IATF思想下的網絡安全系統設計及應用

楊冠杰

摘 要： 為了減少網絡異常事件發生，需要將網絡管理、通信控制等方面聯系起來共同進行網絡防御。因此，設計信息保障技術框架（IATF）思想下的網絡安全系統。設計的系統由內網、訪問控制模塊、外網與業務網組成，其三層網絡框架使網絡設施部署與信息隔離變得更加容易。訪問控制模塊利用IATF思想在信息傳輸裝置上建立多層強力安全防御機制，設計網絡安全防御體系與IATF信息安全防御模型，實現IATF認證與授權機制。實驗結果表明，該系統的整體運行效果佳，防御性良好。

關鍵詞： 信息保障技術框架； 網絡安全系統； 三層網絡框架； 防御機制； 性能測試； 認證

中圖分類號： TN915.08?34； TP309 文獻標識碼： A 文章編號： 1004?373X（2018）01?0081?04

Abstract： In order to reduce the occurrence of network abnormal events， it is necessary to combine the network management， communication control and other aspects for network defense. Therefore， a network security system based on information assurance technology framework （IATF） was designed. The system is composed of internal network， access control module， external network and business network. And its three?layer network framework makes the network facilities deployment and information isolation easier. The IATF thought is used to establish the multi?layer powerful security defense mechanism in the information transmission device. The network security defense system and IATF information security defense model were designed to realize the IATF authentication and authorization mechanism. The experimental results show that the system has perfect overall running performance and high defensive performance.

Keywords： information assurance technology framework； network security system； three?layer network framework； defense mechanism； performance test； authentication

當前社會已經進入互聯時代，網絡對社會生活的方方面面皆影響深遠，全球信息化更是極大地改變了社會狀態，網絡信息傳播已成為一種極其常見的通信方式。一個國家對網絡信息的應用情況標志著一個國家的互聯狀態，是提升綜合國力、促進科技發展的關鍵所在。網絡開放性與復雜性是不安全事件切入點，傳統的網絡安全系統往往只側重于安全防御設計，不能主動避免入侵與攻擊，有很大幾率造成私人信息泄露與資源篡改。信息保障技術框架簡稱IATF，該思想能將管理、控制、策略、修正與保護等方面密切聯系在一起，令網絡安全系統變成能夠指導安全防護方向的中心基站，建立起完整的防護機制，確保信息私密性與有效性。

1 IATF思想下的網絡安全系統設計及應用

1.1 設計思想

IATF思想是指在信息傳輸裝置上建立多層強力安全防御機制，如圖1所示，IATF思想下的網絡安全系統由內網、訪問控制模塊、外網與業務網四部分組成，共擁有三層網絡框架[1]。其中，內網是基礎服務網絡，也是用戶能夠直接接觸到的網絡；外網負責向內網傳輸信息，是病毒與入侵事件的發源地，包含網絡防火墻、路由器與交換機；業務網負責輸出網絡功能，為生產、生活、娛樂提供應用與代碼的下載接口。控制模塊中含有IATF信息安全防御模型，是系統的安全防御核心。

在進行IATF思想下網絡安全系統的設計時，首先需要建立適當的安全防御機制，利用安全防御機制對網絡信息的傳輸與訪問實施控制，盡量避免直接調用或訪問信息[2]。其次，采用PKI/CA（Public Key Infrastructure/ Certificate Authority，公共秘鑰基礎設施/認證中心）進行用戶登錄認證代理，多角度解決資源信息問題。最后，建立內網、外網虛擬隔離網絡，利用IPSec（Internet Protocol Security，網絡安全架構）協議遠程訪問虛擬隔離網絡，令內網與外網之間不存在任何真實連接網絡，將病毒與入侵直接隔離在外網[3]，最大限度保證內網安全。

1.2 三層網絡框架設計

傳統網絡安全系統采用平面網絡框架，IATF思想下的網絡安全系統則被調整成三層網絡框架，這種設計使網絡設施部署與信息隔離變得更加容易，可保障內網與業務網中的信息安全，外網對整個網絡連接的修護能力也變得更加有效，容易同時進行多點管理與控制。

