導語：如何才能寫好一篇網絡安全服務的開展，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

實現系統安全風險的全面識別，才能采取有效安全防范策略?；谶@種認識，本文對層次化網絡安全威脅態(tài)勢量化評估方法進行了分析，以期為關注網絡安全評估話題的人們提供參考。

【關鍵詞】

層次化網絡；安全威脅態(tài)勢；量化評估方法

引言

從服務和主機重要性角度出發(fā)對網絡安全態(tài)勢展開量化評估，將能提供直觀安全威脅態(tài)勢分析圖，從而在降低網絡安全管理人員的工作量的同時，為管理人員制定有針對性的安全策略提供科學依據。因此，相關人員還應該加強該種網絡安全威脅態(tài)勢量化評估方法的研究，以便更好的開展相關工作。

1網絡安全威脅態(tài)勢量化評估研究

所謂的網絡態(tài)勢，其實就是各種網絡裝備的運行狀況，是整個網絡當前狀態(tài)和變化趨勢。在用戶行為和網絡行為發(fā)生變化的情況下，網絡態(tài)勢則會隨之變化。而網絡安全態(tài)勢則是網絡安全狀態(tài)的變化趨勢，對其展開評估需要通過大范圍網絡監(jiān)控完成大量網絡安全信息的收集。自計算機出現以來，網絡安全問題就一直存在，不僅將威脅個人權益，還將威脅國家安全。對網絡安全進行評估，則有利于加強網絡安全管理。目前，國內在網絡安全威脅態(tài)勢量化評估方面使用的指標比較片面，獲得信息的途徑也較為單一，很難滿足實際需求。在網絡空間狀態(tài)意識框架建立上，未能完成圓形系統構建，以至于較難實現有效評估網絡空間安全性的目標。得到廣泛使用的評估方法則為SSARE，可以檢測計算機攻擊狀態(tài)及呈現出的態(tài)勢[1]。而利用IDS日志庫開展取樣分析工作，則能加深對主機了解，從而完成層次化網絡安全威脅態(tài)勢量化評估體系的建立，繼而從網絡、主機和服務多方面完成評估。

2網絡安全威脅態(tài)勢量化的評估方法

2.1評估模型

按照網絡拓撲結構和規(guī)模，可以將網絡系統劃分為網絡、主機和服務三個層次，而網絡攻擊多針對主機提供的特定服務。根據這一特點，可以采取“自下而上”、“先局部后整體”和“橫向關聯”的策略開展網絡安全威脅態(tài)勢量化評估工作。采取該策略建立評估模型，可以IDS報警和漏洞掃描結果為原始數據，然后在服務層完成單次攻擊對信息安全造成的威脅的評估。通過對威脅的嚴重程度進行評估，則能夠完成量化分析。而DoS類攻擊主要會在主機層造成危害，該層別態(tài)勢由攻擊對信息和服務造成的威脅嚴重程度，需要分別結合單臺主機上攻擊路徑和給服務可用性造成的影響展開評估。完成各主機層態(tài)勢量化評估后，則可以通過計算態(tài)勢指數加權和完成網絡層態(tài)勢指數的計算。在這一過程中，需要對每個主機服務潛在的威脅展開全面分析，并對威脅攻擊的損失程度、網絡寬帶占用的數據和可能發(fā)起的攻擊次數等內容展開分析，以便完成主機系統安全性的綜合評定。

2.2定量分析

對于層次化網絡來講，網絡服務造成的威脅將成為影響網絡的重要因素。其中，威脅程度、嚴重后果和服務訪問量都會對網絡服務構成威脅。因為，受攻擊時間的影響，服務訪問量會產生一定差異性。所以在計算時，需要對時間窗口進行分析，并對具體某個時刻的服務威脅指數進行計算。在計算過程中，需完成時間段劃分。具體來講，就是將網絡時間劃分為晚上12點到8點、上午8點到6點、下午6點到晚上12點三個時間段，然后以各時間段的訪問量平均值為依據對正常訪問量向量進行賦值，即利用1、2、3、4、5分別代表超低級、低級、中級、高級、超高級這四個級別的訪問量。對原始數據進行歸一化處理后，則能夠得到正常訪問量向量值[2]。在此基礎上，需要按照攻擊事件嚴重程度開展一系列調查，以確定威脅指數的有效性，確保評估結果符合合理性標準。從有關研究來看，嚴重程度分別為1和2的分別發(fā)生100次和10次攻擊，可以獲得一致的威脅指數。所以在計算威脅指數時，應增加攻擊嚴重程度，以免威脅指數計算結果因特殊狀態(tài)而與現實之間出現偏差。

2.3參數確定

在對各層次的威脅指數進行計算時，需要對各層次的威脅程度指數、重要性權重和網絡寬帶占有率進行確定。確定威脅程度指數，可以將報警日志中的無效攻擊嘗試排除在外，從而使評估更加準確。因為，考慮無效攻擊嘗試，將導致成功攻擊次數減少，從而導致攻擊威脅指數減小。對網絡寬帶占有量進行測定，則可以為攻擊次數的威脅分析提供依據，因為有效攻擊將通過消耗網絡寬帶導致網絡拒絕服務[3]。此外，還要通過評估服務器上數據動態(tài)、量變和人為因素進行服務和主機重要性權重的確定。

3結論

使用層次化網絡安全威脅態(tài)勢量化評估方法，可以從多個層次直觀反映網絡安全威脅態(tài)勢，所以能夠幫助網絡管理人員更好掌握網絡安全動態(tài)，并制定有針對性的安全策略。

作者：李智勇 單位：吉林省人力資源和社會保障信息管理中心

參考文獻

[1]陳鋒，劉德輝，張怡，等.基于威脅傳播模型的層次化網絡安全評估方法[J].計算機研究與發(fā)展，2011，06：945~954.

篇2

關鍵詞：電力信息 網絡安全 防范措施

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2016）12-0214-01

1 電力信息網絡安全的現狀

1.1 缺乏安全意識

電力企業(yè)實現網絡信息化建O，使電力企業(yè)得到了很大的發(fā)展，但是電力企業(yè)卻缺乏信息網絡的安全意識，對信息網絡中發(fā)生的信息安全問題缺少足夠的認識。

1.2 缺乏規(guī)范化的管理

我國電力企業(yè)并沒有建立統一的、 規(guī)范的關于信息網絡系統的安全管理規(guī)范，使信息網絡安全缺乏統一的防范措施，所以總是出現違規(guī)操作。

1.3電力信息網絡安全的基礎設施不完善

信息網絡的基礎安全設施建設是信息網絡安全的基礎，而電力信息網絡的安全設施卻存在很多缺陷，使電力信息網絡安全無法得到保障。

2 電力信息網絡安全存在的問題

2.1 惡意的入侵

電力信息的高機密網絡信息如果受到網絡黑客的惡意入侵，就會使信息被盜。黑客帶有技術惡意的入侵，使電力企業(yè)的電腦受到攻擊，而惡意入侵不僅會盜取電力重要的信息，還可能做出解除密碼、清除資料等行為，而這些行為都會嚴重影響電力企業(yè)的正常經營與管理。電力企業(yè)的信息網絡安全時刻處于隱患中，一旦發(fā)生惡意入侵，電力信息網絡的安全保護措施顯得十分脆弱，無法抵擋。密碼十分容易的被破解掉，這往往由電力企業(yè)自身造成的，不重視文檔的密碼管理，有些重要文件甚至不設置密碼，使惡意入侵者十分容易獲取資料，不留痕跡的帶走資料退出系統。

2.2 病毒的傳播

電腦中毒，估計每個計算機用戶都發(fā)生過這個情況，開機變慢、反應速度變慢、電腦時常發(fā)生死機，電腦聯網就很有可能中毒，有些病毒甚至無法分析出種類。目前電腦病毒一般為兩種，其中一種是病毒、蠕蟲性質。以程序對目標進行破壞，進行破壞后的目的實現。這種病毒會大量復制，就像生物學中的病毒擴散一樣，將病毒逐個盤傳染，依附載體進行病毒的傳染，并且會不斷的進行繁衍。蠕蟲性質既有病毒的性質，又具有廣泛的傳播和隱蔽性，使殺毒軟件不能發(fā)現處理，并且對殺毒軟件抵制，具有極強的破壞性，為黑客所使用。

3 電力信息網絡安全防范的措施

3.1 加強安全管理

電力信息網絡安全管理包括網絡設備的安全管理、 信息的安全管理與人員的安全管理。

3.1.1 網絡設備的安全管理

網絡設備的安全管理要實現雙網雙機和分區(qū)防御，建立等級防護和多層防御的體系。對網絡因數據流做好檢測與控制工作，對網絡的訪問進行嚴格的控制，對網絡的入侵開啟防護措施，對網絡訪問權限要嚴格控制，甚至對于遠程用戶也要做好標識和認證工作。

及時檢測網絡的性能，凈化網絡的安全運行，業(yè)務信息傳輸時要進行加密措施，實現對信息的保密，使敏感類信息可以經加密措施得到保護，防止非法的偵聽與盜取。

采用內網與外網隔離的措施，安裝硬件的防火墻、安裝入侵檢測系統和服務器核心防護系統等先進的網絡監(jiān)控系統，使網絡安全事故有效降低。

3.1.2 加強人員管理

電力企業(yè)要定期開展內部信息網絡安全培訓，使員工增強信息網絡安全防范的意識。培養(yǎng)員工建立良好網絡使用習慣，與工作無關存儲的設備禁止在企業(yè)電腦使用，不允許在企業(yè)電腦安裝盜版的軟件和與工作無關的軟件，也不允許到網絡上隨意下載軟件，對電力信息網絡開機口令要定期進行修改，對屏幕要設置密碼，對每臺操作的電腦都要進行定期的殺毒和文件的備份工作等。只有提高企業(yè)所有人員的信息網絡安全化意識，才能真正開展電力信息網絡安全防范措施。

