導(dǎo)語：如何才能寫好一篇計(jì)算機(jī)網(wǎng)絡(luò)分析論文，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

信息安全的內(nèi)涵隨著信息技術(shù)的不斷發(fā)展而得到了擴(kuò)展，從原始的保密性逐漸增加了完整性、可控性及可用性等，最終形成的集攻擊、防范、檢測(cè)與控制、管理、評(píng)估等與一體的理論體系。傳統(tǒng)的信息安全技術(shù)將注意力都集中在計(jì)算機(jī)系統(tǒng)本身的安全方面，針對(duì)單機(jī)系統(tǒng)環(huán)境而進(jìn)行設(shè)置，不能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)環(huán)境安全進(jìn)行良好的描述，也缺乏有效應(yīng)對(duì)動(dòng)態(tài)安全問題的措施。隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展與推廣，互聯(lián)網(wǎng)逐漸具備了動(dòng)態(tài)變化性，而傳統(tǒng)的靜態(tài)安全模式已經(jīng)不能夠滿足其安全要求了。在這種背景之下，信息安全體系結(jié)構(gòu)的出現(xiàn)更好地滿足了計(jì)算機(jī)網(wǎng)絡(luò)的安全需求，因此得到了迅速的發(fā)展與推廣。信息安全體系結(jié)構(gòu)的思路為：通過不同安全防護(hù)因素的相互結(jié)合實(shí)現(xiàn)比單一防護(hù)更加有效的綜合型防護(hù)屏障，這種安全防護(hù)體系結(jié)構(gòu)能夠更好地降低黑客對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的入侵與破壞，確保計(jì)算機(jī)網(wǎng)絡(luò)安全。

計(jì)算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)的主要作用就是為信息保障、數(shù)據(jù)傳遞奠定堅(jiān)實(shí)的基礎(chǔ)。隨著計(jì)算機(jī)網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)與壓力的不斷增大，為了能夠更好地確保信息安全，必須注重計(jì)算機(jī)網(wǎng)信息安全體系結(jié)構(gòu)完整性、實(shí)用性的提高。在科技的不斷發(fā)展與進(jìn)步的基礎(chǔ)之上，提出了計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)——WPDRRC結(jié)構(gòu)，不同的字母代表不同的環(huán)節(jié)，主要包括warnin（g預(yù)警）、protect（保護(hù)）、detectio（n檢測(cè)）、respons（e響應(yīng)）、restor（e恢復(fù)）、counterattac（k反擊）六個(gè)方面，各個(gè)環(huán)節(jié)之間由于時(shí)間關(guān)系而具有動(dòng)態(tài)反饋的關(guān)系。在計(jì)算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)中，預(yù)警模塊、保護(hù)模塊與檢測(cè)模塊都是以預(yù)防性為主的，通過保護(hù)與檢測(cè)行為對(duì)黑客入侵計(jì)算機(jī)進(jìn)行較為有效的制止。當(dāng)前，雖然計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)已經(jīng)比較先進(jìn)，但是由于計(jì)算機(jī)網(wǎng)絡(luò)所具有的開放性，其安全性依舊是面臨一定威脅的。因此，在計(jì)算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)中，響應(yīng)模塊、恢復(fù)模塊與反擊模塊主要的作用是解決實(shí)質(zhì)性的工作，對(duì)已經(jīng)出現(xiàn)的各種安全問題進(jìn)行有效地解決，確保計(jì)算機(jī)網(wǎng)絡(luò)信息安全。

1.1warnin（g預(yù)警）整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)中，預(yù)警模塊是最為根本的所在，主要的作用是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的信息安全進(jìn)行診斷，該診斷具有預(yù)防性。同時(shí)，預(yù)警結(jié)構(gòu)通過研究計(jì)算機(jī)網(wǎng)絡(luò)的性能，提出具有科學(xué)性與合理性的評(píng)估報(bào)告。

1.2protect（保護(hù)）保護(hù)結(jié)構(gòu)主要的作用是對(duì)計(jì)算機(jī)的信息安全系統(tǒng)提供保護(hù)，確保計(jì)算機(jī)網(wǎng)絡(luò)在使用過程中的安全性，有效地封鎖、控制外界對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的入侵及攻擊行為。保護(hù)結(jié)構(gòu)能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全設(shè)置，實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的檢查與保護(hù)，其檢查與保護(hù)工作的重點(diǎn)內(nèi)容就是網(wǎng)絡(luò)總存在的各種可能被攻擊的點(diǎn)或者是存在的漏洞，通過這些方式為信息數(shù)據(jù)在計(jì)算機(jī)網(wǎng)絡(luò)中的安全、通暢應(yīng)用提供條件。

1.3detectio（n檢測(cè)）計(jì)算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)中的檢查結(jié)構(gòu)主要的作用是對(duì)計(jì)算機(jī)受到的各種攻擊行為進(jìn)行及時(shí)、準(zhǔn)確的發(fā)覺。在整個(gè)信息安全體系結(jié)構(gòu)中，檢測(cè)結(jié)構(gòu)具有隱蔽性，主要的目的是防止黑客發(fā)現(xiàn)并惡意修改信息安全體系結(jié)構(gòu)中的檢測(cè)模塊，確保檢測(cè)模塊能夠持續(xù)為計(jì)算機(jī)網(wǎng)絡(luò)提供保護(hù)，同時(shí)還能夠促進(jìn)檢測(cè)模塊自身保護(hù)能力的提高。檢測(cè)模塊一般情況下需要與保護(hù)模塊進(jìn)行配合應(yīng)用，從而促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)保護(hù)能力與檢測(cè)能力的提高。

1.4respons（e響應(yīng)）當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中出現(xiàn)入侵行為之后，需要及時(shí)通過凍結(jié)措施對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行凍結(jié)，從而防止黑客的入侵行為進(jìn)一個(gè)侵入到計(jì)算機(jī)網(wǎng)絡(luò)中。同時(shí)，要通過相應(yīng)的響應(yīng)模塊對(duì)入侵進(jìn)行響應(yīng)。例如，計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中可以通過阻斷響應(yīng)系統(tǒng)技術(shù)實(shí)現(xiàn)對(duì)入侵及時(shí)、準(zhǔn)確的響應(yīng)，杜絕黑客對(duì)計(jì)算機(jī)網(wǎng)絡(luò)更加深入的入侵行為。

1.5restor（e恢復(fù)）計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中的恢復(fù)模塊主要的作用是在計(jì)算機(jī)網(wǎng)絡(luò)遭受到黑客的攻擊與入侵之后，對(duì)已經(jīng)損壞的信息數(shù)據(jù)等進(jìn)行及時(shí)的恢復(fù)。在對(duì)其進(jìn)行恢復(fù)的過程中，主要的原理為事先對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的信息文件與數(shù)據(jù)資源進(jìn)行備份工作，當(dāng)其受到攻擊與入侵之后通過自動(dòng)恢復(fù)功能對(duì)其進(jìn)行修復(fù)。

1.6counterattac（k反擊）計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中的反擊模塊具有較高的性能，主要的作用為通過標(biāo)記跟蹤功能對(duì)黑客的入侵與攻擊進(jìn)行跟蹤與標(biāo)記，之后對(duì)其進(jìn)行反擊。反擊模塊首先針對(duì)黑客的入侵行為進(jìn)行跟蹤與標(biāo)記，在此基礎(chǔ)上利用偵查系統(tǒng)對(duì)黑客入侵的方式、途徑及黑客的地址等進(jìn)行解析，保留黑客對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行入侵的證據(jù)。與此同時(shí)，反擊模塊會(huì)采用一定的反擊措施，對(duì)黑客的再次攻擊進(jìn)行有效的防范。

2計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)的防護(hù)分析

當(dāng)前，在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)進(jìn)行防護(hù)的過程中，較為常用的就是WPDRRC結(jié)構(gòu)，其主要的流程包括攻擊前防護(hù)、攻擊中防護(hù)與攻擊后防護(hù)三個(gè)方面。

2.1信息安全體系結(jié)構(gòu)被攻擊前防護(hù)工作在整個(gè)的計(jì)算機(jī)網(wǎng)絡(luò)中，不同的文件有著不同的使用頻率，而那些使用頻率越高的文件就越容易受到黑客的攻擊。因此，信息安全體系結(jié)構(gòu)的被攻擊前防護(hù)工作的主要內(nèi)容就是對(duì)這些比較容易受到黑客攻擊的文件進(jìn)行保護(hù)，主要的保護(hù)方式包括防火墻、網(wǎng)絡(luò)訪問控制等。通過WPDRRC結(jié)構(gòu)對(duì)其中存在的威脅因素進(jìn)行明確，有針對(duì)性地進(jìn)行解決措施的完善。

2.2信息安全體系結(jié)構(gòu)被攻擊中防護(hù)工作當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊之后，信息安全體系結(jié)構(gòu)的主要防護(hù)工作為阻止正在進(jìn)行中的攻擊行為。WPDRRC結(jié)構(gòu)能夠通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)文件的綜合分析對(duì)正在進(jìn)行中的攻擊行為進(jìn)行風(fēng)險(xiǎn)，同時(shí)能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)中各個(gè)細(xì)節(jié)存在的變動(dòng)進(jìn)行感知，最終對(duì)黑客的攻擊行為進(jìn)行有效的制止。

2.3信息安全體系結(jié)構(gòu)被攻擊后防護(hù)工作當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊之后，信息安全體系結(jié)構(gòu)主要的防護(hù)工作內(nèi)容為對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中出現(xiàn)的破壞進(jìn)行修復(fù)，為計(jì)算機(jī)網(wǎng)絡(luò)的政策運(yùn)行提供基礎(chǔ)。同時(shí)，恢復(fù)到對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的保護(hù)中。

3計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中加入人為因素

IT領(lǐng)域中都是以技術(shù)人員為主體來對(duì)產(chǎn)業(yè)雛形進(jìn)行構(gòu)建的，因此在IT領(lǐng)域中往往存在著及其重視技術(shù)的現(xiàn)象，主要的表現(xiàn)為以功能單純而追求縱向性能的產(chǎn)品為代表，產(chǎn)品的覆蓋范圍限制在技術(shù)體系部分，缺乏對(duì)組織體系、管理體系等其他重要組成部分的重視。因此，只有在計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中加入人為因素才具有現(xiàn)實(shí)意義。在計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)的構(gòu)建過程中，應(yīng)該注重以組織體系為本，以技術(shù)體系為支撐，以管理系統(tǒng)為保證，實(shí)現(xiàn)三者之間的均衡，從而真正發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)的重要作用。

4總結(jié)

