發布時間:2023-06-05 15:19:46
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的網絡行為審計樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
關鍵詞:成都中小微企業 人工神經網絡 預測
1、人工神經網絡
人工神經網絡是一種應用類似于大腦神經突觸聯接的結構進行信息處理的數學模型。在工程與學術界也常直接簡稱為神經網絡或類神經網絡。神經網絡是一種運算模型,由大量的節點(或稱神經元)和之間相互聯接構成。每個節點代表一種特定的輸出函數,稱為激勵函數(activation function)。每兩個節點間的連接都代表一個對于通過該連接信號的加權值,稱之為權重,這相當于人工神經網絡的記憶。網絡的輸出則依網絡的連接方式,權重值和激勵函數的不同而不同。而網絡自身通常都是對自然界某種算法或者函數的逼近,也可能是對一種邏輯策略的表達。
2、基于人工神經網絡的預測模型的構建
在運用ANN預測模型預測這兩個指標時,我們采取下面的預測步驟:
(1)首先將1-6月份的數據標準化,及轉化為0-1之間的標準化數據;
(2)我們將輸入設為1月份、2月份、3月份、4月份的數據,輸出設為5月份的數據;
(3)在matlab中調用newff函數,建立一個5個輸入節點、10個隱含層節點、一個輸出節點的BP神經網絡,隱含層和輸出層轉移函數分別采用tansig(tansig(n) = 2/(1+exp(-2*n))-1)和purelin(y=x),訓練函數選擇貝葉斯正則化算法trainbr,得到網絡仿真數據;
(4)通過得到的網絡仿真數據與實際的數據進行比較,我們可以發現該預測模型的精度很高。從而我們可以利用該預測模型預測未來月份的數據,作為決策者進行決策的依據。
3、分規模企業運行態勢預測模型
3.1中型企業運行態勢預測模型
我們按照上述步驟,得到最終的預測值,如表1所示,可見,預測值與實際值之間相差并不大,誤差為0.099973%。
表1運行監測指標按規模(中型)ANN預測模型實際值與預測值對比表
3.2小型企業運行態勢預警模型
我們按照上述步驟,得到最終的預測值,如表2所示,可見,預測值與實際值之間相差并不大,誤差為0.099974%。
表2運行監測指標按規模(小型)ANN預測模型實際值與預測值對比表
3.3微型企業運行態勢預警模型
我們按照上述步驟,得到最終的預測值,如表3所示,可見,預測值與實際值之間相差并不大,誤差為0.098246%。
表3 運行監測指標按規模(微型)ANN預測模型實際值與預測值對比表
4、結束語
運行監測指數和信心指數能很好的反映成都市中小企業的發展運營情況,本報告運用人工神經網絡這種高精度的預測方法,對這兩種指數進行了預測,預測結果精確,經濟意義顯著。能很好預測未來月份的中小企業的指標值,從而為決策者的決策提供有力的支持和依據。
參考文獻:
[1]張乃堯,閻平凡.神經網絡與模糊控制[M].北京: 清華大學出版社,1998.
關鍵詞:人工神經網絡模型;衛生人力;人力資源測算
衛生人力是指經過專業培訓、在衛生系統工作、提供衛生服務的人員,包括直接從事醫療、衛生、保健服務的衛生技術人員以及管理、工勤等其他人員。由于衛生系統本身具有復雜性和時變性的雙重特性,因此衛生人力受許多因素影響,如人口、經濟、社會與文化、資源利用效率、健康狀況等等,而且多個因素間相互作用、相互影響。
我國的衛生事業雖然取得了很大的發展,但卻存在明顯的衛生人力資源失衡現象,突出表現在:衛生人員總量過剩、人員地區分布不均衡尤其是城鄉差距較大、衛生人員總體素質不高。因而迫切需要加強衛生人力預測研究,使其更合理地從數量上、質量上和分布上調整現有存量、優化增量,以推動整個衛生事業的發展進程[1,2]。
人工神經網絡作為一種綜合信息處理和模擬技術,其特有的非線性適應性信息處理能力,克服了傳統方法的局限性,而且還具有學習預測精度高、容錯能力強和預測速度快的特點[3]。本研究基于人工神經網絡方法,構建出一套合理、有效的測算衛生人力需求量的指標體系。
1人工神經網絡簡介
人工神經網絡基本組成單位是神經元(節點),神經元之間按一定的方式相互連接,構成神經網絡系統,可以通過預先提供的一批相互對應的輸入--輸出數據,分析掌握兩者之間潛在的規律,最終根據這些規律,用新的輸入數據來推算輸出結果[4,5]。
迄今為止,已有多種人工神經網絡模型被開發和應用。本文應用較為成熟的誤差反向傳播學習算法人工神經網絡(BP-ANN)。BP神經網絡從模擬生物的神經網絡出發[6],其最基本的結構是3層前饋網絡,即輸入層、隱含層、輸出層(見圖1),層與層之間多采用全互連方式,同一層單元間不存在相互連接。
圖1 人工神經網絡結構
BP網絡模型的應用過程包括訓練和預測兩個過程。訓練時,輸入信息從輸入層經隱含層逐層處理,并傳向輸出層。如果輸出層得不到期望的輸出,則將誤差信號沿原來的連接通道返回,通過修改各層神經元的連接權值,使得誤差最小。網絡重復以上過程進行迭代計算,直至收斂,由此構成了非線性映射模型,掌握了隱含在樣本內部各元素間的特殊關系[7]。經訓練后的人工神經網絡不僅對擬合過的樣本有效,而且對未經擬合的樣本也可以較準確地預測。人工神經網絡以其獨特的信息儲存方式、良好的容錯性、大規模的非線性并行處理方式[8]以及強大的自組織自擬合和自適應能力,已應用于信號處理、模式識別、綜合評價、預測分析等領域。
2指標篩選
本文的研究對象是衛生人力的數量。人工神經網絡要求選擇那些影響輸出的主要因素作為輸入層,選定的輸入變量數必須足夠且具有代表性[9,10],基于這一點,經過文獻評閱分析及專家小組討論,本研究對于輸入變量,即測算指標的選擇主要從以下幾方面進行:
2.1人口數量變化 人口數量的變化是影響衛生人力需求量的最重要的因素。人口的增減會引起衛生服務需求量的增減,從而引起衛生人力需求量的波動。對應的變量選擇了總人口數、就診人次數、住院人次數。
2.2經濟發展水平 隨著社會經濟迅猛發展,居民的生活水平不斷提高,人們對生活質量要求也逐步提高,而健康是衡量生活質量的重要指標之一,所以隨著居民對健康意識的增強,衛生服務需求量將會加大,衛生人力的需求量也隨之增加[11,12]。對應的變量選擇了衛生總費用、人均衛生費用、人均國民生產總值。
2.3醫院發展規模 醫院規模直接影響整個衛生人力需求量和衛生人力內部構成。醫院規模的大小通常是以病床數來衡量的,而病床數又是人員編配的重要標準[13]。對應的變量選擇了醫院機構數、總床位數。
2.4衛生人力供給 每年都有大量的醫學生走向工作崗位,為醫療系統注入新的血液。對應的變量選擇了高等醫學院校畢業生數、中等醫學院校畢業生數[14]。
3結果與討論
得到衛生人力的測算指標包括總人口數(萬人)、就診人次數(億次)、住院人次數(萬人)、衛生總費用(億元)、人均衛生費用(元)、人均國民生產總值(元)、醫院機構數、總床位數(萬張)、高等醫學院校畢業生數、中等醫學院校畢業生數10項指標。鑒于年鑒收錄自國家及各省市地方統計局的歷年統計資料,具有資料翔實,信息密集的特點,所有數據均從統計年鑒中獲取,按照年份順序進行整理,過濾缺失的數據,建立起從1990~2008年的有關衛生人力資源的數據庫。
參考文獻:
[1]薛婭,高歌,沈月平.常州市衛生人力需要量統計預測研究[J].中國衛生統計,2007,24(3):287.
