简述网络安全的定义篇1
DpwS是关于网络设备的一个web服务协议精简子集。为提高设备之间的协作性,DpwS与其他规范不同,它提供了对常见的设计问题的详细解决方法,定义了传输消息的概要格式和技术细节。现在,设备连接过程很多都强制不同的设备运行相同程序,灵活性不强。而DpwS则主要是通过信息交互,信息都在协议中有严格的格式规定。DpwS适用那些正在开发网络平台或硬件组件的用户,作为一系列标准声明,它还配有基本原理和一些应用实例;同时,某些具体方面还可以参考其他规范,如wS-Discovery、wS-addressing等。
wS协议是包含网络设备发现、描述、传输和安全的一整套网络服务体系。其中,与网络设备发现相关的协议主要有wS-Discovery、wS-transfer、wS-metadataexchange、wS-eventing、wS-Discovery,主要是关于设备发现和设备定位的一套协议,包括服务设备加入和离开网络,客户端搜索和定位服务的过程的描述和相关规定等。
DpwS提供的wS支持
DpwS提供了以下webServices支持:
1.网络服务发现
自动发现是客户端和设备消息交互的第一步,主要通过wS-Discovery协议。wS-Discovery通过设备类型和设备所在的范围来确定和登录设备服务。wS-Discovery不仅支持设备的自动发现,还支持发现。设备可以直接跟通信,而不用给网络多播或广播消息。
2.网络安全
windowsVista包含内置基于信道的安全支持,例如tLS可以保护消息的机密和完整。同时,DpwS使用webServices基于消息的安全协议,例如wS-Security。需要注意的是,windowsVista的第一个版本不支持wS-Security。
3.网络描述
wS-transfer的Getmetadata机制提供了一个获取服务元数据的可扩展机制,主要包含消息描述(wSDL),服务之间的关系,企业信息等元数据。
4.网络控制
DpwS定义了传输过程中各种消息类型的传送顺序。DpwS没有定义具体应用的控制信息,对于不同的设备类型,有相应的wSDL定义。
5.网络事件
wS-eventing允许企业定义应用的事件模型,其中包括消息通告。企业提供一个服务订阅、服务使能和服务取消的模型,wSDL定义了这些具体设备类型的消息。
6.网络消息和网络附件
mtom可以传送大量的二进制数据,例如音频流可以附加在消息中传送,这样附件传输直接又有效。
设备发现、安装、服务的一体化
DpwS和wS相关协议可以应用于各种设备,并实现设备发现、安装、服务的一体化。
首先,webService是网络应用通信的工业标准。制造商可以主要集中于给不同类别的设备设计不同的消息,而不是耗费大量资源来定义私有协议。
其次,DpwS内置安全机制(wS-Security),还有SSL和tLS可以加密传输信息。DpwS是建立在共同的internet标准之上,主要的标准有XmL、Soap、Http、tCp/ip。mtom允许使用Soap传输大量的二进制数据。DpwS通过使用XmL描述信息,设备可以跨平台和操作系统而通过网络连接,并且与开发语言无关。
再次,它可以实现设备的简易安装。运用DpwS和pnp-X,网络设备如同电脑的物理连接设备一般,自动发现并安装,自动获取ip地址。在基于ip的网络上DpwS设备可以提供其持有的服务信息,并使用webService实现这些功能。网络设备运用DpwS能通过网络发现其他设备的服务,并实现这些服务。
简述网络安全的定义篇2
关键词:电子政务;网络安全;风险;防范
1电子政务网络安全概述
1.1电子政务网络安全发展现状
随着因特网的迅猛发展,我国信息网络技术进入了日益月异的发展阶段,并得以广泛应用。但因特网具有高度的开放性以及自由性,为应用创造极大便利的同时也对其安全性提出了更为严格的要求。现如今,电子政务网络安全问题日益突出,甚至在一定程度上阻碍了我国电子政务建设事业的健康发展,通过何种方式来提升电子政务网络的安全性己然成为亟待解决的问题。
1.2做好电子政务网络安全风险防范工作的意义
对于整个信息网络而言,电子政务是其中一个比较特殊的应用领域,涉及海量的需要严格保护的信息,相较一般电子商务,其表现出下述特点:首先,信息内容保密等级高;其次,在一定程度上影响甚至决定了行政监督力度;最后,通过网络能够为公众提供高质量的公共服务。电子政务网络一旦遇到安全风险,有可能导致重要信息丢失甚至暴露,带来难以估量的损失,也正因如此,电子政务网络也是信息间谍的首要攻击目标之一。由此可见,政府部门重视和做好电子政务网络安全风险防范工作,对于本部门的高效运行具有相当积极的现实意义。
2电子政务网络安全风险分析
2.1物理层风险分析
对于电子政务网络而言,物理层安全是其整体安全的基础。物理层风险主要包括:地震、洪水以及火灾等导致网络瘫痪甚至毁灭;电源故障导致断电、操作系统异常;设备失窃、损毁导致数据丢失甚至泄露;报警系统存在漏洞等。
2.2数据链路层风险分析
入侵者可能会以传输线路为突破口,在上面设置窃听设备以达成窃取数据的目的,然后再借助相应技术解读数据,还可能会对数据进行一定的篡改。此类风险因素会给电子政务网络安全埋下严重隐患。
2.3网络层安全风险分析
对电子政务网络所囊括的各个节点而言,其他网络节点均属于外部节点,属于不可信任范畴,均可能导致安全威胁。风险可能源自内部。攻击者借助snifrer之类的嗅探程序来寻找安全漏洞,然后在此基础上对内网发起攻击。风险也可能源自外部,入侵者可能以公开服务器为跳板向内网发起攻击。
2.4系统层安全风险分析
系统层安全一般是指网络操作系统、计算机数据库、配套应用系统等方面的安全。现阶段的操作系统,其开发商一定会设置相应的BackDoor(后门),另外,系统本身也必然存在若干安全漏洞。无论是“后门”,还是安全漏洞,均会埋下极大的安全隐患。就具体应用而言,系统安全性在很大程度上取决于安全配置,若安全配置不到位,将会为入侵者提供极大便利。
2.5应用层安全风险分析
随着网络技术的迅速发展,电脑远程控制呈现出简单化的发展趋势,受此影响,病毒、黑客程序有机结合之后往往带来更为严重的危害,而病毒的入侵通常会导致用户重要数据的泄露。病毒能够经由多种途径(如网上下载、邮件发送以及人为投放等)入侵内部网络系统,所以,其危害是相当严重的。在整个网络系统中,即便只有1台主机“中毒”,也会在很短时间里使其他主机受到感染,进而埋下数据泄露等一系列不安全因素。
2.6管理层安全风险分析
在网络安全中,管理属于核心部位。安全管理体系不完善,未能明确界定权责,极可能导致管理安全风险。当网络受到内部或外部的相关安全威胁时,难以及时且合理地应对,同时也难以对入侵行为进行追踪,换而言之,网络可控性以及可审查性不理想。因而,重视和做好管理层的工作便成了当务之急。
3电子政务网络安全风险的防范
3.1物理层风险的防范
使用那些可提供验证授权等功能的产品,对内外网用户进行高效管理,从而避免入侵者在没有授权的情形下对网络内的重要或敏感数据进行窃取和篡改,又或者对服务提供点发动攻击,防止入侵者通过伪用户身份取得授权而导致严重的网络危害。可借助系列路由器、防火墙产品、计算机网络管理平台之间的有机配合,以实现对用户信息(用户名、登录密码、权限)的科学管理,并在此基础上优化服务策略。
3.2数据链路层风险的防范
对于政府网络应用而言,其不仅涉及大量的内部应用(oa系统、文件共享以及邮件接收等),同时还涉及大量的外部应用(和合作伙伴之间的沟通等)。为实现对远程用户的有效控制,保证内网资源的安全性,可公共网络中开辟出专用网络,从而使得相关数据可以经由安全系数较高的“加密通道”传播。由国家相关要求可知,政府网络可依托既有平台构建属于自己的内部网络,但一定要采用认证以及加密技术,从而确保数据传输拥有足够的安全性。对于单独的Vpn网关而言,其核心功能是以ipSec数据包为对象,执行加(解)密以及身份认证处理,若采用该部署方式,防火墙难以对Vpn数据予以有效的访问控制,继而带来诸多负面问题。所以,在防火墙安全网关上集成Vpn便成了现阶段安全产品的主流发展趋势之一,可以能提供一个集灵活性、高效性以及完整性等诸多优点于一身的安全方案。
3.3网络层安全风险的防范
在所有网络出口处设置防火墙能够实现对网络的有效隔离,将其划分为若干安全域,从而进行相应的访问控制。以防火墙为工具进行多网口结构设计,如此一来,能够为合法用户提供相关服务,与此同时,将非法用户的访问拒之门外。当防火墙配置了入侵检测这―功能时,便能够以自动检测的方式查找网络数据流中可能的、隐藏的入侵方式,并提醒管理员及时优化控制规则,最终为整个网络提供实时而有效的网络保护。
3.4系统层安全风险的防范
为实现对操作系统安全的有效保护,建议从下述两点着手:首先,使用具有自主知识产权且向政府提供源代码的那一类产品;其次,以系统为对象,通过漏洞扫描工具进行定期扫描,以便及时发现相关问题。
3.5应用层安全风险的防范
建议安装高性能的专业防火墙,要求具备下述功能:(1)外部攻击防范;(2)内网安全;(3)流量监控;(4)邮件过滤;(5)网页过滤;(6)应用层过滤等。引入和应用以aSpF为代表的应用状态检测技术,在验证连接状态是否正常的同时,也可实现对异常命令的有效检测。
3.6管理层安全风险的防范
