網(wǎng)絡行為審計精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡行為審計主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡行為審計范文

關鍵詞： 正交基神經(jīng)網(wǎng)絡； 非線性； 衛(wèi)星信道； 預失真

中圖分類號： TN927?34 文獻標識碼： A 文章編號： 1004?373X（2013）09?0040?03

0 引 言

高功率放大器是衛(wèi)星通信系統(tǒng)中的重要組成部分，當其工作在飽和區(qū)附近時，衛(wèi)星信道具有嚴重的非線性。這種非線性對信號的影響主要有兩方面[1]：一是信號星座圖發(fā)生變形，造成碼間串擾（ISI）；二是頻譜再生，引起鄰近信道干擾（ICI）。

隨著現(xiàn)代通信技術和多媒體業(yè)務的高速發(fā)展，大容量高速率的信息傳輸十分必要，衛(wèi)星通信也以不可抵擋之勢向高速率大容量的方向迅猛發(fā)展。由于通信速率和通信帶寬的迅猛增加，頻譜資源越來越緊張，現(xiàn)代衛(wèi)星通信更趨向于采用比恒包絡調(diào)制頻譜效率更高的幅度相位聯(lián)合調(diào)制方式，如DVB?S2標準中的APSK等調(diào)制方式[2?3]。與傳統(tǒng)的相位調(diào)制技術相比，APSK信號由于其信號幅度的變化，對衛(wèi)星信道的非線性失真更加敏感。為保證通信性能，必須對信道的非線性失真進行補償。

1 高功放的非線性特性及其對系統(tǒng)性能的影響

高功放的工作特性分為線性區(qū)和非線性區(qū)，當輸入信號功率較低時，輸出和輸入功率關系是線性的；當輸入功率較高時，輸出和輸入功率關系呈現(xiàn)出非線性，當輸出功率達到飽和，再增加輸入功率，輸出功率不會增大還可能會減小。

高功放非線性模型非常多，本文采用經(jīng)典的Saleh模型，該模型中幅度和相位的輸出僅與輸入信號的幅度有關。其幅度和相位轉移特性曲線如圖1所示，當輸入信號歸一化幅度小于0.6時，幅度轉移和相位轉移呈現(xiàn)線性，大于0.6時，其轉移特性呈現(xiàn)非線性。

圖2為16APSK信號經(jīng)過非線性高功放的收發(fā)信號星座圖?？梢钥闯?，接收信號星座圖已經(jīng)發(fā)生嚴重畸變，外圈星座點半徑被壓縮，內(nèi)圈星座點半徑擴大，內(nèi)外圈星座點歐式距離被縮小；星座點相對原來位置發(fā)生逆時針旋轉；碼間串擾很大，星座點扭曲嚴重。由于高功放非線性效應的影響，在不加補償?shù)那闆r下，接收機已經(jīng)不能正常工作。

2 正交基神經(jīng)網(wǎng)絡

正交基前向神經(jīng)網(wǎng)絡模型如圖3所示。該網(wǎng)絡模型由輸入層、隱藏層和輸出層組成。其中輸入層、輸出層各有一個神經(jīng)元，使用線性激勵函數(shù)[f（x）=x]，隱藏層有[n]個神經(jīng)元，采用一組階次逐漸增高的正交多項式[φ（x）]作為其激勵函數(shù)。

傳統(tǒng)的神經(jīng)網(wǎng)絡存在收斂速率慢和易陷入局部極小等缺點，文獻[4]提出了一種Chebyshev正交基神經(jīng)網(wǎng)絡，該網(wǎng)絡的隱藏層神經(jīng)元采用Chebyshev正交多項式，即文獻[4]采用基于偽逆的方法，實現(xiàn)了一步權值直接確定，不需要迭代，具有更高的計算速率和工作精度，同時不存在局部極小的問題。考慮到Chebyshev正交基神經(jīng)網(wǎng)絡的優(yōu)點，將其應用到衛(wèi)星非線性信道的補償技術中。

3 基于正交基神經(jīng)網(wǎng)絡的預失真補償算法

正交神經(jīng)網(wǎng)絡預失真系統(tǒng)框圖如圖4所示。[x（n）]為預失真器的輸入，[y（n）]為預失真器的輸出、高功放的輸入，[z（n）]為高功放的輸出，用[M（?）]和[N（?）]分別表示預失真器的幅度和相位轉移特性，預失真器的輸入輸出關系為[1]：

第2篇：網(wǎng)絡行為審計范文

doi:10.11772/j.issn.10019081.2013.07.1842

摘 要:

針對無線傳感器網(wǎng)絡(WSN)開放性和資源受限導致易受外部和內(nèi)部攻擊以及節(jié)點失效等問題，提出了一種高效、安全的可信節(jié)點間身份認證方案。方案采用基于身份和雙線性對理論實現(xiàn)認證密鑰協(xié)商與更新，通過基于Beta分布的節(jié)點行為信譽的管理計算其信任度，利用信任度識別節(jié)點是否可信并采用對稱密碼體制結合信息認證碼實現(xiàn)可信節(jié)點間認證。方案不僅能防范竊聽、注入、重放、拒絕服務等多種外部攻擊，而且能夠抵御選擇性轉發(fā)、Wormhole攻擊、Sinkhole攻擊和女巫攻擊等內(nèi)部威脅。與SPINS方案相比，所提方案在同一網(wǎng)絡環(huán)境下有較長的網(wǎng)絡生命期、較小的認證時延、更高的安全性及可擴展性，在無人值守安全性要求較高的WSN領域具有較好的應用價值。

關鍵詞： 無線傳感器網(wǎng)絡；可信認證；節(jié)點行為；基于身份；Beta分布；雙線性對

中圖分類號：TP309文獻標志碼:A

英文標題

Node behavior and identitybased trusted authentication in wireless sensor networks

英文作者名

LIU Tao1,2*, XIONG Yan1, HUANG Wenchao1, LU Qiwei1, GONG Xudong1

英文地址(

1. College of Computer Science and Technology, University of Science and Technology of China, Hefei Anhui 230027, China;

2. School of Computer and Information, Anhui Polytechic University, Wuhu Anhui 241000, China英文摘要)

Abstract:

第3篇：網(wǎng)絡行為審計范文

【關鍵詞】行為審計 數(shù)據(jù)包抓取 多線程

信息內(nèi)網(wǎng)終端用戶行為是信息網(wǎng)安全的重要組成部分，目前電力公司尤其是地市公司對內(nèi)網(wǎng)終端網(wǎng)絡行為監(jiān)管能力不足，尤其是郵件發(fā)送、網(wǎng)頁訪問等異常行為缺乏可靠實時的檢測工具，為此多數(shù)信息網(wǎng)運維單位開展了內(nèi)網(wǎng)行為審計系統(tǒng)的建設[1]。通常內(nèi)網(wǎng)行為審計系統(tǒng)主要運用“包捕獲”采集技術[2]，在核心交換機上采用端口鏡像技術，將上聯(lián)口的流量鏡像到某個端口并進行數(shù)據(jù)包的抓取、分析，并基于數(shù)據(jù)包分析結果實現(xiàn)內(nèi)網(wǎng)用戶網(wǎng)絡行為的審計，典型審計場景包括用戶數(shù)據(jù)量排名、用戶興趣點分布、網(wǎng)絡實時流量、不同類型數(shù)據(jù)包流量統(tǒng)計等。另外系統(tǒng)建立異常信息告警機制，根據(jù)設定的監(jiān)控關鍵字，對捕捉到的內(nèi)網(wǎng)網(wǎng)頁查看行為和郵件行為進行篩查，對包含關鍵字信息的數(shù)據(jù)進行報警[3]。

在面對地市電力公司，具有較大規(guī)模的信息內(nèi)網(wǎng)時，內(nèi)網(wǎng)行為審計系統(tǒng)建設的建設范圍、關鍵技術成為系統(tǒng)成功應用的基礎，本文就地市電力公司內(nèi)網(wǎng)行為審計系統(tǒng)的建設功能及核心技術進行探討。

1 內(nèi)網(wǎng)行為審計系統(tǒng)實現(xiàn)

1.1 功能設計

如圖1所示，內(nèi)網(wǎng)行為審計系統(tǒng)主要包括數(shù)據(jù)處理、行為審計統(tǒng)計查詢及系統(tǒng)管理三部分，分別實現(xiàn)網(wǎng)絡包抓取、分析，行為審計分析及系統(tǒng)基礎管理工作。

