网络安全技术知识

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇网络安全技术知识范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

网络安全技术知识范文第1篇

关键词 网络安全态势感知系统；关键；技术；研究

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）05-0064-02

随着计算机及网络技术的普及，网络安全问题越来越突出，尤其网络攻击行为往往给企业的正常运作带来严重影响，甚至影响社会的稳定。为此，加强网络安全态势研究，采取针对性措施不断提高网络安全水平具有重要的现实意义。鉴于此，国内众多专家对网络安全态势感知系统进行研究，并取得丰硕成果，为我国网络运行营造了良好的外部环境。

1 网络安全态势感知系统结构

1.1 系统框架介绍

网络安全态势感知系统以通信系统思想为基础，依据数据处理流程可分为采集、融合、分析、预测、展示共五个环节，可实现收集、预处理、分析、评估、预测等功能。这五个环节相互独立并对应网络安全感知系统相关流程。系统框架如图1所示。

图1 网络安全态势感知系统框架

其中采集环节的主要任务为采集、传输以及存储适时数据和传输网络安全状况信息等，包括漏洞信息、拓扑信息以及IT资产信息等；融合环节的功能在于将收集、存储的数据进行解析，将一些冗余信息除去，并融合多源数据。该环节包括数据归一化和事件预处理两项内容。所谓数据归一化指将采集的数据信息进行归一、标准化，同时扩展事件相关属性。而事件预处理指对采集来的重要数据进行归一化和标准化处理。分析则指借助专家系统与相关知识库，结合存储在服务器的事件与安全数据，对网络安全态势进行分析。预测指通过分析各种信息要素，借助相关理论方法归纳与判断网络未来安全形势。展示指将业务与态势评估结果输入到响应和预警模块，不但对接预警系统，而且以人工判读为基础介入到态势的响应操作。

1.2 态势评估流程

对网络安全态势进行评估一般按照下列流程进行：首先，从监测网络数据感知元件中获得网络数据信息，进行去噪处理后进行分析。并充分结合趋势知识库以及数据挖掘成果，评估网络安全具体趋势；其次，充分掌握不同环节情况，对网络安全态势分配特定的值，并利用贝叶斯网络技术对备选态势的可信度进行评价，得出最终结果。

从网络安全形势角度出发网络安全态势的评估主要由以下步骤组成。监测：通过监测数据感知组件对监测数据进行收集、整理以保证感知安全事件工作的顺利进行。觉察：以采集到的当前网络安全态势数据为基础，评估网络安全态势情况，以判定是否有安全事件发生，一旦发现异常，就报告安全事件情况；传播：依据获得的数据安全事件情况，对不同部分的趋势进行评估；理解：依据获得的安全形势，对态势数据进行更新，构建评估局势新的演化模型；反馈：收集数据感知组件的领先在线目的地，并对网络安全态势数据情况的更新值进行评估；分析：结合确定的网络安全态势类型判断更新的确认值是否对其进行支持。如支持确定网络安全态势类型，反之，使网络数据感知元件继续对网络安全态势数据进行监测；决策：对网络安全形势的数据模型和具体特点进行评估，并对演变趋势进行预测，从而寻找积极的措施，对管理员的决策进行正确引导。

1.3 数据决策方法

目前自适应数据决策算法有很多包括：子带滤波、最小均方差算法、递推最小二乘算法等，其中后两种方法比较典型，下面对其进行介绍。

1）最小均方误差算法。该方法运用瞬时值对梯度矢量进行估计，计算依据的公式为：

结合梯度矢量估计以及自适应滤波器滤波系数矢量变化等相关知识，可推算出递归最小二乘法算法调整滤波器系数公式：

公式中μ表示步长因子，其值越大算法的收敛速度越快，稳态误差就越大，反之，算法收敛就越慢，稳态误差就越小。为确保算法稳态收敛，一般μ的取值应落在以下范围内：

2）递归最小二乘法。递归最小二乘法依据的计算公式为：

公式中K（n）表示Kalman增益向量，λ∈（0，1）为加权因子。对该算法进行初始化时通常使P（-1）=1/δ1，H（-1）=0，其中δ为最小正整数。

对比两者的收敛速度可知，算法（1）优于算法（2），不过算法（1）实际操作比算法（2）复杂。为降低该方法计算复杂度且并使算法（1）的收敛性能得到保持，部分专家优化了算法（1）延伸出了快速横向滤波器算法、渐变格子算法等。算法（2）较为突出的优点为操作简单，不过其包括的可调参数只有一个。

2 网络安全态势感知系统关键技术

互联网节点数量庞大网络结构复杂，网络攻击行为也呈现复杂化、规模化以及分布化态势。根据采集的感知数据信息，对网络安全态势进行准确的评估，及时检测潜在的漏洞及可能发生的安全事件，并对整个网络状态的变化情况进行预测，是网络安全态势感知系统的重要工作。为实现上述目标需要一定的技术支撑。目前网络安全态势感知系统中应用的关键技术包括网络安全态势数据融合、网络安全态势计算以及网络安全态势预测技术。下面逐一对其进行详细的介绍。

1）网络安全态势数据融合技术。互联网中不同安全系统和设备具备的功能有所差异，对网络安全事件描述的数据格式也有所不同。这些安全系统和设备共同构建了一个多传感器环境，在该环境中系统与设备之间需要进行互联，因此必须要多传感器数据融合技术做支撑，为监控网络安全态势提供更多跟多有效的数据。当前，数据融合技术应用较为广泛，例如用于估计威胁、追踪和识别目标以及感知网络安全态势等。利用该技术进行基础数据的融合、压缩以及提炼等，为评估和预警网络安全态势提供重要参考依据。

