时间:2023-09-20 18:16:02
序论:在您撰写网络安全预警时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
关键词:水利;网络;风险;体系
2019年6月,水利部网信办《水利网络安全管理办法(试行)》,文件指出,水利网络安全遵循“积极利用、科学发展、依法管理、确保安全”的方针,建立相应的应对机制,能够及时发现系统中的问题并处理,以此来确保网络系统的安全性,保障水利信息建设的顺利进行。
1.水利网络安全面临的风险
1.1网络攻击
目前,水利关键信息基础设施网络安全面临前所未有的威胁、风险和挑战,也是可能遭到重点攻击的目标。“物理隔离”防线可被跨网入侵,调配指令可被恶意篡改,信息可被窃取,这些都是重大风险隐患。截止到目前,水利部门机关已经预防了上百万次网络攻击,攻击的主要目标是水利部网站,针对这些大规模的网络武器级攻击,水利部门迫切需要建立一个安全的、高效的水利网络安全监测与预警体系。
1.2安全措施不够健全
虽然当前大部分机关部门都已经制定了网络安全管理制度,但是由于各种外界和内在的因素,再具体的工作中尚没有落实到位。尽管当前相关部门已经建立了众多防护设备,例如防火墙等,但是在现在的体制中还缺乏一个较为完善的网络安全监测与预警体系,再加上已形成的机制中还存在不科学、不严谨的问题,工作人员不能及时发现出现的网络风险。
1.3对出现的安全漏洞处理不及时
目前,大部分单位都能够定期对网络漏洞进行扫描,但是由于人力和技术有限,这就使得大部分部门针对漏洞的处理只停留在检查报告的层面,而没有针对漏洞本身及时采取相应的处理措施,最终导致漏洞长期存在系统中,对其后续安全的运行造成严重影响。
2.水利网络安全监测与预警体系的构建
2.1构建水利网络安全监测体系
首先,要联合多个部门形成较为健全、完善的监测机制。水利部门要和行政部门等其他形成多级监测架构。其中,水利部门主要负责对涉及到本行业网络的安全性能进行监测。而行政机构主要是负责本单位及其下属部门的网络安全性的监测。其次,要对信息进行收集,同时对收集到的信息进行认真的分析,筛选出对水利网络安全不利的信息,以此为依据制定相应的预防策略,从而实现对可能出现的水利网络安全风险的有针对性的、科学性的安全事前预警。再次,开展互联网服务安全监测。水利部门的信息网站是其开展各种业务、进行各种活动的主要平台之一,因此,在实际的工作中要注意对水利部门信息网站和一些网络业务的监测,避免有病毒木马的入侵,为水利部门的安全运行提供保障。对一些水利相关的业务主要是由水利部门负责其网络安全监测,而行政机构主要是负责本单位及其下属部门的网络安全性监测。此外,还可以采取扫描和风险评估的技术对系统中可能出现的安全问题进行监测和分析,对网站内各个系统以及相应的设备进行网络安全监测,并将监测的结果以报告的形式呈现,为管理者提供相应的决策依据。针对水利部门专网的安全扫描主要包括各种信息设备、网络,而针对服务器的扫描主要包括一些目录、文件等,针对网络安全性的草庙主要包括对路由器、防火墙等设备。在系统存储关键信息的位置也需要设置相应的网络安全监测机制,对文件传输内容及其传输环境情况进行进一步的分析和监测,确定安全之后才可以进行后续操作。最后,要注意对水利信息网内部的风险监测工作。通过内部的安全管理平台,对水利信息部门的服务器、数据库、网络设备等软件和硬件日志进行收集,以便及时了解防火墙等设备的预警信息,实现全方面的网络安全监测。同时还要对收集到的信息进行筛选和分类,分析其中的相关性,从整体的角度对系统中存在的风险进行进一步的分析,从而制定相应的策略,设置网络安全事件响应级别,使水利行业整体效益发挥到最大。此外,水利部门还要在内部建立联动机制,整合人力和资源进行网络安全信息数据收集。在水利信息安全管理平台中包括展示层、功能层、应用接口层、采集层。其中展示层包括可视化管理、综合展现管理、全国状态展现、告警与响应、报表管理。功能层包括安全事件、威胁态势、安全策略、风险评估、预警管理、资产管理等。应用接口层主要是进行资产、工单、认证统一展示。采集层包括资产采集、拓扑采集、性能采集、日志采集、策略采集、弱点采集。
