公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)設(shè)備安全范文

網(wǎng)絡(luò)設(shè)備安全精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)設(shè)備安全主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)設(shè)備安全

第1篇:網(wǎng)絡(luò)設(shè)備安全范文

關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò) 設(shè)備 維護(hù) 安全防范

中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-3791(2013)07(c)-0032-01

保養(yǎng)和維護(hù)好計(jì)算機(jī),不僅可以使計(jì)算機(jī)保持較穩(wěn)定的工作狀態(tài),還能最大限度地延長(zhǎng)計(jì)算機(jī)的壽命。從原理和結(jié)構(gòu)看,計(jì)算機(jī)是一個(gè)很復(fù)雜的系統(tǒng),正是這種系統(tǒng)的復(fù)雜性決定了它的脆弱性各類故障頻繁發(fā)生,但大部分計(jì)算機(jī)故障都是因平時(shí)維護(hù)不當(dāng)、誤操作、病毒感染、設(shè)備不當(dāng)?shù)仍蛞穑覀冎灰莆樟艘欢ǖ挠?jì)算機(jī)軟、硬件的基本知識(shí)來(lái)排除一般技巧和一些工具軟件的基本使用方法,就能獨(dú)立解決計(jì)算機(jī)及應(yīng)用中常見(jiàn)的問(wèn)題。

1 維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的措施

1.1 養(yǎng)成正確安全的軟盤使用習(xí)慣

在計(jì)算機(jī)之間進(jìn)行交換信息、個(gè)人保存信息當(dāng)中,軟盤起到媒介的作用,得到廣泛的應(yīng)用,同時(shí)也讓病毒設(shè)計(jì)者最為主要的攻擊目標(biāo)。

許多病毒在活動(dòng)時(shí)一旦檢測(cè)到有軟盤插入了驅(qū)動(dòng)器,就會(huì)立即活動(dòng)起來(lái),設(shè)法把自己的代碼復(fù)制上去。為減低這種危險(xiǎn),我們應(yīng)該注意使用軟盤的“防寫入”功能,一般情況下,總把“防寫撥塊”撥到禁止寫的位置。如果只是需要從軟盤里把信息復(fù)制出來(lái),那么就讓它保持這種防寫的狀態(tài)。這樣,即使所使用的計(jì)算機(jī)里有活動(dòng)的病毒,它也無(wú)法進(jìn)入軟盤。當(dāng)把個(gè)人需要的文件復(fù)制到公用的計(jì)算機(jī)時(shí)要注意這個(gè)方面的問(wèn)題。當(dāng)需要從其他的計(jì)算機(jī)上復(fù)制文件到自己的計(jì)算機(jī)時(shí),我們要在使用時(shí)要提高警惕性,主要是正在運(yùn)行的軟盤可能已經(jīng)被感染了,這種情況多半說(shuō)明該計(jì)算機(jī)里有病毒存在,正在努力想把自己復(fù)制到我們的軟盤上。

1.2 系統(tǒng)漏洞修補(bǔ),殺毒軟件及防火墻安裝

在計(jì)算機(jī)的安全防護(hù)當(dāng)中經(jīng)常會(huì)運(yùn)用到防火墻和殺毒軟件這兩個(gè)方面,而這兩個(gè)方面在安全防護(hù)當(dāng)中起到的作用也是不同的。只要有:第一,計(jì)算機(jī)與所連接的網(wǎng)絡(luò)之間的軟件紐帶是防火墻,計(jì)算機(jī)安裝了防火墻,只要是流入或是流出的所有網(wǎng)絡(luò)信息都要經(jīng)過(guò)防火墻。

使用防火墻是保障網(wǎng)絡(luò)安全的第一步,選擇一款合適的防火墻,是保護(hù)信息安全不可或缺的一道屏障。第二步,盡量不將程序性文件從一臺(tái)計(jì)算機(jī)復(fù)制到另一臺(tái)計(jì)算機(jī)。從以上分析可以看出,病毒傳播途徑主要是通過(guò)程序復(fù)制實(shí)現(xiàn)的,因此,計(jì)算機(jī)在使用的過(guò)程中應(yīng)當(dāng)盡量避免使用程序復(fù)制操作。如果必須要做程序復(fù)制,建議首先應(yīng)該熟悉掌握計(jì)算的應(yīng)用技巧。這樣會(huì)降低計(jì)算機(jī)“污染程度”,公用的計(jì)算機(jī)通常存在高危的隱患,避免從高危計(jì)算機(jī)中復(fù)制程序。再把程序軟盤的內(nèi)容復(fù)制到自己的計(jì)算機(jī),應(yīng)該先用查病毒軟件仔細(xì)檢查后再做復(fù)制程序,確保計(jì)算機(jī)的正常使用。

1.3 謹(jǐn)慎進(jìn)行網(wǎng)絡(luò)的軟件下載活動(dòng)

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,信息在計(jì)算機(jī)間傳遞的方式逐漸發(fā)生了變化,許多信息,包括程序代碼和軟件系統(tǒng),是通過(guò)網(wǎng)絡(luò)傳輸?shù)?,在這種信息交流活動(dòng)中如何防止病毒是需要考慮的新問(wèn)題。今天,許多網(wǎng)站存儲(chǔ)著大量共享軟件和自由軟件,人們都在使用這些軟件,使用之前要通過(guò)網(wǎng)絡(luò)把有關(guān)程序文件下載到自己的計(jì)算機(jī)中。做程序的下載應(yīng)該選擇可靠的有實(shí)力的網(wǎng)站,因?yàn)樗麄兊墓芾砜赡芨晟?,?duì)所存儲(chǔ)信息做過(guò)更仔細(xì)的檢查。隨意下載程序目前已經(jīng)成為受病毒傷害的一個(gè)主要原因。

1.4 注意防止宏病毒和其他類似病毒的入侵

對(duì)于防御宏病毒的問(wèn)題,存在著兩個(gè)方面:第一,對(duì)于文件的提供方,只要可能,就不應(yīng)該用Word文件作為信息交換的媒介。這方面已經(jīng)有許多實(shí)際的例子,一些管理部門的通知,甚至是網(wǎng)絡(luò)部門的通知都曾經(jīng)帶有宏病毒,實(shí)際上是給所有用戶的“郵件炸彈”。從實(shí)際情況看,這些通知的格式簡(jiǎn)單,完全沒(méi)有必要用Word做。第二,作為Word文件的接收方,應(yīng)該警惕宏病毒,因?yàn)檫@類病毒普遍存在。微軟公司對(duì)防范宏病毒提出的方案不是根本上修改其不合理設(shè)計(jì),而是安裝了一個(gè)開(kāi)關(guān),允許你設(shè)定Word的工作方式。Word在其菜單“工具/選項(xiàng)”的常規(guī)頁(yè)里提供“宏病毒防護(hù)”選擇項(xiàng)。如果你選了此項(xiàng),那么在被打開(kāi)的文件中出現(xiàn)宏的時(shí)候,Word將彈出一個(gè)會(huì)話框,通知你這個(gè)文檔里發(fā)現(xiàn)了宏,要求你做出選擇(取消宏/啟用宏)。實(shí)踐證明,這種方式是很不安全的,“美莉莎”病毒泛濫就是因?yàn)樵S多人想也沒(méi)想,就隨手打開(kāi)了宏,于是自己的計(jì)算機(jī)就被病毒占領(lǐng)了。在目前情況下,我們應(yīng)該采取的措施是:(1)一定要設(shè)置“宏病毒防護(hù)”功能。(2)對(duì)于準(zhǔn)備閱讀的任何Word文檔,只要系統(tǒng)彈出對(duì)話框,詢問(wèn)如何處理其中的宏時(shí),我們應(yīng)該總選“取消宏”,除非明確知道這個(gè)文檔有極其可靠的來(lái)源,而且確實(shí)是一個(gè)使用了宏功能的動(dòng)態(tài)文檔。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全管理與防范方法

2.1 及時(shí)安裝漏洞補(bǔ)丁程序

安全漏洞是軟件、硬件、程序缺點(diǎn)、功能設(shè)計(jì)或者配置不當(dāng)?shù)瓤梢栽诠暨^(guò)程中利用的弱點(diǎn)。軟件中沒(méi)有漏洞和缺陷是不可能。病毒和黑客往往是利用軟件漏洞對(duì)網(wǎng)絡(luò)用戶進(jìn)行攻擊。為了糾正系統(tǒng)程序中存在的漏洞時(shí),軟件廠商經(jīng)常會(huì)補(bǔ)丁程序。我們應(yīng)及時(shí)安裝漏洞補(bǔ)丁程序,防止黑客通過(guò)漏洞給我們帶來(lái)的威脅。

2.2 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠?yàn)橄到y(tǒng)提供實(shí)時(shí)入侵檢測(cè)的新型網(wǎng)絡(luò)安全技術(shù),不管是來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊還是外部網(wǎng)絡(luò)的攻擊它都能夠?qū)Ω丁?/p>

2.3 防火墻技術(shù)

任何企業(yè)安全策略的一個(gè)主要部分都是實(shí)現(xiàn)和維護(hù)防火墻,因此防火墻在網(wǎng)絡(luò)安全的實(shí)現(xiàn)當(dāng)中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣,這使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離,并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)。設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道,簡(jiǎn)化網(wǎng)絡(luò)的安全管理。

2.4 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是保證數(shù)據(jù)安全性和保密性的一種方法。根據(jù)一定的算法對(duì)信息進(jìn)行重新編碼,隱藏原始信息的內(nèi)容,保護(hù)真實(shí)信息不會(huì)落入非法用戶手中。合法用戶使用數(shù)據(jù)是再根據(jù)相應(yīng)的算法進(jìn)行解密。

3 結(jié)語(yǔ)

綜上所述,及時(shí)備份有計(jì)算機(jī)中價(jià)值的信息。如果計(jì)算機(jī)被病毒感染了,我們最后的希望就是系統(tǒng)里的重要信息最好不丟失。在重要信息保護(hù)方面,可以考慮把重要信息的副本保存到有關(guān)網(wǎng)絡(luò)服務(wù)器上,或者保存到軟盤上。保存信息副本不僅僅是防病毒的需要,也是為了防止計(jì)算機(jī)系統(tǒng)的無(wú)意破壞,例如硬件或者系統(tǒng)軟件的故障等。有備無(wú)患。對(duì)于重要的部門單位,重要計(jì)算機(jī)中的數(shù)據(jù),人們一般需要制定一套常規(guī)的備份方案,通過(guò)一些設(shè)置,大型計(jì)算機(jī)系統(tǒng)可以定時(shí)自動(dòng)地完成將磁盤重要信息保存到后備存儲(chǔ),例如磁帶或者可讀寫光盤的工作。這些情況也值得個(gè)人計(jì)算機(jī)的使用者參考。

第2篇:網(wǎng)絡(luò)設(shè)備安全范文

(中國(guó)衛(wèi)星海上測(cè)控部,江蘇 江陰 214431)

