計算機(jī)模擬技術(shù)及實踐應(yīng)用構(gòu)想設(shè)計

黃蓉波，鄭良謙，徐 強(qiáng)

（成都飛機(jī)工業(yè)（集團(tuán)）有限公司，成都 610000）

1 計算機(jī)模擬技術(shù)概述

隨著大數(shù)據(jù)的快速發(fā)展，就像計算機(jī)和互聯(lián)網(wǎng)一樣，隨之興起的數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)和人工智能等相關(guān)技術(shù)，可能會改變大數(shù)據(jù)的很多算法和基礎(chǔ)理論，實現(xiàn)科學(xué)技術(shù)上的突破。計算機(jī)模擬技術(shù)是基于數(shù)據(jù)層面建立模型進(jìn)行運(yùn)算，模擬技術(shù)以數(shù)學(xué)模型、物理模式為基礎(chǔ)，利用計算機(jī)技術(shù)建立起模型，以便達(dá)到模擬的效果。計算機(jī)模擬技術(shù)（即computer modeling technique，簡稱為CMT），CMT 可以將各領(lǐng)域的數(shù)據(jù)模型與產(chǎn)品進(jìn)行模擬、事實監(jiān)測，及時發(fā)現(xiàn)問題。數(shù)據(jù)模型一般通過兩種方式，確定型方式就是將事先模型數(shù)據(jù)設(shè)置為良好遵循原則，以確保模擬的結(jié)果準(zhǔn)確度。傳統(tǒng)的事后型方式，利用突發(fā)事件時產(chǎn)生的平均值及概率，模擬解決問題出現(xiàn)的概況。

信息安全系統(tǒng)是一個動態(tài)的、循環(huán)的過程，面臨多樣化和頻繁化侵?jǐn)_，需要做出反應(yīng)的時間越來越短，被動式的安全管理不能保證企業(yè)信息安全，則需要搭建綜合集成模擬測試環(huán)境。

2 計算機(jī)模擬技術(shù)在企業(yè)信息安全中的應(yīng)用分析

要確保系統(tǒng)性信息安全，在設(shè)計時就需要通過模擬來搭建測試環(huán)境，因此大型企業(yè)需要構(gòu)建相應(yīng)的信息流程模型。

2.1 辦公網(wǎng)模擬環(huán)境技術(shù)

通過搭建辦公網(wǎng)模擬環(huán)境，參照辦公網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)搭建網(wǎng)絡(luò)平臺、服務(wù)器、客戶端，部署辦公網(wǎng)在用的邊界防護(hù)設(shè)備、安全審計系統(tǒng)、域控系統(tǒng)、非法外聯(lián)系統(tǒng)、防病毒系統(tǒng)、身份認(rèn)證系統(tǒng)等安全防護(hù)產(chǎn)品。研究應(yīng)用軟件、安全產(chǎn)品在現(xiàn)有終端、服務(wù)器、網(wǎng)絡(luò)應(yīng)用的兼容性，在日后的安全產(chǎn)品選型、應(yīng)用軟件開發(fā)環(huán)節(jié)中提供兼容性測試環(huán)境；研究安全策略（域策略、防火墻策略、身份認(rèn)證策略等）變化時對現(xiàn)有終端、服務(wù)器、應(yīng)用系統(tǒng)的影響，幫助技術(shù)人員提高系統(tǒng)故障處理能力，避免策略下發(fā)不當(dāng)影響科研生產(chǎn)；對域控系統(tǒng)、防火墻系統(tǒng)、身份認(rèn)證系統(tǒng)進(jìn)行深入的實踐研究，提高安全技術(shù)人員水平；對數(shù)據(jù)加密技術(shù)、數(shù)據(jù)流向控制技術(shù)、抗抵賴等安全技術(shù)進(jìn)行研究。

2.2 工控網(wǎng)模擬環(huán)境技術(shù)

模擬生產(chǎn)環(huán)境搭建工控系統(tǒng)、專用計算機(jī)、工控服務(wù)器環(huán)境。并參照等級保護(hù)要求搭建工控安全防護(hù)系統(tǒng)。首先，要模擬病毒防護(hù)，搭建基于白名單機(jī)制的惡意代碼防護(hù)系統(tǒng)進(jìn)行模擬技術(shù)的實驗。第二，在模擬涉密網(wǎng)與模擬工控網(wǎng)間搭建數(shù)據(jù)交換區(qū)域，通信協(xié)議數(shù)據(jù)進(jìn)行深度挖掘和過濾防護(hù)，攔截不符合協(xié)議安全及不符合業(yè)務(wù)需求的數(shù)據(jù)內(nèi)容，研究符合安全保密的數(shù)據(jù)交換技術(shù)對工控數(shù)據(jù)傳遞、實時監(jiān)測等方面的影響。第三，模擬工控網(wǎng)訪問日志的整理、分析、儲存，審計以及監(jiān)測網(wǎng)絡(luò)流量及時發(fā)現(xiàn)潛在攻擊。

