網絡安全論文精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全論文主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全論文范文
1.1系統功能
在網絡安全態勢感知系統中,網絡服務評估系統的數據源是最重要的數據源之一。一方面,它能向上層管理者提供目標網絡的安全態勢評估。另一方面,服務數據源為其它傳感器(Log傳感器、SNMP傳感器、Netflow傳感器)的數據分析提供參考和依據[1]。
1.2主要功能
(1)風險評估,根據國家安全標準并利用測試系統的數據和主要的風險評估模型,獲取系統數據,定義系統風險,并提出應對措施[2]。
(2)安全態勢評估與預測,利用得到的安全測試數據,按照預測、隨機和綜合量化模型,對信息系統作出安全態勢評估與預測,指出存在的安全隱患并提出安全解決方案。
(3)建立數據庫支撐,包括評估模型庫、專家知識庫、標準規范庫等。
(4)輸出基于圖表樣式和數據文件格式的評估結果。
2系統組成和總體架構
2.1系統組成
網絡安全評估系統態勢評估系統是在Windows7平臺下,采用C++builder2007開發的。它的數據交互是通過核心數據庫來運行的,為了使評估的計算速度和讀寫數據庫數據更快,應將子系統與核心數據庫安裝在同一機器上。子系統之間的數據交互方式分別為項目數據交互和結果數據交互。前者分發采用移動存儲的形式進行,而后者的提交獲取是通過核心數據庫運行。
2.2總體架構
系統包括人機交互界面、控制管理、數據整合、漏洞掃描、安全態勢評估和預測、本地數據庫等六個模塊組成。網絡安全評估系統中的漏洞掃描部分采用插件技術設計總體架構。掃描目標和主控臺是漏洞掃描子系統的主要部分,后者是漏洞掃描子系統運行的中心,主控臺主要是在用戶打開系統之后,通過操作界面與用戶進行交流,按照用戶下達的命令及調用測試引擎對網絡上的主機進行漏洞測試,測試完成后調取所占用的資源,并取得掃描結果,最后形成網絡安全測試評估報告,通過這個測試,有利于管理人員發現主機有可能會被黑客利用的漏洞,在這些薄弱區被黑客攻擊之前對其進行加強整固,從而提高主機網絡系統的安全性。
3系統工作流程
本系統首先從管理控制子系統獲取評估任務文件[3],然后根據任務信息從中心數據庫獲取測試子系統的測試數據,再對這些數據進行融合(加權、去重),接著根據評估標準、評估模型和支撐數據庫進行評估[4],評估得到網絡信息系統的安全風險、安全態勢,并對網絡信息系統的安全態勢進行預測,最后將評估結果進行可視化展示,并生成相關評估報告,以幫助用戶進行最終的決策[5]。
4系統部分模塊設計
4.1網絡主機存活性識別的設計
“存活”是用于表述網絡主機狀態[6],在網絡安全評估系統中存活性識別流程對存活主機識別采用的方法是基于ARP協議。它的原理是當主機或路由器正在尋找另外主機或路由器在此網絡上的物理地址的時候,就發出ARP查詢分組。由于發送站不知道接收站的物理地址,查詢便開始進行網絡廣播。所有在網絡上的主機和路由器都會接收和處理分組,但僅有意圖中的接收者才會發現它的IP地址,并響應分組。
4.2網絡主機開放端口/服務掃描設計
端口是計算機與外界通訊交流的出口[7],軟件領域的端口一般指網絡中面向連接服務的通信協議端口,是一種抽象的軟件結構,包括一些數據結構和FO(基本輸入輸出)緩沖區[8]。
4.3網絡安全評估系統的實現
該實現主要有三個功能,分別是打開、執行和退出系統[9]。打開是指打開系統分發的評估任務,顯示任務的具體信息;執行任務指的是把檢測數據融合,存入數據庫;退出系統是指關閉系統。然后用戶在進行掃描前可以進行選擇掃描哪些項,對自己的掃描范圍進行設置。進入掃描后,界面左邊可以顯示掃描選項,即用戶選中的需要掃描的項[10]。界面右邊顯示掃描進程。掃描結束后,用戶可以點擊“生成報告”,系統生成用戶的網絡安全評估系統檢測報告,最終評定目標主機的安全等級[11]。
5結束語
(1)系統研究還不夠全面和深入。網絡安全態勢評估是一門新技術[12],很多問題如規劃和結構還沒有解決。很多工作僅限于理論,設計方面存在爭論,沒有統一的安全態勢評估系統模型[13]。
(2)網絡安全狀況評估沒有一致的衡量標準。網絡安全是一個全面統一的概念[14],而網絡安全態勢的衡量到現在還沒有一個全面的衡量機制[15]。這就導致現在還沒有遵守的標準,無法判斷方法的優劣。
第2篇:網絡安全論文范文
數據加密技術
