【关键词】广播电视事业 信息化 数字化和化
1 误报率
1.1 误报率的定义和计算方法
误报指在该网络报警规则事件集合(记为:C)中,用某一A事件去触发报警时,实际发生了B事件报警或未发生报警。误报率指在C规则集中,由于算法或事件定义的原因而导致该网络安全设备误报产生的概率。
误报率比较通用的计算方法是以设备规则集为出发点,对规则集的事件进行加权处理,公式表示为C(N)=C1*a1+c2*a2......+Cn*an(Ci表示某事件,ai表示权值,N表示事件数),误报事件B(M)=b1*w1+b2*w2......Bm*Wm(bj表示误报事件,bj表示权值,M表示误报事件数),因此:
误报率=*100% (1-1)
但是目前行业没有一个统一的权值标准,因此:
简化的误报率= (1-2)
(M五保事件数,N事件总数)。
1.2 误报率的测试方法
1.2.1 测试方法
因网络安全设备事件规则集合较多,各种组合之间覆盖到往往不现实,一般采用抽样的方式,即随机挑选事件库中的部分事件(一般为100条),采用攻击工具真实触发这些事件,或者以抓包工具对捕获的包进行回放,分析出报警结果,从而得出该设备的误报率。
1.2.2 测试工具
常见的测试工具包括思博伦ThreatEX、DSQLTools、x-scan、桂林老兵、IE文件服务器、DDOS、冰河等工具;。
1.2.3 测试环境
以网络安全产品端口镜像为例的拓扑如图1所示。
为了保障测试期间的准确,测试期间该网络尽量部署。
1.2.4 测试步骤
――按照图1将设备全部部署好;
――在攻击机上启动测试工具,或用tcpreplay i 网卡 M 流量 l 次数 包名进行发送;
――检查误报后,用公式1-2进行计算误报率。
2 漏报率
2.1 漏报率的定义和计算方法
漏报是指对于真实发生的网络攻击事件网络安全设备没有预警;漏报率是指对于真实存在的网络攻击,网络安全设备存在漏报的概率。导致漏报的因素很多,主要包括特征库未及时更新、网络流量等。漏报率的计算,是以真实发生的网络攻击事件数量为基准,计算网络安全设备漏报的事件数量所占的比率。
2.2 漏报率的测试方法
2.2.1 测试方法
;同时在不同的网络流量背景下,用攻击工具或抓包工具多次回放同一事件,分析网络安全设备的报警数量,从而计算漏报率。
2.2.2 测试工具
网络安全设备漏报率的测试工具包括:Unicode、发包工具SmartBits、嗅探抓包工具Sniffer等。
2.2.3 测试环境
测试环境跟误报率测试基本相同,只是在交换机连接一台网络发包工具SmartBits(进行不同流量下的测试)。
2.2.4 测试步骤
在测试期间分别使用最新包进行发送和Smartbits进行0,25%,50%,99%的网络加压,最后计算:
漏报率=
(N未检测出的包,M总发包数)。
3 结束语
网络安全设备的关键在于发现入侵行为,然后根据事先的预警规则进行及时、准确的处理,使我们的信息系统更加安全。误报率和漏报率的直接影响到网络安全设备应用的效果,科学认识误报率和漏报率的测试方法和流程,有助于我们提高检测水平,同时也可对使用开发单位进行有效的指导。
参考文献
[1]盛骤,谢式千,潘承毅.概率论和数理统计[M].北京:高等教育出版社,2000.
[2]陈庆章,赵小敏.TCP/IP网络原理与技术[M].北京:高等教育出版社,2006.
[3]季永炜.ARP攻击与实现原理解析.电脑知识与技术,2012.
季永炜(1982-),男,浙江省诸暨县人。大学本科学历。现为浙江省电子信息产品检验所工程师。
关键词:网络安全;安全防护
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 05-0000-01
Potential Safety Hazard and Protection of Network Equipment
Zhang Ping,Luo Cheng,Yang Suping
(Troop 61938 Beijing1000,China)
Abstract:Nowadays people lay great emphasis on the server,terminal and application system of network security and ignore the security of operation activity of network.This paper illustrates the potential safety hazard of network equipment,analyzes the protection means of equipment security and comes up with some suggestions.
