淺析計算機網(wǎng)絡(luò)安全體系的框架結(jié)構(gòu)及應(yīng)用

晨雨

摘 要：本文從網(wǎng)絡(luò)安全體系的概念入手，分析安全體系目前所面臨的威脅與不安全因素，重點列出了一個網(wǎng)絡(luò)安全體系所必備的安全功能。然后提出了一種三維的框架結(jié)構(gòu)，介紹了一種網(wǎng)絡(luò)安全體系，最后對其應(yīng)用情況做出了分析。

關(guān)鍵詞：網(wǎng)絡(luò)安全體系；框架結(jié)構(gòu)；應(yīng)用

計算機網(wǎng)絡(luò)的應(yīng)用的日趨廣泛與深入已毋庸贅言，用戶間的信息交流也越來越頻繁，然而，越來越多的網(wǎng)絡(luò)安全問題也先后出現(xiàn)，信息流動的泄露、破壞，病毒的傳播、木馬的入侵等眾多問題。網(wǎng)絡(luò)系統(tǒng)的安全性能對于信息安全、設(shè)備保護等無疑是十分必要的。如何構(gòu)建一種網(wǎng)絡(luò)安全的體系框架，及其實際的應(yīng)用成為一個急迫而重要的課題。

一、網(wǎng)絡(luò)安全體系的概念

網(wǎng)絡(luò)安全體系從整體角度而言，包括安全服務(wù)與安全機制兩方面。安全體系的構(gòu)建不僅要包括決定安全體系的各種因素，更重要的是要定義各種因素之間的聯(lián)系，從而構(gòu)建出一個有機的整體。

安全服務(wù)簡而言之就是一種在數(shù)據(jù)的傳輸和處理上提供安全的方法手段。安全體系結(jié)構(gòu)模型中所定義的安全服務(wù)如圖示1：

圖1 安全體系結(jié)構(gòu)定義安全服務(wù)圖示

安全機制則是具體的安全服務(wù)實現(xiàn)的機制。安全機制實際上是一些程序，用于實現(xiàn)安全服務(wù)。安全機制常用的方式如圖2：

圖2 安全機制形式圖示

同時值得強調(diào)的是，安全政策的制定也至關(guān)重要。其內(nèi)容包括不安全因素的分析、防范技術(shù)、運行的責任劃分、事故的應(yīng)急處理、安全管理等方面。安全政策的制定要注重周期性的更新。

二、網(wǎng)絡(luò)安全體系的功能介紹

網(wǎng)絡(luò)安全保護應(yīng)該從兩方面入手。首先是修補網(wǎng)絡(luò)系統(tǒng)漏洞，健全系統(tǒng)各方面的功能。其次是加強系統(tǒng)的管理監(jiān)測，對于系統(tǒng)的運行狀態(tài)進行實時監(jiān)控，對于不正常的進程和活動，要有措施進行干預(yù)和記錄。針對上述的網(wǎng)絡(luò)安全威脅以及目前的研究，此處介紹一種網(wǎng)絡(luò)安全體系的應(yīng)該具備的功能，如圖3所示：

目前而言，一個完備的計算機網(wǎng)絡(luò)安全系統(tǒng)必須具備以上的各項功能，隨著計算機網(wǎng)絡(luò)的應(yīng)用與發(fā)展必然會出現(xiàn)新的網(wǎng)絡(luò)安全問題，同時保護功能的增加將成為必然。

圖3 網(wǎng)絡(luò)系統(tǒng)安全保護功能圖示

三、網(wǎng)絡(luò)安全體系的框架結(jié)構(gòu)及其應(yīng)用

1、網(wǎng)絡(luò)安全體系的框架結(jié)構(gòu)

計算機網(wǎng)絡(luò)安全體系的框架結(jié)構(gòu)對于體系的建設(shè)以及實行都有著至關(guān)重要的意義。然而，框架的構(gòu)建如果僅僅從一個角度出發(fā)，是難以完成的，需要從較為全面的角度來考慮。這里介紹一種框架模型，從協(xié)議層次、安全服務(wù)、實體單元三個方面，全面的分析考慮體系框架的建立。其三維結(jié)構(gòu)圖如圖4：

圖4 計算機安全網(wǎng)絡(luò)體系的三維框架結(jié)構(gòu)

從安全服務(wù)角度，各種不同的安全服務(wù)的應(yīng)用場合是不同的，相互之間也有著緊密的聯(lián)系。不同的應(yīng)用環(huán)境如果只是選取一種安全服務(wù)往往是無效的，通常需要幾種安全服務(wù)同時應(yīng)用。從T CP /I P 協(xié)議體系角度，該結(jié)構(gòu)體系只在應(yīng)用層完成安全服務(wù)較多，而在傳輸層與應(yīng)用層應(yīng)用較少，對于鏈路層和物理層則基本沒有應(yīng)用。因此可以采用兩種安全機制增強器安全性，包括數(shù)據(jù)源發(fā)及其完整性的監(jiān)測，以及傳輸層采用數(shù)據(jù)加密手段。從實體單元角度，安全技術(shù)的對各個單元的劃分可以按照計算機網(wǎng)絡(luò)安全、計算機系統(tǒng)安全、應(yīng)用系統(tǒng)安全這幾個層次劃分。

