芻議計算機網(wǎng)絡的一種實體安全體系結構

摘 要：隨著網(wǎng)絡環(huán)境的日益開放和資源共享性特點，計算機的網(wǎng)絡安全問題也日益突出，病毒入侵、物力干擾等已經(jīng)給網(wǎng)絡數(shù)據(jù)的管理帶來了嚴重威脅，嚴重的還會導致系統(tǒng)崩潰，帶來無法估計的損失。在這種背景之下，加強計算機網(wǎng)絡安全體系建設就成為了各項工作的重點。在本文中，從一種實體安全體系結構出發(fā)，對計算機實體的組成部分和對應的安全功能進行了系統(tǒng)分析。

關鍵詞：計算機網(wǎng)絡；實體安全結構；計算機網(wǎng)絡安全

中圖分類號：TP393.08

隨著信息網(wǎng)絡技術的不斷發(fā)展，我國步入現(xiàn)代化信息時代，計算機的應用已經(jīng)普及，在社會政治、經(jīng)濟、文化和軍事等領域得到了廣泛應用，人們的工作和生活對計算機網(wǎng)絡的依賴程度也越來越高。面對這種形勢，計算機網(wǎng)絡的安全性越來越受到大家的關注，如何應對各種網(wǎng)絡攻擊，預防病毒入侵，維護網(wǎng)絡的穩(wěn)定性，保證文件數(shù)據(jù)安全已經(jīng)成為計算機網(wǎng)絡安全的重要課題。在本文中，對一種實體安全體系結構（以下簡稱ESA）進行了深入探討。

1 計算機網(wǎng)絡實體概述

1.1 基本實體的概念

計算機網(wǎng)絡中的實體可以分為活動實體和非活動實體兩類。非活動實體是由用戶和資源組成，它的活動主要是依靠活動實體的控制來完成的，不直接參與。其中的用戶是整個ESA的主動實體，個人、小組、部門和機構等都包含在用戶的范圍之內(nèi)。這些用戶的安全屬性是由標記、級別、訪問控制能力和密鑰、私鑰和安全證實等能夠保證數(shù)據(jù)真實和完整等共同組成的。一些特殊用戶集合在一起就可以被稱之為管理員。和用戶相對，非活動實體中的另外一部分的資源則是一種被動實體，由文件、數(shù)據(jù)資源、包含打印和RPC服務在內(nèi)的計算機資源、設備緩沖區(qū)和通信資源等組成，安全屬性包括資源標記符號、訪問控制和保密級別等內(nèi)容。

活動實體會直接參與網(wǎng)絡活動，可以被分成應用、服務、系統(tǒng)和管理實體四種。其中應用實體是通過用戶的代理身份參與網(wǎng)絡活動。服務實體則為資源提供相關服務平臺，并對的資源的使用進行一定的控制。系統(tǒng)實體則是為上述兩種實體提供良好的運行環(huán)境，對并它們進行管理和調(diào)節(jié)。管理實體則是一種能夠控制應用、服務和系統(tǒng)實體的參數(shù)。

1.2 復合實體的概念

復合實體就是由各種基本實體組合起來的子系統(tǒng)，可以分別為端系統(tǒng)（以下簡稱ES）、網(wǎng)絡系統(tǒng)（以下簡稱NS）和管理權威等三個部分。其中ES是由的各種軟件、硬件和資源所組成的，主要的功能就是為活動實體提供網(wǎng)絡運行的環(huán)境。NS是由路由器、防火墻和交換機等中繼設備和這些設備控制的通信資源提供對應傳輸服務的，是一種為ES提供服務的特殊服務實體。同時，由ES提供服務的網(wǎng)絡公共信息也是NS的組成部分，可以提供包括DNS、目錄和證書在內(nèi)的公共信息服務。我們將負責制定、監(jiān)督安全政策實施的部分稱之為管理權威，其結構可以被分成三個部分，它們分別是管理員、管理實體和安全管理信息庫。

2 計算機網(wǎng)絡實體各部分的安全功能

我們這里的安全功能不僅包括認證、數(shù)據(jù)保密、數(shù)據(jù)完整、控制訪問、預防抵賴等傳統(tǒng)的內(nèi)容，還包括審計和可用性等新的服務內(nèi)容。下面我們重點對復合實體中ES和NS的安全功能進行分配。

