郝麗蓉(河北省經(jīng)濟(jì)信息中心,河北 石家莊 050051)
網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)
郝麗蓉
(河北省經(jīng)濟(jì)信息中心,河北 石家莊 050051)
摘 要:在網(wǎng)絡(luò)建設(shè)和普及的過(guò)程中,網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)和實(shí)現(xiàn)關(guān)系重大。只有設(shè)計(jì)并實(shí)現(xiàn)完善的網(wǎng)絡(luò)安全體系結(jié)構(gòu),才能推動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的繼續(xù)發(fā)展,拓寬計(jì)算機(jī)網(wǎng)絡(luò)的使用領(lǐng)域。本文對(duì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的框架進(jìn)行了簡(jiǎn)要的介紹,并分析了網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)。
關(guān)鍵詞:網(wǎng)絡(luò)安全體系結(jié)構(gòu);設(shè)計(jì);實(shí)現(xiàn)
由于計(jì)算機(jī)網(wǎng)絡(luò)具有多樣性的聯(lián)結(jié)形式,網(wǎng)絡(luò)本身具有互連性和開(kāi)放性,其終端分布具有不均勻性,因此計(jì)算機(jī)網(wǎng)絡(luò)很容易遭到各種惡意軟件和黑客的攻擊,給用戶帶來(lái)巨大的損失。本文對(duì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)和實(shí)現(xiàn)進(jìn)行了分析,希望能夠?qū)⑼晟啤?jiān)實(shí)的網(wǎng)絡(luò)安全體系建立起來(lái),保障計(jì)算機(jī)網(wǎng)絡(luò)的安全。
對(duì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)主要有四個(gè)基本步驟:定義網(wǎng)絡(luò)安全策略、分析網(wǎng)絡(luò)安全需求、網(wǎng)絡(luò)安全設(shè)計(jì)和網(wǎng)絡(luò)安全實(shí)現(xiàn)。這就需要先以高級(jí)安全策略和控制為依據(jù),將安全規(guī)范進(jìn)行形式化處理,從而設(shè)計(jì)并實(shí)現(xiàn)系統(tǒng)中的執(zhí)行機(jī)制。
1.1定義網(wǎng)絡(luò)安全策略
定義網(wǎng)絡(luò)安全策略指的是詳細(xì)描述網(wǎng)絡(luò)安全策略,這是為了將支持和管理提供給網(wǎng)絡(luò)安全。要結(jié)合其他領(lǐng)域來(lái)考慮網(wǎng)絡(luò)安全系統(tǒng),例如社會(huì)機(jī)制、通信安全、操作安全、人員安全和物理安全。要以向?qū)謨?cè)ISO/IEC為依據(jù)來(lái)分析企業(yè)的風(fēng)險(xiǎn),最后產(chǎn)生的網(wǎng)絡(luò)安全和控制文檔是由自然語(yǔ)言描述的,也就是所謂的高級(jí)安全策略。
1.2分析網(wǎng)絡(luò)安全需求
網(wǎng)絡(luò)安全需求的分析是對(duì)高級(jí)安全策略進(jìn)行的形式描述,并得到更高形式的安全策略。這種做法的優(yōu)點(diǎn)在于對(duì)策略之間的沖突進(jìn)行檢查,并將自然語(yǔ)言對(duì)中高級(jí)策略比較含糊的描述消除。
網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)目標(biāo)在于轉(zhuǎn)換安全系統(tǒng)模型中的中高級(jí)安全策略,設(shè)計(jì)相應(yīng)的執(zhí)行機(jī)制。網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)又包括安全策略的設(shè)計(jì)和體系結(jié)構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)。
2.1設(shè)計(jì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)
