网络安全定义范文

前言：我们精心挑选了数篇优质网络安全定义文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

病毒令网络疲惫

瑞星公司研发部副总经理马杰说：“从2008年上半年的10大病毒列表可以看出机器狗、磁碟机、AV终结者等病毒，其程序的主要功能是破坏电脑保安系统，利用各种手段破坏防病毒软件，然后启用另一个主要功能。”

这类病毒会关闭大多数部署在端点的主流防病毒软件，随后会疯狂下载多种多样的木马，由攻击发起者定制下载列表，可随时更新所下载木马的版本和数量。下载器和盗取机密信息的木马在工作重点上有所不同，前者是手段，后者去实现入侵的目的。

而传统的终端防病毒软件利用特征码识别技术查杀病毒，这已经决定了防病毒软件在本质上是一种亡羊补牢的软件。也就是说，只有某一段代码被编制出来之后，才能判断这个代码是不是病毒，才能谈到去检测或清除这种病毒。防病毒厂商只有发现并捕获到新病毒后，才有可能从病毒体中提取其特征值。

“这使得防病毒软件对新病毒的防范始终滞后于病毒出现。面对熊猫烧香这种技术性不高，但是变种数量极其庞大的病毒来说，防病毒厂商确实显得很无奈。让网络备感疲惫，也让安全厂商疲于奔命。”马杰无奈地表示。

企业CIO在网络不断变革满足企业新业务需求的同时，还要面对网络安全远远落后于病毒传播速度的尴尬现实。光靠端点防护病毒的入侵，已经显得捉襟见肘。往往网络安全是基于一系列独立端点工具和过滤设备构成的，这些设备主要位于网络的边界处。虽然这种设备足以狙击基本的网络攻击，但是无法提供足够的集成、智能或策略执行能力。

所以，更多的企业开始选择UTM（统一威胁管理）设备，将防病毒、IPS、防火墙、反垃圾邮件等功能模块封装在一个“盒子”中。马杰说，这样有助于机构部署众多对策，而无需部署、管理和维护相应数目的独立的物理“盒子”和相应的管理控制台。

瑞星公司销售部网络事业部总经理马建军说，其实用户并不关心UTM的主要用途是防火墙还是防病毒，它们之间的区别和概念也并不重要，他们关注的只是在网关处如何确保业务安全和对攻击以及病毒的拦截。

三维体系防范网络

然而，也不能夸大一个UTM解决方案支持最初部署和运行当中的管理能力的重要性。网络厂商和防病毒厂商在对待UTM的技术思想上也有着完全不同的视角。网络厂商关注网络流量的顺畅和高可用性，防病毒厂商关注病毒的处理效果和网关的高稳定性，在用户进行选择的时候要分清。

2005年，一种被称为三维防护网络的概念，被思科和华为提出。如今，这一概念已经被翻新，不同于思科和华为所占领的网络阵营，将焦点聚集在网关处，并在UTM的基础上，关注网关的稳定性和病毒处理效果。一旦发现数据包出现异常，三维网络防护网络模型就可以为内容安全，如URL过滤、信息防泄漏和应用安全提供必要的策略。

简单来说，就是提供更智能的反病毒引擎、更快捷的安全事件响应和更全面的安全解决方案。

瑞星作为反病毒厂商，推出的UTM 瑞星RSW-9300更倾向于x86架构，使用四核双至强平台，防火墙最大的吞吐可以达到900Mbps，HTTP杀毒吞吐600MBps，并提供了4个千兆端口，因为在应用层防护病毒的效果更强，对病毒分析处理可以更加深入，在指令集处理方面有更好的优势。

此外，为了让用户获得良好的体验，瑞星防毒墙对HTTP协议进行了特殊的优化处理。在用户通过HTTP协议获取数据时，防毒墙会向用户边发送数据边对数据进行缓存，直到用户完整接收到最后一个数据包的时候，防毒墙暂时不向用户转发数据而对数据进行还原检查。当防毒墙发现病毒时，就不会将最后一个数据包转发给用户，因此避免了用户受到病毒的威胁。

第2篇

网络创业的定义内容

网络创业是先有了网站运营，网店经营之后才产生的一种新型的创业形式。大多数网络创业者是从事IT行业的青年人，所以网络创业也是一种具有勃勃生机的创业形式。

网络创业的从业要求

网络创业由于本身的特殊性，所以要求从业的人员需要具有一定的网络知识，并具有一定的网络安全意识，例如淘宝的支付宝，百度有啊的百付宝，腾讯拍拍的财付通都是需要掌握的在线支付手段，另外网上银行也是需要掌握的一种必要的手段。还有就是对计算机要有一定的认识，要能熟练的操作计算机。网络创业动力营--电子商务的起步营!

由于网络创业的网络特性吸引了越来越多的大学生和大学毕业生投身到网络创业中来，造成了网络创业一浪高过一浪的创业热潮，这也正说明中国的网络创业事业的蓬勃发展和生机盎然。

大学生是最具活力的群体，也是新技术和新潮流的引导者和受益方。随着网络购物的方便性、直观性，使越来越多的人在网络上购物。一些人即使不买，也会去网上了解一下自己将要买的商品的市场价。此时，一种点对点、消费者对消费者之间的网络购物模式开始兴起，以国外的ebuy为开始，国内的淘宝为象征，吸引了越来越多的个人在网上开店，在线销售商品，引发了一股个人开网店的风潮。而大学生正是这一群里的主要力量，不少大学生看到这一潮流纷纷投身个人网店，成功者比比皆是，更有不少大学生选择辍学而投身网店。除了知名的淘宝网、拍拍网和易趣网等大的平台外，不断有新的和更细分的网店平台出现。从无所不包的淘宝到专售货源的第六代充值平台，大学生都可以自由选择的网店创业平台。可以预见，在将来，即使个人在网上开店销售汽车也是有可能的。 网店之所以成为大学生创业热衷的领域，自然有其天然的优势。除销售范围广、推广成本低、投资成本低外，日益增长的庞大网购消费群让众多大学生看好网络购物从而欲罢不能。

网络创业的融资难问题

1、没有能力写商业计划书VC(风险投资公司简称)公司不理你。

在你寻找资金的时候，每个投资方都需要你有比较细致的商业计划书，而这个计划书里包括:投入成本、成长潜力、竞争环境分析、目标市场分析、客户定位、价格定位、盈利分析、融资计划、自身竞争优势分析、推广宣传、团队等等各方面。

2、没有企业管理运作经验VC公司不理你。

在一个企业中CEO的决策直接影响到企业生死，如果没有实战的企业管理运作经验。或者象我们想在网络上创业，也是同样需要有相当的经验，而这包括:组织，计划，执行，控制。

3、没有盈利VC公司不理你

国内真正的天使投资很少，即投资额在10-50W之间的VC公司。并且还有个致命的，即他们一般都投在项目中期即该项目已经有盈利的希望或正在盈利，真正的雪中送炭少得可怜!

4、没有团队VC公司不理你

我想很多人都知道中国人与日本人有一区别就是，中国一人是龙，一群人是虫，而日本人相反。很多VC公司在问你的项目时问是要看你的团队，为什么呢!各位清楚。

5、没有好的项目VC公司不理你

我这里要说即使你有好的项目，你没有达到前四条，仍然VC是不理你的，因为你不懂得管理运作，每天有多少好的产品问世，但真正能成立推向市场的多少?不在产品而在于人，在于团队，在于管理运作!!!!同样是类型的网站，同样的时段进入市场，同样的投入，有的网站赢利有的则相反! 假如我们成立一个团队，我们拥有各类人才，我们共同努力，是不是更有机会融到资呢?

看了“网络创业的定义内容”的人还看了：

1.网络创业的定义

2.什么叫网上创业

3.网上创业的概念

第3篇

随着信息化建设的大力发展，医疗网络也正进行着一次次质的蜕变，从以往病人亲自来医院看病到网上健康咨询，从堆积如山的病历、X线光片到现在的无纸化传输、存储，医疗网络已经成为现今医疗机构的核心竞争力之一。当然，每一次医疗网络的变革都伴随着一次技术上的更替，而改造自己的医疗网络，提高对患者的服务质量也成为近年来各大医院纷纷采取的一项举措。

随着医院信息化的不断发展，数字化的医院成为医院信息化建设的目标，最终将实现患者信息的无纸化、无胶片等，全面提升医院的治疗效率，为患者提供更专业的诊疗服务。同时，医院的患者电子病历信息需要被保存5~20年以上。然而，随着医院各种信息的网络化，在提升医院工作效率的同时，也给患者的各种电子病历信息、医院管理信息等带来了极大的安全隐患。作为涉及患者个人隐私及医院安全的各种信息在网络中传播，如何保障患者的电子病历信息安全，保障患者电子病历能够被合法的用户安全地获取并查看，是建设数字化医院的根本前提。

同时，在目前医院网络环境中，由于用户的不当操作和疏忽，造成各种病毒及其攻击在医院网络中肆意流窜，不断出现的扫描攻击、DDOS攻击、ARP攻击等，造成医院门诊收费中断，医保服务无法正常处理等，给医院网络的稳定性造成了极大的冲击。因此，网络安全是网络系统稳定性的根本保障。

