基于網(wǎng)絡(luò)安全防護(hù)體系的網(wǎng)絡(luò)管理技術(shù)研究

董常睿

（南京市社會(huì)兒童福利院，江蘇 南京 210000）

0 引 言

網(wǎng)絡(luò)安全威脅主要分為兩種，即網(wǎng)絡(luò)中信息的威脅和網(wǎng)絡(luò)中設(shè)備的威脅，主要可以歸納為以下幾個(gè)方面[1]。第一，人為的無意失誤。由于計(jì)算機(jī)網(wǎng)絡(luò)操作員安全配置不當(dāng)，造成網(wǎng)絡(luò)安全漏洞，對(duì)網(wǎng)絡(luò)安全帶來威脅；或者由于用戶沒有將安全意識(shí)放在心上，又或者是缺乏審慎的思考把自己的賬號(hào)不經(jīng)意地轉(zhuǎn)借或與他人分享，也會(huì)給網(wǎng)絡(luò)安全帶來威脅。第二，人為的惡意攻擊。計(jì)算機(jī)網(wǎng)絡(luò)安全要面臨敵對(duì)攻擊者和計(jì)算機(jī)犯罪，主要表現(xiàn)為主動(dòng)攻擊和被動(dòng)攻擊兩種，在這種人為惡意攻擊下，對(duì)網(wǎng)絡(luò)信息進(jìn)行截獲、竊取、破譯，導(dǎo)致網(wǎng)絡(luò)信息數(shù)據(jù)的泄露，給計(jì)算機(jī)網(wǎng)絡(luò)帶來極大的威脅[2]。第三，網(wǎng)絡(luò)軟件漏洞。由于計(jì)算機(jī)網(wǎng)絡(luò)軟件難免存在缺陷或漏洞，黑客極易針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)軟件的漏洞進(jìn)行攻擊，導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)缺乏必要的保護(hù)。

1 網(wǎng)絡(luò)安全防護(hù)體系中網(wǎng)絡(luò)管理技術(shù)

計(jì)算機(jī)安全防護(hù)體系中的網(wǎng)絡(luò)管理技術(shù)主要對(duì)網(wǎng)絡(luò)通信處理服務(wù)進(jìn)行有效監(jiān)督、組織和控制，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行異常進(jìn)行及時(shí)且快速的響應(yīng)和故障排除。具體來說，網(wǎng)絡(luò)管理技術(shù)主要通過對(duì)網(wǎng)絡(luò)功能的遠(yuǎn)程設(shè)置、監(jiān)控和修改等方式為用戶提供所需的數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)分析以及網(wǎng)絡(luò)管理等功能，并對(duì)網(wǎng)絡(luò)中的各種設(shè)備進(jìn)行合理配置與實(shí)時(shí)監(jiān)控[3-5]。

1.1 加密技術(shù)

密碼體制指的是一個(gè)系統(tǒng)需要對(duì)應(yīng)使用一套基本工作方式，同時(shí)它一般由兩個(gè)基本要素組成，也就是人們經(jīng)常說的加解密算法和密鑰。以往的密碼體制使用的加密密鑰和解密密鑰基本上是一致的，被稱為對(duì)稱密碼體制。如果加密密鑰和解密密鑰不一致，那么就會(huì)變?yōu)榉菍?duì)稱。密鑰是密碼算法眾多參數(shù)中可以變化的一類，在設(shè)計(jì)加密系統(tǒng)時(shí)，加密算法可以以公開的方式進(jìn)行，而需要保密的則是密鑰。密碼是一種數(shù)學(xué)變換，即：

式中，m為沒有進(jìn)行加密的信息（明文），C為進(jìn)行加密的信息（密文），E為采用加密算法，k為密鑰。加密算法以公開的方式存在，而密鑰只能由通信雙方來掌握。密鑰的位數(shù)越長(zhǎng)，破譯的困難也越大，安全性也越好。

