曹 維

(黑龍江省信息中心，哈爾濱 150000)

網(wǎng)絡(luò)信息安全性分析建模研究

曹 維

(黑龍江省信息中心，哈爾濱 150000)

隨著全球經(jīng)濟(jì)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展迅速，網(wǎng)絡(luò)技術(shù)日新月異，人類(lèi)生活模式發(fā)生了很大的變化。網(wǎng)絡(luò)中蘊(yùn)藏著重要的信息內(nèi)容，一旦系統(tǒng)出現(xiàn)漏洞，就會(huì)造成巨大的損失。網(wǎng)絡(luò)信息安全性受到了廣泛關(guān)注，從多角度闡述網(wǎng)絡(luò)的基本安全屬性，對(duì)網(wǎng)絡(luò)安全進(jìn)行分析，采取有效措施對(duì)網(wǎng)絡(luò)安全性進(jìn)行分析建模，確保網(wǎng)絡(luò)的安全性評(píng)估。

網(wǎng)絡(luò)；信息安全；建模

人們的生活和工作離不開(kāi)網(wǎng)絡(luò)信息的應(yīng)用，黑客入侵、蠕蟲(chóng)病毒等網(wǎng)絡(luò)攻擊威脅著網(wǎng)絡(luò)信息安全，我們應(yīng)采取有效措施防范各種攻擊。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀

1.1 網(wǎng)絡(luò)安全定義

“網(wǎng)絡(luò)安全”是指網(wǎng)絡(luò)信息的安全，運(yùn)行系統(tǒng)及所包含的數(shù)據(jù)和信息的安全，確保在網(wǎng)絡(luò)中保護(hù)動(dòng)態(tài)、靜態(tài)的數(shù)據(jù)不受惡意攻擊，使數(shù)據(jù)和信息保持完整，防止出現(xiàn)利用數(shù)據(jù)、篡改數(shù)據(jù)、非法傳播等問(wèn)題。

1.2 網(wǎng)絡(luò)安全分析

目前，網(wǎng)絡(luò)信息被廣泛應(yīng)用，它增強(qiáng)了人與人之間的交流，給人們的工作和生活帶來(lái)了便利，同時(shí)很大程度上提高了人們的生活水平和工作效率。確保互聯(lián)網(wǎng)絡(luò)的安全性是當(dāng)前的主要任務(wù)，國(guó)內(nèi)外針對(duì)網(wǎng)絡(luò)防護(hù)、恢復(fù)、檢測(cè)、響應(yīng)等做了大量的研究和分析，建立了包含網(wǎng)絡(luò)安全與信息技術(shù)分析、度量、評(píng)估為一體的網(wǎng)絡(luò)安全模型，定期對(duì)系統(tǒng)進(jìn)行檢查，第一時(shí)間發(fā)現(xiàn)問(wèn)題，及時(shí)采取有效的措施進(jìn)行補(bǔ)救，以保證網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全涉及很多方面，包括軟件設(shè)計(jì)、使用階段、測(cè)試等都要采取安全措施。研究者進(jìn)行了大量的實(shí)驗(yàn)研究，為有效查找系統(tǒng)攻擊路徑，在網(wǎng)絡(luò)系統(tǒng)評(píng)估中分析建模，努力在實(shí)踐應(yīng)用中發(fā)現(xiàn)漏洞和不足。

