张志国

（安阳鑫龙煤业〈集团〉有限责任公司，河南 安阳 455000）

0 前言

在目前这个信息发展快速的时代，网络结构早已实现了全球化，网络的运用也越来越普遍。但随着网络内部的数据访问持续增加，不稳定的因素也在不断增加，要想让网络动态安全得到有效保证，必须通过相应的动态监测技术来对其展开有效的监督，且应该对网络安全动态防护体系进行完善，让该系统的真正作用得以发挥，从而在较为复杂的网络环境中施展主动防御功能。

1 分析网路安全动态防护体系的机理

网络安全指的是其数据、软件、硬件受到一定保护，不会因为恶意或偶然的因素而遭受泄露、更改、破坏。从这几点可以看出计算机网络安全有相应的动态性，其动态性主要体现在网络中信息安全体系动态化的需求、动态网络所需的相关安全措施、安全漏洞中的动态性。

要想让网络交换的动态安全得到有效防护，应该在确保设备自身安全的同时，对设备所接收的信息数据进行分析、检测，以其分析的结果来对响应策略进行匹配，且应将策略及时运用在控制网络设备的硬件中，从而达到保护网络安全及阻断攻击的目的，让网络设备安全有效的运行[1]。

2 网络安全动态防护体系的设计和实现

2.1 网络安全中主动防护模型的设计

网络安全中主动防护一般是将传统的、静态网络安全防护方式和积极、主动的安全防护方式结合在一起，进而构建出较为安全的网络防护系统模型。该模型属于可扩展模型，是由技术、策略、管理三个相应的层次所组成。其中，策略是网络安全的整个防护基础，主要是通过安全对策对安全技术进行融合并让网络安全达到最大化。管理层是网络安全模型的关键核心，是通过有效合理的措施、规章制度、组织体系将具有安全防护作用的硬件、软件设施及信息使用的群体整合起来，从而让整个系统中的信息安全得到保证。技术层包括保护、监测、响应、预警、检测；保护是通过对数据流进行分析后，提前进行防护的一种方法。监测是利用相应的方法和手段来找出网络或系统中存在的问题，进而对其进行防范。响应是对网络交换的设备安全有危害的行为及事件做出一定的反应，且参照检测的结果采取各种有效的响应措施。预警是对网络中可能发生的攻击给予预先警告，通过从开放信息的收集、分析中所获取的信息数据判断网络中是否有潜在隐患。检测是对网络系统当前的运行状态、网络资源展开检测，并及时发现入侵到系统中的威胁。

上述所说的这几个方面是相互依托、相辅相成的，其对集被动、主动为一体的安全体系进行共同的构建。在对网络安全动态防护体系进行设计和实现的过程中，可以通过对各种攻击方法的攻击特点进行分析来提出有效的防护措施，重点完善、修改网络中交换设备的系统软件，通过多种安全的构件作为基础来对集中式的安全体系进行管理，且将安全管理的平台当做安全构件的核心，从而组成网络安全动态防护系统。

网络安全中的预警模块主要是以网络探测技术和主动扫描来获取网络信息，创建信息数据优势。该模块是依据数据流的行为分析结果，利用网络交换的相关探测技术和设备扫描对存在安全风险的系统进行监控，对这些设备当前的运行状态进行掌握，依据其监控变化对网络安全动态防护系统及时进行更新，进而让网络安全的动态防护体系得到有效提升，并增强该系统的防护效率。

安全管理的平台是由用户操作的管理、日志报警及安全计策表共同组成，且安全计策表是处理网络信息数据的主要依据。日志报警管理是通过对数据流的行为安全、网络安全的预警模块进行查询、分析而产生的日志，通过动态来对其内容进行监视，参照预设的报警方法和报警级别而产生报警信息，并告知系统维护工作者对其进行处理。用户操作管理是对用户输入的命令进行实时接收、完成命令，对网络安全动态防护体系的配置、查询进行管理。

