袁林英

（山東省電子信息產(chǎn)品檢驗院（中國賽寶（山東）實驗室） 山東省濟南市 250014）

網(wǎng)絡(luò)安全主要的目標就是確保核心資產(chǎn)的完整性，盡可能降低各種損失，實現(xiàn)最大化的投資回報率，從而保障業(yè)務(wù)連續(xù)運行的可能，從本質(zhì)上來看，網(wǎng)絡(luò)安全管理就是風(fēng)險管理。而這絕不只是依賴于某個單一產(chǎn)品便可以解決的關(guān)鍵性問題。需要將原本處于分離狀態(tài)下的信息安全孤島，轉(zhuǎn)換為具備有機協(xié)作與互動的整體性架構(gòu)，可以針對網(wǎng)絡(luò)安全現(xiàn)狀進行態(tài)勢評估、聯(lián)動控制或者威脅估計等方面的工作，而網(wǎng)絡(luò)安全管理平臺和以數(shù)據(jù)融合技術(shù)為基礎(chǔ)所構(gòu)建的網(wǎng)絡(luò)安全管理系統(tǒng)則必將成為一種十分有效的解決方案。在以下內(nèi)容中，筆者將同大家一起分析應(yīng)用數(shù)據(jù)融合技術(shù)下的網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)與完善路徑。

1 網(wǎng)絡(luò)安全管理平臺

網(wǎng)絡(luò)安全管理平臺主要包括以下五大功能模塊：

（1）安全策略。這一模塊管理的核心任務(wù)就是相關(guān)規(guī)章制度的頒發(fā)與制定，明確具體的安全管理科范圍與等級。制定相關(guān)規(guī)程與管理制度。制定系統(tǒng)維護制度與系統(tǒng)故障應(yīng)急辦法。制定事件響應(yīng)辦法與落實；

（2）安全設(shè)備。這一模塊管理包括多種系統(tǒng)，比如防火墻、漏洞掃描、入侵檢測以及身份認證等，完成升級或維護安全設(shè)備的任務(wù)；

（3）安全故障檢測。結(jié)合安全策略自動檢測網(wǎng)絡(luò)故障，對系統(tǒng)中的各種安全漏洞進行檢測，可以分類顯示不同的網(wǎng)絡(luò)狀態(tài)與安全事件；

（4）安全事件分析和審計。收集與管理網(wǎng)絡(luò)當中的安全日志與事件，完成集中、分析、報告以及審計日志等活動。同時通過數(shù)據(jù)融合技術(shù)分析與處理各類安全信息，及時發(fā)現(xiàn)潛在威脅；

（5）安全事件相應(yīng)。結(jié)合安全響應(yīng)措施，完成統(tǒng)一管理與統(tǒng)一控制相關(guān)設(shè)備的任務(wù)。

2 網(wǎng)絡(luò)安全管理系統(tǒng)功能分析

想要建設(shè)一個滿足當前安全管理需求的綜合性安全管理系統(tǒng)，就必須使其具備以下三方面基礎(chǔ)的系統(tǒng)功能，包括集中控制、安全審計以及策略聯(lián)動。

2.1 集中監(jiān)控

針對安全設(shè)備進行集中監(jiān)控屬于綜合性安全管理系統(tǒng)當中的基礎(chǔ)性功能，如圖1 所示。針對用戶來說針對不同的安全設(shè)備，在安全管理平臺當中進行集中監(jiān)控，可以有效提升安全管理工作質(zhì)量與效率。用戶能夠借助于集中監(jiān)控，提取更多的安全設(shè)備數(shù)據(jù)信息，從而獲取更多維度的安全視角，輔助用戶以全局、整體的角度來把握網(wǎng)絡(luò)運行當前的安全狀態(tài)。在此需要注意的是，集中監(jiān)控各種設(shè)備還需要具備告警功能，一旦在安全設(shè)備運行過程中出現(xiàn)故障卻無法及時發(fā)現(xiàn)，則有可能導(dǎo)致極大損失的產(chǎn)生。實時告警功能會在安全設(shè)備出現(xiàn)異常情況時，通過各種不同的方式在第一時間通知管理人員，比如管理平臺當中的圖形告警、短信告警、郵件告警以及本地聲音等，確保管理人員能夠在第一時間接收到告警信息。

