前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全技術知識范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
關鍵詞 網絡安全態勢感知系統;關鍵;技術;研究
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2014)05-0064-02
隨著計算機及網絡技術的普及,網絡安全問題越來越突出,尤其網絡攻擊行為往往給企業的正常運作帶來嚴重影響,甚至影響社會的穩定。為此,加強網絡安全態勢研究,采取針對性措施不斷提高網絡安全水平具有重要的現實意義。鑒于此,國內眾多專家對網絡安全態勢感知系統進行研究,并取得豐碩成果,為我國網絡運行營造了良好的外部環境。
1 網絡安全態勢感知系統結構
1.1 系統框架介紹
網絡安全態勢感知系統以通信系統思想為基礎,依據數據處理流程可分為采集、融合、分析、預測、展示共五個環節,可實現收集、預處理、分析、評估、預測等功能。這五個環節相互獨立并對應網絡安全感知系統相關流程。系統框架如圖1所示。
圖1 網絡安全態勢感知系統框架
其中采集環節的主要任務為采集、傳輸以及存儲適時數據和傳輸網絡安全狀況信息等,包括漏洞信息、拓撲信息以及IT資產信息等;融合環節的功能在于將收集、存儲的數據進行解析,將一些冗余信息除去,并融合多源數據。該環節包括數據歸一化和事件預處理兩項內容。所謂數據歸一化指將采集的數據信息進行歸一、標準化,同時擴展事件相關屬性。而事件預處理指對采集來的重要數據進行歸一化和標準化處理。分析則指借助專家系統與相關知識庫,結合存儲在服務器的事件與安全數據,對網絡安全態勢進行分析。預測指通過分析各種信息要素,借助相關理論方法歸納與判斷網絡未來安全形勢。展示指將業務與態勢評估結果輸入到響應和預警模塊,不但對接預警系統,而且以人工判讀為基礎介入到態勢的響應操作。
1.2 態勢評估流程
對網絡安全態勢進行評估一般按照下列流程進行:首先,從監測網絡數據感知元件中獲得網絡數據信息,進行去噪處理后進行分析。并充分結合趨勢知識庫以及數據挖掘成果,評估網絡安全具體趨勢;其次,充分掌握不同環節情況,對網絡安全態勢分配特定的值,并利用貝葉斯網絡技術對備選態勢的可信度進行評價,得出最終結果。
從網絡安全形勢角度出發網絡安全態勢的評估主要由以下步驟組成。監測:通過監測數據感知組件對監測數據進行收集、整理以保證感知安全事件工作的順利進行。覺察:以采集到的當前網絡安全態勢數據為基礎,評估網絡安全態勢情況,以判定是否有安全事件發生,一旦發現異常,就報告安全事件情況;傳播:依據獲得的數據安全事件情況,對不同部分的趨勢進行評估;理解:依據獲得的安全形勢,對態勢數據進行更新,構建評估局勢新的演化模型;反饋:收集數據感知組件的領先在線目的地,并對網絡安全態勢數據情況的更新值進行評估;分析:結合確定的網絡安全態勢類型判斷更新的確認值是否對其進行支持。如支持確定網絡安全態勢類型,反之,使網絡數據感知元件繼續對網絡安全態勢數據進行監測;決策:對網絡安全形勢的數據模型和具體特點進行評估,并對演變趨勢進行預測,從而尋找積極的措施,對管理員的決策進行正確引導。
1.3 數據決策方法
目前自適應數據決策算法有很多包括:子帶濾波、最小均方差算法、遞推最小二乘算法等,其中后兩種方法比較典型,下面對其進行介紹。
1)最小均方誤差算法。該方法運用瞬時值對梯度矢量進行估計,計算依據的公式為:
結合梯度矢量估計以及自適應濾波器濾波系數矢量變化等相關知識,可推算出遞歸最小二乘法算法調整濾波器系數公式:
公式中μ表示步長因子,其值越大算法的收斂速度越快,穩態誤差就越大,反之,算法收斂就越慢,穩態誤差就越小。為確保算法穩態收斂,一般μ的取值應落在以下范圍內:
2)遞歸最小二乘法。遞歸最小二乘法依據的計算公式為:
公式中K(n)表示Kalman增益向量,λ∈(0,1)為加權因子。對該算法進行初始化時通常使P(-1)=1/δ1,H(-1)=0,其中δ為最小正整數。
對比兩者的收斂速度可知,算法(1)優于算法(2),不過算法(1)實際操作比算法(2)復雜。為降低該方法計算復雜度且并使算法(1)的收斂性能得到保持,部分專家優化了算法(1)延伸出了快速橫向濾波器算法、漸變格子算法等。算法(2)較為突出的優點為操作簡單,不過其包括的可調參數只有一個。
2 網絡安全態勢感知系統關鍵技術
互聯網節點數量龐大網絡結構復雜,網絡攻擊行為也呈現復雜化、規模化以及分布化態勢。根據采集的感知數據信息,對網絡安全態勢進行準確的評估,及時檢測潛在的漏洞及可能發生的安全事件,并對整個網絡狀態的變化情況進行預測,是網絡安全態勢感知系統的重要工作。為實現上述目標需要一定的技術支撐。目前網絡安全態勢感知系統中應用的關鍵技術包括網絡安全態勢數據融合、網絡安全態勢計算以及網絡安全態勢預測技術。下面逐一對其進行詳細的介紹。
1)網絡安全態勢數據融合技術。互聯網中不同安全系統和設備具備的功能有所差異,對網絡安全事件描述的數據格式也有所不同。這些安全系統和設備共同構建了一個多傳感器環境,在該環境中系統與設備之間需要進行互聯,因此必須要多傳感器數據融合技術做支撐,為監控網絡安全態勢提供更多跟多有效的數據。當前,數據融合技術應用較為廣泛,例如用于估計威脅、追蹤和識別目標以及感知網絡安全態勢等。利用該技術進行基礎數據的融合、壓縮以及提煉等,為評估和預警網絡安全態勢提供重要參考依據。