Keywords:Network security;Security protection
网络设备是网络系统的主要组成部分,是网络运行的核心。网络运行状况根本上是由网络设备的运行性能和运行状态决定的,因此,网络设备稳定可靠运行对整个网络系统的正常工作起着关键性作用。
一、 网络设备存在的安全隐患
总体来看,网络设备从网络管理角度可分为三类:
第一类是无需进行配置和管理的网络设备,如集线器等;
第二类是可通过特殊端口:串口、并口、USB口进行配置管理的网络设备,如交换机等;
第三类是可通过远程连接TELNET、网管、WEB等方式进行配置管理的网络设备,如路由器等。
通常情况下,前两类网络设备一般设备自身不会遭到入侵攻击,存在较大安全隐患的主要集中在第三类网络设备中,主要表现在:
(一) 人为因素
在网络设备的配置管理过程中,由于参与实际操作技术人员的技术水平存在一定差异,很难避免人为操作中存在失误和欠考虑等问题的出现,即使技术水平较高也会出现配置失误等情况的发生。
一般人为因素的安全隐患主要表现在:在设备密码配置中,空密码、较简单密码或不设密码,或者将密码设置为明码而没有加密;对远程管理没有进行访问控制,即对远程管理终端地址没有进行适当控制;访问控制配置错误,没有发挥预期的目的。
(二)网络设备运行的操作系统存在漏洞。
网络操作系统是控制网络设备运行、数据转发、路由计算、访问控制等服务的主体,它全面掌控着网络设备。不同厂商的网络设备运行各自定制的系统,存在较大差异,不同程度存在系统漏洞。
一般网络操作系统的漏洞主要表现在:接收特定的非法、畸形数据包后导致系统的拒绝访问、内存泄露、完全瘫痪,甚至出现设备被完全控制。
(三)网络设备提供不必要的服务。
通常,一台网络设备在出厂默认情况下,会对外部提供特定的网络服务如HTTP、NTP、CDP等,这些服务都可能作为攻击者的利用条件,为其提供一定的攻击机会。
攻击者可通过这些不安全的服务对设备进行远程拒绝服务攻击,也可通过这些服务掌握设备基本信息或完全控制设备。
(四)网络设备没有安全存放,易受临近攻击。
临近攻击主要指在攻击者物理接近后对设备进行修改、收集设备信息的一种攻击行为。这种攻击主要针对放置位置属共用、公用场所的某些网络设备。
主要攻击方式有非法进行串口连接、非法实施密码恢复默认、非法关机等行为。
二、 网络设备自身的安全防护
(一)实施网络设备严格的访问控制
此项措施可通过具体的实施方法实现预期目的。主要实施方法有如下几点:
1.在设备访问和配置过程中设置安全的登录口令
登录口令包括控制台口令、远程登录口令、口令。建议口令密码使用高强度密码及密码显示加密方式,并定期进行更换;强烈建议使用SSH安全的远程登录方式;对会话次数、超时进行控制,并设置警示信息。
2.对远程登录的地址进行访问控制
主要通过访问控制列表对远程登录的源地址进行,一般只允许某一个IP地址或一个较小的局域网IP段进行访问。
3.关闭通过WEB方式进行访问
4.设置实时日志服务器和定期配置备份服务器
日志服务器的设置主要达到实时监测网络设备的操作情况、访问情况和运行情况,可全面掌握网络设备当前运行状况和历史日志,通过日志的审查和统计也可分析出系统潜在的安全隐患,为及时调整系统运行配置具有重要的指导意义。配置备份服务器主要定期对系统的配置文件、操作系统进行备份,为网络系统数据恢复提供手段。
5.关闭无关服务,提高系统运行服务的有效性
一般情况下,需对网络设备关闭的服务包括:CDP、HTTP、Smail、Finger、BOOTP、ARP-Proxy、IP Directed Broadcast、ICMP、WINS、DNS、udp-small-servers、NTP等无关的服务项目。
同时,关闭暂时不用的接口,并充分运用访问控制列表对现有接口进行有效控制,访问控制列表的合理利用可有效提高设备的安全性。
6.制定安全制度,规范维护人员的操作行为
建立健全规范合理的设备管理安全制度,可有效提高维护人员操作的规范性。在设备维护中,建议严格控制可以访问路由器的管理员;任何一次维护都需要记录备案;严格控制CON端口的访问。并且,通过健全的制度管理,确保网络设备的物理安全,免受非法用户的临近攻击;通过制度的规范,定期对系统进行升级,及时弥补设备系统的漏洞。
三、 几点建议
结合笔者在网络管理方面的经验和网络技术发展状况,补充建议有三条:
首先,应对管理人员及其职责、操作进行有效管理,这是安全的根本;
-软件传销引出网络传销
据磁县介绍,今年3月19日,磁县一通讯门市经营者张某到该县报案称:2009年6月,李某到其门市,以高利润回报为诱饵,让其销售MDG国际科技集团的麦库软件,通过发展下线进行传销。
依据报案人张某提供的案件线索,警方立即展开侦查,并依法传唤李某。犯罪嫌疑人李某不仅供述了他加入麦库软件传销组织并进行传销活动的犯罪事实,还供述出,他伙同犯罪嫌疑人郭某于今年5月加入另一传销组织——“全国兴村富民互助社”。
