企业网络设备实际上的意思就是网络互联设备，就是在网间的连接路径中进行协议和功能的转换，它具有很强的层次性。遵循OSI模型，在OSI的每一层对应不同的网络设备产品，每层网络设备产品用于执行某种基本功能，并具有自己的收集整理一套通信指令（协议），相同层的网络设备之间共享这些协议。

  企业网络设备大致上可以分为交换机、路由器、防火墙。交换机就是一种在通信系统中完成信息交换的功能，交换机拥有一条很高带宽的背部总线和内部交换矩阵，交换机的所有端口都挂接在这条背部总线上，制动电路收到数据包后，处理端口会查找内存中的地址对照表以确定目的的网卡挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口。路由器就是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行翻译，使它们相互读懂对方的数据，从而构成一个更大的网络。其功能是对用户更好的提供最佳的通信路径，利用路由表查找数据包从当前位置到目的地址的正确路径。防火墙就是隔离在本地网络和外界网络之间的一道防御系统，防火墙可使用内部网络与因特网之间或者与其他外部网络相互隔离、限制网络互访，以保护企业内部网络，其基本功能是隔离不同的网络，防止企业内部信息的泄露；强化网络安全策略；包过滤和流量控制及网络地址转换等。

  2.1安全管理PC直接与安全设备做连接是最常见的，也就是传统的对网络安全设备要进行配置管理就必须把管理的计算机直接连接到安全设备上，常见的是将安全管理PC的串口与安全设备的CONSOLE口连接，然后在PC机上运行终端仿真程序，如Windows系统中的超级终端或者使用SecureCRT应用程序。然后在终端仿真程序上建立新连接，选择实际连接安全设备时，使用的安全管理PC上的串口，配置终端通信参数，安全设备做上电自检，系统自动进行配置，自检结束后提示用户键入回车，直到出现命令行提示符。然后就可键入命令，配置安全设备或者查看其运作时的状态。但对于不同设备可能会出现不同的设置，例如对于防火墙0的连接参数就和上面不一致，对这种情况我们可以采用WEB方式管理。就是用网线连接安全管理设备和计算机上的网卡接口，同时对管理计算机和安全设备的管理接口的IP地址进行配置，以便让它们位于同一个网段。开启安全设备的本地SSH服务，并且允许管理账号使用SSH。这是因为对大多数安全设备的WEB管理都是通过SSH连接设备的，这样安全管理PC和安全设备之间传输的数据都是通过加密的，安全性比较高。在安全管理PC的浏览器地址栏中输入https：//192.168.1.1回车，输入用户名和密码后就可登陆到网络安全设备的WEB管理界面，对其参数和性能进行配置。

  2.2安全管理PC通过交换机管理安全设备，只需把安全管理PC直接连接到交换机上，PC和安全设备就都位于同一网段中。除了采用WEB方式对安全设备进行管理配置外，还可以使用Telnet方式管理。用这种方式对安全设备进行管理时，必须首先保证安全管理PC和安全设备之间有路由可达，并且可以用Telnet方式登录到安全设备上，也可以采用SSH方式管理。当用户在一个不能保证安全的网络环境中时，却要远程登录到安全设备上。这时，SSH特性就可以提供安全的信息保障以及认证功能，起到保护安全设备不受诸如IP地址欺诈、明文密码截取等攻击。

  2.3通过安全中心服务器管理安全设备，就是把“安全管理计算机”升级成了“安全中心服务器”。在服务器上就可以对网络中所有的安全设备进行管理配置，而不用再把安全管理计算机逐个的连接到安全设备或安全设备所在VLAN的交换机上。在这种管理模式中，除了不能直接连接到安全设备的CONSOLE口上对其进行管理配置外，WEB、Telnet和SSH在安全中心服务器上都可以使用。

  总之，以上三种网络安全设备的管理模式主要是根据网络的规模和安全设备的多少来决定使用哪一种管理模式。三种模式之间没有完全的优劣之分。若是网络中只有一两台安全设备，显然采用第一种模式比较好，只需要一台安全管理PC就可以，若是采用架设安全中心服务器的话就有些得不偿失。如果安全设备较多，并且都分布在不同的网段，那选择第二种模式即可，用两三台安全管理PC管理安全设备，比架设两台服务器还是要经济很多。若是安全设备很多就采用第三种模式，它至少能给网络管理员节省很多的时间，因为在一台服务器上就可以对所有的安全设备进行管理。

  企业的网络拓扑结构比较复杂、网络节点繁多，这就要求企业需要有一套行之有效的IT运维管理模式。IT运维管理是企业IT部门采用相关的方法、技术、制度、流程和文档等，对IT使用人员、IT业务系统和IT运行环境（软硬件环境和网络环境）进行综合的管理以达到提升信息化项目使用，可起到提高IT运维人员对企业网络故障的排查效率。接下来通过下面两个实例来验证：

  ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中IP-MAC列表造成网络中断或中间人攻击。基本原理就是在局域网中，假如有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其他计算机的通信信息，并因此造成网内其他计算机的通信故障。

  在DHCP的选择Request过程中，网络上可能有DHCP服务器都会对Discover的广播回应，但新加计算机只选择最先回应的所取得的IP地址。并与DHCP服务器再次确认要用此IP。如果网络上有多个可提供IP地址的DHCP服务器，新加计算机会选择最先回应广播的DHCP服务器所提供的IP地址，但现实中往往非法DHCP服务器回应广播速度比合法DHCP服务器快。

  企业网络设备与网络安全问题主要是利用网络管理措施保证网络环境中数据的机密性、完整性和可用性。确保经过网络传送的信息，在到达目的地时没有任何增加、改变、丢失或被非法读取。而且要从以前单纯的以防、堵、隔为主，发展到现在的攻、防结合，注重动态安全。在网络安全技术的应用上，要注意从正面防御的角度出发，控制好信息通信中数据的加密、数字签名和认证、授权、访问等。而从反面要做好漏洞扫描评估、入侵检测、病毒防御、安全报警响应等。要对网络安全有一个全面的了解，不仅需要掌握防护，也需要掌握检测和响应等各个环节。

  1.张立涛，钱省三，应力；网络安全管理策略研究[J]；网络安全技术与应用；2001年08期

  随着计算机互联网络技术的迅速发展，互联网不但为企业提供了和检索信息以及资源共享提供了最方便的场所，也为个人使用网络资源提供了最大的平台，但同时也给网络安全方面造成了一定的威胁，并且随着大企业网络的发展规模越来越大，其网络设备的数量也越来越多，企业网络的扩展使网络的管理变的越来越困难。在企业网络中运行的设备需要很多不同的IP地址，且每台可以管理的网络设备需要进行配置用来满足企业网络运行的各方面的需要。如果设备的数量变得越来越庞大，则企业网络对IP地址的需求将也会变的越来越多。群集的网络管理方式可以很好地解决网络地址短缺和网络安全问题。

  命令交换机是交换设备群集的重要角色，是企业网络中每个群集设备中必须指定唯一的一台交换机，群集的配置和管理均通过此命令交换机来完成，命令交换机要求具备的条件包括需要配置至少一个IP地址、在交换机上运行支持集群的相应软件和运行LLDP协议软件、必须只属于一个集群而不能是其它集群的命令交换机或者成员交换机。

  第二种为成员交换机，集群中的所有交换机，包括命令交换机，都是该集群的成员交换机。如果没有特别说明，成员交换机一般并不包括命令交换机。当然只有该集群的候选交换机才能加入集群，从而成为成员交换机，运行了集群支持软件和运行了LLDP协议软件是成员交换机要求必须具备的条件，不能是其它集群的命令交换机或者成员交换机。

  交换设备群集还分为候选交换机，它可以被命令交换机发现并且还没有加入群集的交换机。候选交换机具备的条件主要包括：运行了集群支持软件和运行了LLDP协议软件，且不能是任何集群的命令交换机或者成员交换机。使用局部配置模式下的命令来手动配置网络设备端口的所有安全地址。让该端口进行地址的互相学习，这些学习到的地址将自动成为该端口上的安全地址，直到安全地址数达到最大个数。但是，互相自动学习到的安全地址不会自动和网络地址互相绑定。如果在一个设备端口上已经绑定了网络地址，那么就不能通过自动学习IP地址的方式增加安全地址的个数。但是网络管理员可以手工配置一部分安全地址，交换机可以自动学习到另外的安全地址。

  交换设备群集就是把一组交换设备构建为一个单一实体设备进行网络管理，群集中的交换机有两种角色，分别为命令交换机和成员交换机。集群的管理范围与跳数有关，跳数限定了命令交换机可以发现的候选交换机的范围。直接与命令交换机相连的交换机距前者的跳数为1，其余以此类推。默认情况下，命令交换机可以发现距其3跳范围以内的交换机。VLAN对集群的范围也有影响，为了保证与集群管理相关的帧的正确接收和转发，要求VLAN的划分应能保证在命令交换机、成员交换机和候选交换机之间存在二层通道。因此，对某台成员／侯选交换机而言，从命令交换机的下联端口直到该交换机上联端口的整个路径上的所有端口都应属于同一个VLAN，以便命令交换机能有效管理成员交换机和发现候选交换机。如果这些端口中包括Trunk则要求其本地虚拟局域网须为该虚拟局域网。但若该成员候选交换机已经处于路径的最末端，则对其上联端口的属性无要求。

