1、淺析網絡系統控制安全措施探究08 級 計算機科學與技術專業 民盟西安知遠學習中心姓名 趙國凱摘要：今天信息安全在各個領域都得到應用， 新時代下， 雖然國家政府和社 會各界人士為了保障經濟穩步發展， 在信息安全工作方面做了大量工作， 也取得 了一定的成果， 但是為了切實保障企業的發展和進步， 根據企業的各種情況以及 其自身的特殊性， 我們必須制定出一整套對其有效的網絡信息安全技術， 從根本 上解決企業網絡信息安全技術方面的缺失，為國家經濟提供有效的安全保障。關鍵詞 網絡系統 控制安全 措施探究1 研究的意義隨著計算機網絡的出現和互聯網的飛速發展，網絡安全逐漸成為一個潛 在的巨大問題。網絡安全性是

2、一個涉及面很廣泛的問題，其中也會涉及到是 否構成犯罪行為的問題。 在網絡廣泛使用的今天， 我們更應該了解網絡安全， 做好防范措施，做好網絡信息的保密性、完整性和可用性。2 研究的方向信息安全是一個國家發展所面臨的一個重要問題。對于這個問題，我們 還沒有從系統的規劃上去考慮它，從技術上、產業上、政策上來發展它。政 府不僅應該看見信息安全的發展是我國高科技產業的一部分， 而且應該看到， 發展安全產業的政策是信息安全保障系統的一個重要組成部分，甚至應該看 到它對我國未來電子化、信息化的發展將起到非常重要的作用。網絡安全是 一項動態的、整體的系統工程，我們至力于結合本國家的網絡特點，制定妥 善的網絡安

3、全策略，將INTERNET勺不安全性降至現有條件下的最低點，讓它 為我們的工作和現代化建設更好的服務。3 論文提綱I緒論改革開放以來， 隨著經濟的不斷發展， 我國各項貿易不斷興起， 各行各業都 在自己的領域里發展出一片屬于自己的天地，自從中國加入 WTO走向國際貿易 舞臺之后自中國正式加入 WTC后,我國的經濟與外國的經濟爭奪市場的戰爭愈演 愈烈，面對與國外經濟發展的競爭和壓力， 我國的經濟必須改變原有的整體營銷 手段來提高自身在國際市場上的競爭力， 網絡信息化是我國企業進行進一步發展 的必經之路， 也是關鍵所在。 在這樣一個蓬勃的經濟環境下也在穩步發展， 在不 發展中不斷創新， 從而日趨成熟

4、的階段， 隨著經濟的不斷發展， 網絡信息化給國 家經濟帶來了新的發展， 但是網絡安全問題也逐漸浮出水面， 因為安全性是決定 其發展的一個關鍵因素，網絡信息安全技術是推動國家不斷發展進步的推動力， 因此，建立一套有效的網絡信息安全機制顯得尤為重要， 如果沒有整個的安全機 制，那么商業活動將無法正常進行。 今天信息安全在各個領域都得到應用， 新時 代下，雖然國家政府和社會各界人士為了保障經濟穩步發展， 在信息安全工作方 面做了大量工作，也取得了一定的成果，但是為了切實保障企業的發展和進步， 根據企業的各種情況以及其自身的特殊性， 我們必須制定出一整套對其有效的網 絡信息安全技術， 從根本上解決企業

5、網絡信息安全技術方面的缺失， 為國家經濟 提供有效的安全保障。U分析當前網絡系統控制安全形勢1闡述網絡系統控制安全的必要21 世紀是一個網絡化信息化的時代，計算機網絡技術不斷伴隨著高科技的 發展而發展，已經滲透于經濟、貿易、軍事等領域中。計算機網絡技術也逐漸的 進入到人們的生活中， 提高了人們工作的效率， 促進了人們的生活水平。 人們對 于網絡技術已不再陌生。 在網絡技術不斷發展的同時， 它的安全性問題也就日益 的突顯出重要性， 對于其隱藏安全風險人們也加倍的重視起來。 計算機網絡的特 點也就是其自由開放的網絡（IP/TCP架構），正是這些自由開放的空間才使得黑 客的攻擊以及入侵有機可乘。 通

6、過計算機的網絡使得一般傳統的病毒傳播的速度 加快，而且病毒針對計算機的應用程序或是網絡協議存在的漏洞上， 很多種新型 的攻擊入侵的方法也不斷出現并日益革新。 所以網絡應用的安全性已經成為計算機技術中重要的部分，目前面臨的最大問題也就是對其的研究以及解決方案。2網絡系統的安全管理2.1網絡拓撲結構的安全設計網絡分層及聚合位置大規模的網絡系統總是被分層設計，其基本思想 即把一個大問題分解成幾個小問題，從而分開解決。分層產生分開的問題區域， 每層規劃的重點可放在單個目標或一組目標上。通常IP網定義為三層，每一層都有其自身的規劃目標：網絡核心層高速運送流量，其設備的主要工作是快速交 換數據包；分布層負

