孟鑫　陳媛　張振江

摘要：網(wǎng)絡(luò)安全就是防范一個(gè)網(wǎng)絡(luò)系統(tǒng)潛在的危機(jī)，對(duì)于一個(gè)網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)，網(wǎng)絡(luò)安全的目標(biāo)就是保證網(wǎng)絡(luò)數(shù)據(jù)的安全性和網(wǎng)絡(luò)資源的安全性。該文對(duì)安全網(wǎng)絡(luò)的概念模型、安全網(wǎng)絡(luò)技術(shù)與安全評(píng)估機(jī)制進(jìn)行了詳細(xì)的分析。

關(guān)鍵詞：網(wǎng)絡(luò)安全；概念模型；網(wǎng)絡(luò)技術(shù)；安全評(píng)估機(jī)制

中圖分類號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）09-2094-02

1 構(gòu)建網(wǎng)絡(luò)安全模型

隨著計(jì)算機(jī)網(wǎng)絡(luò)的大量普及，網(wǎng)絡(luò)安全問(wèn)題引起人們的重視。目前中國(guó)已經(jīng)有Web、Mail等服務(wù)，隨著Internet技術(shù)的發(fā)展，電子商務(wù)的各種增值業(yè)務(wù)將會(huì)越來(lái)越多，但是計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)TCP/IP的不設(shè)防性和開(kāi)放性使網(wǎng)絡(luò)安全問(wèn)題不可避免，因此信息的安全也顯得尤為重要。提升網(wǎng)絡(luò)的安全性，首先必須構(gòu)建一個(gè)網(wǎng)絡(luò)安全的模型，在模型內(nèi)部進(jìn)行優(yōu)化組合，為網(wǎng)絡(luò)的安全性能提供技術(shù)保證。

1.1 模型子系統(tǒng)設(shè)計(jì)

以滿足安全需求為目的，從技術(shù)和組織管理兩個(gè)角度進(jìn)行模型子系統(tǒng)的綜合設(shè)計(jì)。模型的子系統(tǒng)的優(yōu)化設(shè)計(jì)是構(gòu)建安全網(wǎng)絡(luò)的基礎(chǔ)，必須以實(shí)現(xiàn)總系統(tǒng)的安全需求為目標(biāo)。將模型的各個(gè)子系統(tǒng)根據(jù)具體的功能進(jìn)行細(xì)致劃分，前期的劃分是組建安全模型的基礎(chǔ)，在系統(tǒng)內(nèi)部需要進(jìn)一步的綜合，確保安全模型的各個(gè)部分完美搭配。

1.2 內(nèi)容綜合

最優(yōu)化最安全的網(wǎng)絡(luò)系統(tǒng)，內(nèi)部必須有完整的要素構(gòu)成，各個(gè)部分之間有機(jī)配合，對(duì)實(shí)現(xiàn)系統(tǒng)的安全目標(biāo)有準(zhǔn)確的定位。首先要求系統(tǒng)做到專一，這種專一主要指各部分內(nèi)容的配合，內(nèi)容的特點(diǎn)準(zhǔn)確 各個(gè)內(nèi)容之間的關(guān)系清晰，如果一個(gè)網(wǎng)絡(luò)系統(tǒng)包含所有的內(nèi)容，很難達(dá)到內(nèi)容各要素之間的精確描述和呈現(xiàn)，網(wǎng)絡(luò)的安全目標(biāo)難以達(dá)到。

1.3 用戶驗(yàn)證

以模型子系統(tǒng)層次關(guān)系為基礎(chǔ)設(shè)計(jì)模型，可以對(duì)任何用戶，不管內(nèi)網(wǎng)和外網(wǎng)的，進(jìn)行訪問(wèn)合法性的檢驗(yàn)。保護(hù)層面的入侵監(jiān)測(cè)系統(tǒng)對(duì)用戶的身份進(jìn)行驗(yàn)證，合法用戶將順利通過(guò)，非法用戶將被有效攔截。因此，用戶的身份驗(yàn)證是確定是否具有訪問(wèn)資格的唯一有效信息。系統(tǒng)內(nèi)部的各層機(jī)制相互配合，可以增加訪問(wèn)的合法性，避免了出現(xiàn)某個(gè)要素遭到破換而導(dǎo)致不合法的訪問(wèn)，引起整個(gè)系統(tǒng)的安全問(wèn)題。網(wǎng)絡(luò)的安全管理必須有法治的保證，使安全管理達(dá)到有法可依，依法行事，健全當(dāng)前的網(wǎng)絡(luò)各項(xiàng)安全法規(guī)。在模型內(nèi)，網(wǎng)絡(luò)安全綜合管理系統(tǒng)可以聯(lián)系各個(gè)部分，因此具有重要的地位。安全評(píng)估與分析系統(tǒng)，對(duì)系統(tǒng)的各項(xiàng)指標(biāo)進(jìn)行分析，包括定性或定量的指標(biāo)，用戶根據(jù)對(duì)系統(tǒng)的評(píng)估情況，對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性采取一定的措施。

