基本的网络安全篇1
关键词:基本原则;网络空间主权原则;适度安全原则;公共治理原则
一、网络安全法基本原则的概念和功能
(一)网络安全法基本原则的概念
法律原则与法律规则、概念共同构成了法律规范的基本要素[1]。法律原则是指可以作为规则的基础或本源的综合性、稳定性原理和准则。法律原则不预先设定任何确定的、具体的事实状态,没有规定具体的权利和义务,更没有规定确定的法律后果。但是,它是指导和协调着全部社会关系的法律调整机制[2]。法的基本原则贯穿法律规范的始终,是其他规则的来源和依据,具有不可动摇的根本地位,对于立法、执法和司法具有指导和规范作用。网络安全法的基本原则是指导和规范网络安全法的立法、执法活动、规范网络安全法律关系以及相关争议处理的基础性规范。它贯穿于网络安全法的始终。
(二)网络安全法基本原则的功能
根据法理学对于法律原则的概念和功能的总结,网络安全法的基本原则在网络安全法制领域的功能可以概括为:第一,网络安全法基本原则是网络安全法的“基础性规范”,网络安全法的具体规则和原则以网络安全法基本原则为指导、反映和体现网络安全法的基本原则,而不能与之相抵触。立法者在制定网络安全法律法规的过程中受到网络安全法基本原则的指导和约束,网络安全法律、网络安全法规和规章都要体现和贯彻网络安全法的基本原则。第二,网络安全法基本原则是一种普遍性规范,它对网络安全法律关系进行整体宏观调整、规范。执法者和司法者在适用网络安全法具体规范调整特定法律关系时,必须受网络安全法基本原则的指导和约束。网络安全法的基本原则也为网络活动的参与者提供了一定的行为准则,理解网络安全法的基本原则对于他们理解和遵守网络安全法律规范具有指引作用。第三,网络安全法基本原则在特定条件下可以起到补充作用,在一定情形下也直接规范与网络安全有关的活动以及相关争议的处理。一般来说,网络安全法基本原则并不直接调整和规范网络安全法律关系。但是在相应问题缺少具体规则、或者法律给执法机关或争议处理机关留下较广泛的裁量空间时,就需要接受网络安全法基本原则的拘束,即根据网络安全法基本原则做出相应行为和裁决相应争议。
二、网络安全法基本原则的确定
网络安全法的基本原则的确定应当建立在对于网络安全法产生的时代背景以及其所调整的社会关系的基础之上。笔者认为,以下四个方面因素是确定网络安全法基本原则必须考量的因素。第一,网络安全法承担着维护国家主权的重要任务。网络安全是关系国家安全和发展,关系到人民群众切身利益的重大问题。网络安全法是以总体国家安全观为指导思想制定的,维护国家网络环境安全是网络安全法的重要任务。网络空间主权已经成为我国处理网络事务的根本指针和制度基石,也是网络安全立法、司法和执法必须遵循的原则。网络安全法应当以网络空间主权原则为核心和首要原则,网络空间主权原则的确立对于相关领域的国内事务、国际事务处理均具有重要意义。第二,网络安全法是以“问题为导向”的法律规范,其内容具有一定的综合性和复杂性。网络安全法并不是一部独立的部门法,这部立法主要针对网络安全领域中存在的突出问题,规范了各方面参与主体的权利义务,以及国家有关部门的职责,是相关领域的民商事活动、行政活动等的法律依据。因此,问题的多元性决定了网络安全法律规范的多元性,网络安全法律规范涵盖了相关领域的民事、行政和刑事法律规范。因此,网络安全法基本原则的确定需要结合不同领域的社会关系调整方式的不同,合理的界定国家治理与社会自治的关系。第三,网络安全法需要处理好信息技术发展与网络安全之间的关系。网络安全的实现需要以信息技术为基石,信息技术的发展是网络安全的技术保障,也是整个国民经济发展的重要支撑。为了维护网络安全而构建的网络安全审查制度、信息共享制度等制度无疑会增加相关行业的运行成本,过于严苛的网络安全保障制度设置会阻碍信息的自由流通,甚至会窒息互联网行业的发展空间。因此,合理界定监管权力的范围、平衡网络安全与信息技术发展的关系是网络安全法的重要任务[3]。
三、网络安全法基本原则的内容
在全面考察网络安全法产生的历史背景以及其所调整的社会关系的特殊性的基础上本文认为以下三个基本原则应当作为网络安全法的基本原则,即———网络空间主权原则、适度安全原则和公共治理原则。
(一)网络空间主权原则
学者将网络空间提炼为“网络设施、网络主体和网络行为”三要素[4],并在此基础之上借鉴主权的概念将网络空间主权界定为国家在其领域内对网络设施、网络主体和网络行为所拥有的最高权力、对外的独立权和自卫权[5-6]。综合学界现有的研究成果,我们将网络空间主权原则界定为:国家对一国网络基础设施、网络主体和网络活动管辖具有最高的管辖权,有权通过行政、经济、法律手段维护网络秩序,确保国家利益不受侵犯;有权参与国际网络空间治理活动,在遭遇他国政府或公民网络攻击时有权行使自卫权。网络空间已经成为继陆地、海洋、天空、太空之后的“第五大空间”。理论上网络空间可以自由进入和开发,但并不能就此认定网络空间属于“全球公域”,不受任何主权国家的管制。网络空间是受主权国家管辖的空间。这是因为:第一,组成网络空间的物理设备设施是在主权国家管辖之下的。第二,网络空间中的信息自由不是因为它是一个全球公域,而是因为各国免除或放松了信息出入境管制。但是网络空间不是完全的虚拟空间,而是现实世界的一部分,传统法律自然而然地延伸适用于网络空间;国家主权也自然而然地延伸适用于网络空间。第三,网络空间具有社会性。全球已有超过30亿的网民参与其中,人们在网络空间中交流互动,形成了一个真正的社区或社会,构成现实社会的一部分。在这样一个有海量国民参与的社会空间中,网络主体在网络空间中享有权利的同时也应履行相应的义务,承担相应的法律责任。第四,网络的互联互通性或无国界性意味着各国政府、组织和社会公众要加强合作,共同治理网络空间;意味着各国对打击其领域上的网络犯罪等违法行为负有一定的国际义务和责任[7]。网络空间主权原则对于国家以及所有网络活动的参与者都具有极强的现实意义。第一,国家应当制定法律法规、采取相应措施对于国内信息网络实施管理。在网络安全问题凸显的今天,国家承担保护国内信息网络安全的义务,应当积极履行职责,针对个人网络安全、关键信息基础设施的安全等建立有针对性的保护机制,维护国内信息网络安全秩序。第二,国家在处理涉外网络安全问题时坚持网络主权原则,依法对于来自于境外的网络安全风险和威胁采取措施,进行监测、防御和处置,保障国家关键信息基础设施免受攻击、侵入、干扰和破坏。国家在处理国内网络安全问题时,本着网络空间主权原则,对境内的网络活动参与者、网络系统与数据行使最高管理权。第三,网络服务提供者、关键信息基础设施的运营者以及网络用户均受网络空间主权原则的约束,应尊重国家主权,保守国家秘密,在从事可能涉及国家安全和利益的各项活动中自觉接受国家安全机关、保密机关以及国家网信机关的监督和管理。
(二)适度安全原则
所谓“适度安全原则”是指,网络安全法需要平衡网络安全与信息自由之间的冲突,将对网络安全的保护控制在适度的范围之内,不能为了绝对的网络安全而对于信息网络的使用者与运营者加诸过于严格的安全保护义务以至于扼杀了信息网络的互联互通和信息技术的发展。全国人大常委会在对于《网络安全法(草案)》的说明中明确了“坚持安全与发展并重”的原则。一方面,如果过分强调个人的表达自由、通信自由以及互联网行业的技术创新、价值创造的需要而片面降低对于网络安全的要求,那么不受约束的网上谣言、诽谤、盗版传播甚至犯罪活动最终会瓦解公众对于互联网的信任、打压文学艺术以及科技创新,将信息网络引向歧途。另一方面,如果过于强调网络安全,要求网络服务提供商或者中间平台等承担过于严格的网络安全保障义务,那么中间平台无疑会动辄得咎,疲于应付,生存下去都会成为问题,更何谈发展和创新[8]。网络服务提供商的安全保障义务过重会直接限制整个国家信息化发展的进程。因此,网络安全的保护不可避免地会引起对于网络使用的限制,但是这一限制应当是“有限度”的,要平衡网络安全与信息自由之间的冲突,将对于网络安全的保护控制在适当范围之内。适度安全原则主要体现在对于网络服务提供者的侵权责任认定上。早在上个世纪末,美国、德国和欧盟的相关立法就系统地规定了互联网服务提供商中间平台的责任豁免制度。欧美对于互联网服务提供商责任豁免的法律规定,对其他国家的互联网立法产生了广泛的影响,逐步成为各国普遍采用的一项基本法律制度[7]。适度安全原则在《网络安全法》《侵权责任法》等立法中均由体现。《网络安全法》第三条明确规定了“国家坚持网络安全与信息化发展并重”,这是适度安全原则的重要体现。《侵权责任法》在网络服务提供者的侵权责任认定问题上吸收了国际通行的“避风港规则”和“红旗规则”。《侵权责任法》第三十六条第二、三款的规定也被称之为“通知与移除规则”(noticeandtakedown),“通知与移除规则”的确立为网络服务提供者建立了一个“避风港”,使其免受来自指控他人侵权之人、网络服务对象的两头夹击,有利于维护网络技术服务提供者的合理自由[9]。但无疑这种“自由”必须是有限度的,否则它将摧毁信息自由本身。适度安全原则的确立要求立法者在立法过程中必须正视网络安全与发展间的矛盾,找到二者间的切合点。《电子商务法》立法过程中对于电商平台责任的争议以相应条款的五次修改体现了适度安全原则对于相关立法活动的影响。《电子商务法》一审稿规定了电商平台对于平台内经营者侵犯知识产权行为的注意义务。对于这一条款普遍意见认为:仅规范“明知”的情形过于宽松,不利于电商平台履行注意义务。为此,二审稿强化了电商平台的注意义务,除了其明知侵权行为的情形之外,另外规定了在其“应当知道”平台经营者存在侵犯知识产权的情形的情况下未采取必要措施时与侵权行为人承担连带责任。对于二审稿的这一规定,很多代表认为:电商平台不但应该对于侵犯知识产权的行为负责,还应该与消费者权益保护法的规定衔接细化其对于消费者权益的保护责任。针对上述意见,三审稿提出了“双连带责任”的规范模式,增加了电子商务平台经营者对于关系消费者生命健康的商品或者服务的经营者的审核义务和相应的连带责任。三审稿公布之后,电商平台等纷纷对于第二层次的连带责任提出了反对意见,认为这一规定给平台经营者施加了过于严苛的注意义务,不利于电子商务行业的发展,提出应当将第二层次的“连带责任”减弱为“补充责任”。四审稿吸收了这一意见,降低了平台经营者的注意义务,草案一旦获得通过平台经营无疑将获得更大的自由,却打破了电商与消费者权利相平衡的状态,减弱了对消费者权利的保护。最终在平衡消费者权益保护与电商发展两方面的利益之后,表决稿将“补充责任”修改为“相应责任”[10]。虽然最终的立法结果并未彻底解决争议,但是,这一立法过程无疑是体现了适度安全原则指引下对于安全与自由二者的权衡。
(三)公共治理原则
公共治理是指由开放的公共管理与广泛的公众参与这两种基本元素综合而成的治理模式[11]。公共治理原则包含三方面的内容:第一,包括政府、企业、公民在内的多元治理主体;第二,治理工具上既包括强制性的法律,也包括非强制性的软法及二者的混合;第三,治理结构不再是垂直的“命令-服从”,而是网络状的、平行的协商模式[12]。在网络安全领域,多元的治理主体、灵活的治理手段以及协商、合作的治理模式对于网络安全的保障具有重要意义。这是由于:第一,网络安全的保障是一个具有极强的技术性的问题,网络安全的保障程度与相关领域的技术研发、技术创新和应用密切相关。而掌握最新、最优网络安全保障技术的往往是相关领域的企业或者科研机构研发出来的。因此,网络安全的保障有赖于国家与这些企业、研发机构及高等院校之间的合作,通过鼓励、推动和运用新技术而不断提升网络安全保障的水平。第二,网络用户与从事网络信息有关活动的组织往往是与网络安全问题距离最近的主体,相比而言,政府从知情到响应往往需要较长的时间并支付更高的成本。因此,尽可能的调动广大网民、网络服务提供者等社会主体参与到网络安全的公共治理之中,能够更加及时、高效、便捷地应对网络安全问题。特别是网络服务的提供者,往往通过其掌握的行业规律、常见争议及安全问题等事先制定网络规约、建立安全问题举报制度、信用评价制度等等制度,已经在网络安全的保障上发挥了重要的作用,将这些多元的治理机制吸纳到网络安全的保障与规制中来,符合效率性的要求。第三,相比行业组织、信息网络的运营者与网络服务的提供者等主体而言,政府机关的人员配备及专业能力都相对较弱。只有吸收多元主体、综合运用国家法律与行业规则、兼顾国家规制与行业自律的多元治理模式方能够胜任网络安全保障工作[12]。作为网络安全法基本原则的公共治理原则体现在网络安全法律规范的多个层次。首先,公共治理原则要求国家、个人、网络运营者、网络服务提供者、行业组织、科研机构、高等院校等多元主体共同参与到网络安全的治理活动中来。我国《网络安全法》第六条规定了国家倡导通过全社会共同参与促进网络安全的良好环境的形成。其次,公共治理原则要求在网络安全的保障上坚持国家规制与行业自律并重,重视行业组织在网络安全保障上的重要作用,借助行业自律的高效性、专业性提升整个国家网络安全保障的水平。我国《网络安全法》在强调国家的监管责任的同时,亦重视行业自律对于维护网络安全的重要作用。《网络安全法》第十五条、第二十九条的相关规定就是这一原则的重要体现。再次,公共治理原则要求对于网络安全的保障要采取强制性管理与柔性合作并举的治理手段,不能片面强调强制性规则的重要性而忽略了柔性的行业与部门合作、协商、信息共享等手段的重要性。例如《网络安全法》第三十九条的规定就强调了国家有关部门与关键信息基础设施的运营者等间的网络安全信息共享与安全保障合作。这些都是公共治理原则的体现。当然,除了网络空间主权原则、适度安全原则、公共治理原则之外,在网络安全法的各个领域还需要遵循相应部门法的基本原则。例如,在处理平等主体之间的网络安全纠纷时,应坚持民法上的平等原则;在处理网络安全的行政监管问题时,应坚持行政法上的合法行政原则、比例原则和正当程序原则等原则;在追究涉及网络安全的刑事犯罪的过程中,应当遵循刑法的罪刑法定原则、罪责刑相适应原则等原则。
