工业网络安全管理范文
时间:2023-11-19 15:31:43
工业网络安全管理范文第1篇
关键词:网络;安全管理;技术
随着科学技术的迅猛发展,网络信息技术的全球化运转,网络信息技术已经深入了各行各业的运营管理发展中。网络信息技术具有快速、准确、系统等多方面的信息传递优势,运用网络信息技术进行企业经营管理,直接影响了整个企业的经济效益和经营管理效率。但是,随着企业管理网络的不断扩大和衍生,网络安全管理难度系数越来越大,经常会因为各种网络安全问题导致企业网络瘫痪,企业一旦遭遇网络瘫痪的症状,会对企业的经营管理造成极大的影响,直接损坏了企业的经济效益[1]。因此,各企业运营中越来越重视其网络安全管理工作,本文重点分析了网络安全管理技术问题,并提出了解决方案。
1 网络安全管理主要解决的问题
网路安全管理对企业网络系统的正常运营具有重大意义,其安全管理工作包括防火墙的设置、网络密码加密、电子服务器认证系统以及病毒防控等内容,在安全管理工作当中一旦忽略了当中某一个安全管理环节,会导致网络安全出现漏洞,严重影响整个网络系统的正常运营工。因此,如何保证网络安全管理工作备受业界关注。目前网络安全管理工作需要解决的主要问题包括:
⑴进行严密的安全监控是网络安全管理工作的一个重要部分。通过安全监控工作企业可以及时了解企业内部网络的安全状况,一旦出现问题,可以及时发现并采取相应的措施进行监控。
⑵对企业网络进行补丁管理的配置,在网络安全监控工作中一旦出现企业安全漏洞,可以通过补丁快速进行修复,这样一方面可以大大提高网络系统安全防御能力,同时又能较好的控制企业用户的授权问题。
⑶对企业网络进行集中策略的管理,通过以网络系统为主单位,建议一个自上而下的安全管理策略,将安全管理策略融入到企业网络系统的不同执行点当中,对网络安全管理工作具有重要意义。
2 网络安全管理的核心要素
网络安全管理的主要包括安全策略、安全配置以及安全事件等元素,其具体内容包括以下几个方面:
2.1 安全策略
在网络安全管理技术当中实施安全策略是网络安全的首要因素。通过网络安全管理策略的制定,可以明确网络安全系统建立的理论原因,明确网络安全管理的具体内容以及可以得到什么样的保护。通过安全策略对网络管理规定的安全原则,来定义网络安全管理的对象、安全管理方法以及网络安全状态。另外安全策略指定的过程中要遵守安全管理工作的一致性,避免系统内部安全管理工作当中出现冲突和矛盾,否则容易造成网络安全管理工作的失控[2]。
2.2 安全配置
网络安全配置是指构建网络安全系统的各种设置、网络系统管理的安全选项、安全策略以及安全规则等配置,对网络安全管理具有重要意义。一般情况下,网络安全管理配置主要包括网络运营系统中的防火墙设置、网络数据库系统、操作系统等安全设置,在实际运营过程当中要对网络安全配置进行严格的控制和管理,禁止任何人对网络安全配置进行更改操作。
2.3 安全事件
网络安全事件主要是指影响网络安全以及整个计算机系统的恶意行为。主要包括计算机网络遭到恶意攻击和非法侵入,网络遭遇恶意攻击和非法入侵会导致企业利用网络进行的商业活动被迫终止,程序停止运营,极大程度上影响了企业网络安全管理工作[3]。破坏网络安全的恶意行为通常表现为,利用木马病毒的入侵复制、盗窃企业内部资料和信息;组织企业利用网络进行的商业活动;终止企业运营过程中需要用到的网络资源;监控企业的实际运营管理工作,这给企业正常经营管理工作带来极大的影响。
3 网络安全管理发展趋势
现阶段网络安全管理技术还比较单调,尚未形成一个系统的安全管理机制,在实际管理工作当中还存在许多不足。随着网络技术的不断发展和进步,网络安全管理技术也将得到快速发展,网络安全管理体系将对安全软件以及安全设备进行集中化管理,通过对网络安全的全面监控,切实保障网络安全的可靠性,及时发现运营过程中存在的网络安全隐患;同时,网络安全管理技术将实现系统动态反应以及应急处理中心,实现对突发网络安全事件进行有效预案处理;另外,企业网络安全管理还将对网络系统的相关管理人员、软件、硬件等安全设置集中管理中心,完善安全管理系统[4]。
因此,企业要加强对网络信息技术的安全管理,采取措施严格控制病毒、黑客对企业网络系统的攻击,维护企业网络系统的安全性,保证企业在激烈的竞争环境中长远发展下去。
[参考文献]
[1]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.信息技术安全技术.信息安全管理实用规则[s].中国高新技术企业,2010,(1):121-122.
[2]wimmasat山ngs,著,杨明,青光辉,齐东望,等,译.密码编码学与网络安全:原理与实践(第二版),电子工业出版社,2001.4.
[3]曹阳,陶舒,尹建华,等.基于移动Agnet的分布式网管系统设计与实现[1J,武汉大学学报(自然科学版),2000,46(3):297一30.
