一種網(wǎng)絡安全管理模式研究

閆 娟 劉 欣 龐 潔 魏吉鴻

一種網(wǎng)絡安全管理模式研究

閆 娟 劉 欣 龐 潔 魏吉鴻

本文基于企業(yè)網(wǎng)絡安全及管理現(xiàn)狀，提出一種網(wǎng)絡安全防護系統(tǒng)的整合與集成管理模式，并實施與應用，該管理模式實現(xiàn)了不同安全設備集成、管理系統(tǒng)整合、數(shù)據(jù)整合與統(tǒng)一應用，為網(wǎng)絡安全提供完整的解決方案，有效保證網(wǎng)絡安全，大幅提高了網(wǎng)絡安全管理水平。

隨著計算機技術的發(fā)展，信息網(wǎng)絡已成為社會發(fā)展的重要保證。網(wǎng)絡的發(fā)展，以提高效益和效率為出發(fā)點，保證了企業(yè)正常生產(chǎn)和部門之間、企業(yè)之間有效溝通。隨著數(shù)字化建設的不斷推進，網(wǎng)絡規(guī)模迅速擴大，業(yè)務日益復雜，網(wǎng)絡承載了企業(yè)生產(chǎn)、管理、營銷等各個方面，網(wǎng)絡中的關鍵應用和關鍵數(shù)據(jù)越來越多，建設一個可管、可控、可信的網(wǎng)絡成為推進企業(yè)發(fā)展的技術基礎和重要保障，而如何對網(wǎng)絡進行有效、高效管理也成為網(wǎng)絡管理人員必須要面對的課題。

網(wǎng)絡安全體系分析

一般的企業(yè)網(wǎng)絡在結構上都劃分為辦公網(wǎng)絡、生產(chǎn)網(wǎng)絡、外聯(lián)網(wǎng)絡，在網(wǎng)絡安全方面多采用病毒防護、防火墻、入侵監(jiān)測與防御、身份認證、機房安全、數(shù)據(jù)備份與恢復等措施，通過對業(yè)務系統(tǒng)結構、網(wǎng)絡安全結構進行了分析和總結，得出了以下網(wǎng)絡安全體系結構，見圖1。

網(wǎng)絡安全體系構成要素包括：網(wǎng)絡基礎架構、機房安全、病毒防護、防火墻、入侵檢測、數(shù)據(jù)安全、應用安全、運行安全和管理安全等。為了保障網(wǎng)絡的安全，通常采用病毒防護、防火墻、用戶身份驗證、入侵監(jiān)測等技術、設備或網(wǎng)絡管理系統(tǒng)，這些設備、技術和系統(tǒng)的應用，在保障網(wǎng)絡安全方面起到不可替代的作用；但同時也帶來了一系列應用和管理上的問題，比如網(wǎng)絡安全設備參數(shù)、設備數(shù)據(jù)接口的不兼容導致數(shù)據(jù)的重復采集、重復提取和重復分析，從而帶來管理效率的降低；不同設備采集數(shù)據(jù)格式不同，無法進行有效數(shù)據(jù)提取和分析，各種設備和系統(tǒng)實時采集的海量數(shù)據(jù)無謂浪費；各種設備、系統(tǒng)的數(shù)據(jù)規(guī)范不同使得數(shù)據(jù)解析、分析非常困難，從而導致數(shù)據(jù)無法得到連續(xù)應用，也無法進行數(shù)據(jù)的關聯(lián)性分析，并造成各種設備、系統(tǒng)“各自為政”，無法得到統(tǒng)一有效利用。

網(wǎng)絡安全管理模式研究

針對上述網(wǎng)絡安全系統(tǒng)的特點和問題，從網(wǎng)絡安全體系的構成要素入手，借助數(shù)據(jù)流程、業(yè)務流程的規(guī)范，結合數(shù)據(jù)解析技術、異構數(shù)據(jù)庫交互技術、數(shù)據(jù)挖掘技術等關鍵技術，進行了網(wǎng)絡安全管理模式研究，并提出了網(wǎng)絡安全集成管理模式。