  交换机对LLDP协议是否支持也将影响网络设备集群的范围，命令交换机借助LLDP协议来发现集群内的其他交换机，而不支持LLDP协议的交换机将无法被发现，并且与之相连的其它换机也无法被发现，除非它们还连接到其他的支持LLDP的交换机上。如果在交换机上关闭LLDP或者在相关端口上禁用也会导致类似情况的发生。

  交换设备的群集功能是开启的，在交换机上可以创建集群从而使之成为命令交换机，也可以将其加入一个集群中而成为成员交换机。一旦想要关闭集群功能，可以在特权模式下进行配置，首先进入全局配置模式，关闭集群功能，回到特权模式，验证并保存配置。如果交换机是命令交换机，关闭集群功能将删除集群，并且不能成为任何集群的候选交换机。如果交换机是成员交换机，关闭集群功能将使之退出集群，并且不能成为任何集群的候选交换机。如果交换机是候选交换机，关闭集群功能将使之不再能成为任何集群的候选交换机。可以通过全局配置模式下的命令来打开集群功能，也可以关闭交换机上的集群功能。

  建立集群是配置集群的关键，可以通过在特权模式下来建立集群，同时使该交换机成为集群的命令交换机，还可以为其设置一个序号。在全局配置模式状态下设置命令交换机的序号。如果集群建立成功，可以使用命令更改集群的名称，但不能更改命令交换机的序号。可以在命令交换机的全局配置模式下执行命令删除集群。

  如何发现跳数在集群的配置中非常重要，配置集群发现跳数时，发现跳数决定了命令交换机所能发现的候选交换机的范围，可以在交换机特权模式下通过以下步骤来配置发现跳数，首先进入全局配置模式设置发现跳数，可以在全局配置模式下执行命令no clusterdiscovery恢复为缺省值，该命令只能在命令交换机上执行。

  在群集中为了及时地发现网络中的候选交换机，需要配置集群timer，配置后可以准确掌握成员交换机和候选交换机和命令交换机间的物理连接状况，命令交换机将每隔一段时间进行一次拓扑收集。该时间间隔由集群timer决定，默认情况下为12秒。在特权模式下，可以通过以下步骤来配置集群time，先进入全局配置模式，再设置时间间隔，时间间隔的范围是1-300，缺省值为12秒。如果要恢复为缺省值，可以在全局配置模式下执行命令。但该命令只能在命令交换机上才能执行成功。

  最后一步就是配置群集的时间值，它是命令交换机所收集到的拓扑图以及所发现的候选交换机信息将会被保存一段时间，默认的时间值是两分钟。在交换机的特权配置模式下配置集群的holdtime。首先从特权模式进入全局配置模式后通过cluster holdtime命令进行holdtime时间的设置，注意时间范围是1-300，默认情况下的值为120秒。然后再回到特权模式，通过show cluster验证配置，可以在交换机的全局配置模式下执行命令no cluster恢复其缺省值，这一步的配置只能在命令交换机上才能执行成功。

  交换设备群集实现并正常运行后，还需要对群集进行维护并有效管理整个集群，维护时可以通过为群集中的命令交换机分配一个网络地址。命令交换机可以拥有多个网络地址，通过其中任何一个地址都可以管理集群。群集中的成员交换机不需要地址。如果其不再属于任何群集时，就必须为其分配合理的IP地址。

  网络系统在运行过程中会产生大量的系统日志、应用日志、安全日志和网络日志，这些日志包含着关于网络运行、安全及状态的数据。随着采集日志的大规模增长，现有的存储系统硬件成本高，扩展能力差，数据并行访问效率低，难以满足网络安全设备联动系统的需求。因此，提供一种更高性能、更低成本、更好可靠性的易于管理的存储平台，才能够帮助该系统用尽可能低的成本应对日益增长的数据存储需求。HDFS采用主从式架构设计模式(master/slave)，一个名称节点(NameNode)和若干数据节点(DataNode)构成HDFS集群[1]。HDFS的这种单名称节点的设计极大地简化了文件系统的结构，然而也因此引发了HDFS的小文件存储效率低的问题。HDFS设计之初的目的是存储大量的大文件，所以需要采用分块策略先将每个文件分块，保存机制是每个文件都占用一个或多个块。因为HDFS中的每个目录和文件的元数据信息都存放在名称节点的内存中，如果系统中存在大量的小文件(指那些比HDFS数据块(默认为64MB)小得多的文件)，则无疑会降低整个存储系统的存储效率和存储能力。然而，在网路安全设备联动系统[2]存在着大量的小文件。大量的小文件存在于云存储系统中无疑会降低整个系统的I/O性能。针对这一问题，本文提出云存储中小文件的合并处理方法，以提高小文件的存储效率，提高整个系统的I/O性能。

