張志國(guó)

（安陽(yáng)鑫龍煤業(yè)〈集團(tuán)〉有限責(zé)任公司，河南 安陽(yáng) 455000）

0 前言

在目前這個(gè)信息發(fā)展快速的時(shí)代，網(wǎng)絡(luò)結(jié)構(gòu)早已實(shí)現(xiàn)了全球化，網(wǎng)絡(luò)的運(yùn)用也越來(lái)越普遍。但隨著網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)訪問(wèn)持續(xù)增加，不穩(wěn)定的因素也在不斷增加，要想讓網(wǎng)絡(luò)動(dòng)態(tài)安全得到有效保證，必須通過(guò)相應(yīng)的動(dòng)態(tài)監(jiān)測(cè)技術(shù)來(lái)對(duì)其展開(kāi)有效的監(jiān)督，且應(yīng)該對(duì)網(wǎng)絡(luò)安全動(dòng)態(tài)防護(hù)體系進(jìn)行完善，讓該系統(tǒng)的真正作用得以發(fā)揮，從而在較為復(fù)雜的網(wǎng)絡(luò)環(huán)境中施展主動(dòng)防御功能。

1 分析網(wǎng)路安全動(dòng)態(tài)防護(hù)體系的機(jī)理

網(wǎng)絡(luò)安全指的是其數(shù)據(jù)、軟件、硬件受到一定保護(hù)，不會(huì)因?yàn)閻阂饣蚺既坏囊蛩囟馐苄孤丁⒏?、破壞。從這幾點(diǎn)可以看出計(jì)算機(jī)網(wǎng)絡(luò)安全有相應(yīng)的動(dòng)態(tài)性，其動(dòng)態(tài)性主要體現(xiàn)在網(wǎng)絡(luò)中信息安全體系動(dòng)態(tài)化的需求、動(dòng)態(tài)網(wǎng)絡(luò)所需的相關(guān)安全措施、安全漏洞中的動(dòng)態(tài)性。

要想讓網(wǎng)絡(luò)交換的動(dòng)態(tài)安全得到有效防護(hù)，應(yīng)該在確保設(shè)備自身安全的同時(shí)，對(duì)設(shè)備所接收的信息數(shù)據(jù)進(jìn)行分析、檢測(cè)，以其分析的結(jié)果來(lái)對(duì)響應(yīng)策略進(jìn)行匹配，且應(yīng)將策略及時(shí)運(yùn)用在控制網(wǎng)絡(luò)設(shè)備的硬件中，從而達(dá)到保護(hù)網(wǎng)絡(luò)安全及阻斷攻擊的目的，讓網(wǎng)絡(luò)設(shè)備安全有效的運(yùn)行[1]。

2 網(wǎng)絡(luò)安全動(dòng)態(tài)防護(hù)體系的設(shè)計(jì)和實(shí)現(xiàn)

2.1 網(wǎng)絡(luò)安全中主動(dòng)防護(hù)模型的設(shè)計(jì)

網(wǎng)絡(luò)安全中主動(dòng)防護(hù)一般是將傳統(tǒng)的、靜態(tài)網(wǎng)絡(luò)安全防護(hù)方式和積極、主動(dòng)的安全防護(hù)方式結(jié)合在一起，進(jìn)而構(gòu)建出較為安全的網(wǎng)絡(luò)防護(hù)系統(tǒng)模型。該模型屬于可擴(kuò)展模型，是由技術(shù)、策略、管理三個(gè)相應(yīng)的層次所組成。其中，策略是網(wǎng)絡(luò)安全的整個(gè)防護(hù)基礎(chǔ)，主要是通過(guò)安全對(duì)策對(duì)安全技術(shù)進(jìn)行融合并讓網(wǎng)絡(luò)安全達(dá)到最大化。管理層是網(wǎng)絡(luò)安全模型的關(guān)鍵核心，是通過(guò)有效合理的措施、規(guī)章制度、組織體系將具有安全防護(hù)作用的硬件、軟件設(shè)施及信息使用的群體整合起來(lái)，從而讓整個(gè)系統(tǒng)中的信息安全得到保證。技術(shù)層包括保護(hù)、監(jiān)測(cè)、響應(yīng)、預(yù)警、檢測(cè)；保護(hù)是通過(guò)對(duì)數(shù)據(jù)流進(jìn)行分析后，提前進(jìn)行防護(hù)的一種方法。監(jiān)測(cè)是利用相應(yīng)的方法和手段來(lái)找出網(wǎng)絡(luò)或系統(tǒng)中存在的問(wèn)題，進(jìn)而對(duì)其進(jìn)行防范。響應(yīng)是對(duì)網(wǎng)絡(luò)交換的設(shè)備安全有危害的行為及事件做出一定的反應(yīng)，且參照檢測(cè)的結(jié)果采取各種有效的響應(yīng)措施。預(yù)警是對(duì)網(wǎng)絡(luò)中可能發(fā)生的攻擊給予預(yù)先警告，通過(guò)從開(kāi)放信息的收集、分析中所獲取的信息數(shù)據(jù)判斷網(wǎng)絡(luò)中是否有潛在隱患。檢測(cè)是對(duì)網(wǎng)絡(luò)系統(tǒng)當(dāng)前的運(yùn)行狀態(tài)、網(wǎng)絡(luò)資源展開(kāi)檢測(cè)，并及時(shí)發(fā)現(xiàn)入侵到系統(tǒng)中的威脅。