数据融合包括数据级、功能级以及决策级三个级别间的融合。其中数据级融合可使细节数据精度进一步提高，不过需要处理大量数据，受计算机内存容量、处理速度等因素限制，需进行较高层次的融合。决策级融合需要处理的数据量较小，不过较为模糊和抽象，准确度较低。功能级融合则处于数据级和决策级融合之间。

2）网络安全态势计算技术。该技术指利用相关数学方法，将大量网络安全态势信息进行处理，最终整合至处于某范围内的数值。该数值会随网络资产价值改变、网络安全事件频率、网络性能等情况改变而变动。

利用网络安全态势计算技术得出的数值，可帮助管理对网络系统的安全状况进行评估，如该数据在允许的范围之内则表示网络安全态势是相对安全的，反之则不安全。该数值大小客观的反映出网络损毁和网络威胁程度，并能实时、快速和直观的显示网络系统安全状态。系统管理员采用图表显示或回顾历史数据便能对某时间段的网络安全情况进行监视和掌握。

3）网络安全态势预测技术。网络安全态势预测技术指通过分析历史资料以及网络安全态势数据，凭借之前实践经验以及理论内容整理、归纳和判断网络未来安全形势。众所周知，网络安全态势发展具有较大不确定性，而且预测性质、范围、时间以及对象不同应用的预测方法也不同。根据属性可将网络安全态势预测方法分为定性预测方法、时间序列分析法以及因果预测方法。其中网络安全态势定性预测方法指结合网络系统之前与当前安全态势数据情况，以直觉逻辑基础人为的对网络安全态势进行预测。时间序列分析方法指依据历史数据与时间的关系，对下一次的系统变量进行预测。由于该方法仅考虑时间变化的系统性能定量，因此，比较适合应用在依据简单统计数据随时间变化的对象上。因果预测方法指依据系统变量之间存在的因果关系，确定某些因素影响造成的结果，建立其与数学模型间的关系，根据可变因素的变化情况，对结果变量的趋势和方向进行预测。

3 总结

网络安全事件时有发生，往往给社会造成较大损失。因此，对网络安全态势进行准确的评估、感知具有重要意义。为此要求网络安全相关部门，认真研究网络安全态势感知系统结构，进而采用先进的技术手段不断优化。同时加强网络安全态势感知系统关键技术研究，以提高网络安全态势感知系统的准确性、稳定性，并根据网络运行情况在合适位置部署中心检测设备、防火墙等，及时发现并定位威胁网络安全行为，从而采取针对性措施防止攻击行为的进一步发展，为网络安全的可靠运行创造良好的外部环境。

参考文献

[1]单宇锋.网络安全态势感知系统的关键技术研究与实现[D].北京邮电大学，2012.

[2]孟锦.网络安全态势评估与预测关键技术研究[D].南京理工大学，2012.

[3]潘峰，孙鹏，张电.网络安全态势感知系统关键技术研究与实现[J].保密科学技术，2012（11）：52-56.

[4]冯川.网络安全态势感知系统关键技术分析[J].网络安全技术与应用，2013（09）：119-120.

[5]马东君.网络安全态势感知技术与系统[J].网络安全技术与应用，2013（11）：69，68.

网络安全技术知识范文第2篇

关键词：泛在无线网络；分布式态势感知；网络安全

中图分类号：tp311.52文献标识码：a文章编号：10053824（2013）04002504

0引言

信息通信技术（information and communication technology， ict）随着技术的进步和应用的拓展，将给人类社会的生产与生活带来一场深刻的变革。目前，通信网络作为信息通信技术的重要基础分支，已经从人到人（person to person，p2p）的通信发展到人与机器（或物体）间以及机器到机器间（m2m）的通信，并朝着无所不在（ubiquitous）的网络（即泛在网络）方向演进 [1]。无线通信技术在近几十年内呈现出异常繁荣的景象，也带来了多种类型无线通信网络的发展和共存，这些无线通信网络可以统一称为泛在无线网络。

1泛在无线网络概述

泛在化已经成为未来无线网络演进的主题特征。泛在无线网络扩展了无线通信系统的外延，也丰富了系统的内涵。因此，这种高速化、宽带化、异构化、泛在化的网络无论从内部结构，还是所处外部环境，都具有如下两大主要基本特点：

1）异构性。构成泛在无线网络的不是单一或同构的网络实体，而是由功能、结构和组织形态各异的各类无线网络融合而成。同时，由于实体所处的地理位置、对资源的使用权限、网络社会环境中的角色和关系、信息的获取能力等因素的差异性，使得各个网络实体所处的环境以及获取的环境信息具有非对称性。

2）复杂性。网络实体之间，以及网络与环境的联系广泛而紧密，且互相影响。网络具有多层次、多功能的结构，其在发展和运动过程中能够不断地学习，并对其层次结构与功能结构进行重组与完善。网络与环境有密切的联系，能与环境相互作用，并能不断向更好地适应环境的方向发展变化。