工业网络安全管理范文第2篇
关键词:工控;网络安全;安全建设
1前言
随着工业化与信息化的快速发展以及云、大、物、智、移等新技术的逐步发展和深化实践,制造业工业控制系统的应用越来越多,随之而来的网络安全威胁的问题日益突出。特别是国家重点行业例如能源、水利、交通等的工业控制系统关系到一个国家经济命脉,工业控制系统网络一旦出现特殊情况可能会引发直接的人员伤亡和财产损失。本文主要以轨道交通行业CBTC系统业务的安全建设为例介绍工业信息安全防护思路,系统阐述了工业信息安全的发展背景及重要性,以网络安全法和工业基础设施的相关法规和要求等为依据,并结合传统工业控制系统的现状,从技术设计和管理系统建设两个方面来构建工控系统网络安全。
2工业信息安全概述
2.1工控网络的特点
工业控制系统是指各种自动化组件、过程监控组件共同构成的以完成实时数据采集、工业生产流程监测控制的管控系统,也可以说工业控制系统是控制技术(Control)、计算机技术(Computer)、通信技术(Communication)、图形显示技术(CRT)和网络技术(Network)相结合的产物[1]。工控系统网络安全是指工业自动控制系统网络安全,涉及众多行业例如电力、水利、石油石化、航天、汽车制造等众多工业领域,其中超过60%的涉及国计民生的关键基础设施(如公路、轨道交通等)都依靠工控系统来实现自动化作业。
2.2国内外工业安全典型事件
众所周知,工业控制系统是国家工业基础设施的重要组成部分,近年来由于网络技术的快速发展,使得工控系统正逐渐成为网络战的重点攻击目标,不断涌现的安全事件也暴露出工控系统网络安全正面临着严峻的挑战。(1)美国列车信号灯宕机事件2003年发生在美国佛罗里达州铁路服务公司的计算机遭遇震网病毒感染,导致美国东部海岸的列车信号灯系统瞬间宕机,部分地区的高速环线停运。这次事件主要是由于感染震网病毒引起的,而这种病毒常被用来定向攻击基础(能源)设施,比如国家电网、水坝、核电站等。(2)乌克兰电网攻击事件2015年,乌克兰的首都和西部地区电网突发停电,调查发现这次事故是由于黑客攻击造成的。黑客攻击了多座变电站,在电力公司的主控电脑系统里植入了病毒致使系统瘫痪造成停电事故。(3)旧金山轻轨系统遭勒索病毒攻击事件2016年,黑客攻击美国旧金山轻轨系统,造成上千台服务器和工作站感染勒索病毒,数据全部被加密,售票系统全面瘫痪。其实国内也发生过很多工业控制系统里面的安全事件,主要也是因为感染勒索病毒引起的。勒索病毒感染了重要业务系统里面的一些工作站,例如在轨道交通行业里的典型系统:综合监控系统、通信系统和信号系统等,其中大部分是由于移动接入设备的不合规使用而带来的风险。从以上事件可以看出,攻击者要发动网络攻击只需发送一个普通的病毒就可以达到目的,随着网络攻击事件的频发和各种复杂病毒的出现,让我们的工业系统安全以及公共利益、人民财产安全正遭受着严重的威胁。
2.3工控安全参考标准、规范
作为国家基础设施的工业控制系统,正面临着来自网络攻击等的威胁,为此针对工控网络安全,我国制定和了相关法律法规来指导网络安全建设防护工作。其中有国家标准委在2016年10月的《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》《工业自动化和控制系统网络安全可编程序控制器(PLC)第1部分:系统要求》等多项国家标准[2]。同年,工信部印发《工业控制系统信息安全防护指南》,该标准以当前我国工业控制系统面临的安全问题为出发点,分别从技术防护和管理设计两方面来对工业控制系统的安全防护提出建设防护要求。2017年6月,《网络安全法》开始实施,网安法从不同的网络层次规定了网络安全的检测、评估以及防护和管理等要求,促进了我国工业控制系统网络安全的发展。
3工业控制系统网络安全分析
轨道交通信号系统(CBTC)是基于通信技术的列车控制系统,该系统依靠通信技术实现“车地通信”并且实时地传递“列车定位”信息[3]。目前CBTC安全建设存在以下问题:(1)网络边界无隔离随着CBTC的集成度越来越高,各个子系统之间的联系和数据通信也越来越密切,根据地域一般划分为控制中心、车站、车辆段和停车场,根据业务又划分为ATO、ATS、CI、DCS等多个子系统,各区域之间没有做好访问控制措施,缺失入侵防范和监测的举措。各个子系统之间一般都是互联互通的,不同的子系统由于承载的业务的重要等级不同也是需要对其边界进行防护的,还有一些安全系统和非安全系统之间也都没有做隔离。(2)网络异常查不到针对CBTC系统的网络入侵行为一般隐蔽性很强,没有专门的设备去检测的话很难发现入侵行为。出现安全事件后没有审计记录和追溯的手段,等下次攻击发生依然没有抵抗的能力。没有对流量进行实时监测和记录,不能及时发现高级持续威胁、不能有效应对攻击、不能及时发现各种异常操作。(3)工作站、服务器无防护CBTC系统工作站、服务器的大部分采用Windows系列的操作系统,还有一部分Linux系列的操作系统,系统建设之初基本不会对工作站和服务器的操作系统进行升级,操作系统在使用过程中不断暴露漏洞,而系统漏洞又无法得到及时的修复,这都会导致工作站和服务器面临风险。没有在系统上线前关闭冗余系统服务,没有加强系统的密码策略。除此之外,运维人员可以在调试过程中在操作站和服务器上安装与业务无关的软件,也可能会开启操作系统的远程功能,上线后也不会关闭此功能,这些操作都会使得系统配置简单,更容易受到攻击。目前在CBTC系统各个区域部分尚未部署桌管软件和杀毒软件,无法对USB等外接设备的接入行为进行管控,随意使用移动存储介质的现象非常普遍,这种行为极易将病毒、木马等威胁带入到生产系统中。(4)运维管理不完善单位内安全组织机构人员职责不完善,缺乏专业的人员。没有针对信号系统成立专门的安全管理部门,未明确相关业务部门的安全职责和职员的技能要求,也缺乏专业安全人才。未形成完整的网络安全管理制度政策来规划安全建设和设计工控系统安全需求。另外将工业控制系统的运维工作外包给第三方人员后并无相关的审计和监控措施,当第三方运维人员进行设备维护时,业务系统的运营人员不能及时了解第三方运维人员是否存在误操作行为,一旦发生事故无法及时准确定位问题原因、影响范围和责任追究。目前CBTC系统的网络采用物理隔离,基本可以保证正常生产经营。但是管理网接入工控系统网络后,工控系统网络内部的安全防护措施无法有效抵御来自外部的攻击和威胁,而且由于与管理网的数据安全交互必须在工控网络边界实现,因此做好边界保护尤为重要。
