网络安全事件管理范文

导语：如何才能写好一篇网络安全事件管理，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词：安全事件管理器；网络安全

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)08-10ppp-0c

1 相关背景

随着网络应用的发展，网络信息安全越来越成为人们关注的焦点，同时网络安全技术也成为网络技术研究的热点领域之一。到目前为止，得到广泛应用的网络安全技术主要有防火墙（Firewall），IDS，IPS系统，蜜罐系统等，这些安全技术在网络安全防护方面发挥着重要的作用。但是随着网络新应用的不断发展，这些技术也受到越来越多的挑战，出现了不少的问题，主要体现在以下三个方面：

(1)众多异构环境下的安全设备每天产生大量的安全事件信息，海量的安全事件信息难以分析和处理。

(2)网络安全应用的发展，一个组织内可能设置的各种安全设备之间无法信息共享，使得安全管理人员不能及时掌网络的安全态势。

(3)组织内的各种安全设备都针对某一部分的网络安全威胁而设置，整个组织内各安全设备无法形成一个有效的，整合的安全防护功能。

针对以上问题，安全事件管理器技术作为一种新的网络安全防护技术被提出来了，与其它的网络安全防护技术相比，它更强调对整个组织网络内的整体安全防护，侧重于各安全设备之间的信息共享与信息关联，从而提供更为强大的，更易于被安全人员使用的网络安全保护功能。

2 安全事件管理器的概念与架构

2.1 安全事件管理器概念

安全事件管理器的概念主要侧重于以下二个方面：

(1)整合性：现阶段组织内部安装的多种安全设备随时产生大量的安全事件信息，安全事件管理器技术注重将这些安全事件信息通过各种方式整合在一起，形成统一的格式，有利于安全管理人员及时分析和掌握网络安全动态。同时统一的、格式化的安全事件信息也为专用的，智能化的安全事件信息分析工具提供了很有价值的信息源。

(2)闭环性：现有的安全防护技术大都是针对安全威胁的某一方面的威胁而采取防护。因此它们只关注某一类安全事件信息，然后作出判断和动作。随着网络入侵和攻击方式的多样化，这些技术会出现一些问题，主要有误报，漏报等。这些问题的主要根源来自于以上技术只侧重对某一类安全事件信息分析，不能与其它安全设备产生的信息进行关联，从而造成误判。安全事件管理器从这个角度出发，通过对组织内各安全设备产生的信息进行整合和关联，实现对安全防护的闭环自反馈系统，达到对网络安全态势更准确的分析判断结果。

从以上二个方面可以看出，安全事件管理器并没有提供针对某类网络安全威胁直接的防御和保护，它是通过整合，关联来自不同设备的安全事件信息，实现对网络安全状况准确的分析和判断，从而实现对网络更有效的安全保护。

2.2 安全事件管理器的架构

安全事件管理器的架构主要如下图所示。

图1 安全事件事件管理系统结构与设置图

从图中可以看出安全事件管理主要由三个部分组成的：安全事件信息的数据库：主要负责安全事件信息的收集、格式化和统一存储；而安全事件分析服务器主要负责对安全事件信息进行智能化的分析，这部分是安全事件管理系统的核心部分，由它实现对海量安全事件信息的统计和关联分析，形成多层次、多角度的闭环监控系统；安全事件管理器的终端部分主要负责图形界面，用于用户对安全事件管理器的设置和安全事件警报、查询平台。

3 安全事件管理器核心技术

3.1 数据抽取与格式化技术

数据抽取与格式化技术是安全事件管理器的基础，只要将来源不同的安全事件信息从不同平台的设备中抽取出来，并加以格式化成为统一的数据格式，才可以实现对安全设备产生的安全事件信息进行整合、分析。而数据的抽取与格式化主要由两方面组成，即数据源获取数据，数据格式化统一描述。

从数据源获取数据主要的途径是通过对网络中各安全设备的日志以及设备数据库提供的接口来直接获取数据，而获取的数据都是各安全设备自定义的，所以要对数据要采用统一的描述方式进行整理和格式化，目前安全事件管理器中采用的安全事件信息表达格式一般采用的是基于XML语言来描述的，因为XML语言是一种与平台无关的标记描述语言，采用文本方式，因而通过它可以实现对安全事件信息的统一格式的描述后，跨平台实现对安全事件信息的共享与交互。

3.2 关联分析技术与统计分析技术

关联分析技术与统计分析技术是安全事件管理器的功能核心，安全事件管理器强调是多层次与多角度的对来源不同安全设备的监控信息进行分析，因此安全事件管理器的分析功能也由多种技术组成，其中主要的是关联分析技术与统计分析技术。

关联分析技术主要是根据攻击者入侵网络可能会同时在不同的安全设备上留下记录信息，安全事件管理器通过分析不同的设备在短时间内记录的信息，在时间上的顺序和关联可有可能准备地分析出结果。而统计分析技术则是在一段时间内对网络中记录的安全事件信息按属性进行分类统计，当某类事件在一段时间内发生频率异常，则认为网络可能面临着安全风险危险，这是一种基于统计知识的分析技术。与关联分析技术不同的是，这种技术可以发现不为人知的安全攻击方式，而关联分析技术则是必须要事先确定关联规则，也就是了解入侵攻击的方式才可以实现准确的发现和分析效果。

4 安全事件管理器未来的发展趋势

目前安全事件管理器的开发已经在软件产业，特别是信息安全产业中成为了热点，并形成一定的市场。国内外主要的一些在信息安全产业有影响的大公司如： IBM和思科公司都有相应的产品推出，在国内比较有影响是XFOCUS的OPENSTF系统。

从总体上看，随着网络入侵手段的复杂化以及网络安全设备的多样化，造成目前网络防护中的木桶现象，即网络安全很难形成全方面的、有效的整体防护，其中任何一个设备的失误都可能会造成整个防护系统被突破。

从技术发展来看，信息的共享是网络安全防护发展的必然趋势，网络安全事件管理器是采用安全事件信息共享的方式，将整个网络的安全事件信息集中起来，进行分析，达到融合现有的各种安全防护技术，以及未来防护技术兼容的优势，从而达到更准备和有效的分析与判断效果。因此有理由相信，随着安全事件管理器技术的进一步发展，尤其是安全事件信息分析技术的发展，安全事件管理器系统必然在未来的信息安全领域中占有重要的地位。

参考文献：

篇2

(1)高度协调合作性：可支援跨企业组成的虚拟多功能团队，迅速且正确地进行协调、合作与支援。(2)分散式决策支援：使得虚拟企业的知识工作者能跨越时空界限，并能在适当的时间以正确的格式，传送至正确的地方给需要的团队人员，作为决策的参考依据。(3)整合式管理架构：借助一整合式管理架构，有效储存、整合、管理、传递和控制在虚拟企业中，并能即时同步更新及维持知识的一致性与正确性。(4)可重新规划性：能够依实际专案情况需要，弹性修正或重定架构以因应虚拟企业以专案为基础的流程管理及弹性组织等特性。(5)可适用跨企业的异质性作业环境：有效整合及统一跨企业间信息、系统与作业环境的异质性问题。就个人效益方面，知识工作者能够很容易地达到协同合作与有效地整合、储存、管理、分享与运用知识，使得能够在正确的时间、正确的地点，获取正确格式的信息与知识；就整体效益方面，能不断地累积个人与组织的知识成为组织智慧的循环，在企业组织中成为管理与应用的智慧资本，有助于企业做出正确的决策，以顺应市场的变化。

