導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全的構(gòu)建，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞電力系統(tǒng)網(wǎng)絡(luò)安全

Abstract：Along with the advancement of reform, the Chinese power industry formed the factory, nets separation and grid by region of the new pattern. And the development of the computer network technology for power management and scheduling of provide for the advanced service and support for the electric power means, new business (such as electric power market applications, electric power marketing business, etc.) that will provide the conditions. From the state power company to subordinate the power subsidiaries are information network in advance of work, based on the various business applications, such as electric power management, enterprise information management ERP, financial information management, etc.) is gradually developed.

加強(qiáng)電力系統(tǒng)網(wǎng)絡(luò)安全的意義：

電力行業(yè)是技術(shù)密集和裝備密集型產(chǎn)業(yè)，其獨(dú)特的生產(chǎn)與經(jīng)營方式?jīng)Q定了其信息化發(fā)展的模式。通過信息化渠道開展電力業(yè)務(wù)，具有便捷、實時的巨大優(yōu)勢，但是非法用戶的訪問、內(nèi)部人員的操作失誤、信息傳遞的失誤等問題也相伴而來，尤其各變電站要實現(xiàn)少人或無人值守以提高生產(chǎn)效益，安全的信息技術(shù)勢必要大規(guī)模地運(yùn)用到電力行業(yè)中。而且，隨著電力調(diào)度業(yè)務(wù)、電力市場業(yè)務(wù)等越來越廣泛地開展，電力企業(yè)網(wǎng)和Internet的聯(lián)系也越來越緊密，而網(wǎng)絡(luò)的自由性和不安全性則會給電力企業(yè)安全運(yùn)行帶來越來越嚴(yán)重的隱患，并且有可能對電力業(yè)務(wù)造成極大的破壞。為躲避潛在的計算機(jī)網(wǎng)絡(luò)風(fēng)險，使網(wǎng)絡(luò)系統(tǒng)能夠安全及高效運(yùn)行，就必須保證網(wǎng)絡(luò)安全，系統(tǒng)安全，同時還要兼顧系統(tǒng)的高效和通暢。當(dāng)前，我們必須把安全問題作為網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)優(yōu)化的關(guān)鍵來抓，建立一套完整的、符合實際應(yīng)用的、高性價比的信息安全機(jī)制。因此可以說，過去十年電力信息技術(shù)的發(fā)展主要是致力于如何實現(xiàn)互聯(lián)，而未來十年電力信息技術(shù)的發(fā)展將側(cè)重于安全防護(hù)。

我國電力網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀：

在電力信息化建設(shè)的推動下，我國電力行業(yè)的電網(wǎng)管理水平、企業(yè)管理水平、發(fā)電生產(chǎn)管理信息化水平、電力規(guī)劃設(shè)計等能力

都得到了顯著提高。但是由于對網(wǎng)絡(luò)化認(rèn)識上的誤區(qū)，部分電力企業(yè)認(rèn)為搞網(wǎng)絡(luò)化主要就是買機(jī)器、建網(wǎng)絡(luò)。近幾年，電力企業(yè)雖然加大了網(wǎng)絡(luò)信息化的投入，但是將資金主要用在了硬件設(shè)備的購置上，相應(yīng)的軟件系統(tǒng)的投入?yún)s明顯不夠，認(rèn)為硬件設(shè)施是有形的固定資產(chǎn)，而軟件卻是無形的，價值不容易度量，表現(xiàn)出一定程度的“重硬輕軟”情結(jié)。這種做法的結(jié)果是硬件設(shè)施脫離了軟件系統(tǒng)，從而硬件也發(fā)揮不出應(yīng)有的作用。對網(wǎng)絡(luò)安全也缺乏統(tǒng)一長遠(yuǎn)的規(guī)劃，電力網(wǎng)絡(luò)中還缺乏諸多的安全隱患。

目前的主要問題是:

①缺乏統(tǒng)一的信息安全管理規(guī)范:電力系統(tǒng)急需一套統(tǒng)一、完善的能夠用于指導(dǎo)整個電力系統(tǒng)信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范。

②電力職工的網(wǎng)絡(luò)安全意識有待提高:隨著信息技術(shù)高速發(fā)展，信息安全策略和技術(shù)取得了非常大的進(jìn)步，但是我們目前的認(rèn)識與實際差距較大，對新出現(xiàn)的信息安全問題認(rèn)識不足。

③需要建立一套適合電力企業(yè)其自身特點(diǎn)的信息安全體系:電力信息網(wǎng)絡(luò)應(yīng)用可分為四大類:管理信息類、生產(chǎn)控制類、話音視頻類、經(jīng)營類，以確保實時電力網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

總之，在網(wǎng)絡(luò)安全問題上不斷的存在攻與防的一對矛盾，他們此消彼漲、此漲彼消，在相互斗爭中不斷發(fā)展。但是，電力企業(yè)信息網(wǎng)絡(luò)這樣一個年輕的又特殊的網(wǎng)絡(luò)來說，又其特殊性，同時它所面臨的安全威脅是比較嚴(yán)重的，稍有不慎，就有可能對電力安全生產(chǎn)造成影響，進(jìn)而影響國家經(jīng)濟(jì)和百姓的日常生活。但反過來說我們可以應(yīng)對的手段也是十分先進(jìn)的，包括先進(jìn)的企業(yè)版防火墻、先進(jìn)的密碼編碼方式和算法等都可以有效防御，只要應(yīng)對得當(dāng)，足以有效保護(hù)電力系統(tǒng)信息網(wǎng)絡(luò)安全，保障電力生產(chǎn)經(jīng)營活動的安全。

加強(qiáng)電力系統(tǒng)網(wǎng)絡(luò)安全的措施：

應(yīng)該說，網(wǎng)絡(luò)上的安全威脅，在擁有先進(jìn)手段的前提下，對于網(wǎng)絡(luò)安全問題來說最重要的應(yīng)該是網(wǎng)絡(luò)安全思想，可以說有好的安全思想可以避免絕大多數(shù)的安全問題，所以安全思想意識應(yīng)放在網(wǎng)絡(luò)安全的首要位置。在將來我們可以采用更加先進(jìn)的網(wǎng)絡(luò)安全體系架構(gòu)、密碼算法、防火墻、工DS和病毒防治軟件等來保衛(wèi)電力系統(tǒng)的信息安全。比如那些技術(shù)層次上安全措施更為重要的是有一套良好的安全制度和安全思想，它們才是確保系統(tǒng)安全的根本。

有以下的幾點(diǎn)安全建議，它們也是我們平時最容易忽視的安全漏洞:

1、科學(xué)安全的設(shè)置和保管密碼。密碼安全可以說是網(wǎng)絡(luò)安全中最為重要的。一旦密碼被泄漏，非法用戶可以很輕易的進(jìn)入你的系統(tǒng)。由于窮舉軟件的流行，對密碼的要求最少要10位，一般用戶的密碼要求最少要8位，并且應(yīng)該有英文字母大小寫以及數(shù)字和其他符號進(jìn)行不規(guī)則的設(shè)置。同時不要選取如生日、名字等熟悉的信息作為密碼。

2、加強(qiáng)人員的安全意識和管理。思想意識松懈造成的系統(tǒng)隱患要遠(yuǎn)大于系統(tǒng)自身的漏洞。將不知是否有病毒的軟盤隨意的插入計算機(jī)中、不當(dāng)?shù)脑O(shè)置密碼、將密碼寫下來或存入計算機(jī)的文件中、長期不改密碼、隨意的從網(wǎng)上下載不明文件或內(nèi)部合法用戶本身的非法活動等都給企業(yè)信息網(wǎng)絡(luò)帶來最大的威脅。

3、實時的監(jiān)控網(wǎng)絡(luò)端口和節(jié)點(diǎn)的信息流向，定期對企業(yè)信息網(wǎng)絡(luò)進(jìn)行安全檢查、日志審計和病毒掃描，對相關(guān)重要數(shù)據(jù)進(jìn)行備份以及在全網(wǎng)絡(luò)范圍內(nèi)建立一套科學(xué)的安全管理體系同樣對企業(yè)信息網(wǎng)絡(luò)的安全運(yùn)行有著很重要的意義。

4、合理配置防火墻在水電站 MIS 系統(tǒng)與 Internet 的邊界應(yīng)安裝防火墻裝置，并實施相控制。另外，如果對外網(wǎng)提供信息查詢等服務(wù)，就要為訪問關(guān)鍵服務(wù)器提供控制手段。建議將對外公開服務(wù)器集合起來劃分為一個專門的服務(wù)器子網(wǎng)，設(shè)置專用的防火墻來控制外來的訪問。利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)網(wǎng)和外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)。

參考文獻(xiàn)：

篇2

關(guān)鍵詞 高校圖書館；網(wǎng)絡(luò)構(gòu)建；安全保障；體系構(gòu)建

中圖分類號G251 文獻(xiàn)標(biāo)識碼 A 文章編號 1674-6708（2014）123-0209-02

所謂高校圖書館網(wǎng)絡(luò)安全，是指網(wǎng)絡(luò)上的信息安全即為數(shù)據(jù)處理系統(tǒng)建立以及其在技術(shù)和管理方面所采取的安全保護(hù)措施，從而在增強(qiáng)高校圖書管內(nèi)部資源密集度、關(guān)聯(lián)緊密性、層次先進(jìn)性的基礎(chǔ)上，保障計算機(jī)軟件、硬件和數(shù)據(jù)等資源不因受到偶然或者人為的原因，而遭到破壞、損傷和外泄。因此，在高校圖書館網(wǎng)絡(luò)安全體系構(gòu)建過程中，教師應(yīng)在完善原有網(wǎng)絡(luò)安全的基礎(chǔ)上，及時更新、提升圖書管理系統(tǒng)，從而確保圖書網(wǎng)絡(luò)安全體系的穩(wěn)定性、層次性和科學(xué)性。

1高校圖書館網(wǎng)絡(luò)安全問題的主要體現(xiàn)

1.1管理不完善，人為攻擊防御性低

眾所周知，高校圖書館網(wǎng)絡(luò)資源是向本校學(xué)生或經(jīng)授權(quán)的人群開放的一個知識儲備量大、信息量廣、更新及時的數(shù)字化信息系統(tǒng)。由于高校圖書館網(wǎng)絡(luò)是基于電子信息技術(shù)而存在的信息反應(yīng)，其在存儲媒體、傳輸通道、反饋信息等方面就存在著信息密閉性不完善、密碼組合簡單等漏洞，這為一些人為的竊取型攻擊提供了可乘之機(jī)。此外，由于高校圖書網(wǎng)絡(luò)系統(tǒng)多用于學(xué)校的教學(xué)、科研等方面，其在管理手段、管理方式、管理層次等方面是相對寬松的，這也暴露了網(wǎng)絡(luò)信息系統(tǒng)脆弱性、開放性和易受攻擊性。

此外，由于使用圖書館網(wǎng)絡(luò)的大部分是學(xué)生，很多學(xué)生在畢業(yè)后就無法享受學(xué)校圖書館網(wǎng)絡(luò)系統(tǒng)帶來的便利性、快捷性，當(dāng)其需要查詢資料、開展學(xué)習(xí)時，通常會借助校園內(nèi)學(xué)弟學(xué)妹的IP地址，來攻擊學(xué)校圖書館內(nèi)網(wǎng)系統(tǒng)。由于學(xué)校圖書館網(wǎng)絡(luò)系統(tǒng)對于他們來說曾經(jīng)是內(nèi)網(wǎng)，其對學(xué)校圖書館網(wǎng)絡(luò)系統(tǒng)的運(yùn)行特點(diǎn)、運(yùn)行時段和運(yùn)行規(guī)律等有較為充足的把握。

1.2構(gòu)建系統(tǒng)存在漏洞，易感染病毒

計算機(jī)網(wǎng)絡(luò)病毒，是一種具有自我復(fù)制性能力的程序。其具有較強(qiáng)的破壞性、傳播性和潛伏性，因此，其在擴(kuò)散層面、控制難度和傳播速度上也存在著破壞力強(qiáng)、傳染性高、潛伏性高等特點(diǎn)，其可能通過存儲介質(zhì)受 到網(wǎng)絡(luò)上的攻擊，如：電子郵件、木馬病毒、惡意網(wǎng)頁、網(wǎng)絡(luò)下載等，這些隱蔽性強(qiáng)、分散性高的網(wǎng)絡(luò)病毒，很容易使得原本就脆弱的高校圖書館網(wǎng)絡(luò)安全系統(tǒng)崩盤。

此外，由于學(xué)生是高校圖書館網(wǎng)絡(luò)體系的主要使用者，其攜帶工具的健康與否也直接關(guān)系到了圖書館網(wǎng)絡(luò)安全體系的健康與否。眾所周知，學(xué)生在使用圖書館網(wǎng)絡(luò)時，通常會采用插U盤下載資料、采用云上傳等方式來保留住自己需要的資料。由于學(xué)生的U盤可能在網(wǎng)吧、論壇等地方下載過資料，U盤自身存在著潛伏的病毒，當(dāng)學(xué)生無意中將U盤插入學(xué)校圖書館的電腦時，病毒可能會隨之進(jìn)入到圖書館網(wǎng)絡(luò)系統(tǒng)中，并在某種條件的激發(fā)爆發(fā)出其危害性。

