導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全事件管理，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：安全事件管理器；網(wǎng)絡(luò)安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)08-10ppp-0c

1 相關(guān)背景

隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，網(wǎng)絡(luò)信息安全越來越成為人們關(guān)注的焦點，同時網(wǎng)絡(luò)安全技術(shù)也成為網(wǎng)絡(luò)技術(shù)研究的熱點領(lǐng)域之一。到目前為止，得到廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)主要有防火墻（Firewall），IDS，IPS系統(tǒng)，蜜罐系統(tǒng)等，這些安全技術(shù)在網(wǎng)絡(luò)安全防護方面發(fā)揮著重要的作用。但是隨著網(wǎng)絡(luò)新應(yīng)用的不斷發(fā)展，這些技術(shù)也受到越來越多的挑戰(zhàn)，出現(xiàn)了不少的問題，主要體現(xiàn)在以下三個方面：

(1)眾多異構(gòu)環(huán)境下的安全設(shè)備每天產(chǎn)生大量的安全事件信息，海量的安全事件信息難以分析和處理。

(2)網(wǎng)絡(luò)安全應(yīng)用的發(fā)展，一個組織內(nèi)可能設(shè)置的各種安全設(shè)備之間無法信息共享，使得安全管理人員不能及時掌網(wǎng)絡(luò)的安全態(tài)勢。

(3)組織內(nèi)的各種安全設(shè)備都針對某一部分的網(wǎng)絡(luò)安全威脅而設(shè)置，整個組織內(nèi)各安全設(shè)備無法形成一個有效的，整合的安全防護功能。

針對以上問題，安全事件管理器技術(shù)作為一種新的網(wǎng)絡(luò)安全防護技術(shù)被提出來了，與其它的網(wǎng)絡(luò)安全防護技術(shù)相比，它更強調(diào)對整個組織網(wǎng)絡(luò)內(nèi)的整體安全防護，側(cè)重于各安全設(shè)備之間的信息共享與信息關(guān)聯(lián)，從而提供更為強大的，更易于被安全人員使用的網(wǎng)絡(luò)安全保護功能。

2 安全事件管理器的概念與架構(gòu)

2.1 安全事件管理器概念

安全事件管理器的概念主要側(cè)重于以下二個方面：

(1)整合性：現(xiàn)階段組織內(nèi)部安裝的多種安全設(shè)備隨時產(chǎn)生大量的安全事件信息，安全事件管理器技術(shù)注重將這些安全事件信息通過各種方式整合在一起，形成統(tǒng)一的格式，有利于安全管理人員及時分析和掌握網(wǎng)絡(luò)安全動態(tài)。同時統(tǒng)一的、格式化的安全事件信息也為專用的，智能化的安全事件信息分析工具提供了很有價值的信息源。

(2)閉環(huán)性：現(xiàn)有的安全防護技術(shù)大都是針對安全威脅的某一方面的威脅而采取防護。因此它們只關(guān)注某一類安全事件信息，然后作出判斷和動作。隨著網(wǎng)絡(luò)入侵和攻擊方式的多樣化，這些技術(shù)會出現(xiàn)一些問題，主要有誤報，漏報等。這些問題的主要根源來自于以上技術(shù)只側(cè)重對某一類安全事件信息分析，不能與其它安全設(shè)備產(chǎn)生的信息進行關(guān)聯(lián)，從而造成誤判。安全事件管理器從這個角度出發(fā)，通過對組織內(nèi)各安全設(shè)備產(chǎn)生的信息進行整合和關(guān)聯(lián)，實現(xiàn)對安全防護的閉環(huán)自反饋系統(tǒng)，達到對網(wǎng)絡(luò)安全態(tài)勢更準確的分析判斷結(jié)果。

從以上二個方面可以看出，安全事件管理器并沒有提供針對某類網(wǎng)絡(luò)安全威脅直接的防御和保護，它是通過整合，關(guān)聯(lián)來自不同設(shè)備的安全事件信息，實現(xiàn)對網(wǎng)絡(luò)安全狀況準確的分析和判斷，從而實現(xiàn)對網(wǎng)絡(luò)更有效的安全保護。

2.2 安全事件管理器的架構(gòu)

安全事件管理器的架構(gòu)主要如下圖所示。

圖1 安全事件事件管理系統(tǒng)結(jié)構(gòu)與設(shè)置圖

從圖中可以看出安全事件管理主要由三個部分組成的：安全事件信息的數(shù)據(jù)庫：主要負責安全事件信息的收集、格式化和統(tǒng)一存儲；而安全事件分析服務(wù)器主要負責對安全事件信息進行智能化的分析，這部分是安全事件管理系統(tǒng)的核心部分，由它實現(xiàn)對海量安全事件信息的統(tǒng)計和關(guān)聯(lián)分析，形成多層次、多角度的閉環(huán)監(jiān)控系統(tǒng)；安全事件管理器的終端部分主要負責圖形界面，用于用戶對安全事件管理器的設(shè)置和安全事件警報、查詢平臺。

3 安全事件管理器核心技術(shù)

3.1 數(shù)據(jù)抽取與格式化技術(shù)

數(shù)據(jù)抽取與格式化技術(shù)是安全事件管理器的基礎(chǔ)，只要將來源不同的安全事件信息從不同平臺的設(shè)備中抽取出來，并加以格式化成為統(tǒng)一的數(shù)據(jù)格式，才可以實現(xiàn)對安全設(shè)備產(chǎn)生的安全事件信息進行整合、分析。而數(shù)據(jù)的抽取與格式化主要由兩方面組成，即數(shù)據(jù)源獲取數(shù)據(jù)，數(shù)據(jù)格式化統(tǒng)一描述。

從數(shù)據(jù)源獲取數(shù)據(jù)主要的途徑是通過對網(wǎng)絡(luò)中各安全設(shè)備的日志以及設(shè)備數(shù)據(jù)庫提供的接口來直接獲取數(shù)據(jù)，而獲取的數(shù)據(jù)都是各安全設(shè)備自定義的，所以要對數(shù)據(jù)要采用統(tǒng)一的描述方式進行整理和格式化，目前安全事件管理器中采用的安全事件信息表達格式一般采用的是基于XML語言來描述的，因為XML語言是一種與平臺無關(guān)的標記描述語言，采用文本方式，因而通過它可以實現(xiàn)對安全事件信息的統(tǒng)一格式的描述后，跨平臺實現(xiàn)對安全事件信息的共享與交互。

3.2 關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)

關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)是安全事件管理器的功能核心，安全事件管理器強調(diào)是多層次與多角度的對來源不同安全設(shè)備的監(jiān)控信息進行分析，因此安全事件管理器的分析功能也由多種技術(shù)組成，其中主要的是關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)。

關(guān)聯(lián)分析技術(shù)主要是根據(jù)攻擊者入侵網(wǎng)絡(luò)可能會同時在不同的安全設(shè)備上留下記錄信息，安全事件管理器通過分析不同的設(shè)備在短時間內(nèi)記錄的信息，在時間上的順序和關(guān)聯(lián)可有可能準備地分析出結(jié)果。而統(tǒng)計分析技術(shù)則是在一段時間內(nèi)對網(wǎng)絡(luò)中記錄的安全事件信息按屬性進行分類統(tǒng)計，當某類事件在一段時間內(nèi)發(fā)生頻率異常，則認為網(wǎng)絡(luò)可能面臨著安全風險危險，這是一種基于統(tǒng)計知識的分析技術(shù)。與關(guān)聯(lián)分析技術(shù)不同的是，這種技術(shù)可以發(fā)現(xiàn)不為人知的安全攻擊方式，而關(guān)聯(lián)分析技術(shù)則是必須要事先確定關(guān)聯(lián)規(guī)則，也就是了解入侵攻擊的方式才可以實現(xiàn)準確的發(fā)現(xiàn)和分析效果。

4 安全事件管理器未來的發(fā)展趨勢

目前安全事件管理器的開發(fā)已經(jīng)在軟件產(chǎn)業(yè)，特別是信息安全產(chǎn)業(yè)中成為了熱點，并形成一定的市場。國內(nèi)外主要的一些在信息安全產(chǎn)業(yè)有影響的大公司如： IBM和思科公司都有相應(yīng)的產(chǎn)品推出，在國內(nèi)比較有影響是XFOCUS的OPENSTF系統(tǒng)。

從總體上看，隨著網(wǎng)絡(luò)入侵手段的復(fù)雜化以及網(wǎng)絡(luò)安全設(shè)備的多樣化，造成目前網(wǎng)絡(luò)防護中的木桶現(xiàn)象，即網(wǎng)絡(luò)安全很難形成全方面的、有效的整體防護，其中任何一個設(shè)備的失誤都可能會造成整個防護系統(tǒng)被突破。

從技術(shù)發(fā)展來看，信息的共享是網(wǎng)絡(luò)安全防護發(fā)展的必然趨勢，網(wǎng)絡(luò)安全事件管理器是采用安全事件信息共享的方式，將整個網(wǎng)絡(luò)的安全事件信息集中起來，進行分析，達到融合現(xiàn)有的各種安全防護技術(shù)，以及未來防護技術(shù)兼容的優(yōu)勢，從而達到更準備和有效的分析與判斷效果。因此有理由相信，隨著安全事件管理器技術(shù)的進一步發(fā)展，尤其是安全事件信息分析技術(shù)的發(fā)展，安全事件管理器系統(tǒng)必然在未來的信息安全領(lǐng)域中占有重要的地位。

參考文獻：

篇2

(1)高度協(xié)調(diào)合作性：可支援跨企業(yè)組成的虛擬多功能團隊，迅速且正確地進行協(xié)調(diào)、合作與支援。(2)分散式?jīng)Q策支援：使得虛擬企業(yè)的知識工作者能跨越時空界限，并能在適當?shù)臅r間以正確的格式，傳送至正確的地方給需要的團隊人員，作為決策的參考依據(jù)。(3)整合式管理架構(gòu)：借助一整合式管理架構(gòu)，有效儲存、整合、管理、傳遞和控制在虛擬企業(yè)中，并能即時同步更新及維持知識的一致性與正確性。(4)可重新規(guī)劃性：能夠依實際專案情況需要，彈性修正或重定架構(gòu)以因應(yīng)虛擬企業(yè)以專案為基礎(chǔ)的流程管理及彈性組織等特性。(5)可適用跨企業(yè)的異質(zhì)性作業(yè)環(huán)境：有效整合及統(tǒng)一跨企業(yè)間信息、系統(tǒng)與作業(yè)環(huán)境的異質(zhì)性問題。就個人效益方面，知識工作者能夠很容易地達到協(xié)同合作與有效地整合、儲存、管理、分享與運用知識，使得能夠在正確的時間、正確的地點，獲取正確格式的信息與知識；就整體效益方面，能不斷地累積個人與組織的知識成為組織智慧的循環(huán)，在企業(yè)組織中成為管理與應(yīng)用的智慧資本，有助于企業(yè)做出正確的決策，以順應(yīng)市場的變化。