篇2

影響計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅具有以下這些特征：第一，突發(fā)性。計(jì)算機(jī)網(wǎng)絡(luò)在運(yùn)行的過程中，遭受的破壞，沒有任何的預(yù)示，具有突發(fā)性，而且這種破壞有較強(qiáng)的傳播和擴(kuò)散性。計(jì)算機(jī)網(wǎng)絡(luò)安全受到影響后，會(huì)對(duì)計(jì)算機(jī)群體、個(gè)體等進(jìn)行攻擊，使得整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)連環(huán)性破壞。計(jì)算機(jī)網(wǎng)絡(luò)在運(yùn)行的過程中具有共享性，以及互聯(lián)性，所以其在計(jì)算機(jī)網(wǎng)絡(luò)受到破壞后，會(huì)產(chǎn)生較大的破壞。第二，破壞性。計(jì)算機(jī)網(wǎng)絡(luò)受到惡意的攻擊，會(huì)使得整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)癱瘓、破壞等，使得計(jì)算機(jī)網(wǎng)絡(luò)無法正常的運(yùn)行和工作。當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)受到病毒攻擊后，一旦這些病毒在計(jì)算機(jī)網(wǎng)絡(luò)中得到激活，就會(huì)迅速的將整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)感染，造成計(jì)算機(jī)中的信息、數(shù)據(jù)等丟失、泄露等，產(chǎn)生較大的破壞，嚴(yán)重的影響到計(jì)算機(jī)用戶信息的安全，甚至影響到國家的安全。第三，隱蔽性。計(jì)算機(jī)網(wǎng)絡(luò)受到的攻擊、破壞具有潛伏性，其很隱蔽的潛伏在計(jì)算機(jī)中。計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊，是因?yàn)橛?jì)算機(jī)使用者在日常的使用中，對(duì)于計(jì)算機(jī)的安全保護(hù)，疏于防范，造成網(wǎng)絡(luò)病毒潛伏在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，一旦對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊的條件滿足后，就會(huì)對(duì)計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊。當(dāng)前在計(jì)算機(jī)網(wǎng)絡(luò)安全中，存在的安全隱患主要有：①口令入侵。計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的過程中，存在的口令入侵安全隱患，主要是一些非法入侵者，使用計(jì)算機(jī)網(wǎng)絡(luò)中的一些合法的用戶口令、賬號(hào)等進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)的登陸，并對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊破壞。計(jì)算機(jī)網(wǎng)絡(luò)安全的口令入侵安全隱患，在非法入侵者將計(jì)算機(jī)網(wǎng)絡(luò)使用者的用戶口令、密碼破解之后，就會(huì)利用合法用戶的賬號(hào)進(jìn)行登錄，然后進(jìn)入網(wǎng)絡(luò)中進(jìn)行攻擊。②網(wǎng)址欺騙技術(shù)。在計(jì)算機(jī)網(wǎng)絡(luò)用戶使用計(jì)算機(jī)網(wǎng)絡(luò)的過程中，其通過方位網(wǎng)頁、Web站點(diǎn)等，在計(jì)算機(jī)網(wǎng)絡(luò)用戶通過網(wǎng)絡(luò)訪問各個(gè)網(wǎng)站的過程中，往往忽視網(wǎng)絡(luò)的安全性問題，正是因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)的合法用戶在使用的過程中，沒有關(guān)注到安全問題，為黑客留下了破壞的機(jī)會(huì)。黑客利用用戶訪問的網(wǎng)站、網(wǎng)頁等，將其信息篡改，將計(jì)算機(jī)網(wǎng)絡(luò)使用者訪問的URL篡改為黑客所使用的計(jì)算機(jī)的服務(wù)器，在計(jì)算機(jī)網(wǎng)絡(luò)用戶再次登陸這些網(wǎng)站、網(wǎng)頁的同時(shí)，就會(huì)出現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞，而黑客就會(huì)利用這些安全漏洞，對(duì)合法用戶的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊。③電郵攻擊。在計(jì)算機(jī)網(wǎng)絡(luò)實(shí)際運(yùn)行中，產(chǎn)生這些安全隱患的影響因素有很多，例如計(jì)算機(jī)網(wǎng)絡(luò)的軟件技術(shù)、硬件技術(shù)不完善；計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全配置建立不完善；計(jì)算機(jī)網(wǎng)絡(luò)安全制度不健全等等，這些都會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全使用產(chǎn)生危害，為此需要加強(qiáng)計(jì)算網(wǎng)絡(luò)安全的防范。

2模糊層次分析法特征及其在計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)中的實(shí)施步驟

2.1模糊層次分析法特征

模糊綜合評(píng)價(jià)法是把傳統(tǒng)層次分析與模糊數(shù)學(xué)各方面優(yōu)勢(shì)考慮其中的綜合型評(píng)價(jià)方法。層次分析法重視人的思想判斷在科學(xué)決策中的作用，把人的主觀判斷數(shù)字化，從而有助于人們對(duì)復(fù)雜的、難以精確定量的問題實(shí)施量化分析。首先我們采用模糊數(shù)構(gòu)造判斷矩陣替代單純的1-9標(biāo)度法解決相對(duì)應(yīng)的量化問題，其次，采用模糊綜合評(píng)價(jià)法的模糊數(shù)對(duì)不同因素的重要性實(shí)施準(zhǔn)確的定位于判斷。

2.2模糊層次分析法步驟

網(wǎng)絡(luò)安全是一門設(shè)計(jì)計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、信息安全技術(shù)等多種學(xué)科的綜合技術(shù)。計(jì)算機(jī)網(wǎng)絡(luò)是現(xiàn)代科技化的重要信息平臺(tái)，網(wǎng)絡(luò)安全評(píng)價(jià)是在保障網(wǎng)絡(luò)系統(tǒng)安全性能的基礎(chǔ)上，實(shí)施的相關(guān)網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全管理工作，并把操作環(huán)境、人員心理等各個(gè)方面考慮其中，滿足安全上網(wǎng)的環(huán)境氛圍。隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)應(yīng)用已經(jīng)牽涉多個(gè)領(lǐng)域，人們對(duì)網(wǎng)絡(luò)的依賴度也日益加深，網(wǎng)絡(luò)安全成為重要的問題。采用模擬層次分析法對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行評(píng)價(jià)，模擬層次分析法實(shí)際使用步驟如下：2.2.1創(chuàng)建層次結(jié)構(gòu)模型模糊層次分析法首先要從問題的性質(zhì)及達(dá)到的總目標(biāo)進(jìn)行分析，把問題劃分為多個(gè)組成因素，并根據(jù)各個(gè)因素之間的相互關(guān)系把不同層次聚集組合，創(chuàng)建多層次結(jié)構(gòu)模型。2.2.2構(gòu)建模糊判斷矩陣因計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)組各個(gè)專家根據(jù)1-9標(biāo)度說明，采用兩兩比較法，逐層對(duì)各個(gè)因素進(jìn)行分析，并對(duì)上個(gè)層次某因素的重要性展開判斷，隨之把判斷時(shí)間采用三角模糊數(shù)表示出現(xiàn)，從而創(chuàng)建模糊判斷矩陣。2.2.3層次單排序去模糊化是為把模糊判斷矩陣轉(zhuǎn)換為非模糊化判斷矩陣，隨之在非模糊狀態(tài)下使用模糊層次分析法。去模糊化之后對(duì)矩陣對(duì)應(yīng)的最大根λmax的特征向量進(jìn)行判斷，對(duì)同一層次相對(duì)應(yīng)的因素對(duì)上層某因素的重要性進(jìn)行排序權(quán)值。2.2.4一致性檢驗(yàn)為確保評(píng)價(jià)思維判斷的一致性，必須對(duì)（Aa）λ實(shí)施一致性檢驗(yàn)。一致性指標(biāo)CI及比率CR采用以下公式算出：CI=（λmax-n）（/n-1）；CR=CI/RI，在上述公式中，n表示判斷矩陣階數(shù)，RI表示一致性指標(biāo)。2.2.5層次總排序進(jìn)行層次總排序是對(duì)最底層各個(gè)方案的目標(biāo)層進(jìn)行權(quán)重。經(jīng)過權(quán)重計(jì)算，使用自上而下的辦法，把層次單排序的結(jié)果逐層進(jìn)行合成。

3模糊層次分析法在計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)中的具體應(yīng)用

使用模糊層分析法對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全展開評(píng)價(jià)，我們必須以全面科學(xué)、可比性等原則創(chuàng)建有價(jià)值的安全評(píng)價(jià)體系。實(shí)際進(jìn)行抽象量化時(shí)，使用三分法把計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)內(nèi)的模糊數(shù)定義成aij=（Dij，Eij，F(xiàn)ij），其中Dij<Eij<Fij，Dij，Eij，F(xiàn)ij[1/9，1]，[1，9]這些符號(hào)分別代表aij的下界、中界、上界。把計(jì)算機(jī)網(wǎng)絡(luò)安全中多個(gè)因素考慮其中，把它劃分為目標(biāo)層、準(zhǔn)則層和決策層三個(gè)等級(jí)目，其中準(zhǔn)則層可以劃分為兩個(gè)級(jí)別，一級(jí)模塊采用物理安全（C1）、邏輯安全（C2）、安全管理（C3）等因素組成，二級(jí)模塊則劃分為一級(jí)因子細(xì)化后的子因子。依照傳統(tǒng)的AHP1-9標(biāo)度法，根據(jù)各個(gè)因素之間的相互對(duì)比標(biāo)度因素的重要度，標(biāo)度法中把因素分別設(shè)為A、B，標(biāo)度1代表A與B相同的重要性，標(biāo)度3代表A比B稍微重要一點(diǎn)，標(biāo)度5代表A比B明顯重要，標(biāo)度7則表示A比B強(qiáng)烈重要，標(biāo)度9代表A比B極端重要。如果是倒數(shù)，應(yīng)該依照矩陣進(jìn)行判斷。以此為基礎(chǔ)創(chuàng)建不同層次的模糊判斷矩陣，根據(jù)目標(biāo)層、準(zhǔn)基層、決策層的模糊對(duì)矩陣進(jìn)行判斷，例如：當(dāng)C1=（1，1,1）時(shí)，C11=C12=C13=（1，1，1）。采用這種二分法或許各個(gè)層次相對(duì)應(yīng)的模糊矩陣，同時(shí)把次矩陣特征化方法進(jìn)行模糊。獲取如下結(jié)果：準(zhǔn)則層相對(duì)于目標(biāo)層權(quán)重（wi），物理、邏輯、安全管理數(shù)據(jù)為：0.22、0.47、0.31。隨之對(duì)應(yīng)用層次單排序方根法實(shí)施權(quán)重單排序，同時(shí)列出相對(duì)于的最大特征根λmax。為確保判斷矩陣的準(zhǔn)確性和一致性，必須對(duì)模糊化之后的矩陣實(shí)施一致性檢驗(yàn)，計(jì)算出一致性指標(biāo)CI、CR數(shù)值，其中CI=（λmax-n）（/n-1），CR=CI/RI，當(dāng)CR<0.1的時(shí)候，判斷矩陣一致性是否兩否，不然實(shí)施修正。最后使用乘積法對(duì)最底層的排序權(quán)重進(jìn)行計(jì)算，確?；蛟S方案層相對(duì)于目標(biāo)層的總排序權(quán)重。

4結(jié)語

篇3

 

1 概述

 

目前，在我國很多高校開設(shè)了網(wǎng)絡(luò)信息安課程，該課程是信息安全專業(yè)的一門基礎(chǔ)課，也是網(wǎng)絡(luò)工程專業(yè)的一門必修課。網(wǎng)絡(luò)信息安全課程理論性強(qiáng)，實(shí)踐性強(qiáng)，并且教學(xué)內(nèi)容隨著信息技術(shù)的發(fā)展也在不斷地變化，這給教學(xué)工作帶來很大挑戰(zhàn)。由于專業(yè)性質(zhì)不同，為了使網(wǎng)絡(luò)信息安全課程的教學(xué)符合網(wǎng)絡(luò)工程專業(yè)的特點(diǎn)，并且跟上信息技術(shù)瞬息萬變的步伐，達(dá)到培養(yǎng)人才的目標(biāo)，我們?cè)诙嗄杲虒W(xué)實(shí)踐的基礎(chǔ)上，不斷地進(jìn)行總結(jié)和探索。

