安全技術防范論文范文

安全技術防范論文范文第1篇

【摘 要】當代社會是一個信息化的社會，社會的發展離不開計算機技術的發展。計算機網絡通信技術已經滲透到人們日常工作生活的每一個角落，而計算機網絡的通信安全問題也得到了人們的重視。計算機網絡系統的不穩定性、電腦硬件設計不合理都有可能造成計算機網絡通信不安全。因此，本文將從如何提高計算機網絡安全防范技術入手，探討如何提高計算機網絡安全。

【關鍵詞】計算機 網絡 安全防范技術

隨著科技的發展，計算機網絡在認為日常生活中扮演的角色也越來越重要，它是現代社會人們工作與生活必不可少缺少的一部分；但是在計算機網絡發展的同時也帶來了許多問題，計算機網絡的通信安全問題成為認為日益關注的焦點。隨之計算機網絡安全防范技術的應用也越來越廣泛，而如何提高計算機網絡安全防范技術也日益人們關注的焦點。

一、計算機網絡安全的定義以及現狀

（一）計算機網絡安全的定義。計算機網絡安全的定義不是一成不變的，不同的使用者對計算機網絡安全的定義是不同的；例如：對一般的聊天者而言，計算機網絡安全的定義是自己的聊天內容不會被泄露出去；對網上銀行的使用者而言，計算機網絡安全的定義就變成自己的網銀密碼和銀行卡密碼不會被泄露出去，從而保證自己的銀行存款的安全；而對那些網絡商戶而言，計算機網絡安全的定義則變成使用者的工作內容不會因為突然斷電、計算機突然失火、黑客侵入等原因而丟失?？偠灾?，計算機網絡通信安全就是使用者的通信數據不會因為失火等自然原因而丟失、不會因為被黑客侵入等原因被泄露。

（二） 計算機網絡安全現狀。隨著網絡應用的發展，計算機網絡也逐漸變得不安全，現階段出現的網絡攻擊行為種類在逐漸增多，網站的病毒、木馬也在不斷的增多，而且黑客在攻擊時，也不是盲目的進行攻擊，他們的攻擊是有組織、有計劃的，這些現象的存在就在一定程度上加大了計算機網絡安全方法的難度。目前針對掌上電腦、手機等無線終端網絡的攻擊也逐漸出現，從而使得網絡安全問題逐漸變得復雜。從因特網發展的角度上講，目前還沒有健全的網絡安全體系能夠防范計算機網絡安全問題的發展，從而使得計算機網絡成為網絡安全犯罪分子的攻擊地。從技術角度上講，建立計算機網絡的目的是能夠方便人們通過電腦傳遞信息，在建立計算機網絡系統的同時，必定會用到計算機通信設備，這些松散的計算機通信設備必定會加大計算機網絡安全管理的難度，計算機網絡系統是一種需要軟硬件相結合的系統，現階段基本上每個人計算機網絡都包含著自己開發的軟件，這些軟件一般都不是很成熟，進而使得計算機網絡常常出現異?，F象。另外，計算機網絡最開始建設的時候，計算機網絡設計人員更多的是考慮網絡的實用性以及方便性，對計算機網絡安全的重視程度一般不是很高，這就使得計算機網絡技術設備等造成計算機網絡的安全性降低。

二、 計算機網絡安全防范技術

現在計算機網絡安全防范技術的種類有很多，最常見的有漏洞掃描技術、病毒防范技術、系統容災技術、數據加密技術、防火墻技術等

（一）漏洞掃描技術。漏洞掃描技術一般指的是檢查計算機系統中重要的文件、數據等，檢測已經黑客被利用的漏洞可以使用以下兩種方法，第一，模擬黑客攻擊法。通過這種方法，可以有效的發現計算機中存在的安全漏洞。第二，端口掃描法。端口掃描法是通過端口掃描發現所檢測主機已經打開的端口和端口上的網絡服務，同時與系統所提供的漏洞庫相比較，檢查是否有漏洞。實現漏洞掃描的方法主要有功能插件技術和漏洞庫特征匹配方法兩種。

（二）病毒防范技術。目前計算機病毒主要有潛伏時間長、繁殖能力強、破壞能力大、傳染途徑廣、攻擊隱藏性強、具有針對性等特點。而計算機病毒注入技術主要包含數據控制鏈攻擊方式、無線電方式、后門攻擊方式以及“固化”式方式等?，F階段病毒防范技術可以分為以下三種，第一，管理病毒客戶端；第二，控制郵件的傳播；第三，過濾來自自磁介質的有害信息。

（三）系統容災技術。目前系統容災技術主要有異地容災技術以及本地容災技術兩種。異地容災技術又可以分為服務容災技術、網絡容災技術以及遠程數據容災技術三種。從技術上講，本地容災技術可以分為磁盤/磁帶數據備份技術、磁盤保護技術以及快照數據保護技術三種，而從實現技術上講，本地服務容災技術可以分為本地集群技術與雙機熱備技術兩種。

（四）數據加密技術。數據加密技術是指加密將要傳送的信息，從而保證以密文形式傳送信息的安全性。數據加密技術可以防止通過網絡傳送的信息不會被輕易的篡改，進而使得計算機網絡犯罪分子不會輕易的竊取這些信息。數據加密技術主要是編寫數據加密算法，而數據加密算法可以分為公開密鑰算法以及對稱算法兩種。

（五） 防火墻技術?，F階段解決計算機網絡安全問題最常使用的技術就是防火墻技術，一般防火墻安裝在外網和內網的節點上，所起的作用是邏輯隔離外網和內網。防火墻是一種網絡設備，用來強化網絡之間的訪問控制。防火墻能夠有效的防止網絡信息被計算機網絡安全犯罪分子所竊取。防火墻可以對經過它的網絡通信數據進行掃描，防火墻一般是通過關閉沒有使用的端口來封鎖木馬等，它還可以統計與記錄網絡使用狀況。但是，防火墻技術還是有一定的局限性，這種技術只能防外不能防內。

三、總結

總而言之，計算機網絡的發展十分迅速，而計算機網絡安全問題也越來越多。目前，越來越多的人開始關注計算機網絡安全防范技術，在現階段眾多的計算機網絡防范技術中有主動防御的，也有被動防御的；有防內的也有防外的，這些技術都有一定的缺陷性，用戶一定要合理使用這些技術。

參考文獻：

[1]陸亞華.計算機網絡安全防范技術帶來的探討[J].數字技術與應用，2012，11（01）：19-20.