數(shù)據(jù)處理包括網(wǎng)絡流量采集及基于包的網(wǎng)絡流量分析功能，網(wǎng)絡流量主要利用交換機的端口鏡像功能實現(xiàn)，在核心交換機上通過將上聯(lián)口的流量鏡像到某個端口，再通過與該端口連接的主機設備接收鏡像流量。主機設備上通過將網(wǎng)卡設置成混雜模式接收所有的傳輸層數(shù)據(jù)包，并對接收到的數(shù)據(jù)包根據(jù)傳輸層的源地址、目的地址及端口信息進行過濾，保留源地址或目的地址為目標系統(tǒng)或網(wǎng)址IP的數(shù)據(jù)包；再利用應用層的HTTP協(xié)議特征對數(shù)據(jù)包進行二次過濾，保留通過HTTP協(xié)議進行網(wǎng)絡訪問行為；最終針對特定WEB應用利用關鍵字對訪問行為中的發(fā)件人地址、收件人地址、郵件標題等字段進行抓取并存儲。

根據(jù)阜陽公司信息網(wǎng)安全管理要求，開展了內(nèi)網(wǎng)郵件行為審計和內(nèi)網(wǎng)WEB系統(tǒng)訪問行為審計兩種場景的應用，其中郵件審計針對郵件頭的關鍵字段，包括發(fā)件人、收件人等進行審計，對于不合規(guī)的郵件題目或附件標題進行告警；內(nèi)網(wǎng)WEB系統(tǒng)訪問行為主要用于判斷用戶的WEB系統(tǒng)訪問習慣，根據(jù)WEB系統(tǒng)訪問的頁面、訪問頻率及訪問部門進行統(tǒng)計分析，判斷WEB系統(tǒng)的應用情況。

1.2 多線程數(shù)據(jù)包處理方式

高效的數(shù)據(jù)包處理技術是解決地市公司高流量的關鍵技術，如何實現(xiàn)數(shù)據(jù)包的完整抓取、解析可有效避免行為檢測的漏檢、錯檢。本文采用高效的多線程數(shù)據(jù)包處理方式實現(xiàn)數(shù)據(jù)包處理，處理流程見圖2。

數(shù)據(jù)包處理過程為了提高運行速度，防止丟包現(xiàn)象，提高數(shù)據(jù)分析效率，主要創(chuàng)建三個線程分別執(zhí)行任務：

第4篇：網(wǎng)絡行為審計范文

[關鍵詞]學校；網(wǎng)絡安全；審計

doi：10.3969/j.issn.1673 - 0194.2016.04.041

[中圖分類號]F239.1；TP393.18 [文獻標識碼]A [文章編號]1673-0194（2016）04-00-02

隨著我國互聯(lián)網(wǎng)技術的快速發(fā)展，基礎的網(wǎng)絡設施得到進一步完善，互聯(lián)網(wǎng)在各企事業(yè)單位中得到充分利用。近幾年，學校投入大量人力、物力、財力進行信息化建設，利用網(wǎng)絡來管理校園工作、信息，提高了學校的工作效率。在信息系統(tǒng)快速發(fā)展的同時，網(wǎng)絡管理的安全問題日益突出。因為學校的工作人員除了利用網(wǎng)絡辦公外，還有利用網(wǎng)絡購物等一些與辦公無關的行為，這之間可能有意無意地泄露了學校的機密，學校很難追查是誰泄密的。因此，如果對網(wǎng)絡不進行監(jiān)管，網(wǎng)絡安全問題將成為學校的效率的殺手，并給學校帶來很多麻煩。

1 網(wǎng)絡審計功能特性概述

1.1 機器分組管理

網(wǎng)絡審計可以實現(xiàn)對局域網(wǎng)內(nèi)IP地址和機器名的搜索，并對搜索到的機器信息進行分組管理。自動分組功能可實現(xiàn)對指定IP段機器的自動分組，可生成多級樹形結構的組織架構，針對不同級別來進行分組管理。

1.2 上網(wǎng)人員控制

網(wǎng)絡審計支持12種認證和識別方式，包括郵箱認證、AD域認證、本地Web認證等，可以設定部分或全部機器須用賬號上網(wǎng)，通過對賬號的分組管理，可實現(xiàn)在同一機器上不同用戶具有不同的上網(wǎng)活動權限。

1.3 豐富的策略分配機制

網(wǎng)絡審計支持針對組織全局和部分的控制，支持對組織內(nèi)用戶賬號、IP、MAC、分組的策略分配根據(jù)上網(wǎng)人員的賬號或機器及上機范圍來對其網(wǎng)絡活動權限進行控制。

1.4 全系列娛樂應用封堵

網(wǎng)絡審計系統(tǒng)支持對魔獸世界、QQ游戲等近百個市場上主流的網(wǎng)絡游戲，大智慧、指南針等二十幾個財經(jīng)股票軟件，以及MSN、QQ等常用的即時通訊工具進行實時的封堵，保障組織人員的工作學習效率。

1.5 針對關鍵字的封堵控制

網(wǎng)絡審計支持針對內(nèi)容關鍵字的各種應用封堵，包括文件傳輸、遠程登陸、郵件收發(fā)、即時通訊等，支持針對用戶名的關鍵字模糊匹配，支持對文件傳輸?shù)奈募愋鸵约拔募?nèi)容關鍵字進行封堵控制，支持郵件內(nèi)容、標題、附件名、附件內(nèi)容以及發(fā)送、抄送、暗送的地址進行關鍵字封堵，保障組織內(nèi)部的敏感信息不外泄。

1.6 URL地址關鍵字過濾

根據(jù)上網(wǎng)請求，對URL中的關鍵字進行智能模糊匹配過濾，與關鍵字匹配的網(wǎng)址將被限制訪問。

1.7 流量封堵控制

網(wǎng)絡審計支持對用戶的日、周、月流量進行上網(wǎng)控制，支持對上行、下行流量進行分別統(tǒng)計控制，用戶在每日、周、月流量限額用完后將無法正常上網(wǎng)，控制組織內(nèi)用戶的外網(wǎng)訪問流量。

1.8 用戶自定義協(xié)議控制

對于系統(tǒng)未知的協(xié)議類型和網(wǎng)絡應用，用戶可根據(jù)自己的需要，添加相應的協(xié)議特征實現(xiàn)對自定義協(xié)議的審計和控制。

1.9 審計網(wǎng)絡行為

系統(tǒng)的網(wǎng)絡數(shù)據(jù)包通過捕獲來分析，不僅可以還原完整原始信息協(xié)議，還可以準確地記錄關鍵信息的網(wǎng)絡訪問。網(wǎng)絡審計系統(tǒng)支持幾乎所有的網(wǎng)絡行為的審計，能識別所有常用網(wǎng)絡協(xié)議的應用，支持對幾乎所有網(wǎng)絡搜索引擎關鍵字的審計，支持對網(wǎng)頁登錄、聊天工具登錄、網(wǎng)絡游戲登錄等應用登錄的賬號審計。

1.10 深度內(nèi)容審計

網(wǎng)絡審計系統(tǒng)可獲取郵件、論壇發(fā)帖、聊天記錄等所有內(nèi)容，支持所有Web郵件、SMTP/POP3郵件的內(nèi)容和附件審計，支持對熱點論壇、博客、微博的發(fā)帖、留言等的內(nèi)容及附件審計，支持對網(wǎng)頁聊天室、MSN、飛信等聊天工具的聊天內(nèi)容審計。

1.11 敏感信息告警

網(wǎng)絡審計系統(tǒng)可設置行為報警策略和內(nèi)容關鍵字審計策略，對觸發(fā)敏感信息的網(wǎng)絡行為進行行為告警處理，對觸發(fā)敏感內(nèi)容關鍵字的論壇發(fā)帖、網(wǎng)絡聊天、郵件收發(fā)等行為進行相應報警處理，支持郵箱和短信的報警方式。

1.12 報表統(tǒng)計與數(shù)據(jù)分析

網(wǎng)絡審計系統(tǒng)支持對用戶、行為、關鍵字、流量及趨勢等的數(shù)據(jù)統(tǒng)計，生成報表及數(shù)據(jù)分析和展示。通過數(shù)據(jù)的柱形統(tǒng)計圖清晰明了地展現(xiàn)出組織內(nèi)用戶的網(wǎng)絡行為情況，IT決策人員通過圖形情況了解用戶上網(wǎng)行為趨勢、了解組織帶寬利用分布，可以提出整改網(wǎng)絡帶寬方案作為參考之用。