上述所說(shuō)的這幾個(gè)方面是相互依托、相輔相成的，其對(duì)集被動(dòng)、主動(dòng)為一體的安全體系進(jìn)行共同的構(gòu)建。在對(duì)網(wǎng)絡(luò)安全動(dòng)態(tài)防護(hù)體系進(jìn)行設(shè)計(jì)和實(shí)現(xiàn)的過(guò)程中，可以通過(guò)對(duì)各種攻擊方法的攻擊特點(diǎn)進(jìn)行分析來(lái)提出有效的防護(hù)措施，重點(diǎn)完善、修改網(wǎng)絡(luò)中交換設(shè)備的系統(tǒng)軟件，通過(guò)多種安全的構(gòu)件作為基礎(chǔ)來(lái)對(duì)集中式的安全體系進(jìn)行管理，且將安全管理的平臺(tái)當(dāng)做安全構(gòu)件的核心，從而組成網(wǎng)絡(luò)安全動(dòng)態(tài)防護(hù)系統(tǒng)。

網(wǎng)絡(luò)安全中的預(yù)警模塊主要是以網(wǎng)絡(luò)探測(cè)技術(shù)和主動(dòng)掃描來(lái)獲取網(wǎng)絡(luò)信息，創(chuàng)建信息數(shù)據(jù)優(yōu)勢(shì)。該模塊是依據(jù)數(shù)據(jù)流的行為分析結(jié)果，利用網(wǎng)絡(luò)交換的相關(guān)探測(cè)技術(shù)和設(shè)備掃描對(duì)存在安全風(fēng)險(xiǎn)的系統(tǒng)進(jìn)行監(jiān)控，對(duì)這些設(shè)備當(dāng)前的運(yùn)行狀態(tài)進(jìn)行掌握，依據(jù)其監(jiān)控變化對(duì)網(wǎng)絡(luò)安全動(dòng)態(tài)防護(hù)系統(tǒng)及時(shí)進(jìn)行更新，進(jìn)而讓網(wǎng)絡(luò)安全的動(dòng)態(tài)防護(hù)體系得到有效提升，并增強(qiáng)該系統(tǒng)的防護(hù)效率。

安全管理的平臺(tái)是由用戶(hù)操作的管理、日志報(bào)警及安全計(jì)策表共同組成，且安全計(jì)策表是處理網(wǎng)絡(luò)信息數(shù)據(jù)的主要依據(jù)。日志報(bào)警管理是通過(guò)對(duì)數(shù)據(jù)流的行為安全、網(wǎng)絡(luò)安全的預(yù)警模塊進(jìn)行查詢(xún)、分析而產(chǎn)生的日志，通過(guò)動(dòng)態(tài)來(lái)對(duì)其內(nèi)容進(jìn)行監(jiān)視，參照預(yù)設(shè)的報(bào)警方法和報(bào)警級(jí)別而產(chǎn)生報(bào)警信息，并告知系統(tǒng)維護(hù)工作者對(duì)其進(jìn)行處理。用戶(hù)操作管理是對(duì)用戶(hù)輸入的命令進(jìn)行實(shí)時(shí)接收、完成命令，對(duì)網(wǎng)絡(luò)安全動(dòng)態(tài)防護(hù)體系的配置、查詢(xún)進(jìn)行管理。

2.2 網(wǎng)絡(luò)安全動(dòng)態(tài)防護(hù)體系聯(lián)動(dòng)響應(yīng)的設(shè)計(jì)

2.2.1 對(duì)數(shù)據(jù)流進(jìn)行分類(lèi)

