网络行为审计范文

时间:2023-06-06 17:56:39

导语:如何才能写好一篇网络行为审计,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络行为审计

篇1

【关键词】 神经网络; 财务危机; 预警模型

一、企业财务危机预警的现实意义

财务危机是由于种种原因导致的企业财务状况持续恶化,财务风险加剧,出现不能清偿债务的信用危机,直至最终破产的一系列事件的总称。财务危机将危害到企业正常的生产经营,制约企业的发展后劲,打乱企业正常的生产经营秩序,挫伤职工的生产积极性等。而有效的企业预警机制能够起到提高企业危机管理意识,提高企业适应能力和竞争能力等作用,对企业进行有效的监督和预警也直接关系到企业相关利益人决策、市场竞争机制的客观要求、财务监督、财务预测等方面。所以,对我国企业财务危机进行有效的预警就变得迫切和必要。

二、财务危机预警模型指标体系的选择

任何一种经济现象都具有多方面的特征,财务指标体系就是对经济现象特征的整体描述。在以往的研究成果和我国的企业评价指标体系的基础上,结合我国企业的具体特征,充分考虑各个指标的实际应用效果和获取指标的难易程度,可选择下列指标来建立适合我国企业财务危机预警模型的指标体系:资产负债率;流动比率;净资产收益率;总资产周转率;主营业务收入增长率和每股经营活动产生的现金流量净额。这些指标兼顾到了偿债能力、盈利能力、资产营运能力、增长能力以及现金流量状况五个方面,同时鉴于针对的是企业的财务危机的预警指标,所以在选择构成指标时,也适当侧重了企业的偿债能力和盈利能力指标。

三、基于BP神经网络的财务危机模型的建立及预测结果分析

(一)BP神经网络原理与财务危机预警的可行性分析

BP神经网络是一种调整连接权值及结点阈值时采用的误差逆传播学习方法,是一种典型的误差修正方法。其基本思想是:把网络学习时输出层出现的与“事实”不符的误差,归结为连接层中各单元间连接权值及阈值的“过错”,通过把输出层单元的误差逐层向输入层逆向传播以“分摊”给各连接单元,并据此对各连接权进行相应的调整,使网络适应所要求的映射(图1)。而财务危机预警的6项指标与企业的财务状况之间的关系是很难用普通的方法加以定量化的表述,而通过大量的样本表现出的数学统计学特征的准确表达正是神经网络的优势所在,为此,我们认为神经网络是可行的。

(二)财务危机预警模型样本的选择

考虑到我国近几年在经济、法律、会计方面进行了较大的政策调整,因此在选择样本的过程中我们选取了信息较为连续可比、取得较为容易的上市公司中制造业行业的6个子行业2000―2002年之间的数据,选择了行业中25家ST公司和25家非ST公司作为训练样本,ST公司样本数据为其被ST的前一年的数据资料,随机选择的非ST公司的样本数据为与ST公司同期的数据。我们还选择了2003年同行业的38家ST公司和随机选择的同期非ST公司作为检验样本,用模型的预测结果与已知的实际结果进行对照,以检验模型的准确性。选择这一期间的样本数据是因为这些样本数据的时间跨度不大,在这几年中,国家的会计制度、税收政策和退市制度也没有太明显的变化,整个国民经济的发展比较稳定,无明显的经济周期影响。

(三)网络结构及参数的选取

1.网络结构的确定

输入节点数由控制的目标确定,控制目标为6个,因此输入节点数为6个;输出节点数由风险因素确定,输出节点为2个。一个S型隐含层加上一个线性输出层的网络,能够逼近任何有理函数,增加隐层数主要可以更进一步降低误差,提高训练的精度,本系统中只设一个隐含层,主要通过调节隐层节点数、动量项、学习率提高网络的训练精度。

2.各参数选取

把经过处理后88组样本数据输入到神经网络,前50组作为训练样本,后38组作为预测样本,网络的预期误差0.001。利用神经网络系统对学习数据反复训练,得到实验结果最好的一次,各参数如下:

动量项?准=0.3;学习率?浊=0.4;学习次数n=10000;隐层节点数p=6;网络实际误差?孜=0.0024

(四)财务危机预警预测结果分析

利用前述训练结果,对38个检验样本进行预测,预测的结果(表3)根据下列标准进行判断,如果预测结果逼近于1,则判断为非财务危机公司,如果预测结果偏离1就可判断有财务危机的可能性,可以发出财务危机预警。

通过预测结果与实际结果的比较,可以得出以下验证结果:

1.对于非ST公司,预测的准确率为94.74%;

2.对于ST公司,预测的准确率为84.21%;

3.综合预测准确率为89.47%。

四、该财务危机预警模型的局限性分析

利用神经网络进行财务危机预警模型的研究,从模型的训练和预测结果可以看出,还是具有一定的可行性和有效性。但也存在一些问题:

(一)忽视了企业规模对企业财务状况的影响

本次研究中所选择的ST样本是所属行业的全部样本量,而配对样本则是随机抽取的,在选择的过程中,没有重点关注企业规模对财务危机指标标准的不同要求。

(二)非ST样本公司的代表性

所选取的ST企业被界定为财务危机公司还不容易引起争议,但对非ST公司而言,每个公司仍然存在财务状况非常好、较好或一般的差异,因此用不同的非ST公司和ST公司配对,就不能排除财务危机公司财务状况之间的差异,这也直接影响了预测数据判别的准确率。

(三)ST界定自身具有的不适应性

根据我国对ST公司的划分标准,可以看出其主要看中的还是公司的盈利能力和资本结构比率,而财务危机是企业综合财务状况出现问题的集中表现,它受到多项能力和指标的影响,两者之间并不对等。

(四)神经网络理论自身的缺陷

神经网络自身擅长解决不精确和模糊的信息处理问题,在处理过程中,他会有自动删除样本“噪声”和自动调整的功能,如果其修正数据的过程中出现偏差,或训练过程中参数确定的不准确,也会直接影响预测的准确性。

(五)样本选择的局限性

本次预测过程中受诸多因素的影响,所选择的样本不具有普遍的代表性,局限在了上市公司,连续数据的选择也导致了数据的时效性较差,对当前新经济形势下的企业财务危机的参考作用有待观察。

五、结论

财务危机预警模型通过神经网络原理,在目前是可以实现的,只要在模型建立的过程中,将不稳定因素的影响降低到最低,就可以极大地提高预测的准确率。另外,由于不同的行业有其不同的生产和财务特性,他们的数据表现的要求也不尽相同,因此对于差异较大的行业,应适当建立行业财务危机预警模型,以更好地提高预测的准确程度。

当然,企业财务危机预警模型作为财务危机预警系统的一个有机组成部分。它的作用必须借助于整个系统作用的发挥,也需要企业的高层管理者确实认识到财务危机预警的必要性,才能真正实现对财务危机抑制和防范作用。

【参考文献】

[1] 卢雁影.财务分析[M].湖北:武汉大学出版社,2002:296-303.

