摘要：該文主要介紹了一種計算機網(wǎng)絡系統(tǒng)的具有防御策略性的描述性語言，它對相應的計算機策略具有即時的響應、檢測和保護的特征，總體來看是面向CNDPM模型機制，并在此模型中利用先進的科學技術將比較抽象的計算機策略轉化為形象具體的規(guī)則原理，同時運用形式化的辦法對這一策略進行了驗證，表明其具有較高的完整性和統(tǒng)一性，并能夠為實踐的操作帶來實際的功效。

關鍵詞： 計算機網(wǎng)絡；防御策略；描述的具體語言；應用分析

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）04-0737-03

計算機網(wǎng)絡的防御策略有多種描述語言，其中CNDPSL語言具有比較高的使用靈活性能，可擴展領域也非常廣，同時還具有很好的適應性?？傮w來看，它是一種聲明式的計算機語言，對網(wǎng)絡控制的行為可以起到很好的控制與監(jiān)督作用。另外在計算機網(wǎng)絡技術仿真平臺的實驗中，利用這種防御性策略的描述語言可以實現(xiàn)技術規(guī)則轉化為防御效能的自動化，更加提高了運用的效率。

1 計算機網(wǎng)絡防御策略描述語言的概述

計算機網(wǎng)絡攻防演練的組成結構非常復雜涉及的環(huán)節(jié)比較多，其中網(wǎng)絡防御是非常重要的內(nèi)容，同時也是計算機網(wǎng)絡信息對抗的關鍵構成部分，在實際的應用中起著舉足輕重的影響作用。設置計算機網(wǎng)絡防御策略通常的目的是要保護計算機工作系統(tǒng)的穩(wěn)定性與安全性。具體的策略一般是由一些具有特定防御功能的規(guī)則和程序構成的。依據(jù)PPDR 的虛擬模型，制定的防御策略主要包括三種策略，第一種是保護策略，第二種是檢測策略，第三種是響應策略。在計算機系統(tǒng)網(wǎng)絡常規(guī)的攻防演練中，一般有兩種模式，真實的演練和模擬的演練，這兩種模式的應用效果有所不同，在具體的應用中應該具體問題具體分析。模擬仿真方案在實際的使用過程中具有很多的優(yōu)勢，因而使用的范圍也比較廣闊，開發(fā)出的工具也非常多樣，常見的有VNS，RINSE等，在這些工具的具體應用中，一般都是比較側重于防火墻的仿真模擬以及IDS的仿真模擬等，使用的方法也會根據(jù)實際的需求有所調(diào)整。計算機網(wǎng)絡防御策略的實際演練過程，需要使用很多的安全措施來抵御外界對網(wǎng)絡系統(tǒng)的攻擊。

在選用具體的防御措施前，防御的策略起到一定的指導效用。很多計算機防御策略的描述語言都是建立在人類抽象思維策略基礎之上的，因而要在使用時產(chǎn)生技術級的措施，就要通過人的翻譯。這樣的過程在計算機網(wǎng)絡防御策略的應用中進行的次數(shù)非常多，利用的是高級思維能力，但是也有一定的局限性。這是因為高層思維在使用低層工具進行代換的時候，對翻譯的正確性難以在很短的時間內(nèi)進行有效的評估，運用不當也會導致翻譯差異性的出現(xiàn)，或者是思維語義上的誤解和損失，同時這種損失究竟到什么程度是不確定的?？梢娪嬎銠C的自然語言存在著二義性，那么計算機的實際配置就會呈現(xiàn)出結構復雜、效率低下、程序運行出錯頻率高的特征，嚴重影響著計算機網(wǎng)絡的安全性，需要采用策略性強的形式化描述語言，提高系統(tǒng)接收數(shù)據(jù)信息的能力，將抽象的策略轉化為具有高效性和準確性的語言來使用，同時還要體現(xiàn)出系統(tǒng)的伸縮性與靈活性，這樣才能達到預期的防御目的。

