郭超

（新疆維吾爾自治區(qū)科技項(xiàng)目服務(wù)中心，新疆 烏魯木齊 830011）

0 引言

工程技術(shù)研究中心是國(guó)家科研基地的重要組成部分，是國(guó)家向科技強(qiáng)國(guó)轉(zhuǎn)型的核心力量。工程技術(shù)研究中心計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)是促進(jìn)行業(yè)共性關(guān)鍵技術(shù)的研發(fā)以及科技成果轉(zhuǎn)化的關(guān)鍵。計(jì)算機(jī)網(wǎng)絡(luò)安全攻擊渠道在大數(shù)據(jù)技術(shù)快速發(fā)展的背景下呈現(xiàn)出了多樣化、智能化的趨勢(shì)，延長(zhǎng)了網(wǎng)絡(luò)攻擊威脅潛藏周期的同時(shí)，安全威脅感染速度更快，為工程技術(shù)研究中心的正常運(yùn)行帶來(lái)了較大的影響。因此通過(guò)先進(jìn)安全防御策略及方案的不斷引進(jìn)構(gòu)建起多層次的有效的深度安全防御體系是目前領(lǐng)域內(nèi)的一項(xiàng)研究重點(diǎn)[1]。

1 需求分析

工程技術(shù)研究中心計(jì)算機(jī)網(wǎng)絡(luò)中的大數(shù)據(jù)在為日常生活、工作帶來(lái)極大便利的同時(shí)，隱藏在網(wǎng)絡(luò)大數(shù)據(jù)使用過(guò)程中的隱患日益突出，因此對(duì)保護(hù)計(jì)算機(jī)網(wǎng)路安全方面的需求不斷提高。工程技術(shù)研究中心計(jì)算機(jī)網(wǎng)絡(luò)信息安全保護(hù)在大數(shù)據(jù)環(huán)境中涉及到較多的領(lǐng)域和技術(shù)，需基于大量技術(shù)的相互結(jié)合實(shí)現(xiàn)相應(yīng)的安全保障功能，處于運(yùn)行狀態(tài)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所面臨的安全威脅對(duì)設(shè)計(jì)并實(shí)現(xiàn)專門的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系提出了更高的要求，通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)體系實(shí)現(xiàn)針對(duì)各種安全威脅防護(hù)功能的動(dòng)態(tài)完善。當(dāng)前工程技術(shù)研究中心計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅包括：（1）攻擊技術(shù)的種類不斷增加，不斷增加和快速發(fā)展的分布式移動(dòng)計(jì)算、云計(jì)算、大數(shù)據(jù)等技術(shù)為人們有效使用相應(yīng)的大數(shù)據(jù)資源帶來(lái)了較大的便利，同時(shí)在不同程度上提高了病毒、木馬、黑客的攻擊機(jī)率，計(jì)算機(jī)網(wǎng)絡(luò)安全所面臨威脅的智能化水平不斷提高，使網(wǎng)絡(luò)威脅更加隱蔽且潛伏周期不斷增加，為使用大數(shù)據(jù)帶來(lái)了較大的安全威脅，導(dǎo)致重要數(shù)據(jù)資源受到損害、泄露或丟失[2]。（2）網(wǎng)絡(luò)威脅入侵呈現(xiàn)多樣化態(tài)勢(shì)，目前登錄相互連接的分布式管理系統(tǒng)時(shí)可通過(guò)使用手機(jī)、計(jì)算機(jī)、平板等完成，顯著增加了網(wǎng)絡(luò)入侵傳播的途徑。

2 工程技術(shù)研究中心計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)