可见，稳定、安全已经成为构建新一代医疗网络最需要注重的两大环节。针对这种普遍的安全、管理问题，锐捷网络了其全新的GSN（全局安全网络）解决方案，并针对各个行业进行了定制化的设置，其中，医疗行业就是GSN已应用成熟的众多行业之一。

GSN，即 Global Security Network，中文名称“全局安全网络”，是由锐捷安全交换机、锐捷安全管理平台、锐捷安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素联合组成，能实现同一网络环境下的全局联动，使每个设备都发挥安全防护的作用。GSN通过将用户入网强制安全、主机信息收集和健康性检查、安全事件下的设备联动集成到一个网络安全解决方案中，以“多兵种”协同达到网络全方位的安全，以此达到对网络安全威胁的自动防御，以及对网络受损系统的自动修复，同时其针对网络环境变化和新网络行为的自动学习能力，也达到了对未知安全事件的防范，做到了真正的主动防御。

下面的原理图，有助于更深刻地理解GSN的工作原理：

在保证数据稳定、高速传输的基础上，锐捷通过GSN侧重对医疗网络的安全与管理进行了考量。通过GSN，锐捷网络为医疗行业用户打造了一个多层面的安全保障：锐捷GSN全局安全涉及到身份准入控制；主机信息收集与管理；主机完整性（HI）管理；安全事件管理（包括IDS技术、安全事件下的设备联动处理等）等诸多安全技术。在安全管理平台上，GSN能够根据主机信息定位到相应的接入用户，了解整个网络中各种硬件、软件、操作系统的分布和使用情况，并协助网络管理人员更好地制定网络安全策略；同时，GSN能够通过主机完整性对整个网络进行监控、主机完整性指的是用户所使用的PC是否符合相关的要求，如必须安装某程序且达到某版本（如某杀毒软件），禁止安装某些程序等，符合这些要求的PC即可以认为其符合主机完整性接入网络，如果存在网络安全问题或不满足主机完整性的时候，GSN就会对主机进行断网隔离处理，并在自动修复成功后重新接入网络，达到各个层面网络安全的整合防护，以此打造锐捷全局安全网络。

全局的安全、有效的管理、高速稳定的网络是锐捷网络对医疗行业的三大承诺。作为民族厂商，锐捷网络一直对国内各行业进行着深入的调研，也正是在这持续性的观察中，锐捷发现稳定高速、安全、易管理已经成为现今医疗网络的发展前景，而要想在众多的医疗机构中脱颖而出，人性化的医疗环境和患者的满意度就成为了考核医院成效的最大标准。

关于锐捷网络

第4篇

【关键词】计算机 网络 安全防范技术

随着科技的发展，计算机网络在认为日常生活中扮演的角色也越来越重要，它是现代社会人们工作与生活必不可少缺少的一部分；但是在计算机网络发展的同时也带来了许多问题，计算机网络的通信安全问题成为认为日益关注的焦点。随之计算机网络安全防范技术的应用也越来越广泛，而如何提高计算机网络安全防范技术也日益人们关注的焦点。

一、计算机网络安全的定义以及现状

（一）计算机网络安全的定义。计算机网络安全的定义不是一成不变的，不同的使用者对计算机网络安全的定义是不同的；例如：对一般的聊天者而言，计算机网络安全的定义是自己的聊天内容不会被泄露出去；对网上银行的使用者而言，计算机网络安全的定义就变成自己的网银密码和银行卡密码不会被泄露出去，从而保证自己的银行存款的安全；而对那些网络商户而言，计算机网络安全的定义则变成使用者的工作内容不会因为突然断电、计算机突然失火、黑客侵入等原因而丢失。总而言之，计算机网络通信安全就是使用者的通信数据不会因为失火等自然原因而丢失、不会因为被黑客侵入等原因被泄露。

（二） 计算机网络安全现状。随着网络应用的发展，计算机网络也逐渐变得不安全，现阶段出现的网络攻击行为种类在逐渐增多，网站的病毒、木马也在不断的增多，而且黑客在攻击时，也不是盲目的进行攻击，他们的攻击是有组织、有计划的，这些现象的存在就在一定程度上加大了计算机网络安全方法的难度。目前针对掌上电脑、手机等无线终端网络的攻击也逐渐出现，从而使得网络安全问题逐渐变得复杂。从因特网发展的角度上讲，目前还没有健全的网络安全体系能够防范计算机网络安全问题的发展，从而使得计算机网络成为网络安全犯罪分子的攻击地。从技术角度上讲，建立计算机网络的目的是能够方便人们通过电脑传递信息，在建立计算机网络系统的同时，必定会用到计算机通信设备，这些松散的计算机通信设备必定会加大计算机网络安全管理的难度，计算机网络系统是一种需要软硬件相结合的系统，现阶段基本上每个人计算机网络都包含着自己开发的软件，这些软件一般都不是很成熟，进而使得计算机网络常常出现异常现象。另外，计算机网络最开始建设的时候，计算机网络设计人员更多的是考虑网络的实用性以及方便性，对计算机网络安全的重视程度一般不是很高，这就使得计算机网络技术设备等造成计算机网络的安全性降低。

二、 计算机网络安全防范技术

现在计算机网络安全防范技术的种类有很多，最常见的有漏洞扫描技术、病毒防范技术、系统容灾技术、数据加密技术、防火墙技术等

（一）漏洞扫描技术。漏洞扫描技术一般指的是检查计算机系统中重要的文件、数据等，检测已经黑客被利用的漏洞可以使用以下两种方法，第一，模拟黑客攻击法。通过这种方法，可以有效的发现计算机中存在的安全漏洞。第二，端口扫描法。端口扫描法是通过端口扫描发现所检测主机已经打开的端口和端口上的网络服务，同时与系统所提供的漏洞库相比较，检查是否有漏洞。实现漏洞扫描的方法主要有功能插件技术和漏洞库特征匹配方法两种。

（二）病毒防范技术。目前计算机病毒主要有潜伏时间长、繁殖能力强、破坏能力大、传染途径广、攻击隐藏性强、具有针对性等特点。而计算机病毒注入技术主要包含数据控制链攻击方式、无线电方式、后门攻击方式以及“固化”式方式等。现阶段病毒防范技术可以分为以下三种，第一，管理病毒客户端；第二，控制邮件的传播；第三，过滤来自自磁介质的有害信息。

（三）系统容灾技术。目前系统容灾技术主要有异地容灾技术以及本地容灾技术两种。异地容灾技术又可以分为服务容灾技术、网络容灾技术以及远程数据容灾技术三种。从技术上讲，本地容灾技术可以分为磁盘/磁带数据备份技术、磁盘保护技术以及快照数据保护技术三种，而从实现技术上讲，本地服务容灾技术可以分为本地集群技术与双机热备技术两种。

（四）数据加密技术。数据加密技术是指加密将要传送的信息，从而保证以密文形式传送信息的安全性。数据加密技术可以防止通过网络传送的信息不会被轻易的篡改，进而使得计算机网络犯罪分子不会轻易的窃取这些信息。数据加密技术主要是编写数据加密算法，而数据加密算法可以分为公开密钥算法以及对称算法两种。

（五） 防火墙技术。现阶段解决计算机网络安全问题最常使用的技术就是防火墙技术，一般防火墙安装在外网和内网的节点上，所起的作用是逻辑隔离外网和内网。防火墙是一种网络设备，用来强化网络之间的访问控制。防火墙能够有效的防止网络信息被计算机网络安全犯罪分子所窃取。防火墙可以对经过它的网络通信数据进行扫描，防火墙一般是通过关闭没有使用的端口来封锁木马等，它还可以统计与记录网络使用状况。但是，防火墙技术还是有一定的局限性，这种技术只能防外不能防内。

三、总结

总而言之，计算机网络的发展十分迅速，而计算机网络安全问题也越来越多。目前，越来越多的人开始关注计算机网络安全防范技术，在现阶段众多的计算机网络防范技术中有主动防御的，也有被动防御的；有防内的也有防外的，这些技术都有一定的缺陷性，用户一定要合理使用这些技术。

参考文献：

[1]陆亚华.计算机网络安全防范技术带来的探讨[J].数字技术与应用，2012，11（01）：19-20.

