分析計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型

蘇 航

(大連交通大學(xué),116028)

0 引言

計(jì)算機(jī)網(wǎng)絡(luò)防御策略一經(jīng)提出受到人們的歡迎，它是以保證計(jì)算機(jī)網(wǎng)絡(luò)安全的角度出發(fā)，由于計(jì)算機(jī)網(wǎng)絡(luò)受到大量的網(wǎng)絡(luò)攻擊，對(duì)此制定的防御策略是以計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)根據(jù)一定的條件選擇防御措施的規(guī)則進(jìn)行的。在網(wǎng)絡(luò)環(huán)境中計(jì)算機(jī)網(wǎng)絡(luò)防御策略的實(shí)施改變了容易出錯(cuò)、效率低、制定復(fù)雜的人工配置安全功能的方式。因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)防御策略是以PPDP 模型思想實(shí)施的。PPDP 模型思想以網(wǎng)絡(luò)防御為中心，通過保護(hù)、檢測(cè)、響應(yīng)策略的實(shí)施。所以，計(jì)算機(jī)網(wǎng)絡(luò)防御策略具有自動(dòng)化、高效、正確的特點(diǎn)。本文將通過計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型進(jìn)行詳細(xì)的分析。

1 網(wǎng)絡(luò)安全現(xiàn)狀及存在的威脅

隨著我國經(jīng)濟(jì)水平的不斷提高，科學(xué)技術(shù)的不斷的發(fā)展，各種先進(jìn)的技術(shù)出現(xiàn)在人們的日常生活中。計(jì)算機(jī)作為科學(xué)領(lǐng)域中開發(fā)最具價(jià)值的成果，在每個(gè)國家都被廣泛應(yīng)用。由于計(jì)算機(jī)技術(shù)的發(fā)展方向，促使計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)相結(jié)合，促使信息時(shí)代的到來。目前，我國計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)逐漸成為生活中的一部分，越來越多的人的日常生活及工作離不開計(jì)算機(jī)網(wǎng)絡(luò)。我國計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀是處在相對(duì)安全的狀態(tài)下，同時(shí)存在可能出現(xiàn)的一些危害，影響計(jì)算機(jī)網(wǎng)絡(luò)的正常使用。

當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)中存在的可能出現(xiàn)的危害是：（1）計(jì)算機(jī)病毒。計(jì)算機(jī)病毒是計(jì)算機(jī)網(wǎng)絡(luò)中最為主要的危害，通過網(wǎng)絡(luò)、服務(wù)器、硬盤、U 盤等將病毒傳播，導(dǎo)致計(jì)算機(jī)癱瘓，無法正常使用。計(jì)算機(jī)病毒的種類較多，在我國比較典型的計(jì)算機(jī)病毒是“熊貓燒香”。（2）惡意攻擊。惡意攻擊是針對(duì)性較強(qiáng)的危害，典型的人為因素的計(jì)算機(jī)網(wǎng)絡(luò)破壞，通常是一些人或一些組織對(duì)某個(gè)人或某個(gè)公司、單位等盜取一些信息，而采用高超的網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)進(jìn)行的惡意破壞行為。（3）計(jì)算機(jī)系統(tǒng)漏洞。計(jì)算機(jī)系統(tǒng)出現(xiàn)漏洞是人們?nèi)粘Ｊ褂糜?jì)算機(jī)時(shí)經(jīng)常出現(xiàn)的問題，主要是因?yàn)橛?jì)算機(jī)系統(tǒng)本身存在漏洞，在在長時(shí)間的使用計(jì)算機(jī)網(wǎng)絡(luò)，促使計(jì)算機(jī)的安全受到威脅。當(dāng)然，計(jì)算機(jī)系統(tǒng)中存在安全機(jī)構(gòu)和安全措施，但是，計(jì)算機(jī)系統(tǒng)漏洞也會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的正常使用有一定的影響。一些IT 行業(yè)中發(fā)明一些計(jì)算機(jī)系統(tǒng)漏洞修補(bǔ)軟件，改善計(jì)算機(jī)系統(tǒng)漏洞的威脅。

