基于信息網絡安全防御體系設計研究

王 軍

(安徽工貿職業技術學院計算機信息工程系，淮南 232001)

隨著計算機技術的快速發展與應用，世界范圍內的網絡普及在給人們帶來極大便利的同時，少數不法分子則利用網絡信息安全方面的漏洞，對網絡信息進行攻擊以達到自己違法的需求。網絡信息運營商為了加強網絡信息系統的安全性，不斷提升專用信息網絡的防護等級要求并制定了不同的防御體系，力爭建立高效穩定的安全防護體系，以滿足人們對網絡信息使用的需求[1]。雖然我國在網絡信息安全建設方面已經取得了巨大的進展，并逐步形成了自己的網絡系統防護體系，但是網絡信息化的快速發展和安全防御體系的相對滯后和薄弱一直是處于不平衡狀態，仍然迫切需要開發與設計出適應于當今信息網絡安全的防御體系[2]。在此基礎上，本文從信息安全防御體系設計原則的角度出發，提出了網絡安全防御體系的總體設計方案和信息網絡安全防御策略體系要點，對關鍵技術進行了設計與說明，以期為提升信息網絡安全防御體系的設計與應用提供參考。

1 安全防御體系設計

基于目前國內政府、高校、醫院等企事業單位的信息網絡安全現狀，需要在安全防御體系設計時遵循安全可靠、集成創新、綜合成本低、先進與標準兼容和多重保護的原則，這樣可以實現網絡技術發展和防御體系升級的同步，最大限度保證網絡信息安全[3]。

在新型網絡安全防御體系設計過程中，總體設計方案包括物理防護、網絡防護和數據防護三個主體，見圖1。其中，物理防護主要包括信息網絡線路、機房和相關附屬設備設施等，網絡防護則主要從隔離、檢測和認證三個角度出發切斷網絡入侵者的渠道，數據防護主要從移動數據管理、操作系統安全和傳輸加密角度出發來保證網絡信息的安全性和完整性。在對網絡信息進行安全防御的過程中，抵御網絡攻擊和病毒入侵的系統需要遵循動態防御的思想，即從安全策略、防護、檢測和響應四個環節進行動態循環，以更好地保證安全防御的完整性[4]。

在實際設計信息網絡安全防御體系時，由于網絡信息量較大且不同信息的安全防護級別不同，因此，建議采用“縱深防御思想”進行設計，具體分布如圖2。其基本策略包括安全管理策略、物理安全策略、訪問控制策略和信息加密策略。在防御過程中將網絡信息分為不同的層級：危險層、非安全層、可信任層、基本安全層、安全層和核心層，不同的信息層級需要建立與此相匹配的防護手段，如處于危險層的信息則需要建立具有智能化的入侵檢測預警監視系統，非安全層則建立高度加密的傳輸手段，可信任層建立防火墻訪問控制策略，基本安全層則建立VPN、VLAN證書授權，安全層和核心層則可以采用物理隔斷、冗余備份以及人工信息交換的方法進行[5]。

2 關鍵技術

2.1 流量監測

在實際信息網絡安全防御體系正常工作時，通常遇到流量異常現象，而這些異常現象產生的原因多與網絡蠕蟲病毒或DOS、BT等軟件下載有關，需要對這些異常流量進行檢測分析，以確保網絡信息安全。常規的流量檢測技術包括閾值檢測、GLR檢測和小波技術檢測，這些檢測技術雖然能夠在一定程度上對異常流量現象進行防御，但都存在一些弊端。如閾值檢測是一種靜態的流量檢測方法且對閾值要求較高，GLR檢測計算較為復雜，小波技術檢測是一種純數學方法而實用性受到限制等。為了進一步提升網絡信息安全的防御精度和檢測效率，建議采用基于時間序列異常檢測模型(AR)，該模型利用自回歸模型和擬合隨機誤差時間序列分析相結合，可以通過模型辨識、定型和分析等操作，得到不同時間段的噪聲變化規律并做方差分析，由此建立檢測模型以區分是否存在流量異常現象，具體步驟包括對網絡流量進行預處理、零均質化、建立模型并對流量結果進行分析與預測[6]。