基本的网络安全篇2
关键词:信息安全专业;网络与网络安全课程群;工程训练;自主学习
1研究背景
随着网络及信息技术的发展,网络和信息安全风险日益增长。在全球范围内,计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等问题日渐突出。据有关国家信息安全机构统计,我国每年被黑客攻击的网页达10万数量级,钓鱼网站数量占世界总量比例偏高,位于我国的僵尸网络的肉鸡数量位于世界的前列,分布式拒绝服务的受害者数量非常庞大。如何保证网络的安全性,已经成为全社会关注的问题。如应对不当,可能会给我国经济社会发展和国家安全带来不利影响。提升网络普及水平、信息资源开发利用水平和信息安全保障水平,是国家近年来的信息化发展战略之一。
社会对网络安全人才的需求量在不断扩大,急需大量具有扎实理论基础并受过良好工程实践训练的网络安全人才。培养网络与网络安全人才,对推动国家的网络与信息安全工作有重要意义[1-4]。如何使高校的本科生教育与社会需求接轨,为社会培养有用的网络安全技术人才,是我们在网络与网络安全课程体系建设中需要考虑的重要问题。
本文主要围绕北京工业大学信息安全专业建设情况,对网络与网络安全课程群的设置与建设情况进行详细介绍,探讨网络与网络安全课程群的教学方法和实践教学改革思路。
2网络与网络安全课程群设置
北京工业大学信息安全专业于2003年在计算机学院成立,到2005年,建成了具有初步规模的信息安全专业教学与实验环境。近几年来,在国家和北京市的支持下,专业建设取得突飞猛进的进步。2007年,本专业被教育部批准为第二类特色专业建设点,2008年被北京市教委批准为特色专业,2010年被评为北京市重点学科。网络安全是北京工业大学信息安全交叉学科的一个重要研究方向。
在沈昌祥院士的带领下,信息安全专业以“立足北京、服务北京”为基本办学定位,加强课程体系和教材建设,强化实践教学,紧密结合国家和北京市的经济社会发展需求,推进专业建设与人才培养。该专业逐步形成了满足培养国家和北京市经济和行业发展急需的信息安全专业创新型应用人才需求的教学体系。网络与网络安全课程群是我校信息安全专业建设的一个重要内容,该课程群主要培养信息安全系本科生在网络与网络安全方面的理论基础和实践能力[5-7],要求学生掌握网络和网络安全基本理论知识,学会规划网络和配置网络,并具备使用防火墙、Vpn、病毒防治等工具维护网络安全的能力。在课程群的课程教学内容安排上,充分体现由易到难、由浅入深的教学规律,并注重理论与实践相结合的原则,图1展示了信息安全专业课程的拓扑图,其中网络与网络安全课程群设置用灰色阴影文本框表示。
现行的信息安全专业的本科教学计划包括计算机网络基础、计算机网络基础实验、路由与交换技术、网络设计、网络安全防护、信息安全体系结构、信息安全标准、安全协议、安全协议课设、计算机病毒防护、无线网络安全、防火墙技术、应用服务器安全等系列课程,建立了一定规模的实验环境。为了更好地安排上述课程群的教学内容,我们结合信息安全专业不同年级学生的特点,进一步制定每一年的教学目标,使整个课程群的教学内容成为一个有机整体。
针对一年级学生,主要是培养学生的学习兴趣和奠定专业基础。计算机网络基础是为信息安全专业新生开设的第一门专业课程,在信息安全整个课程体系以及网络与网络安全系列课程群中起着举足轻重的作用。这门学科的内容博大精深,涉及到众多的概念、原理、协议和技术,它们以错综复杂的方式彼此交织在一起。为应对计算机网络在内容上的广阔度和复杂度,使学生能够在学习整个体系结构中某部分的具体概念与协议的同时,也能够掌握每一层协议在整个网络系统中所处的地位和作用,我们采用自底向上和自顶向下相结合的方法。该方法能够使学生在对计算机网络的概念、原理和体系结构有深入了解的基础上,又能对协议和技术及其内在联系有一个全局的掌握,形成比较系统的知识体系。在该课的基础上,第二学期开设的计算机网络基础实验课程加深学生对计算机网络各层协议功能和基本工作过程的理解与掌握,以验证性和演示性实验为主,培养学生的学习兴趣,使学生在一年级就能轻松接触到网络相关知识。
针对二年级学生,我们开设了路由与交换技术、网络设计、网络安全与防护,培养学生在组网和网络配置方面的能力,同时使其了解网络面临的安全威胁,并具有简单的安全防护知识。通过路由与交换技术课程的学习,学生将了解路由与交换的基本知识,掌握各种路由与交换技术的特点及其基本原理,培养学生的局域网组网与管理能力,使学生能够根据具体环境和应用目的设计合理的拓扑结构,组建网络,并具备解决网络中常见问题的基本技能。网络安全与防护使学生了解企事业网络中存在的威胁,掌握安全评测的基本理论与方法,掌握网络安全策略的设计与实现、安全事故处理的基本方法。通过该课程学习,学生将学会网络安全防护的方法,为学生从事企业安全网络设计与网络管理等工作打下一定的基础。
针对三年级学生,为了加深他们对网络安全知识的理解,我们开设了信息安全体系结构、安全协议、信息安全标准课程。信息安全体系结构课程围绕如何构建一个安全的信息系统,并对构建安全体系结构的关键三要素(技术、管理和人员)之间的关系进行了详细阐述。使学生掌握信息安全体系结构中的基本概念、基本理论、基本方法,在整体上认识构建一个安全的信息系统需要解决的主要问题,通过结合具体的应用案例分析,提高学生的综合设计、分析和解决问题的能力。安全协议课程使学生能够对网络安全协议有一个系统全面的了解,掌握各层安全协议的概念、原理和知识体系,在实践中学会应用网络协议知识分析解决各种网络安全问题。课程包括了许多网络安全的案例分析,让学生将课堂理论与应用实践紧密结合起来,学会解决实际应用中的工程技术问题,了解设计和维护安全的网络及其应用系统的基本手段和常用方法。通过信息安全标准的学习,学生对国际和国内信息安全领域制定的相关标准方面有一个基本的了解,并重点学习几个信息安全领域中的核心标准。
针对四年级学生,注重对其网络与网络安全工程实践能力和创新能力的培养,通过一些能反映网络与网络安全最新发展情况的计算机病毒防护、无线网络安全、防火墙技术、应用服务器安全等专业选修课程,开阔学生的视野,为学生实习和就业打下基础。计算机病毒防护课程既注重对病毒基本概念、作用机制和防治技术的阐述,又力求反映病毒防治技术的新发展,既兼顾课程的深度,又有一定的广度。通过学习该课程,学生将掌握防治计算机病毒的基本理论和基本技术,为进一步深入学习网络安全课程奠定了良好的基础。无线网络安全课程则使学生对无线通信系统及其安全有比较全面的了解,初步掌握无线通信的分类和各种类别的基本原理,以及无线网络环境中的安全措施,为今后适应层出不穷的无线网络应用打下基础。防火墙技术课程使学生理解防火墙的基本知识,掌握防火墙的体系结构、关键技术以及构建、配置防火墙的基本方法,并对防火墙技术的未来发展方向有一定的了解。应用服务器安全课程主要讲解计算机应用系统面临的安全风险、应用安全涉及的相关技术和手段(包括数据存储技术及其安全)、应用系统安全解决方案以及方案的典型实现。通过该课程的学习和实践,学生能够基本掌握设计计算机应用系统的安全方案应考虑的若干方面,能够从系统的角度看待安全问题,并能综合利用几年来所学的安全知识解决系统的安全问题。
3网络与网络安全课程群教学方法改革
在网络与网络安全课程群的教学中,我们强调理论与实践相结合的教学方法,在抓好理论教学的同时,强化实践教学,形成了工程训练、自主学习、创新培养并举的特色教育理念。鉴于在实践教学和创新能力培养方面的有力措施和突出成绩,我们在2010年获得了北京工业大学优秀教育成果一等奖。
3.1强化实践教学,提高学生的工程实践能力
2007年,信息安全专业对实践教学计划进行了全面修订,包括增加实践教学环节的学分比例、提高综合性与设计性实验比例、设置自选设计环节、强化综合设计和毕业设计环节、加强对实践教学体系各个环节的规范化管理。
针对某些比较重要的理论课程,如计算机网络基础,我们设置了专门的实验课程――计算机网络基础实验。针对技术性比较强的课程,我们设置了课内实验,做到理论与实践相结合。例如对路由与交换技术、网络安全与防护、安全协议、防火墙技术、计算机病毒与防护、应用服务器安全等选修课程,我们设置了课内实验(包括设计性实验和综合性实验),使学生掌握高级网络技术和具备维护网络安全的技能。
课程设计是锻炼学生系统设计能力的好机会,我们设置了安全协议课设课程。学生以小组形式进行课设,每个小组选出组长,负责一些协调工作,提高团结协作能力,使同学间互相帮助、取长补短、共同进步。
信息安全专业实习、信息安全综合设计和毕业设计是信息安全专业比较重要的实践环节,是促进学生综合运用所学知识解决实际问题的关键。我校信息安全专业与太极、瑞星等单位建立了校内外实习基地,为学生提供了实习条件。信息安全综合设计和毕业设计使学生能够有机会参加一些工程项目的研发。综合设计题目与内容选取有一定的工程实际背景,体现应用性、先进性、综合性。毕业设计的题目主要来自企业或学校的科研项目。一些学生在公司完成实习和毕业设计,为顺利就业创造了条件。一些学生在学校的科研环境中进行实习和毕业设计,为考研和进一步深造奠定了基础。
3.2提倡自主学习,提高学生的学习积极性
自学课程的开设对教师提出了新的要求,要求教师改变传统教学模式,探索有利于创新型人才培养的教学模式。我们开设自学课程的教学理念是:以学生自主学习为主,教师引导和启发学生为辅。这不仅要求教师有丰富的教学经验和较好的教学效果,还要有较强的责任心。该课程培养学生独立学习网络与网络安全新知识,发现问题、分析问题、解决问题的自主学习能力,使学生能够适应社会和网络技术发展的要求。在网络设计自学课程中,我们采用国外经典教材《CisconetworkDesign》,引导学生自己学习教材和阅读相关文献资料,通过小组分工协作完成一个真实的园区局域网络规划方案设计,达到学以致用的目的。通过采用自评、互评、演讲等多种形式来激发学生的参与力度,使学生能充分发挥学习的主动性和自觉性,把学生的兴趣、爱好、学习、创新融为一体。
3.3通过创新活动,激发学生创新能力
结合网络安全课程群的建设,我们为学生开设网络与网络安全的创新活动和创新实践课程,利用第二课堂活动开展专业调查、社会实践和竞赛活动。具体采取了如下措施。
1)以校企联合的形式为学生举办多次安全知识的讲座。邀请院士、总工程师、总裁等作相关报告,使学生更好地了解信息安全产业的发展状况,对他们后续的工程实践、实习就业有非常重要的作用。
2)各种科技活动和兴趣小组培养学生研究性学习和创新性实验能力。例如,我们成立了网络兴趣小组,促进学生参加网络技能训练;鼓励学生申请“北京工业大学星火基金”,培养学生的创新能力。
3)通过组织各种竞赛,引领学生在创新中成长。我们多次指导本科生参加思科网院杯全国大学生网络技术大赛、全国大学生信息安全竞赛。获得一等奖2次,二等奖3次、三等奖2次。
4)安排高年级本科生进入专业实验室,鼓励学生参与到教师的教学科研项目,逐步引导学生独立从事科学研究工作。在指导老师的帮助下,一些学生已经独立发表学术论文或与老师合作发表学术论文。
4结语
培养网络与网络安全的人才,对推动国家的网络与信息安全工作有重要意义。我校强化实践教学,提高学生的工程实践能力;提倡自主学习,提高学生的学习积极性;通过创新活动激发学生创新能力,形成工程训练、自主学习、创新培养并举的特色教育理念,取得较好的教学效果。
参考文献:
[1]张焕国,黄传河,刘玉珍,等.信息安全本科专业的人才培养与课程体系[J].高等理科教育,2004(2):16-20.
[2]王清贤,朱俊虎,陈岩.信息安全专业主干课程设置初探[J].计算机教育,2007(19):12-14.
[3]王伟平,杨路明.信息安全人才需求与专业知识体系、课程体系的研究[J].北京电子科技学院学报,2006(1):47-49.
[4]马建峰,李凤华.信息安全学科建设与人才培养现状、问题与对策[J].计算机教育,2005(1):11-14.
[5]李毅超,曹跃,郭文生,等.信息安全专业计算机网络课程群建设初探[J].实验科学与技术,2008(3):90-93.
[6]俞研,兰少华.计算机网络安全课程教学的探索与研究[J].计算机教育,2008(18):127-128.