泛在无线网络的异构性和复杂性从本质上改变了网络系统的内外部安全要素及其相互作用机理，使得人类对其特征做出有价值描述的能力大为降低[2]。这就要求降低网络系统对人的依赖，通过智能、综合的威胁分析和全面、协作的安全管理，将各个安全功能融合成一个无缝的安全体系。在这方面，目前国内外学术界已经开展了相关研究。其中，基于网络态势感知（cyberspace situation awareness， csa）的网络安全机制研究作为异构、复杂网络的主流研究方法之一，得到了学术界广泛的关注与研究。所谓网络安全态势感知是指在一定的时空条件下，对影响网络安全的各种要素进行获取和理解，通过数据的整合处理与分析来判断网络安全性的现状，预测其未来的发展趋势，并最终形成匹配趋势的自主安全行为机制[3]。

2分布式态势感知

目前学术界关于网络安全态势感知的研究已经形成一些初步的成果，但这些研究方法主要针对有线网络，难以匹配泛在无线网络的特征，同时本身也具有较大的局限性。

这些局限性的具体表现之一为：集中式感知体系与无线泛在网络的异构性和复杂性不匹配。在目前的研究中，感知体系具有底层分布式和顶层集中式架构。即感知信息的获取与融合具有分布式特征，而在感知知识理解以及态势预测方面都采用集中式的决策方式。在这种体系下，必然有一个全网的中心控制实体，用于形成态势感知的顶层功能。泛在无线网络庞大的规模和异构性必然导致集中决策功能的计算、存储和协议传输开销过于复杂，难于实现，而且过于集中化也不能较好地体现安全要素和安全功能的局部化、本地化特征。

为了解决这一问题，本文提出了一种新型的态势感知理论。一般来说，大规模系统中的各个子系统拥有各自的态势感知信息，这些态势感知信息和其他主体的感知信息尽管是兼容的，但也可能是非常不同的。通常情况下，由于各个主体的目的不同，我们并不总是希望或者总是必须共享这些态势感知信息，于是可以把态势感知看作是一个动态的和协作的过程，这个过程能够把各个主体在同一个任务下每时每刻地联系在一起。基于这样一个观点，一种创新理论—

分布式态势感知（distributed situation awareness，dsa）应运而生[4]。

2.1分布式态势感知与集中式态势感知的比较

分布式态势感知是面向系统的，而非面向个体的。我们的目标是研究分布式态势感知的措施，使其能够在某些领域支持对系统行为的预测和对观测现象的解释。例如，说明可能出现的错误，或者比较组织间指挥与控制的不同。在过去的20年中，很多的研究者在不同层次之间的相互关系和结构与功能之间的相互作用等方面都有着突出的贡献。通过回顾当代团队合作的研究，paris等人发现在一般的系统理论中，大多数的理论、模式和分类都包含着这样一种3步走方法，即输入—处理—输出[5]，这似乎对预测模型的开发是一种有效的区分方法。事实上，系统理论方法应该能够提供一种适用于在不同分层描述预测信息的方法。

在分布式态势感知中，认知过程发生在整个系统中，而不是某个特定的分层。endsley于1995年提出了3层态势感知模型[6]，即态势获取、态势理解和态势预测，这些可以恰当地映射为输入—处理—输出这样一个3步走方法。我们可以把endsley的感知模型应用在表1所示的入侵检测系统（ids）中。在这个例子中，信息收集设备一般为放置在不同网段的传感器，或者是由不同主机的来收集信息。检测引擎检测收集到的信息，当检测到某一异常时，会产生一个告警并发送给控制台。控制台按照告警产生预先确定的响应措施，如重新配置路由器或防火墙等。 　这是一个简单的例子，因为它是线性的。在一定程度上，信息收集设备的输出是检测引擎的输入，检测引擎的输出又是控制台的输入。但是有两点说明对于本文研究的方法是非常重要的：第一点，构成分布式态势感知的认知信息是分布在整个系统的；第二点，是信息的隐式通信，而不是思维模型的详细交换。在表1的例子中，检测引擎通过一个告警来显示系统安全已经存在异常。因此，正如一些影响个体认知行为的重要的因素会涉及到信息的表征、转换和处理，即态势要素从获取到理解再到决策，同样的，整个系统层也要来面对和解决这些因素。

2.2分布式态势感知的特点

这些态势感知的基本理念分布在整个系统，引导我们提出一系列可以形成一个理论的基础原则。这些原则如下：

1）态势感知要素被人类或者非人类主体拥有。在表1中，技术设备和操作人员（控制台可能由人为控制）一样在某种程度进行了态势感知，如在这里是检测异常数据的存在。

2）在同一情景阶段下，不同的主体拥有不同的视角。就像在表1中，在态势要素获取、理解和预测阶段，信息收集设备、检测引擎和控制台拥有各自不同的视角和见解。

3）一个主体的态势感知是否与另外的一个重叠取决于他们各自的目的。尽管他们同属于一个入侵检测系统，信息收集设备的目的是收集可能存在异常的数据，检测引擎的目标是确定系统所处环境是否存在安全威胁，而控制台的目的在于为系统的安全做出适当的决策。基于endsley的态势感知模型，不同的主体代表态势感知的不同阶段，而他们自己并不是整个态势感知的缩影，如信息收集设备负责态势获取，检测引擎负责态势理解，控制台负责态势决策，这是分布式态势感知和传统态势感知模型很大的不同之处。

4）各个主体之间的通信可能通过非语言行为、习惯或者实践（这可能对非原生系统用户构成问题）来进行。例如，控制台通过检测引擎发送的一个告警信号，即了解到系统安全可能正受到威胁。