1.1.1 對(duì)稱密鑰密碼體系

數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES）是典型的對(duì)稱加密算法，由IBM公司提出，經(jīng)過ISO認(rèn)證。目前，廣泛應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)帳領(lǐng)域。64位密鑰中的8位用于奇偶校驗(yàn)，用戶使用其余的56位，不是非常安全。對(duì)稱加密算法的優(yōu)點(diǎn)是算法公開、計(jì)算量小、加密速度快以及加密效率高，缺點(diǎn)是在數(shù)據(jù)傳送前，發(fā)送方和接收方必須商定好密鑰，然后使雙方都能保存好密鑰。如果一方的密鑰被泄露，那么加密信息也就不安全了。另外，每對(duì)用戶每次使用對(duì)稱加密算法時(shí)，都需要使用其他人不知道的獨(dú)一密鑰，這會(huì)使得收、發(fā)雙方所擁有的鑰匙數(shù)量巨大，密鑰管理成為雙方的負(fù)擔(dān)。

1.1.2 非對(duì)稱密鑰密碼體系

公鑰和私鑰數(shù)學(xué)相關(guān)，一般是以配套的方式出現(xiàn)，但是目前還沒有哪一種具體的算法可以科學(xué)精準(zhǔn)地通過前者計(jì)算出后者，解決身份認(rèn)證和防抵賴問題。和對(duì)稱加密算法相比，簡(jiǎn)化了密鑰的數(shù)目。公鑰加密技術(shù)的缺點(diǎn)是加密算法較為復(fù)雜，加密和解密的速度不會(huì)太快。RSA體制是迄今為止較為成熟的理論，是一種公鑰密碼體制。Elgamal可以看作是離散對(duì)數(shù)的公鑰密碼體制，密文依賴于隨機(jī)數(shù)，又稱概率加密體制。

1.2 防火墻技術(shù)

防火墻需要嚴(yán)格把控進(jìn)出內(nèi)部網(wǎng)絡(luò)所涉及到的每一個(gè)數(shù)據(jù)包，以合法性作為檢查數(shù)據(jù)包的底線，客觀判斷其是否會(huì)對(duì)網(wǎng)絡(luò)安全造成一定的攻擊和作用，進(jìn)而在內(nèi)部網(wǎng)絡(luò)形成較為安全的邊界。考慮到其組合方式有多種，所以防火墻系統(tǒng)的結(jié)構(gòu)也多種多樣。

1.3 包過濾路由器

路由器需要以系統(tǒng)內(nèi)部設(shè)置的分組過濾規(guī)則作為標(biāo)注和依據(jù)，從而對(duì)每個(gè)具體分組中的源IP地址、目的IP地址等進(jìn)行認(rèn)真細(xì)致的檢查。包過濾路由器的結(jié)構(gòu)如圖1所示。

圖1 包過濾路由器的結(jié)構(gòu)

1.4 網(wǎng)絡(luò)文件備份與恢復(fù)技術(shù)

網(wǎng)絡(luò)數(shù)據(jù)的歸檔和備份功能較為實(shí)用，第一個(gè)功能可以通過特殊介質(zhì)進(jìn)行永久性存儲(chǔ)，而第二個(gè)功能是大多數(shù)網(wǎng)絡(luò)都需要進(jìn)行的維護(hù)工作，同時(shí)這個(gè)功能對(duì)于網(wǎng)絡(luò)系統(tǒng)的恢復(fù)有很大幫助。

2 統(tǒng)一網(wǎng)絡(luò)安全管理平臺(tái)技術(shù)的分析

要織密織牢當(dāng)前的網(wǎng)絡(luò)安全防護(hù)體系，使用統(tǒng)一網(wǎng)絡(luò)安全管理平臺(tái)技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行總體配置和調(diào)控，利用多層面、分布式的安全系統(tǒng)，實(shí)現(xiàn)對(duì)各個(gè)網(wǎng)絡(luò)安全資源的集中監(jiān)控、統(tǒng)一策略管理、智能審計(jì)以及安全設(shè)備互動(dòng)等，體現(xiàn)出高度安全可靠性、高性能、高擴(kuò)展性、高可控性以及良好的互操作性，較好地提升了計(jì)算機(jī)網(wǎng)絡(luò)的安全水平和可控性[6]。

