晨雨

摘 要：本文從網(wǎng)絡安全體系的概念入手，分析安全體系目前所面臨的威脅與不安全因素，重點列出了一個網(wǎng)絡安全體系所必備的安全功能。然后提出了一種三維的框架結構，介紹了一種網(wǎng)絡安全體系，最后對其應用情況做出了分析。

關鍵詞：網(wǎng)絡安全體系；框架結構；應用

計算機網(wǎng)絡的應用的日趨廣泛與深入已毋庸贅言，用戶間的信息交流也越來越頻繁，然而，越來越多的網(wǎng)絡安全問題也先后出現(xiàn)，信息流動的泄露、破壞，病毒的傳播、木馬的入侵等眾多問題。網(wǎng)絡系統(tǒng)的安全性能對于信息安全、設備保護等無疑是十分必要的。如何構建一種網(wǎng)絡安全的體系框架，及其實際的應用成為一個急迫而重要的課題。

一、網(wǎng)絡安全體系的概念

網(wǎng)絡安全體系從整體角度而言，包括安全服務與安全機制兩方面。安全體系的構建不僅要包括決定安全體系的各種因素，更重要的是要定義各種因素之間的聯(lián)系，從而構建出一個有機的整體。

安全服務簡而言之就是一種在數(shù)據(jù)的傳輸和處理上提供安全的方法手段。安全體系結構模型中所定義的安全服務如圖示1：

圖1 安全體系結構定義安全服務圖示

安全機制則是具體的安全服務實現(xiàn)的機制。安全機制實際上是一些程序，用于實現(xiàn)安全服務。安全機制常用的方式如圖2：

圖2 安全機制形式圖示

同時值得強調(diào)的是，安全政策的制定也至關重要。其內(nèi)容包括不安全因素的分析、防范技術、運行的責任劃分、事故的應急處理、安全管理等方面。安全政策的制定要注重周期性的更新。

二、網(wǎng)絡安全體系的功能介紹

網(wǎng)絡安全保護應該從兩方面入手。首先是修補網(wǎng)絡系統(tǒng)漏洞，健全系統(tǒng)各方面的功能。其次是加強系統(tǒng)的管理監(jiān)測，對于系統(tǒng)的運行狀態(tài)進行實時監(jiān)控，對于不正常的進程和活動，要有措施進行干預和記錄。針對上述的網(wǎng)絡安全威脅以及目前的研究，此處介紹一種網(wǎng)絡安全體系的應該具備的功能，如圖3所示：

目前而言，一個完備的計算機網(wǎng)絡安全系統(tǒng)必須具備以上的各項功能，隨著計算機網(wǎng)絡的應用與發(fā)展必然會出現(xiàn)新的網(wǎng)絡安全問題，同時保護功能的增加將成為必然。

圖3 網(wǎng)絡系統(tǒng)安全保護功能圖示

三、網(wǎng)絡安全體系的框架結構及其應用

1、網(wǎng)絡安全體系的框架結構

計算機網(wǎng)絡安全體系的框架結構對于體系的建設以及實行都有著至關重要的意義。然而，框架的構建如果僅僅從一個角度出發(fā)，是難以完成的，需要從較為全面的角度來考慮。這里介紹一種框架模型，從協(xié)議層次、安全服務、實體單元三個方面，全面的分析考慮體系框架的建立。其三維結構圖如圖4：

圖4 計算機安全網(wǎng)絡體系的三維框架結構

從安全服務角度，各種不同的安全服務的應用場合是不同的，相互之間也有著緊密的聯(lián)系。不同的應用環(huán)境如果只是選取一種安全服務往往是無效的，通常需要幾種安全服務同時應用。從T CP /I P 協(xié)議體系角度，該結構體系只在應用層完成安全服務較多，而在傳輸層與應用層應用較少，對于鏈路層和物理層則基本沒有應用。因此可以采用兩種安全機制增強器安全性，包括數(shù)據(jù)源發(fā)及其完整性的監(jiān)測，以及傳輸層采用數(shù)據(jù)加密手段。從實體單元角度，安全技術的對各個單元的劃分可以按照計算機網(wǎng)絡安全、計算機系統(tǒng)安全、應用系統(tǒng)安全這幾個層次劃分。

