开展网络行为风险分析的五种手段.docx

《开展网络行为风险分析的五种手段.docx》由会员分享，可在线阅读，更多相关《开展网络行为风险分析的五种手段.docx（6页珍藏版）》请在第一文库网上搜索。

1、瓶瓶行为风险分析的五种手段目录刖三11 .什么是行为风险分析22 .行为风险分析的五种手段23 .网络安全风险分析及对策33. 1.概述33.2. 影响计算机网络信息系统安全的主要因素33.2.1. 1.网络系统存在隐患33.2.2. 安全意识不强、管理不善带来威胁33.2.3. 来自内部用户的安全威胁43.3. 加强计算机网络信息系统安全应采取的措施43.3. 1.制定科学、合理的安全策略43.3.1. 做好技防、人防工作53. 3. 3,加强内网用户的安全管理53. 3. 4.加强计算机病毒防治5参考文献：6刖百恶意软件泛滥的年代，摆在网络安全负责人面前的一道难题是，如何确保威胁检测能力跟

2、上日益复杂的恶意软件。那些基于恶意软件特征和规则的传统威胁检测技术，似乎已经跟不上时代的步伐，再也无法提供最有效的方法来保护企业免受现代恶意软件的侵扰。因为这种技术只适用于发现不复杂的恶意软件，但却发现不了没有相应特征的新威胁或未知威胁。基于恶意软件特征的威胁检测平台还有其他局限性：经常出现误报，而且向安全团队发出过多的警报；如果攻击者通过网络钓鱼攻击或数据泄露来获得合法的登录信息，传统威胁检测手段无法识别由攻击者实施的内部攻击；此外，攻击者还可以轻松地重新打包恶意软件，做到与已知特征不匹配，以绕过传统威胁检测手段来实施攻击。因此，许多组织开始纷纷转向行为风险分析，这种分析使用一套全然不同的流

3、程，需要输入大量数据才能有效。1 .什么是行为风险分析行为风险分析，通常需要收集大量数据，并基于该数据搭建训练模型，以查找异常行为和高风险行为。这种方法通常需要为正常的网络行为设定基准，通过机器学习等模型来检查网络活动并计算风险评分，根据风险评分查看异常情况，最终确定行为风险级别。这有助于减少误报并帮助安全团队确定风险优先级，从而将安全团队的工作量减少到更易于管理的水平。因为那些不寻常但低风险的行为常常在不太复杂的解决方案中触发误报警报，举个例子，假设企业营销人员几个月来第一次从SharePoint驱动器访问营销资料，这与该人的正常行为相比有些不寻常，但风险可能比较低。但是如果这同一个员工在大

4、多数员工处于离线状态时从陌生的位置访问代码存储库，这种风险就要大得多，应予以标记。2 .行为风险分析的五种手段行为风险分析有几种手段，包括以下这几种：1 .异常建模：使用机器学习模型和异常检测来识别异常行为，比如用户从无法识别的IP地址访问网络，用户从与其角色无关的敏感文档存储库下载大量知识产权(IP),或者流量从组织没有业务往来的国家或地区的服务器发来。2 .威胁建模：使用来自威胁情报源的数据和违反规则/策略的情况，寻找已知的恶意行为。这可以快速轻松地筛选出简单的恶意软件。3 .访问异常建模：确定用户是否在访问不寻常的资产或不应该访问的资产。这需要提取用户角色、访问权限及/或身份证件方面的数

5、据。4 .身份风险剖析：根据人力资源数据、观察名单或外部风险指标，确定事件所涉及的用户风险级别。例如，最近没有被公司考虑升职的员工也许更有可能对公司怀恨在心，企图进行报复。5 .数据分类：标记与事件有关的所有相关数据，如涉及的事件、网段、资产或账户，为安全团队提供上下文信息。3.网络安全风险分析及对策3.1. 概述随着信息化建设的快速发展，计算机网络在提高公安、武警的执勤、处突能力和实现信息资源共享方面发挥了重要作用，极大地提高了办公效率，提升了信息传递、公文流转的响应速度，但由于网络规模越来越大，应用环境越来越复杂，网络信息的安全问题也日渐突出，也给信息化建设和应用带来了巨大的安全风险，本文

6、结合网络应用情况，分析当前计算机网络信息系统安全存在的问题，提出加强网络信息安全的措施。3. 2.影响计算机网络信息系统安全的主要因素计算机网络所具有的开放性、互联性、连接方式的多样性及终端分布的不均匀性，为资源共享、用户使用提供了方便，但也正是因为这些特点，增加了网络信息系统的不安全性。虽然公安机关、武警等部门的网络建设根据各自的情况，也部署了安全防护设备，但由于网络技术本身存在的弱点以及一些人为的疏忽，计算机网络仍存在着许多不安全因素，结合具体使用情况，主要存在如下问题：3. 2. 1.网络系统存在隐患一是物理设备存在隐患，主要包括设备的老化、被盗、恶意破坏、电磁信息泄漏、电磁干扰、电源掉