1.3 網(wǎng)絡(luò)安全現(xiàn)狀

與傳統(tǒng)生活、工作模式相比，計(jì)算機(jī)網(wǎng)絡(luò)提供了高智能模式，通過(guò)網(wǎng)絡(luò)信息的廣泛應(yīng)用，增加了個(gè)體間的交流頻率，提高了工作效率。網(wǎng)絡(luò)信息的安全性問(wèn)題備受社會(huì)關(guān)注，在計(jì)算機(jī)安全領(lǐng)域，國(guó)內(nèi)外學(xué)者進(jìn)行了較為細(xì)致的研究，建立了PPDRR網(wǎng)絡(luò)安全模型，實(shí)現(xiàn)了對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全性的評(píng)估，可以檢測(cè)信息系統(tǒng)的狀態(tài)。網(wǎng)絡(luò)安全模型是主動(dòng)防御性的模型，能夠主動(dòng)尋找影響系統(tǒng)安全的漏洞，采取處理措施。研究人員通過(guò)大量研究，提出了網(wǎng)絡(luò)安全樹(shù)安全分析方法，全面分析網(wǎng)絡(luò)受到攻擊的變化，但是該方法存在不足，網(wǎng)絡(luò)安全模型有待進(jìn)一步完善。

2 網(wǎng)絡(luò)安全的屬性及影響網(wǎng)絡(luò)安全的因素

2.1 網(wǎng)絡(luò)安全的屬性

計(jì)算機(jī)網(wǎng)絡(luò)與社會(huì)組織系統(tǒng)一樣，具備其自身的安全屬性，它包括五個(gè)方面，分別是網(wǎng)絡(luò)系統(tǒng)設(shè)備、網(wǎng)絡(luò)安全需要、計(jì)算機(jī)弱點(diǎn)、主體連接關(guān)系建模、嚴(yán)格網(wǎng)絡(luò)權(quán)限設(shè)置。

第一，網(wǎng)絡(luò)系統(tǒng)設(shè)備。將網(wǎng)絡(luò)看成是一個(gè)集合體，由不同功能主機(jī)相連接組合，按照主機(jī)功能可以分為服務(wù)器、防火墻、路由器。在應(yīng)用運(yùn)行過(guò)程中，將賦予主機(jī)不同的標(biāo)識(shí)來(lái)表明各自身份，標(biāo)識(shí)可以是計(jì)算機(jī)的IP地址或MAC地址等。主機(jī)屬性包括：主機(jī)操作系統(tǒng)版本、主機(jī)開(kāi)放服務(wù)于對(duì)應(yīng)窗口信息、主機(jī)弱點(diǎn)信息等。第二，網(wǎng)絡(luò)安全需求。一般情況下，應(yīng)用威脅、系統(tǒng)威脅、通信威脅是影響系統(tǒng)安全需求的主要因素。其中在網(wǎng)絡(luò)系統(tǒng)運(yùn)行的應(yīng)用服務(wù)軟件系統(tǒng)受到的威脅叫作應(yīng)用威脅。如果系統(tǒng)出現(xiàn)漏洞，來(lái)自網(wǎng)絡(luò)操作系統(tǒng)軟件的問(wèn)題叫作系統(tǒng)威脅。如果是被監(jiān)聽(tīng)，在數(shù)據(jù)交流過(guò)程中網(wǎng)絡(luò)設(shè)備出現(xiàn)的問(wèn)題叫作通信威脅。第三，計(jì)算機(jī)弱點(diǎn)。在軟件系統(tǒng)設(shè)計(jì)、組件、配置、編碼、應(yīng)用過(guò)程中出現(xiàn)錯(cuò)誤，會(huì)導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備出現(xiàn)系統(tǒng)缺陷，利用計(jì)算機(jī)弱點(diǎn)惡意攻擊，甚至濫用系統(tǒng)資源，從而導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題。第四，主體連接關(guān)系建模。TCP/IP協(xié)議族涵蓋了大量的協(xié)議內(nèi)容，網(wǎng)絡(luò)設(shè)備在協(xié)議約束下，選擇不同層次來(lái)連接，在這樣的情況下，網(wǎng)絡(luò)連接很容易發(fā)生錯(cuò)誤。因此，建立模型測(cè)試以采取有效措施保護(hù)非常重要。第五，嚴(yán)格網(wǎng)絡(luò)權(quán)限設(shè)置。在應(yīng)用中有訪問(wèn)權(quán)限的問(wèn)題存在，按照訪問(wèn)者的權(quán)限，對(duì)其進(jìn)行分類(lèi)。比如Guest、匿名登錄、具備普通用戶(hù)部分權(quán)限；Access，網(wǎng)絡(luò)服務(wù)遠(yuǎn)程訪問(wèn)者可與網(wǎng)絡(luò)服務(wù)交換數(shù)據(jù)；Supuser，具備特殊權(quán)限，不具備系統(tǒng)管理所有權(quán)限；Root為系統(tǒng)管理員，可對(duì)一切網(wǎng)絡(luò)資源進(jìn)行管理，是最高的權(quán)限。

