网络安全体系结构的设计与实现

郝丽蓉（河北省经济信息中心，河北 石家庄 050051）

网络安全体系结构的设计与实现

郝丽蓉
（河北省经济信息中心，河北 石家庄 050051）

摘 要：在网络建设和普及的过程中，网络安全体系结构的设计和实现关系重大。只有设计并实现完善的网络安全体系结构，才能推动计算机网络技术的继续发展，拓宽计算机网络的使用领域。本文对网络安全体系结构的框架进行了简要的介绍，并分析了网络安全体系结构的设计与实现。

关键词：网络安全体系结构；设计；实现

由于计算机网络具有多样性的联结形式，网络本身具有互连性和开放性，其终端分布具有不均匀性，因此计算机网络很容易遭到各种恶意软件和黑客的攻击，给用户带来巨大的损失。本文对网络安全体系结构的设计和实现进行了分析，希望能够将完善、坚实的网络安全体系建立起来，保障计算机网络的安全。

1 网络安全体系的结构

对网络安全体系结构的设计主要有四个基本步骤：定义网络安全策略、分析网络安全需求、网络安全设计和网络安全实现。这就需要先以高级安全策略和控制为依据，将安全规范进行形式化处理，从而设计并实现系统中的执行机制。

1.1定义网络安全策略

定义网络安全策略指的是详细描述网络安全策略，这是为了将支持和管理提供给网络安全。要结合其他领域来考虑网络安全系统，例如社会机制、通信安全、操作安全、人员安全和物理安全。要以向导手册ISO/IEC为依据来分析企业的风险，最后产生的网络安全和控制文档是由自然语言描述的，也就是所谓的高级安全策略。

1.2分析网络安全需求

网络安全需求的分析是对高级安全策略进行的形式描述，并得到更高形式的安全策略。这种做法的优点在于对策略之间的冲突进行检查，并将自然语言对中高级策略比较含糊的描述消除。

2 网络安全体系结构的设计

网络安全体系结构的设计目标在于转换安全系统模型中的中高级安全策略，设计相应的执行机制。网络安全体系结构的设计又包括安全策略的设计和体系结构的设计与实现。

2.1设计网络安全体系结构

以上一步的安全需求为基础，有针对性的安全体系结构构建起来，对网络系统安全进行有力的保障。设计网络安全体系结构的目的在于将网络安全系统的全面结构建立起来，这就需要一种技术能够将组件提出来并进行构建。在体系结构中各层进行安全的逻辑分配时，要考虑全面的安全需求以及OSI参考模型中的层级之间的依赖性。

网络安全体系结构包括网络安全层、辅助网络安全层、安全应用层。网络安全层是将OSI模型中前三层的安全功能提供出来，包括传输层、数据链路层和物理层。辅助网络安全层的主要作用是将OSI模型中四至七层的安全功能提供出来，也就是提供网络层至应用层的安全功能，并增加网络安全层的安全。安全应用层的功能在于将OSI模型中第七层的安全提供出来，也就是应用层，保障存储平台和服务器的安全。只在网络安全层上进行VLANs和访问列表的操作。可以在辅助网络安全层或网络安全层上进行防火墙操作，在应用安全层或网络辅助层实现SSL。安全体系中可以映射普通的安全技术。

2.2设计与实现网络安全策略

在网络安全体系结构的设计中，网络安全策略的设计与实现属于第二步。设计与实现网络安全策略的目的就是定义一套设计级安全策略，作为一种框架底层的抽象策略。这种网络安全策略设计与实现接近于技术执行。在计算机网络配置中，部门和组织经常变化，从而对计算机网络提出不同的安全需求。因此网络安全具有动态性，要经常根据需要调整组织的安全策略，企业需要进行适当的设计，并对安全策略进行执行，这是一个过程，也是一个现存的文档。企业最新的需求服务和基础组织都在其升级、实现和执行的过程中得到反映。这就要求安全策略要能够识别资源中的风险，提出相应的方法来缓解威胁。要对每个用户和组可以访问的资源进行定义，包括对审计跟踪的用户进行定义，并帮助用户发现并识别侵害，对侵害进行响应。

所有的安全组件的领域都应该在安全策略的管理范围之内，例如认证技术、路由器、访问列表、IDS和防火墙等，从而构建网络安全策略管理的实现模型。网络安全策略管理的实现模型以IETF安全体系框架中的RFC2753策略管理为基础，在整个网络中都要执行该模型的策略管理，例如网络安全层、辅助网络安全层和应用安全层等，其适合所有的应用和用户。

策略管理功能包括三个方面：策略实现点、策略决定点和策略仓库。网络目录中的一切策略信息都存储在策略仓库中，能够对服务、计算机、应用和网络用户进行描述，并在专用数据库上进行执行。

策略服务器或策略决定点则是对网络策略进行抽象，使其成为策略控制信息，向策略执行点进行传递。策略实现点则是接受PAPs中的策略，作为安全或网络设备。公共开放策略服务则是对以TCP为基础的协议进行应答的简单请求，能够交换PEPs和PDP之间的策略信息。

3 实现网络安全

实现网络安全主要靠一些实现机制。通过安全体系结构中工作站和服务器上运行的网络安全管理，利用网络辅助级和网络级的安全来使应用级进行安全的实现。由特殊的用户作为网络操作者，这些主体拥有严格的授权程序和认证，其具有更大的功能权限和访问授权，因此必须保障他们行为和访问的安全，只有这样才能对网络的存活能力、性能额配置进行保护。网络的管理系统越集中，企业越开放，其对安全管理过程的安全需求就越高。

网络安全的实现机制主要有反病毒保护、主机加固、入侵监测、VLANs、防火墙、安全远程访问、加密、网络操作授权、网络操作认真以及安全行为记录等领域。用户和管理员的行为会被安全行为记录跟踪，网络操作者则对口令的执行和集中管理进行认证。

结语

网络安全体系结构的设计与实现关系着网络用户的使用安全，对于计算机网络的健康发展有着重要的影响。本文对网络安全体系结构进行了简要的介绍，并对网络安全体系结构的设计与网络安全体系结构的实现进行了介绍，必须结合网络安全的实现机制、安全策略的管理和安全体系的结构，推动网络安全实现机制的构建，这也是计算机网络发展的必然要求。

参考文献

[1]赵中营，徐佩锋.网络安全技术及其缺陷[J].计算机光盘软件与应用，2013（17）.

[2]韩海波.“一网双平面”—一种新的广域骨干网络架构[J].计算机系统应用，2013（08）.

[3]于颖蔚. 浅议办公自动化的网络安全性[J].电子制作，2013（09）.

中图分类号：TP393

文献标识码：A

作者简介：郝丽蓉，女，河北省石家庄市，1968/12，副高级工程师，电子工程专业，河北省经济信息中心 。