精华内容
下载资源
问答
  • 行业分类-物理装置-一种基于强化学习的计算网格并行区域划分方法和装置.zip
  • 通过对现有的视频监控系统中预警区域划分方法的分析,结合移动视频监控系统的特点,提出 2 种适用于移动视频监控的预警区域划分方法。 九宫格预警区域划分方法,利用布局文件实现,用 M 行 N 列的单元格填充整个...
  • 针对电网的连锁过载,提出了一种基于聚类算法的故障关联区域划分方法。利用直流潮流法对初始故障支路和其余支路之间的内在关联因素进行了分析,给出了支路之间的关联作用矩阵;给出了一种评价支路连锁过载严重度的表达...
  • 应用主成分分析法和多元聚类分析法,对中国运输区域进行划分划分形成了七大运输区域。实际数据验证表明,运输区域划分能为分析运输区域特征和区际之间联系提供空间背景,同时也为区域运输规划和发展政策的制定...
  • 为解决古山三井综放工作面采空区自燃防治及危险区域划分的难题,并探究采用温升率划分自燃危险区域的可靠性和确定合理指标值,通过采用现场气体和温度监测与理论分析相结合的方法,研究综放工作面采空区氧气浓度和温度...
  • 基于深度学习的脑片图像区域划分方法.pdf
  • 基于轮廓的图像区域划分方法的研究,覃征,陈旸,本文针对图像融合问题,提出了基于轮廓的联合区域划分的方法。对于像素级融合来说,区域划分的结果将作为图像融合的基本单元,因
  • 行业分类-物理装置-一种图像感兴趣区域划分方法、图像分割方法及装置.zip
  • 行业-电子政务-一种基于综合评价的配电网供电区域划分方法.zip
  • 行业资料-电子功用-一种大规模电网整定计算的区域划分方法
  • 行业资料-电子功用-一种基于聚类分析的配电网供电区域划分方法
  • 行业-电子政务-用于电容触摸屏的多触摸区域划分方法及装置、触控系统.zip
  • LION:基于位置信息与兴趣偏好的P2P网络区域划分方法,董丽华,卢美莲,P2P技术的广泛应用使得构建一个合理的P2P覆盖网拓扑结构显得至关重要。针对结构化P2P覆盖网存在不支持语义查询及物理网络与逻辑网络
  • 企业网络安全区域划分的原则和方法 点击蓝字关注

    企业网络安全区域划分的原则和方法
    点击蓝字关注? talkwithtrend 今天

    网络逐渐成为企业运营不可或缺的一部分,基于互联网的应用、远程培训、在线订购以及财务交易等,极大地提高企业的生产力和盈利能力,带来很多的便利。

    但在享受便利的同时,网络系统同样也成为安全威胁的首要目标,网络安全面临着前所未有的威胁。威胁不仅来自人为的破坏,也来自自然环境。各种人员、机构出于各种目的攻击行为,系统自身的安全缺陷(脆弱性),以及自然灾难,都可能构成对企业网络系统的威胁。

    威胁的发起因素是威胁的主体, 按威胁主体的性质分类, 安全威胁可以分为人为的安全威胁和非人为的安全威胁。按人为攻击的方式分类,可以分为被动攻击、主动攻击、邻近攻击和分发攻击等。

    1、安全威胁

    非人为的安全威胁

    非人为的安全威胁主要分为两类,一类是自然灾难,另一类是技术局限性。信息系统都是在一定的物理环境下运行, 自然灾难对信息系统的威胁是非常严重的。 典型的自然灾难包括:地震、水灾、火灾、风灾等。自然灾难可能会对信息系统造成毁灭性的破坏。

    同所有技术一样,信息技术本身也存在局限性,有很多缺陷和漏洞。典型的缺陷包括:系统、硬件、软件的设计缺陷、实现缺陷和配置缺陷。信息系统的高度复杂性以及信息技术的高速发展和变化,使得信息系统的技术局限性成为严重威胁信息系统安全的重大隐患。

    人为安全威胁

    网络系统面临的人为安全威胁可分为外部威胁和内部威胁,人为安全威胁主要是人为攻击,主要分为以下几类:被动攻击、主动攻击、邻近攻击、分发攻击。

    被动攻击
    

    这类攻击主要包括被动监视通信信道上的信息传送。被动攻击主要是了解所传送的信息,一般不易被发现。典型攻击行为有:

    a) 监听通信数据;

    b) 解密加密不善的通信数据;

    c) 口令截获;

    d) 通信流量分析。

    主动攻击
    

    主动攻击为攻击者主动对信息系统实施攻击,包括企图避开安全保护,引入恶意代码,以及破坏数据和系统的完整性。

    a) 修改数据;

    b) 重放所截获的数据;

    c) 插入数据;