1.1网络及安全技术网络安全技术涉及到的层面较多,本节主要分析系统自身安全。基于角色的访问控制,作为现阶段最具有发展前景的访问模式,已经充分的引起民众的广泛关注。和以往的权限直接下放到用户自身的手里相对比,在RBAC程序当中,权限和用户之间存在一定的联系,每一个“角色”则是一个用户或者一批用户的操控整合。注册用户在通过管理员同意之后赋予特定的访问权限以及操作权限后,能够大幅度的降低授权管理的工作任务量。在某个特定的组织结构当中,角色是为了满足特定的任务组建而成。角色可以按照实际需要以及系统自身的整合系统而被授予特定的权限,而对于这些权限功能也随着工作任务的完成被整体进行回收。在一个程序当中授权给注册用户的访问权限,一般情况下通过注册用户在某个特定程序当中的角色来承担。1.2工作流技术工作流的前提条件是计算机工作,软件的全部功能的实现,以及部分功能的自主化,甚至半自主化管理都是以此前提实现的。整个流程有电脑软件控制运行的现象称为工作流。整个管理系统存在一个的核心部分,这一部分是工作流引擎。在完成相应的定义之后,根据其运行的需要,注释被提出,数据模拟等也被一并提出。工作流的概念与计算机关系密切,它的界定需要借助计算机技术,同时工作流的运行,管理,以及信息传递等都需要得到计算机技术的支持。工作流的调配和功能完成是通过工作流引擎完成的。工作流引擎是工作流的主要内容,它不仅可以建立执行过程、执行管理系统,而且还能监管功能等。过程模型和基本业务流程两者关系甚密。一个流程亦或是其子流程,是由诸多活动组合出的,而完整业务流程,则是一个亦或是多个子流程的集合,且在活动阶段内也各有不同的执行联系。
2网络安全预警结构设计
系统设计的根本目的是通过大量收集并归类分析用户网络行为,进一步通过数据挖掘和特征分析算法分析出其内在的规律并以此规律作为网络安全预警的主要依据,通过对大量用户的网络行为聚类和预测,及时发现并切断不安全网络行为,从根源上切断网络不安全因素。网络安全预警结构包括用户网络行为采集模块、服务器安全中心模块、系统管理员模块等,针对使用行为展开建模,通过研究得到能够表示、测量使用行为的特征值,从定量的角度对使用行为进行描述。这种模型不但能够将网络使用行为的实际情况呈现出来,而且能够进行自我学习,对行为变化顺序进行总结,并掌握其规律,将规律应用到使用行为中去。
3系统设计与实现
3.1ADO.NET结构设计数据访问层的位置处于这一系统的最底层,且其只拥有一个基础的单元数据库,也就是Database,然而数据访问层的作用却十分重要,原因在于数据库内容纳有该系统全部的数据信息,故而数据访问层的安全和整体系统的安全都是密切联系、息息相关的。论文主要借助ADO.NET针对网络行为管理以及数据库进行交接。对于ADO.NET是借助数据源通过一定的转换完成和数据库的对接。微软将其明名为ADO.NET。由于此数据库在NET编码的背景下完成的数据现结。同时其最大的优点在于能够和不同种类的数据进行相互匹配和衔接,很大程度上简化了研发者的工作量。3.2系统网络架构设计在此次研发的系统当中,还需要在服务器创建对应的储存列阵以及服务器汇集的网络程序,在此次研究过程当中重点用区域网路来存储数据,在存储数据的时候,分不同的区域来存储,最后通过集群技术来调取,保证各区域数据能够相互作用。主要运用了数据库、web等几种类型。同时借助多机冗余方式来保障系统自身的安全可靠运行。在交换机外部明确防火墙和相关入侵系统的检测体制,更好的抵御危险。在系统与数据库相互访问时,为了更好地让数据在其中流动,可以根据时间段、关键字等更便捷地获取数据,保证定位以及相关的请求能够准确地发送和传递。另外,通过多重的相互确认可以更快地访问。为了确保系统安全,系统通过部署信息强隔离装置、防火墙及入侵检测设备等相关障碍,可有效阻止外界的入侵,即时发现和消除网络安全威胁,系统限制同一用户在同一时间内的登录次数,若连续多次登录失败,系统自动断开连接,并在一定时间内用户无法继续登录。实现设备特权用户的权限分离,系统不支持时应部署日志服务器保证管理员的操作能够被审计,并且网络特权用户管理员无权对审计记录进行操作。3.3系统实现本文主要利用的是WindowsServer2008操作系统平台,采用的硬件设备CPU为英特尔酷睿i5,主频3.0GHz。系统运行内存为16GB,存储空间8TB,网络带宽20M独享。系统数据存储软件是MSSQLServer2015。
4结论
针对网络迅速发展过程中的存在的安全问题,提出了一种基于网络行为分析的网络安全预警系统,该系统通过对大量用户的网络行为聚类和预测,及时发现并切断不安全网络行为,从根源上切断网络不安全因素。系统采用数据挖掘算法挖掘恶意网络行为内在规律,系统采用ASP.NET框架以及SQLServer2012数据库,选用工作流技术为主要技术。系统设计完成后经过实际测试表明,系统运行稳定,在网络安全预警实时性和精确度方面满足要求。
参考文献
[1]蒋励,张家录.基于网络安全事件的预警系统设计[J].湖南理工学院学报(自然科学版),2016,29(02):30-37.
