導(dǎo)語：如何才能寫好一篇計算機(jī)網(wǎng)絡(luò)分析論文，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

信息安全的內(nèi)涵隨著信息技術(shù)的不斷發(fā)展而得到了擴(kuò)展，從原始的保密性逐漸增加了完整性、可控性及可用性等，最終形成的集攻擊、防范、檢測與控制、管理、評估等與一體的理論體系。傳統(tǒng)的信息安全技術(shù)將注意力都集中在計算機(jī)系統(tǒng)本身的安全方面，針對單機(jī)系統(tǒng)環(huán)境而進(jìn)行設(shè)置，不能夠?qū)τ嬎銠C(jī)網(wǎng)絡(luò)環(huán)境安全進(jìn)行良好的描述，也缺乏有效應(yīng)對動態(tài)安全問題的措施。隨著計算機(jī)網(wǎng)絡(luò)的不斷發(fā)展與推廣，互聯(lián)網(wǎng)逐漸具備了動態(tài)變化性，而傳統(tǒng)的靜態(tài)安全模式已經(jīng)不能夠滿足其安全要求了。在這種背景之下，信息安全體系結(jié)構(gòu)的出現(xiàn)更好地滿足了計算機(jī)網(wǎng)絡(luò)的安全需求，因此得到了迅速的發(fā)展與推廣。信息安全體系結(jié)構(gòu)的思路為：通過不同安全防護(hù)因素的相互結(jié)合實現(xiàn)比單一防護(hù)更加有效的綜合型防護(hù)屏障，這種安全防護(hù)體系結(jié)構(gòu)能夠更好地降低黑客對計算機(jī)網(wǎng)絡(luò)的入侵與破壞，確保計算機(jī)網(wǎng)絡(luò)安全。

計算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)的主要作用就是為信息保障、數(shù)據(jù)傳遞奠定堅實的基礎(chǔ)。隨著計算機(jī)網(wǎng)絡(luò)所面臨的風(fēng)險與壓力的不斷增大，為了能夠更好地確保信息安全，必須注重計算機(jī)網(wǎng)信息安全體系結(jié)構(gòu)完整性、實用性的提高。在科技的不斷發(fā)展與進(jìn)步的基礎(chǔ)之上，提出了計算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)——WPDRRC結(jié)構(gòu)，不同的字母代表不同的環(huán)節(jié)，主要包括warnin（g預(yù)警）、protect（保護(hù)）、detectio（n檢測）、respons（e響應(yīng)）、restor（e恢復(fù)）、counterattac（k反擊）六個方面，各個環(huán)節(jié)之間由于時間關(guān)系而具有動態(tài)反饋的關(guān)系。在計算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)中，預(yù)警模塊、保護(hù)模塊與檢測模塊都是以預(yù)防性為主的，通過保護(hù)與檢測行為對黑客入侵計算機(jī)進(jìn)行較為有效的制止。當(dāng)前，雖然計算機(jī)網(wǎng)絡(luò)信息安全技術(shù)已經(jīng)比較先進(jìn)，但是由于計算機(jī)網(wǎng)絡(luò)所具有的開放性，其安全性依舊是面臨一定威脅的。因此，在計算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)中，響應(yīng)模塊、恢復(fù)模塊與反擊模塊主要的作用是解決實質(zhì)性的工作，對已經(jīng)出現(xiàn)的各種安全問題進(jìn)行有效地解決，確保計算機(jī)網(wǎng)絡(luò)信息安全。

1.1warnin（g預(yù)警）整個計算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)中，預(yù)警模塊是最為根本的所在，主要的作用是對計算機(jī)網(wǎng)絡(luò)的信息安全進(jìn)行診斷，該診斷具有預(yù)防性。同時，預(yù)警結(jié)構(gòu)通過研究計算機(jī)網(wǎng)絡(luò)的性能，提出具有科學(xué)性與合理性的評估報告。

1.2protect（保護(hù)）保護(hù)結(jié)構(gòu)主要的作用是對計算機(jī)的信息安全系統(tǒng)提供保護(hù)，確保計算機(jī)網(wǎng)絡(luò)在使用過程中的安全性，有效地封鎖、控制外界對計算機(jī)網(wǎng)絡(luò)的入侵及攻擊行為。保護(hù)結(jié)構(gòu)能夠?qū)τ嬎銠C(jī)網(wǎng)絡(luò)進(jìn)行安全設(shè)置，實現(xiàn)對計算機(jī)網(wǎng)絡(luò)的檢查與保護(hù)，其檢查與保護(hù)工作的重點內(nèi)容就是網(wǎng)絡(luò)總存在的各種可能被攻擊的點或者是存在的漏洞，通過這些方式為信息數(shù)據(jù)在計算機(jī)網(wǎng)絡(luò)中的安全、通暢應(yīng)用提供條件。

1.3detectio（n檢測）計算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)中的檢查結(jié)構(gòu)主要的作用是對計算機(jī)受到的各種攻擊行為進(jìn)行及時、準(zhǔn)確的發(fā)覺。在整個信息安全體系結(jié)構(gòu)中，檢測結(jié)構(gòu)具有隱蔽性，主要的目的是防止黑客發(fā)現(xiàn)并惡意修改信息安全體系結(jié)構(gòu)中的檢測模塊，確保檢測模塊能夠持續(xù)為計算機(jī)網(wǎng)絡(luò)提供保護(hù)，同時還能夠促進(jìn)檢測模塊自身保護(hù)能力的提高。檢測模塊一般情況下需要與保護(hù)模塊進(jìn)行配合應(yīng)用，從而促進(jìn)計算機(jī)網(wǎng)絡(luò)保護(hù)能力與檢測能力的提高。

1.4respons（e響應(yīng)）當(dāng)計算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中出現(xiàn)入侵行為之后，需要及時通過凍結(jié)措施對計算機(jī)網(wǎng)絡(luò)進(jìn)行凍結(jié)，從而防止黑客的入侵行為進(jìn)一個侵入到計算機(jī)網(wǎng)絡(luò)中。同時，要通過相應(yīng)的響應(yīng)模塊對入侵進(jìn)行響應(yīng)。例如，計算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中可以通過阻斷響應(yīng)系統(tǒng)技術(shù)實現(xiàn)對入侵及時、準(zhǔn)確的響應(yīng)，杜絕黑客對計算機(jī)網(wǎng)絡(luò)更加深入的入侵行為。

1.5restor（e恢復(fù)）計算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中的恢復(fù)模塊主要的作用是在計算機(jī)網(wǎng)絡(luò)遭受到黑客的攻擊與入侵之后，對已經(jīng)損壞的信息數(shù)據(jù)等進(jìn)行及時的恢復(fù)。在對其進(jìn)行恢復(fù)的過程中，主要的原理為事先對計算機(jī)網(wǎng)絡(luò)中的信息文件與數(shù)據(jù)資源進(jìn)行備份工作，當(dāng)其受到攻擊與入侵之后通過自動恢復(fù)功能對其進(jìn)行修復(fù)。

1.6counterattac（k反擊）計算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中的反擊模塊具有較高的性能，主要的作用為通過標(biāo)記跟蹤功能對黑客的入侵與攻擊進(jìn)行跟蹤與標(biāo)記，之后對其進(jìn)行反擊。反擊模塊首先針對黑客的入侵行為進(jìn)行跟蹤與標(biāo)記，在此基礎(chǔ)上利用偵查系統(tǒng)對黑客入侵的方式、途徑及黑客的地址等進(jìn)行解析，保留黑客對計算機(jī)網(wǎng)絡(luò)進(jìn)行入侵的證據(jù)。與此同時，反擊模塊會采用一定的反擊措施，對黑客的再次攻擊進(jìn)行有效的防范。

2計算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)的防護(hù)分析

當(dāng)前，在對計算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)進(jìn)行防護(hù)的過程中，較為常用的就是WPDRRC結(jié)構(gòu)，其主要的流程包括攻擊前防護(hù)、攻擊中防護(hù)與攻擊后防護(hù)三個方面。

2.1信息安全體系結(jié)構(gòu)被攻擊前防護(hù)工作在整個的計算機(jī)網(wǎng)絡(luò)中，不同的文件有著不同的使用頻率，而那些使用頻率越高的文件就越容易受到黑客的攻擊。因此，信息安全體系結(jié)構(gòu)的被攻擊前防護(hù)工作的主要內(nèi)容就是對這些比較容易受到黑客攻擊的文件進(jìn)行保護(hù)，主要的保護(hù)方式包括防火墻、網(wǎng)絡(luò)訪問控制等。通過WPDRRC結(jié)構(gòu)對其中存在的威脅因素進(jìn)行明確，有針對性地進(jìn)行解決措施的完善。

2.2信息安全體系結(jié)構(gòu)被攻擊中防護(hù)工作當(dāng)計算機(jī)網(wǎng)絡(luò)受到攻擊之后，信息安全體系結(jié)構(gòu)的主要防護(hù)工作為阻止正在進(jìn)行中的攻擊行為。WPDRRC結(jié)構(gòu)能夠通過對計算機(jī)網(wǎng)絡(luò)系統(tǒng)文件的綜合分析對正在進(jìn)行中的攻擊行為進(jìn)行風(fēng)險，同時能夠?qū)τ嬎銠C(jī)網(wǎng)絡(luò)中各個細(xì)節(jié)存在的變動進(jìn)行感知，最終對黑客的攻擊行為進(jìn)行有效的制止。

2.3信息安全體系結(jié)構(gòu)被攻擊后防護(hù)工作當(dāng)計算機(jī)網(wǎng)絡(luò)受到攻擊之后，信息安全體系結(jié)構(gòu)主要的防護(hù)工作內(nèi)容為對計算機(jī)網(wǎng)絡(luò)中出現(xiàn)的破壞進(jìn)行修復(fù)，為計算機(jī)網(wǎng)絡(luò)的政策運行提供基礎(chǔ)。同時，恢復(fù)到對計算機(jī)網(wǎng)絡(luò)信息安全的保護(hù)中。

3計算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中加入人為因素

IT領(lǐng)域中都是以技術(shù)人員為主體來對產(chǎn)業(yè)雛形進(jìn)行構(gòu)建的，因此在IT領(lǐng)域中往往存在著及其重視技術(shù)的現(xiàn)象，主要的表現(xiàn)為以功能單純而追求縱向性能的產(chǎn)品為代表，產(chǎn)品的覆蓋范圍限制在技術(shù)體系部分，缺乏對組織體系、管理體系等其他重要組成部分的重視。因此，只有在計算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)中加入人為因素才具有現(xiàn)實意義。在計算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)的構(gòu)建過程中，應(yīng)該注重以組織體系為本，以技術(shù)體系為支撐，以管理系統(tǒng)為保證，實現(xiàn)三者之間的均衡，從而真正發(fā)揮計算機(jī)網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)的重要作用。

