基于專網的網絡安全管理技術研究

辛強

摘 要：在研究相關文獻基礎上，提出了一種基于專網的網絡安全管理模型，包括專網安全管理模塊、專網安全服務模塊和專網安全代理模塊，從安全性、可用性、可實施性、可擴展性、友好性等五個方面對模型進行評價，對專網網絡安全管理有一定指導意義。

關鍵詞：專網 網絡安全管理 模型

中圖分類號：TP3-0 文獻標識碼：A 文章編號：1674-098X（2017）07（a）-0153-03

隨著網絡技術和信息化的快速發展，信息溝通的方式和渠道愈發便捷。諸如政府機關、軍隊、企業、高等院校等眾多單位為便于工作均建立了專用網絡（簡稱“專網”），專網一般與互聯網物理隔離，相對于互聯網是“安全”的。但伴隨專網的推廣和黑客技術的進步，專網面臨的網絡安全威脅日益增加。為摸清專網面臨的網絡安全威脅，提高專網的網絡安全管理能力，本文在相關文獻研究的基礎上，提出了一種基于專網的安全管理模型。

1 專網網絡安全管理研究現狀

目前，網絡安全研究學者[1-5]對專網的網絡安全管理進行了深入的探討和研究。但僅針對局部展開，未從全局考慮專用網絡安全管理的有效性、可用性、可實施性、可擴展性及友好性，存在一定缺陷。一是相關研究成果未全面體現專網安全的方方面面，缺乏全面地考慮專網網絡安全因素；二是相關研究設計的系統運行效率較低，缺乏可用性；三是未實現審計功能，不能從產生的用戶操作信息中提取可用信息。

2 基于專網的網絡安全管理模型

針對專網網絡安全管理的以上缺陷，提出了一種基于專網的網絡安全管理模型，其主要包括專網安全管理、專網安全服務、專網安全代理三個模塊。圖1為專網網絡安全管理模型。

2.1 專網安全管理模塊

專網安全管理模塊位于模型的最高層，其數據來源于專網網絡管理員制定的策略和存儲單元中的數據。管理員能夠依次向用戶管理單元、主機管理單元、審計管理單元發送指令，表明操作意圖，三個單元接到指令后生成對應的策略，包括用戶管理策略、主機管理策略和審計管理策略。模塊結構如圖2所示。

（1）用戶管理

專網管理員經用戶管理單元制定用戶管理策略，其范圍包括專網主機用戶對主機硬件、系統、重要數據、外主機連接、發送及獲取信息等操作，并詳細定義以上操作的權限，最后在專網主機中應用。

（2）主機管理

主機管理主要檢查專網當前配置，包括硬件、系統環境、系統參數等配置。通過管理員發送的指令生成主機管理策略，其定義了專網主機不應當運行和安裝哪些軟硬件，該策略最終也在專網主機中應用。

（3）審計管理

審計管理服務于管理人員，以制定審計策略，利用審計算法設定審計參數，審計策略發送到專網安全服務模塊，應用于審計分析單元中。

（4）信息管理

信息管理即綜合管理專網內各類信息，其數據（包括用戶日志、主機信息等信息）來源于數據存儲單元，然后進行可視化展示。

2.2 專網安全服務模塊

專網安全服務模塊位于模型的中間層，接收來自專網安全管理模塊數據，并與專網安全代理模塊進行交互，是整個模型的神經中樞，其包括數據存儲、審計分析、用戶認證等單元。管理員制定各類管理策略發送至數據存儲單元，為審計和監控操作提供依據。專網安全代理模塊提供認證信息，由用戶認證單元認證后，反饋結果。若審計分析單元發現用戶行為異常，會啟動報警，并直接發送給專用網絡安全管理模塊。其模塊結構如圖3所示。

（1）用戶認證

用戶認證是確保專網安全的開始，是保證專網用戶不產生危險行為的重要手段。通過認證的用戶信息會保存于數據存儲單元中。數據存儲單元將用戶信息反饋給用戶認證單元，進行比對，確保認證信息無誤，對認證失敗的用戶，該單元會啟動報警，并告知專網管理員。

（2）審計分析

審計分析單元可以合理分析數據存儲單元中的用戶日志信息，以確保專網安全。審計分析單元如圖4所示。主要功能如下：

①利用數據分析算法，審計用戶日志信息，通過審計信息各屬性間的關系，分析出用戶的正常操作模式，并轉化為強規則保存在數據存儲單元。

②通過生成的強規則，獲得用戶正常操作的定義信息，并記錄用戶操作日志，發現非法操作立即報警，并告知專網管理員。

③不斷更新審計規則和歷史審計信息，并循環執行，精確檢測潛在的異常日志。

（3）數據存儲

數據存儲單元主要涵蓋各類數據庫、主機信息、用戶日志、認證信息和管理策略等。

2.3 專網安全代理模塊

專網安全代理模塊位于模型的最底層，是確保專網安全的基礎，其依賴于管理策略，嚴格監控主機及用戶操作。模塊分為三個步驟：第一步，主機檢測單元檢測用戶認證信息，確認用戶身份合法；第二步，主機檢測單元檢測合法用戶當前主機的各項軟硬件配置，判斷主機各項配置正確與否，并對系統實施漏洞掃描，及時發現漏洞信息，并啟動報警；第三步，用戶監控單元實時監控用戶操作。其模塊結構如圖5所示。

（1）主機檢測

主機檢查通過主機管理策略檢查當前主機的系統及軟硬件配置，發現配置與主機管理策略定義的配置不匹配，則啟動報警。主機檢查單元可以掃描系統漏洞，及時發現潛在威脅，并啟動報警。

（2）用戶監控

用戶監控單元實時監控認證用戶，根據用戶管理策略中定義的用戶權限，實現監控不同用戶的日常操作。所監控的操作包括啟用的軟件、進程、端口、設備、注冊表、拷貝文件、非法訪問等。用戶一旦越權操作，即刻啟動報警。

（3）信息收集

信息收集單元與其它單元獨立，循環完成收集和發送硬件配置、用戶日志、系統信息等信息，而后保存于數據存儲單元。

（4）報警

報警是系統對用戶異常操作的反應。

3 專網網絡安全管理模型評價

專網網絡安全管理模型通過5個指標和5個內容進行評價，如表1所示。

4 結語

該文在傳統網絡安全管理模型研究的基礎上，綜合考慮專網目前面臨的主要問題，提出了一種基于專網的網絡安全管理模型，對專網網絡安全管理提供了理論依據，具有一定指導意義。下一步研究的重點將集中于模型的系統設計與實現。

參考文獻

[1] 陳麗莎，張鳳荔.王娟構建網絡安全評估態勢體系[J].重慶科技學院學報，2008，10（3）：135-137.

[2] 于群，馮玲.基于BP神經網絡的網絡安全評價方法研究[J].計算機工程與設計，2008，4（8）：1963-1966.

[3] 敖雪妮.基于內容分析法的網絡信息安全管理政策研究[D].成都：電子科技大學，2015.

[4] 伏曉，蔡圣聞，謝立.網絡安全管理技術研究[J].計算機科學，2009（36）：15-19.

[5] 張茹.面向網絡安全管理的數據采集若干關鍵技術的研究與實現[D].北京：北京郵電大學，2013.endprint