协同式知识管理系统的建置

所谓的同步沟通，可借助同步的聊天工具（如MicrosoftNetmeeting）指的是及时地与对方联系互动；异步（可借助异步的讯息传送工具如电子邮件）则表示沟通行为可以不在同一时间点进行。虚拟企业知识的需求分析与知识模式设计(1)虚拟企业流程模式分析：以标准化的表示法(IDEF0)来界定出虚拟企业流程中每一活动所产出以及需要的知识类别(KnowledgeClass，KC)。(2)知识个体的分析：分析出知识个体的属性(Attributes)与语意(Semantics)；分析出知识个体的关系9Relationship)及其属性。(3)知识的表达。利用物件导向式知识表达法来呈现对知识类别分析的结果。以Data与KnowledgeAbstraction的概念与方法来建立单一知识个体层次概念表示法，并利用物件导向技术对此单一知识个体层次概念表示法进行物件模式化。(4)知识模式的建立。集结所有的知识个体并且建立一包含所有知识个体层次概念模式，再利用物件导向技术对此概念模式进行物件模式化，并结合前面对知识个体分析的结果以及利用物件导向分析与设计的方法来进行知识的搜寻与整合，进而得到一个知识搜寻与整合的物件模式，以便具体地描述知识个体间动态与静态的关系。协同式知识管理系统架构设计及系统模式分析与设计(1)根据虚拟企业对知识管理的需求为基础，设计一协同式知识管理系统架构。(2)依据所设计的知识管理系统架构，利用统一模式化语言（UnifiedModelingLanguage，UML）及物件导向分析、设计方法与技术来进行系统模式化分析与设计。依照研究项目与方法，本研究步骤共分成领域研究、业界所提知识管理系统架构分析与探讨、虚拟企业知识管理需求分析(知识界定、分析、表达与模式建立)、协同式知识管理系统架构设计以及系统实作知识管理系统实体架构(1)展现层。在展现层中，使用者可通过多种方式与知识管理服务器沟通；展现层与商业逻辑层的主要沟通组件为智能型沟通人。(2)商业逻辑层。知识管理服务器是架构在商业逻辑层，主要是扮演着表示层与资料存取层中介者的角色，负责协调知识组件的存取。(3)在知识管理服务器中，包含了几个组件：沟通服务器，负责与展现层中的人沟通的执行程序，其处理有关知识储存、分享、搜寻等知识组件维护的相关要求；协调者，主要处理表示层与数据存取层的间知识组件存取的协调工作；XML产生器、人管理员，负责管理所有的行动人。(4)资料存取层。每一个知识库中，皆包含三个重要组件：知识人、XML剖析器、知识搜索引擎。知识人为一智能型人，初次启动，必须先向商业逻辑层的人管理者注册，即新增一个数据库。

安全性分析

篇3

关键词：设计与实现；系统；监控管理；网络安全

中图分类号：TP393.08

随着现代科技的发展和计算机网络的高速普及，网络的覆盖不断的扩大，节点不断的增多。网络发展的迅速，就给人们带来了一些管理和维护的方面的一些问题，而网络安全这个问题，也是对于维护人员的考验之一。目前网络中经常，也是主要遇到的问题，便是网络管理的难度相对较大，所带来的工作量也会随之加大；网络上的信息量多大，不能对没一条信息进行逐步有效的监管和统计，所以对于一些警报和定位的问题，修复起来就会很费时间和人力，也会出现维护不及时的问题；由于信息的产生很快，和统计的一些不足，导致无法集中智能的处理和筛选。这篇文章主要是就网络监控安全系统的管理和实现进行一个简要的分析。

1 网络管理与设计

1.1 网络管理的意义概念

网络管理就是用某一种方式方法来对网络来进行管理，让网络能够正常并且有效的运行。这样做的目的是对网络中的信息资源的利用扩大到最大化，从实际操作上来讲，管理可以是对主干网络进行管理，可以是对接收的端口来进行管理，也可以是对于网络资源的信息管理。网络信息安全的管理软件的发展，从单方面维护到对网络信息的整理，经历了不少的过程，做这个软件应该考虑到，对于信息的整理和分析，达到真正的网络高效的管理。

1.2 网络监控管理系统的设计原则

依照当今的市场主流思想，这个系统应当是一个在实现过程中简单可靠，并且实用的软件。依据这个原则，需要做的便是要研究当下的计算机网络技术和网络技术，对这个软件尽可能的使用成熟先进的主流技术。研究网络信息中心的需求，对需求和特点进行分析。对于其他的一些网络监管系统进行对比和创新，将不足的地方进行简化修改和修复。优化该系统，让这个系统的资源占用小，被监管资源也能够监管到位，可操作性强，方便，实用，可靠，简单。

1.3 网络监控管理系统的制作目标

网络监管系统是为了让人能够更好的对网络进行管理，一般而言，对于系统所需要达到的目的是根据客户要求要做的。而一般系统中，都有一些通用的目标特点。能够远程的操控和维护该系统，操作性强，能够跨平台的运行其主要的运用和服务。遇到漏洞或错误能够自动的修复，能够24小时自动对监控对象进行管理。方便使用系统中的功能，易于操作并且拥有一定的课扩展性，还能提供比较全面的报表。

2 网络监控管理系统的结构

2.1 系统的主要结构

就系统来说，大致可以分为两个部分，也就是后台数据采集和前台的监控。后台数据采集考虑到它的安全性，采用的一般都是独立运行。后台数据采集是非常重要的，主要影响到了呼气的数据的整理，独立性能减少被攻击的可能，使系统更加的安全。前台的监管系统来说，主要是连接网络设备和洽谈的资源。用来管理资源。

2.2 网络设备的管理

在网络发现模块传送到了计算机内的时候，能够通过网络的设备所连接到的所有的客户端口，可以在端口中建立新的管理属性。例如将主机、服务器等设备，通过传送到网络管理模块，来新添加管理的属性，例如联系人、负责人等信息。

2.3 服务器管理模块

因为服务器十分的主要，所有这个要作为一个单独的管理模块，服务器管理模块，是被管理的一个部分。对于windows的系统的服务器来说，可以用基于windows系统的WMI技术，可以周期性的采集服务器的处理类、IP包类、网络接口类、DUP包类、内存类、物理储存类、TCP包类、服务类等，以及被管理的计算机的运行基本状况信息，例如内存占用率、网络占用率等，在此同时，也能够对服务器进行远程的控制，例如开关机等。而对于不是windows的系统来说呢，一般用到的是SNMP协议的管理，这个协议的管理是基础WMI的技术而言的。

2.4 网络的接入管理模块。

这里对于网络接入的管理，是采用的IP和MAC地址绑定的方法来实现的。对网络接入管理有特殊的要求的情况下来说，可以用来读取被接入的网络设备，就像，交换机IP，同时记录的了IP地主和MAC地址，如果在意外中发现了接入设备的地址，不论是IP地址还是MAC地址，和之前的不同，就可以发送信息到总计，并且能够关闭端口或者是报警等等可以设置的措施。对于安全性来说是必不可少的。