[2]王新峰.計算機網路安全防范技術初探[J].網絡安全技術與應用，2011，15（04）：45-46.

[3]李娜.淺談計算機網絡安全防范技術[J].電腦知識與技術，2011，11（08）：11-12.

安全技術防范論文范文第2篇

摘要：當前，隨著網絡技術的普及，人們無論是在生活，還是工作過程中都離不開網絡，而這樣一來，對網絡破壞造成的損失以及混亂十分嚴重。所以，對網絡安全性有了更高的要求，我們應將網絡安全放在首要位置，采用先進的防范技術抵制不良因素的發生。本文首先論述了計算機網絡的含義，其次指出了計算機網絡安全防范技術。

關鍵詞：計算機 網絡安全 防范技術

1 引言

計算機網絡安全其實就是確保其內部信息的安全，具體涵蓋了計算機網絡系統中的軟硬件和其中的數據、信息不會出現任何的破壞情況，防止系統中的數據信息有泄漏或者更改的行為，從而推動計算機網絡系統健康有序的運作。計算機網絡安全技術的主要目的在于有效防范網絡黑客的攻擊，確保網絡正常順利的開展。

2 計算機網絡安全的含義

計算機網絡安全的含義不是固定的，它會隨著使用者的變化而發生一定的變化，不同的使用者，對網絡安全認識以及要求也就不同。比如，對于普通使用者來說，只希望個人的私密信息能夠有安全保障的在網上順利傳輸，預防竊聽等行為的出現；而對于網絡提供商來說，不僅要對網絡信息的安全性予以重視，同時，還要想好當自然災害、軍事打擊等對網絡硬件造成破壞后的應對措施。以及網絡發生異?，F象時怎樣使網絡通信快速恢復，確保網絡通信的暢通無阻。網絡安全不僅存在著技術方面的問題，同時，也存在著管理方面的問題，這兩者間是相輔相成，缺一不可的。黑客對網絡的入侵以及攻擊行為，致使網絡安全面臨著新的挑戰。

3 計算機網絡安全防范技術

3.1 防火墻技術

其主要是設置在不同網絡或者網絡安全域間的諸多部件的組合。其對網絡安全有著重要的保障，具有限制外來者進入內部訪問的功能作用，其是信息傳輸中的必經也是唯一通道，可以在相關的安全政策基礎上有效控制傳輸信息，而且，防火墻自身也有著較好的抗攻擊能力，除了可以對計算機網絡安全策略進一步強化外，還有效的保護了暴露的用戶點，同時，實時監控和審計網絡存取訪問情況，對內部信息的安全予以了保障，避免外漏。由于防火墻技術具有眾多的優勢，所以，在提升計算機網絡安全中是一項不得缺少的有力工具。

3.2 數據加密技術

為了對所有使用者的信息提供安全保障，應在他們傳輸部分較為敏感的信息過程中實施信息加密，然后進行傳送。數據加密技術為使用者網絡安全提供了保證，其主要作用是防止網絡上傳輸的信息數據被黑客非法篡改或者盜取，降低破壞率?，F階段，共有對稱算法與公開密鑰算法這兩種數據加密算法。前者主要指的是能夠從解密密鑰中推算出加密密鑰或者加密密鑰等同于解密密鑰。該方法的速度較快，密鑰的管理必須是極其嚴密的，密鑰的傳送途徑安全度要高。而后者則不同，除了加密密鑰和解密密鑰不相同外，同時，根本無法從加密密鑰中反推算出解密密鑰。對于公開密鑰算法的密鑰管理要求不夠嚴格，不過，加密算法具有一定的復雜性，且速度慢。在進行計算機網絡安全維護工作時，應提高網絡通信的安全率，科學合理的為網絡構建數據加密技術，以實現主動防御功能，確保網絡安全有序的運行。

3.3 系統容災技術

該技術可劃分為本地容災技術和異地容災技術；本地容災技術具體涵蓋了磁盤保護技術、磁帶數據備份技術、磁盤數據備份技術、快照數據保護技術。異地容災技術涵蓋了遠程數據容災技術、網絡容災技術、服務容災技術。

所謂遠程數據容災，指的是把本地數據在線備份到異地數據系統中進行保存，一旦發生災難，可以及時通過數據重構，以對區域性或者毀滅性的災難加以抵御，對業務數據的安全予以保障。不過，核心業務服務的短暫停頓會在所難免。網絡容災技術指的是當網絡發生各類故障時，比如因通信人為故障與客觀因素而帶來的通信事故等，依舊可以維持所接受的業務質量的能力。服務容災技術主要是在災難發生時，要及時的將生產中心中的業務全部轉移到容災中心進行運行。能夠使服務實現自動無縫轉移目的，讓廣大的網絡使用者感覺不到所提供服務的主體已經有了變化。工作過程中，可設置專門的數據復制軟件用于生產中心與災備中心服務器上，從而達到遠程復制的功能作用。生產中和災備中心這兩者間要有必要的網絡連接，以此當做數據通道。應在服務器層上新增應用遠程切換功能軟件，以形成一套切實可行、完善的應用級容災方案。

3.4 漏洞掃描與修復技術

在計算機網絡安全中，最為嚴重的隱患是系統漏洞。所以，要定期或者不定期的對計算機系統進行全面的系統掃描，從而獲悉現階段的計算機系統是否有系統漏洞的存在。若發現了系統漏洞，應第一時間加以全面的修復，防止網絡黑客等違法人員的攻擊。漏洞的修復方式有兩種，有部分漏洞系統可以自行恢復，有部分漏洞需要手工來完成修復工作。

4 結論

綜上所述可知，當前，隨著通信與信息產業的快速發展，應不斷強化計算機網絡安全技術研究工作，積極探索出更高效的計算機網絡安全防范技術，并在計算機網絡系統中廣泛應用，以規避計算機網絡安全風險的發生。確保信息交流的安全性，達到資源共享目標，為廣大的用戶提供更好的服務。計算機網絡安全防范技術有很多，由于篇幅有限，本文只對部分防范技術作了探討。

參考文獻：

[1]李曉明，付丹丹.計算機網絡攻擊分析及防范技術[J].電腦學習，2010，（6）.