2 網(wǎng)絡審計部署概述

網(wǎng)絡審計系統(tǒng)部署通過分布式部署和串接部署這兩種方式進行靈活的結合，如果在不同的網(wǎng)絡的環(huán)境，可以實現(xiàn)不同的管理模式以及不同的目的控制。下面簡單地介紹3種典型的部署方案及其示意圖。

2.1 單臺旁路銅纖鏡像

第一種部署方案是單臺旁路銅纖鏡像，用戶的交換機必須對端口鏡像進行支持，它們之間的連接必須以銅纜為介質(zhì)，這是它的適用環(huán)境。該方案主要用于簡單的學校和企業(yè)的二層和三層網(wǎng)絡，審計設備主要是從交換機的鏡像端口獲取數(shù)據(jù)，并且該方案旁路部署接入的是最有代表的方案。該方案對原有網(wǎng)絡的性能沒有影響，而且部署簡單、容易維護，如圖1所示。

圖1 單臺旁路銅纖鏡像

2.2 單臺旁路光纖鏡像

第二種部署方案是單臺旁路光纖鏡像，它適用的環(huán)境是用戶的交換機必須支持端口的鏡像，它們之間必須以光纖作為介質(zhì)來連接。該方案是審計設備使用光纖作為介質(zhì)來用于端口鏡像最典型的方案，它主要用在學校及企業(yè)的二層或三層網(wǎng)絡上，和第一種方案一樣都是通過鏡像端口來獲取數(shù)據(jù)，獲取的數(shù)據(jù)要使用相應的協(xié)議對它進行還原分析。該方案部署方便且簡單，維護也非常容易，對原來的網(wǎng)絡沒有影響，如圖2所示。

2.3 光纖網(wǎng)絡雙鏈路分光

第三種部署方案是光纖網(wǎng)絡雙鏈路分光，用戶使用的交換機不能用來做端口鏡像，必須具備2個或以上，并且獨立的物理網(wǎng)絡，還有就是在一個邏輯的網(wǎng)絡中，使用具有核心功能的兩臺交換機建立一個均衡或熱備的網(wǎng)絡，通過上面描述的條件才能使用該方案。該方案是在對千兆線路解決的情況下，交換機不能做端口鏡像的時候采用的分光的方案，該分光器采用雙向的鏈路對兩組分別進行分光，然后使用4個光口捕獲審計數(shù)據(jù)，并對獲得的數(shù)據(jù)進行還原及更深層次地分析。該方案使用一臺審計設備可以同時捕獲一個很冗余或兩個不通的網(wǎng)絡數(shù)據(jù)，此方案是光纖部署最典型的方案，如圖3所示。

圖2 單臺旁路光纖鏡像

圖3 光纖網(wǎng)絡雙鏈路分光

3 結 語

本文介紹了網(wǎng)絡審計系統(tǒng)的功能特性及其部署方式，網(wǎng)絡審計系統(tǒng)主要包括上網(wǎng)人的控制、全面的網(wǎng)絡行為審計、深度內(nèi)容審計、敏感信息告警等功能；部署方式主要介紹了單臺旁路銅纖鏡像、單臺旁路光纖鏡像及光纖網(wǎng)絡雙鏈路分光等三種部署方式。學校安裝審計系統(tǒng)和使用設計系統(tǒng)，能幫助管理人員對學校上網(wǎng)的人員進行審計、記錄及分析，使管理員有針對性地對網(wǎng)絡進行管理。

主要參考文獻

[1]郝占軍.網(wǎng)絡流量分析與預測模型研究[D].蘭州：西北師范大學，2011.

[2]凌波，柳景超，張志祥.基于Windows終端信息過濾的網(wǎng)絡訪問控制研究[J].計算機工程與設計，2011（1）.

[3]鄧小榕，陳龍，王國胤.安全審計數(shù)據(jù)的綜合審計分析方法[J].重慶郵電學院學報：自然科學版，2005（5）.

第5篇：網(wǎng)絡行為審計范文

關鍵詞：網(wǎng)絡；防火墻；黑客；互聯(lián)網(wǎng)

1 信息化現(xiàn)狀

針對企業(yè)網(wǎng)絡的整體構架，把安全產(chǎn)品集中放在安全策略區(qū)。安全產(chǎn)品有：千兆防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、桌面管理系統(tǒng)、CA身份認證系統(tǒng)。通過這些安全產(chǎn)品將企業(yè)局域網(wǎng)中的服務器群、交換機群、存儲設備保護起來，達到保護數(shù)據(jù)的目的。卷煙生產(chǎn)企業(yè)主要業(yè)務都是圍繞生產(chǎn)進行的，企業(yè)由二線管理部門及生產(chǎn)車間組成，生產(chǎn)車間包括動力車間、制絲車間、卷包車間和物流中心。企業(yè)內(nèi)部主要存在兩類網(wǎng)絡，生產(chǎn)網(wǎng)和辦公網(wǎng)，外部網(wǎng)網(wǎng)包括互聯(lián)網(wǎng)和煙草行業(yè)廣域網(wǎng)。業(yè)務系統(tǒng)方面，行業(yè)層面上初步形成了以財務業(yè)務一體化的ERP為核心，覆蓋生產(chǎn)、營銷、采購、物流、財務、人力資源、電子政務、行業(yè)監(jiān)管等各個條線的管理信息系統(tǒng)架構，工廠層面，已建成包括卷包數(shù)采、制絲中控、能源管控、片煙高架、原料、輔料、成品、五金配件等領域的較完善的生產(chǎn)、物流等底層系統(tǒng)。

2 辦公網(wǎng)、生產(chǎn)網(wǎng)分離及防護

按照《國家煙草專賣局辦公室關于卷煙工業(yè)企業(yè)信息化建設的指導意見》（以下簡稱“指導意見”）中“兩網(wǎng)分離、層次劃分”的要求，將網(wǎng)絡劃分為管理網(wǎng)和生產(chǎn)網(wǎng)兩部分。其中生產(chǎn)網(wǎng)又垂直劃分為生產(chǎn)執(zhí)行層、監(jiān)督控制層、設備控制層，具體如圖1所示。

同時依據(jù)《互聯(lián)安全規(guī)范》規(guī)定，管理網(wǎng)和生產(chǎn)網(wǎng)連接必須通過互聯(lián)接口完成?；ヂ?lián)接口部署于生產(chǎn)網(wǎng)與管理網(wǎng)之間，其安全功能包括身份鑒別、訪問控制、網(wǎng)絡互連控制、惡意行為防范、安全審計、支撐操作系統(tǒng)安全，安全模型如圖2所示。

3 網(wǎng)絡安全體系的探討

針對生產(chǎn)網(wǎng)和管理網(wǎng)的邊界，按照《互聯(lián)安全規(guī)范》規(guī)定，建議采取部署防火墻進行身份鑒別、訪問控制和網(wǎng)絡互連控制；在生產(chǎn)網(wǎng)和管理網(wǎng)間主要交換機旁路部署工業(yè)異常監(jiān)測引擎，進行惡意行為防范；在操作站、MES系統(tǒng)客戶端、辦公終端、HMI等部署操作站安全系統(tǒng)對主機的進程、軟件、流量、U盤的使用等進行監(jiān)控，防范主機非法訪問網(wǎng)絡其它節(jié)點。

3.1 身份鑒別、訪問控制及網(wǎng)絡互連控制

在生產(chǎn)網(wǎng)和管理網(wǎng)之間部署防火墻進行身份鑒別、訪問控制和網(wǎng)絡互連控制。（1）身份鑒別：生產(chǎn)網(wǎng)和管理網(wǎng)之間進行網(wǎng)絡連接時，基于IP地址和端口號、MAC地址或行業(yè)數(shù)字證書等對請求連接主機身份進行鑒別；生產(chǎn)網(wǎng)與管理網(wǎng)禁止同未通過身份鑒別的主機建立網(wǎng)絡連接。（2）訪問控制：互連接口進行訪問控制措施設置，具體措施結合訪問主客體具體功能確定；進行細粒度主、客體訪問控制，粒度細化到IP地址和端口號、MAC地址及應用協(xié)議；進行協(xié)議格式的鑒別與過濾，支持FTP、SOAP、OPC、HTTP、SSH、SFTP、數(shù)據(jù)庫通訊等常用協(xié)議。（3）網(wǎng)絡互連控制：只開啟必要的數(shù)據(jù)交換通道；支持對FTP、SOAP、OPC、HTTP、SSH、SFTP、數(shù)據(jù)庫通訊等常用協(xié)議的網(wǎng)絡互連控制；能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；在會話處于非活躍一定時間或會話結束后終止網(wǎng)絡連接。

