1、淺析網(wǎng)絡(luò)系統(tǒng)控制安全措施探究08 級(jí) 計(jì)算機(jī)科學(xué)與技術(shù)專業(yè) 民盟西安知遠(yuǎn)學(xué)習(xí)中心姓名 趙國(guó)凱摘要：今天信息安全在各個(gè)領(lǐng)域都得到應(yīng)用， 新時(shí)代下， 雖然國(guó)家政府和社 會(huì)各界人士為了保障經(jīng)濟(jì)穩(wěn)步發(fā)展， 在信息安全工作方面做了大量工作， 也取得 了一定的成果， 但是為了切實(shí)保障企業(yè)的發(fā)展和進(jìn)步， 根據(jù)企業(yè)的各種情況以及 其自身的特殊性， 我們必須制定出一整套對(duì)其有效的網(wǎng)絡(luò)信息安全技術(shù)， 從根本 上解決企業(yè)網(wǎng)絡(luò)信息安全技術(shù)方面的缺失，為國(guó)家經(jīng)濟(jì)提供有效的安全保障。關(guān)鍵詞 網(wǎng)絡(luò)系統(tǒng) 控制安全 措施探究1 研究的意義隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛 在的巨大問題。網(wǎng)絡(luò)安全性是

2、一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是 否構(gòu)成犯罪行為的問題。 在網(wǎng)絡(luò)廣泛使用的今天， 我們更應(yīng)該了解網(wǎng)絡(luò)安全， 做好防范措施，做好網(wǎng)絡(luò)信息的保密性、完整性和可用性。2 研究的方向信息安全是一個(gè)國(guó)家發(fā)展所面臨的一個(gè)重要問題。對(duì)于這個(gè)問題，我們 還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政 府不僅應(yīng)該看見信息安全的發(fā)展是我國(guó)高科技產(chǎn)業(yè)的一部分， 而且應(yīng)該看到， 發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分，甚至應(yīng)該看 到它對(duì)我國(guó)未來電子化、信息化的發(fā)展將起到非常重要的作用。網(wǎng)絡(luò)安全是 一項(xiàng)動(dòng)態(tài)的、整體的系統(tǒng)工程，我們至力于結(jié)合本國(guó)家的網(wǎng)絡(luò)特點(diǎn)，制定妥 善的網(wǎng)絡(luò)安

3、全策略，將INTERNET勺不安全性降至現(xiàn)有條件下的最低點(diǎn)，讓它 為我們的工作和現(xiàn)代化建設(shè)更好的服務(wù)。3 論文提綱I緒論改革開放以來， 隨著經(jīng)濟(jì)的不斷發(fā)展， 我國(guó)各項(xiàng)貿(mào)易不斷興起， 各行各業(yè)都 在自己的領(lǐng)域里發(fā)展出一片屬于自己的天地，自從中國(guó)加入 WTO走向國(guó)際貿(mào)易 舞臺(tái)之后自中國(guó)正式加入 WTC后,我國(guó)的經(jīng)濟(jì)與外國(guó)的經(jīng)濟(jì)爭(zhēng)奪市場(chǎng)的戰(zhàn)爭(zhēng)愈演 愈烈，面對(duì)與國(guó)外經(jīng)濟(jì)發(fā)展的競(jìng)爭(zhēng)和壓力， 我國(guó)的經(jīng)濟(jì)必須改變?cè)械恼w營(yíng)銷 手段來提高自身在國(guó)際市場(chǎng)上的競(jìng)爭(zhēng)力， 網(wǎng)絡(luò)信息化是我國(guó)企業(yè)進(jìn)行進(jìn)一步發(fā)展 的必經(jīng)之路， 也是關(guān)鍵所在。 在這樣一個(gè)蓬勃的經(jīng)濟(jì)環(huán)境下也在穩(wěn)步發(fā)展， 在不 發(fā)展中不斷創(chuàng)新， 從而日趨成熟

