王 军

(安徽工贸职业技术学院计算机信息工程系，淮南 232001)

随着计算机技术的快速发展与应用，世界范围内的网络普及在给人们带来极大便利的同时，少数不法分子则利用网络信息安全方面的漏洞，对网络信息进行攻击以达到自己违法的需求。网络信息运营商为了加强网络信息系统的安全性，不断提升专用信息网络的防护等级要求并制定了不同的防御体系，力争建立高效稳定的安全防护体系，以满足人们对网络信息使用的需求[1]。虽然我国在网络信息安全建设方面已经取得了巨大的进展，并逐步形成了自己的网络系统防护体系，但是网络信息化的快速发展和安全防御体系的相对滞后和薄弱一直是处于不平衡状态，仍然迫切需要开发与设计出适应于当今信息网络安全的防御体系[2]。在此基础上，本文从信息安全防御体系设计原则的角度出发，提出了网络安全防御体系的总体设计方案和信息网络安全防御策略体系要点，对关键技术进行了设计与说明，以期为提升信息网络安全防御体系的设计与应用提供参考。

1 安全防御体系设计

基于目前国内政府、高校、医院等企事业单位的信息网络安全现状，需要在安全防御体系设计时遵循安全可靠、集成创新、综合成本低、先进与标准兼容和多重保护的原则，这样可以实现网络技术发展和防御体系升级的同步，最大限度保证网络信息安全[3]。

在新型网络安全防御体系设计过程中，总体设计方案包括物理防护、网络防护和数据防护三个主体，见图1。其中，物理防护主要包括信息网络线路、机房和相关附属设备设施等，网络防护则主要从隔离、检测和认证三个角度出发切断网络入侵者的渠道，数据防护主要从移动数据管理、操作系统安全和传输加密角度出发来保证网络信息的安全性和完整性。在对网络信息进行安全防御的过程中，抵御网络攻击和病毒入侵的系统需要遵循动态防御的思想，即从安全策略、防护、检测和响应四个环节进行动态循环，以更好地保证安全防御的完整性[4]。

在实际设计信息网络安全防御体系时，由于网络信息量较大且不同信息的安全防护级别不同，因此，建议采用“纵深防御思想”进行设计，具体分布如图2。其基本策略包括安全管理策略、物理安全策略、访问控制策略和信息加密策略。在防御过程中将网络信息分为不同的层级：危险层、非安全层、可信任层、基本安全层、安全层和核心层，不同的信息层级需要建立与此相匹配的防护手段，如处于危险层的信息则需要建立具有智能化的入侵检测预警监视系统，非安全层则建立高度加密的传输手段，可信任层建立防火墙访问控制策略，基本安全层则建立VPN、VLAN证书授权，安全层和核心层则可以采用物理隔断、冗余备份以及人工信息交换的方法进行[5]。

2 关键技术

2.1 流量监测

在实际信息网络安全防御体系正常工作时，通常遇到流量异常现象，而这些异常现象产生的原因多与网络蠕虫病毒或DOS、BT等软件下载有关，需要对这些异常流量进行检测分析，以确保网络信息安全。常规的流量检测技术包括阈值检测、GLR检测和小波技术检测，这些检测技术虽然能够在一定程度上对异常流量现象进行防御，但都存在一些弊端。如阈值检测是一种静态的流量检测方法且对阈值要求较高，GLR检测计算较为复杂，小波技术检测是一种纯数学方法而实用性受到限制等。为了进一步提升网络信息安全的防御精度和检测效率，建议采用基于时间序列异常检测模型(AR)，该模型利用自回归模型和拟合随机误差时间序列分析相结合，可以通过模型辨识、定型和分析等操作，得到不同时间段的噪声变化规律并做方差分析，由此建立检测模型以区分是否存在流量异常现象，具体步骤包括对网络流量进行预处理、零均质化、建立模型并对流量结果进行分析与预测[6]。

