◆馮智能

（空軍預(yù)警學(xué)院 湖北 430019）

網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計原則與實現(xiàn)方案研究

◆馮智能

（空軍預(yù)警學(xué)院 湖北 430019）

分析網(wǎng)絡(luò)安全結(jié)構(gòu)體系，結(jié)合具體的設(shè)計原則，制定適宜的網(wǎng)絡(luò)安全體系結(jié)構(gòu)實現(xiàn)方案，完成對網(wǎng)絡(luò)中部分安全問題的處理，構(gòu)建安全、可靠安全體系結(jié)構(gòu)，為網(wǎng)絡(luò)用戶營造健康、綠色和安全的網(wǎng)絡(luò)環(huán)境，提升服務(wù)水平和服務(wù)質(zhì)量。

網(wǎng)絡(luò)安全體系結(jié)構(gòu)；設(shè)計原則；實現(xiàn)方案；信息數(shù)據(jù)

1 網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計原則

（1）保密性

網(wǎng)絡(luò)系統(tǒng)內(nèi)部會存在大量的信息，這些信息由于其功能不同，其保密性與重要程度也有所差異。因此設(shè)計人員必須要在進(jìn)行網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)設(shè)計時，設(shè)計出不同級別的信息保護(hù)方案，根據(jù)用戶信息級別的基本情況，使得用戶能夠在自己權(quán)限范圍內(nèi)，獲取相關(guān)信息，避免非法泄露的情況發(fā)生。

（2）完整性

在對數(shù)據(jù)庫進(jìn)行設(shè)置時，要加入用戶身份識別以及使用權(quán)限兩種安全措施，要對每一位用數(shù)據(jù)庫的使用者，都進(jìn)行權(quán)限設(shè)定與鑒別。而且要對每份數(shù)據(jù)設(shè)置恢復(fù)與備份功能，并要對重要性數(shù)據(jù)，展開容錯保護(hù)處理，切實提高數(shù)據(jù)保護(hù)安全等級同時，安全性防護(hù)必須要持續(xù)到信息的生命周期止，整體安全結(jié)構(gòu)要具有較高的敏感性，確保信息的真實、完整。

（3）可控性

網(wǎng)絡(luò)安全體系結(jié)構(gòu)，需要保障用戶在完成信息索求、獲取和存儲等功能，需要保障網(wǎng)絡(luò)信息具備良好可控性，用戶能夠根據(jù)自己的需求，對相關(guān)信息進(jìn)行編輯、傳遞和存儲。另外，網(wǎng)絡(luò)安全體系結(jié)構(gòu)需要在用戶索求信息搜索可以得到的目標(biāo)信息，提高信息的可用性【1】。

2 網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計的具體內(nèi)容

結(jié)合網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計原則、網(wǎng)絡(luò)安全需求等內(nèi)容，完成對網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計。結(jié)合OSI模型的基本情況，對網(wǎng)絡(luò)安全體系結(jié)構(gòu)對OSI參考模型的層級之間的依賴性進(jìn)行解讀和分析，如下圖1所示為OSI整體結(jié)構(gòu)模型。

圖1 網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計具體流程圖。

如圖2所示，可以得到網(wǎng)絡(luò)安全體系結(jié)構(gòu)都是由多層結(jié)構(gòu)組合而成，不同組件都會運用不同的技術(shù)，且承擔(dān)著不同的功能，各個層級之間在存在差異的同時，也存在一些特定的聯(lián)系，在邏輯層面上，“安全”已經(jīng)被合理分配到各個結(jié)構(gòu)之中。其中，整體結(jié)構(gòu)模型中，一層到三層屬于網(wǎng)絡(luò)安全層，主要通過傳輸層、物理以及數(shù)據(jù)鏈接的方式，實施安全功能；四層到七層是輔助網(wǎng)絡(luò)安全層，能夠有效提高上一層的安全防護(hù)；而第七層即為安全應(yīng)用層，能夠?qū)Υ鎯ζ脚_以及服務(wù)器提供安全保護(hù)措施，具體設(shè)計中，需要將其具體的功能提出，且完成對網(wǎng)絡(luò)的保護(hù)任務(wù)。另外，網(wǎng)絡(luò)安全層需要完成對“VLANS”與訪問列表的相關(guān)設(shè)置等工作。設(shè)計中，展開的網(wǎng)絡(luò)安全層或是輔助網(wǎng)絡(luò)層上展開的防火墻的操作工作，切實將安全體系結(jié)構(gòu)中得到的安全技術(shù)的映射。

