网络安全设备范文
时间:2023-03-22 04:09:52
网络安全设备范文第1篇
应用嵌入式芯片构建网络安全设备的设计研究文/童友连本文全面分析了网络安全隐患,清楚地阐述了构建网络安全设备的必要性,结合文献资料及现阶段的技术现状,尝试性提出将嵌入式芯片应用于网络安全设备的相关技术,以期为程序编写人员提供参考依据,提高网络使用的安全性能。摘要技术
1.1嵌入式智能岛技术
目前最常见的嵌入式系统为Linux操作系统,它具有优良的内核管理功能,还可为后续程序的编程修改提供相关的工具与数据库支持,且该系统的操作方法简单易行,在实际使用过程中备受推崇。现以Linux系统为基础,探讨嵌入式智能岛技术的实现过程及其可行性。嵌入式智能岛技术是在嵌入式芯片内部功能的基础上,加设网络控制程序,最大限度地确保网络使用安全。用户可直接将嵌入式芯片应用于网络安全设备,从而达到安全用网的目的。通过这一技术,未联网用户或内部网络用户在访问外部网络时,用户使用网络的相关指令将由浏览器发送至嵌入式芯片中的服务器,服务器可自动收集指令,并实现指令处理的智能化运作。同时,智能岛服务器还能对所收集的指令进行集中化处理,对指令中对应的网站点进行全网式搜索,将相关信息进行分类处理,并将合乎安全性要求的信息及其类别导入到芯片内部的数据库中,为后续使用提供便利。若用户在未联网的情况下使用计算机等设备时,嵌入式智能岛结构中的网络开关可实现内部网络与外部网络的物理隔离,从而有效减轻来自外部网络的病毒或黑客攻击等安全隐患。
1.2嵌入式防火墙技术
传统防火墙多位于网络入口的控制位置,可很好地抵抗来自外部网络的攻击,但其对内部攻击毫无抵抗能力,具有较强的安全局限性。嵌入式防火墙技术是将防火墙软件通过一定的编程技术写入嵌入式芯片,利用嵌入式芯片实现对整个网络的安全防护。嵌入式防火墙系统由多个内部网络中的客户端和一部集中管理器组成。通过嵌入式芯片的使用,可很好地对内部网络中的每一客户端实行安全监控,具有过滤和检测进入内网的外部网络数据的作用,从而实现对各用户使用外部网络过程中不安全因素的有效控制。内网中所有的嵌入式芯片均可作为整个嵌入式防火墙的重要组分,通过与集中服务器的联合使用,可清楚明了地进行内部网络的安全管理工作,其具体作用过程为:服务器可通过嵌入式芯片的使用,制定相应的安全管理策略,根据各客户端的使用要求分配相应的安全控制任务。通过嵌入式芯片构建嵌入式防火墙系统,可实现对整个内网中的服务器、各客户端主机等组件在使用过程中的安全防护,进一步确保内网用户的网络使用安全。利用嵌入式芯片实现嵌入式防火墙的关键技术主要体现在以下几个方面:
(1)利用分割点计算编写区域分割包的有关算法,对嵌入式防火墙内部的库管理过程进行动态点计算,减小决策树的长度,有效提高防火墙的操作快捷性。
(2)根据用户在内网中的使用等级,编写相对应的策略生成算法,实现对不同用户使用外网的安全监护。
(3)可通过编程技术,创新性地将嵌入式防火墙应用于操作系统的桌面防护中,从硬件和软件两方面对内部网络中的用户进行保护。此外,在构建嵌入式防火墙系统的同时,应将传统防火墙与嵌入式芯片技术联合使用,进一步提高网络访问的安全性能。
2结束语
综上所述,嵌入式芯片相较于传统CPU的优势主要有:指令处理速度快、存储保护功能高、便于功能开发及使用功率小。将嵌入式芯片技术应用于网络安全设备的构建工作,是信息时展的必然趋势。可应用嵌入式智能岛技术、嵌入式防火墙技术等,将嵌入式芯片应用于网络安全设备的构建过程,从而实现内部网络整体安全性能的提高。因此,编程技术人员应在现有技术基础上,更深入地研究新型编程技术,将嵌入式芯片更好地应用于网络安全控制工作中,从而为用户提供更优质的网络使用体验。
网络安全设备范文第2篇
【关键词】IPSec;ESP;VPN;网络安全设备
0 引言
TCP/IP协议的开放性、灵活性使得基于IP技术的通信系统成为各类通信网络的主要构成部分,但网络上的IP数据包几乎都是用明文传输的,非常容易遭到窃听、篡改等攻击。特别是传输重要数据的通信IP网,网络的安全性尤其重要。
IPSec(Internet Protocol Security)在IP层提供安全服务,使得一个系统可以选择需要的协议,决定为这些服务而使用的算法,选择提供要求的服务所需要的任何密钥。IPSec可保障主机之间、网络安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。因此,采用基于IPSec的网络安全设备可为重要数据安全传输提供保障。
1 IPSec概述
IPSec协议是IETF提供的在Internet上进行安全通信的一系列规范,提供了在局域网、专用和公用的广域网和Internet上的安全通信的能力,保证了IP数据报的高质量性、保密性和可操作性,它为私有信息通过公用网提供了安全保障。通过IKE(IPSec Key Exchange,自动密钥交换)将IPSec协议简化使用和管理,使IPSec协议自动协商交换密钥、建立和维护安全联盟服务。使用IPSec协议来设计实现的VPN(Virtual Private Network,虚拟专用网)网关具有数据安全性、完整性、成本低等几方面的优势。
使用IPSec协议是用来对IP层传输提供各种安全服务,主要包括两种安全协议,即AH(Authentication Header,验证头)协议和ESP(Encapsulating Security Payload,封装安全载荷)协议。AH协议通过使用数据完整性检查,可判定数据包在传输过程中是否被修改;通过使用验证机制,终端系统或网络设备可对用户或应用进行验证,过滤通信流,还可防止地址欺骗攻击及重放攻击。ESP协议包含净负荷封装与加密,为IP层提供的安全服务包括机密性、数据源验证、抗重播、数据完整性和有限的流量控制等。两者比较之下,ESP协议安全性更高,与此同时其实现复杂性也较高,本文设计的网络安全设备采用ESP协议。
2 网络安全设备设计
2.1 设备加解密原理
图1 设备加密工作原理
为确保重要数据传输安全可靠,需在通信IP网中增加保密措施,因此本文设计了基于IPSec的网络安全设备。设备采用软件和硬件相结合的方式实现IPSec协议体系。软件模块主要完成控制层面的功能,包括网络管理、密钥管理、策略管理、配置管理、热备管理、信道协商等功能;硬件模块主要完成数据处理层面的功能,包括数据包的协议分析、保密策略和加解密密钥的搜索、加解密处理、IPSec隧道头的封装和拆封装等功能,设备加密工作原理如图1所示。
当设备收到用户IP包时,先判断其是否为保密数据,如果是,则在该IP数据前加入一个ESP头,然后发送到公网。ESP头紧跟在IP头后面,ESP占用IP协议标识值为50。对IP包的处理遵守以下规则:对于要发送到公网的IP包,先加密,后验证;对于从公网上收到的IP包,先验证,后解密。
当设备要发送一个IP包时,它在原IP头前面插入一个ESP头,并将ESP头中的下一个头字段改为4,根据密钥管理协议协商得到的SPI(Security Parameters Index,安全参数索引)值填入到ESP头中,并分配一个序列号,同时根据算法要求插入填充字段,并计算填充长度。在ESP头的前面插入一个新的IP头,源地址为设备的IP地址,目的地址为对端设备的IP地址,并对相应的字段赋值,在做完以上处理后,对IP包加密,并进行验证,将验证数据插入ESP尾部。最后计算最前面的IP头的校验和。
远端设备接收到一个ESP包后,首先检查这个包是否有相关的SA(Security Association,安全关联)存在,如果不存在,则将该包丢弃。如果存在,则进行下一步处理。首先检查序列号,如果序列号无效(一个重复的包),则将该包丢弃。如果有效,则进行下一步处理。根据对应的SA对这个包进行验证,并将验证结果与IP包中的验证字段比较,若不一致,则丢弃,若一致,下面就进行解密,并根据填充内容来判断解密是否正确,因为填充数据可以通过约定事先知道。在验证和解密成功后,就对IP包进行初步地有效性检验,这个IP包的格式与SA要求的工作模式是否一致,若不一致,则丢弃该包,若一致,就准备从ESP包中解出原IP包,删除外面的IP头和ESP头,然后检查这个IP包与SA所要求的地址和端口是否符合,若不符合,则丢弃,若符合,则设备将该IP包转发出去。
2.2 硬件结构设计
网络安全设备采用模块化的设计思路,各硬件功能模块之间采用接插件方式连接,各模块的连接关系如图2所示。
图2 设备硬件结构及连接关系
设备主板是数据处理核心模块,其他各模块通过接插件与其连接。承载了业务安全处理、加解密等设备的核心功能。其上的主控模块运行Vxworks操作系统,承载设备嵌入式软件,全面管理设备软硬件运行状态。板载密码模块完成业务数据的高速加解密处理。
接口板包括用户口和网络口两块接口板,通过高(下转第64页)(上接第65页)速接插件插在设备主板上。接口板上的千兆MAC芯片通过业务和控制线缆连接到后接线板。
IC卡读卡器通过RS232接口线缆与设备主板上的主控模块相连。电源模块使用电源接插件为各功能模块提供相应的直流电源。后接线板提供千兆口、100/1000自适应电口的用户业务接入,本地控制接入。
3 VPN构建
网络安全设备专门用于在TCP/IP体系的网络层提供鉴别、隧道传输和加解密功能。通过对IP层加解密,可以支持大多数用户业务,对局域网重要数据进行加密保护,通过公共通信网络构建自主安全可控的内部VPN,集成一定的包过滤功能,使各种重要数据安全、透明地通过公共通信环境,是信息系统安全保障体系的基础平台和重要组成部分。设备部署在局域网出口处,通过对IP数据的加解密,可以保证局域网数据在公共信道上传输的安全性。
与设备相连的内部网受到IPSec保护,这个内部网可连入不安全的公用或专用网络,如卫星通信、海事和专用光纤等。在一个具体的通信中,两个设备建立起一个安全通道,通信就可通过这个通道从一个本地受保护内部网发送到另一个远程保护内部网,就形成了一个安全虚拟网。当位于某个安全内部网的主机要向另一个位于安全内部网的主机发送数据包时,源端网络安全设备通过IPSec对数据包进行封装,封装后的数据包通过隧道穿越公用网络后到达对端网络安全设备。由于事先已经经过协商,收端网络安全设备知道发端所使用的加密算法及解密密钥,因此可以对接收数据包进行封装。解封装后的数据包则转发给真正的信宿主机,反之亦然。
4 结束语
在设计网络安全设备时采用IPSec协议,使用ESP对传输的数据进行严格的保护,可大大增强IP站点间安全性。在传输重要数据的通信IP网中使用本文设计的基于IPSec的网络安全设备构建VPN能很好地防止数据被更改或窃取,确保数据传输的安全性。
【参考文献】
[1]蓝集明,陈林.对IPSec中AH和ESP协议的分析与建议[J].计算机技术与发展,2009,11(19):15-17.
