網(wǎng)絡(luò)安全審計(jì)精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全審計(jì)主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全審計(jì)范文

電子數(shù)據(jù)安全是建立在計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)上的一個(gè)子項(xiàng)安全系統(tǒng)，它既是計(jì)算機(jī)網(wǎng)絡(luò)安全概念的一部分，但又和計(jì)算機(jī)網(wǎng)絡(luò)安全緊密相連，從一定意義上講，計(jì)算機(jī)網(wǎng)絡(luò)安全其實(shí)質(zhì)即是電子數(shù)據(jù)安全。國(guó)際標(biāo)準(zhǔn)化組織(ISO)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的定義為：“計(jì)算機(jī)系統(tǒng)有保護(hù)計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞。”歐洲幾個(gè)國(guó)家共同提出的“信息技術(shù)安全評(píng)級(jí)準(zhǔn)則”，從保密性、完整性和可用性來(lái)衡量計(jì)算機(jī)安全。對(duì)電子數(shù)據(jù)安全的衡量也可借鑒這三個(gè)方面的內(nèi)容，保密性是指計(jì)算機(jī)系統(tǒng)能防止非法泄露電子數(shù)據(jù)；完整性是指計(jì)算機(jī)系統(tǒng)能防止非法修改和刪除電子數(shù)據(jù)；可用性是指計(jì)算機(jī)系統(tǒng)能防止非法獨(dú)占電子數(shù)據(jù)資源，當(dāng)用戶需要使用計(jì)算機(jī)資源時(shí)能有資源可用。

二、電子數(shù)據(jù)安全的性質(zhì)

電子數(shù)據(jù)安全包括了廣義安全和狹義安全。狹義安全僅僅是計(jì)算機(jī)系統(tǒng)對(duì)外部威脅的防范，而廣義的安全是計(jì)算機(jī)系統(tǒng)在保證電子數(shù)據(jù)不受破壞并在給定的時(shí)間和資源內(nèi)提供保證質(zhì)量和確定的服務(wù)。在電子數(shù)據(jù)運(yùn)行在電子商務(wù)等以計(jì)算機(jī)系統(tǒng)作為一個(gè)組織業(yè)務(wù)目標(biāo)實(shí)現(xiàn)的核心部分時(shí)，狹義安全固然重要，但需更多地考慮廣義的安全。在廣義安全中，安全問(wèn)題涉及到更多的方面，安全問(wèn)題的性質(zhì)更為復(fù)雜。

(一)電子數(shù)據(jù)安全的多元性

在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)環(huán)境中，風(fēng)險(xiǎn)點(diǎn)和威脅點(diǎn)不是單一的，而存在多元性。這些威脅點(diǎn)包括物理安全、邏輯安全和安全管理三個(gè)主要方面。物理安全涉及到關(guān)鍵設(shè)施、設(shè)備的安全和硬件資產(chǎn)存放地點(diǎn)的安全等內(nèi)容；邏輯安全涉及到訪問(wèn)控制和電子數(shù)據(jù)完整性等方面；安全管理包括人員安全管理政策、組織安全管理政策等內(nèi)容。電子數(shù)據(jù)安全出現(xiàn)問(wèn)題可能是其中一個(gè)方面出現(xiàn)了漏洞，也可能是其中兩個(gè)或是全部出現(xiàn)互相聯(lián)系的安全事故。

(二)電子數(shù)據(jù)安全的動(dòng)態(tài)性

由于信息技術(shù)在不斷地更新，電子數(shù)據(jù)安全問(wèn)題就具有動(dòng)態(tài)性。因?yàn)樵诮裉鞜o(wú)關(guān)緊要的地方，在明天就可能成為安全系統(tǒng)的隱患；相反，在今天出現(xiàn)問(wèn)題的地方，在將來(lái)就可能已經(jīng)解決。例如，線路劫持和竊聽(tīng)的可能性會(huì)隨著加密層協(xié)議和密鑰技術(shù)的廣泛應(yīng)用大大降低，而客戶機(jī)端由于B0這樣的黑客程序存在，同樣出現(xiàn)了安全需要。安全問(wèn)題的動(dòng)態(tài)性導(dǎo)致不可能存在一勞永逸的解決方案。

(三)電子數(shù)據(jù)安全的復(fù)雜性

安全的多元性使僅僅采用安全產(chǎn)品來(lái)防范難以奏效。例如不可能用一個(gè)防火墻將所有的安全問(wèn)題擋在門(mén)外，因?yàn)楹诳统３＠梅阑饓Φ母綦x性，持續(xù)幾個(gè)月在防火墻外試探系統(tǒng)漏洞而未被發(fā)覺(jué)，并最終攻入系統(tǒng)。另外，攻擊者通常會(huì)從不同的方面和角度，例如對(duì)物理設(shè)施或協(xié)議、服務(wù)等邏輯方式對(duì)系統(tǒng)進(jìn)行試探，可能繞過(guò)系統(tǒng)設(shè)置的某些安全措施，尋找到系統(tǒng)漏洞而攻入系統(tǒng)。它涉及到計(jì)算機(jī)和網(wǎng)絡(luò)的硬件、軟件知識(shí)，從最底層的計(jì)算機(jī)物理技術(shù)到程序設(shè)計(jì)內(nèi)核，可以說(shuō)無(wú)其不包，無(wú)所不在，因?yàn)楣粜袨榭赡懿⒉皇菃蝹€(gè)人的，而是掌握不同技術(shù)的不同人群在各個(gè)方向上展開(kāi)的行動(dòng)。同樣道理，在防范這些問(wèn)題時(shí)，也只有掌握了各種入侵技術(shù)和手段，才能有效的將各種侵犯拒之門(mén)外，這樣就決定了電子數(shù)據(jù)安全的復(fù)雜性。

(四)電子數(shù)據(jù)安全的安全悖論

目前，在電子數(shù)據(jù)安全的實(shí)施中，通常主要采用的是安全產(chǎn)品。例如防火墻、加密狗、密鑰等，一個(gè)很自然的問(wèn)題會(huì)被提出：安全產(chǎn)品本身的安全性是如何保證的?這個(gè)問(wèn)題可以遞歸地問(wèn)下去，這便是安全的悖論。安全產(chǎn)品放置點(diǎn)往往是系統(tǒng)結(jié)構(gòu)的關(guān)鍵點(diǎn)，如果安全產(chǎn)品自身的安全性差，將會(huì)后患無(wú)窮。當(dāng)然在實(shí)際中不可能無(wú)限層次地進(jìn)行產(chǎn)品的安全保證，但一般至少需要兩層保證，即產(chǎn)品開(kāi)發(fā)的安全保證和產(chǎn)品認(rèn)證的安全保證。

(五)電子數(shù)據(jù)安全的適度性

由以上可以看出，電子數(shù)據(jù)不存在l00％的安全。首先由于安全的多元性和動(dòng)態(tài)性，難以找到一個(gè)方法對(duì)安全問(wèn)題實(shí)現(xiàn)百分之百的覆蓋；其次由于安全的復(fù)雜性，不可能在所有方面應(yīng)付來(lái)自各個(gè)方面的威脅；再次，即使找到這樣的方法，一般從資源和成本考慮也不可能接受。目前，業(yè)界普遍遵循的概念是所謂的“適度安全準(zhǔn)則”，即根據(jù)具體情況提出適度的安全目標(biāo)并加以實(shí)現(xiàn)。

三、電子數(shù)據(jù)安全審計(jì)

電子數(shù)據(jù)安全審計(jì)是對(duì)每個(gè)用戶在計(jì)算機(jī)系統(tǒng)上的操作做一個(gè)完整的記錄，以備用戶違反安全規(guī)則的事件發(fā)生后，有效地追查責(zé)任。電子數(shù)據(jù)安全審計(jì)過(guò)程的實(shí)現(xiàn)可分成三步：第一步，收集審計(jì)事件，產(chǎn)生審記記錄；第二步，根據(jù)記錄進(jìn)行安全違反分析；第三步，采取處理措施。

電子數(shù)據(jù)安全審計(jì)工作是保障計(jì)算機(jī)信息安全的重要手段。凡是用戶在計(jì)算機(jī)系統(tǒng)上的活動(dòng)、上機(jī)下機(jī)時(shí)間，與計(jì)算機(jī)信息系統(tǒng)內(nèi)敏感的數(shù)據(jù)、資源、文本等安全有關(guān)的事件，可隨時(shí)記錄在日志文件中，便于發(fā)現(xiàn)、調(diào)查、分析及事后追查責(zé)任，還可以為加強(qiáng)管理措施提供依據(jù)。

（一）審計(jì)技術(shù)

電子數(shù)據(jù)安全審計(jì)技術(shù)可分三種：了解系統(tǒng)，驗(yàn)證處理和處理結(jié)果的驗(yàn)證。

1．了解系統(tǒng)技術(shù)

審計(jì)人員通過(guò)查閱各種文件如程序表、控制流程等來(lái)審計(jì)。

2．驗(yàn)證處理技術(shù)

這是保證事務(wù)能正確執(zhí)行，控制能在該系統(tǒng)中起作用。該技術(shù)一般分為實(shí)際測(cè)試和性能測(cè)試，實(shí)現(xiàn)方法主要有：

（1）事務(wù)選擇

審計(jì)人員根據(jù)制訂的審計(jì)標(biāo)準(zhǔn)，可以選擇事務(wù)的樣板來(lái)仔細(xì)分析。樣板可以是隨機(jī)的，選擇軟件可以掃描一批輸入事務(wù)，也可以由操作系統(tǒng)的事務(wù)管理部件引用。

（2）測(cè)試數(shù)據(jù)

這種技術(shù)是程序測(cè)試的擴(kuò)展，審計(jì)人員通過(guò)系統(tǒng)動(dòng)作準(zhǔn)備處理的事務(wù)。通過(guò)某些獨(dú)立的方法，可以預(yù)見(jiàn)正確的結(jié)果，并與實(shí)際結(jié)果相比較。用此方法，審計(jì)人員必須通過(guò)程序檢驗(yàn)被處理的測(cè)試數(shù)據(jù)。另外，還有綜合測(cè)試、事務(wù)標(biāo)志、跟蹤和映射等方法。

（3）并行仿真。審計(jì)人員要通過(guò)一應(yīng)用程序來(lái)仿真操作系統(tǒng)的主要功能。當(dāng)給出實(shí)際的和仿真的系統(tǒng)相同數(shù)據(jù)后，來(lái)比較它們的結(jié)果。仿真代價(jià)較高，借助特定的高級(jí)語(yǔ)音可使仿真類(lèi)似于實(shí)際的應(yīng)用。

（4）驗(yàn)證處理結(jié)果技術(shù)

這種技術(shù)，審計(jì)人員把重點(diǎn)放在數(shù)據(jù)上，而不是對(duì)數(shù)據(jù)的處理上。這里主要考慮兩個(gè)問(wèn)題：

一是如何選擇和選取數(shù)據(jù)。將審計(jì)數(shù)據(jù)收集技術(shù)插入應(yīng)用程序?qū)徲?jì)模塊（此模塊根據(jù)指定的標(biāo)準(zhǔn)收集數(shù)據(jù)，監(jiān)視意外事件）；擴(kuò)展記錄技術(shù)為事務(wù)（包括面向應(yīng)用的工具）建立全部的審計(jì)跟蹤；借用于日志恢復(fù)的備份庫(kù)（如當(dāng)審計(jì)跟蹤時(shí)，用兩個(gè)可比較的備份去檢驗(yàn)賬目是否相同）；通過(guò)審計(jì)庫(kù)的記錄抽取設(shè)施（它允許結(jié)合屬性值隨機(jī)選擇文件記錄并放在工作文件中，以備以后分析），利用數(shù)據(jù)庫(kù)管理系統(tǒng)的查詢?cè)O(shè)施抽取用戶數(shù)據(jù)。

二是從數(shù)據(jù)中尋找什么？一旦抽取數(shù)據(jù)后，審計(jì)人員可以檢查控制信息（含檢驗(yàn)控制總數(shù)、故障總數(shù)和其他控制信息）；檢查語(yǔ)義完整性約束；檢查與無(wú)關(guān)源點(diǎn)的數(shù)據(jù)。

（二）審計(jì)范圍

在系統(tǒng)中，審計(jì)通常作為一個(gè)相對(duì)獨(dú)立的子系統(tǒng)來(lái)實(shí)現(xiàn)。審計(jì)范圍包括操作系統(tǒng)和各種應(yīng)用程序。

操作系統(tǒng)審計(jì)子系統(tǒng)的主要目標(biāo)是檢測(cè)和判定對(duì)系統(tǒng)的滲透及識(shí)別誤操作。其基本功能為：審計(jì)對(duì)象（如用戶、文件操作、操作命令等）的選擇；審計(jì)文件的定義與自動(dòng)轉(zhuǎn)換；文件系統(tǒng)完整性的定時(shí)檢測(cè)；審計(jì)信息的格式和輸出媒體；逐出系統(tǒng)、報(bào)警閥值的設(shè)置與選擇；審計(jì)日態(tài)記錄及其數(shù)據(jù)的安全保護(hù)等。

應(yīng)用程序?qū)徲?jì)子系統(tǒng)的重點(diǎn)是針對(duì)應(yīng)用程序的某些操作作為審計(jì)對(duì)象進(jìn)行監(jiān)視和實(shí)時(shí)記錄并據(jù)記錄結(jié)果判斷此應(yīng)用程序是否被修改和安全控制，是否在發(fā)揮正確作用；判斷程序和數(shù)據(jù)是否完整；依靠使用者身份、口令驗(yàn)證終端保護(hù)等辦法控制應(yīng)用程序的運(yùn)行。

（三）審計(jì)跟蹤

通常審計(jì)跟蹤與日志恢復(fù)可結(jié)合起來(lái)使用，但在概念上它們之間是有區(qū)別的。主要區(qū)別是日志恢復(fù)通常不記錄讀操作；但根據(jù)需要，日記恢復(fù)處理可以很容易地為審計(jì)跟蹤提供審計(jì)信息。如果將審計(jì)功能與告警功能結(jié)合起來(lái)，就可以在違反安全規(guī)則的事件發(fā)生時(shí)，或在威脅安全的重要操作進(jìn)行時(shí)，及時(shí)向安檢員發(fā)出告警信息，以便迅速采取相應(yīng)對(duì)策，避免損失擴(kuò)大。審計(jì)記錄應(yīng)包括以下信息：事件發(fā)生的時(shí)間和地點(diǎn)；引發(fā)事件的用戶；事件的類(lèi)型；事件成功與否。

審計(jì)跟蹤的特點(diǎn)是：對(duì)被審計(jì)的系統(tǒng)是透明的；支持所有的應(yīng)用；允許構(gòu)造事件實(shí)際順序；可以有選擇地、動(dòng)態(tài)地開(kāi)始或停止記錄；記錄的事件一般應(yīng)包括以下內(nèi)容：被審訊的進(jìn)程、時(shí)間、日期、數(shù)據(jù)庫(kù)的操作、事務(wù)類(lèi)型、用戶名、終端號(hào)等；可以對(duì)單個(gè)事件的記錄進(jìn)行指定。

按照訪問(wèn)控制類(lèi)型，審計(jì)跟蹤描述一個(gè)特定的執(zhí)行請(qǐng)求，然而，數(shù)據(jù)庫(kù)不限制審計(jì)跟蹤的請(qǐng)求。獨(dú)立的審計(jì)跟蹤更保密，因?yàn)閷徲?jì)人員可以限制時(shí)間，但代價(jià)比較昂貴。

（四）審計(jì)的流程

電子數(shù)據(jù)安全審計(jì)工作的流程是：收集來(lái)自內(nèi)核和核外的事件，根據(jù)相應(yīng)的審計(jì)條件，判斷是否是審計(jì)事件。對(duì)審計(jì)事件的內(nèi)容按日志的模式記錄到審計(jì)日志中。當(dāng)審計(jì)事件滿足報(bào)警閥的報(bào)警值時(shí)，則向?qū)徲?jì)人員發(fā)送報(bào)警信息并記錄其內(nèi)容。當(dāng)事件在一定時(shí)間內(nèi)連續(xù)發(fā)生，滿足逐出系統(tǒng)閥值，則將引起該事件的用戶逐出系統(tǒng)并記錄其內(nèi)容。

常用的報(bào)警類(lèi)型有：用于實(shí)時(shí)報(bào)告用戶試探進(jìn)入系統(tǒng)的登錄失敗報(bào)警以及用于實(shí)時(shí)報(bào)告系統(tǒng)中病毒活動(dòng)情況的病毒報(bào)警等。

