校园网络事故应对之策

本文作者：刘建宇刘志远作者单位：黑龙江外国语学院

防火墙与入侵检测功能模块

该功能模块主要是提供内部网络对已知攻击的处理与阻断功能。防火墙部署于内部网络与外部网络的连接处，防火墙中建立的安全防御规则使防火墙具备对已知攻击的防御功能，而入侵检测功能组件部署于内部网络的专用主机上，采用旁路监听的方式对网络中的数据包进行检测与处理，利用其内部的安全策略对数据包的安全性进行识别和判断，并将有危险的数据包与相关信息及时报告给入侵防御系统，由其对此进行处理。

主动防御功能模块

该功能模块主要是提供主动防御的功能，包括三种不同的主动防御机制，分别是入侵防御机制、蜜罐技术以及系统漏洞检测技术。其中入侵防御机制部署于内部网络中的专用主机，采用串联的方式连接到网络中，一方面它对流经的数据包进行截获与处理，另一方面接收从入侵检测系统传输而来的数据，协同综合审计功能模块，按照一定的策略对数据包进行检测与分析后，可以对未知的网络攻击进行识别，并将这些信息形成新的安全策略，分发给防火墙以及入侵检测系统；蜜罐技术则是对入侵防御系统的有力补充，它诱导网络攻击者对其进行攻击，然后将综合处理分析的结果提交给入侵防御系统，使其具有更完善的抵御攻击能力；系统漏洞检测技术是主动对系统存在的问题进行扫描和处理，先于系统攻击者找到可利用的系统漏洞，从而及时采取补救措施，提高网络的防护能力。

综合审计功能模块

该功能模块的地位相当于控制中心，入侵检测系统、防火墙系统、入侵防御系统等功能模块都将与综合审计功能模块产生联系。各模块采集到并初步判断具有危险性的数据包或者链接信息，都会通过传输系统提交给综合审计功能模块，由该模块根据一定的规则，对系统调用、数据流、关键文件的完整性和可靠性、用户对网络的使用情况、各类网络命令操作等进行实时的审计与评估，并与入侵信息记录系统中控制与分析中心提交的审计结果进行综合处理，最终得出审计的结果，一方面将结果返回给提交的各分系统，另一方面根据这些审计的结果形成新的网络安全策略，分发到防火墙、入侵检测与防御功能模块等，使其具备防御新攻击的能力。

容灾功能模块

该功能模块主要是在网络中的数据被破坏后，提供对系统正常运作的保障功能，在主系统正常运行时，容灾功能模块控制相关组件，通过高速的数据传输网络与数据同步机制，将主系统中的数据同步到备份系统；当主系统受到数据损失时，容灾功能的控制中心自动或者由管理人员手动地将业务系统的运作切换到备份系统中，从而保证业务工作的不间断性；当主系统恢复运行功能后，容灾系统控制中心将自动或者按照要求把备份系统中的数据恢复到主系统中，从而保证业务网络在遭受到攻击后，将系统的业务损失和数据损失降低到最小的限度。容灾备份子系统采用的是分布式的备份系统体系架构，整个系统是由备份组件、调度控制服务器、中央控制服务器、备份服务器以及备份介质服务器构成的。总体上系统分为两个部分，一是用户端部分，另一个是备份中心部分，其中用户端部分包括备份组件与调试控制服务器，而备份中心部分则包括其余的所有部分。备份组件部署于需要执行备份操作的对象上，这些对象包括终端与数据库服务器，以及各类网络连接设备等，备份组件在这些对象系统上执行文件系统、数据库文件以及其他配置文件的备份与恢复等操作。在对网络安全监察、网络入侵防御、网络容灾备份恢复等理论与技术进行研究的基础上，研究并提出了一个网络安全事故应对的策略模型，并具体实现了该模型的各个应用模块。与网络安全防范与抵御不同，网络安全事故应对策略主要研究的内容是如何在网络安全事故已经发生的情况下，及时对网络进行恢复，保证数据的安全性，增强网络的容灾能力，同时，能够记录入侵者的信息，改变以往以防御为主但却往往防不胜防的网络安全策略，将被动的防守为主动的应对与信息记录，增强网络的自我恢复能力。