3.2 惡意行為防范

在生產(chǎn)網(wǎng)和管理網(wǎng)間主要交換機旁路部署工業(yè)異常監(jiān)測引擎，進行惡意行為防范。（1）對生產(chǎn)網(wǎng)與管理網(wǎng)之間的數(shù)據(jù)通信行為進行實時數(shù)據(jù)包抓取和分析，對SQL注入、跨站腳本、惡意指令等異常行為進行監(jiān)測和實時告警。（2）進行流秩序監(jiān)控，包括流分析、流行為、流視圖、流追溯等，對已識別的異常行為進行及時阻斷。

3.3 支撐操作系統(tǒng)防護

在操作站、MES系統(tǒng)客戶端、辦公終端、HMI等部署操作站安全系統(tǒng)對主機的進程、軟件、流量、U盤的使用等進行監(jiān)控，防范主機非法訪問網(wǎng)絡其它節(jié)點。（1）操作站安全審計，包括文件操作審計與控制、打印審計與控制、網(wǎng)站訪問審計與控制、異常路由審計、FTP審計和終端、應用成尋使用審計、刻錄審計、Windows登錄審計等多種審計功能。（2）杜絕非法外聯(lián)，對操作站發(fā)生的任意一個網(wǎng)絡行為進行檢測和識別，并能夠攔截所有存在安全的威脅的網(wǎng)絡訪問。（3）移動存儲管理，對接入操作站的移動存儲設備進行認證、數(shù)據(jù)加密和共享受控管理，確保只有通過認證的移動存儲設備才能夠被授權用戶使用。（4）及時發(fā)現(xiàn)信息是否在操作站中違規(guī)存放和使用，避免信息違規(guī)存放和使用違規(guī)行為，帶來信息外泄。

3.4 利用網(wǎng)絡監(jiān)聽維護子網(wǎng)系統(tǒng)安全

對于網(wǎng)絡外部的入侵可以通過安裝防火墻來解決，但是對于網(wǎng)絡內(nèi)部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析自己的網(wǎng)絡運作狀態(tài)提供依據(jù)。設計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡內(nèi)計算機間相互聯(lián)系的情況，為系統(tǒng)中各個服務器的審計文件提供備份。

總之，網(wǎng)絡安全是一個系統(tǒng)的工程，不能僅僅依靠防火墻等單個的系統(tǒng)，而需要仔細考慮系統(tǒng)的安全需求，并將各種安全技術，如密碼技術等結合在一起，才能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。

參考文獻

第6篇：網(wǎng)絡行為審計范文

關鍵詞：信息安全；入侵檢測；控制策略；日志系統(tǒng)

隨著氣象業(yè)務的不斷發(fā)展，氣象設備的數(shù)量不斷增加，氣網(wǎng)絡面臨較大的運行壓力，同時由于業(yè)務需求，部分氣象系統(tǒng)連接到互聯(lián)網(wǎng)，通過無線網(wǎng)絡接入到運行網(wǎng)絡中，給運行業(yè)務帶來比較大的安全風險。近年來，網(wǎng)絡安全越來越受到重視，信息系統(tǒng)安全等級三級[1，2]更是對網(wǎng)絡結構安全[3-5]、安全審計、訪問控制[6-8]等方面提出了進一步的要求。在這種背景下，同時結合氣象網(wǎng)絡安全三級等保要求，制定合理的安全策略，使用NAT[9,10]技術，隱藏內(nèi)部真實地址，建立合法登錄用戶檔案，拒絕非法登錄，構建一個具有較強防護能力的防御系統(tǒng)。

1基于信息安全的網(wǎng)絡整體規(guī)劃

1.1防火墻設計

本次設計目標根據(jù)氣象業(yè)務需求，對不同安全等級的網(wǎng)絡進行隔離，在網(wǎng)絡層進行安全防護部署，設置不同安全區(qū)域，每個安全區(qū)域根據(jù)安全等級進行相應的防護設置，提高網(wǎng)絡安全性，設計具體目標如下：（1）對氣象數(shù)據(jù)庫系統(tǒng)進行分層隔離保護，數(shù)據(jù)庫服務器區(qū)域設置為安全級別較高的trust區(qū)域，其他數(shù)據(jù)流根據(jù)等級設置成dmz、untrust區(qū)域。外部終端獲取數(shù)據(jù)庫數(shù)據(jù)是通過防火墻映射地址進行訪問，防火墻安全策略中設置控制策略，禁止非法用戶訪問，網(wǎng)絡拓撲圖如圖1所示：防火墻安全區(qū)域設置，服務器設置區(qū)域為trust區(qū)域，內(nèi)網(wǎng)設置為dmz區(qū)域，互聯(lián)網(wǎng)網(wǎng)段為untrust區(qū)域，根據(jù)氣象網(wǎng)絡不同系統(tǒng)業(yè)務接口規(guī)劃安全區(qū)域，并設置各個區(qū)域間訪問控制策略。訪問控制設置，默認下防火墻所有區(qū)域間的安全策略動作設置為拒絕，僅允許通過策略設置放行的流量，其余均拒絕；根據(jù)業(yè)務運行變化，定期更新訪問控制策略，對控制策略進行調(diào)整優(yōu)化；配置防火墻訪問控制策略，實現(xiàn)流量控制。升級最新的防病毒模塊和入侵檢測模塊，檢測惡意代碼。安全審計模塊，連接審計系統(tǒng)，對訪問服務器的用戶行為進行安全審計和監(jiān)控；日志系統(tǒng)，連接日志系統(tǒng)，對訪問服務器的設備信息、用戶信息進行記錄，具體設計見表1：（2）配置思路及配置命令對防火墻USG6000進行配置，設置接口IP地址和安全區(qū)域，根據(jù)業(yè)務運行配置安全策略，放行可信用戶，禁止非法用戶。配置內(nèi)部服務器，映射服務器訪問地址。配置路由器接口地址和OSPF動態(tài)協(xié)議，配置核心交換機端口鏡像以進行流量審計，配置日志輸出功能，具體配置如下：

1.2日志系統(tǒng)配置

（1）LINUX系統(tǒng)和AIX系統(tǒng)系統(tǒng)對/etc/syslog.conf文件進行編輯，在文件后面添加：@172.25.40.250，則日志發(fā)送到172.25.40.250日志采集服務器，配置完成后需要重啟syslog服務才能生效：#servicesyslogrestart（2）交換機日志開啟#loggon#logg192.168.19.115#loggservice-interfacef0/21（3）開啟端口鏡像#monitorsession1sourceintf0/1-5#monitorsession1destintf0/9（4）規(guī)則配置：通過Web方式登錄日志系統(tǒng)的配置界面，使用系統(tǒng)賬號admin完成相關配置，具體如下：導入許可配置：在系統(tǒng)維護界面點擊導入許可，完成配置；開放端口，用于接收syslog日志和告警信息，添加開放的端口：514,162,443；添加設備：在資產(chǎn)對象組中添加設備，填寫設備的名稱、管理IP地址和子網(wǎng)掩碼；時間統(tǒng)計：點擊事件統(tǒng)計按鈕，對網(wǎng)絡中的安全事件進行設置，屬性設置為嚴重、重要、一般、輕微、信息、總數(shù)。

1.3數(shù)據(jù)庫審計配置

（1）基本配置，使用系統(tǒng)用戶sysadmin進行基本配置。管理口配置：設置IP地址、子網(wǎng)掩碼、網(wǎng)關等，配置完成后測試ip是否可用，網(wǎng)關是否連通。部署方式配置：配置默認旁路鏡像，確定部署方式，點擊下方保存按鈕。旁路鏡像用于端口鏡像，agent引流用于云上審計環(huán)境或者沒有做端口鏡像。（2）功能配置，使用系統(tǒng)賬號sysadmin進行配置，配置審計對象：設置數(shù)據(jù)庫服務器IP、詳細版本及端口號，配置對應審計對象。策略管理：默認按規(guī)則審計，界面中依次點擊：策略管理，審計策略，默認策略。全部審計表示所有訪問數(shù)據(jù)庫服務器的數(shù)據(jù)均審計入庫，在前臺可以查看所有操作的審計記錄。按規(guī)則審計：只審計匹配規(guī)則的訪問數(shù)據(jù)庫服務器信息，未匹配規(guī)則的數(shù)據(jù)不審計入庫，前臺查詢記錄中只有匹配規(guī)則的數(shù)據(jù)。（3）規(guī)則設置，使用secadmin帳號設置規(guī)則，制定風險的級別、何種操作類型以及針對的對象如操作系統(tǒng)主機名、子對象、客戶端地址集、客戶端進程集、關鍵字等。針對數(shù)據(jù)庫的操作：選擇操作命令，如查詢、插入、刪除、更新等，在審計結果中出現(xiàn)對應的操作時，出現(xiàn)告警信息。風險級別：設置訪問行為高風險、中風險、低風險、關注行為、一般行為、不審計。