當(dāng)數(shù)據(jù)流進(jìn)入到網(wǎng)絡(luò)中時(shí)，應(yīng)參照訪問(wèn)控制的規(guī)則來(lái)過(guò)濾數(shù)據(jù)流，在上交通過(guò)過(guò)濾標(biāo)準(zhǔn)報(bào)文的同時(shí)應(yīng)該對(duì)數(shù)據(jù)流模塊進(jìn)行分類(lèi)處理，此模塊首先是經(jīng)過(guò)目的IP、源IP、協(xié)議類(lèi)型、目的端口、源端口來(lái)對(duì)數(shù)據(jù)流分類(lèi)，再依據(jù)流識(shí)別的數(shù)據(jù)庫(kù)預(yù)設(shè)準(zhǔn)則對(duì)數(shù)據(jù)流分類(lèi)結(jié)果展開(kāi)確定。在處理數(shù)據(jù)流分類(lèi)的過(guò)程中，要想使處理效率得到提升必須把五維分類(lèi)問(wèn)題降低為二維問(wèn)題，通過(guò)二維IP的分類(lèi)技術(shù)方式來(lái)進(jìn)行初步的分類(lèi)[2]。因?yàn)閰f(xié)議的類(lèi)型只是限定在幾個(gè)值中，因此對(duì)分類(lèi)準(zhǔn)則中的協(xié)議類(lèi)型的字段進(jìn)行壓縮，從八位壓縮到三位，這就可以節(jié)省較多的數(shù)據(jù)空間。且因?yàn)闇?zhǔn)則中具體所用的端口號(hào)是0-65535的極少部分，在端口值與協(xié)議值不一樣的情形下，組合數(shù)目通常都沒(méi)有最大的理論值大。

2.2.2 進(jìn)行深度的特征匹配

對(duì)數(shù)據(jù)流進(jìn)行了分類(lèi)之后，應(yīng)對(duì)其深度特征進(jìn)行匹配，并將匹配的結(jié)果送到分析行為安全的模塊中進(jìn)行判斷和分析，依據(jù)實(shí)際分析結(jié)果來(lái)實(shí)施策略響應(yīng)。通過(guò)數(shù)據(jù)庫(kù)中所預(yù)設(shè)的相關(guān)檢測(cè)準(zhǔn)則來(lái)檢測(cè)、匹配運(yùn)用報(bào)文里的字段，從而對(duì)該數(shù)據(jù)流屬性進(jìn)行確定。為了讓被檢測(cè)器入侵的信息資源的完整性得到保證，每一個(gè)檢測(cè)器只能負(fù)責(zé)其中某一類(lèi)實(shí)際運(yùn)用網(wǎng)絡(luò)的流量檢測(cè)，而且檢測(cè)器間應(yīng)通過(guò)負(fù)載均衡法來(lái)進(jìn)行計(jì)算，該計(jì)算方法是參照檢測(cè)器當(dāng)前的負(fù)載狀況及可用性情況來(lái)對(duì)各個(gè)檢測(cè)器的負(fù)載進(jìn)行動(dòng)態(tài)調(diào)節(jié)，其具體的原則是：同類(lèi)型的應(yīng)用報(bào)文必須分配到相同類(lèi)型的檢測(cè)器中進(jìn)行檢測(cè)，且同類(lèi)型的應(yīng)用報(bào)文應(yīng)在負(fù)載最小的原則下優(yōu)先進(jìn)行分配。

2.2.3 策略的聯(lián)動(dòng)響應(yīng)

對(duì)網(wǎng)絡(luò)安全進(jìn)行檢測(cè)后，如果檢測(cè)到存在網(wǎng)絡(luò)攻擊，應(yīng)該對(duì)數(shù)據(jù)流中行為安全的分析模塊采取一定的響應(yīng)體制，危險(xiǎn)性為一般的攻擊只用記錄和報(bào)告，但對(duì)于危險(xiǎn)性較高的攻擊必須及時(shí)采取有效的響應(yīng)策略。主動(dòng)響應(yīng)策略可以讓系統(tǒng)防護(hù)功能得到不斷增強(qiáng)，為了防止誤聯(lián)動(dòng)情況出現(xiàn)，關(guān)鍵只能對(duì)一部分較為敏感的業(yè)務(wù)流提供較高等級(jí)的保護(hù)。安全策略和主動(dòng)響應(yīng)策略直接聯(lián)動(dòng)可以防止信息流穿過(guò)網(wǎng)絡(luò)的邊界，將所有惡意的連接操作隔斷，從而確保網(wǎng)絡(luò)安全。