4 系统的主要特点

4.1 可应用于多个平台

这个系统可一用到各种不同的平台之中，增加了系统的运用率。可以用于LINUX、windows、NT、Unix等平台，使不同的客户能够根据实际的情况来选择不同的平台下的本产品，而且由于通用性好，在端口服务中，能够进行远程的操控。满足多端口控制，也能够进行自动化的集中的监控和管理，使用起来更便捷。

4.2 完善的数据库

系统能够对于采集来的信息数据进行缉拿单的分化操作，支持多种数据库。由于后台的独立性，能够最大化的保证他的安全性，减少访问次数，也能够减少它的内存占用率，让它运行起来更流畅，也能对恶意攻击的系统进行屏蔽。

4.3 提供图纸

能够直观的生成系统检测图，从任意一个模块开始，搜索整个的网络，用来寻找和发现数据，快速并方便的自动管理网络设备和信息数据，并传送到端口。能够对于每一个系统进行监控，能够及时的发现软件是否运行正常，管理人员也能够快速的对其进行定位和使用。

5 结束语

近年来，随着信息技术的进步和网络的发展，网络监管安全系统能够使使用人员能够快速、方便、安全的对系统数据进行分析和管理。同时也能够及时的对各个运行的软件和系统进行自动修复，能够稳定高效的运行，同时保障系统的安全。可以说在这个科技高速发展的今天，这种方便、安全的系统的出现是必然的。

参考文献：

[1]陈兵，土立松.基于立气层架构的网络拓扑结构发现[J].计算机应用，2002，22（6）.

[2]刘妹，李成忠.网络自动拓扑发现算法的研究与设计[J].计算机应用研究，2002，2.

[3]邱林，张建忠.基厂端日流量的物理网络拓扑发现方法研究[J].计算机工程与应用，2002，22.

[4]李天剑，曾文方.扑图自动构造的研究与实现[J].计算机T程与设计，2001，2（l）.

篇4

关键词：压力容器压力管；3G无线网络技术；安全监控

中图分类号：TP277 文献标识码：A 文章编号：1007-9599 （2013） 01-0235-02

1 引言

压力容器及压力管道具有一定的爆炸危险性，是化工企业生产中的重要设备，随着我国经济的持续快速发展，它在我们生产和生活中的应用日益广泛。安全生产是企业生存的核心，加强压力容器及压力管道的监控对企业的安全生产就显得特别重要。当前各生产企业对压力容器的安全监控仅仅停留在规章制度的制定及操作规程的设计层次，对安全的监控集中在对人的管理方面，系统性的安全监控平台还没有得到普遍应用。

宜化集团现有几十个子公司，仅股份公司就有近一千五百个压力容器及三千五百个压力管道，任何一个设备发生的任何一次事故都牵动着管理者的神经。加强对这些压力设备的监控刻不容缓。

压力容器安全性的检测是由全国各地的特种设备检验所负责的，有部分特种设备检验所在研发类似的监控装置。但这些监控装置只能针对某些特定的设备，不具有对企业所有压力设备进行全面监控的能力。

大多数企业在对压力容器进行监控还是采用传统的办法：一是请特种设备检验所来对某些设备进行定期“体检”；二是安排专门管理设备的工作人员运用特殊的检测工具对特定设备进行自检；三是各工段的工作人员经常性的巡视登录各仪器仪表的计数。这种管理办法费时费力，还容易遗漏。本项目的研发能够极大地提高工作效率，对压力容器及压力管道的安全运行提供良好的保证。

2 基本思路

运用先进的信息技术以及各种传感器，将压力容器检测仪器设备的信号自动或者人工方式采集到计算机或智能手机中，在3G无线网中，或者在互联网中，将压力容器的检测数据自动接入相应的压力容器监控软件系统，依据系统预先设计的数学模型，自动对检测数据进行判定，并给出相应的报警信息，从而实现对压力容器安全状态的全面电子化管理。本项目产品适用于各种使用到压力容器的生产企业；以及生产压力监测仪器仪表的生产企业对检测设备的数字化改造与信息自动采集。

3 技术来源与基础

本项目的全部技术均为自主研发，拥有完全自主知识产权和核心竞争力。项目的软件部分建立在微软.Net框架基础之上，采用C#语言编程，浏览器/服务器模式，多层架构体系，能够较好的满足开发的要求。宜化股份公司是一资深的化工生产企业，在企业安全生产方面积累了丰富的生产经验，企业拥有一批优秀的设备管理方面的专家，有一些先进的检测仪器设备，能够在硬件方面为安全监控平台的建立提供的支撑。

压力容器安全监控平台

5 关键技术

条形码是指由一组规则排列的条、空及其对应字符组成的标识，用以表示一定的商品信息的符号。其中条为深色、空为纳色，用于条形码识读设备的扫描识读。其对应字符由一组阿拉伯数字组成，供人们直接识读或通过键盘向计算机输人数据使用。这一组条空和相应的字符所表示的信息是相同的。

条形码技术是随着计算机与信息技术的发展和应用而诞生的，它是集编码、印刷、识别、数据采集和处理于一身的新型技术。使用条形码扫描是今后设备识别的大趋势。目前世界上常用的码制有ENA条形码、UPC条形码、二五条形码、交叉二五条形码、库德巴条形码、三九条形码和128条形码等。

智能手机具有独立的操作系统，像个人电脑一样能够在其中开发应用程序，同时可通过移动通讯网络来实现无线网络接入。目前，全球多数手机厂商都有智能手机产品，而芬兰诺基亚、美国苹果、加拿大RIM（黑莓）、美国摩托罗拉、中国台湾宏达（htc）更是智能机中的佼佼者。

在3G全面普及的今天，将通过3G无线网，在压力容器运行现场与安全监控中心构建一个无缝的宽带网，运行现场的检测数据能以文字、视频、音频等方式直接上传数据中心，从而实现对生产现场检测的有效监管。

6 结束语

本项目完全采用面向对象的分析方法开发，精心设计系统架构。目前的“宜化集团压力容器管道监控系统”已经过客户近三年的使用，从宜化集团下属十个企业中的使用情况来看，系统运行情况良好，能够很好地满足企业管理的需要。

本项目的应用将极大的提升化工企业的信息化管理水平，与电子化管理相适应的，将大大促进压力容器检测仪器设备向小型化、数字化方向的发展，带动以嵌入式软件为核心的检测仪器设备的快速发展。

伴随宜化集团的发展壮大，压力容器安全监控平台必将在北京、湖北、湖南、河南、河北、云南、重庆、贵州、四川、山西、内蒙、新疆、宁夏、青海、黑龙江、越南等地得到应用。它将为各地的化工企业搭建全面信息化管理系统提供样板工程。

本项目经过适当修改，也可适用于其它各类生产企业的安全管理。因此，本项目的应用范围极其广泛，有很大的上升空间。

参考文献：

[1]梁润华，高峰，林都.压力容器检验信息系统的开发与设计[J].机械管理开发，2006，2.

[2]祝勇仁，邹金桥，曹焕亚.锅炉压力容器CAPP系统开发平台的研究[J].研究探讨，2005.