協(xié)同式知識管理系統(tǒng)的建置

所謂的同步溝通，可借助同步的聊天工具（如MicrosoftNetmeeting）指的是及時地與對方聯(lián)系互動；異步（可借助異步的訊息傳送工具如電子郵件）則表示溝通行為可以不在同一時間點進行。虛擬企業(yè)知識的需求分析與知識模式設(shè)計(1)虛擬企業(yè)流程模式分析：以標準化的表示法(IDEF0)來界定出虛擬企業(yè)流程中每一活動所產(chǎn)出以及需要的知識類別(KnowledgeClass，KC)。(2)知識個體的分析：分析出知識個體的屬性(Attributes)與語意(Semantics)；分析出知識個體的關(guān)系9Relationship)及其屬性。(3)知識的表達。利用物件導(dǎo)向式知識表達法來呈現(xiàn)對知識類別分析的結(jié)果。以Data與KnowledgeAbstraction的概念與方法來建立單一知識個體層次概念表示法，并利用物件導(dǎo)向技術(shù)對此單一知識個體層次概念表示法進行物件模式化。(4)知識模式的建立。集結(jié)所有的知識個體并且建立一包含所有知識個體層次概念模式，再利用物件導(dǎo)向技術(shù)對此概念模式進行物件模式化，并結(jié)合前面對知識個體分析的結(jié)果以及利用物件導(dǎo)向分析與設(shè)計的方法來進行知識的搜尋與整合，進而得到一個知識搜尋與整合的物件模式，以便具體地描述知識個體間動態(tài)與靜態(tài)的關(guān)系。協(xié)同式知識管理系統(tǒng)架構(gòu)設(shè)計及系統(tǒng)模式分析與設(shè)計(1)根據(jù)虛擬企業(yè)對知識管理的需求為基礎(chǔ)，設(shè)計一協(xié)同式知識管理系統(tǒng)架構(gòu)。(2)依據(jù)所設(shè)計的知識管理系統(tǒng)架構(gòu)，利用統(tǒng)一模式化語言（UnifiedModelingLanguage，UML）及物件導(dǎo)向分析、設(shè)計方法與技術(shù)來進行系統(tǒng)模式化分析與設(shè)計。依照研究項目與方法，本研究步驟共分成領(lǐng)域研究、業(yè)界所提知識管理系統(tǒng)架構(gòu)分析與探討、虛擬企業(yè)知識管理需求分析(知識界定、分析、表達與模式建立)、協(xié)同式知識管理系統(tǒng)架構(gòu)設(shè)計以及系統(tǒng)實作知識管理系統(tǒng)實體架構(gòu)(1)展現(xiàn)層。在展現(xiàn)層中，使用者可通過多種方式與知識管理服務(wù)器溝通；展現(xiàn)層與商業(yè)邏輯層的主要溝通組件為智能型溝通人。(2)商業(yè)邏輯層。知識管理服務(wù)器是架構(gòu)在商業(yè)邏輯層，主要是扮演著表示層與資料存取層中介者的角色，負責協(xié)調(diào)知識組件的存取。(3)在知識管理服務(wù)器中，包含了幾個組件：溝通服務(wù)器，負責與展現(xiàn)層中的人溝通的執(zhí)行程序，其處理有關(guān)知識儲存、分享、搜尋等知識組件維護的相關(guān)要求；協(xié)調(diào)者，主要處理表示層與數(shù)據(jù)存取層的間知識組件存取的協(xié)調(diào)工作；XML產(chǎn)生器、人管理員，負責管理所有的行動人。(4)資料存取層。每一個知識庫中，皆包含三個重要組件：知識人、XML剖析器、知識搜索引擎。知識人為一智能型人，初次啟動，必須先向商業(yè)邏輯層的人管理者注冊，即新增一個數(shù)據(jù)庫。

安全性分析

篇3

關(guān)鍵詞：設(shè)計與實現(xiàn)；系統(tǒng)；監(jiān)控管理；網(wǎng)絡(luò)安全

中圖分類號：TP393.08

隨著現(xiàn)代科技的發(fā)展和計算機網(wǎng)絡(luò)的高速普及，網(wǎng)絡(luò)的覆蓋不斷的擴大，節(jié)點不斷的增多。網(wǎng)絡(luò)發(fā)展的迅速，就給人們帶來了一些管理和維護的方面的一些問題，而網(wǎng)絡(luò)安全這個問題，也是對于維護人員的考驗之一。目前網(wǎng)絡(luò)中經(jīng)常，也是主要遇到的問題，便是網(wǎng)絡(luò)管理的難度相對較大，所帶來的工作量也會隨之加大；網(wǎng)絡(luò)上的信息量多大，不能對沒一條信息進行逐步有效的監(jiān)管和統(tǒng)計，所以對于一些警報和定位的問題，修復(fù)起來就會很費時間和人力，也會出現(xiàn)維護不及時的問題；由于信息的產(chǎn)生很快，和統(tǒng)計的一些不足，導(dǎo)致無法集中智能的處理和篩選。這篇文章主要是就網(wǎng)絡(luò)監(jiān)控安全系統(tǒng)的管理和實現(xiàn)進行一個簡要的分析。

1 網(wǎng)絡(luò)管理與設(shè)計

1.1 網(wǎng)絡(luò)管理的意義概念

網(wǎng)絡(luò)管理就是用某一種方式方法來對網(wǎng)絡(luò)來進行管理，讓網(wǎng)絡(luò)能夠正常并且有效的運行。這樣做的目的是對網(wǎng)絡(luò)中的信息資源的利用擴大到最大化，從實際操作上來講，管理可以是對主干網(wǎng)絡(luò)進行管理，可以是對接收的端口來進行管理，也可以是對于網(wǎng)絡(luò)資源的信息管理。網(wǎng)絡(luò)信息安全的管理軟件的發(fā)展，從單方面維護到對網(wǎng)絡(luò)信息的整理，經(jīng)歷了不少的過程，做這個軟件應(yīng)該考慮到，對于信息的整理和分析，達到真正的網(wǎng)絡(luò)高效的管理。

1.2 網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)的設(shè)計原則

依照當今的市場主流思想，這個系統(tǒng)應(yīng)當是一個在實現(xiàn)過程中簡單可靠，并且實用的軟件。依據(jù)這個原則，需要做的便是要研究當下的計算機網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)技術(shù)，對這個軟件盡可能的使用成熟先進的主流技術(shù)。研究網(wǎng)絡(luò)信息中心的需求，對需求和特點進行分析。對于其他的一些網(wǎng)絡(luò)監(jiān)管系統(tǒng)進行對比和創(chuàng)新，將不足的地方進行簡化修改和修復(fù)。優(yōu)化該系統(tǒng)，讓這個系統(tǒng)的資源占用小，被監(jiān)管資源也能夠監(jiān)管到位，可操作性強，方便，實用，可靠，簡單。

1.3 網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)的制作目標

網(wǎng)絡(luò)監(jiān)管系統(tǒng)是為了讓人能夠更好的對網(wǎng)絡(luò)進行管理，一般而言，對于系統(tǒng)所需要達到的目的是根據(jù)客戶要求要做的。而一般系統(tǒng)中，都有一些通用的目標特點。能夠遠程的操控和維護該系統(tǒng)，操作性強，能夠跨平臺的運行其主要的運用和服務(wù)。遇到漏洞或錯誤能夠自動的修復(fù)，能夠24小時自動對監(jiān)控對象進行管理。方便使用系統(tǒng)中的功能，易于操作并且擁有一定的課擴展性，還能提供比較全面的報表。

2 網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)的結(jié)構(gòu)

2.1 系統(tǒng)的主要結(jié)構(gòu)

就系統(tǒng)來說，大致可以分為兩個部分，也就是后臺數(shù)據(jù)采集和前臺的監(jiān)控。后臺數(shù)據(jù)采集考慮到它的安全性，采用的一般都是獨立運行。后臺數(shù)據(jù)采集是非常重要的，主要影響到了呼氣的數(shù)據(jù)的整理，獨立性能減少被攻擊的可能，使系統(tǒng)更加的安全。前臺的監(jiān)管系統(tǒng)來說，主要是連接網(wǎng)絡(luò)設(shè)備和洽談的資源。用來管理資源。

2.2 網(wǎng)絡(luò)設(shè)備的管理

在網(wǎng)絡(luò)發(fā)現(xiàn)模塊傳送到了計算機內(nèi)的時候，能夠通過網(wǎng)絡(luò)的設(shè)備所連接到的所有的客戶端口，可以在端口中建立新的管理屬性。例如將主機、服務(wù)器等設(shè)備，通過傳送到網(wǎng)絡(luò)管理模塊，來新添加管理的屬性，例如聯(lián)系人、負責人等信息。

2.3 服務(wù)器管理模塊

因為服務(wù)器十分的主要，所有這個要作為一個單獨的管理模塊，服務(wù)器管理模塊，是被管理的一個部分。對于windows的系統(tǒng)的服務(wù)器來說，可以用基于windows系統(tǒng)的WMI技術(shù)，可以周期性的采集服務(wù)器的處理類、IP包類、網(wǎng)絡(luò)接口類、DUP包類、內(nèi)存類、物理儲存類、TCP包類、服務(wù)類等，以及被管理的計算機的運行基本狀況信息，例如內(nèi)存占用率、網(wǎng)絡(luò)占用率等，在此同時，也能夠?qū)Ψ?wù)器進行遠程的控制，例如開關(guān)機等。而對于不是windows的系統(tǒng)來說呢，一般用到的是SNMP協(xié)議的管理，這個協(xié)議的管理是基礎(chǔ)WMI的技術(shù)而言的。

2.4 網(wǎng)絡(luò)的接入管理模塊。

這里對于網(wǎng)絡(luò)接入的管理，是采用的IP和MAC地址綁定的方法來實現(xiàn)的。對網(wǎng)絡(luò)接入管理有特殊的要求的情況下來說，可以用來讀取被接入的網(wǎng)絡(luò)設(shè)備，就像，交換機IP，同時記錄的了IP地主和MAC地址，如果在意外中發(fā)現(xiàn)了接入設(shè)備的地址，不論是IP地址還是MAC地址，和之前的不同，就可以發(fā)送信息到總計，并且能夠關(guān)閉端口或者是報警等等可以設(shè)置的措施。對于安全性來說是必不可少的。

4 系統(tǒng)的主要特點

4.1 可應(yīng)用于多個平臺

這個系統(tǒng)可一用到各種不同的平臺之中，增加了系統(tǒng)的運用率?？梢杂糜贚INUX、windows、NT、Unix等平臺，使不同的客戶能夠根據(jù)實際的情況來選擇不同的平臺下的本產(chǎn)品，而且由于通用性好，在端口服務(wù)中，能夠進行遠程的操控。滿足多端口控制，也能夠進行自動化的集中的監(jiān)控和管理，使用起來更便捷。

4.2 完善的數(shù)據(jù)庫

系統(tǒng)能夠?qū)τ诓杉瘉淼男畔?shù)據(jù)進行緝拿單的分化操作，支持多種數(shù)據(jù)庫。由于后臺的獨立性，能夠最大化的保證他的安全性，減少訪問次數(shù)，也能夠減少它的內(nèi)存占用率，讓它運行起來更流暢，也能對惡意攻擊的系統(tǒng)進行屏蔽。

4.3 提供圖紙

能夠直觀的生成系統(tǒng)檢測圖，從任意一個模塊開始，搜索整個的網(wǎng)絡(luò)，用來尋找和發(fā)現(xiàn)數(shù)據(jù)，快速并方便的自動管理網(wǎng)絡(luò)設(shè)備和信息數(shù)據(jù)，并傳送到端口。能夠?qū)τ诿恳粋€系統(tǒng)進行監(jiān)控，能夠及時的發(fā)現(xiàn)軟件是否運行正常，管理人員也能夠快速的對其進行定位和使用。

5 結(jié)束語

近年來，隨著信息技術(shù)的進步和網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)監(jiān)管安全系統(tǒng)能夠使使用人員能夠快速、方便、安全的對系統(tǒng)數(shù)據(jù)進行分析和管理。同時也能夠及時的對各個運行的軟件和系統(tǒng)進行自動修復(fù)，能夠穩(wěn)定高效的運行，同時保障系統(tǒng)的安全。可以說在這個科技高速發(fā)展的今天，這種方便、安全的系統(tǒng)的出現(xiàn)是必然的。

參考文獻：

[1]陳兵，土立松.基于立氣層架構(gòu)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)發(fā)現(xiàn)[J].計算機應(yīng)用，2002，22（6）.

