導語：如何才能寫好一篇網(wǎng)絡技術方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

【關鍵詞】密集型光波復用;光傳送網(wǎng);智能光網(wǎng)絡;演進方案

1.引言

隨著Internet的迅速崛起，城域網(wǎng)中IP數(shù)據(jù)業(yè)務量日益增多，寬帶城域網(wǎng)必須滿足對各種不同類型的IP業(yè)務的承載，這使得以滿足語音業(yè)務而設計的傳統(tǒng)光傳送網(wǎng)顯得力不從心。DWDM的出現(xiàn)使光網(wǎng)絡發(fā)展有了質的飛躍，DWDM利用現(xiàn)有的光纜資源，提高了通信的容量，使光傳送網(wǎng)具有極強的可擴容性，可以直接承載大顆粒業(yè)務，從而簡化了網(wǎng)絡結構，但受技術本身的限制，IP over DWDM只是光網(wǎng)絡發(fā)展的一個過渡形式。OTN技術又一次為傳輸網(wǎng)的發(fā)展帶來了新的機遇，OTN的組網(wǎng)能力較強，不僅可提供與DWDM同樣的大容量帶寬，還可以為光網(wǎng)絡提供靈活的管理維護功能，但是OTN也有自身的缺陷，主要有因手動配置業(yè)務而導致出錯率較高，資源利用率較低和網(wǎng)管系統(tǒng)復雜等問題。在這種情況下，智能光網(wǎng)絡技術（ASON）的概念被提出并被廣泛關注。

2.光纖通信的發(fā)展

自從20世紀70年代光纖通信系統(tǒng)在美國實驗室不斷實驗到最后現(xiàn)場實驗成功以來，光纖通信顯示出了其功能的優(yōu)越性和強大的競爭力，而且光纖取代了電纜，光纖作為一種優(yōu)質的傳輸介質，它具有高帶寬、低損耗的特點，這種優(yōu)勢使得光纖在網(wǎng)絡中物理傳輸層的作用不可小覷[4]。

通信技術的飛速發(fā)展對光纖通信系統(tǒng)的利用更是起了推動作用，由于光纖通信具有的一系列特點，使得光網(wǎng)絡被全世界各家運營商廣泛應用。光纖通信已經(jīng)經(jīng)歷了多次的更新?lián)Q代，從準同步數(shù)字體系PDH發(fā)展到同步數(shù)字體系SDH，又從SDH發(fā)展到密集型波分復用DWDM，由點對點的DWDM發(fā)展成光傳送網(wǎng)OTN，現(xiàn)在又向新一代的智能光網(wǎng)絡構建。這樣，提高網(wǎng)絡資源利用率、提高網(wǎng)絡可靠性、提高網(wǎng)絡升級擴容能力、降低建設和維護成本、提供了多廠商環(huán)境下端到端電路配置。

3.DWDM與的OTN技術的應用探討

對于業(yè)務IP化和大顆?；?，SDH的地位在傳送網(wǎng)中的地位逐漸下降。采用DWDM對業(yè)務直接承載，可達到簡化網(wǎng)絡結構，增大傳輸容量，降低建設成本，可達到簡化網(wǎng)絡結構，但受技術本身限制，DWDM目前主要提供點對點的大容量帶寬，組網(wǎng)能力較弱。光傳送網(wǎng)OTN的提出，最初的設想是，它需要滿足超大容量傳輸?shù)男枨?，?jīng)營性和可管理性較好，具有路由選擇功能和信令傳送功能，這就要求OTN能夠兼顧SDH和DWDM的優(yōu)點。也正因為這樣，OTN會替代DWDM技術，成為骨干層的核心組網(wǎng)技術。

3.1 DWDM技術應用的意義

近幾年Internet發(fā)展迅速，IP數(shù)據(jù)業(yè)務在寬帶城域網(wǎng)中占據(jù)的比重越來越多，這就要求高效率地傳送IP數(shù)據(jù)，簡化網(wǎng)絡層次，這樣才能滿足寬帶城域網(wǎng)對多種不同的IP數(shù)據(jù)業(yè)務的承載和優(yōu)化。DWDM技術在最底層的綜合傳送平臺中顯得至關重要，因為無論上層技術如果升級演變，都需要將網(wǎng)絡機制和控制管理功能轉移至一個獨立的光網(wǎng)絡層。這就是DWDM技術存在的意義。

密集波分DWDM是簡單成熟、全面靈活，高性價比地獲得了超大容量傳輸?shù)募夹g，能夠節(jié)省光纖資源及建網(wǎng)投資，與摻餌光纖放大器EDFA聯(lián)合組網(wǎng)可滿足超長距離傳輸，在現(xiàn)有的光纖資源的基礎上，建立容量充足、速率快、質量好、效率高的傳送平臺有著重要的應用意義。

3.2 OTN技術應用的特點

大顆粒寬帶業(yè)務的快速發(fā)展，OTN則成為了滿足大顆粒業(yè)務承載需求的光傳送網(wǎng)，現(xiàn)階段，重點在城域傳輸網(wǎng)中骨干層節(jié)點間的GE、10GE、2.5G、10GPOS等大顆粒業(yè)務傳遞中布置相應的OTN設備。當城域網(wǎng)不同區(qū)域之間或接入長途網(wǎng)絡的的大顆粒業(yè)務達到一定數(shù)量個規(guī)模時，而且具有保護恢復、匯聚等功能需求時，可在城域網(wǎng)核心層或者是匯聚層設置OTN網(wǎng)絡，OTN網(wǎng)絡可以作為IP、SDH等上層網(wǎng)絡的承載網(wǎng)絡，當網(wǎng)絡中存在大顆粒業(yè)務的子波長中繼電路需求時，可以運用OTN網(wǎng)絡對其進行調(diào)度和保護。

現(xiàn)階段，各運行商多將PTN設備投入在3G通信業(yè)務，而數(shù)據(jù)業(yè)務逐年增多，每個基站的電路需求從之前的幾兆達到近40M，在通信行業(yè)后續(xù)的發(fā)展和網(wǎng)絡演進中，每個基站的電路需求預期會達到甚至超過100M才能滿足LTE的部署?？梢?，大顆粒級別的帶寬要求是今后網(wǎng)絡需求的趨勢，而匯聚層采用OTN設備、接入層采用PTN設備的組網(wǎng)模式，可以滿足帶寬需求的同時，還因OTN設備與PTN環(huán)路的GE接口直連使組網(wǎng)變得更加靈活，節(jié)省了光線資源，提高了資源的利用率。

4.智能光網(wǎng)絡技術的演進及應用

4.1 智能光網(wǎng)絡技術產(chǎn)生的背景

數(shù)據(jù)業(yè)務的傳送方式是以分組域交換技術為基礎的，它的最大特點是突發(fā)性與不可預見性，其傳送方式要求根據(jù)業(yè)務類型，彈性地調(diào)配、調(diào)度資源，越來越重視快速實現(xiàn)節(jié)點到節(jié)點的鏈接。因此，現(xiàn)今IP業(yè)務井噴式的發(fā)展使傳輸承載網(wǎng)面臨了許多新的問題，其中最主要的問題在于，傳統(tǒng)的傳輸承載網(wǎng)很難實現(xiàn)，自動地根據(jù)用戶發(fā)出的請求為其調(diào)配資源并迅速實現(xiàn)節(jié)點對節(jié)點的連接，從而滿足彈性的資源調(diào)配與管理。為了解決這一問題，結合了光傳送網(wǎng)技術和分組交換技術的新一代光網(wǎng)絡即智能光網(wǎng)絡ASON耀世而出了。

4.2 智能光網(wǎng)絡技術的體系結構

ASON主要由控制平面、傳送平面、管理平面與數(shù)據(jù)通信網(wǎng)組成，與一般傳送網(wǎng)相比的最重要的區(qū)別是，ASON系統(tǒng)中增加了一個專門的控制平面CP，控制平面負責控制，與傳送平面TP完成信息的傳送，管理平面MP負責管理，數(shù)據(jù)通信網(wǎng)DCN為上述三個平面的內(nèi)部以及它們之間的控制信息、管理信息提供通信通路。

4.3 智能光網(wǎng)絡的關鍵技術

4.3.1 控制平面技術

與傳統(tǒng)的光傳送網(wǎng)相比，控制平面主要是使用了路由、信令與鏈路管理技術。路由技術的主要作用是在全網(wǎng)范圍內(nèi)為端到端連接計算、選擇合適的路徑;信令技術是控制平面對自動呼叫與連接采用分布式的控制與管理方式DCM，即對跨域的呼叫與連接分別由各控制域與相關區(qū)域負責對本域的呼叫與連接進行控制與管理;鏈路管理技術的主要作用是管理網(wǎng)絡的拓撲與鏈路資源，包括子網(wǎng)點組SNPP鏈路連接的分配與去分配，提供網(wǎng)絡拓撲信息與鏈路狀態(tài)信息等。

4.3.2 傳送平面技術

傳送平面由作為交換實體的傳送網(wǎng)網(wǎng)元（NE）組成，主要完成連接建立/刪除、交換（選路）和傳送等功能，為用戶提供從一個端點到另一端點的雙向或單向信息傳送，同時，還要傳送一些控制和網(wǎng)絡管理信息。

4.3.3 管理平面技術

管理平面對控制平面和傳送平面進行管理，在提供對光傳送網(wǎng)及網(wǎng)元設備的管理的同時，實現(xiàn)網(wǎng)絡操作系統(tǒng)與網(wǎng)元之間更加高效的通信功能。

4.4 智能光網(wǎng)絡的建設思路

4.4.1 加大光纜建設力度，提高光纜纖芯的利用率，增加各節(jié)點的連接方向;ASON要充分發(fā)揮其的優(yōu)勢，就要貫徹采網(wǎng)狀網(wǎng)的建設思路，就一定要在業(yè)務流向集中的節(jié)點（核心、匯聚節(jié)點）之間鋪設物理層面的直達光纜，為構建網(wǎng)狀網(wǎng)系統(tǒng)奠定物理基礎。

4.4.2 充分考慮智能光網(wǎng)絡的引進對設備的要求，在傳統(tǒng)的光傳送網(wǎng)上，原有的設備替換新的ASON網(wǎng)絡的設備，要保證原有的業(yè)務能夠正常運行。且新的設備符合主流的信令和和協(xié)議標準，要求各廠商對UNI、E-NNI、I-NNI標準的支持。

4.4.3 ASON網(wǎng)絡的建設一段時期內(nèi)，原有的光傳送網(wǎng)還在運行中，兩個網(wǎng)絡同時對業(yè)務進行承載，考慮到ASON的建設初期，運營經(jīng)驗不足，對該技術有一個了解適應的過程，建網(wǎng)需要對該網(wǎng)的功能進行測試和分析。

4.5 智能光網(wǎng)絡的演進策略

4.5.1 向網(wǎng)狀網(wǎng)演進

環(huán)網(wǎng)的拓撲結構比較簡單，需要的鏈路數(shù)較少，而且設備比較簡單，不同環(huán)上節(jié)點之間的業(yè)務調(diào)度和保護比較難以實現(xiàn)，只能做到單點保護倒換。網(wǎng)狀網(wǎng)中，多個節(jié)點之間互相連接，避免了節(jié)點瓶頸和節(jié)點失效的影響，節(jié)點之間路由的選擇有多條，及時多個節(jié)點出現(xiàn)故障也不至于保護失效，降低了端對端的電路調(diào)度的操作難度，適用于業(yè)務種類多且業(yè)務量大的地區(qū)。網(wǎng)狀網(wǎng)中，其功能實現(xiàn)了恢復機重路由機制，只要有資源就不會中斷業(yè)務。所以，光傳送網(wǎng)向ASON演進，首先加大光纜建設，將環(huán)狀網(wǎng)組成網(wǎng)狀網(wǎng)。

4.5.2 ASON引入對設備改造要求

對于傳送平面的ASON的網(wǎng)元應是具有多種交換功能的設備，可以在不同層面上支持不同類型的交換，它是組成ASON網(wǎng)絡中傳送平面的光節(jié)點的設備，構成核心交叉矩陣，主要實現(xiàn)光電光方式，使得光交叉能力和電交叉能力進行組合。

對于控制平面來說，控制平面是ASON的核心，它利用路由技術、信令技術與鏈路管理技術來控制，其控制功能通過軟件協(xié)議實施，在控制層面的接口方面，UNI接口功能支持程度較好，但其市場應用模式還不明朗，缺乏實際應用需求。系統(tǒng)對E-NNI接口已經(jīng)開始支持，國內(nèi)外都進行過互通測試，可以實現(xiàn)跨域連接操作，但是域間路由、保護恢復等方面還有待進一步標準化。

對于管理平面，其設備要求就是實現(xiàn)通過NMI接口進行信息交互。

5.結束語

智能光網(wǎng)絡是由傳統(tǒng)的OTN演進而來，其設備可以很好的融入到現(xiàn)有的傳輸網(wǎng)絡中，并逐步向智能全光網(wǎng)絡發(fā)展[48]。智能光網(wǎng)絡不僅能為運營商提供了端到端的自動配置功能，還使得網(wǎng)絡資源得到了優(yōu)化的配置，從而使光網(wǎng)絡的結構與管理變得更加簡單，減少了操作的復雜性，縮短了業(yè)務層的擴容時間，智能光網(wǎng)絡是一種先進的傳輸網(wǎng)技術，是未來光傳送網(wǎng)的發(fā)展方向。雖然ASON網(wǎng)絡是新一代光傳送網(wǎng)，具有強大的生命力，但是它也有急需關注的問題，其一：相關標準還不完善;其二：E-NNI、UNI接口不穩(wěn)定，使它與SDH系統(tǒng)、PTN系統(tǒng)和PON網(wǎng)絡的互通仍有問題;其三：保護倒換的時間不適合對恢復時間要求很高的業(yè)務?？梢栽O想，隨著上述問題的解決，在TD-LTE全面商用的明天，ASON也將迎來發(fā)展的高峰期。

參考文獻

[1]張燕寧.智能自動交換光網(wǎng)絡的演進[J].世界電信， 2001，5.

