導(dǎo)語(yǔ)：如何才能寫好一篇網(wǎng)絡(luò)安全的構(gòu)建，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞電力系統(tǒng)網(wǎng)絡(luò)安全

Abstract：Along with the advancement of reform, the Chinese power industry formed the factory, nets separation and grid by region of the new pattern. And the development of the computer network technology for power management and scheduling of provide for the advanced service and support for the electric power means, new business (such as electric power market applications, electric power marketing business, etc.) that will provide the conditions. From the state power company to subordinate the power subsidiaries are information network in advance of work, based on the various business applications, such as electric power management, enterprise information management ERP, financial information management, etc.) is gradually developed.

加強(qiáng)電力系統(tǒng)網(wǎng)絡(luò)安全的意義：

電力行業(yè)是技術(shù)密集和裝備密集型產(chǎn)業(yè)，其獨(dú)特的生產(chǎn)與經(jīng)營(yíng)方式?jīng)Q定了其信息化發(fā)展的模式。通過(guò)信息化渠道開展電力業(yè)務(wù)，具有便捷、實(shí)時(shí)的巨大優(yōu)勢(shì)，但是非法用戶的訪問(wèn)、內(nèi)部人員的操作失誤、信息傳遞的失誤等問(wèn)題也相伴而來(lái)，尤其各變電站要實(shí)現(xiàn)少人或無(wú)人值守以提高生產(chǎn)效益，安全的信息技術(shù)勢(shì)必要大規(guī)模地運(yùn)用到電力行業(yè)中。而且，隨著電力調(diào)度業(yè)務(wù)、電力市場(chǎng)業(yè)務(wù)等越來(lái)越廣泛地開展，電力企業(yè)網(wǎng)和Internet的聯(lián)系也越來(lái)越緊密，而網(wǎng)絡(luò)的自由性和不安全性則會(huì)給電力企業(yè)安全運(yùn)行帶來(lái)越來(lái)越嚴(yán)重的隱患，并且有可能對(duì)電力業(yè)務(wù)造成極大的破壞。為躲避潛在的計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)，使網(wǎng)絡(luò)系統(tǒng)能夠安全及高效運(yùn)行，就必須保證網(wǎng)絡(luò)安全，系統(tǒng)安全，同時(shí)還要兼顧系統(tǒng)的高效和通暢。當(dāng)前，我們必須把安全問(wèn)題作為網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)優(yōu)化的關(guān)鍵來(lái)抓，建立一套完整的、符合實(shí)際應(yīng)用的、高性價(jià)比的信息安全機(jī)制。因此可以說(shuō)，過(guò)去十年電力信息技術(shù)的發(fā)展主要是致力于如何實(shí)現(xiàn)互聯(lián)，而未來(lái)十年電力信息技術(shù)的發(fā)展將側(cè)重于安全防護(hù)。

我國(guó)電力網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀：

在電力信息化建設(shè)的推動(dòng)下，我國(guó)電力行業(yè)的電網(wǎng)管理水平、企業(yè)管理水平、發(fā)電生產(chǎn)管理信息化水平、電力規(guī)劃設(shè)計(jì)等能力

都得到了顯著提高。但是由于對(duì)網(wǎng)絡(luò)化認(rèn)識(shí)上的誤區(qū)，部分電力企業(yè)認(rèn)為搞網(wǎng)絡(luò)化主要就是買機(jī)器、建網(wǎng)絡(luò)。近幾年，電力企業(yè)雖然加大了網(wǎng)絡(luò)信息化的投入，但是將資金主要用在了硬件設(shè)備的購(gòu)置上，相應(yīng)的軟件系統(tǒng)的投入?yún)s明顯不夠，認(rèn)為硬件設(shè)施是有形的固定資產(chǎn)，而軟件卻是無(wú)形的，價(jià)值不容易度量，表現(xiàn)出一定程度的“重硬輕軟”情結(jié)。這種做法的結(jié)果是硬件設(shè)施脫離了軟件系統(tǒng)，從而硬件也發(fā)揮不出應(yīng)有的作用。對(duì)網(wǎng)絡(luò)安全也缺乏統(tǒng)一長(zhǎng)遠(yuǎn)的規(guī)劃，電力網(wǎng)絡(luò)中還缺乏諸多的安全隱患。

目前的主要問(wèn)題是:

①缺乏統(tǒng)一的信息安全管理規(guī)范:電力系統(tǒng)急需一套統(tǒng)一、完善的能夠用于指導(dǎo)整個(gè)電力系統(tǒng)信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范。

②電力職工的網(wǎng)絡(luò)安全意識(shí)有待提高:隨著信息技術(shù)高速發(fā)展，信息安全策略和技術(shù)取得了非常大的進(jìn)步，但是我們目前的認(rèn)識(shí)與實(shí)際差距較大，對(duì)新出現(xiàn)的信息安全問(wèn)題認(rèn)識(shí)不足。

③需要建立一套適合電力企業(yè)其自身特點(diǎn)的信息安全體系:電力信息網(wǎng)絡(luò)應(yīng)用可分為四大類:管理信息類、生產(chǎn)控制類、話音視頻類、經(jīng)營(yíng)類，以確保實(shí)時(shí)電力網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

總之，在網(wǎng)絡(luò)安全問(wèn)題上不斷的存在攻與防的一對(duì)矛盾，他們此消彼漲、此漲彼消，在相互斗爭(zhēng)中不斷發(fā)展。但是，電力企業(yè)信息網(wǎng)絡(luò)這樣一個(gè)年輕的又特殊的網(wǎng)絡(luò)來(lái)說(shuō)，又其特殊性，同時(shí)它所面臨的安全威脅是比較嚴(yán)重的，稍有不慎，就有可能對(duì)電力安全生產(chǎn)造成影響，進(jìn)而影響國(guó)家經(jīng)濟(jì)和百姓的日常生活。但反過(guò)來(lái)說(shuō)我們可以應(yīng)對(duì)的手段也是十分先進(jìn)的，包括先進(jìn)的企業(yè)版防火墻、先進(jìn)的密碼編碼方式和算法等都可以有效防御，只要應(yīng)對(duì)得當(dāng)，足以有效保護(hù)電力系統(tǒng)信息網(wǎng)絡(luò)安全，保障電力生產(chǎn)經(jīng)營(yíng)活動(dòng)的安全。

加強(qiáng)電力系統(tǒng)網(wǎng)絡(luò)安全的措施：

應(yīng)該說(shuō)，網(wǎng)絡(luò)上的安全威脅，在擁有先進(jìn)手段的前提下，對(duì)于網(wǎng)絡(luò)安全問(wèn)題來(lái)說(shuō)最重要的應(yīng)該是網(wǎng)絡(luò)安全思想，可以說(shuō)有好的安全思想可以避免絕大多數(shù)的安全問(wèn)題，所以安全思想意識(shí)應(yīng)放在網(wǎng)絡(luò)安全的首要位置。在將來(lái)我們可以采用更加先進(jìn)的網(wǎng)絡(luò)安全體系架構(gòu)、密碼算法、防火墻、工DS和病毒防治軟件等來(lái)保衛(wèi)電力系統(tǒng)的信息安全。比如那些技術(shù)層次上安全措施更為重要的是有一套良好的安全制度和安全思想，它們才是確保系統(tǒng)安全的根本。

有以下的幾點(diǎn)安全建議，它們也是我們平時(shí)最容易忽視的安全漏洞:

1、科學(xué)安全的設(shè)置和保管密碼。密碼安全可以說(shuō)是網(wǎng)絡(luò)安全中最為重要的。一旦密碼被泄漏，非法用戶可以很輕易的進(jìn)入你的系統(tǒng)。由于窮舉軟件的流行，對(duì)密碼的要求最少要10位，一般用戶的密碼要求最少要8位，并且應(yīng)該有英文字母大小寫以及數(shù)字和其他符號(hào)進(jìn)行不規(guī)則的設(shè)置。同時(shí)不要選取如生日、名字等熟悉的信息作為密碼。

2、加強(qiáng)人員的安全意識(shí)和管理。思想意識(shí)松懈造成的系統(tǒng)隱患要遠(yuǎn)大于系統(tǒng)自身的漏洞。將不知是否有病毒的軟盤隨意的插入計(jì)算機(jī)中、不當(dāng)?shù)脑O(shè)置密碼、將密碼寫下來(lái)或存入計(jì)算機(jī)的文件中、長(zhǎng)期不改密碼、隨意的從網(wǎng)上下載不明文件或內(nèi)部合法用戶本身的非法活動(dòng)等都給企業(yè)信息網(wǎng)絡(luò)帶來(lái)最大的威脅。

3、實(shí)時(shí)的監(jiān)控網(wǎng)絡(luò)端口和節(jié)點(diǎn)的信息流向，定期對(duì)企業(yè)信息網(wǎng)絡(luò)進(jìn)行安全檢查、日志審計(jì)和病毒掃描，對(duì)相關(guān)重要數(shù)據(jù)進(jìn)行備份以及在全網(wǎng)絡(luò)范圍內(nèi)建立一套科學(xué)的安全管理體系同樣對(duì)企業(yè)信息網(wǎng)絡(luò)的安全運(yùn)行有著很重要的意義。

4、合理配置防火墻在水電站 MIS 系統(tǒng)與 Internet 的邊界應(yīng)安裝防火墻裝置，并實(shí)施相控制。另外，如果對(duì)外網(wǎng)提供信息查詢等服務(wù)，就要為訪問(wèn)關(guān)鍵服務(wù)器提供控制手段。建議將對(duì)外公開服務(wù)器集合起來(lái)劃分為一個(gè)專門的服務(wù)器子網(wǎng)，設(shè)置專用的防火墻來(lái)控制外來(lái)的訪問(wèn)。利用防火墻技術(shù)，經(jīng)過(guò)仔細(xì)的配置，通常能夠在內(nèi)網(wǎng)和外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)。

參考文獻(xiàn)：

篇2

關(guān)鍵詞 高校圖書館；網(wǎng)絡(luò)構(gòu)建；安全保障；體系構(gòu)建

中圖分類號(hào)G251 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2014）123-0209-02

所謂高校圖書館網(wǎng)絡(luò)安全，是指網(wǎng)絡(luò)上的信息安全即為數(shù)據(jù)處理系統(tǒng)建立以及其在技術(shù)和管理方面所采取的安全保護(hù)措施，從而在增強(qiáng)高校圖書管內(nèi)部資源密集度、關(guān)聯(lián)緊密性、層次先進(jìn)性的基礎(chǔ)上，保障計(jì)算機(jī)軟件、硬件和數(shù)據(jù)等資源不因受到偶然或者人為的原因，而遭到破壞、損傷和外泄。因此，在高校圖書館網(wǎng)絡(luò)安全體系構(gòu)建過(guò)程中，教師應(yīng)在完善原有網(wǎng)絡(luò)安全的基礎(chǔ)上，及時(shí)更新、提升圖書管理系統(tǒng)，從而確保圖書網(wǎng)絡(luò)安全體系的穩(wěn)定性、層次性和科學(xué)性。

1高校圖書館網(wǎng)絡(luò)安全問(wèn)題的主要體現(xiàn)

1.1管理不完善，人為攻擊防御性低

眾所周知，高校圖書館網(wǎng)絡(luò)資源是向本校學(xué)生或經(jīng)授權(quán)的人群開放的一個(gè)知識(shí)儲(chǔ)備量大、信息量廣、更新及時(shí)的數(shù)字化信息系統(tǒng)。由于高校圖書館網(wǎng)絡(luò)是基于電子信息技術(shù)而存在的信息反應(yīng)，其在存儲(chǔ)媒體、傳輸通道、反饋信息等方面就存在著信息密閉性不完善、密碼組合簡(jiǎn)單等漏洞，這為一些人為的竊取型攻擊提供了可乘之機(jī)。此外，由于高校圖書網(wǎng)絡(luò)系統(tǒng)多用于學(xué)校的教學(xué)、科研等方面，其在管理手段、管理方式、管理層次等方面是相對(duì)寬松的，這也暴露了網(wǎng)絡(luò)信息系統(tǒng)脆弱性、開放性和易受攻擊性。

此外，由于使用圖書館網(wǎng)絡(luò)的大部分是學(xué)生，很多學(xué)生在畢業(yè)后就無(wú)法享受學(xué)校圖書館網(wǎng)絡(luò)系統(tǒng)帶來(lái)的便利性、快捷性，當(dāng)其需要查詢資料、開展學(xué)習(xí)時(shí)，通常會(huì)借助校園內(nèi)學(xué)弟學(xué)妹的IP地址，來(lái)攻擊學(xué)校圖書館內(nèi)網(wǎng)系統(tǒng)。由于學(xué)校圖書館網(wǎng)絡(luò)系統(tǒng)對(duì)于他們來(lái)說(shuō)曾經(jīng)是內(nèi)網(wǎng)，其對(duì)學(xué)校圖書館網(wǎng)絡(luò)系統(tǒng)的運(yùn)行特點(diǎn)、運(yùn)行時(shí)段和運(yùn)行規(guī)律等有較為充足的把握。

1.2構(gòu)建系統(tǒng)存在漏洞，易感染病毒

計(jì)算機(jī)網(wǎng)絡(luò)病毒，是一種具有自我復(fù)制性能力的程序。其具有較強(qiáng)的破壞性、傳播性和潛伏性，因此，其在擴(kuò)散層面、控制難度和傳播速度上也存在著破壞力強(qiáng)、傳染性高、潛伏性高等特點(diǎn)，其可能通過(guò)存儲(chǔ)介質(zhì)受 到網(wǎng)絡(luò)上的攻擊，如：電子郵件、木馬病毒、惡意網(wǎng)頁(yè)、網(wǎng)絡(luò)下載等，這些隱蔽性強(qiáng)、分散性高的網(wǎng)絡(luò)病毒，很容易使得原本就脆弱的高校圖書館網(wǎng)絡(luò)安全系統(tǒng)崩盤。

此外，由于學(xué)生是高校圖書館網(wǎng)絡(luò)體系的主要使用者，其攜帶工具的健康與否也直接關(guān)系到了圖書館網(wǎng)絡(luò)安全體系的健康與否。眾所周知，學(xué)生在使用圖書館網(wǎng)絡(luò)時(shí)，通常會(huì)采用插U盤下載資料、采用云上傳等方式來(lái)保留住自己需要的資料。由于學(xué)生的U盤可能在網(wǎng)吧、論壇等地方下載過(guò)資料，U盤自身存在著潛伏的病毒，當(dāng)學(xué)生無(wú)意中將U盤插入學(xué)校圖書館的電腦時(shí)，病毒可能會(huì)隨之進(jìn)入到圖書館網(wǎng)絡(luò)系統(tǒng)中，并在某種條件的激發(fā)爆發(fā)出其危害性。