2.2 影響網(wǎng)絡(luò)安全的因素

第一，網(wǎng)絡(luò)本身存在漏洞，這是影響網(wǎng)絡(luò)安全的重要因素，可能導(dǎo)致用戶(hù)的信息無(wú)法交流與傳輸。計(jì)算機(jī)的構(gòu)成部分即計(jì)算機(jī)硬件與軟件系統(tǒng)設(shè)計(jì)、網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)與安全設(shè)計(jì)中存在漏洞，用戶(hù)可能會(huì)暴露在沒(méi)有防護(hù)的惡意攻擊中，導(dǎo)致用戶(hù)資源信息外泄，影響網(wǎng)絡(luò)安全。第二，黑客惡意攻擊。當(dāng)前，隨著現(xiàn)代互聯(lián)網(wǎng)技術(shù)的發(fā)展，黑客惡意攻擊逐漸成為影響網(wǎng)絡(luò)安全的主要因素。在對(duì)互聯(lián)網(wǎng)進(jìn)行搜索、掃描，黑客能夠找到網(wǎng)絡(luò)中存在的缺陷，然后進(jìn)行惡意攻擊。其常用的手段有病毒及惡意程序、植入木馬等，對(duì)計(jì)算機(jī)賬號(hào)等數(shù)據(jù)信息進(jìn)行捕獲，利用漏洞來(lái)竊取用戶(hù)信息。第三，網(wǎng)絡(luò)信息容易出現(xiàn)泄露、篡改、非法傳輸?shù)膯?wèn)題。以上各種影響網(wǎng)絡(luò)安全的因素，都將帶來(lái)不可估量的損失。

3 網(wǎng)絡(luò)信息安全性分析模型

第一，網(wǎng)絡(luò)信息安全建模要結(jié)合網(wǎng)絡(luò)安全屬性的各項(xiàng)內(nèi)容。在網(wǎng)絡(luò)系統(tǒng)中，一般網(wǎng)絡(luò)主機(jī)只有一個(gè)地址。設(shè)計(jì)過(guò)程中可以把網(wǎng)絡(luò)設(shè)備看作是一個(gè)集合，主機(jī)在網(wǎng)絡(luò)中可以用hosti、d、svcs、os、vuls表示。在對(duì)網(wǎng)絡(luò)安全需求建模前，要了解、掌握“安全策略”，即某主體對(duì)某一客體是否具有訪問(wèn)權(quán)限這一概念。網(wǎng)絡(luò)安全可以分為多個(gè)不同的安全等級(jí)，等級(jí)分析是安全需求建模的重要內(nèi)容之一。通過(guò)可用性、機(jī)密性、完整性對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行劃分，各個(gè)等級(jí)之間既相互獨(dú)立又相互聯(lián)系。針對(duì)網(wǎng)絡(luò)弱點(diǎn)的建模，可以把已經(jīng)找到的弱點(diǎn)設(shè)為一個(gè)集合。對(duì)弱點(diǎn)數(shù)據(jù)庫(kù)進(jìn)行分析后，可以用多元組來(lái)描述，通過(guò)近似變量進(jìn)行描述。根據(jù)主體鏈接關(guān)系建模是通過(guò)TCP/IP協(xié)議來(lái)實(shí)現(xiàn)的，通過(guò)TCP(UDP)端口號(hào)、服務(wù)類(lèi)型、應(yīng)用程序進(jìn)行表示。根據(jù)訪問(wèn)權(quán)限建模可以分為多個(gè)等級(jí)，包含不同的權(quán)限，對(duì)訪問(wèn)權(quán)限進(jìn)行科學(xué)設(shè)計(jì)并建模。

