周 英

(達(dá)州職業(yè)技術(shù)學(xué)院 學(xué)生處，四川 達(dá)州 635001)

0 引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用的深入，網(wǎng)絡(luò)規(guī)模越來(lái)越大，各種各樣的網(wǎng)絡(luò)設(shè)備也越來(lái)越多，用戶使用的網(wǎng)絡(luò)終端設(shè)備類型也形式多樣，同時(shí)用戶對(duì)網(wǎng)絡(luò)數(shù)據(jù)的敏感度也越來(lái)越高，也因此對(duì)網(wǎng)絡(luò)的安全性提出了更高的要求.盡管目前各種網(wǎng)絡(luò)安全設(shè)備，例如防火墻，漏洞掃描設(shè)備、郵件防護(hù)系統(tǒng)等等，但是各類的網(wǎng)絡(luò)數(shù)據(jù)漏洞事件依然層出不窮，這說(shuō)明，要實(shí)現(xiàn)網(wǎng)絡(luò)的真正安全，并不是簡(jiǎn)單的將各種網(wǎng)絡(luò)安全設(shè)備堆砌就能夠?qū)崿F(xiàn)的，而必須要對(duì)網(wǎng)絡(luò)實(shí)施全局范圍上的統(tǒng)一管理，依靠管理來(lái)加強(qiáng)和實(shí)現(xiàn)網(wǎng)絡(luò)的安全.

事實(shí)證明，只有依賴統(tǒng)一的網(wǎng)絡(luò)管理協(xié)議和管理機(jī)制，充分調(diào)動(dòng)和實(shí)現(xiàn)各種網(wǎng)絡(luò)安全設(shè)備之間的互動(dòng)，才能夠發(fā)揮各個(gè)網(wǎng)絡(luò)安全設(shè)備的最大功效，實(shí)現(xiàn)網(wǎng)絡(luò)安全的最大效益.因此，如何將分散在各個(gè)網(wǎng)絡(luò)上的網(wǎng)絡(luò)安全設(shè)備，尤其是隨著網(wǎng)絡(luò)范圍的進(jìn)一步擴(kuò)大，逐漸出現(xiàn)了多域網(wǎng)絡(luò)，如何保障多域網(wǎng)絡(luò)下的網(wǎng)絡(luò)安全，是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)不可回避的一個(gè)重要課題.［1］

過(guò)去對(duì)大型網(wǎng)絡(luò)實(shí)施安全管理，主要是依賴先進(jìn)的網(wǎng)絡(luò)安全管理設(shè)備，同時(shí)憑借網(wǎng)絡(luò)管理人員的經(jīng)驗(yàn)，以及一些簡(jiǎn)單的網(wǎng)絡(luò)管理協(xié)議和操作機(jī)制，或者是對(duì)網(wǎng)絡(luò)安全設(shè)備實(shí)施簡(jiǎn)單的監(jiān)控，例如流量監(jiān)控、數(shù)據(jù)報(bào)頭監(jiān)控等等，根據(jù)監(jiān)控的結(jié)果分析網(wǎng)絡(luò)是否存在異常等等，這樣的網(wǎng)絡(luò)安全管理在很大程度上還是依賴于人的操作，根本沒(méi)有從全局的高度對(duì)多域網(wǎng)絡(luò)范圍內(nèi)的各種網(wǎng)絡(luò)安全設(shè)備進(jìn)行統(tǒng)一的管理和調(diào)度，因此無(wú)法真正保障多域網(wǎng)絡(luò)的信息安全.［2］本文針對(duì)多域網(wǎng)絡(luò)下的數(shù)據(jù)安全管理，詳細(xì)探討網(wǎng)絡(luò)安全管理的策略一致性問(wèn)題，從策略的一致性角度切入，確保從全局的角度保障整個(gè)多域網(wǎng)絡(luò)范圍內(nèi)的安全管理的一致性策略，以期能夠從中找到有效的面向多域網(wǎng)絡(luò)的安全管理模式和措施方法.