 

2 網(wǎng)絡(luò)工程專業(yè)特點(diǎn)

 

網(wǎng)絡(luò)工程是將計(jì)算機(jī)技術(shù)和通信技術(shù)緊密結(jié)合而形成的新興的技術(shù)領(lǐng)域，尤其在當(dāng)今互聯(lián)網(wǎng)技術(shù)以及互聯(lián)網(wǎng)經(jīng)濟(jì)迅速發(fā)展的環(huán)境下，網(wǎng)絡(luò)工程技術(shù)已經(jīng)成為計(jì)算機(jī)乃至信息技術(shù)界關(guān)注的重要領(lǐng)域之一，也是在現(xiàn)代信息社會(huì)中迅速發(fā)展并且應(yīng)用廣泛的一門綜合性學(xué)科。網(wǎng)絡(luò)工程專業(yè)自從上世紀(jì)90年代起，陸續(xù)在我國很多本科高校中都有開設(shè)。

 

網(wǎng)絡(luò)工程專業(yè)的培養(yǎng)目標(biāo)是：掌握常用操作系統(tǒng)的使用、網(wǎng)絡(luò)設(shè)備的配置，深入了解網(wǎng)絡(luò)的安全問題，具有綜合性的網(wǎng)絡(luò)管理能力，可以勝任中小企業(yè)的網(wǎng)絡(luò)管理工作，并具備發(fā)展成為網(wǎng)絡(luò)工程設(shè)計(jì)專家的能力[1]。以商丘學(xué)院(以下簡稱“我?！?為例，該專業(yè)是我校重點(diǎn)建設(shè)的專業(yè)之一，計(jì)算機(jī)網(wǎng)絡(luò)課程現(xiàn)已成為校級(jí)精品課程，所屬計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室被評(píng)為河南省級(jí)重點(diǎn)實(shí)驗(yàn)室。在校學(xué)生一二年級(jí)主要學(xué)好程序設(shè)計(jì)、網(wǎng)絡(luò)原理、操作系統(tǒng)等專業(yè)基礎(chǔ)課，三四年級(jí)主要學(xué)習(xí)網(wǎng)絡(luò)設(shè)備管理、綜合布線、網(wǎng)絡(luò)組建、網(wǎng)絡(luò)信息安全等專業(yè)核心課程。在學(xué)生學(xué)習(xí)的時(shí)間安排上留有余地，引導(dǎo)學(xué)生擴(kuò)大知識(shí)面，關(guān)注學(xué)科前沿，鼓勵(lì)學(xué)生利用好實(shí)驗(yàn)室來培養(yǎng)自己的實(shí)踐能力和創(chuàng)新能力。因此，網(wǎng)絡(luò)信息安全成為我校高年級(jí)學(xué)生的一門必修課。結(jié)合網(wǎng)絡(luò)工程專業(yè)特色，網(wǎng)絡(luò)信息安全課程多年來在我校網(wǎng)絡(luò)工程專業(yè)一直開設(shè)并收到很好的效果。

 

3 網(wǎng)絡(luò)信息安全課程開設(shè)現(xiàn)狀

 

網(wǎng)絡(luò)信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。信息安全是國家重點(diǎn)發(fā)展的新興交叉學(xué)科，具有廣闊的發(fā)展前景。由于我國在信息安全技術(shù)方面的起點(diǎn)還較低，國內(nèi)只有少數(shù)高等院校開設(shè)“信息安全”專業(yè)，信息安全技術(shù)人才奇缺。網(wǎng)絡(luò)信息安全課程在信息安全專業(yè)是必不可少的核心課程。

 

目前，我校網(wǎng)絡(luò)工程專業(yè)網(wǎng)絡(luò)信息安全課程的開設(shè)還是以理論教學(xué)為主，實(shí)踐教學(xué)為輔的教學(xué)模式。在學(xué)時(shí)分配上我們采用“34學(xué)時(shí)理論+18學(xué)時(shí)上機(jī)”的模式。在考核方式上采用“20%平時(shí)表現(xiàn)+80%理論考試”來計(jì)算總成績。結(jié)合信息安全技術(shù)發(fā)展迅速的特點(diǎn)，在教材的選用上我們不斷更新教材，以求跟上時(shí)代和技術(shù)的潮流。我校先后選用吳煜煜[2]、周明全[3]、石志國[4]、袁津生[5]等人主編的教材，這樣教師也在不斷地學(xué)習(xí)最新知識(shí)和專業(yè)技能。由于該課程是一門交叉性綜合性學(xué)科，學(xué)好這門課程要求學(xué)生必須具備良好的程序設(shè)計(jì)能力，過硬的數(shù)學(xué)、操作系統(tǒng)和網(wǎng)絡(luò)知識(shí)。該課程的先修課程為：高級(jí)程序設(shè)計(jì)(C、C++、Java)、計(jì)算機(jī)網(wǎng)絡(luò)(TCP/IP)、操作系統(tǒng)(Unix和Windows)、數(shù)據(jù)庫系統(tǒng)。該課程教學(xué)內(nèi)容主要包括：網(wǎng)絡(luò)安全的基本概念、加密與解密、公鑰體系、TCP/IP協(xié)議安全、應(yīng)用層安全、攻擊與防御、網(wǎng)絡(luò)站點(diǎn)的安全、操作系統(tǒng)系統(tǒng)與數(shù)據(jù)庫的安全。

 

網(wǎng)絡(luò)信息安全這門課程是一門理論和實(shí)踐相結(jié)合，應(yīng)用性很強(qiáng)的交叉性綜合性課程。理論知識(shí)涉及面廣且抽象，實(shí)踐問題規(guī)模難度大。這樣的特點(diǎn)不僅要求教師具備過硬的專業(yè)技能和授課水平，而且要求學(xué)生具備扎實(shí)的理論功底和和較強(qiáng)的實(shí)踐能力。該課程在我校是網(wǎng)絡(luò)工程專業(yè)開設(shè)的一門必修課程，它既不能像信息安全專業(yè)開設(shè)的專業(yè)課那么詳盡和深入，也不能像普及網(wǎng)絡(luò)安全知識(shí)一樣成為公共選修課那樣淺嘗輒止。這就要求教師必須在有限的學(xué)時(shí)內(nèi)將網(wǎng)絡(luò)信息安全課程最基本的原理、最常用的技能傳授給學(xué)生，使學(xué)生能夠解決最常見的網(wǎng)絡(luò)安全問題，成為能夠?qū)W以致用，能夠解決實(shí)際問題的人才。因此，必須結(jié)合網(wǎng)絡(luò)工程專業(yè)特色和我校學(xué)生水平進(jìn)行教學(xué)，才能使教和學(xué)的效果都達(dá)到最優(yōu)化，達(dá)到培養(yǎng)人才的目標(biāo)。

 

目前，現(xiàn)有的教學(xué)模式仍然停留在重理論、輕實(shí)踐的層次上。學(xué)生在課堂上與老師的互動(dòng)性不強(qiáng)，特別是學(xué)生的學(xué)習(xí)積極性不高，對(duì)信息安全課程學(xué)習(xí)的興趣不持久，實(shí)踐能力不強(qiáng)，而且現(xiàn)有的考核方式已不適應(yīng)課程的發(fā)展。通過近幾年的教學(xué)實(shí)踐，結(jié)合目前網(wǎng)絡(luò)工程專業(yè)開設(shè)的網(wǎng)絡(luò)信息安全課程在教學(xué)中存在的問題，從培養(yǎng)應(yīng)用型、創(chuàng)新型信息技術(shù)人才的角度來出發(fā)，我們嘗試對(duì)網(wǎng)絡(luò)信息安全課程進(jìn)行改革和探索。

 

4 教學(xué)改革與探索

 

4.1 翻轉(zhuǎn)式教學(xué)模式

 

互聯(lián)網(wǎng)的普及和計(jì)算機(jī)技術(shù)在教育領(lǐng)域的應(yīng)用，使“翻轉(zhuǎn)課堂式”教學(xué)模式[6]變得可行和現(xiàn)實(shí)。學(xué)生可以通過互聯(lián)網(wǎng)去使用優(yōu)質(zhì)的教育資源，不再單純地依賴授課老師去教授知識(shí)。在課堂上，學(xué)生和老師的角色則發(fā)生了變化。老師更多的責(zé)任是去理解學(xué)生的問題和引導(dǎo)學(xué)生去運(yùn)用知識(shí)。我們?cè)谡n堂教學(xué)的組織中參考林地公園高中的經(jīng)驗(yàn)：一、創(chuàng)建教學(xué)視頻。我們根據(jù)上課的內(nèi)容和教學(xué)目標(biāo)，使用錄屏軟件將課件和講課聲音錄制下來，然后將課件或視頻通過網(wǎng)絡(luò)分發(fā)給學(xué)生。讓學(xué)生在上課前進(jìn)行先行學(xué)習(xí)并收集好學(xué)生反饋的問題。二、組織課堂教學(xué)。教學(xué)內(nèi)容在課外傳遞給學(xué)生后，課堂內(nèi)更需要高質(zhì)量的學(xué)習(xí)活動(dòng)，讓學(xué)生有機(jī)會(huì)在具體環(huán)境中應(yīng)用所學(xué)內(nèi)容。這樣學(xué)生先自我學(xué)習(xí)或通過討論來掌握知識(shí)點(diǎn)，結(jié)合學(xué)生反饋的問題，在課堂上再由教師主導(dǎo)開展關(guān)鍵問題的研討，安排相應(yīng)的課程實(shí)踐。該方法在國防科學(xué)技術(shù)大學(xué)徐明的論文[7]中提到，可以作為改革教學(xué)模式的一種方法來學(xué)習(xí)使用。

 

4.2 理論與實(shí)踐相結(jié)合的教學(xué)模式

 

理論授課均在多媒體教室進(jìn)行，理論授課要與上機(jī)實(shí)踐相結(jié)合，網(wǎng)絡(luò)安全實(shí)驗(yàn)均在我校計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室完成，學(xué)生上機(jī)操作并提交實(shí)驗(yàn)報(bào)告。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室是我校網(wǎng)絡(luò)工程專業(yè)的專業(yè)實(shí)驗(yàn)室，實(shí)驗(yàn)室采用圓桌模式分為8組，每組8位同學(xué)，能同時(shí)滿足64位學(xué)生做實(shí)驗(yàn)。我們結(jié)合近幾年的教學(xué)經(jīng)驗(yàn)，參考袁津生[5]等教材，安排了如下實(shí)驗(yàn)：①VMware虛擬機(jī)與網(wǎng)絡(luò)分析器的使用;②RSA加密算法的分析與實(shí)現(xiàn);③加解密算法的分析與實(shí)現(xiàn)(DES、AES等);④Hash算法MD5;⑤剖析特洛伊木馬;⑥使用PGP實(shí)現(xiàn)電子郵件安全;⑦X-SCANNER掃描工具;⑧用SSL協(xié)議實(shí)現(xiàn)安全的FTP數(shù)據(jù)傳輸。除了正常安排的16個(gè)上機(jī)學(xué)時(shí)之外，增加實(shí)驗(yàn)室開放時(shí)間，為對(duì)網(wǎng)絡(luò)安全有興趣的學(xué)生提供更多的實(shí)踐機(jī)會(huì)。通過在計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室的學(xué)習(xí)和實(shí)踐，使學(xué)生加深對(duì)網(wǎng)絡(luò)信息安全原理和技術(shù)的認(rèn)識(shí)，提高網(wǎng)絡(luò)技能和實(shí)踐能力，增加他們?cè)趯淼木蜆I(yè)競爭中的優(yōu)勢(shì)。另外，工學(xué)結(jié)合，引進(jìn)第二課堂，創(chuàng)建實(shí)訓(xùn)基地，爭取在網(wǎng)絡(luò)安全相關(guān)的企業(yè)和公司建立實(shí)訓(xùn)基地，加強(qiáng)合作，讓學(xué)生有實(shí)踐的機(jī)會(huì)，提高實(shí)踐能力和就業(yè)能力，這是我們以后也要逐步探索的教學(xué)方式之一。