    d) 盗取合法建立的会话;

    e) 伪装;

    f) 越权访问;

    g) 利用缓冲区溢出(BOF)漏洞执行代码;

    h) 插入和利用恶意代码(如:特洛依木马、后门、病毒等);

    i) 利用协议、软件、系统故障和后门;

    j) 拒绝服务攻击。

    邻近攻击
    

    此类攻击的攻击者试图在地理上尽可能接近被攻击的网络、系统和设备,目的是修改、收集信息,或者破坏系统。这种接近可以是公开的或秘密的,也可能是两种都有,邻近攻击最容易发生在没有良好保安措施的地方。典型的邻近攻击有:

    a) 偷取磁盘后又还回;

    b) 偷窥屏幕信息;

    c) 收集作废的打印纸;

    d) 物理毁坏通信线路。

    分发攻击
    

    分发攻击是指在系统硬件和软件的开发、生产、运输、安装和维护阶段,攻击者恶意修改设计、配置等行为。典型的分发攻击方式有:

    a) 利用制造商在设备上设置隐藏的攻击途径;

    b) 在产品分发、安装时修改软硬件配置,设置隐藏的攻击途径;

    c) 在设备和系统维护升级过程中修改软硬件配置,设置隐藏的攻击途径。直接通过因特网进行远程升级维护具有较大的安全风险。

    内部威胁
    

    内部威胁是由于内部管理不善, 由内部合法人员造成, 他们具有对系统的合法访问权限。内部合法人员对系统的威胁, 除了具有上述人为安全威胁的攻击方式, 还具有其特有的攻击手段。内部威胁分为恶意和非恶意两种,即恶意攻击和非恶意威胁。恶意攻击是指出于各种目的而对所使用的信息系统实施的攻击。 非恶意威胁则是由于合法用户的无意行为造成了对政务信息系统的攻击,他们并非故意要破坏信息和系统,但由于误操作、经验不足、培训不足而导致一些特殊的行为,对系统造成了破坏。

    典型的内部威胁有:

    a) 恶意修改数据和安全机制配置参数;

    b) 恶意建立未授权的网络连接,如:拨号连接;

    c) 恶意的物理损坏和破坏;

    d) 无意的数据损坏和破坏,如:误删除。

    2、传统安全防范技术

    面对如此众多的威胁威胁, 传统安全防范技术强调单个安全产品的重要性, 如防火墙的性能和功能,IDS 入侵检测系统的高效性等,而对全网的安全威胁没有一个仔细的研究,对网络安全的设计没有明确的层次和区域,如下图所示:
    在这里插入图片描述
    网络中部署了相关的安全产品,防火墙,VPN,IDS,安全管理等,但由于组网方式很随意,没有统一规划,不清楚网络的威胁,层次,区域策略,安全防护手段部署原则不明确,当网络某一局部出现安全隐患被侵入后,由于网络之间边界不清楚,无清楚的边界控制,攻击很容易扩散,从而局部侵入马上成为全网侵入,造成对全网的威胁。当局部的蠕虫泛滥,造成全网的快速泛滥,企业用户缺乏足够的缓冲处理时间,可能很快造成全网瘫痪,而部署的安全设备也不能充分的发挥作用,成为资源的浪费。

    3、纵深防御和安全区域划分

    因此,在多种多样的安全威胁前,企业需要建立纵深防御体系,防止因某个部分的侵入而导致整个系统的崩溃;基于网络系统之间逻辑关联性和物理位置,功能特性,划分清楚的安全层次和安全区域,在部署安全产品和策略时,才可以定义清楚地安全策略和部署模式。

    特别是对复杂的大系统,安全保障包括网络基础设施、业务网,办公网,本地交换网,电子商务网,信息安全基础设施等多个保护区域。这些区域是一个紧密联系的整体,相互间既有纵向的纵深关系,又有横向的协作关系,每个范围都有各自的安全目标和安全保障职责。积极防御、综合防范的方针为各个保护范围提供安全保障,有效地协调纵向和横向的关系,提高网络整体防御能力。

    安全区域划分对企业网络的建设有着以下重要意义:

    纵深防御依赖于安全区域的清除定义
    
    安全区域间边界清晰,明确边界安全策略
    
    加强安全区域策略控制力,控制攻击扩散,增加应对安全突发事件的缓冲处理时间
    
    依据按全策略,可以明确需要部署的安全设备
    
    使相应的安全设备充分运用,发挥应有的作用
    

    安全域隔离技术

    安全域隔离技术主要分为物理隔离技术和逻辑隔离技术两类

    物理隔离
    
      • 物理级(电磁辐射)-- 屏蔽、干扰
    
      • 终端级(双网机)-- 双盘型、双区型
    
      • 传输信道级 -- 非加密信道、加密信道
    
      • 网络级(网闸)
    
