王 軍

(安徽工貿(mào)職業(yè)技術(shù)學(xué)院計(jì)算機(jī)信息工程系，淮南 232001)

隨著計(jì)算機(jī)技術(shù)的快速發(fā)展與應(yīng)用，世界范圍內(nèi)的網(wǎng)絡(luò)普及在給人們帶來極大便利的同時(shí)，少數(shù)不法分子則利用網(wǎng)絡(luò)信息安全方面的漏洞，對網(wǎng)絡(luò)信息進(jìn)行攻擊以達(dá)到自己違法的需求。網(wǎng)絡(luò)信息運(yùn)營商為了加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)的安全性，不斷提升專用信息網(wǎng)絡(luò)的防護(hù)等級要求并制定了不同的防御體系，力爭建立高效穩(wěn)定的安全防護(hù)體系，以滿足人們對網(wǎng)絡(luò)信息使用的需求[1]。雖然我國在網(wǎng)絡(luò)信息安全建設(shè)方面已經(jīng)取得了巨大的進(jìn)展，并逐步形成了自己的網(wǎng)絡(luò)系統(tǒng)防護(hù)體系，但是網(wǎng)絡(luò)信息化的快速發(fā)展和安全防御體系的相對滯后和薄弱一直是處于不平衡狀態(tài)，仍然迫切需要開發(fā)與設(shè)計(jì)出適應(yīng)于當(dāng)今信息網(wǎng)絡(luò)安全的防御體系[2]。在此基礎(chǔ)上，本文從信息安全防御體系設(shè)計(jì)原則的角度出發(fā)，提出了網(wǎng)絡(luò)安全防御體系的總體設(shè)計(jì)方案和信息網(wǎng)絡(luò)安全防御策略體系要點(diǎn)，對關(guān)鍵技術(shù)進(jìn)行了設(shè)計(jì)與說明，以期為提升信息網(wǎng)絡(luò)安全防御體系的設(shè)計(jì)與應(yīng)用提供參考。

1 安全防御體系設(shè)計(jì)

基于目前國內(nèi)政府、高校、醫(yī)院等企事業(yè)單位的信息網(wǎng)絡(luò)安全現(xiàn)狀，需要在安全防御體系設(shè)計(jì)時(shí)遵循安全可靠、集成創(chuàng)新、綜合成本低、先進(jìn)與標(biāo)準(zhǔn)兼容和多重保護(hù)的原則，這樣可以實(shí)現(xiàn)網(wǎng)絡(luò)技術(shù)發(fā)展和防御體系升級的同步，最大限度保證網(wǎng)絡(luò)信息安全[3]。

在新型網(wǎng)絡(luò)安全防御體系設(shè)計(jì)過程中，總體設(shè)計(jì)方案包括物理防護(hù)、網(wǎng)絡(luò)防護(hù)和數(shù)據(jù)防護(hù)三個(gè)主體，見圖1。其中，物理防護(hù)主要包括信息網(wǎng)絡(luò)線路、機(jī)房和相關(guān)附屬設(shè)備設(shè)施等，網(wǎng)絡(luò)防護(hù)則主要從隔離、檢測和認(rèn)證三個(gè)角度出發(fā)切斷網(wǎng)絡(luò)入侵者的渠道，數(shù)據(jù)防護(hù)主要從移動(dòng)數(shù)據(jù)管理、操作系統(tǒng)安全和傳輸加密角度出發(fā)來保證網(wǎng)絡(luò)信息的安全性和完整性。在對網(wǎng)絡(luò)信息進(jìn)行安全防御的過程中，抵御網(wǎng)絡(luò)攻擊和病毒入侵的系統(tǒng)需要遵循動(dòng)態(tài)防御的思想，即從安全策略、防護(hù)、檢測和響應(yīng)四個(gè)環(huán)節(jié)進(jìn)行動(dòng)態(tài)循環(huán)，以更好地保證安全防御的完整性[4]。

在實(shí)際設(shè)計(jì)信息網(wǎng)絡(luò)安全防御體系時(shí)，由于網(wǎng)絡(luò)信息量較大且不同信息的安全防護(hù)級別不同，因此，建議采用“縱深防御思想”進(jìn)行設(shè)計(jì)，具體分布如圖2。其基本策略包括安全管理策略、物理安全策略、訪問控制策略和信息加密策略。在防御過程中將網(wǎng)絡(luò)信息分為不同的層級：危險(xiǎn)層、非安全層、可信任層、基本安全層、安全層和核心層，不同的信息層級需要建立與此相匹配的防護(hù)手段，如處于危險(xiǎn)層的信息則需要建立具有智能化的入侵檢測預(yù)警監(jiān)視系統(tǒng)，非安全層則建立高度加密的傳輸手段，可信任層建立防火墻訪問控制策略，基本安全層則建立VPN、VLAN證書授權(quán)，安全層和核心層則可以采用物理隔斷、冗余備份以及人工信息交換的方法進(jìn)行[5]。