篇2

关键词:卷积神经网络 人体行为识别 Dropout

中图分类号:TP391.41 文献标识码:A 文章编号:1672-3791(2017)04(c)-0028-02

该文采用随机Dropout卷积神经网络,笔者将此法的优点大致概况为将繁琐杂乱的前期图像处理简易化,原来的图像不可以直接输入,现在的原始图像即可实现直输功能,因其特性得到广泛研究与应用。另外,卷积神经网络在图像的处理中能够将指定的姿势、阳光的照射反应、遮避、平面移动、缩小与放大等其他形式的扭曲达到鲁棒性,从而达到良好的容错能力,进而可以发现其在自适应能力方面也非常强大。因为卷积神经网络在之前建立网络模型时,样本库为训练阶段提供的样本,数量有限,品质上也很难满足要求,致使网络权值参数不能够完成实时有效的调度与整理。

1 卷积神经网络

据调查卷积神经网络由K.Fukushima在80年代提出,那时候它被称为神经认知机,这一认知成为当时的第一个网络,后来网络算法发生了规模性变革,由LeCun为代表提出了第一个手写数字识别模型,并成功投入到商业用途中。LeNet被业界冠以卷积神经网络的代表模型,这类系统在很多方面都起到了不容小趋的作用,它多数应用于各类不同的识别图像及处理中,在这些层面上取得了重要成果。

笔者经查阅资料发现卷积神经网络其实是由两个种类组合而来,它们分别是特征提取、分类器,这种组成我们可以看到特征提取类可由一定数量的卷积层以及子采样层相互重叠组合而成,全部都连接起来的1层或者2层神经网络,就是由分类器来进行安排的。卷积神经网络中的局部区域得到的感觉、权值的参数及子采样等可以说是重要网络结构特征。

1.1 基本CNN网络结构

图1中就是最为经典的LeNet-5网络模型结构图。通过图1中我们可以获悉,该模型有输入输出层,除这两层外还有6层,其征提取可在前4层中体现,后两层体现的是分类器。

在特征提取部分,6个卷积核通过卷积,是图像经尺寸为32×32的输入而得见表1,运算过程如式(1):

(1)

式中:卷积后的图像与一个偏置组合起来,使函数得到激活,因此特征图变诞生了,通过输出得到了6个尺寸的特征图,这6个尺寸均为28×28,近而得到了第一层的卷积,以下笔者把它简要称为c1;那么c1层中的6个同尺寸图再经由下面的子采样2×2尺寸,再演变成特征图,数量还是6个,尺寸却变成了14×14,具体运算如公式(2):

通过表2我们可以使xi生成的和与采样系数0.25相乘,那么采样层的生成也就是由加上了一个偏置,从而使函数被激活形成了采样层的第1个层次,以下我们简要称为s1;这种过程我们可反复运用,从而呈现出卷积层中的第2层,可以简要称之为c2,第2层简称s2;到目前为止,我们对特征的提取告一段落。

神经网络的识别,我们可以看到它是由激活函数而形成的一个状态,这一状态是由每个单元的输出而得;那么分类器在这里起到的作用是将卷积层全部连接起来,这种通过连接而使1层与上面1层所有特征图进行了串连,简要称之为c5;因而2层得到了退变与简化效应,从而使该神经网络成为经典,简要称之为F6,向量及权值是由F6 输送,然后由点积加上偏置得到结果的有效判定。

1.2 改进的随机DropoutCNN网络

1.2.1 基本Dropout方法

神经网络泛化能力能够得到提升,是基于Dropout方法的深入学习。固定关系中存在着节点的隐含,为使权值不再依附于这种关系,上述方法可随机提取部分神经元,这一特性是通过利用Dropout在网络训练阶段中随机性而得,对于取值能够有效的存储及保护存留,这一特性在输出设定方面一定要注重为0,这些被选择的神经元随然这次被抽中应用,但并不影响下次训练的过程,并具还可以恢复之前保留的取值,那么每两个神经元同时产生作用的规避,可以通过重复下次随机选择部分神经元的过程来解决;我们通过这种方法,使网络结构在每次训练阶段中都能呈现不同变化,使一些受限制的特征,不再受到干扰,使其真正能展现自身的优点,在基于Dropout方法中,我们可以将一些神经元的一半设为0来进行输出,随机神经元的百分比可控制在50%,有效的避免了特征的过度相似与稳合。

1.2.2 随机Dropout方法

Dropout方法就是随机输出为0的设定,它将一定比例神经元作为决定的因素,其定义网络在构建模型时得到广泛采用。神经元基于随机Dropout的方法是该文的重要网络输出途径,通过设定输出为0,使其在网络中得到变。图2是随机Dropout的加入神经元连接示意图,其在图中可知两类神经元:一类是分类器的神经元,这一阶段的神经元可分榱讲悖涣硪焕嗌窬元是由输出而形成的层次。模型在首次训练的阶段会使神经元随机形成冻结状态,这一状态所占的百分比为40%、60%,我们还可以看到30%及50%的神经元可能在网络随机被冻结,那么这次冻结可以发生在模型第二次训练,那么第三次神经元的冻结可从图示中得出70%及40%,还可以通过变化用人工设置,其范围值宜为35%~65%,那么网络神经元连接次序的多样化,也因此更为突出与精进,网络模型的泛化能力也得到了跨越势的提高。

2 实验及结果分析

2.1 实验方法

卷积神经网络通过实验,通过输入层呈现一灰色图像,该图像尺寸被设定成28×28的PNG格式,这里我们以图像框架图得到双线性差值,用来处理图像及原视频中的影像,将框架图的卷积核设定为5×5的尺寸,子采样系数控制值为0.25,采用SGD迭代200次,样本数量50个进行设定,一次误差反向传播实现批量处理,进行权值调整。实验采用交叉验证留一法,前四层为特征提取层,C1-S1-C2-S2按顺序排列,6-6-12-12个数是相应特征,通过下阶段加入随机Dropout,这阶段为双层也就是两层,进行连接,连接层为全体,从而可知结果由分类得出,又从输出层输出。

2.2 实验结果分析

识别错误率可通过卷积神经网络模型,及训练过程与检测过程中可查看到的。在训练阶段中,我们可以将Dropout的网络中融入200次训练,在将没有使用该方法的网络进行相互比较分析,我可以得知,后者训练时的识别错误率稍高于前者,前者与后的相比较所得的差异不是很大,进而我们可知使用Dropout方法,对卷积神经网络在泛化能力上得到有效的提升,从而有效的防止拟合。

3 结语

笔者基于Dropout卷积神经网络,人体行为识别在视频中进行, 通过Weizmann数据集检测实验结果,随机Dropout在分类器中加入。通过实验可以得知:随机Dropout的加入,使卷积神经构建了完美网络模型,并且使其在人体行为识别中的效率赢得了大幅度的提升,近而使泛化能力可以通过此类方法得到提高,可以防止拟合。

参考文献

[1] 其它计算机理论与技术[J].电子科技文摘,2002(6).