【摘 要】在距離遠(yuǎn)、范圍廣、信道多樣的通信IP網(wǎng)中傳輸密級(jí)高的重要數(shù)據(jù),使用基于IPSec VPN技術(shù)能很好的防止數(shù)據(jù)被更改或竊取,維護(hù)數(shù)據(jù)的安全性與完整性。簡(jiǎn)要闡述了IPSec協(xié)議的相關(guān)原理,設(shè)計(jì)了一種基于IPSec的網(wǎng)絡(luò)安全設(shè)備,并對(duì)該設(shè)備進(jìn)行了應(yīng)用研究。

關(guān)鍵詞 IPSec;ESP;VPN;網(wǎng)絡(luò)安全設(shè)備

0 引言

TCP/IP協(xié)議的開(kāi)放性、靈活性使得基于IP技術(shù)的通信系統(tǒng)成為各類通信網(wǎng)絡(luò)的主要構(gòu)成部分,但網(wǎng)絡(luò)上的IP數(shù)據(jù)包幾乎都是用明文傳輸?shù)?,非常容易遭到竊聽(tīng)、篡改等攻擊。特別是傳輸重要數(shù)據(jù)的通信IP網(wǎng),網(wǎng)絡(luò)的安全性尤其重要。

IPSec(Internet Protocol Security)在IP層提供安全服務(wù),使得一個(gè)系統(tǒng)可以選擇需要的協(xié)議,決定為這些服務(wù)而使用的算法,選擇提供要求的服務(wù)所需要的任何密鑰。IPSec可保障主機(jī)之間、網(wǎng)絡(luò)安全網(wǎng)關(guān)(如路由器或防火墻)之間或主機(jī)與安全網(wǎng)關(guān)之間的數(shù)據(jù)包的安全。因此,采用基于IPSec的網(wǎng)絡(luò)安全設(shè)備可為重要數(shù)據(jù)安全傳輸提供保障。

1 IPSec概述

IPSec協(xié)議是IETF提供的在Internet上進(jìn)行安全通信的一系列規(guī)范,提供了在局域網(wǎng)、專用和公用的廣域網(wǎng)和Internet上的安全通信的能力,保證了IP數(shù)據(jù)報(bào)的高質(zhì)量性、保密性和可操作性,它為私有信息通過(guò)公用網(wǎng)提供了安全保障。通過(guò)IKE(IPSec Key Exchange,自動(dòng)密鑰交換)將IPSec協(xié)議簡(jiǎn)化使用和管理,使IPSec協(xié)議自動(dòng)協(xié)商交換密鑰、建立和維護(hù)安全聯(lián)盟服務(wù)。使用IPSec協(xié)議來(lái)設(shè)計(jì)實(shí)現(xiàn)的VPN(Virtual Private Network,虛擬專用網(wǎng))網(wǎng)關(guān)具有數(shù)據(jù)安全性、完整性、成本低等幾方面的優(yōu)勢(shì)。

使用IPSec協(xié)議是用來(lái)對(duì)IP層傳輸提供各種安全服務(wù),主要包括兩種安全協(xié)議,即AH(Authentication Header,驗(yàn)證頭)協(xié)議和ESP(Encapsulating Security Payload,封裝安全載荷)協(xié)議。AH協(xié)議通過(guò)使用數(shù)據(jù)完整性檢查,可判定數(shù)據(jù)包在傳輸過(guò)程中是否被修改;通過(guò)使用驗(yàn)證機(jī)制,終端系統(tǒng)或網(wǎng)絡(luò)設(shè)備可對(duì)用戶或應(yīng)用進(jìn)行驗(yàn)證,過(guò)濾通信流,還可防止地址欺騙攻擊及重放攻擊。ESP協(xié)議包含凈負(fù)荷封裝與加密,為IP層提供的安全服務(wù)包括機(jī)密性、數(shù)據(jù)源驗(yàn)證、抗重播、數(shù)據(jù)完整性和有限的流量控制等。兩者比較之下,ESP協(xié)議安全性更高,與此同時(shí)其實(shí)現(xiàn)復(fù)雜性也較高,本文設(shè)計(jì)的網(wǎng)絡(luò)安全設(shè)備采用ESP協(xié)議。

2 網(wǎng)絡(luò)安全設(shè)備設(shè)計(jì)

2.1 設(shè)備加解密原理

為確保重要數(shù)據(jù)傳輸安全可靠,需在通信IP網(wǎng)中增加保密措施,因此本文設(shè)計(jì)了基于IPSec的網(wǎng)絡(luò)安全設(shè)備。設(shè)備采用軟件和硬件相結(jié)合的方式實(shí)現(xiàn)IPSec協(xié)議體系。軟件模塊主要完成控制層面的功能,包括網(wǎng)絡(luò)管理、密鑰管理、策略管理、配置管理、熱備管理、信道協(xié)商等功能;硬件模塊主要完成數(shù)據(jù)處理層面的功能,包括數(shù)據(jù)包的協(xié)議分析、保密策略和加解密密鑰的搜索、加解密處理、IPSec隧道頭的封裝和拆封裝等功能,設(shè)備加密工作原理如圖1所示。

當(dāng)設(shè)備收到用戶IP包時(shí),先判斷其是否為保密數(shù)據(jù),如果是,則在該IP數(shù)據(jù)前加入一個(gè)ESP頭,然后發(fā)送到公網(wǎng)。ESP頭緊跟在IP頭后面,ESP占用IP協(xié)議標(biāo)識(shí)值為50。對(duì)IP包的處理遵守以下規(guī)則:對(duì)于要發(fā)送到公網(wǎng)的IP包,先加密,后驗(yàn)證;對(duì)于從公網(wǎng)上收到的IP包,先驗(yàn)證,后解密。

當(dāng)設(shè)備要發(fā)送一個(gè)IP包時(shí),它在原IP頭前面插入一個(gè)ESP頭,并將ESP頭中的下一個(gè)頭字段改為4,根據(jù)密鑰管理協(xié)議協(xié)商得到的SPI(Security Parameters Index,安全參數(shù)索引)值填入到ESP頭中,并分配一個(gè)序列號(hào),同時(shí)根據(jù)算法要求插入填充字段,并計(jì)算填充長(zhǎng)度。在ESP頭的前面插入一個(gè)新的IP頭,源地址為設(shè)備的IP地址,目的地址為對(duì)端設(shè)備的IP地址,并對(duì)相應(yīng)的字段賦值,在做完以上處理后,對(duì)IP包加密,并進(jìn)行驗(yàn)證,將驗(yàn)證數(shù)據(jù)插入ESP尾部。最后計(jì)算最前面的IP頭的校驗(yàn)和。

遠(yuǎn)端設(shè)備接收到一個(gè)ESP包后,首先檢查這個(gè)包是否有相關(guān)的SA(Security Association,安全關(guān)聯(lián))存在,如果不存在,則將該包丟棄。如果存在,則進(jìn)行下一步處理。首先檢查序列號(hào),如果序列號(hào)無(wú)效(一個(gè)重復(fù)的包),則將該包丟棄。如果有效,則進(jìn)行下一步處理。根據(jù)對(duì)應(yīng)的SA對(duì)這個(gè)包進(jìn)行驗(yàn)證,并將驗(yàn)證結(jié)果與IP包中的驗(yàn)證字段比較,若不一致,則丟棄,若一致,下面就進(jìn)行解密,并根據(jù)填充內(nèi)容來(lái)判斷解密是否正確,因?yàn)樘畛鋽?shù)據(jù)可以通過(guò)約定事先知道。在驗(yàn)證和解密成功后,就對(duì)IP包進(jìn)行初步地有效性檢驗(yàn),這個(gè)IP包的格式與SA要求的工作模式是否一致,若不一致,則丟棄該包,若一致,就準(zhǔn)備從ESP包中解出原IP包,刪除外面的IP頭和ESP頭,然后檢查這個(gè)IP包與SA所要求的地址和端口是否符合,若不符合,則丟棄,若符合,則設(shè)備將該IP包轉(zhuǎn)發(fā)出去。

2.2 硬件結(jié)構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)安全設(shè)備采用模塊化的設(shè)計(jì)思路,各硬件功能模塊之間采用接插件方式連接,各模塊的連接關(guān)系如圖2所示。

設(shè)備主板是數(shù)據(jù)處理核心模塊,其他各模塊通過(guò)接插件與其連接。承載了業(yè)務(wù)安全處理、加解密等設(shè)備的核心功能。其上的主控模塊運(yùn)行Vxworks操作系統(tǒng),承載設(shè)備嵌入式軟件,全面管理設(shè)備軟硬件運(yùn)行狀態(tài)。板載密碼模塊完成業(yè)務(wù)數(shù)據(jù)的高速加解密處理。

接口板包括用戶口和網(wǎng)絡(luò)口兩塊接口板,通過(guò)高速接插件插在設(shè)備主板上。接口板上的千兆MAC芯片通過(guò)業(yè)務(wù)和控制線纜連接到后接線板。

IC卡讀卡器通過(guò)RS232接口線纜與設(shè)備主板上的主控模塊相連。電源模塊使用電源接插件為各功能模塊提供相應(yīng)的直流電源。后接線板提供千兆口、100/1000自適應(yīng)電口的用戶業(yè)務(wù)接入,本地控制接入。

3 VPN構(gòu)建

網(wǎng)絡(luò)安全設(shè)備專門用于在TCP/IP體系的網(wǎng)絡(luò)層提供鑒別、隧道傳輸和加解密功能。通過(guò)對(duì)IP層加解密,可以支持大多數(shù)用戶業(yè)務(wù),對(duì)局域網(wǎng)重要數(shù)據(jù)進(jìn)行加密保護(hù),通過(guò)公共通信網(wǎng)絡(luò)構(gòu)建自主安全可控的內(nèi)部VPN,集成一定的包過(guò)濾功能,使各種重要數(shù)據(jù)安全、透明地通過(guò)公共通信環(huán)境,是信息系統(tǒng)安全保障體系的基礎(chǔ)平臺(tái)和重要組成部分。設(shè)備部署在局域網(wǎng)出口處,通過(guò)對(duì)IP數(shù)據(jù)的加解密,可以保證局域網(wǎng)數(shù)據(jù)在公共信道上傳輸?shù)陌踩浴?/p>

與設(shè)備相連的內(nèi)部網(wǎng)受到IPSec保護(hù),這個(gè)內(nèi)部網(wǎng)可連入不安全的公用或?qū)S镁W(wǎng)絡(luò),如衛(wèi)星通信、海事和專用光纖等。在一個(gè)具體的通信中,兩個(gè)設(shè)備建立起一個(gè)安全通道,通信就可通過(guò)這個(gè)通道從一個(gè)本地受保護(hù)內(nèi)部網(wǎng)發(fā)送到另一個(gè)遠(yuǎn)程保護(hù)內(nèi)部網(wǎng),就形成了一個(gè)安全虛擬網(wǎng)。當(dāng)位于某個(gè)安全內(nèi)部網(wǎng)的主機(jī)要向另一個(gè)位于安全內(nèi)部網(wǎng)的主機(jī)發(fā)送數(shù)據(jù)包時(shí),源端網(wǎng)絡(luò)安全設(shè)備通過(guò)IPSec對(duì)數(shù)據(jù)包進(jìn)行封裝,封裝后的數(shù)據(jù)包通過(guò)隧道穿越公用網(wǎng)絡(luò)后到達(dá)對(duì)端網(wǎng)絡(luò)安全設(shè)備。由于事先已經(jīng)經(jīng)過(guò)協(xié)商,收端網(wǎng)絡(luò)安全設(shè)備知道發(fā)端所使用的加密算法及解密密鑰,因此可以對(duì)接收數(shù)據(jù)包進(jìn)行封裝。解封裝后的數(shù)據(jù)包則轉(zhuǎn)發(fā)給真正的信宿主機(jī),反之亦然。

4 結(jié)束語(yǔ)

在設(shè)計(jì)網(wǎng)絡(luò)安全設(shè)備時(shí)采用IPSec協(xié)議,使用ESP對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行嚴(yán)格的保護(hù),可大大增強(qiáng)IP站點(diǎn)間安全性。在傳輸重要數(shù)據(jù)的通信IP網(wǎng)中使用本文設(shè)計(jì)的基于IPSec的網(wǎng)絡(luò)安全設(shè)備構(gòu)建VPN能很好地防止數(shù)據(jù)被更改或竊取,確保數(shù)據(jù)傳輸?shù)陌踩浴?/p>

參考文獻(xiàn)

[1]藍(lán)集明,陳林.對(duì)IPSec中AH和ESP協(xié)議的分析與建議[J].計(jì)算機(jī)技術(shù)與發(fā)展,2009,11(19):15-17.