2.1 設(shè)計(jì)要求

大數(shù)據(jù)背景下工程技術(shù)研究中心計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的設(shè)計(jì)要求主要包括：（1）確保計(jì)算機(jī)網(wǎng)絡(luò)客戶端的安全，通過(guò)區(qū)分用戶信息身份實(shí)現(xiàn)對(duì)偽造信息的有效篩除，通過(guò)保護(hù)用戶數(shù)據(jù)信息實(shí)現(xiàn)數(shù)據(jù)非法讀取操作的有效避免，通過(guò)確保用戶數(shù)據(jù)的完整以有效避免重要數(shù)據(jù)被隨意篡改，在數(shù)據(jù)接收和發(fā)送過(guò)程中根據(jù)具有不可否認(rèn)特性的客戶信息有效避免責(zé)任推卸現(xiàn)象的出現(xiàn)；（2）確保計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器安全，為有效防止敏感數(shù)據(jù)被盜取、數(shù)據(jù)受到服務(wù)攻擊，采取有效的數(shù)字加密技術(shù)確保數(shù)據(jù)機(jī)密，未經(jīng)授權(quán)時(shí)無(wú)法對(duì)數(shù)據(jù)進(jìn)行篡改；（3）確保計(jì)算機(jī)網(wǎng)絡(luò)傳輸安全，網(wǎng)絡(luò)用戶未經(jīng)授權(quán)不能修改數(shù)據(jù)，保證數(shù)據(jù)的完整傳輸，確保數(shù)據(jù)能夠安全傳輸不被被非法竊聽；（4）確保內(nèi)部工作網(wǎng)絡(luò)系統(tǒng)平臺(tái)安全，未經(jīng)授權(quán)的用戶不具備訪問(wèn)內(nèi)部系統(tǒng)的權(quán)限，保持內(nèi)網(wǎng)的可控性，從而有效避免內(nèi)部網(wǎng)絡(luò)遭受黑客攻擊；通過(guò)內(nèi)部網(wǎng)絡(luò)避免內(nèi)部敏感網(wǎng)絡(luò)信息被泄漏，避免內(nèi)部網(wǎng)絡(luò)及用戶資源的濫用[3]。

2.2 網(wǎng)絡(luò)安全防護(hù)系統(tǒng)體系結(jié)構(gòu)

網(wǎng)絡(luò)系統(tǒng)安全體系層次模型如圖1所示，物理層信息安全主要負(fù)責(zé)避免損壞、竊聽及攻擊物理通路等行為，鏈路層網(wǎng)絡(luò)安全主要通過(guò)加密通訊及劃分局域網(wǎng)以確保其所傳送數(shù)據(jù)的安全，網(wǎng)絡(luò)層安全主要通過(guò)網(wǎng)絡(luò)授權(quán)客戶服務(wù)（確保網(wǎng)絡(luò)路由的正確分配）實(shí)現(xiàn)監(jiān)聽和攔截行為的有效避免，操作系統(tǒng)安全主要負(fù)責(zé)確保客戶資料及操作系統(tǒng)的安全，基于網(wǎng)絡(luò)系統(tǒng)創(chuàng)建的應(yīng)用平臺(tái)（一種應(yīng)用服務(wù)軟件，如web 服務(wù)器、電子郵件、數(shù)據(jù)庫(kù)）較為復(fù)雜需通過(guò)多種技術(shù)的綜合運(yùn)用實(shí)現(xiàn)平臺(tái)安全性的有效提高。

圖1 安全體系的層次模型

2.3 網(wǎng)絡(luò)安全防護(hù)系統(tǒng)主要功能模塊的設(shè)計(jì)

（1）安全預(yù)警模塊，安全預(yù)警模塊運(yùn)行如圖2所示。主要負(fù)責(zé)準(zhǔn)確識(shí)別行為、漏洞及攻擊等并進(jìn)行預(yù)警提示，工程技術(shù)研究中心計(jì)算機(jī)網(wǎng)絡(luò)會(huì)包含了豐富的使用不同結(jié)構(gòu)、開發(fā)語(yǔ)言及環(huán)境的異構(gòu)應(yīng)用軟件，在集成這些應(yīng)用軟件的過(guò)程中因接口相互通信的實(shí)現(xiàn)而極易導(dǎo)致多種漏洞的出現(xiàn)，增加了網(wǎng)絡(luò)安全攻擊的幾率。通過(guò)漏洞預(yù)警可快速實(shí)現(xiàn)補(bǔ)丁機(jī)率、抵御外來(lái)威脅，針對(duì)不正常的網(wǎng)絡(luò)中的流量通過(guò)多種算法的綜合運(yùn)用實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊行為的有效預(yù)測(cè)和預(yù)警能力，從而提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性。

圖2 安全預(yù)警模塊

（2）安全保護(hù)與安全監(jiān)測(cè)，通過(guò)數(shù)字簽名防御技術(shù)這一安全防御措施的運(yùn)用可以使網(wǎng)絡(luò)數(shù)據(jù)通信中的不恰當(dāng)行為得以有效避免。在構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)時(shí)主要通過(guò)多種防御技術(shù)的綜合運(yùn)用實(shí)現(xiàn)感染和攻擊大數(shù)據(jù)背景下網(wǎng)絡(luò)數(shù)據(jù)的行為得到有效避免，對(duì)于網(wǎng)絡(luò)流量可通過(guò)入侵檢測(cè)、網(wǎng)絡(luò)流量抓包等技術(shù)的使用實(shí)現(xiàn)及時(shí)準(zhǔn)確的獲取，再使用軟硬件等關(guān)聯(lián)規(guī)則技術(shù)進(jìn)行深入的挖掘，并獲取相應(yīng)挖掘結(jié)果的報(bào)告，再結(jié)合相關(guān)安全響應(yīng)機(jī)制清除危險(xiǎn)行為[4]。