網(wǎng)絡安全系統(tǒng)集成

圖1　網(wǎng)絡安全體系

圖2　系統(tǒng)功能框架圖

在網(wǎng)絡安全方面，普遍采用的安全防護措施包括：防火墻（實現(xiàn)企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的隔離）、入侵監(jiān)測（安全防御）、網(wǎng)管系統(tǒng)（網(wǎng)絡安全管理）、機房監(jiān)控（機房安全）、數(shù)據(jù)備份與恢復系統(tǒng)（數(shù)據(jù)安全）、身份認證、訪問控制等，這些設備或者系統(tǒng)安裝在不同的地點、不同的服務器，并采用分散管理的方式，網(wǎng)絡管理人員往往需要頻繁地出入機房、登錄不同的系統(tǒng)來完成網(wǎng)絡安全的監(jiān)控和分析、網(wǎng)絡安全事件或者故障的定位與處理等日常管理維護工作。為了提高網(wǎng)絡管理人員的工作效率，首先從設備和管理系統(tǒng)的訪問入口進行統(tǒng)一管理， 實現(xiàn)各個系統(tǒng)的統(tǒng)一登錄；其次實現(xiàn)設備的互聯(lián)互動；第三是實現(xiàn)管理系統(tǒng)的功能集成。

數(shù)據(jù)集成

在數(shù)據(jù)集成方面，主要采用數(shù)據(jù)分析、數(shù)據(jù)挖掘、異構數(shù)據(jù)庫交互技術、數(shù)據(jù)規(guī)范、流程規(guī)范等手段，從防火墻實時產(chǎn)生日志文件入手，在海量數(shù)據(jù)中篩選出有效的關鍵數(shù)據(jù)，結合防火墻日志管理系統(tǒng)，分析并挖掘防火墻日志、IPS檢測數(shù)據(jù)的關聯(lián)性，結合日常工作的實際情況，形成網(wǎng)絡安全事件處理專家?guī)欤e累安全事件處理、分析經(jīng)驗，減少人工數(shù)據(jù)查詢、比對、統(tǒng)計工作量，大大提高工作效率。

網(wǎng)絡安全集成管理模式

基于對網(wǎng)絡安全管理情況及系統(tǒng)集成、數(shù)據(jù)集成技術的研究，形成“網(wǎng)絡安全集成管理模式”，該模式將將網(wǎng)絡安全體系各要素涉及的設備、軟件等資源進行整合并實現(xiàn)集成管理，將不同設備和不同管理環(huán)節(jié)形成的數(shù)據(jù)進行整合和統(tǒng)一應用，解決了設備、系統(tǒng)和數(shù)據(jù)難以統(tǒng)一應用、網(wǎng)絡安全管理效率低、網(wǎng)絡安全事件響應速度慢等問題，在網(wǎng)絡管理方式上，改變原有網(wǎng)絡管理人員的工作方式，由原來的“被動”防御（主要精力集中于解決已出現(xiàn)的問題）轉(zhuǎn)變?yōu)椤爸鲃印狈烙ㄖ饕杏诎l(fā)現(xiàn)安全隱患）方式，可大幅提高工作效率，從而提高網(wǎng)絡的安全性和可靠性。

網(wǎng)絡安全體系集成管理實踐

在前期研究的基礎上，在某企業(yè)單位進行了網(wǎng)絡安全體系集成管理管理實踐，開發(fā)了網(wǎng)絡安全體系集成管理系統(tǒng)，實現(xiàn)了不同安全設備集成、管理系統(tǒng)整合及數(shù)據(jù)整合與統(tǒng)一應用，為網(wǎng)絡安全提供完整的解決方案，有效保證網(wǎng)絡安全，大幅提高了網(wǎng)絡管理水平。