[2]劉妹，李成忠.網(wǎng)絡(luò)自動拓撲發(fā)現(xiàn)算法的研究與設(shè)計[J].計算機應(yīng)用研究，2002，2.

[3]邱林，張建忠.基廠端日流量的物理網(wǎng)絡(luò)拓撲發(fā)現(xiàn)方法研究[J].計算機工程與應(yīng)用，2002，22.

[4]李天劍，曾文方.撲圖自動構(gòu)造的研究與實現(xiàn)[J].計算機T程與設(shè)計，2001，2（l）.

篇4

關(guān)鍵詞：壓力容器壓力管；3G無線網(wǎng)絡(luò)技術(shù)；安全監(jiān)控

中圖分類號：TP277 文獻標識碼：A 文章編號：1007-9599 （2013） 01-0235-02

1 引言

壓力容器及壓力管道具有一定的爆炸危險性，是化工企業(yè)生產(chǎn)中的重要設(shè)備，隨著我國經(jīng)濟的持續(xù)快速發(fā)展，它在我們生產(chǎn)和生活中的應(yīng)用日益廣泛。安全生產(chǎn)是企業(yè)生存的核心，加強壓力容器及壓力管道的監(jiān)控對企業(yè)的安全生產(chǎn)就顯得特別重要。當前各生產(chǎn)企業(yè)對壓力容器的安全監(jiān)控僅僅停留在規(guī)章制度的制定及操作規(guī)程的設(shè)計層次，對安全的監(jiān)控集中在對人的管理方面，系統(tǒng)性的安全監(jiān)控平臺還沒有得到普遍應(yīng)用。

宜化集團現(xiàn)有幾十個子公司，僅股份公司就有近一千五百個壓力容器及三千五百個壓力管道，任何一個設(shè)備發(fā)生的任何一次事故都牽動著管理者的神經(jīng)。加強對這些壓力設(shè)備的監(jiān)控刻不容緩。

壓力容器安全性的檢測是由全國各地的特種設(shè)備檢驗所負責的，有部分特種設(shè)備檢驗所在研發(fā)類似的監(jiān)控裝置。但這些監(jiān)控裝置只能針對某些特定的設(shè)備，不具有對企業(yè)所有壓力設(shè)備進行全面監(jiān)控的能力。

大多數(shù)企業(yè)在對壓力容器進行監(jiān)控還是采用傳統(tǒng)的辦法：一是請?zhí)胤N設(shè)備檢驗所來對某些設(shè)備進行定期“體檢”；二是安排專門管理設(shè)備的工作人員運用特殊的檢測工具對特定設(shè)備進行自檢；三是各工段的工作人員經(jīng)常性的巡視登錄各儀器儀表的計數(shù)。這種管理辦法費時費力，還容易遺漏。本項目的研發(fā)能夠極大地提高工作效率，對壓力容器及壓力管道的安全運行提供良好的保證。

2 基本思路

運用先進的信息技術(shù)以及各種傳感器，將壓力容器檢測儀器設(shè)備的信號自動或者人工方式采集到計算機或智能手機中，在3G無線網(wǎng)中，或者在互聯(lián)網(wǎng)中，將壓力容器的檢測數(shù)據(jù)自動接入相應(yīng)的壓力容器監(jiān)控軟件系統(tǒng)，依據(jù)系統(tǒng)預(yù)先設(shè)計的數(shù)學模型，自動對檢測數(shù)據(jù)進行判定，并給出相應(yīng)的報警信息，從而實現(xiàn)對壓力容器安全狀態(tài)的全面電子化管理。本項目產(chǎn)品適用于各種使用到壓力容器的生產(chǎn)企業(yè)；以及生產(chǎn)壓力監(jiān)測儀器儀表的生產(chǎn)企業(yè)對檢測設(shè)備的數(shù)字化改造與信息自動采集。

3 技術(shù)來源與基礎(chǔ)

本項目的全部技術(shù)均為自主研發(fā)，擁有完全自主知識產(chǎn)權(quán)和核心競爭力。項目的軟件部分建立在微軟.Net框架基礎(chǔ)之上，采用C#語言編程，瀏覽器/服務(wù)器模式，多層架構(gòu)體系，能夠較好的滿足開發(fā)的要求。宜化股份公司是一資深的化工生產(chǎn)企業(yè)，在企業(yè)安全生產(chǎn)方面積累了豐富的生產(chǎn)經(jīng)驗，企業(yè)擁有一批優(yōu)秀的設(shè)備管理方面的專家，有一些先進的檢測儀器設(shè)備，能夠在硬件方面為安全監(jiān)控平臺的建立提供的支撐。

壓力容器安全監(jiān)控平臺

5 關(guān)鍵技術(shù)

條形碼是指由一組規(guī)則排列的條、空及其對應(yīng)字符組成的標識，用以表示一定的商品信息的符號。其中條為深色、空為納色，用于條形碼識讀設(shè)備的掃描識讀。其對應(yīng)字符由一組阿拉伯數(shù)字組成，供人們直接識讀或通過鍵盤向計算機輸人數(shù)據(jù)使用。這一組條空和相應(yīng)的字符所表示的信息是相同的。

條形碼技術(shù)是隨著計算機與信息技術(shù)的發(fā)展和應(yīng)用而誕生的，它是集編碼、印刷、識別、數(shù)據(jù)采集和處理于一身的新型技術(shù)。使用條形碼掃描是今后設(shè)備識別的大趨勢。目前世界上常用的碼制有ENA條形碼、UPC條形碼、二五條形碼、交叉二五條形碼、庫德巴條形碼、三九條形碼和128條形碼等。

智能手機具有獨立的操作系統(tǒng)，像個人電腦一樣能夠在其中開發(fā)應(yīng)用程序，同時可通過移動通訊網(wǎng)絡(luò)來實現(xiàn)無線網(wǎng)絡(luò)接入。目前，全球多數(shù)手機廠商都有智能手機產(chǎn)品，而芬蘭諾基亞、美國蘋果、加拿大RIM（黑莓）、美國摩托羅拉、中國臺灣宏達（htc）更是智能機中的佼佼者。

在3G全面普及的今天，將通過3G無線網(wǎng)，在壓力容器運行現(xiàn)場與安全監(jiān)控中心構(gòu)建一個無縫的寬帶網(wǎng)，運行現(xiàn)場的檢測數(shù)據(jù)能以文字、視頻、音頻等方式直接上傳數(shù)據(jù)中心，從而實現(xiàn)對生產(chǎn)現(xiàn)場檢測的有效監(jiān)管。

6 結(jié)束語

本項目完全采用面向?qū)ο蟮姆治龇椒ㄩ_發(fā)，精心設(shè)計系統(tǒng)架構(gòu)。目前的“宜化集團壓力容器管道監(jiān)控系統(tǒng)”已經(jīng)過客戶近三年的使用，從宜化集團下屬十個企業(yè)中的使用情況來看，系統(tǒng)運行情況良好，能夠很好地滿足企業(yè)管理的需要。

本項目的應(yīng)用將極大的提升化工企業(yè)的信息化管理水平，與電子化管理相適應(yīng)的，將大大促進壓力容器檢測儀器設(shè)備向小型化、數(shù)字化方向的發(fā)展，帶動以嵌入式軟件為核心的檢測儀器設(shè)備的快速發(fā)展。

伴隨宜化集團的發(fā)展壯大，壓力容器安全監(jiān)控平臺必將在北京、湖北、湖南、河南、河北、云南、重慶、貴州、四川、山西、內(nèi)蒙、新疆、寧夏、青海、黑龍江、越南等地得到應(yīng)用。它將為各地的化工企業(yè)搭建全面信息化管理系統(tǒng)提供樣板工程。

本項目經(jīng)過適當修改，也可適用于其它各類生產(chǎn)企業(yè)的安全管理。因此，本項目的應(yīng)用范圍極其廣泛，有很大的上升空間。

參考文獻：

[1]梁潤華，高峰，林都.壓力容器檢驗信息系統(tǒng)的開發(fā)與設(shè)計[J].機械管理開發(fā)，2006，2.

[2]祝勇仁，鄒金橋，曹煥亞.鍋爐壓力容器CAPP系統(tǒng)開發(fā)平臺的研究[J].研究探討，2005.

篇5

1網(wǎng)絡(luò)安全事件關(guān)聯(lián)與態(tài)勢評測技術(shù)國內(nèi)外發(fā)展現(xiàn)狀

網(wǎng)絡(luò)安全態(tài)勢評估與態(tài)勢評測技術(shù)的研究在國外發(fā)展較早，最早的態(tài)勢感知的定義是在1988年由Endley提出的。它最初是指在特定的時間、空間范圍內(nèi)，對周邊的環(huán)境進行感知，從而對事物的發(fā)展方向進行評測。我國對于網(wǎng)絡(luò)安全事件關(guān)聯(lián)細分與態(tài)勢評測技術(shù)起步較晚，但是國內(nèi)的高校和科研機構(gòu)都積極參與，并取得了不錯的成果。哈爾濱工業(yè)大學的教授建立了基于異質(zhì)多傳感器融合的網(wǎng)絡(luò)安全態(tài)勢感知模型，并采用灰色理論，對各個關(guān)鍵性能指標的變化進行關(guān)聯(lián)分析，從而對網(wǎng)絡(luò)系統(tǒng)態(tài)勢變化進行綜合評估。中國科技大學等人提出基于日志審計與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢評估模型，國防科技大學也提出大規(guī)模網(wǎng)絡(luò)安全態(tài)勢評估模型。這些都預(yù)示著，我國的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢評測技術(shù)研究有了一個新的進步，無論是大規(guī)模網(wǎng)絡(luò)還是態(tài)勢感知，都可以做到快速反應(yīng)，提高網(wǎng)絡(luò)防御能力與應(yīng)急響應(yīng)處理能力，有著極高的實用價值[1]。