2 關(guān)鍵技術(shù)

2.1 流量監(jiān)測

在實(shí)際信息網(wǎng)絡(luò)安全防御體系正常工作時(shí)，通常遇到流量異?，F(xiàn)象，而這些異?，F(xiàn)象產(chǎn)生的原因多與網(wǎng)絡(luò)蠕蟲病毒或DOS、BT等軟件下載有關(guān)，需要對這些異常流量進(jìn)行檢測分析，以確保網(wǎng)絡(luò)信息安全。常規(guī)的流量檢測技術(shù)包括閾值檢測、GLR檢測和小波技術(shù)檢測，這些檢測技術(shù)雖然能夠在一定程度上對異常流量現(xiàn)象進(jìn)行防御，但都存在一些弊端。如閾值檢測是一種靜態(tài)的流量檢測方法且對閾值要求較高，GLR檢測計(jì)算較為復(fù)雜，小波技術(shù)檢測是一種純數(shù)學(xué)方法而實(shí)用性受到限制等。為了進(jìn)一步提升網(wǎng)絡(luò)信息安全的防御精度和檢測效率，建議采用基于時(shí)間序列異常檢測模型(AR)，該模型利用自回歸模型和擬合隨機(jī)誤差時(shí)間序列分析相結(jié)合，可以通過模型辨識、定型和分析等操作，得到不同時(shí)間段的噪聲變化規(guī)律并做方差分析，由此建立檢測模型以區(qū)分是否存在流量異常現(xiàn)象，具體步驟包括對網(wǎng)絡(luò)流量進(jìn)行預(yù)處理、零均質(zhì)化、建立模型并對流量結(jié)果進(jìn)行分析與預(yù)測[6]。

2.2 數(shù)據(jù)流審計(jì)

常規(guī)的數(shù)據(jù)流審計(jì)技術(shù)包括統(tǒng)計(jì)模型(對入侵?jǐn)?shù)據(jù)進(jìn)行統(tǒng)計(jì)分析)、數(shù)據(jù)挖掘(提取潛在信息并形成規(guī)律)和基于神經(jīng)網(wǎng)絡(luò)異常(以神經(jīng)網(wǎng)絡(luò)系統(tǒng)對入侵?jǐn)?shù)據(jù)進(jìn)行預(yù)測)的檢測。這三種數(shù)據(jù)流審計(jì)技術(shù)可以在一定程度上提升決策判斷的準(zhǔn)確度和效率，且不同的數(shù)據(jù)流審計(jì)方法都有各自的優(yōu)缺點(diǎn)，如統(tǒng)計(jì)模型雖然可以應(yīng)用成熟的概率統(tǒng)計(jì)理論，但是需要大量的檢測數(shù)據(jù)并存在閾值確定困難；數(shù)據(jù)挖掘技術(shù)雖然可以對未知入侵進(jìn)行預(yù)測，但是需要將前期數(shù)據(jù)進(jìn)行分析以形成規(guī)律或模型；神經(jīng)網(wǎng)絡(luò)技術(shù)雖然具有良好的抗干擾能力，但是不同影響因素的權(quán)重?zé)o法確定。在此基礎(chǔ)上，本文推薦使用基于成熟概率統(tǒng)計(jì)的統(tǒng)計(jì)分析法，該方法假定任意時(shí)間段內(nèi)的參數(shù)過程是平穩(wěn)的，所有數(shù)據(jù)都滿足大數(shù)定律以及入侵?jǐn)?shù)據(jù)與正常數(shù)據(jù)傳輸之間的誤差能夠準(zhǔn)確反應(yīng)。

