网络安全事件定义范文

引言：寻求写作上的突破？我们特意为您精选了4篇网络安全事件定义范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

中图分类号：TP393.02

1.绪论

Internet正在持续快速地发展，在应用上进入崭新的多元化阶段，已融入到人们生产、生活、工作、学习的各个角落。然而，网络技术的发展在带来便利的同时，也带来了巨大的安全隐患，特别是Internet大范围的接入，使得越来越多的系统受到入侵攻击的威胁。因此，如何评估网络系统安全态势和及早发现并有效控制网络安全事件的蔓延，已成为目前国内外网络安全专家的研究热点。在此背景下，本文本着主动测量和异常检测相结合的思路，基于网络拓扑设计实现了大规模网络安全事件综合预警系统，评估网络安全态势，解决控制执行部件部署问题并给出控制策略以及对其进行效果评价，有效指导了管理员对网络安全的控制。第二章介绍综合预警系统设计框架；第三章提出控制策略；第四章实现系统提出实现方法。

2.网络综合预警系统概述

NSAS实现以上重要功能是因为构成的四个子系统相互协助，下面将分别介绍四个子系统。

网络安全事件侦测点：分布放置于多个网络出入口，负责检测本地网络的异常事件，并将引发流量异常相关的主机地址、事件类型、严重程度等报警信息写入本地数据库并发送给综合分析子系统。拓扑发现子系统：负责对全局范围内的网络进行拓扑信息收集，并生成路由IP级的网络拓扑连结关系图，该过程应保证低负荷、无入侵性、图生成的高效性。最后，将网络拓扑信息发送至综合分析子系统和可视化子系统。

异常综合分析子系统：综合分析报警信息，量化网络安全威胁指数，提出控制策略，解决控制执行部件如何部署问题。

可视化显示子系统：基于网络拓扑信息和网络事件综合分析结果，显示各级网络拓扑图、网络安全事件宏观分布图、控制点分布图、事件最短传播轨迹图、安全态势趋势图等，以便于网络管理者进行决策。

3.网络安全控制策略生成与评价

3.1基本定义

在层次化安全威胁量化和控制策略生成技术中用到一些基本名词，下面给出定义。

定义1安全事件：一次大规模、恶意网络安全攻击行动，如蠕虫事件。

定义2安全事件预警：在目标网络受到有威胁的安全攻击前进行报警，提醒目标网络进行防护，使目标网络免于或降低损失。

定义3预警响应：及时作出分析、报警和处理，杜绝危害的近一步扩大，也包括审计、追踪、报警和其他事前、事后处理。

定义4安全态势感知与评估：考察网络上所发生的安全事件及其对网络造成的损害或影响；识别、处理、综合发生在重要设施或组织上的关键信息元素的能力；具体过程分解为判断是否发生攻击、发生哪种攻击、谁发起的攻击、所采取的响应效果如何等。

定义5异常事件:引发IDS报警并记录下来的异常行为。表示SE={EventTypeID,Type,Port,SIP,DIP,PktNum,ByteNum,AlertTime}.其中EventTypeID,Type,Port分别表示事件标识符，安全类型，端口号，根据EventTypeID可以从异常事件属性表中得到该事件的破坏程度。SIP,DIP表示源和目的端IP地址，PktNum,ByteNum表示涉及的数据包数量和数据字节数，AlerTime表示报警时间。异常事件集合SES={se|SE(se)&&se.AlertTime>=StartTime&&se.AlertTime

定义6安全事件损害指数DSE：根据安全事件属性表分类与优先级划分异常事件的攻击损害度。

定义7异常主机AH和异常路由器AR：AH指已经被感染或被攻击的主机。AH(h)={h|h.ip=se.DIP,se ∈SES}。异常路由器是指当且仅当存在主机h，AH(h)而且r=GR(h)。

定义8网关路由器和下属主机：主机h接入Internet的第一条路由器叫做网关路由器，用r=GR(h)表示，而对应的主机h叫做网关路由器r的下属主机，用h=AttachH(r)表示。

定义9边界路由器：路由器r连接两个及以上位于不同自治域系统路由器。

3.2控制点选取算法

由于传统的控制点选取算法存在控制代价过高的问题，所以本文针对异常路由器做大规模扩散控制，提出一种能有效减少控制代价即控制点数量的算法。当路由器r下属主机h感染蠕虫后，r可以通过AccessList访问控制列表限制源IP地址为h的数据包通过来遏制蠕虫的传播，所以异常路由器本身也可以作为控制路由器。当两个异常路由器有一个共同出口时，可以在这个出口做AccessList配置直接控制这两个异常点，这样能减少一个控制点，出于这种的思想，提出一种公共控制点(Commonality Control Route简称CommCtrlRt)算法。