古典加密方法主要有兩類,即替換密碼和易位密碼。替換密碼的原理是將每個字母或每組字母用另一個或一組偽裝字母所替換,例如字母a~z的自然順序保持不變,但使之與D,E,F,G,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z,A,B,C對應。若明文為Caesarcipher,則對應的密文為FDHVDUFLSKHU。這種加密方法比較簡單,容易破解。古典加密技術使用的算法相對簡單,它主要是靠較長的密鑰來實現信息的保密。今天的加密方法與傳統加密技術相反,它使用很短的密鑰,但算法設計非常復雜,主要是防止信息截取實現密碼破譯。這其中的關鍵是密鑰,它是密碼體制安全的重中之重。密碼體制分為對稱密碼體制、非對稱密碼體制和混合密碼體制。對稱密碼體制又名單鑰密碼體制,非對稱密碼又名雙鑰密碼體制,而混合密碼體制是單鑰密碼體制和雙鑰密碼體制的混合實現。例如:分組密碼和公開密鑰密碼體制。
1分組密碼分組密碼屬于對稱密碼體制(單鑰密碼體制)中的一種,它的原理是將整個明文進行分組,以組為單位來進行加密和解密。其中最常用的數據加密標準是DES(美國的數據加密標準)和IDEA(國際數據加密算法)。分組密碼在加密時,首先將擬加密的數據信息按照64比特進行分組,然后用長度是56比特的密鑰對數據分組進行變換。解密時,用相同的密鑰將加密后的數據信息分組做加密變換的反變換,即可得到原始數據信息分組。
2公開密鑰算法公開密鑰算法屬于非對稱密碼體制,它是一種全新的加密算法。該系統在加密時所使用的密鑰與在解密過程中所使用的密鑰是完全不同的,而且在解密時所使用的密鑰是不能夠從加密時所使用的密鑰中計算出來的。這種加密密鑰是可以公開的,每個使用者都能使用加密密鑰來加密自己所發送的信息數據,所以也被人們稱之為公開密鑰算法。但是,要想讀懂發送者發出的信息數據內容,就必須要知道解密密鑰,這種解密密鑰被稱之為私有密鑰。在已經使用的公開密鑰密碼體制中,RSA算法使用得最為廣泛。數學上,兩個大素數相乘容易,但要對其乘積進行因式分解卻極其困難,所以RSA算法將乘積公開作為加密密鑰。
數字簽名技術
數字簽名是以電子形式將信息存于數據信息中,它是信息發送者為防止數據泄密而輸出的一段別人無法偽造的數字串,是對信息發送者發送信息真實性的一個有效證明。它通過采用公鑰加密技術,作為其附件的或邏輯上與之有聯系的數據,用于辨別數據簽署人的身份,并表明簽署人對數據信息中包含內容的認可,它是不對稱加密算法的典型應用。經過數字簽名后的文件,其完整性是很容易驗證的。它不同于紙質文件,為證明文件的真實性,要求文件蓋章要騎縫,簽名要騎縫,電子簽名文件具有不可抵賴性,也不需要筆跡專家。數字簽名技術就是對數據信息做出特意的密碼變換,將摘要信息用私有密鑰進行加密,然后與原文件信息一起同時傳送給接收人,它允許接收人用于確定所接收數據單元的完整性和發送者的真實身份,并對數據單元進行保密,防止被他人盜取。使用數字簽名可以實現接收人能夠確認發送人對報文的簽名,而發送人在事后對所發送的信息和簽名不能抵賴,同時接收方不能偽造對報文的簽名等三個功能。
數字簽名可以通過公鑰密碼體制和私鑰密碼體制獲得,目前常用的是基于公鑰密碼體制的數字簽名。它又包括普通數字簽名(RSA)和特殊數字簽名。普通數字簽名,采用公開密鑰加密法,其算法有多種,例如RSA、盲簽名、簽名、多重簽名等等。
(1)盲簽名:即簽名者不公開自己的身份,首先將自己的信息進行盲化,然后再讓簽名對盲化的信息進行簽名。當接收者收到該信息后,只要去掉其中的盲因子,就可以得到簽名人關于原消息的簽名。盲簽名多用于電子選舉、電子商務等活動中。比如電子選票,我們希望該選票是有效的,但并不希望知道該選票是誰填寫的。
第3篇:網絡安全論文范文
在網絡安全教學中,作為企業網絡管理者,最開始我們需要了解的是:(1)公司網絡拓撲結構,雖然企業不一定給你最完整的資訊,但是一定會告訴我們有哪些基本的網絡設備,我們至少應該知道這些設備可以干什么,然后清楚地意識到在不久的將來我們都需要或多或少的對它進行配置[3]。例如:交換機、路由器、防火墻、VPN、無線AP、VOIP及內容過濾網關等[4]。(2)企業還會告訴我們一些功能服務器,這些也是我們日后需要進行管理的對象。例如:企業AD、DHCP、DNS、FTP、WEB、網絡ghost服務器、Share服務器、WSUS服務器和Exchange服務器等等。我們需要記下這些網絡設備和功能服務器的IP地址。
2企業網絡安全管理的方式
2.1企業網絡安全管理可能遇到的問題
作為企業網絡安全實驗教學,我們需要盡可能的模擬更多的企業網絡問題給學生來思考和解決:(1)給你一個IP地址,你能準確地找到這臺機器么?你需要什么輔助你?(2)有人說他能上內網,但外網不行,你會想到什么?(3)有人說他QQ還可以聊天,但網頁打不開,你怎么想?以上模擬的問題都是企業中最容易出現的,在讓學生思考以上問題的同時,以下問題才是需要讓學生們在模擬企業網絡管理者的時候需要規劃的:(1)研發部門的服務器突然增加了,可是給他們的IP地址不夠分了,怎么辦?(2)財務數據庫服務器數據很敏感,可是外地分公司的業務又必須訪問,你將制定怎樣的策略?(3)規劃的網絡是固定IP還是自動分配呢?
