到我们日常生活的方方面面,深刻地影响和改变着我们的工作、学习和生活方式;另一方面,与WiFi相关的安全隐患、安全问题也层出不穷,不断出现用户重要隐私泄露、账号被盗等严重安全问题。
2 WiFi面临的安全问题
WiFi(Wireless Fidelity)是当前应用最为广泛的WLAN(无线局域网)技术。与传统有线计算机网络相比,所有常规有线计算机网络中存在的安全威胁和安全隐患都依然存在于WiFi中,而且,由于WiFi在移动设备和传输媒介方面的特殊性,使得一些攻击更容易实施,因此,WiFi所面临的安全问题更多,安全威胁也更加严重。
2.1 WiFi网络资源非法占用问题
一般来说,除了面向公众、为大众用户提供有偿或无偿服务的公共区域WiFi之外,WiFi是为了满足企业或家庭内部需求而建立的,不希望WiFi资源被企业或家庭用户之外的其他用户非法使用。如果非法用户在未经授权的情况下使用WiFi网络,非法占用WiFi信道资源,不仅会影响WiFi的正常使用,还可能会成为黑客进行犯罪行为的跳板,从而引出更多安全问题。
2.2 WiFi安全标准及PSK问题
由于WEP(有限等效保密)标准存在固有缺陷,WPA(WiFi保护接入)/WPA2成为主流标准(主要用于小型企业和家庭WiFi网络)。但WPA标准已经暴露出一些缺点,比如可以依靠WPA加密方式需要的四次握手中,包含与密码有关的信息来进行字典攻击,使得WPA的破解成为可能。
用户在采用WPA-PSK/WPA2-PSK标准时,如果设置的PSK(预共享密钥)过于简单,那么黑客可暴力破解PSK,从而非法获得WiFi网络资源的使用权。另外,由于一个WiFi网络内的全部用户都共享一个相同的PSK,那么,如果某个用户因某种原因泄露了PSK,会给整个WiFi网络带来安全隐患。
2.3 WiFi信息窃听和篡改问题
通过WiFi传输的信息在开放的空间中通过电磁波全方位传输,黑客不需要进入到受限的区域就可以在不引起用户觉察的情况下对WiFi传输的信息进行窃听,并可以进一步进行信息篡改等攻击。如果通过WiFi传输的信息未经加密,或者用户使用的认证协议或加密协议存在漏洞,那么黑客就能很容易地从窃听的信息中得到用户和系统的信息,包括PSK等重要安全信息。
2.4 WiFi主动攻击问题
WiFi主动攻击指黑客恶意攻击WiFi网络,或通过网络对WiFi合法用户进行攻击,破坏WiFi用户终端或局部网络,典型的主动攻击包括重传攻击、假冒攻击、钓鱼攻击、DoS攻击等。
重传攻击是指WiFi传输的信息被黑客窃听获得,黑客再利用适当的时机,将信息重传给接受者。黑客可能伪装成合法的WiFi用户,欺骗WiFi认证机制而非法接入WiFi网络。
WiFi假冒攻击是指黑客通过接管用户与服务器之间的会话来对用户通信进行欺骗。黑客一般通过控制AP设备或者通过ARP欺骗、IP欺骗等方式接管会话,使用户误以为自己正与合法的服务器进行通信,黑客从中获取重要信息。
钓鱼攻击是指黑客通过架设恶意WiFi网络,对不小心接入该WiFi网络的用户进行攻击,如通过提供WiFi接入服务的AP,或者伪装成某个提供接入服务的AP,使用户在使用WiFi时进入黑客设置的陷阱。黑客通过WiFi钓鱼的方式可以盗取用户关键安全信息。
DoS(拒绝服务)和DDoS(分布式拒绝服务)攻击问题是指黑客通过控制预先植入到用户计算机设备上的间谍软件,利用WiFi网络向其它网络及系统发起DoS攻击或DDoS攻击,从而使其它用户的Internet连接或运营商的网络服务系统失效,最终使合法用户无法得到服务。WiFi网络容易受到DoS的攻击和干扰,而且DoS攻击、DDoS攻击的破坏性极大。
2.5 WiFi网络中主机系统等软件安全漏洞问题
WiFi网络利用无线电等传输技术把多台主机连接在一起构成网络,如果主机系统软件存在安全漏洞,且未能及时修补,就会给黑客带来可乘之机。以病毒形式对WiFi网络中主机系统的攻击也会导致主机的安全问题,从而导致WiFi安全问题。
黑客还可以利用身份认证服务、Web服务、邮件服务等网络服务的漏洞绕开WiFi网络访问控制,从而达到无需经过授权即可访问WiFi网络资源的目的。黑客进入WiFi网络,可能会进一步入侵其他系统,会导致整个网络都处于危险状态。
2.6 WiFi AP等设备的安全问题
WiFi智能终端可以在非常大的范围内移动,导致AP没有足够的物理防范,黑客可能在任何位置对AP设备实施攻击,窃听、破坏或劫持WiFi传输的信息。WiFi AP所使用的技术不完善,安全漏洞不能及时修补,也会给黑客带来可乘之机,导致WiFi的安全问题。2013年,国家信息安全漏洞共享平台CNVD收录了TP-LINK路由器存在的一个后门漏洞(收录编号:CNVD-2013-20783)。曝光的产品主要用于企业或家庭WiFi的组建,利用漏洞,黑客可以完全控制WiFi路由器,对WiFi用户构成严重的威胁。
病毒也会导致WiFi网络设备出现安全问题。当WiFi网络与互联网连接之后,病毒的攻击也会随之加剧,除了目前常规有线网络上流行的病毒之外,还出现了专门针对WiFi网络设备的病毒(如“变色龙”病毒等)。
2.7 WiFi网络边界的不确定性问题
WiFi信息在开放的空间通过电磁波传输,没有明确的网络边界,黑客可能从四面八方对每个接入点进行直接或间接的攻击。这种开放性给WiFi网络带来了一系列的信息安全问题。例如,对于企业来说,企业外部人员可能通过WiFi接入绕过防火墙,进入企业内部网络;企业内部员工可能通过WiFi以端对端模式与外部直接连接,暴露企业内部网络。
2.8 自然环境万化导致的安全问题
由于WiFi信息是在空气中传输的,传输介质、传输路径会随时间而改变,同时电磁辐射、强磁场、强电场、高温、湿度、风灾、火灾、反射等都有可能损坏WiFi传输的信息。
