數(shù)據(jù)通信安全匯總十篇

序論：好文章的創(chuàng)作是一個不斷探索和完善的過程，我們?yōu)槟扑]十篇數(shù)據(jù)通信安全范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來更深刻的閱讀感受。

篇（1）

量子保密通信是基于量子密鑰分發(fā)的密碼通信解決方案，量子密鑰分發(fā)不依賴于計算的復雜性來保證通信安全，而是基于量子力學基本原理。只要能夠在通信雙方成功的建立密鑰，這組建立的密鑰就是絕對安全的，并且這種密鑰是具有絕對隨機性的，從原理上無法破解。由于量子密碼系統(tǒng)基于的這種隨機性，其安全性不因數(shù)學水平和計算能力的提高受到威脅，所以不僅是現(xiàn)在，而且在未來利用量子密碼系統(tǒng)加密的信息都是安全的。由此，人類目前已知的唯一具有長期安全性保障的通信解決方案是量子保密通信。并且在世界范圍內(nèi)已有量子通信網(wǎng)絡初步建成并運行。在傳統(tǒng)數(shù)據(jù)傳輸系統(tǒng)基礎(chǔ)上，使用量子通信保證數(shù)據(jù)傳輸?shù)陌踩裕岣邤?shù)據(jù)通信網(wǎng)絡的可靠性、安全性和穩(wěn)定性，是一個值得研究和發(fā)展的方向，兩者結(jié)合能夠有效保證數(shù)據(jù)在通信過程中的安全可靠。

一、QKD系統(tǒng)基本結(jié)構(gòu)

如圖表1.1所示，QKD系統(tǒng)主要由主控模塊、數(shù)據(jù)處理模塊、系統(tǒng)管理模塊、光電系統(tǒng)（光學模塊和單光子探測器）組成。該QKD系統(tǒng)的運行受控于密鑰生成控制系統(tǒng)，由密鑰生成控制系統(tǒng)下發(fā)QKD控制指令給終端設備的系統(tǒng)管理模塊，系統(tǒng)管理模塊將接收到的指令進行必要的協(xié)議轉(zhuǎn)換（某些關(guān)鍵指令還需要加解密處理），完成對QKD系統(tǒng)進行工作流程控制。系統(tǒng)管理模塊的主要硬件結(jié)構(gòu)如圖表1.2所示：

二、QKD系統(tǒng)與數(shù)據(jù)通信

在當前的要求數(shù)據(jù)安全性比較高的網(wǎng)絡中，會采用專線進行保密的數(shù)據(jù)通信，會添加防護設備，增加一道安全措施。設備首先需要通過證書機制，完成身份認證過程，然后將一端產(chǎn)生的隨機數(shù)通過非對稱密碼學算法加密處理后傳輸給另一端，而另一端的防護設備將接收到數(shù)據(jù)，并把數(shù)據(jù)進行解密，由此獲得隨機數(shù)，這樣就完成了對稱密鑰的分發(fā)過程。由于目前的對稱密鑰分發(fā)機制，必須由經(jīng)典密鑰學的加解密算法處理，這樣就有可能被攻破。因此，通過制定一整套完善的量子對稱密鑰傳輸、同步、中繼等協(xié)議，使得防護設備可以使用QKD系統(tǒng)提供的對稱量子密鑰，對目前系統(tǒng)網(wǎng)絡中的數(shù)據(jù)進行實時量子加解密處理。如圖表2.1所示：

三、多用戶應用場景下的量子密鑰分配、存儲和管理機制

如圖表3.1所示，在要求較高的專線數(shù)據(jù)傳輸系統(tǒng)多用戶應用場景下，可將該專線網(wǎng)絡分為“客戶大區(qū)”和“管理大區(qū)”兩大部分。該場景下的兩個用戶之前數(shù)據(jù)通信的安全通信可由QKD系統(tǒng)直接向認證設備提供的量子密鑰保證。在該網(wǎng)絡中，可使用一個全通型光量子交換機，掛接6臺量子網(wǎng)關(guān)，在密鑰生成控制服務器的調(diào)度下，實現(xiàn)任意兩個設備間的量子密鑰分發(fā)，并直接把生成的量子密鑰存儲在各自設備內(nèi)。管理大區(qū)用戶與客戶大區(qū)用戶之間進行通信，其防護設備可以使用QKD系統(tǒng)提供的量子密鑰，完成數(shù)據(jù)加解密功能，達到安全的保密通信要求。多用戶應用場景量子加密數(shù)據(jù)傳輸?shù)闹饕襟E如下：(1)場景內(nèi)，每個用戶終端部署一臺QKD系統(tǒng)，由密鑰生成控制服務器定時監(jiān)控每個用戶的當前量子密鑰量，根據(jù)制定的排隊策略，把各個QKD系統(tǒng)按照規(guī)則進行配對，啟動量子密鑰分發(fā)；(2)各個QKD系統(tǒng)必須由唯一的ID號標識身份，該QKD與其他的QKD系統(tǒng)進行量子密鑰分發(fā)，并且會使用對方ID號對生成的量子密鑰進行標識和保存。(3)通過具體的用戶通信進行演示：客戶大區(qū)的用戶2需要與用戶4進行通信，密鑰生成控制服務器會統(tǒng)一管理，安排用戶2與用4進行通信，用戶2的QKD系統(tǒng)會根據(jù)ID號與用戶4的QKD系統(tǒng)分發(fā)的量子密鑰進行設備認證，而用戶4的QKD系統(tǒng)也會根據(jù)ID號與用戶2的QKD系統(tǒng)分發(fā)的量子密鑰提供給認證設備；(4)認證設備采用量子密鑰，對傳輸?shù)臄?shù)據(jù)進行加解密處理，使保密通信過程完成。

四、通信網(wǎng)絡與量子網(wǎng)絡融合

(一)通信網(wǎng)絡中的加密認證設備部署

專線網(wǎng)絡要實現(xiàn)“分級管理”的要求，各級數(shù)據(jù)調(diào)度中心以及下屬的各個數(shù)據(jù)站點部署了加密認證設備，根據(jù)總部調(diào)度通信關(guān)系建立加密隧道（理論上只能在上級和下級之間建立加密隧道），加密隧道拓撲的結(jié)構(gòu)是網(wǎng)狀結(jié)構(gòu)。如圖表4.1、圖表4.2所示：

(二)量子通信網(wǎng)絡融入實例

在一級分部調(diào)度中心管理中，加密認證設備需要對相鄰的二級分部使用QKD系統(tǒng)提供的量子密鑰進行加解密處理。網(wǎng)絡拓撲如圖表4.3所示：一級分部調(diào)度中心控制二級分部1和二級分部2的通信網(wǎng)絡，一級分部與兩個二級分部都可以通過量子集控站，完成兩兩間的量子信道建立，在集控站的統(tǒng)一協(xié)調(diào)下，使其具備兩兩之間能夠分發(fā)量子密鑰的能力。由此，一級分部調(diào)度中心與兩個分部之間就可以實現(xiàn)兩兩加密認證設備通過使用量子密鑰進行加解密處理的保密通信。該場景下的通信數(shù)據(jù)加解密與傳輸流程如下所示：(1（)這里一級分部調(diào)度中心簡稱為一級中心；二級分部1簡稱為二分1；二級分部2簡稱為二分2）。(2)一級中心的集控站與二分1的集控站、一級中心的集控站與二分2的集控站，在密鑰生成控制服務器（處于集控站中）的統(tǒng)一協(xié)調(diào)管理下，實現(xiàn)量子密鑰分發(fā)；(3)二分1需要完成與一級中心的通信數(shù)據(jù)傳輸，二分1的認證設備先用與一級中心分發(fā)的量子密鑰，對數(shù)據(jù)進行加密處理，然后由經(jīng)典網(wǎng)絡傳給一級中心；(4)一級中心接收到二分1傳輸?shù)募用軘?shù)據(jù)，一級中心認證設備使用與二分1分發(fā)的量子密鑰進行解密，這樣就實現(xiàn)了二分1傳輸通信數(shù)據(jù)給一級中心的功能；(5)與此同時，一級中心下發(fā)調(diào)度指令給二分1，一級中心的認證設備使用與二分1分發(fā)的量子密鑰，對調(diào)度指令進行加密處理，然后通過經(jīng)典網(wǎng)絡傳輸給二分1；(6)二分1接收到一級中心傳輸?shù)募用苷{(diào)度指令，二分1認證設備使用與一級中心分發(fā)的量子密鑰進行解密，這樣就完成了一級中心傳輸數(shù)據(jù)給二分1的功能；(7)二分2與一級中心之間的通信數(shù)據(jù)傳輸與二分1相似。在二級分部1下，用戶1和用戶2的量子信道通過全通光量子交換機與該分部集控站連接，實現(xiàn)用戶1、用戶2和二級分部1兩兩之間的量子密鑰分發(fā)。該場景下的通信數(shù)據(jù)加解密與傳輸流程如下所示：(1)用戶1與二級分部1、用戶2與二級分部1，在密鑰生成控制服務器（處于集控站中）的統(tǒng)一協(xié)調(diào)，實現(xiàn)量子密鑰分發(fā)；(2)用戶1需要與一級分部調(diào)度中心進行通信數(shù)據(jù)傳輸，用戶1的認證設備首先使用其與一級分部1交互分發(fā)的量子密鑰，加密通信數(shù)據(jù)，然后由經(jīng)典網(wǎng)絡傳輸給一級分部1；(3)一級分部1收到用戶1傳輸?shù)慕?jīng)過加密通信數(shù)據(jù)，一級分部1的認證設備使用與用戶1分發(fā)的量子密鑰對加密數(shù)據(jù)進行解密，這樣就實現(xiàn)了用戶1傳輸數(shù)據(jù)給一級分部1的功能；(4)同時，一級分部1可以下發(fā)調(diào)度指令給用戶1，一級分部1的認證設備使用與用戶1分發(fā)的量子密鑰，加密調(diào)度指令，然后經(jīng)由經(jīng)典網(wǎng)絡傳輸給用戶1；(5)用戶1接收到二級分部1傳輸?shù)募用苷{(diào)度指令，其認證設備使用與二級分部1分發(fā)的量子密鑰進行解密，這樣就完成了二級分部1傳輸通信數(shù)據(jù)給用戶1的功能；(6)用戶2與二級分部1之間的通信數(shù)據(jù)傳輸與用戶1類似。如果用戶1或用戶2需要與一級分部調(diào)度中心直接傳輸通信數(shù)據(jù)，則要用到密鑰中繼功能，以用戶2上傳數(shù)據(jù)給一級分部調(diào)度中心為例，主要步驟如下所示：(1)一級分部調(diào)度中心的集控站與二級分部1下的用戶2，通過它們之間的二級分部1集控站，利用經(jīng)典密鑰中繼的方式，使一級分部調(diào)度中心與用戶2之間擁有共享的量子密鑰；(2)用戶2的認證設備，需要給傳輸給一級分部調(diào)度中心的數(shù)據(jù)進行加密，加密密鑰為上述共享的量子密鑰，然后由經(jīng)典網(wǎng)絡傳輸給一級分部調(diào)度中心；(3)一級分部調(diào)度中心的認證設備，利用對應的量子密鑰作為業(yè)務密鑰，將用戶2傳輸過來的加密數(shù)據(jù)進行解密，這樣就實現(xiàn)了用戶2與一級分部調(diào)度中心之間數(shù)據(jù)加解密傳輸功能。

篇（2）

中圖分類號：TP309.7 文獻標識碼：A文章編號：1007-9599 (2011) 14-0000-01

Mobile Data Communication Security Encryption Program Analysis

Chen Huaiying

(TISSON Ruida Communication Technology Co.,Ltd.,Guangzhou510600,China)

Abstract:This paper mobile data communication of a symmetric encryption scheme is analyzed and discussed,and targeted for a pilot test to obtain a better than actual results.That the process used in the mobile communications simple symmetric encryption is calculated to achieve security requirements.

