網絡安全及管理體系的改進與實施研究

翟 栩，姜為夷，李冰潔

（1.中油龍慧自動化工程有限公司，河北 廊坊 065001；2.中油管道投產運行公司，河北 廊坊 065001；3.中國石油天然氣管道工程有限公司，河北 廊坊 065000）

1 網絡安全概述

1.1 法律法規(guī)

隨著我國進入信息化時代，國家主席習近平在“十三五”規(guī)劃中做出重要講話，要保證信息化安全和使用的網絡安全。由我國公安部牽頭，制定了許多法律法規(guī)，比如《關于信息安全等級保護工作上的實施意見》等，總共制定了60多個文件和法律來保證信息安全和網絡使用安全。

1.2 網絡安全技術

網絡管理中最關鍵的是對網絡進行安全管理，使用安全方法管理網絡，需要相應的技術。我國已經認識到網絡安全管理的重要性，很多高等院校也開設相應的網絡管理技術專業(yè)，不久的將來，這些網絡化人才投入網絡安全管理中，一定會促進網絡安全管理事業(yè)的發(fā)展。

1.3 網絡安全管理

網絡安全中技術相對重要，同樣管理也非常重要。網絡安全有“三分靠技術，七分靠管理”的說法，由此可見，要實現網絡的安全使用，安全管理非常重要。網絡安全管理需要相應的人才，特別是一些信息科技公司，對網絡管理非常重要，這些公司使用網絡為企業(yè)獲得利潤的同時，也需要培養(yǎng)網絡管理人才，使用優(yōu)質人才進行網絡管理，保證網絡的安全性。

1.4 網絡安全防范措施

①防火墻。該種設備主要由兩個部件組成，一個是硬件設備，另一個是軟件。使用防火墻主要起到隔絕攻擊信息的作用。防火墻設備的建立過程中，需要安置在內部網絡和外部網絡之間，所有的外部信息在訪問內部網絡時，都需要經過防火墻認證，通過認證才能訪問內部網絡，以此實現網絡的使用安全。②安全路由器。外部網絡的訪問首先需要轉換路由器，因此選擇合理的、有安全性的路由器是防止網絡安全的關鍵。③信息安全預警系統(tǒng)。安全網絡預警系統(tǒng)主要功能是對網絡數據的實時監(jiān)控，能有效尋找惡意攻擊信息，使用阻止方法防止攻擊，以此保證網絡環(huán)境的安全。網絡安全預警系統(tǒng)設置后，有相應的報警功能，能對網絡中的數據流進行檢測，并分析數據信息。如果信息數據有危險因素，系統(tǒng)會有相應的報警程序，以此來提醒使用者注意防范風險。

2 網絡安全管理體系結構概述

2.1 Agent結構體系

信息安全體系管理中采用Agent結構體系，該結構體系的優(yōu)點是對信息有一定的處理能力，而且在處理信息方面，有的信息內容結構體系可以自行處理，減少傳輸管理中心的信息，相應的傳輸費用開銷會減少，且采用該管理結構還可有效減輕管理中心負擔。使用該結構管理網絡系統(tǒng)，關鍵技術是如何實現將管理任務采用合理方法和科學方法劃分給Agent。

2.2 模塊結構體系

網絡安全管理體系使用模塊結構，采用該種模式來管理網絡系統(tǒng)，其中模塊結構包括的技術比較多，比較常用的技術有插件技術、構件技術和組件技術等。模塊管理結構中，主要采用系統(tǒng)以外的第三方設計，比如網絡系統(tǒng)中沒有安全管理系統(tǒng)，而安全管理系統(tǒng)需要采用第三方設計，實現即插即用的效果。網絡系統(tǒng)可采用購買或者根據自身需要采用定量設計方法來形成安全網絡管理系統(tǒng)，實現對網絡的安全管理。

2.3 層次化模塊結構

網絡安全管理中采用層次管理結構模式，該種網絡安全管模式和前面介紹的兩種完全不相同，層次化模塊型結構主要是從網絡協議棧的角度出發(fā)，通過縱向關系實現網絡安全管理。網絡安全中有異構性，正是有這種特性，使安全機制能夠展現在不同的協議層中，在該種情況下需要管理此問題的安全機制。網絡安全設計人員可以有效利用這方面的問題，在安全協議中設置一個分布的基礎設施，如果網絡運行過程中遇見安全問題，可重新配置各個安全機制，以此實現層次性的服務。

3 網絡安全策略分析

3.1 安全管理過程中的策略分析

3.1.1 對策略模型分析

安全網絡管理體系建立過程中，采用模型的方法來建立網絡安全管理體系，其中的模型主要功能是采用通用的語法對各個安全組件進行抽象描述，為結構向標準化的方向發(fā)展奠定基礎。采用策略模型來完成安全策略的表現形式能使用不同的數據格式映射出來，比如使用LDAP.XML，采用該種安全管理策略，能夠有效實現安全策略的傳輸，使解析更加方便。

