郝麗蓉（河北省經(jīng)濟(jì)信息中心，河北 石家莊 050051）

網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)

郝麗蓉
（河北省經(jīng)濟(jì)信息中心，河北 石家莊 050051）

摘 要：在網(wǎng)絡(luò)建設(shè)和普及的過(guò)程中，網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)和實(shí)現(xiàn)關(guān)系重大。只有設(shè)計(jì)并實(shí)現(xiàn)完善的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，才能推動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的繼續(xù)發(fā)展，拓寬計(jì)算機(jī)網(wǎng)絡(luò)的使用領(lǐng)域。本文對(duì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的框架進(jìn)行了簡(jiǎn)要的介紹，并分析了網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)。

關(guān)鍵詞：網(wǎng)絡(luò)安全體系結(jié)構(gòu)；設(shè)計(jì)；實(shí)現(xiàn)

由于計(jì)算機(jī)網(wǎng)絡(luò)具有多樣性的聯(lián)結(jié)形式，網(wǎng)絡(luò)本身具有互連性和開(kāi)放性，其終端分布具有不均勻性，因此計(jì)算機(jī)網(wǎng)絡(luò)很容易遭到各種惡意軟件和黑客的攻擊，給用戶帶來(lái)巨大的損失。本文對(duì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)和實(shí)現(xiàn)進(jìn)行了分析，希望能夠?qū)⑼晟啤?jiān)實(shí)的網(wǎng)絡(luò)安全體系建立起來(lái)，保障計(jì)算機(jī)網(wǎng)絡(luò)的安全。

1 網(wǎng)絡(luò)安全體系的結(jié)構(gòu)

對(duì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)主要有四個(gè)基本步驟：定義網(wǎng)絡(luò)安全策略、分析網(wǎng)絡(luò)安全需求、網(wǎng)絡(luò)安全設(shè)計(jì)和網(wǎng)絡(luò)安全實(shí)現(xiàn)。這就需要先以高級(jí)安全策略和控制為依據(jù)，將安全規(guī)范進(jìn)行形式化處理，從而設(shè)計(jì)并實(shí)現(xiàn)系統(tǒng)中的執(zhí)行機(jī)制。

1.1定義網(wǎng)絡(luò)安全策略

定義網(wǎng)絡(luò)安全策略指的是詳細(xì)描述網(wǎng)絡(luò)安全策略，這是為了將支持和管理提供給網(wǎng)絡(luò)安全。要結(jié)合其他領(lǐng)域來(lái)考慮網(wǎng)絡(luò)安全系統(tǒng)，例如社會(huì)機(jī)制、通信安全、操作安全、人員安全和物理安全。要以向?qū)謨?cè)ISO/IEC為依據(jù)來(lái)分析企業(yè)的風(fēng)險(xiǎn)，最后產(chǎn)生的網(wǎng)絡(luò)安全和控制文檔是由自然語(yǔ)言描述的，也就是所謂的高級(jí)安全策略。

1.2分析網(wǎng)絡(luò)安全需求

網(wǎng)絡(luò)安全需求的分析是對(duì)高級(jí)安全策略進(jìn)行的形式描述，并得到更高形式的安全策略。這種做法的優(yōu)點(diǎn)在于對(duì)策略之間的沖突進(jìn)行檢查，并將自然語(yǔ)言對(duì)中高級(jí)策略比較含糊的描述消除。

2 網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)

網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)目標(biāo)在于轉(zhuǎn)換安全系統(tǒng)模型中的中高級(jí)安全策略，設(shè)計(jì)相應(yīng)的執(zhí)行機(jī)制。網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)又包括安全策略的設(shè)計(jì)和體系結(jié)構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)。

2.1設(shè)計(jì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)

以上一步的安全需求為基礎(chǔ)，有針對(duì)性的安全體系結(jié)構(gòu)構(gòu)建起來(lái)，對(duì)網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行有力的保障。設(shè)計(jì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的目的在于將網(wǎng)絡(luò)安全系統(tǒng)的全面結(jié)構(gòu)建立起來(lái)，這就需要一種技術(shù)能夠?qū)⒔M件提出來(lái)并進(jìn)行構(gòu)建。在體系結(jié)構(gòu)中各層進(jìn)行安全的邏輯分配時(shí)，要考慮全面的安全需求以及OSI參考模型中的層級(jí)之間的依賴性。

