張翼鵬

摘要： 主要針對網(wǎng)絡(luò)安全體系結(jié)構(gòu)進行針對性研究與分析，針對網(wǎng)絡(luò)安全體系結(jié)構(gòu)進行闡述的基礎(chǔ)上，對網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計內(nèi)容進行了介紹，最終確保了網(wǎng)絡(luò)安全，從而為人們提供更加穩(wěn)定的服務(wù)。

Abstract： Aiming at the network security architecture， make a research and analysis； based on expounding the network security architecture， introduce the content of network security architecture design， and ensure the network security， so as to provide a more stable service for people.

關(guān)鍵詞： 網(wǎng)絡(luò)安全；結(jié)構(gòu)體系；設(shè)計要點

Key words： network security；structural system；design points

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1006-4311（2017）03-0080-02

0 引言

信息技術(shù)的快速發(fā)展，使計算機網(wǎng)絡(luò)的連接形式變得更加多樣化，而網(wǎng)絡(luò)本身又具有開放性和互聯(lián)性，終端的分布具有不均勻性，在這樣的背景之下，計算機網(wǎng)絡(luò)在具體運行過程中容易遭受黑客攻擊，不僅會影響用于在具體應(yīng)用過程中的安全性，而且會導(dǎo)致用戶的信息發(fā)生泄漏，并且會伴隨著較為嚴(yán)重的經(jīng)濟損失，因此構(gòu)建網(wǎng)絡(luò)安全體系勢在必行。

1 網(wǎng)絡(luò)安全體系結(jié)構(gòu)

一般來說，網(wǎng)絡(luò)安全體系設(shè)計過程分為以下四步：①網(wǎng)絡(luò)安全策略定義。②網(wǎng)絡(luò)安全需求分析。③網(wǎng)絡(luò)安全設(shè)計。④網(wǎng)絡(luò)安全實現(xiàn)。設(shè)計模型圖如圖1所示。

從現(xiàn)代網(wǎng)絡(luò)的具體應(yīng)用情況來看，從高級安全需求分析滲入到具體執(zhí)行上，兩者之間存在的一定差距[1]。從高級策略不斷發(fā)展，最終形成了一個結(jié)構(gòu)和功能復(fù)雜的系統(tǒng)，部分組件可能會呈現(xiàn)出不一定特性，將會引起錯誤的執(zhí)行需要的安全策略，引起危險的失誤和安全漏洞。

1.1 安全策略定義

詳細(xì)的描述安全策略定義，該過程中的最終目的是能夠為網(wǎng)絡(luò)的正常使用提供有效的支持，同時需要相關(guān)研究人員注意的是，在分析網(wǎng)絡(luò)安全系統(tǒng)過程中，應(yīng)當(dāng)與其領(lǐng)域的科學(xué)結(jié)合，從而使其適應(yīng)性能夠得到進一步提高。例如，操作安全、人員安全、物理安全、社會機制等多項內(nèi)容。該過程通常依據(jù)對企業(yè)中存在的風(fēng)險進行分析，并且需要將高級安全策略和控制作為整個操作的主要依據(jù)，最后通過自然語言描述控制文檔和網(wǎng)絡(luò)安全，這也就是我們常說的高級安全策略。

1.2 安全需求分析

安全需求分析是網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計的第二步，其是上一步高級安全策略形式內(nèi)容的具體描述。通過大量的實踐可以發(fā)現(xiàn)，通過形式化完成對高級安全策略的具體描述可以具有諸多優(yōu)點，主要體現(xiàn)在以下幾個方面：通過分析可以全面細(xì)致的完成對沖突的檢查，同時也可以將高級策略中的模糊描述消除[2]。曾有學(xué)者提出，通過行形式化方法對高級安全策略進行處理，并且取得了不錯的效果。

2 網(wǎng)絡(luò)安全設(shè)計的具體內(nèi)容

2.1 設(shè)計的目標(biāo)

