前言：本站為你精心整理了計算機網(wǎng)絡安全結構設計探究范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：針對信息系統(tǒng)的脆弱性，為了保證網(wǎng)絡環(huán)境的安全性，設計了基于編碼技術的計算機網(wǎng)絡安全結構。對常用的編碼技術與方法進行分析，主要包括冗余碼、擾頻、電平碼等；并且分析計算機網(wǎng)絡的安全激勵，改善路由路徑的選擇，保證封包的正確性與安全性。設計網(wǎng)絡安全結構，主要包括安全體系結構、安全體系層次模型、系統(tǒng)響應、異常流量檢測和網(wǎng)頁過濾。通過所設計的計算機網(wǎng)絡安全結構，能夠實現(xiàn)數(shù)據(jù)分析與匹配，保證計算機網(wǎng)絡的安全性。

關鍵詞：編碼技術；網(wǎng)絡安全；安全結構；數(shù)據(jù)分析

在現(xiàn)代社會不斷發(fā)展的過程中，計算機網(wǎng)絡已經(jīng)成為人們生活生產(chǎn)過程中的主要工具。計算機網(wǎng)絡實用性與完整性，成為研究人員解決網(wǎng)絡安全問題的主要參照指標。因為網(wǎng)絡行動比較隨意，并且具有較高的網(wǎng)絡自由度，功能或者管理等難度都在增加，也會受到惡意攻擊。編碼技術提高了網(wǎng)絡結構的安全性，降低了錯誤幾率，也對編碼技術人員專業(yè)性提出了較高的要求。編碼通過邏輯層次，使二進制數(shù)據(jù)作為高低信號，使用光特性和電氣特性表示。提高編程水平能夠提升計算機網(wǎng)絡安全結構設計的水平，促進計算機技術的發(fā)展[1]。

1常用編碼技術和方法

為了實現(xiàn)編碼目標，研發(fā)了多種編碼方法，圖1為常用編碼方法。除了圖1的編碼方法之外，還包括冗余碼、281Q電平碼、擾頻與各數(shù)據(jù)壓縮編碼方法等。在長距離傳輸過程中，帶寬使用效率尤為重要，一般都使用雙極性編碼。在短距離傳輸過程中，對比每個節(jié)點設備價格，帶寬使用效率并不重要，所以可以使用曼徹斯特編碼，且能夠使用同步功能。對數(shù)據(jù)數(shù)字傳輸進行模擬，使模擬數(shù)據(jù)轉換成為數(shù)字數(shù)據(jù)，脈沖編碼調(diào)制（PCM）方法為實現(xiàn)此轉換的基本方法，通過數(shù)字-模擬轉換器與模擬-數(shù)字轉換器實現(xiàn)數(shù)字信號與模擬信號的轉換[2]。

2計算機網(wǎng)絡安全機理

由于惡意節(jié)點能夠和網(wǎng)絡連接，在不能隔離惡意節(jié)點時，改善選擇路由路徑，降低惡意節(jié)點攔截次數(shù)，比如多重路徑路由協(xié)議。利用鄰近節(jié)點實現(xiàn)自身節(jié)點信任度計算和認證，從而計算聲望值，假如發(fā)現(xiàn)比設定值要低的節(jié)點，表示該節(jié)點為惡意節(jié)點，立刻隔離惡意節(jié)點。每個節(jié)點能夠傳遞的數(shù)據(jù)范圍都存在一個限度，如果在固定距離下使數(shù)據(jù)傳輸?shù)竭h方目的地，就要使數(shù)據(jù)利用其他節(jié)點通過路由的方式傳遞。高速系統(tǒng)中節(jié)點都要標識區(qū)域節(jié)點數(shù)量，并且定期發(fā)送廣播信息，通過信息標頭對臨近節(jié)點信息封裝是否接收進行確認，如果遺失就要重新傳遞。為了避免惡意節(jié)點影響，在傳遞封包信息過程中要在封包抬頭添加數(shù)字簽章，包括信息身份與節(jié)點身份，接收節(jié)點對數(shù)位簽章進行驗證，對封包安全性與正確性進行確定[3]。

3網(wǎng)絡安全結構的設計

信息網(wǎng)絡安全結構的主要目的是使計算機網(wǎng)絡系統(tǒng)正常工作，保證信息網(wǎng)絡系統(tǒng)安全性，避免泄露重要信息。所以，計算機網(wǎng)絡安全結構要實現(xiàn)此目標，需綜合使用先進網(wǎng)絡安全技術，保證網(wǎng)絡安全保密與互連互通，保證信息系統(tǒng)正常的運行[4]。