  文件的优化方案主要包括4个部分：数据预存储节点的功能设计，小文件合并方案，小文件索引结构的设计以及小文件合并过程的整体设计。

  数据预存储节点是在HDFS架构的基础上新增的节点，它位于客户端与名称节点和数据节点之间，主要实现对存储的文件进行预处理，根据文件大小，判断是否属于小文件，对于小文件主要完成存储前的合并，生成索引以及小文件检索时的文件分离等功能。增加数据预存储节点之后，在数据存储的过程中，数据的流向由从客户端直接到数据节点变成了由客户端先到预存储节点再到数据节点。

  当客户端写入小文件时，首先根据小文件的类型对数据预存储节点进行分组。然后分别将每个分组中的小文件合并成大文件，此时，生成相关小文件索引信息及元数据信息。最后将合并后的文件和相关的元数据，按照原HDFS写入文件的方式一同上传至HDFS中，其中第二类元数据信息由数据预存储节点进行存储，第一类元数据信息由名称节点进行存储，数据节点存储合并成的大文件[3]当客户端需要读取某个小文件时，从名称节点获取小文件所在大文件的元数据信息，然后从数据预存储节点获取第二类元数据信息，从数据节点获取小文件所在的大文件，并在接口中将大文件解档为若干小文件，并将这些小文件缓存在客户端。为了便于算法描述，对算法里的符号进行定义：File[type][MD5][key]——缓冲区中待合并的文件；type——日志文件的类型（1：主机日志；2：sort日志；3：防火墙日志；4：交换机日志）；MD5——文件的MD5值；fi——要合并的第i个文件；xj——合并第j类文件个数。分组合并算法描述如下：（1）初始化，定义一个三维数组File[type][MD5][key]，type初始化为1，key值初始化为文件的大小；（2）读入缓冲区的所有文件大小，更新数组File[type][MD5][key]，根据文件的类型更新数组的type值，初始化i=1；（3）采用冒泡排序，分别将数组File[i][MD5][key]从大到小进行排序。首先判断File[i][MD5][key]的大小，如果所有文件的总大小大于64M，开始进行合并，否则退出程序，i++，等待下次分组合并调度；（4）从最大的文件fi开始分组。如果放入文件fi后，此类文件的总大小小于64M，则存放下一个文件，从数组中把文件fi的记录删除，循环这个过程，直到所有的File[i][MD5][key]文件都合并到一起；（5）计算每类文件合并后的大小，文件大小达到63M的调用HDFS命令将文件上传到HDFS上，大小小于63M的文件，再从缓冲区中查找文件进行装入，返回（2）；（6）上传成功；主要是考虑到用户的访问效率，算法中采用将同类日志文件进行分组，无论从写入小文件，还是从读取小文件方面，都能大大提高HDFS的性能：首先减轻了名称节点的负担，在读取小文件方面，不用连接数据节点读取，减少文件读写的I/O操作，节约大量数据传输时间，极大地节省了网络通信开销，降低了HDFS的访问压力，提高客户端访问文件的速率和性能。当用户删除数据时，把合并后的文件取回数据预存储节点，进行分解，删除指定文件，再与缓存区中已有的文件进行合并。用户查询文件时，需要对HDFS索引进行查询，同时也需要查询缓冲区里面的文件。

  在小文件合并之后，仅仅根据名称节点中存储的元数据信息不能检索到小文件，为了提高检索效率，需要为所有小文件构建相应的索引，使用户能够通过索引快速的检索到小文件。小文件索引信息是在小文件合并成大文件之后生成的，保存在数据预存储节点中，通过此类元数据信息，再结合名称节点中的第一类元数据信息，才能正确找到小文件的存储位置。所以小文件的索引信息对于后期的小文件检索极其重要，其中要包含小文件的一些重要信息：File_name类型为String，表示小文件名称；File_size类型为int，表示小文件大小；File_type类型为int，表示小文件类型；Merge_file_nam类型为string，表示小文件合并成大文件后的名称；File_offset类型为int，当前小文件在合并文件中的偏移量；time类型为long，表示文件的写入时间；If_use类型为bool，表示文件是否存在。