2.2解決問題的注意事項
2.2.1節點安全
更多的時候我們需要讓學生們了解到通過各種軟件保障設備的穩定運行是預防節點安全的主要手段。我們可以通過監控系統日志實現對系統信息日志、權限管理日志和資源使用率日志的管理;通過監控硬件狀態實現對溫度、電壓、穩定性和硬件故障的管理;通過異常警報實現對沖突異常、侵入異常、失去功能異常、突發性性能異常等狀況的管理;通過容災實現對硬件損壞、停電、失火、散熱失效等的管理。
2.2.2軟件安全
最復雜最難管理的就是軟件安全,因為我們所有的服務器硬件都是為運行在上面的軟件服務的,而軟件又都是由人根據需求編寫代碼開發出來的應用程序。往往一款軟件需要很多人的協作開發,由于各種局限性,在開發過程中無法考慮各種情況,因此軟件都會有各種各樣的缺陷,需要不斷的修正。有的缺陷是無傷大雅的,而有的缺陷卻是致命的。你不是開發者,這些缺陷對你來說又是不可控的。你只能被動的防范這些缺陷,而往往修補這些缺陷都發生在缺陷產生危害之后。然而裝的軟件越多,這些缺陷也就越多。更要命的是,病毒、木馬它們也是軟件,操作系統自身無法識別。殺毒軟件可以處理病毒、木馬,但是安全軟件一不小心也會成為不安全的因素。例如:金山網盾事件、暴風影音事件等。盡管如此,我們依然可以防范,那就是把握以下原則:(1)最少安裝原則:提供什么服務就只裝什么服務或軟件,其他一律屏蔽;(2)最少開放原則:需要什么端口就開放什么端口,其他一律屏蔽;(3)最小特權原則:給予主體“必不可少”的權限,多余的都不開放。
2.2.3數據安全
不論是節點安全還是軟件安全,我們最終的目的都是為了保障數據安全。這也是網絡安全的終極意義。這是我們在課堂上務必讓學習網絡安全的學生了解的內容。數據安全其實是數據保管安全,涉及以下4個方面:(1)數據在存儲介質上的物理安全。即防范存儲介質損壞造成的數據丟失隱患。(2)數據在存儲介質上的邏輯安全。即防范因各種操作造成的數據邏輯破壞、刪除或丟失的隱患。(3)數據在空間上的安全。即防范因各種災難造成當地的整個數據完全損毀的隱患。(4)數據在管理上的安全。即防范敏感或機密數據通過公司內部員工人為泄露的隱患。數據傳輸安全是互聯網安全的重點,主要防范重點如下:(1)數據在傳輸過程中被阻礙(例如,DDOS攻擊);(2)數據在傳輸過程中被竊取(因為無線上網設置不當造成公司資源外泄);(3)數據在傳輸過程中被修改(網頁注入式攻擊)。
3結束語
第4篇:網絡安全論文范文
【關鍵詞】網絡安全;防火墻;數據庫;病毒;黑客
當今許多的企業都廣泛的使用信息技術,特別是網絡技術的應用越來越多,而寬帶接入已經成為企業內部計算機網絡接入國際互聯網的主要方式。而與此同時,因為計算機網絡特有的開放性,企業的網絡安全問題也隨之而來,由于安全問題給企業造成了相當大的損失。因此,預防和檢測網絡設計的安全問題和來自國際互聯網的黑客攻擊以及病毒入侵成為網絡管理員一個重要課題。
一、網絡安全問題
在實際應用過程中,遇到了不少網絡安全方面的問題。網絡安全是一個十分復雜的問題,它的劃分大體上可以分為內網和外網。如下表所示:
由上表可以看出,外部網的安全問題主要集中在入侵方面,主要的體現在:未授權的訪問,破壞數據的完整性,拒絕服務攻擊和利用網絡、網頁瀏覽和電子郵件夾帶傳播病毒。但是網絡安全不僅要防范外部網,同時更防范內部網。因為內部網安全措施對網絡安全的意義更大。據調查,在已知的網絡安全事件中,約70%的攻擊是來自內部網。內部網的安全問題主要體現在:物理層的安全,資源共享的訪問控制策略,網內病毒侵害,合法用戶非授權訪問,假冒合法用戶非法授權訪問和數據災難性破壞。
二、安全管理措施
綜合以上對于網絡安全問題的初步認識,有線中心采取如下的措施:
(一)針對與外網的一些安全問題
對于外網造成的安全問題,使用防火墻技術來實現二者的隔離和訪問控制。
防火墻是實現網絡安全最基本、最經濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制(允許、禁止、報警)。
防火墻可以監視、控制和更改在內部和外部網絡之間流動的網絡通信;用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,從而保護內部網絡操作環境。所以,安裝防火墻對于網絡安全來說具有很多優點:(1)集中的網絡安全;(2)可作為中心“扼制點”;(3)產生安全報警;(4)監視并記錄Internet的使用;(5)NAT的位置;(6)WWW和FTP服務器的理想位置。