2高校圖書館網(wǎng)絡(luò)安全體系的構(gòu)建措施

2.1加強(qiáng)安全意識(shí)，提高加密措施

在很多高校中，由于圖書館員的安全意識(shí)淡薄，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)故障頻發(fā)。因此，在高校圖書館網(wǎng)絡(luò)安全體系的構(gòu)建過(guò)程中，加強(qiáng)管理人員的網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)風(fēng)險(xiǎn)防治技能，是提高高校圖書館網(wǎng)絡(luò)安全體系的前提和基礎(chǔ)。因此，在高校圖書館網(wǎng)絡(luò)安全體系構(gòu)建實(shí)踐中，高校應(yīng)對(duì)管理員在業(yè)務(wù)素養(yǎng)、網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全防御措施等方面的培訓(xùn)和提升，從而在網(wǎng)絡(luò)安全體系出現(xiàn)問(wèn)題時(shí)，圖書管理員能做到臨危不亂、有理有節(jié)的開展網(wǎng)絡(luò)防治工作。

此外，高校還應(yīng)從圖書館網(wǎng)絡(luò)安全體系自身做起，加強(qiáng)其對(duì)非限定范圍內(nèi)的信息的甄別能力、阻止能力和排除能力，確保圖書館信息在網(wǎng)絡(luò)傳輸過(guò)程中被惡意篡改、截獲和假冒。與此同時(shí)，高?？梢詮臄?shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)下載等方面入手，來(lái)提升高校圖書館的網(wǎng)絡(luò)安全系數(shù)，從而在完善網(wǎng)絡(luò)系統(tǒng)嚴(yán)密性、層次性和完善性的同時(shí)，來(lái)提高高校圖書館網(wǎng)絡(luò)安全的層次、檔次和系數(shù)。

2.2提高病毒防范性，提高安全檢測(cè)系統(tǒng)

毋容置疑，從源頭上，提高對(duì)病毒的預(yù)防措施，是提高網(wǎng)絡(luò)安全系數(shù)的前提和基礎(chǔ)。由此可見(jiàn)，在高校圖書館網(wǎng)絡(luò)安全體系構(gòu)建中，高校應(yīng)順應(yīng)網(wǎng)絡(luò)系統(tǒng)發(fā)展的趨勢(shì)、形勢(shì)和動(dòng)態(tài)，選取一些專業(yè)的反病毒軟件，來(lái)預(yù)防、阻止病毒的繁殖、傳染和發(fā)作。同時(shí)，高級(jí)的網(wǎng)絡(luò)安全檢測(cè)系統(tǒng)也會(huì)為移動(dòng)存儲(chǔ)介質(zhì)的使用、來(lái)歷不明的新軟件檢測(cè)、病毒防治等方面，發(fā)揮著不可替代的作用，利用網(wǎng)絡(luò)安全系統(tǒng)，可以從源頭上減少、杜絕不良病毒的發(fā)生、發(fā)散和擴(kuò)張。

設(shè)置網(wǎng)絡(luò)安全檢測(cè)系統(tǒng)，安裝服務(wù)包和補(bǔ)丁程度，以針對(duì)來(lái)自內(nèi)部用戶的惡意攻擊。并結(jié)合評(píng)估效果，對(duì)高校圖書館的網(wǎng)絡(luò)安全體系做出適當(dāng)?shù)男扪a(bǔ)、提升和改進(jìn)措施。同時(shí)，同時(shí)，充分利用各軟件的安全機(jī)制來(lái)減少內(nèi)部網(wǎng)絡(luò)用戶利用系統(tǒng)漏洞實(shí)施攻擊的機(jī)會(huì)，盡可能剔除一切潛在性的網(wǎng)絡(luò)風(fēng)險(xiǎn)和危害。具體運(yùn)行過(guò)程如下圖所示：

安全評(píng)估――檢測(cè)病毒是否存在――發(fā)現(xiàn)問(wèn)題----排除程度――未發(fā)現(xiàn)問(wèn)題――進(jìn)行安全評(píng)估――評(píng)估系數(shù)低――修補(bǔ)程序――再次評(píng)估。

這種層次分明、區(qū)別對(duì)待的網(wǎng)絡(luò)安全體系構(gòu)建，不僅能有效提升和完善高校圖書館網(wǎng)絡(luò)安全體系，同時(shí)也為圖書館網(wǎng)絡(luò)體系自身反攻擊、反病毒提供了良好的途徑。

3結(jié)論

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)一直處在不斷變化、發(fā)展的階段。因此，在高校圖書館網(wǎng)絡(luò)安全體系構(gòu)建中，高校應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)安全問(wèn)題嚴(yán)重性和緊迫性等方面的考量，在加強(qiáng)對(duì)在職人員的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)的同時(shí)，緊跟時(shí)代潮流積極研究網(wǎng)絡(luò)安全體系中出現(xiàn)的新問(wèn)題、新情況，從而在不斷完善、加強(qiáng)自身網(wǎng)絡(luò)安全體系建設(shè)的同時(shí)，提升對(duì)網(wǎng)絡(luò)病毒、人為破壞的抵抗力和反擊

能力。

參考文獻(xiàn)

篇3

關(guān)鍵詞： 計(jì)算機(jī)網(wǎng)絡(luò)安全 構(gòu)建策略 防護(hù)體系

計(jì)算機(jī)網(wǎng)絡(luò)從進(jìn)入生活起，我們就漸漸離不開它帶來(lái)的便利。隨著對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴性越來(lái)越強(qiáng)，大量信息存儲(chǔ)在網(wǎng)絡(luò)中，因此，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅不容忽視。一旦網(wǎng)絡(luò)安全出現(xiàn)問(wèn)題，若不妥善解決，則不僅會(huì)影響計(jì)算機(jī)技術(shù)的進(jìn)步，還會(huì)對(duì)我國(guó)建設(shè)產(chǎn)生一定的影響。

1.計(jì)算機(jī)網(wǎng)絡(luò)安全體系概述

在分析計(jì)算機(jī)網(wǎng)絡(luò)安全前，首先要對(duì)網(wǎng)絡(luò)信息安全有一定的了解。信息安全主要指對(duì)數(shù)據(jù)處理系統(tǒng)和相關(guān)技術(shù)、管理的防護(hù)，防止計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)遭到偶然或惡意的入侵，以免儲(chǔ)存在計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)被顯露、破壞、更改。如果要建立良好的計(jì)算機(jī)網(wǎng)絡(luò)安全體系，則不僅要保護(hù)計(jì)算機(jī)的信息安全，還要保護(hù)相關(guān)設(shè)備，保證計(jì)算機(jī)信息系統(tǒng)的安全。

2.計(jì)算機(jī)網(wǎng)絡(luò)凈化安全防護(hù)體系組成

2.1防火墻建設(shè)

防火墻是一種形象的比喻，不是真的墻，而是被保護(hù)的網(wǎng)絡(luò)的入門關(guān)卡。因特網(wǎng)存在一定的風(fēng)險(xiǎn)區(qū)域，防火墻能起到隔離作用，以此增強(qiáng)內(nèi)部的網(wǎng)絡(luò)安全。防火墻有網(wǎng)絡(luò)級(jí)別和應(yīng)用級(jí)別兩種。網(wǎng)絡(luò)級(jí)別的防火墻主要是對(duì)數(shù)據(jù)包中的信息（端口、目標(biāo)地址、源地址等）與規(guī)則表進(jìn)行對(duì)比。在防火墻系統(tǒng)中設(shè)置了許多規(guī)則用以判斷是否允許包的通過(guò)。還有一種應(yīng)用級(jí)別的防火墻，也就是服務(wù)器。服務(wù)器主要根據(jù)IP地址禁止外部訪問(wèn)，如果內(nèi)部人員對(duì)外部進(jìn)行訪問(wèn)，則無(wú)法阻止。應(yīng)用級(jí)防火墻主要阻隔內(nèi)外的數(shù)據(jù)交換，如果要交換，則必須通過(guò)服務(wù)器，由其完成。

防火墻有硬件、軟件兩種。上述為硬件防火墻，它通過(guò)硬件、軟件兩種方式隔離。雖然它的隔離效果好，但是價(jià)格比較昂貴，一般個(gè)人和規(guī)模較小的企業(yè)難以承擔(dān)。軟件防火墻則通過(guò)應(yīng)用程序達(dá)到隔離目的，雖然價(jià)格比較便宜，但是只有限制訪問(wèn)這一項(xiàng)功能?，F(xiàn)在軟件防火墻有很多種，可以根據(jù)使用配置加以選擇。

2.2入侵檢測(cè)系統(tǒng)（IDS）的架設(shè)

入侵檢測(cè)用來(lái)監(jiān)督監(jiān)測(cè)網(wǎng)絡(luò)系統(tǒng)中有無(wú)違背計(jì)算機(jī)制定的安全策略或危及系統(tǒng)安全的攻擊。入侵檢測(cè)系統(tǒng)是一種被動(dòng)的檢測(cè)，但是有存在的必要。設(shè)置時(shí)，入侵檢測(cè)系統(tǒng)被放置在防火墻后，用于監(jiān)測(cè)通過(guò)防火墻之后所有的包，捕捉這些包內(nèi)的信息是否存在危險(xiǎn)或惡意動(dòng)作。入侵檢測(cè)系統(tǒng)因?yàn)闄z測(cè)、記錄的信息比較龐大，所以制定的規(guī)則需要符合入侵檢測(cè)系統(tǒng)的配置。規(guī)則制定好后，入侵檢測(cè)系統(tǒng)篩選網(wǎng)卡到網(wǎng)線上的流量，及時(shí)發(fā)出警告。入侵檢測(cè)系統(tǒng)的安全管理通過(guò)識(shí)別攻擊進(jìn)行響應(yīng)，提高計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系的完整性。

2.3防病毒系統(tǒng)

對(duì)病毒的防護(hù)主要使用病毒防護(hù)軟件。病毒的防護(hù)有針對(duì)單機(jī)系統(tǒng)的和針對(duì)網(wǎng)絡(luò)系統(tǒng)的。單擊系統(tǒng)的病毒防護(hù)注重保護(hù)本地計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)信息，而網(wǎng)絡(luò)系統(tǒng)的病毒防護(hù)注重保護(hù)網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)信息。病毒防護(hù)軟件建立一個(gè)保護(hù)機(jī)制，通過(guò)實(shí)時(shí)監(jiān)測(cè)蠕蟲、病毒和后門程序，及時(shí)更新病毒庫(kù)，以檢測(cè)、清除計(jì)算機(jī)網(wǎng)絡(luò)中的惡意代碼，達(dá)到檢測(cè)、預(yù)防、清除病毒的目的。

3.計(jì)算機(jī)網(wǎng)絡(luò)凈化安全防護(hù)體系的構(gòu)建

建立安全防護(hù)體系首先要有一個(gè)安全策略，要考慮初期建設(shè)網(wǎng)絡(luò)時(shí)的問(wèn)題。設(shè)置用戶權(quán)限是第一步，這種方式能夠保證計(jì)算機(jī)系統(tǒng)的內(nèi)部、外部用戶對(duì)系統(tǒng)的訪問(wèn)在安全策略的要求內(nèi)，對(duì)用戶的訪問(wèn)進(jìn)行控制和限制。加密技術(shù)是對(duì)系統(tǒng)內(nèi)資源的保護(hù)，保護(hù)系統(tǒng)資源的完整性和保密性。加密技術(shù)通過(guò)一定的運(yùn)算規(guī)則進(jìn)行密文和明文轉(zhuǎn)換，目前使用VPN（虛擬專用網(wǎng)）這個(gè)通道保護(hù)數(shù)據(jù)傳遞過(guò)程中的安全。但是，也要考慮安全策略被破壞的狀況。如計(jì)算機(jī)系統(tǒng)并沒(méi)有安裝保護(hù)系統(tǒng)的軟件（防火墻、防病毒軟件），而是使用了點(diǎn)對(duì)點(diǎn)的數(shù)據(jù)傳輸方式（Napster、BT等）與即時(shí)消息軟件等，這些是系統(tǒng)中的安全隱患。因此，安裝病毒防護(hù)軟件和開啟系統(tǒng)防火墻是強(qiáng)制性的，必要時(shí)卸載點(diǎn)對(duì)點(diǎn)的軟件和其他漏洞軟件。

主機(jī)系統(tǒng)的配置是建立一個(gè)安全的操作平臺(tái)。在使用操作系統(tǒng)的過(guò)程中，注意是否存在漏洞。為防止漏洞出現(xiàn)，要時(shí)常進(jìn)行系統(tǒng)補(bǔ)丁或使用其他方式修補(bǔ)漏洞。特別在無(wú)線網(wǎng)絡(luò)系統(tǒng)中，必須開啟加密功能，并設(shè)置最高級(jí)別，注意時(shí)常更改密碼。

4.結(jié)語(yǔ)

由于全球化腳步的不斷加快，許多資源信息存儲(chǔ)在計(jì)算機(jī)網(wǎng)絡(luò)中，因此加強(qiáng)網(wǎng)絡(luò)安全、設(shè)置保護(hù)屏障是必不可少的。防火墻、入侵檢測(cè)系統(tǒng)、防病毒軟件是計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系的基礎(chǔ)，加上良好的安全策略則是相對(duì)安全的方式。信息技術(shù)不斷更新，防護(hù)系統(tǒng)也需跟進(jìn)，以防黑客等的攻擊。