[2]金曉倩.基于計算機防火墻安全屏障的網絡防范技術[J].素質教育論壇，2009，（11）.

[3]戴啟艷.影響信息系統安全的主要因素及主要防范技術[J].中國科技信息，2010，（6）.

[4]廖輝，凌捷.網絡終端安全狀況評估指標體系的研究[J].計算機工程與設計，2010，（5）.

作者簡介：朱海彤（1972-），回族，助理實驗師，研究方向為教學實驗，天津市新華職工大學，天津 300050

安全技術防范論文范文第3篇

1 網絡不安全因素

網絡的不安全因素主要有:

(1) 網絡資源的共享性。資源共享是計算機網絡應用的主要目的, 但這也為攻擊者利用共享的資源進行破壞提供了機會, 外部服務請求不可能做到完全隔離, 攻擊者利用服務請求的機會很容易獲取網絡數據包。

(2) 網絡的開放性。網絡上的任何用戶可以很方便地訪問互聯網上的信息資源, 從而很容易獲取到一個企業、單位以及個人的敏感信息。

(3) 網絡操作系統的漏洞。網絡操作系統是網絡協議和網絡服務得以實現的最終載體之一, 它不僅負責網絡硬件設備的接口封裝, 同時還提供網絡通信所需要的各種協議和服務的程序實現。由于網絡協議實現的復雜性, 決定了操作系統必然存在各種實現過程所帶來的缺陷和漏洞。而且快速的軟件升級周期, 會造成問題軟件的出現, 經常會出現操作系統存在新的攻擊漏洞。

(4) 網絡系統設計的缺陷。網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。網絡設備、網絡協議、網絡操作系統等都會直接帶來安全隱患。合理的網絡設計在節約資源的情況下, 還可以提供較好的安全性。不合理的網絡設計則會成為網絡的安全威脅。

(5) 惡意攻擊。就是人們常見的黑客攻擊及網絡病毒, 是最難防范的網絡安全威脅。網絡上廣為傳播的易用黑客和解密工具使網絡用戶輕易地獲得攻擊網絡的方法和手段, 這類攻擊也是越來越多, 影響越來越大。

2 網絡安全防御方式

計算機網絡安全從技術上來說, 主要由防病毒、防火墻、入侵檢測等多個安全組件組成, 一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要代表有:防火墻技術、數據加密技術、入侵檢測技術、防病毒技術等。下面簡單介紹一下防火墻技術和入侵檢測技術。

2.1 防火墻技術

網絡安全所說的防火墻是指處于內部網和外部網之間、由軟件或和硬件設備組合而成的安全防范系統。它使得內部網絡與因特網之間或與其它外部網絡之間互相隔離、限制網絡互訪, 用來保護內部網絡。防火墻常安裝在內部網與外部網的連接點上。所有來自外部網的信息或從內部網發出的信息都必須穿過防火墻。

2.1.1 防火墻的主要功能

防火墻的主要功能包括:

(1) 對流經它的網絡通信進行掃描, 過濾掉一些攻擊, 以免其在目標計算機上被執行。

(2) 防火墻可以關閉不使用的端口, 而且還能禁止特定端口的輸出信息。

(3) 防火墻可以禁止來自特殊站點的訪問, 從而防止來自不明入侵者的所有通信, 過濾掉不安全的服務和控制非法用戶對網絡的訪問。

(4) 防火墻可以控制網絡內部人員對特殊站點的訪問。

(5) 防火墻提供了監視網絡安全和預警的方便端點。

2.1.2 防火墻的主要優點

防火墻的主要優點包括:

(1) 可作為網絡安全策略的焦點。所有進出網絡的信息都必須通過防火墻, 將受信任的專用網與不受信任的公用網隔離開來, 將承擔風險的范圍從整個內部網絡縮小到組成防火墻系統的一臺或幾臺主機上, 從而在結構上形成一個控制中心, 極大地加強網絡安全, 并簡化網絡管理。

(2) 可以有效記錄網絡活動。由于所有傳輸的信息都會穿過防火墻。所以, 防火墻很適合收集和記錄關于系統和網絡使用的信息, 提供監視、管理與審計網絡的使用和預警功能。

2.1.3 防火墻的主要缺陷

由于網絡的開放性, 防火墻也有弱點, 使它不能完全保護網絡不受攻擊。防火墻的主要缺陷有:

(1) 防火墻對繞過它的攻擊行為無能為力。

(2) 防火墻無法防范病毒, 不能防止感染病毒的軟件或文件的傳輸, 對于病毒只能安裝反病毒軟件。

(3) 防火墻需要有特殊的較為封閉的網絡拓撲結構來支持。

2.1.4 防火墻的分類

防火墻的實現從層次上大體可分為三類:包過濾防火墻, 代理防火墻和復合型防火墻。

(1) 包過濾防火墻

包過濾防火墻是在IP層實現。它根據報文的源IP地址, 目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。它的最大優點是:對用戶來說是透明的, 即不需要用戶名和密碼來登錄。但它的弊端也是明顯的, 由于它通常沒有用戶的使用記錄, 我們不能從訪問中發現黑客的攻擊記錄, 而且它不能在用戶級別上進行過濾。如果攻擊者將自己的主機設置為一個合法主機的IP地址, 則很容易通過包過濾防火墻。