2 計(jì)算機(jī)網(wǎng)絡(luò)防御策略

為了提高計(jì)算機(jī)網(wǎng)絡(luò)的安全，提出計(jì)算機(jī)網(wǎng)絡(luò)防御策略加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中存在的威脅的防御，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行環(huán)境的安全、穩(wěn)定、正常。其實(shí)，計(jì)算機(jī)網(wǎng)絡(luò)防御是為實(shí)現(xiàn)某個(gè)特定的網(wǎng)絡(luò)以及系統(tǒng)的安全目標(biāo)，依據(jù)計(jì)算機(jī)網(wǎng)絡(luò)或信息系統(tǒng)的特定條件選擇采取的防御措施的規(guī)則。計(jì)算機(jī)網(wǎng)絡(luò)防御策略的類型有很多種，針對(duì)不同類型的計(jì)算機(jī)網(wǎng)絡(luò)危害采用最佳的防御措施，相較于計(jì)算機(jī)網(wǎng)絡(luò)威脅，計(jì)算機(jī)防御策略更為復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)防御是以“策略”為中心，這里指的策略是PPDP 模型思想，以某一目標(biāo)為中心，對(duì)其制定具體是實(shí)施體制和措施。PPDP模型在采用防御策略上注意降低策略力度，因?yàn)榉烙呗赃^大將會(huì)無法建立以策略為基礎(chǔ)的防御體系。因此，計(jì)算機(jī)網(wǎng)絡(luò)防御策略具有自動(dòng)性、準(zhǔn)確性、靈敏性、延展性等特點(diǎn)。在計(jì)算機(jī)網(wǎng)絡(luò)中應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)防御不需要人工進(jìn)行操作，自動(dòng)完成計(jì)算機(jī)網(wǎng)絡(luò)管理，避免人工管理容易產(chǎn)生錯(cuò)誤及給計(jì)算機(jī)網(wǎng)絡(luò)使用用戶帶來麻煩。

3 計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型

3.1 計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型介紹

計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型簡(jiǎn)稱為CNDPM（Computer Network Defense Policy Model）模型（如圖一），是由組成部分及各個(gè)部分之間的有序的關(guān)系所構(gòu)成，所以，也可以將計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型簡(jiǎn)化成組織。常見的組織有學(xué)校、醫(yī)院等場(chǎng)所中的內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)。計(jì)算機(jī)網(wǎng)絡(luò)防御模型是將對(duì)整個(gè)區(qū)域的網(wǎng)絡(luò)運(yùn)行環(huán)境進(jìn)行防御，在針對(duì)具體的計(jì)算機(jī)網(wǎng)絡(luò)危害采取有效的防御策略。

圖一 計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型

3.2 基本構(gòu)成

CNPDM 模型的構(gòu)成的主體是指直接采取的操作，客體是被操作的對(duì)象，如操作系統(tǒng)、節(jié)點(diǎn)、服務(wù)、文件等。模型的主體是具有主動(dòng)特征的實(shí)體，是在計(jì)算機(jī)中引發(fā)信息流動(dòng)或?qū)嵤┑男袨榇偈褂?jì)算機(jī)的系統(tǒng)發(fā)生改變，以兩種形式進(jìn)行實(shí)施的，即節(jié)點(diǎn)和主體。在這兩種形式中節(jié)點(diǎn)相對(duì)簡(jiǎn)單，是通過節(jié)點(diǎn)名稱、掩碼、IP 地址構(gòu)成用戶名和口令來改變計(jì)算機(jī)中的信息流或改變計(jì)算機(jī)的系統(tǒng)。而主體是相同特征和不同特征的的主體集成。在模型中采用具有相同特征的主題集，也就是角色。一般情況下，角色與職責(zé)或權(quán)限聯(lián)系在一起，突顯主體的特征。是通過公式

完成關(guān)系的分配。在此基礎(chǔ)上角色形成顯式分配和隱式分配兩種形式。模型中的客體本質(zhì)是能夠接受或包含信息的被動(dòng)特性的實(shí)體，其具體有真實(shí)性、整體性、共同性的特征，其所要體現(xiàn)的內(nèi)容是通過公式：

進(jìn)行表達(dá)。另外，主體中的網(wǎng)絡(luò)節(jié)點(diǎn)也可以作為客體，將網(wǎng)絡(luò)信息真實(shí)的表達(dá)出來。所以，通過網(wǎng)絡(luò)節(jié)點(diǎn)將模型的主體和客體相連，并將其簡(jiǎn)化。

3.3 安全體系

模型的建立主要是為了保證計(jì)算機(jī)網(wǎng)絡(luò)安全，模型的安全體系是不可缺少的一個(gè)組成部分。模型的安全體系的建立是遵循計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行設(shè)計(jì)的。所以，模型的安全體系具有整體性、靈活性、方便。模型安全體系的整體性是指模型中采用多種技術(shù)手段和方法制定多種防御策略，之所以能夠建立多種防御策略是以計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)實(shí)際運(yùn)行情況系統(tǒng)的、全面的考慮為基礎(chǔ)，充分的體現(xiàn)模型的整體性。模型安全體系的靈活性是以計(jì)算機(jī)網(wǎng)絡(luò)為主，根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)的需求，而制定有效的防御策略，即便計(jì)算機(jī)網(wǎng)絡(luò)升級(jí)，也可以在管理人員的調(diào)整后對(duì)計(jì)算機(jī)網(wǎng)絡(luò)繼續(xù)保護(hù)。模型安全體系使用非常方便主要是模型能力自動(dòng)調(diào)整，不需要管理人員進(jìn)行系統(tǒng)的操作。

