信息安全在计算机网络搭建的应用

摘要：信息安全等级保护制度被确定为中国执行信息安全保护的一项根本制度，并在全国范围内快速落实。国家机关部门利用信息安全等级保护管理出台了一系列措施与政策。基于此，提出信息安全等级保护制度在计算机网络搭建中的应用，具体包括控制计算机网络访问的设立边界、编码计算机网络安全标记等级、提高计算机网络储存数据保密性。

关键词：信息安全；等级保护制度；计算机网络

全国范围内开展信息安全等级保护制度，需要一个集中管理和统一完整的信息安全等级保护相关标准规范[1]。国家机关部门利用信息安全等级保护管理出台了一系列措施与政策，从大方向上规定了信息系统安全实施五级保护管理。管理办法规定的五级安全保护等级作为一项行政管理措施而存在。其中，强制性标准规范及相对应标准，是信息安全保护标准规范保障能力的等级。信息系统安全保护等级，成为计算机信息安全保护中行政安全管理等级初步完成的重要保证。综合性区别信息安全保护等级作为一个系统整体而存在，即统一体[2]。信息安全等级保护制度涉及到国家层面、全社会各个专业领域大众。信息安全等级保护基本涉及信息安全科学保护基础、系统维修、产品检测、大众测评和行政管理等多个领域的工作内容。信息安全等级保护制度的落实，在计算机网络世界发挥重要的保护作用。

1控制计算机网络访问的设立边界

按照云计算网络应用平台划分网络边界。网络访问控制主要针对三类网络边界，即计算机网络面向互联网边界、计算机网络内的物理机间边界、虚拟机间边界[3]。对计算机网络系统来说，互联网边界是最重要的安全保护防线之一。边界上集合了全部经网络分析的数据流，需要进行科学、严谨的监控与管理。按照业务需求量，详细、细致访问控制经网络边界的数据（或者称之为进出网络），按照一定标准程序允许或拒绝流入/流出。为确保计算机网络内部不同功能模块之间的独立性、唯一性以及安全性，需要严格阻止来自计算机网络内部的安全威胁。计算机网络内部各个不同网段之间由于安全等级、业务服务对象不同，经常产生不同需求的访问控制。因此，必须根据业务实际需求，在计算机网络内部的物理网络边界仔细设置安全设备，严格规定内部业务所需流量。虚拟机间的通信大多数由虚拟机间独立指导完成，外界无法严格检查数据交换过程的私密性、安全性、稳定性，为虚拟机间的信息相互攻击带来了极大方便[4]。基于虚拟机的信息安全保护技术直接作用于计算机网络服务器内部设置的虚拟机安全保障软件，充分利用Hypervisor开放端的AUI网络接口，把所有虚拟机之间的交换式流量输入到虚拟交换机之前，引进到虚拟机安全保障软件内进行二次维检。此时，能够充分按照网络不同需求，将不同虚拟机归类到不同属性的安全域，并配置完善、等级严格的安全域间隔离保护和信息互访边界。计算机网络搭建过程中的虚拟化信息安全保护技术，主要针对计算机内部虚拟化环境的特有信息安全问题而设置。利用边缘虚拟桥和虚拟以太网信息接入端口集合器等技术，把虚拟机的内部流量引进到外部交换设备，接收流量的外部交换设备二次传输这些流量之前，会利用镜像过滤或者重新定位等技术，把流量导入一个安全设施内并反复检测，检测合格后才能上传结果。

2编码计算机网络安全标记等级

为实现计算机网络内部信息携带安全标记的规范化、科学化，有必要设计安全标记[5]。一般情况下，IPSO的长度是25字节，要求安全标记的最大长度为25字节，针对一般定义下的安全标记设计，需要满足IPSO便于携带的需求。安全标记具体包括安全等级、安全范围、信任度阈值和特殊策略。其中，特殊策略是一项可选项，当为计算机信息主体进行安全标记时，特殊策略中标识的对象就是客体的唯一网络ID；反之，当为客体进行安全标记时，为空。格式主要包括以下几方面。第一，类型字段，大概占1个字节，用于表达IPSO携带的信息数据流为安全标记，以区分其他网络信息数据。第二，标记长度，大约占1字节，用于标记网络内实际发生的信息安全标记的总长度。第三，安全等级字段，具体占2字节，当为主体进行安全标记时，安全等级就是主体安全等级；当为客体进行安全标记时，安全等级变成数据流中所携带数据的最大安全级别。第四，范围字段，占4个字节，可以标识流经的所有领域。第五，信任度阈值，大约占2字节，主要用于标记所携带数据流或请求主体的信任度阈值，信任度范围基本安全。第六，特殊策略，最大占10个字节，该字段是一种长字段，主要用于标记一些特殊的数据信息访问。安全等级在安全标记中非常重要，具体用于标记计算机网络元素的等级。一般状况下，安全等级具体可以分为公开、内文、秘密、机密和绝密五大类。公开等级的编码表示为00111101，计数为51；内文等级的编码表示为01011010，计数为61；秘密等级的编码表示为10010110，计数为110；机密等级的编码表示为10101011，计数为151；绝密等级的编码表示为11001100，计数181。这种编码方式不仅易操作、便于理解和网络识别，而且有利于安全标记的执行与落实。

3提高计算机网络储存数据的保密性

计算机网络系统中储存与上传的重要数据信息，必须采取一种完整、严谨的密码系统，以支持加密保护动作，进而动态管理与分配网络。根据网络编码所定义规则的对象，重新分配信息数据时，清除其中的多余信息数据，从而有效防止数据外泄。网络安全的审查主体包括系统内全部具备审查要求的数据信息对象，比如防火墙、路由器、云平台等。网络访问控制按照程序规则匹配上传数据信息，是计算机系统网络安全的第一道防护。其作用是偏向于根据业务需求或特定程序要求执行访问控制，内外网络攻击与入侵未作重要处理。基于网络入侵的检查，是计算机网络访问控制执行后的第二道安全防护，主要目的是监控所在网络域内的所有数据流，重点解析每一个数据流或可疑数据流，一旦数据流与内置规相符合，入侵检测就会立即记载事件发生的所有信息，并发出警报，达到信息安全保护的目的。

4结语

本文分析了信息安全等级保护制度在计算机网络搭建中的应用，依托信息安全等级保护制度的相关机制要求，根据计算机网络构建的集中反馈与分析，实现设计。希望本文的研究能够为信息安全等级保护制度在计算机网络搭建中的应用提供理论依据。

参考文献

[1]何建波,卿斯汉,王超.对一类多级安全模型安全性的形式化分析[J].计算机学报,2018,29(8):1468-1479.

[2]季庆光,卿斯汉,贺也平.一个改进的可动态调节的机密性策略模型[J].软件学报,2018,15(10):1547-1557.

[3]张晓菲,许访,沈昌祥.基于可信状态的多级安全模型及其应用研究[J].电子学报,2018,35(8):1511-1515.

[4]张俊,周正,李建,等.基于MLS策略的机密性和完整性动态统一模型[J].计算机工程与应用,2018,44(12):19-21.

[5]佚名.从微软的云计算资源实时拍卖技术到Google的海上服务器舰队——云计算产业专利竞争风起云涌[J].科技促进发展,2018(5):346-349.

作者:贾觐 单位:河南财经政法大学