網絡技術方案范文

導語：如何才能寫好一篇網絡技術方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】密集型光波復用;光傳送網;智能光網絡;演進方案

1.引言

隨著Internet的迅速崛起，城域網中IP數據業務量日益增多，寬帶城域網必須滿足對各種不同類型的IP業務的承載，這使得以滿足語音業務而設計的傳統光傳送網顯得力不從心。DWDM的出現使光網絡發展有了質的飛躍，DWDM利用現有的光纜資源，提高了通信的容量，使光傳送網具有極強的可擴容性，可以直接承載大顆粒業務，從而簡化了網絡結構，但受技術本身的限制，IP over DWDM只是光網絡發展的一個過渡形式。OTN技術又一次為傳輸網的發展帶來了新的機遇，OTN的組網能力較強，不僅可提供與DWDM同樣的大容量帶寬，還可以為光網絡提供靈活的管理維護功能，但是OTN也有自身的缺陷，主要有因手動配置業務而導致出錯率較高，資源利用率較低和網管系統復雜等問題。在這種情況下，智能光網絡技術（ASON）的概念被提出并被廣泛關注。

2.光纖通信的發展

自從20世紀70年代光纖通信系統在美國實驗室不斷實驗到最后現場實驗成功以來，光纖通信顯示出了其功能的優越性和強大的競爭力，而且光纖取代了電纜，光纖作為一種優質的傳輸介質，它具有高帶寬、低損耗的特點，這種優勢使得光纖在網絡中物理傳輸層的作用不可小覷[4]。

通信技術的飛速發展對光纖通信系統的利用更是起了推動作用，由于光纖通信具有的一系列特點，使得光網絡被全世界各家運營商廣泛應用。光纖通信已經經歷了多次的更新換代，從準同步數字體系PDH發展到同步數字體系SDH，又從SDH發展到密集型波分復用DWDM，由點對點的DWDM發展成光傳送網OTN，現在又向新一代的智能光網絡構建。這樣，提高網絡資源利用率、提高網絡可靠性、提高網絡升級擴容能力、降低建設和維護成本、提供了多廠商環境下端到端電路配置。

3.DWDM與的OTN技術的應用探討

對于業務IP化和大顆?；?，SDH的地位在傳送網中的地位逐漸下降。采用DWDM對業務直接承載，可達到簡化網絡結構，增大傳輸容量，降低建設成本，可達到簡化網絡結構，但受技術本身限制，DWDM目前主要提供點對點的大容量帶寬，組網能力較弱。光傳送網OTN的提出，最初的設想是，它需要滿足超大容量傳輸的需求，經營性和可管理性較好，具有路由選擇功能和信令傳送功能，這就要求OTN能夠兼顧SDH和DWDM的優點。也正因為這樣，OTN會替代DWDM技術，成為骨干層的核心組網技術。

3.1 DWDM技術應用的意義

近幾年Internet發展迅速，IP數據業務在寬帶城域網中占據的比重越來越多，這就要求高效率地傳送IP數據，簡化網絡層次，這樣才能滿足寬帶城域網對多種不同的IP數據業務的承載和優化。DWDM技術在最底層的綜合傳送平臺中顯得至關重要，因為無論上層技術如果升級演變，都需要將網絡機制和控制管理功能轉移至一個獨立的光網絡層。這就是DWDM技術存在的意義。

密集波分DWDM是簡單成熟、全面靈活，高性價比地獲得了超大容量傳輸的技術，能夠節省光纖資源及建網投資，與摻餌光纖放大器EDFA聯合組網可滿足超長距離傳輸，在現有的光纖資源的基礎上，建立容量充足、速率快、質量好、效率高的傳送平臺有著重要的應用意義。

3.2 OTN技術應用的特點

大顆粒寬帶業務的快速發展，OTN則成為了滿足大顆粒業務承載需求的光傳送網，現階段，重點在城域傳輸網中骨干層節點間的GE、10GE、2.5G、10GPOS等大顆粒業務傳遞中布置相應的OTN設備。當城域網不同區域之間或接入長途網絡的的大顆粒業務達到一定數量個規模時，而且具有保護恢復、匯聚等功能需求時，可在城域網核心層或者是匯聚層設置OTN網絡，OTN網絡可以作為IP、SDH等上層網絡的承載網絡，當網絡中存在大顆粒業務的子波長中繼電路需求時，可以運用OTN網絡對其進行調度和保護。

現階段，各運行商多將PTN設備投入在3G通信業務，而數據業務逐年增多，每個基站的電路需求從之前的幾兆達到近40M，在通信行業后續的發展和網絡演進中，每個基站的電路需求預期會達到甚至超過100M才能滿足LTE的部署?？梢姡箢w粒級別的帶寬要求是今后網絡需求的趨勢，而匯聚層采用OTN設備、接入層采用PTN設備的組網模式，可以滿足帶寬需求的同時，還因OTN設備與PTN環路的GE接口直連使組網變得更加靈活，節省了光線資源，提高了資源的利用率。

4.智能光網絡技術的演進及應用

4.1 智能光網絡技術產生的背景

數據業務的傳送方式是以分組域交換技術為基礎的，它的最大特點是突發性與不可預見性，其傳送方式要求根據業務類型，彈性地調配、調度資源，越來越重視快速實現節點到節點的鏈接。因此，現今IP業務井噴式的發展使傳輸承載網面臨了許多新的問題，其中最主要的問題在于，傳統的傳輸承載網很難實現，自動地根據用戶發出的請求為其調配資源并迅速實現節點對節點的連接，從而滿足彈性的資源調配與管理。為了解決這一問題，結合了光傳送網技術和分組交換技術的新一代光網絡即智能光網絡ASON耀世而出了。

4.2 智能光網絡技術的體系結構

ASON主要由控制平面、傳送平面、管理平面與數據通信網組成，與一般傳送網相比的最重要的區別是，ASON系統中增加了一個專門的控制平面CP，控制平面負責控制，與傳送平面TP完成信息的傳送，管理平面MP負責管理，數據通信網DCN為上述三個平面的內部以及它們之間的控制信息、管理信息提供通信通路。

4.3 智能光網絡的關鍵技術

4.3.1 控制平面技術

與傳統的光傳送網相比，控制平面主要是使用了路由、信令與鏈路管理技術。路由技術的主要作用是在全網范圍內為端到端連接計算、選擇合適的路徑;信令技術是控制平面對自動呼叫與連接采用分布式的控制與管理方式DCM，即對跨域的呼叫與連接分別由各控制域與相關區域負責對本域的呼叫與連接進行控制與管理;鏈路管理技術的主要作用是管理網絡的拓撲與鏈路資源，包括子網點組SNPP鏈路連接的分配與去分配，提供網絡拓撲信息與鏈路狀態信息等。

4.3.2 傳送平面技術

傳送平面由作為交換實體的傳送網網元（NE）組成，主要完成連接建立/刪除、交換（選路）和傳送等功能，為用戶提供從一個端點到另一端點的雙向或單向信息傳送，同時，還要傳送一些控制和網絡管理信息。

4.3.3 管理平面技術

管理平面對控制平面和傳送平面進行管理，在提供對光傳送網及網元設備的管理的同時，實現網絡操作系統與網元之間更加高效的通信功能。

4.4 智能光網絡的建設思路

4.4.1 加大光纜建設力度，提高光纜纖芯的利用率，增加各節點的連接方向;ASON要充分發揮其的優勢，就要貫徹采網狀網的建設思路，就一定要在業務流向集中的節點（核心、匯聚節點）之間鋪設物理層面的直達光纜，為構建網狀網系統奠定物理基礎。

4.4.2 充分考慮智能光網絡的引進對設備的要求，在傳統的光傳送網上，原有的設備替換新的ASON網絡的設備，要保證原有的業務能夠正常運行。且新的設備符合主流的信令和和協議標準，要求各廠商對UNI、E-NNI、I-NNI標準的支持。

4.4.3 ASON網絡的建設一段時期內，原有的光傳送網還在運行中，兩個網絡同時對業務進行承載，考慮到ASON的建設初期，運營經驗不足，對該技術有一個了解適應的過程，建網需要對該網的功能進行測試和分析。

4.5 智能光網絡的演進策略

4.5.1 向網狀網演進

環網的拓撲結構比較簡單，需要的鏈路數較少，而且設備比較簡單，不同環上節點之間的業務調度和保護比較難以實現，只能做到單點保護倒換。網狀網中，多個節點之間互相連接，避免了節點瓶頸和節點失效的影響，節點之間路由的選擇有多條，及時多個節點出現故障也不至于保護失效，降低了端對端的電路調度的操作難度，適用于業務種類多且業務量大的地區。網狀網中，其功能實現了恢復機重路由機制，只要有資源就不會中斷業務。所以，光傳送網向ASON演進，首先加大光纜建設，將環狀網組成網狀網。

4.5.2 ASON引入對設備改造要求

對于傳送平面的ASON的網元應是具有多種交換功能的設備，可以在不同層面上支持不同類型的交換，它是組成ASON網絡中傳送平面的光節點的設備，構成核心交叉矩陣，主要實現光電光方式，使得光交叉能力和電交叉能力進行組合。

對于控制平面來說，控制平面是ASON的核心，它利用路由技術、信令技術與鏈路管理技術來控制，其控制功能通過軟件協議實施，在控制層面的接口方面，UNI接口功能支持程度較好，但其市場應用模式還不明朗，缺乏實際應用需求。系統對E-NNI接口已經開始支持，國內外都進行過互通測試，可以實現跨域連接操作，但是域間路由、保護恢復等方面還有待進一步標準化。

對于管理平面，其設備要求就是實現通過NMI接口進行信息交互。

5.結束語

智能光網絡是由傳統的OTN演進而來，其設備可以很好的融入到現有的傳輸網絡中，并逐步向智能全光網絡發展[48]。智能光網絡不僅能為運營商提供了端到端的自動配置功能，還使得網絡資源得到了優化的配置，從而使光網絡的結構與管理變得更加簡單，減少了操作的復雜性，縮短了業務層的擴容時間，智能光網絡是一種先進的傳輸網技術，是未來光傳送網的發展方向。雖然ASON網絡是新一代光傳送網，具有強大的生命力，但是它也有急需關注的問題，其一：相關標準還不完善;其二：E-NNI、UNI接口不穩定，使它與SDH系統、PTN系統和PON網絡的互通仍有問題;其三：保護倒換的時間不適合對恢復時間要求很高的業務。可以設想，隨著上述問題的解決，在TD-LTE全面商用的明天，ASON也將迎來發展的高峰期。

參考文獻

[1]張燕寧.智能自動交換光網絡的演進[J].世界電信， 2001，5.