3.2 防止惡意的入侵

3.2.1 及時發(fā)現漏洞

將電力信息網絡中不必要端口與服務進行關閉，要及時發(fā)現系統的漏洞，一旦出現漏洞，要及時升級各種補丁，防止系統受到惡意的入侵。將電腦與系統閑置的端口和可能存在威脅的端口和服務要進行關閉，這可以有效預防黑客從這些閑置的、存有威脅的端口或服務進入，甚至破壞。如果一旦發(fā)現流行病毒后門的端口或者遠程的服務訪問，也要進行關閉。

3.2.2 設置防火墻與入侵檢測系統

防火墻可以有效防止惡意的入侵和攻擊，是計算機系統自我保護的重要屏障。防火墻可以對各種軟件進行識別，也可以對抵抗非授權的訪問進行技術控制。內部的資源哪些可以被外界訪問，外部的服務哪些可以被內部人員訪問，都可以進行識別。防火墻的抗惡意攻擊和免疫能力較強，可以對企業(yè)內部的網絡進行劃分，對各個網段進行隔離，限制重點或者敏感部分的網絡安全。

4 結語

綜上所述，本文對電力信息網絡安全的現狀、 存在的問題、防范的措施進行了分析，有了充分的了解后，電力企業(yè)一定要加強信息網絡安全的建設，使信息網絡的安全得到保障，才能使電力企業(yè)應用穩(wěn)定的信息網絡，為滿足人民服務更好的開展工作，保證電力企業(yè)實現可持續(xù)發(fā)展。

參考文獻

篇3

【關鍵詞】銀行業(yè)務；網絡安全；安全防護

近幾年來，隨著互聯網技術和通信技術的高速發(fā)展，各大銀行網絡業(yè)務的競爭日益激烈，網絡結構變得越來越復雜，進一步凸顯了銀行網絡安全保障方面存在的問題。因此，必須加強對銀行網絡安全防護的統一規(guī)劃和建設，確保銀行網絡業(yè)務的正常開展和運營，促進銀行新型網絡業(yè)務的發(fā)展。

1 銀行網絡安全防護機制的構建意義

隨著銀行網絡業(yè)務規(guī)模的持續(xù)擴大，網絡面臨的安全隱患問題也逐漸增多。如何在確保銀行網絡業(yè)務可持續(xù)發(fā)展的基礎上完善其安全體系，降低銀行網絡面臨的風險問題，成為了網絡安全領域面臨的重大挑戰(zhàn)。本文旨在解決銀行網絡業(yè)務存在安全隱患和威脅的基礎上，形成清晰的網絡拓撲結構，使其具有良好的身份認證策略、訪問控制策略和入侵檢測方法，確保銀行網絡在正常運營的前提下擁有較強的抗病毒、抗攻擊能力。

2 銀行網絡安全防護系統體系架構設計

銀行網絡安全防護系統的基礎網絡采用三層架構模式，由上到下分別為網絡核心層、網絡匯聚層和網絡接入層。

網絡核心層：其功能主要是為銀行開展網絡業(yè)務提供高速率數據傳輸和穩(wěn)定的骨干網絡傳輸結構，因此，網絡核心層必須具有郊區(qū)的可靠性和穩(wěn)定性，以及高速率的網絡連接技術，以適應網絡情況的實時變化。

網絡匯聚層：網絡匯聚層是接入多臺網絡交換機的匯聚之處，需要對來自下層的全部數據通信進行處理，同時將處理結構反饋到網絡核心層的上行鏈路，由此起到承上啟下的匯聚作用。網絡匯聚層的設計要充分滿足銀行網絡業(yè)務增長的需求，還要進一步綜合考慮新興業(yè)務的擴展應用。

網絡接入層：主要為網絡用戶連接到網絡提供服務，具有網絡帶寬共享、網絡劃分和MAC地址過濾等功能。網絡接入層的交換機端口密度高、價格成本低，可以考慮采用堆疊式和網管式交換機，其高速端口與匯聚層交換機連接，普通端口與計算機終端連接，從而緩解骨干網絡的擁塞情況。

3 銀行網絡安全防護系統網絡拓撲設計

圖 1 銀行安全防護網絡拓撲結構圖

銀行安全防護網絡拓撲結構采用三層雙星型架構模式，這種網絡架構模式的網絡層次明確，具有高度的安全性、穩(wěn)定性和可擴展性。三層結構模式使網絡層級功能明晰，以確保網絡后期建設維護操作方便；雙星結構模式可以保證銀行網絡業(yè)務通信的實時性，同時實現網絡負載均衡和實時備份功能。三層雙星型復合架構有利于銀行網絡業(yè)務的動態(tài)擴展，更有利于網絡安全防護機制的順利實施。銀行安全防護網絡拓撲結構如上圖1所示。

4 銀行網絡安全防護機制設計

4.1 入侵檢測系統

入侵檢測系統的部署主要是防止外界非法人員對銀行網絡進行攻擊，及時發(fā)現非法人員的入侵行為，以確保能夠立刻采取網絡防范措施。在銀行網絡中的關鍵部位部署入侵檢測系統，可以實時監(jiān)測流入和流出銀行網絡的數據流量，分析確認非法入侵行為，以確保銀行網絡業(yè)務的正常開展。銀行網絡安全防護系統中的入侵檢測工作流程如圖2所示：

圖2 入侵檢測系統工作流程圖

4.2 堡壘主機防御

堡壘主機的部署主要目的是實現銀行內部辦公人員與外部人員訪問銀行內部網絡資源全部都要經過堡壘主機，對全部操作數據信息進行實時記錄，確保操作行為審計。

4.3 網絡防病毒系統

網絡防病毒系統具有一定區(qū)域范圍內實時監(jiān)控和殺毒能力的軟件系統，具有網絡病毒隔離、病毒種類識別鑒定、病毒根源實時跟蹤等特點。銀行網絡安全防護系統采用SOC病毒服務器，可以實現企業(yè)級的防病毒部署安裝，對終端病毒進行統一管理。

4.4 動態(tài)口令認證系統

動態(tài)口令認證系統可以實現網絡用戶合法身份的認證，將發(fā)送給網絡用戶的密碼和USB Key作為身份認證依據，在網絡設備中啟用Radius認證，同時實現口令認證服務器的聯動來確保網絡用戶身份的合法性。當登陸到動態(tài)口令認證系統時，其口令是隨機變化的，為了防止網絡監(jiān)聽、數據假冒和猜測等攻擊問題，每個口令只能輸入使用一次。

4.5 漏洞掃描系統

漏洞掃描系統是采用掃描漏洞的手段對本地計算機系統的安全情況進行檢測，基于安全漏洞數據庫來發(fā)現系統漏洞，因此，漏洞掃描系統屬于一種滲透攻擊行為。

4.6 漏洞補丁系統

漏洞補丁系統采用的是C/S架構模式，客戶端已經配置在不同的操作系統中，由此將客戶端與服務器相互連接，實現漏洞補丁的自動下載功能。

4.7 數據庫安全設計

數據庫安全指的是對數據庫系統中的數據信息進行有效保護，防止數據信息遭到非法竊取和泄露。在銀行網絡安全防護系統中，數據庫與操作行為的安全性是相互結合的，當網絡用戶登錄到系統之后，系統會對應不同網絡的權限進行角色確認，才能允許用戶登錄到數據庫系統中，同時，用戶存取數據庫中的資源權限也要經過操作安全性檢測后才能允許進行，以最大限度確保了系統數據庫的安全。

5 結論

綜上所述，本文提出的銀行網絡安全防護系統可以創(chuàng)建統一管理的網絡對外接口，確保對銀行網絡業(yè)務數據的高效管理和內部資源共享，切實提高銀行內部網絡訪問的可信度，降低網絡安全威脅事故的發(fā)生率。

參考文獻：

[1]于順森.探討銀行計算機網絡安全管理[J].信息與電腦（理論版），2013（02）.

[2]王曉姝.商業(yè)銀行網絡安全風險分析[J].中國新通信，2013（09）.

[3]田雷年.銀行無線網絡組網及安全研究[J].中國新通信，2013（10）.

