网络技术方案范文

导语：如何才能写好一篇网络技术方案，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

【关键词】密集型光波复用;光传送网;智能光网络;演进方案

1.引言

随着Internet的迅速崛起，城域网中IP数据业务量日益增多，宽带城域网必须满足对各种不同类型的IP业务的承载，这使得以满足语音业务而设计的传统光传送网显得力不从心。DWDM的出现使光网络发展有了质的飞跃，DWDM利用现有的光缆资源，提高了通信的容量，使光传送网具有极强的可扩容性，可以直接承载大颗粒业务，从而简化了网络结构，但受技术本身的限制，IP over DWDM只是光网络发展的一个过渡形式。OTN技术又一次为传输网的发展带来了新的机遇，OTN的组网能力较强，不仅可提供与DWDM同样的大容量带宽，还可以为光网络提供灵活的管理维护功能，但是OTN也有自身的缺陷，主要有因手动配置业务而导致出错率较高，资源利用率较低和网管系统复杂等问题。在这种情况下，智能光网络技术（ASON）的概念被提出并被广泛关注。

2.光纤通信的发展

自从20世纪70年代光纤通信系统在美国实验室不断实验到最后现场实验成功以来，光纤通信显示出了其功能的优越性和强大的竞争力，而且光纤取代了电缆，光纤作为一种优质的传输介质，它具有高带宽、低损耗的特点，这种优势使得光纤在网络中物理传输层的作用不可小觑[4]。

通信技术的飞速发展对光纤通信系统的利用更是起了推动作用，由于光纤通信具有的一系列特点，使得光网络被全世界各家运营商广泛应用。光纤通信已经经历了多次的更新换代，从准同步数字体系PDH发展到同步数字体系SDH，又从SDH发展到密集型波分复用DWDM，由点对点的DWDM发展成光传送网OTN，现在又向新一代的智能光网络构建。这样，提高网络资源利用率、提高网络可靠性、提高网络升级扩容能力、降低建设和维护成本、提供了多厂商环境下端到端电路配置。

3.DWDM与的OTN技术的应用探讨

对于业务IP化和大颗粒化，SDH的地位在传送网中的地位逐渐下降。采用DWDM对业务直接承载，可达到简化网络结构，增大传输容量，降低建设成本，可达到简化网络结构，但受技术本身限制，DWDM目前主要提供点对点的大容量带宽，组网能力较弱。光传送网OTN的提出，最初的设想是，它需要满足超大容量传输的需求，经营性和可管理性较好，具有路由选择功能和信令传送功能，这就要求OTN能够兼顾SDH和DWDM的优点。也正因为这样，OTN会替代DWDM技术，成为骨干层的核心组网技术。

3.1 DWDM技术应用的意义

近几年Internet发展迅速，IP数据业务在宽带城域网中占据的比重越来越多，这就要求高效率地传送IP数据，简化网络层次，这样才能满足宽带城域网对多种不同的IP数据业务的承载和优化。DWDM技术在最底层的综合传送平台中显得至关重要，因为无论上层技术如果升级演变，都需要将网络机制和控制管理功能转移至一个独立的光网络层。这就是DWDM技术存在的意义。

密集波分DWDM是简单成熟、全面灵活，高性价比地获得了超大容量传输的技术，能够节省光纤资源及建网投资，与掺饵光纤放大器EDFA联合组网可满足超长距离传输，在现有的光纤资源的基础上，建立容量充足、速率快、质量好、效率高的传送平台有着重要的应用意义。

3.2 OTN技术应用的特点

大颗粒宽带业务的快速发展，OTN则成为了满足大颗粒业务承载需求的光传送网，现阶段，重点在城域传输网中骨干层节点间的GE、10GE、2.5G、10GPOS等大颗粒业务传递中布置相应的OTN设备。当城域网不同区域之间或接入长途网络的的大颗粒业务达到一定数量个规模时，而且具有保护恢复、汇聚等功能需求时，可在城域网核心层或者是汇聚层设置OTN网络，OTN网络可以作为IP、SDH等上层网络的承载网络，当网络中存在大颗粒业务的子波长中继电路需求时，可以运用OTN网络对其进行调度和保护。

现阶段，各运行商多将PTN设备投入在3G通信业务，而数据业务逐年增多，每个基站的电路需求从之前的几兆达到近40M，在通信行业后续的发展和网络演进中，每个基站的电路需求预期会达到甚至超过100M才能满足LTE的部署。可见，大颗粒级别的带宽要求是今后网络需求的趋势，而汇聚层采用OTN设备、接入层采用PTN设备的组网模式，可以满足带宽需求的同时，还因OTN设备与PTN环路的GE接口直连使组网变得更加灵活，节省了光线资源，提高了资源的利用率。

4.智能光网络技术的演进及应用

4.1 智能光网络技术产生的背景

数据业务的传送方式是以分组域交换技术为基础的，它的最大特点是突发性与不可预见性，其传送方式要求根据业务类型，弹性地调配、调度资源，越来越重视快速实现节点到节点的链接。因此，现今IP业务井喷式的发展使传输承载网面临了许多新的问题，其中最主要的问题在于，传统的传输承载网很难实现，自动地根据用户发出的请求为其调配资源并迅速实现节点对节点的连接，从而满足弹性的资源调配与管理。为了解决这一问题，结合了光传送网技术和分组交换技术的新一代光网络即智能光网络ASON耀世而出了。

4.2 智能光网络技术的体系结构

ASON主要由控制平面、传送平面、管理平面与数据通信网组成，与一般传送网相比的最重要的区别是，ASON系统中增加了一个专门的控制平面CP，控制平面负责控制，与传送平面TP完成信息的传送，管理平面MP负责管理，数据通信网DCN为上述三个平面的内部以及它们之间的控制信息、管理信息提供通信通路。

4.3 智能光网络的关键技术

4.3.1 控制平面技术

与传统的光传送网相比，控制平面主要是使用了路由、信令与链路管理技术。路由技术的主要作用是在全网范围内为端到端连接计算、选择合适的路径;信令技术是控制平面对自动呼叫与连接采用分布式的控制与管理方式DCM，即对跨域的呼叫与连接分别由各控制域与相关区域负责对本域的呼叫与连接进行控制与管理;链路管理技术的主要作用是管理网络的拓扑与链路资源，包括子网点组SNPP链路连接的分配与去分配，提供网络拓扑信息与链路状态信息等。

4.3.2 传送平面技术

传送平面由作为交换实体的传送网网元（NE）组成，主要完成连接建立/删除、交换（选路）和传送等功能，为用户提供从一个端点到另一端点的双向或单向信息传送，同时，还要传送一些控制和网络管理信息。

4.3.3 管理平面技术

管理平面对控制平面和传送平面进行管理，在提供对光传送网及网元设备的管理的同时，实现网络操作系统与网元之间更加高效的通信功能。

4.4 智能光网络的建设思路

4.4.1 加大光缆建设力度，提高光缆纤芯的利用率，增加各节点的连接方向;ASON要充分发挥其的优势，就要贯彻采网状网的建设思路，就一定要在业务流向集中的节点（核心、汇聚节点）之间铺设物理层面的直达光缆，为构建网状网系统奠定物理基础。

4.4.2 充分考虑智能光网络的引进对设备的要求，在传统的光传送网上，原有的设备替换新的ASON网络的设备，要保证原有的业务能够正常运行。且新的设备符合主流的信令和和协议标准，要求各厂商对UNI、E-NNI、I-NNI标准的支持。

4.4.3 ASON网络的建设一段时期内，原有的光传送网还在运行中，两个网络同时对业务进行承载，考虑到ASON的建设初期，运营经验不足，对该技术有一个了解适应的过程，建网需要对该网的功能进行测试和分析。

4.5 智能光网络的演进策略

4.5.1 向网状网演进

环网的拓扑结构比较简单，需要的链路数较少，而且设备比较简单，不同环上节点之间的业务调度和保护比较难以实现，只能做到单点保护倒换。网状网中，多个节点之间互相连接，避免了节点瓶颈和节点失效的影响，节点之间路由的选择有多条，及时多个节点出现故障也不至于保护失效，降低了端对端的电路调度的操作难度，适用于业务种类多且业务量大的地区。网状网中，其功能实现了恢复机重路由机制，只要有资源就不会中断业务。所以，光传送网向ASON演进，首先加大光缆建设，将环状网组成网状网。

4.5.2 ASON引入对设备改造要求

对于传送平面的ASON的网元应是具有多种交换功能的设备，可以在不同层面上支持不同类型的交换，它是组成ASON网络中传送平面的光节点的设备，构成核心交叉矩阵，主要实现光电光方式，使得光交叉能力和电交叉能力进行组合。

对于控制平面来说，控制平面是ASON的核心，它利用路由技术、信令技术与链路管理技术来控制，其控制功能通过软件协议实施，在控制层面的接口方面，UNI接口功能支持程度较好，但其市场应用模式还不明朗，缺乏实际应用需求。系统对E-NNI接口已经开始支持，国内外都进行过互通测试，可以实现跨域连接操作，但是域间路由、保护恢复等方面还有待进一步标准化。

对于管理平面，其设备要求就是实现通过NMI接口进行信息交互。

5.结束语

智能光网络是由传统的OTN演进而来，其设备可以很好的融入到现有的传输网络中，并逐步向智能全光网络发展[48]。智能光网络不仅能为运营商提供了端到端的自动配置功能，还使得网络资源得到了优化的配置，从而使光网络的结构与管理变得更加简单，减少了操作的复杂性，缩短了业务层的扩容时间，智能光网络是一种先进的传输网技术，是未来光传送网的发展方向。虽然ASON网络是新一代光传送网，具有强大的生命力，但是它也有急需关注的问题，其一：相关标准还不完善;其二：E-NNI、UNI接口不稳定，使它与SDH系统、PTN系统和PON网络的互通仍有问题;其三：保护倒换的时间不适合对恢复时间要求很高的业务。可以设想，随着上述问题的解决，在TD-LTE全面商用的明天，ASON也将迎来发展的高峰期。

参考文献

[1]张燕宁.智能自动交换光网络的演进[J].世界电信， 2001，5.