[2]王建明.智能光網絡及其應用研究[J].技術應用， 2010，9.

[3]劉康健.ASON的引入策略和演進方案[J].電信快報，2006，6.

作者簡介：

篇2

[關鍵詞] 高職 網絡 培養 方案 職業崗位 典型工作任務

引 言

基于典型工作任務的計算機網絡人才培養模式是很多職業教育者研究的一個課題，旨在依托行業企業，校企共同研究人才培養模式，培養適應市場需求的高技能性網絡人才。因此高職院校如何在國家高職教育的指導思想下，結合當地經濟發展情況，教育水平，人才需求結構，就業狀況等培養出與時俱進的高素質網絡技能人才是網絡專業的核心，同時也是高職院校必須面對的新挑戰。合理、科學的計算機網絡人才培養方案就顯的尤為重要，它是我們培養網絡技術人才，組織教學的依據。

設計背景

1.網絡人才遍布在各行各業，就業面廣、社會需求量大

信息化已成為當今世界各國經濟與社會發展的重要手段，計算機網絡已經成為信息社會的運行平臺和實施載體。在社會生產與人類生活中，網絡應用的全面延伸促進了計算機網絡技術的全面發展。各行各業和人民生活的各個角落都會需要計算機網絡技術方面的人才。

近幾年許多高職院校在原計算機應用專業的基礎上，發展成為設置獨立的計算機網絡技術專業，漢中、安康、商洛等市的高職院校80% 開設有計算機網絡技術專業。但計算機網絡技術專業存在諸多共性問題：定位不準，受師資、實訓條件限制，培養的人才知識滯后，職業技能不強，崗位適應能力差。相對網絡技術的快速發展和廣泛應用,技術應用和技術管理人才培養工作相對滯后。隨著網絡技術的發展，網絡管理、網絡安全、網絡維護、網頁制作、網絡資源開發等方面的人才缺口巨大。

2.區域經濟的發展戰略，網絡技術是電子信息產業發展的支撐環境

國家實施西部大開發戰略的總體目標是：西部地區綜合經濟實力上一個大臺階，基礎設施更加完善，現代產業體系基本形成，建成國家重要的能源基地、資源深加工基地、裝備制造業基地和戰略性新興產業基地；發展目標中提到，要做強、做大電子信息，新型能源和航空航天等優勢產業，提高現代制造業綜合競爭力。建設國家一流的電子信息產業基地；西部大開發以及電子信息產業的發展更加需要計算機網絡技術的支撐環境，必然對計算機網絡技術人才有大量的需求。

3.本地區對計算機網絡高技能人才的規格要求和專業定位

隨著科技的發展，單一掌握某一專業的人才未必能夠在市場上立足，掌握計算機網絡所涉及的軟、硬件知識，具備計算機網絡規劃、設計能力；網絡設備的安裝、操作、測試和維護能力；網絡管理信息系統的操作能力；快速跟蹤網絡新技術的能力，能真正把基礎理論知識與網絡實踐能力合二為一的網絡建設、 操作等技術型人才和管理人才才是社會需要的“緊俏商品”。而計算機網絡技術專業的特點正是培養此類人才。

通過調研漢中市及周邊地區的典型企業，對計算機網絡技術人才的崗位需求進行專業定位。其中主要走訪調研了以漢中四通公司為代表的信息產業；以漢中移動、聯通公司為代表的通信運營業；以及漢中鋼鐵廠代表的制造業、政府機關和服務業等。這些行業對網絡搭建、網絡管理和網絡應用等高素質技能性人才提出了崗位要求。

設計過程

通過行業企業市場調查等方式，確定人才培養目標；召開專家工人訪談會，確定典型工作任務；邀請企業專家參與，共同確定學習領域課程；召開專業指導委員會會議，校企共同制定專業人才培養方案。通過企業調研分析，按照社會對高技能人才的需求，計算機網絡技術專業高素質技能人才的培養目標定位在：“建網”、“管網”、和“用網”。

參考《普通高等學校高職高專教育指導性專業目錄專業簡介》，參照國家職業標準、行業標準和企業用人單位的崗位標準要求，確定了計算機網絡技術專業所主要面向的職業崗位：網絡安全、信息對抗、網絡工程、網絡管理、IT產品營銷、數據庫設計開發、網站建設等。

1.依托行業企業，校企共同研究人才培養模式

根據企業崗位需求的統計，網絡及安全管理員是大多數企事業單位普遍需要的職業崗位。校企合作，共同研究工學結合的以典型工作任務為主線的“證書性學習、生產性實訓、頂崗性實習”的三階段人才培養模式。

第一階段“證書性學習”是指三年制的第一年的學習模式和學習目標主要是圍繞考取職業證書安排教學。主要取得勞動部的職業資格證書，如：計算機組裝與維護（建網基礎）、網絡管理員（管網基礎）、網頁設計與制作（用網基礎）。以達到基本職業素質和計算機網絡技術專業的入門水平，課程目標與學習目標以取得職業資格證書為標準。

第二階段“生產性實訓”是指三年制的第二年的學習模式和學習目標主要是在校內工廠化實訓基地以“典型工程項目”安排教學。以達到計算機網絡技術專業的較高水平。

第三階段“頂崗性實習”是指三年制的第三年的學習模式和學習目標主要是在校內、外的企業頂崗工作。以達到專業應具備的企業經驗和綜合素質。在校內安排企業真實性的專業綜合實訓，在校外以實訓基地為主，有計劃地安排頂崗實習。

2.在課程開發方式上，探索建立“教師科研下企業，工程項目進課堂，師徒方式傳技能，學生學習如上崗”的模式

產學研結合、校企互動，由學校教師和企業專家共同開發優質核心課程，突出課程的實踐性、開放性和職業性，根據企業要求和技術發展變化及時更新教學內容，使學生獲得的知識、技能真正滿足職業崗位的要求。強化學生創新能力的培養，提高學生適應能力。生產一線的高技能人才必須具備良好的創新能力。

召開校企合作專業指導委員會會議，根據前階段的工作分析和成果，共同討論和初步確定了2010級計算機網絡技術專業人才培養方案框架體系。

人才培養方案設計框架體系

1.確定職業崗位

計算機科學與技術系以計算機網絡技術專業為試點，以工作過程為導向，以職業能力為核心，以體現工學結合為特點，以職業分析和典型工作任務為課程設計基礎，以真實工作任務為載體。校企合作，確定其面向的職業和職業崗位，初步提出培養目標。

2.典型工作任務設計

典型工作任務指職業活動中具有代表性的職業行動，并能反映該職業本質特征的工作過程，它反映了該職業的典型工作內容和形式，應包括完成一項任務的計劃、實施和評估等完整的過程。在該步驟中，確定該職業的典型工作任務，以便對該職業進行準確地分析，并以此為基礎進行課程開發。再根據三級能力的培養思路和職業養成規律，由淺入深安排學習內容，并由企業實際工作提煉出小型企業級局域網組建、網絡工程測試與驗收、網絡設備的安裝與調試等16個典型工作任務。

3.基于工作過程的課程設計方案

職業教育的學習領域課程是工作過程導向的課程方案。是一個由職業能力描述的學習目標、工作任務描述的學習內容和實踐理論綜合的學習時間三部分構成的學習單元。它是根據專業對應工作崗位及崗位群實施典型工作任務分析歸納到行動領域，根據認知及職業成長規律遞進重構行動領域轉換為學習領域(即：課程)，再根據完整思維及職業特征分解學習領域為主題學習單元即進行學習情境的設計，學習領域表現形式是由若干個學習情境構成，因此設計學習情境將是課程改革的核心和難點。學習領域設置的原則：一是每一學習領域都是完整的工作過程；二是各學習領域排序要遵循職業成長規律；三是各學習領域排序要符合學習認知規律，所有學習領域組成生產或經營過程。

根據專業對應工作崗位及崗位群實施典型工作任務分析歸納到行動領域，根據認知及職業成長規律遞進重構行動領域轉換為學習領域(即：課程)，再根據完整思維及職業特征分解學習領域為主題學習單元即進行學習情境的設計，學習領域表現形式是由若干個學習情境構成。我們對計算機網絡技術專業高素質技能人才的培養目標定位為：“建網”、“管網”、“用網”。

4.課程體系結構

典型工作任務的實施是有嚴格的條件限制的，需要有成熟的課程載體、規范的工作崗位或實訓中心，熟練的指導教師等條件的支撐。就我們目前的教學環境來說，尚不具備這樣的條件。所以我們提出“平臺+學習領域課程”的構想，兼容當前的教育環境和教學條件，保證學生多元發展和可持續發展的能力，在第一學年奠定一個基礎和平臺，從第三學期開始采用純粹的典型工作任務模式的構想。

5.教學計劃設計

完成了上述步驟之后，編制教學計劃表，課程開設順序與周課時安排可根據實際情況自行確定。當專業的學習領域與學習情境的幅度大時，或因校企合作、工學結合需要，按常規教學周無法很好實現教學目標時，可對3年6學期制進行變革。

計算機網絡技術專業核心課程實施方案

學生在校學習期間所學的教學計劃開出的課程，在能力考核上實施“以認證代考試”、“以競賽代考試”、企業實踐考核與學校考核相結合等方式；在課程考核上采用“開卷+閉卷”、“筆試+口試”、“實際操作+答辯”、社會調研報告、企業實踐與學?？己讼嘟Y合等形式，以提高學生綜合能力，考核成績逐期載入學生學業成績登記表，畢業時歸入本人檔案具體歸結為：通過兩種方法來考核，一是教考分離，通過國際、國內認證考試，二是形成性考核。