[2]Francis Omaswa. Human resources for global health: time for action is now[J].The Lancet.2008,371:625.
[3]蔣宗禮.人工神經網絡導論[M].北京:高等教育出版社,2002.
[4]任宏,姜慶五.人工神經網絡及其在預防醫學領域的應用[J].上海預防醫學,2003,15(1):22.
[5]黎衍云,李銳,張勝年.人工神經網絡及其在疾病篩查中的應用前景[J].環境與職業醫學,2006,23(1):71.
[6]錢玲,施侶元,程茂金.應用人工神經網絡預測糖尿病/糖耐量異常[J].中國公共衛生,2003,19(10):1272.
[7]Qian AI,Shrestha GB.An ANN based load model for fast transient stability calculations[J].Elec Power Syst Res,2006,76:217.
[8]RiccardoB,DarioG,LauroC,works and robust Bayesian classfiers for risk stratification following uncomplicated myocardial infarction[J].Int J Cardiol,2005,101:481.
[9]薛婭,高歌. 衛生人力需求量預測研究綜述[J].上海預防醫學雜志,2005,17(12):589.
[10]鐘珞,饒文碧,鄒承明.人工神經網絡及其融合應用技術[M].北京:科學出版社,2007:12.
[11]陳力凌.江蘇省衛生人力資源現狀及需要量預測研究[D].碩士學位論文,2006:23.
[12]左延莉.廣西衛生人力資源配置現狀與預測研究[D].碩士學位論文,2002:12.
模式。
關鍵詞: 網絡安全 數據庫 審計技術
隨著科技信息化技術的迅速發展,各類網絡應用系統也融入日常工作生活中,網絡作為各項網絡應用的基礎凸顯出其重要性,網絡安全管理是保障網絡正常運行的重要工作,在網絡安全管理中除了通過設備和配置實現安全防護,對于各種操作行為的安全審計不可忽視,合理運用網絡安全審計技術相當于為網絡開啟“監視系統”,不僅能實現實時監控,對出現的高風險行為及時警示提醒,同時完成設定時間段內的操作行為存檔以備分析取證,更重要的是系統中積累的歷史數據通過統計和分析,能夠為管理者提供真實準確的網絡健康報告,為未來建設規劃提供依據,在長航局網絡建設中運用到網絡安全審計技術。
網絡安全審計技術概況
在國家出臺的信息安全等級保護標準中對網絡安全審計提出明確要求,包括對網絡設備、安全設備、服務器、應用系統、數據庫系統以及相關設備進行安全審計。網絡安全審計技術主要可分為日志審計、網絡審計和主機審計,通過啟用硬件設備和軟件系統的日志接口,獲取系統廣播的日志信息;對于核心網絡設備,通過旁路模式開啟數據鏡像端口或直接串聯在網絡中,獲取網絡數據包進行解析;對于用戶行為審計可通過安裝客戶端,直接獲取用戶行為信息。
在實際使用中,根據網絡管理需要運用相應手段獲取必要的審計信息,在長航局網絡管理中對網絡設備、安全設備、重要服務器、重要應用系統、重要數據庫系統的安全審計是重點,未采取安裝客戶端方式獲取用戶行為信息。
網絡安全審計技術實際運用
在長航局網絡中網絡安全審計主要包括:網絡設備日志和操作過程記錄、安全設備日志和操作過程記錄、重要服務器日志、重要應用系統日志及操作痕跡、重要數據庫系統日志及操作痕跡。
1、網絡設備和安全設備安全審計
網絡設備主要包括出口路由器、核心交換機、匯聚交換機和接入交換機,除部分接入交換機外,大部分網絡設備屬于可管理網絡設備,進入網絡設備配置模式,配置只讀權限用戶,啟用SNMP功能,不同廠商設備略有不同。將需要管理的網絡設備添加到網絡中安全審計系統中,就可以獲取到網絡設備發送的SNMP數據包,安全審計系統會對收到的數據包按照事件等級進行分類,以便查詢。
網絡安全設備種類較多,如防火墻、入侵防護設備、防病毒網關、VPN設備、行為管理設備、流量控制設備等,根據各個廠商設備的設置,開啟對應的SNMP功能,添加到網絡中安全審計系統中操作和網絡設備類似,需要注意的是串聯在網絡中的設備應設置允許SNMP數據包通過。安全設備通過安全策略和監控功能實現對網絡安全保障,其監控信息實時更新,數據量較大,應根據需求確定需要記錄的監控信息。
部分安全審計系統能夠通過其登錄管理網絡設備和安全設備,并且記錄下用戶的操作痕跡,通過指派權限,設備管理員對對應設備的操作能夠直觀的展現出現,以便出現故障時分析查找問題。
2、服務器、應用系統及數據庫安全審計
服務器由于硬件類別不同(如小型機、PC服務器、刀片服務器),安裝的操作系統不同(如Windows、Linux),用途不同(如單機、集群、服務器虛擬化),開啟SNMP功能方式有所不同,應根據具體情況進行操作。開啟SNMP功能的服務器按照安全審計系統對于類別登記并納入管理。
應用系統類別也比較多,基于不同平臺、中間件定制開發的系統各不相同,應按照其提供的手冊或通過開發人員溝通,開放日志接口,納入安全審計系統管理。
數據庫主要分為Orcale、MSSQL、DB2等幾類,有統一規范的操作方法,按照對應數據庫類別的操作方法,將其納入安全審計系統,實現對數據庫查詢、讀寫、會話情況的記錄和審計。
對服務器、應用系統、數據庫的操作行為安全審計一般通過設置所在網絡設備數據鏡像接口方式實現。同樣,部分安全審計系統能夠通過遠程登錄方式去管理服務器及應用系統、數據庫系統,記錄下用戶的操作痕跡,通過指派權限,設備管理員對對應被管理對象的操作能夠直觀的展現出現,以便出現故障時分析查找問題。
3、安全審計設備管理
按照網絡結構特點,安全審計設備(系統)部署到合適的位置,數量有可能是一臺或多臺,超過一臺時應根據其特點進行功能分工,接入方式以旁路為主。配置好網絡后,登錄管理安全審計設備,除添加各個被管理對象外,應對各類事件按照重要程度定義好級別或閥值,設置報警相關配置,定義好報表模板和報送方式,形成周期性報表以便保存和分析用。對于審計設備自身管理也應嚴格權限,按照管理需要分配不同類別管理權限,同時按照設備存儲空間設置合理記錄保存周期,或定期導出存儲的記錄。