[2]王建明.智能光网络及其应用研究[J].技术应用， 2010，9.

[3]刘康健.ASON的引入策略和演进方案[J].电信快报，2006，6.

作者简介：

篇2

[关键词] 高职 网络 培养 方案 职业岗位 典型工作任务

引 言

基于典型工作任务的计算机网络人才培养模式是很多职业教育者研究的一个课题，旨在依托行业企业，校企共同研究人才培养模式，培养适应市场需求的高技能性网络人才。因此高职院校如何在国家高职教育的指导思想下，结合当地经济发展情况，教育水平，人才需求结构，就业状况等培养出与时俱进的高素质网络技能人才是网络专业的核心，同时也是高职院校必须面对的新挑战。合理、科学的计算机网络人才培养方案就显的尤为重要，它是我们培养网络技术人才，组织教学的依据。

设计背景

1.网络人才遍布在各行各业，就业面广、社会需求量大

信息化已成为当今世界各国经济与社会发展的重要手段，计算机网络已经成为信息社会的运行平台和实施载体。在社会生产与人类生活中，网络应用的全面延伸促进了计算机网络技术的全面发展。各行各业和人民生活的各个角落都会需要计算机网络技术方面的人才。

近几年许多高职院校在原计算机应用专业的基础上，发展成为设置独立的计算机网络技术专业，汉中、安康、商洛等市的高职院校80% 开设有计算机网络技术专业。但计算机网络技术专业存在诸多共性问题：定位不准，受师资、实训条件限制，培养的人才知识滞后，职业技能不强，岗位适应能力差。相对网络技术的快速发展和广泛应用,技术应用和技术管理人才培养工作相对滞后。随着网络技术的发展，网络管理、网络安全、网络维护、网页制作、网络资源开发等方面的人才缺口巨大。

2.区域经济的发展战略，网络技术是电子信息产业发展的支撑环境

国家实施西部大开发战略的总体目标是：西部地区综合经济实力上一个大台阶，基础设施更加完善，现代产业体系基本形成，建成国家重要的能源基地、资源深加工基地、装备制造业基地和战略性新兴产业基地；发展目标中提到，要做强、做大电子信息，新型能源和航空航天等优势产业，提高现代制造业综合竞争力。建设国家一流的电子信息产业基地；西部大开发以及电子信息产业的发展更加需要计算机网络技术的支撑环境，必然对计算机网络技术人才有大量的需求。

3.本地区对计算机网络高技能人才的规格要求和专业定位

随着科技的发展，单一掌握某一专业的人才未必能够在市场上立足，掌握计算机网络所涉及的软、硬件知识，具备计算机网络规划、设计能力；网络设备的安装、操作、测试和维护能力；网络管理信息系统的操作能力；快速跟踪网络新技术的能力，能真正把基础理论知识与网络实践能力合二为一的网络建设、 操作等技术型人才和管理人才才是社会需要的“紧俏商品”。而计算机网络技术专业的特点正是培养此类人才。

通过调研汉中市及周边地区的典型企业，对计算机网络技术人才的岗位需求进行专业定位。其中主要走访调研了以汉中四通公司为代表的信息产业；以汉中移动、联通公司为代表的通信运营业；以及汉中钢铁厂代表的制造业、政府机关和服务业等。这些行业对网络搭建、网络管理和网络应用等高素质技能性人才提出了岗位要求。

设计过程

通过行业企业市场调查等方式，确定人才培养目标；召开专家工人访谈会，确定典型工作任务；邀请企业专家参与，共同确定学习领域课程；召开专业指导委员会会议，校企共同制定专业人才培养方案。通过企业调研分析，按照社会对高技能人才的需求，计算机网络技术专业高素质技能人才的培养目标定位在：“建网”、“管网”、和“用网”。

参考《普通高等学校高职高专教育指导性专业目录专业简介》，参照国家职业标准、行业标准和企业用人单位的岗位标准要求，确定了计算机网络技术专业所主要面向的职业岗位：网络安全、信息对抗、网络工程、网络管理、IT产品营销、数据库设计开发、网站建设等。

1.依托行业企业，校企共同研究人才培养模式

根据企业岗位需求的统计，网络及安全管理员是大多数企事业单位普遍需要的职业岗位。校企合作，共同研究工学结合的以典型工作任务为主线的“证书性学习、生产性实训、顶岗性实习”的三阶段人才培养模式。

第一阶段“证书性学习”是指三年制的第一年的学习模式和学习目标主要是围绕考取职业证书安排教学。主要取得劳动部的职业资格证书，如：计算机组装与维护（建网基础）、网络管理员（管网基础）、网页设计与制作（用网基础）。以达到基本职业素质和计算机网络技术专业的入门水平，课程目标与学习目标以取得职业资格证书为标准。

第二阶段“生产性实训”是指三年制的第二年的学习模式和学习目标主要是在校内工厂化实训基地以“典型工程项目”安排教学。以达到计算机网络技术专业的较高水平。

第三阶段“顶岗性实习”是指三年制的第三年的学习模式和学习目标主要是在校内、外的企业顶岗工作。以达到专业应具备的企业经验和综合素质。在校内安排企业真实性的专业综合实训，在校外以实训基地为主，有计划地安排顶岗实习。

2.在课程开发方式上，探索建立“教师科研下企业，工程项目进课堂，师徒方式传技能，学生学习如上岗”的模式

产学研结合、校企互动，由学校教师和企业专家共同开发优质核心课程，突出课程的实践性、开放性和职业性，根据企业要求和技术发展变化及时更新教学内容，使学生获得的知识、技能真正满足职业岗位的要求。强化学生创新能力的培养，提高学生适应能力。生产一线的高技能人才必须具备良好的创新能力。

召开校企合作专业指导委员会会议，根据前阶段的工作分析和成果，共同讨论和初步确定了2010级计算机网络技术专业人才培养方案框架体系。

人才培养方案设计框架体系

1.确定职业岗位

计算机科学与技术系以计算机网络技术专业为试点，以工作过程为导向，以职业能力为核心，以体现工学结合为特点，以职业分析和典型工作任务为课程设计基础，以真实工作任务为载体。校企合作，确定其面向的职业和职业岗位，初步提出培养目标。

2.典型工作任务设计

典型工作任务指职业活动中具有代表性的职业行动，并能反映该职业本质特征的工作过程，它反映了该职业的典型工作内容和形式，应包括完成一项任务的计划、实施和评估等完整的过程。在该步骤中，确定该职业的典型工作任务，以便对该职业进行准确地分析，并以此为基础进行课程开发。再根据三级能力的培养思路和职业养成规律，由浅入深安排学习内容，并由企业实际工作提炼出小型企业级局域网组建、网络工程测试与验收、网络设备的安装与调试等16个典型工作任务。

3.基于工作过程的课程设计方案

职业教育的学习领域课程是工作过程导向的课程方案。是一个由职业能力描述的学习目标、工作任务描述的学习内容和实践理论综合的学习时间三部分构成的学习单元。它是根据专业对应工作岗位及岗位群实施典型工作任务分析归纳到行动领域，根据认知及职业成长规律递进重构行动领域转换为学习领域(即：课程)，再根据完整思维及职业特征分解学习领域为主题学习单元即进行学习情境的设计，学习领域表现形式是由若干个学习情境构成，因此设计学习情境将是课程改革的核心和难点。学习领域设置的原则：一是每一学习领域都是完整的工作过程；二是各学习领域排序要遵循职业成长规律；三是各学习领域排序要符合学习认知规律，所有学习领域组成生产或经营过程。

根据专业对应工作岗位及岗位群实施典型工作任务分析归纳到行动领域，根据认知及职业成长规律递进重构行动领域转换为学习领域(即：课程)，再根据完整思维及职业特征分解学习领域为主题学习单元即进行学习情境的设计，学习领域表现形式是由若干个学习情境构成。我们对计算机网络技术专业高素质技能人才的培养目标定位为：“建网”、“管网”、“用网”。

4.课程体系结构

典型工作任务的实施是有严格的条件限制的，需要有成熟的课程载体、规范的工作岗位或实训中心，熟练的指导教师等条件的支撑。就我们目前的教学环境来说，尚不具备这样的条件。所以我们提出“平台+学习领域课程”的构想，兼容当前的教育环境和教学条件，保证学生多元发展和可持续发展的能力，在第一学年奠定一个基础和平台，从第三学期开始采用纯粹的典型工作任务模式的构想。

