杜尚權

摘要：該文首先介紹了網(wǎng)絡安全的定義，分析了網(wǎng)絡安全的多種技術，根據(jù)企業(yè)網(wǎng)絡安全管理的需求，提出并設計了一種安全可靠的網(wǎng)絡安全管理系統(tǒng)，并且針對目前網(wǎng)絡安全管理系統(tǒng)存在的缺陷，給出了可擴展、模塊化的企業(yè)網(wǎng)絡安全管理系統(tǒng)架構，最后對企業(yè)網(wǎng)絡安全管理系統(tǒng)的系統(tǒng)功能和系統(tǒng)組成進行了說明。

關鍵詞：網(wǎng)絡安全管理；網(wǎng)絡安全管理系統(tǒng)；企業(yè)信息安全

中圖分類號：TP271 文獻標識碼：A 文章編號：1009-3044（2012）33-7915-03

計算機網(wǎng)絡是通過互聯(lián)網(wǎng)服務來為人們提供各種各樣的功能，如果想保證這些服務的有效提供，一是需要全面完善計算機網(wǎng)絡的基礎設施和配置；二是需要有可靠完善的保障體系?？煽客晟频谋Ｕ象w系是為了能夠保證網(wǎng)絡中的信息傳輸、信息處理和信息共享等功能能夠安全進行。

1網(wǎng)絡安全的定義

網(wǎng)絡安全問題不但是近些年來網(wǎng)絡信息安全領域經(jīng)常討論和研究的重要問題，也是現(xiàn)代網(wǎng)絡信息安全中亟待解決的關鍵問題。網(wǎng)絡安全的含義是保證整個網(wǎng)絡系統(tǒng)中的硬件、軟件和數(shù)據(jù)信息受到有效保護，不會因為網(wǎng)絡意外故障的發(fā)生，或者人為惡意攻擊，病毒入侵而受到破壞，導致重要信息的泄露和丟失，甚至造成整個網(wǎng)絡系統(tǒng)的癱瘓。

網(wǎng)絡安全的本質(zhì)就是網(wǎng)絡中信息傳輸、共享、使用的安全，網(wǎng)絡安全研究領域包括網(wǎng)絡上信息的完整性、可用性、保密性和真實性等一系列技術理論。而網(wǎng)絡安全是集合了互聯(lián)網(wǎng)技術、計算機科學技術、通信技術、信息安全管理技術、密碼學、數(shù)理學等多種技術于一體的綜合性學科。

2網(wǎng)絡安全技術介紹

2.1安全威脅和防護措施

網(wǎng)絡安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關策略、機制和過程。

安全威脅可以分為故意安全威脅和偶然安全威脅兩種，而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網(wǎng)絡中的數(shù)據(jù)信息進行監(jiān)聽、竊聽等，而不對這些數(shù)據(jù)進行篡改，主動安全威脅則是對網(wǎng)絡中的數(shù)據(jù)信息進行故意篡改等行為。

2.2網(wǎng)絡安全管理技術

目前，網(wǎng)絡安全管理技術越來越受到人們的重視，而網(wǎng)絡安全管理系統(tǒng)也逐漸地應用到企事業(yè)單位、政府機關和高等院校的各種計算機網(wǎng)絡中。隨著網(wǎng)絡安全管理系統(tǒng)建設的規(guī)模不斷發(fā)展和擴大，網(wǎng)絡安全防范技術也得到了迅猛發(fā)展，同時出現(xiàn)了若干問題，例如網(wǎng)絡安全管理和設備配置的協(xié)調(diào)問題、網(wǎng)絡安全風險監(jiān)控問題、網(wǎng)絡安全預警響應問題，以及網(wǎng)絡中大量數(shù)據(jù)的安全存儲和使用問題等等。

網(wǎng)絡安全管理在企業(yè)管理中最初是被作為一個關鍵的組成部分，從信息安全管理的方向來看，網(wǎng)絡安全管理涉及到整個企業(yè)的策略規(guī)劃和流程、保護數(shù)據(jù)需要的密碼加密、防火墻設置、授權訪問、系統(tǒng)認證、數(shù)據(jù)傳輸安全和外界攻擊保護等等。

在實際應用中，網(wǎng)絡安全管理并不僅僅是一個軟件系統(tǒng)，它涵蓋了多種內(nèi)容，包括網(wǎng)絡安全策略管理、網(wǎng)絡設備安全管理、網(wǎng)絡安全風險監(jiān)控等多個方面。