篇4

關鍵詞：計算機；信息管理；網絡安全；重要性

一、計算機網絡安全威脅因素

（一）軟件漏洞

計算機的使用中，涉及到各種軟件工具，這些軟件自身的應用系統可能就存在漏洞，導致將軟件安裝在電腦中使用時，就會因為軟件自身的漏洞造成計算機系統的面臨威脅，借助這些軟件漏洞，一些網絡技術高手就能帶入病毒，威脅計算機安全使用。

（二）配置不當

計算機硬件配置對于計算機的網絡應用安全也會產生較大影響，如果在計算機中安全的防火墻軟件配置存在問題，與計算機不匹配，就會形同虛設，完全不能發(fā)揮安全防御功能，還會引發(fā)計算機中其他軟件使用的安全缺口，導致系統安全受到威脅。

（三）木馬病毒

木馬病毒是計算機安全威脅中的重要組成部分，這種病毒具有很強的感染性和傳播力，一般能夠隱藏在相關的程序以及軟件中，是一種嵌入式的網絡病毒，這類病毒對于相關的計算機功能以及信息數據等都會產生一定的破壞性，可能會導致計算機不能正常操作，還會導致相關數據丟失甚至被篡改，對于計算機信息安全造成的威脅比較大。

二、計算機信息管理在網絡安全中的重要性

（一）強化相關人員對于網絡信息安全管理的意識和能力

當前，計算機已經成為人們工作、學習和生活中不可或缺的組成部分，在計算機的應用過程中，提升相關人員的安全風險意識和防范能力很有必要，通過計算機信息管理措施開展，能夠對于計算機使用中的安全問題提高警惕，加強網絡安全管理的重視度，提升計算機操作人員對于網絡安全技術的應用能力，幫助他們做好安全防范工作，保證網絡安全。還能夠對于相關人員進行道德操守的約束和限制，避免出現利益誘惑導致的網絡安全隱患。

（二）規(guī)范計算機信息管理技術應用

在計算機網絡安全管理中，需要用到計算機信息管理技術，相對來說，信息安全管理的范疇比較大，其中包含了很多病毒防御技術、防火墻技術、加密技術等，還包含系統監(jiān)測技術、掃描技術、系統管理技術等，在計算機信息管理的過程中應該避免單一的分析問題，而應該是綜合開展問題分析，通過層次化和細致的問題分析，構建完善的計算機安全體系，在這一體系下開展相關的網絡訪問和控制。所以在系統開發(fā)的時候需要創(chuàng)建一個穩(wěn)定的工作環(huán)境，做好風險控制，在出現意外時能夠有效使用預備方案來應對，將安全威脅降到最低。所以說，計算機信息管理能夠促進相關安全管理技術的規(guī)范操作和使用，還能不斷推動計算機信息安全管理技術的完善和發(fā)展，推動技術創(chuàng)新。

三、計算機信息管理在網絡安全中作用發(fā)揮的對策

（一）完善信息安全管理制度，確保信息安全管理成效

針對當前的網絡信息安全問題，要做好計算機信息管理工作，首先要建立網絡信息安全制度。成立網絡安全和信息化領導小組，建立網絡與信息安全管理規(guī)章制度，完善網絡安全管理規(guī)范、信息系統使用規(guī)范等文件，制定信息系統應急預案，落實信息安全等級保護制度。制定《信息系統、信息設備和保密設施設備管理制度》《涉密事件報告和查處等各項保密制度》等制度，嚴格執(zhí)行網上信息收集、編輯、審核、加載、更新、反饋等責任制度規(guī)定；建立分工協作、責任明確、嚴肅考核問責的網絡信息安全責任體系，進一步引導相關人員提高網絡與信息安全防范意識。只有切實做到網絡信息安全工作警鐘常鳴、常抓不懈，才能確保網絡與信息安全日常安全管理效益，保證涉密機構的信息安全，提升信息安全管理成效。

（二）注重技術應用和創(chuàng)新，促進安全威脅有效解決

目前，針對計算機信息管理研發(fā)的相關安全防護和抵御技術正在不斷發(fā)展更新中，為應對網絡安全威脅提供了有效的技術支持，針對計算機信息管理，必須要落實技術保障，搭建“穩(wěn)定器”。統一購置涉密存儲設備，內網計算機100%安裝自動升級的殺毒軟件和桌面防護系統，并為殺毒軟件配備專門服務器，保證24小時正常運轉；與電信公司聯合開展電信端設備檢查，每月組織信息人員對網絡設備運行、重要數據備份、病毒查殺等情況進行維護，發(fā)現問題及時整改消除，提高網絡信息系統的安全保障能力。針對計算機信息安全管理工作，相關部門要高度重視，并指定兼職網絡安全員負責日常網絡安全維護工作，制定印發(fā)《公司文明上網規(guī)范》，樹立“網絡信息安全無小事”的理念，在服務器和服務器之間設置經公安部認證的防火墻，設立內部和外部兩套網絡，成立網絡與信息安全領導小組，積極組織全體員工干部職工參加有關網絡與信息安全視頻培訓，堅持實時查看監(jiān)測、跟蹤維護和計算機應用操作技術服務，對計算機病毒、有害電子郵件設置整套的防范措施，構筑一道網絡信息安全“防火墻”。通過強化問題導向，提出整改建議。通過巡察、檢查、自查，摸清和掌握松桃隊信息網絡系統安全運行現狀及存在的薄弱環(huán)節(jié)，認真梳理潛在隱患，提出具體的整改建議，及時報告，扎實推進網絡安全工作。計算機信息管理是保障網絡安全的基本手段，目前的網絡安全威脅比較多，形式和內容都越來越多樣化，威脅因素越來越復雜化，網絡安全警鐘要長鳴，針對網絡安全問題，強化信息管理工作開展，創(chuàng)新技術應用，不斷完善管理制度，強化安全自查，做好安全培訓很重要。

篇5

 

1 概述

 

在數據源和數據宿之間傳送數據的過程，也稱數據通信。數據是信息的一種載體。數據傳輸是信息傳輸的一種形式，主要指與計算機有關的信息傳輸。近年來，隨著互聯網安全形勢日益嚴峻，互聯網用戶與相關行業(yè)都對數據傳輸和保存的安全極為重視。據調查，89.2%的網民在訪問電子商務網站時會擔心假冒網站;86.9%的人表示，如果無法獲得該網站進一步的確認信息，將會選擇退出交易;8%的網民最近半年在網上遇到過消費欺詐，該網民規(guī)模達到3880萬。在這種形勢下，互聯網企業(yè)在為用戶提供互聯網服務時，首先要解決的問題就是“如何證明自己是安全的、可信的”，而服務器證書就是這樣一款產品，安裝服務器證書的網站能得到權威的可信認證，其用戶與網站之間傳輸的信息是經過加密的，無法被竊聽。

 

2 數據傳輸系統作用

 

數據通信是依照一定的通信協議，利用數據傳輸技術在兩個終端之間傳遞數據信息的一種通信方式和通信業(yè)務。它可實現計算機和計算機、計算機和終端以及終端與終端之間的數據信息傳遞，是繼電報、電話業(yè)務之后的第三種最大的通信業(yè)務。很多公司都有一個擔憂，該怎么有效地保護好公司的數據呢?要實現這個目標，我們首先要對數據的泄露渠道做一一分析?，F在很多公司也采取了一些行之有效的保護措施，如禁用了公司所有的USB接口，對郵件也加強了檢測，對于重要文件利用文件服務器進行統一管理，但是，文件泄露事件仍然不少。其實，他們是忽視了一個環(huán)節(jié)，就是文件在網絡中傳輸時，是否有人在偷窺呢?很多人不知道數據在網絡傳輸的過程中，也有這么多人在虎視眈眈，在檢測你的數據。若他們覺得數據有價值，就可以不通過文件服務器，而直接在網絡傳輸的過程中，獲得所需要的文件。如此，文件服務器上的權限控制、訪問日志等等安全措施將會一無用處。利用IPSec策略，可以非常輕松地解決這個問題。IPsec在IP層提供安全服務，它使系統能按需選擇安全協議，決定服務所使用的算法及放置需求服務所需密鑰到相應位置。IPsec用來保護一條或多條主機與主機間、安全網關與安全網關間、安全網關與主機間的路徑。IPsec能提供的安全服務集包括訪問控制、無連接的完整性、數據源認證、拒絕重發(fā)包(部分序列完整性形式)、保密性和有限傳輸流保密性。

 

簡單地說，IPSec能夠對網絡傳輸過程中的數據進行加密，即使有人在偷窺網絡中傳輸的數據，但是，其得到的數據都是加密過后的內容，若不知道解密策略，則得到的都是一些亂碼。如此，其即使得到文件，但是，也是一無用處。IPSec(IP安全策略)除了以上這個功能外，還有防止數據在傳輸過程中被更改、數據源認證等功能，不過對于企業(yè)來說，最實用的還是這個對于傳輸數據加密的功能。

 

3 網絡數據傳輸主要研究內容及方向

 

以多媒體、海量空間數據的傳輸通訊與網絡安全研究為核心，開展多媒體移動通信、微波通信和衛(wèi)星接收新技術、數字信息(信號、圖象)的獲取與傳輸、信息的壓縮、信息保密編碼、安全認證、數據庫安全增強等理論與技術研究開發(fā)。主要研究內容：①開展現代遠程通信、無線通信的新技術、新理論研究。開展基于Internet/Intranet的矢量數據、圖象數據、視音頻信號的傳輸和壓縮、糾正編碼新方法研究。②開展圖象的實時連續(xù)采集、提取與動態(tài)識別、檢測技術，特別是開展智能技術在圖象處理、識別、動態(tài)檢測以及遠程服務中的應用研究。③開展通信編碼與密碼理論研究，加強高碼距陣列編碼技術研究，實現系統編碼的機理和實現方法;跟蹤國際前沿，開展新型數據加密算法(如對稱、非對稱密碼算法、數據壓縮算法、量子加密)研究，并與信息安全產業(yè)界結合，實現新型密碼專用芯片。適應信息安全市場，選擇典型領域，研究開發(fā)密鑰管理技術。④結合各級政務共享平臺和辦公自動化系統等涉秘網的安全認證建設，開展基于數字簽名、身份認證的文件安全傳輸和交換，安全認證協議和PKI技術等開發(fā)。⑤開展網絡安全隱患檢測掃描，入侵檢測等網絡安全防護方面研究?；诙嘞到y包過濾的防火墻應用技術，IPSec與Web安全，網絡安全監(jiān)控與網絡安全管理等研究，特別是研究網絡安全使用與管理模型，建立基于安全保密政策的分析安全管理信息庫。開發(fā)具有自主版權的網絡運行安全狀態(tài)監(jiān)控軟件系統。⑥數據庫安全增強技術方面：面向“數字福建”大型共享和應用服務系統，開展主流分布式數據庫系統(如Oracle、Sybase、DB2等)的安全性分析，開發(fā)數據庫安全增強技術。

