網絡安全綜合監控平臺中的安全策略分析

摘 要 隨著科技的不斷進步，網絡環境的日趨復雜，網絡安全成了當前人們關心的主要問題。安全策略在網絡安全中起著重要作用，經過運用安全策略等，建立的網絡安全綜合監控平臺對網絡安全進行監控，有利于對網絡安全的實時監測和威脅相應，進而給用戶提供安全的網絡環境。文章從網絡安全的安全策略入手，對建立網絡安全監控平臺的安全策略進行了分析研究。

關鍵詞 網絡安全綜合監控平臺；安全策略；處理機制

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）13-0176-02

近幾年，隨著電子計算機技術的不斷發展和應用，網絡信息安全已經成為了國家安全和人們日常生活安全的重中之重，安全策略在網絡環境安全中起著重要的作用，它的運用，改善了網絡管理的靈活性和擴展性，是一種有前途的網絡安全問題解決方案。網絡安全綜合監控平臺的建立則可以對網絡的安全設備和安全設備進行監控和管理，提升了用戶網絡的安全水平和可管理性，對維護網絡安全有著重要的意義。

1 網絡安全綜合監控平臺

在當前的網絡安全建設發展中，網絡安全綜合監控平臺主要分為兩層，分別是基礎服務層和Web服務層，其中基礎服務層的功能是為用戶提供后臺服務，如安全策略、系統管理以及安全監控等服務，主要由邏輯處理接口模塊、通信模塊以及數據庫的讀寫模塊構成，用于設備的通信等服務（如圖1）[1]。

圖1 網絡安全綜合監控平臺架構

2 安全策略的定義及相關策略分析

1）安全策略的定義。安全策略是針對信息的安全訪問控制問題提出的，在整個系統安全中處于核心地位，所以，安全策略就是網絡安全的指南，是一組規則的集合整體，通過對這些規則的使用達到對網絡資源的訪問進行控制和管理的目的，從另一個層面來說，安全策略是根據網絡管理的安全需要和管理目標制定的，對系統選擇進行持久性、說明性的規范。

2）安全策略的特征。

①策略的完整性構造。在安全策略的實施中，系統中的任何主客體、操作或功能的行為都有著相對應的系統事件，經過事件觸發選擇滿足事件條件的安全策略，因此，信息安全中的每一個事件都存在相應的策略可供選擇[2]。

定義1.S假如發生的任意事件I至少能觸發一個策略p，則

V I∈C∈P∈P·P=（C→RXA）

<=>cd：CD，CS：CS，d：D，r：R，a：A，

e：E·（cd，CS）（d，r，a，e），

表示策略p是完整的

②策略的正確性驗收。所謂策略的正確性就是對已執行的結果或預期進行風險評估的過程，這種風險上限ulimit和評估函數對策略的正確與否起著直接的影響。

定義2.如果對任意一個策略p的風險評估都在可接受的范圍之內，則

P∈P P=（C→RXA）·

riskAssess（P）≤U lim it，

稱策略集p是正確的

綜上，正確的安全策略，來自于對系統任務的正確理解以及有效地風險評估模型，基于每個策略角色都有不同的安全需求的現實，動態系統的安全觀就需要對策略的正確性定進行驗證，在網絡安全綜合監控平臺建設過程中，絕對正確的策略和絕對安全的系統是不存在的，所以要加強系統運行過程中的控制風險措施和降低威脅措施。

③策略的一致性檢測。一致性檢測是網絡安全綜合監控平臺建設的關鍵，將執行時避免沖突和策略規則定義作為其任務目標，時刻準備消除沖突，大型系統中的策略數量眾多，會設置多名管理員進行編輯策略和修改策略，所以發生策略之間的相互沖突在所難免。要有相應不得沖突檢測和解決方法，進而做好安全信息系統的保障工作。

3）策略的沖突消解。網絡安全綜合監控平臺中，出現策略是在所難免的，對其最簡單的解決方法就是通過概念策略的條件以及動作等屬性，進而使其不再產生，但是這種方法也有其局限性，只能在制定策略時使用，將網絡安全進行預先檢測，對發生的沖突實施專門的消解方法，這個過程也是對策略的信任和協商過程，根據控制策略法則，主要有以下策略沖突消解原則[3]。

