鄒 鈺

（徐州財經(jīng)高等職業(yè)技術(shù)學(xué)校，江蘇 徐州 221008）

1 安全策略的分類

安全策略分為基于身份的安全策略和基于規(guī)則的安全策略?；谏矸莸陌踩呗允沁^濾對數(shù)據(jù)或資源的訪問，有兩種執(zhí)行方法：若訪問權(quán)限為訪問者所有，典型的作法為特權(quán)標記或特殊授權(quán)，即僅為用戶及相應(yīng)活動進程進行授權(quán)；若為訪問數(shù)據(jù)所有則可以采用訪問控制表（ACL）。這兩種情況中，數(shù)據(jù)項的大小有很大的變化，數(shù)據(jù)權(quán)力命名也可以帶自己的ACL。

基于規(guī)則的安全策略是指建立在特定的，個體化屬性之上的授權(quán)準則，授權(quán)通常依賴于敏感性。在一個安全系統(tǒng)中，數(shù)據(jù)或資源應(yīng)該標注安全標記，而且用戶活動應(yīng)該得到相應(yīng)的安全標記。

2 安全策略的配置

開放式網(wǎng)絡(luò)環(huán)境下用戶的合法權(quán)益通常受到兩種方式的侵害：主動攻擊和被動攻擊，主動攻擊包括對用戶信息的竊取，對信息流量的分析。根據(jù)用戶對安全的需求可以采用以下保護：

（1）身份認證。檢驗用戶的身份是否合法、防止身份冒充及對用戶實施訪問控制數(shù)據(jù)完整性鑒別、防止數(shù)據(jù)被偽造、修改和刪除。

（2）信息保密。防止用戶數(shù)據(jù)被泄、竊取，保護用戶的隱私。

（3）數(shù)字簽名。防止用戶否認對數(shù)據(jù)所做的處理。

（4）訪問控制。對用戶的訪問權(quán)限進行控制。

（5）不可否認性。也稱不可抵賴性，即防止對數(shù)據(jù)操作的否認。

3 安全策略的實現(xiàn)流程

安全策略的實現(xiàn)涉及到以下幾個主要方面，見圖1。

（1）證書管理：主要是指公開密銀證書的產(chǎn)生、分配更新和驗證。

（2）密銀管理：包括密銀的產(chǎn)生、協(xié)商、交換和更新，目的是為了在通信的終端系統(tǒng)之間建立實現(xiàn)安全策略所需的共享密銀。

（3）安全協(xié)作：是在不同的終端系統(tǒng)之間協(xié)商建立共同采用的安全策略，包括安全策略實施所在層次、具體采用的認證、加密算法和步驟、如何處理差錯。

（4）安全算法實現(xiàn)：具體算法的實現(xiàn)，如PES、RSA。

（5）安全策略數(shù)據(jù)庫：保存與具體建立的安全策略有關(guān)的狀態(tài)、變量、指針。

圖1 安全策略實現(xiàn)流程

4 網(wǎng)絡(luò)安全發(fā)展趨勢

總的看來，對等網(wǎng)絡(luò)將成為主流，與網(wǎng)格共存。網(wǎng)絡(luò)進化的未來——綠色網(wǎng)絡(luò)呼喚著新的信息安全保障體系。

國際互聯(lián)網(wǎng)允許自主接入，從而構(gòu)成一個規(guī)模龐大的、復(fù)雜的巨系統(tǒng)，在如此復(fù)雜的環(huán)境下，孤立的技術(shù)發(fā)揮的作用有限，必須從整體的和體系的角度，綜合運用系統(tǒng)論、控制論和信息論等理論，融合各種技術(shù)手段，加強自主創(chuàng)新和頂層設(shè)計，協(xié)同解決網(wǎng)絡(luò)安全問題。

保證網(wǎng)絡(luò)安全還需嚴格的手段，未來網(wǎng)絡(luò)安全領(lǐng)域可能發(fā)生3件事，第一，是向更高級別的認證轉(zhuǎn)移；第二，目前存儲在用戶計算機上的復(fù)雜數(shù)據(jù)將“向上移動”，由與銀行相似的機構(gòu)確保它們的安全；第三，是在全世界的國家和地區(qū)建立與駕照相似的制度，它們在計算機銷售時限制計算機的運算能力，或要求用戶演示在自己的計算機受到攻擊時抵御攻擊的能力。