前言：本站為你精心整理了計算機網絡安全結構設計探究范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：針對信息系統的脆弱性，為了保證網絡環境的安全性，設計了基于編碼技術的計算機網絡安全結構。對常用的編碼技術與方法進行分析，主要包括冗余碼、擾頻、電平碼等；并且分析計算機網絡的安全激勵，改善路由路徑的選擇，保證封包的正確性與安全性。設計網絡安全結構，主要包括安全體系結構、安全體系層次模型、系統響應、異常流量檢測和網頁過濾。通過所設計的計算機網絡安全結構，能夠實現數據分析與匹配，保證計算機網絡的安全性。

關鍵詞：編碼技術；網絡安全；安全結構；數據分析

在現代社會不斷發展的過程中，計算機網絡已經成為人們生活生產過程中的主要工具。計算機網絡實用性與完整性，成為研究人員解決網絡安全問題的主要參照指標。因為網絡行動比較隨意，并且具有較高的網絡自由度，功能或者管理等難度都在增加，也會受到惡意攻擊。編碼技術提高了網絡結構的安全性，降低了錯誤幾率，也對編碼技術人員專業性提出了較高的要求。編碼通過邏輯層次，使二進制數據作為高低信號，使用光特性和電氣特性表示。提高編程水平能夠提升計算機網絡安全結構設計的水平，促進計算機技術的發展[1]。

1常用編碼技術和方法

為了實現編碼目標，研發了多種編碼方法，圖1為常用編碼方法。除了圖1的編碼方法之外，還包括冗余碼、281Q電平碼、擾頻與各數據壓縮編碼方法等。在長距離傳輸過程中，帶寬使用效率尤為重要，一般都使用雙極性編碼。在短距離傳輸過程中，對比每個節點設備價格，帶寬使用效率并不重要，所以可以使用曼徹斯特編碼，且能夠使用同步功能。對數據數字傳輸進行模擬，使模擬數據轉換成為數字數據，脈沖編碼調制（PCM）方法為實現此轉換的基本方法，通過數字-模擬轉換器與模擬-數字轉換器實現數字信號與模擬信號的轉換[2]。

2計算機網絡安全機理

由于惡意節點能夠和網絡連接，在不能隔離惡意節點時，改善選擇路由路徑，降低惡意節點攔截次數，比如多重路徑路由協議。利用鄰近節點實現自身節點信任度計算和認證，從而計算聲望值，假如發現比設定值要低的節點，表示該節點為惡意節點，立刻隔離惡意節點。每個節點能夠傳遞的數據范圍都存在一個限度，如果在固定距離下使數據傳輸到遠方目的地，就要使數據利用其他節點通過路由的方式傳遞。高速系統中節點都要標識區域節點數量，并且定期發送廣播信息，通過信息標頭對臨近節點信息封裝是否接收進行確認，如果遺失就要重新傳遞。為了避免惡意節點影響，在傳遞封包信息過程中要在封包抬頭添加數字簽章，包括信息身份與節點身份，接收節點對數位簽章進行驗證，對封包安全性與正確性進行確定[3]。

3網絡安全結構的設計

信息網絡安全結構的主要目的是使計算機網絡系統正常工作，保證信息網絡系統安全性，避免泄露重要信息。所以，計算機網絡安全結構要實現此目標，需綜合使用先進網絡安全技術，保證網絡安全保密與互連互通，保證信息系統正常的運行[4]。

3.1安全體系結構

網絡安全體系要對安全機制和安全對象全面考慮，安全對象包括系統安全、網絡安全、設備安全、信息安全、計算機病毒防治與信息介質安全等[5]，圖2為安全體系結構。

3.2安全體系層次模型

根據網絡OSI的7層模型，網絡安全貫穿在整個模型中。對于網絡系統實際運行TCP/IP協議，網絡安全貫穿在信息系統4個層次中，圖3為安全體系層次模型圖。物理層信息安全的主要目的是避免物理通路損壞、物理通路攻擊、物理通路竊聽[6]；鏈路層網絡安全主要目的是避免網絡鏈路傳送數據不會被竊聽，使用加密通信劃分VLAN等手段實現；操作系統安全對操作系統訪問控制與客戶資料的安全性進行保證，應用到操作系統中實現審計；網絡層安全要保證網絡只對客戶使用授權服務，保證正確的網絡路由，避免監聽和攔截；應用平臺指在網絡系統中創建的應用軟件服務，比如電子郵件服務器、數據庫服務器、Web服務器。因為應用平臺系統較為復雜，一般利用多種技術提高應用平臺安全性[7]；應用系統主要實現網絡系統主要功能，也就是為用戶服務。應用系統安全和系統設計、實現具有密切關系，應用系統利用應用平臺的安全服務對基本安全進行保證，比如通信內容安全、雙方審計、認證等[8]。