網絡安全審計參考模式
綜合網絡安全審計技術在實際中的運用方式方法,可以列出網絡安全審計的使用參考模式,如圖1所示。
對網絡設備、安全設備、服務器、應用系統、數據庫系統等相關對象可以通過開啟日志功能管理。
通過獲取網絡數據包,可以深入記錄分析更多行為操作。
對網絡安全設備的分權限管理實現事件定級、分類、報警、形成統計分析報表。
圖1
關鍵詞: 安全審計;網絡審計;數據庫審計;運維審計
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1671-7597(2012)0210106-01
隨著信息化進程的深入和互聯網的迅速發展,人們的工作、學習和生活方式正在發生巨大變化,效率大為提高,信息資源得到最大程度的共享。即使部署了防火墻、防病毒、入侵檢測系統等網絡安全產品,制定了嚴格安全策略、了多項管理制度,各種網絡安全事件任然有增無減,根據CERT的年度研究報告顯示,高達50%以上的數據破壞是由內部人員造成的,內部人員對自己的信息系統非常熟悉,又位于防火墻的后端,對數據庫系統的誤操作或者蓄意的破壞會對企業造成惡劣的影響以及重大損失,無法定責,不方便管理。安全審計通過收集、分析、評估安全信息、掌握安全狀態,制定安全策略,確保整個安全體系的完備性、合理性和適用性,將系統調整到“最安全”和“最低風險”的狀態。
1 什么是安全審計系統
安全審計系統是在一個特定的企事業單位的網絡環境下,為了保障業務系統和網絡信息數據不受來自用戶的破壞、泄密、竊取,而運用各種技術手段實時監控網絡環境中的網絡行為、通信內容,以便集中收集、分析、報警、處理的一種技術手段。能夠規范員工上網行為、提高工作效率、防止企業機密資料外泄,幫助管理者發現潛在的威脅,減少人為因素和管理缺失造成的關鍵業務停頓造成的損失。幫助您對IT安全事件進行有效監控、協調并迅速做出響應。對潛在的攻擊者起到展懾和替告的作用,對于己經發生的系統破壞行為提供有效的追究證據。
2 安全審計系統功能
安全審計系統由審計主機以及探測器組成,采用旁路方式進行審計,不在網絡中串聯設備,不破壞網絡結構,不影響正常業務的運行,也不會影響到網絡性能,通過HTTPS方式對主機進行管理。系統主要由以下功能模塊組成:
1)網絡審計模塊:防止非法內連和外連,負責網絡通信系統的審計,在加強內外部網絡信息控制監管的同時,為避免相關信息外泄及事后的追溯取證提供了有效的技術支撐。
2)操作系統審計模塊:對重要服務器主機操作系統的審計,記錄操作時間、IP地址、用戶賬號、服務器賬號、操作指令、操作結果等信息。用戶即可通過操作日志查看詳細操作指令,也可通過錄像回放查看詳細的操作過程
3)數據庫審計模塊:對重要數據庫操作的審計,對信息系統中各類數據庫系統的用戶訪問行為進行實時采集、實時分析,用戶登錄、登出數據庫,對數據表內容做插入、刪除、修改等操作,記錄內容可以精確回放SQL 操作語句。詳細記錄每次操作的發生時間、數據庫類型、數據庫名、表名、源MAC地址、目的MAC地址、源端口、目標端口、數據庫名、用戶名、客戶端IP、服務器端IP、操作指令、操作返回狀態值。
4)主機審計模塊:主要負責對網絡重要區域的客戶機進行審計, 包括對終端系統安裝了哪些不安全軟件的審計,并設置終端系統的權限等,在配合網絡行為控制與審計策略的配置實施過程中起到基礎性的作用。
5)應用審計模塊:主要負責重要服務器主機的應用平臺軟件,以及重要應用系統進行審計。監測及采集信息系統中的系統安全事件、用戶訪問行為、系統運行日志、系統運行狀態等各類信息,經過規范化、過濾、歸并和告警分析等處理后,以統一格式的日志形式進行集中存儲和管理,形成清晰的記錄。
6)運維審計模塊:主要負責監控系統管理員及第三方運維人員(代維/原廠工程師)系統操作時的審計,對于所有遠程訪問目標設備的會話連接,實現同步過程監視,運維人員在服務器上做的任何操作都會同步顯示在審計人員的監控畫面中,包括vi、smit以及圖形化的RDP、VNC、X11等操作,管理員可以根據需要隨時切斷違規操作會話。記錄訪問者和被訪問者的IP/MAC地址,訪問時間等信息。
3 安全審計系統特點
安全審計系統實現功能模塊,具有如下特點:
3.1 細粒度的操作內容審計(深度協議分析)
采用協議識別和智能關聯技術,可對網站訪問、郵件收發、遠程終端訪問、數據庫訪問、論壇發帖等關鍵信息進行監測、還原;從鏈路層到應用層對協議進行深度分析,根據內容自動識別各個連接的應用協議類型。保障審計的準確性。為管理機構進行事后追查、取證分析提供有力技術支撐。
3.2 全面的網絡行為審計(精準的網絡行為實時監控)
安全審計系統可對網絡行為,如網站訪問、郵件收發、數據庫訪問、遠程終端訪問、即時通訊、論壇、在線視頻、P2P下載、網絡游戲等,提供全面的行為監控,支持全面的行為審計、支持目前常見的各種網絡應用,方便事后追查取證;在旁路部署模式下可實現較強的網絡行為控制功能,包括對網頁瀏覽、電子郵件服務器、即時通訊、P2P下載、流媒體、在線游戲等應用的控制。
3.3 日志規則庫
自帶基于日志內容分析的專家規則庫,針對日志源數據進行實時等級劃分,智能分析日志信息中所反映出的諸如設備故障、配置錯誤、系統警告、應用程序出錯、傳播違規違法信息、數據庫敏感操作等信息,并能及時通過郵件或短信方式通知管理員。規則庫能夠定時自動升級,應對新增的安全風險。
3.4 綜合流量分析
安全審計系統可對網絡流量進行綜合分析,為網絡帶寬資源的管理提供可靠策略支持;通過傳統安全手段與安全審計技術相結合,在功能上互相協調、補充,構建一個立體的保障管理體系。
3.5 可靠的安全保障能力
自身的安全性高,不易遭受攻擊,在操作系統級對系統各支撐引擎進行了修改和全面優化定制,全面防止攻擊與劫持,提升系統整體性能的同時保障自身系統級安全。對關鍵審計數據的存儲和傳輸進行加密防護,利用數據防篡改、防刪除技術;嚴格訪問權限、審計權限控制體系達到系統級安全防護,旁路部署保障對網絡性能完全沒有影響,保證網絡無單點故障,優先保障用戶網絡級安全,是上網機構在內網和互聯網過程中最可信賴的安全工具。