Keywords:Mobile data;Communication encryption;Symmetric encryption;Test analysis

一、移動數(shù)據(jù)通信安全加密方案分析

（一）加密算法選擇。信息的加密的目的就是將“明文”化的可讀取信息經(jīng)過一組規(guī)則變化而成為不易識別和破解的密文，使得惡意攻擊或者攔截者無法獲得其中的內(nèi)容。這種變換的規(guī)則就是加密算法。在移動數(shù)據(jù)通信中要建立其安全加密方案，對加密算法的選擇是首先要解決的問題。

目前加密的算法按照密鑰可以劃分為對稱密鑰加密、分對稱密鑰加密。因為對稱加密和非對稱加密個有所長，因此網(wǎng)絡中通常采用的混合形式的加密算法對傳輸?shù)臄?shù)據(jù)進行加密，即密鑰采用分對稱加密，而數(shù)據(jù)則采用對稱加密的形式。移動數(shù)據(jù)通信系統(tǒng)尤其獨特的特征，其加密的算法要比常規(guī)的通信網(wǎng)絡要求更高，應符合：較高的安全性能；算法的執(zhí)行效率高；密文長度限制性強；計算與通信的負擔不能過大。

鑒于此，非對稱加密雖然不存在密鑰管理的問題，但是其算法較為復雜，利用軟件實現(xiàn)其效率偏低，同時移動設備與服務器支架愛你的敏感數(shù)據(jù)傳輸在一次連接過程中往往只需要有限的次數(shù)，所以在保證安全性的基礎(chǔ)上可以采用對稱加密方式對數(shù)據(jù)通信進行加密。根據(jù)信息論思路，對方查看密文和前后明文的不確定性是對等的，即觀察密文不會給其提供任何破譯密碼信息的幫助，所以對稱加密的方案在合理設計的情況下可以保證數(shù)據(jù)通信的安全，同時降低了系統(tǒng)的負擔。在方案設計中經(jīng)過比對證明采用AES和XXTEA算法是可行的。

（二）密鑰和密鑰管理。密鑰是加密方案中的核心信息，是控制信息加密和算法實現(xiàn)的關(guān)鍵。對稱密鑰加密措施的弱點就是需要解決的最大的安全性問題，即：共享的密鑰的和管理。

在移動數(shù)據(jù)通信安全加密方案中，設計服務器端與客戶端共享多種加密方式，設定為C0，C1，C2……Cn+1。等待的密鑰為K，則服務器密鑰的過程為：受到客戶端的請求后，服務器隨機生成一個整數(shù)，此數(shù)字正在0-26535之間設為r，即得到m=modr；選取m為對應的加密方式，即Cm。如果這個加密方式需要參數(shù)，則隨機生成并采用Cm加密K，賦予參數(shù)為P，加密后得到密鑰Ke；此時將r、P、Ke的長度約定補足到C0-Cn+1所對應的序列長度，其中補充的部分是隨機生成的。令補足后的序列設定為I1，并將此傳遞給用戶端。即完成了密鑰的。

客戶端在接收到密鑰時就對前面的算法進行逆向操作，過程如下：從服務器端獲得I1序列并讀取隨機的整數(shù)r；在獲得m=rmodn，獲得其對應的加密方式為Cm，如果此加密方式需要參數(shù)，則從服務器端獲得的序列中讀到參數(shù)P；利用參數(shù)P的加密方式Cm就可解密Ke得到K。

客戶端獲得密鑰后，就可以利用實現(xiàn)設定的加密算法對需要處理的加密信息，并將加密后的信息I2傳遞到服務器上。此時服務器通過ID的識別驗證客戶身份然后利用約定的密鑰解密信息。至此就完成了敏感信息的傳遞。

二、方案的性能分析

為了保證設計方案的可以用性，設計完成后針對方案的安全性能等方面的分析和測試。具體情況如下：

（一）安全性能的分析。在方案中，明文中不會出現(xiàn)任何與客戶相關(guān)的字節(jié)，同時在一次執(zhí)行過程中，線后出現(xiàn)在無線端口上的不同兩個序列I1、I2對于攻擊者而言是沒有任何關(guān)系的信息，所以攻擊者無法從數(shù)據(jù)通信中獲得任何兩條相關(guān)聯(lián)的信息，另外因為一次性隨機數(shù)據(jù)的存在此種關(guān)聯(lián)性更加無法獲取，因此可以有效的保護用戶身份和位置的匿名性。

根據(jù)所選用的加密算法的差異，和選擇使用固定密鑰和可變密鑰的技術(shù)措施，針對不同的加密算法方案，參數(shù)的長度是不同的，最終發(fā)給客戶的字節(jié)數(shù)也長度不等，這樣就降低了密碼分析的難度而導致安全漏洞，所以方案中設計了補充措施，然后再進行加密就提高了解譯密碼的難度。

在移動數(shù)據(jù)通信中，此方案的共享密鑰不是存儲在手機中，也不是保存在服務器的數(shù)據(jù)庫中，而是在每次數(shù)據(jù)通信過程中由執(zhí)行的過程隨機產(chǎn)出，所以即使用戶的終端設備被竊聽或者服務器遭到入侵，也可保證其較好的安全性能。

（二）方案的運行效率分析。在實際的應用中，與混合加密的措施相比，設計的對稱加密措施可以不需要同第三方參與，避免了大素數(shù)生成而耗時過長的情況，因此大大提高了系統(tǒng)加密的性能，增加了移動平臺上的使用效果，而方案中包含的操作相當?shù)暮唵危渌阈g(shù)操作、對稱加密等對于目前的計算機和移動設備而言是相當容易的，主要是因為其算量可以接受。具體看：計算量分析，移動客戶端需要一次移位操作，一次對稱密鑰解密，一次對稱密鑰加密操作；服務器需要一次隨機數(shù)生成，需要一次移位操作，一次對稱加密，一次對稱解密，可見其操作的計算量十分簡單易行。交互次數(shù)分析，移動用戶和服務器網(wǎng)絡需要進行的是兩次交互即完成了信息加密和解密。需要的消息數(shù)目也僅僅是2條而已。

三、結(jié)束語

在實際的測試中，客戶端采用J2me實現(xiàn)，模擬器為某公司提供的WTK2.2；服務器工作站的實現(xiàn)算法的編程語言為C+；對于密鑰的過程進行多次的執(zhí)行試驗，同時統(tǒng)計了幾種加密方式各自在過程中的響應延時。實體機測試采用的是摩托羅拉某款手機，因為需要加密的數(shù)據(jù)長度不固定，此時給出了加密1Kbit數(shù)據(jù)的平均時間。結(jié)果顯示，系統(tǒng)可以完成毫秒級的程序執(zhí)行，完全可以滿足實際移動數(shù)據(jù)通信的需求，在實踐中只要利用合理的程序設定就可以實現(xiàn)信息加密，保證信息安全。

參考文獻：

篇（3）

1.2管理漏洞在現(xiàn)實中，很多的企業(yè)和政府機關(guān)在利用網(wǎng)絡數(shù)據(jù)通信時沒有充分重視安全方面的問題，一方面在這方面投入的硬件設施較為落后，更新?lián)Q代速度慢，另一方面由于相關(guān)技術(shù)和管理人員缺乏，使得信息資源的使用和傳輸非常隨意，再加上對計算機等設備的采購控制不嚴，容易被不法人員預先在計算機內(nèi)部植入病毒，給數(shù)據(jù)通信帶來了安全隱患。

2、網(wǎng)絡數(shù)據(jù)通信中的安全防范措施

2.1對網(wǎng)絡的安全性進行評估對涉及網(wǎng)絡安全的各因素進行科學而準確的評估，包括對網(wǎng)絡信息、網(wǎng)絡用戶、網(wǎng)絡行為的評估，得出網(wǎng)絡數(shù)據(jù)通信系統(tǒng)的安全指數(shù)，然后通過專業(yè)人士分局評估狀況進行分析和審查，提出改進意見，以最大程度的保證企業(yè)、機關(guān)單位網(wǎng)絡的安全性，同時要注意網(wǎng)絡環(huán)境是不斷變化的，網(wǎng)絡安全性的評估方法和指標也必須要不斷更新，并要定期對網(wǎng)絡系統(tǒng)急性安全性評估，以保證評估結(jié)果與當下的網(wǎng)絡環(huán)境相適應，更具有參考價值。

2.2對網(wǎng)絡入侵進行檢測由于網(wǎng)絡數(shù)據(jù)的通信是基于TCP/IP等網(wǎng)絡通訊協(xié)議的基礎(chǔ)上的，因此可通過對訪問網(wǎng)絡和系統(tǒng)主機的行為進行監(jiān)視和分析，判斷其是否為入侵、違反安全策略的行為，對網(wǎng)絡入侵進行迅速的攔截，確保數(shù)據(jù)通信安全，同時發(fā)出報警，以提示相關(guān)工作人員進行進一步的處理。