圖1：安全設(shè)備集中監(jiān)控

2.2 安全審計

安全審計主要的目的就是向用戶提供更加重要的信息。通過集中監(jiān)控，讓管理平臺可以獲取更多的安全設(shè)備信息與日志記錄，對于安全管理工作人員來說，這部分信息當中往往蘊含著十分豐富的工作價值。但是在復(fù)雜數(shù)據(jù)信息當中所挖掘出的各類網(wǎng)絡(luò)安全信息，往往缺少更加有效的一套審計工具，而如果只憑借人力分析來完成則是不可靠的，也是難以完成的。因此綜合性的管理系統(tǒng)必須要能夠進行安全審計，可以從海量數(shù)據(jù)當中挖掘出關(guān)聯(lián)性原則。為此，首先應(yīng)當找到“頻繁項集”，而后由他們形成最終的強關(guān)聯(lián)原則。這部分規(guī)則也需要符合最小置信度當中的閾值。借助于安全審計針對設(shè)備數(shù)據(jù)自動分析，能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)安全不同方面存在的攻擊活動關(guān)聯(lián)性。比如在發(fā)生黑客事件時，審計工具能夠結(jié)合多臺主機之間存在的日志關(guān)聯(lián)來分析具體的入侵行為，明確黑客的手段與方法，從而更有利于日后的預(yù)防工作。

2.3 聯(lián)動策略

聯(lián)動策略就是基于集中控制推進的一種設(shè)備安全聯(lián)動機制。借助于實施具體的聯(lián)動策略，將以往的靜態(tài)化安全防護變?yōu)閯討B(tài)化安全防護。例如：在局域網(wǎng)當中的某個用戶由于接收與發(fā)送電子郵件而導(dǎo)致計算機感染病毒，此時通過聯(lián)動策略需要系統(tǒng)進行如下動作：

（1）由病毒檢測系統(tǒng)針對被感染計算機進行病毒檢測；

（2）病毒檢測系統(tǒng)將消毒發(fā)送到安全管理平臺當中，將此次事件的詳細信息進行報送；

（3）安全管理平臺結(jié)合預(yù)先定制好的聯(lián)動策略，將信息發(fā)送到防火墻系統(tǒng)當中；

（4）防火墻系統(tǒng)在接收到消息之后，將該網(wǎng)段當中所有的網(wǎng)絡(luò)業(yè)務(wù)立即封鎖，同時通過特定辦法通知管理人員。

上述過程在系統(tǒng)正常運行狀態(tài)下，一般只需幾秒即可完成，因此能夠有效避免更大破壞的發(fā)生。而假如需要管理人員進行人工操作，則需要花費更長時間，因此也無法及時進行防護，進而導(dǎo)致更大的代價。

3 網(wǎng)絡(luò)安全設(shè)備聯(lián)動技術(shù)

3.1 網(wǎng)絡(luò)安全管理對聯(lián)動技術(shù)的需求

通常企業(yè)用戶所選擇的單點防護都會失去其原有的防護作用。單點防護當中最典型的一個代表就是防火墻。防火墻屬于各網(wǎng)段之間的一種邏輯隔離裝置，可以將內(nèi)部區(qū)域和外部區(qū)域進行有效隔離，集中管控網(wǎng)絡(luò)安全策略與信息流動，提供網(wǎng)絡(luò)邊界的保護性措施，而防火墻則一般具有明顯的局限性，簡而言之，就是防火墻會事先設(shè)置規(guī)則，無法及時反映出未定義類型的網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)異常行為。另外，制定防火墻規(guī)則，更多的是進行一種粗顆粒檢查，無法安全解析部分協(xié)議細節(jié)，所以不能夠針對協(xié)議攻擊進行防范。同時，防火墻還存在一定的“防外不防內(nèi)”的特點，也正是由于這種局限性的存在，導(dǎo)致內(nèi)部用戶出現(xiàn)的非法行為與攻擊無法及時響應(yīng)。除此之外，這種安全技術(shù)對于產(chǎn)品來說往往有著相對復(fù)雜的安全網(wǎng)絡(luò)環(huán)境，大部分單位對此并不陌生，并配備了相對完善的該技術(shù)。