4總結(jié)

篇2

影響計算機(jī)網(wǎng)絡(luò)安全的威脅具有以下這些特征：第一，突發(fā)性。計算機(jī)網(wǎng)絡(luò)在運行的過程中，遭受的破壞，沒有任何的預(yù)示，具有突發(fā)性，而且這種破壞有較強(qiáng)的傳播和擴(kuò)散性。計算機(jī)網(wǎng)絡(luò)安全受到影響后，會對計算機(jī)群體、個體等進(jìn)行攻擊，使得整個計算機(jī)網(wǎng)絡(luò)出現(xiàn)連環(huán)性破壞。計算機(jī)網(wǎng)絡(luò)在運行的過程中具有共享性，以及互聯(lián)性，所以其在計算機(jī)網(wǎng)絡(luò)受到破壞后，會產(chǎn)生較大的破壞。第二，破壞性。計算機(jī)網(wǎng)絡(luò)受到惡意的攻擊，會使得整個計算機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)癱瘓、破壞等，使得計算機(jī)網(wǎng)絡(luò)無法正常的運行和工作。當(dāng)計算機(jī)網(wǎng)絡(luò)受到病毒攻擊后，一旦這些病毒在計算機(jī)網(wǎng)絡(luò)中得到激活，就會迅速的將整個計算機(jī)網(wǎng)絡(luò)系統(tǒng)感染，造成計算機(jī)中的信息、數(shù)據(jù)等丟失、泄露等，產(chǎn)生較大的破壞，嚴(yán)重的影響到計算機(jī)用戶信息的安全，甚至影響到國家的安全。第三，隱蔽性。計算機(jī)網(wǎng)絡(luò)受到的攻擊、破壞具有潛伏性，其很隱蔽的潛伏在計算機(jī)中。計算機(jī)網(wǎng)絡(luò)受到攻擊，是因為計算機(jī)使用者在日常的使用中，對于計算機(jī)的安全保護(hù)，疏于防范，造成網(wǎng)絡(luò)病毒潛伏在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中，一旦對計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊的條件滿足后，就會對計算機(jī)、計算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊。當(dāng)前在計算機(jī)網(wǎng)絡(luò)安全中，存在的安全隱患主要有：①口令入侵。計算機(jī)網(wǎng)絡(luò)運行的過程中，存在的口令入侵安全隱患，主要是一些非法入侵者，使用計算機(jī)網(wǎng)絡(luò)中的一些合法的用戶口令、賬號等進(jìn)行計算機(jī)網(wǎng)絡(luò)的登陸，并對計算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊破壞。計算機(jī)網(wǎng)絡(luò)安全的口令入侵安全隱患，在非法入侵者將計算機(jī)網(wǎng)絡(luò)使用者的用戶口令、密碼破解之后，就會利用合法用戶的賬號進(jìn)行登錄，然后進(jìn)入網(wǎng)絡(luò)中進(jìn)行攻擊。②網(wǎng)址欺騙技術(shù)。在計算機(jī)網(wǎng)絡(luò)用戶使用計算機(jī)網(wǎng)絡(luò)的過程中，其通過方位網(wǎng)頁、Web站點等，在計算機(jī)網(wǎng)絡(luò)用戶通過網(wǎng)絡(luò)訪問各個網(wǎng)站的過程中，往往忽視網(wǎng)絡(luò)的安全性問題，正是因為計算機(jī)網(wǎng)絡(luò)的合法用戶在使用的過程中，沒有關(guān)注到安全問題，為黑客留下了破壞的機(jī)會。黑客利用用戶訪問的網(wǎng)站、網(wǎng)頁等，將其信息篡改，將計算機(jī)網(wǎng)絡(luò)使用者訪問的URL篡改為黑客所使用的計算機(jī)的服務(wù)器，在計算機(jī)網(wǎng)絡(luò)用戶再次登陸這些網(wǎng)站、網(wǎng)頁的同時，就會出現(xiàn)計算機(jī)網(wǎng)絡(luò)安全漏洞，而黑客就會利用這些安全漏洞，對合法用戶的計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊。③電郵攻擊。在計算機(jī)網(wǎng)絡(luò)實際運行中，產(chǎn)生這些安全隱患的影響因素有很多，例如計算機(jī)網(wǎng)絡(luò)的軟件技術(shù)、硬件技術(shù)不完善；計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全配置建立不完善；計算機(jī)網(wǎng)絡(luò)安全制度不健全等等，這些都會對計算機(jī)網(wǎng)絡(luò)的安全使用產(chǎn)生危害，為此需要加強(qiáng)計算網(wǎng)絡(luò)安全的防范。

2模糊層次分析法特征及其在計算機(jī)網(wǎng)絡(luò)安全評價中的實施步驟

2.1模糊層次分析法特征

模糊綜合評價法是把傳統(tǒng)層次分析與模糊數(shù)學(xué)各方面優(yōu)勢考慮其中的綜合型評價方法。層次分析法重視人的思想判斷在科學(xué)決策中的作用，把人的主觀判斷數(shù)字化，從而有助于人們對復(fù)雜的、難以精確定量的問題實施量化分析。首先我們采用模糊數(shù)構(gòu)造判斷矩陣替代單純的1-9標(biāo)度法解決相對應(yīng)的量化問題，其次，采用模糊綜合評價法的模糊數(shù)對不同因素的重要性實施準(zhǔn)確的定位于判斷。

2.2模糊層次分析法步驟

網(wǎng)絡(luò)安全是一門設(shè)計計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、信息安全技術(shù)等多種學(xué)科的綜合技術(shù)。計算機(jī)網(wǎng)絡(luò)是現(xiàn)代科技化的重要信息平臺，網(wǎng)絡(luò)安全評價是在保障網(wǎng)絡(luò)系統(tǒng)安全性能的基礎(chǔ)上，實施的相關(guān)網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全管理工作，并把操作環(huán)境、人員心理等各個方面考慮其中，滿足安全上網(wǎng)的環(huán)境氛圍。隨著計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)應(yīng)用已經(jīng)牽涉多個領(lǐng)域，人們對網(wǎng)絡(luò)的依賴度也日益加深，網(wǎng)絡(luò)安全成為重要的問題。采用模擬層次分析法對計算機(jī)網(wǎng)絡(luò)安全進(jìn)行評價，模擬層次分析法實際使用步驟如下：2.2.1創(chuàng)建層次結(jié)構(gòu)模型模糊層次分析法首先要從問題的性質(zhì)及達(dá)到的總目標(biāo)進(jìn)行分析，把問題劃分為多個組成因素，并根據(jù)各個因素之間的相互關(guān)系把不同層次聚集組合，創(chuàng)建多層次結(jié)構(gòu)模型。2.2.2構(gòu)建模糊判斷矩陣因計算機(jī)網(wǎng)絡(luò)安全評價組各個專家根據(jù)1-9標(biāo)度說明，采用兩兩比較法，逐層對各個因素進(jìn)行分析，并對上個層次某因素的重要性展開判斷，隨之把判斷時間采用三角模糊數(shù)表示出現(xiàn)，從而創(chuàng)建模糊判斷矩陣。2.2.3層次單排序去模糊化是為把模糊判斷矩陣轉(zhuǎn)換為非模糊化判斷矩陣，隨之在非模糊狀態(tài)下使用模糊層次分析法。去模糊化之后對矩陣對應(yīng)的最大根λmax的特征向量進(jìn)行判斷，對同一層次相對應(yīng)的因素對上層某因素的重要性進(jìn)行排序權(quán)值。2.2.4一致性檢驗為確保評價思維判斷的一致性，必須對（Aa）λ實施一致性檢驗。一致性指標(biāo)CI及比率CR采用以下公式算出：CI=（λmax-n）（/n-1）；CR=CI/RI，在上述公式中，n表示判斷矩陣階數(shù)，RI表示一致性指標(biāo)。2.2.5層次總排序進(jìn)行層次總排序是對最底層各個方案的目標(biāo)層進(jìn)行權(quán)重。經(jīng)過權(quán)重計算，使用自上而下的辦法，把層次單排序的結(jié)果逐層進(jìn)行合成。

3模糊層次分析法在計算機(jī)網(wǎng)絡(luò)安全評價中的具體應(yīng)用

使用模糊層分析法對計算機(jī)網(wǎng)絡(luò)安全展開評價，我們必須以全面科學(xué)、可比性等原則創(chuàng)建有價值的安全評價體系。實際進(jìn)行抽象量化時，使用三分法把計算機(jī)網(wǎng)絡(luò)安全評價內(nèi)的模糊數(shù)定義成aij=（Dij，Eij，F(xiàn)ij），其中Dij<Eij<Fij，Dij，Eij，F(xiàn)ij[1/9，1]，[1，9]這些符號分別代表aij的下界、中界、上界。把計算機(jī)網(wǎng)絡(luò)安全中多個因素考慮其中，把它劃分為目標(biāo)層、準(zhǔn)則層和決策層三個等級目，其中準(zhǔn)則層可以劃分為兩個級別，一級模塊采用物理安全（C1）、邏輯安全（C2）、安全管理（C3）等因素組成，二級模塊則劃分為一級因子細(xì)化后的子因子。依照傳統(tǒng)的AHP1-9標(biāo)度法，根據(jù)各個因素之間的相互對比標(biāo)度因素的重要度，標(biāo)度法中把因素分別設(shè)為A、B，標(biāo)度1代表A與B相同的重要性，標(biāo)度3代表A比B稍微重要一點，標(biāo)度5代表A比B明顯重要，標(biāo)度7則表示A比B強(qiáng)烈重要，標(biāo)度9代表A比B極端重要。如果是倒數(shù)，應(yīng)該依照矩陣進(jìn)行判斷。以此為基礎(chǔ)創(chuàng)建不同層次的模糊判斷矩陣，根據(jù)目標(biāo)層、準(zhǔn)基層、決策層的模糊對矩陣進(jìn)行判斷，例如：當(dāng)C1=（1，1,1）時，C11=C12=C13=（1，1，1）。采用這種二分法或許各個層次相對應(yīng)的模糊矩陣，同時把次矩陣特征化方法進(jìn)行模糊。獲取如下結(jié)果：準(zhǔn)則層相對于目標(biāo)層權(quán)重（wi），物理、邏輯、安全管理數(shù)據(jù)為：0.22、0.47、0.31。隨之對應(yīng)用層次單排序方根法實施權(quán)重單排序，同時列出相對于的最大特征根λmax。為確保判斷矩陣的準(zhǔn)確性和一致性，必須對模糊化之后的矩陣實施一致性檢驗，計算出一致性指標(biāo)CI、CR數(shù)值，其中CI=（λmax-n）（/n-1），CR=CI/RI，當(dāng)CR<0.1的時候，判斷矩陣一致性是否兩否，不然實施修正。最后使用乘積法對最底層的排序權(quán)重進(jìn)行計算，確?；蛟S方案層相對于目標(biāo)層的總排序權(quán)重。