[7]谌黔燕,郝玉洁,王建新,等.网络安全课程中的实践教学研究与探索[J].计算机教育,2007(1):38-40.
networkandnetworkSecurityCurriculumGroupConstructionforinformationSecuritymajor
DUanLijuan,LaiYingxu,YanGZhen,HoUYarong,LiJian
(CollegeofComputerScience,BeijingUniversityoftechnology,Beijing100124,China)
基本的网络安全篇3
关键词消防;网络信息安全
中图分类号tn91文献标识码a文章编号1674-6708(2014)121-0239-02
0引言
随着计算机和网络技术在消防部队的广泛应用,网络安全和信息保密问题也日益凸显。近几年,公安消防部队发生了一些网络违规事件、失泄密案件大多是通过计算机和网络途径发生的,网络攻击、网络窃密和网上违法犯罪等问题日渐突出。在中央网络安全和信息化领导小组第一次会议明确指出:没有网络安全就没有国家安全。下面,笔者就如何加强公安消防部队网络信息安全工作谈谈自己的看法。
1当前基层公安消防部队网络信息安全现状
1.1网络安全意识普遍不强。
基层公安消防部队官兵在日常工作中要经常性接触互联网、公安信息网和调度指挥网,台式计算机、移动办公终端(笔记本电脑)基本普及,这给广大官兵日常办公带来了很大的方便。但由于部分官兵网络安全意识不强,甚至淡薄,导致出现以下方面:一是U盘、移动硬盘等移动数码存储介质普遍存在公安信息网和互联网交叉使用的问题,易使电脑感染病毒,甚至造成网络失泄密。二是工作用计算机未及时更新升级杀毒软件,致使杀毒软件无法发挥正常的监控和查杀功能。三是打开办公系统或网页浏览信息后,没有随手关闭的意识,致使一些重要内容被外来人员浏览。四是个别官兵网络安全防范知识匮乏,将个人智能手机等便携式上网设备连接公安网充电或下载资料,造成“一机两用”违规。五是公安网电脑和各类服务器密码设置过于简单,且不能定期更换,易遭到恶意登陆,造成重要信息的外泄。
1.2网络信息安全规章制度落实不力
《公安信息网“八条纪律”和“四个严禁”》、《禁止公安业务用计算机“一机两用”的规定》、《公安网计算机使用管理规定》、网络信息系统日巡检、系统日志周检查和数据库备份制度等一系列网络信息安全规章制度未有效落实在日常工作中,麻痹大意思想不同程度存在,造成了基层公安消防部队网络信息安全隐患事件。
1.3网络安全教育组织不到位
大多数基层部队官兵电脑、网络方面的维护知识较少,对于查杀病毒、杀毒软件升级、设置更改密码等一些基本操作都不精通,工作中普遍存在只使用、不懂维护现象,这些因素致使网络信息安全得不到保障有效。多数基层消防部队开展网络安全教育手段较为单一,多是照本宣科的传达上级规章制度,不少单位甚至将士兵上网行为视作洪水猛兽,这种一味去“堵”、“防”的安全教育管理模式,显然不能从根本上解决问题,也达不到提升官兵自身网络安全意识的效果。另外基层消防部队的合同制消防员和文职人员流动性大,也增加了消防部队网络安全教育的复杂因素。
1.4网络安全技术防范措施和手段较为单一
基层公安消防部队的网络信息安全系统建设普遍不到位,网络安全管理平台、威胁管理(Utm)、防病毒、入侵侦测、安全审计、漏洞扫描、数据备份等安全设备缺口较大。受经费制约,不少基层消防部队在信息化项目建设时不能按照有关规定进行网络安全设计,无法同步建设网络信息安全系统。这种现象致使基层部队网络安全技术防范措施和手段较单一,不能及早发现、消除一些网络安全隐患。
2加强基层公安消防部队网络信息安全的对策
2.1加强网络信息安全教育
基层消防部队要组织官兵经常性地学习部队网络信息安全规章及禁令,积极开展反面警示及法制教育,从中汲取教训,举一反三,使官兵充分认识到网上违纪违规行为的严重性和危害性。针对网络违纪的倾向性问题,加强思想政治教育、革命人生观教育和忧患意识教育,让青年官兵做到正确认识看待网络技术,正确把握自己的言行。可以邀请保密部门进行专题培训、组织案例剖析以及窃密攻防演示等多种形式,进一步强化官兵依法保护国家秘密的自觉性。要加强对文员和合同制队员的岗前培训与安全保密教育工作,对于日常工作中经常接触公安网和内部信息的人员要严格监督和指导,贯彻落实各项安全管理制度,杜绝违纪泄密事件发生,最大限度地消除隐患,确保网络信息安全。
2.2规范日常网络安全检查
应配责任心强、计算机素质较高的官兵为单位网络安全管理员,严格落实网络信息系统日巡检、系统日志周检查和数据库定期备份制度,并将设备运行参数、安全运行情况、故障处理信息等检查、巡检结果造册登记。同时要定期组织开展计算机网络安全自查,确保不漏一人、一机、一盘、一网,对排查出来的问题要逐项登记,落实整改措施,消除隐患,堵塞漏洞。通过经常性的检查评比,在部队内部营造浓厚的网络信息安全氛围,不断提升官兵做好网络信息安全工作的自觉意识,杜绝各类网络信息违纪泄密事件发生,把隐患消灭在萌芽状态,确保网络信息安全稳定。
2.3加强公安信息网接入边界管理
每台接入公安网的计算机必须安装“一机两用”监控程序、防病毒软件,及时更新操作系统补丁程序,坚决杜绝未注册计算机接入公安网络。计算机、公安信息网、互联网必须实行物理隔离。严禁具有wiFi、蓝牙功能的3G手机连接公安网电脑。除移动接入应用外,严禁笔记本电脑接入公安网。严格落实各类应用系统和网站的登记、备案制度,严格上网内容的审批,防止非网管人员随意登录服务器篡改业务系统程序、开设论坛、聊天室、架设游戏网站、非工作视频下载等违规行为。
2.4加强网络信息安全技术保障
基层消防部队要依据《全国公安消防部队安全保障系统建设技术指导意见》,在建设信息化项目时,制定切实可行的网络安全保障规划,加大投入,确保用于网络安全与保密系统方面的投入不低于信息化建设项目投资总额的10%,逐步配备必要的网络信息安全系统,研究网络安全防范技术,建立网上巡查监控机制,提高计算机网络和信息系统的整体防范能力和
水平。
2.5建立健全网络信息责任机制
基层消防部队要按照“谁主管、谁负责”的原则,严格落实公安网络安全和保密工作军政主官负责制,加强公安网络安全和保密工作的组织领导和监督检查,及时研究解决网络信息安全工作中遇到的问题和困难,督促工作措施落实。要严格落实定期网络安全与保密形势分析制度,在内网网站建立网络安全管理专栏,通报网络运行情况和网络安全管理情况。同时加大对网络违规违纪的查处力度,将网络信息安全防范工作全面贯彻到部队日常安全管理工作中,逐步建立健全对网上违规行为的调查、取证、处罚、通报等查处工作联动机制。凡因管理不善、措施不力、工作不落实,发生网络违规违纪事件的,实行问责制和责任倒查制,对直接责任人进行严肃处理。
参考文献
[1]河南省公安消防部队网络与信息全安管理员管理规范.
基本的网络安全篇4
【关键词】“互联网+”时代;网络安全;管理策略;安全体系
onnetworkSecuritypolicyanalysisandmanagementStrategyinthe“internet+”era
Caiwei
(ChinanonferrousminingGroupCo.,LtdBeijing100029)
【abstract】thisarticleexpoundsthebasicconnotationofnetworksecurityandrequirementsinthe"internet+"era.analyzesthepresentsituationofnetworksecurityandthecurrentmainsecuritythreat,putsforwardtheconstructionofnetworksecuritysituationalawareness,intrusiondetectionandemergencycontrolsystemofthemanagementofprotectivemeasuresbasedonthemonitoringandearlywarning,activedefense,real-timeresponsetothethreebasicstrategies.
【Keywords】“internet+”era;networksecurity;managementstrategy;securitysystem
1引言
当今社会已经进入到了“互联网+”时代,网络安全与我们的生活息息相关,密不可分。网络信息安全对于国家、社会、企业、生活的各个领域以及个人都有十分重要的作用和意义。目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新。防火墙、Vnp、iDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在互联网络中得到了广泛应用。随着大规模网络的部署和应用领域的迅速拓展,网络安全的重要性越来越受到人们的关注,但同时网络安全的脆弱性也引起了人们的重视,网络安全问题随时随地都有可能发生。近年来,国外一些组织曾多次对中国企业、政府等网站进行过大规模的网络攻击,网络安全已渗入到社会生活的各个方面,提高网络安全防护能力,研究网络安全管理策略是一项十分紧迫而有意义的课题。
2“互联网+”时代网络安全
互联网本身在软硬件方面存在着“先天”的漏洞,“互联网+”时代的到来让这只大网的规模急剧扩大,尽管在网络安全防护方面采取了很多有效性措施,然而网络信息所具有的高无形价值、低复制成本、低传播成本和强时效性的特点造成了各种各样的安全隐患,安全成为了互联网络的重要属性。
2.1内涵
“互联网+”是指依托互联网基础平台,利用移动互联网、云计算、大数据技术等新一代信息技术与各行业的跨界融合,发挥互联网在生产要素配置中的优化和集成作用,实现产业转型、业务拓展和产品创新的新模式。互联网对其他行业的深入影响和渗透,正改变着人们的生成、生活方式,互联网+传统集市造就了淘宝,互联网+传统百货公司造就了京东,互联网+传统银行造就了支付宝,互联网+传统交通造就了快的、滴滴。随着“互联网+”时代的到来,迫切需要“网络安全+”的保护,否则,互联网发展的越快遭遇重大损失的风险越大,失去了安全,“互联网+”就会成为沙中之塔。在国家战略的推动下,互联网产业规模的成长空间还很巨大,网络安全,刻不容缓。
2.2主要内容
“互联网+”不仅仅是互联网移动了、泛在了、与传统行业对接了,更加入了无所不在的计算、数据、知识,给网络安全带来了巨大的挑战和风险。网络安全泛指网络系统的硬件、软件及其系统上的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不被中断。从内容上看,“互联网+时代”的网络安全大致包括四个方面:(1)网络实体安全主要是以网络机房的物理条件、物理环境及设施、计算机硬件、附属设备及网络传输线路的安装及配置等为主;(2)软件安全主要是保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等;(3)数据安全主要是保护数据不被非法存取,确保其完整性、一致性、机密性等;(4)管理安全主要是网络运行过程中对突发事件的安全处理等,包括采取安全分析技术、建立安全管理制度、开展安全审计、进行风险分析等。
2.3基本要求
网络安全包括五个基本要求:机密性、完整性、可用性、可控性与可审查性。(1)机密性是指保证网络信息不被非授权用户得到,即使得到也无法知晓信息内容,通过访问控制、加密变换等方式阻止非授权用户获知信息内容;(2)完整性是指网络在利用、传输、贮存等过程中不被篡改、丢失、缺损等,以及网络安全处理方法的正确性;(3)可用性是指网络中的各类资源在授权人需要的时候,可以立即获得;(4)可控性是指能够对网络系统实施安全监控,做到能够控制授权范围内的信息流向、传播及行为方式,控制网络资源的使用方式;(5)可审查性是指对出现的安全问题能够提供调查的依据和手段,使系统内发生的与安全有关的行为均有说明性记录可查。
3“互联网+”时代网络安全分析
3.1特征分析
近年来,无论是在军事还是在民用信息领域中都出现了一个趋势:以网络为中心,各行各业与互联网紧密相关,即进入了“互联网+”时代。各类组织、机构的行为对网络的依赖程度越来越大,以网络为中心的趋势导致了两个显著的特征:一是互联网络的重要性;二是互联网络的脆弱性。
网络的重要性体现在现代人类社会中的诸多要素对互联网络的依赖。就像人们离不开水、电、电话一样,人们也越来越离不开网络,而且越是发达的地区,对网络的依赖程度就越大。尤其是随着重要基础设施的高度信息化,直接影响国家利益及安全的许多关键基础设施已实现网络化,与此同时,这些社会的“命脉”和“核心”控制系统也面临着更大的威胁,一旦上述基础设施的网络系统遭受攻击而失灵,可能造成一个地区,甚至是一个国家社会功能的部分或者是完全瘫痪。
网络的脆弱性体现在这些重要的网络中,每时每刻都会面临恶意攻击、病毒传播、错误操作、随机失效等安全威胁,而且这些威胁所导致的损失,也随着人们对网络依赖程度的日益增高而变得越来越难以控制。互联网最初基本上是一个不设防的网络空间,其采用的tCp/ip、Snmp等协议的安全性很脆弱。它强调开放性和共享性,本身并不为用户提供高度的安全保护。互联网络系统的脆弱性,使其容易受到致命的攻击。事实上,目前我国与互联网相连的大部分网络管理中心都遭受过境内外黑客的攻击或入侵,其中银行、金融和证券机构是黑客攻击的重点。
3.2现状分析
《2013年中国网民信息安全状况研究报告》指出:整体上,我国网络安全环境不容客观,手机短信安全、应用软件安全、计算机终端安全和各类服务器安全状况不尽人意。
从数量规模上看,中国已是网络大国,但从防护和管理能力上看,还不是网络强国,网络安全形势十分严峻复杂。2015年2月,中国互联网信息中心《第35次中国互联网络发展状况统计报告》显示,随着“互联网+”时代的到来,2014年中国网民规模6.49亿,手机网民数量5.57亿,网站总数3350000,国际出口带宽达4118G,中国大陆31个省、直辖市、自治区中网民数量超过千万规模的达25个。
从应用范围上,“互联网+”时代的到来使得庞大的网络群体带领中国进入了“低头阅读”时代,“微博客账号12亿,微信日均发送160亿条,QQ日均发送60亿条,新浪微博、腾讯微博日均发帖2.3亿条,手机客户端日均启动20亿次”的数据体现了中国网民的特征。
从网络安全发展趋势上看,网络规模急剧扩大,增加了网络安全漏洞的可能性;多个行业领域加入互联网,增加了网络安全控制的难度和风险;移动智能互联设备作为互联网的末端延伸,增加了网络攻击的新目标;互联网经济规模的跃升,增加了网络管理的复杂性。
3.3威胁分析
互联网络安全威胁主要来自于几个方面:一是计算机网络系统遭受病毒感染和破坏。计算机网络病毒呈现出异常活跃的态势,我国约73%的计算机用户曾感染病毒,且病毒的破坏性较大;二是电脑黑客活动猖獗。网络系统具有致命的脆弱性、易受攻击性和开放性,我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入;三是网络基础设施自身的缺陷。各类硬件设施本身存在漏洞和安全隐患,各类网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。国内与网络有关的各类违法行为以每年30%的速度递增,来自于外部的黑客攻击、病毒入侵和基于多ip的恶意攻击持续不断。