 

4.3 教學(xué)方法的一些改進(jìn)

 

興趣是最好的老師。多講一些實(shí)例，可以采用任務(wù)驅(qū)動(dòng)的方式培養(yǎng)學(xué)生的興趣。比如上課前提出一個(gè)問題再開始講課。例如：假如你是一個(gè)公司新任的網(wǎng)絡(luò)管理員，需要對(duì)某臺(tái)路由器進(jìn)行相應(yīng)的配置，但是你不知道該路由器的enable密碼，該怎么辦?這樣就能驅(qū)動(dòng)學(xué)生主動(dòng)思考完成任務(wù)的方法，主動(dòng)學(xué)習(xí)。一定要結(jié)合學(xué)生實(shí)際，避免“填鴨式”教學(xué)方法，做好師生互動(dòng)。另外授課要盡可能地生動(dòng)、幽默。

 

課堂知識(shí)、搜索引擎、論壇和專業(yè)站點(diǎn)、期刊論文(CNKI)，這些都是學(xué)好網(wǎng)絡(luò)信息安全的重要資源。在教學(xué)過程中，一定要利用好搜索引擎、論壇、期刊論文等，關(guān)注前沿的信息安全領(lǐng)域發(fā)展動(dòng)向。

 

增加先驅(qū)課程知識(shí)的講解。網(wǎng)絡(luò)信息安全涉及到的數(shù)學(xué)知識(shí)我們參考裴定一教材[8]。例如，數(shù)據(jù)加密與認(rèn)證技術(shù)的內(nèi)容涉及到模運(yùn)算、矩陣置換等數(shù)學(xué)知識(shí)，在講解相應(yīng)的數(shù)據(jù)加密知識(shí)時(shí)一定要將涉及到的先驅(qū)課程知識(shí)講解清楚。

 

以就業(yè)為導(dǎo)向，鼓勵(lì)學(xué)生積極參加網(wǎng)絡(luò)信息安全工程師認(rèn)證考試。鼓勵(lì)對(duì)網(wǎng)絡(luò)安全有興趣的同學(xué)進(jìn)行更加深入、更加專業(yè)的學(xué)習(xí)。

 

4.4 加大投入、完善網(wǎng)絡(luò)信息安全專業(yè)實(shí)驗(yàn)設(shè)施

 

完善的網(wǎng)絡(luò)信息安全實(shí)驗(yàn)平臺(tái)[9]應(yīng)該以網(wǎng)絡(luò)為基礎(chǔ)，將網(wǎng)絡(luò)原理、網(wǎng)絡(luò)程序設(shè)計(jì)、信息安全技術(shù)和網(wǎng)絡(luò)實(shí)踐類等課程集成在同一平臺(tái)上，采用群組動(dòng)態(tài)交互式實(shí)驗(yàn)方法，利用共享網(wǎng)絡(luò)墻形成公共實(shí)驗(yàn)載體，實(shí)現(xiàn)網(wǎng)絡(luò)實(shí)驗(yàn)從單設(shè)備組網(wǎng)到不斷疊加和擴(kuò)展，使學(xué)生從規(guī)模化的網(wǎng)絡(luò)中理解路由協(xié)議和網(wǎng)絡(luò)效率。在這樣的實(shí)驗(yàn)平臺(tái)下，利用共用服務(wù)器，各個(gè)群組組成網(wǎng)絡(luò)攻防、信息戰(zhàn)等實(shí)際場景，根據(jù)現(xiàn)場不斷變化的信息實(shí)時(shí)設(shè)計(jì)技術(shù)方案，靈活應(yīng)對(duì)網(wǎng)絡(luò)的動(dòng)態(tài)變化，做出快速的反應(yīng)與調(diào)整，以培養(yǎng)學(xué)生高度的應(yīng)變?cè)O(shè)計(jì)能力。

 

4.5 改革課時(shí)分配和考核權(quán)重

 

網(wǎng)絡(luò)信息安全是一門理論與實(shí)踐并重的課程，在今后的教學(xué)中，要逐漸增加實(shí)踐課程的教學(xué)。為了增加學(xué)生對(duì)實(shí)踐能力的重視，要合理分配理論考試和實(shí)踐考試的權(quán)重，在現(xiàn)有考核模式的基礎(chǔ)上逐步增加實(shí)踐成績的權(quán)重。在考核的形式上，綜合卷面成績和平時(shí)表現(xiàn)成績，平時(shí)表現(xiàn)的成績注重關(guān)注實(shí)驗(yàn)小組討論的表現(xiàn)，個(gè)人實(shí)踐的表現(xiàn)等。

 

5 結(jié)論

 

網(wǎng)絡(luò)信息安全的形式隨著信息技術(shù)的發(fā)展在日新月異的變化，網(wǎng)絡(luò)信息安全課程也是一門發(fā)展變化很快的課程。根據(jù)該課程的特點(diǎn)，我們?cè)谝院蟮慕虒W(xué)過程中要不斷的學(xué)習(xí)最新科學(xué)知識(shí)，關(guān)注網(wǎng)絡(luò)信息安全領(lǐng)域前沿動(dòng)態(tài)，結(jié)合課程內(nèi)容，合理設(shè)計(jì)授課內(nèi)容、授課模式以及考核方式。今后，大規(guī)模開放在線課程(MOOC)的教學(xué)方式隨著新一輪的教育改革浪潮也會(huì)逐步地應(yīng)用到網(wǎng)絡(luò)信息安全系列課程的教學(xué)上?？傊?，網(wǎng)絡(luò)信息安全課程的教學(xué)要在教學(xué)實(shí)踐中不斷總結(jié)、改革和探索。

篇4

關(guān)鍵詞:長慶油田 網(wǎng)絡(luò)安全 防范

0 引言

隨著國家信息化建設(shè)的快速發(fā)展，信息網(wǎng)絡(luò)安全問題日益突出，信息網(wǎng)絡(luò)安全面臨嚴(yán)峻考驗(yàn)。當(dāng)前互聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)無序、網(wǎng)絡(luò)行為不規(guī)范、通信路徑不確定、IP地址結(jié)構(gòu)無序、難以實(shí)現(xiàn)服務(wù)質(zhì)量保證、網(wǎng)絡(luò)安全難以保證。長慶油田網(wǎng)絡(luò)同樣存在以上問題，可靠性與安全性是長慶油田網(wǎng)絡(luò)建設(shè)目標(biāo)。文章以長慶油田網(wǎng)絡(luò)為例進(jìn)行分析說明論文下載。

1 長慶油田網(wǎng)絡(luò)管理存在的問題

長慶油田公司計(jì)算機(jī)主干網(wǎng)是以西安為網(wǎng)絡(luò)核心，包括西安、涇渭、慶陽、銀川、烏審旗、延安、靖邊等7個(gè)二級(jí)匯聚節(jié)點(diǎn)以及咸陽等多個(gè)三級(jí)節(jié)點(diǎn)為架構(gòu)的高速廣域網(wǎng)絡(luò)。網(wǎng)絡(luò)龐大，存在的問題也很多，這對(duì)日常網(wǎng)絡(luò)管理是一份挑戰(zhàn)，由于管理的不完善，管理存在以下幾個(gè)方面問題:

1.1 出現(xiàn)問題才去解決問 我們習(xí)慣人工戰(zhàn)術(shù)，習(xí)慣憑經(jīng)驗(yàn)辦事。網(wǎng)絡(luò)維護(hù)人員更像是消防員，哪里出現(xiàn)險(xiǎn)情才去撲救。設(shè)備故障的出現(xiàn)主要依靠使用者報(bào)告的方式，網(wǎng)管人員非常被動(dòng)，無法做到主動(dòng)預(yù)防，無法在影響用戶使用之前就預(yù)見故障并將其消除在萌芽狀態(tài)。因此，這種維護(hù)模式已經(jīng)很難保障網(wǎng)絡(luò)的平穩(wěn)運(yùn)行，能否平穩(wěn)影響網(wǎng)絡(luò)安全與否。

1.2 突發(fā)故障難以快速定位 僅僅依靠人工經(jīng)驗(yàn)，難以對(duì)故障根源做出快速定位，影響故障處理。而且隨著網(wǎng)絡(luò)的復(fù)雜程度的提高，在故障發(fā)生時(shí)，難以快速全面的了解設(shè)備運(yùn)行狀況，導(dǎo)致解決故障的時(shí)間較長，網(wǎng)絡(luò)黑客侵犯可以趁機(jī)而來，帶來網(wǎng)絡(luò)管理的風(fēng)險(xiǎn)。

1.3 無法對(duì)全網(wǎng)運(yùn)行狀況作出分析和評(píng)估 在傳統(tǒng)模式下，這些都需要去設(shè)備近端檢查，或遠(yuǎn)程登錄到設(shè)備上查看，不僅費(fèi)時(shí)費(fèi)力，而且對(duì)于歷史數(shù)據(jù)無法進(jìn)行連續(xù)不間斷的監(jiān)測(cè)和保存，不能向決策人員提供完整準(zhǔn)確的事實(shí)依據(jù)，影響了對(duì)網(wǎng)絡(luò)性能及質(zhì)量的調(diào)優(yōu)處理，龐大的網(wǎng)絡(luò)系統(tǒng)，不能通盤管理，不能保證網(wǎng)絡(luò)運(yùn)行穩(wěn)定，安全性時(shí)刻面臨問題。

2 網(wǎng)絡(luò)安全防范措施

計(jì)算機(jī)網(wǎng)絡(luò)的安全性可以定義為保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性，為了有效保護(hù)網(wǎng)絡(luò)安全，應(yīng)做好防范措施，保證網(wǎng)絡(luò)的穩(wěn)定性，提高網(wǎng)絡(luò)管理的效率。

2.1 完善告警機(jī)制，防患于未然 告警監(jiān)控是一種手段，設(shè)備維護(hù)人員、網(wǎng)絡(luò)分析人員需要通過告警信息去分析、判斷設(shè)備出現(xiàn)的問題并盡可能的找出設(shè)備存在隱患，通過對(duì)一般告警的處理將嚴(yán)重告警發(fā)生的概率降下來。告警機(jī)制的完善一般從告警信息、告警通知方式兩方面著手:

2.1.1 在告警信息的配置方面 目前，長慶油田計(jì)算機(jī)主干網(wǎng)包括的97臺(tái)網(wǎng)絡(luò)設(shè)備、71臺(tái)服務(wù)器，每臺(tái)設(shè)備又包含cpu、接口狀態(tài)、流量等等性能參數(shù)，每一種參數(shù)在不同的時(shí)間段正常值范圍也不盡相同。

例如同樣為出口防火墻，西安與銀川的各項(xiàng)性能閥值的設(shè)置也不盡相同，西安的會(huì)話數(shù)達(dá)到25萬，而銀川的超過20萬就發(fā)出同樣的告警。再比如，西安電信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的，因?yàn)檫@個(gè)時(shí)候在線用戶很少，但是如果在晚上8:00-10:00，流量只有二、三十兆的流量，就要發(fā)出告警信息。

因此必須根據(jù)監(jiān)控的對(duì)象(設(shè)備或鏈路)、內(nèi)容(各項(xiàng)性能指標(biāo))以及時(shí)間段，設(shè)置不同的觸發(fā)值及重置值。

2.1.2 告警通知方式的多樣化 任何時(shí)間我們都無法保證能全天候死盯著屏幕，所以一方面需要制定相應(yīng)的運(yùn)維管理制度和輪班值守職責(zé)，另一方面則需要選擇更加人性化的運(yùn)維管理方式。維護(hù)人員不但需要頁面顯示的告警觸發(fā)通知，也迫切需要在移動(dòng)辦公狀態(tài)或休假狀態(tài)第一時(shí)間得到預(yù)警，從而做出應(yīng)有的反應(yīng)，所以我們需要開發(fā)出例如聲音、郵件、短信等多種告警方式。

通過以上兩個(gè)方面，我們可以建成一個(gè)完善的故障告警系統(tǒng)，便于隱患的及時(shí)消除，提高了網(wǎng)絡(luò)的穩(wěn)定性。

2.2 網(wǎng)絡(luò)拓?fù)涞膭?dòng)態(tài)化 如果一個(gè)個(gè)設(shè)備檢查起來顯然費(fèi)時(shí)費(fèi)力，如果我們能將所有設(shè)備的狀態(tài)及其連接狀況用一張圖形實(shí)時(shí)動(dòng)態(tài)的直觀顯示出來，那么無疑會(huì)大大縮短故障定位時(shí)間(見圖1，2)。

說明:2009-10-11日17:05，慶陽、延安、靖邊、銀川四個(gè)區(qū)域的T1200-02的連接西安的2.5GPOS口，涇渭T1200-01連西安的2.5GPOS口，以及西峰、吳起連接慶陽匯聚交換機(jī)Z8905-02的千兆光口，以上接口同時(shí)發(fā)出中斷告警。

因此，綜合告警信息與全網(wǎng)拓?fù)鋱D，當(dāng)出現(xiàn)大規(guī)模告警的情況下能夠非常高效地找出故障源，避免了一步步繁瑣的人工排查，從而達(dá)到有效提高故障的解決效率，提高了網(wǎng)絡(luò)的穩(wěn)定性。

2.3 全網(wǎng)資源管理的動(dòng)態(tài)化

2.3.1 通過對(duì)網(wǎng)管系統(tǒng)的二次開發(fā)，實(shí)現(xiàn)全網(wǎng)動(dòng)態(tài)資源分析，他的最重要特點(diǎn)就是動(dòng)態(tài)，系統(tǒng)通過Polling Engine從設(shè)備上自動(dòng)提取資料數(shù)據(jù)，如設(shè)備硬件信息、網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)、告警信息、發(fā)生事件等。定時(shí)動(dòng)態(tài)更新，最大限度的保持與現(xiàn)網(wǎng)的一致性。

2.3.2 通過一個(gè)集中的瀏覽器界面上就可以快速、充分地了解現(xiàn)有網(wǎng)絡(luò)內(nèi)各種動(dòng)態(tài)和靜態(tài)資源的狀況，徹底轉(zhuǎn)變了傳統(tǒng)的網(wǎng)絡(luò)依賴于文字表格甚至是依賴于維護(hù)人員的傳統(tǒng)維護(hù)模式，變個(gè)人資料為共享資料。

2.4 提高安全防范意識(shí) 只要我們提高安全意識(shí)和責(zé)任觀念，很多網(wǎng)絡(luò)安全問題也是可以防范的。我們要注意養(yǎng)成良好的上網(wǎng)習(xí)慣，不隨意打開來歷不明的電子郵件及文件，不隨便運(yùn)行陌生人發(fā)送的程序;盡量避免下載和安裝不知名的軟件、游戲程序;不輕易執(zhí)行附件中的EXE和COM等可執(zhí)行程序;密碼設(shè)置盡可能使用字母數(shù)字混排;及時(shí)下載安裝系統(tǒng)補(bǔ)丁程序等。

總之，影響網(wǎng)絡(luò)穩(wěn)定的因素有很多，本文基于日常網(wǎng)絡(luò)安全管理經(jīng)驗(yàn)，從日常網(wǎng)絡(luò)管理的角度，提出一些安全防范措施，以期提高網(wǎng)絡(luò)穩(wěn)定性。

參考文獻(xiàn)

[1]石志國，計(jì)算機(jī)網(wǎng)絡(luò)安全教程，北京:清華大學(xué)出版社，2008.

[2]張慶華，網(wǎng)絡(luò)安全與黑客攻防寶典，北京:電子工業(yè)出版社，2007.

篇5

【關(guān)鍵詞】智能變電站；VLAN；數(shù)據(jù)流

一、智能變電站網(wǎng)絡(luò)結(jié)構(gòu)

智能化變電站是構(gòu)建智能電網(wǎng)的重要組成部分之一。隨著電網(wǎng)的不斷發(fā)展，變電站作為輸配電系統(tǒng)的信息源和執(zhí)行終端，接受的信息量和實(shí)現(xiàn)的控制功能越來越多，對(duì)于數(shù)字化、信息化的要求越來越迫切，智能化變電站成為未來變電站發(fā)展的方向。

依據(jù)國家電網(wǎng)公司頒布的《110（66）kV～220kV智能變電站設(shè)計(jì)規(guī)范》，智能變電站網(wǎng)絡(luò)可從邏輯上分為“兩網(wǎng)”，即站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)。其中，站控層網(wǎng)絡(luò)連接了站控層設(shè)備與間隔層設(shè)備，主要是傳輸站控層內(nèi)部、間隔層內(nèi)部、以及站控層與間隔層之間的數(shù)據(jù)信息，內(nèi)容以MMS報(bào)文為主。過程層網(wǎng)絡(luò)連接過程層設(shè)備與間隔層設(shè)備，主要是傳輸過程層內(nèi)部、間隔層內(nèi)部以及過程層與間隔層之間的數(shù)據(jù)信息，內(nèi)容以GOOSE和SV報(bào)文為主。由此三層兩網(wǎng)結(jié)構(gòu)數(shù)據(jù)流如下：

而且近年來基于IEC61850標(biāo)準(zhǔn)的智能變電站建設(shè)越來越多，多數(shù)的智能變電站配置站控層、間隔層和過程層3層結(jié)構(gòu)。隨著對(duì)IEC61850標(biāo)準(zhǔn)研究和應(yīng)用的深入以及國內(nèi)各廠商基于IEC61850標(biāo)準(zhǔn)產(chǎn)品的豐富，特別是智能一次設(shè)備中更多的整合二次設(shè)備的功能，而且越來月來的變電站利用先進(jìn)的以太網(wǎng)交換機(jī)信息傳播技術(shù)，使智能變電站配置上采用VLAN組網(wǎng)技術(shù)技術(shù)上提供了可行性。

二、虛擬局域網(wǎng)

智能化變電站過程層網(wǎng)絡(luò)信息數(shù)據(jù)總量十分可觀，但大部份信息數(shù)據(jù)不需要橫向流通，在過程層網(wǎng)絡(luò)中采用VLAN組網(wǎng)技術(shù)，為100M以太網(wǎng)交換機(jī)在智能化變電站組網(wǎng)中的應(yīng)用奠定了理論基礎(chǔ)，既降低了組網(wǎng)成本，又滿足了網(wǎng)絡(luò)安全、可靠性。

2.1虛擬局域網(wǎng)VLAN（Virtual Local Area Networ）技術(shù)是通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成不同網(wǎng)段，從而實(shí)現(xiàn)組建虛擬工作組的技術(shù)，達(dá)到減少碰撞和廣播風(fēng)暴、增強(qiáng)網(wǎng)絡(luò)安全性，并為802.1D協(xié)議的實(shí)現(xiàn)奠定了技術(shù)基礎(chǔ)，提供了實(shí)現(xiàn)手段。

2.2VLAN劃分的幾種模式基于端口的VLAN、基于MAC地址的VLAN、基于路由的VLAN、基于策略的VLAN?；诙丝诘腣LAN劃分模式是最簡單、有效的方法，在智能化變電站網(wǎng)絡(luò)中得到了充分有效的應(yīng)用?；诙丝诘腣LAN模式是從邏輯上把交換機(jī)按照端口劃分成不同的虛擬局域網(wǎng)絡(luò)，使其在所需用的局域網(wǎng)絡(luò)上流通。

2.3支持IEEE802.1qVLAN協(xié)議。根據(jù)變電站自動(dòng)化系統(tǒng)中的設(shè)備對(duì)實(shí)時(shí)性要求的高低不同，將其分組到不同的虛擬局域網(wǎng)（VLAN），可進(jìn)一步改善系統(tǒng)安全性和帶寬利用效率，從而進(jìn)一步保證系統(tǒng)的實(shí)時(shí)性。

三、智能變電站過程層網(wǎng)絡(luò)VLAN劃分

3.1智能變電站VLAN網(wǎng)絡(luò)劃分方案

根據(jù)智能變電站的網(wǎng)絡(luò)特點(diǎn)，為了限制過程層網(wǎng)絡(luò)流量、增加系統(tǒng)靈活性、提高系統(tǒng)的可靠性，智能變電站的過程層網(wǎng)絡(luò)進(jìn)行VLAN劃分很有必要。但目前并沒有成熟的VLAN劃分方案應(yīng)用于智能變電站，因此本文設(shè)計(jì)根據(jù)數(shù)據(jù)流的邏輯關(guān)系劃分VLAN劃分方案，具體如下所述。

1、根據(jù)合并單元、智能終端、保護(hù)和測(cè)控的邏輯關(guān)系。

2、線路間隔之間的邏輯關(guān)系（聯(lián)閉鎖、失靈啟動(dòng)）

3、線路間隔與母線和主變的的邏輯關(guān)系

4、VLAN劃分應(yīng)滿足遠(yuǎn)期擴(kuò)容的需求

3.2劃分實(shí)例

先將智能變電站網(wǎng)絡(luò)按照電壓等級(jí)劃分成500、330，220、110、35kV等若干個(gè)區(qū)域。各個(gè)電壓等級(jí)的測(cè)控，電壓合并單元，故障錄波，斷路器測(cè)控，斷路器合并單元和主變各個(gè)電壓等級(jí)合并單元，網(wǎng)絡(luò)分析儀，測(cè)控，主變錄波都分別劃成一個(gè)VLAN。另外需要1個(gè)實(shí)現(xiàn)跨間隔通信和跨層通信的VLAN；最后需要1個(gè)進(jìn)行變電站層內(nèi)部通信的VLAN，由于通信網(wǎng)絡(luò)系統(tǒng)默認(rèn)的VLAN是VLAN_1，它包含整個(gè)網(wǎng)絡(luò)的所有設(shè)備，另外根據(jù)交換機(jī)端口要求，Trunk 端口加入的VLAN 不能是VLAN_1。所以劃分VLAN從VLAN_1以后開始。

