基于安全域的網絡安全體系設計研究

張建權 李杰

【摘要】? ? 當前互聯網逐步實現了在各行各業中的滲透與融合，網絡信息資源得到了有效的開發和利用，但是與此同時經由互聯網泄露的信息比例也大幅上升，其中不乏涉及到一些有關的國家安全信息和個人安全信息。本文就主要從安全域的劃分與保護角度入手，探討應用層網絡安全體系設計與保密方案，旨在為網絡安全防護體系的建設和發展提供一定的參考和借鑒。

【關鍵詞】? ? 安全域? ? 網絡安全體系? ? 設計研究

網絡安全體系主要有外部安全體系和內部安全體系兩部分組成，當前在進行網絡安全體系架構的過程中，更加強調對網絡外部安全體系的建設，通過安裝防火墻、防病毒網關等的方法來增強網絡邊界的安全防護，這在一定程度上降低了來自網絡外部的攻擊風險。[1]但是伴隨著網絡攻擊技術的升級，暴露出許多網絡內部安全體系方面存在的不足，針對網絡應用系統的內部攻擊沒有有效的技術防范和治理，這就進一步增加了從內部導致的核心機密丟失及信息泄露的可能性。為更好的解決這一問題，就必須要基于安全域的劃分與保護，進一步健全和完善網絡安全體系。

一、基于安全域的網絡信息安全體系設計思路

1.1整體思路——“三線一中心”

基于安全域的網絡信息安全體系設計，要遵循“三線一中心”的整體設計思路。“三線”主要就是指網絡邊界防線、計算機系統安全防線、應用系統安全防線這三道防線，而“一個中心”則主要指網絡安全管理中心。[2]在我們的通信網絡之中，網絡邊界防線和計算機系統安全防線這兩道防線能夠針對絕大多數的外部攻擊進行阻攔和遏制，從而有效的提升網絡安全防護能力和水平。

1.2網絡信息安全保密組織體系

有關網絡信息安全保密涉及到主體和客體兩個方面，保密的主體就是指涉密人員，也包括能夠代表涉密人員身份所執行加密操作的機構或者是其他實體，而保密的客體就是指各種加密的文檔、信息數據以及計算機等移動載體設備。由于基于安全域的網絡安全體系設計主要就是針對應用層的安全防護，因此就必須要從主體和客體兩個方面入手，既要保證操作主體的安全和可靠，同時又要對客體進行科學定密，利用不同的安全域進行業務類別以及涉密等級的劃分，并且進行強制性的訪問控制和安全審計，從而構建基于安全域技術的網絡信息保密與安全控制系統。[3]在此基礎上，增強主體對客體訪問時的安全防護水平，從而真正地發揮“三線一中心”網絡安全體系的作用，有效的阻隔來自內部和外部的攻擊。

二、基于安全域的網絡安全體系建設方案及技術措施

2.1強化應用級安全域防護與控制設計

首先是應用級安全域的設計我按照不同的業務范疇和管理主體來進行劃分，確保各安全域的獨立性，使彼此之間在沒有獲得授權的情況下，無法進行信息和數據的交換[4]。其次則是取消即時通信系統，也就是點到點的傳輸應用，這樣能夠為實現針對安全域的訪問控制和安全審計提供可能。同時為了保證內部通信的高效和便捷，可以將即時通信并入到辦公自動化系統之中，同時配合用戶行為審計系統，來對相關的操作主體進行信用評級，實現對通信消息的記錄和審核，從而增強應用級安全域的網絡安全防護效果。再次就是針對每一個應用級的安全域內的涉密客體，也就是一些加密的信息以及文件等，設置安全標記，這樣能夠對各種訪問和流經的信息加以強制控制，按照相應的定密規則對信息進行過濾和審計，排除有可能潛在的安全隱患和危險。[5]最后，針對應用級安全域的網絡安全設計，其保護的核心就是數據庫系統，為提升安全防護等級，可以將劃分的不同安全域的業務數據進行分類存放，建立子數據庫，并且子數據庫之間的數據交換必須要使用專門的鏈接工具，同時為進一步保證跨安全域數據傳輸的安全性和保密性，同樣可以設置專門的加密機確保安全域之間的獨立性。

2.2做好安全域間涉密電子文檔交換的保密工作

首先對涉密電子文檔按照其業務種類和密級進行邏輯分類，劃分為不同的邏輯安全域，為控制這些電子文檔在不同安全域間的交換和流動，要在不同安全域的邊界設置安全域網關，由安全域網關來負責對流經的電子文檔以及郵件等進行篩查和過濾，主要檢測的內容包括電子文檔的密級、流向等是否與操作主體的權限相匹配，是否符合分級保護的原則，如果通過檢查則獲取查看權限，沒有通過則顯示相關文檔傳輸失敗。其次，為了更好的讓安全域網關來進行安全識別和檢查，要求在整個的電子文檔安全域控制系統內統一密級標識以及安全標記，并且配合電子文檔生成相關的配置文件，其中記錄有關的涉密信息、審批人信息、簽名文件等，方便進行統一的篩查。最后，在劃分電子文檔安全域并配置安全域網關的同時，還要設置好強制訪問[6]控制的規則，要求每個安全域的過濾端口必須開放，并且要在不同的安全域中設定本級安全域定密審批人的相關信息，包括私鑰簽名以及公鑰證書等等，這樣能夠極大的提升涉密電子文檔安全域控制系統的工作效率。

