防御策略求精關鍵技術研究

0 引言

隨著計算機網絡的發展其應用日益廣泛，計算機網絡面臨的安全威脅越來越多，網絡安全管理需求隨之增強。從目前看，計算機網絡安全面臨的安全威脅主要來自兩方面。一個是網絡攻擊行為日益復雜，利用系統漏洞、病毒、用戶疏漏等進行網絡攻擊已經屢見不鮮，各種手段相互融合，新型攻擊手段不斷涌現；另一個是網絡攻擊目標日益廣泛，網絡基礎設施、網絡端點等所有可能影響系統應用的都能成為網絡攻擊的目標。對此，急需構建一套安全、先進、有效的計算機網絡防御體系，進一步提高網絡安全管理水平，以確保計算機系統安全。為此，有必要進行計算機網絡防御策略求精關鍵技術研究，以促進計算機網絡防御效果的提高。

1 計算機網絡安全現狀分析

計算機網絡安全問題是伴隨著信息技術發展而出現的，在計算機廣泛應用的當下，網絡安全管理在人類社會進步與發展中的作用日益重要。信息技術革命給人們工作與生活帶來方便的同時也使得人們處于一個更易受到攻擊的境地，最為突出的就是個人隱私的保密性問題，傳統的網絡安全技術和措施已經難以保證信息安全與計算機系統安全。由于計算機網絡所具有的開放性、共享性、互連性，網絡上的信息安全先天就存在不足，加之缺乏嚴格的系統管理，防火墻的脆弱性，造成計算機網絡易受攻擊。

現階段，計算機網絡攻擊手段越來越復雜，各種方法相互融合，加大了方案安全防御難度。而且，隨著手機、掌上電腦的廣泛應用，這些無線終端網絡也成為了網絡攻擊對象。從攻擊目標看，已經不再是單純的追求“榮耀感”，有著更多的實際利益，所以攻擊行為的組織性更強，惡意網站、間諜程度、網絡木馬等日益泛濫。面對如此嚴峻的網絡安全形勢，應加強網絡安全防御，研究安全防御策略求精方法，提高計算機網絡安全管理水平。

2 計算機網絡防御策略求精

2.1 計算機網絡防御策略

計算機網絡防御策略是分層次的，多方面的，涉及的防御手段廣泛。從層次上看，計算機網絡安全防御策略有高層策略、低層策略、操作層策略；從網絡防御上看，計算機網絡安全防御策略有防護策略、檢測策略、響應策略、恢復策略；從防御手段上看，計算機網絡安全防御策略的技術方法有控制訪問、殺毒軟件、入侵檢測、防火墻、數字簽名、文件加密、漏洞檢測、網絡監控等。為了保護網絡信息的機密性、可用性、完整性，需要構建多層次、多元化的計算機網絡安全防御策略體系，形成一個完善的網絡安全防御體系，以確保計算機網絡信息與系統運行安全。

2.2 計算機網絡防御策略求精

基于防御策略的網絡安全防護是當前計算機安全管理的有效手段，也是計算機網絡安全技術的主要發展方向。事實上，計算機網絡防御策略求精就是把網絡拓撲信息和求精規則有機結合起來，并能夠將高層防御策略進行轉換操作層防御策略的過程。這過程中要遵守相應的求精規則，采用適宜的求精方法，使網絡信息精益化發展，使高層防御策略更具操作性，以進一步提高計算機網絡防御效果。在計算機網絡安全防護上，高層防御策略能根據安全需求的變化而不斷的調整，使操作層的網絡防御有更好的效果，確保計算機系統運行安全，從這一點看，高層防御是計算機網絡防御策略求精關鍵技術的重點，可以把高層防御策略求精放在重點位置上。