3 WiFi安全策略
WiFi安全策略就是从不同角度、不同层次来实现WiFi信息保密、用户身份验证和访问控制等功能。按照WiFi安全策略部署实施WiFi网络,虽然不能做到绝对安全,但能排除或预防绝大多数的安全风险。
由于WiFi移动设备在存储能力、计算能力和电源供电时间等方面存在局限性,使得原来在常规有线网络环境下的许多安全方案和安全技术不能直接应用于WiFi环境,WiFi需要新的安全策略。由于实施WiFi安全策略存在成本,而且不同用户对WiFi的安全需求不同,下面将WiFi安全策略分为针对小型企业与家庭用户的WiFi安全策略和针对大中型企业的WiFi安全策略两类。对于小型企业和家庭用户来说,使用WiFi的范围相对较小、WiFi终端数量一般较少而且相对固定不变,成本低、配置方便的简单安全策略就可以满足其安全需求。对于大中型企业(包括金融机构等)来说,网络安全是生命线,一旦出现信息泄露,损失非常大,因此需要采用相对复杂的安全策略实现WiFi网络更高的安全性。
3.1 小型企业与家庭用户WiFi安全策略
WiFi的便捷性极大地方便了人们的生活,然而大多数小型企业与家庭用户对WiFi的安全防范意识差,忽略了WiFi的安全性,养成了许多不安全的WiFi使用习惯(如WiFi设备长期处于开启状态、随意将终端设备接入陌生WiFi等)。这些习惯行为有可能带来麻烦和损失,因此提高WiFi安全性,首先就要提高安全防范意识(如在热点区域使用WiFi时,如果不能确定WiFi安全,那么就不要提交或透露敏感信息,并尽量缩短在线时间),改变不安全的习惯行为。
停止WiFi SSID广播。关闭WiFi SSID广播功能,隐藏WiFi名称,需要访问WiFi网络时通过手动添加SSID。
关闭DHCP。当WiFi网络中的站点数量较少,而且相对固定不变时,关闭DHCP服务,手动配置WiFi网络。
MAC地址过滤。利用AP内置的MAC地址过滤功能,允许或者禁止具有指定MAC地址的终端访问WiFi。同停止WiFi SSID广播、关闭DHCP的作用一样,虽然MAC地址过滤并不能防止地址欺骗,但能够增加潜在黑客的入侵成本。同时,通过定期检查AP日志,有助于发现WiFi入侵风险。
选择合适的安全标准,启用WPA2,设置安全的PSK。使用WPA-PSK/WPA2-PSK,并在WiFi网络设备和智能终端支持的情况下,尽量采用WPA2-PSK。在进行PSK设置的时候,应包含大小写字母、数字和特殊符号且长度满足要求,并定期或不定期地改变已经使用了一段时间的PSK。
修改WiFi AP出厂默认配置。厂家批量生产的AP,其默认配置信息都相同或具有一定的规律性。其中SSID和PSK信息是访问WiFi的关键,更需要及时进行修改。
减少WiFi信号暴露。采用专用发射天线定向覆盖需要WiFi网络的范围,或调整AP发射功率,把WiFi电磁信号尽可能收敛在可信任区域,减少WiFi信号的暴露。
3.2 大中型企业WiFi安全策略
对大中型企业来说,提高WiFi安全性,除下述安全策略,企业还需要制定相应的无线网络安全使用规定等制度,加强安全保密教育,培训员工安全使用WiFi;对不同级别的用户设置不同的访问权限以降低风险;跟踪研究最新的WiFi安全技术,时机一旦成熟即可采用最新的安全策略等。
3.2.1 采用更安全的认证技术
端口认证可以提高WiFi认证的安全性。端口认证是一种WLAN安全防范措施,对接入端口进行身份认证,当客户端需要访问WiFi网络时需进行802.1x认证。认证服务器可以采用RADIUS(Remote Authentication Dial In User Service,远程认证拨号用户服务)认证服务器。RADIUS是一种在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息的协议,用户连接WiFi的用户名和密码等安全信息资料保存于RADIUS认证服务器中,更为安全。
3.2.2 使用正确配置的防火墙
根据WiFi网络和系统等实际情况,配置防火墙。安全策略可以放在端口上面(第一代防火墙),也可以放在移动用户身上(第二代防火墙),或者放在用户和手持终端上(第三代防火墙)。
3.2.3 对WiFi网络和系统进行入侵检测和监控
入侵检测和监控是设计安全网络的关键因素之一。入侵检测技术作为实现网络安全防护的重要手段,在传统有线网络环境中已有较为成熟的应用,但由于无线网络的特殊性,将其运用到WiFi网络仍然面临着许多技术难点(如何从繁杂的无线射频信号中检测出WiFi非法行为等)。使用WiFi网络安全监控,可以掌握WiFi网络的使用和接入情况,一旦发现非法接入或者遭受攻击,可以采取相应措施来保护WiFi安全。
入侵检测策略包括确定WiFi网络界限,检测该界限是否被攻破;监控WiFi网络中未被授权的流量,流量异常是一个警报信号。进一步提高安全性可以配置设备检查非法进入的WiFi频段电磁波,防止扰和攻击;在接口处部署入侵检测系统,把非法和恶意AP找出来并进行定位和处理。
3.2.4 进行安全扫描
安全扫描也称为脆弱性评估,是检测远程或本地系统安全脆弱性的一种有效的主动防御技术,能发现隐患于未然。通过安全扫描,可以发现网络和主机存在的对外开放的端口、系统错误配置、已知安全漏洞等。如果结合入侵检测系统和防火墙等安全技术,能为WiFi网络提供更高的安全性。
3.2.5 应用VPN(虚拟专用网)技术
VPN技术是指在一个公共网络平台上通过隧道以及加密技术保证数据的安全性,目前已经广泛应用于企业网络的远程接入和数据在公网平台上的传输。对安全性要求高的大中型企业等组建的WiFi网络,可以在使用802.1x认证机制的基础上,采用VPN技术进一步提高安全性能,实现站点与WiFi网络之间端到端的安全接入。使用具有VPN功能的防火墙,在无线基站和AP之间建立VPN隧道,整个WiFi网络的安全性得到大幅提高,能够有效地保护数据的完整性、可信性和可确认性。VPN技术还可以提供基于RADIUS的用户认证。