对于网络安全而言,管理层安全是其核心所在。通过安全管理的有效实施可为各项安全技术的顺利实施提供有力保障,建议从两方面入手:首先,立足本地区以及本部门的实际情况,制定和实施针对性的安全管理规范,充分利用网络,发挥其在信息化建设工作中的重要作用,推动政府部门信息化建设工作的顺利、高效开展;其次,以可能发生的电子政务网络突发事件为对象,制定配套的应急预案,构建健全的应急机制,从而尽可能地消除突发网络事件所带来的负面影响,最终为电子政务网络的高效运行奠定坚实基础。
4电子政务网络安全体系建设案例
4.1某市电子政务现状分析
某市现辖三市(县级市)、五县、五区和一百多个基层政务单位。在政府信息化建设的大背景下,该市的市政府行政管理体制正积极向精简化、统一化以及高效化的方向不断发展。现阶段,各级政务单位均结合自身的具体情况构建起了不同形式的、规模大小不一的办公网络,然而在互联方面考虑不足,相互之间形成了所谓的“信息孤岛”,因而构建具有高度统一性质的电子政务外网平台,以保障网络资源的充分共享已然成为当务之急。值得一提的是,各级政务单位在构建自身网络的过程中没有进行统一规划,因而无论是在安全防护上,还是在安全管理上,均存在较明显的欠缺,所以,如何保障电子政务网络安全成了亟需解决的问题。下面将针对其整体解决方案予以进一步探讨。
4.2整体解决方案
为实现对该市电子政务外网平台的全面、有效保护,应遵循“全网部署、一体安全、简单为本”的原则,为其构建一个一体化的全面安全防护体系,从而最大程度地满足用户的实际需求。
4.2.1全网部署
在电子政务外网平台体系中,各级政务部门于广域网出口处设置了天清汉马USG一体化安全网关如图1所示,并将集中管理系统设置在了该市的市政府信息中心,能以整个网络体系为对象进行统一化管理。在统一化管理模式下,管理员通过面前的计算机便能够及时了解各级政务部位的网络状态,尤其是各类风险以及威胁,若察觉到局部突发性质的不安全事件,可马上对整个网络的安全策略进行相应调整,然后统一下发,消除网络威胁,减轻不利影响,从而构建一个具有在线监测和高效防护功能的一体化安全风险管理体系。
4.2.2一体安全
对于天清汉马USG一体化安全网关而言,其优点表现在两大方面,一个是高性能的硬件架构,另一个是一体化的软件设计,集若干项高效的安全技术(防火墙、Vpn以及入侵防御等)于一体,还推出了QoS、负载均衡以及日志审计等实用功能,可为网络边界提供及时而强大的安全防护。这便是“一体安全”的重要体现。除此之外,借助集中管理技术能够对系统中的多台计算机同时下发安全管理策略,如此一来,大幅简化了安全策略的具体实施过程。
4.2.3简单为本
面对电子政务日趋复杂的网络环境,通过何种途径来更加简单地进行安全防护成了整个方案亟需解决的问题之一。“简单”在某种程度上是安全的一种外在表现形式,同时技术层面的创新是达成“简单”目的的途径。天清汉马USG一体化安全网关在设计过程中便充分体现了这一理念,并在实践应用中取得了较理想的效果,集中反映在下述方面:(1)设备部署变得简单;(2)防御威胁变得简单;(3)策略实施变得简单;(4)管理维护变得简单。
简述网络安全的定义篇3
关键词:开源网管系统;地震监测网络;应用
地震监测网络的构建对国家地震监测事业的发展起到了非常重要的作用,为保证地震监测网络能够更好的发挥作用,工作人员以开源软件为前提,利用集成开发技术,构建了高效、可靠的网络监控系统,以便能够进行全网综合监控,这是传统软件无法达到的,现如今,我国地震监测网络中已经基本上都使用了开源软件,效果的确比较好。
1开源网管系统的主要功能要求
地震监测网络对开源网管系统的有着一定的要求,而这其中最重要的要求就是网络监控系统要具备一定的管理与维护功能。具体来说主要有如下几点:第一,对各种设备都能够进行有效的监控,这其中也包含着Snmp设备;第二,既能够进行设备监控,也能够进行应用服务监控;第三,可以显示出监控综合信息,让监控人员一目了然;第四,可以生成监控信息统计报告;第五,可以发送分级邮件,还可以通过短信故障进行报警;第六,可以将图形展示出来;第七,可以统计出数据流量,并且能够将具体数据展示出来;第八,满足于多级用户在线应用需求;第九,能够进行二次开发接口。网络监控系统构建期间,上述功能主要是通过运维监控来检测,比如对网络设备状态进行监控,对专业仪器进行监控等。
2nagios开源网管系统
2.1系统功能
开源网管系统机简单的说就是网络管理系统,而nagios可以称之为企业监控软件,该软件能够对主机、各类设备以及多种服务等进行监控,扩展功能十分突出。现阶段,nagios扩展插件已经超过了几千种。本文重点介绍的几个扩展插件及其功能如下:第一,nagios-plugins:其是nagios监控软件中的基础插件,主要用于检查,比如检查文件系统是否完全,内存使用的具体情况等。第二,nDoUtils:该插件主要负责将配置与监控信息全部都进入到数据库中,以此保证监控信息能够实现共享。nRpe:该插件属于扩展插件,主要存放在服务器中,负责监控远程服务器的具体运行状态,也可以将其称之为nagiosforUnix客户端。
2.2系统安装
首先,做好安装前的准备工作。nagios系统中需要安装服务器,至少2G内存,80G硬盘。而后设置操作系统,该系统使用SuseenterpriseServer10withSp2比较合适,该系统默认的语言是英语,但是可以输入简体中文。其次,平台与各个插件的安装。在安装插件以及平台时,安装人员需要依照官方文档以及手册来进行安装,安装时切记要依照相应的顺序,正常情况下,有关部门都会编写综合安装手册用来指导安装人员。安装结束后,工作人员可以登陆指定网址进入的相关页面中。
3nagios开源网管系统再地震监测网络中的应用
现阶段使用nagios开源网管系统并不具备自动发现功能,因此无论是配置相关内容,还是定义方面的工作都必须要手工完成操作,只有手工配置结束后,才可以应用。
3.1对象模板
nagios系统运用的是面向对象技术,通过定义存在者多种多样的对象模板,比较常见的有主机、服务模板等,这些模板都存在各类型的cfg文件中,对象模板的主要功能就是对对象共有参数进行定义。用户可以依据自己的需求设置对象模板。如果要想把所有的监控设备以及各类服务都添加到系统中,工作人员就一定要选择一个指定的对象模板。
3.2对象分组
简单的说就是对象定义时,工作人员需要进行操作,比较常见的有主机与服务分组,这样就可以进行明确的对象管理。正常情况下,工作人员都是按照部门、设备种类等来进行主机分组,而通常是按照服务类型来进行服务分组。
3.3对象命名
对象命名前要统一命名规则,我们采用如下方式:部门名称-设备类型-设备名称?此种命名规则可以清楚的区分各类设备,并便于二次开发?
3.4对象定义
在对象模板、分组信息和对象命名规则建立好后,开始定义对象信息。各类对象定义存放在/usr/local/nagios/etc/objects目录中。对象定义时建议按设备所属部门或类型分类建立相对独立的定义文件,并按照从上层对象向下层对象的顺序进行。
4二次开发故障信息短信报警
与监控系统相关的是故障报警系统,在nagios中,已经提供了界面报警。邮件报警和语音报警三个功能,通过一定的软件或插件,还可实现短消息的故障报警功能?短消息的故障报警是目前常用的远程故障通知方式,nagios可以通过联系人对象实现普通的短信告警通知,但这种方式与全网故障联动报警还有一定差距的,我们在工作中,基于nagios故障消息建立了一套故障分类系统,并将其与值班系统进行关联,实现了故障消息的全网联动,大大提高了全网ip类仪器设备的故障影响处理能力。
4.1值班系统概述
值班系统用于管理全网所有人员的值班情况,包括信息网络、各专业台网和台站所有参与业务管理工作的人员,在人员定义中,包括其所负责管理的ip地址段和设备名称关键字,以及值班时限?在地震局,信息中心负责所有的设备监控管理,蓟县地震台负责10.12.64.0-10.12.69.255内的设备管理,前兆台网负责10.12.40.0-10.12.43.255内的设备或设备名称中还有qztw关键字的设备管理。
4.2故障分类系统概述
nagios系统的notifications数据表中存放着记录到的故障。警告和恢复消息。故障分类系统就是在检测到新故障时根据对应的ip地址和仪器名称关键字来生成故障消息模板,之后再把模板与值班系统比对,找到负责此ip地址或仪器关键字并且在值班时限内的用户,他们即是此次故障信息的接收者?列出两个消息事件加以说明。22号信息,比对ip地址和名称关键字后,此信息只与信息中心匹配,消息产生时间与信息中心a人员的值班时限相关,因此生成的故障信息只发送给用户a、23号信息,比对ip地址和名称关键字后,匹配蓟县地震台和前兆台网两个部门,同时消息产生时间与B、D用户相关,因此系统将故障消息发送给B、D用户,这样就形成了前兆台网中心和蓟县地震台间的故障联动报警。
4.3短信发送系统概述
短信发送系统就是将短信数据库的消息按指定的方式进行发送,天津市地震局建立了基于五个GSmmodem的短信发送系统,系统实时检测短信数据库,对未发送的消息以抢占方式进行发送。在nagios的应用中,故障分类系统按格式要求将消息写到短信数据库中,并提升发送优先级,实现故障信息优先发送。
结束语
综上所述,可知开源网管系统在地震监测网络中的应用效果非常好,这一点都已经在我国地震监测网络中得到了证实。现如今,nagios开源网管系统在强震台网、前兆台网等得到了广泛应用,用户非常满意,成为日常监控中不可缺少的手段。
参考文献
[1]王洪波.地震监测资源环境有关问题的探讨[J].资源节约与环保,2014(6).