2網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)概述

近年來，網(wǎng)絡(luò)安全一直遭受到黑客攻擊、病毒、漏洞等威脅，嚴重影響著網(wǎng)絡(luò)的運行安全。社會各界也對其極為重視，并采用相應(yīng)技術(shù)來保障網(wǎng)絡(luò)系統(tǒng)的安全運行。比如Firewall，IDS，漏洞掃描，安全審計等。這些設(shè)備功能單一，是獨立的個體，不能協(xié)同工作。這樣直接導(dǎo)致安全事件中的事件冗余，系統(tǒng)反應(yīng)慢，重復(fù)報警等情況越來越嚴重。加上網(wǎng)絡(luò)規(guī)模的逐漸增加，數(shù)據(jù)報警信息又多，管理員很難一一進行處理，這樣就導(dǎo)致報警的真實有效性受到影響，信息中隱藏的攻擊意圖更難發(fā)現(xiàn)。在實際操作中，安全事件是存在關(guān)聯(lián)關(guān)系，不是孤立產(chǎn)生的。網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析就是通過對各個事件之間進行有效的關(guān)聯(lián)，從而將原來的網(wǎng)絡(luò)安全事件數(shù)據(jù)進行處理，通過過濾、發(fā)掘等數(shù)據(jù)事件之間的關(guān)聯(lián)關(guān)系，才能為網(wǎng)絡(luò)管理人員提供更為可靠、有價值的數(shù)據(jù)信息。近年來，社會各界對于網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析更為重視，已經(jīng)成為網(wǎng)絡(luò)安全研究中必要的一部分，并取得了相應(yīng)的成果。在一定程度上，縮減網(wǎng)絡(luò)安全事件的數(shù)量，為網(wǎng)絡(luò)安全態(tài)勢評估提供有效的數(shù)據(jù)支持。2.1網(wǎng)絡(luò)安全數(shù)據(jù)的預(yù)處理。由于網(wǎng)絡(luò)復(fù)雜多樣，在進行安全數(shù)據(jù)的采集中，采集到的數(shù)據(jù)形式也是多種多樣，格式復(fù)雜，并且存在大量的冗余信息。使用這樣的數(shù)據(jù)進行網(wǎng)絡(luò)安全態(tài)勢的分析，自然不會取得很有價值的結(jié)果。為了提高數(shù)據(jù)分析的準確性，就必須提高數(shù)據(jù)質(zhì)量，因此就要求對采集到的原始數(shù)據(jù)進行預(yù)處理。常用的數(shù)據(jù)預(yù)處理方式分為3種：（1）數(shù)據(jù)清洗。將殘缺的數(shù)據(jù)進行填充，對噪聲數(shù)據(jù)進行降噪處理，當數(shù)據(jù)不一致的時候，要進行糾錯。（2）數(shù)據(jù)集成。網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，安全信息的來源也復(fù)雜，這就需要對采集到的數(shù)據(jù)進行集成處理，使它們的結(jié)構(gòu)保持一致，并且將其存儲在相同的數(shù)據(jù)系統(tǒng)中。（3）將數(shù)據(jù)進行規(guī)范變化。2.2網(wǎng)絡(luò)安全態(tài)勢指標提取。構(gòu)建合理的安全態(tài)勢指標體系是對網(wǎng)絡(luò)安全態(tài)勢進行合理評估和預(yù)測的必要條件。采用不同的算法和模型，對權(quán)值評估可以產(chǎn)生不同的評估結(jié)果。網(wǎng)絡(luò)的復(fù)雜性，使得數(shù)據(jù)采集復(fù)雜多變，而且存在大量冗余和噪音，如果不對其進行處理，就會導(dǎo)致在關(guān)聯(lián)分析時，耗時耗力，而且得不出理想的結(jié)果。這就需要一個合理的指標體系對網(wǎng)絡(luò)狀態(tài)進行分析處理，發(fā)現(xiàn)真正的攻擊，提高評估和預(yù)測的準確性。想要提高對網(wǎng)絡(luò)安全狀態(tài)的評估和預(yù)測，就需要對數(shù)據(jù)信息進行充分了解，剔除冗余，找出所需要的信息，提高態(tài)勢分析效率，減輕系統(tǒng)負擔。在進行網(wǎng)絡(luò)安全要素指標的提取時要統(tǒng)籌考慮，數(shù)據(jù)指標要全面而非單一，指標的提取要遵循4個原則：危險性、可靠性、脆弱性和可用性[2]。2.3網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析。網(wǎng)絡(luò)數(shù)據(jù)具有不確定性、不完整性、變異性和模糊性的特點，就導(dǎo)致事件的冗余，不利于事件關(guān)聯(lián)分析，而且數(shù)據(jù)量極大，事件繁多，網(wǎng)絡(luò)管理人員對其處理也極為不便。為了對其進行更好的分析和處理，就需要對其進行數(shù)據(jù)預(yù)處理。在進行數(shù)據(jù)預(yù)處理時要統(tǒng)籌考慮，分析網(wǎng)絡(luò)安全事件的關(guān)聯(lián)性，并對其類似的進行合并，減少重復(fù)報警概率，從而提高網(wǎng)絡(luò)安全狀態(tài)評估的有效性。常見的關(guān)聯(lián)辦法有因果關(guān)聯(lián)、屬性關(guān)聯(lián)等。

3網(wǎng)絡(luò)安全態(tài)勢評測技術(shù)概述

網(wǎng)絡(luò)安全態(tài)勢是一個全局的概念，是指在網(wǎng)絡(luò)運行中，對引起網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的網(wǎng)絡(luò)狀態(tài)信息進行采集，并對其進行分析、理解、處理以及評測的一個發(fā)展趨勢。網(wǎng)絡(luò)安全態(tài)勢是網(wǎng)絡(luò)運行狀態(tài)的一個折射，根據(jù)網(wǎng)絡(luò)的歷史狀態(tài)等可以預(yù)測網(wǎng)絡(luò)的未來狀態(tài)。網(wǎng)絡(luò)態(tài)勢分析的數(shù)據(jù)有網(wǎng)絡(luò)設(shè)備、日志文件、監(jiān)控軟件等。通過這些信息對其關(guān)聯(lián)分析，可以及時了解網(wǎng)絡(luò)的運行狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢技術(shù)分析首先要對網(wǎng)絡(luò)環(huán)境進行檢測，然而影響網(wǎng)絡(luò)安全的環(huán)境很是復(fù)雜，時間、空間都存在，因此對信息進行采集之后，要對其進行分類、合并。然后對處理后的信息進行關(guān)聯(lián)分析和態(tài)勢評測，從而對未來的網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測。3.1網(wǎng)絡(luò)安全態(tài)勢分析。網(wǎng)絡(luò)安全態(tài)勢技術(shù)研究分為態(tài)勢獲取、理解、評估、預(yù)測。態(tài)勢的獲取是指收集網(wǎng)絡(luò)環(huán)境中的信息，這些數(shù)據(jù)信息是態(tài)勢預(yù)測的前提。并且將采集到的數(shù)據(jù)進行分析，理解他們之間的相關(guān)性，并依據(jù)確定的指標體系，進行定量分析，尋找其中的問題，提出相應(yīng)的解決辦法。態(tài)勢預(yù)測就是根據(jù)獲取的信息進行整理、分析、理解，從而來預(yù)測事物的未來發(fā)展趨勢，這也是網(wǎng)絡(luò)態(tài)勢評測技術(shù)的最終目的。只有充分了解網(wǎng)絡(luò)安全事件關(guān)聯(lián)與未來的發(fā)展趨勢，才能對復(fù)雜的網(wǎng)絡(luò)環(huán)境存在的安全問題進行預(yù)防，最大程度保證網(wǎng)絡(luò)的安全運行。3.2網(wǎng)絡(luò)安全態(tài)勢評測模型。網(wǎng)絡(luò)安全態(tài)勢評測離不開網(wǎng)絡(luò)安全態(tài)勢評測模型，不同的需求會有不同的結(jié)果。網(wǎng)絡(luò)安全態(tài)勢評測技術(shù)具備較強的主觀性，而且復(fù)雜多樣。對于網(wǎng)絡(luò)管理員來說，他們注意的是網(wǎng)絡(luò)的運行狀態(tài)，因此在評測的時候，主要針對網(wǎng)絡(luò)入侵和漏洞識別。對于銀行系統(tǒng)來說，數(shù)據(jù)是最重要的，對于軍事部門，保密是第一位的。因此網(wǎng)絡(luò)安全狀態(tài)不能采用單一的模型，要根據(jù)用戶的需求來選取合適的需求?，F(xiàn)在也有多種態(tài)勢評測模型，比如應(yīng)用在入侵檢測的Bass。3.3網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測。網(wǎng)絡(luò)安全態(tài)勢評估主要是對網(wǎng)絡(luò)的安全狀態(tài)進行綜合評估，使網(wǎng)絡(luò)管理者可以根據(jù)評估數(shù)據(jù)有目標地進行預(yù)防和保護操作，最常用的態(tài)勢評估方法是神經(jīng)網(wǎng)絡(luò)、模糊推理等。網(wǎng)絡(luò)安全態(tài)勢預(yù)測的主要問題是主動防護，對危害信息進行阻攔，預(yù)測將來可能受到的網(wǎng)絡(luò)危害，并提出相應(yīng)對策。目前常用的預(yù)測技術(shù)有很多，比如時間序列和Kalman算法等，大概有40余種。他們根據(jù)自身的拓撲結(jié)構(gòu)，又可以分為兩類：沒有反饋的前饋網(wǎng)絡(luò)和變換狀態(tài)進行信息處理的反饋網(wǎng)絡(luò)。其中BP網(wǎng)絡(luò)就屬于前者，而Elman神經(jīng)網(wǎng)絡(luò)屬于后者[3]。

4網(wǎng)絡(luò)安全事件特征提取和關(guān)聯(lián)分析研究

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢指標體系時，要遵循全面、客觀和易操作的原則。在對網(wǎng)絡(luò)安全事件特征提取時，要找出最能反映安全態(tài)勢的指標，對網(wǎng)絡(luò)安全態(tài)勢進行分析預(yù)測。網(wǎng)絡(luò)安全事件可以從網(wǎng)絡(luò)威脅性信息中選取，通過端口掃描、監(jiān)聽等方式進行數(shù)據(jù)采集。并利用現(xiàn)有的軟件進行掃描，采集網(wǎng)絡(luò)流量信息，找出流量的異常變化，從而發(fā)現(xiàn)網(wǎng)絡(luò)潛在的威脅。其次就是利用簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol，SNMP）來進行網(wǎng)絡(luò)和主機狀態(tài)信息的采集，查看帶寬和CPU的利用率，從而找出問題所在。除了這些，還有服務(wù)狀態(tài)信息、鏈路狀態(tài)信息和資源配置信息等[4]。

5結(jié)語

近年來，隨著科技的快速發(fā)展，互聯(lián)網(wǎng)技術(shù)得到了一個質(zhì)的飛躍。互聯(lián)網(wǎng)滲透到人們的生活中，成為人們工作、生活不可或缺的一部分，而且隨著個人計算機的普及應(yīng)用，使得網(wǎng)絡(luò)的規(guī)模也逐漸增大，互聯(lián)網(wǎng)進入了大數(shù)據(jù)時代。數(shù)據(jù)信息的重要性與日俱增，同時網(wǎng)絡(luò)安全問題越來越嚴重。黑客攻擊、病毒感染等一些惡意入侵破壞網(wǎng)絡(luò)的正常運行，威脅信息的安全，從而影響著社會的和諧穩(wěn)定。因此，網(wǎng)絡(luò)管理人員對當前技術(shù)進行深入的研究，及時掌控技術(shù)的局面，并對未來的發(fā)展作出正確的預(yù)測是非常有必要的。

作者:李勝軍 單位:吉林省經(jīng)濟管理干部學院

[參考文獻]

[1]趙國生，王慧強，王健.基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性態(tài)勢評估研究[J].小型微型計算機系統(tǒng)，2006（10）：1861-1864.