4工业控制系统网络安全防护体系
工控系统信息化建设必须符合国家有关规定,从安全层面来看要符合部级防护的相关要求,全面规划设计网络安全保障体系,使得工控体系符合相关安全标准,确保工控安全保障体系的广度和深度。根据安全需求建立安全防护体系,通过管理和技术实现主被动安全相结合,有效提升了工控业务系统的安全防护能力。根据业务流量和业务功能特点以及工控系统网络安全的基本要求来设计不同的项目技术方案,从技术角度来识别系统的安全风险,依据系统架构来设计安全加固措施,同时还要按照安全管理的相关要求建立完善的网络安全管理制度体系,来确保整体业务系统的安全有效运行。
4.1边界访问控制
考虑到资产的价值、重要性、部署位置、系统功能、控制对象等要素,我们将轨道交通信号系统业务网络划分为多个子安全域,根据CBTC业务的重要性、实时性、关联性、功能范围、资产属性以及对现场受控设备的影响程度等,将工控网络划分成不同的安全防护区域,所有业务子系统都必须置于相应的安全区域内。通过采取基于角色的身份鉴别、权限分配、访问控制等安全措施来实现工业现场中的设备登录控制、应用服务资源访问的身份认证管理,使得只有获得授权的用户才能对现场设备进行数据更新、参数设定,在控制设备及监控设备上运行程序、标识相应的数据集合等操作,防止未经授权的修改或删除等操作。4.2流量监测与审计网络入侵检测主要用于检测网络中的恶意探测和恶意攻击行为,常见有网络蠕虫、间谍和木马软件、高级持续性威胁攻击、口令暴力破解、缓冲区溢出等各种深度攻击行为[4]。可以利用漏洞扫描设备扫描探测操作系统、网络设备、安全设备、应用系统、中间件、数据库等网络资产和应用,及时发现网络中各种设备和应用的安全漏洞,提出修复和整改建议来保障系统和设备自身的安全性。恶意代码防护可以检测、查杀和抵御各种病毒,如蠕虫病毒、文件病毒等木马或恶意软件、灰色软件等。通过安全配置核查设备来及时发现识别系统设备是否存在不合理的策略配置、系统配置、环境参数配置的问题。另外要加强安全审计管理,通常包括日常运维操作安全审计、数据库访问审计以及所有设备和系统的日志审计,主要体现在对各类用户的操作行为进行审计和对重要安全事件进行记录和审计,审计日志的内容需要包括事件发生的确切时间、用户名称、事件的类型、事件执行情况说明等。
4.3建立统一监测管理平台
根据等级保护制度要求规定,重要等级在第二级以上的信息系统需要在网络中建立统一集中管理中心,通过统一安全管理平台能够对网络设备、安全设备、各类操作系统等的运行状况、安全日志、配置策略进行集中监测、采集、日志范化和归并处理,平台可以呈现CBTC系统中各类设备间的访问关系,形成基于网络访问关系、业务操作指令的工业控制环境的行为白名单,从而可以及时识别和发现未定义的行为以及重要的业务操作指令的异常行为。可以设置监控指标告警阈值,触发告警并记录,对各类报警和日志信息进行关联分析和预警通报。
4.4编制网络安全管理制度
设立安全专属职能的管理部门和领导者及管理成员的岗位,制定总体安全方针,指明组织机构的总体目标和工作原则。对于安全管理成员的角色设计需按三权分立的原则来规划并落实,必须配备专职的安全成员来指导和管理安全的各方面工作。指派专人来制定安全管理制度,而且制度要经过上层组织机构评审和正式,保持对下发制度的定期评审和落实情况的核查。由专人来负责单位内人员的招聘录用工作,对人员的专业能力、背景及任职资格进行审核和考察,人员录用时需要跟被录用人签订保密协议和岗位责任书。编制完善的制度规范,编制范围应涵盖信息系统在规划和建设、安全定级与备案、方案设计、开发与实施、验收与测试以及完成系统交付的整个生命周期。针对不同系统建设阶段分别编制软件开发管理规范、代码编写规范、工程监理制度、测试验收制度,在测试和交付阶段记录和收集各类表单、清单。加强安全运维建设,制定包含物理环境管理、资产管理、系统设备介质管理以及漏洞风险管理等方面的规范要求,对于机房等办公区域的人员进出、设备进出进行记录和控制,建立资产管理制度规范系统资质的管理与使用行为,保存相关的资产清单,对各种软硬件资产做好定期维护,对资产采购、领用和发放制定严格的审批流程。针对漏洞做好风险管理,针对发现的安全问题采取相关的应对措施,形成书面记录和总结报告。在第三方外包人员管理方面应该与外包运维服务商签订第三方运维服务协议,协议中应明确外包工作范围和具体职责。
5结束语
由于工控系统安全性能不高和频繁爆发的网络安全攻击的趋势,近年来我国将网络安全建设提升到了国家安全战略的高度,并且制定了相关的标准、政策、技术、程序等来积极应对安全风险,业务主管部门还应进一步强化网络安全意识,开展网络安全评估,制定网络安全策略,提高工控网络安全水平,确保业务的安全稳定运行。
参考文献:
[1]石勇,刘巍伟,刘博.工业控制系统(ICS)的安全研究[J].网络安全技术与应用,2008(4).
[2]李俊.工业控制系统信息安全管理措施研究[J].自动化与仪器仪表,2014(9).
[3]魏勇军.浅谈工业控制系统信息安全防护的应用[J].网络安全技术与应用,2014(8).
工业网络安全管理范文第3篇
>> 物流信息平台网络安全研究 医院网络信息安全需求分析 网络安全管理平台的研究与实现 网络安全管理平台的设计与实现 大数据平台网络信息安全若干问题的分析 视频监控平台网络配置管理的设计与实现分析 Symbian平台网络开发框架的研究与实现 医院信息系统的网络安全建设分析 医院信息系统的网络安全与防范 医院信息系统的网络安全分析与防范 医院信息化建设中网络安全分析与防护 基于医院信息系统的网络安全分析与设计 电力信息自动化网络安全与实现分析 对医院网络安全的分析与研究 结合实例谈谈医院网络架构需求分析与实现 通信市场需求下网络安全技术的开发与实现 针对医院网络安全的分析 医院网络安全管理策略分析 应急平台网络中综合联动实现安全防御的研究 医院网络安全与管理 常见问题解答 当前所在位置:.
[5] 公安部.关于开展全国重要信息系统安全等级保护定级工作的通知[EB/OL]. [2007?07?24]..
[6] 国家质监局. GB/T 25070?2010 信息安全技术信息系统等级保护安全设计技术要求[S].北京:中国标准出版社,2010.
[7] 卫生部关于印发《卫生行业信息安全等级保护工作的指导意见[EB/OL]. [2011?12?09].http:///mohbgt/s7692/201112/53600.shtml.