[2]郭旭展.基于IPSec的VPN安全技術(shù)研究[J].電腦知識(shí)與技術(shù),2009,8(24):52-54.

[3]蹇成剛.IP分組網(wǎng)絡(luò)安全分析及IPSec技術(shù)[J].計(jì)算機(jī)與網(wǎng)絡(luò),2010,17:42-43.

第3篇:網(wǎng)絡(luò)設(shè)備安全范文

【關(guān)鍵詞】廣播電視事業(yè) 信息化 數(shù)字化和網(wǎng)絡(luò)化

1 誤報(bào)率

1.1 誤報(bào)率的定義和計(jì)算方法

誤報(bào)指在該網(wǎng)絡(luò)安全設(shè)備報(bào)警規(guī)則事件集合(記為:C)中,用某一A事件去觸發(fā)報(bào)警時(shí),實(shí)際發(fā)生了B事件報(bào)警或未發(fā)生報(bào)警。誤報(bào)率指在C規(guī)則集中,由于算法或事件定義的原因而導(dǎo)致該網(wǎng)絡(luò)安全設(shè)備誤報(bào)產(chǎn)生的概率。

誤報(bào)率比較通用的計(jì)算方法是以設(shè)備規(guī)則集為出發(fā)點(diǎn),對(duì)規(guī)則集的事件進(jìn)行加權(quán)處理,公式表示為C(N)=C1*a1+c2*a2......+Cn*an(Ci表示某事件,ai表示權(quán)值,N表示事件數(shù)),誤報(bào)事件B(M)=b1*w1+b2*w2......Bm*Wm(bj表示誤報(bào)事件,bj表示權(quán)值,M表示誤報(bào)事件數(shù)),因此:

誤報(bào)率=*100% (1-1)

但是目前行業(yè)沒(méi)有一個(gè)統(tǒng)一的權(quán)值標(biāo)準(zhǔn),因此:

簡(jiǎn)化的誤報(bào)率= (1-2)

(M五保事件數(shù),N事件總數(shù))。

1.2 誤報(bào)率的測(cè)試方法

1.2.1 測(cè)試方法

因網(wǎng)絡(luò)安全設(shè)備事件規(guī)則集合較多,各種組合之間覆蓋到往往不現(xiàn)實(shí),一般采用抽樣的方式,即隨機(jī)挑選事件庫(kù)中的部分事件(一般為100條),采用攻擊工具真實(shí)觸發(fā)這些事件,或者以抓包工具對(duì)捕獲的包進(jìn)行回放,分析出報(bào)警結(jié)果,從而得出該設(shè)備的誤報(bào)率。

1.2.2 測(cè)試工具

常見(jiàn)的測(cè)試工具包括思博倫ThreatEX、DSQLTools、x-scan、桂林老兵、IE文件服務(wù)器、DDOS、冰河等工具;同時(shí)可用tcpreplay、Sniffer、Wireshark等抓包工具,去http://網(wǎng)站下載.pcap包進(jìn)行回放,特別可對(duì)最新惡意程序誤報(bào)進(jìn)行檢測(cè)。

1.2.3 測(cè)試環(huán)境

以網(wǎng)絡(luò)安全產(chǎn)品端口鏡像為例的拓?fù)淙鐖D1所示。

為了保障測(cè)試期間的準(zhǔn)確,測(cè)試期間該網(wǎng)絡(luò)盡量獨(dú)立部署。

1.2.4 測(cè)試步驟

――按照?qǐng)D1將設(shè)備全部部署好;

――在攻擊機(jī)上啟動(dòng)測(cè)試工具,或用tcpreplay i 網(wǎng)卡 M 流量 l 次數(shù) 包名進(jìn)行發(fā)送;

――檢查誤報(bào)后,用公式1-2進(jìn)行計(jì)算誤報(bào)率。

2 漏報(bào)率

2.1 漏報(bào)率的定義和計(jì)算方法

漏報(bào)是指對(duì)于真實(shí)發(fā)生的網(wǎng)絡(luò)攻擊事件網(wǎng)絡(luò)安全設(shè)備沒(méi)有預(yù)警;漏報(bào)率是指對(duì)于真實(shí)存在的網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)安全設(shè)備存在漏報(bào)的概率。導(dǎo)致漏報(bào)的因素很多,主要包括特征庫(kù)未及時(shí)更新、網(wǎng)絡(luò)流量等。漏報(bào)率的計(jì)算,是以真實(shí)發(fā)生的網(wǎng)絡(luò)攻擊事件數(shù)量為基準(zhǔn),計(jì)算網(wǎng)絡(luò)安全設(shè)備漏報(bào)的事件數(shù)量所占的比率。

2.2 漏報(bào)率的測(cè)試方法

2.2.1 測(cè)試方法

能否檢測(cè)最新的網(wǎng)絡(luò)攻擊事件是衡量一個(gè)網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)和維護(hù)支持能力的重要指標(biāo),因此可到http://網(wǎng)站下載最新的.pcap包進(jìn)行回放測(cè)試;同時(shí)在不同的網(wǎng)絡(luò)流量背景下,用攻擊工具或抓包工具多次回放同一事件,分析網(wǎng)絡(luò)安全設(shè)備的報(bào)警數(shù)量,從而計(jì)算漏報(bào)率。

2.2.2 測(cè)試工具

網(wǎng)絡(luò)安全設(shè)備漏報(bào)率的測(cè)試工具包括:Unicode、發(fā)包工具SmartBits、嗅探抓包工具Sniffer等。

2.2.3 測(cè)試環(huán)境

測(cè)試環(huán)境跟誤報(bào)率測(cè)試基本相同,只是在交換機(jī)連接一臺(tái)網(wǎng)絡(luò)發(fā)包工具SmartBits(進(jìn)行不同流量下的測(cè)試)。

2.2.4 測(cè)試步驟

在測(cè)試期間分別使用最新包進(jìn)行發(fā)送和Smartbits進(jìn)行0,25%,50%,99%的網(wǎng)絡(luò)加壓,最后計(jì)算:

漏報(bào)率=

(N未檢測(cè)出的包,M總發(fā)包數(shù))。

3 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全設(shè)備的關(guān)鍵在于發(fā)現(xiàn)入侵行為,然后根據(jù)事先的預(yù)警規(guī)則進(jìn)行及時(shí)、準(zhǔn)確的處理,使我們的信息系統(tǒng)更加安全。誤報(bào)率和漏報(bào)率的直接影響到網(wǎng)絡(luò)安全設(shè)備應(yīng)用的效果,科學(xué)認(rèn)識(shí)誤報(bào)率和漏報(bào)率的測(cè)試方法和流程,有助于我們提高檢測(cè)水平,同時(shí)也可對(duì)使用開(kāi)發(fā)單位進(jìn)行有效的指導(dǎo)。

參考文獻(xiàn)

[1]盛驟,謝式千,潘承毅.概率論和數(shù)理統(tǒng)計(jì)[M].北京:高等教育出版社,2000.

[2]陳慶章,趙小敏.TCP/IP網(wǎng)絡(luò)原理與技術(shù)[M].北京:高等教育出版社,2006.

[3]季永煒.ARP攻擊與實(shí)現(xiàn)原理解析.電腦知識(shí)與技術(shù),2012.

作者簡(jiǎn)介

季永煒(1982-),男,浙江省諸暨縣人。大學(xué)本科學(xué)歷?,F(xiàn)為浙江省電子信息產(chǎn)品檢驗(yàn)所工程師。

第4篇:網(wǎng)絡(luò)設(shè)備安全范文

關(guān)鍵詞:網(wǎng)絡(luò)安全;小文件;Hadoop;存儲(chǔ)優(yōu)化

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2015)35-0010-02

1 引言

網(wǎng)絡(luò)系統(tǒng)在運(yùn)行過(guò)程中會(huì)產(chǎn)生大量的系統(tǒng)日志、應(yīng)用日志、安全日志和網(wǎng)絡(luò)日志,這些日志包含著關(guān)于網(wǎng)絡(luò)運(yùn)行、安全及狀態(tài)的數(shù)據(jù)。隨著采集日志的大規(guī)模增長(zhǎng),現(xiàn)有的存儲(chǔ)系統(tǒng)硬件成本高,擴(kuò)展能力差,數(shù)據(jù)并行訪問(wèn)效率低,難以滿足網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)系統(tǒng)的需求。因此,提供一種更高性能、更低成本、更好可靠性的易于管理的存儲(chǔ)平臺(tái),才能夠幫助該系統(tǒng)用盡可能低的成本應(yīng)對(duì)日益增長(zhǎng)的數(shù)據(jù)存儲(chǔ)需求。