2.2 数据流审计

常规的数据流审计技术包括统计模型(对入侵数据进行统计分析)、数据挖掘(提取潜在信息并形成规律)和基于神经网络异常(以神经网络系统对入侵数据进行预测)的检测。这三种数据流审计技术可以在一定程度上提升决策判断的准确度和效率，且不同的数据流审计方法都有各自的优缺点，如统计模型虽然可以应用成熟的概率统计理论，但是需要大量的检测数据并存在阈值确定困难；数据挖掘技术虽然可以对未知入侵进行预测，但是需要将前期数据进行分析以形成规律或模型；神经网络技术虽然具有良好的抗干扰能力，但是不同影响因素的权重无法确定。在此基础上，本文推荐使用基于成熟概率统计的统计分析法，该方法假定任意时间段内的参数过程是平稳的，所有数据都满足大数定律以及入侵数据与正常数据传输之间的误差能够准确反应。

2.3 漏洞扫描

常规的漏洞扫描技术包括基于应用、主机、目标和网络的扫描技术，这四种方法都采用非破坏性和积极的方法来对网络信息系统进行扫描分析，以确定其是否被攻击。虽然这些漏洞扫描技术可以在一定程度上提取出安全漏洞，但是也存在升级复杂和网络性能会受到不同程度影响等缺点[7]。在此基础上，本文提出一种基于主机、端口和操作系统扫描的信息扫描技术，其中，主机扫描包括ICMP Echo Request、Echo Reply、ICMP Sweep、Broadcast ICMP和Non-Echo ICMP等，端口扫描包括TCP connect、TCP SYN、UDP和IP分片扫描等，操作系统扫描技术包括ICMP响应分析、标识信息和操作系统质问探测技术等[8-10]。

2.4 关键技术的实现

为了实现数据流审计系统对所有网络信息系统中的主机、防火墙、网络信息等进行监控和入侵检测，设计了图3所示的数据流审计系统的总体框架。其核心思想是通过交换机取回数据流，采用预处理模块对采集到的数据进行解码和预处理，然后通过检测系统判断数据是否存在异常，异常检测项目包括DB、LOG文件、邮件报警和Trap等，最终形成自适应报警或者日志[11-12]。

漏洞扫描系统的总体框架如图4。这套漏洞扫描系统模型是建立在用户实际应用需求的基础上，模型中包含了漏洞信息查询模板、系统配置模板和更新模块三个方面，在扫描主机上运行漏洞扫描系统，可通过模型自带的漏洞库、漏洞扫描模块和扫描插件库实现对网络对象的扫描，并通过分析来判定哪些属于非法入侵，形成总体评估报告后传输给用户并将结果反馈给数据库[13-14]。这套漏洞扫描系统不需要用户具有特殊权限，且可以同时运行几个模块以提高检测效率。

本文为了进一步提升信息网络安全防御效率和质量，设计了一套检测与防御联动的防御体系[15]。基本框架如图5。综合联动控制模板从路由器、防火墙、核心交换机、各级交换机、操作系统、安全软件和应用软件中收集数据信息，并从策略库中选择联动策略进行检测，判定数据是否属于入侵信息，并由防御模板进行主动防御，最终形成一套动态安全防御系统。检测和防御联动设计的核心在于实现检测与防御的联动，即检测模块可以进行入侵检测、漏洞扫描和流量审计等，而防御模块则可以引入防火墙等进行入侵防护[16]。这种检测和防御的联动设计体系可以同时发挥检测和防御的优势，对入侵行为进行有效阻断，最大限度保护信息网络安全。

3 结 论

本文基于加强信息网络安全防御的目标，提出了网络安全防御体系的总体设计方案和信息网络安全防御策略体系要点，并对安全防御体系涉及的关键技术进行了分析，建立了一套兼具检测与防御联动功能的防御体系，为提升信息网络安全防御体系的设计与应用提供了参考。