4結(jié)語

篇3

 

1 概述

 

目前，在我國很多高校開設(shè)了網(wǎng)絡(luò)信息安課程，該課程是信息安全專業(yè)的一門基礎(chǔ)課，也是網(wǎng)絡(luò)工程專業(yè)的一門必修課。網(wǎng)絡(luò)信息安全課程理論性強(qiáng)，實踐性強(qiáng)，并且教學(xué)內(nèi)容隨著信息技術(shù)的發(fā)展也在不斷地變化，這給教學(xué)工作帶來很大挑戰(zhàn)。由于專業(yè)性質(zhì)不同，為了使網(wǎng)絡(luò)信息安全課程的教學(xué)符合網(wǎng)絡(luò)工程專業(yè)的特點，并且跟上信息技術(shù)瞬息萬變的步伐，達(dá)到培養(yǎng)人才的目標(biāo)，我們在多年教學(xué)實踐的基礎(chǔ)上，不斷地進(jìn)行總結(jié)和探索。

 

2 網(wǎng)絡(luò)工程專業(yè)特點

 

網(wǎng)絡(luò)工程是將計算機(jī)技術(shù)和通信技術(shù)緊密結(jié)合而形成的新興的技術(shù)領(lǐng)域，尤其在當(dāng)今互聯(lián)網(wǎng)技術(shù)以及互聯(lián)網(wǎng)經(jīng)濟(jì)迅速發(fā)展的環(huán)境下，網(wǎng)絡(luò)工程技術(shù)已經(jīng)成為計算機(jī)乃至信息技術(shù)界關(guān)注的重要領(lǐng)域之一，也是在現(xiàn)代信息社會中迅速發(fā)展并且應(yīng)用廣泛的一門綜合性學(xué)科。網(wǎng)絡(luò)工程專業(yè)自從上世紀(jì)90年代起，陸續(xù)在我國很多本科高校中都有開設(shè)。

 

網(wǎng)絡(luò)工程專業(yè)的培養(yǎng)目標(biāo)是：掌握常用操作系統(tǒng)的使用、網(wǎng)絡(luò)設(shè)備的配置，深入了解網(wǎng)絡(luò)的安全問題，具有綜合性的網(wǎng)絡(luò)管理能力，可以勝任中小企業(yè)的網(wǎng)絡(luò)管理工作，并具備發(fā)展成為網(wǎng)絡(luò)工程設(shè)計專家的能力[1]。以商丘學(xué)院(以下簡稱“我校”)為例，該專業(yè)是我校重點建設(shè)的專業(yè)之一，計算機(jī)網(wǎng)絡(luò)課程現(xiàn)已成為校級精品課程，所屬計算機(jī)網(wǎng)絡(luò)實驗室被評為河南省級重點實驗室。在校學(xué)生一二年級主要學(xué)好程序設(shè)計、網(wǎng)絡(luò)原理、操作系統(tǒng)等專業(yè)基礎(chǔ)課，三四年級主要學(xué)習(xí)網(wǎng)絡(luò)設(shè)備管理、綜合布線、網(wǎng)絡(luò)組建、網(wǎng)絡(luò)信息安全等專業(yè)核心課程。在學(xué)生學(xué)習(xí)的時間安排上留有余地，引導(dǎo)學(xué)生擴(kuò)大知識面，關(guān)注學(xué)科前沿，鼓勵學(xué)生利用好實驗室來培養(yǎng)自己的實踐能力和創(chuàng)新能力。因此，網(wǎng)絡(luò)信息安全成為我校高年級學(xué)生的一門必修課。結(jié)合網(wǎng)絡(luò)工程專業(yè)特色，網(wǎng)絡(luò)信息安全課程多年來在我校網(wǎng)絡(luò)工程專業(yè)一直開設(shè)并收到很好的效果。

 

3 網(wǎng)絡(luò)信息安全課程開設(shè)現(xiàn)狀

 

網(wǎng)絡(luò)信息安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。信息安全是國家重點發(fā)展的新興交叉學(xué)科，具有廣闊的發(fā)展前景。由于我國在信息安全技術(shù)方面的起點還較低，國內(nèi)只有少數(shù)高等院校開設(shè)“信息安全”專業(yè)，信息安全技術(shù)人才奇缺。網(wǎng)絡(luò)信息安全課程在信息安全專業(yè)是必不可少的核心課程。

 

目前，我校網(wǎng)絡(luò)工程專業(yè)網(wǎng)絡(luò)信息安全課程的開設(shè)還是以理論教學(xué)為主，實踐教學(xué)為輔的教學(xué)模式。在學(xué)時分配上我們采用“34學(xué)時理論+18學(xué)時上機(jī)”的模式。在考核方式上采用“20%平時表現(xiàn)+80%理論考試”來計算總成績。結(jié)合信息安全技術(shù)發(fā)展迅速的特點，在教材的選用上我們不斷更新教材，以求跟上時代和技術(shù)的潮流。我校先后選用吳煜煜[2]、周明全[3]、石志國[4]、袁津生[5]等人主編的教材，這樣教師也在不斷地學(xué)習(xí)最新知識和專業(yè)技能。由于該課程是一門交叉性綜合性學(xué)科，學(xué)好這門課程要求學(xué)生必須具備良好的程序設(shè)計能力，過硬的數(shù)學(xué)、操作系統(tǒng)和網(wǎng)絡(luò)知識。該課程的先修課程為：高級程序設(shè)計(C、C++、Java)、計算機(jī)網(wǎng)絡(luò)(TCP/IP)、操作系統(tǒng)(Unix和Windows)、數(shù)據(jù)庫系統(tǒng)。該課程教學(xué)內(nèi)容主要包括：網(wǎng)絡(luò)安全的基本概念、加密與解密、公鑰體系、TCP/IP協(xié)議安全、應(yīng)用層安全、攻擊與防御、網(wǎng)絡(luò)站點的安全、操作系統(tǒng)系統(tǒng)與數(shù)據(jù)庫的安全。

 

網(wǎng)絡(luò)信息安全這門課程是一門理論和實踐相結(jié)合，應(yīng)用性很強(qiáng)的交叉性綜合性課程。理論知識涉及面廣且抽象，實踐問題規(guī)模難度大。這樣的特點不僅要求教師具備過硬的專業(yè)技能和授課水平，而且要求學(xué)生具備扎實的理論功底和和較強(qiáng)的實踐能力。該課程在我校是網(wǎng)絡(luò)工程專業(yè)開設(shè)的一門必修課程，它既不能像信息安全專業(yè)開設(shè)的專業(yè)課那么詳盡和深入，也不能像普及網(wǎng)絡(luò)安全知識一樣成為公共選修課那樣淺嘗輒止。這就要求教師必須在有限的學(xué)時內(nèi)將網(wǎng)絡(luò)信息安全課程最基本的原理、最常用的技能傳授給學(xué)生，使學(xué)生能夠解決最常見的網(wǎng)絡(luò)安全問題，成為能夠?qū)W以致用，能夠解決實際問題的人才。因此，必須結(jié)合網(wǎng)絡(luò)工程專業(yè)特色和我校學(xué)生水平進(jìn)行教學(xué)，才能使教和學(xué)的效果都達(dá)到最優(yōu)化，達(dá)到培養(yǎng)人才的目標(biāo)。

 

目前，現(xiàn)有的教學(xué)模式仍然停留在重理論、輕實踐的層次上。學(xué)生在課堂上與老師的互動性不強(qiáng)，特別是學(xué)生的學(xué)習(xí)積極性不高，對信息安全課程學(xué)習(xí)的興趣不持久，實踐能力不強(qiáng)，而且現(xiàn)有的考核方式已不適應(yīng)課程的發(fā)展。通過近幾年的教學(xué)實踐，結(jié)合目前網(wǎng)絡(luò)工程專業(yè)開設(shè)的網(wǎng)絡(luò)信息安全課程在教學(xué)中存在的問題，從培養(yǎng)應(yīng)用型、創(chuàng)新型信息技術(shù)人才的角度來出發(fā)，我們嘗試對網(wǎng)絡(luò)信息安全課程進(jìn)行改革和探索。

 

4 教學(xué)改革與探索

 

4.1 翻轉(zhuǎn)式教學(xué)模式

 

互聯(lián)網(wǎng)的普及和計算機(jī)技術(shù)在教育領(lǐng)域的應(yīng)用，使“翻轉(zhuǎn)課堂式”教學(xué)模式[6]變得可行和現(xiàn)實。學(xué)生可以通過互聯(lián)網(wǎng)去使用優(yōu)質(zhì)的教育資源，不再單純地依賴授課老師去教授知識。在課堂上，學(xué)生和老師的角色則發(fā)生了變化。老師更多的責(zé)任是去理解學(xué)生的問題和引導(dǎo)學(xué)生去運用知識。我們在課堂教學(xué)的組織中參考林地公園高中的經(jīng)驗：一、創(chuàng)建教學(xué)視頻。我們根據(jù)上課的內(nèi)容和教學(xué)目標(biāo)，使用錄屏軟件將課件和講課聲音錄制下來，然后將課件或視頻通過網(wǎng)絡(luò)分發(fā)給學(xué)生。讓學(xué)生在上課前進(jìn)行先行學(xué)習(xí)并收集好學(xué)生反饋的問題。二、組織課堂教學(xué)。教學(xué)內(nèi)容在課外傳遞給學(xué)生后，課堂內(nèi)更需要高質(zhì)量的學(xué)習(xí)活動，讓學(xué)生有機(jī)會在具體環(huán)境中應(yīng)用所學(xué)內(nèi)容。這樣學(xué)生先自我學(xué)習(xí)或通過討論來掌握知識點，結(jié)合學(xué)生反饋的問題，在課堂上再由教師主導(dǎo)開展關(guān)鍵問題的研討，安排相應(yīng)的課程實踐。該方法在國防科學(xué)技術(shù)大學(xué)徐明的論文[7]中提到，可以作為改革教學(xué)模式的一種方法來學(xué)習(xí)使用。

