校內網絡安全的級數評估模型的建立范文
本站小編為你精心準備了校內網絡安全的級數評估模型的建立參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
1)攻擊者知道網絡的整體信息,包括網絡的拓撲結構,網絡上各個設備上的漏洞等。這些信息通過掃描工具NESSUS獲得。
2)通過攻擊者對網絡中各個設備所具有的不同的權限,根據不同的權限對網絡中的各個設備進行評分。攻擊者得權限越高,那么網絡設備評分越低。分數區間為0~100。如果將權限分為3種權限,無權限、可讀、可執行,對應的評分為(100,60,15)。擁有權限的攻擊者可以對網絡造成破壞,網絡狀態依次進行評分。
3)對網絡上各個設備的重要性進行評定。評定的值域為0~1,所有設備重要性之和為1。
4)將各個設備上的漏洞進行分類,將其分為如下表格中的類型。
現在我們對以上的條件進行規范化的表示:
1)對網絡設備的表示:設備名(權限名)。權限名∈{權限列表}。對網絡設備權限的獲得只可提高,不可倒退。
2)對漏洞的表示。CEV(漏洞編號i,漏洞成功概率,存在漏洞的主機名,漏洞利用前提)。
3)網絡目前設備狀態為所有網絡設備表示集合,對其的評分為各個設備評分與重要性Pw乘積的和。用Value(設備所在狀態層)=∑G×Pw。進行了簡單的定義后,我們將對一個典型的網絡結構進行分析。如圖:利用表1,每個網絡層次代表使用當前網絡狀態和漏洞,網絡所能達到的網絡狀態。通過三層狀態的攻擊我們可以得到,網絡的狀態轉換如圖2。(W為“公共web服務器”,F為“內部文件服務器”,H為“個人工作站”,r為“可讀權限”,e為“可執行權限”)。我們可以對此網絡進行如下的評價:
首先對各個網絡設備重要性評定為:Pw(W)=0.4Pw(F)=0.4Pw(H)=0.2第0層:Value(0)=60×0.4+100×0.4+100×0.2=84第1層:Value(1)=15×0.4+100×0.4+100×0.2=66第2層:Value(2)=15×0.4+60×0.4+100×0.2=50或者Value(2)=15×0.4+100×0.4+60×0.2=58第3層:Value(3)=15×0.4+60×0.4+60×0.2=42對網絡每層的評分如上面所示,但此方法只是對網絡狀態靜態的評價,不能將在此狀態下的潛在威脅加入評分,所有我們對整個網絡的評價的進行還需進行如下的計算:計算從葉子節點進行,依次向上進行。Value′(2)=58-(58-42)×0.9=43.6Value′(1)=66-0.8×(60-50)–0.8×(60-43.6)=44.88Value′(0)=84-0.9×(84-44.88)=48.792因此,我們對網絡總體的評價為48.792,網絡存在很大的安全威脅。
本文的網絡的安全分析建立在漏洞和網絡拓撲圖的基礎之上,所以我們的安全策略也從這兩個方面入手。上文已經介紹了對網絡漏洞的表示方法,在此,我們對漏洞增加兩個統計數,一是漏洞的使用頻率,二是漏洞使用后網絡狀態層次。我們對網絡的拓撲結構進行符號描述。設備A和設備B可連通,用LINK(A,B)。通過生成網絡狀態轉換圖,我們可以得到網絡狀態每次裝換依賴的漏洞,這樣,我們可以統計到漏洞使用所在的網絡狀態層次和每個漏洞的使用頻率。依舊以上文提到的網絡為實例,我們可以對漏洞做如下的統計表格:這里漏洞的使用頻率漏洞可使網絡達到不同的網絡狀態的個數。
而漏洞使網絡狀態層次的改變,主要記錄漏洞使用后,網絡狀態達到的網絡狀態層次。通過對網絡漏洞使用的樹狀描述,我們可以通過最優化的最短路徑算法,分析網絡中存在的最危險的漏洞組合和關鍵漏洞。也可以簡單的統計漏洞使用的頻率和漏洞所處的層次來對所有漏洞進行排序。通過對這些漏洞的處理實現對校園網絡安全的優化。
網絡拓撲對于網絡安全也十分重要,合理的網絡拓撲結構可以提高整個網絡的安全。本文主要是通過去除某些漏洞,和連通元素,在新漏洞集合和連通集合下生成網絡狀態轉換圖,計算出新網絡的評分來對安全策略進行排序。實現在一定條件下最優的策略選擇。這里的一定條件主要是現實中對網絡漏洞或網絡拓撲結構的處理難度和成本。這里為了描述簡單可簡單的定義為漏洞的處理個數以及對連接元素個數的限制。
校園網絡安全防范策略分析
(一)關于校園網策略管理的研究現狀
至今為止,國際上許多公司都紛紛展示了自己的理論成果及產品,國內也進行了相關方面的研究。國際知名軟件企業微軟提出了NAP(網絡接入保護)解決方案,它的基本思想是通過驗證計算機是否與預先設置的安全策略相符,從而監測和控制相關網絡訪問。Cisco的自防御系統。目前主要的整體解決方案是通過安裝客戶端軟件對客戶上網機器進行實時監控。
國內神州數碼提出了D2SMP,它采用集中式管理,進行分布式安全策略部署,能夠對用戶行為進行精細化的管理,實現安全通信,是對用戶行為的全面管理方案。上面所述的一些校園網安全策略在一定程度上起到了防護作用,但是或多或少還存在著一些不足之處。
(二)本文在校園網安全評定后的防范策略
進過以上詳細的建模分析之后,本文對校園網安全防范的策略有:
1)進行校園網上網實名制。這樣在出現網絡安全事故時可以進行責任的追究,這也間接的使校園網用戶更加注重網絡安全。
2)基于校園網的主要用戶之一是學生的特點,學校可以制定上網規范,實行懲處制度。在新生進校是進行網絡安全教育,強化新生的網絡安全意識。
3)運用過濾器和防火墻技術。過濾器技術可以屏蔽不良的網站。防火強技術保護校園網絡不受未經授權的第三方侵入。
4)使用最新的防病毒程序,開啟自動更新功能。關閉系統開啟時的不必要的服務和端口。通過此方法來減小網絡遭受攻擊的概率。
5)使用加強密碼,應用安全掃描技術主動探測系統安全漏洞進行修復。這樣會使得校園網絡對外來攻擊的自身抵抗能力得以提高。
6)采取有利措施防止內部用戶非正常使用和對校園網的的攻擊行為。運用VLAN技術來加強內部網絡管理。
7)備份數據與恢復數據。這是為了在意外遭到攻擊或病毒的侵害后不至于丟失一些重要數據而降低損失。
小結
面對網絡飛速發展的,網絡高手云集的今天,網絡安全技術在校園網系統中是必不可少的。對于校園網得到主體用戶學生來說,校園網越安全越好,但是我們必須承認,沒有絕對安全的網絡,所以對校園網絡進行安全評定與分析,有助于對校園網絡進行隨時監控,及時防范,以免帶來不必要的損失,使校園網更好的為廣大師生服務。
作者:張新偉唐晨晨單位:江蘇大學