基于主动防御的网络安全基础设计可信技术保障体系探讨

来源:用户上传      作者:

　　摘 要 随着“互联网+”计划的推进，各行各业对于基础信息网络以及网络系统的依赖性也越来越大，其面临的网络安全威胁也越来越严峻。传统的网络安全防护手段是基于封堵查杀的被动防护手段，但目前已无法满足重要基础设施网络的安全需求。针对该问题，本文主要研究在主动防御的网络安全基础上可信技术的保障体系分析。主要包括：探讨了可信计算技术的免疫功能，分析了构建主动防御的可信技术保障体系的相关技术如网络边界防护技术和系统风险评估技术等，以及相关措施如研发自主创新的可信技术保障产品和运用主动免疫机制来保障信息的真实可控，从而落实国家信息安全体系，保障网络基础安全。
　　关键词 主动防御;网络安全;可信技术
　　引言
　　互联网时代的发展，使得各行各业对于基础信息网络以及网络系统的依赖性也越来越大，其面临的网络安全威胁也愈加严峻，因此网络安全已经成为制约信息网络和网络系统发展的关键因素之一，这就是网络安全防御体系需要加强建设与管理的根源。基于此，本文针对主动防御的网络安全基础设计可信技术保障体系展开了具体研究。
　　1 可信计算技术的免疫功能分析
　　1.1 可信计算技术存在的意义
　　共同维护网络空间安全是人类的使命，互联网共享开放的基本特征允许不同的网络可以进行交互，这造成了很多的恶意软件攻击提供了便利的条件。这就造成了在很多情况下，需要建立一种信任的关系，才能够保障信息的安全。
　　1.2 可信计算技术主动免疫功能过程分析
　　传统的防火墙、防病毒、入侵检测系统（IDS）等都是在主动免疫的主动防御可信计算技术，保障在这过程中起到防护的效果。所以，新的计算模式需要具有身份识别、状态度量等各种多样化的功能，尤其是在硬件上引入可信芯片，解决计算机体系结构中存在的部分问题。不同的信任级别，对于信息系统自身的免疫产生不同的效果，构建高速安全的信息系统技术，可以为网络安全提供有效的防护空间。
　　日志安全的出现对各类系统（IDS、WEB服务器等）产生的日志进行数据分析，及时发现攻击事件和可疑行为，提供日志分析报告[1]。尤其是在系统的日志中可以经常的发现在系统遭受攻击后留下的痕迹。用户针对各种黑客的攻击，盗取数据或者篡改，直接影响了网络防火墙的安全。而内部员工的违规操作以及数据的泄露防不胜防。从网络系统的安全出发，网络审计日志的出現在定位系统安全问题上具有可信的技术保障，能够使得数据库的安全起到一定的保障作用。
　　2 主动防御的可信技术保障体系构建
　　我国信息系统的网络安全，需要在各种等级的技术保护下，通过主动防御保障系统的管理和防御体系，来抵制外来的风险和困难，构建网络安全防护技术框架，这就需要从各个方面来加强可信技术的保障。
　　2.1 实施网络边界安全防护
　　做好网络边界防护，关闭服务器不使用及高危网络端口，能够有效防止黑客通过网络扫描进行得的攻击行为。信息管理人员需要制定数据备份策略，对重要数据进行备份，来保证确保在业务流程运行的过程中，让信息系统免于已知和未知的安全威胁，这也是为了加强信息系统安全的重要方式。
　　2.2 建立并完善安全保障机制的信息系统
　　安全保障机制的信息系统需要根据信息系统的目标以及考核的等级范围来确定主动免疫的可信计算技术，从安全的配置出发促进安全系统的保障。不同的安全机制在不同的环境背景下，面临的安全信息系统也有所不同，需要通过安全机制的一系列程序，对于安全管理系统中心进行统一的管理，才能够在面临安全问题的过程中实现保障的作用，并能够解决突发性的安全隐患。
　　2.3 注重风险评估环节
　　在安全区域的重点保护下，对于重要信息系统进行风险的评估，有效降低信息系统安全风险。
　　3 构建网络安全基础设计可信技术保障体系的措施
　　开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容，也是一项事关国家安全、社会稳定的政治任务，为进一步信息基础设施及网络安全管理水平，完善身份鉴别、防抵赖和日志审计的措施，需增加堡垒机、日志审计系统及日志存储、基线核查加固。
　　3.1 坚持自主创新，利用可信技术保障产品指引基础可信技术作用发挥
　　在自主创新的思想背景下，构建可信的网络空间安全技术，需要从创新机制出发，提供不同技术上的自主可控可信产品。从计算机技术的科研出发，国家要积极的倡导开发和利用先进的可信技术保障产品，才能够为网络安全的基础可信技术提供有效的指导。比如堡垒机的出现是对企业运维人员的维护过程进行全面跟踪、控制、记录、回放;支持细粒度配置运维人员的访问权限，实时阻断违规、越权的访问行为，同时提供维护人员操作的全过程记录与报告;系统支持对加密与图形协议进行审计，消除了传统审计设备的审计盲点，成为企业IT系统内部控制最有力的支撑平台。
　　3.2 运用主动免疫机制来保障信息的真实可控
　　因企业信息安全需求，可以运用主动免疫机制来保障信息的真实可控，实现网络之间的互利互赢，实现信息安全的自主化。比如企业网络中部署安全漏扫及系统脆弱性扫描、修复设备，实现对全网各个区域的自主扫描。对网络边界设备（防火墙、路由器）、交换机、服务器、数据库及终端计算机的脆弱性风险做出定量和定性的综合评价，帮助企业明确主机和网络的脆弱性风险等级，制定出合理的脆弱性风险管理策略。安全漏扫及系统脆弱性扫描、修复设备的部署，不仅符合网络监管部门的检查相关要求，可实现对独立网络单元的移动式检查测评。通过部署系统后台检查、统计计算机基线设置检查等功能，满足安全基线的设置核查要求。完善可信技术保障体系，从而提高主动防御体系的功能，为网络空间的安全提供有效的保障。
　　4 结束语
　　随着网络攻击手段的日益复杂化，传统的基于封堵查杀的被动防护手段已无法满足重要基础设施网络的安全需求。实际上是由于我国网络安全防护体系在安全方案设计、安全产品联动、安全机制设计等方面存在孤立性问题，导致我国网络安全防护技术体系存在先天缺陷，加快构建自己的网络安全防御体系来保护信息的安全，而加强网络安全防御体系需要长久的努力和研究，从基础设计到核心技术的开发，完善和开发网络信息保障体系，信息安全组织、信息安全流程、信息制度等内容都需要得到进一步的完善。
　　参考文献
　　[1] 张伟丽.信息安全等级保护现状浅析[J].信息安全与技术，2014， （09）：9-13.
转载注明来源:https://www.xzbu.com/1/view-14944259.htm