篇3

关键词:成都中小微企业 人工神经网络 预测

1、人工神经网络

人工神经网络是一种应用类似于大脑神经突触联接的结构进行信息处理的数学模型。在工程与学术界也常直接简称为神经网络或类神经网络。神经网络是一种运算模型,由大量的节点(或称神经元)和之间相互联接构成。每个节点代表一种特定的输出函数,称为激励函数(activation function)。每两个节点间的连接都代表一个对于通过该连接信号的加权值,称之为权重,这相当于人工神经网络的记忆。网络的输出则依网络的连接方式,权重值和激励函数的不同而不同。而网络自身通常都是对自然界某种算法或者函数的逼近,也可能是对一种逻辑策略的表达。

2、基于人工神经网络的预测模型的构建

在运用ANN预测模型预测这两个指标时,我们采取下面的预测步骤:

(1)首先将1-6月份的数据标准化,及转化为0-1之间的标准化数据;

(2)我们将输入设为1月份、2月份、3月份、4月份的数据,输出设为5月份的数据;

(3)在matlab中调用newff函数,建立一个5个输入节点、10个隐含层节点、一个输出节点的BP神经网络,隐含层和输出层转移函数分别采用tansig(tansig(n) = 2/(1+exp(-2*n))-1)和purelin(y=x),训练函数选择贝叶斯正则化算法trainbr,得到网络仿真数据;

(4)通过得到的网络仿真数据与实际的数据进行比较,我们可以发现该预测模型的精度很高。从而我们可以利用该预测模型预测未来月份的数据,作为决策者进行决策的依据。

3、分圈层企业运行态势预测模型

3.1一圈层企业运行态势预测模型

一圈层主要包括成华区、高新区、金牛区、锦江区、青羊区和武侯区。

我们按照上述步骤,得到最终的预测值,如表1所示,可见,预测值与实际值之间相差并不大,误差为0.099933%。

表1运行监测指标按圈层(一圈层)ANN预测模型实际值与预测值对比表

3.2二圈层企业运行态势预警模型

二圈层主要包括龙泉、郫县、青白江、双流、温江和新都。

我们按照上述步骤,得到最终的预测值,如表2所示,可见,预测值与实际值之间相差并不大,误差为0.09995%。

表2运行监测指标按圈层(二圈层)ANN预测模型实际值与预测值对比表

3.3三圈层企业运行态势预警模型

三圈层包括崇州、大邑、都江堰、金堂、蒲江、邛崃和新津。

我们按照上述步骤,得到最终的预测值,如表3所示,可见,预测值与实际值之间相差并不大,误差为0.1%。

表3 运行监测指标按圈层(三圈层)ANN预测模型实际值与预测值对比表

4、结束语

运行监测指数和信心指数能很好的反映成都市中小企业的发展运营情况,本报告运用人工神经网络这种高精度的预测方法,对这两种指数进行了预测,预测结果精确,经济意义显著。能很好预测未来月份的中小企业的指标值,从而为决策者的决策提供有力的支持和依据。

参考文献:

[1]张乃尧,阎平凡.神经网络与模糊控制[M].北京: 清华大学出版社,1998.

篇4

目前,北京市各部门中已有人大、政协、市高级法院,各区县政府,市属机构等25个单位在首都之窗上建立自己的网站。现在首都之窗的月平均浏览量达到600多万人次,半年时间,市长信箱就收到3000多封网上来函。今年北京市计划在电子政务方面,积极推行网上办公,网上审批制度,提高政府办公效率。为适应信息服务的不断发展,保证电子政务的网络安全,北京市信息安全测评中心实施了网络安全管理体系建设。通过针对北京市电子政务外网的信息内容进行安全检测提出的解决方案,及时掌握、统计和分析信息流的动态情况,及时掌握用户对信息服务的访问行为,及时发现有无违规的信息与访问,及时发现涉密信息的泄露和敏感信息的访问。

解决方案:国都兴业为北京市电子政务网络的网络安全监测审计需求提供了先进的、完善的解决方案。在电子政务骨干网上部署了四套“网络一体化监控审计系统Egilance II”,分别安装在四个骨干节点上。“网络一体化监控审计系统Egilance II”是基于网络会话级的安全监测审计产品,它通过对网络会话的行为和内容的实时监测、报警、记录和审计,提高用户的网络应用和信息安全。

在方案中使用的Egilance系统是采用一个上级中心审计控制台,四个下级监测审计点的构架,中心审计控制台可以根据整体审计需要向四个下级监测审计点下发审计规则配置和报警策略,也可以分别下发不同的审计规则配置和报警策略,四个下级监测审计点的监测审计报警和审计记录即可在本级审计控制台上报警显示,又可同时发送给上级中心审计控制台。在四个监测审计点采用了千兆光纤TAP网络信号旁路接入器ESentry,将光信号旁路分向后输入给千兆级网络会话采集器EProbe,EProbe对网络数据流进行旁路采集和提取各种网络应用的处理,网络应用分析器Enalyzer对各种网络应用行为做实时监测、报警、记录和审计,并将监测报警和审计记录发给中心审计控制台EConsole。

篇5

关键词:堡垒机;运维操作审计;工作原理

中图分类号:TQ016.5+5 文献标识码:A 文章编号:1007-9599 (2012) 18-0000-02

1 堡垒机的概念和种类

“堡垒”一词的含义是指用于防守的坚 固建筑物或比喻难于攻破的事物,因此从字面的意思来看,“堡垒机”是指用于防御攻击的计算机。在实际应用中堡垒机又被称为“堡垒主机”,是一个主机系统,其自身通常经过了一定的加固,具有较高的安全性,可抵御一定的攻击,其作用主要是将需要保护的信息系统资源与安全威胁的来源进行隔离,从而在被保护的资源前面形成一个坚固的“堡垒”,并且在抵御威胁的同时又不影响普通用户对资源的正常访问。基于其应用场景,堡垒机可分为两种类型:

1.1 网关型堡垒机

网关型的堡垒机被部署在外部网络和内部网络之间,其本身不再直接向外部提供服务,而是作为进入内部网络的一个检查点,用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能,将内 外网从网络层隔离开来,因此除非授权访问外,还可以过滤掉一些针对内网的来自应用层以下的攻击,为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用 层的数据内容,性能消耗很大,所以随着网络进出口处流量越来越大,部署在网关位置的堡垒机逐渐成为了性能瓶颈,因此网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。

1.2 运维审计型堡垒机

运维审计型堡垒机的原理与网关型堡垒机类似,但其部署位置与应用场景不同,且更为复杂。运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面,对运维人员的操作权限进行控制和操作行为审计;运维审计型堡垒机既解决了运维人员权限难以控制的混乱局面,又可对违规操作行为进行控制和审计,而且由于运维操作本身不会产生大规模的流量,堡垒机不会成为性能的瓶颈,所以堡垒机作为运维操作审计的手段得到了快速发展。

2 堡垒机运维操作审计的工作原理

在实际使用场景中,堡垒机的使用人员通常可分为管理人员、运维操作人员、审计人员三类用户。

管理员最重要的职责是根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。堡垒机管理员登录堡垒机后,在堡垒机内部,“策略管理”组件负责与管理员进行交互,并将管理 员输入的安全策略存储到堡垒机内部的策略配置库中。

“应用”组件是堡垒机的核心,负责中转运维操作用户的操作,并与堡垒机内部其他组件进行交互。“应用”组件收到运维人员的操作请求后,调用“策略管理”组件对该操作行为进行核查,核查依据便是管理员已经配置好的策略配置库,如此次操作不符合安全策略,”组件将拒绝该操作行为的执行。