(2) 代理防火墻

代理防火墻也叫應用層網關防火墻。代理服務是設置在網絡防火墻網關上的應用, 是網管員允許或拒絕的特定應用程序或特定服務, 一般情況下可應用于特定的互聯網服務, 如超文本傳輸、遠程文件傳輸等。同時還可用于實施較強的數據流監控、過濾、記錄和報告等功能。

(3) 復合型防火墻

復合型防火墻是將數據包過濾和代理服務結合在一起使用, 從而實現網絡安全性、性能和透明度的優勢互補。

2.1.5 防火墻的部署

防火墻是網絡安全的關口設備, 只有在關鍵網絡流量通過防火墻的時候, 防火墻才能對此實行檢查、防護功能。在網絡拓撲上, 防火墻應當處在網絡的出口與不同安全等級區域的結合處。安裝防火墻的原則是:只要有惡意侵入的可能, 無論是內部網還是外部網的連接處都應安裝防火墻。

2.2 入侵檢測技術

入侵檢測技術是從各種各樣的系統和網絡資源中采集信息 (系統運行狀態、網絡流經的信息等) , 并對這些信息進行分析和判斷。通過檢測網絡系統中發生的攻擊行為或異常行為, 入侵檢測系統可以及時發現攻擊或異常行為并進行阻斷、記錄、報警等響應, 從而將攻擊行為帶來的破壞和影響降至最低。同時, 入侵檢測系統也可用于監控分析用戶和系統的行為、審計系統配置和漏洞、識別異常行為和攻擊行為 (通過異常檢測和模式匹配等技術) 、對攻擊行為或異常行為進行響應、審計和跟蹤等。

2.2.1 入侵檢測系統的分類

入侵檢測系統根據數據來源不同, 可分為基于網絡的入侵檢測系統和基于主機的入侵檢測系統。網絡型入侵檢測系統的實現方式是將某臺主機的網卡設置成混雜模式, 監聽本網段內的所有數據包并進行判斷或直接在路由設備上放置入侵檢測模塊。主機型入侵檢測系統是以系統日志、應用程序日志等作為數據源, 從所有的主機上收集信息進行分析。

入侵檢測系統根據檢測的方法不同可分為兩大類:異常和誤用。異常入侵檢測根據用戶的異常行為或對資源的異常存放來判斷是否發生了入侵事件。誤用入侵檢測通過檢查對照已有的攻擊特征、定義攻擊模式、比較用戶的活動來了解入侵。

2.2.2 目前入侵檢測系統的缺陷

入侵檢測系統作為網絡安全防護的重要手段, 目前還存在很多問題, 需要進一步完善。

(1) 高誤報率。誤報率主要存在于兩個方面:一方面是指正常請求誤認為入侵行為;另一方面是指對用戶不關心事件的報警。

(2) 缺乏主動防御功能。入侵檢測技術作為一種被動且功能有限的安全防御技術, 缺乏主動防御功能。

2.3 防火墻與入侵檢測系統的相互聯動

當實現防火墻與入侵檢測系統的相互聯動后, 在功能上可以形成互補。入侵檢測系統就不必為它所連接的鏈路轉發業務流量, 就可將大部分的系統資源用于采集報文的分析, 這正是入侵檢測系統最眩目的亮點。入侵檢測系統有足夠的時間和資源做有效防御工作。入侵檢測系統高智能的數據分析技術、詳盡的入侵知識描述庫可以提供比防火墻更為準確、更嚴格、更全面的訪問行為審查功能。在未來的網絡安全領域中, 動態技術與靜態技術的聯動將有很大的發展市場和空間。

3 結束語

網絡安全是一個復雜的系統工程, 計算機網絡的安全問題越來越受到人們的重視?？偟膩碚f, 網絡安全不僅僅是技術問題, 同時也是一個安全管理問題。我們必須綜合考慮安全因素, 制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統, 隨著計算機網絡技術的進一步發展, 網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。

參考文獻

【1】鄭成興著.網絡入侵防范的理論與實踐.北京:機械工業出版社, 2005.

【2】【美】Merike Kaeo.網絡安全性設計.北京:人民郵電出版社, 2006.

【3】陳斌.計算機網絡安全防御.成都:信息技術與網絡服務, 2006.

【4】林建平.計算機網絡安全防控策略的若干分析.山西廣播電視大學學報, 2006.11.

安全技術防范論文范文第4篇

在過去的20年中, 由于PC機的快速發展, 激發了測試、測量和自動化儀器的革命。計算機的普及帶來的發展結果, 便是虛擬儀器技術這一概念的形成。它為需要提高生產效率、準確度和性能的工程師以及科學家們提供了許多的優點。

虛擬儀器技術主要由三個部分組成。首先, 是安裝有強大應用軟件的計算機平臺或工作站;其次, 是具有高性價比的硬件部分, 比如, 插入式板卡, 或者是模塊化儀器;第三部分是被測單元也就是UUT, 或者是傳感器。所有這3部分協同工作, 構成了虛擬儀器框架, 不僅完成了傳統儀器的功能, 并且有強大的功能擴展。

所以, 虛擬儀器是以通用計算機為核心的硬件平臺上, 由用戶設計定義, 具有虛擬面板, 測試功能由測試軟件實現的一種計算機儀器系統。

二、虛擬儀器的主要特點

2.1盡可能采用了通用的硬件, 各種儀器的差異主要是軟件。

虛擬儀器技術代表著一個重要的轉變, 因為它從傳統的以硬件為中心的儀器轉變到以軟件為中心的儀器系統。它利用了普及的臺式機和工作站的計算能力、生產效率、顯示方法以及方便的連接能力。雖然PC機和集成電路技術在過去的20年中經歷了巨大的發展, 但軟件才是虛擬儀器這一強大技術中的最大優勢。

