0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展其應(yīng)用日益廣泛，計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅越來(lái)越多，網(wǎng)絡(luò)安全管理需求隨之增強(qiáng)。從目前看，計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的安全威脅主要來(lái)自兩方面。一個(gè)是網(wǎng)絡(luò)攻擊行為日益復(fù)雜，利用系統(tǒng)漏洞、病毒、用戶疏漏等進(jìn)行網(wǎng)絡(luò)攻擊已經(jīng)屢見不鮮，各種手段相互融合，新型攻擊手段不斷涌現(xiàn)；另一個(gè)是網(wǎng)絡(luò)攻擊目標(biāo)日益廣泛，網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)端點(diǎn)等所有可能影響系統(tǒng)應(yīng)用的都能成為網(wǎng)絡(luò)攻擊的目標(biāo)。對(duì)此，急需構(gòu)建一套安全、先進(jìn)、有效的計(jì)算機(jī)網(wǎng)絡(luò)防御體系，進(jìn)一步提高網(wǎng)絡(luò)安全管理水平，以確保計(jì)算機(jī)系統(tǒng)安全。為此，有必要進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)研究，以促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)防御效果的提高。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀分析

計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題是伴隨著信息技術(shù)發(fā)展而出現(xiàn)的，在計(jì)算機(jī)廣泛應(yīng)用的當(dāng)下，網(wǎng)絡(luò)安全管理在人類社會(huì)進(jìn)步與發(fā)展中的作用日益重要。信息技術(shù)革命給人們工作與生活帶來(lái)方便的同時(shí)也使得人們處于一個(gè)更易受到攻擊的境地，最為突出的就是個(gè)人隱私的保密性問(wèn)題，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和措施已經(jīng)難以保證信息安全與計(jì)算機(jī)系統(tǒng)安全。由于計(jì)算機(jī)網(wǎng)絡(luò)所具有的開放性、共享性、互連性，網(wǎng)絡(luò)上的信息安全先天就存在不足，加之缺乏嚴(yán)格的系統(tǒng)管理，防火墻的脆弱性，造成計(jì)算機(jī)網(wǎng)絡(luò)易受攻擊。

現(xiàn)階段，計(jì)算機(jī)網(wǎng)絡(luò)攻擊手段越來(lái)越復(fù)雜，各種方法相互融合，加大了方案安全防御難度。而且，隨著手機(jī)、掌上電腦的廣泛應(yīng)用，這些無(wú)線終端網(wǎng)絡(luò)也成為了網(wǎng)絡(luò)攻擊對(duì)象。從攻擊目標(biāo)看，已經(jīng)不再是單純的追求“榮耀感”，有著更多的實(shí)際利益，所以攻擊行為的組織性更強(qiáng)，惡意網(wǎng)站、間諜程度、網(wǎng)絡(luò)木馬等日益泛濫。面對(duì)如此嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，應(yīng)加強(qiáng)網(wǎng)絡(luò)安全防御，研究安全防御策略求精方法，提高計(jì)算機(jī)網(wǎng)絡(luò)安全管理水平。

2 計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精

2.1 計(jì)算機(jī)網(wǎng)絡(luò)防御策略

計(jì)算機(jī)網(wǎng)絡(luò)防御策略是分層次的，多方面的，涉及的防御手段廣泛。從層次上看，計(jì)算機(jī)網(wǎng)絡(luò)安全防御策略有高層策略、低層策略、操作層策略；從網(wǎng)絡(luò)防御上看，計(jì)算機(jī)網(wǎng)絡(luò)安全防御策略有防護(hù)策略、檢測(cè)策略、響應(yīng)策略、恢復(fù)策略；從防御手段上看，計(jì)算機(jī)網(wǎng)絡(luò)安全防御策略的技術(shù)方法有控制訪問(wèn)、殺毒軟件、入侵檢測(cè)、防火墻、數(shù)字簽名、文件加密、漏洞檢測(cè)、網(wǎng)絡(luò)監(jiān)控等。為了保護(hù)網(wǎng)絡(luò)信息的機(jī)密性、可用性、完整性，需要構(gòu)建多層次、多元化的計(jì)算機(jī)網(wǎng)絡(luò)安全防御策略體系，形成一個(gè)完善的網(wǎng)絡(luò)安全防御體系，以確保計(jì)算機(jī)網(wǎng)絡(luò)信息與系統(tǒng)運(yùn)行安全。