从网络安全威胁对象上看,主要是应用软件、新型智能终端、移动互联设备、路由器和各类网站。2015年瑞星公司的《瑞星2014年中国信息安全报告》显示,新增病毒的总体数量依然呈上涨趋势,挂马网站及钓鱼网站屡禁不止。新增手机病毒上涨迅速,路由器安全、nFC支付安全、智能可穿戴设备等是当前网络安全最为薄弱的环节。
从网络安全状态上看,仅2014年,总体网民中有46.3%的网民遭遇过网络安全问题,在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。2015年2月境内感染网络病毒的终端数为2210000,境内被篡改网站数量近10000个,3月电信网内遭受DDoS攻击流量近18000tB。2015年5月底短短几天,就有支付宝、网易、Uber等互联网龙头接连出现故障,这是海外黑客针对中国apt攻击的冰山一角。
从网络安全防护技术上看,一方面,安全问题层出不穷,技术日趋复杂。另一方面,安全问题的迅速发展和网络规模的迅速扩大,给安全解决方案带来极大的挑战,方案本身的研发周期和用户部署周期的影响,导致安全解决方案在处理实际问题时普遍存在强滞后性、弱通用性和弱有效性的特点。更为重要的是现有安全解决方案通常只能针对特定的安全问题,用户需要不断增加部署新的安全解决方案以应对网络安全的发展。
4“互联网+”时代网络安全管理体系
安全是“互联网+”时展的核心问题,网络安全管理至关重要,在“互联网+”模式提出之后,如何守卫网络安全将成其发展的关键。“互联网+”时代更需要建立一个完整的网络安全防护体系,提高各网络设备、系统之间的协同性和关联性,使网络安全防护体系由静态到动态,由被动到主动,提高网络安全处置的自适应性和实时反应能力,增强入侵检测的阻断能力,从而达到全面系统安全管控的效果。
4.1基于监测预警建立网络安全态势感知体系
在现有基础上,通过互联网安全态势评价指标,分级分层部料数据采集和感知分析系统,构建互联网安全态势感知体系。评价指标包括网络运行基础型指标,网络脆弱性指标、网络威胁指标三类。其中运行基础指标包括基础网络性能、基础网络流量和网络设备负载等;网络脆弱性指标包括关键网络设备性能指数、重要系统的状态参数、终端服务器运行状态等;网络威胁指标包括攻击事件、攻击类型、病毒传播速度、染毒终端数量等。为了有效地获取各类统计分析数据,需要在重要的节点和核心区域部署数据采集和感知分析系统,对网络中的应用终端、大型核心服务器等关键数据进行采集,如网络运行状态数据、病毒感染数据、骨干网络流量数据、服务器病毒攻击数据等,通过对采集数据的分析,形成分类、分级的网络安全态势,通过对数据的实时关联分析动态获取网络安全态势,构建一体联动的态势感知体系。
4.2基于主动防御建立网络安全入侵检测体系
在现有入侵防御能力基础上,重点建设主动防御、网络蜜罐、流量清洗等系统,构建网络安全入侵检测体系。一是建设主动防御系统。利用启发式检测和入侵行为分析技术构建主动防御系统,部署于各类各级网络管理终端和核心服务器上,通过对未知网络威胁、病毒木马进行检测和查杀,主动检测系统漏洞和安全配置,形成上下联动、多级一体的安全防护能力。二是建设网络蜜罐系统。利用虚拟化和仿真等技术拓展和丰富网络蜜罐系统,实现攻击诱捕和蜜罐数据管理,在重要节点、网站和业务专网以上节点部署攻击诱捕系统,有针对性地设置虚假目标,诱骗实施方对其攻击,并记录详细的攻击行为、方法和访问目标等数据,通过对诱捕攻击数据分析,形成联动防御体系。三是建设流量清洗系统,包括流量监测和过滤分系统。在核心交换区域和网络管理中心部署流量检测分系统,及时发现网络中的攻击流量和恶意流量。在核心骨干节点部署流量过滤分系统,在网络攻击发生时,按照设置的过滤规则,自动过滤恶意攻击流量,确保正常的数据流量,从数据链路层阻止恶意攻击对网络的破坏。
4.3基于实时响应建立网络安全应急管控体系
在现有应急响应机制基础上,通过进一步加强广域网络、系统设备和各类用户终端的控制,构建应急管控体系。一是加强多级、多类核心网络的控制。依托网络管理系统、流量监测系统以及流量清洗系统对骨干网络进行实时监控,实时掌控不同方向、不同区域、不同领域的网络流量分布情况、网络带宽占用情况,便于有效应对各类突况。二是加强网络安全事件的控制。特别是对影响网络运行的病毒传播扩散、恶意攻击导致网络瘫痪以及对各类网络的非法攻击等行为,要能在第一时间进行预警和处置。三是建立健全应急管控机制。对于不同类型的网络安全威胁,明确相关的职能部门及必要的防范措施,避免出现网络安全问题时“无人问津”的情况,确保网络安全处理的时效性。
5结束语
时代赋予了互联网新的职能,互联网在给我们的生活带来便利的同时也威胁着人们的安全,必须着重研究和建立新的网络安全管理体制并制定相应的应对策略。网络安全策略不能停留在被动的封堵漏洞状态,也远远不是防毒软件和防火墙等安全产品的简单堆砌就能够解决的,网络安全需要形成一套主动防范、积极应对的可信、可控网络体系,从根本上提高网络与信息安全的监管、恢复和抗击、防护、响应等能力,对于个人、企业、社会甚至国家利益和安全都具有十分重要的现实意义。
参考文献
[1]吴贺君.我国互联网安全现状及发展趋势[J].长春师范学院学报,2011(12).
[2]陈君.互联网信息安全的“中国设计”[J].今日中国(中文版),2014(06).
[3]周潜之.加强网络安全管理刻不容缓[n].光明日报,2014(01).
[4]罗佳妮.完善互联网信息安全保障机制的思考[J].新闻传播,2013(09).
[5]胡凌.网络安全、隐私与互联网的未来[J].中外法学,2012(02).
[6]中国互联网信息中心.2013年中国网民信息安全状况研究报告[R].2013(09).
[7]娜,刘鹏飞.2015中国互联网展望[J].新媒在线,2015(03).
[8]熊励,王国正.移动互联网安全,一道绕不过去的坎[J].社会观察,2014(05).
[9]喻国明.移动互联网时代的网络安全:趋势与对策[J].国明视点,2015(02).
[10]蔡志伟.融合网络行为监测与控制技术研究[D].理工大学硕士论文,2011(06).
[11]周鹏.大数据时代网络安全的防护[J].网络安全技术与应用,2015(04).
基本的网络安全篇5
关键词:Bp神经网络;计算机网络;安全评估
中图分类号:tp18文献标识码:a文章编号:1009-3044(2013)18-4303-05
网络安全从本质上看是网络的信息安全。而从广义来说,涉及到的范围就较大,凡是有关网络信息的完整性、保密性、真实性、可用性和可控性方面,都是网络安全需要考虑与研究的领域。
随着全球计算机技术和internet的迅猛发展,全球信息化进程加速,互联网与千家万户息息相关,在我们的工作和生活中扮演着极其重要的角色。与此同时,网络和网络用户也在以指数级的速度增长。互联网正引领着我们的生活进入一个前所未有的,以网络为基础的信息化环境。由此,网络安全就显得尤为重要。
1网络安全评估的重要性
由于现阶段的计算机系统,其网络设备存在不完善的因素,包括设计的缺陷、漏洞及网络协议等,这样的情况下,计算机网络就潜在各种可能的安全风险。近年来,计算机网络受到的侵害越来越多,网络漏洞各种各样,计算机安全得不到应有的保障。具体表现为:
1)网络病毒更加多样、智能与隐蔽。
2)随着网络扮演越来越重要的角色,各方的生产生活都离不开网络,因此网络服务商、管理部门和运营商都十分重视网络的安全,并提出了更多的需求。
3)网络安全脆弱的根源是漏洞。
目前,针对网络安全进行的恶意活动越来越多,如何有效保证网络安全正常运行已经成为各方都十分关注的问题。在这样的情况下,我们需要事先对系统与网络进行安全检查与评估,分析现有网络是否安全可靠,并且对于检测出的问题,提出并实施相应的有针对性的安全防范措施,力求将损失降到最低,将风险扼杀在潜伏期。
2Bp神经网络技术
2.1Bp神经网络技术介绍
2.1.1神经网络技术概要
Bp(Backpropagation)神经网络这一算法是由Rumelhart和mcCelland等人于1986年提出的。它的主要思想是按照误差逆传播算法训练多层前馈网络,它可以解决多层的网络里所隐含的单元连接的学习问题。这一方法的提出,为此后打开了重要的一片领域,它成为目前应用最为广泛的模型之一。Bp神经网络一般分为三层结构,包括输入层、输出层以及隐含层。
2.1.2输入层、输出层变量及预处理
Bp神经网络输入层变量属于自变量,是需要通过专业的知识来确定的,如果说增加输入层的变量的数量,那么还要进行主成分分析,再对所有的变量进行缩减,使得数量与增加前的输入层数量相当,然后再对输入变量前与缩减变量后的系统误差进行比较,通过比值的大小达到缩减输入层变量的目的。
输入层变量属于因变量,一般系统不对输入层变量的数量进行具体要求,但是为了网络模型得到更好的训练,系统对于Bp神经网络应要进行转换。即把具有多个输入变量的模型转换成多个具有一个输出的模型,以达到更好的效果。
预处理有很多的方法,一般笔者根据实际需求以及喜好,会采用各不相同的方式。但是殊途同归,进行完数据的处理之后,对网络神经输出的结果进行一定程度的变换,最后得到的数据才是所需数据。并且,与处理后,数据值要控制在0.2~0.8之间,使得建立的模型具有一定的外推能力。
2.1.3Bp神经网络的拓扑结构
Bp神经网络的拓扑结构包含隐含层层数、隐含层结点数、动量因子、初始权值、学习率、误差精度等。
Bp神经网络的拓扑结构最应注意的是隐含层结点的数量,过多或过少都会产生问题,或者使得网络训练时间过长、无法找到最优点,或者使得网络的稳定性较差。因此,应合理优化隐含点的节点数,同时考虑网络结构的复杂程度以及误差的大小,综合各方情况确定节点数。
2.2Bp神经网络技术算法
2.2.1Bp神经网络算法学习过程
1)工作信号的正向传播:工作信号的正向传播指的是输入信号经由输入层传向输出层,最终在输出端产生输出信号。
2)误差信号的反向传播:工作信号的反向传播指的是误差信号由输出端向后传播,误差信号指的是网络实际输出信号和期望输出信号之间的差值。
本文以含有三个隐含层的Bp神经网络为例,其结构如下图所示。
9)输入下一个学习样本,返回步骤(3),直至全部z个模式对训练完毕;
10)进入下一轮学习。
2.2.1Bp神经网络算法工作过程
Bp神经网络算法的工作工程并不复杂,具体如下:
1)对神经网络参数初始化。
2)计算隐藏层单元的个数、输出层单元的输出个数、输出层单元误差,若误差在误差范围内,可输出结果。
1)若2)中的误差不在误差范围内,则重新调整中间层到输出层连接的权值和输出层单元,再调整输入层到中间层的连接权值和输出单元,更新学习次数。
1)反复步骤3),当学习次数大于上限或满足误差要求,结束学习输出结果。
2)输出最终结果。
3Bp神经网络算法的优越性
3.1网络安全评估方法
虽然关于网络安全评估的研究在国内仅十多年的历史,但人们已经提出了多种评估方法,其中较有代表性的方法是故障树分析法(Faulttreeanalysis,Fta)、层次分析法(analyticHierarchyprocess,aHp)、模糊综合评判法(FuzzyComprehensiveevaluationmethod,FCe)和基于贝叶斯、Bp神经网络、D_S证据理论等方法。
3.2网络安全评估方法比较
不同的网络安全评估方法具有不同的优缺点,针对网络安全的实际需要,选择不同的评估方法,个方法具体优缺点如下表。
2.该方法要求大量可供参考的历史资料
从以上比较中我们可以看出,基于Bp神经的网络安全评估方法具有良好的优越性,特别是针对故障树分析法、层次分析法、基于贝叶斯、模糊综合评判法等主观性较强、方法繁复的方法,基于Bp神经评估方法的客观性就显得尤为的重要。
4基于Bp神经网络的计算机网络安全评估过程
4.1构建计算机网络安全评估指标集
计算机网络是一个很复杂的体系,能够影响网络安全的因素较多,建立科学的、合理的网络安全评价指标将关系到评价的作用和功能。本文通过归纳网络安全的各个影响因素,以物理安全、逻辑安全和管理安全作为评价指标体系的一级指标,并进行逐层细化,最终建立了完整的网络安全评价指标体系,具体如表2所示。
4.2各评价指标的取值和标准化
在本文设计的各个指标集中,因为所描述的因素各不相同,既有定量的评价指标,也有定性的评价指标,因此在评价时所选择的取值规则也是不一样的。
4.2.1定量指标
对于定量指标,由于其衡量的单位不同,因此必须进行标准化的处理,并将最终取值范围控制在0~1之间,方法如表1所示。
4.2.2定性指标
对于定性指标,该文采用的是专家打分法,专家打分法较为抽象,可采用配值标准化处理,保持与定量指标的一致性。
4.3Bp神经网络结构的设定与训练
确定Bp神经网络对计算机网络安全进行评估的层数。主要利用试凑法,根据输入层输出层神经元个数,确定隐含层神经元个数。
与此同时,设定误差精度与训练次数,当训练的精度或训练次数达到要求后,即停止训练,保存数据。
4.4对计算机网络安全进行评估
将计算机的网络安全评估等级分为四种,分别是安全、基本安全、不安全与很不安全。其中,安全等级的评估值大于或等于0.8、基本安全等级的评估值大于或等于0.7且小于0.8、不安全等级的评估值大于或等于0.6且小于0.7、、很不安全等级的评估值小于0.6。根据网络评估的具体数值,对网络安全进行四种等级的判定。
5基于Bp神经网络的计算机网络安全评估实例
5.1实例探究
本文通过实例对以上的阐述进行探究:设计Bp神经网络输入层的节点为5,输出层节的点为1,隐含层的节点为19,学习精度e设为01001,权值调整参数、网络阈值均设为011,最大迭代次数为1000次,输入层与隐含层之间采用Logsig传递函数,隐含层与输出层之间采用purelin转递函数。
本文收集了40份计算机网络安全评估数据样本,对数据进行处理与分析后,根据前文所表述的评估步骤,对各网络进行了安全评估,具体数据见下图。
5.2实例分析
结合调查获得的实际情况,结果表明,基于Bp神经网络算法的计算机网络安全评估模型精准性较好,与实际情况较为符合。同时我们可以看到,当前许多网络的安全性存在一定的隐患,多数网络的安全等级属于基本安全与很不安全之间,少有安全性很高、评估值大于0.9的网络系统。
另外,应用Bp神经网络计算方法还可以对同一等级内的网络进行不同安全程度的惊喜评定,因此,Bp模型能够精确地对改造后的网络安全进行重新评价,并根据评价结果提出具有针对性的提高网络安全的有效措施。
6结论
当前,网络安全是网络管理人员急需解决的重要问题,网络安全评估作为有效防护网络安全的手段之一,是一项技术要求复杂的工作。而Bp神经网络算法既有神经神经网络自学习、自适应的特点,同时还兼有专家的知识经验,因此成为了非线性映射能力较强的综合评价模型之一。Bp神经网络算法在网络安全评估中的应用,减少了主观因素,提高了检测评估的客观性,有利于用户发现网络安全的漏洞与薄弱,做好安全措施,提高网络安全水平。
本文介绍了Bp神经网络算法,并通过与其他评估方法的对比分析其优越性,提出利用Bp神经网络对计算机网络安全进行评估,并提出相应的评估过程。最后以实例验证了Bp神经网络算法在计算机网络安全评估的应用。但本文亦有不足之处,第一,在实例中缺少其他评估方法的应用,无法突出Bp神经网络算法的优越性;第二,缺少对实例结果精确性的检验,这些工作应在将来予以补正。
参考文献:
[1]Leew.adataminingframeworkforconstructingfeaturesandmodelsforintrusiondetectionsystems[D].newYorkColumbiaUniversity,1999.
