張志國

（安陽鑫龍煤業(yè)〈集團(tuán)〉有限責(zé)任公司，河南 安陽 455000）

0 前言

在目前這個信息發(fā)展快速的時代，網(wǎng)絡(luò)結(jié)構(gòu)早已實現(xiàn)了全球化，網(wǎng)絡(luò)的運用也越來越普遍。但隨著網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)訪問持續(xù)增加，不穩(wěn)定的因素也在不斷增加，要想讓網(wǎng)絡(luò)動態(tài)安全得到有效保證，必須通過相應(yīng)的動態(tài)監(jiān)測技術(shù)來對其展開有效的監(jiān)督，且應(yīng)該對網(wǎng)絡(luò)安全動態(tài)防護(hù)體系進(jìn)行完善，讓該系統(tǒng)的真正作用得以發(fā)揮，從而在較為復(fù)雜的網(wǎng)絡(luò)環(huán)境中施展主動防御功能。

1 分析網(wǎng)路安全動態(tài)防護(hù)體系的機理

網(wǎng)絡(luò)安全指的是其數(shù)據(jù)、軟件、硬件受到一定保護(hù)，不會因為惡意或偶然的因素而遭受泄露、更改、破壞。從這幾點可以看出計算機網(wǎng)絡(luò)安全有相應(yīng)的動態(tài)性，其動態(tài)性主要體現(xiàn)在網(wǎng)絡(luò)中信息安全體系動態(tài)化的需求、動態(tài)網(wǎng)絡(luò)所需的相關(guān)安全措施、安全漏洞中的動態(tài)性。

要想讓網(wǎng)絡(luò)交換的動態(tài)安全得到有效防護(hù)，應(yīng)該在確保設(shè)備自身安全的同時，對設(shè)備所接收的信息數(shù)據(jù)進(jìn)行分析、檢測，以其分析的結(jié)果來對響應(yīng)策略進(jìn)行匹配，且應(yīng)將策略及時運用在控制網(wǎng)絡(luò)設(shè)備的硬件中，從而達(dá)到保護(hù)網(wǎng)絡(luò)安全及阻斷攻擊的目的，讓網(wǎng)絡(luò)設(shè)備安全有效的運行[1]。

2 網(wǎng)絡(luò)安全動態(tài)防護(hù)體系的設(shè)計和實現(xiàn)

2.1 網(wǎng)絡(luò)安全中主動防護(hù)模型的設(shè)計

網(wǎng)絡(luò)安全中主動防護(hù)一般是將傳統(tǒng)的、靜態(tài)網(wǎng)絡(luò)安全防護(hù)方式和積極、主動的安全防護(hù)方式結(jié)合在一起，進(jìn)而構(gòu)建出較為安全的網(wǎng)絡(luò)防護(hù)系統(tǒng)模型。該模型屬于可擴展模型，是由技術(shù)、策略、管理三個相應(yīng)的層次所組成。其中，策略是網(wǎng)絡(luò)安全的整個防護(hù)基礎(chǔ)，主要是通過安全對策對安全技術(shù)進(jìn)行融合并讓網(wǎng)絡(luò)安全達(dá)到最大化。管理層是網(wǎng)絡(luò)安全模型的關(guān)鍵核心，是通過有效合理的措施、規(guī)章制度、組織體系將具有安全防護(hù)作用的硬件、軟件設(shè)施及信息使用的群體整合起來，從而讓整個系統(tǒng)中的信息安全得到保證。技術(shù)層包括保護(hù)、監(jiān)測、響應(yīng)、預(yù)警、檢測；保護(hù)是通過對數(shù)據(jù)流進(jìn)行分析后，提前進(jìn)行防護(hù)的一種方法。監(jiān)測是利用相應(yīng)的方法和手段來找出網(wǎng)絡(luò)或系統(tǒng)中存在的問題，進(jìn)而對其進(jìn)行防范。響應(yīng)是對網(wǎng)絡(luò)交換的設(shè)備安全有危害的行為及事件做出一定的反應(yīng)，且參照檢測的結(jié)果采取各種有效的響應(yīng)措施。預(yù)警是對網(wǎng)絡(luò)中可能發(fā)生的攻擊給予預(yù)先警告，通過從開放信息的收集、分析中所獲取的信息數(shù)據(jù)判斷網(wǎng)絡(luò)中是否有潛在隱患。檢測是對網(wǎng)絡(luò)系統(tǒng)當(dāng)前的運行狀態(tài)、網(wǎng)絡(luò)資源展開檢測，并及時發(fā)現(xiàn)入侵到系統(tǒng)中的威脅。

上述所說的這幾個方面是相互依托、相輔相成的，其對集被動、主動為一體的安全體系進(jìn)行共同的構(gòu)建。在對網(wǎng)絡(luò)安全動態(tài)防護(hù)體系進(jìn)行設(shè)計和實現(xiàn)的過程中，可以通過對各種攻擊方法的攻擊特點進(jìn)行分析來提出有效的防護(hù)措施，重點完善、修改網(wǎng)絡(luò)中交換設(shè)備的系統(tǒng)軟件，通過多種安全的構(gòu)件作為基礎(chǔ)來對集中式的安全體系進(jìn)行管理，且將安全管理的平臺當(dāng)做安全構(gòu)件的核心，從而組成網(wǎng)絡(luò)安全動態(tài)防護(hù)系統(tǒng)。

