防御策略求精关键技术研究
2015-01-01
0 引言
随着计算机网络的发展其应用日益广泛,计算机网络面临的安全威胁越来越多,网络安全管理需求随之增强。从目前看,计算机网络安全面临的安全威胁主要来自两方面。一个是网络攻击行为日益复杂,利用系统漏洞、病毒、用户疏漏等进行网络攻击已经屡见不鲜,各种手段相互融合,新型攻击手段不断涌现;另一个是网络攻击目标日益广泛,网络基础设施、网络端点等所有可能影响系统应用的都能成为网络攻击的目标。对此,急需构建一套安全、先进、有效的计算机网络防御体系,进一步提高网络安全管理水平,以确保计算机系统安全。为此,有必要进行计算机网络防御策略求精关键技术研究,以促进计算机网络防御效果的提高。
1 计算机网络安全现状分析
计算机网络安全问题是伴随着信息技术发展而出现的,在计算机广泛应用的当下,网络安全管理在人类社会进步与发展中的作用日益重要。信息技术革命给人们工作与生活带来方便的同时也使得人们处于一个更易受到攻击的境地,最为突出的就是个人隐私的保密性问题,传统的网络安全技术和措施已经难以保证信息安全与计算机系统安全。由于计算机网络所具有的开放性、共享性、互连性,网络上的信息安全先天就存在不足,加之缺乏严格的系统管理,防火墙的脆弱性,造成计算机网络易受攻击。
现阶段,计算机网络攻击手段越来越复杂,各种方法相互融合,加大了方案安全防御难度。而且,随着手机、掌上电脑的广泛应用,这些无线终端网络也成为了网络攻击对象。从攻击目标看,已经不再是单纯的追求“荣耀感”,有着更多的实际利益,所以攻击行为的组织性更强,恶意网站、间谍程度、网络木马等日益泛滥。面对如此严峻的网络安全形势,应加强网络安全防御,研究安全防御策略求精方法,提高计算机网络安全管理水平。
2 计算机网络防御策略求精
2.1 计算机网络防御策略
计算机网络防御策略是分层次的,多方面的,涉及的防御手段广泛。从层次上看,计算机网络安全防御策略有高层策略、低层策略、操作层策略;从网络防御上看,计算机网络安全防御策略有防护策略、检测策略、响应策略、恢复策略;从防御手段上看,计算机网络安全防御策略的技术方法有控制访问、杀毒软件、入侵检测、防火墙、数字签名、文件加密、漏洞检测、网络监控等。为了保护网络信息的机密性、可用性、完整性,需要构建多层次、多元化的计算机网络安全防御策略体系,形成一个完善的网络安全防御体系,以确保计算机网络信息与系统运行安全。
2.2 计算机网络防御策略求精
基于防御策略的网络安全防护是当前计算机安全管理的有效手段,也是计算机网络安全技术的主要发展方向。事实上,计算机网络防御策略求精就是把网络拓扑信息和求精规则有机结合起来,并能够将高层防御策略进行转换操作层防御策略的过程。这过程中要遵守相应的求精规则,采用适宜的求精方法,使网络信息精益化发展,使高层防御策略更具操作性,以进一步提高计算机网络防御效果。在计算机网络安全防护上,高层防御策略能根据安全需求的变化而不断的调整,使操作层的网络防御有更好的效果,确保计算机系统运行安全,从这一点看,高层防御是计算机网络防御策略求精关键技术的重点,可以把高层防御策略求精放在重点位置上。
3 计算机网络防御策略求精关键技术
3.1 计算机网络防策略模型
利用三维模型方式表示计算机网络防御策略模型,如图1所示。从数学模型角度看,这一模型由x、z、y三个轴组成,x轴表示计算机的安全特性,y轴表示计算机的应用层,具体有表示层、回话层、传输层、网络层、数据链路层、物理层,z表示计算机的物理环境,主要涉及安全管理、通信网络、信息处理。从图1中可以看出来,系统思想、方式技术、网络知识是计算机网络防御策略模型构建时的重要支撑,思想与技术的结合,知识体系与防御策略的统一,既有利于完善计算机安全机制,提高计算机网络防御效果,又能提升计算机系统运行、数据库的性能,促进计算机系统在工程领域中的应用,对计算机发展及应用的意义重大。
图1 计算机网络防御策略模型
计算机网络防御策略是计算机网络安全管理的最重要手段,计算机网络防御策略模型自然是计算机安全体系的核心,它的建立能充分提高网络安全防御效果。所以,在计算机网络防御策略求精时要重视防御模型的建立,并在建立时进行全面的考虑,使计算机网络防御策略得到进一步完善,以发挥防御模型在网络防御策略求精中技术中的作用。
3.2 计算机网络防御策略求精方法
进行计算机网络防御策略求精,求精方法的选用尤为重要。目前,我国在计算机网络防御策略求精上主要有四种典型的求精方法。一是基于目标分解的策略求精方法,利用形式化的技术分解时态逻辑表达的目标,然后利用事件演算表达子目标的系统行为序列,最后用溯因推理来获取完成高层目标的行为序列,完成防御策略的求精。这一过程是较为复杂的,通常需要人工参与;二是基于模型的策略求精方法,把策略分为事务策略、服务策略、行为策略、操作策略,然后给出图形化转换规则,利用图形化构建策略求精模型,自动获取执行层策略规则;三是基于实体的求精方法,先建立高低层的安全策略实体,然后定义推理规则,通过实体的推理机获取低层的策略;四是基于规则的求精方法,先用形式化的语言表达高层策,然后定义求精规则,把高层策略自动转化为低层策略,从而完成防御策略的求精。
以上几种策略求精方法,多是访问控制、安全策略方面的求精,高层策略的抽象层次不高,且不是针对网络防御中保护、检测、响应、恢复策略的求精方法。基于这样一种情况,下面基于CNDPR模型提出了针对网络防御中保护(访问控制,保密通信,用户身份验证,备份)、检测(入侵检测,漏洞检测)、响应(重启)、恢复策略(重建,补丁安装)的求精方法。
求精过程中,先用CNDPR模型对计算机网络防御策略求精改变进行具象化处理,然后生成操作层的防御策略,根据防御设备和节点信息把操作层防御策略的参数转化成为计算机设备能够执行的策略规则,进而达到网络防御效果。采用这一策略求精方法,可得到访问控制、用户身份验证、备份、保密通信、入侵检测、漏洞检测、关机、重启、补丁安装等操作层防御策略,不再局限于访问控制策略求精。
3.3 计算机网络防御策略求精关键技术的完善
从计算机网络安全现状中可以看出,系统漏洞、病毒是威胁计算机网络安全的两个主要因素,为加强系统漏洞、病毒上的防御,应进一步完善入侵检测技术和补丁安全技术。
首先,强化防火墙等安全服务器的设置,避免不明站点的访问,降低计算机网络的潜在威胁;其次,完善反病毒技术,防止病毒入侵;然后,设置访问权限,能降低入侵问题;最后,部署好补丁安装策略,及时修补系统漏洞,不为网络攻击留下入侵的“窗口”。
4 结束语
综上所述,计算机网络防御策略求精能显著的提高计算机网络防御效果,提升计算机网络安全管理技术水平,进一步保障了计算机运行安全。为此,在今后发展中,应加大对计算机网络防御策略求精关键技术的研究,拓展策略求精技术手段,不仅有访问控制上的策略求精方法,还要发展能够支持网络防御中保护、检测、响应、恢复策略的求精方法,用更为先进、有效的防御手段提高计算机网络防御效果,保证计算机网络运行安全,避免计算机信息泄露。