[2]王建明.智能光網(wǎng)絡及其應用研究[J].技術應用， 2010，9.

[3]劉康健.ASON的引入策略和演進方案[J].電信快報，2006，6.

作者簡介：

篇2

[關鍵詞] 高職 網(wǎng)絡 培養(yǎng) 方案 職業(yè)崗位 典型工作任務

引 言

基于典型工作任務的計算機網(wǎng)絡人才培養(yǎng)模式是很多職業(yè)教育者研究的一個課題，旨在依托行業(yè)企業(yè)，校企共同研究人才培養(yǎng)模式，培養(yǎng)適應市場需求的高技能性網(wǎng)絡人才。因此高職院校如何在國家高職教育的指導思想下，結合當?shù)亟?jīng)濟發(fā)展情況，教育水平，人才需求結構，就業(yè)狀況等培養(yǎng)出與時俱進的高素質網(wǎng)絡技能人才是網(wǎng)絡專業(yè)的核心，同時也是高職院校必須面對的新挑戰(zhàn)。合理、科學的計算機網(wǎng)絡人才培養(yǎng)方案就顯的尤為重要，它是我們培養(yǎng)網(wǎng)絡技術人才，組織教學的依據(jù)。

設計背景

1.網(wǎng)絡人才遍布在各行各業(yè)，就業(yè)面廣、社會需求量大

信息化已成為當今世界各國經(jīng)濟與社會發(fā)展的重要手段，計算機網(wǎng)絡已經(jīng)成為信息社會的運行平臺和實施載體。在社會生產(chǎn)與人類生活中，網(wǎng)絡應用的全面延伸促進了計算機網(wǎng)絡技術的全面發(fā)展。各行各業(yè)和人民生活的各個角落都會需要計算機網(wǎng)絡技術方面的人才。

近幾年許多高職院校在原計算機應用專業(yè)的基礎上，發(fā)展成為設置獨立的計算機網(wǎng)絡技術專業(yè)，漢中、安康、商洛等市的高職院校80% 開設有計算機網(wǎng)絡技術專業(yè)。但計算機網(wǎng)絡技術專業(yè)存在諸多共性問題：定位不準，受師資、實訓條件限制，培養(yǎng)的人才知識滯后，職業(yè)技能不強，崗位適應能力差。相對網(wǎng)絡技術的快速發(fā)展和廣泛應用,技術應用和技術管理人才培養(yǎng)工作相對滯后。隨著網(wǎng)絡技術的發(fā)展，網(wǎng)絡管理、網(wǎng)絡安全、網(wǎng)絡維護、網(wǎng)頁制作、網(wǎng)絡資源開發(fā)等方面的人才缺口巨大。

2.區(qū)域經(jīng)濟的發(fā)展戰(zhàn)略，網(wǎng)絡技術是電子信息產(chǎn)業(yè)發(fā)展的支撐環(huán)境

國家實施西部大開發(fā)戰(zhàn)略的總體目標是：西部地區(qū)綜合經(jīng)濟實力上一個大臺階，基礎設施更加完善，現(xiàn)代產(chǎn)業(yè)體系基本形成，建成國家重要的能源基地、資源深加工基地、裝備制造業(yè)基地和戰(zhàn)略性新興產(chǎn)業(yè)基地；發(fā)展目標中提到，要做強、做大電子信息，新型能源和航空航天等優(yōu)勢產(chǎn)業(yè)，提高現(xiàn)代制造業(yè)綜合競爭力。建設國家一流的電子信息產(chǎn)業(yè)基地；西部大開發(fā)以及電子信息產(chǎn)業(yè)的發(fā)展更加需要計算機網(wǎng)絡技術的支撐環(huán)境，必然對計算機網(wǎng)絡技術人才有大量的需求。

3.本地區(qū)對計算機網(wǎng)絡高技能人才的規(guī)格要求和專業(yè)定位

隨著科技的發(fā)展，單一掌握某一專業(yè)的人才未必能夠在市場上立足，掌握計算機網(wǎng)絡所涉及的軟、硬件知識，具備計算機網(wǎng)絡規(guī)劃、設計能力；網(wǎng)絡設備的安裝、操作、測試和維護能力；網(wǎng)絡管理信息系統(tǒng)的操作能力；快速跟蹤網(wǎng)絡新技術的能力，能真正把基礎理論知識與網(wǎng)絡實踐能力合二為一的網(wǎng)絡建設、 操作等技術型人才和管理人才才是社會需要的“緊俏商品”。而計算機網(wǎng)絡技術專業(yè)的特點正是培養(yǎng)此類人才。

通過調(diào)研漢中市及周邊地區(qū)的典型企業(yè)，對計算機網(wǎng)絡技術人才的崗位需求進行專業(yè)定位。其中主要走訪調(diào)研了以漢中四通公司為代表的信息產(chǎn)業(yè)；以漢中移動、聯(lián)通公司為代表的通信運營業(yè)；以及漢中鋼鐵廠代表的制造業(yè)、政府機關和服務業(yè)等。這些行業(yè)對網(wǎng)絡搭建、網(wǎng)絡管理和網(wǎng)絡應用等高素質技能性人才提出了崗位要求。

設計過程

通過行業(yè)企業(yè)市場調(diào)查等方式，確定人才培養(yǎng)目標；召開專家工人訪談會，確定典型工作任務；邀請企業(yè)專家參與，共同確定學習領域課程；召開專業(yè)指導委員會會議，校企共同制定專業(yè)人才培養(yǎng)方案。通過企業(yè)調(diào)研分析，按照社會對高技能人才的需求，計算機網(wǎng)絡技術專業(yè)高素質技能人才的培養(yǎng)目標定位在：“建網(wǎng)”、“管網(wǎng)”、和“用網(wǎng)”。

參考《普通高等學校高職高專教育指導性專業(yè)目錄專業(yè)簡介》，參照國家職業(yè)標準、行業(yè)標準和企業(yè)用人單位的崗位標準要求，確定了計算機網(wǎng)絡技術專業(yè)所主要面向的職業(yè)崗位：網(wǎng)絡安全、信息對抗、網(wǎng)絡工程、網(wǎng)絡管理、IT產(chǎn)品營銷、數(shù)據(jù)庫設計開發(fā)、網(wǎng)站建設等。

1.依托行業(yè)企業(yè)，校企共同研究人才培養(yǎng)模式

根據(jù)企業(yè)崗位需求的統(tǒng)計，網(wǎng)絡及安全管理員是大多數(shù)企事業(yè)單位普遍需要的職業(yè)崗位。校企合作，共同研究工學結合的以典型工作任務為主線的“證書性學習、生產(chǎn)性實訓、頂崗性實習”的三階段人才培養(yǎng)模式。

第一階段“證書性學習”是指三年制的第一年的學習模式和學習目標主要是圍繞考取職業(yè)證書安排教學。主要取得勞動部的職業(yè)資格證書，如：計算機組裝與維護（建網(wǎng)基礎）、網(wǎng)絡管理員（管網(wǎng)基礎）、網(wǎng)頁設計與制作（用網(wǎng)基礎）。以達到基本職業(yè)素質和計算機網(wǎng)絡技術專業(yè)的入門水平，課程目標與學習目標以取得職業(yè)資格證書為標準。

第二階段“生產(chǎn)性實訓”是指三年制的第二年的學習模式和學習目標主要是在校內(nèi)工廠化實訓基地以“典型工程項目”安排教學。以達到計算機網(wǎng)絡技術專業(yè)的較高水平。

第三階段“頂崗性實習”是指三年制的第三年的學習模式和學習目標主要是在校內(nèi)、外的企業(yè)頂崗工作。以達到專業(yè)應具備的企業(yè)經(jīng)驗和綜合素質。在校內(nèi)安排企業(yè)真實性的專業(yè)綜合實訓，在校外以實訓基地為主，有計劃地安排頂崗實習。

2.在課程開發(fā)方式上，探索建立“教師科研下企業(yè)，工程項目進課堂，師徒方式傳技能，學生學習如上崗”的模式

產(chǎn)學研結合、校企互動，由學校教師和企業(yè)專家共同開發(fā)優(yōu)質核心課程，突出課程的實踐性、開放性和職業(yè)性，根據(jù)企業(yè)要求和技術發(fā)展變化及時更新教學內(nèi)容，使學生獲得的知識、技能真正滿足職業(yè)崗位的要求。強化學生創(chuàng)新能力的培養(yǎng)，提高學生適應能力。生產(chǎn)一線的高技能人才必須具備良好的創(chuàng)新能力。

召開校企合作專業(yè)指導委員會會議，根據(jù)前階段的工作分析和成果，共同討論和初步確定了2010級計算機網(wǎng)絡技術專業(yè)人才培養(yǎng)方案框架體系。

人才培養(yǎng)方案設計框架體系

1.確定職業(yè)崗位

計算機科學與技術系以計算機網(wǎng)絡技術專業(yè)為試點，以工作過程為導向，以職業(yè)能力為核心，以體現(xiàn)工學結合為特點，以職業(yè)分析和典型工作任務為課程設計基礎，以真實工作任務為載體。校企合作，確定其面向的職業(yè)和職業(yè)崗位，初步提出培養(yǎng)目標。

2.典型工作任務設計

典型工作任務指職業(yè)活動中具有代表性的職業(yè)行動，并能反映該職業(yè)本質特征的工作過程，它反映了該職業(yè)的典型工作內(nèi)容和形式，應包括完成一項任務的計劃、實施和評估等完整的過程。在該步驟中，確定該職業(yè)的典型工作任務，以便對該職業(yè)進行準確地分析，并以此為基礎進行課程開發(fā)。再根據(jù)三級能力的培養(yǎng)思路和職業(yè)養(yǎng)成規(guī)律，由淺入深安排學習內(nèi)容，并由企業(yè)實際工作提煉出小型企業(yè)級局域網(wǎng)組建、網(wǎng)絡工程測試與驗收、網(wǎng)絡設備的安裝與調(diào)試等16個典型工作任務。

3.基于工作過程的課程設計方案

職業(yè)教育的學習領域課程是工作過程導向的課程方案。是一個由職業(yè)能力描述的學習目標、工作任務描述的學習內(nèi)容和實踐理論綜合的學習時間三部分構成的學習單元。它是根據(jù)專業(yè)對應工作崗位及崗位群實施典型工作任務分析歸納到行動領域，根據(jù)認知及職業(yè)成長規(guī)律遞進重構行動領域轉換為學習領域(即：課程)，再根據(jù)完整思維及職業(yè)特征分解學習領域為主題學習單元即進行學習情境的設計，學習領域表現(xiàn)形式是由若干個學習情境構成，因此設計學習情境將是課程改革的核心和難點。學習領域設置的原則：一是每一學習領域都是完整的工作過程；二是各學習領域排序要遵循職業(yè)成長規(guī)律；三是各學習領域排序要符合學習認知規(guī)律，所有學習領域組成生產(chǎn)或經(jīng)營過程。

根據(jù)專業(yè)對應工作崗位及崗位群實施典型工作任務分析歸納到行動領域，根據(jù)認知及職業(yè)成長規(guī)律遞進重構行動領域轉換為學習領域(即：課程)，再根據(jù)完整思維及職業(yè)特征分解學習領域為主題學習單元即進行學習情境的設計，學習領域表現(xiàn)形式是由若干個學習情境構成。我們對計算機網(wǎng)絡技術專業(yè)高素質技能人才的培養(yǎng)目標定位為：“建網(wǎng)”、“管網(wǎng)”、“用網(wǎng)”。

4.課程體系結構

典型工作任務的實施是有嚴格的條件限制的，需要有成熟的課程載體、規(guī)范的工作崗位或實訓中心，熟練的指導教師等條件的支撐。就我們目前的教學環(huán)境來說，尚不具備這樣的條件。所以我們提出“平臺+學習領域課程”的構想，兼容當前的教育環(huán)境和教學條件，保證學生多元發(fā)展和可持續(xù)發(fā)展的能力，在第一學年奠定一個基礎和平臺，從第三學期開始采用純粹的典型工作任務模式的構想。