5.教学计划设计

完成了上述步骤之后，编制教学计划表，课程开设顺序与周课时安排可根据实际情况自行确定。当专业的学习领域与学习情境的幅度大时，或因校企合作、工学结合需要，按常规教学周无法很好实现教学目标时，可对3年6学期制进行变革。

计算机网络技术专业核心课程实施方案

学生在校学习期间所学的教学计划开出的课程，在能力考核上实施“以认证代考试”、“以竞赛代考试”、企业实践考核与学校考核相结合等方式；在课程考核上采用“开卷+闭卷”、“笔试+口试”、“实际操作+答辩”、社会调研报告、企业实践与学校考核相结合等形式，以提高学生综合能力，考核成绩逐期载入学生学业成绩登记表，毕业时归入本人档案具体归结为：通过两种方法来考核，一是教考分离，通过国际、国内认证考试，二是形成性考核。

教学条件配置

1.师资要求

师资队伍是保证人才培养质量的首要条件，因此实施本人才培养方案对教师的数量和素质有一定的要求。

（1）具备本专业或相近专业大学本科以上学历。

（2）从事实践教学的主讲教师要具备计算机网络规划设计、建设施工、管理、应用开发和信息安全专业中级以上的IT认证资格证书或工程师资格。

（3）信息系统工程工作过程的每一个环节，专业至少有一名教师有实际工程经验，能够带领学生完成实际项目，若能请企业兼职教师承担则更好。

（4）教师“双师”素质的比例要达到80%以上。

（5）专任教师与学生比例1:25左右，校外实训基地指导学生实训实习的企业兼职教师的比例不低于80%。

2.教学设备配置

（1）校内实训室

支撑实践教学计划所需校内实训基地的基本要求包括“网络集成实训室”和“网络工程实训室”，辅以2个普通多媒体机房，可以满足每届招生1个标准班（40人）的实训基本要求。出于安全等原因，企业网络的生产环境不会轻易让学生使用，校内实训环境应尽量扩大规模和覆盖面，以保障实训需要。条件许可时，应跟随技术发展，增加安全、无线、IP语音、网络存储等实训环境，尽量贴近实际工作环境。

（2）校外实训基地

校外实训基地包括从事系统集成、信息安全、网络管理与维护等领域的企业和事业单位的网络信息中心。最需要真实网络环境开展“网络管理与维护”实训实习却很难在企业进行，“综合布线技术与施工”须借助网络工程类企业开展实训实习。由于行业的特殊性，除从事网络工程和应用开发的少部分企业能一次接纳多人外，一般企业接收的学生数目也就1到2个，且不会每年接纳，因此校外实训基地最好能够达到每个标准班级（40人）4个以上，并尽可能多。

总 结

计算机网络人才的培养是一个系统工程，专业建设和教学改革需要先进的思想指导，更需要科学合理的方法，需校企合作，走工学合作之路，同时要结合当地经济发展水平和教育水平，制定出切实可行的计算机网络人才培养方案。

参考资料：

[1]普通高等学校高职高专教育指导性专业目录课题组.普通高等学校高职高专教育指导性专业目录专业简介[M].中国高职高专教育网，2005，2.

[2]欧盟Asia-Link项目“关于课程开发的课程设计”课题组.职业教育与培训学习领域课程开发手册[M].北京：高等教育出版社，2007.

篇3

随着计算机技术和互联网技术的不断发展，网络技术已经被广泛应用于企业管理中。电子信息时代的网路安全技术是保证企业信息安全的坚强后盾，本文就网络安全技术在企业中的应用做出研究，总结网络安全问题的解决方案。

【关键词】网络安全技术 解决方案 企业网络安全

网络由于其系统方面漏洞导致的安全问题是企业的一大困扰，如何消除办企业网络的安全隐患成为企业管理中的的一大难题。各种网络安全技术的出现为企业的网络信息安全带来重要保障，为企业的发展奠定坚实的基础。

1 网络安全技术

1.1 防火墙技术

防火墙技术主要作用是实现了网络之间访问的有效控制，对外部不明身份的对象采取隔离的方式禁止其进入企业内部网络，从而实现对企业信息的保护。

如果将公司比作人，公司防盗系统就如同人的皮肤一样，是阻挡外部异物的第一道屏障，其他一切防盗系统都是建立在防火墙的基础上。现在最常用也最管用的防盗系统就是防火墙，防火墙又可以细分为服务防火墙和包过滤技术防火墙。服务防火墙的作用一般是在双方进行电子商务交易时，作为中间人的角色，履行监督职责。包过滤技术防火墙就像是一个筛子，会选择性的让数据信息通过或隔离。

1.2 加密技术

加密技术是企业常用保护数据信息的一种便捷技术，主要是利用一些加密程序对企业一些重要的数据进行保护，避免被不法分子盗取利用。常用的加密方法主要有数据加密方法以及基于公钥的加密算法。数据加密方法主要是对重要的数据通过一定的规律进行变换，改变其原有特征，让外部人员无法直接观察其本质含义，这种加密技术具有简便性和有效性，但是存在一定的风险，一旦加密规律被别人知道后就很容易将其破解。基于公钥的加密算法指的是由对应的一对唯一性密钥（即公开密钥和私有密钥）组成的加密方法。这种加密方法具有较强的隐蔽性，外部人员如果想得到数据信息只有得到相关的只有得到唯一的私有密匙，因此具有较强的保密性。

1.3 身份鉴定技术

身份鉴定技术就是根据具体的特征对个人进行识别，根据识别的结果来判断识别对象是否符合具体条件，再由系统判断是否对来人开放权限。这种方式对于冒名顶替者十分有效，比如指纹或者后虹膜， 一般情况下只有本人才有权限进行某些专属操作，也难以被模拟，安全性能比较可靠。这样的技术一般应用在企业高度机密信息的保密过程中，具有较强的实用性。

2 企业网络安全体系解决方案

2.1 控制网络访问

对网络访问的控制是保障企业网络安全的重要手段，通过设置各种权限避免企业信息外流，保证企业在激烈的市场竞争中具有一定的竞争力。企业的网络设置按照面向对象的方式进行设置，针对个体对象按照网络协议进行访问权限设置，将网络进行细分，根据不同的功能对企业内部的工作人员进行权限管理。企业办公人员需要使用到的功能给予开通，其他与其工作不相关的内容即取消其访问权限。另外对于一些重要信息设置写保护或读保护，从根本上保障企业机密信息的安全。另外对网络的访问控制可以分时段进行，例如某文件只可以在相应日期的一段时间内打开。

企业网络设计过程中应该考虑到网络安全问题，因此在实际设计过程中应该对各种网络设备、网络系统等进行安全管理，例如对各种设备的接口以及设备间的信息传送方式进行科学管理，在保证其基本功能的基础上消除其他功能，利用当前安全性较高的网络系统，消除网络安全的脆弱性。

企业经营过程中由于业务需求常需要通过远端连线设备连接企业内部网络，远程连接过程中脆弱的网络系统极容易成为别人攻击的对象，因此在企业网络系统中应该加入安全性能较高的远程访问设备，提高远程网络访问的安全性。同时对网络系统重新设置，对登入身份信息进行加密处理，保证企业内部人员在操作过程中信息不被外人窃取，在数据传输过程中通过相应的网络技术对传输的数据审核，避免信息通过其他渠道外泄，提高信息传输的安全性。

2.2 网络的安全传输

电子商务时代的供应链建立在网络技术的基础上，供应链的各种信息都在企业内部网络以及与供应商之间的网络上进行传递，信息在传递过程中容易被不法分子盗取，给企业造成重大经济损失。为了避免信息被窃取，企业可以建设完善的网络系统，通过防火墙技术将身份无法识别的隔离在企业网络之外，保证企业信息在安全的网络环境下进行传输。另外可以通过相应的加密技术对传输的信息进行加密处理，技术一些黑客破解企业的防火墙，窃取到的信息也是难以理解的加密数据，加密过后的信息常常以乱码的形式存在。从理论上而言，加密的信息仍旧有被破解的可能性，但现行的数据加密方式都是利用复杂的密匙处理过的，即使是最先进的密码破解技术也要花费相当长的时间，等到数据被破解后该信息已经失去其时效性，成为一条无用的信息，对企业而言没有任何影响。

2.3 网络攻击检测

一些黑客通常会利用一些恶意程序攻击企业网络，并从中找到漏洞进入企业内部网络，对企业信息进行窃取或更改。为避免恶意网络攻击，企业可以引进入侵检测系统，并将其与控制网络访问结合起来，对企业信息实行双重保护。根据企业的网络结构，将入侵检测系统渗入到企业网络内部的各个环节，尤其是重要部门的机密信息需要重点监控。利用防火墙技术实现企业网络的第一道保护屏障，再配以检测技术以及相关加密技术，防火记录用户的身份信息，遇到无法识别的身份信息即将数据传输给管理员。后续的入侵检测技术将彻底阻挡黑客的攻击，并对黑客身份信息进行分析。即使黑客通过这些屏障得到的也是经过加密的数据，难以从中得到有效信息。通过这些网络安全技术的配合，全方位消除来自网络黑客的攻击，保障企业网络安全。

3 结束语

随着电子商务时代的到来，网络技术将会在未来一段时间内在企业的运转中发挥难以取代的作用，企业网络安全也将长期伴随企业经营管理，因此必须对企业网络实行动态管理，保证网络安全的先进性，为企业的发展建立安全的网络环境。

参考文献

[1]周观民，李荣会.计算机网络信息安全及对策研究[J].信息安全与技术，2011.