4、的階段， 隨著經(jīng)濟(jì)的不斷發(fā)展， 網(wǎng)絡(luò)信息化給國(guó) 家經(jīng)濟(jì)帶來了新的發(fā)展， 但是網(wǎng)絡(luò)安全問題也逐漸浮出水面， 因?yàn)榘踩允菦Q定 其發(fā)展的一個(gè)關(guān)鍵因素，網(wǎng)絡(luò)信息安全技術(shù)是推動(dòng)國(guó)家不斷發(fā)展進(jìn)步的推動(dòng)力， 因此，建立一套有效的網(wǎng)絡(luò)信息安全機(jī)制顯得尤為重要， 如果沒有整個(gè)的安全機(jī) 制，那么商業(yè)活動(dòng)將無法正常進(jìn)行。 今天信息安全在各個(gè)領(lǐng)域都得到應(yīng)用， 新時(shí) 代下，雖然國(guó)家政府和社會(huì)各界人士為了保障經(jīng)濟(jì)穩(wěn)步發(fā)展， 在信息安全工作方 面做了大量工作，也取得了一定的成果，但是為了切實(shí)保障企業(yè)的發(fā)展和進(jìn)步， 根據(jù)企業(yè)的各種情況以及其自身的特殊性， 我們必須制定出一整套對(duì)其有效的網(wǎng) 絡(luò)信息安全技術(shù)， 從根本上解決企業(yè)

5、網(wǎng)絡(luò)信息安全技術(shù)方面的缺失， 為國(guó)家經(jīng)濟(jì) 提供有效的安全保障。U分析當(dāng)前網(wǎng)絡(luò)系統(tǒng)控制安全形勢(shì)1闡述網(wǎng)絡(luò)系統(tǒng)控制安全的必要21 世紀(jì)是一個(gè)網(wǎng)絡(luò)化信息化的時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷伴隨著高科技的 發(fā)展而發(fā)展，已經(jīng)滲透于經(jīng)濟(jì)、貿(mào)易、軍事等領(lǐng)域中。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)也逐漸的 進(jìn)入到人們的生活中， 提高了人們工作的效率， 促進(jìn)了人們的生活水平。 人們對(duì) 于網(wǎng)絡(luò)技術(shù)已不再陌生。 在網(wǎng)絡(luò)技術(shù)不斷發(fā)展的同時(shí)， 它的安全性問題也就日益 的突顯出重要性， 對(duì)于其隱藏安全風(fēng)險(xiǎn)人們也加倍的重視起來。 計(jì)算機(jī)網(wǎng)絡(luò)的特 點(diǎn)也就是其自由開放的網(wǎng)絡(luò)（IP/TCP架構(gòu)），正是這些自由開放的空間才使得黑 客的攻擊以及入侵有機(jī)可乘。 通

6、過計(jì)算機(jī)的網(wǎng)絡(luò)使得一般傳統(tǒng)的病毒傳播的速度 加快，而且病毒針對(duì)計(jì)算機(jī)的應(yīng)用程序或是網(wǎng)絡(luò)協(xié)議存在的漏洞上， 很多種新型 的攻擊入侵的方法也不斷出現(xiàn)并日益革新。 所以網(wǎng)絡(luò)應(yīng)用的安全性已經(jīng)成為計(jì)算機(jī)技術(shù)中重要的部分，目前面臨的最大問題也就是對(duì)其的研究以及解決方案。2網(wǎng)絡(luò)系統(tǒng)的安全管理2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全設(shè)計(jì)網(wǎng)絡(luò)分層及聚合位置大規(guī)模的網(wǎng)絡(luò)系統(tǒng)總是被分層設(shè)計(jì)，其基本思想 即把一個(gè)大問題分解成幾個(gè)小問題，從而分開解決。分層產(chǎn)生分開的問題區(qū)域， 每層規(guī)劃的重點(diǎn)可放在單個(gè)目標(biāo)或一組目標(biāo)上。通常IP網(wǎng)定義為三層，每一層都有其自身的規(guī)劃目標(biāo)：網(wǎng)絡(luò)核心層高速運(yùn)送流量，其設(shè)備的主要工作是快速交 換數(shù)據(jù)包；分布層負(fù)

