網(wǎng)絡(luò)安全系統(tǒng)設(shè)計在IATF思想下的展現(xiàn)
發(fā)布時間:所屬分類:科技論文瀏覽:1次
摘 要: 為了避免網(wǎng)絡(luò)出現(xiàn)異常,就必須對網(wǎng)絡(luò)管理�����、通信控制聯(lián)系起來一起進行網(wǎng)絡(luò)防御�����。所以設(shè)計信息保障技術(shù)框架下的網(wǎng)絡(luò)安全系統(tǒng)就十分必要了�����。設(shè)計的系統(tǒng)由內(nèi)網(wǎng)、外網(wǎng)和業(yè)務(wù)網(wǎng)組成�����,其三層網(wǎng)絡(luò)框架讓網(wǎng)絡(luò)設(shè)施部署和信息隔離更加容易�����。訪問控制版塊利用IATF思想在
為了避免網(wǎng)絡(luò)出現(xiàn)異常�����,就必須對網(wǎng)絡(luò)管理�����、通信控制聯(lián)系起來一起進行網(wǎng)絡(luò)防御�����。所以設(shè)計信息保障技術(shù)框架下的網(wǎng)絡(luò)安全系統(tǒng)就十分必要了�����。設(shè)計的系統(tǒng)由內(nèi)網(wǎng)、外網(wǎng)和業(yè)務(wù)網(wǎng)組成�����,其三層網(wǎng)絡(luò)框架讓網(wǎng)絡(luò)設(shè)施部署和信息隔離更加容易�����。訪問控制版塊利用IATF思想在信息傳輸裝置上建立多層強力安全防御措施�����,設(shè)計網(wǎng)絡(luò)安全防御體系與IATF信息安全防御模型,實現(xiàn)IATF認(rèn)證與授權(quán)機制。實驗結(jié)果表明�����,該系統(tǒng)的整體運行效果好�����,防御性能強。
關(guān)鍵詞: 信息保障技術(shù)框架,網(wǎng)絡(luò)安全系統(tǒng),三層網(wǎng)絡(luò)框架
當(dāng)前社會已經(jīng)進入互聯(lián)時代�����,網(wǎng)絡(luò)對社會生活的方方面面皆影響深遠(yuǎn)�����,全球信息化更是極大地改變了社會狀態(tài)�����,網(wǎng)絡(luò)信息傳播已成為一種極其常見的通信方式。一個國家對網(wǎng)絡(luò)信息的應(yīng)用情況標(biāo)志著一個國家的互聯(lián)狀態(tài)�����,是提升綜合國力�����、促進科技發(fā)展的關(guān)鍵所在�����。網(wǎng)絡(luò)開放性與復(fù)雜性是不安全事件切入點,傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)往往只側(cè)重于安全防御設(shè)計�����,不能主動避免入侵與攻擊,有很大幾率造成私人信息泄露與資源篡改。信息保障技術(shù)框架簡稱IATF,該思想能將管理、控制、策略�����、修正與保護等方面密切聯(lián)系在一起�����,令網(wǎng)絡(luò)安全系統(tǒng)變成能夠指導(dǎo)安全防護方向的中心基站,建立起完整的防護機制,確保信息私密性與有效性�����。
1 IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)設(shè)計及應(yīng)用
1.1 設(shè)計思想
IATF思想是指在信息傳輸裝置上建立多層強力安全防御機制�����,IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)由內(nèi)網(wǎng)�����、訪問控制模塊�����、外網(wǎng)與業(yè)務(wù)網(wǎng)四部分組成,共擁有三層網(wǎng)絡(luò)框架[1]�����。其中�����,內(nèi)網(wǎng)是基礎(chǔ)服務(wù)網(wǎng)絡(luò)�����,也是用戶能夠直接接觸到的網(wǎng)絡(luò);外網(wǎng)負(fù)責(zé)向內(nèi)網(wǎng)傳輸信息�����,是病毒與入侵事件的發(fā)源地�����,包含網(wǎng)絡(luò)防火墻�����、路由器與交換機;業(yè)務(wù)網(wǎng)負(fù)責(zé)輸出網(wǎng)絡(luò)功能�����,為生產(chǎn)�����、生活、娛樂提供應(yīng)用與代碼的下載接口�����。控制模塊中含有IATF信息安全防御模型,是系統(tǒng)的安全防御核心。
