（福建廣播電視大學(xué)莆田分校，福建 莆田 351100）

一、前言

隨著互聯(lián)網(wǎng)技術(shù)的飛速普及與發(fā)展，它為人們的生活帶來(lái)了極大便利的同時(shí)，也隨之產(chǎn)生了許多網(wǎng)絡(luò)安全問(wèn)題，因此提高網(wǎng)絡(luò)安全成為當(dāng)下研究的熱點(diǎn)。面對(duì)互聯(lián)網(wǎng)信息安全問(wèn)題帶來(lái)的巨大挑戰(zhàn)，傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)也難以避免地出現(xiàn)了一些問(wèn)題，最經(jīng)典的安全模型Bell Lapadula 模型主要將安全系統(tǒng)抽象為三個(gè)主體部分，即安全主體，訪(fǎng)問(wèn)對(duì)象以及訪(fǎng)問(wèn)控制對(duì)象。但在此基礎(chǔ)上也暴露出三個(gè)問(wèn)題：一是當(dāng)下采用的安全系統(tǒng)主要還是中心化的管理機(jī)制，當(dāng)集中系統(tǒng)被入侵或者遭遇損壞將會(huì)造成整個(gè)網(wǎng)絡(luò)的癱瘓。二是在各種類(lèi)別的分布網(wǎng)絡(luò)中，訪(fǎng)問(wèn)主體需要根據(jù)實(shí)際場(chǎng)景分配訪(fǎng)問(wèn)權(quán)限，然而系統(tǒng)的龐大而不統(tǒng)一，將會(huì)使這種操作變得極其復(fù)雜。三是在不同的硬件之間的協(xié)調(diào)過(guò)程中，不能有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)，難以達(dá)到滿(mǎn)足系統(tǒng)高效運(yùn)行的協(xié)同機(jī)制。

二、分布式網(wǎng)絡(luò)安全系統(tǒng)技術(shù)分析

1、防火墻技術(shù)

防火墻是一個(gè)網(wǎng)絡(luò)安全術(shù)語(yǔ)，主要指在網(wǎng)絡(luò)中建立一道安全防護(hù)線(xiàn)，可以從源頭防止病毒的入侵以及在網(wǎng)絡(luò)傳輸過(guò)程中，對(duì)數(shù)據(jù)進(jìn)行分析和檢測(cè)。防火墻可以由四個(gè)部分組成，包含服務(wù)訪(fǎng)問(wèn)設(shè)計(jì)，過(guò)濾工具，應(yīng)用工具，檢查工具等。可以通過(guò)網(wǎng)絡(luò)區(qū)域的信任程度將網(wǎng)絡(luò)進(jìn)行劃分，構(gòu)建一個(gè)良好的網(wǎng)絡(luò)環(huán)境，阻止病毒在計(jì)算機(jī)內(nèi)進(jìn)一步的擴(kuò)散。

2、入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全中用于防止病毒入侵的模型，可以對(duì)用戶(hù)使用的程序進(jìn)行檢測(cè)，對(duì)于沒(méi)有授權(quán)的數(shù)據(jù)進(jìn)行檢測(cè)并清除。能夠?qū)θ肭殖绦蛴休^好的防御效果，可以在異常數(shù)據(jù)傳輸時(shí)，識(shí)別出病毒程序，從而起到監(jiān)視效果，對(duì)潛在的病毒威脅進(jìn)行阻止。

3、數(shù)據(jù)加密措施

數(shù)據(jù)加密是一種預(yù)防數(shù)據(jù)泄露的解決方案，用戶(hù)可以對(duì)數(shù)據(jù)進(jìn)行加密，這對(duì)數(shù)據(jù)在互聯(lián)網(wǎng)中的傳遞將起到一個(gè)保護(hù)作用，數(shù)據(jù)加密技術(shù)已經(jīng)相當(dāng)?shù)某墒?，用?hù)可以放心安全地在網(wǎng)絡(luò)安全防護(hù)中采用數(shù)據(jù)加密措施，來(lái)保證數(shù)據(jù)的安全性。

三、分權(quán)機(jī)制網(wǎng)絡(luò)安全決策模型

基于分權(quán)機(jī)制的分布式網(wǎng)絡(luò)安全模型主要分為兩個(gè)核心的模型，其一是分層機(jī)制，其二是決策模型。兩種機(jī)制的結(jié)合能夠有效地完成分權(quán)機(jī)制在分布式網(wǎng)絡(luò)中的具體應(yīng)用。