[2]LvHY,CaoYD.Researchonnetworkrisksituationassessmentbasedonthreatanalysis[C].2008internationalSymposiumoninformationScienceandengineering,2008:252-257.
[3]Biswajeetpradhan,SaroLee.Regionallandslidesusceptibilityanalysisusingback-propagationneuralnetworkmodelatCameronHighland,malaysia[J].earthandenvironmentalScience,2010,7(1):13-30.
[4]赵冬梅,刘海峰,刘晨光.基于Bp神经网络的信息安全风险评估[J].计算机工程与应用,2007(1).
[5]金峤,方帅,阎石.Bp网络模型改进方法综述[J].沈阳建筑工程学院学报:自然科学版,2001,17(3):197-199.
基本的网络安全篇6
一、网络安全制度建设的必要性
1、制度建设是网络安全建设的根基
无论是电信网还是互联网,都植根于一定的制度环境之中。制度环境是一系列基本的经济、政治、社会及法律规则的集合,它是制定生产、交换以及分配规则的基础。在这些规则中,支配经济活动、产权和合约权利的基本法则和政策构成了经济制度环境。在一定的制度环境下,存在着一系列的制度安排。制度安排可以理解为游戏规则,不同的游戏规则导致人们不同的激励反应和不同的权衡取舍。
社会主义市场经济的建立为调整人们之间的关系构建了最广泛的制度环境,它作为经济活动的外生变量是人们无法选定的既成事实,但对于具体的制度安排,人们可以随着生产力的发展而不断做出相应的调整。电信网和互联网作为代表信息社会最先进的生产力组成部分,已逐渐渗透到社会的各个领域,在未来的军事对抗和经济竞争中,因网络的崩溃而造成全部或局部的失败,已成为时刻面临的威胁。这在客观上要求建立与之相适应的生产关系,也就是能促进网络安全有效运行的一系列制度安排。
网络安全可分为电信网络的安全可靠性、互联网的安全可靠性和信息安全三个层次。具体包括网络服务的可用性(availability)、网络信息的保密性(Confi-dentiality)和网络信息的完整性(integrality)。技术保障、管理保障和法律保障是网络安全运营的三项重要措施。只有从制度安排上保障网络的安全性即网络的可用性,才能在技术层面和管理层面上保障网络信息的保密性和完整性,才能使杀毒软件、防火墙、加密技术、身份验证、存取控制、数据完整性、安全协议等发挥其最大的效力。
2、网络的外部性客观上要求必须进行制度建设
网络产业具有很强的外部性特征。从经济学角度看,通过市场机制自身对经济活动外部性的克服主要是通过三个方面进行的。一是组织一个足够大的经济实体,即一体化经济组织来将外部成本或收益内部化;二是通过界定并保护产权而使市场交易达到帕累托最优;三是以社会制裁的道德力量规范负的外部性及其行为。
首先,电信网和互联网等网络产业不同于制造业,其面临的外部性不可能通过一体化效应来使外部成本或外部收益内部化。网络的正的外部性与负的外部性都主要通过麦特卡尔夫定律(metcalfe’sLaw)表现出来。麦特卡尔夫定律表明:网络价值同网络用户数量的平方成正比(即n个联结能创造n2的效益)。随着网络用户的增加,无论是技术知识等正面信息还是网络病毒及扰乱社会政治经济秩序等负面信息都呈几何级数扩散,其扩散范围之广、速度之快、对经济社会发展影响之深刻都是前所未有的。网络自身对国界、民族及地域的超越,使通过一体化来解决外部性问题成本极大。
其次,通过界定和清晰产权,不能解决电信网及互联网等网络产业的外部性问题。科斯定理(Coase’sLaw)对外部性的解决是建立在产权明确界定并受到法律有效保护这一基础之上的。而电信网和互联网作为一种公共资源,使每个人都可以自主地在网络上和获取信息,这种对公共资源均等使用的权力,使市场机制无法在这一领域充分发挥作用,而必须通过政府的制度建设克服人们对公共资源的滥用。
最后,以道德力量来建立电信网及互联网的安全体系几乎是不可能的。网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。网络空间秩序企图通过伦理道德、个人自律和对共同利益的维护和驱动来实现,几乎像现实世界没有国防、司法制度就可以保障一个国家的安全和社会的稳定一样不可想象。因此,只有通过制度建设,才能真正建立起对电信网及互联网安全有效运行的保护屏障。
3、信息安全要求政府必须建立网络空间秩序从网络信息安全的角度看,绝对的网络自由是不存在的。那种认为网络空间创造了一种比以往任何文明所创造的世界更友善、更公正的新文明,从而使任何人可以在任何时间、地点自由发表自己的意见和主张,实践证明是不可能的。电信网和互联网不仅是重要的通信媒体,而且是各种信息特别是知识和娱乐信息的宝库,它既给人类社会的发展带来了巨大的福利,同时也向人们打开了一个潘多拉的盒子,而中立的技术无法对危害网络信息安全的行为进行根本性的抑制。因此,靠网络参与主体的自律和技术手段是不可能代替法律等制度安排来实现对网络参与者有效的规制的。基于信息安全的考虑,政府对电信网和互联网进行管制也就成为国家立法的重要内容。
二、我国网络安全在制度建设上存在的主要问题
网络安全的本质在于促进和维持社会发展与经济繁荣。因此,围绕着网络安全问题,各国都进行了一系列的制度建设,从而使技术层面和管理层面的安全设置更好地发挥其安全保障作用。
目前除了网络黑客的攻击和其他的网络犯罪危及我国的网络安全外,最大的风险是我国网络自身缺乏一整套完整严密的制度安排,从而使网络自身缺少一层制度屏障,降低了网络自身的免疫力。这种制度缺失主要体现在以下几个方面:
1、网络安全缺少最基本的法律保护层
电信网络作为国家信息化的基础设施,在保障网络与信息安全上担负着重要的责任。随着互联网的普及、ip业务的发展,电信网、互联网和有线电视网逐渐走向融合,如何保障电信网络信息服务的安全,将电信网络建成真正安全、可靠的网络,是网络信息社会亟待解决的重要问题之一。
市场经济的典型特征是政府通过一系列制度安排来规范市场主体的经济行为。电信法是网络安全最基本的保护层,也是网络安全技术得以发挥作用的制度安排。而在电信市场,我国政企合一的电信管理体制使电信法至今仍处于难产状态。早在1956年我国就组织起草过电信法,几上几下之后,最终未能修成正果。上世纪90年代中期,政府再一次启动电信法的起草工作,千呼万唤的电信法到2000年也只是出台了《电信管理条例》。2001年又开始了新一轮电信法的起草工作。电信法是保障网络安全的最基本的制度安排,法律制度的缺失使政府无法公平公正地调整利益冲突各方的关系。有数据显示从1998年开始,上报到信息产业部的互联互通恶性案件达540起,至少影响到l亿人次的用户使用,造成10亿元的直接损失和20亿
元的间接损失①。在全国范围内,由于恶性竞争而砍电缆、锯铁塔等破坏通信设施的恶性事件屡禁不止,严重影响了网络安全与畅通。除了物理性破坏之外,更多的情况则是在通信软件上做手脚或者恶意修改信令,对竞争对手经营的电信业务进行各种形式的限呼、拦截,造成了网间接通率偏低甚至完全中断。1999年,兰州市电信公司采用恶性竞争手段使本市27万手机用户打不通固定电话。目前,阻碍互联互通的情况已经从几年前的直接挥大刀砍电缆、互联中继不足、整个省不通ip卡等现象,转化为落地拦截、掉线、噪音等更为隐蔽的技术手段,甚至出现了主导运营商不再对一个局向或者一个号段全部进行干扰拦截的方式,而是针对个别用户特别是高端用户直接进行拦截干扰,手段更为有效和隐蔽。对于这些影响网络安全的无序竞争,来自体系内的监管力量发挥的作用一直相当有限。出台电信法的呼声越来越高。随着我国在wto中电信承诺表的兑现,国外电信运营商及外资的进入,会使竞争更加激烈。允许竞争但却缺乏竞争规则,会使无序的恶性竞争愈演愈烈,这一切都使网络随时面临着瘫痪的可能。因此,没有法律制度的网络运行是网络最大的安全隐患。
2、制度摩擦使网络存在安全隐患
如果一国的制度安排有利于基于网络交易的电子商务市场容量最大化,有利于网络安全运营及经济效率的提高,那么就可以说该国具有高的制度资本。不利于网络市场交易的制度,则使交易的成本变高,这种成本通常被称为“制度成本”。当然,制度成本不仅仅指在网络市场交易发生过程中实际要支付的成本,也包括由于制度障碍而根本无法进行或选择放弃的市场交易所带来的机会成本,这种机会成本包括“本来可深化的市场”因制度障碍而只能半途而废的情况,以及市场勉强得到发展的情况。根据国际惯例,广播和电视网络都属于电信。有史以来,欧洲多数国家和日本的广播电视业都归口国家邮电部直接管理,美国则由联邦通信委员会统一归口管理,国际电信联盟(itU)也设有广播电视分支机构。世界公认的电信定义就是“利用有线、无线,电磁和光的设备,发射、传输、接收任何语音、图像、数据、符号、信号”。但是由于我国某些历史原因,广播电视属于意识形态重要宣传机构,不能划归信息产业部,使网络电视(iptV)之类的新业务难以发展,并使不同网络之间由于管理归口问题而纷争不断,人为阻断网络运行的情况时有发生。
3、制度资本投入不足导致网络安全运行成本较高
网络互联互通是一道世界难题,各国电信引入多家竞争机制以后,原来由一家公司完成一次通信服务现在改为多家来共同完成。网络的全程全网性使运营商之间形成既竞争又合作的关系。因此,各国都通过电信法等一系列制度安排及相应的管制机构来协调各运营商之间的行为和利益关系。在我国,竞争规则等一系列制度安排的缺失,导致网络安全运营成本较高。目前,RSa信息安全公司了一项新的指数来反映网络的不安全程度,即“互联网不安全指数”(inter-netinsecurityindex)。计数方法从1到10,显示每年的互联网不安全程度。例如互联网不安全指数从2002年的5上升到2003年6.5,说明网络安全运行状况越来越令人担忧。这一指数是从网络安全受到威胁的间接角度来衡量网络安全的,笔者认为若直接从安全角度来衡量网络安全,则网络安全指数(S)最大化主要取决于以下变量的投入及其组合关系:网络安全的制度资本(i)、技术强度(t)、管制水平(R)、资本投入量(K)和人力资本状况㈣,并与以上各变量投入呈正相关关系。其函数关系式可写成:
S=(i,t,R,K,L)
在技术强度、资本投入和人力资本既定的条件下,网络安全指数大小主要取决于制度资本的投入和管制水平的高低。与互联网相关的法律制度的健全是保障网络安全的最基本的制度资本。而制度资本投入滞后于网络的快速扩展和纵深延伸,致使我国网络安全运行成本相对较高。制度资本的投入应建立最有利于促进市场交易发生、尽量使交易成本最低、保证网络安全运营的一系列法律规章制度。当一国的制度机制不利于市场交易时,人们相当一部分技术投入、资本投入和人力资本投入等都是为了对冲制度成本而没有形成社会经济效益。例如,联通公司与移动公司用户互发短信的结算争议,电信公司出售“手机休息站”设备拦截移动手机业务量,全国手机与固定电话互通结算问题,用户驻地网纠纷,全国电话卡出售与结算矛盾等问题此起彼伏、接连不断。制度成本过高致使我国为获得同样的网络安全要投入更多的技术和人力物力财力。
三、完善我国网络安全制度建设的建议
公用电信网是国家信息网的基础,其安全方面的某一弱点可能把其他部分都置于风险之中。网络遭到重大破坏,除了对社会和国家经济造成重大损失外,还可能使国家安全受到威胁,因此,各国都非常重视加强对公用电信网的安全管理。
1、尽快完善以电信法为核心的一系列制度建设
国际上,特别是美国、英国等西方发达国家从20世纪70年代中期就开始高度关注网络与信息安全问题,经过30多年的发展,在理论研究、产品开发、标准制定、保障体系建设、安全意识教育和人才培养等方面都取得了许多实用性成果。自1973年世界上第一部保护计算机安全法问世以来,各国与有关国际组织相继制定了一系列的网络安全法规。我国已经颁布的网络法规主要有:《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》、《计算机信息网络国际联网管理办法》、《计算机信息系统国际联网保密管理规定》等。与网络安全相关的一系列制度建设是保障网络安全运营的第一道防护屏障,也是最基本的制度保障。而电信法又是保障网络安全运营的基础中的基础。在我国由于电信法至今仍未出台,也就无法从法律制度的角度来规范电信网、互联网等网络参与者的行为。电信法的难产,暴露了我国新旧体制转轨中制度建设的滞后性,使我国电信网和互联网处于不设防的状态,从而对网络安全运营构成致命威胁。并使微观经济主体要损耗掉比市场制度健全的国家更多的人力物力和财力,才能对冲阻碍市场交易的制度成本。因此,尽快完善以电信法为核心的一系列制度建设,是市场经济制度的必然要求,也是在国际互联网中布设保证国内网络安全的一道安全防线。