篇5

1网络安全事件关联与态势评测技术国内外发展现状

网络安全态势评估与态势评测技术的研究在国外发展较早，最早的态势感知的定义是在1988年由Endley提出的。它最初是指在特定的时间、空间范围内，对周边的环境进行感知，从而对事物的发展方向进行评测。我国对于网络安全事件关联细分与态势评测技术起步较晚，但是国内的高校和科研机构都积极参与，并取得了不错的成果。哈尔滨工业大学的教授建立了基于异质多传感器融合的网络安全态势感知模型，并采用灰色理论，对各个关键性能指标的变化进行关联分析，从而对网络系统态势变化进行综合评估。中国科技大学等人提出基于日志审计与性能修正算法的网络安全态势评估模型，国防科技大学也提出大规模网络安全态势评估模型。这些都预示着，我国的网络安全事件关联分析与态势评测技术研究有了一个新的进步，无论是大规模网络还是态势感知，都可以做到快速反应，提高网络防御能力与应急响应处理能力，有着极高的实用价值[1]。

2网络安全事件关联分析技术概述

近年来，网络安全一直遭受到黑客攻击、病毒、漏洞等威胁，严重影响着网络的运行安全。社会各界也对其极为重视，并采用相应技术来保障网络系统的安全运行。比如Firewall，IDS，漏洞扫描，安全审计等。这些设备功能单一，是独立的个体，不能协同工作。这样直接导致安全事件中的事件冗余，系统反应慢，重复报警等情况越来越严重。加上网络规模的逐渐增加，数据报警信息又多，管理员很难一一进行处理，这样就导致报警的真实有效性受到影响，信息中隐藏的攻击意图更难发现。在实际操作中，安全事件是存在关联关系，不是孤立产生的。网络安全事件关联分析就是通过对各个事件之间进行有效的关联，从而将原来的网络安全事件数据进行处理，通过过滤、发掘等数据事件之间的关联关系，才能为网络管理人员提供更为可靠、有价值的数据信息。近年来，社会各界对于网络安全事件的关联分析更为重视，已经成为网络安全研究中必要的一部分，并取得了相应的成果。在一定程度上，缩减网络安全事件的数量，为网络安全态势评估提供有效的数据支持。2.1网络安全数据的预处理。由于网络复杂多样，在进行安全数据的采集中，采集到的数据形式也是多种多样，格式复杂，并且存在大量的冗余信息。使用这样的数据进行网络安全态势的分析，自然不会取得很有价值的结果。为了提高数据分析的准确性，就必须提高数据质量，因此就要求对采集到的原始数据进行预处理。常用的数据预处理方式分为3种：（1）数据清洗。将残缺的数据进行填充，对噪声数据进行降噪处理，当数据不一致的时候，要进行纠错。（2）数据集成。网络结构复杂，安全信息的来源也复杂，这就需要对采集到的数据进行集成处理，使它们的结构保持一致，并且将其存储在相同的数据系统中。（3）将数据进行规范变化。2.2网络安全态势指标提取。构建合理的安全态势指标体系是对网络安全态势进行合理评估和预测的必要条件。采用不同的算法和模型，对权值评估可以产生不同的评估结果。网络的复杂性，使得数据采集复杂多变，而且存在大量冗余和噪音，如果不对其进行处理，就会导致在关联分析时，耗时耗力，而且得不出理想的结果。这就需要一个合理的指标体系对网络状态进行分析处理，发现真正的攻击，提高评估和预测的准确性。想要提高对网络安全状态的评估和预测，就需要对数据信息进行充分了解，剔除冗余，找出所需要的信息，提高态势分析效率，减轻系统负担。在进行网络安全要素指标的提取时要统筹考虑，数据指标要全面而非单一，指标的提取要遵循4个原则：危险性、可靠性、脆弱性和可用性[2]。2.3网络安全事件关联分析。网络数据具有不确定性、不完整性、变异性和模糊性的特点，就导致事件的冗余，不利于事件关联分析，而且数据量极大，事件繁多，网络管理人员对其处理也极为不便。为了对其进行更好的分析和处理，就需要对其进行数据预处理。在进行数据预处理时要统筹考虑，分析网络安全事件的关联性，并对其类似的进行合并，减少重复报警概率，从而提高网络安全状态评估的有效性。常见的关联办法有因果关联、属性关联等。

3网络安全态势评测技术概述

网络安全态势是一个全局的概念，是指在网络运行中，对引起网络安全态势发生变化的网络状态信息进行采集，并对其进行分析、理解、处理以及评测的一个发展趋势。网络安全态势是网络运行状态的一个折射，根据网络的历史状态等可以预测网络的未来状态。网络态势分析的数据有网络设备、日志文件、监控软件等。通过这些信息对其关联分析，可以及时了解网络的运行状态。网络安全态势技术分析首先要对网络环境进行检测，然而影响网络安全的环境很是复杂，时间、空间都存在，因此对信息进行采集之后，要对其进行分类、合并。然后对处理后的信息进行关联分析和态势评测，从而对未来的网络安全态势进行预测。3.1网络安全态势分析。网络安全态势技术研究分为态势获取、理解、评估、预测。态势的获取是指收集网络环境中的信息，这些数据信息是态势预测的前提。并且将采集到的数据进行分析，理解他们之间的相关性，并依据确定的指标体系，进行定量分析，寻找其中的问题，提出相应的解决办法。态势预测就是根据获取的信息进行整理、分析、理解，从而来预测事物的未来发展趋势，这也是网络态势评测技术的最终目的。只有充分了解网络安全事件关联与未来的发展趋势，才能对复杂的网络环境存在的安全问题进行预防，最大程度保证网络的安全运行。3.2网络安全态势评测模型。网络安全态势评测离不开网络安全态势评测模型，不同的需求会有不同的结果。网络安全态势评测技术具备较强的主观性，而且复杂多样。对于网络管理员来说，他们注意的是网络的运行状态，因此在评测的时候，主要针对网络入侵和漏洞识别。对于银行系统来说，数据是最重要的，对于军事部门，保密是第一位的。因此网络安全状态不能采用单一的模型，要根据用户的需求来选取合适的需求。现在也有多种态势评测模型，比如应用在入侵检测的Bass。3.3网络安全态势评估与预测。网络安全态势评估主要是对网络的安全状态进行综合评估，使网络管理者可以根据评估数据有目标地进行预防和保护操作，最常用的态势评估方法是神经网络、模糊推理等。网络安全态势预测的主要问题是主动防护，对危害信息进行阻拦，预测将来可能受到的网络危害，并提出相应对策。目前常用的预测技术有很多，比如时间序列和Kalman算法等，大概有40余种。他们根据自身的拓扑结构，又可以分为两类：没有反馈的前馈网络和变换状态进行信息处理的反馈网络。其中BP网络就属于前者，而Elman神经网络属于后者[3]。

4网络安全事件特征提取和关联分析研究

在构建网络安全态势指标体系时，要遵循全面、客观和易操作的原则。在对网络安全事件特征提取时，要找出最能反映安全态势的指标，对网络安全态势进行分析预测。网络安全事件可以从网络威胁性信息中选取，通过端口扫描、监听等方式进行数据采集。并利用现有的软件进行扫描，采集网络流量信息，找出流量的异常变化，从而发现网络潜在的威胁。其次就是利用简单网络管理协议（SimpleNetworkManagementProtocol，SNMP）来进行网络和主机状态信息的采集，查看带宽和CPU的利用率，从而找出问题所在。除了这些，还有服务状态信息、链路状态信息和资源配置信息等[4]。

5结语

近年来，随着科技的快速发展，互联网技术得到了一个质的飞跃。互联网渗透到人们的生活中，成为人们工作、生活不可或缺的一部分，而且随着个人计算机的普及应用，使得网络的规模也逐渐增大，互联网进入了大数据时代。数据信息的重要性与日俱增，同时网络安全问题越来越严重。黑客攻击、病毒感染等一些恶意入侵破坏网络的正常运行，威胁信息的安全，从而影响着社会的和谐稳定。因此，网络管理人员对当前技术进行深入的研究，及时掌控技术的局面，并对未来的发展作出正确的预测是非常有必要的。

作者:李胜军 单位:吉林省经济管理干部学院

[参考文献]

[1]赵国生，王慧强，王健.基于灰色关联分析的网络可生存性态势评估研究[J].小型微型计算机系统，2006（10）：1861-1864.

