本文關鍵詞：網絡安全體系結構，由筆耕文化傳播整理發(fā)布。

關于網絡安全體系結構的設計與實現(xiàn)

作者：2015-06-08 14:22閱讀： 次文章來源：未知

　　隨著計算機網絡的不斷發(fā)展, 全球信息化已成為人類發(fā)展的大趨勢, 但由于計算機網絡具有聯(lián)結形式的多樣性, 終端分布的不均勻性和網絡本身的開放性、互連性等特征, 致使計算機網絡易受黑客、惡意軟件和其它不法行為的攻擊, 網絡入侵和網路攻擊層出不窮, 網絡安全已成為網絡建設的重大對策問題, 如何確保網絡系統(tǒng)的安全, 如何構建一個堅實的網絡安全體系已成為網絡系統(tǒng)設計人員和管理人員的重要任務和職責。

　　1 網絡安全體系框架的介紹

　　通常網絡安全系統(tǒng)設計的過程分4 步,

　　首先是基于方針手冊如ISO/IEC 17799 標準的文檔化的高級安全策略和控制的基礎上, 對安全需求規(guī)范進行形式化, 然后再對組成系統(tǒng)的幾個執(zhí)行機制進行具體的設計與實現(xiàn)。但是從高級安全需求到實現(xiàn)它們的執(zhí)行機制之間卻有差距:安全設計者從一個高級策略描述直接到復雜系統(tǒng)的實現(xiàn), 有些組件有時在它們的配置中有完全不同的特性。這將會導致不正確執(zhí)行所需的安全策略, 從而造成安全漏洞和非常危險的安全失誤。

　　1 .1 網絡安全策略的定義

　　第一步是網絡安全策略的定義, 它是對網絡安全策略進行詳細描述。目的在于為網絡安全提供管理和支持, 網絡安全系統(tǒng)必須與其它領域一起考慮, 如物理安全、人員安全、操作安全、通信安全和社會機制。這個通常根據(jù)向導手冊ISO/IEC 對企業(yè)進行風險分析來完成。這一步最后的結果是由自然語言描述的網絡安全策略和控制的文檔, 稱其所產生的安全策略為高級的安全策略。

　　1 .2 網絡安全需求分析

　　第二步是網絡安全需求分析, 它是對上一步高級安全策略的形式描述, 從而獲得高級形式安全策略。對高級安全策略的形式化描述有幾個優(yōu)點, 如通過分析可以檢查策略之間的沖突, 同時還可以消除自然語言中高級策略比較含糊的描述。Leiwo 和Zheng曾經提出用形式化的方法處理高級安全策略的框架, 在該層中允許沖突監(jiān)測和協(xié)調分析。

　　2 網絡安全設計

　　第三步網絡安全設計, 其主要目標就是把網絡安全系統(tǒng)模型中高級形式安全策略轉換為系統(tǒng)設計級的執(zhí)行機制。這一步分為體系結構的設計和安全策略的設計與實現(xiàn), 是本文的重點。

　　2 .1 網絡安全體系結構的設計

　　根據(jù)上一步的安全需求有針對性地構建適合自己的安全體系結構, 從而有效地保證網絡系統(tǒng)的安全。體系結構設計的目的是建立網絡安全系統(tǒng)的全面結構, 它是通過提出幾個組件以及構建這些組件的技術來完成的。根據(jù)OSI 參考模型中各層之間的相互依賴性, 以及安全的需求的全面性, 把安全在邏輯上分配到體系結構的各個層。

　　網絡安全層:它提供OSI 模型中一到三層的安全功能(物理、數(shù)據(jù)鏈路和傳輸層)。輔助網絡安全層:它提供OSI 模型中四到七層的安全功能(網絡層到應用層), 在網絡安全層上增加安全。

　　安全應用層:它提供OSI 模型中第七層(應用層)的安全, 包括服務器和存儲平臺上的安全。訪問列表和VLANs , 只在網絡安全層操作。防火墻既在網絡安全層, 也在輔助網絡安全層操作。SSL 可以在網絡輔助層或應用安全層實現(xiàn)。

　　2 .2 網絡安全策略的設計與實現(xiàn)

　　網絡安全體系結構設計中的第二步是安全策略的設計與實現(xiàn), 其目的是對一套設計級安全策略的定義, 這些策略是框架底層的抽象策略, 它的特性更接近于技術執(zhí)行。, 由于組織和部門的計算機網絡的配置可能經常變化, 它們對安全的需求也會發(fā)生變化, 因此網絡安全是一個動態(tài)的過程, 組織的安全策略也需要經常進行相應的調整。一個適當?shù)脑O計和執(zhí)行安全策略是所有企業(yè)的需求, 它應是一個現(xiàn)存的文檔和過程。它被執(zhí)行、實現(xiàn)和升級, 來反映企業(yè)的基礎組織和服務需求中的最新變化。安全策略必須在企業(yè)中清楚地識別有風險的資源, 并給出緩解威脅的方法。這個策略定義用戶中哪個用戶或組可以訪問哪種資源, 它必須定義審計跟蹤的用戶, 以幫助識別和發(fā)現(xiàn)侵害并給出適當?shù)捻憫?/p>