但防火墻不可能完全防止有些新的攻擊或那些不經過防火墻的其它攻擊。為此,中心選用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一種基于主機的實時入侵檢測產品,一旦發現對主機的入侵,RealSecure可以中斷用戶進程和掛起用戶賬號來阻止進一步入侵,同時它還會發出警報、記錄事件等以及執行用戶自定義動作。RealSecureSystemAgent還具有偽裝功能,可以將服務器不開放的端口進行偽裝,進一步迷惑可能的入侵者,提高系統的防護時間。Re?鄄alSecureNetworkEngin是基于網絡的實時入侵檢測產品,在網絡中分析可疑的數據而不會影響數據在網絡上的傳輸。網絡入侵檢測RealSecureNetworkEngine在檢測到網絡入侵后,除了可以及時切斷攻擊行為之外,還可以動態地調整防火墻的防護策略,使得防火墻成為一個動態的、智能的防護體系。
通過部署入侵檢測系統,我們實現了以下功能:
對于WWW服務器,配置主頁的自動恢復功能,即如果WWW服務器被攻破、主頁被纂改,系統能夠自動識別并把它恢復至事先設定的頁面。
入侵檢測系統與防火墻進行“互動”,即當入侵檢測系統檢測到網絡攻擊后,通知防火墻,由防火墻對攻擊進行阻斷。
(二)針對網絡物理層的穩定
網絡物理層的穩定主要包括設備的電源保護,抗電磁干擾和防雷擊。
本中心采用二路供電的措施,并且在配電箱后面接上穩壓器和不間斷電源。所有的網絡設備都放在機箱中,所有的機箱都必須有接地的設計,在機房安裝的時候必須按照接地的規定做工程;對于供電設備,也必須做好接地的工作。這樣就可以防止靜電對設備的破壞,保證了網內硬件的安全。
(三)針對病毒感染的問題
病毒程序可以通過電子郵件、使用盜版光盤等傳播途徑潛入內部網。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。防病毒解決方案體系結構中用于降低或消除惡意代碼;廣告軟件和間諜軟件帶來的風險的相關技術。中心使用企業網絡版殺毒軟件,(例如:SymantecAntivirus等)并控制寫入服務器的客戶端,網管可以隨時升級并殺毒,保證寫入數據的安全性,服務器的安全性,以及在客戶端安裝由奇虎安全衛士之類來防止廣告軟件和間諜軟件。
(四)針對應用系統的安全
應用系統的安全主要面對的是服務器的安全,對于服務器來說,安全的配置是首要的。對于本中心來說主要需要2個方面的配置:服務器的操作系統(Windows2003)的安
全配置和數據庫(SQLServer2000)的安全配置。1.操作系統(Windows2003)的安全配置
(1)系統升級、打操作系統補丁,尤其是IIS6.0補丁。
(2)禁止默認共享。
(3)打開管理工具-本地安全策略,在本地策略-安全選項中,開啟不顯示上次的登錄用戶名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帳號,并給guest加一個異常復雜的密碼。
(6)關閉不必要的端口。
(7)啟用WIN2003的自身帶的網絡防火墻,并進行端口的改變。
(8)打開審核策略,這個也非常重要,必須開啟。
2.數據庫(SQLServer2000)的安全配置
(1)安裝完SQLServer2000數據庫上微軟網站打最新的SP4補丁。
(2)使用安全的密碼策略
。設置復雜的sa密碼。
(3)在IPSec過濾拒絕掉1434端口的UDP通訊,可以盡可能地隱藏你的SQLServer。
(4)使用操作系統自己的IPSec可以實現IP數據包的安全性。
(五)管理員的工具
除了以上的一些安全措施以外,作為網絡管理員還要準備一些針對網絡監控的管理工具,通過這些工具來加強對網絡安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP協議的探測工具。
Ipconfig/winipcfg,查看和修改網絡中的TCP/IP協議的有關配置,
Netstat,利用該工具可以顯示有關統計信息和當前TCP/IP網絡連接的情況,用戶或網絡管理人員可以得到非常詳盡的統計結果。
SolarWindsEngineer''''sEditionToolset
另外本中心還采用SolarWindsEngineer''''sEditionToolset。它的用途十分廣泛,涵蓋了從簡單、變化的ping監控器及子網計算器(Subnetcalculators)到更為復雜的性能監控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介紹:
SolarWindsEngineer’sEdition是一套非常全面的網絡工具庫,包括了網絡恢復、錯誤監控、性能監控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition還增加了新的SwitchPortMapper工具,它可以在您的switch上自動執行Layer2和Layer3恢復。工程師版包含了SolarwindsMIB瀏覽器和網絡性能監控器(NetworkPerformanceMonitor),以及其他附加網絡管理工具。