參考文獻(xiàn)：

篇4

關(guān)鍵詞：技術(shù) 管理 法規(guī) 網(wǎng)絡(luò)信息安全

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2013）02-0178-02

1 網(wǎng)絡(luò)信息安全現(xiàn)狀

今年10月份“網(wǎng)絡(luò)空間國(guó)際會(huì)議”在匈牙利閉幕，“網(wǎng)絡(luò)空間”繼倫敦會(huì)議后，再一次作為全球焦點(diǎn)被世界多國(guó)研究討論，會(huì)議最終呼吁各國(guó)在構(gòu)建安全的網(wǎng)絡(luò)空間方面進(jìn)行合作。由此可見(jiàn)網(wǎng)絡(luò)空間的安全問(wèn)題已成為世界多個(gè)國(guó)家普遍存在且需全球協(xié)作的共性問(wèn)題。互聯(lián)網(wǎng)自誕生之日起就將世界聯(lián)系成為一體，經(jīng)過(guò)30多年的發(fā)展，網(wǎng)絡(luò)技術(shù)在促進(jìn)經(jīng)濟(jì)繁榮、科技進(jìn)步、思想傳播等方面改變著人們的生產(chǎn)和生活方式，并逐漸的滲透到人類生存的各個(gè)環(huán)節(jié)中，各國(guó)政府也高度依賴由網(wǎng)絡(luò)聯(lián)結(jié)的政務(wù)、電力、交通、能源、通信、航空、金融、傳媒、軍事等“關(guān)鍵基礎(chǔ)設(shè)施”，實(shí)施經(jīng)濟(jì)治理和社會(huì)管理，網(wǎng)絡(luò)已成為國(guó)家政治、經(jīng)濟(jì)和軍事的戰(zhàn)略支點(diǎn)。但與此協(xié)同的安全問(wèn)題卻沒(méi)有跟上網(wǎng)絡(luò)發(fā)展的步伐，在日益普及的網(wǎng)絡(luò)應(yīng)用空間中，安全問(wèn)題已成為21世紀(jì)世界面臨的嚴(yán)重挑戰(zhàn)。

我國(guó)互聯(lián)網(wǎng)起步較晚，但發(fā)展速度十分驚人。據(jù)2012年7月中國(guó)互聯(lián)網(wǎng)信息中心的數(shù)據(jù)顯示，我國(guó)的網(wǎng)民數(shù)量已達(dá)到5.38億，其中低學(xué)歷人群增長(zhǎng)較為明顯；互聯(lián)網(wǎng)普及率為39.9%，其中農(nóng)村人口占到51.8%；IPv6地址數(shù)達(dá)12499塊/32，躍居全球第三。同時(shí)，根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的數(shù)據(jù)，2011年境外有近4.7萬(wàn)個(gè)IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器，控制我國(guó)境內(nèi)近890萬(wàn)臺(tái)主機(jī)，近3000個(gè)政府網(wǎng)站被篡改。日益龐大的網(wǎng)絡(luò)空間和終端用戶的低安全性造成我國(guó)網(wǎng)絡(luò)空間的安全問(wèn)題更顯突出。

2 技術(shù)、管理、法規(guī)安全機(jī)制主要內(nèi)容

網(wǎng)絡(luò)與信息安全機(jī)制的研究從網(wǎng)絡(luò)產(chǎn)生時(shí)就一直沒(méi)有間斷過(guò)，它與網(wǎng)絡(luò)技術(shù)的發(fā)展息息相關(guān)。當(dāng)前網(wǎng)絡(luò)與信息的安全機(jī)制主要有：加密機(jī)制、安全認(rèn)證機(jī)制、訪問(wèn)控制機(jī)制、完整性機(jī)制、不可否認(rèn)機(jī)制、公證機(jī)制和路由控制機(jī)制等。結(jié)合安全機(jī)制產(chǎn)生的網(wǎng)絡(luò)信息安全服務(wù)也基本涵蓋了應(yīng)用領(lǐng)域的各個(gè)方面[1]。但是這些防范技術(shù)總是很難和安全管理有效的結(jié)合，或者說(shuō)是用技術(shù)實(shí)現(xiàn)管理的執(zhí)行力不強(qiáng)。究其原因，我覺(jué)得是在技術(shù)和管理之間缺少一個(gè)強(qiáng)有力的約束框架，為此我們?cè)诰W(wǎng)絡(luò)信息安全“技術(shù)+管理”的模式中，獨(dú)立出一個(gè)法規(guī)標(biāo)準(zhǔn)，提出了技術(shù)、管理、法規(guī)三維一體的網(wǎng)絡(luò)信息安全體系，以技術(shù)為基礎(chǔ)，用法規(guī)作保障，實(shí)現(xiàn)網(wǎng)絡(luò)空間的自主管理。如圖一所示：

（1）技術(shù)機(jī)制：網(wǎng)絡(luò)與信息安全機(jī)制采取在國(guó)家網(wǎng)絡(luò)空間盡遠(yuǎn)端保護(hù)，中間處保障，核心端強(qiáng)調(diào)可生存性的三級(jí)安全防護(hù)措施。1）盡遠(yuǎn)端保護(hù)采取常規(guī)的安全措施，劃分明確的網(wǎng)絡(luò)空間邊界，利用加密、認(rèn)證、訪問(wèn)控制等技術(shù)手段，在網(wǎng)絡(luò)空間邊界上阻止非法入侵，達(dá)到信息安全的目的。在盡遠(yuǎn)端保護(hù)中要著力解決兩個(gè)難題：一是網(wǎng)絡(luò)空間邊界不像陸、海、空、天等實(shí)體一樣，有清晰明確的邊界線，這就需要安全防護(hù)措施能夠根據(jù)自主識(shí)別動(dòng)態(tài)變化的敵我雙方邊界，合理有效的實(shí)施安全防護(hù)；二是網(wǎng)絡(luò)和信息領(lǐng)域的攻擊手段和技術(shù)發(fā)展很快，各種保護(hù)措施需保證跟的上敵對(duì)方的發(fā)展速度，及時(shí)地調(diào)整安全防護(hù)機(jī)制。2）中間處安全保障采取以入侵檢測(cè)技術(shù)為核心，以恢復(fù)技術(shù)為后盾的入侵檢測(cè)恢復(fù)機(jī)制。該機(jī)制融合保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)四大技術(shù)，通過(guò)對(duì)網(wǎng)絡(luò)流量或主機(jī)運(yùn)行狀態(tài)的檢測(cè)來(lái)發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)空間攻擊及破壞行為，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息空間狀態(tài)的動(dòng)態(tài)檢測(cè)，并對(duì)各種惡意的入侵行為做出響應(yīng)。在實(shí)施入侵檢測(cè)機(jī)制時(shí)，要能夠快速有效的分辨出攻擊行為，以便后續(xù)響應(yīng)措施的實(shí)施，另外還要能夠及時(shí)的恢復(fù)網(wǎng)絡(luò)和信息到攻擊前的正常狀態(tài)。3）核心端生存性技術(shù)是指在國(guó)家網(wǎng)絡(luò)空間核心處受到攻擊或意外事故發(fā)生時(shí)，在限定時(shí)間內(nèi)恢復(fù)到正常狀態(tài)的能力。這里主要關(guān)注的是“容忍”技術(shù)，即入侵或故障發(fā)生時(shí)，網(wǎng)絡(luò)空間仍可以正常工作，在后續(xù)的時(shí)間內(nèi)逐漸的排除故障，確保核心端數(shù)據(jù)的完整性、機(jī)密性和可用性[2][3]。容忍概念的提出到現(xiàn)在經(jīng)歷了從容忍錯(cuò)誤到容忍入侵的過(guò)渡，但是目前應(yīng)用還很少，特別是國(guó)內(nèi)，理論研究多而實(shí)際項(xiàng)目少，在下一步的網(wǎng)絡(luò)信息安全技術(shù)中，應(yīng)加大發(fā)展力度。4）安全防護(hù)設(shè)備信息融合機(jī)制。當(dāng)前存在有防火墻、入侵檢測(cè)、漏洞掃描等各自獨(dú)立的安全防護(hù)設(shè)備，彼此間信息不能共享。而在現(xiàn)實(shí)中，各個(gè)安全防護(hù)設(shè)備的信息可以互相利用，甚至有時(shí)候還可以成為對(duì)方的核心數(shù)據(jù)。因此，要建立防護(hù)設(shè)備信息融合機(jī)制，將攻擊信息有效整合起來(lái)，實(shí)現(xiàn)信息的充分利用。

（2）管理機(jī)制：網(wǎng)絡(luò)信息安全常說(shuō)的一句話是“三分技術(shù)，七分管理”。的確是這樣，再完美的防范技術(shù)，如果沒(méi)有很好的執(zhí)行和落實(shí)，到最后也發(fā)揮不了作用。這里我們提出的管理機(jī)制，不僅有網(wǎng)絡(luò)空間維護(hù)人員的管理，還有對(duì)眾多網(wǎng)絡(luò)空間使用人員的管理。1）末端宣傳教育機(jī)制。加大網(wǎng)絡(luò)空間安全意識(shí)的宣傳力度，普及安全使用網(wǎng)絡(luò)的基礎(chǔ)知識(shí)，在一些機(jī)關(guān)或企事業(yè)單位，適當(dāng)?shù)拈_展網(wǎng)絡(luò)信息安全的培訓(xùn)，提升我國(guó)眾多網(wǎng)民安全防護(hù)意識(shí)和安全使用網(wǎng)絡(luò)的能力。網(wǎng)絡(luò)空間安全意識(shí)作為一種機(jī)制，要形成常態(tài)化，并通過(guò)法規(guī)制度，提升各級(jí)單位的重視程度。現(xiàn)在的信息技術(shù)是先進(jìn)的，但也需要會(huì)使用先進(jìn)技術(shù)的網(wǎng)民，這樣才能在末端接入處提高網(wǎng)絡(luò)空間的安全，從根本上解決隱患。2）中段管理人員的歸口負(fù)責(zé)，把零散的“點(diǎn)”的管理轉(zhuǎn)向系統(tǒng)性、有序的“面”的管理。早在1997年我國(guó)就成立了信息技術(shù)和安全技術(shù)委員會(huì)，各級(jí)各類的安全部門也相應(yīng)成立，但這些安全管理人員信息分散，彼此間沒(méi)有統(tǒng)一協(xié)調(diào)的部署和指揮，在面臨突況時(shí)很難有效整合。因此，對(duì)管理人員要建立系統(tǒng)組織機(jī)構(gòu)，做到分工明確，職責(zé)清晰，建立健全網(wǎng)絡(luò)應(yīng)急處理的協(xié)調(diào)機(jī)制。3）國(guó)家安全一票否決制。在網(wǎng)絡(luò)空間，處理一些具有安全隱患問(wèn)題時(shí)，采取一票否決制，即只要有危害國(guó)家信息安全的潛在風(fēng)險(xiǎn)因素，就直接否決。其主要針對(duì)于應(yīng)用國(guó)外的網(wǎng)絡(luò)設(shè)備或軟硬件商品。如同美國(guó)在通信設(shè)備中拒絕使用華為和中興設(shè)備；禁止華為收購(gòu)美國(guó)3Com的理由是一樣。在技術(shù)含量高的網(wǎng)絡(luò)空間產(chǎn)業(yè)的競(jìng)爭(zhēng)，一般的反傾銷、反補(bǔ)貼等貿(mào)易救濟(jì)措施抑制效果有限，且還要受到世界貿(mào)易組織爭(zhēng)端解決機(jī)制制約。相比之下，合理的使用一票否決制，可有效將存在潛在威脅的企業(yè)或商品擋在國(guó)門之外。

（3）法規(guī)機(jī)制：安全技術(shù)領(lǐng)域需要有各類標(biāo)準(zhǔn)，安全管理需要有行為規(guī)范，維護(hù)網(wǎng)絡(luò)空間需要有法律，處理安全事故責(zé)任需要有依據(jù)，在網(wǎng)絡(luò)信息空間新領(lǐng)域里要重視標(biāo)準(zhǔn)和法規(guī)制度的建設(shè)，及時(shí)更新修改，有效保障管理措施。1）盡快制定我國(guó)《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》，將網(wǎng)絡(luò)空間安全問(wèn)題上升為國(guó)家戰(zhàn)略問(wèn)題進(jìn)行通盤考慮和研究。在國(guó)家戰(zhàn)略背景下，逐步建立各類安全技術(shù)的評(píng)判標(biāo)準(zhǔn)和網(wǎng)絡(luò)信息安全體系構(gòu)建標(biāo)準(zhǔn)，指導(dǎo)網(wǎng)絡(luò)空間安全建設(shè)。要加強(qiáng)與世界其他國(guó)家的溝通交流與合作，特別是先進(jìn)發(fā)達(dá)國(guó)家，吸取經(jīng)驗(yàn)教訓(xùn)，指導(dǎo)科學(xué)合理的戰(zhàn)略規(guī)劃[5]。2）結(jié)合當(dāng)前的網(wǎng)絡(luò)安全技術(shù)建立各級(jí)各類人員的行為規(guī)范，大力加快信息安全相關(guān)法規(guī)建設(shè)，通過(guò)法律法規(guī)來(lái)明確各自的義務(wù)、權(quán)益、責(zé)任和處事流程，并制定相關(guān)的處罰措施，讓管理能有章可循，有據(jù)可查。積極參與制定國(guó)際網(wǎng)絡(luò)沖突行為準(zhǔn)則，在國(guó)際網(wǎng)絡(luò)空間事務(wù)中發(fā)揮話語(yǔ)權(quán)的作用，為捍衛(wèi)我國(guó)在網(wǎng)絡(luò)空間的提供有力依據(jù)。3）緊跟時(shí)代，注重技術(shù)標(biāo)準(zhǔn)的建設(shè)。使國(guó)家網(wǎng)絡(luò)空間相關(guān)人員能夠參與到國(guó)際信息安全技術(shù)標(biāo)準(zhǔn)建設(shè)中去，通過(guò)對(duì)其他先進(jìn)國(guó)家的學(xué)習(xí)，加快自身技術(shù)研究的發(fā)展，在國(guó)際網(wǎng)絡(luò)空間標(biāo)準(zhǔn)制定中發(fā)揮一定的作用，從而更好的指導(dǎo)本國(guó)網(wǎng)絡(luò)安全的基礎(chǔ)建設(shè)。

3 結(jié)語(yǔ)

綜上所述，在網(wǎng)絡(luò)空間信息安全的范疇內(nèi)，技術(shù)是基礎(chǔ)、法規(guī)是依據(jù)，管理是重心。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)空間的安全防范技術(shù)也需不斷革新，這里提出的可生存性就是一個(gè)新的發(fā)展方向；而法規(guī)制度雖然是網(wǎng)絡(luò)行為的評(píng)判標(biāo)準(zhǔn)，但它自身建設(shè)也必須根據(jù)安全防范的新技術(shù)時(shí)時(shí)更新、積極建設(shè)，才能為管理提供有效依據(jù)；管理要以法規(guī)為依據(jù)，通過(guò)運(yùn)用各種技術(shù)手段來(lái)維護(hù)網(wǎng)絡(luò)信息的安全，特別是全國(guó)性組織機(jī)構(gòu)的建立，有效整合資源，總體發(fā)揮合力。

參考文獻(xiàn)

[1]彭新光，吳興興.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.科學(xué)出版社，2005

[2]賴積保，王慧強(qiáng)，王健等.系統(tǒng)可生存性研究綜述[J].計(jì)算機(jī)科學(xué)，2007，34（3）：237-239，275.

