周 英

(達州職業(yè)技術(shù)學院 學生處，四川 達州 635001)

0 引言

隨著網(wǎng)絡技術(shù)的發(fā)展和應用的深入，網(wǎng)絡規(guī)模越來越大，各種各樣的網(wǎng)絡設備也越來越多，用戶使用的網(wǎng)絡終端設備類型也形式多樣，同時用戶對網(wǎng)絡數(shù)據(jù)的敏感度也越來越高，也因此對網(wǎng)絡的安全性提出了更高的要求.盡管目前各種網(wǎng)絡安全設備，例如防火墻，漏洞掃描設備、郵件防護系統(tǒng)等等，但是各類的網(wǎng)絡數(shù)據(jù)漏洞事件依然層出不窮，這說明，要實現(xiàn)網(wǎng)絡的真正安全，并不是簡單的將各種網(wǎng)絡安全設備堆砌就能夠?qū)崿F(xiàn)的，而必須要對網(wǎng)絡實施全局范圍上的統(tǒng)一管理，依靠管理來加強和實現(xiàn)網(wǎng)絡的安全.

事實證明，只有依賴統(tǒng)一的網(wǎng)絡管理協(xié)議和管理機制，充分調(diào)動和實現(xiàn)各種網(wǎng)絡安全設備之間的互動，才能夠發(fā)揮各個網(wǎng)絡安全設備的最大功效，實現(xiàn)網(wǎng)絡安全的最大效益.因此，如何將分散在各個網(wǎng)絡上的網(wǎng)絡安全設備，尤其是隨著網(wǎng)絡范圍的進一步擴大，逐漸出現(xiàn)了多域網(wǎng)絡，如何保障多域網(wǎng)絡下的網(wǎng)絡安全，是網(wǎng)絡安全領(lǐng)域內(nèi)不可回避的一個重要課題.［1］

過去對大型網(wǎng)絡實施安全管理，主要是依賴先進的網(wǎng)絡安全管理設備，同時憑借網(wǎng)絡管理人員的經(jīng)驗，以及一些簡單的網(wǎng)絡管理協(xié)議和操作機制，或者是對網(wǎng)絡安全設備實施簡單的監(jiān)控，例如流量監(jiān)控、數(shù)據(jù)報頭監(jiān)控等等，根據(jù)監(jiān)控的結(jié)果分析網(wǎng)絡是否存在異常等等，這樣的網(wǎng)絡安全管理在很大程度上還是依賴于人的操作，根本沒有從全局的高度對多域網(wǎng)絡范圍內(nèi)的各種網(wǎng)絡安全設備進行統(tǒng)一的管理和調(diào)度，因此無法真正保障多域網(wǎng)絡的信息安全.［2］本文針對多域網(wǎng)絡下的數(shù)據(jù)安全管理，詳細探討網(wǎng)絡安全管理的策略一致性問題，從策略的一致性角度切入，確保從全局的角度保障整個多域網(wǎng)絡范圍內(nèi)的安全管理的一致性策略，以期能夠從中找到有效的面向多域網(wǎng)絡的安全管理模式和措施方法.

1 傳統(tǒng)的網(wǎng)絡安全管理模式分析

1.1 常用的網(wǎng)絡安全管理技術(shù)

目前常用的各種網(wǎng)絡安全管理技術(shù)，其實質(zhì)都是依靠網(wǎng)絡安全設備硬件或者軟件系統(tǒng)而開展的網(wǎng)絡安全管理技術(shù)，概括起來主要有以下幾種:

(1)防火墻技術(shù)

①硬件防火墻技術(shù):硬件防火墻技術(shù)主要是依賴硬件防火墻，通過對防火墻進行設置，例如需要攔截的攻擊類型，關(guān)鍵字偵聽，以及入侵防護等等功能，這些功能都有效地提高了防火墻的安全防護功能.

②軟件防火墻技術(shù):軟件防火墻主要是依靠包過濾的方法實現(xiàn)的，只能夠依靠包過濾中確立的過濾原則濾除可能的、潛在的威脅或危害.

(2)入侵檢測技術(shù)

入侵檢測技術(shù)、依靠收集網(wǎng)絡中或者特定節(jié)點上的網(wǎng)絡數(shù)據(jù)信息，通過對數(shù)據(jù)包的分析，以檢測是否有入侵行為的發(fā)生，倘若一旦檢測到潛在的入侵，系統(tǒng)能夠自動隔離或者拒絕訪問，并發(fā)出告警，從而提高網(wǎng)絡的安全性.