关键词:网络安全预警;NAT;防火墙/NAT的穿越
0网络安全预警系统
0.1功能及体系结构
目前的网络安全预警系统通常采用多层式结构,以入侵检测系统作为中心,对受保护的网络进行安全预警。该类系统通常由嗅探器模块、安全管理中心、远程管理系统服务器、远程终端管理器组成。嗅探器模块按一定策略检测网络流量,对非法的流量进行记录以便审计,并按照安全策略进行响应;安全管理中心管理嗅探器运行,并生成及加载嗅探器需要的安全策略,接受嗅探器的检测信息,生成审计结果;远程管理系统服务器负责监听控制信息,接收控制信息传递给安全管理中心,为实现远程管理实现条件;远程终端管理器为用户提供远程管理界面。
0.2局限性
(1)目前的网络安全预警系统主要以入侵检测系统的检测结果作为预警信息的主要来源。由于入侵检测系统检测的被动性,使得预警自身就存在被动性,无法积极对受保护的网络实施预警。
(2)新的攻击手段层出不穷,而作为中心的入侵检测系统在新的攻击面前显得力不从心。虽然目前也出现了一些启发式的检测方法,但是由于误报率或者漏报率比较高,在实际使用时也不太理想。
(3)预警信息传送的时效性。目前令人可喜的是用户己经注意到了安全问题,所以采用了一些安全部件如防火墙、入侵检测系统等对网络进行保护。
(4)传统的网络预警系统中着重在预警,相应的响应很少或者没有。
1 NAT技术
1.1概念
NAT,即Networ Address Translation,可译为网络地址转换或网络地址翻译。它是一个IETF标准,允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址,反之亦然。它也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备。同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet地址和私有IP地址的使用。
1.2分类
1.2.1静态NAT(Static NAT)
即静态转换静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应关系由管理员手工指定。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问,并使该设备在外部用户看来变得“不透明”。
1.2.2动态地址NAT(Pooled NAT)
即动态转换动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对并不是一一对应的,而是随机的。所有被管理员授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。每个地址的租用时间都有限制。这样,当ISP提供的合法IP地址略少于网络内部的计算机数量时,可以采用动态转换的方式。
1.2.3网络地址端口转换NAPT(Port-Level NAT)
即端口多路复用通过使用端口多路复用,可以达到一个公网地址对应多个私有地址的一对多转换。在这种工作方式下,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,来自不同内部主机的流量用不同的随机端口进行标示,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自Internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
1.3常用穿越技术
由于NAT的种类不同,所以具体对于NAT的穿越技术也有所不同。目前比较典型的穿越技术是协议隧道传输和反弹木马穿透。前者,采用直接从外网往内网连接的方式,利用防火墙通常允许通过的协议(如HTTP协议),将数据包按协议进行封装,从而实现从外网向内网进行数据传输,但是如果数据在通过防火墙时经过了NAT转换,就会失效;后者是采用由内向外的连接方式,通常防火墙会允许由内向外的连接通过,但是没有真正解决防火墙的穿越问题,无法解决对于由外向内的对实时性要求较高的数据传输,并且对于应用型防火墙,穿越时也比较困难。
2网络安全预警系统中防火墙/NAT的穿越
2.1应用型防火墙检测及信息注册模块
本模块主要用于验证发送方和接收方的报文是否能通过自身所在网络的防火墙,尤其是穿越应用服务器的注册相关信息,并获取必要的信息。
当发送方或接收方存在应用型防火墙时,可由发送方或接收方连接服务器,从而建立映射关系。由于发送方或接收方采用TCP连接方式连接服务器,所以映射关系可以一直保持。所以当服务器与主机连接时只需要知道相应的服务器地址、端口即可,而这些信息又可以从全局预警中心的注册信息中获得,从而解决了穿越应用型防火墙的问题。
2.2 NAT映射维持模块
本模块主要根据NAT及包过滤、状态检测型防火墙检测模块的检测结果,反映出不同的映射维持。
当接收方所在网络存在NAT时,经过映射维持,使得在接收方所在网络的NAT处始终保持了一条接收方外网地址与内网地址的映射关系,从而使得发送方只要根据接收方的外网地址和端口即可与接收方直接通信,从而解决了外网与内网直接通信的问题。
当接收方所在的网络不存在NAT,但存在状态检测、包过滤类型的防火墙时,由于不断发送的NAT维持报文的存在,相应地在防火墙处开放了相应的端口,使得发送方可以从外到内通过此端口进行信息传送。
2.3信息传送模块
防火墙的问题。对于一般类型的包过滤、状态检测防火墙,因为通信内容已封装成HTTPS协议的格式,所以对于从防火墙内部向外部的连接可穿越此类型的防火墙。对于从防火墙外部到内部的连接, NAT映射维持模块中NAT映射报文的存在也巧妙的解决了信息传送的问题。
3结束语
本文采用HTTPS封装实际传输数据,可以使得数据安全传送,保证了信息可以穿越防火墙/NAT进行。但也存在着增加硬件额外开销、NAT映射相对维持报文较频繁等缺点,这些有待在进一步的研究中予以解决。
参考文献
[1]肖枫涛.网络安全主动预警系统关键技术研究与实现 [D].长沙:国防科学技术大学,2009.