以教育网拓扑信息为背景，应用上述算法，图4-1给出应用效果。黑色节点代表共同控制路由器，红色节点代表异常路由器，灰色点代表异常路由器同时本身也是该点的控制路由器，很显然只要在红色节点和灰色节点上限制异常节点的访问，就可以限制异常事件如蠕虫的传播和扩散。

3.3控制策略

选取控制点只是控制策略的第一步，而在控制点上如何控制更是关键所在。本节将详细介绍在控制路由器上如何部署才能有效控制异常点的传播与扩散。

3.3.1路由器访问控制

Cisco等路由器可以针对上下访问控制，即利用AcessList命令拒绝某些IP的通过。例如当需要在路由器上禁止已经被感染的机器192.168.1.2发送有害信息的话，只需要执行下述命令：

access-list 100 deny ip 192.168.1.2 255.255.255.255 any

当需要在路由器上禁止某网段所有机器发送的IP包时，只要执行下述命令就可以禁止网络地址192.168.1.0网络掩码255.255.255.0的256个主机通过路由器。access-list 100 deny ip 192.168.1.0 255.255.255.0 any基于上下文的访问控制(CBAC)是Cisco IOS防火墙特性集中最显著的新增特性。CBAC技术的重要性在于，它第一次使管理员能够将防火墙智能实现为一个集成化单框解决方案的一部分。现在，紧密安全的网络不仅允许今天的应用通信，而且为未来先进的应用（例如多媒体和电视会议）作好了准备。CBAC通过严格审查源和目的地址，增强了使用众所周知端口（例如ftp和电子邮件通信）的TCP和UDP应用程序的安全。

3.3.2 CBCA控制应用

当网络侦测点报警信息的源IP地址为主机h（P为异常事件攻击端口）时，先通过网络拓扑找到异常主机h的网关路由器r，然后在r上做访问控制，凡是源IP地址为h且端口号为P的所有数据包被拒绝通过，这样就能防止h上异常事件的进一步扩散或者蔓延，假定封锁时间(2007-6-1)为一天，则控制策略为：

1 Interface FastEthernet 0

2 ip access-grop 101 in

3 time-range deny-time

4 absolute start 0:00 1 6 2007 to 24:00 1 6 2007

5 ip access-list 101 deny ip IP 0 0.0.0.255 any eq P time-range deny-time

Time-range时间过后，该条访问控制自动解封，这减轻了管理员手动解封的负担，而当网络安全态势严重时，可以增加封禁时间。路由器作为网络层最重要的设备，提供了许多手段来控制和维护网络，基于时间的访问表不仅可以控制网络的访问，还可以控制某个时间段的数据流量。

4.系统实现

NSAS主要分为后台异常综合分析Analysis和前台结果可视化FrameVisual两部分。

4.1后台

在RedHat Linux 7.2下采用标准C实现了Analysis和GraphPartion，编译器为gcc,数据库访问接口为Pro*c.

Analysis为开机自动运行的后台程序。它结合网络逻辑拓扑图，分析报警数据库中某种安全事件在网络上的分布状况，根据IP定位信息，显示某种安全事件在地理位置的分布状况，并给出危害程度、传播路径和控制策略。

4.2前台

在WindowsXP下采用VC++6.0实现FrameVisual，用户接口为图形界面，其中，数据输入部分来自Linux的Analysis。FrameVisual把平面可视化的拓扑信息以矢量图的形式显示出来，并实现漫游、放缩；同时可视化Analysis的分析结果。在图形用户界面下，用户可以进行任务的配置、添加与删除，异常事件的浏览与同步更新，后台程序的启动、暂停、继续以及停止等。

结论

本文主要基于拓扑测量，针对大规模爆发的网络安全事件如蠕虫，探讨如何及早发现并有效控制类似事件的发生、扩散等问题，解决了网络预警系统中异常综合分析子系统的异常事件分析、威胁量化、控制策略生成等关键问题。由于该预警系统不受网络规模的限制，将在大规模网络控制和管理上发挥重要作用，具有广泛的应用前景。