[2]劉效武，王慧強.基于異質(zhì)多傳感器融合的網(wǎng)絡(luò)安全態(tài)勢感知模型[J].計算機科學，2008（8）：69-73.

篇6

【關(guān)鍵詞】網(wǎng)絡(luò)安全；管理技術(shù)；應(yīng)用

1網(wǎng)絡(luò)安全管理要素

目前，隨著互聯(lián)網(wǎng)的普及與發(fā)展，人們對網(wǎng)絡(luò)的應(yīng)用越來越廣泛，對網(wǎng)絡(luò)安全的意識也不斷增強，尤其是對于企業(yè)而言，網(wǎng)絡(luò)安全管理一直以來都存在諸多問題。網(wǎng)絡(luò)安全管理涉及到的要素非常多，例如安全策略、安全配置、安全事件以及安全事故等等，這些要素對于網(wǎng)絡(luò)安全管理而言有著重大影響，針對這些網(wǎng)絡(luò)安全管理要素的分析與研究具有十分重要的意義。

1.1安全策略

網(wǎng)絡(luò)安全的核心在于安全策略。在網(wǎng)絡(luò)系統(tǒng)安全建立的過程中，安全策略具有重要的指導(dǎo)性作用。通過安全策略，可以網(wǎng)絡(luò)系統(tǒng)的建立的安全性、資源保護以及資源保護方式予以明確。作為重要的規(guī)則，安全策略對于網(wǎng)絡(luò)系統(tǒng)安全而言有著重要的控制作用。換言之，就是指以安全需求、安全威脅來源以及組織機構(gòu)狀況為出發(fā)點，對安全對象、狀態(tài)以及應(yīng)對方法進行明確定義。在網(wǎng)絡(luò)系統(tǒng)安全檢查過程中，安全策略具有重要且唯一的參考意義。網(wǎng)絡(luò)系統(tǒng)的安全性、安全狀況以及安全方法，都只有參考安全策略。作為重要的標準規(guī)范，相關(guān)工作人員必須對安全策略有一個深入的認識與理解。工作人員必須采用正確的方法，利用有關(guān)途徑，對安全策略及其制定進行了解，并在安全策略系統(tǒng)下接受培訓(xùn)。同時，安全策略的一致性管理與生命周期管理的重要性不言而喻，必須確保不同的安全策略的和諧、一致，使矛盾得以有效避免，否則將會導(dǎo)致其失去實際意義，難以充分發(fā)揮作用。安全策略具有多樣性，并非一成不變，在科學技術(shù)不斷發(fā)展的背景下，為了保證安全策略的時效性，需要對此進行不斷調(diào)整與更新。只有在先進技術(shù)手段與管理方法的支持下，安全策略才能夠充分發(fā)揮作用。

1.2安全配置

從微觀上來講，實現(xiàn)安全策略的重要前提就是合理的安全配置。安全配置指的是安全設(shè)備相關(guān)配置的構(gòu)建，例如安全設(shè)備、系統(tǒng)安全規(guī)則等等。安全配置涉及到的內(nèi)容比較廣泛，例如防火墻系統(tǒng)。VPN系統(tǒng)、入侵檢測系統(tǒng)等等，這些系統(tǒng)的安全配置及其優(yōu)化對于安全策略的有效實施具有十分重要的意義。安全配置水平在很大程度上決定了安全系統(tǒng)的作用是否能夠發(fā)揮。合理、科學的安全配置能夠使安全系統(tǒng)及設(shè)備的作用得到充分體現(xiàn)，能夠很好的符合安全策略的需求。如果安全配置不當，那么就會導(dǎo)致安全系統(tǒng)設(shè)備缺乏實際意義，難以發(fā)揮作用，情況嚴重時還會產(chǎn)生消極影響。例如降低網(wǎng)絡(luò)的流暢性以及網(wǎng)絡(luò)運行效率等等。安全配置的管理與控制至關(guān)重要，任何人對其隨意更改都會產(chǎn)生嚴重的影響。并且備案工作對于安全配置也非常重要，應(yīng)做好定期更新工作，并進行及時檢查，確保其能夠?qū)踩呗缘男枨竽軌蚍从吵鰜?，為相關(guān)工作人員工作的開展提供可靠的依據(jù)。

1.3安全事件

所謂的安全事件，指的是對計算機系統(tǒng)或網(wǎng)絡(luò)安全造成不良影響的行為。在計算機與域網(wǎng)絡(luò)中，這些行為都能夠被觀察與發(fā)現(xiàn)。其中破壞系統(tǒng)、網(wǎng)絡(luò)中IP包的泛濫以及在未經(jīng)授權(quán)的情況下對另一個用戶的賬戶或系統(tǒng)特殊權(quán)限的篡改導(dǎo)致數(shù)據(jù)被破壞等都屬于惡意行為。一方面，計算機系統(tǒng)與網(wǎng)絡(luò)安全指的是計算機系統(tǒng)與網(wǎng)絡(luò)數(shù)據(jù)、信息的保密性與完整性以及應(yīng)用、服務(wù)于網(wǎng)絡(luò)等的可用性。另一方面，在網(wǎng)絡(luò)發(fā)展過程中，網(wǎng)絡(luò)安全事件越來越頻繁，違反既定安全策略的不在預(yù)料之內(nèi)的對系統(tǒng)與網(wǎng)絡(luò)使用、訪問等行為都在安全事件的范疇之內(nèi)。安全事件是指與安全策略要求相違背的行為。安全事件涉及到的內(nèi)容比較廣泛，包括安全系統(tǒng)與設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及應(yīng)用系統(tǒng)的日志與之間等等。安全事件將網(wǎng)絡(luò)、操作以及應(yīng)用系統(tǒng)的安全情況與發(fā)展直接的反映了出來，對于網(wǎng)絡(luò)系統(tǒng)而言，其安全狀況可以通過安全事件得到充分體現(xiàn)。在安全管理中，安全事件的重要性不言而喻，安全事件的特點在于數(shù)量多、分布散、技術(shù)復(fù)雜等。因此，在安全事件管理中往往存在諸多難題。在工作實踐中，不同的管理人員負責不同的系統(tǒng)管理。由于日志與安全事件數(shù)量龐大，系統(tǒng)安全管理人員往往難以全面觀察與分析，安全系統(tǒng)與設(shè)備的安全缺乏實際意義，其作用也沒有得到充分發(fā)揮。安全事件造成的影響有可能比較小，然而網(wǎng)絡(luò)安全狀況與發(fā)展趨勢在很大程度上受到這一要素的影響。必須采用相應(yīng)的方法對安全事件進行收集，通過數(shù)據(jù)挖掘、信息融合等方法，對其進行冗余處理與綜合分析，以此來確定對網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用系統(tǒng)產(chǎn)生影響的安全事件，即安全事故。

1.4安全事故

安全事故如果產(chǎn)生了一定的影響并造成了損失，就被稱為安全事故。如果有安全事故發(fā)生那么網(wǎng)絡(luò)安全管理人員就必須針對此采取一定的應(yīng)對措施，使事故造成的影響以及損失得到有效控制。安全事故的處理應(yīng)具有準確性、及時性，相關(guān)工作人員應(yīng)針對事故發(fā)生各方面要素進行分析，發(fā)現(xiàn)事故產(chǎn)生的原因，以此來實現(xiàn)對安全事故的有效處理。在安全事故的處理中，應(yīng)對信息資源庫加以利用，對事故現(xiàn)場系統(tǒng)或設(shè)備情況進行了解，如此才能夠針對實際情況采取有效的技術(shù)手段，使安全事故產(chǎn)生的影響得到有效控制。

1.5用戶身份管理

在統(tǒng)一網(wǎng)絡(luò)安全管理體系中，用戶管理身份系統(tǒng)占據(jù)著重要地位。最終用戶是用戶身份管理的主要對象，通過這部分系統(tǒng)，最終用戶可以獲取集中的身份鑒別中心功能。在登錄網(wǎng)絡(luò)或者對網(wǎng)絡(luò)資源進行使用的過程中，身份管理系統(tǒng)會鑒別用戶身份，以此保障用戶的安全。

2企業(yè)網(wǎng)絡(luò)安全方案研究

本文以某卷煙廠網(wǎng)絡(luò)安全方案為例，針對網(wǎng)絡(luò)安全技術(shù)在OSS中的應(yīng)用進行分析。該企業(yè)屬于生產(chǎn)型企業(yè)，其網(wǎng)絡(luò)安全部署圖具體如圖1所示。該企業(yè)網(wǎng)絡(luò)安全管理中，采用針對性的安全部署策略，采用安全信息收集與信息綜合的方法實施網(wǎng)絡(luò)安全管理。在網(wǎng)絡(luò)設(shè)備方面，作為網(wǎng)絡(luò)設(shè)備安全的基本防護方法：①對設(shè)備進行合理配置，為設(shè)備所需的必要服務(wù)進行開放，僅運行指定人員的訪問；②該企業(yè)對設(shè)備廠商的漏洞予以高度關(guān)注，對網(wǎng)絡(luò)設(shè)備補丁進行及時安裝；③全部網(wǎng)絡(luò)設(shè)備的密碼會定期更換，并且密碼具有一定的復(fù)雜程度，其破解存在一定難度；④該企業(yè)對設(shè)備維護有著高度重視，采取合理方法，為網(wǎng)絡(luò)設(shè)備運營的穩(wěn)定性提供了強有力的保障。在企業(yè)數(shù)據(jù)方面，對于企業(yè)而言，網(wǎng)絡(luò)安全的實施主要是為了病毒威脅的預(yù)防，以及數(shù)據(jù)安全的保護。作為企業(yè)核心內(nèi)容之一，尤其是對于高科技企業(yè)而言，數(shù)據(jù)的重要性不言而喻。為此，企業(yè)內(nèi)部對數(shù)據(jù)安全的保護有著高度重視。站在企業(yè)的角度，該企業(yè)安排特定的專業(yè)技術(shù)人員對數(shù)據(jù)進行觀察，為數(shù)據(jù)的有效利用提供強有力的保障。同時，針對于業(yè)務(wù)無關(guān)的人員，該企業(yè)禁止其對數(shù)據(jù)進行查看，具體采用的方法如下：①采用加密方法處理總公司與子公司之間傳輸?shù)臄?shù)據(jù)?，F(xiàn)階段，很多大中型企業(yè)在各地區(qū)都設(shè)有分支機構(gòu)，該卷煙廠也不例外，企業(yè)核心信息在公司之間傳輸，為了預(yù)防非法人員查看，其發(fā)送必須采取加密處理。并且，采用Internet進行郵件發(fā)送的方式被嚴令禁止；②為了確保公司內(nèi)部人員對數(shù)據(jù)進行私自復(fù)制并帶出公司的情況得到控制，該企業(yè)構(gòu)建了客戶端軟件系統(tǒng)。該系統(tǒng)不具備U盤、移動硬盤燈功能，無線、藍牙等設(shè)備也無法使用，如此一來，內(nèi)部用戶將數(shù)據(jù)私自帶出的情況就能夠得到有效避免。此外，該企業(yè)針對辦公軟件加密系統(tǒng)進行構(gòu)建，對辦公文檔加以制定，非制定權(quán)限人員不得查看。在內(nèi)部網(wǎng)絡(luò)安全上，為了使外部網(wǎng)絡(luò)入侵得到有效控制，企業(yè)采取了防火墻安裝的方法，然而在網(wǎng)絡(luò)內(nèi)部入侵上，該方法顯然無法應(yīng)對。因此，該企業(yè)針對其性質(zhì)進行細致分析，采取了內(nèi)部網(wǎng)絡(luò)安全的應(yīng)對方法。企業(yè)內(nèi)部網(wǎng)絡(luò)可以分為兩種，即辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)。前者可以對Internet進行訪問，存在較大安全隱患，而后者則只需將內(nèi)部服務(wù)器進行連接，無需對Internet進行訪問。二者針對防火墻系統(tǒng)隔離進行搭建，使生產(chǎn)網(wǎng)絡(luò)得到最大限度的保護，為公司核心業(yè)務(wù)的運行提供保障。為了使網(wǎng)絡(luò)故障影響得到有效控制，應(yīng)對網(wǎng)絡(luò)區(qū)域進行劃分，可以對VLAN加以利用，隔離不同的網(wǎng)絡(luò)區(qū)域，并在其中進行安全策略的設(shè)置，使區(qū)域間影響得到分隔，確保任何一個VLAN的故障不會對其他VLAN造成影響。在客戶端安全管理方面，該企業(yè)具有較多客戶端，大部分都屬于windows操作系統(tǒng)，其逐一管理難度打，因此企業(yè)內(nèi)部采用Windows組側(cè)策略對客戶端進行管理。在生產(chǎn)使用的客戶端上，作業(yè)人員的操作相對簡單，只需要利用嚴格的限制手段，就可以實現(xiàn)對客戶端的安全管理。

