張強(qiáng)

摘要：隨著互聯(lián)網(wǎng)時(shí)代的到來，網(wǎng)絡(luò)安全功能存在很大的隱患，該文針對該隱患分別從安全物理環(huán)境、安全通信網(wǎng)絡(luò)需求、區(qū)域邊界需求、安全計(jì)算環(huán)境需求、安全管理中心需求5個(gè)方面分析其原因并提出有效措施。

關(guān)鍵詞：網(wǎng)絡(luò)安全;網(wǎng)絡(luò)需求;安全計(jì)算環(huán)境

中圖分類號：TP393.02 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）35-0046-02

1 概述

互聯(lián)網(wǎng)由于其開放、共享的特點(diǎn)，已成為當(dāng)今社會應(yīng)用范圍最廣的信息通信技術(shù)，深深影響著人類的生活[1]。網(wǎng)絡(luò)安全問題在學(xué)術(shù)界和產(chǎn)業(yè)界獲得越來越多的關(guān)注[2]。因此，亟須對網(wǎng)絡(luò)安全功能進(jìn)行分析并提出有效措施。

2 網(wǎng)絡(luò)安全需求分析

本文對網(wǎng)絡(luò)安全需求的安全物理環(huán)境、安全通信網(wǎng)絡(luò)需求、區(qū)域邊界需求、安全計(jì)算環(huán)境需求、安全管理中心5個(gè)方面分析其原因，并且針對這5方面的隱患分別提出一些應(yīng)對措施。

2.1安全物理環(huán)境需求指標(biāo)

物理安全風(fēng)險(xiǎn)最終是因?yàn)榫W(wǎng)絡(luò)設(shè)備和線路的不可使用，主要原因是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的，最終導(dǎo)致網(wǎng)絡(luò)系統(tǒng)的不可使用，最嚴(yán)重的結(jié)果可以導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。因此物理層在整個(gè)網(wǎng)絡(luò)安全分析中具有重要意義，是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ)，因此要提高網(wǎng)絡(luò)物理層的可用性，這樣才能使保證整個(gè)網(wǎng)絡(luò)的可用性，從而提高整個(gè)網(wǎng)絡(luò)的抗破壞力。

2.2安全通信網(wǎng)絡(luò)需求指標(biāo)

通信網(wǎng)絡(luò)是通過一定的物理連接將各個(gè)孤立的設(shè)備連接在一起，將人、計(jì)算機(jī)連接在一起，例如實(shí)現(xiàn)人與人，人與計(jì)算機(jī)，計(jì)算機(jī)與計(jì)算機(jī)之間進(jìn)行信息交換的鏈路，實(shí)現(xiàn)了資源共享和通信的目的，通信網(wǎng)絡(luò)安全主要包括網(wǎng)絡(luò)架構(gòu)、通信傳輸?shù)确矫妗?/p>

1）網(wǎng)絡(luò)架構(gòu)

合理的網(wǎng)絡(luò)架構(gòu)能夠有效地承載業(yè)務(wù)需要，相反，如果網(wǎng)絡(luò)架構(gòu)不合理，直接影響到承載業(yè)務(wù)的能力。因此網(wǎng)絡(luò)結(jié)構(gòu)需要具備一定的冗余性;所有網(wǎng)絡(luò)設(shè)備、服務(wù)器網(wǎng)卡和連接采用冗余架構(gòu)，任意設(shè)備或鏈路故障不影響業(yè)務(wù)使用。帶寬能夠滿足業(yè)務(wù)高峰時(shí)期數(shù)據(jù)交換需求。提供虛擬資源池內(nèi)部虛擬機(jī)間的東西向分布式防火墻功能，構(gòu)建細(xì)粒度的安全隔離區(qū)域。

2）通信傳輸

網(wǎng)絡(luò)協(xié)議及文件格式均具有行業(yè)內(nèi)的標(biāo)準(zhǔn)、開發(fā)、公開的特征。因此，當(dāng)數(shù)據(jù)在網(wǎng)上實(shí)現(xiàn)存儲和傳輸?shù)纫幌盗羞^程時(shí)，將有可能導(dǎo)致信息的失真、丟失等問題，除此之外，還會遭遇信息攻擊或欺詐等行為，導(dǎo)致最終信息收發(fā)的差異性。因此，在信息傳輸和存儲過程中，應(yīng)該提供有效的察覺與發(fā)現(xiàn)機(jī)制，實(shí)現(xiàn)通信的完整性。而數(shù)據(jù)在傳輸過程中，為抵制數(shù)據(jù)篡改等行為應(yīng)采用加密措施保證數(shù)據(jù)的保密性。

2.3安全區(qū)域邊界需求指標(biāo)