2高校圖書館網(wǎng)絡(luò)安全體系的構(gòu)建措施

2.1加強(qiáng)安全意識，提高加密措施

在很多高校中，由于圖書館員的安全意識淡薄，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)故障頻發(fā)。因此，在高校圖書館網(wǎng)絡(luò)安全體系的構(gòu)建過程中，加強(qiáng)管理人員的網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)風(fēng)險防治技能，是提高高校圖書館網(wǎng)絡(luò)安全體系的前提和基礎(chǔ)。因此，在高校圖書館網(wǎng)絡(luò)安全體系構(gòu)建實踐中，高校應(yīng)對管理員在業(yè)務(wù)素養(yǎng)、網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)安全防御措施等方面的培訓(xùn)和提升，從而在網(wǎng)絡(luò)安全體系出現(xiàn)問題時，圖書管理員能做到臨危不亂、有理有節(jié)的開展網(wǎng)絡(luò)防治工作。

此外，高校還應(yīng)從圖書館網(wǎng)絡(luò)安全體系自身做起，加強(qiáng)其對非限定范圍內(nèi)的信息的甄別能力、阻止能力和排除能力，確保圖書館信息在網(wǎng)絡(luò)傳輸過程中被惡意篡改、截獲和假冒。與此同時，高?？梢詮臄?shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)下載等方面入手，來提升高校圖書館的網(wǎng)絡(luò)安全系數(shù)，從而在完善網(wǎng)絡(luò)系統(tǒng)嚴(yán)密性、層次性和完善性的同時，來提高高校圖書館網(wǎng)絡(luò)安全的層次、檔次和系數(shù)。

2.2提高病毒防范性，提高安全檢測系統(tǒng)

毋容置疑，從源頭上，提高對病毒的預(yù)防措施，是提高網(wǎng)絡(luò)安全系數(shù)的前提和基礎(chǔ)。由此可見，在高校圖書館網(wǎng)絡(luò)安全體系構(gòu)建中，高校應(yīng)順應(yīng)網(wǎng)絡(luò)系統(tǒng)發(fā)展的趨勢、形勢和動態(tài)，選取一些專業(yè)的反病毒軟件，來預(yù)防、阻止病毒的繁殖、傳染和發(fā)作。同時，高級的網(wǎng)絡(luò)安全檢測系統(tǒng)也會為移動存儲介質(zhì)的使用、來歷不明的新軟件檢測、病毒防治等方面，發(fā)揮著不可替代的作用，利用網(wǎng)絡(luò)安全系統(tǒng)，可以從源頭上減少、杜絕不良病毒的發(fā)生、發(fā)散和擴(kuò)張。

設(shè)置網(wǎng)絡(luò)安全檢測系統(tǒng)，安裝服務(wù)包和補(bǔ)丁程度，以針對來自內(nèi)部用戶的惡意攻擊。并結(jié)合評估效果，對高校圖書館的網(wǎng)絡(luò)安全體系做出適當(dāng)?shù)男扪a(bǔ)、提升和改進(jìn)措施。同時，同時，充分利用各軟件的安全機(jī)制來減少內(nèi)部網(wǎng)絡(luò)用戶利用系統(tǒng)漏洞實施攻擊的機(jī)會，盡可能剔除一切潛在性的網(wǎng)絡(luò)風(fēng)險和危害。具體運(yùn)行過程如下圖所示：

安全評估――檢測病毒是否存在――發(fā)現(xiàn)問題----排除程度――未發(fā)現(xiàn)問題――進(jìn)行安全評估――評估系數(shù)低――修補(bǔ)程序――再次評估。

這種層次分明、區(qū)別對待的網(wǎng)絡(luò)安全體系構(gòu)建，不僅能有效提升和完善高校圖書館網(wǎng)絡(luò)安全體系，同時也為圖書館網(wǎng)絡(luò)體系自身反攻擊、反病毒提供了良好的途徑。

3結(jié)論

計算機(jī)網(wǎng)絡(luò)技術(shù)一直處在不斷變化、發(fā)展的階段。因此，在高校圖書館網(wǎng)絡(luò)安全體系構(gòu)建中，高校應(yīng)加強(qiáng)對網(wǎng)絡(luò)安全問題嚴(yán)重性和緊迫性等方面的考量，在加強(qiáng)對在職人員的網(wǎng)絡(luò)安全意識培訓(xùn)的同時，緊跟時代潮流積極研究網(wǎng)絡(luò)安全體系中出現(xiàn)的新問題、新情況，從而在不斷完善、加強(qiáng)自身網(wǎng)絡(luò)安全體系建設(shè)的同時，提升對網(wǎng)絡(luò)病毒、人為破壞的抵抗力和反擊

能力。

參考文獻(xiàn)

篇3

關(guān)鍵詞： 計算機(jī)網(wǎng)絡(luò)安全 構(gòu)建策略 防護(hù)體系

計算機(jī)網(wǎng)絡(luò)從進(jìn)入生活起，我們就漸漸離不開它帶來的便利。隨著對計算機(jī)網(wǎng)絡(luò)的依賴性越來越強(qiáng)，大量信息存儲在網(wǎng)絡(luò)中，因此，對計算機(jī)網(wǎng)絡(luò)安全的威脅不容忽視。一旦網(wǎng)絡(luò)安全出現(xiàn)問題，若不妥善解決，則不僅會影響計算機(jī)技術(shù)的進(jìn)步，還會對我國建設(shè)產(chǎn)生一定的影響。

1.計算機(jī)網(wǎng)絡(luò)安全體系概述

在分析計算機(jī)網(wǎng)絡(luò)安全前，首先要對網(wǎng)絡(luò)信息安全有一定的了解。信息安全主要指對數(shù)據(jù)處理系統(tǒng)和相關(guān)技術(shù)、管理的防護(hù)，防止計算機(jī)網(wǎng)絡(luò)系統(tǒng)遭到偶然或惡意的入侵，以免儲存在計算機(jī)系統(tǒng)中的數(shù)據(jù)被顯露、破壞、更改。如果要建立良好的計算機(jī)網(wǎng)絡(luò)安全體系，則不僅要保護(hù)計算機(jī)的信息安全，還要保護(hù)相關(guān)設(shè)備，保證計算機(jī)信息系統(tǒng)的安全。

2.計算機(jī)網(wǎng)絡(luò)凈化安全防護(hù)體系組成

2.1防火墻建設(shè)

防火墻是一種形象的比喻，不是真的墻，而是被保護(hù)的網(wǎng)絡(luò)的入門關(guān)卡。因特網(wǎng)存在一定的風(fēng)險區(qū)域，防火墻能起到隔離作用，以此增強(qiáng)內(nèi)部的網(wǎng)絡(luò)安全。防火墻有網(wǎng)絡(luò)級別和應(yīng)用級別兩種。網(wǎng)絡(luò)級別的防火墻主要是對數(shù)據(jù)包中的信息（端口、目標(biāo)地址、源地址等）與規(guī)則表進(jìn)行對比。在防火墻系統(tǒng)中設(shè)置了許多規(guī)則用以判斷是否允許包的通過。還有一種應(yīng)用級別的防火墻，也就是服務(wù)器。服務(wù)器主要根據(jù)IP地址禁止外部訪問，如果內(nèi)部人員對外部進(jìn)行訪問，則無法阻止。應(yīng)用級防火墻主要阻隔內(nèi)外的數(shù)據(jù)交換，如果要交換，則必須通過服務(wù)器，由其完成。

防火墻有硬件、軟件兩種。上述為硬件防火墻，它通過硬件、軟件兩種方式隔離。雖然它的隔離效果好，但是價格比較昂貴，一般個人和規(guī)模較小的企業(yè)難以承擔(dān)。軟件防火墻則通過應(yīng)用程序達(dá)到隔離目的，雖然價格比較便宜，但是只有限制訪問這一項功能?，F(xiàn)在軟件防火墻有很多種，可以根據(jù)使用配置加以選擇。

2.2入侵檢測系統(tǒng)（IDS）的架設(shè)

入侵檢測用來監(jiān)督監(jiān)測網(wǎng)絡(luò)系統(tǒng)中有無違背計算機(jī)制定的安全策略或危及系統(tǒng)安全的攻擊。入侵檢測系統(tǒng)是一種被動的檢測，但是有存在的必要。設(shè)置時，入侵檢測系統(tǒng)被放置在防火墻后，用于監(jiān)測通過防火墻之后所有的包，捕捉這些包內(nèi)的信息是否存在危險或惡意動作。入侵檢測系統(tǒng)因為檢測、記錄的信息比較龐大，所以制定的規(guī)則需要符合入侵檢測系統(tǒng)的配置。規(guī)則制定好后，入侵檢測系統(tǒng)篩選網(wǎng)卡到網(wǎng)線上的流量，及時發(fā)出警告。入侵檢測系統(tǒng)的安全管理通過識別攻擊進(jìn)行響應(yīng)，提高計算機(jī)網(wǎng)絡(luò)安全防護(hù)體系的完整性。

2.3防病毒系統(tǒng)

對病毒的防護(hù)主要使用病毒防護(hù)軟件。病毒的防護(hù)有針對單機(jī)系統(tǒng)的和針對網(wǎng)絡(luò)系統(tǒng)的。單擊系統(tǒng)的病毒防護(hù)注重保護(hù)本地計算機(jī)系統(tǒng)的數(shù)據(jù)信息，而網(wǎng)絡(luò)系統(tǒng)的病毒防護(hù)注重保護(hù)網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)信息。病毒防護(hù)軟件建立一個保護(hù)機(jī)制，通過實時監(jiān)測蠕蟲、病毒和后門程序，及時更新病毒庫，以檢測、清除計算機(jī)網(wǎng)絡(luò)中的惡意代碼，達(dá)到檢測、預(yù)防、清除病毒的目的。

3.計算機(jī)網(wǎng)絡(luò)凈化安全防護(hù)體系的構(gòu)建

建立安全防護(hù)體系首先要有一個安全策略，要考慮初期建設(shè)網(wǎng)絡(luò)時的問題。設(shè)置用戶權(quán)限是第一步，這種方式能夠保證計算機(jī)系統(tǒng)的內(nèi)部、外部用戶對系統(tǒng)的訪問在安全策略的要求內(nèi)，對用戶的訪問進(jìn)行控制和限制。加密技術(shù)是對系統(tǒng)內(nèi)資源的保護(hù)，保護(hù)系統(tǒng)資源的完整性和保密性。加密技術(shù)通過一定的運(yùn)算規(guī)則進(jìn)行密文和明文轉(zhuǎn)換，目前使用VPN（虛擬專用網(wǎng)）這個通道保護(hù)數(shù)據(jù)傳遞過程中的安全。但是，也要考慮安全策略被破壞的狀況。如計算機(jī)系統(tǒng)并沒有安裝保護(hù)系統(tǒng)的軟件（防火墻、防病毒軟件），而是使用了點(diǎn)對點(diǎn)的數(shù)據(jù)傳輸方式（Napster、BT等）與即時消息軟件等，這些是系統(tǒng)中的安全隱患。因此，安裝病毒防護(hù)軟件和開啟系統(tǒng)防火墻是強(qiáng)制性的，必要時卸載點(diǎn)對點(diǎn)的軟件和其他漏洞軟件。

主機(jī)系統(tǒng)的配置是建立一個安全的操作平臺。在使用操作系統(tǒng)的過程中，注意是否存在漏洞。為防止漏洞出現(xiàn)，要時常進(jìn)行系統(tǒng)補(bǔ)丁或使用其他方式修補(bǔ)漏洞。特別在無線網(wǎng)絡(luò)系統(tǒng)中，必須開啟加密功能，并設(shè)置最高級別，注意時常更改密碼。

4.結(jié)語

由于全球化腳步的不斷加快，許多資源信息存儲在計算機(jī)網(wǎng)絡(luò)中，因此加強(qiáng)網(wǎng)絡(luò)安全、設(shè)置保護(hù)屏障是必不可少的。防火墻、入侵檢測系統(tǒng)、防病毒軟件是計算機(jī)網(wǎng)絡(luò)安全防護(hù)體系的基礎(chǔ)，加上良好的安全策略則是相對安全的方式。信息技術(shù)不斷更新，防護(hù)系統(tǒng)也需跟進(jìn)，以防黑客等的攻擊。

參考文獻(xiàn)：

篇4

關(guān)鍵詞：技術(shù) 管理 法規(guī) 網(wǎng)絡(luò)信息安全

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2013）02-0178-02

1 網(wǎng)絡(luò)信息安全現(xiàn)狀

今年10月份“網(wǎng)絡(luò)空間國際會議”在匈牙利閉幕，“網(wǎng)絡(luò)空間”繼倫敦會議后，再一次作為全球焦點(diǎn)被世界多國研究討論，會議最終呼吁各國在構(gòu)建安全的網(wǎng)絡(luò)空間方面進(jìn)行合作。由此可見網(wǎng)絡(luò)空間的安全問題已成為世界多個國家普遍存在且需全球協(xié)作的共性問題。互聯(lián)網(wǎng)自誕生之日起就將世界聯(lián)系成為一體，經(jīng)過30多年的發(fā)展，網(wǎng)絡(luò)技術(shù)在促進(jìn)經(jīng)濟(jì)繁榮、科技進(jìn)步、思想傳播等方面改變著人們的生產(chǎn)和生活方式，并逐漸的滲透到人類生存的各個環(huán)節(jié)中，各國政府也高度依賴由網(wǎng)絡(luò)聯(lián)結(jié)的政務(wù)、電力、交通、能源、通信、航空、金融、傳媒、軍事等“關(guān)鍵基礎(chǔ)設(shè)施”，實施經(jīng)濟(jì)治理和社會管理，網(wǎng)絡(luò)已成為國家政治、經(jīng)濟(jì)和軍事的戰(zhàn)略支點(diǎn)。但與此協(xié)同的安全問題卻沒有跟上網(wǎng)絡(luò)發(fā)展的步伐，在日益普及的網(wǎng)絡(luò)應(yīng)用空間中，安全問題已成為21世紀(jì)世界面臨的嚴(yán)重挑戰(zhàn)。

