發(fā)布時間:2018-01-24所屬分類:科技論文瀏覽:1次
摘 要: 為了避免網(wǎng)絡(luò)出現(xiàn)異常,就必須對網(wǎng)絡(luò)管理、通信控制聯(lián)系起來一起進(jìn)行網(wǎng)絡(luò)防御。所以設(shè)計(jì)信息保障技術(shù)框架下的網(wǎng)絡(luò)安全系統(tǒng)就十分必要了。設(shè)計(jì)的系統(tǒng)由內(nèi)網(wǎng)、外網(wǎng)和業(yè)務(wù)網(wǎng)組成,其三層網(wǎng)絡(luò)框架讓網(wǎng)絡(luò)設(shè)施部署和信息隔離更加容易。訪問控制版塊利用IATF思想在
為了避免網(wǎng)絡(luò)出現(xiàn)異常,就必須對網(wǎng)絡(luò)管理、通信控制聯(lián)系起來一起進(jìn)行網(wǎng)絡(luò)防御。所以設(shè)計(jì)信息保障技術(shù)框架下的網(wǎng)絡(luò)安全系統(tǒng)就十分必要了。設(shè)計(jì)的系統(tǒng)由內(nèi)網(wǎng)、外網(wǎng)和業(yè)務(wù)網(wǎng)組成,其三層網(wǎng)絡(luò)框架讓網(wǎng)絡(luò)設(shè)施部署和信息隔離更加容易。訪問控制版塊利用IATF思想在信息傳輸裝置上建立多層強(qiáng)力安全防御措施,設(shè)計(jì)網(wǎng)絡(luò)安全防御體系與IATF信息安全防御模型,實(shí)現(xiàn)IATF認(rèn)證與授權(quán)機(jī)制。實(shí)驗(yàn)結(jié)果表明,該系統(tǒng)的整體運(yùn)行效果好,防御性能強(qiáng)。
關(guān)鍵詞: 信息保障技術(shù)框架,網(wǎng)絡(luò)安全系統(tǒng),三層網(wǎng)絡(luò)框架
當(dāng)前社會已經(jīng)進(jìn)入互聯(lián)時代,網(wǎng)絡(luò)對社會生活的方方面面皆影響深遠(yuǎn),全球信息化更是極大地改變了社會狀態(tài),網(wǎng)絡(luò)信息傳播已成為一種極其常見的通信方式。一個國家對網(wǎng)絡(luò)信息的應(yīng)用情況標(biāo)志著一個國家的互聯(lián)狀態(tài),是提升綜合國力、促進(jìn)科技發(fā)展的關(guān)鍵所在。網(wǎng)絡(luò)開放性與復(fù)雜性是不安全事件切入點(diǎn),傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)往往只側(cè)重于安全防御設(shè)計(jì),不能主動避免入侵與攻擊,有很大幾率造成私人信息泄露與資源篡改。信息保障技術(shù)框架簡稱IATF,該思想能將管理、控制、策略、修正與保護(hù)等方面密切聯(lián)系在一起,令網(wǎng)絡(luò)安全系統(tǒng)變成能夠指導(dǎo)安全防護(hù)方向的中心基站,建立起完整的防護(hù)機(jī)制,確保信息私密性與有效性。
1 IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)及應(yīng)用
1.1 設(shè)計(jì)思想
IATF思想是指在信息傳輸裝置上建立多層強(qiáng)力安全防御機(jī)制,IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)由內(nèi)網(wǎng)、訪問控制模塊、外網(wǎng)與業(yè)務(wù)網(wǎng)四部分組成,共擁有三層網(wǎng)絡(luò)框架[1]。其中,內(nèi)網(wǎng)是基礎(chǔ)服務(wù)網(wǎng)絡(luò),也是用戶能夠直接接觸到的網(wǎng)絡(luò);外網(wǎng)負(fù)責(zé)向內(nèi)網(wǎng)傳輸信息,是病毒與入侵事件的發(fā)源地,包含網(wǎng)絡(luò)防火墻、路由器與交換機(jī);業(yè)務(wù)網(wǎng)負(fù)責(zé)輸出網(wǎng)絡(luò)功能,為生產(chǎn)、生活、娛樂提供應(yīng)用與代碼的下載接口。控制模塊中含有IATF信息安全防御模型,是系統(tǒng)的安全防御核心。