以上一步的安全需求為基礎(chǔ),有針對(duì)性的安全體系結(jié)構(gòu)構(gòu)建起來(lái),對(duì)網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行有力的保障。設(shè)計(jì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的目的在于將網(wǎng)絡(luò)安全系統(tǒng)的全面結(jié)構(gòu)建立起來(lái),這就需要一種技術(shù)能夠?qū)⒔M件提出來(lái)并進(jìn)行構(gòu)建。在體系結(jié)構(gòu)中各層進(jìn)行安全的邏輯分配時(shí),要考慮全面的安全需求以及OSI參考模型中的層級(jí)之間的依賴性。
網(wǎng)絡(luò)安全體系結(jié)構(gòu)包括網(wǎng)絡(luò)安全層、輔助網(wǎng)絡(luò)安全層、安全應(yīng)用層。網(wǎng)絡(luò)安全層是將OSI模型中前三層的安全功能提供出來(lái),包括傳輸層、數(shù)據(jù)鏈路層和物理層。輔助網(wǎng)絡(luò)安全層的主要作用是將OSI模型中四至七層的安全功能提供出來(lái),也就是提供網(wǎng)絡(luò)層至應(yīng)用層的安全功能,并增加網(wǎng)絡(luò)安全層的安全。安全應(yīng)用層的功能在于將OSI模型中第七層的安全提供出來(lái),也就是應(yīng)用層,保障存儲(chǔ)平臺(tái)和服務(wù)器的安全。只在網(wǎng)絡(luò)安全層上進(jìn)行VLANs和訪問(wèn)列表的操作??梢栽谳o助網(wǎng)絡(luò)安全層或網(wǎng)絡(luò)安全層上進(jìn)行防火墻操作,在應(yīng)用安全層或網(wǎng)絡(luò)輔助層實(shí)現(xiàn)SSL。安全體系中可以映射普通的安全技術(shù)。
2.2設(shè)計(jì)與實(shí)現(xiàn)網(wǎng)絡(luò)安全策略
在網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)中,網(wǎng)絡(luò)安全策略的設(shè)計(jì)與實(shí)現(xiàn)屬于第二步。設(shè)計(jì)與實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的目的就是定義一套設(shè)計(jì)級(jí)安全策略,作為一種框架底層的抽象策略。這種網(wǎng)絡(luò)安全策略設(shè)計(jì)與實(shí)現(xiàn)接近于技術(shù)執(zhí)行。在計(jì)算機(jī)網(wǎng)絡(luò)配置中,部門和組織經(jīng)常變化,從而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)提出不同的安全需求。因此網(wǎng)絡(luò)安全具有動(dòng)態(tài)性,要經(jīng)常根據(jù)需要調(diào)整組織的安全策略,企業(yè)需要進(jìn)行適當(dāng)?shù)脑O(shè)計(jì),并對(duì)安全策略進(jìn)行執(zhí)行,這是一個(gè)過(guò)程,也是一個(gè)現(xiàn)存的文檔。企業(yè)最新的需求服務(wù)和基礎(chǔ)組織都在其升級(jí)、實(shí)現(xiàn)和執(zhí)行的過(guò)程中得到反映。這就要求安全策略要能夠識(shí)別資源中的風(fēng)險(xiǎn),提出相應(yīng)的方法來(lái)緩解威脅。要對(duì)每個(gè)用戶和組可以訪問(wèn)的資源進(jìn)行定義,包括對(duì)審計(jì)跟蹤的用戶進(jìn)行定義,并幫助用戶發(fā)現(xiàn)并識(shí)別侵害,對(duì)侵害進(jìn)行響應(yīng)。
所有的安全組件的領(lǐng)域都應(yīng)該在安全策略的管理范圍之內(nèi),例如認(rèn)證技術(shù)、路由器、訪問(wèn)列表、IDS和防火墻等,從而構(gòu)建網(wǎng)絡(luò)安全策略管理的實(shí)現(xiàn)模型。網(wǎng)絡(luò)安全策略管理的實(shí)現(xiàn)模型以IETF安全體系框架中的RFC2753策略管理為基礎(chǔ),在整個(gè)網(wǎng)絡(luò)中都要執(zhí)行該模型的策略管理,例如網(wǎng)絡(luò)安全層、輔助網(wǎng)絡(luò)安全層和應(yīng)用安全層等,其適合所有的應(yīng)用和用戶。