3.2 網(wǎng)絡(luò)安全管理體系中的聯(lián)動技術(shù)

聯(lián)動技術(shù)融合綜合性管理平臺與安全審計系統(tǒng)，同時也涉及到了IDS、VPN 以及防火墻等安全技術(shù)與產(chǎn)品，可以使網(wǎng)絡(luò)安全管理當中的防護能力更強。聯(lián)動技術(shù)順應(yīng)了當前的網(wǎng)絡(luò)安全管理智能化發(fā)展趨勢，可以更好的整合安全體系并提升其性能。比如通過防火墻和IDS 之間的聯(lián)動，在IDS檢測到入侵行為時，能夠及時通知防火墻將該源當中的網(wǎng)絡(luò)連接關(guān)閉，同時也將原本的靜態(tài)防護切換到動態(tài)防護，從而有效提高防火墻反應(yīng)能力與機動性，也能夠進一步強化入侵檢測阻斷的能力。對大型網(wǎng)絡(luò)系統(tǒng)而言，集中管理能夠有效提升單點配置與控制能力，防止管理人員手動操作各設(shè)備。集中式的聯(lián)動管理平臺是以設(shè)備的管理層為基礎(chǔ)，進一步的安全管理擴充，如圖2 所示，主要可分為事件管理、智能代理以及策略系統(tǒng)。

圖2：集中聯(lián)動管理平臺

3.3 制訂聯(lián)動策略

在各種網(wǎng)絡(luò)安全設(shè)備聯(lián)動過程中，因為不同安全設(shè)備組件可能發(fā)生各種漏洞或者誤報錯誤信息等問題，因此一方面需要提升網(wǎng)絡(luò)安全產(chǎn)品的檢測精度，另一方面也需要制訂科學(xué)的網(wǎng)絡(luò)安全聯(lián)動策略，確保網(wǎng)絡(luò)安全聯(lián)動系統(tǒng)的穩(wěn)定性與可靠性。聯(lián)動策略的制訂需要著重分析以下兩個關(guān)鍵性問題：第一就是合理的分類攻擊類型，結(jié)合不同攻擊的不同攻擊特性與危險等級做好分類工作，不將級別相對較低的報警行為設(shè)置成聯(lián)動；第二就是設(shè)置某條聯(lián)動規(guī)則當中的阻斷方式與阻斷時間，既能夠?qū)崿F(xiàn)安全聯(lián)動的效果，又能夠確保不危害網(wǎng)絡(luò)。聯(lián)動策略的制訂能夠以兩種不同角度出發(fā)考慮，分別為基于危險級別進行定義、基于可傳送級別進行定義。其中危險級別定義包括：最小、警告、注意、嚴重、災(zāi)難性；可傳送級別定義包括：沒有、局部、完全。