1 傳統(tǒng)的網(wǎng)絡(luò)安全管理模式分析

1.1 常用的網(wǎng)絡(luò)安全管理技術(shù)

目前常用的各種網(wǎng)絡(luò)安全管理技術(shù)，其實(shí)質(zhì)都是依靠網(wǎng)絡(luò)安全設(shè)備硬件或者軟件系統(tǒng)而開(kāi)展的網(wǎng)絡(luò)安全管理技術(shù)，概括起來(lái)主要有以下幾種:

(1)防火墻技術(shù)

①硬件防火墻技術(shù):硬件防火墻技術(shù)主要是依賴硬件防火墻，通過(guò)對(duì)防火墻進(jìn)行設(shè)置，例如需要攔截的攻擊類型，關(guān)鍵字偵聽(tīng)，以及入侵防護(hù)等等功能，這些功能都有效地提高了防火墻的安全防護(hù)功能.

②軟件防火墻技術(shù):軟件防火墻主要是依靠包過(guò)濾的方法實(shí)現(xiàn)的，只能夠依靠包過(guò)濾中確立的過(guò)濾原則濾除可能的、潛在的威脅或危害.

(2)入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)、依靠收集網(wǎng)絡(luò)中或者特定節(jié)點(diǎn)上的網(wǎng)絡(luò)數(shù)據(jù)信息，通過(guò)對(duì)數(shù)據(jù)包的分析，以檢測(cè)是否有入侵行為的發(fā)生，倘若一旦檢測(cè)到潛在的入侵，系統(tǒng)能夠自動(dòng)隔離或者拒絕訪問(wèn)，并發(fā)出告警，從而提高網(wǎng)絡(luò)的安全性.

(3)漏洞掃描技術(shù)

目前的操作系統(tǒng)絕大多數(shù)都是基于微軟公司的Windows操作系統(tǒng)，而Windows操作系統(tǒng)本身就是不安全的，存在較多的安全漏洞，很多黑客或者病毒都可以利用這些漏洞竊取網(wǎng)絡(luò)的數(shù)據(jù)信息，所以漏洞掃描技術(shù)是通過(guò)掃描這些安全漏洞以防止黑客或病毒有機(jī)可乘，杜絕了利用漏洞造成網(wǎng)絡(luò)安全事故發(fā)生的可能.

(4)VPN網(wǎng)絡(luò)技術(shù)

VPN網(wǎng)絡(luò)技術(shù)實(shí)際上就是虛擬網(wǎng)絡(luò)技術(shù)，即將一個(gè)物理局域網(wǎng)劃分為若干個(gè)虛擬局域網(wǎng)，各虛擬局域網(wǎng)之間不可以通信，這樣能夠有效地防止某一個(gè)虛擬局域網(wǎng)內(nèi)的網(wǎng)絡(luò)威脅或危害傳播到整個(gè)局域網(wǎng).

(5)防病毒技術(shù)

防病毒技術(shù)主要是利用各種殺毒防毒軟件，對(duì)照各種病毒的特征，有針對(duì)性地進(jìn)行病毒防護(hù)，將病毒隔離于網(wǎng)絡(luò)之外，從而達(dá)到保護(hù)網(wǎng)絡(luò)防范的目的.

1.2 存在的問(wèn)題

盡管目前網(wǎng)絡(luò)安全管理的設(shè)備很多，技術(shù)也很先進(jìn)，但是網(wǎng)絡(luò)安全問(wèn)題依然頻出.［3］由此可見(jiàn)，目前網(wǎng)絡(luò)安全設(shè)備的應(yīng)用及其管理上還是存在很多問(wèn)題，主要表現(xiàn)在以下幾個(gè)方面:

(1)各網(wǎng)絡(luò)安全設(shè)備相對(duì)獨(dú)立

目前應(yīng)用在網(wǎng)絡(luò)安全領(lǐng)域中的網(wǎng)絡(luò)安全設(shè)備很多，即使是同一種設(shè)備，生產(chǎn)的廠家也有很多家，而不同廠家的網(wǎng)絡(luò)安全管理設(shè)備都有一套自家的通訊協(xié)議及網(wǎng)絡(luò)安全管理的內(nèi)容設(shè)置方案，不同廠家設(shè)備之間不能完全兼容，甚至完全不能兼容，這就導(dǎo)致了各網(wǎng)絡(luò)設(shè)備成為了實(shí)際上的“信息孤島”，各生產(chǎn)廠家所生產(chǎn)的網(wǎng)絡(luò)安全管理設(shè)備各自為政，各管一方網(wǎng)絡(luò)安全，但實(shí)際上卻無(wú)法真正保障整個(gè)網(wǎng)絡(luò)的信息安全.

(2)各網(wǎng)絡(luò)安全設(shè)備缺乏統(tǒng)一操作管理平臺(tái)

盡管網(wǎng)絡(luò)安全管理設(shè)備在一定程度上都能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的相對(duì)安全管理，但是這么多的網(wǎng)絡(luò)安全管理設(shè)備彼此之間卻缺乏有效的協(xié)同操作和管理交集，這主要是因?yàn)楦骶W(wǎng)絡(luò)安全設(shè)備缺乏相對(duì)統(tǒng)一的操作管理平臺(tái).［4］只有借助于一個(gè)統(tǒng)一的平臺(tái)，才能夠?qū)Σ煌愋偷陌踩芾碓O(shè)備、不同廠家生產(chǎn)的安全管理設(shè)備進(jìn)行統(tǒng)一的管理和調(diào)度，充分讓網(wǎng)絡(luò)中擔(dān)任不同安全領(lǐng)域管理角色的安全設(shè)備相互響應(yīng)，協(xié)同操作，才能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的真正信息安全.

(3)網(wǎng)絡(luò)安全設(shè)備不斷堆砌，但網(wǎng)絡(luò)安全程度不變

目前很普遍的規(guī)律是，網(wǎng)絡(luò)規(guī)模越大，網(wǎng)絡(luò)安全設(shè)備越多，但是，這種網(wǎng)絡(luò)安全設(shè)備僅僅是在數(shù)量上的堆砌，并沒(méi)有從安全管理的內(nèi)容和深度上進(jìn)行整合，網(wǎng)絡(luò)安全程度并沒(méi)有發(fā)生實(shí)質(zhì)性的改變，網(wǎng)絡(luò)安全事故仍然頻發(fā).要改變這一現(xiàn)狀，就必須改變僅僅依靠堆砌網(wǎng)絡(luò)安全設(shè)備的現(xiàn)象，必須建立和整合統(tǒng)一的安全管理平臺(tái)，對(duì)每一臺(tái)網(wǎng)絡(luò)安全管理設(shè)備進(jìn)行監(jiān)測(cè)與分析，由統(tǒng)一的中央決策系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全判定，并根據(jù)網(wǎng)絡(luò)所受到的威脅制定合理的決策，并保證決策的一致性和順利執(zhí)行.［5］為此，必須要對(duì)多域網(wǎng)絡(luò)下的網(wǎng)絡(luò)安全管理策略進(jìn)行一致性設(shè)計(jì)和應(yīng)用.

2 多域網(wǎng)絡(luò)安全管理系統(tǒng)策略一致性研究

2.1 多域網(wǎng)絡(luò)安全統(tǒng)一決策系統(tǒng)的構(gòu)建

當(dāng)網(wǎng)絡(luò)規(guī)模比較小的時(shí)候，只需要一個(gè)集中的管理系統(tǒng)就能夠?qū)崿F(xiàn)對(duì)整個(gè)局域網(wǎng)的安全管理，但當(dāng)網(wǎng)絡(luò)規(guī)模較大的時(shí)候，原先應(yīng)用于小規(guī)模網(wǎng)絡(luò)的安全管理模式就變得不再適用，這個(gè)時(shí)候就必須采取多域網(wǎng)絡(luò)安全管理的模式.在多域網(wǎng)絡(luò)安全管理下，必須要構(gòu)建統(tǒng)一的網(wǎng)絡(luò)安全決策系統(tǒng)，這樣才能夠有效的保障整個(gè)多域網(wǎng)絡(luò)的信息安全.為此，可以從以下幾個(gè)方面入手實(shí)施構(gòu)建多域網(wǎng)絡(luò)安全的統(tǒng)一決策系統(tǒng).

