研究网络安全体系结构的设计要点与实现

张翼鹏

摘要： 主要针对网络安全体系结构进行针对性研究与分析，针对网络安全体系结构进行阐述的基础上，对网络安全体系结构设计内容进行了介绍，最终确保了网络安全，从而为人们提供更加稳定的服务。

Abstract： Aiming at the network security architecture， make a research and analysis； based on expounding the network security architecture， introduce the content of network security architecture design， and ensure the network security， so as to provide a more stable service for people.

关键词： 网络安全；结构体系；设计要点

Key words： network security；structural system；design points

中图分类号：TP393 文献标识码：A 文章编号：1006-4311（2017）03-0080-02

0 引言

信息技术的快速发展，使计算机网络的连接形式变得更加多样化，而网络本身又具有开放性和互联性，终端的分布具有不均匀性，在这样的背景之下，计算机网络在具体运行过程中容易遭受黑客攻击，不仅会影响用于在具体应用过程中的安全性，而且会导致用户的信息发生泄漏，并且会伴随着较为严重的经济损失，因此构建网络安全体系势在必行。

1 网络安全体系结构

一般来说，网络安全体系设计过程分为以下四步：①网络安全策略定义。②网络安全需求分析。③网络安全设计。④网络安全实现。设计模型图如图1所示。

从现代网络的具体应用情况来看，从高级安全需求分析渗入到具体执行上，两者之间存在的一定差距[1]。从高级策略不断发展，最终形成了一个结构和功能复杂的系统，部分组件可能会呈现出不一定特性，将会引起错误的执行需要的安全策略，引起危险的失误和安全漏洞。

1.1 安全策略定义

详细的描述安全策略定义，该过程中的最终目的是能够为网络的正常使用提供有效的支持，同时需要相关研究人员注意的是，在分析网络安全系统过程中，应当与其领域的科学结合，从而使其适应性能够得到进一步提高。例如，操作安全、人员安全、物理安全、社会机制等多项内容。该过程通常依据对企业中存在的风险进行分析，并且需要将高级安全策略和控制作为整个操作的主要依据，最后通过自然语言描述控制文档和网络安全，这也就是我们常说的高级安全策略。

1.2 安全需求分析

安全需求分析是网络安全体系结构设计的第二步，其是上一步高级安全策略形式内容的具体描述。通过大量的实践可以发现，通过形式化完成对高级安全策略的具体描述可以具有诸多优点，主要体现在以下几个方面：通过分析可以全面细致的完成对冲突的检查，同时也可以将高级策略中的模糊描述消除[2]。曾有学者提出，通过行形式化方法对高级安全策略进行处理，并且取得了不错的效果。

2 网络安全设计的具体内容

2.1 设计的目标

现代网络的快速发展与应用，一方面使人们的生活和工作变得更加便利，另一方面也增加了安全隐患，人们在生活与工作中利用网络的同时必须加强对安全问题的思考。随着人们网络安全意识的不断提升，人们在应用网络中，加强了对网络安全设计的研究与分析。

2.2 体系结构设计

安全体系的构建要依据安全需求的具体情况而定，只有这样才能使最终所设计的系统与实际情况相符。在设计过程中，依据OSI模型中各个层之间存在的依赖性，安全方面的需求，从逻辑角度出发，科学的将安全内容细致的分到不同层中。具体内容如下：

①物理层：该层在信息安全上存在的问题主要集中在，物理通量受到非法窃停和干扰等，从而会对物理层的性能造成不良影响。

②链路层：该层的主要作用是确保通过链路层所传送的信息，在传送过程中不会受到外界的截取。在具体操作过程中采用方式为划分局域网、远程网等手段[3]。

③网络层：该层的作用是避免网络服务被非法人员使用，通过网络层的有效控制，使得只有授权的客户才能够享受到相应的服务，通过该方式可以确保网络路由的正确性，提供了网络层的安全性，有效地避免了数据被监听。操作系统，保证资料和访问控制的安全性，同时在操作过程中，要对系统中涉及到的内容进行审计，审计工作要依据相关的标准进行，确保最终审计结果的合理性，有效地避免安全问题的发生。

④应用平台与应用系统。前者指的是应用软件服务，目前比较常见的有数据库、电子邮件服务器等，通过分析不难发现，应用平台中的系统的结构复杂，应用相对说比较繁琐，为了提高应用平台的安全性，通过需要通过多种技术完成，比较常见的技术有SSL；后者的作用就是为用户服务，系统的安全与设计实现两者之间的联系十分紧密。通过科学的方式应用系统，能够为应用平台提供全服务得到相应的保护。

2.3 安全策略的设计与实现

安全策略的设计与实现是网络安全体系结构设计过程中的第一步，该过程的主要目的是确定科学的安全策略。但是，在具体应用中，受各方面因素的影响，计算机网络配置与部门两项内容在具体操作过程中会发生改变，而这种改变通常都是不可控和不可预知的，这也就直接导致了安全需求也会发生改变，并且该变化通常都比较明显，会引起一系列的变化。由此可以判断，网络安全自身并不是静止不变的，因此要不断调整和完善安全策略内容。企业在具体运用过程中要想获取理想的经济收益，就必须要确保具有一个科学的安全策略，并且要按照规范的要求执行。安全策略在企业中的应用，需要能够全面、清楚识别存在风险的资源，并且要依据企业和其所处的具体环境给出合理的环节威胁的具体方法。该策略的核心问题是对系统中的哪一个用户可以访问哪一种资源进行定义，从而避免资源被非法访问而引发安全问题[4]。需要注意的是，需要做好对审计跟踪用户进行定义，同时需要帮助用户对出现的伤害进行识别，并且要及时做出相应的响应，避免危害进一步扩大，造成更大的影响。

