安管平台避安全隐患

随着人们对网络安全认识程度的不断加深,一种观点已经成为共识:安全方案不应该是安全设备的简单堆砌,而应该在安全设备之间建立起有机联系。简单叠加而成的安全方案不仅带来高昂成本和安全隐患,而且安全设备之间的不兼容还会抵消这些设备应有的保护功能,带来安全隐患。     

基于SDN网络的安全设备路由研究

SDN（Software Defined Networking,软件定义网络）是一种新型的网络架构,是网络实现自动化部署灵活管理的一个重要方式。SDN技术将网络的数据平面和控制平面相分离,从而实现了网络流量的灵活控制。因此,基于SDN技术提出了一种基于SDN网络的安全设备路由模型,该模型结合改进的内嵌式安全设备最短路由算法和旁路式最短路由算法及神经网络最短路由算法,得到一种高效的安全设备路由策略,并且在此基础上构建了一个网络安全服务调度系统,能够在安全设备混合部署的复杂网络环境中,按用户需求提供个性化的安全服务;同时,通过计算较低网络成本的最短安全路径,提高了网络的路由效率和资源利用率。     

工业网络中的安全功能

和其他基于工业标准网络的安全协议一样，CIP（公共工业协议）安全加入新的服务，使数据以更高的完整性传送。和其他网络又有所不同，CIP安全给出了一种可伸缩、网络独立的方法，用于网络的设计，定义明确的应用层描述了各种安全服务。自从安全功能集成到每个设备一而不是在网络结构中——CIP安全允许标准设备和安全设备运行在同一个开放的网络上。这种能力使用户可以灵活地选择网络结构——有或者没有安全PLc——用于他们功能安全网络。这种方法也使来自多个厂商的安全设备能够通过标准的CIP网络实现无缝的通信，而不需要安装复杂的网关。     

安全域间信息资源访问的协议和方法

为了保护内部网络的安全，必须设置应用边界安全设备．Internet上不同的应用安全域间要实现信息资源的安全访问，首先需要认证．Kerberos是目前比较常用的认证协议，一般的应用边界安全设备（如SOcks5）中就应用了该认证协议，但应用该协议存在一定的缺陷：在应用边界安全设备链的认证过程中，资源域中的应用边界安全设备认证对象是主体域中的应用边界安全设备，而不是真正发起资源请求的客户端，因此资源域中的应用边界安全设备审计的对象是主体域中的应用边界安全设备，而不是真正的客户端．在Kerberos域间认证的基础上，给出了新的域间认证协议以及身份传递协议，使用新的协议不仅能够提供应用边界安全设备对用户访问请求的安全审计而且只需要两次域间的网络连接，这两次域间网络连接不需要主体和客体直接进行，而是通过应用边界安全设备完成的，提高了系统的通信效率，扩大了该系统的应用范围，适合于现有的企业网环境，能有效地解决企业网与企业网之间的信息安全传输．     

基于ATML的ATS资源建模与运行时服务研究

针对当前自动测试系统内部资源的描述缺乏规范化的定义问题,详细分析了ATML标准对各系统资源信息的规范化描述及资源间关系,并对资源进行标准化建模;以仪器信息为例分析了仪器的ATML标准化描述,设计可视化仪器建模工具,使仪器建模更加快捷灵活兼具规范化;在此基础上研究了自动测试系统运行时服务的功能：虚拟资源映射和路由通道选择,通过多属性匹配和广度优先搜索算法对运行时服务进行设计。仿真分析表明,此设计方案具有一定的实用性,能够准确地实现上述功能。     

基于软件定义安全的服务功能链设计

随着云计算的高速发展和广泛应用,云环境下安全防护成为亟待解决的问题.针对如何灵活、动态的调度虚拟化的安全设备问题,论文提出基于软件定义安全的服务功能链,根据用户需求构建安全服务功能链,调度安全资源池中的虚拟安全设备,实验证明本文方法的有效性.     

