淺析計算機信息網(wǎng)絡安全體系

摘 要：當前計算機網(wǎng)絡廣泛應用為人們所關注，計算機網(wǎng)絡安全顯得非常重要，必須采取有力的措施來保證計算機網(wǎng)絡的安全。本文分析了計算機網(wǎng)絡安全體系的含義以及其安全機制，并對于當前網(wǎng)絡安全應涉及的一些內(nèi)容做了介紹。

關鍵詞：網(wǎng)絡安全；計算機；網(wǎng)絡通信

中圖分類號：TP393.08

計算機技術正在日新月異地迅猛發(fā)展，功能強大的計算機和Intranet/Internet在世界范圍內(nèi)普及。信息化和網(wǎng)絡化是當今世界經(jīng)濟與社會發(fā)展的大趨勢，信息資源的深入開發(fā)利用以及各行各業(yè)的信息化、網(wǎng)絡化己經(jīng)迅速展開；全社會廣泛應用信息技術，計算機網(wǎng)絡廣泛應用為人們所關注。

面對當前嚴重危害計算機網(wǎng)絡的種種威脅，必須采取有力的措施來保證計算機網(wǎng)絡的安全。但是現(xiàn)有的計算機網(wǎng)絡大多數(shù)在建立之初都忽略了安全問題，既是考慮了安全，也僅把安全機制建立在物理安全機制上。本文分析了計算機網(wǎng)絡安全體系的含義以及其安全機制，并對于當前網(wǎng)絡安全應涉及的一些內(nèi)容做了介紹。

1 計算機網(wǎng)絡安全機制分析

安全性機制是操作系統(tǒng)、軟硬件功能部件、管理程序以及它們的任意組合，為一個信息系統(tǒng)的任意部件檢測和防止被動與主動威脅的方法。安全機制與安全性服務有關，機制是用于實現(xiàn)服務的程序，OSI定義的安全性機制有加密、數(shù)字簽名、鑒別、訪問控制、通信量填充、路由控制、公證等。安全性服務和安全性機制有一定的對應關系，例如：機密性服務可以通過加密、通信量填充和路由控制來實現(xiàn)。另外，加密不僅可以是機密性服務的成分，而且還可以是完整性和鑒別服務的成分。

2 網(wǎng)絡安全標準體系結(jié)構(gòu)

2.1 用戶安全層

用戶安全層不屬于OSI環(huán)境，由于OSI標準是不針對非法用戶進行直接防范的，但是在一些非法用戶進入系統(tǒng)之后，對網(wǎng)絡安全就會有很大的威脅，因此，這時的用戶安全層就可以對非法用戶起到遏制作用。可見，網(wǎng)絡安全層是安全服務的最基本環(huán)節(jié)，也是一項重要的安全措施。用戶安全層對用戶提供訪問控制安全服務，可以識別非法以及合法用戶。并采用加密措施、數(shù)據(jù)完整性和認證互換機制等技術，加強網(wǎng)絡安全服務。

2.2 應用安全層

該層主要包括OSI環(huán)境的應用層、表示層和會話層，應用安全層可以對信息傳輸、域名服務、遠程終端等網(wǎng)絡運行指定一條有效的運行標準，為上層用戶提供數(shù)據(jù)或信息語法的表示轉(zhuǎn)換。負責系統(tǒng)內(nèi)部的數(shù)據(jù)表示與抽象數(shù)據(jù)表示之間的轉(zhuǎn)換工作，還能實現(xiàn)數(shù)據(jù)加密和解壓縮等轉(zhuǎn)換功能。在這一層，用戶可以實現(xiàn)網(wǎng)絡身份認證、數(shù)字簽名、防止否認，及加密等安全措施，不僅保護了用戶信息的安全，也加強了網(wǎng)絡信息的完整性，避免一些非法用戶利用信息漏洞干擾計算機的運行。

2.3 端—端安全層

包括OSI環(huán)境的傳輸層端—端安全層為上層用戶提供不依賴于具體網(wǎng)絡的高效、經(jīng)濟、透明的端-端數(shù)據(jù)傳輸服務。同時可以通過上一層用戶提供安全服務，以及建立一條獨立的鏈接，或者建立多條鏈接，以此來分散傳輸?shù)臄?shù)量，間斷傳輸?shù)臅r間，這些多條的傳輸?shù)男畔蛻魜碚f都是透明的。端—端安全層不得采用業(yè)務量來填充技術，但其余的技術與其他安全層是相同的。但是，由于端—端安全層的協(xié)議較少，所以人們對他的關注不如子網(wǎng)安全層。

2.4 子網(wǎng)安全層

包括OSI環(huán)境的網(wǎng)絡層，它的主要作用就是講數(shù)據(jù)線做一定長度的分組，再將分組信息進行傳遞。子網(wǎng)安全層可以使用的安全技術種類很多，如：加密、訪問控制、數(shù)字簽名、路由選擇控制、業(yè)務量填充和數(shù)據(jù)完整性，這些也都是子網(wǎng)安全層本身的特點。