2.3實施訪問控制首先，對入網(wǎng)進行訪問控制，通過設置權(quán)限的方式使登陸到網(wǎng)絡服務器的用戶均是得到授權(quán)的用戶，從很大程度上杜絕了非法訪問的情況，同時要做好內(nèi)部訪問外部網(wǎng)絡的控制，防止病毒、木馬程序順著訪問路徑入侵；其次，通過對主機的訪問權(quán)限設置口令的方式限制用戶訪問，通過這兩種訪問控制措施增強網(wǎng)絡系統(tǒng)的安全性。

2.4在傳輸途徑中進行數(shù)據(jù)加密將信息數(shù)據(jù)在傳輸前編譯成代碼，使之在網(wǎng)絡傳輸過程中不易被破譯，被接收之后通過解密手段將信息還原，目前有兩種加密方式，分別是鏈路加密技術(shù)與端到端加密技術(shù)，其中鏈路加密技術(shù)可以保證數(shù)據(jù)在傳輸過程中的安全，而端到端加密技術(shù)則可在數(shù)據(jù)信息的發(fā)送端和接受端同時以加密的形式存在，保證數(shù)據(jù)在兩端均不受到破壞，在實際中，更多的是將這兩種加密技術(shù)同時采用，以提高數(shù)據(jù)信息的安全性。

2.5從網(wǎng)絡數(shù)據(jù)通信軟件與硬件設施方面進行安全防護網(wǎng)絡安全涉及到的范圍很廣，除了數(shù)據(jù)在傳輸過程中的安全性外還有計算機軟件與各種網(wǎng)絡設備硬件的損壞等，因此要對可能產(chǎn)生的網(wǎng)絡安全風險的因素進行全面分析，尋找導致安全問題風險的原因所在，并對網(wǎng)絡安全薄弱環(huán)節(jié)進行重點防御，做到未雨綢繆，對于軟件方面帶來的威脅，要不斷修補系統(tǒng)存在的漏洞，并著重對上網(wǎng)的軟件漏洞進行修復，啟動防火墻以應對非法訪問，安裝先進的殺毒、查殺木馬軟件等，對于硬件方面，要以及不斷更新硬件設備和配套軟件，采用具備安全防護的網(wǎng)絡節(jié)點設備以及具備自我防御能力的服務器等，盡量采用電腦的主機與服務器一體化的終端設備，同時設置不間斷供電電源，以避免數(shù)據(jù)的丟失，并對數(shù)據(jù)庫的數(shù)據(jù)進行安全備份等。

篇（4）

一、數(shù)據(jù)通信網(wǎng)絡簡介

所謂的數(shù)據(jù)通信網(wǎng)絡，簡單來說，就是圍繞計算機為核心，通過光纜以及無線等諸多通道，達到一種網(wǎng)絡相連的目的，最終，借助數(shù)據(jù)通信的作用，做好信息之間的傳遞以及接收，努力促使各項信息在人們之間實現(xiàn)共享。基于覆蓋范圍視角下來看，數(shù)據(jù)通信網(wǎng)絡主要包括局域網(wǎng)、廣域網(wǎng)、城域網(wǎng)以及國際網(wǎng)四種。小到家庭，大到一個企業(yè)、公司，都可以合理的應用局域網(wǎng)，所以在數(shù)據(jù)通信網(wǎng)絡四種形式當中，局域網(wǎng)有著較為廣泛的應用范圍。在網(wǎng)絡應用過程中，正因為應用的范圍之廣，頻率之高，進而增大的網(wǎng)絡的不安全性，對人們各項信息之間的共享增加了危險性。對此，做好數(shù)據(jù)通信網(wǎng)絡的維護工作，確保網(wǎng)絡環(huán)境具備較高的安全性是最為迫切的任務。

二、維護數(shù)據(jù)通信網(wǎng)絡對于保障網(wǎng)絡安全的現(xiàn)實意義

對于網(wǎng)絡維護工作而言，最本質(zhì)的目的就在于促使數(shù)據(jù)傳遞之間具備較高穩(wěn)定性的同時，增強人們網(wǎng)絡環(huán)境的安全性，以此提高網(wǎng)絡維護工作的技術(shù)保護力度，為人們信息的安全以及企業(yè)內(nèi)部數(shù)據(jù)的安全提供有力保障。其中，在不法分子對數(shù)據(jù)通信網(wǎng)絡進行攻擊過程中，針對其中存在的漏洞，能夠?qū)е缕髽I(yè)局域網(wǎng)出現(xiàn)問題，進而企業(yè)內(nèi)部重要信息得以丟失的基礎(chǔ)上，還可以印發(fā)企業(yè)發(fā)展危機等事故，基于該種現(xiàn)狀下，著重突出了數(shù)據(jù)通信網(wǎng)絡安全性的重要意義。而如果數(shù)據(jù)通信網(wǎng)絡處于較差的環(huán)境當中，在人們利用網(wǎng)絡傳遞信息過程中，就會出現(xiàn)延時甚至無法發(fā)送的問題，特別市對于一些大型的企業(yè)，不僅導致決策上出現(xiàn)失誤，而且還會導致企業(yè)最終經(jīng)濟效益無法有效提升，對此，數(shù)據(jù)通信網(wǎng)絡具備較高的穩(wěn)定性有著重要的作用。

三、通過數(shù)據(jù)通信網(wǎng)絡維護保障網(wǎng)絡安全的具體措施

（一）評估網(wǎng)絡安全性

對于數(shù)據(jù)通信網(wǎng)絡而言，主要的作用就是促使企業(yè)以及個人等，在應用網(wǎng)絡過程中，促使數(shù)據(jù)以及信息之間的傳遞能夠處于一個安全的平臺當中，而要想實現(xiàn)數(shù)據(jù)通信網(wǎng)絡的安全性，進行必要的網(wǎng)絡維護至為關(guān)鍵。首先，相關(guān)工作人員應該先對網(wǎng)絡的安全性進行全面的評估，重點檢查好局域網(wǎng)環(huán)境的安全性，準確找出存在于網(wǎng)絡環(huán)境當中的危險因素，合理的計劃出網(wǎng)絡環(huán)境的安全系數(shù)，進而為接下來更好的制定維護措施打下堅實的基礎(chǔ)。在對網(wǎng)絡安全性進行評估過程中，最為關(guān)鍵的應該由專業(yè)人士進行評估，綜合考慮數(shù)據(jù)通信網(wǎng)絡硬件以及軟件等條件，由此快速準確的找出威脅網(wǎng)絡安全的因素，制定合理有效的網(wǎng)絡評估方案。

（二）分析網(wǎng)絡可能存在的漏洞與威脅

在專業(yè)人士對評估局域網(wǎng)過程中，如果發(fā)現(xiàn)網(wǎng)絡環(huán)境的安全性較差，那么從中可以判斷出該網(wǎng)絡環(huán)境中存在較大的安全隱患，相關(guān)人員應該以此為核心進行深入的分析。第一，事先劃分出數(shù)據(jù)信息的重要等級程度，然后找出信息是否存在攻擊的問題，如果發(fā)生被他人惡意進入，那么工作人員應該第一時間提高網(wǎng)絡的安全防護級別。比如，工作人員可以再次對訪問IP進行升級等。與此同時，嚴格的分析網(wǎng)絡的內(nèi)部系統(tǒng)，及時找出內(nèi)部環(huán)境當中存在的安全危險因素，找出引發(fā)安全問題的原因，制定有效的維護措施，促使數(shù)據(jù)通信網(wǎng)絡環(huán)境的安全性有效提升。

（三）消除網(wǎng)絡漏洞或威脅

篇（5）

在經(jīng)濟與科技迅速發(fā)展的時代背景下，數(shù)據(jù)通信網(wǎng)絡借助計算機以及多種智能客戶端逐漸普及，數(shù)據(jù)通信網(wǎng)絡應用者逐漸增多，借助網(wǎng)絡平臺共享各類數(shù)據(jù)與資源，更能應用于企業(yè)工作、大眾娛樂等多種環(huán)節(jié)，網(wǎng)絡時代已然到來。但是，在數(shù)據(jù)網(wǎng)絡傳遞過程中，依舊存在諸多安全問題。只有高度重視網(wǎng)絡安全問題，致力于打造安全、穩(wěn)定網(wǎng)絡環(huán)境，才能發(fā)揮數(shù)據(jù)通信網(wǎng)絡應用價值，為大眾構(gòu)建安全的數(shù)據(jù)通信網(wǎng)絡環(huán)境，真正做好數(shù)據(jù)通信網(wǎng)絡安全管理工作。

1數(shù)據(jù)通信網(wǎng)絡維護的重要性

在數(shù)據(jù)通信網(wǎng)絡[1]應用過程中，除了技術(shù)性影響因素，還存在人為破壞問題。不法分子利用數(shù)據(jù)網(wǎng)絡通信漏洞，容易攻擊企業(yè)網(wǎng)絡，不僅會導致企業(yè)網(wǎng)絡運行受到影響，嚴重時，甚至會導致企業(yè)重要信息外泄，致使企業(yè)經(jīng)濟受損，出現(xiàn)不可挽回的損失。因此，無論是從技術(shù)角度考量，還是從數(shù)據(jù)網(wǎng)絡通信安全性角度分析，都應做好數(shù)據(jù)通信網(wǎng)絡安全工作，最大限度降低網(wǎng)絡運行導致企業(yè)受損。對于數(shù)據(jù)通信網(wǎng)絡存在的問題，應及時應對，并進行維修工作，從而保障數(shù)據(jù)通信網(wǎng)絡數(shù)據(jù)與資源安全。

2數(shù)據(jù)通信網(wǎng)絡存在的安全隱患問題

2.1網(wǎng)絡病毒入侵問題

對網(wǎng)絡病毒進行分析，網(wǎng)絡病毒本身的傳播能力強、破壞性強，一旦數(shù)據(jù)通信網(wǎng)絡被病毒所入侵，不僅會導致網(wǎng)絡數(shù)據(jù)資料泄露，還會使整個網(wǎng)絡呈現(xiàn)癱瘓現(xiàn)象。近些年，隨著網(wǎng)絡普及，破壞性極強的網(wǎng)絡病毒問題時有出現(xiàn)，這些病毒伴隨著網(wǎng)絡安全管理強化工作不斷發(fā)展，而部分人員為謀取不正當權(quán)益，借助網(wǎng)絡病毒攻擊各大網(wǎng)站以及企業(yè)賬戶，勢必會增加網(wǎng)絡病毒危險性，破壞網(wǎng)絡穩(wěn)定運行環(huán)境，進一步威脅數(shù)據(jù)通信網(wǎng)絡安全性，阻礙社會經(jīng)濟與科技進一步發(fā)展，對社會與科技發(fā)展極為不利。