1.4 關(guān)系分析

對(duì)模型的各個(gè)子系統(tǒng)進(jìn)行優(yōu)化整合是第一步，然后根據(jù)分層原理來(lái)構(gòu)建安全的網(wǎng)絡(luò)模型。主要從以下的四個(gè)層次來(lái)劃分和組建，包括保護(hù)機(jī)制、基礎(chǔ)要素、安全管理和響應(yīng)機(jī)制。其中保護(hù)機(jī)制層包括防火墻、入侵檢測(cè)、身份認(rèn)證、數(shù)字加密等內(nèi)容；基礎(chǔ)要素層包括用戶管理、訪問(wèn)許可管理、密鑰管理、網(wǎng)絡(luò)安全資源管理、漏洞檢測(cè)等內(nèi)容；安全管理層主要包括網(wǎng)絡(luò)安全系統(tǒng)綜合管理；響應(yīng)機(jī)制層主要包括安全評(píng)估與分析、風(fēng)險(xiǎn)管理、備份與恢復(fù)等內(nèi)容。把保護(hù)機(jī)制、基礎(chǔ)要素、響應(yīng)機(jī)制三個(gè)層次緊密聯(lián)系起來(lái)，形成一個(gè)以網(wǎng)絡(luò)安全管理為中心，改變各部分的孤立狀態(tài)，實(shí)現(xiàn)系統(tǒng)內(nèi)部的進(jìn)行有機(jī)的連接，孤立分散的狀態(tài)自動(dòng)降低了網(wǎng)絡(luò)的安全性能，一旦某個(gè)系統(tǒng)遭到破壞，可能導(dǎo)致網(wǎng)絡(luò)的癱瘓。系統(tǒng)之間相互聯(lián)系可以使信息共享，電腦對(duì)反饋的信息及時(shí)做出反應(yīng)，整合系統(tǒng)內(nèi)部的功能，阻止不良信息或病毒的入侵，網(wǎng)絡(luò)的安全性得到保證。

2 基于信息安全控制的網(wǎng)絡(luò)技術(shù)

網(wǎng)絡(luò)的信息安全系統(tǒng)是不斷變化的，因?yàn)樾畔⒌耐{來(lái)自兩個(gè)方面，內(nèi)部和外部，內(nèi)部的可以及時(shí)控制，外部的危害會(huì)帶來(lái)更加嚴(yán)重的后果。以信息系統(tǒng)的特點(diǎn)為依據(jù)進(jìn)行網(wǎng)絡(luò)的安全控制，必須確保各個(gè)系統(tǒng)內(nèi)部的各個(gè)要素具有很高的保護(hù)標(biāo)準(zhǔn)。一般的安全網(wǎng)絡(luò)模塊有負(fù)責(zé)通信的相互認(rèn)證、密鑰協(xié)商的認(rèn)證模塊和負(fù)責(zé)用戶控制，動(dòng)態(tài)反饋的控制模塊，這些模塊都要有完備性和隔離性。完備性能夠使對(duì)信息的全部操作都必須經(jīng)過(guò)安全模塊的檢測(cè)，只有符合標(biāo)準(zhǔn)的才能通過(guò)。隔離性是把用戶與安全控制模塊分開(kāi)，這樣可以防止模塊被非法修改，也能及時(shí)監(jiān)測(cè)到安全模塊的不合法操作，迅速終止非法操作。

網(wǎng)絡(luò)面對(duì)的用戶是各種各樣的，不同的用戶有不同的要求，為了達(dá)到每一個(gè)用戶的滿意，必須將各個(gè)方面的信息進(jìn)行快速準(zhǔn)確的整合，系統(tǒng)之間的通訊配置，要具有高度的精確性。信息在結(jié)點(diǎn)之間流動(dòng)時(shí)候產(chǎn)生泄漏或破壞，因此，必須有一個(gè)統(tǒng)一的控制措施對(duì)訪問(wèn)進(jìn)行控制。以信息安全控制為基礎(chǔ)的網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)的是一個(gè)繁雜的多樣化的有機(jī)聯(lián)系，保障的是整個(gè)系統(tǒng)所用用戶的安全，系統(tǒng)內(nèi)部各個(gè)點(diǎn)的信息都要建立安全的連結(jié)，改變僅一個(gè)用戶和一個(gè)服務(wù)器聯(lián)系的傳統(tǒng)安全模式。對(duì)用戶的身份進(jìn)行實(shí)時(shí)檢驗(yàn)，將檢測(cè)的信息及時(shí)反饋給安全控制管理，這樣做的消除了網(wǎng)絡(luò)內(nèi)部的安全隱患，提高了網(wǎng)絡(luò)內(nèi)部的安全性能。使這個(gè)問(wèn)題得到了解決。

3 監(jiān)測(cè)漏洞技術(shù)的網(wǎng)絡(luò)安全評(píng)估系統(tǒng)

