網絡安全事件管理范例6篇

前言：中文期刊網精心挑選了網絡安全事件管理范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全事件管理范文1

關鍵詞：計算機網絡；信息系統；安全管理

近幾年來,伴隨著網絡技術的快速發展,網絡信息化在給人們帶來種種的方便同時，我們也正受到日益嚴重的來自網絡的安全威脅。我們要以影響計算機網絡安全的主要因素為突破口，重點分析防范各種不利于計算機網絡正常運行的措施，從而全面了解影響計算機網絡安全的情況。

1 影響計算機網絡信息系統安全的因素

1.1 自然環境導致的安全問題

物理安全是保護計算機網絡設備、設施等。避免遭到地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞。例如：電源是計算機系統正常工作的重要因素。機房內的計算機系統都應接插在具有保護裝置的不間斷電源設備上，防止電源中斷、電壓瞬變、沖擊等異常狀況。

1.2 網絡軟件的漏洞

系統漏洞是指系統軟、硬件存在安全方面的脆弱性，系統漏洞的存在導致非法用戶入侵系統或未經授權獲得訪問權限，造成信息篡改和泄露、拒絕服務或系統崩潰等問題。網絡漏洞會影響到很大范圍的軟硬件設備，包括操作系統本身及其支撐軟件，網絡客戶和服務器軟件，網絡路由器和安全防火墻等。

換而言之，在這些不同的軟硬件設備中都可能存在不同的安全漏洞問題。在不同種類的軟、硬件設備，同種設備的不同版本之間，由不同設備構成的不同系統之間，以及同種系統在不同的設置條件下，都會存在各自不同的安全漏洞問題。

這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現過的黑客攻入網絡內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。

1.3 人為原因導致的安全問題

人為的無意失誤對網絡計算機系統造成的威脅，包括：操作員安全配置不當造成的安全漏洞；不合理地設定資源訪問控制；用戶將自己的賬號隨意轉借他人或與別人共享等等。此外還有人為地惡意攻擊，這是計算機網絡所面臨的最大威脅，它以各種方式有選擇地破壞信息的有效性和完整性，并對其進行更改使它失效，或者故意添加一些有利于自己的信息，起到信息誤導的作用。

1.4 計算機病毒

在網絡環境下，計算機病毒具有不可估量的威脅性和破壞力。那可能給社會造成災難性的后果。計算機病毒將自己附在其他程序上，在這些程序運行時進人到系統中進行擴散。計算機感染上病毒后，輕則使系統上作效率下降，重則造成系統死機或毀壞，使部分文件或全部數據丟失，甚至造成計算機主板等部件的損壞。

2 維護計算機網絡信息系統安全的技術

2.1 網絡加密技術

網絡信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密技術是最常用的安全保密手段，利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地后再用相同或不同的手段還原。

加密技術包括兩個元素：算法和密鑰。算法是將普通的信息或者可以理解的信息與一串數字（密鑰）結合，產生不可理解的密文的步驟，密鑰是用來對數據進行編碼和解密的一種算法。

在安全保密中，可通過適當的密鑰加密技術和管理機制來保證網絡的信息通信安全。網絡加密技術提供的安全功能或服務主要包括：訪問控制；無連接完整性；數據起源認證；抗重放攻擊；機密性；有限的數據流機密性。

2.2 防火墻技術

防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。防火墻是一種網絡安全保障手段，是網絡通信時執行的一種訪問控制尺度，其主要目標就是通過控制入、出一個網絡的權限，并迫使所有的連接都經過這樣的檢查，防止一個需要保護的網絡遭外界因素的干擾和破壞。

防火墻的安全性問題來自兩個方面：其一是防火墻本身的設計是否合理，其二是使用不當，防火墻的許多配置需要系統管理員手工修改，如果系統管理員對防火墻不十分熟悉，就有可能在配置過程中遺留大量的安全漏洞。

防火墻是網絡安全的屏障:一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。

2.3 操作系統安全內核技術

操作系統安全加固技術，是一項利用安全內核來提升操作系統安全水平的技術，其核心是在操作系統的核心層重構操作系統的權限訪問模型，實現真正的強制訪問控制。操作系統內核中可能引起安全性問題的部分從內核中剔除出去，從而使系統更安全。

在具體的功能應用上，主要是從以下三個方面來實現系統內核加固技術：第一、強制訪問控制MAC，分為兩部分，一是基于用戶對文件的訪問控制，二是基于進程對文件的訪問控制；第二、進程保護機制，在進程操作訪問界面上，判斷內存中的進程及其用戶的標記，來判斷是否有權限讓該用戶終止該進程；第三、三權分立管理，將系統的超級管理員分成安全管理員、審計管理員、系統管理員三個部分，安全管理員負責系統權限的分配，審計管理員負責安全事件的統計分析，為其他管理員制定安全策略提供依據；系統管理員則通過被授予的權限進行日常操作，如安裝指定軟件、網站建設等。

2.4 入侵檢測技術

入侵檢測系統（Intrusion Detection System，簡稱IDS）是由硬件和軟件組成的，用來檢測系統或者網絡以發現可能的入侵或攻擊的系統。入侵檢測系統通過定時的檢測，檢查特定的攻擊模式、系統配置、系統漏洞、存在缺陷的程序版本以及系統或用戶的行為模式，監視與安全有關的活動。

根據檢測對象的不同，入侵檢測系統可分為主機型和網絡型?；谥鳈C的監測。主機型入侵檢測系統就是以系統日志、應用程序日志等作為數據源，當然也可以通過其他手段（如監督系統調用）從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。這種系統經常運行在被監測的系統之上，用以監測系統上正在運行的進程是否合法。

3 計算機網絡信息系統安全的管理策略

3.1 建立安全小組

安全策略的創建往往需要一個團隊的協同工作，以保證所制定的策略是全面的、切合實際的、能夠有效實施的、性能優良的。把來自公司不同部門的人組成一個小組或團隊的另一個理由是當團隊中的某些成員意見分歧時，能夠進行充分的討論，以得到一個較好的解決問題的辦法。這樣的效果遠遠好于從營銷、銷售或開發方面得到的信息更完善。

安全計劃小組應該包含那些來自企業不同部門不同專業的人們，IT 小組成員，系統和計算機管理員，都應出現在團隊當中。從不同部門來的有責任心有代表性的人之間應該保持聯系方面和協商渠道的通暢。

3.2 網絡安全管理策略

安全管理隊伍的建設。在計算機網絡系統中，絕對的安全是不存在的，制定健全的安全管理體制是計算機網絡安全的重要保證，只有通過網絡管理人員與使用人員的共同努力，運用一切可以使用的工具和技術，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。

同時，要不斷地加強計算機信息網絡的安全規范化管理力度，大力加強安全技術建設，強化使用人員和管理人員的安全防范意識。網絡內使用的IP 地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進行安全管理工作，應該對本網內的IP 地址資源統一管理、統一分配。

對于盜用IP 資源的用戶必須依據管理制度嚴肅處理。只有共同努力，才能使計算機網絡的安全可靠得到保障，從而使廣大網絡用戶的利益得到保障。在網絡安全中，除了采用上述技術措施之外，加強網絡的安全管理，制定有關規章制度，對于確保網絡的安全、可靠地運行，將起到十分有效的作用。

參考文獻：

[1] 李淑芳.網絡安全淺析[J].維普資訊,2006(2).

[2] 袁家政.計算機網絡安全與應用技術[M].北京:清華大學出版社,2002.