  大致流程如下：当需要写入文件时，首先将数据传输到数据预存储节点，判断文件大小，如果文件大小超过了HDFS数据块的大小，则直接存入数据节点，并将元数据信息写入到名称节点；如果需要写入的文件属于小文件，则先判断小文件的类型，然后根据2.2中设计的小文件合并算法将小文件合并，生成索引信息，在这个合并的过程中，不断地将正在合并的小文件索引信息插入到小文件索引信息列表中，当合并文件块达到合适的大小时，客户端将写文件请求发送到名称节点将合并后的文件存储到相应的数据节点中。

  实验需要搭建Hadoop集群，集群中包括4个节点：一台Na-meNode，二台DataNode，以及客户端用来提交数据的NameNode。使用VMware7.0来模拟Linux环境[4,5台机器上模拟海量小文件的存储和访问操作。本文随机选取了10000个xml日志数据文件，文件大小分布情况为：200kB占1%，300kB占2%，400kB占10%，500kB占20%，600kB占30%，700kB占20%，800kB占10%，900kB占4%，1000kB占3%，可见文件大小集中在400kb到1000kb之间。为了直观的反应优化方案在处理小文件和大文件时的系统性能，本文在测试数据中分别选取了100、1000、10000组数据，按照以上测试和执行程序步骤，对文件写入时间进行测试，测试结果如图1所示。实验结果表明，随着文件数量的增多，写入文件所用时间增长趋势的变化缓慢，说明本文设计的Hadoop小文件存储优化方案在写入海量小文件时性能更高。

  本文首先对网络安全设备联动系统的数据转化为XML文档，然后对文件的特点及文件大小的分布进行了分析。针对HDFS对小文件存储效率低的问题，对小文件存储方案进行了优化，设计了小文件分组合并的算法。最后搭建了Hadoop集群环境，对改进的方案进行测试，实验结果表明，本文设计的Hadoop小文件存储优化方案在写入文件所用时间增长趋势的变化缓慢，说明本方案在写入海量小文件时具有很高的性能，在不影响存储系统运行状况的基础上，该方案提高了小文件的存储效率和读取效率。

  [2]傅颖勋,罗圣美，舒继武．安全云存储系统与关键技术综述[J]．计算机研究与发展，2013，50(1):136-145

  文章提出了一种网络安全态势感知系统的设计方案，该方案构建的一个统一的网络安全数据采集、存储和分析平台，为网络安全管理提供了一种高效的网络安全态势感知技术平台构架。

  随着企业信息化进程的快速发展，企业网络系统与生产业务、日常管理工作紧密结合，同时还承载着企业内部大量敏感信息。为保障企业正常运行，应做好网络安全管理工作。随着企业网络规模的逐步扩大，信息化设备数量日益庞大，网络安全管理工作难度越来越大。传统的入侵监测、防火墙、访问控制等网络安全设备等只能识别网络攻击行为，并不能有效识别网络攻击事件，会产生海量攻击日志，导致网络管理人员无法有效处理网络安全日志；各个网络安全设备之间相互独立，不能有效利用多种数据源加强网络安全管理；缺乏安全漏洞、安全事件联动处置机制。为了适应当前网络安全管理的新形势，企业应加强网络安全监测手段建设,降低网络安全管理工作的复杂度和难度，提高网络安全相关工作的效率，维护企业网络系统的稳定运行。

  态势感知概念起源于20世纪80年代的美国空军，是指在大规模系统环境中，对能够引起系统状态发生变化的安全要素进行获取、理解、显示并预测未来的发展趋势。根据现有的网络安全管理工作需要，网络安全态势感知系统应具备网络安全态势要素采集、网络攻击行为分析、网络安全事件溯源、安全漏洞预警等基本功能，进一步可以实现网络安全攻击行为自动阻断、网络安全漏洞防护措施自动下发等功能。网络安全态势感知系统可以整合现有IDS、WAF等网络安全设备的能力，建立统一的网络安全态势数据采集、分析以及预警平台。

  网络安全态势要素应能满足网络安全系统的功能需求，能反映网络系统运行的基本情况，应至少包括网络资产信息、网络安全日志以及网络安全漏洞库等信息。网络资产信息库应至少包含服务器、网络设备、安全设备以及WEB应用；网络安全日志应该至少包含所有设备的系统日志、安全设备的安全日志、网络设备的网络流量日志等；网络安全漏洞库应至少包括系统漏洞、中间件漏洞、插件漏洞、应用漏洞等。

  网络安全态势系统应定义标准化数据格式，建立统一数据管理平台。该平台可充分利用多源海量数据，建立网络安全事件监测分析机制；通过大数据关联分析攻击行为日志，精确高校识别高风险入侵行为；实时收集网络安全漏洞库，快速定位网络资产信息库中存在漏洞的设备或应用。