参考文献

篇2

中图分类号：TP271 文献标识码：A 文章编号：1009-3044（2012）33-7915-03

计算机网络是通过互联网服务来为人们提供各种各样的功能，如果想保证这些服务的有效提供，一是需要全面完善计算机网络的基础设施和配置；二是需要有可靠完善的保障体系。可靠完善的保障体系是为了能够保证网络中的信息传输、信息处理和信息共享等功能能够安全进行。

1　网络安全的定义

网络安全问题不但是近些年来网络信息安全领域经常讨论和研究的重要问题，也是现代网络信息安全中亟待解决的关键问题。网络安全的含义是保证整个网络系统中的硬件、软件和数据信息受到有效保护，不会因为网络意外故障的发生，或者人为恶意攻击，病毒入侵而受到破坏，导致重要信息的泄露和丢失，甚至造成整个网络系统的瘫痪。

网络安全的本质就是网络中信息传输、共享、使用的安全，网络安全研究领域包括网络上信息的完整性、可用性、保密性和真实性等一系列技术理论。而网络安全是集合了互联网技术、计算机科学技术、通信技术、信息安全管理技术、密码学、数理学等多种技术于一体的综合性学科。

2　网络安全技术介绍

2.1　安全威胁和防护措施

网络安全威胁指的是具体的人、事、物对具有合法性、保密性、完整性和可用性造成的威胁和侵害。防护措施就是对这些资源进行保护和控制的相关策略、机制和过程。

安全威胁可以分为故意安全威胁和偶然安全威胁两种，而故意安全威胁又可以分为被动安全威胁和主动安全威胁。被动安全威胁包括对网络中的数据信息进行监听、窃听等，而不对这些数据进行篡改，主动安全威胁则是对网络中的数据信息进行故意篡改等行为。

2.2　网络安全管理技术

目前，网络安全管理技术越来越受到人们的重视，而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大，网络安全防范技术也得到了迅猛发展，同时出现了若干问题，例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题，以及网络中大量数据的安全存储和使用问题等等。

网络安全管理在企业管理中最初是被作为一个关键的组成部分，从信息安全管理的方向来看，网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。

在实际应用中，网络安全管理并不仅仅是一个软件系统，它涵盖了多种内容，包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。

2.3　防火墙技术

互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入，是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统，目的是为了保证整个网络系统不受到任何侵犯。

防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息，而且其具有一定程度的抗外界攻击能力，所以可以作为企业不同网络之间，或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施，它不仅是一个限制器，更是一个分离器和分析器，能够有效控制企业内部网络与外部网络之间的数据信息交换，从而保证整个网络系统的安全。

将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全，很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务，更容易受到网络的攻击和窃听。目前，互联网中较为常用的协议就是TCP/IP协议，而TCP/IP的制定并没有考虑到安全因素，防火墙的设置从很大程度上解决了子网系统的安全问题。

2.4　入侵检测技术

入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估，并根据评价结果来判断行为的正常性，从而帮助系统管理人员采取相应的对策措施。入侵检测可分为：异常检测、行为检测、分布式免疫检测等。

3　企业网络安全管理系统架构设计

3.1　系统设计目标

该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足，提出一种通用的、可扩展的、模块化的网络安全管理系统，以多层网络架构的安全防护方式，将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中，使得这些网络安全防护技术能够相互弥补、彼此配合，在统一的控制策略下对网络系统进行检测和监控，从而形成一个分布式网络安全防护体系，从而有效提高网络安全管理系统的功能性、实用性和开放性。

3.2　系统原理框图

该文设计了一种通用的企业网络安全管理系统，该系统的原理图如图1所示。

3.2.1　系统总体架构

网络安全管理中心作为整个企业网络安全管理系统的核心部分，能够在同一时间与多个网络安全终端连接，并通过其对多个网络设备进行管理，还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件，以及在网络中发生响应命令等功能。

网络安全是以分布式的方式，布置在受保护和监控的企业网络中，网络安全是提供网络安全事件采集，以及网络安全设备管理等服务的，并且与网络安全管理中心相互连接。

网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。

网络安全管理专业人员能够通过终端管理设备，对企业网络安全管理系统进行有效的安全管理。

3.2.2　系统网络安全管理中心组件功能

系统网络安全管理中心核心功能组件：包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能，它是到系统探测器模块数据库中进行选择，找出与功能相互匹配的模块，将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询，并将管理策略发送给网络安全。