策略管理功能包括三個(gè)方面:策略實(shí)現(xiàn)點(diǎn)、策略決定點(diǎn)和策略倉(cāng)庫(kù)。網(wǎng)絡(luò)目錄中的一切策略信息都存儲(chǔ)在策略倉(cāng)庫(kù)中,能夠?qū)Ψ?wù)、計(jì)算機(jī)、應(yīng)用和網(wǎng)絡(luò)用戶進(jìn)行描述,并在專用數(shù)據(jù)庫(kù)上進(jìn)行執(zhí)行。
策略服務(wù)器或策略決定點(diǎn)則是對(duì)網(wǎng)絡(luò)策略進(jìn)行抽象,使其成為策略控制信息,向策略執(zhí)行點(diǎn)進(jìn)行傳遞。策略實(shí)現(xiàn)點(diǎn)則是接受PAPs中的策略,作為安全或網(wǎng)絡(luò)設(shè)備。公共開(kāi)放策略服務(wù)則是對(duì)以TCP為基礎(chǔ)的協(xié)議進(jìn)行應(yīng)答的簡(jiǎn)單請(qǐng)求,能夠交換PEPs和PDP之間的策略信息。
實(shí)現(xiàn)網(wǎng)絡(luò)安全主要靠一些實(shí)現(xiàn)機(jī)制。通過(guò)安全體系結(jié)構(gòu)中工作站和服務(wù)器上運(yùn)行的網(wǎng)絡(luò)安全管理,利用網(wǎng)絡(luò)輔助級(jí)和網(wǎng)絡(luò)級(jí)的安全來(lái)使應(yīng)用級(jí)進(jìn)行安全的實(shí)現(xiàn)。由特殊的用戶作為網(wǎng)絡(luò)操作者,這些主體擁有嚴(yán)格的授權(quán)程序和認(rèn)證,其具有更大的功能權(quán)限和訪問(wèn)授權(quán),因此必須保障他們行為和訪問(wèn)的安全,只有這樣才能對(duì)網(wǎng)絡(luò)的存活能力、性能額配置進(jìn)行保護(hù)。網(wǎng)絡(luò)的管理系統(tǒng)越集中,企業(yè)越開(kāi)放,其對(duì)安全管理過(guò)程的安全需求就越高。
網(wǎng)絡(luò)安全的實(shí)現(xiàn)機(jī)制主要有反病毒保護(hù)、主機(jī)加固、入侵監(jiān)測(cè)、VLANs、防火墻、安全遠(yuǎn)程訪問(wèn)、加密、網(wǎng)絡(luò)操作授權(quán)、網(wǎng)絡(luò)操作認(rèn)真以及安全行為記錄等領(lǐng)域。用戶和管理員的行為會(huì)被安全行為記錄跟蹤,網(wǎng)絡(luò)操作者則對(duì)口令的執(zhí)行和集中管理進(jìn)行認(rèn)證。
網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)關(guān)系著網(wǎng)絡(luò)用戶的使用安全,對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的健康發(fā)展有著重要的影響。本文對(duì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)進(jìn)行了簡(jiǎn)要的介紹,并對(duì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與網(wǎng)絡(luò)安全體系結(jié)構(gòu)的實(shí)現(xiàn)進(jìn)行了介紹,必須結(jié)合網(wǎng)絡(luò)安全的實(shí)現(xiàn)機(jī)制、安全策略的管理和安全體系的結(jié)構(gòu),推動(dòng)網(wǎng)絡(luò)安全實(shí)現(xiàn)機(jī)制的構(gòu)建,這也是計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的必然要求。
參考文獻(xiàn)
[1]趙中營(yíng),徐佩鋒.網(wǎng)絡(luò)安全技術(shù)及其缺陷[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2013(17).
[2]韓海波.“一網(wǎng)雙平面”—一種新的廣域骨干網(wǎng)絡(luò)架構(gòu)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2013(08).
[3]于穎蔚. 淺議辦公自動(dòng)化的網(wǎng)絡(luò)安全性[J].電子制作,2013(09).
中圖分類號(hào):TP393
文獻(xiàn)標(biāo)識(shí)碼:A
作者簡(jiǎn)介:郝麗蓉,女,河北省石家莊市,1968/12,副高級(jí)工程師,電子工程專業(yè),河北省經(jīng)濟(jì)信息中心 。