           --信息交换型
    
           --信息共享型
    
           --系统互操作型
    
    逻辑隔离
    
      • 防火墙控制
    
      • VLAN虚拟网技术
    
      • FR, ATM技术
    
      • L2TP V3,ATOM
    
      • IPsec VPN, MPLS VPN, SSL VPN, GRE技术
    
      • 病毒网关过滤技术
    
      • 应用层安全控制技术
    

    4、一般企业网络安全区域设计模型

    企业网络情况和业务系统千差万别, 所以不同企业对安全区域的划分, 可以有完全不同的表述方法和模式。但一般而言,大多数企业均有相同的网络部分和安全分区。

    安全区域相关定义

    在划分安全区域时,需要明确几个安全区域相关的定义,以免模糊他们之间的概念,造成区域划分完之后, 依然逻辑不清晰, 安全策略无法明确, 立体的纵深防御体系也无法建立。一般在安全区域划分时,需要明确如下常用的定义:

    • 物理网络区域

    物理网络区域是指数据网中,依照在相同的物理位置定义的网络区域,通常如办公区域,远程办公室区域,楼层交换区域等

    • 网络功能区域

    功能区域是指以功能为标准,划分的逻辑网络功能区域,如互联网区域,生产网区域,办公网区域等

    • 网络安全区域

    网络安全区域是指网络系统内具有相同安全要求、达到相同安全防护等级的区域。同一安全区域一般要求有统一的安全管理组织和安全防护体系及策略,不同的安全区域的互访需要有相应得边界安全策略

    • 网络安全层次

    根据层次分析方法,将网络安全区域划分成几个不同安全等级的层次,同一层次包含若干个安全等级相同的区域,同层安全区域之间相互逻辑或物理隔离。

    • 物理网络区域和安全区域的关系

    一个物理网络区域可以对应多个安全区域,一个安全区域只能对应一个物理网络区域

    • 网络功能区域和物理网络区域的关系

    一个网络功能区域可以对应多个物理网络区域,一个物理网络区域只能对应一个网络功能区域,如办公网功能区域,可以包含总部办公网物理区域,远程办公室办公网物理区域,移动办公物理区域等。

    • 网络功能区域和安全区域的关系

    一个网络功能区域可以对应多个网络安全区域,一个网络安全区域只能对应一个网络功能区域。

    安全区域设计一般原则

    尽管不同企业对安全区域的设计可能理解不尽相同, 但还是有一般的安全区域设计原则可供参考如下:

    • 一 体化设计原则

    综合考虑整体网络系统的需求,一个整体的网络安全区域设计规范以规范我

    • 多重保护原则

    不能把整个系统的安全寄托在单一的安全措施或安全产品上,要建立一套多重保护系统,各重保护相互补充,当一层保护被攻破时,其它层的保护仍可确保信息系统的安全

    • 定义清楚的安全区域边界

    设定 清楚地安全区域边界,可以明确安全区域策略,从而确定需要部署何种安全技术和设备

    • 在安全域之间执行完整的策略

    在安全域之间执行完整的安全策略,帮助建立完整的纵深防御体系,方便安全技术实施部署

    • 通常安全域越多越好

    • 较多的安全区域划分可以提供更精确的访问控制策略,提高网络的可控性

    • 太多地安全区域,会增加管理复杂性

    • 需要在较多的安全区域划分和管理的复杂性之间做出平衡选择

    • 风险、代价平衡分析的原则

    通过分析网络系统面临的各种安全问题挑战, 确保实施网络系统安全策略的成本与被保护资源的价值相匹配;确保安全防护的效果与网络系统的高效、健壮相匹配。

    • 适应性、灵活性原则

    在进行网络安全区域设计时,不能只强调安全方面的要求,要避免对网络、应用系统的发展造成太多的阻碍;另外,在网络安全区域模型保持相对稳定的前提下,要求整体安全区域架构可以根据实际安全需求变化进行微调,使具体网络安全部署的策略易于修改,随时做出调整。

    网络安全区域划分方法

    传统的划分方法
    

    传统安全区域划分方法基本是以安全功能区域和物理区域相结合,做出安全区域的划分。 在一般规模较小的企业网络环境中,这种方式简明, 方便,逻辑清楚, 便于实施。但在先对比较复杂的企业网络系统中, 应用系统相对复杂, 传统方式主要考虑不同应用系统之间安全防护等级的不同, 较少考虑同一应用系统对外提供服务时内部不同层次之间存在的安全等级差异,一般而言,存在以下4个方面缺点:

        •  在应用系统较为复杂的网络系统中,不同应用系统的用户层、表示层功能相互整合,各应用系统不同层次间的联系日趋复杂,从而很难设定明确的界限对应用系统进行归类,造成安全区域边界模糊。
    