[2]张险峰等.网络安全分布式预警体系结构研究[J].计算机应用,2011(,05).
1系统架构
网络安全事件预警系统的体系结构如图1所示,其中的系统中心、流检测服务器、载荷检测服务器、配置管理服务器是系统的逻辑组成部分,并非是必须独立的硬件服务器。对于中等规模的网络可以运行于一台硬件服务器上。
2系统处理流程
如图1所示,以检测流经路由器R1的流量为例,介绍系统的处理流程。
(1)路由器R1生成流记录,并将记录输出到流检测服务器。流记录符合IPFIX格式,流以五元组(SrcIP、SrcPort、DestIP、DescPort、Protocol)标识。
(2)流检测服务器采用基于流特征的检测方法对流量进行检测,将流量分成正常流量和安全事件流量,并将分类结果发送系统中心。
(3)系统中心根据安全事件策略库中的监控策略分析检测结果,这里会出现三种情况。流量正常不需要控制,系统显示检测结果;检测结果达到控制标准,发出预警或通知。需要深度包检测,通知配置服务器镜像R1上特定流量。
(4)配置服务器向R1发出相关镜像配置命令。
(5)R1执行镜像命令,通过镜像链路镜像相应流量。
(6)载荷检测服务器对这些数据报文进行捕捉并通过深度包检测方法确定进行分析。
(7)显示检测结果,对安全事件发出预警或通知服务器。
网络预警系统检测方法研究
1流特征检测方法
基于流记录特征的流量分析技术主要应用NetFlow技术,对网络中核心设备产生的NetFlow数据进行分析、检测分类、统计。NetFlow协议由Cisco公司开发,是一种实现网络层高性能交换的技术。它运行在路由器中动态地收集经过路由器的流的信息,然后缓存在设备内存中,当满足预设的条件后,将缓存数据发送到指定的服务器。一个信息流可以通过七元组(源IP地址、目的IP地址、源端口号、目的端口号、协议类型、服务类型、路由器输入接口)唯一标识。
数据流检测的数据流程主要为:操作人员启动采集,程序通过libpcap对相应端口中的NetFlow数据进行接收,先缓存直内存中,达到一定数量后压缩存储直对应的文件中,进行下一次接收,同时定时启动分析模块,调入NetFlow规则库并调取相应的压缩NetFlow数据文件,对数据进行处理后,将NetFlow数据内容与规则库进行匹配,获得相应的处理结果存入数据库中,再次等待下一次分析模块启动。
2深度包检测方法
深度包检测方法是用来识别数据包内容的一种方法。传统的数据检测只检测数据包头,但是这种检测对隐藏在数据荷载中的恶意信息却无能为力。深度包检测的目的是检测数据包应用载荷,并与指定模式匹配。当IP数据包、TCP或UDP数据流通过基于DPI技术的管理系统时,该系统通过深入读取IP数据包载荷中的内容来对应用层信息进行重组,从而得到整个应用程序的通信内容,然后按照系统定义的管理策略对流量进行过滤操作。这种技术使用一个载荷特征库存储载荷的特征信息,符合载荷特征的数据包即视为特定应用的数据包。
深度包检测的数据流程主要为:操作人员启动采集,程序先调入相应的协议规则,程序通过libpcap对相应网络端口中对应协议的数据进行抓包捕获,对数据包进行协议分析拆包处理后,调入正则规则并进行优化处理,将数据包内容与优化过的规则进行多线程匹配,获得相应的处理结果存入数据库中,再次进行下一步处理。
3复合型检测方法研究与分析
复合型检测,既结合了基于流特征的检测,从宏观上检测整个网络的安全状态,又结合了深度包检测的方法,对某些安全事件进行包内容的详细特征检测,可以极大的提高安全事件检测的准确度,减少误报率和漏报率,并可有效地提高深度包检测的效率,大幅降低深度包检测对系统的配置要求。
根据复合型规则的定义,来处理流检测和深度包检测的关系。可以根据不同的安全事件定义对应的复合方式,即可实现两种检测方法同时进行,也可先进行流检测符合相应规则后,再进行深度包检测,最后判定是否为此安全事件。
复合型规则中,数据流规则与深度包规则的对应关系是M:N的关系。既一个数据流规则可以对应多个深度包规则,这表示这个数据流预警的安全事件可能是由多种深度包预警的安全事件引起,需要多个深度包检测来进行确认。同时多个数据流规则可以对应一个深度包规则,这表示这个深度包规则对应的安全事件可以引起发生多条数据流预警的安全事件。这种设计方式可方便地通过基础安全事件扩展多种不同的安全事件。
总结
关键词:系统工程;预警机制;安全管理;安全服务
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 19-0000-02
Research of the Early Warning Mechanism of Campus Network Security
Li Xia
(Network Center of Binzhou Medical University,Binzhou256603,China)
Abstract:Based on the campus network environment of Binzhou Medical University,from the view of system engineering,the research on early warning mechanism about technology, management,service and the other aspects of the campus network security is given.With the security policy as the core,technology as the support,security management and security services for the implementation of means,It emphasizes the close cooperation in administrators and users,points out the importance of safety training to enhance safety awareness,and how to improve the quality of network service.
