基于網絡安全防護體系的網絡管理技術研究

董常睿

（南京市社會兒童福利院，江蘇 南京 210000）

0 引 言

網絡安全威脅主要分為兩種，即網絡中信息的威脅和網絡中設備的威脅，主要可以歸納為以下幾個方面[1]。第一，人為的無意失誤。由于計算機網絡操作員安全配置不當，造成網絡安全漏洞，對網絡安全帶來威脅；或者由于用戶沒有將安全意識放在心上，又或者是缺乏審慎的思考把自己的賬號不經意地轉借或與他人分享，也會給網絡安全帶來威脅。第二，人為的惡意攻擊。計算機網絡安全要面臨敵對攻擊者和計算機犯罪，主要表現為主動攻擊和被動攻擊兩種，在這種人為惡意攻擊下，對網絡信息進行截獲、竊取、破譯，導致網絡信息數據的泄露，給計算機網絡帶來極大的威脅[2]。第三，網絡軟件漏洞。由于計算機網絡軟件難免存在缺陷或漏洞，黑客極易針對計算機網絡軟件的漏洞進行攻擊，導致計算機網絡缺乏必要的保護。

1 網絡安全防護體系中網絡管理技術

計算機安全防護體系中的網絡管理技術主要對網絡通信處理服務進行有效監督、組織和控制，對計算機網絡運行異常進行及時且快速的響應和故障排除。具體來說，網絡管理技術主要通過對網絡功能的遠程設置、監控和修改等方式為用戶提供所需的數據采集、數據處理、數據分析以及網絡管理等功能，并對網絡中的各種設備進行合理配置與實時監控[3-5]。

1.1 加密技術

密碼體制指的是一個系統需要對應使用一套基本工作方式，同時它一般由兩個基本要素組成，也就是人們經常說的加解密算法和密鑰。以往的密碼體制使用的加密密鑰和解密密鑰基本上是一致的，被稱為對稱密碼體制。如果加密密鑰和解密密鑰不一致，那么就會變為非對稱。密鑰是密碼算法眾多參數中可以變化的一類，在設計加密系統時，加密算法可以以公開的方式進行，而需要保密的則是密鑰。密碼是一種數學變換，即：

式中，m為沒有進行加密的信息（明文），C為進行加密的信息（密文），E為采用加密算法，k為密鑰。加密算法以公開的方式存在，而密鑰只能由通信雙方來掌握。密鑰的位數越長，破譯的困難也越大，安全性也越好。

1.1.1 對稱密鑰密碼體系

數據加密標準（Data Encryption Standard，DES）是典型的對稱加密算法，由IBM公司提出，經過ISO認證。目前，廣泛應用于銀行業中的電子資金轉帳領域。64位密鑰中的8位用于奇偶校驗，用戶使用其余的56位，不是非常安全。對稱加密算法的優點是算法公開、計算量小、加密速度快以及加密效率高，缺點是在數據傳送前，發送方和接收方必須商定好密鑰，然后使雙方都能保存好密鑰。如果一方的密鑰被泄露，那么加密信息也就不安全了。另外，每對用戶每次使用對稱加密算法時，都需要使用其他人不知道的獨一密鑰，這會使得收、發雙方所擁有的鑰匙數量巨大，密鑰管理成為雙方的負擔。

1.1.2 非對稱密鑰密碼體系

公鑰和私鑰數學相關，一般是以配套的方式出現，但是目前還沒有哪一種具體的算法可以科學精準地通過前者計算出后者，解決身份認證和防抵賴問題。和對稱加密算法相比，簡化了密鑰的數目。公鑰加密技術的缺點是加密算法較為復雜，加密和解密的速度不會太快。RSA體制是迄今為止較為成熟的理論，是一種公鑰密碼體制。Elgamal可以看作是離散對數的公鑰密碼體制，密文依賴于隨機數，又稱概率加密體制。

1.2 防火墻技術

防火墻需要嚴格把控進出內部網絡所涉及到的每一個數據包，以合法性作為檢查數據包的底線，客觀判斷其是否會對網絡安全造成一定的攻擊和作用，進而在內部網絡形成較為安全的邊界。考慮到其組合方式有多種，所以防火墻系統的結構也多種多樣。

1.3 包過濾路由器

路由器需要以系統內部設置的分組過濾規則作為標注和依據，從而對每個具體分組中的源IP地址、目的IP地址等進行認真細致的檢查。包過濾路由器的結構如圖1所示。

圖1 包過濾路由器的結構

1.4 網絡文件備份與恢復技術

網絡數據的歸檔和備份功能較為實用，第一個功能可以通過特殊介質進行永久性存儲，而第二個功能是大多數網絡都需要進行的維護工作，同時這個功能對于網絡系統的恢復有很大幫助。

2 統一網絡安全管理平臺技術的分析

要織密織牢當前的網絡安全防護體系，使用統一網絡安全管理平臺技術對整個網絡進行總體配置和調控，利用多層面、分布式的安全系統，實現對各個網絡安全資源的集中監控、統一策略管理、智能審計以及安全設備互動等，體現出高度安全可靠性、高性能、高擴展性、高可控性以及良好的互操作性，較好地提升了計算機網絡的安全水平和可控性[6]。

