闫 娟 刘 欣 庞 洁 魏吉鸿

一种网络安全管理模式研究

闫 娟 刘 欣 庞 洁 魏吉鸿

本文基于企业网络安全及管理现状，提出一种网络安全防护系统的整合与集成管理模式，并实施与应用，该管理模式实现了不同安全设备集成、管理系统整合、数据整合与统一应用，为网络安全提供完整的解决方案，有效保证网络安全，大幅提高了网络安全管理水平。

随着计算机技术的发展，信息网络已成为社会发展的重要保证。网络的发展，以提高效益和效率为出发点，保证了企业正常生产和部门之间、企业之间有效沟通。随着数字化建设的不断推进，网络规模迅速扩大，业务日益复杂，网络承载了企业生产、管理、营销等各个方面，网络中的关键应用和关键数据越来越多，建设一个可管、可控、可信的网络成为推进企业发展的技术基础和重要保障，而如何对网络进行有效、高效管理也成为网络管理人员必须要面对的课题。

网络安全体系分析

一般的企业网络在结构上都划分为办公网络、生产网络、外联网络，在网络安全方面多采用病毒防护、防火墙、入侵监测与防御、身份认证、机房安全、数据备份与恢复等措施，通过对业务系统结构、网络安全结构进行了分析和总结，得出了以下网络安全体系结构，见图1。

网络安全体系构成要素包括：网络基础架构、机房安全、病毒防护、防火墙、入侵检测、数据安全、应用安全、运行安全和管理安全等。为了保障网络的安全，通常采用病毒防护、防火墙、用户身份验证、入侵监测等技术、设备或网络管理系统，这些设备、技术和系统的应用，在保障网络安全方面起到不可替代的作用；但同时也带来了一系列应用和管理上的问题，比如网络安全设备参数、设备数据接口的不兼容导致数据的重复采集、重复提取和重复分析，从而带来管理效率的降低；不同设备采集数据格式不同，无法进行有效数据提取和分析，各种设备和系统实时采集的海量数据无谓浪费；各种设备、系统的数据规范不同使得数据解析、分析非常困难，从而导致数据无法得到连续应用，也无法进行数据的关联性分析，并造成各种设备、系统“各自为政”，无法得到统一有效利用。

网络安全管理模式研究

针对上述网络安全系统的特点和问题，从网络安全体系的构成要素入手，借助数据流程、业务流程的规范，结合数据解析技术、异构数据库交互技术、数据挖掘技术等关键技术，进行了网络安全管理模式研究，并提出了网络安全集成管理模式。

网络安全系统集成

图1　网络安全体系

图2　系统功能框架图

在网络安全方面，普遍采用的安全防护措施包括：防火墙（实现企业内网与互联网的隔离）、入侵监测（安全防御）、网管系统（网络安全管理）、机房监控（机房安全）、数据备份与恢复系统（数据安全）、身份认证、访问控制等，这些设备或者系统安装在不同的地点、不同的服务器，并采用分散管理的方式，网络管理人员往往需要频繁地出入机房、登录不同的系统来完成网络安全的监控和分析、网络安全事件或者故障的定位与处理等日常管理维护工作。为了提高网络管理人员的工作效率，首先从设备和管理系统的访问入口进行统一管理， 实现各个系统的统一登录；其次实现设备的互联互动；第三是实现管理系统的功能集成。

数据集成

在数据集成方面，主要采用数据分析、数据挖掘、异构数据库交互技术、数据规范、流程规范等手段，从防火墙实时产生日志文件入手，在海量数据中筛选出有效的关键数据，结合防火墙日志管理系统，分析并挖掘防火墙日志、IPS检测数据的关联性，结合日常工作的实际情况，形成网络安全事件处理专家库，积累安全事件处理、分析经验，减少人工数据查询、比对、统计工作量，大大提高工作效率。

网络安全集成管理模式

基于对网络安全管理情况及系统集成、数据集成技术的研究，形成“网络安全集成管理模式”，该模式将将网络安全体系各要素涉及的设备、软件等资源进行整合并实现集成管理，将不同设备和不同管理环节形成的数据进行整合和统一应用，解决了设备、系统和数据难以统一应用、网络安全管理效率低、网络安全事件响应速度慢等问题，在网络管理方式上，改变原有网络管理人员的工作方式，由原来的“被动”防御（主要精力集中于解决已出现的问题）转变为“主动”防御（主要精力集中于发现安全隐患）方式，可大幅提高工作效率，从而提高网络的安全性和可靠性。

网络安全体系集成管理实践

在前期研究的基础上，在某企业单位进行了网络安全体系集成管理管理实践，开发了网络安全体系集成管理系统，实现了不同安全设备集成、管理系统整合及数据整合与统一应用，为网络安全提供完整的解决方案，有效保证网络安全，大幅提高了网络管理水平。