第2篇：網(wǎng)絡(luò)安全審計(jì)范文

1 利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或帳號(hào)，冒充合法用戶作案，篡改磁性介質(zhì)記錄竊取資產(chǎn)。

2 利用網(wǎng)絡(luò)遠(yuǎn)距離竊取的商業(yè)秘密以換取錢(qián)財(cái)，或利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒以破壞企業(yè)的信息系統(tǒng)。

3 建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無(wú)紙化”，越來(lái)越多的業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過(guò)改變電子貨幣帳單、銀行結(jié)算單及其它帳單，就有可能將公私財(cái)產(chǎn)的所有權(quán)進(jìn)行轉(zhuǎn)移。

計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)會(huì)計(jì)系統(tǒng)的開(kāi)放與數(shù)據(jù)共享，而開(kāi)放與共享的基礎(chǔ)則是安全。企業(yè)一方面通過(guò)網(wǎng)絡(luò)開(kāi)放自己，向全世界推銷(xiāo)自己的形象和產(chǎn)品，實(shí)現(xiàn)電子貿(mào)易、電子信息交換，但也需要守住自己的商業(yè)秘密、管理秘密和財(cái)務(wù)秘密，而其中已實(shí)現(xiàn)了電子化且具有貨幣價(jià)值的會(huì)計(jì)秘密、理財(cái)秘密是最重要的。我們有必要為它創(chuàng)造一個(gè)安全的環(huán)境，抵抗來(lái)自系統(tǒng)內(nèi)外的各種干擾和威協(xié)，做到該開(kāi)放的放開(kāi)共享，該封閉的要讓黑客無(wú)奈。

一、網(wǎng)絡(luò)安全審計(jì)及基本要素

安全審計(jì)是一個(gè)新概念，它指由專(zhuān)業(yè)審計(jì)人員根據(jù)有關(guān)的法規(guī)、財(cái)產(chǎn)所有者的委托和管理當(dāng)局的授權(quán)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的有關(guān)活動(dòng)或行為進(jìn)行系統(tǒng)的、獨(dú)立的檢查驗(yàn)證，并作出相應(yīng)評(píng)價(jià)。

沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有網(wǎng)絡(luò)世界。任何一個(gè)建立網(wǎng)絡(luò)環(huán)境計(jì)算機(jī)會(huì)計(jì)系統(tǒng)的機(jī)構(gòu)，都會(huì)對(duì)系統(tǒng)的安全提出要求，在運(yùn)行和維護(hù)中也都會(huì)從自己的角度對(duì)安全作出安排。那么系統(tǒng)是否安全了呢？這是一般人心中無(wú)數(shù)也最不放心的。應(yīng)該肯定，一個(gè)系統(tǒng)運(yùn)行的安全與否，不能單從雙方當(dāng)事人的判斷作出結(jié)論，而必須由第三方的專(zhuān)業(yè)審計(jì)人員通過(guò)審計(jì)作出評(píng)價(jià)。因?yàn)榘踩珜徲?jì)人員不但具有專(zhuān)門(mén)的安全知識(shí)，而且具有豐富的安全審計(jì)經(jīng)驗(yàn)，只有他們才能作出客觀、公正、公平和中立的評(píng)價(jià)。

安全審計(jì)涉及四個(gè)基本要素：控制目標(biāo)、安全漏洞、控制措施和控制測(cè)試。其中，控制目標(biāo)是指企業(yè)根據(jù)具體的計(jì)算機(jī)應(yīng)用，結(jié)合單位實(shí)際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié)，容易擾或破壞的地方。控制措施是指企業(yè)為實(shí)現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)、配置及各種規(guī)范制度。控制測(cè)試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較，確定各項(xiàng)控制措施是否存在、是否得到執(zhí)行、對(duì)漏洞的防范是否有效，評(píng)價(jià)企業(yè)安全措施的可依賴程度。顯然，安全審計(jì)作為一個(gè)專(zhuān)門(mén)的審計(jì)項(xiàng)目，要求審計(jì)人員必須具有較強(qiáng)的專(zhuān)業(yè)技術(shù)知識(shí)與技能。

安全審計(jì)是審計(jì)的一個(gè)組成部分。由于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國(guó)家安危，更涉及到企業(yè)的經(jīng)濟(jì)利益。因此，我們認(rèn)為必須迅速建立起國(guó)家、、企業(yè)三位一體的安全審計(jì)體系。其中，國(guó)家安全審計(jì)機(jī)關(guān)應(yīng)依據(jù)國(guó)家法律，特別是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身的各種安全技術(shù)要求，對(duì)廣域網(wǎng)上企業(yè)的信息安全實(shí)施年審制。另外，應(yīng)該社會(huì)中介機(jī)構(gòu)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全提供審計(jì)服務(wù)，它與會(huì)計(jì)師事務(wù)所、律師事務(wù)所一樣，是社會(huì)對(duì)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全作出評(píng)價(jià)的機(jī)構(gòu)。當(dāng)企業(yè)管理當(dāng)局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來(lái)的潛在損失時(shí)，他們需要通過(guò)中介機(jī)構(gòu)對(duì)安全性作出檢查和評(píng)價(jià)。此外財(cái)政、財(cái)務(wù)審計(jì)也離不開(kāi)網(wǎng)絡(luò)安全專(zhuān)家，他們對(duì)網(wǎng)絡(luò)的安全控制作出評(píng)價(jià)， 幫助注冊(cè)會(huì)計(jì)師對(duì)相應(yīng)的信息處理系統(tǒng)所披露信息的真實(shí)性、可靠性作出正確判斷。

二、網(wǎng)絡(luò)安全審計(jì)的程序安全

審計(jì)程序是安全監(jiān)督活動(dòng)的具體規(guī)程，它規(guī)定安全審計(jì)工作的具體、時(shí)間安排、具體的審計(jì)方法和手段。與其它審計(jì)一樣，安全審計(jì)主要包括三個(gè)階段：審計(jì)準(zhǔn)備階段、實(shí)施階段以及終結(jié)階段。

安全審計(jì)準(zhǔn)備階段需要了解審計(jì)對(duì)象的具體情況、安全目標(biāo)、企業(yè)的制度、結(jié)構(gòu)、一般控制和應(yīng)用控制情況，并對(duì)安全審計(jì)工作制訂出具體的工作計(jì)劃。在這一階段，審計(jì)人員應(yīng)重點(diǎn)確定審計(jì)對(duì)象的安全要求、審計(jì)重點(diǎn)、可能的漏洞及減少漏洞的各種控制措施。

1 了解企業(yè)網(wǎng)絡(luò)的基本情況。例如，應(yīng)該了解企業(yè)內(nèi)部網(wǎng)的類(lèi)型、局域網(wǎng)之間是否設(shè)置了單向存取限制、企業(yè)網(wǎng)與Internet的聯(lián)接方式、是否建立了虛擬專(zhuān)用網(wǎng)（VPN）？

2 了解企業(yè)的安全控制目標(biāo)。安全控制目標(biāo)一般包括三個(gè)方面：第一，保證系統(tǒng)的運(yùn)轉(zhuǎn)正常，數(shù)據(jù)的可靠完整；第二，保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力；第三， 對(duì)系統(tǒng)資源使用的授權(quán)與限制。當(dāng)然安全控制目標(biāo)因企業(yè)的經(jīng)營(yíng)性質(zhì)、規(guī)模的大小以及管理當(dāng)局的要求而有所差異。

3 了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計(jì)人員應(yīng)充分取得企業(yè)對(duì)網(wǎng)絡(luò)環(huán)境的安全保密計(jì)劃，了解所有有關(guān)的控制對(duì)上述的控制目標(biāo)的實(shí)現(xiàn)情況，系統(tǒng)還有哪些潛在的漏洞。

安全審計(jì)實(shí)施階段的主要任務(wù)是對(duì)企業(yè)現(xiàn)有的安全控制措施進(jìn)行測(cè)試，以明確企業(yè)是否為安全采取了適當(dāng)?shù)目刂拼胧@些措施是否發(fā)揮著作用。審計(jì)人員在實(shí)施環(huán)節(jié)應(yīng)充分利用各種技術(shù)工具產(chǎn)品，如網(wǎng)絡(luò)安全測(cè)試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計(jì)器。

安全審計(jì)終結(jié)階段應(yīng)對(duì)企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評(píng)價(jià)，并提出改進(jìn)和完善的方法和其他意見(jiàn)。安全審計(jì)終結(jié)的評(píng)價(jià)，按系統(tǒng)的完善程度、漏洞的大小和存在問(wèn)題的性質(zhì)可以分為三個(gè)等級(jí)：危險(xiǎn)、不安全和基本安全。危險(xiǎn)是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患（如缺乏合理的數(shù)據(jù)備份機(jī)制與有效的病毒防范措施）和系統(tǒng)的盲目開(kāi)放性（如有意和無(wú)意用戶經(jīng)常能闖入系統(tǒng)，對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行查閱或刪改）。不安全是指系統(tǒng)尚存在一些較常見(jiàn)的問(wèn)題和漏洞，如系統(tǒng)缺乏監(jiān)控機(jī)制和數(shù)據(jù)檢測(cè)手段等。基本安全是指各個(gè)企業(yè)網(wǎng)絡(luò)應(yīng)達(dá)到的目標(biāo)，其大漏洞僅限于不可預(yù)見(jiàn)或罕預(yù)見(jiàn)性、技術(shù)極限性以及窮舉性等，其他小問(wèn)題發(fā)生時(shí)不影響系統(tǒng)運(yùn)行，也不會(huì)造成大的損失，且具有隨時(shí)發(fā)現(xiàn)問(wèn)題并糾正的能力。

三、安全審計(jì)的主要測(cè)試

測(cè)試是安全審計(jì)實(shí)施階段的主要任務(wù)，一般應(yīng)包括對(duì)數(shù)據(jù)通訊、硬件系統(tǒng)、軟件系統(tǒng)、數(shù)據(jù)資源以及安全產(chǎn)品的測(cè)試。

下面是對(duì)網(wǎng)絡(luò)環(huán)境信息系統(tǒng)的主要測(cè)試。

1 數(shù)據(jù)通訊的控制測(cè)試數(shù)據(jù)通訊控制的總目標(biāo)是數(shù)據(jù)通道的安全與完整。具體說(shuō)，能發(fā)現(xiàn)和糾正設(shè)備的失靈，避免數(shù)據(jù)丟失或失真，能防止和發(fā)現(xiàn)來(lái)自Internet及內(nèi)部的非法存取操作。為了達(dá)到上述控制目標(biāo)，審計(jì)人員應(yīng)執(zhí)行以下控制測(cè)試：（1）抽取一組會(huì)計(jì)數(shù)據(jù)進(jìn)行傳輸，檢查由于線路噪聲所導(dǎo)致數(shù)據(jù)失真的可能性。（2）檢查有關(guān)的數(shù)據(jù)通訊記錄，證實(shí)所有的數(shù)據(jù)接收是有序及正確的。（3）通過(guò)假設(shè)系統(tǒng)外一個(gè)非授權(quán)的進(jìn)入請(qǐng)求，測(cè)試通訊回叫技術(shù)的運(yùn)行情況。（4）檢查密鑰管理和口令控制程序，確認(rèn)口令文件是否加密、密鑰存放地點(diǎn)是否安全。（5）發(fā)送一測(cè)試信息測(cè)試加密過(guò)程，檢查信息通道上在各不同點(diǎn)上信息的。（6）檢查防火墻是否控制有效。防火墻的作用是在Internet與內(nèi)部網(wǎng)之間建立一道屏障，其有效性主要包括靈活性以及過(guò)濾、分離、報(bào)警等方面的能力。例如，防火墻應(yīng)具有拒絕任何不準(zhǔn)確的申請(qǐng)者的過(guò)濾能力，只有授權(quán)用戶才能通過(guò)防火墻訪問(wèn)會(huì)計(jì)數(shù)據(jù)。

2 硬件系統(tǒng)的控制測(cè)試硬件控制測(cè)試的總目標(biāo)是評(píng)價(jià)硬件的各項(xiàng)控制的適當(dāng)性與有效性。測(cè)試的重點(diǎn)包括：實(shí)體安全、火災(zāi)報(bào)警防護(hù)系統(tǒng)、使用記錄、后備電源、操作規(guī)程、災(zāi)害恢復(fù)計(jì)劃等。審計(jì)人員應(yīng)確定實(shí)物安全控制措施是否適當(dāng)、在處理日常運(yùn)作及部件失靈中操作員是否作出了適當(dāng)?shù)挠涗浥c定期、硬件的災(zāi)難恢復(fù)計(jì)劃是否適當(dāng)、是否制定了相關(guān)的操作規(guī)程、各硬件的資料歸檔是否完整。

3 軟件系統(tǒng)的控制測(cè)試軟件系統(tǒng)包括系統(tǒng)軟件和軟件，其中最主要的是操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和會(huì)計(jì)軟件系統(tǒng)。總體控制目標(biāo)應(yīng)達(dá)到防止來(lái)自硬件失靈、機(jī)黑客、病毒感染、具有特權(quán)職員的各種破壞行為，保障系統(tǒng)正常運(yùn)行。對(duì)軟件系統(tǒng)的測(cè)試主要包括：（1）檢查軟件產(chǎn)品是否從正當(dāng)途徑購(gòu)買(mǎi)，審計(jì)人員應(yīng)對(duì)購(gòu)買(mǎi)訂單進(jìn)行抽樣審查。（2）檢查防治病毒措施，是否安裝有防治病毒軟件、使用外來(lái)軟盤(pán)之前是否檢查病毒。（3）證實(shí)只有授權(quán)的軟件才安裝到系統(tǒng)里。

4 數(shù)據(jù)資源的控制測(cè)試數(shù)據(jù)控制目標(biāo)包括兩方面：一是數(shù)據(jù)備份，為恢復(fù)被丟失、損壞或擾的數(shù)據(jù)，系統(tǒng)應(yīng)有足夠備份；二是個(gè)人應(yīng)當(dāng)經(jīng)授權(quán)限制性地存取所需的數(shù)據(jù)，未經(jīng)授權(quán)的個(gè)人不能存取數(shù)據(jù)庫(kù)。審計(jì)測(cè)試應(yīng)檢查是否提供了雙硬盤(pán)備份、動(dòng)態(tài)備份、業(yè)務(wù)日志備份等功能，以及在日常工作中是否真正實(shí)施了這些功能。根據(jù)系統(tǒng)的授權(quán)表，檢查存取控制的有效性。

5 系統(tǒng)安全產(chǎn)品的測(cè)試隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要，各種用于保障網(wǎng)絡(luò)安全的軟、硬件產(chǎn)品應(yīng)運(yùn)而生，如VPN、防火墻、身份認(rèn)證產(chǎn)品、CA產(chǎn)品等等。企業(yè)將在不斷的安全產(chǎn)品市場(chǎng)上購(gòu)買(mǎi)各種產(chǎn)品以保障系統(tǒng)的安全，安全審計(jì)機(jī)構(gòu)應(yīng)對(duì)這些產(chǎn)品是否有效地使用并發(fā)揮其應(yīng)有的作用進(jìn)行測(cè)試與作出評(píng)價(jià)。例如，檢查安全產(chǎn)品是否經(jīng)過(guò)認(rèn)證機(jī)構(gòu)或公安部部門(mén)的認(rèn)征，產(chǎn)品的銷(xiāo)售商是否具有銷(xiāo)售許可證產(chǎn)品的安全保護(hù)功能是否發(fā)揮作用。

四、應(yīng)該建立內(nèi)部安全審計(jì)制度

第3篇：網(wǎng)絡(luò)安全審計(jì)范文

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)逐漸發(fā)展成為廣泛應(yīng)用于人們?nèi)粘Ｉa(chǎn)生活的重要技術(shù)，而在實(shí)際的使用過(guò)程中，卻難免要遇到安全隱患，例如黑客的入侵、安全漏洞和病毒傳播等。在計(jì)算機(jī)網(wǎng)絡(luò)安全的評(píng)價(jià)體系中，神經(jīng)網(wǎng)絡(luò)的應(yīng)用以其能夠形成非線性自適應(yīng)動(dòng)態(tài)系統(tǒng)的特點(diǎn)，迅速適應(yīng)網(wǎng)絡(luò)環(huán)境，進(jìn)而實(shí)現(xiàn)對(duì)信息的運(yùn)算、識(shí)別和控制功能，提高了計(jì)算機(jī)的工作效率和安全性。

