網絡安全管理技術研究

李瑩 莊磊 郭宗鑫

關鍵詞：網絡；安全管理；策略

網絡信息安全的問題不僅指對個人用戶造成的網絡信息安全威脅，如對網上銀行賬戶資金信息的網絡安全造成威脅，而金融、行政結構、中小企業經營等相關社會用戶的網絡信息安全也是其中之一，因此，迫切需要進行有效的安全管理。目前，在我國計算機網絡和安全控制領域，已經研究并應用了國外的一些網絡安全控制管理應用技術體系和標準產品。但由于所有網絡技術應用都基于網絡功能，而過于分散的分布式異構網絡和安全防御系統產品，難以對相對集中且統一規范的網絡安全進行監控服務和管理，也就無法在總體上構建與實施有效網絡安全對策。同時，由于面臨較為復雜的網絡攻擊，而目前的技術手段又與產品之間無法進行有效協調互動，也造成了網絡安全預防效果較差、機制脆弱的狀況。在此前提下，迫切需要一個新型安全技術解決方案。網絡安全管理系統的主要目的是對計算機網絡實施全方位監視與管控，這不僅依賴各個子系統的統一協調與管理，還要求信息管理、人工智能、企業管理系統、安全防范等諸多方面的技術。通過集成先進的管理技術與產品，可以實現計算機網絡的高度統一、協調和控制，從整體上維護網絡安全，提高信息系統的服務性能[1]。

1網絡安全管理現狀

以網絡技術為代表的世界信息化越來越深入，信息網絡信息技術的應用越來越普遍，應用程度也在不斷加深。與此同時，計算機網絡上存在更多的安全危險。對網絡用戶來說，廣為人知的黑客攻擊活動正以每年十倍的速率增長，網站篡改、非法登錄主機、傳遞或偽造電子郵件、拒絕服務入侵等，都帶來了很多風險，如對機密信息的修改和盜竊、對網站主頁的更改或丑化，甚至使互聯網崩潰。網絡安全問題日益突出，已經成為關乎國家安全、社會安定和民眾生命安全的大事。人們需要與當前互聯網發展趨勢相適應的網絡安全技術，以確?；ヂ摼W的安全、暢通與有效，安全運營是保證互聯網安全順暢運轉的根本所在。

Web、操作系統、數據庫等服務器都可能出現泄漏，因此惡意用戶極有可能通過這些漏洞來獲取關鍵信息。Web服務器操作系統本身也存在一定的漏洞，黑客可以利用這些漏洞進入操作系統，并攻擊某些重要文件，甚至導致系統崩潰，內容的不安全性是對客戶機的主要威脅。一般使用的JavaApplet，ActiveX，Cookie管理等方法，都有不同的安全隱患。而Internet作為通過Web客戶端與瀏覽器通訊的主要信道，是最不安全的。未經許可使用通道的客戶端也極可能通過擅自修改在通道服務器上所存儲的信息流數據來進行發送通道數據，存在隨時可能威脅客戶端數據完整性等方面的系統及安全與管理風險。另外，拒絕服務請求的威脅也就可以直接用來攻擊，通過向網絡服務器連續發送包含大量錯誤消息的響應服務的請求，使整個網絡服務器會突然無法連續收到這些響應和服務請求或使網絡完全崩潰，或者甚至通過連續發送含有大量錯誤數據包的IP數據包請求，而導致阻塞網絡通信及傳輸信息通道，使網絡數據和傳輸信息網絡速度明顯變慢[2]。

2存在的問題

目前的網絡安全體系，通常僅處理安全方面的一個甚至幾個小問題，并不能對整體互聯網應用實施有效的防護。例如，身份確認體系通常僅確認互聯網使用者的身份，并不能確定使用者信息的安全性等問題。在目前的互聯網發展中，盡管現代防火墻技術已能夠處理較大規模的安全問題，但是仍然存在很多的技術缺陷。在一般的互聯網條件下，現代防火墻技術就可以完成可信網絡和不信任網絡之間的相互緩沖，同時還可以限制其他網絡所進行的攻擊。但是，現代防火墻技術對放行聯網的穩定性卻無法提高，這也是現代防火墻技術最大的缺點。同樣，在內部進行的侵人防火墻也是無法預防的。盡管配置了防火墻，卻還是無法防止網絡病毒、垃圾郵件等的侵入。