3.6 高效的事件定位能力
系統運行日志數據大致可分為兩類:結構化數據和非結構化數據,結構化數據主要包括行為日志和報警日志等,而非結構化數據則主要包括內容審計數據。通過使用先進的全文檢索引擎,實現高效的事件定位能力。
3.7 良好的擴展性設計,部署靈活
支持分級部署、集中管理,滿足不同規模網絡的使用和管理需求;對于單臺設備無法處理的超大流量環境或含有分支機構的分布式環境,系統支持高擴展性的多臺設備分布式部署方案,通過多臺設備對超大的流量或各分支機構分而治之,又由統一的管理平臺實現對整個網絡的透明、統一的管理。
3.8 多種報表
全面詳細的審計信息,豐富可定制的報表系統,系統根據歷史審計日志數據進行統計可產生豐富詳細和直觀的報表,包括分組上網排名、人員上網排名、網絡應用統計、訪問資源統計、趨勢分析、自定義報表等。能夠從上網對象、時間、分類、目標等多個維度對網絡活動進行查詢分析,并以柱狀圖,餅圖,曲線圖,折線圖等形式來體現排名、結構、趨勢等上網概況,使管理者對所掌握的數據有清晰直觀的認識。報表可以以EXCEL、PDF、WORD、HTML等形式導出保存,并支持自定義的周期性報表自動生成和訂閱。日志可以按照要求保留90天以上,歸檔的日志可通過各種組合條件進行在線查詢,也可以遠程備份到異地進行離線查看。
綜上所述,安全審計作為一門新的信息安全技術,能夠對整個計算機信息系統進行監控,如實記錄系統內發生的任何事件,可以有效掌握網絡安全狀態,預防敏感信息外泄,實現對內部網絡信息的整體智能關聯分析、評估、調查及安全事件的準確跟蹤定位,為整體安全策略的制定提供權威可靠的支持,從而為信息安全提供了有力的保障。
參考文獻:
[1]張世永,信息安全審計技術的發展和應用[J].電信科學,2003(12).
[2]韋成府、吳旭、張華,網絡行為安全審計系統Web應用的設計與實現[J].現代圖書情報技術,2009(02).
[3]章劍林、李班、丁勇,企業網站的安全風險和安全審計技術研究[J].浙江理工大學學報,2008(05).
關鍵詞: 日志分析;安全監控;數據挖掘;安全審計
0 引言
隨著電力企業信息化工作的不斷深入,電力企業在信息內網部署了內網安全監控管理系統,對內網用戶的行為及終端設備進行監控[1],然而由于目前的內網安全監管系統缺少對安全事件的審計功能或者審計功能薄弱,使管理員不能準確掌握網絡系統的安全狀態,不能對網絡行為進行跟蹤分析,要實現事后的追查取證比較困難。基于監控日志的電力信息內網安全審計系統則能幫助系統管理員對網絡安全進行實時監控,及時發現整個網絡上的動態,發現網絡入侵和違規行為,如實記錄網絡上發生的一切,提供取證資料。它是保障電力企業信息內網安全的一種十分重要的手段。
1 電力信息內網安全監控系統日志
電力信息內網安全監控系統的日志包括三種類型:
1)信息內網安全監控日志:主要包括每一個監控內容的監控結果、違規記錄等信息;
2)受控終端日志:受控終端的系統事件、系統進程、系統服務等信息;
3)信息內網安全監控配置信息及操作日志[2]。
電力企業信息內網安全監控系統的審計分析是通過對以上三種日志的綜合分析及時發現異常、可疑事件,以及受控終端中資源和權限濫用的跡象,同時把可疑數據、入侵信息、敏感信息等記錄下來,作為取證和跟蹤使用,以確認事故責任人。
2 安全審計系統總體設計
基于監控日志的電力信息內網安全審計系統的體系結構從總體上可分為日志采集、日志處理、審計分析和結果展現四個邏輯層次,如圖1所示。
電力信息內網安全審計系統實現的關鍵技術是日志格式化算法以及審計分析實現算法。
3 關鍵技術實現
日志壓縮與歸并的實現:由于獲取的這些海量日志數據包含了大量的重復冗余信息,這些信息對于報警事件的關聯分析不具有任何價值。因此需要對報警數據進行歸并處理,以縮小關聯分析的樣本空間。
根據網絡入侵事件的行為特征、時間特征和位置特征,現將報警事件主要分為三類:重復事件、冗余事件和并發事件。
對于重復事件和并發事件,利用歸并規則進行檢測。歸并規則采用標準的關系代數進行組合,通過正則表達式對其進行解析提取。原始報警事件樣本如圖2所示。
將此13條記錄進行歸并,生成一條超報警,其中evt_all_id包含了全部歸并報警事件的evt_id,便于后期的統計分析;timestamp_range為歸并攻擊事件的時間段,既告警事件的第一次發生時間至最后一次發生的時間;merge_counts
為歸并的報警事件數量,這個數值越大,則表示該類攻擊在當前發生的可能性越大。
對于冗余事件,利用相關分析進行檢測。給定兩個屬性,根據可用的數據度量一個屬性能在多大程度上蘊涵另一個,判斷依據通過計算屬性A和B之間的相關系數,
4 系統應用分析
系統在某省電力公司信息內網監控系統中進行了測試和應用,結果如下:
1)審計功能:通過采用攻擊軟件進行攻擊模擬測試,對一些統計特征明顯的攻擊檢測率可以達到89%以上,同時,能夠準確的記錄對終端中的資源和權限濫用現象,實時動態監測用戶通信內容、發現和捕獲各種敏感信息、違規行為。
2)系統穩定性:在穩定性測試中,內網安全監管審計系統連續運行24*7小時沒有出現因為軟件系統的原因而崩潰的現象,系統運行過程中操作系統的CPU使用率和內存的使用情況沒有出現過異常。
應用結果表明該系統能對內網用戶的行為及終端設備進行實時有效的監控,能夠集中收集、管理并有效地分析各種安全日志,使管理員能夠實時、直觀地掌握電力企業信息內網安全狀況。
5 結束語
本文提出的安全審計系統通過對電力企業信息內網監控系統日志的采集、分析、識別,實時動態監測內網用戶行為和終端系統,發現和捕獲各種敏感信息、違規行為,實時報警響應,全面記錄網絡系統中的各種會話和事件,實現對網絡信息的智能關聯分析、評估及安全事件的準確全程跟蹤定位,為電力企業信息內網安全策略的制定提供權威可靠的依據。
參考文獻:
[1]寧興旺、劉培玉,支持審計與取證聯動的日志系統設計[J]. 計算機工程與設計,2009,30(24):5580-5583.