2.3創建基于安全域間網絡應用的安全體系

基于應用級安全域的網絡安全體系設計，除了針對涉密電子文檔的訪問控制之外，還應當應對更加復雜的應用系統。上文中所提到的涉密電子文檔安全域控制系統更多的適用于電子郵件系統，但是對于更為復雜的辦公自動化系統、信息化財務管理系統等卻不能很好的適用。[7]為解決這一問題，滿足高性能和復雜的網絡應用體系之間信息高效傳輸和資源共享的要求，可以采用先進的SSL VPN技術，對網絡應用中的瀏覽器以及服務器進行安全防護和保密設置，這樣既增強了對應用系統數據交換的訪問控制和安全審計，同時又能夠方便用戶進行相關信息數據的快速傳輸和有關網絡資源的共享。

這一設計方案的具體思路和技術措施如下：首先就是要在原有的涉密電子文檔安全域控制系統的基礎上再添加一個專門的服務器安全域，將辦公過程中各種基于網絡的應用服務器都歸納到這個服務器安全域之中，在服務器安全域的邊界設置SSL VPN網關，通過提供相應的認證服務，對用戶也就是操作主體進行統一的身份認證和授權，同時按照強制訪問控制的規則通過網絡瀏覽器與網關建立SSL會話，這樣用戶可以使用的資源就會在網絡服務器的頁面上羅列出來，這樣可以對從服務器返回給客戶端的數據進行一個過濾和安全審計。為了進一步增強服務器安全域的防護性能，還可以在SSL VPN的網關外端設置防火墻，從而實現網絡級安全域的防護。[8]其次，用戶在使用相關應用系統的過程中，就要首先獲得服務器安全域認證以及身份檢驗，服務器安全域通過審核之后才能夠建立相應的安全通信通道，從而由服務器安全域轉發用戶的各項請求或者是指令到各應用級安全域中進行操作執行。這種設計方法可以簡單的理解為為整個應用級安全域網絡安全體系安裝了一個大腦，從而更好的對其進行訪問控制和安全審計。最后，服務器安全域的網關在進行信息過濾和審計的過程中，要完全的按照強制訪問控制規則對接收端所屬安全域的密級進行匹配，匹配成功則轉發出相應的請求和指令，實現快速應答，否則則拒絕轉發請求。跨安全域文件傳輸的控制規則如表1所示。

2.4提升基于安全域的入網安全控制水平

伴隨著移動互聯網技術的升級，相關應用系統的用戶在接入安全域的過程中往往不受到時間和空間的限制，用戶可以從不同的地點，用不同的網絡終端設備接入到所屬應用系統的安全域之中。在這樣的背景下，傳統的靜態安全域接入技術已經不能適應網絡安全防護的要求，要采取動態安全域技術來實現對入網身份的認證和訪問控制。動態安全域技術主要就是利用交換機來根據某個條件將用戶自動的劃分劃分到某個安全域之中，劃分的條件一般就是對用戶進行身份認證，根據身份認證信息來自動的進行安全域的劃分。動態安全域技術應用的缺點就是需要配置核心交換機和眾多的邊緣交換機，但優點就是能夠實現動態的訪問控制和安全審計。采取動態安全域技術實現入網安全控制，并不需要對網絡應用系統的布局進行大的調整，只需要核心交換機以及邊緣交換機能夠支持基于端口的訪問控制協議，同時提供身份認證客戶端和服務器即可，如果用戶沒有通過身份認證，則相應的受控端口就會顯示處于未認證的狀態，那么用戶就無法訪問安全域內的應用系統，在一定程度上保證了接入級的網絡安全。要更好的實現基于端口訪問控制協議的認證，一般要求用戶要在工作電腦或者是移動筆記本上來下載端口訪問控制協議客戶端軟件，當用戶有接入需求時，不需要通過網絡連接來激活客戶端程序，輸入相應的身份認證信息，并發出接入請求。

相關的認證設備在接收到用戶的請求之后，要將相關的用戶信息傳輸給認證服務器，認證服務器用來對信息進行檢驗和審計，認證通過之后要向認證設備發出指令，認證設備接收到指令之后會打開相應的服務端口，從而進一步強化對用戶的訪問控制。

三、結語

基于安全域的網絡安全體系設計，要實現網絡級安全域、應用系統安全域以及接入級安全域的全方位設計，健全和完善網絡安全防護體系，增強安全域訪問控制水平，保障信息安全。

參? 考? 文? 獻

[1]胡國良，肖剛，張超.新形勢網絡安全管理存在的問題及應對建議淺析[J].網絡安全技術與應用， 2020（08）：7-8.

[2]尚可龍，古強.零信任安全體系設計與研究[J].保密科學技術，2020（05）：54-59.

[3]夏晨.探究聯動式網絡安全系統的防御體系設計[J].網絡安全技術與應用，2020（02）：13-15.

[4]賈美玉.企業信息網絡安全體系的設計與實現[J].電子技術與軟件工程，2020（01）：255-258.

[5]樊金健，謝一飛.基于安全域劃分的網絡安全體系設計——保障煙草工業企業安全生產[J].工業技術創新，2019，06（02）：59-65.

[6]靳起朝，任超.基于零信任架構的邊緣計算接入安全體系研究[J].網絡安全技術與應用，2018（12）：26-27.

[7]王艷偉，鄔江，羅赟騫，史春見.一種基于開放聚合框架的網絡流量安全監測體系設計[J].信息技術與網絡安全，2018，37（09）：22-26.

[8]黃道麗.網絡安全漏洞披露規則及其體系設計[J].暨南學報（哲學社會科學版），2018，40（01）：94-106.