網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)原則與實(shí)現(xiàn)方案研究

◆馮智能

（空軍預(yù)警學(xué)院 湖北 430019）

網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)原則與實(shí)現(xiàn)方案研究

◆馮智能

（空軍預(yù)警學(xué)院 湖北 430019）

分析網(wǎng)絡(luò)安全結(jié)構(gòu)體系，結(jié)合具體的設(shè)計(jì)原則，制定適宜的網(wǎng)絡(luò)安全體系結(jié)構(gòu)實(shí)現(xiàn)方案，完成對(duì)網(wǎng)絡(luò)中部分安全問(wèn)題的處理，構(gòu)建安全、可靠安全體系結(jié)構(gòu)，為網(wǎng)絡(luò)用戶營(yíng)造健康、綠色和安全的網(wǎng)絡(luò)環(huán)境，提升服務(wù)水平和服務(wù)質(zhì)量。

網(wǎng)絡(luò)安全體系結(jié)構(gòu)；設(shè)計(jì)原則；實(shí)現(xiàn)方案；信息數(shù)據(jù)

1 網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計(jì)原則

（1）保密性

網(wǎng)絡(luò)系統(tǒng)內(nèi)部會(huì)存在大量的信息，這些信息由于其功能不同，其保密性與重要程度也有所差異。因此設(shè)計(jì)人員必須要在進(jìn)行網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)設(shè)計(jì)時(shí)，設(shè)計(jì)出不同級(jí)別的信息保護(hù)方案，根據(jù)用戶信息級(jí)別的基本情況，使得用戶能夠在自己權(quán)限范圍內(nèi)，獲取相關(guān)信息，避免非法泄露的情況發(fā)生。

（2）完整性

在對(duì)數(shù)據(jù)庫(kù)進(jìn)行設(shè)置時(shí)，要加入用戶身份識(shí)別以及使用權(quán)限兩種安全措施，要對(duì)每一位用數(shù)據(jù)庫(kù)的使用者，都進(jìn)行權(quán)限設(shè)定與鑒別。而且要對(duì)每份數(shù)據(jù)設(shè)置恢復(fù)與備份功能，并要對(duì)重要性數(shù)據(jù)，展開容錯(cuò)保護(hù)處理，切實(shí)提高數(shù)據(jù)保護(hù)安全等級(jí)同時(shí)，安全性防護(hù)必須要持續(xù)到信息的生命周期止，整體安全結(jié)構(gòu)要具有較高的敏感性，確保信息的真實(shí)、完整。

（3）可控性

網(wǎng)絡(luò)安全體系結(jié)構(gòu)，需要保障用戶在完成信息索求、獲取和存儲(chǔ)等功能，需要保障網(wǎng)絡(luò)信息具備良好可控性，用戶能夠根據(jù)自己的需求，對(duì)相關(guān)信息進(jìn)行編輯、傳遞和存儲(chǔ)。另外，網(wǎng)絡(luò)安全體系結(jié)構(gòu)需要在用戶索求信息搜索可以得到的目標(biāo)信息，提高信息的可用性【1】。

2 網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計(jì)的具體內(nèi)容

結(jié)合網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)原則、網(wǎng)絡(luò)安全需求等內(nèi)容，完成對(duì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)。結(jié)合OSI模型的基本情況，對(duì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)對(duì)OSI參考模型的層級(jí)之間的依賴性進(jìn)行解讀和分析，如下圖1所示為OSI整體結(jié)構(gòu)模型。

