雷勝

摘要：現(xiàn)階段多數(shù)計(jì)算機(jī)安全集成控制系統(tǒng)都是對(duì)各領(lǐng)域內(nèi)的安全防護(hù)產(chǎn)品急性整合的體系架構(gòu)，缺少明確定義的工作流模式，且體系架構(gòu)配置也缺少靈活性，導(dǎo)致計(jì)算機(jī)安全系統(tǒng)的兼容性不強(qiáng)，安全問題沒有從根本上解決。需要在規(guī)則的基礎(chǔ)上建立可配置的計(jì)算機(jī)安全檢測(cè)系統(tǒng)框架。在此基礎(chǔ)上，本文主要針對(duì)計(jì)算機(jī)安全狀態(tài)檢測(cè)系統(tǒng)框架的開發(fā)進(jìn)行研究，基于有窮自動(dòng)機(jī)設(shè)計(jì)按需對(duì)計(jì)算機(jī)安全狀態(tài)檢測(cè)工作流程進(jìn)行定義與配置，以此判別計(jì)算機(jī)系統(tǒng)的安全狀態(tài)，系統(tǒng)的兼容性與靈活性都得到了有效的提升。

關(guān)鍵詞：計(jì)算機(jī)；信息安全；狀態(tài)檢測(cè)；系統(tǒng)框架

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）18-0015-02

隨著計(jì)算機(jī)與網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)系統(tǒng)已經(jīng)在人們的生活及工作中得到了廣泛的應(yīng)用。在對(duì)計(jì)算機(jī)系統(tǒng)的應(yīng)用中，使用者門類多樣，其中包含蓄意破壞的非法利用者。因此對(duì)于企業(yè)或組織而言，計(jì)算機(jī)系統(tǒng)中的信息安全保護(hù)非常重要，一旦受到非法入侵者的破壞，企業(yè)敏感信息也就存在泄漏或破壞的風(fēng)險(xiǎn)。此外，互聯(lián)網(wǎng)及內(nèi)部網(wǎng)技術(shù)的進(jìn)一步發(fā)展也越來越便捷的為非法入侵者提供了條件，所以，針對(duì)計(jì)算機(jī)系統(tǒng)受到的威脅，當(dāng)前也出現(xiàn)了諸多的安全防護(hù)產(chǎn)品，如反木馬系統(tǒng)、病毒查殺系統(tǒng)、防火墻系統(tǒng)等，技術(shù)也相對(duì)成熟，也有一定的安全防護(hù)效果。但對(duì)于計(jì)算機(jī)安全而言，從某一方面進(jìn)行安全檢測(cè)與防護(hù)具有片面性。所以，建立一個(gè)基于規(guī)則的可配置的計(jì)算機(jī)安全檢測(cè)系統(tǒng)框架非常必要。

1 計(jì)算機(jī)安全概述

1.1 信息安全分析

現(xiàn)階段，在對(duì)計(jì)算機(jī)系統(tǒng)安全問題的研究中，大多數(shù)產(chǎn)品都是在假設(shè)計(jì)算機(jī)本身是安全的基礎(chǔ)上進(jìn)行設(shè)計(jì)研究的。如果某臺(tái)無安全防護(hù)的計(jì)算機(jī)系統(tǒng)收到非法入侵者的攻擊后，那么該計(jì)算機(jī)所在的網(wǎng)絡(luò)其他組成部分也極有可能受到后續(xù)攻擊。所以，對(duì)于計(jì)算機(jī)本身而言，也具有復(fù)雜的結(jié)構(gòu)，并不能保證不受到攻擊。計(jì)算機(jī)系統(tǒng)受到的威脅類型也比較多，主要有：①監(jiān)聽，第三方非法對(duì)傳輸中的信息進(jìn)行竊聽；②破壞，非法入侵者對(duì)計(jì)算機(jī)軟件或系統(tǒng)中的漏洞或缺陷進(jìn)行利用，達(dá)到破壞計(jì)算機(jī)信息的目的；③后門，可對(duì)計(jì)算機(jī)系統(tǒng)正常的認(rèn)證過程忽略掉，直接授權(quán)計(jì)算機(jī)系統(tǒng)，然后進(jìn)行非法操作；④拒絕服務(wù)攻擊，此類供給類型不會(huì)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行控制，主要是針對(duì)服務(wù)器進(jìn)行供給，導(dǎo)致無服務(wù)無法提供給計(jì)算機(jī)正常服務(wù)；⑤間接攻擊，對(duì)計(jì)算機(jī)的攻擊是利用第三方完成，對(duì)攻擊者難以追蹤；⑥直接訪問攻擊，計(jì)算機(jī)如果能夠被攻擊值直接操作時(shí)，其可在計(jì)算機(jī)中安裝任意軟件或設(shè)備，實(shí)現(xiàn)供給的目的。對(duì)計(jì)算機(jī)進(jìn)行安全防護(hù)時(shí)，安全狀態(tài)屬于一種理想化狀態(tài)，可通過預(yù)防、檢測(cè)、回饋等方式實(shí)現(xiàn)。