7、責(zé)聚合路由路徑，并且收斂數(shù)據(jù)流量；訪問層將流量饋人網(wǎng) 絡(luò)，執(zhí)行網(wǎng)絡(luò)訪問控制，并且提供其他邊緣服務(wù)。分層結(jié)構(gòu)的網(wǎng)絡(luò)中，流量在從訪問層流向核心層時(shí)，被收斂在有較高速度的 鏈接上，而在從核心層流向訪問層時(shí)，被分離到較小的鏈接上。良好的網(wǎng)絡(luò)設(shè)計(jì) 可以通過在分布層中進(jìn)行的聚會(huì)實(shí)現(xiàn)如下 2個(gè)(1)網(wǎng)絡(luò)中受拓?fù)浣Y(jié)構(gòu)改變影響的 區(qū)域應(yīng)該被限制到最小的程度；(2)路由器應(yīng)傳輸及處理盡量少的路由信息互璽。 例如，一個(gè)失敗的訪問層鏈接不應(yīng)該影響核心層的路由表，并且一個(gè)失敗的核心層鏈接應(yīng)對(duì)訪問層的路由表產(chǎn)生最小的影響。網(wǎng)絡(luò)分層模型見圖1。圖1網(wǎng)絡(luò)分層模型2.2網(wǎng)絡(luò)核心層網(wǎng)絡(luò)核心層只有一個(gè)目的，即交換數(shù)據(jù)包，以下兩個(gè)基

8、本策略將有助于實(shí)現(xiàn) 此目標(biāo):(l)不要在網(wǎng)絡(luò)核心層執(zhí)行網(wǎng)絡(luò)策略，應(yīng)放在訪問層中執(zhí)行；(2)核心層的 所有設(shè)備應(yīng)對(duì)網(wǎng)絡(luò)中的每個(gè)目的地具備充分的可到達(dá)性，且核心層的路由器不應(yīng)該使用默認(rèn)的路徑到達(dá)內(nèi)部的目的地，以便于核心層的冗余、減少次優(yōu)化的路徑、 阻止路由循環(huán)。核心層具體實(shí)現(xiàn)方案依不同的網(wǎng)絡(luò)規(guī)模而定。當(dāng)網(wǎng)絡(luò)很小時(shí)，通 常用壓縮的核心層 (即一個(gè)路由器扮演網(wǎng)絡(luò)核心層 ) ，與分布層上的所有其他路由 器相連接 ( 如果網(wǎng)絡(luò)足夠小，壓縮了的核心層路由器可能直接與訪問層路由器連 接，就沒有分布層了 ) 。壓縮的核心層很容易管理，但擴(kuò)展性不好。大多數(shù)的大 型網(wǎng)絡(luò)使用一組由高速局域網(wǎng)連接的路由器， 或者一系列

9、高速的廣域網(wǎng)鏈接形成 一個(gè)核心層網(wǎng)絡(luò)。 不使用單獨(dú)的路由器， 而使用某個(gè)網(wǎng)絡(luò)作為核心層， 使得將冗 余加人到核心層規(guī)劃中并使通過增加附加的路由器及鏈接來擴(kuò)展核心層性能成 為可能。2.3 分布層確定在哪里聚合遵循的一條首要規(guī)則是 : 只提供網(wǎng)絡(luò)中必要的拓?fù)湫畔ⅲ?不必要的信息隱藏。 網(wǎng)絡(luò)中最好的聚合點(diǎn)是分布層， 它將訪問層發(fā)生的變化聚合 在本層，從而將拓?fù)渥兓畔⒈仨殏鞑サ膮^(qū)域縮小到本地分布層區(qū)域內(nèi)。 分布層 在具體規(guī)劃中有以下 3個(gè)主要目標(biāo) :(l) 隔離拓?fù)浣Y(jié)構(gòu)的變化，隱藏核心層細(xì)節(jié)和 訪問層設(shè)備的細(xì)節(jié) ;(2) 控制路由表的大小 ;(3) 流量的收斂。可用路徑聚合和使核 心層與分布層的連