[8] 公安部. 关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函[EB/OL]. [2009?11?09]. http:///gzdt/2009?11/09/content_1460022.htm.
[9] 陕西省卫生厅. 关于全面开展我省卫生行业信息安全等级保护的通知[EB/OL].[2012?06?11].http:///shanxsfz/xxgk/sxswst/201209/t20120903_2479441.shtml?classid=388.
工业网络安全管理范文第4篇
为贯彻落实国务院“互联网+”行动计划有关要求,推进电信行业网络安全技术手段建设,提升网络基础设施安全保障能力,根据《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》和2015年重点工作安排,工信部决定组织开展电信行业网络安全试点示范工作,并于2015年8月4日下发《工业和信息化部关于开展电信行业网络安全试点示范工作的通知》(以下简称通知)。
《通知》提出,立足电信行业网络安全防护的实际需求,围绕网络安全技术手段建设的重点方向,推动基础电信企业开展管理和技术手段创新应用,引导基础电信企业加大网络安全技术投入,落实安全防护责任,发掘行业网络安全优秀实践案例,促进先进技术和经验的行业推广应用,充分发挥技术手段在保障网络基础设施安全方面的作用,切实增强电信行业防范和应对网络安全威胁的能力。
《通知》要求,2015年试点示范项目的申请主体为基础电信企业集团公司或省级公司,试点示范项目应为已建或在建(含已立项)的网络安全管理系统或技术平台。
根据相关省、自治区、直辖市通信管理局推荐和各基础电信企业集团公司申报,经组织专家评选,综合考虑项目的实用性、创新性、先进性、可推广性,工信部共选出33个项目列入2015年电信行业网络安全试点示范项目。
工信部表示,入选的33个安全试点示范项目包括已建成项目21项,在建项目11项,覆盖企业内部集中化安全管理、网络和信息系统资产管理、数据安全保护、云平台安全防护、网络安全威胁监测与处置、抗拒绝服务攻击、域名系统安全等多个领域。
工信部提出要求,在后期试点工作中,各基础电信企业要加强试点示范项目管理,充分发挥其优势和作用,结合实际不断进行优化完善。要确保在建的试点示范项目按期建设完成,对于功能、进度等未达预期的项目将撤销试点示范。要认真总结试点示范项目经验,加强企业内部和企业之间的相互学习、借鉴和推广。各省、自治区、直辖市通信管理局要加强本地区试点示范项目经验交流,促进行业推广应用。
工业网络安全管理范文第5篇
关键词:网络安全;管理平台;研究
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)19-4571-02
Network Security Management Platform
YUE Yang
(Computing Technology Institute of China Navy,Beijing 100841 China)
Abstract: More and more enterprise networks are connected to the Internet, directly orindirectly,to the enterprise networkto bring in security,the security of its information system needs to be fully protected.To ensure network security and network resources can be exploited fully, you need to provide an efficientand reasonable network management platform to manage network security devices.
Key words: network security; management platform; research
网络的发展,使信息共享和应用达到了前所未有的程度。传统的信息安全方法通常是采用严格的访问控制和数据加密等策略来防护,它们是系统安全不可缺少的部分但不能完全保证系统的安全。需要综合运用各种安全技术手段,使之相互协调工作。在此基础上构建一个全方位安全防御体系才能对计算机系统、网络系统以及整个信息基础设施提供安全、有效、有力的保障。
1 网络安全和J2EE概述
1.1 网络安全
网络安全技术分为被动防御和主动检测。防火墙是被动防御的技术,而入侵检测可以对网络进行动态分析,发现潜在的威胁。我们在应用中应该结合两者的优点,构建更安全的网络。
从网络安全角度上讲,防火墙是一种安全有效的防范技术,是访问控制机制、安全策略和防入侵措施。防火墙还包括了整个网络的安全策略和安全行为,是一整套保障网络安全的手段。它是通过在内部受保护网络和外部公众网之间的界面上建立起来一个相应网络安全检测系统来隔离内部和外部网络,以确定哪些内部服务允许外部访问,以及哪些外部服务可以被内部访问。
入侵检测目的是尽可能实时地提供对内部或外部的未授权的使用或滥用计算机系统的行为进行鉴别和阻止。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
1.2 J2EE介绍
J2EE是一个平台规范,平台规范是一个用于简化分布式企业级应用开发与部署的基于组建的模式,它提供了一个多层次的技术规范,它已经称为当今企业web应用开发的标准,从逻辑结构上分为客户端层,J2EE服务器层和EIS三层,
在J2EE架构中主要包括两种客户端,即Web客户端和应用程序客户端。web客户端通常是由多种标记性语言完成的web页面和web浏览器构成,web浏览器主要用来显示该页面。Web客户端通常将数据库和复杂的业务逻辑操作交给J2EE服务器完成,这样就减轻了客户端的工作负担和减少存储内容,而应用程序客户端主要用在复杂界面的实现,也是采用很多组件来完成的。
J2EE服务器层由两个层次构成,分别是web和业务层。Web层是以servlet和JSP为基础进行开发的,将它们两者紧密结合在一起,利用JSP调用servlet引擎服务。业务层实现具体业务流程和特定的功能,采用EJB组件来满足不同的业务需求,以方便被web层访问。它的主要核心技术包括JDBC、EJB、JSP、Java Servlet、XML、JMS等。
2 网络安全管理平台系统设计
2.1 需求分析
为了明确网络安全管理平台系统的需求,使最终的系统可以为网络安全管理人员提供最便捷有效的技术手段,同时也为确定下一步开发的具体目标,特对系统进行需求分析。
网络安全管理平台需要实现如下功能:采集防火墙设备、入侵检测设备、防病毒系统、终端监控系统的安全事件信息。显示防火墙设备、入侵检测设备、防病毒系统、终端监控系统安全事件信息。
生成数据统计报表包括:安全事件统计报表、IDS事件统计报表、防火墙事件统计报表、病毒事件统计报表和设备信息报表。
性能上需要满足精度需求,时间需求和灵活性需求。
1) 精度需求:在用户正确操作的情况下,不能因为系统产生采集和应用错误,从而造成系统无法正常运行的情况;
2) 时间特性:完成安全事件信息采集到安全事件信息入库的延时小于5秒和对安全设备工作状态监控时间灵敏度小于1分钟;
3) 灵活性需求:可以通过定制数据,形成每个二级网络的定制系统。可以通过二级网络数据集成,形成以一级网络为中心的网络群定制系统。
2.2 系统设计
网络安全管理平台系统采用B/S和C/S结构相结合的方式,事件处理和展示部分采用B/S结构以增加系统的可扩展性,事件采集部分采用C/S结构以提高事件采集的效率和稳定性。
网络安全管理平台系统由产生安全事件的安全设备和安全系统、安全信息数据库系统、安全事件采集子系统和数据管理子系统四部分组成。
作为系统安全事件来源的安全设备和安全系统,包括:防火墙设备、入侵检测设备、防病毒系统、服务器、主机等,网络安全管理平台系统采集来自这些安全设备和安全系统的事件、日志、报警信息。而安全信息数据库用于存储安全事件数据和其他安全数据。
安全事件采集子系统采用C/S结构,包括安全事件采集和安全事件格式化处理两部分。安全事件采集部分通过SYSLOG协议、SNMP协议采集安全事件。
数据管理子系统采用B/S结构,包括显示、告警管理、设备管理、事件管理、应急管理、报表管理、系统管理、扩展管理等功能。
3 总结
该文深入分析了网络安全的现状与发展趋势,利用现有技术构建网络安全管理平台的方法,提出了网络安全管理平台的一般架构模式。网络安全管理平台进行少量的投入,即能大大提升网络的安全性能。
参考文献:
[1] 刘文涛.Linux网络入侵检测系统[M].北京:电子工业出版社,2004.