①“優先權”原則：就是策略執行優先權的方案，主要有，本地策略優先、新加策略優先、反向策略優先以及近策略優先和指定優先權值等。

②“多約束優先”原則，也就是選擇約束條件比較多的策略原則。

③“匹配優先”原則。就是在沖突發生的時候，選用最匹配的應對策略。

④“仲裁”原則：即在增加附加條件后再確立策略。

⑤“優先權+匹配優先”原則，就是指按照優先級原則得不到策略的情況下，進而選擇其中最匹配的策略原則。

4）基于規則引擎的策略處理機制。

①規則引擎與策略規則。在一個策略規則中，一般由一組條件和條件下執行的操作組成，在網絡安全系統的應用中表現為一段業務邏輯，主要由系統安全分析人員以及管理者進行開發和變更，對于復雜的策略規則，則可以由面向用戶的腳本或語言來進行定制。

經過對專家系統推理引擎的發展，進而制定規則引擎，并將這種組件嵌入到網絡安全綜合監控平臺系統的應用程序中，從應用程序代碼中分理出策略決策，依據指定的語義模塊進行策略規則的編寫，根據過濾條件判斷是否與實時條件相匹配在上述基礎上決定是否執行規則中的規則動作，進行相應的安全策略執行。

②基于規則引擎的策略處理。作為一種軟件組件，規則引擎要經過與程序接口的方式進行控制和使用，規則引擎的借口包括以下API：引擎執行API、加載以及卸載API以及數據操作API等。

開發者一般利用規則編輯環境來編輯技術規則，繼而進行事件監聽跟蹤和查看，編輯規則時，要注重檢測策略規則的正確性、完整性以及一致性，規則編輯時要注意其應用對象應包括系統的IDS及訪問者、Scanner等安全設備。作為企業管理者對系統安全進行相應策略規則管理層的一種工具，網絡安全綜合監控平臺可以根據網絡攻擊事件的狀況和安全需求的變化進行動態的策略規則管理。

網絡安全綜合監控平臺可以通過數據圖表或文件的形式存儲于LDQP數據庫或關系數據庫中，進行企業安全的邏輯決策。規則引擎包括模式匹配器、規則沖突處理器以及工作區內存、隊列、引擎執行，它的推理步驟如圖2。

圖2 規則引擎的推理步驟

第一步，將事件對象的實例放入工作區內存；第二步，比較示例數據與規則庫中的規則，用Pattern Matcher進行，并將符合條件的規則導入工作區；第三步，將第二步中激活的規則按順序放入Agenda；第四步，執行Agenda中的規則，將可能發生的規則沖突檢測出來并進行消除，然后重復進行第三步和第四步到執行完畢 Agenda中的所有規則。

在引擎執行的過程中，要按照規則執行的優先順序逐條執行，在這個過程中，可能會改變工作區的相應數據對象，會使得此隊列中的一些規則執行實例會根據執行條件的改變而失效，致使從隊列中撤銷，當然，也可能會以為激活了不滿足條件的規則而形成新的規則執行實例，這種過程是由工作區中的數據驅動所決定的。

5）使用規則引擎分析。網絡安全綜合監控平臺的實施中，引擎策略的使用應遵循以下步驟：首先，創建實體類，包括三個成員變量，certificateState.times和action；其次建立策略規則，描述請求連接的身份狀態是非非法，進行認證是否允許連接；再次，創建規則引擎對象，處理數據對象集合，對其成員變量賦值后，依據規則引擎中的相應方法，命令引擎執行，繼而到處執行結構。

3 結束語

綜上所述，要確保信息系統中安全策略的正確性、完整性以及一致性，進而建立網絡安全綜合監控平臺，進行策略的建立和存儲，并根據市場需求變化進行修正，使安全策略具有較高的健壯性和市場適應性，為用戶的網絡信息進行高質量的

維護。

參考文獻

[1]喬鋼柱.基于無線傳感器網絡的煤礦安全綜合監控系統設計與關鍵技術研究[D].蘭州理工大學，2012.

[2]馬進.加載隱私保護的網絡安全綜合管理關鍵技術研究[D].上海交通大學，2012.