我國互聯(lián)網(wǎng)起步較晚，但發(fā)展速度十分驚人。據(jù)2012年7月中國互聯(lián)網(wǎng)信息中心的數(shù)據(jù)顯示，我國的網(wǎng)民數(shù)量已達(dá)到5.38億，其中低學(xué)歷人群增長較為明顯；互聯(lián)網(wǎng)普及率為39.9%，其中農(nóng)村人口占到51.8%；IPv6地址數(shù)達(dá)12499塊/32，躍居全球第三。同時，根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心的數(shù)據(jù)，2011年境外有近4.7萬個IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器，控制我國境內(nèi)近890萬臺主機(jī)，近3000個政府網(wǎng)站被篡改。日益龐大的網(wǎng)絡(luò)空間和終端用戶的低安全性造成我國網(wǎng)絡(luò)空間的安全問題更顯突出。

2 技術(shù)、管理、法規(guī)安全機(jī)制主要內(nèi)容

網(wǎng)絡(luò)與信息安全機(jī)制的研究從網(wǎng)絡(luò)產(chǎn)生時就一直沒有間斷過，它與網(wǎng)絡(luò)技術(shù)的發(fā)展息息相關(guān)。當(dāng)前網(wǎng)絡(luò)與信息的安全機(jī)制主要有：加密機(jī)制、安全認(rèn)證機(jī)制、訪問控制機(jī)制、完整性機(jī)制、不可否認(rèn)機(jī)制、公證機(jī)制和路由控制機(jī)制等。結(jié)合安全機(jī)制產(chǎn)生的網(wǎng)絡(luò)信息安全服務(wù)也基本涵蓋了應(yīng)用領(lǐng)域的各個方面[1]。但是這些防范技術(shù)總是很難和安全管理有效的結(jié)合，或者說是用技術(shù)實現(xiàn)管理的執(zhí)行力不強(qiáng)。究其原因，我覺得是在技術(shù)和管理之間缺少一個強(qiáng)有力的約束框架，為此我們在網(wǎng)絡(luò)信息安全“技術(shù)+管理”的模式中，獨(dú)立出一個法規(guī)標(biāo)準(zhǔn)，提出了技術(shù)、管理、法規(guī)三維一體的網(wǎng)絡(luò)信息安全體系，以技術(shù)為基礎(chǔ)，用法規(guī)作保障，實現(xiàn)網(wǎng)絡(luò)空間的自主管理。如圖一所示：

（1）技術(shù)機(jī)制：網(wǎng)絡(luò)與信息安全機(jī)制采取在國家網(wǎng)絡(luò)空間盡遠(yuǎn)端保護(hù)，中間處保障，核心端強(qiáng)調(diào)可生存性的三級安全防護(hù)措施。1）盡遠(yuǎn)端保護(hù)采取常規(guī)的安全措施，劃分明確的網(wǎng)絡(luò)空間邊界，利用加密、認(rèn)證、訪問控制等技術(shù)手段，在網(wǎng)絡(luò)空間邊界上阻止非法入侵，達(dá)到信息安全的目的。在盡遠(yuǎn)端保護(hù)中要著力解決兩個難題：一是網(wǎng)絡(luò)空間邊界不像陸、海、空、天等實體一樣，有清晰明確的邊界線，這就需要安全防護(hù)措施能夠根據(jù)自主識別動態(tài)變化的敵我雙方邊界，合理有效的實施安全防護(hù)；二是網(wǎng)絡(luò)和信息領(lǐng)域的攻擊手段和技術(shù)發(fā)展很快，各種保護(hù)措施需保證跟的上敵對方的發(fā)展速度，及時地調(diào)整安全防護(hù)機(jī)制。2）中間處安全保障采取以入侵檢測技術(shù)為核心，以恢復(fù)技術(shù)為后盾的入侵檢測恢復(fù)機(jī)制。該機(jī)制融合保護(hù)、檢測、響應(yīng)、恢復(fù)四大技術(shù)，通過對網(wǎng)絡(luò)流量或主機(jī)運(yùn)行狀態(tài)的檢測來發(fā)現(xiàn)對網(wǎng)絡(luò)空間攻擊及破壞行為，實現(xiàn)對網(wǎng)絡(luò)信息空間狀態(tài)的動態(tài)檢測，并對各種惡意的入侵行為做出響應(yīng)。在實施入侵檢測機(jī)制時，要能夠快速有效的分辨出攻擊行為，以便后續(xù)響應(yīng)措施的實施，另外還要能夠及時的恢復(fù)網(wǎng)絡(luò)和信息到攻擊前的正常狀態(tài)。3）核心端生存性技術(shù)是指在國家網(wǎng)絡(luò)空間核心處受到攻擊或意外事故發(fā)生時，在限定時間內(nèi)恢復(fù)到正常狀態(tài)的能力。這里主要關(guān)注的是“容忍”技術(shù)，即入侵或故障發(fā)生時，網(wǎng)絡(luò)空間仍可以正常工作，在后續(xù)的時間內(nèi)逐漸的排除故障，確保核心端數(shù)據(jù)的完整性、機(jī)密性和可用性[2][3]。容忍概念的提出到現(xiàn)在經(jīng)歷了從容忍錯誤到容忍入侵的過渡，但是目前應(yīng)用還很少，特別是國內(nèi)，理論研究多而實際項目少，在下一步的網(wǎng)絡(luò)信息安全技術(shù)中，應(yīng)加大發(fā)展力度。4）安全防護(hù)設(shè)備信息融合機(jī)制。當(dāng)前存在有防火墻、入侵檢測、漏洞掃描等各自獨(dú)立的安全防護(hù)設(shè)備，彼此間信息不能共享。而在現(xiàn)實中，各個安全防護(hù)設(shè)備的信息可以互相利用，甚至有時候還可以成為對方的核心數(shù)據(jù)。因此，要建立防護(hù)設(shè)備信息融合機(jī)制，將攻擊信息有效整合起來，實現(xiàn)信息的充分利用。

（2）管理機(jī)制：網(wǎng)絡(luò)信息安全常說的一句話是“三分技術(shù)，七分管理”。的確是這樣，再完美的防范技術(shù)，如果沒有很好的執(zhí)行和落實，到最后也發(fā)揮不了作用。這里我們提出的管理機(jī)制，不僅有網(wǎng)絡(luò)空間維護(hù)人員的管理，還有對眾多網(wǎng)絡(luò)空間使用人員的管理。1）末端宣傳教育機(jī)制。加大網(wǎng)絡(luò)空間安全意識的宣傳力度，普及安全使用網(wǎng)絡(luò)的基礎(chǔ)知識，在一些機(jī)關(guān)或企事業(yè)單位，適當(dāng)?shù)拈_展網(wǎng)絡(luò)信息安全的培訓(xùn)，提升我國眾多網(wǎng)民安全防護(hù)意識和安全使用網(wǎng)絡(luò)的能力。網(wǎng)絡(luò)空間安全意識作為一種機(jī)制，要形成常態(tài)化，并通過法規(guī)制度，提升各級單位的重視程度。現(xiàn)在的信息技術(shù)是先進(jìn)的，但也需要會使用先進(jìn)技術(shù)的網(wǎng)民，這樣才能在末端接入處提高網(wǎng)絡(luò)空間的安全，從根本上解決隱患。2）中段管理人員的歸口負(fù)責(zé)，把零散的“點(diǎn)”的管理轉(zhuǎn)向系統(tǒng)性、有序的“面”的管理。早在1997年我國就成立了信息技術(shù)和安全技術(shù)委員會，各級各類的安全部門也相應(yīng)成立，但這些安全管理人員信息分散，彼此間沒有統(tǒng)一協(xié)調(diào)的部署和指揮，在面臨突況時很難有效整合。因此，對管理人員要建立系統(tǒng)組織機(jī)構(gòu)，做到分工明確，職責(zé)清晰，建立健全網(wǎng)絡(luò)應(yīng)急處理的協(xié)調(diào)機(jī)制。3）國家安全一票否決制。在網(wǎng)絡(luò)空間，處理一些具有安全隱患問題時，采取一票否決制，即只要有危害國家信息安全的潛在風(fēng)險因素，就直接否決。其主要針對于應(yīng)用國外的網(wǎng)絡(luò)設(shè)備或軟硬件商品。如同美國在通信設(shè)備中拒絕使用華為和中興設(shè)備；禁止華為收購美國3Com的理由是一樣。在技術(shù)含量高的網(wǎng)絡(luò)空間產(chǎn)業(yè)的競爭，一般的反傾銷、反補(bǔ)貼等貿(mào)易救濟(jì)措施抑制效果有限，且還要受到世界貿(mào)易組織爭端解決機(jī)制制約。相比之下，合理的使用一票否決制，可有效將存在潛在威脅的企業(yè)或商品擋在國門之外。

（3）法規(guī)機(jī)制：安全技術(shù)領(lǐng)域需要有各類標(biāo)準(zhǔn)，安全管理需要有行為規(guī)范，維護(hù)網(wǎng)絡(luò)空間需要有法律，處理安全事故責(zé)任需要有依據(jù)，在網(wǎng)絡(luò)信息空間新領(lǐng)域里要重視標(biāo)準(zhǔn)和法規(guī)制度的建設(shè)，及時更新修改，有效保障管理措施。1）盡快制定我國《國家網(wǎng)絡(luò)安全戰(zhàn)略》，將網(wǎng)絡(luò)空間安全問題上升為國家戰(zhàn)略問題進(jìn)行通盤考慮和研究。在國家戰(zhàn)略背景下，逐步建立各類安全技術(shù)的評判標(biāo)準(zhǔn)和網(wǎng)絡(luò)信息安全體系構(gòu)建標(biāo)準(zhǔn)，指導(dǎo)網(wǎng)絡(luò)空間安全建設(shè)。要加強(qiáng)與世界其他國家的溝通交流與合作，特別是先進(jìn)發(fā)達(dá)國家，吸取經(jīng)驗教訓(xùn)，指導(dǎo)科學(xué)合理的戰(zhàn)略規(guī)劃[5]。2）結(jié)合當(dāng)前的網(wǎng)絡(luò)安全技術(shù)建立各級各類人員的行為規(guī)范，大力加快信息安全相關(guān)法規(guī)建設(shè)，通過法律法規(guī)來明確各自的義務(wù)、權(quán)益、責(zé)任和處事流程，并制定相關(guān)的處罰措施，讓管理能有章可循，有據(jù)可查。積極參與制定國際網(wǎng)絡(luò)沖突行為準(zhǔn)則，在國際網(wǎng)絡(luò)空間事務(wù)中發(fā)揮話語權(quán)的作用，為捍衛(wèi)我國在網(wǎng)絡(luò)空間的提供有力依據(jù)。3）緊跟時代，注重技術(shù)標(biāo)準(zhǔn)的建設(shè)。使國家網(wǎng)絡(luò)空間相關(guān)人員能夠參與到國際信息安全技術(shù)標(biāo)準(zhǔn)建設(shè)中去，通過對其他先進(jìn)國家的學(xué)習(xí)，加快自身技術(shù)研究的發(fā)展，在國際網(wǎng)絡(luò)空間標(biāo)準(zhǔn)制定中發(fā)揮一定的作用，從而更好的指導(dǎo)本國網(wǎng)絡(luò)安全的基礎(chǔ)建設(shè)。

3 結(jié)語

綜上所述，在網(wǎng)絡(luò)空間信息安全的范疇內(nèi)，技術(shù)是基礎(chǔ)、法規(guī)是依據(jù)，管理是重心。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)空間的安全防范技術(shù)也需不斷革新，這里提出的可生存性就是一個新的發(fā)展方向；而法規(guī)制度雖然是網(wǎng)絡(luò)行為的評判標(biāo)準(zhǔn)，但它自身建設(shè)也必須根據(jù)安全防范的新技術(shù)時時更新、積極建設(shè)，才能為管理提供有效依據(jù)；管理要以法規(guī)為依據(jù)，通過運(yùn)用各種技術(shù)手段來維護(hù)網(wǎng)絡(luò)信息的安全，特別是全國性組織機(jī)構(gòu)的建立，有效整合資源，總體發(fā)揮合力。

參考文獻(xiàn)

[1]彭新光，吳興興.計算機(jī)網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.科學(xué)出版社，2005

[2]賴積保，王慧強(qiáng)，王健等.系統(tǒng)可生存性研究綜述[J].計算機(jī)科學(xué)，2007，34（3）：237-239，275.

[3]張鴻志，張玉清，李學(xué)干等.網(wǎng)絡(luò)可生存性研究進(jìn)展[J].計算機(jī)工程，2005，31（20）： 3-5.