2.2可充分發揮計算機的能力, 有強大的數據處理功能, 可以創造出功能更強的儀器。

虛擬儀器本質上是基于PC機的, 自然可以利用伴隨著PC機的發展而不斷引入的先進技術, 這些技術包括強大的處理器, 如奔騰4處理器技術、操作系統技術、微軟XP技術、編程技術等等。除此之外, 這些平臺也可提供對互聯網的便利的訪問。

2.3用戶可以根據自己的需要定義和制造各種儀器。

使用虛擬儀器技術, 工程師和科學家們可以根據自己的需求, 構建用戶自定義的測量和自動化系統, 而不是受限與廠商定義的傳統儀器的功能。分立的傳統儀器, 比如示波器或者波形發生器, 往往價格昂貴, 而且它們的功能也是廠商定義的專門的功能, 用戶通常無法擴展或定制這些儀器。軟件是虛擬儀器技術的基石, 軟件的靈活性與強大的模塊化硬件方案相結合, 使得虛擬儀器技術具有強大的用戶自定義和擴展功能。

三、測試系統構成以及虛擬儀器編程介紹

3.1測試系統

本系統中, 所有傳感器數據經過處理后均通過RS232接口和上位機進行通信。其中, 接觸式電容式傳感器的數據經內部處理后已經是數字信號, 而壓力和流量傳感器的輸出信號則需要經過I/V轉換、A/D轉換成為數字信號, 再用單片機通過串口和上位機通信, 上位機系統中, 串口接收的數據經過虛擬儀器處理, 成為直觀的圖像顯示出來。所以, RS232接口的通信協議實現是本文的難點, 也是測試系統的關鍵。

3.2串口通信的實現

(1) 調用VISA Configure Serial Port:選擇Instrument I/O->Serial->VISA Configure Serial Port。

(2) 完成串口參數的設置, 包括串口資源分配、波特率、數據位:在要配制的相應口單擊鼠標右鍵, 選擇菜單上的creat, 再選擇級聯菜單里的control, 則在前面板會出現一個相應的輸入控件。

我們需要輸入控件, 但并不需要其顯示在前面板上。所以當串口資源分配、波特率、數據位創建好后, 將輸入控件隱藏掉 (Hide Control) 。

(3) 收發數據:如果初始化沒有問題, 就可以使用這個串口進行數據收發。發送數據使用VISA Write, 接收數據使用VISA Read。

下圖為數據通信框圖程序:

3.3 Lab VIEW實現數據顯示

上一節中, 我們實現了RS232通信。在這節中, 我們將設計顯示測量結果的前面板并實現測量結果在用戶界面上的顯示, 即將數據流送入到顯示控件中顯示。

下圖為用戶界面:

進入到框圖程序面板。在這個測試系統中有7個輸出量, 必須依次輸出。利用順序結構 (Sequence Structure) 實現:選擇Structures->Stacked Sequence Structure。用鼠標右鍵單擊幀的邊框, 在快捷菜單中選擇Add Frame After, 創建一個新幀。重復這個步驟6次, 共7楨。選擇每個楨進行編輯。輸出量為時間:選擇Time->Get Date/Time String, 該節點用于獲取當前時間。輸出量為其他測試量:將數據流數據送入各Tank顯示。選擇String->String Subset, 可以設置不同的偏移地址以及字節數提取數據流中所需要的測試結果 (子字符串) 。在RS232中傳輸的數據類型為字符串, 所以在送進Tank中顯示時需要轉化類型, 成為浮點數。選擇String/Number Conversion->Fract/Exp String To Number可以實現字符串向浮點數的轉化。將測試結果送入Table顯示:由于數據的顯示非常的快, 所以必須將以上程序放入到For循環里, 并且延時。在For循環外將測試結果組合成數組:選擇Array->Build Array。鼠標右鍵單擊該圖標, 在快捷菜單中選擇Add Input6次。將7個輸出量作為其輸入。其輸出倒置后送入Table顯示。將整個程序放入While循環里, 選擇Structures->While Loop。停止條件為Stop按鍵按下。經過以上步驟, 本系統基本實現了測量數據的實時顯示。此時, 系統框圖程序如下:

四、系統功能擴展

4.1誤碼統計

為了測試系統測量數據的可靠性, 在程序中加入效驗。如果效驗結果是誤碼, 則進行誤碼統計。

4.2定時開關機

加入定時開關控件, 使系統向自動化、智能化邁進。本系統在關閉情況下, 00:00、06:00、12:00、18:00自動開機, 測量數據, 一小時自動關機。

4.3生成文檔

記錄歷史數據, 可以利用Lab view中文件I/O功能函數, 生成Excel文件存檔。文件I/O是一組功能強大、伸縮性強的文件處理工具。它們不僅可以讀寫數據, 還可以移動、重命名文件與目錄。

4.4遠程監控

工控機可以實時顯示測量的結果, 為了在不同地點快速的獲得測量結果, 我們可以利用PC、PDA通過以下方式進行遠程監控:

4.5 PC訪問IP

Internet依靠TCP/IP協議, 在全球范圍內實現不同硬件結構、不同操作系統、不同網絡系統的互聯。整個Internet上的每個計算機都依靠各自唯一的IP地址來標識。

當確定好工控機的IP地址后, PC可以通過網絡來訪問其IP地址獲得實時的測量結果。

4.6 PC與工控機進行紅外通信

紅外通信——Infrared Communications Technologies, 利用紅外技術實現兩點間的近距離保密通信和信息轉發。具有保密性強紅外通訊有著成本低廉、連接方便、傳輸速率較高、簡單易用和結構緊湊的特點, 因此在小型的移動設備中獲得了廣泛的應用。通過紅外接口, 各類移動設備可以自由進行數據交換。

五、總結

通過以上研究開發, 系統不僅具備了測量潤滑油中水分子活力以及在工控機中顯示的功能, 還具有半自動化的自動開關機功能, 遠程登陸進行監控的功能, 以及生成Excel文檔進行數據存檔的功能。

