◆董漢霞 呂東鋒 商乙山

（河南省軍區(qū)數(shù)據(jù)信息室 河南 450000）

計算機網(wǎng)絡(luò)安全具有機密性、完整性、可用性、可控性、可審查性的特點，由于計算機自身的脆弱性、開放性和自由性，使計算機網(wǎng)絡(luò)難免存在安全問題，因此，要分析計算機網(wǎng)絡(luò)安全問題及其成因，并采取針對性措施，加強內(nèi)網(wǎng)防護：

1 計算機內(nèi)部網(wǎng)絡(luò)的常見安全問題及成因

計算機內(nèi)部網(wǎng)絡(luò)存在的安全問題主要包括：客戶端存在系統(tǒng)漏洞，沒有及時更新補丁，缺乏統(tǒng)一的內(nèi)部網(wǎng)絡(luò)安全策略；筆記本電腦和移動存儲設(shè)備隨意接入計算機內(nèi)部網(wǎng)絡(luò)，導(dǎo)致內(nèi)部網(wǎng)絡(luò)信息安全受到威脅；缺乏對計算機內(nèi)部網(wǎng)絡(luò)的點對點監(jiān)控，對于網(wǎng)絡(luò)客戶端的應(yīng)用軟件缺乏統(tǒng)一化的管理，無法快速、準(zhǔn)確、有效地進行對計算機網(wǎng)絡(luò)安全事件的響應(yīng)。

2 計算機網(wǎng)絡(luò)安全防護對策

計算機網(wǎng)絡(luò)安全防護最常見的網(wǎng)絡(luò)安全模型是PDRR 模型，也即：Protection（防護）、Detection（檢測）、Response（響應(yīng)）、Recovery（恢復(fù)），如下圖所示：

圖1 計算機網(wǎng)絡(luò)安全模型

防護是預(yù)先阻止網(wǎng)絡(luò)攻擊事件的發(fā)生，是網(wǎng)絡(luò)安全的首道屏障；檢測是采用入侵檢測系統(tǒng)和工具，及早檢測出網(wǎng)絡(luò)入侵問題，是第二道安全屏障；響應(yīng)是在發(fā)生網(wǎng)絡(luò)攻擊（入侵）事件后進行處理，恢復(fù)到安全狀態(tài)，包括系統(tǒng)恢復(fù)和信息恢復(fù)。

2.1 計算機內(nèi)網(wǎng)終端安全防護管理系統(tǒng)的設(shè)計方案和應(yīng)用

在計算機網(wǎng)絡(luò)安全防護管理系統(tǒng)之中，主要采用三級結(jié)構(gòu)，即：探測器主要監(jiān)聽網(wǎng)絡(luò)動態(tài)變化情況；管理中心主要進行計算機網(wǎng)絡(luò)數(shù)據(jù)處理、存儲安全管理；控制臺中樞則通過管理界面、事件查看系統(tǒng)和報表查看系統(tǒng)進行操作和管理，負責(zé)網(wǎng)絡(luò)數(shù)據(jù)的轉(zhuǎn)換、交互和策略分發(fā)等工作，并依據(jù)報警等級進行安全事件的自動響應(yīng)、安全檢測、監(jiān)視。

2.1.1 安全防護管理系統(tǒng)接入控制

計算機網(wǎng)絡(luò)系統(tǒng)要對接入網(wǎng)絡(luò)的終端進行掃描、認證和安全檢測，判定接入網(wǎng)絡(luò)終端的合法性，查詢其是否安裝殺毒軟件、防火墻，并綁定IP 地址、MAC 地址，合格后方可接入內(nèi)網(wǎng)，并對其進行監(jiān)測和審計。

（1）終端接入控制?；?02.1X 協(xié)議實施終端訪問控制和認證，在認證服務(wù)器、核心交換機、用戶認證交換機、用戶終端的支持下，通過不同的通道開展認證業(yè)務(wù)。同時，要考慮計算機網(wǎng)絡(luò)的規(guī)模，合理選取不同的認證組網(wǎng)方式，如：集中式組網(wǎng)、分布式組網(wǎng)、本地認證組網(wǎng)等。