系統(tǒng)結構

系統(tǒng)主要包括網(wǎng)絡信息集成和網(wǎng)絡管理兩部分功能，詳見圖2。

系統(tǒng)功能

網(wǎng)絡信息集成：負責整個網(wǎng)絡系統(tǒng)的信息、數(shù)據(jù)的提取和集成，將網(wǎng)絡流量、網(wǎng)絡訪問事件、入侵監(jiān)控事件按需要實時匯總和按時匯總統(tǒng)計，并提供數(shù)據(jù)標準化、數(shù)據(jù)匹配、數(shù)據(jù)識別、數(shù)據(jù)分析、數(shù)據(jù)告警處理等功能，為網(wǎng)絡集成管理提供數(shù)據(jù)基礎。

網(wǎng)絡集成管理包括入侵監(jiān)控及安全事件處理、網(wǎng)絡流量監(jiān)控、網(wǎng)絡事件監(jiān)控、網(wǎng)絡運行總覽。在數(shù)據(jù)信息集成的基礎上，實現(xiàn)數(shù)據(jù)格式規(guī)范和數(shù)據(jù)的統(tǒng)一、連續(xù)應用，從而實現(xiàn)網(wǎng)絡安全集成管理功能。

網(wǎng)絡運行總覽：監(jiān)控網(wǎng)絡運行狀況，按日、月、年提供網(wǎng)絡流量、網(wǎng)絡事件、IPS入侵、網(wǎng)絡報警趨勢分析和構成分析，協(xié)助管理員掌握網(wǎng)絡總體運行情況，對網(wǎng)絡異常進行定位分析。該功能模塊所需網(wǎng)絡流量數(shù)據(jù)和網(wǎng)絡事件數(shù)據(jù)來自原始數(shù)據(jù)來交換機，網(wǎng)絡入侵數(shù)據(jù)來自防火墻。

網(wǎng)絡事件監(jiān)控：實時監(jiān)控本單位的網(wǎng)絡事件發(fā)生情況，主要針對用戶上網(wǎng)事件和服務器被訪問事件，按時間段統(tǒng)計排名，并提供事件明細的查詢分析功能。系統(tǒng)從交換機抓取每臺上網(wǎng)設備原始的網(wǎng)絡事件數(shù)據(jù)，經(jīng)過網(wǎng)絡事件規(guī)則解析得到便于理解的網(wǎng)絡事件名稱，并與本單位用戶管理系統(tǒng)數(shù)據(jù)結合，實現(xiàn)用戶的實名管理。

網(wǎng)絡流量監(jiān)控：實時監(jiān)控網(wǎng)絡流量的分布狀況，提供上網(wǎng)流量的明細分析功能，以便網(wǎng)管調(diào)整帶寬，優(yōu)先保證核心業(yè)務的網(wǎng)絡速度。系統(tǒng)從交換機抓取每臺上網(wǎng)設備原始的網(wǎng)絡流量數(shù)據(jù)，經(jīng)過分組統(tǒng)計得到每臺設備每小時的網(wǎng)絡流量，并與本單位用戶管理系統(tǒng)數(shù)據(jù)結合，最終將統(tǒng)計結果與本單位員工實現(xiàn)精確對應。

入侵監(jiān)控及安全事件處理：提供網(wǎng)絡安全事件從報警到處理結果跟蹤的功能，系統(tǒng)從防火墻抓取每臺上網(wǎng)設備的入侵事件數(shù)據(jù)，經(jīng)過按照入侵事件規(guī)則解析，并與本單位用戶管理系統(tǒng)數(shù)據(jù)結合，最終將便于理解的入侵與本單位員工實現(xiàn)精確對應。

圖3　系統(tǒng)功能界面

系統(tǒng)特點

基于現(xiàn)有的網(wǎng)絡設備和網(wǎng)管系統(tǒng)，提出了一種網(wǎng)絡安全體系整合與集成管理的方法，并建設網(wǎng)絡安全集成與一體化管理系統(tǒng)，實現(xiàn)了設備整合、系統(tǒng)集成，實現(xiàn)了統(tǒng)一平臺、統(tǒng)一入口、統(tǒng)一管理。