1.2 系統(tǒng)框架需求分析

為了應(yīng)對(duì)計(jì)算機(jī)系統(tǒng)中存在的各種威脅及風(fēng)險(xiǎn)，要先對(duì)這些威脅和風(fēng)險(xiǎn)進(jìn)行識(shí)別，然后分類，然后確定通過何種技術(shù)或途徑來解決，這個(gè)過程中也包含計(jì)算機(jī)系統(tǒng)內(nèi)存在的當(dāng)前無法應(yīng)對(duì)的威脅及風(fēng)險(xiǎn)。計(jì)算機(jī)風(fēng)險(xiǎn)類型宏觀上可分為認(rèn)為風(fēng)險(xiǎn)與自然風(fēng)險(xiǎn)。人為風(fēng)險(xiǎn)指的是人的故意或無意導(dǎo)致的風(fēng)險(xiǎn)，包含軟件風(fēng)險(xiǎn)、硬件風(fēng)險(xiǎn)、故意破壞或無意破壞，這其中硬件風(fēng)險(xiǎn)與硬件質(zhì)量有關(guān)，影響也較小，而其他幾類風(fēng)險(xiǎn)相對(duì)于硬件風(fēng)險(xiǎn)而言，都非常復(fù)雜。自然風(fēng)險(xiǎn)主要是指火災(zāi)、地震、雷電等突發(fā)性風(fēng)險(xiǎn)與輻射、風(fēng)化、污染等繼發(fā)性風(fēng)險(xiǎn)，主要是對(duì)計(jì)算機(jī)硬件帶來的破壞，所以本文主要針對(duì)人為風(fēng)險(xiǎn)進(jìn)行論述，對(duì)自然風(fēng)險(xiǎn)不做贅述。

2 計(jì)算機(jī)安全狀態(tài)檢測(cè)系統(tǒng)框架設(shè)計(jì)

2.1 總框架結(jié)構(gòu)

本文在XML定義基礎(chǔ)上的安全狀態(tài)檢測(cè)規(guī)則對(duì)整個(gè)系統(tǒng)進(jìn)行設(shè)計(jì)，系統(tǒng)框架主要在內(nèi)聯(lián)網(wǎng)絡(luò)中應(yīng)用，用戶分散與整個(gè)網(wǎng)絡(luò)內(nèi)。用戶終端、受保護(hù)資源及網(wǎng)絡(luò)設(shè)備構(gòu)成應(yīng)用整體環(huán)境。在此背景下，計(jì)算機(jī)安全狀態(tài)檢測(cè)系統(tǒng)框架的風(fēng)格選擇服務(wù)端-客戶端結(jié)構(gòu)。服務(wù)端用于計(jì)算機(jī)安全狀態(tài)檢測(cè)策略的定義、檢測(cè)結(jié)果判斷、分發(fā)及網(wǎng)絡(luò)控制等；客戶端用于手機(jī)用戶端的安全檢測(cè)信息，其總體結(jié)構(gòu)如圖1所示：

圖1 計(jì)算機(jī)安全狀態(tài)檢測(cè)系統(tǒng)框架總體結(jié)構(gòu)圖

在系統(tǒng)框架結(jié)構(gòu)內(nèi)，主控內(nèi)核模塊在服務(wù)端與客戶端內(nèi)主要負(fù)責(zé)總流程處理控制，根據(jù)配置文件定義，對(duì)安全狀態(tài)檢測(cè)策略及功能進(jìn)行加載。文件I/O服務(wù)模塊對(duì)系統(tǒng)配置文件進(jìn)行讀寫操作；網(wǎng)絡(luò)I/O服務(wù)模塊實(shí)現(xiàn)網(wǎng)絡(luò)控制設(shè)備、服務(wù)端、客戶端的通信。本文主要是針對(duì)該框架進(jìn)行研究，目的是為了對(duì)業(yè)務(wù)上出現(xiàn)的問題能夠集中解決，所以對(duì)技術(shù)細(xì)節(jié)不做贅述。