5.教學計劃設計

完成了上述步驟之后，編制教學計劃表，課程開設順序與周課時安排可根據(jù)實際情況自行確定。當專業(yè)的學習領域與學習情境的幅度大時，或因校企合作、工學結合需要，按常規(guī)教學周無法很好實現(xiàn)教學目標時，可對3年6學期制進行變革。

計算機網(wǎng)絡技術專業(yè)核心課程實施方案

學生在校學習期間所學的教學計劃開出的課程，在能力考核上實施“以認證代考試”、“以競賽代考試”、企業(yè)實踐考核與學?？己讼嘟Y合等方式；在課程考核上采用“開卷+閉卷”、“筆試+口試”、“實際操作+答辯”、社會調(diào)研報告、企業(yè)實踐與學校考核相結合等形式，以提高學生綜合能力，考核成績逐期載入學生學業(yè)成績登記表，畢業(yè)時歸入本人檔案具體歸結為：通過兩種方法來考核，一是教考分離，通過國際、國內(nèi)認證考試，二是形成性考核。

教學條件配置

1.師資要求

師資隊伍是保證人才培養(yǎng)質量的首要條件，因此實施本人才培養(yǎng)方案對教師的數(shù)量和素質有一定的要求。

（1）具備本專業(yè)或相近專業(yè)大學本科以上學歷。

（2）從事實踐教學的主講教師要具備計算機網(wǎng)絡規(guī)劃設計、建設施工、管理、應用開發(fā)和信息安全專業(yè)中級以上的IT認證資格證書或工程師資格。

（3）信息系統(tǒng)工程工作過程的每一個環(huán)節(jié)，專業(yè)至少有一名教師有實際工程經(jīng)驗，能夠帶領學生完成實際項目，若能請企業(yè)兼職教師承擔則更好。

（4）教師“雙師”素質的比例要達到80%以上。

（5）專任教師與學生比例1:25左右，校外實訓基地指導學生實訓實習的企業(yè)兼職教師的比例不低于80%。

2.教學設備配置

（1）校內(nèi)實訓室

支撐實踐教學計劃所需校內(nèi)實訓基地的基本要求包括“網(wǎng)絡集成實訓室”和“網(wǎng)絡工程實訓室”，輔以2個普通多媒體機房，可以滿足每屆招生1個標準班（40人）的實訓基本要求。出于安全等原因，企業(yè)網(wǎng)絡的生產(chǎn)環(huán)境不會輕易讓學生使用，校內(nèi)實訓環(huán)境應盡量擴大規(guī)模和覆蓋面，以保障實訓需要。條件許可時，應跟隨技術發(fā)展，增加安全、無線、IP語音、網(wǎng)絡存儲等實訓環(huán)境，盡量貼近實際工作環(huán)境。

（2）校外實訓基地

校外實訓基地包括從事系統(tǒng)集成、信息安全、網(wǎng)絡管理與維護等領域的企業(yè)和事業(yè)單位的網(wǎng)絡信息中心。最需要真實網(wǎng)絡環(huán)境開展“網(wǎng)絡管理與維護”實訓實習卻很難在企業(yè)進行，“綜合布線技術與施工”須借助網(wǎng)絡工程類企業(yè)開展實訓實習。由于行業(yè)的特殊性，除從事網(wǎng)絡工程和應用開發(fā)的少部分企業(yè)能一次接納多人外，一般企業(yè)接收的學生數(shù)目也就1到2個，且不會每年接納，因此校外實訓基地最好能夠達到每個標準班級（40人）4個以上，并盡可能多。

總 結

計算機網(wǎng)絡人才的培養(yǎng)是一個系統(tǒng)工程，專業(yè)建設和教學改革需要先進的思想指導，更需要科學合理的方法，需校企合作，走工學合作之路，同時要結合當?shù)亟?jīng)濟發(fā)展水平和教育水平，制定出切實可行的計算機網(wǎng)絡人才培養(yǎng)方案。

參考資料：

[1]普通高等學校高職高專教育指導性專業(yè)目錄課題組.普通高等學校高職高專教育指導性專業(yè)目錄專業(yè)簡介[M].中國高職高專教育網(wǎng)，2005，2.

[2]歐盟Asia-Link項目“關于課程開發(fā)的課程設計”課題組.職業(yè)教育與培訓學習領域課程開發(fā)手冊[M].北京：高等教育出版社，2007.

篇3

隨著計算機技術和互聯(lián)網(wǎng)技術的不斷發(fā)展，網(wǎng)絡技術已經(jīng)被廣泛應用于企業(yè)管理中。電子信息時代的網(wǎng)路安全技術是保證企業(yè)信息安全的堅強后盾，本文就網(wǎng)絡安全技術在企業(yè)中的應用做出研究，總結網(wǎng)絡安全問題的解決方案。

【關鍵詞】網(wǎng)絡安全技術 解決方案 企業(yè)網(wǎng)絡安全

網(wǎng)絡由于其系統(tǒng)方面漏洞導致的安全問題是企業(yè)的一大困擾，如何消除辦企業(yè)網(wǎng)絡的安全隱患成為企業(yè)管理中的的一大難題。各種網(wǎng)絡安全技術的出現(xiàn)為企業(yè)的網(wǎng)絡信息安全帶來重要保障，為企業(yè)的發(fā)展奠定堅實的基礎。

1 網(wǎng)絡安全技術

1.1 防火墻技術

防火墻技術主要作用是實現(xiàn)了網(wǎng)絡之間訪問的有效控制，對外部不明身份的對象采取隔離的方式禁止其進入企業(yè)內(nèi)部網(wǎng)絡，從而實現(xiàn)對企業(yè)信息的保護。

如果將公司比作人，公司防盜系統(tǒng)就如同人的皮膚一樣，是阻擋外部異物的第一道屏障，其他一切防盜系統(tǒng)都是建立在防火墻的基礎上?，F(xiàn)在最常用也最管用的防盜系統(tǒng)就是防火墻，防火墻又可以細分為服務防火墻和包過濾技術防火墻。服務防火墻的作用一般是在雙方進行電子商務交易時，作為中間人的角色，履行監(jiān)督職責。包過濾技術防火墻就像是一個篩子，會選擇性的讓數(shù)據(jù)信息通過或隔離。

1.2 加密技術

加密技術是企業(yè)常用保護數(shù)據(jù)信息的一種便捷技術，主要是利用一些加密程序對企業(yè)一些重要的數(shù)據(jù)進行保護，避免被不法分子盜取利用。常用的加密方法主要有數(shù)據(jù)加密方法以及基于公鑰的加密算法。數(shù)據(jù)加密方法主要是對重要的數(shù)據(jù)通過一定的規(guī)律進行變換，改變其原有特征，讓外部人員無法直接觀察其本質含義，這種加密技術具有簡便性和有效性，但是存在一定的風險，一旦加密規(guī)律被別人知道后就很容易將其破解?；诠€的加密算法指的是由對應的一對唯一性密鑰（即公開密鑰和私有密鑰）組成的加密方法。這種加密方法具有較強的隱蔽性，外部人員如果想得到數(shù)據(jù)信息只有得到相關的只有得到唯一的私有密匙，因此具有較強的保密性。

1.3 身份鑒定技術

身份鑒定技術就是根據(jù)具體的特征對個人進行識別，根據(jù)識別的結果來判斷識別對象是否符合具體條件，再由系統(tǒng)判斷是否對來人開放權限。這種方式對于冒名頂替者十分有效，比如指紋或者后虹膜， 一般情況下只有本人才有權限進行某些專屬操作，也難以被模擬，安全性能比較可靠。這樣的技術一般應用在企業(yè)高度機密信息的保密過程中，具有較強的實用性。

2 企業(yè)網(wǎng)絡安全體系解決方案

2.1 控制網(wǎng)絡訪問

對網(wǎng)絡訪問的控制是保障企業(yè)網(wǎng)絡安全的重要手段，通過設置各種權限避免企業(yè)信息外流，保證企業(yè)在激烈的市場競爭中具有一定的競爭力。企業(yè)的網(wǎng)絡設置按照面向對象的方式進行設置，針對個體對象按照網(wǎng)絡協(xié)議進行訪問權限設置，將網(wǎng)絡進行細分，根據(jù)不同的功能對企業(yè)內(nèi)部的工作人員進行權限管理。企業(yè)辦公人員需要使用到的功能給予開通，其他與其工作不相關的內(nèi)容即取消其訪問權限。另外對于一些重要信息設置寫保護或讀保護，從根本上保障企業(yè)機密信息的安全。另外對網(wǎng)絡的訪問控制可以分時段進行，例如某文件只可以在相應日期的一段時間內(nèi)打開。

企業(yè)網(wǎng)絡設計過程中應該考慮到網(wǎng)絡安全問題，因此在實際設計過程中應該對各種網(wǎng)絡設備、網(wǎng)絡系統(tǒng)等進行安全管理，例如對各種設備的接口以及設備間的信息傳送方式進行科學管理，在保證其基本功能的基礎上消除其他功能，利用當前安全性較高的網(wǎng)絡系統(tǒng)，消除網(wǎng)絡安全的脆弱性。

企業(yè)經(jīng)營過程中由于業(yè)務需求常需要通過遠端連線設備連接企業(yè)內(nèi)部網(wǎng)絡，遠程連接過程中脆弱的網(wǎng)絡系統(tǒng)極容易成為別人攻擊的對象，因此在企業(yè)網(wǎng)絡系統(tǒng)中應該加入安全性能較高的遠程訪問設備，提高遠程網(wǎng)絡訪問的安全性。同時對網(wǎng)絡系統(tǒng)重新設置，對登入身份信息進行加密處理，保證企業(yè)內(nèi)部人員在操作過程中信息不被外人竊取，在數(shù)據(jù)傳輸過程中通過相應的網(wǎng)絡技術對傳輸?shù)臄?shù)據(jù)審核，避免信息通過其他渠道外泄，提高信息傳輸?shù)陌踩浴?/p>

2.2 網(wǎng)絡的安全傳輸

電子商務時代的供應鏈建立在網(wǎng)絡技術的基礎上，供應鏈的各種信息都在企業(yè)內(nèi)部網(wǎng)絡以及與供應商之間的網(wǎng)絡上進行傳遞，信息在傳遞過程中容易被不法分子盜取，給企業(yè)造成重大經(jīng)濟損失。為了避免信息被竊取，企業(yè)可以建設完善的網(wǎng)絡系統(tǒng)，通過防火墻技術將身份無法識別的隔離在企業(yè)網(wǎng)絡之外，保證企業(yè)信息在安全的網(wǎng)絡環(huán)境下進行傳輸。另外可以通過相應的加密技術對傳輸?shù)男畔⑦M行加密處理，技術一些黑客破解企業(yè)的防火墻，竊取到的信息也是難以理解的加密數(shù)據(jù)，加密過后的信息常常以亂碼的形式存在。從理論上而言，加密的信息仍舊有被破解的可能性，但現(xiàn)行的數(shù)據(jù)加密方式都是利用復雜的密匙處理過的，即使是最先進的密碼破解技術也要花費相當長的時間，等到數(shù)據(jù)被破解后該信息已經(jīng)失去其時效性，成為一條無用的信息，對企業(yè)而言沒有任何影響。

2.3 網(wǎng)絡攻擊檢測

一些黑客通常會利用一些惡意程序攻擊企業(yè)網(wǎng)絡，并從中找到漏洞進入企業(yè)內(nèi)部網(wǎng)絡，對企業(yè)信息進行竊取或更改。為避免惡意網(wǎng)絡攻擊，企業(yè)可以引進入侵檢測系統(tǒng)，并將其與控制網(wǎng)絡訪問結合起來，對企業(yè)信息實行雙重保護。根據(jù)企業(yè)的網(wǎng)絡結構，將入侵檢測系統(tǒng)滲入到企業(yè)網(wǎng)絡內(nèi)部的各個環(huán)節(jié)，尤其是重要部門的機密信息需要重點監(jiān)控。利用防火墻技術實現(xiàn)企業(yè)網(wǎng)絡的第一道保護屏障，再配以檢測技術以及相關加密技術，防火記錄用戶的身份信息，遇到無法識別的身份信息即將數(shù)據(jù)傳輸給管理員。后續(xù)的入侵檢測技術將徹底阻擋黑客的攻擊，并對黑客身份信息進行分析。即使黑客通過這些屏障得到的也是經(jīng)過加密的數(shù)據(jù)，難以從中得到有效信息。通過這些網(wǎng)絡安全技術的配合，全方位消除來自網(wǎng)絡黑客的攻擊，保障企業(yè)網(wǎng)絡安全。

3 結束語

隨著電子商務時代的到來，網(wǎng)絡技術將會在未來一段時間內(nèi)在企業(yè)的運轉中發(fā)揮難以取代的作用，企業(yè)網(wǎng)絡安全也將長期伴隨企業(yè)經(jīng)營管理，因此必須對企業(yè)網(wǎng)絡實行動態(tài)管理，保證網(wǎng)絡安全的先進性，為企業(yè)的發(fā)展建立安全的網(wǎng)絡環(huán)境。

參考文獻

[1]周觀民，李榮會.計算機網(wǎng)絡信息安全及對策研究[J].信息安全與技術，2011.