網絡安全事件管理范文2

1 校園無線網絡應用的必要性

隨著網絡的普及，越來越多的大學為了方便師生使用而在學校的部分熱點區域甚至是整個范圍內覆蓋了無線網絡。如何更好地建設校園網并對其進行有效的安全管理越來越受到人們的關注。隨著近些年高校人數的不斷增加，校園內的師生人數呈現一定的增長趨勢，這就使得校園有線網絡越來越不能滿足師生的使用需求，有線網絡的缺陷和不足也就逐漸暴露出來。無線網絡的建設和發展方便了師生工作和學習需要的同時也給其生活和娛樂帶來了極大的便利。師生的教學科研工作越來越依賴于無線網絡的使用。另外，隨著遠程教育事業的蓬勃發展，利用校園網進行信息化資源建設的工作越來越受到教育界的重視。為了使學生能夠更加便捷地在學校所提供的網絡平臺上獲得知識資源，更新網絡平臺，加強校園無線網絡的安全性建設是十分必要的，對于教學活動的開展與傳播有著重要的意義。

2 在校園內我們要建立什么樣的無線網絡

2.1 校園無線網絡要隨時隨地都能使用

隨著人們對知識的渴望的增強，師生希望能夠在校園的任何一個角落都能夠搜索到校園無線網絡，從而能夠利用無線網絡來尋找解決遇到的問題的答案。無線網絡要幫助校園內的師生了解社會的最新消息，讓師生即使不出校門，也能夠對外部世界有清晰的了解，避免校內師生和外部社會脫軌，讓培養出來的學生能夠與社會需求相匹配。

2.2 校園無線網絡要有組網靈活和維護方便

在高校進行無線網絡的建設時要充分了解現有校區已成形的有線網絡布置，在此前提下對現有網絡進行擴建、合并和重組。因為重新布線要耗費大量的資金和時間，且工程較為復雜。無線網絡的布置是一個較為簡單直接的方案，能夠節約布線成本。要在每個教室或者學生宿舍的每個樓層預留網絡接口，實現無線網絡的全面覆蓋。校園無線網絡的接口要進行科學的論證和合理的布局，這樣才能方便學生在校園內隨時隨地上網，實現數字化校園。

2.3 校園無線網絡的管理要簡單易行

高校內的學生數量很大，在校園內鋪設無線網絡之后，校園內部的網絡部門的管理者要對校園內師生和工作人員的無線網絡進行管理，為了減少校園無線網絡管理部門管理者的工作負擔，我們希望校園無線網絡的管提供論文寫作和寫作服務lunwen. 1KEJI AN.  C OM,歡迎您的光臨理要簡單易行，從而能夠讓網絡管理者只需耗費少量的時間就能解決校園無線網絡存在的問題，并且對網絡的資源進行管理與分配，促進資源的合理利用。

2.4 校園無線網絡的使用要實行自動化的服務

現如今，科學技術水平得到了提高，但人們也漸漸變得懶惰，所以針對校園無線網絡的建設，我們必須為校園無線網絡的使用增加自動化服務，以此來幫助師生進行校園無線網絡的連接，讓師生在尋找問題的答案的過程中享受到無線網絡的方便與快捷，并且有效縮短網絡使用者和網絡管理者在使用和管理過程中所耗費的時間。

2.5 校園無線網絡要能夠確保多個媒體的正常應用

隨著經濟的不斷進步以及社會的不斷發展，人們對移動網絡設備有了更高的要求，他們要求移動網絡設備具有學習、聽音樂、看電影、看小說、網上聊天和網上游戲等功能，但是校園無線網絡的建設缺少科學合理的網絡規劃，所以不能滿足師生對移動網絡設備各項功能的要求，也無法提高師生的滿意度，降低了師生繼續學習的熱情，不利于人才的培養。

2.6 校園無線網絡的計費要透明、公正

有的學生在使用移動網絡設備的時候，由于一時的疏忽大意，在沒有購買流量的情況下進行網上活動，會讓移動網絡設備的使用者花費大量的資金，并且由于無線網絡的計費缺乏透明性和公開性，更增添了一些莫名其妙的用網費用，這樣就會影響使用者的心情，影響師生工作的積極性。當移動網絡設備的使用者向人工服務臺進行舉報時，缺乏完整的數據來對自己的網上行為進行準確地記錄，所以話費的數量遭到人們的質疑，不利于校園無線網絡的終端與使用者之間的友好相處。

3 怎樣建立理想的校園無線網絡

3.1 在校園內覆蓋高速的無線網絡

為了讓校園內的師生能夠隨時隨地使用校園無線網絡解決在工作、學習和生活中遇到的問題，校園有關部門要在校園內覆蓋高速的無線網絡，讓校園無線網絡分布在校園的每一個角落，使得師生能夠及時找到解決問題的辦法，激發師生學習的熱情，讓師生對科學有更深刻的理解，增強師生的創造力。

3.2 增加校園無線網絡的安全保護措施

為了保障校園無線網絡的安全，校園無線網絡必須要能夠抵抗網絡用戶利用專用工具的惡意攻擊，還要能夠防止外部的竊聽，為了充分保障校園無線網絡用戶的安全，要對校園無線網絡的用戶設定安全準入窗口，防止不法分子的進入。隨著不法分子進行不法行為手段的提高，要對校園無線網絡進行多層次的安全防護，對無線網絡用戶的身份進行驗證，對其訪問的網址進行控制，進而保證合法用戶的用網安全。

3.3 在校園內安排網管對校園的無線網絡進行管理

隨著移動互聯設備的增加，大學生需要更加優惠劃算的無線網絡來進行網上活動，所以就會催動一些人利用計算機技術私自建立無線網絡，影響他人無線網絡的使用，為了解決這一難題，我們在校園內要安排網管來對校園的無線網絡進行管理，減少不法用戶的數量，保證合法用戶的用網安全。

3.4 在校園無線網絡中安裝并運行關鍵性應用，從而確保校園無線網絡應用的方便

當代大學生為了獲得更多的知識，也為了給枯燥無聊的日子增添一些色彩，他們需要校園無線網絡為他們提供更加方便快捷的登錄點來進行網上活動，所以我們必須在校園無線網絡 中安裝并運行關鍵性的應用，從而給學生的學習和娛樂提供方便，為學生的生活增加光彩。

3.5 做好校園無線網絡的規劃

在校園無線網絡中，為了讓師生充分享受網上活動的方便與快捷，在建設校園無線網絡時，我們必須對校園無線網絡進行規劃，使校園無線網絡能夠給無線寬帶應用做好鋪墊，減少為了改造無線網絡消耗的資金，并且無線網絡在規劃時要考慮到師生網上活動的需求，讓師生能夠利用多樣的媒體進行工作和生活。

3.6 增加校園無線網絡計費的透明度，并確保計費的準確性

根據對校園無線網絡用戶的調查結果可知，很多用戶在使用無線網絡的過程中，因為不了解無線網絡的計費標準提供論文寫作和寫作服務lunwen. 1KEJI AN.  C OM,歡迎您的光臨，對于購買的無線網絡的滿意程度總是很低，不利于校園無線網絡的健康發展。為了改變這一不良影響，我們必須增加校園無線網絡計費的透明度，對網絡的使用費用進行準確的計算，促進校園無線網絡的健康發展。

4 校園無線網絡在安全管理上存在的問題

4.1 校園無線網絡面臨著網絡入侵的威脅

由于校園無線網絡具有開放性的特點，所以非法用戶能夠利用這一特點對無線網絡的合法用戶進行攻擊，從而影響校園無線網絡合法用戶的使用，有的時候甚至會使整個校園無線網絡出現大面積癱瘓的現象，影響教師的正常教學，機密文件缺乏安全保證，師生的個人信息會泄露。