运维人员的操作行为通过“策略管理”组件的核查之后,“应用”组件则代替运维人员连接目标设备完成相应操作,并将操作返回结果返回给对应的运维操作人员;同时此次操作过程被提交给堡垒机内部的“审计模块”,然后此次操作过程被记录到审计日志数据库中。

最后,当需要调查运维人员的历史操作记录时,由审计员登录堡垒机进行查询,然后“审计模块”从审计日志数据库中读取相应日志记录,并展示在审计员交互界面上。

3 如何选择一款好的堡垒机产品

对于信息系统的管理者来说,除了工作原理以外,可能更关心如何选择一款好的运维审计堡垒机产品。一个好的运维审计堡垒机产品应实现对服务器、网络设备、安全设备等核心资产的运维管理账号的集中账号管理、集中认证和授权,通过单点登录,提供对操作行为的精细化管理和审计,达到运维 管理简单、方便、可靠的目的。

3.1 管理方便

应提供一套简单直观的账号管理、授权 管理策略,管理员可快速方便地查找某个用户,查询修改访问权限 ;同时用户能够方便的通过登录堡垒机对自己的基本信息进行管理,包括账号、口令等进行修改更新。

3.2 可扩展性

当进行新系统建设或扩容时,需要增加 新的设备到堡垒机时,系统应能方便的增加 设备数量和设备种类

3.3 精细审计

针对传统网络安全审计产品无法对通过加密、图形运维操作协议进行审计的缺陷,系统应能实现对RDP、VNC、X-Window、SSH、SFTP、HTTPS 等协议进行集中审计,提供对各种操作的精细授权管理和实时监控审计。

3.4 审计可查

可实时监控和完整审计记录所有维护人员的操作行为;并能根据需求,方便快速的 查找到用户的操作行为日志,以便追查取证。

3.5 安全性

堡垒机自身需具备较高的安全性,须有冗余、备份措施,如日志自动备份等。

3.6 部署方便

系统采用物理旁路,逻辑串联的模式,不需要改变网络拓扑结构,不需要在终端安装客户端软件,不改变管理员、运维人员的 操作习惯,也不影响正常业务运行。

4 结束语

本文简要分析了堡垒机的概念以及其运维操作审计的主要工作原理。随着信息安全的快速发展,来自内部的安全威胁日益增多,综合防护、内部威胁防护等思想越来越受到重视,而各个层面的政策合规,如“萨班斯法案”、“信息系统等级保护”等等也纷纷对运维人员的操作行为审计提出明确要求。堡垒机作为运维安全审计产品将成为信息系统安全的最后一道防线,其作用也将越来越重要,应用范围势必会快速扩展到各个行业的信息系统。因此在当前的形势之下,让大家更加清楚的了解堡垒机也就十分必要了。

参考文献:

[1]赵瑞霞,王会平.构建堡垒主机抵御网络攻击[J].网络安全技术与应用,2010,08.

[2]闫文耀,王志晓.基于堡垒主机防火墙的安全模型研究[J].网络安全技术与应用,2008,06.

[3]徐改萍.网络攻击与防范实践问题研究[J].电脑知识与技术(学术交流),2007,10.

[4]桂鑫.浅谈网络安全之漏洞[J].科学之友,2010,06.

[5]朱朝霞.Linux网络系统攻击的防范[J].计算机与数字工程,2006,10.

篇6

论文关键词:安全审计 日志 数据挖掘

论文摘要:提出了无线网关安全审计系统的系统模型,介绍了该系统的设计思想,从数据的控制、数据的采集、日志的归类、日志的审计与报警4个方面描述了设计流程.在系统中通过改进syslog机制,引入有学习能力的数据挖掘技术,实现对无线网关的安全审计.

0 引言

无线网关是无线网络与布线网络之间的桥梁,所有的通信都必须经过无线网关的审计与控制.在无线网络中,无线网关放置在无线网络的边缘,相当于无线网络的大门,当无线网关遭到攻击和入侵时,灾难会殃及整个无线网络,使无线网络不能工作或异常工作,由此可见,对无线网关进行安全审计是十分有意义的.

本文中研究的安全审计系统是北京市重点实验室科、研项目“智能化无线安全网关”的一部分.智能化无线安全网关在无线网关上集成具有IDS和防火墙功能的模块,以及控制和阻断模块,这些功能模块在统一操作系统的基础上,既各司其职,又密切合作,共同完成防范、预警、响应和自学习的功能,构成一个有机的安全体系.

无线网关的安全审计系统,其主要功能就是在事后通过审计分析无线安全网关的日志信息,识别系统中的异常活动,特别是那些被其它安全防范措施所遗漏的非法操作或入侵活动,并采取相应的报告,以有利于网络管理员及时有效地对入侵活动进行防范,确保网络的安全[1].

1 系统功能概述

无线网关安全审计系统是针对无线网络的安全运作而提出的,主要包括数据控制、数据采集、日志归类、日志的审计与报警等几大基本功能.首先,审计系统的数据控制模块对进出的数据信息进行严格的控制,根据预定义的规则进行必要的限制,适当地降低风险.其次,安全审计系统的数据采集模块收集无线安全网关的网络日志、系统日志及用户和应用日志.随后,采集部件收集到的日志记录被送到日志归类模块,根据日志记录行为的不同层次来进行分类.最后,使用审计与报警模块对日志记录进行审计分析.这时可以根据预先定义好的安全策略对海量的日志数据进行对比分析,以检测出无线网关中是否存在入侵行为、异常行为或非法操作.管理员可以初始化或变更系统的配置和运行参数,使得安全审计系统具有良好的适应性和可操作性.

2 系统设计

2.1 系统结构组成(见图1)

2.2 设计思想

系统从数据采集点采集数据,将数据进行处理后放入审计数据库,采用有学习能力的数据挖掘方法,从“正常”的日志数据中发掘“正常”的网络通信模式,并和常规的一些攻击规则库进行关联分析,达到检测网络入侵行为和非法操作的目的.

2.3 系统的详细设计

系统的处理流程如图2所示:

2.3.1 数据的控制.数据控制模块使用基于Netfilter架构的防火墙软件iptables对进出的数据信息进行严格的控制,适当地降低风险.

2.3.2 数据的采集.数据采集模块,即日志的采集部件.为了实现日志记录的多层次化,需要记录网络、系统、应用和用户等各种行为来全面反映黑客的攻击行为,所以在无线安全网关中设置了多个数据捕获点,其中主要有系统审计日志、安全网关日志、防火墙日志和入侵检测日志4种.2.3.3 日志的归类.日志归类模块主要是为了简化审计时的工作量而设计的,它的主要功能是根据日志记录行为的不同层次来进行分类,将其归为网络行为、系统行为、应用行为、用户行为中的一种,同时进行时间归一化.进行日志分类目的是对海量信息进行区分,以提高日志审计时的分析效率.

2.3.4 日志审计与报警.日志审计与报警模块侧重对日志信息的事后分析.该模块的主要功能是对网关日志信息进行审计分析,即将收到的日志信息通过特定的策略进行对比,以检测出不合规则的异常事件.随着审计过程的进行,若该异常事件的可疑度不断增加以致超过某一阈值时,系统产生报警信息.该模块包括日志信息的接收、规则库的生成、日志数据的预处理、日志审计等几个功能.