網(wǎng)絡(luò)安全體系結(jié)構(gòu)包括網(wǎng)絡(luò)安全層、輔助網(wǎng)絡(luò)安全層、安全應(yīng)用層。網(wǎng)絡(luò)安全層是將OSI模型中前三層的安全功能提供出來(lái)，包括傳輸層、數(shù)據(jù)鏈路層和物理層。輔助網(wǎng)絡(luò)安全層的主要作用是將OSI模型中四至七層的安全功能提供出來(lái)，也就是提供網(wǎng)絡(luò)層至應(yīng)用層的安全功能，并增加網(wǎng)絡(luò)安全層的安全。安全應(yīng)用層的功能在于將OSI模型中第七層的安全提供出來(lái)，也就是應(yīng)用層，保障存儲(chǔ)平臺(tái)和服務(wù)器的安全。只在網(wǎng)絡(luò)安全層上進(jìn)行VLANs和訪問(wèn)列表的操作?？梢栽谳o助網(wǎng)絡(luò)安全層或網(wǎng)絡(luò)安全層上進(jìn)行防火墻操作，在應(yīng)用安全層或網(wǎng)絡(luò)輔助層實(shí)現(xiàn)SSL。安全體系中可以映射普通的安全技術(shù)。

2.2設(shè)計(jì)與實(shí)現(xiàn)網(wǎng)絡(luò)安全策略

在網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)中，網(wǎng)絡(luò)安全策略的設(shè)計(jì)與實(shí)現(xiàn)屬于第二步。設(shè)計(jì)與實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的目的就是定義一套設(shè)計(jì)級(jí)安全策略，作為一種框架底層的抽象策略。這種網(wǎng)絡(luò)安全策略設(shè)計(jì)與實(shí)現(xiàn)接近于技術(shù)執(zhí)行。在計(jì)算機(jī)網(wǎng)絡(luò)配置中，部門和組織經(jīng)常變化，從而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)提出不同的安全需求。因此網(wǎng)絡(luò)安全具有動(dòng)態(tài)性，要經(jīng)常根據(jù)需要調(diào)整組織的安全策略，企業(yè)需要進(jìn)行適當(dāng)?shù)脑O(shè)計(jì)，并對(duì)安全策略進(jìn)行執(zhí)行，這是一個(gè)過(guò)程，也是一個(gè)現(xiàn)存的文檔。企業(yè)最新的需求服務(wù)和基礎(chǔ)組織都在其升級(jí)、實(shí)現(xiàn)和執(zhí)行的過(guò)程中得到反映。這就要求安全策略要能夠識(shí)別資源中的風(fēng)險(xiǎn)，提出相應(yīng)的方法來(lái)緩解威脅。要對(duì)每個(gè)用戶和組可以訪問(wèn)的資源進(jìn)行定義，包括對(duì)審計(jì)跟蹤的用戶進(jìn)行定義，并幫助用戶發(fā)現(xiàn)并識(shí)別侵害，對(duì)侵害進(jìn)行響應(yīng)。

所有的安全組件的領(lǐng)域都應(yīng)該在安全策略的管理范圍之內(nèi)，例如認(rèn)證技術(shù)、路由器、訪問(wèn)列表、IDS和防火墻等，從而構(gòu)建網(wǎng)絡(luò)安全策略管理的實(shí)現(xiàn)模型。網(wǎng)絡(luò)安全策略管理的實(shí)現(xiàn)模型以IETF安全體系框架中的RFC2753策略管理為基礎(chǔ)，在整個(gè)網(wǎng)絡(luò)中都要執(zhí)行該模型的策略管理，例如網(wǎng)絡(luò)安全層、輔助網(wǎng)絡(luò)安全層和應(yīng)用安全層等，其適合所有的應(yīng)用和用戶。

