導(dǎo)語(yǔ)：網(wǎng)絡(luò)安全技術(shù)優(yōu)化分析一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

0引言

近幾年中，網(wǎng)絡(luò)運(yùn)營(yíng)商逐步認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性，通過(guò)部署防火墻、入侵防護(hù)設(shè)備、VPN等一系列的技術(shù)手段和措施來(lái)提高電信網(wǎng)絡(luò)的安全性，但是整體的效果并不理想，由于網(wǎng)絡(luò)安全問(wèn)題導(dǎo)致的網(wǎng)絡(luò)癱瘓、流量異常、數(shù)據(jù)泄露等情況仍然時(shí)有發(fā)生，而造成這些安全事件根本性的原因很大一部分是安全防護(hù)技術(shù)手段的缺失。比如沒(méi)有形成全公司統(tǒng)一的網(wǎng)絡(luò)安全技術(shù)實(shí)施總體規(guī)劃，在實(shí)際的技術(shù)部署中缺乏縱深一體化的防護(hù)，在系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)階段缺乏對(duì)于網(wǎng)絡(luò)安全技術(shù)防護(hù)方面的考慮，導(dǎo)致部分系統(tǒng)中沒(méi)有部署必要的安全防護(hù)設(shè)備；而部分系統(tǒng)中即使部署了安全設(shè)備但是策略配置不合理，導(dǎo)致相應(yīng)的系統(tǒng)弱點(diǎn)完全暴露在公眾網(wǎng)絡(luò)中；網(wǎng)絡(luò)層沒(méi)有統(tǒng)一采用MAC綁定52的策略，網(wǎng)內(nèi)時(shí)常發(fā)生ARP攻擊情況；系統(tǒng)口令認(rèn)證方式單一，容易被破解；運(yùn)行系統(tǒng)上的服務(wù)端口沒(méi)有實(shí)施最小化的控制。此外在檢測(cè)手段上，漏洞檢測(cè)設(shè)備分布零星，沒(méi)有形成遠(yuǎn)程控制、覆蓋全系統(tǒng)的部署方式，檢測(cè)的效率相對(duì)低下。在審計(jì)技術(shù)手段上，部分關(guān)鍵業(yè)務(wù)系統(tǒng)缺乏操作審計(jì)的管控能力，對(duì)于流量分析缺少數(shù)據(jù)包分析能力。因此，本文從層次化安全防護(hù)部署、自動(dòng)化安全檢測(cè)能力、全方位安全審計(jì)能力三個(gè)方面對(duì)網(wǎng)絡(luò)安全技術(shù)手段進(jìn)行分析。

1層次化安全防護(hù)部署

安全防護(hù)的目的是通過(guò)系統(tǒng)加固、安全設(shè)備部署等網(wǎng)絡(luò)安全技術(shù)手段，實(shí)現(xiàn)對(duì)惡意或非惡意攻擊行為的防御，根據(jù)防護(hù)對(duì)象的不同，又可以分成四個(gè)維度。

1.1網(wǎng)絡(luò)層

網(wǎng)絡(luò)層的安全防護(hù)主要通過(guò)在網(wǎng)絡(luò)設(shè)備層面設(shè)置安全加固措施，保障數(shù)據(jù)傳送的底層網(wǎng)絡(luò)能夠持續(xù)穩(wěn)定的運(yùn)行。首先需要保證網(wǎng)絡(luò)拓?fù)涞暮侠硇?，增?qiáng)網(wǎng)絡(luò)設(shè)計(jì)時(shí)的健壯性。在網(wǎng)絡(luò)架構(gòu)上保證內(nèi)外網(wǎng)的物理隔離，防止外網(wǎng)的安全威脅蔓延至內(nèi)網(wǎng)中；確保網(wǎng)絡(luò)具備冗余倒換能力，不存在網(wǎng)絡(luò)的單點(diǎn)故障；將不同的業(yè)務(wù)、不同的用戶(hù)在網(wǎng)絡(luò)層面進(jìn)行隔離，降低用戶(hù)非授權(quán)訪問(wèn)的可能性；在關(guān)鍵網(wǎng)絡(luò)出口處部署防火墻設(shè)備或者設(shè)置訪問(wèn)控制列表，限定外部網(wǎng)絡(luò)與受控業(yè)務(wù)系統(tǒng)之間可以進(jìn)行交互的應(yīng)用類(lèi)型；避免網(wǎng)絡(luò)設(shè)計(jì)中存在可旁路繞過(guò)安全防護(hù)設(shè)備的鏈路。其次啟用相應(yīng)的內(nèi)網(wǎng)、外網(wǎng)防護(hù)技術(shù)手段，降低網(wǎng)絡(luò)層面遭遇攻擊的幾率。啟用網(wǎng)絡(luò)接入的準(zhǔn)入機(jī)制，只有通過(guò)認(rèn)證的設(shè)備才允許進(jìn)行網(wǎng)絡(luò)訪問(wèn)；通過(guò)在網(wǎng)絡(luò)層部署反向路由檢測(cè)機(jī)制，阻斷惡意用戶(hù)使用仿冒地址發(fā)起攻擊；通過(guò)在網(wǎng)絡(luò)層部署MAC地址綁定機(jī)制，防止局域網(wǎng)內(nèi)的ARP攻擊；在業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)出口處啟用動(dòng)態(tài)路由協(xié)議的Peer認(rèn)證機(jī)制，防止非授權(quán)的設(shè)備參與進(jìn)路由廣播和分發(fā)中，造成網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)的異常。