[2]郭旭展.基于IPSec的VPN安全技术研究[J].电脑知识与技术,2009,8(24):52-54.
[3]蹇成刚.IP分组网络安全分析及IPSec技术[J].计算机与网络,2010,17:42-43.
网络安全设备范文第3篇
本文全面分析了网络安全隐患,清楚地阐述了构建网络安全设备的必要性,结合文献资料及现阶段的技术现状,尝试性提出将嵌入式芯片应用于网络安全设备的相关技术,以期为程序编写人员提供参考依据,提高网络使用的安全性能。
【关键词】嵌入式芯片 网络安全设备 应用设计
随着信息化进程的不断加快,网络设备在人们生活中的应用范围正不断扩大,网络使用安全性也越来越引起重视,人们对网络安全设备的性能也提出了更高要求。如何构建更有效的网络安全设备,是现阶段设备设计人员亟待解决的重要问题。因此,探讨嵌入式芯片在网络安全设备中的应用可行性,并探讨性提出相应实现技术,具有较高的现实意义。
1 嵌入式芯片的应用优势
嵌入式系统是根据特定用户群体的使用需求,在高新计算机技术、电子科学技术及半导体设备应用技术等基础上,使用嵌入式芯片实现各项指令任务的计算机应用系统。嵌入式芯片是嵌入式系统的关键组分,它在嵌入式系统中的作用与通用CPU相同。相较于传统系统而言,将嵌入式芯片应用于计算机系统的优势主要表现为:
(1)嵌入式芯片可为多个任务的同时进行提供良好的运作平台,尽可能地缩短不同程序任务间的中断切换时间,最大限度地缩短系统内部各项指令的响应时间。
(2)嵌入式芯片具有功能清晰的模块化结构,其存储保护功能远高于一般水平。
(3)嵌入式芯片在计算机系统中,与其相关的处理器结构具有强度的系统扩展性能,可根据用户的安全性需求,在最短时间内开发出合乎要求的功能模块。
(4)嵌入式芯片多应用于便携式设备,芯片功率普遍较低。
因此,将嵌入式芯片应用于网络安全设备中,可显著加快安全设备的运行速度,提高网络安全设备的使用性能,从而为用户的网络使用提供更优质的体验。嵌入式芯片具有较高的实际应用价值,应用前景相当可观。
2 嵌入式芯片在网络安全设备中应用的技术
2.1 嵌入式智能岛技术
目前最常见的嵌入式系统为Linux操作系统,它具有优良的内核管理功能,还可为后续程序的编程修改提供相关的工具与数据库支持,且该系统的操作方法简单易行,在实际使用过程中备受推崇。现以Linux系统为基础,探讨嵌入式智能岛技术的实现过程及其可行性。
嵌入式智能岛技术是在嵌入式芯片内部功能的基础上,加设网络控制程序,最大限度地确保网络使用安全。用户可直接将嵌入式芯片应用于网络安全设备,从而达到安全用网的目的。
通过这一技术,未联网用户或内部网络用户在访问外部网络时,用户使用网络的相关指令将由浏览器发送至嵌入式芯片中的服务器,服务器可自动收集指令,并实现指令处理的智能化运作。同时,智能岛服务器还能对所收集的指令进行集中化处理,对指令中对应的网站点进行全网式搜索,将相关信息进行分类处理,并将合乎安全性要求的信息及其类别导入到芯片内部的数据库中,为后续使用提供便利。
若用户在未联网的情况下使用计算机等设备时,嵌入式智能岛结构中的网络开关可实现内部网络与外部网络的物理隔离,从而有效减轻来自外部网络的病毒或黑客攻击等安全隐患。
2.2 嵌入式防火墙技术
传统防火墙多位于网络入口的控制位置,可很好地抵抗来自外部网络的攻击,但其对内部攻击毫无抵抗能力,具有较强的安全局限性。嵌入式防火墙技术是将防火墙软件通过一定的编程技术写入嵌入式芯片,利用嵌入式芯片实现对整个网络的安全防护。嵌入式防火墙系统由多个内部网络中的客户端和一部集中管理器组成。
通过嵌入式芯片的使用,可很好地对内部网络中的每一客户端实行安全监控,具有过滤和检测进入内网的外部网络数据的作用,从而实现对各用户使用外部网络过程中不安全因素的有效控制。内网中所有的嵌入式芯片均可作为整个嵌入式防火墙的重要组分,通过与集中服务器的联合使用,可清楚明了地进行内部网络的安全管理工作,其具体作用过程为:服务器可通过嵌入式芯片的使用,制定相应的安全管理策略,根据各客户端的使用要求分配相应的安全控制任务。通过嵌入式芯片构建嵌入式防火墙系统,可实现对整个内网中的服务器、各客户端主机等组件在使用过程中的安全防护,进一步确保内网用户的网络使用安全。
利用嵌入式芯片实现嵌入式防火墙的关键技术主要体现在以下几个方面:
(1)利用分割点计算编写区域分割包的有关算法,对嵌入式防火墙内部的库管理过程进行动态点计算,减小决策树的长度,有效提高防火墙的操作快捷性。
(2)根据用户在内网中的使用等级,编写相对应的策略生成算法,实现对不同用户使用外网的安全监护。
(3)可通过编程技术,创新性地将嵌入式防火墙应用于操作系统的桌面防护中,从硬件和软件两方面对内部网络中的用户进行保护。
此外,在构建嵌入式防火墙系统的同时,应将传统防火墙与嵌入式芯片技术联合使用,进一步提高网络访问的安全性能。
3 结束语
综上所述,嵌入式芯片相较于传统CPU的优势主要有:指令处理速度快、存储保护功能高、便于功能开发及使用功率小。将嵌入式芯片技术应用于网络安全设备的构建工作,是信息时展的必然趋势。可应用嵌入式智能岛技术、嵌入式防火墙技术等,将嵌入式芯片应用于网络安全设备的构建过程,从而实现内部网络整体安全性能的提高。因此,编程技术人员应在现有技术基础上,更深入地研究新型编程技术,将嵌入式芯片更好地应用于网络安全控制工作中,从而为用户提供更优质的网络使用体验。
参考文献
[1]王树佳.基于ARM的嵌入式IPv6防火墙研究与设计[D].武汉理工大学,2010.
