网络安全架构基本模型：计算机网络技术应用

计算机网络安全是一个系统的概念，且不仅仅是一个纯技术问题，单凭技术因素是不可能确保网络安全的。网络安全是一个涉及技术、法律和管理等多个方面综合因素的人-机系统问题。只有通过合理地调整技术、法律和管理三者之间的关系，才能有效地保护网络的安全。因此，通过任何一个安全系统是不能确保网络系统的安全，只能通过一个科学完善的网络安全架构，把网络安全设计的各个方面有机地结合起来，从整体的概念上规划网络安全的框架和机制，最终解决好网络安全所遇到的问题，但不可能是全部的问题。

1.网络安全架构的定义

随着网络技术的发展，网络规模的不断扩大，加之网络带宽的增加，网络应用中的新问题层出不穷，尤其是软硬件平台下新安全漏洞的出现，危害网络安全的攻击手段与欺骗方法日益先进，一旦网络受到侵害，其受损程度将更加严重。实践表明，单一的网络安全产品并不能保证网络的安全性能，安全产品的简单堆叠也不会带来与投入成正比的网络安全性能。因此，一个完备的网络安全系统，应该建立在一个涉及网络安全各个方面的安全架构之中。什么是网络安全架构呢？

网络安全架构的定义：网络安全架构，以网络安全策略为核心，把网络安全产品有机地组合，形成智能化的、联动、互动和互相配合的网络安全体系，并由网络安全管理保证网络安全体系的落实和实施，全方位地确保网络系统的安全性能。

2.动态网络安全架构模型

网络安全架构不是一个固定不变的网络安全模式，它应该是一个动态的、随时间变化的概念与模式。为确保网络与信息系统的安全性能，需要建立一个动态的多层次的网络安全架构模型。动态网络安全模型的基本结构如下。

以评估为基础，以策略为核心，以防护、监测、响应和恢复为技术手段和工具，以安全管理为落实手段，构成一个动态的多层次的网络安全系统。

1）评估（Evaluation）。评估是规划网络安全架构的依据。通过对整个网络安全结构与技术的科学、准确的分析，评估网络实际的安全性能，从而有针对性地规划出一个切实可行的网络安全架构建设方案。

2）策略（Policy）。安全策略是网络安全架构的核心。一个成功的网络安全架构建设方案，开始于一个全面的安全策略，它是所有安全技术和措施的基础，也是整个网络安全架构的核心。

3）防护（Protection）。防护是用于提高安全性能，抵抗入侵的主动防御手段。通过安全防护系统，以建立一种机制，用于检查、再检查网络的安全设置，同时评估整个网络的安全风险和弱点，并确保各种安全策略的执行能够相互配合，而不是相互抵触，确保与整个网络安全策略保持一致。此外，在网络安全防护系统中，使用扫描工具及时发现网络的安全漏洞并加以修补，使用防护工具（如防火墙、VPN、IPSec等）以及抗毁技术和系统安全优化配置技术等，综合提高网络抵御外来攻击的能力。

4）监测（Detection）。监测是网络安全架构中及时发现网络攻击或网络受到伤害的重要手段。IDS就是一种基于网络的或基于主机入侵的检测系统。为了防止黑客发现网络配备防护手段进而破坏监测系统，IDS通常采取隐蔽的检测技术，并能够及时发现攻击行为，为响应赢得时间。目前一些先进的IDS可以与防火墙互联互动、互动互防，从而形成一个监测与防护的整体策略，强调技术协作，而不是单兵作战，最大限度地发挥各种安全系统的实际功效。(www.xing528.com)

5）响应（Response）。监测仅仅是网络安全的手段，响应才是目的。尤其是在发现网络被入侵时，网络安全架构中的监测系统必须及时准确地响应。及时阻止入侵，采取相应的步骤与措施，防止网络资源遭到进一步的破坏。一个完善的网络安全响应系统，包括响应阻断系统、攻击源跟踪系统、取证系统和必要的反击系统等。只有通过这些系统，才能确保响应准确、有效和及时，预防同类安全事件的再度发生，并为捕获攻击者提供可能。

6）恢复（Restoration）。恢复是防范体系的又一个重要环节，通常恢复被认为是一种消极的网络安全手段。然而，恢复在任何一个网络安全架构中都是不可或缺的。因为无论网络安全架构防范多严密，都很难确保万无一失。所以，恢复策略仍然是必须的。实践中，借助先进的网络自动恢复系统，可快速恢复或修复网络系统资源，将损失降至最小。

网络安全架构中的六个环节环环相扣，互为补充，构成一个有机整体，形成一个循环，并通过安全管理的落实，最终形成一个全方位动态的多层次闭环网络安全架构。

通过以上分析可知，该模型通过防护、监测、响应和恢复，具体地实现网络安全的目的，并构成一个循环。网络安全架构的每一个部分的实现，都动态地受到网络策略的制约，并需要通过网络安全管理落实，以确保网络安全策略的实现。然而，网络安全技术的实施过程中将不断地发现新问题，从而要求网络安全架构中的系统，能够对网络安全的状态与性能进行重新评估。对网络安全状态与性能的重新评估，进而要求必须对网络安全策略重新设计。如此一个全方位的动态的闭环网络安全架构模型，可确保制定一个网络安全的全面解决方案。

3.安全管理是网络安全架构的关键

网络安全架构模型实际上也是一个网络安全管理架构模型。在一个正确的网络安全架构中，安全管理始终贯穿在网络安全的各个层面。实践证明，仅有安全技术防范，而无严格的安全管理体系相配套，保障网络安全将是一句空话。为此，在网络安全架构中，网络安全管理占有十分重要的地位。

在网络安全架构的实施中，必须制订一系列安全管理制度，严格安全技术和安全设施的管理。从网络全局管理角度，制订网络整体的安全管理策略；从技术管理角度，强化网络安全的配置和管理；从人员管理角度，统一实现用户角色划分策略，制定一系列的网络安全管理规范。

4.建立现代计算机网络安全架构原则

在一个网络安全架构的实现过程中，有关安全管理系统的实施必须遵循可操作性原则、全局性原则、动态性原则、管理与技术的有机结合原则、责权分明原则、分权制约原则和安全管理的制度化原则。