計算機網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計探究
前言:本站為你精心整理了計算機網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計探究范文,希望能為你的創(chuàng)作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
摘要:針對信息系統(tǒng)的脆弱性,為了保證網(wǎng)絡(luò)環(huán)境的安全性,設(shè)計了基于編碼技術(shù)的計算機網(wǎng)絡(luò)安全結(jié)構(gòu)。對常用的編碼技術(shù)與方法進行分析,主要包括冗余碼、擾頻、電平碼等;并且分析計算機網(wǎng)絡(luò)的安全激勵,改善路由路徑的選擇,保證封包的正確性與安全性。設(shè)計網(wǎng)絡(luò)安全結(jié)構(gòu),主要包括安全體系結(jié)構(gòu)、安全體系層次模型、系統(tǒng)響應(yīng)、異常流量檢測和網(wǎng)頁過濾。通過所設(shè)計的計算機網(wǎng)絡(luò)安全結(jié)構(gòu),能夠?qū)崿F(xiàn)數(shù)據(jù)分析與匹配,保證計算機網(wǎng)絡(luò)的安全性。
關(guān)鍵詞:編碼技術(shù);網(wǎng)絡(luò)安全;安全結(jié)構(gòu);數(shù)據(jù)分析
在現(xiàn)代社會不斷發(fā)展的過程中,計算機網(wǎng)絡(luò)已經(jīng)成為人們生活生產(chǎn)過程中的主要工具。計算機網(wǎng)絡(luò)實用性與完整性,成為研究人員解決網(wǎng)絡(luò)安全問題的主要參照指標(biāo)。因為網(wǎng)絡(luò)行動比較隨意,并且具有較高的網(wǎng)絡(luò)自由度,功能或者管理等難度都在增加,也會受到惡意攻擊。編碼技術(shù)提高了網(wǎng)絡(luò)結(jié)構(gòu)的安全性,降低了錯誤幾率,也對編碼技術(shù)人員專業(yè)性提出了較高的要求。編碼通過邏輯層次,使二進制數(shù)據(jù)作為高低信號,使用光特性和電氣特性表示。提高編程水平能夠提升計算機網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計的水平,促進計算機技術(shù)的發(fā)展[1]。
1常用編碼技術(shù)和方法
為了實現(xiàn)編碼目標(biāo),研發(fā)了多種編碼方法,圖1為常用編碼方法。除了圖1的編碼方法之外,還包括冗余碼、281Q電平碼、擾頻與各數(shù)據(jù)壓縮編碼方法等。在長距離傳輸過程中,帶寬使用效率尤為重要,一般都使用雙極性編碼。在短距離傳輸過程中,對比每個節(jié)點設(shè)備價格,帶寬使用效率并不重要,所以可以使用曼徹斯特編碼,且能夠使用同步功能。對數(shù)據(jù)數(shù)字傳輸進行模擬,使模擬數(shù)據(jù)轉(zhuǎn)換成為數(shù)字?jǐn)?shù)據(jù),脈沖編碼調(diào)制(PCM)方法為實現(xiàn)此轉(zhuǎn)換的基本方法,通過數(shù)字-模擬轉(zhuǎn)換器與模擬-數(shù)字轉(zhuǎn)換器實現(xiàn)數(shù)字信號與模擬信號的轉(zhuǎn)換[2]。
2計算機網(wǎng)絡(luò)安全機理