2.5 鏈路安全層

鏈路安全層就是利用有效手段，將已經(jīng)出現(xiàn)錯誤的鏈接信息轉(zhuǎn)化成還沒有出現(xiàn)錯誤的信息進行傳遞。它將數(shù)據(jù)分為一個一個的數(shù)據(jù)幀，以數(shù)據(jù)幀為單位開始傳遞。包括OSI環(huán)境的數(shù)據(jù)鏈路層和物理層，物理層的規(guī)定就是網(wǎng)絡接口，但是，要在這個環(huán)節(jié)內(nèi)做安全管理是十分有限的，主要是業(yè)務量填充和加密技術。

在沒有出現(xiàn)密碼學之前，加密主要在物理層進行，但如今，已經(jīng)很少在物理層上做加密處理了，因為成本高，還不利于管理。數(shù)據(jù)鏈路層可以采用加密技術，由于不同的鏈路層協(xié)議的幀格式都有區(qū)別，因此，在加密時，必須采取不同的數(shù)據(jù)幀鏈接，可見，在鏈路安全層可以采用數(shù)據(jù)加密和業(yè)務量填充技術。

3 安全體系的實現(xiàn)

3.1 安全服務的選擇

實際實現(xiàn)時，我們通常是對一個具體的網(wǎng)絡做要求，選擇一個子集加以實現(xiàn)。然而，怎樣選擇合適的子集就成為了關鍵的問題，因為子集的選擇會直接影響到網(wǎng)絡的安全。例如，我們在物理層提供安全加密時，當密文到達通信子網(wǎng)，為了開展路由選擇，就必須解碼。此時，計算機侵襲者就可以通過非法方式獲得信息。又如，僅在網(wǎng)絡層提供數(shù)據(jù)保密服務時，外部攻擊可以采取鏈接上獲得沒有加密的三層的報文信息，其余的詳細信息也很容易獲得。有時，子集的選擇也能滿足特殊的情況。例如，當只需要保護高層的安全時，使安全服務與通信飛網(wǎng)無關，那所有的安全服務設置就可以由高層提供。

3.2 軟件實現(xiàn)和硬件實現(xiàn)

通過軟件實行安全管理也是可行的，其方法是，將所有的安全實現(xiàn)軟件結(jié)合在一起，作為DTE系統(tǒng)軟件的一部分，同時通過計算機服務語言對這些軟件進行操作。但是，一味的利用軟件，會增加成本和管理難度。為了提高工作效率和安全性，實現(xiàn)軟件和硬件的結(jié)合，是進行安全服務的重要手段。

3.3 安全控制器（SCU）

硬件和軟件結(jié)合的方法就是設計一種安全控制器。這種控制器可有兩種類型。首先是將安全服務嵌入通信控制器，這種通信控制系統(tǒng)可以有協(xié)議，可以實現(xiàn)有效的安全服務。其次是將安全服務獨立到通信控制器之外，重新設計一種新的控制器。這樣做可以避免修改現(xiàn)有的通信控制器，區(qū)分安全控制器和通信控制器。這兩種安全控制器的功能都是由硬件和軟件相結(jié)合實現(xiàn)的。

4 安全技術的研究現(xiàn)狀和動向

我國信息網(wǎng)絡安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段，正在進入網(wǎng)絡信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡安全領域是一個綜合、交叉的學科領域它綜合了利用數(shù)學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡安全的方案，目前應從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。國際上信息安全研究起步較早，力度大，積累多，應用廣，在70年代美國的網(wǎng)絡安全技術基礎理論研究成果“計算機保密模型”（Beu La padula模型）的基礎上，指定了“可信計算機系統(tǒng)安全評估準則”（TCSEC），其后又制定了關于網(wǎng)絡系統(tǒng)數(shù)據(jù)庫方面和系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準則。

安全協(xié)議作為信息安全的重要內(nèi)容，其形式化方法分析始于80年代初，目前有基于狀態(tài)機、模態(tài)邏輯和代數(shù)工具的三種分析方法，但仍有局限性和漏洞，處于發(fā)展的提高階段。作為信息安全關鍵技術密碼學，近年來空前活躍，美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。在我國信息網(wǎng)絡安全技術的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯?、開發(fā)和探索，以走出有中國特色的產(chǎn)學研聯(lián)合發(fā)展之路，趕上或超過發(fā)達國家的水平，以此保證我國信息網(wǎng)絡的安全，推動我國國民經(jīng)濟的高速發(fā)展。

參考文獻：

[1]趙立志，林偉.淺析網(wǎng)絡安全技術[J].民營科技，2012（03）：193.

[2]李鐵.網(wǎng)絡安全層次分析[J].甘肅科技，2013（24）：16-17.

作者單位：國網(wǎng)江西省電力公司贛西供電分公司，江西新余 338000