（3）系統(tǒng)恢復(fù)，具體如圖3所示，考慮到部分用戶在操作計(jì)算機(jī)網(wǎng)絡(luò)操過(guò)程中因缺少專業(yè)知識(shí)而導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)安全易受到威脅，為有效降低系統(tǒng)損失，可通過(guò)使用系統(tǒng)恢復(fù)技術(shù)將受到威脅影響或破壞的計(jì)算機(jī)服務(wù)器恢復(fù)到正常狀態(tài)中。

圖3 系統(tǒng)恢復(fù)模塊

3 安全系統(tǒng)關(guān)鍵技術(shù)

本文基于工程技術(shù)研究中心應(yīng)用功能，采用縱深化、層次化和主動(dòng)式的安全防御原則，構(gòu)建了計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)，通過(guò)預(yù)警、保護(hù)、監(jiān)測(cè)、響應(yīng)、恢復(fù)、反擊等技術(shù)的運(yùn)用實(shí)現(xiàn)具體的防護(hù)功能，可主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)面臨的木馬、病毒等威脅，并據(jù)此進(jìn)行有效的阻止攻擊行為以確保網(wǎng)絡(luò)正常運(yùn)行和使用。針對(duì)網(wǎng)絡(luò)不正常流量行為結(jié)合使用預(yù)警或攻擊趨勢(shì)預(yù)測(cè)技術(shù)及相關(guān)算法（包括支持向量機(jī)、遺傳算法、K-means、關(guān)聯(lián)規(guī)則）完成對(duì)網(wǎng)絡(luò)中所存在攻擊行為科學(xué)準(zhǔn)確的預(yù)測(cè)，確保系統(tǒng)具備初步的安全性。為有效確保工程技術(shù)研究中心數(shù)據(jù)的完整性，面向大數(shù)據(jù)綜合應(yīng)用中心的安全措施可采用安全訪問(wèn)控制列表、殺毒工具、防火墻、虛擬專用網(wǎng)絡(luò)等多項(xiàng)采用單一或集成部署模式的防御工具或軟件。此外，通過(guò)漏洞掃描聯(lián)動(dòng)設(shè)備的部署保證計(jì)算機(jī)網(wǎng)絡(luò)及內(nèi)網(wǎng)安全，及早發(fā)現(xiàn)漏洞和安全隱患并進(jìn)行修補(bǔ)，進(jìn)一步提高工程技術(shù)研究中心網(wǎng)絡(luò)運(yùn)行質(zhì)量和效率[5-6]。

4 結(jié)語(yǔ)

大數(shù)據(jù)時(shí)代的到來(lái)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全提出了更大的挑戰(zhàn)，新型網(wǎng)絡(luò)安全攻擊行為隨之而來(lái)，網(wǎng)絡(luò)攻擊渠道不斷發(fā)生變化，伴隨著網(wǎng)絡(luò)攻擊潛伏周期的增加以及安全威脅感染速度的加快，對(duì)工程技術(shù)研究中心對(duì)大數(shù)據(jù)使用的正常運(yùn)行帶來(lái)較大的威脅，為了有效滿足計(jì)算機(jī)網(wǎng)絡(luò)的安全防御需求，需通過(guò)先進(jìn)安全防范技術(shù)及綜合方案的使用實(shí)現(xiàn)工程技術(shù)研究中心安全防御能力的有效提高，以實(shí)現(xiàn)網(wǎng)絡(luò)威脅的深入防御。本文在對(duì)工程技術(shù)研究中心系統(tǒng)功能架構(gòu)及計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)功能需求進(jìn)行詳細(xì)分析的基礎(chǔ)上，通過(guò)多層次的主動(dòng)安全防御技術(shù)的引入，完成了一種功能完善的安全防御系統(tǒng)的構(gòu)建，有利于實(shí)現(xiàn)安全防御能力的動(dòng)態(tài)提升，以提高大數(shù)據(jù)安全性能，具有較高的實(shí)際應(yīng)用價(jià)值。