HDFS采用主從式架構(gòu)設(shè)計(jì)模式(master/slave),一個(gè)名稱節(jié)點(diǎn)(NameNode)和若干數(shù)據(jù)節(jié)點(diǎn)(DataNode)構(gòu)成HDFS集群[1]。HDFS的這種單名稱節(jié)點(diǎn)的設(shè)計(jì)極大地簡(jiǎn)化了文件系統(tǒng)的結(jié)構(gòu),然而也因此引發(fā)了HDFS的小文件存儲(chǔ)效率低的問(wèn)題。HDFS設(shè)計(jì)之初的目的是存儲(chǔ)大量的大文件,所以需要采用分塊策略先將每個(gè)文件分塊,保存機(jī)制是每個(gè)文件都占用一個(gè)或多個(gè)塊。因?yàn)镠DFS中的每個(gè)目錄和文件的元數(shù)據(jù)信息都存放在名稱節(jié)點(diǎn)的內(nèi)存中,如果系統(tǒng)中存在大量的小文件(指那些比HDFS數(shù)據(jù)塊(默認(rèn)為64MB)小得多的文件),則無(wú)疑會(huì)降低整個(gè)存儲(chǔ)系統(tǒng)的存儲(chǔ)效率和存儲(chǔ)能力。然而,在網(wǎng)路安全設(shè)備聯(lián)動(dòng)系統(tǒng)[2]存在著大量的小文件。大量的小文件存在于云存儲(chǔ)系統(tǒng)中無(wú)疑會(huì)降低整個(gè)系統(tǒng)的I/O性能。針對(duì)這一問(wèn)題,本文提出云存儲(chǔ)中小文件的合并處理方法,以提高小文件的存儲(chǔ)效率,提高整個(gè)系統(tǒng)的I/O性能。

2 整體方案優(yōu)化設(shè)計(jì)

文件的優(yōu)化方案主要包括4個(gè)部分:數(shù)據(jù)預(yù)存儲(chǔ)節(jié)點(diǎn)的功能設(shè)計(jì),小文件合并方案,小文件索引結(jié)構(gòu)的設(shè)計(jì)以及小文件合并過(guò)程的整體設(shè)計(jì)。

2.1數(shù)據(jù)預(yù)存儲(chǔ)節(jié)點(diǎn)功能設(shè)計(jì)

數(shù)據(jù)預(yù)存儲(chǔ)節(jié)點(diǎn)是在HDFS架構(gòu)的基礎(chǔ)上新增的節(jié)點(diǎn),它位于客戶端與名稱節(jié)點(diǎn)和數(shù)據(jù)節(jié)點(diǎn)之間,主要實(shí)現(xiàn)對(duì)存儲(chǔ)的文件進(jìn)行預(yù)處理,根據(jù)文件大小,判斷是否屬于小文件,對(duì)于小文件主要完成存儲(chǔ)前的合并,生成索引以及小文件檢索時(shí)的文件分離等功能。增加數(shù)據(jù)預(yù)存儲(chǔ)節(jié)點(diǎn)之后,在數(shù)據(jù)存儲(chǔ)的過(guò)程中,數(shù)據(jù)的流向由從客戶端直接到數(shù)據(jù)節(jié)點(diǎn)變成了由客戶端先到預(yù)存儲(chǔ)節(jié)點(diǎn)再到數(shù)據(jù)節(jié)點(diǎn)。

2.2小文件合并算法設(shè)計(jì)

當(dāng)客戶端寫入小文件時(shí),首先根據(jù)小文件的類型對(duì)數(shù)據(jù)預(yù)存儲(chǔ)節(jié)點(diǎn)進(jìn)行分組。然后分別將每個(gè)分組中的小文件合并成大文件,此時(shí),生成相關(guān)小文件索引信息及元數(shù)據(jù)信息。最后將合并后的文件和相關(guān)的元數(shù)據(jù),按照原HDFS寫入文件的方式一同上傳至HDFS中,其中第二類元數(shù)據(jù)信息由數(shù)據(jù)預(yù)存儲(chǔ)節(jié)點(diǎn)進(jìn)行存儲(chǔ),第一類元數(shù)據(jù)信息由名稱節(jié)點(diǎn)進(jìn)行存儲(chǔ),數(shù)據(jù)節(jié)點(diǎn)存儲(chǔ)合并成的大文件[3]

當(dāng)客戶端需要讀取某個(gè)小文件時(shí),從名稱節(jié)點(diǎn)獲取小文件所在大文件的元數(shù)據(jù)信息,然后從數(shù)據(jù)預(yù)存儲(chǔ)節(jié)點(diǎn)獲取第二類元數(shù)據(jù)信息,從數(shù)據(jù)節(jié)點(diǎn)獲取小文件所在的大文件,并在接口中將大文件解檔為若干小文件,并將這些小文件緩存在客戶端。

為了便于算法描述,對(duì)算法里的符號(hào)進(jìn)行定義:File[type][MD5][key]――緩沖區(qū)中待合并的文件;type――日志文件的類型(1:主機(jī)日志;2:sort日志;3:防火墻日志;4:交換機(jī)日志);MD5――文件的MD5值;fi――要合并的第i個(gè)文件;xj――合并第j類文件個(gè)數(shù)。

分組合并算法描述如下:

(1)初始化,定義一個(gè)三維數(shù)組File[type][MD5][key],type初始化為1,key值初始化為文件的大?。?/p>

(2)讀入緩沖區(qū)的所有文件大小,更新數(shù)組File[type][MD5][key],根據(jù)文件的類型更新數(shù)組的type值,初始化i=1;

(3)采用冒泡排序,分別將數(shù)組File[i][MD5][key]從大到小進(jìn)行排序。首先判斷File[i][MD5][key]的大小,如果所有文件的總大小大于64M,開(kāi)始進(jìn)行合并,否則退出程序,i++,等待下次分組合并調(diào)度;

(4)從最大的文件fi開(kāi)始分組。如果放入文件fi后,此類文件的總大小小于64M,則存放下一個(gè)文件,從數(shù)組中把文件fi的記錄刪除,循環(huán)這個(gè)過(guò)程,直到所有的File[i][MD5][key]文件都合并到一起;

(5)計(jì)算每類文件合并后的大小,文件大小達(dá)到63M的調(diào)用HDFS命令將文件上傳到HDFS上,大小小于63M的文件,再?gòu)木彌_區(qū)中查找文件進(jìn)行裝入,返回(2);

(6)上傳成功;

主要是考慮到用戶的訪問(wèn)效率,算法中采用將同類日志文件進(jìn)行分組,無(wú)論從寫入小文件,還是從讀取小文件方面,都能大大提高HDFS的性能:首先減輕了名稱節(jié)點(diǎn)的負(fù)擔(dān),在讀取小文件方面,不用連接數(shù)據(jù)節(jié)點(diǎn)讀取,減少文件讀寫的I/O操作,節(jié)約大量數(shù)據(jù)傳輸時(shí)間,極大地節(jié)省了網(wǎng)絡(luò)通信開(kāi)銷,降低了HDFS的訪問(wèn)壓力,提高客戶端訪問(wèn)文件的速率和性能。

當(dāng)用戶刪除數(shù)據(jù)時(shí),把合并后的文件取回?cái)?shù)據(jù)預(yù)存儲(chǔ)節(jié)點(diǎn),進(jìn)行分解,刪除指定文件,再與緩存區(qū)中已有的文件進(jìn)行合并。

用戶查詢文件時(shí),需要對(duì)HDFS索引進(jìn)行查詢,同時(shí)也需要查詢緩沖區(qū)里面的文件。

2.3小文件索引結(jié)構(gòu)的設(shè)計(jì)

在小文件合并之后,僅僅根據(jù)名稱節(jié)點(diǎn)中存儲(chǔ)的元數(shù)據(jù)信息不能檢索到小文件,為了提高檢索效率,需要為所有小文件構(gòu)建相應(yīng)的索引,使用戶能夠通過(guò)索引快速的檢索到小文件。小文件索引信息是在小文件合并成大文件之后生成的,保存在數(shù)據(jù)預(yù)存儲(chǔ)節(jié)點(diǎn)中,通過(guò)此類元數(shù)據(jù)信息,再結(jié)合名稱節(jié)點(diǎn)中的第一類元數(shù)據(jù)信息,才能正確找到小文件的存儲(chǔ)位置。所以小文件的索引信息對(duì)于后期的小文件檢索極其重要,其中要包含小文件的一些重要信息:File_name類型為String,表示小文件名稱;File_size類型為int,表示小文件大??;File_type類型為int,表示小文件類型;Merge_file_nam類型為string,表示小文件合并成大文件后的名稱;File_offset類型為int,當(dāng)前小文件在合并文件中的偏移量;time類型為long,表示文件的寫入時(shí)間;If_use類型為bool,表示文件是否存在。

2.4小文件合并過(guò)程的整體設(shè)計(jì)

大致流程如下:

當(dāng)需要寫入文件時(shí),首先將數(shù)據(jù)傳輸?shù)綌?shù)據(jù)預(yù)存儲(chǔ)節(jié)點(diǎn),判斷文件大小,如果文件大小超過(guò)了HDFS數(shù)據(jù)塊的大小,則直接存入數(shù)據(jù)節(jié)點(diǎn),并將元數(shù)據(jù)信息寫入到名稱節(jié)點(diǎn);如果需要寫入的文件屬于小文件,則先判斷小文件的類型,然后根據(jù)2.2中設(shè)計(jì)的小文件合并算法將小文件合并,生成索引信息,在這個(gè)合并的過(guò)程中,不斷地將正在合并的小文件索引信息插入到小文件索引信息列表中,當(dāng)合并文件塊達(dá)到合適的大小時(shí),客戶端將寫文件請(qǐng)求發(fā)送到名稱節(jié)點(diǎn)將合并后的文件存儲(chǔ)到相應(yīng)的數(shù)據(jù)節(jié)點(diǎn)中。

3 實(shí)驗(yàn)驗(yàn)證

實(shí)驗(yàn)需要搭建Hadoop集群,集群中包括4個(gè)節(jié)點(diǎn):一臺(tái)NameNode,二臺(tái)DataNode,以及客戶端用來(lái)提交數(shù)據(jù)的NameNode。 使用VMware 7.0 來(lái)模擬 Linux 環(huán)境[4,5臺(tái)機(jī)器上模擬海量小文件的存儲(chǔ)和訪問(wèn)操作。本文隨機(jī)選取了10000個(gè)xml日志數(shù)據(jù)文件,文件大小分布情況為:200kB占1%,300kB占2%,400kB占10%,500kB占20%,600kB占30%,700kB占20%,800kB占10%,900kB占4%,1000kB占3%,可見(jiàn)文件大小集中在400kb到1000kb之間。

為了直觀的反應(yīng)優(yōu)化方案在處理小文件和大文件時(shí)的系統(tǒng)性能,本文在測(cè)試數(shù)據(jù)中分別選取了100、1000、10000組數(shù)據(jù),按照以上測(cè)試和執(zhí)行程序步驟,對(duì)文件寫入時(shí)間進(jìn)行測(cè)試,測(cè)試結(jié)果如圖1所示。實(shí)驗(yàn)結(jié)果表明,隨著文件數(shù)量的增多,寫入文件所用時(shí)間增長(zhǎng)趨勢(shì)的變化緩慢,說(shuō)明本文設(shè)計(jì)的Hadoop小文件存儲(chǔ)優(yōu)化方案在寫入海量小文件時(shí)性能更高。

4 結(jié)論

本文首先對(duì)網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)系統(tǒng)的數(shù)據(jù)轉(zhuǎn)化為XML文檔,然后對(duì)文件的特點(diǎn)及文件大小的分布進(jìn)行了分析。針對(duì)HDFS對(duì)小文件存儲(chǔ)效率低的問(wèn)題,對(duì)小文件存儲(chǔ)方案進(jìn)行了優(yōu)化,設(shè)計(jì)了小文件分組合并的算法。最后搭建了Hadoop集群環(huán)境,對(duì)改進(jìn)的方案進(jìn)行測(cè)試,實(shí)驗(yàn)結(jié)果表明,本文設(shè)計(jì)的Hadoop小文件存儲(chǔ)優(yōu)化方案在寫入文件所用時(shí)間增長(zhǎng)趨勢(shì)的變化緩慢,說(shuō)明本方案在寫入海量小文件時(shí)具有很高的性能,在不影響存儲(chǔ)系統(tǒng)運(yùn)行狀況的基礎(chǔ)上,該方案提高了小文件的存儲(chǔ)效率和讀取效率。

參考文獻(xiàn):

[1] 廖彬,于炯,張?zhí)?,楊興耀.基于分布式文件系統(tǒng)HDFS的節(jié)能算法[J].計(jì)算機(jī)學(xué)報(bào),2013(05):1047-1064.