區(qū)域邊界的安全主要包括：邊界防護(hù)、訪問控制、入侵防范、惡意代碼防范、安全審計(jì)等方面。

1）邊界防護(hù)

邊界安全防護(hù)目的時(shí)用來維護(hù)邊界的完整性。主要是對內(nèi)部網(wǎng)絡(luò)中的一些內(nèi)部用戶在未經(jīng)允許的情況下私自連到外部網(wǎng)絡(luò)，因此要對該行為進(jìn)行檢查。

2）訪問控制

多元業(yè)務(wù)區(qū)整體網(wǎng)絡(luò)可劃分為互聯(lián)網(wǎng)與多元業(yè)務(wù)區(qū)邊界、行業(yè)與行業(yè)邊界、租戶與租戶邊界?；ヂ?lián)網(wǎng)/多元業(yè)務(wù)區(qū)邊界為整個(gè)網(wǎng)絡(luò)出口的邊界，此邊界可能存在由外部互聯(lián)網(wǎng)或接人多元業(yè)務(wù)區(qū)的其他網(wǎng)絡(luò)發(fā)起的非授權(quán)訪問的風(fēng)險(xiǎn)。行業(yè)區(qū)域邊界是網(wǎng)絡(luò)中各個(gè)區(qū)域間的邊界，此邊界可能存在內(nèi)部跨區(qū)域間的非授權(quán)訪問的風(fēng)險(xiǎn)。租戶區(qū)域邊界是網(wǎng)絡(luò)中各個(gè)租戶的邊界，此邊界可能存在租戶之間的非法授權(quán)訪問的風(fēng)險(xiǎn)。因此對于各類邊界最基本的安全需求就是訪問控制，要及時(shí)對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制。

3）入侵防范

網(wǎng)絡(luò)受到攻擊會帶來很大的不便。一般情況下，有兩種情況可能會造成各類網(wǎng)絡(luò)攻擊，第一種是有可能來自平時(shí)人們公認(rèn)的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò);第二種有可能是內(nèi)部網(wǎng)絡(luò)。在這兩種情況下，都需要采取一定的安全措施，主動地阻斷針對信息系統(tǒng)的各種攻擊，例如人們熟悉的病毒、木馬、可疑代碼等對網(wǎng)絡(luò)的攻擊，最終要達(dá)到對網(wǎng)絡(luò)層以及業(yè)務(wù)系統(tǒng)的安全防護(hù)，從而保護(hù)核心信息資產(chǎn)的免受攻擊危害。

4）惡意代碼防范

在計(jì)算機(jī)環(huán)境中，病毒、蠕蟲等惡意代碼時(shí)刻都會造成計(jì)算機(jī)潛在隱患。當(dāng)前計(jì)算機(jī)病毒對計(jì)算機(jī)的威脅十分嚴(yán)峻，例如人們熟悉的蠕蟲病毒，當(dāng)該病毒爆發(fā)后，子網(wǎng)絡(luò)會很快地被蠕蟲病毒蔓延，后果嚴(yán)重的可以攻擊網(wǎng)絡(luò)和數(shù)據(jù)竊密。從而占據(jù)在正常業(yè)務(wù)范圍內(nèi)十分有限的帶寬，正常的網(wǎng)絡(luò)性能就會嚴(yán)重下降，嚴(yán)重者可以中斷網(wǎng)絡(luò)通信，一些信息收到損壞或泄漏，嚴(yán)重影響了人們的正常業(yè)務(wù)開展。因此有必要使用惡意代碼防范軟件來防御惡意代碼的入侵。

5）安全審計(jì)

建立必要的審計(jì)機(jī)制在安全區(qū)域邊界是十分有必要的。對進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn)行記錄與審計(jì)分析，結(jié)合主機(jī)審計(jì)、應(yīng)用審計(jì)以及網(wǎng)絡(luò)審計(jì)等，可以形成多層次的審計(jì)系統(tǒng)，從而實(shí)現(xiàn)對出入邊界的行為多層審計(jì)。

2.4安全計(jì)算環(huán)境需求指標(biāo)

安全計(jì)算環(huán)境需求指標(biāo)主要包括主機(jī)安全、數(shù)據(jù)安全、虛擬安全。

1）主機(jī)安全

主機(jī)安全主要包括主機(jī)與應(yīng)用層面的一些安全風(fēng)險(xiǎn)和需求分析，例如，身份鑒別、安全審計(jì)、數(shù)據(jù)完整性與保密性、備份與恢復(fù)等方面。