圖1 網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計(jì)具體流程圖。

如圖2所示，可以得到網(wǎng)絡(luò)安全體系結(jié)構(gòu)都是由多層結(jié)構(gòu)組合而成，不同組件都會(huì)運(yùn)用不同的技術(shù)，且承擔(dān)著不同的功能，各個(gè)層級(jí)之間在存在差異的同時(shí)，也存在一些特定的聯(lián)系，在邏輯層面上，“安全”已經(jīng)被合理分配到各個(gè)結(jié)構(gòu)之中。其中，整體結(jié)構(gòu)模型中，一層到三層屬于網(wǎng)絡(luò)安全層，主要通過(guò)傳輸層、物理以及數(shù)據(jù)鏈接的方式，實(shí)施安全功能；四層到七層是輔助網(wǎng)絡(luò)安全層，能夠有效提高上一層的安全防護(hù)；而第七層即為安全應(yīng)用層，能夠?qū)Υ鎯?chǔ)平臺(tái)以及服務(wù)器提供安全保護(hù)措施，具體設(shè)計(jì)中，需要將其具體的功能提出，且完成對(duì)網(wǎng)絡(luò)的保護(hù)任務(wù)。另外，網(wǎng)絡(luò)安全層需要完成對(duì)“VLANS”與訪問(wèn)列表的相關(guān)設(shè)置等工作。設(shè)計(jì)中，展開的網(wǎng)絡(luò)安全層或是輔助網(wǎng)絡(luò)層上展開的防火墻的操作工作，切實(shí)將安全體系結(jié)構(gòu)中得到的安全技術(shù)的映射。

圖2 OSI整體結(jié)構(gòu)模型

（1）防火墻技術(shù)：①訪問(wèn)控制系統(tǒng)與內(nèi)外網(wǎng)隔離，在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間設(shè)置防火墻，是最為常用且高效的網(wǎng)絡(luò)隔離與訪問(wèn)控制措施。按照防范吃重點(diǎn)以及防范方式，可以將防火墻技術(shù)分為應(yīng)用代理以及分組過(guò)濾兩類：應(yīng)用代理也被稱之為“應(yīng)用網(wǎng)關(guān)”，主要在應(yīng)用程開展相應(yīng)保護(hù)措施，具有網(wǎng)絡(luò)通信流阻隔的優(yōu)勢(shì)，可以利用多種應(yīng)用服務(wù)編制代理程序?qū)?yīng)用程通信流進(jìn)行控制與管理；與上一種類型的防火墻技術(shù)有所不同，分組顧慮主要應(yīng)用在傳輸層以及網(wǎng)絡(luò)層，這種技術(shù)是通過(guò)對(duì)協(xié)議類型、分組包頭源地址以及目的地址等內(nèi)容，來(lái)對(duì)數(shù)據(jù)包是否通過(guò)進(jìn)行確認(rèn)，從而將不符合過(guò)濾邏輯的數(shù)據(jù)包進(jìn)行合理的處理，避免不良信息以及病毒傳入。②對(duì)網(wǎng)絡(luò)安全區(qū)域進(jìn)行訪問(wèn)控制與隔離，對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行安全區(qū)域規(guī)劃，與傳統(tǒng)層面上的物理隔離方式并不相同，這種安全防護(hù)技術(shù)會(huì)先對(duì)網(wǎng)絡(luò)安全需求以及將會(huì)面臨的安全狀況進(jìn)行全面的分析，并會(huì)在對(duì)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行高度重視的同時(shí)，確保系統(tǒng)之間信息、數(shù)據(jù)的正常運(yùn)用。在這種環(huán)境下，防火墻會(huì)起到對(duì)內(nèi)部網(wǎng)絡(luò)安全區(qū)域進(jìn)行隔離的目的，能夠?qū)W(wǎng)絡(luò)問(wèn)題的范圍進(jìn)行有效的控制。

（2）身份認(rèn)證，網(wǎng)絡(luò)安全體系結(jié)構(gòu)要應(yīng)設(shè)置用戶身份識(shí)別方式，來(lái)對(duì)用戶身份進(jìn)行確定。一方面會(huì)利用主體已知秘密，像密鑰以及口令等來(lái)對(duì)用戶身份進(jìn)行鑒別，這種方式分為一次性與系統(tǒng)生成等方式，變化頻率較為頻繁，非法分子識(shí)別難度較大；另一方面會(huì)使用主體特有特征以及物品進(jìn)行識(shí)別，像指紋以及智能卡等等，這種密碼的安全系數(shù)相對(duì)較高，尤其是主體特征識(shí)別，更是目前主要使用的高識(shí)別方式。

