基于物理拓扑发现的网络接入监控系统

计算机网络的普及和因特网的广泛应用，使得网络安全成为人们关注的一个重点。对设备接入网络情况的监控是网络安全工作的一项重要内容。文中介绍了一个基于物理拓扑发现的网络接入监控系统的设计与实现过程，提出了一种发现主机与变换机连接关系的简单方法，最后指出系统的改进方向。     

基于TNC的安全接入系统的设计与实现

为了保证网络安全,将威胁隔离在受保护的网络之外,需要在主机接入网络以前对其进行健康状况评估,只允许符合既定安全策略的主机接入网络。针对上述问题,本文基于可信网络连接TNC技术设计并实现了一个安全接入系统,该系统可以根据指定的安全策略,对所有申请接入内网的主机进行身份验证和完整性校验,拒绝不安全的主机接入,最大限度的保证内网安全。     

实时网络安全监控系统的设计和实现

提出了一种实时网络安全监控系统(Real-time Network Security Monitoring System，RNSMS)，讨论了RNSMS的工作模式、实现功能、关键技术等问题。RNSMS能实时地对网络活动进行监控，对常见网络数据包(HTTP，FTP，Tclnet，POP，SMTP，SSL，UDP)内容进行实时分析还原，并加入OPSEC接口，加强与其他网络安全工具的协作互动。应用表明RNSMS是一种有效的网络安全工具。     

网络安全性及对策研究

针对网络与信息安全现状以及网络脆弱性进行分析,从入侵防御、可信接入和网络流量监控三个方面切入,提出了网络安全的技术与实现,构建系统的安全防范体系。     

直接网络访问在火电厂SIS系统中的应用研究

本文探讨了直接网络访问技术，并针对电站监控系统（SIS）的数据接入问题，提出了一种基于直接网络访问技术时数据接入系统方案。     

扩展的可信网络平台接入与认证

为了对终端接入可信网络的全生命周期的完整性进行实时监控与调节,通过分析现有可信网络认证模型的不足,基于可信网络认证与接入的三方模型,加入了元数据存储模块和流量控制器以及传感器模块,提出了一种扩展的可信网络平台接入与认证模型,并描述了一个基本的验证过程.通过在可信网络服务器端引入一个用于判定资源属性的模块,大大提高了服务器性能.然后描述了全生命周期监控的定义和实例.最后指出了扩展的可信网络认证与接入模型需要考虑的安全性和机密性问题.     

主动式网络安全监控系统的研究

一般通过在受保护主机上安全防火墙和入侵检测机制,或者在网络设备上设置访问控制技术来实现网络安全防护。该文主要讨论了主动式网络安全监控系统,在分析主动式网络监控系统设计基础上,针对企业网非法接入防范子系统采用的SNMP协议进行相关分析。     

基于硬件分区和IP报文还原的网络隔离与信息交换

网络隔离技术是目前网络安全领域研究的热点内容.针对多网接入应用环境下的安全隔离需求,本文设计了一种网络安全隔离与信息交换系统,采用基于硬件分区的网络隔离技术和基于IP报文还原的内容深度处理技术,实现了多个外部网络接入一个内部网络时外网间的安全隔离和内外网间的安全通信.本文设计的系统已应用于实际网络环境,表现出良好的安全性能.     

主动式网络安全监控系统的研究

一般通过在受保护主机上安全防火墙和入侵检测机制,或者在网络设备上设置访问控制技术来实现网络安全防护。该文主要讨论了主动式网络安全监控系统,在分析主动式网络监控系统设计基础上．针对企业网非法接入防范子系统采用的SNMP协议进行相关分析。     

基于多属性的移动终端安全接入网络认证协议

很多网络安全事件是由恶意用户具有较大访问的权限而引起的。为预防网络恶意行为的发生,首先解决好网络安全接入认证。基于此,提出一个基于多属性的移动终端安全接入网络认证协议。该协议将移动设备属性和用户属性映射为一个网络访问标识符,在移动设备和网络之间建立一个双向认证过程,并支持设备的移动性。另外网络在移动终端的访问过程中采取定期认证检验,避免假冒用户现象发生。仿真实验表明,该协议具有较好的安全性和较短的认证延时。     

一种基于多域安全信任的访问控制模型

访问控制是一种可同时服务于用户与资源的安全机制。安全域通过使用访问控制机制为用户访问资源提供方便,同时亦对用户行为进行监视与控制。然而,由于P2P网络缺乏集中控制,现有的访问控制技术无法对P2P网络的网络节点进行控制,特别是网络中节点行为缺乏指导和约束。基于当前P2P网络访问控制中存在的不足,提出一种基于多域安全信任的访问控制模型：MDTBAC。MDTBAC模型通过扩展多级安全机制来实现访问控制,将信任算法计算所得的节点信任度作为访问级别划分标准,根据各个节点的信任度来分配相应的访问控制级别,不同的访问控制级别拥有不同的权限。     