數據融合包括數據級、功能級以及決策級三個級別間的融合。其中數據級融合可使細節數據精度進一步提高,不過需要處理大量數據,受計算機內存容量、處理速度等因素限制,需進行較高層次的融合。決策級融合需要處理的數據量較小,不過較為模糊和抽象,準確度較低。功能級融合則處于數據級和決策級融合之間。
2)網絡安全態勢計算技術。該技術指利用相關數學方法,將大量網絡安全態勢信息進行處理,最終整合至處于某范圍內的數值。該數值會隨網絡資產價值改變、網絡安全事件頻率、網絡性能等情況改變而變動。
利用網絡安全態勢計算技術得出的數值,可幫助管理對網絡系統的安全狀況進行評估,如該數據在允許的范圍之內則表示網絡安全態勢是相對安全的,反之則不安全。該數值大小客觀的反映出網絡損毀和網絡威脅程度,并能實時、快速和直觀的顯示網絡系統安全狀態。系統管理員采用圖表顯示或回顧歷史數據便能對某時間段的網絡安全情況進行監視和掌握。
3)網絡安全態勢預測技術。網絡安全態勢預測技術指通過分析歷史資料以及網絡安全態勢數據,憑借之前實踐經驗以及理論內容整理、歸納和判斷網絡未來安全形勢。眾所周知,網絡安全態勢發展具有較大不確定性,而且預測性質、范圍、時間以及對象不同應用的預測方法也不同。根據屬性可將網絡安全態勢預測方法分為定性預測方法、時間序列分析法以及因果預測方法。其中網絡安全態勢定性預測方法指結合網絡系統之前與當前安全態勢數據情況,以直覺邏輯基礎人為的對網絡安全態勢進行預測。時間序列分析方法指依據歷史數據與時間的關系,對下一次的系統變量進行預測。由于該方法僅考慮時間變化的系統性能定量,因此,比較適合應用在依據簡單統計數據隨時間變化的對象上。因果預測方法指依據系統變量之間存在的因果關系,確定某些因素影響造成的結果,建立其與數學模型間的關系,根據可變因素的變化情況,對結果變量的趨勢和方向進行預測。
3 總結
網絡安全事件時有發生,往往給社會造成較大損失。因此,對網絡安全態勢進行準確的評估、感知具有重要意義。為此要求網絡安全相關部門,認真研究網絡安全態勢感知系統結構,進而采用先進的技術手段不斷優化。同時加強網絡安全態勢感知系統關鍵技術研究,以提高網絡安全態勢感知系統的準確性、穩定性,并根據網絡運行情況在合適位置部署中心檢測設備、防火墻等,及時發現并定位威脅網絡安全行為,從而采取針對性措施防止攻擊行為的進一步發展,為網絡安全的可靠運行創造良好的外部環境。
參考文獻
[1]單宇鋒.網絡安全態勢感知系統的關鍵技術研究與實現[D].北京郵電大學,2012.
[2]孟錦.網絡安全態勢評估與預測關鍵技術研究[D].南京理工大學,2012.
[3]潘峰,孫鵬,張電.網絡安全態勢感知系統關鍵技術研究與實現[J].保密科學技術,2012(11):52-56.
[4]馮川.網絡安全態勢感知系統關鍵技術分析[J].網絡安全技術與應用,2013(09):119-120.
[5]馬東君.網絡安全態勢感知技術與系統[J].網絡安全技術與應用,2013(11):69,68.
關鍵詞:泛在無線網絡;分布式態勢感知;網絡安全
中圖分類號:tp311.52文獻標識碼:a文章編號:10053824(2013)04002504
0引言
信息通信技術(information and communication technology, ict)隨著技術的進步和應用的拓展,將給人類社會的生產與生活帶來一場深刻的變革。目前,通信網絡作為信息通信技術的重要基礎分支,已經從人到人(person to person,p2p)的通信發展到人與機器(或物體)間以及機器到機器間(m2m)的通信,并朝著無所不在(ubiquitous)的網絡(即泛在網絡)方向演進 [1]。無線通信技術在近幾十年內呈現出異常繁榮的景象,也帶來了多種類型無線通信網絡的發展和共存,這些無線通信網絡可以統一稱為泛在無線網絡。
1泛在無線網絡概述
泛在化已經成為未來無線網絡演進的主題特征。泛在無線網絡擴展了無線通信系統的外延,也豐富了系統的內涵。因此,這種高速化、寬帶化、異構化、泛在化的網絡無論從內部結構,還是所處外部環境,都具有如下兩大主要基本特點:
1)異構性。構成泛在無線網絡的不是單一或同構的網絡實體,而是由功能、結構和組織形態各異的各類無線網絡融合而成。同時,由于實體所處的地理位置、對資源的使用權限、網絡社會環境中的角色和關系、信息的獲取能力等因素的差異性,使得各個網絡實體所處的環境以及獲取的環境信息具有非對稱性。
2)復雜性。網絡實體之間,以及網絡與環境的聯系廣泛而緊密,且互相影響。網絡具有多層次、多功能的結構,其在發展和運動過程中能夠不斷地學習,并對其層次結構與功能結構進行重組與完善。網絡與環境有密切的聯系,能與環境相互作用,并能不斷向更好地適應環境的方向發展變化。
泛在無線網絡的異構性和復雜性從本質上改變了網絡系統的內外部安全要素及其相互作用機理,使得人類對其特征做出有價值描述的能力大為降低[2]。這就要求降低網絡系統對人的依賴,通過智能、綜合的威脅分析和全面、協作的安全管理,將各個安全功能融合成一個無縫的安全體系。在這方面,目前國內外學術界已經開展了相關研究。其中,基于網絡態勢感知(cyberspace situation awareness, csa)的網絡安全機制研究作為異構、復雜網絡的主流研究方法之一,得到了學術界廣泛的關注與研究。所謂網絡安全態勢感知是指在一定的時空條件下,對影響網絡安全的各種要素進行獲取和理解,通過數據的整合處理與分析來判斷網絡安全性的現狀,預測其未來的發展趨勢,并最終形成匹配趨勢的自主安全行為機制[3]。