[2]刘效武，王慧强.基于异质多传感器融合的网络安全态势感知模型[J].计算机科学，2008（8）：69-73.

篇6

【关键词】网络安全；管理技术；应用

1网络安全管理要素

目前，随着互联网的普及与发展，人们对网络的应用越来越广泛，对网络安全的意识也不断增强，尤其是对于企业而言，网络安全管理一直以来都存在诸多问题。网络安全管理涉及到的要素非常多，例如安全策略、安全配置、安全事件以及安全事故等等，这些要素对于网络安全管理而言有着重大影响，针对这些网络安全管理要素的分析与研究具有十分重要的意义。

1.1安全策略

网络安全的核心在于安全策略。在网络系统安全建立的过程中，安全策略具有重要的指导性作用。通过安全策略，可以网络系统的建立的安全性、资源保护以及资源保护方式予以明确。作为重要的规则，安全策略对于网络系统安全而言有着重要的控制作用。换言之，就是指以安全需求、安全威胁来源以及组织机构状况为出发点，对安全对象、状态以及应对方法进行明确定义。在网络系统安全检查过程中，安全策略具有重要且唯一的参考意义。网络系统的安全性、安全状况以及安全方法，都只有参考安全策略。作为重要的标准规范，相关工作人员必须对安全策略有一个深入的认识与理解。工作人员必须采用正确的方法，利用有关途径，对安全策略及其制定进行了解，并在安全策略系统下接受培训。同时，安全策略的一致性管理与生命周期管理的重要性不言而喻，必须确保不同的安全策略的和谐、一致，使矛盾得以有效避免，否则将会导致其失去实际意义，难以充分发挥作用。安全策略具有多样性，并非一成不变，在科学技术不断发展的背景下，为了保证安全策略的时效性，需要对此进行不断调整与更新。只有在先进技术手段与管理方法的支持下，安全策略才能够充分发挥作用。

1.2安全配置

从微观上来讲，实现安全策略的重要前提就是合理的安全配置。安全配置指的是安全设备相关配置的构建，例如安全设备、系统安全规则等等。安全配置涉及到的内容比较广泛，例如防火墙系统。VPN系统、入侵检测系统等等，这些系统的安全配置及其优化对于安全策略的有效实施具有十分重要的意义。安全配置水平在很大程度上决定了安全系统的作用是否能够发挥。合理、科学的安全配置能够使安全系统及设备的作用得到充分体现，能够很好的符合安全策略的需求。如果安全配置不当，那么就会导致安全系统设备缺乏实际意义，难以发挥作用，情况严重时还会产生消极影响。例如降低网络的流畅性以及网络运行效率等等。安全配置的管理与控制至关重要，任何人对其随意更改都会产生严重的影响。并且备案工作对于安全配置也非常重要，应做好定期更新工作，并进行及时检查，确保其能够将安全策略的需求能够反映出来，为相关工作人员工作的开展提供可靠的依据。

1.3安全事件

所谓的安全事件，指的是对计算机系统或网络安全造成不良影响的行为。在计算机与域网络中，这些行为都能够被观察与发现。其中破坏系统、网络中IP包的泛滥以及在未经授权的情况下对另一个用户的账户或系统特殊权限的篡改导致数据被破坏等都属于恶意行为。一方面，计算机系统与网络安全指的是计算机系统与网络数据、信息的保密性与完整性以及应用、服务于网络等的可用性。另一方面，在网络发展过程中，网络安全事件越来越频繁，违反既定安全策略的不在预料之内的对系统与网络使用、访问等行为都在安全事件的范畴之内。安全事件是指与安全策略要求相违背的行为。安全事件涉及到的内容比较广泛，包括安全系统与设备、网络设备、操作系统、数据库系统以及应用系统的日志与之间等等。安全事件将网络、操作以及应用系统的安全情况与发展直接的反映了出来，对于网络系统而言，其安全状况可以通过安全事件得到充分体现。在安全管理中，安全事件的重要性不言而喻，安全事件的特点在于数量多、分布散、技术复杂等。因此，在安全事件管理中往往存在诸多难题。在工作实践中，不同的管理人员负责不同的系统管理。由于日志与安全事件数量庞大，系统安全管理人员往往难以全面观察与分析，安全系统与设备的安全缺乏实际意义，其作用也没有得到充分发挥。安全事件造成的影响有可能比较小，然而网络安全状况与发展趋势在很大程度上受到这一要素的影响。必须采用相应的方法对安全事件进行收集，通过数据挖掘、信息融合等方法，对其进行冗余处理与综合分析，以此来确定对网络、操作系统、应用系统产生影响的安全事件，即安全事故。

1.4安全事故

安全事故如果产生了一定的影响并造成了损失，就被称为安全事故。如果有安全事故发生那么网络安全管理人员就必须针对此采取一定的应对措施，使事故造成的影响以及损失得到有效控制。安全事故的处理应具有准确性、及时性，相关工作人员应针对事故发生各方面要素进行分析，发现事故产生的原因，以此来实现对安全事故的有效处理。在安全事故的处理中，应对信息资源库加以利用，对事故现场系统或设备情况进行了解，如此才能够针对实际情况采取有效的技术手段，使安全事故产生的影响得到有效控制。

1.5用户身份管理

在统一网络安全管理体系中，用户管理身份系统占据着重要地位。最终用户是用户身份管理的主要对象，通过这部分系统，最终用户可以获取集中的身份鉴别中心功能。在登录网络或者对网络资源进行使用的过程中，身份管理系统会鉴别用户身份，以此保障用户的安全。