3.4 網(wǎng)絡(luò)安全設(shè)備聯(lián)動技術(shù)現(xiàn)狀分析

現(xiàn)階段，我國市場當中存在的聯(lián)動系統(tǒng)大多數(shù)為廠家自身的網(wǎng)絡(luò)安全設(shè)備產(chǎn)品，比如IDS 與防火墻之間的協(xié)同，也就是基于防火墻所進行的各類安全設(shè)備之間的聯(lián)動，如圖3所示。除此之外，比如防病毒產(chǎn)品和防火墻之間的聯(lián)動，能夠?qū)⒉《静闅⒐ぷ饕扑椭辆W(wǎng)關(guān)處，有效控制病毒發(fā)作嚴重性。因為企業(yè)網(wǎng)絡(luò)當中的安全產(chǎn)品有可能會選擇不同的廠家與多種品牌，因此也會導(dǎo)致產(chǎn)品之間存在的管理平臺兼容性與協(xié)同能力大大衰減。這樣的聯(lián)動模型顯然已經(jīng)無法適應(yīng)網(wǎng)絡(luò)設(shè)備之間十分高速且有效的協(xié)作需求，因此有必要脫離聯(lián)動管理系統(tǒng)而獨立存在，形成更加具有擴展性、兼容性、集中性的智能化聯(lián)動管理平臺。在國際范圍內(nèi)，提出了OPSEC協(xié)議，由我國天融信企業(yè)首次提出基于聯(lián)動的安全管理理念，并推出TOPSEC 協(xié)議，并首次在我國完成安全產(chǎn)品的相互間操作，受到了一致認可與關(guān)注。

圖3：基于防火墻的網(wǎng)絡(luò)安全聯(lián)動

4 網(wǎng)絡(luò)安全管理數(shù)據(jù)融合系統(tǒng)架構(gòu)分析

4.1 防火墻

防火墻是一種基礎(chǔ)性的網(wǎng)絡(luò)訪問控制工具。防火墻能夠針對底層網(wǎng)絡(luò)數(shù)據(jù)流進行檢查，同時結(jié)合制定規(guī)則過濾數(shù)據(jù)報工作；也可以當做一種代理服務(wù)器來運行，能夠驗證與轉(zhuǎn)發(fā)特定的網(wǎng)絡(luò)服務(wù)。防火墻的核心策略不會對數(shù)據(jù)報當中的內(nèi)容進行分析，這也就表明防火墻在訪問控制方面具有一定不足。比如來自Internet 當中的具有惡意攻擊性的信息數(shù)據(jù)報，其往往只需要端口與地址信息都滿足防火墻使用規(guī)則，就能夠被防火墻忽略。所以防火墻在使用過程中，必須要充分結(jié)合其他技術(shù)來彌補防火墻存在的不足，比如物理隔離網(wǎng)閘技術(shù)、防病毒網(wǎng)關(guān)技術(shù)、入侵檢測防御技術(shù)、防泄漏系統(tǒng)技術(shù)以及抗攻擊網(wǎng)關(guān)技術(shù)等，通過這些數(shù)據(jù)融合技術(shù)的應(yīng)用，能夠形成更具有穩(wěn)定性與安全性的網(wǎng)絡(luò)防御體系。在網(wǎng)絡(luò)安全這一領(lǐng)域當中，IDS 是對防火墻一種最有效的補充。

4.2 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)能夠針對用戶與系統(tǒng)的日常活動行為進行監(jiān)視與分析；能夠?qū)徲嬒到y(tǒng)構(gòu)造與系統(tǒng)弱點；能夠精準識別反映部分已知的活動模式并及時報警給相關(guān)人員；能夠統(tǒng)計分析系統(tǒng)存在的異常行為模式；能夠針對重要系統(tǒng)以及數(shù)據(jù)文件是否完整進行評估；能夠?qū)徲?、跟蹤與管理操作系統(tǒng)，同時識別各種與安全策略不符的用戶行為。除此之外，入侵檢測系統(tǒng)作為一個十分關(guān)鍵的網(wǎng)絡(luò)安全技術(shù)，其最根本的意義就是可以有效補充防火墻產(chǎn)品存在的不足，且能夠體現(xiàn)在多個方面，包括：

（1）入侵檢測系統(tǒng)可以實現(xiàn)對網(wǎng)絡(luò)攻擊的全方位防范；

（2）入侵檢測系統(tǒng)可以實現(xiàn)對內(nèi)部攻擊的有效對抗；

（3）入侵檢測系統(tǒng)可以有效的對系統(tǒng)進行審計并保護系統(tǒng)主機。

4.3 防病毒系統(tǒng)