2.2網(wǎng)絡系統(tǒng)漏洞問題

當前的網(wǎng)絡系統(tǒng)中大多數(shù)據(jù)通信網(wǎng)絡主要應用Windows與Linux系統(tǒng)[2]，上述兩種系統(tǒng)處于數(shù)據(jù)通信網(wǎng)絡系統(tǒng)底層，網(wǎng)絡中任何形式的操作都在此系統(tǒng)之上進行。在上述系統(tǒng)中構(gòu)建內(nèi)部操作體系，并在這一設置過程中，在網(wǎng)絡系統(tǒng)上設置訪問權(quán)限與系統(tǒng)參數(shù)，確保網(wǎng)絡系統(tǒng)能夠穩(wěn)定運行。只有這樣，才能避免數(shù)據(jù)通信網(wǎng)絡信息被篡改與破壞。但是，正是由于底層系統(tǒng)具有復雜性，系統(tǒng)內(nèi)部很容易出現(xiàn)多種攻擊，致使系統(tǒng)信息數(shù)據(jù)被更改，從而拒絕數(shù)據(jù)通信網(wǎng)絡服務請求，引發(fā)多種安全問題，不利于維護數(shù)據(jù)通信網(wǎng)絡安全。

2.3網(wǎng)絡軟件漏洞問題

計算機在系統(tǒng)支持下，能夠下載多個軟件，正是這些不同軟件，能夠為企業(yè)工作與大眾生活構(gòu)建良好網(wǎng)絡環(huán)境。但是，并不是所有的軟件都具有極強安全性，部分軟件本身存在一些漏洞，軟件的使用者大都沒有較高計算機水準，難以發(fā)現(xiàn)軟件漏洞問題。而這些軟件存在的漏洞，很容易為病毒以及不法分子提供可乘之機，從而以軟件漏洞為突破口入侵數(shù)據(jù)通信網(wǎng)絡。雖然軟件在更新過程中，能夠?qū)β┒磫栴}進行修補，但多數(shù)的軟件使用者并沒有及時進行更新，增加軟件漏洞被利用率，從而引起數(shù)據(jù)通信網(wǎng)絡安全問題。

3數(shù)據(jù)通信網(wǎng)絡安全問題有效解決策略

3.1不斷強化網(wǎng)絡加密技術(shù)

在數(shù)據(jù)通信網(wǎng)絡運用過程中，網(wǎng)絡傳輸作為不可或缺的一部分，在每一臺計算機以及智能設備運行過程中，都會出現(xiàn)數(shù)據(jù)傳輸行為。但是，如果數(shù)據(jù)通信網(wǎng)絡數(shù)據(jù)傳輸本身存在問題，勢必難以保障網(wǎng)絡運行安全性。因此，在實際的工作中，為解決網(wǎng)絡運行存在的多種問題，應做好數(shù)據(jù)通信網(wǎng)絡傳輸工作，不斷提高數(shù)據(jù)網(wǎng)絡傳輸?shù)陌踩耘c可靠性。針對這一問題，在實際的應對工作中，首先應給予斷電加密工作充分重視。斷電加密的方式相對簡單，在用戶獲取相關(guān)數(shù)據(jù)前，用戶本身的信息并不會被泄漏，此種加密方式安全性相對較高，但并不適合所有數(shù)據(jù)通信網(wǎng)絡加密工作。其次在數(shù)據(jù)加密工作中，應結(jié)合鏈路加密方式[3]，結(jié)合數(shù)據(jù)通信網(wǎng)絡具體情況，做好鏈路加密工作，最大限度提高網(wǎng)絡數(shù)據(jù)傳輸?shù)陌踩裕苊庵匾畔⒈桓`取。最后，應做好節(jié)點加密工作。對節(jié)點加密工作進行分析，此種加密方式主要通過設置密碼，將對應的節(jié)點進行連接與加密處理，在此種加密處理方式中，應對信息密級進行針對性處理。對于數(shù)據(jù)通信網(wǎng)絡加密技術(shù)進行分析，此種加密方式安全級別加高，適合企業(yè)以及各種大型網(wǎng)站，從而避免病毒入侵以及人為因素干擾，降低網(wǎng)絡安全性。

3.2做好操作系統(tǒng)維護工作

數(shù)據(jù)通信網(wǎng)絡操作底層操作系統(tǒng)本身相對復雜，具有開源性特點，漏洞問題在底層系統(tǒng)在所難免。因此，在實際的工作中，為提高底層操作系統(tǒng)安全性，維護網(wǎng)絡整體安全性，針對網(wǎng)絡系統(tǒng)存在的安全問題，應做好系統(tǒng)定期檢查工作，只有精準掌握系統(tǒng)情況，并做好漏洞修補工作，針對系統(tǒng)漏洞進行更新，才能提高系統(tǒng)整體安全性。此外，應結(jié)合先進技術(shù)，做好系統(tǒng)漏洞修復工作，引入漏洞掃描技術(shù)，對系統(tǒng)進行定期掃描，并結(jié)合系統(tǒng)存在的問題，制定專業(yè)修復方案。在修復過程中，可以綜合端口掃描方式，對數(shù)據(jù)通信網(wǎng)絡設備端口進行掃描，并將掃描情況與系統(tǒng)服務情況進行分析與對比，并結(jié)合漏洞做好處理方案，對漏洞進行匹配處理。最后，可以在系統(tǒng)漏洞掃描中，模擬不同黑客攻擊方式，并在模擬攻擊過程中尋找數(shù)據(jù)通信網(wǎng)絡系統(tǒng)中潛藏漏洞，從而開展系統(tǒng)性修復工作。只有不斷提高維護與修復可行性，才能規(guī)避多種系統(tǒng)漏洞問題，規(guī)避底層攻擊，提高數(shù)據(jù)通信系統(tǒng)的穩(wěn)定性與安全性。

3.3應選擇正版網(wǎng)絡軟件

很多計算機用戶使用者，并不具備正版軟件使用意識，絕大部分的計算機使用者，所選用的多為盜版軟件。盜版軟件雖具有相應功能，但是存在的安全隱患較多，很容易攜帶病毒，存在諸多安全隱患問題。而且，盜版軟件本身漏洞較多，在使用過程中極易被病毒攻擊。因此，應做好數(shù)據(jù)通信網(wǎng)絡宣傳工作，不斷提高計算機使用者安全意識，并對正版軟件購買者提供一定優(yōu)惠，從而加大軟件維護力度，并在軟件使用過程中，及時進行軟件更新工作。最后，應做好軟件的日常應用于管理工作，在日常使用中，對網(wǎng)絡軟件進行查殺，對垃圾程序以及網(wǎng)絡垃圾進行清理，第一時間處理帶病毒的軟件。只有這樣，才能從根源處規(guī)避軟件漏洞帶來的安全問題，提高網(wǎng)絡軟件運行安全性，提高數(shù)據(jù)通信網(wǎng)絡運行可靠性，解決網(wǎng)絡軟件存在的各種安全隱患。

3.4及時更新網(wǎng)絡防火墻

篇（6）

由于計算機網(wǎng)絡的普遍應用，我國數(shù)據(jù)通信網(wǎng)絡的使用率也隨之提高，因此，數(shù)據(jù)通信網(wǎng)絡的網(wǎng)絡安全對其具有重要意義。科學技術(shù)的不斷發(fā)展，數(shù)據(jù)通信網(wǎng)絡安全防護的方式也隨之多樣化，當前最為普遍的安全防護方式是維護管理，而且維護管理對網(wǎng)絡安全具有重要意義，維護管理工作的工作人員利用管理系統(tǒng)進而確保網(wǎng)絡的良好運行，網(wǎng)絡運行的安全環(huán)境才能使用戶放心使用數(shù)據(jù)通信網(wǎng)絡，也能夠進一步保障信息通信的有效性以及真實性。因此，針對大數(shù)據(jù)環(huán)境下的網(wǎng)絡安全以及數(shù)據(jù)通信網(wǎng)絡維護進行研究具有重要的意義。

1數(shù)據(jù)通信網(wǎng)絡與網(wǎng)絡安全的性質(zhì)

1.1數(shù)據(jù)通信網(wǎng)絡的性質(zhì)

數(shù)據(jù)通信網(wǎng)絡主要是以計算機作為載體，通過有線或是無線的通道進行的網(wǎng)絡互聯(lián)，用戶可以利用數(shù)據(jù)通信網(wǎng)絡進行數(shù)據(jù)的傳輸，當前數(shù)據(jù)通信網(wǎng)絡技術(shù)的發(fā)展速度相對較快，因此用戶對其也提出了相對較高的要求，數(shù)據(jù)通信以及信息資源作為互聯(lián)網(wǎng)的重要組成部分，但是依舊存在泄露的風險。因此，網(wǎng)絡安全作為通信安全以及隱私保護的基本保障，對信息的準確性、真實性和有效性都有較高要求。

1.2網(wǎng)絡安全的性質(zhì)

網(wǎng)絡安全是用戶數(shù)據(jù)保障的基本，根據(jù)對網(wǎng)絡硬件、軟件以及數(shù)據(jù)的保護從而有效的確保用戶信息的真實性以及有效性，網(wǎng)絡安全維護能夠抵擋外部以及病毒的惡意攻擊，進而確保信息不會因綜合因素被破壞或是泄露，而且還能夠確保系統(tǒng)正常的運行，通過計算機終端以及服務器共同構(gòu)建網(wǎng)絡，網(wǎng)絡的構(gòu)建能夠儲存大量的信息，不僅有共享的信息還有用戶的隱私信息，一般隱私信息難以被攻擊，但是并不能確保用戶在提取信息的過程中出現(xiàn)風險[1]。而且隨著當下網(wǎng)絡節(jié)點的不斷增加，網(wǎng)絡安全、維護以及防御逐漸也凸顯出其中的價值，一些不法分子利用數(shù)據(jù)傳輸?shù)穆┒唇孬@用戶傳輸?shù)男畔ⅲ绻脩羰莻€人PC，那么虛擬財產(chǎn)也會受到網(wǎng)絡黑客的威脅。