经调查,“全国兴村富民互助社”的传销人员遍及全国各地。由于案情重大,磁县机关迅速成立了由经侦、刑侦、网监等多部门组成的专案组,同时,将案情上报,因涉及地区、人员较多,该案被列为督办案件。要求全国系统协同配合,协助磁县破获此案。
-谁是网络背后黑手
。同时,专案组民警先后到山东潍坊、江苏南通、河南郑州等地查找该服务器。
。
获取大量有力证据后,磁县迅速展开抓捕。7月26日,专案组民警在北京朝阳区傲城融富中心将“全国兴村富民互助社”的负责人何某抓捕归案,并查扣了“全国兴村富民互助社”公章、财务章、互助社铜牌、4个省级分社的铜牌等。
。截至案发,该传销组织已发展社员近7000人,广泛分布于30个省、自治区、直辖市,涉案金额近600万元。
网络传销如何“营利”
。
。VIP1发展4个下线,达到2000积分时,再无偿交给上一级,就可以升级为VIP2社员资格。VIP2再如法炮制捐出2000积分时,即可升级为VIP3社员资格。
。”办案民警说。
据介绍,该传销组织中最大的理论“亮点”就是“出局制”。该传销组织系统设置中只有取得VIP3的社员才有资格对返利金额进行提现。如果一旦提现,该社员会立即“出局”。如不提现,通过积分的积累,该传销组织承诺最高提现金额为340万元。
-终极优待是场
据介绍,社员达到VIP3级别后,可以免费申领该组织自制的“农联一卡通”,可以办理无息小额贷款及融资,解决“借钱难”、“融资难”的问题。利用“农联一卡通”,社员可实现消费打折、消费积分、消费回馈、消费创富的目的。经查证实,“农联一卡通”只是该传销组织吸纳会员入社的一个诱饵,并无实物。
。
[摘 要]C£程测量》是港口工程等专业的一门重要专业基础课程,集“测、算、绘”于一体,具有技术含量高、实践操作性强等特点。基于此特点,尝试采用“教、学、做”一体化教学模式来培养学生的职业技能。
[
关键词 ]工程测量;教学傲一体化;教学改革
中图分类号:G2.3 文献标识码:《 文章编号:1671-0568(2014)35-0061-02
基金项目:本文系广州航海高等专科学校教改项目“面向现代测绘新技术的(工程测量)教学改革的探讨” (编号:2012C06)的科研成果。
高职高专人才培养模式改革是一项系统工程,探索“教、学、做”一体化的教学模式,是促进高职高专教育教学质量不断提高的重要措施,其实质是教学过程的实践性,内涵是教学与生产劳动、与社会实践相结合的学习模式。以此带动课程建设、专业调整、教学内容和教学方法的改革。 《工程测量》是港口工程、道路桥梁、建工等工程类专业的一门重要专业技术基础课,其课程教学随着专业的发展而发展,它具有应用广泛、实践性强、技术革新快、与工程结合紧密等特点。著名教育家陶行知先生早就提出“教学做合一”的教学法,他认为“行动(实践)是一切创造性的开始,行动一思想一新价值的产生是创造的基本模式。-根据这一思想,我们对测量课堂教学模式进行了一次尝试性改革,在课堂教学中引入了“做”的环节,把测量仪器操作作为课堂教学的基础,将测量理论教学与实验教学有机结合在一起,让学生在当测量员的过程中学习测量理论,在当测量员的过程中学测量,以便克服理论教学与实验教学分开进行的缺憾。
一、具体实施
1.构建任务驱动的“教学做”合一教学模式。工程测量是一门实践性很强的课程,要求学生具有较强的专业技能。为了适应这种要求,我们尝试采用任务驱动的“教、学、做”一体化教学模式来培养学生的职业技能。例如,测量中水准仪、全站仪、gps等仪器的操作技能,这些技能都需要学生通过反复训练才能掌握,用一般的教学模式很难达到预期的效果,使用任务驱动的“教、学、做”一体化教学模式则解决了这个难题。具体做法是:给定一个教学项目,分阶段实施教学,使学生从理论到实操全面掌握本次项目所设计的专业技能。我们以水准仪的认识使用为例来讲解实施过程:第一阶段,在一体化教室里教师提出让学生自己操作仪器去了解仪器的各个零部件、螺旋的作用。第二阶段,首先组织学生分组轮流动手操作仪器,通过操作仪器自己去观察、思考、记录。然后分组展开讨论,并推荐代表来回答任务的问题。最后,教师点评各组的答案并作出总结。通过各个零部件的作用,提出各个螺旋的名称和使用方法,教师边操作仪器边进行讲解。第三阶段,学生到实训场地去练习操作仪器。通过提出任务和问题,激发了学生的学习兴趣和求知欲;通过学生小组合作学习和探索,以及讨论、发现、总结,达到首脑并用,做起来,学起来,真正做到了“教、学、做”合一。
2.建立“教学做”一体化教室。教育家陶行知先生指出:教学做是一件事,不是三件事。要在做中教,在做中学。教师是任务的提出者,学生则是实践任务的指导者。建立一体化教室,不仅要有多媒体,还要有多套课堂需要的仪器等设备。在课堂教学中,仪器就在学生身边,教师边教边做,学生边学边做,边做边学。教师在做中教,学生在做中学,大大调动了学生的学习积极性和主动性。