 

4.2 理論與實踐相結(jié)合的教學(xué)模式

 

理論授課均在多媒體教室進(jìn)行，理論授課要與上機(jī)實踐相結(jié)合，網(wǎng)絡(luò)安全實驗均在我校計算機(jī)網(wǎng)絡(luò)實驗室完成，學(xué)生上機(jī)操作并提交實驗報告。計算機(jī)網(wǎng)絡(luò)實驗室是我校網(wǎng)絡(luò)工程專業(yè)的專業(yè)實驗室，實驗室采用圓桌模式分為8組，每組8位同學(xué)，能同時滿足64位學(xué)生做實驗。我們結(jié)合近幾年的教學(xué)經(jīng)驗，參考袁津生[5]等教材，安排了如下實驗：①VMware虛擬機(jī)與網(wǎng)絡(luò)分析器的使用;②RSA加密算法的分析與實現(xiàn);③加解密算法的分析與實現(xiàn)(DES、AES等);④Hash算法MD5;⑤剖析特洛伊木馬;⑥使用PGP實現(xiàn)電子郵件安全;⑦X-SCANNER掃描工具;⑧用SSL協(xié)議實現(xiàn)安全的FTP數(shù)據(jù)傳輸。除了正常安排的16個上機(jī)學(xué)時之外，增加實驗室開放時間，為對網(wǎng)絡(luò)安全有興趣的學(xué)生提供更多的實踐機(jī)會。通過在計算機(jī)網(wǎng)絡(luò)實驗室的學(xué)習(xí)和實踐，使學(xué)生加深對網(wǎng)絡(luò)信息安全原理和技術(shù)的認(rèn)識，提高網(wǎng)絡(luò)技能和實踐能力，增加他們在將來的就業(yè)競爭中的優(yōu)勢。另外，工學(xué)結(jié)合，引進(jìn)第二課堂，創(chuàng)建實訓(xùn)基地，爭取在網(wǎng)絡(luò)安全相關(guān)的企業(yè)和公司建立實訓(xùn)基地，加強(qiáng)合作，讓學(xué)生有實踐的機(jī)會，提高實踐能力和就業(yè)能力，這是我們以后也要逐步探索的教學(xué)方式之一。

 

4.3 教學(xué)方法的一些改進(jìn)

 

興趣是最好的老師。多講一些實例，可以采用任務(wù)驅(qū)動的方式培養(yǎng)學(xué)生的興趣。比如上課前提出一個問題再開始講課。例如：假如你是一個公司新任的網(wǎng)絡(luò)管理員，需要對某臺路由器進(jìn)行相應(yīng)的配置，但是你不知道該路由器的enable密碼，該怎么辦?這樣就能驅(qū)動學(xué)生主動思考完成任務(wù)的方法，主動學(xué)習(xí)。一定要結(jié)合學(xué)生實際，避免“填鴨式”教學(xué)方法，做好師生互動。另外授課要盡可能地生動、幽默。

 

課堂知識、搜索引擎、論壇和專業(yè)站點、期刊論文(CNKI)，這些都是學(xué)好網(wǎng)絡(luò)信息安全的重要資源。在教學(xué)過程中，一定要利用好搜索引擎、論壇、期刊論文等，關(guān)注前沿的信息安全領(lǐng)域發(fā)展動向。

 

增加先驅(qū)課程知識的講解。網(wǎng)絡(luò)信息安全涉及到的數(shù)學(xué)知識我們參考裴定一教材[8]。例如，數(shù)據(jù)加密與認(rèn)證技術(shù)的內(nèi)容涉及到模運算、矩陣置換等數(shù)學(xué)知識，在講解相應(yīng)的數(shù)據(jù)加密知識時一定要將涉及到的先驅(qū)課程知識講解清楚。

 

以就業(yè)為導(dǎo)向，鼓勵學(xué)生積極參加網(wǎng)絡(luò)信息安全工程師認(rèn)證考試。鼓勵對網(wǎng)絡(luò)安全有興趣的同學(xué)進(jìn)行更加深入、更加專業(yè)的學(xué)習(xí)。

 

4.4 加大投入、完善網(wǎng)絡(luò)信息安全專業(yè)實驗設(shè)施

 

完善的網(wǎng)絡(luò)信息安全實驗平臺[9]應(yīng)該以網(wǎng)絡(luò)為基礎(chǔ)，將網(wǎng)絡(luò)原理、網(wǎng)絡(luò)程序設(shè)計、信息安全技術(shù)和網(wǎng)絡(luò)實踐類等課程集成在同一平臺上，采用群組動態(tài)交互式實驗方法，利用共享網(wǎng)絡(luò)墻形成公共實驗載體，實現(xiàn)網(wǎng)絡(luò)實驗從單設(shè)備組網(wǎng)到不斷疊加和擴(kuò)展，使學(xué)生從規(guī)?；木W(wǎng)絡(luò)中理解路由協(xié)議和網(wǎng)絡(luò)效率。在這樣的實驗平臺下，利用共用服務(wù)器，各個群組組成網(wǎng)絡(luò)攻防、信息戰(zhàn)等實際場景，根據(jù)現(xiàn)場不斷變化的信息實時設(shè)計技術(shù)方案，靈活應(yīng)對網(wǎng)絡(luò)的動態(tài)變化，做出快速的反應(yīng)與調(diào)整，以培養(yǎng)學(xué)生高度的應(yīng)變設(shè)計能力。

 

4.5 改革課時分配和考核權(quán)重

 

網(wǎng)絡(luò)信息安全是一門理論與實踐并重的課程，在今后的教學(xué)中，要逐漸增加實踐課程的教學(xué)。為了增加學(xué)生對實踐能力的重視，要合理分配理論考試和實踐考試的權(quán)重，在現(xiàn)有考核模式的基礎(chǔ)上逐步增加實踐成績的權(quán)重。在考核的形式上，綜合卷面成績和平時表現(xiàn)成績，平時表現(xiàn)的成績注重關(guān)注實驗小組討論的表現(xiàn)，個人實踐的表現(xiàn)等。

 

5 結(jié)論

 

網(wǎng)絡(luò)信息安全的形式隨著信息技術(shù)的發(fā)展在日新月異的變化，網(wǎng)絡(luò)信息安全課程也是一門發(fā)展變化很快的課程。根據(jù)該課程的特點，我們在以后的教學(xué)過程中要不斷的學(xué)習(xí)最新科學(xué)知識，關(guān)注網(wǎng)絡(luò)信息安全領(lǐng)域前沿動態(tài)，結(jié)合課程內(nèi)容，合理設(shè)計授課內(nèi)容、授課模式以及考核方式。今后，大規(guī)模開放在線課程(MOOC)的教學(xué)方式隨著新一輪的教育改革浪潮也會逐步地應(yīng)用到網(wǎng)絡(luò)信息安全系列課程的教學(xué)上。總之，網(wǎng)絡(luò)信息安全課程的教學(xué)要在教學(xué)實踐中不斷總結(jié)、改革和探索。

篇4

關(guān)鍵詞:長慶油田 網(wǎng)絡(luò)安全 防范

0 引言

隨著國家信息化建設(shè)的快速發(fā)展，信息網(wǎng)絡(luò)安全問題日益突出，信息網(wǎng)絡(luò)安全面臨嚴(yán)峻考驗。當(dāng)前互聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)無序、網(wǎng)絡(luò)行為不規(guī)范、通信路徑不確定、IP地址結(jié)構(gòu)無序、難以實現(xiàn)服務(wù)質(zhì)量保證、網(wǎng)絡(luò)安全難以保證。長慶油田網(wǎng)絡(luò)同樣存在以上問題，可靠性與安全性是長慶油田網(wǎng)絡(luò)建設(shè)目標(biāo)。文章以長慶油田網(wǎng)絡(luò)為例進(jìn)行分析說明論文下載。

1 長慶油田網(wǎng)絡(luò)管理存在的問題

長慶油田公司計算機(jī)主干網(wǎng)是以西安為網(wǎng)絡(luò)核心，包括西安、涇渭、慶陽、銀川、烏審旗、延安、靖邊等7個二級匯聚節(jié)點以及咸陽等多個三級節(jié)點為架構(gòu)的高速廣域網(wǎng)絡(luò)。網(wǎng)絡(luò)龐大，存在的問題也很多，這對日常網(wǎng)絡(luò)管理是一份挑戰(zhàn)，由于管理的不完善，管理存在以下幾個方面問題:

1.1 出現(xiàn)問題才去解決問 我們習(xí)慣人工戰(zhàn)術(shù)，習(xí)慣憑經(jīng)驗辦事。網(wǎng)絡(luò)維護(hù)人員更像是消防員，哪里出現(xiàn)險情才去撲救。設(shè)備故障的出現(xiàn)主要依靠使用者報告的方式，網(wǎng)管人員非常被動，無法做到主動預(yù)防，無法在影響用戶使用之前就預(yù)見故障并將其消除在萌芽狀態(tài)。因此，這種維護(hù)模式已經(jīng)很難保障網(wǎng)絡(luò)的平穩(wěn)運行，能否平穩(wěn)影響網(wǎng)絡(luò)安全與否。

1.2 突發(fā)故障難以快速定位 僅僅依靠人工經(jīng)驗，難以對故障根源做出快速定位，影響故障處理。而且隨著網(wǎng)絡(luò)的復(fù)雜程度的提高，在故障發(fā)生時，難以快速全面的了解設(shè)備運行狀況，導(dǎo)致解決故障的時間較長，網(wǎng)絡(luò)黑客侵犯可以趁機(jī)而來，帶來網(wǎng)絡(luò)管理的風(fēng)險。

1.3 無法對全網(wǎng)運行狀況作出分析和評估 在傳統(tǒng)模式下，這些都需要去設(shè)備近端檢查，或遠(yuǎn)程登錄到設(shè)備上查看，不僅費時費力，而且對于歷史數(shù)據(jù)無法進(jìn)行連續(xù)不間斷的監(jiān)測和保存，不能向決策人員提供完整準(zhǔn)確的事實依據(jù)，影響了對網(wǎng)絡(luò)性能及質(zhì)量的調(diào)優(yōu)處理，龐大的網(wǎng)絡(luò)系統(tǒng)，不能通盤管理，不能保證網(wǎng)絡(luò)運行穩(wěn)定，安全性時刻面臨問題。

2 網(wǎng)絡(luò)安全防范措施

計算機(jī)網(wǎng)絡(luò)的安全性可以定義為保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性，為了有效保護(hù)網(wǎng)絡(luò)安全，應(yīng)做好防范措施，保證網(wǎng)絡(luò)的穩(wěn)定性，提高網(wǎng)絡(luò)管理的效率。