現(xiàn)代網(wǎng)絡(luò)的快速發(fā)展與應(yīng)用，一方面使人們的生活和工作變得更加便利，另一方面也增加了安全隱患，人們在生活與工作中利用網(wǎng)絡(luò)的同時必須加強對安全問題的思考。隨著人們網(wǎng)絡(luò)安全意識的不斷提升，人們在應(yīng)用網(wǎng)絡(luò)中，加強了對網(wǎng)絡(luò)安全設(shè)計的研究與分析。

2.2 體系結(jié)構(gòu)設(shè)計

安全體系的構(gòu)建要依據(jù)安全需求的具體情況而定，只有這樣才能使最終所設(shè)計的系統(tǒng)與實際情況相符。在設(shè)計過程中，依據(jù)OSI模型中各個層之間存在的依賴性，安全方面的需求，從邏輯角度出發(fā)，科學(xué)的將安全內(nèi)容細(xì)致的分到不同層中。具體內(nèi)容如下：

①物理層：該層在信息安全上存在的問題主要集中在，物理通量受到非法竊停和干擾等，從而會對物理層的性能造成不良影響。

②鏈路層：該層的主要作用是確保通過鏈路層所傳送的信息，在傳送過程中不會受到外界的截取。在具體操作過程中采用方式為劃分局域網(wǎng)、遠(yuǎn)程網(wǎng)等手段[3]。

③網(wǎng)絡(luò)層：該層的作用是避免網(wǎng)絡(luò)服務(wù)被非法人員使用，通過網(wǎng)絡(luò)層的有效控制，使得只有授權(quán)的客戶才能夠享受到相應(yīng)的服務(wù)，通過該方式可以確保網(wǎng)絡(luò)路由的正確性，提供了網(wǎng)絡(luò)層的安全性，有效地避免了數(shù)據(jù)被監(jiān)聽。操作系統(tǒng)，保證資料和訪問控制的安全性，同時在操作過程中，要對系統(tǒng)中涉及到的內(nèi)容進行審計，審計工作要依據(jù)相關(guān)的標(biāo)準(zhǔn)進行，確保最終審計結(jié)果的合理性，有效地避免安全問題的發(fā)生。

④應(yīng)用平臺與應(yīng)用系統(tǒng)。前者指的是應(yīng)用軟件服務(wù)，目前比較常見的有數(shù)據(jù)庫、電子郵件服務(wù)器等，通過分析不難發(fā)現(xiàn)，應(yīng)用平臺中的系統(tǒng)的結(jié)構(gòu)復(fù)雜，應(yīng)用相對說比較繁瑣，為了提高應(yīng)用平臺的安全性，通過需要通過多種技術(shù)完成，比較常見的技術(shù)有SSL；后者的作用就是為用戶服務(wù)，系統(tǒng)的安全與設(shè)計實現(xiàn)兩者之間的聯(lián)系十分緊密。通過科學(xué)的方式應(yīng)用系統(tǒng)，能夠為應(yīng)用平臺提供全服務(wù)得到相應(yīng)的保護。

2.3 安全策略的設(shè)計與實現(xiàn)

安全策略的設(shè)計與實現(xiàn)是網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計過程中的第一步，該過程的主要目的是確定科學(xué)的安全策略。但是，在具體應(yīng)用中，受各方面因素的影響，計算機網(wǎng)絡(luò)配置與部門兩項內(nèi)容在具體操作過程中會發(fā)生改變，而這種改變通常都是不可控和不可預(yù)知的，這也就直接導(dǎo)致了安全需求也會發(fā)生改變，并且該變化通常都比較明顯，會引起一系列的變化。由此可以判斷，網(wǎng)絡(luò)安全自身并不是靜止不變的，因此要不斷調(diào)整和完善安全策略內(nèi)容。企業(yè)在具體運用過程中要想獲取理想的經(jīng)濟收益，就必須要確保具有一個科學(xué)的安全策略，并且要按照規(guī)范的要求執(zhí)行。安全策略在企業(yè)中的應(yīng)用，需要能夠全面、清楚識別存在風(fēng)險的資源，并且要依據(jù)企業(yè)和其所處的具體環(huán)境給出合理的環(huán)節(jié)威脅的具體方法。該策略的核心問題是對系統(tǒng)中的哪一個用戶可以訪問哪一種資源進行定義，從而避免資源被非法訪問而引發(fā)安全問題[4]。需要注意的是，需要做好對審計跟蹤用戶進行定義，同時需要幫助用戶對出現(xiàn)的傷害進行識別，并且要及時做出相應(yīng)的響應(yīng)，避免危害進一步擴大，造成更大的影響。