教學條件配置

1.師資要求

師資隊伍是保證人才培養質量的首要條件，因此實施本人才培養方案對教師的數量和素質有一定的要求。

（1）具備本專業或相近專業大學本科以上學歷。

（2）從事實踐教學的主講教師要具備計算機網絡規劃設計、建設施工、管理、應用開發和信息安全專業中級以上的IT認證資格證書或工程師資格。

（3）信息系統工程工作過程的每一個環節，專業至少有一名教師有實際工程經驗，能夠帶領學生完成實際項目，若能請企業兼職教師承擔則更好。

（4）教師“雙師”素質的比例要達到80%以上。

（5）專任教師與學生比例1:25左右，校外實訓基地指導學生實訓實習的企業兼職教師的比例不低于80%。

2.教學設備配置

（1）校內實訓室

支撐實踐教學計劃所需校內實訓基地的基本要求包括“網絡集成實訓室”和“網絡工程實訓室”，輔以2個普通多媒體機房，可以滿足每屆招生1個標準班（40人）的實訓基本要求。出于安全等原因，企業網絡的生產環境不會輕易讓學生使用，校內實訓環境應盡量擴大規模和覆蓋面，以保障實訓需要。條件許可時，應跟隨技術發展，增加安全、無線、IP語音、網絡存儲等實訓環境，盡量貼近實際工作環境。

（2）校外實訓基地

校外實訓基地包括從事系統集成、信息安全、網絡管理與維護等領域的企業和事業單位的網絡信息中心。最需要真實網絡環境開展“網絡管理與維護”實訓實習卻很難在企業進行，“綜合布線技術與施工”須借助網絡工程類企業開展實訓實習。由于行業的特殊性，除從事網絡工程和應用開發的少部分企業能一次接納多人外，一般企業接收的學生數目也就1到2個，且不會每年接納，因此校外實訓基地最好能夠達到每個標準班級（40人）4個以上，并盡可能多。

總 結

計算機網絡人才的培養是一個系統工程，專業建設和教學改革需要先進的思想指導，更需要科學合理的方法，需校企合作，走工學合作之路，同時要結合當地經濟發展水平和教育水平，制定出切實可行的計算機網絡人才培養方案。

參考資料：

[1]普通高等學校高職高專教育指導性專業目錄課題組.普通高等學校高職高專教育指導性專業目錄專業簡介[M].中國高職高專教育網，2005，2.

[2]歐盟Asia-Link項目“關于課程開發的課程設計”課題組.職業教育與培訓學習領域課程開發手冊[M].北京：高等教育出版社，2007.

篇3

隨著計算機技術和互聯網技術的不斷發展，網絡技術已經被廣泛應用于企業管理中。電子信息時代的網路安全技術是保證企業信息安全的堅強后盾，本文就網絡安全技術在企業中的應用做出研究，總結網絡安全問題的解決方案。

【關鍵詞】網絡安全技術 解決方案 企業網絡安全

網絡由于其系統方面漏洞導致的安全問題是企業的一大困擾，如何消除辦企業網絡的安全隱患成為企業管理中的的一大難題。各種網絡安全技術的出現為企業的網絡信息安全帶來重要保障，為企業的發展奠定堅實的基礎。

1 網絡安全技術

1.1 防火墻技術

防火墻技術主要作用是實現了網絡之間訪問的有效控制，對外部不明身份的對象采取隔離的方式禁止其進入企業內部網絡，從而實現對企業信息的保護。

如果將公司比作人，公司防盜系統就如同人的皮膚一樣，是阻擋外部異物的第一道屏障，其他一切防盜系統都是建立在防火墻的基礎上?，F在最常用也最管用的防盜系統就是防火墻，防火墻又可以細分為服務防火墻和包過濾技術防火墻。服務防火墻的作用一般是在雙方進行電子商務交易時，作為中間人的角色，履行監督職責。包過濾技術防火墻就像是一個篩子，會選擇性的讓數據信息通過或隔離。

1.2 加密技術

加密技術是企業常用保護數據信息的一種便捷技術，主要是利用一些加密程序對企業一些重要的數據進行保護，避免被不法分子盜取利用。常用的加密方法主要有數據加密方法以及基于公鑰的加密算法。數據加密方法主要是對重要的數據通過一定的規律進行變換，改變其原有特征，讓外部人員無法直接觀察其本質含義，這種加密技術具有簡便性和有效性，但是存在一定的風險，一旦加密規律被別人知道后就很容易將其破解?；诠€的加密算法指的是由對應的一對唯一性密鑰（即公開密鑰和私有密鑰）組成的加密方法。這種加密方法具有較強的隱蔽性，外部人員如果想得到數據信息只有得到相關的只有得到唯一的私有密匙，因此具有較強的保密性。

1.3 身份鑒定技術

身份鑒定技術就是根據具體的特征對個人進行識別，根據識別的結果來判斷識別對象是否符合具體條件，再由系統判斷是否對來人開放權限。這種方式對于冒名頂替者十分有效，比如指紋或者后虹膜， 一般情況下只有本人才有權限進行某些專屬操作，也難以被模擬，安全性能比較可靠。這樣的技術一般應用在企業高度機密信息的保密過程中，具有較強的實用性。

2 企業網絡安全體系解決方案

2.1 控制網絡訪問

對網絡訪問的控制是保障企業網絡安全的重要手段，通過設置各種權限避免企業信息外流，保證企業在激烈的市場競爭中具有一定的競爭力。企業的網絡設置按照面向對象的方式進行設置，針對個體對象按照網絡協議進行訪問權限設置，將網絡進行細分，根據不同的功能對企業內部的工作人員進行權限管理。企業辦公人員需要使用到的功能給予開通，其他與其工作不相關的內容即取消其訪問權限。另外對于一些重要信息設置寫保護或讀保護，從根本上保障企業機密信息的安全。另外對網絡的訪問控制可以分時段進行，例如某文件只可以在相應日期的一段時間內打開。

企業網絡設計過程中應該考慮到網絡安全問題，因此在實際設計過程中應該對各種網絡設備、網絡系統等進行安全管理，例如對各種設備的接口以及設備間的信息傳送方式進行科學管理，在保證其基本功能的基礎上消除其他功能，利用當前安全性較高的網絡系統，消除網絡安全的脆弱性。

企業經營過程中由于業務需求常需要通過遠端連線設備連接企業內部網絡，遠程連接過程中脆弱的網絡系統極容易成為別人攻擊的對象，因此在企業網絡系統中應該加入安全性能較高的遠程訪問設備，提高遠程網絡訪問的安全性。同時對網絡系統重新設置，對登入身份信息進行加密處理，保證企業內部人員在操作過程中信息不被外人竊取，在數據傳輸過程中通過相應的網絡技術對傳輸的數據審核，避免信息通過其他渠道外泄，提高信息傳輸的安全性。

2.2 網絡的安全傳輸

電子商務時代的供應鏈建立在網絡技術的基礎上，供應鏈的各種信息都在企業內部網絡以及與供應商之間的網絡上進行傳遞，信息在傳遞過程中容易被不法分子盜取，給企業造成重大經濟損失。為了避免信息被竊取，企業可以建設完善的網絡系統，通過防火墻技術將身份無法識別的隔離在企業網絡之外，保證企業信息在安全的網絡環境下進行傳輸。另外可以通過相應的加密技術對傳輸的信息進行加密處理，技術一些黑客破解企業的防火墻，竊取到的信息也是難以理解的加密數據，加密過后的信息常常以亂碼的形式存在。從理論上而言，加密的信息仍舊有被破解的可能性，但現行的數據加密方式都是利用復雜的密匙處理過的，即使是最先進的密碼破解技術也要花費相當長的時間，等到數據被破解后該信息已經失去其時效性，成為一條無用的信息，對企業而言沒有任何影響。

2.3 網絡攻擊檢測

一些黑客通常會利用一些惡意程序攻擊企業網絡，并從中找到漏洞進入企業內部網絡，對企業信息進行竊取或更改。為避免惡意網絡攻擊，企業可以引進入侵檢測系統，并將其與控制網絡訪問結合起來，對企業信息實行雙重保護。根據企業的網絡結構，將入侵檢測系統滲入到企業網絡內部的各個環節，尤其是重要部門的機密信息需要重點監控。利用防火墻技術實現企業網絡的第一道保護屏障，再配以檢測技術以及相關加密技術，防火記錄用戶的身份信息，遇到無法識別的身份信息即將數據傳輸給管理員。后續的入侵檢測技術將徹底阻擋黑客的攻擊，并對黑客身份信息進行分析。即使黑客通過這些屏障得到的也是經過加密的數據，難以從中得到有效信息。通過這些網絡安全技術的配合，全方位消除來自網絡黑客的攻擊，保障企業網絡安全。

3 結束語

隨著電子商務時代的到來，網絡技術將會在未來一段時間內在企業的運轉中發揮難以取代的作用，企業網絡安全也將長期伴隨企業經營管理，因此必須對企業網絡實行動態管理，保證網絡安全的先進性，為企業的發展建立安全的網絡環境。

參考文獻

[1]周觀民，李榮會.計算機網絡信息安全及對策研究[J].信息安全與技術，2011.

[2]韓萍，蔡志立.計算機網絡安全與防范[J].硅谷，2011.