10、接最小化兩個(gè)主要方法來實(shí)現(xiàn)上述目標(biāo) : 分布層將大量低速的 鏈接( 訪問層設(shè)備的鏈接 ) 通過少數(shù)寬帶的鏈接接人核心層，以實(shí)現(xiàn)流量的收斂。 該策略可以提高網(wǎng)絡(luò)中聚合點(diǎn)的效率， 同時(shí)減少核心層設(shè)備可選擇的路由路徑的 數(shù)量。2.4 訪問層訪問層在具體規(guī)劃中有以下 3 個(gè)主要目標(biāo) :(1) 將流量饋人網(wǎng)絡(luò) ;(2) 控制訪 問 ;(3) 執(zhí)行其他邊緣功能。 訪問層將廣域網(wǎng)的信息通過內(nèi)部的高速局域網(wǎng)接人分 布層。與公共服務(wù)的連接， 有以下兩種典型方法 :(l) 直接將它們接人核心層 ;(2) 通過中立區(qū)(DMZ接人，建立DMZ主要是為了緩沖數(shù)據(jù)。IV 采用硬軟件防火墻進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全防范1防火墻技術(shù)

11、使用網(wǎng)絡(luò)防火墻以及防毒墻的技術(shù)來防護(hù)在計(jì)算機(jī)領(lǐng)域中經(jīng)常會(huì)聽到防火 墻這個(gè)詞， 那何為防火墻， 以及它有何具體的作用呢？防火墻實(shí)際也就是隔離控 制病毒的一種技術(shù)， 它是利用預(yù)先所定義的網(wǎng)絡(luò)安全策略， 強(qiáng)制性的對(duì)內(nèi)網(wǎng)外網(wǎng) 通信進(jìn)行訪問或是控制。 在該領(lǐng)域中常用的防火墻技術(shù)主要有如下幾類： 應(yīng)用網(wǎng) 關(guān)技術(shù)以及狀態(tài)檢測(cè)技術(shù)和包過濾技術(shù)。 就拿包過濾技術(shù)來說， 這種技術(shù)實(shí)行對(duì) 數(shù)據(jù)包進(jìn)行檢測(cè)，對(duì)其是有選擇性的通過， 依照系統(tǒng)內(nèi)部預(yù)先設(shè)置好的過濾要求， 對(duì)網(wǎng)絡(luò)層中的所有數(shù)據(jù)包進(jìn)行檢測(cè)， 數(shù)據(jù)包是否能夠通過是取決于其目標(biāo)地址和 采用的端口以及源地址的。 對(duì)于防火墻技術(shù)來說它有其優(yōu)點(diǎn)， 能夠有效的分析網(wǎng) 絡(luò)數(shù)

12、據(jù)的流連接的合法性， 可是也有其缺點(diǎn)就是它不能夠隔離控制其許可連接中 的電腦上傳輸?shù)牟《緮?shù)據(jù)流， 那是由于防火墻不能確認(rèn)識(shí)別合法的數(shù)據(jù)包里是否 有病毒。而對(duì)于防毒墻而言， 它正是彌補(bǔ)防火墻在病毒隔離控制中的缺陷而問世 的。防火墻是處于網(wǎng)絡(luò)的入口地方， 進(jìn)行對(duì)網(wǎng)絡(luò)發(fā)送里存在的病毒過濾的這樣一 種設(shè)備， 防毒墻通過簽名技術(shù)， 在網(wǎng)關(guān)地方實(shí)行對(duì)病毒的查檢， 有效的控制和阻 止了 Worm（網(wǎng)絡(luò)蠕蟲）以及BOT（僵尸網(wǎng)絡(luò)）這類病毒的擴(kuò)散和植入。再者對(duì)于 這種防毒墻技術(shù)， 管理人員可以對(duì)安全策略進(jìn)行定義分組， 根據(jù)過濾的網(wǎng)絡(luò)的流 量，可以對(duì)特定的報(bào)文發(fā)送以及文件類型的擴(kuò)展名等可以實(shí)行阻止策略。2數(shù)據(jù)加密