2.1 完善告警機(jī)制，防患于未然 告警監(jiān)控是一種手段，設(shè)備維護(hù)人員、網(wǎng)絡(luò)分析人員需要通過告警信息去分析、判斷設(shè)備出現(xiàn)的問題并盡可能的找出設(shè)備存在隱患，通過對一般告警的處理將嚴(yán)重告警發(fā)生的概率降下來。告警機(jī)制的完善一般從告警信息、告警通知方式兩方面著手:

2.1.1 在告警信息的配置方面 目前，長慶油田計算機(jī)主干網(wǎng)包括的97臺網(wǎng)絡(luò)設(shè)備、71臺服務(wù)器，每臺設(shè)備又包含cpu、接口狀態(tài)、流量等等性能參數(shù)，每一種參數(shù)在不同的時間段正常值范圍也不盡相同。

例如同樣為出口防火墻，西安與銀川的各項性能閥值的設(shè)置也不盡相同，西安的會話數(shù)達(dá)到25萬，而銀川的超過20萬就發(fā)出同樣的告警。再比如，西安電信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的，因為這個時候在線用戶很少，但是如果在晚上8:00-10:00，流量只有二、三十兆的流量，就要發(fā)出告警信息。

因此必須根據(jù)監(jiān)控的對象(設(shè)備或鏈路)、內(nèi)容(各項性能指標(biāo))以及時間段，設(shè)置不同的觸發(fā)值及重置值。

2.1.2 告警通知方式的多樣化 任何時間我們都無法保證能全天候死盯著屏幕，所以一方面需要制定相應(yīng)的運維管理制度和輪班值守職責(zé)，另一方面則需要選擇更加人性化的運維管理方式。維護(hù)人員不但需要頁面顯示的告警觸發(fā)通知，也迫切需要在移動辦公狀態(tài)或休假狀態(tài)第一時間得到預(yù)警，從而做出應(yīng)有的反應(yīng)，所以我們需要開發(fā)出例如聲音、郵件、短信等多種告警方式。

通過以上兩個方面，我們可以建成一個完善的故障告警系統(tǒng)，便于隱患的及時消除，提高了網(wǎng)絡(luò)的穩(wěn)定性。

2.2 網(wǎng)絡(luò)拓?fù)涞膭討B(tài)化 如果一個個設(shè)備檢查起來顯然費時費力，如果我們能將所有設(shè)備的狀態(tài)及其連接狀況用一張圖形實時動態(tài)的直觀顯示出來，那么無疑會大大縮短故障定位時間(見圖1，2)。

說明:2009-10-11日17:05，慶陽、延安、靖邊、銀川四個區(qū)域的T1200-02的連接西安的2.5GPOS口，涇渭T1200-01連西安的2.5GPOS口，以及西峰、吳起連接慶陽匯聚交換機(jī)Z8905-02的千兆光口，以上接口同時發(fā)出中斷告警。

因此，綜合告警信息與全網(wǎng)拓?fù)鋱D，當(dāng)出現(xiàn)大規(guī)模告警的情況下能夠非常高效地找出故障源，避免了一步步繁瑣的人工排查，從而達(dá)到有效提高故障的解決效率，提高了網(wǎng)絡(luò)的穩(wěn)定性。

2.3 全網(wǎng)資源管理的動態(tài)化

2.3.1 通過對網(wǎng)管系統(tǒng)的二次開發(fā)，實現(xiàn)全網(wǎng)動態(tài)資源分析，他的最重要特點就是動態(tài)，系統(tǒng)通過Polling Engine從設(shè)備上自動提取資料數(shù)據(jù)，如設(shè)備硬件信息、網(wǎng)絡(luò)運行數(shù)據(jù)、告警信息、發(fā)生事件等。定時動態(tài)更新，最大限度的保持與現(xiàn)網(wǎng)的一致性。

2.3.2 通過一個集中的瀏覽器界面上就可以快速、充分地了解現(xiàn)有網(wǎng)絡(luò)內(nèi)各種動態(tài)和靜態(tài)資源的狀況，徹底轉(zhuǎn)變了傳統(tǒng)的網(wǎng)絡(luò)依賴于文字表格甚至是依賴于維護(hù)人員的傳統(tǒng)維護(hù)模式，變個人資料為共享資料。

2.4 提高安全防范意識 只要我們提高安全意識和責(zé)任觀念，很多網(wǎng)絡(luò)安全問題也是可以防范的。我們要注意養(yǎng)成良好的上網(wǎng)習(xí)慣，不隨意打開來歷不明的電子郵件及文件，不隨便運行陌生人發(fā)送的程序;盡量避免下載和安裝不知名的軟件、游戲程序;不輕易執(zhí)行附件中的EXE和COM等可執(zhí)行程序;密碼設(shè)置盡可能使用字母數(shù)字混排;及時下載安裝系統(tǒng)補(bǔ)丁程序等。

總之，影響網(wǎng)絡(luò)穩(wěn)定的因素有很多，本文基于日常網(wǎng)絡(luò)安全管理經(jīng)驗，從日常網(wǎng)絡(luò)管理的角度，提出一些安全防范措施，以期提高網(wǎng)絡(luò)穩(wěn)定性。

參考文獻(xiàn)

[1]石志國，計算機(jī)網(wǎng)絡(luò)安全教程，北京:清華大學(xué)出版社，2008.

[2]張慶華，網(wǎng)絡(luò)安全與黑客攻防寶典，北京:電子工業(yè)出版社，2007.

篇5

【關(guān)鍵詞】智能變電站；VLAN；數(shù)據(jù)流

一、智能變電站網(wǎng)絡(luò)結(jié)構(gòu)

智能化變電站是構(gòu)建智能電網(wǎng)的重要組成部分之一。隨著電網(wǎng)的不斷發(fā)展，變電站作為輸配電系統(tǒng)的信息源和執(zhí)行終端，接受的信息量和實現(xiàn)的控制功能越來越多，對于數(shù)字化、信息化的要求越來越迫切，智能化變電站成為未來變電站發(fā)展的方向。

依據(jù)國家電網(wǎng)公司頒布的《110（66）kV～220kV智能變電站設(shè)計規(guī)范》，智能變電站網(wǎng)絡(luò)可從邏輯上分為“兩網(wǎng)”，即站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)。其中，站控層網(wǎng)絡(luò)連接了站控層設(shè)備與間隔層設(shè)備，主要是傳輸站控層內(nèi)部、間隔層內(nèi)部、以及站控層與間隔層之間的數(shù)據(jù)信息，內(nèi)容以MMS報文為主。過程層網(wǎng)絡(luò)連接過程層設(shè)備與間隔層設(shè)備，主要是傳輸過程層內(nèi)部、間隔層內(nèi)部以及過程層與間隔層之間的數(shù)據(jù)信息，內(nèi)容以GOOSE和SV報文為主。由此三層兩網(wǎng)結(jié)構(gòu)數(shù)據(jù)流如下：

而且近年來基于IEC61850標(biāo)準(zhǔn)的智能變電站建設(shè)越來越多，多數(shù)的智能變電站配置站控層、間隔層和過程層3層結(jié)構(gòu)。隨著對IEC61850標(biāo)準(zhǔn)研究和應(yīng)用的深入以及國內(nèi)各廠商基于IEC61850標(biāo)準(zhǔn)產(chǎn)品的豐富，特別是智能一次設(shè)備中更多的整合二次設(shè)備的功能，而且越來月來的變電站利用先進(jìn)的以太網(wǎng)交換機(jī)信息傳播技術(shù)，使智能變電站配置上采用VLAN組網(wǎng)技術(shù)技術(shù)上提供了可行性。

二、虛擬局域網(wǎng)

智能化變電站過程層網(wǎng)絡(luò)信息數(shù)據(jù)總量十分可觀，但大部份信息數(shù)據(jù)不需要橫向流通，在過程層網(wǎng)絡(luò)中采用VLAN組網(wǎng)技術(shù)，為100M以太網(wǎng)交換機(jī)在智能化變電站組網(wǎng)中的應(yīng)用奠定了理論基礎(chǔ)，既降低了組網(wǎng)成本，又滿足了網(wǎng)絡(luò)安全、可靠性。

2.1虛擬局域網(wǎng)VLAN（Virtual Local Area Networ）技術(shù)是通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成不同網(wǎng)段，從而實現(xiàn)組建虛擬工作組的技術(shù)，達(dá)到減少碰撞和廣播風(fēng)暴、增強(qiáng)網(wǎng)絡(luò)安全性，并為802.1D協(xié)議的實現(xiàn)奠定了技術(shù)基礎(chǔ)，提供了實現(xiàn)手段。

2.2VLAN劃分的幾種模式基于端口的VLAN、基于MAC地址的VLAN、基于路由的VLAN、基于策略的VLAN。基于端口的VLAN劃分模式是最簡單、有效的方法，在智能化變電站網(wǎng)絡(luò)中得到了充分有效的應(yīng)用?；诙丝诘腣LAN模式是從邏輯上把交換機(jī)按照端口劃分成不同的虛擬局域網(wǎng)絡(luò)，使其在所需用的局域網(wǎng)絡(luò)上流通。

2.3支持IEEE802.1qVLAN協(xié)議。根據(jù)變電站自動化系統(tǒng)中的設(shè)備對實時性要求的高低不同，將其分組到不同的虛擬局域網(wǎng)（VLAN），可進(jìn)一步改善系統(tǒng)安全性和帶寬利用效率，從而進(jìn)一步保證系統(tǒng)的實時性。

三、智能變電站過程層網(wǎng)絡(luò)VLAN劃分

3.1智能變電站VLAN網(wǎng)絡(luò)劃分方案

根據(jù)智能變電站的網(wǎng)絡(luò)特點，為了限制過程層網(wǎng)絡(luò)流量、增加系統(tǒng)靈活性、提高系統(tǒng)的可靠性，智能變電站的過程層網(wǎng)絡(luò)進(jìn)行VLAN劃分很有必要。但目前并沒有成熟的VLAN劃分方案應(yīng)用于智能變電站，因此本文設(shè)計根據(jù)數(shù)據(jù)流的邏輯關(guān)系劃分VLAN劃分方案，具體如下所述。