篇4

關鍵詞：計算機；網絡；安全；威脅；防范技術

1 網絡安全的定義

網絡技術是從90年代中期發展起來的新技術，它把互聯網上分散的資源有機整合，實現了資源的全面共享。近年來，伴隨著互聯網技術的迅猛發展，網絡已成為人們生活中不可或缺的一部分。然而人們在享受網絡帶來的種種便利時，也受到了日益嚴重的來自網絡的安全威脅。

  網絡安全從本質上講就是網絡上的信息安全，網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。從用戶的角度來說，希望涉及到個人隱私和商業利益的信息在網絡上傳輸時，受到機密性、完整性和真實性的保護。

2 計算機網絡安全面臨的問題

2.1 計算機病毒

計算機病毒是專門用來破壞計算機正常工作，具有高級技巧的程序。它并不獨立存在，而是寄生在其他程序之中，具有隱蔽性、潛伏性、傳染性和極大的破壞性。計算機病毒通過互聯網傳播，給網絡用戶帶來極大的危害，它可以使計算機和計算機網絡系統癱瘓、數據和文件丟失。在網絡上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。隨著網絡技術的不斷發展、網絡空間的廣泛運用，病毒的種類也在急劇增加。

2.2 黑客攻擊手段多樣

黑客的攻擊手段在不斷地更新，幾乎每天都有不同的系統安全問題出現。然而安全工具的更新速度太慢，絕大多數情況需要人為的參與才能發現以前未知的安全問題，這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時，其他的安全問題又出現了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的，攻擊源相對集中，攻擊手段更加靈活。

2.3 操作系統漏洞及網絡設計的問題 

目前流行的許多操作系統均存在網絡安全漏洞，黑客利用這些操作系統本身所存在的安全漏洞侵入系統。由于設計的網絡系統不規范、不合理以及缺乏安全性考慮，使其安全性受到影響。網絡安全管理缺少認證，容易被其他人員濫用，人為因素造成網絡安全隱患。另外，局域網內網絡用戶使用盜版軟件，隨處下載軟件與游戲程序，以及網管的疏忽也容易造成網絡系統漏洞。

以上只是網絡安全所面臨的威脅中的一小部分，由此可見，解決網絡安全威脅，保證網絡安全已迫在眉睫，這需要尋求一個綜合性解決方案，以應對日益嚴重的網絡安全危機。

3 計算機網絡安全的防范技術

3.1 防火墻技術

防火墻的作用是對網絡訪問實施訪問控制策略。防火墻技術是為了保證網絡路由安全性而在內部網和外部網之間的界面上構造一個保護層。所有的內外連接都強制性地經過這一保護層接受檢查過濾，只有被授權的通信才允許通過，同時將不允許的通信拒之門外，最大限度地阻止網絡中的黑客來訪，防止他們隨意更改、移動甚至刪除網絡上的重要信息。它是不同網絡或網絡安全域之間信息的惟一出入口，能夠根據安全政策控制(允許、拒絕、監測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務、實現網絡和信息安全的基礎設施。

3.2 網絡病毒的防范

病毒活動日益猖獗，對系統的危害日益嚴重。用戶一般采用殺毒軟件來防御病毒入侵，但現在年增千萬個未知新病毒，病毒庫更新速度落后，殺毒軟件已不能輕松應對，因此對病毒的防御顯得尤為重要。在網絡環境下，病毒傳播擴散快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于局域網的全方位防病毒產品。這需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連，還需要網關的防病毒軟件，加強上網計算機的安全性。

3.3 加強網絡安全管理

加強網絡的安全管理、制定有效的規章制度，對于確保網絡的安全性與可靠運行，將起到十分有效的作用。加強網絡的安全管理包括：確定安全管理等級和安全管理范圍；制定相關網絡操作使用規程和人員出入機房管理制度；制定網絡系統的維護制度和應急措施等?？疾煲粋€內部網是否安全，不僅要看其技術手段，更重要的是看對該網絡采取的綜合措施。

3.4 提高安全防范意識

只要我們提高安全意識和責任觀念，很多網絡安全問題也是可以防范的。我們要注意養成良好的上網習慣，不隨意打開來歷不明的電子郵件及文件，不隨便運行陌生人發送的程序；盡量避免下載和安裝不知名的軟件、游戲程序；不輕易執行附件中的EXE和COM等可執行程序；密碼設置盡可能使用字母數字混排；及時下載安裝系統補丁程序等。

4 結束語

網絡安全是一項系統的工程，涉及技術、管理、使用等許多方面，網絡安全技術與工具是網絡安全的基礎，高水平的網絡安全技術隊伍是網絡安全的保證，嚴格的管理則是網絡安全的關鍵?？傊粍谟酪莸木W絡安全體系是不存在的，計算機網絡安全工作也不是一朝一夕就能夠完成的，它是一項長期的任務。如何保證網絡安全，是一個值得長期研究與付出努力的問題，網絡安全需要我們每一個人的參與。

5 參考文獻

[1] 石志國，計算機網絡安全教程，北京：清華大學出版社，2008．

[2] 周小華，計算機網絡安全技術與解決方案，杭州：浙江大學出版社，2008．

篇5

關鍵詞：計算機網絡信息 安全技術 防護對策

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2015）05-0000-00

1計算機網絡安全隱患分析

網絡環境下的計算機系統存在很多安全問題，綜合技術和管理等多方面因素，我們可以將這些問題歸納為四個方面：互聯網的開放性、自身的脆弱性、攻擊的普遍性、管理的困難性。為了解決這些問題，各種安全機制、策略和工具被研究和應用。但網絡的安全仍然存在很大隱患，首先就以下三方面進行分析：

1.1惡意入侵和攻擊

惡意入侵和攻擊分為主動和被動兩種，指具有熟練編寫和調試計算機程序的技巧并使用這些技巧來侵入到他方內部網的行為。主動入侵攻擊是以破壞對方的網絡和信息為主要目的，實現成功之后就能夠造成對方網絡系統的運行受到影響，嚴重狀況下還可能讓系統出現癱瘓的問題，在被動攻擊的作用下獲得對方的相關信息，并在對方不了解的狀況下獲得相關機密信息或者數據，但是不破壞系統的正常運行。

1.2系統漏洞

所謂的系統漏洞主要有兩種不同的狀況，包括蓄意制造，這主要是指設計工作人員為了能夠達到日后信息竊取或者系統控制的目的而故意進行設計的行為；無意制造則是系統設計工作人員因為技術原因或者疏忽大意產生的。系統漏洞是傳統安全工具難于考慮到的地方，一般狀況下，這種侵入行為能夠光明正當的穿過系統的防火墻而不被察覺。

1.3計算機病毒

計算機病毒指編制或在計算機程序中插入的破壞計算機功能和數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。其目前是數據安全的頭號大敵，這種程序可以通過磁盤、光盤、計算機網絡等各種途徑進行復制傳播。從上世紀80年代計算機病毒的首次被發現，至今全世界已經發現數以萬計的計算機病毒，并且還在高速的增加，其隱蔽性、傳染性、破壞性都在進一步的發展。

2 信息安全的防護對策

2.1防火墻技術

所謂的防火墻只是一種較為形象的說法，是由計算機軟件以及硬件構成，讓內部網和互聯網之前形成實際的安全網關，屬于強化網絡訪問控制權限的表現，從根本上避免外部網絡用戶憑借各種非正當手段突破外部網絡而進入到內部網絡領域中，并對內部網絡資源加以訪問，從根本上實現內部網絡環境以及特殊網絡設備受到保護的目的。這種技術對于多個網絡或者兩個網絡之間的傳輸數據包結合實際的安全策略來加以檢查，從而明確網絡之間的通信行為能否可以發生，并對網絡運行的狀況加以監測。防火墻系統則是有兩個基本部件包括應用層網關以及過濾路由器構成，防火墻則處于5層網絡安全系統中的最低一個層次，屬于外部公共網絡和內部網絡之間的一個主要屏障，防火墻是起初受到人們重視的一個主要網絡安全產品，在網絡應用以及網絡安全技術不斷發展的影響下，現階段的防火墻技術開始走向其他不同層次的安全網絡中服務，還有其他不同的防火墻產品開始朝著避免黑客或者病毒入侵以及用戶認證和數據安全方向發展。

2.2數據加密技術

數據加密技術是最基本的網絡安全技術，被譽為信息安全的核心，最初主要用于保證數據在存儲和傳輸過程中的保密性。它使用數字方法來重新組織數據，通過變換和置換等各種方法將被保護信息置換成密文，然后再進行信息的存儲或傳輸，使得除了合法受者外，任何其他人想要恢復原先的“消息”是非常困難的。即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。所謂數據加密技術就是這種技術的目的是對傳輸中的數據流加密，常用的方式有線路加密和端對端加密兩種。前者側重在線路上而不考慮信源與信宿，是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發送者端通過專用的加密軟件，采用某種加密技術對所發送文件進行加密，把明文（也即原文）加密成密文（加密后的文件，這些文件內容是一些看不懂的代碼），然后進入TCP/IP數據包封裝穿過互聯網，當這些信息一旦到達目的地，將由收件人運用相應的密鑰進行解密，使密文恢復成為可讀數據明文。

2.3訪問與控制

訪問與控制指授權控制不同用戶對信息資源的訪問權限，即哪些用戶可訪問哪些資源以及可訪問的用戶各自具有的權限。是對網絡的訪問與控制進行技術處理是維護系統運行安全、保護系統資源的一項重要技術，也是對付黑客的關鍵手段。

2.4網絡安全管理措施

網絡安全管理策略包括：確定安全管理等級和安全管理范圍；指定有關網絡操作使用規程和人員出入機房管理制度，制定網絡系統的維護制度和應急措施，以及提高網絡工作人員的素質，強化網絡安全責任感等。 隨著企業信息化水平的不斷加深，管理層網絡安全意識應逐步得到增強，并逐步會主動去思考如何更好地構筑信息平臺的安全保障體系。

提高網絡工作人員的管理素質也是一項重要的任務。對工作人員要結合硬件、軟件、數據等網絡系統各方面進行安全教育，提高工作人員的責任心，并加強業務技術培訓，提高操作技能，重視網絡系統的安全管理，防止人為事故的發生，同時提高人們對網絡安全的認識，完善法律、法規，對計算機犯罪進行法律制裁。

篇6

關鍵詞：網絡廣播電視臺；技術架構；設計方案

網絡廣播電視臺是一種現代科技發展中誕生的一種新型的網絡媒體。它的產生是在電視和網絡的大范圍普及下形成的。將地方電視臺作為依托，利用網絡平臺進行電視直播，是一種新型的電視播放手段。就目前來說，較為成熟的網絡廣播電臺有中央電視臺、黑龍江廣播電視臺等等，相信隨著用戶的日益增長以及用戶需求的不斷更新，網絡廣播電視臺將會成為各省市廣播電視臺長遠發展的一大趨勢。本文主要是對網絡廣播電視臺的建立技術和方案設計進行探究。