2.2 网络安全动态防护体系联动响应的设计

2.2.1 对数据流进行分类

当数据流进入到网络中时，应参照访问控制的规则来过滤数据流，在上交通过过滤标准报文的同时应该对数据流模块进行分类处理，此模块首先是经过目的IP、源IP、协议类型、目的端口、源端口来对数据流分类，再依据流识别的数据库预设准则对数据流分类结果展开确定。在处理数据流分类的过程中，要想使处理效率得到提升必须把五维分类问题降低为二维问题，通过二维IP的分类技术方式来进行初步的分类[2]。因为协议的类型只是限定在几个值中，因此对分类准则中的协议类型的字段进行压缩，从八位压缩到三位，这就可以节省较多的数据空间。且因为准则中具体所用的端口号是0-65535的极少部分，在端口值与协议值不一样的情形下，组合数目通常都没有最大的理论值大。

2.2.2 进行深度的特征匹配

对数据流进行了分类之后，应对其深度特征进行匹配，并将匹配的结果送到分析行为安全的模块中进行判断和分析，依据实际分析结果来实施策略响应。通过数据库中所预设的相关检测准则来检测、匹配运用报文里的字段，从而对该数据流属性进行确定。为了让被检测器入侵的信息资源的完整性得到保证，每一个检测器只能负责其中某一类实际运用网络的流量检测，而且检测器间应通过负载均衡法来进行计算，该计算方法是参照检测器当前的负载状况及可用性情况来对各个检测器的负载进行动态调节，其具体的原则是：同类型的应用报文必须分配到相同类型的检测器中进行检测，且同类型的应用报文应在负载最小的原则下优先进行分配。

2.2.3 策略的联动响应

对网络安全进行检测后，如果检测到存在网络攻击，应该对数据流中行为安全的分析模块采取一定的响应体制，危险性为一般的攻击只用记录和报告，但对于危险性较高的攻击必须及时采取有效的响应策略。主动响应策略可以让系统防护功能得到不断增强，为了防止误联动情况出现，关键只能对一部分较为敏感的业务流提供较高等级的保护。安全策略和主动响应策略直接联动可以防止信息流穿过网络的边界，将所有恶意的连接操作隔断，从而确保网络安全。

3 对网络安全动态防护体系的应用进行验证

网络安全交换设备中硬件逻辑主要由管理控制模块、安全监测模块、数据处理模块共同组成。其中，安全监测模块的功能是分类识别数据流并对其行为展开分析和匹配，按照策略应用的具体规则把匹配结果全部设回数据处理的模块中，将相关的状态信息上报到管理控制模块，进而让动态联动策略的响应过程得以完成。管理控制模块主要是对系统中每个组成部分信息状态进行实时的查询，让其策略配置、管理、协议处理、规则等功能得到实现[3]。数据处理模块是对网络数据进行转发、控制及处理，并把进入到网络交换设备中的数据流传送到安全检测模块中。此外，管理控制模块是以CPCI总线来和数据处理模块实行调换，最终对数据处理模块进行管理控制，且对上报的协议报文展开有效处理。安全监测模块是通过对数据处理和网络模块进行连接后，分析、处理数据处理模块中的镜像网络报文。

此应用验证在设计中的特点主要是：（1）此系统的硬件核心是可以自主控制的网络交换芯片，且可以针对网络攻击的特征来完善、修改网络中交换设备的系统软件，让网络交换设备的自身安全得到有效保证。（2）网络中交换设备的系统软件和安全监测模块是相对独立的，其确保网络的交换设备受到攻击时，处理任务和安全监测不会遭受影响。（3）安全监测模块能够依据网络数据中行为分析的结果来对网络的交换硬件进行安全防护，从而让动态防护策略响应得以实现。

4 结束语

为了处理好网络安全的动态问题，通过动态监测策略的联动响应技术能够对网络环境较为复杂的动态安全进行主动防护。通过Snort等比较常用的攻击软件来测试网络交换设备的安全性，其测试结果表明该设备可以有效的对网络中存在的安全隐患进行攻击，确保网络安全不会受到影响，可以正常运行。同时，还可以产生正确的报警信息和安全日志，从而对网络安全进行真正的保护。

［1］赖圣贵.网络安全动态防护体系的构建[J].电脑编程技巧与维护,2014,21(34)：77-79.

［2］张蓓,冯梅,靖小伟,刘明新.基于安全域的企业网络安全防护体系研究[J].计算机安全,2010,25(23)：245-247.

［3］杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术,2012,23(26)：876-878.