[2] 傅穎勛,羅圣美,舒繼武.安全云存儲(chǔ)系統(tǒng)與關(guān)鍵技術(shù)綜述[J].計(jì)算機(jī)研究與發(fā)展,2013,50(1):136-145

[3] D L Tennenhouse,J M Smith,W D Sincoskie,et al.A Survey of Active Networks Research[J].IEEE Communications Magazine,1997,35(l):80-86.

第5篇:網(wǎng)絡(luò)設(shè)備安全范文

【關(guān)鍵詞】:電力;信息通信;安全;防護(hù)研究

引言

隨著電網(wǎng)建設(shè)、發(fā)展以及電網(wǎng)自動(dòng)化水平的不斷提高,信息通信技術(shù)已成為電網(wǎng)調(diào)度自動(dòng)化、網(wǎng)絡(luò)運(yùn)營(yíng)市場(chǎng)化和管理現(xiàn)代化的基礎(chǔ),是電力系統(tǒng)的重要基礎(chǔ)設(shè)施,也是保證電網(wǎng)安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行的重要手段。信息通信技術(shù)的安全與電力系統(tǒng)的安全密切相關(guān),此前對(duì)電力系統(tǒng)中的信息通信安全研究較少。

1、電力信息通信現(xiàn)狀及主要問(wèn)題

1.1信息源的可靠性

我國(guó)的電力通信網(wǎng)絡(luò)規(guī)模巨大、結(jié)構(gòu)較復(fù)雜,應(yīng)用于發(fā)、輸、變、配、用各個(gè)環(huán)節(jié),主要信息量有測(cè)量數(shù)據(jù)、遙控指令、集采數(shù)據(jù)、普通文本、網(wǎng)頁(yè)信息等,信息來(lái)源多且分散,對(duì)其安全性提出更高要求,尤其是普通文本和網(wǎng)頁(yè)信息等較難管控的信息源,需要加強(qiáng)信息來(lái)源的安全檢測(cè),防止病毒信息上傳到網(wǎng)絡(luò)。

1.2信息傳輸?shù)陌踩?/p>

以往變電站數(shù)量少,信息網(wǎng)絡(luò)簡(jiǎn)單,信息傳輸環(huán)節(jié)的安全性容易被忽視。目前越來(lái)越多的信息通過(guò)網(wǎng)絡(luò)進(jìn)行傳遞,力通信以SDH傳輸為主,多種傳輸方式并存,隨著各地區(qū)變電站數(shù)量增加,各變電站內(nèi)新增SDH設(shè)備節(jié)點(diǎn)不斷串入原有SDH環(huán)網(wǎng)中,SDH網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)越來(lái)越復(fù)雜,缺乏優(yōu)化;同時(shí)部分單位仍有PDH傳輸,整個(gè)傳輸網(wǎng)中設(shè)備和技術(shù)存在多樣性;如果非法用戶利用技術(shù)措施,在傳輸階段通工具攔截文件,對(duì)文件內(nèi)容隨意篡改,甚至通過(guò)技術(shù)措施影響網(wǎng)絡(luò)傳輸通道的穩(wěn)定性,將會(huì)造成信息在傳輸過(guò)程中泄露、失真。因此信息傳遞過(guò)程中面臨各種安全風(fēng)險(xiǎn),需要加強(qiáng)信息傳輸安全管理。因此,電力企業(yè)在注重對(duì)信息源頭上進(jìn)行安全保護(hù)的同時(shí),也應(yīng)注意在傳輸過(guò)程環(huán)節(jié)提高對(duì)信息安全的保護(hù)。

1.3網(wǎng)絡(luò)終端設(shè)備應(yīng)用者的安全

電力系統(tǒng)中,網(wǎng)絡(luò)用戶也是信息安全管理的難點(diǎn)。通信終端用戶單一,但網(wǎng)絡(luò)用戶較多且分散,同時(shí)用戶安全意識(shí)薄弱,使用接口為基本輸入模擬式信號(hào)接口,不能傳輸經(jīng)過(guò)調(diào)整后的信息,從而接口的多樣化也相應(yīng)導(dǎo)致了管理方面的困難。通信技術(shù)發(fā)展日新月異,企業(yè)如不能緊跟技術(shù)發(fā)展,即便制定相應(yīng)規(guī)則和標(biāo)準(zhǔn)以規(guī)范用戶行為,仍可能出現(xiàn)魚(yú)目混珠的現(xiàn)象,為網(wǎng)絡(luò)監(jiān)管埋下隱患。

1.4網(wǎng)絡(luò)設(shè)備自身的安全

電力信息通信使用的硬件設(shè)備主要包括通信設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、交換機(jī)等。因國(guó)內(nèi)網(wǎng)絡(luò)設(shè)備質(zhì)量較國(guó)外存在一定差距,目前電力網(wǎng)絡(luò)中國(guó)內(nèi)外設(shè)備同時(shí)存在。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心曾公布國(guó)外某品牌網(wǎng)絡(luò)設(shè)備存在漏洞,例如服務(wù)漏洞、身份驗(yàn)證繞過(guò)漏洞以及遠(yuǎn)程控制漏洞等。如果上述漏洞被利用將導(dǎo)致通信中斷、網(wǎng)絡(luò)設(shè)備癱瘓、信息失真等后果。

2、電力通信網(wǎng)絡(luò)的優(yōu)化措施

2.1設(shè)置信息來(lái)源認(rèn)證

電力公司施行內(nèi)外網(wǎng)隔離,構(gòu)建“三道防線”為核心的等級(jí)保護(hù)縱深防御體系,杜絕了外部人員使用電力公司內(nèi)部網(wǎng)絡(luò)設(shè)備情況,在人員管理上有較大提升。此外,還應(yīng)加強(qiáng)移動(dòng)介質(zhì)管理,防止不明信息上傳到網(wǎng)絡(luò)上。例如,對(duì)使用的移動(dòng)存儲(chǔ)介質(zhì)必須進(jìn)行加密、認(rèn)證、信息過(guò)濾處理,防止非授權(quán)移動(dòng)介質(zhì)和存在危險(xiǎn)的不明信息上傳到電力通信網(wǎng)絡(luò)。

2.2健全傳輸通道安全策略

網(wǎng)絡(luò)傳輸安全是保證通信的前提條件,目前電力系統(tǒng)通信傳輸多采用SDH傳輸網(wǎng)絡(luò),網(wǎng)絡(luò)信息安全一般通過(guò)加密機(jī)制、數(shù)字簽名機(jī)制、訪問(wèn)控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證機(jī)制、路由控制機(jī)制等技術(shù)措施實(shí)現(xiàn),提高傳輸通道本身的安全系能。此外,傳輸階段應(yīng)對(duì)數(shù)據(jù)備份,便于信息丟失時(shí)及時(shí)回復(fù)有用數(shù)據(jù)。2.3加強(qiáng)網(wǎng)絡(luò)終端管理

用戶發(fā)電廠、變電站和用電客戶的一次、二次控制和測(cè)量設(shè)備是對(duì)電力系統(tǒng)影響較直接的網(wǎng)絡(luò)終端,應(yīng)嚴(yán)格按照信息通信安全要求對(duì)其進(jìn)行必要的安全測(cè)試,防止?jié)撛诓《净蛘吆箝T程序被設(shè)置在此類設(shè)備上引起較大電力事故。計(jì)算機(jī)終端是電力系統(tǒng)中規(guī)模最大的網(wǎng)絡(luò)終端,應(yīng)根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)安全內(nèi)容制定電力系統(tǒng)計(jì)算機(jī)終端使用規(guī)定,制定有效的安全技術(shù)制度,防止病毒被網(wǎng)絡(luò)終端設(shè)備帶入到電力通信網(wǎng)絡(luò)。例如必須進(jìn)行桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)注冊(cè)及MAC地址綁定,防止外來(lái)終端和一機(jī)兩用等違規(guī)外聯(lián)現(xiàn)象;嚴(yán)禁隨意修改IP地址,防止出現(xiàn)地址沖突;必須安裝防病毒軟件,使終端免受病毒和木馬程序破壞。

2.4完善網(wǎng)絡(luò)設(shè)備安全管理

網(wǎng)絡(luò)設(shè)備國(guó)產(chǎn)化有利于規(guī)避國(guó)外網(wǎng)絡(luò)設(shè)備安全風(fēng)險(xiǎn)的不可控,應(yīng)使用自主的核心設(shè)備,確保電力系統(tǒng)網(wǎng)絡(luò)設(shè)備可控、能控、在控。電力企業(yè)可以聯(lián)合國(guó)內(nèi)廠商共同開(kāi)展各種網(wǎng)絡(luò)設(shè)備資源的國(guó)產(chǎn)化改造及測(cè)試工作,按照“先易后難、先外網(wǎng)后內(nèi)網(wǎng)”的原則,在保證電力系統(tǒng)正常運(yùn)行的前提下,進(jìn)一步推進(jìn)國(guó)產(chǎn)化進(jìn)程。國(guó)產(chǎn)網(wǎng)絡(luò)設(shè)備在上線前應(yīng)進(jìn)行相應(yīng)的安全技術(shù)測(cè)試,并在采購(gòu)合同中明確廠商的保密條款和安全責(zé)任。同時(shí),完善網(wǎng)絡(luò)設(shè)備上線管控,確保網(wǎng)絡(luò)設(shè)備上線運(yùn)行前滿足國(guó)家或者公司對(duì)于信息安全的要求。上線前應(yīng)由內(nèi)部專業(yè)隊(duì)伍對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全性評(píng)測(cè),保證網(wǎng)絡(luò)設(shè)備硬件安全,避免存在安全漏洞或者被事先植入后門、木馬等惡意程序;上線時(shí)由內(nèi)部隊(duì)伍實(shí)施,確保網(wǎng)絡(luò)設(shè)備在部署、配置、運(yùn)行環(huán)節(jié)的安全性,以及在身份鑒別、訪問(wèn)控制、日志審計(jì)方面的完整性。

