網(wǎng)絡安全體系結構的設計與實現(xiàn)

郝麗蓉（河北省經(jīng)濟信息中心，河北 石家莊 050051）

網(wǎng)絡安全體系結構的設計與實現(xiàn)

郝麗蓉
（河北省經(jīng)濟信息中心，河北 石家莊 050051）

摘 要：在網(wǎng)絡建設和普及的過程中，網(wǎng)絡安全體系結構的設計和實現(xiàn)關系重大。只有設計并實現(xiàn)完善的網(wǎng)絡安全體系結構，才能推動計算機網(wǎng)絡技術的繼續(xù)發(fā)展，拓寬計算機網(wǎng)絡的使用領域。本文對網(wǎng)絡安全體系結構的框架進行了簡要的介紹，并分析了網(wǎng)絡安全體系結構的設計與實現(xiàn)。

關鍵詞：網(wǎng)絡安全體系結構；設計；實現(xiàn)

由于計算機網(wǎng)絡具有多樣性的聯(lián)結形式，網(wǎng)絡本身具有互連性和開放性，其終端分布具有不均勻性，因此計算機網(wǎng)絡很容易遭到各種惡意軟件和黑客的攻擊，給用戶帶來巨大的損失。本文對網(wǎng)絡安全體系結構的設計和實現(xiàn)進行了分析，希望能夠將完善、堅實的網(wǎng)絡安全體系建立起來，保障計算機網(wǎng)絡的安全。

1 網(wǎng)絡安全體系的結構

對網(wǎng)絡安全體系結構的設計主要有四個基本步驟：定義網(wǎng)絡安全策略、分析網(wǎng)絡安全需求、網(wǎng)絡安全設計和網(wǎng)絡安全實現(xiàn)。這就需要先以高級安全策略和控制為依據(jù)，將安全規(guī)范進行形式化處理，從而設計并實現(xiàn)系統(tǒng)中的執(zhí)行機制。

1.1定義網(wǎng)絡安全策略

定義網(wǎng)絡安全策略指的是詳細描述網(wǎng)絡安全策略，這是為了將支持和管理提供給網(wǎng)絡安全。要結合其他領域來考慮網(wǎng)絡安全系統(tǒng)，例如社會機制、通信安全、操作安全、人員安全和物理安全。要以向導手冊ISO/IEC為依據(jù)來分析企業(yè)的風險，最后產(chǎn)生的網(wǎng)絡安全和控制文檔是由自然語言描述的，也就是所謂的高級安全策略。

1.2分析網(wǎng)絡安全需求

網(wǎng)絡安全需求的分析是對高級安全策略進行的形式描述，并得到更高形式的安全策略。這種做法的優(yōu)點在于對策略之間的沖突進行檢查，并將自然語言對中高級策略比較含糊的描述消除。

2 網(wǎng)絡安全體系結構的設計

網(wǎng)絡安全體系結構的設計目標在于轉換安全系統(tǒng)模型中的中高級安全策略，設計相應的執(zhí)行機制。網(wǎng)絡安全體系結構的設計又包括安全策略的設計和體系結構的設計與實現(xiàn)。

2.1設計網(wǎng)絡安全體系結構

以上一步的安全需求為基礎，有針對性的安全體系結構構建起來，對網(wǎng)絡系統(tǒng)安全進行有力的保障。設計網(wǎng)絡安全體系結構的目的在于將網(wǎng)絡安全系統(tǒng)的全面結構建立起來，這就需要一種技術能夠將組件提出來并進行構建。在體系結構中各層進行安全的邏輯分配時，要考慮全面的安全需求以及OSI參考模型中的層級之間的依賴性。

網(wǎng)絡安全體系結構包括網(wǎng)絡安全層、輔助網(wǎng)絡安全層、安全應用層。網(wǎng)絡安全層是將OSI模型中前三層的安全功能提供出來，包括傳輸層、數(shù)據(jù)鏈路層和物理層。輔助網(wǎng)絡安全層的主要作用是將OSI模型中四至七層的安全功能提供出來，也就是提供網(wǎng)絡層至應用層的安全功能，并增加網(wǎng)絡安全層的安全。安全應用層的功能在于將OSI模型中第七層的安全提供出來，也就是應用層，保障存儲平臺和服務器的安全。只在網(wǎng)絡安全層上進行VLANs和訪問列表的操作。可以在輔助網(wǎng)絡安全層或網(wǎng)絡安全層上進行防火墻操作，在應用安全層或網(wǎng)絡輔助層實現(xiàn)SSL。安全體系中可以映射普通的安全技術。