作者簡介

宋巖（1969-），女，吉林省梨樹縣人，工程師，研究方向：計算機網絡安全。endprint

摘 要 隨著科技的不斷進步，網絡環境的日趨復雜，網絡安全成了當前人們關心的主要問題。安全策略在網絡安全中起著重要作用，經過運用安全策略等，建立的網絡安全綜合監控平臺對網絡安全進行監控，有利于對網絡安全的實時監測和威脅相應，進而給用戶提供安全的網絡環境。文章從網絡安全的安全策略入手，對建立網絡安全監控平臺的安全策略進行了分析研究。

關鍵詞 網絡安全綜合監控平臺；安全策略；處理機制

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）13-0176-02

近幾年，隨著電子計算機技術的不斷發展和應用，網絡信息安全已經成為了國家安全和人們日常生活安全的重中之重，安全策略在網絡環境安全中起著重要的作用，它的運用，改善了網絡管理的靈活性和擴展性，是一種有前途的網絡安全問題解決方案。網絡安全綜合監控平臺的建立則可以對網絡的安全設備和安全設備進行監控和管理，提升了用戶網絡的安全水平和可管理性，對維護網絡安全有著重要的意義。

1 網絡安全綜合監控平臺

在當前的網絡安全建設發展中，網絡安全綜合監控平臺主要分為兩層，分別是基礎服務層和Web服務層，其中基礎服務層的功能是為用戶提供后臺服務，如安全策略、系統管理以及安全監控等服務，主要由邏輯處理接口模塊、通信模塊以及數據庫的讀寫模塊構成，用于設備的通信等服務（如圖1）[1]。

圖1 網絡安全綜合監控平臺架構

2 安全策略的定義及相關策略分析

1）安全策略的定義。安全策略是針對信息的安全訪問控制問題提出的，在整個系統安全中處于核心地位，所以，安全策略就是網絡安全的指南，是一組規則的集合整體，通過對這些規則的使用達到對網絡資源的訪問進行控制和管理的目的，從另一個層面來說，安全策略是根據網絡管理的安全需要和管理目標制定的，對系統選擇進行持久性、說明性的規范。

2）安全策略的特征。

①策略的完整性構造。在安全策略的實施中，系統中的任何主客體、操作或功能的行為都有著相對應的系統事件，經過事件觸發選擇滿足事件條件的安全策略，因此，信息安全中的每一個事件都存在相應的策略可供選擇[2]。

定義1.S假如發生的任意事件I至少能觸發一個策略p，則

V I∈C∈P∈P·P=（C→RXA）

<=>cd：CD，CS：CS，d：D，r：R，a：A，

e：E·（cd，CS）（d，r，a，e），

表示策略p是完整的

②策略的正確性驗收。所謂策略的正確性就是對已執行的結果或預期進行風險評估的過程，這種風險上限ulimit和評估函數對策略的正確與否起著直接的影響。

定義2.如果對任意一個策略p的風險評估都在可接受的范圍之內，則

P∈P P=（C→RXA）·

riskAssess（P）≤U lim it，

稱策略集p是正確的

綜上，正確的安全策略，來自于對系統任務的正確理解以及有效地風險評估模型，基于每個策略角色都有不同的安全需求的現實，動態系統的安全觀就需要對策略的正確性定進行驗證，在網絡安全綜合監控平臺建設過程中，絕對正確的策略和絕對安全的系統是不存在的，所以要加強系統運行過程中的控制風險措施和降低威脅措施。

③策略的一致性檢測。一致性檢測是網絡安全綜合監控平臺建設的關鍵，將執行時避免沖突和策略規則定義作為其任務目標，時刻準備消除沖突，大型系統中的策略數量眾多，會設置多名管理員進行編輯策略和修改策略，所以發生策略之間的相互沖突在所難免。要有相應不得沖突檢測和解決方法，進而做好安全信息系統的保障工作。

3）策略的沖突消解。網絡安全綜合監控平臺中，出現策略是在所難免的，對其最簡單的解決方法就是通過概念策略的條件以及動作等屬性，進而使其不再產生，但是這種方法也有其局限性，只能在制定策略時使用，將網絡安全進行預先檢測，對發生的沖突實施專門的消解方法，這個過程也是對策略的信任和協商過程，根據控制策略法則，主要有以下策略沖突消解原則[3]。

