网络安全管理技术研究综述
网络安全管理技术研究综述
作者
专业 学号
摘要:当今社会计算机网络已经渗透进日常生活的方方面面,网络安全问题成为人们日益关注的问题。本文首先分析现有网络安全体系的管理现状,揭示目前网络安全技术所面临的问题,进而针对这些问题提出管理措施,最后综合阐述了网络安全通讯的实现技术,对网络安全维护技术所要解决问题,以及未来的发展趋势。
关键词:网络、安全管理、通信、维护
1、网络安全管理的现状
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。[1]网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效。的运行,是保证互联网高效、有序应用的关键之一。[2]
对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞,恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器操作系统本身存在一些漏洞,能被黑客利用侵入到系统,破坏一些重要文件,甚至造成系统瘫痪。Web数据库中安全配置不完整,存在弱口令或被数据库注入等安全漏洞,导致数据丢失或服务中断。现在网页中的活动内容已被广泛应用,活动内容的不安全性是造成客户端的主要威胁。主要用到Java Applet、ActiveX、Cookie等技术都存在不同的安全隐患。Internet是连接Web客户机和服务器通信的信道,是不安全的。未经授权的用户可以改变信道中的信息流传输内容,造成对信息完整性的安全威胁。此外,还有像利用拒绝服务攻击,向网站服务器发送大量请求造成主机无法及时响应而瘫痪,或者发送大量的IP数据包来阻塞通信信道,使网络的速度便缓慢。[2]
2、现有网络安全技术所面临的问题
现有的网络安全技术一般只能解决网络安全问题的一个或几个方面,无法对整体网络系统进行有效的保护。比如身份认证系统只能确认网络用户的身份,而不能保证用户信息传递的安全性。在现有的网络安全技术中,防火墙能够解决很大一部分的网络安全问题,但是依然有一定的局限。在网络环境下,防火墙是可信网络与不可信网络之间的缓冲,能够防范其他网络所发起的攻击。但是,防火墙对于放行数据的安全无法保证,这也是防火墙最大的局限性。而且,内部进行的攻击防火墙是无法防御的。虽然安装了防火墙却仍然无法避免网络病毒、垃圾邮件等的入侵。
入侵检测技术的最大局限性在于漏报以及误报。一般检测技术只能作为参考工具,对于安全问题本身没有实质性作用。大多数用户在电脑终端都装有防毒软件,但是对于内网的安全却并不能起到良好的保护作用,安全策略的执行、外来非法入侵、不定管理和合规管理等都与内管安全紧密相连。网络安全的整体技术框架也仍然存在着一定问题,特别是针对单个系统、数据、软硬件和程序自身安全的网络安全技术依然无法达到要求。在更加有效的安全防护产品出现之前,一般用户都仍然会选择防火墙进行网络安全保护。但是各类攻击事件日益明显的情况下,各网络安全商及用户都希望开发出更加完善的网络安全防御系统,对网络
进行更加有效的保护。系统、数据、软硬件和程序自身安全的网络安全技术依然无法达到要求。在更加有效的安全防护产品出现之前,一般用户都仍然会选择防火墙进行网络安全保护。但是各类攻击事件日益明显的情况下,各网络安全商及用户都希望开发出更加完善的网络安全防御系统,对网络进行更加有效的保护。[3]
3、网络安全管理策略
目前,由于网络安全管理的主要特性是综合性,它需要在整体的管理模式下,依赖于不同厂商的安全管理产品、技术、组件,通过一定的安全策略来协同管理,从而实现对网络安全的监控和管理。所以,不论采用何种网络安全管理体系结构或者技术或者产品,都需要研究、制定合理的安全管理策略。研究和制定安全管理策略可以从下述几个方面来讨论:策略模型、策略表示、策略机制实现等。因此,安全策略包含下述几个层次:基于自然语言的高层次策略、统一策略表示语言的中层策略、执行安全管理的底层策略。
(1)策略模型层。研究并制定策略模型是安全管理系统的基础,直接影响到系统的可靠性和可用性。制定策略模型的主要目的是使用通用的策略语法来描述安全服务模块的组织结构和信息,按照一定的策略标准来实施。然后,将 标 准 化 的 策 略 结 构 映 射 到 应用 层 的 数 据 格 式(XML、LDAP等),方便安全系统的各个子系统进行策略解析和后续传输,通常不需要提供详细的策略描述信息。
(2)策略表示层。与策略模型层相比,策略表示层的主要目的是对策略结构进行详细的策略描述,表达策略的内容和内涵,以便指派到相应的服务接口。策略表示层的信息更丰富,表达能力更广,目前并没有统一的安全服务描述机制。可用的描述语言比较多,包括基于逻辑描述、