7、責聚合路由路徑，并且收斂數據流量；訪問層將流量饋人網 絡，執行網絡訪問控制，并且提供其他邊緣服務。分層結構的網絡中，流量在從訪問層流向核心層時，被收斂在有較高速度的 鏈接上，而在從核心層流向訪問層時，被分離到較小的鏈接上。良好的網絡設計 可以通過在分布層中進行的聚會實現如下 2個(1)網絡中受拓撲結構改變影響的 區域應該被限制到最小的程度；(2)路由器應傳輸及處理盡量少的路由信息互璽。 例如，一個失敗的訪問層鏈接不應該影響核心層的路由表，并且一個失敗的核心層鏈接應對訪問層的路由表產生最小的影響。網絡分層模型見圖1。圖1網絡分層模型2.2網絡核心層網絡核心層只有一個目的，即交換數據包，以下兩個基

8、本策略將有助于實現 此目標:(l)不要在網絡核心層執行網絡策略，應放在訪問層中執行；(2)核心層的 所有設備應對網絡中的每個目的地具備充分的可到達性，且核心層的路由器不應該使用默認的路徑到達內部的目的地，以便于核心層的冗余、減少次優化的路徑、 阻止路由循環。核心層具體實現方案依不同的網絡規模而定。當網絡很小時，通 常用壓縮的核心層 (即一個路由器扮演網絡核心層 ) ，與分布層上的所有其他路由 器相連接 ( 如果網絡足夠小，壓縮了的核心層路由器可能直接與訪問層路由器連 接，就沒有分布層了 ) 。壓縮的核心層很容易管理，但擴展性不好。大多數的大 型網絡使用一組由高速局域網連接的路由器， 或者一系列

9、高速的廣域網鏈接形成 一個核心層網絡。 不使用單獨的路由器， 而使用某個網絡作為核心層， 使得將冗 余加人到核心層規劃中并使通過增加附加的路由器及鏈接來擴展核心層性能成 為可能。2.3 分布層確定在哪里聚合遵循的一條首要規則是 : 只提供網絡中必要的拓撲信息，把 不必要的信息隱藏。 網絡中最好的聚合點是分布層， 它將訪問層發生的變化聚合 在本層，從而將拓撲變化信息必須傳播的區域縮小到本地分布層區域內。 分布層 在具體規劃中有以下 3個主要目標 :(l) 隔離拓撲結構的變化，隱藏核心層細節和 訪問層設備的細節 ;(2) 控制路由表的大小 ;(3) 流量的收斂。可用路徑聚合和使核 心層與分布層的連

10、接最小化兩個主要方法來實現上述目標 : 分布層將大量低速的 鏈接( 訪問層設備的鏈接 ) 通過少數寬帶的鏈接接人核心層，以實現流量的收斂。 該策略可以提高網絡中聚合點的效率， 同時減少核心層設備可選擇的路由路徑的 數量。2.4 訪問層訪問層在具體規劃中有以下 3 個主要目標 :(1) 將流量饋人網絡 ;(2) 控制訪 問 ;(3) 執行其他邊緣功能。 訪問層將廣域網的信息通過內部的高速局域網接人分 布層。與公共服務的連接， 有以下兩種典型方法 :(l) 直接將它們接人核心層 ;(2) 通過中立區(DMZ接人，建立DMZ主要是為了緩沖數據。IV 采用硬軟件防火墻進行網絡系統安全防范1防火墻技術

11、使用網絡防火墻以及防毒墻的技術來防護在計算機領域中經常會聽到防火 墻這個詞， 那何為防火墻， 以及它有何具體的作用呢？防火墻實際也就是隔離控 制病毒的一種技術， 它是利用預先所定義的網絡安全策略， 強制性的對內網外網 通信進行訪問或是控制。 在該領域中常用的防火墻技術主要有如下幾類： 應用網 關技術以及狀態檢測技術和包過濾技術。 就拿包過濾技術來說， 這種技術實行對 數據包進行檢測，對其是有選擇性的通過， 依照系統內部預先設置好的過濾要求， 對網絡層中的所有數據包進行檢測， 數據包是否能夠通過是取決于其目標地址和 采用的端口以及源地址的。 對于防火墻技術來說它有其優點， 能夠有效的分析網 絡數

12、據的流連接的合法性， 可是也有其缺點就是它不能夠隔離控制其許可連接中 的電腦上傳輸的病毒數據流， 那是由于防火墻不能確認識別合法的數據包里是否 有病毒。而對于防毒墻而言， 它正是彌補防火墻在病毒隔離控制中的缺陷而問世 的。防火墻是處于網絡的入口地方， 進行對網絡發送里存在的病毒過濾的這樣一 種設備， 防毒墻通過簽名技術， 在網關地方實行對病毒的查檢， 有效的控制和阻 止了 Worm（網絡蠕蟲）以及BOT（僵尸網絡）這類病毒的擴散和植入。再者對于 這種防毒墻技術， 管理人員可以對安全策略進行定義分組， 根據過濾的網絡的流 量，可以對特定的報文發送以及文件類型的擴展名等可以實行阻止策略。2數據加密