Keywords:System engineering;Early warning mechanism;Safety management;Safety service
校校园网作为学校重要的基础设施,担负着学校教学、科研、管理和对外交流等许多重要任务;在推动教育改革发展、促进思想文化科技交流、丰富师生精神文化生活和加强大学生思想政治教育等方面起到了积极作用。但是我们也要看到,在健全制度、形成机制、网络安全、职责划分等方面还存在问题和薄弱环节。因此,我们应该进一步采取有效措施,加强管理,不断促进校园网络健康发展和良性运行。建立一套切实可行的校园网络安全预警机制,已成为校园网络建设中面临和亟待解决的重要问题。
一、校园网安全现状分析
要构建有效可行的校园网络安全预警机制必须了解网络安全现状和存在的主要问题。
以滨州医学院校园网为例,我校校园网络自2000年成立以来,形成了初步的安全管理制度。技术方面,根据校园网络现状,采用了瑞星杀毒软件网络版的分级管理、多重防护体系作为校园网络的防病毒管理架构,为我校校园网络建立起一个比较完善的防病毒体系。为打造网络整体安全,如在滨州校区Internet与校园网的接口处采用了天融信防火墙,对Internet与校园网之间进行隔离。针对网络用户盗用IP现象,采用城市热点软件,进行IP绑定和账户维护。网络安全技术方面做了必要的防御措施。
通过近几年的网络运行,随着网络数字化教学与办公的应用,网络规模不断扩大,网络建设和管理方面不可避免的暴露了一些问题:硬件设施日趋老化,网络规模不断扩大,而网络资金投入有限;管理制度不完善,如在安全角色的定义上,我们设立了专门的人员负责相关操作的安全维护和安全检查。但实际上因为人员明确但人员的任务不明确,造成了安全角色划分模糊。网络用户教师和学生网络水平不一,安全意识不够,基本防护措施掌握不到位等,被动攻击、亡羊补牢。
二、校园网安全预警机制模型
校园网中针对网络安全的预警机制研究不仅是一个非常重要的技术问题,还是一个较为复杂的系统工程。校园网安全问题不仅涉及技术、产品;还要有安全管理和安全服务,校园网安全预警机制不仅考虑网管员的技术支持,重要的是网络安全预警机制的构建是以安全策略为核心,以安全技术作为支撑,以安全管理作为落实手段,并通过安全培训加强所有人的安全意识,完善安全体系赖以生存的大环境。
实践一再告诉我们,仅有安全技术防范,而无严格的安全预警机制相配套,是难以保障网络系统安全的。必须制订一系列安全管理制度,对安全技术和安全设施进行管理。校园网网络安全预警机制,必然要求网络管理员、用户相配合,多层次、多方位的分析、诊断校园网络安全可能存在的问题,做到防患、预后相结合。由此我们提出如图模型:
安全策略是整个校园网安全预警机制的核心,安全技术是整个机制的支撑。常见的安全技术和工具主要包括防火墙、安全漏洞扫描、入侵检测,重要数据的备份恢复,最基本的病毒防范等。这些工具和技术手段是网络安全中直观的部分,缺少任何一种都会有巨大的危险。这就要求单位必须加大相应的网络投入,对网络管理人员进行相应的培训,对设备进行更新换代,对应用系统及常用软件进行必要的升级,做好网络安全管理的技术支撑。
安全管理贯穿整个安全预警机制,是落实手段。代表了安全预警机制中人的因素。安全管理不仅包括行政意义上的安全管理,更主要的是对安全技术和安全策略的管理。实现安全管理必须遵循可操作、全局性、动态性、管理与技术的有机结合、责权分明、分权制约及安全管理的制度化等原则。单位专门设置主管领导、专管领导和使用部门分级负责,按块管理的模式,逐步加强,步步落实。
安全培训:最终用户的安全意识是信息系统是否安全的决定因素,因此对校园网络用户的安全培训是整个安全体系中重要、不可或缺的一部分。根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员和用户定期进行安全教育和培训,提高技术人员和用户的网络安全的警惕性和自觉性。
安全服务:这是面向校园网络管理的一个重要方面,通过网络管理员对校园网各个网络用户进行技术解答、对网络设备进行安全检查,对发现得的问题及时解决,采取上门服务,问卷调查,定期回访等方式,取得网络用户对网络安全问题的积极反馈,分别在系统级、应用级、用户级等各个方面提高网络服务质量,做好网络安全防护工作,真正发挥校园网络服务教学的作用。
三、结论