13、技術(shù)用戶要對(duì)重要有效的信息數(shù)據(jù)實(shí)行加密策略， 使其得到保護(hù)。 現(xiàn)在存在很多 修改或是惡意探測(cè)監(jiān)聽網(wǎng)絡(luò)中發(fā)送的數(shù)據(jù)這種危險(xiǎn)情況， 針對(duì)這種形勢(shì)， 常用的 局勢(shì)對(duì)重要的數(shù)據(jù)實(shí)行加密措施， 讓數(shù)據(jù)變成密文。 我們知道就算別人竊取了數(shù) 據(jù)，但如果不知道其密鑰的話， 他還是沒有辦法是竊取的數(shù)據(jù)還原， 這也就在很 大程度上對(duì)數(shù)據(jù)進(jìn)行保護(hù)。 加密可有非對(duì)稱和對(duì)稱加密， 何為對(duì)稱加密體制？它 是加密的密鑰與其解密的密鑰一樣的機(jī)制。對(duì)其最常使用的算法是DES而其數(shù)據(jù)的加密標(biāo)準(zhǔn)就是依據(jù)ISO。那何為非對(duì)稱加密？相對(duì)應(yīng)也就是它的加密和解密 的密鑰是不同的。 每個(gè)用戶擁有兩個(gè)密鑰， 一個(gè)最為公開密鑰， 這個(gè)密鑰是用來

14、 加密密鑰設(shè)置的， 而另一個(gè)就是秘密密鑰， 也就是又來解密時(shí)所用的密鑰， 它是 需要用戶自己嚴(yán)加保密的。個(gè)人根據(jù)實(shí)際需要來選擇自己使用的加密方法。3計(jì)算機(jī)病毒的防范 使用病毒防護(hù)技術(shù)來進(jìn)行預(yù)防危險(xiǎn)問題。對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的安全問題 上，常見的主要病毒防護(hù)技術(shù)有如下幾種： 第一個(gè)是智能引擎的防護(hù)技術(shù)。 這種 引擎技術(shù)對(duì)于特征碼掃描法中的優(yōu)點(diǎn)繼承并且進(jìn)行了發(fā)展， 將掃描方法中存在的 不足進(jìn)行了改進(jìn)， 進(jìn)而在病毒掃描中， 其掃描的速度不會(huì)受到病毒庫(kù)不斷增加的 影響的；第二就是未知病毒查殺防護(hù)技術(shù)。 這種防護(hù)技術(shù)在虛擬執(zhí)行技術(shù)基礎(chǔ)之 上的又突破的病毒技術(shù)， 它是人工智能技術(shù)與虛擬技術(shù)的組合體， 能夠?qū)?/p>

15、未知的 病毒進(jìn)行有效準(zhǔn)確的查殺； 第三是病毒免疫技術(shù)。 對(duì)與這種病毒的免疫技術(shù)， 反 病毒專家一直對(duì)其保持著高度研究興趣。 這種技術(shù)主要是對(duì)自主的訪問控制進(jìn)行 加強(qiáng)，以及對(duì)磁盤進(jìn)行禁寫保護(hù)區(qū)的設(shè)置， 通過這種途徑來實(shí)現(xiàn)病毒免疫的； 第 四，嵌入式的殺毒技術(shù)。這中殺毒技術(shù)主要針對(duì)經(jīng)常性的遭到病毒的入侵攻擊的 對(duì)象或應(yīng)用程序，該技術(shù)對(duì)此實(shí)行重點(diǎn)保護(hù)。可借助其應(yīng)用程序中的內(nèi)部接口或 是操作系統(tǒng)來實(shí)現(xiàn)殺毒，這種技術(shù)為應(yīng)用軟件（范圍使用廣以及頻率使用高的） 提供了被動(dòng)形式煩人防護(hù)措施。這種應(yīng)用軟件有Outlook/IE/NetAnt 等,對(duì)其實(shí) 行被動(dòng)式的殺毒；第五，壓縮智能的還原技術(shù)。這種防護(hù)技術(shù)是通

