淺談網(wǎng)絡(luò)安全策略

鄒 鈺

（徐州財(cái)經(jīng)高等職業(yè)技術(shù)學(xué)校，江蘇 徐州 221008）

1 安全策略的分類(lèi)

安全策略分為基于身份的安全策略和基于規(guī)則的安全策略?；谏矸莸陌踩呗允沁^(guò)濾對(duì)數(shù)據(jù)或資源的訪問(wèn)，有兩種執(zhí)行方法：若訪問(wèn)權(quán)限為訪問(wèn)者所有，典型的作法為特權(quán)標(biāo)記或特殊授權(quán)，即僅為用戶及相應(yīng)活動(dòng)進(jìn)程進(jìn)行授權(quán)；若為訪問(wèn)數(shù)據(jù)所有則可以采用訪問(wèn)控制表（ACL）。這兩種情況中，數(shù)據(jù)項(xiàng)的大小有很大的變化，數(shù)據(jù)權(quán)力命名也可以帶自己的ACL。

基于規(guī)則的安全策略是指建立在特定的，個(gè)體化屬性之上的授權(quán)準(zhǔn)則，授權(quán)通常依賴于敏感性。在一個(gè)安全系統(tǒng)中，數(shù)據(jù)或資源應(yīng)該標(biāo)注安全標(biāo)記，而且用戶活動(dòng)應(yīng)該得到相應(yīng)的安全標(biāo)記。

2 安全策略的配置

開(kāi)放式網(wǎng)絡(luò)環(huán)境下用戶的合法權(quán)益通常受到兩種方式的侵害：主動(dòng)攻擊和被動(dòng)攻擊，主動(dòng)攻擊包括對(duì)用戶信息的竊取，對(duì)信息流量的分析。根據(jù)用戶對(duì)安全的需求可以采用以下保護(hù)：

（1）身份認(rèn)證。檢驗(yàn)用戶的身份是否合法、防止身份冒充及對(duì)用戶實(shí)施訪問(wèn)控制數(shù)據(jù)完整性鑒別、防止數(shù)據(jù)被偽造、修改和刪除。

（2）信息保密。防止用戶數(shù)據(jù)被泄、竊取，保護(hù)用戶的隱私。

（3）數(shù)字簽名。防止用戶否認(rèn)對(duì)數(shù)據(jù)所做的處理。

（4）訪問(wèn)控制。對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行控制。

（5）不可否認(rèn)性。也稱不可抵賴性，即防止對(duì)數(shù)據(jù)操作的否認(rèn)。

3 安全策略的實(shí)現(xiàn)流程

安全策略的實(shí)現(xiàn)涉及到以下幾個(gè)主要方面，見(jiàn)圖1。

（1）證書(shū)管理：主要是指公開(kāi)密銀證書(shū)的產(chǎn)生、分配更新和驗(yàn)證。

（2）密銀管理：包括密銀的產(chǎn)生、協(xié)商、交換和更新，目的是為了在通信的終端系統(tǒng)之間建立實(shí)現(xiàn)安全策略所需的共享密銀。

（3）安全協(xié)作：是在不同的終端系統(tǒng)之間協(xié)商建立共同采用的安全策略，包括安全策略實(shí)施所在層次、具體采用的認(rèn)證、加密算法和步驟、如何處理差錯(cuò)。

（4）安全算法實(shí)現(xiàn)：具體算法的實(shí)現(xiàn)，如PES、RSA。

（5）安全策略數(shù)據(jù)庫(kù)：保存與具體建立的安全策略有關(guān)的狀態(tài)、變量、指針。

圖1 安全策略實(shí)現(xiàn)流程

4 網(wǎng)絡(luò)安全發(fā)展趨勢(shì)

總的看來(lái)，對(duì)等網(wǎng)絡(luò)將成為主流，與網(wǎng)格共存。網(wǎng)絡(luò)進(jìn)化的未來(lái)——綠色網(wǎng)絡(luò)呼喚著新的信息安全保障體系。

國(guó)際互聯(lián)網(wǎng)允許自主接入，從而構(gòu)成一個(gè)規(guī)模龐大的、復(fù)雜的巨系統(tǒng)，在如此復(fù)雜的環(huán)境下，孤立的技術(shù)發(fā)揮的作用有限，必須從整體的和體系的角度，綜合運(yùn)用系統(tǒng)論、控制論和信息論等理論，融合各種技術(shù)手段，加強(qiáng)自主創(chuàng)新和頂層設(shè)計(jì)，協(xié)同解決網(wǎng)絡(luò)安全問(wèn)題。

保證網(wǎng)絡(luò)安全還需嚴(yán)格的手段，未來(lái)網(wǎng)絡(luò)安全領(lǐng)域可能發(fā)生3件事，第一，是向更高級(jí)別的認(rèn)證轉(zhuǎn)移；第二，目前存儲(chǔ)在用戶計(jì)算機(jī)上的復(fù)雜數(shù)據(jù)將“向上移動(dòng)”，由與銀行相似的機(jī)構(gòu)確保它們的安全；第三，是在全世界的國(guó)家和地區(qū)建立與駕照相似的制度，它們?cè)谟?jì)算機(jī)銷(xiāo)售時(shí)限制計(jì)算機(jī)的運(yùn)算能力，或要求用戶演示在自己的計(jì)算機(jī)受到攻擊時(shí)抵御攻擊的能力。