2網(wǎng)絡配置與驗證

2.1trunk技術

trunk技術用于在交換機之間互連，使不同VLAN通過共享鏈路與其它交換機中的相同VLAN通信。交換機之間互連的端口就稱為trunk端口，trunk是基于OSI第二層數(shù)據(jù)鏈路層（DataLinkLayer)的技術。將互連的交換機兩個端口mode設置為trunk模式，實現(xiàn)交換機上所有VLAN共享這條線路，不同交換機相同vlan相互通信，配置命令：[LSW]group-membere0/0/1toe0/0/4[LSW]portlinktrunk[LSW]porttrunkallowvlanall

2.2單臂路由技術

默認情況下，不同網(wǎng)段之間是不能相互通信的。但是在實際中，不同網(wǎng)段之間又要相互通信，這種情況下可以使用單臂路由技術，單臂路由（router-on-a-stick）是指在路由器的一個接口上通過配置子接口（或“邏輯接口”，并不存在真正物理接口）的方式，實現(xiàn)原來相互隔離的不同VLAN（虛擬局域網(wǎng)）之間的互聯(lián)互通，配置命令：[R1-G0/0/0.10]ipaddr172.25.32.25424[R1-G0/0/0.10]dot1qterminationvid10[R1-G0/0/0.10]arpbroadcastenable

2.3訪問控制和NAT映射技術

訪問控制是網(wǎng)絡安全防范和保護的主要策略，保證網(wǎng)絡資源不被非法使用和訪問，它是保證網(wǎng)絡安全重要的核心策略之一。NAT（NetAddressTranslation），它是負責網(wǎng)絡地址轉換的一個協(xié)議，負責把私網(wǎng)內(nèi)的的IP和端口轉換成公網(wǎng)的IP和端口，即IP地址映射,外部網(wǎng)絡通過映射的IP地址訪問內(nèi)部服務器，起到保護內(nèi)部設備的作用，配置命令：[USG]natserverprotocoltcpglobal192.5.202.2501521inside172.25.32.11521[USG]source-zoneuntrust[USG]destination-zonetrust[USG]actionpermit其他網(wǎng)段設備通過NAT映射地址訪問氣象數(shù)據(jù)庫系統(tǒng)，如綜合顯示系統(tǒng)終端若訪問氣象數(shù)據(jù)庫服務器，在華為USG6000防火墻中進行地址映射和訪問控制，對服務器進行保護，通過映射地址192.5.202.250訪問氣象數(shù)據(jù)庫系統(tǒng)服務器允許的sql檢索服務。

3結束語

第7篇：網(wǎng)絡行為審計范文

【關鍵詞】 云計算 網(wǎng)絡安全 威脅 防御措施

隨著網(wǎng)絡技術的不斷深入發(fā)展，其應用領域不斷擴大，在各行各業(yè)都發(fā)揮了巨大的作用。不論是電子商務、金融通信還是電子政務等工作，都會產(chǎn)生大量數(shù)據(jù)，為了應對這些數(shù)據(jù)，提高信息化服務能力，云計算技術就應運而生。當前時期正處于云計算時代的興盛時期，如何應對網(wǎng)絡安全問題，提高網(wǎng)絡的安全性成為人們必須思考的問題。

一、云計算時代網(wǎng)絡安全現(xiàn)狀分析

1、云計算的信任問題。一般來說，云計算服務中的數(shù)據(jù)與軟件應用管理和維護主要依托于外包機構，采用這種形式后云計算服務商將不能對外包機構進行調(diào)查與控制，這在一定程度上導致云計算的信任問題。這種信任問題主要出現(xiàn)在云計算的部署和構架上。從傳統(tǒng)云計算的部署與構架來說，主要采用強制措施_保云數(shù)據(jù)的安全，這種依托于相關安全法則的方法信任度較高。但是對于現(xiàn)階段的云計算來說，誰控制了計算機基礎設施，誰就有話語權。對于公有云來說，只有盡可能降低基礎設施持有者的權限，才能有效降低風險系數(shù)；而私有云因為計算機基礎設施主要存在于私有者手中，所以難免存在額外的風險。

2、云計算時代網(wǎng)絡攻擊形式多樣化。在傳統(tǒng)的互聯(lián)網(wǎng)時代，網(wǎng)絡攻擊的主要形式無非黑客、木馬以及病毒三種，但是在云計算時代，伴隨著信息技術的進步，互聯(lián)網(wǎng)與光纖的逐步升級，服務形式多樣化導致網(wǎng)絡攻擊的形式也呈現(xiàn)出多樣化的局面。當前時期，用戶終端登錄的方式變得多種多樣，不論在電腦端還是移動端，都給網(wǎng)絡病毒的傳播提供了更加寬廣與多樣的渠道，其所造成的影響也日趨嚴重。

3、云計算時代的網(wǎng)絡安全威脅智能化。隨著分布式移動網(wǎng)絡、云計算技術以及移動終端設備的不斷深入發(fā)展，潛伏于網(wǎng)絡中的木馬、黑客和病毒等威脅、攻擊性進一步提高。隨著技術的提升，現(xiàn)階段的網(wǎng)絡威脅智能化的程度逐步加深，潛伏時間長、危害更深、破壞更加嚴重等，嚴重影響了網(wǎng)絡信息、數(shù)據(jù)等內(nèi)容的存儲與保護。

4、數(shù)據(jù)審計環(huán)境更加復雜。在云計算時代，數(shù)據(jù)審計所面臨的環(huán)境更加復雜，許多企業(yè)員工因為非專業(yè)出身，可能存在操作不當?shù)膯栴}，這就給網(wǎng)絡攻擊帶來了可能性。當前時期的數(shù)據(jù)審計所面臨的威脅也比較多，諸如網(wǎng)絡數(shù)據(jù)丟失、設備損壞、網(wǎng)絡日志篡改乃至拒絕服務等，給數(shù)據(jù)審計帶來不便。

二、云計算時代網(wǎng)絡安全防御措施探討

1、打造安全域。所謂安全域，就是以云計算中的各個實體為基礎建立起來的一個較為安全的信任關系，通過這個關系利用PKI與LDAP進行病毒防御。在這個安全域系統(tǒng)中，通常存在一個結構合法的框架，其作用就是確保系統(tǒng)與組織間存在的關系獲得授權與保證。安全域的存在可以有效避免病毒攻擊的威脅，域中的各個子云之間存在獨立性，在獲得允許后利用標準接口就可以實現(xiàn)聯(lián)合。

2、完善網(wǎng)絡安全預警機制。主要包括網(wǎng)絡行為預警以及網(wǎng)絡攻擊趨勢預警、網(wǎng)絡漏洞預警等形式，可以極大提高網(wǎng)絡數(shù)據(jù)抵御攻擊、威脅的系數(shù)。網(wǎng)絡行為預警可以明確、清晰地看到網(wǎng)絡數(shù)據(jù)流，便于查找出潛伏的網(wǎng)絡攻擊和危險行為，便于及時報警；網(wǎng)絡漏洞預警可以及時將網(wǎng)絡操作中不當行為篩選出來，便于進行系統(tǒng)的升級與修復?？偠灾?，網(wǎng)絡安全預警機制的建立與完善可以極大的提高云計算時代整個網(wǎng)絡系統(tǒng)的安全性，以更加主動的方式保障網(wǎng)絡安全。

3、強化網(wǎng)絡安全監(jiān)測與保護。網(wǎng)絡安全監(jiān)測是對病毒與風險進行主動防御的措施，主要技術有網(wǎng)絡實時監(jiān)控技術、掃描技術、木馬入侵檢測技術等。網(wǎng)絡安全保護措施主要有安裝殺毒軟件、安裝網(wǎng)絡防火墻以及建立虛擬專用網(wǎng)絡等方式。前者可以有效避免網(wǎng)絡漏洞的存在，并能及時對攻擊數(shù)據(jù)流進行分析，實現(xiàn)主動防御；后者可以有效減少網(wǎng)絡攻擊行為的發(fā)生，保障網(wǎng)絡數(shù)據(jù)的安全與機密。除此之外，像是網(wǎng)絡安全響應、網(wǎng)絡恢復等技術也是其中較為常見的技術。

4、通過數(shù)據(jù)挖掘技術強化數(shù)據(jù)審計。云計算時代下，要想強化安全審計，就可以引入數(shù)據(jù)挖掘技術，分析數(shù)據(jù)中可能存在的異常、非法行為乃至攻擊數(shù)據(jù)等。這樣一來就能夠提高數(shù)據(jù)審計的精細度與安全性，保障數(shù)據(jù)審計的順利進行。

結語：綜上所述，在云計算時代，網(wǎng)絡安全更容易受到攻擊與威脅，攻擊方式與手段也日趨多樣化與智能化。如果不加以重視，那么具有高集成性的云計算服務系統(tǒng)則將遭受重大破壞。為此，我們必須分析當前網(wǎng)絡安全所面臨的威脅，有針對性地找到解決措施，只有這樣才能保障網(wǎng)絡安全，推動云計算的進一步發(fā)展。

參 考 文 獻

[1] 杜蕓.當前云計算安全關鍵問題及防范措施探討[J].電子技術與軟件工程，2016（03）.