由于惡意節(jié)點能夠和網(wǎng)絡(luò)連接,在不能隔離惡意節(jié)點時,改善選擇路由路徑,降低惡意節(jié)點攔截次數(shù),比如多重路徑路由協(xié)議。利用鄰近節(jié)點實現(xiàn)自身節(jié)點信任度計算和認(rèn)證,從而計算聲望值,假如發(fā)現(xiàn)比設(shè)定值要低的節(jié)點,表示該節(jié)點為惡意節(jié)點,立刻隔離惡意節(jié)點。每個節(jié)點能夠傳遞的數(shù)據(jù)范圍都存在一個限度,如果在固定距離下使數(shù)據(jù)傳輸?shù)竭h方目的地,就要使數(shù)據(jù)利用其他節(jié)點通過路由的方式傳遞。高速系統(tǒng)中節(jié)點都要標(biāo)識區(qū)域節(jié)點數(shù)量,并且定期發(fā)送廣播信息,通過信息標(biāo)頭對臨近節(jié)點信息封裝是否接收進行確認(rèn),如果遺失就要重新傳遞。為了避免惡意節(jié)點影響,在傳遞封包信息過程中要在封包抬頭添加數(shù)字簽章,包括信息身份與節(jié)點身份,接收節(jié)點對數(shù)位簽章進行驗證,對封包安全性與正確性進行確定[3]。
3網(wǎng)絡(luò)安全結(jié)構(gòu)的設(shè)計
信息網(wǎng)絡(luò)安全結(jié)構(gòu)的主要目的是使計算機網(wǎng)絡(luò)系統(tǒng)正常工作,保證信息網(wǎng)絡(luò)系統(tǒng)安全性,避免泄露重要信息。所以,計算機網(wǎng)絡(luò)安全結(jié)構(gòu)要實現(xiàn)此目標(biāo),需綜合使用先進網(wǎng)絡(luò)安全技術(shù),保證網(wǎng)絡(luò)安全保密與互連互通,保證信息系統(tǒng)正常的運行[4]。
3.1安全體系結(jié)構(gòu)
網(wǎng)絡(luò)安全體系要對安全機制和安全對象全面考慮,安全對象包括系統(tǒng)安全、網(wǎng)絡(luò)安全、設(shè)備安全、信息安全、計算機病毒防治與信息介質(zhì)安全等[5],圖2為安全體系結(jié)構(gòu)。
3.2安全體系層次模型
根據(jù)網(wǎng)絡(luò)OSI的7層模型,網(wǎng)絡(luò)安全貫穿在整個模型中。對于網(wǎng)絡(luò)系統(tǒng)實際運行TCP/IP協(xié)議,網(wǎng)絡(luò)安全貫穿在信息系統(tǒng)4個層次中,圖3為安全體系層次模型圖。物理層信息安全的主要目的是避免物理通路損壞、物理通路攻擊、物理通路竊聽[6];鏈路層網(wǎng)絡(luò)安全主要目的是避免網(wǎng)絡(luò)鏈路傳送數(shù)據(jù)不會被竊聽,使用加密通信劃分VLAN等手段實現(xiàn);操作系統(tǒng)安全對操作系統(tǒng)訪問控制與客戶資料的安全性進行保證,應(yīng)用到操作系統(tǒng)中實現(xiàn)審計;網(wǎng)絡(luò)層安全要保證網(wǎng)絡(luò)只對客戶使用授權(quán)服務(wù),保證正確的網(wǎng)絡(luò)路由,避免監(jiān)聽和攔截;應(yīng)用平臺指在網(wǎng)絡(luò)系統(tǒng)中創(chuàng)建的應(yīng)用軟件服務(wù),比如電子郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器、Web服務(wù)器。因為應(yīng)用平臺系統(tǒng)較為復(fù)雜,一般利用多種技術(shù)提高應(yīng)用平臺安全性[7];應(yīng)用系統(tǒng)主要實現(xiàn)網(wǎng)絡(luò)系統(tǒng)主要功能,也就是為用戶服務(wù)。應(yīng)用系統(tǒng)安全和系統(tǒng)設(shè)計、實現(xiàn)具有密切關(guān)系,應(yīng)用系統(tǒng)利用應(yīng)用平臺的安全服務(wù)對基本安全進行保證,比如通信內(nèi)容安全、雙方審計、認(rèn)證等[8]。