[2] 杜文艺.基于struts和Hibemate的web应用的设计与实现[J].武汉:武汉理工大学学报,2008.
[3] 唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业出版社,2002.
工业网络安全管理范文第6篇
关键词:网络安全管理 跟踪监测 生成报表发出警示
中图分类号: TU714 文献标识码: A
高校校园网在教学、管理、科研、宣传等各个领域都担负着重要的作用。同时网络安全问题对校园网络的健康发展产生了影响和制约,对教学、管理、科研等活动也产生了很大影响。运行一套行之有效的校园网络安全管理与维护系统是校园网络安全管理与维护工作的切实需要。
国内外已推出了许多独立的网络安全管理产品,但只适用于安全性要求极强的军队、公安、政府机关、证券、金融及保密部门等网络中,不适合高校校园网络安全管理。也有专门针对校园网络安全管理的,这类系统运行对硬件要求过高,而且设计者不是来自学校,在功能的设计上缺乏针对性,因而也不适用于高校校园网络安全管理。
总之,现有的网络安全管理产品不适合高校校园网络安全管理。第一,开放性不够,对不同公司设备的支持不足,大多系统只能处理某些公司开发的网络设备的报警信息;第二,产品价格太高,学校支付不起这么高的费用;第三,各公司产品的系统接口没有公开,用户无法进行二次开发,缺乏灵活性,也不利于以后的系统扩展。
高校校园网络安全管理问题主要集中在对网络中设备的保护、防病毒和恶意攻击、隔离内外网和广播信息、重要数据备份与恢复等方面。
针对以上需求分析,要对整个校园网络进行跟踪监测,采集校园网上的所有联网设备的信息,然后对这些信息进行统计和分析,从结果中发现和定位故障点,或者发出报警信息。因此,系统的开发需要有数据库,用来存储采集到的信息,应用程序对信息进行分析和统计时,需要访问数据库。数据访问方式的选择,获取所需信息的方法等问题的解决,需要深入研究数据访问技术、开发SNMP应用的编程模式、硬件信息采集技术、网络流量监测技术和入侵检测技术等。
数据访问技术采用.NET Framework中的。是最新最完整也是最快捷的访问数据库的方式。有许多的DataProvider,允许与不同的数据源交流,这一点取决于它们所使用的协议或者数据库。无论使用什么样的Data Provider,都将使用相似的对象与数据源进行交互。
开发SNMP应用的编程模式选择WinSNMP。WinSNMP为基于SNMP的网络管理系统的开发提供了开放式单一接口规范,定义了过程调用、数据类型、数据结构和相关的语法,还设置了消息重传、超时机制等。
硬件信息采集是网络监测的关键部分,技术的选择决定了整个数据采集模块的实现。硬件信息采集通过对硬件设备的访问实现,选择Windows管理规范。
入侵检测是防火墙的合理补充,可以帮助防火墙根据当前的网络安全状况动态的调整过滤策略,使整个网络安全系统具有动态性,帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础设施的完整性。
系统在开发设计时分服务器端,控制台和端三部分进行。系统关系结构如图下所示:
系统关系结构图
在系统架构上采用Client/Server(C/S)和Browser/Server(B/S)混合模式,服务器和被管理设备进程之间通过C/S模式进行通信,管理应用基本上都是在被管理设备上运行,服务器对设备的监控管理功能是通过访问这些设备的MIB管理信息来实现的;控制端与服务器之间采用B/S模式进行通信,控制端可以查询、统计和分析数据,也可以对服务器进行系统配置和管理,无需安装客户端程序。
服务器应该具有足够的健壮特性,这就要求服务器端程序能够长时间稳定运行,无内存泄漏。服务器需要与多个被管设备同时进行通信,所以要支持多任务的运行,并且能够在尽可能短的时间内自动发现网络中的新节点新设备。
控制端为用户提供操作界面,用户界面要友好,容易操作;对用户操作的响应时间要短;对用户要进行权限设置以保证对系统操作的安全性。
端是被管理设备端,负责响应管理站的请求或控制,任务简单,程序小,不需安装过多额外的运行库,程序占用系统资源低;并且能够自动启动,自动隐藏。本系统的功能模块如下图所示:
系统功能模块图
图中功能模块属于后台服务器的功能,包括设备管理模块,网络属性管理模块和网络流量管理模块;管理模块属于前台服务器的功能,包括用户管理模块,部门管理模块,数据管理模块和日志/审计管理模块。
开发工具选择.NET,编程语言选择C#,它是Microsoft公司开发的一种面向对象、功能强大、使用简单、表达力丰富的语言。它不但结合了C++强大灵活和Java语言简洁等特性,而且还吸取了Delphi和Visual Basic所具有的易用性。
在系统的总体设计阶段,端的远程自动安装、数据采集模块的实现及网络流量监测功能的实现是重点也是难点。端程序是一个守护进程,侦听并接收来自服务器上的命令,执行命令并把结果返回给服务器。端是服务器管理被管主机的一个入口,自动运行在被管主机上。实现远程自动安装,是本系统重点研究的内容,其重要的理论基础是NetBIOS和IPC。在网络数据采集模块的设计过程中,深入研究WMI技术,在此基础上较好的实现数据采集功能;在网络流量监测方面,更深入分析开源软件MRTG,并做适当的调整和处理,成功的实现网络流量监测功能。
高校校园网络安全管理与维护系统是针对吉林工程技术师范学院校园网络安全管理与维护存在的突出问题而提出的。在一定程度上实现了网络管理的自动化,改变了传统的管理模式,提高了网络安全管理的效率,并使网络安全管理更有针对性。