3 對(duì)網(wǎng)絡(luò)安全動(dòng)態(tài)防護(hù)體系的應(yīng)用進(jìn)行驗(yàn)證

網(wǎng)絡(luò)安全交換設(shè)備中硬件邏輯主要由管理控制模塊、安全監(jiān)測(cè)模塊、數(shù)據(jù)處理模塊共同組成。其中，安全監(jiān)測(cè)模塊的功能是分類(lèi)識(shí)別數(shù)據(jù)流并對(duì)其行為展開(kāi)分析和匹配，按照策略應(yīng)用的具體規(guī)則把匹配結(jié)果全部設(shè)回?cái)?shù)據(jù)處理的模塊中，將相關(guān)的狀態(tài)信息上報(bào)到管理控制模塊，進(jìn)而讓動(dòng)態(tài)聯(lián)動(dòng)策略的響應(yīng)過(guò)程得以完成。管理控制模塊主要是對(duì)系統(tǒng)中每個(gè)組成部分信息狀態(tài)進(jìn)行實(shí)時(shí)的查詢(xún)，讓其策略配置、管理、協(xié)議處理、規(guī)則等功能得到實(shí)現(xiàn)[3]。數(shù)據(jù)處理模塊是對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)、控制及處理，并把進(jìn)入到網(wǎng)絡(luò)交換設(shè)備中的數(shù)據(jù)流傳送到安全檢測(cè)模塊中。此外，管理控制模塊是以CPCI總線來(lái)和數(shù)據(jù)處理模塊實(shí)行調(diào)換，最終對(duì)數(shù)據(jù)處理模塊進(jìn)行管理控制，且對(duì)上報(bào)的協(xié)議報(bào)文展開(kāi)有效處理。安全監(jiān)測(cè)模塊是通過(guò)對(duì)數(shù)據(jù)處理和網(wǎng)絡(luò)模塊進(jìn)行連接后，分析、處理數(shù)據(jù)處理模塊中的鏡像網(wǎng)絡(luò)報(bào)文。

此應(yīng)用驗(yàn)證在設(shè)計(jì)中的特點(diǎn)主要是：（1）此系統(tǒng)的硬件核心是可以自主控制的網(wǎng)絡(luò)交換芯片，且可以針對(duì)網(wǎng)絡(luò)攻擊的特征來(lái)完善、修改網(wǎng)絡(luò)中交換設(shè)備的系統(tǒng)軟件，讓網(wǎng)絡(luò)交換設(shè)備的自身安全得到有效保證。（2）網(wǎng)絡(luò)中交換設(shè)備的系統(tǒng)軟件和安全監(jiān)測(cè)模塊是相對(duì)獨(dú)立的，其確保網(wǎng)絡(luò)的交換設(shè)備受到攻擊時(shí)，處理任務(wù)和安全監(jiān)測(cè)不會(huì)遭受影響。（3）安全監(jiān)測(cè)模塊能夠依據(jù)網(wǎng)絡(luò)數(shù)據(jù)中行為分析的結(jié)果來(lái)對(duì)網(wǎng)絡(luò)的交換硬件進(jìn)行安全防護(hù)，從而讓動(dòng)態(tài)防護(hù)策略響應(yīng)得以實(shí)現(xiàn)。

4 結(jié)束語(yǔ)

為了處理好網(wǎng)絡(luò)安全的動(dòng)態(tài)問(wèn)題，通過(guò)動(dòng)態(tài)監(jiān)測(cè)策略的聯(lián)動(dòng)響應(yīng)技術(shù)能夠?qū)W(wǎng)絡(luò)環(huán)境較為復(fù)雜的動(dòng)態(tài)安全進(jìn)行主動(dòng)防護(hù)。通過(guò)Snort等比較常用的攻擊軟件來(lái)測(cè)試網(wǎng)絡(luò)交換設(shè)備的安全性，其測(cè)試結(jié)果表明該設(shè)備可以有效的對(duì)網(wǎng)絡(luò)中存在的安全隱患進(jìn)行攻擊，確保網(wǎng)絡(luò)安全不會(huì)受到影響，可以正常運(yùn)行。同時(shí)，還可以產(chǎn)生正確的報(bào)警信息和安全日志，從而對(duì)網(wǎng)絡(luò)安全進(jìn)行真正的保護(hù)。

［1］賴(lài)圣貴.網(wǎng)絡(luò)安全動(dòng)態(tài)防護(hù)體系的構(gòu)建[J].電腦編程技巧與維護(hù),2014,21(34)：77-79.

［2］張蓓,馮梅,靖小偉,劉明新.基于安全域的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系研究[J].計(jì)算機(jī)安全,2010,25(23)：245-247.

［3］楊波.基于安全域的煙草工業(yè)公司網(wǎng)絡(luò)安全防護(hù)體系研究[J].計(jì)算機(jī)與信息技術(shù),2012,23(26)：876-878.