李瑩 莊磊 郭宗鑫

關(guān)鍵詞：網(wǎng)絡(luò)；安全管理；策略

網(wǎng)絡(luò)信息安全的問(wèn)題不僅指對(duì)個(gè)人用戶造成的網(wǎng)絡(luò)信息安全威脅，如對(duì)網(wǎng)上銀行賬戶資金信息的網(wǎng)絡(luò)安全造成威脅，而金融、行政結(jié)構(gòu)、中小企業(yè)經(jīng)營(yíng)等相關(guān)社會(huì)用戶的網(wǎng)絡(luò)信息安全也是其中之一，因此，迫切需要進(jìn)行有效的安全管理。目前，在我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)和安全控制領(lǐng)域，已經(jīng)研究并應(yīng)用了國(guó)外的一些網(wǎng)絡(luò)安全控制管理應(yīng)用技術(shù)體系和標(biāo)準(zhǔn)產(chǎn)品。但由于所有網(wǎng)絡(luò)技術(shù)應(yīng)用都基于網(wǎng)絡(luò)功能，而過(guò)于分散的分布式異構(gòu)網(wǎng)絡(luò)和安全防御系統(tǒng)產(chǎn)品，難以對(duì)相對(duì)集中且統(tǒng)一規(guī)范的網(wǎng)絡(luò)安全進(jìn)行監(jiān)控服務(wù)和管理，也就無(wú)法在總體上構(gòu)建與實(shí)施有效網(wǎng)絡(luò)安全對(duì)策。同時(shí)，由于面臨較為復(fù)雜的網(wǎng)絡(luò)攻擊，而目前的技術(shù)手段又與產(chǎn)品之間無(wú)法進(jìn)行有效協(xié)調(diào)互動(dòng)，也造成了網(wǎng)絡(luò)安全預(yù)防效果較差、機(jī)制脆弱的狀況。在此前提下，迫切需要一個(gè)新型安全技術(shù)解決方案。網(wǎng)絡(luò)安全管理系統(tǒng)的主要目的是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施全方位監(jiān)視與管控，這不僅依賴各個(gè)子系統(tǒng)的統(tǒng)一協(xié)調(diào)與管理，還要求信息管理、人工智能、企業(yè)管理系統(tǒng)、安全防范等諸多方面的技術(shù)。通過(guò)集成先進(jìn)的管理技術(shù)與產(chǎn)品，可以實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的高度統(tǒng)一、協(xié)調(diào)和控制，從整體上維護(hù)網(wǎng)絡(luò)安全，提高信息系統(tǒng)的服務(wù)性能[1]。

1網(wǎng)絡(luò)安全管理現(xiàn)狀

以網(wǎng)絡(luò)技術(shù)為代表的世界信息化越來(lái)越深入，信息網(wǎng)絡(luò)信息技術(shù)的應(yīng)用越來(lái)越普遍，應(yīng)用程度也在不斷加深。與此同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)上存在更多的安全危險(xiǎn)。對(duì)網(wǎng)絡(luò)用戶來(lái)說(shuō)，廣為人知的黑客攻擊活動(dòng)正以每年十倍的速率增長(zhǎng)，網(wǎng)站篡改、非法登錄主機(jī)、傳遞或偽造電子郵件、拒絕服務(wù)入侵等，都帶來(lái)了很多風(fēng)險(xiǎn)，如對(duì)機(jī)密信息的修改和盜竊、對(duì)網(wǎng)站主頁(yè)的更改或丑化，甚至使互聯(lián)網(wǎng)崩潰。網(wǎng)絡(luò)安全問(wèn)題日益突出，已經(jīng)成為關(guān)乎國(guó)家安全、社會(huì)安定和民眾生命安全的大事。人們需要與當(dāng)前互聯(lián)網(wǎng)發(fā)展趨勢(shì)相適應(yīng)的網(wǎng)絡(luò)安全技術(shù)，以確?；ヂ?lián)網(wǎng)的安全、暢通與有效，安全運(yùn)營(yíng)是保證互聯(lián)網(wǎng)安全順暢運(yùn)轉(zhuǎn)的根本所在。

