導(dǎo)語：網(wǎng)絡(luò)安全技術(shù)優(yōu)化分析一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

0引言

近幾年中，網(wǎng)絡(luò)運營商逐步認(rèn)識到網(wǎng)絡(luò)安全的重要性，通過部署防火墻、入侵防護設(shè)備、VPN等一系列的技術(shù)手段和措施來提高電信網(wǎng)絡(luò)的安全性，但是整體的效果并不理想，由于網(wǎng)絡(luò)安全問題導(dǎo)致的網(wǎng)絡(luò)癱瘓、流量異常、數(shù)據(jù)泄露等情況仍然時有發(fā)生，而造成這些安全事件根本性的原因很大一部分是安全防護技術(shù)手段的缺失。比如沒有形成全公司統(tǒng)一的網(wǎng)絡(luò)安全技術(shù)實施總體規(guī)劃，在實際的技術(shù)部署中缺乏縱深一體化的防護，在系統(tǒng)規(guī)劃、設(shè)計、建設(shè)階段缺乏對于網(wǎng)絡(luò)安全技術(shù)防護方面的考慮，導(dǎo)致部分系統(tǒng)中沒有部署必要的安全防護設(shè)備；而部分系統(tǒng)中即使部署了安全設(shè)備但是策略配置不合理，導(dǎo)致相應(yīng)的系統(tǒng)弱點完全暴露在公眾網(wǎng)絡(luò)中；網(wǎng)絡(luò)層沒有統(tǒng)一采用MAC綁定52的策略，網(wǎng)內(nèi)時常發(fā)生ARP攻擊情況；系統(tǒng)口令認(rèn)證方式單一，容易被破解；運行系統(tǒng)上的服務(wù)端口沒有實施最小化的控制。此外在檢測手段上，漏洞檢測設(shè)備分布零星，沒有形成遠程控制、覆蓋全系統(tǒng)的部署方式，檢測的效率相對低下。在審計技術(shù)手段上，部分關(guān)鍵業(yè)務(wù)系統(tǒng)缺乏操作審計的管控能力，對于流量分析缺少數(shù)據(jù)包分析能力。因此，本文從層次化安全防護部署、自動化安全檢測能力、全方位安全審計能力三個方面對網(wǎng)絡(luò)安全技術(shù)手段進行分析。

1層次化安全防護部署

安全防護的目的是通過系統(tǒng)加固、安全設(shè)備部署等網(wǎng)絡(luò)安全技術(shù)手段，實現(xiàn)對惡意或非惡意攻擊行為的防御，根據(jù)防護對象的不同，又可以分成四個維度。

1.1網(wǎng)絡(luò)層

網(wǎng)絡(luò)層的安全防護主要通過在網(wǎng)絡(luò)設(shè)備層面設(shè)置安全加固措施，保障數(shù)據(jù)傳送的底層網(wǎng)絡(luò)能夠持續(xù)穩(wěn)定的運行。首先需要保證網(wǎng)絡(luò)拓?fù)涞暮侠硇裕鰪娋W(wǎng)絡(luò)設(shè)計時的健壯性。在網(wǎng)絡(luò)架構(gòu)上保證內(nèi)外網(wǎng)的物理隔離，防止外網(wǎng)的安全威脅蔓延至內(nèi)網(wǎng)中；確保網(wǎng)絡(luò)具備冗余倒換能力，不存在網(wǎng)絡(luò)的單點故障；將不同的業(yè)務(wù)、不同的用戶在網(wǎng)絡(luò)層面進行隔離，降低用戶非授權(quán)訪問的可能性；在關(guān)鍵網(wǎng)絡(luò)出口處部署防火墻設(shè)備或者設(shè)置訪問控制列表，限定外部網(wǎng)絡(luò)與受控業(yè)務(wù)系統(tǒng)之間可以進行交互的應(yīng)用類型；避免網(wǎng)絡(luò)設(shè)計中存在可旁路繞過安全防護設(shè)備的鏈路。其次啟用相應(yīng)的內(nèi)網(wǎng)、外網(wǎng)防護技術(shù)手段，降低網(wǎng)絡(luò)層面遭遇攻擊的幾率。啟用網(wǎng)絡(luò)接入的準(zhǔn)入機制，只有通過認(rèn)證的設(shè)備才允許進行網(wǎng)絡(luò)訪問；通過在網(wǎng)絡(luò)層部署反向路由檢測機制，阻斷惡意用戶使用仿冒地址發(fā)起攻擊；通過在網(wǎng)絡(luò)層部署MAC地址綁定機制，防止局域網(wǎng)內(nèi)的ARP攻擊；在業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)出口處啟用動態(tài)路由協(xié)議的Peer認(rèn)證機制，防止非授權(quán)的設(shè)備參與進路由廣播和分發(fā)中，造成網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)的異常。