參考文獻

[1]崔小龍.論網(wǎng)絡(luò)安全中計算機信息管理技術(shù)的應(yīng)用[J].計算機光盤軟件與應(yīng)用，2014（20）：181~182.

[2]何曉冬.淺談計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].長春教育學院學報，2015（11）：61~62.

[3]劉睿.計算機信息管理技術(shù)在網(wǎng)絡(luò)安全應(yīng)用中的研究[J].科技創(chuàng)新與應(yīng)用，2013（30）：71.

篇7

關(guān)鍵詞：網(wǎng)絡(luò)安全事件；應(yīng)急響應(yīng)；聯(lián)動系統(tǒng)

一、應(yīng)急響應(yīng)的技術(shù)特點

網(wǎng)絡(luò)安全事件指影響計算機系統(tǒng)與網(wǎng)絡(luò)安全的不正當行為。網(wǎng)絡(luò)安全事件一般在很短時間內(nèi)產(chǎn)生，且引起的損失巨大。應(yīng)對網(wǎng)絡(luò)事件關(guān)鍵是速度與效率。應(yīng)急響應(yīng)（即“Incident Response），指某組織為了應(yīng)對意外事件發(fā)生所做的準備及事件發(fā)生后采取的措施。本文網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)則指應(yīng)急響應(yīng)組織根據(jù)對可能情況的準備，在網(wǎng)絡(luò)安全事件發(fā)生后，盡快作出正確反應(yīng)，減少損失或盡快恢復(fù)正常運行，追蹤攻擊者，搜集證據(jù)直至采取法律措施等行動。網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的對象，又稱應(yīng)急響應(yīng)的客體，指：針對計算機與網(wǎng)絡(luò)信息的安全事件。除了傳統(tǒng)的針對保密性、完整性和可用性分類外，廣義上應(yīng)急響應(yīng)的對象還包括：掃描等違反安全政策的事件。應(yīng)急響應(yīng)過程包含三種角色：事件發(fā)起者、事件受害者與應(yīng)急響應(yīng)的人員。應(yīng)急響應(yīng)是被動性的安全體系。它的作用主要表現(xiàn)：1、事先的充分準備；2、事件發(fā)生后的采取的抑制、根除和恢復(fù)等措施。

（一）入侵檢測

應(yīng)急響應(yīng)由事件引發(fā)，同時發(fā)現(xiàn)事件依靠檢測手段。入侵檢測技術(shù)指由系統(tǒng)自動完成的檢測，是目前最主要檢測手段（IDS）。

（二）事件隔離與快速恢復(fù)

首先，在檢測基礎(chǔ)上，確定事件類型和攻擊源后，對于安全性、保密性要求高的環(huán)境，應(yīng)及時隔離攻擊源，制止事件影響進一步惡化；其次，對外提供不可中斷服務(wù)的環(huán)境，如運營平臺、門戶網(wǎng)站等，應(yīng)急響應(yīng)過程應(yīng)側(cè)重考慮盡快恢復(fù)系統(tǒng)并使之正常運行。這其中涉及事件優(yōu)先級認定、完整性檢測及域名切換等技術(shù)。

（三）網(wǎng)絡(luò)追蹤和定位

確定攻擊者網(wǎng)絡(luò)地址及輾轉(zhuǎn)攻擊路徑，在現(xiàn)在的TCP/IP網(wǎng)絡(luò)基礎(chǔ)設(shè)備上網(wǎng)絡(luò)追蹤及定位很困難；新的源地址確認的路由器雖然能夠解決問題，但它與現(xiàn)在網(wǎng)絡(luò)隱私保護存在矛盾。

（四）取證技術(shù)

取證是一門針對不同情況要求靈活處理的技術(shù)，它要求實施者全面、詳細的了解系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用軟件的使用與運行狀態(tài)，對人的要求十分的高(這一點與應(yīng)急響應(yīng)本身的情況類似)。目前主要的取證對象是各種日志的審計，但并不是絕對的，取證可能來自任何一點蛛絲馬跡。但是在目前的情況下，海量的日志信息為取證造成的麻煩越來越大。

二、網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)聯(lián)動系統(tǒng)模型

網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)聯(lián)動系統(tǒng)模型是從應(yīng)急響應(yīng)組及協(xié)調(diào)中心發(fā)展起來的一套應(yīng)急響應(yīng)聯(lián)動體系。它立足于協(xié)調(diào)地理分布的人力與信息等資源，協(xié)同應(yīng)對網(wǎng)絡(luò)安全事件，屬于應(yīng)急響應(yīng)組織發(fā)展后期的組織形式。聯(lián)動含義：1、組織間的協(xié)作；2、功能上統(tǒng)一；3、網(wǎng)絡(luò)安全策略上聯(lián)合。

（一）聯(lián)動系統(tǒng)的體系結(jié)構(gòu)

圖1  聯(lián)動系統(tǒng)的體系結(jié)構(gòu)

1、應(yīng)急響應(yīng)協(xié)調(diào)中心。是信息共享、交換與分析中心，負責協(xié)調(diào)體系正常運行，屬于聯(lián)動系統(tǒng)的核心。

2、應(yīng)急響應(yīng)組。應(yīng)急響應(yīng)組以應(yīng)對網(wǎng)絡(luò)安全事件為目標，根據(jù)技術(shù)力量與資源狀況設(shè)置機構(gòu)，甚至承擔部分協(xié)調(diào)中心功能。

3、客戶?？蛻舴綉?yīng)在應(yīng)急響應(yīng)組協(xié)助下進行風險分析、建立安全政策與設(shè)立聯(lián)系人員，增強自身主動防御能力及采取合理措施能力。

（二）應(yīng)急響應(yīng)協(xié)調(diào)中心

應(yīng)急響應(yīng)組織具備四核心功能：分類、事件響應(yīng)、公告與反饋；與此同時還具有非核心功能：分析、信息整理、研發(fā)、教育及推廣。

圖2 應(yīng)急響應(yīng)協(xié)調(diào)中心機構(gòu)設(shè)置

1、研發(fā)。研發(fā)部門，也是實驗部門，主要負責研究安全技術(shù)與安全工具，以及與網(wǎng)絡(luò)相關(guān)的技術(shù)測試、系統(tǒng)測試、產(chǎn)品測試、漏洞測試等。

2、專家顧問。技術(shù)專家對于確定研究與形勢影響很大。法律顧問與客戶、其他應(yīng)急響應(yīng)組織的合作及與法律部門、新聞媒體等合作應(yīng)有法律依據(jù)。

3、信息整理與事件跟蹤。體系內(nèi)的具備ISAC功能機構(gòu)，該部門承擔著公告、反饋和信息整理的功能，在研發(fā)機構(gòu)協(xié)助下實現(xiàn)信息資源（包括漏洞及補丁信息、新聞動態(tài)、技術(shù)文獻資料、法律法規(guī)、公告、安全警報、安全政策、建議等）共享，;還應(yīng)提供網(wǎng)站資源鏈接，常見問題(FAQ)，常用工具，技術(shù)論壇與事件及漏洞的上報渠道等。

4、應(yīng)急響應(yīng)。是一線應(yīng)對事件的機構(gòu)。響應(yīng)是聯(lián)動系統(tǒng)的根本任務(wù)，但是聯(lián)動系統(tǒng)的響應(yīng)人員在響應(yīng)過程中可得到體系援助，使應(yīng)急響應(yīng)更及時有效。

5、聯(lián)絡(luò)。協(xié)調(diào)應(yīng)急響應(yīng)組、應(yīng)對事件的聯(lián)動響應(yīng)及與客戶聯(lián)絡(luò)。聯(lián)絡(luò)中心應(yīng)具有對應(yīng)急響應(yīng)組的約束力，并與該部門承擔應(yīng)急響應(yīng)功能。

6、培訓(xùn)。包括對組織內(nèi)人員的技術(shù)培訓(xùn)、固定客戶的技術(shù)支持與培訓(xùn)和面向社會的安全培訓(xùn)三個方面，是保持體系鍵康發(fā)展，提高客戶合作能力的機構(gòu)。

7、公共關(guān)系。負責處理應(yīng)急響應(yīng)不能回避的與法律組織、媒體、行政部門、科研組織等實體的關(guān)系，以及與其他應(yīng)急響應(yīng)組織間的聯(lián)絡(luò)與合作;承擔部分推廣的功能。

8、管理機構(gòu)。協(xié)調(diào)中心及聯(lián)動系統(tǒng)運作。

（三）聯(lián)動系統(tǒng)的功能

聯(lián)動系統(tǒng)功能包括兩方面:1、提供安全事件的應(yīng)急響應(yīng)服務(wù)；2、信息共享、交換與分析。兩功能互相融合、取長補短，使應(yīng)急響應(yīng)更加高效、便捷。

1、協(xié)調(diào)應(yīng)急響應(yīng)。在事件響應(yīng)過程中，響應(yīng)人員通過網(wǎng)絡(luò)或傳真方式向組織報告事件詳細信息，并取得幫助與建議，最終完成響應(yīng)。依靠資源共享與聯(lián)動響應(yīng)期間各響應(yīng)組的密切聯(lián)系，響應(yīng)過程中響應(yīng)人員得到的建議。事件響應(yīng)結(jié)束后，響應(yīng)人員要完成事件跟蹤報告與總結(jié)，并由中心備案。