Web、操作系統(tǒng)、數(shù)據(jù)庫(kù)等服務(wù)器都可能出現(xiàn)泄漏，因此惡意用戶極有可能通過(guò)這些漏洞來(lái)獲取關(guān)鍵信息。Web服務(wù)器操作系統(tǒng)本身也存在一定的漏洞，黑客可以利用這些漏洞進(jìn)入操作系統(tǒng)，并攻擊某些重要文件，甚至導(dǎo)致系統(tǒng)崩潰，內(nèi)容的不安全性是對(duì)客戶機(jī)的主要威脅。一般使用的JavaApplet，ActiveX，Cookie管理等方法，都有不同的安全隱患。而Internet作為通過(guò)Web客戶端與瀏覽器通訊的主要信道，是最不安全的。未經(jīng)許可使用通道的客戶端也極可能通過(guò)擅自修改在通道服務(wù)器上所存儲(chǔ)的信息流數(shù)據(jù)來(lái)進(jìn)行發(fā)送通道數(shù)據(jù)，存在隨時(shí)可能威脅客戶端數(shù)據(jù)完整性等方面的系統(tǒng)及安全與管理風(fēng)險(xiǎn)。另外，拒絕服務(wù)請(qǐng)求的威脅也就可以直接用來(lái)攻擊，通過(guò)向網(wǎng)絡(luò)服務(wù)器連續(xù)發(fā)送包含大量錯(cuò)誤消息的響應(yīng)服務(wù)的請(qǐng)求，使整個(gè)網(wǎng)絡(luò)服務(wù)器會(huì)突然無(wú)法連續(xù)收到這些響應(yīng)和服務(wù)請(qǐng)求或使網(wǎng)絡(luò)完全崩潰，或者甚至通過(guò)連續(xù)發(fā)送含有大量錯(cuò)誤數(shù)據(jù)包的IP數(shù)據(jù)包請(qǐng)求，而導(dǎo)致阻塞網(wǎng)絡(luò)通信及傳輸信息通道，使網(wǎng)絡(luò)數(shù)據(jù)和傳輸信息網(wǎng)絡(luò)速度明顯變慢[2]。

2存在的問(wèn)題

目前的網(wǎng)絡(luò)安全體系，通常僅處理安全方面的一個(gè)甚至幾個(gè)小問(wèn)題，并不能對(duì)整體互聯(lián)網(wǎng)應(yīng)用實(shí)施有效的防護(hù)。例如，身份確認(rèn)體系通常僅確認(rèn)互聯(lián)網(wǎng)使用者的身份，并不能確定使用者信息的安全性等問(wèn)題。在目前的互聯(lián)網(wǎng)發(fā)展中，盡管現(xiàn)代防火墻技術(shù)已能夠處理較大規(guī)模的安全問(wèn)題，但是仍然存在很多的技術(shù)缺陷。在一般的互聯(lián)網(wǎng)條件下，現(xiàn)代防火墻技術(shù)就可以完成可信網(wǎng)絡(luò)和不信任網(wǎng)絡(luò)之間的相互緩沖，同時(shí)還可以限制其他網(wǎng)絡(luò)所進(jìn)行的攻擊。但是，現(xiàn)代防火墻技術(shù)對(duì)放行聯(lián)網(wǎng)的穩(wěn)定性卻無(wú)法提高，這也是現(xiàn)代防火墻技術(shù)最大的缺點(diǎn)。同樣，在內(nèi)部進(jìn)行的侵人防火墻也是無(wú)法預(yù)防的。盡管配置了防火墻，卻還是無(wú)法防止網(wǎng)絡(luò)病毒、垃圾郵件等的侵入。

入侵檢測(cè)技術(shù)的最大局限性在于漏報(bào)以及誤報(bào)。通常都會(huì)使用防火墻進(jìn)行網(wǎng)絡(luò)安全保護(hù)。在各種威脅日益增多的趨勢(shì)下，各大網(wǎng)絡(luò)廠商以及用戶均希望開(kāi)發(fā)出較為完善的網(wǎng)絡(luò)安全防御系統(tǒng)，對(duì)網(wǎng)絡(luò)進(jìn)行更加有效的保護(hù)。但是操作系統(tǒng)、外設(shè)、軟硬件，甚至軟件等對(duì)自身最安全的網(wǎng)絡(luò)安全手段并不能滿足要求。所以在更加高效的個(gè)人網(wǎng)絡(luò)安全防御系統(tǒng)出現(xiàn)前，一般個(gè)人用戶都是選擇通過(guò)系統(tǒng)防火墻實(shí)現(xiàn)自身的安全防護(hù)。但是在各種威脅出現(xiàn)越來(lái)越多的形勢(shì)下，各大網(wǎng)絡(luò)安全廠商也紛紛想要開(kāi)發(fā)出更為完備的個(gè)人安全防護(hù)體系，對(duì)自身安全進(jìn)行更加有效的保護(hù)。