[2]韓萍，蔡志立.計算機網(wǎng)絡安全與防范[J].硅谷，2011.

篇4

關鍵詞：計算機；網(wǎng)絡；安全；威脅；防范技術

1 網(wǎng)絡安全的定義

網(wǎng)絡技術是從90年代中期發(fā)展起來的新技術，它把互聯(lián)網(wǎng)上分散的資源有機整合，實現(xiàn)了資源的全面共享。近年來，伴隨著互聯(lián)網(wǎng)技術的迅猛發(fā)展，網(wǎng)絡已成為人們生活中不可或缺的一部分。然而人們在享受網(wǎng)絡帶來的種種便利時，也受到了日益嚴重的來自網(wǎng)絡的安全威脅。

  網(wǎng)絡安全從本質上講就是網(wǎng)絡上的信息安全，網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。從用戶的角度來說，希望涉及到個人隱私和商業(yè)利益的信息在網(wǎng)絡上傳輸時，受到機密性、完整性和真實性的保護。

2 計算機網(wǎng)絡安全面臨的問題

2.1 計算機病毒

計算機病毒是專門用來破壞計算機正常工作，具有高級技巧的程序。它并不獨立存在，而是寄生在其他程序之中，具有隱蔽性、潛伏性、傳染性和極大的破壞性。計算機病毒通過互聯(lián)網(wǎng)傳播，給網(wǎng)絡用戶帶來極大的危害，它可以使計算機和計算機網(wǎng)絡系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失。在網(wǎng)絡上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。隨著網(wǎng)絡技術的不斷發(fā)展、網(wǎng)絡空間的廣泛運用，病毒的種類也在急劇增加。

2.2 黑客攻擊手段多樣

黑客的攻擊手段在不斷地更新，幾乎每天都有不同的系統(tǒng)安全問題出現(xiàn)。然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對新出現(xiàn)的安全問題總是反應太慢。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的，攻擊源相對集中，攻擊手段更加靈活。

2.3 操作系統(tǒng)漏洞及網(wǎng)絡設計的問題 

目前流行的許多操作系統(tǒng)均存在網(wǎng)絡安全漏洞，黑客利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)。由于設計的網(wǎng)絡系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，使其安全性受到影響。網(wǎng)絡安全管理缺少認證，容易被其他人員濫用，人為因素造成網(wǎng)絡安全隱患。另外，局域網(wǎng)內(nèi)網(wǎng)絡用戶使用盜版軟件，隨處下載軟件與游戲程序，以及網(wǎng)管的疏忽也容易造成網(wǎng)絡系統(tǒng)漏洞。

以上只是網(wǎng)絡安全所面臨的威脅中的一小部分，由此可見，解決網(wǎng)絡安全威脅，保證網(wǎng)絡安全已迫在眉睫，這需要尋求一個綜合性解決方案，以應對日益嚴重的網(wǎng)絡安全危機。

3 計算機網(wǎng)絡安全的防范技術

3.1 防火墻技術

防火墻的作用是對網(wǎng)絡訪問實施訪問控制策略。防火墻技術是為了保證網(wǎng)絡路由安全性而在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構造一個保護層。所有的內(nèi)外連接都強制性地經(jīng)過這一保護層接受檢查過濾，只有被授權的通信才允許通過，同時將不允許的通信拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪，防止他們隨意更改、移動甚至刪除網(wǎng)絡上的重要信息。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的惟一出入口，能夠根據(jù)安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務、實現(xiàn)網(wǎng)絡和信息安全的基礎設施。

3.2 網(wǎng)絡病毒的防范

病毒活動日益猖獗，對系統(tǒng)的危害日益嚴重。用戶一般采用殺毒軟件來防御病毒入侵，但現(xiàn)在年增千萬個未知新病毒，病毒庫更新速度落后，殺毒軟件已不能輕松應對，因此對病毒的防御顯得尤為重要。在網(wǎng)絡環(huán)境下，病毒傳播擴散快，僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。這需要一個基于服務器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連，還需要網(wǎng)關的防病毒軟件，加強上網(wǎng)計算機的安全性。

3.3 加強網(wǎng)絡安全管理

加強網(wǎng)絡的安全管理、制定有效的規(guī)章制度，對于確保網(wǎng)絡的安全性與可靠運行，將起到十分有效的作用。加強網(wǎng)絡的安全管理包括：確定安全管理等級和安全管理范圍；制定相關網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等?？疾煲粋€內(nèi)部網(wǎng)是否安全，不僅要看其技術手段，更重要的是看對該網(wǎng)絡采取的綜合措施。

3.4 提高安全防范意識

只要我們提高安全意識和責任觀念，很多網(wǎng)絡安全問題也是可以防范的。我們要注意養(yǎng)成良好的上網(wǎng)習慣，不隨意打開來歷不明的電子郵件及文件，不隨便運行陌生人發(fā)送的程序；盡量避免下載和安裝不知名的軟件、游戲程序；不輕易執(zhí)行附件中的EXE和COM等可執(zhí)行程序；密碼設置盡可能使用字母數(shù)字混排；及時下載安裝系統(tǒng)補丁程序等。

4 結束語

網(wǎng)絡安全是一項系統(tǒng)的工程，涉及技術、管理、使用等許多方面，網(wǎng)絡安全技術與工具是網(wǎng)絡安全的基礎，高水平的網(wǎng)絡安全技術隊伍是網(wǎng)絡安全的保證，嚴格的管理則是網(wǎng)絡安全的關鍵。總之，一勞永逸的網(wǎng)絡安全體系是不存在的，計算機網(wǎng)絡安全工作也不是一朝一夕就能夠完成的，它是一項長期的任務。如何保證網(wǎng)絡安全，是一個值得長期研究與付出努力的問題，網(wǎng)絡安全需要我們每一個人的參與。

5 參考文獻

[1] 石志國，計算機網(wǎng)絡安全教程，北京：清華大學出版社，2008．

[2] 周小華，計算機網(wǎng)絡安全技術與解決方案，杭州：浙江大學出版社，2008．

篇5

關鍵詞：計算機網(wǎng)絡信息 安全技術 防護對策

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2015）05-0000-00

1計算機網(wǎng)絡安全隱患分析

網(wǎng)絡環(huán)境下的計算機系統(tǒng)存在很多安全問題，綜合技術和管理等多方面因素，我們可以將這些問題歸納為四個方面：互聯(lián)網(wǎng)的開放性、自身的脆弱性、攻擊的普遍性、管理的困難性。為了解決這些問題，各種安全機制、策略和工具被研究和應用。但網(wǎng)絡的安全仍然存在很大隱患，首先就以下三方面進行分析：

1.1惡意入侵和攻擊

惡意入侵和攻擊分為主動和被動兩種，指具有熟練編寫和調(diào)試計算機程序的技巧并使用這些技巧來侵入到他方內(nèi)部網(wǎng)的行為。主動入侵攻擊是以破壞對方的網(wǎng)絡和信息為主要目的，實現(xiàn)成功之后就能夠造成對方網(wǎng)絡系統(tǒng)的運行受到影響，嚴重狀況下還可能讓系統(tǒng)出現(xiàn)癱瘓的問題，在被動攻擊的作用下獲得對方的相關信息，并在對方不了解的狀況下獲得相關機密信息或者數(shù)據(jù)，但是不破壞系統(tǒng)的正常運行。

1.2系統(tǒng)漏洞

所謂的系統(tǒng)漏洞主要有兩種不同的狀況，包括蓄意制造，這主要是指設計工作人員為了能夠達到日后信息竊取或者系統(tǒng)控制的目的而故意進行設計的行為；無意制造則是系統(tǒng)設計工作人員因為技術原因或者疏忽大意產(chǎn)生的。系統(tǒng)漏洞是傳統(tǒng)安全工具難于考慮到的地方，一般狀況下，這種侵入行為能夠光明正當?shù)拇┻^系統(tǒng)的防火墻而不被察覺。

1.3計算機病毒

計算機病毒指編制或在計算機程序中插入的破壞計算機功能和數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。其目前是數(shù)據(jù)安全的頭號大敵，這種程序可以通過磁盤、光盤、計算機網(wǎng)絡等各種途徑進行復制傳播。從上世紀80年代計算機病毒的首次被發(fā)現(xiàn)，至今全世界已經(jīng)發(fā)現(xiàn)數(shù)以萬計的計算機病毒，并且還在高速的增加，其隱蔽性、傳染性、破壞性都在進一步的發(fā)展。

2 信息安全的防護對策

2.1防火墻技術

所謂的防火墻只是一種較為形象的說法，是由計算機軟件以及硬件構成，讓內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之前形成實際的安全網(wǎng)關，屬于強化網(wǎng)絡訪問控制權限的表現(xiàn)，從根本上避免外部網(wǎng)絡用戶憑借各種非正當手段突破外部網(wǎng)絡而進入到內(nèi)部網(wǎng)絡領域中，并對內(nèi)部網(wǎng)絡資源加以訪問，從根本上實現(xiàn)內(nèi)部網(wǎng)絡環(huán)境以及特殊網(wǎng)絡設備受到保護的目的。這種技術對于多個網(wǎng)絡或者兩個網(wǎng)絡之間的傳輸數(shù)據(jù)包結合實際的安全策略來加以檢查，從而明確網(wǎng)絡之間的通信行為能否可以發(fā)生，并對網(wǎng)絡運行的狀況加以監(jiān)測。防火墻系統(tǒng)則是有兩個基本部件包括應用層網(wǎng)關以及過濾路由器構成，防火墻則處于5層網(wǎng)絡安全系統(tǒng)中的最低一個層次，屬于外部公共網(wǎng)絡和內(nèi)部網(wǎng)絡之間的一個主要屏障，防火墻是起初受到人們重視的一個主要網(wǎng)絡安全產(chǎn)品，在網(wǎng)絡應用以及網(wǎng)絡安全技術不斷發(fā)展的影響下，現(xiàn)階段的防火墻技術開始走向其他不同層次的安全網(wǎng)絡中服務，還有其他不同的防火墻產(chǎn)品開始朝著避免黑客或者病毒入侵以及用戶認證和數(shù)據(jù)安全方向發(fā)展。

2.2數(shù)據(jù)加密技術

數(shù)據(jù)加密技術是最基本的網(wǎng)絡安全技術，被譽為信息安全的核心，最初主要用于保證數(shù)據(jù)在存儲和傳輸過程中的保密性。它使用數(shù)字方法來重新組織數(shù)據(jù)，通過變換和置換等各種方法將被保護信息置換成密文，然后再進行信息的存儲或傳輸，使得除了合法受者外，任何其他人想要恢復原先的“消息”是非常困難的。即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。所謂數(shù)據(jù)加密技術就是這種技術的目的是對傳輸中的數(shù)據(jù)流加密，常用的方式有線路加密和端對端加密兩種。前者側重在線路上而不考慮信源與信宿，是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發(fā)送者端通過專用的加密軟件，采用某種加密技術對所發(fā)送文件進行加密，把明文（也即原文）加密成密文（加密后的文件，這些文件內(nèi)容是一些看不懂的代碼），然后進入TCP/IP數(shù)據(jù)包封裝穿過互聯(lián)網(wǎng)，當這些信息一旦到達目的地，將由收件人運用相應的密鑰進行解密，使密文恢復成為可讀數(shù)據(jù)明文。

2.3訪問與控制

訪問與控制指授權控制不同用戶對信息資源的訪問權限，即哪些用戶可訪問哪些資源以及可訪問的用戶各自具有的權限。是對網(wǎng)絡的訪問與控制進行技術處理是維護系統(tǒng)運行安全、保護系統(tǒng)資源的一項重要技術，也是對付黑客的關鍵手段。

2.4網(wǎng)絡安全管理措施

網(wǎng)絡安全管理策略包括：確定安全管理等級和安全管理范圍；指定有關網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度，制定網(wǎng)絡系統(tǒng)的維護制度和應急措施，以及提高網(wǎng)絡工作人員的素質，強化網(wǎng)絡安全責任感等。 隨著企業(yè)信息化水平的不斷加深，管理層網(wǎng)絡安全意識應逐步得到增強，并逐步會主動去思考如何更好地構筑信息平臺的安全保障體系。

提高網(wǎng)絡工作人員的管理素質也是一項重要的任務。對工作人員要結合硬件、軟件、數(shù)據(jù)等網(wǎng)絡系統(tǒng)各方面進行安全教育，提高工作人員的責任心，并加強業(yè)務技術培訓，提高操作技能，重視網(wǎng)絡系統(tǒng)的安全管理，防止人為事故的發(fā)生，同時提高人們對網(wǎng)絡安全的認識，完善法律、法規(guī)，對計算機犯罪進行法律制裁。