[3]張鴻志，張玉清，李學(xué)干等.網(wǎng)絡(luò)可生存性研究進(jìn)展[J].計(jì)算機(jī)工程，2005，31（20）： 3-5.

篇5

關(guān)鍵詞： 計(jì)算機(jī)網(wǎng)絡(luò)；安全漏洞檢測(cè)；攻擊圖構(gòu)建；計(jì)算機(jī)技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-4311（2014）05-0189-02

0 引言

當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)完全普及，幾乎在每個(gè)角落，人們都能夠享受到網(wǎng)絡(luò)所帶來(lái)的便利，但也因其安全問(wèn)題產(chǎn)生困擾。特別是在我國(guó)，計(jì)算機(jī)的主流操作系統(tǒng)并不能進(jìn)行安全檢測(cè)驗(yàn)證，所使用的計(jì)算機(jī)網(wǎng)絡(luò)通信協(xié)議也幾乎全是國(guó)外開發(fā)的產(chǎn)品，可靠性得不到很好的保證，安全漏洞隱患問(wèn)題非常突出。因此，進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞的檢測(cè)，是當(dāng)今保護(hù)人們的計(jì)算機(jī)信息安全的主要途徑。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞檢測(cè)的主要方法

1.1 配置文件的安全漏洞檢測(cè)方法 配置文件太復(fù)雜，或采取了缺省值，是造成系統(tǒng)存在漏洞的主要原因。系統(tǒng)的運(yùn)行環(huán)境不安全，有絕大部分的原因都是配置文件所造成的。進(jìn)行配置文件的檢測(cè)，可以讀取系統(tǒng)配置信息，并解釋配置信息可能帶來(lái)的系統(tǒng)漏洞現(xiàn)象，讓用戶在系統(tǒng)發(fā)生配置錯(cuò)誤，導(dǎo)致系統(tǒng)出錯(cuò)或者影響了系統(tǒng)的性能表現(xiàn)時(shí)，能夠及時(shí)發(fā)現(xiàn)漏洞和降低系統(tǒng)安全性的一些錯(cuò)誤配置并加以糾正。

1.2 文件內(nèi)容以及保護(hù)機(jī)制的安全漏洞檢測(cè) 系統(tǒng)中的命令文件以及系統(tǒng)工具是整個(gè)系統(tǒng)正常運(yùn)行的關(guān)鍵，同樣也是許多木馬最容易入侵的地方。當(dāng)木馬入侵了命令文件之后，會(huì)對(duì)文件內(nèi)容進(jìn)行篡改，從而影響了整個(gè)系統(tǒng)的正常運(yùn)行。通常為了防止木馬對(duì)系統(tǒng)中命令文件的篡改，需要對(duì)文件保護(hù)機(jī)制中薄弱的地方進(jìn)行檢測(cè)，對(duì)保護(hù)機(jī)制中存在的漏洞進(jìn)行及時(shí)的處理，保證擁有權(quán)限的用戶才能夠更改命令文件的內(nèi)容。比如對(duì)命令文件進(jìn)行訪問(wèn)控制設(shè)置方面的檢測(cè)，就是進(jìn)行文件內(nèi)容以及保護(hù)機(jī)制的安全漏洞檢測(cè)最為基礎(chǔ)的一步。

1.3 錯(cuò)誤修正檢測(cè)方法 當(dāng)操作系統(tǒng)發(fā)生錯(cuò)誤時(shí)，一些擅闖系統(tǒng)權(quán)限的外界攻擊就會(huì)乘虛而入，造成嚴(yán)重的計(jì)算機(jī)信息安全問(wèn)題。在一般情況下，用戶可以通過(guò)安裝修正錯(cuò)誤的補(bǔ)丁程序來(lái)達(dá)到防止攻擊的目的，但很多用戶通常并不會(huì)在第一時(shí)間安裝補(bǔ)丁程序，就使得外界攻擊侵入系統(tǒng)。而通過(guò)錯(cuò)誤修正檢測(cè)，則可以較好地解決系統(tǒng)中因發(fā)生錯(cuò)誤而存在的漏洞問(wèn)題。進(jìn)行錯(cuò)誤修正檢測(cè)，可以直接通過(guò)計(jì)算機(jī)檢驗(yàn)程序來(lái)自動(dòng)完成，檢測(cè)效率非常高。通常錯(cuò)誤修正檢測(cè)可以分為兩種類型，一種稱之為主動(dòng)型檢測(cè)，找出系統(tǒng)中存在的錯(cuò)誤，并對(duì)系統(tǒng)漏洞做出一定的應(yīng)對(duì)措施；另一種稱之為被動(dòng)型檢測(cè)，這種檢測(cè)主要發(fā)生在安裝糾錯(cuò)補(bǔ)丁程序時(shí)，作為判斷補(bǔ)丁程序是否安裝到位的一項(xiàng)依據(jù)。

1.4 差別檢測(cè)方法 差別檢測(cè)在系統(tǒng)中具有非常重要的作用，但也具有非常鮮明的特點(diǎn)。和其他檢測(cè)方法不同，差別檢測(cè)是一種被動(dòng)型的檢測(cè)方法，對(duì)系統(tǒng)中的命令文件與工具起著監(jiān)控保護(hù)的作用。這種檢測(cè)方法一方面不能對(duì)外界攻擊進(jìn)行阻止，另一方面也不能對(duì)已經(jīng)被修改的程序進(jìn)行修正，但卻能夠非常準(zhǔn)確地反映出程序是否發(fā)生了改變，對(duì)于判斷系統(tǒng)是否受到攻擊非常有效。為了增加檢測(cè)的準(zhǔn)確度，可以將差別檢測(cè)相關(guān)的文件通過(guò)存放在脫離網(wǎng)絡(luò)的硬盤中，或者對(duì)其進(jìn)行加密處理，代表性的文件包括校驗(yàn)方法與結(jié)果等。

另外，在當(dāng)今的計(jì)算機(jī)系統(tǒng)中，漏洞掃描技術(shù)得到了較為廣泛的應(yīng)用。該技術(shù)通過(guò)對(duì)計(jì)算機(jī)中每一個(gè)部分的掃描，來(lái)達(dá)到及時(shí)發(fā)現(xiàn)漏洞，并修補(bǔ)漏洞的目的。目前進(jìn)行漏洞掃描主要包括了兩種類型，一類是以計(jì)算機(jī)主機(jī)為基礎(chǔ)進(jìn)行掃描，另一類是以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)進(jìn)行掃描，用戶可以根據(jù)自身的需求以及計(jì)算機(jī)使用的實(shí)際情況來(lái)選擇不同的漏洞掃描方式。

2 攻擊圖構(gòu)建的分析

攻擊圖的構(gòu)建主要為了根據(jù)攻擊圖進(jìn)行分析，判斷目標(biāo)網(wǎng)絡(luò)所面臨的主要安全問(wèn)題，從而分析計(jì)算網(wǎng)絡(luò)中存在的主要安全漏洞，并對(duì)網(wǎng)絡(luò)的安全采取一定的彌補(bǔ)措施。目前的攻擊圖種類非常多樣，不同類型攻擊圖所具有的分析攻擊行為的能力也有所不同。比如在一次對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的攻擊行為中，可將攻擊行為用具體的邏輯攻擊圖表示出來(lái)。邏輯攻擊圖包括了推導(dǎo)規(guī)則、推導(dǎo)事實(shí)、以及原始事實(shí)三個(gè)類型的節(jié)點(diǎn)。由原始事實(shí)，經(jīng)過(guò)推導(dǎo)規(guī)則，可以產(chǎn)生推導(dǎo)事實(shí)，由產(chǎn)生的推導(dǎo)事實(shí)，經(jīng)過(guò)推導(dǎo)規(guī)則，又可以產(chǎn)生新的推導(dǎo)規(guī)則，并進(jìn)而產(chǎn)生一系列的連鎖改變。具體的攻擊行為可以表示為如圖1所示的圖形。

在圖1中，空心圓代表推導(dǎo)事實(shí)的節(jié)點(diǎn)，實(shí)心圓代表原始事實(shí)的節(jié)點(diǎn)，方框表示推導(dǎo)規(guī)則的節(jié)點(diǎn)。在整個(gè)邏輯攻擊圖中，推導(dǎo)規(guī)則其實(shí)也就是原子攻擊工具。該圖能夠非常具體地表示出各個(gè)原子攻擊之間的依賴關(guān)系，但卻不是非常直觀明了，不便于對(duì)攻擊行為進(jìn)行形象的理解。因此，業(yè)界又研發(fā)了狀態(tài)攻擊圖、屬性攻擊圖、滲透依賴攻擊圖、屬性依賴攻擊圖、聚合攻擊圖等多個(gè)不同的攻擊圖。其中，最具代表性的是聚合攻擊圖（如圖2所示）。這種攻擊圖構(gòu)建方法的核心思想是提出多個(gè)聚合規(guī)則，對(duì)攻擊圖用不同的粒度進(jìn)行抽象的聚合與展示。

通過(guò)構(gòu)建攻擊圖，一方面可以對(duì)網(wǎng)絡(luò)安全的定量評(píng)估提供依據(jù)，另一方面，也可以應(yīng)用于網(wǎng)絡(luò)安全問(wèn)題的優(yōu)化措施中，使網(wǎng)絡(luò)系統(tǒng)的抗攻擊能力得到改善。另外，構(gòu)建攻擊圖還可以對(duì)網(wǎng)絡(luò)入侵進(jìn)行及時(shí)的預(yù)警，避免系統(tǒng)受到嚴(yán)重的篡改。

3 結(jié)束語(yǔ)

安全漏洞檢測(cè)是防范計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)的一項(xiàng)有效策略。目前除了一般的計(jì)算網(wǎng)絡(luò)安全漏洞檢測(cè)方法之外，構(gòu)建網(wǎng)絡(luò)攻擊圖對(duì)于分析網(wǎng)絡(luò)漏洞也具有非常重要的意義，網(wǎng)絡(luò)攻擊圖能夠更加清晰地表現(xiàn)復(fù)雜的攻擊行為。另外，人們?cè)诔浞窒硎苤?jì)算機(jī)網(wǎng)絡(luò)所帶來(lái)的便利的同時(shí)，也應(yīng)該注意進(jìn)行網(wǎng)絡(luò)安全的保護(hù)，才能夠使自身的利益不受到侵犯。

參考文獻(xiàn)：

[1]吳金宇.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)研究[D].北京郵電大學(xué)，2013.

篇6

【關(guān)鍵詞】計(jì)算機(jī) 網(wǎng)絡(luò)技術(shù) 安全維護(hù)

與計(jì)算網(wǎng)絡(luò)技術(shù)一起迅速發(fā)展的技術(shù)有網(wǎng)絡(luò)入侵技術(shù)、木馬技術(shù)等技術(shù)，這些技術(shù)的發(fā)展對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)安全有著重大影響。因此，如何才能保證計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的安全是一個(gè)值得深思的問(wèn)題，也值得探討。

1 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)存在隱患的原因

在現(xiàn)代，據(jù)筆者調(diào)研資料顯示，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)存在隱患的原因主要是兩個(gè)，一方面是網(wǎng)絡(luò)系統(tǒng)自身問(wèn)題，另一方面是人為的原因。

1.1 網(wǎng)絡(luò)系統(tǒng)原因

第一，由于技術(shù)等原因，網(wǎng)絡(luò)操作系統(tǒng)自身存在不完善的地方，甚至是存在部分漏洞。第二，網(wǎng)絡(luò)協(xié)議存在不完善的部分，甚至是存在漏洞。第三，網(wǎng)絡(luò)的開放特性帶來(lái)諸多未受到保護(hù)的數(shù)據(jù)和信息。

1.2 人為原因

黑客侵襲和病毒攻擊是人為原因威脅計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)安全的兩個(gè)方式。黑客侵襲主要是為進(jìn)入用戶系統(tǒng)盜取有價(jià)值信息；病毒攻擊的主要后果是使得計(jì)算機(jī)網(wǎng)絡(luò)陷入癱瘓狀態(tài)。在現(xiàn)代，由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)管理制度欠缺完善，計(jì)算機(jī)網(wǎng)絡(luò)安全受到威脅的概率仍然較大。

2 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)如何進(jìn)行安全維護(hù)

近年來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)、防火墻技術(shù)和加密系統(tǒng)技術(shù)得到較高程度的發(fā)展。

2.1 計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的使用

什么是計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)？簡(jiǎn)單來(lái)說(shuō)，入侵檢測(cè)技術(shù)是關(guān)于計(jì)算機(jī)的專業(yè)技術(shù)，主要任務(wù)是對(duì)檢測(cè)到闖入或有企圖闖入系統(tǒng)信息進(jìn)行威懾、攻擊或者支持。在現(xiàn)代，計(jì)算機(jī)在使用過(guò)程中經(jīng)常會(huì)受到網(wǎng)絡(luò)上某些病毒攻擊，這無(wú)時(shí)不刻地威脅著計(jì)算機(jī)網(wǎng)絡(luò)的安全。在此時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)就可以為保護(hù)計(jì)算機(jī)安全發(fā)揮作用。入侵檢測(cè)技術(shù)的工作程序是通過(guò)對(duì)計(jì)算機(jī)硬件和軟件對(duì)網(wǎng)絡(luò)信息實(shí)行實(shí)時(shí)檢測(cè)，同時(shí)將檢測(cè)結(jié)果與入侵?jǐn)?shù)據(jù)庫(kù)進(jìn)行比較，進(jìn)而及時(shí)發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)是否被攻擊。若是發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)具備被攻擊現(xiàn)象，則會(huì)運(yùn)用防火墻切斷網(wǎng)絡(luò)連接，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行保護(hù)。

2.2 計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)的使用

什么是計(jì)算機(jī)網(wǎng)絡(luò)防火墻技術(shù)？簡(jiǎn)單來(lái)說(shuō)，防火墻技術(shù)是針對(duì)網(wǎng)絡(luò)危險(xiǎn)因素而設(shè)置的保方式，其由軟件和硬件組合而成，主要起到保護(hù)屏障的作用。在現(xiàn)代，面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)威脅因素，使用防火墻技術(shù)不僅可以通過(guò)軟件與硬件組成使用來(lái)達(dá)到保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的目的，還可以通過(guò)單獨(dú)使用軟件或者硬件來(lái)實(shí)現(xiàn)保護(hù)計(jì)算機(jī)的目的。防火墻技術(shù)根據(jù)用戶的個(gè)性化設(shè)置，對(duì)不屬于設(shè)定范圍內(nèi)數(shù)據(jù)進(jìn)行阻攔。