第5篇

关键词：模拟攻击；政府网络；安全风险；评估

中图分类号：TP393 文献标识码：A 文章编号：1674-7712 （2013） 06-0074-01

一、政府网络安全风险分析

政府电子政务信息系统建设过程中，由于自身的脆弱型以及一些人为或者外在的威胁导致网络安全的存在以及发生，窃取、传播、破坏一些重要的数据信息，直接对政府电子政务的开展产生不利的影响。政府的网络安全风险分析中包括的内容有：对安全区域内信息资产、潜在威胁、信息的脆弱性进行识别，计算安全防御、安全问题发生的概率和安全风险程度等内容。

安全风险分析必须建立在一定的数据模型基础上才能进行，对网络安全风险分析常用的方法有很多，例如专家预测方法，矩阵图缝隙以及准确度评估等。通过建立起一系列的模型以及评价指标，可以有效的对系统的安全风险进行评估。而大部分的方法不具有很好的实用性，没有定量的进行风险的分析，依赖于个人经验以及经验数据，指导性不强。因此，为了更好的对网络安全风险进行评估，本文研究针对模拟攻击下的政府网络安全风险评估。

二、基于模拟攻击的政府网络安全风险评估模型

（一）模型的体系结构。基于模拟攻击的政府网络安全风险评估模型可以有攻击层，模拟层以及风险分析层三部分组成，具体的体系结构如图2-1所示，其中攻击层可以对攻击方以及目标系统进行分析描述安全信息参数；模拟层可以对各种安全信息与攻击方进行关联形成攻击的状态图，进行模拟攻击路线的描述；风险分析层分析各种信息对网络的影响，定性与定量的进行风险的评估，然后进行风险安全策略的实施。

（二）信息识别层。攻击层中需要对各种攻击信息进行识别，其中涉及到的数据信息主要有：（1）政府网主机信息，定义为一个集合GC={gc1，gc2，…，gcn}，其中每个gc都包含了其对应的物理信息MAC地址，IP，以及系统system，网络ID。（2）电脑之间的关系指的是各个电脑进行访问与通信的关系，定义为 ，P表示该电脑的端口，R表示数据的通信传输集合。（3）主机的安全级别信息，表示其安全性与保密性的程度，可以用G表示。（4）主机脆弱性信息，通过描述漏洞过程中CAE编号、名称、日期、说明、版本、类型及其演变过程等相关信息，定义漏洞集合为B={b1，b2，b3，b4，b5，b6}。

（三）模拟层。在信息识别层建立起相关的数据信息之后，在模拟层模拟攻击者进行网站攻击过程中，根据设定的风险值F，识别攻击者的状态情况，从而达到模拟攻击政府网站。在模拟层可以进行攻击状态图形的描述与生成。

模拟攻击状态图描述。将政府网络模拟攻击状态图定义一个有向图K={N，E，N1，Ne}，其中N表示含义为节点集合，E表示是有向图的边集合，N1表示状态图的开始节点集合，Ne表示状态图的结束节点集合，其中每个节点中都包含了攻击者获取受害主机的用户与主机的相关信息，包含用户的ID，名称，权限列表以及安全级别信息。

当攻击者攻击过程中，在攻击状态图的一条路径代表着攻击的线路，其开始的节点表示开始攻击，结束节点表示攻击完成，在攻击过程中经过的一条边表示攻击的方法信息，可以定义为n={n0，n1，…，nk}。

当攻击者是否进行某条线路的攻击，其代表着网络的安全性，本文定义为H，通过H定义的属性信息（采用False或者True）进行攻击线路的判断是否存在。

在政府电子政务系统中，通过设定一定的网络安全状态指标Sg进行网络线路的判断，根据模拟状态图的节点信息以及线路组成，来进行寻找到政府网络中最不安全的线路，通过一系列的攻击方式产生的状态图的变化而进行网络安全的模拟分析。

（四）风险分析层。根据模拟状态图生成后会输出相对应的参数集合，对其进行分析过程中，可以获取得到攻击者的攻击能力，进而修正政府网络安全的风险系数值。

从攻击的初始节点开始，进行攻击状态图的搜索，对于在政府网络中破坏其网络信息的线路可以有效地发现，对受到攻击的节点以及线路进行相关措施的采取。在分析攻击线路的基础上，需要对攻击风险进行定量的分析其危险级别，获取到最容易受到攻击的线路以及安全性最差的网络。在模拟状态图生成后，假如在一条攻击线路中，攻击状态从Nk-1到Nk的概率设定为pj，攻击对该线路的危险程度权值设定为λj，攻击状态的级别定义为gj，则此条路线的潜在风险值可以通过式2-1进行计算： （2-1）

在式2-1的条件下，通过将攻击成功与否，危险级别，以及原有的安全风险值进行结合，形成更为准确的政府网络安全风险评估公式，如式2-2所示：

（2-2）

其可以针对多条攻击线路进行安全风险评估分析，通过模拟攻击的方式可以准确的反应政府网络的风险位置，为网络安全决策提供了依据。

三、结语

为了提高政府的电子政务网络的安全性，本文以政府网络为研究对象，提出了在模拟攻击情况下的政府网络安全风险评估模型以及相关算法的研究，通过此方法可以定量与定性的提高政府网络的安全性能。同时可以找到一种安全潜在威胁的处理机制，在政府网络安全中具有重要的作用。

参考文献：

[1]吕慧颖，曹元大.基于攻击模拟的网络安全风险分析方法研究[J].北京理工大学学报，2008，28，4.

第6篇

职业院校的信息安全问题对于职业院校的重要程度不言而喻，而信息化程度越高，一旦发生安全事件，职业院校可能遭受的损失也就越大。随着职业院校信息化技术的发展，职业院校信息化的规模正变得越来越大，业务信息系统的集中度也越来越高，特别在云计算技术被应用之后，计算资源被高度的整合和集中，混合着物理设备和虚拟机的职业院校信息化系统的网络安全管理的复杂程度不断提高，这使得传统的网络安全管理方法很难理清信息系统之间的关系，难以发现并避免可能存在的安全问题，也难以寻找到有效的网络安全设备部署位置。随着大数据技术的兴起，职业院校信息化在计算资源被集中整合后，又开始了对数据信息的集中整合，这更加剧了职业院校信息化系统安全管理的重要性，提高了对网络数据传输合法、合规性的安全审核要求。软件定义网络技术是一种以软件定义的方式来管理网络中节点间通信转发技术的统称，将该技术引入职业院校信息化网络环境中，能够有效地让原本复杂且难以管控的网络通信环境变得清晰可控，从而为网络的安全管理提供有力的技术支撑。本文针对职业院校信息化在新型网络环境中的网络安全管理问题，提出了一种从网络控制层面结合职业院校业务模型的有效的网络安全管理解决方案。

二、相关工作

云计算是被认为是继微型计算机、互联网后的第三次IT革命，它不仅是互联网技术发展、优化和组合的结果，也为整个社会信息化带来了全新的服务模式。云计算的定义在业界并未达成共识，不同机构赋予云计算不同的定义和内涵。其中，美国国家标准与技术研究院对云计算的定义是被接受和引用最广泛的。NIST认为，云计算是一个模型，这个模型可以方便地按需访问一个可配置的计算资源（如网络、服务器、存储设备、应用程序以及服务）的公共集。这些资源可以在实现管理成本或服务提供商干预最小化的同时被快速提供和。云模型包括了5个基本特征、3个云服务模式、4个云部署模型。从技术的角度来看，云计算不仅仅是一种新的概念，并行计算和虚拟化也是实现云计算应用的主要技术手段。由于硬件技术的快速发展，使得一台普通的物理服务器所具有的性能远远超过普通的单一用户对硬件性能的需求。因此，在职业院校信息化系统的构建中，通过虚拟化的手段，将一台物理服务器虚拟为多台虚拟机，提供虚拟化服务成了构建职业院校私有云的技术基础。软件定义网络是一种新兴的控制与转发分离并直接可编程的网络架构。传统网络设备耦合的网络架构被分拆成应用、控制、转发三层分离的架构。控制功能被转移到服务器之上，上层应用、底层转发设施被抽象成多个逻辑实体。该研究来源于斯坦福大学的一个名为CleanSlate的项目，其目的是为了在不受现有互联网技术架构的影响下，重新设计新的网络底层实现方案。本文针对新型网络环境下职业院校信息化过程实际存在的问题，结合基于SDN的安全防护技术，提出一种结合职业院校网络业务信息流的逻辑关系的网络安全管理方案，并设计出一种基于可信业务访问关系表的网络安全管理系统，使得网络安全管理能够深度结合职业院校的真实业务逻辑，并实现高灵活、细粒度和高性能的网络安全管理。

三、新型网络环境下职业院校信息化面临的安全挑战

所谓新型网络环境，主要指使用了虚拟化技术来构建职业院校信息化系统的网络环境，这里既包括职业院校私有云的形态也包括仅适用服务器虚拟化技术的职业院校网络环境。在这样的网络环境中，通常用户的业务系统不仅仅存在于虚拟化环境中，由于信息化系统向虚拟化平台迁移并不能瞬间完成，因此在真实的应用场景中，往往会存在混合虚拟化环境和传统物理网络环境的情况。在这样复杂的网络环境下，存在以下几个方面的安全挑战：

（一）业务系统间信息流监测和梳理困难的问题

梳理清楚业务系统间的通信关系，并对业务系统间信息流提供实时的监测功能，对职业院校信息化环境实施安全防护方案有着重要作用，是让安全方案能够真正理解业务安全需求的重要步骤之一。但由于职业院校信息化不断向着计算系统的高度集中化发展，大量的业务主机集中管理在一个大型的网络环境中，如私有云的环境，使得跟踪和监测系统间的信息流变得非常困难：难以找到合适的监测点，并且由于虚拟机和物理主机的数量庞大，难以把分散在各处的监测数据整合起来。

（二）业务系统逻辑网络边界难以界定和隔离的问题

业务系统在使用虚拟机作为服务器后，传统的物理网络边界就失去了意义，虚拟机可以在虚拟化环境中进行漂移。虽然在逻辑上，一个业务系统仍然是由原先那几台服务器构成，但这几台服务器在物理拓扑位置上却并不一定在一起，甚至不固定，可能随着虚拟化环境资源的调配而发生变化，这样就使得以边界防护和隔离为管理目标的传统网络安全管理失去了存在的意义，同时也难以对一个业务系统的边界实施有效的安全隔离。