系统网络安全管理中心数据库模块组件：包括了网络安全事件数据库、网络探测器模块数据库，以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的，它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计，主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略，并且对各种策略进行存储。

3.3　系统架构特点

3.3.1　统一管理，分布部署

该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理，并且根据网络管理人员提出的需求，将网络安全分布地布置在整个网络系统之中，然后将选取出的网络功能模块和网络响应命令添加到网络安全上，网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。

3.3.2　模块化开发方式

本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式，如果需要在企业网络管理系统中增加新的网络设备或管理策略时，只需要对相应的新模块和响应策略进行开发实现，最后将其加载到网络安全中，而不必对网络安全管理中心、网络安全进行系统升级和更新。

3.3.3　分布式多级应用

对于机构比较复杂的网络系统，可使用多管理器连接，保证全局网络的安全。在这种应用中，上一级管理要对下一级的安全状况进行实时监控，并对下一级的安全事件在所辖范围内进行及时全局预警处理，同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。

4　结论

随着网络技术的飞速发展，互联网中存储了大量的保密信息数据，这些数据在网络中进行传输和使用，随着网络安全技术的不断更新和发展，新型的网络安全设备也大量出现，由此，企业对于网络安全的要求也逐步提升，因此，该文设计的企业网络安全管理系统具有重要的现实意义和实用价值。

篇3

网络安全事件预警系统的体系结构如图1所示，其中的系统中心、流检测服务器、载荷检测服务器、配置管理服务器是系统的逻辑组成部分，并非是必须独立的硬件服务器。对于中等规模的网络可以运行于一台硬件服务器上。

2系统处理流程

如图1所示，以检测流经路由器R1的流量为例，介绍系统的处理流程。

（1）路由器R1生成流记录，并将记录输出到流检测服务器。流记录符合IPFIX格式，流以五元组（SrcIP、SrcPort、DestIP、DescPort、Protocol）标识。

（2）流检测服务器采用基于流特征的检测方法对流量进行检测，将流量分成正常流量和安全事件流量，并将分类结果发送系统中心。

（3）系统中心根据安全事件策略库中的监控策略分析检测结果，这里会出现三种情况。流量正常不需要控制，系统显示检测结果；检测结果达到控制标准，发出预警或通知。需要深度包检测，通知配置服务器镜像R1上特定流量。

（4）配置服务器向R1发出相关镜像配置命令。

（5）R1执行镜像命令，通过镜像链路镜像相应流量。

（6）载荷检测服务器对这些数据报文进行捕捉并通过深度包检测方法确定进行分析。

（7）显示检测结果，对安全事件发出预警或通知服务器。

网络预警系统检测方法研究

1流特征检测方法

基于流记录特征的流量分析技术主要应用NetFlow技术，对网络中核心设备产生的NetFlow数据进行分析、检测分类、统计。NetFlow协议由Cisco公司开发，是一种实现网络层高性能交换的技术。它运行在路由器中动态地收集经过路由器的流的信息,然后缓存在设备内存中，当满足预设的条件后，将缓存数据发送到指定的服务器。一个信息流可以通过七元组（源IP地址、目的IP地址、源端口号、目的端口号、协议类型、服务类型、路由器输入接口）唯一标识。

数据流检测的数据流程主要为：操作人员启动采集，程序通过libpcap对相应端口中的NetFlow数据进行接收，先缓存直内存中，达到一定数量后压缩存储直对应的文件中，进行下一次接收，同时定时启动分析模块，调入NetFlow规则库并调取相应的压缩NetFlow数据文件，对数据进行处理后，将NetFlow数据内容与规则库进行匹配，获得相应的处理结果存入数据库中，再次等待下一次分析模块启动。

2深度包检测方法

深度包检测方法是用来识别数据包内容的一种方法。传统的数据检测只检测数据包头，但是这种检测对隐藏在数据荷载中的恶意信息却无能为力。深度包检测的目的是检测数据包应用载荷，并与指定模式匹配。当IP数据包、TCP或UDP数据流通过基于DPI技术的管理系统时，该系统通过深入读取IP数据包载荷中的内容来对应用层信息进行重组，从而得到整个应用程序的通信内容，然后按照系统定义的管理策略对流量进行过滤操作。这种技术使用一个载荷特征库存储载荷的特征信息，符合载荷特征的数据包即视为特定应用的数据包。

