淺析計(jì)算機(jī)網(wǎng)絡(luò)安全體系的框架結(jié)構(gòu)及應(yīng)用

晨雨

摘 要：本文從網(wǎng)絡(luò)安全體系的概念入手，分析安全體系目前所面臨的威脅與不安全因素，重點(diǎn)列出了一個(gè)網(wǎng)絡(luò)安全體系所必備的安全功能。然后提出了一種三維的框架結(jié)構(gòu)，介紹了一種網(wǎng)絡(luò)安全體系，最后對(duì)其應(yīng)用情況做出了分析。

關(guān)鍵詞：網(wǎng)絡(luò)安全體系；框架結(jié)構(gòu)；應(yīng)用

計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用的日趨廣泛與深入已毋庸贅言，用戶間的信息交流也越來越頻繁，然而，越來越多的網(wǎng)絡(luò)安全問題也先后出現(xiàn)，信息流動(dòng)的泄露、破壞，病毒的傳播、木馬的入侵等眾多問題。網(wǎng)絡(luò)系統(tǒng)的安全性能對(duì)于信息安全、設(shè)備保護(hù)等無疑是十分必要的。如何構(gòu)建一種網(wǎng)絡(luò)安全的體系框架，及其實(shí)際的應(yīng)用成為一個(gè)急迫而重要的課題。

一、網(wǎng)絡(luò)安全體系的概念

網(wǎng)絡(luò)安全體系從整體角度而言，包括安全服務(wù)與安全機(jī)制兩方面。安全體系的構(gòu)建不僅要包括決定安全體系的各種因素，更重要的是要定義各種因素之間的聯(lián)系，從而構(gòu)建出一個(gè)有機(jī)的整體。

安全服務(wù)簡(jiǎn)而言之就是一種在數(shù)據(jù)的傳輸和處理上提供安全的方法手段。安全體系結(jié)構(gòu)模型中所定義的安全服務(wù)如圖示1：

圖1 安全體系結(jié)構(gòu)定義安全服務(wù)圖示

安全機(jī)制則是具體的安全服務(wù)實(shí)現(xiàn)的機(jī)制。安全機(jī)制實(shí)際上是一些程序，用于實(shí)現(xiàn)安全服務(wù)。安全機(jī)制常用的方式如圖2：

圖2 安全機(jī)制形式圖示

同時(shí)值得強(qiáng)調(diào)的是，安全政策的制定也至關(guān)重要。其內(nèi)容包括不安全因素的分析、防范技術(shù)、運(yùn)行的責(zé)任劃分、事故的應(yīng)急處理、安全管理等方面。安全政策的制定要注重周期性的更新。

二、網(wǎng)絡(luò)安全體系的功能介紹

網(wǎng)絡(luò)安全保護(hù)應(yīng)該從兩方面入手。首先是修補(bǔ)網(wǎng)絡(luò)系統(tǒng)漏洞，健全系統(tǒng)各方面的功能。其次是加強(qiáng)系統(tǒng)的管理監(jiān)測(cè)，對(duì)于系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)于不正常的進(jìn)程和活動(dòng)，要有措施進(jìn)行干預(yù)和記錄。針對(duì)上述的網(wǎng)絡(luò)安全威脅以及目前的研究，此處介紹一種網(wǎng)絡(luò)安全體系的應(yīng)該具備的功能，如圖3所示：

目前而言，一個(gè)完備的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)必須具備以上的各項(xiàng)功能，隨著計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用與發(fā)展必然會(huì)出現(xiàn)新的網(wǎng)絡(luò)安全問題，同時(shí)保護(hù)功能的增加將成為必然。

圖3 網(wǎng)絡(luò)系統(tǒng)安全保護(hù)功能圖示

三、網(wǎng)絡(luò)安全體系的框架結(jié)構(gòu)及其應(yīng)用

1、網(wǎng)絡(luò)安全體系的框架結(jié)構(gòu)

計(jì)算機(jī)網(wǎng)絡(luò)安全體系的框架結(jié)構(gòu)對(duì)于體系的建設(shè)以及實(shí)行都有著至關(guān)重要的意義。然而，框架的構(gòu)建如果僅僅從一個(gè)角度出發(fā)，是難以完成的，需要從較為全面的角度來考慮。這里介紹一種框架模型，從協(xié)議層次、安全服務(wù)、實(shí)體單元三個(gè)方面，全面的分析考慮體系框架的建立。其三維結(jié)構(gòu)圖如圖4：

圖4 計(jì)算機(jī)安全網(wǎng)絡(luò)體系的三維框架結(jié)構(gòu)

從安全服務(wù)角度，各種不同的安全服務(wù)的應(yīng)用場(chǎng)合是不同的，相互之間也有著緊密的聯(lián)系。不同的應(yīng)用環(huán)境如果只是選取一種安全服務(wù)往往是無效的，通常需要幾種安全服務(wù)同時(shí)應(yīng)用。從T CP /I P 協(xié)議體系角度，該結(jié)構(gòu)體系只在應(yīng)用層完成安全服務(wù)較多，而在傳輸層與應(yīng)用層應(yīng)用較少，對(duì)于鏈路層和物理層則基本沒有應(yīng)用。因此可以采用兩種安全機(jī)制增強(qiáng)器安全性，包括數(shù)據(jù)源發(fā)及其完整性的監(jiān)測(cè)，以及傳輸層采用數(shù)據(jù)加密手段。從實(shí)體單元角度，安全技術(shù)的對(duì)各個(gè)單元的劃分可以按照計(jì)算機(jī)網(wǎng)絡(luò)安全、計(jì)算機(jī)系統(tǒng)安全、應(yīng)用系統(tǒng)安全這幾個(gè)層次劃分。