（三）安全设备监测负载过大、噪音数据过多的问题

在传统网络环境中，监控网络流量需要依靠在交换机上对数据包的捕获，再通过安全设备进行检测分析。而在虚拟化环境中，由于无法找到明确的网络边界，因此若想保证不存在安全监控的盲区，往往需要在所有物理交换机或虚拟交换机上进行抓包，以保证所有可能与被监控业务系统的通信流量都能够被捕获，这样就会在捕获到真正属于被监控业务系统的通信流量的同时，也抓取到大量的不属于被监控系统和主机的干扰数据，从而容易造成用于进行安全检测和防御的安全设备接收到过量的负载而导致处理能力和响应速度受到影响，同时大量的噪音数据也会影响安全检测的准确性，易产生大量的误报警。

四、基于软件定义网络技术的网络安全管理系统

针对上述问题，本文给出了一种基于软件定义网络技术构建的、可与新型职业院校信息化环境紧密结合的网络安全管理系统。采用集中式的管理，基于全景式的系统拓扑和业务关联的相关知识，能够有效地对复杂职业院校信息系统网络环境进行细粒度的信息流梳理和安全管理。为了获得全景式的系统拓扑，并能够提高细粒度的网络流安全管控能力，需要将软件定义网络的基础架构引入到职业院校的信息化网络环境中，即需要让整个网络环境中的软件交换机和硬件交换机都开启对Openflow协议的支持。安全管理系统通过调用SDN网络控制器的北向接口来获得整个网络的拓扑知识，并根据需求操控业务系统间的信息流的转发。在混合了虚拟化（云计算）网络环境和传统物理网络环境的企业信息化网络环境中，传统的物理交换机和虚拟交换机都需要开启Openflow协议的支持。传统物理网络仍然以物理局域网的边界为安全检测和防护的边界，并且可以支持以虚拟局域网的方式在虚拟化环境中使用虚拟机以扩展传统物理局域网的规模。为了能够提供基于业务的安全管理，我们提出采用业务流可信表的方式来关联业务模型与底层的网络流安全管控。系统通过提供管配接口，让安全管理员能够对其职业院校内部的系统进行逻辑边界的建模，形成以逻辑安全边界为管理对象的安全管理模型。业务流可信表则允许用户以软件定义的方式定义业务系统间的可信互访关系，包括业务系统内部主机间的相互访问是否可信，不同业务系统间的相互访问是否可信等规则。互访关系的定义将作为SDN控制器流表的生成规则，当互访关系为可信时，认为是无须监测的业务流，Openflow的流表项上将直接转发至目的节点，不在业务流可信表中的网络流量需要根据对安全设备的配置转发到相应的安全设备接入端口。在整个业务流的安全管理流程中，安全防护和检测的工作由专业的安全设备完成，这些安全设备被接入到职业院校的网络环境中，由安全管理系统统一管理。当用户创建业务系统模型后，即可为该业务系统指定边界安全防护和检测设备，这样就形成了一套完整的、基于业务系统逻辑边界的细粒度安全防护和检测流程。系统在启动后，通过虚拟化管控和SDN管控获得整个网络的拓扑信息，以可视化的方式将这些拓扑信息展现出来，并让用户在此基础上进行业务系统逻辑边界的建模，即指定哪些虚拟机属于一个业务系统。基于已创好的业务系统逻辑边界可在业务流可信表中指定相互间的可信互访关系以及一个业务系统内的主机间的互访是否可信。通过业务流可信关系转换模块将定义好的表项翻译为Openflow的转发规则，并通过SDN管控下发到相应的SDN交换机上。通过业务流可信表对业务逻辑和网络流管控的关联，网络安全管理系统能够对每个通过交换机的网络流进行监控与审计，对于符合业务流可信表定义的网络流直接进行转发，以减小安全设备的负载压力；对于不符合业务流可信表定义的网络流通过SDN的流表转发功能，将其转发至接入的物理安全设备上进行分析和检测，如对于数据库服务器和web服务器之间的连接关系认为是可信的，则他们之间的网络流将被直接转发，而外部主机直接对数据库服务器的访问将被认为不可信而需要被重定向至安全设备进行检测。同时系统也通过对业务流关系的跟踪分析提供基于业务流的安全审计预警能力，从而进一步加强整个系统的安全管理功能。

五、结论

第7篇

关键词：入侵检测技术；网络安全；应用

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 14-0000-01

Intrusion Detection Technology Application

in the Network Security

Ou Hongxing

(Hunan University of Science and Technology Modern Education Technology Center,Yongzhou425100,China)

Abstract:With the continuous expansion of information technology,various types of online promotion and application software,computer networks to improve data transmission efficiency,data concentration,data sharing has played an increasingly important role in network and information system has been the work has gradually become an important infrastructure.To ensure safe and efficient operation of all work to ensure network and information security and network hardware and software systems running smoothly is the basic premise of the normal,so construction of computer network and system security is particularly important.

Keywords:Intrusion detection technology;Network security;

Application

一、计算机网络安全

计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面，即物理安全和罗辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。罗辑安全包括信息的完整性、保密性和可用性。

二、计算机网络安全的现状

目前欧洲各国的小型企业每年因计算机病毒导致的经济损失高达220亿欧元，而这些病毒主要是通过电子邮件进行传播的。据反病毒厂商趋势公司称，像Sobbing、Slammer等网络病毒和蠕虫造成的网络大塞车，去年就给企业造成了550亿美元的损失。而包括从身份窃贼到间谍在内的其他网络危险造成的损失则很难量化，网络安全问题带来的损失由此可见一斑。

三、计算机网络不安全因素

对计算机信息构成不安全的因素很多，其中包括人为的因素、自然的因素和偶发的因素。其中，人为因素是指，一些不法之徒利用计算机网络存在的漏洞，或者潜入计算机房，盗用计算机系统资源，非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。

四、入侵检测系统在计算机网络安全中的重点应用

（一）入侵检测系统。入侵检测技术是网络安全研究的一个热点，是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。随着时代的发展，入侵检测技术将朝着三个方向发展：分布式入侵检测、智能化入侵检测和全面的安全防御方案。

（二）入侵检测系统技术是进行入侵检测的软件与硬件的组合，其主要功能是检测，除此之外还有检测部分阻止不了的入侵；检测入侵的前兆，从而加以处理，如阻止、封闭等；入侵事件的归档，从而提供法律依据；网络遭受威胁程度的评估和入侵事件的恢复等功能。在校园网络中采用入侵检测技术，最好采用混合入侵检测，在网络中同时采用基于网络和基于主机的入侵检测系统，则会构架成一套完整立体的主动防御体系。

（三）入侵检测系统技术对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况（anomaly-based）。

对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。

两种检测技术的方法、所得出的结论有非常大的差异。基于标志的检测技术的核心是维护一个知识库。基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。

五、现阶段常用计算机安全防护措施的应用

（一）网络病毒的防范。在网络环境下，病毒传播扩散快，所以最好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，通过全方位、多层次的防病毒系统的配置，通过定期或不定期的自动升级，使网络免受病毒的侵袭。

（二）配置防火墙。利用防火墙，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。

（三）漏洞扫描系统。解决网络层安全问题，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。

由于计算机运算速度的不断提高，各种密码算法面临着新的密码体制，如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。因此网络安全技术在21世纪将成为信息网络发展的关键技术，21世纪人类步入信息社会后，信息这一社会发展的重要战略资源需要网络安全技术的有力保障，才能形成社会发展的推动力。

在我国信息网络安全技术的研究和产品开发仍处于起步阶段，仍有大量的工作需要我们去研究、开发和探索，以走出有中国特色的产学研联合发展之路，赶上或超过发达国家的水平，以此保证我国信息网络的安全，推动我国国民经济的高速发展。

参考文献：

[1]王秀和,杨明.计算机网络安全技术浅析[J].中国教育技术设备,2007

[2]龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,2006

[3]蔡立军.计算机网络安全技术[M].中国水利水电出版社,2006

[4]周国民.入侵检测系统评价与技术发展研究[J].现代电子技术,2008

第8篇

关键词：面向对象Petri网；网络攻击模型

一、引言

单一的建模技术由于其自身的特点和局限性，无法描述当前复杂的网络攻击场景，将面向对象的思想融入到Petri网的定义中，能够增强模型的描述能力[1]。在建模过程中对论域中的每个节点创建对象，对象内部封装安全要素及对漏洞可实施的攻击方法，可以形式化描述大规模网络的攻击环境，同攻击图和渗透图等模型相比，面向对象Petri攻击模型具有描述并发的协同式攻击的能力又有效地解决了状态空间的“爆炸”问题[2]。

二、面向对象技术在网络安全建模中的应用

网络安全建模是从攻击者视角，依据网络中存在的安全要素及攻击行为发生利用的攻击规则，构造网络的攻击场景。

定义2.1：节点对象O定义为三元组。A为节点对象的状态信息集，Method表示节点对象中封装的方法；Relation为节点对象之间的关联关系。

定义2.2：节点类，是对拥有相同关联关系、相似状态信息和操作方法的节点对象的集合。不同的网络节点具有不同的功能与性质，分为：Host、Server、Firewall、Router、IDS。节点类记录为，其中攻击者节点类没有状态信息A与操作方法R，其余节点类定义同定义3.1。