目前, 在國內水分子活力的測試系統還比較少。借助著Lab VIEW這個強大而便利的平臺, 我們順利的開發出了具備這樣功能的系統。潤滑油中水分子活力測試系統采用傳感器進行前端數據采集, 經過一系列信號處理后將數據送入工控機顯示。數據傳輸采用RS232協議。整個系統實現了在空氣壓縮機里潤滑油中水分子活力測試, 以及空氣壓縮機的壓力、流量、液位等參數的測試。

參考文獻

[1]侯國屏王珅葉齊鑫.Lab VIEW7.1編程與虛擬儀器設計.清華大學出版社, 2005-02

[2]鄧焱王磊.Lab VIEW7.1測試技術與儀器應用.機械工業出版社, 2004

[3]汪敏生.Lab VIEW基礎教程.電子工業出版社, 2002-01-01.

[4]劉君華賈惠芹丁暉閻曉艷.虛擬儀器圖形化語言Lab VIEW編程.西安電子科技大學出版社, 2001-08-01

安全技術防范論文范文第5篇

1 數據鏈路層主要安全問題

1.1 ARP欺騙攻擊

ARP(Address Resolution Protocol)的功能是通過IP地址查找對應端口的MAC地址,以便在TCP/IP網絡中實現共享信道的節點之間利用MAC地址進行通信。由于ARP協議在設計中存在主動發送ARP報文的漏洞,使得主機可以發送虛假的ARP請求報文或響應報文,而報文中的源IP地址和源MAC地址均可以進行偽造。在局域網中,既可以偽造成某一臺主機(如服務器)的IP地址和MAC地址的組合,也可以偽造成網關IP地址與MAC地址的組合。這種組合可以根據攻擊者的意圖進行任意搭配,而現有的局域網卻沒有相應的機制和協議來防止這種偽造行為。近幾年來,幾乎所有局域網都遭遇過ARP欺騙攻擊的侵害。

圖1所示為假設主機C為局域網中的網關,主機D為ARP欺騙者。當局域網中的計算機要與其他網絡進行通信(如訪問Internet)時,所有發往其他網絡的數據全部發給了主機D,而主機D并非真正的網關,這樣整個網絡將無法與其他網絡進行通信。這種現象在ARP欺騙攻擊中非常普遍。

1.2 DHCP欺騙攻擊

DHCP(Dynamic Host Configuration Protocol)的功能是對客戶端動態地分配IP地址及相關參數。但DHCP卻存在著一個非常大的安全隱患:當一臺運行有DHCP客戶端程序的計算機連接到網絡中時,即使是一個沒有權限使用網絡的非法用戶也能很容易地從DHCP服務器獲得一個IP地址及網關、DNS等信息,成為網絡的合法使用者[2]。由于DHCP客戶端在獲得DHCP服務器的IP地址等信息時,系統沒有提供對合法DHCP服務器的認證,所以DHCP客戶端從首先得到DHCP響應(DHCPOFFER)的DHCP服務器處獲得IP地址等信息。為此,不管是人為的網絡攻擊、破壞,還是無意的操作,一旦在網絡中接入了一臺DHCP服務器,該DHCP服務器就可以為DHCP客戶端提供IP地址等信息的服務。其結果是:(1)客戶端從非法DHCP服務器獲得了不正確的IP地址、網關、DNS等參數,無法實現正常的網絡連接;(2)客戶端從非法DHCP服務器處獲得的IP地址與網絡中正常用戶使用的IP地址沖突,影響了網絡的正常運行。尤其當客戶端獲得的IP地址與網絡中某些重要的服務器的IP地址沖突時,整個網絡將處于混亂狀態;(3)攻擊偽造大量的DHCP請求報文,將DHCP服務器中可供分配的IP地址耗盡,使正常的用戶無法獲得IP地址。

注:(1)正常訪問;(2)進行ARP欺騙;(3)被欺騙主機更新自己的ARP緩存表;(4)被欺騙主機無法正常訪問Internet

1.3 生成樹協議攻擊

生成樹協議STP(Spanning Tree Protocol)是用于解決網絡環路問題的一種智能算法。在交換式網絡中,通過在兩個交換節點之間提供多條物理鏈路來提供線路冗余,以增加設備之間連接的可靠性。但是,當在兩個交換節點(如交換機)之間存在兩條以上的物理鏈路時將會形成環路。如果沒有相應的備份策略,環路的存在將會形成廣播風暴。輕則嚴重影響網絡的性能,重則導致網絡癱瘓。生成樹協議的實現基礎是BPDU(Bridge Protocol Data Units)報文,通過在不同交換機之間交換的BPDU報文,在網絡中選舉一臺網橋ID(Bridge ID)最低的交換機作為根網橋(Root Bridge),并將交換機上發送該BPDU報文端口ID(Port ID)的值設置為最低,交換機上端口ID值最低的端口為根端口(Root Port),根端口連接的鏈路為主鏈路。通過計算網絡中各個交換機到達根網橋的路徑開銷,選擇各交換節點到達根網橋的最優路徑,同時阻斷其他的次優路徑(即冗余鏈路),從而形成邏輯上無環路的樹形拓撲結構。

根據STP的工作原理,同一網絡中的所有交換機之間都可以通過網橋ID的值來選擇根網橋,這樣攻擊者可以在網絡中接入一臺交換機或一臺計算機,然后通過構造網橋ID最低的BPDU報文,使這臺接入的交換機或計算機成為根網橋,進而擾亂正常的網絡運行,最終導致網絡癱瘓。