1 網絡廣播電視臺簡述

網絡電視臺不同于傳統的電視播放模式，不需要用戶專門購買電視或其他設備，只需要登陸互聯網，找到相應的網址或平臺就能夠觀看。在現代社會的“三網融合”背景下，網絡電視臺得到了飛速發展?！叭W融合”有利于對網絡資源和網絡帶寬進行合理調配，使網絡資源能夠最大程度的合理利用，從而避免重復建設，通過現代社會的較高網速，實現了網絡數據和資源的實時共享。網絡廣播電視臺由內容、渠道、平臺、數據庫、運營以及盈利六個簡單要素構成，其中的內容就是通過將電視中所播放的所有內容加以整理分類，按照一定的順序播放出來，從而形成電視中所播放的節目；而渠道則是將內容通過不同的平臺進行傳播，例如電視、廣播、網絡等。所以網絡電視中，只要可以連入網絡，就可以獲取各類節目資源；平臺是建立在網頁的客戶端以及窗口，用戶就通過這些平臺進入并收看相關節目；數據庫分為用戶信息數據庫和節目資源數據庫，其中的一個作用是存儲、管理用戶信息，另一個則是收錄、播放電視節目；運營則是通過相關專業制作團隊進行運營；盈利主要是通過兩方面來實現，一是通過廣告收入盈利，與傳統電視臺相似，二是通過電子商務盈利。

網絡廣播電視臺作為一種新型的網絡宣傳媒體，還同時具有多種優勢，主要包括及時性、數字化、多終端、互動性、信息點播、信息個性化訂制以及覆蓋廣泛，而且它不會受到時間和空間變化的影響，只要可以連接到網絡，就可以不受限制地使用網絡廣播電視臺。

網絡廣播電視臺的建設是建立在各省市傳統電視臺平臺的基礎上的，將各省市電視臺的所有電視、廣播節目進行收錄、整理，然后通過網絡將節目進行分類，由同類的節目構成專門的節目頻道，如電影頻道、電視劇頻道、動漫頻道、娛樂頻道、體育頻道等，同時可利用互聯網獨特的互動性，吸引更多的用戶，在此基礎上還可以根據用戶的特色來劃分節目頻道，最大程度上滿足用戶的需求，吸引更多的受眾群。

總而言之，網絡廣播電視臺是傳統電視臺發展過程中必然的產物，是對傳統電視臺的創新和拓展，同時也給傳統電視臺帶來了機遇甚至挑戰。

2 網絡廣播電視臺技術架構解析

在簡要地概述了網絡廣播電視臺的要點之后，下面將進入正題，首先詳細解析網絡廣播電視臺的技術架構。

2.1 技術架構的組成

網絡廣播電視是將電視和網絡平臺結合起來，是通過網絡將電視內容播放出來的新型媒體傳播渠道，由于它所具有的特性決定它需要滿足安全性、高效性、實用性、開放性的要求，在能夠滿足這些基本要求的前提下，還需要建立一個將互聯網和廣播節目完成共享的平臺，并能夠對其中的視頻內容進行收集，在較多媒體中進行的智能化網絡管理系統。其中此系統還包括以下七個要素系統：

2.1.1 信息收錄系統。網絡廣播電視臺的主要職能就是對各類節目資源進行整理和收集，對這些節目資源進行分類整理，這就是信息收錄系統的作用。此系統主要由兩個部分構成，一是視頻音頻信息收錄系統，二是綜合內容信息收錄系統。其中視頻音頻信息收錄系統主要是通過采集、調度、快編以及存儲視頻音頻號來完成此項工作。收錄系統是整個技術系統的第一個環節，是最基礎而又最重要的環節，只有對各種節目資源進行完整的接收，才能進行后面的整理分類，形成節目頻道，最后實現共享，所以必須單獨為收錄系統設計一套可行的詳細實用的接收方案。

2.1.2 信息系統。將節目資源整理分類好以后，就可以根據節目庫的內容進行相關節目的。信息系統都有自己獨立的頁面，想要任何節目都可以自由地選擇。

2.1.3 版權管理信息系統。版權管理信息系統主要是針對數字版權的保護而開設的一個系統，其重要性不言而喻。數字版權的保護是十分重要的，這項工作關系到其數字產品能否在一個可拓展的平臺得到安全的發展，這需要利用到密碼學的技術，并且做到理論聯系實際，即結合系統構架和具體應用開展。

2.1.4 互動信息系統。互動信息系統就是需要在電視節目播出時，利用網絡與觀眾進行實時互動，提高觀眾的參與性，該系統靈活性較高，開發難度較低，在管理上采取的是直接的接口管理模式。

2.1.5 其他業務的管理。其他業務主要是指政府信息、在線支付、游戲等第三方業務的拓展延伸，此類業務也相對靈活，而且這項系統在發展過程中還處于初級階段，還有許多功能都不夠完善，多數情況下需要加入第三方管理系統，幫助其進行管理。

2.2 技術構架的功能

網絡廣播電視臺技術構架的功能主要是需要對資源進行統一管理，并將收集到的視頻或音頻內容進行適當的，同時對播放內容進行統一管理，控制互動系統的功能性和實用性。

3 網絡廣播電視臺技術構架方案設計

在了解了網絡廣播視臺技術構架的組成部分以及功能以后，下面針對一些主要不足問題進行方案設計。

3.1 信息調度中心設計

信息調度系統主要是將從不同的來源收集到的信息進行分類整理，同時還需要對缺少音頻的文件匹配對應的音頻，此系統的設計必須滿足較高的調度靈活性和可靠安全性，所以最好經由光纖傳輸，以確保資源安全可靠，維護用戶的利益。

3.2 信息收錄中心設計

信息收錄主要包括手動形式和自動形式，手動形式主要是通過人為的手段對各種信息進行整理入庫，自動形式是把直播頻道的節目按照EPG進行自動入庫，這個系統看似簡單，卻是整個系統的基礎，非常重要，因此，在選編碼器的時候不僅要著重考慮其性能，還要進行實測，選擇效果最好的編碼器。

3.3 業務運營平臺設計

業務運營平臺在運營初期可以加入第三方廠家進行管理設計，以學習相關經驗，待到成熟階段后可以自己運營。廣告模塊主要是指實現廣告的和運營，如何達到通過廣告獲得最大的收益又盡量不影響用戶的利益，是值得考慮的問題，這就要求對廣告的位置和投放指標進行精確的設計。綜合業務運營模塊就是對觀眾所要使用的各項客戶端、網站網頁進行設計，從而實現各個接口之間的數據交換。

4 結束語

網絡廣播電視臺的出現，無疑是傳統廣播電視臺的一次重大革新，既順應了時展、科技進步的需求，又豐富了人們的生活。雖然作為一次新的嘗試，難免有一些不足，但相信只要不斷探索、更新，網絡廣播電視臺一定會展現出它不可抗拒的旺盛的生命力。

參考文獻

[1]海吉.網絡安全技術與解決方案[M].北京：人民郵電出版社，2009.

篇7

關鍵詞：物聯網；網絡攻擊；安全防護

隨著物聯網在國家基礎設施、經濟活動、以及智能家居、交通、醫療等社會活動方面的廣泛應用，物聯網的安全問題已不僅僅局限于網絡攻防等技術領域范疇，而是已成為影響人們日常生活和社會穩定的重要因素。

1 物聯網安全風險分析

從信息安全和隱私保護的角度講，物聯網各種智能終端的廣泛聯網，極易遭受網絡攻擊，增加了用戶關鍵信息的暴露危險，也加大了物聯網系統與網絡的信息安全防護難度。

2 物聯網攻擊技術及安全防護體系

2.1 感知層安全問題

⑴物理安全與信息采集安全。感知層是物聯網的網絡基礎，由具體的感知設備組成，感知層安全問題主要是指感知節點的物理安全與信息采集安全。

⑵典型攻擊技術。針對感知層的攻擊主要來自節點的信號干擾或者信號竊取，典型的攻擊技術主要有阻塞攻擊、偽裝攻擊、重放攻擊及中間人攻擊等。

2.2 網絡層安全問題

網絡層主要實現物聯網信息的轉發和傳送，包括網絡拓撲組成、網絡路由協議等。利用路由協議與網絡拓撲的脆弱性，可對網絡層實施攻擊。

⑴物聯網接入安全。物聯網為實現不同類型傳感器信息的快速傳遞與共享，采用了移動互聯網、有線網、Wi-Fi、WiMAX等多種網絡接入技術。網絡接入層的異構性，使得如何為終端提供位置管理以保證異構網絡間節點漫游和服務的無縫聯接時，出現了不同網絡間通信時安全認證、訪問控制等安全問題。

跨異構網絡攻擊，就是針對上述物聯網實現多種傳統網絡融合時，由于沒有統一的跨異構網絡安全體系標準，利用不同網絡間標準、協議的差異性，專門實施的身份假冒、惡意代碼攻擊、偽裝欺騙等網絡攻擊技術。

⑵信息傳輸安全。物聯網信息傳輸主要依賴于傳統網絡技術，網絡層典型的攻擊技術主要包括鄰居發現協議攻擊、蟲洞攻擊、黑洞攻擊等。

鄰居發現協議攻擊。利用IPv6中鄰居發現協議（Neighbor Discovery Protocol），使得目標攻擊節點能夠為其提供路由連接，導致目標節點無法獲得正確的網絡拓撲感知，達到目標節點過載或阻斷網絡的目的。如Hello洪泛攻擊。

2.3 應用層安全問題

應用層主要是指建立在物聯網服務與支撐數據上的各種應用平臺，如云計算、分布式系統、海量信息處理等，但是，這些支撐平臺要建立起一個高效、可靠和可信的應用服務，需要建立相應的安全策略或相對獨立的安全架構。典型的攻擊技術包括軟件漏洞攻擊、病毒攻擊、拒絕服務流攻擊。