(1)安全管理域的劃分

所謂域，就是范圍，要實(shí)現(xiàn)多域網(wǎng)絡(luò)安全的統(tǒng)一決策，必須要按照域進(jìn)行安全管理范圍的劃分.具體來(lái)說(shuō)，可以從以下幾個(gè)方面劃分:

①?gòu)慕M織結(jié)構(gòu)上來(lái)劃分.不同的職能部門，或者不同的組織隸屬于同一個(gè)多域網(wǎng)絡(luò)時(shí)，必須按照各自部門對(duì)數(shù)據(jù)信息敏感程度的不一致進(jìn)行安全管理域的劃分，有的時(shí)候還必須要按照數(shù)據(jù)保密等級(jí)進(jìn)行安全管理域的等級(jí)劃分.

②從拓?fù)浣Y(jié)構(gòu)上來(lái)劃分.網(wǎng)絡(luò)中的安全管理設(shè)備的接入點(diǎn)是散布在整個(gè)多域網(wǎng)絡(luò)中的不同角落的，必須要按照各自網(wǎng)絡(luò)安全設(shè)備的接入點(diǎn)的實(shí)際分布位置進(jìn)行安全管理域的劃分，以確保從拓?fù)浣Y(jié)構(gòu)上對(duì)不同的網(wǎng)絡(luò)安全設(shè)備的不同域管理.

③從安全級(jí)別上來(lái)劃分.有的網(wǎng)絡(luò)安全設(shè)備不允許外設(shè)訪問(wèn)，有的網(wǎng)絡(luò)安全設(shè)備則對(duì)外訪問(wèn)的內(nèi)容有嚴(yán)格的要求，因此不同的網(wǎng)絡(luò)安全設(shè)備其安全等級(jí)限定不一致，必須要按照各自的安全限定等級(jí)合理劃分不同的安全管理范圍，才能夠保障整個(gè)多域網(wǎng)絡(luò)環(huán)境的信息安全.

(2)基于域的網(wǎng)絡(luò)安全管理架構(gòu)設(shè)計(jì)

基于域的網(wǎng)絡(luò)安全管理架構(gòu)，主要由網(wǎng)絡(luò)安全管理設(shè)備、安全域服務(wù)器和安全管理終端三個(gè)層次架構(gòu)而成.

①網(wǎng)絡(luò)安全管理設(shè)備.這是位于多域網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)的最底層，主要分布在整個(gè)多域網(wǎng)絡(luò)中的不同角落上，按照不同網(wǎng)絡(luò)環(huán)境配置不同的安全管理設(shè)備，并對(duì)這些安全管理設(shè)備進(jìn)行安全策略設(shè)定，以滿足基本的安全管理需求.

②安全域服務(wù)器.其主要作用是在多域網(wǎng)絡(luò)中按照安全等級(jí)、拓?fù)浣Y(jié)構(gòu)等劃分的管理域中扮演著管理者和策略執(zhí)行者的角色，在相應(yīng)的域范圍內(nèi)，所有的網(wǎng)絡(luò)安全管理設(shè)備及該域內(nèi)的網(wǎng)絡(luò)環(huán)境安全和安全策略，全部由域服務(wù)器進(jìn)行統(tǒng)一管理.

③安全管理終端.安全管理終端的作用是對(duì)各個(gè)安全管理域進(jìn)行統(tǒng)一的管理和策略執(zhí)行，域服務(wù)器是在域范圍內(nèi)實(shí)現(xiàn)安全策略的統(tǒng)一執(zhí)行，而安全管理終端則對(duì)不同的域進(jìn)行統(tǒng)一的安全策略管理和應(yīng)用，從而實(shí)現(xiàn)整個(gè)多域網(wǎng)絡(luò)下的信息安全.