1.2.1 外網設計

外網一般面向公共網絡，設有外部資源接口，因此最容易受到網絡入侵[4]。外網通過路由器連接內網傳輸目標位置進行信息通信，合理的路由安全協議可有效防御通信過程中的病毒與入侵，IATF思想下的網絡安全系統的外網路由安全協議如表1所示。endprint

外網防火墻與入侵檢測工具相連，進行基礎的防御與報警任務，特別是對“拒絕服務”項目和“用戶登錄”項目中不合理操作的完全攔截。

1.2.2 內網與業務網設計

內網位于三層網絡框架的中間層，業務網位于最底層。內網對外網、業務網進行訪問時需要通過秘鑰認證與授權，外網、業務網訪問內網同樣需要通過秘鑰認證與授權。秘鑰采用RSA公鑰加密算法[5]進行編寫，認證與授權行為皆由IATF信息安全防御模型負責。

業務網只能對內網進行訪問，通過交換機實現信息傳輸，安全防御任務由內網防火墻全權負責。內網防火墻連接的是業務網中所有應用程序接口，IATF思想下網絡安全系統進行的計算、備份、調度等功能皆在業務網中實現。

1.3 系統中的IATF思想

IATF由美國安全局制定，是一款專門針對工業與行政信息進行防御的設計思想，圖2是其思想基礎結構。IATF通過探測基礎支持設施、網絡基礎設施、網絡邊緣以及計算環境的信息私密性、有效性、允許檢驗性實施網絡防御[6]，為網絡提供自體保護、偵察與自動修護能力。

IATF的三個核心要素是用戶、操作以及技術，強調用戶信息私密性與安全性、操作準確性以及技術完善性，也可以理解成用戶、操作、技術是保障網絡安全的核心[7]。圖3是根據IATF三個核心要素設計出的網絡安全防御體系，這個體系以信息安全機制為出發點，令信息操作體系、技術防御體系以及防御法律法規進行相互作用，合理安排防御節點與防御內容，避免產生安全漏洞。

圖4給出了具體的IATF信息安全防御模型，這個模型以圖3中的網絡安全防御體系為核心，對網絡進行保護→檢測→響應→復原→保護的循環流程操作。IATF信息安全防御模型的設計思想是加強靜態、動態防御資源占用量，減少病毒、入侵響應資源占用量，側重點在于保護與檢測。這樣設計可以減少網絡曝光時間，防止系統在實施防御過程時產生新的安全漏洞。

2 網絡安全系統中IATF思想的實現

IATF在網絡安全系統中進行的認證與授權任務是系統處理核心，其機制為PKI/CA，如圖5所示，系統進行的是集中認證與集中授權，前提是用戶必須先通過身份檢驗并成功登錄到系統內網[8]，只存在于外網或業務網的用戶是不具備認證與授權資格的。

認證與授權在內網服務器上進行，內網、外網的瀏覽器與業務網的應用程序都可以作為認證與授權接入點。用戶、資源、行為與網絡環境是認證與授權的四大要素。通過認證與授權后，用戶便可借助輕量目錄訪問協議來訪問信息。

3 實驗結果與分析

本文對IATF思想下的網絡安全系統進行了重點設計，對一個應用性良好的網絡安全系統來講，在優質的運行效果下全方位、無死角地提升系統防御能力是極其重要的。令本文系統在某鐵路網絡上進行安全防御實驗，分別進行系統的性能測試與防御性驗證。

3.1 性能測試

進行IATF思想下的網絡安全系統性能測試旨在全面檢驗系統運行效果。測試對象包含安全機制、用戶登錄、抵御入侵服務器、異常數據隔離層、網絡應用軟件。測試內容包含網絡響應情況與資源使用情況。

實驗給予鐵路網絡大流量與大負載，系統性能測試工具為Quick Test Professional。Quick Test Professional是一種主動測試工具，可進行重復測試，VBScript為其腳本支持語言，該語言的普及面很廣，測試工作相對容易。

本文系統的性能測試結果如表2，表3所示，結果表明，本文系統的安全機制、用戶登錄、抵御入侵服務器、異常數據隔離層以及網絡應用軟件的網絡響應情況與資源使用情況均滿足鐵路網絡的日常應用需求，能夠很好地進行網絡防御。

