什么是網(wǎng)絡(luò)安全架構(gòu)

網(wǎng)絡(luò)安全架構(gòu)是國(guó)際標(biāo)準(zhǔn)化組織ISO于1989年2月公布的ISO7498-2“OSI參考模型的安全體系結(jié)構(gòu)？，簡(jiǎn)稱(chēng)OSI安全體系結(jié)構(gòu)。OSI安全體系結(jié)構(gòu)主要包括網(wǎng)絡(luò)安全服務(wù)和網(wǎng)絡(luò)安全機(jī)制兩方面的內(nèi)容。

創(chuàng)新互聯(lián)公司是創(chuàng)新、創(chuàng)意、研發(fā)型一體的綜合型網(wǎng)站建設(shè)公司，自成立以來(lái)公司不斷探索創(chuàng)新，始終堅(jiān)持為客戶提供滿意周到的服務(wù)，在本地打下了良好的口碑，在過(guò)去的十年時(shí)間我們累計(jì)服務(wù)了上千家以及全國(guó)政企客戶，如成都房屋鑒定等企業(yè)單位，完善的項(xiàng)目管理流程，嚴(yán)格把控項(xiàng)目進(jìn)度與質(zhì)量監(jiān)控加上過(guò)硬的技術(shù)實(shí)力獲得客戶的一致稱(chēng)譽(yù)。

第一是五大網(wǎng)絡(luò)安全服務(wù)

（1） 鑒別服務(wù)(Authentication)

鑒別服務(wù)是對(duì)對(duì)方實(shí)體的合法性、真實(shí)性進(jìn)行確認(rèn)，以防假冒。這里的實(shí)體可以是用戶或代表用戶的進(jìn)程。

（2） 訪問(wèn)控制服務(wù)(Access Control)

訪問(wèn)控制服務(wù)用于防止未授權(quán)用戶非法使用系統(tǒng)資源。它包括用戶身份認(rèn)證，用戶的權(quán)限確認(rèn)。在實(shí)際網(wǎng)絡(luò)安全的應(yīng)用中，為了提高效率，這種保護(hù)服務(wù)常常提供給用戶組，而不是單個(gè)用戶。

（3） 數(shù)據(jù)完整性服務(wù)(Integrity)

數(shù)據(jù)完整性服務(wù)是阻止非法實(shí)體對(duì)交換數(shù)據(jù)的修改、插入和刪除。

（4） 數(shù)據(jù)保密性服務(wù)(Confidentiality)

數(shù)據(jù)保密服務(wù)防止網(wǎng)絡(luò)中各個(gè)系統(tǒng)之間交換的數(shù)據(jù)被截獲或被非法存取而造成泄密，提供加密保護(hù)。

（5） 抗抵賴(lài)性服務(wù)（Non-Repudiation）

抗抵賴(lài)性服務(wù)防止發(fā)送方在發(fā)送數(shù)據(jù)后否認(rèn)自己發(fā)送過(guò)此數(shù)據(jù)，接收方在收到數(shù)據(jù)后否認(rèn)自己收到過(guò)此數(shù)據(jù)或偽造接收數(shù)據(jù)。

第二是八大網(wǎng)絡(luò)安全機(jī)制

（1） 加密機(jī)制

加密機(jī)制是提供信息保密的核心方法，它分為對(duì)稱(chēng)密鑰算法和非對(duì)稱(chēng)密鑰算法。加密算法除了提供信息的保密性之外，還可以和其他技術(shù)結(jié)合，例如與hash函數(shù)結(jié)合來(lái)實(shí)現(xiàn)信息的完整性驗(yàn)證等。

（2） 訪問(wèn)控制機(jī)制

訪問(wèn)控制機(jī)制是通過(guò)對(duì)訪問(wèn)者的有關(guān)信息進(jìn)行檢查來(lái)限制或禁止訪問(wèn)者使用資源的技術(shù)。訪問(wèn)控制還可以直接支持?jǐn)?shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、可用性以及合法使用的安全目標(biāo)。

（雹握3） 數(shù)據(jù)完整性機(jī)制

數(shù)據(jù)完整性機(jī)制是指數(shù)據(jù)不被增刪改，通常是把文件用hash函數(shù)產(chǎn)生一個(gè)標(biāo)記，接收者在收到文件后也用相同的hash函數(shù)處理一遍，看看產(chǎn)生的兩個(gè)標(biāo)記是否相同就可知道數(shù)據(jù)是否完整。