定义2.3：攻击规则集Attack-Rules，表示节点对象脆弱性状态发生变化时依据的规则。AR=，其中，rule_id为攻击规则的编号；action_name为攻击行为名称；pre_con为攻击的前件状态集，即该攻击行为发生应满足的前提条件pre_conditions A∪R。post_con为攻击后件状态集，即该攻击行为发生后产生的结果，结果的表示形式为主机脆弱性状态的转变post_conditions VS。攻击规则只是对一类攻击行为的抽象，在具体攻击过程中需要对攻击规实例化，即对攻击规则的前件状态与后件状态赋值。

网络安全要素包括节点对象的状态信息以及节点对象之间的关联关系。状态信息包括：网络服务、应用程序、数据等级、漏洞；关联关系为网络连接、信任关系及访问权限。

定义2.4：属性集Attitude表示节点对象中的状态信息，定义为二元组。attitude-type表示属性类型，attitude-value表示属性值，属性值的记录形式O.attitude-value。attitude-type表示静态属性static；反之，attitude-type表示动态属性dynamic。其中：静态属性的attitude-value=，host为节点对象的名称，address为节点对象的IP地址，type为节点对象的类型；service表示节点对象上的网络服务定义为service=，ser_name为网络服务名称，portocol表示服务所使用的网络协议，port指网络服用监听的端口；application为节点对象上运行的应用程序；data为节点对象上存放数据的等级；leak表示节点对象服务存在的漏洞，leak=，leak_id为漏洞编号，leak_description为漏洞描述。动态属性表示脆弱状态，attitude-value={Access，User，Root，DoS，Info-leak，Controlled}，Access，User，Root表示攻击行为发生时可从该节点对象获取的权限；DoS表示该节点对象处于拒绝服务状态；Info-leak代表对象上的数据被非授权访问或者读写；Controlled代表主机处于可控状态，允许执行远程代码或任意命令[3]。脆弱性状态的属性均为布尔变量，值为真时表示利用该脆弱性状态的攻击行为发生，反之未发生。

定义2.5：方法Method是一系列函数的集合，表示攻击者的攻击行为。Method定义为二元组。其中，name表示方法的名称；realize表示方法的实现，方法的过程和步骤存放在攻击函数库中，通过参数调用，调用结果是脆弱性状态发生变化。

定义2.6：关联关系Relation表示为P（X），P为谓词，X为参数集。物理连接PR表示攻击者节点与主机间及主机与主机之间的物理联通关系，记录形式为PR（Oi，Oj）；访问关系AR表示攻击者节点具有某节点对象所有的权限，记录形式为AR（Oi，Oj）；信任关系TR表示节点对象间访问不需要认证，记录形式为TR（Oi，Oj）。

三、面向对象Petri网（OOPN）的网络攻击模型

四、结论

OOPN攻击模型反映了网络安全状态，给出网络中各脆弱性的依赖关系，依据此模型可以分析目标网络可能面临的威胁，计算其风险概率，找出降低或消除威胁的安全措施。本文重点完成了OOPN攻击模型的定义，此方法给网络攻击形式化建模提供一种思路。（作者单位：西安建筑科技大学）

参考文献：

[1] 乐晓波，汪琳，庹清.面向对象的Petri网建模技术研究，计算机工程，2002.5.

第9篇

1计算机网络安全的基本定义

网络安全从根本上说就是在网络里信息的安全，所涉及的范围很宽广。造成这种情况的原因是，在现在的公众通信网络里存有各式各样的安全危机和漏洞，在普遍的方面说，只要和网络上信息的安全性、有效性、整体性和控制性有关联的理论和实践，它们都是网络安全进行钻研的区域，所以网络的最普遍的定义就是网络系统内部的软件、硬件和利用内部的相关数据都被保护。不被外部的其他原因影响，保护信息的安全性和网络系统的正常运行，防止有不法之人借助网络系统危害其他人，防止违法行为的产生，最根本上是保护人们人权和维护国家的根本利益。狭义上的信息安全其实就是网络里信息内容的安全性，它主要保护了网络信息的整体性、保密性和安全性，防止黑客借助网络系统的安全漏洞大做文章，对本人的信息进行盗用和冒用等行为。在根本上保护人们的隐私和利益。网络安全和被它保护的信息人员有关系，它的定义主要是借助计算机网络的密保技术和信息安全技术，维护在公众通讯中的传播交换和储存的信息的秘密性、整体性和实际性，同时针对信息的传播的控制功能上进行创新突破。

2计算机网络安全的形式与特点

2.1网络安全的形式在当代的网络时代中，网络的信息具有一定开放性，计算机网络安全一旦表示为系统稳定安全的运行，尤其是计算机的信息系统运行的安安全性，其实这就是网络安全的中心要求。影响网络安全的因素有很多。在当代网络的进步方面说，必须着重维护计算机网络的系统安全，只有这样才能保护互联网的安全，促进互联网的进步发展。

2.2网络安全的特点计算机网络安全的主要有三个特点：第一是系统化特点，是说安全制度体系化和计算机网络安全技术，比如现在针对网络安全体系的建设不迫在眉睫的，建设健全的系统形式，确保计算机能够在安全的环境下进行，并且在杂乱的网络形势下不停进行革新；第二是多样化特点，是说现在计算机的表示模式和定义的多元化，能够促进网络安全渐渐清晰的模式转变，在当代的安全机制中，基本都是按照多模式、多技术、多系统的技术来面对计算机网络的多样化；第三是杂乱化特点，当今互联网的进步让客户端网络形式逐渐变的杂乱化，网络受外部的影响比较大，这能够让网络的安全性受到冲击，所以，只有让互联网的各个方面都受到网络安全的保护，才能阻止计算机网络受到侵害，因为这样就要求我们必须不断革新网络安全机制，才能在杂乱的网络坏境中生存下来。

2.3计算机网络安全机制分析所谓的安全性机制就是操作系统的管理程序和硬件软件相关部件和两者的随意组合。这是一种信息机制的随意部件测试和组织主动和被动威胁的方式。安全和安全性机制是有关系的，所谓机制就是为了达成服务的形式。安全性机制和安全相互有联系。比如：秘密能够借助加密的通信来补充和路由操作来完成。此外，加密不仅仅可以是秘密的组成部分，它也可以是整体性和分辨性的组成部分。在各式各样的安全机制里，加密模式是最受欢迎的应用，它同时能够给予最大范围的安全性，加密机制的主要目的是预防对加密性整体性和分辨性的毁坏。所谓数字签名就是一个用在分别的主要技术，数字签名能能够用在辨别服务，同时也能够用在无拒绝服务和整体。一旦数字签名应用在没有拒绝服务的时候，他就离不开公证的帮助，公证是借助能够相信的第三者来检验信息的，从网络终端用户的角度出发，最普遍的安全性操作是借助应用口号来进行控制的，口号的表现模式是一连串数字或者符号，借助这些数字和符号来对用户的身份信息进行鉴别，在获取对信息的访问权限以前，一般都让用户说出一个口号，为了达到安全标准，口号和填写问卷的方法也很有效，也能鉴别用户的身份。

3计算机网络安全问题的应对措施

3.1信息加密与数字签名所谓信息加密技术是一个自主的信息安全防范系统，同时也保护网络信息安全正常运行的中心技术，信息加密技术的原理理论是借助正规的加密运算法。把文字转变为不能够直接获取的密码文字，针对不合法的用户获得和理解原始数据产生了有效的抑制作用，保证了数据的秘密性，将文字转变为密码形状文字的期间，我们把它叫做加密过程。把秘密形状文字转变为文字的期间我们叫做解密过程。解密过程使用的参照数我们管它叫做秘密钥匙，信息加密的技术主要是两种方式，第一种是非对称加密技术。第二种是对称加密技术。为了防止其他人对上传的文件进行损坏和明确发信人的信息，我们采用了数字签名这一模式，数字签名主要应用在电子行业，在电子行业中起着举足轻重的作用，它的特点是，不能被伪造，签字的一方不能耍赖，在公证方就可以能够检验真假。

3.2数字证书、数字摘要以及数字证书数字证书作为互联网通信里的标志性特征，它能够标志各个用户的身份信息，它是由专业机构来实行的，它属于一种证明运用这一方法能够鉴别用户的实际身份。所谓数字指纹就是应用计算函数的方来对文件进行加密处理，简单概括为一些秘密文字，这段秘密文字被称为数字摘要，它是唯一的一个和数值相对应的数值。所谓数字信封就是指信息接收端的钥匙，将一个相对的通讯钥匙进行加密处理，最终产生的数据被称为数字信封，仅仅在确定的接受方才能够用自己的钥匙打开信封，从而获取信封中的信息。

4结论

第10篇

网络安全管理中的智能化技术就要能够自动识别网络安全威胁因素，这些因素会在网络运行中产生危害作用。其中，智能化的安全识别技术就能够自动捕捉网络不稳定因素，在系统发生安全事故中形成相应的反馈机制，在威胁因素进入系统能够主动报警，分析该行为的规范性，在判定为不稳定因素后立刻将其定义危险。同时，网络运行环境信息包括网络中资产的分布状况以及资产的攻击收益对攻击发生可能性的影响、使用环境中存在的威胁状况等因素。这些环境因素都能影响攻击者攻击目标，智能化的安全识别技术就能够根据系统的环境因素制定诊断体系，有效地识别出网络安全威胁因素。