入侵檢測技術的最大局限性在于漏報以及誤報。通常都會使用防火墻進行網絡安全保護。在各種威脅日益增多的趨勢下，各大網絡廠商以及用戶均希望開發出較為完善的網絡安全防御系統，對網絡進行更加有效的保護。但是操作系統、外設、軟硬件，甚至軟件等對自身最安全的網絡安全手段并不能滿足要求。所以在更加高效的個人網絡安全防御系統出現前，一般個人用戶都是選擇通過系統防火墻實現自身的安全防護。但是在各種威脅出現越來越多的形勢下，各大網絡安全廠商也紛紛想要開發出更為完備的個人安全防護體系，對自身安全進行更加有效的保護。

3網絡安全管理策略

目前，由于安全管理體系的主要特征是高度綜合的，它必須在整個管理模式下，通過各個廠商的安全控制產品、技術和部件，并采取相應的安全策略進行協同管理，才能完成對安全的監控和控制。因此，無論使用什么樣的安全管理體系框架或技術和產品，都有必要研究和構建合理的安全管理策略。研究者和企業安全風險管理的策略研究可以從安全策略模型、策略信息表示模型和安全策略機制及實現策略三個重要方面進行研究。因此，將安全管理策略主要分為以下這樣幾個策略階段：基于自然語言管理的中高級安全策略，基于統一策略和表達語言策略的中級安全策略，以及其他基于安全管理的更低級策略[3]。

3.1策略模型層

模型軟件的安全技術分析與研究、應用實踐過程與系統研究、設計與開發、應用過程安全是未來企業信息安全決策和應急管理等業務系統安全設計的關鍵思想基礎，直接影響或涉及整個企業系統和未來企業信息系統的長期運行可靠性、質量和系統可用性。模型軟件系統的自主研發和主要安全技術目的是使用至少一套符合通用安全標準的安全技術策略語法框架，分析和描述系統模塊架構中實現的各種常見安全技術和服務的具體安全、組織結構要素和相關安全策略信息，并確保其能夠完全按照通用安全標準和策略的要求實現。然后，將標準化的實時安全傳輸策略結構映射到通用的實日寸數據格式結構（XML，LDAP等）。在系統的各業務應用層協議中，為便于應用實時安全傳輸系統，對其相關業務子系統協議間集成的安全實時數據傳輸策略結構進行性能分析和驗證，實現后續的實時安全數據傳輸。通常，系統不需要預先給出安全實時數據策略架構更詳細和具體的描述信息。

3.2策略表示層

與策略模型層相比，策略表示層的主要目的是詳細描述策略結構，表達策略的內容和內涵，并將其分配到具體的業務接口。目前，還沒有統一的安全服務陳述機制，但是已經有許多實用的業務描述語言，包括基于邏輯、事件和對象的描述。在這里，邏輯敘述模型表達策略的模式一般對系統結構特點的掌握，以及對基本理論內涵的掌握效果比較好，但對具體邏輯結構理解在表達方法上，以及語言實現的應用問題上就比較復雜而且困難，即缺少經典模板中的RDL語義。而事件機理邏輯表述模式的經典模板主要部分都需要由邏輯事件機制語句來作為驅動，典型邏輯模式語言的一個典型模式代表語言也通?？梢允荢PL語言。面向對象描述模式是直接引入或應用某種面向對象模式進行事件策略分析和表示的過程模型系統，具有一種較高較強的自然語言快速表達的分析概括能力，易于使用者直接進行理解分析研究和綜合應用。

3.3策略機制

在政策機制的設計和實施過程中，政策分析是一個非常重要的環節。其主要目的在于檢驗國家安全策略的準確性，并處理利益沖突，從而避免戰略冗余，并增加國家戰略的可靠性。而通常，將策略沖突分為許多類型：形式沖突、應用沖突、技術沖突等。目前主要進行策略分析的方式如下。人工分析，如果發送了戰略沖突，則系統就會自動提示，然后自動處理。靜態測試解析，也就是在采用安全策略前，系統就必須進行策略的靜態性能測試，一般發生在策略句法分析后。如果出現了策略沖突，系統就會主動淘汰沖突的策略。當然，另一個問題處理方式也就是優先的策略。如果與策略產生了矛盾，就應該采用優先較多的安全策略。決策機制子系統，大致包括了制定、分析、分發三個步驟。最終目的是實現既定的安全策略，為網絡安全管理系統提供基本的安全服務功能。