(3)漏洞掃描技術(shù)

目前的操作系統(tǒng)絕大多數(shù)都是基于微軟公司的Windows操作系統(tǒng)，而Windows操作系統(tǒng)本身就是不安全的，存在較多的安全漏洞，很多黑客或者病毒都可以利用這些漏洞竊取網(wǎng)絡的數(shù)據(jù)信息，所以漏洞掃描技術(shù)是通過掃描這些安全漏洞以防止黑客或病毒有機可乘，杜絕了利用漏洞造成網(wǎng)絡安全事故發(fā)生的可能.

(4)VPN網(wǎng)絡技術(shù)

VPN網(wǎng)絡技術(shù)實際上就是虛擬網(wǎng)絡技術(shù)，即將一個物理局域網(wǎng)劃分為若干個虛擬局域網(wǎng)，各虛擬局域網(wǎng)之間不可以通信，這樣能夠有效地防止某一個虛擬局域網(wǎng)內(nèi)的網(wǎng)絡威脅或危害傳播到整個局域網(wǎng).

(5)防病毒技術(shù)

防病毒技術(shù)主要是利用各種殺毒防毒軟件，對照各種病毒的特征，有針對性地進行病毒防護，將病毒隔離于網(wǎng)絡之外，從而達到保護網(wǎng)絡防范的目的.

1.2 存在的問題

盡管目前網(wǎng)絡安全管理的設備很多，技術(shù)也很先進，但是網(wǎng)絡安全問題依然頻出.［3］由此可見，目前網(wǎng)絡安全設備的應用及其管理上還是存在很多問題，主要表現(xiàn)在以下幾個方面:

(1)各網(wǎng)絡安全設備相對獨立

目前應用在網(wǎng)絡安全領(lǐng)域中的網(wǎng)絡安全設備很多，即使是同一種設備，生產(chǎn)的廠家也有很多家，而不同廠家的網(wǎng)絡安全管理設備都有一套自家的通訊協(xié)議及網(wǎng)絡安全管理的內(nèi)容設置方案，不同廠家設備之間不能完全兼容，甚至完全不能兼容，這就導致了各網(wǎng)絡設備成為了實際上的“信息孤島”，各生產(chǎn)廠家所生產(chǎn)的網(wǎng)絡安全管理設備各自為政，各管一方網(wǎng)絡安全，但實際上卻無法真正保障整個網(wǎng)絡的信息安全.

(2)各網(wǎng)絡安全設備缺乏統(tǒng)一操作管理平臺

盡管網(wǎng)絡安全管理設備在一定程度上都能夠?qū)崿F(xiàn)網(wǎng)絡的相對安全管理，但是這么多的網(wǎng)絡安全管理設備彼此之間卻缺乏有效的協(xié)同操作和管理交集，這主要是因為各網(wǎng)絡安全設備缺乏相對統(tǒng)一的操作管理平臺.［4］只有借助于一個統(tǒng)一的平臺，才能夠?qū)Σ煌愋偷陌踩芾碓O備、不同廠家生產(chǎn)的安全管理設備進行統(tǒng)一的管理和調(diào)度，充分讓網(wǎng)絡中擔任不同安全領(lǐng)域管理角色的安全設備相互響應，協(xié)同操作，才能夠?qū)崿F(xiàn)網(wǎng)絡的真正信息安全.

(3)網(wǎng)絡安全設備不斷堆砌，但網(wǎng)絡安全程度不變

目前很普遍的規(guī)律是，網(wǎng)絡規(guī)模越大，網(wǎng)絡安全設備越多，但是，這種網(wǎng)絡安全設備僅僅是在數(shù)量上的堆砌，并沒有從安全管理的內(nèi)容和深度上進行整合，網(wǎng)絡安全程度并沒有發(fā)生實質(zhì)性的改變，網(wǎng)絡安全事故仍然頻發(fā).要改變這一現(xiàn)狀，就必須改變僅僅依靠堆砌網(wǎng)絡安全設備的現(xiàn)象，必須建立和整合統(tǒng)一的安全管理平臺，對每一臺網(wǎng)絡安全管理設備進行監(jiān)測與分析，由統(tǒng)一的中央決策系統(tǒng)進行網(wǎng)絡安全判定，并根據(jù)網(wǎng)絡所受到的威脅制定合理的決策，并保證決策的一致性和順利執(zhí)行.［5］為此，必須要對多域網(wǎng)絡下的網(wǎng)絡安全管理策略進行一致性設計和應用.