2分布式態勢感知
目前學術界關于網絡安全態勢感知的研究已經形成一些初步的成果,但這些研究方法主要針對有線網絡,難以匹配泛在無線網絡的特征,同時本身也具有較大的局限性。
這些局限性的具體表現之一為:集中式感知體系與無線泛在網絡的異構性和復雜性不匹配。在目前的研究中,感知體系具有底層分布式和頂層集中式架構。即感知信息的獲取與融合具有分布式特征,而在感知知識理解以及態勢預測方面都采用集中式的決策方式。在這種體系下,必然有一個全網的中心控制實體,用于形成態勢感知的頂層功能。泛在無線網絡龐大的規模和異構性必然導致集中決策功能的計算、存儲和協議傳輸開銷過于復雜,難于實現,而且過于集中化也不能較好地體現安全要素和安全功能的局部化、本地化特征。
為了解決這一問題,本文提出了一種新型的態勢感知理論。一般來說,大規模系統中的各個子系統擁有各自的態勢感知信息,這些態勢感知信息和其他主體的感知信息盡管是兼容的,但也可能是非常不同的。通常情況下,由于各個主體的目的不同,我們并不總是希望或者總是必須共享這些態勢感知信息,于是可以把態勢感知看作是一個動態的和協作的過程,這個過程能夠把各個主體在同一個任務下每時每刻地聯系在一起。基于這樣一個觀點,一種創新理論—
分布式態勢感知(distributed situation awareness,dsa)應運而生[4]。
2.1分布式態勢感知與集中式態勢感知的比較
分布式態勢感知是面向系統的,而非面向個體的。我們的目標是研究分布式態勢感知的措施,使其能夠在某些領域支持對系統行為的預測和對觀測現象的解釋。例如,說明可能出現的錯誤,或者比較組織間指揮與控制的不同。在過去的20年中,很多的研究者在不同層次之間的相互關系和結構與功能之間的相互作用等方面都有著突出的貢獻。通過回顧當代團隊合作的研究,paris等人發現在一般的系統理論中,大多數的理論、模式和分類都包含著這樣一種3步走方法,即輸入—處理—輸出[5],這似乎對預測模型的開發是一種有效的區分方法。事實上,系統理論方法應該能夠提供一種適用于在不同分層描述預測信息的方法。
在分布式態勢感知中,認知過程發生在整個系統中,而不是某個特定的分層。endsley于1995年提出了3層態勢感知模型[6],即態勢獲取、態勢理解和態勢預測,這些可以恰當地映射為輸入—處理—輸出這樣一個3步走方法。我們可以把endsley的感知模型應用在表1所示的入侵檢測系統(ids)中。在這個例子中,信息收集設備一般為放置在不同網段的傳感器,或者是由不同主機的來收集信息。檢測引擎檢測收集到的信息,當檢測到某一異常時,會產生一個告警并發送給控制臺。控制臺按照告警產生預先確定的響應措施,如重新配置路由器或防火墻等。 這是一個簡單的例子,因為它是線性的。在一定程度上,信息收集設備的輸出是檢測引擎的輸入,檢測引擎的輸出又是控制臺的輸入。但是有兩點說明對于本文研究的方法是非常重要的:第一點,構成分布式態勢感知的認知信息是分布在整個系統的;第二點,是信息的隱式通信,而不是思維模型的詳細交換。在表1的例子中,檢測引擎通過一個告警來顯示系統安全已經存在異常。因此,正如一些影響個體認知行為的重要的因素會涉及到信息的表征、轉換和處理,即態勢要素從獲取到理解再到決策,同樣的,整個系統層也要來面對和解決這些因素。
2.2分布式態勢感知的特點
這些態勢感知的基本理念分布在整個系統,引導我們提出一系列可以形成一個理論的基礎原則。這些原則如下:
1)態勢感知要素被人類或者非人類主體擁有。在表1中,技術設備和操作人員(控制臺可能由人為控制)一樣在某種程度進行了態勢感知,如在這里是檢測異常數據的存在。
2)在同一情景階段下,不同的主體擁有不同的視角。就像在表1中,在態勢要素獲取、理解和預測階段,信息收集設備、檢測引擎和控制臺擁有各自不同的視角和見解。
3)一個主體的態勢感知是否與另外的一個重疊取決于他們各自的目的。盡管他們同屬于一個入侵檢測系統,信息收集設備的目的是收集可能存在異常的數據,檢測引擎的目標是確定系統所處環境是否存在安全威脅,而控制臺的目的在于為系統的安全做出適當的決策。基于endsley的態勢感知模型,不同的主體代表態勢感知的不同階段,而他們自己并不是整個態勢感知的縮影,如信息收集設備負責態勢獲取,檢測引擎負責態勢理解,控制臺負責態勢決策,這是分布式態勢感知和傳統態勢感知模型很大的不同之處。
4)各個主體之間的通信可能通過非語言行為、習慣或者實踐(這可能對非原生系統用戶構成問題)來進行。例如,控制臺通過檢測引擎發送的一個告警信號,即了解到系統安全可能正受到威脅。
5)態勢感知把松耦合系統聯系在一起。通過對系統中異常數據的存在在不同階段的感知和適當的響應,將信息收集設備、檢測引擎和控制臺三者聯系在一起。
6)態勢要素可以在各個主體間共享。例如,一個檢測引擎可能不了解該系統中的安全威脅等級,但是它可以被信息收集設備、另一個檢測引擎或控制臺告知。