關鍵詞: 涉密網絡;安全審計;主機審計;系統設計
1 引 言
隨著網絡與信息系統的廣泛使用,網絡與信息系統安全問題逐漸成為人們關注的焦點。
涉密網與因特網之間一般采取了物理隔離的安全措施,在一定程度上保證了內部網絡的安全性。然而,網絡安全管理人員仍然會對所管理網絡的安全狀況感到擔憂,因為整個網絡安全的薄弱環節往往出現在終端用戶。網絡安全存在著“木桶”效應,單個用戶計算機的安全性不足時刻威脅著整個網絡的安全[ 1 ] 。如何加強對終端用戶計算機的安全管理成為一個急待解決的問題。
本文從系統的、整體的、動態的角度,參照國家對安全審計產品的技術要求和對部分主機審計軟件的了解,結合實際的信息安全管理需求,討論主機審計系統的設計,達到對終端用戶的有效管理和控制。
2 安全審計概念。
計算機網絡信息系統中信息的機密性、完整性、可控性、可用性和不可否認性,簡稱“五性”,安全審計是這“五性”的重要保障之一[2 ] 。
凡是對于網絡信息系統的薄弱環節進行測試、評估和分析,以找到極佳途徑在最大限度保障安全的基礎上使得業務正常運行的一切行為和手段,都可以叫做安全審計[3 ] 。
傳統的安全審計多為“日志記錄”,注重事后的審計,強調審計的威懾作用和安全事件的可核查性。隨著國家信息安全政策的改變,美國首先在信息保障技術框架( IA TF) 中提出在信息基礎設置中進行所謂“深層防御策略(Defense2in2Dept h St rategy) ”,對安全審計系統提出了參與主動保護和主動響應的要求[4 ] 。這就是現代網絡安全審計的雛形,突破了以往“日志記錄”
等淺層次的安全審計概念,是全方位、分布式、多層次的強審計概念,符合信息保障技術框架提出的保護、檢測、反應和恢復( PDRR) 動態過程的要求,在提高審計廣度和深度的基礎上,做到對信息的主動保護和主動響應。
3 主機審計系統設計。
安全審計從技術上分為網絡審計、數據庫審計、主機審計、應用審計和綜合審計。主機審計就是獲取、記錄被審計主機的狀態信息和敏感操作,并從已有的主機系統審計記錄中提取信息,依據審計規則分析判斷是否有違規行為。
一般網絡系統的主機審計多采用傳統的審計,涉密系統的主機審計應采用現代綜合審計,做到對信息的主動保護和主動響應。因此,涉密網絡的主機審計在設計時就應該全方位進行考慮。
3. 1 體系架構。
主機審計系統由控制中心、受控端、管理端等三部分組成。管理端和控制中心間為B/ S架構,管理端通過瀏覽器訪問控制中心。對于管理端,其操作系統應不限于Windows ,瀏覽器也不是只有IE。管理端地位重要,應有一定保護措施,同時管理端和控制中心的通訊應有安全保障,可考慮隔離措施和SHTTP 協議。
主機審計能夠分不同的角色來使用,至少劃分安全策略管理員、審計管理員、系統管理員。
安全策略管理員按照制定的監控審計策略進行實施;審計管理員負責定期審計收集的信息,根據策略判斷用戶行為(包括三個管理員的行為) 是否違規,出審計報告;系統管理員負責分配安全策略管理員和審計管理員的權限。三員的任何操作系統有相應記錄,對系統的操作互相配合,同時互相監督,既方便管理,又保證整個監控體系和系統本身的安全。控制中心是審計系統的核心,所有信息都保存在控制中心。因此,控制中心的操作系統和數據庫最好是國內自己研發的。控制中心的存儲空間到一定限額時報警,提醒管理員及時備份并刪除信息,保證審計系統能夠采集新的信息。
3. 2 安全策略管理。
不同的安全策略得到的審計信息不同。安全策略與管理策略緊密掛鉤,體現安全管理意志。在審計系統上實施安全策略前,應根據安全管理思想,結合審計系統能夠實現的技術途徑,制定詳細的安全策略,由安全員按照安全策略具體實施。如安全策略可以分部門、分小組制定并執行。安全策略越完善,審計越徹底,越能反映主機的安全狀態。
主機審計的安全策略由控制中心統一管理,策略發放采取推拉結合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。當安全策略發生更改時,控制中心可以及時將策略發給受控端。但是,當受控端安裝了防火墻時,推送方式將受阻,安全策略發送不到受控端。由受控端向控制中心定期拉策略,可以保證受控端和控制中心的通訊不會因為安裝個人防火墻或其他認證保護措施而中斷。聯網主機(服務器、聯網PC 機) 通過網絡接收控制中心的管理策略向控制中心傳遞審計信息。單機(桌面PC 或筆記本) 通過外置磁介質(如U 盤、移動硬盤) 接收控制中心管理策略。審計信息存放在主機內,由管理員定期通過外置磁介質將審計信息傳遞給控制中心。所有通訊采用SSL 加密方式傳輸,確保數據在傳輸過程中不會被篡改或欺騙。
為了防止受控端脫離控制中心管理,受控端程序應由安全員統一安裝在受控主機,并與受控主機的網卡地址、IP 地址綁定。該程序做到不可隨意卸載,不能隨意關閉審計服務,且不影響受控端的運行性能。受控端一旦安裝受控程序,只有重裝操作系統或由安全員卸載,才能脫離控制中心的管理。聯網時自動將信息傳到控制中心,以保證審計服務不會被繞過。[ hi138\Com]
3. 3 審計主機范圍。
涉密信息系統中的主機有聯網主機、單機等。常用操作系統包括Windows 98 ,Windows2000 ,Windows XP ,Linux ,Unix 等。主機審計系統的受控端支持裝有不同操作系統的聯網主機、單機等,實現使用同一軟件解決聯網機、單機、筆記本的審計問題。