2 多域網(wǎng)絡安全管理系統(tǒng)策略一致性研究

2.1 多域網(wǎng)絡安全統(tǒng)一決策系統(tǒng)的構(gòu)建

當網(wǎng)絡規(guī)模比較小的時候，只需要一個集中的管理系統(tǒng)就能夠?qū)崿F(xiàn)對整個局域網(wǎng)的安全管理，但當網(wǎng)絡規(guī)模較大的時候，原先應用于小規(guī)模網(wǎng)絡的安全管理模式就變得不再適用，這個時候就必須采取多域網(wǎng)絡安全管理的模式.在多域網(wǎng)絡安全管理下，必須要構(gòu)建統(tǒng)一的網(wǎng)絡安全決策系統(tǒng)，這樣才能夠有效的保障整個多域網(wǎng)絡的信息安全.為此，可以從以下幾個方面入手實施構(gòu)建多域網(wǎng)絡安全的統(tǒng)一決策系統(tǒng).

(1)安全管理域的劃分

所謂域，就是范圍，要實現(xiàn)多域網(wǎng)絡安全的統(tǒng)一決策，必須要按照域進行安全管理范圍的劃分.具體來說，可以從以下幾個方面劃分:

①從組織結(jié)構(gòu)上來劃分.不同的職能部門，或者不同的組織隸屬于同一個多域網(wǎng)絡時，必須按照各自部門對數(shù)據(jù)信息敏感程度的不一致進行安全管理域的劃分，有的時候還必須要按照數(shù)據(jù)保密等級進行安全管理域的等級劃分.

②從拓撲結(jié)構(gòu)上來劃分.網(wǎng)絡中的安全管理設備的接入點是散布在整個多域網(wǎng)絡中的不同角落的，必須要按照各自網(wǎng)絡安全設備的接入點的實際分布位置進行安全管理域的劃分，以確保從拓撲結(jié)構(gòu)上對不同的網(wǎng)絡安全設備的不同域管理.

③從安全級別上來劃分.有的網(wǎng)絡安全設備不允許外設訪問，有的網(wǎng)絡安全設備則對外訪問的內(nèi)容有嚴格的要求，因此不同的網(wǎng)絡安全設備其安全等級限定不一致，必須要按照各自的安全限定等級合理劃分不同的安全管理范圍，才能夠保障整個多域網(wǎng)絡環(huán)境的信息安全.

(2)基于域的網(wǎng)絡安全管理架構(gòu)設計

基于域的網(wǎng)絡安全管理架構(gòu)，主要由網(wǎng)絡安全管理設備、安全域服務器和安全管理終端三個層次架構(gòu)而成.

①網(wǎng)絡安全管理設備.這是位于多域網(wǎng)絡安全管理系統(tǒng)架構(gòu)的最底層，主要分布在整個多域網(wǎng)絡中的不同角落上，按照不同網(wǎng)絡環(huán)境配置不同的安全管理設備，并對這些安全管理設備進行安全策略設定，以滿足基本的安全管理需求.

②安全域服務器.其主要作用是在多域網(wǎng)絡中按照安全等級、拓撲結(jié)構(gòu)等劃分的管理域中扮演著管理者和策略執(zhí)行者的角色，在相應的域范圍內(nèi)，所有的網(wǎng)絡安全管理設備及該域內(nèi)的網(wǎng)絡環(huán)境安全和安全策略，全部由域服務器進行統(tǒng)一管理.

③安全管理終端.安全管理終端的作用是對各個安全管理域進行統(tǒng)一的管理和策略執(zhí)行，域服務器是在域范圍內(nèi)實現(xiàn)安全策略的統(tǒng)一執(zhí)行，而安全管理終端則對不同的域進行統(tǒng)一的安全策略管理和應用，從而實現(xiàn)整個多域網(wǎng)絡下的信息安全.

2.2 多域網(wǎng)絡下的策略一致性設計

基于域的網(wǎng)絡安全管理架構(gòu)，是一個系統(tǒng)的整體，整體構(gòu)成了多域網(wǎng)絡安全的防御體系，但是由于安全管理終端和域服務器都負責網(wǎng)絡安全的策略執(zhí)行，因此就牽涉到安全管理策略的一致性問題.

2.2.1 安全管理策略的層次設計

所謂安全管理策略的層次，主要是指按照多域網(wǎng)絡安全管理的架構(gòu)，自上而下的將網(wǎng)絡安全管理策略抽象出若干個層次，按照不同的層次將策略分配到多域網(wǎng)絡架構(gòu)的每一層上去，或者對于同一層次架構(gòu)的域服務器或者網(wǎng)絡安全管理設備，按照安全管理策略的具體分配內(nèi)容相互配合，共同執(zhí)行安全管理策略，以實現(xiàn)多域網(wǎng)絡自下而上的一致性的安全管理策略.對于安全管理策略的層次設計，主要可以設計如下層次進行安全管理策略的實施與執(zhí)行:

(1)高層抽象策略

高層抽象策略主要是面向網(wǎng)絡管理終端，在終端設備上借助于專業(yè)安全管理系統(tǒng)，實現(xiàn)對多域網(wǎng)絡的安全管理的策略制定和配置，主要包括域的劃分，域安全等級的配置，以及不同域下網(wǎng)絡安全的實現(xiàn)策略等，從系統(tǒng)的高度設計了整個多域網(wǎng)絡的安全環(huán)境.