[2]韩萍，蔡志立.计算机网络安全与防范[J].硅谷，2011.

篇4

关键词：计算机；网络；安全；威胁；防范技术

1 网络安全的定义

网络技术是从90年代中期发展起来的新技术，它把互联网上分散的资源有机整合，实现了资源的全面共享。近年来，伴随着互联网技术的迅猛发展，网络已成为人们生活中不可或缺的一部分。然而人们在享受网络带来的种种便利时，也受到了日益严重的来自网络的安全威胁。

  网络安全从本质上讲就是网络上的信息安全，网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。从用户的角度来说，希望涉及到个人隐私和商业利益的信息在网络上传输时，受到机密性、完整性和真实性的保护。

2 计算机网络安全面临的问题

2.1 计算机病毒

计算机病毒是专门用来破坏计算机正常工作，具有高级技巧的程序。它并不独立存在，而是寄生在其他程序之中，具有隐蔽性、潜伏性、传染性和极大的破坏性。计算机病毒通过互联网传播，给网络用户带来极大的危害，它可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。随着网络技术的不断发展、网络空间的广泛运用，病毒的种类也在急剧增加。

2.2 黑客攻击手段多样

黑客的攻击手段在不断地更新，几乎每天都有不同的系统安全问题出现。然而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。目前黑客的攻击方法已超过了计算机病毒的种类，而且许多攻击都是致命的，攻击源相对集中，攻击手段更加灵活。

2.3 操作系统漏洞及网络设计的问题 

目前流行的许多操作系统均存在网络安全漏洞，黑客利用这些操作系统本身所存在的安全漏洞侵入系统。由于设计的网络系统不规范、不合理以及缺乏安全性考虑，使其安全性受到影响。网络安全管理缺少认证，容易被其他人员滥用，人为因素造成网络安全隐患。另外，局域网内网络用户使用盗版软件，随处下载软件与游戏程序，以及网管的疏忽也容易造成网络系统漏洞。

以上只是网络安全所面临的威胁中的一小部分，由此可见，解决网络安全威胁，保证网络安全已迫在眉睫，这需要寻求一个综合性解决方案，以应对日益严重的网络安全危机。

3 计算机网络安全的防范技术

3.1 防火墙技术

防火墙的作用是对网络访问实施访问控制策略。防火墙技术是为了保证网络路由安全性而在内部网和外部网之间的界面上构造一个保护层。所有的内外连接都强制性地经过这一保护层接受检查过滤，只有被授权的通信才允许通过，同时将不允许的通信拒之门外，最大限度地阻止网络中的黑客来访，防止他们随意更改、移动甚至删除网络上的重要信息。它是不同网络或网络安全域之间信息的惟一出入口，能够根据安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。

3.2 网络病毒的防范

病毒活动日益猖獗，对系统的危害日益严重。用户一般采用杀毒软件来防御病毒入侵，但现在年增千万个未知新病毒，病毒库更新速度落后，杀毒软件已不能轻松应对，因此对病毒的防御显得尤为重要。在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品。这需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连，还需要网关的防病毒软件，加强上网计算机的安全性。

3.3 加强网络安全管理

加强网络的安全管理、制定有效的规章制度，对于确保网络的安全性与可靠运行，将起到十分有效的作用。加强网络的安全管理包括：确定安全管理等级和安全管理范围；制定相关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。考察一个内部网是否安全，不仅要看其技术手段，更重要的是看对该网络采取的综合措施。

3.4 提高安全防范意识

只要我们提高安全意识和责任观念，很多网络安全问题也是可以防范的。我们要注意养成良好的上网习惯，不随意打开来历不明的电子邮件及文件，不随便运行陌生人发送的程序；尽量避免下载和安装不知名的软件、游戏程序；不轻易执行附件中的EXE和COM等可执行程序；密码设置尽可能使用字母数字混排；及时下载安装系统补丁程序等。

4 结束语

网络安全是一项系统的工程，涉及技术、管理、使用等许多方面，网络安全技术与工具是网络安全的基础，高水平的网络安全技术队伍是网络安全的保证，严格的管理则是网络安全的关键。总之，一劳永逸的网络安全体系是不存在的，计算机网络安全工作也不是一朝一夕就能够完成的，它是一项长期的任务。如何保证网络安全，是一个值得长期研究与付出努力的问题，网络安全需要我们每一个人的参与。

5 参考文献

[1] 石志国，计算机网络安全教程，北京：清华大学出版社，2008．

[2] 周小华，计算机网络安全技术与解决方案，杭州：浙江大学出版社，2008．

篇5

关键词：计算机网络信息 安全技术 防护对策

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2015）05-0000-00

1计算机网络安全隐患分析

网络环境下的计算机系统存在很多安全问题，综合技术和管理等多方面因素，我们可以将这些问题归纳为四个方面：互联网的开放性、自身的脆弱性、攻击的普遍性、管理的困难性。为了解决这些问题，各种安全机制、策略和工具被研究和应用。但网络的安全仍然存在很大隐患，首先就以下三方面进行分析：

1.1恶意入侵和攻击

恶意入侵和攻击分为主动和被动两种，指具有熟练编写和调试计算机程序的技巧并使用这些技巧来侵入到他方内部网的行为。主动入侵攻击是以破坏对方的网络和信息为主要目的，实现成功之后就能够造成对方网络系统的运行受到影响，严重状况下还可能让系统出现瘫痪的问题，在被动攻击的作用下获得对方的相关信息，并在对方不了解的状况下获得相关机密信息或者数据，但是不破坏系统的正常运行。

1.2系统漏洞

所谓的系统漏洞主要有两种不同的状况，包括蓄意制造，这主要是指设计工作人员为了能够达到日后信息窃取或者系统控制的目的而故意进行设计的行为；无意制造则是系统设计工作人员因为技术原因或者疏忽大意产生的。系统漏洞是传统安全工具难于考虑到的地方，一般状况下，这种侵入行为能够光明正当的穿过系统的防火墙而不被察觉。

1.3计算机病毒

计算机病毒指编制或在计算机程序中插入的破坏计算机功能和数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。其目前是数据安全的头号大敌，这种程序可以通过磁盘、光盘、计算机网络等各种途径进行复制传播。从上世纪80年代计算机病毒的首次被发现，至今全世界已经发现数以万计的计算机病毒，并且还在高速的增加，其隐蔽性、传染性、破坏性都在进一步的发展。

2 信息安全的防护对策

2.1防火墙技术

所谓的防火墙只是一种较为形象的说法，是由计算机软件以及硬件构成，让内部网和互联网之前形成实际的安全网关，属于强化网络访问控制权限的表现，从根本上避免外部网络用户凭借各种非正当手段突破外部网络而进入到内部网络领域中，并对内部网络资源加以访问，从根本上实现内部网络环境以及特殊网络设备受到保护的目的。这种技术对于多个网络或者两个网络之间的传输数据包结合实际的安全策略来加以检查，从而明确网络之间的通信行为能否可以发生，并对网络运行的状况加以监测。防火墙系统则是有两个基本部件包括应用层网关以及过滤路由器构成，防火墙则处于5层网络安全系统中的最低一个层次，属于外部公共网络和内部网络之间的一个主要屏障，防火墙是起初受到人们重视的一个主要网络安全产品，在网络应用以及网络安全技术不断发展的影响下，现阶段的防火墙技术开始走向其他不同层次的安全网络中服务，还有其他不同的防火墙产品开始朝着避免黑客或者病毒入侵以及用户认证和数据安全方向发展。

2.2数据加密技术

数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。它使用数字方法来重新组织数据，通过变换和置换等各种方法将被保护信息置换成密文，然后再进行信息的存储或传输，使得除了合法受者外，任何其他人想要恢复原先的“消息”是非常困难的。即使加密信息在存储或者传输过程为非授权人员所获得，也可以保证这些信息不为其认知，从而达到保护信息的目的。所谓数据加密技术就是这种技术的目的是对传输中的数据流加密，常用的方式有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件，采用某种加密技术对所发送文件进行加密，把明文（也即原文）加密成密文（加密后的文件，这些文件内容是一些看不懂的代码），然后进入TCP/IP数据包封装穿过互联网，当这些信息一旦到达目的地，将由收件人运用相应的密钥进行解密，使密文恢复成为可读数据明文。

2.3访问与控制

访问与控制指授权控制不同用户对信息资源的访问权限，即哪些用户可访问哪些资源以及可访问的用户各自具有的权限。是对网络的访问与控制进行技术处理是维护系统运行安全、保护系统资源的一项重要技术，也是对付黑客的关键手段。

2.4网络安全管理措施

网络安全管理策略包括：确定安全管理等级和安全管理范围；指定有关网络操作使用规程和人员出入机房管理制度，制定网络系统的维护制度和应急措施，以及提高网络工作人员的素质，强化网络安全责任感等。 随着企业信息化水平的不断加深，管理层网络安全意识应逐步得到增强，并逐步会主动去思考如何更好地构筑信息平台的安全保障体系。