篇6

目前各高校的管理者和教育者普遍認識到加強大學生網絡安全教育的必要性，也進行了一定的探索和嘗試，但仍存在著諸多弊端，主要表現在以下方面。

(一)網絡安全教育重視程度不夠

很多高校把安全穩(wěn)定作為頭等大事來抓，但是對于網絡安全則沒有引起足夠的重視。筆者曾查詢了濟南市一本科高校辦公系統上的一年內關于安全的所有正式通知，包括加強春季安全大檢查、五一、暑假、國慶節(jié)、元旦及寒假前等安全工作的通知，竟然沒有一項提及網絡安全的教育內容。這充分體現了高校對網絡安全教育的重視程度嚴重欠缺。

(二)網絡安全教育內容陳舊，缺乏針對性

安全是高校一個永恒的話題，面對大學生的安全教育內容需要與時俱進，大學生普遍關注的網絡安全教育亦是如此。但是，目前高校的網絡完全教育更多地進行表面的信息傳遞和知識傳授，口頭陳述發(fā)生的網絡安全事故以及怎樣防范事故發(fā)生，幾乎都是從理論層面開展教育，缺乏對網絡安全教育的有效探索和實踐教學，更沒有針對學生的性別、專業(yè)、興趣愛好等不同特點進行有針對性的區(qū)分。這樣的教育內容刻板老套，滿足不了學生的需求，學生自然也不會入耳入心。

(三)網絡安全教育形式單一，缺乏有效的介入方法

大多數高校的網絡安全教育大都是由班主任、輔導員或班委通過班會、QQ群、飛信等方式傳遞給學生。這種單向的自上而下的傳遞方式，忽視了學生的個體差異和需求，會讓個性張揚、樂于表現的大學生缺少主動性，僅作為被動接受的一方而失去受教育的信心和樂趣，導致目前的大學生網絡安全教育效果較差，學生入耳但不入心，各種網絡安全隱患依然存在。

二、社會工作介入大學生網絡安全教育的可行性分析

(一)社會工作的目標與大學生網絡安全教育的目標具有相通性

社會工作的目標就是幫助人們解決問題、擺脫困境，進而促進社會和諧發(fā)展。而大學生網絡安全教育的目標正是讓大學生擺脫現存的或將來可能會出現的網絡安全方面的困境，擺脫危難，激發(fā)自身潛能，提高其適應社會和環(huán)境的能力，達到自我成長和自我發(fā)展的目的，最終促進社會和學校的和諧發(fā)展。

(二)社會工作介入高校大學生群體的優(yōu)勢

社會工作的核心價值理念是“助人自助”，通俗來說就是社會工作者不僅是幫助服務對象擺脫其所處的困境，還要促進服務對象的成長與發(fā)展，幫助服務對象發(fā)現自身的潛能并促進其提升社會適應性。大學生是社會的一個特殊群體，是站在新技術、新思想前沿的群體，是中國未來的建設者。處于這個階段的群體有其獨有的特點。從社會因素來看，在校大學生基本都出生于經濟快速發(fā)展的時期，物質相對富裕，對高科技的使用較為廣泛。從家庭因素來看，獨生子女已成為大學生的主體，他們從小就倍受寵愛，導致多數在校大學生以自我為中心，抗挫折的能力相對較差。從個體因素來看，大學生思想活躍，注重民主平等，權利意識和主體意識不斷增強。高校教育工作者要充分掌握這些特點，因人、因時、因地施教。傳統的網絡安全教育已無法解決大學生個性化的問題，迫切需要引入新的工作理念和方法。而社會工作正符合這個要求。社會工作之所以能成為現代社會解決社會問題的主要方式，在于其秉承“以人為本”的價值理念，以利他主義為指導，在解決社會問題時，總是將人放在首位，同時用整體觀點來看待社會，從人與環(huán)境互動的角度理解社會生活中的個人。

(三)社會工作介入可有效穩(wěn)定學校和社會環(huán)境

安全穩(wěn)定是各個高校努力追求的工作目標，目前，各高等院校都在努力創(chuàng)建平安校園、和諧校園。在網絡不斷沖擊大學校園和大學生的背景之下，高校網絡安全事故不斷發(fā)生，不僅對學生本人帶來傷害，而且對學生家長、學校及社會都產生一定的負面影響。網絡安全教育則是一個減少網絡安全事故、穩(wěn)定學校和社會環(huán)境的有效措施。社會工作以人為本，堅持助人自助的工作理念，致力于建立一個平等、和諧、穩(wěn)定的社會。將社會工作介入到高校網絡安全教育中，可以通過網絡安全教育起到穩(wěn)定學校、家庭和社會的作用，維護社會的良好秩序。

三、借鑒社會工作理念，創(chuàng)新網絡安全教育新觀念

目前，我國高校的網絡安全教育普遍采用“一人講、多人聽”的灌輸方式，把大學生看作被動接受的對象，完全忽視了教育的主動性和能動性。這種形式所帶來的結果必然是不能充分滿足學生的需求，甚至還會引起學生的逆反心理，教育效果不佳。而借鑒社會工作“助人自助”的理念，教師可以充分發(fā)揮學生的能動作用，調動學生的積極性，開拓學生的思維，將網絡安全教育的相關內容和現實生活中的案例相集合，尋找學生中的“金點子”、“好辦法”，肯定學生的潛能，逐步提升學生自覺學習、主動實踐的能力，最終促進學生自我成長、自我發(fā)展。

四、引入社會工作方法，探索網絡安全教育新模式

(一)個案工作方法有助于學生網絡安全教育個性化問題的解決

個案工作是社會工作方法中起源最早、最基本的工作方法，強調個別化的原則，注重個體的獨特性，善于挖掘學生的潛能和內外資源，強調自決、尊重和平等。同時，堅持“人在情景中”，把學生放到特定的環(huán)境中去考查，充分理解學生行為產生的背景，也就更能理解學生，設身處地地為學生著想。這種個性化的工作理念更容易被當代大學生所接受。在高校，由于每個學生的專業(yè)、年級、性別等個體差異，對網絡安全知識和技能的掌握也不盡相同。因此，可以通過問卷調查、訪談等方式進行調研，了解學生的需求分類。在此基礎上可以引入社會工作個別化的原則，將網絡安全教育劃分成不同的模塊，針對不同人群，選擇不同的教育內容，做到具體問題具體分析。通過不同層面、分門別類的因人施教，可以有針對性地關注到每一類學生的個體需求，開展個別輔導，提升教育效果。

(二)小組工作方法有助于學生網絡安全教育共性化問題的解決

小組工作是指社會工作者通過有目的的小組活動和組員之間的互動，幫助小組成員共同參與集體活動，從中獲得小組經驗，處理個人、人與人之間、人與環(huán)境之間的問題，恢復與發(fā)展社會功能，開發(fā)個人潛能，從而獲得個人成長。通過小組活動的開展，幫助學生學習到小組經驗，并建立起良好的朋輩支持網絡，這種朋輩間的支持遠比教師的教育引導更為有效。同時，因為小組工作強調在達成小組目標的同時完成成員個體的轉變，更適合在廣大大學生中開展。傳統的網絡安全教育更多采用集體輔導、課堂通知的方式。筆者了解到，學生對這些形式興趣不大，更希望通過角色扮演、示范教學等方式有針對性地進行現場演練。所以大學生的網絡安全教育可以根據學生需求，設計不同的教育內容，借鑒小組工作方法開展教育活動，比如編寫網絡安全教育劇本，組織學生設計劇情進行角色扮演，親身演練各種危機狀態(tài)。同時，還可以根據各種網絡安全隱患開展不同的學習小組，比如網絡交友安全小組、網絡交易安全小組、網絡信息安全小組等，通過這種朋輩群體之間的互動和支持，達到安全教育的目的。

(三)社區(qū)工作方法有助于整合校內校外網絡安全教育資源

在學校開展網絡安全教育，更應強調學校內外資源的整合，形成教育合力。大學生網絡安全教育不能僅僅依靠輔導員等學工人員實施，還需要積極協調校內、校外資源，努力擴展網絡安全教育的空間和范圍。在校內，首先，要加強對網絡安全教育的統一領導，設立網絡安全監(jiān)督部門，培訓與網絡安全相關的人員等。其次，建立一支高水平的網絡安全教育隊伍，推進“全員育人”的工作思路，形成全校齊抓共管的良好局面。網絡安全教育除了依靠高校之外，還需要動員社會力量，聯合家庭、社會共同參與，加強學校和社區(qū)的聯系與溝通，整合教育資源。高?？梢匝埳鐓^(qū)內的網絡安全教育工作者、網絡警察等專業(yè)工作者，結合大學生的網絡安全案例和自身的工作感悟，到校開展網絡安全方面的專題教育。

作者：李霞 單位：山東女子學院

參考文獻:

［1］彭陽慈航.大學生網絡安全教育研究［D］.武漢:武漢紡織大學，2013.

［2］鄔萍.社會工作介入少年兒童的假期生活———以東勝新園社區(qū)為例［D］.內蒙古師范大學，2014.

［3］楊延存.淺談新時期高校大學生的特點［J］．山西青年，2013，(11).