2計(jì)算機(jī)網(wǎng)絡(luò)安全的概念

計(jì)算機(jī)的網(wǎng)絡(luò)安全，主要指的是針對(duì)網(wǎng)絡(luò)信息瀏覽和操作等過(guò)程中的安全管理，以達(dá)到提高網(wǎng)絡(luò)信息保密性、安全性的目的，維護(hù)使用者的合法權(quán)益，最終實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的順利運(yùn)行。我國(guó)當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題通常涉及到信息安全、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)等多個(gè)方面，而伴隨計(jì)算機(jī)網(wǎng)絡(luò)的日益普及，其網(wǎng)絡(luò)信息的安全問(wèn)題更加為人們所重視。例如，對(duì)于企業(yè)而言，其日常經(jīng)營(yíng)活動(dòng)中往往會(huì)運(yùn)用到計(jì)算機(jī)網(wǎng)絡(luò)，因此要求網(wǎng)絡(luò)必須具備核心技術(shù)，對(duì)企業(yè)信息實(shí)施保護(hù)和保密，維護(hù)重要內(nèi)部信息的安全性，從而維護(hù)企業(yè)利益。即便是個(gè)人在使用計(jì)算機(jī)網(wǎng)絡(luò)時(shí)，也同樣需要網(wǎng)絡(luò)對(duì)個(gè)人信息實(shí)施控制與保護(hù)，防止泄漏或被不法分子盜取，損害人民的權(quán)益和實(shí)際利益。

3神經(jīng)網(wǎng)絡(luò)概述

3.1概念

所謂神經(jīng)網(wǎng)絡(luò)，其模型建立的基礎(chǔ)，是人體腦部的信息處理模式作為參考，然后運(yùn)用數(shù)學(xué)模型，模擬生物的神經(jīng)元、腦細(xì)胞結(jié)構(gòu)，以及其生理特征，最終模擬獲得該神經(jīng)網(wǎng)絡(luò)模型。此后，計(jì)算機(jī)專(zhuān)家則以此模型為基礎(chǔ)，添加入編制好的學(xué)習(xí)機(jī)制，然后將其應(yīng)用到實(shí)際工程中，最終開(kāi)發(fā)出了感知器神經(jīng)網(wǎng)絡(luò)模型。該模型具備了聲納波的識(shí)別功能，可用于探測(cè)潛艇位置等實(shí)踐中。經(jīng)過(guò)進(jìn)一步的深入研究，相關(guān)研究人員在其中運(yùn)用了映射拓?fù)湫再|(zhì)，在計(jì)算機(jī)的基礎(chǔ)之上建立了映射自組織網(wǎng)絡(luò)模型;繼而通過(guò)分析研究生物自組織神經(jīng)網(wǎng)絡(luò)，確定神經(jīng)網(wǎng)絡(luò)模的實(shí)質(zhì)，獲得一組微分非線性方程，然后將神經(jīng)網(wǎng)絡(luò)應(yīng)用于實(shí)際，最終形成了神經(jīng)網(wǎng)絡(luò)的系統(tǒng)性科學(xué)研究，例如具有一定代表性的BP神經(jīng)網(wǎng)絡(luò)。

3.2神經(jīng)網(wǎng)絡(luò)的優(yōu)越性

神經(jīng)網(wǎng)絡(luò)建立的基礎(chǔ)是生物大腦結(jié)構(gòu)和工作原理，因而屬于人工智能系統(tǒng)，該系統(tǒng)基于計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部大量節(jié)點(diǎn)的關(guān)系分析，發(fā)揮出方面優(yōu)越的應(yīng)用性能，主要包括以下方面：

3.2.1自學(xué)功能

神經(jīng)網(wǎng)絡(luò)系統(tǒng)能夠進(jìn)行自我學(xué)習(xí)，通過(guò)自動(dòng)識(shí)別正在輸入的信息，自行為操作者總結(jié)相關(guān)的規(guī)律，進(jìn)而形成聯(lián)想的模式。其優(yōu)勢(shì)即在于這種對(duì)于信息的識(shí)別能力，使系統(tǒng)能夠在之后的工作中，進(jìn)行獨(dú)立自動(dòng)運(yùn)作，從而縮短操作人員的工作時(shí)間。現(xiàn)有計(jì)算機(jī)神經(jīng)網(wǎng)絡(luò)系統(tǒng)，甚至能夠?qū)崿F(xiàn)高于聯(lián)想模式的預(yù)測(cè)功能，應(yīng)用于證券市場(chǎng)中，系統(tǒng)可以基于對(duì)當(dāng)前股市證券、市場(chǎng)經(jīng)濟(jì)和企業(yè)現(xiàn)狀的研究分析，預(yù)測(cè)其未來(lái)的效益，從而企業(yè)未來(lái)的良性發(fā)展，提供了有力的智能支持。

3.2.2優(yōu)化系統(tǒng)

神經(jīng)網(wǎng)絡(luò)同時(shí)還具備了自我優(yōu)化的能力，可以自行提高計(jì)算機(jī)運(yùn)轉(zhuǎn)能力，同時(shí)幫助操作用戶，針對(duì)某些問(wèn)題提出解決方案。基于此，神經(jīng)網(wǎng)絡(luò)系統(tǒng)被建議應(yīng)用于計(jì)算機(jī)的網(wǎng)絡(luò)安全評(píng)價(jià)中，以發(fā)揮其自身的優(yōu)越性能。

4計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)中神經(jīng)網(wǎng)絡(luò)的應(yīng)用

4.1計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)體系的構(gòu)建

4.1.1構(gòu)建神經(jīng)網(wǎng)絡(luò)體系的必要性

基于神經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)保護(hù)是多元化的，由于其對(duì)于環(huán)境的適應(yīng)力較強(qiáng)，因而能夠迅速適應(yīng)周?chē)鸂顩r，并對(duì)自身進(jìn)行調(diào)整，以降低誤差。另外，神經(jīng)網(wǎng)絡(luò)的自我訓(xùn)練使其能夠在計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)的體系中，實(shí)現(xiàn)自我總結(jié)和完善。此外，神經(jīng)網(wǎng)絡(luò)還具備了良好的容錯(cuò)性，對(duì)于一些不完整信息、噪聲等并不敏感，因而在網(wǎng)絡(luò)節(jié)點(diǎn)出現(xiàn)問(wèn)題時(shí)，不會(huì)對(duì)神經(jīng)網(wǎng)絡(luò)的整體保護(hù)產(chǎn)生影響。且神經(jīng)網(wǎng)絡(luò)在進(jìn)行自我訓(xùn)練之后，能夠?qū)⒄５墓ぷ餍侍嵘脸Ｒ?guī)的4～5倍。加上神經(jīng)網(wǎng)絡(luò)對(duì)于結(jié)果的獲取高效快捷，因此更加便于使用，其各方面的設(shè)置也更加人性化。

4.1.2安全評(píng)價(jià)體系構(gòu)成指標(biāo)

計(jì)算機(jī)網(wǎng)絡(luò)安全的一級(jí)評(píng)價(jià)，其中的指標(biāo)通常包括：管理安全、物理安全以及邏輯安全，具體如下：①管理安全評(píng)價(jià)指標(biāo)時(shí)二級(jí)指標(biāo)，分別為安全組織體系、安全管理制度、人員安全培訓(xùn)以及應(yīng)急響應(yīng)機(jī)制;②物理安全評(píng)價(jià)指標(biāo)為二級(jí)指標(biāo)，包括防電磁泄漏措施、供電線路、網(wǎng)絡(luò)機(jī)房、容錯(cuò)冗余以及設(shè)備安全;③邏輯安全評(píng)價(jià)指標(biāo)同樣是二級(jí)指標(biāo)，包括數(shù)據(jù)的備份、恢復(fù)，訪問(wèn)的控制、軟件安全、防病毒措施、系統(tǒng)審計(jì)、數(shù)字簽名、數(shù)據(jù)加密以及入侵防范。

4.2實(shí)現(xiàn)評(píng)價(jià)指標(biāo)的標(biāo)準(zhǔn)化

不同的評(píng)價(jià)指標(biāo)集，對(duì)于影響因素的描述也存在差異，因此需要在實(shí)施定量、定性評(píng)價(jià)時(shí)有所側(cè)重。此外，應(yīng)當(dāng)合理運(yùn)用科學(xué)的方法，對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)安全情況作出反應(yīng)，因而一定程度上影響了指標(biāo)的客觀對(duì)比。因此，必須保持客觀的態(tài)度，對(duì)評(píng)價(jià)指標(biāo)的取值規(guī)則進(jìn)行調(diào)整，以實(shí)現(xiàn)指標(biāo)的標(biāo)準(zhǔn)化。在定量指標(biāo)評(píng)價(jià)時(shí)，相關(guān)工作人員應(yīng)當(dāng)結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的實(shí)際運(yùn)行狀況，對(duì)其進(jìn)行客觀評(píng)價(jià)與取值，進(jìn)行科學(xué)的分析。此外，對(duì)于不同的評(píng)價(jià)指標(biāo)，應(yīng)當(dāng)使用不同的衡量單位，有所側(cè)重地進(jìn)行標(biāo)準(zhǔn)化處理，將取值固定到一定范圍內(nèi)，通常在0～1之間。而為了實(shí)現(xiàn)定性指標(biāo)評(píng)價(jià)，則通常會(huì)采用打分的方式來(lái)客觀評(píng)價(jià)計(jì)算機(jī)的網(wǎng)絡(luò)系統(tǒng)機(jī)型，定性指標(biāo)評(píng)價(jià)標(biāo)準(zhǔn)化。

4.3基于神經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)構(gòu)建

4.3.1服務(wù)器維護(hù)機(jī)制規(guī)范化構(gòu)建

構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)體系，其首要的任務(wù)和硬件維護(hù)的關(guān)鍵，即在于服務(wù)器維護(hù)。在構(gòu)建服務(wù)器維護(hù)機(jī)制規(guī)范化的過(guò)程中，應(yīng)當(dāng)注意避免不當(dāng)服務(wù)器所可能造成的傷害，要求操作人員時(shí)刻警醒，保證及時(shí)清除網(wǎng)卡冗余，調(diào)整服務(wù)器的荷載，以維持服務(wù)器的平衡與穩(wěn)定。

4.3.2云主機(jī)的建立

以神經(jīng)網(wǎng)絡(luò)為基礎(chǔ)建立的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)體系，需要快速打造安全云主機(jī)，用以集成包括了云鎖服務(wù)安全軟件的所有安全防護(hù)體系，從而達(dá)到突破傳統(tǒng)服務(wù)器安防理念，實(shí)現(xiàn)對(duì)于用戶的實(shí)時(shí)安全服務(wù)效果。因此，構(gòu)建過(guò)程中需要在云主機(jī)中使用很多快捷自動(dòng)安裝軟件，如MYSQL、PHP、ASP等。這些軟件的共同點(diǎn)在于均適用于對(duì)網(wǎng)站數(shù)據(jù)庫(kù)的實(shí)時(shí)管控、對(duì)于站點(diǎn)信息的實(shí)時(shí)監(jiān)控，以及對(duì)于計(jì)算機(jī)各種軟件溫度進(jìn)行的調(diào)節(jié)，和WebShell病毒查殺功能。如今的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)已經(jīng)首創(chuàng)了以C/S的神經(jīng)網(wǎng)絡(luò)架構(gòu)為基礎(chǔ)的應(yīng)用體系，實(shí)現(xiàn)了計(jì)算機(jī)端和服務(wù)器之間的遠(yuǎn)程訪問(wèn)與控制功能，從而提升了計(jì)算機(jī)網(wǎng)絡(luò)對(duì)于木馬、病毒和惡意代碼、惡意攻擊等危害的防御能力，起到保護(hù)計(jì)算機(jī)服務(wù)器與網(wǎng)站安全的作用。

4.3.3安全管理和服務(wù)體系的建立

基于神經(jīng)網(wǎng)絡(luò)建立起來(lái)的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)體系，其作用即在于在進(jìn)行安全評(píng)價(jià)時(shí)，管理人員能夠提供與評(píng)價(jià)標(biāo)準(zhǔn)判定相對(duì)應(yīng)的具體內(nèi)容、實(shí)施范圍等信息，然后針對(duì)計(jì)算機(jī)安全狀況、信息技術(shù)的關(guān)鍵點(diǎn)，實(shí)施研究與分析，運(yùn)用評(píng)價(jià)方法測(cè)算其安全等級(jí)。計(jì)算機(jī)網(wǎng)絡(luò)的安全級(jí)別評(píng)價(jià)，可以按照以下公式生成評(píng)價(jià)因子，基于神經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)級(jí)別公式如下：f=(x1，x2，x3……，xi……xm)式中：xi-計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)中最主要的評(píng)價(jià)因子;f-計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)模型主體。管理人員應(yīng)當(dāng)結(jié)合實(shí)際，為計(jì)算機(jī)系統(tǒng)選取正確的評(píng)價(jià)模型主體與安全等級(jí)，進(jìn)而依據(jù)系統(tǒng)要求，對(duì)神經(jīng)網(wǎng)絡(luò)安全管理體系采取必要的優(yōu)化措施，以做到有備無(wú)患。

4.4建立并完善評(píng)價(jià)結(jié)果評(píng)語(yǔ)集

基于計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)特征，可建立評(píng)價(jià)結(jié)果評(píng)語(yǔ)集，按照網(wǎng)絡(luò)安全等級(jí)差異，將該評(píng)語(yǔ)集劃分為四個(gè)集合：①第一等集合設(shè)置為“安全”;②第二等集合設(shè)置為“較為安全”;③第三等集合設(shè)置為“不安全”;④最后一個(gè)等集合則設(shè)置為“很不安全”。此外，還可以對(duì)這些集合附以說(shuō)明，從而有效地位計(jì)算機(jī)使用者提供便捷的方式，來(lái)了解計(jì)算機(jī)網(wǎng)絡(luò)安全狀況，提供良。

5結(jié)語(yǔ)

神經(jīng)網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)中的應(yīng)用，實(shí)現(xiàn)了評(píng)價(jià)體系的自動(dòng)抽提功能，體現(xiàn)出了外推性、容錯(cuò)性、適應(yīng)性等優(yōu)勢(shì)，滿足了計(jì)算機(jī)網(wǎng)絡(luò)的在線實(shí)用性要求，在有效提高計(jì)算機(jī)網(wǎng)絡(luò)評(píng)價(jià)客觀性、正確性的同時(shí)，為用戶提供了安全的使用環(huán)境，確保用戶能夠通過(guò)網(wǎng)絡(luò)獲得可靠、有效的數(shù)據(jù)信息。

參考文獻(xiàn)

[1]王強(qiáng).基于神經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)故障診斷[J].信息與電腦：理論版，2015(10)：157~158.