四、基于工業(yè)以太網(wǎng)交換機(jī)實(shí)現(xiàn)

4.1設(shè)置VLAN組

如圖3所示。交換機(jī)有幾個(gè)VLAN就有幾條VLAN設(shè)置，其中VID 為VLAN標(biāo)識(shí)。

4.2TXtag

考慮到由于跨交換機(jī)通信時(shí)，會(huì)有多個(gè)VLAN的報(bào)文經(jīng)過交換機(jī)的同一端口進(jìn)行發(fā)送和接收，必須使交換機(jī)具有判斷所接受的數(shù)據(jù)屬于哪個(gè)VLAN的能力，所以需要將與中央交換機(jī)端口相連接的間隔交換機(jī)端口類型設(shè)置為Trunk（發(fā)送）tagged，傳送時(shí)保存VLAN信息，中央交換機(jī)相應(yīng)的Trunk（接收）tagged端口判斷接收到的數(shù)據(jù)屬于哪個(gè)VLAN，然后再根據(jù)相應(yīng)設(shè)置轉(zhuǎn)發(fā)到相應(yīng)的端口上。

五、結(jié)論

VLAN 技術(shù)是建立在通信技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)之上的，只有具備完善的網(wǎng)絡(luò)通信并有足夠的帶寬才能充分發(fā)揮應(yīng)有的作用，智能變電站的網(wǎng)絡(luò)通信能力需要繼續(xù)建設(shè)。本文探討了智能化變電站的VLAN劃分方式， 給出了一個(gè)方案， 同時(shí)給出了基于工業(yè)以太網(wǎng)交換機(jī)實(shí)現(xiàn)的案例， 可供今后在智能化變電站建設(shè)的借鑒。

參考文獻(xiàn)

[1]丁津津，高博，劉寧寧，郭力.智能變電站網(wǎng)絡(luò)結(jié)構(gòu)分析與VLAN劃分方式探討[N].合肥工業(yè)大學(xué)學(xué)報(bào)（自然科學(xué)版），2013-03（1）.

[2]任雁銘，秦立軍，楊奇遜.IEC61850通信協(xié)議體系介紹和分析[J].電力系統(tǒng)自動(dòng)化，2000，24（8）62-64.

[3]周莉.網(wǎng)絡(luò)結(jié)構(gòu)及交換機(jī)配置優(yōu)化方案在智能變電站的應(yīng)用.重慶市電機(jī)工程學(xué)會(huì)2010 年學(xué)術(shù)會(huì)議論文.

篇6

    網(wǎng)絡(luò)安全是一個(gè)十分復(fù)雜的問題，它的劃分也是多種多樣的,但大體上可以分為物理硬件層和系統(tǒng)軟件層，網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)之間。如下表。

    為何會(huì)產(chǎn)生網(wǎng)絡(luò)安全的問題？這與人有意或無意也有關(guān)系，以上表的劃分，安全問題產(chǎn)生于以下幾方面：

    網(wǎng)內(nèi)硬件方面，即局域網(wǎng)的硬件方面。它主要包括網(wǎng)絡(luò)的電源供應(yīng)（UPS不間斷電源）和網(wǎng)絡(luò)的連接等。網(wǎng)絡(luò)的電源供應(yīng)的目的是保證網(wǎng)絡(luò)在有可能預(yù)見的突發(fā)性的非正常電源供應(yīng)情況下，為網(wǎng)絡(luò)（主指服務(wù)器、交換機(jī)等網(wǎng)絡(luò)的主干設(shè)備）提供一種短時(shí)的能量支持。網(wǎng)絡(luò)的連接又分為線路的連接和設(shè)備的接入，線路的連接雖然是在網(wǎng)絡(luò)的架設(shè)時(shí)所考慮的問題，但要必免因線路串?dāng)_而影響到線路的通信，以及布線的不合理造成的因線路過長而引發(fā)的信號(hào)衰減和線路因長期裸露意外遭到的外力的意外或有意的傷害等；設(shè)備的接入是指網(wǎng)絡(luò)的功能部件（如打印服務(wù)器、文件服務(wù)器和應(yīng)用服務(wù)器等）在網(wǎng)絡(luò)中正常連接。

    網(wǎng)間硬件方面很少被提及，主要是因?yàn)檫@種網(wǎng)絡(luò)，在工程實(shí)施時(shí)為保證數(shù)據(jù)的遠(yuǎn)距離傳輸，所使用的一般都是造價(jià)高但質(zhì)量好的連接設(shè)備，出現(xiàn)故障的概率較低。但收由于線路過長，一旦出現(xiàn)問題卻很難及時(shí)發(fā)現(xiàn)故障所在地，從而延緩了處理時(shí)間，像2001年初的中美海底光纜掛斷的類似事件還時(shí)有發(fā)生。

    網(wǎng)內(nèi)軟件層，根據(jù)網(wǎng)絡(luò)實(shí)現(xiàn)的功能上的差異，不同用途的局域網(wǎng)（辦公網(wǎng)、專用存儲(chǔ)網(wǎng)、校園網(wǎng)以及運(yùn)算處理網(wǎng)等）的安全側(cè)重點(diǎn)也不盡相同。網(wǎng)間軟件層，就是局域網(wǎng)接入外網(wǎng)。也就是我們一般所討論的網(wǎng)絡(luò)安全，主要包括系統(tǒng)漏洞、數(shù)據(jù)遭更改或泄露、安全策略配置不當(dāng)、網(wǎng)絡(luò)攻擊、病毒入侵等。而能否抵抗網(wǎng)絡(luò)攻擊，又幾乎成為衡量這個(gè)網(wǎng)絡(luò)安全與否的標(biāo)準(zhǔn)。

網(wǎng)絡(luò)攻擊

    什么是攻擊，難道僅僅發(fā)生在入侵行為完全完成且入侵者已侵入目標(biāo)網(wǎng)絡(luò)內(nèi)才算是攻擊？一切可能使得網(wǎng)絡(luò)受到破壞的行為都應(yīng)稱之為攻擊。就拿一個(gè)很常見的現(xiàn)象來說吧，很多在互聯(lián)網(wǎng)中具有固定IP的服務(wù)器，每天都要受到數(shù)以百計(jì)的端口掃描和試圖侵入，雖然不一定會(huì)被攻克，但你總不能說它沒有受到攻擊。在正式攻擊之前，攻擊者一般都會(huì)先進(jìn)行試探性攻擊，目標(biāo)是獲取系統(tǒng)有用的信息，此時(shí)比較常用的包括ping掃描，端口掃描，帳戶掃描，dns轉(zhuǎn)換，以及惡性的ip sniffer（通過技術(shù)手段非法獲取ip packet，獲得系統(tǒng)的重要信息，來實(shí)現(xiàn)對(duì)系統(tǒng)的攻擊，后面還會(huì)詳細(xì)講到），特洛依木馬程序等。如果在某一個(gè)集中的時(shí)期內(nèi)，有人在頻繁得對(duì)你所管理的網(wǎng)絡(luò)進(jìn)行試探攻擊，或有不明身份的用戶經(jīng)常連入網(wǎng)絡(luò)，這時(shí)網(wǎng)絡(luò)管理員就要注意了，你該好好分析一下日志文件，并對(duì)系統(tǒng)好好檢查檢查了。

    通常，在正式攻擊之前，攻擊者先進(jìn)行試探性攻擊，目標(biāo)是獲取系統(tǒng)有用的信息，此時(shí)比較常用的包括ping掃描，端口掃描，帳戶掃描，dns轉(zhuǎn)換，以及惡性的ip sniffer（通過技術(shù)手段非法獲取ip packet，獲得系統(tǒng)的重要信息，來實(shí)現(xiàn)對(duì)系統(tǒng)的攻擊，后面還會(huì)詳細(xì)講到），特洛依木馬程序等。這時(shí)的被攻擊狀態(tài)中的網(wǎng)絡(luò)經(jīng)常會(huì)表現(xiàn)出一些信號(hào)，特征，例如：

2.1 收集信息攻擊：

    經(jīng)常使用的工具包括：NSS, Strobe，Netscan， SATAN（Security Aadministrator's Tool for Auditing Network),Jakal, IdentTCPscan, FTPScan等以及各種sniffer.廣義上說，特洛依木馬程序也是收集信息攻擊的重要手段。收集信息攻擊有時(shí)是其它攻擊手段的前奏。對(duì)于簡單的端口掃描，敏銳的安全管理員往往可以從異常的日志記錄中發(fā)現(xiàn)攻擊者的企圖。但是對(duì)于隱秘的sniffer和trojan程序來說，檢測(cè)就是件更高級(jí)和困難的任務(wù)了。

2.1.1 sniffer

    它們可以截獲口令等非常秘密的或?qū)Ｓ玫男畔ⅲ踔吝€可以用來攻擊相鄰的網(wǎng)絡(luò)，因此，網(wǎng)絡(luò)中sniffer的存在，會(huì)帶來很大的威脅。這里不包括安全管理員安裝用來監(jiān)視入侵者的sniffer，它們本來是設(shè)計(jì)用來診斷網(wǎng)絡(luò)的連接情況的.它可以是帶有很強(qiáng)debug功能的普通的網(wǎng)絡(luò)分析器，也可以是軟件和硬件的聯(lián)合形式?，F(xiàn)在已有工作于各種平臺(tái)上的sniffer，例如

· Gobbler(MS-DOS)

· ETHLOAD(MS-DOS)

· Netman(Unix)

· Esniff.c(SunOS)

· Sunsniff(SunOS)

· Linux-sniffer.c(Linux)

· NitWit.c(SunOS)

· etc.

    檢測(cè)sniffer的存在是個(gè)非常困難的任務(wù)，因?yàn)閟niffer本身完全只是被動(dòng)地接收數(shù)據(jù)，而不發(fā)送什么。并且上面所列的sniffer程序都可以在internet上下載到，其中有一些是以源碼形式的(帶有.c擴(kuò)展名的)。

    一般來講，真正需要保密的只是一些關(guān)鍵數(shù)據(jù)，例如用戶名和口令等。使用ip包一級(jí)的加密技術(shù)，可以使sniffer即使得到數(shù)據(jù)包，也很難得到真正的數(shù)據(jù)本身。這樣的工具包括 secure shell（ssh），以及F-SSH， 尤其是后者針對(duì)一般利用tcp/ip進(jìn)行通信的公共傳輸提供了非常強(qiáng)有力的，多級(jí)別的加密算法。ssh有免費(fèi)版本和商業(yè)版本，可以工作在unix上，也可以工作在windows 3.1, windows 95, 和windows nt.

    另外,采用網(wǎng)絡(luò)分段技術(shù),減少信任關(guān)系等手段可以將sniffer的危害控制在較小范圍以內(nèi),也為發(fā)現(xiàn)sniffer的主人提供了方便.