3.3系統響應模塊

響應指的是在網絡安全系統檢測到入侵行為時的反應動作，系統響應主要包括被動響應與主動響應。在主動響應時，系統自動或者通過用戶設置方式阻斷攻擊。其能夠阻止正在進行的攻擊行為，避免攻擊者訪問。主動響應指的是系統在檢測到攻擊時反擊攻擊者，被動響應能夠給用戶提供入侵信息，通過系統管理員使用適當措施處置[9]，此響應以緊急程度對用戶提交信息，雖然和主動響應相比實時性較差，但是安全性較高，便于維護數據。系統設計和被動響應、主動響應的優勢結合，對模式庫中常見的攻擊類型預先設計動作，實現主動響應處理，利用異常算法檢測模式庫中是否存在攻擊，系統保存連接數據并實現處理。在主動響應中，系統要自動阻塞或者影響攻擊，改變攻擊過程。在被動攻擊中，系統只是簡單地報告和記錄檢測問題[10]，圖4為系統分析模塊的結構。

3.4異常流量檢測

雖然使用流量對網絡監控為低級方法，但是對實時通信系統與點對點傳輸網絡使用者監控是非常有效的。比如，對計算機UDPsession進行觀察。實時通信系統和點對點傳輸網絡中有利用UDP連接模式獨特傳輸資料的行為，該傳輸模式能夠在分散式網絡架構中尋找到哪部計算機進行了傳輸，該檢測只需要記錄網絡流量就能夠對實時通信系統和點對點傳輸網絡使用者進行判斷。因為點對點傳輸網絡成員要想保證最佳通信質量，就要不斷發送封包對網絡環境變化進行確認，所以要發現使用者，節點計算機在連接過程中需要發送控制數據包和分散式網絡互動[11]。全部網絡利用UDP協議傳輸查詢Supernode數據包，利用UDP低成本、簡單和有效的特點，不斷送出控制數據包維持Supernode數量來保證通信質量。在啟用網絡時會發送一個或者多個UDPsockets等待，在連接過程中利用UDP通信端口協助實時通信系統多地址溝通。簡單來說，要求計算機使用一個或者多個UDP端口實現連接和控制。比如，在局域網安全監控系統中UDP傳輸追蹤顯示兩分鐘有390多個記錄，全部輸出都為UDP10810和2787兩個端口，此系統利用端口對服務器服務狀態進行查詢，另外一個端口實現搜尋、連接、IP查詢和公告[12]。

3.5系統安全處理

計算機IP地址范圍是確定的，并且具備明確閉合邊界。其具備C類IP地址，包括FTP、WWW、DNS等服務器，能夠使用以下控制策略：對于進入到主干網存取的控制局域網具備自身IP地址，要禁止通過本路由器對外網訪問；控制網絡中心資源主機訪問；保護網絡中心服務器等主要資源；對于網絡中心全部資源要禁止WWW、DNS、FTP之外的服務[13]。針對企業外所傳播的非法信息網址進行訪問控制，能夠利用計費系統得到最新IP訪問信息，通過域名查詢等方法確定某IP訪問是否違法。根據網絡拓撲設計情況和防火墻設置安全需求在企業局域網出口位置設置過濾防火墻。此防火墻能夠隔離內外網與主要服務器，阻止外網攻擊局域網內部和內網服務器。局域網防護墻隔離內外網，屏蔽內網IP與應用服務器，還能夠實現進出服務器數據分組動態過濾，在有異常時及時報警。針對外網來說，能夠對服務器IP進行訪問，看不到內網中全部站點[14]。圖5為用戶、防火墻和服務器的關系。證書申請和發放的步驟為：1）服務器和用戶生成各自證書申請文件，并且傳輸到證書中心。證書申請文件主要包括網絡用戶簽名信息、用戶身份信息、公鑰信息等[15]；2）證書中心對證書合法性、正確性進行驗證，并且為網絡合法用戶簽發證書，此證書主要包括證書中心簽名；3）網絡用戶接收證書中心的證書，在本地安裝，并且服務器也要安裝相應證書[16]；4）在網絡用戶登錄到服務器時，先通過服務器驗證各自的身份，假如身份驗證正確，則服務器與用戶接收發送的數據都通過密文方式進行傳輸。主機型局域網安全結構防護系統要在主機中安裝Agent，其主要目的是監視主機內部程序的運行，并且監控和記錄活動，所有事件都記錄在日志文檔中，并且與攻擊特征數據庫對比，對主機是否受到攻擊進行判斷[17]。

3.6網頁過濾

網絡型局域網安全結構是通過一個或者多個檢測器，由對資料進行收集和分析的主控臺構成。對每個通過的網絡封包進行分析，并且對比已知攻擊特征，如果滿足某攻擊特征，系統就會啟動防護措施，比如發出警告或者控制防火墻。文中所設計的網頁過濾器能夠對XML驗證器和MAC信息模塊處理進行參數傳遞，使處理結果傳遞到下個網絡應用程序中，從而實現原本工作，或者顯示輸入錯誤警示畫面[18]，圖6為警示畫面。

4結束語

在網絡應用不斷普及的過程中，網絡安全也越來越重要，國家與企業對于創建安全網絡的要求更高。信息安全并不是市場中全部安全產品所能保證的，重點為完善計算機網絡安全方案。基于編碼的計算機網絡安全結構能夠加強計算機安全，保證檢測精確度與敏感度，并且節省發送端能量。另外，計算機安全結構功能越來越多元化，降低了計算機網絡對于人們生活生產造成的不安全因素，提高了網絡安全系數。

作者:賀爭漢 單位:咸陽職業技術學院