導語：網絡安全技術優化分析一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

0引言

近幾年中，網絡運營商逐步認識到網絡安全的重要性，通過部署防火墻、入侵防護設備、VPN等一系列的技術手段和措施來提高電信網絡的安全性，但是整體的效果并不理想，由于網絡安全問題導致的網絡癱瘓、流量異常、數據泄露等情況仍然時有發生，而造成這些安全事件根本性的原因很大一部分是安全防護技術手段的缺失。比如沒有形成全公司統一的網絡安全技術實施總體規劃，在實際的技術部署中缺乏縱深一體化的防護，在系統規劃、設計、建設階段缺乏對于網絡安全技術防護方面的考慮，導致部分系統中沒有部署必要的安全防護設備；而部分系統中即使部署了安全設備但是策略配置不合理，導致相應的系統弱點完全暴露在公眾網絡中；網絡層沒有統一采用MAC綁定52的策略，網內時常發生ARP攻擊情況；系統口令認證方式單一，容易被破解；運行系統上的服務端口沒有實施最小化的控制。此外在檢測手段上，漏洞檢測設備分布零星，沒有形成遠程控制、覆蓋全系統的部署方式，檢測的效率相對低下。在審計技術手段上，部分關鍵業務系統缺乏操作審計的管控能力，對于流量分析缺少數據包分析能力。因此，本文從層次化安全防護部署、自動化安全檢測能力、全方位安全審計能力三個方面對網絡安全技術手段進行分析。

1層次化安全防護部署

安全防護的目的是通過系統加固、安全設備部署等網絡安全技術手段，實現對惡意或非惡意攻擊行為的防御，根據防護對象的不同，又可以分成四個維度。

1.1網絡層

網絡層的安全防護主要通過在網絡設備層面設置安全加固措施，保障數據傳送的底層網絡能夠持續穩定的運行。首先需要保證網絡拓撲的合理性，增強網絡設計時的健壯性。在網絡架構上保證內外網的物理隔離，防止外網的安全威脅蔓延至內網中；確保網絡具備冗余倒換能力，不存在網絡的單點故障；將不同的業務、不同的用戶在網絡層面進行隔離，降低用戶非授權訪問的可能性；在關鍵網絡出口處部署防火墻設備或者設置訪問控制列表，限定外部網絡與受控業務系統之間可以進行交互的應用類型；避免網絡設計中存在可旁路繞過安全防護設備的鏈路。其次啟用相應的內網、外網防護技術手段，降低網絡層面遭遇攻擊的幾率。啟用網絡接入的準入機制，只有通過認證的設備才允許進行網絡訪問；通過在網絡層部署反向路由檢測機制，阻斷惡意用戶使用仿冒地址發起攻擊；通過在網絡層部署MAC地址綁定機制，防止局域網內的ARP攻擊；在業務系統的網絡出口處啟用動態路由協議的Peer認證機制，防止非授權的設備參與進路由廣播和分發中，造成網絡數據轉發的異常。

1.2系統層

系統層的安全防護主要著眼于業務服務器、維護終端及辦公終端操作系統的安全措施部署。通過設置統一的補丁服務器、病毒防護服務器，實現各類主機系統升級補丁和病毒特征更新包的統一管理、及時，避免因操作系統漏洞未及時修補造成網絡安全的發生；部署統一的集中認證授權系統，實現基于手機短信認證、令牌環認證等方式的雙因子認證機制，根據認證的結果分配給用戶對應的訪問權限，確保登錄用戶所能進行的操作合法性。

1.3應用層

所有的業務提供能力最終都是體現為各種業務應用，因此應用層的防護能力高低，直接決定了一個業務網絡的安全程度。在應用層面需要實現最小化服務的原則，對于與業務和維護沒有關聯的應用服務端口，都應予以關閉；針對所提供的Web應用，應該部署WAF設備，阻隔針對應用的網絡攻擊行為。

1.4數據層

數據層次主要數據的加密傳輸和保存，客戶端和服務端之間使用SSL、SSH之類的安全加密傳輸協議進行數據的交互，確保數據在高強度的加密通道中進行傳輸，不被篡改、不被截獲，通過對應用系統的改造優化，實現在服務器上存儲關鍵數據時使用MD5加密等方式進行數據存儲，降低存儲文件外泄后數據泄漏的風險。

2自動化安全檢測能力

安全檢測是通過主動自主的對網絡系統進行審視，及早的發現網絡系統中存在的安全問題，安全檢測技術能力的提升，有助于企業能夠更為快速準備的定位網絡系統的薄弱環節，通過及時采取安全防護措施，降低網絡安全隱患。