安全策略管理要需要包含所有的安全组件。例如，路由器、访问列表、防火墙等，从而构建网络安全策略管理实现的实现模型。目前，网络安全策略管理实现的模型以IETF安全体系框架中的RFC275策略管理为基础，该模型策略管理的应用十分广泛，在整个网络中都所有分布。现阶段，适合所有用户的有网络安全层以及服务网络安全层。策略管理包括的功能有以下几点：策略实现点、策略决定点、策略仓库。网络策略中的每一项信息点都应被存储在策略仓库中，完成对计算机以及网络用户各项内容的研究与分析，各项内容的执行都应当在仓库内完成，确保执行结果的合理性。

策略服务器与策略决定点两者都是对网络进行抽象，成为策略控制信息，再将信息传递给策略执行点。策略实现点接受PAPs中的策略，作为网络或安全设备。公共开放策略服务以TCP作为基础协议进行应答，从而完成PEPs和PDP两者之间策略信息的交换。

3 网络安全的实现

网络安全体系结构中，安全管理运的工作站和服务器上，对网络辅助级和网络及的上的安全，通过对应用级的安全管理来实现。在网络操作者中存在一些身份较为特殊的用户，这些用户的认证主体和授权程序都更为严格。因此，管理人员在具体操作过程中具有更大的功能权限和访问授权，因此为了确保一切操作的安全性，他们的行为和访问等操作都必须要安全，从而确保网络的性能、配置以及存活能力都能够达到要求标准。通过大量实践经验可以发现，企业的网络管理系统的开放性和集中性越高，安全管理的需求也就越急迫[5]。安全网络管理是一个整体方法，网络安全体系结构包含多个领域。在具体操作过程中，记录安全行为对用户以及管理员在网络结构的各项行为都有着严格的要求。

为了确保操作的合理性，网络操作者认证需要在集中管理和执行口令的基础上完成，确保没有获得授权的用户无法访问系统，通过这一方式有效地避免了非法访问的出现。网络操作者授权通过已经认证的身份对用户的访问权限进行认证，判断得到授权的用户可以在系统中的对哪些内容进行访问，实现何种功能。网络管理事物加密起到的作用就是保护网络管理数据的机密性，避免数据被非法人员盗取，通过加密能够对外部和内部都提供高度保护，从而确保网络体系结构的安全。操作者安全远程访问：对IPsec进行合理应用，提供一个VPN，这是一种强制性的解决方案，通过该方案可以为远程操作者提供科学的加密和认证。利用防火墙和VLANs将网络分离开，在管理上要分开进行。在应用通过入侵检测系统锁构成的管理服务器，通过提出管理员存在的不安因素（例如，在运行过程中，服务其妥协和拒绝服务袭击），完成对网络的保护操作。

网络安全体系实现的实例如下：某企业为了确保企业中网络安全采取了以下措施：①构建防火墙。在网关上安装防火墙，分组过滤和ip伪装，监视网络内外的通信，全面掌握企业网络情况。②采用身份验证技术。针对企业中的不同用户设定了不同的访问权限，并且定期对用户的权限进行检查，避免非法访问。③入侵检测技术。④口令管理。每个用户设置口令，定义口令存活期。⑤病毒防护安装杀毒软件，及时查杀服务器和终端；限制共享目录及读写权限；限制网上下载和盗版软件使用。⑤系统管理，及时下载安装系统补丁；设置开机口令；设置屏保口令；删除不用账户。该企业通过以上方式，构建了网络安全体系，确保了企业中网络的安全性。

4 结束语

网络安全体系结构的设计与实现对用户使用网络的安全性会产生直接影响，同时也会对计算机网络安全的健康发展造成影响。在提出网络安全系统设计框架基础上，对网络安全的设计问题进行详细划分，提出了安全体系结构模型和策略管理执行模型的设计与实现。最后合理地将安全体系结构、安全策略管理的实现与网络机制结合，确保了高级安全策略向网络安全机制的合理过渡，推动了网络的健康发展。同时，本文也为网络安全体系结构的设计与实现指明了方向。

参考文献：

[1]梁树军，李玉华，尚展垒.基于访问控制技术的网络安全体系结构研究与设计[J].网络安全技术与应用，2016（05）：23-24.

[2]姜红军.金保工程信息网络安全保障体系设计与实现[J]. 数字技术与应用，2016（05）：201.

[3]罗旬，严承华.无线Mesh网络安全体系研究与设计[J].信息网络安全，2015（06）：61-66.

[4]朱宁龙，曲思源，戴紫彬.面向终端的网络安全处理器体系结构设计[J].微电子学与计算机，2015（12）：80-84.

[5]涂传唐，汪海涛，曾素云.信息系统安全等级化防护研究探讨[J].信息安全与技术，2012（08）：52-54.