刘智勇

[摘 要]构建面向计算机网络防御策略的求精办法，是当前社会各界关注的重心。本文研究了计算机网络防御策略求精办法，构建完善的计算机网络防御策略体系建模，验证防御策略方法的有效性，并根据计算机网络安全的主要特点，对求精系统进行提升，从而保证计算机的有效运行。

[关键词]计算机网络；防御策略；求精技术；建模

[中图分类号]TP393.08 [文献标识码]A

1 计算机网络防御策略求精模型

计算机网络防御策略求精（CNDPR）结合了网络拓扑信息与求精规则，将高层的抽象概念映射到低层的具体概念的一个过程。网络管理者制定的防御手段主要目的是为了保护高层防御策略，而安全设备执行的防御能力则是使用操作层的防御策略，CNDPR可以将高层防御策略转换为操作层防御策略。计算机网络防御策略求精的主要目的就是为了促进网络信息的精益化发展，从而来提高高层防御的操作性。这就需要高层防御策略进行不断的调整，从而来对自身的防御效果进行提升，最终使得计算机网络可以安全运行。在这个过程中，高层防御是计算机网络防御策略求精的关键。高层防御策略可以根据服务资源的需求，在节点端口获取计算机网络系统安全参数，并对其进行配置。计算机网络防御策略求精模型（CNDPRM），指的是由高层防御策略、操作层防御策略以及二者之间的求精规则组成。它的构成主体可以直接操作，具备相应的主动性，主要作用是引发信息流动或者引导系统状态发生。主体有节点和主体两种形式，其公式表达为：SUBJECT：：={e|e ∈ ENTITY}，Obligation（e）∧active（e）} 。节点是网络环境中的实体，可以更改计算机中的信息流或者计算机系统，主要是通过节点名称、IP、掩码组成用户名和口令来实现。主体是角色的集合，与职责权限有着密切联系，具备相同的主体特征。其主要公式表达为：ROLE：：={s|Own（s，ch）（Relate（ch， obligation） Relate（ch，right）ch∈CHARSCTER，s SUBJECT，right∈ RIGHT， obligation OBLIGA-TION}。

1.1 计算機网络防御策略求精的语义建模方法

计算机网络防御策略求精的语义建模，即高层策略、操作层策略以及二者之间求精关系的意义进行建模的一个过程。建模方法包括策略分析、CNDPR语义建模生成两个模块。策略分析包含两个方面，即语法格式解析和语义依存关系分析；CNDPR语义模型生成模块包括TBoxd、SWRL推理规则、Abox生成三个部分的构建。策略解析包括高层策略解析和操作层策略解析，并采用lex/yacc分别对两个策略解析不同的策略模型，可以构成不同的数据结构，比如对高层策略进行解析可以构成七元组的数据结构，而对操作层进行策略解析会得到一个六元组的数据结构，二者都可被程序内部识别。

1.2 模型安全体系

模型安全体系的构建是研究计算机网络安全运行的核心，可以体现计算机安全整体的效果，可以根据计算机网络运行的实际情况与计算机的发展趋势构建安全体系，不断完善计算机网络防御策略。模型安全体系要具备操作的灵活，降低人工管理成本，节约资源，而模型安全体系的核心就是计算机网络防御策略模型，模型安全体系是策略模型的架构，计算机网络策略模型的构建也是模型安全体系的重要表现形式。二者相辅相成，密不可分。

计算机网络防御策略模型是三维，由X、Y、Z三个轴组成，X轴是计算机的安全特性，Y轴是网络的七个层面；Z轴包含计算机的物理环境等信息。

1.3 计算机网络防御策略求精的语义一致性形式化分析方法

计算机网络防御策略求精（CNDPR）过程是一个复杂的过程，包含三个过程，其一，高层策略的分解其二，高层策略包含的概念到操作层的映射；其三，将映射得到的概念；进行组合生成操作层策略。其中后面的两个过程是语义产生不一致的关键环节。概念与概念之间的语义关系构成了策略语句的语义，这里需要注意的是语义结构是固定不变的，下面我们根据语义不一致产生的地方，从概念和语义上对高层策略语句和底层操作层策略语句之间的语义一致性进行分析。我们可以设置P为Policy Goal中包含的概念集，pi∈P是P中的任一概念。Q为OLPolicy（由Policy Goal 求精生成的多条操作层策略）中包含的概念，qj∈Q是Q中的任一概念。Refinement（pi）表示上层概念pi进行语义求精的过程，Refinement（qj）表示下层概念qj向上层转换得到的上层概念。它们表示二者的概念语义是一致的：pi∈P，qj∈Q（Refinement（pi，qj）∧（Instance（Refinement（pi）=Instance（qj）→ConceptConsistency（pi，qj））。相反，不一致的语义表达方式是：∈P，qj∈Q（Refinement（pi，qj）∧（Instance（Refinement（pi）≠Instance（qj）→ConceptConsistency（pi，qj））