1.2系統(tǒng)層

系統(tǒng)層的安全防護(hù)主要著眼于業(yè)務(wù)服務(wù)器、維護(hù)終端及辦公終端操作系統(tǒng)的安全措施部署。通過(guò)設(shè)置統(tǒng)一的補(bǔ)丁服務(wù)器、病毒防護(hù)服務(wù)器，實(shí)現(xiàn)各類(lèi)主機(jī)系統(tǒng)升級(jí)補(bǔ)丁和病毒特征更新包的統(tǒng)一管理、及時(shí)，避免因操作系統(tǒng)漏洞未及時(shí)修補(bǔ)造成網(wǎng)絡(luò)安全的發(fā)生；部署統(tǒng)一的集中認(rèn)證授權(quán)系統(tǒng)，實(shí)現(xiàn)基于手機(jī)短信認(rèn)證、令牌環(huán)認(rèn)證等方式的雙因子認(rèn)證機(jī)制，根據(jù)認(rèn)證的結(jié)果分配給用戶(hù)對(duì)應(yīng)的訪問(wèn)權(quán)限，確保登錄用戶(hù)所能進(jìn)行的操作合法性。

1.3應(yīng)用層

所有的業(yè)務(wù)提供能力最終都是體現(xiàn)為各種業(yè)務(wù)應(yīng)用，因此應(yīng)用層的防護(hù)能力高低，直接決定了一個(gè)業(yè)務(wù)網(wǎng)絡(luò)的安全程度。在應(yīng)用層面需要實(shí)現(xiàn)最小化服務(wù)的原則，對(duì)于與業(yè)務(wù)和維護(hù)沒(méi)有關(guān)聯(lián)的應(yīng)用服務(wù)端口，都應(yīng)予以關(guān)閉；針對(duì)所提供的Web應(yīng)用，應(yīng)該部署WAF設(shè)備，阻隔針對(duì)應(yīng)用的網(wǎng)絡(luò)攻擊行為。

1.4數(shù)據(jù)層

數(shù)據(jù)層次主要數(shù)據(jù)的加密傳輸和保存，客戶(hù)端和服務(wù)端之間使用SSL、SSH之類(lèi)的安全加密傳輸協(xié)議進(jìn)行數(shù)據(jù)的交互，確保數(shù)據(jù)在高強(qiáng)度的加密通道中進(jìn)行傳輸，不被篡改、不被截獲，通過(guò)對(duì)應(yīng)用系統(tǒng)的改造優(yōu)化，實(shí)現(xiàn)在服務(wù)器上存儲(chǔ)關(guān)鍵數(shù)據(jù)時(shí)使用MD5加密等方式進(jìn)行數(shù)據(jù)存儲(chǔ)，降低存儲(chǔ)文件外泄后數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。

2自動(dòng)化安全檢測(cè)能力

安全檢測(cè)是通過(guò)主動(dòng)自主的對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行審視，及早的發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的安全問(wèn)題，安全檢測(cè)技術(shù)能力的提升，有助于企業(yè)能夠更為快速準(zhǔn)備的定位網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)，通過(guò)及時(shí)采取安全防護(hù)措施，降低網(wǎng)絡(luò)安全隱患。