2 計算機網(wǎng)絡防御策略的描述語言的設計要求

常見的計算機防御策略語言具有其獨特的使用特點，不僅有優(yōu)勢，也有不足之處，在對優(yōu)點和缺點進行描述的時候，要從全面立體的角度出發(fā)去考慮，兼顧描述的具體內(nèi)容和抽象層次應用兩個方面。PCIM把具體的策略描述成條件動作的特有方式，計算機系統(tǒng)的防御安全領域中，在PCIM基礎上進一步拓展出的語言包括CPIM，SPSL，NSPIM等，每一種語言都有其特殊性，但在實際應用上又有著同一性。具體來看，SPSL現(xiàn)階段支持的防御策略主要包括系統(tǒng)過濾、IKE交換等；NSPIM的具體描述內(nèi)容包括計算機系統(tǒng)的訪問控制層，同時還要對防御策略進行必要的檢測和管理，以提高其工作效率。從層次應用方面來講，PCIM和ACL列表的功能有著很大的相似之處，所以在實際的應用中，欠缺對防御策略的高效管理性，在自動化方面也有待于進一步改善。TPL在使用的過程中會經(jīng)過XML的檢驗來表示認證策略，然而XML的編程語言非常復雜，實際使用時，不具備高效的可讀性，在其抽象層次的應用中也與防御策略的描述語言存在著很多的差異。上述的這些語言的綜合特點就是直接對網(wǎng)絡層的實體進行研究，描述策略的拓展性有限，所以在抽象的層次上也會有一定的局限性，具體描述的內(nèi)容也需要進一步加強。基于上述的不足之處，CNDPSL的設計要點就要不斷克服這些不足之處，保證運行效率的顯著提高。具體來看，這種防御策略的描述語言要起著對抽象網(wǎng)絡防御控制行為的操控能力，在語法的設置上必須清晰了然，具有很強的直觀性才能保證操作的具體化，利用這樣的語言借助計算機引擎的作用，可以將防御策略有效地轉化為實際可行的防御規(guī)則，提高操作性。同時要求這種語言可以訪問控制領域相關策略的同時，也可以對其他的保護策略進行準確地描述，在此基礎上還能夠對檢測的配置以及規(guī)則的使用情況進行相應的監(jiān)督，從而起到一定的控制效應。

3 計算機網(wǎng)絡防御策略模型的建構

計算機網(wǎng)絡防御策略模型最為常見的類型是在RBAC基礎上建立起來的模型以及在計算機組織結構訪問方式的基礎上建立起來的模型。前者在運行的過程中經(jīng)常將描述的主體定位為具體的角色，也沒有對權限進行抽象。后者主要是把描述主體與客體以及描述的動作分別進行科學準確的抽象。以上兩種模型的研究也存在很多的不足之處，為此次建立計算機網(wǎng)絡的防御策略描述語言的模型要克服這些缺陷，不斷拓寬訪問的控制領域，將每一語言概念之間的關系進行仔細地梳理，把握好每一環(huán)節(jié)的特點，將角色的分配方式落實到位，降低系統(tǒng)出現(xiàn)錯誤的幾率，提高運行的效率。參照在計算機組織結構訪問方式的基礎上建立起來的模型，進行科學合理地改進與拓展，具體來看，CNDPM的模型構造圖如下所示：

圖1（實線箭頭表示relation，虛線箭頭表示include）

在模型的建構中涉及到的策略與規(guī)則主要包括以下四個方面：第一點是系統(tǒng)要具備比較豐富的防御性語言表達能力，同時要面向CNDPM的各種應用需求，對每一種保護、檢測以及系統(tǒng)的響應策略。第二點是要保證程序的簡潔性與靈活性，不僅是要求語法形式的簡單性，還要在具體的內(nèi)容上也體現(xiàn)出簡潔與直觀性。第三點是要保證一定的無關性，可以讓系統(tǒng)自動解析成可以執(zhí)行部件某種規(guī)定的防御性的規(guī)則。第四點是要保證防御性的語言具有可擴展性，這樣就可以逐漸提高其防御的效率。

以下給出CNDPSL的EBNF的具體范式：

： ： =<語句塊><3cndpsl><語句塊>

<語句塊>： ： =<組織聲明>| （<組織名>|<組織聲明>） <策略語句

塊>|<組織名><策略>|<策略信息顯示>

<策略語句塊>： ： = ‘{’<策略語句>{<策略語句>} ‘}’

<策略語句>： ： =<角色語句>||<視圖語句>|<活動語句>

|<策略>|<上下文>

1）組織

組織是CNDPM模型的核心概念，通過搜索網(wǎng)絡配置想定目錄服務器的同名域建立，以下是組織的EBNF范式：

<組織聲明>： ： =org<組織名>[ <組織繼承>]

<組織名>： ： =|<組織名>. //組織名為點分字符串

<組織繼承>： ： = sub_org<組織名>{<組織名>} //組織的包含關系

2）策略

由于策略可以封裝在組織中，策略表示成五元組的形式，有配置和刪除兩種操作。

<策略>： ： =（policy| delete-policy） <措施><角色名><活動名><視圖短語>（<上下文名>| default）

其中，視圖可以通過角色的轉換得到，語法如下：

<視圖短語>： ： =<視圖名>|

角色、視圖、活動都包括聲明、層次、定義和分配四種語句，其中聲明需指出相應的類型，而其余三種無須給出，但名字必須是聲明過的。

4 計算機網(wǎng)絡防御策略語言的具體特征和實施機制

計算機網(wǎng)絡防御描述語言CNDPSL具有很高的應用性能，它是在CNDPM的模型上建立起來的，通過計算機網(wǎng)絡防御策略形成的語言描述系統(tǒng)，經(jīng)常使用的范式是EBNF，經(jīng)過計算機的仿真驗證，明確表示該種語言的使用功能很有效，完全可以為計算機的攻防演練提供有效的支持。在CNDPSL的描述內(nèi)容中，主要的描述內(nèi)容包括計算機防御的組織架構、策略定位、功能防御角色、視圖效果、具體活動、上下文的轉換和連接、防御措施的具體說明、計算機防御語言的聲明以及定位、各個組成部位的功能分配以及相關的繼承關系，這些內(nèi)容之間是相互聯(lián)系的，對于具體的設計要求的落實，一方面要先確立好計算機網(wǎng)絡防御的描述語言的設計目標，這樣才好做好下一步的部署工作。