2.1.2 Trojan

    這是一種技術(shù)性攻擊方式. RFC1244中給出了trojan程序的經(jīng)典定義：特洛依木馬程序是這樣一種程序，它提供了一些有用的，或僅僅是有意思的功能。但是通常要做一些用戶不希望的事，諸如在你不了解的情況下拷貝文件或竊取你的密碼, 或直接將重要資料轉(zhuǎn)送出去，或破壞系統(tǒng)等等. 特洛依程序帶來一種很高級(jí)別的危險(xiǎn)，因?yàn)樗鼈兒茈y被發(fā)現(xiàn)，在許多情況下，特洛依程序是在二進(jìn)制代碼中發(fā)現(xiàn)的，它們大多數(shù)無法直接閱讀，并且特洛依程序可以作用在許許多多系統(tǒng)上,它的散播和病毒的散播非常相似。從internet上下載的軟件,尤其是免費(fèi)軟件和共享軟件,從匿名服務(wù)器或者usernet新聞組中獲得的程序等等都是十分可疑的. 所以作為關(guān)鍵網(wǎng)絡(luò)中的用戶有義務(wù)明白自己的責(zé)任,自覺作到不輕易安裝使用來路不清楚的軟件.

2.2 denial of service：

    這是一類個(gè)人或多個(gè)人利用internet協(xié)議組的某些方面妨礙甚至關(guān)閉其它用戶對(duì)系統(tǒng)和信息的合法訪問的攻擊. 其特點(diǎn)是以潮水般的連接申請(qǐng)使系統(tǒng)在應(yīng)接不暇的狀態(tài)中崩潰。對(duì)于大型網(wǎng)絡(luò)而言,此類攻擊只是有限的影響, 但是卻可能導(dǎo)致較小網(wǎng)絡(luò)退出服務(wù), 遭到重創(chuàng).

這是最不容易捕獲的一種攻擊，因?yàn)椴涣羧魏魏圹E，安全管理人員不易確定攻擊來源。由于這種攻擊可以使整個(gè)系統(tǒng)癱瘓，并且容易實(shí)施，所以非常危險(xiǎn)。但是從防守的角度來講，這種攻擊的防守也比較容易. 攻擊者通過此類攻擊不會(huì)破壞系統(tǒng)數(shù)據(jù)或獲得未授權(quán)的權(quán)限, 只是搗亂和令人心煩而已. 例如使網(wǎng)絡(luò)中某個(gè)用戶的郵箱超出容限而不能正常使用等.

典型的攻擊包括如E-mail炸彈, 郵件列表連接,

2.2.1 Email炸彈

    它是一種簡單有效的侵?jǐn)_工具. 它反復(fù)傳給目標(biāo)接收者相同的信息, 用這些垃圾擁塞目標(biāo)的個(gè)人郵箱. 可以使用的工具非常多, 例如bomb02.zip(mail bomber), 運(yùn)行在windows平臺(tái)上,使用非常簡單. unix平臺(tái)上發(fā)起email bomb攻擊更為簡單, 只需簡單幾行shell程序即可讓目標(biāo)郵箱內(nèi)充滿垃圾.

它的防御也比較簡單. 一般郵件收發(fā)程序都提供過濾功能, 發(fā)現(xiàn)此類攻擊后, 將源目標(biāo)地址放入拒絕接收列表中即可.

2.2.2 郵件列表連接

    它產(chǎn)生的效果同郵件炸彈基本相同. 將目標(biāo)地址同時(shí)注冊(cè)到幾十個(gè)(甚至成百上千)個(gè)郵件列表中, 由于一般每個(gè)郵件列表每天會(huì)產(chǎn)生許多郵件, 可以想象總體效果是什么樣子. 可以手工完成攻擊, 也可以通過建立郵件列表數(shù)據(jù)庫而自動(dòng)生成. 對(duì)于郵件列表連接,尚沒有快速的解決辦法. 受害者需要把包含注銷"unsubscribe"信息的郵件發(fā)往每個(gè)列表.

許多程序能夠同時(shí)完成兩種攻擊, 包括Up yours(Windows), KaBoom(Windows), Avalanche(Windows), Unabomber(Windows), eXtreme Mail(Windows), Homicide(Windows), Bombtrack(Macintosh), FlameThrower(Macintosh), etc.

2.2.3 其它

    還有一些針對(duì)其它服務(wù)的攻擊, 例如Syn-Flooder, Ping of Death(發(fā)送異常的很大的進(jìn)行ping操作的packet來攻擊windows nt), DNSkiller(運(yùn)行在linux平臺(tái)上, 攻擊windows nt平臺(tái)上的dns服務(wù)器)等。

在路由的層次上,對(duì)數(shù)據(jù)流進(jìn)行過濾, 通過合適的配置會(huì)減少遭受此類攻擊的可能性.Cisco Systems就提供了路由級(jí)的解決方案.

2.3 spoofing attack(電子欺騙)：

    針對(duì)http，ftp，dns等協(xié)議的攻擊，可以竊取普通用戶甚至超級(jí)用戶的權(quán)限，任意修改信息內(nèi)容，造成巨大危害。所謂ip欺騙，就是偽造他人的源ip地址。其實(shí)質(zhì)上就是讓一臺(tái)機(jī)器來扮演另一臺(tái)機(jī)器，借以達(dá)到蒙混過關(guān)的目的。下面一些服務(wù)相對(duì)來說容易招致此類攻擊：

· 任何使用sunrpc調(diào)用的配置；rpc指sun公司的遠(yuǎn)程過程調(diào)用標(biāo)準(zhǔn)，是一組工作于網(wǎng)絡(luò)之上的處理系統(tǒng)調(diào)用的方法。

· 任何利用ip地址認(rèn)證的網(wǎng)絡(luò)服務(wù)

· mit的xwindow系統(tǒng)

· 各種r服務(wù): 在unix環(huán)境中，r服務(wù)包括rlogin和rsh，其中r表示遠(yuǎn)程。人們?cè)O(shè)計(jì)這兩個(gè)應(yīng)用程序的初衷是向用戶提供遠(yuǎn)程訪問internet網(wǎng)絡(luò)上主機(jī)的服務(wù)。r服務(wù)極易受到ip欺騙的攻擊

幾乎所有的電子欺騙都倚賴于目標(biāo)網(wǎng)絡(luò)的信任關(guān)系（計(jì)算機(jī)之間的互相信任，在unix系統(tǒng)中，可以通過設(shè)置rhosts和host.equiv 來設(shè)置）。入侵者可以使用掃描程序來判斷遠(yuǎn)程機(jī)器之間的信任關(guān)系。這種技術(shù)欺騙成功的案例較少，要求入侵者具備特殊的工具和技術(shù)（，并且現(xiàn)在看來對(duì)非unix系統(tǒng)不起作用）。另外spoofing的形式還有dns spoofing等。

解決的途徑是慎重設(shè)置處理網(wǎng)絡(luò)中的主機(jī)信任關(guān)系，尤其是不同網(wǎng)絡(luò)之間主機(jī)的信任關(guān)系。如只存在局域網(wǎng)內(nèi)的信任關(guān)系，可以設(shè)置路由器使之過濾掉外部網(wǎng)絡(luò)中自稱源地址為內(nèi)部網(wǎng)絡(luò)地址的ip包，來抵御ip欺騙。下面一些公司的產(chǎn)品提供了這種功能

· Cisco System

· iss.com公司的安全軟件包可以測(cè)試網(wǎng)絡(luò)在ip欺騙上的漏洞。

· etc.

    國際黑客已經(jīng)進(jìn)入有組織有計(jì)劃地進(jìn)行網(wǎng)絡(luò)攻擊階段，美國政府有意容忍黑客組織的活動(dòng)，目的是使黑客的攻擊置于一定的控制之下，并且通過這一渠道獲得防范攻擊的實(shí)戰(zhàn)經(jīng)驗(yàn)。國際黑客組織已經(jīng)發(fā)展出不少逃避檢測(cè)的技巧. 使得攻擊與安全檢測(cè)防御的任務(wù)更加艱巨.

3 入侵層次分析：

3.1 敏感層的劃分

使用敏感層的概念來劃分標(biāo)志攻擊技術(shù)所引起的危險(xiǎn)程度.

1 郵件炸彈攻擊（emailbomb）（layer1）

2 簡單服務(wù)拒絕攻擊（denial of service）（layer1+）

3 本地用戶獲得非授權(quán)讀訪問（layer2）

4 本地用戶獲得他們非授權(quán)的文件寫權(quán)限（layer3）

5 遠(yuǎn)程用戶獲得非授權(quán)的帳號(hào)（layer3+）

6 遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限（layer4）

7 遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限（layer5）

8 遠(yuǎn)程用戶擁有了根（root）權(quán)限（黑客已攻克系統(tǒng)）（layer6）

以上層次劃分在所有的網(wǎng)絡(luò)中幾乎都一樣，基本上可以作為網(wǎng)絡(luò)安全工作的考核指標(biāo)。

    "本地用戶"（local user）是一種相對(duì)概念。它是指任何能自由登錄到網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)上，并且在網(wǎng)絡(luò)上的某臺(tái)主機(jī)上擁有一個(gè)帳戶，在硬盤上擁有一個(gè)目錄的任何一個(gè)用戶。在一定意義上，對(duì)內(nèi)部人員的防范技術(shù)難度更大。據(jù)統(tǒng)計(jì)，對(duì)信息系統(tǒng)的攻擊主要來自內(nèi)部，占85％。因?yàn)樗麄儗?duì)網(wǎng)絡(luò)有更清楚的了解，有更多的時(shí)間和機(jī)會(huì)來測(cè)試網(wǎng)絡(luò)安全漏洞，并且容易逃避系統(tǒng)日志的監(jiān)視。

3.2 不同的對(duì)策

    根據(jù)遭受的攻擊的不同層次，應(yīng)采取不同的對(duì)策.

第一層：

    處于第一層的攻擊基本上應(yīng)互不相干,第一層的攻擊包括服務(wù)拒絕攻擊和郵件炸彈攻擊.郵件炸彈的攻擊還包括登記列表攻擊（同時(shí)將被攻擊目標(biāo)登錄到數(shù)千或更多的郵件列表中，這樣，目標(biāo)有可能被巨大數(shù)量的郵件列表寄出的郵件淹沒）。對(duì)付此類攻擊的最好的方法是對(duì)源地址進(jìn)行分析，把攻擊者使用的主機(jī)(網(wǎng)絡(luò))信息加入inetd.sec的拒絕列表(denylistings)中.除了使攻擊者網(wǎng)絡(luò)中所有的主機(jī)都不能對(duì)自己的網(wǎng)絡(luò)進(jìn)行訪問外,沒有其它有效的方法可以防止這種攻擊的出現(xiàn).