3 系统的实现

3.1 系统的开发环境

智能无线安全网关安全审计系统是基于linux操作系统开发的B/S模式的日志审计系统.开发工具为:前台:Windows XP professional+html+php,后台:Linux+Apache+Mysql + C++.

3.2 日志归类模块的实现[2-3]

无线网关的日志采用linux的syslog机制进行记录,sys-log记录的日志中日期只包含月和日,没有年份.在该模块中,对日志记录的syslog机制进行一些改进,克服其在日志中不能记录年的问题.

下面以无线网关的日志为例,说明其实现过程.网关日志的保存文件为gw.log,用一个shell脚本,在每月的第一天零点,停止syslogd进程,在原来的文件名后面加上上一个月的年和月,如gw.log200603,再新建一个gw.log用于记录当月的日志,再重启syslogd记录日志.这样就把每月的日志存放在有标志年月的文件中,再利用C++处理一下,在记录中加入文件名中的年份.

3.3 日志审计与报警模块的实现

3.3.1 日志审计模块的处理流程(见图3).

3.3.2 规则库生成的实现.安全审计系统所采用的审计方法主要是基于对日志信息的异常检测,即通过对当前日志描述的用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或者越权操作的存在.该方法的优点是无需了解系统的缺陷,有较强的适应性.这里所说的规则库就是指存储在检测异常数据时所要用到的正常的网络通信及操作规则的数据库.规则库的建立主要是对正常的日志信息通过数据挖掘的相关算法进行挖掘来完成.

首先系统从数据采集点采集数据,将数据进行处理后放入审计数据库,通过执行安全审计读入规则库来发现入侵事件,将入侵时间记录到入侵时间数据库,而将正常日志数据的访问放入安全的历史日志库,并通过数据挖掘来提取正常的访问模式.最后通过旧的规则库、入侵事件以及正常访问模式来获得最新的规则库.可以不停地重复上述过程,不断地进行自我学习的过程,同时不断更新规则库,直到规则库达到稳定.

3.3.3 日志信息审计的实现.日志审计主要包括日志信息的预处理和日志信息的异常检测两个部分.在对日志进行审计之前,首先要对其进行处理,按不同的类别分别接收到日志信息数据库的不同数据表中.此外,由于所捕获的日志信息非常庞大,系统中几乎所有的分析功能都必须建立在对这些数据记录进行处理的基础上,而这些记录中存在的大量冗余信息,在对它们进行的操作处理时必将造成巨大的资源浪费,降低了审计的效率,因此有必要在进行审计分析之前尽可能减少这些冗余信息.所以,在异常检测之前首先要剔除海量日志中对审计意义不大及相似度很大的冗余记录,从而大大减少日志记录的数目,同时大大提高日志信息的含金量,以提高系统的效率.采用的方式就是将收集到的日志分为不同类别的事件,各个事件以不同的标识符区分,在存放日志的数据库中将事件标识设为主键,如有同一事件到来则计数加一,这样就可以大大降低日志信息的冗余度.

在日志信息经过预处理之后,就可以对日志信息进行审计.审计的方法主要是将日志信息与规则库中的规则进行对比,如图3所示.对于检测出的不合规则的记录,即违反规则的小概率事件,记录下其有效信息,如源、目的地址等作为一个标识,并对其设置一怀疑度.随着日志审计的进行,如果属于该标识的异常记录数目不断增加而达到一定程度,即怀疑度超过一定阈值,则对其产生报警信息.

4 数据挖掘相关技术

数据挖掘是一个比较完整地分析大量数据的过程,一般包括数据准备、数据预处理、建立数据挖掘模型、模型评估和解释等,是一个迭代的过程,通过不断调整方法和参数以求得到较好的模型[4].

本系统中的有学习能力的数据挖掘方法主要采用了3种算法:

1)分类算法.该算法主要将数据影射到事先定义的一个分类之中.这个算法的结果是产生一个以决策树或者规则形式存在的“判别器”.本系统中先收集足够多的正常审计数据,产生一个“判别器”来对将来的数据进行判别,决定哪些是正常行为,哪些是入侵或非法操作.

2)相关性分析.主要用来决定数据库里的各个域之间的相互关系.找出被审计数据间的相互关联,为决定安全审计系统的特征集提供很重要的依据.

3)时间序列分析.该算法用来建立本系统的时间顺序模型.这个算法有利于理解审计事件的时间序列一般是如何产生的,这些所获取的常用时间标准模型可以用来定义网络事件是否正常.

5 结束语

该系统通过改进syslog机制,使无线网关的日志记录更加完善.采用有学习能力的数据挖掘技术对无线网关正常日志数据进行学习,获得正常访问模式的规则库,检测网络入侵行为和非法操作,减少人为的知觉和经验的参与,减少了误报出现的可能性.该系统结构灵活,易于扩展,具有一定的先进性和创新性,此外,使用规则合并可以不断更新规则库,对新出现的攻击方式也可以在最快的时间内做出反应.下一步的工作是进一步完善规则库的生成以及审计的算法,增强系统对攻击的自适应性,提高系统的执行效率.

参考文献:

[1] Branch J W, Petroni N L, Doorn Van L, et al.Autonomic802.11 Wireless LAN Security Auditing[J]. IEEE Security&Privacy, 2004(5/6):56-65.

[2] 李承,王伟钊,程立.基于防火墙日志的网络安全审计系统研究与实现[J].计算机工程,2002,28(6):17-19.

[3] 刘.无线网络安全防护[M].北京:机械工业出版社,2003.

篇7

制作网因为它的特殊性,必然要和外界做信息交换,如广告商带来的图片数据资料、企业带来的影像素材、来自移动存储介质的字幕文件、来自数字摄像机的素材导入(如松下P2卡摄像机的数据导入)、来自笔记本电脑的对白文字或配音文件、来自其他网络的数据文件(来自光缆的异地节目上传)等。这些信息的导入也会带来各种风险。如何解决制作网与外界信息安全交换的问题,对制作网的安全运行至关重要。在制作网环境中一个最重要的实体就是终端计算机。终端是网络划分中的最终节点,也是与使用者最接近的设备,所有基于网络化的日常办公、学习及娱乐等都直接与终端有关系。尤其是在信息化程度普及的今天,大量的办公事物都需要通过计算机来完成,这种使用方式往往是使用者通过终端计算机登录需要的业务系统,以获得使用权限并完成相应的工作。在这种情况下,终端的安全往往成为了制作网整体环境安全的重要节点,这从以下几点可以更充分的说明:

(1)终端计算机是内部网络与外部游离设备的交互点,安全问题可以由此引入。事实上,由于计算机接口的标准化,很多电子设备都趋向于与计算机进行信息交互,如优盘、手机、数码相机等,这些设备与终端形成离散的接入点,可以向终端写入数据或从终端获取数据;而终端使用者必须通过它访问内部网路的授权业务系统来完成日常工作。这样,当外部游离设备引入病毒或攻击程序,在使用者访问业务系统时,将会导致制作网环境受到攻击。