4網絡安全管理技術

網絡安全管理技術除了完整的體系結構、準確可行的安全策略之外，對協同信息規范、智能分析及信息集成進行完善，并以入侵檢測技術及防火墻技術為基礎，增加相應的內容，以提升行為規范與策略協議的有效性。

4.1信息集成

各種網絡信息產品提供的服務廠商都各不相同，如果它們未注意對這些新技術手段或信息工具加以有效整合，只會造成整個網絡世界的各種信息服務更加雜亂與無序，而僅通過網絡信息的整合應用技術便可基本完成以上這些功能。信息系統數據集成子系統由系統數據實時采集管理和信息系統數據采集預處理控制兩個方面構成，所以在整個信息系統的集中控制過程中，首先必須管理好各關鍵信息系統內容，并據此進行數據資料收集歸檔與數據信息預處理分析的基礎性工作，并結合信息系統資料安全管理工作內容逐步建立起信息庫與信息系統資料配置管理文件，以充分確保信息系統資料技術能力滿足信息系統應用的具體實際工作需求，以便切實提升其對數據資產資料安全的管控效果。此外，還需要注意數據處理新技術如何進行其他有關領域應用的研究探討，即通過數據挖掘對那些與資料源自不同意義的數據或與數據源之間的數據相關的信息數據進行綜合收集篩選與歸類整理，篩選出有意義有價值的數據進行合理利用并去除其中冗余的錯誤信息，這樣提高了數據處理方法中對錯誤消息與冗余信息的處理能力，從而構造出簡便可行的解決方案，能夠進一步提升信息的綜合效益。

4.2智能分析

智能識別分析主要指能夠對現有網絡數據資料進行實時綜合和分析，這既能夠實現人們對網絡信息進行全面有效監控管理，且比一些簡單數據信息查詢的實時準確性更高。智能網絡識別技術具有智能發現網絡安全威脅和信息、主動快速響應網絡時間警報和預警系統的功能。智能分析的階段，要尤其注重對系統安全和引擎安全性的全面正確的把控，即對系統必須全面正確地選擇系統引擎，從而保證整個系統引擎能夠對所有的安全數據問題進行全面正確有效的智能識別監測與預警。另外，在智能分析階段，也需要合理選擇安全系統問題和合理使用安全數據問題，并盡可能引入更多的關聯規則技術來管理數據分析問題，以實現系數分析涵蓋到安全管理系統的各個方面，進而提高安全管理效率。但目前，智能解析的關鍵技術仍有待進一步研究，由于智能分析并沒有涵蓋到網絡威脅的任何方面，因此所面臨的問題也不可小覷。

4.3協同信息規范

在對網絡安全數據進行全面分析前，需要提前協調好各個安全事件，這是網絡安全管理的關鍵技術。安全事件、主機和系統之間存在直接或接口連接，這種連續性在提高網絡數據和信息的安全性和準確性方面起著關鍵作用。因此，在協議標準化階段，需要合理控制安全事件與安全事件、主機與操作系統之間的交互，建立系統的安全控制協議，以便于進行各種控制信息與其他安全標準間的有效集成，從而構造出規范化的協議體系。另外，需要構建起規范化的系統內部控制協議．從而建立合理的安全控制框架，以將安全控制和協同管理功能緊密結合一起，從而建立合理的安全方案。

5結束語

針對目前的網絡安全態勢，網絡安全管理也應該更加全面。不過，安全管理技術依然有很多的不足，沒有統一性、靈活性。所以，考慮到未來的發展，安全管理技術還需從小向大范圍的延伸，由過去的集中式管理逐漸發展到了分布式集中管理，并且也逐漸將所有的電子行業和互聯網都納入了管控范圍內，因為這樣的安全管理技術已經實現了對海量事件的高效管控。