2企业网络安全方案研究

本文以某卷烟厂网络安全方案为例，针对网络安全技术在OSS中的应用进行分析。该企业属于生产型企业，其网络安全部署图具体如图1所示。该企业网络安全管理中，采用针对性的安全部署策略，采用安全信息收集与信息综合的方法实施网络安全管理。在网络设备方面，作为网络设备安全的基本防护方法：①对设备进行合理配置，为设备所需的必要服务进行开放，仅运行指定人员的访问；②该企业对设备厂商的漏洞予以高度关注，对网络设备补丁进行及时安装；③全部网络设备的密码会定期更换，并且密码具有一定的复杂程度，其破解存在一定难度；④该企业对设备维护有着高度重视，采取合理方法，为网络设备运营的稳定性提供了强有力的保障。在企业数据方面，对于企业而言，网络安全的实施主要是为了病毒威胁的预防，以及数据安全的保护。作为企业核心内容之一，尤其是对于高科技企业而言，数据的重要性不言而喻。为此，企业内部对数据安全的保护有着高度重视。站在企业的角度，该企业安排特定的专业技术人员对数据进行观察，为数据的有效利用提供强有力的保障。同时，针对于业务无关的人员，该企业禁止其对数据进行查看，具体采用的方法如下：①采用加密方法处理总公司与子公司之间传输的数据。现阶段，很多大中型企业在各地区都设有分支机构，该卷烟厂也不例外，企业核心信息在公司之间传输，为了预防非法人员查看，其发送必须采取加密处理。并且，采用Internet进行邮件发送的方式被严令禁止；②为了确保公司内部人员对数据进行私自复制并带出公司的情况得到控制，该企业构建了客户端软件系统。该系统不具备U盘、移动硬盘灯功能，无线、蓝牙等设备也无法使用，如此一来，内部用户将数据私自带出的情况就能够得到有效避免。此外，该企业针对办公软件加密系统进行构建，对办公文档加以制定，非制定权限人员不得查看。在内部网络安全上，为了使外部网络入侵得到有效控制，企业采取了防火墙安装的方法，然而在网络内部入侵上，该方法显然无法应对。因此，该企业针对其性质进行细致分析，采取了内部网络安全的应对方法。企业内部网络可以分为两种，即办公网络与生产网络。前者可以对Internet进行访问，存在较大安全隐患，而后者则只需将内部服务器进行连接，无需对Internet进行访问。二者针对防火墙系统隔离进行搭建，使生产网络得到最大限度的保护，为公司核心业务的运行提供保障。为了使网络故障影响得到有效控制，应对网络区域进行划分，可以对VLAN加以利用，隔离不同的网络区域，并在其中进行安全策略的设置，使区域间影响得到分隔，确保任何一个VLAN的故障不会对其他VLAN造成影响。在客户端安全管理方面，该企业具有较多客户端，大部分都属于windows操作系统，其逐一管理难度打，因此企业内部采用Windows组侧策略对客户端进行管理。在生产使用的客户端上，作业人员的操作相对简单，只需要利用严格的限制手段，就可以实现对客户端的安全管理。

参考文献

[1]崔小龙.论网络安全中计算机信息管理技术的应用[J].计算机光盘软件与应用，2014（20）：181~182.

[2]何晓冬.浅谈计算机信息管理技术在网络安全中的应用[J].长春教育学院学报，2015（11）：61~62.

[3]刘睿.计算机信息管理技术在网络安全应用中的研究[J].科技创新与应用，2013（30）：71.

篇7

关键词：网络安全事件；应急响应；联动系统

一、应急响应的技术特点

网络安全事件指影响计算机系统与网络安全的不正当行为。网络安全事件一般在很短时间内产生，且引起的损失巨大。应对网络事件关键是速度与效率。应急响应（即“Incident Response），指某组织为了应对意外事件发生所做的准备及事件发生后采取的措施。本文网络安全事件的应急响应则指应急响应组织根据对可能情况的准备，在网络安全事件发生后，尽快作出正确反应，减少损失或尽快恢复正常运行，追踪攻击者，搜集证据直至采取法律措施等行动。网络安全事件应急响应的对象，又称应急响应的客体，指：针对计算机与网络信息的安全事件。除了传统的针对保密性、完整性和可用性分类外，广义上应急响应的对象还包括：扫描等违反安全政策的事件。应急响应过程包含三种角色：事件发起者、事件受害者与应急响应的人员。应急响应是被动性的安全体系。它的作用主要表现：1、事先的充分准备；2、事件发生后的采取的抑制、根除和恢复等措施。

（一）入侵检测

应急响应由事件引发，同时发现事件依靠检测手段。入侵检测技术指由系统自动完成的检测，是目前最主要检测手段（IDS）。

（二）事件隔离与快速恢复

首先，在检测基础上，确定事件类型和攻击源后，对于安全性、保密性要求高的环境，应及时隔离攻击源，制止事件影响进一步恶化；其次，对外提供不可中断服务的环境，如运营平台、门户网站等，应急响应过程应侧重考虑尽快恢复系统并使之正常运行。这其中涉及事件优先级认定、完整性检测及域名切换等技术。

（三）网络追踪和定位

确定攻击者网络地址及辗转攻击路径，在现在的TCP/IP网络基础设备上网络追踪及定位很困难；新的源地址确认的路由器虽然能够解决问题，但它与现在网络隐私保护存在矛盾。

（四）取证技术

取证是一门针对不同情况要求灵活处理的技术，它要求实施者全面、详细的了解系统、网络和应用软件的使用与运行状态，对人的要求十分的高(这一点与应急响应本身的情况类似)。目前主要的取证对象是各种日志的审计，但并不是绝对的，取证可能来自任何一点蛛丝马迹。但是在目前的情况下，海量的日志信息为取证造成的麻烦越来越大。

二、网络安全事件应急响应联动系统模型

网络安全事件应急响应联动系统模型是从应急响应组及协调中心发展起来的一套应急响应联动体系。它立足于协调地理分布的人力与信息等资源，协同应对网络安全事件，属于应急响应组织发展后期的组织形式。联动含义：1、组织间的协作；2、功能上统一；3、网络安全策略上联合。

（一）联动系统的体系结构

图1  联动系统的体系结构

1、应急响应协调中心。是信息共享、交换与分析中心，负责协调体系正常运行，属于联动系统的核心。

2、应急响应组。应急响应组以应对网络安全事件为目标，根据技术力量与资源状况设置机构，甚至承担部分协调中心功能。

3、客户。客户方应在应急响应组协助下进行风险分析、建立安全政策与设立联系人员，增强自身主动防御能力及采取合理措施能力。

（二）应急响应协调中心

应急响应组织具备四核心功能：分类、事件响应、公告与反馈；与此同时还具有非核心功能：分析、信息整理、研发、教育及推广。

图2 应急响应协调中心机构设置

1、研发。研发部门，也是实验部门，主要负责研究安全技术与安全工具，以及与网络相关的技术测试、系统测试、产品测试、漏洞测试等。

2、专家顾问。技术专家对于确定研究与形势影响很大。法律顾问与客户、其他应急响应组织的合作及与法律部门、新闻媒体等合作应有法律依据。

3、信息整理与事件跟踪。体系内的具备ISAC功能机构，该部门承担着公告、反馈和信息整理的功能，在研发机构协助下实现信息资源（包括漏洞及补丁信息、新闻动态、技术文献资料、法律法规、公告、安全警报、安全政策、建议等）共享，;还应提供网站资源链接，常见问题(FAQ)，常用工具，技术论坛与事件及漏洞的上报渠道等。