[2]我国最早的地震记载和地震监测[J].中国减灾,2005(5).
[3]张宇翔,罗词建.陕西地震监测台网在汶川地震监测中的应用[J].地震地磁观测与研究,2010(5).
简述网络安全的定义篇4
关键词:计算机系统;网络存储虚拟化模型;可信;实现
中图分类号:tp391.9
1网络存储虚拟化模型的概述
所谓的网络存储虚拟化模型,是指改变物理存储实体与存储逻辑之间相互关系的一种模式[1]。不仅能够将二者进行分离,同时还能够将不同存储设备进行有效的结合,以抽象层的形式将其放置在物理存储设备和访问设备之间的客户端中,这能够有效的降低存储的难度,将计算机的存储功能简化,同时还能够将各种不同存储设备的优势集中到一个整体之中,使抽象存储层具有更多的功能。
2网络存储虚拟化模型的构成
2.1计算机主机的存储虚拟化
计算机主机的存储虚拟化,是指在主机上安装能够实现虚拟化模式的特定软件,使主机能够具备提供与存储网络和存储资源之间相互分离的存储空间,并且这一存储空间是基于一个服务器范围之内的独立的组成部分。主机的存储虚拟化能够同一个单一的服务器来对多个磁盘进行浏览,并且需要逻辑卷管理软件来对主机虚拟化模型进行管理[2]。
2.2计算机存储设备的存储虚拟化
由于主机的虚拟化是建立在同一服务器对不同磁盘的浏览基础之上的,就促使计算机的存储设备应该实现多个不同的服务器对同一个磁盘的浏览。计算机存储设备的存储虚拟化是建立在列阵控制器的基础之上的,能够将一个磁盘的阵列容量划分为多个独立的存储空间,并且实现列阵的缓存、整合、数据恢复等功能[3]。
2.3计算机网络的存储虚拟化
计算机主机虚拟化和计算机存储设备的虚拟化都是通过“一对一”模式来进行存储的,应用的范围较小,这就提出了一种范围更加广泛的“多对多”存储方式,即将存储模式建立在多个服务器对多个磁盘空间的浏览基础之上。基于此,就产生了服务器和存储设备之间的虚拟化模式,即计算机网络的存储虚拟化。而计算机网络的存储虚拟化又可以分为带内虚拟化和带外虚拟化两种模式。带内虚拟模式是在服务器和存储设备二者之间的通道上建立起虚拟化的存储模式,这种模式存在一定的缺陷和不足,难以实现存储的最优化。这也是人们将存储的眼光放置在带外虚拟存储模式上的主要原因,并且在实现带外虚拟存储的同时还要求实现这一模型的可信性[4]。
3可信理论概述
所谓的可信理论,是指在保证硬件结构和操作系统二者的安全性前提之下,实现整个计算机信息系统的安全性,进而保证存储虚拟模型的安全性的一种理论技术。简单来说,可信技术就是指按照某种预期的目标和方式来完成的设备行为[5]。将可信技术综合而形成的平台被称之为可信平台。可信平台是实现信息和信息接收的主要途径,是由软件平台和硬件平台综合在一起,并且建立在可信模块tpm之上的,融合了安全系统和密码技术,被作为整个计算机信息存储系统的核心结构。
4基于可信计算的带外网络存储虚拟化模型的实现
4.1环境自识别模块
如图1所示,为环境自识别模块(eSR)结构图,从图中我们能够看出,环境自识别模块包括策略的定义和执行模块,以及扫描模块三部分。首先,扫描模块是用来为服务器中的通讯软件提供配合的,主要功能是将安全信息收集之后再将其传输给策略定义模块。其次,策略定义模块是指对扫描模块中传输过来的安全信息进行风险性定义的一个模块,其功能的实现主要是通过在策略定义模块中设置一个对风险进行评定的措施表,能够对安全信息的风险系数进行分析,并且做出应对风险的措施。第三,策略执行模块,简单说来就是指一种将扫描模块和策略定义模块中给出的任务进行执行的一种模块,并且通过对通路的控制将执行任务发送给存储设备和多个服务器[5]。
4.2环境自识别模块的设计
首先是准备阶段的设计,要将信息作为风险评估的目标来进行评价,并且是在一定的风险范围之内来进行评估,并且根据信息的不同来确定进行评估的方法,将可信性作为风险评价的标准和依据。随后进入到威胁识别的阶段,这是进行风险评估的重要阶段,整个服务器的安全与否,在很大程度上取决于这一阶段对威胁的识别。威胁识别能够对已经存在的和可能出现的威胁进行评价和分析,确定危险的系数,不仅能够找到危险的来源、确定危险的属性,同时还能够对威胁出现的频率进行复制。最后是风险计算的环节,通过环境自识别模块中的风险解决措施表中的应对措施对风险值进行计算,将风险的等级进行详细的划分[6]。
4.3对虚拟化控制器启动的设计
达到存储虚拟化网络的可信性的目的,建立可信根是基本,因为可信根是作为整个存储虚拟化模型的可信性的基础的,通常选取tpm来作为可信根,并且在开机时就能够实现对可信根的建立,这就凸显出开机启动在建立可信存储虚拟化模型中的重要性。在启动时,程序首先要进行上电的自检,之后再执行程序,完成这一系列工作之后,就能够建立起服务器和存储系统之间的通讯通道,这时,基于可信计算的带外网络存储虚拟化模型已初步实现。接下来的可信工作,主要是通过tpm芯片来完成。
5总结
通过上文的阐述,我们能够总结出,计算机存储的虚拟化技术中将以实现带外网络存储虚拟化模型的可信性为主要的发展趋势,这不仅是因为带外网络存储虚拟化模型具有更好的系统性能,同时也是得益于其良好的扩展性能。实现带外网络存储虚拟化模型的可信性,将会给带外网络存储虚拟化模型带来更加广阔的发展空间和发展前景,给计算机用户带来更完善的服务。
参考文献:
[1]赵迪,孙海龙,郑礼全.基于网络存储虚拟化技术的海量GiS数据存储方法研究[J].国土资源信息化,2008,11(23):308-31.
[2]孟晓,那文武,朱旭东.一种采用外带虚拟化技术的网络存储系统[J].小型微型计算机系统,2009,11(15):45-56.
[3]那文武,孟晓,柯剑.Bw-VSDS:大容量、可扩展、高性能和高可靠性的网络虚拟存储系统[C].第十五届全国信息存储技术学会会议论文集,2008.
[4]刘朝斌.虚拟网络存储系统关键技术研究极其心能评价[J].华中科技大学,2011,11(15):69-78.
[5]林伟兵.智能网络存储系统(inSS)存储虚拟化技术研究[J].华南理工大学,2011,5(01):88-96.
[6]彭维平.基于可信平台的数据泄漏防护关键技术研究[J].北京邮电大学,2012,11(09):103-110.