（3）DIS，借由扇形安全掃描對(duì)整體網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描與分析，并生成檢測(cè)報(bào)告，對(duì)整體網(wǎng)絡(luò)系統(tǒng)定期進(jìn)行安全監(jiān)測(cè)，以便在短時(shí)間內(nèi)對(duì)系統(tǒng)中的漏洞與不足進(jìn)行修復(fù)，并告知檢測(cè)人員系統(tǒng)目前存在的問(wèn)題，以便檢測(cè)人員及時(shí)做出科學(xué)的安全補(bǔ)修策略。

3 網(wǎng)絡(luò)安全實(shí)現(xiàn)方案

（1）構(gòu)建具備集中管控、遠(yuǎn)程安裝、升級(jí)和分級(jí)查殺等功能，完成全方位、多層次防護(hù)的防病毒系統(tǒng)，對(duì)服務(wù)器、Web網(wǎng)關(guān)的全面控制，對(duì)病毒可以寄生的全部節(jié)點(diǎn)進(jìn)行控制，避免病毒傳播和寄生。

（2）構(gòu)建多個(gè)防病毒子系統(tǒng)，其中網(wǎng)關(guān)防病毒子系統(tǒng)，可以切實(shí)完成對(duì)來(lái)自郵件的SMTP、POP3病毒等的防御的截殺，并完成對(duì)HTTP、FTP等應(yīng)用的病毒風(fēng)險(xiǎn)控制。網(wǎng)絡(luò)層的防病毒子系統(tǒng)，根據(jù)OSI模型的基本情況，完成對(duì)所有網(wǎng)絡(luò)層的病毒防控，切斷外部病毒的傳播途徑。

（3）構(gòu)建內(nèi)網(wǎng)安全管理系統(tǒng)，根據(jù)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)情況，完成對(duì)內(nèi)網(wǎng)的安全管理。結(jié)合認(rèn)證授權(quán)、網(wǎng)絡(luò)監(jiān)控和的安全存儲(chǔ)、日志報(bào)表等，完成對(duì)企業(yè)內(nèi)網(wǎng)的網(wǎng)絡(luò)安全控制。

（4）安全行為記錄，企業(yè)的集中防病毒系統(tǒng)完成對(duì)用戶、管理員的行為和網(wǎng)絡(luò)設(shè)備的相關(guān)動(dòng)作進(jìn)行記錄，借由記錄情況，完成對(duì)網(wǎng)絡(luò)安全的保護(hù)【2】。

綜上所述，結(jié)合網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計(jì)原則和OSI模型等內(nèi)容，構(gòu)建的企業(yè)集中式防病毒系統(tǒng)，可以有效的實(shí)現(xiàn)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的構(gòu)建，并實(shí)現(xiàn)網(wǎng)絡(luò)安全。

4 結(jié)束語(yǔ)

在解讀網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計(jì)的基礎(chǔ)上，分析網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)，結(jié)合OSI基本模型的基本情況，對(duì)網(wǎng)絡(luò)安全實(shí)現(xiàn)方案進(jìn)行闡述。

（1）具體的設(shè)計(jì)原則主要囊括：完整性、安全性、實(shí)時(shí)性、可控性和保密性。

（2）結(jié)合具體的設(shè)計(jì)原則，完成對(duì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)，完成對(duì)病毒和風(fēng)險(xiǎn)的控制。

（3）結(jié)合企業(yè)的基本情況，完成對(duì)集中防病毒系統(tǒng)的構(gòu)建，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全。

[1]王秋華，章堅(jiān)武，駱懿.網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)[J].杭州電子科技大學(xué)學(xué)報(bào)，2005.

[2]吳建平，林嵩，徐恪，劉瑩，朱敏.可演進(jìn)的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)研究進(jìn)展[J].計(jì)算機(jī)學(xué)報(bào)，2012.