　　安全策略管理包括安全組件的全部領域, 如防火墻、IDS 、訪問列表和路由器、認證技術等。安全體系結構中策略管理實現(xiàn)的參考模型。它是基于IETF 安全體系框架中的RFC2753 策略管理。在這個模型中策略管理在整個網絡中執(zhí)行, 包括所有的安全級(應用安全層, 輔助網絡安全層和網絡安全層) , 它對所有用戶和應用都適合。

　　策略管理功能主要包括策略倉庫, 策略決定點和策略實現(xiàn)點。

　　策略倉庫存儲一個網絡目錄中的所有策略信息。它描述網絡用戶、應用、計算機和服務, 以及這些實體之間的關系。這個策略倉庫通常在運行于Unix 或WindowsNT/2000 上的專用數(shù)據(jù)庫上執(zhí)行, 它通過策略服務器由輕量目錄訪問協(xié)議訪問。

　　策略決定點或策略服務器把網絡策略抽象成詳細的策略控制信息, 然后再傳給策略執(zhí)行點。這些策略服務器經常運行于Unix 或WindowsNT/2000 , 在一個管理域中控制交換和路由, 它們用控制協(xié)議(如:COPS , SNMP , 或CLI)與這些設備通信。

　　策略實現(xiàn)點是一個網絡或安全設備, 它從PAPs 接受策略(配置規(guī)則)。公共開放策略服務是一個簡單的請求—應答基于TCP 的協(xié)議, 它在PDP 和它的客戶——PEPs 之間交換策略信息。這在RFC2748[ 4] 中有詳細的說明。COPS 依賴PEP 與主要的PDP(當主要的PDP 不可達時, 用第二個PDP)一直建立連接。一個COPS 代理裝置可把來源于策略服務器的COPS 信息翻譯成SN-MP 或CLI 命令。策略管理控制臺通常運行在個人計算機或工作站上, 它對策略管理系統(tǒng)提供人機接口。

　　3 網絡安全的實現(xiàn)

　　第四步網絡安全的實現(xiàn)就是通過一些實現(xiàn)機制來實現(xiàn)網絡安全。安全體系結構中, 網絡安全管理運行在服務器和工作站上, 利用網絡級和網絡輔助級上的安全, 由應用級的安全來實現(xiàn)。網絡操作者是一些特殊的用戶, 他們是有更嚴格的認證和授權程序的主體。由于網絡管理人員有更大的訪問授權和功能權限, 他們的訪問和行為必須確保安全, 以保護網絡的配置、性能和存活能力。越開放的企業(yè)和越集中的網絡管理系統(tǒng), 對網絡管理的過程就有更迫切的安全需求。

　　安全的網絡管理需要一個整體的方法, 在安全體系結構中網絡安全的實現(xiàn)機制包括以下幾個主要的領域:安全行為記錄, 網絡操作認證, 網絡操作授權, 加密, 安全遠程訪問, 隔離網絡的防火墻和VLANs , 入侵監(jiān)測, 主機加固和反病毒保護。

　　安全行為記錄對用戶或管理員的行為以及由網絡設備產生的事件提供可作證的審計跟蹤。網絡操作者認證基于集中管理和口令的執(zhí)行, 從而確保只有授權的操作者獲得系統(tǒng)管理的訪問權限。網絡操作者的授權用認證的身份來確定用戶的訪問權限——他們可以訪問什么系統(tǒng), 可以實現(xiàn)什么功能。網絡管理事務的加密保護網絡管理數(shù)據(jù)的機密性和完整性, 加密對內部和外部的威脅提供高度的保護。操作者的安全遠程訪問:應用IPsec 提供一個安全的VPN 是強制的解決方案, 因為這將對所有的遠程操作者提供有力的加密和認證。防火墻和VLANs 把網絡分開進行隔離管理。入侵檢測系統(tǒng)組成的管理服務器通過提示管理員潛在的不安全因素(如服務器妥協(xié)和拒絕服務的襲擊)來保護網絡。

　　4 結束語

　　文中在所提出的網絡安全系統(tǒng)設計框架的基礎上, 細化了網絡安全的設計過程, 給出了安全體系結構模型和策略管理執(zhí)行模型的設計與實現(xiàn), 把安全體系結構、安全策略管理的實現(xiàn)和網絡安全的實現(xiàn)機制有機地結合在一起, 從而實現(xiàn)了從高級安全策略向網絡安全實現(xiàn)機制的平滑過渡。

  本文關鍵詞：網絡安全體系結構，，由筆耕文化傳播整理發(fā)布。