對于這類事件,我們可以依據klein提出的自然決策觀點[7]進行考慮,也就是說,在某一領域的主體能夠利用他們的經驗和專長,使快速診斷和執行有效的行動在一個非常有限的時間框架內完成。類似的,smith和hancock兩人提出,態勢感知可以即時理解任務的相關信息,并能在壓力之下做出適當的決策[8]。我們的理論是面向系統的,所以我們要對個體和共享態勢感知采用不同的視角。我們認為分享態勢感知的方法會把我們的注意力誤導到任務并不十分重要的方面。在分布式團隊工
作中,態勢感知在短暫的時期可能是重疊的。分布式的態勢感知需求和分享式的態勢感知需求是不一樣的。分享式的態勢感知意味著分享的需求和目的是相同的,然而分布式態勢感知意味著需求和目的是不同的,但是潛在兼容各自的需求和目的。因此,我們認為,對于一個系統中的特定任務,分布式態勢感知可以定義為具有活性的認知。這與bell和lyon提出的觀點相似,他們認為,態勢感知可以定義為關于環境要素的認知[9]。從而,當把這一觀點運用在分布式認知時,我們提出,態勢需要充分利用適當的認知(被個體感知或者被設備獲取等),這些認知信息與環境的狀態和隨著態勢改變而發生的變化有關。對于本文提到的模型,認知的“所有權”首先是面向系統的,而不是個體的。這一觀點可以進一步擴展到包括“態勢感知元”的系統中,某個主體的認知信息包含于系統中,這樣當其他的主體需要這些認知信息時,就可以知道去哪里找到。
2.3dsa理論的3個主要部分
分布式態勢感知理論包括3個主要的部分:第一部分,獲取操作過程中各個階段和各個主體的認知信息,為完成這一任務我們使用關鍵決策理論;第二部分,從關鍵決策方法得到的結果中提取出認知對象,這里要用到內容分析方法;第三部分也是最后一部分,表述認知對象之間的關系,并識別它們是在哪些階段被激活的。命題網絡被用于此任務,包括利用“主題”、“關系”和“對象”網絡結構的系統所需的知識來描述任何給定的情況。具體如下:
1)第一部分,獲取各個部分的認知信息。
近年來,研究真實世界中的情況決策已經得到了極大的關注。雖然在檢測方面做出了很多的工作,但還是要強調通過訪問方法的使用來收集信息。klein提出的關鍵決策方法是一種針對關鍵事件的技術。按照klein的理論,關鍵決策方法是一種回顧性訪問策略,應用一組認知探針來探測實際發生的非常規事件,需要專家判斷和決策。在這種方法中,訪問收益通過以下4個階段:簡潔和初始的事件回顧,確定特定事件的決策點,探測決策點和校驗。
2)第二部分,提取認知對象。
為了把關鍵決策的分析表格轉換成命題,我們采用內容分析的方法。在第一個部分,僅僅是從海量信息中分離出關鍵內容。例如,威脅的性質、情報可用性的程度和氣候狀況可以縮減為如下認知對象:“威脅”、“情報”和“天氣”。通過檢查以確保重復的最小化,然后用于構造命題網絡。
為了解釋這一系列的活動,我們確定一個認知對象的網絡。我們定義認知對象作為世界上人們可以探測、分類和操作的實體。例如,認知對象可以包含自己和敵人領土的認知、空氣和海洋的資產(和這些資產的有用度)、目標、重點、雷達帶寬、計劃和策略等。世界上所有的現象,都可用作潛在的認知對象。通過這種方式,我們把作戰空間作為一個認知對象的網絡,而不是一個技術網絡。這不是否認技術網絡的重要性,而是為了說明認知網絡的正確使用可以確保整個系統有效地執行。
3)第三部分,表述認知對象與它們活動之間的關系。
命題網絡就像語義網絡,它們包含節點(包含文字)和節點之間的聯系,但在兩個方面有所不同。首先,這些詞不一定是隨機添加到網絡的,而是涉及到定義的命題。一個命題是一個基本的聲明,也就是說命題是最小的單元,其意義可以用來判斷真偽。第二,詞之間的鏈接被標記用來定義命題之間的關系。這些關系可能是關于主體和對象(從語法的角度)之間相對應的聯系。基于以上的描述,我們認為可以引出像字典定義一樣的概念。這些概念是基于基本命題的應用。 命題的派生是從關鍵決策方法再到內容分析得出的。我們可以構建一個初始命題網絡來展示與此相關時間的認知信息。這個命題網絡由一系列的節點來表示與特定操作者相關聯的對象,例如,信息的來源和主體等。通過這個網絡,應該可以識別與此事件相關的需求信息和可能選項。
綜上所述,通過分析分布式態勢感知的理論特點,并且結合泛在無線網絡存在的安全難題,我們可以得到如下結論:分布式態勢感知技術可以很好地解決泛在無線網絡的異構性和復雜性問題,同時能夠較好地體現安全要素和安全功能的局部化和本地化特征。
3結語
泛在網是全球新興戰略性產業,是“感知中國”的基礎設施,此項事業光榮而艱巨,任重而道遠。而泛在無線網絡作為其重要組成部分,其安全問題正
到越來越廣泛的關注。本文的主要目的是介紹一個新型的態勢感知理論,即分布式態勢感知。希望利用分布式態勢感知的理論特點來解決泛在無線網絡的一些具體難題,如復雜性和異構性問題。
雖然網絡安全態勢感知的研究已經得到了國內外越來越多的關注,但仍處于研究的探索階段。尤其是對于無線泛在網絡而言,除了要解決本文提到的“集中式感知體系與無線泛在網絡的異構性和復雜性不匹配”問題,還需要注意到以下3個方面的問題:
1)安全態勢演化模型無法耦合網絡中各實體行為的復雜、非線性關聯作用機理;
2)精準且高效的態勢感知過程必須受網絡實體的存儲和計算能力以及帶寬約束,尤其是在分布式態勢感知體系下,各網絡實體完成協作式態勢感知過程時引入高效的協議交互,以及分布式決策的收斂性和收斂速度都有待研究;
3)缺乏針對泛在無線網絡應用場景的主動防御機制及其評價體系。
參考文獻:
[1]苗杰,胡錚,田輝,等.泛在網絡發展趨勢與研究建議[j].通信技術與標準(泛在網專刊),2010(1):49.