3.2.6 采用无线信号扩频技术
无线信号扩频技术是用来进行数据保密传输的一种通信技术。这种技术使无线信号的通信频率不断变换,扩展频谱发送器将无线信号按顺序发送到各个频率通道上,并在每一通道上停留固定的时间,周期性转换前将覆盖所有频率通道。如果不知道在每一频率通道上停留的时间长短和跳频图案等规则信息,就无法接收和译码无线通信数据。
4 结束语
WiFi网络安全问题主要分为两类:一类是WiFi网络的访问控制策略以及网络传输数据的保密性和完整性问题;另一类是基于WiFi的Intranet网络拓扑设计、网络设备的安装与参数配置方面的安全问题。
从构成信息系统的服务器、网络、终端三个层面分析,现有的保护手段是逐层递减,忽略了对数量庞大的终端保护。要提高WiFi网络的安全性,在设计WiFi网络时就要考虑网络的整体安全,对网络用途、安全性要求等进行规划论证,根据实际情况全面分析潜在的安全威胁和隐患,把网络安全性纳入网络的规划设计,从而实现WiFi的安全性要求。
参考文献
[1] 韩韦.WiFi及其安全性研究[J].无线互联科技,2013.01:6-7.
[2] 朱俊.无线网络安全问题及其防范措施[J].计算机与网络,2013. 21:71-73.
[3] 刘嵩鹤.无线网络安全问题及其应对[J].通讯世界,2014.19:23-24.
[4] 彭海深.基于WiFi的企业网信息安全研究[J].科技通报,2012. 08:145-147.
基金项目:
辽宁开放大学校园网基于WiFi的移动IP安全性研究科研课题项目(编号2015XB01-10)。
第4篇:基于某企业的网络安全策略范文
【关键词】企业云 安全 防护 攻击
1 企业云安全面临的威胁
一个存储海量企业用户数据的云存储系统,存在着巨大的非法攻击诱惑,一旦攻击者通过某种手段攻击企业云数据系统,将带来不可估量的经济损失。目前,企业云安全所存在着普遍性的安全威胁主要包括以下几个方面:
1.1 数据丢失和泄露
数据安全是企业用户关注的重点问题,由于数据泄漏会给企业带来巨额损失,因此,一般会采取相应措施来保证数据的安全性。目前对于企业云数据,一方面攻击者会通过木马程序或其他恶意程序来控制客户端,进而获取和窜改企业数据。另一方面,因为云服务供应商隔离措施或安全策略的不当,也有可能导致数据丢失或信息篡改。
1.2 网络攻击
在云环境中,应用程序基本上是在网络上进行的,这就间接催生了网络攻击频繁性和危害性,网络攻击主要有以下两种类型。第一种是账户劫持。在云环境中,攻击者利用钓鱼网站或软件漏洞来攻击企业用户,进而获取用户账号及密码信息,这样就可以使用被窃取的账号密码登陆云计算系统,窃取或窜改企业用户云中的各类机密性数据,给企业带来巨大的损失。第二种是拒绝服务攻击。通过应用层DDOS攻击等方式阻止企业用户对云服务的正常访问,这样就会导致正常操作浪费大量的系统资源,如内存、硬盘空间和网络带宽等,降低云计算服务器的反应速度,也使企业用户由于资源的大量消耗而蒙受经济损失。这种攻击能够实现很大程度上是由于企业用户数据中心没有做好针对性的安全防范措施。
1.3 技术漏洞
由于云技术发展历程较短,其共享的平台组件及应用程序还存在着一些安全漏洞,这比其它安全问题更为危险和致命,严重情况下会导致整个云计算系统瘫痪。另外,云计算资源的虚拟化特征会给传统安全策略在整个虚拟网络的全面应用造成阻碍,虚拟化会增加认证的困难,恶意代码和病毒更容易传播,安全问题产生的机率也就更大。
2 企业云安全防护方案
基于上述企业云安全面临的威胁的主要威胁,可以通过以下综合性的安全防护技术措施来提高企业云安全性能。
2.1 云平台物理安全
物理安全是云计算系统的第一道安全防线,首先是环境安全的保障。温度、湿度等环境因素会影响云计算系统的稳定运行,因此,减少环境风险是企业云安全防护的基本前提。云服务提供商要通过各项措施来保证运维环境的安全性,除了安设一些必不可缺的设备外,如温度和湿度控制器、自动灭火系统等。还应配备支持特定环境的设备,如不间断电源等,以应对各种突变的自然环境。其次是设备的维护。为了保证设备的长期不间断运行,需要定期维护设备,并详细记录维护过程中所遇到的各种疑似故障及实际故障。最后是网络设备的配置。云计算系统整体设备性能的提高是安全防护的关键,特别是网络设备。应配置多台交换设备,网络设备与网络链路应有冗余备份。某一设备发生故障时应具备自动恢复功能,且企业网络应具有访问控制、安全检测、监控、报警、故障处理等功能。主机设备的核心应采用多机负载模式,某个主机若存在故障,其它主机仍能正常运行,同样服务器设备电源、风扇等也应采用冗余配置。
2.2 云平台访问控制
首先是网络安全访问控制。云平台和企业用户之间采用路由控制方式,通过安全访问路径的构建提高网络安全。避免在网络边界处安置重要网段,应对二者进行有效隔离。且利用防火墙、IPS、ACL等技术在重要业务网段边界进行隔离。具体而言主要可以采取以下措施来控制云平台网络:限制管理终端访问网络设备;设置安全的访问控制,过滤蠕虫的常用端口;关闭不使用的端口;关闭不必要服务,如FTP、TFTP服务等;修改BANNER提示,避免默认BANNER信息泄露系统平台及其他信息。其次是边界防护。清晰界定和综合防护系统边界,科学划分系统内部区域,加强便捷访问控制,增加访问控制配置,并使用防火墙等访问控制设备对高安全等级区域进行边界防护。最后是防火墙安全访问控制。在防火墙上配置常见病毒和攻击端口的ACL过滤控制策略,防止发生病毒或蠕虫扩散,影响核心设备正常工作。