通常情況下，這種防御策略的描述語言要具有比較豐富的表達能力，在具體的設計上要與CDNPM模型保持一致性，這樣才能夠很好地將保護、檢測、響應策略有機統(tǒng)一在一起。語言的簡潔靈活性、語法形式的簡單性和形象直觀性可以為防御策略的運作提供更好的運行環(huán)境。同時要實現(xiàn)無關性的建設機制，使得系統(tǒng)可以自動化地形成具體的執(zhí)行環(huán)節(jié)，對一些防御規(guī)則的運用有著獨到的地方，不僅可以提高運行的質量，還可以提高運行的速度，以便使計算機的防御系統(tǒng)更具有安全性和可靠性。計算機防御策略的語言可拓展性對系統(tǒng)的運作效率也有著很大的影響。

在CNDPSL語言格式的實施策略中，通常都要將比較的抽象的模型轉化為具體的防御規(guī)則。這就需要經(jīng)過特定的推理，在模型實踐的過程中，通常會有兩種推理形式：第一種推理認為，每一組織中的任何一種角色或者是任何的主體具有相關性，主體同時可以作為角色，那么就用D1表示，分配的機制為：

Employ（or g，s）ΛDef ine（r，ch） Λ

Own（s，ch）→As（s，r）

這樣的分配方式可以運用到活動和視圖的分配過程中來。另一種推理方式將組織雇傭為主體作為角色，用客體來作為視圖的內(nèi)容，在活動的措施中對相關的防御策略進行評估。

例如在計算機信息安全系統(tǒng)的攻防模擬演練中，很多的CNDPSL格式的策略文件在具體的使用過程中，都要先經(jīng)過計算機引擎的處理，與防御策略的信息庫進行交換處理，轉化為與之相關的各種有效的防御命令，然后再經(jīng)過RTI的傳送，將命令進一步轉化為防御的具體動作。對一些策略信息庫的傳送，通常要處理的是實體與實體之間的關系，先要對各部分的工作模塊進行劃分，對防御策略描述語言的語法、語義、詞法進行分析與判讀，將這些信息存入固定的防御信息庫中，然后依據(jù)網(wǎng)絡的信息將各種策略描述準確地提煉出來，在這一過程中將完成轉化的模塊依據(jù)相應的推導規(guī)則，將防御的策略映射為防御的具體規(guī)則，然后根據(jù)分發(fā)的模塊將防御的策略信息進行相應的推導，最終將分析所得的信息發(fā)送給防御節(jié)點，這樣就形成了CNDDL的防御命令。

5 結束語

綜上所述，計算機網(wǎng)絡防御策略的描述語言在實際應用中的作用是非常強大的，在進行模型建立和具體實施的時候，要根據(jù)具體的實踐需要，從以往的描述語言中和模型建構中尋找經(jīng)驗，克服其不足之處，建立其具有使用性語言機制，CNDPSL防御策略的具有非常強的操作性，并且在實際的應用中效能比較高，拓展的領域比較寬廣，因而應該得到廣泛的推廣。

參考文獻：

[1] 魏玉娣，夏春和.一種計算機網(wǎng)絡防御策略描述語言[J].計算機研究與應用，2008（8）.

[2] 吳秀敏，王曉蘭.EDA技術在計算機硬件設計中的應用與研究[J].計算機與數(shù)字工程，2010（10）.

[3] 夏春和，李肖堅.計算機網(wǎng)絡防御策略描述語言研究[J].計算機研究與發(fā)展，2009（1）.

[4] 朱小龍.EDA實踐教學與學生工程實踐素質的培養(yǎng)[J].教育與職業(yè)，2010（33）.

[5] 楊蓮紅.EDA技術在模擬電子技術教學中的應用[J].高師理科學刊，2010（1）.

[6] 田文英.計算機網(wǎng)絡防御策略描述語言研究[J].科技傳播，2012（7）.

[7] 曹立杰，李松松.數(shù)字電子技術與EDA技術相結合的探討[J].現(xiàn)代電子技術，2009（20）.

[8] 崔國瑋.基于EDA技術的數(shù)電課程設計新模式的探索與實踐[J].實驗技術與管理，2008（1）.

[9] 朱怡健.簡單高性能微處理器的設計[J].電氣電子教學學報，2004（2）.

[10] 高三紅，呂勇.計算機體系結構的發(fā)展趨勢分析[J].飛行器測控學報，2003（2）.

[11] 陳智勇.機群計算中的負載共享策略[J].桂林電子工業(yè)學院學報，2001（4）.