简述网络安全的定义篇5
【关键词】计算机;网络安全;虚拟网络技术特点;应用
随着计算机网络技术不断发展进步,其应用已经逐渐渗透到企业运作以及个人的日常生活中,并且数据安全通信方面的要求也越来越严格。在这一背景下,虚拟网络技术应运而生,网络节点之间无需传统上的物理链路,从而显著降低成本以及设备等方面的要求,还可以确保网络运行的稳定性和数据传递的安全性。
1虚拟网络技术概述
虚拟网络技术是一种专用网络技术,可以在公开数据环境当中创建数据网络。广大用户能够在计算机网络当中找到特定局域网完成各方面的虚拟活动,即便在不同地点也可以使用相同的虚拟网络,显著改善网络数据传输过程当中的安全性。因此虚拟网络技术有着比较突出的应用价值,在计算机网络安全当中的应用潜力巨大。虚拟网络技术特点主要体现在以下几个方面。第一,采用方式比较多。因为虚拟网络技术能够通过多种不同的方式的来改善计算机网络安全性,企业财务管理、高等院校图书馆管理以及政府单位信息通路等都可以从中获益。第二,简化能力比较强。因为虚拟网络技术有着简化能力强的特点,同传统的模式比较而言,显著减少资金方面的投入量以及专用线路铺设的问题,并且也能够最大限度避免搭建专用线路。第三,设备要求低并且扩容性好。虚拟网络技术对于设备的要求比较,扩容性也良好,这样一来能够大大减少学校以及企业等使用该技术所需要投入的成本。
2计算机网络安全中虚拟网络技术的应用
2.1mpLS虚拟网络技术的应用
在计算机网络安全当中mpLS虚拟网络计算机网络安全中虚拟网络技术的应用研究文/罗慧兰近些年计算机网络技术飞速发展,已经广泛应用在人们的学习、生活以及工作过程当中,计算机的网络安全问题也受到人们的高度重视。本文简要介绍虚拟网络技术的定义及其特点,并在此基础上重点论述计算机网络安全中虚拟网络技术的具体应用。摘要是构建在mpLS技术上的ip专用网络,基础是ip宽带网络,这一技术能够有效实现语音、数据还有图像的高速跨地区通讯,业务安全性以及可靠性都比较理想,同时该技术是构建在差别服务还有流量工程的基础之上。除此之外,在扩展公众网络以及提高网络可靠性方面该技术也有着比较显著的应用优势,可以明显改善专用网络性能,并且使得专用网络更为灵活高效以及安全可靠,最大限度为用户提供优质网络服务。mpLS技术的应用需要通过三个步骤加以实现。首先要建立分层服务提供商,在pe路由器之间使用CR-LDp来建立起LSp,通常条件下LSp的包含业务数量比较多,主要包括各种对立关系的Vpn,这两步对网络运营商至关重要的原因就是能够提供mpLS。其次是要在pe路由器上实现虚拟专用网络信息。边缘设备以及pe路由器的价值在于能够为服务商骨干网络提供路由器支持,这一步骤的核心是在对虚拟专用网络当中的数据传输加以控制,也是实现二层虚拟网络的关键步骤。最后是完成虚拟专用网络的数据传输。pei数据传输的形式主要是DLCi.33。在pel位置上找到相对应的VFt,在删除数据帧之后压入LSp标记以及虚拟专用网络标记,然后根据虚拟专用网络标记过的数据,搜寻对应VFt表之后传输到Ce3。
2.2ipSec虚拟网络技术的应用
ipSec协议当中使用最广泛的就是虚拟网络技术,一方面为计算机提供ip地址,另一方面可以保证计算机网络的安全性,这也是ipSec协议最关键的价值。除此之外,组成虚拟专用网络的部分还包括eSp协议,这一协议使用的范围比较宽泛,提供完整数据的同时还能够在同一时间段进行抗重放攻击还要做好数据保密工作,eSp协议加密算法当中比较常用的主要有aeS还有3DeS等,分析数据的并且识别数据的完整性识别主要借助于mD5算法。第一种是从网关到网关,例如在一个企业当中各个部门或各个子公司使用的互联网分布在不同的位置,而且每个网络当中都使用独立的网关互相之间建立Vpn通道,内部网络之间数据则借助于这些网关所搭建的ipSec通道来实现企业不同地方网络的安全连接。另一种是pC到网关,主要指的是两个不同的pC之间通信是由网关以及异地pC的ipSee加以保护。其中ip头地址保持不变,主要用在各种端到端场景当中。
2.3企业信息安全当中虚拟网络技术的应用
现代的企事业单位使用常规计算机信息管理方式已经难以满足安全办公的要求,尤其是在信息管理领域。信息管理的精细化管理要求冲破传统上存在的空间限制,在各个独立部门信息管理系统之间实现有效的连接,从而实现单位不同部门信息管理之间的同步性。企事业单位的信息管理过程当中借助于应用虚拟网络技术,可以比较理想地避免传统空间约束导致的信息通路问题,并且通过应用虚拟网络技术能够有效安全实现信息管理。现代化的电子信息技术日益发展条件下,企事业单位的核心信息资料从传统空间限制逐渐转变为电子资源,同事电子资源的日益完备也使得信息管理出现根本性的转变。现代化企事业单位的电子信息资料主要是使用信息通路当作传输载体,并且使用专线来提供安全保证,借助于虚拟网络控制来实现信息资料的加密与管理,最终实现保护资料以及信息安全的目的。借助于架设专用虚拟网络,可以确保企事业单位的关键资料与信息在安全环境下完成传输,最大限度防止信息传递过程当中的泄露而带来的损失。
3结语
综上所述,计算机网络安全当中应用虚拟网络技术有重要价值,在网络信息的管理领域有着不可替代的重要作用。一些新兴产业的发展对虚拟网络技术应用提出更高的要求,因此需要结合已有的网络信息技术加以深入研究分析,从而持续改进计算机网络可靠性与安全性,为个人以及企业提供稳定的网络环境以及信息化服务。
参考文献
[1]王永刚.虚拟专用网络技术在计算机网络信息安全中的应用[J].电子测试,2015,12(09):73-74.
[2]闫应生.网络技术在消防信息化建设中的应用[J].企业技术开发,2015,15(11):105-106.
[3]赵建军.计算机虚拟技术在计算机教学中的应用探析[J].电子技术与软件工程,2015,1l(10):187-188.
简述网络安全的定义篇6
【关键词】网络安全;入侵检测
0.引言
随着计算机技术、通信技术和信息技术的飞速发展,各种各样的网络应用已经越来越广泛地渗透到人类地生活、工作的各个领域。特别是通过internet,人们可以极为方便地产生、发送、获取和利用信息。internet在给人们带来巨大便利的同时,也产生了许多意想不到的问题,网络安全就是其中一个突出的问题。造成internet不安全的原因,一方面是internet本身设计的不安全以及操作系统、应用软件等存在着安全漏洞;另一方面是由于网络安全的发展落后于网络攻击的发展。目前网络中应用最广、功能最强大的安全工具莫过于防火墙,但是防火墙的安全功能是有限的,它很难防止伪造ip攻击。因此,发展一种新的网络安全防御手段来加强网络安全性便成了亟待解决的问题。入侵检测是帮助系统对付网络内部攻击和外部攻击的一种解决方案。入侵检测技术是当今一种非常重要的动态安全技术,它与静态防火墙技术等共同使用,可以大大提高系统的安全防护水平。
1.入侵检测的概念及功能
入侵就是指任何试图危及信息资源的机密性、完整性和可用性的行为。而入侵检测就是对入侵行为的发觉,它通过从计算机网络或系统中的若干关键点收集信息,并对这些信息进行分析,从而发现网络系统中是否有违反安全策略的行为和遭到攻击的迹象。通常入侵检测系统(intrusionDetectionSystem,iDS)是由软件和硬件组成的。入侵检测是防火墙的合理补充,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。另外,它也扩展了系统管理员的安全管理能力,有助于提高信息安全基础结构的完整性,是对原有安全系统的一个重要补充。入侵检测系统收集计算机系统和网络的
信息,并对这些信息加以分析,对被保护的系统进行安全审计、监控、攻击识别并做出实时的反应。
入侵检测的主要功能包括:(1)监视、分析用户及系统活动;(2)系统构造和弱点的审计;(3)映已知进攻的活动模式并进行相关人士报警;(4)模式的统计分析;(5)要系统和数据文件的完整性;(6)的审计跟踪管理,并识别用户违反安全策略的行为。
2.入侵检测的信息来源
对于入侵检测系统而言,输入数据的选择是首先需要解决的问题,目前的入侵检测系统的数据来源主要包括:(1)操作系统的审计记录;(2)系统日志;(3)应用程序日志;(4)基于网络数据的信息源;(4)来自其他安全产品的数据源。
