周 英

(达州职业技术学院 学生处，四川 达州 635001)

0 引言

随着网络技术的发展和应用的深入，网络规模越来越大，各种各样的网络设备也越来越多，用户使用的网络终端设备类型也形式多样，同时用户对网络数据的敏感度也越来越高，也因此对网络的安全性提出了更高的要求.尽管目前各种网络安全设备，例如防火墙，漏洞扫描设备、邮件防护系统等等，但是各类的网络数据漏洞事件依然层出不穷，这说明，要实现网络的真正安全，并不是简单的将各种网络安全设备堆砌就能够实现的，而必须要对网络实施全局范围上的统一管理，依靠管理来加强和实现网络的安全.

事实证明，只有依赖统一的网络管理协议和管理机制，充分调动和实现各种网络安全设备之间的互动，才能够发挥各个网络安全设备的最大功效，实现网络安全的最大效益.因此，如何将分散在各个网络上的网络安全设备，尤其是随着网络范围的进一步扩大，逐渐出现了多域网络，如何保障多域网络下的网络安全，是网络安全领域内不可回避的一个重要课题.［1］

过去对大型网络实施安全管理，主要是依赖先进的网络安全管理设备，同时凭借网络管理人员的经验，以及一些简单的网络管理协议和操作机制，或者是对网络安全设备实施简单的监控，例如流量监控、数据报头监控等等，根据监控的结果分析网络是否存在异常等等，这样的网络安全管理在很大程度上还是依赖于人的操作，根本没有从全局的高度对多域网络范围内的各种网络安全设备进行统一的管理和调度，因此无法真正保障多域网络的信息安全.［2］本文针对多域网络下的数据安全管理，详细探讨网络安全管理的策略一致性问题，从策略的一致性角度切入，确保从全局的角度保障整个多域网络范围内的安全管理的一致性策略，以期能够从中找到有效的面向多域网络的安全管理模式和措施方法.

1 传统的网络安全管理模式分析

1.1 常用的网络安全管理技术

目前常用的各种网络安全管理技术，其实质都是依靠网络安全设备硬件或者软件系统而开展的网络安全管理技术，概括起来主要有以下几种:

(1)防火墙技术

①硬件防火墙技术:硬件防火墙技术主要是依赖硬件防火墙，通过对防火墙进行设置，例如需要拦截的攻击类型，关键字侦听，以及入侵防护等等功能，这些功能都有效地提高了防火墙的安全防护功能.

②软件防火墙技术:软件防火墙主要是依靠包过滤的方法实现的，只能够依靠包过滤中确立的过滤原则滤除可能的、潜在的威胁或危害.

(2)入侵检测技术

入侵检测技术、依靠收集网络中或者特定节点上的网络数据信息，通过对数据包的分析，以检测是否有入侵行为的发生，倘若一旦检测到潜在的入侵，系统能够自动隔离或者拒绝访问，并发出告警，从而提高网络的安全性.

(3)漏洞扫描技术

目前的操作系统绝大多数都是基于微软公司的Windows操作系统，而Windows操作系统本身就是不安全的，存在较多的安全漏洞，很多黑客或者病毒都可以利用这些漏洞窃取网络的数据信息，所以漏洞扫描技术是通过扫描这些安全漏洞以防止黑客或病毒有机可乘，杜绝了利用漏洞造成网络安全事故发生的可能.

(4)VPN网络技术

VPN网络技术实际上就是虚拟网络技术，即将一个物理局域网划分为若干个虚拟局域网，各虚拟局域网之间不可以通信，这样能够有效地防止某一个虚拟局域网内的网络威胁或危害传播到整个局域网.

(5)防病毒技术

防病毒技术主要是利用各种杀毒防毒软件，对照各种病毒的特征，有针对性地进行病毒防护，将病毒隔离于网络之外，从而达到保护网络防范的目的.

1.2 存在的问题

尽管目前网络安全管理的设备很多，技术也很先进，但是网络安全问题依然频出.［3］由此可见，目前网络安全设备的应用及其管理上还是存在很多问题，主要表现在以下几个方面:

(1)各网络安全设备相对独立

目前应用在网络安全领域中的网络安全设备很多，即使是同一种设备，生产的厂家也有很多家，而不同厂家的网络安全管理设备都有一套自家的通讯协议及网络安全管理的内容设置方案，不同厂家设备之间不能完全兼容，甚至完全不能兼容，这就导致了各网络设备成为了实际上的“信息孤岛”，各生产厂家所生产的网络安全管理设备各自为政，各管一方网络安全，但实际上却无法真正保障整个网络的信息安全.