1.2系統(tǒng)層

系統(tǒng)層的安全防護主要著眼于業(yè)務(wù)服務(wù)器、維護終端及辦公終端操作系統(tǒng)的安全措施部署。通過設(shè)置統(tǒng)一的補丁服務(wù)器、病毒防護服務(wù)器，實現(xiàn)各類主機系統(tǒng)升級補丁和病毒特征更新包的統(tǒng)一管理、及時，避免因操作系統(tǒng)漏洞未及時修補造成網(wǎng)絡(luò)安全的發(fā)生；部署統(tǒng)一的集中認(rèn)證授權(quán)系統(tǒng)，實現(xiàn)基于手機短信認(rèn)證、令牌環(huán)認(rèn)證等方式的雙因子認(rèn)證機制，根據(jù)認(rèn)證的結(jié)果分配給用戶對應(yīng)的訪問權(quán)限，確保登錄用戶所能進行的操作合法性。

1.3應(yīng)用層

所有的業(yè)務(wù)提供能力最終都是體現(xiàn)為各種業(yè)務(wù)應(yīng)用，因此應(yīng)用層的防護能力高低，直接決定了一個業(yè)務(wù)網(wǎng)絡(luò)的安全程度。在應(yīng)用層面需要實現(xiàn)最小化服務(wù)的原則，對于與業(yè)務(wù)和維護沒有關(guān)聯(lián)的應(yīng)用服務(wù)端口，都應(yīng)予以關(guān)閉；針對所提供的Web應(yīng)用，應(yīng)該部署WAF設(shè)備，阻隔針對應(yīng)用的網(wǎng)絡(luò)攻擊行為。

1.4數(shù)據(jù)層

數(shù)據(jù)層次主要數(shù)據(jù)的加密傳輸和保存，客戶端和服務(wù)端之間使用SSL、SSH之類的安全加密傳輸協(xié)議進行數(shù)據(jù)的交互，確保數(shù)據(jù)在高強度的加密通道中進行傳輸，不被篡改、不被截獲，通過對應(yīng)用系統(tǒng)的改造優(yōu)化，實現(xiàn)在服務(wù)器上存儲關(guān)鍵數(shù)據(jù)時使用MD5加密等方式進行數(shù)據(jù)存儲，降低存儲文件外泄后數(shù)據(jù)泄漏的風(fēng)險。

2自動化安全檢測能力

安全檢測是通過主動自主的對網(wǎng)絡(luò)系統(tǒng)進行審視，及早的發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的安全問題，安全檢測技術(shù)能力的提升，有助于企業(yè)能夠更為快速準(zhǔn)備的定位網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)，通過及時采取安全防護措施，降低網(wǎng)絡(luò)安全隱患。

2.1漏洞掃描

漏洞掃描技術(shù)是在網(wǎng)絡(luò)安全檢測方面使用的最為廣泛的一種手段，通過自動化的掃描工具和被檢測的系統(tǒng)進行連接，并讀取內(nèi)置的漏洞數(shù)據(jù)庫進行數(shù)據(jù)交互情況的匹配，以判斷目標(biāo)系統(tǒng)是否存在相應(yīng)的網(wǎng)絡(luò)安全漏洞。根據(jù)掃描對象的不同，漏洞掃描又可分為系統(tǒng)掃描和Web應(yīng)用掃描。為保證漏洞掃描技術(shù)手段部署的有效性，一方面需要考慮漏洞掃描工具選用的合理性，工具是否具備較為完備的安全漏洞數(shù)據(jù)庫，漏洞判定的原理依據(jù)是否合理有效，漏洞掃描任務(wù)執(zhí)行速度是否快速；另一方面需要系統(tǒng)化的考慮漏洞掃描工具的布放，通過集中管控，分級部署的方式，使得漏洞掃描工具能夠通過遠程管理和控制，跨區(qū)域覆蓋到所有需檢測的網(wǎng)絡(luò)系統(tǒng)，自動化執(zhí)行周期性的掃描任務(wù)，提升漏洞掃描工作任務(wù)執(zhí)行的效率。

2.2基線檢查

基線檢查系統(tǒng)通過遠程登錄目標(biāo)系統(tǒng)或者通過在目標(biāo)主機上運行采集腳本，獲取目標(biāo)主機的實際配置情況，與系統(tǒng)內(nèi)設(shè)置的各種系統(tǒng)、應(yīng)用的配置的標(biāo)準(zhǔn)項進行對比核對，找出其中的差異，即不合規(guī)項，形成直觀的統(tǒng)計報表。

3全方位安全審計能力

通過安全審計技術(shù)手段，實現(xiàn)對網(wǎng)絡(luò)操作、流量特征行為進行審核，發(fā)現(xiàn)網(wǎng)絡(luò)中所存在的違背安全策略的行為，根據(jù)審計的結(jié)果，做好事中處理或者事后補救的措施，保障企業(yè)的網(wǎng)絡(luò)安全。