[2]张媛媛.若干无线嵌入式系统的安全技术研究[D].上海交通大学,2009.
[3]梁亮理.嵌入式IPv6防火墙体系结构研究与设计[J].电脑知识与技术,2009,5(31).
[4]张峰.基于ARM处理器的嵌入式防火墙的研究与实现[D].南京航空航天大学,2008.
作者单位
网络安全设备范文第4篇
关键词:网络安全;小文件;Hadoop;存储优化
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)35-0010-02
1引言
网络系统在运行过程中会产生大量的系统日志、应用日志、安全日志和网络日志,这些日志包含着关于网络运行、安全及状态的数据。随着采集日志的大规模增长,现有的存储系统硬件成本高,扩展能力差,数据并行访问效率低,难以满足网络安全设备联动系统的需求。因此,提供一种更高性能、更低成本、更好可靠性的易于管理的存储平台,才能够帮助该系统用尽可能低的成本应对日益增长的数据存储需求。HDFS采用主从式架构设计模式(master/slave),一个名称节点(NameNode)和若干数据节点(DataNode)构成HDFS集群[1]。HDFS的这种单名称节点的设计极大地简化了文件系统的结构,然而也因此引发了HDFS的小文件存储效率低的问题。HDFS设计之初的目的是存储大量的大文件,所以需要采用分块策略先将每个文件分块,保存机制是每个文件都占用一个或多个块。因为HDFS中的每个目录和文件的元数据信息都存放在名称节点的内存中,如果系统中存在大量的小文件(指那些比HDFS数据块(默认为64MB)小得多的文件),则无疑会降低整个存储系统的存储效率和存储能力。然而,在网路安全设备联动系统[2]存在着大量的小文件。大量的小文件存在于云存储系统中无疑会降低整个系统的I/O性能。针对这一问题,本文提出云存储中小文件的合并处理方法,以提高小文件的存储效率,提高整个系统的I/O性能。
2整体方案优化设计
文件的优化方案主要包括4个部分:数据预存储节点的功能设计,小文件合并方案,小文件索引结构的设计以及小文件合并过程的整体设计。
2.1数据预存储节点功能设计
数据预存储节点是在HDFS架构的基础上新增的节点,它位于客户端与名称节点和数据节点之间,主要实现对存储的文件进行预处理,根据文件大小,判断是否属于小文件,对于小文件主要完成存储前的合并,生成索引以及小文件检索时的文件分离等功能。增加数据预存储节点之后,在数据存储的过程中,数据的流向由从客户端直接到数据节点变成了由客户端先到预存储节点再到数据节点。
2.2小文件合并算法设计
当客户端写入小文件时,首先根据小文件的类型对数据预存储节点进行分组。然后分别将每个分组中的小文件合并成大文件,此时,生成相关小文件索引信息及元数据信息。最后将合并后的文件和相关的元数据,按照原HDFS写入文件的方式一同上传至HDFS中,其中第二类元数据信息由数据预存储节点进行存储,第一类元数据信息由名称节点进行存储,数据节点存储合并成的大文件[3]当客户端需要读取某个小文件时,从名称节点获取小文件所在大文件的元数据信息,然后从数据预存储节点获取第二类元数据信息,从数据节点获取小文件所在的大文件,并在接口中将大文件解档为若干小文件,并将这些小文件缓存在客户端。为了便于算法描述,对算法里的符号进行定义:File[type][MD5][key]——缓冲区中待合并的文件;type——日志文件的类型(1:主机日志;2:sort日志;3:防火墙日志;4:交换机日志);MD5——文件的MD5值;fi——要合并的第i个文件;xj——合并第j类文件个数。分组合并算法描述如下:(1)初始化,定义一个三维数组File[type][MD5][key],type初始化为1,key值初始化为文件的大小;(2)读入缓冲区的所有文件大小,更新数组File[type][MD5][key],根据文件的类型更新数组的type值,初始化i=1;(3)采用冒泡排序,分别将数组File[i][MD5][key]从大到小进行排序。首先判断File[i][MD5][key]的大小,如果所有文件的总大小大于64M,开始进行合并,否则退出程序,i++,等待下次分组合并调度;(4)从最大的文件fi开始分组。如果放入文件fi后,此类文件的总大小小于64M,则存放下一个文件,从数组中把文件fi的记录删除,循环这个过程,直到所有的File[i][MD5][key]文件都合并到一起;(5)计算每类文件合并后的大小,文件大小达到63M的调用HDFS命令将文件上传到HDFS上,大小小于63M的文件,再从缓冲区中查找文件进行装入,返回(2);(6)上传成功;主要是考虑到用户的访问效率,算法中采用将同类日志文件进行分组,无论从写入小文件,还是从读取小文件方面,都能大大提高HDFS的性能:首先减轻了名称节点的负担,在读取小文件方面,不用连接数据节点读取,减少文件读写的I/O操作,节约大量数据传输时间,极大地节省了网络通信开销,降低了HDFS的访问压力,提高客户端访问文件的速率和性能。当用户删除数据时,把合并后的文件取回数据预存储节点,进行分解,删除指定文件,再与缓存区中已有的文件进行合并。用户查询文件时,需要对HDFS索引进行查询,同时也需要查询缓冲区里面的文件。
2.3小文件索引结构的设计
在小文件合并之后,仅仅根据名称节点中存储的元数据信息不能检索到小文件,为了提高检索效率,需要为所有小文件构建相应的索引,使用户能够通过索引快速的检索到小文件。小文件索引信息是在小文件合并成大文件之后生成的,保存在数据预存储节点中,通过此类元数据信息,再结合名称节点中的第一类元数据信息,才能正确找到小文件的存储位置。所以小文件的索引信息对于后期的小文件检索极其重要,其中要包含小文件的一些重要信息:File_name类型为String,表示小文件名称;File_size类型为int,表示小文件大小;File_type类型为int,表示小文件类型;Merge_file_nam类型为string,表示小文件合并成大文件后的名称;File_offset类型为int,当前小文件在合并文件中的偏移量;time类型为long,表示文件的写入时间;If_use类型为bool,表示文件是否存在。
2.4小文件合并过程的整体设计
大致流程如下:当需要写入文件时,首先将数据传输到数据预存储节点,判断文件大小,如果文件大小超过了HDFS数据块的大小,则直接存入数据节点,并将元数据信息写入到名称节点;如果需要写入的文件属于小文件,则先判断小文件的类型,然后根据2.2中设计的小文件合并算法将小文件合并,生成索引信息,在这个合并的过程中,不断地将正在合并的小文件索引信息插入到小文件索引信息列表中,当合并文件块达到合适的大小时,客户端将写文件请求发送到名称节点将合并后的文件存储到相应的数据节点中。
3实验验证
实验需要搭建Hadoop集群,集群中包括4个节点:一台Na-meNode,二台DataNode,以及客户端用来提交数据的NameNode。使用VMware7.0来模拟Linux环境[4,5台机器上模拟海量小文件的存储和访问操作。本文随机选取了10000个xml日志数据文件,文件大小分布情况为:200kB占1%,300kB占2%,400kB占10%,500kB占20%,600kB占30%,700kB占20%,800kB占10%,900kB占4%,1000kB占3%,可见文件大小集中在400kb到1000kb之间。为了直观的反应优化方案在处理小文件和大文件时的系统性能,本文在测试数据中分别选取了100、1000、10000组数据,按照以上测试和执行程序步骤,对文件写入时间进行测试,测试结果如图1所示。实验结果表明,随着文件数量的增多,写入文件所用时间增长趋势的变化缓慢,说明本文设计的Hadoop小文件存储优化方案在写入海量小文件时性能更高。
4结论
本文首先对网络安全设备联动系统的数据转化为XML文档,然后对文件的特点及文件大小的分布进行了分析。针对HDFS对小文件存储效率低的问题,对小文件存储方案进行了优化,设计了小文件分组合并的算法。最后搭建了Hadoop集群环境,对改进的方案进行测试,实验结果表明,本文设计的Hadoop小文件存储优化方案在写入文件所用时间增长趋势的变化缓慢,说明本方案在写入海量小文件时具有很高的性能,在不影响存储系统运行状况的基础上,该方案提高了小文件的存储效率和读取效率。
参考文献:
[1]廖彬,于炯,张陶,杨兴耀.基于分布式文件系统HDFS的节能算法[J].计算机学报,2013(05):1047-1064.
[2]傅颖勋,罗圣美,舒继武.安全云存储系统与关键技术综述[J].计算机研究与发展,2013,50(1):136-145
[3]DLTennenhouse,JMSmith,WDSincoskie,etal.ASurveyofActiveNetworksResearch[J].IEEECommunicationsMagazine,1997,35(l):80-86.
[4]许春玲,张广泉.分布式文件系统HadoopHDFS与传统文件系统LinuxFS的比较与分析[J].苏州大学学报(工科版),2010,04:5-9+19.