1、根據(jù)合并單元、智能終端、保護(hù)和測控的邏輯關(guān)系。

2、線路間隔之間的邏輯關(guān)系（聯(lián)閉鎖、失靈啟動）

3、線路間隔與母線和主變的的邏輯關(guān)系

4、VLAN劃分應(yīng)滿足遠(yuǎn)期擴(kuò)容的需求

3.2劃分實例

先將智能變電站網(wǎng)絡(luò)按照電壓等級劃分成500、330，220、110、35kV等若干個區(qū)域。各個電壓等級的測控，電壓合并單元，故障錄波，斷路器測控，斷路器合并單元和主變各個電壓等級合并單元，網(wǎng)絡(luò)分析儀，測控，主變錄波都分別劃成一個VLAN。另外需要1個實現(xiàn)跨間隔通信和跨層通信的VLAN；最后需要1個進(jìn)行變電站層內(nèi)部通信的VLAN，由于通信網(wǎng)絡(luò)系統(tǒng)默認(rèn)的VLAN是VLAN_1，它包含整個網(wǎng)絡(luò)的所有設(shè)備，另外根據(jù)交換機(jī)端口要求，Trunk 端口加入的VLAN 不能是VLAN_1。所以劃分VLAN從VLAN_1以后開始。

四、基于工業(yè)以太網(wǎng)交換機(jī)實現(xiàn)

4.1設(shè)置VLAN組

如圖3所示。交換機(jī)有幾個VLAN就有幾條VLAN設(shè)置，其中VID 為VLAN標(biāo)識。

4.2TXtag

考慮到由于跨交換機(jī)通信時，會有多個VLAN的報文經(jīng)過交換機(jī)的同一端口進(jìn)行發(fā)送和接收，必須使交換機(jī)具有判斷所接受的數(shù)據(jù)屬于哪個VLAN的能力，所以需要將與中央交換機(jī)端口相連接的間隔交換機(jī)端口類型設(shè)置為Trunk（發(fā)送）tagged，傳送時保存VLAN信息，中央交換機(jī)相應(yīng)的Trunk（接收）tagged端口判斷接收到的數(shù)據(jù)屬于哪個VLAN，然后再根據(jù)相應(yīng)設(shè)置轉(zhuǎn)發(fā)到相應(yīng)的端口上。

五、結(jié)論

VLAN 技術(shù)是建立在通信技術(shù)和計算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)之上的，只有具備完善的網(wǎng)絡(luò)通信并有足夠的帶寬才能充分發(fā)揮應(yīng)有的作用，智能變電站的網(wǎng)絡(luò)通信能力需要繼續(xù)建設(shè)。本文探討了智能化變電站的VLAN劃分方式， 給出了一個方案， 同時給出了基于工業(yè)以太網(wǎng)交換機(jī)實現(xiàn)的案例， 可供今后在智能化變電站建設(shè)的借鑒。

參考文獻(xiàn)

[1]丁津津，高博，劉寧寧，郭力.智能變電站網(wǎng)絡(luò)結(jié)構(gòu)分析與VLAN劃分方式探討[N].合肥工業(yè)大學(xué)學(xué)報（自然科學(xué)版），2013-03（1）.

[2]任雁銘，秦立軍，楊奇遜.IEC61850通信協(xié)議體系介紹和分析[J].電力系統(tǒng)自動化，2000，24（8）62-64.

[3]周莉.網(wǎng)絡(luò)結(jié)構(gòu)及交換機(jī)配置優(yōu)化方案在智能變電站的應(yīng)用.重慶市電機(jī)工程學(xué)會2010 年學(xué)術(shù)會議論文.

篇6

    網(wǎng)絡(luò)安全是一個十分復(fù)雜的問題，它的劃分也是多種多樣的,但大體上可以分為物理硬件層和系統(tǒng)軟件層，網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)之間。如下表。

    為何會產(chǎn)生網(wǎng)絡(luò)安全的問題？這與人有意或無意也有關(guān)系，以上表的劃分，安全問題產(chǎn)生于以下幾方面：

    網(wǎng)內(nèi)硬件方面，即局域網(wǎng)的硬件方面。它主要包括網(wǎng)絡(luò)的電源供應(yīng)（UPS不間斷電源）和網(wǎng)絡(luò)的連接等。網(wǎng)絡(luò)的電源供應(yīng)的目的是保證網(wǎng)絡(luò)在有可能預(yù)見的突發(fā)性的非正常電源供應(yīng)情況下，為網(wǎng)絡(luò)（主指服務(wù)器、交換機(jī)等網(wǎng)絡(luò)的主干設(shè)備）提供一種短時的能量支持。網(wǎng)絡(luò)的連接又分為線路的連接和設(shè)備的接入，線路的連接雖然是在網(wǎng)絡(luò)的架設(shè)時所考慮的問題，但要必免因線路串?dāng)_而影響到線路的通信，以及布線的不合理造成的因線路過長而引發(fā)的信號衰減和線路因長期裸露意外遭到的外力的意外或有意的傷害等；設(shè)備的接入是指網(wǎng)絡(luò)的功能部件（如打印服務(wù)器、文件服務(wù)器和應(yīng)用服務(wù)器等）在網(wǎng)絡(luò)中正常連接。

    網(wǎng)間硬件方面很少被提及，主要是因為這種網(wǎng)絡(luò)，在工程實施時為保證數(shù)據(jù)的遠(yuǎn)距離傳輸，所使用的一般都是造價高但質(zhì)量好的連接設(shè)備，出現(xiàn)故障的概率較低。但收由于線路過長，一旦出現(xiàn)問題卻很難及時發(fā)現(xiàn)故障所在地，從而延緩了處理時間，像2001年初的中美海底光纜掛斷的類似事件還時有發(fā)生。

    網(wǎng)內(nèi)軟件層，根據(jù)網(wǎng)絡(luò)實現(xiàn)的功能上的差異，不同用途的局域網(wǎng)（辦公網(wǎng)、專用存儲網(wǎng)、校園網(wǎng)以及運算處理網(wǎng)等）的安全側(cè)重點也不盡相同。網(wǎng)間軟件層，就是局域網(wǎng)接入外網(wǎng)。也就是我們一般所討論的網(wǎng)絡(luò)安全，主要包括系統(tǒng)漏洞、數(shù)據(jù)遭更改或泄露、安全策略配置不當(dāng)、網(wǎng)絡(luò)攻擊、病毒入侵等。而能否抵抗網(wǎng)絡(luò)攻擊，又幾乎成為衡量這個網(wǎng)絡(luò)安全與否的標(biāo)準(zhǔn)。

網(wǎng)絡(luò)攻擊

    什么是攻擊，難道僅僅發(fā)生在入侵行為完全完成且入侵者已侵入目標(biāo)網(wǎng)絡(luò)內(nèi)才算是攻擊？一切可能使得網(wǎng)絡(luò)受到破壞的行為都應(yīng)稱之為攻擊。就拿一個很常見的現(xiàn)象來說吧，很多在互聯(lián)網(wǎng)中具有固定IP的服務(wù)器，每天都要受到數(shù)以百計的端口掃描和試圖侵入，雖然不一定會被攻克，但你總不能說它沒有受到攻擊。在正式攻擊之前，攻擊者一般都會先進(jìn)行試探性攻擊，目標(biāo)是獲取系統(tǒng)有用的信息，此時比較常用的包括ping掃描，端口掃描，帳戶掃描，dns轉(zhuǎn)換，以及惡性的ip sniffer（通過技術(shù)手段非法獲取ip packet，獲得系統(tǒng)的重要信息，來實現(xiàn)對系統(tǒng)的攻擊，后面還會詳細(xì)講到），特洛依木馬程序等。如果在某一個集中的時期內(nèi)，有人在頻繁得對你所管理的網(wǎng)絡(luò)進(jìn)行試探攻擊，或有不明身份的用戶經(jīng)常連入網(wǎng)絡(luò)，這時網(wǎng)絡(luò)管理員就要注意了，你該好好分析一下日志文件，并對系統(tǒng)好好檢查檢查了。

    通常，在正式攻擊之前，攻擊者先進(jìn)行試探性攻擊，目標(biāo)是獲取系統(tǒng)有用的信息，此時比較常用的包括ping掃描，端口掃描，帳戶掃描，dns轉(zhuǎn)換，以及惡性的ip sniffer（通過技術(shù)手段非法獲取ip packet，獲得系統(tǒng)的重要信息，來實現(xiàn)對系統(tǒng)的攻擊，后面還會詳細(xì)講到），特洛依木馬程序等。這時的被攻擊狀態(tài)中的網(wǎng)絡(luò)經(jīng)常會表現(xiàn)出一些信號，特征，例如：

2.1 收集信息攻擊：

    經(jīng)常使用的工具包括：NSS, Strobe，Netscan， SATAN（Security Aadministrator's Tool for Auditing Network),Jakal, IdentTCPscan, FTPScan等以及各種sniffer.廣義上說，特洛依木馬程序也是收集信息攻擊的重要手段。收集信息攻擊有時是其它攻擊手段的前奏。對于簡單的端口掃描，敏銳的安全管理員往往可以從異常的日志記錄中發(fā)現(xiàn)攻擊者的企圖。但是對于隱秘的sniffer和trojan程序來說，檢測就是件更高級和困難的任務(wù)了。

2.1.1 sniffer

    它們可以截獲口令等非常秘密的或?qū)Ｓ玫男畔?，甚至還可以用來攻擊相鄰的網(wǎng)絡(luò)，因此，網(wǎng)絡(luò)中sniffer的存在，會帶來很大的威脅。這里不包括安全管理員安裝用來監(jiān)視入侵者的sniffer，它們本來是設(shè)計用來診斷網(wǎng)絡(luò)的連接情況的.它可以是帶有很強(qiáng)debug功能的普通的網(wǎng)絡(luò)分析器，也可以是軟件和硬件的聯(lián)合形式?，F(xiàn)在已有工作于各種平臺上的sniffer，例如

· Gobbler(MS-DOS)

· ETHLOAD(MS-DOS)

· Netman(Unix)

· Esniff.c(SunOS)

· Sunsniff(SunOS)

· Linux-sniffer.c(Linux)

· NitWit.c(SunOS)

· etc.

    檢測sniffer的存在是個非常困難的任務(wù)，因為sniffer本身完全只是被動地接收數(shù)據(jù)，而不發(fā)送什么。并且上面所列的sniffer程序都可以在internet上下載到，其中有一些是以源碼形式的(帶有.c擴(kuò)展名的)。

    一般來講，真正需要保密的只是一些關(guān)鍵數(shù)據(jù)，例如用戶名和口令等。使用ip包一級的加密技術(shù)，可以使sniffer即使得到數(shù)據(jù)包，也很難得到真正的數(shù)據(jù)本身。這樣的工具包括 secure shell（ssh），以及F-SSH， 尤其是后者針對一般利用tcp/ip進(jìn)行通信的公共傳輸提供了非常強(qiáng)有力的，多級別的加密算法。ssh有免費版本和商業(yè)版本，可以工作在unix上，也可以工作在windows 3.1, windows 95, 和windows nt.