下面描述的模型是基于C--S為基礎(chǔ)的一種互動(dòng)模型。

模型在工作過(guò)程中，通過(guò)漏洞驅(qū)動(dòng)的反饋機(jī)制，實(shí)現(xiàn)對(duì)整個(gè)系統(tǒng)的管理。

1）程序開(kāi)始。將客戶端安裝到主機(jī)上，系統(tǒng)內(nèi)部的中央管控對(duì)客戶端進(jìn)行掃描，將掃描獲得的信息搜集整合到一個(gè)數(shù)據(jù)庫(kù)，在數(shù)據(jù)庫(kù)內(nèi)部完成信息的初始化。

2）調(diào)度插件。插件的調(diào)度根據(jù)掃描的不同階段，采取不同的辦法。插件調(diào)度系數(shù)高的先調(diào)用，插件的調(diào)度系數(shù)，由插件的初始風(fēng)險(xiǎn)系數(shù)和掃描漏洞的預(yù)期完成時(shí)間所決定，在掃描過(guò)程中，根據(jù)特定時(shí)刻檢測(cè)到的漏洞信息，分析系統(tǒng)的安全狀況，針對(duì)安全度的高低來(lái)不斷調(diào)整插件。

中央控管調(diào)度中心依照漏洞庫(kù)對(duì)客戶端進(jìn)行掃描，發(fā)現(xiàn)新漏洞后初步修補(bǔ)漏洞，實(shí)時(shí)監(jiān)控客戶端的掃描和補(bǔ)丁，更新日志通過(guò)掃描監(jiān)控模塊管理客戶端的補(bǔ)丁更新模塊，自動(dòng)到補(bǔ)丁庫(kù)更新最新的補(bǔ)丁，同時(shí)提示掃描控制中心進(jìn)行漏洞補(bǔ)丁庫(kù)更新。

3）客戶端對(duì)發(fā)現(xiàn)的系統(tǒng)漏洞進(jìn)行及時(shí)的處理，如果存在系統(tǒng)的漏洞，客戶端要根據(jù)檢測(cè)到的漏洞判斷系統(tǒng)有多大風(fēng)險(xiǎn)，將系統(tǒng)所處的風(fēng)險(xiǎn)狀態(tài)快速發(fā)給中央控管調(diào)度中心，控管調(diào)度中心具有漏洞驅(qū)動(dòng)的反饋機(jī)制，沒(méi)有反饋信息，就說(shuō)明當(dāng)前的網(wǎng)絡(luò)系統(tǒng)處在一個(gè)安全的狀態(tài)。

4）網(wǎng)絡(luò)安全的評(píng)估報(bào)告是系統(tǒng)改進(jìn)的依據(jù)，對(duì)完善系統(tǒng)具有重要的作用。插件對(duì)系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行量化的計(jì)算，客戶端依據(jù)量化計(jì)算的結(jié)果，把與漏洞相關(guān)的信息抽取出來(lái)，根據(jù)這些信息制作網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告。網(wǎng)絡(luò)的管理者根據(jù)提供的風(fēng)險(xiǎn)報(bào)告，采取一定的手段提高系統(tǒng)的安全等級(jí)。

4 結(jié)束語(yǔ)

知識(shí)經(jīng)濟(jì)時(shí)代，信息在給我們帶來(lái)巨大便利的同時(shí)，也存在著安全的隱患。隨著互網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)的安全問(wèn)題是當(dāng)今信息時(shí)代的面臨的一個(gè)嚴(yán)峻問(wèn)題，提高網(wǎng)絡(luò)的安全狀態(tài)，關(guān)系到信息的安全性，關(guān)系到網(wǎng)絡(luò)的健康發(fā)展，關(guān)系到網(wǎng)絡(luò)時(shí)代每個(gè)人的切身利益。所以，必須引起我們的高度重視。在原有技術(shù)的基礎(chǔ)上不斷進(jìn)行創(chuàng)新，促進(jìn)網(wǎng)絡(luò)安全技術(shù)的不斷完善，實(shí)現(xiàn)在網(wǎng)絡(luò)的安全控制廣泛應(yīng)用，是我們面臨的一個(gè)問(wèn)題。

參考文獻(xiàn)：

[1] 胡健.以信息安全控制原理為基礎(chǔ)的安全網(wǎng)絡(luò)技術(shù)[J].才智，2011，5（6）：58.

[2] 張恒山，管會(huì)生.基于安全問(wèn)題描述的網(wǎng)絡(luò)安全模型[J].通信技術(shù)，2009， 42 （3）：177-182.

[3] 楊光，印桂生，文齊.一種基于漏洞檢測(cè)技術(shù)的網(wǎng)絡(luò)安全評(píng)估系統(tǒng)[J].北京地區(qū)高校研究生學(xué)術(shù)交流會(huì)—通信與信息技術(shù)會(huì)議論文集，2006，4（12）：41-45.