①“優先權”原則：就是策略執行優先權的方案，主要有，本地策略優先、新加策略優先、反向策略優先以及近策略優先和指定優先權值等。

②“多約束優先”原則，也就是選擇約束條件比較多的策略原則。

③“匹配優先”原則。就是在沖突發生的時候，選用最匹配的應對策略。

④“仲裁”原則：即在增加附加條件后再確立策略。

⑤“優先權+匹配優先”原則，就是指按照優先級原則得不到策略的情況下，進而選擇其中最匹配的策略原則。

4）基于規則引擎的策略處理機制。

①規則引擎與策略規則。在一個策略規則中，一般由一組條件和條件下執行的操作組成，在網絡安全系統的應用中表現為一段業務邏輯，主要由系統安全分析人員以及管理者進行開發和變更，對于復雜的策略規則，則可以由面向用戶的腳本或語言來進行定制。

經過對專家系統推理引擎的發展，進而制定規則引擎，并將這種組件嵌入到網絡安全綜合監控平臺系統的應用程序中，從應用程序代碼中分理出策略決策，依據指定的語義模塊進行策略規則的編寫，根據過濾條件判斷是否與實時條件相匹配在上述基礎上決定是否執行規則中的規則動作，進行相應的安全策略執行。

②基于規則引擎的策略處理。作為一種軟件組件，規則引擎要經過與程序接口的方式進行控制和使用，規則引擎的借口包括以下API：引擎執行API、加載以及卸載API以及數據操作API等。

開發者一般利用規則編輯環境來編輯技術規則，繼而進行事件監聽跟蹤和查看，編輯規則時，要注重檢測策略規則的正確性、完整性以及一致性，規則編輯時要注意其應用對象應包括系統的IDS及訪問者、Scanner等安全設備。作為企業管理者對系統安全進行相應策略規則管理層的一種工具，網絡安全綜合監控平臺可以根據網絡攻擊事件的狀況和安全需求的變化進行動態的策略規則管理。

網絡安全綜合監控平臺可以通過數據圖表或文件的形式存儲于LDQP數據庫或關系數據庫中，進行企業安全的邏輯決策。規則引擎包括模式匹配器、規則沖突處理器以及工作區內存、隊列、引擎執行，它的推理步驟如圖2。

圖2 規則引擎的推理步驟

第一步，將事件對象的實例放入工作區內存；第二步，比較示例數據與規則庫中的規則，用Pattern Matcher進行，并將符合條件的規則導入工作區；第三步，將第二步中激活的規則按順序放入Agenda；第四步，執行Agenda中的規則，將可能發生的規則沖突檢測出來并進行消除，然后重復進行第三步和第四步到執行完畢 Agenda中的所有規則。

在引擎執行的過程中，要按照規則執行的優先順序逐條執行，在這個過程中，可能會改變工作區的相應數據對象，會使得此隊列中的一些規則執行實例會根據執行條件的改變而失效，致使從隊列中撤銷，當然，也可能會以為激活了不滿足條件的規則而形成新的規則執行實例，這種過程是由工作區中的數據驅動所決定的。

5）使用規則引擎分析。網絡安全綜合監控平臺的實施中，引擎策略的使用應遵循以下步驟：首先，創建實體類，包括三個成員變量，certificateState.times和action；其次建立策略規則，描述請求連接的身份狀態是非非法，進行認證是否允許連接；再次，創建規則引擎對象，處理數據對象集合，對其成員變量賦值后，依據規則引擎中的相應方法，命令引擎執行，繼而到處執行結構。

3 結束語

綜上所述，要確保信息系統中安全策略的正確性、完整性以及一致性，進而建立網絡安全綜合監控平臺，進行策略的建立和存儲，并根據市場需求變化進行修正，使安全策略具有較高的健壯性和市場適應性，為用戶的網絡信息進行高質量的

維護。

參考文獻

[1]喬鋼柱.基于無線傳感器網絡的煤礦安全綜合監控系統設計與關鍵技術研究[D].蘭州理工大學，2012.

[2]馬進.加載隱私保護的網絡安全綜合管理關鍵技術研究[D].上海交通大學，2012.