基于網(wǎng)絡出口設備，如防火墻等，加強網(wǎng)絡監(jiān)聽和網(wǎng)絡數(shù)據(jù)分析，針對網(wǎng)絡訪問事件、網(wǎng)絡流量數(shù)據(jù)、網(wǎng)絡攻擊事件進行監(jiān)控和分析，為網(wǎng)絡安全管理提供決策依據(jù)。

通過智能化應用、用戶身份識別技術，將網(wǎng)絡中單純的IP/端口號（IP/Ports），以及流量信息，轉(zhuǎn)換為更容易理解、更加智能化的應用程序信息和用戶身份信息，為后續(xù)的基于應用程序的策略控制和安全掃描，提供識別基礎。

基于卓越的應用和用戶識別能力，對數(shù)據(jù)流量和訪問來源進行精細化辨識和分類，使得用戶可以輕易從數(shù)據(jù)流量中辨識出任意多種不同的上網(wǎng)應用和用戶身份信息，從而施加細粒度、有區(qū)別的訪問控制策略、流量管理策略和安全掃描策略，保障了用戶最直接、準確、精細的管理愿望和控制訴求。

強大的圖形化數(shù)據(jù)展示功能，直觀監(jiān)測網(wǎng)絡流量、IPS 入侵等數(shù)據(jù)，例圖見圖3。

系統(tǒng)應用情況

自系統(tǒng)上線運行以來，成功實現(xiàn)了防火墻數(shù)據(jù)、交換機數(shù)據(jù)、用戶管理系統(tǒng)的數(shù)據(jù)集成，并實現(xiàn)了系統(tǒng)設計的全部功能且運行正常。

通過網(wǎng)絡運行總覽，可以分別按照日度、月度、年度查看網(wǎng)絡流量網(wǎng)絡事件入侵信息的變化趨勢，方便管理員了解網(wǎng)絡總體運行趨勢。網(wǎng)絡事件監(jiān)控和網(wǎng)絡流量監(jiān)控幫助管理員實時的掌握本單位每個用戶對網(wǎng)絡的使用情況，管理員可根據(jù)該數(shù)據(jù)調(diào)配網(wǎng)絡資源。入侵事件監(jiān)控能夠幫助管理員及時發(fā)現(xiàn)網(wǎng)絡安全問題，迅速定位，并可參考系統(tǒng)提供的以往處理方式進行處理。

在系統(tǒng)的運行過程中，同時對相關工作流程進行了規(guī)范，比如，系統(tǒng)投用前網(wǎng)絡管理員處理IPS 入侵事件的需要經(jīng)過查看日志、數(shù)據(jù)查詢、人工數(shù)據(jù)比、根據(jù)經(jīng)驗確定進行相關處理等步驟，使用該系統(tǒng)提供的集成管理功能后，工作流程簡化為：界面查詢、事件處理兩個步驟，大大提高了工作效率。

結語

基于網(wǎng)絡安全體系集成管理系統(tǒng)的開發(fā)應用實踐和對網(wǎng)絡安全管理情況的研究，將理論研究與實踐應用相結合，形成了“網(wǎng)絡安全集成管理模式”，通過對該企業(yè)進行網(wǎng)絡安全體系集成管理實踐，證明了該集成管理模式及管理系統(tǒng)的有效性和高效性。網(wǎng)絡安全設備及數(shù)據(jù)信息的集成，為數(shù)據(jù)的統(tǒng)一、連續(xù)應用提供了基礎，網(wǎng)絡安全體系集成管理模式及管理系統(tǒng)可以有效利用網(wǎng)絡環(huán)境中的數(shù)據(jù)信息，提高網(wǎng)絡故障的定位速度，提前發(fā)現(xiàn)網(wǎng)絡安全隱患，簡化工作流程，有效保證網(wǎng)絡安全，大幅提高工作效率和網(wǎng)絡管理水平。

10.3969/j.issn.1001-8972.2015.10.014