基于遗传算法的网络安全配置自动生成框架

合理配置网络安全设备以对信息系统实施必要的访问控制,是网络安全管理的一项重要任务。随着网络规模的不断扩大,各种用户权限之间会形成复杂的依赖关系,传统基于人工的方式配置网络访问控制策略,主要是依据业务系统的实际需求,按照最小权限的原则进行分配,这种分配方式忽略了权限之间的依赖关系,容易产生过授权的现象,从而为网络带来安全隐患。为解决该问题,提出了一个基于遗传算法的安全配置自动生成框架。首先,以网络规划信息和配置信息为基础,确定用户可能的权限,提取网络基础语义,构建相应的网络安全风险评估模型,实现不同安全配置的安全评估;然后,对网络中所有可能的安全配置进行合理编码,确定遗传算子和算法参数,生成初始种群;最后,通过遗传算法,自动选取较优个体来生成子代个体。该框架能够通过自动比较不同的安全配置下的网络安全风险,以及在可能的配置空间内自动搜索安全配置的最优解,来实现网络安全设备访问控制策略的自动生成。构造一个拥有20个设备、30个服务的模拟网络环境对该框架进行验证,在该模拟环境下,该框架能够在种群样本数目为150的条件下,不超过10次迭代即可找到较优的安全配置。实验结果充分表明,该框架能够根据网络的安全需求,自动生成合理的网络安全配置。     

Rigorous automated network security management

Achieving a security goal in a networked system requires the cooperation of a variety of devices, each device potentially requiring a different configuration. Many information security problems may be solved with appropriate models of these devices and their interactions, giving a systematic way to handle the complexity of real situations.We present an approach, rigorous automated network security management, that front-loads formal modeling and analysis before problem solving, thereby providing easy-to-run tools with rigorously justified results. With this approach, we model the network and a class of practically important security goals. The models derived suggest algorithms that, given system configuration information, determine the security goals satisfied by the system. The modeling provides rigorous justification for the algorithms, which may then be implemented as ordinary computer programs requiring no formal methods training to operate.We have applied this approach to several problems. In this paper we describe two: distributed packet filtering and the use of IP security (IPsec) gateways. We also describe how to piece together the two separate solutions to these problems, jointly enforcing packet filtering as well as IPsec authentication and confidentiality on a single network.     

电子政务终端安全重在整体防护

电子政务的计算机终端安全是电子政务信息安全的重要组成部分,需要引起高度重视。各级政府办公网络,计算机终端数量众多,终端安全管理难度很大,终端安全业已成为电子政务信息安全保障工作中的薄弱环节。本文就电子政务终端安全的重要性、必要性及安全管理的手段、方法、条例等方面进行了探讨。     

多级分布式网络安全管理系统的体系结构

对多级分布式的大型网络进行集中安全管理,可以有效提高网络的安全防御能力和安全管理效率,成为网络安全研究的一个迫切问题.提出了多级分布式网络安全管理系统(hierarchical and distributed network security management system,HDNSMS)的体系结构,并描述其体系结构,然后讨论多级分布式架构下的会话模型问题,最后简述其实现以及测试结果.     

Ecological interface design and computer network management: The effects of network size and fault frequency

This article describes an experiment investigating the impact of ecological interface design (EID) on human performance in computer network management. This work domain is more dynamic than those previously studied under EID because there is a constant potential for the addition and removal of devices, as well as changing configurations, making it important to study the generalizability of the framework. Two interfaces were created for the University of Toronto campus network consisting of 220 nodes: a P interface based on existing design practices which presented primarily physical information and a P+F interface based on EID which presented both physical and functional information identified by an abstraction hierarchy analysis. Participants used one of the two interfaces to detect and diagnose faults or disturbances in the simulated network in real-time. Network size and fault frequency were both manipulated as within-participants variables. The P+F interface led to faster detection times overall, as well as improved fault detection rate and more accurate fault diagnosis under higher fault loads. These results suggest that the EID framework may lead to more robust monitoring performance in computer network management compared to existing interfaces.     