参考文献:
[1] 刘晓辉,.网络安全管理实践(第二版), 北京:电子工业出版社,2009
[2] 李明江, SNMP简单网络管理协议, 北京:电子工业出版社,2007
[3] (美)韦尔德莫斯,怀特曼,应用程序开发,北京:清华大学出版社,2010
[4] 王新谱,基于WMI网络管理系统的研究,2009
[5] 刘芳,网络流量监测与控制,北京:北京邮电大学出版社,2009
[6] 唐正军,李建华,入侵检测技术,北京:清华大学出版社,2008
工业网络安全管理范文第7篇
赛博兴安的网络安全管理与监察系统的应用情况到底如何?为客户带来了怎样的价值?产品具有哪些特点和优势?赛博兴安副总裁胡托任对这些问题进行了回答。
胡托任介绍,赛博兴安成立于2009年,是国家高新技术企业、软件企业,主要从事信息系统安全体系结构规划与设计、信息安全技术研究与核心产品开发、信息系统集成和信息安全服务等业务,在不同安全域网络互联、接入控制、网络安管、授权认证、信息加密、互联网大流量数据监控及数据挖掘等方面具有相当优势,在大型信息网络安全防护和整体解决方案和产品研制方面积累了丰富的经验。
赛博兴安业务主要面向大型行业用户,是国内某行业用户的网络安防技术总体单位。公司坚持以自主研发为核心,始终把产品研发能力作为核心竞争力。公司通过了国标和国军标质量管理体系认证,获得了国家二级保密资质及多项专有技术和软件著作权。2014年,赛博兴安完成了对北京赛搏长城信息科技有限公司的收购与整合,使公司的产品领域进一步拓展,技术能力进一步增强。目前,公司与北京邮电大学国家重点实验室建立了长期战略合作伙伴关系,与北方工业大学建立了信息安全联合实验室。
据悉,赛博兴安的研发技术人员人数占公司总人数的70%。胡托任说,这与赛博兴安成立的背景相关,因为公司的创始人都有很资深的技术背景,均具有15年以上的网络安全从业经验。赛博兴安自成立以来,始终把培养研发团队、积累核心技术作为立足之本。
胡托任指出,这几年赛博兴安的业绩取得持续、快速增长,一方面,得益于客户方对于赛博兴安的产品和服务的认可;另一方面,得益于公司注重研发团队的建设和技术的积累。着眼未来,国家对网络安全越来越重视,赛博兴安将把握这一良好机遇,持续加大研发投入,吸纳技术人才,不断推动技术创新。
“我们相信实实在在做技术、本本分分搞研发的企业会越来越得到市场的认可。”胡托任说。
网络安全管理平台是近年来信息安全领域的一个热点,市场上涌现出各种网络安全管理平台类的产品,赛博兴安的网络安全管理与监察系统就是其一。
胡托任介绍,赛博兴安的网络安全管理与监察系统立足于特定行业需求,为该行业构建了从上级到下级纵向级联贯通,最高达到5级级联的多级安防体系,为行业用户解决实实在在的安全问题。通过系统部署应用,用户在一级系统上能够实时监控所有下级系统的工作状态,包括所有下级节点所部署的网络安全设备的工作状态和安全防护策略应用情况。比如说,下级单位的防火墙设备是否正常工作,业务是否跳开防火墙进行网络访问,防火墙策略配置是否合理,防病毒系统的病毒库是否更新到最新。
胡托任指出,赛博兴安的产品带给客户的核心价值,是紧密围绕客户的实际需求,通过网络安全管理与监察系统的开发和广泛应用,帮助客户建立起一套完整的适应业务工作实际的网络安全防护体系。赛博兴安一方面在产品开发过程中,重视行业用户的实际需求,从产品设计、技术开发、功能实现上与该业务管理深度耦合,让整个安全管理平台在应用中取得实实在在的效果;另一方面,为行业用户提供7×24小时全天候的技术支持,随时针对产品使用中出现的问题提供免费的升级服务,从而赢得客户充分的信任。
工业网络安全管理范文第8篇
【关键词】煤矿 信息网络信息系统 网络安全
随着信息技术、网络技术、自动化技术、视频技术、传感器技术等一系列先进技术的快速发展和融合,煤矿企业信息网络建设也取得了丰硕成果。目前国内大、中型煤矿企业基本上都已经构建和装备了企业互联网、工业以太网、监测监控、人员定位、工业控制等信息系统,这些信息系统已经深入到煤矿安全生产的方方面面,而且很多工业系统自动化程度非常的高,比如提升系统、选煤系统等已经实现了无人操作,远程开停、故障闭锁等,操作人员只需要对运行的参数进行观测和记录,大大提高了人员工作效率、增强了企业的核心竞争力。所以今天煤矿企业信息网安全就显得尤为重要,本文将就煤矿企业信息网络安全现状及重要性进行分析和探究。
1 现状分析
我国中、大型煤矿企业建设和应用了大量的信息系统和工业控制系统,并且这些信息系统已经深入到生产经营的方方面面,促使煤矿企业从传统的密集型、重体力生产模式向“采掘机械化、生产自动化、管理信息化”模式转变,有力地提升了煤矿企业管理效率,加速了煤矿的企业转型升级。但是煤矿企业在信息网络安全管理方面还存在诸多问题:
1.1 企业管理人员对信息网络安全的重要性认识不足
主要表现在四点,一是没有建立完善的信息网络组织体系,相关的制度建立和落实不到位。二是企业大都没有编制详实可行的信息网络安全预案,也没有进行相关的应急演练;三是信息网络安全方面的投入比较少,企业安全防护设施不全;四是企业管理人员对于信息网络安全的知识非常欠缺,只注重信息系统具体应用和预设功能,对于操作可能带来的网络威胁没有防范意识。
1.2 信息孤岛与信息网络安全之间的矛盾日益冲突