3.入侵检测系统的基本模型
在入侵检测系统的发展过程中,大致经历了集中式、层次式和集成式三个阶段,代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型(Denning模型)、层次化入侵检测模型(iDm)和管理式入侵检测模型(Snmp-iDSm)。
3.1通用入侵检测模型
Denning于1987年最早提出一个通用的入侵检测模型(如图2.1所示)。
该模型由6个部分组成:(1)主体(Subject);(2)对象(object);(3)审计记录(auditRecords);(4)活动简档(activityprofile);(5)异常记录(anomalyRecord);(6)活动规则。
3.2iDm模型
StevenSnapp在设计和开发分布式入侵检测系统DiDS时,提出一个层次化的入侵检测模型,简称iDm。该模型将入侵检测分为六个层次,分别为:数据(data)、事件(event)、主体(subject)、上下文(context)、威胁(threat)、安全状态(securitystate)。
iDm模型给出了在推断网络中的计算机受攻击时数据的抽象过程。也就是说,它给出了将分散的原始数据转换为高层次有关入侵和被监测环境的全部安全假设过程。通过把收集到的分散数据进行加工抽象和数据关联操作,iDm构造了一台虚拟的机器环境,这台机器由所有相连的主机和网络组成。将分布式系统看成一台虚拟计算机的观点简化了跨越单机入侵行为的识别。iDm也应用于只有单台计算机的小型网络。
3.3Snmp-iDSm模型
随着网络技术的飞速发展,网络攻击手段也越来越复杂,攻击者大都是通过合作的方式来攻击某个目标系统,而单独的iDS难以发现这种类型的入侵行为。然而,如果iDS系统也能够像攻击者那样合作,就有可能检测到入侵者。这样就要有一种公共的语言和统一的数据表达格式,能够让iDS系统之间顺利交换信息,从而实现分布式协同检测。北卡罗莱那州立大学的Felixwu等人从网络管理的角度考虑iDS模型,突出了基于Snmp的iDS模型,简称Snmp-iDSm.。
Snmp-iDSm以Snmp为公共语言来实现iDS系统之间的消息交换和协同检测,它定义了iDS-miB,使得原始事件和抽象事件之间关系明确,并且易于扩展。Snmp-iDSm定义了用来描述入侵事件的管理信息库miB,并将入侵事件分析为原始事件(Rawevent)和抽象事件(abstractevent)两层结构。原始事件指的是引起安全状态迁移的事件或者是表示单个变量迁移的事件,而抽象事件是指分析原始事件所产生的事件。原始事件和抽象事件的信息都用四元组来描述。
4.入侵检测的分类和分析方法
4.1入侵检测的分类
通过对现有的入侵检测系统和技术研究,可对入侵检测系统进行如下分类:
根据目标系统的类型可以将入侵检测系统分为两类:
(1)基于主机(Host-Based)的iDS。通常,基于主机的入侵检测系统可以监测系统事件和操作系统下的安全记录以及系统记录。当有文件发生变化时,入侵检测系统就将新的记录条目与攻击标记相比较,看它们是否匹配。
(2)基于网络(network-Based)的iDS。该系统使用原始网络数据包作为数据源,利用一个运行在混杂模式下的网络适配器来实时监测并分析通过网络的所有通信业务。
根据入侵检测系统分析的数据来源,数据源可以是主机系统日志、网络数据包、应用程序的日志、防火墙报警日志以及其他入侵检测系统的报警信息等,可以将入侵检测系统分为基于不同分析数据源的入侵检测系统。
根据入侵检测方法可以将入侵检测系统分为两类:
(1)异常iDS。该类系统利用被监控系统正常行为的信息作为检测系统中入侵、异常活动的依据。
(2)误用iDS。误用入侵检测系统根据已知入侵攻击的信息(知识、模式)来检测系统的入侵和攻击。
根据检测系统对入侵攻击的响应方式,可以将入侵检测系统分为两类:
(1)主动的入侵检测系统。它在检测出入侵后,可自动的对目标系统中的漏洞采取修补、强制可疑用户(可能的入侵者)退出系统以及关闭相关服务等对策和响应措施。
(2)被动的入侵检测系统。它在检测出对系统的入侵攻击后只是产生报警信息通知系统安全管理员,至于之后的处理工作则有系统管理员完成。
根据系统各个模块运行的分步方式,可以将入侵检测系统分为两类:
(1)集中式入侵检测系统。系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行,这种方式适用于网络环境比较简单的情况。
(2)分布式入侵检测系统。系统的各个模块分布在网络中不同的计算机、设备上,一般而言,分布性主要体现在数据收集模块上,如果网络环境比较复杂、数据量比较大,那么数据分析模块也会分布,一般是按照层次性的原则进行组织。
当前众多的入侵检测系统和技术,基本上是根据检测方法、目标系统、信息数据源来设计的。
4.2入侵检测的分析方法
从入侵检测的角度来说,分析是指对用户和系统活动数据进行有效的组织、整理及特征提取,以鉴别出感兴趣的攻击。这种行为的鉴别可以实时进行,也可以事后分析,在很多情况下,事后的进一步分析是为了寻找行为的责任人。入侵检测的方法主要由误用检测和异常检测组成。
误用检测对于系统事件提出的问题是:这个活动是恶意的吗?误用检测涉及到对入侵指示器已知的具体行为的解码信息,然后为这些指示器过滤事件数据。要想执行误用检测,需要有一个对误用行为构成的良好理解,有一个可靠的用户活动记录,有一个可靠的分析活动事件的方法。
异常检测需要建立正常用户行为特征轮廓,然后将实际用户行为和这些特征轮廓相比较,并标示正常的偏离。异常检测的基础是异常行为模式系统误用。轮廓定义成度量集合。度量衡量用户特定方面的行为。每一个度量与一个阈值相联系。异常检测依靠一个假定:用户表现为可预测的、一致的系统使用模式。
有些入侵检测方法既不是误用检测也不属异常检测的范围。这些方案可应用于上述两类检测。它们可以驱动或精简这两种检测形式的先行活动,或以不同于传统的影响检测策略方式。这类方案包括免疫系统方法、遗传算法、基于检测以及数据挖掘技术。
5.入侵检测系统的局限性与发展趋势
5.1入侵检测系统的局限性
现有的iDS系统多采用单一体系结构,所有的工作包括数据的采集、分析都由单一主机上的单一程序来完成。而一些分布式的iDS只是在数据采集上实现了分布式,数据的分析、入侵的发现还是由单一个程序完成。这样的结构造成了如下的缺点:
(1)可扩展性较差。单一主机检测限制了监测的主机数和网络规模,入侵检测的实时性要求高,数据过多将会导致其过载,从而出现丢失网络数据包的问题。
(2)单点失效。当iDS系统自身受到攻击或某些原因不能正常工作时,保护功能会丧失。
(3)系统缺乏灵活性和可配置性。如果系统需要加入新的模块和功能时,必须修改和重新安装整个系统。
5.2入侵检测的发展趋势
入侵检测的发展趋势主要主要表现在:(1)大规模网络的问题;(2)网络结构的变化;(3)网络复杂化的思考;(4)高速网络的挑战;(5)无线网络的进步;(6)分布式计算;(7)入侵复杂化;(8)多种分析方法并存的局面。
对于入网络侵检测系统,分析方法是系统的核心。多种分析方法综合运用才是可行之道,将各种分析方法有机结合起来,构建出高性能的入侵检测系统是一个值得研究的问题,我们需要不断的研究去完善它。
参考文献:
[1]张宏.网络安全基础(第一版)[m].北京:机械工业出版社,2004.
[2]石志国,薛为民,江俐.计算机网络安全教程[m].北京:清华大学出版社,2004年.
[3]唐正军.网路入侵检测系统的设计与实现(第一版)[m]北京:电子工业出版社,2002.
[4]郭魏,吴承荣.[J]入侵检测方法概述.《计算机工程》,1999年第11期.
[5]泰和信科.内网安全管理[m].重庆:泰和信科,2003年.
[6]薛静锋,宁宇朋等.入侵检测技术(第一版)[m].北京:机械工业出版社,2004.
[7]叶中行.信息论基础(第一版)[m].北京:高等教育出版社,2003.
[8]杜虹.谈谈“内网”安全.[J].《信息安全与通信保密》,2005年第2期.