根據國家有關規定,涉密信息系統劃分為不同安全域。安全域可通過劃分虛擬網實現,也可通過設置安全隔離設備(如防火墻) 實現。主機審計系統應考慮不同安全域中主機的管理和控制,即能夠對不同網段的受控端和安裝了防火墻的受控端進行控制并將信息收集到控制中心,以便統一進行審計。同時能給出簡單網絡拓撲,為管理人員提供方便。
3. 4 主機行為監控。
一般計算機使用人員對計算機軟硬件尤其是信息安全知識了解不多,不清楚計算機的安全狀態。主機審計系統的受控端軟件應具有主機安全狀態自檢功能,主要用于檢查終端的安全策略執行情況,包括補丁安裝、弱口令、軟件安裝、殺毒軟件安裝等,形成檢查報告,讓使用人員對本機的安全狀況有一個清楚的認識,從而有針對性地采取措施。自檢功能可由使用人員自行開啟或關閉。檢查報告上傳給控制中心。
主機審計系統對使用受控端主機人員的行為進行限制、監控和記錄,包括對文檔的修改、拷貝、打印的監控和記錄,撥號上網行為的監控和記錄,各種外置接口的禁止或啟用(并口、串口、USB 接口等) ,對USB 設備進行分類管理,如USB 存儲設備(U 盤,活動硬盤) 、USB 輸入設備(USB 鍵盤、鼠標) 、USB2KEY以及自定義設備。通過分類和靈活設置,增強實用性,對受控主機添加和刪除設備進行監控和記錄,對未安裝受控端的主機接入網絡拒絕并報警,防止非法主機的接入。
主機審計系統對接入計算機的存儲介質進行認證、控制和報警。做到經過認證的合法介質可以從主機拷貝信息;未通過認證的非法介質只能將信息拷入主機內,不能從主機拷出信息到介質內,否則產生報警信息,防止信息被有意或者無意從存儲設備(尤其是移動存儲設備) 泄漏出去。在認證時,把介質分類標識為非密、秘密、機密。當合法介質從主機拷貝信息時,判斷信息密級(國家有關部門規定,涉密信息必須有密級標識) ,拒絕低密級介質拷貝高密級信息。
在認證時,把移動介質編號,編號與使用人員對應。移動介質接入主機操作時記錄下移動介質編號,以便審計時介質與人對應。涉密信息被拷貝時會自動加密存儲在移動介質上,加密存儲在移動介質上的信息也只能在裝有受控端的主機上讀寫,讀寫時自動解密。認證信息只有在移動介質被格式化時才能清除,否則無法刪除。有防止系統自動讀取介質內文檔的功能,避免移動介質接在計算機上(無論是合法還是非法計算機) 被系統自動將所有文檔讀到計算機上。
3. 5 綜合審計及處理措施。
要達到綜合審計,主機審計系統需要通過標準接口對多種類型、多個品牌的安全產品進行管理,如主機IDS、主機防火墻、防病毒軟件等,將這些安全產品的日志、安全事件集中收集管理,實現日志的集中分析、審計與報告。同時,通過對安全事件的關聯分析,發現潛在的攻擊征兆和安全趨勢,確保任何安全事件、事故得到及時的響應和處理。把主機上一個個原本分離的網絡安全產品聯結成一個有機協作的整體,實現主機安全管理過程實時狀態監測、動態策略調整、綜合安全審計、數據關聯處理以及恰當及時的威脅響應,從而有效提升用戶主機的可管理性和安全水平,為整體安全策略制定和實施提供可靠依據。
系統的安全隱患可以從審計報告反映出來,因此審計系統的審計報告是很重要的。審計報告應將收集到的所有信息綜合審計,按要求顯示并打印出來,能用圖形說明問題,能按標準格式(WORD、HTML 、文本文件等) 輸出。但是,審計信息數據多,直接將收集的信息分類整理形成的報告不能很好的說明問題,還應配合審計員的人工分析。這些信息可以由審計員定期從控制中心數據庫備份恢復。備份的數據自動加密,恢復時自動解密。審計信息也可以刪除,但是刪除操作只能由審計員發起,經安全員確認后才執行,以保證審計信息的安全性、完整性。
審計系統發現問題的修復措施一般有打補丁、停止服務、升級或更換程序、去除特洛伊等后門程序、修改配置和權限、專門的解決方案等。為了保證所有主機都能得到有效地處理,通過控制中心統一向受控端發送軟件升級包、軟件補丁。發送時針對不同版本操作系統,由受控端自行選擇是否自動執行。因為有些軟件升級包、軟件補丁與應用程序有沖突,會影響終端用戶的工作。針對這種情況,只能采取專門的解決方案。
在復雜的網絡環境中,一個涉密網往往由不同的操作系統、服務器,防火墻和入侵檢測等眾多的安全產品組成。網絡一旦遭受攻擊后,專業人員會把不同日志系統里的日志提取出來進行分析。不同系統的時間沒有經過任何校準,會不必要地增加日志分析人員的工作量。系統應提供全網統一的時鐘服務,將控制中心設置為標準時間,受控端在接收管理的同時,與控制中心保持時間同步,實現審計系統的時間一致性,從而提供有效的入侵檢測和事后追查機制。
4 結束語
涉密系統的終端安全管理是一個非常重要的問題,也是一個復雜的問題,涉及到多方面的因素。本文從體系架構、安全策略管理、審計主機范圍、主機行為監控、綜合審計及處理措施等方面提出主機審計系統的設計思想,旨在與廣大同行交流,共同推進主機審計系統的開發和研究,最終開發出一個全方位的符合涉密系統終端安全管理需求的系統。
參考文獻
[1 ] 網絡安全監控平臺技術白皮書。 北京理工大學信息安全與對抗技術研究中心,2005.
[2 ] 王雪來。 涉密計算機信息系統的安全審計。 見:中國計算機學會信息保密專業委員會論文集,13 :67 - 72.