(2)各网络安全设备缺乏统一操作管理平台

尽管网络安全管理设备在一定程度上都能够实现网络的相对安全管理，但是这么多的网络安全管理设备彼此之间却缺乏有效的协同操作和管理交集，这主要是因为各网络安全设备缺乏相对统一的操作管理平台.［4］只有借助于一个统一的平台，才能够对不同类型的安全管理设备、不同厂家生产的安全管理设备进行统一的管理和调度，充分让网络中担任不同安全领域管理角色的安全设备相互响应，协同操作，才能够实现网络的真正信息安全.

(3)网络安全设备不断堆砌，但网络安全程度不变

目前很普遍的规律是，网络规模越大，网络安全设备越多，但是，这种网络安全设备仅仅是在数量上的堆砌，并没有从安全管理的内容和深度上进行整合，网络安全程度并没有发生实质性的改变，网络安全事故仍然频发.要改变这一现状，就必须改变仅仅依靠堆砌网络安全设备的现象，必须建立和整合统一的安全管理平台，对每一台网络安全管理设备进行监测与分析，由统一的中央决策系统进行网络安全判定，并根据网络所受到的威胁制定合理的决策，并保证决策的一致性和顺利执行.［5］为此，必须要对多域网络下的网络安全管理策略进行一致性设计和应用.

2 多域网络安全管理系统策略一致性研究

2.1 多域网络安全统一决策系统的构建

当网络规模比较小的时候，只需要一个集中的管理系统就能够实现对整个局域网的安全管理，但当网络规模较大的时候，原先应用于小规模网络的安全管理模式就变得不再适用，这个时候就必须采取多域网络安全管理的模式.在多域网络安全管理下，必须要构建统一的网络安全决策系统，这样才能够有效的保障整个多域网络的信息安全.为此，可以从以下几个方面入手实施构建多域网络安全的统一决策系统.

(1)安全管理域的划分

所谓域，就是范围，要实现多域网络安全的统一决策，必须要按照域进行安全管理范围的划分.具体来说，可以从以下几个方面划分:

①从组织结构上来划分.不同的职能部门，或者不同的组织隶属于同一个多域网络时，必须按照各自部门对数据信息敏感程度的不一致进行安全管理域的划分，有的时候还必须要按照数据保密等级进行安全管理域的等级划分.

②从拓扑结构上来划分.网络中的安全管理设备的接入点是散布在整个多域网络中的不同角落的，必须要按照各自网络安全设备的接入点的实际分布位置进行安全管理域的划分，以确保从拓扑结构上对不同的网络安全设备的不同域管理.

③从安全级别上来划分.有的网络安全设备不允许外设访问，有的网络安全设备则对外访问的内容有严格的要求，因此不同的网络安全设备其安全等级限定不一致，必须要按照各自的安全限定等级合理划分不同的安全管理范围，才能够保障整个多域网络环境的信息安全.

(2)基于域的网络安全管理架构设计

基于域的网络安全管理架构，主要由网络安全管理设备、安全域服务器和安全管理终端三个层次架构而成.

①网络安全管理设备.这是位于多域网络安全管理系统架构的最底层，主要分布在整个多域网络中的不同角落上，按照不同网络环境配置不同的安全管理设备，并对这些安全管理设备进行安全策略设定，以满足基本的安全管理需求.

②安全域服务器.其主要作用是在多域网络中按照安全等级、拓扑结构等划分的管理域中扮演着管理者和策略执行者的角色，在相应的域范围内，所有的网络安全管理设备及该域内的网络环境安全和安全策略，全部由域服务器进行统一管理.

③安全管理终端.安全管理终端的作用是对各个安全管理域进行统一的管理和策略执行，域服务器是在域范围内实现安全策略的统一执行，而安全管理终端则对不同的域进行统一的安全策略管理和应用，从而实现整个多域网络下的信息安全.

2.2 多域网络下的策略一致性设计

基于域的网络安全管理架构，是一个系统的整体，整体构成了多域网络安全的防御体系，但是由于安全管理终端和域服务器都负责网络安全的策略执行，因此就牵涉到安全管理策略的一致性问题.