4.2 高校內的學生使用非法的無線網絡

校內的學生為了能夠滿足多數人對于網絡的需求，會在學校現有的有線網絡基礎上私自建立不合法的無線網絡，從而影響校園有線網絡的使用，給校園的無線網絡帶來壓力，學生的這種行為將會對校園無線網絡的使用者帶來影響，影響他們的用網速度，不利于提高校內學生對無線網絡滿意程度。

4.3 非法的校園無線網絡用戶對校園無線網絡進行攻擊

校園內存在很多外界不法分子感興趣的項目研究和師生的學術論文，為了獲得這些重要的資料，校園外部的非法用戶會利用會話欺騙和攔截等手段來幫助其對無線網絡進行攻擊，竊取網絡中重要的資料，不利于學校的發展。

4.4 校園內部的人員會對校園無線網絡進行入侵

隨著人們對知識的渴望逐漸加強，校園內部的人員也會對學校的資料產生興趣，如果他們擁有比較先進的計算機技術，就有可能入侵校園無線網絡，進而竊取校園內部的重要資料，給信息的使用者造成不便，影響校園的用網安全。

5 如何保障校園無線網絡的安全

5.1 師生在使用校園無線網絡時要進行資格認證

校園無線網絡的開放性給師生的資料帶來了威脅，為了將威脅降到最低，師生在進入無線網絡時，要進行入網資格驗證，從而避免其他非法用戶的網絡入侵，影響師生正常用網。

5.2 網絡管理人員定期對校園無線網絡進行檢測

在校園提供論文寫作和寫作服務lunwen. 1KEJI AN.  C OM,歡迎您的光臨內，為了解決學生私自建立無線網絡的問題，校園內部的網絡管理人員要定期對校園的無線站點進行檢測， 如果搜索到未知的無線站點，要采取有效措施來禁止未經授權的網絡設備的使用，從而保證合法校園無線網絡用戶的合法權益。

5.3 將重要的資料與無線網絡分割開來，防止重要資料的泄露

由于非法用戶會利用一些先進的手段來竊取網絡的地址信息，從而攻擊校園無線網絡的系統，竊取校園內部重要的信息，影響校園無線網絡用戶信息的安全。為了消除這一影響我們要將重要信息與無線網絡分割開來，防止非法用戶入侵校內系統，對信息進行竊取或篡改，避免給校園無線網絡的使用者造成巨大的損失。

5.4 在校園無線網絡內部增設防火墻和追蹤、記錄系統

俗話說得好，“日防夜防，家賊難防”，為了防止校園內部人員的入侵，我們必須在校園無線網絡的內部增設防火墻，還要在無線網絡內部安裝追蹤記錄系統，從而追蹤非法入侵者的IP地址，將其非法入侵的過程進行記錄，從而為抓捕非法入侵的用戶提供證據。

6 結語

隨著校內師生對校園內無線網絡的要求的提高，我們必須對校園無線網絡進行改進，讓校園無線網絡實現隨時隨地的使用，確保校園無線網絡的安全，實現無線網絡的實時管理以及使用的方便快捷，并能夠應用多樣的多媒體，為師生帶來視覺和聽覺方面的感受，在計費方面還要保證準確，讓師生能夠安心地使用校園無線網絡。除此之外，我們還要對校園無線網絡進行安全管理，從而實現校園無線網絡的安全。

網絡安全事件管理范文3

[關鍵詞]高校 安全管理 網絡防范 對策

[作者簡介]王華彪（1973- ），男，湖北漢川人，河北建筑工程學院，副教授，碩士，研究方向為思想政治教育。（河北 張家口 075000）孫智宏（1981- ），男，吉林長春人，河北廣播電視大學黨（校）辦副主任，講師，碩士，研究方向為思想政治教育、職業指導。（河北 張家口 050000）林青（1978- ），男，河北南宮人，河北建筑工程學院，講師，研究方向為思想政治教育。（河北 張家口 075000）

[基金項目]本文系2014年河北省哲學社會科學基金項目“實現中國夢愿景下培育和踐行社會主義核心價值觀研究”（項目編號：HB2014WK023）、2013年河北省哲學社會科學基金項目“新媒體語境下政府應對網絡輿情的對策研究”（項目編號：HB13ZZ004）和2011年河北省教育廳人文社會科學青年基金項目“七位一體的思政理論課實踐性教學研究”（項目編號：S2011408）的階段性研究成果。

[中圖分類號]G642 [文獻標識碼]A [文章編號]1004-3985（2014）35-0177-02

一、信息多變性，傳播快捷性，網絡時代給高校安全管理帶來諸多挑戰

1.網絡信息的多變性和豐富性，使高校安全面臨巨大挑戰，受不良信息負面影響持續加大。當今社會，信息的巨大冗余是高校師生最直接的感受，信息以網絡形式為主，結合其他不斷進化的傳統媒體，無時無刻不在浸泡著年輕一代師生。其中一些極具煽動性和蠱惑力的偏激言論，如與當前社會的負面因素相聯系，必然會使青年師生的世界觀、價值觀受到強烈的沖擊和影響。保持廣大師生思想、政治上純潔穩定，難度增大，任務艱巨。

2.網上溝通的復雜性和隱身性，使新的犯罪誘因大量滋生，給高校預防工作帶來諸多問題。互聯網、移動通信等新型信息交流平臺的特有屬性，對人們的思想、行為和社會交往方式產生了深遠影響，也衍生出許多新的誘發違法違紀問題的因素，給高校預防犯罪工作帶來諸多新的課題。一是網絡使犯罪活動隱身。手機、互聯網交流的匿名性、虛擬性特點，助長了個別人以此進行違法犯罪活動的僥幸心理。近年來，高校發生的各類犯罪案件中，涉案人員都想方設法利用手機、網絡的這種特性進行違法犯罪活動。二是網絡使聊天交友便捷。手機、互聯網交流的適時性、開放性特點，為個別師生不正當交往提供了便利渠道。隨著拇指一族、網絡一族走進高校，以網上交流不當而導致的違法違紀問題層出不窮。三是網絡使癡迷者心理失衡。網上聊天、網絡游戲的依賴性、成癮性特點，使許多癡迷者產生了嚴重的網絡心理問題。近年來，師生心理問題引發的案件事故逐漸增多，其中網絡心理問題占有相當比例，應予以高度關注。四是網絡使不良信息泛濫成災。互聯網是一個暢通無阻的虛擬世界，使信息交流呈現出前所未有的便利和開放性特點，從而使信息內容的可控性大大降低。長期接觸網上不良信息，部分高校師生極易產生心理偏差，進而導致大量心理性疾病的產生。

3.網絡傳播的適時性和快捷性，使不良事態發展難以控制，給高校危機管理帶來新挑戰。一是事態發展難把握。信息化條件下，一件極小的事情，一旦處置不當就可能通過網絡迅速升級，引起師生廣泛關注，甚至使參與者成幾何級數增長，最終導致事態越來越嚴重。二是影響范圍難控制。網絡時代條件下，即便是發生在偏遠地方的事件，只要進入網絡就會被迅速擴散，引起廣泛的社會影響。三是負面影響難消除。任何信息只要接觸網絡，往往都會在極短的時間內被克隆延伸出無數個版本，轉接到各個網站，甚至被下載到各個網絡用戶的終端，無法徹底清除。高校發生的各類問題，只要被發送到互聯網上，就很難根除痕跡，隨時有被人任意篡改、惡意歪曲、重新炒作的可能。必須清醒認識到信息網絡所具有的負面作用。