7、电、服务器宕机、物理设备的自然损坏、软件意外失效等;二是网络结构存在隐患，从垂直管理的角度看，各业务部门的计算机主干是建立在树状结构的综合通信网基础之上，一般除了主干的节点设备和线路采用了冗余方式外，在下一级的节点设备上，没有做冗余，各级节点之间也没有冗余的线路，一旦某个下级节点损坏或线路出现故障，就会造成到某一方向所有下一级部门的网络业务中断。3.2.2.安全意识不强、管理不善带来威胁表现在有意或无意造成的一些人为失误，如配置不当、误操作、口令丢失、管理过于简单等。有的安全意识差，把一些重要信息放到网上，没有设置任何访问控制权限，造成信息资料被非法泄露、拷贝、篡改。有的未经许可将从互联网上下

8、载的软件装入局域网内的计算机，造成来自互联网的病毒在局域网内大量传播蔓延。有的缺乏漏洞常识，不及时打补丁或是只打操作系统补丁，而没有及时更新应用软件补丁和升级版本，或是不看说明乱打补丁后带来新的问题。有的技术水平不高，对操作系统、应用软件和网络设备的配置管理不当而造成安全漏洞，如用户的权限设置过大、服务器打开的端口太多、未及时删除已离职人员的账号、将自己的账号随意转借别人或者与别人共享资源等。有的没有依据最小授权、高度容错的原则对防火墙和入侵检测系统进行设置，导致在节点设备的出口中经常有大量无用的数据包。3. 2. 3.来自内部用户的安全威胁由于内部网的用户相对于外部用户来说，具有更便捷的条件

9、了解网络结构、防护措施部署情况、业务运行模式以及访问内部网权限，而当前对于来自网络内部的安全攻击和误操作等行为缺乏有效的监控和预防手段，就使得来自内部用户的安全威胁远大于外网的威胁。防火墙、入侵检测等网络安全设备，可以对网络异常行为进行监测和管理，但对网络和信息的内容或者是获得正常授权内部访问行为则基本上不做监控。因此，面对授权的网络访问而导致的信息泄密事件、网络资源滥用行为，以及对内容、行为的监控管理缺失，其防火墙、入侵检测等传统设备是难以防范的。内网面临的安全威胁主要来自于内网的用户终端，主要有以下一些表现形式：窃取传播违禁、机密的数据资料;非授权访问、使用网络资源;安装使用盗版软件或黑客

10、软件，对内网的其他计算机构成安全威胁;在内外网之间交叉使用移动存储设备，造成内外网间接地交换数据;私自上互联网导致泄密;随意更改IP地址造成IP冲突;数据存储中的安全威胁;本地计算环境和数据应用中的其他安全威胁等。3. 3.加强计算机网络信息系统安全应采取的措施3. 3. 1.制定科学 合理的安全策略运用P2DR模型的基本思想，综合各种安全技术（如防火墙、操作系统身份认证、加密等手段）对系统进行保护，同时利用检测工具（如漏洞评估、入侵检测等系统）来监视和评估系统的安全状态，并通过适当的响应机制将系统调整到相对“最安全”和“风险最低”状态。要加强机房、网络设备、通信线路、电源系统的安全管理，增加

11、设备、线路的备份冗余，如在分支节点增加设备的备份，增加到主干线路的链路冗余，提高网络的安全防护能力，使网络自身免受自然灾害、人为破坏等影响。3.3.2.做好技防、人防工作从技防的角度，完备入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制、防火墙控制等网络安全措施。同时:通过宣传教育和授课培训，增强使用人员网络信息安全意识和防范技术，明确信息网络系统各类人员的职责、权限，防止使用和维护的随意性，减少由操作失误造成对系统破坏的可能。3. 3. 3,加强内网用户的安全管理与防范外网安全主要集中于边界部署不同，保障内网安全需要

12、涉及的环节较多，如内网终端防护、流量和上网行为控制、监控审计、身份认证、信息加密等。加强内网的安全管理主要采取的措施：建立健全的内部规章制度，并严格贯彻执行;根据用户的不同级别和信息安全等级对信息访问权限进行设置，防止越权访问发生;加强内网的业务行为审计，即从传统的安全审计或网络审计转向对业务行为的审计;加强终端的合规性管理，即终端安全策略、文件策略和系统补丁的统一管理;加强对移动存储介质的管理。3. 3. 4.加强计算机病毒防治采取防火墙等安全设备与防病毒软件相结合的方式进行，建立全方位的、多层次的病毒防范系统，借助目前使用的防病毒系统，不仅在服务器端安装防病毒软件，而且还要在网络上的每一个

13、点都安装相应的防病毒产品，形成多层次的动态实时防护体系。除防病毒软件外，还应安装反间谍、反恶意程序软件系统，制定相应的防范预案，在发现病毒流行时，能够完成带毒设备的阻隔和分离，保证系统的正常运行。网络信息安全问题是复杂的综合性工程，仅依靠简单的安全技术和单一的安全产品，无法满足网络的实际要求，需要在人员、技术和管理三方面加以综合考虑。同时: 网络信息安全也是一个不断建设、不断加固的过程，是随着电子攻击技术的提高、信息系统的增多和重要性的增加而不断升级的过程。只有根据实际情况，在安全、性能、管理和经费投入之间寻找一个平衡点，才能有效实现计算机网络安全、高效、稳定的运行。参考文献：1 2刘远生.网络安全实用教程M.北京：人民邮电出版社.2011, (04).3云南省网络与信息安全通报中心.网络与信息安全情况通报.2019年第18期.第6页共6页