[5]崔杰,李陶深,兰红星.基于Hadoop的海量数据存储平台设计与开发[J].计算机研究与发展,2012(S1):12-18.
网络安全设备范文第5篇
关键词:安全事件管理器;网络安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c
1 相关背景
随着网络应用的发展,网络信息安全越来越成为人们关注的焦点,同时网络安全技术也成为网络技术研究的热点领域之一。到目前为止,得到广泛应用的网络安全技术主要有防火墙(Firewall),IDS,IPS系统,蜜罐系统等,这些安全技术在网络安全防护方面发挥着重要的作用。但是随着网络新应用的不断发展,这些技术也受到越来越多的挑战,出现了不少的问题,主要体现在以下三个方面:
(1)众多异构环境下的安全设备每天产生大量的安全事件信息,海量的安全事件信息难以分析和处理。
(2)网络安全应用的发展,一个组织内可能设置的各种安全设备之间无法信息共享,使得安全管理人员不能及时掌网络的安全态势。
(3)组织内的各种安全设备都针对某一部分的网络安全威胁而设置,整个组织内各安全设备无法形成一个有效的,整合的安全防护功能。
针对以上问题,安全事件管理器技术作为一种新的网络安全防护技术被提出来了,与其它的网络安全防护技术相比,它更强调对整个组织网络内的整体安全防护,侧重于各安全设备之间的信息共享与信息关联,从而提供更为强大的,更易于被安全人员使用的网络安全保护功能。
2 安全事件管理器的概念与架构
2.1 安全事件管理器概念
安全事件管理器的概念主要侧重于以下二个方面:
(1)整合性:现阶段组织内部安装的多种安全设备随时产生大量的安全事件信息,安全事件管理器技术注重将这些安全事件信息通过各种方式整合在一起,形成统一的格式,有利于安全管理人员及时分析和掌握网络安全动态。同时统一的、格式化的安全事件信息也为专用的,智能化的安全事件信息分析工具提供了很有价值的信息源。
(2)闭环性:现有的安全防护技术大都是针对安全威胁的某一方面的威胁而采取防护。因此它们只关注某一类安全事件信息,然后作出判断和动作。随着网络入侵和攻击方式的多样化,这些技术会出现一些问题,主要有误报,漏报等。这些问题的主要根源来自于以上技术只侧重对某一类安全事件信息分析,不能与其它安全设备产生的信息进行关联,从而造成误判。安全事件管理器从这个角度出发,通过对组织内各安全设备产生的信息进行整合和关联,实现对安全防护的闭环自反馈系统,达到对网络安全态势更准确的分析判断结果。
从以上二个方面可以看出,安全事件管理器并没有提供针对某类网络安全威胁直接的防御和保护,它是通过整合,关联来自不同设备的安全事件信息,实现对网络安全状况准确的分析和判断,从而实现对网络更有效的安全保护。
2.2 安全事件管理器的架构
安全事件管理器的架构主要如下图所示。
图1 安全事件事件管理系统结构与设置图
从图中可以看出安全事件管理主要由三个部分组成的:安全事件信息的数据库:主要负责安全事件信息的收集、格式化和统一存储;而安全事件分析服务器主要负责对安全事件信息进行智能化的分析,这部分是安全事件管理系统的核心部分,由它实现对海量安全事件信息的统计和关联分析,形成多层次、多角度的闭环监控系统;安全事件管理器的终端部分主要负责图形界面,用于用户对安全事件管理器的设置和安全事件警报、查询平台。
3 安全事件管理器核心技术
3.1 数据抽取与格式化技术
数据抽取与格式化技术是安全事件管理器的基础,只要将来源不同的安全事件信息从不同平台的设备中抽取出来,并加以格式化成为统一的数据格式,才可以实现对安全设备产生的安全事件信息进行整合、分析。而数据的抽取与格式化主要由两方面组成,即数据源获取数据,数据格式化统一描述。
从数据源获取数据主要的途径是通过对网络中各安全设备的日志以及设备数据库提供的接口来直接获取数据,而获取的数据都是各安全设备自定义的,所以要对数据要采用统一的描述方式进行整理和格式化,目前安全事件管理器中采用的安全事件信息表达格式一般采用的是基于XML语言来描述的,因为XML语言是一种与平台无关的标记描述语言,采用文本方式,因而通过它可以实现对安全事件信息的统一格式的描述后,跨平台实现对安全事件信息的共享与交互。
3.2 关联分析技术与统计分析技术
关联分析技术与统计分析技术是安全事件管理器的功能核心,安全事件管理器强调是多层次与多角度的对来源不同安全设备的监控信息进行分析,因此安全事件管理器的分析功能也由多种技术组成,其中主要的是关联分析技术与统计分析技术。
关联分析技术主要是根据攻击者入侵网络可能会同时在不同的安全设备上留下记录信息,安全事件管理器通过分析不同的设备在短时间内记录的信息,在时间上的顺序和关联可有可能准备地分析出结果。而统计分析技术则是在一段时间内对网络中记录的安全事件信息按属性进行分类统计,当某类事件在一段时间内发生频率异常,则认为网络可能面临着安全风险危险,这是一种基于统计知识的分析技术。与关联分析技术不同的是,这种技术可以发现不为人知的安全攻击方式,而关联分析技术则是必须要事先确定关联规则,也就是了解入侵攻击的方式才可以实现准确的发现和分析效果。
4 安全事件管理器未来的发展趋势
目前安全事件管理器的开发已经在软件产业,特别是信息安全产业中成为了热点,并形成一定的市场。国内外主要的一些在信息安全产业有影响的大公司如: IBM和思科公司都有相应的产品推出,在国内比较有影响是XFOCUS的OPENSTF系统。
从总体上看,随着网络入侵手段的复杂化以及网络安全设备的多样化,造成目前网络防护中的木桶现象,即网络安全很难形成全方面的、有效的整体防护,其中任何一个设备的失误都可能会造成整个防护系统被突破。
从技术发展来看,信息的共享是网络安全防护发展的必然趋势,网络安全事件管理器是采用安全事件信息共享的方式,将整个网络的安全事件信息集中起来,进行分析,达到融合现有的各种安全防护技术,以及未来防护技术兼容的优势,从而达到更准备和有效的分析与判断效果。因此有理由相信,随着安全事件管理器技术的进一步发展,尤其是安全事件信息分析技术的发展,安全事件管理器系统必然在未来的信息安全领域中占有重要的地位。
参考文献:
[1]贾小晶,李建华,张少俊.基于规则的分层式安全事件管理[J].信息安全与通信保密,2005,(02).