作者簡介

宋巖（1969-），女，吉林省梨樹縣人，工程師，研究方向：計算機網絡安全。endprint

摘 要 隨著科技的不斷進步，網絡環境的日趨復雜，網絡安全成了當前人們關心的主要問題。安全策略在網絡安全中起著重要作用，經過運用安全策略等，建立的網絡安全綜合監控平臺對網絡安全進行監控，有利于對網絡安全的實時監測和威脅相應，進而給用戶提供安全的網絡環境。文章從網絡安全的安全策略入手，對建立網絡安全監控平臺的安全策略進行了分析研究。

關鍵詞 網絡安全綜合監控平臺；安全策略；處理機制

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）13-0176-02

近幾年，隨著電子計算機技術的不斷發展和應用，網絡信息安全已經成為了國家安全和人們日常生活安全的重中之重，安全策略在網絡環境安全中起著重要的作用，它的運用，改善了網絡管理的靈活性和擴展性，是一種有前途的網絡安全問題解決方案。網絡安全綜合監控平臺的建立則可以對網絡的安全設備和安全設備進行監控和管理，提升了用戶網絡的安全水平和可管理性，對維護網絡安全有著重要的意義。

1 網絡安全綜合監控平臺

在當前的網絡安全建設發展中，網絡安全綜合監控平臺主要分為兩層，分別是基礎服務層和Web服務層，其中基礎服務層的功能是為用戶提供后臺服務，如安全策略、系統管理以及安全監控等服務，主要由邏輯處理接口模塊、通信模塊以及數據庫的讀寫模塊構成，用于設備的通信等服務（如圖1）[1]。

圖1 網絡安全綜合監控平臺架構

2 安全策略的定義及相關策略分析

1）安全策略的定義。安全策略是針對信息的安全訪問控制問題提出的，在整個系統安全中處于核心地位，所以，安全策略就是網絡安全的指南，是一組規則的集合整體，通過對這些規則的使用達到對網絡資源的訪問進行控制和管理的目的，從另一個層面來說，安全策略是根據網絡管理的安全需要和管理目標制定的，對系統選擇進行持久性、說明性的規范。

2）安全策略的特征。

①策略的完整性構造。在安全策略的實施中，系統中的任何主客體、操作或功能的行為都有著相對應的系統事件，經過事件觸發選擇滿足事件條件的安全策略，因此，信息安全中的每一個事件都存在相應的策略可供選擇[2]。

定義1.S假如發生的任意事件I至少能觸發一個策略p，則

V I∈C∈P∈P·P=（C→RXA）

<=>cd：CD，CS：CS，d：D，r：R，a：A，

e：E·（cd，CS）（d，r，a，e），

表示策略p是完整的

②策略的正確性驗收。所謂策略的正確性就是對已執行的結果或預期進行風險評估的過程，這種風險上限ulimit和評估函數對策略的正確與否起著直接的影響。

定義2.如果對任意一個策略p的風險評估都在可接受的范圍之內，則

P∈P P=（C→RXA）·

riskAssess（P）≤U lim it，

稱策略集p是正確的

綜上，正確的安全策略，來自于對系統任務的正確理解以及有效地風險評估模型，基于每個策略角色都有不同的安全需求的現實，動態系統的安全觀就需要對策略的正確性定進行驗證，在網絡安全綜合監控平臺建設過程中，絕對正確的策略和絕對安全的系統是不存在的，所以要加強系統運行過程中的控制風險措施和降低威脅措施。

③策略的一致性檢測。一致性檢測是網絡安全綜合監控平臺建設的關鍵，將執行時避免沖突和策略規則定義作為其任務目標，時刻準備消除沖突，大型系統中的策略數量眾多，會設置多名管理員進行編輯策略和修改策略，所以發生策略之間的相互沖突在所難免。要有相應不得沖突檢測和解決方法，進而做好安全信息系統的保障工作。

3）策略的沖突消解。網絡安全綜合監控平臺中，出現策略是在所難免的，對其最簡單的解決方法就是通過概念策略的條件以及動作等屬性，進而使其不再產生，但是這種方法也有其局限性，只能在制定策略時使用，將網絡安全進行預先檢測，對發生的沖突實施專門的消解方法，這個過程也是對策略的信任和協商過程，根據控制策略法則，主要有以下策略沖突消解原則[3]。

