導語：網絡安全技術優(yōu)化分析一文來源于網友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

0引言

近幾年中，網絡運營商逐步認識到網絡安全的重要性，通過部署防火墻、入侵防護設備、VPN等一系列的技術手段和措施來提高電信網絡的安全性，但是整體的效果并不理想，由于網絡安全問題導致的網絡癱瘓、流量異常、數(shù)據(jù)泄露等情況仍然時有發(fā)生，而造成這些安全事件根本性的原因很大一部分是安全防護技術手段的缺失。比如沒有形成全公司統(tǒng)一的網絡安全技術實施總體規(guī)劃，在實際的技術部署中缺乏縱深一體化的防護，在系統(tǒng)規(guī)劃、設計、建設階段缺乏對于網絡安全技術防護方面的考慮，導致部分系統(tǒng)中沒有部署必要的安全防護設備；而部分系統(tǒng)中即使部署了安全設備但是策略配置不合理，導致相應的系統(tǒng)弱點完全暴露在公眾網絡中；網絡層沒有統(tǒng)一采用MAC綁定52的策略，網內時常發(fā)生ARP攻擊情況；系統(tǒng)口令認證方式單一，容易被破解；運行系統(tǒng)上的服務端口沒有實施最小化的控制。此外在檢測手段上，漏洞檢測設備分布零星，沒有形成遠程控制、覆蓋全系統(tǒng)的部署方式，檢測的效率相對低下。在審計技術手段上，部分關鍵業(yè)務系統(tǒng)缺乏操作審計的管控能力，對于流量分析缺少數(shù)據(jù)包分析能力。因此，本文從層次化安全防護部署、自動化安全檢測能力、全方位安全審計能力三個方面對網絡安全技術手段進行分析。

1層次化安全防護部署

安全防護的目的是通過系統(tǒng)加固、安全設備部署等網絡安全技術手段，實現(xiàn)對惡意或非惡意攻擊行為的防御，根據(jù)防護對象的不同，又可以分成四個維度。

1.1網絡層

網絡層的安全防護主要通過在網絡設備層面設置安全加固措施，保障數(shù)據(jù)傳送的底層網絡能夠持續(xù)穩(wěn)定的運行。首先需要保證網絡拓撲的合理性，增強網絡設計時的健壯性。在網絡架構上保證內外網的物理隔離，防止外網的安全威脅蔓延至內網中；確保網絡具備冗余倒換能力，不存在網絡的單點故障；將不同的業(yè)務、不同的用戶在網絡層面進行隔離，降低用戶非授權訪問的可能性；在關鍵網絡出口處部署防火墻設備或者設置訪問控制列表，限定外部網絡與受控業(yè)務系統(tǒng)之間可以進行交互的應用類型；避免網絡設計中存在可旁路繞過安全防護設備的鏈路。其次啟用相應的內網、外網防護技術手段，降低網絡層面遭遇攻擊的幾率。啟用網絡接入的準入機制，只有通過認證的設備才允許進行網絡訪問；通過在網絡層部署反向路由檢測機制，阻斷惡意用戶使用仿冒地址發(fā)起攻擊；通過在網絡層部署MAC地址綁定機制，防止局域網內的ARP攻擊；在業(yè)務系統(tǒng)的網絡出口處啟用動態(tài)路由協(xié)議的Peer認證機制，防止非授權的設備參與進路由廣播和分發(fā)中，造成網絡數(shù)據(jù)轉發(fā)的異常。

1.2系統(tǒng)層

系統(tǒng)層的安全防護主要著眼于業(yè)務服務器、維護終端及辦公終端操作系統(tǒng)的安全措施部署。通過設置統(tǒng)一的補丁服務器、病毒防護服務器，實現(xiàn)各類主機系統(tǒng)升級補丁和病毒特征更新包的統(tǒng)一管理、及時，避免因操作系統(tǒng)漏洞未及時修補造成網絡安全的發(fā)生；部署統(tǒng)一的集中認證授權系統(tǒng)，實現(xiàn)基于手機短信認證、令牌環(huán)認證等方式的雙因子認證機制，根據(jù)認證的結果分配給用戶對應的訪問權限，確保登錄用戶所能進行的操作合法性。