篇5

關(guān)鍵詞： 計算機(jī)網(wǎng)絡(luò)；安全漏洞檢測；攻擊圖構(gòu)建；計算機(jī)技術(shù)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-4311（2014）05-0189-02

0 引言

當(dāng)今計算機(jī)網(wǎng)絡(luò)已經(jīng)完全普及，幾乎在每個角落，人們都能夠享受到網(wǎng)絡(luò)所帶來的便利，但也因其安全問題產(chǎn)生困擾。特別是在我國，計算機(jī)的主流操作系統(tǒng)并不能進(jìn)行安全檢測驗證，所使用的計算機(jī)網(wǎng)絡(luò)通信協(xié)議也幾乎全是國外開發(fā)的產(chǎn)品，可靠性得不到很好的保證，安全漏洞隱患問題非常突出。因此，進(jìn)行計算機(jī)網(wǎng)絡(luò)安全漏洞的檢測，是當(dāng)今保護(hù)人們的計算機(jī)信息安全的主要途徑。

1 計算機(jī)網(wǎng)絡(luò)安全漏洞檢測的主要方法

1.1 配置文件的安全漏洞檢測方法 配置文件太復(fù)雜，或采取了缺省值，是造成系統(tǒng)存在漏洞的主要原因。系統(tǒng)的運(yùn)行環(huán)境不安全，有絕大部分的原因都是配置文件所造成的。進(jìn)行配置文件的檢測，可以讀取系統(tǒng)配置信息，并解釋配置信息可能帶來的系統(tǒng)漏洞現(xiàn)象，讓用戶在系統(tǒng)發(fā)生配置錯誤，導(dǎo)致系統(tǒng)出錯或者影響了系統(tǒng)的性能表現(xiàn)時，能夠及時發(fā)現(xiàn)漏洞和降低系統(tǒng)安全性的一些錯誤配置并加以糾正。

1.2 文件內(nèi)容以及保護(hù)機(jī)制的安全漏洞檢測 系統(tǒng)中的命令文件以及系統(tǒng)工具是整個系統(tǒng)正常運(yùn)行的關(guān)鍵，同樣也是許多木馬最容易入侵的地方。當(dāng)木馬入侵了命令文件之后，會對文件內(nèi)容進(jìn)行篡改，從而影響了整個系統(tǒng)的正常運(yùn)行。通常為了防止木馬對系統(tǒng)中命令文件的篡改，需要對文件保護(hù)機(jī)制中薄弱的地方進(jìn)行檢測，對保護(hù)機(jī)制中存在的漏洞進(jìn)行及時的處理，保證擁有權(quán)限的用戶才能夠更改命令文件的內(nèi)容。比如對命令文件進(jìn)行訪問控制設(shè)置方面的檢測，就是進(jìn)行文件內(nèi)容以及保護(hù)機(jī)制的安全漏洞檢測最為基礎(chǔ)的一步。

1.3 錯誤修正檢測方法 當(dāng)操作系統(tǒng)發(fā)生錯誤時，一些擅闖系統(tǒng)權(quán)限的外界攻擊就會乘虛而入，造成嚴(yán)重的計算機(jī)信息安全問題。在一般情況下，用戶可以通過安裝修正錯誤的補(bǔ)丁程序來達(dá)到防止攻擊的目的，但很多用戶通常并不會在第一時間安裝補(bǔ)丁程序，就使得外界攻擊侵入系統(tǒng)。而通過錯誤修正檢測，則可以較好地解決系統(tǒng)中因發(fā)生錯誤而存在的漏洞問題。進(jìn)行錯誤修正檢測，可以直接通過計算機(jī)檢驗程序來自動完成，檢測效率非常高。通常錯誤修正檢測可以分為兩種類型，一種稱之為主動型檢測，找出系統(tǒng)中存在的錯誤，并對系統(tǒng)漏洞做出一定的應(yīng)對措施；另一種稱之為被動型檢測，這種檢測主要發(fā)生在安裝糾錯補(bǔ)丁程序時，作為判斷補(bǔ)丁程序是否安裝到位的一項依據(jù)。

1.4 差別檢測方法 差別檢測在系統(tǒng)中具有非常重要的作用，但也具有非常鮮明的特點(diǎn)。和其他檢測方法不同，差別檢測是一種被動型的檢測方法，對系統(tǒng)中的命令文件與工具起著監(jiān)控保護(hù)的作用。這種檢測方法一方面不能對外界攻擊進(jìn)行阻止，另一方面也不能對已經(jīng)被修改的程序進(jìn)行修正，但卻能夠非常準(zhǔn)確地反映出程序是否發(fā)生了改變，對于判斷系統(tǒng)是否受到攻擊非常有效。為了增加檢測的準(zhǔn)確度，可以將差別檢測相關(guān)的文件通過存放在脫離網(wǎng)絡(luò)的硬盤中，或者對其進(jìn)行加密處理，代表性的文件包括校驗方法與結(jié)果等。

另外，在當(dāng)今的計算機(jī)系統(tǒng)中，漏洞掃描技術(shù)得到了較為廣泛的應(yīng)用。該技術(shù)通過對計算機(jī)中每一個部分的掃描，來達(dá)到及時發(fā)現(xiàn)漏洞，并修補(bǔ)漏洞的目的。目前進(jìn)行漏洞掃描主要包括了兩種類型，一類是以計算機(jī)主機(jī)為基礎(chǔ)進(jìn)行掃描，另一類是以計算機(jī)網(wǎng)絡(luò)為基礎(chǔ)進(jìn)行掃描，用戶可以根據(jù)自身的需求以及計算機(jī)使用的實際情況來選擇不同的漏洞掃描方式。

2 攻擊圖構(gòu)建的分析

攻擊圖的構(gòu)建主要為了根據(jù)攻擊圖進(jìn)行分析，判斷目標(biāo)網(wǎng)絡(luò)所面臨的主要安全問題，從而分析計算網(wǎng)絡(luò)中存在的主要安全漏洞，并對網(wǎng)絡(luò)的安全采取一定的彌補(bǔ)措施。目前的攻擊圖種類非常多樣，不同類型攻擊圖所具有的分析攻擊行為的能力也有所不同。比如在一次對計算機(jī)網(wǎng)絡(luò)的攻擊行為中，可將攻擊行為用具體的邏輯攻擊圖表示出來。邏輯攻擊圖包括了推導(dǎo)規(guī)則、推導(dǎo)事實、以及原始事實三個類型的節(jié)點(diǎn)。由原始事實，經(jīng)過推導(dǎo)規(guī)則，可以產(chǎn)生推導(dǎo)事實，由產(chǎn)生的推導(dǎo)事實，經(jīng)過推導(dǎo)規(guī)則，又可以產(chǎn)生新的推導(dǎo)規(guī)則，并進(jìn)而產(chǎn)生一系列的連鎖改變。具體的攻擊行為可以表示為如圖1所示的圖形。

在圖1中，空心圓代表推導(dǎo)事實的節(jié)點(diǎn)，實心圓代表原始事實的節(jié)點(diǎn)，方框表示推導(dǎo)規(guī)則的節(jié)點(diǎn)。在整個邏輯攻擊圖中，推導(dǎo)規(guī)則其實也就是原子攻擊工具。該圖能夠非常具體地表示出各個原子攻擊之間的依賴關(guān)系，但卻不是非常直觀明了，不便于對攻擊行為進(jìn)行形象的理解。因此，業(yè)界又研發(fā)了狀態(tài)攻擊圖、屬性攻擊圖、滲透依賴攻擊圖、屬性依賴攻擊圖、聚合攻擊圖等多個不同的攻擊圖。其中，最具代表性的是聚合攻擊圖（如圖2所示）。這種攻擊圖構(gòu)建方法的核心思想是提出多個聚合規(guī)則，對攻擊圖用不同的粒度進(jìn)行抽象的聚合與展示。

通過構(gòu)建攻擊圖，一方面可以對網(wǎng)絡(luò)安全的定量評估提供依據(jù)，另一方面，也可以應(yīng)用于網(wǎng)絡(luò)安全問題的優(yōu)化措施中，使網(wǎng)絡(luò)系統(tǒng)的抗攻擊能力得到改善。另外，構(gòu)建攻擊圖還可以對網(wǎng)絡(luò)入侵進(jìn)行及時的預(yù)警，避免系統(tǒng)受到嚴(yán)重的篡改。

3 結(jié)束語

安全漏洞檢測是防范計算機(jī)網(wǎng)絡(luò)風(fēng)險的一項有效策略。目前除了一般的計算網(wǎng)絡(luò)安全漏洞檢測方法之外，構(gòu)建網(wǎng)絡(luò)攻擊圖對于分析網(wǎng)絡(luò)漏洞也具有非常重要的意義，網(wǎng)絡(luò)攻擊圖能夠更加清晰地表現(xiàn)復(fù)雜的攻擊行為。另外，人們在充分享受著計算機(jī)網(wǎng)絡(luò)所帶來的便利的同時，也應(yīng)該注意進(jìn)行網(wǎng)絡(luò)安全的保護(hù)，才能夠使自身的利益不受到侵犯。

參考文獻(xiàn)：

[1]吳金宇.網(wǎng)絡(luò)安全風(fēng)險評估關(guān)鍵技術(shù)研究[D].北京郵電大學(xué)，2013.

篇6

【關(guān)鍵詞】計算機(jī) 網(wǎng)絡(luò)技術(shù) 安全維護(hù)

與計算網(wǎng)絡(luò)技術(shù)一起迅速發(fā)展的技術(shù)有網(wǎng)絡(luò)入侵技術(shù)、木馬技術(shù)等技術(shù)，這些技術(shù)的發(fā)展對計算機(jī)網(wǎng)絡(luò)技術(shù)安全有著重大影響。因此，如何才能保證計算機(jī)網(wǎng)絡(luò)技術(shù)的安全是一個值得深思的問題，也值得探討。

1 計算機(jī)網(wǎng)絡(luò)技術(shù)存在隱患的原因

在現(xiàn)代，據(jù)筆者調(diào)研資料顯示，計算機(jī)網(wǎng)絡(luò)技術(shù)存在隱患的原因主要是兩個，一方面是網(wǎng)絡(luò)系統(tǒng)自身問題，另一方面是人為的原因。

1.1 網(wǎng)絡(luò)系統(tǒng)原因

第一，由于技術(shù)等原因，網(wǎng)絡(luò)操作系統(tǒng)自身存在不完善的地方，甚至是存在部分漏洞。第二，網(wǎng)絡(luò)協(xié)議存在不完善的部分，甚至是存在漏洞。第三，網(wǎng)絡(luò)的開放特性帶來諸多未受到保護(hù)的數(shù)據(jù)和信息。

1.2 人為原因

黑客侵襲和病毒攻擊是人為原因威脅計算機(jī)網(wǎng)絡(luò)技術(shù)安全的兩個方式。黑客侵襲主要是為進(jìn)入用戶系統(tǒng)盜取有價值信息；病毒攻擊的主要后果是使得計算機(jī)網(wǎng)絡(luò)陷入癱瘓狀態(tài)。在現(xiàn)代，由于計算機(jī)網(wǎng)絡(luò)技術(shù)管理制度欠缺完善，計算機(jī)網(wǎng)絡(luò)安全受到威脅的概率仍然較大。

2 計算機(jī)網(wǎng)絡(luò)技術(shù)如何進(jìn)行安全維護(hù)

近年來，計算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)、防火墻技術(shù)和加密系統(tǒng)技術(shù)得到較高程度的發(fā)展。

2.1 計算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)的使用

什么是計算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)？簡單來說，入侵檢測技術(shù)是關(guān)于計算機(jī)的專業(yè)技術(shù)，主要任務(wù)是對檢測到闖入或有企圖闖入系統(tǒng)信息進(jìn)行威懾、攻擊或者支持。在現(xiàn)代，計算機(jī)在使用過程中經(jīng)常會受到網(wǎng)絡(luò)上某些病毒攻擊，這無時不刻地威脅著計算機(jī)網(wǎng)絡(luò)的安全。在此時，計算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)就可以為保護(hù)計算機(jī)安全發(fā)揮作用。入侵檢測技術(shù)的工作程序是通過對計算機(jī)硬件和軟件對網(wǎng)絡(luò)信息實行實時檢測，同時將檢測結(jié)果與入侵?jǐn)?shù)據(jù)庫進(jìn)行比較，進(jìn)而及時發(fā)現(xiàn)計算機(jī)網(wǎng)絡(luò)是否被攻擊。若是發(fā)現(xiàn)計算機(jī)網(wǎng)絡(luò)具備被攻擊現(xiàn)象，則會運(yùn)用防火墻切斷網(wǎng)絡(luò)連接，對計算機(jī)網(wǎng)絡(luò)進(jìn)行保護(hù)。

2.2 計算機(jī)網(wǎng)絡(luò)防火墻技術(shù)的使用

什么是計算機(jī)網(wǎng)絡(luò)防火墻技術(shù)？簡單來說，防火墻技術(shù)是針對網(wǎng)絡(luò)危險因素而設(shè)置的保方式，其由軟件和硬件組合而成，主要起到保護(hù)屏障的作用。在現(xiàn)代，面對計算機(jī)網(wǎng)絡(luò)威脅因素，使用防火墻技術(shù)不僅可以通過軟件與硬件組成使用來達(dá)到保護(hù)計算機(jī)網(wǎng)絡(luò)的目的，還可以通過單獨(dú)使用軟件或者硬件來實現(xiàn)保護(hù)計算機(jī)的目的。防火墻技術(shù)根據(jù)用戶的個性化設(shè)置，對不屬于設(shè)定范圍內(nèi)數(shù)據(jù)進(jìn)行阻攔。