篇6

關鍵詞：網(wǎng)絡廣播電視臺；技術架構；設計方案

網(wǎng)絡廣播電視臺是一種現(xiàn)代科技發(fā)展中誕生的一種新型的網(wǎng)絡媒體。它的產(chǎn)生是在電視和網(wǎng)絡的大范圍普及下形成的。將地方電視臺作為依托，利用網(wǎng)絡平臺進行電視直播，是一種新型的電視播放手段。就目前來說，較為成熟的網(wǎng)絡廣播電臺有中央電視臺、黑龍江廣播電視臺等等，相信隨著用戶的日益增長以及用戶需求的不斷更新，網(wǎng)絡廣播電視臺將會成為各省市廣播電視臺長遠發(fā)展的一大趨勢。本文主要是對網(wǎng)絡廣播電視臺的建立技術和方案設計進行探究。

1 網(wǎng)絡廣播電視臺簡述

網(wǎng)絡電視臺不同于傳統(tǒng)的電視播放模式，不需要用戶專門購買電視或其他設備，只需要登陸互聯(lián)網(wǎng)，找到相應的網(wǎng)址或平臺就能夠觀看。在現(xiàn)代社會的“三網(wǎng)融合”背景下，網(wǎng)絡電視臺得到了飛速發(fā)展?！叭W(wǎng)融合”有利于對網(wǎng)絡資源和網(wǎng)絡帶寬進行合理調(diào)配，使網(wǎng)絡資源能夠最大程度的合理利用，從而避免重復建設，通過現(xiàn)代社會的較高網(wǎng)速，實現(xiàn)了網(wǎng)絡數(shù)據(jù)和資源的實時共享。網(wǎng)絡廣播電視臺由內(nèi)容、渠道、平臺、數(shù)據(jù)庫、運營以及盈利六個簡單要素構成，其中的內(nèi)容就是通過將電視中所播放的所有內(nèi)容加以整理分類，按照一定的順序播放出來，從而形成電視中所播放的節(jié)目；而渠道則是將內(nèi)容通過不同的平臺進行傳播，例如電視、廣播、網(wǎng)絡等。所以網(wǎng)絡電視中，只要可以連入網(wǎng)絡，就可以獲取各類節(jié)目資源；平臺是建立在網(wǎng)頁的客戶端以及窗口，用戶就通過這些平臺進入并收看相關節(jié)目；數(shù)據(jù)庫分為用戶信息數(shù)據(jù)庫和節(jié)目資源數(shù)據(jù)庫，其中的一個作用是存儲、管理用戶信息，另一個則是收錄、播放電視節(jié)目；運營則是通過相關專業(yè)制作團隊進行運營；盈利主要是通過兩方面來實現(xiàn)，一是通過廣告收入盈利，與傳統(tǒng)電視臺相似，二是通過電子商務盈利。

網(wǎng)絡廣播電視臺作為一種新型的網(wǎng)絡宣傳媒體，還同時具有多種優(yōu)勢，主要包括及時性、數(shù)字化、多終端、互動性、信息點播、信息個性化訂制以及覆蓋廣泛，而且它不會受到時間和空間變化的影響，只要可以連接到網(wǎng)絡，就可以不受限制地使用網(wǎng)絡廣播電視臺。

網(wǎng)絡廣播電視臺的建設是建立在各省市傳統(tǒng)電視臺平臺的基礎上的，將各省市電視臺的所有電視、廣播節(jié)目進行收錄、整理，然后通過網(wǎng)絡將節(jié)目進行分類，由同類的節(jié)目構成專門的節(jié)目頻道，如電影頻道、電視劇頻道、動漫頻道、娛樂頻道、體育頻道等，同時可利用互聯(lián)網(wǎng)獨特的互動性，吸引更多的用戶，在此基礎上還可以根據(jù)用戶的特色來劃分節(jié)目頻道，最大程度上滿足用戶的需求，吸引更多的受眾群。

總而言之，網(wǎng)絡廣播電視臺是傳統(tǒng)電視臺發(fā)展過程中必然的產(chǎn)物，是對傳統(tǒng)電視臺的創(chuàng)新和拓展，同時也給傳統(tǒng)電視臺帶來了機遇甚至挑戰(zhàn)。

2 網(wǎng)絡廣播電視臺技術架構解析

在簡要地概述了網(wǎng)絡廣播電視臺的要點之后，下面將進入正題，首先詳細解析網(wǎng)絡廣播電視臺的技術架構。

2.1 技術架構的組成

網(wǎng)絡廣播電視是將電視和網(wǎng)絡平臺結合起來，是通過網(wǎng)絡將電視內(nèi)容播放出來的新型媒體傳播渠道，由于它所具有的特性決定它需要滿足安全性、高效性、實用性、開放性的要求，在能夠滿足這些基本要求的前提下，還需要建立一個將互聯(lián)網(wǎng)和廣播節(jié)目完成共享的平臺，并能夠對其中的視頻內(nèi)容進行收集，在較多媒體中進行的智能化網(wǎng)絡管理系統(tǒng)。其中此系統(tǒng)還包括以下七個要素系統(tǒng)：

2.1.1 信息收錄系統(tǒng)。網(wǎng)絡廣播電視臺的主要職能就是對各類節(jié)目資源進行整理和收集，對這些節(jié)目資源進行分類整理，這就是信息收錄系統(tǒng)的作用。此系統(tǒng)主要由兩個部分構成，一是視頻音頻信息收錄系統(tǒng)，二是綜合內(nèi)容信息收錄系統(tǒng)。其中視頻音頻信息收錄系統(tǒng)主要是通過采集、調(diào)度、快編以及存儲視頻音頻號來完成此項工作。收錄系統(tǒng)是整個技術系統(tǒng)的第一個環(huán)節(jié)，是最基礎而又最重要的環(huán)節(jié)，只有對各種節(jié)目資源進行完整的接收，才能進行后面的整理分類，形成節(jié)目頻道，最后實現(xiàn)共享，所以必須單獨為收錄系統(tǒng)設計一套可行的詳細實用的接收方案。

2.1.2 信息系統(tǒng)。將節(jié)目資源整理分類好以后，就可以根據(jù)節(jié)目庫的內(nèi)容進行相關節(jié)目的。信息系統(tǒng)都有自己獨立的頁面，想要任何節(jié)目都可以自由地選擇。

2.1.3 版權管理信息系統(tǒng)。版權管理信息系統(tǒng)主要是針對數(shù)字版權的保護而開設的一個系統(tǒng)，其重要性不言而喻。數(shù)字版權的保護是十分重要的，這項工作關系到其數(shù)字產(chǎn)品能否在一個可拓展的平臺得到安全的發(fā)展，這需要利用到密碼學的技術，并且做到理論聯(lián)系實際，即結合系統(tǒng)構架和具體應用開展。

2.1.4 互動信息系統(tǒng)?；有畔⑾到y(tǒng)就是需要在電視節(jié)目播出時，利用網(wǎng)絡與觀眾進行實時互動，提高觀眾的參與性，該系統(tǒng)靈活性較高，開發(fā)難度較低，在管理上采取的是直接的接口管理模式。

2.1.5 其他業(yè)務的管理。其他業(yè)務主要是指政府信息、在線支付、游戲等第三方業(yè)務的拓展延伸，此類業(yè)務也相對靈活，而且這項系統(tǒng)在發(fā)展過程中還處于初級階段，還有許多功能都不夠完善，多數(shù)情況下需要加入第三方管理系統(tǒng)，幫助其進行管理。

2.2 技術構架的功能

網(wǎng)絡廣播電視臺技術構架的功能主要是需要對資源進行統(tǒng)一管理，并將收集到的視頻或音頻內(nèi)容進行適當?shù)?，同時對播放內(nèi)容進行統(tǒng)一管理，控制互動系統(tǒng)的功能性和實用性。

3 網(wǎng)絡廣播電視臺技術構架方案設計

在了解了網(wǎng)絡廣播視臺技術構架的組成部分以及功能以后，下面針對一些主要不足問題進行方案設計。

3.1 信息調(diào)度中心設計

信息調(diào)度系統(tǒng)主要是將從不同的來源收集到的信息進行分類整理，同時還需要對缺少音頻的文件匹配對應的音頻，此系統(tǒng)的設計必須滿足較高的調(diào)度靈活性和可靠安全性，所以最好經(jīng)由光纖傳輸，以確保資源安全可靠，維護用戶的利益。

3.2 信息收錄中心設計

信息收錄主要包括手動形式和自動形式，手動形式主要是通過人為的手段對各種信息進行整理入庫，自動形式是把直播頻道的節(jié)目按照EPG進行自動入庫，這個系統(tǒng)看似簡單，卻是整個系統(tǒng)的基礎，非常重要，因此，在選編碼器的時候不僅要著重考慮其性能，還要進行實測，選擇效果最好的編碼器。

3.3 業(yè)務運營平臺設計

業(yè)務運營平臺在運營初期可以加入第三方廠家進行管理設計，以學習相關經(jīng)驗，待到成熟階段后可以自己運營。廣告模塊主要是指實現(xiàn)廣告的和運營，如何達到通過廣告獲得最大的收益又盡量不影響用戶的利益，是值得考慮的問題，這就要求對廣告的位置和投放指標進行精確的設計。綜合業(yè)務運營模塊就是對觀眾所要使用的各項客戶端、網(wǎng)站網(wǎng)頁進行設計，從而實現(xiàn)各個接口之間的數(shù)據(jù)交換。

4 結束語

網(wǎng)絡廣播電視臺的出現(xiàn)，無疑是傳統(tǒng)廣播電視臺的一次重大革新，既順應了時展、科技進步的需求，又豐富了人們的生活。雖然作為一次新的嘗試，難免有一些不足，但相信只要不斷探索、更新，網(wǎng)絡廣播電視臺一定會展現(xiàn)出它不可抗拒的旺盛的生命力。

參考文獻

[1]海吉.網(wǎng)絡安全技術與解決方案[M].北京：人民郵電出版社，2009.

篇7

關鍵詞：物聯(lián)網(wǎng)；網(wǎng)絡攻擊；安全防護

隨著物聯(lián)網(wǎng)在國家基礎設施、經(jīng)濟活動、以及智能家居、交通、醫(yī)療等社會活動方面的廣泛應用，物聯(lián)網(wǎng)的安全問題已不僅僅局限于網(wǎng)絡攻防等技術領域范疇，而是已成為影響人們?nèi)粘Ｉ詈蜕鐣€(wěn)定的重要因素。

1 物聯(lián)網(wǎng)安全風險分析

從信息安全和隱私保護的角度講，物聯(lián)網(wǎng)各種智能終端的廣泛聯(lián)網(wǎng)，極易遭受網(wǎng)絡攻擊，增加了用戶關鍵信息的暴露危險，也加大了物聯(lián)網(wǎng)系統(tǒng)與網(wǎng)絡的信息安全防護難度。

2 物聯(lián)網(wǎng)攻擊技術及安全防護體系

2.1 感知層安全問題

⑴物理安全與信息采集安全。感知層是物聯(lián)網(wǎng)的網(wǎng)絡基礎，由具體的感知設備組成，感知層安全問題主要是指感知節(jié)點的物理安全與信息采集安全。

⑵典型攻擊技術。針對感知層的攻擊主要來自節(jié)點的信號干擾或者信號竊取，典型的攻擊技術主要有阻塞攻擊、偽裝攻擊、重放攻擊及中間人攻擊等。

2.2 網(wǎng)絡層安全問題

網(wǎng)絡層主要實現(xiàn)物聯(lián)網(wǎng)信息的轉發(fā)和傳送，包括網(wǎng)絡拓撲組成、網(wǎng)絡路由協(xié)議等。利用路由協(xié)議與網(wǎng)絡拓撲的脆弱性，可對網(wǎng)絡層實施攻擊。

⑴物聯(lián)網(wǎng)接入安全。物聯(lián)網(wǎng)為實現(xiàn)不同類型傳感器信息的快速傳遞與共享，采用了移動互聯(lián)網(wǎng)、有線網(wǎng)、Wi-Fi、WiMAX等多種網(wǎng)絡接入技術。網(wǎng)絡接入層的異構性，使得如何為終端提供位置管理以保證異構網(wǎng)絡間節(jié)點漫游和服務的無縫聯(lián)接時，出現(xiàn)了不同網(wǎng)絡間通信時安全認證、訪問控制等安全問題。

跨異構網(wǎng)絡攻擊，就是針對上述物聯(lián)網(wǎng)實現(xiàn)多種傳統(tǒng)網(wǎng)絡融合時，由于沒有統(tǒng)一的跨異構網(wǎng)絡安全體系標準，利用不同網(wǎng)絡間標準、協(xié)議的差異性，專門實施的身份假冒、惡意代碼攻擊、偽裝欺騙等網(wǎng)絡攻擊技術。

⑵信息傳輸安全。物聯(lián)網(wǎng)信息傳輸主要依賴于傳統(tǒng)網(wǎng)絡技術，網(wǎng)絡層典型的攻擊技術主要包括鄰居發(fā)現(xiàn)協(xié)議攻擊、蟲洞攻擊、黑洞攻擊等。