2.2 多域網(wǎng)絡(luò)下的策略一致性設(shè)計(jì)

基于域的網(wǎng)絡(luò)安全管理架構(gòu)，是一個(gè)系統(tǒng)的整體，整體構(gòu)成了多域網(wǎng)絡(luò)安全的防御體系，但是由于安全管理終端和域服務(wù)器都負(fù)責(zé)網(wǎng)絡(luò)安全的策略執(zhí)行，因此就牽涉到安全管理策略的一致性問(wèn)題.

2.2.1 安全管理策略的層次設(shè)計(jì)

所謂安全管理策略的層次，主要是指按照多域網(wǎng)絡(luò)安全管理的架構(gòu)，自上而下的將網(wǎng)絡(luò)安全管理策略抽象出若干個(gè)層次，按照不同的層次將策略分配到多域網(wǎng)絡(luò)架構(gòu)的每一層上去，或者對(duì)于同一層次架構(gòu)的域服務(wù)器或者網(wǎng)絡(luò)安全管理設(shè)備，按照安全管理策略的具體分配內(nèi)容相互配合，共同執(zhí)行安全管理策略，以實(shí)現(xiàn)多域網(wǎng)絡(luò)自下而上的一致性的安全管理策略.對(duì)于安全管理策略的層次設(shè)計(jì)，主要可以設(shè)計(jì)如下層次進(jìn)行安全管理策略的實(shí)施與執(zhí)行:

(1)高層抽象策略

高層抽象策略主要是面向網(wǎng)絡(luò)管理終端，在終端設(shè)備上借助于專業(yè)安全管理系統(tǒng)，實(shí)現(xiàn)對(duì)多域網(wǎng)絡(luò)的安全管理的策略制定和配置，主要包括域的劃分，域安全等級(jí)的配置，以及不同域下網(wǎng)絡(luò)安全的實(shí)現(xiàn)策略等，從系統(tǒng)的高度設(shè)計(jì)了整個(gè)多域網(wǎng)絡(luò)的安全環(huán)境.

(2)描述層策略

描述層策略通常是由網(wǎng)絡(luò)安全管理人員制定的，這些策略往往與特定的網(wǎng)絡(luò)服務(wù)有關(guān)，或者是對(duì)底層策略的抽象.描述層策略主要是在域服務(wù)器上，通過(guò)對(duì)底層的網(wǎng)絡(luò)安全管理設(shè)備的安全應(yīng)用規(guī)則的描述來(lái)產(chǎn)生相應(yīng)的安全策略，并確保在該域范圍內(nèi)的所有網(wǎng)絡(luò)安全設(shè)備均執(zhí)行此安全策略.

(3)底層策略

底層策略也稱作配置文件，就是按照多域網(wǎng)絡(luò)安全管理策略生成的應(yīng)用在底層網(wǎng)絡(luò)安全管理設(shè)備上的配置策略，如IP過(guò)濾規(guī)則，關(guān)鍵字過(guò)濾包，VPN設(shè)置等等，這些具體的策略應(yīng)用到安全管理設(shè)備上，能夠在多域網(wǎng)絡(luò)中起到實(shí)質(zhì)性的安全防御作用，因此，對(duì)于多域網(wǎng)絡(luò)的安全管理來(lái)說(shuō)，底層策略的具體化的實(shí)施和執(zhí)行，在很大程度上將直接影響到整個(gè)多域網(wǎng)絡(luò)的安全管理效率.

2.2.2 安全管理策略的交互設(shè)計(jì)

(1)域內(nèi)策略交互

域內(nèi)的安全策略，主要是指在同一個(gè)域服務(wù)器配置下的域網(wǎng)絡(luò)安全策略的響應(yīng)及行為操作，主要包括安全策略的存儲(chǔ)、執(zhí)行、反饋及卸載.域內(nèi)的網(wǎng)絡(luò)安全策略主要影響著該域網(wǎng)絡(luò)內(nèi)部的安全性，因此在設(shè)計(jì)、制定域內(nèi)安全策略的一致性時(shí)，需要對(duì)域內(nèi)安全策略的域效范圍負(fù)責(zé)，確保該網(wǎng)絡(luò)安全策略能夠在全域網(wǎng)絡(luò)范圍內(nèi)得到有效實(shí)施即可，這樣就能夠保證該域范圍內(nèi)的安全策略的一致性.