在對抗病毒過程中，及時發(fā)現(xiàn)病毒能夠有效降低損失。當前的反病毒技術(shù)可以分為殺毒技術(shù)與病毒檢測技術(shù)兩種，其中病毒檢測是最為關(guān)鍵的一部分?，F(xiàn)階段，病毒檢測在我國被廣泛運用到了防火墻以及各類殺毒軟件產(chǎn)品當中。該技術(shù)應(yīng)用的主要方式可包括以下幾種：校驗合法、軟件模擬法、特征代碼法以及行為監(jiān)測法。這些方法所依靠的原理各不相同，因此在實現(xiàn)過程中也有著不同的開銷，檢測范圍也各不相同，可以說各有所長。特征代碼法的主要優(yōu)勢就是誤報率較低，并且能夠解毒病毒類型，主要劣勢就是檢測速度較慢，且無法應(yīng)對未知病毒；校驗合法的主要優(yōu)勢就是能夠同時發(fā)現(xiàn)已知與未知的病毒，主要劣勢就是無法識別具體的病毒種類；行為監(jiān)測法的主要優(yōu)勢就是對未知病毒能夠準確預(yù)報，主要劣勢就是無法識別病毒名稱，實現(xiàn)較為困難；軟件模擬法相較于一般軟件來說，其在安裝過程中往往無法及時更新最新版本，因此也就導(dǎo)致部分殺毒工作難以實現(xiàn)。

4.4 流量監(jiān)控

采取流量監(jiān)測的方式構(gòu)建預(yù)警系統(tǒng)，能夠以宏觀的角度及時找到網(wǎng)絡(luò)異常問題，同時可以及時發(fā)現(xiàn)各種新型網(wǎng)絡(luò)攻擊。這也是網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)當前的工作重心。以流量監(jiān)測為基礎(chǔ)的預(yù)警系統(tǒng)模型如圖4 所示。該分布式的預(yù)警結(jié)構(gòu)與現(xiàn)階段入侵檢測系統(tǒng)當中的基礎(chǔ)性模型之間具有一定的一致性。在這個結(jié)構(gòu)當中需要在網(wǎng)絡(luò)當中挑選適當?shù)姆植际教綔y點，負責對網(wǎng)絡(luò)流量等相關(guān)信息進行收集，而后借助于預(yù)警通道輸送到網(wǎng)絡(luò)安全管理平臺當中，結(jié)合預(yù)先制定好的預(yù)警規(guī)則與相關(guān)算法明確是否需要發(fā)送警報以及應(yīng)當采取何種措施。

圖4：以流量監(jiān)測為基礎(chǔ)的預(yù)警系統(tǒng)模型

4.5 主機性能監(jiān)控

主機性能將對網(wǎng)絡(luò)系統(tǒng)當中具備的服務(wù)質(zhì)量產(chǎn)生最直接的影響，不同的網(wǎng)絡(luò)安全攻擊方法都有可能導(dǎo)致網(wǎng)絡(luò)系統(tǒng)當中的主機性能受到嚴重影響。由此可見，主機性能當中的各種參數(shù)也能夠成為網(wǎng)絡(luò)安全管理中心當中的輸入信息源。主機性能當中最關(guān)鍵的參數(shù)信息就是CPU 利用效率以及內(nèi)存利用效率?，F(xiàn)如今，在世界范圍內(nèi)主流應(yīng)用的操作系統(tǒng)，大部分都針對這一類關(guān)鍵的參數(shù)信息開放了讀取接口。針對這一類數(shù)據(jù)信息所開展的采集處理工作通常都是通過SNMP標準協(xié)議在操作系統(tǒng)當中的接口處直接獲取，不同的第三方軟件，主要包括不同的網(wǎng)絡(luò)管理軟件，都能夠支持這種采集與處理，比如HP OpecView。

5 結(jié)束語

綜上所述，在網(wǎng)絡(luò)安全管理當中應(yīng)用數(shù)據(jù)融合技術(shù)，能夠有效彌補網(wǎng)絡(luò)安全管理過程中遇到的不足之處，同時也能夠促使網(wǎng)絡(luò)安全管理工作具有更好的穩(wěn)定性與可靠性，進而有利于推動全球信息化的發(fā)展浪潮，甚至于社會結(jié)構(gòu)的變革。