2.2設計與實現(xiàn)網(wǎng)絡安全策略

在網(wǎng)絡安全體系結構的設計中，網(wǎng)絡安全策略的設計與實現(xiàn)屬于第二步。設計與實現(xiàn)網(wǎng)絡安全策略的目的就是定義一套設計級安全策略，作為一種框架底層的抽象策略。這種網(wǎng)絡安全策略設計與實現(xiàn)接近于技術執(zhí)行。在計算機網(wǎng)絡配置中，部門和組織經(jīng)常變化，從而對計算機網(wǎng)絡提出不同的安全需求。因此網(wǎng)絡安全具有動態(tài)性，要經(jīng)常根據(jù)需要調整組織的安全策略，企業(yè)需要進行適當?shù)脑O計，并對安全策略進行執(zhí)行，這是一個過程，也是一個現(xiàn)存的文檔。企業(yè)最新的需求服務和基礎組織都在其升級、實現(xiàn)和執(zhí)行的過程中得到反映。這就要求安全策略要能夠識別資源中的風險，提出相應的方法來緩解威脅。要對每個用戶和組可以訪問的資源進行定義，包括對審計跟蹤的用戶進行定義，并幫助用戶發(fā)現(xiàn)并識別侵害，對侵害進行響應。

所有的安全組件的領域都應該在安全策略的管理范圍之內，例如認證技術、路由器、訪問列表、IDS和防火墻等，從而構建網(wǎng)絡安全策略管理的實現(xiàn)模型。網(wǎng)絡安全策略管理的實現(xiàn)模型以IETF安全體系框架中的RFC2753策略管理為基礎，在整個網(wǎng)絡中都要執(zhí)行該模型的策略管理，例如網(wǎng)絡安全層、輔助網(wǎng)絡安全層和應用安全層等，其適合所有的應用和用戶。

策略管理功能包括三個方面：策略實現(xiàn)點、策略決定點和策略倉庫。網(wǎng)絡目錄中的一切策略信息都存儲在策略倉庫中，能夠對服務、計算機、應用和網(wǎng)絡用戶進行描述，并在專用數(shù)據(jù)庫上進行執(zhí)行。

策略服務器或策略決定點則是對網(wǎng)絡策略進行抽象，使其成為策略控制信息，向策略執(zhí)行點進行傳遞。策略實現(xiàn)點則是接受PAPs中的策略，作為安全或網(wǎng)絡設備。公共開放策略服務則是對以TCP為基礎的協(xié)議進行應答的簡單請求，能夠交換PEPs和PDP之間的策略信息。

3 實現(xiàn)網(wǎng)絡安全

實現(xiàn)網(wǎng)絡安全主要靠一些實現(xiàn)機制。通過安全體系結構中工作站和服務器上運行的網(wǎng)絡安全管理，利用網(wǎng)絡輔助級和網(wǎng)絡級的安全來使應用級進行安全的實現(xiàn)。由特殊的用戶作為網(wǎng)絡操作者，這些主體擁有嚴格的授權程序和認證，其具有更大的功能權限和訪問授權，因此必須保障他們行為和訪問的安全，只有這樣才能對網(wǎng)絡的存活能力、性能額配置進行保護。網(wǎng)絡的管理系統(tǒng)越集中，企業(yè)越開放，其對安全管理過程的安全需求就越高。

網(wǎng)絡安全的實現(xiàn)機制主要有反病毒保護、主機加固、入侵監(jiān)測、VLANs、防火墻、安全遠程訪問、加密、網(wǎng)絡操作授權、網(wǎng)絡操作認真以及安全行為記錄等領域。用戶和管理員的行為會被安全行為記錄跟蹤，網(wǎng)絡操作者則對口令的執(zhí)行和集中管理進行認證。

結語

網(wǎng)絡安全體系結構的設計與實現(xiàn)關系著網(wǎng)絡用戶的使用安全，對于計算機網(wǎng)絡的健康發(fā)展有著重要的影響。本文對網(wǎng)絡安全體系結構進行了簡要的介紹，并對網(wǎng)絡安全體系結構的設計與網(wǎng)絡安全體系結構的實現(xiàn)進行了介紹，必須結合網(wǎng)絡安全的實現(xiàn)機制、安全策略的管理和安全體系的結構，推動網(wǎng)絡安全實現(xiàn)機制的構建，這也是計算機網(wǎng)絡發(fā)展的必然要求。

參考文獻

[1]趙中營，徐佩鋒.網(wǎng)絡安全技術及其缺陷[J].計算機光盤軟件與應用，2013（17）.

[2]韓海波.“一網(wǎng)雙平面”—一種新的廣域骨干網(wǎng)絡架構[J].計算機系統(tǒng)應用，2013（08）.

[3]于穎蔚. 淺議辦公自動化的網(wǎng)絡安全性[J].電子制作，2013（09）.

中圖分類號：TP393

文獻標識碼：A

作者簡介：郝麗蓉，女，河北省石家莊市，1968/12，副高級工程師，電子工程專業(yè)，河北省經(jīng)濟信息中心 。