策略管理功能包括三個(gè)方面：策略實(shí)現(xiàn)點(diǎn)、策略決定點(diǎn)和策略倉(cāng)庫(kù)。網(wǎng)絡(luò)目錄中的一切策略信息都存儲(chǔ)在策略倉(cāng)庫(kù)中，能夠?qū)Ψ?wù)、計(jì)算機(jī)、應(yīng)用和網(wǎng)絡(luò)用戶進(jìn)行描述，并在專用數(shù)據(jù)庫(kù)上進(jìn)行執(zhí)行。

策略服務(wù)器或策略決定點(diǎn)則是對(duì)網(wǎng)絡(luò)策略進(jìn)行抽象，使其成為策略控制信息，向策略執(zhí)行點(diǎn)進(jìn)行傳遞。策略實(shí)現(xiàn)點(diǎn)則是接受PAPs中的策略，作為安全或網(wǎng)絡(luò)設(shè)備。公共開(kāi)放策略服務(wù)則是對(duì)以TCP為基礎(chǔ)的協(xié)議進(jìn)行應(yīng)答的簡(jiǎn)單請(qǐng)求，能夠交換PEPs和PDP之間的策略信息。

3 實(shí)現(xiàn)網(wǎng)絡(luò)安全

實(shí)現(xiàn)網(wǎng)絡(luò)安全主要靠一些實(shí)現(xiàn)機(jī)制。通過(guò)安全體系結(jié)構(gòu)中工作站和服務(wù)器上運(yùn)行的網(wǎng)絡(luò)安全管理，利用網(wǎng)絡(luò)輔助級(jí)和網(wǎng)絡(luò)級(jí)的安全來(lái)使應(yīng)用級(jí)進(jìn)行安全的實(shí)現(xiàn)。由特殊的用戶作為網(wǎng)絡(luò)操作者，這些主體擁有嚴(yán)格的授權(quán)程序和認(rèn)證，其具有更大的功能權(quán)限和訪問(wèn)授權(quán)，因此必須保障他們行為和訪問(wèn)的安全，只有這樣才能對(duì)網(wǎng)絡(luò)的存活能力、性能額配置進(jìn)行保護(hù)。網(wǎng)絡(luò)的管理系統(tǒng)越集中，企業(yè)越開(kāi)放，其對(duì)安全管理過(guò)程的安全需求就越高。

網(wǎng)絡(luò)安全的實(shí)現(xiàn)機(jī)制主要有反病毒保護(hù)、主機(jī)加固、入侵監(jiān)測(cè)、VLANs、防火墻、安全遠(yuǎn)程訪問(wèn)、加密、網(wǎng)絡(luò)操作授權(quán)、網(wǎng)絡(luò)操作認(rèn)真以及安全行為記錄等領(lǐng)域。用戶和管理員的行為會(huì)被安全行為記錄跟蹤，網(wǎng)絡(luò)操作者則對(duì)口令的執(zhí)行和集中管理進(jìn)行認(rèn)證。

結(jié)語(yǔ)

網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)關(guān)系著網(wǎng)絡(luò)用戶的使用安全，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的健康發(fā)展有著重要的影響。本文對(duì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)進(jìn)行了簡(jiǎn)要的介紹，并對(duì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與網(wǎng)絡(luò)安全體系結(jié)構(gòu)的實(shí)現(xiàn)進(jìn)行了介紹，必須結(jié)合網(wǎng)絡(luò)安全的實(shí)現(xiàn)機(jī)制、安全策略的管理和安全體系的結(jié)構(gòu)，推動(dòng)網(wǎng)絡(luò)安全實(shí)現(xiàn)機(jī)制的構(gòu)建，這也是計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的必然要求。

參考文獻(xiàn)

[1]趙中營(yíng)，徐佩鋒.網(wǎng)絡(luò)安全技術(shù)及其缺陷[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013（17）.

[2]韓海波.“一網(wǎng)雙平面”—一種新的廣域骨干網(wǎng)絡(luò)架構(gòu)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2013（08）.

[3]于穎蔚. 淺議辦公自動(dòng)化的網(wǎng)絡(luò)安全性[J].電子制作，2013（09）.

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)識(shí)碼：A

作者簡(jiǎn)介：郝麗蓉，女，河北省石家莊市，1968/12，副高級(jí)工程師，電子工程專業(yè)，河北省經(jīng)濟(jì)信息中心 。