2、信息共享、交換和分析。信息整理與公告功能是維護網(wǎng)絡(luò)安全的主動防線。中心通過對組織的安全信息進行統(tǒng)計分析，找出易發(fā)生的安全事件，并以預(yù)警信息結(jié)合預(yù)防建議的形式，遏制類似事件發(fā)生；中心在安全信息整理和共享等的貢獻可大提高應(yīng)急響應(yīng)質(zhì)量，對響應(yīng)人員和客戶方的在線幫助意義重大義。

三、模型其它重要內(nèi)容

（一）應(yīng)用應(yīng)急專線與無線通信手段

在報告事件時,受害者的理想方式：通過網(wǎng)絡(luò)，交互性較強。但為防止網(wǎng)絡(luò)受到破壞性攻擊、須預(yù)先設(shè)定緊急聯(lián)系手段。對事件的即時報告、意見反饋、協(xié)調(diào)中心或其它幫助都通過響應(yīng)人員與中心聯(lián)系實現(xiàn)。除應(yīng)急響應(yīng)過程中的聯(lián)系，客戶報告事件也應(yīng)在網(wǎng)絡(luò)或?qū)Ｓ?軟件外擁有應(yīng)急報告方式，比如傳真、移動電話。

（二）事件并行處理的協(xié)調(diào)

協(xié)調(diào)中心須實現(xiàn)為事件開辟聯(lián)動空間保證其獨立、高效及可持續(xù)。

（三）信息共享與隱私保護以及配套法律建設(shè)

聯(lián)動系統(tǒng)的本就是實現(xiàn)質(zhì)信息共享。敏感信息應(yīng)予以保護，比如客戶聲譽、穩(wěn)私、機密等。聯(lián)動系統(tǒng)的信息共享不是完全共享，而是多級權(quán)限的共享。此外取證效力及責任、損失鑒定及量刑等的配套法律建設(shè)不完善，聯(lián)動系統(tǒng)也應(yīng)根據(jù)實踐建立起自身的規(guī)范約束。

（四）異地數(shù)據(jù)備份與同步和自身的健壯性

應(yīng)急響應(yīng)聯(lián)動系統(tǒng)要求一定權(quán)限的數(shù)據(jù)由協(xié)調(diào)中心及應(yīng)急響應(yīng)組互為備份。依靠體系地理分布實現(xiàn)數(shù)據(jù)異地備份，保證數(shù)據(jù)安全性。

參考文獻：

篇8

關(guān)鍵詞：　電力內(nèi)網(wǎng)；事件關(guān)聯(lián)；分析引擎

0　引言

對電力企業(yè)信息內(nèi)網(wǎng)海量安全事件進行高效、準確的關(guān)聯(lián)分析是實現(xiàn)電力企業(yè)網(wǎng)絡(luò)安全設(shè)備聯(lián)動的前提，而如何設(shè)計與實現(xiàn)一個高效的電力企業(yè)安全事件關(guān)聯(lián)分析引擎正是電力企業(yè)信息內(nèi)網(wǎng)安全事件關(guān)聯(lián)分析應(yīng)該解決的關(guān)鍵問題。

1　安全事件關(guān)聯(lián)分析研究現(xiàn)狀及存在的問題

關(guān)聯(lián)分析在網(wǎng)絡(luò)安全領(lǐng)域中是指對網(wǎng)絡(luò)全局的安全事件數(shù)據(jù)進行自動、連續(xù)分析，通過與用戶定義的、可配置的規(guī)則匹配來識別網(wǎng)絡(luò)潛在的威脅和復(fù)雜的攻擊模式，從而發(fā)現(xiàn)真正的安全風險，達到對當前安全態(tài)勢的準確、實時評估，并根據(jù)預(yù)先制定策略做出快速的響應(yīng)，以方便管理人員全面監(jiān)控網(wǎng)絡(luò)安全狀況的技術(shù)。關(guān)聯(lián)分析可以提高網(wǎng)絡(luò)安全防護效率和防御能力，并為安全管理和應(yīng)急響應(yīng)提供重要的技術(shù)支持。關(guān)聯(lián)分析主要解決以下幾個問題：

1）為避免產(chǎn)生虛警，將單個報警事件與可能的安全場景聯(lián)系起來；

2）為避免重復(fù)報警，對相同、相近的報警事件進行處理；

3）為達到識別有計劃攻擊的目的，增加攻擊檢測率，對深層次、復(fù)雜的攻擊行為進行挖掘；

4）提高分析的實時性，以便于及時進行響應(yīng)。

2　安全事件關(guān)聯(lián)分析引擎的設(shè)計

安全事件關(guān)聯(lián)分析方法包括離線分析和在線分析兩種。離線分析是在事件發(fā)生后通過對日志信息的提取和分析，再現(xiàn)入侵過程，為入侵提供證據(jù)，其優(yōu)點是對系統(tǒng)性能要求不高，但是實時性比較低，不能在入侵的第一時間做出響應(yīng)。在線分析是對安全事件進行實時分析，雖然其對系統(tǒng)性能要求比較高，但是可以實時發(fā)現(xiàn)攻擊行為并實現(xiàn)及時響應(yīng)。由于電力工業(yè)的特點決定了電力企業(yè)信息內(nèi)網(wǎng)安全不僅具有一般企業(yè)內(nèi)網(wǎng)安全的特征，而且還關(guān)系到電力實時運行控制系統(tǒng)信息的安全，所以對電力企業(yè)安全事件的關(guān)聯(lián)分析必須是實時在線的，本文所研究的安全事件關(guān)聯(lián)分析引擎是一個進行在線分析的引擎。

2.1　安全事件關(guān)聯(lián)分析系統(tǒng)

安全事件管理系統(tǒng)是國家電網(wǎng)網(wǎng)絡(luò)安全設(shè)備聯(lián)運系統(tǒng)的一個子系統(tǒng)，它是將安全事件作為研究對象，實現(xiàn)對安全事件的統(tǒng)一分析和處理，包括安全事件的采集、預(yù)處理、關(guān)聯(lián)分析以及關(guān)聯(lián)結(jié)果的實時反饋。

內(nèi)網(wǎng)設(shè)備：內(nèi)網(wǎng)設(shè)備主要是電力企業(yè)信息內(nèi)網(wǎng)中需要被管理的對象，包括防病毒服務(wù)器、郵件內(nèi)容審計系統(tǒng)、IDS、路由器等安全設(shè)備和網(wǎng)絡(luò)設(shè)備。通過端收集這些設(shè)備產(chǎn)生的安全事件，經(jīng)過預(yù)處理后發(fā)送到關(guān)聯(lián)分析模塊進行關(guān)聯(lián)分析。

事件采集端：主要負責收集和處理事件信息。收集數(shù)據(jù)是通過Syslog、SNMP　trap、JDBC、ODBC協(xié)議主動的與內(nèi)網(wǎng)設(shè)備進行通信，收集安全事件或日志信息。由于不同的安全設(shè)備對同一條事件可能產(chǎn)生相同的事件日志，而且格式各異，這就需要在端將數(shù)據(jù)發(fā)送給服務(wù)器端前對這些事件進行一些預(yù)處理，包括安全事件格式的規(guī)范化，事件過濾、以及事件的歸并。

關(guān)聯(lián)分析：其功能包括安全事件頻繁模式挖掘、關(guān)聯(lián)規(guī)則生成以及模式匹配。關(guān)聯(lián)分析方法主要是先利用數(shù)據(jù)流頻繁模式挖掘算法挖掘出頻繁模式，再用多模式匹配算法與預(yù)先設(shè)定的關(guān)聯(lián)規(guī)則進行匹配，產(chǎn)生報警響應(yīng)。

控制臺：主要由風險評估、資產(chǎn)管理、報表管理和應(yīng)急響應(yīng)中心組成。風險評估主要是通過對日志事件的審計以及關(guān)聯(lián)分析結(jié)果，對企業(yè)網(wǎng)絡(luò)設(shè)備及業(yè)務(wù)系統(tǒng)的風險狀態(tài)進行評估。應(yīng)急響應(yīng)中心是根據(jù)結(jié)合電力企業(yè)的特點所制定的安全策略，對于不同的報警進行不同的響應(yīng)操作。資產(chǎn)管理與報表管理分別完成對電力企業(yè)業(yè)務(wù)系統(tǒng)資產(chǎn)的管理和安全事件的審計查看等功能。另外，對于關(guān)聯(lián)分析模塊匹配規(guī)則、端過濾規(guī)則等的制定和下發(fā)等也在控制成。

數(shù)據(jù)庫：數(shù)據(jù)庫包括關(guān)聯(lián)規(guī)則庫、策略庫和安全事件數(shù)據(jù)庫三種。關(guān)聯(lián)規(guī)則庫用來存儲關(guān)聯(lián)分析所必須的關(guān)聯(lián)規(guī)則，策略庫用來存儲策略文件，安全事件數(shù)據(jù)庫用來存儲從端獲取用于關(guān)聯(lián)的數(shù)據(jù)、進行關(guān)聯(lián)的中間數(shù)據(jù)以及關(guān)聯(lián)后結(jié)果的數(shù)據(jù)庫。

2.2　關(guān)聯(lián)分析引擎結(jié)構(gòu)

事件關(guān)聯(lián)分析引擎作為安全事件關(guān)聯(lián)分析系統(tǒng)的核心部分，由事件采集、通信模塊、關(guān)聯(lián)分析模塊和存儲模塊四部分組成。其工作原理為：首先接收安全事件采集發(fā)送來的安全事件，經(jīng)過預(yù)處理后對其進行關(guān)聯(lián)分析，確定安全事件的危害程度，從而進行相應(yīng)響應(yīng)。引擎結(jié)構(gòu)如圖1所示。

2.3　引擎各模塊功能設(shè)計

1）事件采集模塊。事件日志的采集由事件采集來完成。事件采集是整個系統(tǒng)的重要組成部分，它運行于電力企業(yè)內(nèi)網(wǎng)中各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備和系統(tǒng)終端上，包括采集模塊、解析模塊和通信模塊三個部分。它首先利用Syslog、trap、JDBC、ODBC協(xié)議從不同安全設(shè)備、系統(tǒng)中采集各種安全事件數(shù)據(jù)，由解析模塊進行數(shù)據(jù)的預(yù)處理，然后由通信模塊發(fā)送到關(guān)聯(lián)分析引擎。

2）事件預(yù)處理。由于日志數(shù)據(jù)來源于交換機、路由器、防火墻、網(wǎng)絡(luò)操作系統(tǒng)、單機操作系統(tǒng)、防病毒軟件以及各類網(wǎng)絡(luò)管理軟件，可能包含噪聲數(shù)據(jù)、空缺數(shù)據(jù)和不一致數(shù)據(jù)，這將嚴重影響數(shù)據(jù)分析結(jié)果的正確性。而通過數(shù)據(jù)預(yù)處理，則可以解決這個問題，達到數(shù)據(jù)類型相同化、數(shù)據(jù)格式一致化、數(shù)據(jù)信息精練化的目的。

事件預(yù)處理仍在事件采集中完成，主要包括事件過濾、事件范化和事件歸并三部分。

3）事件關(guān)聯(lián)分析模塊。事件的屬性包括：事件分類、事件嚴重等級、事件源地址、源端口、目的地址、目的端口、協(xié)議、事件發(fā)生時間等，這些屬性在關(guān)聯(lián)分析時需要用到，故把規(guī)則屬性集設(shè)置為：

各字段分別表示：規(guī)則名稱、源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議、設(shè)備編號、事件發(fā)生時間、事件嚴重等級。

該模塊將經(jīng)過處理的海量日志信息數(shù)據(jù)流在內(nèi)存中利用滑動窗口處理模型，經(jīng)過關(guān)聯(lián)分析算法進行關(guān)聯(lián)規(guī)則挖掘后，采用高效的模式匹配算法將得到的關(guān)聯(lián)規(guī)則與規(guī)則庫中預(yù)先設(shè)定的規(guī)則進行不斷的匹配，以便實時地發(fā)現(xiàn)異常行為，為后續(xù)告警響應(yīng)及安全風險分析等提供依據(jù)。

3　結(jié)束語

本文首先基于引擎的設(shè)計背景介紹了引擎的總體結(jié)構(gòu)以及關(guān)聯(lián)分析流程，然后分別給出了事件采集、事件關(guān)聯(lián)分析模塊的設(shè)計方案，包括模塊功能、模塊結(jié)構(gòu)以及規(guī)則庫的設(shè)計方案。

參考文獻：

[1]熊云艷、毛宜軍、丁志，安全事件關(guān)聯(lián)分析引擎的研究與設(shè)計，計算機工程，2006，32（13）：280-282.