2.5健全電力通信網(wǎng)絡(luò)管理機(jī)制

電力通信網(wǎng)絡(luò)的管理機(jī)制應(yīng)根據(jù)當(dāng)?shù)厍闆r制定,應(yīng)具有較高的安全性和可行性。在管理機(jī)制建立后,相關(guān)部門要嚴(yán)格監(jiān)管,及時(shí)做到電力通信網(wǎng)絡(luò)的維護(hù)和升級(jí),并且要完善電力通信網(wǎng)絡(luò)頂層設(shè)計(jì)理念,增強(qiáng)頂層設(shè)計(jì)工作的完整性,形成多層防護(hù)體系,在設(shè)計(jì)時(shí)也要注重對(duì)電力通信網(wǎng)絡(luò)進(jìn)行綜合判斷。

結(jié)語(yǔ)

本文通過(guò)對(duì)信息通信安全風(fēng)險(xiǎn)類型的分析及對(duì)電力系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的研究,分析了從信息源頭、傳輸過(guò)程、應(yīng)用終端進(jìn)行全過(guò)程安全管控的必要性,提出了電力系統(tǒng)信息通信網(wǎng)絡(luò)的安全防護(hù)措施。隨著信息通信技術(shù)的不斷發(fā)展,電力系統(tǒng)對(duì)安全性要求的不斷提高,仍需要進(jìn)一步加強(qiáng)信息通信安全以及防護(hù)措施研究。

第6篇:網(wǎng)絡(luò)設(shè)備安全范文

【關(guān)鍵詞】 計(jì)算機(jī);網(wǎng)絡(luò)設(shè)備;統(tǒng)一;保密管理

1 計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的管理現(xiàn)狀

當(dāng)前大部分醫(yī)院、療養(yǎng)院對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的管理實(shí)行由物資采購(gòu)部門購(gòu)買,藥械科負(fù)責(zé)登記建檔和硬件維修報(bào)廢,信息科或信息中心負(fù)責(zé)軟件維護(hù),保密部門負(fù)責(zé)對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備進(jìn)行加密、脫密、銷毀工作。實(shí)行多頭管理存在以下問(wèn)題。

1)購(gòu)買者不懂、不用的現(xiàn)象較突出,易出現(xiàn)硬件配置不均、不適用、不耐用的問(wèn)題。

2)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備出現(xiàn)問(wèn)題時(shí),軟件與硬件故障存在診斷不明、難以界定而發(fā)生相互推諉責(zé)任的現(xiàn)象。

3)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備建檔工作因藥械科不參與購(gòu)買與出入庫(kù),因此也容易遺漏。

4)計(jì)算機(jī)的加密與脫密工作名義上由保密部門負(fù)責(zé),實(shí)際上也是由各院的信息工程人員在做。

5)沒(méi)有統(tǒng)一部門的全過(guò)程管理,存在保密安全隱患。

2 方法

我院對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備實(shí)行全程管理,設(shè)立統(tǒng)一管理部門,受理申請(qǐng),統(tǒng)一調(diào)配計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備資源,根據(jù)用途制訂采購(gòu)方案,報(bào)相關(guān)部門及領(lǐng)導(dǎo)批準(zhǔn)后,由采購(gòu)部門按方案采購(gòu)。直接送貨到統(tǒng)管部門,建立檔案后入庫(kù),使用部門憑請(qǐng)領(lǐng)單領(lǐng)取,需要時(shí)安裝保密系統(tǒng)后下發(fā)。使用過(guò)程中出現(xiàn)問(wèn)題時(shí),軟件維護(hù)及硬件維修、更換由同一個(gè)部門完成,克服推脫責(zé)任的現(xiàn)象。對(duì)無(wú)法維修的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備及時(shí)進(jìn)行脫密處理后報(bào)廢,由保密部門監(jiān)管,統(tǒng)一銷毀。

3討論

要實(shí)現(xiàn)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的全程保密管理,有以下幾個(gè)問(wèn)題值得關(guān)注。

3.1需克服統(tǒng)管部門專業(yè)人才短缺問(wèn)題各醫(yī)院、療養(yǎng)院的信息工程技術(shù)人員在計(jì)算機(jī)軟件維護(hù)方面較擅長(zhǎng),但在硬件維修方面與實(shí)際要求存在較大差距。針對(duì)這個(gè)問(wèn)題,可以根據(jù)情況分別對(duì)待。

1)加強(qiáng)硬件知識(shí)的學(xué)習(xí),有意識(shí)培養(yǎng)硬件維修人才。對(duì)能夠處理的硬件故障自行處理。

2)利用地方人才資源優(yōu)勢(shì),采取硬件維修外包的方式,對(duì)較復(fù)雜的硬件問(wèn)題,在機(jī)器保修期內(nèi)的可聯(lián)系保修單位。過(guò)了保修期的可聯(lián)系定點(diǎn)維修單位進(jìn)行處理。應(yīng)特別注意在送修之前一定要做脫密處理。

3.2需得到院領(lǐng)導(dǎo)的支持與院機(jī)關(guān)的授權(quán)才能實(shí)行由于在全程保密管理過(guò)程中仍然需要與其他部門的合作,因此,各部門的分工與組織協(xié)調(diào)是保證全程保密管理方案實(shí)施的首要問(wèn)題。

3.3登記排查對(duì)原有計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備要進(jìn)行逐一登記排查,完善檔案管理。

3.4各環(huán)節(jié)應(yīng)制定相應(yīng)的監(jiān)督機(jī)制,確保環(huán)節(jié)質(zhì)量如采購(gòu)方案報(bào)批、統(tǒng)管部門與采購(gòu)部門相互監(jiān)督、機(jī)器報(bào)廢申請(qǐng)核準(zhǔn)、銷毀現(xiàn)場(chǎng)監(jiān)督等機(jī)制必須得到落實(shí),才能確保運(yùn)行質(zhì)量和信息安全。

4結(jié)果

第7篇:網(wǎng)絡(luò)設(shè)備安全范文

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展,虛擬環(huán)境下網(wǎng)絡(luò)安全實(shí)驗(yàn)系統(tǒng)得到了非常廣泛的應(yīng)用。而傳統(tǒng)的實(shí)驗(yàn)系統(tǒng)已無(wú)法滿足社會(huì)發(fā)展的需要,尤其是在教學(xué)方面。因此,針對(duì)目前實(shí)驗(yàn)系統(tǒng)存在的不足進(jìn)行了改進(jìn),通過(guò)MVC軟件、QEMU操作系統(tǒng)、Dynamips加載設(shè)備等對(duì)當(dāng)前的安全實(shí)驗(yàn)系統(tǒng)進(jìn)行了多方面的構(gòu)建,以期為相關(guān)單位提供參考和借鑒。

關(guān)鍵詞:

虛擬環(huán)境;網(wǎng)絡(luò)安全實(shí)驗(yàn);Dynamips;QEMU

隨著改革開(kāi)放的不斷深入,我國(guó)各方面的建設(shè)都取得了一定的成績(jī),尤其是隨著經(jīng)濟(jì)全球化的發(fā)展,我國(guó)對(duì)虛擬環(huán)境下網(wǎng)絡(luò)安全實(shí)驗(yàn)系統(tǒng)的構(gòu)建越來(lái)越重視。該系統(tǒng)能為學(xué)習(xí)該方面知識(shí)的人們提供很好的平臺(tái),極大地提高了教學(xué)效率和學(xué)生的實(shí)踐能力,且創(chuàng)新了我國(guó)高校的教學(xué)途徑。但目前的安全實(shí)驗(yàn)系統(tǒng)還不能完全滿足教學(xué)需求,因此,探析該系統(tǒng)的構(gòu)建問(wèn)題是非常有意義的。

1虛擬環(huán)境下的網(wǎng)絡(luò)安全實(shí)驗(yàn)系統(tǒng)技術(shù)

虛擬實(shí)驗(yàn)就是以虛擬現(xiàn)實(shí)技術(shù)為基礎(chǔ)的新型實(shí)驗(yàn)教學(xué)方式,通過(guò)利用仿真、虛擬現(xiàn)實(shí)和多媒體等技術(shù),可在計(jì)算機(jī)上創(chuàng)造一種輔助或代替?zhèn)鹘y(tǒng)實(shí)驗(yàn)操作環(huán)節(jié)的操作環(huán)境。實(shí)驗(yàn)者利用這種技術(shù)可進(jìn)行在實(shí)際環(huán)境中的各種實(shí)驗(yàn)項(xiàng)目,完成實(shí)驗(yàn)的效果也與實(shí)際環(huán)境中取得的效果相同。該技術(shù)雖然是在虛擬環(huán)境下建立仿真平臺(tái)的,但其非常注重實(shí)驗(yàn)效果的仿真性和實(shí)驗(yàn)環(huán)節(jié)的交互性,解決了學(xué)校實(shí)驗(yàn)器材、場(chǎng)地和經(jīng)費(fèi)不足等問(wèn)題,進(jìn)而提高了實(shí)驗(yàn)教學(xué)的效果和質(zhì)量。虛擬化技術(shù)要在計(jì)算機(jī)設(shè)備上安裝虛擬化軟件,結(jié)合實(shí)際情況對(duì)物理操作環(huán)境進(jìn)行模擬,并以此為基礎(chǔ),安裝和運(yùn)行真實(shí)的操作系統(tǒng),從而實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境的優(yōu)化配置。虛擬機(jī)的應(yīng)用優(yōu)勢(shì)主要有以下5個(gè):①可以驗(yàn)證和使用不同類型的操作系統(tǒng);②具有獨(dú)立的物理硬件環(huán)境,能實(shí)現(xiàn)硬件的按需分配;③與宿主機(jī)相隔離,不會(huì)影響宿主機(jī)的正常運(yùn)行;④利用虛擬機(jī)的鏡像能實(shí)現(xiàn)系統(tǒng)的快速重裝;⑤能修改和刪除來(lái)源不明的軟件。

2虛擬環(huán)境下網(wǎng)絡(luò)安全實(shí)驗(yàn)系統(tǒng)的構(gòu)建

2.1網(wǎng)絡(luò)設(shè)備配置流程的構(gòu)建在虛擬軟件中,VMware和VirturIPC都可以運(yùn)行和加載多種類型的操作系統(tǒng),但仍無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的加載和運(yùn)行。因此,應(yīng)選用Dynamips和QEMU。其中,采用Dynamips可實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的模擬和加載,而采用QEMU可加載和模擬實(shí)驗(yàn)操作系統(tǒng)。在對(duì)實(shí)驗(yàn)系統(tǒng)進(jìn)行構(gòu)建時(shí),應(yīng)采用路由器和Cisco交換機(jī),并在試驗(yàn)區(qū)域借助連線工具對(duì)網(wǎng)絡(luò)設(shè)備的插槽和接口進(jìn)行檢查,從而有效配置網(wǎng)絡(luò)設(shè)備的參數(shù)和構(gòu)建網(wǎng)絡(luò)的拓?fù)溥B接。