2.3防火墻技術

互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術來防止未授權的訪問進行出入，是一個控制經(jīng)過防火墻進行網(wǎng)絡活動行為和數(shù)據(jù)信息交換的軟件防護系統(tǒng)，目的是為了保證整個網(wǎng)絡系統(tǒng)不受到任何侵犯。

防火墻是根據(jù)企業(yè)的網(wǎng)絡安全管理策略來控制進入和流出網(wǎng)絡的數(shù)據(jù)信息，而且其具有一定程度的抗外界攻擊能力，所以可以作為企業(yè)不同網(wǎng)絡之間，或者多個局域網(wǎng)之間進行數(shù)據(jù)信息交換的出入接口。防火墻是保證網(wǎng)絡信息安全、提供安全服務的基礎設施，它不僅是一個限制器，更是一個分離器和分析器，能夠有效控制企業(yè)內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的數(shù)據(jù)信息交換，從而保證整個網(wǎng)絡系統(tǒng)的安全。

將防火墻技術引入到網(wǎng)絡安全管理系統(tǒng)之中是因為傳統(tǒng)的子網(wǎng)系統(tǒng)并不十分安全，很容易將信息暴露給網(wǎng)絡文件系統(tǒng)和網(wǎng)絡信息服務等這類不安全的網(wǎng)絡服務，更容易受到網(wǎng)絡的攻擊和竊聽。目前，互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議，而TCP/IP的制定并沒有考慮到安全因素，防火墻的設置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題。

2.4入侵檢測技術

入侵檢測是一種增強系統(tǒng)安全的有效方法。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動。通過對系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進行評估，并根據(jù)評價結(jié)果來判斷行為的正常性，從而幫助系統(tǒng)管理人員采取相應的對策措施。入侵檢測可分為：異常檢測、行為檢測、分布式免疫檢測等。

3企業(yè)網(wǎng)絡安全管理系統(tǒng)架構設計

3.1系統(tǒng)設計目標

該文的企業(yè)網(wǎng)絡安全管理系統(tǒng)的設計目的是需要克服原有網(wǎng)絡安全技術的不足，提出一種通用的、可擴展的、模塊化的網(wǎng)絡安全管理系統(tǒng)，以多層網(wǎng)絡架構的安全防護方式，將身份認證、入侵檢測、訪問控制等一系列網(wǎng)絡安全防護技術應用到網(wǎng)絡系統(tǒng)之中，使得這些網(wǎng)絡安全防護技術能夠相互彌補、彼此配合，在統(tǒng)一的控制策略下對網(wǎng)絡系統(tǒng)進行檢測和監(jiān)控，從而形成一個分布式網(wǎng)絡安全防護體系，從而有效提高網(wǎng)絡安全管理系統(tǒng)的功能性、實用性和開放性。

3.2系統(tǒng)原理框圖

該文設計了一種通用的企業(yè)網(wǎng)絡安全管理系統(tǒng)，該系統(tǒng)的原理圖如圖1所示。

3.2.1系統(tǒng)總體架構

網(wǎng)絡安全管理中心作為整個企業(yè)網(wǎng)絡安全管理系統(tǒng)的核心部分，能夠在同一時間與多個網(wǎng)絡安全代理終端連接，并通過其對多個網(wǎng)絡設備進行管理，還能夠提供處理網(wǎng)絡安全事件、提供網(wǎng)絡配置探測器、查詢網(wǎng)絡安全事件，以及在網(wǎng)絡中發(fā)生響應命令等功能。

網(wǎng)絡安全代理是以分布式的方式，布置在受保護和監(jiān)控的企業(yè)網(wǎng)絡中，網(wǎng)絡安全代理是提供網(wǎng)絡安全事件采集，以及網(wǎng)絡安全設備管理等服務的，并且與網(wǎng)絡安全管理中心相互連接。