早期煤矿企业建设的信息系统和工业控制系统都是一个单一的个体,相互独立,之间没有任何联系,随着信息技术的发展和企业管控一体化进程的不断推进。“信息孤岛”的问题得到了很大程度的解决,但同时产生的信息网络安全问题也日益突出。“信息孤岛”的消除依赖网络的广泛应用,而网络正是信息安全的薄弱环节。消除“信息孤岛”势必使工业控制系统增加大量的对外联系通道,这使得信息网络安全面临更加复杂的环境,安全保障的难度大大增加。
1.3 信息安全管理人员信息安全知识和技能不足,主要依靠外部安全服务公司的力量
主要原因有三点:
(1)煤矿企业地处偏远山区、工作环境和生活环境相对都比较差,很难招聘到高科技人才,即是招到人也很难留下来。
(2)企业以煤炭生产、加工、销售为主业,信息技术人才发展空间小、大多数人员都只是从事信息维修工和桌面支持之类的工作。
(3)信息安全管理人员长期得不到培训和学习的机会,信息技术知识的储备量有限、业务水平处在较低的一个水平,所以只能依靠外部安全服务公司。
1.4 信息网络安全防护设备利用率低,很难发挥应有的功能
煤矿企业在信息网络建设初期都会做网络安全方面的布置,比如在网络边界架设防火墙、入侵检测设备,在内部部署杀毒软件,形成了软硬件相结合的防御模式,可是很多企业的防火墙和入侵检测设备从安装到被替换可能从来都没有做过配置更新,和漏洞修复、打补丁之类的操作,大多数的员工电脑也从不安装杀毒软件,这就做法无形中弱化了我们防御的盾牌和进攻的长矛,使网络安全防护设备长期处于半“休眠”状态。
2 重要性
“没有网络安全就没有国家安全”,在浙江乌镇世界互联网大会上提出的网络安全观,足以证明网络安全对于国家的重要性。那么同样对于现今充分利用信息网络和工业控制系统的现代化煤矿企业来说,如果没有足够的信息网络安全也就没有企业的安全生产。信息技术是一把“双刃剑”,它改变了企业的生产方式,优化了企业的管理流程,提高了企业管理效率,可是同样却又不得不将企业置身于互联网之中。互联网是一个“超领土”存在的虚拟空间,存在各种潜在的威胁,比如利用木马、病毒、远程攻击、控制等方式,泄露企业的商业机密、修改控制系统指令、攻陷服务器、盗取个人信息等,这些都有可能对企业造成严重安全事故和经济损失。这些还只是企业内部的损失,很多大、中型煤矿企业为了提升企业管理效率都开通与集团公司之间的专线VPN,承载了很多应用服务包括协同OA、生产调度、销售等等的数据都要进行通信,如果信息网络安全受到攻击瘫痪,都会对企业的生产经营造成影响,更有甚者可能通过煤矿企业本地发起攻击,致使整个集团的信息网络受到严重威胁,所以煤矿企业管理人员一定要树立正确的信息网络安全观,充分认知信息网络安全的重要性,加快构建关键信息基础设施安全保障体系,增强企业信息网络安全的防御能力。
3 总结
总之,信息网络技术发展的今天,信息网络安全已经是每一个煤矿企业必须面对和正视的问题,也是每一个企业管理者应该积极参与和考虑的问题。古人云“知己知彼 百战不殆”,煤矿企业应该立即行动起来,通过开展关键信息基础设施网络安全检查,准确掌握企业关键基础设施的网络安全状况,详细评估企业所面R的网络安全威胁,制定对应的防范措施,构建企业信息网络安全的“防火墙”,为企业安全生产经营、职工娱乐生活营造一个安全、稳定、健康的网络环境。
参考文献
[1]陈龙.煤炭企业网络安全建设与管理探究[J].煤炭技术,2013.
[2]刘永军.关于煤炭网络信息安全问题分析及对策研究[J].科技创新与应用,2014.
作者单位
工业网络安全管理范文第9篇
随着越来越多传统的安全产品和安全技术被广泛应用,网络安全级别也得到了相应提升。但是,新型安全事件日益增多,因此造成的经济损失也呈上升之势。其中,很重要的一个原因是传统的安全产品侧重于边界接口的防御和终端安全的防护,而缺乏对网络内部的整体安全管理。另外,私接设备、私改IP、私搭乱建对网络安全管理也是一种困扰。
北京艾科网信科技有限公司(以下简称艾科网信)提供创新的ID网络安全管理系统可彻底解决上述安全难题。
在此严峻的网络安全形势下,艾科网信董事长宁辉表示:“8年前,我本着对网络安全事业的热忱与一行人员创立艾科网信。多年来,艾科网信为各领域提供了大量的网络安全解决方案。作为国内一家专业的网络安全服务提供商,艾科网信将竭尽所能,为中国的网络安全事业尽一份力,致力为用户提供更加优质的网络安全系统。”
艾科网信成立于2007年,秉承“诚信、合作、共赢”的企业宗旨,着力于“创新更安全”的研究方向,结合中国实际的网络情况和安全态势,创新地提出了实名制网络管理解决方案,实现了用户、IP、终端的有机关联,为管理和审计提供了新的模式。艾科网信还提出了“内网规范管理”的理念,以实名管理为基础,实现按人、按角色规划安全策略,结合信息技术等级保护的相关技术标准,开创性地研发出实名制准入控制系统。在“震网”事件之后,针对网络和工业控制系统的可视化技术成了艾科网信发展的重点。艾科网信把接入网络中的所有设备均纳入管理员的管理视野,并能准确地告知管理员这些设备的位置,哪些设备有异常等,在第一时间为管理员有效地洞悉网络整体安全情况提供相关的数据和视图。
为了更好地为客户提供优秀的网络安全管理解决方案和优质的技术服务,艾科网信在广州、上海、宁波、成都设立了办事处,并建设了覆盖全国的渠道和机构,其强大的研发团队、精良的销售体系和完善的售后保障解除了用户的后顾之忧。
工业网络安全管理范文第10篇
【关键词】策略驱动;网络安全;组件
1 引言