  网络资产信息库包括服务器、网络设备、安全设备以及WEB应用等。其中设备信息应包括设备类型、设备型号、设备硬件配置、设备IP、开放端口、运行服务、服务版本等信息，WEB应用应包含应用名称、服务器IP、运行端口、WEB页面、使用的插件、插件版本等信息。网络安全日志应该至少包含所有设备的系统日志、安全设备的安全日志、网络设备的网络流量日志，其中系统日志应包括设备IP、时间、日志内容，安全日志应该包括时间、攻击源、攻击目标、攻击动作以及攻击内容，网络流量日志应该包括时间、源IP、目标IP、源端口、目的端口。网络安全漏洞库应至少包括系统漏洞、中间件漏洞、插件漏洞、应用漏洞，所有漏洞应包含漏洞类型、漏洞危害、漏洞检测方法等。

  传统的IDS、WAF等设备每天产生海量攻击日志，比如一次SQL注入可能产生1万余条攻击告警，一天产生10万余条攻击告警，产生的告警信息对网络管理员来说是一种误报，不能将攻击日志用于网络安全管理。本文设计将持续性攻击日志合并后，结合系统日志进行关联分析识别于攻击行为，结合资产信息库对新型高危漏洞攻击进行安全预警，详情流程如图2。

  当互联网上新公布网络安全漏洞时，传统的网络安全设备和管理手段不能快速定位哪些设备、服务或应用存在网络安全漏洞。本文设计，首先通过扫描普查所有信息资产，建立统一的网络资产信息库，并采取定期扫描进行数据更新；其次将已公布的网络安全漏洞标准化后建立统一的漏洞信息库，同时通过爬虫实时获取互联网上新出现的网络安全漏洞；然后通过提取最新漏洞受影响的系统、服务或插件与网络资产信息库进行关联分析快速定位存在网络安全漏洞的设备或应用；最后可以通过自动推送服务将信息发送给该设备或应用的责任人，也可以制定阻断策略进行自动化下发至防火墙。

  本文提出一种攻击链分析模型，通过分析各个网络安全设备收集的安全日志和流量日志生成网络安全事件，进行反向推理还原攻击情景。首先通过异常流量、攻击行为日志建立恶意IP画像库，通过系统日志、WAF日志建立源IP危险动作库，通过僵木蠕、网页后门等监测系统建立网络安全事件库，然后通过时间序列分析方法还原网络安全事件攻击路径追溯网络攻击源。

  本文研究了当前网络安全管理工作中的难点和不足，提出了一种的网络安全态势感测系统，建立了统一的数据采集、存储、分析平台，可以实现网络攻击行为的自动化精准分析，实现网络安全漏洞精准预警，实现网络安全事件自动化溯源分析。本文为网络安全管理提供了一种高效的网络安全态势感知技术平台构架。

  [1]姚书科.网络安全态势要素指标体系研究[J].电子设计工程(专业版),2012(7).

  [2]胡华平,张怡,陈海涛,宣蕾,孙鹏.面向大规模网络的入侵检测与预警系统研究[J].国防科技大学学报,2003(1).

  信息网络的终端使用者因操作技能和安全意识有限，有可能会打开或浏览来历不明的一些电子邮件或对从网上下载的软件不进行木马、后门等恶意代码的检查就直接在网络设备上安装运行，当安装这些恶意程序的网络设备被非法利用后就会造成不必要的网络损失。还有的网络使用人员对信息网络的法律和法规不清楚，甚至出现有的使用者在网上搜索一些网络攻击软件，对局域网上的网络设备进行试验性的攻击，造成网络故障的出现。