(2)终端中运行的其他软件可能影响制作网的正常使用。由于终端计算机为每一个不同的使用者使用,使用者可以在终端安装各种软件。这些软件的使用可能造成制作网通信带宽的大量占用及其它安全问题。

(3)终端使用者行为难以约束。终端使用者对终端的使用情况是难以控制的,使用者有可能在工作时间上网聊天、打游戏、下载电影;也可能下载各种黑客工具进行研究,把内部网络作为试验田;还可能浏览黄色网站,传播不良信息。这些行为都可能导致内部网络不正常。

(4)终端管理难以进行。政府或企业的IT管理人员往往承担着维护内部网络终端的任务,这些维护工作包括解决出现的问题、安装日常软件、配置系统等多方面。在现有条件下,管理员很难实现快速的软件统一部署、在线解决远程计算机的问题、统一终端安全策略的制定等,这些问题都需要其它技术手段辅助完成。

二、制作网的安全管理策略

通过以上分析,笔者认为制作网的安全建设目标是:建立完善的监控机制,实现对终端主机的实时监视;提供对终端主机的全面远程安全管理,包括资产管理、事件管理、行为管理等一系列功能。要从一个更高的角度全面掌握网络终端主机的运行态势,为网络环境的正常运转、业务系统的正常运行提供可靠的保障。下面从终端主机安全管理、安全审计和边界控制三个方面介绍制作网的安全管理策略。

1终端主机安全管理

(1)身份认证身份认证可以确保每个使用者的合法性,同时也为区分不同人的上网行为记录提供依据。对于责任划分、使用权限等都很有意义。身份认证一般有两种方式:USBKey认证方式和口令认证方式。

(2)行为管理对于终端计算机管理的情况,应该能够控制用户对终端主机的各类操作行为,这些行为包括文件操作行为、软件使用行为、上网行为、邮件发送行为、外设使用行为等。系统对用户行为的监控主要包含两方面:一是针对用户的所有行为控制操作将生成详细的日志记录,以备管理员查询;二是管理员可以通过策略设置用户各种行为的使用范围,例如只允许访问哪些文件,基于黑白名单的软件使用许可,只允许访问哪些网站,是否允许使用哪种外设等。

(3)应用程序控制通过技术手段,实现基于黑名单及白名单的方式控制终端用户允许运行的应用程序。在黑名单方式下,所有名单中的应用程序将不允许运行,其它程序可以运行,白名单则相反。应用程序控制方式不是基于应用程序的程序名实现的,而是基于特定应用程序的签名实现的,能够有效防止恶意使用者通过将未授权程序的名称改为授权程序名称而达到运行不合法程序的目的。

(4)Windows策略管理对安装Windows系统的终端计算机来说,由于操作系统自身的原因和使用计算机用户的原因,都普遍存在较多的安全问题,如攻击者可以通过TCP或UDP等端口对Windows系统进行攻击。针对这些问题,Windows自身提供了一套策略管理机制,Windows操作系统中具有可配置的策略模块,其中有相当一部分策略可以加固系统的安全性。为了增强Windows系统的安全性,应该规范用户外设使用策略,规范用户上网行为策略、规范用户软件使用策略、系统补丁下发策略等。

(5)主机监视对终端主机运行状态进行监视审计。包括CPU使用率、内存使用率、磁盘使用率、应用系统性能等,当监视的资源的指标和状态违背预设规则时,将产生事件上报服务器,并可通过多种方式向管理员报警。对于某些监视事件,要提供处理功能,例如进程状态监视中如果进程由运行状态变为停止状态,事件处理器可以根据规则自动将进程重新启动。

2主机安全审计

对终端主机的各种系统行为及操作行为进行记录,对日志审计查询分析,实时发现主机出现的安全事件,保证主机处于安全运行状态。包括:

(1)文件操作审计。对文件操作行为,包括新建、复制、移动、重命名、覆盖、删除等进行审计记录。记录信息包括主机名、时间、源文件、目标文件、操作行为等。

(2)共享文件审计。审计主机是否开启文件共享功能。记录信息包括主机名、共享名称、共享路径、时间等。

(3)程序运行审计。审计主机运行的所有应用程序。记录信息包括程序名、主机名、时间等。

(4)上网行为审计。记录终端主机使用者的网络访问行为。可审计的分类包括网站访问信息及邮件收发信息。记录信息包括访问的URL、邮件收发信箱等。

(5)文件打印审计。记录主机通过本地或网络打印机输出的信息。记录内容包括主机名、时间、打印内容等。

(6)用户登录审计。审计用户等级计算机的信息。记录内容包括主机名、时间、登录用户等。

(7)账户变更审计。审计登录账户变更情况。记录内容包括主机名、时间、源账户、现用账户等。

3主机边界控制

3.1违规外联控制由于终端计算机存在各种外设,如果安全策略设置不合理,或者使用者主动破坏安全策略企图进行违规外联,这时客户端将有可能通过无线网卡、USB网卡或其他方式连接到互联网络,从而产生信息泄露及被攻击的风险。要通过技术手段保证计算机在任何情况下不能违规连入互联网,一旦检测违规外联,应该能自动阻断违规外联的行为。

3.2非法接入控制接入控制主要解决非法接入网络计算机的检测、警告、阻断。对于非法接入网络的主机,可采用多种方式进行检测及阻断,这些方式根据用户的使用环境及对安全性要求的不同而不同。包括:

(1)基于ARP的扫描及欺骗技术,使用ARP扫描技术迅速检测非法主机的接入,然后通过安全事件警告管理员,并可以通过策略管理和ARP欺骗自动阻断非法主机访问其它主机及外部网络。

(2)基于交换机MAC绑定技术,与交换机联动,通过IP、MAC绑定技术防止非法主机的接入。对于合法的终端主机也要根据策略的配置定期进行完整性检查,检查内容将涉及到主机是否安装防病毒软件、是否运行防病毒程序、病毒库是否更新、补丁是否完整、主机是否存在木马等,检查条件可以配置,并且可以扩展。一旦完整性检查不符合要求,该主机将被自动阻断任何连接,并划入威胁主机范围内,必须等完整性检查通过后才能重新接入网络。

3.3移动存储设备使用管理内部网络终端主机的恶意攻击及病毒程序很大一部分是通过频繁使用移动存储设备带来的。一些带有恶意代码的数据文件从移动设备流入主机后,将会驻留在主机上,对内部网络带来安全威胁。为了解决使用移动设备带来的安全隐患,所有移动设备都要求通过安全隔离设备才能与内网进行数据交换。

3.4外设控制随着各种接口技术的发展,计算机的外设接口不断丰富,使用者可以通过各种方式与外部介质进行数据交换,比较典型的外设接口包括光驱、软驱、USB接口、网卡、蓝牙、红外、ADSL接口、PCMCIA等,这些接口有的可以直接连接数码设备(如手机)进行数据交换,有的可以与其他计算机建立通信连接(如网卡),有的可以将信息输出到外部设备(如USB打印机)等。无论哪种方式,都形成了信息的流入流出通道。出于安全管理的需要,往往要求对计算机的各种外设接口进行控制,保证只有授权的几种接口才可以进行数据交换,并受到严格审计。