深度包检测的数据流程主要为：操作人员启动采集，程序先调入相应的协议规则，程序通过libpcap对相应网络端口中对应协议的数据进行抓包捕获，对数据包进行协议分析拆包处理后，调入正则规则并进行优化处理，将数据包内容与优化过的规则进行多线程匹配，获得相应的处理结果存入数据库中，再次进行下一步处理。

3复合型检测方法研究与分析

复合型检测，既结合了基于流特征的检测，从宏观上检测整个网络的安全状态，又结合了深度包检测的方法，对某些安全事件进行包内容的详细特征检测，可以极大的提高安全事件检测的准确度，减少误报率和漏报率，并可有效地提高深度包检测的效率，大幅降低深度包检测对系统的配置要求。

根据复合型规则的定义，来处理流检测和深度包检测的关系。可以根据不同的安全事件定义对应的复合方式，即可实现两种检测方法同时进行，也可先进行流检测符合相应规则后，再进行深度包检测，最后判定是否为此安全事件。

复合型规则中，数据流规则与深度包规则的对应关系是M:N的关系。既一个数据流规则可以对应多个深度包规则，这表示这个数据流预警的安全事件可能是由多种深度包预警的安全事件引起，需要多个深度包检测来进行确认。同时多个数据流规则可以对应一个深度包规则，这表示这个深度包规则对应的安全事件可以引起发生多条数据流预警的安全事件。这种设计方式可方便地通过基础安全事件扩展多种不同的安全事件。

篇4

1 引言

现在，网络技术的发展促进了各种网络安全技术的应用，如病毒防火墙、入侵检测技术等。而对于这些网络安全技术的管理，则渐渐成为互联网管理技术的重点。通过对所有管理技术的总结，可以将现在广泛采用的技术方法总结为三类：（1）利用安全设备自身管理平台实现管理；（2）利用简单网络管理协议实现设备管理；（3）利用专业厂家所提供的管理平台和系统进行统一管理。

通过对上面三类管理技术和方式的详细了解，以及对现在网络安全设备管理具体需求掌握的基础上，本文构建一个对异构网络设备进行网络统一管理的平台，能够将网络架构进行有效扩展，从而满足网络日益增长的需求，最大可能地发挥安全设备的应用效能。

2 平台架构

通过网络安全设备的异构管理平台，能够实现对整个网络中所有安全设备的统一管理，为网络中数据和安全资源的共享和管理，以及多种安全管理模块的有效互动奠定基础。参考现在主流软件的设计思路，根据组件化的平台构建思想，可以将整个平台划分为四个不同的层次，即客户层、业务逻辑层、数据交换层和后台数据层等。

本文所构建平台，在具体的实现过程中，主要基于主流的B/S结构进行开发和系统架构，具体到不同的层，客户层采用RIA/AJAX技术、业务逻辑和数据交换层则采用J2EE架构，利用Java语言来实现，而后台数据库主要利用SQL　Server系统来完成。

3 主要功能模块划分

对于文中平台主要功能的实现，则主要通过业务逻辑层来完成，概括起来主要包含四个方面的功能。

3.1 设备管理

对于设备管理模块来说，可以作为其他功能模块的基础，是其他模块有机结合的基础模块，主要包括几个子功能：（1）设备信息管理；（2）设备状态监控；（3）设备拓扑管理等。

这些子功能的实现，可以在网络拓扑和手动的基础上，通过统一通信接口来对设备的状态和性能进行实施的监控和管理，必要的情况下，还可以通过图形化的方式来表示，方便平台和系统管理员对设备运行状态的及时掌握和定位，减轻管理员的工作量。

3.2 事件分析

作为安全设备管理平台的核心模块，安全事件分析模块的目的就是对大量的网络事件进行分析和处理、筛选，减轻管理员的工作压力，所以，该功能模块的主要子功能有安全时间分类统计、关联分析和处理等。同样，该功能模块也能够通过统一通信接口来对各个安全设备所生成的时间报告进行收集、统计，在统计分析的过程中，可以根据不同的标准进行分类，如时间、事件源、事件目的和事件类型等，通过科学统计和分析，还可以利用图表的方式进行结果显示，从而实现对安全事件内容关系及其危害程度进行准确分析的目的，并从海量的安全事件中挑选出危险程度最高的事件供管理员参考。