5）态势感知把松耦合系统联系在一起。通过对系统中异常数据的存在在不同阶段的感知和适当的响应，将信息收集设备、检测引擎和控制台三者联系在一起。

6）态势要素可以在各个主体间共享。例如，一个检测引擎可能不了解该系统中的安全威胁等级，但是它可以被信息收集设备、另一个检测引擎或控制台告知。

对于这类事件，我们可以依据klein提出的自然决策观点[7]进行考虑，也就是说，在某一领域的主体能够利用他们的经验和专长，使快速诊断和执行有效的行动在一个非常有限的时间框架内完成。类似的，smith和hancock两人提出，态势感知可以即时理解任务的相关信息，并能在压力之下做出适当的决策[8]。我们的理论是面向系统的，所以我们要对个体和共享态势感知采用不同的视角。我们认为分享态势感知的方法会把我们的注意力误导到任务并不十分重要的方面。在分布式团队工

作中，态势感知在短暂的时期可能是重叠的。分布式的态势感知需求和分享式的态势感知需求是不一样的。分享式的态势感知意味着分享的需求和目的是相同的，然而分布式态势感知意味着需求和目的是不同的，但是潜在兼容各自的需求和目的。因此，我们认为，对于一个系统中的特定任务，分布式态势感知可以定义为具有活性的认知。这与bell和lyon提出的观点相似，他们认为，态势感知可以定义为关于环境要素的认知[9]。从而，当把这一观点运用在分布式认知时，我们提出，态势需要充分利用适当的认知（被个体感知或者被设备获取等），这些认知信息与环境的状态和随着态势改变而发生的变化有关。对于本文提到的模型，认知的“所有权”首先是面向系统的，而不是个体的。这一观点可以进一步扩展到包括“态势感知元”的系统中，某个主体的认知信息包含于系统中，这样当其他的主体需要这些认知信息时，就可以知道去哪里找到。

2.3dsa理论的3个主要部分

分布式态势感知理论包括3个主要的部分：第一部分，获取操作过程中各个阶段和各个主体的认知信息，为完成这一任务我们使用关键决策理论；第二部分，从关键决策方法得到的结果中提取出认知对象，这里要用到内容分析方法；第三部分也是最后一部分，表述认知对象之间的关系，并识别它们是在哪些阶段被激活的。命题网络被用于此任务，包括利用“主题”、“关系”和“对象”网络结构的系统所需的知识来描述任何给定的情况。具体如下：

1）第一部分，获取各个部分的认知信息。

近年来，研究真实世界中的情况决策已经得到了极大的关注。虽然在检测方面做出了很多的工作，但还是要强调通过访问方法的使用来收集信息。klein提出的关键决策方法是一种针对关键事件的技术。按照klein的理论，关键决策方法是一种回顾性访问策略，应用一组认知探针来探测实际发生的非常规事件，需要专家判断和决策。在这种方法中，访问收益通过以下4个阶段：简洁和初始的事件回顾，确定特定事件的决策点，探测决策点和校验。

2）第二部分，提取认知对象。

为了把关键决策的分析表格转换成命题，我们采用内容分析的方法。在第一个部分，仅仅是从海量信息中分离出关键内容。例如，威胁的性质、情报可用性的程度和气候状况可以缩减为如下认知对象：“威胁”、“情报”和“天气”。通过检查以确保重复的最小化，然后用于构造命题网络。

为了解释这一系列的活动，我们确定一个认知对象的网络。我们定义认知对象作为世界上人们可以探测、分类和操作的实体。例如，认知对象可以包含自己和敌人领土的认知、空气和海洋的资产（和这些资产的有用度）、目标、重点、雷达带宽、计划和策略等。世界上所有的现象，都可用作潜在的认知对象。通过这种方式，我们把作战空间作为一个认知对象的网络，而不是一个技术网络。这不是否认技术网络的重要性，而是为了说明认知网络的正确使用可以确保整个系统有效地执行。

3）第三部分，表述认知对象与它们活动之间的关系。

命题网络就像语义网络，它们包含节点（包含文字）和节点之间的联系，但在两个方面有所不同。首先，这些词不一定是随机添加到网络的，而是涉及到定义的命题。一个命题是一个基本的声明，也就是说命题是最小的单元，其意义可以用来判断真伪。第二，词之间的链接被标记用来定义命题之间的关系。这些关系可能是关于主体和对象（从语法的角度）之间相对应的联系。基于以上的描述，我们认为可以引出像字典定义一样的概念。这些概念是基于基本命题的应用。 　命题的派生是从关键决策方法再到内容分析得出的。我们可以构建一个初始命题网络来展示与此相关时间的认知信息。这个命题网络由一系列的节点来表示与特定操作者相关联的对象，例如，信息的来源和主体等。通过这个网络，应该可以识别与此事件相关的需求信息和可能选项。

综上所述，通过分析分布式态势感知的理论特点，并且结合泛在无线网络存在的安全难题，我们可以得到如下结论：分布式态势感知技术可以很好地解决泛在无线网络的异构性和复杂性问题，同时能够较好地体现安全要素和安全功能的局部化和本地化特征。

3结语

泛在网是全球新兴战略性产业，是“感知中国”的基础设施，此项事业光荣而艰巨，任重而道远。而泛在无线网络作为其重要组成部分，其安全问题正

到越来越广泛的关注。本文的主要目的是介绍一个新型的态势感知理论，即分布式态势感知。希望利用分布式态势感知的理论特点来解决泛在无线网络的一些具体难题，如复杂性和异构性问题。