2）數(shù)據(jù)安全

（1）數(shù)據(jù)保密性

為了解決遠(yuǎn)程用戶訪問多元業(yè)務(wù)區(qū)上內(nèi)部敏感數(shù)據(jù)的安全性問題，部署SSL VPN，實(shí)現(xiàn)對一些敏感數(shù)據(jù)的加密傳輸。主要有數(shù)據(jù)泄露、數(shù)據(jù)損壞/篡改、數(shù)據(jù)丟失等。

（2）數(shù)據(jù)完整性

為了滿足多元業(yè)務(wù)區(qū)上業(yè)務(wù)系統(tǒng)的數(shù)據(jù)完整性保護(hù)需求，部分信息系統(tǒng)需要部署電子簽章系統(tǒng)，保障內(nèi)部辦公數(shù)據(jù)的完整性;部分信息系統(tǒng)由于終端用戶的不確定性，需要部署信手書簽名系統(tǒng)，保障用戶數(shù)據(jù)的完整性和抗抵賴。

3）虛擬化安全

虛擬化安全技術(shù)核心思想是通過一些虛擬化的技術(shù)，將個(gè)體服務(wù)器的操作系統(tǒng)，可以違帶處理多個(gè)系統(tǒng)進(jìn)行操作，目前虛擬化技術(shù)已經(jīng)成了計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中最為重要的一項(xiàng)核心技術(shù)[3]。虛擬化安全主要有數(shù)據(jù)隔離、安全邊界等。

（1）虛擬機(jī)數(shù)據(jù)隔離

在云計(jì)算模式中，云端是一個(gè)虛擬的資源共享平臺，該平臺會將用戶的所有信息數(shù)據(jù)都集中在云中實(shí)現(xiàn)存儲、管理和計(jì)算的處理，在該模式下，用戶的信息數(shù)據(jù)會難以實(shí)現(xiàn)隔離，極易造成隱私泄露。

（2）虛擬化安全邊界

獨(dú)立的海量信息數(shù)據(jù)通過虛擬化會將該數(shù)據(jù)整合在一起，形成一個(gè)沒有安全邊界、可以動態(tài)擴(kuò)展的虛擬資源池。在該情況下，缺乏了安全邊界，往往不同的管理者可能越界管理，這增加了信息泄露的風(fēng)險(xiǎn)。

（3）虛擬機(jī)互訪風(fēng)險(xiǎn)

在服務(wù)器虛擬化中，很多的虛擬機(jī)可能被分布在不同的邏輯服務(wù)器群上，服務(wù)器的邏輯資源被多個(gè)虛擬機(jī)享用，這就為一些非法用戶利用大量虛擬機(jī)進(jìn)行協(xié)同攻擊提供了便利，這種協(xié)同攻擊的隱蔽性更強(qiáng)，破壞程度也更大。

（4）虛擬機(jī)集成風(fēng)險(xiǎn)

在云計(jì)算模式下，目標(biāo)是實(shí)現(xiàn)大量軟、硬件資源的集成。但是由于大量軟硬件自身的一些特征，例如使用性能、安全性等存在差異，導(dǎo)致最終集成的云虛擬平臺上有可能出現(xiàn)漏洞，從而使整個(gè)平臺受攻擊的風(fēng)險(xiǎn)。

2.5安全管理中心需求指標(biāo)

“三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性[4]。在技術(shù)管理措施外，安全管理在網(wǎng)絡(luò)安全功能中同樣很重要。建立健全的安全管理體系，這不僅是國家等級保護(hù)中的要求，也是安全體系中不可或缺的重要組成部分。參考國家相關(guān)標(biāo)準(zhǔn)、行業(yè)規(guī)范等從管理制度、管理機(jī)制、人員管理等方面建立可操作的管理體系。

3 結(jié)束語

互聯(lián)網(wǎng)時(shí)代給人類帶來很多的方便，同時(shí)網(wǎng)絡(luò)安全問題也困擾我們。本文針對網(wǎng)絡(luò)安全問題，從5個(gè)方面分析其原因，分別提出一些有效的措施從而加強(qiáng)網(wǎng)絡(luò)安全問題的引發(fā)。

參考文獻(xiàn)：

[1]鐘植任，關(guān)洪濤，劉冉，等.一種運(yùn)營商網(wǎng)絡(luò)安全功能虛擬化系統(tǒng)部署方法[J].信息通信技術(shù)，2017，11（03）：13-19.

[2]趙旭輝，劉江輝.探析下一代防火墻安全特征及發(fā)展趨勢[J].信息與電腦：理論版，2013（11）;152-154.

[3]劉小軍，任鵬.虛擬化安全技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（10）：18+26.

[4]管虎.三分技術(shù)，七分管理[J].信息安全與通信保密，2006（05）：39-40.

【通聯(lián)編輯：代影】