一套可行有效的校园网安全预警机制必须不断的实践与探索。在可能获得的设备和条件的基础上,整合资源,多层次、多方位的分析、诊断校园网络安全可能存在的问题,从技术、管理、服务等几方面来来不断的验证并进行质量的提升。长期来看,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的预警机制,提高校园网络的安全防范能力与应急处理能力,才能更好的给校园网用户提供安全可靠的网络运行环境。
参考文献:
[1]冯登国.国内外信息安全研究现状及发展趋势(摘编)[J].信息网络安全,2007,1:15-17
[3]王晓军.公共机房针对ARP欺骗的诊断分析与防御[J].实验室研究与探索.2009,8(28):8,56
[4]刘钦创.关于高校校园网安全若干问题的思考[J].网络安全技术与应用.2006,1(2):30-31
[5]杨尚森.网络管理与维护技术[J].电子工业出版社,2006
关键词:入侵检测;安全防护;主动保护
1 引言
随着信息化的高速发展和网络在人们生活、工作中的应用、普及,人们的安全意识也太太提高,对网络安全产品的需要也日益紧迫和严格。用户对于安全管理系统的要求已不满足于仅仅在出错时弹出一个对话框,而是希望系统在监控过往信息的同时能够对数据进行分析、消化。并以一种更加入性化的方式将网络上存在的安全风险准确地告知用户。
入侵检测系统(Intrus Jon Detection system,IDS)是近十几年来发展起来的一种主动安全防范技术。所谓入侵检测就是监视分析用户和系统的行为,审计系统配置和漏洞,评估敏感系统和数据的完整性,识别攻击行为,对异常行为进行统计,自动地收集和系统相美的补丁,进行审计跟踪识别违反安全法规的行为,使用专用服务器记录黑客行为等功能的总称。
IDS为计算机系统的完整性。可用性及可信性提供积极主动的保护,并在计算机系统受到危害之前进行拦截防卫。IDS对网络的控制手段有:黑名单断开、灰名单报警、阻塞HTTP请求、通知防火墙阻断和通过SN-MPTrap报警等。
2 技术的分析
入侵检测技术是通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应。从方式上可分为三种:异常、误用和模式的发现技术。
(1)异常
异常发现技术的前提是假定所有入侵行为都是与正常行为不同的。首先通过训练过程建立起系统正常行为的轨迹,然后在实际运用中把所有与正常轨迹不同的系统状态视为可疑。例如。通过流量统计分析将异常时问的异常网络流量视为可疑。
但异常发现技术的缺点是并非所有的入侵都表现为异常。
(2)误用
误用发现技术的入侵检测是指通过预先精确定义的入侵模式,对观察到的用户行为和资源使用情况进行检测。如入侵签名说明了导致误用事件弱点的特征、条件、序列和关系,还包含系统状态。
(3)模式
假定所有入侵行为和手段都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配发现。模式发现的关键是如何表达入侵的模式,定义发现入侵的规则库,把真正的入侵与正常行为区分开来。
3 设计的实现
基于不同的结构和侦听的策略,IDS可分为两类:主机型(Host-based IDS)和网络型(Network-based IDS)。
3.1主机型IDS
主机型IDS为早期的结构,是基于系统日志,应用程序日志或者通过操作系统的底层支持来进行分析,实时监视可疑的连接、系统日志检查以及特定应用的执行过程。主要用于保护自身所在的关键服务器。
在主机型IDS中,每一台被监控的服务器上都安装入侵检测。入侵检测的任务就是通过收集被监控服务器中的系统、网络及用户活动的状态和行为等数据,达到跟踪并记录这台服务器上的非授权访问企图或其他恶意行为之目的,如图01所示。
主机型入侵检测软件可以提供比网络型工具更好的应用层安全性,因为主机型软件可以检测到失败的访问企图,它可以监视用户访问文件或目录的次数。将软件加载到众多服务器和桌面上是一项费用高且耗时的工作。另外,一旦发现软件有新的问题l必须随之进行升级。
主机型IDS驻留在被检测的主机中,网络传输加密对入侵检测的工作不会产生影响。因为入侵检测是通过操作系统来读取相关信息,而操作系统已经在收到到来的数据时将其解密了。另外,主机型IDS还具有接近于实时的检测和应答响应时间。
(1)特点:
假如入侵者突破网络中的安全防线,已经进入主机操作,那么Host-Based IDS对于监测重要的服务器安全状态具有十分重要的价值。
(2)弱点:
①信息审计如易受攻击,入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来骗过审计;