關鍵詞:網絡審計;涵義;背景;特征;弊端;發展對策
中圖分類號:TP393.01 文獻標識碼:A 文章編號:1672-3198(2007)07-0178-01
1 網絡審計的涵義
網絡審計就是基于互聯網,借助現代信息技術,運用專門的方法,通過人機結合,對被審計單位進行遠程審計。審計人員按照注冊會計師的執業要求,利用網絡資源的共享性、快捷性和廣泛性的特點,在網絡上對客戶的相關信息進行采集、整理、查證、分析,進而得出審計結論。它是隨著網絡技術、通訊技術和電子商務的出現而產生的,是經濟活動網絡化、虛擬化的產物,也是現代審計發展的嶄新階段。
2 網絡審計的特征
(1)審計空間進一步拓展。在網絡會計環境下,會計信息資源在極大的范圍內得以交流和共享;會計信息涉及到交易關聯方的各個方面,同時能訪問會計信息的用戶可能涉及整個網上用戶。因此,為了防止信息的使用者采取惡意操縱行為,破壞和更改會計數據,以及會計數據在傳輸過程中被截留和篡改等行為,應將審計空間范圍擴大到交易關聯方以及網上有關信息用戶。
(2)審計時效性得到保障。在網絡環境下,由于企業經營的網絡化、虛擬化,使得企業的經營風險加劇,廣大投資者、客戶及有關部門(工商、銀行、稅務部門)渴望及時獲取相關會計信息和經濟業務信息以作出決策。而通過網絡審計,可滿足這種需求。審計部門隨時對企業進行審查,及時收集掌握被審計單位的最新會計信息和有關經濟業務信息,并向有關各方,審計的時效性大大提高。
(3)審計人員素質更高,知識更全面。傳統審計中,審計人員只需要熟練掌握會計審計的知識足夠,即使在審計電算化階段,審計人員也只需要懂得操作電腦即可,但是在網絡審計時期,審計人員不但要熟練掌握會計審計專業知識,還要提高自身的網絡技能,熟練運用INTERNET進行審計。
3 網絡審計存在的弊端
3.1 網絡審計風險防范與控制任務艱巨
網絡審計的風險因為主要來自三個方面:
(1)物理風險。計算機硬件自身的局限性造成了物理風險。如計算機發生了鏈路故障或者遭到自然、機械災害損壞,已經非法操作等,導致數據毀損或丟失。
(2)企業內部控制風險。網絡的虛擬性,網上交易活動不可見性,必然加大審計線索和證據的獲取難度,網絡經濟中的審計線索和證據均來源于網絡,其真實性、可靠性主要取決于企業內部控制系統是否健全。這也加大了審計風險。
(3)外部網絡風險。網絡“黑客”和病毒的侵入,惡意攻擊網絡,篡改、破壞審計數據甚至整個網絡系統,威脅著網絡化企業的安全,有時甚至使企業遭受巨大損失。
3.2 審計人員知識結構不完整
網絡審計對審計人員的素質提出了更高要求和標準。網絡審計人員應該是一種復合型、全方位的人才,具備一定的法律、審計、網絡、通訊、計算機、商貿知識。我國目前這種網絡審計人才匱乏,審計人員知識結構不完整或者更新很慢,出現橫向學科知識邊緣斷接,縱向知識更新斷層的局面。
3.3 審計軟件不夠完善
目前,我國的審計軟件開發還處于成長階段,具有獨立開發高質量的審計軟件的公司很少,應用審計軟件的企業數量有限,還沒有形成一定的規模。
3.4 相關法律制度不夠健全
在網絡審計環境下,現有的一些法律法規呈現出一定的滯后性,對保證審計獨立性起不到應有的作用,也不能從宏觀環境層次上有效地預防外界對審計的干擾。計算機的電子信息及無紙化信息能否被法律接受,已成為一個國際性的問題。其能否作為審計和稅務檢查的有效證據,也是一個亟待解決的問題。
3.5 缺少專門的鑒定部門和健全的社會服務機構。
網絡審計其實是一種信息化技術,這種技術是否可靠,需要有關部門權威鑒定。目前不少企業開發了審計軟件,卻找不到權威的鑒定部門和機構,其軟件的安全、可靠、高質量得不到有效保證。以企業信息化為特長尤其是以網絡審計為特長的社會咨詢服務機構太少,專業從事企業管理信息化工程實施或監理的機構尚無。
4 網絡審計的發展對策
4.1 網絡審計風險防范與控制能力
我們可以通過以下措施來防范網絡審計風險:
(1)完善計算機硬件系統的控制設計。企業應該選用質量可靠的計算機硬件,關注計算機的實體安全、火災報警、防護系統、使用記錄、后備電源、操作規程、災難恢復系統是否完備。定期檢查測試計算機硬件系統的運行情況,防患于未然。
(2)企業加強內部控制,提高企業的網絡安全防范意識,建立安全可靠的網絡交易系統,在進行網上交易時保護企業的安全,保證會計信息的準確性和可維護性,從而降低審計風險。
(3)在技術上對整個網絡系統的各個層次(通信平臺、網絡平臺、操作系統平臺、應用平臺)都要采取安全防范措施和規則,建立綜合的多層次的安全體系,為網上交易提供周到、強力的數據安全保護。
4.2 知識結構,培養復合型人才
國家、學校、審計組織等部門應該采取措施,優化審計人員的知識結構,加速審計人員知識更新,培養具備一定的法律、審計、網絡、通訊、計算機、商貿知識的全方位復合型人才。從深度和廣度上加強審計人員對網絡審計理論的認識、理解,使其在網絡環境的支持下,積極主動地開展審計活動。
4.3 審計軟件,使之更趨完善
審計軟件的一部分功能可以內嵌入企業的財務軟件中,對日常的企業的經濟行為進行實時監控,在企業發生一定程度的違規操作時,實時提醒,體現網絡審計的時效性。
審計軟件應該更加智能化:軟件可以自動對系統的合法性與合規性進行全面檢查;自動獲取充分適當的審計證據,減少審計風險;抽取符合要求的審計樣本,盡量做到以一概全,以點見面,提高審計工作效率;擬訂審計工作計劃,編制工作底稿,出具獨立審計報告。
4.4 和完善相關的法律法規
應該完善相關法律,借助法律的強大力量,營造一個有效的外部法律環境,對有損審計獨立性的行為予以法律訴訟和懲罰。政府應該在立足我國國情的基礎上,制定相關的法律法規,對電子信息的有效性進行界定,使在進行網絡審計,尤其是在進行電子證據,電子簽名,電子合同等合法性審計時切實做到有法可依,有章可循。國家財政部、審計署等相關部門應該加快建立一套適用于網絡審計自身特點的新的審計準則――網絡審計準則,以指導網絡審計工作。
4.5 專門的鑒定部門和健全的社會服務機構
國家要盡快成立鑒定部門,對企業開發的審計軟件系統進行檢驗、評定,以確保審計軟件系統的安全、可靠和高質量運行。要進一步鼓勵成立以為網絡審計系統提供咨詢為特長的服務機構,完善相關的規章制度和管理辦法,為網絡審計發展創造良好的社會環境。
參考文獻
[1]許寶強.“網絡審計的現狀及發展對策”[J].中國內部審計.2005,(1).