2.2 計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精

基于防御策略的網(wǎng)絡(luò)安全防護(hù)是當(dāng)前計(jì)算機(jī)安全管理的有效手段，也是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的主要發(fā)展方向。事實(shí)上，計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精就是把網(wǎng)絡(luò)拓?fù)湫畔⒑颓缶?guī)則有機(jī)結(jié)合起來(lái)，并能夠?qū)⒏邔臃烙呗赃M(jìn)行轉(zhuǎn)換操作層防御策略的過(guò)程。這過(guò)程中要遵守相應(yīng)的求精規(guī)則，采用適宜的求精方法，使網(wǎng)絡(luò)信息精益化發(fā)展，使高層防御策略更具操作性，以進(jìn)一步提高計(jì)算機(jī)網(wǎng)絡(luò)防御效果。在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)上，高層防御策略能根據(jù)安全需求的變化而不斷的調(diào)整，使操作層的網(wǎng)絡(luò)防御有更好的效果，確保計(jì)算機(jī)系統(tǒng)運(yùn)行安全，從這一點(diǎn)看，高層防御是計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)的重點(diǎn)，可以把高層防御策略求精放在重點(diǎn)位置上。

3 計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)

3.1 計(jì)算機(jī)網(wǎng)絡(luò)防策略模型

利用三維模型方式表示計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型，如圖1所示。從數(shù)學(xué)模型角度看，這一模型由x、z、y三個(gè)軸組成，x軸表示計(jì)算機(jī)的安全特性，y軸表示計(jì)算機(jī)的應(yīng)用層，具體有表示層、回話層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、物理層，z表示計(jì)算機(jī)的物理環(huán)境，主要涉及安全管理、通信網(wǎng)絡(luò)、信息處理。從圖1中可以看出來(lái)，系統(tǒng)思想、方式技術(shù)、網(wǎng)絡(luò)知識(shí)是計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型構(gòu)建時(shí)的重要支撐，思想與技術(shù)的結(jié)合，知識(shí)體系與防御策略的統(tǒng)一，既有利于完善計(jì)算機(jī)安全機(jī)制，提高計(jì)算機(jī)網(wǎng)絡(luò)防御效果，又能提升計(jì)算機(jī)系統(tǒng)運(yùn)行、數(shù)據(jù)庫(kù)的性能，促進(jìn)計(jì)算機(jī)系統(tǒng)在工程領(lǐng)域中的應(yīng)用，對(duì)計(jì)算機(jī)發(fā)展及應(yīng)用的意義重大。

圖1 計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型

計(jì)算機(jī)網(wǎng)絡(luò)防御策略是計(jì)算機(jī)網(wǎng)絡(luò)安全管理的最重要手段，計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型自然是計(jì)算機(jī)安全體系的核心，它的建立能充分提高網(wǎng)絡(luò)安全防御效果。所以，在計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精時(shí)要重視防御模型的建立，并在建立時(shí)進(jìn)行全面的考慮，使計(jì)算機(jī)網(wǎng)絡(luò)防御策略得到進(jìn)一步完善，以發(fā)揮防御模型在網(wǎng)絡(luò)防御策略求精中技術(shù)中的作用。