13、技術用戶要對重要有效的信息數據實行加密策略， 使其得到保護。 現在存在很多 修改或是惡意探測監聽網絡中發送的數據這種危險情況， 針對這種形勢， 常用的 局勢對重要的數據實行加密措施， 讓數據變成密文。 我們知道就算別人竊取了數 據，但如果不知道其密鑰的話， 他還是沒有辦法是竊取的數據還原， 這也就在很 大程度上對數據進行保護。 加密可有非對稱和對稱加密， 何為對稱加密體制？它 是加密的密鑰與其解密的密鑰一樣的機制。對其最常使用的算法是DES而其數據的加密標準就是依據ISO。那何為非對稱加密？相對應也就是它的加密和解密 的密鑰是不同的。 每個用戶擁有兩個密鑰， 一個最為公開密鑰， 這個密鑰是用來

14、 加密密鑰設置的， 而另一個就是秘密密鑰， 也就是又來解密時所用的密鑰， 它是 需要用戶自己嚴加保密的。個人根據實際需要來選擇自己使用的加密方法。3計算機病毒的防范 使用病毒防護技術來進行預防危險問題。對于計算機網絡應用的安全問題 上，常見的主要病毒防護技術有如下幾種： 第一個是智能引擎的防護技術。 這種 引擎技術對于特征碼掃描法中的優點繼承并且進行了發展， 將掃描方法中存在的 不足進行了改進， 進而在病毒掃描中， 其掃描的速度不會受到病毒庫不斷增加的 影響的；第二就是未知病毒查殺防護技術。 這種防護技術在虛擬執行技術基礎之 上的又突破的病毒技術， 它是人工智能技術與虛擬技術的組合體， 能夠對

15、未知的 病毒進行有效準確的查殺； 第三是病毒免疫技術。 對與這種病毒的免疫技術， 反 病毒專家一直對其保持著高度研究興趣。 這種技術主要是對自主的訪問控制進行 加強，以及對磁盤進行禁寫保護區的設置， 通過這種途徑來實現病毒免疫的； 第 四，嵌入式的殺毒技術。這中殺毒技術主要針對經常性的遭到病毒的入侵攻擊的 對象或應用程序，該技術對此實行重點保護。可借助其應用程序中的內部接口或 是操作系統來實現殺毒，這種技術為應用軟件（范圍使用廣以及頻率使用高的） 提供了被動形式煩人防護措施。這種應用軟件有Outlook/IE/NetAnt 等,對其實 行被動式的殺毒；第五，壓縮智能的還原技術。這種防護技術是通

16、過打包或壓縮 文件在內存里進行還原技術，這樣讓病毒完全的顯露出來。V總結雖然有著一定的基礎，其網絡信息安全技術卻存在著一定的缺漏， 在網絡信 息安全組織、網絡信息安全流程、網絡信息安全系統等技術層面卻出現了很多不 足和問題，這些問題的出現阻礙了我國經濟的進一步發展，我們要做的就是從根本上解決網絡信息安全技術問題，保障經濟發展在一個相對安全的網絡環境下進 行，我們應該建立健全的網絡信息管理制度，然后明確領導，對相關制度進行貫徹落實，采用員工問責制度，獎懲分明，調動員工的積極性，同時應該設立網絡 信息安全管理監察部門，監察網絡安全，以便及時發現漏洞并進行補缺。4 論文寫作計劃（進度安排）論文撰寫計

17、劃進度安排起止時間撰寫內容目的和要求開題報告確定題目、收集資料2012.6.20-2012.論文初稿論文框架基8.22本完成2012.8.23-2012.論文定稿進一步豐富9.24論文終稿完成論文寫.20作、5 主要參考文獻1 王偉. GIS 在數據倉庫中的實現模型研究 A. 中國電子學會第十五屆 信息論學術年會暨第一屆全國網絡編碼學術年會論文集（下冊） C, 2008 .2 何力，賈焰,李愛平,葉云.基于NVD漏洞數據庫的網絡脆弱性指數計算研究A.中國電子學會第十六屆信息論學術年會論文集C, 2009 .3 劉治安,王桂蘭. 基于數據流的網絡預測與異常分析 A. 中國電子學 會第十六屆信息論

18、學術年會論文集 C, 2009 .4 陳志坤,楊樹強,李愛平,鄭黎明. 數據流與數據庫之間混合連接查詢算 法的研究 A. 2009 年研究生學術交流會通信與信息技術論文集 C, 2009 .5 江楊. 流數據存儲系統體系結構研究 A. 2007中國科協年會通信 與信息發展高層論壇論文集 C, 2007 .6 劉延慶，甘亮，韓偉紅.一種Hybrid數據庫上大時間窗口 Cube查詢的研 究 A. 全國計算機安全學術交流會論文集（第二十四卷） C, 2009 .7 韓矞,賈焰,甘亮.一種基于網絡安全數據流的混合CUBE模型A.全國計算機安全學術交流會論文集（第二十四卷） C, 2009 .8 王亦兵,楊樹強,王曉偉