什么是網(wǎng)絡(luò)安全架構(gòu)

網(wǎng)絡(luò)安全架構(gòu)是國際標準化組織ISO于1989年2月公布的ISO7498-2“OSI參考模型的安全體系結(jié)構(gòu)？，簡稱OSI安全體系結(jié)構(gòu)。OSI安全體系結(jié)構(gòu)主要包括網(wǎng)絡(luò)安全服務和網(wǎng)絡(luò)安全機制兩方面的內(nèi)容。

創(chuàng)新互聯(lián)公司是創(chuàng)新、創(chuàng)意、研發(fā)型一體的綜合型網(wǎng)站建設(shè)公司，自成立以來公司不斷探索創(chuàng)新，始終堅持為客戶提供滿意周到的服務，在本地打下了良好的口碑，在過去的十年時間我們累計服務了上千家以及全國政企客戶，如成都房屋鑒定等企業(yè)單位，完善的項目管理流程，嚴格把控項目進度與質(zhì)量監(jiān)控加上過硬的技術(shù)實力獲得客戶的一致稱譽。

第一是五大網(wǎng)絡(luò)安全服務

（1） 鑒別服務(Authentication)

鑒別服務是對對方實體的合法性、真實性進行確認，以防假冒。這里的實體可以是用戶或代表用戶的進程。

（2） 訪問控制服務(Access Control)

訪問控制服務用于防止未授權(quán)用戶非法使用系統(tǒng)資源。它包括用戶身份認證，用戶的權(quán)限確認。在實際網(wǎng)絡(luò)安全的應用中，為了提高效率，這種保護服務常常提供給用戶組，而不是單個用戶。

（3） 數(shù)據(jù)完整性服務(Integrity)

數(shù)據(jù)完整性服務是阻止非法實體對交換數(shù)據(jù)的修改、插入和刪除。

（4） 數(shù)據(jù)保密性服務(Confidentiality)

數(shù)據(jù)保密服務防止網(wǎng)絡(luò)中各個系統(tǒng)之間交換的數(shù)據(jù)被截獲或被非法存取而造成泄密，提供加密保護。

（5） 抗抵賴性服務（Non-Repudiation）

抗抵賴性服務防止發(fā)送方在發(fā)送數(shù)據(jù)后否認自己發(fā)送過此數(shù)據(jù)，接收方在收到數(shù)據(jù)后否認自己收到過此數(shù)據(jù)或偽造接收數(shù)據(jù)。

第二是八大網(wǎng)絡(luò)安全機制

（1） 加密機制

加密機制是提供信息保密的核心方法，它分為對稱密鑰算法和非對稱密鑰算法。加密算法除了提供信息的保密性之外，還可以和其他技術(shù)結(jié)合，例如與hash函數(shù)結(jié)合來實現(xiàn)信息的完整性驗證等。

（2） 訪問控制機制

訪問控制機制是通過對訪問者的有關(guān)信息進行檢查來限制或禁止訪問者使用資源的技術(shù)。訪問控制還可以直接支持數(shù)據(jù)機密性、數(shù)據(jù)完整性、可用性以及合法使用的安全目標。

（雹握3） 數(shù)據(jù)完整性機制

數(shù)據(jù)完整性機制是指數(shù)據(jù)不被增刪改，通常是把文件用hash函數(shù)產(chǎn)生一個標記，接收者在收到文件后也用相同的hash函數(shù)處理一遍，看看產(chǎn)生的兩個標記是否相同就可知道數(shù)據(jù)是否完整。

（4） 數(shù)字簽名機制

數(shù)字簽名機源歷慶制的作用類似于我們現(xiàn)實生活中的手寫簽名，具有鑒別作用。假設(shè)A是發(fā)送方，B是接收方, 基本方法是：發(fā)送方用自己的私鑰加密，接收方用發(fā)送方的公鑰解密，加密公式是E a私(P)，解密公式是 Da公(Ea私(P))。