3.3系統(tǒng)響應(yīng)模塊
響應(yīng)指的是在網(wǎng)絡(luò)安全系統(tǒng)檢測到入侵行為時的反應(yīng)動作,系統(tǒng)響應(yīng)主要包括被動響應(yīng)與主動響應(yīng)。在主動響應(yīng)時,系統(tǒng)自動或者通過用戶設(shè)置方式阻斷攻擊。其能夠阻止正在進行的攻擊行為,避免攻擊者訪問。主動響應(yīng)指的是系統(tǒng)在檢測到攻擊時反擊攻擊者,被動響應(yīng)能夠給用戶提供入侵信息,通過系統(tǒng)管理員使用適當(dāng)措施處置[9],此響應(yīng)以緊急程度對用戶提交信息,雖然和主動響應(yīng)相比實時性較差,但是安全性較高,便于維護數(shù)據(jù)。系統(tǒng)設(shè)計和被動響應(yīng)、主動響應(yīng)的優(yōu)勢結(jié)合,對模式庫中常見的攻擊類型預(yù)先設(shè)計動作,實現(xiàn)主動響應(yīng)處理,利用異常算法檢測模式庫中是否存在攻擊,系統(tǒng)保存連接數(shù)據(jù)并實現(xiàn)處理。在主動響應(yīng)中,系統(tǒng)要自動阻塞或者影響攻擊,改變攻擊過程。在被動攻擊中,系統(tǒng)只是簡單地報告和記錄檢測問題[10],圖4為系統(tǒng)分析模塊的結(jié)構(gòu)。
3.4異常流量檢測
雖然使用流量對網(wǎng)絡(luò)監(jiān)控為低級方法,但是對實時通信系統(tǒng)與點對點傳輸網(wǎng)絡(luò)使用者監(jiān)控是非常有效的。比如,對計算機UDPsession進行觀察。實時通信系統(tǒng)和點對點傳輸網(wǎng)絡(luò)中有利用UDP連接模式獨特傳輸資料的行為,該傳輸模式能夠在分散式網(wǎng)絡(luò)架構(gòu)中尋找到哪部計算機進行了傳輸,該檢測只需要記錄網(wǎng)絡(luò)流量就能夠?qū)崟r通信系統(tǒng)和點對點傳輸網(wǎng)絡(luò)使用者進行判斷。因為點對點傳輸網(wǎng)絡(luò)成員要想保證最佳通信質(zhì)量,就要不斷發(fā)送封包對網(wǎng)絡(luò)環(huán)境變化進行確認(rèn),所以要發(fā)現(xiàn)使用者,節(jié)點計算機在連接過程中需要發(fā)送控制數(shù)據(jù)包和分散式網(wǎng)絡(luò)互動[11]。全部網(wǎng)絡(luò)利用UDP協(xié)議傳輸查詢Supernode數(shù)據(jù)包,利用UDP低成本、簡單和有效的特點,不斷送出控制數(shù)據(jù)包維持Supernode數(shù)量來保證通信質(zhì)量。在啟用網(wǎng)絡(luò)時會發(fā)送一個或者多個UDPsockets等待,在連接過程中利用UDP通信端口協(xié)助實時通信系統(tǒng)多地址溝通。簡單來說,要求計算機使用一個或者多個UDP端口實現(xiàn)連接和控制。比如,在局域網(wǎng)安全監(jiān)控系統(tǒng)中UDP傳輸追蹤顯示兩分鐘有390多個記錄,全部輸出都為UDP10810和2787兩個端口,此系統(tǒng)利用端口對服務(wù)器服務(wù)狀態(tài)進行查詢,另外一個端口實現(xiàn)搜尋、連接、IP查詢和公告[12]。
3.5系統(tǒng)安全處理