鄰居發(fā)現(xiàn)協(xié)議攻擊。利用IPv6中鄰居發(fā)現(xiàn)協(xié)議（Neighbor Discovery Protocol），使得目標攻擊節(jié)點能夠為其提供路由連接，導致目標節(jié)點無法獲得正確的網(wǎng)絡拓撲感知，達到目標節(jié)點過載或阻斷網(wǎng)絡的目的。如Hello洪泛攻擊。

2.3 應用層安全問題

應用層主要是指建立在物聯(lián)網(wǎng)服務與支撐數(shù)據(jù)上的各種應用平臺，如云計算、分布式系統(tǒng)、海量信息處理等，但是，這些支撐平臺要建立起一個高效、可靠和可信的應用服務，需要建立相應的安全策略或相對獨立的安全架構。典型的攻擊技術包括軟件漏洞攻擊、病毒攻擊、拒絕服務流攻擊。

3 物聯(lián)網(wǎng)安全防護的關鍵技術

物聯(lián)網(wǎng)安全防護，既有傳統(tǒng)信息安全的各項技術需求，又包含了物聯(lián)網(wǎng)自身的特殊技術規(guī)范，特別是物物相連的節(jié)點安全。

3.1 節(jié)點認證機制技術

節(jié)點認證機制是指感知層節(jié)點與用戶之間信息傳送時雙方進行身份認證，確保非法節(jié)點節(jié)點及非法用戶不能接入物聯(lián)網(wǎng)，確保信息傳遞安全。通過加密技術和密鑰分配，保證節(jié)點和用戶身份信息的合法性及數(shù)據(jù)的保密性，從而防止在傳遞過程中數(shù)據(jù)被竊取甚至篡改。

物聯(lián)網(wǎng)主要采用對稱密碼或非對稱密碼進行節(jié)點認證。對稱密碼技術，需要預置節(jié)點間的共享密鑰，效率高，消耗資源較少；采用非對稱密碼技術的傳感，通常對安全性要求更高，對自身網(wǎng)絡性能也同樣要求很高。在二者基礎上發(fā)展的PKI技術，由公開密鑰密碼技術、數(shù)字證書、證書認證中心等組成，確保了信息的真實性、完整性、機密性和不可否認性，是物聯(lián)網(wǎng)環(huán)境下保障信息安全的重要方案。

3.2 入侵檢測技術

入侵檢測技術，能夠及時發(fā)現(xiàn)并報告物聯(lián)網(wǎng)中未授權或異常的現(xiàn)象，檢測物聯(lián)網(wǎng)中違反安全策略的各種行為。

信息收集是入侵檢測的第一步，由放置在不同網(wǎng)段的傳感器來收集，包括日志文件、網(wǎng)絡流量、非正常的目錄和文件改變、非正常的程序執(zhí)行等情況。信息分析是入侵檢測的第二步，上述信息被送到檢測引擎，通過模式匹配、統(tǒng)計分析和完整性分析等方法進行非法入侵告警。結果處理是入侵檢測的第三步，按照告警產(chǎn)生預先定義的響應采取相應措施，重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性等。

3.3 訪問控制技術

訪問控制在物聯(lián)網(wǎng)環(huán)境下被賦予了新的內(nèi)涵，從TCP/IP網(wǎng)絡中主要給“人”進行訪問授權、變成了給機器進行訪問授權，有限制的分配、交互共享數(shù)據(jù)，在機器與機器之間將變得更加復雜。

訪問控制技術用于解決誰能夠以何種方式訪問哪些系統(tǒng)資源的問題。適當?shù)脑L問控制能夠阻止未經(jīng)允許的用戶有意或無意獲取數(shù)據(jù)。其手段包括用戶識別代碼、口令、登錄控制、資源授權、授權核查、日志和審計等。

[參考文獻]

[1]劉宴兵，胡文平.物聯(lián)網(wǎng)安全模型與關鍵技術.數(shù)字通信，2010.8.

[2]臧勁松.物聯(lián)網(wǎng)安全性能分析.計算機安全，2010.6.

篇8

1網(wǎng)絡安全與校園網(wǎng)安全

1.1網(wǎng)絡安全

網(wǎng)絡安全不是目的，只是一種保障。就網(wǎng)絡安全來說，其造成威脅的因素又可分為內(nèi)因和外因。內(nèi)因主要是計算機本身的問題所致，例如自身的系統(tǒng)缺陷、訪問控制中的安全隱患和漏洞、www等域名的服務漏洞、網(wǎng)絡操作系統(tǒng)的安全缺陷等。外因主要是指來自外界的威脅和干擾。包括計算機病毒、非授權的冒充使用、物理環(huán)境的安全性差等因素。

1.2校園網(wǎng)安全

校園網(wǎng)相對來說是一個比較特殊的環(huán)境，由于面向的群體主要是學生，因此除了要保證網(wǎng)絡的正常運行外，還必須做好對內(nèi)容不健康信息的過濾功能以及應對個別同學喜歡嘗試各種試圖攻擊和入侵服務器的行為。通過分析目前校園網(wǎng)中存在的問題，應該從以下幾方面進行著手維護：制定和實施訪問安全，身份認證，禁止未授權的訪問者非法進入；對于電子閱覽室、網(wǎng)絡實驗室等學校人員經(jīng)常使用的計算機，安裝上防火墻，過濾掉、暴力等不健康的網(wǎng)站；對重要或敏感的信息和數(shù)據(jù)進行加密，保證信息的內(nèi)容的安全性，防止例如學生成績信息等重要數(shù)據(jù)被非法篡改；確保網(wǎng)絡運行設施的可靠性和安全監(jiān)測手段的有效性，防范非法入侵而使系統(tǒng)功能受到影響情況的出現(xiàn)；學?？稍O立網(wǎng)絡安全管理機制，負責網(wǎng)絡安全管理和規(guī)劃等工作，加強學校安全管理教育工作的開展。

2防火墻技術

防火墻是一種為了保護內(nèi)部網(wǎng)安全，在計算機的硬件和軟件相互搭配組合下，在互聯(lián)網(wǎng)和內(nèi)部網(wǎng)之間形成安全屏障的技術，是確保網(wǎng)絡安全的重要手段。作為現(xiàn)代網(wǎng)絡時代不可或缺的安全產(chǎn)品，防火墻已經(jīng)成為了校園網(wǎng)絡必要的存在。就目前來說，防火墻主要通過對未經(jīng)證實的主機的TCP/IP進行分組過濾、利用IP地址進行偽裝、通過功能，斷絕內(nèi)外部之間的連接等三個主要手段對內(nèi)部網(wǎng)進行安全保護。

2.1防火墻的功能

（1）管理進出網(wǎng)絡的訪問行為作為雙向溝通間的控制點，防火墻可以利用自身的阻塞點，對訪問的信息進行管理和控制，并過濾掉不安全的服務和信息，只允許經(jīng)過選擇的應用選擇通過防火墻，這在很大程度上降低了訪問的風險，提高了內(nèi)部網(wǎng)絡的安全性。（2）記錄通過防火墻的信息內(nèi)容和活動防火墻的建立使得所有信息的訪問在經(jīng)過防火墻的時候都會留下記錄，防火墻內(nèi)部會根據(jù)這些數(shù)據(jù)統(tǒng)計網(wǎng)絡的使用情況，并作出日志記錄。（3）監(jiān)測和反饋網(wǎng)絡攻擊行為在信息監(jiān)測的過程中，當有可疑的情況發(fā)生時，防火墻會適當?shù)膱缶?，并把詳細信息自動生成電子郵件發(fā)送給網(wǎng)絡維護者，提供網(wǎng)絡是否受到監(jiān)測和攻擊的信息。（4）防止內(nèi)部信息的泄漏在實施保護的過程中，可以通過防火墻的內(nèi)部網(wǎng)絡劃分，將重點網(wǎng)段進行隔離，防止了局部重點或敏感段落出現(xiàn)問題對全局造成影響。

2.2防火墻特性

（1）是雙向網(wǎng)絡載體通信之間的中間存在點；（2）具有透明性，其存在不影響信息之間的交流和溝通；（3）它只對符合本地開放安全的信息進行授權，而只有經(jīng)過授權的信息才可以自由出入網(wǎng)絡。

3防火墻技術在大學校園網(wǎng)中的應用

在目前，各種維護網(wǎng)絡的軟硬件層出不窮，但大多數(shù)只能解決學校網(wǎng)絡安全中的一部分，例如金山、瑞星等軟件解決病毒防范，天網(wǎng)、天融信等軟件解決網(wǎng)絡攻擊問題，這些軟件的存在都是以解決單一或部分問題為目標，并不能對學校的網(wǎng)絡安全形成整體的解決方案。由于學校的特殊性，學校對網(wǎng)絡的需求也有所不同，因此校園網(wǎng)絡應該根據(jù)學校的需求特點出發(fā)，以第一評價為標準，完善網(wǎng)絡體系，具體來說，有以下幾個步驟：

3.1入侵監(jiān)測系統(tǒng)

入侵檢測是一種能夠及時監(jiān)測和發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中異?，F(xiàn)象的實時監(jiān)測技術。在監(jiān)測過程中除了利用審計記錄，監(jiān)測出任何不希望有的活動以外，它還可以實時防護來自IPSpoofing、PingofDeath以及其它外界的攻擊，以保護系統(tǒng)的安全。而在監(jiān)測到攻擊行為時它還可以自動生成電子郵件通知系統(tǒng)管理員，使其可以在第一時間處理危機。

3.2建立用戶認證

建立和完善網(wǎng)絡的用戶認證機制，對于不可信網(wǎng)站的訪問，防火墻可以經(jīng)過內(nèi)建用戶數(shù)據(jù)庫或IP/MAC綁定資料等進行認證，并決定是否給予訪問的權限。而防火墻也可以限定授權用戶通過防火墻進行一些有限制的活動。

3.3防火墻系統(tǒng)的檢測和維護

在合理配置了防火墻后，必須要對防火墻進行經(jīng)常性的檢測和監(jiān)督，并對監(jiān)測到的網(wǎng)絡流量進行分析，時刻關注異常流量的情況，做好日志備份等處理工作，以便日后信息的查閱。最后，防火墻的配置也要根據(jù)網(wǎng)絡結構的變化而變化，從而保證其能在保護校園網(wǎng)中發(fā)揮更好的作用。

3.4漏洞掃描系統(tǒng)

要想解決網(wǎng)絡中的安全問題，首先要清楚存在了哪些安全隱患。面對強大的網(wǎng)絡覆蓋面和不斷變化的網(wǎng)絡復雜性，如果僅僅只依靠網(wǎng)絡技術管理人員的技術去查找漏洞是存在著巨大困難的，也是不現(xiàn)實的。因此唯一的方法就是找出一種可以替代人工查詢漏洞，并做出及時評估、提出修改意見的安全掃描工具，它可以在系統(tǒng)優(yōu)化的過程中彌補安全漏洞，消除安全隱患。

3.5利用網(wǎng)絡監(jiān)聽維護子網(wǎng)安全

威脅校園網(wǎng)絡安全有內(nèi)因和外因兩個部分，對于外因，我們可以通過安裝防火墻來解決，但是對于校園內(nèi)部的入侵我們則無能為力，在這種情況下，學?？梢栽诰W(wǎng)絡監(jiān)控部門中設立一個專門管理和分析網(wǎng)絡運作狀態(tài)的子網(wǎng)監(jiān)聽程序，該監(jiān)聽程序可以包含一定的審計功能，方便在長期監(jiān)聽子網(wǎng)的情況中，為系統(tǒng)中各個服務器的審計文件提供備份，并在監(jiān)聽的程序之間建立聯(lián)系，保證相互聯(lián)系的計算機，在其它服務器收不到聯(lián)系的情況下，會自動發(fā)出警報提示。

4結語

篇9

【關鍵詞】國家數(shù)控實訓基地；數(shù)控機床改造；網(wǎng)絡化；建設方案

黃石職業(yè)技術學院國家數(shù)控實訓基地于2007年建成并投入使用，由于設計比較倉促，數(shù)控基地分別單獨建立了數(shù)控仿真實驗室、CAD/CAM實驗室、數(shù)控加工車間、電火花線切割實訓室、三坐標測量室等機構，并沒有搭建一個協(xié)同的工作網(wǎng)絡。

隨著時間的推移，目前國家數(shù)控實訓基地的運行模式已經(jīng)不能適應現(xiàn)代化的需求：學生在數(shù)控仿真實驗室模擬的程序輸出后，并不能直接輸送到數(shù)控機床，需要在機床重新錄入或者借助U盤拷貝；技術人員在CAD/CAM實驗室通過三維制造軟件自動生成的程序代碼，無法順利到達機床系統(tǒng)，中間操作繁瑣；三坐標測量機檢測驗證的數(shù)據(jù)，只有通過介質傳輸，不能快速反饋到實訓室中。這些問題都是由于數(shù)控基地沒有一個完整的網(wǎng)絡化平臺造成的。為了解決這個問題，我們?yōu)閲覕?shù)控實訓基地設計了網(wǎng)絡拓撲，準備實施網(wǎng)絡化改造。