简述网络安全的定义篇7
关键词语义网;XmL;RDF;ontology
中图分类号tp39文献标识码a文章编号1674-6708(2012)58-0181-02
1语义网的简介
从web诞生经历发展至今,web上网页数量呈指数飞速增长。据2008年7月Google的官方Blog给出的数据:Google数据显示web上存在1t(1000000000000)个不同的URL。而1998年Google索引了260000000个网页。到2000年,Google索引了10亿以上网页[1]。虽然web上承载着海量的数据,但实际上只是一种面向人的存储和共享信息的媒介。为了使计算机能够理解和处理网页内容,迅速准确地从海量网页中查找出所需要的内容,1998年Berners-Lee提出了语义网(Semanticweb)[2]。简单地说,语义网是以数据的内容,即数据的语义为核心,用计算机能够理解和处理的方式链接起来的海量分布式数据库[3]。
2语义网的体系结构
语义网的体系结构共分7层,各层之间相互联系,通过自下而上的逐层拓展形成了一个功能逐渐增强的体系。它不仅展示了语义网的基本框架,而且以现有的web为基础,通过逐层的功能扩展,为实现语义网构想提供了基本的思路与方法[4-7]。自下而上分别为:
1)编码定位层(Unicode+URi)
Unicode是一个字符集,能够涵盖各种语言和文字的信息资源,为语义网提供统一的字符编码格式。另外,在网络上的大部分信息是对web上的资源的描述,为了明确地标识这些资源,语义网采用统一资源标识符,即URi(UniformResourceidentifier)用于标识、定位网络上的资源。在语义网的体系结构中,编码定位层(Unicode+URi)处于最底层,是整个语义网的基石。
2)XmL结构层(XmL+nS+XmLSchema)
针对HtmL语言的缺点,XmL(eXtensiblemarkupLanguage)语言允许用户根据需要制定能够反映数据内容的标签,并使用XmLSchema来约束这些标签的使用。准确地说,XmLSchema是XmL的一种应用,它本身采用XmL语法,所以XmL是一种元标记语言,即定义标记语言的语言。
nS(nameSpace)即命名空间,由URi索引确定,目的是为了简化URi的书写。
正是由于XmL灵活的结构性、由URi索引的命名空间而带来的数据可确定性以及由XmLSchema所提供的多种数据类型及检验机制,才使得XmL结构层(XmL+nS+XmLSchema)成为语义网体系结构的重要组成部分。该层主要负责从语法上表示数据的内容和结构,通过使用标准的置标语言将网络信息的表现形式、数据结构和信息内容相分离。但XmL只能表达数据的语法,而不能表达机器可理解的形式化的语义,为此语义网引入了RDF。
3)资源描述层(RDF+RDFSchema)
RDF(ResourceDescriptionFramework),即资源描述框架,它是开放的无数据框架,定义了一种描述计算机可理解的数据语义的数据模型。RDF用主体(subject)、谓词(predicate)和客体(object)所描述的三元组来描述资源的元数据。RDF定义了一套用来描述资源类型及其之间相互的词汇集,称为RDFSchema(RDFS)。RDF(S)是语义网数据表达的核心规范,而且由于它的灵活性,在许多领域成为表达元数据的基本方法,因此成为知识表达的通用形式。
4)本体层(ontologyvocabulary)
在语义网范畴内,本体是关于领域知识的概念化、形式化的明确规范。与资源描述层相比,本体提供了对领域知识的共同理解和描述,具有更强的表达能力,支持可保证计算完整性和可判定性的逻辑推理。从整个语义网体系结构来看,本体层起着关键的作用。它不仅弥补了资源描述层的不足,而且其概念模型也是逻辑层(Logic)以上各层发挥作用的基础,因为只有在对领域知识形成一致性描述的基础上才能进行相应的规则描述、推理和验证。
5)逻辑层(Logic)、验证层(proof)、信任层(trust)
在语义网体系结构中,本体层以上的各层统称为规则层。规则层中各层的具体含义是不同的。逻辑层(Logic)主要描述推理规则,因为它是对用户任务进行分解、定位、协调、验证乃至最后建立信任关系的基础。验证层(proof)是根据逻辑陈述进行验证,以得出结论。信任层(trust)位于体系结构的最顶层,同时也处在规则层的最上层。通过“验证”建立信任关系,保证语义网的可靠性。
3面临的挑战
语义网的实现面临着一系列严峻的挑战,主要包括:
1)数据问题
这一挑战主要来自3个方面,其一就是如何在www上表达带有明确语义信息的内容;其二就是如何将现有的web页面转换为带有明确语义信息的页面。特别是对于后者而言,其面临的挑战更加严峻。目前互联网上已经存在数以十亿计的网页,而且仍在承几何级数增长,因此如何对这些已经存在的网页信息增加语义信息就变得更加棘手。第三就是对语义内容的组织、存储和检索,其方式、方法和手段必须能够满足语义内容不断增长的需要。
2)智能问题
语义网面临的另一个重要的技术难题是如何能够让计算机进行“思考”和“推断”,这涉及本体、逻辑和规则等若干方面。
3)安全问题
安全一直以来都是网络所必须面对和解决的一个很重要的问题。语义网在安全方面所面临的挑战同样严峻。语义网的安全问题主要包括数据、规则和操作的真实性、完整性、可靠性,为此必须提供相应的安全防护机制。
作为对现有万维网升级的产物――语义网,虽然面临着诸多亟待解决的问题,但以其独特的设计理念,必将成为未来网络的主流,拥有一片广阔的应用前景。
参考文献
[1]officialGoogleBlog.weknewthewebwasbig[eB/oL].[2009-03-20]..
[2]Berners-Leet,HendlerJ,Lassilao.thesemanticweb:anewformofwebcontentthatismeaningfultocomputerswillunleasharevolutionofnewpossibilities.Scientificamerican,2001.
[3]金海,袁平鹏.语义网数据管理技术及应用[m].北京:科学出版社,2010,2:2.
[4]Signoreo.Representingknowledgeinthesemanticweb.openCulture:accessingandSharingKnowledge,2005.
[5]BrattS.Semanticweb,andothertechnologiestowatch[eB/oL].[2009-03-20].
简述网络安全的定义篇8
【关键词】计算机;网络;构成
0前言
国际互联网(internet),又称因特网,始建立于1969年的美国,目前已经联接着超过160个国家和地区,四万多个子网,五百多万台电脑主机,是世界上信息资源最丰富的电脑公共网络。
它具有快捷性、普及性,促进了人类社会的进步,丰富人类的精神世界和物质世界,是现今最流行、最受欢迎的传媒之一。
1网络简介
互联网是由一些使用公用语言互相通信的计算机连接而成的网络,即广域网、局域网及单机按照一定的通讯协议组成的国际计算机网络。
一个完整的网络需要四个要素组成:通信线路、通信设备、有独立功能的计算机、网络软件及实现数据通信与资源共享,这四个要素缺一不可。
2计算机网络分类
在计算机网络中,可按不同的标准进行分类。一般可按网络节点分布、网络拓扑结构及按交换方式来分类。
2.1按网络结点分布
计算机网络按网络结点分布可分为:局域网(Localareanetwork,Lan)、广域网(wideareanetwork,wan)和城域网(metropolitanareanetwork,man)。
局域网(Lan)是一种在小范围内实现的计算机网络,作用范围一般为几米到几十公里以内,结构简单,布线相对容易。一般在一个建筑物内,或一个工厂、一个事业单位内部,为单位独有。
城域网(man)是在一个城市内部组建的计算机信息网络,提供全市的信息服务。作用范围界于wan与Lan之间目前。
广域网(wan)范围很广,信道传输速率较低,一般小于0.1mbps,结构比较复杂,作用范围一般为几十到几千公里。可以分布在一个省内、一个国家或几个国家。
2.2按拓扑结构分类
计算机网络按拓扑结构分类可分为:总线型、环型、星型、网状。
总线型拓扑结构是指采用单根传输线作为总线,所有工作站都共用一条总线。
环型网络拓扑结构主要应用于采用同轴电缆(也可以是光纤)作为传输介质的令牌网中,是由连接成封闭回路的网络节点组成的。
星型拓扑结构是用一个节点作为中心节点,其他节点直接与中心节点相连构成的网络。
网状网是一种新型的无线网络架构,它的核心指导思想是让网络中的每个节点都可以发送和接收信号。
2.3按交换方式
计算机网络可分为线路交换网络(CircurtSwitching)、报文交换网络(messageSwitching)和分组交换网络(packetSwitching)。
线路交换网络是早期的计算机网络就是采用此方式来传输数据的,数字信号经过变换成为模拟信号后才能在线路上传输。
报文交换网络是一种数字化网络。通信时,源机发出的一个报文被存储在交换器里,交换器根据报文的目的地址选择合适的路径发送报文,这种方式称做存储-转发方式。
分组交换网络也采用报文传输,它是将一个长的报文划分为许多定长的报文分组,以分组作为传输的基本单位。这不仅简化了对计算机存储器的管理,而且也加速了信息在网络中的传播速度。
由于分组交换优于线路交换和报文交换,具有许多优点,因此它已成为计算机网络的主流。
3网络的拓扑结构
网络拓扑结构是指用传输媒体互连各种设备的物理布局,就是用一定方式把网络中的计算机设备连接起来。
构成网络的拓扑结构有很多种,拓扑图给出网络服务器、工作站的网络配置和相互间的连接,它的结构主要有星型结构、环型结构、总线结构、分布式结构、树型结构、网状结构、蜂窝状结构等。
3.1星型
星型结构是指各工作站以星型方式连接成网。
网络有中央节点,其他节点(工作站、服务器)都与中央节点直接相连,这种结构以中央节点为中心,因此又称为集中式网络。
星型拓扑结构便于集中控制,易于维护和安全等优点,端用户设备因为故障而停机时也不会影响其它端用户间的通信。星型拓扑结构的网络延迟时间较小,传输误差较低。
缺点是中心系统必须具有极高的可靠性,为提高系统的可靠性,对中心系统通常采用双机热备份。
3.2环型
环型结构在小型局域网中使用较多。
环型网络拓扑结构主要应用于采用同轴电缆作为传输介质的令牌网中,是由连接成封闭回路的网络节点组成的。
数据在环路中沿着一个方向在各个节点间传输,信息从一个节点传到另一个节点。这种结构消除了端用户通信时对中心系统的依赖性。
优点:点到点的链路,总以单向方式操作;信息流在网中是沿着固定方向流动,简化了路径选择的控制;环路上各节点都是自举控制,控制软件简单。
缺点:信息源在环路中串行地穿过各个节点,当环中节点过多时,影响信息传输速率,使网络的响应时间延长;环路是封闭的,不便于扩充;可靠性低,一个节点故障,将会造成全网瘫痪;维护难,对分支节点故障定位较难。
3.3总线型
总线结构是使用同一媒体或电缆连接所有端用户的一种方式,也就是说,连接端用户的物理媒体由所有设备共享,各工作站地位平等,无中央节点控制,公用总线上的信息多以基带形式串行传递,其传递方向总是从发送信息的节点开始向两端扩散,如同广播电台发射的信息一样,因此又称广播式计算机网络。各节点在接受信息时都进行地址检查,看是否与自己的工作站地址相符,相符则接收网上的信息。
这种结构具有费用低、数据端用户入网灵活、站点或某个端用户失效不影响其它站点或端用户通信的优点。缺点是一次仅能一个端用户发送数据,其它端用户必须等待到获得发送权;媒体访问获取机制较复杂;维护难,分支节点故障查找难。尽管有上述一些缺点,但由于布线要求简单,扩充容易,端用户失效、增删不影响全网工作,所以是局域网技术中使用最普遍的一种。
3.4分布式
分布式结构的网络是将分布在不同地点的计算机通过线路互连起来的一种网络形式。
分布式结构的网络具有如下特点:由于采用分散控制,即使整个网络中的某个局部出现故障,也不会影响全网的操作,因而具有很高的可靠性;网中的路径选择最短路径算法,故网上延迟时间少,传输速率高,但控制复杂;各个节点间均可以直接建立数据链路,信息流程最短;便于全网范围内的资源共享。
缺点为连接线路用电缆长,造价高;网络管理软件复杂;报文分组交换、路径选择、流向控制复杂;在一般局域网中不采用这种结构。
3.4网状
网状拓扑结构主要指各节点通过传输线互联连接起来,并且每一个节点至少与其他两个节点相连。网状拓扑结构具有较高的可靠性,但其结构复杂,实现起来费用较高,不易管理和维护,不常用于局域网!