1、分權(quán)機(jī)制

在網(wǎng)絡(luò)安全系統(tǒng)中，權(quán)限劃分始終是重要的控制方式。當(dāng)權(quán)限過(guò)度集中時(shí)，就有較大的安全問(wèn)題存在。當(dāng)黑客對(duì)集中系統(tǒng)進(jìn)行攻擊后，將影響整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性。所以為了解決這種安全問(wèn)題，提出的解決方案是在傳統(tǒng)的分布式機(jī)構(gòu)中，將系統(tǒng)進(jìn)行分層分權(quán)，系統(tǒng)只在當(dāng)前層級(jí)具有一定的權(quán)限，而權(quán)限不會(huì)衍生至子節(jié)點(diǎn)或上升至父節(jié)點(diǎn)。所以能夠有效的將權(quán)利分散至各個(gè)不同的分層結(jié)構(gòu)中。

分權(quán)機(jī)制最大的優(yōu)點(diǎn)在于能夠有效地降低一個(gè)系統(tǒng)的耦合性，將系統(tǒng)的各個(gè)組成部分的權(quán)限分離，各司其職，各盡其責(zé)。例如，當(dāng)決策者在進(jìn)行一部分的權(quán)限操作時(shí)，只能停留在當(dāng)前層級(jí)，避免了權(quán)利的集中，使得非法入侵者，在獲取權(quán)限的過(guò)程中變得極其困難，同樣，想要破壞網(wǎng)絡(luò)的難度也急劇增加。

圖1 分布式網(wǎng)絡(luò)安全分層分權(quán)模型

集中管理中心：該分布式分層分權(quán)機(jī)制中的集中管理中心，并非傳統(tǒng)的集中管理集中所具備最高的權(quán)限的集中系統(tǒng)。而僅是對(duì)于網(wǎng)絡(luò)用戶(hù)節(jié)點(diǎn)的決策控制進(jìn)行劃分，而具體的權(quán)限只有當(dāng)前層級(jí)的控制中心才具備，將決策權(quán)與控制權(quán)進(jìn)行分離。具備決策權(quán)的集中管理中心遭到入侵，也不能對(duì)網(wǎng)絡(luò)系統(tǒng)造成毀滅性的危害，只能影響網(wǎng)絡(luò)節(jié)點(diǎn)層級(jí)的分布。而對(duì)于網(wǎng)絡(luò)節(jié)點(diǎn)的實(shí)際控制權(quán)，依然屬于各個(gè)子網(wǎng)絡(luò)控制中心。

分布式控制中心：分布式網(wǎng)絡(luò)控制中心能夠?qū)τ谄湎聦俟?jié)點(diǎn)的網(wǎng)絡(luò)進(jìn)行管理和控制，而不能跳躍到其他層級(jí)進(jìn)行操作。

網(wǎng)絡(luò)節(jié)點(diǎn)：網(wǎng)絡(luò)節(jié)點(diǎn)中具有詳細(xì)的安全策略，能夠保證計(jì)算機(jī)主機(jī)及時(shí)發(fā)現(xiàn)安全威脅，并進(jìn)行安全策略的使用從而進(jìn)行防御。

2、決策模型

網(wǎng)絡(luò)決策模型中，主要參考指數(shù)可從3 個(gè)方面描述：一些基礎(chǔ)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)設(shè)備的健壯性、網(wǎng)絡(luò)受到攻擊入侵的風(fēng)險(xiǎn)性。該模型可形成一套完整的決策流程方案，用于解決網(wǎng)絡(luò)分層所帶來(lái)的分權(quán)決策問(wèn)題。

（1）網(wǎng)絡(luò)安全評(píng)估及決策流程

網(wǎng)絡(luò)安全評(píng)估可以通過(guò)分析獲得，而決策主要是通過(guò)對(duì)于評(píng)估結(jié)果的分析，進(jìn)行后續(xù)的安全決策流程。整體來(lái)看，網(wǎng)絡(luò)的安全決策流程可以分為如下圖2 所示過(guò)程：

圖2 決策工作流程

集中管理中心經(jīng)過(guò)分析評(píng)估、結(jié)果分析、做出決策，然后轉(zhuǎn)移至下級(jí)分布式控制中心，進(jìn)行分析評(píng)估、結(jié)果分析，最后做出決策，最終在到底層計(jì)算機(jī)節(jié)點(diǎn)處，進(jìn)行探測(cè)和方案的實(shí)施，然后將節(jié)點(diǎn)的運(yùn)行信息再次逐層轉(zhuǎn)移至上級(jí)網(wǎng)絡(luò)分層。