1.3應用層

所有的業(yè)務提供能力最終都是體現(xiàn)為各種業(yè)務應用，因此應用層的防護能力高低，直接決定了一個業(yè)務網絡的安全程度。在應用層面需要實現(xiàn)最小化服務的原則，對于與業(yè)務和維護沒有關聯(lián)的應用服務端口，都應予以關閉；針對所提供的Web應用，應該部署WAF設備，阻隔針對應用的網絡攻擊行為。

1.4數(shù)據(jù)層

數(shù)據(jù)層次主要數(shù)據(jù)的加密傳輸和保存，客戶端和服務端之間使用SSL、SSH之類的安全加密傳輸協(xié)議進行數(shù)據(jù)的交互，確保數(shù)據(jù)在高強度的加密通道中進行傳輸，不被篡改、不被截獲，通過對應用系統(tǒng)的改造優(yōu)化，實現(xiàn)在服務器上存儲關鍵數(shù)據(jù)時使用MD5加密等方式進行數(shù)據(jù)存儲，降低存儲文件外泄后數(shù)據(jù)泄漏的風險。

2自動化安全檢測能力

安全檢測是通過主動自主的對網絡系統(tǒng)進行審視，及早的發(fā)現(xiàn)網絡系統(tǒng)中存在的安全問題，安全檢測技術能力的提升，有助于企業(yè)能夠更為快速準備的定位網絡系統(tǒng)的薄弱環(huán)節(jié)，通過及時采取安全防護措施，降低網絡安全隱患。

2.1漏洞掃描

漏洞掃描技術是在網絡安全檢測方面使用的最為廣泛的一種手段，通過自動化的掃描工具和被檢測的系統(tǒng)進行連接，并讀取內置的漏洞數(shù)據(jù)庫進行數(shù)據(jù)交互情況的匹配，以判斷目標系統(tǒng)是否存在相應的網絡安全漏洞。根據(jù)掃描對象的不同，漏洞掃描又可分為系統(tǒng)掃描和Web應用掃描。為保證漏洞掃描技術手段部署的有效性，一方面需要考慮漏洞掃描工具選用的合理性，工具是否具備較為完備的安全漏洞數(shù)據(jù)庫，漏洞判定的原理依據(jù)是否合理有效，漏洞掃描任務執(zhí)行速度是否快速；另一方面需要系統(tǒng)化的考慮漏洞掃描工具的布放，通過集中管控，分級部署的方式，使得漏洞掃描工具能夠通過遠程管理和控制，跨區(qū)域覆蓋到所有需檢測的網絡系統(tǒng)，自動化執(zhí)行周期性的掃描任務，提升漏洞掃描工作任務執(zhí)行的效率。

2.2基線檢查

基線檢查系統(tǒng)通過遠程登錄目標系統(tǒng)或者通過在目標主機上運行采集腳本，獲取目標主機的實際配置情況，與系統(tǒng)內設置的各種系統(tǒng)、應用的配置的標準項進行對比核對，找出其中的差異，即不合規(guī)項，形成直觀的統(tǒng)計報表。

3全方位安全審計能力

通過安全審計技術手段，實現(xiàn)對網絡操作、流量特征行為進行審核，發(fā)現(xiàn)網絡中所存在的違背安全策略的行為，根據(jù)審計的結果，做好事中處理或者事后補救的措施，保障企業(yè)的網絡安全。