（4） 數(shù)字簽名機(jī)制

數(shù)字簽名機(jī)源歷慶制的作用類(lèi)似于我們現(xiàn)實(shí)生活中的手寫(xiě)簽名，具有鑒別作用。假設(shè)A是發(fā)送方，B是接收方, 基本方法是：發(fā)送方用自己的私鑰加密，接收方用發(fā)送方的公鑰解密，加密公式是E a私(P)，解密公式是 Da公(Ea私(P))。

（5） 交換鑒別機(jī)制

交換鑒別機(jī)制是通過(guò)互相交換信息的方式來(lái)確定彼此身份。用于交換鑒別的常用技術(shù)有：

l 口令，由發(fā)送方給出自己的口令，以證明自己的身份，接收方則根據(jù)口令來(lái)判斷對(duì)方的身份。

l 密碼技術(shù)，接收方在收到已加密的信息時(shí)，通過(guò)自己掌握的密鑰解密，能夠確定信息的發(fā)送者是掌握了另一個(gè)密鑰的那個(gè)人，例如，數(shù)字簽名機(jī)制。在許多情況下，密碼技術(shù)還和時(shí)間標(biāo)記、同步時(shí)鐘、數(shù)字簽名、第三方公證等相結(jié)合，以提供更加完善的身份鑒別。

l 特征實(shí)物，例如指紋、聲音頻譜等。

（6） 公證機(jī)制

公證機(jī)制是通過(guò)公證機(jī)構(gòu)中轉(zhuǎn)雙方的交換信息，并提取必要的證據(jù)，日后一旦發(fā)生糾紛，就可以據(jù)此做出仲裁。網(wǎng)絡(luò)上魚(yú)龍混雜，很難說(shuō)相信誰(shuí)不相信誰(shuí)，同時(shí)，客觀上網(wǎng)絡(luò)的有些故障和缺陷也可能導(dǎo)致信息的丟失或延誤。為了免得事后說(shuō)不清，可以找一個(gè)大家都信任的公證機(jī)構(gòu)，如電信公司，各方的交換的信息都通過(guò)公證機(jī)構(gòu)來(lái)中轉(zhuǎn)，達(dá)到解決糾紛的目的。

（7） 流量填充機(jī)制

流量填充機(jī)制提供針對(duì)流量分析的保護(hù)，流量填充機(jī)制能夠保持流量基本恒定，因此觀測(cè)者不能獲取任何信息。流量填充的實(shí)現(xiàn)方法是：隨機(jī)生成數(shù)據(jù)并對(duì)其加密，再通過(guò)網(wǎng)絡(luò)發(fā)送。

（8） 路由控制機(jī)制

路由控制機(jī)制使得可以指定通過(guò)網(wǎng)絡(luò)發(fā)送數(shù)據(jù)的路徑。這樣，可以選擇那些可信的網(wǎng)絡(luò)節(jié)點(diǎn)，從而確保數(shù)據(jù)不會(huì)暴露在爛喊安全攻擊之下。路由選擇控制機(jī)制使得路由能動(dòng)態(tài)地或預(yù)定地選取，以便使用物理上安全的子網(wǎng)絡(luò)、中繼站或鏈路來(lái)進(jìn)行通信，保證敏感數(shù)據(jù)只在具有適當(dāng)保護(hù)級(jí)別的路由上傳輸。