2.3 數(shù)據(jù)加密技術(shù)的使用

什么是計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)？簡(jiǎn)而言之，數(shù)據(jù)加密技術(shù)是運(yùn)用密鑰匙和加密函數(shù)將一個(gè)信息轉(zhuǎn)換為密文。由此可知，計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基石。眾所周知，計(jì)算機(jī)網(wǎng)絡(luò)存在風(fēng)險(xiǎn)的過(guò)程包括信息的傳輸和信息的存儲(chǔ)。在此時(shí)，使用數(shù)據(jù)加密技術(shù)則可以對(duì)網(wǎng)絡(luò)信息的安全起到保護(hù)作用。若是沒(méi)有使用數(shù)據(jù)加密技術(shù)，那么在傳輸和存儲(chǔ)信息時(shí)，一些機(jī)密信息尤其是國(guó)家的機(jī)密文件或者大型企業(yè)的機(jī)密文件則存在泄露的風(fēng)險(xiǎn)。

2.4 訪問(wèn)控制技術(shù)的使用

什么是訪問(wèn)控制技術(shù)？訪問(wèn)控制是一種限制其數(shù)據(jù)資源能力的手段，其主要目的是限制訪問(wèn)主體，從而保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全。在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行過(guò)程中，如果使用訪問(wèn)控制技術(shù)則會(huì)有效且合理地控制訪問(wèn)客體，這樣則會(huì)降低網(wǎng)絡(luò)安全隱患。

3 計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)的內(nèi)容是什么

3.1 計(jì)算機(jī)網(wǎng)絡(luò)故障管理技術(shù)

計(jì)算網(wǎng)絡(luò)故障管理內(nèi)涵是檢測(cè)計(jì)算網(wǎng)絡(luò)的故障所在，并為解決故障提供方案，為網(wǎng)絡(luò)的通常運(yùn)行提供保證。由此可知，故障管理技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)的基礎(chǔ)，是保證網(wǎng)絡(luò)環(huán)境通暢的核心技術(shù)。那么如何對(duì)網(wǎng)絡(luò)故障進(jìn)行管理呢，先要對(duì)網(wǎng)絡(luò)故障進(jìn)行分析，找出發(fā)生故障原因，隨后給出合理且便捷的解決方案，最后恢復(fù)網(wǎng)路。對(duì)網(wǎng)絡(luò)故障原因要進(jìn)行總結(jié)，尤其是比較嚴(yán)重的或者具備普遍性的網(wǎng)絡(luò)故障，應(yīng)該對(duì)其進(jìn)行總結(jié)，以便進(jìn)行經(jīng)驗(yàn)分享，避免下次再發(fā)生類似故障。

3.2 計(jì)算網(wǎng)絡(luò)配置管理技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)配置管理技術(shù)的內(nèi)涵是通過(guò)網(wǎng)絡(luò)初始化實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的配置從而提供服務(wù)。網(wǎng)絡(luò)配置主要由監(jiān)視系統(tǒng)、辨別系統(tǒng)、定義系統(tǒng)和控制系統(tǒng)組成，通過(guò)這幾個(gè)系統(tǒng)合理配合工作來(lái)保證網(wǎng)絡(luò)配置功能的實(shí)現(xiàn)，進(jìn)而改善計(jì)算機(jī)網(wǎng)路性能。

3.3 計(jì)算機(jī)網(wǎng)絡(luò)性能管理技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)性能管理技術(shù)的內(nèi)涵是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行性能服務(wù)。通過(guò)這項(xiàng)技術(shù)可以實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行非常有效的監(jiān)控和分析評(píng)估，借助分析評(píng)估結(jié)果對(duì)不完善處進(jìn)行改善，這對(duì)提供高質(zhì)量的網(wǎng)絡(luò)性能服務(wù)有重要的意義。

3.4 計(jì)算機(jī)網(wǎng)絡(luò)安全管理技術(shù)

現(xiàn)代計(jì)算機(jī)具備開放性和互動(dòng)性的特點(diǎn)，這縮小各地之間的距離，使得信息傳播更加迅速，但是也為計(jì)算機(jī)網(wǎng)絡(luò)安全帶來(lái)了隱患。例如，一部分不法分子利用不同的手段對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行侵犯，攻擊網(wǎng)絡(luò)資源。因此，通過(guò)計(jì)算機(jī)安全管理技術(shù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施安全保護(hù)有重要的意義。

4 結(jié)束語(yǔ)

總上文所述可知，計(jì)算機(jī)技術(shù)的發(fā)展，帶動(dòng)了通訊技術(shù)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，這些技術(shù)的發(fā)展為社會(huì)的進(jìn)度、國(guó)家的發(fā)展做出了特殊的貢獻(xiàn)。但是，在使用計(jì)算機(jī)網(wǎng)絡(luò)的過(guò)程中，也存在諸多的安全隱患。因此對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的構(gòu)建和安全維護(hù)的分析及研究非常必要。在上文中，筆者從計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)存在隱患的原因、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)如何進(jìn)行安全維護(hù)和計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)的內(nèi)容是什么等三個(gè)方面進(jìn)行分析和探究，希望對(duì)維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全有所幫助和啟發(fā)。

參考文獻(xiàn)

[1]瞿小寧.路由與交換技術(shù)課程實(shí)踐教學(xué)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2011（24）.

[2]陳新華，孫雅妮.基于項(xiàng)目化教學(xué)法的路由交換技術(shù)課程實(shí)踐[J].價(jià)值工程，2013（32）.

[3]潘鋒.基于網(wǎng)站服務(wù)器的計(jì)算機(jī)安全維護(hù)研究[J].煤炭技術(shù)，2013，32（2）.

[4]鄭曉偉.計(jì)算機(jī)網(wǎng)絡(luò)安全隱患與應(yīng)急響應(yīng)技術(shù)研究[J].信息通信，2014（07）.

篇7

關(guān)鍵詞：內(nèi)容安全加速卡；特征匹配；正則表達(dá)式匹配

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）35-0013-04

經(jīng)過(guò)幾十年的飛速發(fā)展，互聯(lián)網(wǎng)已經(jīng)深入到社會(huì)的方方面面，對(duì)網(wǎng)絡(luò)內(nèi)容的監(jiān)控和管理成為當(dāng)今時(shí)代的必然要求，也是社會(huì)治安管理的重要保障?；诘讓泳W(wǎng)絡(luò)硬件設(shè)備，是確保網(wǎng)絡(luò)信息安全的重點(diǎn)，針對(duì)計(jì)算機(jī)協(xié)議中應(yīng)用層和網(wǎng)絡(luò)層的安全側(cè)羅，監(jiān)控和辨別網(wǎng)絡(luò)中傳遞的信息。深度包檢測(cè)技術(shù)，此技術(shù)是以應(yīng)用層流量檢測(cè)和控制技術(shù)為基礎(chǔ)的，一般用于網(wǎng)絡(luò)包不良內(nèi)容的檢測(cè)，通過(guò)深入讀取IP包載荷的內(nèi)容來(lái)對(duì)OSI七層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而得到整個(gè)應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行整形操作，通過(guò)深度檢測(cè)報(bào)文內(nèi)容，可對(duì)網(wǎng)絡(luò)間的行為有更好的感知。匹配報(bào)文載荷與預(yù)定義的模式集合來(lái)實(shí)現(xiàn)報(bào)文內(nèi)容檢測(cè)。

正則表達(dá)式有很強(qiáng)的表示字符串的能力，因此基于正則表達(dá)式的特征匹配成為一個(gè)熱門的研究課題。例如，檢測(cè)入侵系統(tǒng)Snort[1]和Bro[2]的規(guī)則集都滿足基于正則表達(dá)式的描述規(guī)則，應(yīng)用于應(yīng)用層協(xié)議的識(shí)別系統(tǒng)L7-filter[2]也采用正則表達(dá)式的描述規(guī)則。對(duì)檢測(cè)入侵系統(tǒng)Snort的測(cè)試結(jié)果表明，特征匹配占用了整個(gè)系統(tǒng)超過(guò)30%的處理時(shí)間。以網(wǎng)絡(luò)應(yīng)用為主的網(wǎng)絡(luò)數(shù)據(jù)，特征匹配的占用系統(tǒng)時(shí)間則更長(zhǎng)達(dá)80%[3]。因此，可以看出基于正則表達(dá)式的特征匹配很消耗計(jì)算資源的空間與時(shí)間。

隨著網(wǎng)絡(luò)數(shù)據(jù)飛速的增長(zhǎng)，基于軟件算法的實(shí)現(xiàn)難以滿足高速網(wǎng)絡(luò)的性能要求，也難以縮減特征匹配的占用時(shí)間。目前的解決辦法就是設(shè)計(jì)專用網(wǎng)絡(luò)安全系統(tǒng)的內(nèi)容安全硬件才能有效實(shí)現(xiàn)特征匹配加速。基于FPGA方式的實(shí)現(xiàn)一般采用NFA。2001年，Sidhu R等[4]采用NFA 實(shí)現(xiàn)正則表達(dá)式匹配， 將正則表達(dá)式的表達(dá)式轉(zhuǎn)換為觸發(fā)器中與或門邏輯電路。在此基礎(chǔ)上，Sutton P等[5]做出了修改，應(yīng)用部分字符解碼的方式來(lái)優(yōu)化正則表達(dá)式的實(shí)現(xiàn)。文獻(xiàn)[6] 于2006年，通過(guò)減少NFA中重復(fù)多余的與門和狀態(tài)減少了50 %的FPGA資源。采用DFA方法實(shí)現(xiàn)的正則匹配通常采用存儲(chǔ)器，Kumar S等[7]采用對(duì)多個(gè)模式進(jìn)行分組的思想，每個(gè)分組分配單獨(dú)正則匹配引擎的方式可明@降低DFA 狀態(tài)轉(zhuǎn)移表的大小。Kumar S等[7，8]提出將DFA 中一個(gè)狀態(tài)的多條邊用單個(gè)缺省邊代替，引入輸入延遲的DFA（D2 FA）來(lái)減少邊的存儲(chǔ)空間的方法，并解決了一個(gè)字節(jié)多次訪存的問(wèn)題，達(dá)到了提高DFA 的性能。

本文提出了構(gòu)建一個(gè)主從協(xié)同處理的特征匹配結(jié)構(gòu)模型，并且根據(jù)此模型設(shè)計(jì)并實(shí)現(xiàn)了一款內(nèi)容安全匹配加速卡，該加速卡通過(guò)PCI協(xié)議與主機(jī)通訊，采用Xilinx FPGA實(shí)現(xiàn)字符串匹配與正則表達(dá)式匹配，通過(guò)訪問(wèn)SRAM/DDR存儲(chǔ)器讀取轉(zhuǎn)換規(guī)則進(jìn)行狀態(tài)切換。此模塊的使用，對(duì)硬件結(jié)構(gòu)在網(wǎng)絡(luò)安全系統(tǒng)中應(yīng)用時(shí)的系統(tǒng)修改大大降低了，數(shù)據(jù)交換效率改善效果明顯，系統(tǒng)整體性能得到提升，在實(shí)際系統(tǒng)中，提供了完整的硬件加速。

1相關(guān)工作

字符串和正則表達(dá)式兩種形式是筆者所研究的“特征”，而字符串只是正則表達(dá)式的另一種特殊形式。正則表達(dá)式是對(duì)字符串操作的一種邏輯公式，就是用事先定義好的一些特定字符、及這些特定字符的組合，組成一個(gè)“規(guī)則字符串”，這個(gè)“規(guī)則字符串”用來(lái)表達(dá)對(duì)字符串的一種過(guò)濾邏輯。

特征匹配就是查找輸入信息中是否存在特征集中某些特征的問(wèn)題。其征集是以正則表達(dá)式的形式定義，輸入信息是文本格式，輸出匹配的結(jié)果。如圖1所示，本文設(shè)計(jì)了特征匹配操作。

圖1 特征匹配示意圖

特征匹配硬件結(jié)構(gòu)的研究可分成基于FPGA特征匹配結(jié)構(gòu)的研究和面向ASIC的特征匹配結(jié)構(gòu)研究?jī)纱箢悾紤?yīng)用于入侵檢測(cè)和系統(tǒng)防御，這兩類方法的根本不同在于特征的存儲(chǔ)方式?；贔PGA的特征匹配結(jié)構(gòu)[9-11]的實(shí)現(xiàn)方式是使用FPGA內(nèi)部的邏輯單元來(lái)進(jìn)行特征匹配，F(xiàn)PGA的優(yōu)點(diǎn)在于具有很強(qiáng)的靈活性、執(zhí)行速度快、集成度比較高，而且方便重新配置，其明顯的不足是更新特征時(shí)要重新產(chǎn)生FPGA下載文件，難以滿足計(jì)算機(jī)網(wǎng)絡(luò)安全中頻繁更新特征的需求。ASIC的特點(diǎn)是面向特定用戶的需求，ASIC在批量生產(chǎn)時(shí)與通用集成電路相比具有體積更小、功耗更低、可靠性提高、性能提高、保密性增強(qiáng)、成本降低等優(yōu)點(diǎn)。面向ASIC的匹配特點(diǎn)是將特征通過(guò)軟件編譯器產(chǎn)成一個(gè)中間數(shù)據(jù)結(jié)構(gòu)，然后將其保存至外部存儲(chǔ)器中，通過(guò)訪問(wèn)內(nèi)存判斷是否符合特征，該方式是用硬件電路來(lái)實(shí)現(xiàn)具體操作。

在計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)中采用專有內(nèi)容安全硬件結(jié)構(gòu)時(shí)，以IP 核、FPGA 或ASIC 的方式工作[12-15]是一般性的硬件結(jié)構(gòu)，研究有3種不同的方法： 第1種是采用主機(jī)和加速卡的工作模式，這也是本文采用的方法；第2種是采用主處理器和協(xié)處理器的運(yùn)行方式；第3種是內(nèi)處理器核與專用IP核共同工作模式。