第8篇：網(wǎng)絡行為審計范文

摘要：從系統(tǒng)的、整體的、動態(tài)的角度，參照國家對主機審計產(chǎn)品的技術要求和對部分主機審計軟件的了解，結合實際的終端信息安全管理需求，從體系架構、安全策略管理、審計主機范圍、主機行為監(jiān)控、綜合審計及處理措施等方面提出主機審計系統(tǒng)的設計思想，達到對終端用戶的有效管理和控制。

關鍵詞：網(wǎng)絡；安全審計；主機審計；系統(tǒng)設計

1引言

隨著網(wǎng)絡與信息系統(tǒng)的廣泛使用，網(wǎng)絡與信息系統(tǒng)安全問題逐漸成為人們關注的焦點。

網(wǎng)與因特網(wǎng)之間一般采取了物理隔離的安全措施，在一定程度上保證了內(nèi)部網(wǎng)絡的安全性。然而，網(wǎng)絡安全管理人員仍然會對所管理網(wǎng)絡的安全狀況感到擔憂，因為整個網(wǎng)絡安全的薄弱環(huán)節(jié)往往出現(xiàn)在終端用戶。網(wǎng)絡安全存在著“木桶”效應，單個用戶計算機的安全性不足時刻威脅著整個網(wǎng)絡的安全[1]。如何加強對終端用戶計算機的安全管理成為一個急待解決的問題。

本文從系統(tǒng)的、整體的、動態(tài)的角度，參照國家對安全審計產(chǎn)品的技術要求和對部分主機審計軟件的了解，結合實際的信息安全管理需求，討論主機審計系統(tǒng)的設計，達到對終端用戶的有效管理和控制。

2安全審計概念。

計算機網(wǎng)絡信息系統(tǒng)中信息的機密性、完整性、可控性、可用性和不可否認性，簡稱“五性”，安全審計是這“五性”的重要保障之一[2]。

凡是對于網(wǎng)絡信息系統(tǒng)的薄弱環(huán)節(jié)進行測試、評估和分析，以找到極佳途徑在最大限度保障安全的基礎上使得業(yè)務正常運行的一切行為和手段，都可以叫做安全審計[3]。

傳統(tǒng)的安全審計多為“日志記錄”，注重事后的審計，強調(diào)審計的威懾作用和安全事件的可核查性。隨著國家信息安全政策的改變，美國首先在信息保障技術框架（IATF）中提出在信息基礎設置中進行所謂“深層防御策略（Defense2in2DepthStrategy）”，對安全審計系統(tǒng)提出了參與主動保護和主動響應的要求[4]。這就是現(xiàn)代網(wǎng)絡安全審計的雛形，突破了以往“日志記錄”

等淺層次的安全審計概念，是全方位、分布式、多層次的強審計概念，符合信息保障技術框架提出的保護、檢測、反應和恢復（PDRR）動態(tài)過程的要求，在提高審計廣度和深度的基礎上，做到對信息的主動保護和主動響應。

3主機審計系統(tǒng)設計。

安全審計從技術上分為網(wǎng)絡審計、數(shù)據(jù)庫審計、主機審計、應用審計和綜合審計。主機審計就是獲取、記錄被審計主機的狀態(tài)信息和敏感操作，并從已有的主機系統(tǒng)審計記錄中提取信息，依據(jù)審計規(guī)則分析判斷是否有違規(guī)行為。

一般網(wǎng)絡系統(tǒng)的主機審計多采用傳統(tǒng)的審計，系統(tǒng)的主機審計應采用現(xiàn)代綜合審計，做到對信息的主動保護和主動響應。因此，網(wǎng)絡的主機審計在設計時就應該全方位進行考慮。

3.1體系架構。

主機審計系統(tǒng)由控制中心、受控端、管理端等三部分組成。管理端和控制中心間為B/S架構，管理端通過瀏覽器訪問控制中心。對于管理端，其操作系統(tǒng)應不限于Windows,瀏覽器也不是只有IE。管理端地位重要，應有一定保護措施，同時管理端和控制中心的通訊應有安全保障，可考慮隔離措施和SHTTP協(xié)議。

主機審計能夠分不同的角色來使用，至少劃分安全策略管理員、審計管理員、系統(tǒng)管理員。

安全策略管理員按照制定的監(jiān)控審計策略進行實施；審計管理員負責定期審計收集的信息，根據(jù)策略判斷用戶行為（包括三個管理員的行為）是否違規(guī)，出審計報告；系統(tǒng)管理員負責分配安全策略管理員和審計管理員的權限。三員的任何操作系統(tǒng)有相應記錄，對系統(tǒng)的操作互相配合，同時互相監(jiān)督，既方便管理，又保證整個監(jiān)控體系和系統(tǒng)本身的安全?？刂浦行氖菍徲嬒到y(tǒng)的核心，所有信息都保存在控制中心。因此，控制中心的操作系統(tǒng)和數(shù)據(jù)庫最好是國內(nèi)自己研發(fā)的?？刂浦行牡拇鎯臻g到一定限額時報警，提醒管理員及時備份并刪除信息，保證審計系統(tǒng)能夠采集新的信息。

3.2安全策略管理。

不同的安全策略得到的審計信息不同。安全策略與管理策略緊密掛鉤，體現(xiàn)安全管理意志。在審計系統(tǒng)上實施安全策略前，應根據(jù)安全管理思想，結合審計系統(tǒng)能夠實現(xiàn)的技術途徑，制定詳細的安全策略，由安全員按照安全策略具體實施。如安全策略可以分部門、分小組制定并執(zhí)行。安全策略越完善，審計越徹底，越能反映主機的安全狀態(tài)。

主機審計的安全策略由控制中心統(tǒng)一管理，策略發(fā)放采取推拉結合的方式，即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。當安全策略發(fā)生更改時，控制中心可以及時將策略發(fā)給受控端。但是，當受控端安裝了防火墻時，推送方式將受阻，安全策略發(fā)送不到受控端。由受控端向控制中心定期拉策略，可以保證受控端和控制中心的通訊不會因為安裝個人防火墻或其他認證保護措施而中斷。聯(lián)網(wǎng)主機（服務器、聯(lián)網(wǎng)PC機）通過網(wǎng)絡接收控制中心的管理策略向控制中心傳遞審計信息。單機（桌面PC或筆記本）通過外置磁介質(zhì)（如U盤、移動硬盤）接收控制中心管理策略。審計信息存放在主機內(nèi)，由管理員定期通過外置磁介質(zhì)將審計信息傳遞給控制中心。所有通訊采用SSL加密方式傳輸，確保數(shù)據(jù)在傳輸過程中不會被篡改或欺騙。

為了防止受控端脫離控制中心管理，受控端程序應由安全員統(tǒng)一安裝在受控主機，并與受控主機的網(wǎng)卡地址、IP地址綁定。該程序做到不可隨意卸載，不能隨意關閉審計服務，且不影響受控端的運行性能。受控端一旦安裝受控程序，只有重裝操作系統(tǒng)或由安全員卸載，才能脫離控制中心的管理。聯(lián)網(wǎng)時自動將信息傳到控制中心，以保證審計服務不會被繞過。

3.3審計主機范圍。

信息系統(tǒng)中的主機有聯(lián)網(wǎng)主機、單機等。常用操作系統(tǒng)包括Windows98,Windows2000,WindowsXP,Linux,Unix等。主機審計系統(tǒng)的受控端支持裝有不同操作系統(tǒng)的聯(lián)網(wǎng)主機、單機等，實現(xiàn)使用同一軟件解決聯(lián)網(wǎng)機、單機、筆記本的審計問題。