①“優先權”原則：就是策略執行優先權的方案，主要有，本地策略優先、新加策略優先、反向策略優先以及近策略優先和指定優先權值等。

②“多約束優先”原則，也就是選擇約束條件比較多的策略原則。

③“匹配優先”原則。就是在沖突發生的時候，選用最匹配的應對策略。

④“仲裁”原則：即在增加附加條件后再確立策略。

⑤“優先權+匹配優先”原則，就是指按照優先級原則得不到策略的情況下，進而選擇其中最匹配的策略原則。

4）基于規則引擎的策略處理機制。

①規則引擎與策略規則。在一個策略規則中，一般由一組條件和條件下執行的操作組成，在網絡安全系統的應用中表現為一段業務邏輯，主要由系統安全分析人員以及管理者進行開發和變更，對于復雜的策略規則，則可以由面向用戶的腳本或語言來進行定制。

經過對專家系統推理引擎的發展，進而制定規則引擎，并將這種組件嵌入到網絡安全綜合監控平臺系統的應用程序中，從應用程序代碼中分理出策略決策，依據指定的語義模塊進行策略規則的編寫，根據過濾條件判斷是否與實時條件相匹配在上述基礎上決定是否執行規則中的規則動作，進行相應的安全策略執行。

②基于規則引擎的策略處理。作為一種軟件組件，規則引擎要經過與程序接口的方式進行控制和使用，規則引擎的借口包括以下API：引擎執行API、加載以及卸載API以及數據操作API等。

開發者一般利用規則編輯環境來編輯技術規則，繼而進行事件監聽跟蹤和查看，編輯規則時，要注重檢測策略規則的正確性、完整性以及一致性，規則編輯時要注意其應用對象應包括系統的IDS及訪問者、Scanner等安全設備。作為企業管理者對系統安全進行相應策略規則管理層的一種工具，網絡安全綜合監控平臺可以根據網絡攻擊事件的狀況和安全需求的變化進行動態的策略規則管理。

網絡安全綜合監控平臺可以通過數據圖表或文件的形式存儲于LDQP數據庫或關系數據庫中，進行企業安全的邏輯決策。規則引擎包括模式匹配器、規則沖突處理器以及工作區內存、隊列、引擎執行，它的推理步驟如圖2。

圖2 規則引擎的推理步驟

第一步，將事件對象的實例放入工作區內存；第二步，比較示例數據與規則庫中的規則，用Pattern Matcher進行，并將符合條件的規則導入工作區；第三步，將第二步中激活的規則按順序放入Agenda；第四步，執行Agenda中的規則，將可能發生的規則沖突檢測出來并進行消除，然后重復進行第三步和第四步到執行完畢 Agenda中的所有規則。

在引擎執行的過程中，要按照規則執行的優先順序逐條執行，在這個過程中，可能會改變工作區的相應數據對象，會使得此隊列中的一些規則執行實例會根據執行條件的改變而失效，致使從隊列中撤銷，當然，也可能會以為激活了不滿足條件的規則而形成新的規則執行實例，這種過程是由工作區中的數據驅動所決定的。

5）使用規則引擎分析。網絡安全綜合監控平臺的實施中，引擎策略的使用應遵循以下步驟：首先，創建實體類，包括三個成員變量，certificateState.times和action；其次建立策略規則，描述請求連接的身份狀態是非非法，進行認證是否允許連接；再次，創建規則引擎對象，處理數據對象集合，對其成員變量賦值后，依據規則引擎中的相應方法，命令引擎執行，繼而到處執行結構。

3 結束語

綜上所述，要確保信息系統中安全策略的正確性、完整性以及一致性，進而建立網絡安全綜合監控平臺，進行策略的建立和存儲，并根據市場需求變化進行修正，使安全策略具有較高的健壯性和市場適應性，為用戶的網絡信息進行高質量的

維護。

參考文獻

[1]喬鋼柱.基于無線傳感器網絡的煤礦安全綜合監控系統設計與關鍵技術研究[D].蘭州理工大學，2012.

[2]馬進.加載隱私保護的網絡安全綜合管理關鍵技術研究[D].上海交通大學，2012.

作者簡介

宋巖（1969-），女，吉林省梨樹縣人，工程師，研究方向：計算機網絡安全。endprint