![点击分享此内容可以赚币 分享](/master/images/share_but.png)
基于策略工程的攻击阻断与防护.pdf
《基于策略工程的攻击阻断与防护.pdf》由会员分享,可在线阅读,更多相关《基于策略工程的攻击阻断与防护.pdf(4页珍藏版)》请在咨信网上搜索。
1、2023年10 月计算机应用文摘第39 卷第2 0 期基于策略工程的攻击阻断与防护孙志刚(浙江传媒学院,杭州310 0 18)摘要:由于网络安全体系中的安全防御手段较为单一化,且来自入侵者的攻击手段较为多元化,在网络应用层安全防御体系中存在着大量的漏洞。针对高校校园网中的攻击行为,如何利用多网络安全技术及设备更高效、全面地进行侦测和阻断是网络安全领域目前面临的一大问题。为了实现更为快速、精准、全面的网络安全防御,文章提出了基于策略工程的防御模型,可有效提高各安全防御系统间的协作度及高校校园网的安全强度。关键词:策略工程;学习业务;业务场景;防护策略;业务连续性SUN Zhigang中图法分类号
2、:TN915Attack blocking and protection based on strategy engineeringAbstract:Because the security defense means in the network security system are relatively single,andthe attack means from intruders are more diversified,there are a lot of loopholes in the networkapplication layer security defense sys
3、tem.In view of the attack behavior in the campus network ofcolleges and universities,how to use multi-network security technology and equipment to detect andblock more efficiently and comprehensively is a major problem in the field of network security.Inorder to achieve a more rapid,accurate and com
4、prehensive network security defense,this paperproposes a defense model based on strategy engineering,which can effectively improve thecollaboration between the security defense systems and the security strength of the campus network.Key words:strategy engineering,learning business,business scenario,
5、protection strategy,businesscontinuity1引言在当前主流护网技战法中,主要采取封堵源IP地址的防御手段以应对网络攻击者的入侵,其中包括基于网络安全设备的策略封禁和工程师手动封禁,在现实情况中,工程师更依赖前者 1。然而,防护对象式策略有时无法动态满足业务发展的需要,如在上线新服务及新端口时,安全策略无法动态地跟踪调整,带来了一系列临时性问题。此外,由于不同安全设备的安全特征不具备共享性,且各安全厂商之间的规则无法同步,网络安全维护工程师必须从多角度出发以确定防护策略,在保障业务系统稳定运行的同时,需保持安全策略的有效性且需及时进行更新 2 2基于策略工程的系
6、统框架2.1安安全运营体系建设目前,网络安全运营体系的建设主要基于以下总文献标识码:A(Communication University of Zhejiang,Hangzhou 310018,China)体指导原则:(1)网络安全运营体系中需具备最基础、必要的安全防护,主要指针对各类业务系统的基础防护手段,如必要静态防护等;(2)在部署基础的静态防护后,需进一步采取预测及监测手段,同时提出针对各类业务系统的动态预警方案;(3)在监测目标并作出响应后,需阻止入侵行为,并将结果发送至网络安全维护人员,从而针对人侵来源及安全现状等制定相关防护制度、策略,进而实现更为全面的网络安全防护。在网络安全法
7、数据安全法网络安全等级保护2.0 标准等行业标准规范的约束下,从管理架构、人员构成和技术保障等多角度出发,安全运营需具备包括风险识别、安全防御、安全检测、安全响应和安全恢复等在内的能力,同时需满足等级保护合规行业监管条件 3 4,如图1所示。2023年第2 0 期行业标准规范管理网络安全法数据安全法等保2.0 标准关键信息基础人1设施保护体系2.渗透测试服务7.系统上线前评估3.源代码安全审计8.等保建设咨询大数据安全4APP安全评估规范与标准5.业务数据流分析10.数据安全评估GB/T行业标准规范教育行业标准技术平台大数据平台体系内部管理制度安全应急处置平台基础结构安全纵深防御安全基于实战五
8、大能力运营交付2.2系统框架通过划分网络安全防护系统的层次,可使防护体系中的防护功能模块独立于现有的网络安全设备。对总控台模块进行划分,可提高防护体系中策略配置的灵活性,有助于网络安全维护人员针对攻击者的不同攻击手段实时更新安全策略,从而提高网络安全防护系统的扩展性。总控对安全事件进行统一的关联分析,可减少防御系统的错误识别和安全策略的重复响应。同时,采用联动设计,可降低各系统间频繁的数据通信,不仅能提高网络应用层的安全性,还能减少对网络带宽的占用 5。如图2 所示,系统架构的层次模型包含设备层、事件层和决策层。快策。决策层事件处理事件层报警代理、设备层安全设备图2 系统架构层次图(1)设备层
9、:包含各安全厂商生产的安全系统(软硬件设备),负责管理网络安全监测和业务系统访问控制权限;在联动层面,收集网络安全事件数据,由设备判断后发送给总控台;在总控台和安全系统间利用数据接口传送相关命令。(2)事件层:负责处理各类网络安全产品提供的安全事件数据,根据相关攻击(或病毒)特征库关联各类报警事件数据,并将清洗后的数据传送给决策层,计算机应用文摘运营服务团队项自管理体系组织质量管理跟踪技术提升培训流程漏洞管理流程威胁管理流程安全事件处置率漏洞预警时效性管理机制远程专家指导社区知识库评估规划服务风险评估与规划6.互联网资产发现9.27001管理咨询态势感知安全风险管控平台物联网安全DAC管控平台
10、积极防御风险识别能力安全防御能力满足等保合规行业监管安全物理环境图1系统架构层次图同时对此类数据进行存储和管理。(3)决策层:负责动态分析并匹配网络安全事件和安全策略,从而生成防御规则并将相关命令下发至总控台,进而对相关网络安全设备下达指令;采取人为响应和机器响应,其中包括网络安全策略响应、规则库编辑、网络安全策略及安全系统树的管理等。3策策略工程的实现方法3.1定义安全策略网络安全策略的定义需考虑攻击的危险等级和特征,针对低危报警事件不作处理,仅利用单一防护设备监测并生成通知发送给相关维护人员;针对高危策略库报警事件,在告知基础上向封禁装置下发相关命令,由总控台自动更改可疑攻击来源接入系统的
11、访问控事件数据库制权限,并对人侵源地址或目的地址进行判别后采取阻断或放行策略,同时采用联动策略以确定阻断时长显示输出。和阻断方法,从而在保障网络正常运行的同时使安全联动阻断攻击。响应代理。当人侵来源表现为源地址到单个或多个目的地址时,多为人侵者对多台设备进行扫描以试探可攻击响应设备的目标,是一种常见的人侵方式。针对此类人侵,应采用源地址阻断,在最接近源地址的接入系统中进行管控。此外,针对入侵来源表现为多个源地址到单个目的IP,如DDOS攻击等,可直接阻断其源地址以实现防护。3.25安全防御模型自然语言描述目前,主流业务系统存在多元化、离散化、结构复杂化等特性,且随时间变化而变化。网络防护应从纵
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 策略 工程 攻击 阻断 防护
![提示](https://www.zixin.com.cn/images/bang_tan.gif)
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。