（2）地址綁定。主要采用TCP/IP 協(xié)議進行地址綁定，IP 協(xié)議對應(yīng)網(wǎng)絡(luò)層，使網(wǎng)絡(luò)主機的IP 地址與其物理地址相對應(yīng)，能夠采用對應(yīng)的IP 地址訪問網(wǎng)絡(luò)資源。

（3）終端監(jiān)控。由監(jiān)視服務(wù)器實現(xiàn)對計算機網(wǎng)絡(luò)終端桌面的監(jiān)視，并生成終端屏幕監(jiān)控視圖，還利用Windows 系統(tǒng)消息處理平臺進行應(yīng)用程序的監(jiān)控，及時獲悉和判斷計算機網(wǎng)絡(luò)終端用戶的行為。

（4）補丁分發(fā)。通常由網(wǎng)絡(luò)管理員進行補丁分發(fā)工作，主要是通過內(nèi)網(wǎng)部署WSUS 服務(wù)器，再利用WSUS 服務(wù)器從網(wǎng)站下載系統(tǒng)補丁，由內(nèi)網(wǎng)WSUS 服務(wù)器將該補丁信息傳送至內(nèi)網(wǎng)終端用戶，實現(xiàn)統(tǒng)一的安全設(shè)置，避免內(nèi)網(wǎng)管理的人為漏洞，提高計算機內(nèi)部網(wǎng)絡(luò)終端的更新效率。

2.1.2 日志審計平臺的應(yīng)用

在日志審計平臺之中包括各級模塊，即：日志采集代理模塊、日志采集中心模塊、日志審計中心模塊和日志存儲中心模塊。具體來說，由日志采集代理模塊采集計算機網(wǎng)絡(luò)數(shù)據(jù)，使之具有高可靠性、高準(zhǔn)確性和高效性，能夠幫助審計系統(tǒng)通過匹配關(guān)鍵詞來檢測網(wǎng)絡(luò)攻擊或入侵。由日志采集中心模塊接收并緩存各類日志數(shù)據(jù)，體現(xiàn)出高可靠性和安全性。由日志審計中心模塊采集日志采集中心轉(zhuǎn)發(fā)的系統(tǒng)日志數(shù)據(jù)，進行關(guān)鍵詞匹配檢測和響應(yīng)處理。由日志存儲中心進行日志數(shù)據(jù)的分類檢索、數(shù)據(jù)挖掘、統(tǒng)計分析和存儲。

2.1.3 安全聯(lián)動技術(shù)的應(yīng)用

采用防火墻和入侵檢測系統(tǒng)的安全聯(lián)動技術(shù)，通過開放式接口實現(xiàn)安全聯(lián)動，可以將入侵檢測系統(tǒng)嵌入到防火墻之中，形成嵌入式的安全聯(lián)動防護，防止偽造地址實施身份替代攻擊，并有效防止攻擊者化身為入侵檢測系統(tǒng)而導(dǎo)致的網(wǎng)絡(luò)安全問題。

2.1.4 入侵檢測技術(shù)的應(yīng)用

（1）防火墻系統(tǒng)的應(yīng)用。利用防火墻審查通信的IP 源地址、目的地址及端口號，實現(xiàn)對路由器、主機網(wǎng)關(guān)、子網(wǎng)的屏蔽，較好地控制網(wǎng)絡(luò)進出行為。

（2）入侵檢測系統(tǒng)。通過主動的網(wǎng)絡(luò)安全防護策略，從系統(tǒng)內(nèi)部和網(wǎng)絡(luò)資源中采集各種信息數(shù)據(jù)，進行計算機網(wǎng)絡(luò)入侵或攻擊行為分析和預(yù)測。

（3）硬件加密機。采用TCP/IP 協(xié)議進行硬件加密機和主機之間的通信，能夠支持RSA、DES、SDHI、MD5 等多種密碼算法，包括三層密鑰體系，即：本地主密鑰、傳輸主密鑰、工作密鑰等，為計算機網(wǎng)絡(luò)提供安全保密的數(shù)據(jù)通信服務(wù)。

可以在計算機網(wǎng)絡(luò)中配置開源、分布式的Snort 入侵檢測系統(tǒng)，通過調(diào)用外部捕包程序庫來抓包，捕獲發(fā)往計算機網(wǎng)絡(luò)主機的數(shù)據(jù)包，再由包解碼器進行解碼，按照數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層進行逐層解析，再進入預(yù)處理程序，由檢測引擎對每個包進行入侵檢測。

