網絡安全體系結構的設計與實現

郝麗蓉（河北省經濟信息中心，河北 石家莊 050051）

網絡安全體系結構的設計與實現

郝麗蓉
（河北省經濟信息中心，河北 石家莊 050051）

摘 要：在網絡建設和普及的過程中，網絡安全體系結構的設計和實現關系重大。只有設計并實現完善的網絡安全體系結構，才能推動計算機網絡技術的繼續發展，拓寬計算機網絡的使用領域。本文對網絡安全體系結構的框架進行了簡要的介紹，并分析了網絡安全體系結構的設計與實現。

關鍵詞：網絡安全體系結構；設計；實現

由于計算機網絡具有多樣性的聯結形式，網絡本身具有互連性和開放性，其終端分布具有不均勻性，因此計算機網絡很容易遭到各種惡意軟件和黑客的攻擊，給用戶帶來巨大的損失。本文對網絡安全體系結構的設計和實現進行了分析，希望能夠將完善、堅實的網絡安全體系建立起來，保障計算機網絡的安全。

1 網絡安全體系的結構

對網絡安全體系結構的設計主要有四個基本步驟：定義網絡安全策略、分析網絡安全需求、網絡安全設計和網絡安全實現。這就需要先以高級安全策略和控制為依據，將安全規范進行形式化處理，從而設計并實現系統中的執行機制。

1.1定義網絡安全策略

定義網絡安全策略指的是詳細描述網絡安全策略，這是為了將支持和管理提供給網絡安全。要結合其他領域來考慮網絡安全系統，例如社會機制、通信安全、操作安全、人員安全和物理安全。要以向導手冊ISO/IEC為依據來分析企業的風險，最后產生的網絡安全和控制文檔是由自然語言描述的，也就是所謂的高級安全策略。

1.2分析網絡安全需求

網絡安全需求的分析是對高級安全策略進行的形式描述，并得到更高形式的安全策略。這種做法的優點在于對策略之間的沖突進行檢查，并將自然語言對中高級策略比較含糊的描述消除。

2 網絡安全體系結構的設計

網絡安全體系結構的設計目標在于轉換安全系統模型中的中高級安全策略，設計相應的執行機制。網絡安全體系結構的設計又包括安全策略的設計和體系結構的設計與實現。

2.1設計網絡安全體系結構

以上一步的安全需求為基礎，有針對性的安全體系結構構建起來，對網絡系統安全進行有力的保障。設計網絡安全體系結構的目的在于將網絡安全系統的全面結構建立起來，這就需要一種技術能夠將組件提出來并進行構建。在體系結構中各層進行安全的邏輯分配時，要考慮全面的安全需求以及OSI參考模型中的層級之間的依賴性。

網絡安全體系結構包括網絡安全層、輔助網絡安全層、安全應用層。網絡安全層是將OSI模型中前三層的安全功能提供出來，包括傳輸層、數據鏈路層和物理層。輔助網絡安全層的主要作用是將OSI模型中四至七層的安全功能提供出來，也就是提供網絡層至應用層的安全功能，并增加網絡安全層的安全。安全應用層的功能在于將OSI模型中第七層的安全提供出來，也就是應用層，保障存儲平臺和服務器的安全。只在網絡安全層上進行VLANs和訪問列表的操作。可以在輔助網絡安全層或網絡安全層上進行防火墻操作，在應用安全層或網絡輔助層實現SSL。安全體系中可以映射普通的安全技術。

2.2設計與實現網絡安全策略

在網絡安全體系結構的設計中，網絡安全策略的設計與實現屬于第二步。設計與實現網絡安全策略的目的就是定義一套設計級安全策略，作為一種框架底層的抽象策略。這種網絡安全策略設計與實現接近于技術執行。在計算機網絡配置中，部門和組織經常變化，從而對計算機網絡提出不同的安全需求。因此網絡安全具有動態性，要經常根據需要調整組織的安全策略，企業需要進行適當的設計，并對安全策略進行執行，這是一個過程，也是一個現存的文檔。企業最新的需求服務和基礎組織都在其升級、實現和執行的過程中得到反映。這就要求安全策略要能夠識別資源中的風險，提出相應的方法來緩解威脅。要對每個用戶和組可以訪問的資源進行定義，包括對審計跟蹤的用戶進行定義，并幫助用戶發現并識別侵害，對侵害進行響應。

所有的安全組件的領域都應該在安全策略的管理范圍之內，例如認證技術、路由器、訪問列表、IDS和防火墻等，從而構建網絡安全策略管理的實現模型。網絡安全策略管理的實現模型以IETF安全體系框架中的RFC2753策略管理為基礎，在整個網絡中都要執行該模型的策略管理，例如網絡安全層、輔助網絡安全層和應用安全層等，其適合所有的應用和用戶。

策略管理功能包括三個方面：策略實現點、策略決定點和策略倉庫。網絡目錄中的一切策略信息都存儲在策略倉庫中，能夠對服務、計算機、應用和網絡用戶進行描述，并在專用數據庫上進行執行。

策略服務器或策略決定點則是對網絡策略進行抽象，使其成為策略控制信息，向策略執行點進行傳遞。策略實現點則是接受PAPs中的策略，作為安全或網絡設備。公共開放策略服務則是對以TCP為基礎的協議進行應答的簡單請求，能夠交換PEPs和PDP之間的策略信息。

3 實現網絡安全

實現網絡安全主要靠一些實現機制。通過安全體系結構中工作站和服務器上運行的網絡安全管理，利用網絡輔助級和網絡級的安全來使應用級進行安全的實現。由特殊的用戶作為網絡操作者，這些主體擁有嚴格的授權程序和認證，其具有更大的功能權限和訪問授權，因此必須保障他們行為和訪問的安全，只有這樣才能對網絡的存活能力、性能額配置進行保護。網絡的管理系統越集中，企業越開放，其對安全管理過程的安全需求就越高。

網絡安全的實現機制主要有反病毒保護、主機加固、入侵監測、VLANs、防火墻、安全遠程訪問、加密、網絡操作授權、網絡操作認真以及安全行為記錄等領域。用戶和管理員的行為會被安全行為記錄跟蹤，網絡操作者則對口令的執行和集中管理進行認證。

結語

網絡安全體系結構的設計與實現關系著網絡用戶的使用安全，對于計算機網絡的健康發展有著重要的影響。本文對網絡安全體系結構進行了簡要的介紹，并對網絡安全體系結構的設計與網絡安全體系結構的實現進行了介紹，必須結合網絡安全的實現機制、安全策略的管理和安全體系的結構，推動網絡安全實現機制的構建，這也是計算機網絡發展的必然要求。

參考文獻

[1]趙中營，徐佩鋒.網絡安全技術及其缺陷[J].計算機光盤軟件與應用，2013（17）.

[2]韓海波.“一網雙平面”—一種新的廣域骨干網絡架構[J].計算機系統應用，2013（08）.

[3]于穎蔚. 淺議辦公自動化的網絡安全性[J].電子制作，2013（09）.

中圖分類號：TP393

文獻標識碼：A

作者簡介：郝麗蓉，女，河北省石家莊市，1968/12，副高級工程師，電子工程專業，河北省經濟信息中心 。