3.2 計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精方法

進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精，求精方法的選用尤為重要。目前，我國(guó)在計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精上主要有四種典型的求精方法。一是基于目標(biāo)分解的策略求精方法，利用形式化的技術(shù)分解時(shí)態(tài)邏輯表達(dá)的目標(biāo)，然后利用事件演算表達(dá)子目標(biāo)的系統(tǒng)行為序列，最后用溯因推理來(lái)獲取完成高層目標(biāo)的行為序列，完成防御策略的求精。這一過(guò)程是較為復(fù)雜的，通常需要人工參與；二是基于模型的策略求精方法，把策略分為事務(wù)策略、服務(wù)策略、行為策略、操作策略，然后給出圖形化轉(zhuǎn)換規(guī)則，利用圖形化構(gòu)建策略求精模型，自動(dòng)獲取執(zhí)行層策略規(guī)則；三是基于實(shí)體的求精方法，先建立高低層的安全策略實(shí)體，然后定義推理規(guī)則，通過(guò)實(shí)體的推理機(jī)獲取低層的策略；四是基于規(guī)則的求精方法，先用形式化的語(yǔ)言表達(dá)高層策，然后定義求精規(guī)則，把高層策略自動(dòng)轉(zhuǎn)化為低層策略，從而完成防御策略的求精。

以上幾種策略求精方法，多是訪問(wèn)控制、安全策略方面的求精，高層策略的抽象層次不高，且不是針對(duì)網(wǎng)絡(luò)防御中保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)策略的求精方法?；谶@樣一種情況，下面基于CNDPR模型提出了針對(duì)網(wǎng)絡(luò)防御中保護(hù)（訪問(wèn)控制，保密通信，用戶身份驗(yàn)證，備份）、檢測(cè)（入侵檢測(cè)，漏洞檢測(cè)）、響應(yīng)（重啟）、恢復(fù)策略（重建，補(bǔ)丁安裝）的求精方法。

求精過(guò)程中，先用CNDPR模型對(duì)計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精改變進(jìn)行具象化處理，然后生成操作層的防御策略，根據(jù)防御設(shè)備和節(jié)點(diǎn)信息把操作層防御策略的參數(shù)轉(zhuǎn)化成為計(jì)算機(jī)設(shè)備能夠執(zhí)行的策略規(guī)則，進(jìn)而達(dá)到網(wǎng)絡(luò)防御效果。采用這一策略求精方法，可得到訪問(wèn)控制、用戶身份驗(yàn)證、備份、保密通信、入侵檢測(cè)、漏洞檢測(cè)、關(guān)機(jī)、重啟、補(bǔ)丁安裝等操作層防御策略，不再局限于訪問(wèn)控制策略求精。

3.3 計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)的完善

從計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀中可以看出，系統(tǒng)漏洞、病毒是威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的兩個(gè)主要因素，為加強(qiáng)系統(tǒng)漏洞、病毒上的防御，應(yīng)進(jìn)一步完善入侵檢測(cè)技術(shù)和補(bǔ)丁安全技術(shù)。

首先，強(qiáng)化防火墻等安全服務(wù)器的設(shè)置，避免不明站點(diǎn)的訪問(wèn)，降低計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅；其次，完善反病毒技術(shù)，防止病毒入侵；然后，設(shè)置訪問(wèn)權(quán)限，能降低入侵問(wèn)題；最后，部署好補(bǔ)丁安裝策略，及時(shí)修補(bǔ)系統(tǒng)漏洞，不為網(wǎng)絡(luò)攻擊留下入侵的“窗口”。

4 結(jié)束語(yǔ)

綜上所述，計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精能顯著的提高計(jì)算機(jī)網(wǎng)絡(luò)防御效果，提升計(jì)算機(jī)網(wǎng)絡(luò)安全管理技術(shù)水平，進(jìn)一步保障了計(jì)算機(jī)運(yùn)行安全。為此，在今后發(fā)展中，應(yīng)加大對(duì)計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)的研究，拓展策略求精技術(shù)手段，不僅有訪問(wèn)控制上的策略求精方法，還要發(fā)展能夠支持網(wǎng)絡(luò)防御中保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)策略的求精方法，用更為先進(jìn)、有效的防御手段提高計(jì)算機(jī)網(wǎng)絡(luò)防御效果，保證計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行安全，避免計(jì)算機(jī)信息泄露。