2.2.1 安全管理策略的层次设计

所谓安全管理策略的层次，主要是指按照多域网络安全管理的架构，自上而下的将网络安全管理策略抽象出若干个层次，按照不同的层次将策略分配到多域网络架构的每一层上去，或者对于同一层次架构的域服务器或者网络安全管理设备，按照安全管理策略的具体分配内容相互配合，共同执行安全管理策略，以实现多域网络自下而上的一致性的安全管理策略.对于安全管理策略的层次设计，主要可以设计如下层次进行安全管理策略的实施与执行:

(1)高层抽象策略

高层抽象策略主要是面向网络管理终端，在终端设备上借助于专业安全管理系统，实现对多域网络的安全管理的策略制定和配置，主要包括域的划分，域安全等级的配置，以及不同域下网络安全的实现策略等，从系统的高度设计了整个多域网络的安全环境.

(2)描述层策略

描述层策略通常是由网络安全管理人员制定的，这些策略往往与特定的网络服务有关，或者是对底层策略的抽象.描述层策略主要是在域服务器上，通过对底层的网络安全管理设备的安全应用规则的描述来产生相应的安全策略，并确保在该域范围内的所有网络安全设备均执行此安全策略.

(3)底层策略

底层策略也称作配置文件，就是按照多域网络安全管理策略生成的应用在底层网络安全管理设备上的配置策略，如IP过滤规则，关键字过滤包，VPN设置等等，这些具体的策略应用到安全管理设备上，能够在多域网络中起到实质性的安全防御作用，因此，对于多域网络的安全管理来说，底层策略的具体化的实施和执行，在很大程度上将直接影响到整个多域网络的安全管理效率.

2.2.2 安全管理策略的交互设计

(1)域内策略交互

域内的安全策略，主要是指在同一个域服务器配置下的域网络安全策略的响应及行为操作，主要包括安全策略的存储、执行、反馈及卸载.域内的网络安全策略主要影响着该域网络内部的安全性，因此在设计、制定域内安全策略的一致性时，需要对域内安全策略的域效范围负责，确保该网络安全策略能够在全域网络范围内得到有效实施即可，这样就能够保证该域范围内的安全策略的一致性.

(2)域间策略交互

当网络规模超过一定限度时，就牵涉到多域网络的安全策略管理，此时设计网络安全策略就必须要考虑到域间策略的交互性以及域间策略的一致性.在目前来看，要保证域间安全策略的一致性，可以通过设置优先级及分配权重的方法实施，将安全策略等级较高的策略设置较高优先级或者分配较大的权重值，从而保证该安全策略在域间执行的过程中能够始终被进行一致性检测，当下一级域管理策略和该安全策略发生冲突时，优先级较低或者分配权重值较小的安全策略应当服从于优先级较高或者分配权重值较大的安全策略，从而有利于保障域间安全策略的一致性.

3 结语

本文主要结合网络安全的特点，从网络安全设备入手，详细探讨了多域网络下网络安全设备的管理，以及对网络安全策略的一致性管理和应用探讨.要保障多域网络安全下的网络安全管理设备策略的一致性，就必须要对各网络安全管理设备进行合理的全局规划，并确保建立统一的中央决策系统，这是本论文得到的主要结论.当然，要从根本上实现多域网络安全管理系统策略的一致性，仅仅依赖于本论文所提出的方法是远远不够的，必须还要从物理层、网络层及应用层入手，真正建立策略一致性应用的管理平台，才能够从根本上保障多域网络安全管理的有效性及可靠性，实现多域网络下的数据信息的最大安全.

［1］李小平，吴 琼，董庆宽.IPv6网络中多级多域安全策略系统研究［J］.西安电子科技大学学报:自然科学版，2008(2):300-304.

［2］王 俊，张红旗，张 斌.新的基于角色的跨信任域授权管理模型［J］.计算机工程与应用，2010(8):106-109.

［3］洪 帆，崔永泉.多域安全互操作的可管理使用控制模型研究［J］.计算机科学，2006(3):283-286.

［4］于 贵.网络系统可靠性研究现状与展望［J］.四川文理学院学报，2011(2):61-63.

［5］石 峰.虚拟局域网技术在机房局域网中的应用［J］.太原大学学报，2011(1):136-140.