3.开放实验室。有限的课堂时间,不能满足学生提升测量能力的目标。可向系里申请开放实验室,在没有课的平日、节假日等向学生的免费借仪器。给学生很充沛的练习时间,既提升了学生的测量水平,又增强了学生的学习兴趣。可鼓励高年级学生去指导低年级学生。高年级学生已经拥有一些测量经验,且测量速度也较快。还可组织高年级学生对低年级学生进行答疑,或者做现场演示。这样教师的工作相对轻松,学生的积极性也被激发出来,同时加强了学生的沟通能力。
4.以证的考核模式。为了在课程教学改革中取得实效,促进学生真正学有所得,学有所用。在考核环节中尝试“以证”,对通过考证的学生视同通过期末考试,给予相应的期末成绩。通过测绘行业特有工种职业鉴定站,对学生进行“工程测量”职业技能鉴定。学生通过理论与实操的考核,可取得相应级别的证书,该证书全国认可。
5.通过竞赛让学生真正做起来。从每次实训任务后的小组竞赛,到每年一次系里的技能竞赛,再到省里市里的技能竞赛,都鼓励学生积极参与,从而激发学生的学习热情,让学生掌握实际操作技能。
二、教学效果
“教、学、做”一体化教学模式的探究,是高职高专院校深化教学改革的重要内容,是推进素质教育的重要途径,是培养技术应用型人才的基本途径。打破了过去在教学中实践过分依赖于理论的状况,将理论与实践密切结合起来,在教学中边讲边练、讲练结合,使理论在实践中得以消化。通过“教、学、做”一体化教学的实施,取得了一定的效果。
1.明显提高了学生的学习积极性,加深了专业认识,培养了吃苦耐劳的精神,增强了学生的团队意识,培养了毕业后融人社会的能力。从学生成绩来看,平均成绩高出往年10分左右,特别是实操能力大大提高。
2.一体化教学要求教师不仅要有深厚的基础理论和广博的专业知识,还应有一定的生产实践、科学研究能力。面对现代快速发展的测绘科学技术,要求教师注重调整知识结构,拓宽知识面,学习新技术,掌握新方法。特别是在实际工程方面,要提高学生的工程意识,必须教师先行。为了适应、提高教学质量,教师不得不向“双师型”教师转变。这对“双师型”教师队伍的培养起到很好的效果。
三、存在的问题
1.教师队伍素质还有待提高。一体化教学对教师的素质提出了更高的要求,在整个教学过程中,教师要既能讲授理论知识,又能指导学生实践,每位教师都必须具有“双师”素质,目前学校教师队伍素质还没达到要求,应加快对“双师”队伍的培养。通过参加培训,到生产单位进行学习锻炼,与企业技术人员合作等形式,加快师资队伍的培养。另外,也可外聘一些生产单位的专家等来充实师资,促进学习提高。
2.教学设备还需完善。一体化教学要有良好的教学设施,与教学方法,手段同等重要,相辅相成。随着招生规模的扩大,现有的仪器设备不能满足教学要求,许多老仪器需要更换淘汰,新的现代化设备不足,需要购置。
3.实训基地还需完善。实训教学基地是实训教学的基础和保障,一个固定的校内基地能提供系统的测量实训场所,与生产单位联合组织的校外实训基地能使学生深入工程实践。根据工程测量的连续性,在校园建立了闭合导线、闭合水准路线实训场;水准仪训练场、经纬仪训练场、全站仪训练场、GPS训练场等,提供学生实验和实习。另外,系里还与工程施工单位签订校企合作协议,学生可以到施工单位进行顶岗实习等。随着学生人数的增加,再加上校区的搬迁等原因,校内外实训基地都有待完善。
关键词:网络安全系统;割接。
中图分类号:TN711 文献标识码:A 文章编号:
南宁铁路局新建行车调度指挥中心工程,是南宁铁路局新建立起来对网络结构、网络规模以及网络性能的优化与升级的综合工程,工程要求从既有中心迁移至新中心实现无缝切割,即在迁移同时须保证指挥中心对控制的200多个车站近3000公里线路指挥安全,并要求割接过程中数据实时更新,在割接同时实现系统升级。铁路行车行车指挥系统是保证行车安全和运输效率的重要设备,网络安全系统的特殊性和重要性,在工程的实施过程中,应该充分考虑搬迁过程中对在用网络造成的实际影响,充分考虑到网络安全系统搬迁过程中可能出现的各种情况,须对系统结构及系统功能认真分析、周密制定方案,将网络安全系统迁移工作对用户的影响降至最小。
南宁局在用的行车指挥系统网络安全设备包括:中心防火墙系统、中心网络反病毒系统、网络漏洞评估系统、身份认证系统。
1 工作内容概述
网络安全系统搬迁工程的主要任务是将原有中心至车站防火墙系统从原先的路由模式的防火墙网络结构切换到新中心透明模式的防火墙网络结构;把局间和TD结合部的防火墙搬迁到新中心,系统结构不变。同时在新中心添加新的网络安全子系统。
2实施阶段
本次搬迁割接分五个阶段实施:
2.1 新机房设备准备阶段:主要完成各服务器软件安装,防火墙策略调试;
2.2新机房设备联调阶段:主要配合完成整个安全系统的联调联试;
2.3新机房和老机房联调联试阶段:主要完成机房网络联通,部分设备试用;