網(wǎng)絡(luò)安全中的預(yù)警模塊主要是以網(wǎng)絡(luò)探測技術(shù)和主動掃描來獲取網(wǎng)絡(luò)信息，創(chuàng)建信息數(shù)據(jù)優(yōu)勢。該模塊是依據(jù)數(shù)據(jù)流的行為分析結(jié)果，利用網(wǎng)絡(luò)交換的相關(guān)探測技術(shù)和設(shè)備掃描對存在安全風(fēng)險的系統(tǒng)進(jìn)行監(jiān)控，對這些設(shè)備當(dāng)前的運行狀態(tài)進(jìn)行掌握，依據(jù)其監(jiān)控變化對網(wǎng)絡(luò)安全動態(tài)防護(hù)系統(tǒng)及時進(jìn)行更新，進(jìn)而讓網(wǎng)絡(luò)安全的動態(tài)防護(hù)體系得到有效提升，并增強該系統(tǒng)的防護(hù)效率。

安全管理的平臺是由用戶操作的管理、日志報警及安全計策表共同組成，且安全計策表是處理網(wǎng)絡(luò)信息數(shù)據(jù)的主要依據(jù)。日志報警管理是通過對數(shù)據(jù)流的行為安全、網(wǎng)絡(luò)安全的預(yù)警模塊進(jìn)行查詢、分析而產(chǎn)生的日志，通過動態(tài)來對其內(nèi)容進(jìn)行監(jiān)視，參照預(yù)設(shè)的報警方法和報警級別而產(chǎn)生報警信息，并告知系統(tǒng)維護(hù)工作者對其進(jìn)行處理。用戶操作管理是對用戶輸入的命令進(jìn)行實時接收、完成命令，對網(wǎng)絡(luò)安全動態(tài)防護(hù)體系的配置、查詢進(jìn)行管理。

2.2 網(wǎng)絡(luò)安全動態(tài)防護(hù)體系聯(lián)動響應(yīng)的設(shè)計

2.2.1 對數(shù)據(jù)流進(jìn)行分類

當(dāng)數(shù)據(jù)流進(jìn)入到網(wǎng)絡(luò)中時，應(yīng)參照訪問控制的規(guī)則來過濾數(shù)據(jù)流，在上交通過過濾標(biāo)準(zhǔn)報文的同時應(yīng)該對數(shù)據(jù)流模塊進(jìn)行分類處理，此模塊首先是經(jīng)過目的IP、源IP、協(xié)議類型、目的端口、源端口來對數(shù)據(jù)流分類，再依據(jù)流識別的數(shù)據(jù)庫預(yù)設(shè)準(zhǔn)則對數(shù)據(jù)流分類結(jié)果展開確定。在處理數(shù)據(jù)流分類的過程中，要想使處理效率得到提升必須把五維分類問題降低為二維問題，通過二維IP的分類技術(shù)方式來進(jìn)行初步的分類[2]。因為協(xié)議的類型只是限定在幾個值中，因此對分類準(zhǔn)則中的協(xié)議類型的字段進(jìn)行壓縮，從八位壓縮到三位，這就可以節(jié)省較多的數(shù)據(jù)空間。且因為準(zhǔn)則中具體所用的端口號是0-65535的極少部分，在端口值與協(xié)議值不一樣的情形下，組合數(shù)目通常都沒有最大的理論值大。

2.2.2 進(jìn)行深度的特征匹配

對數(shù)據(jù)流進(jìn)行了分類之后，應(yīng)對其深度特征進(jìn)行匹配，并將匹配的結(jié)果送到分析行為安全的模塊中進(jìn)行判斷和分析，依據(jù)實際分析結(jié)果來實施策略響應(yīng)。通過數(shù)據(jù)庫中所預(yù)設(shè)的相關(guān)檢測準(zhǔn)則來檢測、匹配運用報文里的字段，從而對該數(shù)據(jù)流屬性進(jìn)行確定。為了讓被檢測器入侵的信息資源的完整性得到保證，每一個檢測器只能負(fù)責(zé)其中某一類實際運用網(wǎng)絡(luò)的流量檢測，而且檢測器間應(yīng)通過負(fù)載均衡法來進(jìn)行計算，該計算方法是參照檢測器當(dāng)前的負(fù)載狀況及可用性情況來對各個檢測器的負(fù)載進(jìn)行動態(tài)調(diào)節(jié)，其具體的原則是：同類型的應(yīng)用報文必須分配到相同類型的檢測器中進(jìn)行檢測，且同類型的應(yīng)用報文應(yīng)在負(fù)載最小的原則下優(yōu)先進(jìn)行分配。