3.1安全體系結構

網(wǎng)絡安全體系要對安全機制和安全對象全面考慮，安全對象包括系統(tǒng)安全、網(wǎng)絡安全、設備安全、信息安全、計算機病毒防治與信息介質安全等[5]，圖2為安全體系結構。

3.2安全體系層次模型

根據(jù)網(wǎng)絡OSI的7層模型，網(wǎng)絡安全貫穿在整個模型中。對于網(wǎng)絡系統(tǒng)實際運行TCP/IP協(xié)議，網(wǎng)絡安全貫穿在信息系統(tǒng)4個層次中，圖3為安全體系層次模型圖。物理層信息安全的主要目的是避免物理通路損壞、物理通路攻擊、物理通路竊聽[6]；鏈路層網(wǎng)絡安全主要目的是避免網(wǎng)絡鏈路傳送數(shù)據(jù)不會被竊聽，使用加密通信劃分VLAN等手段實現(xiàn)；操作系統(tǒng)安全對操作系統(tǒng)訪問控制與客戶資料的安全性進行保證，應用到操作系統(tǒng)中實現(xiàn)審計；網(wǎng)絡層安全要保證網(wǎng)絡只對客戶使用授權服務，保證正確的網(wǎng)絡路由，避免監(jiān)聽和攔截；應用平臺指在網(wǎng)絡系統(tǒng)中創(chuàng)建的應用軟件服務，比如電子郵件服務器、數(shù)據(jù)庫服務器、Web服務器。因為應用平臺系統(tǒng)較為復雜，一般利用多種技術提高應用平臺安全性[7]；應用系統(tǒng)主要實現(xiàn)網(wǎng)絡系統(tǒng)主要功能，也就是為用戶服務。應用系統(tǒng)安全和系統(tǒng)設計、實現(xiàn)具有密切關系，應用系統(tǒng)利用應用平臺的安全服務對基本安全進行保證，比如通信內(nèi)容安全、雙方審計、認證等[8]。

3.3系統(tǒng)響應模塊

響應指的是在網(wǎng)絡安全系統(tǒng)檢測到入侵行為時的反應動作，系統(tǒng)響應主要包括被動響應與主動響應。在主動響應時，系統(tǒng)自動或者通過用戶設置方式阻斷攻擊。其能夠阻止正在進行的攻擊行為，避免攻擊者訪問。主動響應指的是系統(tǒng)在檢測到攻擊時反擊攻擊者，被動響應能夠給用戶提供入侵信息，通過系統(tǒng)管理員使用適當措施處置[9]，此響應以緊急程度對用戶提交信息，雖然和主動響應相比實時性較差，但是安全性較高，便于維護數(shù)據(jù)。系統(tǒng)設計和被動響應、主動響應的優(yōu)勢結合，對模式庫中常見的攻擊類型預先設計動作，實現(xiàn)主動響應處理，利用異常算法檢測模式庫中是否存在攻擊，系統(tǒng)保存連接數(shù)據(jù)并實現(xiàn)處理。在主動響應中，系統(tǒng)要自動阻塞或者影響攻擊，改變攻擊過程。在被動攻擊中，系統(tǒng)只是簡單地報告和記錄檢測問題[10]，圖4為系統(tǒng)分析模塊的結構。

3.4異常流量檢測

雖然使用流量對網(wǎng)絡監(jiān)控為低級方法，但是對實時通信系統(tǒng)與點對點傳輸網(wǎng)絡使用者監(jiān)控是非常有效的。比如，對計算機UDPsession進行觀察。實時通信系統(tǒng)和點對點傳輸網(wǎng)絡中有利用UDP連接模式獨特傳輸資料的行為，該傳輸模式能夠在分散式網(wǎng)絡架構中尋找到哪部計算機進行了傳輸，該檢測只需要記錄網(wǎng)絡流量就能夠對實時通信系統(tǒng)和點對點傳輸網(wǎng)絡使用者進行判斷。因為點對點傳輸網(wǎng)絡成員要想保證最佳通信質量，就要不斷發(fā)送封包對網(wǎng)絡環(huán)境變化進行確認，所以要發(fā)現(xiàn)使用者，節(jié)點計算機在連接過程中需要發(fā)送控制數(shù)據(jù)包和分散式網(wǎng)絡互動[11]。全部網(wǎng)絡利用UDP協(xié)議傳輸查詢Supernode數(shù)據(jù)包，利用UDP低成本、簡單和有效的特點，不斷送出控制數(shù)據(jù)包維持Supernode數(shù)量來保證通信質量。在啟用網(wǎng)絡時會發(fā)送一個或者多個UDPsockets等待，在連接過程中利用UDP通信端口協(xié)助實時通信系統(tǒng)多地址溝通。簡單來說，要求計算機使用一個或者多個UDP端口實現(xiàn)連接和控制。比如，在局域網(wǎng)安全監(jiān)控系統(tǒng)中UDP傳輸追蹤顯示兩分鐘有390多個記錄，全部輸出都為UDP10810和2787兩個端口，此系統(tǒng)利用端口對服務器服務狀態(tài)進行查詢，另外一個端口實現(xiàn)搜尋、連接、IP查詢和公告[12]。