2網(wǎng)絡安全與數(shù)據(jù)通信中存在的問題

2.1病毒入侵

病毒入侵是當前最為常見的問題之一，病毒的入侵能夠破壞計算機程序，而且病毒具有較強的傳播性以及隱蔽性，對計算機系統(tǒng)正常的運行造成嚴重的影響。因此，數(shù)據(jù)通信在病毒的影響下也會出現(xiàn)一些問題，信息技術(shù)不斷的發(fā)展，病毒的種類以及病毒的強度也隨之提升，其破壞性以及感染性也隨之提升。病毒入侵的方式主要有以下幾種：（1）源代碼嵌入攻擊型。此類病毒入侵的目標基本上都是高級語言編寫出來的源代碼（源程序）。在源代碼編譯之前，這類病毒就已經(jīng)將病毒代碼植入其中，然后與源代碼捆綁在一起被編譯程序編譯成可執(zhí)行文件。因此剛剛生成的可執(zhí)行文件就已經(jīng)是帶毒文件。不過此類文件不多見，因為病毒的研發(fā)者想獲得源程序文件極為困難，而且編寫此類病毒，對于病毒的研發(fā)者自身的專業(yè)要求非常高，必須具備專業(yè)的代碼編程能力和水平。（2）代碼取代攻擊型。此類病毒主要針對編譯生成的可執(zhí)行文件（程序），將它自己的病毒代碼替換目標程序的部分或者全部模塊，此類病毒同樣碰到的幾率不高，因為它具有特定性和針對性，只攻擊預先設定的程序，針對性比較強，同時很難被發(fā)現(xiàn)，即使被發(fā)現(xiàn)也很難清除。（3）系統(tǒng)修改型。此類病毒是日常最為常見的一種病毒類型，基本上都是文件型病毒。它主要是用自己的代碼修改或者覆蓋系統(tǒng)中的已有的某些文件，從而非法調(diào)用或替換操作系統(tǒng)的部分功能。因為此類病毒可以直接入侵和感染系統(tǒng)，所以它的危害較大。（4）外殼附加型。目前大多數(shù)文件型的病毒屬于外殼附加型病毒。此類病毒一般是將它的病毒代碼添加在正常程序的頭部或者通過跳轉(zhuǎn)指針附加在正常程序的尾部，就好像給正常程序增加了一個包裹其的外殼。因此被感染此類病毒的正常程序在執(zhí)行前，勢必先執(zhí)行病毒代碼，將其自身調(diào)入內(nèi)存，隨后才將正常程序調(diào)入內(nèi)存。

2.2軟件系統(tǒng)存在的問題

計算機中存在的大量的附有特殊功能的軟件或系統(tǒng)（統(tǒng)稱為軟件系統(tǒng)），同時，這些軟件系統(tǒng)也會存在一定的漏洞。漏洞指的是一個軟件系統(tǒng)先天存在的某些缺陷和隱患，軟件系統(tǒng)對危險事件與特定威脅攻擊的敏感性，或進行攻擊及威脅安全的可能性。在應用軟件或操作系統(tǒng)設計和編碼階段，由于某些原因而與生俱來的缺陷就是產(chǎn)生漏洞之源，當然也可能來自在交互處理過程中的業(yè)務流程設計缺陷或者不合理的邏輯處理流程。這些先天存在的缺陷、隱患或不合理之處可能會吸引黑客有意或無意地加以利用，從而對一個軟件系統(tǒng)的正常運行造成不利影響，比如黑客利用某個管理信息系統(tǒng)（MIS）的漏洞對其進行攻擊，那么他可能會竊取系統(tǒng)中存儲的敏感和重要信息或資料，篡改系統(tǒng)中存儲的各種數(shù)據(jù)，甚至該軟件系統(tǒng)還可能被作為繼續(xù)入侵其他主機系統(tǒng)的中轉(zhuǎn)站。根據(jù)目前發(fā)現(xiàn)的漏洞種類和攻擊方式來看，應用軟件中的漏洞要大大多于操作系統(tǒng)中的漏洞，尤其對于當前盛行的各種Wed應用系統(tǒng)，它可能的漏洞在信息系統(tǒng)中的占比是非常高的，甚至達到90%以上。因此，漏洞的存在或者說不可避免性，就為不法分子侵入計算機系統(tǒng)提供了一定的門路，而且當前黑客入侵計算機系統(tǒng)最為常見的方式就是利用軟件系統(tǒng)的漏洞，進而對用戶的信息以及網(wǎng)絡系統(tǒng)進行破壞，對用戶的隱私問題以及計算機安全問題造成一定的影響。

3網(wǎng)絡安全與數(shù)據(jù)通信網(wǎng)絡維護的對策

3.1安全評估

為確保數(shù)據(jù)共享的安全性以及信息數(shù)據(jù)的有效性，網(wǎng)絡安全評估是其中必不可少的一項，網(wǎng)絡安全評估所指的是對通信網(wǎng)絡內(nèi)部的檢查情況，進而確定是否存在安全隱患。工作人員在對數(shù)據(jù)通信網(wǎng)絡進行評估時，對所檢驗的數(shù)據(jù)要細致入微，根據(jù)所得出的信息進行全面的分析，進而給予符合實際的評價。

3.2網(wǎng)絡安全風險分析

網(wǎng)絡安全性能評估之后就需要對網(wǎng)絡安全風險進行分析，通過對網(wǎng)絡安全風險的分析從而發(fā)現(xiàn)數(shù)據(jù)通信中存在的威脅，根據(jù)所存在的威脅設置具有針對性的訪問權(quán)限，為能夠進一步提高數(shù)據(jù)通信網(wǎng)絡的安全性，需要確保漏洞消除的徹底性和及時性。例如，使用服務器對漏洞進行修補，利用防火墻技術(shù)從而實行網(wǎng)絡動態(tài)監(jiān)控，數(shù)據(jù)在傳輸以及儲存過程中一旦出現(xiàn)問題，防火墻功能能夠及時發(fā)現(xiàn)并且解決。

3.3建立數(shù)據(jù)網(wǎng)絡災難備份中心

利用技術(shù)以及管理手段和一些相關(guān)的資源構(gòu)建數(shù)據(jù)網(wǎng)絡災難備份中心，確保數(shù)據(jù)在發(fā)生事故后能被有效的恢復，針對災難備份中心的構(gòu)建，首先要確保機構(gòu)擁有完善的恢復計劃。其次對數(shù)據(jù)網(wǎng)絡災難備份中心的備份系統(tǒng)進行定期的檢測，如果發(fā)生這樣的事故，導致用戶的信息以及隱私被泄露破壞，可以啟動數(shù)據(jù)網(wǎng)絡的災難備份中心，將意外造成的損失降到最低[2]。例如我國最大的在線旅游公司——攜程于2015年發(fā)生的網(wǎng)絡癱瘓事件，由于其部分服務器受到不明的攻擊，導致官網(wǎng)以及APP軟件無法使用，攜程經(jīng)過內(nèi)部的一系列排查，最終確定該事件是由內(nèi)部員工因操作錯誤所造成的[3]。綜上所述，建立數(shù)據(jù)網(wǎng)絡災難備份中心對數(shù)據(jù)網(wǎng)絡維護具有重要意義。

3.4有效實施各種網(wǎng)絡安全防護技術(shù)措施

篇（7）

硬件端主要由PCI總線接口芯片CH365、USB接口芯片CH375、邏輯控制芯片ATF16V8B組成。其中，CH365是一種32位轉(zhuǎn)8位、數(shù)據(jù)傳輸速率可達7Mbit的計算機PCI（或PCI-E）總線接口芯片；CH375是一個具有8位數(shù)據(jù)總線和讀、寫、片選控制線以及中斷輸出的USB總線通用接口芯片，并且里面帶有2個可用于數(shù)據(jù)交換的64字節(jié)收發(fā)雙向緩沖區(qū)；ATF16V8B是可寫入控制邏輯的控制芯片。硬件通信原理，見圖2。由圖2可見，驅(qū)動軟件通過PCI總線向CH365芯片發(fā)起64字節(jié)的數(shù)據(jù)傳輸請求，并通過ATF16V8B芯片知CH375芯片并查詢相應狀態(tài)直到當CH375芯片可寫時，CH365芯片向CH375芯片寫完數(shù)據(jù)并產(chǎn)生中斷告知CH375芯片；CH375芯片收到此中斷信號，則通過USB協(xié)議向?qū)Ψ降目òl(fā)送待傳輸?shù)?4字節(jié)數(shù)據(jù)。對方的CH375芯片收到數(shù)據(jù)后將數(shù)據(jù)存放在64字節(jié)接收緩沖區(qū)，同時向ATF16V8B芯片發(fā)出中斷信號并等待CH365芯片接收數(shù)據(jù)，待數(shù)據(jù)接收完畢后關(guān)閉中斷信號。由于CH375芯片具有2個64字節(jié)緩沖區(qū)，可以將2個緩沖區(qū)分別設置為接收緩沖區(qū)和發(fā)送緩沖區(qū)，由此構(gòu)成數(shù)據(jù)收發(fā)的全雙工鏈路。

2通訊協(xié)議

2.1通訊鏈路的建立通信卡雖然不建立標準的TCP/IP鏈接，但是為了保證數(shù)據(jù)收發(fā)的同步，建立鏈接時仍然使用類似于TCP/IP的“3次握手”協(xié)議和“4次分手”協(xié)議。所謂的“3握手”就是對每次發(fā)送的數(shù)據(jù)量怎樣跟蹤、協(xié)商，使數(shù)據(jù)段的發(fā)送和接收同步；當數(shù)據(jù)發(fā)送、接收完畢后何時撤消聯(lián)系，并建立虛擬連接。為了提供可靠的傳送信息，TCP在發(fā)送新的數(shù)據(jù)之前，以特定的順序號將數(shù)據(jù)打包并傳送給目標機。TCP總是用于發(fā)送大批量數(shù)據(jù)。當應用程序在收到數(shù)據(jù)后做出確認時也要用到TCP。握手時序通信原理，見圖3。第1次握手：建立連接時，A端發(fā)送syn包（syn=j）到B端，并進入SYN_SEND狀態(tài)，等待B端確認。第2次握手：B端收到syn包，必須確認A端的SYN（ack=j+1），同時自己也發(fā)送一個SYN包（syn=k），即SYN+ACK包，此時服務器進入SYN_RECV狀態(tài)。第3次握手：A端收到B端的SYN+ACK包，向B端發(fā)送確認包ACK（ack=k+1），此包發(fā)送完畢，A端和B端進入ESTABLISHED狀態(tài)，完成3次握手。由于TCP連接是全雙工的，因此每個方向都必須單獨進行關(guān)閉。這個原則是當一方完成數(shù)據(jù)發(fā)送任務后就發(fā)送1個FIN來終止這個方向的連接；收到1個FIN只意味著這一方向上沒有數(shù)據(jù)流動。1個TCP連接在收到1個FIN后仍能發(fā)送數(shù)據(jù)，首先進行關(guān)閉的一方將執(zhí)行主動關(guān)閉，而另一方執(zhí)行被動關(guān)閉。