2.4车站网络通道切割阶段: 主要完成车站网络防火墙系统从老机房同步割接到新机房;
2.5 对部、局间防火墙系统切割阶段:主要完成TD结合部、局间防火墙设备从老机房搬迁到新机房;
3中心至车站防火墙割接
3.1系统分析及割接准备
充分利用新增加的安全设备建立一个新的网络安全结构。新中心网络结构与旧的网络结构并不是相对的关系,相反,新中心网络与旧网络之间存在一定的关系,通过充分的准备与良好的控制将旧的网络安全设备逐步地向新的网络中过渡,从而达到平滑过渡的目的。将老机房4台中心至车站防火墙节点分时分阶段地进行,保证车站与中心网络的联接不会中断,应用业务所得到的网络服务不受影响。但是,由于存在一个新旧网络并存的阶段,因此需要考虑较多的因素,避免出现网络服务中断的现象。
割接准备工作的目的是应用新增的网络安全设备,按要求建立一个新的网络安全模型,该网络安全模型通过和旧的网络安全结构连接,并且通过路由设置,使的新、旧网络安全模型两个部分可以互相通信,这样,当我们在将老机房网络的安全设备从旧网络转接至新网络时,可以做到平滑过渡。
割接前应完成的工作:所有新设备的上架;所有网线的布放;相应设备与联接的标识与标注,以便于在网络能够正确、迅速地恢复。
3. 2具体的工作步骤
3.2.1根据南宁局网络的实际情况,采用新的临时IP地址段作为搬迁工程的网络地址,这样在新旧网络并存时不会存在IP地址冲突的问题。
3.2.2要点断开老机房A网中的防火墙的线路,同时联接新机房A网的中心防火墙。
3.2.3测试双网之间的联通性。若测试某一方面不成功,迅速查找原因,如在短时间内不能发现原因,则按恢复方案将网络恢复为原来状态。
3.2.4分别测试新机房中通过新增网络安全设备与车站之间的联通性,保证新网络安全设备接到旧网络中时不会造成网络服务中断。
3.2.5观察防火墙工作情况,并测试车站网络通过新链路的通讯能力。至此,一个新旧网络并存的网络安全结构模型已经完成。在该模型中,所有的服务器仍然联接于旧网络结构中,但新的网络安全设备也可以正常地与其它所有网络设备联通。
3.2.6 要点断开老机房B网中的防火墙的线路,同时联接新机房B网的中心防火墙。
3.2.7 测试双网之间的联通性。若测试某一方面不成功,迅速查找原因,如在短时间内不能发现原因,则按恢复方案将网络恢复为原来状态。
3.2.8分别测试新机房中通过新增网络安全设备与车站之间的联通性,保证新网络安全设备接到旧网络中时不会造成网络服务中断。
3.2.9观察防火墙工作情况,并测试车站网络通过新链路的通讯能力。至此,一个新的网络安全结构已经建成,新机房网络与老机房网络之间光纤联接, 保证过渡期间的局域网络链路的畅通。
3.3 具体割接过程
将老机房4台中心至车站防火墙节点分时进行,而不会影响网络服务。采用老机房4台中心至车站防火墙采取互为备份的方法,即在A网防火墙割接时,所有的网络安全服务由B网提供,反之亦然。这样可以在短时间内中断某一个节点的网络安全联接而不会造成的影响。具体过程如下:
3.3.1首先选取某一个网络节点,如A网进行割接工作。
3.3.2网络安全数据与安全服务的切换
在进行实际割接工作之前,需要将老机房所有的网络安全数据、用户数据以及网络安全配置备份,以便在割接中断时,可以很快地将网络恢复至原有状态。同时,还需要将老机房所提供的网络安全服务备份至新机房。
3.3.3 在A网防火墙完成割接并正常使用后用同样的方法割接B网防火墙。
3 .3.4 测试、观察网络,如果发现问题要及时恢复网络原状。
4TD结合部、局间防火墙系统割接方案
4.1系统分析及割接准备
充分利用旧的安全设备建立一个相同的网络安全结构。该网络结构与旧的网络结构是相对的关系,将老机房原有局域网一次割接到新的网络安全结构中。此时,相应局域网设备的相关配置不需要更改,经过微调与完善,最后成为本次工程最后的网络状况。
割接准备工作的目的是应用利旧的网络安全设备,建立一个于原有网络的安全网络模型,该网络安全模型和原有模型结构一致。割接前应完成的工作:所有设备到位,包括通信前置机、接口服务器等;所有网线布放;相应设备与联接的标识与标注,以便于在网络能够正确、迅速地恢复。
4.2具体的工作步骤如下
4.2.1按照原有拓扑结构搭建好安全网络模型;
4.2.2按照原防火墙的配置把新的防火墙配置好;
4.2.3测试联通性及其配置;发现问题立即排查。至此,一个新的安全网络安全结构已经建成,该网络与原网络之间没有联接, 是一个相对的网络。
4.3具体割接步骤
在具体割接工作实施过程中,采用由旧设备到新设备的方法,即先割接老机房防火墙,然后再接入新机房防火墙的方法。具体过程如下:
4.3.1出口链路的联接。要点断开老机房原出口路由器与对部、邻局防火墙间的互联链路,将其改接至新机房路由器上,配置两路由器的端口参数与路由协议。观察路由器与铁道部防火墙之间的联接状况,观察防火墙的工作状态和应用业务的状态。