圖2 OSI整體結(jié)構(gòu)模型

（1）防火墻技術(shù)：①訪問控制系統(tǒng)與內(nèi)外網(wǎng)隔離，在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間設(shè)置防火墻，是最為常用且高效的網(wǎng)絡(luò)隔離與訪問控制措施。按照防范吃重點以及防范方式，可以將防火墻技術(shù)分為應(yīng)用代理以及分組過濾兩類：應(yīng)用代理也被稱之為“應(yīng)用網(wǎng)關(guān)”，主要在應(yīng)用程開展相應(yīng)保護(hù)措施，具有網(wǎng)絡(luò)通信流阻隔的優(yōu)勢，可以利用多種應(yīng)用服務(wù)編制代理程序?qū)?yīng)用程通信流進(jìn)行控制與管理；與上一種類型的防火墻技術(shù)有所不同，分組顧慮主要應(yīng)用在傳輸層以及網(wǎng)絡(luò)層，這種技術(shù)是通過對協(xié)議類型、分組包頭源地址以及目的地址等內(nèi)容，來對數(shù)據(jù)包是否通過進(jìn)行確認(rèn)，從而將不符合過濾邏輯的數(shù)據(jù)包進(jìn)行合理的處理，避免不良信息以及病毒傳入。②對網(wǎng)絡(luò)安全區(qū)域進(jìn)行訪問控制與隔離，對內(nèi)部網(wǎng)絡(luò)進(jìn)行安全區(qū)域規(guī)劃，與傳統(tǒng)層面上的物理隔離方式并不相同，這種安全防護(hù)技術(shù)會先對網(wǎng)絡(luò)安全需求以及將會面臨的安全狀況進(jìn)行全面的分析，并會在對網(wǎng)絡(luò)安全問題進(jìn)行高度重視的同時，確保系統(tǒng)之間信息、數(shù)據(jù)的正常運用。在這種環(huán)境下，防火墻會起到對內(nèi)部網(wǎng)絡(luò)安全區(qū)域進(jìn)行隔離的目的，能夠?qū)W(wǎng)絡(luò)問題的范圍進(jìn)行有效的控制。

（2）身份認(rèn)證，網(wǎng)絡(luò)安全體系結(jié)構(gòu)要應(yīng)設(shè)置用戶身份識別方式，來對用戶身份進(jìn)行確定。一方面會利用主體已知秘密，像密鑰以及口令等來對用戶身份進(jìn)行鑒別，這種方式分為一次性與系統(tǒng)生成等方式，變化頻率較為頻繁，非法分子識別難度較大；另一方面會使用主體特有特征以及物品進(jìn)行識別，像指紋以及智能卡等等，這種密碼的安全系數(shù)相對較高，尤其是主體特征識別，更是目前主要使用的高識別方式。

（3）DIS，借由扇形安全掃描對整體網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描與分析，并生成檢測報告，對整體網(wǎng)絡(luò)系統(tǒng)定期進(jìn)行安全監(jiān)測，以便在短時間內(nèi)對系統(tǒng)中的漏洞與不足進(jìn)行修復(fù)，并告知檢測人員系統(tǒng)目前存在的問題，以便檢測人員及時做出科學(xué)的安全補(bǔ)修策略。

3 網(wǎng)絡(luò)安全實現(xiàn)方案

（1）構(gòu)建具備集中管控、遠(yuǎn)程安裝、升級和分級查殺等功能，完成全方位、多層次防護(hù)的防病毒系統(tǒng)，對服務(wù)器、Web網(wǎng)關(guān)的全面控制，對病毒可以寄生的全部節(jié)點進(jìn)行控制，避免病毒傳播和寄生。

（2）構(gòu)建多個防病毒子系統(tǒng)，其中網(wǎng)關(guān)防病毒子系統(tǒng)，可以切實完成對來自郵件的SMTP、POP3病毒等的防御的截殺，并完成對HTTP、FTP等應(yīng)用的病毒風(fēng)險控制。網(wǎng)絡(luò)層的防病毒子系統(tǒng)，根據(jù)OSI模型的基本情況，完成對所有網(wǎng)絡(luò)層的病毒防控，切斷外部病毒的傳播途徑。

（3）構(gòu)建內(nèi)網(wǎng)安全管理系統(tǒng)，根據(jù)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計情況，完成對內(nèi)網(wǎng)的安全管理。結(jié)合認(rèn)證授權(quán)、網(wǎng)絡(luò)監(jiān)控和的安全存儲、日志報表等，完成對企業(yè)內(nèi)網(wǎng)的網(wǎng)絡(luò)安全控制。

（4）安全行為記錄，企業(yè)的集中防病毒系統(tǒng)完成對用戶、管理員的行為和網(wǎng)絡(luò)設(shè)備的相關(guān)動作進(jìn)行記錄，借由記錄情況，完成對網(wǎng)絡(luò)安全的保護(hù)【2】。

綜上所述，結(jié)合網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計原則和OSI模型等內(nèi)容，構(gòu)建的企業(yè)集中式防病毒系統(tǒng)，可以有效的實現(xiàn)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的構(gòu)建，并實現(xiàn)網(wǎng)絡(luò)安全。

4 結(jié)束語

在解讀網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計的基礎(chǔ)上，分析網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計，結(jié)合OSI基本模型的基本情況，對網(wǎng)絡(luò)安全實現(xiàn)方案進(jìn)行闡述。

（1）具體的設(shè)計原則主要囊括：完整性、安全性、實時性、可控性和保密性。

（2）結(jié)合具體的設(shè)計原則，完成對網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計，完成對病毒和風(fēng)險的控制。

（3）結(jié)合企業(yè)的基本情況，完成對集中防病毒系統(tǒng)的構(gòu)建，實現(xiàn)企業(yè)網(wǎng)絡(luò)安全。

[1]王秋華，章堅武，駱懿.網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計與實現(xiàn)[J].杭州電子科技大學(xué)學(xué)報，2005.

[2]吳建平，林嵩，徐恪，劉瑩，朱敏.可演進(jìn)的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)研究進(jìn)展[J].計算機(jī)學(xué)報，2012.