2.安全威脅的防御策略

網(wǎng)絡(luò)安全體系的威脅來自與各個(gè)方面與環(huán)節(jié)，一般采用的防御策略如下：加強(qiáng)加密技術(shù)的應(yīng)用，構(gòu)建密碼系統(tǒng)；在不同網(wǎng)絡(luò)區(qū)域間構(gòu)建防火墻，實(shí)時(shí)訪問控制，身份識(shí)別等；構(gòu)建入侵檢測(cè)系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)攻擊和違反安全策略的行為，同時(shí)還有采用漏洞掃描、身份認(rèn)證、殺毒軟件等手段。

3、安全體系的應(yīng)用

就目前而言，還沒有安全系統(tǒng)能夠滿足所有的安全需求。在網(wǎng)絡(luò)安全體系的構(gòu)建中往往難以從所有角度，將整個(gè)系統(tǒng)作為一個(gè)整體來對(duì)待。在安全方案的設(shè)計(jì)中，有一個(gè)前提是針對(duì)性的應(yīng)用安全技術(shù)，掌握技術(shù)應(yīng)用的具體對(duì)象，才能有效的構(gòu)建系統(tǒng)，組織設(shè)備和系統(tǒng)。安全體系在個(gè)層次的應(yīng)用情況如下：

端系統(tǒng)安全，其目的在于保護(hù)網(wǎng)絡(luò)環(huán)境下系統(tǒng)自身的安全，通過采用安全技術(shù)來保證信息的正常傳送和完整性，其采用技術(shù)包括用戶身份鑒別、訪問控制、網(wǎng)絡(luò)監(jiān)察技術(shù)、入侵防范技術(shù)等。比如UNIX系統(tǒng)中的安全機(jī)制就是這方面的體現(xiàn)。

網(wǎng)絡(luò)通信安全從兩個(gè)方面來保證。首先是網(wǎng)絡(luò)設(shè)備的保護(hù)，包括網(wǎng)絡(luò)基礎(chǔ)設(shè)備可用性的保障、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)軟件、通信鏈路、子網(wǎng)和信道等一系列的設(shè)施的保護(hù)。其次是在網(wǎng)絡(luò)內(nèi)部的系統(tǒng)角度，同時(shí)從分層安全管理的上層角度入手，比如，在網(wǎng)關(guān)處采用IPSEC技術(shù)，能夠?qū)崿F(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)提供服務(wù)，包括數(shù)據(jù)保密、訪問控制、認(rèn)

證等。

在應(yīng)用系統(tǒng)安全方面，由于傳統(tǒng)的應(yīng)用系統(tǒng)存在著安全服務(wù)的缺失漏洞而致安全隱患。在本文介紹的安全體系框架結(jié)構(gòu)下，可以不修改傳統(tǒng)系統(tǒng)，而僅僅通過在應(yīng)用層代理就可以達(dá)到增加安全服務(wù)的目的。同時(shí)由于應(yīng)用系統(tǒng)的獨(dú)立性，造成管理上的困難。本框架下可以在實(shí)際的應(yīng)用中提供統(tǒng)一的服務(wù)標(biāo)準(zhǔn)，如基于Kerboros的DCE安全框架、SESAME系統(tǒng)等，提供統(tǒng)一的認(rèn)證服務(wù)、信息保密、數(shù)據(jù)完整性、授權(quán)、訪問控制等。除了上述系統(tǒng)提供的安全有效的服務(wù)，應(yīng)用系統(tǒng)的可用性還應(yīng)該基于良好的管理與監(jiān)控以及入侵的實(shí)時(shí)監(jiān)測(cè)。

網(wǎng)絡(luò)安全體系的框架下，安全管理在整個(gè)安全系統(tǒng)中的應(yīng)用時(shí)至關(guān)重要的。安全管理機(jī)制的應(yīng)用，對(duì)于安全服務(wù)和安全機(jī)制的實(shí)效都有著十分重要的意義。網(wǎng)絡(luò)安全管理應(yīng)該從兩個(gè)方面著手，包括實(shí)施監(jiān)控和設(shè)施管理。具體而言可以采用防火墻等一系列設(shè)備手段的管理，構(gòu)建監(jiān)測(cè)系統(tǒng)實(shí)施管理，認(rèn)證服務(wù)中Kerberos、TACACS、raidius等的管理。目前，管理機(jī)制并不完善，管理的缺失往往是造成漏洞的威脅，統(tǒng)一的安全管理機(jī)制也是一個(gè)重要的研究課程。

總之，該種安全體系的構(gòu)建和應(yīng)用，是以安全需求分析為前提的，通過邏輯關(guān)系提出了安全服務(wù)模型，能有效的擴(kuò)大現(xiàn)有的安全體系的應(yīng)用范圍，對(duì)于電子商務(wù)、重要的電子信件、保密性強(qiáng)的文件等都有著較高的可靠性、保護(hù)性。

參考文獻(xiàn)

[1] 韓行；陳瀛；計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)及其技術(shù)[A]；機(jī)械科學(xué)研究總院；機(jī)電產(chǎn)品開發(fā)與創(chuàng)新；2006年9月

[2] 徐雅；計(jì)算機(jī)網(wǎng)絡(luò)安全體系研究[A]；南京曉莊學(xué)院行知學(xué)院；信息與電腦；2009年第9期

[3] 王秋華；章堅(jiān)武；駱懿；網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)[A]；電子科技大學(xué)通信工程學(xué)院；杭州電子科技大學(xué)學(xué)報(bào)；1001-9146（2005）05-0041-04