3 物聯網安全防護的關鍵技術

物聯網安全防護，既有傳統信息安全的各項技術需求，又包含了物聯網自身的特殊技術規范，特別是物物相連的節點安全。

3.1 節點認證機制技術

節點認證機制是指感知層節點與用戶之間信息傳送時雙方進行身份認證，確保非法節點節點及非法用戶不能接入物聯網，確保信息傳遞安全。通過加密技術和密鑰分配，保證節點和用戶身份信息的合法性及數據的保密性，從而防止在傳遞過程中數據被竊取甚至篡改。

物聯網主要采用對稱密碼或非對稱密碼進行節點認證。對稱密碼技術，需要預置節點間的共享密鑰，效率高，消耗資源較少；采用非對稱密碼技術的傳感，通常對安全性要求更高，對自身網絡性能也同樣要求很高。在二者基礎上發展的PKI技術，由公開密鑰密碼技術、數字證書、證書認證中心等組成，確保了信息的真實性、完整性、機密性和不可否認性，是物聯網環境下保障信息安全的重要方案。

3.2 入侵檢測技術

入侵檢測技術，能夠及時發現并報告物聯網中未授權或異常的現象，檢測物聯網中違反安全策略的各種行為。

信息收集是入侵檢測的第一步，由放置在不同網段的傳感器來收集，包括日志文件、網絡流量、非正常的目錄和文件改變、非正常的程序執行等情況。信息分析是入侵檢測的第二步，上述信息被送到檢測引擎，通過模式匹配、統計分析和完整性分析等方法進行非法入侵告警。結果處理是入侵檢測的第三步，按照告警產生預先定義的響應采取相應措施，重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性等。

3.3 訪問控制技術

訪問控制在物聯網環境下被賦予了新的內涵，從TCP/IP網絡中主要給“人”進行訪問授權、變成了給機器進行訪問授權，有限制的分配、交互共享數據，在機器與機器之間將變得更加復雜。

訪問控制技術用于解決誰能夠以何種方式訪問哪些系統資源的問題。適當的訪問控制能夠阻止未經允許的用戶有意或無意獲取數據。其手段包括用戶識別代碼、口令、登錄控制、資源授權、授權核查、日志和審計等。

[參考文獻]

[1]劉宴兵，胡文平.物聯網安全模型與關鍵技術.數字通信，2010.8.

[2]臧勁松.物聯網安全性能分析.計算機安全，2010.6.

篇8

1網絡安全與校園網安全

1.1網絡安全

網絡安全不是目的，只是一種保障。就網絡安全來說，其造成威脅的因素又可分為內因和外因。內因主要是計算機本身的問題所致，例如自身的系統缺陷、訪問控制中的安全隱患和漏洞、www等域名的服務漏洞、網絡操作系統的安全缺陷等。外因主要是指來自外界的威脅和干擾。包括計算機病毒、非授權的冒充使用、物理環境的安全性差等因素。

1.2校園網安全

校園網相對來說是一個比較特殊的環境，由于面向的群體主要是學生，因此除了要保證網絡的正常運行外，還必須做好對內容不健康信息的過濾功能以及應對個別同學喜歡嘗試各種試圖攻擊和入侵服務器的行為。通過分析目前校園網中存在的問題，應該從以下幾方面進行著手維護：制定和實施訪問安全，身份認證，禁止未授權的訪問者非法進入；對于電子閱覽室、網絡實驗室等學校人員經常使用的計算機，安裝上防火墻，過濾掉、暴力等不健康的網站；對重要或敏感的信息和數據進行加密，保證信息的內容的安全性，防止例如學生成績信息等重要數據被非法篡改；確保網絡運行設施的可靠性和安全監測手段的有效性，防范非法入侵而使系統功能受到影響情況的出現；學?？稍O立網絡安全管理機制，負責網絡安全管理和規劃等工作，加強學校安全管理教育工作的開展。

2防火墻技術

防火墻是一種為了保護內部網安全，在計算機的硬件和軟件相互搭配組合下，在互聯網和內部網之間形成安全屏障的技術，是確保網絡安全的重要手段。作為現代網絡時代不可或缺的安全產品，防火墻已經成為了校園網絡必要的存在。就目前來說，防火墻主要通過對未經證實的主機的TCP/IP進行分組過濾、利用IP地址進行偽裝、通過功能，斷絕內外部之間的連接等三個主要手段對內部網進行安全保護。

2.1防火墻的功能

（1）管理進出網絡的訪問行為作為雙向溝通間的控制點，防火墻可以利用自身的阻塞點，對訪問的信息進行管理和控制，并過濾掉不安全的服務和信息，只允許經過選擇的應用選擇通過防火墻，這在很大程度上降低了訪問的風險，提高了內部網絡的安全性。（2）記錄通過防火墻的信息內容和活動防火墻的建立使得所有信息的訪問在經過防火墻的時候都會留下記錄，防火墻內部會根據這些數據統計網絡的使用情況，并作出日志記錄。（3）監測和反饋網絡攻擊行為在信息監測的過程中，當有可疑的情況發生時，防火墻會適當的報警，并把詳細信息自動生成電子郵件發送給網絡維護者，提供網絡是否受到監測和攻擊的信息。（4）防止內部信息的泄漏在實施保護的過程中，可以通過防火墻的內部網絡劃分，將重點網段進行隔離，防止了局部重點或敏感段落出現問題對全局造成影響。

2.2防火墻特性

（1）是雙向網絡載體通信之間的中間存在點；（2）具有透明性，其存在不影響信息之間的交流和溝通；（3）它只對符合本地開放安全的信息進行授權，而只有經過授權的信息才可以自由出入網絡。

3防火墻技術在大學校園網中的應用

在目前，各種維護網絡的軟硬件層出不窮，但大多數只能解決學校網絡安全中的一部分，例如金山、瑞星等軟件解決病毒防范，天網、天融信等軟件解決網絡攻擊問題，這些軟件的存在都是以解決單一或部分問題為目標，并不能對學校的網絡安全形成整體的解決方案。由于學校的特殊性，學校對網絡的需求也有所不同，因此校園網絡應該根據學校的需求特點出發，以第一評價為標準，完善網絡體系，具體來說，有以下幾個步驟：

3.1入侵監測系統

入侵檢測是一種能夠及時監測和發現網絡系統中異常現象的實時監測技術。在監測過程中除了利用審計記錄，監測出任何不希望有的活動以外，它還可以實時防護來自IPSpoofing、PingofDeath以及其它外界的攻擊，以保護系統的安全。而在監測到攻擊行為時它還可以自動生成電子郵件通知系統管理員，使其可以在第一時間處理危機。

3.2建立用戶認證

建立和完善網絡的用戶認證機制，對于不可信網站的訪問，防火墻可以經過內建用戶數據庫或IP/MAC綁定資料等進行認證，并決定是否給予訪問的權限。而防火墻也可以限定授權用戶通過防火墻進行一些有限制的活動。

3.3防火墻系統的檢測和維護

在合理配置了防火墻后，必須要對防火墻進行經常性的檢測和監督，并對監測到的網絡流量進行分析，時刻關注異常流量的情況，做好日志備份等處理工作，以便日后信息的查閱。最后，防火墻的配置也要根據網絡結構的變化而變化，從而保證其能在保護校園網中發揮更好的作用。

3.4漏洞掃描系統

要想解決網絡中的安全問題，首先要清楚存在了哪些安全隱患。面對強大的網絡覆蓋面和不斷變化的網絡復雜性，如果僅僅只依靠網絡技術管理人員的技術去查找漏洞是存在著巨大困難的，也是不現實的。因此唯一的方法就是找出一種可以替代人工查詢漏洞，并做出及時評估、提出修改意見的安全掃描工具，它可以在系統優化的過程中彌補安全漏洞，消除安全隱患。

3.5利用網絡監聽維護子網安全

威脅校園網絡安全有內因和外因兩個部分，對于外因，我們可以通過安裝防火墻來解決，但是對于校園內部的入侵我們則無能為力，在這種情況下，學校可以在網絡監控部門中設立一個專門管理和分析網絡運作狀態的子網監聽程序，該監聽程序可以包含一定的審計功能，方便在長期監聽子網的情況中，為系統中各個服務器的審計文件提供備份，并在監聽的程序之間建立聯系，保證相互聯系的計算機，在其它服務器收不到聯系的情況下，會自動發出警報提示。

4結語

篇9

【關鍵詞】國家數控實訓基地；數控機床改造；網絡化；建設方案

黃石職業技術學院國家數控實訓基地于2007年建成并投入使用，由于設計比較倉促，數控基地分別單獨建立了數控仿真實驗室、CAD/CAM實驗室、數控加工車間、電火花線切割實訓室、三坐標測量室等機構，并沒有搭建一個協同的工作網絡。

隨著時間的推移，目前國家數控實訓基地的運行模式已經不能適應現代化的需求：學生在數控仿真實驗室模擬的程序輸出后，并不能直接輸送到數控機床，需要在機床重新錄入或者借助U盤拷貝；技術人員在CAD/CAM實驗室通過三維制造軟件自動生成的程序代碼，無法順利到達機床系統，中間操作繁瑣；三坐標測量機檢測驗證的數據，只有通過介質傳輸，不能快速反饋到實訓室中。這些問題都是由于數控基地沒有一個完整的網絡化平臺造成的。為了解決這個問題，我們為國家數控實訓基地設計了網絡拓撲，準備實施網絡化改造。

一、原有的教學環境及需求

黃石職業技術學院國家數控實訓基地下設的數控仿真實驗室、CAD/CAM實驗室，共擁有計算機82臺，采用P4 3.06G CPU、512M內存、GeForce 128M顯卡、160G硬盤、17寸顯示器，并已組建成一個局域網，每臺機器上裝有宇龍數控加工仿真系統、CAXA制造工程師、Pro/E、Master CAM等專業軟件，可以實現自動編程。三坐標測量室擁有?？怂箍等鴺藴y量機一臺，工作站一臺。數控加工車間擁有廣州數控CAK3275型數控車床9臺，華中數控CK6140型數控車床3臺，廣州數控XK713型數控銑床7臺，華中數控4600型加工中心1臺，法拉克VMC650加工中心2臺，法拉克HTC2050車削中心1臺，華中數控教學型數控車床1臺、華中數控教學型銑床3臺。電火花線切割實訓室擁有蘇州新火花DK7740型數控線切割機床3臺，數控電火花成形機床1臺。