2.安全威脅的防御策略

網(wǎng)絡安全體系的威脅來自與各個方面與環(huán)節(jié)，一般采用的防御策略如下：加強加密技術的應用，構建密碼系統(tǒng)；在不同網(wǎng)絡區(qū)域間構建防火墻，實時訪問控制，身份識別等；構建入侵檢測系統(tǒng)，實時監(jiān)測攻擊和違反安全策略的行為，同時還有采用漏洞掃描、身份認證、殺毒軟件等手段。

3、安全體系的應用

就目前而言，還沒有安全系統(tǒng)能夠滿足所有的安全需求。在網(wǎng)絡安全體系的構建中往往難以從所有角度，將整個系統(tǒng)作為一個整體來對待。在安全方案的設計中，有一個前提是針對性的應用安全技術，掌握技術應用的具體對象，才能有效的構建系統(tǒng)，組織設備和系統(tǒng)。安全體系在個層次的應用情況如下：

端系統(tǒng)安全，其目的在于保護網(wǎng)絡環(huán)境下系統(tǒng)自身的安全，通過采用安全技術來保證信息的正常傳送和完整性，其采用技術包括用戶身份鑒別、訪問控制、網(wǎng)絡監(jiān)察技術、入侵防范技術等。比如UNIX系統(tǒng)中的安全機制就是這方面的體現(xiàn)。

網(wǎng)絡通信安全從兩個方面來保證。首先是網(wǎng)絡設備的保護，包括網(wǎng)絡基礎設備可用性的保障、網(wǎng)絡服務、網(wǎng)絡軟件、通信鏈路、子網(wǎng)和信道等一系列的設施的保護。其次是在網(wǎng)絡內(nèi)部的系統(tǒng)角度，同時從分層安全管理的上層角度入手，比如，在網(wǎng)關處采用IPSEC技術，能夠?qū)崿F(xiàn)對整個網(wǎng)絡系統(tǒng)提供服務，包括數(shù)據(jù)保密、訪問控制、認

證等。

在應用系統(tǒng)安全方面，由于傳統(tǒng)的應用系統(tǒng)存在著安全服務的缺失漏洞而致安全隱患。在本文介紹的安全體系框架結構下，可以不修改傳統(tǒng)系統(tǒng)，而僅僅通過在應用層代理就可以達到增加安全服務的目的。同時由于應用系統(tǒng)的獨立性，造成管理上的困難。本框架下可以在實際的應用中提供統(tǒng)一的服務標準，如基于Kerboros的DCE安全框架、SESAME系統(tǒng)等，提供統(tǒng)一的認證服務、信息保密、數(shù)據(jù)完整性、授權、訪問控制等。除了上述系統(tǒng)提供的安全有效的服務，應用系統(tǒng)的可用性還應該基于良好的管理與監(jiān)控以及入侵的實時監(jiān)測。

網(wǎng)絡安全體系的框架下，安全管理在整個安全系統(tǒng)中的應用時至關重要的。安全管理機制的應用，對于安全服務和安全機制的實效都有著十分重要的意義。網(wǎng)絡安全管理應該從兩個方面著手，包括實施監(jiān)控和設施管理。具體而言可以采用防火墻等一系列設備手段的管理，構建監(jiān)測系統(tǒng)實施管理，認證服務中Kerberos、TACACS、raidius等的管理。目前，管理機制并不完善，管理的缺失往往是造成漏洞的威脅，統(tǒng)一的安全管理機制也是一個重要的研究課程。

總之，該種安全體系的構建和應用，是以安全需求分析為前提的，通過邏輯關系提出了安全服務模型，能有效的擴大現(xiàn)有的安全體系的應用范圍，對于電子商務、重要的電子信件、保密性強的文件等都有著較高的可靠性、保護性。

參考文獻

[1] 韓行；陳瀛；計算機網(wǎng)絡安全體系結構及其技術[A]；機械科學研究總院；機電產(chǎn)品開發(fā)與創(chuàng)新；2006年9月

[2] 徐雅；計算機網(wǎng)絡安全體系研究[A]；南京曉莊學院行知學院；信息與電腦；2009年第9期

[3] 王秋華；章堅武；駱懿；網(wǎng)絡安全體系結構的設計與實現(xiàn)[A]；電子科技大學通信工程學院；杭州電子科技大學學報；1001-9146（2005）05-0041-04