3網(wǎng)絡(luò)安全管理策略

目前，由于安全管理體系的主要特征是高度綜合的，它必須在整個(gè)管理模式下，通過(guò)各個(gè)廠商的安全控制產(chǎn)品、技術(shù)和部件，并采取相應(yīng)的安全策略進(jìn)行協(xié)同管理，才能完成對(duì)安全的監(jiān)控和控制。因此，無(wú)論使用什么樣的安全管理體系框架或技術(shù)和產(chǎn)品，都有必要研究和構(gòu)建合理的安全管理策略。研究者和企業(yè)安全風(fēng)險(xiǎn)管理的策略研究可以從安全策略模型、策略信息表示模型和安全策略機(jī)制及實(shí)現(xiàn)策略三個(gè)重要方面進(jìn)行研究。因此，將安全管理策略主要分為以下這樣幾個(gè)策略階段：基于自然語(yǔ)言管理的中高級(jí)安全策略，基于統(tǒng)一策略和表達(dá)語(yǔ)言策略的中級(jí)安全策略，以及其他基于安全管理的更低級(jí)策略[3]。

3.1策略模型層

模型軟件的安全技術(shù)分析與研究、應(yīng)用實(shí)踐過(guò)程與系統(tǒng)研究、設(shè)計(jì)與開(kāi)發(fā)、應(yīng)用過(guò)程安全是未來(lái)企業(yè)信息安全決策和應(yīng)急管理等業(yè)務(wù)系統(tǒng)安全設(shè)計(jì)的關(guān)鍵思想基礎(chǔ)，直接影響或涉及整個(gè)企業(yè)系統(tǒng)和未來(lái)企業(yè)信息系統(tǒng)的長(zhǎng)期運(yùn)行可靠性、質(zhì)量和系統(tǒng)可用性。模型軟件系統(tǒng)的自主研發(fā)和主要安全技術(shù)目的是使用至少一套符合通用安全標(biāo)準(zhǔn)的安全技術(shù)策略語(yǔ)法框架，分析和描述系統(tǒng)模塊架構(gòu)中實(shí)現(xiàn)的各種常見(jiàn)安全技術(shù)和服務(wù)的具體安全、組織結(jié)構(gòu)要素和相關(guān)安全策略信息，并確保其能夠完全按照通用安全標(biāo)準(zhǔn)和策略的要求實(shí)現(xiàn)。然后，將標(biāo)準(zhǔn)化的實(shí)時(shí)安全傳輸策略結(jié)構(gòu)映射到通用的實(shí)日寸數(shù)據(jù)格式結(jié)構(gòu)（XML，LDAP等）。在系統(tǒng)的各業(yè)務(wù)應(yīng)用層協(xié)議中，為便于應(yīng)用實(shí)時(shí)安全傳輸系統(tǒng)，對(duì)其相關(guān)業(yè)務(wù)子系統(tǒng)協(xié)議間集成的安全實(shí)時(shí)數(shù)據(jù)傳輸策略結(jié)構(gòu)進(jìn)行性能分析和驗(yàn)證，實(shí)現(xiàn)后續(xù)的實(shí)時(shí)安全數(shù)據(jù)傳輸。通常，系統(tǒng)不需要預(yù)先給出安全實(shí)時(shí)數(shù)據(jù)策略架構(gòu)更詳細(xì)和具體的描述信息。

3.2策略表示層

與策略模型層相比，策略表示層的主要目的是詳細(xì)描述策略結(jié)構(gòu)，表達(dá)策略的內(nèi)容和內(nèi)涵，并將其分配到具體的業(yè)務(wù)接口。目前，還沒(méi)有統(tǒng)一的安全服務(wù)陳述機(jī)制，但是已經(jīng)有許多實(shí)用的業(yè)務(wù)描述語(yǔ)言，包括基于邏輯、事件和對(duì)象的描述。在這里，邏輯敘述模型表達(dá)策略的模式一般對(duì)系統(tǒng)結(jié)構(gòu)特點(diǎn)的掌握，以及對(duì)基本理論內(nèi)涵的掌握效果比較好，但對(duì)具體邏輯結(jié)構(gòu)理解在表達(dá)方法上，以及語(yǔ)言實(shí)現(xiàn)的應(yīng)用問(wèn)題上就比較復(fù)雜而且困難，即缺少經(jīng)典模板中的RDL語(yǔ)義。而事件機(jī)理邏輯表述模式的經(jīng)典模板主要部分都需要由邏輯事件機(jī)制語(yǔ)句來(lái)作為驅(qū)動(dòng)，典型邏輯模式語(yǔ)言的一個(gè)典型模式代表語(yǔ)言也通?？梢允荢PL語(yǔ)言。面向?qū)ο竺枋瞿Ｊ绞侵苯右牖驊?yīng)用某種面向?qū)ο竽Ｊ竭M(jìn)行事件策略分析和表示的過(guò)程模型系統(tǒng)，具有一種較高較強(qiáng)的自然語(yǔ)言快速表達(dá)的分析概括能力，易于使用者直接進(jìn)行理解分析研究和綜合應(yīng)用。