二、認識有偏差，防范不到位，網絡尚未完全納入高校安全管理范疇

1.對網絡的現實威脅和潛在影響，認識不夠。一是對網絡信息的影響力認識不清。對網絡信息給師生思想帶來的消極影響認識不清楚。有的認為網絡信息如同報紙、電視、廣播等大眾傳媒一樣，是社會發展到一定階段的必然產物，忽視了必要的教育引導;有的不善于學習研究新事物，對網絡信息一知半解，對網絡信息的危害說不清、道不明，缺乏教育引導的說服力。二是對網絡竊密的嚴峻性認識不清。對網絡技術已成為隱蔽敵對勢力滲透重要工具的現實危險認識不清楚。有的思想麻痹，對隱蔽敵對勢力進攻的猖狂程度估計不足，有的敵情觀念淡薄，對互聯網給意識形態滲透工作帶來的沖擊和影響估計不足。三是對涉網事件的沖擊力認識不清。對涉網事件可能給高校聲譽、政治穩定造成的惡劣影響認識不清。有的高校思想政治工作者仍然只注意傳統媒體信息，對網絡信息關注不夠，特別是對涉及高校的負面信息在網上的傳播、炒作缺乏應有的警惕。

2.對網絡的巨大沖擊和負面因素，措施不利。一是思想工作不深入。有的搞教育時不注重對象，不從實際出發，“一刀切”“一鍋煮”;有的矯正錯誤思想軟弱無力，少數師生受社會錯誤思潮的影響，拜金主義、享樂主義和極端個人主義不斷增長，甚至在日常生活中都有所流露，所在單位普遍忽視對他們的教育幫助，錯失了將事件扼殺在萌芽狀態的良機。二是交往關口沒把住。不正常對外交往是案件和問題發生的重要原因。有的案犯案發前就交往過濫，單位不少人包括高校的黨政領導都可能知道，但沒有人制止;有的學生平時生活西化，酗酒上網，夜不歸校，高校學工干部沒有深究細查;有的熱衷網絡交友，有事不找教工找網友，經常去網吧，或與網友約會，甚至把網友帶入校園留宿，但學校卻沒有采取有效措施解決。

三、教育謀實效，管理求科學，加強信息化條件下高校安全管理工作

1.加強警示教育力度，筑牢高校安全管理的思想防線。一是教育要有針對性。就警示性法制教育效果而言，教育要有針對性，立足師生不同的文化程度、不同的家庭背景、不同的生活經歷、不同的思想覺悟、不同的工作性質、組織的不同教育內容和教育方法，做到因人施教，因事施教，因時施教。人員上要區分干部、群眾，科研崗位、教學崗位、服務崗位干部和高年級、低年級學生等層次;環節上要區分入學、實習和社會實踐等學習時段;時機上要區分重要節日、重大活動、敏感時期、季節變化、重大輿情發生及畢業生離校、新生入學、干部調整工作接替敏感時機等。二是教育要有滲透性。要把教育滲透到具體工作中，結合師生的本職崗位、本職工作搞好經常性教育。把教育滲透到現實生活中，注重運用身邊違法違紀的人和事，教育警示師生，讓師生切實感受到違法違紀行為給他人、自己、家庭、高校、社會造成的嚴重危害，自覺遠離違法亂紀。要把教育滲透到校園環境中，堅持點滴養成，耳濡目染，在校區、實習場所以及辦公場所等重點部位，適當張貼警示性標語，營造警示性氛圍，使師生抬頭見警示、低頭思責任，時刻注意安全穩定。通過強有力的教育滲透，真正使企圖違法犯罪的人受到震懾，知道違法犯罪是要受到法律制裁的，使心存僥幸的人懸崖勒馬，使違反紀律的人受到警醒，使每一名師生都受到觸動，知道工作失職釀成重大案件是要追究責任的，自覺遠離法律的“高壓線”、劃清道德的“情感線”、把握工作的“原則線”、繃緊學習的“意識線”。三是教育要有融合性。善于把警示教育與高校主題教育相融合，搞好統籌，保證效果。善于把警示性教育與管理相結合，既突出教育的引導作用、警示作用，更發揮教育的行為規范作用，讓師生邊提高思想認識邊矯正不良行為，培養良好的思想道德品質和行為習慣。四是教育要有覆蓋面。警示性教育必須強調覆蓋全員，既要抓基層師生，又要突出領導機關和學工干部;既要抓好在校人員的基本教育，又要強化外出實踐學習流動人員的延伸管理，確保人人受教育，個個受觸動。

2.把握網絡問題重點，做好高校涉網案件的預防工作。注重預防受網上輿論影響可能發生的政治性問題。針對網上集中出現的政治性敏感、熱點話題和錯誤言論以及各種不良政治信息，要保持高度的政治敏銳性。始終把堅定師生政治信仰、把握高校的社會主義辦學方向、確保黨對高校的絕對領導，放在安全穩定工作最核心、最重要的位置來抓。及時加強對師生的正面教育和思想引導，澄清各種錯誤思想的影響和干擾，嚴格政治紀律，堅決抵御、反對不負責任的政治言論，堅決查處違背政治紀律的言行，確保高校政治上的集中統一。注重預防網上敵對勢力和錯誤思潮的引誘。近年來，高校發生的此類案件和問題重點集中在以下五種人：犯了錯誤、受了挫折，喪失了前進動力的人;提職無望、晉升職稱泡湯，認為組織虧待了自己的人;紀律性差、經常外出，交往過濫的師生;追求高消費、花錢大手大腳，經濟花費超出家庭承載供給能力的學生;個人家庭生活困難且長期得不到解決，思想波動較大的人。要重點加強教育和管控，切實掌握他們的思想底數和行為動向，滿腔熱忱、想方設法幫他們解決工作和生活上的各種實際困難。網絡信息交流已成為當下師生社會交往的重要渠道之一，特別是網絡征婚、求偶、，對高校年輕師生更具吸引力。要通過深入細致的思想政治工作，真誠務實地抓好高校內部風氣、內部關系建設，切實把師生從被網絡戀情的虛無寄托中拉回來，防止由此引發的各種違法違紀行為。

3.妥善處理涉網危機，確保高校危機管理不失控。網絡時代條件下，高校安全穩定與社會的關聯性、互動性進一步增強，案件和問題的多樣性、突發性和不可控性特征明顯。一般性案件問題誘發、轉化為重大安全問題的可能性大大增加，及時穩妥地應對處置各種危機問題至關重要。危機處置要“快”。受領情況要快，行動部署要快，調查處置要快，善后處理要快，要用處置工作的高速度和高效益來應對網絡傳播的高速，通過快速反應取得的正面效果來遏制消除網上可能形成的負面影響。問題解決要“早”。危機具有復雜性和傳染性，特別是在信息化條件下，信息傳遞擴散的速度快，控制影響難，如果危機處理不當，極易帶來連鎖反應，使小問題釀成重大安全問題，個體問題擴展成，單一問題發展成復雜的國際外交問題，必須見事早、反應快，及時采取有效措施，努力把危機化解在初期、控制在局部、解決在當地，把危害控制在最小程度。處理質量要“高”。危機處置事關所在單位和相關人員的切身利益，如果憑感情、想當然，主觀臆斷，草率從事，處理不公，極易拖泥帶水，產生一系列后遺癥。在危機處置過程中，應嚴格掌握政策法規，堅持客觀、公正、準確，堅持精到、堅決、徹底，努力使問題的處理經得起政策、法律和歷史的檢驗，做到案結即事了，不留后患。校內校外聯合要“牢”。危機處置涉及高校建設的方方面面，網絡時代條件下發生的的可控性差，僅靠高校自身很難控制局面，需要高校和地方維護治安的公安人員聯合采取行動，才能盡快平息事態。在危機處置中應充分發揮地方政府和有關部門的資源和技術優勢，加強溝通協調，在資源共享中消除危機，在互助共贏中維護穩定。