計算機IP地址范圍是確定的,并且具備明確閉合邊界。其具備C類IP地址,包括FTP、WWW、DNS等服務(wù)器,能夠使用以下控制策略:對于進入到主干網(wǎng)存取的控制局域網(wǎng)具備自身IP地址,要禁止通過本路由器對外網(wǎng)訪問;控制網(wǎng)絡(luò)中心資源主機訪問;保護網(wǎng)絡(luò)中心服務(wù)器等主要資源;對于網(wǎng)絡(luò)中心全部資源要禁止WWW、DNS、FTP之外的服務(wù)[13]。針對企業(yè)外所傳播的非法信息網(wǎng)址進行訪問控制,能夠利用計費系統(tǒng)得到最新IP訪問信息,通過域名查詢等方法確定某IP訪問是否違法。根據(jù)網(wǎng)絡(luò)拓?fù)湓O(shè)計情況和防火墻設(shè)置安全需求在企業(yè)局域網(wǎng)出口位置設(shè)置過濾防火墻。此防火墻能夠隔離內(nèi)外網(wǎng)與主要服務(wù)器,阻止外網(wǎng)攻擊局域網(wǎng)內(nèi)部和內(nèi)網(wǎng)服務(wù)器。局域網(wǎng)防護墻隔離內(nèi)外網(wǎng),屏蔽內(nèi)網(wǎng)IP與應(yīng)用服務(wù)器,還能夠?qū)崿F(xiàn)進出服務(wù)器數(shù)據(jù)分組動態(tài)過濾,在有異常時及時報警。針對外網(wǎng)來說,能夠?qū)Ψ?wù)器IP進行訪問,看不到內(nèi)網(wǎng)中全部站點[14]。圖5為用戶、防火墻和服務(wù)器的關(guān)系。證書申請和發(fā)放的步驟為:1)服務(wù)器和用戶生成各自證書申請文件,并且傳輸?shù)阶C書中心。證書申請文件主要包括網(wǎng)絡(luò)用戶簽名信息、用戶身份信息、公鑰信息等[15];2)證書中心對證書合法性、正確性進行驗證,并且為網(wǎng)絡(luò)合法用戶簽發(fā)證書,此證書主要包括證書中心簽名;3)網(wǎng)絡(luò)用戶接收證書中心的證書,在本地安裝,并且服務(wù)器也要安裝相應(yīng)證書[16];4)在網(wǎng)絡(luò)用戶登錄到服務(wù)器時,先通過服務(wù)器驗證各自的身份,假如身份驗證正確,則服務(wù)器與用戶接收發(fā)送的數(shù)據(jù)都通過密文方式進行傳輸。主機型局域網(wǎng)安全結(jié)構(gòu)防護系統(tǒng)要在主機中安裝Agent,其主要目的是監(jiān)視主機內(nèi)部程序的運行,并且監(jiān)控和記錄活動,所有事件都記錄在日志文檔中,并且與攻擊特征數(shù)據(jù)庫對比,對主機是否受到攻擊進行判斷[17]。
3.6網(wǎng)頁過濾
網(wǎng)絡(luò)型局域網(wǎng)安全結(jié)構(gòu)是通過一個或者多個檢測器,由對資料進行收集和分析的主控臺構(gòu)成。對每個通過的網(wǎng)絡(luò)封包進行分析,并且對比已知攻擊特征,如果滿足某攻擊特征,系統(tǒng)就會啟動防護措施,比如發(fā)出警告或者控制防火墻。文中所設(shè)計的網(wǎng)頁過濾器能夠?qū)ML驗證器和MAC信息模塊處理進行參數(shù)傳遞,使處理結(jié)果傳遞到下個網(wǎng)絡(luò)應(yīng)用程序中,從而實現(xiàn)原本工作,或者顯示輸入錯誤警示畫面[18],圖6為警示畫面。
4結(jié)束語
在網(wǎng)絡(luò)應(yīng)用不斷普及的過程中,網(wǎng)絡(luò)安全也越來越重要,國家與企業(yè)對于創(chuàng)建安全網(wǎng)絡(luò)的要求更高。信息安全并不是市場中全部安全產(chǎn)品所能保證的,重點為完善計算機網(wǎng)絡(luò)安全方案。基于編碼的計算機網(wǎng)絡(luò)安全結(jié)構(gòu)能夠加強計算機安全,保證檢測精確度與敏感度,并且節(jié)省發(fā)送端能量。另外,計算機安全結(jié)構(gòu)功能越來越多元化,降低了計算機網(wǎng)絡(luò)對于人們生活生產(chǎn)造成的不安全因素,提高了網(wǎng)絡(luò)安全系數(shù)。
作者:賀爭漢 單位:咸陽職業(yè)技術(shù)學(xué)院