2.2 計算機網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的構(gòu)建

要構(gòu)建針對網(wǎng)絡(luò)行為的計算機網(wǎng)絡(luò)安全預(yù)警系統(tǒng)，在對網(wǎng)絡(luò)使用行為進行分析和預(yù)測的前提下，進行及時快速的預(yù)警和響應(yīng)，有效提高計算機網(wǎng)絡(luò)的可靠性和安全性。如下圖2所示。

圖2 計算機網(wǎng)絡(luò)安全預(yù)警系統(tǒng)模型圖

2.2.1 數(shù)據(jù)采集模塊的應(yīng)用

該模塊實時采集受監(jiān)控子網(wǎng)的數(shù)據(jù)信息，并進行數(shù)據(jù)流信息的預(yù)處理、統(tǒng)計查詢和分析預(yù)測，最后將其存儲于NetFlow 數(shù)據(jù)庫之中。

2.2.2 網(wǎng)絡(luò)行為分析模塊的應(yīng)用

依據(jù)源IP、目的IP、源端口、目的端口、數(shù)據(jù)包數(shù)量等基礎(chǔ)特征值數(shù)據(jù)，進行網(wǎng)絡(luò)行為特征的提取、統(tǒng)計和分析處理。同時，要構(gòu)建網(wǎng)絡(luò)行為分析功能模型，采用聚類分析和關(guān)聯(lián)分析的方法，構(gòu)建網(wǎng)絡(luò)使用行為序列和模式，進行網(wǎng)絡(luò)行為特征分析、檢測，以此作為計算機網(wǎng)絡(luò)安全策略決策的依據(jù)和參考。

2.2.3 網(wǎng)絡(luò)行為預(yù)測模塊的應(yīng)用

在挖掘獲悉計算機網(wǎng)絡(luò)使用行為模式之后，要生成網(wǎng)絡(luò)使用行為帶權(quán)有向圖，獲悉不同網(wǎng)絡(luò)使用行為之間的關(guān)聯(lián)性，再利用系統(tǒng)模型進行網(wǎng)絡(luò)使用行為預(yù)測，進行網(wǎng)絡(luò)使用行為權(quán)值的實時調(diào)整，提高計算機網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的精準(zhǔn)性。

2.2.4 網(wǎng)絡(luò)預(yù)警及響應(yīng)模塊的應(yīng)用

在網(wǎng)絡(luò)預(yù)警模塊的應(yīng)用之中，該模塊主要鑒定和識別網(wǎng)絡(luò)用戶行為，判定其是否屬于攻擊行為，對攻擊行為的類別、企圖、對象、范圍、可能造成的后果進行分析，并生成計算機網(wǎng)絡(luò)安全預(yù)警報告表。

在策略響應(yīng)模塊中，主要在發(fā)現(xiàn)或預(yù)測攻擊行為時采取對應(yīng)的應(yīng)急處置和響應(yīng)，并生成記錄日志，快速高效地擬定計算機網(wǎng)絡(luò)安全防護策略。

2.2.5 信息發(fā)布模塊的應(yīng)用

該模塊提供直接面向用戶的交互性界面，向網(wǎng)絡(luò)管理員直觀展示檢測到的網(wǎng)絡(luò)使用行為特征信息，為其提供數(shù)據(jù)庫和狀態(tài)監(jiān)控功能，分類存儲于不同的數(shù)據(jù)庫，如：用戶行為模式數(shù)據(jù)庫、特征值數(shù)據(jù)庫、有向圖數(shù)據(jù)庫等。

3 小結(jié)

綜上所述，計算機網(wǎng)絡(luò)安全防護極其復(fù)雜，要構(gòu)建計算機網(wǎng)絡(luò)安全預(yù)警系統(tǒng)，進行網(wǎng)絡(luò)使用攻擊行為的分析和趨勢預(yù)測，有效提高計算機網(wǎng)絡(luò)安全防護能力。后續(xù)還要采集更多的數(shù)據(jù)進行算法優(yōu)化和分析，并要加強計算機網(wǎng)絡(luò)數(shù)據(jù)分析平臺與傳統(tǒng)防御措施的聯(lián)動性，有效提高計算機網(wǎng)絡(luò)安全防御收斂速度，切實保障計算機網(wǎng)絡(luò)安全和可靠性。