2.3 云安全数据库及配置安全
对于云数据库,应采用C2以上安全控制标准及多层次安全控制原则。操作系统软件应能根据任务合理地分配系统资源,避免由于资源枯竭而停机。软件系统应具备良好的容错能力,保证某一进程故障的出现不会影响其它进程的运行,且能自动进行升级,并具备自动恢复功能,使系统在故障情况下能快速自动恢复。
2.4 云安全监控
云安全监控的目的是确保云平台的可用性,是安全防护过程中不可或缺的。首先是日志监控。通过监控系统的输出日志来监控相关事件。其次是性能监控。通过监控网络、系统以及应用等内容,保证云计算平台的稳定运行,一旦平台发生了故障,能迅速报警。
2.5 云安全审计
云安全审计包括日志收集、数据库审计、网络审计等。云服务提供商需要部署网络和数据审计措施,对网页内容、邮件内容等敏感信息进行审计;完善地记录其日志信息,建立良好的审核机制,并合理地整理相应的目志记录,增强违规事件发生之后的审查能力。
3 结语
企业云安全面临的威胁是复杂多样的,必须针对各类安全问题采取有效性的安全防护策略,进而保证企业的各类数据信息安全,同时也能促进云计算机系统在企业的推广和应用。
参考文献
[1]聂亚伟.企业网络安全解决方案研究与设计[D].邯郸:河北工程大学,2014.
作者简介
李常福(1973-),男,河南省信阳市人。大学本科学历。中级职称。主要研究方向为信息安全及云计算。
第5篇:基于某企业的网络安全策略范文
1 运行管理的安全原则1.1 制定并不断完善公司专用的安全策略。为了保护网络安全,最重要的事情就是编写安全策略,描述要保护的对象,保护的理由,以及如何保护它们。安全策略的内容最好具有可读性,同时,注意哪些是保密的,哪些是可以公开的。此外,应严格执行。最后,必须随时保持更新。1.2 安全防范应基于技术、动机和机会3个方面考虑,以减少攻击者的成功率。从技术上讲,系统应同时需要相当高的通用技术和专用技术,从而避免不同级别的人员滥用系统。攻击者的动机方面,应消除攻击者的满足程度,使其感到受挫。每次攻击失败时,安全系统让攻击者移动到网络系统的其它地方,使攻击者工作很辛苦。1.3 应尽可能少地向攻击者提供可攻击的机会。首先关闭不用或不常用的服务,需要时再打开。第二,访问控制权限的管理应合理。第三,系统应能自我监视,掌握违反策略的活动。第四,一旦发现问题,如果有补救措施,应立刻采用。第五,如果被保护的服务器不提供某种服务,如FTP,那么,应封锁FTP请求。1.4 安全只能通过自己进行严格的测试,才能达到较高的安全程度。因为每个人都可能犯错误,只有通过完善的安全测试,才能找到安全系统的不足。要做到主动防御和被动防御相结合,应能提前知道自己被攻击。如果知道自己被攻击,其实已经赢了一半。安全系统不但防御攻击者,同时防御他们的攻击。因为攻击者经常失败后就换个地方,再次实行新的攻击,因此,不但防御攻击的源地址,同时防御主机周围灵活选择的范围。1.5 战时和训练相结合,也就是说,主动防御必须严格测试,并不断改进。同时,安全软件的选择应基于应用的重要性和产品的更新周期,保证安全系统应能跟上新技术的发展。应经常维护、定期测试和检查防御系统的每一个部件,避免安全系统的能力退化。1.6 在企业内部,应让每一位员工都深刻理解安全是大家的事,不是口号,而是警告,安全和业务可能有冲突,最好能够得到领导和业务人员的理解和支持。安全管理过程中,对人员的信任应合理、明智,不能盲目信任。在企业的安全防御系统中,除了采用常规的防御方案,应尽可能采用一些适合行业特点的新方案,对攻击者而言,也就多了一层堡垒。要有运行规范,包括管理制度、审计评估、网络安全规划、工程管理、安全监督和灾难恢复。2 运行管理的组织结构为实现整个梯级调度的网络安全,需要各种保证网络安全的手段。网络安全功能的实现,必须从安全管理功能和管理员的职责上结合。企业的调度中心的信息部门应成立安全系统运行小组管理整个安全系统的运行,负责完成全企业的安全系统总体运行方案的编制,负责安全管理中心的建设,制订全企业范围的安全管理规范,对相关人员进行基本培训,指导各电站(厂)完成其安全系统的运行。应有专人负责网络安全,成立网络安全管理组,其成员包括领导、系统管理员、网络工程师以及网络安全专家等组成。3 运行管理的培训支持3.1 建立安全教育培训体系为企业建立信息安全教育培训的制度,包括安全教育政策制订、安全教育计划制订和安全教育实施支持方案。此外,文档包括《企业信息安全组织管理》、《企业信息安全人员岗位指南》和《企业信息安全教育培训体系》。3.2 提供教育培训课程(1)安全基础培训对象:企业全部与网络安全相关的人员。内容:系统安全、网络安全及增强安全意识的重要性、主要网络安全威胁、网络安全层次、网络安全度量、主机安全、黑客进攻步骤、安全防范措施和商用安全产品分类等。目标:增强系统管理员的安全意识,基本了解安全的实际要领,能够分辩出系统中存在的安全问题。(2)Unix/Windows系统安全管理培训对象:公司安全相关的系统管理员。内容:掌握Unix/Windows系统的安全策略,常见的攻击手段分
第6篇:基于某企业的网络安全策略范文
【关键词】网络管理 关联分析 数据采集
【中图分类号】TP393.08【文献标识码】A【文章编号】1672-5158(2013)02-0441-01
1、引言
随着企业信息化建设的快速发展,计算机网络的规模和复杂性也迅速增长,越来越多的业务依赖于网络来完成,任何网络或服务中断甚至性能下降都将对业务造成严重影响,网络管理已成为网络建设的关键。
2、网管系统现状及趋势