第4篇：網(wǎng)絡(luò)安全審計(jì)范文

關(guān)鍵詞：神經(jīng)網(wǎng)絡(luò) 計(jì)算機(jī)安全 入侵檢測(cè)

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2012）12（c）-00-01

自從1960年Widrow等提出自適應(yīng)線形神經(jīng)元用于信號(hào)處理中的自適應(yīng)濾波、預(yù)測(cè)和模型識(shí)別以來(lái)，神經(jīng)網(wǎng)絡(luò)技術(shù)便被用來(lái)解決現(xiàn)實(shí)生活中的問(wèn)題。而在McCulloch等基于模仿人腦結(jié)構(gòu)和功能建立起一種人工智能的信息處理系統(tǒng)后，人工神經(jīng)網(wǎng)絡(luò)在土木工程、農(nóng)業(yè)、經(jīng)濟(jì)管理及企業(yè)管理等不同領(lǐng)域中被廣泛應(yīng)用[1-2]。該文介紹了神經(jīng)網(wǎng)絡(luò)的概念及特點(diǎn)，并分析神經(jīng)網(wǎng)絡(luò)在計(jì)算機(jī)安全尤其是在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用。

1 神經(jīng)網(wǎng)絡(luò)的概念及特點(diǎn)

1.1 神經(jīng)網(wǎng)絡(luò)的概念

神經(jīng)網(wǎng)絡(luò)是一個(gè)并行、分布處理結(jié)構(gòu)，是由神經(jīng)元及稱(chēng)為聯(lián)接的無(wú)向訊號(hào)通道互連而成。人工神經(jīng)網(wǎng)絡(luò)（Artificial Neural Network，ANN）指的則是模仿生理神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)和功能而設(shè)計(jì)的一種信息處理系統(tǒng)，即由多個(gè)非常簡(jiǎn)單的處理單元彼此按某種方式相互連接而形成的信息處理網(wǎng)絡(luò)[3]。

1.2 神經(jīng)網(wǎng)絡(luò)的特點(diǎn)

在人工神經(jīng)網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)中的每一個(gè)單元都是獨(dú)立的信息處理單元，因此其計(jì)算可獨(dú)立進(jìn)行，而整個(gè)網(wǎng)絡(luò)系統(tǒng)卻是并行計(jì)算的。這不同于傳統(tǒng)的計(jì)算機(jī)的串行運(yùn)算。由于神經(jīng)網(wǎng)絡(luò)是一個(gè)大規(guī)模互聯(lián)的復(fù)雜網(wǎng)絡(luò)系統(tǒng)，因而是大規(guī)模的并行處理，這在一定程度上提高了系統(tǒng)的處理速度，同時(shí)也為實(shí)時(shí)處理提供了重要條件。人工神經(jīng)網(wǎng)絡(luò)與人腦類(lèi)似，具有學(xué)習(xí)的功能。通常只要給出所需的數(shù)據(jù)、實(shí)例，由網(wǎng)絡(luò)去學(xué)習(xí)，而學(xué)習(xí)獲得的知識(shí)都分布儲(chǔ)存在整個(gè)網(wǎng)絡(luò)的用權(quán)系數(shù)表示的連接線上。不同網(wǎng)絡(luò)因?qū)W習(xí)方法及內(nèi)容不同，可得到不同的功能和不同的應(yīng)用。因而有可能解決傳統(tǒng)人工智能目前最感困難的機(jī)器學(xué)習(xí)中知識(shí)獲取、知識(shí)表示等問(wèn)題。此外神經(jīng)網(wǎng)絡(luò)還對(duì)于輸入數(shù)據(jù)的失真具有相當(dāng)?shù)膹椥浴?/p>

1.3 常用的神經(jīng)網(wǎng)絡(luò)算法

常用的神經(jīng)網(wǎng)絡(luò)算法包括ARTMAP模型、ART模型、概率模型PNN、模糊模型ART、模糊多層感知器、Kohonen特征映射網(wǎng)絡(luò)、反饋多層感知器模型等[4-5]。其中，ART模型和Kohonen特征映射網(wǎng)絡(luò)、模糊模型ART屬于無(wú)監(jiān)督訓(xùn)練算法，而反饋多層感知器模型是受限反饋，ARTMAP模型、ART模型屬于反饋的網(wǎng)絡(luò)拓?fù)?/p>

結(jié)構(gòu)。

2 神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用

2.1 神經(jīng)網(wǎng)絡(luò)應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)的優(yōu)勢(shì)

由于神經(jīng)網(wǎng)絡(luò)對(duì)于數(shù)據(jù)訓(xùn)練獲得預(yù)測(cè)能力的過(guò)程是通過(guò)完全抽象計(jì)算實(shí)現(xiàn)的，而不強(qiáng)調(diào)對(duì)于數(shù)據(jù)分布的假設(shè)前提，因此在建立神經(jīng)網(wǎng)絡(luò)模型過(guò)程中沒(méi)有必要向神經(jīng)網(wǎng)絡(luò)解釋知識(shí)的具體細(xì)節(jié)。同時(shí)，神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測(cè)中，可以通過(guò)數(shù)據(jù)運(yùn)算而形成異常的判別值，這樣可以對(duì)于當(dāng)前是否受到攻擊行為影響做出判斷，從而實(shí)現(xiàn)對(duì)檢測(cè)對(duì)象是否存在異常情況的檢測(cè)[6-8]。

2.2 神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用

神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)安全尤其是入侵檢測(cè)方面已有了相當(dāng)?shù)难芯縖9]。有研究者將組織聚類(lèi)神經(jīng)網(wǎng)絡(luò)應(yīng)用于計(jì)算機(jī)安全研究中，其采用了自適應(yīng)諧振學(xué)習(xí)法進(jìn)行數(shù)據(jù)的前期訓(xùn)練，對(duì)于無(wú)顯著意義的平均誤差減少時(shí)，采用遺傳算法繼續(xù)在前期基礎(chǔ)上進(jìn)行數(shù)據(jù)數(shù)據(jù)以得到最佳的權(quán)值。國(guó)內(nèi)也在神經(jīng)網(wǎng)絡(luò)應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)上做了大量工作。王勇等研究者在參考MIT Lincoln有關(guān)網(wǎng)絡(luò)入侵檢測(cè)方法基礎(chǔ)上，提出了基于Linux主機(jī)的網(wǎng)絡(luò)入侵檢測(cè)方案，實(shí)現(xiàn)了對(duì)于多種網(wǎng)絡(luò)攻擊的特征進(jìn)行抽取及檢測(cè)的目的[10]。

神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測(cè)中有廣泛的應(yīng)用空間[11-12]，今后應(yīng)該擴(kuò)大訓(xùn)練數(shù)據(jù)的數(shù)量和范圍，并擴(kuò)大操作系統(tǒng)的研究空間，通過(guò)模擬真實(shí)的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，將神經(jīng)網(wǎng)絡(luò)技術(shù)真正應(yīng)用于計(jì)算機(jī)安全尤其是入侵檢測(cè)工作中。

參考文獻(xiàn)

[1] 李季，蒲彪.人工神經(jīng)網(wǎng)絡(luò)在食品微生物發(fā)酵中的應(yīng)用[J].食品研究與開(kāi)發(fā)，2009，30（4）：171-174.

[2] 李聰超，周鐵軍.人工神經(jīng)網(wǎng)絡(luò)在農(nóng)業(yè)中的應(yīng)用[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2008（1）：35-38.

[3] 李麗霞，張敏，郜艷暉，等.人工神經(jīng)網(wǎng)絡(luò)在醫(yī)學(xué)研究中的應(yīng)用[J].數(shù)理醫(yī)藥學(xué)雜志，2009，22（1）：80-82.

[4] 高雋.人工神經(jīng)網(wǎng)絡(luò)原理及仿真實(shí)例[M].北京：機(jī)械工業(yè)出版社，2003：44-73.

[5] 楊行峻，鄭君里.人工神經(jīng)網(wǎng)絡(luò)與盲信號(hào)處理[M].北京：清華大學(xué)出版社，2003：23-105.

[6] 程麗麗.基于模糊神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)設(shè)計(jì)模型[D].哈爾濱：哈爾濱理工大學(xué)，2005.

[7] 周開(kāi)利，康耀紅.神經(jīng)網(wǎng)絡(luò)模型及其MATLAB仿真程序設(shè)計(jì)[M].北京：清華大學(xué)出版社，2005.

[8] 李家春，李之堂.神經(jīng)模糊入侵檢測(cè)系統(tǒng)的研究[J].計(jì)算機(jī)工程與應(yīng)用，2001，23（17）：37-39，

[9] 王勇，楊輝華.一種基于進(jìn)化神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)實(shí)驗(yàn)系統(tǒng)[J].華東理工大學(xué)學(xué)報(bào)（自然科學(xué)版），2005（6）：362-366

[10] 喬瑞.基于優(yōu)化自組織聚類(lèi)神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法研究[J].計(jì)算機(jī)與現(xiàn)代化，2005（1）：77-79.

第5篇：網(wǎng)絡(luò)安全審計(jì)范文

 

“安檢門(mén)”后藏秘密

 

博覽會(huì)上，觀眾趙先生走過(guò)一道“安檢門(mén)”后，個(gè)人金融信息就被泄露在大屏幕上，讓在場(chǎng)的參觀者驚奇。原來(lái)“安檢門(mén)”是模擬黑客攻擊的檢測(cè)系統(tǒng)，趙先生的芯片銀行卡的姓名、身份證號(hào)、銀行卡號(hào)、卡片有效期、最近10次消費(fèi)時(shí)間、消費(fèi)地點(diǎn)、取現(xiàn)記錄、轉(zhuǎn)賬記錄等詳細(xì)信息就被讀取出來(lái) 。

 

原來(lái)，這道“安檢門(mén)”來(lái)自互聯(lián)網(wǎng)安全公司360的全球網(wǎng)絡(luò)威脅態(tài)勢(shì)感知系統(tǒng)中的“網(wǎng)絡(luò)透明人”體驗(yàn)門(mén)。對(duì)此，360網(wǎng)絡(luò)安全專(zhuān)家在現(xiàn)場(chǎng)做出解釋?zhuān)瑢?shí)際上，存放趙先生錢(qián)包的安檢框里存有一張具有NFC(即近距離通信)功能的無(wú)線讀卡器，旁邊還有配套的信號(hào)接收器和電腦等設(shè)備，所以只要芯片銀行卡足夠靠近讀卡器，卡片的信息就會(huì)顯示出來(lái)。

 

網(wǎng)絡(luò)專(zhuān)家進(jìn)一步解釋?zhuān)⒉皇撬械你y行卡都能被讀取，像信用卡和早期使用的磁條卡是不能被讀取的，但是帶有閃付功能的芯片銀行卡，在靠近讀卡器10厘米內(nèi)的距離中就可能會(huì)被讀取到信息。為此，360安全專(zhuān)家研發(fā)并展示了用于屏蔽讀卡器信息的防護(hù)“卡套”，只要將芯片卡放在里面，讀卡器近距離將無(wú)法讀取信息。

 

行車(chē)助手記錄儀

 

伴隨著國(guó)內(nèi)汽車(chē)數(shù)量越來(lái)越多，各種交通事故的發(fā)生概率也隨之攀升。為了能夠有效地降低自身的損失，私家車(chē)主越來(lái)越多的倚重于車(chē)聯(lián)網(wǎng)智能硬件的幫助。

 

360展臺(tái)前，正在學(xué)車(chē)的大學(xué)生張鐸在對(duì)360行車(chē)記錄儀視覺(jué)體驗(yàn)后說(shuō)：“很多開(kāi)車(chē)人都喜歡看手機(jī)，這樣一來(lái)很容易走神影響正常駕駛安全，這款360行車(chē)記錄儀的情景化解讀ADAS功能，在汽車(chē)與前車(chē)距離太近或偏離車(chē)道時(shí)都會(huì)進(jìn)行報(bào)警提示，提高了駕駛員的安全反應(yīng)意識(shí)。”

 

記者觀察到，360行車(chē)記錄儀在日間、夜間都可以保證拍攝出全高清的畫(huà)質(zhì)，增加的WiFi直連功能，車(chē)主可以不用花費(fèi)額外的手機(jī)流量，即可實(shí)時(shí)將拍攝畫(huà)面同步到手機(jī)端的360行車(chē)記錄儀APP，并同步地理位置信息。

 

360展臺(tái)技術(shù)人員介紹：“在汽車(chē)行駛后安全熄火斷電期間，360行車(chē)記錄儀會(huì)進(jìn)入休眠狀態(tài)，若車(chē)體受到碰撞，記錄儀將啟動(dòng)一分鐘的監(jiān)控錄像，記錄下碰撞的視頻情景。”有趣的是，360行車(chē)記錄儀還可以用在例如戶外運(yùn)動(dòng)、旅行攝影、家庭室內(nèi)安全監(jiān)控等環(huán)境中，擴(kuò)展到更多的使用范圍中。

 

電信詐騙需謹(jǐn)慎

 

生活中，每個(gè)人都接到過(guò)“恭喜中獎(jiǎng)”“來(lái)我辦公室一趟”“猜猜我是誰(shuí)”等等一類(lèi)的電信詐騙電話，這就是網(wǎng)絡(luò)信息化生活中的新型違法犯罪形式。在“4.29首都網(wǎng)絡(luò)安全日”的打擊防范電信網(wǎng)絡(luò)詐騙宣傳體驗(yàn)展區(qū)中，為提高人們防范意識(shí)，北京市公安局的相關(guān)專(zhuān)家對(duì)電信詐騙進(jìn)行專(zhuān)業(yè)知識(shí)普及。

 

據(jù)記者了解，北京公安局針對(duì)北京市地區(qū)范圍內(nèi)的電信網(wǎng)絡(luò)詐騙案件，聯(lián)合北京電信、北京移動(dòng)、北京聯(lián)通迅速建立起關(guān)停涉案號(hào)碼的處置機(jī)制，共累計(jì)關(guān)停涉案手機(jī)號(hào)碼2.8萬(wàn)余個(gè);處置境外語(yǔ)音詐騙電話1441萬(wàn)多個(gè);屏蔽惡意網(wǎng)站鏈接6400余個(gè)。

 

北京市公安局網(wǎng)絡(luò)安全保衛(wèi)總隊(duì)相關(guān)負(fù)責(zé)人表示，日常生活中會(huì)出現(xiàn)各類(lèi)抽獎(jiǎng)或免費(fèi)贈(zèng)送等活動(dòng)，往往會(huì)需要參與者填寫(xiě)相關(guān)個(gè)人資料，這種情況下就需要公民盡量精簡(jiǎn)個(gè)人信息。尤其在網(wǎng)絡(luò)活動(dòng)中，網(wǎng)銀、支付、社交軟件、郵箱賬號(hào)密碼、手機(jī)驗(yàn)證碼等信息，一定要核實(shí)精準(zhǔn)后使用。

 

面對(duì)花樣百出的電信網(wǎng)絡(luò)詐騙，公民不斷增強(qiáng)警惕意識(shí)和防范詐騙的常識(shí)知識(shí)，是保護(hù)自身信息財(cái)務(wù)不被竊取的根本方法。北京公安局相關(guān)專(zhuān)家強(qiáng)調(diào)，希望通過(guò)打擊防范電信網(wǎng)絡(luò)詐騙宣傳體驗(yàn)展區(qū)的設(shè)置，可以使公民有“個(gè)人信息不泄露、來(lái)歷不明不輕信、核實(shí)之前不轉(zhuǎn)賬”的意識(shí)，并建立起防范欺詐的思想屏障。

第6篇：網(wǎng)絡(luò)安全審計(jì)范文

【關(guān)鍵詞】網(wǎng)絡(luò)安全 系統(tǒng) 身份認(rèn)證 發(fā)展

如今全球信息化的速度越來(lái)越快，全球的信息產(chǎn)業(yè)越來(lái)越重視信息安全，特別是現(xiàn)在信息網(wǎng)絡(luò)化正是發(fā)達(dá)的時(shí)期，信息產(chǎn)業(yè)的發(fā)展離不開(kāi)網(wǎng)絡(luò)安全，如何在網(wǎng)絡(luò)環(huán)境中建立起一個(gè)完善的安全系統(tǒng)，身份認(rèn)證技術(shù)就成為了在網(wǎng)絡(luò)安全中首先要解決的問(wèn)題。

身份認(rèn)證技術(shù)就是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)來(lái)確定使用者的身份，重點(diǎn)是為了解決網(wǎng)絡(luò)雙方的身份信息是否真實(shí)的問(wèn)題，使通訊雙方在進(jìn)行各種信息交流可以在一個(gè)安全的環(huán)境中。在信息安全里，身份認(rèn)證技術(shù)在整個(gè)安全系統(tǒng)中是重點(diǎn)，也是信息安全系統(tǒng)首要“看門(mén)人”。因此，基本的安全服務(wù)就是身份認(rèn)證，另外的安全服務(wù)也都需要建立在身份認(rèn)證的基礎(chǔ)上，使身份認(rèn)證系統(tǒng)具有了十分重要的地位，但也最容易受到攻擊。

一、身份認(rèn)證的含義

身份認(rèn)證技術(shù)簡(jiǎn)單意義上來(lái)講就是對(duì)通訊雙方進(jìn)行真實(shí)身份鑒別，也是對(duì)網(wǎng)絡(luò)信息資源安全進(jìn)行保護(hù)的第一個(gè)防火墻，目的就是驗(yàn)證辨識(shí)網(wǎng)絡(luò)信息使用用戶的身份是否具有真實(shí)性和合法性，然后給予授權(quán)才能訪問(wèn)系統(tǒng)資源，不能通過(guò)識(shí)別用戶就會(huì)阻止其訪問(wèn)。由此可知，身份認(rèn)證在安全管理中是個(gè)重點(diǎn)，同時(shí)也是最基礎(chǔ)的安全服務(wù)。

（一）身份認(rèn)證技術(shù)的應(yīng)用

信息安全中身份認(rèn)證是最重要的一門(mén)技術(shù)，也是在網(wǎng)絡(luò)安全里的第一道防線，可以很好的識(shí)別出訪問(wèn)的用戶是否具有訪問(wèn)的權(quán)限，允許通過(guò)識(shí)別的用戶進(jìn)行訪問(wèn)操作，并進(jìn)行一定的監(jiān)督，防止出現(xiàn)不正當(dāng)?shù)牟僮髑闆r，同時(shí)也是保護(hù)計(jì)算機(jī)不受病毒和黑客入侵的一個(gè)重要方法。使用者在進(jìn)入網(wǎng)絡(luò)安全系統(tǒng)的時(shí)候，先需要讓身份認(rèn)證系統(tǒng)識(shí)別出自己的身份，通過(guò)了身份認(rèn)證系統(tǒng)識(shí)別以后，再依據(jù)使用者的權(quán)限、身份級(jí)別來(lái)決定可以訪問(wèn)哪些系統(tǒng)資源和可以進(jìn)行哪些系統(tǒng)操作權(quán)限。與此同時(shí)，進(jìn)入安全系統(tǒng)時(shí)，檢測(cè)系統(tǒng)需要進(jìn)行登記，包括記錄、報(bào)警等，對(duì)用戶的行為和請(qǐng)求進(jìn)行記錄，并識(shí)別出是否入侵了安全系統(tǒng)[1]。