（2）策略控制

相比傳統(tǒng)的策略控制，采用分布式的策略控制方式，可以劃分為三個(gè)基本的要素。其中最為常見(jiàn)的一種方式是ACL方式，其具體的控制策略是：首先，用戶(hù)對(duì)某個(gè)保護(hù)資源采用訪(fǎng)問(wèn)操作。其次，考慮到在分布式的復(fù)雜環(huán)境下，需要進(jìn)行優(yōu)化的幾個(gè)方面分別是：資源保護(hù)不可過(guò)于簡(jiǎn)便，需限定指定范圍操作。資源的控制不能單純通過(guò)身份認(rèn)證機(jī)制核實(shí)，需要其他相關(guān)的信息驗(yàn)證。包括數(shù)字證書(shū)，授權(quán)證書(shū)以及加密密鑰等。

對(duì)比經(jīng)典模型，一個(gè)集中式的安全模型，不能夠清晰完整的描述出在分布式系統(tǒng)中各個(gè)安全系統(tǒng)之間的協(xié)同合作關(guān)系。而采用策略方案來(lái)解決此類(lèi)問(wèn)題，可以通過(guò)一組安全策略來(lái)限制底層的安全配置。而系統(tǒng)整體上對(duì)策略組進(jìn)行控制，從而實(shí)現(xiàn)在分布式系統(tǒng)中的安全模型建立。

策略方式具有的特點(diǎn)，是高層服務(wù)與底層配置之間的連接，通過(guò)這種連接來(lái)實(shí)現(xiàn)策略方案的配置。首先，設(shè)定先決方案集合為C，其中安全策略集合為R，某一行為的集合為T(mén)。同時(shí)可以指定協(xié)同策略，來(lái)配合子安全系統(tǒng)之間的協(xié)調(diào)工作。所以經(jīng)過(guò)策略方式的組合，能夠滿(mǎn)足復(fù)雜的環(huán)境場(chǎng)景需求，最終實(shí)現(xiàn)在分布式系統(tǒng)中的靈活使用。就當(dāng)前研究的熱點(diǎn)來(lái)看，通過(guò)這樣的策略控制，在分布式系統(tǒng)中解決協(xié)同問(wèn)題成為可能，并能夠具體的實(shí)現(xiàn)應(yīng)用在不同的分布式系統(tǒng)中。

3、決策指數(shù)計(jì)算

決策過(guò)程中，主要參考三項(xiàng)指標(biāo)來(lái)判斷數(shù)據(jù)的狀態(tài)。通過(guò)基礎(chǔ)運(yùn)行指數(shù)，系統(tǒng)健壯性指數(shù)，以及網(wǎng)絡(luò)風(fēng)險(xiǎn)性指數(shù)進(jìn)行計(jì)算。最終得出評(píng)估結(jié)果來(lái)檢測(cè)整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況。主要用到的計(jì)算公式如下：

公式中Is Iv Ir 分別是三個(gè)衡量指標(biāo)，其中三者之和為總占比100%即：Is+Iv+Ir=1。s 代表系統(tǒng)運(yùn)行的基礎(chǔ)參數(shù)，v 代表系統(tǒng)穩(wěn)定性，r 代表網(wǎng)絡(luò)被入侵的風(fēng)險(xiǎn)性。

4、安全態(tài)勢(shì)分析

分層網(wǎng)絡(luò)中，安全態(tài)勢(shì)分析與決策系統(tǒng)之間存在直接關(guān)聯(lián)，通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)及計(jì)算機(jī)節(jié)點(diǎn)的安全狀態(tài)和運(yùn)行信息的采集、分析、并傳遞至上一層級(jí)的方式，最終完成網(wǎng)絡(luò)節(jié)點(diǎn)的探測(cè)任務(wù)。通過(guò)局部網(wǎng)絡(luò)的威脅來(lái)評(píng)估網(wǎng)絡(luò)系統(tǒng)整體的安全性。

基礎(chǔ)參數(shù)是網(wǎng)絡(luò)安全狀態(tài)的衡量指標(biāo)，通過(guò)確定的閾值來(lái)決定，是否斧王當(dāng)下網(wǎng)絡(luò)的穩(wěn)定運(yùn)行標(biāo)準(zhǔn)。具體內(nèi)容如表1 所示：