提高网络工作人员的管理素质也是一项重要的任务。对工作人员要结合硬件、软件、数据等网络系统各方面进行安全教育，提高工作人员的责任心，并加强业务技术培训，提高操作技能，重视网络系统的安全管理，防止人为事故的发生，同时提高人们对网络安全的认识，完善法律、法规，对计算机犯罪进行法律制裁。

篇6

关键词：网络广播电视台；技术架构；设计方案

网络广播电视台是一种现代科技发展中诞生的一种新型的网络媒体。它的产生是在电视和网络的大范围普及下形成的。将地方电视台作为依托，利用网络平台进行电视直播，是一种新型的电视播放手段。就目前来说，较为成熟的网络广播电台有中央电视台、黑龙江广播电视台等等，相信随着用户的日益增长以及用户需求的不断更新，网络广播电视台将会成为各省市广播电视台长远发展的一大趋势。本文主要是对网络广播电视台的建立技术和方案设计进行探究。

1 网络广播电视台简述

网络电视台不同于传统的电视播放模式，不需要用户专门购买电视或其他设备，只需要登陆互联网，找到相应的网址或平台就能够观看。在现代社会的“三网融合”背景下，网络电视台得到了飞速发展。“三网融合”有利于对网络资源和网络带宽进行合理调配，使网络资源能够最大程度的合理利用，从而避免重复建设，通过现代社会的较高网速，实现了网络数据和资源的实时共享。网络广播电视台由内容、渠道、平台、数据库、运营以及盈利六个简单要素构成，其中的内容就是通过将电视中所播放的所有内容加以整理分类，按照一定的顺序播放出来，从而形成电视中所播放的节目；而渠道则是将内容通过不同的平台进行传播，例如电视、广播、网络等。所以网络电视中，只要可以连入网络，就可以获取各类节目资源；平台是建立在网页的客户端以及窗口，用户就通过这些平台进入并收看相关节目；数据库分为用户信息数据库和节目资源数据库，其中的一个作用是存储、管理用户信息，另一个则是收录、播放电视节目；运营则是通过相关专业制作团队进行运营；盈利主要是通过两方面来实现，一是通过广告收入盈利，与传统电视台相似，二是通过电子商务盈利。

网络广播电视台作为一种新型的网络宣传媒体，还同时具有多种优势，主要包括及时性、数字化、多终端、互动性、信息点播、信息个性化订制以及覆盖广泛，而且它不会受到时间和空间变化的影响，只要可以连接到网络，就可以不受限制地使用网络广播电视台。

网络广播电视台的建设是建立在各省市传统电视台平台的基础上的，将各省市电视台的所有电视、广播节目进行收录、整理，然后通过网络将节目进行分类，由同类的节目构成专门的节目频道，如电影频道、电视剧频道、动漫频道、娱乐频道、体育频道等，同时可利用互联网独特的互动性，吸引更多的用户，在此基础上还可以根据用户的特色来划分节目频道，最大程度上满足用户的需求，吸引更多的受众群。

总而言之，网络广播电视台是传统电视台发展过程中必然的产物，是对传统电视台的创新和拓展，同时也给传统电视台带来了机遇甚至挑战。

2 网络广播电视台技术架构解析

在简要地概述了网络广播电视台的要点之后，下面将进入正题，首先详细解析网络广播电视台的技术架构。

2.1 技术架构的组成

网络广播电视是将电视和网络平台结合起来，是通过网络将电视内容播放出来的新型媒体传播渠道，由于它所具有的特性决定它需要满足安全性、高效性、实用性、开放性的要求，在能够满足这些基本要求的前提下，还需要建立一个将互联网和广播节目完成共享的平台，并能够对其中的视频内容进行收集，在较多媒体中进行的智能化网络管理系统。其中此系统还包括以下七个要素系统：

2.1.1 信息收录系统。网络广播电视台的主要职能就是对各类节目资源进行整理和收集，对这些节目资源进行分类整理，这就是信息收录系统的作用。此系统主要由两个部分构成，一是视频音频信息收录系统，二是综合内容信息收录系统。其中视频音频信息收录系统主要是通过采集、调度、快编以及存储视频音频号来完成此项工作。收录系统是整个技术系统的第一个环节，是最基础而又最重要的环节，只有对各种节目资源进行完整的接收，才能进行后面的整理分类，形成节目频道，最后实现共享，所以必须单独为收录系统设计一套可行的详细实用的接收方案。

2.1.2 信息系统。将节目资源整理分类好以后，就可以根据节目库的内容进行相关节目的。信息系统都有自己独立的页面，想要任何节目都可以自由地选择。

2.1.3 版权管理信息系统。版权管理信息系统主要是针对数字版权的保护而开设的一个系统，其重要性不言而喻。数字版权的保护是十分重要的，这项工作关系到其数字产品能否在一个可拓展的平台得到安全的发展，这需要利用到密码学的技术，并且做到理论联系实际，即结合系统构架和具体应用开展。

2.1.4 互动信息系统。互动信息系统就是需要在电视节目播出时，利用网络与观众进行实时互动，提高观众的参与性，该系统灵活性较高，开发难度较低，在管理上采取的是直接的接口管理模式。

2.1.5 其他业务的管理。其他业务主要是指政府信息、在线支付、游戏等第三方业务的拓展延伸，此类业务也相对灵活，而且这项系统在发展过程中还处于初级阶段，还有许多功能都不够完善，多数情况下需要加入第三方管理系统，帮助其进行管理。

2.2 技术构架的功能

网络广播电视台技术构架的功能主要是需要对资源进行统一管理，并将收集到的视频或音频内容进行适当的，同时对播放内容进行统一管理，控制互动系统的功能性和实用性。

3 网络广播电视台技术构架方案设计

在了解了网络广播视台技术构架的组成部分以及功能以后，下面针对一些主要不足问题进行方案设计。

3.1 信息调度中心设计

信息调度系统主要是将从不同的来源收集到的信息进行分类整理，同时还需要对缺少音频的文件匹配对应的音频，此系统的设计必须满足较高的调度灵活性和可靠安全性，所以最好经由光纤传输，以确保资源安全可靠，维护用户的利益。

3.2 信息收录中心设计

信息收录主要包括手动形式和自动形式，手动形式主要是通过人为的手段对各种信息进行整理入库，自动形式是把直播频道的节目按照EPG进行自动入库，这个系统看似简单，却是整个系统的基础，非常重要，因此，在选编码器的时候不仅要着重考虑其性能，还要进行实测，选择效果最好的编码器。

3.3 业务运营平台设计

业务运营平台在运营初期可以加入第三方厂家进行管理设计，以学习相关经验，待到成熟阶段后可以自己运营。广告模块主要是指实现广告的和运营，如何达到通过广告获得最大的收益又尽量不影响用户的利益，是值得考虑的问题，这就要求对广告的位置和投放指标进行精确的设计。综合业务运营模块就是对观众所要使用的各项客户端、网站网页进行设计，从而实现各个接口之间的数据交换。

4 结束语

网络广播电视台的出现，无疑是传统广播电视台的一次重大革新，既顺应了时展、科技进步的需求，又丰富了人们的生活。虽然作为一次新的尝试，难免有一些不足，但相信只要不断探索、更新，网络广播电视台一定会展现出它不可抗拒的旺盛的生命力。

参考文献

[1]海吉.网络安全技术与解决方案[M].北京：人民邮电出版社，2009.

篇7

关键词：物联网；网络攻击；安全防护

随着物联网在国家基础设施、经济活动、以及智能家居、交通、医疗等社会活动方面的广泛应用，物联网的安全问题已不仅仅局限于网络攻防等技术领域范畴，而是已成为影响人们日常生活和社会稳定的重要因素。

1 物联网安全风险分析

从信息安全和隐私保护的角度讲，物联网各种智能终端的广泛联网，极易遭受网络攻击，增加了用户关键信息的暴露危险，也加大了物联网系统与网络的信息安全防护难度。

2 物联网攻击技术及安全防护体系

2.1 感知层安全问题

⑴物理安全与信息采集安全。感知层是物联网的网络基础，由具体的感知设备组成，感知层安全问题主要是指感知节点的物理安全与信息采集安全。

⑵典型攻击技术。针对感知层的攻击主要来自节点的信号干扰或者信号窃取，典型的攻击技术主要有阻塞攻击、伪装攻击、重放攻击及中间人攻击等。

2.2 网络层安全问题

网络层主要实现物联网信息的转发和传送，包括网络拓扑组成、网络路由协议等。利用路由协议与网络拓扑的脆弱性，可对网络层实施攻击。

⑴物联网接入安全。物联网为实现不同类型传感器信息的快速传递与共享，采用了移动互联网、有线网、Wi-Fi、WiMAX等多种网络接入技术。网络接入层的异构性，使得如何为终端提供位置管理以保证异构网络间节点漫游和服务的无缝联接时，出现了不同网络间通信时安全认证、访问控制等安全问题。

跨异构网络攻击，就是针对上述物联网实现多种传统网络融合时，由于没有统一的跨异构网络安全体系标准，利用不同网络间标准、协议的差异性，专门实施的身份假冒、恶意代码攻击、伪装欺骗等网络攻击技术。

⑵信息传输安全。物联网信息传输主要依赖于传统网络技术，网络层典型的攻击技术主要包括邻居发现协议攻击、虫洞攻击、黑洞攻击等。

邻居发现协议攻击。利用IPv6中邻居发现协议（Neighbor Discovery Protocol），使得目标攻击节点能够为其提供路由连接，导致目标节点无法获得正确的网络拓扑感知，达到目标节点过载或阻断网络的目的。如Hello洪泛攻击。