②审计与网络不能通过分析主机审计记录来检测网络攻击(域名欺骗、端口扫描等);
③攻击类型受限Host-Based IDS只能对服务器的特定的用户、应用程序执行动作、日志进行检测,所能检测到的攻击类型受到限制,但提供预警报告。
3.2网络型IDS
网络型IDS则主要用于实时监控网络上的数据包,其输入数据来源于网络的信息流,能够检测该网段上发生的全部网络入侵。因此,网络型IDS可以保护整个网段内的所有主机。
网络型IDS利用网络侦听技术收集在网络上传输的分组数据包,并对这些数据包的内容、源地址。目的地址等进行分析,从中发现入侵行为,如图02所示。
(1)特点:
①服务器平立网络型IDS监视通信流量而不影响服务器平台的变化与更新;
②一个接口便可访问配置简单的网络型IDS的环境只需要一个普通的网络访问接口;
③防攻击类型多样众多的攻击标识可以监视多种多样的攻击,包括协议和特定环境的政击。
(2)弱点:
①无访问控制措施不像防火墙那样采取访问控制措施,但防火墙并不是入侵检测设备;
②攻击阻止差网络型IDS不能去阻止攻击,而采用预警方式。
现在一些产品扩展了IDS的功能,提供具有中断入侵会话的过程和非法修改访问控制列表对抗攻击。
中图分类号:TN711 文献标识码:A文章编号:41-1413(2012)01-0000-01
摘 要:网络带给人们的便利之一就是信息资源共享,然而,与之俱来的是来自各方的网络安全问题。网络安全预警系统针对大规模的网络进行预警,但传统的系统存在对未知的攻击缺乏有效的检测方法、对安全问题的检测通常处于被动阶段.本文主要介绍NAT技术的特点及网络安全预警系统中穿越防火墙/NAT技术的实现方法,使网络信息传递更安全、更快速、更准确。
关键词:网络安全预警NAT防火墙/NAT的穿越
0 网络安全预警系统
0.1 功能及体系结构
网络安全预警系统主要具有评估不同攻击者造成的信息战威胁、提供信息战攻击的指示和报警、预测攻击者的行为路径等功能。
目前的网络安全预警系统通常采用多层式结构,以入侵检测系统作为中心,对受保护的网络进行安全预警。该类系统通常由嗅探器模块、安全管理中心、远程管理系统服务器、远程终端管理器组成。嗅探器模块按一定策略检测网络流量,对非法的流量进行记录以便审计,并按照安全策略进行响应;安全管理中心管理嗅探器运行,并生成及加载嗅探器需要的安全策略,接受嗅探器的检测信息,生成审计结果;远程管理系统服务器负责监听控制信息,接收控制信息传递给安全管理中心,为实现远程管理实现条件;远程终端管理器为用户提供远程管理界面。
0.2 局限性
但是随着目前网络安全形势的日渐严峻,传统的网络安全预警系统逐渐显示出以下几方面的不足:
(1)目前的网络安全预警系统主要以入侵检测系统的检测结果作为预警信息的主要来源。由于入侵检测系统检测的被动性,使得预警自身就存在被动性,无法积极对受保护的网络实施预警。另外对于所保护系统产生威胁的根源―受保护系统自身的漏洞重视不够,从而当面对新的攻击时往往束手无策,处于极度被动的局面。
(2)新的攻击手段层出不穷,而作为中心的入侵检测系统在新的攻击面前显得力不从心。虽然目前也出现了一些启发式的检测方法,但是由于误报率或者漏报率比较高,在实际使用时也不太理想。
(3)预警信息传送的时效性。目前令人可喜的是用户己经注意到了安全问题,所以采用了一些安全部件如防火墙、入侵检测系统等对网络进行保护,但是同时也为预警信息的传送带了问题,即如何穿越防火墙/NAT进行信息的实时、有效传送就是一个关键的问题。
(4)传统的网络预警系统中着重在预警,相应的响应很少或者没有。
1 NAT技术
1.1 概念
NAT,即Networ Address Translation,可译为网络地址转换或网络地址翻译。它是一个IETF标准,允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址,反之亦然。它也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备。同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet地址和私有IP地址的使用。
1.2 分类
1.2.1 静态NAT(Static NAT)
即静态转换静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应关系由管理员手工指定。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问,并使该设备在外部用户看来变得“不透明”。