[參考文獻]

網絡安全事件管理范文4

關鍵詞：網絡安全管理；網絡安全管理系統；企業信息安全

中圖分類號：TP271 文獻標識碼：A 文章編號：1009-3044（2012）33-7915-03

計算機網絡是通過互聯網服務來為人們提供各種各樣的功能，如果想保證這些服務的有效提供，一是需要全面完善計算機網絡的基礎設施和配置；二是需要有可靠完善的保障體系?？煽客晟频谋Ｕ象w系是為了能夠保證網絡中的信息傳輸、信息處理和信息共享等功能能夠安全進行。

1　網絡安全的定義

網絡安全問題不但是近些年來網絡信息安全領域經常討論和研究的重要問題，也是現代網絡信息安全中亟待解決的關鍵問題。網絡安全的含義是保證整個網絡系統中的硬件、軟件和數據信息受到有效保護，不會因為網絡意外故障的發生，或者人為惡意攻擊，病毒入侵而受到破壞，導致重要信息的泄露和丟失，甚至造成整個網絡系統的癱瘓。

網絡安全的本質就是網絡中信息傳輸、共享、使用的安全，網絡安全研究領域包括網絡上信息的完整性、可用性、保密性和真實性等一系列技術理論。而網絡安全是集合了互聯網技術、計算機科學技術、通信技術、信息安全管理技術、密碼學、數理學等多種技術于一體的綜合性學科。

2　網絡安全技術介紹

2.1　安全威脅和防護措施

網絡安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關策略、機制和過程。

安全威脅可以分為故意安全威脅和偶然安全威脅兩種，而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網絡中的數據信息進行監聽、竊聽等，而不對這些數據進行篡改，主動安全威脅則是對網絡中的數據信息進行故意篡改等行為。

2.2　網絡安全管理技術

目前，網絡安全管理技術越來越受到人們的重視，而網絡安全管理系統也逐漸地應用到企事業單位、政府機關和高等院校的各種計算機網絡中。隨著網絡安全管理系統建設的規模不斷發展和擴大，網絡安全防范技術也得到了迅猛發展，同時出現了若干問題，例如網絡安全管理和設備配置的協調問題、網絡安全風險監控問題、網絡安全預警響應問題，以及網絡中大量數據的安全存儲和使用問題等等。

網絡安全管理在企業管理中最初是被作為一個關鍵的組成部分，從信息安全管理的方向來看，網絡安全管理涉及到整個企業的策略規劃和流程、保護數據需要的密碼加密、防火墻設置、授權訪問、系統認證、數據傳輸安全和外界攻擊保護等等。

在實際應用中，網絡安全管理并不僅僅是一個軟件系統，它涵蓋了多種內容，包括網絡安全策略管理、網絡設備安全管理、網絡安全風險監控等多個方面。

2.3　防火墻技術

互聯網防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入，是一個控制經過防火墻進行網絡活動行為和數據信息交換的軟件防護系統，目的是為了保證整個網絡系統不受到任何侵犯。

防火墻是根據企業的網絡安全管理策略來控制進入和流出網絡的數據信息，而且其具有一定程度的抗外界攻擊能力，所以可以作為企業不同網絡之間，或者多個局域網之間進行數據信息交換的出入接口。防火墻是保證網絡信息安全、提供安全服務的基礎設施，它不僅是一個限制器，更是一個分離器和分析器，能夠有效控制企業內部網絡與外部網絡之間的數據信息交換，從而保證整個網絡系統的安全。

將防火墻技術引入到網絡安全管理系統之中是因為傳統的子網系統并不十分安全，很容易將信息暴露給網絡文件系統和網絡信息服務等這類不安全的網絡服務，更容易受到網絡的攻擊和竊聽。目前，互聯網中較為常用的協議就是TCP/IP協議，而TCP/IP的制定并沒有考慮到安全因素，防火墻的設置從很大程度上解決了子網系統的安全問題。

2.4　入侵檢測技術

入侵檢測是一種增強系統安全的有效方法。其目的就是檢測出系統中違背系統安全性規則或者威脅到系統安全的活動。通過對系統中用戶行為或系統行為的可疑程度進行評估，并根據評價結果來判斷行為的正常性，從而幫助系統管理人員采取相應的對策措施。入侵檢測可分為：異常檢測、行為檢測、分布式免疫檢測等。

3　企業網絡安全管理系統架構設計

3.1　系統設計目標

該文的企業網絡安全管理系統的設計目的是需要克服原有網絡安全技術的不足，提出一種通用的、可擴展的、模塊化的網絡安全管理系統，以多層網絡架構的安全防護方式，將身份認證、入侵檢測、訪問控制等一系列網絡安全防護技術應用到網絡系統之中，使得這些網絡安全防護技術能夠相互彌補、彼此配合，在統一的控制策略下對網絡系統進行檢測和監控，從而形成一個分布式網絡安全防護體系，從而有效提高網絡安全管理系統的功能性、實用性和開放性。

3.2　系統原理框圖

該文設計了一種通用的企業網絡安全管理系統，該系統的原理圖如圖1所示。

3.2.1　系統總體架構

網絡安全管理中心作為整個企業網絡安全管理系統的核心部分，能夠在同一時間與多個網絡安全終端連接，并通過其對多個網絡設備進行管理，還能夠提供處理網絡安全事件、提供網絡配置探測器、查詢網絡安全事件，以及在網絡中發生響應命令等功能。

網絡安全是以分布式的方式，布置在受保護和監控的企業網絡中，網絡安全是提供網絡安全事件采集，以及網絡安全設備管理等服務的，并且與網絡安全管理中心相互連接。

網絡設備管理包括了對企業整個網絡系統中的各種網絡基礎設備、設施的管理。

網絡安全管理專業人員能夠通過終端管理設備，對企業網絡安全管理系統進行有效的安全管理。

3.2.2　系統網絡安全管理中心組件功能

系統網絡安全管理中心核心功能組件：包括了網絡安全事件采集組件、網絡安全事件查詢組件、網絡探測器管理組件和網絡管理策略生成組件。網絡探測器管理組件是根據網絡的安全狀況實現對模塊進行添加、刪除的功能，它是到系統探測器模塊數據庫中進行選擇，找出與功能相互匹配的模塊，將它們添加到網絡安全探測器上。網絡安全事件采集組件是將對網絡安全事件進行分析和過濾的結構添加到數據庫中。網絡安全事件查詢組件是為企業網絡安全專業管理人員提供對網絡安全數據庫進行一系列操作的主要結構。而網絡管理策略生產組件則是對輸入的網絡安全事件分析結果進行自動查詢，并將管理策略發送給網絡安全。

系統網絡安全管理中心數據庫模塊組件：包括了網絡安全事件數據庫、網絡探測器模塊數據庫，以及網絡響應策略數據庫。網絡探測器模塊數據庫是由核心功能組件進行添加和刪除的，它主要是對安裝在網絡探測器上的功能模塊進行存儲。網絡安全事件數據庫是對輸入的網絡安全事件進行分析和統計，主要用于對各種網絡安全事件的存儲。網絡相應策略數據庫是對輸入網絡安全事件的分析結果反饋相應的處理策略，并且對各種策略進行存儲。

3.3　系統架構特點

3.3.1　統一管理，分布部署

該文設計的企業網絡安全管理系統是采用網絡安全管理中心對系統進行部署和管理，并且根據網絡管理人員提出的需求，將網絡安全分布地布置在整個網絡系統之中，然后將選取出的網絡功能模塊和網絡響應命令添加到網絡安全上，網絡安全管理中心可以自動管理網絡安全對各種網絡安全事件進行處理。

