關于網絡安全的動態防護體系設計與實現分析

張志國

（安陽鑫龍煤業〈集團〉有限責任公司，河南 安陽 455000）

0 前言

在目前這個信息發展快速的時代，網絡結構早已實現了全球化，網絡的運用也越來越普遍。但隨著網絡內部的數據訪問持續增加，不穩定的因素也在不斷增加，要想讓網絡動態安全得到有效保證，必須通過相應的動態監測技術來對其展開有效的監督，且應該對網絡安全動態防護體系進行完善，讓該系統的真正作用得以發揮，從而在較為復雜的網絡環境中施展主動防御功能。

1 分析網路安全動態防護體系的機理

網絡安全指的是其數據、軟件、硬件受到一定保護，不會因為惡意或偶然的因素而遭受泄露、更改、破壞。從這幾點可以看出計算機網絡安全有相應的動態性，其動態性主要體現在網絡中信息安全體系動態化的需求、動態網絡所需的相關安全措施、安全漏洞中的動態性。

要想讓網絡交換的動態安全得到有效防護，應該在確保設備自身安全的同時，對設備所接收的信息數據進行分析、檢測，以其分析的結果來對響應策略進行匹配，且應將策略及時運用在控制網絡設備的硬件中，從而達到保護網絡安全及阻斷攻擊的目的，讓網絡設備安全有效的運行[1]。

2 網絡安全動態防護體系的設計和實現

2.1 網絡安全中主動防護模型的設計

網絡安全中主動防護一般是將傳統的、靜態網絡安全防護方式和積極、主動的安全防護方式結合在一起，進而構建出較為安全的網絡防護系統模型。該模型屬于可擴展模型，是由技術、策略、管理三個相應的層次所組成。其中，策略是網絡安全的整個防護基礎，主要是通過安全對策對安全技術進行融合并讓網絡安全達到最大化。管理層是網絡安全模型的關鍵核心，是通過有效合理的措施、規章制度、組織體系將具有安全防護作用的硬件、軟件設施及信息使用的群體整合起來，從而讓整個系統中的信息安全得到保證。技術層包括保護、監測、響應、預警、檢測；保護是通過對數據流進行分析后，提前進行防護的一種方法。監測是利用相應的方法和手段來找出網絡或系統中存在的問題，進而對其進行防范。響應是對網絡交換的設備安全有危害的行為及事件做出一定的反應，且參照檢測的結果采取各種有效的響應措施。預警是對網絡中可能發生的攻擊給予預先警告，通過從開放信息的收集、分析中所獲取的信息數據判斷網絡中是否有潛在隱患。檢測是對網絡系統當前的運行狀態、網絡資源展開檢測，并及時發現入侵到系統中的威脅。

上述所說的這幾個方面是相互依托、相輔相成的，其對集被動、主動為一體的安全體系進行共同的構建。在對網絡安全動態防護體系進行設計和實現的過程中，可以通過對各種攻擊方法的攻擊特點進行分析來提出有效的防護措施，重點完善、修改網絡中交換設備的系統軟件，通過多種安全的構件作為基礎來對集中式的安全體系進行管理，且將安全管理的平臺當做安全構件的核心，從而組成網絡安全動態防護系統。

網絡安全中的預警模塊主要是以網絡探測技術和主動掃描來獲取網絡信息，創建信息數據優勢。該模塊是依據數據流的行為分析結果，利用網絡交換的相關探測技術和設備掃描對存在安全風險的系統進行監控，對這些設備當前的運行狀態進行掌握，依據其監控變化對網絡安全動態防護系統及時進行更新，進而讓網絡安全的動態防護體系得到有效提升，并增強該系統的防護效率。

安全管理的平臺是由用戶操作的管理、日志報警及安全計策表共同組成，且安全計策表是處理網絡信息數據的主要依據。日志報警管理是通過對數據流的行為安全、網絡安全的預警模塊進行查詢、分析而產生的日志，通過動態來對其內容進行監視，參照預設的報警方法和報警級別而產生報警信息，并告知系統維護工作者對其進行處理。用戶操作管理是對用戶輸入的命令進行實時接收、完成命令，對網絡安全動態防護體系的配置、查詢進行管理。