一种P2P文件共享监控系统的实现

点对点(P2P)文件共享软件的广泛应用对现有的网络安全造成严重的影响。针对这些问题，该文设计了P2P文件共享监控系统。系统采用分布式防护的方法，安全策略由管理员集中定义，但安全策略的实施位于各个终端之上。与现有监控手段相比，避免了可能造成的性能瓶颈，具有更好的可扩展性，能实现更细的策略控制粒度。     

基于多线程扫描的网络拓扑边界监测系统设计

分析了当前网络维护管理和安全防护体系在网络自身运行状态监控方面存在的不足,提出一种网络边界安全守护的方法,主要解决了现有网络应用中无法全面监控网络结构的变化和无法详细了解网络边界接入状况的问题。通过使用多线程周期扫描和SNMP陷阱技术获取实时的网络信息,并将其与存储的历史信息进行比对,将异常状态以醒目的图形标示在管理界面上并发送报警通知,使得网络管理人员能够实时掌握网络结构与边界的状态变化,对于异常的接入情况能够及时采取管制措施,保障信息网络的边界安全。     

基于可信网络连接的安全接入技术

在网络访问控制中,验证终端实体的完整性状态,对于网络安全具有十分重要的意义。而传统的网络安全解决方案对此却无能为力。利用可信网络连接技术,可以评估并认证终端实体的完整性状态和安全级别,当终端的完整性及其它安全属性达到系统安全策略的要求时,方可允许该终端接入网络,这就增强了网络系统的安全性和可信性。     

论企业计算机网络的安全性设计

网络安全是保障企业网络正常运行的前提,企业的网络安全正受到越来越普遍的关注。本文从网络安全隔离、网络安全准入与访问控制、主机与系统平台安全、网络安全监测与审计、企业网络安全管理制度保障等方面进行阐述,提出如何充分利用有限的资金、成熟的技术,权衡安全性和效率,对网络进行全方位细致的规划设计,使企业网络的安全性得到有效的加强与提高。     

基于软件定义网络的非集中式信息流控制系统——S-DIFC

针对当前非集中式信息流控制(DIFC)系统无法对主机与网络敏感数据进行一体化有效监控的问题,提出一种基于软件定义网络(SDN)的DIFC系统设计框架--S-DIFC.首先,在主机平面利用DIFC模块对主机中文件及进程进行细粒度的监控;然后,利用标签信息转换模块拦截网络通信,将敏感数据标签添加到网络流中;其次,在网络平面的SDN控制器中,对带有机密信息的流进行多级别的访问控制;最后,在目标主机DIFC系统上,恢复敏感数据所携带的敏感信息标记.实验结果表明,该系统对主机CPU负载影响在10%以内,对内存影响在0.3%以内,与依赖加解密处理的Dstar系统大于15 s的额外时延相比,有效地减轻了分布式网络控制系统对通信的负担.该框架能够适应下一代网络对敏感数据安全的需求,同时分布式的方法能够有效增强监控系统的灵活性.     

如何构建网络环境下的计算机信息安全体系

计算机技术的不断发展,网络的不断普及,在给我们的工作,学习,生活,娱乐带来了极大的方便和好处同时,也给我们带来了新的威胁,那就是计算机系统安全问题。而我们的常常讨论的计算机系统安全包括计算机安全、网络安全和信息安全。其中信息安全是主线,它贯穿于计算机安全和网络安全之中。正是网络的广泛应用,在工作和生活中扮演如此重要的角色,如何来保障信息安全已经成为一个重要的问题。值得注意的是在实际应用中,由于操作系统的不同,网络拓扑技术的区别,连接介质的选择,网络接入技术的变化给实现计算机系统安全带来了复杂的操作性。根据参考资料,总结出3个层次的安全策略：技术安全,行为安全,意识安全。     

SSL VPN在社会渠道代收费系统中的应用

目前很多企业通过社会渠道代理企业收费,社会渠道代收费的形式很多,从网络安全的角度考虑存在一个共同的问题即在代理收费的过程中如何使社会商户安全地访问企业内网缴费服务器。本文讨论了采用SSLVPN技术保障社会渠道代收费系统安全实现的方法,该方法能有效保障社会渠道代收费系统的安全性,对电子商务的发展具有重要意义。     

网络安全监测系统

讨论了组成网络安全监测系统的各个模块及实现它的技术细节,尤其是在系统的总体结构设计,抓包模块中对网上数据包的捕捉和包还原模块中的HTTP还原模块,提供了较详细的说明,该系统能够提供关于网络数据流的完整数据内容的可视化,而且它是被动的侦听,不易被发现。