    另外,采用網(wǎng)絡(luò)分段技術(shù),減少信任關(guān)系等手段可以將sniffer的危害控制在較小范圍以內(nèi),也為發(fā)現(xiàn)sniffer的主人提供了方便.

2.1.2 Trojan

    這是一種技術(shù)性攻擊方式. RFC1244中給出了trojan程序的經(jīng)典定義：特洛依木馬程序是這樣一種程序，它提供了一些有用的，或僅僅是有意思的功能。但是通常要做一些用戶不希望的事，諸如在你不了解的情況下拷貝文件或竊取你的密碼, 或直接將重要資料轉(zhuǎn)送出去，或破壞系統(tǒng)等等. 特洛依程序帶來一種很高級別的危險，因為它們很難被發(fā)現(xiàn)，在許多情況下，特洛依程序是在二進(jìn)制代碼中發(fā)現(xiàn)的，它們大多數(shù)無法直接閱讀，并且特洛依程序可以作用在許許多多系統(tǒng)上,它的散播和病毒的散播非常相似。從internet上下載的軟件,尤其是免費軟件和共享軟件,從匿名服務(wù)器或者usernet新聞組中獲得的程序等等都是十分可疑的. 所以作為關(guān)鍵網(wǎng)絡(luò)中的用戶有義務(wù)明白自己的責(zé)任,自覺作到不輕易安裝使用來路不清楚的軟件.

2.2 denial of service：

    這是一類個人或多個人利用internet協(xié)議組的某些方面妨礙甚至關(guān)閉其它用戶對系統(tǒng)和信息的合法訪問的攻擊. 其特點是以潮水般的連接申請使系統(tǒng)在應(yīng)接不暇的狀態(tài)中崩潰。對于大型網(wǎng)絡(luò)而言,此類攻擊只是有限的影響, 但是卻可能導(dǎo)致較小網(wǎng)絡(luò)退出服務(wù), 遭到重創(chuàng).

這是最不容易捕獲的一種攻擊，因為不留任何痕跡，安全管理人員不易確定攻擊來源。由于這種攻擊可以使整個系統(tǒng)癱瘓，并且容易實施，所以非常危險。但是從防守的角度來講，這種攻擊的防守也比較容易. 攻擊者通過此類攻擊不會破壞系統(tǒng)數(shù)據(jù)或獲得未授權(quán)的權(quán)限, 只是搗亂和令人心煩而已. 例如使網(wǎng)絡(luò)中某個用戶的郵箱超出容限而不能正常使用等.

典型的攻擊包括如E-mail炸彈, 郵件列表連接,

2.2.1 Email炸彈

    它是一種簡單有效的侵?jǐn)_工具. 它反復(fù)傳給目標(biāo)接收者相同的信息, 用這些垃圾擁塞目標(biāo)的個人郵箱. 可以使用的工具非常多, 例如bomb02.zip(mail bomber), 運行在windows平臺上,使用非常簡單. unix平臺上發(fā)起email bomb攻擊更為簡單, 只需簡單幾行shell程序即可讓目標(biāo)郵箱內(nèi)充滿垃圾.

它的防御也比較簡單. 一般郵件收發(fā)程序都提供過濾功能, 發(fā)現(xiàn)此類攻擊后, 將源目標(biāo)地址放入拒絕接收列表中即可.

2.2.2 郵件列表連接

    它產(chǎn)生的效果同郵件炸彈基本相同. 將目標(biāo)地址同時注冊到幾十個(甚至成百上千)個郵件列表中, 由于一般每個郵件列表每天會產(chǎn)生許多郵件, 可以想象總體效果是什么樣子. 可以手工完成攻擊, 也可以通過建立郵件列表數(shù)據(jù)庫而自動生成. 對于郵件列表連接,尚沒有快速的解決辦法. 受害者需要把包含注銷"unsubscribe"信息的郵件發(fā)往每個列表.

許多程序能夠同時完成兩種攻擊, 包括Up yours(Windows), KaBoom(Windows), Avalanche(Windows), Unabomber(Windows), eXtreme Mail(Windows), Homicide(Windows), Bombtrack(Macintosh), FlameThrower(Macintosh), etc.

2.2.3 其它

    還有一些針對其它服務(wù)的攻擊, 例如Syn-Flooder, Ping of Death(發(fā)送異常的很大的進(jìn)行ping操作的packet來攻擊windows nt), DNSkiller(運行在linux平臺上, 攻擊windows nt平臺上的dns服務(wù)器)等。

在路由的層次上,對數(shù)據(jù)流進(jìn)行過濾, 通過合適的配置會減少遭受此類攻擊的可能性.Cisco Systems就提供了路由級的解決方案.

2.3 spoofing attack(電子欺騙)：

    針對http，ftp，dns等協(xié)議的攻擊，可以竊取普通用戶甚至超級用戶的權(quán)限，任意修改信息內(nèi)容，造成巨大危害。所謂ip欺騙，就是偽造他人的源ip地址。其實質(zhì)上就是讓一臺機(jī)器來扮演另一臺機(jī)器，借以達(dá)到蒙混過關(guān)的目的。下面一些服務(wù)相對來說容易招致此類攻擊：

· 任何使用sunrpc調(diào)用的配置；rpc指sun公司的遠(yuǎn)程過程調(diào)用標(biāo)準(zhǔn)，是一組工作于網(wǎng)絡(luò)之上的處理系統(tǒng)調(diào)用的方法。

· 任何利用ip地址認(rèn)證的網(wǎng)絡(luò)服務(wù)

· mit的xwindow系統(tǒng)

· 各種r服務(wù): 在unix環(huán)境中，r服務(wù)包括rlogin和rsh，其中r表示遠(yuǎn)程。人們設(shè)計這兩個應(yīng)用程序的初衷是向用戶提供遠(yuǎn)程訪問internet網(wǎng)絡(luò)上主機(jī)的服務(wù)。r服務(wù)極易受到ip欺騙的攻擊

幾乎所有的電子欺騙都倚賴于目標(biāo)網(wǎng)絡(luò)的信任關(guān)系（計算機(jī)之間的互相信任，在unix系統(tǒng)中，可以通過設(shè)置rhosts和host.equiv 來設(shè)置）。入侵者可以使用掃描程序來判斷遠(yuǎn)程機(jī)器之間的信任關(guān)系。這種技術(shù)欺騙成功的案例較少，要求入侵者具備特殊的工具和技術(shù)（，并且現(xiàn)在看來對非unix系統(tǒng)不起作用）。另外spoofing的形式還有dns spoofing等。

解決的途徑是慎重設(shè)置處理網(wǎng)絡(luò)中的主機(jī)信任關(guān)系，尤其是不同網(wǎng)絡(luò)之間主機(jī)的信任關(guān)系。如只存在局域網(wǎng)內(nèi)的信任關(guān)系，可以設(shè)置路由器使之過濾掉外部網(wǎng)絡(luò)中自稱源地址為內(nèi)部網(wǎng)絡(luò)地址的ip包，來抵御ip欺騙。下面一些公司的產(chǎn)品提供了這種功能

· Cisco System

· iss.com公司的安全軟件包可以測試網(wǎng)絡(luò)在ip欺騙上的漏洞。

· etc.

    國際黑客已經(jīng)進(jìn)入有組織有計劃地進(jìn)行網(wǎng)絡(luò)攻擊階段，美國政府有意容忍黑客組織的活動，目的是使黑客的攻擊置于一定的控制之下，并且通過這一渠道獲得防范攻擊的實戰(zhàn)經(jīng)驗。國際黑客組織已經(jīng)發(fā)展出不少逃避檢測的技巧. 使得攻擊與安全檢測防御的任務(wù)更加艱巨.

3 入侵層次分析：

3.1 敏感層的劃分

使用敏感層的概念來劃分標(biāo)志攻擊技術(shù)所引起的危險程度.

1 郵件炸彈攻擊（emailbomb）（layer1）

2 簡單服務(wù)拒絕攻擊（denial of service）（layer1+）

3 本地用戶獲得非授權(quán)讀訪問（layer2）

4 本地用戶獲得他們非授權(quán)的文件寫權(quán)限（layer3）

5 遠(yuǎn)程用戶獲得非授權(quán)的帳號（layer3+）

6 遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限（layer4）

7 遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限（layer5）

8 遠(yuǎn)程用戶擁有了根（root）權(quán)限（黑客已攻克系統(tǒng)）（layer6）

以上層次劃分在所有的網(wǎng)絡(luò)中幾乎都一樣，基本上可以作為網(wǎng)絡(luò)安全工作的考核指標(biāo)。

    "本地用戶"（local user）是一種相對概念。它是指任何能自由登錄到網(wǎng)絡(luò)上的任何一臺主機(jī)上，并且在網(wǎng)絡(luò)上的某臺主機(jī)上擁有一個帳戶，在硬盤上擁有一個目錄的任何一個用戶。在一定意義上，對內(nèi)部人員的防范技術(shù)難度更大。據(jù)統(tǒng)計，對信息系統(tǒng)的攻擊主要來自內(nèi)部，占85％。因為他們對網(wǎng)絡(luò)有更清楚的了解，有更多的時間和機(jī)會來測試網(wǎng)絡(luò)安全漏洞，并且容易逃避系統(tǒng)日志的監(jiān)視。

3.2 不同的對策

    根據(jù)遭受的攻擊的不同層次，應(yīng)采取不同的對策.

第一層：

    處于第一層的攻擊基本上應(yīng)互不相干,第一層的攻擊包括服務(wù)拒絕攻擊和郵件炸彈攻擊.郵件炸彈的攻擊還包括登記列表攻擊（同時將被攻擊目標(biāo)登錄到數(shù)千或更多的郵件列表中，這樣，目標(biāo)有可能被巨大數(shù)量的郵件列表寄出的郵件淹沒）。對付此類攻擊的最好的方法是對源地址進(jìn)行分析，把攻擊者使用的主機(jī)(網(wǎng)絡(luò))信息加入inetd.sec的拒絕列表(denylistings)中.除了使攻擊者網(wǎng)絡(luò)中所有的主機(jī)都不能對自己的網(wǎng)絡(luò)進(jìn)行訪問外,沒有其它有效的方法可以防止這種攻擊的出現(xiàn).