由于企业地域广、用户多、网络结构复杂等特点,网管人员需要管理不同厂家不同型号的网络设备多达数千台。当网络出现设备故障或安全事件时,各种日志和警告让网管人员应接不暇。传统的网络管理系统,基本上是对网络设备或安全设备进行管理,提供基础的网络拓扑、性能、故障以及配套管理等功能,仅能满足网络管理的基本需求,对于网络出现的瓶颈、系统出现的故障不能及时发现诊断,不能及时对网络应用高峰期带宽占用等进行动态调整,这些已不能满足信息化建设对网络管理的需求。
随着网络技术的发展,网络开始提供数据、语音和视频等多种网络业务应用,这些应用不仅要有稳定可靠的网络设备传输保证质量,同时还要进行深度应用管理。网络管理已逐步丰富发展为包括网络基础管理、流量分析、用户认证管理等全系统、多方位的IT管理架构,将各部分深度融合,使各个模块能够互相协调配合,达到统一面向业务的目的。
3、企业网智能管理方案
针对企业信息化建设中各项业务应用情况和网络安全管理需求,结合网管系统的发展趋势,我们设计了企业网智能管理系统。该系统将从大量的网络设备安全设备和现有网络管理软件中采集数据、流量、用户日志等运营信息和网络攻击等安全事件信息:将各种信息关联、过滤、汇总、存储到数据库中,生成相应的报表、警告信息和处理建议;系统参考网络管理专家库数据,结合本地网络管理经验智能生成安全策略;迅速将安全策略下发到相关设备,动态策略部署。
在网络攻击发生时,智能管理系统可迅速判断攻击源,及时处理攻击事件,将危害降到最小,并为管理员生成事件报告备查。
该系统主要功能实现方案如下:
3.1 事件采集
从企业网众多网络设备、安全设备和现有网络管理系统中采集数据、设备日志和安全信息,对采集的数据进行过滤和聚合,并将数据存储在数据库。(可采用SQL SEVER数据库作为数据支撑平台。通过基于web方式的图形化管理界面,以XML标准格式进行数据传输。)
事件采集难度较大。对于现有管理系统,可通过分析数据库直接读取或开发接口软件读取;对于一些非主流的产品设备兼容难度大,可采用分析设备MIB库数据信息,或由厂家提供数据接口协议的方式采集所需数据。对于数据流,传统采集方式利用SNMP协议采集比较粗糙,不能区分网络层不同类型数据流量的分布状况,也无法对进出的流量进行流量分析。系统采用“流分析”的方法,路由器/交换机对通过的IP数据包进行统计、分析、上传,并由智能管理中心合并处理后存入数据库。采用记录定义源、目的节点间的一系列单方向的数据包来标识一个流,通过分析,可以让管理员了解什么应用正占用带宽,谁、什么时间正大量的使用网络资源。
3.2 告警事件关联分析
当网络中发生安全事件时,相关的网络设备和安全设备都会产生大量的事件告警,这些事件上传到安全事件管理系统,会形成海量告警记录,难以迅速准确的定位真正需处理设备。本系统将各设备的事件信息通过汇总、过滤、统计和关联分析,有效压缩海量网络告警,去除冗余信息,为管理人员提供实用、精简的网络设备信息、用户行为审计报告和流量统计分析报告、网络安全状况报告与审计报告,并提供修复建议,允许用户添加本地化的维护经验。
对于网络中占用带宽较多的多媒体流数据,应用netflow、dataflow等流量信息统计和分析功能,及时了解各种网络应用占用的网络带宽资源情况。帮助网络管理员及时发现网络瓶颈,并提供丰富的网络流量分析报表。
3.3 智能策略定制
系统根据数据关联分析结果,参考网络管理专家库数据,并结合本地化网络管理经验,智能生成安全策略。针对企业网络的实际应用情况,安全策略可包括防火墙安全策略、ACL策略方案、QoS策略以及设备端口智能动态关闭等。
3.4 动态策略部署
根据智能生成的安全策略,使用SNMP协议与网络设备和安全设备紧密联动,快速智能控制设备。实现业务的端到端管理,由流程来指导管理工作。
3.5 分级网络管理
系统可根据不同级别的用户分管不同的设备或某个网络的设备,定制各自设备的安全策略,从而实现一套网络管理软件各级网管人员共享的分级网络管理模式。每级管理系统负责本区域内所有设备的监控和维护,在区域一级进行统计分析和管理,及时发现区域内设备的问题和性能瓶颈,为上级管理系统提供数据和管理支持。
通过分级管理,建立其区域化、层次化的管理体制,分散大规模网络的管理压力,突破单网管站点的资源管理能力和性能压力。
4、结论
网络设备和安全设备的事件发现、策略制订和部署传统上是各自独立,当出现故障后,不能及时判断处理。智能管理系统采用了先进的架构、统一的平台,将各功能模块化,能够根据不同业务流程的要求按需配置,并能随技术的发展新增功能模块。系统与主流厂家网络设备和安全设备联动,实现安全策略的下发和执行情况的迅速反馈。该系统具有以下几个方面的特性:
(1)开放化。智能管理系统采用了开放式的管理平台,易于实现与其他业务管理系统结合。
(2)构件化。功能模块组件化,能够按照不同的业务流程的要求进行按需组合。
(3)智能化。具有全网关键信息收集和分析的功能,并结合不同业务的要求,进行全面的分析和联动处理。
第7篇:基于某企业的网络安全策略范文
目前,信息化已经成为我国各类型企业尤其是中小型企业提高竞争力的有效武器。企业越来越依赖网络开展业务交易,进行内部资源共享和日常沟通。但随着开放程度的增加,存储在网络上的数据也开始暴露给外界,成为恶意攻击的目标。
为了确保只有合适的人才能进入网络,了解企业生产、经营的相关数据,使企业在生产经营中免受恶意攻击,建设企业网络安全已成为中小企业信息化建设的重要课题。
对于中小企业用户来说,信息安全将不再是一项IT技术问题,而已被赋予集成协作、管理策略等更丰富的内涵。对于广大中小企业来说,该如何构建适合自己的网络安全保障体系呢?
企业安全环境分析
安全体系的构建是为了解决企业中所存在或可能存在的安全问题。因此在构建安全保障体系之前,我们应首先了解中小企业所面临的安全问题有哪些。由于中小企业网络系统特有的开放性,其所面临的安全问题主要有以下几个方面:
1.外网安全。外网安全问题主要包括黑客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等,这些已成为目前影响最为广泛的安全威胁。
2.内网安全。最新调查显示,在受调查的企业中,60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了企业生产率,消耗了企业网络资源,同时还会引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密。
3.内部网络之间、内外网络之间的连接安全。随着企业的发展壮大,如何在保证信息共享的情况下,防止重要信息的泄漏,已经成为企业必须考虑的问题。
网络可用性分析
网络可用性是指网络信息可被授权实体访问并按需求使用的特性。今天很多企业的经济效益都与网络的连续可用性、完整息相关。随着越来越多的信息以数字化的格式出现,企业面临着如何以相同或者更少的资源管理迅速增长的信息的挑战。
Dos/DDos这样的网络攻击是最常见的破坏网络可用性的攻击方式。通常,企业可通过部署防火墙、负载均衡设备来保证网络可用性的安全。
系统可用性分析
中小企业网络中的主机、数据库、应用服务器系统的安全运行同样十分关键,网络安全体系必须保证这些系统不会遭受来自网络外部的非法访问、恶意入侵和破坏。
系统可用性是指一个系统应确保一项服务或者资源总是可以被访问到的。网络可靠性可以增加系统的整体可用性,用户必须考虑到当某些系统部件出错时,如何保障系统的可用性。
我们可以在环境中设置冗余组件和错误恢复机制,这样当某些组件的错误对系统的可靠性产生不良影响时,就可以通过使用系统冗余,让整个系统的服务仍然可用。
数据机密性分析
对于中小企业网络,保密数据的泄密将直接带来企业商业利益的损失。网络安全系统应保证机密信息在存储与传输时的保密性。
从电子数据产生以来,对于数据保护的需求一直没有发生变化:需要防止数据受到无意或者有意的破坏。最近发生的一系列事件使得数据保护和灾难恢复问题成为人们关注的焦点。越来越多的企业意识到,如果他们的数据中心遭受重大损失,那么恢复数据将需要大量的精力和时间。数据保护解决方案是一系列技术和流程的组合。
访问可控性分析
除了保证机密数据的安全,对关键网络、系统和数据的访问,也必须得到有效控制。这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。
可以说,访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。在今天,访问控制涉及的技术比较广泛,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
网络可管理性分析
可管理性既是观察网络可用性的一个窗口,也是提供可用性的一个工具。企业可以利用网络管理来确定关键性的资源、流量类型与性能级别。网络管理也可以被用来设定设备故障的类别。它可以提供显示网络状态的复杂报告。企业还可以利用对网络的管理来设定,在硬件性能下降时,系统自动采取应对行动的策略。
因此,企业在构建网络安全系统时应包括审计和日志功能,可以对相关重要操作提供可靠而方便的管理和维护。
链接:UTM更能满足中小企业的网络安全需求
网络安全系统通常是由防火墙、入侵检测、漏洞扫描、安全审计、防病毒、流量监控等功能产品组成的。但由于安全产品来自不同的厂商,没有统一的标准,因此安全产品之间无法进行信息交换,形成许多安全孤岛和安全盲区。而企业用户目前急需的是建立一个规范的安全管理平台,对各种安全产品进行统一管理。
此外,面对各种新形式下的安全问题,传统的安全设备已经显得无能为力,例如针对Windows系统和Oracle/SQL Server等数据库的攻击。这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。基于网络传播的病毒、间谍软件、垃圾邮件给互联网用户造成了巨大的损失,层出不穷的即时消息和P2P应用(例如QQ和BT下载)给企业带来许多安全威胁并大大降低员工的工作效率。传统的防火墙设备在面对这些复合型的安全威胁时,已经不能满足客户的安全需求。
于是,UTM产品应运而生,并且正在逐步得到市场的认可。UTM安全、管理方便的特点,是安全设备最大的优势,而这往往也是中小企业对产品的主要需求。
第8篇:基于某企业的网络安全策略范文
在当前信息化技术研究中,提升信息安全技术性能已成为一大热点。本文基于从多阶段动态博弈,探讨信息安全中的防火墙、入侵检测、安全防御等信息技术体系,优化设计多阶段动态博弈策略选择算法,以确保提升信息安全,发挥积极影响。以下本篇对此做具体分析。
1概述
1.1研究背景
网络可生存性起源于军事领域,是继可靠性、可用性安全性可依赖性之后对网络性能进行评价的又一新指标【1】。生存概念融合了传统的安全理念,又经进一步延伸而包含了新内容,强调网络业务的持续性,即系统在遭受攻击、故障及意外事件时依然能及时完成关键任务的能力【2-5】。网络入侵行为的简单化和智能化使得信息所有方和信息使用方的所有权关系发生了改变,而且这一转变似乎具有不可逆转的趋势,由此产生的信息安全问题成为了当前的关注焦点。
1.2国内外研究不足
在处理不完全信息要素时,通过将某些参与人“类型”的不确定性作为信息不完全性的一种表征,这种方法将继续得以采用,即博弈中参与人面临的信息不完全性(无论它是指何种信息)将完全由某些参与人的“类型”的不确定性加以刻画【6-8】。同时,作为动态博弈,“序贯理性”的思想将一直得到贯彻。在不完全信息动态博弈中将信息不完全程度削减到零,则不完全信息动态博弈就自然应退化成一种完全信息动态博弈,其相应的精炼均衡概念就由精炼贝叶斯回到子博弈精炼均衡【9】。传统的信息安全技术中,运用战略式表述动态博弈,其缺陷表现在:看不出行动的先后顺序;对于描述2人以上的博弈较不方便。在本次研究中将会针对不足做出算法改进,确保信息安全。