2.2數(shù)據(jù)幀格式通訊卡采用有限數(shù)據(jù)通信模式，即數(shù)據(jù)服務器所能接收的指令事先定義并保存在相應的請求指令集。數(shù)據(jù)處理服務器端接收到的數(shù)據(jù)首先需要進行解密，再進行有效性判斷，不符合的數(shù)據(jù)一律被認為是無效數(shù)據(jù)（丟棄）；對于符合指令處理程序的數(shù)據(jù)，根據(jù)指令的要求加密后返回給客戶端。這樣，即使黑客掌握通信協(xié)議向PCI硬件卡發(fā)送的信息，也無法進行正確的加密、解密，其指令也是數(shù)據(jù)處理服務器不認可的。CH375芯片里面帶有2個可用于數(shù)據(jù)交換的64字節(jié)收發(fā)雙向緩沖區(qū)，在通信協(xié)議設計時，協(xié)議的幀頭固定占用4個字節(jié)，幀數(shù)據(jù)區(qū)占用60個字節(jié)。4個字節(jié)的幀頭又分為握手區(qū)和指令區(qū)，第1個字節(jié)用來存放上位機的通訊信道和握手協(xié)議信號；第2~4這3個字節(jié)用來存放具體的通訊指令。第1字節(jié)握手區(qū)的8bit又分為兩部分。第一部分為前3bit，用來存放通訊信道，支持23=8種通訊信道，即已配對的1套通信卡可以支持上位機8種通訊程序；第二部分為剩下的5個bit，用于存放握手協(xié)議和分手協(xié)議的應答信號，協(xié)議支持25=32種協(xié)議握手信號。指令區(qū)3個字節(jié)的字長支持224=1703936種有效性通信指令。內(nèi)部通信指令還可區(qū)分為控制指令和數(shù)據(jù)傳輸指令。控制指令占用第3字節(jié)，包含3次握手和4次分手指令集合，最多可以達到28=256種指令；數(shù)據(jù)傳輸指令共同占用第2、3字節(jié)，包括數(shù)據(jù)傳輸開始、數(shù)據(jù)幀中傳輸、丟棄指令、數(shù)據(jù)重發(fā)、數(shù)據(jù)結(jié)束等指令。指令集支持216=65536種指令。為了保證通信卡的通用性，協(xié)議保留第1字節(jié)給上位機自行定義。上位機用戶可以根據(jù)具體的應用自行定義指令格式，指令集數(shù)量支持224-216-28=16777216-65536-256=16711424種指令。幀數(shù)據(jù)區(qū)由緩沖區(qū)的第4字節(jié)和其他59個字節(jié)組成，其中第4字節(jié)的低4位組成的最大可表示64數(shù)值、代表59個字節(jié)的數(shù)據(jù)長度。高4位組成的最大可表示64數(shù)值、表示數(shù)據(jù)傳輸?shù)募用軜藴剩〝?shù)據(jù)加密標準涉及通信卡通信安全，此處不展開說明）。由此構(gòu)成的幀格式示意圖，見圖4。

3通信端配置

在準備好硬件與定義相應的通訊協(xié)議后，基于不同的操作系統(tǒng)還要進行相應權(quán)限分配的設置。本通訊方式在數(shù)據(jù)傳輸時，在請求客戶端服務器與數(shù)據(jù)處理服務器間并沒有相應的標準協(xié)議，而是分別在兩個服務器的操作系統(tǒng)中定義了通訊雙方所能夠訪問的目錄。該目錄通過操作系統(tǒng)用戶的權(quán)限來設定，只具備讀、寫的功能，并限定存儲文件類型為文本類型。這樣的限定將會極大降低服務器間傳遞惡意程序的可能性，從而提高服務器的安全性。

4通訊設備的使用

經(jīng)過硬件、通訊協(xié)議以及通訊兩端之間的安全配置后，只需在通訊的服務器上安裝相應的上位機驅(qū)動程序，并進行簡單的配置，即可為通訊的雙方提供相應的安全數(shù)據(jù)通訊。在數(shù)據(jù)處理服務端，需要配置可接收的指令集，并設置接收數(shù)據(jù)的加密機制。當請求客戶端發(fā)起正確加密的指令后，服務器通過監(jiān)控指定目錄接收的指令，從數(shù)據(jù)庫或者其他存儲介質(zhì)中獲取到處理的結(jié)果數(shù)據(jù)，并通過加密的方式傳輸?shù)秸埱罂蛻舳恕Ｕ埱罂蛻舳私邮盏降臄?shù)據(jù)同樣放在指定的目錄下，請求客戶端通過將返回的數(shù)據(jù)格式與相應的發(fā)送請求進行匹配，形成相應的結(jié)果數(shù)據(jù)，返回給最終用戶。由于通訊卡內(nèi)部CH365數(shù)據(jù)傳輸速率可達7Mbit并且采用全雙工通信鏈路，去除協(xié)議包的數(shù)據(jù)流量損耗，實際的通信速率可以達到6.4Mbit。在給醫(yī)保、農(nóng)保和互聯(lián)網(wǎng)提供查詢應用時，其速率已和普通互聯(lián)網(wǎng)接入的下行帶寬相當。在實際使用中，應用程序并未有明顯的網(wǎng)絡隔離中斷等待。對用戶和黑客也實現(xiàn)了網(wǎng)絡透明，讓惡意程序無法進入可信端竊取和破壞數(shù)據(jù)，實現(xiàn)理想的隔離，使數(shù)據(jù)高速率、安全地進行通信。

篇（8）

作為二十一世紀這一快速發(fā)展的世界，一個關(guān)鍵的組成部分就是數(shù)據(jù)通信網(wǎng)絡。準確并能快速的轉(zhuǎn)移信息是通信的本質(zhì)。現(xiàn)今的通信技術(shù)正在朝著網(wǎng)絡化，智能化，寬帶化，綜合化，高速化，數(shù)字化的方向迅猛發(fā)展。數(shù)據(jù)通信網(wǎng)絡不僅能夠使通信變得方便利落，而且能有效的解決大部分網(wǎng)絡安全所存在的問題。就如很多地方的多媒體聯(lián)機數(shù)據(jù)庫有效的與通信網(wǎng)絡聯(lián)合在一起，形成高速網(wǎng)絡化的信息高速公路，以達到達到資源高速共同分享的目的， 向廣大人民提供圖像圖形，數(shù)據(jù)以及圖像等等高速通信。

一、通信網(wǎng)絡安全的本質(zhì)

所謂的數(shù)據(jù)通信網(wǎng)絡就是通過有線信道以及無線信道同時用計算機來充當載體形成網(wǎng)絡互聯(lián)的一種集合，在數(shù)據(jù)網(wǎng)絡里能夠達到針對文檔，程序等等信息和資源的共同享用。網(wǎng)絡上的信息安全則是網(wǎng)絡安全的本質(zhì)，要確保網(wǎng)絡系統(tǒng)中數(shù)據(jù)，程序以及各種軟硬件的安全性，并要使數(shù)據(jù)通信不會受到偶然或者惡意的破壞，泄漏以及篡改，達到系統(tǒng)可以有效，可靠，連續(xù)的運轉(zhuǎn)，這就要不能因為干擾等問題而中斷網(wǎng)絡服務。盡管在平常狀況下外部攻擊是很難攻擊內(nèi)部的專門使用的網(wǎng)絡，但是這也不排除某些網(wǎng)絡過于開放，給黑客制造了機會，從而盜用有利信息。造成很大損失。因而最大限度的降低資源和數(shù)據(jù)的被攻擊的可能是維護通信安全的關(guān)鍵所在。

二、目前的通信網(wǎng)絡安全

分散性，交互性以及開放性是互聯(lián)網(wǎng)的顯著特點，人們利用這些特點達到共享信息開放交流的目的，卻也忽視了這會引起很多網(wǎng)絡安全問題，同時現(xiàn)今網(wǎng)絡競爭越來越激烈，網(wǎng)絡戰(zhàn)爭隨時可能爆發(fā)，隨時目前為了應對隨時可能爆發(fā)的網(wǎng)絡戰(zhàn)爭，網(wǎng)絡戰(zhàn)爭武器的研發(fā)和網(wǎng)絡戰(zhàn)爭部隊的組建已經(jīng)在很多國家悄然進行著，還做著時刻實戰(zhàn)的準備。網(wǎng)絡空間對我國國家展有著的重要作用，這已被很多人意識到，只是我國沒有詳盡清晰的國家戰(zhàn)略，網(wǎng)絡信息安全也不盡如人意。這樣就不能知道了解國家對待網(wǎng)絡安全的態(tài)度，不明確怎樣規(guī)劃網(wǎng)絡安全的措施來獲得什么樣的核心利益。由中國互聯(lián)網(wǎng)絡信息中心的數(shù)據(jù)表明，我國的網(wǎng)民規(guī)模事實上已達到了一定的高度，并且有著上升趨勢，還有就是手機網(wǎng)名的規(guī)模發(fā)展也相當理想，這卻也無法避免被攻擊很多次的威脅，這也就致使人們的個人利益還有社會利益的損失。這也就表明通信網(wǎng)絡會越來越發(fā)達，通信網(wǎng)絡安全問題也會越來越明顯。

三、通信網(wǎng)絡安全需提高

保障數(shù)據(jù)通信網(wǎng)絡的穩(wěn)定是為了實現(xiàn)保密通信中的信息的目標，只是維護數(shù)據(jù)通信的穩(wěn)定不只是個技術(shù)上的障礙，同樣還是一個既有商業(yè)性還有社會性的重要問題。維護網(wǎng)絡通信的穩(wěn)定需要提高提高通信網(wǎng)絡的安全，盡管這也許不能給企業(yè)帶來直接的經(jīng)濟利益，但是，如果能穩(wěn)定數(shù)據(jù)通信網(wǎng)絡，就可以使各個單位和企業(yè)內(nèi)部傳輸和共享各種信息。相信對這些單位和企業(yè)來說，這些信息是非常重要的。因而，通信網(wǎng)絡安全如果能提高的話，就能很好的維護數(shù)據(jù)通信網(wǎng)絡的穩(wěn)定，從而就可以確保通信數(shù)據(jù)的真實可靠。