篇7

SDN 物聯網 網絡安全 安全策略

1 引言

物聯網概念于1999年由美國麻省理工學院Auto-ID中心的Kevin Ashton教授[1]首次提出，它是指通過射頻識別（RFID，Radio Frequency Identification Technology）、紅外傳感器、全球定位系統、激光掃描器等信息傳輸設備，按約定的協議，把任何物品與互聯網連接起來進行信息交互，以實現智能識別、定位、跟蹤、監(jiān)控、和管理的一種網絡。物聯網實際上是物物相連的互聯網，它是在互聯網基礎上的延伸和拓展。通過物聯網，任何物品可以相互連接，進行信息交換和通訊。當前，物聯網技術正在蓬勃發(fā)展，小到智能家居，大到智慧地球，各行各業(yè)都在發(fā)展和利用物聯網技術、物聯網概念[2]。隨著物聯網用戶和終端的高速增長，基礎設施和網絡結構面臨著巨大的挑戰(zhàn)，網絡的結構、協議、安全及管理等變得日趨復雜。由于物聯網末端傳感網絡規(guī)模龐大，部署環(huán)境復雜多樣，以及物聯網用戶缺乏專業(yè)能力，確保數十億物聯網設備的網絡安全已經變得越來越困難。傳統的安全機制如防病毒、網絡機制等，不足以解決物聯網網絡[3]所帶來的網絡安全挑戰(zhàn)。

SDN技術的運用為解決物聯網面臨的網絡安全問題提供了一種創(chuàng)新的解決途徑。SDN技術由斯坦福大學的研究機構[4]首先提出，實現了控制與轉發(fā)相分離、控制層邏輯集中、網絡功能可編輯等功能，隨著SDN技術的不斷發(fā)展和完善，SDN技術可以為網絡提供統一的管理接口和運行環(huán)境，具備網絡虛擬化NFV和資源調度系統功能。本文提出一種基于SDN的物聯網安全架構，在物聯網的網絡和應用層應用SDN技術，實現網絡控制與業(yè)務轉發(fā)相分離，實現網絡功能部署的軟件化，同時將網絡安全作為一種應用面向物聯網用戶提供服務，實現對網絡安全資源的集中調度、網絡安全標準的統一整合、網絡安全策略的靈活配合。

2 IoT面臨的主要安全問題

IoT逐步應用于社會的各個行業(yè)，IoT的網絡安全問題變得日趨重要。由于IoT眾多信息普遍通過無線方式實現互通，信息安全面臨嚴峻挑戰(zhàn)。IoT的傳感器數量龐大，功能各異，而且采集傳遞著大量的身份識別、監(jiān)控數據、支付信息等高等級安全信息，因此傳感器網絡的安全問題變得極其重要，這也是IoT網絡安全與互聯網網絡安全的主要差別所在。

IoT的無線傳感器網絡由多個傳感器節(jié)點、節(jié)點網關、可以充當通信基站的設備及后臺系統組成。通信鏈路存在于傳感器與傳感器之間、傳感器與網關節(jié)點之間和網關節(jié)點與后臺系統之間。對于攻擊者來說，這些設備和通信鏈路都有可能成為攻擊對象，所以IoT網絡面臨的安全問題與傳統網絡相比有其獨有的特點，圖1為IoT網絡攻擊模型示意圖：

由于具備了無線的信道、有限的能量、分布式控制等特點，使得無線傳感器網絡更容易受到攻擊。被動竊聽、主動入侵、拒絕服務則是這些攻擊的常見方式，無線傳感器網絡可能遭到的安全挑戰(zhàn)[5]包括下列情況：

（1）網絡的網關節(jié)點被敵手控制，則安全性全部丟失；

（2）網絡的普通節(jié)點被敵手控制；

（3）網絡的普通節(jié)點被敵手捕獲；

（4）網絡的節(jié)點受來自網絡的拒絕服務攻擊；

（5）接入到物聯網的超大量傳感節(jié)點的標識、識別、認證和控制問題。

此外，IoT網絡還擁有大量RFID系統，主要由電子標簽、閱讀器、后臺應用系統與無線通信信道、后端網絡通信信道等組成。RFID系統也是IoT網絡遭受攻擊的主要對象，主要包括被動攻擊、主動攻擊、物理攻擊等：

（1）被動攻擊。被動攻擊不對系統數據做任何修改，而是通過竊聽截獲電子標簽中的關鍵數據，再結合被竊聽對象的其他信息及竊聽的時間、地點等數據，就可以分析出大量有價值的信息。

（2）主動攻擊。主動攻擊涉及對系統數據的篡改或增加虛假的數據，其手段主要包括假冒、重放、篡改、拒絕服務和病毒攻擊等。

（3）物理攻擊。物理攻擊需要接觸系統的軟/硬件，并對其進行破解或破壞。對于RFID系統而言由于標簽數量巨大，難以控制，所以物理攻擊是RFID系統面臨的最大的安全威脅。

3 基于SDN的物聯網安全架構

基于SDN物聯網的系統架構是在SDN技術應用層、控制層、轉發(fā)層三層基本架構下，增加由傳感器組成的感知層。將SDN技術用于物聯網架構，運用控制層面與轉發(fā)層面相分離的特性和可編輯的網絡功能部署能力，可以最大程度地利用網絡資源能力，精確地監(jiān)測網絡安全狀態(tài)，簡化安全設備的設置，并根據業(yè)務和網絡安全變化趨勢自適應地調整和部署網絡安全策略，為解決物聯網面臨的安全問題提供了新的途徑?；赟DN的物聯網安全架構是在SDN物聯網四層架構的基礎上，在控制層和應用層增加網絡安全控制器、網絡安全策略服務器、網絡安全應用服務等功能模塊，整合網絡安全服務資源能力，構建面向用戶的網絡安全服務體系，具體架構如圖2所示。

（1）應用層，網絡管理人員可以通過可編程接口實現網絡監(jiān)控管理功能，包括路由管理、接入控制、Э矸峙?、流量工倡HQoS保障、網絡安全、計算和存儲等，應用開發(fā)人員還可以通過SDN控制器提供的網絡全局信息，根據用戶需求開發(fā)相應的應用程序。在應用層增加網絡安全應用，利用云計算的軟件即服務模式（SaaS，Software-as-a-Service），構建虛擬防火墻、虛擬入侵檢測、虛擬入侵防御等網絡安全服務，末端用戶通過訂閱的方式獲取網絡安全服務，最大限度地簡化安全設備配置、安全策略分析和安全參數設置等末端網絡安全管理業(yè)務。

（2）控制層，由多個SDN控制器組成，SDN控制器部署網絡操作系統，網絡所有的控制功能被集中設置在此層，SDN控制器通過標準化的南向接口協議OpenFlow管理底層的物理網絡和設置的虛擬網絡，通過北向API接口向上層提供服務，并向上層服務提供抽象的網絡設備，屏蔽了具體物理設備的細節(jié)。在控制層增加網絡安全系統模塊，主要包括網絡安全控制器和安全策略服務器，網絡安全控制器是一個安全服務執(zhí)行單元，監(jiān)控下層網絡的安全狀態(tài)，并根據網絡和用戶需要執(zhí)行相應的安全策略等。安全策略服務器主要負責根據用戶申請的業(yè)務情況向上層的安全應用訂閱相關服務，并存儲上層應用提供的安全策略，提供給網絡安全控制器查詢使用。

（3）轉發(fā)層，包含所有的網絡設備，與傳統網絡交換設備不同，SDN的網絡交換設備不具備網絡控制功能，控制功能被統一提升至控制層，網絡基礎設施通過SDN控制器的南向接口與控制層連接?；赟DN的物聯網在轉發(fā)層增加了OpenFlow AP等接入設備，為感知層傳感器接入網絡提供接口。傳統網絡的防火墻、入侵檢測等設備也可以通過開放相關接口，為上層提供網絡安全狀態(tài)監(jiān)控信息，同時也可以接收網絡安全控制器下發(fā)的安全策略和相關設備配置信息。

（4）感知層，在物聯網體系結構中處于底層，承擔信息感知的重任。主要由RFID系統和無線傳感器網絡組成。RFID系統需要采用訪問控制、身份認證和數據加密等安全措施；無線傳感器網絡需要有效的密鑰管理機制，并采用安全路由和入侵檢測等傳統網絡安全技術。

4 各層的安全模塊及策略

4.1 控制層網絡安全模塊

由于SDN控制層具備對網絡進行集中管控的能力，通過在控制層設置網絡安全控制器和策略服務器等網絡安全模塊，可以在安全策略的細粒度、實時推送和流量監(jiān)控等方面相比較傳統網絡安全體系具有較大優(yōu)勢。網絡安全控制器部署在開源的SDN控制器之上，如NOX、Onix[6-7]等，由安全執(zhí)行內核和資源控制器兩部分組成，網絡安全控制器通過運行不同的Module安全模塊，實現對SDN控制器流表的安全策略控制[8]，網絡安全控制器集成了大量API接口，并能夠與傳統的安全工具進行通信；資源控制器用于監(jiān)控OpenFlow交換機和OpenFlow AP的狀態(tài)，并刪除交換機和AP流表中廢棄的流規(guī)則，及時清理流表空間。Module安全模塊存儲在安全策略服務器上，不同的Module模塊用于提供不同的安全功能，這些模塊可以被共享或組合，以提供更加復雜的安全防護功能[9]。此外，安全策略服務器還提供了由Python腳本語言編寫的API接口，使得研究人員可以自己編寫具有安全監(jiān)控和威脅檢測功能的Module安全模塊，安全策略服務器還可以向應用層訂閱相關的網絡安全服務?？刂茖泳W絡安全控制器和安全策略服務器的設置情況如圖3所示。