筆者使用上述三種方案的第一種，在第一種方案中，主控方通用微處理器，在加速卡中實(shí)現(xiàn)特征匹配。加速卡與主控方通訊的方式，一般采用PCI（Peripheral Component Interconnect，部件互連總線）等標(biāo)準(zhǔn)接口協(xié)議。主控方和特征匹配分離，兩者之間相互不干擾，如有報(bào)文需要特征匹配，主控方只需調(diào)用加速卡提供的函數(shù)接口即可完成特征匹配，這是這種方案的優(yōu)點(diǎn)；缺點(diǎn)是模型受到標(biāo)準(zhǔn)接口協(xié)議的限制，而且實(shí)現(xiàn)較為復(fù)雜，性能不高。

2 主從協(xié)同處理模型

2.1 整體架構(gòu)

內(nèi)容安全加速卡的整體架構(gòu)如圖2所示，分為硬件部分和軟件部分兩大部分，軟件部分又虛線表示，包括特征集的提前處理、系統(tǒng)調(diào)用的接口函數(shù)和加速卡的驅(qū)動(dòng)程序；實(shí)線部分是表示硬件部分，包括加速卡、存儲(chǔ)器，負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)以及特征匹配并輸出結(jié)果。

內(nèi)容安全匹配加速卡的工作流程如下：

（1）特征集集合經(jīng)過(guò)預(yù)處理之后，得到規(guī)則化的存儲(chǔ)文件

（2）主控方加載加速卡的驅(qū)動(dòng)程序

（3）將特征匹配硬件邏輯通過(guò)電子設(shè)計(jì)自動(dòng)化工具編譯成FPGA下d文件，并下載到FPGA中

（4）將具有初始化邏輯的存儲(chǔ)文件保存至存儲(chǔ)器，用于加速卡進(jìn)行匹配。

（5）主控方通過(guò)接口函數(shù)將測(cè)試數(shù)據(jù)送入加速卡，加速卡內(nèi)部的FPGA訪問(wèn)外部存儲(chǔ)器，讀取轉(zhuǎn)換規(guī)則并進(jìn)行特征匹配，判斷是否匹配。

（6）匹配完成之后，由緩存區(qū)來(lái)保存輸出的結(jié)果，主控方通過(guò)接口函數(shù)取回匹配結(jié)果。

2.2 主從協(xié)同處理模型

通過(guò)研究特征匹配結(jié)構(gòu)的工作流程，很容易發(fā)現(xiàn)，主控方將等待匹配的信息傳送到輸入緩沖區(qū)，加速卡獲取信息后，開始進(jìn)行特征匹配，此時(shí)輸出緩沖區(qū)得到傳送來(lái)的匹配結(jié)果，最后通過(guò)接口函數(shù)到達(dá)主控方。這個(gè)過(guò)程中，主控方通過(guò)接口函數(shù)往輸入緩沖區(qū)傳遞等待匹配的信息和通過(guò)接口函數(shù)從輸出緩沖區(qū)取出匹配結(jié)果的過(guò)程中，主控方一直處于運(yùn)行狀態(tài)，加速卡處于閑置狀態(tài)。同樣，進(jìn)行特征匹配操作時(shí)，加速卡處于工作狀態(tài)，主控方處于閑置狀態(tài)。這整個(gè)過(guò)程類似于進(jìn)程上的串行執(zhí)行，主控方和加速卡無(wú)法同時(shí)工作，很大程度上浪費(fèi)資源，降低了系統(tǒng)的性能。

為了避免上述情況，文獻(xiàn)[16]提出雙流優(yōu)化模型，且對(duì)雙流化模型的性能進(jìn)行了測(cè)試與分析，證明了其方法的可行性。本文采用相同的方法，緩沖區(qū)A和B是采用兩套輸入/輸出來(lái)實(shí)現(xiàn)，圖3為具體運(yùn)行流程。主控方通過(guò)接口函數(shù)將等待匹配的數(shù)據(jù)送到輸入緩沖區(qū)A中，特征匹配結(jié)構(gòu)接收輸入緩沖區(qū)A的數(shù)據(jù)后，進(jìn)行特征匹配處理，同時(shí)主控方通過(guò)接口函數(shù)將等待匹配的新信息送到輸入緩沖區(qū)B中，特征匹配結(jié)構(gòu)處理完A數(shù)據(jù)后，送到輸出緩沖區(qū)A，接著處理輸入緩沖區(qū)B中的數(shù)據(jù)，同時(shí)主控方通過(guò)接口函數(shù)接收輸出緩沖區(qū)A中的匹配結(jié)果，緊接著主控方再次通過(guò)接口函數(shù)將等待匹配的信息送到輸入緩沖區(qū)A中，特征匹配結(jié)構(gòu)處理完輸入緩沖區(qū)的數(shù)據(jù)，送到輸出緩沖區(qū)B中，接著處理輸入緩沖區(qū)A中的數(shù)據(jù)，同時(shí)主控方接收輸出緩沖區(qū)B中的匹配結(jié)果。這樣循環(huán)運(yùn)行，能夠提高各個(gè)部分的運(yùn)行效率，減少各個(gè)部分的閑置時(shí)間，大幅度提高了系統(tǒng)性能。

對(duì)特征匹配相關(guān)信息研究表明，特征匹配的相關(guān)算法提供一個(gè)外部接口函數(shù)，首先整個(gè)系統(tǒng)對(duì)算法進(jìn)行初始化，產(chǎn)生相關(guān)的信息，接著在需要時(shí)候調(diào)用相關(guān)的函數(shù)，輸入等待匹配的信息，然后通過(guò)接口獲取匹配的結(jié)果。特征匹配硬件結(jié)構(gòu)的設(shè)計(jì)上需要最大可能地滿足與軟件算法的操作一致，如此能夠減少現(xiàn)有系統(tǒng)從軟件算法轉(zhuǎn)向硬件結(jié)構(gòu)時(shí)所需要做的修改。

結(jié)合雙輸入/輸出處理流程，本文將主從協(xié)同處理模型設(shè)計(jì)成如圖4所示，主要模塊為5個(gè)，分別為：（1）函數(shù)接口；（2）輸入輸出FIFO（First Input First Output， 先入先出隊(duì)列）；（3）數(shù)據(jù)交換控制單元；（4）輸入輸出緩沖區(qū)；（5）寄存器。以下分別為5個(gè)模塊的功能：完成數(shù)據(jù)交換，以及完成特征匹配結(jié)構(gòu)和主控方之間的信息傳輸和特征匹配功能。特征匹配硬件結(jié)構(gòu)一般有兩種不同工作模式，即初始化和匹配模式，下面具體介紹一下這兩種模式下的工作流程。

第一，初始化的狀態(tài)下：

（1）主控方將需配置的寄存器相關(guān)主控方信息，通過(guò)輸入輸出的接口函數(shù)，經(jīng)由數(shù)據(jù)交換控制單元，傳送到相應(yīng)寄存器，初始化特征匹配結(jié)構(gòu)的同時(shí)，將相應(yīng)的信息反饋給主控方；

（2）接著主控方再通過(guò)輸入輸出接口函數(shù)（FIFO）傳輸特征初始化的信息，數(shù)據(jù)交換控制單元將該信息傳輸?shù)较鄳?yīng)存儲(chǔ)位置，主控方得到相應(yīng)狀態(tài)信息的反饋，同時(shí)得到完成初始化操作的口令。

第二，匹配狀態(tài)下：

（1）主控方通過(guò)輸入輸出接口函數(shù)傳輸匹配狀態(tài)所需相關(guān)信息，接著通過(guò)數(shù)據(jù)交換控制單元將該信息傳輸?shù)较鄳?yīng)寄存器，特征匹配結(jié)構(gòu)轉(zhuǎn)換至匹配狀態(tài)，并將相關(guān)的狀態(tài)信息反饋給主控方；

（2）主控方在每輪的匹配操作過(guò)程中，首先需通過(guò)輸入輸出接口函數(shù)傳遞輸入數(shù)據(jù)需配置的寄存器內(nèi)容，數(shù)據(jù)交換控制單元將該信息傳送到相應(yīng)寄存器，然后再通過(guò)輸入輸出接口函數(shù)傳入等待匹配信息，經(jīng)過(guò)格式轉(zhuǎn)換將其傳送到輸入緩沖區(qū)中，特征匹配結(jié)構(gòu)對(duì)輸入緩沖區(qū)中數(shù)據(jù)進(jìn)行匹配，并將匹配結(jié)果通過(guò)輸入輸出端口傳送到輸出緩沖區(qū)中，并將處理完后的信息返回給主控方，主控方通過(guò)輸入輸出接口取走輸出緩沖區(qū)中匹配結(jié)果，最后主控方將輸出結(jié)果需配置的寄存器內(nèi)容傳輸進(jìn)來(lái)，數(shù)據(jù)交換控制單元將其傳輸?shù)较鄳?yīng)寄存器，這樣就完成了本輪測(cè)試信息的特征匹配。連續(xù)進(jìn)行1 次或多次循環(huán)，直到所有等待匹配的信息都匹配完。

3 設(shè)計(jì)實(shí)現(xiàn)

3.1實(shí)現(xiàn)方案

在主從協(xié)同處理的特征匹配結(jié)構(gòu)模型基礎(chǔ)上，內(nèi)容安全加速卡的設(shè)計(jì)和實(shí)施，為針對(duì)網(wǎng)絡(luò)安全系統(tǒng)的硬件特征匹配提供了良好的解決方式。圖5為加速卡硬件結(jié)構(gòu)設(shè)計(jì)，主要包括：（1）FPGA硬件模塊：負(fù)責(zé)實(shí)現(xiàn)硬件特征匹配功能，存儲(chǔ)模塊存儲(chǔ)狀態(tài)機(jī)轉(zhuǎn)換規(guī)則；（2）PCI接口：PCI總線負(fù)責(zé)特征匹配結(jié)構(gòu)與主控方的數(shù)據(jù)通訊；（3）存儲(chǔ)部分。

系統(tǒng)工作時(shí)，主控方將信息通過(guò)PCI傳輸?shù)郊铀倏?，采用DMA 方式傳輸數(shù)據(jù)，信息經(jīng)過(guò)FPGA處理完畢之后，傳送中斷請(qǐng)求到主控方，中斷請(qǐng)求被響應(yīng)后，主控方取回匹配結(jié)果。

3.2 加速卡實(shí)現(xiàn)

加速卡采用PCI 9054接口芯片，它提供2個(gè)獨(dú)立的可編程DMA控制器，可以通過(guò)編程實(shí)現(xiàn)多種數(shù)據(jù)寬度，傳輸速度可達(dá)1Gbit/s（ 32bit* 33MHz），并使用先進(jìn)的數(shù)據(jù)管道結(jié)構(gòu)技術(shù)。加速卡采用2種存儲(chǔ)器，分別是靜態(tài)存儲(chǔ)器和雙倍速率同步動(dòng)態(tài)隨機(jī)存儲(chǔ)器（DDR），靜態(tài)存儲(chǔ)器選用CY7C1461AV33。內(nèi)存芯片顆粒DDR動(dòng)態(tài)存儲(chǔ)器采用2. 5 V工作電壓，允許在時(shí)鐘脈沖的上升沿和下降沿傳輸數(shù)據(jù)，在不需提高時(shí)鐘頻率的條件下加倍提高訪問(wèn)速度，本加速卡選用MT46V32 M16P內(nèi)存芯片顆粒，單片大小為512Mbit。表1展示了加速卡的主要部件。

4 結(jié)束語(yǔ)

面對(duì)大數(shù)據(jù)量下的信息檢測(cè)，軟件算法的特征匹配無(wú)法正常滿足需求，也無(wú)法滿足數(shù)據(jù)處理的速度要求，所以使用專用硬件實(shí)現(xiàn)特征匹配加速。本文提出了基于主從協(xié)同處理模式的硬件特征匹配結(jié)構(gòu)，并對(duì)特征匹配的工作流程進(jìn)行了改進(jìn)，采用文獻(xiàn)[16]的雙流優(yōu)化模型，提高硬件特征匹配的處理性能，減少數(shù)據(jù)交換帶來(lái)的性能下降。特征結(jié)構(gòu)是處于被動(dòng)模式，需要主控方通過(guò)初始化設(shè)置和待匹配數(shù)據(jù)進(jìn)行控制特征匹配硬件結(jié)構(gòu)的I/O操作、初始化和系統(tǒng)結(jié)束等操作。本文最終設(shè)計(jì)和實(shí)現(xiàn)了一款內(nèi)容安全加速卡，通過(guò)PCI協(xié)議與主控方通訊，在FPGA上實(shí)現(xiàn)硬件特征匹配。

參考文獻(xiàn)：

[1]SNORT Network Intrusion Detection System [EB/OL]. [ 2007-05-18] http：//.

[2] Bro Intrusion Detection System [EB /OL] . [ 2007-03-15] .http：// .

[3] Roesch M. Snort： lightweight intrusion detection for networks [C]//Proc of the 1999 USENIX LISA Systems Administration Conference，1999.

[4]Sidhu R， Pras anna V K .Fast Regular Expression Matching using FPGAs[ C] //Proc of the 9 th Annual IEEE Symp on FCCM， 2001：227-238 .

[5] Sutton P， Partial Character Decoding f or Improved Regular Expression Matching in FPGAs[ C] //Proc of IEEE Int' lConf on Field-Programmable Technology ， 2004 ：25-32 .

[6] Katashita T .Highly Efficient String Matching Circuit for IDS with FPGA[C] //Proc of the 14th Annual IEEE Symp on FCCM ， 2006 ：285-286 .

[7] Kumar S， Dharmapurikar S ， Fang Yu ， Algorithms to Accelerate Multiple Regular Expressions Matching for Deep Packet Inspect ion[ C] //Proc of S IGCOMM' 06 ， 2006 ：11-15.

[8] Kumar S， Turner J ， Williams J .Advanced Algorithms for Fast and Scalable Deep Packet Inspection [C]// Proc of ANCS' 06， 2006 ：81-92.

[9] Sourdis I， Pnevmatikaos D. Fast， large-scale string matching for a 10Gbps FPGA-based network intrusion detection system [C] //The 13th International Conference on Field Programmable Logic and Applications， FPL 03 Lisbon， Portugal：[s.n.]， 2003.

[10] Baker Z K， Prasanna V K. High-throughput linked-pattern matching for intrusion detection systems [C] //The 1st Symposium on Architecture for Networking and Communications Systems， ANCS’ 05 Princeton， New Jersey， USA：[s.n.]， 2005：193-202.

[11] Katashita T， Maeda A， Toda K， et al. Highly efficient string matching circuit for IDS with FPGA [C] //The 14th Annual IEEE Symposium on Field-Programmable Custom Computing Machines. FCCM06， 2006：285-286.