2.3 应用层安全问题

应用层主要是指建立在物联网服务与支撑数据上的各种应用平台，如云计算、分布式系统、海量信息处理等，但是，这些支撑平台要建立起一个高效、可靠和可信的应用服务，需要建立相应的安全策略或相对独立的安全架构。典型的攻击技术包括软件漏洞攻击、病毒攻击、拒绝服务流攻击。

3 物联网安全防护的关键技术

物联网安全防护，既有传统信息安全的各项技术需求，又包含了物联网自身的特殊技术规范，特别是物物相连的节点安全。

3.1 节点认证机制技术

节点认证机制是指感知层节点与用户之间信息传送时双方进行身份认证，确保非法节点节点及非法用户不能接入物联网，确保信息传递安全。通过加密技术和密钥分配，保证节点和用户身份信息的合法性及数据的保密性，从而防止在传递过程中数据被窃取甚至篡改。

物联网主要采用对称密码或非对称密码进行节点认证。对称密码技术，需要预置节点间的共享密钥，效率高，消耗资源较少；采用非对称密码技术的传感，通常对安全性要求更高，对自身网络性能也同样要求很高。在二者基础上发展的PKI技术，由公开密钥密码技术、数字证书、证书认证中心等组成，确保了信息的真实性、完整性、机密性和不可否认性，是物联网环境下保障信息安全的重要方案。

3.2 入侵检测技术

入侵检测技术，能够及时发现并报告物联网中未授权或异常的现象，检测物联网中违反安全策略的各种行为。

信息收集是入侵检测的第一步，由放置在不同网段的传感器来收集，包括日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行等情况。信息分析是入侵检测的第二步，上述信息被送到检测引擎，通过模式匹配、统计分析和完整性分析等方法进行非法入侵告警。结果处理是入侵检测的第三步，按照告警产生预先定义的响应采取相应措施，重新配置路由器或防火墙、终止进程、切断连接、改变文件属性等。

3.3 访问控制技术

访问控制在物联网环境下被赋予了新的内涵，从TCP/IP网络中主要给“人”进行访问授权、变成了给机器进行访问授权，有限制的分配、交互共享数据，在机器与机器之间将变得更加复杂。

访问控制技术用于解决谁能够以何种方式访问哪些系统资源的问题。适当的访问控制能够阻止未经允许的用户有意或无意获取数据。其手段包括用户识别代码、口令、登录控制、资源授权、授权核查、日志和审计等。

[参考文献]

[1]刘宴兵，胡文平.物联网安全模型与关键技术.数字通信，2010.8.

[2]臧劲松.物联网安全性能分析.计算机安全，2010.6.

篇8

1网络安全与校园网安全

1.1网络安全

网络安全不是目的，只是一种保障。就网络安全来说，其造成威胁的因素又可分为内因和外因。内因主要是计算机本身的问题所致，例如自身的系统缺陷、访问控制中的安全隐患和漏洞、www等域名的服务漏洞、网络操作系统的安全缺陷等。外因主要是指来自外界的威胁和干扰。包括计算机病毒、非授权的冒充使用、物理环境的安全性差等因素。

1.2校园网安全

校园网相对来说是一个比较特殊的环境，由于面向的群体主要是学生，因此除了要保证网络的正常运行外，还必须做好对内容不健康信息的过滤功能以及应对个别同学喜欢尝试各种试图攻击和入侵服务器的行为。通过分析目前校园网中存在的问题，应该从以下几方面进行着手维护：制定和实施访问安全，身份认证，禁止未授权的访问者非法进入；对于电子阅览室、网络实验室等学校人员经常使用的计算机，安装上防火墙，过滤掉、暴力等不健康的网站；对重要或敏感的信息和数据进行加密，保证信息的内容的安全性，防止例如学生成绩信息等重要数据被非法篡改；确保网络运行设施的可靠性和安全监测手段的有效性，防范非法入侵而使系统功能受到影响情况的出现；学校可设立网络安全管理机制，负责网络安全管理和规划等工作，加强学校安全管理教育工作的开展。

2防火墙技术

防火墙是一种为了保护内部网安全，在计算机的硬件和软件相互搭配组合下，在互联网和内部网之间形成安全屏障的技术，是确保网络安全的重要手段。作为现代网络时代不可或缺的安全产品，防火墙已经成为了校园网络必要的存在。就目前来说，防火墙主要通过对未经证实的主机的TCP/IP进行分组过滤、利用IP地址进行伪装、通过功能，断绝内外部之间的连接等三个主要手段对内部网进行安全保护。

2.1防火墙的功能

（1）管理进出网络的访问行为作为双向沟通间的控制点，防火墙可以利用自身的阻塞点，对访问的信息进行管理和控制，并过滤掉不安全的服务和信息，只允许经过选择的应用选择通过防火墙，这在很大程度上降低了访问的风险，提高了内部网络的安全性。（2）记录通过防火墙的信息内容和活动防火墙的建立使得所有信息的访问在经过防火墙的时候都会留下记录，防火墙内部会根据这些数据统计网络的使用情况，并作出日志记录。（3）监测和反馈网络攻击行为在信息监测的过程中，当有可疑的情况发生时，防火墙会适当的报警，并把详细信息自动生成电子邮件发送给网络维护者，提供网络是否受到监测和攻击的信息。（4）防止内部信息的泄漏在实施保护的过程中，可以通过防火墙的内部网络划分，将重点网段进行隔离，防止了局部重点或敏感段落出现问题对全局造成影响。

2.2防火墙特性

（1）是双向网络载体通信之间的中间存在点；（2）具有透明性，其存在不影响信息之间的交流和沟通；（3）它只对符合本地开放安全的信息进行授权，而只有经过授权的信息才可以自由出入网络。

3防火墙技术在大学校园网中的应用

在目前，各种维护网络的软硬件层出不穷，但大多数只能解决学校网络安全中的一部分，例如金山、瑞星等软件解决病毒防范，天网、天融信等软件解决网络攻击问题，这些软件的存在都是以解决单一或部分问题为目标，并不能对学校的网络安全形成整体的解决方案。由于学校的特殊性，学校对网络的需求也有所不同，因此校园网络应该根据学校的需求特点出发，以第一评价为标准，完善网络体系，具体来说，有以下几个步骤：

3.1入侵监测系统

入侵检测是一种能够及时监测和发现网络系统中异常现象的实时监测技术。在监测过程中除了利用审计记录，监测出任何不希望有的活动以外，它还可以实时防护来自IPSpoofing、PingofDeath以及其它外界的攻击，以保护系统的安全。而在监测到攻击行为时它还可以自动生成电子邮件通知系统管理员，使其可以在第一时间处理危机。

3.2建立用户认证

建立和完善网络的用户认证机制，对于不可信网站的访问，防火墙可以经过内建用户数据库或IP/MAC绑定资料等进行认证，并决定是否给予访问的权限。而防火墙也可以限定授权用户通过防火墙进行一些有限制的活动。

3.3防火墙系统的检测和维护

在合理配置了防火墙后，必须要对防火墙进行经常性的检测和监督，并对监测到的网络流量进行分析，时刻关注异常流量的情况，做好日志备份等处理工作，以便日后信息的查阅。最后，防火墙的配置也要根据网络结构的变化而变化，从而保证其能在保护校园网中发挥更好的作用。

3.4漏洞扫描系统

要想解决网络中的安全问题，首先要清楚存在了哪些安全隐患。面对强大的网络覆盖面和不断变化的网络复杂性，如果仅仅只依靠网络技术管理人员的技术去查找漏洞是存在着巨大困难的，也是不现实的。因此唯一的方法就是找出一种可以替代人工查询漏洞，并做出及时评估、提出修改意见的安全扫描工具，它可以在系统优化的过程中弥补安全漏洞，消除安全隐患。

3.5利用网络监听维护子网安全

威胁校园网络安全有内因和外因两个部分，对于外因，我们可以通过安装防火墙来解决，但是对于校园内部的入侵我们则无能为力，在这种情况下，学校可以在网络监控部门中设立一个专门管理和分析网络运作状态的子网监听程序，该监听程序可以包含一定的审计功能，方便在长期监听子网的情况中，为系统中各个服务器的审计文件提供备份，并在监听的程序之间建立联系，保证相互联系的计算机，在其它服务器收不到联系的情况下，会自动发出警报提示。

4结语

篇9

【关键词】国家数控实训基地；数控机床改造；网络化；建设方案

黄石职业技术学院国家数控实训基地于2007年建成并投入使用，由于设计比较仓促，数控基地分别单独建立了数控仿真实验室、CAD/CAM实验室、数控加工车间、电火花线切割实训室、三坐标测量室等机构，并没有搭建一个协同的工作网络。

随着时间的推移，目前国家数控实训基地的运行模式已经不能适应现代化的需求：学生在数控仿真实验室模拟的程序输出后，并不能直接输送到数控机床，需要在机床重新录入或者借助U盘拷贝；技术人员在CAD/CAM实验室通过三维制造软件自动生成的程序代码，无法顺利到达机床系统，中间操作繁琐；三坐标测量机检测验证的数据，只有通过介质传输，不能快速反馈到实训室中。这些问题都是由于数控基地没有一个完整的网络化平台造成的。为了解决这个问题，我们为国家数控实训基地设计了网络拓扑，准备实施网络化改造。