[2]akhtman j, hanzo l. heterogeneous networking: an enabling paradigm for ubiquitous wireless communications[j]. proceedings of the ieee,2010,98(2):135138.
[3]龔正虎,卓瑩.網絡態勢感知研究[j].軟件學報,2010,21(7):16051619.
[4]neville a,rebecca s,don h, et al. distributed situation awareness in dynamic systems: theoretical development and application of an ergonomics methodology[j]. ergonomics, 2006, 49(1213):12881311.
[5]paris c r,salas e,cannon b j a. teamwork in multiperson systems: a review and analysis[j].ergonomics,2000,43(8):10521075.
[6]endlsey m r. toward a theory of situation awareness in dynamic systems[j].human factors, 1995(37):3264.
[7]klein g a. a recognitionprimed decision (rpd) model of rapid decision making[j]. decision making in actim: models and methods,1993,5(4):138147.
[8]smith k, hancock p a. situation awareness is adaptive, externally directed consciousness[j].the journal of the human factors and ergonomics society,1995,37(1):137148.
[9]bell h h, lyon d r. using observer ratings to assess situation awareness[c]//in: m.r. endsley (ed.) situation awareness analysis and measurement.mahwah,nj: lea,2000:129146.
隨著高校無線網絡的逐步建設,覆蓋范圍以及使用人群的擴大,無線不再僅僅是一種簡單的接入方式,其核心應該是可以隨時隨地使用任何設備,不論是自己的還是學校提供的設備接入校園網絡。這必將帶給學校網絡“四多”的變化:
* 更多的設備需要連接到網絡;
* 多種網絡類型,包括有線、WiFi、VPN等;
* 多種設備類型;
* 多種操作系統。
上述變化不僅導致個人和網絡之間的網絡界限變得模糊,同時由于語音、視頻、遠程協作、多媒體文檔或頁面等應用在學校的日益豐富,加上移動接入的需求,要求網絡資源的分布能夠動態調整。但與之相比,網絡安全問題卻是學校網絡管理者難題,網絡管理者需要考慮如何能解決以下的問題:
* 能夠掌控哪些用戶、使用何種設備、在什么地方允許接入網絡;
* 能夠根據用戶、設備、地方、環境等因素實現不同的授權,其中環境是指用設備上硬件、反病毒、操作系統等因素;
* 能夠基于應用實現授權,例如,上課時間只允許PC訪問校園網內部;
* 能夠保持網絡一致性,即整個網絡各個部分實施的安全策略是一致的、集中的,而不是獨自實施自己的安全策略,從而造成安全漏洞;
* 能夠為丟失的數據采取措施。
這些問題的解決關鍵在于必須能夠分辨到網絡中的每一個元素,而做到這點的前提就是對設備和應用的識別。
二、 終端智能識別
學校在部署大規模的無線網絡方案,在考慮安全問題的同時以下幾個功能必不可少:
* 注冊:自帶設備的首次連接和自注冊;
* 識別:自帶設備的識別;
* 認證:能夠針對不同用戶、設備類型采用不同的認證方式;
* 授權:基于用戶、設備類型、接入時間、接入地點、設備環境的授權;
* 監控:網絡中所有自帶設備的狀態、接入時長等要素的實時監控。
其中,對自帶設備的類型識別,是實施安全、可管理無線校園網的關鍵
目前,終端類型多種多樣,包括便攜式電腦、筆記本電腦、掌上電腦、智能手機、電子閱讀器、IP電子相機等等,網絡管理員可以有選擇地允許其中部分類型甚至是一些品牌的設備進入學校網絡。通過識別終端的設備類型,管理員可以為不同的設備推送不同的終端軟件,設置不同的認證方式,或者在Web認證方式下推送適合某種終端類型的頁面,也可以限制其訪問網絡中的敏感數據,或者限制的應用類型等等。
對終端類型的識別,目前主要通過MAC地址的OUI、DHCP的選項,Web訪問請求中的User-agent字段等信息中提取特征字段來進行。一般采取專門的設備或軟件系統,從而方便整個網絡實施一致的識別措施,根據終端類型采取相應的安全策略,也允許管理員能夠根據終端的不斷發展,制定新的終端類型識別方法。H3C是通過iMC軟件系統來進行終端智能識別的。圖1是H3C iMC系統中已定義的智能終端識別模板。