4、应急响应。是一线应对事件的机构。响应是联动系统的根本任务，但是联动系统的响应人员在响应过程中可得到体系援助，使应急响应更及时有效。

5、联络。协调应急响应组、应对事件的联动响应及与客户联络。联络中心应具有对应急响应组的约束力，并与该部门承担应急响应功能。

6、培训。包括对组织内人员的技术培训、固定客户的技术支持与培训和面向社会的安全培训三个方面，是保持体系键康发展，提高客户合作能力的机构。

7、公共关系。负责处理应急响应不能回避的与法律组织、媒体、行政部门、科研组织等实体的关系，以及与其他应急响应组织间的联络与合作;承担部分推广的功能。

8、管理机构。协调中心及联动系统运作。

（三）联动系统的功能

联动系统功能包括两方面:1、提供安全事件的应急响应服务；2、信息共享、交换与分析。两功能互相融合、取长补短，使应急响应更加高效、便捷。

1、协调应急响应。在事件响应过程中，响应人员通过网络或传真方式向组织报告事件详细信息，并取得帮助与建议，最终完成响应。依靠资源共享与联动响应期间各响应组的密切联系，响应过程中响应人员得到的建议。事件响应结束后，响应人员要完成事件跟踪报告与总结，并由中心备案。

2、信息共享、交换和分析。信息整理与公告功能是维护网络安全的主动防线。中心通过对组织的安全信息进行统计分析，找出易发生的安全事件，并以预警信息结合预防建议的形式，遏制类似事件发生；中心在安全信息整理和共享等的贡献可大提高应急响应质量，对响应人员和客户方的在线帮助意义重大义。

三、模型其它重要内容

（一）应用应急专线与无线通信手段

在报告事件时,受害者的理想方式：通过网络，交互性较强。但为防止网络受到破坏性攻击、须预先设定紧急联系手段。对事件的即时报告、意见反馈、协调中心或其它帮助都通过响应人员与中心联系实现。除应急响应过程中的联系，客户报告事件也应在网络或专用 软件外拥有应急报告方式，比如传真、移动电话。

（二）事件并行处理的协调

协调中心须实现为事件开辟联动空间保证其独立、高效及可持续。

（三）信息共享与隐私保护以及配套法律建设

联动系统的本就是实现质信息共享。敏感信息应予以保护，比如客户声誉、稳私、机密等。联动系统的信息共享不是完全共享，而是多级权限的共享。此外取证效力及责任、损失鉴定及量刑等的配套法律建设不完善，联动系统也应根据实践建立起自身的规范约束。

（四）异地数据备份与同步和自身的健壮性

应急响应联动系统要求一定权限的数据由协调中心及应急响应组互为备份。依靠体系地理分布实现数据异地备份，保证数据安全性。

参考文献：

篇8

关键词：　电力内网；事件关联；分析引擎

0　引言

对电力企业信息内网海量安全事件进行高效、准确的关联分析是实现电力企业网络安全设备联动的前提，而如何设计与实现一个高效的电力企业安全事件关联分析引擎正是电力企业信息内网安全事件关联分析应该解决的关键问题。

1　安全事件关联分析研究现状及存在的问题

关联分析在网络安全领域中是指对网络全局的安全事件数据进行自动、连续分析，通过与用户定义的、可配置的规则匹配来识别网络潜在的威胁和复杂的攻击模式，从而发现真正的安全风险，达到对当前安全态势的准确、实时评估，并根据预先制定策略做出快速的响应，以方便管理人员全面监控网络安全状况的技术。关联分析可以提高网络安全防护效率和防御能力，并为安全管理和应急响应提供重要的技术支持。关联分析主要解决以下几个问题：

1）为避免产生虚警，将单个报警事件与可能的安全场景联系起来；

2）为避免重复报警，对相同、相近的报警事件进行处理；

3）为达到识别有计划攻击的目的，增加攻击检测率，对深层次、复杂的攻击行为进行挖掘；

4）提高分析的实时性，以便于及时进行响应。

2　安全事件关联分析引擎的设计

安全事件关联分析方法包括离线分析和在线分析两种。离线分析是在事件发生后通过对日志信息的提取和分析，再现入侵过程，为入侵提供证据，其优点是对系统性能要求不高，但是实时性比较低，不能在入侵的第一时间做出响应。在线分析是对安全事件进行实时分析，虽然其对系统性能要求比较高，但是可以实时发现攻击行为并实现及时响应。由于电力工业的特点决定了电力企业信息内网安全不仅具有一般企业内网安全的特征，而且还关系到电力实时运行控制系统信息的安全，所以对电力企业安全事件的关联分析必须是实时在线的，本文所研究的安全事件关联分析引擎是一个进行在线分析的引擎。

2.1　安全事件关联分析系统

安全事件管理系统是国家电网网络安全设备联运系统的一个子系统，它是将安全事件作为研究对象，实现对安全事件的统一分析和处理，包括安全事件的采集、预处理、关联分析以及关联结果的实时反馈。

内网设备：内网设备主要是电力企业信息内网中需要被管理的对象，包括防病毒服务器、邮件内容审计系统、IDS、路由器等安全设备和网络设备。通过端收集这些设备产生的安全事件，经过预处理后发送到关联分析模块进行关联分析。

事件采集端：主要负责收集和处理事件信息。收集数据是通过Syslog、SNMP　trap、JDBC、ODBC协议主动的与内网设备进行通信，收集安全事件或日志信息。由于不同的安全设备对同一条事件可能产生相同的事件日志，而且格式各异，这就需要在端将数据发送给服务器端前对这些事件进行一些预处理，包括安全事件格式的规范化，事件过滤、以及事件的归并。

关联分析：其功能包括安全事件频繁模式挖掘、关联规则生成以及模式匹配。关联分析方法主要是先利用数据流频繁模式挖掘算法挖掘出频繁模式，再用多模式匹配算法与预先设定的关联规则进行匹配，产生报警响应。

控制台：主要由风险评估、资产管理、报表管理和应急响应中心组成。风险评估主要是通过对日志事件的审计以及关联分析结果，对企业网络设备及业务系统的风险状态进行评估。应急响应中心是根据结合电力企业的特点所制定的安全策略，对于不同的报警进行不同的响应操作。资产管理与报表管理分别完成对电力企业业务系统资产的管理和安全事件的审计查看等功能。另外，对于关联分析模块匹配规则、端过滤规则等的制定和下发等也在控制成。

数据库：数据库包括关联规则库、策略库和安全事件数据库三种。关联规则库用来存储关联分析所必须的关联规则，策略库用来存储策略文件，安全事件数据库用来存储从端获取用于关联的数据、进行关联的中间数据以及关联后结果的数据库。

2.2　关联分析引擎结构

事件关联分析引擎作为安全事件关联分析系统的核心部分，由事件采集、通信模块、关联分析模块和存储模块四部分组成。其工作原理为：首先接收安全事件采集发送来的安全事件，经过预处理后对其进行关联分析，确定安全事件的危害程度，从而进行相应响应。引擎结构如图1所示。

2.3　引擎各模块功能设计

1）事件采集模块。事件日志的采集由事件采集来完成。事件采集是整个系统的重要组成部分，它运行于电力企业内网中各种安全设备、网络设备和系统终端上，包括采集模块、解析模块和通信模块三个部分。它首先利用Syslog、trap、JDBC、ODBC协议从不同安全设备、系统中采集各种安全事件数据，由解析模块进行数据的预处理，然后由通信模块发送到关联分析引擎。

2）事件预处理。由于日志数据来源于交换机、路由器、防火墙、网络操作系统、单机操作系统、防病毒软件以及各类网络管理软件，可能包含噪声数据、空缺数据和不一致数据，这将严重影响数据分析结果的正确性。而通过数据预处理，则可以解决这个问题，达到数据类型相同化、数据格式一致化、数据信息精练化的目的。