如何構(gòu)建安全的網(wǎng)絡(luò)架構(gòu)的方案

“人在江湖漂，哪能不挨刀”--這應(yīng)該算得上是引用率非常高的一句經(jīng)典俏皮話。如今，企業(yè)在肢慶網(wǎng)絡(luò)中如何避免這句讖語(yǔ)落到自家頭上也成了企業(yè)互相慰問(wèn)或捫心自問(wèn)時(shí)常常想起的一件事。而在構(gòu)建安全的企業(yè)網(wǎng)絡(luò)這樣一個(gè)并不簡(jiǎn)單的問(wèn)題上，看看別人的應(yīng)用實(shí)踐和組網(wǎng)思路，應(yīng)該可以讓企業(yè)盡早懂得如何利用自己的長(zhǎng)處來(lái)保護(hù)自己。 網(wǎng)絡(luò)江湖防身術(shù) - 實(shí)踐中，網(wǎng)絡(luò)平臺(tái)從總體上可以分為用戶接入?yún)^(qū)和應(yīng)用服務(wù)區(qū)。應(yīng)用服務(wù)區(qū)從結(jié)構(gòu)上又可以分成三部分:發(fā)布區(qū)即外部區(qū)域，面向公眾供直接訪問(wèn)的開(kāi)放網(wǎng)絡(luò);數(shù)據(jù)區(qū)，通過(guò)防火墻隔離的、相對(duì)安全和封閉的數(shù)據(jù)資源區(qū)，把大量重要的信息資源服務(wù)器放置在該區(qū)域內(nèi)，在較嚴(yán)密的安全策略控制下，不直接和外網(wǎng)訪問(wèn)用戶發(fā)生連接;內(nèi)部工作區(qū)主要連接內(nèi)網(wǎng)服務(wù)器和工作站，完成網(wǎng)站管理、信息采集編輯等方面的工作。 布陣 采用兩臺(tái)防火墻將整個(gè)網(wǎng)絡(luò)的接入?yún)^(qū)和應(yīng)用服務(wù)區(qū)徹底分開(kāi)。接入?yún)^(qū)通過(guò)接入交換機(jī)，利用光纖、微波、電話線等通信介質(zhì)，實(shí)現(xiàn)各部門(mén)、地市的網(wǎng)絡(luò)接入。出于性能和安全上的考慮，數(shù)據(jù)區(qū)放在第二道防火墻之后。對(duì)于Web服務(wù)器的服務(wù)請(qǐng)求，由Web服務(wù)器提交應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器后，進(jìn)行相關(guān)操作。 為避免網(wǎng)站內(nèi)容遭到入侵后被篡改，在數(shù)據(jù)區(qū)還設(shè)置一個(gè)Web頁(yè)面恢復(fù)系統(tǒng)，通過(guò)內(nèi)部通訊機(jī)制，Web恢復(fù)系統(tǒng)會(huì)實(shí)時(shí)檢測(cè)WWW服務(wù)器的頁(yè)面內(nèi)容，如果發(fā)現(xiàn)未授權(quán)的更改，恢復(fù)系統(tǒng)會(huì)自動(dòng)將一份拷貝發(fā)送到Web服務(wù)器上，實(shí)現(xiàn)Web頁(yè)面的自動(dòng)恢復(fù)。發(fā)布區(qū)域的主機(jī)充分暴露，有WWW、FTP、DNS、E-mail。在與二個(gè)防火墻的兩個(gè)接口上使用入侵檢測(cè)系統(tǒng)實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)的使用情況，防止對(duì)系統(tǒng)的濫用和入侵行為。 中心交換機(jī)可選用高性能路由交換器，例如Catalyst 6000，它具有提供虛網(wǎng)劃分及內(nèi)部路由連接功能，避免笑饑敏了網(wǎng)絡(luò)廣播風(fēng)暴，減輕了網(wǎng)絡(luò)負(fù)荷，同時(shí)也提供了一定的安全性。冗余電源及冗余連接為網(wǎng)絡(luò)正常運(yùn)行打下了較好的基礎(chǔ)，把第二層交換機(jī)的轉(zhuǎn)發(fā)性能和路由器的可伸縮性及控制能力融于一身。第二級(jí)交換機(jī)可選用類(lèi)似Catalyst 3500級(jí)別的設(shè)備，它支持VLAN功能，交換能力強(qiáng)大，提供高密度端口集成，配置光纖模塊，提供與Catalyst 6000的高帶寬上行連接，保證了部門(mén)接入網(wǎng)絡(luò)、工作站的高帶寬應(yīng)用。 網(wǎng)絡(luò)平臺(tái)總體結(jié)構(gòu)圖 招數(shù) 首先，把第一臺(tái)防火墻設(shè)置在路由器與核心交換機(jī)之間，實(shí)現(xiàn)較粗的訪問(wèn)碰枝控制，以降低安全風(fēng)險(xiǎn)。