三、 基于場景的策略授權
智能終端的發展催生了其上的應用層出不窮,我們勢必要隨時隨地使用終端訪問網絡。管理員不僅需要能夠控制用戶所訪問的目的網絡,還需要進一步限制終端使用的場景。傳統網絡利用ACL五元組來實現對接入用戶訪問范圍的授權。然而,要實現更加精細化的授權,ACL這種方式在一些情況下不能更為細致的區分各種場景。對于這種情況,必須精確管理用戶的接入時間、地點、位置等多種元素,才能精細的管理,采取相應的策略。如圖2,學校在大規模無線部署后常常有這樣的疑問,如何以有限的資源(網絡、帶寬等)讓學生能得到更好的體驗,如何能平衡學生學習、娛樂的關系使之在特定的時間地點能更好的體驗無線網絡帶來的便捷。例如學校要求學生在上課時間只允許使用自帶的PC訪問校內,而禁止手持終端訪問無線網絡以便學生能專注于學習、科研,更合理的使用無線網絡。而下課時間則可以讓學生使用任何終端(手機、PC等)訪問校內和校外資源,盡情的體驗無線帶來的方便快捷。
四、結束語
要想加強電力系統信息網絡的安全性,就必須從兩個方面進行安全構造,一是電力企業提高自身對網絡安全的認識和防護措施,二是提高信息網絡安全技術。
1.1電力企業對電力系統信息網絡安全的認識和防護措施在信息化社會,網絡信息在電力系統中發揮了重要的作用,有效的提高了生產效率和質量,在電網改革方面發揮了重要的作用。但是有效的控制電力信息網絡安全是保證信息網絡充分發揮優勢的必要手段,首先應該在思想意識上有所提升,電力部門的領導者應該意識到信息網絡安全的重要性,并且在企業內部建立信息網絡安全防御小組,建立完善的安全防御體系,制定健全的規章管理制度,將各項安全防御制度落到實處,加強日常的監督管理。為保證信息網絡設備免受外界物理因素的影響,對于設備的存放環境應該妥善布置,做好防雷、防潮、防輻射等各項措施,并且設置安全管理小組,加強對設備的日常維護,提高設備的運行性能。在信息網絡的軟件防護方面,要建立防火墻,并且針對不同功能的網絡要分別設置密碼保護,只有相應級別的人員才有權訪問。對于信息網絡日常運行過程中所獲得的數據信息,要做好備份工作,防止因為突發事件而導致數據的丟失,對于儲存的數據要做好存放工作。只有在全程進行安全防護,注重過程中的每一個細節,才能夠保證電力信息網絡的安全性。
1.2提高信息網絡安全技術
1.2.1采取漏洞缺陷檢查技術,對電力系統信息網絡安全體系中的重要網絡設備進行檢查,并對其進行風險評估,讓所有的設備在最佳的狀況下運行。
1.2.2采取針對性的安全技術
(1)防火墻技術:防火墻作為網絡與網絡安全域之間的唯一出入口,可以按照電力企業所制定的政策,對網絡中出入的信息進行嚴格的檢查、控制,對于危險信息進行防御、攻擊。電力企業可以根據事先制定的安全策略和自身的安全需求,在防火墻配置中設置相應的訪問規則,讓其自動地對網絡信息數據進行檢查,對于非授權的鏈接給予強力的防護。
(2)網絡地址轉換技術:使用網絡地址轉換技術可以限制訪問的IP地址,讓用戶通過有限的IP地址對網絡進行訪問。電力企業也可以通過地址轉換,將網絡中合法的IP地址進行隱藏,提高網絡的安全系數。
(3)防病毒系統:電力企業可以采用最新的防病毒產品對網絡PC機、Internet網關和服務器進行保護。防病毒系統都帶有管理功能,可以對文件進行更新、控制企業的反病毒安全機制,并對網絡系統性能進行優化,對病毒進行預防和處理,提高網絡的安全性。
1.2.3采取科學的軟件配置
(1)數據加密技術:“加密”是指一種可以對網絡傳輸數據的訪問權進行限制的技術,還可以對原始數據進行加密使之成為密文的技術。防止惡意客戶對機密數據文件進行查看、破壞,防止數據泄露。
(2)指紋認證技術:加強對用戶身份的認證,是提高信息網絡安全性的重要措施。電力企業可以在安裝硬件防火墻的基礎上,采取更先進的身份認定技術如指紋認證技術,提高電力系統信息網絡的安全性。
(3)虛擬網技術:虛擬網(VPN)就是指建立在網絡上的專用網絡技術電力企業可以通過防火墻和VPN系統建立安全隧道,實現用戶與信息服務之間的點對點的安全交流,而且該安全隧道是需要經過高度加密和認證的,可以保證數據的安全性。
2結束語
一、網絡安全人才隊伍建設的重要性
(一)網絡安全人才是保障經濟安全的基礎
由于信息網絡技術的迅速普及, 經濟發展與信息技術的發展息息相關, 在生產、分配、消費的每一個環節中都伴隨著信息的獲取、加工、傳輸、儲存。世界各地的企業利用網絡來發現新市場,開拓新產業,在全球范圍內加速了商品和服務貿易,有力地促進了全球經濟發展。我國各行各業對信息網絡系統的依賴程度越來越高, 越來越多的公共服務、商業和經濟活動基礎設施與互聯網相連,這種高度依賴性將使經濟變得十分“脆弱”。一旦信息網絡系統受到攻擊, 不能正常運行或陷入癱瘓時, 就會使整個經濟運行陷入危機。而且網絡犯罪對各國經濟安全造成的危害難以估量,規模龐大的全球黑客產業鏈和地下經濟吞食著各國經濟利益。保障經濟安全需要加強安全管理,安全管理的關鍵是網絡安全人才的培養和儲備。