2.2 數據流審計

常規的數據流審計技術包括統計模型(對入侵數據進行統計分析)、數據挖掘(提取潛在信息并形成規律)和基于神經網絡異常(以神經網絡系統對入侵數據進行預測)的檢測。這三種數據流審計技術可以在一定程度上提升決策判斷的準確度和效率，且不同的數據流審計方法都有各自的優缺點，如統計模型雖然可以應用成熟的概率統計理論，但是需要大量的檢測數據并存在閾值確定困難；數據挖掘技術雖然可以對未知入侵進行預測，但是需要將前期數據進行分析以形成規律或模型；神經網絡技術雖然具有良好的抗干擾能力，但是不同影響因素的權重無法確定。在此基礎上，本文推薦使用基于成熟概率統計的統計分析法，該方法假定任意時間段內的參數過程是平穩的，所有數據都滿足大數定律以及入侵數據與正常數據傳輸之間的誤差能夠準確反應。

2.3 漏洞掃描

常規的漏洞掃描技術包括基于應用、主機、目標和網絡的掃描技術，這四種方法都采用非破壞性和積極的方法來對網絡信息系統進行掃描分析，以確定其是否被攻擊。雖然這些漏洞掃描技術可以在一定程度上提取出安全漏洞，但是也存在升級復雜和網絡性能會受到不同程度影響等缺點[7]。在此基礎上，本文提出一種基于主機、端口和操作系統掃描的信息掃描技術，其中，主機掃描包括ICMP Echo Request、Echo Reply、ICMP Sweep、Broadcast ICMP和Non-Echo ICMP等，端口掃描包括TCP connect、TCP SYN、UDP和IP分片掃描等，操作系統掃描技術包括ICMP響應分析、標識信息和操作系統質問探測技術等[8-10]。

2.4 關鍵技術的實現

為了實現數據流審計系統對所有網絡信息系統中的主機、防火墻、網絡信息等進行監控和入侵檢測，設計了圖3所示的數據流審計系統的總體框架。其核心思想是通過交換機取回數據流，采用預處理模塊對采集到的數據進行解碼和預處理，然后通過檢測系統判斷數據是否存在異常，異常檢測項目包括DB、LOG文件、郵件報警和Trap等，最終形成自適應報警或者日志[11-12]。

漏洞掃描系統的總體框架如圖4。這套漏洞掃描系統模型是建立在用戶實際應用需求的基礎上，模型中包含了漏洞信息查詢模板、系統配置模板和更新模塊三個方面，在掃描主機上運行漏洞掃描系統，可通過模型自帶的漏洞庫、漏洞掃描模塊和掃描插件庫實現對網絡對象的掃描，并通過分析來判定哪些屬于非法入侵，形成總體評估報告后傳輸給用戶并將結果反饋給數據庫[13-14]。這套漏洞掃描系統不需要用戶具有特殊權限，且可以同時運行幾個模塊以提高檢測效率。

本文為了進一步提升信息網絡安全防御效率和質量，設計了一套檢測與防御聯動的防御體系[15]。基本框架如圖5。綜合聯動控制模板從路由器、防火墻、核心交換機、各級交換機、操作系統、安全軟件和應用軟件中收集數據信息，并從策略庫中選擇聯動策略進行檢測，判定數據是否屬于入侵信息，并由防御模板進行主動防御，最終形成一套動態安全防御系統。檢測和防御聯動設計的核心在于實現檢測與防御的聯動，即檢測模塊可以進行入侵檢測、漏洞掃描和流量審計等，而防御模塊則可以引入防火墻等進行入侵防護[16]。這種檢測和防御的聯動設計體系可以同時發揮檢測和防御的優勢，對入侵行為進行有效阻斷，最大限度保護信息網絡安全。

3 結 論

本文基于加強信息網絡安全防御的目標，提出了網絡安全防御體系的總體設計方案和信息網絡安全防御策略體系要點，并對安全防御體系涉及的關鍵技術進行了分析，建立了一套兼具檢測與防御聯動功能的防御體系，為提升信息網絡安全防御體系的設計與應用提供了參考。