网络安全论文范文三:
摘 要:计算机网络安全的架构是一个安全的、多样的、复杂的网络系统工程,通过对网络安全体系内涵进行分析,架构一个三维的网络安全架构体系模型,探究了网络体系结构各个层次之间安全访问控制的相互关系,并对各个实体模型进行建构分析,论述了该模型在网络安全工程中的具体应用。
关键词:计算机网络;安全体系;访问控制
随着计算机网络技术在社会各行各业的广泛应用,产生了巨大的经济效率和社会效益,计算机网络在为人们提供便利、优质的共享信息服务的同时,网络中的信息泛滥、非法用户的访问、病毒的肆意入侵为网络的信息安全带来极大的隐患。如果用户的敏感信息在网络泄露,往往会带来不可估量的损失[1]。由于网络技术的日益更新,带来的是网络结构也变得越来越复杂,对于网络的信息安全保护也就变得越加困难,要想提高计算机网络的整体安全性,就必须从网络的整体架构进行分析,根据不同的网络架构特点,采取有针对性的网络安全控制技术。
1、网络安全体系结构概述
开放式系统互连参考模型 (OSI/RM) 为网络的安全架构提供了一个开放式的管理模型,但是 OSI 只考虑在网络开放时间内网络信息通信的安全传输,没有将网络端的系统、通讯设备等考虑到网络通讯的安全保护措施。在 OSI/RM 的扩展部分,从网络的安全体系上对网络功能进行抽象的描述,对网络的安全访问机制进行设计,从整体上为网络提供安全服务和安全机制。安全服务是为网络各个设备、组件提供总体服务功能的综合。在 OSI 安全体系模型中,主要包括认证、保密、数据完整性、访问控制、抗抵赖等五种服务[2]。OSI 的安全管理主要包括网络安全中的安全服务与机制管理以及网络系统的自身安全与信息安全的管理措施等。在网络安全体系管理中,一个完整的安全政策包括安全技术防控体系、网络威胁与风险分析以及网络安全管理制度与措施等相关的内容。在网络安全管理中,安全政策是具有一定周期的,主要包括网络安全政策的制定、突发事件的安全方案、安全审计和网络安全应对措施的后评价,该过程是需要经过安全管理分析的。
2、网络安全体系的三维框架结构
网络安全体系设计需要考虑网络的架构体系、网络安全与设计等因素进行充分的分析,要想从一个角度来分析网络的安全体系架构是比较困难的,因此,从 X,Y,Z 三个层次对网络的安全架构体系进行分析,如下图1所示:
2.1、安全服务平面
在该层面的安全标准主要采用国际标准组织,为了保证网络能够适应在不同环境中的安全服务要求,在网络安全服务体系框架中添加了网络安全服务的有用性,在该平面中,各个安全服务是相互依赖、相互制约。
2.2、协议层次平面
根据网络架构的 TCP/IP 协议的分层模型构建安全服务,对各个层面的安全进行综合考虑,主要从网络协议结构层次对网络的安全体系结构进行架构网络协议层次,在 TCP/IP 协议栈中协议层都会提供一套安全服务协议和服务模型。
图 1 基于网络安全的三维网络框架结构
2.3、实体单元平面
对计算机的网络系统划分为应用系统安全、计算机系统的安全和计算机网络网络三个层次,在各个层次对系统的安全级别进行了划分,它可以根据不同的层面要求,形成不同的网络安全策略。
2.4、安全管理管理平面
该层面对网络的整体安全进行分析考虑,形成了不同的网络安全管理机制,主要包括网络的应用层、物理层等五个层次的所有协议层次和实体安全服务与机制进行管理,主要为正常的业务通信提供安全服务与管理机制。
3、网络安全服务与安全等级的划分
在三维框架的体系的 X 平面中,网络通信系统主要包括网络通信主体的身份认证、授权、通信数据完整性和数据保密、网络通信的可用性与抗抵赖服务等安全服务功能,在该平面中各个通信的一个网络系统的安全需求时相互依赖、相互促进的,如果孤立的对某项服务进行研究是无效,它们之间的关系如下图 2 所示。
在网络通信的架构系统中,进行通信的实体分别被称为主体 (Subject) 和客体 ((Object),在通信的过程中对主体与客体进行标识和认证是网络安全访问控制的第一步,对主体与客体进行认证是验证标识的合法性与有效性,如果没有对实体的数据通信进行认证,则该网络通信数据是不可靠的。但是在目前的网络通信中,在目前的 IPV4 中,从网络的底层到高层的通讯协议中,还没有详细的认证机制,导致通信的双方不能有效的验证对方IP的有效性,SMTP 协议对 E-mail 中的源数据和地址验证能力也比较差。所有说在传统的网络安全体系架构中,安全认证服务、数据加密服务、访问控制服务等相关的安全手段都是不具备的,也不是十分安全,也就不能有效的。
图 2 网络服务模型
在三维框架安全控制中,安全访问控制是其他安全保护的核心,因此,一定的安全访问控制策略(Policy)是进行网络访问控制的基础,在此基础上形成相对应的网络安全政策的访问控制模型 (Access Control Model),才能有效的保证网络的安全,对网络的访问控制行为也是多样的,需要对所有访问资源的主体行为进行监控和管理。网络的防火墙系统功能是对网络外部的主体在访问系统内部的资源时进行监控。