4.3.2原有网络设备的联接改变。出口链路的联接结束时,用户可以通过防火墙系统和对部、邻局网络通信。网络联通性测试与与用户访问测试同步进行,若测试某一方面不成功,迅速查找原因,如在短时间内不能发现原因,则按恢复方案将网络恢复为原来状态。
5 网络恢复过程
在网络割接过程中,如果由于某些原因造成割接工作不能继续时,需要迅速地将网络联接恢复为原有状态,保证用户所需要的业务不受影响。
为了能使网络恢复工作能够迅速、顺利地进行,在进行网络割接工作之前需要做好网络设备联接与相对位置标识。网络割接过程有很大一部分是通过网络设备的联接位置来完成的,做好标识能够有助于网络设备联接位置的改变。
【关键词】职业院校;软件定义网络技术;信息化系统;网络安全管理
职业院校信息化系统建设中,网络信息安全管理是非常重要的一项工作,一旦网络信息安全管理出现问题,职业院校将面临巨大的损失[1]。因此,在职业院校信息化系统建设规模、广度不断提升的大背景下,职业院校信息化网络安全管理工作的重要性将不断得到提升,对网络安全管理工作的要求也随之提高[2]。同时,因为信息化技术的高速发展,网络安全管理工作复杂度进一步提升,也加剧了网络安全管理工作难度,一些传统的网络安全管理手段已经不再适用。软件定义网络技术(SoftwareDefinedNetwork,SDN)是一种可以有效保障网络安全的新型技术,目前在网络安全管理领域应用较为广泛,适宜应用于职业院校信息化网络安全管理之中。据此,本文在研究当前职业院校网络信息管理系统建设现状的基础上,结合大数据、云服务以及5G网络技术的特征,详细探讨了软件定义网络技术为依托的新型安全管理系统在职业院校信息化网络安全管理中的应用。
1软件定义网络安全技术及其应用
1.1SDN概念
SDN,是一种以软件定义的方式对网络中节点间通信转发进行管理的技术统称,其是指为一种可用于控制与转发分离并直接进行编程的网络架构。在传统网络设备架构体系中,通常可分为3层,即应用、控制与转发[3]。通常控制功能被集成于服务器之上,其上层为应用层,而下层为转发层,在网络系统架构中需要抽象为逻辑实体。而基于传统网络设备架构体系基础上,斯坦福大学的CleanSlate项目对原本架构进行了改进,从而形成了一种可以免于互联网技术架构影响的新型网络架构。
1.2SDN应用优势
传统模式的网络管理设备采购成本较高,应用范围难以兼顾各类网络服务需求。而且需要按照不同业务应用需求,配置不同类型网络协议的设备,耗费大量人力和物力,且运营、维护成本也较为昂贵。而SDN作为一种新型网络构架模式,最突出的运行特点是能够将数据平面层与控制平面层进行分离,改变了传统网络构架模式的局限性。SDN技术利用开放的OpenFlow协议,采用标准化交换机,突破了传统模式下的分布式管理机制的,对网络设备的管理控制权进行了系统性优化,分离传统网络设备中的控制层与数据层,使控制层和基础设施层之间能够实现网络流交互,运行不受限于业务类型,便于实施集中管理。这种模式不仅大大提高设备管理灵活性,操作高效便捷,而且能够达到有效节省运行成本的目的。具体来说,SDN技术支持下的管理系统将构架体系分为控制层、基础设施层以及应用层3类系统分支。其中,控制层是SDN架构中的核心组成部分,充当人脑的作用,支配其他两个体系,主控运行。控制层主要设备是控制器,控制所有资源,主要工作为制定访问和控制策略、网络拓扑维护以及设备状态监控等,常见的控制器有OpenDaylight、ONOS等。以SDN交换机为核心设备的基础设施层则只执行决策,负责数据转发处理。应用层则包括各类业务应用系统,针对各类用户需求提出请求。
1.3SDN应用现状
软件定义网络作为新型网络架构目前在网络安全管理中应用非常广泛,目前因应用其进行防御的软件有很多,较为常见的包括防火墙、杀毒软件与包过滤[4]。防火墙在应用软件定义网络技术主要是设置拦截数据的启发式规则,帮助防火墙识别木马病毒等不满足规则要求的数据,并对这些数据进行拦截。杀毒软件是目前较为典型的将软件定义网络技术应用于安全管理的工具,常见的杀毒软件有360安全卫士、腾讯管家等,在杀毒软件中应用软件定义网络技术主要是对数据流中的病毒基金特征进行高效识别,并及时清除潜在的网络安全隐患。包过滤同时结合了作为新一代网络安全防护技术,是当前倍受认可的网络架构模式,具备较高的可编程软件防御技术与硬件防御技术,采取枚举与迭代的规则,对数据包进行深度的穿透式检测,对数据包中的所有协议字段内容进行检测,可有效满足大流量网络应用需求。SDN系统目前正在呈现出向应用导向型转变的发展趋势,以用户需求为驱动力,逐步实现网络虚拟环境的开放性和自动化服务目标。
2职业院校信息化系统建设现状及面临的安全问题
2.1职业院校信息化系统建设现状