設(shè)置第二臺(tái)防火墻則主要為了保護(hù)數(shù)據(jù)區(qū)內(nèi)的服務(wù)器，合理地配置安全策略，使服務(wù)器的安全風(fēng)險(xiǎn)降到最低。只開(kāi)放服務(wù)器必要的服務(wù)端口，對(duì)于不必要的服務(wù)端口一律禁止。 其次，IP地址分配。所有部門(mén)的接入網(wǎng)絡(luò)都在防火墻之后，一律使用內(nèi)部保留IP地址。每個(gè)部門(mén)各分配一個(gè)完整的C類(lèi)地址。 再次，中心交換機(jī)VLAN配置。具體劃分采用基于端口的虛擬LAN方式，將每一個(gè)部門(mén)作為一個(gè) VLAN， VLAN間的路由協(xié)議采用 RIP。 此外，通用信息服務(wù)設(shè)計(jì)。外網(wǎng)的建設(shè)，突出了統(tǒng)一規(guī)劃、資源共享的原則。除了在安全問(wèn)題上由網(wǎng)絡(luò)平臺(tái)統(tǒng)一考慮外，對(duì)于各部門(mén)需要通用的信息服務(wù)系統(tǒng)如域名系統(tǒng)、郵件系統(tǒng)、代理系統(tǒng)等，也統(tǒng)一設(shè)計(jì)、統(tǒng)一實(shí)施。 最后，郵件服務(wù)器統(tǒng)一規(guī)劃，采用集中的郵件服務(wù)，給用戶提供了完整的TCP/IP支持下的郵件系統(tǒng)。 秘笈 網(wǎng)站建設(shè)主要體現(xiàn)以下技術(shù)特點(diǎn): 其一，網(wǎng)站應(yīng)用系統(tǒng)從傳統(tǒng)的兩層客戶機(jī)/服務(wù)器結(jié)構(gòu)，轉(zhuǎn)向BWAD(瀏覽器+Web 應(yīng)用服務(wù)器+數(shù)據(jù)庫(kù))的三層體系架構(gòu)。這種跨平臺(tái)、多技術(shù)融合的三層結(jié)構(gòu)的技術(shù)方案，保證網(wǎng)站應(yīng)用系統(tǒng)的先進(jìn)性和可擴(kuò)展性。 其二，采用非結(jié)構(gòu)化和結(jié)構(gòu)化數(shù)據(jù)庫(kù)技術(shù)，靈活支持、方便擴(kuò)展寬帶應(yīng)用和多媒體應(yīng)用，使用戶界面不只是文字和圖片，而是以文字、聲音、圖像、視頻等發(fā)布的全媒體界面,提高用戶的關(guān)注率、提升服務(wù)水平。 其三，采用自主開(kāi)發(fā)的網(wǎng)站動(dòng)態(tài)管理平臺(tái)技術(shù)，可以任意組合和改變網(wǎng)頁(yè)界面風(fēng)格，定義不同模板，將網(wǎng)站管理的人力成本降低，并降低由于網(wǎng)站管理復(fù)雜而產(chǎn)生的技術(shù)風(fēng)險(xiǎn)和人員更迭風(fēng)險(xiǎn)。降低和減少了頁(yè)面開(kāi)發(fā)的工作量，使大量的人力可以投入到具體的政務(wù)應(yīng)用系統(tǒng)中去。 其四，網(wǎng)站管理系統(tǒng)為網(wǎng)站的建設(shè)、管理、維護(hù)、統(tǒng)計(jì)分析提供了一個(gè)統(tǒng)一的環(huán)境。提供各類(lèi)業(yè)務(wù)系統(tǒng)上網(wǎng)發(fā)布接口，以及信息發(fā)布模板和工具，使普通用戶不需要編程就可建立信息發(fā)布欄目，并可自行對(duì)欄目信息進(jìn)行編輯與維護(hù)。網(wǎng)站管理系統(tǒng)具有靈活的功能，方便的內(nèi)容創(chuàng)作環(huán)境，靈活的發(fā)布方式，強(qiáng)大的信息查詢能力，能進(jìn)行實(shí)用而有效的模板設(shè)計(jì)、支持豐富的內(nèi)容類(lèi)型，按照欄目結(jié)構(gòu)進(jìn)行信息組織。它采用了ASP、JSP和數(shù)據(jù)庫(kù)的技術(shù)，基于B/S結(jié)構(gòu)，還可以對(duì)用戶的IP地址進(jìn)行限定信息檢索功能。 戰(zhàn)績(jī) 從運(yùn)行的效果上看，所設(shè)定的方案合理、可靠，有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)樗械脑L問(wèn)都是一個(gè)間接過(guò)程，直接攻擊比較困難。代理技術(shù)的使用，隨著內(nèi)部網(wǎng)絡(luò)規(guī)模的擴(kuò)大，重復(fù)訪問(wèn)的可能性就越大，使傳輸效果的改善也就越明顯，同時(shí)也提高了信道的利用率，降低了網(wǎng)絡(luò)使用成本。