安全策略管理要需要包含所有的安全組件。例如，路由器、訪問列表、防火墻等，從而構(gòu)建網(wǎng)絡(luò)安全策略管理實現(xiàn)的實現(xiàn)模型。目前，網(wǎng)絡(luò)安全策略管理實現(xiàn)的模型以IETF安全體系框架中的RFC275策略管理為基礎(chǔ)，該模型策略管理的應(yīng)用十分廣泛，在整個網(wǎng)絡(luò)中都所有分布?，F(xiàn)階段，適合所有用戶的有網(wǎng)絡(luò)安全層以及服務(wù)網(wǎng)絡(luò)安全層。策略管理包括的功能有以下幾點：策略實現(xiàn)點、策略決定點、策略倉庫。網(wǎng)絡(luò)策略中的每一項信息點都應(yīng)被存儲在策略倉庫中，完成對計算機以及網(wǎng)絡(luò)用戶各項內(nèi)容的研究與分析，各項內(nèi)容的執(zhí)行都應(yīng)當(dāng)在倉庫內(nèi)完成，確保執(zhí)行結(jié)果的合理性。

策略服務(wù)器與策略決定點兩者都是對網(wǎng)絡(luò)進行抽象，成為策略控制信息，再將信息傳遞給策略執(zhí)行點。策略實現(xiàn)點接受PAPs中的策略，作為網(wǎng)絡(luò)或安全設(shè)備。公共開放策略服務(wù)以TCP作為基礎(chǔ)協(xié)議進行應(yīng)答，從而完成PEPs和PDP兩者之間策略信息的交換。

3 網(wǎng)絡(luò)安全的實現(xiàn)

網(wǎng)絡(luò)安全體系結(jié)構(gòu)中，安全管理運的工作站和服務(wù)器上，對網(wǎng)絡(luò)輔助級和網(wǎng)絡(luò)及的上的安全，通過對應(yīng)用級的安全管理來實現(xiàn)。在網(wǎng)絡(luò)操作者中存在一些身份較為特殊的用戶，這些用戶的認(rèn)證主體和授權(quán)程序都更為嚴(yán)格。因此，管理人員在具體操作過程中具有更大的功能權(quán)限和訪問授權(quán)，因此為了確保一切操作的安全性，他們的行為和訪問等操作都必須要安全，從而確保網(wǎng)絡(luò)的性能、配置以及存活能力都能夠達到要求標(biāo)準(zhǔn)。通過大量實踐經(jīng)驗可以發(fā)現(xiàn)，企業(yè)的網(wǎng)絡(luò)管理系統(tǒng)的開放性和集中性越高，安全管理的需求也就越急迫[5]。安全網(wǎng)絡(luò)管理是一個整體方法，網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含多個領(lǐng)域。在具體操作過程中，記錄安全行為對用戶以及管理員在網(wǎng)絡(luò)結(jié)構(gòu)的各項行為都有著嚴(yán)格的要求。