2.3 數(shù)據(jù)加密技術(shù)的使用

什么是計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)？簡而言之，數(shù)據(jù)加密技術(shù)是運(yùn)用密鑰匙和加密函數(shù)將一個信息轉(zhuǎn)換為密文。由此可知，計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基石。眾所周知，計算機(jī)網(wǎng)絡(luò)存在風(fēng)險的過程包括信息的傳輸和信息的存儲。在此時，使用數(shù)據(jù)加密技術(shù)則可以對網(wǎng)絡(luò)信息的安全起到保護(hù)作用。若是沒有使用數(shù)據(jù)加密技術(shù)，那么在傳輸和存儲信息時，一些機(jī)密信息尤其是國家的機(jī)密文件或者大型企業(yè)的機(jī)密文件則存在泄露的風(fēng)險。

2.4 訪問控制技術(shù)的使用

什么是訪問控制技術(shù)？訪問控制是一種限制其數(shù)據(jù)資源能力的手段，其主要目的是限制訪問主體，從而保護(hù)計算機(jī)網(wǎng)絡(luò)安全。在計算機(jī)網(wǎng)絡(luò)運(yùn)行過程中，如果使用訪問控制技術(shù)則會有效且合理地控制訪問客體，這樣則會降低網(wǎng)絡(luò)安全隱患。

3 計算機(jī)網(wǎng)絡(luò)管理技術(shù)的內(nèi)容是什么

3.1 計算機(jī)網(wǎng)絡(luò)故障管理技術(shù)

計算網(wǎng)絡(luò)故障管理內(nèi)涵是檢測計算網(wǎng)絡(luò)的故障所在，并為解決故障提供方案，為網(wǎng)絡(luò)的通常運(yùn)行提供保證。由此可知，故障管理技術(shù)是計算機(jī)網(wǎng)絡(luò)管理技術(shù)的基礎(chǔ)，是保證網(wǎng)絡(luò)環(huán)境通暢的核心技術(shù)。那么如何對網(wǎng)絡(luò)故障進(jìn)行管理呢，先要對網(wǎng)絡(luò)故障進(jìn)行分析，找出發(fā)生故障原因，隨后給出合理且便捷的解決方案，最后恢復(fù)網(wǎng)路。對網(wǎng)絡(luò)故障原因要進(jìn)行總結(jié)，尤其是比較嚴(yán)重的或者具備普遍性的網(wǎng)絡(luò)故障，應(yīng)該對其進(jìn)行總結(jié)，以便進(jìn)行經(jīng)驗分享，避免下次再發(fā)生類似故障。

3.2 計算網(wǎng)絡(luò)配置管理技術(shù)

計算機(jī)網(wǎng)絡(luò)配置管理技術(shù)的內(nèi)涵是通過網(wǎng)絡(luò)初始化實現(xiàn)對網(wǎng)絡(luò)的配置從而提供服務(wù)。網(wǎng)絡(luò)配置主要由監(jiān)視系統(tǒng)、辨別系統(tǒng)、定義系統(tǒng)和控制系統(tǒng)組成，通過這幾個系統(tǒng)合理配合工作來保證網(wǎng)絡(luò)配置功能的實現(xiàn)，進(jìn)而改善計算機(jī)網(wǎng)路性能。

3.3 計算機(jī)網(wǎng)絡(luò)性能管理技術(shù)

計算機(jī)網(wǎng)絡(luò)性能管理技術(shù)的內(nèi)涵是對計算機(jī)網(wǎng)絡(luò)進(jìn)行性能服務(wù)。通過這項技術(shù)可以實現(xiàn)對計算機(jī)網(wǎng)絡(luò)進(jìn)行非常有效的監(jiān)控和分析評估，借助分析評估結(jié)果對不完善處進(jìn)行改善，這對提供高質(zhì)量的網(wǎng)絡(luò)性能服務(wù)有重要的意義。

3.4 計算機(jī)網(wǎng)絡(luò)安全管理技術(shù)

現(xiàn)代計算機(jī)具備開放性和互動性的特點(diǎn)，這縮小各地之間的距離，使得信息傳播更加迅速，但是也為計算機(jī)網(wǎng)絡(luò)安全帶來了隱患。例如，一部分不法分子利用不同的手段對計算機(jī)網(wǎng)絡(luò)進(jìn)行侵犯，攻擊網(wǎng)絡(luò)資源。因此，通過計算機(jī)安全管理技術(shù)對計算機(jī)網(wǎng)絡(luò)實施安全保護(hù)有重要的意義。

4 結(jié)束語

總上文所述可知，計算機(jī)技術(shù)的發(fā)展，帶動了通訊技術(shù)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，這些技術(shù)的發(fā)展為社會的進(jìn)度、國家的發(fā)展做出了特殊的貢獻(xiàn)。但是，在使用計算機(jī)網(wǎng)絡(luò)的過程中，也存在諸多的安全隱患。因此對計算機(jī)網(wǎng)絡(luò)技術(shù)的構(gòu)建和安全維護(hù)的分析及研究非常必要。在上文中，筆者從計算機(jī)網(wǎng)絡(luò)技術(shù)存在隱患的原因、計算機(jī)網(wǎng)絡(luò)技術(shù)如何進(jìn)行安全維護(hù)和計算機(jī)網(wǎng)絡(luò)管理技術(shù)的內(nèi)容是什么等三個方面進(jìn)行分析和探究，希望對維護(hù)計算機(jī)網(wǎng)絡(luò)安全有所幫助和啟發(fā)。

參考文獻(xiàn)

[1]瞿小寧.路由與交換技術(shù)課程實踐教學(xué)的研究與實現(xiàn)[J].計算機(jī)光盤軟件與應(yīng)用，2011（24）.

[2]陳新華，孫雅妮.基于項目化教學(xué)法的路由交換技術(shù)課程實踐[J].價值工程，2013（32）.

[3]潘鋒.基于網(wǎng)站服務(wù)器的計算機(jī)安全維護(hù)研究[J].煤炭技術(shù)，2013，32（2）.

[4]鄭曉偉.計算機(jī)網(wǎng)絡(luò)安全隱患與應(yīng)急響應(yīng)技術(shù)研究[J].信息通信，2014（07）.

篇7

關(guān)鍵詞：內(nèi)容安全加速卡；特征匹配；正則表達(dá)式匹配

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）35-0013-04

經(jīng)過幾十年的飛速發(fā)展，互聯(lián)網(wǎng)已經(jīng)深入到社會的方方面面，對網(wǎng)絡(luò)內(nèi)容的監(jiān)控和管理成為當(dāng)今時代的必然要求，也是社會治安管理的重要保障?；诘讓泳W(wǎng)絡(luò)硬件設(shè)備，是確保網(wǎng)絡(luò)信息安全的重點(diǎn)，針對計算機(jī)協(xié)議中應(yīng)用層和網(wǎng)絡(luò)層的安全側(cè)羅，監(jiān)控和辨別網(wǎng)絡(luò)中傳遞的信息。深度包檢測技術(shù)，此技術(shù)是以應(yīng)用層流量檢測和控制技術(shù)為基礎(chǔ)的，一般用于網(wǎng)絡(luò)包不良內(nèi)容的檢測，通過深入讀取IP包載荷的內(nèi)容來對OSI七層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而得到整個應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對流量進(jìn)行整形操作，通過深度檢測報文內(nèi)容，可對網(wǎng)絡(luò)間的行為有更好的感知。匹配報文載荷與預(yù)定義的模式集合來實現(xiàn)報文內(nèi)容檢測。

正則表達(dá)式有很強(qiáng)的表示字符串的能力，因此基于正則表達(dá)式的特征匹配成為一個熱門的研究課題。例如，檢測入侵系統(tǒng)Snort[1]和Bro[2]的規(guī)則集都滿足基于正則表達(dá)式的描述規(guī)則，應(yīng)用于應(yīng)用層協(xié)議的識別系統(tǒng)L7-filter[2]也采用正則表達(dá)式的描述規(guī)則。對檢測入侵系統(tǒng)Snort的測試結(jié)果表明，特征匹配占用了整個系統(tǒng)超過30%的處理時間。以網(wǎng)絡(luò)應(yīng)用為主的網(wǎng)絡(luò)數(shù)據(jù)，特征匹配的占用系統(tǒng)時間則更長達(dá)80%[3]。因此，可以看出基于正則表達(dá)式的特征匹配很消耗計算資源的空間與時間。

隨著網(wǎng)絡(luò)數(shù)據(jù)飛速的增長，基于軟件算法的實現(xiàn)難以滿足高速網(wǎng)絡(luò)的性能要求，也難以縮減特征匹配的占用時間。目前的解決辦法就是設(shè)計專用網(wǎng)絡(luò)安全系統(tǒng)的內(nèi)容安全硬件才能有效實現(xiàn)特征匹配加速。基于FPGA方式的實現(xiàn)一般采用NFA。2001年，Sidhu R等[4]采用NFA 實現(xiàn)正則表達(dá)式匹配， 將正則表達(dá)式的表達(dá)式轉(zhuǎn)換為觸發(fā)器中與或門邏輯電路。在此基礎(chǔ)上，Sutton P等[5]做出了修改，應(yīng)用部分字符解碼的方式來優(yōu)化正則表達(dá)式的實現(xiàn)。文獻(xiàn)[6] 于2006年，通過減少NFA中重復(fù)多余的與門和狀態(tài)減少了50 %的FPGA資源。采用DFA方法實現(xiàn)的正則匹配通常采用存儲器，Kumar S等[7]采用對多個模式進(jìn)行分組的思想，每個分組分配單獨(dú)正則匹配引擎的方式可明@降低DFA 狀態(tài)轉(zhuǎn)移表的大小。Kumar S等[7，8]提出將DFA 中一個狀態(tài)的多條邊用單個缺省邊代替，引入輸入延遲的DFA（D2 FA）來減少邊的存儲空間的方法，并解決了一個字節(jié)多次訪存的問題，達(dá)到了提高DFA 的性能。

本文提出了構(gòu)建一個主從協(xié)同處理的特征匹配結(jié)構(gòu)模型，并且根據(jù)此模型設(shè)計并實現(xiàn)了一款內(nèi)容安全匹配加速卡，該加速卡通過PCI協(xié)議與主機(jī)通訊，采用Xilinx FPGA實現(xiàn)字符串匹配與正則表達(dá)式匹配，通過訪問SRAM/DDR存儲器讀取轉(zhuǎn)換規(guī)則進(jìn)行狀態(tài)切換。此模塊的使用，對硬件結(jié)構(gòu)在網(wǎng)絡(luò)安全系統(tǒng)中應(yīng)用時的系統(tǒng)修改大大降低了，數(shù)據(jù)交換效率改善效果明顯，系統(tǒng)整體性能得到提升，在實際系統(tǒng)中，提供了完整的硬件加速。

1相關(guān)工作

字符串和正則表達(dá)式兩種形式是筆者所研究的“特征”，而字符串只是正則表達(dá)式的另一種特殊形式。正則表達(dá)式是對字符串操作的一種邏輯公式，就是用事先定義好的一些特定字符、及這些特定字符的組合，組成一個“規(guī)則字符串”，這個“規(guī)則字符串”用來表達(dá)對字符串的一種過濾邏輯。

特征匹配就是查找輸入信息中是否存在特征集中某些特征的問題。其征集是以正則表達(dá)式的形式定義，輸入信息是文本格式，輸出匹配的結(jié)果。如圖1所示，本文設(shè)計了特征匹配操作。

圖1 特征匹配示意圖

特征匹配硬件結(jié)構(gòu)的研究可分成基于FPGA特征匹配結(jié)構(gòu)的研究和面向ASIC的特征匹配結(jié)構(gòu)研究兩大類，都應(yīng)用于入侵檢測和系統(tǒng)防御，這兩類方法的根本不同在于特征的存儲方式?；贔PGA的特征匹配結(jié)構(gòu)[9-11]的實現(xiàn)方式是使用FPGA內(nèi)部的邏輯單元來進(jìn)行特征匹配，F(xiàn)PGA的優(yōu)點(diǎn)在于具有很強(qiáng)的靈活性、執(zhí)行速度快、集成度比較高，而且方便重新配置，其明顯的不足是更新特征時要重新產(chǎn)生FPGA下載文件，難以滿足計算機(jī)網(wǎng)絡(luò)安全中頻繁更新特征的需求。ASIC的特點(diǎn)是面向特定用戶的需求，ASIC在批量生產(chǎn)時與通用集成電路相比具有體積更小、功耗更低、可靠性提高、性能提高、保密性增強(qiáng)、成本降低等優(yōu)點(diǎn)。面向ASIC的匹配特點(diǎn)是將特征通過軟件編譯器產(chǎn)成一個中間數(shù)據(jù)結(jié)構(gòu)，然后將其保存至外部存儲器中，通過訪問內(nèi)存判斷是否符合特征，該方式是用硬件電路來實現(xiàn)具體操作。