3.5终端防火墙终端计算机可能由于收到恶意攻击或其它原因而感染病毒,造成频繁与外部连接,消耗网络资源。也有可能受到其它主机的非法访问。终端防火墙功能可以基于网络层及传输层对网络信息进行过滤。在网络层,可以控制连接的IP地址,也可以控制IP、ICMP及IGMP协议是否通过;在传输层可以控制网络数据的源端口、目的端口及TCP、UDP协议。在网络控制中,可以过滤数据的流向,可以控制策略的执行时间,也可以将网络控制策略按照不同的工作组或安全域进行部署实施。

3.6集中管理与外界的数据交换数据信息的交换是业务工作的一部分,不能因为怕带来网络安全上的风险就不进行。基于安全的考虑,同时要兼顾交换的需要,所以对于整个制作网而言,要把与外界的数据交换统一管理起来,不能随意在任意内网终端上交换数据,所有数据交换的入口和出口都必须经过安全隔离网关统一隔离过滤,在把有用信息导入到内网的同时也能把危险阻挡在了网络边界之外。

三、小结

篇8

关键字:网络安全;网络问题分析;安全策略;网络应用控制;用户行为审计

中图分类号:G250文献标识码: A

一、网络存在问题分析

当前校园网建设面临着带宽瓶颈、多业务融合、安全威胁、用户认证和管理等诸多问题和挑战:

 如何解决接入带宽瓶颈?如何解决设备扩展和性能以及投资保护之间的矛盾?

 如何实现校园网多业务融合的需求,实现网络资源灵活分配和调度?

 如何实现用户安全的接入控制,防止病从口入?如何防止恶意攻击和定位? 如何快速定位链路故障点?

 如何实现灵活认证计费策略,如何实现网络流量的监控和分析?

学校网络主要存在以下几个方面的问题:

(1)网络设备性能低下,ARP攻击频繁,造成网络数据传输缓慢,网络稳定性差,从而影响学校信息化业务的正常运行。

(2)没有完善的网络安全防范,存在网络易受到网络内外恶意攻击的隐患。

(3)没有用户网络行为的监控与管理,存在访问非法站点、散布不当言论的隐患,不满足国家公安部82号令对上网行为审计的政策要求。

(4)使用人员在上网时会存在在线看视频、过度下载等造成业务带宽严重占用的情况,所以我们必须要进行网络带宽的应用控制和管理,过滤垃圾流量、杜绝带宽滥用,优化网络资源、保证正常业务稳定高效的网络应用。

二、网络安全解决方案

1.接入层安全及防ARP

1.1千兆安全交换机

全面的接入安全策略

有些交换机支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施网络中逐渐盛行的“中间人”攻击,对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大量地址仿冒带来的DoS攻击。另外,利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器,保证DHCP环境的真实性和一致性。

交换机支持端口安全特性族可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量,或者设定每个端口允许的MAC地址的最大数量,使得某个特定端口上的MAC地址可以由管理员静态配置,或者由交换机动态学习。

交换机提供802.1X和集中MAC认证方式对接入的用户进行认证,允许合法用户通过,对于非法用户则拒绝其上网。同时还支持客户端软件版本检测、Guest VLAN等功能,和CAMS服务器配合还可以实现检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制,最大程度的减少非法用户对网络安全的危害。

1.2百兆安全交换机

完备的安全控制策略

对于千兆支持802.1x认证交换机,在用户接入网络时完成必要的身份认证,支持MAC地址和端口等多元组绑定、广播风暴抑制和端口锁定功能,保证接入用户的合法性。

支持跨交换机的远程端口镜像功能(RSPAN),可以将接入端口的流量镜像到核心交换机上,在核心上启动网流分析(Netstream)功能,对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。

支持特有的ARP入侵检测功能和ARP报文限速功能,可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”,对不符合DHCP Snooping绑定表的非法ARP欺骗报文直接丢弃。

强大硬件ACL能力,能深度识别报文,以便交换机进行后续的处理。

三、应用控制与行为监管

为了解决网络用户大量的BT\电驴下载、网络视频等行为造成的对业务带宽的严重占用问题,以及在这些大量的垃圾流量影响下造成对核心网络及防火墙网关设备巨大的业务处理压力,系统必须进行应用流量控制管理、优化网络带宽资源应用,保证正常业务的稳定运行。

通过在部署一台应用控制网关设备,能精确检测BitTorrent、Thunder(迅雷)、QQ等P2P/IM应用,提供告警、限速、干扰或阻断等多种方式,保障网络核心业务正常应用,并提供面向IT服务的流量管理,实现网络与系统的高效管理。

3.1网络应用控制

随着互联网技术的不断发展,各种网络应用层出不穷,一方面大大丰富了我们的网络生活,如各种办公应用、桌面应用等带来工作效率的提高,但在另一方面各种阻扰网络应用、非法网络行为等也愈演愈烈,如侵扰网络带宽的大量P2P下载导致网络出口设备长期超负荷使用、上班期间沉迷IM聊天/网络游戏/炒股严重影响到企业工作效率、BBS/论坛上各种非法言论的发表等,如得不到及时的有效控制,将给我们的网络及生活带来极大的影响及危害。

考虑到单位人员在上网时会存在在线看视频、过度下载等造成业务带宽严重占用的情况,所以我们必须要进行网络带宽的应用控制和管理,对这些在线视频和过度下载行为进行控制管理,保证业务网络带宽,从而优化网络应用、确保正常业务的稳定开展。

基于以上考虑,我们需要部署一台网络应用控制与行为监管网关设备,进行网络应用的应用识别、流量管理和用户行为审计,识别和控制非法网站访问、过滤垃圾流量、杜绝带宽滥用,优化网络资源、保证正常业务稳定高效的网络应用。

3.2用户行为审计

目前网络应用行为日益频繁,网络中内部安全和内部控制的重要性日益突出,员工通过网络泄漏重要数据、员工在网上传播非法言论造成社会恶劣影响等事件时有发生。及时记录内部人员的上网行为,从而做到事后有据可查成为目前企业网迫切需要解决的问题。

应用控制UTM网关能够提供细致的行为审计,可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录,实现细粒度的网络行为审计管理。

参考文献:

[1] 刘建伟. 网络安全--技术与实践(第2版),清华大学出版社,2011

[2] 刘天华.网络安全,科学出版社,2010

篇9

深信服科技网络安全审计设备采用多种领先的技术为用户提供互联网安全审计手段,并帮助用户避免互联网所带来的风险,提升用户宽带价值。

有针对性的方案

针对政府机关互联网的需求分析,深信服对政府机关具体面对的互联网风险归纳如下。法律风险: 法律风险的来源有两种情况,一是内部人员有意无意地访问到一些不法网站,二是内部人员在网上的言论可能不经意地触犯国家利益,这两种情况都可能给单位带来一定的法律压力; 带宽风险: 网络视频、大型网游、特别是用P2P软件下载电影等,都会大量占用单位的网络带宽,使网络压力增大,进而影响到机关业务的运行,办公效率降低; 病毒风险: 泛滥的DoS攻击、ARP攻击会使单位上网出现问题,蠕虫、木马会严重影响网络的速度和稳定性,或者盗取单位的机密信息; 效率风险: 为了保障工作效率,政府机关该怎样监督网络应用,使上班工作、下班娱乐两不相误?

