網(wǎng)絡安全功能需求指標分析

張強

摘要：隨著互聯(lián)網(wǎng)時代的到來，網(wǎng)絡安全功能存在很大的隱患，該文針對該隱患分別從安全物理環(huán)境、安全通信網(wǎng)絡需求、區(qū)域邊界需求、安全計算環(huán)境需求、安全管理中心需求5個方面分析其原因并提出有效措施。

關鍵詞：網(wǎng)絡安全;網(wǎng)絡需求;安全計算環(huán)境

中圖分類號：TP393.02 文獻標識碼：A

文章編號：1009-3044（2019）35-0046-02

1 概述

互聯(lián)網(wǎng)由于其開放、共享的特點，已成為當今社會應用范圍最廣的信息通信技術，深深影響著人類的生活[1]。網(wǎng)絡安全問題在學術界和產業(yè)界獲得越來越多的關注[2]。因此，亟須對網(wǎng)絡安全功能進行分析并提出有效措施。

2 網(wǎng)絡安全需求分析

本文對網(wǎng)絡安全需求的安全物理環(huán)境、安全通信網(wǎng)絡需求、區(qū)域邊界需求、安全計算環(huán)境需求、安全管理中心5個方面分析其原因，并且針對這5方面的隱患分別提出一些應對措施。

2.1安全物理環(huán)境需求指標

物理安全風險最終是因為網(wǎng)絡設備和線路的不可使用，主要原因是指網(wǎng)絡周邊的環(huán)境和物理特性引起的，最終導致網(wǎng)絡系統(tǒng)的不可使用，最嚴重的結果可以導致整個網(wǎng)絡的癱瘓。因此物理層在整個網(wǎng)絡安全分析中具有重要意義，是整個網(wǎng)絡系統(tǒng)安全的前提和基礎，因此要提高網(wǎng)絡物理層的可用性，這樣才能使保證整個網(wǎng)絡的可用性，從而提高整個網(wǎng)絡的抗破壞力。

2.2安全通信網(wǎng)絡需求指標

通信網(wǎng)絡是通過一定的物理連接將各個孤立的設備連接在一起，將人、計算機連接在一起，例如實現(xiàn)人與人，人與計算機，計算機與計算機之間進行信息交換的鏈路，實現(xiàn)了資源共享和通信的目的，通信網(wǎng)絡安全主要包括網(wǎng)絡架構、通信傳輸?shù)确矫妗?/p>

1）網(wǎng)絡架構

合理的網(wǎng)絡架構能夠有效地承載業(yè)務需要，相反，如果網(wǎng)絡架構不合理，直接影響到承載業(yè)務的能力。因此網(wǎng)絡結構需要具備一定的冗余性;所有網(wǎng)絡設備、服務器網(wǎng)卡和連接采用冗余架構，任意設備或鏈路故障不影響業(yè)務使用。帶寬能夠滿足業(yè)務高峰時期數(shù)據(jù)交換需求。提供虛擬資源池內部虛擬機間的東西向分布式防火墻功能，構建細粒度的安全隔離區(qū)域。

2）通信傳輸

網(wǎng)絡協(xié)議及文件格式均具有行業(yè)內的標準、開發(fā)、公開的特征。因此，當數(shù)據(jù)在網(wǎng)上實現(xiàn)存儲和傳輸?shù)纫幌盗羞^程時，將有可能導致信息的失真、丟失等問題，除此之外，還會遭遇信息攻擊或欺詐等行為，導致最終信息收發(fā)的差異性。因此，在信息傳輸和存儲過程中，應該提供有效的察覺與發(fā)現(xiàn)機制，實現(xiàn)通信的完整性。而數(shù)據(jù)在傳輸過程中，為抵制數(shù)據(jù)篡改等行為應采用加密措施保證數(shù)據(jù)的保密性。

2.3安全區(qū)域邊界需求指標

區(qū)域邊界的安全主要包括：邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計等方面。

1）邊界防護

邊界安全防護目的時用來維護邊界的完整性。主要是對內部網(wǎng)絡中的一些內部用戶在未經(jīng)允許的情況下私自連到外部網(wǎng)絡，因此要對該行為進行檢查。

2）訪問控制

多元業(yè)務區(qū)整體網(wǎng)絡可劃分為互聯(lián)網(wǎng)與多元業(yè)務區(qū)邊界、行業(yè)與行業(yè)邊界、租戶與租戶邊界?；ヂ?lián)網(wǎng)/多元業(yè)務區(qū)邊界為整個網(wǎng)絡出口的邊界，此邊界可能存在由外部互聯(lián)網(wǎng)或接人多元業(yè)務區(qū)的其他網(wǎng)絡發(fā)起的非授權訪問的風險。行業(yè)區(qū)域邊界是網(wǎng)絡中各個區(qū)域間的邊界，此邊界可能存在內部跨區(qū)域間的非授權訪問的風險。租戶區(qū)域邊界是網(wǎng)絡中各個租戶的邊界，此邊界可能存在租戶之間的非法授權訪問的風險。因此對于各類邊界最基本的安全需求就是訪問控制，要及時對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制。

3）入侵防范

網(wǎng)絡受到攻擊會帶來很大的不便。一般情況下，有兩種情況可能會造成各類網(wǎng)絡攻擊，第一種是有可能來自平時人們公認的互聯(lián)網(wǎng)等外部網(wǎng)絡;第二種有可能是內部網(wǎng)絡。在這兩種情況下，都需要采取一定的安全措施，主動地阻斷針對信息系統(tǒng)的各種攻擊，例如人們熟悉的病毒、木馬、可疑代碼等對網(wǎng)絡的攻擊，最終要達到對網(wǎng)絡層以及業(yè)務系統(tǒng)的安全防護，從而保護核心信息資產的免受攻擊危害。