一、原有的教學環(huán)境及需求

黃石職業(yè)技術學院國家數(shù)控實訓基地下設的數(shù)控仿真實驗室、CAD/CAM實驗室，共擁有計算機82臺，采用P4 3.06G CPU、512M內(nèi)存、GeForce 128M顯卡、160G硬盤、17寸顯示器，并已組建成一個局域網(wǎng)，每臺機器上裝有宇龍數(shù)控加工仿真系統(tǒng)、CAXA制造工程師、Pro/E、Master CAM等專業(yè)軟件，可以實現(xiàn)自動編程。三坐標測量室擁有?？怂箍等鴺藴y量機一臺，工作站一臺。數(shù)控加工車間擁有廣州數(shù)控CAK3275型數(shù)控車床9臺，華中數(shù)控CK6140型數(shù)控車床3臺，廣州數(shù)控XK713型數(shù)控銑床7臺，華中數(shù)控4600型加工中心1臺，法拉克VMC650加工中心2臺，法拉克HTC2050車削中心1臺，華中數(shù)控教學型數(shù)控車床1臺、華中數(shù)控教學型銑床3臺。電火花線切割實訓室擁有蘇州新火花DK7740型數(shù)控線切割機床3臺，數(shù)控電火花成形機床1臺。

我們擬在數(shù)控基地內(nèi)構建一個局域網(wǎng)網(wǎng)絡平臺，將數(shù)控加工車間內(nèi)所有數(shù)控機床與測量室、實訓室、CAD/CAM實驗室等計算機進行網(wǎng)絡化改造，建設模擬企業(yè)環(huán)境的網(wǎng)絡化數(shù)控實訓基地，使各項數(shù)據(jù)都可以通過網(wǎng)絡傳輸，不再需繁瑣的人工操作。這不僅順應了“網(wǎng)絡數(shù)控”發(fā)展的總體趨勢，而且能滿足學院教學、培訓的需要，具有較高的實際應用價值。

二、網(wǎng)絡化改造的設計

1.網(wǎng)絡選型、連接方案

在所有網(wǎng)絡類型中，小型局域網(wǎng)是比較接近非專業(yè)人上和最為實用的網(wǎng)絡技術。因此，我們選擇搭建一個使用方便、性能穩(wěn)定、造價低廉的小型星型局域網(wǎng)。

目前基地大多數(shù)數(shù)控機床數(shù)據(jù)傳輸只支持通過RS232接口單機傳輸，其基本原理是計算機的串行（COM）口和數(shù)控機床本身的RS232接口遵循相同的數(shù)據(jù)通信協(xié)議，利用它們之間的數(shù)據(jù)傳輸性能可方便地實現(xiàn)計算機與數(shù)控機床的通信，從而完成計算機對機床的NC代碼的傳輸。但是這樣的接口我們無法直接接入以太網(wǎng)，經(jīng)過討論，我們解決的方案是：給每臺數(shù)控機床旁配置一臺PC機，使用數(shù)據(jù)線將COM口與數(shù)控機床RS232C接口連接，而此時，每臺PC機又可以直接連接以太局域網(wǎng)。這種方案的特點是技術成熟操作簡單，給操作者帶來方便：在PC機上編程，在專用通訊軟件或者DOS下進行程序傳輸。

2.網(wǎng)絡拓撲結構

我們要先將數(shù)控加工車間、線切割實訓室和三坐標測量室的32臺數(shù)控機床控制計算機組成一個小局域網(wǎng)，再將該局域網(wǎng)與數(shù)控仿真實驗室、CAD/CAM實驗室的局域網(wǎng)連接起來，共同組成一個基地的網(wǎng)絡平臺，使設計信息、工藝信息、加工信息及后置處理數(shù)據(jù)能及時地傳遞到制造單元。學生在數(shù)控仿真實驗室、CAD/CAM實驗室進行數(shù)控編程和仿真的數(shù)據(jù)也可直接傳送到機床上，這樣就構成了網(wǎng)絡制造集成環(huán)境，減少了中間環(huán)節(jié)，增加了可靠性，并提高了工作效率。

根據(jù)以上要求，我們決定組建一個星型結構的共享式以太網(wǎng)，服務器安裝Windows 2003 Server，工作站操作系統(tǒng)采用Windows XP專業(yè)版。網(wǎng)絡拓撲結構如圖1所示。

3.組網(wǎng)步驟

（1）硬件物資準備

由于數(shù)控仿真實驗室、CAD/CAM實驗室已經(jīng)組成局域網(wǎng)，在這次網(wǎng)絡改造中不需要另外投入新的設備。而現(xiàn)有的數(shù)控機床全部配備了高性能計算機，具備入網(wǎng)條件，我們只需購買雙絞線、水晶頭和交換機等就可以輕松組網(wǎng)。

我們采用星型網(wǎng)絡的布線連接，雙絞線兩端安裝有水晶頭。連接網(wǎng)卡與交換機的最大網(wǎng)線長度為100米，如果要加大網(wǎng)絡的范圍，在兩段雙絞線之間可安裝中繼器。由于數(shù)控基地所有設備都在一棟大樓內(nèi)，距離較近，能滿足要求。根據(jù)數(shù)控機床控制計算機的位置，我們選擇了交換機的安裝位置，并將每臺控制用計算機用雙絞線連接到了交換機上。

（2）服務器的安裝和配置

因為這臺服務器的身份是域控制器、網(wǎng)關及文件服務器，所以我們選用了Windows 2003服務器操作系統(tǒng)，并配置成為域控制器，方便管理域內(nèi)工作站，還利用Windows 2003的Internet連接共享功能，為基地內(nèi)部網(wǎng)絡搭建了網(wǎng)關，通過網(wǎng)關將數(shù)控基地局域網(wǎng)與校園網(wǎng)連接起來。

同時，我們在服務器上安裝了Serv-U FTP服務器軟件，輕松構建了一個文件服務器，因此在基地局域網(wǎng)內(nèi)部進行文件傳輸更容易。

（3）工作站的安裝和設置

工作站全部采用Windows XP專業(yè)版，其安裝過程比較容易。需要說明的是有關協(xié)議的安裝問題，網(wǎng)絡中每臺計算機的協(xié)議配置應盡量保持一致。在通常情況下，TCP/IP協(xié)議是必不可少的，為了照顧數(shù)控機床控制系統(tǒng)中所用通訊功能能在DOS下使用，IPX/SPX協(xié)議也應該安裝，至于微軟的網(wǎng)絡客戶文件系統(tǒng)安裝時就已經(jīng)自動安裝好了。然后，參照相關協(xié)議，為每個廠家的數(shù)控機床安裝匹配的傳輸控制系統(tǒng)，并對機床控制系統(tǒng)軟件及DNC通訊軟件進行設置，實現(xiàn)通過網(wǎng)絡對機床的有效控制。最后要啟用Windows XP的遠程桌面連接功能，方便遠程操作工作站。

三、改造后的國家數(shù)控實訓基地所能實現(xiàn)的增值功能及改造優(yōu)點

1.網(wǎng)絡化的數(shù)控基地提供的增值功能

（1）網(wǎng)絡集中管理

在服務器上可以實現(xiàn)系統(tǒng)的配置管理、性能管理、故障診斷等幾個方面的網(wǎng)管功能，并能集中管理和監(jiān)視網(wǎng)絡上的各種設備。為系統(tǒng)可靠運行提供保證。

（2）遠程故障診斷

數(shù)控機床出現(xiàn)故障時，一般技術人員如不能準確分析判斷故障的原因，就會影響生產(chǎn)。利用互聯(lián)網(wǎng)進行網(wǎng)絡對話，服務方可以在異地了解用戶方數(shù)控機床出現(xiàn)故障時的表現(xiàn)癥狀，以及數(shù)控機床在執(zhí)行由服務方發(fā)送的數(shù)控指令時的工作狀態(tài)，進而對數(shù)控機床的故障進行判斷井提出可行的解決方案。

（3）模擬企業(yè)制造環(huán)境，提高教學效果

用CAD/CAM實驗室所連成的局域網(wǎng)模擬企業(yè)的設計部門，以數(shù)控加工車間室局域網(wǎng)模擬企業(yè)的制造與加工車間，教師通過互聯(lián)網(wǎng)給學生布置實習任務，學生在CAD/CAM實驗室完成產(chǎn)品的原型設計，并將結果通過網(wǎng)絡返回給教師批閱，經(jīng)檢查無誤后，可直接傳送到數(shù)控機床上加工。

整個流程全部通過內(nèi)部網(wǎng)絡完成，節(jié)約了大量的時間，提高了設備的利用率。

現(xiàn)在利用聯(lián)網(wǎng)的工作站，可以將所有的數(shù)控程序、數(shù)控系統(tǒng)參數(shù)以及PLC程序（ASCII代碼文件）都備份到計算機中，從而保護了系統(tǒng)資源。

2.數(shù)控基地實現(xiàn)網(wǎng)絡化改造后的優(yōu)點

（1）縮短傳輸程序的時間，也就是節(jié)約了昂貴的數(shù)控機床機時費用。

（2）準確性高。零件程序重復使用時即使重新傳輸也可以保證絕對正確。

（3）操作者勞動強度減低。只需在機床面板輸人簡單指令就可完成程序傳輸。

（4）易于修改。首次使用的程序如果在現(xiàn)場進行了修改，那么上傳后就可供下次調(diào)用。

（5）程序管理實現(xiàn)了統(tǒng)一化。

（6）責任清楚。一旦出現(xiàn)問題，很容易分析出是編程原因還是操作原因。

四、總結及展望

篇10

關鍵詞：網(wǎng)絡安全；防火墻；DMZ

中圖分類號：TP393.08 文獻標識碼：A文章編號：1009-3044(2007)12-21564-03

Firewall Technology and Tobacco Processing Factory Network Security

ZHANG Song-lin

(Hefei University of Technology,Hefei 230039,China)

Abstract: Computer Network Technology of the rapid development of enterprises within the scope of the global sharing of information and resources to provide a convenient, effectively reduce the company's operating costs and to change the traditional work patterns. Along with the internal network and the increasing external networking gradually increased. A safe and reliable enterprise network security system is very important for us. To address enterprises in the development of the information industry is facing network information security issues, the full study of the network security needs on the basis of By analyzing the current classification of firewall technology and the advantages and disadvantages of various types of firewalls, Construction of enterprises in the firewall on the Firewall option and set up to make recommendations and to develop corresponding security strategy. Use corresponding security technology as a means to be achieved.

Key words:network security;firewall;DoS

1 引言

20世紀90年代以來，煙草系統(tǒng)信息進程得到巨大的發(fā)展和廣泛的應用。計算機應用技術的普及，信息技術的迅猛發(fā)展，信息化建設給這個行業(yè)帶來了新的機遇和挑戰(zhàn)。而對于打葉復烤企業(yè)來說，由于企業(yè)規(guī)模較小，計算機應用基礎薄弱。隨著信息化建設的不斷深入，特別是計算機網(wǎng)絡技術應用（如企業(yè)網(wǎng)絡的應用系統(tǒng)，主要有WEB、E-mail、OA系統(tǒng)、MIS系統(tǒng)等）范圍越來越廣，不可避免的就會帶來了網(wǎng)絡攻擊、內(nèi)部網(wǎng)絡使用混亂、信息盜竊和其它危及企業(yè)正常生產(chǎn)及經(jīng)營活動的行為，從而直接威脅到打葉復烤企業(yè)網(wǎng)絡與信息方面的安全問題。

2 網(wǎng)絡安全

2.1 網(wǎng)絡安全的概念

信息技術的使用給人們的生活和工作帶來了便捷，然而，計算機信息技術也和其它學科一樣是一把雙刃劍，當大部分人使用信息技術提高了工作效率，為社會創(chuàng)造更多財富的同時，另外一些人卻利用信息技術做著相反的事情。他們非法侵入他人的計算機系統(tǒng)竊取機密信息，篡改和破壞數(shù)據(jù)，造成難以估量的損失。

網(wǎng)絡安全是一個關系到國家安全、社會穩(wěn)定、民族文化的繼承和發(fā)揚等重要問題。網(wǎng)絡安全涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論和信息論等多種學科。

計算機網(wǎng)絡的安全不是絕對的。安全是有成本的，而且也有時間限制。因此，安全是指化多大成本在多長時間之內(nèi)可以保證計算機網(wǎng)絡安全。安全問題的解決依賴于法律、管理機制和技術保障等多方面相互協(xié)調(diào)和配合，形成一個完整的安全保障體系。

2.2 網(wǎng)絡安全的需求

計算機網(wǎng)絡安全是隨著計算機網(wǎng)絡的發(fā)展和廣泛應用而產(chǎn)生的，是計算機安全的發(fā)展與延伸?？梢杂孟到y(tǒng)的觀點把計算機網(wǎng)絡看成一個擴大了的計算機系統(tǒng)，因此許多關于計算機安全的概念和機制也同樣適用于計算機網(wǎng)絡。雖然網(wǎng)絡安全同單個計算機安全在目標上并沒有本質區(qū)別，但由于網(wǎng)絡環(huán)境的復雜性，網(wǎng)絡安全比單個計算機安全要復雜得多[1]。