SnifferPro能夠了解本機網絡的使用情況,它使用流量顯示和圖表繪制功能在眾多網管軟件中最為強大最為靈活;它能在于混雜模式下的監聽,也就是說它可以監聽到來自于其他計算機發往另外計算機的數據,當然很多混雜模式下的監聽是以一定的設置為基礎的,只有了解了對本機流量的監聽設置才能夠進行高級混雜模式監聽。
除了上面說的五個措施以外,還有不少其他的措施加強了安全問題的管理:
制訂相應的機房管理制度;
制訂相應的軟件管理制度;
制訂嚴格的操作管理規程;
制訂在緊急情況下系統如何盡快恢復的應急措施,使損失減至最小;
第5篇:網絡安全論文范文
眾所周知,只要是基于互聯網之下的系統,都要按時對其進行系統的升級。否則,該系統就會出現漏洞,從而導致黑客和惡意軟件的入侵,給系統造成嚴重的破壞。電力調度自動化的網絡系統也是如此,如果電力調度人員不能定期的給電力調度自動化的網絡系統進行升級,那么就會導致該系統出現漏洞。這個時候,黑客就可以借助一些高科技的技術,肆意的去修改或者是竊取電力調度傳輸過程中的信息。電力調度的信息一旦被修改或者是竊取,將會給電力企業造成無法挽回的經濟損失。
2電力調度人員沒有對電力調度自動化的網絡系統進行嚴格的管理
一方面,電力調度自動化具有復雜性,也正是因為它的這種復雜性,讓電力調度人員在對電力調度自動化的網絡系統進行管理的時候,出現了難以對其進行管理的現象。另一方面,隨著互聯網的不斷發展,更是增強了一些惡意軟件和黑客的技術手段,這就從很大程度上增加了電力調度自動化的網絡安全問題。隨著電力調度自動化網絡安全問題的加深,電力調度自動化在運行的過程當中,就會出現越來越多的問題,從而導致整個電力調度自動化不能正常的進行運轉。
3電力調度人員沒有盡到該盡的責任
電力調度人員自身的素質,在電力調度自動化管理的過程當中起著決定性的作用。因此,電力調度人員要是不具備很高的個人素質,那么他在工作的整個過程當中,就不會用嚴謹的態度去履行工作的義務,那就更別說是承擔起相應的責任了。于是,一旦網絡安全出現問題,他們也就無法及時找到造成這些問題出現的因素,從而導致問題越來越嚴重,以致于最后危及到了整個電力調度自動化的運行。
4探究解決電力調度自動化網絡安全問題的方法
通過對電力調度自動化的網絡安全問題進行仔細的分析和探究,現將能夠有效解決這一問題的方法列舉出來:
4.1為電力調度自動化建造一個基于科學之上的網絡結構
建設人員在為電力調度自動化建立網絡結構的時候,要嚴格的按照網絡安全中所規定的去進行,以確保網絡結構的一致性和完整性。
4.2安排專業的技術人員對電力調度自動化的網絡系統進行管理
當電力調度自動化在運行的時候,電力企業要安排專業的技術人員,對電力調度自動化網絡系統進行實時的監控和管理。一旦網絡系統出現了問題,那么技術人員就可以及時的發現,并找出造成這一問題出現的原因,然后對其進行全面的分析和探究,最后總結出一個能夠有效解決這一問題的辦法。其次,電力企業還要對這些技術人員進行定期的網絡安全管理知識的培訓,以提高他們的網絡管理水平。
4.3對電力調度自動化的網絡系統進行定期的維護
對網絡系統進行定期的維護,可以有效的減少網絡系統出現問題的概率。當然,在對網絡系統進行維護的時候,要對網絡系統進行全方位的檢查和維護,比如:可以用殺毒軟件清理網絡系統中的垃圾、對需要升級的軟件進行升級和檢查網絡系統中的信息等等。只有加強了對網絡系統的維護,才能夠從很大程度上避免網絡系統在運行的過程當中出現安全性問題。
5結束語
第6篇:網絡安全論文范文
1.1電力系統結構混亂
隨著我國信息技術的發展,電力調度自動化系統也必須要不斷地更新升級,但是在很多電力企業,無法很及時地對其進行升級加固,最終導致了電力調度系統的結構混亂。另外在電力企業,對整個電力調度自動化系統沒有一個完整的規劃,并且很多調度自動化網絡安全防護措施都沒有起到相應的作用,在電力調控過程中無法起到防護的作用。
1.2企業的網絡安全管理力度不強
在電力企業中,由于電力調度自動化網絡安全管理的組成結構十分復雜,因此在安全管理方面會有很大的困難。現今在因特網技術發展的時代,一些黑客以及新型網絡病毒也隨之產生,對網絡產生很大的危害。在一些調控中心以及發電廠,在建設一些信息控制系統以及交互數據時,對網絡安全問題不夠重視,對于一些網絡問題的處理規劃不夠完善,存在很大的問題,導致了安全防護能力很差,存在很大的安全隱患。并且網上的一些黑客可以利用各種手段對調度數據進行竊取修改,以此來對電力設備進行非法性操作,嚴重影響電力調度自動化的運行。