（5） 交換鑒別機制

交換鑒別機制是通過互相交換信息的方式來確定彼此身份。用于交換鑒別的常用技術(shù)有：

l 口令，由發(fā)送方給出自己的口令，以證明自己的身份，接收方則根據(jù)口令來判斷對方的身份。

l 密碼技術(shù)，接收方在收到已加密的信息時，通過自己掌握的密鑰解密，能夠確定信息的發(fā)送者是掌握了另一個密鑰的那個人，例如，數(shù)字簽名機制。在許多情況下，密碼技術(shù)還和時間標記、同步時鐘、數(shù)字簽名、第三方公證等相結(jié)合，以提供更加完善的身份鑒別。

l 特征實物，例如指紋、聲音頻譜等。

（6） 公證機制

公證機制是通過公證機構(gòu)中轉(zhuǎn)雙方的交換信息，并提取必要的證據(jù)，日后一旦發(fā)生糾紛，就可以據(jù)此做出仲裁。網(wǎng)絡(luò)上魚龍混雜，很難說相信誰不相信誰，同時，客觀上網(wǎng)絡(luò)的有些故障和缺陷也可能導致信息的丟失或延誤。為了免得事后說不清，可以找一個大家都信任的公證機構(gòu)，如電信公司，各方的交換的信息都通過公證機構(gòu)來中轉(zhuǎn)，達到解決糾紛的目的。

（7） 流量填充機制

流量填充機制提供針對流量分析的保護，流量填充機制能夠保持流量基本恒定，因此觀測者不能獲取任何信息。流量填充的實現(xiàn)方法是：隨機生成數(shù)據(jù)并對其加密，再通過網(wǎng)絡(luò)發(fā)送。

（8） 路由控制機制

路由控制機制使得可以指定通過網(wǎng)絡(luò)發(fā)送數(shù)據(jù)的路徑。這樣，可以選擇那些可信的網(wǎng)絡(luò)節(jié)點，從而確保數(shù)據(jù)不會暴露在爛喊安全攻擊之下。路由選擇控制機制使得路由能動態(tài)地或預定地選取，以便使用物理上安全的子網(wǎng)絡(luò)、中繼站或鏈路來進行通信，保證敏感數(shù)據(jù)只在具有適當保護級別的路由上傳輸。

