异常流量端口进行自动响应管理。(5 )交换机端口下联设备定位,能够自动定位交换设备端口的下联 MAC 地址和 IP 地址, 自动区分端口是否属于级联口, 是应急响应管理的基础。 2.5 应急响应管理模块系统综合地址资源管理技术和交换机端口定位技术, 通过阻断违规主机的上联交换机端口来实现对网络内部违规行为的应急响应控制。系统提供手动快速应急和自动应急两种响应管理模式。(1 )手动快速应急响应管理。用户只需要输入 IP 地址或 MAC 地址, 通过系统提供的查询接口就可以自动完成定位和进一步的隔离控制管理, 相对于传统的手动处理模式, 定位时间可以缩短一个量级。这个过程也可以通过直接查询报警信息, 查询结果也会自动关联其定位信息, 直接可以进行定位和隔离控制。(2 )自动应急响应管理。系统提供基于策略的自动应急响应管理机制, 策略中可以自定义待响应处理的安全事件, 系统在检测到该安全事件后( 如非法接入), 首先会根据 IP 自动获取其 MAC 地址, 然后根据 MAC 地址自动关联其上联交换机端口, 并根据响应策略要求决定是否自动关闭其上联端口来进行自动隔离控制,同时提供相应的报警信息。 3 结语该系统能够充分利用现有资源, 兼容多家网络厂商设备, 无须进行改变网络拓扑和架构,整合完成现有安全技术和自动响应管理技术的衔接。可以实现安全事件源的自动快速定位, 自动隔离、阻断控制, 响应处理时间可由原先手动响应的小时级缩短为自动响应的分秒级, 可大大降低安全风险和损失。系统提供基于策略的应急响应管理机制, 根据策略要求可以实现对安全事件的报警、自动关联定位及响应控制, 保证了管理的灵活性。参考文献[1] 阮飞,杨世松. 计算机网络应急响应和主要技术[J]. 计算机安全, 2003 ,( 33). [2] 刘宏. 浅谈网络安全应急响应[J]. 科技资讯, 2007 ,( 20).
全文预览