篇9

關(guān)鍵字：信息系統(tǒng)信息安全身份認證安全檢測

一、目前信息系統(tǒng)技術(shù)安全的研究

1.信息安全現(xiàn)狀分析

隨著信息化進程的深入，信息安全己經(jīng)引起人們的重視，但依然存在不少問題。一是安全技術(shù)保障體系尚不完善，許多企業(yè)、單位花了大量的金錢購買了信息安全設(shè)備，但是技術(shù)保障不成體系，達不到預(yù)想的目標:二是應(yīng)急反應(yīng)體系沒有經(jīng)?；?、制度化:三是企業(yè)、單位信息安全的標準、制度建設(shè)滯后。

2003年5月至2004年5月，在7072家被調(diào)查單位中有4057家單位發(fā)生過信息網(wǎng)絡(luò)安全事件，占被調(diào)查總數(shù)的58%。其中，發(fā)生過1次的占總數(shù)的22%,2次的占13%,3次以上的占23%，此外，有7%的調(diào)查對象不清楚是否發(fā)生過網(wǎng)絡(luò)安全事件。從發(fā)生安全事件的類型分析，遭受計算機病毒、蠕蟲和木馬程序破壞的情況最為突出，占安全事件總數(shù)的79%，其次是垃圾郵件，占36%，拒絕服務(wù)、端口掃描和篡改網(wǎng)頁等網(wǎng)絡(luò)攻擊情況也比較突出，共占到總數(shù)的43%.

調(diào)查結(jié)果表明，造成網(wǎng)絡(luò)安全事件發(fā)生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中，由于未修補或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的“%，登錄密碼過于簡單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%.

對于網(wǎng)絡(luò)安全管理情況的調(diào)查:調(diào)查表明，近年來，使用單位對信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高，80%的被調(diào)查單位有專職或兼職的安全管理人員，12%的單位建立了安全組織，有2%的單位請信息安全服務(wù)企業(yè)提供專業(yè)化的安全服務(wù)。調(diào)查表明，認為單位信息網(wǎng)絡(luò)安全防護能力“較高”和“一般”的比較多，分別占44%。但是，被調(diào)查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓(xùn)、安全經(jīng)費投入不足和安全產(chǎn)品不能滿足要求等問題，也說明目前安全管理水平和社會化服務(wù)的程度還比較低。

2.企業(yè)信息安全防范的任務(wù)

信息安全的任務(wù)是多方面的，根據(jù)當前信息安全的現(xiàn)狀，制定信息安全防范的任務(wù)主要是:

從安全技術(shù)上，進行全面的安全漏洞檢測和分析，針對檢測和分析的結(jié)果制定防范措施和完整的解決方案;正確配置防火墻、網(wǎng)絡(luò)防病毒軟件、入侵檢測系統(tǒng)、建立安全認證系統(tǒng)等安全系統(tǒng)。

從安全管理上，建立和完善安全管理規(guī)范和機制，切實加強和落實安全管理制度，增強安全防范意識。

信息安全防范要確保以下幾方面的安全。網(wǎng)絡(luò)安全:保障各種網(wǎng)絡(luò)資源(資源、實體、載體)穩(wěn)定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應(yīng)用的機密性(Confidentiality)、完整性(Integrity)、抗否認性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預(yù)防內(nèi)部犯罪。

二、信息系統(tǒng)常見技術(shù)安全漏洞與技術(shù)安全隱患

每個系統(tǒng)都有漏洞，不論你在系統(tǒng)安全性上投入多少財力，攻擊者仍然可以發(fā)現(xiàn)一些可利用的特征和配置缺陷。發(fā)現(xiàn)一個已知的漏洞，遠比發(fā)現(xiàn)一個未知漏洞要容易的多，這就意味著:多數(shù)攻擊者所利用的都是常見的漏洞。這樣的話，采用適當?shù)墓ぞ撸湍茉诤诳屠眠@些常見漏洞之前，查出網(wǎng)絡(luò)的薄弱之處。漏洞大體上分為以下幾大類:

(1)權(quán)限攻擊。攻擊者無須一個賬號登錄到本地直接獲得遠程系統(tǒng)的管理員權(quán)限，通常通過攻擊以root身份執(zhí)行的有缺陷的系統(tǒng)守護進程來完成。漏洞的絕大部分來源于緩沖區(qū)溢出，少部分來自守護進程本身的邏輯缺陷。

(2)讀取受限文件。攻擊者通過利用某些漏洞，讀取系統(tǒng)中他應(yīng)該沒有權(quán)限的文件，這些文件通常是安全相關(guān)的。這些漏洞的存在可能是文件設(shè)置權(quán)限不正確，或者是特權(quán)進程對文件的不正確處理和意外dumpcore使受限文件的一部份dump到了core文件中.

(3)拒絕服務(wù)。攻擊者利用這類漏洞，無須登錄即可對系統(tǒng)發(fā)起拒絕服務(wù)攻擊，使系統(tǒng)或相關(guān)的應(yīng)用程序崩潰或失去響應(yīng)能力。這類漏洞通常是系統(tǒng)本身或其守護進程有缺陷或設(shè)置不正確造成的。

(4)口令恢復(fù)。因為采用了很弱的口令加密方式，使攻擊者可以很容易的分析出口令的加密方法，從而使攻擊者通過某種方法得到密碼后還原出明文來。

(5)服務(wù)器信息泄露。利用這類漏洞，攻擊者可以收集到對于進一步攻擊系統(tǒng)有用的信息。這類漏洞的產(chǎn)生主要是因為系統(tǒng)程序有缺陷，一般是對錯誤的不正確處理。

漏洞的存在是個客觀事實，但漏洞只能以一定的方式被利用，每個漏洞都要求攻擊處于網(wǎng)絡(luò)空間一個特定的位置，因此按攻擊的位置劃分，可能的攻擊方式分為以下四類:物理接觸、主機模式、客戶機模式、中間人方式。

三、信息系統(tǒng)的安全防范措施

1.防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為甚。

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

防火墻是網(wǎng)絡(luò)安全的屏障:一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強化網(wǎng)絡(luò)安全策略:通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計:如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。防止內(nèi)部信息的外泄:通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。除了安全作用，有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型，但總體來講可分為二大類:分組過濾、應(yīng)用。 

篇10

信息安全問題的日益復(fù)雜，使傳統(tǒng)的、將多種安全設(shè)備簡單堆疊的防護方式很難達到既定的目標。人們逐漸清晰地認識到，安全防護需要一個綜合、動態(tài)、各單元安全產(chǎn)品間互聯(lián)、互動、互操作的整體。

在這種背景下，能提供對網(wǎng)絡(luò)安全設(shè)備進行集中管理與配置、對網(wǎng)絡(luò)安全狀況進行檢測與控制等功能，并能提高網(wǎng)絡(luò)運行效率、降低管理成本、實現(xiàn)網(wǎng)絡(luò)安全可視化管理的安全管理平臺已逐漸成為當前社會研究和應(yīng)用的熱點。

需求之殤

網(wǎng)絡(luò)與信息安全事件的特點在于:突發(fā)、多樣和不可預(yù)知性，往往在短時間內(nèi)就造成巨大損失。這種特點決定了在信息安全領(lǐng)域，防御要比攻擊難得多。防御方需要掌握更全面的系統(tǒng)、軟件和網(wǎng)絡(luò)等知識，甚至要求防御方本身也具有網(wǎng)絡(luò)攻擊的知識和相關(guān)經(jīng)驗，達到“知己知彼”的能力和“魔高一尺，道高一丈”的境界。這樣高的要求決定了防御方不僅要有很高的技術(shù)水平，更需要充分利用所有人力、物力、信息、技術(shù)等資源，團結(jié)起來應(yīng)對安全事件。

由于目前各類安全產(chǎn)品和技術(shù)的管理復(fù)雜性較高，安全本身又具有“木桶效應(yīng)”，所以如何降低安全管理難度、提高安全管理效率已經(jīng)成為安全保障中急需要解決的重大問題。因此，無論是最終用戶，還是專業(yè)技術(shù)人員，在進行安全管理時，都需要一種具備能夠快捷方便地發(fā)現(xiàn)安全事件、及時預(yù)警定位、快速響應(yīng)聯(lián)動的綜合管理系統(tǒng)。當前，網(wǎng)絡(luò)系統(tǒng)的安全不能僅靠幾件相互孤立的安全產(chǎn)品來保證，而需要通過綜合使用多種安全產(chǎn)品，配置多種防護技術(shù)，構(gòu)建一套安全體系來實現(xiàn)。但是，由于各種網(wǎng)絡(luò)安全設(shè)備的配置和管理日趨復(fù)雜，管理工作也變得越來越困難，于是，安全管理平臺就應(yīng)運而生。

管理之痛

安管平臺通過統(tǒng)一的管理中心調(diào)用各網(wǎng)絡(luò)安全產(chǎn)品，對整個網(wǎng)絡(luò)安全狀況進行檢測和控制，以提高網(wǎng)絡(luò)的安全性、可用性和可靠性，在整體上提高網(wǎng)絡(luò)運行的效率，降低管理成本。安管平臺在安全防護系統(tǒng)中起到承上啟下作用，是安全產(chǎn)品和安全策略之間的紐帶。對于安全管理人員而言，安管平臺能夠搜集網(wǎng)絡(luò)中所有安全產(chǎn)品的數(shù)據(jù)信息，并對這些數(shù)據(jù)進行匯總和分析處理，把處理后的信息（包括報警信息、歷史數(shù)據(jù)、統(tǒng)計信息等）反饋給安全管理人員。這些信息不是單個設(shè)備的信息，而是整個系統(tǒng)的綜合安全運行信息。