2网络智能扫描技术

在网络安全管理中，智能扫描就是能够通过预先定义的规则对所有系统信息进行扫面和判定，从而诊断出系统中存在的危险因素和漏洞信息。旧的扫描工具遇到特定的端口找特定的服务，这样可能导致有人将某个服务安装在一个自己任意指定的端口使扫描不彻底。所以扫描工具应具备任意端口任意服务的功能。目前，一些成熟的扫描系统能够将网络中的单个主机的扫描结果整理成报表，并对相应的脆弱性采取一些措施，但是对整个网络系统的安全状况缺乏一个评估，对网络没有一个系统的解决方案，先进的扫描系统不仅能够扫描出脆弱性，而且可以智能化地帮助网络安管理员评估网络的安全状况，给出安全建议，使之能够成为一个安全评估专家系统。此外，智能化的网络扫描技术能够与系统的入侵检测、防火墙以及风险管控技术结合起来，从而形成一体化的安全扫面危险体系，达到进一步提升系统安全性的效果。

3网络安全智能评估技术

传统网络安全评估中需要针对系统进行详细分析与测试，该工作对于网络安全管理员的技术要求较高，并且要求安全管理员的工作强度较大。因此，采用智能化的评估技术就能够降低网络安全管理员的工作流程，其中，智能评估技术就是构建网络自动化分析测试机制，能够针对网络安全进行威胁和安全判断，并能够协助安全管理员提出系统防御措施。网络安全智能评估机制就是按照系统安全脆弱性集合，对系统进行全面测试，并对测试结果进行分析，从而对整个网络系统的安全状况作出总体评价，并预测可能发生的入侵，最后对网络系统存在的脆弱性提出修补建议。网络安全评估系统能够在网络黑客进行入侵或攻击前，帮助安全管理员及早发现网络系统存在的脆弱性，排除安全隐患。

4网络态势智能预测技术

网络态势预测能够在日常网络运行过程中发现网络运行状态，并根据网络运行装填制定进行评估未来网络发展。如果系统在受到不安全因素入侵，在网络运行状态分析中就能够发现网络运行出现波动，从而在系统报警，让系统安全管理员察觉系统出现危险。智能化的网络态势预测技术就是在网络安全态势评估中融入自主决策系统，能够在分析系统运行情况后进行自动反馈，在最短时间内作出响应控制系统安全。网络态势智能化技术能够设定相应预警机制，并且根据系统具体构成设定安全阀值，并在超出安全阀值的情况下采取相应控制措施。此外，网络态势智能预测技术能够实现动态重构、自主决策和自主感知，为整个系统安全管理提供信息数据支持，在网络安全的整体层面达到智能化管理。

5网络优化智能技术分析

网络安全优化是针对网络的内部环境制定优化措施，能够实现网络的整理和整顿，从而保证网络内部环境的安全性。网络优化智能技术就是在系统中能够通过信息采集，利用信息跟踪手段确定网络内部安全状态，根据内部运行状态自动判定网络内部问题，并且能够自动的进行内部配置和优化，促使网络内部安全问题得到解决，保持网络运行效率的最大化。同时，网络优化智能化技术能够构建出专家系统，在整个网络中进行整体规划，对系统功能进行局部优化，将智能决策、优化知识管理和自动反馈等技术融入到网络内部优化中，从而为提供内部工作提供支持。此外，网络优化智能技术能够保证系统运行的稳定性，对于网络系统的安全性有着重要保证，智能化优化措施可以结合系统外部防护形成多维网络管理体制，从而有效地控制网络系统安全。

6总结

第11篇

【关键词】防火墙；安全策略；安全意识

1、防火墙安全策略的原理

防火墙又称为防护墙，是一种介于内部网络和外部网络之间的网络安全系统。其基本作用是保护特定的网络不受非法网络或入侵者的攻击，但同时还得允许两个正常网络之间可以进行合法的通信。安全策略就是对通过防护墙的信息数据进行检验，只有符合规则或符合安全策略的合法数据才能通过防火墙的检验，进行数据通信和资源共享。

通过防火墙安全策略可以有效地控制内网用户访问外网的权限，控制内网不同安全级别的子网之间的访问权限等。同时也能够对网络设备本身进行控制，如限制哪些IP地址不能使用设备，控制网管服务器与其他设备间的互相访问等。

在具体防火墙的应用中，防火墙安全策略是对防火墙的数据流进行网络安全访问的基本手段，其决定了后续的应用数据流是否被处理。NGFW会对收到的流量进行检测，检测对象包括源＼目的安全区域、源＼目的地址、用户、服务和时间段等。具体步骤如下：

（1）首先是数据流先要经过防火墙；

（2）然后查找防火墙配置的安全策略，判断是否允许下一步的操作；

（3）防火墙根据安全策略定义规则对数据包进行处理。

2、安全策略的分类

安全策略大体可分为三大类：域间安全策略、域内安全策略和接口包过滤。

域间安全策略用于控制域间流量的转发，适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务、用户等多种方式匹配流量，并对符合条件的流量进行包过滤控制。其也用于控制外界与设备本身的互访，允许或拒绝与设备本身的互访。

域内安全策略与域间安全策略一样，也可以按IP地址、时间段和服务、用户等多种方式匹配流量，并对符合条件的流量进行包过滤控制。但是在企业中某些部门如财务部等重要数据所在的部门，需要防止内部员工对服务器、PC机等的恶意攻击。所以在域内应用安全策略进行IPS检测，阻断恶意员工的非法访问。

当接口未加入安全区域的情况下，通过接口包过滤控制接口接收和发送的IP报文，可以按IP地址、时间段和服务、用户等多种方式匹配流量并执行相应动作。硬件包过滤是在特定的二层硬件接口卡上实现的，用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现，所以过滤速度较快。

3、安全策略的配置思路

（1）管理员应该首先明确需要划分哪几个安全区域，接口如何来连接，分别加入哪些安全区域。

（2）管理员选择根据源地址或用户来区分企业员工。

（3）先确定每个用户组的权限，然后再确定特殊用户的权限。包括用户所处的源安全区域和地址，用户需要访问的目的安全区域和地址，用户能够使用哪些服务和应用，用户的网络访问权限在哪些时间段生效等。如果想允许某种网络访问，则配置安全策略的动作为“允许”，否则为“禁止”。

（4）确定对哪些通过防火墙的流量进行内容安全监测，进行哪些内容安全检测。

（5）将上述步骤规划出的安全策略的相关参数一一列出，并将所有安全策略按照先精确，再宽泛的顺序进行排序。在配置安全策略时需要按照此顺序进行配置。

4、安全策略的具体配置

针对具体的网络拓扑结构以及对防火墙的相关要求，我们在这里对防火墙的安全策略相关配置大体如下：

（1）配置安全区域。

系统缺省已经创建了四个安全区域。如果用户还需要划分更多的安全等级，就可以自行创建新的安全区域并定义其安全级别。具体新建安全区域步骤为：选择网络/安全区域，然后单击“新建”，直接配置安全区域的相关参数即可。

（2）配置地址和地址组。

地址是IPV4地址或MAC地址的集合，地址组是地址的集合。地址包含一个或若干个IPV4地址或MAC地址，类似于一个基础组件，只需定义一次，就可以被各种策略多次引用。

（3）配置地区和地区组。

地区是以地区为单位的IP地址对象，每个地区是当前地区的公网IP地址的集合。为了进一步方便扩展和复用，设备还支持配置地区组供策略引用。配置较为灵活。

（4）配置服务和服务组。

服务是通过协议类型和端口号来确定的应用协议类型，服务组是服务和服务组的集合。其中，预定义服务是指系统缺省已经存在，可以直接选择的服务类型；自定义服务是通过指定协议类型和端口号等信息来定义的一些应用协议类型。

（5）配置应用和应用组。

应用是指用来执行某一特殊任务或用途的计算机程序。应用组是指多个应用的集合。具体通过WEB界面配置相应的服务。

（6）配置时间段。

时间段定义了时间范围，定义好的时间段被策略引用侯，可以对某一时间段内流经NGFW的流量进行匹配和控制。具体通过WEB界面进行配置相关时间段。

综上所述，我们在进一步加强网络安全的今天，就必须在增强网络安全意识的前提下，不断地加强网络安全技术。而在防火墙安全技术中，防火墙的安全配置策略就是重中之重。在实际应用过程中，要不断地进行优化处理。只有不断地的丰富和完善，我们的网络世界才会安全通畅！

参考文献：

[1] 宿洁， 袁军鹏. 防火墙技术及其进展[J]. 计算机工程与应用， 2004， 40（9）：147-149.

[2] 刘克龙， 蒙杨， 卿斯汉. 一种新型的防火墙系统[J]. 计算机学报， 2000， 23（3）：231-236.

[3] 翟钰， 武舒凡， 胡建武. 防火墙包过滤技术发展研究[J]. 计算机应用研究， 2004， 21（9）：144-146.

[4] 林晓东， 杨义先. 网络防火墙技术[J]. 电信科学， 1997（3）：41-43.

[5] 杨琼， 杨建华， 王习平，等. 基于防火墙与入侵检测联动技术的系统设计[J]. 武汉理工大学学报， 2005， 27（7）：112-115.