一、原有的教学环境及需求

黄石职业技术学院国家数控实训基地下设的数控仿真实验室、CAD/CAM实验室，共拥有计算机82台，采用P4 3.06G CPU、512M内存、GeForce 128M显卡、160G硬盘、17寸显示器，并已组建成一个局域网，每台机器上装有宇龙数控加工仿真系统、CAXA制造工程师、Pro/E、Master CAM等专业软件，可以实现自动编程。三坐标测量室拥有海克斯康三坐标测量机一台，工作站一台。数控加工车间拥有广州数控CAK3275型数控车床9台，华中数控CK6140型数控车床3台，广州数控XK713型数控铣床7台，华中数控4600型加工中心1台，法拉克VMC650加工中心2台，法拉克HTC2050车削中心1台，华中数控教学型数控车床1台、华中数控教学型铣床3台。电火花线切割实训室拥有苏州新火花DK7740型数控线切割机床3台，数控电火花成形机床1台。

我们拟在数控基地内构建一个局域网网络平台，将数控加工车间内所有数控机床与测量室、实训室、CAD/CAM实验室等计算机进行网络化改造，建设模拟企业环境的网络化数控实训基地，使各项数据都可以通过网络传输，不再需繁琐的人工操作。这不仅顺应了“网络数控”发展的总体趋势，而且能满足学院教学、培训的需要，具有较高的实际应用价值。

二、网络化改造的设计

1.网络选型、连接方案

在所有网络类型中，小型局域网是比较接近非专业人上和最为实用的网络技术。因此，我们选择搭建一个使用方便、性能稳定、造价低廉的小型星型局域网。

目前基地大多数数控机床数据传输只支持通过RS232接口单机传输，其基本原理是计算机的串行（COM）口和数控机床本身的RS232接口遵循相同的数据通信协议，利用它们之间的数据传输性能可方便地实现计算机与数控机床的通信，从而完成计算机对机床的NC代码的传输。但是这样的接口我们无法直接接入以太网，经过讨论，我们解决的方案是：给每台数控机床旁配置一台PC机，使用数据线将COM口与数控机床RS232C接口连接，而此时，每台PC机又可以直接连接以太局域网。这种方案的特点是技术成熟操作简单，给操作者带来方便：在PC机上编程，在专用通讯软件或者DOS下进行程序传输。

2.网络拓扑结构

我们要先将数控加工车间、线切割实训室和三坐标测量室的32台数控机床控制计算机组成一个小局域网，再将该局域网与数控仿真实验室、CAD/CAM实验室的局域网连接起来，共同组成一个基地的网络平台，使设计信息、工艺信息、加工信息及后置处理数据能及时地传递到制造单元。学生在数控仿真实验室、CAD/CAM实验室进行数控编程和仿真的数据也可直接传送到机床上，这样就构成了网络制造集成环境，减少了中间环节，增加了可靠性，并提高了工作效率。

根据以上要求，我们决定组建一个星型结构的共享式以太网，服务器安装Windows 2003 Server，工作站操作系统采用Windows XP专业版。网络拓扑结构如图1所示。

3.组网步骤

（1）硬件物资准备

由于数控仿真实验室、CAD/CAM实验室已经组成局域网，在这次网络改造中不需要另外投入新的设备。而现有的数控机床全部配备了高性能计算机，具备入网条件，我们只需购买双绞线、水晶头和交换机等就可以轻松组网。

我们采用星型网络的布线连接，双绞线两端安装有水晶头。连接网卡与交换机的最大网线长度为100米，如果要加大网络的范围，在两段双绞线之间可安装中继器。由于数控基地所有设备都在一栋大楼内，距离较近，能满足要求。根据数控机床控制计算机的位置，我们选择了交换机的安装位置，并将每台控制用计算机用双绞线连接到了交换机上。

（2）服务器的安装和配置

因为这台服务器的身份是域控制器、网关及文件服务器，所以我们选用了Windows 2003服务器操作系统，并配置成为域控制器，方便管理域内工作站，还利用Windows 2003的Internet连接共享功能，为基地内部网络搭建了网关，通过网关将数控基地局域网与校园网连接起来。

同时，我们在服务器上安装了Serv-U FTP服务器软件，轻松构建了一个文件服务器，因此在基地局域网内部进行文件传输更容易。

（3）工作站的安装和设置

工作站全部采用Windows XP专业版，其安装过程比较容易。需要说明的是有关协议的安装问题，网络中每台计算机的协议配置应尽量保持一致。在通常情况下，TCP/IP协议是必不可少的，为了照顾数控机床控制系统中所用通讯功能能在DOS下使用，IPX/SPX协议也应该安装，至于微软的网络客户文件系统安装时就已经自动安装好了。然后，参照相关协议，为每个厂家的数控机床安装匹配的传输控制系统，并对机床控制系统软件及DNC通讯软件进行设置，实现通过网络对机床的有效控制。最后要启用Windows XP的远程桌面连接功能，方便远程操作工作站。

三、改造后的国家数控实训基地所能实现的增值功能及改造优点

1.网络化的数控基地提供的增值功能

（1）网络集中管理

在服务器上可以实现系统的配置管理、性能管理、故障诊断等几个方面的网管功能，并能集中管理和监视网络上的各种设备。为系统可靠运行提供保证。

（2）远程故障诊断

数控机床出现故障时，一般技术人员如不能准确分析判断故障的原因，就会影响生产。利用互联网进行网络对话，服务方可以在异地了解用户方数控机床出现故障时的表现症状，以及数控机床在执行由服务方发送的数控指令时的工作状态，进而对数控机床的故障进行判断井提出可行的解决方案。

（3）模拟企业制造环境，提高教学效果

用CAD/CAM实验室所连成的局域网模拟企业的设计部门，以数控加工车间室局域网模拟企业的制造与加工车间，教师通过互联网给学生布置实习任务，学生在CAD/CAM实验室完成产品的原型设计，并将结果通过网络返回给教师批阅，经检查无误后，可直接传送到数控机床上加工。

整个流程全部通过内部网络完成，节约了大量的时间，提高了设备的利用率。

现在利用联网的工作站，可以将所有的数控程序、数控系统参数以及PLC程序（ASCII代码文件）都备份到计算机中，从而保护了系统资源。

2.数控基地实现网络化改造后的优点

（1）缩短传输程序的时间，也就是节约了昂贵的数控机床机时费用。

（2）准确性高。零件程序重复使用时即使重新传输也可以保证绝对正确。

（3）操作者劳动强度减低。只需在机床面板输人简单指令就可完成程序传输。

（4）易于修改。首次使用的程序如果在现场进行了修改，那么上传后就可供下次调用。

（5）程序管理实现了统一化。

（6）责任清楚。一旦出现问题，很容易分析出是编程原因还是操作原因。

四、总结及展望

篇10

关键词：网络安全；防火墙；DMZ

中图分类号：TP393.08 文献标识码：A文章编号：1009-3044(2007)12-21564-03

Firewall Technology and Tobacco Processing Factory Network Security

ZHANG Song-lin

(Hefei University of Technology,Hefei 230039,China)

Abstract: Computer Network Technology of the rapid development of enterprises within the scope of the global sharing of information and resources to provide a convenient, effectively reduce the company's operating costs and to change the traditional work patterns. Along with the internal network and the increasing external networking gradually increased. A safe and reliable enterprise network security system is very important for us. To address enterprises in the development of the information industry is facing network information security issues, the full study of the network security needs on the basis of By analyzing the current classification of firewall technology and the advantages and disadvantages of various types of firewalls, Construction of enterprises in the firewall on the Firewall option and set up to make recommendations and to develop corresponding security strategy. Use corresponding security technology as a means to be achieved.

Key words:network security;firewall;DoS

1 引言

20世纪90年代以来，烟草系统信息进程得到巨大的发展和广泛的应用。计算机应用技术的普及，信息技术的迅猛发展，信息化建设给这个行业带来了新的机遇和挑战。而对于打叶复烤企业来说，由于企业规模较小，计算机应用基础薄弱。随着信息化建设的不断深入，特别是计算机网络技术应用（如企业网络的应用系统，主要有WEB、E-mail、OA系统、MIS系统等）范围越来越广，不可避免的就会带来了网络攻击、内部网络使用混乱、信息盗窃和其它危及企业正常生产及经营活动的行为，从而直接威胁到打叶复烤企业网络与信息方面的安全问题。

2 网络安全

2.1 网络安全的概念

信息技术的使用给人们的生活和工作带来了便捷，然而，计算机信息技术也和其它学科一样是一把双刃剑，当大部分人使用信息技术提高了工作效率，为社会创造更多财富的同时，另外一些人却利用信息技术做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息，篡改和破坏数据，造成难以估量的损失。

网络安全是一个关系到国家安全、社会稳定、民族文化的继承和发扬等重要问题。网络安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科。

计算机网络的安全不是绝对的。安全是有成本的，而且也有时间限制。因此，安全是指化多大成本在多长时间之内可以保证计算机网络安全。安全问题的解决依赖于法律、管理机制和技术保障等多方面相互协调和配合，形成一个完整的安全保障体系。