    此類型的攻擊只會(huì)帶來相對(duì)小的危害。使人頭疼的是雖然這類攻擊的危害性不大，但是發(fā)生的頻率卻可能很高，因?yàn)閮H具備有限的經(jīng)驗(yàn)和專業(yè)知識(shí)就能進(jìn)行此類型的攻擊。

第二層和第三層：

    這兩層的攻擊的嚴(yán)重程度取決于那些文件的讀或?qū)憴?quán)限被非法獲得。對(duì)于isp來說，最安全的辦法是將所有的shell帳戶都集中到某一臺(tái)（或幾臺(tái)）主機(jī)上，只有它們才能接受登錄，這樣可以使得管理日志，控制訪問，協(xié)議配置和相關(guān)的安全措施實(shí)施變得更加簡單。另外，還應(yīng)該把存貯用戶編寫的cgi程序的機(jī)器和系統(tǒng)中的其它機(jī)器相隔離。

    招致攻擊的原因有可能是部分配置錯(cuò)誤或者是在軟件內(nèi)固有的漏洞.對(duì)于前者，管理員應(yīng)該注意經(jīng)常使用安全工具查找一般的配置錯(cuò)誤，例如satan。后者的解決需要安全管理員花費(fèi)大量的時(shí)間去跟蹤了解最新的軟件安全漏洞報(bào)告，下載補(bǔ)丁或聯(lián)系供貨商。實(shí)際上，研究安全是一個(gè)永不終結(jié)的學(xué)習(xí)過程。安全管理員可以訂閱一些安全郵件列表，并學(xué)會(huì)使用一些腳本程序（如perl，等）自動(dòng)搜索處理郵件，找到自己需要的最新信息。

    發(fā)現(xiàn)發(fā)起攻擊的用戶后，應(yīng)該立即停止其訪問權(quán)限，凍結(jié)其帳號(hào)。

第四層:

    該層攻擊涉及到遠(yuǎn)程用戶如何獲取訪問內(nèi)部文件的權(quán)利。其起因大多是服務(wù)器的配置不當(dāng)，cgi程序的漏洞和溢出問題。

第五層和第六層:

只有利用那些不該出現(xiàn)卻出現(xiàn)的漏洞，才可能出現(xiàn)這種致命的攻擊。

    出現(xiàn)第三,四,五層的攻擊表明網(wǎng)絡(luò)已經(jīng)處于不安全狀態(tài)之中，安全管理員應(yīng)該立即采取有效措施, 保護(hù)重要數(shù)據(jù), 進(jìn)行日志記錄和匯報(bào),同時(shí)爭取能夠定位攻擊發(fā)起地點(diǎn)：

· 將遭受攻擊的網(wǎng)段分離出來，將此攻擊范圍限制在小的范圍內(nèi)

· 記錄當(dāng)前時(shí)間,備份系統(tǒng)日志,檢查記錄損失范圍和程度

· 分析是否需要中斷網(wǎng)絡(luò)連接

· 讓攻擊行為繼續(xù)進(jìn)行

· 如果可能，對(duì)系統(tǒng)做0級(jí)備份

· 將入侵的詳細(xì)情況逐級(jí)向主管領(lǐng)導(dǎo)和有關(guān)主管部門匯報(bào)；如果系統(tǒng)受到嚴(yán)重破壞，影響網(wǎng)絡(luò)業(yè)務(wù)功能，立即調(diào)用備件恢復(fù)系統(tǒng)

· 對(duì)此攻擊行為進(jìn)行大量的日志工作

· (在另一個(gè)網(wǎng)段上）竭盡全力地判斷尋找攻擊源

    總之，不到萬不得已的情況下, 不可使系統(tǒng)退出服務(wù). 尋找入侵者的最重要的工作就是做日志記錄和定位入侵者，而找出入侵者并通過法律手段迫使其停止攻擊是最有效的防衛(wèi)手段。

4 關(guān)于口令安全性

    通過口令進(jìn)行身份認(rèn)證是目前實(shí)現(xiàn)計(jì)算機(jī)安全的主要手段之一，一個(gè)用戶的口令被非法用戶獲悉，則該非法用戶即獲得了該用戶的全部權(quán)限，這樣，尤其是高權(quán)限用戶的口令泄露以后，主機(jī)和網(wǎng)絡(luò)也就隨即失去了安全性。黑客攻擊目標(biāo)時(shí)也常常把破譯普通用戶的口令作為攻擊的開始。然后就采用字典窮舉法進(jìn)行攻擊。它的原理是這樣的：網(wǎng)絡(luò)上的用戶常采用一個(gè)英語單詞或自己的姓名、生日作為口令。通過一些程序，自動(dòng)地從電腦字典中取出一個(gè)單詞，作為用戶的口令輸入給遠(yuǎn)端的主機(jī)，申請(qǐng)進(jìn)入系統(tǒng)。若口令錯(cuò)誤，就按序取出下一個(gè)單詞，進(jìn)行下一個(gè)嘗試。并一直循環(huán)下去，直到找到正確的口令，或字典的單詞試完為止。由于這個(gè)破譯過程由計(jì)算機(jī)程序來自動(dòng)完成，幾個(gè)小時(shí)就可以把字典的所有單詞都試一遍。這樣的測(cè)試容易在主機(jī)日志上留下明顯攻擊特征，因此，更多的時(shí)候攻擊者會(huì)利用其它手段去獲得主機(jī)系統(tǒng)上的/etc/passwd文件甚至/etc/shadow文件，然后在本地對(duì)其進(jìn)行字典攻擊或暴力破解。攻擊者并不需要所有人的口令，他們得到幾個(gè)用戶口令就能獲取系統(tǒng)的控制權(quán)，所以即使普通用戶取口令過于簡單可能會(huì)對(duì)系統(tǒng)安全造成很大的威脅。系統(tǒng)管理員以及其它所有用戶對(duì)口令選取的應(yīng)采取負(fù)責(zé)的態(tài)度，消除僥幸和偷懶思想。

保持口令安全的一些要點(diǎn)如下:

· 口令長度不要小于6位，并應(yīng)同時(shí)包含字母和數(shù)字，以及標(biāo)點(diǎn)符號(hào)和控制字符

· 口令中不要使用常用單詞（避免字典攻擊），英文簡稱，個(gè)人信息（如生日,名字,反向拼寫的登錄名,房間中可見的東西），年份，以及機(jī)器中的命令等

· 不要將口令寫下來。

· 不要將口令存于電腦文件中。

· 不要讓別人知道。

· 不要在不同系統(tǒng)上，特別是不同級(jí)別的用戶上使用同一口令。

· 為防止眼明手快的人竊取口令,在輸入口令時(shí)應(yīng)確認(rèn)無人在身邊。

· 定期改變口令,至少6個(gè)月要改變一次。

· 系統(tǒng)安裝對(duì)口令文件進(jìn)行隱藏的程序或設(shè)置。（e.g. Shadow Suite for linux）

· 系統(tǒng)配置對(duì)用戶口令設(shè)置情況進(jìn)行檢測(cè)的程序，并強(qiáng)制用戶定期改變口令。任何一個(gè)用戶口令的脆弱，都會(huì)影響整個(gè)系統(tǒng)的安全性。(e.g. passwd+, Crack,etc)

    最后這點(diǎn)是十分重要的,永遠(yuǎn)不要對(duì)自己的口令過于自信,也許就在無意當(dāng)中泄露了口令。定期地改變口令,會(huì)使自己遭受黑客攻擊的風(fēng)險(xiǎn)降到了一定限度之內(nèi)。一旦發(fā)現(xiàn)自己的口令不能進(jìn)入計(jì)算機(jī)系統(tǒng),應(yīng)立即向系統(tǒng)管理員報(bào)告,由管理員來檢查原因。

    系統(tǒng)管理員也應(yīng)定期運(yùn)行這些破譯口令的工具,來嘗試破譯shadow文件,若有用戶的口令密碼被破譯出,說明這些用戶的密碼取得過于簡單或有規(guī)律可循,應(yīng)盡快地通知他們,及時(shí)更正密碼,以防止黑客的入侵。

5 網(wǎng)絡(luò)安全管理員的素質(zhì)要求

· 深入地了解過至少兩個(gè)操作系統(tǒng)，其中之一無可置疑地是unix。熟練配置主機(jī)的安全選項(xiàng)和設(shè)置，及時(shí)了解已見報(bào)道的安全漏洞，并能夠及時(shí)下載相應(yīng)補(bǔ)丁安裝。在特殊緊急情況下，可以獨(dú)立開發(fā)適合的安全工具或補(bǔ)丁，提高系統(tǒng)的安全性。

· 對(duì)tcp/ip協(xié)議族有透徹的了解，這是任何一個(gè)合格的安全管理員的必備的素質(zhì)。并且這種知識(shí)要不僅僅停留在internet基本構(gòu)造等基礎(chǔ)知識(shí)上，必須能夠根據(jù)偵測(cè)到的網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行準(zhǔn)確的分析，達(dá)到安全預(yù)警，有效制止攻擊和發(fā)現(xiàn)攻擊者等防御目的。

· 熟練使用c，c++，perl等語言進(jìn)行編程。這是基本要求，因?yàn)樵S多基本的安全工具是用這些語言的某一種編寫的。安全管理員至少能正確地解釋，編譯和執(zhí)行這些程序。更高的要求是能夠把不專門為某個(gè)特定平臺(tái)開發(fā)的工具移植到自己的平臺(tái)上。同時(shí)他們還能夠開發(fā)出可擴(kuò)展自己系統(tǒng)網(wǎng)絡(luò)安全性的工具來，如對(duì)satan和safe suite的擴(kuò)展和升級(jí)（它們?cè)试S用戶開發(fā)的工具附加到自己上）

· 經(jīng)常地保持與internet社會(huì)的有效接觸。不僅要了解自己的機(jī)器和局域網(wǎng)，還必須了解熟悉internet。經(jīng)驗(yàn)是不可替代的。

· 熟練使用英語讀寫，與internet網(wǎng)上的各個(gè)安全論壇建立經(jīng)常的聯(lián)系。

· 平時(shí)注意收集網(wǎng)絡(luò)的各種信息, 包括硬件應(yīng)識(shí)別其構(gòu)造,制造商,工作模式,以及每臺(tái)工作站,路由器,集線器,網(wǎng)卡的型號(hào)等;軟件網(wǎng)絡(luò)軟件的所有類型以及它們的版本號(hào);協(xié)議網(wǎng)絡(luò)正在使用的協(xié)議; 網(wǎng)絡(luò)規(guī)劃例如工作站的數(shù)量,網(wǎng)段的劃分,網(wǎng)絡(luò)的擴(kuò)展; 以及其它信息例如網(wǎng)絡(luò)內(nèi)部以前一直實(shí)施中的安全策略的概述,曾遭受過的安全攻擊的歷史記錄等。

    還有一點(diǎn)也很重要，那就是不要過于相信你的供應(yīng)商，一定要有自己的判斷。你不能因?yàn)樗嬖V你裝上他的防火墻就可以高枕無憂而麻痹大意，在安裝完成后一定要進(jìn)行相應(yīng)地測(cè)試，并且還要定期對(duì)日志文件進(jìn)行審查。我還曾經(jīng)遇到過一個(gè)十分頭疼的事情，由于某軟件中存在的缺陷（應(yīng)該是指針的問題），在運(yùn)行素材文件刪除后，管理軟件認(rèn)為已經(jīng)將文件清除，可物理上仍然存在，這樣舊有的空間無法釋放，當(dāng)這樣的素材文件越來越多時(shí)，磁盤的數(shù)據(jù)存貯就會(huì)出現(xiàn)問題。網(wǎng)絡(luò)管理人員所要做的就是在日常工作中發(fā)現(xiàn)并處理這樣一些不可預(yù)期的問題。