1.3研究意义
本文研究中,提出一种基于多阶段动态博弈的信息安全技术,对提升信息安全性发挥积极影响。在现阶段,很少有研究注重实证分析。本次研究中,优化信息安全技术模型,建立主动的防御安全体系,通过态势感知、风险评估、安全检测等手段来实施主动防御成为了本次信息安全技术的研究战略目标;并通过设计实现,分析该信息安全技术应用效益,使得本研究具有实用价值。
2多阶段动态博弈技术
2.1需求分析
对于当前信息安全技术中,其对于信息的安全需求,以及实际安全是有相对性的。只有在某种信息安全的水平条件下,以及在某种特定情况下,信息安全技术才可被认为是最安全的,超出这个情况,不一定是安全的【10】。对于信息安全技术中,进行多阶段动态博弈,可以针对每一个阶段情况进行分析,确保提升信息安全技术水平【11】。信息网络节点越多信息网络越脆弱【12】。随着当前我国信息化水平技术的提高,以及国家互联网技术的发展,信息网络结点越多,对于信息安全技术的需求也会越大。
2.2多阶段动态博弈的原理
对于多阶段动态博弈之中,其参与人进行的安全行动,也有先后的顺序,对于后行动参与人,可以观测先行动人的行动,特别是能根据先行动的参与人的行动调整或做出自己的战略选择。多阶段动态博弈树的基本材料如图1所示:
对于网络信息安全技术中,基于多阶段动态博弈,当信息安全技术提升,那么该技术下层面客户以及合作伙伴就会越安全。
2.2避免信息混淆
某参与一个战略的表述是,将其在每一个信息集选择的行动依次排列;为了避免表述的混乱,不同信息集,同样行动应应采用不一样的标识【13-15】。例如,在上例中,“坦白,抵赖”,和“抵赖,坦白”容易产生混淆,因此,最好将决策点c的行动表述为“也坦白”和“也抵赖”。这时,参与人2的四个战略就分别为:“坦白,也坦白”,“坦白,也抵赖”,“抵赖,也坦白”,“抵赖,也抵赖”。
2.3逆向归纳法重复剔出劣战略
运用逆行归纳法,可以多阶段的在扩展式博弈上重复剔出劣战略:从最后一个决策结开始,依次剔除掉每个子博弈的劣战略,最后保留下来的战略构成精炼纳什均衡【16】。两个参与人都是理性的,如果参与人1不认为参与人2是理性的,参与人1在第一阶段可能会选择D,期望在第二阶段参与人2可能选择R,从而自己(参与人1)在第三阶段有选择U的机会。或者,即使参与人2知道参与人1是理性的,但如果参与人1不认为参与人2知道参与人1是理性的,参与人1在第一阶段选择D,期待参与人2认为自己(参与人1)不理性,因而在第二阶段选择选择R,期待自己(参与人1)在第三阶段选择D'。
例如,图2。
可以应用纳什均衡支付向量,以此来代替子博弈,一旦参与1的第二个信息集开始的子博弈被它的纳什均衡结果取代,就可提升信息安全。
3基于多阶段动态博弈的信息安全技术
对于某网络企业发展中,设网关遭受病毒侵害时,其损坏概率为p,且p>O;网关成本是c,且c>0[8]。如下图3中描述的就是该网络信息安全技术的模型。
在网络中,有A1企业和A2企业,且每个企业目标都为实现利润的最大化,在其设计实现信息安全技术决策中。实验网络的攻防博弈粗糙图可以用弧目录形式来表示。通过对攻防博弈下近似粗糙图的分析可以得到 Eve 的攻击路径有 3 条。第 1 条攻击路径序列为( a1或 a2,a5,a4) ,即 Eve 通过管理员用户或者正常用户登录后,假冒 USER2 使用 ApacheChunk 进行攻击进而控制 Apache,再通过 Ftp. rhost漏洞的专用工具取得 File 的访问权限; 第 2 条攻击路径序列为( a1,a5,a4) ,即 Eve 通过正常用户登录后,假冒 USER1 使用 Apache Chunk 进行攻击控制 Apache,再通过 Ftp. rhost 漏洞的专用工具取得File 的访问权限; 第 3 条攻击路径序列为( a1,a3,a4)即 Eve 通过正常用户登录后,假冒 USER1 使用溢出攻击来对 DB 服务器的攻击。
1)当2个A1企业和A2企业在同时投资,都不会感染到信息病毒,也不需要负担信息安全中的网关损失,企业受益是Yi-ci(见图4中所述)。
比较能够得出,在A2不投资时,A1可能会传染A2,并且有A2、A1共同去负担网关安全技术损失,这样就会使得 A1企业投资过程中的约束条件变紧,降低其投资信息安全技术方面的动机。
4应用效益分析
在信息安全技术中,运用多阶段动态博弈,应用信息安全标准,基于访问控制以及入侵检测方面,计算其效益,公式为:
( B为收益,C为成本,K则为折现率,t是时间周期,n表示思考所用时间周期的数量),根据这个净现值模型,评估多阶段动态博弈中信息安全技术的应用效益。同时,优化设计多阶段动态博弈策略选择算法,有助于积极积极记录、分析、量化攻击方式、目标、数量及类型,优化配置信息网络,将有效提高信息安全技术应用性能,提升达8.0%。基于多阶段动态博弈的信息安全算法,最终可使网络上各个用户的利益最大化,发挥应用效能。
5结论
综上所述,在实际信息安全技术中,可以基于多阶段动态博弈,设计多阶段动态博弈策略选择算法,有助于提升信息安全技术应用性能,发挥积极应用价值。
第9篇:基于某企业的网络安全策略范文
关键词:网络 安全策略 数据 访问
0 引言
随着我国经济与科技的不断发展,企业数字化管理作为为网络时代的产物,已经成为企业管理发展的方向。随着各企业内部网络规模的急剧膨胀,网络用户的快速增长,企业内部网安全问题已经成为当前各企业网络建设中不可忽视的首要问题。
1 目前企业内部网络的安全现状
