淺析計算機網(wǎng)絡安全體系的框架結(jié)構(gòu)及應用

晨雨

摘 要：本文從網(wǎng)絡安全體系的概念入手，分析安全體系目前所面臨的威脅與不安全因素，重點列出了一個網(wǎng)絡安全體系所必備的安全功能。然后提出了一種三維的框架結(jié)構(gòu)，介紹了一種網(wǎng)絡安全體系，最后對其應用情況做出了分析。

關(guān)鍵詞：網(wǎng)絡安全體系；框架結(jié)構(gòu)；應用

計算機網(wǎng)絡的應用的日趨廣泛與深入已毋庸贅言，用戶間的信息交流也越來越頻繁，然而，越來越多的網(wǎng)絡安全問題也先后出現(xiàn)，信息流動的泄露、破壞，病毒的傳播、木馬的入侵等眾多問題。網(wǎng)絡系統(tǒng)的安全性能對于信息安全、設備保護等無疑是十分必要的。如何構(gòu)建一種網(wǎng)絡安全的體系框架，及其實際的應用成為一個急迫而重要的課題。

一、網(wǎng)絡安全體系的概念

網(wǎng)絡安全體系從整體角度而言，包括安全服務與安全機制兩方面。安全體系的構(gòu)建不僅要包括決定安全體系的各種因素，更重要的是要定義各種因素之間的聯(lián)系，從而構(gòu)建出一個有機的整體。

安全服務簡而言之就是一種在數(shù)據(jù)的傳輸和處理上提供安全的方法手段。安全體系結(jié)構(gòu)模型中所定義的安全服務如圖示1：

圖1 安全體系結(jié)構(gòu)定義安全服務圖示

安全機制則是具體的安全服務實現(xiàn)的機制。安全機制實際上是一些程序，用于實現(xiàn)安全服務。安全機制常用的方式如圖2：

圖2 安全機制形式圖示

同時值得強調(diào)的是，安全政策的制定也至關(guān)重要。其內(nèi)容包括不安全因素的分析、防范技術(shù)、運行的責任劃分、事故的應急處理、安全管理等方面。安全政策的制定要注重周期性的更新。

二、網(wǎng)絡安全體系的功能介紹

網(wǎng)絡安全保護應該從兩方面入手。首先是修補網(wǎng)絡系統(tǒng)漏洞，健全系統(tǒng)各方面的功能。其次是加強系統(tǒng)的管理監(jiān)測，對于系統(tǒng)的運行狀態(tài)進行實時監(jiān)控，對于不正常的進程和活動，要有措施進行干預和記錄。針對上述的網(wǎng)絡安全威脅以及目前的研究，此處介紹一種網(wǎng)絡安全體系的應該具備的功能，如圖3所示：

目前而言，一個完備的計算機網(wǎng)絡安全系統(tǒng)必須具備以上的各項功能，隨著計算機網(wǎng)絡的應用與發(fā)展必然會出現(xiàn)新的網(wǎng)絡安全問題，同時保護功能的增加將成為必然。

圖3 網(wǎng)絡系統(tǒng)安全保護功能圖示

三、網(wǎng)絡安全體系的框架結(jié)構(gòu)及其應用

1、網(wǎng)絡安全體系的框架結(jié)構(gòu)

計算機網(wǎng)絡安全體系的框架結(jié)構(gòu)對于體系的建設以及實行都有著至關(guān)重要的意義。然而，框架的構(gòu)建如果僅僅從一個角度出發(fā)，是難以完成的，需要從較為全面的角度來考慮。這里介紹一種框架模型，從協(xié)議層次、安全服務、實體單元三個方面，全面的分析考慮體系框架的建立。其三維結(jié)構(gòu)圖如圖4：

圖4 計算機安全網(wǎng)絡體系的三維框架結(jié)構(gòu)

從安全服務角度，各種不同的安全服務的應用場合是不同的，相互之間也有著緊密的聯(lián)系。不同的應用環(huán)境如果只是選取一種安全服務往往是無效的，通常需要幾種安全服務同時應用。從T CP /I P 協(xié)議體系角度，該結(jié)構(gòu)體系只在應用層完成安全服務較多，而在傳輸層與應用層應用較少，對于鏈路層和物理層則基本沒有應用。因此可以采用兩種安全機制增強器安全性，包括數(shù)據(jù)源發(fā)及其完整性的監(jiān)測，以及傳輸層采用數(shù)據(jù)加密手段。從實體單元角度，安全技術(shù)的對各個單元的劃分可以按照計算機網(wǎng)絡安全、計算機系統(tǒng)安全、應用系統(tǒng)安全這幾個層次劃分。

