研究網絡安全體系結構的設計要點與實現

張翼鵬

摘要： 主要針對網絡安全體系結構進行針對性研究與分析，針對網絡安全體系結構進行闡述的基礎上，對網絡安全體系結構設計內容進行了介紹，最終確保了網絡安全，從而為人們提供更加穩定的服務。

Abstract： Aiming at the network security architecture， make a research and analysis； based on expounding the network security architecture， introduce the content of network security architecture design， and ensure the network security， so as to provide a more stable service for people.

關鍵詞： 網絡安全；結構體系；設計要點

Key words： network security；structural system；design points

中圖分類號：TP393 文獻標識碼：A 文章編號：1006-4311（2017）03-0080-02

0 引言

信息技術的快速發展，使計算機網絡的連接形式變得更加多樣化，而網絡本身又具有開放性和互聯性，終端的分布具有不均勻性，在這樣的背景之下，計算機網絡在具體運行過程中容易遭受黑客攻擊，不僅會影響用于在具體應用過程中的安全性，而且會導致用戶的信息發生泄漏，并且會伴隨著較為嚴重的經濟損失，因此構建網絡安全體系勢在必行。

1 網絡安全體系結構

一般來說，網絡安全體系設計過程分為以下四步：①網絡安全策略定義。②網絡安全需求分析。③網絡安全設計。④網絡安全實現。設計模型圖如圖1所示。

從現代網絡的具體應用情況來看，從高級安全需求分析滲入到具體執行上，兩者之間存在的一定差距[1]。從高級策略不斷發展，最終形成了一個結構和功能復雜的系統，部分組件可能會呈現出不一定特性，將會引起錯誤的執行需要的安全策略，引起危險的失誤和安全漏洞。

1.1 安全策略定義

詳細的描述安全策略定義，該過程中的最終目的是能夠為網絡的正常使用提供有效的支持，同時需要相關研究人員注意的是，在分析網絡安全系統過程中，應當與其領域的科學結合，從而使其適應性能夠得到進一步提高。例如，操作安全、人員安全、物理安全、社會機制等多項內容。該過程通常依據對企業中存在的風險進行分析，并且需要將高級安全策略和控制作為整個操作的主要依據，最后通過自然語言描述控制文檔和網絡安全，這也就是我們常說的高級安全策略。

1.2 安全需求分析

安全需求分析是網絡安全體系結構設計的第二步，其是上一步高級安全策略形式內容的具體描述。通過大量的實踐可以發現，通過形式化完成對高級安全策略的具體描述可以具有諸多優點，主要體現在以下幾個方面：通過分析可以全面細致的完成對沖突的檢查，同時也可以將高級策略中的模糊描述消除[2]。曾有學者提出，通過行形式化方法對高級安全策略進行處理，并且取得了不錯的效果。

2 網絡安全設計的具體內容

2.1 設計的目標

現代網絡的快速發展與應用，一方面使人們的生活和工作變得更加便利，另一方面也增加了安全隱患，人們在生活與工作中利用網絡的同時必須加強對安全問題的思考。隨著人們網絡安全意識的不斷提升，人們在應用網絡中，加強了對網絡安全設計的研究與分析。

2.2 體系結構設計

安全體系的構建要依據安全需求的具體情況而定，只有這樣才能使最終所設計的系統與實際情況相符。在設計過程中，依據OSI模型中各個層之間存在的依賴性，安全方面的需求，從邏輯角度出發，科學的將安全內容細致的分到不同層中。具體內容如下：

①物理層：該層在信息安全上存在的問題主要集中在，物理通量受到非法竊停和干擾等，從而會對物理層的性能造成不良影響。

②鏈路層：該層的主要作用是確保通過鏈路層所傳送的信息，在傳送過程中不會受到外界的截取。在具體操作過程中采用方式為劃分局域網、遠程網等手段[3]。

③網絡層：該層的作用是避免網絡服務被非法人員使用，通過網絡層的有效控制，使得只有授權的客戶才能夠享受到相應的服務，通過該方式可以確保網絡路由的正確性，提供了網絡層的安全性，有效地避免了數據被監聽。操作系統，保證資料和訪問控制的安全性，同時在操作過程中，要對系統中涉及到的內容進行審計，審計工作要依據相關的標準進行，確保最終審計結果的合理性，有效地避免安全問題的發生。

④應用平臺與應用系統。前者指的是應用軟件服務，目前比較常見的有數據庫、電子郵件服務器等，通過分析不難發現，應用平臺中的系統的結構復雜，應用相對說比較繁瑣，為了提高應用平臺的安全性，通過需要通過多種技術完成，比較常見的技術有SSL；后者的作用就是為用戶服務，系統的安全與設計實現兩者之間的聯系十分緊密。通過科學的方式應用系統，能夠為應用平臺提供全服務得到相應的保護。

2.3 安全策略的設計與實現

安全策略的設計與實現是網絡安全體系結構設計過程中的第一步，該過程的主要目的是確定科學的安全策略。但是，在具體應用中，受各方面因素的影響，計算機網絡配置與部門兩項內容在具體操作過程中會發生改變，而這種改變通常都是不可控和不可預知的，這也就直接導致了安全需求也會發生改變，并且該變化通常都比較明顯，會引起一系列的變化。由此可以判斷，網絡安全自身并不是靜止不變的，因此要不斷調整和完善安全策略內容。企業在具體運用過程中要想獲取理想的經濟收益，就必須要確保具有一個科學的安全策略，并且要按照規范的要求執行。安全策略在企業中的應用，需要能夠全面、清楚識別存在風險的資源，并且要依據企業和其所處的具體環境給出合理的環節威脅的具體方法。該策略的核心問題是對系統中的哪一個用戶可以訪問哪一種資源進行定義，從而避免資源被非法訪問而引發安全問題[4]。需要注意的是，需要做好對審計跟蹤用戶進行定義，同時需要幫助用戶對出現的傷害進行識別，并且要及時做出相應的響應，避免危害進一步擴大，造成更大的影響。