3 計算機網絡防御策略求精關鍵技術

3.1 計算機網絡防策略模型

利用三維模型方式表示計算機網絡防御策略模型，如圖1所示。從數學模型角度看，這一模型由x、z、y三個軸組成，x軸表示計算機的安全特性，y軸表示計算機的應用層，具體有表示層、回話層、傳輸層、網絡層、數據鏈路層、物理層，z表示計算機的物理環境，主要涉及安全管理、通信網絡、信息處理。從圖1中可以看出來，系統思想、方式技術、網絡知識是計算機網絡防御策略模型構建時的重要支撐，思想與技術的結合，知識體系與防御策略的統一，既有利于完善計算機安全機制，提高計算機網絡防御效果，又能提升計算機系統運行、數據庫的性能，促進計算機系統在工程領域中的應用，對計算機發展及應用的意義重大。

圖1 計算機網絡防御策略模型

計算機網絡防御策略是計算機網絡安全管理的最重要手段，計算機網絡防御策略模型自然是計算機安全體系的核心，它的建立能充分提高網絡安全防御效果。所以，在計算機網絡防御策略求精時要重視防御模型的建立，并在建立時進行全面的考慮，使計算機網絡防御策略得到進一步完善，以發揮防御模型在網絡防御策略求精中技術中的作用。

3.2 計算機網絡防御策略求精方法

進行計算機網絡防御策略求精，求精方法的選用尤為重要。目前，我國在計算機網絡防御策略求精上主要有四種典型的求精方法。一是基于目標分解的策略求精方法，利用形式化的技術分解時態邏輯表達的目標，然后利用事件演算表達子目標的系統行為序列，最后用溯因推理來獲取完成高層目標的行為序列，完成防御策略的求精。這一過程是較為復雜的，通常需要人工參與；二是基于模型的策略求精方法，把策略分為事務策略、服務策略、行為策略、操作策略，然后給出圖形化轉換規則，利用圖形化構建策略求精模型，自動獲取執行層策略規則；三是基于實體的求精方法，先建立高低層的安全策略實體，然后定義推理規則，通過實體的推理機獲取低層的策略；四是基于規則的求精方法，先用形式化的語言表達高層策，然后定義求精規則，把高層策略自動轉化為低層策略，從而完成防御策略的求精。

以上幾種策略求精方法，多是訪問控制、安全策略方面的求精，高層策略的抽象層次不高，且不是針對網絡防御中保護、檢測、響應、恢復策略的求精方法。基于這樣一種情況，下面基于CNDPR模型提出了針對網絡防御中保護（訪問控制，保密通信，用戶身份驗證，備份）、檢測（入侵檢測，漏洞檢測）、響應（重啟）、恢復策略（重建，補丁安裝）的求精方法。

求精過程中，先用CNDPR模型對計算機網絡防御策略求精改變進行具象化處理，然后生成操作層的防御策略，根據防御設備和節點信息把操作層防御策略的參數轉化成為計算機設備能夠執行的策略規則，進而達到網絡防御效果。采用這一策略求精方法，可得到訪問控制、用戶身份驗證、備份、保密通信、入侵檢測、漏洞檢測、關機、重啟、補丁安裝等操作層防御策略，不再局限于訪問控制策略求精。

3.3 計算機網絡防御策略求精關鍵技術的完善

從計算機網絡安全現狀中可以看出，系統漏洞、病毒是威脅計算機網絡安全的兩個主要因素，為加強系統漏洞、病毒上的防御，應進一步完善入侵檢測技術和補丁安全技術。

首先，強化防火墻等安全服務器的設置，避免不明站點的訪問，降低計算機網絡的潛在威脅；其次，完善反病毒技術，防止病毒入侵；然后，設置訪問權限，能降低入侵問題；最后，部署好補丁安裝策略，及時修補系統漏洞，不為網絡攻擊留下入侵的“窗口”。

4 結束語

綜上所述，計算機網絡防御策略求精能顯著的提高計算機網絡防御效果，提升計算機網絡安全管理技術水平，進一步保障了計算機運行安全。為此，在今后發展中，應加大對計算機網絡防御策略求精關鍵技術的研究，拓展策略求精技術手段，不僅有訪問控制上的策略求精方法，還要發展能夠支持網絡防御中保護、檢測、響應、恢復策略的求精方法，用更為先進、有效的防御手段提高計算機網絡防御效果，保證計算機網絡運行安全，避免計算機信息泄露。