3.5蜂窝
蜂窝拓扑结构是无线局域网中常用的结构。它以无线传输介质(微波、卫星、红外等)点到点和多点传输为特征,适用于城市网、校园网、企业网。
4网络硬件
目前在计算机网络中应用较为普遍的网络硬件有:计算机网卡、集线器(Hub)、路由器(Router)、交换机、专用数据传送设备。其中我们把计算机网卡、集线器(HUB)、路由器(Router)、交换机称为计算机网络的主要设备。
4.1计算机网卡及其分类
计算机网卡是局域网中连接计算机和传输介质的接口。
计算机网卡分类:网络接口(细缆口、粗缆口、双绞线口、光缆口)、带宽(10兆网卡、100兆网卡、10/100自适应网卡、千兆网卡)、主板接口(iSa接口网卡、pCi接口网卡.eiSa接口网卡、mCa接口网卡)。
4.2集线器及其分类
集线器是局域网中的基础设备,集线器的主要功能是对接收到的信号进行再生整形放大,以扩大网络的传输距离,同时把所有节点集中在以它为中心的节点上。
集线器(Hub)分类:接口的数量(4口、8口、12口、24口、36口、48口等)、带宽(10兆、100兆、10/100自适应型、10/100兆混合型、1000兆)、是否智能型)。
4.3路由器
路由器是一个能把多个异种子网互联起来,形成一个综合性的通讯网络的一种网络设备。同时它还能对数据传送时进行最佳寻径、流量管理、数据过滤、负荷分流、负载均衡和冗余容错等;高挡的路由器还具有数据压缩、传送优先、数据加密等功能。提供诸如局域网互连、广域网接口等多种服务。
4.4交换机
交换机是一种存储转发设备,它是基于oSi参考模型的数据链路层操作的技术,是根据其发送帧中的终点maC地址进行信息帧转发的。
5网络软件
5.1网络软件简介
网络软件是计算机网络环境中,用于支持数据通信和各种网络活动的软件。
每个计算机网络都制订一套全网共同遵守的网络协议,并要求网中每个主机系统配置相应的协议软件,以确保网中不同系统之间能够可靠、有效地相互通信和合作。
5.2网络软件分类
网络软件包括通信支撑平台软件、网络服务支撑平台软件、网络应用支撑平台软件、网络应用系统、网络管理系统以及用于特殊网络站点的软件等。
通信软件和各层网络协议软件是这些网络软件的基础和主体。
5.2.1通信软件
通讯软件用以监督和控制通信工作的软件。它除了作为计算机网络软件的基础组成部分外,还可用作计算机与自带终端或附属计算机之间实现通信的软件。
通信软件通常由线路缓冲区管理程序、线路控制程序以及报文管理程序组成。报文管理程序通常由接收、发送、收发记录、差错控制、开始和终了5个部分组成。
5.2.2协议软件
网络软件的重要组成部分,按网络所采用的协议层次模型组织而成。
除物理层外,其余各层协议大都由软件实现。每层协议软件通常由一个或多个进程组成,其主要任务是完成相应层协议所规定的功能,以及与上、下层的接口功能。
5.2.3应用系统
根据网络的组建目的和业务的发展情况,研制、开发或购置。其任务是实现网络总体规划所规定的各项业务,提供网络服务和资源共享。
网络应用系统有通用和专用之分。通用网络应用系统适用于较广泛的领域和行业,如数据收集系统、数据转发系统和数据库查询系统等。
专用网络应用系统只适用于特定的行业和领域,如银行核算、铁路控制、军事指挥等。
5.3网络软件安全问题
5.3.1网络软件的漏洞及缺陷被利用,使网络遭到入侵和破坏
5.3.2网络软件安全功能不健全或被安装了“特洛伊木马”软件
5.3.3应加安全措施的软件未给予标识和保护,要害的程序没有安全措施,使软件被非法使用、被破坏或产生错误
5.3.4拒绝服务,中断或妨碍通信,延误对时间要求较高的操作
5.3.5没有正确的安全策略和安全机制,缺乏先进的安全工具和手段
5.3.6不妥当的标定或资料,导致所改的程序出现版本错误
如程序员没有保存程序变更的记录;没有做拷贝;未建立保存记录的业务。
6网络协议
6.1网络协议简介
协议是为计算机网络中进行数据交换而建立的规则、标准或约定的集合,用来描述进程之间信息交换数据时的规则术语。
6.2要素
网络协议是由三个要素组成:语义、语法、时序。
人们形象地把这三个要素描述为:语义表示要做什么,语法表示要怎么做,时序表示做的顺序。
6.2.1语义是解释控制信息每个部分的意义。它规定了需要发出何种控制信息,以及完成的动作与做出什么样的响应。
6.2.2语法是用户数据与控制信息的结构与格式,以及数据出现的顺序。
6.2.3时序是对事件发生顺序的详细说明,也可称为“同步”。
6.3层次划分
为了使不同计算机厂家生产的计算机能够相互通信,以便在更大的范围内建立计算机网络,国际标准化组织提出了“开放系统互联参考模型”(oSi/Rm模型)。
它将计算机网络体系结构的通信协议划分为七层,自下而上依次为:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。
对于每一层,至少制定两项标准:服务定义和协议规范。
服务定义给出了该层所提供的服务的准确定义,协议规范描述了协议的动作和各种有关规程,以保证服务的提供。
6.4常用协议
在计算机网络中tCp/ip协议、netBeUi协议、ipX/SpX协议,这三大协议最为常用。
6.4.1tCp/ip协议
tCp/ip协议是三大协议中最重要的一个,随着internet网的发展,tCp/ip协议也得到进一步的研究开发和推广应用,成为internet网上的“通用语言”,也是是目前最流行的网络协议。作为互联网的基础协议,任何和互联网有关的操作都离不开tCp/ip协议。
tCp/ip协议使用需要进行配置ip地址、网关、子网掩码、DnS服务器等参数。
但tCp/ip协议在局域网中的通信效率并不高,使用它在浏览“网上邻居”中的计算机时,经常会出现不能正常浏览的现象。此时安装netBeUi协议就会解决这个问题。
6.4.2netBeUi协议
netBeUi是netBioS协议的增强版本,它是一种短小精悍、通信效率高的广播型协议,安装后不需要进行设置,特别适合于在“网络邻居”传送数据。
如果一台只装了tCp/ip协议的winDowS98机器要想加入到winnt域,必须安装netBeUi协议。
6.4.3ipX/SpX协议
ipX/SpX协议本来就是novell开发的专用于netware网络中的协议。在局域网中它可以使多种操作系统进行通讯,而且使用简单,不需要任何设置。
简述网络安全的定义篇9
关键词:入侵检测系统分类
入侵检测系统(iDS,intrusionDetectionSystem)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的有效补充,入侵检测技术能够帮助系统应付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。本文就其几个角度的分类加以简单研究。
一、按数据来源进行分类
1.基于主机的入侵检测系统
该系统通常是安装在被重点检测的主机上,其数据源来自主机,如日志文件、审计记录等。该系统通过监视与分析主机中的上述文件,就能够检测到入侵。能否及时采集到上述文件是这些系统的关键点之一。因为入侵者会将主机的审计子系统作为攻击目标以避开iDS。
2.基于网络的入侵检测系统
此系统使用原始网络包作为数据源。通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志:模式、表达式或字节匹配,频率或穿越阀值,次要事件的相关性,统计学意义上的非常规现象检测。一旦检测到了攻击行为,响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接或为法庭分析和证据收集而作的会话记录。
基于网络的iDS有许多仅靠基于主机的入侵检测法无法提供的功能。实际上,许多客户在最初使用iDS时,都配置了基于网络的入侵检测。
二、根据检测原理进行分类
传统观点根据入侵行为的属性将其分为异常和滥用两种,然后分别对其建立异常检测模型和滥用检测模型。近年来又涌现出一些新的检测方法,它们产生的模型对异常和滥用都适用。
1.统计分析与异常检测
统计分析最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
异常检测只能识别出那些与正常过程有较大偏差的行为,而无法知道具体的入侵情况。由于对各种网络环境的适应性不强,且缺乏精确的判定准则,异常检测经常会出现虚警情况。异常检测可以通过以下系统实现。
(1)自学习系统:通过学习事例构建正常行为模型,分为时序和非时序两种。
(2)编程系统:该类系统需要通过编程学习如何检测确定的异常事件,从而让用户知道什么样的异常行为足以破坏系统的安全。分为描述统计和缺省否认。
2.基于规则分析与滥用检测
滥用检测基于已知的系统缺陷和入侵模式,故又称特征检测。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,从而产生漏警。
滥用检测通过对确知决策规则编程实现,可以分为以下四种。
(1)状态建模:它将入侵行为表示成许多个不同的状态。如果在观察某个可疑行为期间,所有状态都存在,则判定为恶意入侵。
(2)专家系统:它可以在给定入侵行为描述规则的情况下,对系统的安全状态进行推理。一般情况下,专家系统的检测能力强大,灵活性也很高,但计算成本较高,通常以降低执行速度为代价。
(3)串匹配:它通过对系统之间传输的或系统自身产生的文本进行子串匹配实现。该方法灵活性欠差,但易于理解。
(4)基于简单规则:类似于专家系统,但相对简单些,故执行速度快。
3.混合检测
近几年来,混合检测日益受到人们的重视。这类检测在作出决策之前,既分析系统的正常行为,又观察可疑的入侵行为,所以判断更全面、准确、可靠。它通常根据系统的正常数据流背景来检测入侵行为,故而也有人称其为“启发式特征检测”。
参考文献:
[1]韦文思,徐津.信息安全防御技术与实施.电子工业出版社,2009.