    此類型的攻擊只會帶來相對小的危害。使人頭疼的是雖然這類攻擊的危害性不大，但是發(fā)生的頻率卻可能很高，因為僅具備有限的經(jīng)驗和專業(yè)知識就能進(jìn)行此類型的攻擊。

第二層和第三層：

    這兩層的攻擊的嚴(yán)重程度取決于那些文件的讀或?qū)憴?quán)限被非法獲得。對于isp來說，最安全的辦法是將所有的shell帳戶都集中到某一臺（或幾臺）主機(jī)上，只有它們才能接受登錄，這樣可以使得管理日志，控制訪問，協(xié)議配置和相關(guān)的安全措施實施變得更加簡單。另外，還應(yīng)該把存貯用戶編寫的cgi程序的機(jī)器和系統(tǒng)中的其它機(jī)器相隔離。

    招致攻擊的原因有可能是部分配置錯誤或者是在軟件內(nèi)固有的漏洞.對于前者，管理員應(yīng)該注意經(jīng)常使用安全工具查找一般的配置錯誤，例如satan。后者的解決需要安全管理員花費大量的時間去跟蹤了解最新的軟件安全漏洞報告，下載補(bǔ)丁或聯(lián)系供貨商。實際上，研究安全是一個永不終結(jié)的學(xué)習(xí)過程。安全管理員可以訂閱一些安全郵件列表，并學(xué)會使用一些腳本程序（如perl，等）自動搜索處理郵件，找到自己需要的最新信息。

    發(fā)現(xiàn)發(fā)起攻擊的用戶后，應(yīng)該立即停止其訪問權(quán)限，凍結(jié)其帳號。

第四層:

    該層攻擊涉及到遠(yuǎn)程用戶如何獲取訪問內(nèi)部文件的權(quán)利。其起因大多是服務(wù)器的配置不當(dāng)，cgi程序的漏洞和溢出問題。

第五層和第六層:

只有利用那些不該出現(xiàn)卻出現(xiàn)的漏洞，才可能出現(xiàn)這種致命的攻擊。

    出現(xiàn)第三,四,五層的攻擊表明網(wǎng)絡(luò)已經(jīng)處于不安全狀態(tài)之中，安全管理員應(yīng)該立即采取有效措施, 保護(hù)重要數(shù)據(jù), 進(jìn)行日志記錄和匯報,同時爭取能夠定位攻擊發(fā)起地點：

· 將遭受攻擊的網(wǎng)段分離出來，將此攻擊范圍限制在小的范圍內(nèi)

· 記錄當(dāng)前時間,備份系統(tǒng)日志,檢查記錄損失范圍和程度

· 分析是否需要中斷網(wǎng)絡(luò)連接

· 讓攻擊行為繼續(xù)進(jìn)行

· 如果可能，對系統(tǒng)做0級備份

· 將入侵的詳細(xì)情況逐級向主管領(lǐng)導(dǎo)和有關(guān)主管部門匯報；如果系統(tǒng)受到嚴(yán)重破壞，影響網(wǎng)絡(luò)業(yè)務(wù)功能，立即調(diào)用備件恢復(fù)系統(tǒng)

· 對此攻擊行為進(jìn)行大量的日志工作

· (在另一個網(wǎng)段上）竭盡全力地判斷尋找攻擊源

    總之，不到萬不得已的情況下, 不可使系統(tǒng)退出服務(wù). 尋找入侵者的最重要的工作就是做日志記錄和定位入侵者，而找出入侵者并通過法律手段迫使其停止攻擊是最有效的防衛(wèi)手段。

4 關(guān)于口令安全性

    通過口令進(jìn)行身份認(rèn)證是目前實現(xiàn)計算機(jī)安全的主要手段之一，一個用戶的口令被非法用戶獲悉，則該非法用戶即獲得了該用戶的全部權(quán)限，這樣，尤其是高權(quán)限用戶的口令泄露以后，主機(jī)和網(wǎng)絡(luò)也就隨即失去了安全性。黑客攻擊目標(biāo)時也常常把破譯普通用戶的口令作為攻擊的開始。然后就采用字典窮舉法進(jìn)行攻擊。它的原理是這樣的：網(wǎng)絡(luò)上的用戶常采用一個英語單詞或自己的姓名、生日作為口令。通過一些程序，自動地從電腦字典中取出一個單詞，作為用戶的口令輸入給遠(yuǎn)端的主機(jī)，申請進(jìn)入系統(tǒng)。若口令錯誤，就按序取出下一個單詞，進(jìn)行下一個嘗試。并一直循環(huán)下去，直到找到正確的口令，或字典的單詞試完為止。由于這個破譯過程由計算機(jī)程序來自動完成，幾個小時就可以把字典的所有單詞都試一遍。這樣的測試容易在主機(jī)日志上留下明顯攻擊特征，因此，更多的時候攻擊者會利用其它手段去獲得主機(jī)系統(tǒng)上的/etc/passwd文件甚至/etc/shadow文件，然后在本地對其進(jìn)行字典攻擊或暴力破解。攻擊者并不需要所有人的口令，他們得到幾個用戶口令就能獲取系統(tǒng)的控制權(quán)，所以即使普通用戶取口令過于簡單可能會對系統(tǒng)安全造成很大的威脅。系統(tǒng)管理員以及其它所有用戶對口令選取的應(yīng)采取負(fù)責(zé)的態(tài)度，消除僥幸和偷懶思想。

保持口令安全的一些要點如下:

· 口令長度不要小于6位，并應(yīng)同時包含字母和數(shù)字，以及標(biāo)點符號和控制字符

· 口令中不要使用常用單詞（避免字典攻擊），英文簡稱，個人信息（如生日,名字,反向拼寫的登錄名,房間中可見的東西），年份，以及機(jī)器中的命令等

· 不要將口令寫下來。

· 不要將口令存于電腦文件中。

· 不要讓別人知道。

· 不要在不同系統(tǒng)上，特別是不同級別的用戶上使用同一口令。

· 為防止眼明手快的人竊取口令,在輸入口令時應(yīng)確認(rèn)無人在身邊。

· 定期改變口令,至少6個月要改變一次。

· 系統(tǒng)安裝對口令文件進(jìn)行隱藏的程序或設(shè)置。（e.g. Shadow Suite for linux）

· 系統(tǒng)配置對用戶口令設(shè)置情況進(jìn)行檢測的程序，并強(qiáng)制用戶定期改變口令。任何一個用戶口令的脆弱，都會影響整個系統(tǒng)的安全性。(e.g. passwd+, Crack,etc)

    最后這點是十分重要的,永遠(yuǎn)不要對自己的口令過于自信,也許就在無意當(dāng)中泄露了口令。定期地改變口令,會使自己遭受黑客攻擊的風(fēng)險降到了一定限度之內(nèi)。一旦發(fā)現(xiàn)自己的口令不能進(jìn)入計算機(jī)系統(tǒng),應(yīng)立即向系統(tǒng)管理員報告,由管理員來檢查原因。

    系統(tǒng)管理員也應(yīng)定期運行這些破譯口令的工具,來嘗試破譯shadow文件,若有用戶的口令密碼被破譯出,說明這些用戶的密碼取得過于簡單或有規(guī)律可循,應(yīng)盡快地通知他們,及時更正密碼,以防止黑客的入侵。

5 網(wǎng)絡(luò)安全管理員的素質(zhì)要求

· 深入地了解過至少兩個操作系統(tǒng)，其中之一無可置疑地是unix。熟練配置主機(jī)的安全選項和設(shè)置，及時了解已見報道的安全漏洞，并能夠及時下載相應(yīng)補(bǔ)丁安裝。在特殊緊急情況下，可以獨立開發(fā)適合的安全工具或補(bǔ)丁，提高系統(tǒng)的安全性。

· 對tcp/ip協(xié)議族有透徹的了解，這是任何一個合格的安全管理員的必備的素質(zhì)。并且這種知識要不僅僅停留在internet基本構(gòu)造等基礎(chǔ)知識上，必須能夠根據(jù)偵測到的網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行準(zhǔn)確的分析，達(dá)到安全預(yù)警，有效制止攻擊和發(fā)現(xiàn)攻擊者等防御目的。

· 熟練使用c，c++，perl等語言進(jìn)行編程。這是基本要求，因為許多基本的安全工具是用這些語言的某一種編寫的。安全管理員至少能正確地解釋，編譯和執(zhí)行這些程序。更高的要求是能夠把不專門為某個特定平臺開發(fā)的工具移植到自己的平臺上。同時他們還能夠開發(fā)出可擴(kuò)展自己系統(tǒng)網(wǎng)絡(luò)安全性的工具來，如對satan和safe suite的擴(kuò)展和升級（它們允許用戶開發(fā)的工具附加到自己上）

· 經(jīng)常地保持與internet社會的有效接觸。不僅要了解自己的機(jī)器和局域網(wǎng)，還必須了解熟悉internet。經(jīng)驗是不可替代的。

· 熟練使用英語讀寫，與internet網(wǎng)上的各個安全論壇建立經(jīng)常的聯(lián)系。

· 平時注意收集網(wǎng)絡(luò)的各種信息, 包括硬件應(yīng)識別其構(gòu)造,制造商,工作模式,以及每臺工作站,路由器,集線器,網(wǎng)卡的型號等;軟件網(wǎng)絡(luò)軟件的所有類型以及它們的版本號;協(xié)議網(wǎng)絡(luò)正在使用的協(xié)議; 網(wǎng)絡(luò)規(guī)劃例如工作站的數(shù)量,網(wǎng)段的劃分,網(wǎng)絡(luò)的擴(kuò)展; 以及其它信息例如網(wǎng)絡(luò)內(nèi)部以前一直實施中的安全策略的概述,曾遭受過的安全攻擊的歷史記錄等。

    還有一點也很重要，那就是不要過于相信你的供應(yīng)商，一定要有自己的判斷。你不能因為他告訴你裝上他的防火墻就可以高枕無憂而麻痹大意，在安裝完成后一定要進(jìn)行相應(yīng)地測試，并且還要定期對日志文件進(jìn)行審查。我還曾經(jīng)遇到過一個十分頭疼的事情，由于某軟件中存在的缺陷（應(yīng)該是指針的問題），在運行素材文件刪除后，管理軟件認(rèn)為已經(jīng)將文件清除，可物理上仍然存在，這樣舊有的空間無法釋放，當(dāng)這樣的素材文件越來越多時，磁盤的數(shù)據(jù)存貯就會出現(xiàn)問題。網(wǎng)絡(luò)管理人員所要做的就是在日常工作中發(fā)現(xiàn)并處理這樣一些不可預(yù)期的問題。