3.3.2　模塊化開發方式

本系統的網絡安全管理中心和網絡安全采用的都是模塊化的設計方式，如果需要在企業網絡管理系統中增加新的網絡設備或管理策略時，只需要對相應的新模塊和響應策略進行開發實現，最后將其加載到網絡安全中，而不必對網絡安全管理中心、網絡安全進行系統升級和更新。

3.3.3　分布式多級應用

對于機構比較復雜的網絡系統，可使用多管理器連接，保證全局網絡的安全。在這種應用中，上一級管理要對下一級的安全狀況進行實時監控，并對下一級的安全事件在所轄范圍內進行及時全局預警處理，同時向上一級管理中心進行匯報。網絡安全主管部門可以在最短時間內對全局范圍內的網絡安全進行嚴密的監視和防范。

4　結論

隨著網絡技術的飛速發展，互聯網中存儲了大量的保密信息數據，這些數據在網絡中進行傳輸和使用，隨著網絡安全技術的不斷更新和發展，新型的網絡安全設備也大量出現，由此，企業對于網絡安全的要求也逐步提升，因此，該文設計的企業網絡安全管理系統具有重要的現實意義和實用價值。

參考文獻：

網絡安全事件管理范文5

關鍵詞：網絡安全運營管理平臺；數據采集；綜合分析；事件響應

1網絡安全運營問題分析

在監測預警方面，目前網絡安全監測預警主要采用人工的方式開展監測預警工作，在運的安全平臺數據相互獨立，每個角色需同時面向多個界面，網絡安全運維工作量大；不同類型的安全設備、系統產生了大量冗余、誤報的安全數據，安全人員難以實時處理；安全事件獨立分散，無法有效的反映真實的網絡威脅。在響應處置方面，目前各類安全事件主要依賴于人工進行事件響應，包含查看數據、封禁IP、電話反饋、郵件通報等，一次完整的應急響應需在10個以上的場景間切換。現有的應急響應方式已經不能滿足網絡安全對抗日趨頻繁的現實需求，應急響應自動化的需求已經迫在眉睫。在技術分析方面，對安全告警的深度技術分析主要依賴技術人員的個人能力與經驗，且依賴人工的深度分析、溯源反制效率較低，一旦發生分析重心出錯的情況，可能遺漏真正具有價值的攻擊威脅。在協同指揮方面，目前網絡安全設備和系統自動化程度在不斷提高，但事實上還存在多個信息孤島，設備、系統之間缺乏有效的交互，使得內部多個自動化模塊是割裂的、局部的、孤立的，不能構成一個實時的有機統一平臺，導致信息沒有充分共享，進而降低協同聯動效率，無法實現統一的指揮決策。在流程管理方面，目前重點的安全管理流程仍以線下管理為主。常態化安全工作中排查發現的系統漏洞需要人工導出清單，完成漏洞預警單編制后下發排查整改，以表格形式匯總和跟蹤漏洞整改情況；系統上線測試缺乏統一平臺管理測試過程文檔和測試情況，復測驗證需要專人跟蹤閉環，整體工作效率和管控精益度有待提升。

2網絡安全管理平臺的能力需求

通過網絡安全管理平臺的建設將設備、流程和技術進行有機的結合，實現網絡安全集中監控、預警、運維、管理，滿足網絡安全平協同指揮的工作要求，以全局視角統籌協調網絡安全工作。一是網絡安全事件管理集中化，通過對各種網絡設備和安全組件的集中統一管理，將原本一個個分離的信息安全孤島連接成一個有機協作的整體，實現對企業安全策略的制定、設備的統一配置、安全事件的集中管理、安全事故的應急響應以及安全策略的重構，從而有效提高用戶網絡的可管理性和安全水平。二是網絡安全業務流程數字化，以數字化手段建設網絡安全管理體系，滲透到網絡安全業務鏈各個環節和各個層級，實現網絡安全管理流程線上流轉和業務線上管理，實現網絡安全信息高度集成和實時共享。三是網絡安全運營維護自動化，通過安全設備、安全系統數據的批量采集和關聯分析，借助自動化事務調度、自動化安全編排等技術，實現安全態勢自動化監控、運行維護自動化作業、風險隱患自動化預警以及安全事件自動化響應。

3安全運營管理平臺的建設現狀

國內安全廠商在自主研究開發基礎上不斷對國外廠商的SOC產品分析和研究，推出了多種網絡安全管理的概念和產品[1]。安全運營管理平臺建設利用安全智能、機器學習和深度學習等技術，依托SIEM+大數據平臺，實現警報自動分級與資產自動排查、威脅高度可視和智能定位、風險深度挖掘、安全態勢整體感知，打破安全防御孤島，將各個分散的信息源匯聚后進行統一管理，通過關聯分析對風險進行有效的防控。在技術架構體系方面，基于最新的安全運營架構體系構建，實現以SIEM為核心并集成全流量分析模塊、威脅情報模塊和機器學習模塊的新一代SOC架構，提升架構的適應性與靈活性。在安全場景分析方面，在傳統基于規則的設計方法之上，引入了用戶行為分析技術，通過算法引擎深度挖掘用戶的各種異常行為，為識別高級持續威脅攻擊、社會工程等提供有力支撐。在提高安全運營工作效率方面，借鑒SOAR理念，通過SIEM平臺并集成腳本技術，實現安全分析操作與多個工具的自動編排和高度可視化，以及安全處置操作和流程的自動化，提升安全分析人員效率。在協同管理方面，形成多級管理模式，適應集團型安全管理工作的開展，例如：總部、分支機構的架構模式。在可視化方面，通過大數據分析技術，將日常工作匯總，對安全數據進行統一的可視化展現，從全局視角監測安全態勢。

4關鍵技術

4.1平臺架構

網絡安全運營管理平臺作為網絡運營管理的支撐平臺，可將整個安全管理體系納入管理，但其核心還是綜合分析和響應處置兩個功能，其基本架構如圖1所示。平臺的數據采集對象包括網絡設備、安全設備、主機設備、應用/服務等，通過不同的采集方式進行全要素信息采集。分析引擎主要是對大數據分析技術和人工智能技術的應用，對原始數據進行統計分析和學習建模，從網絡安全威脅、用戶行為、脆弱性三個方面發現網絡面臨的風險。對于發現告警事件、應急響應事件，以及活動保障期間事件、作業任務處置流程進行全程閉環管理。

4.2數據采集

網絡安全運營管理平臺建立在各種網絡設備、安全設備、服務器設備、和應用系統所產生的安全數據及事件的基礎上。從各種數據源高效靈活的采集安全數據是進行網絡安全管理的一項重要的基礎工作。安全數據根據涉及的網絡架構、協議、流量、設備、人員、管理機制等因素進行分類[2]，網絡安全數據類型見表1。安全數據的類型、內容、格式各不相同，針對每種數據需要有針對性的采集方式對其進行采集，數據采集方式包括主動采集、被動采集、鏡像模式采集等。當原始數據以文件、數據庫等形式存儲在數據數據產生地，通過在數據產生地部署采集的方式，對指定目錄下的文件進行監聽、進行增量讀取，或通過ODBC/JDBC等通信協議獲取數據庫存儲的原始數據。對于支持主動向第三方系統發送數據的數據源，采用Syslog、SNMP、Webservice等方式發送給指定的數據接收者。通過網絡交換設備的鏡像端口，接收來自網絡中傳輸的任何網絡訪問流量。

4.3安全事件綜合分析

網絡安全事件綜合分析通過分析多個事件的之間的聯系，將不同來源的數據、知識關聯起來，發現孤立的事件無法揭示的問題本質，發現攻擊者的真正目的，準確定位攻擊意圖。一些典型的關聯操作如表2所示。事件綜合分析的實現主要依托分析算法與高效的分析引擎設計[3]。