2.安全威脅的防御策略

網(wǎng)絡安全體系的威脅來自與各個方面與環(huán)節(jié)，一般采用的防御策略如下：加強加密技術(shù)的應用，構(gòu)建密碼系統(tǒng)；在不同網(wǎng)絡區(qū)域間構(gòu)建防火墻，實時訪問控制，身份識別等；構(gòu)建入侵檢測系統(tǒng)，實時監(jiān)測攻擊和違反安全策略的行為，同時還有采用漏洞掃描、身份認證、殺毒軟件等手段。

3、安全體系的應用

就目前而言，還沒有安全系統(tǒng)能夠滿足所有的安全需求。在網(wǎng)絡安全體系的構(gòu)建中往往難以從所有角度，將整個系統(tǒng)作為一個整體來對待。在安全方案的設計中，有一個前提是針對性的應用安全技術(shù)，掌握技術(shù)應用的具體對象，才能有效的構(gòu)建系統(tǒng)，組織設備和系統(tǒng)。安全體系在個層次的應用情況如下：

端系統(tǒng)安全，其目的在于保護網(wǎng)絡環(huán)境下系統(tǒng)自身的安全，通過采用安全技術(shù)來保證信息的正常傳送和完整性，其采用技術(shù)包括用戶身份鑒別、訪問控制、網(wǎng)絡監(jiān)察技術(shù)、入侵防范技術(shù)等。比如UNIX系統(tǒng)中的安全機制就是這方面的體現(xiàn)。

網(wǎng)絡通信安全從兩個方面來保證。首先是網(wǎng)絡設備的保護，包括網(wǎng)絡基礎設備可用性的保障、網(wǎng)絡服務、網(wǎng)絡軟件、通信鏈路、子網(wǎng)和信道等一系列的設施的保護。其次是在網(wǎng)絡內(nèi)部的系統(tǒng)角度，同時從分層安全管理的上層角度入手，比如，在網(wǎng)關(guān)處采用IPSEC技術(shù)，能夠?qū)崿F(xiàn)對整個網(wǎng)絡系統(tǒng)提供服務，包括數(shù)據(jù)保密、訪問控制、認

證等。

在應用系統(tǒng)安全方面，由于傳統(tǒng)的應用系統(tǒng)存在著安全服務的缺失漏洞而致安全隱患。在本文介紹的安全體系框架結(jié)構(gòu)下，可以不修改傳統(tǒng)系統(tǒng)，而僅僅通過在應用層代理就可以達到增加安全服務的目的。同時由于應用系統(tǒng)的獨立性，造成管理上的困難。本框架下可以在實際的應用中提供統(tǒng)一的服務標準，如基于Kerboros的DCE安全框架、SESAME系統(tǒng)等，提供統(tǒng)一的認證服務、信息保密、數(shù)據(jù)完整性、授權(quán)、訪問控制等。除了上述系統(tǒng)提供的安全有效的服務，應用系統(tǒng)的可用性還應該基于良好的管理與監(jiān)控以及入侵的實時監(jiān)測。

網(wǎng)絡安全體系的框架下，安全管理在整個安全系統(tǒng)中的應用時至關(guān)重要的。安全管理機制的應用，對于安全服務和安全機制的實效都有著十分重要的意義。網(wǎng)絡安全管理應該從兩個方面著手，包括實施監(jiān)控和設施管理。具體而言可以采用防火墻等一系列設備手段的管理，構(gòu)建監(jiān)測系統(tǒng)實施管理，認證服務中Kerberos、TACACS、raidius等的管理。目前，管理機制并不完善，管理的缺失往往是造成漏洞的威脅，統(tǒng)一的安全管理機制也是一個重要的研究課程。

總之，該種安全體系的構(gòu)建和應用，是以安全需求分析為前提的，通過邏輯關(guān)系提出了安全服務模型，能有效的擴大現(xiàn)有的安全體系的應用范圍，對于電子商務、重要的電子信件、保密性強的文件等都有著較高的可靠性、保護性。

參考文獻

[1] 韓行；陳瀛；計算機網(wǎng)絡安全體系結(jié)構(gòu)及其技術(shù)[A]；機械科學研究總院；機電產(chǎn)品開發(fā)與創(chuàng)新；2006年9月

[2] 徐雅；計算機網(wǎng)絡安全體系研究[A]；南京曉莊學院行知學院；信息與電腦；2009年第9期

[3] 王秋華；章堅武；駱懿；網(wǎng)絡安全體系結(jié)構(gòu)的設計與實現(xiàn)[A]；電子科技大學通信工程學院；杭州電子科技大學學報；1001-9146（2005）05-0041-04