计算机网络防御的策略描述语言初探.docVIP

计算机网络防御的策略描述语言初探 　　【摘 要】随着计算机信息网络的不断发展，人们在享受计算机给人们带来的便利同时，越来越意识到网络安全问题所带来的危害，计算机网络已成为社会基础设施建设的重要组成部分，社会生活对计算机及网络系统的依赖性也越来越大，本文就计算机网络防御策略描述语言进行了分析及探讨。 　　【关键词】计算机；网络防御；策略；描述语言 　　 　　计算机网络安全所指的是凡是涉及网络信息完整性、保密性、真实性、可靠性、可用性及抗抵赖性等相关技术及理论均是网络安全要研究的领域，从本质上讲网络安全即是网络信息安全，尽管网络安全已经被信息社会各领域重视了，可因为计算机网络本身就存在着一些潜在威胁因素，这就让计算机网络容易受到病毒、黑客、恶意软件及其它不轨意图行为等的攻击，为了确保计算机网络的安全及可靠，计算机内就需要一种较为强大的网络防御策略来保护自身的网络安全。 　　一、计算机网络安全漏洞及攻击分析 　　由于计算机网络自身因素所造成的安全漏洞，主要有三个方面的因素，一是网络结构不安全性，Internet是种网络与网络间的技术，主要有主机和自治系统所连接成的庞大网络，在两台主机进行端与端通信的时候，相互传输的数据流一定会通过许多主机进行发送，这样的话就给那些攻击者带来了便利，当他有一台数据流传输中的主机，对用户的数据包进行挟持就易如反掌了。二是TCP/IP体系间的脆弱性，在上个世纪的70年代，当美国的国防部制定有关DARPA计划时，并沒有想到会在全球范围内使用，因此，TCP/IP协议所考虑的网络安全性并不是很多，而且TCP/IP协议是开放的，当有人对这个协议很熟悉的时候，就有可能运用其安全缺陷实施网络攻击。三是计算机用户的安全意识较为缺乏，尽管在网络中设置了较多的安全壁垒保护屏障，可人们的安全意识普遍不强，这些保护措施很多时候形同虚设，像用户口令的选择不够谨慎，以及打开了来历不明E-mail，这些都会给网络带来安全隐患，有些人为了避开有关防火墙的代理服务器额外认证，就会直接进行PPP连接，这样也就避开了防火墙保护，还有些人是直接进行浏览器页面的关闭，这些操作均给病毒及黑客入侵带来了便利。现在的攻击行为主要是运用计算机网络自身存在缺陷或者安全配置不恰当造成了安全漏洞来实施计算机网络攻击的，其攻击程度与攻击者采用的攻击手段及攻击思路不同而有着不同，但这些都给计算机的网络安全带来了较大的隐患。 　　二、有关计算机网络的防御策略描述语言 　　1.CNDPSL概述 　　计算机网络的防御策略所指的是为了实现特定安全目标，其网络及信息系统依据一定条件来选择防御措施规则，进行计算机防御就需要大量措施应对各种网络攻击，用人工配置的方法是比较复杂、低效及易错的，运用网络防御策略能够实现措施的正确、高效及自动化的部署并且能够让系统具有灵活性及可伸缩性的特点，这种策略具有较多的优点，已经被广泛应用在网络防御中了，并且是网络防御核心，其检测、保护及响应均是依据策略进行实施的，这种思想也被称为PPDR模型思想，可由于这种模型的策略粒度有些太大，沒有办法实现基于策略防御，依据这个先天不足，策略树把防御策略表示成了目标/措施的形式，可并沒有实施机制，并且兼容性不是很好，层次也不是很清楚的问题。而计算机网络防御策略描述语言简称为CNDPSL，它所面向的是计算机网络防御策略模型（CNDPM），能够统一地对检测、保护及响应策略进行描述，并能够把抽象策略细化成具体的规则，还能够以形式化方法来验证策略一致性、完备性及有效性。对于计算机网络防御策略描述语言（CNDPSL）来说，它是一种声明式的语言，对网络防御控制行为进行了抽象，而且对网络防御的需求具有比较好的适应性、灵活性及可扩展性，通过实验表明，这种描述语言能够将抽象的策略自动地转为具体技术规则，且实现表达防御效能。在CNDPSL设计中，需要满足下列要求，一是语法简洁直观，能够抽象网络防御控制行为，并且能够细化成有效及可实施防御的规则。二是能够表示访问控制领域策略，也能够对保密等其他保护策略进行描述，并控制响应及检测规则配置。 　　2.计算机网络防御策略模型描述 　　这里的防御策略模型代表是依据RBAC模型及组织机构访问控制的模型Or-BAC，前者仅是把主体抽象成了角色，并沒有对权限给予抽象，后者则对客体、主体及动作等都给予了抽象，但它们仅是一些框架及概念，并沒有进行实际的应用防御，而CNDPM是在Or-BAC的基础上进行了扩展，引入了措施概念，把策略及具体规则统一成了元组形式，把Or-BAC中有关规则及策略的8个谓词进行了去除，且给出了推导规则，概念间的关系进行了简化，把剩下的七个多元谓词进行演变成了一个四元谓词及九个二元谓词，从而对应成了十种关系。同时引入了特性的定义机制，把视图、角色及活