美章网 资料文库 校内网络安全的级数评估模型的建立范文

校内网络安全的级数评估模型的建立范文

本站小编为你精心准备了校内网络安全的级数评估模型的建立参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

校内网络安全的级数评估模型的建立

基于网络拓扑图的校园网络评估方法与分析

1)攻击者知道网络的整体信息,包括网络的拓扑结构,网络上各个设备上的漏洞等。这些信息通过扫描工具NESSUS获得。

2)通过攻击者对网络中各个设备所具有的不同的权限,根据不同的权限对网络中的各个设备进行评分。攻击者得权限越高,那么网络设备评分越低。分数区间为0~100。如果将权限分为3种权限,无权限、可读、可执行,对应的评分为(100,60,15)。拥有权限的攻击者可以对网络造成破坏,网络状态依次进行评分。

3)对网络上各个设备的重要性进行评定。评定的值域为0~1,所有设备重要性之和为1。

4)将各个设备上的漏洞进行分类,将其分为如下表格中的类型。

现在我们对以上的条件进行规范化的表示:

1)对网络设备的表示:设备名(权限名)。权限名∈{权限列表}。对网络设备权限的获得只可提高,不可倒退。

2)对漏洞的表示。CEV(漏洞编号i,漏洞成功概率,存在漏洞的主机名,漏洞利用前提)。

3)网络目前设备状态为所有网络设备表示集合,对其的评分为各个设备评分与重要性Pw乘积的和。用Value(设备所在状态层)=∑G×Pw。进行了简单的定义后,我们将对一个典型的网络结构进行分析。如图:利用表1,每个网络层次代表使用当前网络状态和漏洞,网络所能达到的网络状态。通过三层状态的攻击我们可以得到,网络的状态转换如图2。(W为“公共web服务器”,F为“内部文件服务器”,H为“个人工作站”,r为“可读权限”,e为“可执行权限”)。我们可以对此网络进行如下的评价:

首先对各个网络设备重要性评定为:Pw(W)=0.4Pw(F)=0.4Pw(H)=0.2第0层:Value(0)=60×0.4+100×0.4+100×0.2=84第1层:Value(1)=15×0.4+100×0.4+100×0.2=66第2层:Value(2)=15×0.4+60×0.4+100×0.2=50或者Value(2)=15×0.4+100×0.4+60×0.2=58第3层:Value(3)=15×0.4+60×0.4+60×0.2=42对网络每层的评分如上面所示,但此方法只是对网络状态静态的评价,不能将在此状态下的潜在威胁加入评分,所有我们对整个网络的评价的进行还需进行如下的计算:计算从叶子节点进行,依次向上进行。Value′(2)=58-(58-42)×0.9=43.6Value′(1)=66-0.8×(60-50)–0.8×(60-43.6)=44.88Value′(0)=84-0.9×(84-44.88)=48.792因此,我们对网络总体的评价为48.792,网络存在很大的安全威胁。

本文的网络的安全分析建立在漏洞和网络拓扑图的基础之上,所以我们的安全策略也从这两个方面入手。上文已经介绍了对网络漏洞的表示方法,在此,我们对漏洞增加两个统计数,一是漏洞的使用频率,二是漏洞使用后网络状态层次。我们对网络的拓扑结构进行符号描述。设备A和设备B可连通,用LINK(A,B)。通过生成网络状态转换图,我们可以得到网络状态每次装换依赖的漏洞,这样,我们可以统计到漏洞使用所在的网络状态层次和每个漏洞的使用频率。依旧以上文提到的网络为实例,我们可以对漏洞做如下的统计表格:这里漏洞的使用频率漏洞可使网络达到不同的网络状态的个数。

而漏洞使网络状态层次的改变,主要记录漏洞使用后,网络状态达到的网络状态层次。通过对网络漏洞使用的树状描述,我们可以通过最优化的最短路径算法,分析网络中存在的最危险的漏洞组合和关键漏洞。也可以简单的统计漏洞使用的频率和漏洞所处的层次来对所有漏洞进行排序。通过对这些漏洞的处理实现对校园网络安全的优化。

网络拓扑对于网络安全也十分重要,合理的网络拓扑结构可以提高整个网络的安全。本文主要是通过去除某些漏洞,和连通元素,在新漏洞集合和连通集合下生成网络状态转换图,计算出新网络的评分来对安全策略进行排序。实现在一定条件下最优的策略选择。这里的一定条件主要是现实中对网络漏洞或网络拓扑结构的处理难度和成本。这里为了描述简单可简单的定义为漏洞的处理个数以及对连接元素个数的限制。

校园网络安全防范策略分析

(一)关于校园网策略管理的研究现状

至今为止,国际上许多公司都纷纷展示了自己的理论成果及产品,国内也进行了相关方面的研究。国际知名软件企业微软提出了NAP(网络接入保护)解决方案,它的基本思想是通过验证计算机是否与预先设置的安全策略相符,从而监测和控制相关网络访问。Cisco的自防御系统。目前主要的整体解决方案是通过安装客户端软件对客户上网机器进行实时监控。

国内神州数码提出了D2SMP,它采用集中式管理,进行分布式安全策略部署,能够对用户行为进行精细化的管理,实现安全通信,是对用户行为的全面管理方案。上面所述的一些校园网安全策略在一定程度上起到了防护作用,但是或多或少还存在着一些不足之处。

(二)本文在校园网安全评定后的防范策略

进过以上详细的建模分析之后,本文对校园网安全防范的策略有:

1)进行校园网上网实名制。这样在出现网络安全事故时可以进行责任的追究,这也间接的使校园网用户更加注重网络安全。

2)基于校园网的主要用户之一是学生的特点,学校可以制定上网规范,实行惩处制度。在新生进校是进行网络安全教育,强化新生的网络安全意识。

3)运用过滤器和防火墙技术。过滤器技术可以屏蔽不良的网站。防火强技术保护校园网络不受未经授权的第三方侵入。

4)使用最新的防病毒程序,开启自动更新功能。关闭系统开启时的不必要的服务和端口。通过此方法来减小网络遭受攻击的概率。

5)使用加强密码,应用安全扫描技术主动探测系统安全漏洞进行修复。这样会使得校园网络对外来攻击的自身抵抗能力得以提高。

6)采取有利措施防止内部用户非正常使用和对校园网的的攻击行为。运用VLAN技术来加强内部网络管理。

7)备份数据与恢复数据。这是为了在意外遭到攻击或病毒的侵害后不至于丢失一些重要数据而降低损失。

小结

面对网络飞速发展的,网络高手云集的今天,网络安全技术在校园网系统中是必不可少的。对于校园网得到主体用户学生来说,校园网越安全越好,但是我们必须承认,没有绝对安全的网络,所以对校园网络进行安全评定与分析,有助于对校园网络进行随时监控,及时防范,以免带来不必要的损失,使校园网更好的为广大师生服务。

作者:张新伟唐晨晨单位:江苏大学