4.2 應用層網絡安全服務

在基于SDN物聯網的應用層部署基于云的安全分析處理服務（CbSA，Cloud-based Security Analyzer）[10]，當控制層的安全策略服務器無法匹配接入網絡申請的網絡安全服務請求時，通過安全和管理服務（SMS，Security and Management Service）[11]的方式，向CbSA訂閱相應的網絡安全服務策略，圖4表示了CbSA的體系結構和流程示意，其中云服務管理器負責處理來自控制層的流量分析請求，當收到一個新的分析請求時，云服務管理器首先對SMS的請求進行認證，然后根據用戶參數和安全服務請求內容計算查找匹配的安全策略，最后將策略返回給控制層安全策略服務器，從而為用戶提供虛擬防火墻、虛擬入侵檢測、虛擬入侵防御等服務。此外，通過云平臺還可以為網絡提供惡意軟件、僵尸網絡、垃圾郵件等多種網絡安全檢測服務。

CbSA可以通過部署虛擬軟件中間件的方式為控制層分析特征用戶的流量并提供自動安全配置更新，云服務管理器可以要求中間件管理器提供一個中間件實例來處理特征用戶流量，通過這個中間件來作為流量隧道以便分析特征用戶的實時流量，計算分析用戶的網絡安全風險，并給出相應的安全策略[12]。CbSA可以從所有連接的控制層安全控制器和策略服務器接收網絡安全監(jiān)測數據，它將這些數據與病毒特征數據庫、惡意軟件數據庫等外部資源數據進行整合，從全網的視角透視分析網絡安全風險，并計算生成相應的安全配置策略。這種方法特別有助于檢測惡意流量的微小痕跡，而這對于傳統部署在網絡邊界的安全系統來說很難實現。

4.3 感知層的安全策略

（1）RFID安全策略

現有提出關于RFID技術的安全策略主要包括訪問控制、身份認證和數據加密。其中身份認證和數據加密有可能被組合運用，其特點是需要一定的密碼學算法配合，因此這里將身份認證和數據加密機制統稱為密碼學機制。

1）訪問控制。訪問控制機制主要用于防止隱私泄露，使得RFID標簽中的信息不能被隨意讀取，包括標簽失效、法拉第籠、阻塞標簽、天線能量分析等措施。這些措施的優(yōu)點是比較簡單，也容易實施；缺點是普適性比較欠缺，必須根據不同的物品進行選擇。

2）密碼相關技術。密碼相關技術除了可實現隱私保護，還可以保護RFID系統的機密性、真實性和完整性，并且密碼相關技術具有廣普性，在任何標簽上均可實施。但完善的密碼學機制一般需要較強的計算能力，標簽的功耗和成本是一個比較大的挑戰(zhàn)。

（2）o線傳感器網絡安全策略

在無線傳感器網絡內部，需要有效的密鑰管理機制用于保障網絡內部通信安全。網絡內部的安全路由、聯通性解決方案等都可以相對獨立地使用。由于網絡類型的多樣性，很難統一要求有哪些安全服務，但機密性和認證性都是必要的。機密性需要在通信時建立一個臨時會話密鑰，而認證性可以通過對稱密碼或非對稱密碼方案解決。安全路由和入侵檢測等也是無線傳感器網絡應具有的性能。

由于鞲釁魍絡的安全一般不涉及其他網絡安全，因此是相對較獨立的問題，有些已有的安全解決方案在物聯網環(huán)境中也同樣適用。但由于物聯網環(huán)境中傳感網遭受外部攻擊的機會增大，因此用于獨立傳感器網絡的傳統安全解決方案需要提升安全等級后才能適用。相應地，傳感器網絡的安全需求所涉及的密碼技術包括輕量級密碼算法、輕量級密碼協議、可設定安全等級的密碼技術等。

5 結論

隨著SDN技術的應用與發(fā)展，SDN技術已經被采納成為5G系統承載網絡標準，并逐漸成為構建新一代網絡系統架構的關鍵技術之一，物聯網的承載網絡也會逐步應用SDN技術。本文提出了基于SDN的物聯網安全架構，分析了各個層面的安全模塊和策略，下一步還需從以下方面開展相關研究：

（1）在應用層方面，研究開發(fā)基于SaaS的網絡安全服務應用，拓展針對物聯網安全風險的分析能力，同時進一步標準化應用層與控制層之間的接口和交互流程。

（2）在控制層方面，研究開放的安全控制器內核，使其可以與更多的SDN控制器操作系統向融合，開發(fā)功能豐富的中間件，最大限度地優(yōu)化現有網絡安全資源。

（3）在接入層方面，研究拓展OpenFlow流表對網絡安全策略的匹配方法，研究端到端網絡安全策略部署的一致性等問題，進一步豐富網絡安全狀態(tài)監(jiān)控和報告手段。

參考文獻：

[1] 彭瑜. 物聯網技術的發(fā)展及其工業(yè)應用方向[J]. 自動化儀表， 2011（32）： 1-7.

[2] 何立民. 什么是物聯網[J]. 單片機與嵌入式系統應用， 2011（10）： 79-81.

[3] Yu T， Sekar V， Seshan S， et al. Handling a Trillion （unfixable） Flaws on a Billion Devices： Rethinking Network Security for the Internet-of-Things[M]. ACM Workshop， 2015： 1-7.

[4] Mckeown N， Anderson T， Balakrishnan H， et al. OpenFlow： Enabling Innovation in Campus Networks [J]. Acm Sigcomm Computer Communication Review， 2008，38（2）： 69-74.

[5] 何明，陳國華，梁文輝，等. 軍用物聯網研究綜述[J]. 指揮控制與仿真， 2012，34（1）： 6-10.

[6] Gude N， Koponen T， Pettit J， et al. NOX： towards an operating system for networks[J]. Acm Sigcomm Computer Communication Review， 2008，38（3）： 105-110.

[7] Koponen T， Casado M， Gude N， et al. Onix： A Distributed Control Platform for Large-Scale Production Networks[A]. Proceedings of the 9th USENIX Conference on Operating Systems Design and Implementation[C]. 2010： 351-364.

[8] Nayak A K， Reimers A， Feamster N， et al. Resonance： Dynamic Access Control for Enterprise Networks[A]. Proceedings of the 1st ACM Workshop on Research on Enterprise Networking[C]. 2009： 11C18.

[9] Jafarian J H， Al-Shaer E， Duan Q. OpenFlow Random Host Mutation： Transparent Moving Target Defense Using Software Defined Networking[A]. Proceedings of the 1st ACM Workshop on Hot Topics in Software Defined Networks[C]. 2012： 127C132.

[10] Brewer， Eric. Kubernetes and the Path to Cloud Native[A]. In Proceedings of the Sixth ACM Symposium on Cloud Computing[C]. 2015： 167.

篇8

20xx年最新網絡安全保護法第一條　為了加強對通信網絡安全的管理，提高通信網絡安全防護能力，保障通信網絡安全暢通，根據《中華人民共和國電信條例》，制定本辦法。

第二條　中華人民共和國境內的電信業(yè)務經營者和互聯網域名服務提供者(以下統稱通信網絡運行單位)管理和運行的公用通信網和互聯網(以下統稱通信網絡)的網絡安全防護工作，適用本辦法。

本辦法所稱互聯網域名服務，是指設置域名數據庫或者域名解析服務器，為域名持有者提供域名注冊或者權威解析服務的行為。

本辦法所稱網絡安全防護工作，是指為防止通信網絡阻塞、中斷、癱瘓或者被非法控制，以及為防止通信網絡中傳輸、存儲、處理的數據信息丟失、泄露或者被篡改而開展的工作。

第三條　通信網絡安全防護工作堅持積極防御、綜合防范、分級保護的原則。

第四條　中華人民共和國工業(yè)和信息化部(以下簡稱工業(yè)和信息化部)負責全國通信網絡安全防護工作的統一指導、協調和檢查，組織建立健全通信網絡安全防護體系，制定通信行業(yè)相關標準。

各省、自治區(qū)、直轄市通信管理局(以下簡稱通信管理局)依據本辦法的規(guī)定，對本行政區(qū)域內的通信網絡安全防護工作進行指導、協調和檢查。

工業(yè)和信息化部與通信管理局統稱電信管理機構。

第五條　通信網絡運行單位應當按照電信管理機構的規(guī)定和通信行業(yè)標準開展通信網絡安全防護工作，對本單位通信網絡安全負責。

第六條　通信網絡運行單位新建、改建、擴建通信網絡工程項目，應當同步建設通信網絡安全保障設施，并與主體工程同時進行驗收和投入運行。

通信網絡安全保障設施的新建、改建、擴建費用，應當納入本單位建設項目概算。

第七條　通信網絡運行單位應當對本單位已正式投入運行的通信網絡進行單元劃分，并按照各通信網絡單元遭到破壞后可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度，由低到高分別劃分為一級、二級、三級、四級、五級。

電信管理機構應當組織專家對通信網絡單元的分級情況進行評審。

通信網絡運行單位應當根據實際情況適時調整通信網絡單元的劃分和級別，并按照前款規(guī)定進行評審。

第八條　通信網絡運行單位應當在通信網絡定級評審通過后三十日內，將通信網絡單元的劃分和定級情況按照以下規(guī)定向電信管理機構備案：

(一)基礎電信業(yè)務經營者集團公司向工業(yè)和信息化部申請辦理其直接管理的通信網絡單元的備案;基礎電信業(yè)務經營者各省(自治區(qū)、直轄市)子公司、分公司向當地通信管理局申請辦理其負責管理的通信網絡單元的備案;

(二)增值電信業(yè)務經營者向作出電信業(yè)務經營許可決定的電信管理機構備案;

(三)互聯網域名服務提供者向工業(yè)和信息化部備案。

第九條　通信網絡運行單位辦理通信網絡單元備案，應當提交以下信息：

(一)通信網絡單元的名稱、級別和主要功能;

(二)通信網絡單元責任單位的名稱和聯系方式;

(三)通信網絡單元主要負責人的姓名和聯系方式;

