網絡安全功能需求指標分析

張強

摘要：隨著互聯網時代的到來，網絡安全功能存在很大的隱患，該文針對該隱患分別從安全物理環境、安全通信網絡需求、區域邊界需求、安全計算環境需求、安全管理中心需求5個方面分析其原因并提出有效措施。

關鍵詞：網絡安全;網絡需求;安全計算環境

中圖分類號：TP393.02 文獻標識碼：A

文章編號：1009-3044（2019）35-0046-02

1 概述

互聯網由于其開放、共享的特點，已成為當今社會應用范圍最廣的信息通信技術，深深影響著人類的生活[1]。網絡安全問題在學術界和產業界獲得越來越多的關注[2]。因此，亟須對網絡安全功能進行分析并提出有效措施。

2 網絡安全需求分析

本文對網絡安全需求的安全物理環境、安全通信網絡需求、區域邊界需求、安全計算環境需求、安全管理中心5個方面分析其原因，并且針對這5方面的隱患分別提出一些應對措施。

2.1安全物理環境需求指標

物理安全風險最終是因為網絡設備和線路的不可使用，主要原因是指網絡周邊的環境和物理特性引起的，最終導致網絡系統的不可使用，最嚴重的結果可以導致整個網絡的癱瘓。因此物理層在整個網絡安全分析中具有重要意義，是整個網絡系統安全的前提和基礎，因此要提高網絡物理層的可用性，這樣才能使保證整個網絡的可用性，從而提高整個網絡的抗破壞力。

2.2安全通信網絡需求指標

通信網絡是通過一定的物理連接將各個孤立的設備連接在一起，將人、計算機連接在一起，例如實現人與人，人與計算機，計算機與計算機之間進行信息交換的鏈路，實現了資源共享和通信的目的，通信網絡安全主要包括網絡架構、通信傳輸等方面。

1）網絡架構

合理的網絡架構能夠有效地承載業務需要，相反，如果網絡架構不合理，直接影響到承載業務的能力。因此網絡結構需要具備一定的冗余性;所有網絡設備、服務器網卡和連接采用冗余架構，任意設備或鏈路故障不影響業務使用。帶寬能夠滿足業務高峰時期數據交換需求。提供虛擬資源池內部虛擬機間的東西向分布式防火墻功能，構建細粒度的安全隔離區域。

2）通信傳輸

網絡協議及文件格式均具有行業內的標準、開發、公開的特征。因此，當數據在網上實現存儲和傳輸等一系列過程時，將有可能導致信息的失真、丟失等問題，除此之外，還會遭遇信息攻擊或欺詐等行為，導致最終信息收發的差異性。因此，在信息傳輸和存儲過程中，應該提供有效的察覺與發現機制，實現通信的完整性。而數據在傳輸過程中，為抵制數據篡改等行為應采用加密措施保證數據的保密性。

2.3安全區域邊界需求指標

區域邊界的安全主要包括：邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計等方面。

1）邊界防護

邊界安全防護目的時用來維護邊界的完整性。主要是對內部網絡中的一些內部用戶在未經允許的情況下私自連到外部網絡，因此要對該行為進行檢查。

2）訪問控制

多元業務區整體網絡可劃分為互聯網與多元業務區邊界、行業與行業邊界、租戶與租戶邊界。互聯網/多元業務區邊界為整個網絡出口的邊界，此邊界可能存在由外部互聯網或接人多元業務區的其他網絡發起的非授權訪問的風險。行業區域邊界是網絡中各個區域間的邊界，此邊界可能存在內部跨區域間的非授權訪問的風險。租戶區域邊界是網絡中各個租戶的邊界，此邊界可能存在租戶之間的非法授權訪問的風險。因此對于各類邊界最基本的安全需求就是訪問控制，要及時對進出安全區域邊界的數據信息進行控制。

3）入侵防范

網絡受到攻擊會帶來很大的不便。一般情況下，有兩種情況可能會造成各類網絡攻擊，第一種是有可能來自平時人們公認的互聯網等外部網絡;第二種有可能是內部網絡。在這兩種情況下，都需要采取一定的安全措施，主動地阻斷針對信息系統的各種攻擊，例如人們熟悉的病毒、木馬、可疑代碼等對網絡的攻擊，最終要達到對網絡層以及業務系統的安全防護，從而保護核心信息資產的免受攻擊危害。