第一，網(wǎng)絡資源的共享范圍更加寬泛，難以控制。共享既是網(wǎng)絡的優(yōu)點，又是風險的根源，它會導致更多的用戶（友好與不友好的）遠程訪問系統(tǒng)，使數(shù)據(jù)遭到攔截與破壞，以及對數(shù)據(jù)、程序和資源的非法訪問。

第二網(wǎng)絡支持多種操作系統(tǒng)，這使網(wǎng)絡系統(tǒng)更為復雜，安全管理和控制更為困難。

第三網(wǎng)絡的擴大使網(wǎng)絡的邊界和網(wǎng)絡用戶群變得不確定，對用戶的管理較計算機單機困難得多。

第四單機的用戶可以從自己的計算機中直接獲取敏感數(shù)據(jù)，但網(wǎng)絡中用戶的文件可能存放在遠離自己的服務器上，在文件的傳送過程中，可能經(jīng)過多個主機的轉發(fā)，因而沿途可能受到多處攻擊。

第五由于網(wǎng)絡路由選擇的不固定性，很難確保網(wǎng)絡信息在一條安全通道上傳送。

基于以上5個特點的分析可知，保證計算機網(wǎng)絡的安全，就是要保護網(wǎng)絡信息在存儲和傳動過程中的保密性、完整性、可用性、可控性和真實性。

(1)數(shù)據(jù)的保密性

數(shù)據(jù)的保密性是網(wǎng)絡信息不被泄露給非授權的用戶和實體，信息只能以允許的方式供授權用戶使用的特性。也就是說，保證只有授權用戶才可以訪問數(shù)據(jù)，而限制其他人對數(shù)據(jù)的訪問。

(2)數(shù)據(jù)的完整性

數(shù)據(jù)的完整性是網(wǎng)絡信息未經(jīng)授權不能進行改變的特性，即網(wǎng)絡信息在存儲或傳送過程中不被偶然或蓄意地刪除、修改、偽造、亂序、重放及插入等破壞和丟失的特性。

(3)數(shù)據(jù)的可用性

數(shù)據(jù)的可用性是網(wǎng)絡信息可被授權實體訪問并按需求使用的特性，即需要網(wǎng)絡信息服務時允許授權用戶或實體使用的特性，或者是網(wǎng)絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性。影響網(wǎng)絡可用性的因素包括人為和非人為兩種，前者有非法占用網(wǎng)絡資源，切斷或阻塞網(wǎng)絡通信，通過病毒、蠕蟲或者拒絕服務攻擊降低網(wǎng)絡性能，甚至使網(wǎng)絡癱瘓等；后者有災害事故（水災、火災、雷擊等）和系統(tǒng)死鎖、系統(tǒng)故障等。

(4)數(shù)據(jù)的可控性

數(shù)據(jù)的可控性是控制授權范圍內(nèi)的網(wǎng)絡信息流向和行為方式的特性，如對信息的訪問、傳播及內(nèi)容具有控制能力。

(5)數(shù)據(jù)的真實性

數(shù)據(jù)的真實性又稱不可抵賴或不可否認性，指在網(wǎng)絡信息系統(tǒng)的信息交互過程中參與者的真實同一性，即所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。

2.3 安全攻擊的種類和常見形式

對網(wǎng)絡信息系統(tǒng)的攻擊來自很多方面，這些攻擊可以宏觀地分為人為攻擊和自然災害攻擊。它們都會對通信安全構成威脅，但精心設計的人為攻擊威脅更大，也最難防備。對網(wǎng)絡信息系統(tǒng)的人為攻擊，通常都是通過尋找系統(tǒng)的弱點，以非授權的方式達到破壞、欺騙和竊取數(shù)據(jù)等目的[2]。

2.3.1 主動攻擊

主動攻擊涉及某些數(shù)據(jù)流的篡改或虛假數(shù)據(jù)流的產(chǎn)生，這些攻擊可分為假冒、重放、篡改消息和拒絕服務4類。

(1)假冒：假冒指某個實體（人或系統(tǒng)）假扮另外一個實體，以獲取合法用戶的權力和特權。

(2)重放：重放即攻擊者對截獲的某次合法數(shù)據(jù)進行復制，以后出于非法目的的重新發(fā)送，以產(chǎn)生未授權的效果。

(3)篡改消息：篡改消息是指一個合法消息的某些部分被改變、刪除，或者消息被延遲或改變順序，以產(chǎn)生未授權的效果。

(4)拒絕服務：拒絕服務即常說的DoS（Deny of Service），會導致對通信設備的正常使用或管理被無條件地拒絕。通常是對整個網(wǎng)絡實施破壞，如大量無用信息將資源（如通信帶寬、主機內(nèi)存）耗盡，以達到降低性能，中斷服務的目的。這種攻擊可能有一個特定的目標，如到某一特定目的地（如安全審計服務）的所有數(shù)據(jù)包都被阻止。

2.3.2 被動攻擊

被動攻擊是在未經(jīng)用戶同意和認可的情況下將信息或數(shù)據(jù)文件泄露給系統(tǒng)攻擊者，但不對數(shù)據(jù)信息做任何修改。通常包括監(jiān)聽未受保護的通信、流量分析、解密弱加密的數(shù)據(jù)流、獲得認證信息（如密碼）等。被動攻擊常用的手段有以下幾種：

(1)搭線監(jiān)聽：搭線監(jiān)聽是最常用的手段，將導線搭到無人職守的網(wǎng)絡傳輸線上進行監(jiān)聽。

(2) 無線截獲：通過高靈敏度的接受裝置接受網(wǎng)絡節(jié)點輻射的電磁波或網(wǎng)絡連接設備輻射的電磁波，通過對電磁信號的分析恢復原數(shù)據(jù)信號，從而獲得網(wǎng)絡信息。

(3)其它截獲：用程序和病毒截獲信息是計算機技術發(fā)展的新型手段，在通信設備或主機中預留程序代碼或施放病毒程序后，這些程序會將有用的信息通過某種方式發(fā)送出來。

3 防火墻技術

防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。 在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全[3]。

從技術上看，防火墻有三種基本類型：包過濾型、服務器型和復合型。它們之間各有所長，具體使用哪一種或是否混合使用，要根據(jù)具體需求確定[4]。

(1)包過濾型防火墻(Packet Filter Firewall)

通常建立在路由器上，在服務器或計算機上也可以安裝包過濾防火墻軟件。包過濾型防火墻工作在網(wǎng)絡層，基于單個IP包實施網(wǎng)絡控制。它對所收到的IP數(shù)據(jù)包的源地址、目的地址、TCP數(shù)據(jù)分組或UDP報文的源端口號及目的端口號、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標志位等參數(shù)，與網(wǎng)絡管理員預先設定的訪問控制表進行比較，確定是否符合預定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。這種防火墻的優(yōu)點是簡單、方便、速度快、透明性好，對網(wǎng)絡性能影響不大，可以用于禁止外部不合法用戶對企業(yè)內(nèi)部網(wǎng)的訪問，也可以用來禁止訪問某些服務類型，但是不能識別內(nèi)容有危險的信息包，無法實施對應用級協(xié)議的安全處理。

(2)服務器型防火墻(Proxy Service Firewall)

通過在計算機或服務器上運行的服務程序，直接對特定的應用層進行服務，因此也稱為應用層網(wǎng)關級防火墻。服務器型防火墻的核心，是運行于防火墻主機上的服務器進程，實質上是為特定網(wǎng)絡應用連接企業(yè)內(nèi)部網(wǎng)與Internet的網(wǎng)關。它用戶完成TCP／IP網(wǎng)絡的訪問功能，實際上是對電子郵件、FTP、Telnet、WWW等各種不同的應用各提供一個相應的。這種技術使得外部網(wǎng)絡與內(nèi)部網(wǎng)絡之間需要建立的連接必須通過服務器的中間轉換，實現(xiàn)了安全的網(wǎng)絡訪問，并可以實現(xiàn)用戶認證、詳細日志、審計跟蹤和數(shù)據(jù)加密等功能，實現(xiàn)協(xié)議及應用的過濾及會話過程的控制，具有很好的靈活性。服務器型防火墻的缺點是可能影響網(wǎng)絡的性能，對用戶不透明，且對每一種TCP／IP服務都要設計一個模塊，建立對應的網(wǎng)關，實現(xiàn)起來比較復雜。

(3)復合型防火墻(Hybrid Firewall) [5]

由于對更高安全性的要求，常把基于包過濾的方法與基于應用的方法結合起來，形成復合型防火墻，以提高防火墻的靈活性和安全性。這種結合通常有兩種方案：

屏蔽主機防火墻體系結構：在該結構中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡，通過在分組過濾路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為Internet上其它節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡不受未授權外部用戶的攻擊。

屏蔽子網(wǎng)防火墻體系結構：堡壘機放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡分離。在屏蔽子網(wǎng)防火墻體系結構中，堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。

企業(yè)在選擇防火墻時不僅要考慮防火墻的安全性、實用性、而且還要考慮經(jīng)濟性，防火墻產(chǎn)品的安全性、實用性和經(jīng)濟性是相互制約和平衡的。

4 打葉復烤企業(yè)防火墻的設置

必須妥善地規(guī)劃其架構，擬定其安全政策，最重要的是必須徹底執(zhí)行其安全政策，而防火墻是落實這些安全政策的重要工具之一。Internet網(wǎng)絡商用化的趨勢愈來愈明顯，企業(yè)也不斷通過應用網(wǎng)絡技術提高生產(chǎn)銷售的水平，單位網(wǎng)絡的安全性規(guī)劃更是刻不容緩。一個好防火墻的規(guī)劃必須能充分配合執(zhí)行單位所制定的安全政策，再加上安全的建置架構，方能提供單位一個方便而安全的網(wǎng)絡環(huán)境。

圖1以屏蔽子網(wǎng)防火墻為例介紹打葉復烤企業(yè)防火墻的設置，一級堡壘防火墻是整個內(nèi)部網(wǎng)絡對外的樞紐，是必需設立的。它一邊連接單位內(nèi)部網(wǎng)絡，一邊通往外部網(wǎng)絡。外部網(wǎng)絡上可擺單位對外提供服務的主機，例如：WEBServer、EMAILServer、POP3Server及FTPServer等，提供對外服務。防火墻的設定，可保證服務器主機只提供它應提供的服務，而阻擋所有不當?shù)拇嫒∨c連線，避免黑客在服務主機上開后門[6]。

打葉復烤企業(yè)可根據(jù)實際需要，將其他部門的子系統(tǒng)保護在隔斷防火墻內(nèi)，比如生產(chǎn)運行實時控制系統(tǒng)、企業(yè)運行管理信息系統(tǒng)、企業(yè)營銷管理系統(tǒng)、企業(yè)多種經(jīng)營管理系統(tǒng)等。同時可以將某些較重要而有安全顧慮的部門網(wǎng)絡，加上防火墻的配置，此即所謂的單位內(nèi)防火墻(IntranetFirewall)。單位內(nèi)防火墻的功能與主防火墻類似，但因為其數(shù)量可能很多，會分配到電力部門的網(wǎng)絡內(nèi)，因此其管理規(guī)則的設定、系統(tǒng)的維護，不應太過于困難。單位希望建置一個安全的網(wǎng)絡環(huán)境，除了采用防火墻之外，當然還提供單位一個方便而安全的網(wǎng)絡環(huán)境。

圖1 企業(yè)屏蔽子網(wǎng)防火墻拓撲圖

4 結論

打葉復烤企業(yè)所面臨的網(wǎng)絡安全問題是多種多樣的，所以企業(yè)設計和部署防火墻也就沒有唯一的正確答案。各個機構的網(wǎng)絡安全決定可能會受到許多因素的影響，諸如安全策略、職員的技術背景、費用、以及估計可能受到的攻擊等。作者認為：企業(yè)內(nèi)部信息網(wǎng)絡系統(tǒng)是動態(tài)發(fā)展變化的，正確的安全策略與選擇合適的防火墻產(chǎn)品只是一個良好的開端，它只能解決40%~60%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統(tǒng)高智能主動性威脅、后續(xù)安全策略與響應的弱化、系統(tǒng)的配置錯誤、對安全風險的感知程度低、動態(tài)變化的應用環(huán)境充滿弱點等，所有這些都使打葉復烤企業(yè)將要面對網(wǎng)絡信息系統(tǒng)安全的挑戰(zhàn)。

參考文獻:

[1]孫靜,曾紅衛(wèi).網(wǎng)絡安全檢測與預警[J].計算機工程,2001,(12):109-110.

[2]劉占全.網(wǎng)絡管理與防火墻技術[M].人民郵電出版社，2000.

[3]Greg Holden(美).防火墻與網(wǎng)絡安全[M]. 清華大學出版社，2004.

[4]郭炎華.網(wǎng)絡信息與信息安全探析[J].情報雜志，2001,6.

[5]劉克龍,蒙楊.一種新型的防火墻系統(tǒng)[J].計算機學報,2006,8.