(二)我國網絡空間安全形勢非常嚴峻
根據國家互聯網應急中心的數據,中國遭受境外網絡攻擊的情況日趨嚴重,主要體現在兩個方面:一是網站被境外入侵篡改,二是網站被境外入侵并安插后門。2012年網站被植入后門等隱蔽性攻擊事件呈增長態勢,網站用戶信息成為黑客竊取重點。2012年,國家互聯網應急中心共監測發現我國境內52324個網站被植入后門,較2011年月均分別增長213.7%和93.1%。2013年前兩個月,境外6747臺木馬或僵尸網絡控制服務器控制了中國境內190萬余臺主機,境外5324臺主機通過植入后門對中國境內11421個網站實施遠程控制,我國網絡銀行和工業控制系統安全受到的威脅顯著上升。發起網絡攻擊的既可能是國家,也可能是、網絡犯罪集團、商業機構、個體網民等“非國家行為體”,網絡安全威脅日益增加,需要大量的網絡信息安全人才應對威脅。
(三)全球已經進入網絡戰爭時代
網絡空間正在成為軍事戰略的重要資源,伴隨著世界軍事網絡的發展步伐,網絡技術的軍事運用呈現“井噴”之勢,“網軍”已經整裝待命。2009年,網絡安全公司麥克菲報告稱,全球已經進入網絡戰爭時代。在信息戰的大背景下,數千年沿襲下來的“短兵相接”戰爭局面將不再重要,網絡成為實現國家安全利益的重要利器,爆發網絡空間沖突的可能性在加大。2010年底,名為“震網”的蠕蟲病毒曾襲擊了伊朗核設施的電腦網絡,這被認為是美國開展網絡戰的重要實踐。2012年伊朗遭受名為“火焰”的網絡病毒襲擊后,以色列國防部長巴拉克高調宣布將“網絡戰”作為攻擊手段,以色列的證交所、銀行也曾多次遭遇來自阿拉伯國家的網絡襲擊。各國政府迫切需要受過專門訓練的人才,對抗網絡軍事入侵,并維護國家網絡安全。
二、我國互聯網安全人才隊伍建設存在的問題和原因
(一)問題
1、精通信息安全理論和核心技術的尖端人才缺乏
目前,我國網民數量超過5億,互聯網應用規模達到世界第二位,已成為互聯網大國。但整體上看,我國難以稱得上是互聯網強國,在互聯網產業的硬件、軟件、網絡模式等方面均處于劣勢,主流產品依賴國外進口,基礎信息骨干網絡70%—80%設備來自于思科,幾乎所有超級核心節點、國際交換節點、國際匯聚節點和互聯互通節點都由思科掌握。主流核心產品提供商中,外資企業或外資控制的企業占據主導地位,特別是第一代互聯網(IPv4)的13臺根服務器主要由美、日、英等國家管理,中國沒有自己的根服務器,網絡信息安全面臨著嚴重威脅。我國主導信息安全問題較為困難,互聯網信息安全防范能力,遠低于歐美等發達國家。主流產品對國外公司的依賴源于我國自主研發能力弱,缺乏掌握核心技術的高端互聯網產業人才。
2、互聯網信息安全人才供需不平衡
國際數據公司的報告顯示,到2013年,全球新增的IT工作職位將達到580萬個,僅在亞太地區就將新增280萬個崗位,其中安全方面的投入和人才需求占有較大的比例。2012年11月底,工信部中國電子信息產業發展研究院數據顯示,我國共培養信息安全專業人才約4萬多人,與各行業對信息安全人才的實際需求量之間存在50萬人的差距。與全球對信息安全人才的需求相比,我國面臨著巨大的缺口,網絡安全人才需求更為緊迫。高等院校中優秀的信息安全師資力量缺乏,高校對于信息安全教學人才非常渴求,這些現狀都反映社會需求與人才供給間還存在著巨大差距,人才問題已經成為當前制約信息安全產業發展的主要瓶頸。
3、信息安全人員綜合素質有待提高
任何一種安全產品所能提供的服務都是有限的,也是不全面的,要有效發揮操作系統、應用軟件和信息安全產品的安全功能,需要專業信息安全人員的參與,并發揮主要作用。但目前信息安全人員多數為其他崗位人員兼任,且非信息安全專業人才,通常是在進入崗位后根據職能要求,逐步熟悉、掌握信息安全技術知識,雖然具備了一定的信息安全技術與管理能力,但普遍存在安全知識零散、管理不成體系等先天性不足。在當今飛速發展的信息安全領域,非專職信息安全人員在忙于眾多事務管理的同時,難以持續關注、跟蹤最新的信息安全技術發展趨勢和國家、行業的政策、規范、標準等最新要求及實施情況,缺乏知識儲備和經驗積累,造成缺乏懂技術、會管理和熟悉業務的信息安全人才。
(二)原因
1、信息安全學科人才培養體系還不完善
我國已把信息安全人才培養作為信息安全保障體系的重要支撐部分,尤其把培養高等級人才、擴大碩士博士教學放在重要方面。教育部共批準全國70所高校設置了80個信息安全類本科專業。但是信息安全專業起步較晚,培養體系跟別的學科和行業還有差距,人才培養計劃、課程體系和教育體系還不完善,實驗條件落后,專業課程內容稍顯滯后,專業教師隊伍知識結構需不斷更新,信息安全人才缺少能力培養。急迫需要國家政策支持信息安全師資隊伍、專業院系、學科體系、重點實驗室建設。
2、網絡信息安全人才認證培訓不規范
我國對網絡安全人才的培養主要是通過學歷教育和認證培訓兩種方法,網絡安全技術人才的培訓和認證主要有IT行業的CISP認證、NCSE認證等,培養網絡安全員和網絡安全工程師。這對彌補基礎網絡安全人才不足,培養應用型人才較為實用,但IT行業培訓和認證常缺乏必要的計算機理論基礎和系統性知識,小批量、短期的培訓往往形不成規模,仍無法填補網絡安全人才的巨大缺口。