關鍵詞:內網;威脅;檢測
中圖分類號:TP393.18 文獻標識碼:A文章編號:1007-9599(2012)05-0000-02
一、引言
大部分企業網管人員至今仍對內網威脅不重視,他們認為只要做好內外網物理隔離,或在內外網間部署好網關、防火墻等安全防護產品,網絡安全就能萬無一失。內網安全僅依賴管理措施,極少采用技術手段進行防護。中國國家信息安全測評認證中心的調查結果表明,信息安全問題主要來自泄密和內部人員犯罪,而非病毒和外來黑客引起。因此進一步分析企業內網威脅及防治技術,構建內網安全防護模型顯得愈發重要。
二、基于行為的內網威脅分析
隨著信息、通信技術的發展,企業內部網絡的應用越來越復雜,內網大多數的應用都是企業核心內容,需嚴格保密,一旦出現、破壞的事件,后果將不堪設想,內網出現問題甚至能夠導致整個企業癱瘓。
企業內網威脅除了由系統缺陷引起的安全隱患,大部分是由于企業內部人員安全意識不足,基于行的內網威脅,具體表現在:
(一)移動存儲介質管理的不規范:如數據拷貝不受限、違規交叉使用、單位和個人持有不區分等,特別是在與非計算機間、內部與互聯網計算機間交叉使用,導致計算機或內部工作計算機感染木馬病毒。
(二)服務端口過多開放:黑客一般是通過掃描端口獲取信息,確定主機運行的服務,然后再尋找相關服務或程序漏洞,最后通過漏洞服務或程序的端口攻擊目標主機。
(三)賬號口令管理不嚴:黑客攻擊的目的是為了非法獲取系統訪問權限,一旦取得賬戶口令,他們就可以順利登陸到目標系統,進行犯罪活動。
(四)用戶權限分配不合理:用戶權限往往未被限制,即授予其所需要的最小權限。攻擊者就利用用戶過高的權限進行攻擊。
(五)使用盜版、破解軟件等:盜版軟件通過破解、反編譯等手段得到軟件程序源代碼,修改源代碼往往影響到軟件模塊結構之間的邏輯性,導致一些軟件漏洞的出現,黑客也常用一些工具來搜索存有漏洞的計算機來確定攻擊目標。
(六)內部的網絡攻擊。有的員工為了泄私憤、或被策反成為敵方間諜,成為單位泄密者或破壞者。由于這些員工對單位內部的網絡架構熟悉,可利用管理上的漏洞,侵入他人計算機進行破壞。
(七)網管人員工作量過大、專業水平不夠高、工作責任心差;用戶操作失誤,可能會損壞網絡設備如主機硬件等,誤刪除文件和數據、誤格式化硬盤等,都將構成內網嚴重威脅。
三、內網威脅檢測技術
內外網隔離、防火墻、IDS及其他針對外部網絡的訪問控制系統,能夠有效防范來自網絡外部的進攻。但對于企業內部的信息保密問題,卻一直沒有很好的防范措施:內部人員可以輕松地將計算機中的機密信息通過網絡、存儲介質或打印等方式泄露。當前,可通過主流技術對內網威脅進行檢測:
(一)準入控制技術。目前,防范終端安全威脅可采用多種準入控制技術主動監控桌面電腦的安全狀態和管理狀態,將不安全的電腦隔離,進行修復。使準入控制技術與傳統的網絡安全技術如防火墻、防病毒技術有機結合,改變“被動的、以事件驅動”為特征的傳統內網安全管理模式,變被動防御為主動防御,有效促進內網規范化建設。
(二)網絡安全防范技術及監控手段的集成。可將防火墻技術、漏洞掃描技術、入侵檢測技術和安全管理、安全監測和安全控制集成與融合,實現對內部網絡的安全防范。網絡安全監測需要監測非授權外聯、非授權接入及非法入侵、非授權信息存取,對重要數據進行重點保護、重點信息進行重點監測,對可疑人物、可疑事件跟蹤監測。
(三)網絡安全監控。控制網絡設備的運行狀態,對網絡安全監測事件實時響應;這樣不僅能及時發現安全域內潛在的網絡安全威脅,減少網絡安全事故的發生,而且能做到對安全事故的及時解決。
(四)建立用戶行為審計。對用戶網絡行為進行審計,包括:審計登錄主機的用戶、登錄時間、退出時間等有詳細記錄;對重點數據操作的全過程審計;對發現可疑操作如多次嘗試用戶名和密碼的行為,及時報警并采取必要的安全措施如關機等。
四、內網安全防護模型
在內網威脅檢測技術的基礎上,建設一個多層次的網絡安全防護體系,使得安全管理員能夠全面掌握網絡的運行狀況,掌握網絡的應用流量狀況,掌握網絡中發生的安全事件,并在網絡出現異常或發生可疑事件時能夠方便快捷地對數據進行深入分析,從而實現對內部網的全方位安全監控,提高對安全事件的監控和響應處理能力。
(一)網絡準入控制與終端安全防護系統。將安全策略及多種安全防護技術等結合起來,構成一個統一終端安全防護系統。包括安全策略制定與下發、桌面終端的管理與控制、認證與授權、合規與審計。實現對進入內網的控制和安全策略符合診斷控制,提高企業終端安全管理水平。
(二)威脅分析監控系統。能盡早檢測出新的未知惡意軟件,對數據泄漏快速響應。能通過檢測網絡中的破壞性應用程序和服務程序,節省帶寬和資源;通過集中式管理,使威脅和事件信息管理更為容易。
(三)網絡流量分析系統。通過該系統捕獲并分析網絡中傳輸的數據包,有效反映網絡通訊狀況,幫助網管人員快速準確定位故障點并解決網絡故障,并快速排查網絡故障,從而提高網絡性能,規避網絡安全風險,增大網絡可用性價值,并確保整個網絡的持續可靠運行。
(四)用戶行為審計系統。及時分析用戶行為日志的審計,可發現可疑的信息,并重點跟蹤監測。有助于發現網絡中的薄弱環節及可疑因素;有助于提高企業用戶的網絡安全意識,也是對網絡安全破壞分子的震懾。
五、結束語
本文首先分析了基于行為的企業內網安全威脅,探討了當前內網威脅檢測技術,設計了一套對網絡準入控制、終端安全防護、流量分析、用戶行為審計等內網威脅檢測和管理的網絡安全防護模型。使得企業可以全面了解網絡的運行狀況以及安全事件信息,為安全管理中心和安全事件審計提供信息和證據。
參考文獻:
[1]陳廣山.網絡與信息安全技術[J].機械工業出版社,2007