4.響應

當網絡安全事件分析產生告警事件后，就進入到事件的響應處置環節。需要采取有效措施阻止網絡安全事件的進一步擴散，防止網絡內基礎設施破壞和數據篡改、泄露，保障網絡內業務系統安全、穩定和高效地運行。有效的事件響應需要設計合理的事件響應結構，規劃好響應過程中所需要的資源、計劃好實用的技術、編制規范的事件響應流程、并協調好組織中各部門的關系等[4]。事件響應框架如圖2所示。事件響應流程按照PDCERF響應模型可分為準備（prepare）、檢測（detect）、抑制（control）、根除（eradicate）、恢復（recover）和跟蹤（follow）6個階段。6個階段是循環有序的，每個階段到的工作均是為下一階段做準備[5]。事件類型的不同，采用的處置流程、涉及的人員和設備也不相同。事件的響應可以通過人工的方式，也可以根據預設的響應流程自動執行。網絡安全運營中的事件自動化響應通過事先定義好的流程化框架對系統進行監控，一旦達到觸發條件，可以按照預先設置流程，通過多個設備或者服務間的事件協同，實現事件的自動化處置。

5總結與展望

網絡安全運營管理平臺是在原有安全產品的基礎上構建的一體化技術支撐平臺，以綜合分析、響應處置為核心的網絡安全防護能力，在網絡安全運營管理中發揮關鍵作用。而隨著安全數據、應用、場景量的激增，網絡安全運營管理平臺的技術能力也需要不斷的提升。對于用戶而言，網絡安全防護的目標是保障IT資產所承載的業務的可用性、連續性、以及安全性，因此網絡安全運營管理平臺應從以事件核心逐漸向保障業務安全為核心轉變，通過業務建模、分析業務風險，構建面向業務的能力體系。另外，網絡安全運營管理平臺應以更智能的方式處理日益龐大的安全數據、以自動化的響應方式減少人員的工作強度，通過機器學習、人工智能等技術發現數據背后的原因，通過SOAR技術進行編排和自動化響應。

參考文獻

[1]中國信息通信研究院安全研究所、上海斗象科技有限公司.國內網絡安全信息與事件管理類產研究與測試報告[R].北京:2021.

[2]張海霞,喬贊瑞,潘嘯,黃克振,連一峰.網絡安全數據采集關鍵技術研究[J].計算機科學與應用,2021,14（4）,832-839.

[3]劉蘭.網絡安全事件管理關鍵技術研究[D].華中科技大學博士學位論文,2007.

[4]吳福懷.網絡安全事件應急響應管理系統設計與實現[D].東南大學工程碩士學位論文,2017.

網絡安全事件管理范文6

關鍵詞：網絡安全態勢；地理信息系統；MapXtreme；多級地圖；Java技術

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2011)28-6840-03

Multilevel Map of Network Security Situation Based on MapXtreme

GONG Jian-wei1,2, ZHONG Qiu-xi1, XUAN Lei1, ZHANG Qi1

(1.National University of Defense Technology, Changsha 410073, China; 2.Logistics Base of People's Armed Police Force Headquarters, BeiJing 102613, China)

Abstract: Multilevel map of network security situation was proposed aimed at some problems in visualization of network security situation such as messy figure，visual clutter, unpractical information and incapable geolocation. The information display method and views architecture of the map was explored. The generation algorithm of multilevel network map and algorithm for the relative number of security incidents was designed based on MapXtreme. The feasibility of the map was proved through experiments.

Key words: network security situation; geographic information system; MapXtreme; multilevel map; java technology

網絡安全態勢可視化將大量、抽象的網絡安全信息數據用地圖、平行坐標、散點圖、統計圖等圖形圖像的方式展現出來，便于網絡管理人員從網絡安全信息圖中直觀地發現潛在的安全隱患，從而了解網絡的總體安全狀況。自2004年始，每年都舉行專注于研究網絡安全可視化技術的網絡安全可視化會議（International Symposium on Visualization for Cyber Security ，簡稱VizSec）。IEEE VAST (The Institute of Electrical and Electronics Engineers on Visual Analytics Science and Technology)和 ACM（Association for Computing Machinery）等會議和雜志也多次刊出相關文獻[1-5]，可見可視化在網絡安全方面應用日益廣泛。

目前在網絡安全信息可視化的研究領域還沒有一種被廣泛公認，完善且合理的技術方法。主要表現在一些顯示系統視圖復雜，信息疊合嚴重，信息展示不清晰，給用戶帶來視覺負擔；一些結合了地理信息的技術方法僅僅是在相應的地理位置顯示了各地區安全事件數量，沒有考慮各地區人口、網絡發展情況等影響安全事件數量的因素，同時缺乏對安全事件細節的描述[6-7]。 因此，我們在研究過程中需要設計層次明晰的視圖結構和布局合理的視圖展示算法，進行整體信息和局部細節信息的綜合展示。針對這些情況，本文將綜合信息與細節信息按級別與詳略不同的地理信息地圖結合起來顯示，解決了綜合信息和細節信息不能同時展現的問題；同時考慮了影響安全事件數量的因素并進行了規范化，使數據更為客觀地展現了實際情況。

1 網絡安全態勢多級地圖展示系統模塊設計

本文設計了系統的各個層次相應的處理模塊，具體見圖1所示。

以下簡要說明各模塊功能：

1) 數據處理模塊：分三個子模塊，處理數據子模塊負責對網絡安全信息數據進行屬性過濾、數據格式歸一化處理，保留數據有效信息，并根據時間屬性，提取數據以隊列的形式進行緩存，等待顯示；生成圖層子模塊負責將空間數據信息生成圖層，并將圖層按指定順序疊加為基礎地理地圖；確定IP地理位置子模塊用于對有效數據信息里的每一個IP地理定位。

2) 數據統計規范模塊：統計數據子模塊將一定時間段內安全信息數據按安全事件類型進行分別統計數量；標準化子模塊負責將統計的數量按網絡安全事件發生相對數量算法進行規范化處理。

3) 人機交互處理模塊：主要是將用戶操作的數據傳遞給數據處理模塊和視圖處理模塊，并對各種視圖參數進行設置，以滿足用戶的選擇需求。其中數據選擇人機交互處理子模塊用于用戶根據需求進行數據選取等，地圖人機交互處理子模塊主要用于選擇地圖，圖層控制，地圖的縮放、平移及鷹眼導航等。

4) 視圖處理模塊：該模塊負責指標和細節地圖視圖間的切換處理，同時根據網絡安全事件圖元樣式確定算法確定各數據的圖元顯示方式，通過地理信息系統二次開發技術將網絡安全態勢數據的源/目的IP以及它們之間的關系以地圖圖元的方式在地圖上展示。

5) 視圖顯示模塊：分為二個子模塊，細節地圖視圖子模塊負責將安全事件類型、發生時間、發生地以不同圖元形式顯示在詳細地圖上供用戶分析和查看；指標地圖視圖子模塊將數據統計規范模塊處理后的數據按用戶要求進行顯示。

以上模塊相互協同處理，共同完成網絡安全信息的可視化。

2 系統算法研究

在細節地圖上將一定采樣時間段內網絡安全事件的源/目的IP以及它們之間的攻擊關系、模式在地圖上展示。首先要為源/目的IP和它們之間的攻擊模式確定圖元樣式，然后通過IP地理定位編碼算法為源/目的IP地理定位，確定對應點圖元的經緯度值并依此經緯度值在地圖上展示；在省級指標地圖上，根據各省計算機人口將該省的某時段安全事件數量規范化處理后進行展示，各省間的網絡鏈路流量用線圖元方式進行展示。