2.1 技術應用

統一網絡安全管理平臺采用分布式、層次化的集中管理策略，通過統一平臺對網絡安全設備和安全策略實施管理，包括對網絡系統的統一配置、分發等多個環節和步驟，然后是統一配置好整個網絡內部的安全設備或者是系統參數，以便于技術全方位、多角度的運用。集中收集、管理網絡系統中的安全日志與安全事件，并形成網絡安全日志的集中審計分析和報告。另外，統一網絡安全管理平臺技術在安全設備和系統的協同工作狀態下，對網絡安全事件進行應急響應和監督管理，確保網絡安全事件或事故的及時處理。

2.2 體系結構

統一網絡安全管理平臺體系主要包括Web瀏覽器、平臺服務器以及平臺代理。其中，平臺服務器包括用戶層、應用層以及系統層等結構，共同完成該層的邏輯功能，為用戶提供單一整合的遠程操作、管理和配置[7]。平臺代理則是安裝于被管網絡安全設備上，包括有XML-RPC Server應用模塊和XML-RPC Server庫，進行平臺代理與平臺服務器之間的通信，完成服務器與代理間通信協議的封裝處理，確保網絡系統安全設備的穩定運行。

2.3 模塊構成

統一網絡安全管理平臺技術中的管理模塊主要包括以下內容。（1）安全策略管理平臺。網絡安全策略管理平臺是一種基于Web的安全工具，采用生命周期方法進行網絡安全管理，并對網絡數據庫提供事件報告和追蹤。其主要功能有安全策略發布、修正、版本控制、策略規則化等[8]。（2）安全配置管理平臺。安全配置管理平臺是網絡集中管理、安全系統和設備配置的統一平臺，通過可配置管理信任關系進行安全域配置和安全設備的集中配置管理。在這種分權分級的管理模式下，將各種安全系統的配置系統進行高度集成，確保網絡整體的安全可靠性。（3）安全事件管理平臺。安全事件管理平臺主要對網絡安全事件進行集中收集、冗余處理和關聯分析，做好網絡安全事件趨勢的分析和預警，并形成安全事件報告。（4）安全事故響應中心。安全事故應急響應中心主要對網絡事故處理流進行流程管理、交互管理、狀態控制以及有效性管理，利用傳統Call Center的事故分發系統及時準確地對安全事故進行分發、管理和控制，較好地提高安全事故應急響應效率。

3 網絡管理技術的案例分析

3.1 建設案例

以某個大型企業H組織模式為例，可以將其分為下屬單位和控股子公司。它的控股子公司分布范圍比較廣，上海、北京等省市都包含在內。為了集團業務可以始終處于正確的發展軌道上，企業H的下屬單位及控股子公司都將英特網作為構建的重要基礎和來源，但是各自又有其特殊之處。

從H集團的角度來說，信息網絡可以分為內部局域網和外部接入網。前者包含辦公網、生產網等，后者包含信息接入網和生產接入網。這樣一來，H集團可以與企業子公司及下屬單位建立起實時的遠程接入，企業職工的遠程辦公也會變得非常便捷。

H集團在有效應對企業當前面臨的可預知和不可預知網絡安全威脅上做了很多的努力，并根據不同的功能因時因勢部署了相關的安全防護體系，使得企業的業務運行有了堅強保障。

因為H集團在區域網絡安全的布置上做了很多的努力，所以接入區域也就相應布置了安全系數較高的防護系統，如入侵防御系統、防火墻等。在企業的核心數據中心，H集團也做了同樣的工作，使得核心數據中心的網絡安全更加穩固；在集團內網中，企業在安全認證與監控系統的部署上進行了再細化。除此以外，H集團還創新性地建立了獨立的網絡安全監控。

3.2 基于H集團的實踐分析

H集團網絡信息的邏輯結構較為周密且龐雜，可以從中看到不計其數的安全防護產品，這對于企業網絡安全的提升來說有著非常大的幫助。例如，布置大量的入侵檢測系統、防火墻等，可以有效阻斷病毒與黑客等的攻擊。并且，H集團可以通過終端管理系統、應用監控系統強化企業內部網絡濫用問題的解決。而在防止數據泄露等方面，安全認證系統等的使用極大程度上提高了企業數據中心的安全。因此，在一定意義上，H集團企業的網絡安全防護體系提高了企業的網絡安全。但是由于完備網絡安全防護體系的建設是一項復雜而系統的工程，基于大量防護系統的建立與防護軟件的使用，企業仍面臨諸多的網絡安全。通過四維度的信息安全技術體系，有助于建立完備的安全防護體系。

4 結 論

網絡安全防護體系是當前關注的重要焦點內容，要注重和加強網絡安全防護體系中的網絡管理技術，將其作為網絡交互的首道防線，結合移動互聯網的應用特性，綜合使用系統集成化的網絡安全管理平臺技術以及較為成熟的身份認證技術，從而強有力的保障網絡的安全管理和服務。并采用適用于移動終端場景的有效身份認證方案，提高網絡安全性。此外，后期還要進一步研究網絡服務器的功能應用，增添允許用戶自由修改動態口令生成器的功能，并提出更加安全的身份認證方案。