2.1漏洞掃描

漏洞掃描技術是在網絡安全檢測方面使用的最為廣泛的一種手段，通過自動化的掃描工具和被檢測的系統進行連接，并讀取內置的漏洞數據庫進行數據交互情況的匹配，以判斷目標系統是否存在相應的網絡安全漏洞。根據掃描對象的不同，漏洞掃描又可分為系統掃描和Web應用掃描。為保證漏洞掃描技術手段部署的有效性，一方面需要考慮漏洞掃描工具選用的合理性，工具是否具備較為完備的安全漏洞數據庫，漏洞判定的原理依據是否合理有效，漏洞掃描任務執行速度是否快速；另一方面需要系統化的考慮漏洞掃描工具的布放，通過集中管控，分級部署的方式，使得漏洞掃描工具能夠通過遠程管理和控制，跨區域覆蓋到所有需檢測的網絡系統，自動化執行周期性的掃描任務，提升漏洞掃描工作任務執行的效率。

2.2基線檢查

基線檢查系統通過遠程登錄目標系統或者通過在目標主機上運行采集腳本，獲取目標主機的實際配置情況，與系統內設置的各種系統、應用的配置的標準項進行對比核對，找出其中的差異，即不合規項，形成直觀的統計報表。

3全方位安全審計能力

通過安全審計技術手段，實現對網絡操作、流量特征行為進行審核，發現網絡中所存在的違背安全策略的行為，根據審計的結果，做好事中處理或者事后補救的措施，保障企業的網絡安全。

3.1操作審計

各運維部門負責運維種類繁多，數量龐大的各式通信網元，且參與運維的人員眾多，但是相應的運維操作并沒有全部進行審計管控，存在網絡安全管控上的盲點，因此完善在操作審計上的能力也是優化網絡安全管理體系的重要環節。通過全覆蓋式操作審計系統的覆蓋，實現對現網設備及應用的集中操作審計，對運營商日常運維操作的情況進行記錄，保存運維人員的登錄賬號名，登錄時間，登錄結果，登錄IP地址以及操作帳號，操作時間，操作命令，操作結果等一系列操作信息，周期性的對操作的情況進行審核，是否存在異常的操作行為，同時在發生安全事件時，也可通過操作審計系統進行設備操作記錄的回溯，發現問題關鍵點。

3.2流量分析

在運營網絡中不光存在著正常的業務流量，還有眾多的網絡攻擊、垃圾郵件、蠕蟲病毒等產生的異常流量，對于這些異常流量的及時甄別、快速處置是優化網絡安全環境的關鍵步驟。運營商應該在流量分析的手段上進行補充完善，形成以下幾個層次的分析能力：第一層次是基于SNMP協議，采集平臺網絡出口設備的端口進出字節情況，構造出日常的流量圖形情況，通過實施監測發現流量突增突減的情況，可以粗略的判斷是否存在網絡攻擊行為，及時對異常行為做出響應；第二層次是基于netflow技術，通過提取數據包的包頭，獲取IP地址、協議類型、應用端口、數據包進出的設備端口、字節數等一系列信息，構建出整個網絡流量的整體視圖，分析網絡中存在的異常流量情況并進行對應的溯源，準確定位攻擊的源頭所在；第三層次是部署鏡像或者分光抓包的能力，在網絡安全事件發生時，具備快速響應能力，及時獲取事件發生時，被攻擊網絡的交互數據包情況，通過對這些數據包的精準分析，發現網絡攻擊的方式方法，采取針對性的防護措施進行防御。

3.3日志分析

網絡中系統、應用、安全設備所產生的記錄用戶的行為、系統狀態的日志，為網絡安全事件的處置提供了大量重要的信息，通過對來自網絡中各種設備和應用的日志進行關聯性分析，可以判定出攻擊者什么時候通過什么手段發起的哪種類型的攻擊，攻擊影響的范圍是多大。因此，應當建立集中式的日志收集分析系統，提高自身在網絡安全事中的技術處理手段。

總之，網絡運營商在整個互聯網生態圈中提供最為基礎的通信管道，承擔著公共網絡的建設和維護的職責，因此一旦運營商的網絡遭遇黑客的惡意攻擊或者發生其他類似的安全問題，所影響到的互聯網用戶范圍非常廣，造成的社會影響非常大。技術手段作為網絡安全的重中之重，本文對其進行了重點探討，希望能對未來網絡安全的發展貢獻一定的力量。

作者:楊鈞 單位:烏魯木齊69022部隊

引用：

[1]上官曉麗.國際信息安全管理標準的相關研究[J].信息技術與標準化，2014.

[2]侯繼江.中國網絡安全防護工作開展思路及經驗總結[J].電信網技術，2011.

[3]楊雪梅.基于PPDR模型的關鍵應用信息系統防御體系[J].計算機與應用化學，2015.

[4]楊雪梅.基于PPDR模型的關鍵應用信息系統防御體系[J].計算機與應用化學，2014.

[5]付云霞.建立企業網絡安全管理體系探討[J].信息系統工程，2013.