3.1操作審計

各運維部門負(fù)責(zé)運維種類繁多，數(shù)量龐大的各式通信網(wǎng)元，且參與運維的人員眾多，但是相應(yīng)的運維操作并沒有全部進行審計管控，存在網(wǎng)絡(luò)安全管控上的盲點，因此完善在操作審計上的能力也是優(yōu)化網(wǎng)絡(luò)安全管理體系的重要環(huán)節(jié)。通過全覆蓋式操作審計系統(tǒng)的覆蓋，實現(xiàn)對現(xiàn)網(wǎng)設(shè)備及應(yīng)用的集中操作審計，對運營商日常運維操作的情況進行記錄，保存運維人員的登錄賬號名，登錄時間，登錄結(jié)果，登錄IP地址以及操作帳號，操作時間，操作命令，操作結(jié)果等一系列操作信息，周期性的對操作的情況進行審核，是否存在異常的操作行為，同時在發(fā)生安全事件時，也可通過操作審計系統(tǒng)進行設(shè)備操作記錄的回溯，發(fā)現(xiàn)問題關(guān)鍵點。

3.2流量分析

在運營網(wǎng)絡(luò)中不光存在著正常的業(yè)務(wù)流量，還有眾多的網(wǎng)絡(luò)攻擊、垃圾郵件、蠕蟲病毒等產(chǎn)生的異常流量，對于這些異常流量的及時甄別、快速處置是優(yōu)化網(wǎng)絡(luò)安全環(huán)境的關(guān)鍵步驟。運營商應(yīng)該在流量分析的手段上進行補充完善，形成以下幾個層次的分析能力：第一層次是基于SNMP協(xié)議，采集平臺網(wǎng)絡(luò)出口設(shè)備的端口進出字節(jié)情況，構(gòu)造出日常的流量圖形情況，通過實施監(jiān)測發(fā)現(xiàn)流量突增突減的情況，可以粗略的判斷是否存在網(wǎng)絡(luò)攻擊行為，及時對異常行為做出響應(yīng)；第二層次是基于netflow技術(shù)，通過提取數(shù)據(jù)包的包頭，獲取IP地址、協(xié)議類型、應(yīng)用端口、數(shù)據(jù)包進出的設(shè)備端口、字節(jié)數(shù)等一系列信息，構(gòu)建出整個網(wǎng)絡(luò)流量的整體視圖，分析網(wǎng)絡(luò)中存在的異常流量情況并進行對應(yīng)的溯源，準(zhǔn)確定位攻擊的源頭所在；第三層次是部署鏡像或者分光抓包的能力，在網(wǎng)絡(luò)安全事件發(fā)生時，具備快速響應(yīng)能力，及時獲取事件發(fā)生時，被攻擊網(wǎng)絡(luò)的交互數(shù)據(jù)包情況，通過對這些數(shù)據(jù)包的精準(zhǔn)分析，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的方式方法，采取針對性的防護措施進行防御。

3.3日志分析

網(wǎng)絡(luò)中系統(tǒng)、應(yīng)用、安全設(shè)備所產(chǎn)生的記錄用戶的行為、系統(tǒng)狀態(tài)的日志，為網(wǎng)絡(luò)安全事件的處置提供了大量重要的信息，通過對來自網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的日志進行關(guān)聯(lián)性分析，可以判定出攻擊者什么時候通過什么手段發(fā)起的哪種類型的攻擊，攻擊影響的范圍是多大。因此，應(yīng)當(dāng)建立集中式的日志收集分析系統(tǒng)，提高自身在網(wǎng)絡(luò)安全事中的技術(shù)處理手段。

總之，網(wǎng)絡(luò)運營商在整個互聯(lián)網(wǎng)生態(tài)圈中提供最為基礎(chǔ)的通信管道，承擔(dān)著公共網(wǎng)絡(luò)的建設(shè)和維護的職責(zé)，因此一旦運營商的網(wǎng)絡(luò)遭遇黑客的惡意攻擊或者發(fā)生其他類似的安全問題，所影響到的互聯(lián)網(wǎng)用戶范圍非常廣，造成的社會影響非常大。技術(shù)手段作為網(wǎng)絡(luò)安全的重中之重，本文對其進行了重點探討，希望能對未來網(wǎng)絡(luò)安全的發(fā)展貢獻一定的力量。

作者:楊鈞 單位:烏魯木齊69022部隊

引用：

[1]上官曉麗.國際信息安全管理標(biāo)準(zhǔn)的相關(guān)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2014.

[2]侯繼江.中國網(wǎng)絡(luò)安全防護工作開展思路及經(jīng)驗總結(jié)[J].電信網(wǎng)技術(shù)，2011.

[3]楊雪梅.基于PPDR模型的關(guān)鍵應(yīng)用信息系統(tǒng)防御體系[J].計算機與應(yīng)用化學(xué)，2015.

[4]楊雪梅.基于PPDR模型的關(guān)鍵應(yīng)用信息系統(tǒng)防御體系[J].計算機與應(yīng)用化學(xué)，2014.

[5]付云霞.建立企業(yè)網(wǎng)絡(luò)安全管理體系探討[J].信息系統(tǒng)工程，2013.