在計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)中采用專有內(nèi)容安全硬件結(jié)構(gòu)時，以IP 核、FPGA 或ASIC 的方式工作[12-15]是一般性的硬件結(jié)構(gòu)，研究有3種不同的方法： 第1種是采用主機(jī)和加速卡的工作模式，這也是本文采用的方法；第2種是采用主處理器和協(xié)處理器的運(yùn)行方式；第3種是內(nèi)處理器核與專用IP核共同工作模式。

筆者使用上述三種方案的第一種，在第一種方案中，主控方通用微處理器，在加速卡中實現(xiàn)特征匹配。加速卡與主控方通訊的方式，一般采用PCI（Peripheral Component Interconnect，部件互連總線）等標(biāo)準(zhǔn)接口協(xié)議。主控方和特征匹配分離，兩者之間相互不干擾，如有報文需要特征匹配，主控方只需調(diào)用加速卡提供的函數(shù)接口即可完成特征匹配，這是這種方案的優(yōu)點(diǎn)；缺點(diǎn)是模型受到標(biāo)準(zhǔn)接口協(xié)議的限制，而且實現(xiàn)較為復(fù)雜，性能不高。

2 主從協(xié)同處理模型

2.1 整體架構(gòu)

內(nèi)容安全加速卡的整體架構(gòu)如圖2所示，分為硬件部分和軟件部分兩大部分，軟件部分又虛線表示，包括特征集的提前處理、系統(tǒng)調(diào)用的接口函數(shù)和加速卡的驅(qū)動程序；實線部分是表示硬件部分，包括加速卡、存儲器，負(fù)責(zé)對數(shù)據(jù)進(jìn)行存儲以及特征匹配并輸出結(jié)果。

內(nèi)容安全匹配加速卡的工作流程如下：

（1）特征集集合經(jīng)過預(yù)處理之后，得到規(guī)則化的存儲文件

（2）主控方加載加速卡的驅(qū)動程序

（3）將特征匹配硬件邏輯通過電子設(shè)計自動化工具編譯成FPGA下d文件，并下載到FPGA中

（4）將具有初始化邏輯的存儲文件保存至存儲器，用于加速卡進(jìn)行匹配。

（5）主控方通過接口函數(shù)將測試數(shù)據(jù)送入加速卡，加速卡內(nèi)部的FPGA訪問外部存儲器，讀取轉(zhuǎn)換規(guī)則并進(jìn)行特征匹配，判斷是否匹配。

（6）匹配完成之后，由緩存區(qū)來保存輸出的結(jié)果，主控方通過接口函數(shù)取回匹配結(jié)果。

2.2 主從協(xié)同處理模型

通過研究特征匹配結(jié)構(gòu)的工作流程，很容易發(fā)現(xiàn)，主控方將等待匹配的信息傳送到輸入緩沖區(qū)，加速卡獲取信息后，開始進(jìn)行特征匹配，此時輸出緩沖區(qū)得到傳送來的匹配結(jié)果，最后通過接口函數(shù)到達(dá)主控方。這個過程中，主控方通過接口函數(shù)往輸入緩沖區(qū)傳遞等待匹配的信息和通過接口函數(shù)從輸出緩沖區(qū)取出匹配結(jié)果的過程中，主控方一直處于運(yùn)行狀態(tài)，加速卡處于閑置狀態(tài)。同樣，進(jìn)行特征匹配操作時，加速卡處于工作狀態(tài)，主控方處于閑置狀態(tài)。這整個過程類似于進(jìn)程上的串行執(zhí)行，主控方和加速卡無法同時工作，很大程度上浪費(fèi)資源，降低了系統(tǒng)的性能。

為了避免上述情況，文獻(xiàn)[16]提出雙流優(yōu)化模型，且對雙流化模型的性能進(jìn)行了測試與分析，證明了其方法的可行性。本文采用相同的方法，緩沖區(qū)A和B是采用兩套輸入/輸出來實現(xiàn)，圖3為具體運(yùn)行流程。主控方通過接口函數(shù)將等待匹配的數(shù)據(jù)送到輸入緩沖區(qū)A中，特征匹配結(jié)構(gòu)接收輸入緩沖區(qū)A的數(shù)據(jù)后，進(jìn)行特征匹配處理，同時主控方通過接口函數(shù)將等待匹配的新信息送到輸入緩沖區(qū)B中，特征匹配結(jié)構(gòu)處理完A數(shù)據(jù)后，送到輸出緩沖區(qū)A，接著處理輸入緩沖區(qū)B中的數(shù)據(jù)，同時主控方通過接口函數(shù)接收輸出緩沖區(qū)A中的匹配結(jié)果，緊接著主控方再次通過接口函數(shù)將等待匹配的信息送到輸入緩沖區(qū)A中，特征匹配結(jié)構(gòu)處理完輸入緩沖區(qū)的數(shù)據(jù)，送到輸出緩沖區(qū)B中，接著處理輸入緩沖區(qū)A中的數(shù)據(jù)，同時主控方接收輸出緩沖區(qū)B中的匹配結(jié)果。這樣循環(huán)運(yùn)行，能夠提高各個部分的運(yùn)行效率，減少各個部分的閑置時間，大幅度提高了系統(tǒng)性能。

對特征匹配相關(guān)信息研究表明，特征匹配的相關(guān)算法提供一個外部接口函數(shù)，首先整個系統(tǒng)對算法進(jìn)行初始化，產(chǎn)生相關(guān)的信息，接著在需要時候調(diào)用相關(guān)的函數(shù)，輸入等待匹配的信息，然后通過接口獲取匹配的結(jié)果。特征匹配硬件結(jié)構(gòu)的設(shè)計上需要最大可能地滿足與軟件算法的操作一致，如此能夠減少現(xiàn)有系統(tǒng)從軟件算法轉(zhuǎn)向硬件結(jié)構(gòu)時所需要做的修改。

結(jié)合雙輸入/輸出處理流程，本文將主從協(xié)同處理模型設(shè)計成如圖4所示，主要模塊為5個，分別為：（1）函數(shù)接口；（2）輸入輸出FIFO（First Input First Output， 先入先出隊列）；（3）數(shù)據(jù)交換控制單元；（4）輸入輸出緩沖區(qū)；（5）寄存器。以下分別為5個模塊的功能：完成數(shù)據(jù)交換，以及完成特征匹配結(jié)構(gòu)和主控方之間的信息傳輸和特征匹配功能。特征匹配硬件結(jié)構(gòu)一般有兩種不同工作模式，即初始化和匹配模式，下面具體介紹一下這兩種模式下的工作流程。

第一，初始化的狀態(tài)下：

（1）主控方將需配置的寄存器相關(guān)主控方信息，通過輸入輸出的接口函數(shù)，經(jīng)由數(shù)據(jù)交換控制單元，傳送到相應(yīng)寄存器，初始化特征匹配結(jié)構(gòu)的同時，將相應(yīng)的信息反饋給主控方；

（2）接著主控方再通過輸入輸出接口函數(shù)（FIFO）傳輸特征初始化的信息，數(shù)據(jù)交換控制單元將該信息傳輸?shù)较鄳?yīng)存儲位置，主控方得到相應(yīng)狀態(tài)信息的反饋，同時得到完成初始化操作的口令。

第二，匹配狀態(tài)下：

（1）主控方通過輸入輸出接口函數(shù)傳輸匹配狀態(tài)所需相關(guān)信息，接著通過數(shù)據(jù)交換控制單元將該信息傳輸?shù)较鄳?yīng)寄存器，特征匹配結(jié)構(gòu)轉(zhuǎn)換至匹配狀態(tài)，并將相關(guān)的狀態(tài)信息反饋給主控方；

（2）主控方在每輪的匹配操作過程中，首先需通過輸入輸出接口函數(shù)傳遞輸入數(shù)據(jù)需配置的寄存器內(nèi)容，數(shù)據(jù)交換控制單元將該信息傳送到相應(yīng)寄存器，然后再通過輸入輸出接口函數(shù)傳入等待匹配信息，經(jīng)過格式轉(zhuǎn)換將其傳送到輸入緩沖區(qū)中，特征匹配結(jié)構(gòu)對輸入緩沖區(qū)中數(shù)據(jù)進(jìn)行匹配，并將匹配結(jié)果通過輸入輸出端口傳送到輸出緩沖區(qū)中，并將處理完后的信息返回給主控方，主控方通過輸入輸出接口取走輸出緩沖區(qū)中匹配結(jié)果，最后主控方將輸出結(jié)果需配置的寄存器內(nèi)容傳輸進(jìn)來，數(shù)據(jù)交換控制單元將其傳輸?shù)较鄳?yīng)寄存器，這樣就完成了本輪測試信息的特征匹配。連續(xù)進(jìn)行1 次或多次循環(huán)，直到所有等待匹配的信息都匹配完。

3 設(shè)計實現(xiàn)

3.1實現(xiàn)方案

在主從協(xié)同處理的特征匹配結(jié)構(gòu)模型基礎(chǔ)上，內(nèi)容安全加速卡的設(shè)計和實施，為針對網(wǎng)絡(luò)安全系統(tǒng)的硬件特征匹配提供了良好的解決方式。圖5為加速卡硬件結(jié)構(gòu)設(shè)計，主要包括：（1）FPGA硬件模塊：負(fù)責(zé)實現(xiàn)硬件特征匹配功能，存儲模塊存儲狀態(tài)機(jī)轉(zhuǎn)換規(guī)則；（2）PCI接口：PCI總線負(fù)責(zé)特征匹配結(jié)構(gòu)與主控方的數(shù)據(jù)通訊；（3）存儲部分。

系統(tǒng)工作時，主控方將信息通過PCI傳輸?shù)郊铀倏?，采用DMA 方式傳輸數(shù)據(jù)，信息經(jīng)過FPGA處理完畢之后，傳送中斷請求到主控方，中斷請求被響應(yīng)后，主控方取回匹配結(jié)果。

3.2 加速卡實現(xiàn)

加速卡采用PCI 9054接口芯片，它提供2個獨(dú)立的可編程DMA控制器，可以通過編程實現(xiàn)多種數(shù)據(jù)寬度，傳輸速度可達(dá)1Gbit/s（ 32bit* 33MHz），并使用先進(jìn)的數(shù)據(jù)管道結(jié)構(gòu)技術(shù)。加速卡采用2種存儲器，分別是靜態(tài)存儲器和雙倍速率同步動態(tài)隨機(jī)存儲器（DDR），靜態(tài)存儲器選用CY7C1461AV33。內(nèi)存芯片顆粒DDR動態(tài)存儲器采用2. 5 V工作電壓，允許在時鐘脈沖的上升沿和下降沿傳輸數(shù)據(jù)，在不需提高時鐘頻率的條件下加倍提高訪問速度，本加速卡選用MT46V32 M16P內(nèi)存芯片顆粒，單片大小為512Mbit。表1展示了加速卡的主要部件。

4 結(jié)束語

面對大數(shù)據(jù)量下的信息檢測，軟件算法的特征匹配無法正常滿足需求，也無法滿足數(shù)據(jù)處理的速度要求，所以使用專用硬件實現(xiàn)特征匹配加速。本文提出了基于主從協(xié)同處理模式的硬件特征匹配結(jié)構(gòu)，并對特征匹配的工作流程進(jìn)行了改進(jìn)，采用文獻(xiàn)[16]的雙流優(yōu)化模型，提高硬件特征匹配的處理性能，減少數(shù)據(jù)交換帶來的性能下降。特征結(jié)構(gòu)是處于被動模式，需要主控方通過初始化設(shè)置和待匹配數(shù)據(jù)進(jìn)行控制特征匹配硬件結(jié)構(gòu)的I/O操作、初始化和系統(tǒng)結(jié)束等操作。本文最終設(shè)計和實現(xiàn)了一款內(nèi)容安全加速卡，通過PCI協(xié)議與主控方通訊，在FPGA上實現(xiàn)硬件特征匹配。

參考文獻(xiàn)：

[1]SNORT Network Intrusion Detection System [EB/OL]. [ 2007-05-18] http：//.

[2] Bro Intrusion Detection System [EB /OL] . [ 2007-03-15] .http：// .

[3] Roesch M. Snort： lightweight intrusion detection for networks [C]//Proc of the 1999 USENIX LISA Systems Administration Conference，1999.

[4]Sidhu R， Pras anna V K .Fast Regular Expression Matching using FPGAs[ C] //Proc of the 9 th Annual IEEE Symp on FCCM， 2001：227-238 .

[5] Sutton P， Partial Character Decoding f or Improved Regular Expression Matching in FPGAs[ C] //Proc of IEEE Int' lConf on Field-Programmable Technology ， 2004 ：25-32 .

[6] Katashita T .Highly Efficient String Matching Circuit for IDS with FPGA[C] //Proc of the 14th Annual IEEE Symp on FCCM ， 2006 ：285-286 .

[7] Kumar S， Dharmapurikar S ， Fang Yu ， Algorithms to Accelerate Multiple Regular Expressions Matching for Deep Packet Inspect ion[ C] //Proc of S IGCOMM' 06 ， 2006 ：11-15.

[8] Kumar S， Turner J ， Williams J .Advanced Algorithms for Fast and Scalable Deep Packet Inspection [C]// Proc of ANCS' 06， 2006 ：81-92.

[9] Sourdis I， Pnevmatikaos D. Fast， large-scale string matching for a 10Gbps FPGA-based network intrusion detection system [C] //The 13th International Conference on Field Programmable Logic and Applications， FPL 03 Lisbon， Portugal：[s.n.]， 2003.