4）惡意代碼防范

在計算機環境中，病毒、蠕蟲等惡意代碼時刻都會造成計算機潛在隱患。當前計算機病毒對計算機的威脅十分嚴峻，例如人們熟悉的蠕蟲病毒，當該病毒爆發后，子網絡會很快地被蠕蟲病毒蔓延，后果嚴重的可以攻擊網絡和數據竊密。從而占據在正常業務范圍內十分有限的帶寬，正常的網絡性能就會嚴重下降，嚴重者可以中斷網絡通信，一些信息收到損壞或泄漏，嚴重影響了人們的正常業務開展。因此有必要使用惡意代碼防范軟件來防御惡意代碼的入侵。

5）安全審計

建立必要的審計機制在安全區域邊界是十分有必要的。對進出邊界的各類網絡行為進行記錄與審計分析，結合主機審計、應用審計以及網絡審計等，可以形成多層次的審計系統，從而實現對出入邊界的行為多層審計。

2.4安全計算環境需求指標

安全計算環境需求指標主要包括主機安全、數據安全、虛擬安全。

1）主機安全

主機安全主要包括主機與應用層面的一些安全風險和需求分析，例如，身份鑒別、安全審計、數據完整性與保密性、備份與恢復等方面。

2）數據安全

（1）數據保密性

為了解決遠程用戶訪問多元業務區上內部敏感數據的安全性問題，部署SSL VPN，實現對一些敏感數據的加密傳輸。主要有數據泄露、數據損壞/篡改、數據丟失等。

（2）數據完整性

為了滿足多元業務區上業務系統的數據完整性保護需求，部分信息系統需要部署電子簽章系統，保障內部辦公數據的完整性;部分信息系統由于終端用戶的不確定性，需要部署信手書簽名系統，保障用戶數據的完整性和抗抵賴。

3）虛擬化安全

虛擬化安全技術核心思想是通過一些虛擬化的技術，將個體服務器的操作系統，可以違帶處理多個系統進行操作，目前虛擬化技術已經成了計算機網絡技術中最為重要的一項核心技術[3]。虛擬化安全主要有數據隔離、安全邊界等。

（1）虛擬機數據隔離

在云計算模式中，云端是一個虛擬的資源共享平臺，該平臺會將用戶的所有信息數據都集中在云中實現存儲、管理和計算的處理，在該模式下，用戶的信息數據會難以實現隔離，極易造成隱私泄露。

（2）虛擬化安全邊界

獨立的海量信息數據通過虛擬化會將該數據整合在一起，形成一個沒有安全邊界、可以動態擴展的虛擬資源池。在該情況下，缺乏了安全邊界，往往不同的管理者可能越界管理，這增加了信息泄露的風險。

（3）虛擬機互訪風險

在服務器虛擬化中，很多的虛擬機可能被分布在不同的邏輯服務器群上，服務器的邏輯資源被多個虛擬機享用，這就為一些非法用戶利用大量虛擬機進行協同攻擊提供了便利，這種協同攻擊的隱蔽性更強，破壞程度也更大。

（4）虛擬機集成風險

在云計算模式下，目標是實現大量軟、硬件資源的集成。但是由于大量軟硬件自身的一些特征，例如使用性能、安全性等存在差異，導致最終集成的云虛擬平臺上有可能出現漏洞，從而使整個平臺受攻擊的風險。

2.5安全管理中心需求指標

“三分技術、七分管理”更加突出的是管理層面在安全體系中的重要性[4]。在技術管理措施外，安全管理在網絡安全功能中同樣很重要。建立健全的安全管理體系，這不僅是國家等級保護中的要求，也是安全體系中不可或缺的重要組成部分。參考國家相關標準、行業規范等從管理制度、管理機制、人員管理等方面建立可操作的管理體系。

3 結束語

互聯網時代給人類帶來很多的方便，同時網絡安全問題也困擾我們。本文針對網絡安全問題，從5個方面分析其原因，分別提出一些有效的措施從而加強網絡安全問題的引發。

參考文獻：

[1]鐘植任，關洪濤，劉冉，等.一種運營商網絡安全功能虛擬化系統部署方法[J].信息通信技術，2017，11（03）：13-19.

[2]趙旭輝，劉江輝.探析下一代防火墻安全特征及發展趨勢[J].信息與電腦：理論版，2013（11）;152-154.

[3]劉小軍，任鵬.虛擬化安全技術研究[J].網絡安全技術與應用，2018（10）：18+26.

[4]管虎.三分技術，七分管理[J].信息安全與通信保密，2006（05）：39-40.

【通聯編輯：代影】