3.3策略機(jī)制

在政策機(jī)制的設(shè)計(jì)和實(shí)施過(guò)程中，政策分析是一個(gè)非常重要的環(huán)節(jié)。其主要目的在于檢驗(yàn)國(guó)家安全策略的準(zhǔn)確性，并處理利益沖突，從而避免戰(zhàn)略冗余，并增加國(guó)家戰(zhàn)略的可靠性。而通常，將策略沖突分為許多類型：形式?jīng)_突、應(yīng)用沖突、技術(shù)沖突等。目前主要進(jìn)行策略分析的方式如下。人工分析，如果發(fā)送了戰(zhàn)略沖突，則系統(tǒng)就會(huì)自動(dòng)提示，然后自動(dòng)處理。靜態(tài)測(cè)試解析，也就是在采用安全策略前，系統(tǒng)就必須進(jìn)行策略的靜態(tài)性能測(cè)試，一般發(fā)生在策略句法分析后。如果出現(xiàn)了策略沖突，系統(tǒng)就會(huì)主動(dòng)淘汰沖突的策略。當(dāng)然，另一個(gè)問(wèn)題處理方式也就是優(yōu)先的策略。如果與策略產(chǎn)生了矛盾，就應(yīng)該采用優(yōu)先較多的安全策略。決策機(jī)制子系統(tǒng)，大致包括了制定、分析、分發(fā)三個(gè)步驟。最終目的是實(shí)現(xiàn)既定的安全策略，為網(wǎng)絡(luò)安全管理系統(tǒng)提供基本的安全服務(wù)功能。

4網(wǎng)絡(luò)安全管理技術(shù)

網(wǎng)絡(luò)安全管理技術(shù)除了完整的體系結(jié)構(gòu)、準(zhǔn)確可行的安全策略之外，對(duì)協(xié)同信息規(guī)范、智能分析及信息集成進(jìn)行完善，并以入侵檢測(cè)技術(shù)及防火墻技術(shù)為基礎(chǔ)，增加相應(yīng)的內(nèi)容，以提升行為規(guī)范與策略協(xié)議的有效性。

4.1信息集成

各種網(wǎng)絡(luò)信息產(chǎn)品提供的服務(wù)廠商都各不相同，如果它們未注意對(duì)這些新技術(shù)手段或信息工具加以有效整合，只會(huì)造成整個(gè)網(wǎng)絡(luò)世界的各種信息服務(wù)更加雜亂與無(wú)序，而僅通過(guò)網(wǎng)絡(luò)信息的整合應(yīng)用技術(shù)便可基本完成以上這些功能。信息系統(tǒng)數(shù)據(jù)集成子系統(tǒng)由系統(tǒng)數(shù)據(jù)實(shí)時(shí)采集管理和信息系統(tǒng)數(shù)據(jù)采集預(yù)處理控制兩個(gè)方面構(gòu)成，所以在整個(gè)信息系統(tǒng)的集中控制過(guò)程中，首先必須管理好各關(guān)鍵信息系統(tǒng)內(nèi)容，并據(jù)此進(jìn)行數(shù)據(jù)資料收集歸檔與數(shù)據(jù)信息預(yù)處理分析的基礎(chǔ)性工作，并結(jié)合信息系統(tǒng)資料安全管理工作內(nèi)容逐步建立起信息庫(kù)與信息系統(tǒng)資料配置管理文件，以充分確保信息系統(tǒng)資料技術(shù)能力滿足信息系統(tǒng)應(yīng)用的具體實(shí)際工作需求，以便切實(shí)提升其對(duì)數(shù)據(jù)資產(chǎn)資料安全的管控效果。此外，還需要注意數(shù)據(jù)處理新技術(shù)如何進(jìn)行其他有關(guān)領(lǐng)域應(yīng)用的研究探討，即通過(guò)數(shù)據(jù)挖掘?qū)δ切┡c資料源自不同意義的數(shù)據(jù)或與數(shù)據(jù)源之間的數(shù)據(jù)相關(guān)的信息數(shù)據(jù)進(jìn)行綜合收集篩選與歸類整理，篩選出有意義有價(jià)值的數(shù)據(jù)進(jìn)行合理利用并去除其中冗余的錯(cuò)誤信息，這樣提高了數(shù)據(jù)處理方法中對(duì)錯(cuò)誤消息與冗余信息的處理能力，從而構(gòu)造出簡(jiǎn)便可行的解決方案，能夠進(jìn)一步提升信息的綜合效益。