[10] Baker Z K， Prasanna V K. High-throughput linked-pattern matching for intrusion detection systems [C] //The 1st Symposium on Architecture for Networking and Communications Systems， ANCS’ 05 Princeton， New Jersey， USA：[s.n.]， 2005：193-202.

[11] Katashita T， Maeda A， Toda K， et al. Highly efficient string matching circuit for IDS with FPGA [C] //The 14th Annual IEEE Symposium on Field-Programmable Custom Computing Machines. FCCM06， 2006：285-286.

[12] LIANG Heling， LI Shuguo. Design of an Internet security protocol acceleration card with pci and usb dual interface [J].Microelectronics and Computer， 2009，26（2） ：155-162.

[13] Zhang Peiheng， Liu Xinchun， Jiang Xianyang. An implementation of reconfigurable computing accelerator card oriented bioinformatics [J].Journal of Computer Research and Development， 2005， 42（6）： 930-937.

[14] DUAN Bo， WANG Wendi， ZHANG Chunming， et al. A computing accelerate platform based on reconfigurable data-path [C] // Proceeding of the 15th National Conference on Computer Engineering and Technology and the 2nd Microprocessor Forum.

篇8

關(guān)鍵詞：網(wǎng)絡(luò)工程；安全系統(tǒng)；構(gòu)建

計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)共同發(fā)展為人們的生活、工作帶來了一定的便捷，網(wǎng)絡(luò)的資源非常廣泛，同時也使網(wǎng)絡(luò)安全受到威脅。網(wǎng)絡(luò)在傳輸信息的過程中，如果沒有對網(wǎng)絡(luò)安全進(jìn)行全面保護(hù)，將會引起信息丟失、被篡改的可能，同時對傳輸也造成一定障礙。

1 網(wǎng)絡(luò)工程中的安全隱患因素

1.1 互聯(lián)網(wǎng)安全隱患

互聯(lián)網(wǎng)具有開放性和自由性，這種網(wǎng)絡(luò)的連接過程將面臨更加嚴(yán)重的危險。如果在連接互聯(lián)網(wǎng)過程時沒有進(jìn)行有效安全防護(hù)措施，容易受到各方來自互聯(lián)網(wǎng)的攻擊，通過程序漏洞、木馬等對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行篡改和泄漏[1]。攻擊者還會通過網(wǎng)絡(luò)監(jiān)聽等各種不同的非法手段對網(wǎng)絡(luò)傳輸信息造成危險，會利用合法的身份冒充用戶進(jìn)行登錄，而對信息進(jìn)行盜取和更改，同時也會利用計算機(jī)技術(shù)的復(fù)制功能對網(wǎng)絡(luò)數(shù)據(jù)的復(fù)制粘貼，使整個網(wǎng)絡(luò)服務(wù)器處于超負(fù)荷工作運(yùn)行狀態(tài)，甚至導(dǎo)致網(wǎng)絡(luò)工程的信息系統(tǒng)癱瘓[2]。

1.2 局域網(wǎng)的安全隱患

局域網(wǎng)的連接是指局域網(wǎng)內(nèi)的計算機(jī)通過網(wǎng)上鄰居進(jìn)行連接，而管理者的登錄指令泄漏給其他使用用戶，外部人員會通過登錄方式進(jìn)入到數(shù)據(jù)庫中對數(shù)據(jù)進(jìn)行篡改和盜取，這些都會給局域網(wǎng)內(nèi)造成十分嚴(yán)重的危害，也會有計算機(jī)病毒和漏洞代碼入侵造成網(wǎng)絡(luò)安全危機(jī)，因為局域網(wǎng)中通常對網(wǎng)絡(luò)沒有進(jìn)行防護(hù)措施，容易在使用程序過程中，更新或者修復(fù)補(bǔ)丁的同時，沒有對病毒入侵做到實質(zhì)的阻擋，這容易產(chǎn)生很多寄生軟件，這些寄生軟件部分也屬于木馬病毒，從而對計算機(jī)內(nèi)的數(shù)據(jù)進(jìn)行修改，再將自身的寄生文件輸入到計算機(jī)內(nèi)，嚴(yán)重危害到了計算機(jī)的安全和網(wǎng)絡(luò)安全[3]。

2 網(wǎng)絡(luò)工程的安全保護(hù)措施

2.1 局域網(wǎng)的安全防護(hù)

網(wǎng)絡(luò)工程中的局域網(wǎng)用途較為廣泛，需要在建立局域網(wǎng)的同時使用防火前對其進(jìn)行安全保護(hù)，防火墻的主要功能是利用網(wǎng)絡(luò)隔離的方式將局域網(wǎng)與外部互聯(lián)網(wǎng)相隔離。防火墻的設(shè)置也可以說是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的橋梁，能夠?qū)ν獠烤W(wǎng)絡(luò)中的信息進(jìn)行分析、處理和篩選、過濾，防止了沒有授權(quán)的訪問直接進(jìn)入到局域網(wǎng)，有效保證了局域網(wǎng)的信息資源[4]。

防火墻的設(shè)置也可以是局域網(wǎng)和未知信任公共網(wǎng)絡(luò)的一個安全過渡過程。防火墻能夠根據(jù)對內(nèi)部局域網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間進(jìn)行信息監(jiān)控，保證了內(nèi)部網(wǎng)絡(luò)工作的安全性。防火墻具有雙重系統(tǒng)結(jié)構(gòu)，這種結(jié)構(gòu)具有借助兩個或者多個的信息結(jié)構(gòu)為信息傳輸設(shè)備，能夠從一個數(shù)據(jù)地址發(fā)送到另一個數(shù)據(jù)地址，實現(xiàn)數(shù)據(jù)包的IP傳輸。防火墻的控制能夠在進(jìn)行IP傳輸?shù)倪^程中防止數(shù)據(jù)外泄，外部的公共互聯(lián)網(wǎng)通過防火墻和內(nèi)部網(wǎng)絡(luò)進(jìn)行過濾和篩選控制，當(dāng)主機(jī)存在危險時，防火墻通過路由器將內(nèi)部局域網(wǎng)和外部公共網(wǎng)絡(luò)相隔離。防火墻負(fù)責(zé)數(shù)據(jù)包的過濾，在過濾過程中能夠?qū)⒌卿浻脩暨M(jìn)行直接連接，而不必通過服務(wù)器和局域網(wǎng)。在連接過程中，任何一個外部網(wǎng)絡(luò)程序訪問內(nèi)部局域網(wǎng)的同時，都需要通過登錄來連接主機(jī)，而主機(jī)的防火墻設(shè)置級別最高。數(shù)據(jù)包的過濾過程中要保持主機(jī)連接的狀態(tài)，對于允許可以連接的狀態(tài)需要進(jìn)行站點(diǎn)的安全保護(hù)，而主機(jī)在這種連接中如果認(rèn)為不會產(chǎn)生危險時，才能夠通過防火墻將內(nèi)部局域網(wǎng)絡(luò)連接到外部互聯(lián)網(wǎng)。

隨著網(wǎng)絡(luò)和計算機(jī)的不斷發(fā)展，在網(wǎng)絡(luò)工程的安全建設(shè)方面還需要進(jìn)一步提升建設(shè)水平，采取先進(jìn)的安全網(wǎng)絡(luò)保護(hù)系統(tǒng)，從靜態(tài)和動態(tài)兩方面對網(wǎng)絡(luò)工程進(jìn)行保護(hù)，建立起全面的網(wǎng)絡(luò)防御系統(tǒng)，提高網(wǎng)絡(luò)運(yùn)行的安全系數(shù)，這便對網(wǎng)絡(luò)工程的管理和建設(shè)人員提出了更高要求，因此，網(wǎng)絡(luò)工程的相關(guān)人員需要對網(wǎng)絡(luò)進(jìn)行不斷的學(xué)習(xí)，借鑒國外的安全保護(hù)措施，建立起能夠提升效率的網(wǎng)絡(luò)安全運(yùn)行機(jī)制，并對此機(jī)制進(jìn)行不斷的完善，使網(wǎng)絡(luò)傳輸能夠更加的安全可靠[5]。

3 結(jié)論

綜上所述，網(wǎng)絡(luò)工程的安全性直接影響了網(wǎng)絡(luò)的信息傳輸和計算機(jī)的安全。因此，對于網(wǎng)絡(luò)的安全隱患因素需要進(jìn)行系統(tǒng)的分析。文中分析，影響網(wǎng)絡(luò)的安全因素在于外部公共互聯(lián)網(wǎng)的病毒和程序的惡意代碼；內(nèi)部局域網(wǎng)絡(luò)的危險因素在于非法登陸和信息篡改、盜取等行為，而針對這兩點(diǎn)危險，文中作出詳細(xì)的分析，提出建議性防護(hù)措施。對外部互聯(lián)網(wǎng)進(jìn)行防護(hù)，防止惡意軟件攻擊，對互聯(lián)網(wǎng)產(chǎn)生超負(fù)荷工作，對傳輸?shù)臄?shù)據(jù)也進(jìn)行保護(hù)；對內(nèi)部局域網(wǎng)通過防火墻的設(shè)置進(jìn)行連接時的過濾和篩選，對未授權(quán)程序入侵進(jìn)行隔離等方法，保證了網(wǎng)絡(luò)工程的安全性和數(shù)據(jù)傳輸?shù)姆€(wěn)定性。

[參考文獻(xiàn)]

[1]李海江.基于網(wǎng)絡(luò)的工程設(shè)計與有限元分析系統(tǒng)的面向?qū)ο髽?gòu)建[D].大連理工大學(xué)，2003.

[2]秦庭榮.海運(yùn)綜合安全評估集成性方法（MIAM-FSA）構(gòu)建及其應(yīng)用研究[D].上海海事大學(xué)，2008.

[3]左紅艷.地下金屬礦山開采安全機(jī)理辨析及災(zāi)害智能預(yù)測研究[D].中南大學(xué)，2012.

篇9

隨著企業(yè)數(shù)量的不斷增多，企業(yè)各自的網(wǎng)站管理及瀏覽量也都面對著嚴(yán)峻的考驗，而其中網(wǎng)絡(luò)安全方面更引起了社會的強(qiáng)烈關(guān)注，因此，構(gòu)建企業(yè)網(wǎng)絡(luò)信息安全體系成為當(dāng)務(wù)之急，尋找一些安全有效的途徑勢在必行。

1 挖掘網(wǎng)絡(luò)科技人才，增強(qiáng)企業(yè)網(wǎng)絡(luò)信息加密防護(hù)

企業(yè)大幅增加導(dǎo)致大量的網(wǎng)站逐漸增多，而來自不同環(huán)境中的瀏覽次數(shù)也在不斷攀升，這些都會對企業(yè)網(wǎng)絡(luò)信息安全造成一定的影響，輕者導(dǎo)致網(wǎng)絡(luò)系統(tǒng)失常，重者促使整個公司的網(wǎng)絡(luò)崩潰，一些重要的信息外泄，后果不堪設(shè)想。因此，杜絕企業(yè)網(wǎng)絡(luò)信息的流失才是根本之道，這也就需要大量的網(wǎng)絡(luò)科技人才，通過網(wǎng)絡(luò)編程與內(nèi)容編輯等各種方法增強(qiáng)企業(yè)網(wǎng)絡(luò)信息加密防護(hù)。

大量的網(wǎng)絡(luò)科技人才通過一套完整的信息編程加密措施，能夠保證企業(yè)網(wǎng)站在大量的瀏覽量下，幾乎不會感染病毒木馬，同時保證整個公司的網(wǎng)絡(luò)應(yīng)用順暢快捷。一些新的技術(shù)出現(xiàn)，其背后都存在團(tuán)隊的巨大付出，因此整個網(wǎng)絡(luò)科技團(tuán)隊的質(zhì)量也是企業(yè)網(wǎng)絡(luò)信息安全體系建立的關(guān)鍵因素，是整個公司網(wǎng)絡(luò)安全保障的基石。我們也可以仿效銀行網(wǎng)站的管理方式，雖然企業(yè)網(wǎng)站的瀏覽量不及銀行網(wǎng)站，或者企業(yè)網(wǎng)站的應(yīng)用性更狹窄一些，但是我們在企業(yè)網(wǎng)站的制作中加入銀行網(wǎng)站的幾個安全特性，這樣也會鞏固整個企業(yè)網(wǎng)絡(luò)安全屏障。企業(yè)網(wǎng)站也具備一定的注冊和登錄功能，此處我們就可以仿效銀行網(wǎng)站，在登錄時針對每個用戶實習(xí)密碼加密，這樣就會避免木馬等通過鍵盤痕跡等盜走用戶密碼，從而進(jìn)一步導(dǎo)致公司信息遭受重創(chuàng)的現(xiàn)象。

