网络安全深度防御与保障体系研究

◆任宁宁

（东营职业学院 山东 257500）

在网络安全防御层面，传统的信息安全技术更注重对系统知识的保护与防范，诸如设置一些安全系数高的操作系统、数据库，在网络的端口配置防火墙，设置身份识别界面等，这些都能够达到一定的安全防护作用。不过随着互联网技术的不断发展，网络安全防护的侧重点已从传统的静态防护逐渐转向动态防护。例如，创建网络安全深度防御与保障体系等都是非常必要的，其能够借助于一些检测工具对系统的安全系数展开全方位地评估，确保系统维持在最安全、风险系数最低的状态下。在这现代信息安全防护等层面，能够发挥重要作用，对维护国家信息安全、人们财产安全等具有重大意义。

1 网络安全深度防御与保障体系的结构及工作流程

（1）结构

从性质上来看，网络安全深度防御与保障体系的结构具有可扩展性等特点。其包括三个构成要素，即：实时防御、日常防御与基础设施。其中，对于实时防御而言，其由网络防火墙、预警系统、应急响应、入侵防御、防守反击等组成；针对日常防御而言，其包括脆弱性监测与预警监测两大构成要素，在进行病毒防治方面，实时防御与日常防御发挥的作用是非常重要的[1]。

（2）工作流程

首先，实时防御主要对一些实时信息流、数据流等进行监测。防火墙是第一个监测关卡，主要对网络的访问进行防御；入侵监测需要对防火墙的信息流进行深层次地筛查，避免一些恶意入侵行为的出现；如果入侵行为穿透防御子系统，且带来损失的话，必然会激发应急响应和灾难恢复子系统，甚至还需要激活反攻击系统。

其次，日常防御主要是负责一些日常性的防御工作。脆弱性分析子系统借助于脆弱性信息库对网络系统知识具有的一些安全漏洞进行检查；预警子系统主要是梳理、统筹所有信息，由此能够达到防范可能存在的一些攻击隐患。

最后，基础设施主要包括攻击特征库、安全隐患信息库、备份资料库、威胁评估信息库等。能够为前两个结构给予支持和推进，确保实现实时动态更新，确保日常维护工作能够顺利开展下去[2]。

2 网络安全深度防御与保障体系的子系统介绍

（1）安全操作系统

在信息系统安全保护工作中，计算机核心软件操作系统是一个重要的构成要素，也是确保安全运行的一个重要基础。不过，在我国计算机的运行中，所配置的操作系统主要是国外进口产品，相关核心技术基本上完全操控在国外大企业手中，一些安全操作系统的源代码完全保密，安全系数小，乃至一些还故意设置信息泄露的“端口”，对于这种操作系统而言，若出现国际政治问题，必然会引起灾难性的恶果。

从二十世纪九十年代后期之后，由Unix 技术演变而来的Linux操作系统逐渐受到行业人士、社会用户的广泛重视，其具有源代码公开、功能丰富等优势。中文Linux 则是近年来我国计算机领域应用最常见的一种安全操作系统，其为国产计算机操作系统的发展创建了一个全新的市场竞争空间。不过，该软件和商务软件SCO Unix 等技术进行对比，在内核方面存在短板。现今一些国内企业在Linux 发行版本中的技术含量不足，一般表现在软件集成和包装方面。对此，加强技术创新，提高国产核心软件的研发能力等是非常关键的[3]。

（2）网络防火墙

在维护网络安全工作中，防火墙是一个重要的关卡，其处于被保护网络和外界网络之间，能够有效地抵御无法预测的、隐匿破坏的非法入侵活动。其利用监测、阻碍、修改穿透防火墙的信息流等，最大化地屏蔽网络内部结构、数据与运行状态，由此能够达到对内部网络的全面防护目的。从逻辑层面来看，防火墙可以称作为“分离器”或“限制器”，其能够对内外网络的动态进行全面监控，确保内部安全。

（3）入侵监测

入侵监测能够对系统或网络数据给予实时监测，尽早察觉入侵系统者，也能够防范正当用户的错误操作引起的一些破坏问题。不过，对于当前市场上的一些入侵检测安全产品而言，其具有占用资源多、可扩展性差等特点，并且基本上是针对入口节点位置的检测，无法对内部网实施保护，不具备信息系统的恢复能力等。对此，针对这方面的研究具有一定的理论价值与实践价值。我国大多数企业或单位所运用的体系结构主要是以代理的网络入侵检测为技术，也就是说，其代理是分散在各个主机、网段的攻击检测缓解，能够随时发现任何可疑行为或入侵行动等，并且第一时间向中心服务器递交修复。以便于中心服务器能够完成不同网络代理的远程配置、信息库的管理、警报的整理与显示等[4]。

（4）响应恢复和防守反击

此子系统的宗旨是在相对开放的网络环境下，通过防守反击手段抵御黑客的入侵。其是在后备集合的服务器之间创建分布式动态备份信息库，以便于能够恢复其中一些重要数据。并按照上一步的监测结果对其给予不同级别的响应处理，例如：现场可恢复、在线可恢复、在线不可恢复和防守反击等。

（5）预警

该子系统的宗旨是利用多检测点信息整合、智能化的数据统计等监测是否具有某一不法入侵行为，且测试不法入侵的威胁度、性质、范围、起源等，以便于对其可能采取的下一步行动进行预测。在此过程中，需要对一些开放信息资料进行收集、整合、分析，以便于判断其存在的入侵倾向、隐匿风险等。

攻击检测系统（ADS）收集、梳理等来自监测器与入侵检测系统（ⅠDS）的数据战攻击数据，且对攻击类型、威胁等级等相关信息传递给系统的下一层。ⅠFS 是一个基于规则的专家系统，其能够让操作者了解与信息站威胁相关的一系列问题，并挖掘威胁数据库的价值，

便于给予结构性的解答和回复[5]。（6）安全管理与监控针对信息安全管理而言，其是利用科学的组织机制、规章体系、管控手段等，将一些存在信息安全保障功能的软硬件设施、管理信息者、使用数据者等全面整合起来，确保该组织能够实现预设的信息安全目标，确保信息的安全、私密与可用。具体来说，在信息安全管理渠道上来看，其包括两大内容，即：管理措施与安全方法。信息安全管理一定要在制度、手段等运用的过程中充分地思考技术等方面的价值，唯有在制度、手段、技术等方面达到全面融合，方可发挥最佳的安全管理作用。

3 结束语

因为网络安全深度防御与保障体系具有复杂性、可拓展性、范围广泛等特点。现今世界各国在这方面的研究基本上是理论研究，需要应对的问题也比较复杂，例如入侵检测、防火墙、预警等兼容性，针对大范围网络的纵深防御和保障体系的组建、预警功能实现等，针对这方面的研究针对增强网络系统的应急响应能力、避免因网络攻击带来的危害等等，这些具备较强的实践价值与应用价值。