1.1 操作系统的安全问题 目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS 和Linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。
1.2 病毒的破坏 计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响企业内部网络安全的主要因素。
1.3 黑客 在《中华人民共和国公共安全行业标准》中,黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、JAVA炸弹等。
1.4 口令入侵 为管理方便,一般来说,企业为每个上网的领导和工人分配一个账号,并根据其应用范围,分配相应的权限。某些人员为了访问不属于自己应该访问的内容,用不正常的手段窃取别人的口令,造成了企业管理的混乱及企业重要文件的外流。
1.5 非正常途径访问或内部破坏 在企业中,有人为了报复而销毁或篡改人事档案记录;有人改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据。这些安全隐患都严重地破坏了学校的管理秩序。
1.6 设备受损 设备破坏主要是指对网络硬件设备的破坏。企业内部网络涉及的设备分布在整个企业内,管理起来非常困难,任何安置在不能上锁的地方的设施,都有可能被人有意或无意地损坏,这样会造成企业内部网络全部或部分瘫痪的严重后果。
1.7 敏感服务器使用的受限 由于财务等敏感服务器上存有大量重要数据库和文件,因担心安全性问题,不得不与企业内部网络物理隔离,使得应用软件不能发挥真正的作用。
1.8 技术之外的问题 企业内部网是一个比较特殊的网络环境。随着企业内部网络规模的扩大,目前,大多数企业基本实现了科室办公上网。由于上网地点的扩大,使得网络监管更是难上加难。由于企业中部分员工对网络知识很感兴趣,而且具有相当高的专业知识水平,有的员工上学时所学的专业甚至就是网络安全,攻击企业内部网就成了他们表现才华,甚至是泄私愤的首选。其次,许多领导和员工的计算机网络安全意识薄弱、安全知识缺乏。企业的规章制度还不够完善,还不能够有效的规范和约束领导和员工的上网行为。
2 企业内部网络安全策略
安全策略是指一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。
2.1 物理安全策略 保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:①环境安全。对系统所在环境的安全保护, 确保计算机系统有一个良好的电磁兼容工作环境。②设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。
2.2 访问控制策略 访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。主要有以下七种方式:①入网访问控制。入网访问控制为网络访问提供了第一层访问控制, 它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。②网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。③目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。④属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。⑤网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。⑥网络监测和锁定控制。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。⑦网络端口和节点的安全控制。端口是虚拟的“门户”,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。
2.3 防火墙控制策略 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用),用来限制外部非法(未经许可)用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。
2.4 信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。信息加密过程是由各种加密算法来具体实施。多数情况下,信息加密是保证信息机密性的唯一方法。
2.5 备份和镜像技术 用备份和镜像技术提高完整性。备份技术指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。
2.6 网络安全管理规范 网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中,除采用技术措施之外,加强网络的安全管理,制定有关的规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入办公室管理制度; 制定网络系统的维护制度和应急措施等
2.7 网络入侵检测技术 试图破坏信息系统的完整性、机密性、可信性的任何网络活动,都称为网络入侵。入侵检测(IntrusionDeteetion)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。它不仅检测来自外部的入侵行为,同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。
- 上一篇:蒙古族的民俗文化范文
- 下一篇:固定资产管理的分类范文