1.4 MAC地址泛洪攻擊

交換機根據MAC地址來轉發數據幀,交換機端口與所連設備MAC地址的對應關系存儲在內容尋址存儲器CAM(Content Addressable Memory)表中,CAM表中還可能包含MAC地址對應的VLAN ID等參數。當交換機從某一端口接收到一個數據幀時,交換機首先從數據幀中提取源MAC地址和目的MAC地址,然后將端口與源MAC地址的對應關系記錄在CAM表中。同時,交換機查詢CAM表中是否有目的MAC地址對應的記錄,如果有,則可通過對應的端口將數據幀轉發出去,如果沒有,交換機的作用則類似于集線器,會將數據幀廣播到交換機其他所有的端口[3]。

MAC地址泛洪攻擊也稱為CAM表溢出攻擊。因為任何一臺交換機的CAM表大小是有限制的,當記錄數填滿CAM表時,凡到達交換機的具有不同源MAC地址的數據幀,其端口和MAC地址的對應關系將不會被添加在CAM表中?；诖嗽?攻擊者將大量虛構的具有不同源MAC地址的數據幀發送給交換機,直至交換機的CAM表填滿。之后,交換機將進入fail-open(失效開放)模式,其功能將類似于一臺集線器。此時,交換機接收到的任何一個單播幀都會以廣播方式處理,攻擊者的計算機將會接收到這些單播幀,從而獲得其他用戶的信息。

1.5 VLAN攻擊

虛擬局域網VLAN(Virtual Local Area Network)是在交換式局域網基礎上出現的一項管理技術,通過在數據幀的頭部添加VLAN tag(VLAN標識)字段,將局域網用戶設備邏輯地劃分為多個網段,以縮小廣播域,提高用戶通信的安全性及網絡的可管理性。VLAN在局域網中一般被作為一項安全技術使用,但VLAN本身卻存在安全隱患。目前針對VLAN的攻擊主要集中在VLAN Hopping攻擊和VTP攻擊兩個方面。

(1)VLAN Hopping攻擊。VLAN Hopping(VLAN跳躍)攻擊是基于動態主干協議DTP(Dynamic Trunk Protocol)來實現的。當兩臺交換機互聯時,通過DTP可以對互聯端口進行協商,確認是否設置為支持IEEE 802.1Q的主干(trunk)端口。如果設置為主干端口,則允許轉發所有VLAN中的數據幀。VLAN Hopping攻擊又分為基本VLAN Hopping攻擊和雙重封裝VLAN跳躍攻擊兩類。(1)基本VLAN Hopping攻擊是攻擊者將計算機偽裝成為一臺交換機,并發送虛假的DTP協商報文,請求成為主干端口。局域網中交換機在收到這個DTP報文后,便啟用基于IEEE 802.1Q的Trunk功能,將攻擊者的計算機誤認為一臺合法的交換機。之后,所有VLAN的數據幀都會發送到攻擊者的計算機上。(2)雙重封裝VLAN跳躍攻擊是指利用目前大部分局域網交換機僅支持單層VLAN tag的特點,攻擊者根據要入侵的VLAN ID,首先構造一個包含該VLAN ID的IEEE 802.1Q數據幀,然后在該IEEE 802.1Q數據幀的外層再封裝一層適合當前網絡的VLAN tag,從而通過外層VLAN ID實現對非授權VLAN ID的非法訪問,以獲取非授權VLAN ID中的用戶數據。

(2)VTP攻擊。VTP(VLAN Trunk Protocol)以組播方式在同一個管理域中同步VLAN信息,從而實現對管理域中VLAN信息的集中管理。VTP報文只能在trunk端口上轉發。VTP的三種工作模式及對應的功能如下:

(1)Server(缺省)?？梢蕴砑?、刪除、修改VLAN,并同步VLAN信息。VLAN信息存放在NVRAM中。

(2)Client。不允許添加、刪除、修改VLAN,但會同步VLAN信息。VLAN信息不存放在NVRAM中,斷電后會自動消失。

(3)Transparent?？梢蕴砑?、刪除、修改VLAN,但不同步VLAN信息。VLAN信息存放在NVRAM中。

使用VTP的主要目的是實現對局域網中VLAN信息的集中管理,以減少網絡管理員的工作量。但攻擊者可以接入一臺交換機或直接使用一臺計算機,并與上聯交換機之間建立一條主干(trunk)通道后,通過修改自己的修訂號(Configuration Revision)來擁有Server的權限,進而對局域網的VLAN架構進行任意更改,以獲得所需要的信息或擾亂網絡的正常運行。

2 數據鏈路層安全防范方法

2.1 針對ARP欺騙攻擊的防范方法

ARP緩存表中的記錄既可以是動態的,也可以是靜態的。如果ARP緩存表中的記錄是動態的,則可以通過老化機制減少ARP緩存表的長度并加快查詢速度;靜態ARP緩存表中的記錄是永久性的,用戶可以使用TCP/IP工具來創建和修改,如Windows操作系統自帶的ARP工具。對于計算機來說,可以通過綁定網關等重要設備的IP與MAC地址記錄來防止ARP欺騙攻擊。在交換機上防范ARP欺騙攻擊的方法與在計算機上基本相同,可以將下連設備的MAC地址與交換機端口進行綁定,并通過端口安全功能(Port Security feature)對違背規則的主機(攻擊者)進行相應的處理。通過Cisco交換機可以在DHCP Snooping綁定表的基礎上,使用DAI(Dynamic ARP Inspection)技術來檢測ARP請求,攔截非法的ARP報文,具體配置如下:

Switch(config)#ip arp inspection vlan 20-30,100-110,315(定義ARP檢測的VLAN范圍,該范圍根據DHCPsnooping binding表做判斷)

Switch(config-if)#ip arp inspection limit rate 30(限制端口每秒轉發ARP報文的數量為30)

2.2 針對DHCP欺騙攻擊的防范方法

對于DHCP欺騙攻擊的防洪可以采用兩種方法。

(1)采用DHCP Snooping過濾來自網絡中非法DHCP服務器或其他設備的非信任DHCP響應報文。在交換機上,當某一端口設置為非信任端口時,可以限制客戶端特定的IP地址、MAC地址或VLAN ID等報文通過。為此,可以使用DHCP Snooping特性中的可信任端口來防止用戶私置DHCP服務器或DHCP代理[4]。一旦將交換機的某一端口設置為指向正確DHCP服務器的接入端口,則交換機會自動丟失從其他端口上接收到的DHCP響應報文。例如,在Cisco交換機上通過以下命令將指定端口設置為信任端口:

Switch(config-if)#ip dhcp snooping trust(定義該端口為DHCP信任端口)

Switch(config)#ip dhcp snooping(啟用DHCP snooping功能)

Switch(config)#ip dhcp snooping vlan 20-30,100-110,315(定義DHCP snooping作用的VLAN)

(2)通過DHCP服務器(如基于Windows 2003/2008操作系統的DHCP服務器)綁定IP與MAC地址,實現對指定計算機IP地址的安全分配。

2.3 針對生成樹協議攻擊的防范方法

對于STP攻擊可以采取STP環路保護機制來防范。為了防止客戶端交換機偶然成為根網橋,在Cisco交換機中可以使用Root Guard特性來避免這種現象的發生[5]。如圖2所示,如果STP偶然選擇出客戶端交換機(交換機D)成為根網橋,即交換機C與交換機D相連接的端口成為根端口(Root Port),則Root Guard特性自動將交換機C與交換機D相連接的端口設置為root-inconsistent狀態(根阻塞狀態),以防止客戶端交換機D成為根網橋。一旦在交換機中配置了Root Guard特性,其將對所有的VLAN都有效。

在Cicsco交換機中配置Root Guard特性的命令如下:Switch(config-if)#spanning-tree guard root

2.4 針對MAC地址泛洪攻擊的防范方法

針對MAC地址泛洪攻擊,可以采取以下多種方法進行防范:

(1)限制未知目的MAC地址的組播(multicast)幀和單播(unicast)幀通過本端口進行轉發。在Cisco交換機的配置如下:

(2)限制端口學習到的最大MAC地址數量。以下配置中將該端口最大能夠學習到的MAC地址數限制為10:

(3)限制端口單位時間(一般為每秒)通過的最大數據幀數量,可以分別針對單播幀、組播幀和廣播幀進行設置。以下配置中將該端口每秒通過的單播幀、組播幀和廣播幀的數量分別限制為10:

當通過以上方式對交換機的端口進行限制后,對于違背安全規則的端口,交換機將自動采取protect(丟棄非法流量,不報警)、restrict(丟棄非法流量,報警)、shutdown(關閉端口)和shutdown vlan(關閉VLAN)等安全保護方式。

2.5 針對VLAN攻擊的防范方法

(1)針對基本VLAN Hopping攻擊,最有效的解決方法是關閉交換機的DTP功能,將交換機之間的互聯端口手動設置為Trunk即可。在Cisco交換機上將某一端口設置為Trunk的配置如下:

Switch(config-if)#switchport(設置為二層端口)

Switch(config-if)#switchport trunk encapsulation dot1q(啟用IEEE 802.1Q)

Switch(config-if)#switchport mode trunk(設置該端口為trunk)或

Switch(config-if)#switchport mode dynamic desirable(使該端口既主動發送DTP報文,也允許對DTP報文進行響應,這是以太網端口的默認狀態)

關閉交換機上DTP功能的配置如下:

Switch(config-if)#switchport mode access(設置為訪問端口,不具有DTP功能)或

Switch(config-if)#switchport mode dynamic auto(使該端口可以響應DTP報文,但不允許主動發送DTP報文)

針對雙重封裝VLAN Hopping攻擊,目前最有效的解決辦法是為trunk端口單獨設置一個native VLAN,且在native VLAN中不加入任何用戶的端口。配置方法如下:

(2)由于實現VTP攻擊的前提是攻擊者與上聯交換機之間要建立一條主干(trunk)通道,所以可以采取與防范基本VLAN Hopping攻擊相同的方法來解決這一問題。另外,可以為VTP域設置密碼,當域中要加入新的交換機時必須輸入正確的密碼,通過對VTP域密碼的管理便可以防范VTP攻擊。在Cisco交換機中的配置實例如下:

Switch(config)#vtp mode server(將VTP的工作模式設置為Server)

Switch(config)#vtp domain VTP-JSPI(設置VTP的域名為VTP-JSPI)

Switch(config)#vtp pruning(設置VTP修剪,以減少trunk端口上不必要的流量)

Switch(config)#vtp version 2(設置VTP的版本號為2)

Switch(config)#vtp password cisco-jspi(將VTP域的密碼設置為cisco-jspi)

需要說明的是:VTP域中的所有交換機必須設置相同的密碼,否則無法正確工作。另外,VTP的域密碼是以明文方式在網絡中傳輸,安全性較差。

在OSI參考模型中,局域網僅涉及到物理層和數據鏈路層,以上各層的功能由局域網操作系統來完成。在網絡體系結構中,越是低層的安全問題所產生的影響也越大,而且越不容易徹底解決。正因為如此,當ARP、DHCP、VLAN、STP等主要針對數據鏈路層協議的攻擊出現時,一般借助于對交換機等數據鏈路層設備的安全管理來解決。針對局域網應用和管理實際,本文僅對數據鏈路層的主要安全問題進行了分析,并給出了Cisco交換機上的配置方法,其他品牌交換機的配置讀者可參閱相關的技術文檔。隨著網絡應用不斷深入,新的安全問題也將不斷出現,針對數據鏈路層的安全研究也將是一項長期的工作。

參考文獻

[1]TANENBAUM A S.Computer networks fourth edition(影印版)[M].北京:清華大學出版,2008.

[2]任鳳姣,王洪,賈卓生.DHCP安全系統[J].計算機工程,2004,17(9):127-129.

[3]王群.計算機網絡安全技術[M].北京:清華大學出版,2008.

[4]PATRICK M.Motorola BCS.DHCP relay agent informa-tion option[EB/OL].http://www.rfc-editor.org/rfc/rfc3046.txt,January 2001.