2.2 框架層次結(jié)構(gòu)

該框架中基本結(jié)構(gòu)為服務(wù)端-客戶端形態(tài)，在設(shè)計(jì)中對(duì)兩端進(jìn)行內(nèi)部結(jié)構(gòu)的設(shè)計(jì)。為了使設(shè)計(jì)的難度和復(fù)雜性降低，通過采用分層設(shè)計(jì)的方法。由低層向高層劃分，對(duì)技術(shù)底層問題到業(yè)務(wù)問題進(jìn)行解決，通過劃分層次可在設(shè)計(jì)過程中將關(guān)注的重點(diǎn)分離。服務(wù)接口由低層次模塊向高層次模塊提供，高層次模塊設(shè)計(jì)時(shí)基于低層次模塊提供的虛擬機(jī)，對(duì)該層次需要解決的問題進(jìn)行集中關(guān)注。同時(shí)，也能夠使設(shè)計(jì)的內(nèi)聚性得到提高。從下至上可將計(jì)算機(jī)安全狀態(tài)檢測(cè)系統(tǒng)框架分為基礎(chǔ)服務(wù)層、主控核心層和應(yīng)用組件層，如圖2所示：

基礎(chǔ)服務(wù)層，包含網(wǎng)絡(luò)I/O服務(wù)模塊、文件I/O服務(wù)模塊及XML解析服務(wù)模塊。其中，XML解析服務(wù)模塊為該框架提供存取配置信息的服務(wù)，將XML文件讀取后進(jìn)行轉(zhuǎn)換，生成系統(tǒng)配置信息，并加載檢測(cè)策略及功能組件；文件I/O服務(wù)模塊是針對(duì)一般文件進(jìn)行操作，如文件生產(chǎn)、訪問等；網(wǎng)絡(luò)I/O服務(wù)模塊提供基礎(chǔ)通信服務(wù)，但不包含和網(wǎng)絡(luò)控制設(shè)備的通信服務(wù)。

主控核心層，該部分作用是控制整個(gè)檢測(cè)流程，通過XML文件對(duì)流程進(jìn)行配置與定義。盡管客戶端與服務(wù)端在邏輯上是分離的，并且各部分都有自己的主控核心模塊，但只有一份流程定義，需要客戶端與服務(wù)端良好配合才能對(duì)整個(gè)檢測(cè)流程萬(wàn)恒。流程XML定義文件在服務(wù)端內(nèi)，如果客戶端將安全狀態(tài)檢測(cè)請(qǐng)求發(fā)出后，要先將流程XML定義文件信息從服務(wù)端內(nèi)下載出來。

應(yīng)用組件層，這一層次中提供了可實(shí)現(xiàn)的接口，對(duì)整個(gè)系統(tǒng)而言，是真正實(shí)現(xiàn)執(zhí)行檢測(cè)操作的部分，在使用過程中，必須要由使用者對(duì)各應(yīng)用組件進(jìn)行注冊(cè)到框架內(nèi)。通過注冊(cè)信息框架主控核心模塊執(zhí)行檢測(cè)流程時(shí)對(duì)應(yīng)用組件進(jìn)行加載與執(zhí)行。通過改寫XML文件對(duì)應(yīng)用組件完成注冊(cè)，此外應(yīng)用組件還應(yīng)考慮可讀性與通用性，通常也要求應(yīng)用組件通過XML文件的定義執(zhí)行檢測(cè)處理所需的策略信息。

2.3 邏輯視圖

對(duì)框架的設(shè)計(jì)決策從動(dòng)態(tài)與靜態(tài)兩方面邏輯視圖進(jìn)行描述，首先，根據(jù)簡(jiǎn)化設(shè)計(jì)原則，在合適的包內(nèi)放置框架各個(gè)元素。Component.inf包：位于應(yīng)用組件層，對(duì)框架內(nèi)用戶對(duì)應(yīng)用組件進(jìn)行實(shí)現(xiàn)時(shí)遵守的接口進(jìn)行定義，可分為serner和cliert兩個(gè)子包；core包：位于主控核心層，整個(gè)框架流運(yùn)作流程由內(nèi)部軟件實(shí)體控制；util包：位于基礎(chǔ)服務(wù)層，主要作用是提供給上層模塊基礎(chǔ)服務(wù)。