2.1 ES的安全功能

ES中各個實體最主要的安全功能就是要預防數(shù)據(jù)和程序被惡意篡改，保證實體的完整性，保證系統(tǒng)的正常運行。為了實現(xiàn)這一功能，就需要讓操作系統(tǒng)通過本地認證，然后才能對控制機制進行訪問。而且在對應用的資源進行訪問的過程中，還必須使用服務實體提供的服務語言。

ES中管理實體主要的安全功能就是對安全服務和安全機制進行激活或關閉，并及時發(fā)布和更新相關的參數(shù)。對系統(tǒng)中的實體而言，管理實體的主要功能就是對審計的數(shù)據(jù)進行收集、整理和分析的管理；而從應用實體的角度來說，管理實體的主要功能就是為身份認證的服務數(shù)據(jù)進行保密，并提供完整的服務分配，對密鑰參數(shù)進行更新；從服務實體的角度來看，管理實體的主要功能就是為訪問控制提供決策。

2.2 NS的安全功能

NS中最主要的安全功能就是訪問控制。我們可以從兩個方面來理解訪問控制的內(nèi)涵。一方面是指對用戶端的資源進行保護。目前，這種保護主要是由防火墻來實現(xiàn)的。這種防火墻保護通常會位于比較靠近資源的部分，和服務實體所提供的訪問控制相比，不是特別精細。另一方面就是通過限制用戶使用的方式來保護通信資源。這種措施會位于比較靠近用戶的部位。就目前計算機網(wǎng)絡使用的實際情況來看，還無法實現(xiàn)這一功能，其中最主要的原因就是計算機網(wǎng)絡具有無連接的特點，所以無法對用戶濫用信息進行有效控制。

NS中的網(wǎng)絡公共信息服務是由一類比較特殊的ES所提供的，和用戶最終的ES的安全需求具有很大程度的一致性。因為ES提供的信息具有公開性的特點，所以只需要保證數(shù)據(jù)能夠被完整傳輸即可，不需要考慮數(shù)據(jù)保密的要求。

除了提供安全服務以外，網(wǎng)絡實體也和ES具有同樣的系統(tǒng)完整性需求，確保該實體的功能和所依賴的數(shù)據(jù)不被非法篡改。網(wǎng)絡實體間的對等實體認證也是非常重要的，這些實體間交換的控制信息的安全對于網(wǎng)絡基礎設施的正常運行至關重要。與端系統(tǒng)相似，網(wǎng)絡訪問控制決策、網(wǎng)絡活動的審計、認證、加解密、數(shù)據(jù)完整性所需的密鑰由網(wǎng)絡中的管理實體完成。

3 結束語

綜上所述，計算機網(wǎng)絡安全已經(jīng)成為信息時代人們普遍關注的焦點問題之一，為了提高計算機網(wǎng)絡的安全管理水平，從兩個方面對ESA中的實體和安全功能分配進行了具體討論，但是卻沒有涉及到安全政策管理框架的內(nèi)容，是本文論述的不足之處，也是今后研究的方向。

參考文獻：

[1]段瑩，陳耿.計算機網(wǎng)絡的信息安全體系結構[J].中國西部科技，2011（03）：29-30.

[2]徐勇.計算機網(wǎng)絡的信息安全體系結構探析[J].網(wǎng)絡安全技術與應用，2013（09）：24-25.

[3]潘達.計算機網(wǎng)絡的信息安全體系結構分析[J].電子制作，2013（17）：115-116.

[4]任利明.計算機網(wǎng)絡安全體系結構研究[J].計算機光盤軟件與應用，2012（24）：82+85.

[5]陳婧，趙國星，劉陽.計算機網(wǎng)絡的信息安全體系結構[J].信息與電腦（理論版），2013（11）：103-104.

[6]唐俊，趙曉娟，賈逸龍.企業(yè)信息系統(tǒng)安全體系結構的研究[J].微計算機信息，2010（15）：43-44+37.

[7]鄒白茹，李聰，蔣云霞.網(wǎng)絡環(huán)境下重要信息系統(tǒng)安全體系結構的研究[J].中國安全科學學報，2010（12）：142-148+179.

作者簡介：徐麗麗（1979-），女，吉林四平人，初級工程師，本科，研究方向：比較、分析計算機領域的某項先進技術或成熟軟件，提出自己有針對性的意見和建議。

作者單位：湖南中煙工業(yè)有限責任公司四平卷煙廠，吉林四平 136001