  升级设备操作系统及时更新和升级网络设备的操作系统。及时升级操作系统不但能防止已有的缺陷与漏洞继续被非法利用，将病毒的感染范围限制在最小的范围内，还可以获得更多相关的安全，减少攻击者的攻击机会。根据有关的统计数据分析，由于未修补软件的漏洞而导致发生的网络安全事件将近占整个网络安全事件的一半。所以，操作系统本身的安全重要性在整个网络安全中占重要的地位。因此，应加强对网络操作系统本身安全的重视。在网络设备上关闭不需要的功能和服务网络设备在出厂的默认情况下，为了方便管理和使用,缺省自动开启了一些网络服务功能，这些服务虽然都能给用户带来一定的方便,但他们也或多或少存在一定的安全隐患,因为这些服务都有可能为非法入侵者提供有利的入侵条件，使网络设备崩溃或是运行效率显著下降。所以，我们大家可以通过在网络设备上关闭一些不常用或暂时不用的服务和接口以提高网络设备的安全性和利用率，同时也可以防止黑客利用这些服务及端口进行入侵。解决这类问题的途径除了借助建立规章制度和加强内部管理等防范措施外，先进的技术也是解决这类问题的重要方法。设置实时日志服务器、入侵检测及防护服务器1）通过日志服务器可以达到实时监测网络设备的操作、访问和运行情况，全面掌握网络设备当前运行状况和历史日志，通过日志的审查和统计也可分析出系统潜在的安全隐患，对及时调整系统运行、配置具有重要的指导意义。2）入侵检测及防护服务器可以提供实时的入侵检测以及在发现有未授权或异常现象的数据访问行为后，可以在第一时间与防护服务器进行联动，采取相应的防护手段。入侵检测服务器一旦检测到网络有入侵行为之后，可以通知网络上相关的设备及管理人员立即采取有效措施来阻断攻击，并同时可以立即追踪定位攻击源，查找入侵设备及人员的有关情况。设置备份服务器配置备份服务器可以定期对网络设备的配置文件、操作系统进行本地和异地备份，在意外发生后对网络系统数据及时进行恢复，为保证网络的安全稳定运行，提供有力手段。加强密码和端口访问权限的管理1）无论是管理员还是非法入侵者对网络设备的访问，基本上都是两种手段：一是在本地通过网络设备的配置口进行；二是在异地通过远程登录网络设备的方法进行，设置登录密码是用来防止对于网络设备的非授权访问的主要手段，所以要对设备设置安全的强登录访问口令，并且密码应不定期的进行没有规律的更换，防止密码泄漏给网络设备带来不利影响。2）因为任何得到网络设备特权的用户都可以对设备做配置，也可能会将已经登录的网络设备作为中继，对其它的网络设备发动新的网络攻击。为了防止这些情况的发生，需要对网络设备的访问权限来管理，加强访问控制列表对访问网络设备的控制能力和对远程可登录网络设备的地址进行限制，防止非法入侵者通过其它IP地址对网络设备做登录访问，还要加强SNMP关键字的管理和在网络设备的配置端口上设置空闲时间参数，以防管理员在配置过程或非正常离线后给非法入侵者留下可被利用的漏洞。3）在设备维护中，对可以访问网络设备的管理员人数严格控制并对每一次网络维护都要记录备案，做到有据可查，同时严格控制CON端口的访问权限。

  加强信息网络使用方面的立法和执法力度，只有紧密地将管理措施和技术措施相结合，才能使网络安全得到切实有效的保证。制定网络设备安全管理制度，建立健全设备安全管理制度。健全的管理制度可有效提高维护人员及所有网络使用者的操作行为的规范性，免受非法人员的临近攻击,确保网络设备的物理安全，提高对信息网络使用的安全意识。加强相关人员的培训网络的使用者，不仅仅是网络管理人员，而是所有在使用网络的人员。这就需要不但要对网络管理、维护人员进行技能、技术水平的培训，只有网络管理、维护人员的管理维护能力的不断提高，才能减少因管理维护人员人为行为而对网络造成的影响。在提高网络管理维护人员网络管理及故障处理水平的同时，还要对所有网络终端的使用人员进行网络使用操作技能和有关法制教育的培训，明确系统管理人员和网络终端使用者的权利和义务，自觉遵守各种管理制度，维护信息网络系统的安全，提高所有网络使用者的安全意识，这对防止网络攻击和病毒干扰以及提高信息网络安全运行水平，起着十分重要的作用。采用加密的信息传输方式在网络设备上进行的数据传输，要尽量采用加密的传输方式，这样可以保证数据在传输过程中不被非法利用，如：在网络设备上启用telnet能使管理员很方便地远程管理网络设备，但这种数据传输方式为明文传输，存在比较大的安全隐患。所以，通过采用加密传输方式管理设备是非常必要的。机房物理安全网络信息机房应严格按照有关的标准进行建设和改造，必须具备防火、防雷、防静电、防电磁干扰，要有完备的环境控制设备和电源供应设备，确保各类设备有一个良好的运行环境。

  随着电网建设、发展以及电网自动化水平的不断提高，信息通信技术已成为电网调度自动化、网络运营市场化和管理现代化的基础，是电力系统的重要基础设施，也是保证电网安全、稳定、经济运行的重要手段。信息通信技术的安全与电力系统的安全密切相关，此前对电力系统中的信息通信安全研究较少。

  我国的电力通信网络规模巨大、结构较复杂，应用于发、输、变、配、用各个环节，主要信息量有测量数据、遥控指令、集采数据、普通文本、网页信息等，信息来源多且分散，对其安全性提出更高要求，尤其是普通文本和网页信息等较难管控的信息源，需要加强信息来源的安全检测，防止病毒信息上传到网络。