(2)描述層策略

描述層策略通常是由網(wǎng)絡安全管理人員制定的，這些策略往往與特定的網(wǎng)絡服務有關(guān)，或者是對底層策略的抽象.描述層策略主要是在域服務器上，通過對底層的網(wǎng)絡安全管理設備的安全應用規(guī)則的描述來產(chǎn)生相應的安全策略，并確保在該域范圍內(nèi)的所有網(wǎng)絡安全設備均執(zhí)行此安全策略.

(3)底層策略

底層策略也稱作配置文件，就是按照多域網(wǎng)絡安全管理策略生成的應用在底層網(wǎng)絡安全管理設備上的配置策略，如IP過濾規(guī)則，關(guān)鍵字過濾包，VPN設置等等，這些具體的策略應用到安全管理設備上，能夠在多域網(wǎng)絡中起到實質(zhì)性的安全防御作用，因此，對于多域網(wǎng)絡的安全管理來說，底層策略的具體化的實施和執(zhí)行，在很大程度上將直接影響到整個多域網(wǎng)絡的安全管理效率.

2.2.2 安全管理策略的交互設計

(1)域內(nèi)策略交互

域內(nèi)的安全策略，主要是指在同一個域服務器配置下的域網(wǎng)絡安全策略的響應及行為操作，主要包括安全策略的存儲、執(zhí)行、反饋及卸載.域內(nèi)的網(wǎng)絡安全策略主要影響著該域網(wǎng)絡內(nèi)部的安全性，因此在設計、制定域內(nèi)安全策略的一致性時，需要對域內(nèi)安全策略的域效范圍負責，確保該網(wǎng)絡安全策略能夠在全域網(wǎng)絡范圍內(nèi)得到有效實施即可，這樣就能夠保證該域范圍內(nèi)的安全策略的一致性.

(2)域間策略交互

當網(wǎng)絡規(guī)模超過一定限度時，就牽涉到多域網(wǎng)絡的安全策略管理，此時設計網(wǎng)絡安全策略就必須要考慮到域間策略的交互性以及域間策略的一致性.在目前來看，要保證域間安全策略的一致性，可以通過設置優(yōu)先級及分配權(quán)重的方法實施，將安全策略等級較高的策略設置較高優(yōu)先級或者分配較大的權(quán)重值，從而保證該安全策略在域間執(zhí)行的過程中能夠始終被進行一致性檢測，當下一級域管理策略和該安全策略發(fā)生沖突時，優(yōu)先級較低或者分配權(quán)重值較小的安全策略應當服從于優(yōu)先級較高或者分配權(quán)重值較大的安全策略，從而有利于保障域間安全策略的一致性.

3 結(jié)語

本文主要結(jié)合網(wǎng)絡安全的特點，從網(wǎng)絡安全設備入手，詳細探討了多域網(wǎng)絡下網(wǎng)絡安全設備的管理，以及對網(wǎng)絡安全策略的一致性管理和應用探討.要保障多域網(wǎng)絡安全下的網(wǎng)絡安全管理設備策略的一致性，就必須要對各網(wǎng)絡安全管理設備進行合理的全局規(guī)劃，并確保建立統(tǒng)一的中央決策系統(tǒng)，這是本論文得到的主要結(jié)論.當然，要從根本上實現(xiàn)多域網(wǎng)絡安全管理系統(tǒng)策略的一致性，僅僅依賴于本論文所提出的方法是遠遠不夠的，必須還要從物理層、網(wǎng)絡層及應用層入手，真正建立策略一致性應用的管理平臺，才能夠從根本上保障多域網(wǎng)絡安全管理的有效性及可靠性，實現(xiàn)多域網(wǎng)絡下的數(shù)據(jù)信息的最大安全.

［1］李小平，吳 瓊，董慶寬.IPv6網(wǎng)絡中多級多域安全策略系統(tǒng)研究［J］.西安電子科技大學學報:自然科學版，2008(2):300-304.

［2］王 俊，張紅旗，張 斌.新的基于角色的跨信任域授權(quán)管理模型［J］.計算機工程與應用，2010(8):106-109.

［3］洪 帆，崔永泉.多域安全互操作的可管理使用控制模型研究［J］.計算機科學，2006(3):283-286.

［4］于 貴.網(wǎng)絡系統(tǒng)可靠性研究現(xiàn)狀與展望［J］.四川文理學院學報，2011(2):61-63.

［5］石 峰.虛擬局域網(wǎng)技術(shù)在機房局域網(wǎng)中的應用［J］.太原大學學報，2011(1):136-140.