為了確保操作的合理性，網(wǎng)絡(luò)操作者認(rèn)證需要在集中管理和執(zhí)行口令的基礎(chǔ)上完成，確保沒有獲得授權(quán)的用戶無法訪問系統(tǒng)，通過這一方式有效地避免了非法訪問的出現(xiàn)。網(wǎng)絡(luò)操作者授權(quán)通過已經(jīng)認(rèn)證的身份對用戶的訪問權(quán)限進行認(rèn)證，判斷得到授權(quán)的用戶可以在系統(tǒng)中的對哪些內(nèi)容進行訪問，實現(xiàn)何種功能。網(wǎng)絡(luò)管理事物加密起到的作用就是保護網(wǎng)絡(luò)管理數(shù)據(jù)的機密性，避免數(shù)據(jù)被非法人員盜取，通過加密能夠?qū)ν獠亢蛢?nèi)部都提供高度保護，從而確保網(wǎng)絡(luò)體系結(jié)構(gòu)的安全。操作者安全遠(yuǎn)程訪問：對IPsec進行合理應(yīng)用，提供一個VPN，這是一種強制性的解決方案，通過該方案可以為遠(yuǎn)程操作者提供科學(xué)的加密和認(rèn)證。利用防火墻和VLANs將網(wǎng)絡(luò)分離開，在管理上要分開進行。在應(yīng)用通過入侵檢測系統(tǒng)鎖構(gòu)成的管理服務(wù)器，通過提出管理員存在的不安因素（例如，在運行過程中，服務(wù)其妥協(xié)和拒絕服務(wù)襲擊），完成對網(wǎng)絡(luò)的保護操作。

網(wǎng)絡(luò)安全體系實現(xiàn)的實例如下：某企業(yè)為了確保企業(yè)中網(wǎng)絡(luò)安全采取了以下措施：①構(gòu)建防火墻。在網(wǎng)關(guān)上安裝防火墻，分組過濾和ip偽裝，監(jiān)視網(wǎng)絡(luò)內(nèi)外的通信，全面掌握企業(yè)網(wǎng)絡(luò)情況。②采用身份驗證技術(shù)。針對企業(yè)中的不同用戶設(shè)定了不同的訪問權(quán)限，并且定期對用戶的權(quán)限進行檢查，避免非法訪問。③入侵檢測技術(shù)。④口令管理。每個用戶設(shè)置口令，定義口令存活期。⑤病毒防護安裝殺毒軟件，及時查殺服務(wù)器和終端；限制共享目錄及讀寫權(quán)限；限制網(wǎng)上下載和盜版軟件使用。⑤系統(tǒng)管理，及時下載安裝系統(tǒng)補??；設(shè)置開機口令；設(shè)置屏?？诹睿粍h除不用賬戶。該企業(yè)通過以上方式，構(gòu)建了網(wǎng)絡(luò)安全體系，確保了企業(yè)中網(wǎng)絡(luò)的安全性。

4 結(jié)束語

網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計與實現(xiàn)對用戶使用網(wǎng)絡(luò)的安全性會產(chǎn)生直接影響，同時也會對計算機網(wǎng)絡(luò)安全的健康發(fā)展造成影響。在提出網(wǎng)絡(luò)安全系統(tǒng)設(shè)計框架基礎(chǔ)上，對網(wǎng)絡(luò)安全的設(shè)計問題進行詳細(xì)劃分，提出了安全體系結(jié)構(gòu)模型和策略管理執(zhí)行模型的設(shè)計與實現(xiàn)。最后合理地將安全體系結(jié)構(gòu)、安全策略管理的實現(xiàn)與網(wǎng)絡(luò)機制結(jié)合，確保了高級安全策略向網(wǎng)絡(luò)安全機制的合理過渡，推動了網(wǎng)絡(luò)的健康發(fā)展。同時，本文也為網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計與實現(xiàn)指明了方向。

參考文獻：

[1]梁樹軍，李玉華，尚展壘.基于訪問控制技術(shù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)研究與設(shè)計[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（05）：23-24.

[2]姜紅軍.金保工程信息網(wǎng)絡(luò)安全保障體系設(shè)計與實現(xiàn)[J]. 數(shù)字技術(shù)與應(yīng)用，2016（05）：201.

[3]羅旬，嚴(yán)承華.無線Mesh網(wǎng)絡(luò)安全體系研究與設(shè)計[J].信息網(wǎng)絡(luò)安全，2015（06）：61-66.

[4]朱寧龍，曲思源，戴紫彬.面向終端的網(wǎng)絡(luò)安全處理器體系結(jié)構(gòu)設(shè)計[J].微電子學(xué)與計算機，2015（12）：80-84.

[5]涂傳唐，汪海濤，曾素云.信息系統(tǒng)安全等級化防護研究探討[J].信息安全與技術(shù)，2012（08）：52-54.