事件描述、对象描述等。其中,逻辑描述模式表达策略的结构和内容较好,但是难以理解和应用,比如典型的RDL语义;事件描述模式主要通过事件机制来驱动,典型代表语言是SPL;面向对象描述模式将面向对象的模式引入到策略表示过程中,表达能力强,更容易理解和应用,典型的描述语义是Ponder。
(3)策略机制。在策略机制的设计和实现过程中,策略分析是一个很重要的环节,其主要目的是进行安全策略的一致性验证以及消解冲突,防止策略出现冗余的现象,提高策略的可用性。一般来说,策略冲突包括很多类别:形式性冲突、应用性冲突、服务性冲突等。当前,用于策略分析工作的方式包含:手工消解,一旦发送策略冲突,系统自动提示,然后进行手工消解;静态检验消解,即在应用安全策略之前,系统首先进行策略的静态性检验,主要是进行策略语法分析来实现的。如果出现策略冲突,可以自动消除冲突的策略。当然,还有一种冲突消解方式是基于优先级模式的方法,一旦发生策略冲突,可以选择优先级较高的安全策略来执行。策略机制子系统主要包括设计、分析、分发3个阶段,最终的目的是执行制定的安全策略,为网络安全管理系统提供基础的安全服务功能。
4、网络安全管理的实现技术
除了完整的体系结构、准确可行的安全策略之外,还需要信息集成、智能分析、协同通信规范对网络安全管理进行技术方面的支持。
4.1 信息集成
网络安全管理系统需要管理多种类型和厂商的安全产品,所以从不同产品中收集所需要的信息并加以处理,以便进行关联分析看,是安全管理首先需要解决的问题。这不仅关系到管理平台支持安全产品的数量以及种类,而且关系到分析结构的准确度。信息集成技术就是为了研究这个问题。信息集成的任务主要包含了两个方面:数据采集和数据预处理。数据采集是从各种安全产品的数据库、配置文件等相关数据源中收集关联分析所需要的数据和信息。数据采集既要考虑到信息收集种类的充分,还要尽可能的减少数据的总量,留下有用信息。而数据预处理便是将数据中的冗余或者错误的信息加以去除,并将信息统一成某种方便分析
的格式。信息的集成在数据仓库和数据挖掘领域已经有了一定的研究,目前的网络安全管理也主要是借鉴这些已有的工作,但是专门针对安全管理中信息集成的文献资料非常少。在信息管理过程中,信息集成的难点在于安全产并没有提供出信息采集的借口,这样就导致了许多重要的信息无法进行采集。这一问题并非技术所能解决的,需要各个安全产品的厂商形成共识,制定并通用开放接口的标准。
4.2 智能分析引擎
智能分析引擎是网络安全管理中的核心部分,作用在于关联分析安全数据用以识别威胁、自动响应部分安全事件以及产生警告。对于智能分析来说难点和重点在于关联分析,其特点是综合分析多种安全组件和安全数据。这样综合分析能够产生单独分析所没有的信息,进而提高分析的准确性。目前智能分析引擎的研究还处于起步阶段,许多现有的系统依靠手工写成的关联规则实现安全事件的综合分析和自动响应。这样的方式不能覆盖到所有威胁,而且具有滞后性,缺陷还很多。所以,只能分析引擎所面临的最大难题是实现自动关联分析。而且,由于网络安全管理综合了各种各样的安全服务,所以获得的数据也是普通安全产的数倍,如何有效分析和处理这些数据,也是职能分析引擎所要考虑的重要问题。[4]
4.3 协同及通信规范
网络安全管理的关键技术还有事先安全部件之间的协同,同时这也是安全事件综合分析与联合相应的前提。用户与安全部件之间、安全部件和宿主机之间、安全部件彼此之间需要有联系的纽带事先有效的协同。这样的联系可以使直接的也可以是间接的。借口、消息和安全管理协议是更为直接的协同方式,它们都可以使用在安全部件之间进行通讯,其区别在于安全管理协议的标准化程度更高。简单网络管理协议是当前网络管理领域中被广为接受的一种标准,因为网络管理与安全管理的内在联系,所以很多人直接采用其作为安全管理协议。未来协同及通讯规范的工作重点在于确立统一的网络安全管理协议,促进网络安全管理技术的发展。[5]
结论:面对新的网络安全形势,网络安全管理应当更加全面、更加智能。然而,现有的网络安全管理技术仍然存在着很多的很提和不足,缺乏统一性、灵活性。从未来发展来看,安全管理必然从小范围扩展到大范围,从集中安全管理发展为分布式安全管理,逐步将各个安全域以及网络纳入管理范围当中,利用网络安全管理技术实现对海量事件的处理。
参考文献:
1. 伏晓,蔡圣闻,谢立 . 网络安全管理技术研究 [J]. 计算机科学 .2009(02)
2. 刘思帆 . 网络安全管理技术概述 [J]. 信息与电脑(理论版).2009(12)
3.杨月江,刘士杰,耿子林 . 网络安全管理的分析与研究 [J]. 商场现代化 . 2008(02)作者简介:胡罡(1976-)男,汉族,四川省内江人、四川警察学院,硕士研究生,讲师,研究方向:软件工程,计算机安全监察。
4.张红宇.计算机网络优化探讨[J].嘉兴学院学报,2006.
5.杨家海等.网络管理原理与实现技术[M].北京:清华大学出版社,2000.