面对以上问题,深信服通过以下方式来解决。页面访问、外发信息审计: 为了规避法律风险,可以通过页面访问、外发信息审计方式来进行监督,以保持内部网络的健康,也防止与不法页面的接触带来的风险; 外发信息控制: 对从内网向外发送的信息进行适当的记录,防止因出现不良信息发送而给单位带来风险; 带宽审计系统: 带宽审计系统解决带宽风险的问题,通过对下载、娱乐进行流量记录和控制,避免占用过多的带宽,通过对重要的业务系统、重要的机关部门进行带宽保障来保证办公系统的畅顺运行; 安全审计系统: 对于病毒风险,安全审计系统通过网关杀毒、防DoS攻击、防ARP攻击等方式来对蠕虫、木马、DoS、ARP等主要危害网络的病毒进行防护; 网络应用记录: 面对效率风险,我们可以灵活制定审计策略,对各种网络应用,可以记录其使用情况,再加上一定的控制手段,如上班时间限制使用娱乐应用,下班时间则不进行控制,使工作人员张弛有度,保持控制的合理性。

文化局安全审计平台

北京市文化局建立了较成熟的网络接入办公环境。以前存在问题如下,带宽问题: 如果有人员在用P2P软件下载,就会大量占用带宽,导致响应变慢; 怎样获知带宽使用情况: 原有网络中没有记录日志的系统,因此,没有一种手段来查看网络的状况; 网络健康性问题: 网络上的不良网页可能影响北京市文化局网络的健康性,甚至还会危害网络的安全。

针对北京市文化局网络存在的以上风险,深信服提供了网络安全审计解决方案,解决方法如下:

对上网流量进行审计: 管理者使用审计产品清楚地获知内网的人员流量、应用流量等情况,结合QoS优先级机制,进行带宽划分和分配,实现带宽资源利用率的最大化。

篇10

防火墙、UTM、防病毒软件、防后门、防蠕虫各种安全技术和产品层出不穷,但是他们只能防范外部安全问题,对于企业组织中内部人员所造成的严重攻击,这些是无能为力的,此时,网络安全审计系统的作用就显得尤为重要。

通过使用网络安全审计系统,可以将管理人员从繁杂、枯燥的IT内审中解放出来,最大程度上降低IT内审工作的工作量、以满足组织机构内外部合规性要求、全面体现管理者对业务系统信息资源的全局把控和调度能力。

决策部门在系统的帮助下可以寻找到治理业务系统的决策依据,并且定夺治理业务系统的先后顺序,以及重要紧急程度等等一系列审计工作。

为什么需要面向业务的信息安全审计?

面向业务的信息安全审计系统,顾名思义,是对用户业务的安全审计,与用户的各项应用业务有密切的关系,是信息安全审计系统中重要的组成部分,它从用户的业务安全角度出发,思考和分析用户的网络业务中存在的脆弱和风险。

我们不妨先看两个鲜活的案例。不久前,中国青年报报道,上海一电脑高手,方某今年25岁,学的是计算机专业,曾是某超市分店资讯组组长。方某利用职务之便,设计非法软件程序,进入超市业务系统,即超市收银系统的数据库,通过修改超市收银系统的数据库数据信息,每天将超市的销售记录的20%营业款自动删除,并将收入转存入自己的账户。从2004年6月至2005年8月期间,方某等人截留侵吞超市3家门店营业款共计397万余元之多。

程某31岁,是X公司资深软件研发工程师,从2005年2月,他由A地运营商系统进入B地运营商的业务系统――充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出,非法获利380万。

通过上述两个案例,我们不难发现,内部人员,包括内部员工或者提供第三方IT支持的维护人员等,他们利用职务之便,违规操作导致的安全问题日益频繁和突出,这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题,但是,对于这类与业务息息相关的操作行为、违规行为的安全问题,必须要有强力的手段来防范和阻止,这就是针对业务的信息安全审计系统所能够带给我们的价值。

用户需求

事实上,一项针对业务系统的审计产品的评价手段有很多,理论上讲,有从审计准确精确度人手做评价的,也有从审计行为的广度入手做评价的,可是,无论以什么方式评价一款针对业务系统的审计产品,从审计行为的结果一 报告来评价是比较科学的。比如,我们以银行的业务为例,银行的业务主页有银行传统业务、银行中间业务、电子银行业务三大类业务,第一类业务,是银行传统业务,主要包括了会计业务,即主要受理对公业务、面向工商客户、以转账业务为主等;出纳业务,即包括了受理现金业务等;对私业务、还有授信业务,即包括了工商客户和个人客户贷款的发放和收回逾期、呆账、呆滞账务的处理和追溯等。第二类,银行的中间业务包括了:代收、电信公司的各类费用;代付企业的工资、基金购买、银行承兑等业务;第三类,电子银行业务主要包括了:网上银行、电话银行等,他们都是银行作为电子商务中资金流的一方,所有的这些业务都有大量的后台IT信息支撑系统作为支撑。

技术视野

业务网络审计系统是基于应用层内容十本技术衍生出的一种强化IT风险管理的应用模式,它需要对应用层的协议、网络行为等信息进行解析、识别、判断、记录、呈现,以达到监控违规网络行为、降低IT操作风险的目的。

显然,一个针对业务系统的审计必须承担鉴证、保护和证明三方面的作用,从技术角度看,审计系统需要审计的信息量人,采集的数据量多,比如对基本网络应用协议审计进行详细的实时监控、审计,并可以对操作过程进行回放,对各类操作系统也需要审计,同时,还有一些OA操作的审计,在这些庞杂的信息量下,如果系统呈现的信息缺失、失真或错误,往往会给用户轻则带来决策失误,重则带来安全事件无法追究的窘境。由于报告成为了取证、追查、建立制度的重要依据,报告应该越细越好,因此,报告的细粒度就成为业务网络审计系统发展的必然。

政策推动

随着中国国际化程度的日益提高,国内许多规范也正在顺应国际化的趋势上发展,以SOX法案为例,在美上市的中资企业如中国移动集团公司以及下属分公司就面临着该法案的合规性要求,而商业银行同样也面临Basel协议的合规性要求,政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。

从2001年起,政府、电信业、金融业、大企业等都已经先后制定了相关的法律法规,这些规范、文件的出台,是对IT合规建设的必然选择,不得不让面向业务的审计系统应该向这些法律法规的“合规性要求”方向发展,这些也促成了报告在审计系统中扮演的角色。

面向业务的信息安全审计,正在被越来越多的行业和机构所重视,它代表着由传统信息安全向业务信息安全领域纵深发展的必然的趋势。

当今信息安全领域,我们已经不能简单地认为,只要有防火墙、IDS、IPS、内网管理等系统的上线就可以解决网络安全问题,我们更不能简单地认为,由于各类业务系统应用在安全防护下就不会有任何安全风险。事实上,正是面向业务的信息系统安全审计系统开启了我们从传统安全领域向业务安全领域思考的一扇窗户,它把我们理解的信息安全思路引向了一个更加贴合业务应用、更加贴合业务管理的角度来看待信息安全。