在進行IATF思想下網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計時�����,首先需要建立適當(dāng)?shù)陌踩烙鶛C制,利用安全防御機制對網(wǎng)絡(luò)信息的傳輸與訪問實施控制�����,盡量避免直接調(diào)用或訪問信息[2]�����。其次�����,采用PKI/CA(Public Key Infrastructure/ Certificate Authority,公共秘鑰基礎(chǔ)設(shè)施/認(rèn)證中心)進行用戶登錄認(rèn)證代理�����,多角度解決資源信息問題�����。最后�����,建立內(nèi)網(wǎng)�����、外網(wǎng)虛擬隔離網(wǎng)絡(luò),利用IPSec(Internet Protocol Security,網(wǎng)絡(luò)安全架構(gòu))協(xié)議遠(yuǎn)程訪問虛擬隔離網(wǎng)絡(luò),令內(nèi)網(wǎng)與外網(wǎng)之間不存在任何真實連接網(wǎng)絡(luò),將病毒與入侵直接隔離在外網(wǎng)[3]�����,最大限度保證內(nèi)網(wǎng)安全�����。
1.2 三層網(wǎng)絡(luò)框架設(shè)計
傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)采用平面網(wǎng)絡(luò)框架�����,IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)則被調(diào)整成三層網(wǎng)絡(luò)框架�����,這種設(shè)計使網(wǎng)絡(luò)設(shè)施部署與信息隔離變得更加容易,可保障內(nèi)網(wǎng)與業(yè)務(wù)網(wǎng)中的信息安全,外網(wǎng)對整個網(wǎng)絡(luò)連接的修護能力也變得更加有效�����,容易同時進行多點管理與控制。
1.2.1 外網(wǎng)設(shè)計
外網(wǎng)一般面向公共網(wǎng)絡(luò)�����,設(shè)有外部資源接口�����,因此最容易受到網(wǎng)絡(luò)入侵[4]�����。外網(wǎng)通過路由器連接內(nèi)網(wǎng)傳輸目標(biāo)位置進行信息通信�����,合理的路由安全協(xié)議可有效防御通信過程中的病毒與入侵�����,IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)的外網(wǎng)路由安全協(xié)議如表1所示。
外網(wǎng)防火墻與入侵檢測工具相連�����,進行基礎(chǔ)的防御與報警任務(wù)�����,特別是對“拒絕服務(wù)”項目和“用戶登錄”項目中不合理操作的完全攔截�����。
1.2.2 內(nèi)網(wǎng)與業(yè)務(wù)網(wǎng)設(shè)計
內(nèi)網(wǎng)位于三層網(wǎng)絡(luò)框架的中間層�����,業(yè)務(wù)網(wǎng)位于最底層�����。內(nèi)網(wǎng)對外網(wǎng)�����、業(yè)務(wù)網(wǎng)進行訪問時需要通過秘鑰認(rèn)證與授權(quán)�����,外網(wǎng)、業(yè)務(wù)網(wǎng)訪問內(nèi)網(wǎng)同樣需要通過秘鑰認(rèn)證與授權(quán)。秘鑰采用RSA公鑰加密算法[5]進行編寫�����,認(rèn)證與授權(quán)行為皆由IATF信息安全防御模型負(fù)責(zé)。
業(yè)務(wù)網(wǎng)只能對內(nèi)網(wǎng)進行訪問,通過交換機實現(xiàn)信息傳輸�����,安全防御任務(wù)由內(nèi)網(wǎng)防火墻全權(quán)負(fù)責(zé)�����。內(nèi)網(wǎng)防火墻連接的是業(yè)務(wù)網(wǎng)中所有應(yīng)用程序接口�����,IATF思想下網(wǎng)絡(luò)安全系統(tǒng)進行的計算�����、備份�����、調(diào)度等功能皆在業(yè)務(wù)網(wǎng)中實現(xiàn)�����。
1.3 系統(tǒng)中的IATF思想
IATF由美國安全局制定,是一款專門針對工業(yè)與行政信息進行防御的設(shè)計思想�����,圖2是其思想基礎(chǔ)結(jié)構(gòu)�����。IATF通過探測基礎(chǔ)支持設(shè)施、網(wǎng)絡(luò)基礎(chǔ)設(shè)施�����、網(wǎng)絡(luò)邊緣以及計算環(huán)境的信息私密性�����、有效性�����、允許檢驗性實施網(wǎng)絡(luò)防御[6]�����,為網(wǎng)絡(luò)提供自體保護�����、偵察與自動修護能力�����。