2.1 技術(shù)應(yīng)用

統(tǒng)一網(wǎng)絡(luò)安全管理平臺(tái)采用分布式、層次化的集中管理策略，通過統(tǒng)一平臺(tái)對(duì)網(wǎng)絡(luò)安全設(shè)備和安全策略實(shí)施管理，包括對(duì)網(wǎng)絡(luò)系統(tǒng)的統(tǒng)一配置、分發(fā)等多個(gè)環(huán)節(jié)和步驟，然后是統(tǒng)一配置好整個(gè)網(wǎng)絡(luò)內(nèi)部的安全設(shè)備或者是系統(tǒng)參數(shù)，以便于技術(shù)全方位、多角度的運(yùn)用。集中收集、管理網(wǎng)絡(luò)系統(tǒng)中的安全日志與安全事件，并形成網(wǎng)絡(luò)安全日志的集中審計(jì)分析和報(bào)告。另外，統(tǒng)一網(wǎng)絡(luò)安全管理平臺(tái)技術(shù)在安全設(shè)備和系統(tǒng)的協(xié)同工作狀態(tài)下，對(duì)網(wǎng)絡(luò)安全事件進(jìn)行應(yīng)急響應(yīng)和監(jiān)督管理，確保網(wǎng)絡(luò)安全事件或事故的及時(shí)處理。

2.2 體系結(jié)構(gòu)

統(tǒng)一網(wǎng)絡(luò)安全管理平臺(tái)體系主要包括Web瀏覽器、平臺(tái)服務(wù)器以及平臺(tái)代理。其中，平臺(tái)服務(wù)器包括用戶層、應(yīng)用層以及系統(tǒng)層等結(jié)構(gòu)，共同完成該層的邏輯功能，為用戶提供單一整合的遠(yuǎn)程操作、管理和配置[7]。平臺(tái)代理則是安裝于被管網(wǎng)絡(luò)安全設(shè)備上，包括有XML-RPC Server應(yīng)用模塊和XML-RPC Server庫(kù)，進(jìn)行平臺(tái)代理與平臺(tái)服務(wù)器之間的通信，完成服務(wù)器與代理間通信協(xié)議的封裝處理，確保網(wǎng)絡(luò)系統(tǒng)安全設(shè)備的穩(wěn)定運(yùn)行。

2.3 模塊構(gòu)成

統(tǒng)一網(wǎng)絡(luò)安全管理平臺(tái)技術(shù)中的管理模塊主要包括以下內(nèi)容。（1）安全策略管理平臺(tái)。網(wǎng)絡(luò)安全策略管理平臺(tái)是一種基于Web的安全工具，采用生命周期方法進(jìn)行網(wǎng)絡(luò)安全管理，并對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)提供事件報(bào)告和追蹤。其主要功能有安全策略發(fā)布、修正、版本控制、策略規(guī)則化等[8]。（2）安全配置管理平臺(tái)。安全配置管理平臺(tái)是網(wǎng)絡(luò)集中管理、安全系統(tǒng)和設(shè)備配置的統(tǒng)一平臺(tái)，通過可配置管理信任關(guān)系進(jìn)行安全域配置和安全設(shè)備的集中配置管理。在這種分權(quán)分級(jí)的管理模式下，將各種安全系統(tǒng)的配置系統(tǒng)進(jìn)行高度集成，確保網(wǎng)絡(luò)整體的安全可靠性。（3）安全事件管理平臺(tái)。安全事件管理平臺(tái)主要對(duì)網(wǎng)絡(luò)安全事件進(jìn)行集中收集、冗余處理和關(guān)聯(lián)分析，做好網(wǎng)絡(luò)安全事件趨勢(shì)的分析和預(yù)警，并形成安全事件報(bào)告。（4）安全事故響應(yīng)中心。安全事故應(yīng)急響應(yīng)中心主要對(duì)網(wǎng)絡(luò)事故處理流進(jìn)行流程管理、交互管理、狀態(tài)控制以及有效性管理，利用傳統(tǒng)Call Center的事故分發(fā)系統(tǒng)及時(shí)準(zhǔn)確地對(duì)安全事故進(jìn)行分發(fā)、管理和控制，較好地提高安全事故應(yīng)急響應(yīng)效率。

3 網(wǎng)絡(luò)管理技術(shù)的案例分析

3.1 建設(shè)案例

以某個(gè)大型企業(yè)H組織模式為例，可以將其分為下屬單位和控股子公司。它的控股子公司分布范圍比較廣，上海、北京等省市都包含在內(nèi)。為了集團(tuán)業(yè)務(wù)可以始終處于正確的發(fā)展軌道上，企業(yè)H的下屬單位及控股子公司都將英特網(wǎng)作為構(gòu)建的重要基礎(chǔ)和來源，但是各自又有其特殊之處。