根據(jù)國家有關規(guī)定，信息系統(tǒng)劃分為不同安全域。安全域可通過劃分虛擬網(wǎng)實現(xiàn)，也可通過設置安全隔離設備（如防火墻）實現(xiàn)。主機審計系統(tǒng)應考慮不同安全域中主機的管理和控制，即能夠對不同網(wǎng)段的受控端和安裝了防火墻的受控端進行控制并將信息收集到控制中心，以便統(tǒng)一進行審計。同時能給出簡單網(wǎng)絡拓撲，為管理人員提供方便。

3.4主機行為監(jiān)控。

一般計算機使用人員對計算機軟硬件尤其是信息安全知識了解不多，不清楚計算機的安全狀態(tài)。主機審計系統(tǒng)的受控端軟件應具有主機安全狀態(tài)自檢功能，主要用于檢查終端的安全策略執(zhí)行情況，包括補丁安裝、弱口令、軟件安裝、殺毒軟件安裝等，形成檢查報告，讓使用人員對本機的安全狀況有一個清楚的認識，從而有針對性地采取措施。自檢功能可由使用人員自行開啟或關閉。檢查報告上傳給控制中心。

主機審計系統(tǒng)對使用受控端主機人員的行為進行限制、監(jiān)控和記錄，包括對文檔的修改、拷貝、打印的監(jiān)控和記錄，撥號上網(wǎng)行為的監(jiān)控和記錄，各種外置接口的禁止或啟用（并口、串口、USB接口等）,對USB設備進行分類管理，如USB存儲設備（U盤，活動硬盤）、USB輸入設備（USB鍵盤、鼠標）、USB2KEY以及自定義設備。通過分類和靈活設置，增強實用性，對受控主機添加和刪除設備進行監(jiān)控和記錄，對未安裝受控端的主機接入網(wǎng)絡拒絕并報警，防止非法主機的接入。

主機審計系統(tǒng)對接入計算機的存儲介質(zhì)進行認證、控制和報警。做到經(jīng)過認證的合法介質(zhì)可以從主機拷貝信息；未通過認證的非法介質(zhì)只能將信息拷入主機內(nèi)，不能從主機拷出信息到介質(zhì)內(nèi)，否則產(chǎn)生報警信息，防止信息被有意或者無意從存儲設備（尤其是移動存儲設備）泄漏出去。在認證時，把介質(zhì)分類標識為非密、秘密、機密。當合法介質(zhì)從主機拷貝信息時，判斷信息密級（國家有關部門規(guī)定，信息必須有密級標識）,拒絕低密級介質(zhì)拷貝高密級信息。

在認證時，把移動介質(zhì)編號，編號與使用人員對應。移動介質(zhì)接入主機操作時記錄下移動介質(zhì)編號，以便審計時介質(zhì)與人對應。信息被拷貝時會自動加密存儲在移動介質(zhì)上，加密存儲在移動介質(zhì)上的信息也只能在裝有受控端的主機上讀寫，讀寫時自動解密。認證信息只有在移動介質(zhì)被格式化時才能清除，否則無法刪除。有防止系統(tǒng)自動讀取介質(zhì)內(nèi)文檔的功能，避免移動介質(zhì)接在計算機上（無論是合法還是非法計算機）被系統(tǒng)自動將所有文檔讀到計算機上。

3.5綜合審計及處理措施。

要達到綜合審計，主機審計系統(tǒng)需要通過標準接口對多種類型、多個品牌的安全產(chǎn)品進行管理，如主機IDS、主機防火墻、防病毒軟件等，將這些安全產(chǎn)品的日志、安全事件集中收集管理，實現(xiàn)日志的集中分析、審計與報告。同時，通過對安全事件的關聯(lián)分析，發(fā)現(xiàn)潛在的攻擊征兆和安全趨勢，確保任何安全事件、事故得到及時的響應和處理。把主機上一個個原本分離的網(wǎng)絡安全產(chǎn)品聯(lián)結成一個有機協(xié)作的整體，實現(xiàn)主機安全管理過程實時狀態(tài)監(jiān)測、動態(tài)策略調(diào)整、綜合安全審計、數(shù)據(jù)關聯(lián)處理以及恰當及時的威脅響應，從而有效提升用戶主機的可管理性和安全水平，為整體安全策略制定和實施提供可靠依據(jù)。

系統(tǒng)的安全隱患可以從審計報告反映出來，因此審計系統(tǒng)的審計報告是很重要的。審計報告應將收集到的所有信息綜合審計，按要求顯示并打印出來，能用圖形說明問題，能按標準格式（WORD、HTML、文本文件等）輸出。但是，審計信息數(shù)據(jù)多，直接將收集的信息分類整理形成的報告不能很好的說明問題，還應配合審計員的人工分析。這些信息可以由審計員定期從控制中心數(shù)據(jù)庫備份恢復。備份的數(shù)據(jù)自動加密，恢復時自動解密。審計信息也可以刪除，但是刪除操作只能由審計員發(fā)起，經(jīng)安全員確認后才執(zhí)行，以保證審計信息的安全性、完整性。

審計系統(tǒng)發(fā)現(xiàn)問題的修復措施一般有打補丁、停止服務、升級或更換程序、去除特洛伊等后門程序、修改配置和權限、專門的解決方案等。為了保證所有主機都能得到有效地處理，通過控制中心統(tǒng)一向受控端發(fā)送軟件升級包、軟件補丁。發(fā)送時針對不同版本操作系統(tǒng)，由受控端自行選擇是否自動執(zhí)行。因為有些軟件升級包、軟件補丁與應用程序有沖突，會影響終端用戶的工作。針對這種情況，只能采取專門的解決方案。

在復雜的網(wǎng)絡環(huán)境中，一個網(wǎng)往往由不同的操作系統(tǒng)、服務器，防火墻和入侵檢測等眾多的安全產(chǎn)品組成。網(wǎng)絡一旦遭受攻擊后，專業(yè)人員會把不同日志系統(tǒng)里的日志提取出來進行分析。不同系統(tǒng)的時間沒有經(jīng)過任何校準，會不必要地增加日志分析人員的工作量。系統(tǒng)應提供全網(wǎng)統(tǒng)一的時鐘服務，將控制中心設置為標準時間，受控端在接收管理的同時，與控制中心保持時間同步，實現(xiàn)審計系統(tǒng)的時間一致性，從而提供有效的入侵檢測和事后追查機制。

4結束語

系統(tǒng)的終端安全管理是一個非常重要的問題，也是一個復雜的問題，涉及到多方面的因素。本文從體系架構、安全策略管理、審計主機范圍、主機行為監(jiān)控、綜合審計及處理措施等方面提出主機審計系統(tǒng)的設計思想，旨在與廣大同行交流，共同推進主機審計系統(tǒng)的開發(fā)和研究，最終開發(fā)出一個全方位的符合系統(tǒng)終端安全管理需求的系統(tǒng)。

參考文獻：

[1]網(wǎng)絡安全監(jiān)控平臺技術白皮書。北京理工大學信息安全與對抗技術研究中心，2005.

第9篇：網(wǎng)絡行為審計范文

【關鍵詞】安全管理 財務結算 建設 網(wǎng)絡

【中圖分類號】TP311【文獻標識碼】A【文章編號】1672-5158（2013）02-0057-02

一、單位網(wǎng)絡信息安全現(xiàn)狀

經(jīng)過多年的信息化建設，財務結算中心已建成千兆互聯(lián)到終端桌面，所使用的主要財務軟件如下：

（1）中原油田財務結算系統(tǒng)（安裝該系統(tǒng)僅為查詢歷史財務數(shù)據(jù)）。

（2）中國石化資金集中管理信息系統(tǒng)。

（3）中國石化會計集中管理信息系統(tǒng)。

（4）中原油田關聯(lián)交易系統(tǒng)。

在網(wǎng)絡應用方面，與日常工作密切相關的財務應用系統(tǒng)相繼投入使用，網(wǎng)絡信息安全系統(tǒng)的建設卻相對薄弱。

1、網(wǎng)絡系統(tǒng)安全現(xiàn)狀

近幾年，隨著局域網(wǎng)規(guī)模的日益擴大，網(wǎng)絡結構及設備日趨復雜，網(wǎng)絡病毒、黑客攻擊、網(wǎng)絡欺騙、IP盜用、非法接入等現(xiàn)象，給中心網(wǎng)絡的管理、維護帶來了前所未有的挑戰(zhàn)。中心網(wǎng)絡、員工微機經(jīng)常受到油田局域網(wǎng)以及來自大網(wǎng)非法連接的攻擊，IP地址沖突時有發(fā)生。ARP攻擊導致網(wǎng)絡中斷、甚至癱瘓；病毒、蠕蟲、木馬、惡意代碼等則可能通過網(wǎng)絡傳遞進來，造成操作系統(tǒng)崩潰、財務數(shù)據(jù)丟失、泄漏。而各類財務軟件的日常應用，必然要進行各種外連和數(shù)據(jù)傳遞。如何進行安全地連接網(wǎng)絡、傳輸數(shù)據(jù)，日益成為中心亟待解決的問題。