2.1漏洞掃描

漏洞掃描技術(shù)是在網(wǎng)絡(luò)安全檢測(cè)方面使用的最為廣泛的一種手段，通過(guò)自動(dòng)化的掃描工具和被檢測(cè)的系統(tǒng)進(jìn)行連接，并讀取內(nèi)置的漏洞數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)交互情況的匹配，以判斷目標(biāo)系統(tǒng)是否存在相應(yīng)的網(wǎng)絡(luò)安全漏洞。根據(jù)掃描對(duì)象的不同，漏洞掃描又可分為系統(tǒng)掃描和Web應(yīng)用掃描。為保證漏洞掃描技術(shù)手段部署的有效性，一方面需要考慮漏洞掃描工具選用的合理性，工具是否具備較為完備的安全漏洞數(shù)據(jù)庫(kù)，漏洞判定的原理依據(jù)是否合理有效，漏洞掃描任務(wù)執(zhí)行速度是否快速；另一方面需要系統(tǒng)化的考慮漏洞掃描工具的布放，通過(guò)集中管控，分級(jí)部署的方式，使得漏洞掃描工具能夠通過(guò)遠(yuǎn)程管理和控制，跨區(qū)域覆蓋到所有需檢測(cè)的網(wǎng)絡(luò)系統(tǒng)，自動(dòng)化執(zhí)行周期性的掃描任務(wù)，提升漏洞掃描工作任務(wù)執(zhí)行的效率。

2.2基線(xiàn)檢查

基線(xiàn)檢查系統(tǒng)通過(guò)遠(yuǎn)程登錄目標(biāo)系統(tǒng)或者通過(guò)在目標(biāo)主機(jī)上運(yùn)行采集腳本，獲取目標(biāo)主機(jī)的實(shí)際配置情況，與系統(tǒng)內(nèi)設(shè)置的各種系統(tǒng)、應(yīng)用的配置的標(biāo)準(zhǔn)項(xiàng)進(jìn)行對(duì)比核對(duì)，找出其中的差異，即不合規(guī)項(xiàng)，形成直觀的統(tǒng)計(jì)報(bào)表。

3全方位安全審計(jì)能力

通過(guò)安全審計(jì)技術(shù)手段，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)操作、流量特征行為進(jìn)行審核，發(fā)現(xiàn)網(wǎng)絡(luò)中所存在的違背安全策略的行為，根據(jù)審計(jì)的結(jié)果，做好事中處理或者事后補(bǔ)救的措施，保障企業(yè)的網(wǎng)絡(luò)安全。

3.1操作審計(jì)

各運(yùn)維部門(mén)負(fù)責(zé)運(yùn)維種類(lèi)繁多，數(shù)量龐大的各式通信網(wǎng)元，且參與運(yùn)維的人員眾多，但是相應(yīng)的運(yùn)維操作并沒(méi)有全部進(jìn)行審計(jì)管控，存在網(wǎng)絡(luò)安全管控上的盲點(diǎn)，因此完善在操作審計(jì)上的能力也是優(yōu)化網(wǎng)絡(luò)安全管理體系的重要環(huán)節(jié)。通過(guò)全覆蓋式操作審計(jì)系統(tǒng)的覆蓋，實(shí)現(xiàn)對(duì)現(xiàn)網(wǎng)設(shè)備及應(yīng)用的集中操作審計(jì)，對(duì)運(yùn)營(yíng)商日常運(yùn)維操作的情況進(jìn)行記錄，保存運(yùn)維人員的登錄賬號(hào)名，登錄時(shí)間，登錄結(jié)果，登錄IP地址以及操作帳號(hào)，操作時(shí)間，操作命令，操作結(jié)果等一系列操作信息，周期性的對(duì)操作的情況進(jìn)行審核，是否存在異常的操作行為，同時(shí)在發(fā)生安全事件時(shí)，也可通過(guò)操作審計(jì)系統(tǒng)進(jìn)行設(shè)備操作記錄的回溯，發(fā)現(xiàn)問(wèn)題關(guān)鍵點(diǎn)。