基于距离度量的故障特征处理算法

为了防范网络中存在的多种多样的安全威胁,由大量异构型安全设备所组成的统一管理平台得到了广泛的应用。然而如何有效地解决由这些安全设备集成所引发的各种冲突和故障,已成为网络管理的重点和难点。本文提出以距离度量算法为基础,对网络中采集到的各种原始样本参数进行数据预处理,以便为故障检测提供更加可靠、准确地输入参量。由于安全设备的故障特征具有很强的异构特性,所以首先对特征变量进行分类描述。将变量分为连续型、有序型、标称型、二分型四类15种。之后,对不同类型特征变量,提出改进IVDM算法来标称不同样本的距离。最后,通过实验及结果分析,显示IVDM算法较其它算法有更高的准确度和可靠性。     

IPsec策略的冲突检测与协调

IPsec为信息在没有安全保护的网络中传递提供安全机制.但由于各种安全设备的安全策略描述不同,IPsec并没有被广泛采用.在分析各种异构网络和不同类型的通讯实体对通信安全要求的基础上,给出其IPsec安全策略的统一描述格式,以能够使各种安全设备、网络协调工作.在此条件下,给出设备、网络间策略冲突的简洁,高效的检测算法.最后,提出了一种策略协调算法,此算法能够提高网络的通信效率,并能够消除某些策略的冲突.     

基于SDN/NFV的安全服务链自动编排部署框架

针对云计算等虚拟化环境的安全防护问题,提出了一种基于SDN/NFV技术思想的安全服务链自动编排部署框架.论文通过扩展ABAC策略模型以描述用户的安全需求,采用优先级解决策略冲突以编排虚拟安全设备,依据网络中虚拟安全设备实例负载与实时链路传输时延来调度网络流,最终由SDN控制器生成流表下发到网络中完成流量重定向,实现了根据安全需求自动构建安全服务链的过程.整个框架在基于开源控制器FloodLight和虚拟安全设备的实验环境中实现了自动编排部署,取得了预期效果.     

基于软件定义的安全功能服务链部署方法

为减少传统安全设备实现安全功能灵活性差、部署成本高等弊端,深入研究软件定义网络(SDN)、网络功能虚拟化(N F V)和基于软件定义的安全服务部署技术,建立安全服务链部署模型,提出一种启发式算法.从节点的安全功能需求、物理资源需求,以及节点之间的网络资源需求和传输时延等方面综合评估部署安全功能服务链的资源需求,优先部署资源需求较大的安全功能服务链,避免资源能力成为瓶颈.实验结果表明,该算法可有效提升部署成功率.     

面向移动云计算弹性应用的安全模型

根据云计算资源建立了资源受限设备弹性应用的安全模型。首先介绍了由一个或多个Weblet组成的一个弹性应用程序,每个Weblet可在移动设备端或云端启动,Weblet之间可根据所处的计算环境的动态变化或用户的配置进行迁移。分析了该模式的安全性,提出建立弹性应用程序的安全设计模型,包括实现Weblet运行所在的移动设备端和云端之间的身份验证、安全会话管理和通过外部网络的访问服务。该模型解决了Weblet之间的安全迁移和授权云Weblet通过外部Web网络去访问敏感用户数据的问题。该方案能应用在云计算场景,如在企业应用环境下的私有云和公有云之间的应用集成。     

虚拟化安全服务机制研究

虚拟化技术为数据中心带来更高的灵活性和安全性。这些安全性若能得到充分利用,虚拟机需要提供网络和存储等安全服务,而这些安全服务必须确保所用的密钥基于可信计算根。提出了一种安全的密钥传递和管理机制,为虚拟机提供安全服务,并描述了一个与虚拟化系统底层的绑定密钥管理体系结构。     