2.安全威脅的防御策略

網(wǎng)絡(luò)安全體系的威脅來自與各個方面與環(huán)節(jié)，一般采用的防御策略如下：加強加密技術(shù)的應(yīng)用，構(gòu)建密碼系統(tǒng)；在不同網(wǎng)絡(luò)區(qū)域間構(gòu)建防火墻，實時訪問控制，身份識別等；構(gòu)建入侵檢測系統(tǒng)，實時監(jiān)測攻擊和違反安全策略的行為，同時還有采用漏洞掃描、身份認證、殺毒軟件等手段。

3、安全體系的應(yīng)用

就目前而言，還沒有安全系統(tǒng)能夠滿足所有的安全需求。在網(wǎng)絡(luò)安全體系的構(gòu)建中往往難以從所有角度，將整個系統(tǒng)作為一個整體來對待。在安全方案的設(shè)計中，有一個前提是針對性的應(yīng)用安全技術(shù)，掌握技術(shù)應(yīng)用的具體對象，才能有效的構(gòu)建系統(tǒng)，組織設(shè)備和系統(tǒng)。安全體系在個層次的應(yīng)用情況如下：

端系統(tǒng)安全，其目的在于保護網(wǎng)絡(luò)環(huán)境下系統(tǒng)自身的安全，通過采用安全技術(shù)來保證信息的正常傳送和完整性，其采用技術(shù)包括用戶身份鑒別、訪問控制、網(wǎng)絡(luò)監(jiān)察技術(shù)、入侵防范技術(shù)等。比如UNIX系統(tǒng)中的安全機制就是這方面的體現(xiàn)。

網(wǎng)絡(luò)通信安全從兩個方面來保證。首先是網(wǎng)絡(luò)設(shè)備的保護，包括網(wǎng)絡(luò)基礎(chǔ)設(shè)備可用性的保障、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)軟件、通信鏈路、子網(wǎng)和信道等一系列的設(shè)施的保護。其次是在網(wǎng)絡(luò)內(nèi)部的系統(tǒng)角度，同時從分層安全管理的上層角度入手，比如，在網(wǎng)關(guān)處采用IPSEC技術(shù)，能夠?qū)崿F(xiàn)對整個網(wǎng)絡(luò)系統(tǒng)提供服務(wù)，包括數(shù)據(jù)保密、訪問控制、認

證等。

在應(yīng)用系統(tǒng)安全方面，由于傳統(tǒng)的應(yīng)用系統(tǒng)存在著安全服務(wù)的缺失漏洞而致安全隱患。在本文介紹的安全體系框架結(jié)構(gòu)下，可以不修改傳統(tǒng)系統(tǒng)，而僅僅通過在應(yīng)用層代理就可以達到增加安全服務(wù)的目的。同時由于應(yīng)用系統(tǒng)的獨立性，造成管理上的困難。本框架下可以在實際的應(yīng)用中提供統(tǒng)一的服務(wù)標準，如基于Kerboros的DCE安全框架、SESAME系統(tǒng)等，提供統(tǒng)一的認證服務(wù)、信息保密、數(shù)據(jù)完整性、授權(quán)、訪問控制等。除了上述系統(tǒng)提供的安全有效的服務(wù)，應(yīng)用系統(tǒng)的可用性還應(yīng)該基于良好的管理與監(jiān)控以及入侵的實時監(jiān)測。

網(wǎng)絡(luò)安全體系的框架下，安全管理在整個安全系統(tǒng)中的應(yīng)用時至關(guān)重要的。安全管理機制的應(yīng)用，對于安全服務(wù)和安全機制的實效都有著十分重要的意義。網(wǎng)絡(luò)安全管理應(yīng)該從兩個方面著手，包括實施監(jiān)控和設(shè)施管理。具體而言可以采用防火墻等一系列設(shè)備手段的管理，構(gòu)建監(jiān)測系統(tǒng)實施管理，認證服務(wù)中Kerberos、TACACS、raidius等的管理。目前，管理機制并不完善，管理的缺失往往是造成漏洞的威脅，統(tǒng)一的安全管理機制也是一個重要的研究課程。

總之，該種安全體系的構(gòu)建和應(yīng)用，是以安全需求分析為前提的，通過邏輯關(guān)系提出了安全服務(wù)模型，能有效的擴大現(xiàn)有的安全體系的應(yīng)用范圍，對于電子商務(wù)、重要的電子信件、保密性強的文件等都有著較高的可靠性、保護性。

參考文獻

[1] 韓行；陳瀛；計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)及其技術(shù)[A]；機械科學研究總院；機電產(chǎn)品開發(fā)與創(chuàng)新；2006年9月

[2] 徐雅；計算機網(wǎng)絡(luò)安全體系研究[A]；南京曉莊學院行知學院；信息與電腦；2009年第9期

[3] 王秋華；章堅武；駱懿；網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計與實現(xiàn)[A]；電子科技大學通信工程學院；杭州電子科技大學學報；1001-9146（2005）05-0041-04