3.5系統(tǒng)安全處理

計算機IP地址范圍是確定的，并且具備明確閉合邊界。其具備C類IP地址，包括FTP、WWW、DNS等服務器，能夠使用以下控制策略：對于進入到主干網(wǎng)存取的控制局域網(wǎng)具備自身IP地址，要禁止通過本路由器對外網(wǎng)訪問；控制網(wǎng)絡中心資源主機訪問；保護網(wǎng)絡中心服務器等主要資源；對于網(wǎng)絡中心全部資源要禁止WWW、DNS、FTP之外的服務[13]。針對企業(yè)外所傳播的非法信息網(wǎng)址進行訪問控制，能夠利用計費系統(tǒng)得到最新IP訪問信息，通過域名查詢等方法確定某IP訪問是否違法。根據(jù)網(wǎng)絡拓撲設計情況和防火墻設置安全需求在企業(yè)局域網(wǎng)出口位置設置過濾防火墻。此防火墻能夠隔離內(nèi)外網(wǎng)與主要服務器，阻止外網(wǎng)攻擊局域網(wǎng)內(nèi)部和內(nèi)網(wǎng)服務器。局域網(wǎng)防護墻隔離內(nèi)外網(wǎng)，屏蔽內(nèi)網(wǎng)IP與應用服務器，還能夠實現(xiàn)進出服務器數(shù)據(jù)分組動態(tài)過濾，在有異常時及時報警。針對外網(wǎng)來說，能夠對服務器IP進行訪問，看不到內(nèi)網(wǎng)中全部站點[14]。圖5為用戶、防火墻和服務器的關系。證書申請和發(fā)放的步驟為：1）服務器和用戶生成各自證書申請文件，并且傳輸?shù)阶C書中心。證書申請文件主要包括網(wǎng)絡用戶簽名信息、用戶身份信息、公鑰信息等[15]；2）證書中心對證書合法性、正確性進行驗證，并且為網(wǎng)絡合法用戶簽發(fā)證書，此證書主要包括證書中心簽名；3）網(wǎng)絡用戶接收證書中心的證書，在本地安裝，并且服務器也要安裝相應證書[16]；4）在網(wǎng)絡用戶登錄到服務器時，先通過服務器驗證各自的身份，假如身份驗證正確，則服務器與用戶接收發(fā)送的數(shù)據(jù)都通過密文方式進行傳輸。主機型局域網(wǎng)安全結構防護系統(tǒng)要在主機中安裝Agent，其主要目的是監(jiān)視主機內(nèi)部程序的運行，并且監(jiān)控和記錄活動，所有事件都記錄在日志文檔中，并且與攻擊特征數(shù)據(jù)庫對比，對主機是否受到攻擊進行判斷[17]。

3.6網(wǎng)頁過濾

網(wǎng)絡型局域網(wǎng)安全結構是通過一個或者多個檢測器，由對資料進行收集和分析的主控臺構成。對每個通過的網(wǎng)絡封包進行分析，并且對比已知攻擊特征，如果滿足某攻擊特征，系統(tǒng)就會啟動防護措施，比如發(fā)出警告或者控制防火墻。文中所設計的網(wǎng)頁過濾器能夠對XML驗證器和MAC信息模塊處理進行參數(shù)傳遞，使處理結果傳遞到下個網(wǎng)絡應用程序中，從而實現(xiàn)原本工作，或者顯示輸入錯誤警示畫面[18]，圖6為警示畫面。

4結束語

在網(wǎng)絡應用不斷普及的過程中，網(wǎng)絡安全也越來越重要，國家與企業(yè)對于創(chuàng)建安全網(wǎng)絡的要求更高。信息安全并不是市場中全部安全產(chǎn)品所能保證的，重點為完善計算機網(wǎng)絡安全方案?；诰幋a的計算機網(wǎng)絡安全結構能夠加強計算機安全，保證檢測精確度與敏感度，并且節(jié)省發(fā)送端能量。另外，計算機安全結構功能越來越多元化，降低了計算機網(wǎng)絡對于人們生活生產(chǎn)造成的不安全因素，提高了網(wǎng)絡安全系數(shù)。

作者:賀爭漢 單位:咸陽職業(yè)技術學院