四、維護網(wǎng)絡安全的措施

現(xiàn)今階段對于發(fā)展越來越迅猛的數(shù)據(jù)通信網(wǎng)絡，已很大程度上影響著人們的日常生活，有著不容忽視的地位，采取幼小的維護網(wǎng)絡安全的措施，最大程度降低網(wǎng)絡風險，才能使人們放心使用通信網(wǎng)絡。我們現(xiàn)在常用的是防火墻技術(shù)。通過防火墻在網(wǎng)絡的外接口處控制在網(wǎng)絡層的。目的是為了更改限制、鑒別穿越防火墻的數(shù)據(jù)流來達到維護網(wǎng)絡安全的目標。以最大程度的防止黑客來攻擊自己的網(wǎng)絡，避免自己的信息流失帶來不必要的損失。防火墻是為了以防因特網(wǎng)上的不安全因素擴展到局域網(wǎng)內(nèi)部，這也就顯示出防火墻對網(wǎng)絡安全的維護室多么重要。另一種就是網(wǎng)絡加密技術(shù)。加密的好處就是可以使自己的各種信息不被竊取，網(wǎng)絡安全的宗旨也就在于此。網(wǎng)絡加密技術(shù)的應用，也是維護網(wǎng)絡安全的一個提升，它能保證公共網(wǎng)絡中信息傳輸額保密性，也可以確保信息的完整無缺，還能防止遠程用戶訪問自己的內(nèi)網(wǎng)現(xiàn)象。還有的就是身份認證技術(shù)。身份認證顯而易見就是個人所知曉，身份認證技術(shù)的運用時就需要在運用網(wǎng)絡時提供各種身份認證，這就可以獲得完整，可靠，保密的信息。除了上文那些技術(shù)，還有虛擬專用網(wǎng)技術(shù)。這是一個臨時鏈接系統(tǒng)，很具有安全性，利用公用網(wǎng)安全的鏈接公司業(yè)務伙伴，分支機構(gòu)以及遠程用戶的內(nèi)網(wǎng)，在這個網(wǎng)絡下不會有公網(wǎng)的干擾。最后就是漏洞掃描技術(shù)了，針對越來越嚴重的網(wǎng)絡安全問題，網(wǎng)絡管理員的經(jīng)驗和技術(shù)已經(jīng)不能應付隨時變化的網(wǎng)絡情況以及網(wǎng)絡的復雜，漏洞掃描技術(shù)的的發(fā)展，是對微小的潛在的隱患的網(wǎng)絡安全問題的打擊，很大程度上保護了用戶的信息。

五、結(jié)語

二十一世紀的今天，我們順應了這個時代各種技術(shù)的高速發(fā)展，在信息技術(shù)和計算機網(wǎng)絡高速發(fā)展的同時，大幅度豐富的就是數(shù)據(jù)通信網(wǎng)絡，網(wǎng)絡技術(shù)的發(fā)展會不斷進步，網(wǎng)絡信息安全也會是一個永久性話題。人們以后大多的日常生活，工作，娛樂等等都離不開網(wǎng)絡，人們生活水平越來越高，追求越來越高的同時，就會對網(wǎng)絡安全問題也會有更高的要求。這也就表明，需要廣大網(wǎng)絡信息工作者，網(wǎng)絡技術(shù)專業(yè)人才不斷努力，不斷研發(fā)出更權(quán)威，更有用的維護網(wǎng)絡安全的技術(shù)，因為網(wǎng)絡信息將會是以后生活里不會間斷的一個話題，更好的完善網(wǎng)絡信息安全工作，任重道遠卻也刻不容緩，讓我們拭目以待以后更好維護網(wǎng)絡通信技術(shù)安全技術(shù)的誕生。

參考文獻：

[1]蔣宏.現(xiàn)代通信網(wǎng)絡安全現(xiàn)狀及維護措施淺析[J]. 民營科技. 2010（02）

篇（9）

有效保障數(shù)據(jù)通信網(wǎng)絡的穩(wěn)定性和安全性，就必須充分發(fā)揮技術(shù)人力資源的作用，積極構(gòu)建起健全完善的數(shù)據(jù)通信平臺，并積極對系統(tǒng)平臺的安全性進行科學的全面的評估。作為一名合格具備專業(yè)化技術(shù)的人員，應按照相關(guān)制度要求和標準流程，設置科學的評估方式，對整個網(wǎng)絡環(huán)境進行系統(tǒng)的評估，并適時給予安全調(diào)整，準確分析潛在的用戶群體以及信息源，并對他們進行安全評估和識別，充分了解數(shù)據(jù)通信網(wǎng)絡的發(fā)展實際，以此為出發(fā)點開展系統(tǒng)安全性的分析活動。

1.2及時排查隱存的安全威脅

定期開展網(wǎng)絡安全的檢查與維修活動，以及時確保數(shù)據(jù)信息的可靠性與真實性得到有效的安全確認，避免服務器的終端設備以及信息網(wǎng)中的硬件設備和軟件設備受到惡意破壞，防止系統(tǒng)網(wǎng)絡受到不法分子的嚴重攻擊，達到對數(shù)據(jù)庫內(nèi)部的信息進行保密的目的。所以這就要求專業(yè)化的技術(shù)人員需以對網(wǎng)絡安全性的有效評估為前提，全面仔細存在的隱形的安全威脅，積極設置高效的網(wǎng)管設置等形式，不斷優(yōu)化系統(tǒng)漏洞，拒絕一切不法分析用戶的對網(wǎng)絡系統(tǒng)的入侵和攻擊，降低安全風險的發(fā)生。

2路由器與交換機漏洞的發(fā)現(xiàn)和防護

作為通過遠程連接的方式實現(xiàn)網(wǎng)絡資源的共享是大部分用戶均會使用到的，不管這樣的連接方式是利用何種方式進行連接，都難以避開負載路由器以及交換機的系統(tǒng)網(wǎng)絡，這是這樣，這些設備存在著某些漏洞極容易成為黑客的攻擊的突破口。從路由器與交換機存在漏洞致因看，路由與交換的過程就是于網(wǎng)絡中對數(shù)據(jù)包進行移動。在這個轉(zhuǎn)移的過程中，它們常常被認為是作為某種單一化的傳遞設備而存在，那么這就需要注意，假如某個黑客竊取到主導路由器或者是交換機的相關(guān)權(quán)限之后，則會引發(fā)損失慘重的破壞。縱觀路由與交換市場，擁有最多市場占有率的是思科公司，并且被網(wǎng)絡領(lǐng)域人員視為重要的行業(yè)標準，也正因為該公司的產(chǎn)品普及應用程度較高，所以更加容易受到黑客攻擊的目標。比如，在某些操作系統(tǒng)中，設置有相應的用于思科設備完整工具，主要是方便管理員對漏洞進行定期的檢查，然而這些工具也被攻擊者注意到并利用工具相關(guān)功能查找出設備的漏洞所在，就像密碼漏洞主要利用JohntheRipper進行攻擊。所以針對這類型的漏洞防護最基本的防護方法是開展定期的審計活動，為避免這種攻擊，充分使用平臺帶有相應的多樣化的檢查工具，并在需要時進行定期更新，并保障設備出廠的默認密碼已經(jīng)得到徹底清除；而針對BGP漏洞的防護，最理想的辦法是于ISP級別層面處理和解決相關(guān)的問題，假如是網(wǎng)絡層面，最理想的辦法是對攜帶數(shù)據(jù)包入站的路由給予嚴密的監(jiān)視，并時刻搜索內(nèi)在發(fā)生的所有異常現(xiàn)象。

3交換機常見的攻擊類型

3.1MAC表洪水攻擊

交換機基本運行形勢為：當幀經(jīng)過交換機的過程會記下MAC源地址，該地址同幀經(jīng)過的端口存在某種聯(lián)系，此后向該地址發(fā)送的信息流只會經(jīng)過該端口，這樣有助于節(jié)約帶寬資源。通常情況下，MAC地址主要儲存于能夠追蹤和查詢的CAM中，以方便快捷查找。假如黑客通過往CAM傳輸大量的數(shù)據(jù)包，則會促使交換機往不同的連接方向輸送大量的數(shù)據(jù)流，最終導致該交換機處在防止服務攻擊環(huán)節(jié)時因過度負載而崩潰。

3.2ARP攻擊

這是在會話劫持攻擊環(huán)節(jié)頻發(fā)的手段之一，它是獲取物理地址的一個TCP/IP協(xié)議。某節(jié)點的IP地址的ARP請求被廣播到網(wǎng)絡上后，這個節(jié)點會收到確認其物理地址的應答，這樣的數(shù)據(jù)包才能被傳送出去。黑客可通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞，ARP欺騙過程如圖1所示。

3.3VTP攻擊

以VTP角度看，探究的是交換機被視為VTP客戶端或者是VTP服務器時的情況。當用戶對某個在VTP服務器模式下工作的交換機的配置實施操作時，VTP上所配置的版本號均會增多1，當用戶觀察到所配置的版本號明顯高于當前的版本號時，則可判斷和VTP服務器實現(xiàn)同步。當黑客想要入侵用戶的電腦時，那他就可以利用VTP為自己服務。黑客只要成功與交換機進行連接，然后再本臺計算機與其構(gòu)建一條有效的中繼通道，然后就能夠利用VTP。當黑客將VTP信息發(fā)送至配置的版本號較高且高于目前的VTP服務器，那么就會致使全部的交換機同黑客那臺計算機實現(xiàn)同步，最終將全部除非默認的VLAN移出VLAN數(shù)據(jù)庫的范圍。

4安全防范VLAN攻擊的對策

4.1保障TRUNK接口的穩(wěn)定與安全

通常情況下，交換機所有的端口大致呈現(xiàn)出Access狀態(tài)以及Turnk狀態(tài)這兩種，前者是指用戶接入設備時必備的端口狀態(tài)，后置是指在跨交換時一致性的VLAN-ID兩者間的通訊。對Turnk進行配置時，能夠避免開展任何的命令式操作行為，也同樣能夠?qū)崿F(xiàn)于跨交換狀態(tài)下一致性的VLAN-ID兩者間的通訊。正是設備接口的配置處于自適應的自然狀態(tài)，為各項攻擊的發(fā)生埋下隱患，可通過如下的方式防止安全隱患的發(fā)生。首先，把交換機設備上全部的接口狀態(tài)認為設置成Access狀態(tài)，這樣設置的目的是為了防止黑客將自己設備的接口設置成Desibarle狀態(tài)后，不管以怎樣的方式進行協(xié)商其最終結(jié)果均是Accese狀態(tài)，致使黑客難以將交換機設備上的空閑接口作為攻擊突破口，并欺騙為Turnk端口以實現(xiàn)在局域網(wǎng)的攻擊。其次是把交換機設備上全部的接口狀態(tài)認為設置成Turnk狀態(tài)。不管黑客企圖通過設置什么樣的端口狀態(tài)進行攻擊，這邊的接口狀態(tài)始終為Turnk狀態(tài)，這樣有助于顯著提高設備的可控性[3]。最后對Turnk端口中關(guān)于能夠允許進出的VLAN命令進行有效配置，對出入Turnk端口的VLAN報文給予有效控制。只有經(jīng)過允許的系類VLAN報文才能出入Turnk端口，這樣就能夠有效抑制黑客企圖通過發(fā)送錯誤報文而進行攻擊，保障數(shù)據(jù)傳送的安全性。