(四)通信網絡單元的拓撲架構、網絡邊界、主要軟硬件及型號和關鍵設施位置;

(五)電信管理機構要求提交的涉及通信網絡安全的其他信息。

前款規(guī)定的備案信息發(fā)生變化的，通信網絡運行單位應當自信息變化之日起三十日內向電信管理機構變更備案。

通信網絡運行單位報備的信息應當真實、完整。

第十條　電信管理機構應當對備案信息的真實性、完整性進行核查，發(fā)現備案信息不真實、不完整的，通知備案單位予以補正。

第十一條　通信網絡運行單位應當落實與通信網絡單元級別相適應的安全防護措施，并按照以下規(guī)定進行符合性評測：

(一)三級及三級以上通信網絡單元應當每年進行一次符合性評測;

(二)二級通信網絡單元應當每兩年進行一次符合性評測。

通信網絡單元的劃分和級別調整的，應當自調整完成之日起九十日內重新進行符合性評測。

通信網絡運行單位應當在評測結束后三十日內，將通信網絡單元的符合性評測結果、整改情況或者整改計劃報送通信網絡單元的備案機構。

第十二條　通信網絡運行單位應當按照以下規(guī)定組織對通信網絡單元進行安全風險評估，及時消除重大網絡安全隱患：

(一)三級及三級以上通信網絡單元應當每年進行一次安全風險評估;

(二)二級通信網絡單元應當每兩年進行一次安全風險評估。

國家重大活動舉辦前，通信網絡單元應當按照電信管理機構的要求進行安全風險評估。

通信網絡運行單位應當在安全風險評估結束后三十日內，將安全風險評估結果、隱患處理情況或者處理計劃報送通信網絡單元的備案機構。

第十三條　通信網絡運行單位應當對通信網絡單元的重要線路、設備、系統和數據等進行備份。

第十四條　通信網絡運行單位應當組織演練，檢驗通信網絡安全防護措施的有效性。

通信網絡運行單位應當參加電信管理機構組織開展的演練。

第十五條　通信網絡運行單位應當建設和運行通信網絡安全監(jiān)測系統，對本單位通信網絡的安全狀況進行監(jiān)測。

第十六條　通信網絡運行單位可以委托專業(yè)機構開展通信網絡安全評測、評估、監(jiān)測等工作。

工業(yè)和信息化部應當根據通信網絡安全防護工作的需要，加強對前款規(guī)定的受托機構的安全評測、評估、監(jiān)測能力指導。

第十七條　電信管理機構應當對通信網絡運行單位開展通信網絡安全防護工作的情況進行檢查。

電信管理機構可以采取以下檢查措施：

(一)查閱通信網絡運行單位的符合性評測報告和風險評估報告;

(二)查閱通信網絡運行單位有關網絡安全防護的文檔和工作記錄;

(三)向通信網絡運行單位工作人員詢問了解有關情況;

(四)查驗通信網絡運行單位的有關設施;

(五)對通信網絡進行技術性分析和測試;

(六)法律、行政法規(guī)規(guī)定的其他檢查措施。

第十八條　電信管理機構可以委托專業(yè)機構開展通信網絡安全檢查活動。

第十九條　通信網絡運行單位應當配合電信管理機構及其委托的專業(yè)機構開展檢查活動，對于檢查中發(fā)現的重大網絡安全隱患，應當及時整改。

第二十條　電信管理機構對通信網絡安全防護工作進行檢查，不得影響通信網絡的正常運行，不得收取任何費用，不得要求接受檢查的單位購買指定品牌或者指定單位的安全軟件、設備或者其他產品。

第二十一條　電信管理機構及其委托的專業(yè)機構的工作人員對于檢查工作中獲悉的國家秘密、商業(yè)秘密和個人隱私，有保密的義務。

第二十二條　違反本辦法第六條第一款、第七條第一款和第三款、第八條、第九條、第十一條、第十二條、第十三條、第十四條、第十五條、第十九條規(guī)定的，由電信管理機構依據職權責令改正;拒不改正的，給予警告，并處五千元以上三萬元以下的罰款。

篇9

關鍵詞：中職計算機網絡；安全威脅；非法入侵；網絡安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）07-0055-02

1概述

隨著現代化技術的不斷發(fā)展，計算機網絡已成為中職學校教學工作必不可少的基礎設施，在局域網、互聯網應用中，多臺計算機相互連通從而實現資源共享。計算機網絡在專門協議規(guī)則策略的控制下，在軟硬件的共同作用下，實現不同的計算機終端以及服務器之間的數據傳輸，這對于教學來說意義重大。目前，在中職學校計算機網絡因其自身的擴展性、開放性和共享性已經被廣泛應用，但隨之而來的網絡攻擊事件也不斷增加，學校對于網絡安全問題更加看重，網絡攻擊對中職學校計算機網絡的破壞，會對教學進度和學校正常辦公造成不可估計的影響。網絡安全技術是提高校園網絡安全的關鍵，對于網絡攻擊事件的預防、抵御以及應對來說至關重要，只有在計算機網絡搭建過程中，充分考慮網絡的安全防護，才能保證學校計算機的網絡安全，才能保障學校教學工作的順利開展。所以針對中職學校計算機網絡安全進行研究，才能進一步提升校園網絡的工作效率和性能。

2中職學校網絡安全的潛在威脅

2.1網絡非法入侵

非法入侵或非授權訪問是中職學校計算機網絡較為常見的安全問題，IP地址被盜用、非法口令入侵等情況不時出現。1P地址被盜用主要是惡意攻擊者使用編程的方式來繞過計算機網絡中的IPMAC地址，實現動態(tài)IP地址的修改，或使用MS-DOS命令來執(zhí)行查詢未使用的IP地址資源，從而達到靜態(tài)的方式來修改IP地址，最終非法占有學校計算機局域網絡中的IP地址資源，而進行其他的非法行為。此外，一些非法用戶通過各種手段獲取學校網絡的口令與密碼，訪問學校的內部網絡后竊取內部各種教學資源和課件，這對于中職教學資源的數據安全、版權保護來說造成很大危害，更有甚者，通過非法口令入侵去改變乃至破壞學校網絡，會對學校教學活動的正常開展造成嚴重影響。

2.2網絡病毒與木馬種植

網絡病毒與木馬種植的網絡攻擊在中職學校計算機網絡時有發(fā)生。其中，網絡病毒被惡意攻擊者寫入到程序、web網頁或者附帶隱藏在郵件中，當其在校園網絡中被打開后，輕則影響該電腦的正常使用，甚至會在學校計算機局域網絡中不斷地擴散、繁殖，最終會讓整個校園計算機網絡被感染，造成網絡癱瘓、軟件損壞乃至硬件的破壞。而木馬種植也常通過電子郵件、程序下載、圖片下載等途徑在校園計算機網絡中蔓延，一旦被啟動就會潛伏在目標計算機的應用中給木馬種植者發(fā)送用戶信息最終造成用戶信息泄露。

2.3系統漏洞

在計算機網絡中，運行著很多軟件系統、操作系統和應用系統，而這些系統在設計和實現之初必然會存在漏洞，學校環(huán)境決定了除計算機房外，因使用者分散，計算機無法及時將軟件、系統漏洞進行升級更新。于是在使用過程中，聯網進行數據交互，就會給計算機網絡遭受攻擊埋下安全隱患，為病毒、蠕蟲等網絡攻擊提供了可乘之機。

3中職學校的網絡安全防范策略

3.1搭建防火墻

防火墻作為學校局域網絡的邊界安全技術，在計算機網絡中對于非法訪問能夠起到很好的控制作用，對于危害性極大的網絡數據流起到極佳的抵御效果。在中職學校的計算機網絡中，提供了許多接口供外部網絡的用戶來訪問校園的可訪問資源。網絡惡意攻擊者往往會利用這些合法接口作為跳板來進行進一步的惡意攻擊行為。防火墻設置作為數據流過濾策略，通過黑名單或者白名單的方式將不可訪問校內資源的數據流標識或者允許訪問校內資源的數據流標識進行記錄，只有滿足了防火墻的轉發(fā)規(guī)則，防火墻才會對其進行轉發(fā)到校內對應的服務器或其他網絡設備，從而提供正常服務。對于網絡中的非授權訪問、惡意攻擊、病毒、檢測入侵等都能通過防火墻的方式來保障網絡安全，從而保護本地數據安全。防火墻技術是網絡邊界保障技術，所以防火墻網絡邊界選擇與搭建成為關鍵，對于基本的防火墻搭建，一般在外網與學校局域網絡交界處搭建，從而對訪問內網資源和外網資源的數據流進行過濾，特別的，對于中職計算機網絡中關鍵的網絡設備，也會搭建二層甚至是三層防火墻，從而通過根據惡意攻擊行為來設定規(guī)則實現對數據流的多層過濾，最終有效地保障學校網絡的信息安全。

3.2漏洞掃描與數據備份

在中職學校計算機網絡的構建過程中，必不可少地選用大眾普遍的硬件、軟件和應用，而這些在系統中多多少少會存在邏輯漏洞或技術漏洞。為了避免系統漏洞帶來的危害，首先要時刻關注相應軟件的補丁包以及新系統，了解最新版本的功能以及修復的漏洞問題，從而及時將問題修復，將危害降到最低。同時，要通過應用或系統漏洞掃描工具定期開展漏洞掃描，了解當前系統存在的安全漏洞問題，而后將其報告給供應商進行修復，或者通過自行_發(fā)程序、環(huán)境維護的方法來將漏洞問題造成的危害降到最低。其次，為了避免由于非法入侵造成的數據損壞或丟失，通過數據備份的方式將網絡中的數據進行熱備份或冷備份，對于非關鍵數據，可以采用冷備份的方式，關鍵數據則可以考慮使用熱備份來保障網絡數據的安全性。