2.2 網絡安全動態防護體系聯動響應的設計

2.2.1 對數據流進行分類

當數據流進入到網絡中時，應參照訪問控制的規則來過濾數據流，在上交通過過濾標準報文的同時應該對數據流模塊進行分類處理，此模塊首先是經過目的IP、源IP、協議類型、目的端口、源端口來對數據流分類，再依據流識別的數據庫預設準則對數據流分類結果展開確定。在處理數據流分類的過程中，要想使處理效率得到提升必須把五維分類問題降低為二維問題，通過二維IP的分類技術方式來進行初步的分類[2]。因為協議的類型只是限定在幾個值中，因此對分類準則中的協議類型的字段進行壓縮，從八位壓縮到三位，這就可以節省較多的數據空間。且因為準則中具體所用的端口號是0-65535的極少部分，在端口值與協議值不一樣的情形下，組合數目通常都沒有最大的理論值大。

2.2.2 進行深度的特征匹配

對數據流進行了分類之后，應對其深度特征進行匹配，并將匹配的結果送到分析行為安全的模塊中進行判斷和分析，依據實際分析結果來實施策略響應。通過數據庫中所預設的相關檢測準則來檢測、匹配運用報文里的字段，從而對該數據流屬性進行確定。為了讓被檢測器入侵的信息資源的完整性得到保證，每一個檢測器只能負責其中某一類實際運用網絡的流量檢測，而且檢測器間應通過負載均衡法來進行計算，該計算方法是參照檢測器當前的負載狀況及可用性情況來對各個檢測器的負載進行動態調節，其具體的原則是：同類型的應用報文必須分配到相同類型的檢測器中進行檢測，且同類型的應用報文應在負載最小的原則下優先進行分配。

2.2.3 策略的聯動響應

對網絡安全進行檢測后，如果檢測到存在網絡攻擊，應該對數據流中行為安全的分析模塊采取一定的響應體制，危險性為一般的攻擊只用記錄和報告，但對于危險性較高的攻擊必須及時采取有效的響應策略。主動響應策略可以讓系統防護功能得到不斷增強，為了防止誤聯動情況出現，關鍵只能對一部分較為敏感的業務流提供較高等級的保護。安全策略和主動響應策略直接聯動可以防止信息流穿過網絡的邊界，將所有惡意的連接操作隔斷，從而確保網絡安全。

3 對網絡安全動態防護體系的應用進行驗證

網絡安全交換設備中硬件邏輯主要由管理控制模塊、安全監測模塊、數據處理模塊共同組成。其中，安全監測模塊的功能是分類識別數據流并對其行為展開分析和匹配，按照策略應用的具體規則把匹配結果全部設回數據處理的模塊中，將相關的狀態信息上報到管理控制模塊，進而讓動態聯動策略的響應過程得以完成。管理控制模塊主要是對系統中每個組成部分信息狀態進行實時的查詢，讓其策略配置、管理、協議處理、規則等功能得到實現[3]。數據處理模塊是對網絡數據進行轉發、控制及處理，并把進入到網絡交換設備中的數據流傳送到安全檢測模塊中。此外，管理控制模塊是以CPCI總線來和數據處理模塊實行調換，最終對數據處理模塊進行管理控制，且對上報的協議報文展開有效處理。安全監測模塊是通過對數據處理和網絡模塊進行連接后，分析、處理數據處理模塊中的鏡像網絡報文。

此應用驗證在設計中的特點主要是：（1）此系統的硬件核心是可以自主控制的網絡交換芯片，且可以針對網絡攻擊的特征來完善、修改網絡中交換設備的系統軟件，讓網絡交換設備的自身安全得到有效保證。（2）網絡中交換設備的系統軟件和安全監測模塊是相對獨立的，其確保網絡的交換設備受到攻擊時，處理任務和安全監測不會遭受影響。（3）安全監測模塊能夠依據網絡數據中行為分析的結果來對網絡的交換硬件進行安全防護，從而讓動態防護策略響應得以實現。

4 結束語

為了處理好網絡安全的動態問題，通過動態監測策略的聯動響應技術能夠對網絡環境較為復雜的動態安全進行主動防護。通過Snort等比較常用的攻擊軟件來測試網絡交換設備的安全性，其測試結果表明該設備可以有效的對網絡中存在的安全隱患進行攻擊，確保網絡安全不會受到影響，可以正常運行。同時，還可以產生正確的報警信息和安全日志，從而對網絡安全進行真正的保護。

［1］賴圣貴.網絡安全動態防護體系的構建[J].電腦編程技巧與維護,2014,21(34)：77-79.

［2］張蓓,馮梅,靖小偉,劉明新.基于安全域的企業網絡安全防護體系研究[J].計算機安全,2010,25(23)：245-247.

［3］楊波.基于安全域的煙草工業公司網絡安全防護體系研究[J].計算機與信息技術,2012,23(26)：876-878.