網(wǎng)絡(luò)安全防護(hù)體系是如何架構(gòu)的?

還是B/S架構(gòu)的應(yīng)用，如何保證數(shù)據(jù)傳輸?shù)陌踩枪芾韱T要面對(duì)的問(wèn)題，安全的關(guān)注點(diǎn)主要在三個(gè)方面：

用戶身份驗(yàn)證的安全性：

用戶身份驗(yàn)證的安全主要包括用戶身份密碼的安全和驗(yàn)證安全兩個(gè)環(huán)節(jié)，傳統(tǒng)的應(yīng)用體系中，用戶驗(yàn)證通常有用戶名/密碼驗(yàn)證、USB key驗(yàn)證及智能卡驗(yàn)證等方法。在EWEBS 2008 中，采用用戶帳號(hào)和Windows帳號(hào)關(guān)聯(lián)的方式，在EWEBS 2008中存儲(chǔ)用戶密碼，用戶訪問(wèn)應(yīng)用程序時(shí)不直接使用Windows 帳號(hào)密碼，而是使用EWEBS 2008中為用戶單獨(dú)創(chuàng)建的帳號(hào)。用戶帳號(hào)的身份驗(yàn)證支持用戶名/密碼、USB Key驗(yàn)證、智能卡、指紋或視網(wǎng)膜等生物學(xué)身份驗(yàn)證方法。

服務(wù)器的安全性：

在傳統(tǒng)的遠(yuǎn)程接入模式中，因?yàn)橛脩舻膽?yīng)用直接在服務(wù)器端運(yùn)行，如何保證服務(wù)器的安全性是管理員面臨的一個(gè)大問(wèn)題，一般都采用Windows 組策略等手段來(lái)保護(hù)服務(wù)的安全，但是組策略配置的復(fù)雜性、效果都不盡舉團(tuán)如人意。

在EWEBS 2008中，直接內(nèi)嵌了Windows Active Directory 組策略的配置設(shè)置，管理員無(wú)需熟悉組策略的具體配置，只需要進(jìn)行簡(jiǎn)單的選擇，就可以輕松的限制用戶對(duì)某個(gè)具體的硬盤(pán)、系統(tǒng)任務(wù)欄或IE等服務(wù)器端資源的訪問(wèn)。

數(shù)據(jù)傳輸?shù)陌踩裕?/p>

在傳統(tǒng)的應(yīng)用模式中，客戶端和服務(wù)器端需要傳送應(yīng)用程序相關(guān)的數(shù)據(jù)記錄，如數(shù)據(jù)庫(kù)的查詢結(jié)果集等，這就對(duì)數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸安全提出了較高的要求，通常采用VPN加密、SSL加密等技術(shù)來(lái)保證應(yīng)用數(shù)據(jù)的安全。在EWEBS 2008中，由于所有的應(yīng)用程序都在服務(wù)器(集群)上運(yùn)行，所以客戶端和服務(wù)器端傳送的僅僅是應(yīng)用程序的輸入輸出邏輯，在沒(méi)有特別授權(quán)的情況下，數(shù)據(jù)無(wú)法離開(kāi)服務(wù)器(集群)，保證了數(shù)據(jù)的安全。EWEBS 2008中還內(nèi)前答磨嵌了SSL通信技術(shù)來(lái)保證客戶端和服務(wù)器端網(wǎng)絡(luò)通訊的安全。

除了上述的三個(gè)方面的安全之外，在EWEBS 2008中，管理員還可以輕松的對(duì)客戶端進(jìn)行控制，可以根據(jù)用戶帳號(hào)、訪問(wèn)時(shí)間、慧斗客戶端IP地址、客戶端MAC地址、客戶端機(jī)器特征碼（從CPU、主板、硬盤(pán)等硬件計(jì)算而來(lái)）等來(lái)限制客戶端對(duì)應(yīng)用程序的訪問(wèn)，從而做到即使用戶帳號(hào)信息泄露，第三方也無(wú)法盜用應(yīng)用程序，有效的保證了用戶關(guān)鍵應(yīng)用和數(shù)據(jù)的安全。

分享文章：網(wǎng)絡(luò)安全服務(wù)器架構(gòu) 網(wǎng)絡(luò)安全服務(wù)體系中安全服務(wù)包括哪些
分享URL：http://jinyejixie.com/article0/ddpipoo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、建站公司、動(dòng)態(tài)網(wǎng)站、做網(wǎng)站、Google、定制網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)