安全策略管理要需要包含所有的安全組件。例如，路由器、訪問列表、防火墻等，從而構建網絡安全策略管理實現的實現模型。目前，網絡安全策略管理實現的模型以IETF安全體系框架中的RFC275策略管理為基礎，該模型策略管理的應用十分廣泛，在整個網絡中都所有分布。現階段，適合所有用戶的有網絡安全層以及服務網絡安全層。策略管理包括的功能有以下幾點：策略實現點、策略決定點、策略倉庫。網絡策略中的每一項信息點都應被存儲在策略倉庫中，完成對計算機以及網絡用戶各項內容的研究與分析，各項內容的執行都應當在倉庫內完成，確保執行結果的合理性。

策略服務器與策略決定點兩者都是對網絡進行抽象，成為策略控制信息，再將信息傳遞給策略執行點。策略實現點接受PAPs中的策略，作為網絡或安全設備。公共開放策略服務以TCP作為基礎協議進行應答，從而完成PEPs和PDP兩者之間策略信息的交換。

3 網絡安全的實現

網絡安全體系結構中，安全管理運的工作站和服務器上，對網絡輔助級和網絡及的上的安全，通過對應用級的安全管理來實現。在網絡操作者中存在一些身份較為特殊的用戶，這些用戶的認證主體和授權程序都更為嚴格。因此，管理人員在具體操作過程中具有更大的功能權限和訪問授權，因此為了確保一切操作的安全性，他們的行為和訪問等操作都必須要安全，從而確保網絡的性能、配置以及存活能力都能夠達到要求標準。通過大量實踐經驗可以發現，企業的網絡管理系統的開放性和集中性越高，安全管理的需求也就越急迫[5]。安全網絡管理是一個整體方法，網絡安全體系結構包含多個領域。在具體操作過程中，記錄安全行為對用戶以及管理員在網絡結構的各項行為都有著嚴格的要求。

為了確保操作的合理性，網絡操作者認證需要在集中管理和執行口令的基礎上完成，確保沒有獲得授權的用戶無法訪問系統，通過這一方式有效地避免了非法訪問的出現。網絡操作者授權通過已經認證的身份對用戶的訪問權限進行認證，判斷得到授權的用戶可以在系統中的對哪些內容進行訪問，實現何種功能。網絡管理事物加密起到的作用就是保護網絡管理數據的機密性，避免數據被非法人員盜取，通過加密能夠對外部和內部都提供高度保護，從而確保網絡體系結構的安全。操作者安全遠程訪問：對IPsec進行合理應用，提供一個VPN，這是一種強制性的解決方案，通過該方案可以為遠程操作者提供科學的加密和認證。利用防火墻和VLANs將網絡分離開，在管理上要分開進行。在應用通過入侵檢測系統鎖構成的管理服務器，通過提出管理員存在的不安因素（例如，在運行過程中，服務其妥協和拒絕服務襲擊），完成對網絡的保護操作。

網絡安全體系實現的實例如下：某企業為了確保企業中網絡安全采取了以下措施：①構建防火墻。在網關上安裝防火墻，分組過濾和ip偽裝，監視網絡內外的通信，全面掌握企業網絡情況。②采用身份驗證技術。針對企業中的不同用戶設定了不同的訪問權限，并且定期對用戶的權限進行檢查，避免非法訪問。③入侵檢測技術。④口令管理。每個用戶設置口令，定義口令存活期。⑤病毒防護安裝殺毒軟件，及時查殺服務器和終端；限制共享目錄及讀寫權限；限制網上下載和盜版軟件使用。⑤系統管理，及時下載安裝系統補丁；設置開機口令；設置屏保口令；刪除不用賬戶。該企業通過以上方式，構建了網絡安全體系，確保了企業中網絡的安全性。

4 結束語

網絡安全體系結構的設計與實現對用戶使用網絡的安全性會產生直接影響，同時也會對計算機網絡安全的健康發展造成影響。在提出網絡安全系統設計框架基礎上，對網絡安全的設計問題進行詳細劃分，提出了安全體系結構模型和策略管理執行模型的設計與實現。最后合理地將安全體系結構、安全策略管理的實現與網絡機制結合，確保了高級安全策略向網絡安全機制的合理過渡，推動了網絡的健康發展。同時，本文也為網絡安全體系結構的設計與實現指明了方向。

參考文獻：

[1]梁樹軍，李玉華，尚展壘.基于訪問控制技術的網絡安全體系結構研究與設計[J].網絡安全技術與應用，2016（05）：23-24.

[2]姜紅軍.金保工程信息網絡安全保障體系設計與實現[J]. 數字技術與應用，2016（05）：201.

[3]羅旬，嚴承華.無線Mesh網絡安全體系研究與設計[J].信息網絡安全，2015（06）：61-66.

[4]朱寧龍，曲思源，戴紫彬.面向終端的網絡安全處理器體系結構設計[J].微電子學與計算機，2015（12）：80-84.

[5]涂傳唐，汪海濤，曾素云.信息系統安全等級化防護研究探討[J].信息安全與技術，2012（08）：52-54.