  以往变电站数量少，信息网络简单，信息传输环节的安全性容易被忽视。目前越来越多的信息通过网络进行传递，力通信以SDH传输为主，多种传输方式并存，随着各地区变电站数量增加，各变电站内新增SDH设备节点不断串入原有SDH环网中，SDH网络拓扑结构越来越复杂，缺乏优化；同时部分单位仍有PDH传输，整个传输网中设备和技术存在多样性；如果非法用户利用技术措施，在传输阶段通工具拦截文件，对文件内容随意篡改，甚至通过技术措施影响网络传输通道的稳定性，将会造成信息在传输过程中泄露、失真。因此信息传递过程中面临各种安全风险，需要加强信息传输安全管理。因此，电力企业在注重对信息源头上进行安全保护的同时，也应注意在传输过程环节提高对信息安全的保护。

  电力系统中，网络用户也是信息安全管理的难点。通信终端用户单一，但网络用户较多且分散，同时用户安全意识薄弱，使用接口为基本输入模拟式信号接口，不能传输经过调整后的信息，从而接口的多样化也相应导致了管理方面的困难。通信技术发展日新月异，企业如不能紧跟技术发展，即便制定相应规则和标准以规范用户行为，仍可能出现鱼目混珠的现象，为网络监管埋下隐患。

  电力信息通信使用的硬件设备主要包括通信设备、网络设备、服务器、交换机等。因国内网络设备质量较国外存在一定差距，目前电力网络中国内外设备同时存在。国家计算机网络应急技术处理协调中心曾公布国外某品牌网络设备存在漏洞，例如服务漏洞、身份验证绕过漏洞以及远程控制漏洞等。如果上述漏洞被利用将导致通信中断、网络设备瘫痪、信息失线、电力通信网络的优化措施

  电力公司施行内外网隔离，构建“三道防线”为核心的等级保护纵深防御体系，杜绝了外部人员使用电力公司内部网络设备情况，在人员管理上有较大提升。此外，还应加强移动介质管理，防止不明信息上传到网络上。例如，对使用的移动存储介质必须进行加密、认证、信息过滤处理，防止非授权移动介质和存在危险的不明信息上传到电力通信网络。

  网络传输安全是保证通信的前提条件，目前电力系统通信传输多采用SDH传输网络，网络信息安全一般通过加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、路由控制机制等技术措施实现，提高传输通道本身的安全系能。此外，传输阶段应对数据备份，便于信息丢失时及时回复有用数据。2.3加强网络终端管理

  用户发电厂、变电站和用电客户的一次、二次控制和测量设备是对电力系统影响较直接的网络终端，应严格按照信息通信安全要求对其进行必要的安全测试，防止潜在病毒或者后门程序被设置在此类设备上引起较大电力事故。计算机终端是电力系统中规模最大的网络终端，应根据计算机网络安全内容制定电力系统计算机终端使用规定，制定有效的安全技术制度，防止病毒被网络终端设备带入到电力通信网络。例如必须进行桌面终端标准化管理系统注册及MAC地址绑定，防止外来终端和一机两用等违规外联现象；严禁随意修改IP地址，防止出现地址冲突；必须安装防病毒软件，使终端免受病毒和木马程序破坏。

  网络设备国产化有利于规避国外网络设备安全风险的不可控，应使用自主的核心设备，确保电力系统网络设备可控、能控、在控。电力企业可以联合国内厂商共同开展各种网络设备资源的国产化改造及测试工作，按照“先易后难、先外网后内网”的原则，在保证电力系统正常运行的前提下，进一步推进国产化进程。国产网络设备在上线前应进行相应的安全技术测试，并在采购合同中明确厂商的保密条款和安全责任。同时，完善网络设备上线管控，确保网络设备上线运行前满足国家或者公司对于信息安全的要求。上线前应由内部专业队伍对网络设备做安全性评测，保证网络设备硬件安全，避免存在安全漏洞或者被事先植入后门、木马等恶意程序；上线时由内部队伍实施，确保网络设备在部署、配置、运行环节的安全性，以及在身份鉴别、访问控制、日志审计方面的完整性。

  电力通信网络的管理机制应根据当地情况制定，应具有较高的安全性和可行性。在管理机制建立后，相关部门要严格监管，及时做到电力通信网络的维护和升级，并且要完善电力通信网络顶层设计理念，增强顶层设计工作的完整性，形成多层防护体系，在设计时也要注重对电力通信网络做综合判断。

  本文通过对信息通信安全风险类型的分析及对电力系统网络安全风险的研究，分析了从信息源头、传输过程、应用终端进行全过程安全管控的必要性，提出了电力系统信息通信网络的安全防护措施。随着信息通信技术的不断发展，电力系统对安全性要求的不断提高，仍需要进一步加强信息通信安全以及防护措施研究。