2.2安全實(shí)驗(yàn)系統(tǒng)架構(gòu)的構(gòu)建實(shí)驗(yàn)系統(tǒng)的架構(gòu)采用MVC軟件進(jìn)行,主要包括控制器、視圖和模型三部分。其中,控制器用于接收用戶的操作請(qǐng)求,并將請(qǐng)求信息傳遞給模型執(zhí)行,但不處理具體數(shù)據(jù);視圖是實(shí)驗(yàn)系統(tǒng)的操作界面;模型主要是對(duì)實(shí)體對(duì)象數(shù)據(jù)的封裝。模型在接收到控制器傳遞的信息后進(jìn)行數(shù)據(jù)操作,控制器將狀態(tài)結(jié)果反饋至視圖界面,從而實(shí)現(xiàn)對(duì)數(shù)據(jù)的實(shí)時(shí)更新和顯示。在MVC軟件中,控制器主要具備控制管理功能,具有3個(gè)核心模塊,分別為實(shí)驗(yàn)管理、網(wǎng)絡(luò)設(shè)備管理、虛擬機(jī)管理。其中,網(wǎng)絡(luò)設(shè)備管理和虛擬機(jī)管理都可以實(shí)現(xiàn)對(duì)實(shí)驗(yàn)設(shè)備的配置、加載、啟動(dòng)和關(guān)閉,比如接口、網(wǎng)卡和設(shè)備插槽等。網(wǎng)絡(luò)設(shè)備管理的對(duì)象包括虛擬機(jī)的交換機(jī)、路由器等設(shè)備,虛擬機(jī)管理可對(duì)不同類型的虛擬機(jī)及相應(yīng)的設(shè)備進(jìn)行管理,實(shí)驗(yàn)管理可實(shí)現(xiàn)對(duì)實(shí)驗(yàn)的過(guò)程、狀態(tài)和結(jié)果的管理。此外,通過(guò)重新加載保存過(guò)的實(shí)驗(yàn)數(shù)據(jù),能在很大程度上縮短實(shí)驗(yàn)時(shí)間,從而實(shí)現(xiàn)參數(shù)的再次修改。實(shí)驗(yàn)設(shè)備主要包括網(wǎng)絡(luò)設(shè)備和虛擬機(jī)設(shè)備,這兩大設(shè)備是實(shí)驗(yàn)系統(tǒng)的核心,彼此之間相互獨(dú)立,通過(guò)用戶實(shí)驗(yàn)的過(guò)程產(chǎn)生行為,進(jìn)而發(fā)生聯(lián)系,實(shí)現(xiàn)實(shí)驗(yàn)系統(tǒng)環(huán)境的構(gòu)建。在用戶操作界面,用戶點(diǎn)擊實(shí)驗(yàn)系統(tǒng)區(qū)域內(nèi)的設(shè)備圖標(biāo),便能實(shí)現(xiàn)對(duì)實(shí)驗(yàn)設(shè)備的選擇,且在設(shè)備之間進(jìn)行畫(huà)線連接,便能完成網(wǎng)絡(luò)設(shè)備端口的連接和網(wǎng)絡(luò)拓?fù)涞拇罱ā?/p>

2.3網(wǎng)絡(luò)設(shè)備的構(gòu)建該系統(tǒng)采用虛擬化技術(shù)中的Dynamips模擬器可加載CiscoIOS,進(jìn)而構(gòu)建虛擬平臺(tái),實(shí)現(xiàn)對(duì)真實(shí)網(wǎng)絡(luò)環(huán)境的虛擬。采用Dynamips軟件可實(shí)現(xiàn)對(duì)系統(tǒng)的啟動(dòng)、關(guān)閉、設(shè)置、新建等底層命令的翻譯和封裝,從而實(shí)現(xiàn)對(duì)安全系統(tǒng)的管理。Hypervisor的結(jié)構(gòu)設(shè)計(jì)如圖1所示。在安全實(shí)驗(yàn)系統(tǒng)中,網(wǎng)絡(luò)設(shè)備管理的對(duì)象主要為網(wǎng)絡(luò)設(shè)備的參數(shù)和網(wǎng)絡(luò)環(huán)境的構(gòu)建過(guò)程。通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的構(gòu)建,可根據(jù)設(shè)計(jì)需要選擇最佳的系統(tǒng)參數(shù),進(jìn)而設(shè)計(jì)出最完善的實(shí)驗(yàn)操作流程,實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)驗(yàn)系統(tǒng)的合理設(shè)置和有效管理。在Dynamips軟件啟動(dòng)后,可通過(guò)發(fā)送命令來(lái)控制設(shè)備參數(shù)。在此過(guò)程中,相關(guān)人員需要不斷修改各項(xiàng)參數(shù),從而確定不同參數(shù)的實(shí)際功能。以Cisco7200操作系統(tǒng)為例,需要先連接1號(hào)路由器與2號(hào)路由器,后搭建網(wǎng)絡(luò)環(huán)境。具體的搭建流程分為以下7步:①新建1號(hào)路由器和2號(hào)路由器;②設(shè)置1號(hào)路由器和2號(hào)路由器的信息;③為1號(hào)路由器和2號(hào)路由器添加插槽;④建立UDP,連接1號(hào)路由器與2號(hào)路由器;⑤綁定1號(hào)路由器和2號(hào)路由器的連接端口;⑥設(shè)置2號(hào)路由器的端口;⑦啟動(dòng)1號(hào)路由器和2號(hào)路由器,并測(cè)試1號(hào)路由器與2號(hào)路由器的連接情況。

2.4虛擬機(jī)管理的構(gòu)建該系統(tǒng)利用QEMU軟件進(jìn)行設(shè)計(jì),該軟件占用的內(nèi)存比較小,且不用安裝,功能非常全面,非常適合該系統(tǒng)的開(kāi)發(fā)。在設(shè)計(jì)開(kāi)發(fā)中,主要包含2種模式,即System和User。其中,采用System模式能模擬外設(shè),比如網(wǎng)卡、CPU、硬盤等。對(duì)于硬件的構(gòu)建,需要在虛擬機(jī)啟動(dòng)前設(shè)置運(yùn)行環(huán)境中使用的網(wǎng)卡和內(nèi)存卡。如果內(nèi)存卡的容量過(guò)小,則會(huì)導(dǎo)致虛擬機(jī)運(yùn)行緩慢;如果內(nèi)存卡的容量過(guò)大,則會(huì)對(duì)宿主機(jī)的性能造成影響。在該系統(tǒng)中,設(shè)置512MB為默認(rèn)內(nèi)存容量,并使用RTL8139型號(hào)的網(wǎng)卡。由于虛擬機(jī)管理中使用鏡像運(yùn)行和保存文件,因此,在系統(tǒng)啟動(dòng)前需要在iso格式下進(jìn)行安裝和讀取相關(guān)文件。對(duì)于系統(tǒng)的狀態(tài)管理,應(yīng)選用UDP通信方式設(shè)置網(wǎng)卡。在網(wǎng)卡的物理地址設(shè)置完成后,需要設(shè)置網(wǎng)關(guān)和IP地址。此外,采用QEMU的監(jiān)視器可對(duì)其他設(shè)備的狀態(tài)進(jìn)行控制和監(jiān)視。

3結(jié)束語(yǔ)

綜上所述,虛擬環(huán)境下網(wǎng)絡(luò)安全實(shí)驗(yàn)系統(tǒng)的構(gòu)建需要結(jié)合其功能不斷優(yōu)化設(shè)計(jì),多次進(jìn)行網(wǎng)絡(luò)設(shè)備參數(shù)的實(shí)驗(yàn)?zāi)苓M(jìn)一步實(shí)現(xiàn)安全實(shí)驗(yàn)系統(tǒng)的優(yōu)化。網(wǎng)絡(luò)安全實(shí)驗(yàn)系統(tǒng)的應(yīng)用對(duì)提高實(shí)驗(yàn)教學(xué)的質(zhì)量有著非常重要的意義。只有不斷研究和優(yōu)化該系統(tǒng),才能使其更好地為現(xiàn)代化教學(xué)服務(wù)。

參考文獻(xiàn)

[1]劉小躍.師范院校網(wǎng)絡(luò)安全實(shí)驗(yàn)系統(tǒng)探討[J].實(shí)驗(yàn)技術(shù)與管理,2011(08).

第8篇:網(wǎng)絡(luò)設(shè)備安全范文

關(guān)鍵詞:訪問(wèn)控制列表;校園網(wǎng)絡(luò);定位丟包

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2017)17-0033-02

1ACL介紹

接入訪問(wèn)控制列表英文全稱(Access Control Lists,簡(jiǎn)稱ACL)。目前按照功能劃分主要分為安全的ACL和基于服務(wù)質(zhì)量的Qos ACL兩大類。接入訪問(wèn)控制列表主要功能是對(duì)網(wǎng)絡(luò)數(shù)據(jù)流按照管理員設(shè)定的模板進(jìn)行過(guò)濾,限制網(wǎng)絡(luò)中數(shù)據(jù)類型、使用者和特定設(shè)備等。安全的ACL在網(wǎng)絡(luò)數(shù)據(jù)流經(jīng)網(wǎng)絡(luò)設(shè)備的時(shí)候,首先對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分類、然后進(jìn)行檢查。完成分類和檢查后,根據(jù)網(wǎng)絡(luò)管理員設(shè)置的conditions匹配條件,決定對(duì)各類網(wǎng)絡(luò)數(shù)據(jù)的處理方式,處理方式通過(guò)包括允許(permit)和丟棄(deny)。網(wǎng)絡(luò)數(shù)據(jù)通過(guò)安全ACL處理后,下一步可以使用基于服務(wù)質(zhì)量的QosACL策略,對(duì)符合管理員預(yù)先設(shè)置的QosACL對(duì)網(wǎng)絡(luò)數(shù)據(jù)類型進(jìn)行優(yōu)先級(jí)的分類處理,類似交通警察對(duì)馬路上各類車輛進(jìn)行優(yōu)先級(jí)的差異化處理模式。

ACL通常是用各種類型的功能表項(xiàng),依照網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)進(jìn)行有效管理而產(chǎn)生的集合統(tǒng)稱為接入控制列表表項(xiàng)(Ac-cess Control Entry:ACE)。下面通過(guò)5個(gè)地區(qū)和5個(gè)地區(qū)管理員舉例說(shuō)明ACL和ACE的關(guān)系。A地區(qū)處于B、C、D、E地區(qū)包圍之中,并與其4個(gè)地區(qū)相鄰。A地區(qū)人員前往其他地區(qū),必須經(jīng)由A地區(qū)管理員檢查后才能離開(kāi)A地^。其他B、C、D、E地區(qū)的人員想前往地區(qū),也必須途徑A地區(qū)才到到達(dá)目的地。A地區(qū)的管理員對(duì)經(jīng)由本地區(qū)的人員進(jìn)行嚴(yán)格的過(guò)境人員身份檢查限制,其過(guò)境檢查規(guī)則如圖1。

A地區(qū)通往其他四個(gè)地區(qū)均有不同的出口通道,因?yàn)锳地區(qū)管理人員有限,故每天通過(guò)出口通過(guò)的人數(shù)都有一定限制。基于這種情況,A地區(qū)管理機(jī)構(gòu)根據(jù)人員身份不同進(jìn)行了分類處理,給特殊人群不同的待遇,方便特殊人群進(jìn)出出口通道。具體情況如圖2。