1.4 计算机网络防御策略求精技术中存在的问题

从现有的计算机网络防御策略求精方法来看，情况依旧不容乐观，防御技术和防御效率都比较单一，不能与多种技术进行联合，构建起完善的，涵盖保护、检测、响应、恢复的防御策略求精方法，因此面对复杂的网络攻击就会束手无策。其一，缺乏计算机网络防御求精方法，网络安全管理的基础就是计算机网络防御策略的求精，而目前的计算机网络防御策略求精方法主要是访问集中策略、虚拟策略等方面，缺少综合性的防御策略求精，不能协同IDS监测、漏洞监测，实现全面的网络防御。其二，缺乏计算机网络防御策略求精的语义建模方法。当前常用的策略语义分析主要依靠人工进行分析，缺乏相应的自动化策略分析技术，准确度不高，效率低下，还浪费人力资源。其三，缺乏计算机网络防御策略求精语义一致性分析。计算机网络防御策略求精实质上就是一个对符号进行推理和演变的过程，但是符号推理本身没有承载语义，这就会导致网络防御策略求精语义分析前后不一致。其四，缺少移动网络生存型模型的建模验证方法，网络可生存性模型的验证的主要目的是为了验证策略求精方法的时效性，然而现有的网络可生存性模型受到环境等外界因素的影响，导致他们无法在统一的平台下进行验证对比。

2 计算机网络防御策略求精关键技术完善措施

2.1 建立人性化的网络安全管理体系

计算机技术是一个动态的发展过程，因此计算机网络管理体系也需要不断地进行完善，根据计算机技术的特点进行构建，及时地对其更新，保障网络系统，计算机硬件设备都能够正常地运转。其次要加强计算机管理人员的专业培训，因为计算机技术的变化，使得技术人员也要跟随时代的发展，不断地更新自己的知识储备，从而使得数据管理的安全性得到保障。除了建立完善的管理机制外，还要将各项规定落实到日常工作中去，不然依旧是废纸一张，没有任何作用。政府机构也要加强安全管理工作宣传力度，引起社会各界的重视，保障网络防御工作的正常运行。

2.2 设置防火墙等安全服务器，完善防病毒技术

为了全面提升计算机网络系统的运行安全，需要安装防火墙和防病毒技术。防火墙的主要目的是保護计算机网络系统，在计算机与网络系统之间建立有效的链接，防止潜在威胁的影响。网络病毒防御技术也要充分发挥其重要作用，保护计算机不会受到病毒的攻击。因此要强化防火墙安全服务器，完善防病毒技术，二者进行有效的结合，来保护计算机网络系统的安全运行。另外，要制定相应的管理规则保障计算机网络系统安全管理，不要在计算机网络系统运行中使用盗版软件，做好数据备份，设置访问权限与身份认证，可以有效地防治非法入侵，提高计算机网络的安全。

2.3 利用扫描监测技术提高计算机网络防御效果

扫描监测技术在计算机网络系统安全的应用也比较广泛，它可以及时发现计算机网络系统隐藏的威胁，与防火墙、防病毒技术相互配合，可以提升计算机网络系统的防御能力。扫描监测技术要随着网络的发展不断创新，因为它关系着计算机网络防御策略求精关键技术的整体有效性，提高计算机网络系统稳定安全性。

3 总结

计算机网络的正常运行是社会稳定发展的基础，因此，构建完善的计算机网络防御策略模型可以有效的保障计算机网络安全，保障网络的稳定运行。未来计算机技术的发展方向就是计算机网络防御策略求精关键技术，因此加强计算机网络防御策略求精技术是非常有必要的。

[参考文献]

[1] 魏昭 计算机网络防御策略求精关键技术研究[D].北京航空航天大学2014（04）.

[2] 那伟宁.大数据时代的计算机网络安全及防范措施[J].电子技术与软件工程，2017（23）.

[3] 关伟哲，郭万春.网上银行安全支付问题探究[J].长春金融高等专科学校学报，2015（01）.