在進(jìn)行IATF思想下網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)時,首先需要建立適當(dāng)?shù)陌踩烙鶛C(jī)制,利用安全防御機(jī)制對網(wǎng)絡(luò)信息的傳輸與訪問實(shí)施控制,盡量避免直接調(diào)用或訪問信息[2]。其次,采用PKI/CA(Public Key Infrastructure/ Certificate Authority,公共秘鑰基礎(chǔ)設(shè)施/認(rèn)證中心)進(jìn)行用戶登錄認(rèn)證代理,多角度解決資源信息問題。最后,建立內(nèi)網(wǎng)、外網(wǎng)虛擬隔離網(wǎng)絡(luò),利用IPSec(Internet Protocol Security,網(wǎng)絡(luò)安全架構(gòu))協(xié)議遠(yuǎn)程訪問虛擬隔離網(wǎng)絡(luò),令內(nèi)網(wǎng)與外網(wǎng)之間不存在任何真實(shí)連接網(wǎng)絡(luò),將病毒與入侵直接隔離在外網(wǎng)[3],最大限度保證內(nèi)網(wǎng)安全。
1.2 三層網(wǎng)絡(luò)框架設(shè)計(jì)
傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)采用平面網(wǎng)絡(luò)框架,IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)則被調(diào)整成三層網(wǎng)絡(luò)框架,這種設(shè)計(jì)使網(wǎng)絡(luò)設(shè)施部署與信息隔離變得更加容易,可保障內(nèi)網(wǎng)與業(yè)務(wù)網(wǎng)中的信息安全,外網(wǎng)對整個網(wǎng)絡(luò)連接的修護(hù)能力也變得更加有效,容易同時進(jìn)行多點(diǎn)管理與控制。
1.2.1 外網(wǎng)設(shè)計(jì)
外網(wǎng)一般面向公共網(wǎng)絡(luò),設(shè)有外部資源接口,因此最容易受到網(wǎng)絡(luò)入侵[4]。外網(wǎng)通過路由器連接內(nèi)網(wǎng)傳輸目標(biāo)位置進(jìn)行信息通信,合理的路由安全協(xié)議可有效防御通信過程中的病毒與入侵,IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)的外網(wǎng)路由安全協(xié)議如表1所示。
外網(wǎng)防火墻與入侵檢測工具相連,進(jìn)行基礎(chǔ)的防御與報(bào)警任務(wù),特別是對“拒絕服務(wù)”項(xiàng)目和“用戶登錄”項(xiàng)目中不合理操作的完全攔截。
1.2.2 內(nèi)網(wǎng)與業(yè)務(wù)網(wǎng)設(shè)計(jì)
內(nèi)網(wǎng)位于三層網(wǎng)絡(luò)框架的中間層,業(yè)務(wù)網(wǎng)位于最底層。內(nèi)網(wǎng)對外網(wǎng)、業(yè)務(wù)網(wǎng)進(jìn)行訪問時需要通過秘鑰認(rèn)證與授權(quán),外網(wǎng)、業(yè)務(wù)網(wǎng)訪問內(nèi)網(wǎng)同樣需要通過秘鑰認(rèn)證與授權(quán)。秘鑰采用RSA公鑰加密算法[5]進(jìn)行編寫,認(rèn)證與授權(quán)行為皆由IATF信息安全防御模型負(fù)責(zé)。
業(yè)務(wù)網(wǎng)只能對內(nèi)網(wǎng)進(jìn)行訪問,通過交換機(jī)實(shí)現(xiàn)信息傳輸,安全防御任務(wù)由內(nèi)網(wǎng)防火墻全權(quán)負(fù)責(zé)。內(nèi)網(wǎng)防火墻連接的是業(yè)務(wù)網(wǎng)中所有應(yīng)用程序接口,IATF思想下網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行的計(jì)算、備份、調(diào)度等功能皆在業(yè)務(wù)網(wǎng)中實(shí)現(xiàn)。
1.3 系統(tǒng)中的IATF思想
IATF由美國安全局制定,是一款專門針對工業(yè)與行政信息進(jìn)行防御的設(shè)計(jì)思想,圖2是其思想基礎(chǔ)結(jié)構(gòu)。IATF通過探測基礎(chǔ)支持設(shè)施、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)邊緣以及計(jì)算環(huán)境的信息私密性、有效性、允許檢驗(yàn)性實(shí)施網(wǎng)絡(luò)防御[6],為網(wǎng)絡(luò)提供自體保護(hù)、偵察與自動修護(hù)能力。
