網絡安全深度防御與保障體系研究

◆任寧寧

（東營職業學院 山東 257500）

在網絡安全防御層面，傳統的信息安全技術更注重對系統知識的保護與防范，諸如設置一些安全系數高的操作系統、數據庫，在網絡的端口配置防火墻，設置身份識別界面等，這些都能夠達到一定的安全防護作用。不過隨著互聯網技術的不斷發展，網絡安全防護的側重點已從傳統的靜態防護逐漸轉向動態防護。例如，創建網絡安全深度防御與保障體系等都是非常必要的，其能夠借助于一些檢測工具對系統的安全系數展開全方位地評估，確保系統維持在最安全、風險系數最低的狀態下。在這現代信息安全防護等層面，能夠發揮重要作用，對維護國家信息安全、人們財產安全等具有重大意義。

1 網絡安全深度防御與保障體系的結構及工作流程

（1）結構

從性質上來看，網絡安全深度防御與保障體系的結構具有可擴展性等特點。其包括三個構成要素，即：實時防御、日常防御與基礎設施。其中，對于實時防御而言，其由網絡防火墻、預警系統、應急響應、入侵防御、防守反擊等組成；針對日常防御而言，其包括脆弱性監測與預警監測兩大構成要素，在進行病毒防治方面，實時防御與日常防御發揮的作用是非常重要的[1]。

（2）工作流程

首先，實時防御主要對一些實時信息流、數據流等進行監測。防火墻是第一個監測關卡，主要對網絡的訪問進行防御；入侵監測需要對防火墻的信息流進行深層次地篩查，避免一些惡意入侵行為的出現；如果入侵行為穿透防御子系統，且帶來損失的話，必然會激發應急響應和災難恢復子系統，甚至還需要激活反攻擊系統。

其次，日常防御主要是負責一些日常性的防御工作。脆弱性分析子系統借助于脆弱性信息庫對網絡系統知識具有的一些安全漏洞進行檢查；預警子系統主要是梳理、統籌所有信息，由此能夠達到防范可能存在的一些攻擊隱患。

最后，基礎設施主要包括攻擊特征庫、安全隱患信息庫、備份資料庫、威脅評估信息庫等。能夠為前兩個結構給予支持和推進，確保實現實時動態更新，確保日常維護工作能夠順利開展下去[2]。

2 網絡安全深度防御與保障體系的子系統介紹

（1）安全操作系統

在信息系統安全保護工作中，計算機核心軟件操作系統是一個重要的構成要素，也是確保安全運行的一個重要基礎。不過，在我國計算機的運行中，所配置的操作系統主要是國外進口產品，相關核心技術基本上完全操控在國外大企業手中，一些安全操作系統的源代碼完全保密，安全系數小，乃至一些還故意設置信息泄露的“端口”，對于這種操作系統而言，若出現國際政治問題，必然會引起災難性的惡果。

從二十世紀九十年代后期之后，由Unix 技術演變而來的Linux操作系統逐漸受到行業人士、社會用戶的廣泛重視，其具有源代碼公開、功能豐富等優勢。中文Linux 則是近年來我國計算機領域應用最常見的一種安全操作系統，其為國產計算機操作系統的發展創建了一個全新的市場競爭空間。不過，該軟件和商務軟件SCO Unix 等技術進行對比，在內核方面存在短板。現今一些國內企業在Linux 發行版本中的技術含量不足，一般表現在軟件集成和包裝方面。對此，加強技術創新，提高國產核心軟件的研發能力等是非常關鍵的[3]。

（2）網絡防火墻

在維護網絡安全工作中，防火墻是一個重要的關卡，其處于被保護網絡和外界網絡之間，能夠有效地抵御無法預測的、隱匿破壞的非法入侵活動。其利用監測、阻礙、修改穿透防火墻的信息流等，最大化地屏蔽網絡內部結構、數據與運行狀態，由此能夠達到對內部網絡的全面防護目的。從邏輯層面來看，防火墻可以稱作為“分離器”或“限制器”，其能夠對內外網絡的動態進行全面監控，確保內部安全。

（3）入侵監測

入侵監測能夠對系統或網絡數據給予實時監測，盡早察覺入侵系統者，也能夠防范正當用戶的錯誤操作引起的一些破壞問題。不過，對于當前市場上的一些入侵檢測安全產品而言，其具有占用資源多、可擴展性差等特點，并且基本上是針對入口節點位置的檢測，無法對內部網實施保護，不具備信息系統的恢復能力等。對此，針對這方面的研究具有一定的理論價值與實踐價值。我國大多數企業或單位所運用的體系結構主要是以代理的網絡入侵檢測為技術，也就是說，其代理是分散在各個主機、網段的攻擊檢測緩解，能夠隨時發現任何可疑行為或入侵行動等，并且第一時間向中心服務器遞交修復。以便于中心服務器能夠完成不同網絡代理的遠程配置、信息庫的管理、警報的整理與顯示等[4]。

（4）響應恢復和防守反擊

此子系統的宗旨是在相對開放的網絡環境下，通過防守反擊手段抵御黑客的入侵。其是在后備集合的服務器之間創建分布式動態備份信息庫，以便于能夠恢復其中一些重要數據。并按照上一步的監測結果對其給予不同級別的響應處理，例如：現場可恢復、在線可恢復、在線不可恢復和防守反擊等。

（5）預警

該子系統的宗旨是利用多檢測點信息整合、智能化的數據統計等監測是否具有某一不法入侵行為，且測試不法入侵的威脅度、性質、范圍、起源等，以便于對其可能采取的下一步行動進行預測。在此過程中，需要對一些開放信息資料進行收集、整合、分析，以便于判斷其存在的入侵傾向、隱匿風險等。

攻擊檢測系統（ADS）收集、梳理等來自監測器與入侵檢測系統（ⅠDS）的數據戰攻擊數據，且對攻擊類型、威脅等級等相關信息傳遞給系統的下一層。ⅠFS 是一個基于規則的專家系統，其能夠讓操作者了解與信息站威脅相關的一系列問題，并挖掘威脅數據庫的價值，

便于給予結構性的解答和回復[5]。（6）安全管理與監控針對信息安全管理而言，其是利用科學的組織機制、規章體系、管控手段等，將一些存在信息安全保障功能的軟硬件設施、管理信息者、使用數據者等全面整合起來，確保該組織能夠實現預設的信息安全目標，確保信息的安全、私密與可用。具體來說，在信息安全管理渠道上來看，其包括兩大內容，即：管理措施與安全方法。信息安全管理一定要在制度、手段等運用的過程中充分地思考技術等方面的價值，唯有在制度、手段、技術等方面達到全面融合，方可發揮最佳的安全管理作用。

3 結束語

因為網絡安全深度防御與保障體系具有復雜性、可拓展性、范圍廣泛等特點。現今世界各國在這方面的研究基本上是理論研究，需要應對的問題也比較復雜，例如入侵檢測、防火墻、預警等兼容性，針對大范圍網絡的縱深防御和保障體系的組建、預警功能實現等，針對這方面的研究針對增強網絡系統的應急響應能力、避免因網絡攻擊帶來的危害等等，這些具備較強的實踐價值與應用價值。