2、網(wǎng)絡信息監(jiān)控狀況

對于互聯(lián)網(wǎng)出口的外發(fā)信息無法進行記錄和查詢，缺乏有效的信息審計和日志保存手段，從而不能有效貫徹和滿足油田以及國家關于企業(yè)網(wǎng)絡安全管理制度的落實。

來自網(wǎng)絡的安全威脅日益增多，很多威脅并不是以網(wǎng)絡入侵的形式進行的，這些威脅事件多數(shù)是來自于油田局域網(wǎng)內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功能并不能滿足對這些網(wǎng)絡安全事件的審計要求，網(wǎng)絡安全審計通常要求專門細致的協(xié)議分析技術，完整的跟蹤能力和數(shù)據(jù)查詢過程回放等功能實現(xiàn)。

3、上網(wǎng)行為管理能力

中心網(wǎng)絡資源能否合理使用，帶寬是否會被非工作需要的網(wǎng)絡應用占用，日常工作所需的網(wǎng)絡流量和穩(wěn)定性能否得到保障，當網(wǎng)絡出現(xiàn)擁堵，或者異常流量、異常攻擊爆發(fā)時，是否能及時分析、排查流量使用情況并幾時進行有效控制，這些狀況主要表現(xiàn)為：網(wǎng)絡用戶非工作范疇（用于娛樂）的網(wǎng)絡應用流量極大，如：各類多線程P2P軟件下載、大型網(wǎng)絡游戲、P2P類的音視頻、網(wǎng)絡電視等應用。

二、中心網(wǎng)絡信息安全建設目標

為了確保信息資產(chǎn)的價值不受侵犯，保證信息資產(chǎn)擁有者面臨最小的安全風險和獲取最大的安全利益，使包含物理環(huán)境、網(wǎng)絡通訊、操作系統(tǒng)、應用平臺和信息數(shù)據(jù)等各個層面在內(nèi)的整體網(wǎng)絡信息系統(tǒng)具有抵御各種安全威脅的能力，我們制訂了如下的安全目標：

1、保密性

確保各類財務數(shù)據(jù)不會泄漏給任何未經(jīng)授權的個人和實體，或供其使用。

2、可用性

確保財務信息系統(tǒng)正常運轉，并保證合法用戶對財務信息的使用不會被不正當?shù)鼐芙^。

3、完整性

防止財務信息被未經(jīng)授權的篡改，保證真實的信息從真實的信源無失真地到達真實的信宿。

4、真實性

應能對通訊實體所宣稱身份的真實性進行準確鑒別。

5、可控性

保證財務數(shù)據(jù)不被非法訪問及非授權訪問，并能夠控制使用資源的人或實體對資源的使用方式。

6、不可抵賴性

應建立有效的責任機制，防止實體否認其行為。

7、可審查性

應能記錄一個實體的全部行為，為出現(xiàn)的網(wǎng)絡安全問題提供有效的調(diào)查依據(jù)和手段。

8、可管理性

應提供統(tǒng)一有效的安全管理機制和管理規(guī)章制度，這是確保信息系統(tǒng)各項安全性能有效實現(xiàn)的根本保障，同時合理有效的安全管理可以在一定程度上彌補技術上無法實現(xiàn)的安全目標。

三、中心網(wǎng)絡信息安全建設方案

通過上述對中心網(wǎng)絡的現(xiàn)狀及安全需求分析，并結合油田網(wǎng)絡安全與信息安全的具體要求，我們建議實施部署網(wǎng)絡出口防火墻系統(tǒng)、網(wǎng)絡日志審計系統(tǒng)、網(wǎng)絡訪問內(nèi)容和行為審計系統(tǒng)。

1、網(wǎng)絡出口防火墻系統(tǒng)

防火墻是基于網(wǎng)絡處理器技術（NP）的硬件高速狀態(tài)防火墻，不僅支持豐富的協(xié)議狀態(tài)檢測及地址轉換功能，而且具備強大的攻擊防范能力，提供靜態(tài)和動態(tài)黑名單過濾等特性，可提供豐富的統(tǒng)計分析功能和日志。能有效實現(xiàn)過濾垃圾殘包、攔截惡意代碼，保護網(wǎng)絡數(shù)據(jù)和資源的安全。

將防火墻透明接入到原有網(wǎng)絡中的出口處，采用應用層透明的方式對用戶對外網(wǎng)的訪問進行應用層解析控制。在防火墻上劃分兩個區(qū)域：外網(wǎng)區(qū)域、內(nèi)網(wǎng)區(qū)域，防火墻可以橋接入到原有的用戶網(wǎng)絡中，或者接到核心交換機上。保證所有的數(shù)據(jù)流經(jīng)過防火墻以便完成應用層的過濾。

2、部署網(wǎng)絡訪問內(nèi)容和行為審計系統(tǒng)

安全審計系統(tǒng)是一個安全的網(wǎng)絡必須支持的功能特性，審計是記錄用戶使用計算機網(wǎng)絡系統(tǒng)所訪問的全部資源及訪問的過程，它是提高網(wǎng)絡安全的重要工具，對于確定是否有網(wǎng)絡攻擊的情況，確定問題和攻擊源很重要。而行為審計系統(tǒng)通過對網(wǎng)絡信息內(nèi)容的完全監(jiān)控和記錄，為網(wǎng)絡管理員或安全審計員提供對網(wǎng)絡信息泄密事件進行有效的監(jiān)控和取證；也可以完全掌握員工上網(wǎng)情況，比如是否在工作時間上網(wǎng)沖浪、網(wǎng)上聊天、是否訪問內(nèi)容不健康的網(wǎng)站、是否通過網(wǎng)絡泄漏了機密信息等等，對于不符合安全策略的網(wǎng)上行為進行記錄，并可對這些行為進行回放，進行跟蹤和審計。

3、部署網(wǎng)絡日志審計系統(tǒng)

日志審計系統(tǒng)為不同的網(wǎng)絡設備提供了統(tǒng)一的日志管理分析平臺，打破了企業(yè)中不同網(wǎng)絡設備之間存在的信息鴻溝。系統(tǒng)提供了強大監(jiān)控能力，實現(xiàn)了從網(wǎng)絡到設備直至應用系統(tǒng)的監(jiān)控。在對日志信息的集中、關聯(lián)分析的基礎上，有效地實現(xiàn)了全網(wǎng)的安全預警、入侵行為的實時發(fā)現(xiàn)、入侵事件動態(tài)響應，通過與其它安全設備的聯(lián)動來真正實現(xiàn)動態(tài)防御。

部署日志審計系統(tǒng)主要功能：1）海量的數(shù)據(jù)日志：系統(tǒng)全面支持安全設備 （如防火墻，IDS、AV）、網(wǎng)絡設備 （如Router、Switch）、應用系統(tǒng) （如WEB、Mail、Ftp、Database）、操作系統(tǒng) （如Windows、Linux、Unix） 等多種產(chǎn)品及系統(tǒng)的日志數(shù)據(jù)的采集和分析。2）安全狀況的全面解析：幫助管理員對網(wǎng)絡事件進行深度的挖掘分析，從不同角度進行網(wǎng)絡事件的可視化分析。

四、結束語

經(jīng)過多方論證，上述的網(wǎng)絡信息安全建設方案架構齊全，是合理的、先進并且可靠的。該安全系統(tǒng)能夠針對我單位出現(xiàn)的突發(fā)網(wǎng)絡問題，迅速地進行故障定位并實施故障處理。使網(wǎng)絡安全管理變被動為主動，能夠極大地提高網(wǎng)管人員的工作效率；同時通過及時監(jiān)控審計，大幅度減少系統(tǒng)網(wǎng)絡故障和安全隱患，從而使我單位的信息化建設邁上一個新的臺階。相信通過以上三套系統(tǒng)的部署，能夠極大地完善網(wǎng)絡安全體系，更好地為中心財務信息網(wǎng)絡系統(tǒng)保駕護航。