随着计算机网络应用领域不断扩大和复杂性的日益增长,暴露出的众多安全问题越来越令人担忧。电脑病毒、黑客入侵等事件已屡见不鲜。为此,市场上出现了各个层面的网络安全产品,如软硬件防火墙、漏洞评估工具、入侵检测系统、病毒扫描、和各种系统安全防护探针等。从抽象角度分析,硬件的网络安全产品,软件的安全应用,各种安全事件和安全数据的管理工具都可以看成网络中的安全防护设备,简化起见本文将其统称为安全设备。它们在一定程度上保障了网络环境的安全。然而,在绝大多数场合中这些安全产品是被孤立地使用的,安全产品供应商往往只是从某一个局部去解决网络安全的部分问题,而很少从整体以及安全管理的角度去考虑。事实上,只有动态地从整体与管理的角度去考虑安全才有可能真正为用户提供安全保障,因而有必要设计一个统一的安全策略,协调各个不同层面网络安全资源的综合性安全管理系统,以使各个层面的网络安全产品融合成一整体。但是,安全设备的增多提高了网络管理的复杂性卜,由此网络安全管理的概念应运而生。所谓网络安全管理就是管理以上所提到的来自不同厂商不同作用范围的网络安全硬件、安全应用进程、网络安全数据等。[1]
设计了一个基于策略驱动的网络安全设备联动管理平台的原型系统。下面我们将首先分别介绍安全设备和网络安全联动管理,并在后面的章节中具体介绍我们设计的网络安全管理平台。
2 网络安全管理平台的框架
网络安全管理平台的设计目的是提供一个可扩充的体系框架,在这个框架下被管理节点的功能可以根据管理的需要增加或者删减,从而达到管理地灵活性,可扩充性,分布式,同时简化和降低管理复杂度。
基于对管理平台的各种技术和功能的要求,我们设计了一个分布式的多节点系统。系统中存在着以下几种角色:管理节点,安全组件,核心控制台,策略引擎和安全通信通道。
管理平台希望获得管理灵活、方便的性能,我们提出了基于策略的管理方式。策略体现网络安全管理员的管理意图,描述当前网络的安全操作和安全性育昌。
通过以上设计,网络安全管理平台应该能够达到通过对现有网络安全设备简单包装即可嵌入本文设计的网络安全管理平台,达到可集成当前存在的网络安全资源遵照安全平台规范设计的安全组件可以在网络内部平滑的流动,从而达到管理可扩展性和动态性符合管理平台规范安全组件的特定功能可以调用其他组件或者被其他组件调用,达到安全能力互补提高系统可存活性的目的。
在安全管理平台中,安全管理策略可以理解为网络管理员的管理意图。这里可能有两类情况,其一是经一定的触发安全事件而执行的动作以保证大型网络安全。触发源来自安全组件的报警,执行动作由具备相应功能的安全组件或设备,这一类称为系统响应策略或联动策略。另一类是为了完成系统交互功能,网络管理员设定的一些网络安全管理命令,它通常包括管理动作,管理对象,管理方法等儿个部分,这一类可称为安全管理策略或功能策略。管理策略可以描述为安全管理策略={ START STOP LOAD UNLOAD }+安全管理组件+管理域,即在一个管理域内安装、卸载、启动或停止一种安全管理组件。例如,在所有Linux服务器上安装一个Anti sniffer软件,所有Linux服务器是一个管理域、Anti sniffer软件是一个安全管理组件,安装或启动就是一个管理方法。
3 管理平台的消息机制
消息机制下的系统具有可扩充性强,分布式甚至对等处理等优点。消息在网络中可以被以中间节点全部转发、部分转发、部分处理、全部处理等多种方式使用。如果消息、能够采用标准的消息格式,则系统中还可能兼容大量的不同实现方式的中间节点。在网络安全管理中,对大量来源的资源的整合、兼容是非常重要的,如论文开始所述,正是由于网络安全的复杂性和多样性才产生所谓的网络安全管理的概念。同时,规范化的消息能够帮助系统适应复杂的网络拓扑结构,因为,中间节点的转发功能实际上相当于IP网络中的路由器的概念,网络中大量存在具有转发能力的管理节点l相当于大规模网络中存在大量的路由器)使消息可以在复杂拓扑的网络中正确的被发送到指定的位置。
网络安全管理平台原型系统的数据流是采用消息模式,系统的绝大多数行为由消息驱动产生。网络安全管理平台所有传输的消息都是采用XVIL格式。通讯数据经过加密和认证的安全通道传输。
在网管平台原型系统中,由于系统数据传输采用EVIL,格式,所以,XML文件的解析成为系统消息机制的核心问题。实践中我们采用C DOM API作为XML Parser的基础。
平台的消息通讯过程中,Core Manager同Agency以及Agency之间的交互采用平台消息的格式。传送双方一的节点主要处理依据是数据头()中的Message巧pe标签值。对应于不同的标签,消息体()中包含了不同的数据,同样节点的处理方一式也不相同。同时,底层通讯时分别采用了RC4加密和MDS认证技术,保证通讯内容的安全。本节将具体介绍通讯的安全机制以及整个通讯过程中的消息机制。
平台启动后,主控端和分控端经过认证后,分控端发送注册报文向主控端注册资源,主控端下发启动策略并镜像联动策略倒分控端。内容检测探针一启动后,当发现有泄密事件发生后,添加到平台报警队列中。策略引擎轮询报警队列,当报警队列不空时,分析相应事件进行策略匹配,从而完成一次联动过程。
4 总结
网络安全管理系统及其原型系统采用XML,语言作为系统平台的统一策略语言,定义了语言中的各种资源描述规范。使用XML,格式的消息作为系统平台的基本消息格式,定义在策略收发过程和系统反馈过程中的消息处理模式。实现了一个基于策略的网络安全管理原型系统,原型系统能够分析策略语言的内容,按照顶先定义的方式“推送”策略到策略执行点。原型系统基本可以达到简单的策略编写就可以管理网络中的不同来源的设备集成管理,达到联动的网络安全管理基本目的。
【参考文献】
[1] 张少俊,李建华,郑明磊.基于策略的网络管理.计算机工程,v.29. n.16, p127-129,2003