4.2智能分析

智能識(shí)別分析主要指能夠?qū)ΜF(xiàn)有網(wǎng)絡(luò)數(shù)據(jù)資料進(jìn)行實(shí)時(shí)綜合和分析，這既能夠?qū)崿F(xiàn)人們對(duì)網(wǎng)絡(luò)信息進(jìn)行全面有效監(jiān)控管理，且比一些簡(jiǎn)單數(shù)據(jù)信息查詢的實(shí)時(shí)準(zhǔn)確性更高。智能網(wǎng)絡(luò)識(shí)別技術(shù)具有智能發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅和信息、主動(dòng)快速響應(yīng)網(wǎng)絡(luò)時(shí)間警報(bào)和預(yù)警系統(tǒng)的功能。智能分析的階段，要尤其注重對(duì)系統(tǒng)安全和引擎安全性的全面正確的把控，即對(duì)系統(tǒng)必須全面正確地選擇系統(tǒng)引擎，從而保證整個(gè)系統(tǒng)引擎能夠?qū)λ械陌踩珨?shù)據(jù)問(wèn)題進(jìn)行全面正確有效的智能識(shí)別監(jiān)測(cè)與預(yù)警。另外，在智能分析階段，也需要合理選擇安全系統(tǒng)問(wèn)題和合理使用安全數(shù)據(jù)問(wèn)題，并盡可能引入更多的關(guān)聯(lián)規(guī)則技術(shù)來(lái)管理數(shù)據(jù)分析問(wèn)題，以實(shí)現(xiàn)系數(shù)分析涵蓋到安全管理系統(tǒng)的各個(gè)方面，進(jìn)而提高安全管理效率。但目前，智能解析的關(guān)鍵技術(shù)仍有待進(jìn)一步研究，由于智能分析并沒(méi)有涵蓋到網(wǎng)絡(luò)威脅的任何方面，因此所面臨的問(wèn)題也不可小覷。

4.3協(xié)同信息規(guī)范

在對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行全面分析前，需要提前協(xié)調(diào)好各個(gè)安全事件，這是網(wǎng)絡(luò)安全管理的關(guān)鍵技術(shù)。安全事件、主機(jī)和系統(tǒng)之間存在直接或接口連接，這種連續(xù)性在提高網(wǎng)絡(luò)數(shù)據(jù)和信息的安全性和準(zhǔn)確性方面起著關(guān)鍵作用。因此，在協(xié)議標(biāo)準(zhǔn)化階段，需要合理控制安全事件與安全事件、主機(jī)與操作系統(tǒng)之間的交互，建立系統(tǒng)的安全控制協(xié)議，以便于進(jìn)行各種控制信息與其他安全標(biāo)準(zhǔn)間的有效集成，從而構(gòu)造出規(guī)范化的協(xié)議體系。另外，需要構(gòu)建起規(guī)范化的系統(tǒng)內(nèi)部控制協(xié)議．從而建立合理的安全控制框架，以將安全控制和協(xié)同管理功能緊密結(jié)合一起，從而建立合理的安全方案。

5結(jié)束語(yǔ)

針對(duì)目前的網(wǎng)絡(luò)安全態(tài)勢(shì)，網(wǎng)絡(luò)安全管理也應(yīng)該更加全面。不過(guò)，安全管理技術(shù)依然有很多的不足，沒(méi)有統(tǒng)一性、靈活性。所以，考慮到未來(lái)的發(fā)展，安全管理技術(shù)還需從小向大范圍的延伸，由過(guò)去的集中式管理逐漸發(fā)展到了分布式集中管理，并且也逐漸將所有的電子行業(yè)和互聯(lián)網(wǎng)都納入了管控范圍內(nèi)，因?yàn)檫@樣的安全管理技術(shù)已經(jīng)實(shí)現(xiàn)了對(duì)海量事件的高效管控。