系统结构

系统主要包括网络信息集成和网络管理两部分功能，详见图2。

系统功能

网络信息集成：负责整个网络系统的信息、数据的提取和集成，将网络流量、网络访问事件、入侵监控事件按需要实时汇总和按时汇总统计，并提供数据标准化、数据匹配、数据识别、数据分析、数据告警处理等功能，为网络集成管理提供数据基础。

网络集成管理包括入侵监控及安全事件处理、网络流量监控、网络事件监控、网络运行总览。在数据信息集成的基础上，实现数据格式规范和数据的统一、连续应用，从而实现网络安全集成管理功能。

网络运行总览：监控网络运行状况，按日、月、年提供网络流量、网络事件、IPS入侵、网络报警趋势分析和构成分析，协助管理员掌握网络总体运行情况，对网络异常进行定位分析。该功能模块所需网络流量数据和网络事件数据来自原始数据来交换机，网络入侵数据来自防火墙。

网络事件监控：实时监控本单位的网络事件发生情况，主要针对用户上网事件和服务器被访问事件，按时间段统计排名，并提供事件明细的查询分析功能。系统从交换机抓取每台上网设备原始的网络事件数据，经过网络事件规则解析得到便于理解的网络事件名称，并与本单位用户管理系统数据结合，实现用户的实名管理。

网络流量监控：实时监控网络流量的分布状况，提供上网流量的明细分析功能，以便网管调整带宽，优先保证核心业务的网络速度。系统从交换机抓取每台上网设备原始的网络流量数据，经过分组统计得到每台设备每小时的网络流量，并与本单位用户管理系统数据结合，最终将统计结果与本单位员工实现精确对应。

入侵监控及安全事件处理：提供网络安全事件从报警到处理结果跟踪的功能，系统从防火墙抓取每台上网设备的入侵事件数据，经过按照入侵事件规则解析，并与本单位用户管理系统数据结合，最终将便于理解的入侵与本单位员工实现精确对应。

图3　系统功能界面

系统特点

基于现有的网络设备和网管系统，提出了一种网络安全体系整合与集成管理的方法，并建设网络安全集成与一体化管理系统，实现了设备整合、系统集成，实现了统一平台、统一入口、统一管理。

基于网络出口设备，如防火墙等，加强网络监听和网络数据分析，针对网络访问事件、网络流量数据、网络攻击事件进行监控和分析，为网络安全管理提供决策依据。

通过智能化应用、用户身份识别技术，将网络中单纯的IP/端口号（IP/Ports），以及流量信息，转换为更容易理解、更加智能化的应用程序信息和用户身份信息，为后续的基于应用程序的策略控制和安全扫描，提供识别基础。

基于卓越的应用和用户识别能力，对数据流量和访问来源进行精细化辨识和分类，使得用户可以轻易从数据流量中辨识出任意多种不同的上网应用和用户身份信息，从而施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略，保障了用户最直接、准确、精细的管理愿望和控制诉求。

强大的图形化数据展示功能，直观监测网络流量、IPS 入侵等数据，例图见图3。

系统应用情况

自系统上线运行以来，成功实现了防火墙数据、交换机数据、用户管理系统的数据集成，并实现了系统设计的全部功能且运行正常。

通过网络运行总览，可以分别按照日度、月度、年度查看网络流量网络事件入侵信息的变化趋势，方便管理员了解网络总体运行趋势。网络事件监控和网络流量监控帮助管理员实时的掌握本单位每个用户对网络的使用情况，管理员可根据该数据调配网络资源。入侵事件监控能够帮助管理员及时发现网络安全问题，迅速定位，并可参考系统提供的以往处理方式进行处理。

在系统的运行过程中，同时对相关工作流程进行了规范，比如，系统投用前网络管理员处理IPS 入侵事件的需要经过查看日志、数据查询、人工数据比、根据经验确定进行相关处理等步骤，使用该系统提供的集成管理功能后，工作流程简化为：界面查询、事件处理两个步骤，大大提高了工作效率。

结语

基于网络安全体系集成管理系统的开发应用实践和对网络安全管理情况的研究，将理论研究与实践应用相结合，形成了“网络安全集成管理模式”，通过对该企业进行网络安全体系集成管理实践，证明了该集成管理模式及管理系统的有效性和高效性。网络安全设备及数据信息的集成，为数据的统一、连续应用提供了基础，网络安全体系集成管理模式及管理系统可以有效利用网络环境中的数据信息，提高网络故障的定位速度，提前发现网络安全隐患，简化工作流程，有效保证网络安全，大幅提高工作效率和网络管理水平。

10.3969/j.issn.1001-8972.2015.10.014