4.2保障VTP協(xié)議的有效性與安全性

VTP（VLANTrunkProtocol，VLAN干道協(xié)議）是用來使VLAN配置信息在交換網(wǎng)內(nèi)其它交換機上進行動態(tài)注冊的一種二層協(xié)議，它主要用于管理在同一個域的網(wǎng)絡范圍內(nèi)VLANs的建立、刪除以及重命名。在一臺VTPServer上配置一個新的VLAN時，該VLAN的配置信息將自動傳播到本域內(nèi)的其他所有交換機，這些交換機會自動地接收這些配置信息，使其VLAN的配置與VTPServer保持一致，從而減少在多臺設備上配置同一個VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。處于VTP模式下，黑客容易通過VTP實現(xiàn)初步入侵和攻擊，并通過獲取相應的權(quán)限，以隨意更改入侵的局域網(wǎng)絡內(nèi)部架構(gòu)，導致網(wǎng)絡阻塞和混亂。所以對VTP協(xié)議進行操作時，僅保存一臺設置為VTP的服務器模式，其余為VTP的客戶端模式。最后基于保障VTP域的穩(wěn)定與安全的目的，應將VTP域全部的交換機設置為相同的密碼，以保證只有符合密碼相同的情況才能正常運作VTP，保障網(wǎng)絡的安全。

篇（10）

中圖分類號：TN919 文獻標識碼：A 文章編號：1672-3791（2013）05（c）-0028-02

1 總體設計思路

為了加強對IT系統(tǒng)核心數(shù)據(jù)的安全管控，本方案借助SaaS云平臺技術(shù)著力為企業(yè)的數(shù)據(jù)信息安全設計一套“安全城堡”——數(shù)據(jù)安全管控平臺，OA、EDA的用戶都需要到平臺上進行日常辦公，通過平臺提供的辦公軟件（如：word/excel/ppt/pdf/rar等）實現(xiàn)文件的編輯；所有的數(shù)據(jù)只能在平臺內(nèi)部流轉(zhuǎn)，公司的戰(zhàn)略決策、經(jīng)營數(shù)據(jù)等等機密數(shù)據(jù)只能在平臺中查看、修改和傳遞。該平臺就是一個典型的SaaS型云計算應用在安全領(lǐng)域的虛擬場景，它通過IE瀏覽器向用戶提供一切應用服務，所有的辦公軟件、電子郵件以及OA和經(jīng)分系統(tǒng)均由云來提供，從而實現(xiàn)一個封閉的辦公工作環(huán)境。同時，該方案通過閉環(huán)審批、數(shù)字加密和PDF水印等技術(shù)，有效防范核心數(shù)據(jù)的泄漏，保證核心數(shù)據(jù)的只能看、不能下，能互傳，需要下、領(lǐng)導批、加水印。

數(shù)據(jù)安全管控平臺方案如圖1所示。

2 數(shù)據(jù)安全管控平臺的特色功能

（1）軟件透明化。

很多人熟悉Google Docs的使用場景，在瀏覽器中完成文件的編輯，此為應用的1.0版本；1.0版本的致命缺陷是改變了用戶的使用習慣，文檔被困在瀏覽器的窗口中，不能全屏。本方案將在windows 2008 server的Terminal Services RemoteApp技術(shù)上通過定制開發(fā)，實現(xiàn)應用軟件動態(tài)在線，和用戶本地安裝的軟件無任何區(qū)別，提升用戶的使用感知。

（2）彈性云計算的應用。

該方案通過應用云平臺的使用，實現(xiàn)應用的動態(tài)伸縮、按需分配，以降低能耗，達到節(jié)能減排的目的。通過管理中心實現(xiàn)智能調(diào)度，實現(xiàn)空閑時（如夜間）服務器自動休眠，繁忙時（上班期間）服務器自動激活。經(jīng)過測算，假設該方案為7500個用戶提供在線辦公服務的場景，按照需求配置12臺刀片服務器的情況，每夜可以休眠8臺服務器，以每臺機器600 W功率，每天休眠8小時，1年節(jié)省的電費高達19622元，隨著系統(tǒng)規(guī)模的擴大，節(jié)能減排的效果更好。

（3）個人文件夾的應用。

通過云端給每個用戶設置一個個人文件夾，所有從OA、EDA系統(tǒng)中下載的文件只能保持在個人文件夾中，在個人文件夾中可以查看、編輯和傳遞文件，不同用戶的個人文件夾保持隔離，但可以相互傳遞文件，傳遞的文件將被管理中心系統(tǒng)進行審計。

（4）公共存儲區(qū)的應用。

在實際應用場景中，大量相同的文件被很多用戶保存在各自的個人文件夾中，極大的浪費了存儲空間。為了避免相同的文件被重復存儲，該方案設計公共存儲區(qū)，通過Hash算法能夠識別出相同的文件，文件只保存一份在公共存儲區(qū)，個人文件夾中只有保存文件的路徑信息，以此節(jié)約大量存儲投資成本。

3 數(shù)據(jù)安全管控平臺解決方案

3.1 應用云技術(shù)

基于應用云技術(shù)將用戶需要使用的應用軟件或工具（包括B/S和C/S架構(gòu)的應用）集中部署在應用服務器上，應用云平臺通過WEB服務器向不同用戶或用戶群其所需的應用（包括OA系統(tǒng)、經(jīng)營分析（EDA）系統(tǒng)、各類辦公軟件等），用戶在客戶端通過應用云平臺提供的遠程IE瀏覽器訪問其所需要的應用（圖2）。

3.2 用戶集中管理

系統(tǒng)基于“主從帳號”機制實現(xiàn)用戶的集中管理和單點登錄功能。

（1）主賬號：用戶登錄數(shù)據(jù)安全管控系統(tǒng)的賬號。系統(tǒng)的各項安全策略設置、用戶的操作審計記錄等均基于該帳號實現(xiàn)，該賬戶需進行身份的實名認證。

（2）從賬號：用戶登錄各業(yè)務系統(tǒng)的原始賬號。每個從賬號需根據(jù)各用戶的實名身份與主賬號進行自動關(guān)聯(lián)。

系統(tǒng)需提供用戶主賬號的生命周期管理功能。系統(tǒng)支持對用戶的屬性（臨時用戶、周期性用戶、永久用戶）進行靈活設置。

3.3 私有文件夾

系統(tǒng)針對用戶的主賬號提供相應的私有文件夾功能。私有文件夾具有以下功能和特點。

（1）每個主賬號只能訪問自己的私有文件夾，禁止互相訪問。

（2）主賬號在應用云平臺的操作數(shù)據(jù)將保存在私有文件夾中。

（3）當主賬號需要對某文件進行下載時，該文件將被同步至專有的文檔服務器中，用戶需要在文檔服務器中進行下載。

（4）應用云平臺需針對所有文件的上傳、下載進行審計。

（5）應用云平臺需提供針對所有文件上傳、下載審計的模糊搜索和報表功能。

（6）下載時需采用加密機制保證數(shù)據(jù)的安全。

3.4 文件傳遞和流轉(zhuǎn)

數(shù)據(jù)安全管控系統(tǒng)支持在私有文件夾中進行文件的相互傳遞和流轉(zhuǎn)功能。在私有文件夾中，不需要審批即可進行文件的相互傳遞和流轉(zhuǎn)，但被傳遞和流轉(zhuǎn)的文件內(nèi)容將被審計記錄。

當系統(tǒng)接收到文件傳遞或流轉(zhuǎn)申請的請求后，管理服務器將需傳遞或流轉(zhuǎn)的文件以及相關(guān)的審計信息直接傳遞至文檔服務器的其他用戶的權(quán)限目錄下，同時將該文件以及該文件的審計信息備份到文檔操作備份服務器上，以便事后查詢。

3.5 PDF水印

為保證下載到應用云平臺中的文件安全，管理員可對某些賬號或某些文件設置導出文件添加PDF水印功能，相關(guān)處理流程如下。

（1）管理員定義應用云平臺的數(shù)據(jù)安全策略，包括以下幾點。

①納入控制的主賬號列表。

②只允許通過PDF形式導出文件的列表。

（2）如果只允許PDF，則PDF設置權(quán)限需包括。

①是否允許導出（包括打印）。

②是否需添加水印（水印內(nèi)容為下載用戶的姓名、工號等實名信息）。

③是否允許被復制。

（3）用戶選擇需導出的文件，申請下載，根據(jù)虛擬平臺數(shù)據(jù)安全策略系統(tǒng)將提示用戶將文檔導出為PDF格式。

（4）用戶下載申請通過后，將成功進行文檔的下載。

3.6 虛擬工作區(qū)

在私有文件夾中，系統(tǒng)支持通過應用云平臺遠程的Word、Excel、Powerpoint、計算器等常用辦公軟件對文件進行編輯、修改等操作。所有數(shù)據(jù)均保存在應用云平臺的私有文件夾中，不允許保存在本機硬盤。如需保存在本機硬盤，必須進行下載審批并添加相應的水印。

3.7 閉環(huán)審批

在應用云平臺上，系統(tǒng)可對文件的上傳、下載等操作行為進行審計和審批。如某用戶因業(yè)務需要需下載某些敏感數(shù)據(jù)，系統(tǒng)將根據(jù)相關(guān)的安全策略對數(shù)據(jù)的下載進行審計、審批，同時通過短信、郵件等方式通知相關(guān)負責人，最終形成閉環(huán)審批。同時也可將某用戶設置為無需審批權(quán)限，即該用戶可直接下載、上傳敏感資料，無需審批，但其下載、上傳的文件和操作過程必須存檔備份，以便事后查詢。