3.4 安全防御策略

安全防御策略是模型的中心，主要是從管理的角度的、技術(shù)的角度對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境安全的進(jìn)行保護(hù)，促使計(jì)算機(jī)網(wǎng)路正常、穩(wěn)定、有效的運(yùn)行。

3.4.1 管理策略

從管理的角度對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全防御是從計(jì)算網(wǎng)絡(luò)運(yùn)行的環(huán)境進(jìn)行管理，如管理用戶使用的局域網(wǎng)，通過建立跟蹤體系或?qū)徲?jì)體系，提高局域網(wǎng)內(nèi)部運(yùn)行的安全；采用先進(jìn)的技術(shù)檢測(cè)用戶使用網(wǎng)絡(luò)安全程度，在進(jìn)行綜合的評(píng)估，采取有效措施保證用戶計(jì)算機(jī)網(wǎng)絡(luò)中信息的安全。通常執(zhí)行模型管理策略的執(zhí)行是以人為主導(dǎo)，建立管理制定或管理方法，保證計(jì)算機(jī)網(wǎng)絡(luò)的安全。

3.4.2 技術(shù)策略

技術(shù)策略是以計(jì)算機(jī)網(wǎng)路為主，通過改善計(jì)算機(jī)網(wǎng)路的中存在的安全問題，提升計(jì)算機(jī)網(wǎng)絡(luò)的安全程度，進(jìn)而實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)防御。技術(shù)策略主要作用與計(jì)算機(jī)的操作系統(tǒng)、數(shù)據(jù)庫、訪問權(quán)限，實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)路安全、系統(tǒng)、簡(jiǎn)便。在處理計(jì)算機(jī)系統(tǒng)是加強(qiáng)網(wǎng)絡(luò)層，通過網(wǎng)絡(luò)層的交換機(jī)與路由器及計(jì)算機(jī)系統(tǒng)進(jìn)行安全加密，防止外界的危害的攻擊，同時(shí)對(duì)計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或信息出現(xiàn)異常的情況進(jìn)行及時(shí)的修補(bǔ)，提高計(jì)算機(jī)系統(tǒng)的運(yùn)行安全及信息的安全程度；數(shù)據(jù)庫中儲(chǔ)存大量信息和數(shù)據(jù)，如若被竊取或泄露，將會(huì)對(duì)用戶造成不同程度的損失，加強(qiáng)數(shù)據(jù)庫對(duì)基礎(chǔ)層的管理，也就是使數(shù)據(jù)鏈接層和物理層的數(shù)據(jù)傳輸性能、穩(wěn)定性，將其與信息設(shè)備有效的鏈接，從而保證數(shù)據(jù)庫中信息和數(shù)據(jù)的安全；對(duì)訪問權(quán)限進(jìn)行技術(shù)上的優(yōu)化和完善，預(yù)防各種可能對(duì)訪問權(quán)限攻擊的病毒，增強(qiáng)訪問權(quán)限的安全級(jí)別。

4 結(jié)束語

由于計(jì)算機(jī)網(wǎng)絡(luò)、已經(jīng)成為人們?nèi)粘Ｉ詈凸ぷ鞑豢扇鄙俚囊徊糠?，保證計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全至關(guān)重要，計(jì)算機(jī)網(wǎng)絡(luò)防御策略被推出的主要原因是幫助計(jì)算機(jī)網(wǎng)絡(luò)防御各種網(wǎng)絡(luò)攻擊。計(jì)算機(jī)網(wǎng)絡(luò)策略的實(shí)施是通過建立計(jì)算機(jī)網(wǎng)路防御策略模型對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行全方位的防護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型是一個(gè)不斷變化的運(yùn)行體制，充分的應(yīng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的不斷變革，因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)模型中各種防御策略的不斷變化，有效的保護(hù)好、計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行，促使計(jì)算機(jī)網(wǎng)路更還的為人們服務(wù)。

[1]熊群毓.計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型探析[J].信息通信,2012(04).

[2]夏春和,位玉娣,李消堅(jiān)等.計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型[J].北京航空航天大學(xué)學(xué)報(bào),2008(08).

[3]程相然,陳性元,張斌等.基于屬性的訪問控制策略模型[J].計(jì)算機(jī)工程,2010(15).