2.4 進(jìn)程與部署視圖

框架進(jìn)程視圖主要包含以下幾個(gè)方面：①客戶端檢測(cè)進(jìn)程。收集網(wǎng)絡(luò)連接請(qǐng)求過程后將檢測(cè)策略從服務(wù)端下載出來，根據(jù)策略對(duì)計(jì)算機(jī)安全狀態(tài)檢測(cè)信息進(jìn)行收集并發(fā)送至服務(wù)端。②客戶端通信服務(wù)進(jìn)程。根據(jù)和服務(wù)端見的通信協(xié)議將客戶端請(qǐng)求進(jìn)行編碼并發(fā)送至服務(wù)端。③服務(wù)端檢測(cè)判定進(jìn)程。將檢測(cè)策略發(fā)布給客戶端，認(rèn)證客戶端身份，對(duì)來自客戶端狀態(tài)檢測(cè)信息進(jìn)行判定及正確配置客戶端網(wǎng)絡(luò)。④服務(wù)端通信服務(wù)進(jìn)程。根據(jù)客戶端之間的通信協(xié)議對(duì)服務(wù)端的應(yīng)答進(jìn)行編碼并發(fā)送給客戶端。

3 計(jì)算機(jī)安全狀態(tài)檢測(cè)系統(tǒng)框架的應(yīng)用

通過將本框架在某網(wǎng)絡(luò)安全產(chǎn)品“網(wǎng)絡(luò)隔離系統(tǒng)”內(nèi)進(jìn)行應(yīng)用，取得了較好的效果。隨著對(duì)該框架產(chǎn)品的不斷升級(jí)與開發(fā)，其適應(yīng)復(fù)雜環(huán)境的能力越來越強(qiáng)。為了確保產(chǎn)品的生命力得以持續(xù)，還需要對(duì)框架進(jìn)行改造與設(shè)計(jì)。在基礎(chǔ)版本的基礎(chǔ)上，對(duì)返回風(fēng)格的架構(gòu)進(jìn)行調(diào)用，新系統(tǒng)架構(gòu)對(duì)系統(tǒng)主控核心控制主流程及應(yīng)用組件完成具體檢測(cè)處理的可配置架構(gòu)為重點(diǎn)，實(shí)現(xiàn)了基于有窮自動(dòng)機(jī)模型的可配置主控核心構(gòu)造的工作流，檢測(cè)流程更加的靈活，并且可對(duì)系統(tǒng)應(yīng)用組件進(jìn)行獨(dú)立開發(fā)與替換，并且與檢測(cè)系統(tǒng)分隔開，系統(tǒng)開發(fā)效率提高，風(fēng)險(xiǎn)降低。此外，該產(chǎn)品在開發(fā)中，對(duì)網(wǎng)絡(luò)控制設(shè)備的兼容性選擇范圍進(jìn)行了擴(kuò)展，產(chǎn)品的兼容性更好，擴(kuò)大的客戶群體，滿足特定網(wǎng)絡(luò)應(yīng)用環(huán)境的需求。

4 總結(jié)

本文主要針對(duì)計(jì)算機(jī)安全狀態(tài)檢測(cè)系統(tǒng)框架進(jìn)行分析和研究，并通過實(shí)際應(yīng)用對(duì)框架的應(yīng)用效果進(jìn)行驗(yàn)證，結(jié)果表明，基于該框架的檢測(cè)系統(tǒng)開發(fā)效率得到提高，適應(yīng)復(fù)雜環(huán)境的能力較強(qiáng)，性能良好。同時(shí)，針對(duì)框架中的不足之處，還需要進(jìn)一步進(jìn)行研究與改善。

參考文獻(xiàn)：

[1] 劉意先，劉宏偉.計(jì)算機(jī)安全檢測(cè)與評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2014，（17）：4034-4037.

[2] 郭志強(qiáng).防火墻技術(shù)在計(jì)算機(jī)安全構(gòu)建中的應(yīng)用分析[J].電子技術(shù)與軟件工程，2016（1）：216-219.

[3] 王宇祥.入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中運(yùn)用探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（4）：22+24.