3.1操作審計

各運維部門負責運維種類繁多，數(shù)量龐大的各式通信網元，且參與運維的人員眾多，但是相應的運維操作并沒有全部進行審計管控，存在網絡安全管控上的盲點，因此完善在操作審計上的能力也是優(yōu)化網絡安全管理體系的重要環(huán)節(jié)。通過全覆蓋式操作審計系統(tǒng)的覆蓋，實現(xiàn)對現(xiàn)網設備及應用的集中操作審計，對運營商日常運維操作的情況進行記錄，保存運維人員的登錄賬號名，登錄時間，登錄結果，登錄IP地址以及操作帳號，操作時間，操作命令，操作結果等一系列操作信息，周期性的對操作的情況進行審核，是否存在異常的操作行為，同時在發(fā)生安全事件時，也可通過操作審計系統(tǒng)進行設備操作記錄的回溯，發(fā)現(xiàn)問題關鍵點。

3.2流量分析

在運營網絡中不光存在著正常的業(yè)務流量，還有眾多的網絡攻擊、垃圾郵件、蠕蟲病毒等產生的異常流量，對于這些異常流量的及時甄別、快速處置是優(yōu)化網絡安全環(huán)境的關鍵步驟。運營商應該在流量分析的手段上進行補充完善，形成以下幾個層次的分析能力：第一層次是基于SNMP協(xié)議，采集平臺網絡出口設備的端口進出字節(jié)情況，構造出日常的流量圖形情況，通過實施監(jiān)測發(fā)現(xiàn)流量突增突減的情況，可以粗略的判斷是否存在網絡攻擊行為，及時對異常行為做出響應；第二層次是基于netflow技術，通過提取數(shù)據(jù)包的包頭，獲取IP地址、協(xié)議類型、應用端口、數(shù)據(jù)包進出的設備端口、字節(jié)數(shù)等一系列信息，構建出整個網絡流量的整體視圖，分析網絡中存在的異常流量情況并進行對應的溯源，準確定位攻擊的源頭所在；第三層次是部署鏡像或者分光抓包的能力，在網絡安全事件發(fā)生時，具備快速響應能力，及時獲取事件發(fā)生時，被攻擊網絡的交互數(shù)據(jù)包情況，通過對這些數(shù)據(jù)包的精準分析，發(fā)現(xiàn)網絡攻擊的方式方法，采取針對性的防護措施進行防御。

3.3日志分析

網絡中系統(tǒng)、應用、安全設備所產生的記錄用戶的行為、系統(tǒng)狀態(tài)的日志，為網絡安全事件的處置提供了大量重要的信息，通過對來自網絡中各種設備和應用的日志進行關聯(lián)性分析，可以判定出攻擊者什么時候通過什么手段發(fā)起的哪種類型的攻擊，攻擊影響的范圍是多大。因此，應當建立集中式的日志收集分析系統(tǒng)，提高自身在網絡安全事中的技術處理手段。

總之，網絡運營商在整個互聯(lián)網生態(tài)圈中提供最為基礎的通信管道，承擔著公共網絡的建設和維護的職責，因此一旦運營商的網絡遭遇黑客的惡意攻擊或者發(fā)生其他類似的安全問題，所影響到的互聯(lián)網用戶范圍非常廣，造成的社會影響非常大。技術手段作為網絡安全的重中之重，本文對其進行了重點探討，希望能對未來網絡安全的發(fā)展貢獻一定的力量。

作者:楊鈞 單位:烏魯木齊69022部隊

引用：

[1]上官曉麗.國際信息安全管理標準的相關研究[J].信息技術與標準化，2014.

[2]侯繼江.中國網絡安全防護工作開展思路及經驗總結[J].電信網技術，2011.

[3]楊雪梅.基于PPDR模型的關鍵應用信息系統(tǒng)防御體系[J].計算機與應用化學，2015.

[4]楊雪梅.基于PPDR模型的關鍵應用信息系統(tǒng)防御體系[J].計算機與應用化學，2014.

[5]付云霞.建立企業(yè)網絡安全管理體系探討[J].信息系統(tǒng)工程，2013.