（二）基于網(wǎng)絡(luò)的身份認(rèn)證

身份認(rèn)證系統(tǒng)在安全系統(tǒng)中非常重要，雖然它是最基礎(chǔ)的安全服務(wù)，但是另外的安全服務(wù)都需要它才能完成，只要身份認(rèn)證系統(tǒng)受到攻擊入侵，就會(huì)導(dǎo)致系統(tǒng)里的安全措施都無(wú)法產(chǎn)生作用，而黑客入侵的首要目標(biāo)一般都是先攻破身份認(rèn)證系統(tǒng)。但是因?yàn)榫W(wǎng)絡(luò)連接具有復(fù)雜性、流動(dòng)性等特點(diǎn)，在復(fù)雜的網(wǎng)絡(luò)環(huán)境中會(huì)導(dǎo)致身份認(rèn)證也變得復(fù)雜，分析網(wǎng)絡(luò)運(yùn)行時(shí)的各類(lèi)因素，可得出在網(wǎng)絡(luò)環(huán)境中的身份認(rèn)證具有以下特點(diǎn)：

1.雖然在網(wǎng)絡(luò)中使用身份認(rèn)證技術(shù)后，提高了網(wǎng)絡(luò)的安全性，但是因?yàn)樯矸菡J(rèn)證技術(shù)需要使用加密算法來(lái)實(shí)施復(fù)雜計(jì)算，就會(huì)導(dǎo)致出現(xiàn)實(shí)時(shí)性變差，降低了網(wǎng)絡(luò)通信率。

2.身份認(rèn)真系統(tǒng)在處于單機(jī)狀態(tài)下無(wú)法很好的實(shí)現(xiàn)。

3.入侵者往往會(huì)通過(guò)對(duì)用戶的通信通道上竊聽(tīng)出身份認(rèn)證信息，從而非法獲得合法用戶的身份信息，并使用這些截取的身份信息入網(wǎng)。

4.因?yàn)槭褂谜咭话憔哂胁环€(wěn)定性和流動(dòng)性，所以進(jìn)行身份認(rèn)證就必須要考慮到相對(duì)應(yīng)的方式，就是確認(rèn)用戶身份進(jìn)行認(rèn)證時(shí)具有唯一性、完整性，防止出現(xiàn)用戶身份冒充、偽造等情況，在此基礎(chǔ)上也需要考慮到認(rèn)證系統(tǒng)是否會(huì)對(duì)系統(tǒng)流暢運(yùn)行帶來(lái)影響。

二、用戶身份認(rèn)證的技術(shù)應(yīng)用

身份認(rèn)證技術(shù)在以后的發(fā)展里，首先需要提高其安全性、穩(wěn)定性、效率性、實(shí)用性等特點(diǎn)，在認(rèn)證終端需要向小型化發(fā)展。重點(diǎn)可以從下面幾個(gè)方面來(lái)進(jìn)行發(fā)展：

（一）生物認(rèn)證技術(shù)

生物特征指的是人體自帶的生理特征和行為特征。因?yàn)槊總€(gè)人的生物特征都具有唯一性，由此來(lái)對(duì)用戶進(jìn)行驗(yàn)證。生物特征的身份認(rèn)證方法有著可靠、穩(wěn)定等特點(diǎn)，也是最安全的身份認(rèn)證方法。但是在目前還沒(méi)有哪種生物認(rèn)證的方法可以保證100%的正確率。因此，怎么提高識(shí)別算法和硬件水平來(lái)保證高正確率是一個(gè)重點(diǎn)。

（二）非生物認(rèn)證技術(shù)

非生物認(rèn)證一般是采用口令的認(rèn)證方式，而現(xiàn)在傳統(tǒng)的身份認(rèn)證技術(shù)就是使用口令認(rèn)證。口令認(rèn)證方法具有簡(jiǎn)單性、操作性等特點(diǎn)。認(rèn)證者首先需要擁有用戶使用賬號(hào)，還需要保證使用賬號(hào)在用戶數(shù)據(jù)庫(kù)里是唯一的。而主要一般是兩種口令的認(rèn)證方式：一種是使用動(dòng)態(tài)口令，用戶在使用網(wǎng)絡(luò)安全系統(tǒng)的時(shí)候，所需要輸入的口令都是變化的，不會(huì)固定，每次都有變化，就算這次輸入的口令被他人獲得，但是下次卻不可以再次使用。另一種是靜態(tài)口令，使用用戶經(jīng)過(guò)系統(tǒng)設(shè)定和保存后，在指定的時(shí)間內(nèi)不會(huì)發(fā)生變化，一個(gè)口令能夠長(zhǎng)期使用，這種口令相比于動(dòng)態(tài)口令雖然操作簡(jiǎn)單，但是卻沒(méi)有動(dòng)態(tài)口令安全。

（三）多因素認(rèn)證

結(jié)合利用各類(lèi)因素認(rèn)證技術(shù)，增強(qiáng)身份認(rèn)證的安全性。現(xiàn)在手機(jī)短信認(rèn)證和Web的口令認(rèn)證早已經(jīng)在網(wǎng)絡(luò)安全中得到利用，并獲得不錯(cuò)的口碑[2]。

三、身份認(rèn)證的發(fā)展趨勢(shì)

文章介紹了各種身份認(rèn)證技術(shù)手段，也指出了各種身份認(rèn)證技術(shù)所存在的缺陷，把身份認(rèn)真應(yīng)用到網(wǎng)絡(luò)安全中，首先要根據(jù)用戶認(rèn)證方式和實(shí)際需求來(lái)進(jìn)行綜合考慮分析，只要是能夠滿足用戶使用就是最好的，用戶使用是否喜歡和安全性能并不一定成正比。在以后的身份認(rèn)證技術(shù)發(fā)展中，首先要解決如何降低身份認(rèn)證機(jī)制的通信量和計(jì)算量，在降低設(shè)備成本和計(jì)算時(shí)間的同時(shí)，也要能夠提供一個(gè)比較高的安全性能，綜合運(yùn)用多因素認(rèn)證方法，改變單一因素認(rèn)證的弊端，使用生物認(rèn)證技術(shù)，改進(jìn)識(shí)別方式和提高硬件水平，保證正確率[3]。

現(xiàn)如今計(jì)算機(jī)技術(shù)發(fā)展腳步迅速，相信不久的將來(lái)計(jì)算機(jī)身份認(rèn)證技術(shù)也會(huì)更加完善，未來(lái)會(huì)出現(xiàn)更安全、高性能的身份認(rèn)證技術(shù)，從而充分保障用戶計(jì)算機(jī)的信息安全。

參考文獻(xiàn)：

[1]李俊林.身份認(rèn)證技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].電腦編程技巧與維護(hù)，2013（02）：34-35.

第7篇：網(wǎng)絡(luò)安全審計(jì)范文

關(guān)鍵詞：安全模型；身份驗(yàn)證；IP；IPSec

0　引言

傳統(tǒng)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的注重點(diǎn)是數(shù)據(jù)安全，而不是網(wǎng)絡(luò)基礎(chǔ)設(shè)施本身的安全。在網(wǎng)絡(luò)攻擊不斷泛濫的形勢(shì)下，有必要將安全保護(hù)的對(duì)象由通信的數(shù)據(jù)轉(zhuǎn)向通信的物理設(shè)備，沒(méi)有安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐，安全的網(wǎng)絡(luò)通信如同空中樓閣。

1　面向報(bào)文信息的網(wǎng)絡(luò)安全模型

目前，討論的大多數(shù)通信模型是一方通過(guò)互聯(lián)網(wǎng)傳送報(bào)文給另一方，雙方協(xié)調(diào)共同完成信息交換。如需要保護(hù)信息傳輸防止攻擊者竊取和破壞信息時(shí)，就該在原有的通信模型基礎(chǔ)上提供安全服務(wù)。目前有兩類(lèi)安全服務(wù)模型，即網(wǎng)絡(luò)傳輸安全模型和網(wǎng)絡(luò)訪問(wèn)安全模型。

網(wǎng)絡(luò)傳輸安全模型是在數(shù)據(jù)發(fā)送或接收前對(duì)其進(jìn)行安全轉(zhuǎn)換，保證通信雙方數(shù)據(jù)的保密性，避免攻擊者竊取報(bào)文后直接讀取，有時(shí)需要可信任第三方負(fù)責(zé)分發(fā)保密信息。網(wǎng)絡(luò)訪問(wèn)安全模型是利用驗(yàn)證或訪問(wèn)控制等方式控制非授權(quán)網(wǎng)絡(luò)實(shí)體非法訪問(wèn)資源。除上述兩種安全模型之外，還有一種網(wǎng)絡(luò)安全模型，旨在提供集成的網(wǎng)絡(luò)安全，但僅僅是個(gè)一般概念上的描述模型，并非成熟實(shí)用。

網(wǎng)絡(luò)傳輸安全模型，IPSec在TCP／IP網(wǎng)絡(luò)層協(xié)議基礎(chǔ)上提供了具體的安全服務(wù)框架，主要為數(shù)據(jù)通信增加安全保護(hù)，是網(wǎng)絡(luò)傳輸較安全的一個(gè)實(shí)施方案。

2　安全框架lPSec

國(guó)際標(biāo)準(zhǔn)組織(Iso)制訂的Is07498―2提出一個(gè)典型的傳統(tǒng)網(wǎng)絡(luò)安全體系結(jié)構(gòu)(NSA)，該結(jié)構(gòu)描述了一系列的安全服務(wù)以及實(shí)現(xiàn)這些安全服務(wù)的機(jī)制。大多數(shù)安全服務(wù)可存在于ISO協(xié)議模型的任何一層，但其中IP層具有簡(jiǎn)單透明的優(yōu)勢(shì)，而其他協(xié)議層實(shí)現(xiàn)起來(lái)既增大系統(tǒng)開(kāi)銷(xiāo)，又會(huì)降低系統(tǒng)效率。于是，1ETF工作組于1998年11月制定了全新的IPSec安全體系結(jié)構(gòu)，一系列相關(guān)規(guī)范文檔，推出多種IP層安全服務(wù)框架。

IPSec安全體系結(jié)構(gòu)規(guī)范州詳細(xì)描述提供的多種安全服務(wù)以及實(shí)現(xiàn)安全服務(wù)的多種安全機(jī)制。安全服務(wù)主要包括數(shù)據(jù)保密、數(shù)據(jù)完整性驗(yàn)證、數(shù)據(jù)源驗(yàn)證、訪問(wèn)控制、抗重發(fā)攻擊等。這些服務(wù)通過(guò)安全協(xié)議ESP(Encapsulating Security Payload)和AH(Authentication Header)實(shí)現(xiàn)，它們建立在密碼技術(shù)之上，可提供多種加密算法和驗(yàn)證算法供用戶選擇。

無(wú)論是加密算法還是驗(yàn)證算法都要使用密鑰，因此IPSec提供了密鑰交換協(xié)議IKE(Internet Key Exchange)。IKE是基于ISAKMP密鑰交換框架定義的密鑰交換協(xié)議，它定義了兩個(gè)協(xié)商階段。階段一是建立一個(gè)IKESA，可通過(guò)兩種交換模式實(shí)現(xiàn)：一種是主模式交換，一種是自信模式交換。階段二是建立一個(gè)IPSecSA，只能通過(guò)快速模式交換實(shí)現(xiàn)。其中安全關(guān)聯(lián)SA(security Association)數(shù)據(jù)庫(kù)是一個(gè)三元組集合，每個(gè)三元組稱(chēng)為SAID即。服務(wù)類(lèi)型可以是驗(yàn)證服務(wù)(AH)或者封裝安全凈荷服務(wù)(ESP)，SPI是端系統(tǒng)用來(lái)標(biāo)識(shí)通信流的一個(gè)整數(shù)值。IKE協(xié)議是一個(gè)復(fù)雜的協(xié)}義，它用于動(dòng)態(tài)地管理密鑰，其安全性對(duì)IPSec提供的安全性影響至關(guān)重要。

2．1 IPSec工作原理

無(wú)論IPSec以什么方式實(shí)現(xiàn)，其工作原理都類(lèi)似。IPSec工作原理(見(jiàn)圖2)：當(dāng)IP數(shù)據(jù)包進(jìn)入或離開(kāi)IPSec結(jié)構(gòu)時(shí)，它會(huì)根據(jù)安全策略數(shù)據(jù)庫(kù)(SPD)對(duì)該IP包進(jìn)行相應(yīng)的處理。當(dāng)接口接收到一個(gè)IP分組(里面包含了IPSec頭)后，從該IP包中提取安全參數(shù)索引SPI、目的地址、協(xié)議號(hào)――它們組成一個(gè)三元組SAID，并根據(jù)該SAID檢索安全關(guān)聯(lián)數(shù)據(jù)庫(kù)SADB，以找到處理該分組的安全關(guān)聯(lián)SA；對(duì)接收分組進(jìn)行序列號(hào)檢查、完整性驗(yàn)證和解密處理，最終恢復(fù)明文分組；從明文分組中提取源、目的地址，上層協(xié)議，端口號(hào)，構(gòu)造出選擇符，將SA指向的SPD條目所對(duì)應(yīng)的選擇符與接收?qǐng)?bào)文構(gòu)造出的選擇符進(jìn)行比較，如果一致，再比較該SPD條目的安全要求與接收分組的實(shí)際安全策略是否相符，若出現(xiàn)不一致的情況，則將分組丟棄，否則繼續(xù)處理分組。

當(dāng)一個(gè)IP分組被發(fā)送時(shí)，其源／目的地址、協(xié)議號(hào)、端口號(hào)等元素構(gòu)成選擇符，并作為關(guān)鍵字檢索安全策略數(shù)據(jù)庫(kù)SPD，由SPD檢索輸出相應(yīng)的安全策略有三種：一是丟棄發(fā)送報(bào)文；二是不進(jìn)行安全服務(wù)處理；三是應(yīng)用網(wǎng)絡(luò)層安全服務(wù)，返回策略條目相對(duì)應(yīng)的SA條目指針。如果指針?lè)强眨瑒t根據(jù)指向的SA對(duì)該IP包進(jìn)行相應(yīng)的安全處理；如果指針為空，即SPD中沒(méi)有建立對(duì)應(yīng)的安全關(guān)聯(lián)SA，IPSec會(huì)通過(guò)策略引擎調(diào)用密鑰協(xié)商模塊IKE，按照策略要求協(xié)商SA，并將產(chǎn)生的SA填入SADB中，并應(yīng)用于待處理的分組。

2．2 IPSec性能分析

我們利用工具CASTSJ(communication Analysis and Sim-ulation T001)對(duì)裝有集成IPSec功能的NETBSD操作系統(tǒng)的兩臺(tái)工作站進(jìn)行了測(cè)試，從端到端TCP包通信的數(shù)據(jù)吞吐量和單向數(shù)據(jù)傳輸時(shí)間延遲兩個(gè)方面來(lái)考察IPSec性能。測(cè)試分三類(lèi)：運(yùn)行未使用IPSec的服務(wù)(classl)，運(yùn)行具有IPSec驗(yàn)證功能的服務(wù)(class2)，運(yùn)行具有IPSec加密功能的服務(wù)(class3)。從試驗(yàn)結(jié)果可以明顯得出以下兩個(gè)結(jié)論。第一，相同時(shí)間內(nèi)兩端的平均數(shù)據(jù)吞吐量：classl＞class2＞class3，三類(lèi)比值大約為15:11：5；第二，單向數(shù)據(jù)傳輸平均時(shí)間延遲：class3＞class2＞classl，三類(lèi)比值大約為7:2:1。

雖然IPSec提供端到端的安全通信，但是，整個(gè)網(wǎng)絡(luò)層安全解決方案是在操作系統(tǒng)內(nèi)核中集成IPSec，這樣必然會(huì)影響網(wǎng)絡(luò)性能。并且，如果使用了IPSec服務(wù)，實(shí)時(shí)通信也會(huì)比較難實(shí)現(xiàn)。為了減少計(jì)算量提高網(wǎng)絡(luò)性能，一個(gè)可行的解決方法是針對(duì)不同的數(shù)據(jù)實(shí)施不同的安全保護(hù)措施，對(duì)于不重要的數(shù)據(jù)可以不進(jìn)行安全保護(hù)。