第三次IT的到来,社会信息化发展再次出现了较大变化,云计算也从此成了一种主流的信息化服务模式。云模型主要分为3种服务模式以及4种部署模型,可以帮助物理服务器大大提高其处理业务效率的能力,其性能远超于单一用户对硬件性能的要求[5]。在云服务模式的快速发展下,基于云服务的系统架构逐渐得到普及。“十四五”规划开启以后,信息化建设已成为各个领域发展的关键词,职业院校也不例外。职业院校信息化规模与日俱增,信息数据成比例提升,更需要云计算技术快速处理信息,通过虚拟化手段将物理服务器虚拟为多台虚拟机,从而帮助云计算提供运行载体,以达到快速处理信息数据的目的[6]。但随之而来的便是网络安全管理问题,大量数据一旦出现问题,便直接造成严重的损失。高职院校信息技术的规模不断扩大,使得商业信息系统也越来越集中。同时,云计算技术的普及使得大量网络计算资源集中到一起,逐渐处于高度整合的状态。此基础上,高职网络信息管理系统结合了物理设备和虚拟网络于一体的网络环境,安全管理复杂性不断增加。传统的网络安全管理方法很难快速、高效地解决安全隐患,同时也难以有效部署网络安全设备位置。这就进一步要求高职院校提高对信息系统的安全管理意识,严格执行网络数据安全审计工作,构建以学生、教师等用户为导向的新型安全网络环境。
2.2职业院校信息化系统面临的安全问题
新型网络环境主要利用虚拟化技术构建网络架构系统,应用在高职院校信息系统当中,可对学校网络的私有云形态和仅适用于服务器虚拟化技术的网络环境进行有效优化。但在这样的网络环境中,业务系统通常不只是存在于虚拟化环境当中。信息系统技术的导致系统无法实现向虚拟化平台的快速迁移,从而导致实际应用环境中出现两种网络形态,一个是混合的虚拟化网络,另外一个则是传统物理网络环境。这种复杂的信息系统使得日常安全管理工作的难度有所增加,出现一些性能方面的问题。在职业院校信息化网络安全管理中,系统面临的安全问题主要分别为业务信息监测、网络边界界定、安全设备接入以及设备监测负载4个方面。2.2.1业务信息监测方面首先,关于业务信息监测方面。职业院校在实施网络安全管理工作时,需要明确业务系统间的通信关系,同时以此为基础进行实时的信息监测。然而因为职业院校信息化系统在发展中呈现出明显的高度集中化特征,业务主机完全集中于私有云的环境之中,导致职业院校在实施网络安全管理工作时很难对相应的信息流进行监测,无法根据信息流找到与之对应的主机,而且缺乏合适的监测点,从而造成监测数据难以整合与分析的问题。2.2.2网络边界界定方面在网络边界界定方面,由于云计算的集成,职业院校信息化系统不再应用物理服务器,而是多个虚拟机。而虚拟机的漂移特性导致在网络边界上无法以传统物理网络边界准确、及时地进行界定。尽管虚拟机的业务系统仍然从逻辑构成上与传统物理服务器相似,然而在物理拓扑位置上却存在差异,甚至物理拓扑位置并非固定的,有可能会因为资源调配而出现改变,而传统网络安全管理主要是对网络边界进行防护,很显然传统网络安全管理手段对虚拟机为服务器的新型信息化系统是无效的。2.2.3安全设备接入方面针对安全设备接入方面,以虚拟机作为服务器的新型信息化系统因为不存在网络边界,因此需要通过在虚拟机上进行抓包的方式以确保安全监控的全面覆盖。2.2.4设备监测负载方面我国职业院校在转向新型网络架构系统模式后,受到网络设备更新不及时、新系统网络边界模糊等因素的影响,不可避免地出现安全设备监测负载量超值、噪音数据超量的问题。传统的网络运行模式对于网络流量的监控需要依赖于交换机,利用交换机捕获数据包,然后再通过安全设备对其进行检测和安全性分析。而在虚拟化的网络环境中,网络边界模糊,容易出现安全监控盲区。因此,为了保证安全监控活动涉及各个网络流,通常要捕获所有物理交换机或虚拟交换机上的数据包。这种情况下,被监控业务的通信流量被抓包的同时,大量干扰数据也会被系统捕获,造成监测功能载荷量超过系统标准值,安全检测和防御安全设备容易因接收量过大而存在过多噪音数据,进而影响计算机系统的响应速度和信息处理性能。同时,过量的噪声数据也会降低系统安全检测的准确性,产生不准确的误报警示,增加人工工作量,降低信息安全系统的运行效率。
3软件定义网络技术在职业院校信息化网络安全管理中的应用
为应对职业院校信息化系统建设中存在的各类问题,本次研究中提出了一种基于软件定义(SDN)网络技术安全管理系统。本文主要从系统架构、业务安全管理流程、安全设备接入和网络流检测几个方面对应用于职业院校的网络安全管理系统进行全面阐述。3.1系统架构本文提出的SDN新型职业院校信息化网络安全管理系统,在系统架构上采用集中式的闭环管理架构,在全景式拓扑与业务关联技术基础上对职业院校信息安全网络环境进行了系统性审查、信息流管理与安全管理。为了更好地实现全景式系统拓扑,并尽可能地提高细粒度的网络安全能力,需要借助SDN架构对职业院校网络安全环境进行重新定义,实际操作中需要保证职业院校内所有的网络软件和硬件交换机都能够开启对OpenFlow协议的支持。