        •  设置在安全区域边界的防火墙实施的安全策略级别不清, 存在着应用划分层次(用户、表示、应用、数据) 4 层功能两两之间各种级差的访问控制策略,防火墙安全等级定位不清,不利于安全管理和维护。
    
        •  所有区域定义的安全级别过于复杂,多达 10+级安全等级,等级高低没有严格的划分标准,造成实施边界防护时难以进行对应操作。
    
        •  逻辑网络安全区域和物理网络区域的概念不清,相互混用,无法明确指出两者之间的相互关系。
    
    改进的安全区域划分方法- 层次型安全区域划分方法
    

    借鉴 B/S 结构应用系统对外提供服务的层次关系,采用层次分析的方法,将数据网络划分成核心数据层、应用表述层、网络控制层、用户接入层 4 个不同的安全等级,从核心数据层到用户接入层安全等级递减。不同安全层次等级之间由于存在较大安全级差,需要通过防火墙实施物理隔离和高级别防护;同一安全等级层次内的资源,根据对企业的重要性不同,以及面临的外来攻击威胁、内在运维风险不同, 进一步划分成多个安全区域, 每个区域之间利用防火墙、 IOS ACL、VLAN 实施逻辑、物理的隔离,形成一个垂直分层,水平分区的网络安全区域模型。

    (本文来源网络,作者佚名)

    展开全文
  • 突出煤层突出危险区域划分的新方法,翟果红,蒋承林,介绍了一种新的突出煤层危险区域划分方法,分析了利用初始释放瓦斯膨胀能指标划分突出危险区域的理论、划分步骤和优点;并利用该
  • 该算法将声速作为未知量,利用冗余的定位信息构建定位模型,针对标准粒子群算法收敛速度慢及容易早熟的问题,采用区域划分方法动态调整粒子的惯性权重和学习因子,达到寻优能力与收敛速度的平衡,并引入自适应变异操作...
  • 行业分类-物理装置-区域划分和分类方法、装置和计算机可读存储介质.zip
  • 针对传统的基于像素点和基于窗口的多焦点图像融合方法中,处于像平面的清晰物体呈现效果不佳的问题,提出了基于快速区域划分的图像融合方法。首先使用边缘提取算子对图像进行初始的轮廓提取,然后对初始轮廓中存在的...
  • 在超声彩色血流成像(Color Flow Imaging,简称CFI)系统中,为抑制杂波信号对血流速度估计的影响,提出了一种基于动态区域划分的非平稳杂波抑制方法。该方法首先根据回波信号的能量特性提出动态区域划分法,将回波信号...
  • 首先,提出了一种多粒度区域划分方法来划分位置区域。 在基于范围的方法中,RSSI(接收信号强度指示器,RSSI)用于估计距离。 最佳RSSI值通过高斯拟合方法计算。 此外,Voronoi图的特征在于使用划分区域。 随机锚...
  • 提出了基于图像区域划分和改进C-V法的活动轮廓图像分割方法。通过区域划分方法将整幅图像的分割问题转化为在不同的子区域上分别进行的图像分割问题,并在各子区域中采用改进C-V法进行图像分割。改进的C-V方法在...
  • 针对目前被广泛使用的one-hot编码方法的编码结果具有较大的稀疏性,并且编码出的数值仍然没有明确的物理意义等问题,提出一种基于条件概率的区域划分编码算法CZT(conditional-probability-based zone ...
  • 均质区域可用泰森三角形、趋势面、聚类分析等方法进行区划;结节区域之间的分界点轨迹从理论上说是一个圆,在现实中可以用断裂点模型和图上作业相结合的方法进行区划。关键是要定义好中心度,扣除内部自我服务部分,...
  • 对曲面进行三角网格划分,通过三角面片的法矢比较和面片合并将曲面划分成多个区域;构造区域单位矢量集的锥平均值,先用锥平均值代替区域的初始加工方向,再对刀具方向进行局部优化和修正。通过实例说明该方法在规划...
  • 行业分类-物理装置-一种镜片检测区域划分方法.zip
  • 为解决词频矩阵的词频维数过大和矩阵过于稀疏的问题,提出一种子主题区域划分的多文档自动文摘方法。使用知网进行概念获取,建立概念向量空间模型,代替传统的词频向量空间模型。在概念向量空间模型的基础上,利用一...
  • 文中基于提高射频识别定位系统中定位精度的目的,提出了一种改进的IMLANDMARC算法,该算法通过对待定位标签所在区域进行子区域划分,并增加虚拟参考标签的方法,对LANDMARC算法进行改进,使用Matlab软件对算法进行...
  • 基于机器学习方法的无线信道特征的识别与区域划分.pdf

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 180,020
精华内容 72,008
关键字:

区域划分的方法