IATF的三個核心要素是用戶�����、操作以及技術(shù)�����,強調(diào)用戶信息私密性與安全性、操作準(zhǔn)確性以及技術(shù)完善性,也可以理解成用戶�����、操作�����、技術(shù)是保障網(wǎng)絡(luò)安全的核心[7]�����。圖3是根據(jù)IATF三個核心要素設(shè)計出的網(wǎng)絡(luò)安全防御體系�����,這個體系以信息安全機制為出發(fā)點,令信息操作體系、技術(shù)防御體系以及防御法律法規(guī)進行相互作用�����,合理安排防御節(jié)點與防御內(nèi)容�����,避免產(chǎn)生安全漏洞�����。
給出了具體的IATF信息安全防御模型�����,這個模型以圖3中的網(wǎng)絡(luò)安全防御體系為核心�����,對網(wǎng)絡(luò)進行保護→檢測→響應(yīng)→復(fù)原→保護的循環(huán)流程操作�����。IATF信息安全防御模型的設(shè)計思想是加強靜態(tài)�����、動態(tài)防御資源占用量�����,減少病毒�����、入侵響應(yīng)資源占用量�����,側(cè)重點在于保護與檢測�����。這樣設(shè)計可以減少網(wǎng)絡(luò)曝光時間�����,防止系統(tǒng)在實施防御過程時產(chǎn)生新的安全漏洞�����。
2 網(wǎng)絡(luò)安全系統(tǒng)中IATF思想的實現(xiàn)
IATF在網(wǎng)絡(luò)安全系統(tǒng)中進行的認(rèn)證與授權(quán)任務(wù)是系統(tǒng)處理核心,其機制為PKI/CA�����,如圖5所示�����,系統(tǒng)進行的是集中認(rèn)證與集中授權(quán)�����,前提是用戶必須先通過身份檢驗并成功登錄到系統(tǒng)內(nèi)網(wǎng)[8]�����,只存在于外網(wǎng)或業(yè)務(wù)網(wǎng)的用戶是不具備認(rèn)證與授權(quán)資格的�����。
認(rèn)證與授權(quán)在內(nèi)網(wǎng)服務(wù)器上進行�����,內(nèi)網(wǎng)�����、外網(wǎng)的瀏覽器與業(yè)務(wù)網(wǎng)的應(yīng)用程序都可以作為認(rèn)證與授權(quán)接入點�����。用戶�����、資源�����、行為與網(wǎng)絡(luò)環(huán)境是認(rèn)證與授權(quán)的四大要素�����。通過認(rèn)證與授權(quán)后�����,用戶便可借助輕量目錄訪問協(xié)議來訪問信息�����。
3 實驗結(jié)果與分析
本文對IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)進行了重點設(shè)計�����,對一個應(yīng)用性良好的網(wǎng)絡(luò)安全系統(tǒng)來講,在優(yōu)質(zhì)的運行效果下全方位�����、無死角地提升系統(tǒng)防御能力是極其重要的�����。令本文系統(tǒng)在某鐵路網(wǎng)絡(luò)上進行安全防御實驗�����,分別進行系統(tǒng)的性能測試與防御性驗證�����。
3.1 性能測試
進行IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)性能測試旨在全面檢驗系統(tǒng)運行效果�����。測試對象包含安全機制�����、用戶登錄�����、抵御入侵服務(wù)器、異常數(shù)據(jù)隔離層�����、網(wǎng)絡(luò)應(yīng)用軟件。測試內(nèi)容包含網(wǎng)絡(luò)響應(yīng)情況與資源使用情況�����。
實驗給予鐵路網(wǎng)絡(luò)大流量與大負(fù)載,系統(tǒng)性能測試工具為Quick Test Professional。Quick Test Professional是一種主動測試工具�����,可進行重復(fù)測試�����,VBScript為其腳本支持語言�����,該語言的普及面很廣�����,測試工作相對容易�����。
結(jié)果表明,本文系統(tǒng)的安全機制�����、用戶登錄�����、抵御入侵服務(wù)器、異常數(shù)據(jù)隔離層以及網(wǎng)絡(luò)應(yīng)用軟件的網(wǎng)絡(luò)響應(yīng)情況與資源使用情況均滿足鐵路網(wǎng)絡(luò)的日常應(yīng)用需求,能夠很好地進行網(wǎng)絡(luò)防御�����。
3.2 防御性驗證
IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)的防御性表現(xiàn)在兩個方面:一是傳輸代碼的不可偽造性;二是信息傳輸結(jié)果的完整性[8]�����。設(shè)鐵路網(wǎng)絡(luò)需要傳輸?shù)臄?shù)據(jù)包為[V�����,]IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)為數(shù)據(jù)包[V]設(shè)置的通信秘鑰為[h,]則傳輸信息的基本形式為:
[VC=V+hdID] (1)
式中:[dID]中記錄的是傳輸起止方位身份標(biāo)識碼;數(shù)據(jù)包[V]傳輸?shù)侥繕?biāo)方位的傳輸信息與[VC]越相似,且數(shù)據(jù)包[V]越完整,系統(tǒng)的防御性越強�����。
在本文系統(tǒng)支持下鐵路網(wǎng)絡(luò)接收到的數(shù)據(jù)包相似性與完整性折線圖�����,實驗共提供10個數(shù)據(jù)包�����,數(shù)據(jù)包容量依次遞增,平均遞增步長為500 MB,數(shù)據(jù)包最大容量為30 GB�����,[dID]各不相同�����。在本文系統(tǒng)的防御下,隨數(shù)據(jù)包容量的不斷增加�����,數(shù)據(jù)傳輸?shù)南嗨菩耘c完整性均逐漸下降�����。在傳輸30 GB數(shù)據(jù)包時�����,數(shù)據(jù)包相似性與完整性分別為0.965和0.994,顯示出本文系統(tǒng)良好的防御性�����。
4 結(jié) 語
本文設(shè)計IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)�����,系統(tǒng)以IATF為指導(dǎo)思想構(gòu)建網(wǎng)絡(luò)安全防御結(jié)構(gòu)并進行實現(xiàn)�����。利用Quick Test Professional工具測試系統(tǒng)性能�����,包括系統(tǒng)的安全機制�����、用戶登錄�����、抵御入侵服務(wù)器、異常數(shù)據(jù)隔離層以及網(wǎng)絡(luò)應(yīng)用軟件的網(wǎng)絡(luò)響應(yīng)情況與資源使用情況�����,并設(shè)計鐵路網(wǎng)絡(luò)通信實驗�����,驗證系統(tǒng)防御性�����。實驗結(jié)果表明,本文系統(tǒng)可通過性能測試�����,并具備良好的防御性�����,能夠很好地進行網(wǎng)絡(luò)防御�����。
參考文獻:
[1] 房瀟�����,李玉東�����,馬琳,等.基于模糊理論的信息系統(tǒng)安全防護有效性評估研究[J].計算機與數(shù)字工程,2015,43(4):661?665.
FANG Xiao, LI Yudong�����, MA Lin. et al. Effectiveness assessment of controls taken in information system based on fuzzy theory [J]. Computer and digital engineering�����, 2015�����, 43(4): 661?665.
[2] 呂欣,韓曉露,畢鈺�����,等.大數(shù)據(jù)安全保障框架與評價體系研究[J].信息安全研究�����,2016�����,2(10):913?919.
L? Xin, HAN Xiaolu, BI Yu�����, et al. Research on the framework and evaluation system of big data security assurance [J]. Journal of information security research�����, 2016�����, 2(10): 913?919.
[3] 馮茜,王磊.無人機自動駕駛系統(tǒng)穩(wěn)定性控制優(yōu)化仿真[J].計算機仿真,2016�����,33(7):65?68.
FENG Qian�����, WANG Lei. Optimization design of the control system of UAV autonomous study [J]. Computer simulation�����, 2016, 33(7): 65?68.
[4] 曹冬.基于安全的邏輯關(guān)系思想在PLC編程上的應(yīng)用[J].中國鉬業(yè)�����,2016�����,40(6):58?60.
CAO Dong. Application of logic relation based on security in PLC programming [J]. China molybdenum industry, 2016�����, 40(6): 58?60.
推薦閱讀:計算機網(wǎng)絡(luò)安全的重要性及防范措施
隨著網(wǎng)絡(luò)技術(shù)與信息化的推進�����,計算機網(wǎng)絡(luò)安全問題逐漸受到人們的重視�����,各類病毒攻擊也給計算機網(wǎng)絡(luò)帶來了一定的破壞,而且發(fā)生頻率也越來越大�����,例如黑客�����、病毒和系統(tǒng)泄密等�����。