網(wǎng)絡設備管理包括了對企業(yè)整個網(wǎng)絡系統(tǒng)中的各種網(wǎng)絡基礎設備、設施的管理。

網(wǎng)絡安全管理專業(yè)人員能夠通過終端管理設備，對企業(yè)網(wǎng)絡安全管理系統(tǒng)進行有效的安全管理。

3.2.2系統(tǒng)網(wǎng)絡安全管理中心組件功能

系統(tǒng)網(wǎng)絡安全管理中心核心功能組件：包括了網(wǎng)絡安全事件采集組件、網(wǎng)絡安全事件查詢組件、網(wǎng)絡探測器管理組件和網(wǎng)絡管理策略生成組件。網(wǎng)絡探測器管理組件是根據(jù)網(wǎng)絡的安全狀況實現(xiàn)對模塊進行添加、刪除的功能，它是到系統(tǒng)探測器模塊數(shù)據(jù)庫中進行選擇，找出與功能相互匹配的模塊，將它們添加到網(wǎng)絡安全代理探測器上。網(wǎng)絡安全事件采集組件是將對網(wǎng)絡安全事件進行分析和過濾的結(jié)構添加到數(shù)據(jù)庫中。網(wǎng)絡安全事件查詢組件是為企業(yè)網(wǎng)絡安全專業(yè)管理人員提供對網(wǎng)絡安全數(shù)據(jù)庫進行一系列操作的主要結(jié)構。而網(wǎng)絡管理策略生產(chǎn)組件則是對輸入的網(wǎng)絡安全事件分析結(jié)果進行自動查詢，并將管理策略發(fā)送給網(wǎng)絡安全代理。

系統(tǒng)網(wǎng)絡安全管理中心數(shù)據(jù)庫模塊組件：包括了網(wǎng)絡安全事件數(shù)據(jù)庫、網(wǎng)絡探測器模塊數(shù)據(jù)庫，以及網(wǎng)絡響應策略數(shù)據(jù)庫。網(wǎng)絡探測器模塊數(shù)據(jù)庫是由核心功能組件進行添加和刪除的，它主要是對安裝在網(wǎng)絡探測器上的功能模塊進行存儲。網(wǎng)絡安全事件數(shù)據(jù)庫是對輸入的網(wǎng)絡安全事件進行分析和統(tǒng)計，主要用于對各種網(wǎng)絡安全事件的存儲。網(wǎng)絡相應策略數(shù)據(jù)庫是對輸入網(wǎng)絡安全事件的分析結(jié)果反饋相應的處理策略，并且對各種策略進行存儲。

3.3系統(tǒng)架構特點

3.3.1統(tǒng)一管理，分布部署

該文設計的企業(yè)網(wǎng)絡安全管理系統(tǒng)是采用網(wǎng)絡安全管理中心對系統(tǒng)進行部署和管理，并且根據(jù)網(wǎng)絡管理人員提出的需求，將網(wǎng)絡安全代理分布地布置在整個網(wǎng)絡系統(tǒng)之中，然后將選取出的網(wǎng)絡功能模塊和網(wǎng)絡響應命令添加到網(wǎng)絡安全代理上，網(wǎng)絡安全管理中心可以自動管理網(wǎng)絡安全代理對各種網(wǎng)絡安全事件進行處理。

3.3.2模塊化開發(fā)方式

本系統(tǒng)的網(wǎng)絡安全管理中心和網(wǎng)絡安全代理采用的都是模塊化的設計方式，如果需要在企業(yè)網(wǎng)絡管理系統(tǒng)中增加新的網(wǎng)絡設備或管理策略時，只需要對相應的新模塊和響應策略進行開發(fā)實現(xiàn)，最后將其加載到網(wǎng)絡安全代理中，而不必對網(wǎng)絡安全管理中心、網(wǎng)絡安全代理進行系統(tǒng)升級和更新。

3.3.3分布式多級應用

對于機構比較復雜的網(wǎng)絡系統(tǒng)，可使用多管理器連接，保證全局網(wǎng)絡的安全。在這種應用中，上一級管理要對下一級的安全狀況進行實時監(jiān)控，并對下一級的安全事件在所轄范圍內(nèi)進行及時全局預警處理，同時向上一級管理中心進行匯報。網(wǎng)絡安全主管部門可以在最短時間內(nèi)對全局范圍內(nèi)的網(wǎng)絡安全進行嚴密的監(jiān)視和防范。

4結(jié)論

隨著網(wǎng)絡技術的飛速發(fā)展，互聯(lián)網(wǎng)中存儲了大量的保密信息數(shù)據(jù)，這些數(shù)據(jù)在網(wǎng)絡中進行傳輸和使用，隨著網(wǎng)絡安全技術的不斷更新和發(fā)展，新型的網(wǎng)絡安全設備也大量出現(xiàn)，由此，企業(yè)對于網(wǎng)絡安全的要求也逐步提升，因此，該文設計的企業(yè)網(wǎng)絡安全管理系統(tǒng)具有重要的現(xiàn)實意義和實用價值。

參考文獻：

[1]單智勇，廖斌，石文昌.多級分布式網(wǎng)絡安全管理系統(tǒng)研究[J].計算機工程與應用，2007（2）.

[2]肖道舉，劉輝宇，周開鋒，等.基于插件技術的網(wǎng)絡安全管理架構研究[J].華中科技大學學報：自然科學版，2002（4）.