网络安全设备范文第6篇
关键词: 网络安全;B/S架构;浏览器;计算机技术
0 引言
计算机网络技术的发展推动了信息化革命的进程,信息的实时性、保密性传递也成为网络技术人员研究的热点,尤其对网络信息安全系统的研究最为追捧。因此,为了保障网络系统的安全,各个公司和企业加装了种类繁多的网络安全设备,如搭设防火墙、构建网络入侵检测系统等,但这些网络安全措施一般都各自为战,不能很好的进行协调合作,共同维护网络信息安全,所以基于B/S(Browser/Server)架构的网络安全系统的建设尤为重要。
所谓B/S架构即浏览器/服务器架构,它是伴随Internet技术发展的同时,对C/S(Client/Server)的一种改进架构,在这种架构下,用户可以通过网络浏览器将各种网络安全产品进行统一调度管理,打破各自为战的局面,使之能够互相支撑、协同合作。其最大的优势就是不依赖任何软件和办公地点,只要有一台可以上网的PC机,用户便可实现网络安全系统的统一管理和调度工作,实现了客户端零维护。
1 基于B/S的网络安全系统的设计与实现
该网络安全系统主要是采用直接面向对象进行设计的方法,利用Java和Delphi并结合SQL SERVER进行开发,建设完成系统及数据库。投入运行后,可将分散的安全设备的安全日志和信息系统操作日志通过网络服务器上传到网络上,然后用户通过浏览器对这些信息进行宏观调配,合理协调各个安全设备运行,打破“安全孤岛”格局,实现真正的网络数据系统的安全化。
本网络安全系统采用四层分布式体系结构,主要包括管理层、网络服务层、信息处理层和数据层,且相关的各个服务组件都封装在网络服务器中。其工作流程图如图1所示。
1.1 管理层
管理层主要完成用户通过浏览器提取网络线上信息进行安全设备的宏观调配的任务,同时通过浏览器用户可以更改网络安全设备参数、查询日志和更新数据库数据。
1.2 网络服务层
网络服务层主要完成把安全设备运行时产生的安全日志和操作信息远程提交给数据服务器,供管理层浏览器端查询。其工作流程主要为接收到管理层浏览器请求后,根据浏览器请求要求,然后传送至信息处理层,信息处理层收集传送至的页面信息并上传所需信息到网络服务层。在网络服务层中储存了运行参数相应的主要实现代码,以备系统可以实时有效的查询网络安全信息。
1.3 信息处理层
信息处理层是整个网络安全系统的核心,这一层主要是完成对采集来的各类资源数据的处理,形成对风险、策略、知识等的综合管理,同时按照安全问题的处理流程、依照相关的规则和安全风险管理模型来实现对防火墙、入侵检测、防病毒、主机、网络等构成的安全防护体系的统一监控和管理,起到一个承接上层网络服务层的数据响应功能,从下到数据层提取采集到的关键数据的作用。构建信息处理层决定了整个安全系统的性能和应对威胁效率,在设计信息处理层时要力求安全逻辑的识别和实现,合理的利用好整个系统的空间资源,分配好逻辑处理时间。
1.4 数据层
数据层主要负责对底层分散的各种安全网络设备的数据进行采集汇总,在采集时要尽可能的考虑到计算机网络系统中的安全危险因素,像企业资产信息,软件后门信息数据,威胁信息数据,风险数据信息这种关键数据要加入到数据库中进行实时监测和控制,同时还要对这些数据进行预处理,以减少信息处理层的服务器压力,增加响应效率,增强安全系数。
1.5 安全机制的建立
企业和部门的计算机网络安全系统是一个庞大的分布式系统,主要有用于信息的网络服务器、存储信息的数据库、具有处理功能的算法服务器及安装的各种底层安全设备,值得注意的是这些服务器和数据库都不能部署在一台电脑上。在建立系统安全机制时,首先要安装好防火墙、路由器和网关等网络安全设备,然后根据网络安全策略部署计算机网络安全系统内部系统,主要涉及到的技术有:入网访问控制技术、网络权限控制技术、目录级安全控制技术、属性安全控制技术、网络服务器控制安全技术、网络监测和锁定控制技术、网络节点和安全的控制技术、防火墙控制技术、信息加密策略、网络安全管理策略。通过建设安全机制来防止信息泄露。
另外,将在管理层开发的浏览器设定为唯一的外部访问点,系统对用户的认证是通过网络服务器来执行的,在浏览器和服务器之间建立安全套接字协议SSL,利用SSL基于公开密钥的证书来认证系统用户。在颁发认证证书的同时并根据权限要求设定不同的权限用户,方便不同的操作人员的权限操作。
2 系统实施效果
目前该网络安全系统已经逐步进入了企业和部门,并受到了广泛的好评,基本实现了以下效果:
1)实现了对网络中数据的远程实时监控,提高了企业和部门中的各个安全网络设备的协调合作能力,提高了网络信息受到威胁攻击的反映速度,有效的改善了应对措施滞后的问题。
2)系统强大的综合查询功能,无论在何地,只需要有一台可以上网的电脑,便可随时对计算机网络安全信息日志和操作信息进行查询和记录,及时制定有效的应对措施。
3)维护简单,基于B/S架构的网络安全系统极大地减少了客户端维护成本,以最低的经济成本保障了网络系统的安全。
3 结论
本文研究表明,在企业和部门网络安全系统中,基于B/S架构模式的网络安全系统能够更好的满足企业和部门的计算机网络信息数据安全,以原有企业和部门安装的底层网络安全设备为基础,通过浏览器宏观管理与调度,使得安全设备密切联系在一起,互相支撑、互相配合,共同保障网络数据信息的安全。浏览器的纽带作用取代了过去以往的客户端设备,极大减少维护成本的同时增强了计算机网络数据的安全性。在当今信息化迅速发展的今天,此架构系统的研究为计算机网络安全系统的建设提供了一个有效的解决方案。
参考文献:
[1]陈霜霜,计算机网络安全的研究与探讨[J].科技信息,2011(35):136-137.
[2]涂海亮,计算机网络安全威胁因素及常用网络安全技术[J].老区建设,2009(6):46-48.
[3]梁基照,网络安全与入侵检测技术[J].和田师范专科学校学报,2008,23(8):187-188.
网络安全设备范文第7篇
关键词:地市烟草;网络安全;技术;管理
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2014) 02-0000-02
烟草行业自1985年有了第一台计算机以来,经过20多年行业信息化工作者孜孜不倦的努力,行业的信息化建设工作取得了长足的发展,建立了涵盖行业各个方面工作的完备的信息网络,为行业工作的便捷开展提供了可靠的信息化助力,为“卷烟上水平”做出了应有的贡献。但不可否认的是,在信息化建设之初,由于经验的缺乏及技术的限制,没有形成一个具有远见性及科学性,能与行业整体业务发展战略紧密融合的信息网络安全建设战略,导致多年来行业信息网络安全建设工作缺乏统一的导向和组织,虽然各省烟草公司都制定并出台了计算机网络建设与管理规范,指导各地市的信息网络建设,但因为制度出台时间较短,及网络改造需要流程与时间,可以说目前各地市网络安全建设水平仍不够理想,信息网络安全建设发展至今,越来越多的困难与矛盾开始逐渐凸显。
一、地市烟草公司信息网络安全建设现状
地市烟草信息网络是构成全省烟草信息网络的个体,因此地市信息网络安全建设水平便直接关系全省信息网络建设水平,是构成全省信息网络安全建设的一环,就像构成木桶的一板,依据管理学上“木桶效应”的短板理论,木桶的盛水量由构成木桶的最短的一板决定,当有一个地市信息网络安全建设水平大大低于平均水平,就将大大拉低全省烟草信息网络整体安全防护水平。可以说全省烟草的信息网路安全建设必将是环环相扣的,一环均不得松懈,一环均不得落后。
地市信息网络安全建设关系到全行业主干的网络的安全与稳定,而信息网络环境的复杂性、多变性以及系统的脆弱性、开放性和易受攻击性,决定了信息网络安全威胁的客观存在。当行业人员在享受着信息网络给日常办公带来便利性的同时,信息网络安全问题也日渐突出,信息网络安全建设形势日益严峻。结合地市烟草实际情况分析总结(某地市烟草信息网络安全结构图如下),以及笔者日常的实际工作体会,主要可以总结出当前地市烟草信息网络安全建设还主要存在着以下几方面问题:
(一)将信息网络安全建设理解为单纯的安全设备采购