3.2 防御性驗證

IATF思想下的網絡安全系統的防御性表現在兩個方面：一是傳輸代碼的不可偽造性；二是信息傳輸結果的完整性[8]。設鐵路網絡需要傳輸的數據包為[V，]IATF思想下的網絡安全系統為數據包[V]設置的通信秘鑰為[h，]則傳輸信息的基本形式為：

[VC=V+hdID] （1）

式中：[dID]中記錄的是傳輸起止方位身份標識碼；數據包[V]傳輸到目標方位的傳輸信息與[VC]越相似，且數據包[V]越完整，系統的防御性越強。

圖6，圖7是在本文系統支持下鐵路網絡接收到的數據包相似性與完整性折線圖，實驗共提供10個數據包，數據包容量依次遞增，平均遞增步長為500 MB，數據包最大容量為30 GB，[dID]各不相同。由圖6和圖7可知，在本文系統的防御下，隨數據包容量的不斷增加，數據傳輸的相似性與完整性均逐漸下降。在傳輸30 GB數據包時，數據包相似性與完整性分別為0.965和0.994，顯示出本文系統良好的防御性。

4 結 語

本文設計IATF思想下的網絡安全系統，系統以IATF為指導思想構建網絡安全防御結構并進行實現。利用Quick Test Professional工具測試系統性能，包括系統的安全機制、用戶登錄、抵御入侵服務器、異常數據隔離層以及網絡應用軟件的網絡響應情況與資源使用情況，并設計鐵路網絡通信實驗，驗證系統防御性。實驗結果表明，本文系統可通過性能測試，并具備良好的防御性，能夠很好地進行網絡防御。

參考文獻

[1] 房瀟，李玉東，馬琳，等.基于模糊理論的信息系統安全防護有效性評估研究[J].計算機與數字工程，2015，43（4）：661?665.

FANG Xiao， LI Yudong， MA Lin. et al. Effectiveness assessment of controls taken in information system based on fuzzy theory [J]. Computer and digital engineering， 2015， 43（4）： 661?665.endprint

[2] 呂欣，韓曉露，畢鈺，等.大數據安全保障框架與評價體系研究[J].信息安全研究，2016，2（10）：913?919.

L? Xin， HAN Xiaolu， BI Yu， et al. Research on the framework and evaluation system of big data security assurance [J]. Journal of information security research， 2016， 2（10）： 913?919.

[3] 馮茜，王磊.無人機自動駕駛系統穩定性控制優化仿真[J].計算機仿真，2016，33（7）：65?68.

FENG Qian， WANG Lei. Optimization design of the control system of UAV autonomous study [J]. Computer simulation， 2016， 33（7）： 65?68.

[4] 曹冬.基于安全的邏輯關系思想在PLC編程上的應用[J].中國鉬業，2016，40（6）：58?60.

CAO Dong. Application of logic relation based on security in PLC programming [J]. China molybdenum industry， 2016， 40（6）： 58?60.

[5] DING H. Application and design of patient temperature acquisition system based on wireless sensor network [J]. International journal of online engineering， 2017， 13（5）： 18?22.

[6] 魏先勇，王化喆.基于軟件的網絡安全評測系統研究與設計[J].現代電子技術，2016，39（1）：89?92.

WEI Xianyong， WANG Huazhe. Research and design of network security evaluation system based on software [J]. Modern electronics technique， 2016， 39（1）： 89?92.

[7] 李升友，楊國梁，多英全，等.安全系統思想內涵及其應用研究：探討用安全系統思想實現城市安全發展[J].中國安全生產科學技術，2016，12（7）：145?149.

LI Shengyou， YANG Guoliang， DUO Yingquan， et al. Study on connotation of safety system idea and its application?discussion on implementing urban safety development with safety system idea [J]. Journal of safety science and technology， 2016， 12（7）： 145?149.

[8] FAN Q， WANG T， CHEN Y， et al. Design and application of fuzzy logic system based on QPSO intelligent algorithm [J]. ICIC express letters， 2017， 11（1）： 133?149.endprint