系統主要設計了確定攻擊事件類型和網絡鏈路流量狀態的圖元映射算法，IP地理定位映射算法和各省安全事件發生相對數量算法。分別介紹如下。

2.1網絡安全事件圖元樣式確定算法

在細節地圖上，首先確定不同IP類型的圖元樣式：IP類型的圖元樣式PN (Si, Cj)由圖元形狀屬性Si（Si∈{, , }）和顏色屬性Cj（Cj∈{Red, Blue, Orange }）確定。具體映射關系見表1。

其次，將安全事件類型用IP圖元之間的連線樣式表示，連線樣式LN(Ti, Cj)由線條類型屬性Ti（Ti∈{──, ┉ ┉}）和顏色屬性Cj（Cj∈{ Black, Magenta, Cyan ,Green }）組成，線條樣式和安全事件類型的對應關系見表2。

在指標地圖上，于各省會所在地的地理位置上顯示該省一個采樣時間段Ti內發生的安全事件數量（該數量已根據計算機人口進行了正則化處理）。各省間鏈路流量狀態用省會之間的直線圖元樣式表示，該直線圖元樣式包括了直線顏色和直線寬度。鏈路流量狀態代表了鏈路的使用率，是當前鏈路流量和鏈路帶寬的比值。具體見表3。

表3中直線寬度的單位為“點”，即1/10磅。

2.2IP地理定位映射算法

在MapXtreme二次開發中，為IP對應點圖元（簡稱IP圖元）在地圖上確定經緯度坐標值(X, Y)的過程，就是對IP地址地理定位的過程。

對IP地址地理定位，就要獲知IP所在城市信息或者所屬機構的地理信息。目前常用的IP地理定位數據庫有QQwry、IP2Location、GeoIP City和Geolitecity等數據庫，表4是GeoIP City地理定位數據表部分字段內容[8]。

從表4可以看到，通過GeoIP City只能查找到IP所在城市名稱和城市經緯度。通過細節地圖展示網絡安全事件，IP點圖元在地圖上必須分布于IP所在城市區域對象內且不能大量重疊，因此設計了一種IP圖元在給定區域內布局算法，用于IP圖元在地圖上的定位和分布。布局算法如下：

1) 根據城市名稱或者城市編號在地圖上獲取城市區域對象外接最小矩形對角坐標(Xmin, Ymin)、(Xmax, Ymax);

2) 根據算式(X,Y)=((Xmin+(Xmax-Xmin)*Random()),(Ymin+(Ymax-Ymin)*Random())生成點圖元坐標，其中隨機函數Random()產生[0,1]任意單精度浮點小數，示意圖見圖2 。

3) 根據PIP(Point in Polygon)算法，判斷坐標是否處于給定城市區域對象范圍內，是則保留，不是則重復步驟2。

通過上述算法，在具有同一地理坐標的地圖上可以為每一個未重復出現的源/目的IP地址賦予一個具體的經緯度值，地理信息系統二次開發技術可根據具體IP圖元經緯度值和圖元樣式將網絡安全事件在地圖上展示。

2.3 網絡安全事件發生相對數量算法

一個地區的網絡安全事件發生數量與該省人口數量，計算機網絡發展水平等因素息息相關。對單個地區而言，安全事件發生絕對數量不能說明該地區處于危險的網絡安全狀態。所以單純用絕對數量比較各地區的網絡安全狀態是有失偏頗的。這里提出基于地區人口數量和網絡發展規模水平的安全事件相對數量的概念。具體算法如下：設某地區人口數量為Npop，該地區的網絡發展水平為Ris，人均每個計量時間段內上網時間為Tnet，安全事件發生的絕對數量為Qab，修正系數為常量S（避免安全事件相對數量出現較小的小數），則該地區的安全事件發生的相對數量。

3 系統實現

為了驗證網絡安全信息多級地圖展示系統的可行性，以地圖的設計及實現技術為依據，采用MapInfo中間件MapXtreme4.8.2結合java平臺開發了網絡安全態勢多級地圖原型系統，實現了網絡安全信息的可視化以及驗證了此原型系統的可行性。

系統在Windows XP下開發，開發平臺為NetBeans6.9.1，開發包為Java2D，地圖處理軟件為MapInfo Professional v10.0，地圖二次開發包為MapXtreme Java4.8.2，數據庫為Postgresql9.0，JDBC為postgresql-8.3dev-601.jdbc4。開發平臺各軟件之間的關系見圖3所示。

3.1 分級地圖展示效果

網絡安全信息詳細地圖，用4種線圖元顏色和兩種線型表示了7種安全事件類型，用3種點圖元表示該IP在安全事件中的源/目的類型。用戶可以對比右邊顯示的圖例明確某一安全事件的類型及發生地理位置，同時可以用鷹眼導航快速定位感興趣的區域并用鼠標滾輪放大/縮小該區域。

網絡安全信息指標地圖，將每個省發生的安全事件相對數量顯示在該省省會所在的地理位置，并將數量顯示出來，用戶可以在感興趣省份的紅旗圖元上鼠標懸停，系統將顯示該省發生各種安全事件的具體次數。同樣，指標地圖具備放大、縮小、平移、鷹眼導航等基本功能，可以將地圖窗口聚焦到感興趣的區域進行顯示。（如圖5）。

上述測試結果表明，原型系統各個功能模塊工作正常，具備了必要的人機交互功能；多級網絡安全信息地圖顯示效果清晰，層次結構分明，安全信息詳略有致，用戶對安全事件的地理信息一目了然，方便了用戶對網絡安全信息從宏觀到微觀的把握。

4 結束語

本文提出了基于MapXtreme的網絡安全信息多級地圖展示系統，對地圖生成、操作，圖元選取、顯示進行了詳細的設計，并提出了某區域發生安全事件相對數量的算法，最后實驗驗證了網絡安全信息地圖的可行性和實用性。多級網絡安全信息地圖的特點是可以將網絡安全信息分為宏觀和微觀展示，視圖結構清晰；相對數量概念的提出，可以很大程度上排除區域人口數量、計算機網絡發展水平等因素對安全事件發生絕對次數的影響，從而使用戶能把握各區域的實際情況；系統能有效地進行數據的組織，減小顯示系統的負擔。作為對網絡安全信息可視化的嘗試，多級網絡安全信息地圖的提出和實現為網絡安全信息可視化領域的相關研究提供了一些可以借鑒的思路。

參考文獻：

[1] Conti G.Sven Krasser.Beyond Ethereal: Crafting a Tivo for Security Datastreams[EB/OL].(2011-03-12).cc.gatech.edu/~conti.

[2] Yin X,Yurcik W,Treaster M,et al.Visflowconnect: netflow visualizations of link relationships for security situational awareness[C]//Proceedings of CCS Workshop on Visualization and Data Mining for Computer Security, ACM Conference on Computer and Communications Security,2004.

[3] Webster S,Lippmann R,Zissman M.Experience Using Active and Passive Mapping for Network Situational Awareness[C].Fifth IEEE International Symposium on Network Computing and Applications,2006.

[4] Montigny-Leboeuf A,Massicotte F.Passive Network Discovery for Real Time Situational Awareness[C].Toulouse, France:RTO IST Symposium on Adaptive Defense in Unclassified Networks,2004.

[5] Lakkaraju K A J L,Yurcik W.Nvisionip: netflow visualizations of system state for security situational awareness[C]//Proceedings of CCS Workshop on Visualization and Data Mining for Computer Security, ACM Conference on Computer and Communications Security,2004.

[6] Lippmann R,Riordan J,Yu T.A Global Perspective on Extreme Malicious Behavior[R].VizSec' 10,2010.