智能电视安全标准体系建设研究

人工智能技术的繁荣催生智能电视。智能电视是新一代信息技术的深度融合与创新集成。智能电视安全问题日趋复杂严峻,是研究人员的一个重要关注点。针对智能电视应用现状,围绕智能电视的利益相关、服务功能、设备三个方面,梳理了智能电视安全标准化需求。从技术和应用发展的角度,提出了包括基础通用、共性技术、辅助管理、检测认证、行业服务等多级可扩展智能电视安全标准体系。最后指出了我国智能电视安全标准化发展现状以及标准化重点工作方向。     

网络安全态势感知在网络安全监控中的作用

通过网络安全态势感知模型的典型模型的了解和介绍,在网络安全监控中可使用面向安全管理平台的态势感知模型。实现了对相应资源信息的采集以及事件的预处理等,建立了态势的安全管理平台的网络安全势态模式。同时引入了数据挖掘,作为对数据融合的补充,同时建立了基于模型的安全管理实例,实现了应有的效果。     

基于SOA的网格安全技术研究

随着网格技术的不断发展以及对网格研究的不断深入,对网格安全的需求不提高,面向服务的体系结构研究成果为分布式、可扩展性、可跨域管理以及软件的重用与集成提供了一个最佳的解决方案。本文将网格所涉及的安全需求做成服务的形式,设计了一个面向服务的网格安全体系结构,并以网格认证服务为实例,探讨了网格安全服务的设计与重用,它集成了多种常用的认证技术,实现网格安全服务的跨域互操作。     

Implementation of a Formal Security Policy Refinement Process in WBEM Architecture

Security mechanisms enforcement consists in configuring devices with the aim that they cooperate and guarantee the defined security goals. In the network context, this task is complex due to the number, the nature, and the interdependencies of the devices to consider. In previous papers, we have proposed a formal framework that focuses on network security information management refinement. The framework includes three abstraction levels: the network security objectives, the network security tactics, and the network security device configurations. The information models of each abstraction level (consistency, correctness and feasibility) are formally specified and analyzed. In this paper we present the integration of this formal refinement process in the WBEM initiative in order to provide a management infrastructure that guarantees the validity of the deployed security configurations.     

虚拟化数据中心的安全问题分析

随着互联网发展和云计算概念的提出,虚拟化普及的速度迅速提高。建设利用虚拟化技术提供服务的虚拟化数据中心也成为IT企业新的发展方向。虚拟化数据中心相对传统的数据中心在安全方面提出了新的挑战。本文就虚拟化数据中心在计算、网络、存储和管理等方面存在的安全问题进行了分析,提出了应对策略。     

面向能力的航天业务网信息系统安全需求分析方法

为有效识别航天业务网信息系统安全需求,指导信息系统安全建设,提出一种面向能力的安全需求分析方法.该方法以信息系统承担职能为起点分析获取能力目标集,给出安全需求推理机模型识别安全资源需求,使用重叠度指标确定安全资源优先级,生成信息系统安全需求列表.在航天业务网某区域中心进行实际应用与有效性评估,结果表明,相较于传统基于威胁的安全需求分析方法,该方法能够有效提高安全资源需求的科学性,实现信息系统安全投资高效费比.     

网络安全管理平台研究

越来越多的企业网都直接或间接与互联网相连,给企业网带来不安全因素,其信息系统的安全性都需要得到充分的保护.要保证网络安全以及网络资源能够充分被利用,需要为其提供一个高效合理的网络管理平台来管理这些网络安全设备.     

人力资源社会保障一体化数据中心研究与设计

近年来,随着人力资源社会保障事业的不断发展,数据中心日常管理维护的任务日益繁重,传统的数据中心存 在建设周期长、难以扩容、高能耗、管理效率低等弊端。为提高数据中心的安全性和运行效率,引入一体化数据中心设计思路, 将机柜系统、供配电系统、制冷系统、综合布线系统等各模块进行整体化有效融合,运用智能管理机制,实现集中管理和监控, 为数据中心安全、平稳运行提供有力保障。