2.3 數(shù)據(jù)安全技術(shù)

此部分?jǐn)?shù)據(jù)安全是指數(shù)據(jù)容災(zāi)恢復(fù)及數(shù)據(jù)擦除。數(shù)據(jù)安全分為邏輯上的安全、物理上的安全，數(shù)據(jù)備份是保障信息邏輯安全、信息物理安全有效手段。當(dāng)前企業(yè)通過互聯(lián)網(wǎng)作為內(nèi)部溝通、文件傳遞、上下級管理、分支部門聯(lián)系重要途徑，對企業(yè)數(shù)據(jù)丟失造成重大安全隱患。黑客攻擊、病毒入侵、數(shù)據(jù)篡改，硬盤存儲成為黑客攻擊的主要對象。因此，企業(yè)高度重視服務(wù)器的數(shù)據(jù)存儲功能，將企業(yè)重要信息、數(shù)據(jù)存儲于服務(wù)器中并做備份。DAS直接與主機(jī)系統(tǒng)相連接進(jìn)行數(shù)據(jù)的IO 讀寫和存儲維護(hù)管理，采用DAS 數(shù)據(jù)管理模型，把用戶的數(shù)據(jù)存放在數(shù)據(jù)庫服務(wù)提供端DSP，并讓它們通過網(wǎng)絡(luò)使用數(shù)據(jù)庫管理系統(tǒng)，不僅可以防止外部黑客攻擊者對重要數(shù)據(jù)的竊取或篡改，還可以防止DSP 企業(yè)內(nèi)部人員的非法訪問。

3 計算機(jī)模擬技術(shù)的應(yīng)用實踐構(gòu)想設(shè)計

根據(jù)國家分級保護(hù)技術(shù)要求，本文在進(jìn)行模擬技術(shù)實踐時，由于信息安全綜合集成測試需要考慮到身份鑒別、訪問控制、安全審計、系統(tǒng)安全性檢測、邊界安全防護(hù)等因素，從而才能基本滿足企業(yè)信息安全生產(chǎn)環(huán)境的模擬需求，主要涉及以下方面：

（1）安全域劃分研究：根據(jù)分級分域防護(hù)要求，在模擬環(huán)境劃分7個安全域，研究安全域劃分與交換機(jī)ACL 訪問控制列表配置技術(shù)，限制安全域之間的相互通信。

（2）邊界訪問控制技術(shù)研究：根據(jù)安全域邊界隔離需求，在安全域邊界部署防火墻，研究防火墻訪問控制策略配置，實現(xiàn)防火墻對安全域的隔離。

（3）終端安全防護(hù)技術(shù)研究： 安裝部署與辦公網(wǎng)相同的安全產(chǎn)品，包括主機(jī)審計系統(tǒng)、防病毒系統(tǒng)、域管理等，實現(xiàn)辦公網(wǎng)相同的防護(hù)級別，同時，對各類安全策略的配置進(jìn)行研究，進(jìn)一步提升終端的安全性，并測試驗證各安全產(chǎn)品、安全策略的兼容性以及對系統(tǒng)性能的影響。

第一域控技術(shù)研究：與域控及子域控架設(shè)技術(shù)及域策略的設(shè)置進(jìn)行研究，以提高域策略設(shè)置的合理性與安全性；第二虛擬化技術(shù)研究：在服務(wù)器上虛擬多臺服務(wù)器和桌面應(yīng)用終端，對虛擬技術(shù)以及公司現(xiàn)有安全產(chǎn)品在虛擬計算機(jī)上的穩(wěn)定性、兼容性進(jìn)行研究；第三安全性能檢測技術(shù)研究：研究漏洞掃描系統(tǒng)掃描服務(wù)器、用戶終端時，對被掃描設(shè)備性能的影響，以及對已知安全漏洞的發(fā)現(xiàn)率的研究；第四應(yīng)用測試環(huán)境搭建技術(shù)研究：針對不同的測試應(yīng)用系統(tǒng)，對快速生產(chǎn)、恢復(fù)滿足各應(yīng)用系統(tǒng)運(yùn)行環(huán)境技術(shù)進(jìn)行研究。

4 結(jié)束語

企業(yè)信息安全的應(yīng)用就是要基于硬件、軟件，通過計算機(jī)技術(shù)、互聯(lián)網(wǎng)技術(shù)、數(shù)據(jù)技術(shù)、協(xié)議標(biāo)準(zhǔn)不受黑客攻擊、不被篡改、泄露和破壞企業(yè)中藥數(shù)據(jù)。通過硬件存儲設(shè)備進(jìn)行備份，可以隨時恢復(fù)重要數(shù)據(jù)。模擬技術(shù)應(yīng)用到企業(yè)信息安全領(lǐng)域，是可以有效預(yù)警信息安全問題。企業(yè)的信息安全日益受到重視，則需要通過建立制度和措施防患于未然。