網絡安全體系結構的設計原則與實現方案研究

◆馮智能

（空軍預警學院 湖北 430019）

網絡安全體系結構的設計原則與實現方案研究

◆馮智能

（空軍預警學院 湖北 430019）

分析網絡安全結構體系，結合具體的設計原則，制定適宜的網絡安全體系結構實現方案，完成對網絡中部分安全問題的處理，構建安全、可靠安全體系結構，為網絡用戶營造健康、綠色和安全的網絡環境，提升服務水平和服務質量。

網絡安全體系結構；設計原則；實現方案；信息數據

1 網絡安全體系結構設計原則

（1）保密性

網絡系統內部會存在大量的信息，這些信息由于其功能不同，其保密性與重要程度也有所差異。因此設計人員必須要在進行網絡安全系統結構設計時，設計出不同級別的信息保護方案，根據用戶信息級別的基本情況，使得用戶能夠在自己權限范圍內，獲取相關信息，避免非法泄露的情況發生。

（2）完整性

在對數據庫進行設置時，要加入用戶身份識別以及使用權限兩種安全措施，要對每一位用數據庫的使用者，都進行權限設定與鑒別。而且要對每份數據設置恢復與備份功能，并要對重要性數據，展開容錯保護處理，切實提高數據保護安全等級同時，安全性防護必須要持續到信息的生命周期止，整體安全結構要具有較高的敏感性，確保信息的真實、完整。

（3）可控性

網絡安全體系結構，需要保障用戶在完成信息索求、獲取和存儲等功能，需要保障網絡信息具備良好可控性，用戶能夠根據自己的需求，對相關信息進行編輯、傳遞和存儲。另外，網絡安全體系結構需要在用戶索求信息搜索可以得到的目標信息，提高信息的可用性【1】。

2 網絡安全體系結構設計的具體內容

結合網絡安全體系結構的設計原則、網絡安全需求等內容，完成對網絡安全體系結構的設計。結合OSI模型的基本情況，對網絡安全體系結構對OSI參考模型的層級之間的依賴性進行解讀和分析，如下圖1所示為OSI整體結構模型。

圖1 網絡安全體系結構設計具體流程圖。

如圖2所示，可以得到網絡安全體系結構都是由多層結構組合而成，不同組件都會運用不同的技術，且承擔著不同的功能，各個層級之間在存在差異的同時，也存在一些特定的聯系，在邏輯層面上，“安全”已經被合理分配到各個結構之中。其中，整體結構模型中，一層到三層屬于網絡安全層，主要通過傳輸層、物理以及數據鏈接的方式，實施安全功能；四層到七層是輔助網絡安全層，能夠有效提高上一層的安全防護；而第七層即為安全應用層，能夠對存儲平臺以及服務器提供安全保護措施，具體設計中，需要將其具體的功能提出，且完成對網絡的保護任務。另外，網絡安全層需要完成對“VLANS”與訪問列表的相關設置等工作。設計中，展開的網絡安全層或是輔助網絡層上展開的防火墻的操作工作，切實將安全體系結構中得到的安全技術的映射。

圖2 OSI整體結構模型

（1）防火墻技術：①訪問控制系統與內外網隔離，在外部網絡與內部網絡之間設置防火墻，是最為常用且高效的網絡隔離與訪問控制措施。按照防范吃重點以及防范方式，可以將防火墻技術分為應用代理以及分組過濾兩類：應用代理也被稱之為“應用網關”，主要在應用程開展相應保護措施，具有網絡通信流阻隔的優勢，可以利用多種應用服務編制代理程序對應用程通信流進行控制與管理；與上一種類型的防火墻技術有所不同，分組顧慮主要應用在傳輸層以及網絡層，這種技術是通過對協議類型、分組包頭源地址以及目的地址等內容，來對數據包是否通過進行確認，從而將不符合過濾邏輯的數據包進行合理的處理，避免不良信息以及病毒傳入。②對網絡安全區域進行訪問控制與隔離，對內部網絡進行安全區域規劃，與傳統層面上的物理隔離方式并不相同，這種安全防護技術會先對網絡安全需求以及將會面臨的安全狀況進行全面的分析，并會在對網絡安全問題進行高度重視的同時，確保系統之間信息、數據的正常運用。在這種環境下，防火墻會起到對內部網絡安全區域進行隔離的目的，能夠對網絡問題的范圍進行有效的控制。

（2）身份認證，網絡安全體系結構要應設置用戶身份識別方式，來對用戶身份進行確定。一方面會利用主體已知秘密，像密鑰以及口令等來對用戶身份進行鑒別，這種方式分為一次性與系統生成等方式，變化頻率較為頻繁，非法分子識別難度較大；另一方面會使用主體特有特征以及物品進行識別，像指紋以及智能卡等等，這種密碼的安全系數相對較高，尤其是主體特征識別，更是目前主要使用的高識別方式。

（3）DIS，借由扇形安全掃描對整體網絡系統進行掃描與分析，并生成檢測報告，對整體網絡系統定期進行安全監測，以便在短時間內對系統中的漏洞與不足進行修復，并告知檢測人員系統目前存在的問題，以便檢測人員及時做出科學的安全補修策略。

3 網絡安全實現方案

（1）構建具備集中管控、遠程安裝、升級和分級查殺等功能，完成全方位、多層次防護的防病毒系統，對服務器、Web網關的全面控制，對病毒可以寄生的全部節點進行控制，避免病毒傳播和寄生。

（2）構建多個防病毒子系統，其中網關防病毒子系統，可以切實完成對來自郵件的SMTP、POP3病毒等的防御的截殺，并完成對HTTP、FTP等應用的病毒風險控制。網絡層的防病毒子系統，根據OSI模型的基本情況，完成對所有網絡層的病毒防控，切斷外部病毒的傳播途徑。

（3）構建內網安全管理系統，根據網絡安全體系結構的設計情況，完成對內網的安全管理。結合認證授權、網絡監控和的安全存儲、日志報表等，完成對企業內網的網絡安全控制。

（4）安全行為記錄，企業的集中防病毒系統完成對用戶、管理員的行為和網絡設備的相關動作進行記錄，借由記錄情況，完成對網絡安全的保護【2】。

綜上所述，結合網絡安全體系結構設計原則和OSI模型等內容，構建的企業集中式防病毒系統，可以有效的實現網絡安全體系結構的構建，并實現網絡安全。

4 結束語

在解讀網絡安全體系結構設計的基礎上，分析網絡安全體系結構的設計，結合OSI基本模型的基本情況，對網絡安全實現方案進行闡述。

（1）具體的設計原則主要囊括：完整性、安全性、實時性、可控性和保密性。

（2）結合具體的設計原則，完成對網絡安全體系結構的設計，完成對病毒和風險的控制。

（3）結合企業的基本情況，完成對集中防病毒系統的構建，實現企業網絡安全。

[1]王秋華，章堅武，駱懿.網絡安全體系結構的設計與實現[J].杭州電子科技大學學報，2005.

[2]吳建平，林嵩，徐恪，劉瑩，朱敏.可演進的新一代互聯網體系結構研究進展[J].計算機學報，2012.