[2]罗守山.入侵检测.北京:北京邮电大学出版社,2004.
简述网络安全的定义篇10
网络工程试题
课程代码:04749
请考生按规定用笔将所有试题的答案涂、写在答题纸上。
选择题部分
注意事项:
1.答题前,考生务必将自己的考试课程名称、姓名、准考证号用黑色字迹的签字笔或钢笔填写在答题纸规定的位置上。
2.每小题选出答案后,用2B铅笔把答题纸上对应题目的答案标号涂黑。如需改动,用橡皮擦干净后,再选涂其他答案标号。不能答在试题卷上。
一、单项选择题(本大题共20小题,每小题2分,共40分)
在每小题列出的四个备选项中只有一个是符合题目要求的,请将其选出并将“答题纸”的相应代码涂黑。错涂、多涂或未涂均无分。
1.tCp/ip网络参考模型共分为4层,由下至上分别是
a.网络接口层、网际层、传输层和应用层
B.应用层、传输层、网际层和网络接口层
C.传输层、网际层、网络接口层和应用层
D.网际层、传输层、网络接口层和应用层
2.下列有关三层交换机的叙述,错误的是
a.在数据传输的开始阶段工作在以太网的物理层、数据链路层以及网络层
B.进入流交换阶段,只工作在以太网的物理层和数据链路层
C.可以将不同类型的局域网互连在一起
D.用于局部以太网的互连,可以实现网络间的高速信息交换
3.下列计算机网络硬件部分,不属于端系统的是
a.服务器B.个人计算机
C.客户机D.交换机
4.下列有关SDH帧结构的叙述,错误的是
a.由纵向9字节横向270×n个字节组成的块状帧
B.段开销域包含再生段开销(RSoH)、复用段开销(mSoH)和通道开销(poH)
C.净荷域是存放各种信息业务的地方
D.管理单元指针(aUptR)用于指示净荷的第一个字节在Stm-n帧内的准确位置
5.下列有关GSm分组型数据(GpRS)业务的叙述,错误的是
a.无线信道资源的分配是动态的B.一个用户可分配多个时隙
C.一个时隙只能被一个用户使用D.用户可一直与网络保持连接
6.下列有关透明网桥的叙述,错误的是
a.可以实现不同局域网的连接
B.使用逆向学习法解决广播风暴
C.收到帧的目的地址不在转发表中时采用扩散算法
D.刚开始工作时转发表内容为空
7.下列VLan的划分策略中,不允许用户自由移动的是
a.按端口划分B.按maC地址划分
C.按网络协议划分D.按子网划分
8.下列有关以太网的叙述,错误的是
a.采用CSma/Ca协议B.支持网络层的多种协议
C.广播地址的每一位都是1D.采用32位的循环冗余检验码(CRC)
9.下列有关ppp认证协议的叙述,错误的是
a.CHap采用随机数和mD5的方式进行认证
B.CHap认证过程由网络接入服务器发起
C.pap采用明文方式在网络上传输用户名和口令
D.pap是一种三次握手认证协议
10.一个局域网中某台主机的ip地址为190.72.133.56/23,该网最多可分配的主机地址
数是
a.255B.510
C.1020D.1024
11.下列有关oSpF的DR的叙述,错误的是
a.oSpF要求在每个区域中选举一个DR
B.区域中每个路由器都与DR建立完全相邻关系
C.DR负责收集所有的链路状态信息,并给其它路由器
D.路由器仅以Hello报文中iD值的高低选举DR
12.下列有关ipSec中eSp的叙述,错误的是
a.序列号字段可用于抵抗重放攻击
B.采用的是对称密钥加密算法
C.加密是必选的
D.认证是可选的
13.下列有关滤型防火墙的叙述,错误的是
a.只工作在oSi网络参考模型的网络层
B.因为滤方式适用于所有的网络服务,所以通用
C.因为滤方式被大多数路由器集成,所以廉价
D.因为滤方式能在很大程度上满足大多数用户的安全要求,所以有效
14.下列关于网络安全策略管理平台(Spm)的叙述,错误的是
a.遵循p2DR2安全模型B.应用集成防卫的理论与技术
C.采用分布式的体系结构D.采用分布式的安全管理控制
15.属于进程向管理进程发出的Snmp操作是
a.get-nextrequestB.getrequest
C.getresponseD.setrequest
16.下列选项中,可为默认网关提供热备份技术,并运行在tCp上的协议是
a.HSRpB.oSpF
C.RipD.VRRp
17.查询本地域名服务器的命令是
a.pingB.nslookup
C.netstatD.telnet
18.Http响应消息中,第一部分是
a.状态行B.请求行
C.头部行D.附属行
19.ieee802.11b的传输带宽是
a.1~2mbit/sB.1lmbit/s
C.36mbit/sD.54mbit/s
20.下列有关网络设备集线器的叙述,错误的是
a.采用广播方式发送数据帧B.数据帧安全无法保证
C.所有人共享带宽D.全双工传输方式
非选择题部分
注意事项:
用黑色字迹的签字笔或钢笔将答案写在答题纸上,不能答在试题卷上。
二、填空题(本大题共10小题,每小题1分,共10分)
21.为了能够将使用私有ip地址的网络与因特网互通,需要采用_______技术。
22.按照实际的使用方式,可将aDSLmodem分为两类:_______和路由式。
23.e1数字传输系统的传输速率为______。
24.数据帧发生碰撞后,以太网工作站采用_______算法决定重新发送的时间。
25.oSpF协议采用增量传输方法,使邻接路由器保持一致的______。
26.GReVpn的工作过程是:隧道起点路由查找—_______—承载路由协议转发—中途转发解—封装—隧道终点载荷协议路由查找。
27.miB由_______构成,它具有固定的对象结构,对象层次关系以及固定的标号含义。
28.Ftp会话中存在两个独立的连接,它们是_______和数据连接。
29.在DnS系统中,有递归查询和_______两种查询模式。
30.在大型网络分层结构_______层的设计中,应注意两点:不要在该层执行网络策略;该层的所有设备应具有充分的可达性。
三、简答题(本大题共6小题,每小题5分,共30分)
31.在aDSL线路上,数据业务通过Dmt等技术,将铜双绞线划分为上、下行数据信道,它们各占用的频段范围是什么?各划分为多少个子信道?每个子信道的频宽是多少?
32.pppoe链路的建立要经过几个阶段,每个阶段的名称及主要功能分别是什么?
33.简述Rip的工作内容。
34.写出下面ipSec体系结构的aH协议头部中各序号对应的内容。
(1)(2)保留
(3)
(4)
(5)
aH协议头部结构
35.以Bt为例,简要说明p2p的工作过程。
36.在编写网络规划方案的可行性论证报告时,需要说明的项目有哪些?
四、综合题(本大题共2小题,每小题10分,共20分)
37.某公司因业务拓展而收购了一家公司,新公司原来运行oSpF协议,而总公司及其原下属分公司运行Rip协议。网络结构如下图所示。
R1是新公司路由器,R2是老的分公司路由器,R3是总公司路由器。为了使公司内部能够互通,网络管理员对路由器重新做了配置。下面是路由器R3的部分配置命令列表,解释下划线部分的含义,填写在答题纸上。
38.用户的三台pC通过路由式aDSLmodem上网,其连接逻辑图如下:
aDSLmodem采用动态pppoe方式工作。用户私有网络地址是:10.0.0.0/29。请分析连接逻辑图,并解答下列问题:
(1)pppoe连接的建立和释放由谁负责?
(2)aDSLmodem广域网接口的ip地址是如何配置的?
(3)为aDSLmodem局域网接口配置一个ip地址。
(4)为三台用户pC机各配置一个ip地址,并指明掩码。