校内的安全管理系统通过对软件定义网络的调试与控制能够获取网络控制器的所有网络拓扑信息内容,并且根据职业院校网络安全管理的实际需求能够实现业务系统操作之间的信息流交换与多频次转发。同时,在云技术支持下,职业院校传统网络安全管理系统具有了虚拟化处理能力,此时需要保证传统的物流交换机与虚拟交换机时刻开启并支持OpenFlow协议。职业院校传统的物理网络结构仍需要以物理局域网进行安全检测以达到边界安全防护的目的,而虚拟局域网的应用方式可以在虚拟环境中借助虚拟机的方式拓展传统物理局域网的规模,不断提高职业院校的系统架构安全性与稳定性。3.2业务安全管理流程为了满足职业院校对业务处理系统的安全管理需要,本文提出了结合业务流可信表的方式加强业务模型与系统网络流之间的安全管控效率,在职业院校信息化网络安全管理系统中通过管配接口,可以保证系统安全管理员完成逻辑边界的构建工作,不断形成职业院校安全管理边界模型。系统内业务流以可信表的方式进行管理控制则在系统层面提供了以软件方式进行业务流程信息访问的便捷途径,其中包含业务系统内部主机之间的访问可信,系统中不同业务之间的相互访问可信等具有明显差异化的访问规则。系统中与业务安全管理流程相关的互访关系的构建是在SDN控制流表生成规则基础上构建的,当系统确认职业院校业务互访关系为可信状态时,则不会对业务流进行检测。3.3安全设备接入在基于SDN技术的职业院校网络安全管理系统中,在完成所有业务流安全管理流程工作后,需要由安全防护与专业检测工作对安全设备进行再次检测,之后系统中的安全设备需要直接接入到职业院校的网络环境中,安全设备自接入时起便由职业院校的安全管理系统进行统一调配管理。安全管理系统正常启动后,会率先通过管控与SDN技术管控获取全部的网络拓扑信息,并将拓扑信息内容进行可视化展示,帮助用户在可视化数据信息基础上完成业务系统逻辑边界的建模处理,并确定虚拟机应具体属于哪个业务系统内。在此基础上已经完成业务系统逻辑边界构建的能够自由地在业务流可信表中进行可信互访,在满足制定互信互访关系后业务系统环境下的主机便可进行可信互访,完成业务内容的交换与浏览。3.4网络流监测监测是信息网络安全管理系统内部不可或缺的重要部分,SDN技术可实现业务逻辑与网络流量控制的关联。基于SDN的网络安全管理系统能够利用业务流信任表,将业务和网络流进行连接,完成关联工作后,系统即可通过交换机的网络流,对每个网络流量进行系统性的监控和审核,具有全面、及时的优点。其中,针对符合业务流可信表定义监测条件的网络流,系统可以直接实现转发处理,以此降低系统与设备的安全负载压力。针对不符合监测要求的外部主机访问请求,系统对利用SDN功能自动转发到相关的安全设备上进行深层次分析与检测。其中需要考虑到系统的数据库服务器和web服务器的是否存在可信关系,如果认为二者之间的连接关系是可信的,则可以直接将其中的网络流进行转发处理。除此,SDN系统还可实时对业务流关系展开跟踪,分析数据安全性,提供了安全跟踪和预警功能,针对不受信任访问或病毒入侵的情况,系统可及时提供报警提示,进一步加强了整个系统的安全管理筛查和防入侵性能。
4结语
综上所述,尽管5G通信已经开始普及和应用,但IP网络在未来几年仍将占领市场,基于此趋势,SDN技术的研究仍具有重要意义。本次研究中,笔者首先对软件定义网络技术的的概念进行了定义,并以其应用优势为前提,对应用现状进行了阐述,同时指出了网络环境信息化发展的大背景下职业院校信息体系建设所面临的主要安全问题,根据职业院校业务网络环境建设情况与业务发展情况展开了较为全面、系统的分析。在此基础之上,本文提出了一种运用软件定义网络技术的安全管理系统机构,其中运用业务可问关系构建了业务系统之间的安全管理新模式,尝试为职业院校的网络安全管理工作提供了一种新的发展思路,为日后我国职业院校网络信息安全体系的可持续发展提供有价值的参考。
【参考文献】
[1]李可欣,王兴伟,易波,等.智能软件定义网络[J].软件学报,2021,32(1):118-136.
[2]李建华.能源关键基础设施网络安全威胁与防御技术综述[J].电子与信息学报,2020,42(9):2065-2081.
[3]叶福玲,张栋,林为伟.基于软件定义网络的安全攻防虚拟仿真实战平台[J].实验技术与管理,2018,35(11):125-129.
[4]刘世文,马多耀,雷程,等.基于网络安全态势感知的主动防御技术研究[J].计算机工程与科学,2018,40(6):1054-1061.
[5]王涛,陈鸿昶,程国振.软件定义网络及安全防御技术研究[J].通信学报,2017,38(11):133-160.
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- anel.cn 版权所有
违法及侵权请联系:TEL:199 18 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务