摘 要：當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)廣泛應(yīng)用為人們所關(guān)注，計(jì)算機(jī)網(wǎng)絡(luò)安全顯得非常重要，必須采取有力的措施來保證計(jì)算機(jī)網(wǎng)絡(luò)的安全。本文分析了計(jì)算機(jī)網(wǎng)絡(luò)安全體系的含義以及其安全機(jī)制，并對于當(dāng)前網(wǎng)絡(luò)安全應(yīng)涉及的一些內(nèi)容做了介紹。

關(guān)鍵詞：網(wǎng)絡(luò)安全；計(jì)算機(jī)；網(wǎng)絡(luò)通信

中圖分類號：TP393.08

計(jì)算機(jī)技術(shù)正在日新月異地迅猛發(fā)展，功能強(qiáng)大的計(jì)算機(jī)和Intranet/Internet在世界范圍內(nèi)普及。信息化和網(wǎng)絡(luò)化是當(dāng)今世界經(jīng)濟(jì)與社會發(fā)展的大趨勢，信息資源的深入開發(fā)利用以及各行各業(yè)的信息化、網(wǎng)絡(luò)化己經(jīng)迅速展開；全社會廣泛應(yīng)用信息技術(shù)，計(jì)算機(jī)網(wǎng)絡(luò)廣泛應(yīng)用為人們所關(guān)注。

面對當(dāng)前嚴(yán)重危害計(jì)算機(jī)網(wǎng)絡(luò)的種種威脅，必須采取有力的措施來保證計(jì)算機(jī)網(wǎng)絡(luò)的安全。但是現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)大多數(shù)在建立之初都忽略了安全問題，既是考慮了安全，也僅把安全機(jī)制建立在物理安全機(jī)制上。本文分析了計(jì)算機(jī)網(wǎng)絡(luò)安全體系的含義以及其安全機(jī)制，并對于當(dāng)前網(wǎng)絡(luò)安全應(yīng)涉及的一些內(nèi)容做了介紹。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全機(jī)制分析

安全性機(jī)制是操作系統(tǒng)、軟硬件功能部件、管理程序以及它們的任意組合，為一個(gè)信息系統(tǒng)的任意部件檢測和防止被動與主動威脅的方法。安全機(jī)制與安全性服務(wù)有關(guān)，機(jī)制是用于實(shí)現(xiàn)服務(wù)的程序，OSI定義的安全性機(jī)制有加密、數(shù)字簽名、鑒別、訪問控制、通信量填充、路由控制、公證等。安全性服務(wù)和安全性機(jī)制有一定的對應(yīng)關(guān)系，例如：機(jī)密性服務(wù)可以通過加密、通信量填充和路由控制來實(shí)現(xiàn)。另外，加密不僅可以是機(jī)密性服務(wù)的成分，而且還可以是完整性和鑒別服務(wù)的成分。

2 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系結(jié)構(gòu)

2.1 用戶安全層

用戶安全層不屬于OSI環(huán)境，由于OSI標(biāo)準(zhǔn)是不針對非法用戶進(jìn)行直接防范的，但是在一些非法用戶進(jìn)入系統(tǒng)之后，對網(wǎng)絡(luò)安全就會有很大的威脅，因此，這時(shí)的用戶安全層就可以對非法用戶起到遏制作用。可見，網(wǎng)絡(luò)安全層是安全服務(wù)的最基本環(huán)節(jié)，也是一項(xiàng)重要的安全措施。用戶安全層對用戶提供訪問控制安全服務(wù)，可以識別非法以及合法用戶。并采用加密措施、數(shù)據(jù)完整性和認(rèn)證互換機(jī)制等技術(shù)，加強(qiáng)網(wǎng)絡(luò)安全服務(wù)。