從H集團(tuán)的角度來說，信息網(wǎng)絡(luò)可以分為內(nèi)部局域網(wǎng)和外部接入網(wǎng)。前者包含辦公網(wǎng)、生產(chǎn)網(wǎng)等，后者包含信息接入網(wǎng)和生產(chǎn)接入網(wǎng)。這樣一來，H集團(tuán)可以與企業(yè)子公司及下屬單位建立起實(shí)時(shí)的遠(yuǎn)程接入，企業(yè)職工的遠(yuǎn)程辦公也會(huì)變得非常便捷。

H集團(tuán)在有效應(yīng)對(duì)企業(yè)當(dāng)前面臨的可預(yù)知和不可預(yù)知網(wǎng)絡(luò)安全威脅上做了很多的努力，并根據(jù)不同的功能因時(shí)因勢(shì)部署了相關(guān)的安全防護(hù)體系，使得企業(yè)的業(yè)務(wù)運(yùn)行有了堅(jiān)強(qiáng)保障。

因?yàn)镠集團(tuán)在區(qū)域網(wǎng)絡(luò)安全的布置上做了很多的努力，所以接入?yún)^(qū)域也就相應(yīng)布置了安全系數(shù)較高的防護(hù)系統(tǒng)，如入侵防御系統(tǒng)、防火墻等。在企業(yè)的核心數(shù)據(jù)中心，H集團(tuán)也做了同樣的工作，使得核心數(shù)據(jù)中心的網(wǎng)絡(luò)安全更加穩(wěn)固；在集團(tuán)內(nèi)網(wǎng)中，企業(yè)在安全認(rèn)證與監(jiān)控系統(tǒng)的部署上進(jìn)行了再細(xì)化。除此以外，H集團(tuán)還創(chuàng)新性地建立了獨(dú)立的網(wǎng)絡(luò)安全監(jiān)控。

3.2 基于H集團(tuán)的實(shí)踐分析

H集團(tuán)網(wǎng)絡(luò)信息的邏輯結(jié)構(gòu)較為周密且龐雜，可以從中看到不計(jì)其數(shù)的安全防護(hù)產(chǎn)品，這對(duì)于企業(yè)網(wǎng)絡(luò)安全的提升來說有著非常大的幫助。例如，布置大量的入侵檢測(cè)系統(tǒng)、防火墻等，可以有效阻斷病毒與黑客等的攻擊。并且，H集團(tuán)可以通過終端管理系統(tǒng)、應(yīng)用監(jiān)控系統(tǒng)強(qiáng)化企業(yè)內(nèi)部網(wǎng)絡(luò)濫用問題的解決。而在防止數(shù)據(jù)泄露等方面，安全認(rèn)證系統(tǒng)等的使用極大程度上提高了企業(yè)數(shù)據(jù)中心的安全。因此，在一定意義上，H集團(tuán)企業(yè)的網(wǎng)絡(luò)安全防護(hù)體系提高了企業(yè)的網(wǎng)絡(luò)安全。但是由于完備網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)是一項(xiàng)復(fù)雜而系統(tǒng)的工程，基于大量防護(hù)系統(tǒng)的建立與防護(hù)軟件的使用，企業(yè)仍面臨諸多的網(wǎng)絡(luò)安全。通過四維度的信息安全技術(shù)體系，有助于建立完備的安全防護(hù)體系。

4 結(jié) 論

網(wǎng)絡(luò)安全防護(hù)體系是當(dāng)前關(guān)注的重要焦點(diǎn)內(nèi)容，要注重和加強(qiáng)網(wǎng)絡(luò)安全防護(hù)體系中的網(wǎng)絡(luò)管理技術(shù)，將其作為網(wǎng)絡(luò)交互的首道防線，結(jié)合移動(dòng)互聯(lián)網(wǎng)的應(yīng)用特性，綜合使用系統(tǒng)集成化的網(wǎng)絡(luò)安全管理平臺(tái)技術(shù)以及較為成熟的身份認(rèn)證技術(shù)，從而強(qiáng)有力的保障網(wǎng)絡(luò)的安全管理和服務(wù)。并采用適用于移動(dòng)終端場(chǎng)景的有效身份認(rèn)證方案，提高網(wǎng)絡(luò)安全性。此外，后期還要進(jìn)一步研究網(wǎng)絡(luò)服務(wù)器的功能應(yīng)用，增添允許用戶自由修改動(dòng)態(tài)口令生成器的功能，并提出更加安全的身份認(rèn)證方案。