從空間復(fù)雜度角度分別對(duì)AH協(xié)議和ESP協(xié)議的兩種模式(傳輸模式和隧道模式)進(jìn)行了比較分析。在傳輸模式下，IPSec AH協(xié)議報(bào)頭固定字段長(zhǎng)度為12Byms，驗(yàn)證數(shù)據(jù)域(可選)長(zhǎng)度12Byms，總共24Bytes。而IPSec ESP協(xié)議報(bào)頭固定字段長(zhǎng)度為10Byms，驗(yàn)證數(shù)據(jù)域(可選)長(zhǎng)度12Byms，總共22Byms。在隧道模式下，IPSec AH協(xié)議報(bào)頭固定字段長(zhǎng)度為12Byms，還有新IP報(bào)頭20Bytes，驗(yàn)證數(shù)據(jù)域(可 選)長(zhǎng)度12Byms，總共44Byms。而IPSec ESP協(xié)議報(bào)頭固定字段長(zhǎng)度為12Byms，還有新IP報(bào)頭20Bytes，驗(yàn)證數(shù)據(jù)域(可選)長(zhǎng)度12Bytes，總共42Bytes。

另外，從時(shí)間復(fù)雜度和吞吐量?jī)蓚€(gè)角度分別對(duì)IPSec中使用的加密算法3DES和驗(yàn)證算法MD5,SHA-1、HMAC-MD5、HMAC-SHAl進(jìn)行了試驗(yàn)比較。試驗(yàn)結(jié)果為，對(duì)于同―種指令處理能力，數(shù)據(jù)吞吐量由大到小的算法依次為：MD5,HMAC-MD5，SHAl，HMAC-SHAl，3DES，而HMAC-MD5的執(zhí)行時(shí)間比MD5要長(zhǎng),HMAC-SHAl的執(zhí)行時(shí)間比SHAl要長(zhǎng)。

2．3 IPSec數(shù)據(jù)源驗(yàn)證服務(wù)及存在問(wèn)題

IPSec在網(wǎng)絡(luò)層提供了多種安全服務(wù)，為現(xiàn)有網(wǎng)絡(luò)以及下一代網(wǎng)絡(luò)提供了一定的安全保障。其中，源驗(yàn)證服務(wù)使得IP報(bào)文接收者能確信整個(gè)報(bào)文未被修改，報(bào)文確實(shí)是從其所聲稱(chēng)的源IP地址主機(jī)發(fā)送出來(lái)的。基于共享密鑰實(shí)現(xiàn)的驗(yàn)證服務(wù)，是由AH協(xié)議提供的服務(wù)，其作用范圍為整個(gè)報(bào)文，它利用密碼技術(shù)和驗(yàn)證技術(shù)來(lái)實(shí)現(xiàn)，通過(guò)有密鑰控制的Hash算法產(chǎn)生的報(bào)文摘要提供了基于密鑰的報(bào)文驗(yàn)證機(jī)制，實(shí)現(xiàn)了報(bào)文完整性驗(yàn)證和數(shù)據(jù)源驗(yàn)證兩方面服務(wù)。

上述服務(wù)存在一個(gè)前提，即主機(jī)IP地址已經(jīng)存在。因?yàn)闊o(wú)論報(bào)文發(fā)送還是接收，需要根據(jù)報(bào)文選擇符檢索安全策略數(shù)據(jù)庫(kù)SPD，數(shù)據(jù)庫(kù)的每個(gè)條目是根據(jù)真實(shí)的源地址和目的地址建立的。但是IPSec數(shù)據(jù)源驗(yàn)證服務(wù)不能保證報(bào)文源IP地址的真實(shí)可靠性，無(wú)法檢測(cè)子網(wǎng)內(nèi)IP地址假冒報(bào)文，不能抵制IP地址假冒攻擊。另外密鑰協(xié)商過(guò)程比較復(fù)雜，而且需要用戶參與，其透明度不高。

綜上所述，IPSec數(shù)據(jù)源驗(yàn)證存在如下不足。

(1)IPSec需要通過(guò)用戶密鑰協(xié)商之后再提供數(shù)據(jù)源驗(yàn)證服務(wù)，而不能提供基于網(wǎng)絡(luò)實(shí)體特征信息的密鑰協(xié)商過(guò)程，對(duì)用戶而言透明性不好。

(2)利用IKE進(jìn)行密鑰協(xié)商前，通信實(shí)體之間需要經(jīng)過(guò)身份驗(yàn)證。主要有三種驗(yàn)證方式：預(yù)置共享密鑰認(rèn)證、數(shù)字簽名和公鑰系統(tǒng)。第一種方式并不實(shí)用，而后兩種方式需要可信任第三方參與。整個(gè)密鑰協(xié)商過(guò)程比較繁瑣，性能不高。

任何一個(gè)網(wǎng)絡(luò)安全解決方案不可能解決所有的安全問(wèn)題，從上述兩個(gè)問(wèn)題可以看出：首先，IPSec著重從用戶和信息安全角度保障通信數(shù)據(jù)的安全，而忽視網(wǎng)絡(luò)通信實(shí)體的安全，不能提供安全的IP地址供接入網(wǎng)絡(luò)的實(shí)體使用。而且目前針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊屢見(jiàn)不鮮，存在多種基于網(wǎng)絡(luò)實(shí)體的攻擊方法，包括基于DNS攻擊、基于路由器攻擊、基于普通主機(jī)攻擊和基于各種服務(wù)器攻擊。其次，由于數(shù)據(jù)源驗(yàn)證服務(wù)基于密鑰和IP地址實(shí)現(xiàn)，盡管在IKE密鑰協(xié)商之前通信實(shí)體進(jìn)行互相驗(yàn)證，但所提供的幾種身份驗(yàn)證機(jī)制并不簡(jiǎn)單實(shí)用。再次，IPSec主要應(yīng)用于建設(shè)VPN網(wǎng)絡(luò)，通過(guò)公網(wǎng)搭建企業(yè)內(nèi)部網(wǎng)可大大降低成本，但是，由于其復(fù)雜性以及用戶透明度低，目前IPsec應(yīng)用于端系統(tǒng)尚不普及。

因此，在上述安全模型基礎(chǔ)上應(yīng)該考慮網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性，在保證網(wǎng)絡(luò)通信實(shí)體可信的前提下，再進(jìn)一步提供可靠的安全服務(wù)。

3 面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全模型

為了從根本上解決安全隱患，在源頭遏制多種攻擊的發(fā)生，應(yīng)該從主機(jī)接入開(kāi)始進(jìn)行安全的管理和監(jiān)控，因此一種新型的網(wǎng)絡(luò)安全模型面向網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全模型被提了出來(lái)。所示為在轉(zhuǎn)發(fā)設(shè)備可信、網(wǎng)絡(luò)終端設(shè)備不可信的假設(shè)前提下，面向基礎(chǔ)設(shè)施(主機(jī))的安全模型。

主機(jī)A接入子網(wǎng)1時(shí)受到主機(jī)接入控制，主要是監(jiān)測(cè)和控制主機(jī)A的身份標(biāo)識(shí)和IP地址配置情況。其次，主機(jī)A收發(fā)報(bào)文時(shí)受到報(bào)文收發(fā)控制，主要是監(jiān)測(cè)和控制主機(jī)A發(fā)送或接收?qǐng)?bào)文過(guò)程中出現(xiàn)的異常情況，比如地址假冒或頻率超高等。主機(jī)A的報(bào)文在網(wǎng)絡(luò)傳輸過(guò)程中受到報(bào)文傳遞控制，主要是監(jiān)測(cè)和控制報(bào)文在路由結(jié)點(diǎn)之間轉(zhuǎn)發(fā)傳遞的報(bào)文完整性和真實(shí)性。最后，主機(jī)A的報(bào)文發(fā)送和接收全程受到信息安全控制，主要是端到端通信過(guò)程中數(shù)據(jù)加密，解密以及密鑰管理等處理。

該模型假定轉(zhuǎn)發(fā)設(shè)備是可信的，也就是說(shuō)轉(zhuǎn)發(fā)設(shè)備是不在主機(jī)接入控制范圍內(nèi)。如果把轉(zhuǎn)發(fā)設(shè)備看作終端設(shè)備，只是比普通主機(jī)功能更強(qiáng)大，那么可以把假設(shè)前提定為轉(zhuǎn)發(fā)設(shè)備和網(wǎng)絡(luò)終端設(shè)備均不可信。在這種情況下，這個(gè)模型也是適用的，只是任何接入網(wǎng)絡(luò)的物理設(shè)備進(jìn)入網(wǎng)絡(luò)時(shí)都要受到接入控制。

對(duì)于IP假冒，雖然IPSec在其相應(yīng)前提條件下可以為通信的數(shù)據(jù)提供良好的源驗(yàn)證服務(wù)，但在網(wǎng)絡(luò)設(shè)備的接入和IP地址安全可靠使用等方面沒(méi)有提供較完善的驗(yàn)證服務(wù)，其前提條件較多不太合理，因此并不能提供可靠的數(shù)據(jù)源驗(yàn)證以監(jiān)測(cè)IP地址假冒行為。在面向基礎(chǔ)設(shè)施網(wǎng)絡(luò)模型指導(dǎo)下，實(shí)體接入網(wǎng)絡(luò)時(shí)增加安全控制機(jī)制，在此基礎(chǔ)上通過(guò)網(wǎng)絡(luò)層身份驗(yàn)證機(jī)制提供可靠的數(shù)據(jù)源驗(yàn)證，可以有效檢測(cè)控制假冒報(bào)文。

4 新的網(wǎng)絡(luò)層身份驗(yàn)證機(jī)制

IPSec安全框架選擇在網(wǎng)絡(luò)層提供安全服務(wù)，其優(yōu)點(diǎn)是不需要對(duì)其他協(xié)議層次作任何改動(dòng)，可以為IP層以上協(xié)議提供透明的安全服務(wù)。網(wǎng)絡(luò)發(fā)展趨勢(shì)是Everything Over IP，在網(wǎng)絡(luò)層提供安全服務(wù)是最好的選擇，可以屏蔽各類(lèi)通信子網(wǎng)，而且不會(huì)影響上層的服務(wù)。但網(wǎng)絡(luò)層所提供的功能必須高效快速，不應(yīng)嚴(yán)重影響網(wǎng)絡(luò)性能，否則將得不償失，安全也就失去了意義。借鑒IPSec在網(wǎng)絡(luò)層設(shè)計(jì)安全服務(wù)的優(yōu)點(diǎn)，選擇網(wǎng)絡(luò)層作為設(shè)計(jì)的基礎(chǔ)是合理的。

IP地址作為一個(gè)終端實(shí)體的身份標(biāo)識(shí)，每個(gè)報(bào)文中所攜帶的源IP地址是否合法真實(shí)，報(bào)文是否為真正的實(shí)體所發(fā)送，通常可利用數(shù)據(jù)源身份驗(yàn)證機(jī)制解決。

身份驗(yàn)證系統(tǒng)至少應(yīng)該有兩個(gè)實(shí)體，一個(gè)是驗(yàn)證實(shí)體，一個(gè)是被驗(yàn)證實(shí)體。此外，還應(yīng)該明確驗(yàn)證對(duì)象是什么?針對(duì)IP假冒問(wèn)題，這里驗(yàn)證的對(duì)象是傳輸中的報(bào)文，如果驗(yàn)證通過(guò)說(shuō)明報(bào)文中所聲稱(chēng)的實(shí)體就是真實(shí)的報(bào)文發(fā)送實(shí)體，如果未通過(guò)則說(shuō)明報(bào)文是由假冒實(shí)體發(fā)送的。因此，最初狀態(tài)安全實(shí)體網(wǎng)絡(luò)開(kāi)始形成時(shí)，應(yīng)該建立對(duì)象之間的驗(yàn)證關(guān)系和驗(yàn)證信息，實(shí)體和IP地址形成關(guān)聯(lián)，然后利用它們監(jiān)控網(wǎng)絡(luò)內(nèi)實(shí)體的報(bào)文發(fā)送情況，及時(shí)發(fā)現(xiàn)IP假冒行為。

結(jié)合面向網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全模型和上述分析，身份驗(yàn)證機(jī)制分為三個(gè)階段：

(1)第一個(gè)階段，建立身份驗(yàn)證子網(wǎng)絡(luò)，即建立實(shí)體間的驗(yàn)證關(guān)系。

(2)第二個(gè)階段，建立實(shí)體身份標(biāo)識(shí)和安全的驗(yàn)證信息，即為所有加入驗(yàn)證子網(wǎng)絡(luò)的實(shí)體建立身份標(biāo)識(shí)并且分配安全的驗(yàn)證信息，以便檢測(cè)和控制網(wǎng)內(nèi)實(shí)體的通信報(bào)文。

(3)第三個(gè)階段，通信過(guò)程中檢測(cè)和控制網(wǎng)內(nèi)傳輸?shù)膱?bào)文，即利用上一個(gè)階段所建立的驗(yàn)證信息檢查報(bào)文的真?zhèn)危_定其是否為真實(shí)的實(shí)體發(fā)出的。

上述三個(gè)階段的身份驗(yàn)證機(jī)制可有效解決IPSec存在的一些不足之處。首先，不需要事先存在IP地址，因?yàn)樵诘诙€(gè)階段時(shí)可以為接入的網(wǎng)絡(luò)實(shí)體配置安全的IP地址。其次，第二個(gè)階段后，驗(yàn)證實(shí)體可利用報(bào)文發(fā)送實(shí)體特有的安全驗(yàn)證信息檢測(cè)接收?qǐng)?bào)文的真實(shí)性，提供可靠的數(shù)據(jù)源驗(yàn)證，有效檢測(cè)控制IP假冒行為，無(wú)需用戶過(guò)多參與，增加透明度。最后，驗(yàn)證實(shí)體和被驗(yàn)證實(shí)體間密鑰協(xié)商過(guò)程比較簡(jiǎn)單，可提高性能。

5 結(jié)束語(yǔ)

第8篇：網(wǎng)絡(luò)安全審計(jì)范文

關(guān)鍵詞：嬰幼兒奶粉質(zhì)量；安全性評(píng)價(jià)；BP神經(jīng)網(wǎng)絡(luò)；供應(yīng)鏈

中圖分類(lèi)號(hào)：TP183；TS252.7 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：0439-8114（2017）04-0740-05

2008年發(fā)生的三鹿奶粉的三聚氰胺問(wèn)題讓國(guó)內(nèi)消費(fèi)者對(duì)國(guó)產(chǎn)嬰幼兒奶粉安全信心崩塌，國(guó)產(chǎn)奶粉市場(chǎng)占有率不斷下降；2013年恒天然的肉毒桿菌事件表明國(guó)外嬰幼兒奶粉安全性也存在諸多問(wèn)題[1，2]。保障嬰幼兒奶粉質(zhì)量安全，已經(jīng)成為政府和眾多專(zhuān)家學(xué)者研究的熱點(diǎn)。白世貞等[2]基于供應(yīng)鏈視角對(duì)乳制品質(zhì)量安全進(jìn)行了研究，孫肖明等[3]針對(duì)影響乳制品質(zhì)量因素和解決辦法進(jìn)行了研究，柳亦博等[4]利用危害分析臨界控制點(diǎn)（Hazard Analysis Critical Control Point，HACCP）體系針對(duì)乳制品質(zhì)量安全監(jiān)理進(jìn)行了研究。

研究表明，影響乳制品質(zhì)量安全的因素很多。在乳制品中，嬰幼兒奶粉食用對(duì)象為嬰幼兒，其質(zhì)量安全問(wèn)題更需保證。嬰幼兒奶粉最終到消費(fèi)者手中時(shí)，經(jīng)歷從生產(chǎn)到銷(xiāo)售的眾多環(huán)節(jié)，每一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題都有可能對(duì)嬰幼兒奶粉質(zhì)量產(chǎn)生影響，如何科學(xué)和有效評(píng)價(jià)嬰幼兒奶粉質(zhì)量是非常必要的。葛哲學(xué)等[5]基于監(jiān)測(cè)數(shù)據(jù)和BP神經(jīng)網(wǎng)絡(luò)構(gòu)建了食品安全預(yù)警模型；章德賓等[6]基于BP神經(jīng)網(wǎng)絡(luò)構(gòu)建了乳制品質(zhì)量安全評(píng)價(jià)研究。但已有研究存在以下不足：①都是針對(duì)多種商品的食品安全建模，由此建立BP神經(jīng)網(wǎng)絡(luò)模型相對(duì)寬泛，而針對(duì)嬰幼兒配方奶粉質(zhì)量安全評(píng)價(jià)時(shí)，商品以及其供應(yīng)鏈更加具體、國(guó)家標(biāo)準(zhǔn)更加嚴(yán)格，HACCP關(guān)鍵點(diǎn)控制的不同，其評(píng)價(jià)指標(biāo)必須更加具體和詳細(xì)；②建立的BP神經(jīng)網(wǎng)絡(luò)模型是針對(duì)多種商品，針對(duì)嬰幼兒奶粉質(zhì)量安全評(píng)價(jià)模型研究較少。