第二，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)模型。通過(guò)計(jì)算機(jī)與信息傳輸媒介之間建立模型，需要分析與改造網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)連接的關(guān)系，網(wǎng)絡(luò)設(shè)備主要包括主機(jī)、防火墻、檢測(cè)設(shè)備、交換機(jī)、路由器等。使用IP地址對(duì)設(shè)備標(biāo)識(shí)。在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)模型中，通過(guò)設(shè)備與傳輸媒介連接方式加強(qiáng)網(wǎng)絡(luò)安全性。網(wǎng)絡(luò)攻擊模型，系統(tǒng)管理員對(duì)信息及資源進(jìn)行嚴(yán)格管理與控制，加強(qiáng)訪問(wèn)權(quán)限中各個(gè)層次的管理控制，加強(qiáng)防范黑客攻擊的防護(hù)措施，防止主機(jī)受到攻擊，及時(shí)找出系統(tǒng)中存在的漏洞，優(yōu)化計(jì)算機(jī)網(wǎng)絡(luò)，確保網(wǎng)絡(luò)信息的安全。

4 結(jié)語(yǔ)

加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)管理非常有必要，這樣才能提高網(wǎng)絡(luò)安全性，才能保證通信網(wǎng)絡(luò)的良好發(fā)展。我們要不斷加強(qiáng)對(duì)網(wǎng)絡(luò)安全技術(shù)的研究，要明確網(wǎng)絡(luò)系統(tǒng)的安全屬性，在應(yīng)用中結(jié)合相關(guān)屬性從多種角度對(duì)安全性分析建模，積極采取防護(hù)措施改進(jìn)模型，為未來(lái)建立新型安全性模型提供借鑒。完整的、高效的模型不但能保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)，還能減少網(wǎng)絡(luò)安全分析員的工作。我們應(yīng)不斷研究，使模型實(shí)現(xiàn)有效的復(fù)雜度控制，提高計(jì)算機(jī)網(wǎng)絡(luò)安全性，促進(jìn)網(wǎng)絡(luò)通信在各個(gè)領(lǐng)域充分發(fā)揮作用。

[1] 吳昊.計(jì)算機(jī)網(wǎng)絡(luò)安全性分析建模研究探析[J].電腦迷，2014，(11)：90-91.

[2] 洪亞玲.探究計(jì)算機(jī)網(wǎng)絡(luò)安全性分析建模研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2013，(02)：87-88.

[3] 殷曉偉，黃臻.計(jì)算機(jī)網(wǎng)絡(luò)安全性分析建模研究[J].黑龍江科技信息，2014，(31)：40-41.

[4] 魯智勇，馮超，余輝.網(wǎng)絡(luò)安全性定量評(píng)估模型研究[J].計(jì)算機(jī)工程與科學(xué)，2009，31(10)：102-103.

[5] 彭南兵.計(jì)算機(jī)網(wǎng)絡(luò)安全性分析建模研究[J].電子世界，2014，(22)：98-99.

Research on network information security analysis modeling

CAO Wei

(Information Center of Heilongjiang Province, Harbin 150000, China)

With the development of global economy, computer network has developed rapidly, and the human life mode has undergone great changes. The network contains important information content, and it will cause a huge loss once the system has loopholes. Network information security has been widely concerned, and the network security was analyzed from the perspective of the basic security attributes, so as to take effective measures to network security analysis modeling and ensure the safety assessment of the network.

Network; Information security; Modeling

2017-04-15

曹維(1978-)，男，工程師，研究生。

TP393.08

A

1674-8646(2017)12-0072-02