IATF的三個核心要素是用戶、操作以及技術(shù),強(qiáng)調(diào)用戶信息私密性與安全性、操作準(zhǔn)確性以及技術(shù)完善性,也可以理解成用戶、操作、技術(shù)是保障網(wǎng)絡(luò)安全的核心[7]。圖3是根據(jù)IATF三個核心要素設(shè)計(jì)出的網(wǎng)絡(luò)安全防御體系,這個體系以信息安全機(jī)制為出發(fā)點(diǎn),令信息操作體系、技術(shù)防御體系以及防御法律法規(guī)進(jìn)行相互作用,合理安排防御節(jié)點(diǎn)與防御內(nèi)容,避免產(chǎn)生安全漏洞。
給出了具體的IATF信息安全防御模型,這個模型以圖3中的網(wǎng)絡(luò)安全防御體系為核心,對網(wǎng)絡(luò)進(jìn)行保護(hù)→檢測→響應(yīng)→復(fù)原→保護(hù)的循環(huán)流程操作。IATF信息安全防御模型的設(shè)計(jì)思想是加強(qiáng)靜態(tài)、動態(tài)防御資源占用量,減少病毒、入侵響應(yīng)資源占用量,側(cè)重點(diǎn)在于保護(hù)與檢測。這樣設(shè)計(jì)可以減少網(wǎng)絡(luò)曝光時間,防止系統(tǒng)在實(shí)施防御過程時產(chǎn)生新的安全漏洞。
2 網(wǎng)絡(luò)安全系統(tǒng)中IATF思想的實(shí)現(xiàn)
IATF在網(wǎng)絡(luò)安全系統(tǒng)中進(jìn)行的認(rèn)證與授權(quán)任務(wù)是系統(tǒng)處理核心,其機(jī)制為PKI/CA,如圖5所示,系統(tǒng)進(jìn)行的是集中認(rèn)證與集中授權(quán),前提是用戶必須先通過身份檢驗(yàn)并成功登錄到系統(tǒng)內(nèi)網(wǎng)[8],只存在于外網(wǎng)或業(yè)務(wù)網(wǎng)的用戶是不具備認(rèn)證與授權(quán)資格的。
認(rèn)證與授權(quán)在內(nèi)網(wǎng)服務(wù)器上進(jìn)行,內(nèi)網(wǎng)、外網(wǎng)的瀏覽器與業(yè)務(wù)網(wǎng)的應(yīng)用程序都可以作為認(rèn)證與授權(quán)接入點(diǎn)。用戶、資源、行為與網(wǎng)絡(luò)環(huán)境是認(rèn)證與授權(quán)的四大要素。通過認(rèn)證與授權(quán)后,用戶便可借助輕量目錄訪問協(xié)議來訪問信息。
3 實(shí)驗(yàn)結(jié)果與分析
本文對IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行了重點(diǎn)設(shè)計(jì),對一個應(yīng)用性良好的網(wǎng)絡(luò)安全系統(tǒng)來講,在優(yōu)質(zhì)的運(yùn)行效果下全方位、無死角地提升系統(tǒng)防御能力是極其重要的。令本文系統(tǒng)在某鐵路網(wǎng)絡(luò)上進(jìn)行安全防御實(shí)驗(yàn),分別進(jìn)行系統(tǒng)的性能測試與防御性驗(yàn)證。
3.1 性能測試
進(jìn)行IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)性能測試旨在全面檢驗(yàn)系統(tǒng)運(yùn)行效果。測試對象包含安全機(jī)制、用戶登錄、抵御入侵服務(wù)器、異常數(shù)據(jù)隔離層、網(wǎng)絡(luò)應(yīng)用軟件。測試內(nèi)容包含網(wǎng)絡(luò)響應(yīng)情況與資源使用情況。
實(shí)驗(yàn)給予鐵路網(wǎng)絡(luò)大流量與大負(fù)載,系統(tǒng)性能測試工具為Quick Test Professional。Quick Test Professional是一種主動測試工具,可進(jìn)行重復(fù)測試,VBScript為其腳本支持語言,該語言的普及面很廣,測試工作相對容易。
結(jié)果表明,本文系統(tǒng)的安全機(jī)制、用戶登錄、抵御入侵服務(wù)器、異常數(shù)據(jù)隔離層以及網(wǎng)絡(luò)應(yīng)用軟件的網(wǎng)絡(luò)響應(yīng)情況與資源使用情況均滿足鐵路網(wǎng)絡(luò)的日常應(yīng)用需求,能夠很好地進(jìn)行網(wǎng)絡(luò)防御。
3.2 防御性驗(yàn)證
IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)的防御性表現(xiàn)在兩個方面:一是傳輸代碼的不可偽造性;二是信息傳輸結(jié)果的完整性[8]。設(shè)鐵路網(wǎng)絡(luò)需要傳輸?shù)臄?shù)據(jù)包為[V,]IATF思想下的網(wǎng)絡(luò)安全系統(tǒng)為數(shù)據(jù)包[V]設(shè)置的通信秘鑰為[h,]則傳輸信息的基本形式為:
[VC=V+hdID] (1)
式中:[dID]中記錄的是傳輸起止方位身份標(biāo)識碼;數(shù)據(jù)包[V]傳輸?shù)侥繕?biāo)方位的傳輸信息與[VC]越相似,且數(shù)據(jù)包[V]越完整,系統(tǒng)的防御性越強(qiáng)。
在本文系統(tǒng)支持下鐵路網(wǎng)絡(luò)接收到的數(shù)據(jù)包相似性與完整性折線圖,實(shí)驗(yàn)共提供10個數(shù)據(jù)包,數(shù)據(jù)包容量依次遞增,平均遞增步長為500 MB,數(shù)據(jù)包最大容量為30 GB,[dID]各不相同。在本文系統(tǒng)的防御下,隨數(shù)據(jù)包容量的不斷增加,數(shù)據(jù)傳輸?shù)南嗨菩耘c完整性均逐漸下降。在傳輸30 GB數(shù)據(jù)包時,數(shù)據(jù)包相似性與完整性分別為0.965和0.994,顯示出本文系統(tǒng)良好的防御性。
4 結(jié) 語
本文設(shè)計(jì)IATF思想下的網(wǎng)絡(luò)安全系統(tǒng),系統(tǒng)以IATF為指導(dǎo)思想構(gòu)建網(wǎng)絡(luò)安全防御結(jié)構(gòu)并進(jìn)行實(shí)現(xiàn)。利用Quick Test Professional工具測試系統(tǒng)性能,包括系統(tǒng)的安全機(jī)制、用戶登錄、抵御入侵服務(wù)器、異常數(shù)據(jù)隔離層以及網(wǎng)絡(luò)應(yīng)用軟件的網(wǎng)絡(luò)響應(yīng)情況與資源使用情況,并設(shè)計(jì)鐵路網(wǎng)絡(luò)通信實(shí)驗(yàn),驗(yàn)證系統(tǒng)防御性。實(shí)驗(yàn)結(jié)果表明,本文系統(tǒng)可通過性能測試,并具備良好的防御性,能夠很好地進(jìn)行網(wǎng)絡(luò)防御。
參考文獻(xiàn):
[1] 房瀟,李玉東,馬琳,等.基于模糊理論的信息系統(tǒng)安全防護(hù)有效性評估研究[J].計(jì)算機(jī)與數(shù)字工程,2015,43(4):661?665.
FANG Xiao, LI Yudong, MA Lin. et al. Effectiveness assessment of controls taken in information system based on fuzzy theory [J]. Computer and digital engineering, 2015, 43(4): 661?665.
[2] 呂欣,韓曉露,畢鈺,等.大數(shù)據(jù)安全保障框架與評價(jià)體系研究[J].信息安全研究,2016,2(10):913?919.
L? Xin, HAN Xiaolu, BI Yu, et al. Research on the framework and evaluation system of big data security assurance [J]. Journal of information security research, 2016, 2(10): 913?919.
[3] 馮茜,王磊.無人機(jī)自動駕駛系統(tǒng)穩(wěn)定性控制優(yōu)化仿真[J].計(jì)算機(jī)仿真,2016,33(7):65?68.
FENG Qian, WANG Lei. Optimization design of the control system of UAV autonomous study [J]. Computer simulation, 2016, 33(7): 65?68.
[4] 曹冬.基于安全的邏輯關(guān)系思想在PLC編程上的應(yīng)用[J].中國鉬業(yè),2016,40(6):58?60.
CAO Dong. Application of logic relation based on security in PLC programming [J]. China molybdenum industry, 2016, 40(6): 58?60.
推薦閱讀:計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性及防范措施
隨著網(wǎng)絡(luò)技術(shù)與信息化的推進(jìn),計(jì)算機(jī)網(wǎng)絡(luò)安全問題逐漸受到人們的重視,各類病毒攻擊也給計(jì)算機(jī)網(wǎng)絡(luò)帶來了一定的破壞,而且發(fā)生頻率也越來越大,例如黑客、病毒和系統(tǒng)泄密等。