1.2.2 动态地址NAT(Pooled NAT)
即动态转换动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对并不是一一对应的,而是随机的。所有被管理员授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。每个地址的租用时间都有限制。这样,当ISP提供的合法IP地址略少于网络内部的计算机数量时,可以采用动态转换的方式。
1.2.3 网络地址端口转换NAPT(Port-Level NAT)
即端口多路复用通过使用端口多路复用,可以达到一个公网地址对应多个私有地址的一对多转换。在这种工作方式下,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,来自不同内部主机的流量用不同的随机端口进行标示,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自Internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
1.3 常用穿越技术
由于NAT的种类不同,所以具体对于NAT的穿越技术也有所不同。目前比较典型的穿越技术是协议隧道传输和反弹木马穿透。前者,采用直接从外网往内网连接的方式,利用防火墙通常允许通过的协议(如HTTP协议),将数据包按协议进行封装,从而实现从外网向内网进行数据传输,但是如果数据在通过防火墙时经过了NAT转换,就会失效;后者是采用由内向外的连接方式,通常防火墙会允许由内向外的连接通过,但是没有真正解决防火墙的穿越问题,无法解决对于由外向内的对实时性要求较高的数据传输,并且对于应用型防火墙,穿越时也比较困难。
2 网络安全预警系统中防火墙/NAT的穿越
2.1 应用型防火墙检测及信息注册模块
本模块主要用于验证发送方和接收方的报文是否能通过自身所在网络的防火墙,尤其是穿越应用服务器的注册相关信息,并获取必要的信息。
当发送方或接收方存在应用型防火墙时,可由发送方或接收方连接服务器,从而建立映射关系。由于发送方或接收方采用TCP连接方式连接服务器,所以映射关系可以一直保持。所以当服务器与主机连接时只需要知道相应的服务器地址、端口即可,而这些信息又可以从全局预警中心的注册信息中获得,从而解决了穿越应用型防火墙的问题。
2.2 阵雨NAT及包过滤、状态检测型防火墙检测模块
本模块主要用于检测接收方所在网络是否存在NAT以及是否存在类型为包过滤和状态检测类型的防火墙。在NAT检测报文中包含接收方的IP地址和端口,当到达发送方或者全局预警中心时,通过检查NAT检测报文的来源IP及端口,再比较报文中的IP地址和端口,若相同,则未经过NAT,否则经过了NAT。单从访问控制来说,包过滤和状态检测类型的防火墙可能会阻止由外网到内网的连接,但是,它不会改变连接的目的地址以及端口,所以通过向指定测试端口发送连接请求可看出是否有此类型的防火墙阻隔。
2.3 NAT映射维持模块
本模块主要根据NAT及包过滤、状态检测型防火墙检测模块的检测结果,反映出不同的映射维持。
当接收方所在网络存在NAT时,经过映射维持,使得在接收方所在网络的NAT处始终保持了一条接收方外网地址与内网地址的映射关系,从而使得发送方只要根据接收方的外网地址和端口即可与接收方直接通信,从而解决了外网与内网直接通信的问题。
当接收方所在的网络不存在NAT,但存在状态检测、包过滤类型的防火墙时,由于不断发送的NAT维持报文的存在,相应地在防火墙处开放了相应的端口,使得发送方可以从外到内通过此端口进行信息传送。
2.4 信息传送模块
防火墙的问题。对于一般类型的包过滤、状态检测防火墙,因为通信内容已封装成HTTPS协议的格式,所以对于从防火墙内部向外部的连接可穿越此类型的防火墙。对于从防火墙外部到内部的连接, NAT映射维持模块中NAT映射报文的存在也巧妙的解决了信息传送的问题。
3 结束语
本文采用HTTPS封装实际传输数据,可以使得数据安全传送,保证了信息可以穿越防火墙/NAT进行。但也存在着增加硬件额外开销、NAT映射相对维持报文较频繁等缺点,这些有待在进一步的研究中予以解决。
参考文献:
[1]肖枫涛.网络安全主动预警系统关键技术研究与实现 [D].长沙:国防科学技术大学.2009.
[2]张险峰等.网络安全分布式预警体系结构研究[J].计算机应用.2011.05.