2.3 漏洞掃描

常規(guī)的漏洞掃描技術(shù)包括基于應(yīng)用、主機(jī)、目標(biāo)和網(wǎng)絡(luò)的掃描技術(shù)，這四種方法都采用非破壞性和積極的方法來對網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行掃描分析，以確定其是否被攻擊。雖然這些漏洞掃描技術(shù)可以在一定程度上提取出安全漏洞，但是也存在升級復(fù)雜和網(wǎng)絡(luò)性能會受到不同程度影響等缺點(diǎn)[7]。在此基礎(chǔ)上，本文提出一種基于主機(jī)、端口和操作系統(tǒng)掃描的信息掃描技術(shù)，其中，主機(jī)掃描包括ICMP Echo Request、Echo Reply、ICMP Sweep、Broadcast ICMP和Non-Echo ICMP等，端口掃描包括TCP connect、TCP SYN、UDP和IP分片掃描等，操作系統(tǒng)掃描技術(shù)包括ICMP響應(yīng)分析、標(biāo)識信息和操作系統(tǒng)質(zhì)問探測技術(shù)等[8-10]。

2.4 關(guān)鍵技術(shù)的實(shí)現(xiàn)

為了實(shí)現(xiàn)數(shù)據(jù)流審計(jì)系統(tǒng)對所有網(wǎng)絡(luò)信息系統(tǒng)中的主機(jī)、防火墻、網(wǎng)絡(luò)信息等進(jìn)行監(jiān)控和入侵檢測，設(shè)計(jì)了圖3所示的數(shù)據(jù)流審計(jì)系統(tǒng)的總體框架。其核心思想是通過交換機(jī)取回?cái)?shù)據(jù)流，采用預(yù)處理模塊對采集到的數(shù)據(jù)進(jìn)行解碼和預(yù)處理，然后通過檢測系統(tǒng)判斷數(shù)據(jù)是否存在異常，異常檢測項(xiàng)目包括DB、LOG文件、郵件報(bào)警和Trap等，最終形成自適應(yīng)報(bào)警或者日志[11-12]。

漏洞掃描系統(tǒng)的總體框架如圖4。這套漏洞掃描系統(tǒng)模型是建立在用戶實(shí)際應(yīng)用需求的基礎(chǔ)上，模型中包含了漏洞信息查詢模板、系統(tǒng)配置模板和更新模塊三個(gè)方面，在掃描主機(jī)上運(yùn)行漏洞掃描系統(tǒng)，可通過模型自帶的漏洞庫、漏洞掃描模塊和掃描插件庫實(shí)現(xiàn)對網(wǎng)絡(luò)對象的掃描，并通過分析來判定哪些屬于非法入侵，形成總體評估報(bào)告后傳輸給用戶并將結(jié)果反饋給數(shù)據(jù)庫[13-14]。這套漏洞掃描系統(tǒng)不需要用戶具有特殊權(quán)限，且可以同時(shí)運(yùn)行幾個(gè)模塊以提高檢測效率。

本文為了進(jìn)一步提升信息網(wǎng)絡(luò)安全防御效率和質(zhì)量，設(shè)計(jì)了一套檢測與防御聯(lián)動(dòng)的防御體系[15]。基本框架如圖5。綜合聯(lián)動(dòng)控制模板從路由器、防火墻、核心交換機(jī)、各級交換機(jī)、操作系統(tǒng)、安全軟件和應(yīng)用軟件中收集數(shù)據(jù)信息，并從策略庫中選擇聯(lián)動(dòng)策略進(jìn)行檢測，判定數(shù)據(jù)是否屬于入侵信息，并由防御模板進(jìn)行主動(dòng)防御，最終形成一套動(dòng)態(tài)安全防御系統(tǒng)。檢測和防御聯(lián)動(dòng)設(shè)計(jì)的核心在于實(shí)現(xiàn)檢測與防御的聯(lián)動(dòng)，即檢測模塊可以進(jìn)行入侵檢測、漏洞掃描和流量審計(jì)等，而防御模塊則可以引入防火墻等進(jìn)行入侵防護(hù)[16]。這種檢測和防御的聯(lián)動(dòng)設(shè)計(jì)體系可以同時(shí)發(fā)揮檢測和防御的優(yōu)勢，對入侵行為進(jìn)行有效阻斷，最大限度保護(hù)信息網(wǎng)絡(luò)安全。

3 結(jié) 論

本文基于加強(qiáng)信息網(wǎng)絡(luò)安全防御的目標(biāo)，提出了網(wǎng)絡(luò)安全防御體系的總體設(shè)計(jì)方案和信息網(wǎng)絡(luò)安全防御策略體系要點(diǎn)，并對安全防御體系涉及的關(guān)鍵技術(shù)進(jìn)行了分析，建立了一套兼具檢測與防御聯(lián)動(dòng)功能的防御體系，為提升信息網(wǎng)絡(luò)安全防御體系的設(shè)計(jì)與應(yīng)用提供了參考。