2、建立不同层级的网络安全保护制度
制定“国家网络安全计划”,建立有效的国家信息安全管理体系。例如,美国已将信息安全战略纳入国家安全的整体战略之中;美国的空间战略以强化部门协调和强化政府协调的互动合作而适应网络社会的需求和特点,其网络空间战略是一个全社会共同参与、实施的战略。我国要充分研究和分析国家在信息领域的利益和所面临的内外部威胁,结合我国国情制定的计划
要能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系,并投入足够的资金加强关键基础设施的信息安全保护。网络安全的制度安排和保护是分为不同层级的。要重点保护以电信网为代表的基础信息网络和关系信息安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。信息安全领域中,密级分类、等级保护就是把信息资产分为不同等级,根据信息资产不同的重要等级,采取不同的制度安排及相应的技术措施进行防护。这样就可以在投入有限的情况下,确保网络及信息的安全性。
3、各种制度安排要随着网络的发展而不断深化
一个好的制度安排必须具有激励机制,推动生产力的快速发展,而不是阻碍生产力的发展与科学技术的进步。网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。一旦一国缺乏自主创新的网络安全策略和手段,国家的信息就有可能完全被葬送。例如,为适应电信飞速发展的要求,美国电信法几次修改,欧洲大部分国家也都是立法在先改革在后。因为一个成熟的社会,在涉及国计民生和千家万户的越来越重要的网络领域,没有完善的法律制度约束是不可能稳步发展的。我国电信领域出现的许多问题都与制度安排有关。由于没有完善的制度环境,企业明显违规,政府束手无策。即使已有了较完善的制度安排,各种制度安排也还要随着网络的发展而不断深化。正如制度经济学家道格拉斯・诺思所言:“制度安排的发展才是主要的改善生产效率和要素市场的历史原因”②。从长远来看,在电信网和国际互联网中,决定一国网络安全运营的最基本的要素是其制度资本,即制度机制是否更有利于网络社会的网络安全。
总之,关于网络安全问题,需要政府和各部门从上到下充分重视,并从国家政策、法律规范、技术保障和公众意识等方面来设置防线。必须在社会主义市场经济体制框架内进行各种制度安排,即建立游戏规则,才能不断降低阻碍市场交易的制度成本。这种制度资本投资的增加,将会在既定的管制水平、资本投入量和人力资本条件下,挖掘出网络安全技术的最大潜力,建立安全指数较高的网络世界。
注释:
①赵平:“河南互联互通问题铁幕调查,要如何保卫钱袋”,《中国经营报》2004年3月19日。
②道格拉斯・诺思(Douglassnorth):《制度变迁与经济增长》,引自盛洪主编:《现代制度经济学(上卷)》,第290页,北京大学出版社2003年版。
参考文献:
①盛洪主编:《现代制度经济学(上卷)》,北京大学出版社2003年版。
②李 娜:“世界各国有关互联网信息安全的立法和管制”,《世界电信》2002年第6期。
③吴瑞坚:“我国互联网信息政府管制制度探析”,《探求》2004年第3期。
基本的网络安全篇7
【关键词】实施网络;安全态势;预测
1网络安全态势安全预测简述
1.1网络安全态势预测概念
网络安全态势预测作为一种预测网络安全问题的方法能够有效地保证计算机和网络的安全,通过这项工作能够帮助用户确定网络中人存在的问题,结合问题实质进一步分析出根本原因,然后在这个过程中找出能够反映网络安全问题的信息内容,在结合数学模型的形式下预测相关的网络安全问题和发展态势,为计算机网络安全的发展提供可参考的信息,保证网络环境的安全发展。支持向量机预测主要是借助非线性映射函数[?]进而将非线性向量xi映射到一个具有较高维度的映射空间H中,并在H内对相关数据进行预测和分析,预测函数表示为f(x)=[ωt][?](x)+b,式中,为支持向量机超出平面的权值,偏置量为b,由此将支持向量的预测转化为如下优化问题的求解,即[min]([ω],b,[ξi],[ξ?i])=[12][ωt][ω]+c[i=1n(ξi+ξ?i)],将约束条件设定为:①yi-[ω]xi-b≤[ε]+[ξi],②[ω]xi+b-yi≤[ε]+[ξ?i],③[ξi]≥0,≥0。
1.2网络安全态势预测的基本原理
如果需要分析的目标过大或者结构比较繁琐的情况下,就要通过“态势”来分析目标对象。态势这个词最开始是形容军事状况的,一般在军事环境较为复杂或者受到多方面影响的时候会预测其后续的发展状况。但是在信息网络发展环境下,想要构建安全可靠的网络环境就要引入网络态势体系这一概念,由此进一步掌握目前网络安全的整体情况。整体说来就是在研究网络安全事件出现的概率、频率和数量等方面研究这些因素对网络的威胁程度,进一步结合加权原理融合不同的网络安全信息,展示整体的运行状况,总结出目前网络安全运行的历史数据同时预测其今后的安全发展态势。
2实时网络安全态势预测模型的构建
2.1基于支持向量机算法的网络安全态势预测模型
我们可以设定目前网络安全态势的训练样本是{(x1,y1)(x2,y2)...(xn,yn)},不同的两项代表的是网络态势的输出向量和输出值,值得注意的是xn是一个时间序列,n为所训练样本的个数。
2.2基于支持向量机算法的网络安全态势预测过程
第一要进行数据的收集和与处理,首先我们要掌握并收集能够展示网络安全态势预测的数据,重点研究出现异常的数据,我们要注意这些数据当中受到不同因素影响而产生的不同差异;第二要通过嵌入维和时间延迟的方法实现多维网络环境的安全态势数据的转化,要强化数据的分析和转化;第三要完成分组,也就是把网络安全态势的所有数据进行整理,分成训练和测试两部分,将前面的数据输入到支持向量机种展开学习,结合遗传算法选择参数优化,将所得到的最优参数带入到所研究模型中,实现网络安全态势模型的构建;最后一点就是要结合之前总结的最优模型,测试内部数据,根据所得结果预测数据展开分析并转化,使预测值有效分布在各个区间,实现其整体网络安全态势预测的顺利完成。
3实例分析
3.1选取网络安全态势数据
选择某公司互联网在在2016年10月1日-10月30日的边界安全监测数据,固定每日抽取四次样本,在一个月的时间内分析其网络安全态势检测数值。人为确定前90次的测试值作为支持向量机的训练样本,之后的测试值作为支持样本,同时要保证这个实验要在matlab7.0平台上进行。
3.2实现最优模型
将这个公司的网络安全态势数据传输的延迟时间设定为固定数值,在这里面我们暂且将它设成1,另外可以在态势数据中嵌入8这个数字作为维数,在这个时候,支持向量机拥有7个输入变量和1个输入变量。结合固定时间和嵌入数值分析网络安全状况形成最终样本,根据前面的步骤将训练和测试样本输入到向量机种展开分析,进一步优化计算,同时结合相对应的计算形式确定最终数值。
3.3利用模型进行网络安全态势的预测
根据上一条内容可以得出网络安全态势的最优参数,将这个参数带入到所预测的模型当中,就能够形成最优网络安全态势预测模型。这一模型能够有效地分析相关的安全态势数值,能够展现出安全态势的所有变化,从而分析出公司的安全检测数据状况,提高预测数据的准确度。
4结论
本文主要研究在网络安全态势预测的概念和原理的同时,提出了基于支持向量机的实时网络安全态势预测模型,同时从模型的构建、应用和优化预测等方面展开分析。由此可知,今后在这方面研究的力度要有所加强,只有这样才能有效地维护网络安全,构建良好的网络环境和秩序。
作者:张晓晓庞婷单位:新乡医学院现代教育技术中心
【参考文献】
[1]陈凤兰.基于小世界回声状态网络的网络安全态势预测技术研究[D].兰州:兰州大学,2014.
[2]石波,谢小权.基于D-S证据理论的网络安全态势预测方法研究[J].计算机工程与设计,2013,3(12):821-825.
[3]曾斌,钟萍.网络安全态势预测方法的仿真研究[J].计算机仿真,2012,5(25):170-173.
基本的网络安全篇8
随着互联网的快速发展,社会生活对网络的依赖程度越来越高,网络安全对现实社会的影响也日益凸显。当云计算、大数据、企业移动、物联网、人工智能等新技术不断涌现,新的应用领域和业务模式也不断推陈出新,于是,安全防御架构也在不断演化。
2016年,是我国在网络空间法制化进程迈出实质性步伐的一年,《网络安全法》和《国家网络空间安全战略》正式进一步强化了我国网络安全顶层设计,为实现我国网络强国战略保驾护航。
《中华人民共和国国民经济和社会发展第十三个五年规划纲要》(以下简称“十三五”规划)明确提出实施网络强国战略,要求加快建设数字中国,推动信息技术与经济社会发展深度融合,加快推动信息经济发展壮大。2016年,作为“十三五”规划开局之年,网络经济空间发展大幅拓展趋势明显,推动信息技术服务向更为智能、与传统领域全面融合的方向发展。然而,信息技术创新发展伴随的安全威胁与传统安全问题相互交织,使得网络空间安全问题日益复杂隐蔽,面临的网络安全风险不断加大,各种网络攻击事件层出不穷。
近日,第四届首都网络安全日活动在北京展览馆举办。本届活动由北京市委网信办和北京市公安局联合主办,团中央网络影视中心、北京市委宣传部、北京市委教育委员会、北京市财政局、共青团北京市委员会等共同支持,于4月26日至28日在北京展览馆连续举办三天。活动吸引了阿里巴巴、百度、奇虎360、中关村信息安全测评联盟等为代表的120家企业踊跃参展。
四届大会不断成长
2014年2月27日,中央网络安全和信息化领导小组成立,中国网络安全和信息化国家战略迈出重要的一步。北京市政府正式批准将每年4月29日设为“首都网络安全日”。北京作为全国科技创新中心,云集了全国70%以上的大型门户网站,在引领科技创新、示范产业发展方面发挥着重要作用。同时,也使北京面临了更为复杂多元的网络安全挑战。
《网络安全法》正式表决通过和《国家网络空间安全战略》正式表明了国家依法保障网络安全、促进经济社会发展的意志和决心。
2014年是中央加强网络安全和信息化领导工作的开局之年,也是“4.29首都网络安全日”的开篇之年。活动期间,北京市开展了丰富多彩的系列宣传活动,与社会各界和广大群众携手合作,共同关注网络安全,维护网络秩序,为建设首都绿色生态网络环境不懈努力。
首届“首都网络安全日”制作播放了特别节目,同时还举行了“北京市反网络诈骗联盟”启动仪式,围绕互联网安全为主题举办网络安全高峰论坛,组织北京地区大学生网络安全知识竞赛,建立参与性、互动性强的网络安全体验基地,举办首都网警执法账号新闻推介会等活动。
活动以“网络安全同担,网络生活共享”为主题,开展了系列活动。其中设计了参与度高、影响力度大、与网络安全相关的一系列活动,并在《北京卫视》播出一期“首都网络安全日”特别节目;发动安全厂商、技术人才举办一场网络安全技能大赛;以“网安启明星”工程为主题举办一场大学生网络安全知识竞赛;邀请重点单位代表展开一次网络安全高峰论坛;联合360公司构建一个网络安全体验基地;与网络安全公司合作成立一个反网络诈骗联盟;组织门户网站影音作品会;以“招募维护网络秩序志愿者”为主题召开一场首都网警执法账号新闻推介会。系列活动持续时间长达半个月,得到了社会各界广泛关注、参与和支持。
2015年“4.29首都网络安全日”延续了2014年首届“首都网络安全日”活动中“网络安全同担,网络生活共享”的主题,以网络与信息安全博览会为龙头,全面启动首都网络安全四大工程。
深化“启明星”工程,一方面举办大学生网络安全知识竞赛,开展电视决选、普及网络常识;另一方面发动组织来自全国各地的安全厂商、高等院校和科研机构、用户单位的60支队伍、180余名技术人才举办第二届北京网络安全技术大赛。
创新“护城河”工程,开展首次网络安全讲座,组建由20家技术支持单位、30位讲师组成的专业团队,前往60余家市属大型国企巡回授课,举办20场网络安全主题宣讲活动。
启动“防火墙”工程,推动网安信息通报中心挂牌,“首都网警”微信公众账号,启动“天下无贼―金盾守卫计划”,举办西城区首届互联网金融反欺诈专题研讨会,成立反诈骗联盟。
推动“孵化器”工程,汇集互联网业内知名研究机构、行业组织和华为、百度、360、金山、腾讯等80余家龙头企业举办首届网络与信息安全博览会,吸引社会各界两万余人前往参观。同时推出6场网络安全高峰论坛,行业知名院士和专家汇聚一堂。
2016年,“首都网络安全日”在前两届的经验基础上创新发展,通过展览、论坛、竞赛等多种形式,全方位展示当前最前沿的网络安全技术和信息安全人才理念。2016年的“首都网络安全日”仍以“网络安全同担,网络生活共享”为主题,按照“1+4+1”的工作模式,以打击防范电信网络诈骗宣传体验展为龙头,推出“启明星”“孵化器”“护城河”“防火墙”四大工程,共设计了14项活动。活动方在去年网络与信息安全博览会、七大主题论坛、网络安全技术大赛的基础上,还创新推出了京津冀信息安全人才选拔挑战赛、线上线下人才双选会、网络安全从业者节日等活动,营造网络安全同担共享的良好氛围。