3.1.2 策略表示語言

策略模型在網絡安全體系中使用，主要是對安全策略的抽象描述，但是在網絡安全管理系統(tǒng)中使用策略語言，該種模式可使用對安全策略的細致描述，因此在表達上也會更加具體。但是采用策略語言來描述，該模式有相應的局限性，只能在特定的領域中才可以使用策略語言。因此網絡安全管理系統(tǒng)使用策略語言無法實現對各種安全機制的描述。在目前的網絡安全管理中，使用策略語言比較廣泛，目前使用比較有代表性的有對象語言、邏輯語言和事件語言等，盡管使用的這些語言各自的特點不相同，但是在實際使用時他們都有自身的優(yōu)點。

3.1.3 策略分析

網絡安全管理體系的策略分析主要分為兩個方面的內容：一個是驗證一致性；另一個是消除沖突。在網絡安全中描述的策略沖突，包括的比較廣泛，且相應的種類也非常繁多，比如策略沖突包括了動態(tài)沖突、靜態(tài)沖突等。策略分析包括的主要內容有以下幾方面：①手工形式對沖突進行消除設置。如果在網絡安全管理體系中出現策略沖突時，可采用人工方法來解決沖突問題；②對靜態(tài)沖突進行校驗時，或者是對沖突開展消除工作時，可以采用語法分析的方法對沖突進行驗證，可以采用局部調整的辦法來避免沖突發(fā)生。

3.2 以安全體系為中心

網絡安全管理系統(tǒng)采用安全本體為中心管理，該種管理模式主要是采用本體代替形式的規(guī)則，采用該方法實現安全防護建模。安全本體為中心的管理系統(tǒng)由以下幾方面內容構成：簡單的詞匯構成、簡單的語義構成和簡單的邏輯規(guī)律構成。在安全本體為中心的基礎上，本體更加接近人們的生活，同樣采用描述形式接近人們的需要，語言上能夠滿足決策者的需求，正是有以上方面的功能和特點，才為查詢和擴展奠定了基礎。在網絡安全管理體系中采用安全本體為中心的安全策略，采用該種策略能有效提高安全策略的分析準確率，同時還可以有效提高安全策略分析的效率。

4 網絡安全管理實現技術

4.1 對信息的集成進行分析

網絡安全管理涉及的內容非常廣泛，對網絡進行安全管理需對不同的廠商進行管理，還需要對不同的產品進行管理，同時對異構的產品還需要收集產品信息，收集完產品信息還需開展準確的信息分析，其中，根據分析的結果對信息開展處理工作是非常重要和關鍵的。因此網絡安全管理系統(tǒng)中如何收集和處理信息是網絡安全管理要完成的工作內容。網絡安全管理中對信息的收集包含著信息收集的涵蓋范圍，影響系統(tǒng)分析結果。在信息集成技術的研究過程中，主要解決的問題是如何收集信息，信息集成技術主要包括兩個方面的內容，一方面是對信息數據的收集工作；另一方面是對信息數據收集完成后采用預處理方法。采用信息集成技術對數據進行信息收集，信息的收集來源是各個產品的數據信息，收集產品的數據信息后利用系統(tǒng)進行綜合處理。

4.2 智能分析引擎

網絡安全管理體系中的核心部分內容是智能分析引擎，智能分析引擎的主要功能是在網絡中的各個異構產品數據，對這些數據的關聯性進行分析，分析這種數據的主要目的是發(fā)現數據中存在的不安全因素，如果智能分析引擎發(fā)現有不安全因素，會采用自動報警的方法來響應。在智能分析引擎中，對數據的分析主要采用關聯分析方法，在網絡安全管理如何設計關聯分析也是一個技術難點，同時在網絡安全關聯中，關聯分析占有重要地位。設計網絡安全管理系統(tǒng)時，如何解決關聯分析是關鍵，可采用各個組件的安全數據進行綜合分析，采用綜合分析方法能對不同地點、同時發(fā)生的事件進行分析和過濾，以此提高信息分析的準確性。網絡安全管理采用統(tǒng)一管理技術，該種技術之所以有安全管理的優(yōu)勢，主要是在系統(tǒng)中采用綜合分析方法。

5 結 語

對網絡安全系統(tǒng)的優(yōu)化過程中，主要是優(yōu)化安全策略，安全策略直接關系網絡安全管理體系質量，安全策略有效優(yōu)化，能過濾和阻止攻擊信息，以此實現網絡安全。同時，網絡安全管理人員還需不斷創(chuàng)新，使用更優(yōu)化的網絡安全管理系統(tǒng)，實現網絡的安全使用。