2 企業(yè)內(nèi)部人員對網(wǎng)站的不斷更新升級

目前，我國很多企業(yè)存在一個很嚴(yán)重的問題，企業(yè)網(wǎng)站建成后基本上就不怎么用，只將其當(dāng)成一項業(yè)務(wù)完成，而沒有對其以后的持續(xù)管理及更新升級產(chǎn)生重視，置之不理。這種做法是極其錯誤的，企業(yè)網(wǎng)站的一個最大的作用就是宣傳，讓廣大客戶群體能夠?qū)ζ髽I(yè)有一個充分的認(rèn)識，及時把握公司的一些新的信息動態(tài)。大多數(shù)企業(yè)的這種針對企業(yè)網(wǎng)站置之不理的行為，不但對自身的發(fā)展制造了障礙，對整個社會的網(wǎng)絡(luò)體系也構(gòu)成了污染，網(wǎng)站發(fā)揮不到應(yīng)有的作用，還占有域名，讓一些想通過網(wǎng)站大量宣傳自己的企業(yè)不能申請。這些現(xiàn)象都應(yīng)該引起國家有關(guān)網(wǎng)絡(luò)管理部門和企業(yè)內(nèi)部人員的重視，積極提出建議及正確做法，做到企業(yè)網(wǎng)絡(luò)信息的不斷更新與升級，這樣才會保證網(wǎng)站的永久創(chuàng)新，也減少了安全信息危害的危險。

當(dāng)然，現(xiàn)在很多企業(yè)已經(jīng)成立了網(wǎng)絡(luò)部門，目的就是針對網(wǎng)絡(luò)速度和安全威脅方面提高警惕，采取措施積極阻止。企業(yè)內(nèi)部人員在網(wǎng)站管理方面不但要有一定的理論知識外，更要將其應(yīng)用與實踐，達(dá)到兩者之間的巧妙結(jié)合。純網(wǎng)站技術(shù)人員還需要積極參與到整個公司的輪崗經(jīng)驗實習(xí)過程中，了解其他部門的工作事項及內(nèi)容，全面學(xué)習(xí)網(wǎng)站編輯工作，促使真?zhèn)€公司的近期動態(tài)呈現(xiàn)在網(wǎng)站上面，這樣可以保證客戶群體明晰企業(yè)的發(fā)展動態(tài)，也做到了對客戶負(fù)責(zé)任的目的。企業(yè)內(nèi)部員工應(yīng)力求保證積極的心態(tài)，參與到企業(yè)網(wǎng)站建設(shè)當(dāng)中去，針對各自部門的安全信息一定要加密防護(hù)，防止外泄，保證網(wǎng)站建設(shè)順利進(jìn)行的同時，公司的工作狀態(tài)及安全信息也能夠妥當(dāng)處置，對公司內(nèi)部和外部的客戶群體都有一個很好的交代，促進(jìn)整個企業(yè)的發(fā)展順利向前。

篇10

關(guān)鍵詞 虛擬局域網(wǎng)；校園網(wǎng)絡(luò)；安全體系

中圖分類號TP39 文獻(xiàn)標(biāo)識碼A 文章編號 1674-6708（2013）83-0202-02

1 網(wǎng)絡(luò)安全體系的定義

通常情況下，為了能夠保證校園網(wǎng)絡(luò)運(yùn)行的安全穩(wěn)定，校園網(wǎng)的大部分?jǐn)?shù)據(jù)資源都只允許在內(nèi)部中完成訪問。例如校園網(wǎng)絡(luò)的OA系統(tǒng)、校內(nèi)郵件系統(tǒng)等等，這些系統(tǒng)的訪問和使用都必須在校園網(wǎng)內(nèi)部操作，嚴(yán)重制約了教師、學(xué)生在個人家庭中通過訪問校園網(wǎng)來收取學(xué)校通知、查看個人成績、瀏覽校園新聞等功能。如果校園網(wǎng)內(nèi)部應(yīng)用服務(wù)器一旦發(fā)生了故障，如果專業(yè)管理人員此時也沒有在學(xué)校時，就無法完成對校園網(wǎng)的維護(hù)操作，如果部分教師由于需要出差完成科研交流等工作時，也無法查看關(guān)于科研項目的校內(nèi)數(shù)據(jù)資源。

網(wǎng)絡(luò)安全體系指的是一套完整的計劃設(shè)計，主要包括能夠為網(wǎng)絡(luò)用戶提供安全穩(wěn)定的服務(wù)；能夠保證網(wǎng)絡(luò)中所有系統(tǒng)的正常運(yùn)行服務(wù)；對網(wǎng)絡(luò)中系統(tǒng)的安全級別提出要求并完成設(shè)置。一套完整的網(wǎng)絡(luò)安全體系中的必備設(shè)計原則有數(shù)據(jù)傳輸安全、計算機(jī)系統(tǒng)安全、網(wǎng)絡(luò)用戶安全、網(wǎng)絡(luò)管理安全、物理架構(gòu)安全等等，既要能夠?qū)阂獾耐饨缛肭中袨檫M(jìn)行制止，還要能夠同時應(yīng)對網(wǎng)絡(luò)中的其他安全威脅。

2 虛擬局域網(wǎng)關(guān)鍵技術(shù)

2.1用戶認(rèn)證技術(shù)

虛擬局域網(wǎng)中的用戶身份核實確認(rèn)大部分都是通過用戶認(rèn)證技術(shù)實現(xiàn)的，對系統(tǒng)用戶進(jìn)行相應(yīng)授權(quán)之后能夠保證控制訪問資源。一般情況下，網(wǎng)絡(luò)認(rèn)證協(xié)議采用的都是報文摘要技術(shù)，主要是用于驗證數(shù)據(jù)信息的完整性和對用戶身份進(jìn)行認(rèn)證，通過利用哈希（HASH）函數(shù)將數(shù)據(jù)報文的長度進(jìn)行一系列變換，使其能夠成為固定長度的報文摘要，但是由于哈希函數(shù)自身的特性又難以在不同的報文信息中將報文摘要變換成固定長度。

2.2數(shù)據(jù)加密技術(shù)

虛擬局域網(wǎng)數(shù)據(jù)傳輸?shù)倪^程中主要應(yīng)用的是數(shù)據(jù)加密技術(shù)，來實現(xiàn)對數(shù)據(jù)的偽裝和隱藏。但是，如果在傳輸?shù)倪^程中數(shù)據(jù)信息經(jīng)過互聯(lián)網(wǎng)產(chǎn)生了安全威脅，那么即使已經(jīng)通過了用戶認(rèn)證，也不能保證數(shù)據(jù)信息的安全傳輸。因此，在網(wǎng)絡(luò)發(fā)送端應(yīng)該將用戶認(rèn)證進(jìn)行加密之后再完成數(shù)據(jù)信息的傳輸，在網(wǎng)絡(luò)接收端通過用戶認(rèn)證之后再對數(shù)據(jù)信息進(jìn)行解密。密鑰類型主要包括對稱加密和非對稱加密兩種，在實際應(yīng)用中大多數(shù)采用的都是對稱加密措施，如果是機(jī)密數(shù)據(jù)信息則采取公鑰加密技術(shù)。

2.3訪問控制技術(shù)

訪問控制技術(shù)主要是對用戶是否能夠?qū)ο到y(tǒng)發(fā)起訪問進(jìn)行控制，運(yùn)行具有相應(yīng)授權(quán)的用戶訪問系統(tǒng)資源，對沒有授權(quán)的用戶對系統(tǒng)資源發(fā)起訪問和獲取時立刻進(jìn)行阻止。

3 校園網(wǎng)絡(luò)安全體系設(shè)計

本文設(shè)計提出的基于虛擬局域網(wǎng)技術(shù)的校園網(wǎng)絡(luò)安全體系設(shè)計方案主要是為了解決某高校老校區(qū)與新校區(qū)之間信息互通、資源共享、專網(wǎng)整合的問題，由此構(gòu)建出一條專用的虛擬局域網(wǎng)安全通道，從而保證這些重要數(shù)據(jù)資源能夠在校園網(wǎng)中安全穩(wěn)定地傳輸。

3.1系統(tǒng)設(shè)計原則

1）安全保障

虛擬局域網(wǎng)系統(tǒng)的重要職能就是保證網(wǎng)絡(luò)的安全穩(wěn)定，以及在互聯(lián)網(wǎng)傳輸過程中數(shù)據(jù)信息的安全可靠，因此，虛擬局域網(wǎng)系統(tǒng)的安全保證必須包括用戶身份認(rèn)證、數(shù)據(jù)信息保密和數(shù)據(jù)信息完整。

2）多平臺兼容

虛擬局域網(wǎng)系統(tǒng)的關(guān)鍵功能就是要保證用戶不受時間和地域的限制對系統(tǒng)資源發(fā)起訪問，以及當(dāng)用戶進(jìn)行移動辦公時要保證網(wǎng)絡(luò)連接的安全可靠。

3）訪問控制權(quán)限

校園網(wǎng)的虛擬局域網(wǎng)系統(tǒng)主要是為多個應(yīng)用程序提供保護(hù)的，因此要設(shè)置不同的用戶訪問控制策略，使得擁有不同權(quán)限的用戶能夠訪問相應(yīng)的系統(tǒng)資源。

4）平臺管理簡潔

虛擬局域網(wǎng)服務(wù)器應(yīng)該為用戶和系統(tǒng)管理員提供良好的應(yīng)用管理操作界面，在方便用戶對系統(tǒng)資源進(jìn)行訪問操作的同時，還要保證系統(tǒng)管理員的安全維護(hù)操作簡單便捷，更要為服務(wù)器與用戶之間的通問、安全日志等做好記錄。

3.2系統(tǒng)功能模型

根據(jù)校園網(wǎng)絡(luò)的實際安全需求和虛擬局域網(wǎng)系統(tǒng)的設(shè)計原則，虛擬局域網(wǎng)系統(tǒng)的功能模型主要包括用戶身份認(rèn)證模塊、數(shù)據(jù)傳輸模塊、訪問控制模塊和系統(tǒng)管理模塊。

1）用戶身份認(rèn)證模塊

虛擬局域網(wǎng)系統(tǒng)客戶端通過采取數(shù)字證書的認(rèn)證方式對用戶身份進(jìn)行核實；服務(wù)器對系統(tǒng)客戶端進(jìn)行認(rèn)證時需要采取不同的認(rèn)證方法，如果用戶通過遠(yuǎn)程網(wǎng)絡(luò)連接到虛擬局域網(wǎng)中，服務(wù)器則采用用戶名+密碼的認(rèn)證方式對用戶合法身份進(jìn)行識別，在校園網(wǎng)內(nèi)部則采取數(shù)字證書的方式對用戶身份進(jìn)行識別。

2）數(shù)據(jù)傳輸模塊

數(shù)據(jù)傳輸模塊的主要功能是采取相應(yīng)加密算法對數(shù)據(jù)進(jìn)行加密之后傳輸給接收方，以及對接收到的數(shù)據(jù)進(jìn)行解密。

3）訪問控制模塊

訪問控制模塊主要是根據(jù)已經(jīng)設(shè)置完成的訪問控制策略來控制系統(tǒng)中的資源是否能夠被用戶進(jìn)行訪問和操作。

4）系統(tǒng)管理模塊

系統(tǒng)管理模塊主要負(fù)責(zé)對虛擬局域網(wǎng)系統(tǒng)服務(wù)器的日常服務(wù)信息進(jìn)行記錄，包括訪問日期、訪問時間、網(wǎng)絡(luò)使用情況等等，并生成對應(yīng)的日志報告。

3.3系統(tǒng)詳細(xì)設(shè)計

本文提出的基于虛擬局域網(wǎng)技術(shù)的校園內(nèi)部網(wǎng)設(shè)計方案如圖1所示。

學(xué)校的新校區(qū)和老校區(qū)之間通過采用虛擬局域網(wǎng)技術(shù)，建立起一道校園內(nèi)部虛擬局域網(wǎng)通道，將新校區(qū)與老校區(qū)利用光纖實現(xiàn)網(wǎng)絡(luò)連接，將網(wǎng)絡(luò)的出口端設(shè)置在新校區(qū)。校園網(wǎng)中的財務(wù)管理系統(tǒng)、人事管理系統(tǒng)和一卡通管理系統(tǒng)都需要通過同一個鏈路與新校區(qū)進(jìn)行連接，因此，我們采用虛擬局域網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對鏈路進(jìn)行數(shù)據(jù)加密，從而保證通過這條鏈路傳輸?shù)臄?shù)據(jù)能夠安全可靠。

校園網(wǎng)中的一般用戶的訪問控制策略安全級別的設(shè)置可以相對較低，一般用戶安全級別如果設(shè)置過高則會耗費(fèi)大量的系統(tǒng)資源，造成無法訪問或網(wǎng)絡(luò)癱瘓的情況出現(xiàn)。對于校園網(wǎng)中的財務(wù)管理部門、人事管理部門和后勤服務(wù)部門來說，應(yīng)該采取兩層架構(gòu)隔離的方法接入到校園網(wǎng)中，再通過內(nèi)部網(wǎng)關(guān)協(xié)議與核心交換機(jī)連接，從而保證在新校區(qū)與老校區(qū)之間實現(xiàn)數(shù)據(jù)加密傳輸。

4結(jié)論

綜上所述，本文從校園網(wǎng)實際需求角度出發(fā)，將虛擬局域網(wǎng)技術(shù)應(yīng)用到校園網(wǎng)建設(shè)當(dāng)中，提出了一套校園網(wǎng)絡(luò)安全體系設(shè)計方案，能夠有效保證新校區(qū)與老校區(qū)之間的數(shù)據(jù)通信、數(shù)據(jù)共享和數(shù)據(jù)整合安全，具有較強(qiáng)的理論指導(dǎo)意義。

參考文獻(xiàn)