如何構(gòu)建安全的網(wǎng)絡(luò)架構(gòu)的方案

“人在江湖漂，哪能不挨刀”--這應該算得上是引用率非常高的一句經(jīng)典俏皮話。如今，企業(yè)在肢慶網(wǎng)絡(luò)中如何避免這句讖語落到自家頭上也成了企業(yè)互相慰問或捫心自問時常常想起的一件事。而在構(gòu)建安全的企業(yè)網(wǎng)絡(luò)這樣一個并不簡單的問題上，看看別人的應用實踐和組網(wǎng)思路，應該可以讓企業(yè)盡早懂得如何利用自己的長處來保護自己。 網(wǎng)絡(luò)江湖防身術(shù) - 實踐中，網(wǎng)絡(luò)平臺從總體上可以分為用戶接入?yún)^(qū)和應用服務區(qū)。應用服務區(qū)從結(jié)構(gòu)上又可以分成三部分:發(fā)布區(qū)即外部區(qū)域，面向公眾供直接訪問的開放網(wǎng)絡(luò);數(shù)據(jù)區(qū)，通過防火墻隔離的、相對安全和封閉的數(shù)據(jù)資源區(qū)，把大量重要的信息資源服務器放置在該區(qū)域內(nèi)，在較嚴密的安全策略控制下，不直接和外網(wǎng)訪問用戶發(fā)生連接;內(nèi)部工作區(qū)主要連接內(nèi)網(wǎng)服務器和工作站，完成網(wǎng)站管理、信息采集編輯等方面的工作。 布陣 采用兩臺防火墻將整個網(wǎng)絡(luò)的接入?yún)^(qū)和應用服務區(qū)徹底分開。接入?yún)^(qū)通過接入交換機，利用光纖、微波、電話線等通信介質(zhì)，實現(xiàn)各部門、地市的網(wǎng)絡(luò)接入。出于性能和安全上的考慮，數(shù)據(jù)區(qū)放在第二道防火墻之后。對于Web服務器的服務請求，由Web服務器提交應用服務器、數(shù)據(jù)庫服務器后，進行相關(guān)操作。 為避免網(wǎng)站內(nèi)容遭到入侵后被篡改，在數(shù)據(jù)區(qū)還設(shè)置一個Web頁面恢復系統(tǒng)，通過內(nèi)部通訊機制，Web恢復系統(tǒng)會實時檢測WWW服務器的頁面內(nèi)容，如果發(fā)現(xiàn)未授權(quán)的更改，恢復系統(tǒng)會自動將一份拷貝發(fā)送到Web服務器上，實現(xiàn)Web頁面的自動恢復。發(fā)布區(qū)域的主機充分暴露，有WWW、FTP、DNS、E-mail。在與二個防火墻的兩個接口上使用入侵檢測系統(tǒng)實時檢測網(wǎng)絡(luò)的使用情況，防止對系統(tǒng)的濫用和入侵行為。 中心交換機可選用高性能路由交換器，例如Catalyst 6000，它具有提供虛網(wǎng)劃分及內(nèi)部路由連接功能，避免笑饑敏了網(wǎng)絡(luò)廣播風暴，減輕了網(wǎng)絡(luò)負荷，同時也提供了一定的安全性。冗余電源及冗余連接為網(wǎng)絡(luò)正常運行打下了較好的基礎(chǔ)，把第二層交換機的轉(zhuǎn)發(fā)性能和路由器的可伸縮性及控制能力融于一身。第二級交換機可選用類似Catalyst 3500級別的設(shè)備，它支持VLAN功能，交換能力強大，提供高密度端口集成，配置光纖模塊，提供與Catalyst 6000的高帶寬上行連接，保證了部門接入網(wǎng)絡(luò)、工作站的高帶寬應用。 網(wǎng)絡(luò)平臺總體結(jié)構(gòu)圖 招數(shù) 首先，把第一臺防火墻設(shè)置在路由器與核心交換機之間，實現(xiàn)較粗的訪問碰枝控制，以降低安全風險。設(shè)置第二臺防火墻則主要為了保護數(shù)據(jù)區(qū)內(nèi)的服務器，合理地配置安全策略，使服務器的安全風險降到最低。只開放服務器必要的服務端口，對于不必要的服務端口一律禁止。 其次，IP地址分配。所有部門的接入網(wǎng)絡(luò)都在防火墻之后，一律使用內(nèi)部保留IP地址。每個部門各分配一個完整的C類地址。 再次，中心交換機VLAN配置。具體劃分采用基于端口的虛擬LAN方式，將每一個部門作為一個 VLAN， VLAN間的路由協(xié)議采用 RIP。 此外，通用信息服務設(shè)計。外網(wǎng)的建設(shè)，突出了統(tǒng)一規(guī)劃、資源共享的原則。除了在安全問題上由網(wǎng)絡(luò)平臺統(tǒng)一考慮外，對于各部門需要通用的信息服務系統(tǒng)如域名系統(tǒng)、郵件系統(tǒng)、代理系統(tǒng)等，也統(tǒng)一設(shè)計、統(tǒng)一實施。 最后，郵件服務器統(tǒng)一規(guī)劃，采用集中的郵件服務，給用戶提供了完整的TCP/IP支持下的郵件系統(tǒng)。 秘笈 網(wǎng)站建設(shè)主要體現(xiàn)以下技術(shù)特點: 其一，網(wǎng)站應用系統(tǒng)從傳統(tǒng)的兩層客戶機/服務器結(jié)構(gòu)，轉(zhuǎn)向BWAD(瀏覽器+Web 應用服務器+數(shù)據(jù)庫)的三層體系架構(gòu)。這種跨平臺、多技術(shù)融合的三層結(jié)構(gòu)的技術(shù)方案，保證網(wǎng)站應用系統(tǒng)的先進性和可擴展性。 其二，采用非結(jié)構(gòu)化和結(jié)構(gòu)化數(shù)據(jù)庫技術(shù)，靈活支持、方便擴展寬帶應用和多媒體應用，使用戶界面不只是文字和圖片，而是以文字、聲音、圖像、視頻等發(fā)布的全媒體界面,提高用戶的關(guān)注率、提升服務水平。 其三，采用自主開發(fā)的網(wǎng)站動態(tài)管理平臺技術(shù)，可以任意組合和改變網(wǎng)頁界面風格，定義不同模板，將網(wǎng)站管理的人力成本降低，并降低由于網(wǎng)站管理復雜而產(chǎn)生的技術(shù)風險和人員更迭風險。降低和減少了頁面開發(fā)的工作量，使大量的人力可以投入到具體的政務應用系統(tǒng)中去。 其四，網(wǎng)站管理系統(tǒng)為網(wǎng)站的建設(shè)、管理、維護、統(tǒng)計分析提供了一個統(tǒng)一的環(huán)境。提供各類業(yè)務系統(tǒng)上網(wǎng)發(fā)布接口，以及信息發(fā)布模板和工具，使普通用戶不需要編程就可建立信息發(fā)布欄目，并可自行對欄目信息進行編輯與維護。網(wǎng)站管理系統(tǒng)具有靈活的功能，方便的內(nèi)容創(chuàng)作環(huán)境，靈活的發(fā)布方式，強大的信息查詢能力，能進行實用而有效的模板設(shè)計、支持豐富的內(nèi)容類型，按照欄目結(jié)構(gòu)進行信息組織。它采用了ASP、JSP和數(shù)據(jù)庫的技術(shù)，基于B/S結(jié)構(gòu)，還可以對用戶的IP地址進行限定信息檢索功能。 戰(zhàn)績 從運行的效果上看，所設(shè)定的方案合理、可靠，有效地保護了內(nèi)部網(wǎng)絡(luò)，因為所有的訪問都是一個間接過程，直接攻擊比較困難。代理技術(shù)的使用，隨著內(nèi)部網(wǎng)絡(luò)規(guī)模的擴大，重復訪問的可能性就越大，使傳輸效果的改善也就越明顯，同時也提高了信道的利用率，降低了網(wǎng)絡(luò)使用成本。