1.3系統管理人員的綜合素質較差
電力企業在進行電力調度自動化網絡安全維護中,相關技術人員的綜合素質十分重要。但是在現今我國的很多電力企業,相關技術人員的技術水準不能滿足信息技術飛速發展的要求,綜合素質普遍過低,并且對于網絡安全缺乏相應的認識。因此在發生安全問題時,無法在第一時間進行處理;且過分依賴廠家,沒有獨立解決問題的能力,最終導致了電力調度自動化網絡的維護出現很大問題。
2增強電力調度自動化網絡安全防護的建議
2.1建設科學的網絡架構
對于科學的網絡架構,主要是根據我國的電力調度自動化網絡系統中的混亂問題所提出。因此在網絡規劃、建設時,一定要遵循網絡安全體系的統一性以及整體性原則,并且一定要遵循電力調度自動化網絡安全的相關要求,以此來實現對電力調度自動化系統網絡的一次性安裝。主要從以下三個方面進行分析:
(1)在物理角度進行分析。
在對電力調度自動化網絡系統的架構中,其中物理層面是確保網絡安全性的基礎。并且在網絡系統的安裝過程中,要對各個方面進行全面的考慮,其中包括地震等自然災害。另外對于建設的電力調度自動化機房也必須要按照相關的規定進行建設,對機房的溫濕度進行全面的策劃控制,以此來做好機房的降溫保護,從而防止設備事故的發生。同時也要做好防靜電保護,對于機房的地板選擇,一定要選擇符合規定的防靜電地板,這樣可以充分地確保電力調度自動化網絡系統物理層面的安全。此外,自動化機房的輔助設施,包括UPS電源系統及環境監控系統,必須同步完成建設、投運。
(2)系統角度的安全分析。
在電力調度自動化網絡建設安裝中,要加強對網絡系統的保護,其中主要是針對電力生產控制系統。要重點對邊界防護進行控制,提高其安全防護能力,并且要保證電力生產控制系統數據的安全。另外,調度端及廠站端電力二次系統安全防護應滿足“安全分區、網絡專用、橫向隔離、縱向認證”基本原則要求。安全防護策略從邊界防護逐步過渡到全過程安全防護,安全四級主要設備應滿足電磁屏蔽的要求,全面形成具有縱深防御的安全防護體系。
(3)網絡角度安全分析。
電力調度自動化水平直接受到網絡結構有效性的影響。所以,電力企業在進行網絡系統的安裝中,一定要確保網絡結構的科學性以及有效性。另外在網絡的結構設計中,必須要利用樹狀分支與環狀聯接相結合的方式對網絡進行構建,在不同的節點上設置不同的電力調度系統,以此來有效地提高電力調度自動化的效率和穩定性。
2.2堅持電力二次安全防護策略的執行
在對電力企業的電力調度自動化網絡系統進行架構時,一定要根據系統業務的重要性對系統的影響程度進行分區,并且要對實時控制系統進行重點保護,將所有的系統都要置于相應的安全分區中。對安全分區進行相應的隔離,尤其是核心系統,隔離的強度一定要高,以此來增強安全性能。另外,要在專用通道上建立電力調度數據網絡,從而來實現與其他網絡的物理隔離。同時,要利用MPLS-VPN在專用網上形成多個相互邏輯隔離的VPN,從而來實現多層保護。并且利用加密手段對數據進行加密處理,以保障數據傳輸中的安全。
2.3加強對網絡日常維護的安全管理
在電力企業中,對電力調度自動化調配過程中,一定要加強日常維護工作,以此來提高對網絡安全的管理水平,確保安全可靠。其中主要的維護內容有:網絡系統物理安全方面的研究、數據信息安全性的研究、對網絡軟件的安全性維護。在網絡維護過程中,可以利用一些殺毒軟件,來對網絡病毒進行相應的查殺,并定期升級,從而有效地保證網絡的安全運行。應制定和落實調度自動化系統應急預案和故障恢復措施,系統和運行數據應定期備份。
3結語
第7篇:網絡安全論文范文
關鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
第8篇:網絡安全論文范文
以高斯核函數作為支持向量機的核函數,進而對預測模型(fx)進行優化,優化參數為ε,c和σ。基于傳統形式下的支持向量機參數優化大都采用窮舉法以及經驗確定發和網絡搜索法進行,由于經驗確定發所選取的參數并不是最優參數,因此,對整個網絡安全態勢預測的精度較低,而以窮舉法以及網絡搜索為主的參數優化方法則耗時較長,增加了最優參數的查找難,故以上三種支持向量機的參數優化方法均不能滿足網絡安全態勢預測工作具體要求[5]。為此,該文選取遺傳算法對上述相關參數進行優化。遺傳算法是一種以生物界的自然選擇為基礎的數據啟發式算法,其通將生物進化的機理引入到數據計算上,進而在有效提高搜索速度的同時,也以其兼顧全局搜索能力和并行搜索能力的特點擴大了搜索范圍,故本文采取遺傳算法對當前支持向量機參數ε,c和σ進行優化。
2基于支持向量機算法的網絡安全態勢預測過程