3、信息安全組織架構不健全
信息安全是在信息化進程中快速發展起來的,但在信息技術快速發展與信息安全知識快速更新的情況下,由于在政府部門、企事業單位中信息安全組織架構不健全,未能完成信息安全人才的培養與儲備。造成當前信息安全人才與實際信息安全工作技能要求的脫節,以及部分領域信息安全人才的缺失,信息安全保障工作難以落地。
4、信息安全人才缺乏激勵機制
信息安全保障工作的后臺性使信息安全管理人員的工作績效得不到完整的體現,在實際工作中甚至遇到其他業務管理人員的不理解或不配合,造成真正的人才反而評價不高。由于缺乏有效的激勵機制與人才評價機制,挫傷了人才的積極性。
三、網絡信息安全人才隊伍建設政策建議
(一)制定網絡空間安全人才規劃
國家制定《互聯網空間安全人才戰略規劃》,明確戰略目標和戰術目標,增強公眾網絡行為風險意識,擴大支持國家網絡安全人才儲備,開發和培養一支國際頂尖的網絡安全工作隊伍,建立一個安全的數字化中國;啟動《國家網絡空間安全教育計劃》,期望通過國家的整體布局和行動,在信息安全常識普及、正規學歷教育、職業化培訓和認證三方面開展系統化、規范化的強化工作,來全面提高我國信息安全能力;制定《網絡空間安全人才隊伍框架》,統一規范網絡空間安全人才專業范疇、職業路徑,及其崗位能力和資格認證等。
(二)健全網絡信息安全組織架構
網絡信息安全涉及網絡、主機、應用、數據等多方面,管理要素多、專業性強,組織開展信息安全保障工作需要建立一套完整的信息安全組織架構體系。在各級政府機關、企事業單位組織架構中應成立專職的信息安全主管部門,負責編制信息安全規劃,指導信息安全建設,制定信息安全總體策略,監督檢查信息安全管理與技術防護情況。各業務部門應配備兼職或專職信息安全員,負責本部門業務應用中的信息安全保障工作。同時還應根據不同崗位要求著力培養信息安全人才,特別是懂業務、經驗豐富的高端技術與管理人才。
(三)構建網絡安全治理體系
構建網絡安全治理體系是確保各項規范、標準和制度落地的重要保障。網絡安全治理體系包括安全管理體系和安全技術體系。安全管理體系明確各部門在網絡安全規劃、建設、運行維護和改進完善等階段的工作任務、要求和責任。安全技術體系根據網絡安全涉及的不同環節從網絡、主機、數據、應用等方面實施相應的安全技術措施。針對不同崗位要求選擇合適的人才,在確保合規性的基礎上,根據需求,引入外部力量提供專業化的安全技術支撐,彌補現有人才數量與結構的不足。
(四)推動產學研相結合培養網絡安全人才模式
以企業需求為導向,大力推動產學研相結合的培養模式。借助企業中的國家級和部級重點實驗室、國家級科研項目等科研平臺,使得優秀學生能夠隨時隨地直接參與各類科研項目;讓本科生和研究生進入實習實訓基地,為培養動手能力很強的一流信息安全人才提供良好條件;將教學任務融入到科研工作之中,以科研項目的形式來建設信息安全本科教育專業實驗室。在信息安全實踐過程中培養技術人才,培養學生具有較強的綜合業務素質、創新與實踐能力、法律意識、奉獻精神、社會適應能力,形成能夠滿足各方面需求的信息安全人才就業體系。
(五)形成完整網絡安全人才培育體系
要建立并完善以高等學歷教育為主,以中等職業教育、業余培訓、職業培訓和各種認證培訓為輔的網絡安全人才培養體系。加強信息安全學科的重要性是保障人才培養的第一步,應該把信息安全學科提升為一級學科。政府在認證培訓方面加強立法,立法內容應該涉及到認證培訓的教學體系和內容,培訓時間和考試管理辦法,還應該規定哪些崗位的人員必須持什么樣的證書,以及接受培訓人員的管理等。
(六)加大網絡安全人才培養項目投入
1、推動各種網絡安全人才計劃
從2010年開始,教育部就啟動了“卓越工程師教育培養計劃”,旨在造就一大批創新能力強、適應經濟社會發展需要的高質量各類型工程技術人才。應繼續加大在這方面人才計劃的投入力度和支持范圍。
2、擴大獎學金資助范圍
推動“信息安全保障獎學金計劃”,選拔優秀網絡安全人才納入資助培養計劃,資助信息安全專業的本科生與研究生,并在其畢業后安排至關鍵崗位工作。建立網絡安全“生態系統”概念,人才從娃娃抓起,網絡安全要進入中小學教學課程,積極向中小學拓展信息網絡安全教育,提升中學生對于網絡安全的認知,為選拔網絡人才打下堅實基礎。
3、營造網絡競爭與對抗氛圍
政府聯合地方部門或企業,舉辦網絡攻防競賽與對抗演習,通過實戰化競爭來甄選、培養、鍛煉未來的網絡安全精英。主要有4種方式:直接組織的網絡公開賽,企業出資贊助的高校網絡聯賽,軍方直接組織網絡演習,推出網絡快速追蹤計劃,甄選民間優秀網絡人才,以簽訂商業合同的方式,讓網絡攻防技能出色的小企業和個人參與其短期項目,從而將民間網絡黑客力量也納入其網絡人才隊伍。
4、加大互聯網安全基礎研究投入
目前信息產業正處于技術變革的前沿,大數據時代即將到來,并可能帶來新的經濟繁榮周期。我國應該加大對信息產業的投入,特別是增加相關基礎研究的投入,大力培養互聯網信息安全人才,發展具有自主知識產權的軟件與計算機硬件研發,創新機制支持新技術應用,為確保我國未來網絡信息安全提供技術支撐。
(七)完善激勵和培訓制度,激發工作積極性