我們擬在數控基地內構建一個局域網網絡平臺，將數控加工車間內所有數控機床與測量室、實訓室、CAD/CAM實驗室等計算機進行網絡化改造，建設模擬企業環境的網絡化數控實訓基地，使各項數據都可以通過網絡傳輸，不再需繁瑣的人工操作。這不僅順應了“網絡數控”發展的總體趨勢，而且能滿足學院教學、培訓的需要，具有較高的實際應用價值。

二、網絡化改造的設計

1.網絡選型、連接方案

在所有網絡類型中，小型局域網是比較接近非專業人上和最為實用的網絡技術。因此，我們選擇搭建一個使用方便、性能穩定、造價低廉的小型星型局域網。

目前基地大多數數控機床數據傳輸只支持通過RS232接口單機傳輸，其基本原理是計算機的串行（COM）口和數控機床本身的RS232接口遵循相同的數據通信協議，利用它們之間的數據傳輸性能可方便地實現計算機與數控機床的通信，從而完成計算機對機床的NC代碼的傳輸。但是這樣的接口我們無法直接接入以太網，經過討論，我們解決的方案是：給每臺數控機床旁配置一臺PC機，使用數據線將COM口與數控機床RS232C接口連接，而此時，每臺PC機又可以直接連接以太局域網。這種方案的特點是技術成熟操作簡單，給操作者帶來方便：在PC機上編程，在專用通訊軟件或者DOS下進行程序傳輸。

2.網絡拓撲結構

我們要先將數控加工車間、線切割實訓室和三坐標測量室的32臺數控機床控制計算機組成一個小局域網，再將該局域網與數控仿真實驗室、CAD/CAM實驗室的局域網連接起來，共同組成一個基地的網絡平臺，使設計信息、工藝信息、加工信息及后置處理數據能及時地傳遞到制造單元。學生在數控仿真實驗室、CAD/CAM實驗室進行數控編程和仿真的數據也可直接傳送到機床上，這樣就構成了網絡制造集成環境，減少了中間環節，增加了可靠性，并提高了工作效率。

根據以上要求，我們決定組建一個星型結構的共享式以太網，服務器安裝Windows 2003 Server，工作站操作系統采用Windows XP專業版。網絡拓撲結構如圖1所示。

3.組網步驟

（1）硬件物資準備

由于數控仿真實驗室、CAD/CAM實驗室已經組成局域網，在這次網絡改造中不需要另外投入新的設備。而現有的數控機床全部配備了高性能計算機，具備入網條件，我們只需購買雙絞線、水晶頭和交換機等就可以輕松組網。

我們采用星型網絡的布線連接，雙絞線兩端安裝有水晶頭。連接網卡與交換機的最大網線長度為100米，如果要加大網絡的范圍，在兩段雙絞線之間可安裝中繼器。由于數控基地所有設備都在一棟大樓內，距離較近，能滿足要求。根據數控機床控制計算機的位置，我們選擇了交換機的安裝位置，并將每臺控制用計算機用雙絞線連接到了交換機上。

（2）服務器的安裝和配置

因為這臺服務器的身份是域控制器、網關及文件服務器，所以我們選用了Windows 2003服務器操作系統，并配置成為域控制器，方便管理域內工作站，還利用Windows 2003的Internet連接共享功能，為基地內部網絡搭建了網關，通過網關將數控基地局域網與校園網連接起來。

同時，我們在服務器上安裝了Serv-U FTP服務器軟件，輕松構建了一個文件服務器，因此在基地局域網內部進行文件傳輸更容易。

（3）工作站的安裝和設置

工作站全部采用Windows XP專業版，其安裝過程比較容易。需要說明的是有關協議的安裝問題，網絡中每臺計算機的協議配置應盡量保持一致。在通常情況下，TCP/IP協議是必不可少的，為了照顧數控機床控制系統中所用通訊功能能在DOS下使用，IPX/SPX協議也應該安裝，至于微軟的網絡客戶文件系統安裝時就已經自動安裝好了。然后，參照相關協議，為每個廠家的數控機床安裝匹配的傳輸控制系統，并對機床控制系統軟件及DNC通訊軟件進行設置，實現通過網絡對機床的有效控制。最后要啟用Windows XP的遠程桌面連接功能，方便遠程操作工作站。

三、改造后的國家數控實訓基地所能實現的增值功能及改造優點

1.網絡化的數控基地提供的增值功能

（1）網絡集中管理

在服務器上可以實現系統的配置管理、性能管理、故障診斷等幾個方面的網管功能，并能集中管理和監視網絡上的各種設備。為系統可靠運行提供保證。

（2）遠程故障診斷

數控機床出現故障時，一般技術人員如不能準確分析判斷故障的原因，就會影響生產。利用互聯網進行網絡對話，服務方可以在異地了解用戶方數控機床出現故障時的表現癥狀，以及數控機床在執行由服務方發送的數控指令時的工作狀態，進而對數控機床的故障進行判斷井提出可行的解決方案。

（3）模擬企業制造環境，提高教學效果

用CAD/CAM實驗室所連成的局域網模擬企業的設計部門，以數控加工車間室局域網模擬企業的制造與加工車間，教師通過互聯網給學生布置實習任務，學生在CAD/CAM實驗室完成產品的原型設計，并將結果通過網絡返回給教師批閱，經檢查無誤后，可直接傳送到數控機床上加工。

整個流程全部通過內部網絡完成，節約了大量的時間，提高了設備的利用率。

現在利用聯網的工作站，可以將所有的數控程序、數控系統參數以及PLC程序（ASCII代碼文件）都備份到計算機中，從而保護了系統資源。

2.數控基地實現網絡化改造后的優點

（1）縮短傳輸程序的時間，也就是節約了昂貴的數控機床機時費用。

（2）準確性高。零件程序重復使用時即使重新傳輸也可以保證絕對正確。

（3）操作者勞動強度減低。只需在機床面板輸人簡單指令就可完成程序傳輸。

（4）易于修改。首次使用的程序如果在現場進行了修改，那么上傳后就可供下次調用。

（5）程序管理實現了統一化。

（6）責任清楚。一旦出現問題，很容易分析出是編程原因還是操作原因。

四、總結及展望

篇10

關鍵詞：網絡安全；防火墻；DMZ

中圖分類號：TP393.08 文獻標識碼：A文章編號：1009-3044(2007)12-21564-03

Firewall Technology and Tobacco Processing Factory Network Security

ZHANG Song-lin

(Hefei University of Technology,Hefei 230039,China)

Abstract: Computer Network Technology of the rapid development of enterprises within the scope of the global sharing of information and resources to provide a convenient, effectively reduce the company's operating costs and to change the traditional work patterns. Along with the internal network and the increasing external networking gradually increased. A safe and reliable enterprise network security system is very important for us. To address enterprises in the development of the information industry is facing network information security issues, the full study of the network security needs on the basis of By analyzing the current classification of firewall technology and the advantages and disadvantages of various types of firewalls, Construction of enterprises in the firewall on the Firewall option and set up to make recommendations and to develop corresponding security strategy. Use corresponding security technology as a means to be achieved.

Key words:network security;firewall;DoS

1 引言

20世紀90年代以來，煙草系統信息進程得到巨大的發展和廣泛的應用。計算機應用技術的普及，信息技術的迅猛發展，信息化建設給這個行業帶來了新的機遇和挑戰。而對于打葉復烤企業來說，由于企業規模較小，計算機應用基礎薄弱。隨著信息化建設的不斷深入，特別是計算機網絡技術應用（如企業網絡的應用系統，主要有WEB、E-mail、OA系統、MIS系統等）范圍越來越廣，不可避免的就會帶來了網絡攻擊、內部網絡使用混亂、信息盜竊和其它危及企業正常生產及經營活動的行為，從而直接威脅到打葉復烤企業網絡與信息方面的安全問題。

2 網絡安全

2.1 網絡安全的概念

信息技術的使用給人們的生活和工作帶來了便捷，然而，計算機信息技術也和其它學科一樣是一把雙刃劍，當大部分人使用信息技術提高了工作效率，為社會創造更多財富的同時，另外一些人卻利用信息技術做著相反的事情。他們非法侵入他人的計算機系統竊取機密信息，篡改和破壞數據，造成難以估量的損失。

網絡安全是一個關系到國家安全、社會穩定、民族文化的繼承和發揚等重要問題。網絡安全涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論和信息論等多種學科。

計算機網絡的安全不是絕對的。安全是有成本的，而且也有時間限制。因此，安全是指化多大成本在多長時間之內可以保證計算機網絡安全。安全問題的解決依賴于法律、管理機制和技術保障等多方面相互協調和配合，形成一個完整的安全保障體系。

2.2 網絡安全的需求

計算機網絡安全是隨著計算機網絡的發展和廣泛應用而產生的，是計算機安全的發展與延伸?？梢杂孟到y的觀點把計算機網絡看成一個擴大了的計算機系統，因此許多關于計算機安全的概念和機制也同樣適用于計算機網絡。雖然網絡安全同單個計算機安全在目標上并沒有本質區別，但由于網絡環境的復雜性，網絡安全比單個計算機安全要復雜得多[1]。

第一，網絡資源的共享范圍更加寬泛，難以控制。共享既是網絡的優點，又是風險的根源，它會導致更多的用戶（友好與不友好的）遠程訪問系統，使數據遭到攔截與破壞，以及對數據、程序和資源的非法訪問。

第二網絡支持多種操作系統，這使網絡系統更為復雜，安全管理和控制更為困難。

第三網絡的擴大使網絡的邊界和網絡用戶群變得不確定，對用戶的管理較計算機單機困難得多。

第四單機的用戶可以從自己的計算機中直接獲取敏感數據，但網絡中用戶的文件可能存放在遠離自己的服務器上，在文件的傳送過程中，可能經過多個主機的轉發，因而沿途可能受到多處攻擊。