(2)域間策略交互

當(dāng)網(wǎng)絡(luò)規(guī)模超過(guò)一定限度時(shí)，就牽涉到多域網(wǎng)絡(luò)的安全策略管理，此時(shí)設(shè)計(jì)網(wǎng)絡(luò)安全策略就必須要考慮到域間策略的交互性以及域間策略的一致性.在目前來(lái)看，要保證域間安全策略的一致性，可以通過(guò)設(shè)置優(yōu)先級(jí)及分配權(quán)重的方法實(shí)施，將安全策略等級(jí)較高的策略設(shè)置較高優(yōu)先級(jí)或者分配較大的權(quán)重值，從而保證該安全策略在域間執(zhí)行的過(guò)程中能夠始終被進(jìn)行一致性檢測(cè)，當(dāng)下一級(jí)域管理策略和該安全策略發(fā)生沖突時(shí)，優(yōu)先級(jí)較低或者分配權(quán)重值較小的安全策略應(yīng)當(dāng)服從于優(yōu)先級(jí)較高或者分配權(quán)重值較大的安全策略，從而有利于保障域間安全策略的一致性.

3 結(jié)語(yǔ)

本文主要結(jié)合網(wǎng)絡(luò)安全的特點(diǎn)，從網(wǎng)絡(luò)安全設(shè)備入手，詳細(xì)探討了多域網(wǎng)絡(luò)下網(wǎng)絡(luò)安全設(shè)備的管理，以及對(duì)網(wǎng)絡(luò)安全策略的一致性管理和應(yīng)用探討.要保障多域網(wǎng)絡(luò)安全下的網(wǎng)絡(luò)安全管理設(shè)備策略的一致性，就必須要對(duì)各網(wǎng)絡(luò)安全管理設(shè)備進(jìn)行合理的全局規(guī)劃，并確保建立統(tǒng)一的中央決策系統(tǒng)，這是本論文得到的主要結(jié)論.當(dāng)然，要從根本上實(shí)現(xiàn)多域網(wǎng)絡(luò)安全管理系統(tǒng)策略的一致性，僅僅依賴于本論文所提出的方法是遠(yuǎn)遠(yuǎn)不夠的，必須還要從物理層、網(wǎng)絡(luò)層及應(yīng)用層入手，真正建立策略一致性應(yīng)用的管理平臺(tái)，才能夠從根本上保障多域網(wǎng)絡(luò)安全管理的有效性及可靠性，實(shí)現(xiàn)多域網(wǎng)絡(luò)下的數(shù)據(jù)信息的最大安全.

［1］李小平，吳 瓊，董慶寬.IPv6網(wǎng)絡(luò)中多級(jí)多域安全策略系統(tǒng)研究［J］.西安電子科技大學(xué)學(xué)報(bào):自然科學(xué)版，2008(2):300-304.

［2］王 俊，張紅旗，張 斌.新的基于角色的跨信任域授權(quán)管理模型［J］.計(jì)算機(jī)工程與應(yīng)用，2010(8):106-109.

［3］洪 帆，崔永泉.多域安全互操作的可管理使用控制模型研究［J］.計(jì)算機(jī)科學(xué)，2006(3):283-286.

［4］于 貴.網(wǎng)絡(luò)系統(tǒng)可靠性研究現(xiàn)狀與展望［J］.四川文理學(xué)院學(xué)報(bào)，2011(2):61-63.

［5］石 峰.虛擬局域網(wǎng)技術(shù)在機(jī)房局域網(wǎng)中的應(yīng)用［J］.太原大學(xué)學(xué)報(bào)，2011(1):136-140.