基于Internet/Intranet的供应链企业信息系统安全框架研究

在节点企业安全评估的基础上，从主机与服务器、网络边界安全、网络传输安全以及安全管理等4个方面。构建了一个基于Internet/Intranet的供应链节点企业信息系统的安全框架，并进一步提出了节点企业的信息安全解决方案和企业边界安全的解决方案。     

开放可伸缩的信息安全管理测量评价体系

研究了信息安全管理的测量问题与评价问题.从运筹学的规划模型出发,给出了信息安全管理的运筹学模型;有机结合了测量、评价两个过程,提出了信息安全管理的集成测量评价模型,并给出其形式化的数学描述;构建基于方法集的开放、可伸缩的信息安全管理集成测量评价体系,探讨评价内容集、评价维度集、评价方法集、指标集、测量方法集等关键技术的实现.网络安全管理测量评价的应用实例表明,集成的测量评价体系是可行、有效的.开放可伸缩的信息安全管理集成测量评价体系的提出,有利于信息安全管理测量与评价的一体化、体系化、标准化、定量化,有利于组织构建更为完善的信息安全管理体系.     

网络安全管理平台研究

越来越多的企业网都直接或间接与互联网相连,给企业网带来不安全因素,其信息系统的安全性都需要得到充分的保护.要保证网络安全以及网络资源能够充分被利用,需要为其提供一个高效合理的网络管理平台来管理这些网络安全设备.     

基于关联的多层次网络安全结构设计

基于关联的网络安全综合监控是目前信息安全技术的一个重要发展方向。在关联基础上,提出了一种多层次网络安全系统（MLNSS）的架构及其实现方式。这种架构能够有效融合不同种类安全设备的信息,分析网络安全状态,对入侵做出正确判断和决策。实践证明该技术能够处理不同种类安全设备间的协作关系,降低入侵检测系统的误警,从而更加有效地提高网络整体防御性能。     

分布式业务网管中安全服务框架的设计与实现

在分布式架构的业务网络管理系统中,保证业务数据在分布式节点间高效、实时和安全传输是系统可靠运行的关键问题之一.针对分布式业务网管对安全服务的具体需求,在分析传统网络管理系统安全解决方案的基础上,综合运用了XML签名与XML加密等多种安全技术,设计并实现了一种安全服务框架.提出了该框架的体系架构,详细介绍了框架的层次结构、功能模块和处理流程,并对框架中的关键模块,给出了详细的解决方案和基于Java技术的实现示例.     

Application of security reference architecture to Big Data ecosystems in an industrial scenario

Big Data environments are typically very complex ecosystems; this means that implementing them is complicated. One possible technique with which to address this complexity is the use of abstraction. Reference architecture (RA) can be useful for an improved understanding of the main components of Big Data. Herein, we propose a security RA that includes the management of security concerns and provides the main elements of a Big Data ecosystem. Application of this architecture to real-world scenarios facilitates its refinement and improves its usefulness. In this article, we present a case study of a real-world Big Data ecosystem implemented in a banking environment. This ecosystem was developed by everis, an NTT company with which we collaborated for this study. To conduct this validation case study, a map was established between the elements of the Big Data ecosystem implemented and our proposal. Consequently, a series of valuable lessons that can improve both our architecture and the security of the Big Data environment were obtained. These include recommendations for a set of best practices such as the use of security patterns.     

基于风险管理提升网管系统安全维护水平的方法

网管系统是集中管理多个厂家、多种网元设备和网管设备的平台.网管系统具有告警监控、主动监控、局数据管理、性能报表、资源管理、客服支撑、批量投诉综合告警、报表统计的功能.而网管系统存在各种安全问题,外省曾出现利用网管系统漏洞泄漏客户敏感信息的安全事件,给企业带来声誉和财产的损失.如何对网管系统进行安全管理和安全维护已经迫在...     

