安全網(wǎng)絡(luò)的概念模型以及安全網(wǎng)絡(luò)技術(shù)與安全評估機制

孟鑫　陳媛　張振江

摘要：網(wǎng)絡(luò)安全就是防范一個網(wǎng)絡(luò)系統(tǒng)潛在的危機，對于一個網(wǎng)絡(luò)系統(tǒng)來說，網(wǎng)絡(luò)安全的目標就是保證網(wǎng)絡(luò)數(shù)據(jù)的安全性和網(wǎng)絡(luò)資源的安全性。該文對安全網(wǎng)絡(luò)的概念模型、安全網(wǎng)絡(luò)技術(shù)與安全評估機制進行了詳細的分析。

關(guān)鍵詞：網(wǎng)絡(luò)安全；概念模型；網(wǎng)絡(luò)技術(shù)；安全評估機制

中圖分類號：TP391 文獻標識碼：A 文章編號：1009-3044（2013）09-2094-02

1 構(gòu)建網(wǎng)絡(luò)安全模型

隨著計算機網(wǎng)絡(luò)的大量普及，網(wǎng)絡(luò)安全問題引起人們的重視。目前中國已經(jīng)有Web、Mail等服務(wù)，隨著Internet技術(shù)的發(fā)展，電子商務(wù)的各種增值業(yè)務(wù)將會越來越多，但是計算機網(wǎng)絡(luò)體系結(jié)構(gòu)TCP/IP的不設(shè)防性和開放性使網(wǎng)絡(luò)安全問題不可避免，因此信息的安全也顯得尤為重要。提升網(wǎng)絡(luò)的安全性，首先必須構(gòu)建一個網(wǎng)絡(luò)安全的模型，在模型內(nèi)部進行優(yōu)化組合，為網(wǎng)絡(luò)的安全性能提供技術(shù)保證。

1.1 模型子系統(tǒng)設(shè)計

以滿足安全需求為目的，從技術(shù)和組織管理兩個角度進行模型子系統(tǒng)的綜合設(shè)計。模型的子系統(tǒng)的優(yōu)化設(shè)計是構(gòu)建安全網(wǎng)絡(luò)的基礎(chǔ)，必須以實現(xiàn)總系統(tǒng)的安全需求為目標。將模型的各個子系統(tǒng)根據(jù)具體的功能進行細致劃分，前期的劃分是組建安全模型的基礎(chǔ)，在系統(tǒng)內(nèi)部需要進一步的綜合，確保安全模型的各個部分完美搭配。

1.2 內(nèi)容綜合

最優(yōu)化最安全的網(wǎng)絡(luò)系統(tǒng)，內(nèi)部必須有完整的要素構(gòu)成，各個部分之間有機配合，對實現(xiàn)系統(tǒng)的安全目標有準確的定位。首先要求系統(tǒng)做到專一，這種專一主要指各部分內(nèi)容的配合，內(nèi)容的特點準確 各個內(nèi)容之間的關(guān)系清晰，如果一個網(wǎng)絡(luò)系統(tǒng)包含所有的內(nèi)容，很難達到內(nèi)容各要素之間的精確描述和呈現(xiàn)，網(wǎng)絡(luò)的安全目標難以達到。

1.3 用戶驗證

以模型子系統(tǒng)層次關(guān)系為基礎(chǔ)設(shè)計模型，可以對任何用戶，不管內(nèi)網(wǎng)和外網(wǎng)的，進行訪問合法性的檢驗。保護層面的入侵監(jiān)測系統(tǒng)對用戶的身份進行驗證，合法用戶將順利通過，非法用戶將被有效攔截。因此，用戶的身份驗證是確定是否具有訪問資格的唯一有效信息。系統(tǒng)內(nèi)部的各層機制相互配合，可以增加訪問的合法性，避免了出現(xiàn)某個要素遭到破換而導(dǎo)致不合法的訪問，引起整個系統(tǒng)的安全問題。網(wǎng)絡(luò)的安全管理必須有法治的保證，使安全管理達到有法可依，依法行事，健全當(dāng)前的網(wǎng)絡(luò)各項安全法規(guī)。在模型內(nèi)，網(wǎng)絡(luò)安全綜合管理系統(tǒng)可以聯(lián)系各個部分，因此具有重要的地位。安全評估與分析系統(tǒng)，對系統(tǒng)的各項指標進行分析，包括定性或定量的指標，用戶根據(jù)對系統(tǒng)的評估情況，對網(wǎng)絡(luò)系統(tǒng)的安全性采取一定的措施。