3.2流量分析

在運(yùn)營(yíng)網(wǎng)絡(luò)中不光存在著正常的業(yè)務(wù)流量，還有眾多的網(wǎng)絡(luò)攻擊、垃圾郵件、蠕蟲(chóng)病毒等產(chǎn)生的異常流量，對(duì)于這些異常流量的及時(shí)甄別、快速處置是優(yōu)化網(wǎng)絡(luò)安全環(huán)境的關(guān)鍵步驟。運(yùn)營(yíng)商應(yīng)該在流量分析的手段上進(jìn)行補(bǔ)充完善，形成以下幾個(gè)層次的分析能力：第一層次是基于SNMP協(xié)議，采集平臺(tái)網(wǎng)絡(luò)出口設(shè)備的端口進(jìn)出字節(jié)情況，構(gòu)造出日常的流量圖形情況，通過(guò)實(shí)施監(jiān)測(cè)發(fā)現(xiàn)流量突增突減的情況，可以粗略的判斷是否存在網(wǎng)絡(luò)攻擊行為，及時(shí)對(duì)異常行為做出響應(yīng)；第二層次是基于netflow技術(shù)，通過(guò)提取數(shù)據(jù)包的包頭，獲取IP地址、協(xié)議類(lèi)型、應(yīng)用端口、數(shù)據(jù)包進(jìn)出的設(shè)備端口、字節(jié)數(shù)等一系列信息，構(gòu)建出整個(gè)網(wǎng)絡(luò)流量的整體視圖，分析網(wǎng)絡(luò)中存在的異常流量情況并進(jìn)行對(duì)應(yīng)的溯源，準(zhǔn)確定位攻擊的源頭所在；第三層次是部署鏡像或者分光抓包的能力，在網(wǎng)絡(luò)安全事件發(fā)生時(shí)，具備快速響應(yīng)能力，及時(shí)獲取事件發(fā)生時(shí)，被攻擊網(wǎng)絡(luò)的交互數(shù)據(jù)包情況，通過(guò)對(duì)這些數(shù)據(jù)包的精準(zhǔn)分析，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的方式方法，采取針對(duì)性的防護(hù)措施進(jìn)行防御。

3.3日志分析

網(wǎng)絡(luò)中系統(tǒng)、應(yīng)用、安全設(shè)備所產(chǎn)生的記錄用戶(hù)的行為、系統(tǒng)狀態(tài)的日志，為網(wǎng)絡(luò)安全事件的處置提供了大量重要的信息，通過(guò)對(duì)來(lái)自網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的日志進(jìn)行關(guān)聯(lián)性分析，可以判定出攻擊者什么時(shí)候通過(guò)什么手段發(fā)起的哪種類(lèi)型的攻擊，攻擊影響的范圍是多大。因此，應(yīng)當(dāng)建立集中式的日志收集分析系統(tǒng)，提高自身在網(wǎng)絡(luò)安全事中的技術(shù)處理手段。

總之，網(wǎng)絡(luò)運(yùn)營(yíng)商在整個(gè)互聯(lián)網(wǎng)生態(tài)圈中提供最為基礎(chǔ)的通信管道，承擔(dān)著公共網(wǎng)絡(luò)的建設(shè)和維護(hù)的職責(zé)，因此一旦運(yùn)營(yíng)商的網(wǎng)絡(luò)遭遇黑客的惡意攻擊或者發(fā)生其他類(lèi)似的安全問(wèn)題，所影響到的互聯(lián)網(wǎng)用戶(hù)范圍非常廣，造成的社會(huì)影響非常大。技術(shù)手段作為網(wǎng)絡(luò)安全的重中之重，本文對(duì)其進(jìn)行了重點(diǎn)探討，希望能對(duì)未來(lái)網(wǎng)絡(luò)安全的發(fā)展貢獻(xiàn)一定的力量。

作者:楊鈞 單位:烏魯木齊69022部隊(duì)

引用：

[1]上官曉麗.國(guó)際信息安全管理標(biāo)準(zhǔn)的相關(guān)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2014.

[2]侯繼江.中國(guó)網(wǎng)絡(luò)安全防護(hù)工作開(kāi)展思路及經(jīng)驗(yàn)總結(jié)[J].電信網(wǎng)技術(shù)，2011.

[3]楊雪梅.基于PPDR模型的關(guān)鍵應(yīng)用信息系統(tǒng)防御體系[J].計(jì)算機(jī)與應(yīng)用化學(xué)，2015.

[4]楊雪梅.基于PPDR模型的關(guān)鍵應(yīng)用信息系統(tǒng)防御體系[J].計(jì)算機(jī)與應(yīng)用化學(xué)，2014.

[5]付云霞.建立企業(yè)網(wǎng)絡(luò)安全管理體系探討[J].信息系統(tǒng)工程，2013.