虽然网络安全态势感知的研究已经得到了国内外越来越多的关注，但仍处于研究的探索阶段。尤其是对于无线泛在网络而言，除了要解决本文提到的“集中式感知体系与无线泛在网络的异构性和复杂性不匹配”问题，还需要注意到以下3个方面的问题：

1）安全态势演化模型无法耦合网络中各实体行为的复杂、非线性关联作用机理；

2）精准且高效的态势感知过程必须受网络实体的存储和计算能力以及带宽约束，尤其是在分布式态势感知体系下，各网络实体完成协作式态势感知过程时引入高效的协议交互，以及分布式决策的收敛性和收敛速度都有待研究；

3）缺乏针对泛在无线网络应用场景的主动防御机制及其评价体系。

参考文献：

[1]苗杰，胡铮，田辉，等.泛在网络发展趋势与研究建议[j].通信技术与标准（泛在网专刊），2010（1）：49.

[2]akhtman j， hanzo l. heterogeneous networking： an enabling paradigm for ubiquitous wireless communications[j]. proceedings of the ieee，2010，98（2）：135138.

[3]龚正虎，卓莹.网络态势感知研究[j].软件学报，2010，21（7）：16051619.

[4]neville a，rebecca s，don h， et al. distributed situation awareness in dynamic systems： theoretical development and application of an ergonomics methodology[j]. ergonomics， 2006， 49（1213）：12881311.

[5]paris c r，salas e，cannon b j a. teamwork in multiperson systems： a review and analysis[j].ergonomics，2000，43（8）：10521075.

[6]endlsey m r. toward a theory of situation awareness in dynamic systems[j].human factors， 1995（37）：3264.

[7]klein g a. a recognitionprimed decision （rpd） model of rapid decision making[j]. decision making in actim： models and methods，1993，5（4）：138147.

[8]smith k， hancock p a. situation awareness is adaptive， externally directed consciousness[j].the journal of the human factors and ergonomics society，1995，37（1）：137148.

[9]bell h h， lyon d r. using observer ratings to assess situation awareness[c]//in： m.r. endsley （ed.） situation awareness analysis and measurement.mahwah，nj： lea，2000：129146.

网络安全技术知识范文第3篇

随着高校无线网络的逐步建设，覆盖范围以及使用人群的扩大，无线不再仅仅是一种简单的接入方式，其核心应该是可以随时随地使用任何设备，不论是自己的还是学校提供的设备接入校园网络。这必将带给学校网络“四多”的变化：

* 更多的设备需要连接到网络；

* 多种网络类型，包括有线、WiFi、VPN等；

* 多种设备类型；

* 多种操作系统。

上述变化不仅导致个人和网络之间的网络界限变得模糊，同时由于语音、视频、远程协作、多媒体文档或页面等应用在学校的日益丰富，加上移动接入的需求，要求网络资源的分布能够动态调整。但与之相比，网络安全问题却是学校网络管理者难题，网络管理者需要考虑如何能解决以下的问题：

* 能够掌控哪些用户、使用何种设备、在什么地方允许接入网络；

* 能够根据用户、设备、地方、环境等因素实现不同的授权，其中环境是指用设备上硬件、反病毒、操作系统等因素；

* 能够基于应用实现授权，例如，上课时间只允许PC访问校园网内部；

* 能够保持网络一致性，即整个网络各个部分实施的安全策略是一致的、集中的，而不是独自实施自己的安全策略，从而造成安全漏洞；

* 能够为丢失的数据采取措施。

这些问题的解决关键在于必须能够分辨到网络中的每一个元素，而做到这点的前提就是对设备和应用的识别。

二、 终端智能识别

学校在部署大规模的无线网络方案，在考虑安全问题的同时以下几个功能必不可少：

* 注册：自带设备的首次连接和自注册；

* 识别：自带设备的识别；

* 认证：能够针对不同用户、设备类型采用不同的认证方式；

* 授权：基于用户、设备类型、接入时间、接入地点、设备环境的授权；

* 监控：网络中所有自带设备的状态、接入时长等要素的实时监控。

其中，对自带设备的类型识别，是实施安全、可管理无线校园网的关键

目前，终端类型多种多样，包括便携式电脑、笔记本电脑、掌上电脑、智能手机、电子阅读器、IP电子相机等等，网络管理员可以有选择地允许其中部分类型甚至是一些品牌的设备进入学校网络。通过识别终端的设备类型，管理员可以为不同的设备推送不同的终端软件，设置不同的认证方式，或者在Web认证方式下推送适合某种终端类型的页面，也可以限制其访问网络中的敏感数据，或者限制的应用类型等等。

对终端类型的识别，目前主要通过MAC地址的OUI、DHCP的选项，Web访问请求中的User-agent字段等信息中提取特征字段来进行。一般采取专门的设备或软件系统，从而方便整个网络实施一致的识别措施，根据终端类型采取相应的安全策略，也允许管理员能够根据终端的不断发展，制定新的终端类型识别方法。H3C是通过iMC软件系统来进行终端智能识别的。图1是H3C iMC系统中已定义的智能终端识别模板。