1.4 關(guān)系分析

對模型的各個子系統(tǒng)進行優(yōu)化整合是第一步，然后根據(jù)分層原理來構(gòu)建安全的網(wǎng)絡(luò)模型。主要從以下的四個層次來劃分和組建，包括保護機制、基礎(chǔ)要素、安全管理和響應(yīng)機制。其中保護機制層包括防火墻、入侵檢測、身份認證、數(shù)字加密等內(nèi)容；基礎(chǔ)要素層包括用戶管理、訪問許可管理、密鑰管理、網(wǎng)絡(luò)安全資源管理、漏洞檢測等內(nèi)容；安全管理層主要包括網(wǎng)絡(luò)安全系統(tǒng)綜合管理；響應(yīng)機制層主要包括安全評估與分析、風(fēng)險管理、備份與恢復(fù)等內(nèi)容。把保護機制、基礎(chǔ)要素、響應(yīng)機制三個層次緊密聯(lián)系起來，形成一個以網(wǎng)絡(luò)安全管理為中心，改變各部分的孤立狀態(tài)，實現(xiàn)系統(tǒng)內(nèi)部的進行有機的連接，孤立分散的狀態(tài)自動降低了網(wǎng)絡(luò)的安全性能，一旦某個系統(tǒng)遭到破壞，可能導(dǎo)致網(wǎng)絡(luò)的癱瘓。系統(tǒng)之間相互聯(lián)系可以使信息共享，電腦對反饋的信息及時做出反應(yīng)，整合系統(tǒng)內(nèi)部的功能，阻止不良信息或病毒的入侵，網(wǎng)絡(luò)的安全性得到保證。

2 基于信息安全控制的網(wǎng)絡(luò)技術(shù)

網(wǎng)絡(luò)的信息安全系統(tǒng)是不斷變化的，因為信息的威脅來自兩個方面，內(nèi)部和外部，內(nèi)部的可以及時控制，外部的危害會帶來更加嚴重的后果。以信息系統(tǒng)的特點為依據(jù)進行網(wǎng)絡(luò)的安全控制，必須確保各個系統(tǒng)內(nèi)部的各個要素具有很高的保護標準。一般的安全網(wǎng)絡(luò)模塊有負責(zé)通信的相互認證、密鑰協(xié)商的認證模塊和負責(zé)用戶控制，動態(tài)反饋的控制模塊，這些模塊都要有完備性和隔離性。完備性能夠使對信息的全部操作都必須經(jīng)過安全模塊的檢測，只有符合標準的才能通過。隔離性是把用戶與安全控制模塊分開，這樣可以防止模塊被非法修改，也能及時監(jiān)測到安全模塊的不合法操作，迅速終止非法操作。

網(wǎng)絡(luò)面對的用戶是各種各樣的，不同的用戶有不同的要求，為了達到每一個用戶的滿意，必須將各個方面的信息進行快速準確的整合，系統(tǒng)之間的通訊配置，要具有高度的精確性。信息在結(jié)點之間流動時候產(chǎn)生泄漏或破壞，因此，必須有一個統(tǒng)一的控制措施對訪問進行控制。以信息安全控制為基礎(chǔ)的網(wǎng)絡(luò)技術(shù)實現(xiàn)的是一個繁雜的多樣化的有機聯(lián)系，保障的是整個系統(tǒng)所用用戶的安全，系統(tǒng)內(nèi)部各個點的信息都要建立安全的連結(jié)，改變僅一個用戶和一個服務(wù)器聯(lián)系的傳統(tǒng)安全模式。對用戶的身份進行實時檢驗，將檢測的信息及時反饋給安全控制管理，這樣做的消除了網(wǎng)絡(luò)內(nèi)部的安全隱患，提高了網(wǎng)絡(luò)內(nèi)部的安全性能。使這個問題得到了解決。