第五由于網絡路由選擇的不固定性，很難確保網絡信息在一條安全通道上傳送。

基于以上5個特點的分析可知，保證計算機網絡的安全，就是要保護網絡信息在存儲和傳動過程中的保密性、完整性、可用性、可控性和真實性。

(1)數據的保密性

數據的保密性是網絡信息不被泄露給非授權的用戶和實體，信息只能以允許的方式供授權用戶使用的特性。也就是說，保證只有授權用戶才可以訪問數據，而限制其他人對數據的訪問。

(2)數據的完整性

數據的完整性是網絡信息未經授權不能進行改變的特性，即網絡信息在存儲或傳送過程中不被偶然或蓄意地刪除、修改、偽造、亂序、重放及插入等破壞和丟失的特性。

(3)數據的可用性

數據的可用性是網絡信息可被授權實體訪問并按需求使用的特性，即需要網絡信息服務時允許授權用戶或實體使用的特性，或者是網絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性。影響網絡可用性的因素包括人為和非人為兩種，前者有非法占用網絡資源，切斷或阻塞網絡通信，通過病毒、蠕蟲或者拒絕服務攻擊降低網絡性能，甚至使網絡癱瘓等；后者有災害事故（水災、火災、雷擊等）和系統死鎖、系統故障等。

(4)數據的可控性

數據的可控性是控制授權范圍內的網絡信息流向和行為方式的特性，如對信息的訪問、傳播及內容具有控制能力。

(5)數據的真實性

數據的真實性又稱不可抵賴或不可否認性，指在網絡信息系統的信息交互過程中參與者的真實同一性，即所有參與者都不可能否認或抵賴曾經完成的操作和承諾。

2.3 安全攻擊的種類和常見形式

對網絡信息系統的攻擊來自很多方面，這些攻擊可以宏觀地分為人為攻擊和自然災害攻擊。它們都會對通信安全構成威脅，但精心設計的人為攻擊威脅更大，也最難防備。對網絡信息系統的人為攻擊，通常都是通過尋找系統的弱點，以非授權的方式達到破壞、欺騙和竊取數據等目的[2]。

2.3.1 主動攻擊

主動攻擊涉及某些數據流的篡改或虛假數據流的產生，這些攻擊可分為假冒、重放、篡改消息和拒絕服務4類。

(1)假冒：假冒指某個實體（人或系統）假扮另外一個實體，以獲取合法用戶的權力和特權。

(2)重放：重放即攻擊者對截獲的某次合法數據進行復制，以后出于非法目的的重新發送，以產生未授權的效果。

(3)篡改消息：篡改消息是指一個合法消息的某些部分被改變、刪除，或者消息被延遲或改變順序，以產生未授權的效果。

(4)拒絕服務：拒絕服務即常說的DoS（Deny of Service），會導致對通信設備的正常使用或管理被無條件地拒絕。通常是對整個網絡實施破壞，如大量無用信息將資源（如通信帶寬、主機內存）耗盡，以達到降低性能，中斷服務的目的。這種攻擊可能有一個特定的目標，如到某一特定目的地（如安全審計服務）的所有數據包都被阻止。

2.3.2 被動攻擊

被動攻擊是在未經用戶同意和認可的情況下將信息或數據文件泄露給系統攻擊者，但不對數據信息做任何修改。通常包括監聽未受保護的通信、流量分析、解密弱加密的數據流、獲得認證信息（如密碼）等。被動攻擊常用的手段有以下幾種：

(1)搭線監聽：搭線監聽是最常用的手段，將導線搭到無人職守的網絡傳輸線上進行監聽。

(2) 無線截獲：通過高靈敏度的接受裝置接受網絡節點輻射的電磁波或網絡連接設備輻射的電磁波，通過對電磁信號的分析恢復原數據信號，從而獲得網絡信息。

(3)其它截獲：用程序和病毒截獲信息是計算機技術發展的新型手段，在通信設備或主機中預留程序代碼或施放病毒程序后，這些程序會將有用的信息通過某種方式發送出來。

3 防火墻技術

防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。 在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全[3]。

從技術上看，防火墻有三種基本類型：包過濾型、服務器型和復合型。它們之間各有所長，具體使用哪一種或是否混合使用，要根據具體需求確定[4]。

(1)包過濾型防火墻(Packet Filter Firewall)

通常建立在路由器上，在服務器或計算機上也可以安裝包過濾防火墻軟件。包過濾型防火墻工作在網絡層，基于單個IP包實施網絡控制。它對所收到的IP數據包的源地址、目的地址、TCP數據分組或UDP報文的源端口號及目的端口號、包出入接口、協議類型和數據包中的各種標志位等參數，與網絡管理員預先設定的訪問控制表進行比較，確定是否符合預定義好的安全策略并決定數據包的放行或丟棄。這種防火墻的優點是簡單、方便、速度快、透明性好，對網絡性能影響不大，可以用于禁止外部不合法用戶對企業內部網的訪問，也可以用來禁止訪問某些服務類型，但是不能識別內容有危險的信息包，無法實施對應用級協議的安全處理。

(2)服務器型防火墻(Proxy Service Firewall)

通過在計算機或服務器上運行的服務程序，直接對特定的應用層進行服務，因此也稱為應用層網關級防火墻。服務器型防火墻的核心，是運行于防火墻主機上的服務器進程，實質上是為特定網絡應用連接企業內部網與Internet的網關。它用戶完成TCP／IP網絡的訪問功能，實際上是對電子郵件、FTP、Telnet、WWW等各種不同的應用各提供一個相應的。這種技術使得外部網絡與內部網絡之間需要建立的連接必須通過服務器的中間轉換，實現了安全的網絡訪問，并可以實現用戶認證、詳細日志、審計跟蹤和數據加密等功能，實現協議及應用的過濾及會話過程的控制，具有很好的靈活性。服務器型防火墻的缺點是可能影響網絡的性能，對用戶不透明，且對每一種TCP／IP服務都要設計一個模塊，建立對應的網關，實現起來比較復雜。

(3)復合型防火墻(Hybrid Firewall) [5]

由于對更高安全性的要求，常把基于包過濾的方法與基于應用的方法結合起來，形成復合型防火墻，以提高防火墻的靈活性和安全性。這種結合通常有兩種方案：

屏蔽主機防火墻體系結構：在該結構中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內部網絡，通過在分組過濾路由器或防火墻上過濾規則的設置，使堡壘機成為Internet上其它節點所能到達的唯一節點，這確保了內部網絡不受未授權外部用戶的攻擊。

屏蔽子網防火墻體系結構：堡壘機放在一個子網內，形成非軍事化區，兩個分組過濾路由器放在這一子網的兩端，使這一子網與Internet及內部網絡分離。在屏蔽子網防火墻體系結構中，堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。

企業在選擇防火墻時不僅要考慮防火墻的安全性、實用性、而且還要考慮經濟性，防火墻產品的安全性、實用性和經濟性是相互制約和平衡的。

4 打葉復烤企業防火墻的設置

必須妥善地規劃其架構，擬定其安全政策，最重要的是必須徹底執行其安全政策，而防火墻是落實這些安全政策的重要工具之一。Internet網絡商用化的趨勢愈來愈明顯，企業也不斷通過應用網絡技術提高生產銷售的水平，單位網絡的安全性規劃更是刻不容緩。一個好防火墻的規劃必須能充分配合執行單位所制定的安全政策，再加上安全的建置架構，方能提供單位一個方便而安全的網絡環境。

圖1以屏蔽子網防火墻為例介紹打葉復烤企業防火墻的設置，一級堡壘防火墻是整個內部網絡對外的樞紐，是必需設立的。它一邊連接單位內部網絡，一邊通往外部網絡。外部網絡上可擺單位對外提供服務的主機，例如：WEBServer、EMAILServer、POP3Server及FTPServer等，提供對外服務。防火墻的設定，可保證服務器主機只提供它應提供的服務，而阻擋所有不當的存取與連線，避免黑客在服務主機上開后門[6]。

打葉復烤企業可根據實際需要，將其他部門的子系統保護在隔斷防火墻內，比如生產運行實時控制系統、企業運行管理信息系統、企業營銷管理系統、企業多種經營管理系統等。同時可以將某些較重要而有安全顧慮的部門網絡，加上防火墻的配置，此即所謂的單位內防火墻(IntranetFirewall)。單位內防火墻的功能與主防火墻類似，但因為其數量可能很多，會分配到電力部門的網絡內，因此其管理規則的設定、系統的維護，不應太過于困難。單位希望建置一個安全的網絡環境，除了采用防火墻之外，當然還提供單位一個方便而安全的網絡環境。

圖1 企業屏蔽子網防火墻拓撲圖

4 結論

打葉復烤企業所面臨的網絡安全問題是多種多樣的，所以企業設計和部署防火墻也就沒有唯一的正確答案。各個機構的網絡安全決定可能會受到許多因素的影響，諸如安全策略、職員的技術背景、費用、以及估計可能受到的攻擊等。作者認為：企業內部信息網絡系統是動態發展變化的，正確的安全策略與選擇合適的防火墻產品只是一個良好的開端，它只能解決40%~60%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統高智能主動性威脅、后續安全策略與響應的弱化、系統的配置錯誤、對安全風險的感知程度低、動態變化的應用環境充滿弱點等，所有這些都使打葉復烤企業將要面對網絡信息系統安全的挑戰。

參考文獻:

[1]孫靜,曾紅衛.網絡安全檢測與預警[J].計算機工程,2001,(12):109-110.

[2]劉占全.網絡管理與防火墻技術[M].人民郵電出版社，2000.

[3]Greg Holden(美).防火墻與網絡安全[M]. 清華大學出版社，2004.

[4]郭炎華.網絡信息與信息安全探析[J].情報雜志，2001,6.

[5]劉克龍,蒙楊.一種新型的防火墻系統[J].計算機學報,2006,8.