[12] LIANG Heling， LI Shuguo. Design of an Internet security protocol acceleration card with pci and usb dual interface [J].Microelectronics and Computer， 2009，26（2） ：155-162.

[13] Zhang Peiheng， Liu Xinchun， Jiang Xianyang. An implementation of reconfigurable computing accelerator card oriented bioinformatics [J].Journal of Computer Research and Development， 2005， 42（6）： 930-937.

[14] DUAN Bo， WANG Wendi， ZHANG Chunming， et al. A computing accelerate platform based on reconfigurable data-path [C] // Proceeding of the 15th National Conference on Computer Engineering and Technology and the 2nd Microprocessor Forum.

篇8

關(guān)鍵詞：網(wǎng)絡(luò)工程；安全系統(tǒng)；構(gòu)建

計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)共同發(fā)展為人們的生活、工作帶來(lái)了一定的便捷，網(wǎng)絡(luò)的資源非常廣泛，同時(shí)也使網(wǎng)絡(luò)安全受到威脅。網(wǎng)絡(luò)在傳輸信息的過(guò)程中，如果沒(méi)有對(duì)網(wǎng)絡(luò)安全進(jìn)行全面保護(hù)，將會(huì)引起信息丟失、被篡改的可能，同時(shí)對(duì)傳輸也造成一定障礙。

1 網(wǎng)絡(luò)工程中的安全隱患因素

1.1 互聯(lián)網(wǎng)安全隱患

互聯(lián)網(wǎng)具有開放性和自由性，這種網(wǎng)絡(luò)的連接過(guò)程將面臨更加嚴(yán)重的危險(xiǎn)。如果在連接互聯(lián)網(wǎng)過(guò)程時(shí)沒(méi)有進(jìn)行有效安全防護(hù)措施，容易受到各方來(lái)自互聯(lián)網(wǎng)的攻擊，通過(guò)程序漏洞、木馬等對(duì)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行篡改和泄漏[1]。攻擊者還會(huì)通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)等各種不同的非法手段對(duì)網(wǎng)絡(luò)傳輸信息造成危險(xiǎn)，會(huì)利用合法的身份冒充用戶進(jìn)行登錄，而對(duì)信息進(jìn)行盜取和更改，同時(shí)也會(huì)利用計(jì)算機(jī)技術(shù)的復(fù)制功能對(duì)網(wǎng)絡(luò)數(shù)據(jù)的復(fù)制粘貼，使整個(gè)網(wǎng)絡(luò)服務(wù)器處于超負(fù)荷工作運(yùn)行狀態(tài)，甚至導(dǎo)致網(wǎng)絡(luò)工程的信息系統(tǒng)癱瘓[2]。

1.2 局域網(wǎng)的安全隱患

局域網(wǎng)的連接是指局域網(wǎng)內(nèi)的計(jì)算機(jī)通過(guò)網(wǎng)上鄰居進(jìn)行連接，而管理者的登錄指令泄漏給其他使用用戶，外部人員會(huì)通過(guò)登錄方式進(jìn)入到數(shù)據(jù)庫(kù)中對(duì)數(shù)據(jù)進(jìn)行篡改和盜取，這些都會(huì)給局域網(wǎng)內(nèi)造成十分嚴(yán)重的危害，也會(huì)有計(jì)算機(jī)病毒和漏洞代碼入侵造成網(wǎng)絡(luò)安全危機(jī)，因?yàn)榫钟蚓W(wǎng)中通常對(duì)網(wǎng)絡(luò)沒(méi)有進(jìn)行防護(hù)措施，容易在使用程序過(guò)程中，更新或者修復(fù)補(bǔ)丁的同時(shí)，沒(méi)有對(duì)病毒入侵做到實(shí)質(zhì)的阻擋，這容易產(chǎn)生很多寄生軟件，這些寄生軟件部分也屬于木馬病毒，從而對(duì)計(jì)算機(jī)內(nèi)的數(shù)據(jù)進(jìn)行修改，再將自身的寄生文件輸入到計(jì)算機(jī)內(nèi)，嚴(yán)重危害到了計(jì)算機(jī)的安全和網(wǎng)絡(luò)安全[3]。

2 網(wǎng)絡(luò)工程的安全保護(hù)措施

2.1 局域網(wǎng)的安全防護(hù)

網(wǎng)絡(luò)工程中的局域網(wǎng)用途較為廣泛，需要在建立局域網(wǎng)的同時(shí)使用防火前對(duì)其進(jìn)行安全保護(hù)，防火墻的主要功能是利用網(wǎng)絡(luò)隔離的方式將局域網(wǎng)與外部互聯(lián)網(wǎng)相隔離。防火墻的設(shè)置也可以說(shuō)是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的橋梁，能夠?qū)ν獠烤W(wǎng)絡(luò)中的信息進(jìn)行分析、處理和篩選、過(guò)濾，防止了沒(méi)有授權(quán)的訪問(wèn)直接進(jìn)入到局域網(wǎng)，有效保證了局域網(wǎng)的信息資源[4]。

防火墻的設(shè)置也可以是局域網(wǎng)和未知信任公共網(wǎng)絡(luò)的一個(gè)安全過(guò)渡過(guò)程。防火墻能夠根據(jù)對(duì)內(nèi)部局域網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間進(jìn)行信息監(jiān)控，保證了內(nèi)部網(wǎng)絡(luò)工作的安全性。防火墻具有雙重系統(tǒng)結(jié)構(gòu)，這種結(jié)構(gòu)具有借助兩個(gè)或者多個(gè)的信息結(jié)構(gòu)為信息傳輸設(shè)備，能夠從一個(gè)數(shù)據(jù)地址發(fā)送到另一個(gè)數(shù)據(jù)地址，實(shí)現(xiàn)數(shù)據(jù)包的IP傳輸。防火墻的控制能夠在進(jìn)行IP傳輸?shù)倪^(guò)程中防止數(shù)據(jù)外泄，外部的公共互聯(lián)網(wǎng)通過(guò)防火墻和內(nèi)部網(wǎng)絡(luò)進(jìn)行過(guò)濾和篩選控制，當(dāng)主機(jī)存在危險(xiǎn)時(shí)，防火墻通過(guò)路由器將內(nèi)部局域網(wǎng)和外部公共網(wǎng)絡(luò)相隔離。防火墻負(fù)責(zé)數(shù)據(jù)包的過(guò)濾，在過(guò)濾過(guò)程中能夠?qū)⒌卿浻脩暨M(jìn)行直接連接，而不必通過(guò)服務(wù)器和局域網(wǎng)。在連接過(guò)程中，任何一個(gè)外部網(wǎng)絡(luò)程序訪問(wèn)內(nèi)部局域網(wǎng)的同時(shí)，都需要通過(guò)登錄來(lái)連接主機(jī)，而主機(jī)的防火墻設(shè)置級(jí)別最高。數(shù)據(jù)包的過(guò)濾過(guò)程中要保持主機(jī)連接的狀態(tài)，對(duì)于允許可以連接的狀態(tài)需要進(jìn)行站點(diǎn)的安全保護(hù)，而主機(jī)在這種連接中如果認(rèn)為不會(huì)產(chǎn)生危險(xiǎn)時(shí)，才能夠通過(guò)防火墻將內(nèi)部局域網(wǎng)絡(luò)連接到外部互聯(lián)網(wǎng)。

隨著網(wǎng)絡(luò)和計(jì)算機(jī)的不斷發(fā)展，在網(wǎng)絡(luò)工程的安全建設(shè)方面還需要進(jìn)一步提升建設(shè)水平，采取先進(jìn)的安全網(wǎng)絡(luò)保護(hù)系統(tǒng)，從靜態(tài)和動(dòng)態(tài)兩方面對(duì)網(wǎng)絡(luò)工程進(jìn)行保護(hù)，建立起全面的網(wǎng)絡(luò)防御系統(tǒng)，提高網(wǎng)絡(luò)運(yùn)行的安全系數(shù)，這便對(duì)網(wǎng)絡(luò)工程的管理和建設(shè)人員提出了更高要求，因此，網(wǎng)絡(luò)工程的相關(guān)人員需要對(duì)網(wǎng)絡(luò)進(jìn)行不斷的學(xué)習(xí)，借鑒國(guó)外的安全保護(hù)措施，建立起能夠提升效率的網(wǎng)絡(luò)安全運(yùn)行機(jī)制，并對(duì)此機(jī)制進(jìn)行不斷的完善，使網(wǎng)絡(luò)傳輸能夠更加的安全可靠[5]。

3 結(jié)論

綜上所述，網(wǎng)絡(luò)工程的安全性直接影響了網(wǎng)絡(luò)的信息傳輸和計(jì)算機(jī)的安全。因此，對(duì)于網(wǎng)絡(luò)的安全隱患因素需要進(jìn)行系統(tǒng)的分析。文中分析，影響網(wǎng)絡(luò)的安全因素在于外部公共互聯(lián)網(wǎng)的病毒和程序的惡意代碼；內(nèi)部局域網(wǎng)絡(luò)的危險(xiǎn)因素在于非法登陸和信息篡改、盜取等行為，而針對(duì)這兩點(diǎn)危險(xiǎn)，文中作出詳細(xì)的分析，提出建議性防護(hù)措施。對(duì)外部互聯(lián)網(wǎng)進(jìn)行防護(hù)，防止惡意軟件攻擊，對(duì)互聯(lián)網(wǎng)產(chǎn)生超負(fù)荷工作，對(duì)傳輸?shù)臄?shù)據(jù)也進(jìn)行保護(hù)；對(duì)內(nèi)部局域網(wǎng)通過(guò)防火墻的設(shè)置進(jìn)行連接時(shí)的過(guò)濾和篩選，對(duì)未授權(quán)程序入侵進(jìn)行隔離等方法，保證了網(wǎng)絡(luò)工程的安全性和數(shù)據(jù)傳輸?shù)姆€(wěn)定性。

[參考文獻(xiàn)]

[1]李海江.基于網(wǎng)絡(luò)的工程設(shè)計(jì)與有限元分析系統(tǒng)的面向?qū)ο髽?gòu)建[D].大連理工大學(xué)，2003.

[2]秦庭榮.海運(yùn)綜合安全評(píng)估集成性方法（MIAM-FSA）構(gòu)建及其應(yīng)用研究[D].上海海事大學(xué)，2008.

[3]左紅艷.地下金屬礦山開采安全機(jī)理辨析及災(zāi)害智能預(yù)測(cè)研究[D].中南大學(xué)，2012.

篇9

隨著企業(yè)數(shù)量的不斷增多，企業(yè)各自的網(wǎng)站管理及瀏覽量也都面對(duì)著嚴(yán)峻的考驗(yàn)，而其中網(wǎng)絡(luò)安全方面更引起了社會(huì)的強(qiáng)烈關(guān)注，因此，構(gòu)建企業(yè)網(wǎng)絡(luò)信息安全體系成為當(dāng)務(wù)之急，尋找一些安全有效的途徑勢(shì)在必行。

1 挖掘網(wǎng)絡(luò)科技人才，增強(qiáng)企業(yè)網(wǎng)絡(luò)信息加密防護(hù)

企業(yè)大幅增加導(dǎo)致大量的網(wǎng)站逐漸增多，而來(lái)自不同環(huán)境中的瀏覽次數(shù)也在不斷攀升，這些都會(huì)對(duì)企業(yè)網(wǎng)絡(luò)信息安全造成一定的影響，輕者導(dǎo)致網(wǎng)絡(luò)系統(tǒng)失常，重者促使整個(gè)公司的網(wǎng)絡(luò)崩潰，一些重要的信息外泄，后果不堪設(shè)想。因此，杜絕企業(yè)網(wǎng)絡(luò)信息的流失才是根本之道，這也就需要大量的網(wǎng)絡(luò)科技人才，通過(guò)網(wǎng)絡(luò)編程與內(nèi)容編輯等各種方法增強(qiáng)企業(yè)網(wǎng)絡(luò)信息加密防護(hù)。

大量的網(wǎng)絡(luò)科技人才通過(guò)一套完整的信息編程加密措施，能夠保證企業(yè)網(wǎng)站在大量的瀏覽量下，幾乎不會(huì)感染病毒木馬，同時(shí)保證整個(gè)公司的網(wǎng)絡(luò)應(yīng)用順暢快捷。一些新的技術(shù)出現(xiàn)，其背后都存在團(tuán)隊(duì)的巨大付出，因此整個(gè)網(wǎng)絡(luò)科技團(tuán)隊(duì)的質(zhì)量也是企業(yè)網(wǎng)絡(luò)信息安全體系建立的關(guān)鍵因素，是整個(gè)公司網(wǎng)絡(luò)安全保障的基石。我們也可以仿效銀行網(wǎng)站的管理方式，雖然企業(yè)網(wǎng)站的瀏覽量不及銀行網(wǎng)站，或者企業(yè)網(wǎng)站的應(yīng)用性更狹窄一些，但是我們?cè)谄髽I(yè)網(wǎng)站的制作中加入銀行網(wǎng)站的幾個(gè)安全特性，這樣也會(huì)鞏固整個(gè)企業(yè)網(wǎng)絡(luò)安全屏障。企業(yè)網(wǎng)站也具備一定的注冊(cè)和登錄功能，此處我們就可以仿效銀行網(wǎng)站，在登錄時(shí)針對(duì)每個(gè)用戶實(shí)習(xí)密碼加密，這樣就會(huì)避免木馬等通過(guò)鍵盤痕跡等盜走用戶密碼，從而進(jìn)一步導(dǎo)致公司信息遭受重創(chuàng)的現(xiàn)象。

2 企業(yè)內(nèi)部人員對(duì)網(wǎng)站的不斷更新升級(jí)

目前，我國(guó)很多企業(yè)存在一個(gè)很嚴(yán)重的問(wèn)題，企業(yè)網(wǎng)站建成后基本上就不怎么用，只將其當(dāng)成一項(xiàng)業(yè)務(wù)完成，而沒(méi)有對(duì)其以后的持續(xù)管理及更新升級(jí)產(chǎn)生重視，置之不理。這種做法是極其錯(cuò)誤的，企業(yè)網(wǎng)站的一個(gè)最大的作用就是宣傳，讓廣大客戶群體能夠?qū)ζ髽I(yè)有一個(gè)充分的認(rèn)識(shí)，及時(shí)把握公司的一些新的信息動(dòng)態(tài)。大多數(shù)企業(yè)的這種針對(duì)企業(yè)網(wǎng)站置之不理的行為，不但對(duì)自身的發(fā)展制造了障礙，對(duì)整個(gè)社會(huì)的網(wǎng)絡(luò)體系也構(gòu)成了污染，網(wǎng)站發(fā)揮不到應(yīng)有的作用，還占有域名，讓一些想通過(guò)網(wǎng)站大量宣傳自己的企業(yè)不能申請(qǐng)。這些現(xiàn)象都應(yīng)該引起國(guó)家有關(guān)網(wǎng)絡(luò)管理部門和企業(yè)內(nèi)部人員的重視，積極提出建議及正確做法，做到企業(yè)網(wǎng)絡(luò)信息的不斷更新與升級(jí)，這樣才會(huì)保證網(wǎng)站的永久創(chuàng)新，也減少了安全信息危害的危險(xiǎn)。