经过多年的信息化网络安全建设投入,一种简单的理念容易令一些行业信息化工作从业者产生误解,即所谓的信息网络安全建设就是网络安全设备的采购,只要网络安全设备采购部署到位,信息网络安全便高枕无忧,从一定角度来说,这种观点并没有错误,随着信息技术的发展,日益先进强大的网络安全设备层出不穷,人性化的操作界面也使得设备使用与配置变得不再困难,对信息网络安全起到很好的保障。各地市烟草公司也在逐年增加着安全设备的采购数量,网络安全随着安全设备的增加看起来已经不再是问题。但实际情况是这样吗?在实际情况中我们仍然会发现,地市烟草在重视网络安全设备采购的时却较为忽视对网络安全设备采购的前期规划,导致亟需网络设备没有得到采购,或者采购的安全设备没有得到很好的实施。造成重复投资及资产浪费的局面,同时设备上线实施后期的运行维护及更新升级,随着时间的流逝,人为的懈怠与忽视,都导致购买的安全设备没有起到最大的作用。
(二)信网络安全建设偏重技术钻研,忽略日常管理
信息网络安全不能完全依赖技术手段来解决,更多的需要从信息安全日常管理上入手,毕竟信息网络的使用者是人,只有对人的管理到位,才能保证在技术手段搭建的网络安全保障平台下不出现人为操作引发的漏洞。当前地市信息化工作从业者在对信息安全技术钻研方面投以了很大的热情,但对信息网络安全日常管理方面却显得无能为力,或者说掌控能力还不够,虽然制定并颁布了涵盖网络安全各方面的信息化制度,但相关制度却没有得到很好的贯彻执行,很多制度名存实亡,而行业各级员工良好信息网络安全使用习惯始终没有得到养成,信息安全问责机制得不到很好实施,同时而信息中心作为相关信息安全管理制度的制定者,受限于部门职能及自身管理水平所限,导致对制度执行的监督管理能力低下。而在信息网络安全管理不力的情况下,致使再强大的技术防护都无法避免管理缺失形成的隐患。
(三)信息网络安全建设重视对外防护,忽视对内防护
当前网络安全建设更多的针对外来攻击的防护,而忽视对内的安全防护,更多的是在网络边界搭设安全设备抵御从外部而来的非法入侵及非法访问,而针对内部终端用户的审计及跟踪则较为缺失。根据统计结果标明,99.9%的网络安全事件来源于网络内部,而只有0.1%安全事件来自于外部,绝大多网络安全事件来自于以内部客户端为跳板进行的网络攻击。当企业内部存在有恶意的攻击者,他们就能较好的规避防火墙等安全设备的安全策略,并把安全策略转向对于他们有利的一面,对内部网络进行攻击。同时外部的黑客,也能通过木马,能让内部用户运行他们指定的程序,操纵主机,窃取数据,这些都源于当前的信息网络建设对来自网络内部攻击防护较为薄弱,同时对内部网络准入控制把控力度做得较为不足,虽部署有桌面终端管理系统,但在相应策略部署上,没有及时到位,而该系统特殊的技术阻断方式,也在一定程度容易导致其阻断率无法达到100%。
(四)网络安全建设应急机制不健全
目前地市信息网络安全建设更多的是重视的日常安全巡检等日常检查工作,但是对网络突发事件的应急处置则较为欠缺,地市网络安全建设应急机制建立不健全,缺乏相应网络事故应急预案及相关演练,对突况的应变不熟练,导致出现突发的网络安全事故时则会变得手忙脚乱,无法很好应对突发事件带来的异常,促使事故造成的损失愈发严重,同时没有良好的容灾备份机制,一旦信息安全事故发生,是否能快速有效的恢复关键数据成为疑问。
二、针对当前网络安全建设现状的一些建议
针对当前地市烟草信息网络安全建设过程中存在的问题,通过一定的分析总结,参照最新的技术规范及管理理念,以及上级的制度规定,我们试提出以下几条改进建议,以达到全面提升信息网络安全建设实用性、科学性、全面性、稳定性的效果,具体如下:
(一)加强网络安全设备采购的前期规划及合理配置实用
网络安全设备的采购应加强前期规划及需求分析工作,不能无目的,无原则的一味追求高新设备,当前的现状是各地市对网络安全的设备采购均存在着档次及匹配性问题,存在过大及追高的弊病,形成投资浪费,同时由于项目管控能力较弱,前期规划不足,购置的设备在配置实施后等不到很好的使用,或起不到原先预想的效果。因此要加强项目前期规划,做好需求调研与需求分析工作,对网络安全设备应起到的效果及采购设备级别有准确的预估,加强采购项目的整体实施管控,并重点关注设备采购后的实施上线工作,做好安全策略的制定和部署,要充分利用设备、活用设备,充分达到应起的效用,在设备正式上线运行后,要做好安全防护策略的及时更新与修订,作好安全设备的日常巡检工作,保证安全设备始终发挥作用,而不是上线运行一段时间后就闲置不管。通过对购置网络安全设备活用、善用,提升资产投资价值,搭建坚固稳妥信息网络安全环境,促进信息网络安全建设的实用性。
(二)建立完善的信息网络安全日常管理体系
加强网络安全建设的日常管理工作,应以培养员工的良好的网络安全习惯为工作重点。所谓信息网络安全建设“三分技术,七分管理”,管理到位,信息网络安全建设也将事半功倍。一味单纯的依靠技术进行网络安全防护,而管理上存在漏洞,再强大的技术也将一无所用。好的技术,加上完善严密的管理,才能确保信息网络安全、坚固、稳妥。因此要注重建立完善信息安全管理保障体系,加强安全监管和信息安全等级保护工作,要对网络设备的安全性和信息安全专用产品实行强制认证。同时在加强对员工日常信息安全理念培训的同时,要与接入网内的计算机终端使用者签订信息安全责任状,树立“谁使用、谁负责”、“谁管理、谁负责”的信息安全理念,严格落实信息安全责任制,确保员工不敢轻易触碰信息安全底限,养成良好信息网路安全使用习惯。通过建立全面多级信息网络安全管理体系,增进信息网络建设的科学性。
(三)加强信息网络安全建设对内防护工作
地市公司目前均在互联网出口及边界架设了硬件防火墙等安全设备,但由于防火墙的特殊技术架构,其对内部通过防火墙外部的数据是不进行检测的,这就导致黑客可以利用内网主机上的后门程序,建立隐蔽信道,攻破防火墙,因此其在抵御外部攻击上起到较好作用,但面对来自网络内部的攻击就显得束手无策,针对这一情况,在进行信息网络安全建设的同时,应重点加强信息网络安全的内部防护工作,而加强对客户端的上网行为审计及网络准入控制,就成了加强信息网络内部安全建设的必然选择。客户端接入网络的同时,通过对其安全状况及授权情况进行检测,只有安全状况符合要求,得到合理授权的客户端才能正常接入办公网络。应在互联网出口处,防火墙之前,部署上网行为管理设备,对客户端出互联网的数据进行检测及筛选,降低客户端进行危险的互联网访问,感染病毒,遭受攻击的分险。通过加强信息网络安全建设的内部防护,提升信息网络安全的全面性。
(四)加强信息网路安全建设应急机制建设及演练
要加强信息网络安全建设的应急机制建设,加强应急预案的实施演练,增强对网络安全突发事件的应急处理能力。每年应进行定期仿真度高的应急方案演练,模拟网络安全事故发生时可能发生的情况,进行针对性演习。在方案演练前,要做好演练前期的方案策划,演练过程的完全记录,演练过后的总结分析工作。并以此来不断改进现有的应急预案。同时应做好容灾备份工作,进行关键网络设备的冗余配置及重要数据库的备份工作,确保发生突发事件后,能够及时进行网络及数据恢复工作,将突发事件带来的影响降到最低,不过多的影响正常办公业务的开展,确保信息网络安全的稳定性。
四、结束语
烟草是个比较特殊的行业,在专卖体制下实行“统一领导?垂直管理?垄断经营”,处于一种行政限产型的垄断状态。行业的特殊性要求我们必须克服特殊体制带来的缺陷,高效的开展行业信息化建设工作。地市信息网络安络,作为全省信息网络的组成部分,其信息安全建设水平决定了全省信息网络安全性与稳定性,其重要性不言而喻,只有重视信息网络安全建设,重视当前信息网络安全建设过程中发现的问题,通过科学的规划,合理的布局,周密的实施,去逐渐改变当前的不利局面,才能确保信息网络安全建设的科学性、全面性、稳定性与实用性,确保日常信息网络的平稳运转,为全行业的快速发展提供稳定强大的信息化助力!
参考文献:
[1]福建省烟草公司.计算机网络建设与管理规范[Z].2012.
[2]卢昱,王宇.信息网络安全控制[M].北京:国防工业出版社,2011.
[3]林幼槐.信息通信网络建设安全管理概要[M].北京:人民邮电出版社,2012.