BP神經(jīng)網(wǎng)結(jié)構(gòu)簡(jiǎn)單，訓(xùn)練與調(diào)控參數(shù)豐富，在神經(jīng)網(wǎng)絡(luò)中應(yīng)用最廣泛，其不需要輸入、輸出值間存在嚴(yán)格的假設(shè)關(guān)系，同時(shí)能夠以區(qū)間數(shù)、模糊數(shù)等方式處理定性信息[7]，在模式識(shí)別[7，8]、危害分析和HACCP中關(guān)鍵點(diǎn)股市分析預(yù)測(cè)[9-12]、管理問(wèn)題優(yōu)化與決策等方面得到大量的實(shí)際應(yīng)用[13]。本研究在分析湖南卓躍生物科技有限公司日常監(jiān)測(cè)數(shù)據(jù)基礎(chǔ)上，基于嬰幼兒奶粉供應(yīng)鏈，從奶牛養(yǎng)殖、擠奶、加工包裝、倉(cāng)儲(chǔ)運(yùn)輸、銷(xiāo)售整個(gè)過(guò)程出發(fā)，參照HACCP和GB10765-2010《食品安全國(guó)家標(biāo)準(zhǔn)：嬰兒配方食品》要求[14]，在每個(gè)環(huán)節(jié)中選取關(guān)鍵點(diǎn)作為評(píng)價(jià)指標(biāo)，分析建立基于BP神經(jīng)網(wǎng)絡(luò)的嬰幼兒奶粉質(zhì)量安全評(píng)價(jià)模型，在MATLAB中編程實(shí)現(xiàn)，并進(jìn)行模型有效性驗(yàn)證。

1 嬰幼兒奶粉質(zhì)量安全評(píng)價(jià)指標(biāo)的篩選

嬰幼兒奶粉供應(yīng)鏈可分為奶牛養(yǎng)殖、擠奶、加工包裝、倉(cāng)儲(chǔ)運(yùn)輸、銷(xiāo)售5個(gè)環(huán)節(jié)。每個(gè)環(huán)節(jié)基于HACCP關(guān)鍵點(diǎn)控制方法和國(guó)家標(biāo)準(zhǔn)GB10765-2010《食品安全國(guó)家標(biāo)準(zhǔn)：嬰兒配方食品》篩選評(píng)價(jià)指標(biāo)，篩選的主要原則是：

1）記錄整個(gè)嬰幼兒奶粉供應(yīng)鏈所涉及企業(yè)的信息。

2）篩選出對(duì)嬰幼兒奶粉安全有影響的信息。

3）所篩選的指標(biāo)要符合國(guó)家相應(yīng)的法律法規(guī)的要求。

4）所篩指標(biāo)準(zhǔn)確可靠，指標(biāo)集簡(jiǎn)單可行。

基于上述篩選原則和飼養(yǎng)規(guī)律把養(yǎng)殖環(huán)節(jié)分成養(yǎng)殖飼料科學(xué)性與安全性、養(yǎng)殖衛(wèi)生環(huán)境、疾病防疫水平等3個(gè)主要評(píng)價(jià)指標(biāo)。

基于上述篩選原則，結(jié)合工廠實(shí)際檢測(cè)相關(guān)指標(biāo)，把擠奶環(huán)節(jié)評(píng)價(jià)指標(biāo)分為必需含有評(píng)價(jià)指標(biāo)、污染物評(píng)價(jià)指標(biāo)、真菌霉素評(píng)價(jià)指標(biāo)、微生物評(píng)價(jià)指標(biāo)。其中，蛋白質(zhì)含量和脂肪含量必需含有評(píng)價(jià)指標(biāo)；污染物評(píng)價(jià)指標(biāo)包括鉛、汞、鉻、砷、三聚氰胺、硒硝酸鹽、亞硝酸鹽含量；真菌霉素評(píng)價(jià)指標(biāo)包含黃霉素M1含量；微生物評(píng)價(jià)指標(biāo)原奶中細(xì)菌總數(shù)、大腸菌落含量。

加工包裝環(huán)節(jié)、倉(cāng)儲(chǔ)運(yùn)輸環(huán)節(jié)、銷(xiāo)售環(huán)節(jié)的評(píng)價(jià)指標(biāo)都是依據(jù)上述篩選原則，結(jié)合各自環(huán)節(jié)所存在問(wèn)題確定，其具體原則如下：

嬰幼兒奶粉供應(yīng)鏈的5個(gè)環(huán)節(jié)具體27個(gè)評(píng)價(jià)指標(biāo)如表1所示，表1中限于空間只列舉了6組用于嬰幼兒奶粉質(zhì)量安全評(píng)價(jià)的原始數(shù)據(jù)。由表1可知，數(shù)據(jù)存在如下特點(diǎn)：

1）抽象性變量，如養(yǎng)殖信息中養(yǎng)殖飼料科學(xué)性和安全性難以用精確的指標(biāo)反映出來(lái)，這些評(píng)價(jià)指標(biāo)就需要依靠專(zhuān)家打分來(lái)反映相對(duì)客觀、合理的結(jié)果。

2）具體測(cè)量種類(lèi)較多，要將這些數(shù)據(jù)全部納入到一個(gè)模型中，就需要一個(gè)相對(duì)簡(jiǎn)單的方法來(lái)處理這些不同類(lèi)型數(shù)據(jù)。采用了歸一化處理的方法。

2 神經(jīng)網(wǎng)絡(luò)建模

神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)方式與用途有很多種類(lèi)，其中具有誤差反向傳播算法的BP神經(jīng)網(wǎng)絡(luò)是目前應(yīng)用最為廣泛的一種人工神經(jīng)網(wǎng)絡(luò)。BP神經(jīng)網(wǎng)絡(luò)除輸入層和輸出層外，還包括一個(gè)或多個(gè)隱含層，各個(gè)層神經(jīng)元之間實(shí)現(xiàn)全連接，而同層內(nèi)各神經(jīng)元無(wú)連接。含有單個(gè)隱含層的BP神經(jīng)網(wǎng)絡(luò)可以任意逼近含有多個(gè)隱含層的BP神經(jīng)網(wǎng)絡(luò)，因此采用由輸入層、隱含層、輸出層構(gòu)成的3層BP神經(jīng)網(wǎng)絡(luò)。

BP神經(jīng)網(wǎng)絡(luò)建模，首先確定輸入層和輸出層節(jié)點(diǎn)個(gè)數(shù)。隱含層節(jié)點(diǎn)個(gè)數(shù)的確定首先利用試湊法預(yù)估范圍，然后利用MATLAB仿真_定最佳的隱含層節(jié)點(diǎn)個(gè)數(shù)。

2.1 輸入層和輸出層節(jié)點(diǎn)個(gè)數(shù)的確定

輸入層個(gè)數(shù)的確定是以湖南卓躍生物科技有限公司日常監(jiān)測(cè)數(shù)據(jù)為樣本，篩選并選擇了與嬰幼兒奶粉質(zhì)量安全評(píng)價(jià)最為相關(guān)的27種指標(biāo)因素，以27種指標(biāo)因素作為輸入層個(gè)數(shù)，具體指標(biāo)見(jiàn)表1中評(píng)價(jià)指標(biāo)項(xiàng)。

輸出層個(gè)數(shù)確定為1，質(zhì)量安全評(píng)價(jià)模型輸出結(jié)果應(yīng)遵循原則為簡(jiǎn)單、直觀、有效。所以采用評(píng)價(jià)等級(jí)數(shù)字作為輸出層，來(lái)反映整個(gè)供應(yīng)鏈下嬰幼兒奶粉質(zhì)量安全評(píng)價(jià)分。評(píng)分為1～9分，1分表明嬰幼兒奶粉質(zhì)量安全最差，9分表明質(zhì)量安全最好，低于6分就表明嬰幼兒奶粉質(zhì)量安全存在問(wèn)題。

2.2 隱含層節(jié)點(diǎn)個(gè)數(shù)的確定

隱含層節(jié)點(diǎn)個(gè)數(shù)確定是一個(gè)非常復(fù)雜的問(wèn)題，目前還沒(méi)有一個(gè)理想的解析式可以準(zhǔn)確確定隱含層節(jié)點(diǎn)個(gè)數(shù)，這也是BP神經(jīng)網(wǎng)絡(luò)的缺點(diǎn)之一[15]。但是，在實(shí)際應(yīng)用過(guò)程中可以根據(jù)經(jīng)驗(yàn)公式M=■估計(jì)隱含層神經(jīng)元的個(gè)數(shù)[16]。其中，n表示輸入層個(gè)數(shù)，這里是27；m表示輸出層的個(gè)數(shù)，這里是1；a為1～10的常數(shù)，由試湊法可知，隱含層神經(jīng)元的個(gè)數(shù)7～16，然后分別比較所構(gòu)建的10個(gè)BP神經(jīng)網(wǎng)絡(luò)的性能，選取均方誤差精度最小時(shí)隱含層個(gè)數(shù)作為本研究BP神經(jīng)網(wǎng)絡(luò)模型隱含層神經(jīng)元個(gè)數(shù)。

BP神經(jīng)網(wǎng)絡(luò)要求傳遞函數(shù)全部可微，現(xiàn)有可微傳遞函數(shù)主要有Purelin、logsing、tansig 3種[7]，因?yàn)檩斎胱兞縫的維度27還是有點(diǎn)大，為了能夠較快得到收斂，選擇tansig（）函數(shù)為隱層神經(jīng)元的傳遞函數(shù)；輸出層神經(jīng)元的傳遞函數(shù)也選擇tansig（）函數(shù)；訓(xùn)練BP神經(jīng)網(wǎng)絡(luò)選擇基于數(shù)值優(yōu)化的Trainlm（）函數(shù)，因?yàn)門(mén)rainlm（）函數(shù)與傳統(tǒng)的梯度下降法相比，具有收斂速度快和精度高等特點(diǎn)。權(quán)值和閾值的初始化采用Newff（）函數(shù)自動(dòng)完成[14]。

使用MATLAB 7.10的神經(jīng)網(wǎng)絡(luò)工具箱，用300個(gè)樣本來(lái)測(cè)試構(gòu)建的10個(gè)BP神經(jīng)網(wǎng)絡(luò)的性能。由表2可知，隱含層神經(jīng)元個(gè)數(shù)為12時(shí)，構(gòu)建BP神經(jīng)網(wǎng)絡(luò)性能最佳。構(gòu)建了嬰幼兒奶粉質(zhì)量安全評(píng)價(jià)的BP神經(jīng)網(wǎng)絡(luò)模型，如圖1所示。

3 MATLAB實(shí)現(xiàn)與驗(yàn)證

根據(jù)BP神經(jīng)網(wǎng)絡(luò)模型，開(kāi)始訓(xùn)練BP神經(jīng)網(wǎng)絡(luò)。神經(jīng)網(wǎng)絡(luò)的訓(xùn)練首先要設(shè)定最大訓(xùn)練次數(shù)、目標(biāo)精度、學(xué)習(xí)率等參數(shù)。圖1模型在不設(shè)置訓(xùn)練次數(shù)的情況下，最優(yōu)訓(xùn)練精度在訓(xùn)練8 000次左右即穩(wěn)定于1e-16，但此時(shí)的測(cè)驗(yàn)樣本平均絕對(duì)誤差達(dá)到了0.952 3，出現(xiàn)了訓(xùn)練樣本過(guò)度學(xué)習(xí)的過(guò)擬合現(xiàn)象。為防止過(guò)擬合現(xiàn)象的出現(xiàn)，目標(biāo)精度應(yīng)低于最優(yōu)值的水平，經(jīng)過(guò)測(cè)試將訓(xùn)練目標(biāo)精度設(shè)為1e-8，訓(xùn)練次數(shù)設(shè)為2 000，BP神經(jīng)網(wǎng)絡(luò)性能較好。學(xué)習(xí)率設(shè)為0.01，因?yàn)閷W(xué)習(xí)率過(guò)大，會(huì)造成學(xué)習(xí)過(guò)程的不穩(wěn)定，通過(guò)測(cè)試發(fā)現(xiàn)學(xué)習(xí)率設(shè)為0.01較為合理。

在以上訓(xùn)練參數(shù)下，選取300個(gè)樣本來(lái)訓(xùn)練，10個(gè)測(cè)試樣本作為驗(yàn)證，訓(xùn)練結(jié)果如圖2所示。由圖2可知，在訓(xùn)練周期為51次時(shí)，該網(wǎng)絡(luò)收斂于穩(wěn)定，目標(biāo)精度達(dá)到預(yù)設(shè)的1e-8。

嬰幼兒奶粉質(zhì)量安全實(shí)際評(píng)分與預(yù)測(cè)評(píng)分散點(diǎn)圖如圖3所示。由圖3可知，預(yù)測(cè)評(píng)分與實(shí)際評(píng)分結(jié)果非常接近。

10個(gè)測(cè)試樣本的預(yù)測(cè)評(píng)分與誤差率見(jiàn)表3。由表3可知，10個(gè)測(cè)試樣本誤差率都在0～4%之內(nèi)，平均誤差率是1.10%，說(shuō)明已構(gòu)建的BP神經(jīng)網(wǎng)絡(luò)較為準(zhǔn)確的，可以對(duì)嬰幼兒奶粉質(zhì)量安全進(jìn)行評(píng)價(jià)。

4 結(jié)論

通過(guò)建立BP神經(jīng)網(wǎng)絡(luò)模型對(duì)歷史數(shù)據(jù)進(jìn)行訓(xùn)練，能夠在系統(tǒng)內(nèi)部規(guī)律未知的情況下，對(duì)新的待測(cè)樣本做出較為精確的預(yù)估。本研究基于BP神經(jīng)網(wǎng)絡(luò)的這種優(yōu)點(diǎn)，結(jié)合嬰幼兒奶粉供應(yīng)鏈特點(diǎn)，以湖南卓躍生物科技有限公司日常監(jiān)測(cè)數(shù)據(jù)為樣本，篩選并選擇了與嬰幼兒奶粉質(zhì)量安全評(píng)價(jià)最為相關(guān)的27種指標(biāo)因素，以27種指標(biāo)因素組成輸入層，評(píng)價(jià)結(jié)果組成輸出層。針對(duì)隱含層節(jié)點(diǎn)個(gè)數(shù)，首先利用試湊法預(yù)估范圍，然后利用MATLAB仿真確定最佳的隱含層節(jié)點(diǎn)個(gè)數(shù)。最后利用10組數(shù)據(jù)對(duì)神經(jīng)網(wǎng)絡(luò)評(píng)價(jià)模型進(jìn)行了仿真驗(yàn)證。結(jié)果表明，基于BP神經(jīng)網(wǎng)絡(luò)的嬰幼兒奶粉質(zhì)量安全評(píng)價(jià)模型能夠在實(shí)際訓(xùn)練數(shù)據(jù)樣本進(jìn)行有效預(yù)測(cè)，是一種可行的嬰幼兒奶粉質(zhì)量安全評(píng)價(jià)方法。

參考文獻(xiàn)：

[1] 郭利亞，王加啟.當(dāng)前我國(guó)奶業(yè)發(fā)展的五個(gè)特征[J].中畜牧雜志，2013，49（8）：3-5.

[2] 白世貞，劉忠剛.基于供應(yīng)鏈視角的乳制品質(zhì)量安全問(wèn)題研究[J].商品儲(chǔ)運(yùn)與養(yǎng)護(hù)，2013，35（12）：105-108.

[3] 孫肖明，孟憲梅.影響乳制品質(zhì)量安全的因素與解決措施[J].畜牧獸醫(yī)科技信息，2013（8）：9-10.

[4] 柳亦博，樸貞子.HACCP體系控制與乳制品質(zhì)量安全監(jiān)管研究[J].山東農(nóng)業(yè)科學(xué)，2010（3）：98-101.

[5] 葛哲學(xué)，孫志強(qiáng).神經(jīng)網(wǎng)絡(luò)理論與MATLABR2007實(shí)現(xiàn)[M].北京：電子工業(yè)出版社，2007.

[6] 章德賓，徐家鵬，許建軍，等.基于監(jiān)測(cè)數(shù)據(jù)和BP神經(jīng)網(wǎng)絡(luò)的食品安全預(yù)警模型[J].農(nóng)業(yè)工程學(xué)報(bào)，2010，26（1），221-226.