3.3搭建服務器

對于中職學校關鍵應用，為了保障數據安全，可以搭建服務器，與外部網絡進行連接，通過服務器對關鍵應用或網絡設備的隔離，只有提供專門的口令和認證才能連接到服務器，而后才能訪問到關鍵應用，進而實現了關鍵網絡設備的安全緩沖，進一步提升了中職學校計算機網絡的安全性。此外，在服務器上可以安裝實時監(jiān)控軟件、響應報警軟件，從而對通過服務器來對網絡實施的攻擊進行有效隔離和抵擋，有效保護學校內部網絡的安全。

3.4網絡病毒防御

由于中職學校網絡服務的對象不僅有老師，還有學生、培訓學員等，人員分散，類型復雜，所以計算機網絡病毒在中職學校中傳播頻繁，為了有效防御網絡病毒對網絡造成的危害，通過安裝有效的殺毒軟件來實現對中職計算機網絡的安全防御。可以采購如卡巴斯基等收費版軟件，通過在一臺服務器上安裝服務器端來為全校的計算機網絡提供網絡殺毒，而后在學校的各科室部門、實驗室、教室等內部計算機上安裝卡巴斯基客戶端，通過設置其定時殺毒等方式來保障計算機內部的數據安全，同時在沒有聯網的情況下也能夠實現線下殺毒。此外，還需要加強對卡巴斯基等殺毒軟件的管理，定期維護、升級軟件和病毒庫，保證學校服務器端、客戶端的殺毒軟件和病毒庫及時更新，將殺毒防護能力保持到最高，最終有效地保障中職計算機網絡的安全。

3.5規(guī)則審計與網絡訪問限制

為了提升中職學校的計算機網絡安全的主動防御能力，通過設置防火墻服務器的規(guī)則審計，對存在各個服務器上的外部或內部IP訪問行為進行規(guī)則審計，根據其訪問規(guī)律、行為來分析其自身訪問的合法性或可疑性，對于行為造成危害的IP或用戶，要通過網絡限制的方式，將其訪問學校算機網絡的權限進行取消，從而保障中職計算機網絡的安全。對于網絡IP地址的限制訪問，可以自己通過設置防火墻的方式來實現，或者通過安裝TCP_Wrappers來對固定的IP地址或者訪問用戶進行限制。另外，對于關鍵應用或服務器的管理員用戶密碼，要定期修改高復雜度密碼，杜絕密碼猜想或暴力破的方式造成管理員密碼泄露，從而造成不可預估的危害。

3.6制定網絡安全使用規(guī)范

70%的網絡安全事件都是人的問題，通過各種網絡安全技術的抵御之外，還要制定各種規(guī)章制度來限定內部人員有意或無意的計算機網絡操作，從而將計算機網絡安全威脅降到最低。網絡安全使用規(guī)范，要從多方面考慮，通過對密碼定期修改、機房人為操作規(guī)范和安全使用規(guī)則等多個角度來制定系統的安全規(guī)范，從而有效地限定操作管理人員的操作行為，有效預防人為原因造成的網絡安全問題。

篇10

眾所周知，計算機網絡在發(fā)展過程中一直存在弊端，那就是其本身存在不穩(wěn)定的因素，可對網絡安全構成威脅。計算機網絡并不需要由專人操作，其便可自行運轉，因為缺乏相關人員的管理，計算機在運作過程中會產生一系列的問題，對企業(yè)利益威脅很大。計算機很容易受到黑客的入侵，這是其在發(fā)展過程中無法避免的一個現象，其能夠使網絡中儲存的信息受到嚴重的破壞，并且商業(yè)機密還會被非法盜取。同時計算機對這些現象是無法避免的，信息丟失后其也不能夠及時修復，因此，計算機網絡安全主要受到其本身存在問題的影響。

2我國當前使用的計算機網絡安全技術

2.1殺毒軟件

病毒具有很強的破壞性，其還能夠進行自我復制而快速傳播，使得計算機的軟件指令受到破壞，進而造成用戶保存的信息被擾亂和更改，情況過于嚴重時還出現銷毀的現象，給用戶造成不可以補救的危害。目前計算機受病毒破壞的現象出現幾率很高，網絡安全受到的影響很大。而殺毒軟件則是能夠對計算機內已經病毒和木馬等實行清除的程序，功能很強大。我國當前計算機用戶使用的殺毒軟件主要包括金山毒霸、360殺毒以及瑞星殺毒等等，其主要起到檢查病毒、清除病毒、預防病毒以及修復數據信息的作用。但是該軟件中的病毒防治程序通常在病毒產生后才被研究出來的，其被動型以及滯后性很強。所以，不斷研究新防治病毒軟件才是保護計算機網絡安全是各大研究者們亟待解決的問題。

2.2網絡安全掃描技術

此技術的作用主要在于為統管理員開展目標性的探測以及網絡掃描提供方便，然后可以早日發(fā)現系統存在漏洞，同時應用有效的安全防范對策，進而減少系統安全承受的風險。安全掃描技術的掃描范圍很大，不僅包括局域網和系統服務，同時還包括主機操作系統以及防火墻系統等，是目前各國使用范圍比較普遍的一種技術。

2.3防火墻技術

防火墻在內容上主要指為了預防內部網絡受到外部網絡的威脅，將兩個網絡間邊界安全性提高的系統或系統組合。該技術是人們在平常生活中普遍使用的技術，當前整個世界上大概有超過一半的計算機均使用防火墻技術。此技術不會對內部網絡資料以及另外的資源構成威脅，同時以其作為基礎的背景下，當地用戶可以使用外部網絡資源，并且其中沒有被授權的用戶能夠被內部網絡屏蔽，進而有效地處理由于連接外部網絡而造成的威脅。防火墻技術根據其使用范圍，可以分為多宿主機防火墻以及包過濾型防火墻兩種結構型式。

2.3.1多宿主機防火墻

該防火墻能夠連接幾個網絡，從而達到網絡間的相互訪問，因此其主要應用在具有很多網絡接口的計算機中。其具體的優(yōu)勢為：能夠對保護對象提供屏蔽，然后提高網絡安全，并且使用范圍很大，能夠使用在強度較大的數據流報告、過濾以及監(jiān)控等方面。但是其同樣具有不少缺點：不僅能夠影響訪問速度，使其速度被減慢，同時其供給的服務比較滯后，甚至還有部分服務不可以提供。

2.3.2包過濾型防火墻

包過濾型防火墻通常主要用在網絡層，由此其還可以被稱呼呈網絡層防火墻以及為IP過濾器，其一般在過濾路由器提供的幫助下達到接收數據的效果。其優(yōu)勢主要如下：不產生附加費用就可以達到包過濾的效果，對數據包進行處理時速度很快以及完全對用戶公開等。然后其缺點也不少，分別為：只能夠對一個類型IP欺騙起到阻礙作用，使用時維護麻煩大，并且過濾器數目的大小可以影響到路由器吞吐量，當使用越多的過濾器時，路由器吞吐量會出現下降的趨勢。

2.4入侵檢測技術

該技術也可以被稱呼為網絡實時監(jiān)控技術，其主要收集計算機網絡內多個關鍵點的信息，同時對其開展分析，從而找出網絡有沒有產生被入侵的現象。該技術可以對網絡防護墻起到補充的作用，同時提高網絡安全管理能力，具有安全監(jiān)控、審計以及攻擊識別等多個功能。同時其還能夠對網絡系統以及用戶的活動起到監(jiān)控與研究的作用，對關鍵數據文件以及系統兩者的完整情況進行評價，發(fā)現違反網絡安全方法的用戶活動等功能。

2.5數據加密技術

伴隨目前通信技術水平日益提高，計算機用戶們對信息的傳輸、處理以及儲存三方面安全性的要求也就越來越高。信息在網絡傳輸過程中產生的安全問題主要是因為TCP／IP協議存在而造成的，所以，數據加密技術的產生作用很大，其方式主要有端到端加密、節(jié)點加密以及鏈路加密三種。

2.5.1端到端加密

在該方式中，數據的存在形式可以從源點傳輸至終點時保持著密文，并且在此方式中，消息只有完全被傳輸到終點后才可以開展解密，一般目的IP地址是不能夠被加密的，這是為了可以方便地查清節(jié)點傳輸信息的方式，所以，其存在很大的脆弱性。其根據加密密碼的差異，可以劃分為對稱加密算法以及非對稱加密算法兩種。按照目前計算機網絡的發(fā)展趨勢可以知道，數據加密技術作用很大，不僅可以保證信息的完整與保密，另外還能夠對用戶身份進行驗證。

2.5.2節(jié)點加密

節(jié)點加密方式中，信息僅僅需要處于節(jié)點時開展解密以及加密，并且鏈路依舊還是保持為明文形式傳輸。此方式中的加密與解密行為均選擇節(jié)點上比較安全的模式開展，并且表現形式主要為密文，同時此方式需要報頭與路由兩者的信息使用明文形式進行傳輸，所以其并不可以對房子攻擊者的通信類業(yè)務起到分析的作用。

2.5.3鏈路加密

在此方式中，全部網絡信息均在開展傳輸前就被加密，甚至連數據正文以及控制信息等也需要開展加密。報文被各個節(jié)點接收后，只有開展解密才可以取得校驗以及路由信息，緊接著透過進行路由選擇和差錯檢測后，再加密傳輸給下個一節(jié)點。該方式在各個網絡節(jié)點中，其包含的網絡信息存在方式主要為明文形式。

3結束語