博览会设置云购价与存储安全展区、工控安全展区、移动互联网安全展区、网络与信息安全产业基地专展等四大展区,公安部三所为代表的研究机构,中关村网络安全与信息化联盟为代表的专门行业组织,百度、金山、360、匡恩网络科技等国内领军企业直观展示了涵盖芯片、硬件、软件、整机、系统安全集成等各个方面的中国自主安全能力。同时,各参展单位还展示了基于大数据的伪基站追踪、全自动驾驶、立体化工控网络安全理念等c社会发展、群众生活密切相关的新技术新产品。参展群众也通过互动式的亲身体验,学会了网络安全知识,获得了自我防护技能。
2017年“4.29首都网络安全日”活动仍然以“网络安全同担、网络生活共享”为主题,倡导首都各界和网民群众共同关注网络安全课题、承担网络安全责任,投身网络安全建设,维护网络生态环境。经过3年的发展,首都网络安全日已成为首都地区网络安全行业的年度盛事和全国范围内与行业间探讨交流网络安全信息的重要平台。
活动着眼“建设网络强国”的战略目标和“京津冀协同发展”的决策部署,促进网络安全行业发展,不断提升首都的网络安全能力和水平。
活动丰富亮点突出
作为本届系列宣传活动的重要内容,由中国电子国际展览广告有限责任公司承办的“2017年北京国际互联网科技博览会暨世界网络安全大会”(CyberSecurityasia,简称CSa)于4月26日至28日在北京展览馆举行。
2017年北京国际互联网科技博览会主要突出以下几大亮点:
1.着力突出大会定位――国际性、专业性、行业性、全面性、社会性。
自2015年第二届“4.29首都网络安全日”起,博览会经过3年的发展,在国内外政府信息安全部门、信息安全企业、科研院校、行业用户、媒体的支持下,成为国内汇聚最多知名企业、举办最多专业活动、邀请最多权威机构、吸引最多优质买家的信息安全专业展会,服务领域由网络安全、信息安全等专业领域,逐步延伸到市政交通、金融支付、智慧医疗、智慧生活等大型综合工程项目。2017年北京国际互联网科技博览会,利用积累优秀资源,邀请国内外互联网大咖和演讲嘉宾,通过展览、论坛、研讨会、竞赛、情怀活动等多种形式,全方位展示最前沿的网络安全和互联网技术和信息安全人才理念,倡导社会各界重视网络安全,提升社会各界的网络安全意识。
2.聚焦互联网新兴领域,引领行业创新风向标。
随着云计算、大数据、企业移动、物联网、人工智能等新技术涌现,新的应用领域和业务模式随之出现。但也带来了不少新的安全问题。对此,本着“网络安全同担、网络生活共享”的活动主题,本届“4.29首都网络安全活动日”期间同步举办多场系列高峰论坛。论坛主题从网络安全延伸至人工智能、金融安全、智慧医疗、智能生活、智慧城市建设等内容,聚焦探讨网络安全技术和应用热点话题,洞悉全球信息安全最新发展趋势,与展览展示一体两翼、双剑合璧,强力推动首都各界网络安全建设,引领网络安全行业创新,促进网络安全产业发展。全行业通力合作,共建网络安全生态。
3.向全市人民推广普及网络安全意识,建设网络良好生态。
我国经济发展进入新常态,新常态要有新动力,互联网在这方面可以大有作为。国家实施“互联网+”行动计划,带动全社会兴起了创新创业热潮,树立正确的网络安全观,实现“两个一百年”奋斗目标,需要全社会方方面面同心干,需要全国各族人民心往一处想,劲往一处使。网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。
4.全行业通力合作,共建网络安全生态。
2017年北京国际互联网科技博览会得到了中央网信办、公安部、工业和信息化部、国家保密局、国家密码管理局,以及市各委办局、各区县等各级领导的广泛支持,吸引了阿里巴巴、百度、360、公安部三所、知道创宇、金山安全、匡恩、立思辰、梆梆安全、中关村信息安全测评联盟、行业云安全能力者联盟、北京网络行业协会等行业领军企业、机构同台竞技。参展企业达到120多家,总体展出面积共2万平方米。同时邀请网络安全行业、银行和金融行业、能源行业、通信服务行业、政府部门、部队、医疗机构、电商、第三方支付机构、科研院所、高等院校、专家学者、行业媒体等专业观众前来观展。与此同时,大会现场为合作的40多家大众媒体、网络主流媒体、纸媒、自媒体、直播平台提供免费的媒体中心,对大会进行持续全方位的报道。另外,今年的“新品”环节全新升级,为参展企业打造全新平台。
网站被挂马、暗链和恶意篡改已经成为危害网站安全的突出问题,给网民上网带来安全风险。一些“染”毒网站还成为网上诈骗、色情、等违法信息,以及黑客攻击和侵犯公民个人信息等网络犯罪活动的重要载体和渠道。
如何治理“染”毒网站?在本届“4.29首都网络安全日”系列宣传活动中,公安部第三研究所、网络安全事件预警与防控技术国家工程实验室联合阿里、百度、360等国内知名互联网企i、网络安全企业,面向广大网站开办维护人员、互联网数据中心管理人员和网络安全从业人员,以及广大网民,在“治理‘染’毒网站保障上网安全”专题论坛上,共同探讨了网站安全防护、防范“染”毒网站等知识,并且推出公益性网站安全服务。
本届“4.29首都网络安全日”系列宣传活动举办了多场高峰论坛,其中有“智能医疗与互联网安全论坛”“平安城市建设与发展论坛”“治理染毒网站,保护上网安全”《网络安全法》“人工智能论坛”“物联网安全论坛”“区块链应用技术高峰论坛”“网络空间威胁大数据分析论坛”“2017网络空间安全战略高峰论坛”“从身份认证迈向人工智能‘互联网+身份认证’论坛”等多个主题论坛,围绕网络与信息安全产业发展和应用的各个新兴领域的话题,探讨网络安全发展的理念思路和前沿技术方向。
智慧医疗是当下关注的热点话题,此次“智慧医疗与互联网安全论坛”分为医疗大数据标准和安全应用、医疗系统和医疗信息安全防护两个板块。相关网络安全专家与医疗信息专家就当前医疗大健康和安全热点问题进行交流和探讨。
在“从身份认证迈向人工智能‘互联网+身份认证’论坛”中,中国工程院院士沈昌祥等资深专家学者,以及蚂蚁金服等金融科技安全行业的企业代表,共同就“互联网+身份认证”与人工智能的话题进行深入探讨,各方共同探索依托技术+数据+人工智能进行精准风控的行业践行。
此外,在“2017网络空间安全战略高峰论坛”中,众多监管机构领导、行业专家学者,以及行业领导者共同探讨我国网络空间安全战略之路,为在新形势下进入“互联网+”时代的信息安全之路献言献策,推动我国网络信息安全策略与技术的发展。
赛事纷呈各显身手
比赛,去年的“4.29首都网络安全日”活动就已经举办过,但今年略有不同。本届“4.29首都网络安全日”活动的网络安全技术大赛引入国际战队,并纳入CtF网络安全重大赛事的国际积分,成为国际一流战队同台竞技的重要舞台,考虑到本次大赛的高水准和高规格,为了保证赛题质量和比赛对抗激烈程度,大赛主办方特别邀请到了国内网络攻防领域的顶尖专家团队锦行科技为大赛提供赛题和技术支持。
据了解,本次大赛主办方秉承国际化、专业化、前沿化的精神,集结了各大知名安全赛事的顶尖战队,通过i春秋学院初赛选拔的15支高校队伍和17支企业队伍中,有来自史上最长的CtF马拉松――百度杯CtF总决赛的优胜战队,也有来自国际著名网络攻防大赛XCtF国际联赛北京站国际赛(BCtF)的顶尖选手,还有首届港澳大专联校网络安全竞赛初赛的香港、澳门的战队,同时,CtF―time排行榜上常年雄踞第一的DCUa国际战队也加入其中。
阿里聚安全作为阿里安全开放平台,在对企业赋能安全能力的同时,依托阿里巴巴十余年的安全领域词库沉淀、每天百亿级的交易、近百pB的数据,通过阿里云的“天池大数据科研平台”举办“阿里聚安全算法挑战赛”,为业界输出计算能力和专业数据,帮助算法专家和安全专家更好地相互沟通,融合网络安全和人工智能两大热门领域,让安全攻防更智能。
阿里聚安全的数据风控、内容安全服务已经大量应用人工智能和深度学习技术,使用成熟的模型和算法,实时预警分析,可帮助企业大幅度降低人力成本,并提升业务风险的防控能力。
“阿里聚安全算法挑战赛”进行了现场答辩,并最终决出了优胜者。据了解,此次答辩赛总共有15名选手入围。在现场,每位参赛选手都完美地展示了自己的风采,与大家分享在比赛中的经验和对赛题的理解。
据悉,“阿里聚安全算法挑战赛”吸引了来自全球1000多支参赛队伍,其中不乏中国科学院、北京大学、浙江大学等众多高校人才,也有大数据行业资深人士、网络安全专家、企业和创业者参与。
“阿里聚安全算法挑战赛”线上选拔赛赛题包括了“人机行为识别”“SQL注入检测”和“社区反垃圾”,是首次把风控、网络安全和内容安全的多维度数据结合的算法比赛。赛题紧贴业务,将实际存在的一些难题和数据呈现出来。“人机行为识别”赛题提供的数据记录了互联网上人机行为信息,让参赛者找出其中的恶意机器行为记录;“SQL注入检测”收集从网上真实访问流量中提取的URL,需要参赛人员检测恶意的SQL命令;而“社区反垃圾”赛题则是UGC平台企业中经常碰到的内容安全问题,需要用户通过算法辨别垃圾文本。
除了“阿里聚安全算法挑战赛”外,本届“4.29首都网络安全日”活动还举办了“360春秋杯国际网络安全挑战赛(CtF)”。CtF预选赛有500余支队伍参与选拔,34支队伍晋级决赛,最终评选出前十名。
除了论坛、展会、比赛外,本届首都网络安全日还有一项活动是“北京市网络与信息安全信息通报中心”揭牌成立。该中心将负责监测网络安全状况,进行相关网络安全事件处置等。
据悉,市政府决定,在北京市公安局网络安全保卫总队加挂市网络与信息安全信息通报中心的牌子,旨在推动形成“以公安机关为核心,政府职能部门、重要行业主管部门为成员,专家组和技术支持单位参加的网络安全通报预警和应急处置体系”。
此外,本届“4.29首都网络安全日”活动期间,“北京地区自媒体安全发展论坛”也在北京展览馆召开。来自微信、微博、今日头条“两微一端”北京地区众多的自媒体大V齐聚一堂,在北京市委网信办与北京市公安局的指导下,共同探讨北京自媒体安全发展的大势。
本届论坛以前瞻的眼光和相互对话的新方式,为自媒体行业提供方向指导,推进自媒体行业健康有序发展。
新媒体是科技进步给人类的馈赠,发展得好,管理得好,用得好,就能成为促进社会进步的巨大正能量。网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,内容安全也不例外,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。
北京是全国网络自媒体资源最丰富的地区。论坛上,自媒体代表了《北京地区自媒体安全发展倡议书》,向北京地区自媒体行业发出六条倡议:第一,严格自律,拒绝不良信息;第二,积极向上,营造健康生态;第三,依法经营,避免安全风险;第四,尊重原创,强化版权意识;第五,加强交流,推动行业发展;第六,履行责任,维护网络秩序。
业界之音
在此次首都网络安全日活动中,一些中外安全企业也纷纷表达了自己对网络安全和数据安全的看法。
自主可控是安全的前提。目前,我国企业和机构的自主可控程度都不同。理想的状态是实现全部使用自主研发的产品,这是最安全的。但因为历史原因,我国过去对自主可控的重视程度和投入都不够,不可能一蹴而就。
从生态建设角度看,这需要从硬件和软件两方面着手。首先是处理器。处理器架构有aRm、×86等。此前,我国很多电子产品采用的很多芯片被一些国外厂商垄断。而以申威处理器为核心架构的生态,所衍生出来的安全产品,从设计、研发、生产到应用普及,周期相对比较短。
自主芯片必须得用。用户、厂商等环节所组成的生态,都依托于处理器所支撑的申威生态。所谓的自主生态,是处理器的衍生应用,而不是单单指造出来的处理器。
作为安全厂商,最重要的环节是做处理器的生态。申威处理器在设计、研发下一代产品的时候,要进行应用适配。中科网威会主动寻找国内一些安全厂商,提出优化建议,也会自己优化改进产品,更好地与其他厂商的产品进行匹配。中科网威也在逐步增强服务意识。
从行业本身发展角度看,申威的生态链所触及的行业,受到人才、厂商等因素制约。申威很早就开始着手打造生态链,很多安全厂商陆续参与其中,目前参与申威生态联盟的包括中科网威等在内的有40余家安全厂商,而且这个数字还在不断增加。总体来看,申威生态覆盖了底层自主芯片、上层服务应用等各个环节。
在申威生态联盟中,把相对成熟的东西分享出来,从而促进更多的生态系统不断壮大。申威下一步的重点战略将放在信息安全与大数据两个领域。
国家有关政策已明确了信息系统安全的功能、性能等标准,例如等级保护、分级保护。在国家的信息系统中,要无缝替换,使安全设备节点不被非法入侵突破。
我国企业和机构的信息系统将按环节、阶段性替换。中科网威的目标也很明确,先做好一个小环节,然后再向更多的领域进军。
在行业的市场竞争中,存在着不同类型的自主可控安全需求和不同类型的自主可控安全厂商,良性竞争是推动发展的原动力。