网络安全设备范文第8篇
模式。
关键词: 网络安全 数据库 审计技术
随着科技信息化技术的迅速发展,各类网络应用系统也融入日常工作生活中,网络作为各项网络应用的基础凸显出其重要性,网络安全管理是保障网络正常运行的重要工作,在网络安全管理中除了通过设备和配置实现安全防护,对于各种操作行为的安全审计不可忽视,合理运用网络安全审计技术相当于为网络开启“监视系统”,不仅能实现实时监控,对出现的高风险行为及时警示提醒,同时完成设定时间段内的操作行为存档以备分析取证,更重要的是系统中积累的历史数据通过统计和分析,能够为管理者提供真实准确的网络健康报告,为未来建设规划提供依据,在长航局网络建设中运用到网络安全审计技术。
网络安全审计技术概况
在国家出台的信息安全等级保护标准中对网络安全审计提出明确要求,包括对网络设备、安全设备、服务器、应用系统、数据库系统以及相关设备进行安全审计。网络安全审计技术主要可分为日志审计、网络审计和主机审计,通过启用硬件设备和软件系统的日志接口,获取系统广播的日志信息;对于核心网络设备,通过旁路模式开启数据镜像端口或直接串联在网络中,获取网络数据包进行解析;对于用户行为审计可通过安装客户端,直接获取用户行为信息。
在实际使用中,根据网络管理需要运用相应手段获取必要的审计信息,在长航局网络管理中对网络设备、安全设备、重要服务器、重要应用系统、重要数据库系统的安全审计是重点,未采取安装客户端方式获取用户行为信息。
网络安全审计技术实际运用
在长航局网络中网络安全审计主要包括:网络设备日志和操作过程记录、安全设备日志和操作过程记录、重要服务器日志、重要应用系统日志及操作痕迹、重要数据库系统日志及操作痕迹。
1、网络设备和安全设备安全审计
网络设备主要包括出口路由器、核心交换机、汇聚交换机和接入交换机,除部分接入交换机外,大部分网络设备属于可管理网络设备,进入网络设备配置模式,配置只读权限用户,启用SNMP功能,不同厂商设备略有不同。将需要管理的网络设备添加到网络中安全审计系统中,就可以获取到网络设备发送的SNMP数据包,安全审计系统会对收到的数据包按照事件等级进行分类,以便查询。
网络安全设备种类较多,如防火墙、入侵防护设备、防病毒网关、VPN设备、行为管理设备、流量控制设备等,根据各个厂商设备的设置,开启对应的SNMP功能,添加到网络中安全审计系统中操作和网络设备类似,需要注意的是串联在网络中的设备应设置允许SNMP数据包通过。安全设备通过安全策略和监控功能实现对网络安全保障,其监控信息实时更新,数据量较大,应根据需求确定需要记录的监控信息。
部分安全审计系统能够通过其登录管理网络设备和安全设备,并且记录下用户的操作痕迹,通过指派权限,设备管理员对对应设备的操作能够直观的展现出现,以便出现故障时分析查找问题。
2、服务器、应用系统及数据库安全审计
服务器由于硬件类别不同(如小型机、PC服务器、刀片服务器),安装的操作系统不同(如Windows、Linux),用途不同(如单机、集群、服务器虚拟化),开启SNMP功能方式有所不同,应根据具体情况进行操作。开启SNMP功能的服务器按照安全审计系统对于类别登记并纳入管理。
应用系统类别也比较多,基于不同平台、中间件定制开发的系统各不相同,应按照其提供的手册或通过开发人员沟通,开放日志接口,纳入安全审计系统管理。
数据库主要分为Orcale、MSSQL、DB2等几类,有统一规范的操作方法,按照对应数据库类别的操作方法,将其纳入安全审计系统,实现对数据库查询、读写、会话情况的记录和审计。
对服务器、应用系统、数据库的操作行为安全审计一般通过设置所在网络设备数据镜像接口方式实现。同样,部分安全审计系统能够通过远程登录方式去管理服务器及应用系统、数据库系统,记录下用户的操作痕迹,通过指派权限,设备管理员对对应被管理对象的操作能够直观的展现出现,以便出现故障时分析查找问题。
3、安全审计设备管理
按照网络结构特点,安全审计设备(系统)部署到合适的位置,数量有可能是一台或多台,超过一台时应根据其特点进行功能分工,接入方式以旁路为主。配置好网络后,登录管理安全审计设备,除添加各个被管理对象外,应对各类事件按照重要程度定义好级别或阀值,设置报警相关配置,定义好报表模板和报送方式,形成周期性报表以便保存和分析用。对于审计设备自身管理也应严格权限,按照管理需要分配不同类别管理权限,同时按照设备存储空间设置合理记录保存周期,或定期导出存储的记录。
网络安全审计参考模式
综合网络安全审计技术在实际中的运用方式方法,可以列出网络安全审计的使用参考模式,如图1所示。
对网络设备、安全设备、服务器、应用系统、数据库系统等相关对象可以通过开启日志功能管理。
通过获取网络数据包,可以深入记录分析更多行为操作。
对网络安全设备的分权限管理实现事件定级、分类、报警、形成统计分析报表。
图1
结束语
网络安全设备范文第9篇
【关键词】计算机网络;安全管理;分布式;多层次
Brief Discussion on the Computer Network Security Management
Yu Min
(Communication Construction Group(Ltd.)in Yixing,Yixing,214203)
Abstract:This paper presents a novel distributed multi-tiered platform design for network security management by analyzing related problems of safety management of computer networks,the system effectively improved manageability and safety reliability of internet security and decreased difficulties in system management.
Key words:Computer Network;Safety Management;Distribution;Multi-level
一个网络安全管理平台,可以实现网络安全管理及安全事件监控,也可以保障网络及应用不间断稳定运行。通过统一的平台进行安全管理已经成为当前最为有效的安全管理模式。文中主要从网络安全管理的范畴和技术方面进行探讨,然后提出了一种新的分布式多层次的网络安全管理平台的设计。
1.提出网络安全管理平台
面对层出不穷的网络安全问题及单个网络安全产品的局限性,很多机构和部门都购置了各种网络安全产品,如防火墙、VNP网关、网络防病毒软件等。利用这些安全产品实现对网络安全的管理,并且在不同的侧面保护着网络系统。然而这些产品大部分功能分散,各自为战,形成了相互没有关联的、隔离的“安全孤岛”;各种安全产品彼此之间没有有效的统一管理调度机制,不能互相支撑、协同工作,从而使安全产品的应用效能无法得到充分的发挥,这给安全管理带来很大的不便。要解决这些问题,就有必要研究新的网络安全管理技术,能够在一个统一的安全管理平台下对各种网络安全产品实施统一配置、统一策略、统一日志和统一报告,以便动态分析评估网络状况,因此,本文提出了一种新的网络安全管理平台的设计。
2.网络安全管理平台的总体设计
网络安全管理平台的出发点:(1)根据内部网络安全管理的特点,从网络用户的基础信息管理入手,融合多种网络管理和网络安全管理的技术,将网络安全管理与用户管理紧密结合,突破仅仅依靠安全产品管理网络的局限;(2)以用户为核心开发管理平台,较好地融入不同厂家的技术和产品;(3)根据管理需要开发管理平台,更贴近用户的管理需求,提高平台的可用性。
2.1 平台总体设计
网络安全管理平台中,用户需要一个完整的网络监控解决方案,通过采集网络信息、设备信息等,能够对网络设备、通信线路、网络状态、安全状况等进行监视和控制,并对它们进行充分的管理和起到网络安全稳定的作用。
通过统一的监控管理系统,将分散在各地区、不同网络上面的各种设备有机的结成一个整体。监控管理系统是全局的网络状态为核心,实时地集中收集设备状态信息、并进行相关性分析,为网络和设备提供真正有用控制,监控管理系统还提供多种预警和响应机制,及时控制和处理事件。
基于以上功能和技术的需求,文中设计了一个灵活的可扩充的网络安全管理平台。该系统的设计目标是:底层通信和数据交换协议采用SNMPv3,系统用分层架构实现,实现3层乃至多层架构。能提供多种访问方式和开发接口。体系间的信息交流进行加密传输(SSL),并使用访问控制措施,以实现系统的自身安全。
2.2 平台总体规划
由于安全设备管理和本身处理的特点,在系统结构的设计上,采取了分散处理、分散存储、统一管理、统一审计的分布式结构。系统设计的特点之一是采用级联结构,可以无限级联,适应从简单到复杂的网络结构。
设备指包括被管理和监控的网络安全设备,以及路由器等普通网络设备。事件服务器是网络安全管理平台的基础设备,承担了系统结构中的“分散处理、分散存储”的功能。作为基础设备,事件服务器可以独立运行,拥有事件管理的全部基本功能。
每个事件服务器最多只能有一个上级的事件管理中心。管理中心服务器承担系统结构中的统一管理、统一审计作用。事件管理中心支持级联。每个管理中心最多只能有一个上级管理中心。
2.3 平台软件设计
(1)事件管理中心。管理系统以事件管理中心为核心。事件管理中心通过事件服务器接收设备发出的事件,对事件进行实时分析,并写入管理系统数据库。同时,事件管理中心还接收并处理控制台的请求,管理设备组织结构,处理监控数据。此外,事件管理中心还处理系统自身的身份及权限等。
(2)管理中心控制台。事件管理中心控制台是用户操作网络安全管理平台的界面。一套网络安全管理平台系统可以有多个管理控制台,系统管理控制台模块组提供对网络安全管理平台自身系统的管理与维护,包括用户与权限管理、事件服务器管理、系统日志管理等部分;设备管理控制台模块组提供对设备组织结构的管理、设备地图等功能;系统监控控制台模块组提供对所管理设备的运行状态、事件(日志)的实时监视。
(3)审计服务器。审计服务器是一个单独的子系统,实现对存储在管理系统数据库中的设备事件的查询、统计分析,生成报表,并将结果通过Web Server发送给审计终端。审计终端就是一个浏览器。事件管理中心和所有事件服务器各带一个审计服务器。
(4)事件服务器。事件服务器通过事件适配器接收设备发出的事件,对事件进行实时分析,并写入事件服务器数据库。同时,事件服务器还接收并处理控制台的请求,管理设备组织结构,处理监控数据。
(5)事件适配器。事件适配器直接与安全设备(控制台)连接,将事件服务器的控制命令转发给控制台,并将设备的日志和属性参数等,传送给事件服务器。事件适配器必须与安全设备(控制台)安装在同一台计算机。
(6)事件服务器控制台。事件服务器控制台是管理中心控制台的简化,是事件服务器用户操作事件服务器的界面,用户的操作通过控制台反映给事件服务器,并将处理的结果返回给控制台并显示出来。
2.4 平台模块设计
(1)安全设备监控。
安全设备监控主要是以网络设备的安全信息为管理对象。网络安全管理平台对来自网络安全设备的安全信息分类进行处理:对设备实时状态信息(如CPU,网口的状态参数)进行显示;对网络安全事件和设备工作日志进行识别、归一化、保存等数据管理工作;并同时对这些安全事件进行实时分析和统计,从中发现更多和更深入的安全信息。
(2)安全管理
安全管理主要是以网络安全设备为管理对象。所管理的安全设备加入网络安全管理平台中或删除,在系统中的设备可以被配置和监控。并为用户提供多种表现这些设备在网络中的组织关系,位置信息的功能,以及用网络安全管理平台组建用户的安全管理组织网络的功能。此外还有为了安全信息审计的需要,提供的用户主机组织管理功能。
(3)安全策略
安全策略主要是提供集中的方式处理网络安全设备的策略配置问题,为用户提供统一的策略配置界面,用户可在该界面中进行策略个性化配置、策略模板应用和策略部署。
(4)安全审计
安全审计主要是以存储在系统数据库中网络安全事件和安全设备日志为处理对象。可以对这些安全信息根据各种条件进行查询,为用户提供各种网络安全统计信息。
(5)系统管理
作为安全管理平台,网络安全管理平台自身的安全也是很重要的问题。网络安全管理平台具有完善的自身用户管理,以及用户权限的管理。网络安全管理平台能够对系统本身的各种参数和安全性进行配置和控制。网络安全管理平台还可以记录并审计自身的工作日志。
3.结语
文中讨论了网络安全管理的范畴和技术,然后提出了一种新的分布式多层次的网络安全管理平台的设计。该平台从网络的整体安全出发,通过对网络中各个网络设备的集中监控,集中配置,以及通过集中收集、格式归一化和关联存储等功能来管理网络中的安全信息,进而实现实时监测网络中的安全状态,动态调整网络安全策略,综合审计网络安全信息,有效提升了用户网络安全的可管理性和安全水平。该平台具有广泛的实用性,可以在各级网络的管理部门安装,节省大量的经费。
参考文献:
[1]邢戈,张玉清,冯登国.网络安全管理平台研究[J].计算机工程,2004,30(10):129-131.