4）惡意代碼防范

在計算機環(huán)境中，病毒、蠕蟲等惡意代碼時刻都會造成計算機潛在隱患。當前計算機病毒對計算機的威脅十分嚴峻，例如人們熟悉的蠕蟲病毒，當該病毒爆發(fā)后，子網(wǎng)絡會很快地被蠕蟲病毒蔓延，后果嚴重的可以攻擊網(wǎng)絡和數(shù)據(jù)竊密。從而占據(jù)在正常業(yè)務范圍內十分有限的帶寬，正常的網(wǎng)絡性能就會嚴重下降，嚴重者可以中斷網(wǎng)絡通信，一些信息收到損壞或泄漏，嚴重影響了人們的正常業(yè)務開展。因此有必要使用惡意代碼防范軟件來防御惡意代碼的入侵。

5）安全審計

建立必要的審計機制在安全區(qū)域邊界是十分有必要的。對進出邊界的各類網(wǎng)絡行為進行記錄與審計分析，結合主機審計、應用審計以及網(wǎng)絡審計等，可以形成多層次的審計系統(tǒng)，從而實現(xiàn)對出入邊界的行為多層審計。

2.4安全計算環(huán)境需求指標

安全計算環(huán)境需求指標主要包括主機安全、數(shù)據(jù)安全、虛擬安全。

1）主機安全

主機安全主要包括主機與應用層面的一些安全風險和需求分析，例如，身份鑒別、安全審計、數(shù)據(jù)完整性與保密性、備份與恢復等方面。

2）數(shù)據(jù)安全

（1）數(shù)據(jù)保密性

為了解決遠程用戶訪問多元業(yè)務區(qū)上內部敏感數(shù)據(jù)的安全性問題，部署SSL VPN，實現(xiàn)對一些敏感數(shù)據(jù)的加密傳輸。主要有數(shù)據(jù)泄露、數(shù)據(jù)損壞/篡改、數(shù)據(jù)丟失等。

（2）數(shù)據(jù)完整性

為了滿足多元業(yè)務區(qū)上業(yè)務系統(tǒng)的數(shù)據(jù)完整性保護需求，部分信息系統(tǒng)需要部署電子簽章系統(tǒng)，保障內部辦公數(shù)據(jù)的完整性;部分信息系統(tǒng)由于終端用戶的不確定性，需要部署信手書簽名系統(tǒng)，保障用戶數(shù)據(jù)的完整性和抗抵賴。

3）虛擬化安全

虛擬化安全技術核心思想是通過一些虛擬化的技術，將個體服務器的操作系統(tǒng)，可以違帶處理多個系統(tǒng)進行操作，目前虛擬化技術已經(jīng)成了計算機網(wǎng)絡技術中最為重要的一項核心技術[3]。虛擬化安全主要有數(shù)據(jù)隔離、安全邊界等。

（1）虛擬機數(shù)據(jù)隔離

在云計算模式中，云端是一個虛擬的資源共享平臺，該平臺會將用戶的所有信息數(shù)據(jù)都集中在云中實現(xiàn)存儲、管理和計算的處理，在該模式下，用戶的信息數(shù)據(jù)會難以實現(xiàn)隔離，極易造成隱私泄露。

（2）虛擬化安全邊界

獨立的海量信息數(shù)據(jù)通過虛擬化會將該數(shù)據(jù)整合在一起，形成一個沒有安全邊界、可以動態(tài)擴展的虛擬資源池。在該情況下，缺乏了安全邊界，往往不同的管理者可能越界管理，這增加了信息泄露的風險。

（3）虛擬機互訪風險

在服務器虛擬化中，很多的虛擬機可能被分布在不同的邏輯服務器群上，服務器的邏輯資源被多個虛擬機享用，這就為一些非法用戶利用大量虛擬機進行協(xié)同攻擊提供了便利，這種協(xié)同攻擊的隱蔽性更強，破壞程度也更大。

（4）虛擬機集成風險

在云計算模式下，目標是實現(xiàn)大量軟、硬件資源的集成。但是由于大量軟硬件自身的一些特征，例如使用性能、安全性等存在差異，導致最終集成的云虛擬平臺上有可能出現(xiàn)漏洞，從而使整個平臺受攻擊的風險。

2.5安全管理中心需求指標

“三分技術、七分管理”更加突出的是管理層面在安全體系中的重要性[4]。在技術管理措施外，安全管理在網(wǎng)絡安全功能中同樣很重要。建立健全的安全管理體系，這不僅是國家等級保護中的要求，也是安全體系中不可或缺的重要組成部分。參考國家相關標準、行業(yè)規(guī)范等從管理制度、管理機制、人員管理等方面建立可操作的管理體系。

3 結束語

互聯(lián)網(wǎng)時代給人類帶來很多的方便，同時網(wǎng)絡安全問題也困擾我們。本文針對網(wǎng)絡安全問題，從5個方面分析其原因，分別提出一些有效的措施從而加強網(wǎng)絡安全問題的引發(fā)。

參考文獻：

[1]鐘植任，關洪濤，劉冉，等.一種運營商網(wǎng)絡安全功能虛擬化系統(tǒng)部署方法[J].信息通信技術，2017，11（03）：13-19.

[2]趙旭輝，劉江輝.探析下一代防火墻安全特征及發(fā)展趨勢[J].信息與電腦：理論版，2013（11）;152-154.

[3]劉小軍，任鵬.虛擬化安全技術研究[J].網(wǎng)絡安全技術與應用，2018（10）：18+26.

[4]管虎.三分技術，七分管理[J].信息安全與通信保密，2006（05）：39-40.

【通聯(lián)編輯：代影】