基于支持向量機算法的網絡安全態勢預測主要分為四步,分別為:(1)數據收集與預處理,對能夠反映當前網絡安全態勢預測的數據信息進行收集,并對數據收集過程中出現的數量異常以及不良數據進行處理。由前文可知,網絡安全態勢容易受到多種因素的影響,而不同影響因素對網絡態勢的影響數據也具有較大差異。但支持向量機只對處于(0,1)區間的數據最為敏感,因此,需要將相關數據轉化到(0,1)區間內再對其進行具體分析。將數據轉化到(0,1)之間的處理方法為:x'i=xi-xminxmax-xmin,式中網絡安全態勢的原始值為xi,而其態勢的最大值和最小值分別用xmax和xmin表示。(2)以嵌入維和時間延遲的方法將以為網絡的安全態勢數據轉化為多維網絡下的安全態勢數據。為了方便計算,該文將網絡安全態勢數據變化的時間延遲設為1,嵌入維則2,3...n的的順序逐步試奏,進而確定出模型的嵌入維度。設定一維網絡安全態勢的預測數據組為{x1,x2,x3...xn},則將其分別轉化為多維度的網絡安全態勢數據,具體表示方法如下所示:當樣本輸入為x1,x2,x3...xm-1時,期望的輸出值為xm;當樣本輸出值為x2,x3...xm時,期望輸出值為xm+1;當樣本輸出值為x3,x4...xm+1時,期望輸出值為xm+2,以此類推[6]。(3)分組。所謂分組是指將網絡安全態勢的上述數據分為訓練集和測試集兩部分,將處于訓練集中的兩組輸入與輸出數據分別輸入到支持向量機中進行學習,并利用遺傳算法對ε,c和σ等參數進行尋優,進而將所得到的最優參數帶入網絡安全態勢預測的數學模型(fx)中,至此,最優網絡安全態勢模型建成。(4)利用上述得到的網絡安全態勢最優預測模型對(3)中測試集內的數據進行預測,并將相關的預測結果以x'i=xi-xminxmax-xmin進行轉化,使預測態勢值分布在(0,1)區間當中,最后,根據所計算出的網絡安全態勢值預測網絡的運行狀態。
3實例分析
3.1網絡安全態勢數據的選取
選取某公司互聯網在2013年10月1日-10月30日的邊界安全監測數據,每天對其進行4次抽取采樣,則30天內共獲得120個網絡安全態勢監測的態勢值。人為規定前90個態勢值為支持向量機的訓練樣本,后30個態勢值為支持向量機的測試樣本,且相關實驗均在matlab7.0平臺上進行。
3.2最優模型的實現
仍然設定該公司的網絡安全態勢數據傳輸的延遲時間為單位1,利用試奏法向態勢數據中嵌入維數,并將嵌入維數確定為8。此時,支持向量機擁有7個輸入變量和1個輸入變量。以延遲時間與嵌入維度為依據對當前反應網絡安全態勢的數據進行重構,進而生成支持向量機的訓練樣本及測試樣本。中的第三步,將代表訓練樣本的數據輸入到支持向量機中進行學習,并利用遺傳算法對其進行優化,并將算法的參數值設定為如下形式:進化次(代)數150,優化前的初始種群(數據)個數50,實際完成目標與訓練目標的誤差率為0.01,訓練樣本的交叉率為0.95,突變概率為0.05。
3.3利用模型進行網絡安全態勢的預測
由3.2可知,網絡安全態勢預測模型的最優參數為,ε=0.01,c=100和σ=5,將其帶入預測模型當中,則預測模型便成為了最優網絡安全態勢預測模型。利用該模型對前50代的安全態勢值進行預測分析,并描繪出態勢值的預測數據特征曲線。通過分析曲線可知,所建立的網絡安全態勢預測模型可以有效對該公司邊界安全監測數據進行預測,且相關預測數據具有較高精度。
4結論
第9篇:網絡安全論文范文
關鍵詞:SNMP;RRDTOOL;CACTI;流量監控
1引言
隨著網絡技術的迅速發展和各種網絡業務應用的普及,用戶對網絡資源的需求不斷增長,網絡已成為人們日常工作生活中不可或缺的信息承載工具,同時人們對網絡性能的要求也越高,在眾多影響網絡性能的因素中網絡流量是最為重要的因素之一,它包含了用戶利用網絡進行活動的所有的信息。通過對網絡流量的監測分析,可以為網絡的運行和維護提供重要信息,對于網絡性能分析、異常監測、鏈路狀態監測、容量規劃等發揮著重要作用。
SNMP(簡單網絡維護管理協議)是Internet工程任務組(IETF)在SGMP基礎上開發的,SNMP是由一系列協議組和規范組成的,SNMP的體系結構包括SNMP管理者(SNMPManager)、SNMP者(SNMPAgent)和管理信息庫(MIB)。每個支持SNMP的網絡設備中都包含一個,不斷地收集統計數據,并把這些數據記錄到一個管理信息庫(MIB)中,網絡維護管理程序再通過SNMP通信協議查詢或修改所紀錄的信息。從被管理設備中收集數據有兩種方法:輪詢方法和基于中斷的方法。SNMP最大的特點是簡單性,容易實現且成本低,利用SNMP協議能夠對被監視的各個網絡端口輸入字節數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出字節數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等進行采集。