[2]孙强.基于定量安全风险评估模型的网络安全管理平台[J].微电子学与计算机,2010,
27(5):70-73.
[3]谢玉峰,梁铁柱,郑连清.网络安全综合管理平台的设计与实现[J].通信技术,2009,42(4):
139-141.
[4]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001
[5]董守玲,张凌.网络安全管理平台的设计与实现[J].华东理工大学学报(自然科学版),2007(06).
网络安全设备范文第10篇
关键词:计算机网络 网络安全 安全管理 研究
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2015)07-0000-00
1 引言
在互联网信息时代,计算机网络有效地实现了网络传输、信息处理和资源共享。一旦发生网络安全问题,就会对用户带来很大的不便和影响,甚至造成巨大的损失。为此,我们必须加强网络安全防范和管理维护,完善网络基础设施和配置,保障网络及信息系统安全。
2 网络安全的定义
网络安全是指保证整个网络系统中的硬件、软件和数据信息受到有效保护,不会因为网络意外故障的发生,或者人为恶意攻击,病毒入侵而受到破坏,导致重要信息的泄露和丢失,甚至造成整个网络系统的瘫痪。下面就网络安全问题的主要原因和常见现象进行简要分析。
2.1 网络病毒和木马的威胁
网络病毒和木马可以通过安装防病毒软件来对入侵病毒木马进行阻断,但是用户往往对操作系统补丁、防病毒软件等安装更新不到位、不及时,就很容易遭到病毒感染。很多木马程序,利用网络安全漏洞,入侵计算机,对其寄生文件进行修改,注入新代码,窃取相关信息。
2.2 黑客攻击
黑客攻击主要有两种方式,一种方式是网络攻击,他以各种手段破坏对方数据的可用性和完整性,造成对方数据丢失和系统瘫痪。另一种方式是网络侦查,就是在对方毫不知情的情况下,进行拦截、窃取、破译对方重要的机密信息。
2.3 信息安全受到威胁
网络实现了资源共享和利用的同时,也使用户面临着数据信息安全的问题。网络具有开放性特征,如果权限设置不合理或管理不到位,就会让非法人员有可乘之机,利用漏洞,对数据信息进行篡改和删除,使信息安全受到极大威胁。
2.4 服务器防护能力较低
网络和系统安全漏洞补丁更新不及时,漏洞扫描不到位,缺乏入侵检测,就会使服务器很容易受到病毒木马感染和黑客攻击。进而破坏服务器、引起系统瘫痪,甚至使病毒木马加快传播和扩散,造成重大影响和无可挽回的损失。
2.5 网络安全意识薄弱
计算机、网络和服务器等设备不设置密码,或密码过于简单;使用移动存储设备时,不注意查杀病毒;设备未划分有效权限管理,超级管理员密码过多人员知道;网络安全配置不够完善等现象,都是不注重网络安全意识的具体表现。
2.6 网络安全制度不完善
缺乏网络安全防范和管理制度的保障,就会导致有网络却没有拓扑结构图,综合布线混乱,网线不打标签,网络设备配置不注意备份,机房随意让他人进出,不更新升级病毒库,没有网络安全保密和责任意识等各种乱象出现。这些问题都会给网络安全管理带来各种隐患和不良影响,甚至严重威胁。
3 网络安全防范与管理技术
主要包括:防火墙技术、身份验证和授权管理、入侵检测技术、杀毒技术、数字加密技术、安全访问控制等。
3.1 加大网络设备投入,优化网络安全配置
增设防火墙、安全网闸、入侵检测和漏洞扫描等安全设备,部署安装上网行为管理、VPN和安全监控等网络管理软件。通过层层防范,尽可能将攻击拦截在最外端。实行内外网物理隔离;优化网络安全设备配置,强化技术防范;路由器或交换机上划分子网和VLAN,将用户和系统隔离;配置防火墙,杜绝DOS攻击;定期对网络安全设备进行巡检、升级和数据备份,及时修补漏洞,防止病毒攻击。
3.2 加强安全访问控制,提升网络管理效率
网络安全设备的访问控制和记录,可以确保有据可查,提高网络安全管理效率。部署安全访问控制服务器系统,对访问网络的用户进行身份、授权和审计(AAA)控制,防止非法管理人员对网络进行操作。系统还可以根据网络中的管理角色分配相应的管理权限,减少所有人都用特权模式对网络操作带来的风险,对网络的操作进行审核记录,加快网络故障的发现和解决速度,实现网络设备的集中管理,提高网络安全防范和管理效率,保障网络安全稳定运行。
3.3 加强网络设备管理,完善网络安全制度
科学管理和维护网络安全设备,可以进一步增加网络安全性。比如将一些重要的设备尽量进行集中管理,如核心交换机、路由器、防火墙和服务器等;对各种通信线路尽量进行架空、穿线或深埋,并做好相应的标记;对终端设备实行落实到人,进行严格管理,如工作站以及其他转接设备等。
不断完善网络安全制度,规范网络安全和保密管理。制定计算机机房管理、病毒防范、数据保密及数据备份等制度。加大对管理人员的安全保密和责任意识培训,加强对管理员安全技术和用户安全意识的培训工作。建立安全实时响应和应急恢复的整体防护。设备坏了可以换,但是数据一旦丢失或者被破坏是很难被恢复的,造成的损失也是难以估计和弥补的。因此,必须建立一套完整的数据备份和恢复措施。
3.4 强化安全责任意识,规范内部网络管理
网络安全是七分管理三分技术,说明了管理对安全的重要性,加强管理可以从以下几个方面入手:设置密码,所有设备和主机能设置密码都要设置,而且要足够长,不易被破解,并定期更换。交换机、路由器和防火墙等网络安全设备的访问权限控制,应设置多种权限的密码,超级管理密码知道的人越少越好,普通维护人员仅限于使用监测和审计级登录设备。控制网络安全设备的访问权限,不仅仅是保护设备本身,也保护网络拓扑结构和所以计算机和服务器系统的操作、配置以及权限。对访问的主机IP设置可信任地址段,在交换机上启用端口保护,防止非法IP登录系统。
4 结语
网络安全不仅是技术问题,同时也是安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。从实际出发,根据单位网络现状,认真分析制约网络安全的障碍因素,切实转变网络安全管理观念,适应网络安全发展新形势的要求,制定网络安全管理发展规划,不断提高网络安全技术装备的整体利用水平,逐步建立健全推动网络安全管理健康发展的规章制度,采取一系列的措施,坚决突破制约网络安全管理进一步发展的瓶颈,为网络安全防范和管理技术的广泛应用作出积极的贡献。
参考文献
[1]黄海燕.计算机网络技术和安全管理维护的研究[J].电脑知识与技术,2013.
[2]向兆辉.浅析计算机网络安全防范的几种关键技术[J].科技信息,2009(23).
[3]李成忠.计算机网络[M].清华大学出版社.2010.
[4]伍丰池.局域网网络安全防范和管理技术[J].科技与创新.2013.
收稿日期:2015-06-30