王子强　李媛州　刘　丽

[摘要]网络安全问题随着计算机和网络系统的广泛应用显得日益严重,信息安全已经成为全社会的需求。传统的网络安全技术存在各种不足,越来越不能满足现有网络安全需求的要求。提出一种基于层次、区域与保护措施等级的网络安全模型,为网络安全技术提供一个可供参考的新的模型。

[关键词]网络安全安全模型

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0710069-01

一、引言

计算机网络是一种在我国很多行业和部门有着广泛应用的信息传输系统,它是计算机与通信技术相结合的产物,是我国信息化发展的一个重要标志。随着人们对计算机网络依赖程度的日渐加深,网络的安全问题无法回避。因此,关于网络安全技术的研究显得至关重要。

二、网络中现有实现安全服务的方法简介

(一)加密技术。目前,我国的计算机网络的应用中对加密技术的应用既包括线路加密机等体现硬件加密技术的设备的应用,也体现在集成在应用软件中的软件加密。硬件加密设备主要放置在通信线路的两端,对所有在线路中要传输的数据都进行加密和解密。而集成在软件中的加密解密功能则是对用户指定的文件或数据进行加密和解密。

(二)防火墙技术。防火墙是一个或一组实施访问控制策略的系统。当用户决定要提供何种水平的连接后,就由防火墙来保证不允许出现其他超出此范围的访问行为。由防火墙来保证所有的用户都遵守访问控制策略。

防火墙通常放在内部网和外部网之间以实施安全防范,它是一种网络访问控制技术,其目的是控制网络传输。

(三)入侵检测技术。入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术。它通过监视受保护系统的状态和活动,采用异常检测或误用检测的方式,发现非授权的或恶意的网络行为,为防范入侵行为提供有效的手段。入侵检测系统(IDS)由硬件和软件组成,用来检测系统或网络以发现可能的入侵或攻击的系统。它提供了用于发现入侵攻击与合法用户滥用特权的一种方法,它通过实时的检测,检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为等模式,监控与安全有关的活动。

(四)认证服务。认证是重要的安全服务之一,它用来对抗假冒攻击和确保身份。它是用来获得对谁或对什么事情信任的一种方法。

三、一种新的网络安全模型的设计

(一)入侵的分类。在信息系统中,一般至少应当考虑如下三类安全威胁:外部入侵、内部入侵和特权滥用。入侵者来自该计算机系统的外部时称作外部入侵;当入侵者就是那些有权使用计算机,但无权访问某些特定的数据、程序或资源的人企图越权使用系统资源时视为内部入侵。特权滥用者也是计算机系统资源的合法用户,表现为有意或无意地滥用他们的特权。本文所述的内部入侵的概念包括上述三类安全威胁中的内部入侵和特权滥用。

(二)内、外部入侵与入侵等级的划分。本文中提出的入侵等级是依据入侵的程度来划分的,大体上可以划分为弱和强两个等级。内部攻击者的入侵程度较深,因此内部入侵者从入侵的开始,它的入侵等级就定义为强;外部入侵在入侵的开始,它的入侵等级定义为弱,它的入侵等级能否达到强要看它的入侵能力,当外部入侵者的攻击取得一定的成功,即它已取得与内部攻击者相应的权限,这时它的入侵程度已经相当于内部入侵时,我们把这样的外部入侵的等级也定义为强。而当外部入侵并没有或不能取得内部攻击者的权限时,它的入侵级别定义为弱。

(三)网络安全模型的描述。为解决当前的网络安全问题,网络安全系统应该具有以下几个特点:

1.它不是相互独立的安全措施的集合,而是由一组相互补充、相互作用的安全防范工具组成的有机整体;2.它不是各项安全工具的顺序排列,而应该是在多层次、多区域和不同保护措施的等级上的三维空间中安全工具的有选择的部署;3.它应该与实际需要协调一致,不同的网络环境应该针对不同的重点采用不同的安全解决方案;4.它应该可以随网络系统的变化而调整。

通过以上几点可以看出,要解决网络安全问题首先应该对网络环境进行分析,本文将网络环境分成三个层次,即物理层、网络层和应用层,并在每个层次上根据实际需要分成不同的区域,然后根据安全保护等级在不同层次不同区域的系统中部署各类安全工具,并建立起安全工具之间的依赖关系,形成一个有机的三维网络安全体系。

(四)网络安全模型的层次、区域与保护措施的等级。在安全体系模型中将网络安全系统分成物理层、网络层和应用层3个层次,每个层次分成若干安全区域,在不同层次的不同区域中,根据入侵级别的不同部署侧重点不同的安全保护设施。这就是本文对网络安全模型的划分。

1.网络安全模型的层次。三维网络安全体系的层次自下而上分为:物理层、网络层和应用层3个层次。它和国际标准化组织ISO发布的OSI参考模型的网络体系结构和国际上事实上的TCP/IP的网络体系结构具有一定的对应关系。

2.网络安全模型的区域。三维网络安全体系的区域划分与安全体系的层次有关。由于不同的层次中网络安全的侧重点不同,所以在不同层次中可以划分为不同的安全区域。其中物理层对应的区域有:接入区、服务区和用户区;系统网络层对应的区域有:接入区、公共服务区、内部服务区和用户区;应用层对应的区域有:公共服务区、内部服务区和用户区。在实际的应用中,还可以根据需要进行多种不同的划分。

3.网络安全模型的保护措施的等级。针对不同层次中的不同区域,三维网络安全体系可以将保护措施划分为强保护措施和弱保护措施,即不同层次中的不同区域,它们所采取的保护措施是不同的。

弱保护措施主要针对于外部入侵,它们的作用主要是使外部入侵保持在弱级,即使外部入侵无法取得一定程度的进展,阻止外部入侵;强保护措施则主要针对那些内部入侵和达到强级的外部入侵,即当入侵取得一定的成功时,强级保护措施仍然能够保护系统使系统可以提供全部的或降级的服务。

四、结束语

在互联网络飞速发展并得到广泛应用的今天,网络安全问题已经引起人们的普遍关注,对于现有的网络安全的产品,多是基于已知的攻击,对于新出现的安全威胁往往力不从心。在此基础上,本文提出了一种基于层次、区域与保护措施等级的网络安全模型,将网络容侵这种新的技术与传统技术结合在一个完整的体系中,为网络安全技术提供了一个可供参考的模型。

参考文献:

[1]王丽娜等,网络容侵研究综述,信息和安全CCICS',科学出版社,2003.

[2]冯登国,网络安全原理与技术,科学出版社,2003.

[3]杨明等译,密码编码学与网络安全:原理与实践,电子工业出版社,2001.

作者简介:

王子强(1976-),男,河北省承德市人,装甲兵工程学院,讲师,研究方向:计算机科学与技术。