第12篇

关键词:计算机网络;安全;因素;对策

中图分类号:TP393.08文献标识码:A 文章编号:1673-0992(2010)05A-0051-01

21世纪的重要特征是数字化、网络化和信息化,计算机网络的飞速发展给人类社会的科学与技术带来了巨大的推动与冲击,同时也产生了网络信息与安全的问题。鉴于信息网络的巨大作用和广泛而深刻的影响,网络安全问题受到了社会高度的关注。近年来,由于计算机网络连接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,再加上人类计算机技术的普遍提高,致使计算机网络遭受病毒、黑客、恶意软件和其他不轨行为的攻击越演愈烈。为确保信息的安全与网络畅通,研究计算机网络的安全与防护措施已迫在眉睫。

一、计算机安全的定义

计算机网络安全包涵“网络安全”和“信息安全”两个部分。网络安全和信息安全是确保网络上的硬件资源、软件资源和信息资源不被非法用户破坏和使用。国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。

二、影响计算机网络安全的主要因素

1.网络系统本身的问题。目前流行的许多操作系统均存在网络安全漏洞,如UNIX、MSNT和Windows。黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统的。具体包括以下几个方面:①稳定性和可扩充性方面,由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响;②网络硬件的配置不协调:一是文件服务器,它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。二是网卡选配不当导致网络不稳定,缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。

2.软件漏洞。每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接人网,将成为众矢之的。

3.病毒的威胁。目前数据安全的头号大敌是计算机病毒,它是编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点。

4.来自内部网用户的安全威胁。来自内部用户的安全威胁远大于外部网用户的安全威胁,使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,如果系统设置错误,很容易造成损失,并且管理制度不健全,网络维护没有在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。

5.缺乏有效的手段监视、硬件设备的正确使用及评估网络系统的安全性。完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议从而提高网络系统安全性能的过程。评估分析技术是一种非常行之有效的安全技术。

三、维护计算机网络安全的对策

1.依据《互联网信息服务管理办法》和《中国互联网络域名注册暂行管理办法》建立健全各种安全机制、各种网络安全制度,加强网络安全教育和培训。

2.加强网络病毒的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品,加强上网计算机的安全。

3.配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们的侵袭、破坏。

4.采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统能够识别出任何不希望有的活动,从而限制这些活动,以保护系统的安全。

5.漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具。

6.利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,对于网络内部的侵袭,可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。

网络安全与网络发展息息相关,也与社会生产和生活关联密切、影响重大,加强计算机网络安全监管、维护网络安全,建立一个良好的计算机网络安全系统是对社会发展事业做出的一项重大贡献。只有多管齐下,内外兼治,才能生成一个高效、安全的网络系统。⑤①

参考文献:

[1]吴钰锋、刘泉、李方敏.网络安全中的密码技术研究及其应用[J].真空电子技术,2004

第13篇

网络已经成为人们生活、工作中不可或缺的部分。人们利用网络沟通信息，培养感情建立联络网。利用网络传递工作信息，查询最新的技术和知识。所以网络遍布各个领域。这极大的方便了人们的工作生活，但是不可否认的也威胁到了个人隐私，同时网络犯罪也使得网络用户的财产收到了威胁。本文从网络安全技术入手，阐述了网络安全的定义和相关的技术，如何利用网络安全技术提高网络环境的安全。

【关键词】

防火墙；杀毒软件；操作系统应用；加密技术

1 网络安全定义概述

什么样的环境才是安全的，用怎样的手段去塑造安全的网络环境。解决了这两个问题，就了解了网络安全的的真谛。国际组织和不同的协会乃至国家，都曾经给出过网络安全的定义。各有不同，但是无外乎是从宏观角度、微观角度来论述。核心含义还是大致相同的。这里我们综合我国的网络安全定义从理解的角度进行说明。网络安全首先是指网络能够正常的进行信息传送工作，不受到任何因素的威胁。实现的手段既包含软件安装与使用等手段又涵盖硬件设备的作用。深入浅出的说就是利用安装硬件设备和通过软件技术共同实现。从而保证网络信息安全，不被病毒、木马又或者自然因素的影响。或许有人说自然因素如何控制，能够预防所有的病毒木马吗？的确，这个概念是理想化的。是网络安全的高级标准。只要我们做好网络安全维护工作，不断更新软件工具，使用网络安全技术，就能够保证具体时间段内的安全。使得网络威胁缩减到最小，也就实现了网络安全的目的。

2 杀毒技术应用

网络安全热门技术之一，针对的是各种病毒。网络病毒主要目的都是非法获取数据信息，破坏计算机硬件设备，最终达到组织计算机和网络正常工作的破坏性目的。常见的病毒类型众多，这里简单举例，不一一介绍。比如蠕虫类的病毒，工作原理是通过不断的复制，而去占用CPU和内存空间，造成剩余空间过低或者没有剩余空间，使得网络和计算机瘫痪；又如CIH病毒，这个曾经破坏性极强的病毒，只是一个业余的编程爱好者编写的。可见病毒的制作并不需要很高的技术含量。这也使得病毒类型不断更新，威胁性极大。CIH利用时间为触发，也就是在到达某个日期时候或者星期几的时候才发作。他的目的是损坏计算机硬件的硬盘等设备。造成了巨大的经济损失。当然还有熊猫烧香、圣诞节病毒、灰鸽子病毒（木马）如此等等，不一而足。

杀毒技术重要是通过了解病毒和木马的特性，工作原理，触发条件来进行病毒的破解、查杀。杀毒软件已经有成熟的产品，用户只需要了解各个产片的特性和公司情况，更新状况挑选适合的产品。进行安装和使用就可。这里推荐的有金山独霸系列、KAV系列、卡巴斯基、诺顿、瑞星等。喜欢尝试新产品的朋友可以尝试使用360杀毒等。但是新的杀毒软件产品在提供新特性的同时往往也存在一些没有预见的小问题。用户可根据情况选择。

3 操作系统安全应用

网络安全离不开网络终端―计算机的使用。而计算机的使用又不能是裸机，都需要操作系统进行工作。哪么操作系统也就成了各种网络危险分子的攻击目标。受到各类型的攻击。所以要做好操作系统安全，保证网络安全。

操作系统内核技术通常来说不是普通用户可以接触的，但是用户只需了解哪些操作系统适合个人用户使用，哪些适合作为服务器操作系统就可以。任何一种操作系统都有安全设置技术，只不过是安全性程度高低不同，比如个人用户，对安全性较低的，可以采用XP操作系统。如果是公司或者对安全性要求较高的，就需要使用LINUX系列或者WINDOW SEVER 系列。再提高一步，如果设计政府公务国家安全，哪么就有必要使用自主开发的操作系统，如我国就曾开发过红旗系列的操作系统。

从设置角度，要掌握网络管理员设置技术。以WINDOWS SEVER2000为例，一般来说都要屏蔽 不必要的“组”，设置多级别用户密码，启用服务日志，用户分级管理等操作。这些都属于初级阶段，要做一名技术成熟的网络管理员，需要更加深入的学习了解，这里篇幅有限不能赘述。

四、数据传送技术应用：

现在，在动态信息传输的过程中，很多协议都是采用收错重传、丢弃后续包的方式来保证信息完整性和准确性，黑客正是利用这一点在信息包内加入病毒程序对用户电脑或数据进行攻击，为了保证数据的安全性，确保数据的完整性也是所做工作中重要的一部分。有效的方法有以下几种：

报文鉴别：与数据链路层的CRC控制类似，将报文名字段使用一定的操作组成一个约束值，称为该报文的完整性检测向量ICV把约束值与数据捆绑在一起进行加密，这样攻击者由于不能对所做工作中重要的一部分报文进行解密，从而确保信息的安全性。因此，确保数据不被修改。这样，计算机把接收方收到数据后解密并计算ICV与明文中的ICV对比，如果相同则认为有效。消息完整性编码MIC：是一种通过一种简单的函数来计算消息摘要的一种方法，函数信息和数据信息都会被接收方接收，接收方重新计算摘要后还要对接收的内容进行验证与检错。防抵赖技术的主要作用是能为源和目的地提供证明，数字签名是防抵赖技术中使用比较普遍的一种方法，数字签名就是按照某种系统默认的数据传送与接收协议，实现发送方已经发送数据，接收方已经接收数据的一种方法。

【参考文献】

[1]方鑫.计算机网络安全的探析[J]. 信息与电脑（理论版）.2010（07）.