3 監(jiān)測漏洞技術(shù)的網(wǎng)絡(luò)安全評估系統(tǒng)

下面描述的模型是基于C--S為基礎(chǔ)的一種互動模型。

模型在工作過程中，通過漏洞驅(qū)動的反饋機制，實現(xiàn)對整個系統(tǒng)的管理。

1）程序開始。將客戶端安裝到主機上，系統(tǒng)內(nèi)部的中央管控對客戶端進行掃描，將掃描獲得的信息搜集整合到一個數(shù)據(jù)庫，在數(shù)據(jù)庫內(nèi)部完成信息的初始化。

2）調(diào)度插件。插件的調(diào)度根據(jù)掃描的不同階段，采取不同的辦法。插件調(diào)度系數(shù)高的先調(diào)用，插件的調(diào)度系數(shù)，由插件的初始風(fēng)險系數(shù)和掃描漏洞的預(yù)期完成時間所決定，在掃描過程中，根據(jù)特定時刻檢測到的漏洞信息，分析系統(tǒng)的安全狀況，針對安全度的高低來不斷調(diào)整插件。

中央控管調(diào)度中心依照漏洞庫對客戶端進行掃描，發(fā)現(xiàn)新漏洞后初步修補漏洞，實時監(jiān)控客戶端的掃描和補丁，更新日志通過掃描監(jiān)控模塊管理客戶端的補丁更新模塊，自動到補丁庫更新最新的補丁，同時提示掃描控制中心進行漏洞補丁庫更新。

3）客戶端對發(fā)現(xiàn)的系統(tǒng)漏洞進行及時的處理，如果存在系統(tǒng)的漏洞，客戶端要根據(jù)檢測到的漏洞判斷系統(tǒng)有多大風(fēng)險，將系統(tǒng)所處的風(fēng)險狀態(tài)快速發(fā)給中央控管調(diào)度中心，控管調(diào)度中心具有漏洞驅(qū)動的反饋機制，沒有反饋信息，就說明當(dāng)前的網(wǎng)絡(luò)系統(tǒng)處在一個安全的狀態(tài)。

4）網(wǎng)絡(luò)安全的評估報告是系統(tǒng)改進的依據(jù)，對完善系統(tǒng)具有重要的作用。插件對系統(tǒng)的風(fēng)險進行量化的計算，客戶端依據(jù)量化計算的結(jié)果，把與漏洞相關(guān)的信息抽取出來，根據(jù)這些信息制作網(wǎng)絡(luò)安全風(fēng)險報告。網(wǎng)絡(luò)的管理者根據(jù)提供的風(fēng)險報告，采取一定的手段提高系統(tǒng)的安全等級。

4 結(jié)束語

知識經(jīng)濟時代，信息在給我們帶來巨大便利的同時，也存在著安全的隱患。隨著互網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)的安全問題是當(dāng)今信息時代的面臨的一個嚴峻問題，提高網(wǎng)絡(luò)的安全狀態(tài)，關(guān)系到信息的安全性，關(guān)系到網(wǎng)絡(luò)的健康發(fā)展，關(guān)系到網(wǎng)絡(luò)時代每個人的切身利益。所以，必須引起我們的高度重視。在原有技術(shù)的基礎(chǔ)上不斷進行創(chuàng)新，促進網(wǎng)絡(luò)安全技術(shù)的不斷完善，實現(xiàn)在網(wǎng)絡(luò)的安全控制廣泛應(yīng)用，是我們面臨的一個問題。

參考文獻：

[1] 胡健.以信息安全控制原理為基礎(chǔ)的安全網(wǎng)絡(luò)技術(shù)[J].才智，2011，5（6）：58.

[2] 張恒山，管會生.基于安全問題描述的網(wǎng)絡(luò)安全模型[J].通信技術(shù)，2009， 42 （3）：177-182.

[3] 楊光，印桂生，文齊.一種基于漏洞檢測技術(shù)的網(wǎng)絡(luò)安全評估系統(tǒng)[J].北京地區(qū)高校研究生學(xué)術(shù)交流會—通信與信息技術(shù)會議論文集，2006，4（12）：41-45.