基于专网的网络安全管理技术研究

辛强

摘 要：在研究相关文献基础上，提出了一种基于专网的网络安全管理模型，包括专网安全管理模块、专网安全服务模块和专网安全代理模块，从安全性、可用性、可实施性、可扩展性、友好性等五个方面对模型进行评价，对专网网络安全管理有一定指导意义。

关键词：专网 网络安全管理 模型

中图分类号：TP3-0 文献标识码：A 文章编号：1674-098X（2017）07（a）-0153-03

随着网络技术和信息化的快速发展，信息沟通的方式和渠道愈发便捷。诸如政府机关、军队、企业、高等院校等众多单位为便于工作均建立了专用网络（简称“专网”），专网一般与互联网物理隔离，相对于互联网是“安全”的。但伴随专网的推广和黑客技术的进步，专网面临的网络安全威胁日益增加。为摸清专网面临的网络安全威胁，提高专网的网络安全管理能力，本文在相关文献研究的基础上，提出了一种基于专网的安全管理模型。

1 专网网络安全管理研究现状

目前，网络安全研究学者[1-5]对专网的网络安全管理进行了深入的探讨和研究。但仅针对局部展开，未从全局考虑专用网络安全管理的有效性、可用性、可实施性、可扩展性及友好性，存在一定缺陷。一是相关研究成果未全面体现专网安全的方方面面，缺乏全面地考虑专网网络安全因素；二是相关研究设计的系统运行效率较低，缺乏可用性；三是未实现审计功能，不能从产生的用户操作信息中提取可用信息。

2 基于专网的网络安全管理模型

针对专网网络安全管理的以上缺陷，提出了一种基于专网的网络安全管理模型，其主要包括专网安全管理、专网安全服务、专网安全代理三个模块。图1为专网网络安全管理模型。

2.1 专网安全管理模块

专网安全管理模块位于模型的最高层，其数据来源于专网网络管理员制定的策略和存储单元中的数据。管理员能够依次向用户管理单元、主机管理单元、审计管理单元发送指令，表明操作意图，三个单元接到指令后生成对应的策略，包括用户管理策略、主机管理策略和审计管理策略。模塊结构如图2所示。

（1）用户管理

专网管理员经用户管理单元制定用户管理策略，其范围包括专网主机用户对主机硬件、系统、重要数据、外主机连接、发送及获取信息等操作，并详细定义以上操作的权限，最后在专网主机中应用。

（2）主机管理

主机管理主要检查专网当前配置，包括硬件、系统环境、系统参数等配置。通过管理员发送的指令生成主机管理策略，其定义了专网主机不应当运行和安装哪些软硬件，该策略最终也在专网主机中应用。

（3）审计管理

审计管理服务于管理人员，以制定审计策略，利用审计算法设定审计参数，审计策略发送到专网安全服务模块，应用于审计分析单元中。

（4）信息管理

信息管理即综合管理专网内各类信息，其数据（包括用户日志、主机信息等信息）来源于数据存储单元，然后进行可视化展示。

2.2 专网安全服务模块

专网安全服务模块位于模型的中间层，接收来自专网安全管理模块数据，并与专网安全代理模块进行交互，是整个模型的神经中枢，其包括数据存储、审计分析、用户认证等单元。管理员制定各类管理策略发送至数据存储单元，为审计和监控操作提供依据。专网安全代理模块提供认证信息，由用户认证单元认证后，反馈结果。若审计分析单元发现用户行为异常，会启动报警，并直接发送给专用网络安全管理模块。其模块结构如图3所示。

（1）用户认证

用户认证是确保专网安全的开始，是保证专网用户不产生危险行为的重要手段。通过认证的用户信息会保存于数据存储单元中。数据存储单元将用户信息反馈给用户认证单元，进行比对，确保认证信息无误，对认证失败的用户，该单元会启动报警，并告知专网管理员。

（2）审计分析

审计分析单元可以合理分析数据存储单元中的用户日志信息，以确保专网安全。审计分析单元如图4所示。主要功能如下：

①利用数据分析算法，审计用户日志信息，通过审计信息各属性间的关系，分析出用户的正常操作模式，并转化为强规则保存在数据存储单元。

②通过生成的强规则，获得用户正常操作的定义信息，并记录用户操作日志，发现非法操作立即报警，并告知专网管理员。

③不断更新审计规则和历史审计信息，并循环执行，精确检测潜在的异常日志。

（3）数据存储

数据存储单元主要涵盖各类数据库、主机信息、用户日志、认证信息和管理策略等。

2.3 专网安全代理模块

专网安全代理模块位于模型的最底层，是确保专网安全的基础，其依赖于管理策略，严格监控主机及用户操作。模块分为三个步骤：第一步，主机检测单元检测用户认证信息，确认用户身份合法；第二步，主机检测单元检测合法用户当前主机的各项软硬件配置，判断主机各项配置正确与否，并对系统实施漏洞扫描，及时发现漏洞信息，并启动报警；第三步，用户监控单元实时监控用户操作。其模块结构如图5所示。

（1）主机检测

主机检查通过主机管理策略检查当前主机的系统及软硬件配置，发现配置与主机管理策略定义的配置不匹配，则启动报警。主机检查单元可以扫描系统漏洞，及时发现潜在威胁，并启动报警。

（2）用户监控

用户监控单元实时监控认证用户，根据用户管理策略中定义的用户权限，实现监控不同用户的日常操作。所监控的操作包括启用的软件、进程、端口、设备、注册表、拷贝文件、非法访问等。用户一旦越权操作，即刻启动报警。

（3）信息收集

信息收集单元与其它单元独立，循环完成收集和发送硬件配置、用户日志、系统信息等信息，而后保存于数据存储单元。

（4）报警

报警是系统对用户异常操作的反应。

3 专网网络安全管理模型评价

专网网络安全管理模型通过5个指标和5个内容进行评价，如表1所示。

4 结语

该文在传统网络安全管理模型研究的基础上，综合考虑专网目前面临的主要问题，提出了一种基于专网的网络安全管理模型，对专网网络安全管理提供了理论依据，具有一定指导意义。下一步研究的重点将集中于模型的系统设计与实现。

参考文献

[1] 陈丽莎，张凤荔.王娟构建网络安全评估态势体系[J].重庆科技学院学报，2008，10（3）：135-137.

[2] 于群，冯玲.基于BP神经网络的网络安全评价方法研究[J].计算机工程与设计，2008，4（8）：1963-1966.

[3] 敖雪妮.基于内容分析法的网络信息安全管理政策研究[D].成都：电子科技大学，2015.

[4] 伏晓，蔡圣闻，谢立.网络安全管理技术研究[J].计算机科学，2009（36）：15-19.

[5] 张茹.面向网络安全管理的数据采集若干关键技术的研究与实现[D].北京：北京邮电大学，2013.endprint