2.2 网络安全的需求

计算机网络安全是随着计算机网络的发展和广泛应用而产生的，是计算机安全的发展与延伸。可以用系统的观点把计算机网络看成一个扩大了的计算机系统，因此许多关于计算机安全的概念和机制也同样适用于计算机网络。虽然网络安全同单个计算机安全在目标上并没有本质区别，但由于网络环境的复杂性，网络安全比单个计算机安全要复杂得多[1]。

第一，网络资源的共享范围更加宽泛，难以控制。共享既是网络的优点，又是风险的根源，它会导致更多的用户（友好与不友好的）远程访问系统，使数据遭到拦截与破坏，以及对数据、程序和资源的非法访问。

第二网络支持多种操作系统，这使网络系统更为复杂，安全管理和控制更为困难。

第三网络的扩大使网络的边界和网络用户群变得不确定，对用户的管理较计算机单机困难得多。

第四单机的用户可以从自己的计算机中直接获取敏感数据，但网络中用户的文件可能存放在远离自己的服务器上，在文件的传送过程中，可能经过多个主机的转发，因而沿途可能受到多处攻击。

第五由于网络路由选择的不固定性，很难确保网络信息在一条安全通道上传送。

基于以上5个特点的分析可知，保证计算机网络的安全，就是要保护网络信息在存储和传动过程中的保密性、完整性、可用性、可控性和真实性。

(1)数据的保密性

数据的保密性是网络信息不被泄露给非授权的用户和实体，信息只能以允许的方式供授权用户使用的特性。也就是说，保证只有授权用户才可以访问数据，而限制其他人对数据的访问。

(2)数据的完整性

数据的完整性是网络信息未经授权不能进行改变的特性，即网络信息在存储或传送过程中不被偶然或蓄意地删除、修改、伪造、乱序、重放及插入等破坏和丢失的特性。

(3)数据的可用性

数据的可用性是网络信息可被授权实体访问并按需求使用的特性，即需要网络信息服务时允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。影响网络可用性的因素包括人为和非人为两种，前者有非法占用网络资源，切断或阻塞网络通信，通过病毒、蠕虫或者拒绝服务攻击降低网络性能，甚至使网络瘫痪等；后者有灾害事故（水灾、火灾、雷击等）和系统死锁、系统故障等。

(4)数据的可控性

数据的可控性是控制授权范围内的网络信息流向和行为方式的特性，如对信息的访问、传播及内容具有控制能力。

(5)数据的真实性

数据的真实性又称不可抵赖或不可否认性，指在网络信息系统的信息交互过程中参与者的真实同一性，即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。

2.3 安全攻击的种类和常见形式

对网络信息系统的攻击来自很多方面，这些攻击可以宏观地分为人为攻击和自然灾害攻击。它们都会对通信安全构成威胁，但精心设计的人为攻击威胁更大，也最难防备。对网络信息系统的人为攻击，通常都是通过寻找系统的弱点，以非授权的方式达到破坏、欺骗和窃取数据等目的[2]。

2.3.1 主动攻击

主动攻击涉及某些数据流的篡改或虚假数据流的产生，这些攻击可分为假冒、重放、篡改消息和拒绝服务4类。

(1)假冒：假冒指某个实体（人或系统）假扮另外一个实体，以获取合法用户的权力和特权。

(2)重放：重放即攻击者对截获的某次合法数据进行复制，以后出于非法目的的重新发送，以产生未授权的效果。

(3)篡改消息：篡改消息是指一个合法消息的某些部分被改变、删除，或者消息被延迟或改变顺序，以产生未授权的效果。

(4)拒绝服务：拒绝服务即常说的DoS（Deny of Service），会导致对通信设备的正常使用或管理被无条件地拒绝。通常是对整个网络实施破坏，如大量无用信息将资源（如通信带宽、主机内存）耗尽，以达到降低性能，中断服务的目的。这种攻击可能有一个特定的目标，如到某一特定目的地（如安全审计服务）的所有数据包都被阻止。

2.3.2 被动攻击

被动攻击是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改。通常包括监听未受保护的通信、流量分析、解密弱加密的数据流、获得认证信息（如密码）等。被动攻击常用的手段有以下几种：

(1)搭线监听：搭线监听是最常用的手段，将导线搭到无人职守的网络传输线上进行监听。

(2) 无线截获：通过高灵敏度的接受装置接受网络节点辐射的电磁波或网络连接设备辐射的电磁波，通过对电磁信号的分析恢复原数据信号，从而获得网络信息。

(3)其它截获：用程序和病毒截获信息是计算机技术发展的新型手段，在通信设备或主机中预留程序代码或施放病毒程序后，这些程序会将有用的信息通过某种方式发送出来。

3 防火墙技术

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全[3]。

从技术上看，防火墙有三种基本类型：包过滤型、服务器型和复合型。它们之间各有所长，具体使用哪一种或是否混合使用，要根据具体需求确定[4]。

(1)包过滤型防火墙(Packet Filter Firewall)

通常建立在路由器上，在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层，基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员预先设定的访问控制表进行比较，确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好，对网络性能影响不大，可以用于禁止外部不合法用户对企业内部网的访问，也可以用来禁止访问某些服务类型，但是不能识别内容有危险的信息包，无法实施对应用级协议的安全处理。

(2)服务器型防火墙(Proxy Service Firewall)

通过在计算机或服务器上运行的服务程序，直接对特定的应用层进行服务，因此也称为应用层网关级防火墙。服务器型防火墙的核心，是运行于防火墙主机上的服务器进程，实质上是为特定网络应用连接企业内部网与Internet的网关。它用户完成TCP／IP网络的访问功能，实际上是对电子邮件、FTP、Telnet、WWW等各种不同的应用各提供一个相应的。这种技术使得外部网络与内部网络之间需要建立的连接必须通过服务器的中间转换，实现了安全的网络访问，并可以实现用户认证、详细日志、审计跟踪和数据加密等功能，实现协议及应用的过滤及会话过程的控制，具有很好的灵活性。服务器型防火墙的缺点是可能影响网络的性能，对用户不透明，且对每一种TCP／IP服务都要设计一个模块，建立对应的网关，实现起来比较复杂。

(3)复合型防火墙(Hybrid Firewall) [5]

由于对更高安全性的要求，常把基于包过滤的方法与基于应用的方法结合起来，形成复合型防火墙，以提高防火墙的灵活性和安全性。这种结合通常有两种方案：

屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。

屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。

企业在选择防火墙时不仅要考虑防火墙的安全性、实用性、而且还要考虑经济性，防火墙产品的安全性、实用性和经济性是相互制约和平衡的。

4 打叶复烤企业防火墙的设置

必须妥善地规划其架构，拟定其安全政策，最重要的是必须彻底执行其安全政策，而防火墙是落实这些安全政策的重要工具之一。Internet网络商用化的趋势愈来愈明显，企业也不断通过应用网络技术提高生产销售的水平，单位网络的安全性规划更是刻不容缓。一个好防火墙的规划必须能充分配合执行单位所制定的安全政策，再加上安全的建置架构，方能提供单位一个方便而安全的网络环境。

图1以屏蔽子网防火墙为例介绍打叶复烤企业防火墙的设置，一级堡垒防火墙是整个内部网络对外的枢纽，是必需设立的。它一边连接单位内部网络，一边通往外部网络。外部网络上可摆单位对外提供服务的主机，例如：WEBServer、EMAILServer、POP3Server及FTPServer等，提供对外服务。防火墙的设定，可保证服务器主机只提供它应提供的服务，而阻挡所有不当的存取与连线，避免黑客在服务主机上开后门[6]。

打叶复烤企业可根据实际需要，将其他部门的子系统保护在隔断防火墙内，比如生产运行实时控制系统、企业运行管理信息系统、企业营销管理系统、企业多种经营管理系统等。同时可以将某些较重要而有安全顾虑的部门网络，加上防火墙的配置，此即所谓的单位内防火墙(IntranetFirewall)。单位内防火墙的功能与主防火墙类似，但因为其数量可能很多，会分配到电力部门的网络内，因此其管理规则的设定、系统的维护，不应太过于困难。单位希望建置一个安全的网络环境，除了采用防火墙之外，当然还提供单位一个方便而安全的网络环境。

图1 企业屏蔽子网防火墙拓扑图

4 结论

打叶复烤企业所面临的网络安全问题是多种多样的，所以企业设计和部署防火墙也就没有唯一的正确答案。各个机构的网络安全决定可能会受到许多因素的影响，诸如安全策略、职员的技术背景、费用、以及估计可能受到的攻击等。作者认为：企业内部信息网络系统是动态发展变化的，正确的安全策略与选择合适的防火墙产品只是一个良好的开端，它只能解决40%~60%的安全问题，其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等，所有这些都使打叶复烤企业将要面对网络信息系统安全的挑战。

参考文献:

[1]孙静,曾红卫.网络安全检测与预警[J].计算机工程,2001,(12):109-110.

[2]刘占全.网络管理与防火墙技术[M].人民邮电出版社，2000.

[3]Greg Holden(美).防火墙与网络安全[M]. 清华大学出版社，2004.

[4]郭炎华.网络信息与信息安全探析[J].情报杂志，2001,6.

[5]刘克龙,蒙杨.一种新型的防火墙系统[J].计算机学报,2006,8.