2.2 應(yīng)用安全層

該層主要包括OSI環(huán)境的應(yīng)用層、表示層和會話層，應(yīng)用安全層可以對信息傳輸、域名服務(wù)、遠(yuǎn)程終端等網(wǎng)絡(luò)運(yùn)行指定一條有效的運(yùn)行標(biāo)準(zhǔn)，為上層用戶提供數(shù)據(jù)或信息語法的表示轉(zhuǎn)換。負(fù)責(zé)系統(tǒng)內(nèi)部的數(shù)據(jù)表示與抽象數(shù)據(jù)表示之間的轉(zhuǎn)換工作，還能實(shí)現(xiàn)數(shù)據(jù)加密和解壓縮等轉(zhuǎn)換功能。在這一層，用戶可以實(shí)現(xiàn)網(wǎng)絡(luò)身份認(rèn)證、數(shù)字簽名、防止否認(rèn)，及加密等安全措施，不僅保護(hù)了用戶信息的安全，也加強(qiáng)了網(wǎng)絡(luò)信息的完整性，避免一些非法用戶利用信息漏洞干擾計(jì)算機(jī)的運(yùn)行。

2.3 端—端安全層

包括OSI環(huán)境的傳輸層端—端安全層為上層用戶提供不依賴于具體網(wǎng)絡(luò)的高效、經(jīng)濟(jì)、透明的端-端數(shù)據(jù)傳輸服務(wù)。同時(shí)可以通過上一層用戶提供安全服務(wù)，以及建立一條獨(dú)立的鏈接，或者建立多條鏈接，以此來分散傳輸?shù)臄?shù)量，間斷傳輸?shù)臅r(shí)間，這些多條的傳輸?shù)男畔蛻魜碚f都是透明的。端—端安全層不得采用業(yè)務(wù)量來填充技術(shù)，但其余的技術(shù)與其他安全層是相同的。但是，由于端—端安全層的協(xié)議較少，所以人們對他的關(guān)注不如子網(wǎng)安全層。

2.4 子網(wǎng)安全層

包括OSI環(huán)境的網(wǎng)絡(luò)層，它的主要作用就是講數(shù)據(jù)線做一定長度的分組，再將分組信息進(jìn)行傳遞。子網(wǎng)安全層可以使用的安全技術(shù)種類很多，如：加密、訪問控制、數(shù)字簽名、路由選擇控制、業(yè)務(wù)量填充和數(shù)據(jù)完整性，這些也都是子網(wǎng)安全層本身的特點(diǎn)。

2.5 鏈路安全層

鏈路安全層就是利用有效手段，將已經(jīng)出現(xiàn)錯(cuò)誤的鏈接信息轉(zhuǎn)化成還沒有出現(xiàn)錯(cuò)誤的信息進(jìn)行傳遞。它將數(shù)據(jù)分為一個(gè)一個(gè)的數(shù)據(jù)幀，以數(shù)據(jù)幀為單位開始傳遞。包括OSI環(huán)境的數(shù)據(jù)鏈路層和物理層，物理層的規(guī)定就是網(wǎng)絡(luò)接口，但是，要在這個(gè)環(huán)節(jié)內(nèi)做安全管理是十分有限的，主要是業(yè)務(wù)量填充和加密技術(shù)。

在沒有出現(xiàn)密碼學(xué)之前，加密主要在物理層進(jìn)行，但如今，已經(jīng)很少在物理層上做加密處理了，因?yàn)槌杀靖?，還不利于管理。數(shù)據(jù)鏈路層可以采用加密技術(shù)，由于不同的鏈路層協(xié)議的幀格式都有區(qū)別，因此，在加密時(shí)，必須采取不同的數(shù)據(jù)幀鏈接，可見，在鏈路安全層可以采用數(shù)據(jù)加密和業(yè)務(wù)量填充技術(shù)。

3 安全體系的實(shí)現(xiàn)