表1 標(biāo)準(zhǔn)過(guò)載率量化指標(biāo)

其中O 代表量化結(jié)果，s 代表安全閾值的取值，其對(duì)應(yīng)關(guān)系所處范圍的比例，即為過(guò)載率。

四、模型性能對(duì)比

1、分層分權(quán)機(jī)制下的網(wǎng)絡(luò)模型與經(jīng)典模型進(jìn)行性能比較，會(huì)發(fā)現(xiàn)上述模型的優(yōu)點(diǎn)在于其分權(quán)和分層決策的機(jī)制?？梢詫⑷肭终哂行У乜刂圃诰W(wǎng)絡(luò)的某個(gè)局部位置，而其行為都將通過(guò)分析報(bào)告提交到上一個(gè)層級(jí)，最終通過(guò)決策機(jī)制來(lái)判斷網(wǎng)絡(luò)數(shù)據(jù)是否發(fā)生了異常。所以當(dāng)入侵者試圖控制整個(gè)網(wǎng)絡(luò)的權(quán)限時(shí)，將需要付出巨大的代價(jià)。而對(duì)于所有的步驟都將會(huì)受到監(jiān)控，而其中任何一個(gè)環(huán)節(jié)被檢測(cè)出是異常網(wǎng)絡(luò)時(shí)，就會(huì)被發(fā)現(xiàn)并制止。

2、分層機(jī)制的出現(xiàn)，能夠極大程度上的降低分布式安全系統(tǒng)的耦合性，從而實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)系統(tǒng)的模塊化監(jiān)控，系統(tǒng)級(jí)檢測(cè)。通過(guò)局部部分的檢測(cè)數(shù)據(jù)控制，最終在整體效果上實(shí)現(xiàn)控制約束。當(dāng)遇到網(wǎng)絡(luò)中任何一個(gè)節(jié)點(diǎn)出現(xiàn)了入侵及異常狀況，能夠逐層反饋信息至上層。最終實(shí)現(xiàn)對(duì)整體系統(tǒng)健康監(jiān)控效果。

3、上述采用的分布式分權(quán)機(jī)制，解決了在分布式網(wǎng)絡(luò)中必須面對(duì)的一致性問(wèn)題。當(dāng)網(wǎng)絡(luò)處于分散的狀態(tài)下，是很難高效的達(dá)到一致性。而采用了分層的機(jī)制，可以將每一層的網(wǎng)絡(luò)單獨(dú)的當(dāng)做一個(gè)經(jīng)典模型去實(shí)現(xiàn)。而在通過(guò)控制方式的分權(quán)化來(lái)完成整體網(wǎng)絡(luò)的安全控制。

4、在分布式的計(jì)算機(jī)網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全問(wèn)題主要是權(quán)限分配問(wèn)題，而分權(quán)的機(jī)制，可以更加靈活的解決網(wǎng)絡(luò)的協(xié)同性、健壯性。

5、分權(quán)機(jī)制帶來(lái)的多重反饋機(jī)制，能夠在原有基礎(chǔ)上進(jìn)行多次決策交叉驗(yàn)證，保證的數(shù)據(jù)節(jié)點(diǎn)運(yùn)行信息的準(zhǔn)確性，宏觀(guān)來(lái)看確保了網(wǎng)絡(luò)的安全性，能夠很好的預(yù)防網(wǎng)絡(luò)入侵，且具備較高的時(shí)效性，能夠在極短的時(shí)間內(nèi)啟用高水平的防御機(jī)制。

網(wǎng)絡(luò)在實(shí)際的使用過(guò)程中，人們更加注重的是便捷性，而忽視了網(wǎng)絡(luò)安全的重要性。在分布式網(wǎng)絡(luò)，網(wǎng)絡(luò)安全更加是一個(gè)不可忽視的問(wèn)題。由于其發(fā)展時(shí)間段，理論體系尚不成熟，在很多模式的實(shí)踐上都存在不少問(wèn)題。策略控制與入侵檢測(cè)仍然是網(wǎng)絡(luò)安全所必需的面對(duì)的兩個(gè)重要難點(diǎn)，也同樣是當(dāng)下研究的熱點(diǎn)所在，本文意在拋磚迎玉，提出一種分權(quán)的思路來(lái)解決這類(lèi)問(wèn)題。