[7] 趙 杰，林 輝.基于BP神經(jīng)網(wǎng)絡(luò)模型的目標(biāo)屬性識(shí)別仿真[J].系統(tǒng)仿真學(xué)報(bào)，2007，19（11）：2571-2573.

[8] 陳 紅，熊利榮，胡筱波，等.基于神經(jīng)網(wǎng)絡(luò)與圖像處理的花生仁霉變識(shí)別方法[J].農(nóng)業(yè)工程學(xué)報(bào)，2007，23（4）：158-161.

[9] CHEN C R，RAMASWAMY H S. Analysis of critical control points in deviant thermal processes using artifical neural networks[J].Journal of Food Engineerings，2003，57（3）：225-235.

[10] 張紹秋，胡躍明.基于BP神經(jīng)網(wǎng)絡(luò)的稅收預(yù)測(cè)模型[J].華南理工大學(xué)學(xué)報(bào)（自然科學(xué)版），2006，34（6）：55-58.

[11] DUBUS I G，BEULKE S，BROWN C D.Calibration of pesticide leaching models：Critical review and guidance for reporting[J].PestManagementScience，2002，58（8）：745-758.

[12] CAMPO I S，BEGHIN J C. Dairy food consumption，supply， and policy in Japan[J].Food Policy，2006，31（3）：228-227.

[13] 禹建麗，孫增圻，VALERI KROUMOV，等.基于BP神經(jīng)網(wǎng)絡(luò)的股市建模與決策[J].系統(tǒng)工程理論與實(shí)踐，2003，23（5）：15-19.

[14] 孫紅英.BP神經(jīng)網(wǎng)絡(luò)方法在用電量預(yù)測(cè)中的應(yīng)用[D].廣州：中山大學(xué)，2005.

第9篇：網(wǎng)絡(luò)安全審計(jì)范文

[摘要]計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)是涉及我國(guó)經(jīng)濟(jì)發(fā)展、社會(huì)發(fā)展和國(guó)家安全的重大問(wèn)題。本文結(jié)合網(wǎng)絡(luò)安全建設(shè)的全面信息，在對(duì)網(wǎng)絡(luò)系統(tǒng)詳細(xì)的需求分析基礎(chǔ)上，依照計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo)和計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃，設(shè)計(jì)了一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系。

[關(guān)鍵詞]網(wǎng)絡(luò)安全方案設(shè)計(jì)實(shí)現(xiàn)

一、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)與實(shí)現(xiàn)概述

影響網(wǎng)絡(luò)安全的因素很多，保護(hù)網(wǎng)絡(luò)安全的技術(shù)、手段也很多。一般來(lái)說(shuō)，保護(hù)網(wǎng)絡(luò)安全的主要技術(shù)有防火墻技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)、防病毒技術(shù)、加密技術(shù)、身份認(rèn)證技術(shù)，等等。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全，必須結(jié)合網(wǎng)絡(luò)的具體需求，將多種安全措施進(jìn)行整合，建立一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系，這樣一個(gè)全面的網(wǎng)絡(luò)安全解決方案，可以防止安全風(fēng)險(xiǎn)的各個(gè)方面的問(wèn)題。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)

1.桌面安全系統(tǒng)

用戶的重要信息都是以文件的形式存儲(chǔ)在磁盤(pán)上，使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率，但同時(shí)也造成用戶的信息易受到攻擊，造成泄密。特別是對(duì)于移動(dòng)辦公的情況更是如此。因此，需要對(duì)移動(dòng)用戶的文件及文件夾進(jìn)行本地安全管理，防止文件泄密等安全隱患。

本設(shè)計(jì)方案采用清華紫光公司出品的紫光S鎖產(chǎn)品，“紫光S鎖”是清華紫光“桌面計(jì)算機(jī)信息安全保護(hù)系統(tǒng)”的商品名稱(chēng)。紫光S鎖的內(nèi)部集成了包括中央處理器（CPU）、加密運(yùn)算協(xié)處理器（CAU）、只讀存儲(chǔ)器（ROM），隨機(jī)存儲(chǔ)器（RAM）、電可擦除可編程只讀存儲(chǔ)器（E2PROM）等，以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS（ChipOperatingSystem）、硬件ID號(hào)、各種密鑰和加密算法等。紫光S鎖采用了通過(guò)中國(guó)人民銀行認(rèn)證的SmartCOS，其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，防止非法軟件對(duì)S鎖進(jìn)行操作。

2.病毒防護(hù)系統(tǒng)

基于單位目前網(wǎng)絡(luò)的現(xiàn)狀，在網(wǎng)絡(luò)中添加一臺(tái)服務(wù)器，用于安裝IMSS。

（1)郵件防毒。采用趨勢(shì)科技的ScanMailforNotes。該產(chǎn)品可以和Domino的群件服務(wù)器無(wú)縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫(kù)中，可防止病毒入侵到LotueNotes的數(shù)據(jù)庫(kù)及電子郵件，實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫(kù)及信件附件中的病毒。可通過(guò)任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作，并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。ScanMail是NotesDominoServer使用率最高的防病毒軟件。

（2)服務(wù)器防毒。采用趨勢(shì)科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念，防毒模塊和管理模塊可分開(kāi)安裝。一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響，另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署，管理和更新。

（3)客戶端防毒。采用趨勢(shì)科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，使管理者通過(guò)單點(diǎn)控制所有客戶機(jī)上的防毒模塊，并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式，不受Windows域管理模式的約束，除支持SMS，登錄域腳本，共享安裝以外，還支持純Web的部署方式。

（4)集中控管TVCS。管理員可以通過(guò)此工具在整個(gè)企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)趨勢(shì)科技的防病毒軟件，支持跨域和跨網(wǎng)段的管理，并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。無(wú)論運(yùn)行于何種平臺(tái)和位置，TVCS在整個(gè)網(wǎng)絡(luò)中總起一個(gè)單一管理控制臺(tái)作用。簡(jiǎn)便的安裝和分發(fā)部署，網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動(dòng)下載病毒代碼文件和病毒爆發(fā)警報(bào)，給管理帶來(lái)極大的便利。

3.動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)

動(dòng)態(tài)口令系統(tǒng)在國(guó)際公開(kāi)的密碼算法基礎(chǔ)上，結(jié)合生成動(dòng)態(tài)口令的特點(diǎn)，加以精心修改，通過(guò)十次以上的非線性迭代運(yùn)算，完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散。在此基礎(chǔ)上，采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。

4.訪問(wèn)控制“防火墻”

單位安全網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成，在控制不可信連接、分辨非法訪問(wèn)、辨別身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。本設(shè)計(jì)方案選用四臺(tái)網(wǎng)御防火墻，分別配置在高性能服務(wù)器和三個(gè)重要部門(mén)的局域網(wǎng)出入口，實(shí)現(xiàn)這些重要部門(mén)的訪問(wèn)控制。

通過(guò)在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門(mén)之間部署防火墻，通過(guò)防火墻將網(wǎng)絡(luò)內(nèi)部不同部門(mén)的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段，彼此隔離。這樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器，使其不受來(lái)自內(nèi)部的攻擊，也保護(hù)了各部門(mén)網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來(lái)自單位網(wǎng)內(nèi)部其他部門(mén)的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)您的一個(gè)部門(mén)，或者如果病毒開(kāi)始蔓延，網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。

5.信息加密、信息完整性校驗(yàn)

為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個(gè)子網(wǎng)之間建立起獨(dú)立的安全通道，通過(guò)嚴(yán)格的加密和認(rèn)證措施來(lái)保證通道中傳送的數(shù)據(jù)的完整性、真實(shí)性和私有性。

SJW-22網(wǎng)絡(luò)密碼機(jī)系統(tǒng)組成

網(wǎng)絡(luò)密碼機(jī)（硬件）:是一個(gè)基于專(zhuān)用內(nèi)核，具有自主版權(quán)的高級(jí)通信保護(hù)控制系統(tǒng)。

本地管理器（軟件）:是一個(gè)安裝于密碼機(jī)本地管理平臺(tái)上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機(jī)本地管理系統(tǒng)軟件。

中心管理器（軟件）:是一個(gè)安裝于中心管理平臺(tái)（Windows系統(tǒng)）上的對(duì)全網(wǎng)的密碼機(jī)設(shè)備進(jìn)行統(tǒng)一管理的系統(tǒng)軟件。

6.安全審計(jì)系統(tǒng)

根據(jù)以上多層次安全防范的策略，安全網(wǎng)的安全建設(shè)可采取“加密”、“外防”、“內(nèi)審”相結(jié)合的方法，“內(nèi)審”是對(duì)系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查，識(shí)別系統(tǒng)是否正在受到攻擊以及內(nèi)部機(jī)密信息是否泄密，以解決內(nèi)層安全。

安全審計(jì)系統(tǒng)能幫助用戶對(duì)安全網(wǎng)的安全進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切，提供取證手段。作為網(wǎng)絡(luò)安全十分重要的一種手段，安全審計(jì)系統(tǒng)包括識(shí)別、記錄、存儲(chǔ)、分析與安全相關(guān)行為有關(guān)的信息。

在安全網(wǎng)中使用的安全審計(jì)系統(tǒng)應(yīng)實(shí)現(xiàn)如下功能：安全審計(jì)自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)分析、安全審計(jì)瀏覽、安全審計(jì)事件存儲(chǔ)、安全審計(jì)事件選擇等。

本設(shè)計(jì)方案選用“漢邦軟科”的安全審計(jì)系統(tǒng)作為安全審計(jì)工具。

漢邦安全審計(jì)系統(tǒng)是針對(duì)目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的安全問(wèn)題，面向企事業(yè)的網(wǎng)絡(luò)管理人員而設(shè)計(jì)的一套網(wǎng)絡(luò)安全產(chǎn)品，是一個(gè)分布在整個(gè)安全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測(cè)、控制系統(tǒng)。

（1）安全審計(jì)系統(tǒng)由安全監(jiān)控中心和主機(jī)傳感器兩個(gè)部分構(gòu)成。主機(jī)傳感器安裝在要監(jiān)視的目標(biāo)主機(jī)上，其監(jiān)視目標(biāo)主機(jī)的人機(jī)界面操作、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情況及共享資源的使用情況。安全監(jiān)控中心是管理平臺(tái)和監(jiān)控平臺(tái)，網(wǎng)絡(luò)管理員通過(guò)安全監(jiān)控中心為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則，同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)。主要功能有文件保護(hù)審計(jì)和主機(jī)信息審計(jì)。

①文件保護(hù)審計(jì)：文件保護(hù)安裝在審計(jì)中心，可有效的對(duì)被審計(jì)主機(jī)端的文件進(jìn)行管理規(guī)則設(shè)置，包括禁止讀、禁止寫(xiě)、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報(bào)警等功能。以及對(duì)文件保護(hù)進(jìn)行用戶管理。

②主機(jī)信息審計(jì):對(duì)網(wǎng)絡(luò)內(nèi)公共資源中，所有主機(jī)進(jìn)行審計(jì)，可以審計(jì)到主機(jī)的機(jī)器名、當(dāng)前用戶、操作系統(tǒng)類(lèi)型、IP地址信息。

（2)資源監(jiān)控系統(tǒng)主要有四類(lèi)功能。①監(jiān)視屏幕:在用戶指定的時(shí)間段內(nèi)，系統(tǒng)自動(dòng)每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實(shí)時(shí)控制屏幕截獲的開(kāi)始和結(jié)束。②監(jiān)視鍵盤(pán):在用戶指定的時(shí)間段內(nèi)，截獲HostSensorProgram用戶的所有鍵盤(pán)輸入，用戶實(shí)時(shí)控制鍵盤(pán)截獲的開(kāi)始和結(jié)束。

③監(jiān)測(cè)監(jiān)控RAS連接：在用戶指定的時(shí)間段內(nèi)，記錄所有的RAS連接信息。用戶實(shí)時(shí)控制ass連接信息截獲的開(kāi)始和結(jié)束。當(dāng)gas連接非法時(shí)，系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連接的操作。

④監(jiān)測(cè)監(jiān)控網(wǎng)絡(luò)連接：在用戶指定的時(shí)間段內(nèi)，記錄所有的網(wǎng)絡(luò)連接信息(包括:TCP，UDP，NetBios）。用戶實(shí)時(shí)控制網(wǎng)絡(luò)連接信息截獲的開(kāi)始和結(jié)束。由用戶指定非法的網(wǎng)絡(luò)連接列表，當(dāng)出現(xiàn)非法連接時(shí)，系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連接的操作。

單位內(nèi)網(wǎng)中安全審計(jì)系統(tǒng)采集的數(shù)據(jù)來(lái)源于安全計(jì)算機(jī)，所以應(yīng)在安全計(jì)算機(jī)安裝主機(jī)傳感器，保證探頭能夠采集進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)。安全監(jiān)控中心安裝在信息中心的一臺(tái)主機(jī)上，負(fù)責(zé)為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則，同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)。單位內(nèi)網(wǎng)中的安全計(jì)算機(jī)為600臺(tái)，需要安裝600個(gè)傳感器。

7.入侵檢測(cè)系統(tǒng)IDS

入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視，這從國(guó)際入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。

根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度，選擇IDS探測(cè)器（百兆）配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機(jī)處放置，核心交換機(jī)放置控制臺(tái)，監(jiān)控和管理所有的探測(cè)器因此提供了對(duì)內(nèi)部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

在單位安全內(nèi)網(wǎng)中，入侵檢測(cè)系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)的幾個(gè)要害部門(mén)子網(wǎng)和其他部門(mén)子網(wǎng)之間，通過(guò)實(shí)時(shí)截取網(wǎng)絡(luò)上的是數(shù)據(jù)流，分析網(wǎng)絡(luò)通訊會(huì)話軌跡，尋找網(wǎng)絡(luò)攻擊模式和其他網(wǎng)絡(luò)違規(guī)活動(dòng)。

8.漏洞掃描系統(tǒng)

本內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決定了整個(gè)系統(tǒng)的安全性。在內(nèi)網(wǎng)高性能服務(wù)器處配置一臺(tái)網(wǎng)絡(luò)隱患掃描I型聯(lián)動(dòng)型產(chǎn)品。I型聯(lián)動(dòng)型產(chǎn)品適用于該內(nèi)網(wǎng)這樣的高端用戶，I型聯(lián)動(dòng)型產(chǎn)品由手持式掃描儀和機(jī)架型掃描服務(wù)器結(jié)合一體，網(wǎng)管人員就可以很方便的實(shí)現(xiàn)了集中管理的功能。網(wǎng)絡(luò)人員使用I型聯(lián)動(dòng)型產(chǎn)品，就可以很方便的對(duì)200信息點(diǎn)以上的多個(gè)網(wǎng)絡(luò)進(jìn)行多線程較高的掃描速度的掃描，可以實(shí)現(xiàn)和IDS、防火墻聯(lián)動(dòng)，尤其適合于制定全網(wǎng)統(tǒng)一的安全策略。同時(shí)移動(dòng)式掃描儀可以跨越網(wǎng)段、穿透防火墻，實(shí)現(xiàn)分布式掃描，服務(wù)器和掃描儀都支持定時(shí)和多IP地址的自動(dòng)掃描，網(wǎng)管人員可以很輕松的就可以進(jìn)行整個(gè)網(wǎng)絡(luò)的掃描，根據(jù)系統(tǒng)提供的掃描報(bào)告，配合我們提供的三級(jí)服務(wù)體系，大大的減輕了工作負(fù)擔(dān)，極大的提高了工作效率。

聯(lián)動(dòng)掃描系統(tǒng)支持多線程掃描，有較高的掃描速度，支持定時(shí)和多IP地址的自動(dòng)掃描，網(wǎng)管人員可以很輕松的對(duì)自己的網(wǎng)絡(luò)進(jìn)行掃描和漏洞的彌補(bǔ)。同時(shí)提供了Web方式的遠(yuǎn)程管理，網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。另外對(duì)于信息點(diǎn)少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)隱患掃描II型移動(dòng)式掃描儀。移動(dòng)式掃描儀使用靈活，可以跨越網(wǎng)段、穿透防火墻，對(duì)重點(diǎn)的服務(wù)器和網(wǎng)絡(luò)設(shè)備直接掃描防護(hù)，這樣保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性，最大可能地消除安全隱患。

在防火墻處部署聯(lián)動(dòng)掃描系統(tǒng)，在部門(mén)交換機(jī)處部署移動(dòng)式掃描儀，實(shí)現(xiàn)放火墻、聯(lián)動(dòng)掃描系統(tǒng)和移動(dòng)式掃描儀之間的聯(lián)動(dòng)，保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性，最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，優(yōu)化資源，提高網(wǎng)絡(luò)的運(yùn)行效率和安全性。

三、結(jié)束語(yǔ)