3.1 安全服務(wù)的選擇

實(shí)際實(shí)現(xiàn)時(shí)，我們通常是對一個(gè)具體的網(wǎng)絡(luò)做要求，選擇一個(gè)子集加以實(shí)現(xiàn)。然而，怎樣選擇合適的子集就成為了關(guān)鍵的問題，因?yàn)樽蛹倪x擇會直接影響到網(wǎng)絡(luò)的安全。例如，我們在物理層提供安全加密時(shí)，當(dāng)密文到達(dá)通信子網(wǎng)，為了開展路由選擇，就必須解碼。此時(shí)，計(jì)算機(jī)侵襲者就可以通過非法方式獲得信息。又如，僅在網(wǎng)絡(luò)層提供數(shù)據(jù)保密服務(wù)時(shí)，外部攻擊可以采取鏈接上獲得沒有加密的三層的報(bào)文信息，其余的詳細(xì)信息也很容易獲得。有時(shí)，子集的選擇也能滿足特殊的情況。例如，當(dāng)只需要保護(hù)高層的安全時(shí)，使安全服務(wù)與通信飛網(wǎng)無關(guān)，那所有的安全服務(wù)設(shè)置就可以由高層提供。

3.2 軟件實(shí)現(xiàn)和硬件實(shí)現(xiàn)

通過軟件實(shí)行安全管理也是可行的，其方法是，將所有的安全實(shí)現(xiàn)軟件結(jié)合在一起，作為DTE系統(tǒng)軟件的一部分，同時(shí)通過計(jì)算機(jī)服務(wù)語言對這些軟件進(jìn)行操作。但是，一味的利用軟件，會增加成本和管理難度。為了提高工作效率和安全性，實(shí)現(xiàn)軟件和硬件的結(jié)合，是進(jìn)行安全服務(wù)的重要手段。

3.3 安全控制器（SCU）

硬件和軟件結(jié)合的方法就是設(shè)計(jì)一種安全控制器。這種控制器可有兩種類型。首先是將安全服務(wù)嵌入通信控制器，這種通信控制系統(tǒng)可以有協(xié)議，可以實(shí)現(xiàn)有效的安全服務(wù)。其次是將安全服務(wù)獨(dú)立到通信控制器之外，重新設(shè)計(jì)一種新的控制器。這樣做可以避免修改現(xiàn)有的通信控制器，區(qū)分安全控制器和通信控制器。這兩種安全控制器的功能都是由硬件和軟件相結(jié)合實(shí)現(xiàn)的。

4 安全技術(shù)的研究現(xiàn)狀和動向

我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開展研究，各部分相互協(xié)同形成有機(jī)整體。國際上信息安全研究起步較早，力度大，積累多，應(yīng)用廣，在70年代美國的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計(jì)算機(jī)保密模型”（Beu La padula模型）的基礎(chǔ)上，指定了“可信計(jì)算機(jī)系統(tǒng)安全評估準(zhǔn)則”（TCSEC），其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面和系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。

安全協(xié)議作為信息安全的重要內(nèi)容，其形式化方法分析始于80年代初，目前有基于狀態(tài)機(jī)、模態(tài)邏輯和代數(shù)工具的三種分析方法，但仍有局限性和漏洞，處于發(fā)展的提高階段。作為信息安全關(guān)鍵技術(shù)密碼學(xué)，近年來空前活躍，美、歐、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會議頻繁。在我國信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯俊㈤_發(fā)和探索，以走出有中國特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，趕上或超過發(fā)達(dá)國家的水平，以此保證我國信息網(wǎng)絡(luò)的安全，推動我國國民經(jīng)濟(jì)的高速發(fā)展。

參考文獻(xiàn)：

[1]趙立志，林偉.淺析網(wǎng)絡(luò)安全技術(shù)[J].民營科技，2012（03）：193.

[2]李鐵.網(wǎng)絡(luò)安全層次分析[J].甘肅科技，2013（24）：16-17.

作者單位：國網(wǎng)江西省電力公司贛西供電分公司，江西新余 338000