2.2.3 策略的聯(lián)動響應(yīng)

對網(wǎng)絡(luò)安全進(jìn)行檢測后，如果檢測到存在網(wǎng)絡(luò)攻擊，應(yīng)該對數(shù)據(jù)流中行為安全的分析模塊采取一定的響應(yīng)體制，危險性為一般的攻擊只用記錄和報告，但對于危險性較高的攻擊必須及時采取有效的響應(yīng)策略。主動響應(yīng)策略可以讓系統(tǒng)防護(hù)功能得到不斷增強，為了防止誤聯(lián)動情況出現(xiàn)，關(guān)鍵只能對一部分較為敏感的業(yè)務(wù)流提供較高等級的保護(hù)。安全策略和主動響應(yīng)策略直接聯(lián)動可以防止信息流穿過網(wǎng)絡(luò)的邊界，將所有惡意的連接操作隔斷，從而確保網(wǎng)絡(luò)安全。

3 對網(wǎng)絡(luò)安全動態(tài)防護(hù)體系的應(yīng)用進(jìn)行驗證

網(wǎng)絡(luò)安全交換設(shè)備中硬件邏輯主要由管理控制模塊、安全監(jiān)測模塊、數(shù)據(jù)處理模塊共同組成。其中，安全監(jiān)測模塊的功能是分類識別數(shù)據(jù)流并對其行為展開分析和匹配，按照策略應(yīng)用的具體規(guī)則把匹配結(jié)果全部設(shè)回數(shù)據(jù)處理的模塊中，將相關(guān)的狀態(tài)信息上報到管理控制模塊，進(jìn)而讓動態(tài)聯(lián)動策略的響應(yīng)過程得以完成。管理控制模塊主要是對系統(tǒng)中每個組成部分信息狀態(tài)進(jìn)行實時的查詢，讓其策略配置、管理、協(xié)議處理、規(guī)則等功能得到實現(xiàn)[3]。數(shù)據(jù)處理模塊是對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)、控制及處理，并把進(jìn)入到網(wǎng)絡(luò)交換設(shè)備中的數(shù)據(jù)流傳送到安全檢測模塊中。此外，管理控制模塊是以CPCI總線來和數(shù)據(jù)處理模塊實行調(diào)換，最終對數(shù)據(jù)處理模塊進(jìn)行管理控制，且對上報的協(xié)議報文展開有效處理。安全監(jiān)測模塊是通過對數(shù)據(jù)處理和網(wǎng)絡(luò)模塊進(jìn)行連接后，分析、處理數(shù)據(jù)處理模塊中的鏡像網(wǎng)絡(luò)報文。

此應(yīng)用驗證在設(shè)計中的特點主要是：（1）此系統(tǒng)的硬件核心是可以自主控制的網(wǎng)絡(luò)交換芯片，且可以針對網(wǎng)絡(luò)攻擊的特征來完善、修改網(wǎng)絡(luò)中交換設(shè)備的系統(tǒng)軟件，讓網(wǎng)絡(luò)交換設(shè)備的自身安全得到有效保證。（2）網(wǎng)絡(luò)中交換設(shè)備的系統(tǒng)軟件和安全監(jiān)測模塊是相對獨立的，其確保網(wǎng)絡(luò)的交換設(shè)備受到攻擊時，處理任務(wù)和安全監(jiān)測不會遭受影響。（3）安全監(jiān)測模塊能夠依據(jù)網(wǎng)絡(luò)數(shù)據(jù)中行為分析的結(jié)果來對網(wǎng)絡(luò)的交換硬件進(jìn)行安全防護(hù)，從而讓動態(tài)防護(hù)策略響應(yīng)得以實現(xiàn)。

4 結(jié)束語

為了處理好網(wǎng)絡(luò)安全的動態(tài)問題，通過動態(tài)監(jiān)測策略的聯(lián)動響應(yīng)技術(shù)能夠?qū)W(wǎng)絡(luò)環(huán)境較為復(fù)雜的動態(tài)安全進(jìn)行主動防護(hù)。通過Snort等比較常用的攻擊軟件來測試網(wǎng)絡(luò)交換設(shè)備的安全性，其測試結(jié)果表明該設(shè)備可以有效的對網(wǎng)絡(luò)中存在的安全隱患進(jìn)行攻擊，確保網(wǎng)絡(luò)安全不會受到影響，可以正常運行。同時，還可以產(chǎn)生正確的報警信息和安全日志，從而對網(wǎng)絡(luò)安全進(jìn)行真正的保護(hù)。

［1］賴圣貴.網(wǎng)絡(luò)安全動態(tài)防護(hù)體系的構(gòu)建[J].電腦編程技巧與維護(hù),2014,21(34)：77-79.

［2］張蓓,馮梅,靖小偉,劉明新.基于安全域的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系研究[J].計算機安全,2010,25(23)：245-247.

［3］楊波.基于安全域的煙草工業(yè)公司網(wǎng)絡(luò)安全防護(hù)體系研究[J].計算機與信息技術(shù),2012,23(26)：876-878.