2RRDTOOL的工作原理
RRDTOOL代表“RoundRobinDatabasetool”,是TobiasOetiker設計的一個基于Perl的功能強大的數據儲存和圖形生成工具,最初設計目的是為流量統計分析工具MRTG提供更好的數據存儲性能和更強的圖形生成功能。所謂的“RoundRobin”其實是一種存儲數據的方式,使用固定大小的空間來存儲數據,并有一個指針指向最新的數據的位置。我們可以把用于存儲數據的數據庫的空間看成一個圓,上面有很多刻度。這些刻度所在的位置就代表用于存儲數據的地方。所謂指針,可以認為是從圓心指向這些刻度的一條直線。指針會隨著數據的讀寫操作自動移動。要注意的是,這個圓沒有起點和終點,所以指針可以一直移動,而不用擔心到達終點后就無法前進的問題。在一段時間后,當所有的空間都存滿了數據,就又從頭開始存放。這樣整個存儲空間的大小就是一個固定的數值。所以RRDtool就是使用類似的方式來存放數據的工具,RRDtool所使用的數據庫文件的后綴名是''''.rrd''''。
和其它數據庫工具相比,它具有如下特點:
首先RRDtool存儲數據,扮演了一個后臺工具的角色。但同時RRDtool又允許創建圖表,這使得RRDtool看起來又像是前端工具。其他的數據庫只能存儲數據,不能創建圖表。
RRDtool的每個rrd文件的大小是固定的,而普通的數據庫文件的大小是隨著時間而增加的。
其他數據庫只是被動的接受數據,RRDtool可以對收到的數據進行計算,例如前后兩個數據的變化程度(rateofchange),并存儲該結果。
RRDtool要求定時獲取數據,其他數據庫則沒有該要求。如果在一個時間間隔內(heartbeat)沒有收到值,則會用UNKN代替,其他數據庫則不會這樣做。
3監測系統的安裝與配置
(1)配置路由器和交換機:
開始配置RRDTool之前,必須對需要監測的網絡及設備進行良好的規劃、設計與配置,包括配置設備互聯地址、網管地址及路由,保證流量監測計算機可以與被監測設備網絡層的互通;配置SNMP通信字符串和端口號,掌握需要的監測對象號(SNMPOID),確保流量監測計算機可以獲取正確的SNMP信息。在路由器和交換機上啟動SNMP,并設置只讀團體名。命令如下:
(config)#snmp-serverenabletraps
(config)#snmp-servercommunitytestro
(2)安裝配置RRDTool:
我們以Debian平臺來安裝配置RRDTOOL系統,在安裝RRDTOOL前首先要安裝支持RRDTOOL運行的環境:Zlib、libart_lgpl、cgilib、Libpng、freetype軟件包。
①安裝apache、mysql、php:apt-getinstallapache2php4mysql-serverphp4-mysql;安裝成功后通過瀏覽器訪問客戶器,可以得到“Itworks!”的提示;利用mysqladmin工具給mysql添加好管理員密碼。
②安裝RRDTOOL:apt-getinstallrrdtool。
③安裝NET-SNMP:apt-getinstallsnmp。
④安裝Cacti:apt-getinstallcacti,在安裝過程中會提示你輸入mysql管理員密碼和cacti數據庫管理員密碼。
(3)系統配置:
安裝好系統后就要進行簡單的初始化和配置,步驟如下:
①訪問x.x.x.x/cacti,按照向導提示進行cacti的初始化安裝;
②利用crontab-e添加計劃任務:
*/5****/usr/bin/php/usr/share/cacti/site/poller.php>/dev/null2>&1
③利用cacti進行設備的添加;
④利用cacti進行繪圖管理。
cacti其實是一套php程序,它運用snmpget采集數據,使用rrdtool繪圖。它的界面非常漂亮,能讓你根本無需明白rrdtool的參數能輕易的繪出漂亮的圖形。更難能可貴的是,它提供了強大的數據管理和用戶管理功能,一張圖是屬于一個host的,每一個host又可以掛載到一個樹狀的結構上。用戶的管理上,作為一個開源軟件,它居然做到為指定一個用戶能查看的“樹”、host、甚至每一張圖,還可以與LDAP結合進行用戶的驗證!我不由得佩服作者考慮的周到!Cacti還提供自己增加模板的功能,讓你添加自己的snmp_query和script!可以說,cacti將rrdtool的所有“缺點”都補足了!
網絡地圖