三、 基于场景的策略授权

智能终端的发展催生了其上的应用层出不穷，我们势必要随时随地使用终端访问网络。管理员不仅需要能够控制用户所访问的目的网络，还需要进一步限制终端使用的场景。传统网络利用ACL五元组来实现对接入用户访问范围的授权。然而，要实现更加精细化的授权，ACL这种方式在一些情况下不能更为细致的区分各种场景。对于这种情况，必须精确管理用户的接入时间、地点、位置等多种元素，才能精细的管理，采取相应的策略。如图2，学校在大规模无线部署后常常有这样的疑问，如何以有限的资源（网络、带宽等）让学生能得到更好的体验，如何能平衡学生学习、娱乐的关系使之在特定的时间地点能更好的体验无线网络带来的便捷。例如学校要求学生在上课时间只允许使用自带的PC访问校内，而禁止手持终端访问无线网络以便学生能专注于学习、科研，更合理的使用无线网络。而下课时间则可以让学生使用任何终端（手机、PC等）访问校内和校外资源，尽情的体验无线带来的方便快捷。

四、结束语

网络安全技术知识范文第4篇

要想加强电力系统信息网络的安全性，就必须从两个方面进行安全构造，一是电力企业提高自身对网络安全的认识和防护措施，二是提高信息网络安全技术。

1.1电力企业对电力系统信息网络安全的认识和防护措施在信息化社会，网络信息在电力系统中发挥了重要的作用，有效的提高了生产效率和质量，在电网改革方面发挥了重要的作用。但是有效的控制电力信息网络安全是保证信息网络充分发挥优势的必要手段，首先应该在思想意识上有所提升，电力部门的领导者应该意识到信息网络安全的重要性，并且在企业内部建立信息网络安全防御小组，建立完善的安全防御体系，制定健全的规章管理制度，将各项安全防御制度落到实处，加强日常的监督管理。为保证信息网络设备免受外界物理因素的影响，对于设备的存放环境应该妥善布置，做好防雷、防潮、防辐射等各项措施，并且设置安全管理小组，加强对设备的日常维护，提高设备的运行性能。在信息网络的软件防护方面，要建立防火墙，并且针对不同功能的网络要分别设置密码保护，只有相应级别的人员才有权访问。对于信息网络日常运行过程中所获得的数据信息，要做好备份工作，防止因为突发事件而导致数据的丢失，对于储存的数据要做好存放工作。只有在全程进行安全防护，注重过程中的每一个细节，才能够保证电力信息网络的安全性。

1.2提高信息网络安全技术

1.2.1采取漏洞缺陷检查技术，对电力系统信息网络安全体系中的重要网络设备进行检查，并对其进行风险评估，让所有的设备在最佳的状况下运行。

1.2.2采取针对性的安全技术

（1）防火墙技术：防火墙作为网络与网络安全域之间的唯一出入口，可以按照电力企业所制定的政策，对网络中出入的信息进行严格的检查、控制，对于危险信息进行防御、攻击。电力企业可以根据事先制定的安全策略和自身的安全需求，在防火墙配置中设置相应的访问规则，让其自动地对网络信息数据进行检查，对于非授权的链接给予强力的防护。

（2）网络地址转换技术：使用网络地址转换技术可以限制访问的IP地址，让用户通过有限的IP地址对网络进行访问。电力企业也可以通过地址转换，将网络中合法的IP地址进行隐藏，提高网络的安全系数。

（3）防病毒系统：电力企业可以采用最新的防病毒产品对网络PC机、Internet网关和服务器进行保护。防病毒系统都带有管理功能，可以对文件进行更新、控制企业的反病毒安全机制，并对网络系统性能进行优化，对病毒进行预防和处理，提高网络的安全性。

1.2.3采取科学的软件配置

（1）数据加密技术：“加密”是指一种可以对网络传输数据的访问权进行限制的技术，还可以对原始数据进行加密使之成为密文的技术。防止恶意客户对机密数据文件进行查看、破坏，防止数据泄露。

（2）指纹认证技术：加强对用户身份的认证，是提高信息网络安全性的重要措施。电力企业可以在安装硬件防火墙的基础上，采取更先进的身份认定技术如指纹认证技术，提高电力系统信息网络的安全性。

（3）虚拟网技术：虚拟网（VPN）就是指建立在网络上的专用网络技术电力企业可以通过防火墙和VPN系统建立安全隧道，实现用户与信息服务之间的点对点的安全交流，而且该安全隧道是需要经过高度加密和认证的，可以保证数据的安全性。

2结束语

网络安全技术知识范文第5篇

一、网络安全人才队伍建设的重要性

（一）网络安全人才是保障经济安全的基础

由于信息网络技术的迅速普及， 经济发展与信息技术的发展息息相关， 在生产、分配、消费的每一个环节中都伴随着信息的获取、加工、传输、储存。世界各地的企业利用网络来发现新市场，开拓新产业，在全球范围内加速了商品和服务贸易，有力地促进了全球经济发展。我国各行各业对信息网络系统的依赖程度越来越高， 越来越多的公共服务、商业和经济活动基础设施与互联网相连，这种高度依赖性将使经济变得十分“脆弱”。一旦信息网络系统受到攻击， 不能正常运行或陷入瘫痪时， 就会使整个经济运行陷入危机。而且网络犯罪对各国经济安全造成的危害难以估量，规模庞大的全球黑客产业链和地下经济吞食着各国经济利益。保障经济安全需要加强安全管理，安全管理的关键是网络安全人才的培养和储备。