16、過打包或壓縮 文件在內(nèi)存里進(jìn)行還原技術(shù)，這樣讓病毒完全的顯露出來。V總結(jié)雖然有著一定的基礎(chǔ)，其網(wǎng)絡(luò)信息安全技術(shù)卻存在著一定的缺漏， 在網(wǎng)絡(luò)信 息安全組織、網(wǎng)絡(luò)信息安全流程、網(wǎng)絡(luò)信息安全系統(tǒng)等技術(shù)層面卻出現(xiàn)了很多不 足和問題，這些問題的出現(xiàn)阻礙了我國(guó)經(jīng)濟(jì)的進(jìn)一步發(fā)展，我們要做的就是從根本上解決網(wǎng)絡(luò)信息安全技術(shù)問題，保障經(jīng)濟(jì)發(fā)展在一個(gè)相對(duì)安全的網(wǎng)絡(luò)環(huán)境下進(jìn) 行，我們應(yīng)該建立健全的網(wǎng)絡(luò)信息管理制度，然后明確領(lǐng)導(dǎo)，對(duì)相關(guān)制度進(jìn)行貫徹落實(shí)，采用員工問責(zé)制度，獎(jiǎng)懲分明，調(diào)動(dòng)員工的積極性，同時(shí)應(yīng)該設(shè)立網(wǎng)絡(luò) 信息安全管理監(jiān)察部門，監(jiān)察網(wǎng)絡(luò)安全，以便及時(shí)發(fā)現(xiàn)漏洞并進(jìn)行補(bǔ)缺。4 論文寫作計(jì)劃（進(jìn)度安排）論文撰寫計(jì)

17、劃進(jìn)度安排起止時(shí)間撰寫內(nèi)容目的和要求開題報(bào)告確定題目、收集資料2012.6.20-2012.論文初稿論文框架基8.22本完成2012.8.23-2012.論文定稿進(jìn)一步豐富9.24論文終稿完成論文寫.20作、5 主要參考文獻(xiàn)1 王偉. GIS 在數(shù)據(jù)倉(cāng)庫(kù)中的實(shí)現(xiàn)模型研究 A. 中國(guó)電子學(xué)會(huì)第十五屆 信息論學(xué)術(shù)年會(huì)暨第一屆全國(guó)網(wǎng)絡(luò)編碼學(xué)術(shù)年會(huì)論文集（下冊(cè)） C, 2008 .2 何力，賈焰,李愛平,葉云.基于NVD漏洞數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)脆弱性指數(shù)計(jì)算研究A.中國(guó)電子學(xué)會(huì)第十六屆信息論學(xué)術(shù)年會(huì)論文集C, 2009 .3 劉治安,王桂蘭. 基于數(shù)據(jù)流的網(wǎng)絡(luò)預(yù)測(cè)與異常分析 A. 中國(guó)電子學(xué) 會(huì)第十六屆信息論

18、學(xué)術(shù)年會(huì)論文集 C, 2009 .4 陳志坤,楊樹強(qiáng),李愛平,鄭黎明. 數(shù)據(jù)流與數(shù)據(jù)庫(kù)之間混合連接查詢算 法的研究 A. 2009 年研究生學(xué)術(shù)交流會(huì)通信與信息技術(shù)論文集 C, 2009 .5 江楊. 流數(shù)據(jù)存儲(chǔ)系統(tǒng)體系結(jié)構(gòu)研究 A. 2007中國(guó)科協(xié)年會(huì)通信 與信息發(fā)展高層論壇論文集 C, 2007 .6 劉延慶，甘亮，韓偉紅.一種Hybrid數(shù)據(jù)庫(kù)上大時(shí)間窗口 Cube查詢的研 究 A. 全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集（第二十四卷） C, 2009 .7 韓矞,賈焰,甘亮.一種基于網(wǎng)絡(luò)安全數(shù)據(jù)流的混合CUBE模型A.全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集（第二十四卷） C, 2009 .8 王亦兵,楊樹強(qiáng),王曉偉