3.3 策略管理

安全设备管理平台中的策略管理模块包含多个功能，即策略信息管理、冲突检测和策略决策等功能。通过对各类安全设备的策略进行标准化定义的基础上，就可以统一对设备的策略定义进行管理和修改，对当前所采用的策略进行网络安全事件冲突检测，及时发现可能存在的网络设置冲突和异常，确保网络策略配置的正确性和合理性。通过对网络环境中安全事件的深入分析，在跟当前所采用安全策略相比较的基础上，就能够为设备的安全设置提供合理化建议，从而实现对网络安全设备设置的决策辅助和支持。

3.4 级别评估

最后一个功能模块就是安全级别评估模块，该模块的主要任务就是对网络商业设备安全制度的收集汇总、实施情况的总结和级别的评估等。该模块通过对网络安全事件的深入分析，在结合安全策略设置的基础上，实现对网络安全水平的准确评估，从而为网络安全管理的实施和水平的提高提供有价值的数据参考。

4 平台中的通信方法

要实现网络中异构安全设备的统一管理，就需要通过统一的通信接口来实现，该接口的主要功能就是通过对网络中异构设备运行状态、安全事件等信息的定时获取，从技术的角度解决异构设备所造成的安全信息格式不兼容和通信接口多样的问题，实现网络安全信息的标准化和格式的标准化。

4.1 资源信息标准化

在网络安全管理中，所涉及到的安全资源信息主要包括安全设备的运行状态、设备配置策略信息和安全事件信息等。其中，安全设备的运行状态信息主要通过数据交换层中的通信程序通过跟安全设备的定时通信来得到，可以通过图表的方式进行可视化。这些资源信息主要采用RRD文件的方式进行存储，但是采用数据库存储的则比较少，这主要是由于：（1）RRD文件适合某个时间点具有特定值且具有循环特性的数据存储；（2）如果对多台安全设备的运行状态进行监控的情况下，就应该建立跟数据库的多个连接，给后台数据库的通信造成影响。

对于上面提到的安全设备的运行状态信息和安全事件信息，通过对各种安全设备信息表述格式的充分考虑，本文中所设计平台决定采用XML语言来对设备和平台之间的差异性进行描述，不仅实现了相应的功能，还能够为平台提供调用转换。而对于安全策略类的信息，则是先通过管理员以手动的方式将安全策略添加到平台，然后再在平台中进行修改，之后就可以在通过平台的检测冲突，由平台自动生成设备需要的策略信息，然后再通过管理员对策略进行手动的修改。

4.2 格式标准化

对于安全事件和策略的格式标准化问题，可以通过格式的差异描述文件来实现彼此之间的转换，这里提到的差异描述文件则采用XML格式来表述，而格式的自动转换则通过JavaBean的内置缺省功能来实现。

4.3 通信处理机制

对于通信接口而言，由不同厂家所提供的同类型设备之间的差异也比较大。所以，对于设备的运行状态信息，主要采用两种途径来获取：（1）通过标准的SNMP、WMI方式获得；（2）通过专用的Socket接口调用特定函数来获得。而对于网络运行中的安全事件，其获得途径也有两种：（1）通过专用Socket接口来获得；（2）将安全事件通过推送的方式发送到指定的安全管理设备。

通过综合分析，本文平台主要采用独立的通信程序和集中设置调用的方法来获得安全资源信息，这样就可以实现对安全设备管理的最有效支持。本文所采用方式的实现机制为：平台通过标准接口获取网络的安全资源信息，再通过通信程序的调用设置功能，对程序调用的时间间隔及其语法规范进行定义。

5 总结

现代互联网技术的快速发展，促使网络中所采用安全设备的种类也越来越多，从而在网络设备管理中出现了多种问题，如异构设备的协同问题和安全事件的有效响应和处理等。所以，本文针对这些问题设计出一种对网络安全设备进行管理的异构网络平台。在该平台中，采用了一种异构安全设备通信处理机制，使得该平台能够对异构安全设备完全兼容。

参考文献

[1]　赵悦，徐涛.统一网络安全管理平台建设研究.信息系统，2009；32（　1）　：　117～118.

[2]　吴蓓，陈性元，张永福等.可扩展的网络安全设备内策略冲突检测算法.计算机应用研究，2010；　27（　4）　：　1484～1488.

[3]　鄣锡泉，姚国祥.网络安全管理的多维度可拓模糊综合评价.计算机工程，2011；　37（　4）　：　287～289.