（二）我国网络空间安全形势非常严峻

根据国家互联网应急中心的数据，中国遭受境外网络攻击的情况日趋严重，主要体现在两个方面：一是网站被境外入侵篡改，二是网站被境外入侵并安插后门。2012年网站被植入后门等隐蔽性攻击事件呈增长态势，网站用户信息成为黑客窃取重点。2012年，国家互联网应急中心共监测发现我国境内52324个网站被植入后门，较2011年月均分别增长213.7%和93.1%。2013年前两个月，境外6747台木马或僵尸网络控制服务器控制了中国境内190万余台主机，境外5324台主机通过植入后门对中国境内11421个网站实施远程控制，我国网络银行和工业控制系统安全受到的威胁显著上升。发起网络攻击的既可能是国家，也可能是、网络犯罪集团、商业机构、个体网民等“非国家行为体”，网络安全威胁日益增加，需要大量的网络信息安全人才应对威胁。

（三）全球已经进入网络战争时代

网络空间正在成为军事战略的重要资源，伴随着世界军事网络的发展步伐，网络技术的军事运用呈现“井喷”之势，“网军”已经整装待命。2009年，网络安全公司麦克菲报告称，全球已经进入网络战争时代。在信息战的大背景下，数千年沿袭下来的“短兵相接”战争局面将不再重要，网络成为实现国家安全利益的重要利器，爆发网络空间冲突的可能性在加大。2010年底，名为“震网”的蠕虫病毒曾袭击了伊朗核设施的电脑网络，这被认为是美国开展网络战的重要实践。2012年伊朗遭受名为“火焰”的网络病毒袭击后，以色列国防部长巴拉克高调宣布将“网络战”作为攻击手段，以色列的证交所、银行也曾多次遭遇来自阿拉伯国家的网络袭击。各国政府迫切需要受过专门训练的人才，对抗网络军事入侵，并维护国家网络安全。

二、我国互联网安全人才队伍建设存在的问题和原因

（一）问题

1、精通信息安全理论和核心技术的尖端人才缺乏

目前，我国网民数量超过5亿，互联网应用规模达到世界第二位，已成为互联网大国。但整体上看，我国难以称得上是互联网强国，在互联网产业的硬件、软件、网络模式等方面均处于劣势，主流产品依赖国外进口，基础信息骨干网络70%—80%设备来自于思科，几乎所有超级核心节点、国际交换节点、国际汇聚节点和互联互通节点都由思科掌握。主流核心产品提供商中，外资企业或外资控制的企业占据主导地位，特别是第一代互联网（IPv4）的13台根服务器主要由美、日、英等国家管理，中国没有自己的根服务器，网络信息安全面临着严重威胁。我国主导信息安全问题较为困难，互联网信息安全防范能力，远低于欧美等发达国家。主流产品对国外公司的依赖源于我国自主研发能力弱，缺乏掌握核心技术的高端互联网产业人才。

2、互联网信息安全人才供需不平衡

国际数据公司的报告显示，到2013年，全球新增的IT工作职位将达到580万个，仅在亚太地区就将新增280万个岗位，其中安全方面的投入和人才需求占有较大的比例。2012年11月底，工信部中国电子信息产业发展研究院数据显示，我国共培养信息安全专业人才约4万多人，与各行业对信息安全人才的实际需求量之间存在50万人的差距。与全球对信息安全人才的需求相比，我国面临着巨大的缺口，网络安全人才需求更为紧迫。高等院校中优秀的信息安全师资力量缺乏，高校对于信息安全教学人才非常渴求，这些现状都反映社会需求与人才供给间还存在着巨大差距，人才问题已经成为当前制约信息安全产业发展的主要瓶颈。

3、信息安全人员综合素质有待提高

任何一种安全产品所能提供的服务都是有限的，也是不全面的，要有效发挥操作系统、应用软件和信息安全产品的安全功能，需要专业信息安全人员的参与，并发挥主要作用。但目前信息安全人员多数为其他岗位人员兼任，且非信息安全专业人才，通常是在进入岗位后根据职能要求，逐步熟悉、掌握信息安全技术知识，虽然具备了一定的信息安全技术与管理能力，但普遍存在安全知识零散、管理不成体系等先天性不足。在当今飞速发展的信息安全领域，非专职信息安全人员在忙于众多事务管理的同时，难以持续关注、跟踪最新的信息安全技术发展趋势和国家、行业的政策、规范、标准等最新要求及实施情况，缺乏知识储备和经验积累，造成缺乏懂技术、会管理和熟悉业务的信息安全人才。

（二）原因

1、信息安全学科人才培养体系还不完善

我国已把信息安全人才培养作为信息安全保障体系的重要支撑部分，尤其把培养高等级人才、扩大硕士博士教学放在重要方面。教育部共批准全国70所高校设置了80个信息安全类本科专业。但是信息安全专业起步较晚，培养体系跟别的学科和行业还有差距，人才培养计划、课程体系和教育体系还不完善，实验条件落后，专业课程内容稍显滞后，专业教师队伍知识结构需不断更新，信息安全人才缺少能力培养。急迫需要国家政策支持信息安全师资队伍、专业院系、学科体系、重点实验室建设。

2、网络信息安全人才认证培训不规范

我国对网络安全人才的培养主要是通过学历教育和认证培训两种方法，网络安全技术人才的培训和认证主要有IT行业的CISP认证、NCSE认证等，培养网络安全员和网络安全工程师。这对弥补基础网络安全人才不足，培养应用型人才较为实用，但IT行业培训和认证常缺乏必要的计算机理论基础和系统性知识，小批量、短期的培训往往形不成规模，仍无法填补网络安全人才的巨大缺口。