當(dāng)然，現(xiàn)在很多企業(yè)已經(jīng)成立了網(wǎng)絡(luò)部門，目的就是針對(duì)網(wǎng)絡(luò)速度和安全威脅方面提高警惕，采取措施積極阻止。企業(yè)內(nèi)部人員在網(wǎng)站管理方面不但要有一定的理論知識(shí)外，更要將其應(yīng)用與實(shí)踐，達(dá)到兩者之間的巧妙結(jié)合。純網(wǎng)站技術(shù)人員還需要積極參與到整個(gè)公司的輪崗經(jīng)驗(yàn)實(shí)習(xí)過(guò)程中，了解其他部門的工作事項(xiàng)及內(nèi)容，全面學(xué)習(xí)網(wǎng)站編輯工作，促使真?zhèn)€公司的近期動(dòng)態(tài)呈現(xiàn)在網(wǎng)站上面，這樣可以保證客戶群體明晰企業(yè)的發(fā)展動(dòng)態(tài)，也做到了對(duì)客戶負(fù)責(zé)任的目的。企業(yè)內(nèi)部員工應(yīng)力求保證積極的心態(tài)，參與到企業(yè)網(wǎng)站建設(shè)當(dāng)中去，針對(duì)各自部門的安全信息一定要加密防護(hù)，防止外泄，保證網(wǎng)站建設(shè)順利進(jìn)行的同時(shí)，公司的工作狀態(tài)及安全信息也能夠妥當(dāng)處置，對(duì)公司內(nèi)部和外部的客戶群體都有一個(gè)很好的交代，促進(jìn)整個(gè)企業(yè)的發(fā)展順利向前。

篇10

關(guān)鍵詞 虛擬局域網(wǎng)；校園網(wǎng)絡(luò)；安全體系

中圖分類號(hào)TP39 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708（2013）83-0202-02

1 網(wǎng)絡(luò)安全體系的定義

通常情況下，為了能夠保證校園網(wǎng)絡(luò)運(yùn)行的安全穩(wěn)定，校園網(wǎng)的大部分?jǐn)?shù)據(jù)資源都只允許在內(nèi)部中完成訪問(wèn)。例如校園網(wǎng)絡(luò)的OA系統(tǒng)、校內(nèi)郵件系統(tǒng)等等，這些系統(tǒng)的訪問(wèn)和使用都必須在校園網(wǎng)內(nèi)部操作，嚴(yán)重制約了教師、學(xué)生在個(gè)人家庭中通過(guò)訪問(wèn)校園網(wǎng)來(lái)收取學(xué)校通知、查看個(gè)人成績(jī)、瀏覽校園新聞等功能。如果校園網(wǎng)內(nèi)部應(yīng)用服務(wù)器一旦發(fā)生了故障，如果專業(yè)管理人員此時(shí)也沒(méi)有在學(xué)校時(shí)，就無(wú)法完成對(duì)校園網(wǎng)的維護(hù)操作，如果部分教師由于需要出差完成科研交流等工作時(shí)，也無(wú)法查看關(guān)于科研項(xiàng)目的校內(nèi)數(shù)據(jù)資源。

網(wǎng)絡(luò)安全體系指的是一套完整的計(jì)劃設(shè)計(jì)，主要包括能夠?yàn)榫W(wǎng)絡(luò)用戶提供安全穩(wěn)定的服務(wù)；能夠保證網(wǎng)絡(luò)中所有系統(tǒng)的正常運(yùn)行服務(wù)；對(duì)網(wǎng)絡(luò)中系統(tǒng)的安全級(jí)別提出要求并完成設(shè)置。一套完整的網(wǎng)絡(luò)安全體系中的必備設(shè)計(jì)原則有數(shù)據(jù)傳輸安全、計(jì)算機(jī)系統(tǒng)安全、網(wǎng)絡(luò)用戶安全、網(wǎng)絡(luò)管理安全、物理架構(gòu)安全等等，既要能夠?qū)阂獾耐饨缛肭中袨檫M(jìn)行制止，還要能夠同時(shí)應(yīng)對(duì)網(wǎng)絡(luò)中的其他安全威脅。

2 虛擬局域網(wǎng)關(guān)鍵技術(shù)

2.1用戶認(rèn)證技術(shù)

虛擬局域網(wǎng)中的用戶身份核實(shí)確認(rèn)大部分都是通過(guò)用戶認(rèn)證技術(shù)實(shí)現(xiàn)的，對(duì)系統(tǒng)用戶進(jìn)行相應(yīng)授權(quán)之后能夠保證控制訪問(wèn)資源。一般情況下，網(wǎng)絡(luò)認(rèn)證協(xié)議采用的都是報(bào)文摘要技術(shù)，主要是用于驗(yàn)證數(shù)據(jù)信息的完整性和對(duì)用戶身份進(jìn)行認(rèn)證，通過(guò)利用哈希（HASH）函數(shù)將數(shù)據(jù)報(bào)文的長(zhǎng)度進(jìn)行一系列變換，使其能夠成為固定長(zhǎng)度的報(bào)文摘要，但是由于哈希函數(shù)自身的特性又難以在不同的報(bào)文信息中將報(bào)文摘要變換成固定長(zhǎng)度。

2.2數(shù)據(jù)加密技術(shù)

虛擬局域網(wǎng)數(shù)據(jù)傳輸?shù)倪^(guò)程中主要應(yīng)用的是數(shù)據(jù)加密技術(shù)，來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)的偽裝和隱藏。但是，如果在傳輸?shù)倪^(guò)程中數(shù)據(jù)信息經(jīng)過(guò)互聯(lián)網(wǎng)產(chǎn)生了安全威脅，那么即使已經(jīng)通過(guò)了用戶認(rèn)證，也不能保證數(shù)據(jù)信息的安全傳輸。因此，在網(wǎng)絡(luò)發(fā)送端應(yīng)該將用戶認(rèn)證進(jìn)行加密之后再完成數(shù)據(jù)信息的傳輸，在網(wǎng)絡(luò)接收端通過(guò)用戶認(rèn)證之后再對(duì)數(shù)據(jù)信息進(jìn)行解密。密鑰類型主要包括對(duì)稱加密和非對(duì)稱加密兩種，在實(shí)際應(yīng)用中大多數(shù)采用的都是對(duì)稱加密措施，如果是機(jī)密數(shù)據(jù)信息則采取公鑰加密技術(shù)。

2.3訪問(wèn)控制技術(shù)

訪問(wèn)控制技術(shù)主要是對(duì)用戶是否能夠?qū)ο到y(tǒng)發(fā)起訪問(wèn)進(jìn)行控制，運(yùn)行具有相應(yīng)授權(quán)的用戶訪問(wèn)系統(tǒng)資源，對(duì)沒(méi)有授權(quán)的用戶對(duì)系統(tǒng)資源發(fā)起訪問(wèn)和獲取時(shí)立刻進(jìn)行阻止。

3 校園網(wǎng)絡(luò)安全體系設(shè)計(jì)

本文設(shè)計(jì)提出的基于虛擬局域網(wǎng)技術(shù)的校園網(wǎng)絡(luò)安全體系設(shè)計(jì)方案主要是為了解決某高校老校區(qū)與新校區(qū)之間信息互通、資源共享、專網(wǎng)整合的問(wèn)題，由此構(gòu)建出一條專用的虛擬局域網(wǎng)安全通道，從而保證這些重要數(shù)據(jù)資源能夠在校園網(wǎng)中安全穩(wěn)定地傳輸。

3.1系統(tǒng)設(shè)計(jì)原則

1）安全保障

虛擬局域網(wǎng)系統(tǒng)的重要職能就是保證網(wǎng)絡(luò)的安全穩(wěn)定，以及在互聯(lián)網(wǎng)傳輸過(guò)程中數(shù)據(jù)信息的安全可靠，因此，虛擬局域網(wǎng)系統(tǒng)的安全保證必須包括用戶身份認(rèn)證、數(shù)據(jù)信息保密和數(shù)據(jù)信息完整。

2）多平臺(tái)兼容

虛擬局域網(wǎng)系統(tǒng)的關(guān)鍵功能就是要保證用戶不受時(shí)間和地域的限制對(duì)系統(tǒng)資源發(fā)起訪問(wèn)，以及當(dāng)用戶進(jìn)行移動(dòng)辦公時(shí)要保證網(wǎng)絡(luò)連接的安全可靠。

3）訪問(wèn)控制權(quán)限

校園網(wǎng)的虛擬局域網(wǎng)系統(tǒng)主要是為多個(gè)應(yīng)用程序提供保護(hù)的，因此要設(shè)置不同的用戶訪問(wèn)控制策略，使得擁有不同權(quán)限的用戶能夠訪問(wèn)相應(yīng)的系統(tǒng)資源。

4）平臺(tái)管理簡(jiǎn)潔

虛擬局域網(wǎng)服務(wù)器應(yīng)該為用戶和系統(tǒng)管理員提供良好的應(yīng)用管理操作界面，在方便用戶對(duì)系統(tǒng)資源進(jìn)行訪問(wèn)操作的同時(shí)，還要保證系統(tǒng)管理員的安全維護(hù)操作簡(jiǎn)單便捷，更要為服務(wù)器與用戶之間的通問(wèn)、安全日志等做好記錄。

3.2系統(tǒng)功能模型

根據(jù)校園網(wǎng)絡(luò)的實(shí)際安全需求和虛擬局域網(wǎng)系統(tǒng)的設(shè)計(jì)原則，虛擬局域網(wǎng)系統(tǒng)的功能模型主要包括用戶身份認(rèn)證模塊、數(shù)據(jù)傳輸模塊、訪問(wèn)控制模塊和系統(tǒng)管理模塊。

1）用戶身份認(rèn)證模塊

虛擬局域網(wǎng)系統(tǒng)客戶端通過(guò)采取數(shù)字證書的認(rèn)證方式對(duì)用戶身份進(jìn)行核實(shí)；服務(wù)器對(duì)系統(tǒng)客戶端進(jìn)行認(rèn)證時(shí)需要采取不同的認(rèn)證方法，如果用戶通過(guò)遠(yuǎn)程網(wǎng)絡(luò)連接到虛擬局域網(wǎng)中，服務(wù)器則采用用戶名+密碼的認(rèn)證方式對(duì)用戶合法身份進(jìn)行識(shí)別，在校園網(wǎng)內(nèi)部則采取數(shù)字證書的方式對(duì)用戶身份進(jìn)行識(shí)別。

2）數(shù)據(jù)傳輸模塊

數(shù)據(jù)傳輸模塊的主要功能是采取相應(yīng)加密算法對(duì)數(shù)據(jù)進(jìn)行加密之后傳輸給接收方，以及對(duì)接收到的數(shù)據(jù)進(jìn)行解密。

3）訪問(wèn)控制模塊

訪問(wèn)控制模塊主要是根據(jù)已經(jīng)設(shè)置完成的訪問(wèn)控制策略來(lái)控制系統(tǒng)中的資源是否能夠被用戶進(jìn)行訪問(wèn)和操作。

4）系統(tǒng)管理模塊

系統(tǒng)管理模塊主要負(fù)責(zé)對(duì)虛擬局域網(wǎng)系統(tǒng)服務(wù)器的日常服務(wù)信息進(jìn)行記錄，包括訪問(wèn)日期、訪問(wèn)時(shí)間、網(wǎng)絡(luò)使用情況等等，并生成對(duì)應(yīng)的日志報(bào)告。

3.3系統(tǒng)詳細(xì)設(shè)計(jì)

本文提出的基于虛擬局域網(wǎng)技術(shù)的校園內(nèi)部網(wǎng)設(shè)計(jì)方案如圖1所示。

學(xué)校的新校區(qū)和老校區(qū)之間通過(guò)采用虛擬局域網(wǎng)技術(shù)，建立起一道校園內(nèi)部虛擬局域網(wǎng)通道，將新校區(qū)與老校區(qū)利用光纖實(shí)現(xiàn)網(wǎng)絡(luò)連接，將網(wǎng)絡(luò)的出口端設(shè)置在新校區(qū)。校園網(wǎng)中的財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)和一卡通管理系統(tǒng)都需要通過(guò)同一個(gè)鏈路與新校區(qū)進(jìn)行連接，因此，我們采用虛擬局域網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對(duì)鏈路進(jìn)行數(shù)據(jù)加密，從而保證通過(guò)這條鏈路傳輸?shù)臄?shù)據(jù)能夠安全可靠。

校園網(wǎng)中的一般用戶的訪問(wèn)控制策略安全級(jí)別的設(shè)置可以相對(duì)較低，一般用戶安全級(jí)別如果設(shè)置過(guò)高則會(huì)耗費(fèi)大量的系統(tǒng)資源，造成無(wú)法訪問(wèn)或網(wǎng)絡(luò)癱瘓的情況出現(xiàn)。對(duì)于校園網(wǎng)中的財(cái)務(wù)管理部門、人事管理部門和后勤服務(wù)部門來(lái)說(shuō)，應(yīng)該采取兩層架構(gòu)隔離的方法接入到校園網(wǎng)中，再通過(guò)內(nèi)部網(wǎng)關(guān)協(xié)議與核心交換機(jī)連接，從而保證在新校區(qū)與老校區(qū)之間實(shí)現(xiàn)數(shù)據(jù)加密傳輸。

4結(jié)論

綜上所述，本文從校園網(wǎng)實(shí)際需求角度出發(fā)，將虛擬局域網(wǎng)技術(shù)應(yīng)用到校園網(wǎng)建設(shè)當(dāng)中，提出了一套校園網(wǎng)絡(luò)安全體系設(shè)計(jì)方案，能夠有效保證新校區(qū)與老校區(qū)之間的數(shù)據(jù)通信、數(shù)據(jù)共享和數(shù)據(jù)整合安全，具有較強(qiáng)的理論指導(dǎo)意義。

參考文獻(xiàn)