目前,自主可控处理器应用范围仍然相对较小。我国厂商不仅要研发自主可控处理器,还应构建生态体系。安全厂商更多扮演的是一个推手、推动者的角色,而非建立者。这是一个行业性的市场,且与相关政策密切相关。简单来讲,用户有需求,大家就一起来做,而且会越做越好。
卡巴斯基实验室也参加了此次活动。作为为数不多的国外安全厂商之一。卡巴斯基实验室通过现场演示、视频播放、宣传册发放,以及海报展出等多种形式向公众与企业普及网络安全知识,以此提升他们的防范意识,远离网络威胁和各类网络诈骗。
除了以往展出的企业级与个人版端点安全解决方案之外,卡巴斯基实验室携多重磅新品亮相本次“首都网络安全日”,包括卡巴斯基工业网络安全解决方案、卡巴斯基安全培训平台等产品,全面助力大型企业保证信息安全。
当今,各类高级威胁层出不穷,越来越多的企业用户和普通用户沦为受害者。仅以近两年为例,卡巴斯基实验室全球研究和分析团队研究分析了多起重大攻击,这些攻击多以金融机构、政府组织、电信和能源公司、大众媒体,以及私营企业为目标,已造成不可估量的经济损失。
基本的网络安全篇9
关键词:智能电网;安全策略;切换
中图分类号:tp391.41
文献标识码:a
Doi:10.3969/j.issn.1003-6970.2015.09.019
0引言
随着我国智能电网的建设,网络向用户侧延伸,“互动化”的需求给公司目前的信息安全隔离体系提出了新的要求,在设计上遵循原有的三道防线架构不变。其中在智能电网互动化环境下信息安全隔离体系中的第一道防线中增加了互动化安全区,主要是为了实现用户通过互联网与电网之间的安全互动和智能终端接入的安全策略切换。传统的基于效用函数的安全策略切换算法一般会考虑RSS和其他参数,XiaR等人使用最优化的效用函数来达到用户满意度和网络安全效率的平衡。LiQm等人提出了一种以用户为分析中心的安全策略切换算法,这种方法的一个重要特性就是考虑用户的满意度,但是它只能适用于非实时的安全应用。LiQm,ZhangH等人提出了一种基于博弈论的切换算法,该算法基于贝叶斯纳什均衡点极大的减少了切换延迟,也使用户能够总是以最高的网络利用率和最合适的安全成本连接到最好的安全网络。虽然学者们已经提出了很多安全切换判决的算法,但是,现有的算法在代价和性能之间存在着矛盾,无法满足实际的应用需求。另外,从国内外的研究现状来看,对于支持安全策略切换的框架研究较少,而高效的切换框架能够有效地提升整个安全切换判决的性能。因此,异构网络的安全切换判决技术仍然是一个研究的重点,也是一个研究的热点。本文在前人的研究基础上,提出一种基于终端控制和网络辅助的安全切换判决算法,在算法中利用了一阶单变量灰色预测模型Gm(1,1)和模糊逻辑系统这两个基本模型系统。
通过公式4的预测方程,我们可以利用样本数据来预测未来数据。
基于模糊逻辑的切换算法一般有三个部分:模糊化、模糊规则和去模糊化(清晰化)。网络QoS参数经过模糊化以后利用模糊规则输出模糊评价值,最后通过去模糊化得到网络的切换评价得分,如图l所示。可用带宽(availableBandwidth)、端到端延迟(endtoendDelay,e2eDelay)、抖动(Jitter)、误码率(BiterrorRate,BeR)作为4个输入参数,经过隶属度函数的模糊化以后得到一系列模糊值,交给判决模块,判决模块通过模糊逻辑规则(FuzzyRule)输出判决结果,判决结果还是一个模糊值,最后通过利用输出参数的隶属度函数去模糊化以后输出一个清晰值――网络安全切换判决得分。选择得分最高的一个网络作为切换的目标网络,执行安全策略切换,从当前服务网络切换到目标网络。
传统的基于模糊逻辑的安全切换判决算法一般在终端完成网络的安全切换判决,通过收集网络的信息以及终端和用户的信息作为模糊逻辑系统的输入参数,经过模糊逻辑系统的计算后得出一个综合安全切换判决得分,最后根据得分的高低做出安全策略切换的判决。如图2所示,终端判断接收信息强度RSS是否低于阈值,如果低于阈值则发起切换的判决。判决过程如下:首先检测周围的可用网络,然后获取网络的QoS等信息以及终端和用户的属性信息,接着利用模糊逻辑系统做出安全切换判决,最后选择一个切换得分最高的网络作为切换目标网络完成网络的切换。
(l)模糊化
模糊化的过程就是利用隶属度函数将输入参数模糊化,模糊集合一般设为{Low,mediu,Hi曲},隶属度函数如图3所示,本文提出的安全切换判决算法中采用的也是图3中所描述的三角形状的隶属度函数。
从图3可以看出,对于参数p和网络n,则有如下三点区域:
2基于网络得分预测和模糊逻辑优化的安全切换判决算法
基本的网络安全篇10
论文摘要:分布式网络具有网络规模大、地理位置分散的特点,对于网络安全的需求存在于网络的各个层。本文对分布式网络的物理层、网络层、应用层分析了各个层的安全需求,并提出了保护信息安全的若干技术。构筑以入侵检测和防病毒为核心技术,配套其他成熟的安全技术和产品的大型分布式网络应用安全体系框架。
引言
九十年代以来,由于网络技术的飞速发展和网络规模的日益扩大,尤其是internet的飞速发展,使的网络类型多样化和网络设备日趋负责话,因此,如何有小的提高网络的性能降低网络的故障,成为人们关注的重点,网络管理技术也就成为网络研究领域的一个热点问题。
早期网络协议对internet安全问题的忽视、网络本身的开放性、计算机操作系统的不完善性以及interner在使用和管理上的无序状态,都导致了internet上存在着诸多不安全因素,信息领域的犯罪也随之而来。因此,保障网络按照已经成为当前刻不容缓的重要课题。
大型分布式网络,其主要特征一是“大”,二是“分布式”。所谓大是指网络规模、信息总量、使用人员都具有相当的规模;所谓分布式是指其下属机构在地理上是分散的,但他们之间的业务关系又是紧密的。由于这样的特点存在,分布式网络在网络建设和网络应用上势必反映出与小型集中式的企业不同,那么其安全需求和采用的信息安全技术也不同。
一、物理层安全需求
物理层安全就是要求物理隔离。所谓物理隔离,简单地说就是让存有用户重要数据的内网和外部的互联网不具有物理上的连接,将用户涉密信息与非涉密的可以公布到互联网上的信息隔离开来,让黑客无机可乘。实施物理隔离的目的决不是让网络回到以前那种信息孤岛的状态,而是让使用者在确保安全的前提下,充分享受网络互联所带来的一切优点。在物理隔离系统中会包含对外网内容进行采集转播的系统,这样可以使安全的信息迅捷地在内外网之间流转,完全实现互联网互联互通的宗旨。
二、网络层安全需求
(1)网络层风险
网络中心连通internet之后,内部网络可能遭受到来自internet的不分国籍、不分地域的恶意攻击;在internet上广为传播的网络病毒将通过web访问、邮件、新闻组、网络聊天以及下载软件、信息等传播,感染内部网络的服务器、主机;更有一些黑客程序也将通过这种方式进入内部网络,为黑客、竞争对手获取企业数据创造条件;内部网络的用户很多,很难保证没有用户会攻击企业的服务器。事实上,权威数据表明,来自于内部的攻击,其成功的可能性要远远大于来自于internet的攻击,而且内部攻击的目标主要是获取国家机关的机密信息,其损失要远远高于系统破坏。
(2)网络层安全需求
基于以上风险,在网络方案中,网络层安全主要解决内部网络互联时和在网络通讯层安全问题,需要解决的问题有:内部网络进出口控制(即ip过滤)内部网络和网络层数据加密:安全检测和报警、防杀病毒。
重点在于内部网络本身内部的安全,如果解决了分布网络环境中各个子网的安全,那么分布网络互联的安全只需解决网络层以及应用层的传输加密即可。
1)网络进出口控制
需要对进入内部网络进行管理和控制。在每个部门和单位的局域网也需要对进入本局域网进行管理和控制。各网之间通过防火墙或虚拟网段进行分割和访问权限的控制。
同样需要对内网到外网(internet)进行管理和控制。
要达到授权用户可以进出内部网络,防止非授权用户进出内部网络这个基本目标。
2)网络和网络层、应用层数据加密
对关键应用需要进行网络层、应用层数据加密,特别是最核心的领导办公服务系统、关键数据系统,需要有高强度的数据加密措施。
3)安全检测和报警、防杀病毒安全检测是实时对公开网络和公开服务器进行安全扫描和检测,及时发现不安全因素,对网络攻击进行报警。这主要是提供一种监测手段,保证网络和服务的正常运行。要实现:
*及时发现来自网络内外对网络的攻击行为;
*详实地记录攻击发生的情况;
*当发现网络遭到攻击时,系统必须能够向管理员发出报警消息;
*当发现网络遭到攻击时,系统必须能够及时阻断攻击的继续进行。
*对防火墙进行安全检测和分析;
*对web服务器检测进行安全检测和分析;
*对操作系统检测进行安全检测和分析。
需要采用网络防病毒机制来防止网络病毒的攻击和蔓延。严格地讲,防杀病毒属于系统安全需求范畴。
三、应用层安全需求
应用层安全主要是对网络资源的有效性进行控制,管理和控制什么用户对资源具有什么权限。资源包括信息资源和服务资源。其安全性主要在用户和服务器问的双向身份认证以及信息和服务资源的访问控制,具有审计和记录机制,确保防止拒绝和防抵赖的防否认机制。需要进行安全保护的资源如前面所述的公共应用、办公系统应用、信息查询、财务管理、电子申报、电子审计等应用。
(1)应用系统安全风险:
对应用系统的攻击可以分为两类:
1由于攻击者对网络结构和系统应用模式不了解,主要通过对应用服务器进行系统攻击,破坏操作系统或获取操作系统管理员的权限,再对应用系统进行攻击,以获取重要数据;在现在通用的三层结构(数据库服务器一应用服务器一应用客户端)中,通过对数据库服务器的重点保护,可以防止大多数攻击。
2攻击者了解了网络结构和系统应用模式,直接通过对应用模式的攻击,获取企业的机密信息,这些攻击包括:
*非法用户获取应用系统的合法用户帐号和口令,访问应用系统;
*用户通过系统的合法用户帐号,利用系统的bug,访问其授权范围以外的信息;
*攻击者通过应用系统存在的后门和隐通道(如隐藏的超级用户帐号、非公开的系统访问途径等),访问应用服务器或数据库服务器;
*在数据传输过程中,通过窃听等方式获取数据包,通过分析、整合,获取企业的机密信息。
这类攻击主要来源于企业内部,包括通过授权使用应用系统的员工,开发、维护这些应用系统的员工、开发商。
(2)公共应用的安全需求
公共应用包括对外部和内部的信息共享以及各种跨局域网的应用方式,其安全需求是在信息共享同时,保证信息资源的合法访问及通讯隐秘性。
公共应用主要有/fazhan/">发展到使用lc卡或电子钥匙,通过多种方式确认用户的身份。访问控制的控制粒度更细,必须根据不同应用的不同对象形式进行控制,如web页面、数据库记录等。
四、信息安全技术
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。
(1)防火墙技术与产品
防火墙在技术上已经相对成熟,也有许多国内外产品可供选择,但需要注意一定要选择支持三网段的防火墙。
在一般的网络结构中,防火墙是设置在接入internet的路由器后端,将网络划分为三个区域,即三个网段,如上所述。通过合理地配置防火墙过滤规则,满足下列需求:
·公网用户只能访问管理局外网的内容,不可能进一步访问管理局的内网部分。
·远程客户(下属机构)只能访问管理局专网防火墙的非军事化区的各个应用服务器和数据库进行访问:
·内部网络的客户端访问本网段的应用服务器,如需访问专网和外网中的各个应用服务器;
防火墙的功能就是提供网络层访问控制,所以其配置准确严密与否至关重要,只要配置正确,关闭不需要的服务端口,就可以基本实现网络层的安全。
(2)网络vpn技术与产品
对于大型分布式的企业,其中最重要的和最普遍的应用是数据库应用,而且是分布式的。数据库的分布式复制操作是自动的,是服务器到服务器的数据传输过程。对数据库复制的安全保护目前最实用的技术是网络vpn。
vpn产品一般具有如下基本功能:
·ip层认证和加密:
·ip包过滤:
·密钥管理。
vpn产品可以基于公共的lp网络环境进行组网,使用户感觉在公网上独占信道,也就是隧道的概念。在产品形态上是专有硬件,嵌入式操作系统,专用加密算法。在性能上,可以允许上千对vpn通道,网络加密速度在10mbps以上。有的vpn产品将防火墙功能结合在一起,形成安全网关。在分布式数据库环境中,按点到点方式安装vpn产品,保证数据库复制过程的数据加密传输。
(3)入侵检测技术与产品
随着internet应用的不断普及,黑客入侵事件也呈上升趋势,在安装防火墙和划分三网段安全结构后,降低了这种风险,但没有彻底消除。因为防火墙只是被动的防止攻击,不能预警攻击。
入侵检测系统可分为两类:基于主机和基于网络。基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视,如web服务器应用。基于网络的入侵检测系统则主要用于实时监控网络关键路径的信息。
(4)漏洞扫描与产品