事件预处理仍在事件采集中完成，主要包括事件过滤、事件范化和事件归并三部分。

3）事件关联分析模块。事件的属性包括：事件分类、事件严重等级、事件源地址、源端口、目的地址、目的端口、协议、事件发生时间等，这些属性在关联分析时需要用到，故把规则属性集设置为：

各字段分别表示：规则名称、源IP地址、目的IP地址、源端口号、目的端口号、协议、设备编号、事件发生时间、事件严重等级。

该模块将经过处理的海量日志信息数据流在内存中利用滑动窗口处理模型，经过关联分析算法进行关联规则挖掘后，采用高效的模式匹配算法将得到的关联规则与规则库中预先设定的规则进行不断的匹配，以便实时地发现异常行为，为后续告警响应及安全风险分析等提供依据。

3　结束语

本文首先基于引擎的设计背景介绍了引擎的总体结构以及关联分析流程，然后分别给出了事件采集、事件关联分析模块的设计方案，包括模块功能、模块结构以及规则库的设计方案。

参考文献：

[1]熊云艳、毛宜军、丁志，安全事件关联分析引擎的研究与设计，计算机工程，2006，32（13）：280-282.

篇9

关键字：信息系统信息安全身份认证安全检测

一、目前信息系统技术安全的研究

1.信息安全现状分析

随着信息化进程的深入，信息安全己经引起人们的重视，但依然存在不少问题。一是安全技术保障体系尚不完善，许多企业、单位花了大量的金钱购买了信息安全设备，但是技术保障不成体系，达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业、单位信息安全的标准、制度建设滞后。

2003年5月至2004年5月，在7072家被调查单位中有4057家单位发生过信息网络安全事件，占被调查总数的58%。其中，发生过1次的占总数的22%,2次的占13%,3次以上的占23%，此外，有7%的调查对象不清楚是否发生过网络安全事件。从发生安全事件的类型分析，遭受计算机病毒、蠕虫和木马程序破坏的情况最为突出，占安全事件总数的79%，其次是垃圾邮件，占36%，拒绝服务、端口扫描和篡改网页等网络攻击情况也比较突出，共占到总数的43%.

调查结果表明，造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中，由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%，登录密码过于简单或未修改密码导致发生安全事件的占19%.

对于网络安全管理情况的调查:调查表明，近年来，使用单位对信息网络安全管理工作的重视程度普遍提高，80%的被调查单位有专职或兼职的安全管理人员，12%的单位建立了安全组织，有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明，认为单位信息网络安全防护能力“较高”和“一般”的比较多，分别占44%。但是，被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题，也说明目前安全管理水平和社会化服务的程度还比较低。

2.企业信息安全防范的任务

信息安全的任务是多方面的，根据当前信息安全的现状，制定信息安全防范的任务主要是:

从安全技术上，进行全面的安全漏洞检测和分析，针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。

从安全管理上，建立和完善安全管理规范和机制，切实加强和落实安全管理制度，增强安全防范意识。

信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。

二、信息系统常见技术安全漏洞与技术安全隐患

每个系统都有漏洞，不论你在系统安全性上投入多少财力，攻击者仍然可以发现一些可利用的特征和配置缺陷。发现一个已知的漏洞，远比发现一个未知漏洞要容易的多，这就意味着:多数攻击者所利用的都是常见的漏洞。这样的话，采用适当的工具，就能在黑客利用这些常见漏洞之前，查出网络的薄弱之处。漏洞大体上分为以下几大类:

(1)权限攻击。攻击者无须一个账号登录到本地直接获得远程系统的管理员权限，通常通过攻击以root身份执行的有缺陷的系统守护进程来完成。漏洞的绝大部分来源于缓冲区溢出，少部分来自守护进程本身的逻辑缺陷。

(2)读取受限文件。攻击者通过利用某些漏洞，读取系统中他应该没有权限的文件，这些文件通常是安全相关的。这些漏洞的存在可能是文件设置权限不正确，或者是特权进程对文件的不正确处理和意外dumpcore使受限文件的一部份dump到了core文件中.

(3)拒绝服务。攻击者利用这类漏洞，无须登录即可对系统发起拒绝服务攻击，使系统或相关的应用程序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造成的。

(4)口令恢复。因为采用了很弱的口令加密方式，使攻击者可以很容易的分析出口令的加密方法，从而使攻击者通过某种方法得到密码后还原出明文来。

(5)服务器信息泄露。利用这类漏洞，攻击者可以收集到对于进一步攻击系统有用的信息。这类漏洞的产生主要是因为系统程序有缺陷，一般是对错误的不正确处理。

漏洞的存在是个客观事实，但漏洞只能以一定的方式被利用，每个漏洞都要求攻击处于网络空间一个特定的位置，因此按攻击的位置划分，可能的攻击方式分为以下四类:物理接触、主机模式、客户机模式、中间人方式。

三、信息系统的安全防范措施

1.防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为甚。

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用，有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为二大类:分组过滤、应用。 

篇10

信息安全问题的日益复杂，使传统的、将多种安全设备简单堆叠的防护方式很难达到既定的目标。人们逐渐清晰地认识到，安全防护需要一个综合、动态、各单元安全产品间互联、互动、互操作的整体。

在这种背景下，能提供对网络安全设备进行集中管理与配置、对网络安全状况进行检测与控制等功能，并能提高网络运行效率、降低管理成本、实现网络安全可视化管理的安全管理平台已逐渐成为当前社会研究和应用的热点。

需求之殇

网络与信息安全事件的特点在于:突发、多样和不可预知性，往往在短时间内就造成巨大损失。这种特点决定了在信息安全领域，防御要比攻击难得多。防御方需要掌握更全面的系统、软件和网络等知识，甚至要求防御方本身也具有网络攻击的知识和相关经验，达到“知己知彼”的能力和“魔高一尺，道高一丈”的境界。这样高的要求决定了防御方不仅要有很高的技术水平，更需要充分利用所有人力、物力、信息、技术等资源，团结起来应对安全事件。

由于目前各类安全产品和技术的管理复杂性较高，安全本身又具有“木桶效应”，所以如何降低安全管理难度、提高安全管理效率已经成为安全保障中急需要解决的重大问题。因此，无论是最终用户，还是专业技术人员，在进行安全管理时，都需要一种具备能够快捷方便地发现安全事件、及时预警定位、快速响应联动的综合管理系统。当前，网络系统的安全不能仅靠几件相互孤立的安全产品来保证，而需要通过综合使用多种安全产品，配置多种防护技术，构建一套安全体系来实现。但是，由于各种网络安全设备的配置和管理日趋复杂，管理工作也变得越来越困难，于是，安全管理平台就应运而生。

管理之痛

安管平台通过统一的管理中心调用各网络安全产品，对整个网络安全状况进行检测和控制，以提高网络的安全性、可用性和可靠性，在整体上提高网络运行的效率，降低管理成本。安管平台在安全防护系统中起到承上启下作用，是安全产品和安全策略之间的纽带。对于安全管理人员而言，安管平台能够搜集网络中所有安全产品的数据信息，并对这些数据进行汇总和分析处理，把处理后的信息（包括报警信息、历史数据、统计信息等）反馈给安全管理人员。这些信息不是单个设备的信息，而是整个系统的综合安全运行信息。