3、信息安全组织架构不健全

信息安全是在信息化进程中快速发展起来的，但在信息技术快速发展与信息安全知识快速更新的情况下，由于在政府部门、企事业单位中信息安全组织架构不健全，未能完成信息安全人才的培养与储备。造成当前信息安全人才与实际信息安全工作技能要求的脱节，以及部分领域信息安全人才的缺失，信息安全保障工作难以落地。

4、信息安全人才缺乏激励机制

信息安全保障工作的后台性使信息安全管理人员的工作绩效得不到完整的体现，在实际工作中甚至遇到其他业务管理人员的不理解或不配合，造成真正的人才反而评价不高。由于缺乏有效的激励机制与人才评价机制，挫伤了人才的积极性。

三、网络信息安全人才队伍建设政策建议

（一）制定网络空间安全人才规划

国家制定《互联网空间安全人才战略规划》，明确战略目标和战术目标，增强公众网络行为风险意识，扩大支持国家网络安全人才储备，开发和培养一支国际顶尖的网络安全工作队伍，建立一个安全的数字化中国；启动《国家网络空间安全教育计划》，期望通过国家的整体布局和行动，在信息安全常识普及、正规学历教育、职业化培训和认证三方面开展系统化、规范化的强化工作，来全面提高我国信息安全能力；制定《网络空间安全人才队伍框架》，统一规范网络空间安全人才专业范畴、职业路径，及其岗位能力和资格认证等。

（二）健全网络信息安全组织架构

网络信息安全涉及网络、主机、应用、数据等多方面，管理要素多、专业性强，组织开展信息安全保障工作需要建立一套完整的信息安全组织架构体系。在各级政府机关、企事业单位组织架构中应成立专职的信息安全主管部门，负责编制信息安全规划，指导信息安全建设，制定信息安全总体策略，监督检查信息安全管理与技术防护情况。各业务部门应配备兼职或专职信息安全员，负责本部门业务应用中的信息安全保障工作。同时还应根据不同岗位要求着力培养信息安全人才，特别是懂业务、经验丰富的高端技术与管理人才。

（三）构建网络安全治理体系

构建网络安全治理体系是确保各项规范、标准和制度落地的重要保障。网络安全治理体系包括安全管理体系和安全技术体系。安全管理体系明确各部门在网络安全规划、建设、运行维护和改进完善等阶段的工作任务、要求和责任。安全技术体系根据网络安全涉及的不同环节从网络、主机、数据、应用等方面实施相应的安全技术措施。针对不同岗位要求选择合适的人才，在确保合规性的基础上，根据需求，引入外部力量提供专业化的安全技术支撑，弥补现有人才数量与结构的不足。

（四）推动产学研相结合培养网络安全人才模式

以企业需求为导向，大力推动产学研相结合的培养模式。借助企业中的国家级和部级重点实验室、国家级科研项目等科研平台，使得优秀学生能够随时随地直接参与各类科研项目；让本科生和研究生进入实习实训基地，为培养动手能力很强的一流信息安全人才提供良好条件；将教学任务融入到科研工作之中，以科研项目的形式来建设信息安全本科教育专业实验室。在信息安全实践过程中培养技术人才，培养学生具有较强的综合业务素质、创新与实践能力、法律意识、奉献精神、社会适应能力，形成能够满足各方面需求的信息安全人才就业体系。

（五）形成完整网络安全人才培育体系

要建立并完善以高等学历教育为主，以中等职业教育、业余培训、职业培训和各种认证培训为辅的网络安全人才培养体系。加强信息安全学科的重要性是保障人才培养的第一步，应该把信息安全学科提升为一级学科。政府在认证培训方面加强立法，立法内容应该涉及到认证培训的教学体系和内容，培训时间和考试管理办法，还应该规定哪些岗位的人员必须持什么样的证书，以及接受培训人员的管理等。

（六）加大网络安全人才培养项目投入

1、推动各种网络安全人才计划

从2010年开始，教育部就启动了“卓越工程师教育培养计划”，旨在造就一大批创新能力强、适应经济社会发展需要的高质量各类型工程技术人才。应继续加大在这方面人才计划的投入力度和支持范围。

2、扩大奖学金资助范围

推动“信息安全保障奖学金计划”，选拔优秀网络安全人才纳入资助培养计划，资助信息安全专业的本科生与研究生，并在其毕业后安排至关键岗位工作。建立网络安全“生态系统”概念，人才从娃娃抓起，网络安全要进入中小学教学课程，积极向中小学拓展信息网络安全教育，提升中学生对于网络安全的认知，为选拔网络人才打下坚实基础。

3、营造网络竞争与对抗氛围

政府联合地方部门或企业，举办网络攻防竞赛与对抗演习，通过实战化竞争来甄选、培养、锻炼未来的网络安全精英。主要有4种方式：直接组织的网络公开赛，企业出资赞助的高校网络联赛，军方直接组织网络演习，推出网络快速追踪计划，甄选民间优秀网络人才，以签订商业合同的方式，让网络攻防技能出色的小企业和个人参与其短期项目，从而将民间网络黑客力量也纳入其网络人才队伍。

4、加大互联网安全基础研究投入

目前信息产业正处于技术变革的前沿，大数据时代即将到来，并可能带来新的经济繁荣周期。我国应该加大对信息产业的投入，特别是增加相关基础研究的投入，大力培养互联网信息安全人才，发展具有自主知识产权的软件与计算机硬件研发，创新机制支持新技术应用，为确保我国未来网络信息安全提供技术支撑。

（七）完善激励和培训制度，激发工作积极性