第14篇

【关键词】策略驱动;网络安全;组件

1 引言

随着计算机网络应用领域不断扩大和复杂性的日益增长,暴露出的众多安全问题越来越令人担忧。电脑病毒、黑客入侵等事件已屡见不鲜。为此,市场上出现了各个层面的网络安全产品,如软硬件防火墙、漏洞评估工具、入侵检测系统、病毒扫描、和各种系统安全防护探针等。从抽象角度分析,硬件的网络安全产品,软件的安全应用,各种安全事件和安全数据的管理工具都可以看成网络中的安全防护设备,简化起见本文将其统称为安全设备。它们在一定程度上保障了网络环境的安全。然而,在绝大多数场合中这些安全产品是被孤立地使用的,安全产品供应商往往只是从某一个局部去解决网络安全的部分问题,而很少从整体以及安全管理的角度去考虑。事实上,只有动态地从整体与管理的角度去考虑安全才有可能真正为用户提供安全保障,因而有必要设计一个统一的安全策略,协调各个不同层面网络安全资源的综合性安全管理系统,以使各个层面的网络安全产品融合成一整体。但是,安全设备的增多提高了网络管理的复杂性卜,由此网络安全管理的概念应运而生。所谓网络安全管理就是管理以上所提到的来自不同厂商不同作用范围的网络安全硬件、安全应用进程、网络安全数据等。[1]

设计了一个基于策略驱动的网络安全设备联动管理平台的原型系统。下面我们将首先分别介绍安全设备和网络安全联动管理,并在后面的章节中具体介绍我们设计的网络安全管理平台。

2 网络安全管理平台的框架

网络安全管理平台的设计目的是提供一个可扩充的体系框架,在这个框架下被管理节点的功能可以根据管理的需要增加或者删减,从而达到管理地灵活性,可扩充性,分布式,同时简化和降低管理复杂度。

基于对管理平台的各种技术和功能的要求,我们设计了一个分布式的多节点系统。系统中存在着以下几种角色:管理节点,安全组件,核心控制台,策略引擎和安全通信通道。

管理平台希望获得管理灵活、方便的性能,我们提出了基于策略的管理方式。策略体现网络安全管理员的管理意图,描述当前网络的安全操作和安全性育昌。

通过以上设计,网络安全管理平台应该能够达到通过对现有网络安全设备简单包装即可嵌入本文设计的网络安全管理平台,达到可集成当前存在的网络安全资源遵照安全平台规范设计的安全组件可以在网络内部平滑的流动,从而达到管理可扩展性和动态性符合管理平台规范安全组件的特定功能可以调用其他组件或者被其他组件调用,达到安全能力互补提高系统可存活性的目的。

在安全管理平台中,安全管理策略可以理解为网络管理员的管理意图。这里可能有两类情况,其一是经一定的触发安全事件而执行的动作以保证大型网络安全。触发源来自安全组件的报警,执行动作由具备相应功能的安全组件或设备,这一类称为系统响应策略或联动策略。另一类是为了完成系统交互功能,网络管理员设定的一些网络安全管理命令,它通常包括管理动作,管理对象,管理方法等儿个部分,这一类可称为安全管理策略或功能策略。管理策略可以描述为安全管理策略={ START STOP LOAD UNLOAD }+安全管理组件+管理域,即在一个管理域内安装、卸载、启动或停止一种安全管理组件。例如,在所有Linux服务器上安装一个Anti sniffer软件,所有Linux服务器是一个管理域、Anti sniffer软件是一个安全管理组件,安装或启动就是一个管理方法。

3 管理平台的消息机制

消息机制下的系统具有可扩充性强,分布式甚至对等处理等优点。消息在网络中可以被以中间节点全部转发、部分转发、部分处理、全部处理等多种方式使用。如果消息、能够采用标准的消息格式,则系统中还可能兼容大量的不同实现方式的中间节点。在网络安全管理中,对大量来源的资源的整合、兼容是非常重要的,如论文开始所述,正是由于网络安全的复杂性和多样性才产生所谓的网络安全管理的概念。同时,规范化的消息能够帮助系统适应复杂的网络拓扑结构,因为,中间节点的转发功能实际上相当于IP网络中的路由器的概念,网络中大量存在具有转发能力的管理节点l相当于大规模网络中存在大量的路由器)使消息可以在复杂拓扑的网络中正确的被发送到指定的位置。

网络安全管理平台原型系统的数据流是采用消息模式,系统的绝大多数行为由消息驱动产生。网络安全管理平台所有传输的消息都是采用XVIL格式。通讯数据经过加密和认证的安全通道传输。

在网管平台原型系统中,由于系统数据传输采用EVIL,格式,所以,XML文件的解析成为系统消息机制的核心问题。实践中我们采用C DOM API作为XML Parser的基础。

平台的消息通讯过程中,Core Manager同Agency以及Agency之间的交互采用平台消息的格式。传送双方一的节点主要处理依据是数据头()中的Message巧pe标签值。对应于不同的标签,消息体()中包含了不同的数据,同样节点的处理方一式也不相同。同时,底层通讯时分别采用了RC4加密和MDS认证技术,保证通讯内容的安全。本节将具体介绍通讯的安全机制以及整个通讯过程中的消息机制。

平台启动后,主控端和分控端经过认证后,分控端发送注册报文向主控端注册资源,主控端下发启动策略并镜像联动策略倒分控端。内容检测探针一启动后,当发现有泄密事件发生后,添加到平台报警队列中。策略引擎轮询报警队列,当报警队列不空时,分析相应事件进行策略匹配,从而完成一次联动过程。

4 总结

网络安全管理系统及其原型系统采用XML,语言作为系统平台的统一策略语言,定义了语言中的各种资源描述规范。使用XML,格式的消息作为系统平台的基本消息格式,定义在策略收发过程和系统反馈过程中的消息处理模式。实现了一个基于策略的网络安全管理原型系统,原型系统能够分析策略语言的内容,按照顶先定义的方式“推送”策略到策略执行点。原型系统基本可以达到简单的策略编写就可以管理网络中的不同来源的设备集成管理,达到联动的网络安全管理基本目的。

【参考文献】

第15篇

【关键词】广播电视事业 信息化 数字化和网络化

1 误报率

1.1 误报率的定义和计算方法

误报指在该网络安全设备报警规则事件集合（记为：C）中，用某一A事件去触发报警时，实际发生了B事件报警或未发生报警。误报率指在C规则集中，由于算法或事件定义的原因而导致该网络安全设备误报产生的概率。

误报率比较通用的计算方法是以设备规则集为出发点，对规则集的事件进行加权处理，公式表示为C（N）=C1*a1+c2*a2......+Cn*an（Ci表示某事件，ai表示权值，N表示事件数），误报事件B（M）=b1*w1+b2*w2......Bm*Wm（bj表示误报事件，bj表示权值，M表示误报事件数），因此：

误报率=*100% （1-1）

但是目前行业没有一个统一的权值标准，因此：

简化的误报率= （1-2）

（M五保事件数，N事件总数）。

1.2 误报率的测试方法

1.2.1 测试方法

因网络安全设备事件规则集合较多，各种组合之间覆盖到往往不现实，一般采用抽样的方式，即随机挑选事件库中的部分事件（一般为100条），采用攻击工具真实触发这些事件，或者以抓包工具对捕获的包进行回放，分析出报警结果，从而得出该设备的误报率。

1.2.2 测试工具

常见的测试工具包括思博伦ThreatEX、DSQLTools、x-scan、桂林老兵、IE文件服务器、DDOS、冰河等工具；同时可用tcpreplay、Sniffer、Wireshark等抓包工具，去http：//网站下载.pcap包进行回放，特别可对最新恶意程序误报进行检测。

1.2.3 测试环境

以网络安全产品端口镜像为例的拓扑如图1所示。

为了保障测试期间的准确，测试期间该网络尽量独立部署。

1.2.4 测试步骤

――按照图1将设备全部部署好；

――在攻击机上启动测试工具，或用tcpreplay i 网卡 M 流量 l 次数 包名进行发送；

――检查误报后，用公式1-2进行计算误报率。

2 漏报率

2.1 漏报率的定义和计算方法

漏报是指对于真实发生的网络攻击事件网络安全设备没有预警；漏报率是指对于真实存在的网络攻击，网络安全设备存在漏报的概率。导致漏报的因素很多，主要包括特征库未及时更新、网络流量等。漏报率的计算，是以真实发生的网络攻击事件数量为基准，计算网络安全设备漏报的事件数量所占的比率。

2.2 漏报率的测试方法

2.2.1 测试方法

能否检测最新的网络攻击事件是衡量一个网络安全产品的研发和维护支持能力的重要指标，因此可到http：//网站下载最新的.pcap包进行回放测试；同时在不同的网络流量背景下，用攻击工具或抓包工具多次回放同一事件，分析网络安全设备的报警数量，从而计算漏报率。

2.2.2 测试工具

网络安全设备漏报率的测试工具包括：Unicode、发包工具SmartBits、嗅探抓包工具Sniffer等。

2.2.3 测试环境

测试环境跟误报率测试基本相同，只是在交换机连接一台网络发包工具SmartBits（进行不同流量下的测试）。

2.2.4 测试步骤

在测试期间分别使用最新包进行发送和Smartbits进行0，25%，50%，99%的网络加压，最后计算：

漏报率=

（N未检测出的包，M总发包数）。

3 结束语

网络安全设备的关键在于发现入侵行为，然后根据事先的预警规则进行及时、准确的处理，使我们的信息系统更加安全。误报率和漏报率的直接影响到网络安全设备应用的效果，科学认识误报率和漏报率的测试方法和流程，有助于我们提高检测水平，同时也可对使用开发单位进行有效的指导。

参考文献

[1]盛骤，谢式千，潘承毅.概率论和数理统计[M].北京：高等教育出版社，2000.

[2]陈庆章，赵小敏.TCP/IP网络原理与技术[M].北京：高等教育出版社，2006.

[3]季永炜.ARP攻击与实现原理解析.电脑知识与技术，2012.

作者简介

季永炜（1982-），男，浙江省诸暨县人。大学本科学历。现为浙江省电子信息产品检验所工程师。