網(wǎng)絡(luò)安全防護體系是如何架構(gòu)的?

還是B/S架構(gòu)的應用，如何保證數(shù)據(jù)傳輸?shù)陌踩枪芾韱T要面對的問題，安全的關(guān)注點主要在三個方面：

用戶身份驗證的安全性：

用戶身份驗證的安全主要包括用戶身份密碼的安全和驗證安全兩個環(huán)節(jié)，傳統(tǒng)的應用體系中，用戶驗證通常有用戶名/密碼驗證、USB key驗證及智能卡驗證等方法。在EWEBS 2008 中，采用用戶帳號和Windows帳號關(guān)聯(lián)的方式，在EWEBS 2008中存儲用戶密碼，用戶訪問應用程序時不直接使用Windows 帳號密碼，而是使用EWEBS 2008中為用戶單獨創(chuàng)建的帳號。用戶帳號的身份驗證支持用戶名/密碼、USB Key驗證、智能卡、指紋或視網(wǎng)膜等生物學身份驗證方法。

服務器的安全性：

在傳統(tǒng)的遠程接入模式中，因為用戶的應用直接在服務器端運行，如何保證服務器的安全性是管理員面臨的一個大問題，一般都采用Windows 組策略等手段來保護服務的安全，但是組策略配置的復雜性、效果都不盡舉團如人意。

在EWEBS 2008中，直接內(nèi)嵌了Windows Active Directory 組策略的配置設(shè)置，管理員無需熟悉組策略的具體配置，只需要進行簡單的選擇，就可以輕松的限制用戶對某個具體的硬盤、系統(tǒng)任務欄或IE等服務器端資源的訪問。

數(shù)據(jù)傳輸?shù)陌踩裕?/p>

在傳統(tǒng)的應用模式中，客戶端和服務器端需要傳送應用程序相關(guān)的數(shù)據(jù)記錄，如數(shù)據(jù)庫的查詢結(jié)果集等，這就對數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸安全提出了較高的要求，通常采用VPN加密、SSL加密等技術(shù)來保證應用數(shù)據(jù)的安全。在EWEBS 2008中，由于所有的應用程序都在服務器(集群)上運行，所以客戶端和服務器端傳送的僅僅是應用程序的輸入輸出邏輯，在沒有特別授權(quán)的情況下，數(shù)據(jù)無法離開服務器(集群)，保證了數(shù)據(jù)的安全。EWEBS 2008中還內(nèi)前答磨嵌了SSL通信技術(shù)來保證客戶端和服務器端網(wǎng)絡(luò)通訊的安全。

除了上述的三個方面的安全之外，在EWEBS 2008中，管理員還可以輕松的對客戶端進行控制，可以根據(jù)用戶帳號、訪問時間、慧斗客戶端IP地址、客戶端MAC地址、客戶端機器特征碼（從CPU、主板、硬盤等硬件計算而來）等來限制客戶端對應用程序的訪問，從而做到即使用戶帳號信息泄露，第三方也無法盜用應用程序，有效的保證了用戶關(guān)鍵應用和數(shù)據(jù)的安全。

分享文章：網(wǎng)絡(luò)安全服務器架構(gòu) 網(wǎng)絡(luò)安全服務體系中安全服務包括哪些
分享URL：http://www.chinadenli.net/article0/ddpipoo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標簽優(yōu)化、建站公司、動態(tài)網(wǎng)站、做網(wǎng)站、Google、定制網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)