通過(guò)上面的例子,網(wǎng)絡(luò)設(shè)備就如同A地區(qū)管理員一樣,要對(duì)通過(guò)A地區(qū)所有人員進(jìn)行分類、檢查、處理。與A地區(qū)相鄰的四個(gè)地區(qū)出口就如同網(wǎng)絡(luò)設(shè)備的四接口。管理人員采用不同的規(guī)則如圖1所示就是安全ACL,而對(duì)進(jìn)入人員進(jìn)行身份識(shí)別規(guī)則就是QoS ACL。A地區(qū)管理員對(duì)出入人員的每一條規(guī)則就是ACE,若干條ACE組合在一起形成了完整的ACL,而每一條身份識(shí)別可以理解為是ACE規(guī)則條件。對(duì)于出入人員能否通過(guò)就如同ACE處理方式中的允許(permit)和拒絕(deny)。

地區(qū)管理員對(duì)出入地管理規(guī)則中每一條細(xì)則稱為ACE,ACE通常要對(duì)人員身份進(jìn)行識(shí)別,按照?qǐng)D1所示的人員身份情況進(jìn)行相關(guān)人員進(jìn)行permit和deny兩種處理方式。例如當(dāng)出人A地區(qū)人員滿足從B地區(qū)到D地區(qū)(條件三)的時(shí)候,A地區(qū)管理員會(huì)對(duì)這類人員進(jìn)行(permit)處理方式;如攜帶危險(xiǎn)物品人員進(jìn)入A地區(qū),ACE會(huì)根據(jù)圖1的條件一拒絕進(jìn)入A地區(qū),其處理方式為(deny)。

同理,圖2的人境身份識(shí)別規(guī)則組合在一起就形成了ACL,而形成ACL中的每一條規(guī)則則是ACE。圖2的ACL是先讓人員進(jìn)人A地區(qū)后進(jìn)行檢查后,在對(duì)應(yīng)ACL規(guī)則進(jìn)行處理。因此每條規(guī)則中都隱藏著允許人員進(jìn)人A地區(qū),利用QOS進(jìn)行分類識(shí)別后,要求對(duì)各類人員進(jìn)行permit和deny的處理行為。而在各類網(wǎng)絡(luò)設(shè)備中QoS ACL是不能定義deny為首條規(guī)則的ACE。

通過(guò)上述的例子,A地區(qū)依照自己本地區(qū)的特點(diǎn)和相關(guān)地區(qū)的友好程度,可以制定不同的規(guī)則。如A地區(qū)與C地區(qū)關(guān)系非常融洽,制定針對(duì)C地區(qū)非常寬松的規(guī)則。B地區(qū)因其他因素導(dǎo)致存在大量攜帶危險(xiǎn)物品的人員,故B地區(qū)經(jīng)過(guò)A地區(qū)的人員進(jìn)行嚴(yán)格檢查。同理針對(duì)網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)設(shè)備的不同接口,也可以定義不同規(guī)則的ACL。

2ACL的輸入和輸出

訪問(wèn)控制列表各類規(guī)則制定完善后,需要定義在不同的接口。在接口處配合制定好的規(guī)則才能形成良好的管理方式和方法。例如第一節(jié)的例子中,A地區(qū)管理員對(duì)出入境人員管理方式可以采用以下三種方式:

(1)進(jìn)入A地區(qū)和出A地區(qū)進(jìn)行雙重檢查;

(2)進(jìn)入A地區(qū)檢查、出A地區(qū)不檢查;

(3)進(jìn)入A地區(qū)不檢查、出A地區(qū)檢查。

在網(wǎng)絡(luò)設(shè)備中,在接口處輸入和輸出ACL,類似A地區(qū)出入人員管理規(guī)則。分別在網(wǎng)絡(luò)設(shè)備接口處對(duì)進(jìn)出數(shù)據(jù)進(jìn)行檢查,也可以采用以下三種方式:

(1)進(jìn)入接口和出接口處進(jìn)行雙重檢查;

(2)進(jìn)入接口時(shí)檢查、出接口時(shí)不檢查;

(3)進(jìn)入接口時(shí)不檢查、出接口時(shí)檢查。

數(shù)據(jù)在經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備接口接收到報(bào)文時(shí),需要對(duì)報(bào)文進(jìn)行檢查,確定該報(bào)文是否與該接口輸入ACL中某條ACE相匹配。而輸出ACL和輸入ACL類似,當(dāng)報(bào)文已經(jīng)經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備后,流出網(wǎng)絡(luò)設(shè)備進(jìn)行檢查,檢查報(bào)文是否與ACL中的某條ACE進(jìn)行相匹配。in和out是相對(duì)于網(wǎng)絡(luò)設(shè)備來(lái)說(shuō)的,離開(kāi)網(wǎng)絡(luò)設(shè)備接口的流量即為out;進(jìn)入這個(gè)網(wǎng)絡(luò)設(shè)備的接口的流量即為in,在配置ACL的時(shí)候,in和out并不是絕對(duì)的。

ACE中的過(guò)濾域模板(masks)和規(guī)則(mles),類似A地區(qū)出入境管理方式。在制定管理方式的時(shí)候按照所在地區(qū)、目的地區(qū)、職業(yè)、年齡、所持證件、攜帶物品等若干主要因素,對(duì)各類人員身份信息進(jìn)行識(shí)別。

3定位丟包功能實(shí)例

對(duì)于支持ACL計(jì)數(shù)功能的交換機(jī),通過(guò)使用技術(shù)功能,能夠方便定位丟包問(wèn)題??蛻艟W(wǎng)絡(luò)出現(xiàn)丟包的情況,可以通過(guò)ACL計(jì)數(shù)功能來(lái)定位丟報(bào)點(diǎn),方便我們后續(xù)進(jìn)一步排查。但是并非所有交換機(jī)都支持該功能,如果設(shè)備支持ip access-listcount命令,就可能支持該能。

舉如下案例:

1)客戶網(wǎng)絡(luò)環(huán)境:

客戶電腦的網(wǎng)關(guān)在S57交換機(jī)上,S57交換機(jī)與S86交換機(jī)通過(guò)三層口互聯(lián)

PC(10.1.1.1)――G0/1(10.1.1.254)$57(20.1.1.1)G0/2――G1/1(20.1.1.2)S86

2)客戶問(wèn)題:

客戶PCping$86交換機(jī)出現(xiàn)丟包,但是不確定報(bào)文丟在哪臺(tái)設(shè)備上。

3)ACL調(diào)用:

可以在5750-e的G0/12還有$86交換機(jī)的G1/1口的in方向和out方向都調(diào)用一條acl:

acl定位發(fā)現(xiàn),通過(guò)以上測(cè)試效果可以發(fā)現(xiàn),S86交換機(jī)可以發(fā)出報(bào)文,但是沒(méi)有接收到回應(yīng)報(bào)文,丟包點(diǎn)在S86交換機(jī)上一級(jí)設(shè)備。

第9篇:網(wǎng)絡(luò)設(shè)備安全范文

功能開(kāi)啟

首先雙擊桌面上的QQ電腦管家圖標(biāo),在彈出的窗口點(diǎn)擊工具欄中的“工具箱”按鈕,再找到“無(wú)線安全助手”的功能模塊(如圖1),在該模塊彈出的窗口點(diǎn)擊“立即啟用”按鈕,即可進(jìn)入設(shè)置界面(如圖2)。

初次運(yùn)行該功能模塊會(huì)對(duì)當(dāng)前網(wǎng)絡(luò)中的所有設(shè)備進(jìn)行檢測(cè),檢查局域網(wǎng)內(nèi)無(wú)線設(shè)備的安全性,查找可能是蹭網(wǎng)設(shè)備的信息。如果用戶使用的電腦無(wú)線網(wǎng)絡(luò)未能正常連接,那么功能模塊會(huì)彈出“無(wú)線網(wǎng)未連接”的提示。這時(shí)用戶需要首先連接無(wú)線網(wǎng)絡(luò),再點(diǎn)擊窗口中的“重新檢測(cè)”按鈕即可。當(dāng)所有的網(wǎng)絡(luò)設(shè)備檢測(cè)完成以后,軟件界面會(huì)顯示當(dāng)前使用網(wǎng)絡(luò)的設(shè)備,其中包括系統(tǒng)名稱、MAC地址以及IP地址等信息。

檢測(cè)網(wǎng)絡(luò)環(huán)境

如果沒(méi)有檢測(cè)到可疑的蹭網(wǎng)設(shè)備,那么功能模塊就會(huì)提示“您的無(wú)線網(wǎng)絡(luò)沒(méi)有發(fā)現(xiàn)蹭網(wǎng)設(shè)備,加密認(rèn)證方式安全,請(qǐng)您放心使用!”如果檢測(cè)到網(wǎng)絡(luò)中存在非本機(jī)的網(wǎng)絡(luò)設(shè)備,那么功能模塊就會(huì)提示“系統(tǒng)檢測(cè)到您的無(wú)線網(wǎng)絡(luò)未加密!建議您設(shè)置密碼,可以有效防止蹭網(wǎng)(如圖3)!”同時(shí)會(huì)在窗口列表中的蹭網(wǎng)設(shè)備上,顯示出“可疑設(shè)備”的提示信息。

雖然有些設(shè)備會(huì)被軟件標(biāo)注為“可疑設(shè)備”,不過(guò)考慮到手機(jī)等設(shè)備距離無(wú)線路由器過(guò)遠(yuǎn)等因素會(huì)導(dǎo)致產(chǎn)生誤報(bào),所以用戶最好再自己確認(rèn)一下這些可疑設(shè)備是否為已知的網(wǎng)絡(luò)設(shè)備。如果允許這臺(tái)設(shè)備使用網(wǎng)絡(luò)的話,則點(diǎn)擊該網(wǎng)絡(luò)設(shè)備后面的“允許該設(shè)備使用”按鈕,就可以將該設(shè)備加入到“已允許設(shè)備列表”中。

禁止無(wú)線設(shè)備上網(wǎng)

如果確定這臺(tái)網(wǎng)絡(luò)設(shè)備是蹭網(wǎng)的,那么就點(diǎn)擊界面右上角的“設(shè)置密碼”按鈕,這時(shí)無(wú)線安全助手就會(huì)彈出一份詳細(xì)操作說(shuō)明。用戶按照這個(gè)操作說(shuō)明,在無(wú)線路由器里面設(shè)置密碼,就可以切斷可疑設(shè)備蹭網(wǎng)的途徑了。

只設(shè)置連接密碼是不夠的,功能模塊還能檢測(cè)出無(wú)線路由器的認(rèn)證方式是否安全。如果用戶使用WEP這樣的認(rèn)證方式就會(huì)非常容易遭到破解,此時(shí)只需點(diǎn)擊界面右上角的“設(shè)置認(rèn)證方式”按鈕即可修改成安全的認(rèn)證方式(如圖4)。