郝正光

[摘要]在3C技術(shù)發(fā)展、建筑功能需求增多的情況下，控制對象多而散、大規(guī)模是建筑智能化系統(tǒng)發(fā)展的趨勢，這對子系統(tǒng)之間互操作性、傳輸信息速率、運(yùn)行維護(hù)、可靠性等有了更為嚴(yán)苛的要求。本文主要圍繞建筑智能化系統(tǒng)網(wǎng)絡(luò)安全體系進(jìn)行分析與探討。

[關(guān)鍵詞]網(wǎng)絡(luò)安全；建筑智能；系統(tǒng)；研究 文章編號：2095-4085（2015）11-0047-02

1設(shè)計(jì)的相關(guān)原則

1.1易操作性

安全措施完成的主體為人，若安全措施要求高且步驟復(fù)雜，本身安全性就會(huì)降低。并且安全措施執(zhí)行過程中，系統(tǒng)正常運(yùn)行會(huì)被額外消耗系統(tǒng)資源等問題影響。

1.2動(dòng)態(tài)發(fā)展

安全措施需以網(wǎng)絡(luò)安全的具體變化為依據(jù)不斷的更新調(diào)整，以較強(qiáng)的適應(yīng)性去面對新的安全需求和網(wǎng)絡(luò)環(huán)境。

1.3等級性

具體指的是安全級別以及安全層次。完整的網(wǎng)絡(luò)安全系統(tǒng)要能對不同層次的各種具體需求提供服務(wù)，因此，需有不同的等級。具體有系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)等級劃分，鏈路層、網(wǎng)絡(luò)層、應(yīng)用層等；網(wǎng)絡(luò)安全程度的等級劃分，安全區(qū)域、安全子網(wǎng)，此外，還有用戶操作權(quán)限、信息保密程度的等級劃分等。

1.4統(tǒng)籌兼顧

在攻擊手段不斷進(jìn)步，時(shí)間、條件、環(huán)境不斷變化，服務(wù)需求、政策規(guī)定不明確等因素的影響下，安全防護(hù)要想實(shí)現(xiàn)一步到位存在一定的難度。第一步應(yīng)做基本安全體系的構(gòu)建，其重要前提是全面的規(guī)劃，對實(shí)際需求進(jìn)行了解，保障基本的安全。在今后的工作中，根據(jù)實(shí)際的變化要求，對安全防護(hù)力度進(jìn)行改善和強(qiáng)化，為根本安全需求提供保障。

1.5管理與技術(shù)結(jié)合

安全體系這一系統(tǒng)工程涉及到的要素有操作、技術(shù)、人員等，比較復(fù)雜，僅憑管理或者技術(shù)都不能很好的完成，必須有效的結(jié)合安全規(guī)章制度建設(shè)、人員技術(shù)培訓(xùn)與思想教育、運(yùn)行管理機(jī)制與安全技術(shù)等要素。

1.6一致性和標(biāo)準(zhǔn)化

應(yīng)以相關(guān)的標(biāo)準(zhǔn)為參照設(shè)計(jì)安全體系，提高設(shè)計(jì)規(guī)范性，保證分系統(tǒng)一致性，提高信息共享、互聯(lián)互通等行為的安全性。

1.7評價(jià)與平衡

在任何網(wǎng)絡(luò)中都難以實(shí)現(xiàn)絕對的安全，對代價(jià)、風(fēng)險(xiǎn)與需求之間的關(guān)系進(jìn)行正確的處理，組織上能夠執(zhí)行，可用性與安全性相容是安全體系設(shè)計(jì)需要考慮的問題。評價(jià)網(wǎng)絡(luò)安全是由具體應(yīng)用環(huán)境以及用戶需求決定的，其衡量指標(biāo)與評判標(biāo)準(zhǔn)并不是絕對的，具體的決定因素為網(wǎng)絡(luò)重要程度與性質(zhì)，網(wǎng)絡(luò)范圍與規(guī)模。

1.8整體性

設(shè)計(jì)應(yīng)包含安全恢復(fù)機(jī)制、安全檢測機(jī)制、安全防護(hù)機(jī)制，在出現(xiàn)破壞與攻擊事件時(shí)能夠確保網(wǎng)絡(luò)核心服務(wù)的迅速恢復(fù)，將損傷降低到最小。安全防護(hù)機(jī)制是防止非法攻擊的措施，其建立基礎(chǔ)是具體存在的安全威脅。安全檢測機(jī)制是對系統(tǒng)運(yùn)行進(jìn)行檢測，從而能夠及時(shí)發(fā)現(xiàn)攻擊并及時(shí)制止。

1.9木桶原則

最短木板的長短對木桶容積具有決定性作用，應(yīng)用于網(wǎng)絡(luò)安全意在詮釋其保護(hù)的均衡與全面。系統(tǒng)安全脆弱性是管理、操作、物理上各種漏洞的作用結(jié)果，資源的共享性、系統(tǒng)的復(fù)雜性都增加了技術(shù)保護(hù)的難度。根據(jù)最易滲透性原則，攻擊者所攻擊的必然是系統(tǒng)最薄弱的環(huán)節(jié)。因此，在設(shè)計(jì)時(shí)應(yīng)首先完整、全面、充分的分析系統(tǒng)存在的安全威脅與安全漏洞。

2安全體系的建構(gòu)

安全體系的建立應(yīng)分為安全保護(hù)對象平面、安全服務(wù)平面、安全協(xié)議層次平面。 安全保護(hù)對象平面明確了網(wǎng)絡(luò)實(shí)體與傳輸數(shù)據(jù)兩大類重點(diǎn)保護(hù)對象，每一類都將具體保護(hù)對象包含其中。安全服務(wù)平面是對3.5節(jié)安全目標(biāo)要求的安全服務(wù)進(jìn)行定義，多種安全服務(wù)可由每一協(xié)議層實(shí)現(xiàn)，多個(gè)安全協(xié)議層次可由每一類服務(wù)跨越。以建筑物中智能化系統(tǒng)所要求的安全防護(hù)為標(biāo)準(zhǔn)，為了實(shí)現(xiàn)對成本的控制以及對資源浪費(fèi)的減少，安全服務(wù)需適應(yīng)滿足其要求。在安全協(xié)議層次平面中，從不同層次對網(wǎng)絡(luò)中的威脅進(jìn)行分析，將ISO/OSI協(xié)議七層模型設(shè)定為參考物，分析探討其中的安全服務(wù)，并對安全機(jī)制進(jìn)行研究。公證機(jī)制、鑒別機(jī)制、數(shù)據(jù)完整性機(jī)制、訪問控制機(jī)制、加密機(jī)制等是比較常見的安全機(jī)制，每一項(xiàng)都具備具體的安全技術(shù)，以加密機(jī)制為例，其中就含有數(shù)據(jù)加密算法如RSA、AES等。安全服務(wù)、安全機(jī)制之間聯(lián)系緊密，某種安全服務(wù)能夠通過一種或組合多種安全機(jī)制實(shí)現(xiàn)，如單獨(dú)或聯(lián)合數(shù)字簽名、加密機(jī)制能夠?qū)崿F(xiàn)完整性服務(wù)。

3小結(jié)

安全目標(biāo)、安全保護(hù)對象、安全協(xié)議層次、安全服務(wù)等是網(wǎng)絡(luò)系統(tǒng)安全需要的相關(guān)元素，這些元素及其內(nèi)部關(guān)系的定義是通過網(wǎng)絡(luò)安全體系完成的。進(jìn)一步研究設(shè)計(jì)使安全體制、安全算法全面和可選，從而讓不同層次的需求得到滿足。