类比治安系统的开放式网络安全管理

网络安全一直是人们研究的热点,但目前重在研究服务器如何对黑客的破坏和攻击严防死守,对整体网络的安全管理模式研究却不成熟.借鉴现实社会中治安管理的思路,建立信息网络安全管理框架是一个有意义的研究课题.本文首先对社会治安管理和网络安全管理进行了类比分析,建立了安全案件受理中心的三层管理框架;接下来就该框架中如何加强端系统安全等关键问题进行了深入讨论;最后给出了模型的模拟测试结果. [     

信息安全风险管理理论在IP网络中的应用

该文从信息安全管理的理念、方法学和相关技术入手,通过分析IP网络结构特征及其安全管理的内容,提出基于IP网络的安全管理及风险评估的主要实践步骤及其要点分析。     

How senior management and workplace norms influence information security attitudes and self-efficacy

Prior information security research establishes the need to investigate the informal factors that influence employee attitudes and self-efficacy beliefs about information security. Two informal workplace dynamics that are particularly important for how employees think about information security comprise senior management support and workplace norms. However, there are limitations to empirical research to date on these constructs, including conflicting evidence on the relationship between senior management support and information security attitudes and a lack of research on how norms impact self-efficacy beliefs. Also, although some studies suggest that norms might play a mediating role between information security attitudes, self-efficacy beliefs and their (informal and formal) antecedents, empirical research is yet to investigate these possibilities. Consequently, this study considers the relationships between senior management support, norms, formal controls and information security attitudes and self-efficacy beliefs. It comprises a cross-sectional survey of employees at a law enforcement organisation. Results indicate the central role that norms have on employee information security attitudes and self-efficacy beliefs including their direct and mediating role. In addition, the study highlights the important role that senior management support has on employees’ thinking about information security.     

浅析如何完善高校网络信息安全管理应急处理机制

随着高校信息化管理的逐步深化,对网络信息安全管理也越来越重视。然而,在网络信息安全管理的过程中,如何应对网络信息安全管理突发事件则是一件值得重视的事情,本文则着重研究如何完善高校信息安全管理应急处理机制。通过健全信息安全应急响应机构、建立健全信息安全突发事件应急预案以及科学处理信息安全突发事件等措施进一步完善高校信息安全应急处理机制,这将对高校信息安全管理工作起到关键性的作用。     

信息安全专业网络管理课程教学探讨

传统的网络管理教学内容在网络安全管理方面比较薄弱,不能满足信息安全专业的培养目标需求和当今网络管理实践中对安全管理的需求。本文从课程目标、教学内容、教学组织形式和方法及教学评价四个方面对信息安全专业网络管理课程进行了探讨,并提出了改进方法。     

基于知识发现的网络安全态势感知系统

由于网络安全告警数据的复杂性和多样性,使得难以精确地分析和评估网络安全态势。通过总结网络安全态势感知的最新研究进展和现存问题,提出了一种基于知识发现的网络安全态势建模与生成框架,在该框架的基础上设计并实现了网络安全态势感知系统Net-SSA。该系统主要由安全态势建模和安全态势生成两部分组成。安全态势建模就是基于D-S证据理论构建适应于度量网络安全态势的形式模型,用于支持态势传感器的安全事件融合和关联分析。安全态势生成就是通过知识发现方法,挖掘网络安全态势数据集中的频繁模式和序列模式,并且将其转化成安全态势的关联规则,从而支持网络安全态势图的自动生成。通过相应的实验过程和结果分析,表明该系统能够支持网络安全态势的准确建模和高效生成。     

基于联动机制的网络安全综合管理系统

通过网络安全管理联动机制可将同一系统中的多种网络安全设备有机地结合成为一体化的网络安全防护系统，从安全信息采集到响应措施生成和联动数据库更新，各功能模块在统一的安全策略下协调一致行动，从而使网络得到动态的、整体的安全防护。该文分析了网络安全管理联动原理，探讨了网络安全综合管理系统的设计思路。     

信息技术是计算机网络系统信息保密管理的关键

为了更好地加强计算机网络系统信息保密管理,通过对信息技术的重要性、作用和信息技术与信息保密管理关系的分析,并采用介质安全、备份与恢复、计算机病毒与恶意代码防护、身份鉴别、访问控制、安全审计、操作系统安全、数据库安全、边界安全防护等信息技术手段,有效地实现了计算机网络系统的信息安全保密管理,从而得出信息技术是计算机网络系统信息保密管理的关键。