关键词:电子政务;网络安全;风险;防范
1 电子政务网络安全概述
1.1 电子政务网络安全发展现状
随着因特网的迅猛发展,我国信息网络技术进入了日益月异的发展阶段,并得以广泛应用。但因特网具有高度的开放性以及自由性,为应用创造极大便利的同时也对其安全性提出了更为严格的要求。现如今,电子政务网络安全问题日益突出,甚至在一定程度上阻碍了我国电子政务建设事业的健康发展,通过何种方式来提升电子政务网络的安全性己然成为亟待解决的问题。
1.2 做好电子政务网络安全风险防范工作的意义
对于整个信息网络而言,电子政务是其中一个比较特殊的应用领域,涉及海量的需要严格保护的信息,相较一般电子商务,其表现出下述特点:首先,信息内容保密等级高;其次,在一定程度上影响甚至决定了行政监督力度;最后,通过网络能够为公众提供高质量的公共服务。电子政务网络一旦遇到安全风险,有可能导致重要信息丢失甚至暴露,带来难以估量的损失,也正因如此,电子政务网络也是信息间谍的首要攻击目标之一。由此可见,政府部门重视和做好电子政务网络安全风险防范工作,对于本部门的高效运行具有相当积极的现实意义。
2 电子政务网络安全风险分析
2.1 物理层风险分析
对于电子政务网络而言,物理层安全是其整体安全的基础。物理层风险主要包括:地震、洪水以及火灾等导致网络瘫痪甚至毁灭;电源故障导致断电、操作系统异常;设备失窃、损毁导致数据丢失甚至泄露;报警系统存在漏洞等。
2.2 数据链路层风险分析
入侵者可能会以传输线路为突破口,在上面设置窃听设备以达成窃取数据的目的,然后再借助相应技术解读数据,还可能会对数据进行一定的篡改。此类风险因素会给电子政务网络安全埋下严重隐患。
2.3 网络层安全风险分析
对电子政务网络所囊括的各个节点而言,其他网络节点均属于外部节点,属于不可信任范畴,均可能导致安全威胁。风险可能源自内部。攻击者借助snifrer之类的嗅探程序来寻找安全漏洞,然后在此基础上对内网发起攻击。风险也可能源自外部,入侵者可能以公开服务器为跳板向内网发起攻击。
2.4 系统层安全风险分析
系统层安全一般是指网络操作系统、计算机数据库、配套应用系统等方面的安全。现阶段的操作系统,其开发商一定会设置相应的BackDoor(后门),另外,系统本身也必然存在若干安全漏洞。无论是“后门”,还是安全漏洞,均会埋下极大的安全隐患。就具体应用而言,系统安全性在很大程度上取决于安全配置,若安全配置不到位,将会为入侵者提供极大便利。
2.5 应用层安全风险分析
随着网络技术的迅速发展,电脑远程控制呈现出简单化的发展趋势,受此影响,病毒、黑客程序有机结合之后往往带来更为严重的危害,而病毒的入侵通常会导致用户重要数据的泄露。病毒能够经由多种途径(如网上下载、邮件发送以及人为投放等)入侵内部网络系统,所以,其危害是相当严重的。在整个网络系统中,即便只有1台主机“中毒”,也会在很短时间里使其他主机受到感染,进而埋下数据泄露等一系列不安全因素。
2.6 管理层安全风险分析
在网络安全中,管理属于核心部位。安全管理体系不完善,未能明确界定权责,极可能导致管理安全风险。当网络受到内部或外部的相关安全威胁时,难以及时且合理地应对,同时也难以对入侵行为进行追踪,换而言之,网络可控性以及可审查性不理想。因而,重视和做好管理层的工作便成了当务之急。
3 电子政务网络安全风险的防范
3.1 物理层风险的防范
使用那些可提供验证授权等功能的产品,对内外网用户进行高效管理,从而避免入侵者在没有授权的情形下对网络内的重要或敏感数据进行窃取和篡改,又或者对服务提供点发动攻击,防止入侵者通过伪用户身份取得授权而导致严重的网络危害。可借助系列路由器、防火墙产品、计算机网络管理平台之间的有机配合,以实现对用户信息(用户名、登录密码、权限)的科学管理,并在此基础上优化服务策略。
3.2 数据链路层风险的防范
对于政府网络应用而言,其不仅涉及大量的内部应用(OA系统、文件共享以及邮件接收等),同时还涉及大量的外部应用(和合作伙伴之间的沟通等)。为实现对远程用户的有效控制,保证内网资源的安全性,可公共网络中开辟出专用网络,从而使得相关数据可以经由安全系数较高的“加密通道”传播。由国家相关要求可知,政府网络可依托既有平台构建属于自己的内部网络,但一定要采用认证以及加密技术,从而确保数据传输拥有足够的安全性。对于单独的VPN网关而言,其核心功能是以IPSec数据包为对象,执行加(解)密以及身份认证处理,若采用该部署方式,防火墙难以对VPN数据予以有效的访问控制,继而带来诸多负面问题。所以,在防火墙安全网关上集成VPN便成了现阶段安全产品的主流发展趋势之一,可以能提供一个集灵活性、高效性以及完整性等诸多优点于一身的安全方案。
3.3 网络层安全风险的防范
在所有网络出口处设置防火墙能够实现对网络的有效隔离,将其划分为若干安全域,从而进行相应的访问控制。以防火墙为工具进行多网口结构设计,如此一来,能够为合法用户提供相关服务,与此同时,将非法用户的访问拒之门外。当防火墙配置了入侵检测这―功能时,便能够以自动检测的方式查找网络数据流中可能的、隐藏的入侵方式,并提醒管理员及时优化控制规则,最终为整个网络提供实时而有效的网络保护。
3.4 系统层安全风险的防范
为实现对操作系统安全的有效保护,建议从下述两点着手:首先,使用具有自主知识产权且向政府提供源代码的那一类产品;其次,以系统为对象,通过漏洞扫描工具进行定期扫描,以便及时发现相关问题。
3.5 应用层安全风险的防范
建议安装高性能的专业防火墙,要求具备下述功能:(1)外部攻击防范;(2)内网安全;(3)流量监控;(4)邮件过滤;(5)网页过滤;(6)应用层过滤等。引入和应用以ASPF为代表的应用状态检测技术,在验证连接状态是否正常的同时,也可实现对异常命令的有效检测。
3.6 管理层安全风险的防范
对于网络安全而言,管理层安全是其核心所在。通过安全管理的有效实施可为各项安全技术的顺利实施提供有力保障,建议从两方面入手:首先,立足本地区以及本部门的实际情况,制定和实施针对性的安全管理规范,充分利用网络,发挥其在信息化建设工作中的重要作用,推动政府部门信息化建设工作的顺利、高效开展;其次,以可能发生的电子政务网络突发事件为对象,制定配套的应急预案,构建健全的应急机制,从而尽可能地消除突发网络事件所带来的负面影响,最终为电子政务网络的高效运行奠定坚实基础。
4 电子政务网络安全体系建设案例
4.1 某市电子政务现状分析
某市现辖三市(县级市)、五县、五区和一百多个基层政务单位。在政府信息化建设的大背景下,该市的市政府行政管理体制正积极向精简化、统一化以及高效化的方向不断发展。现阶段,各级政务单位均结合自身的具体情况构建起了不同形式的、规模大小不一的办公网络,然而在互联方面考虑不足,相互之间形成了所谓的“信息孤岛”,因而构建具有高度统一性质的电子政务外网平台,以保障网络资源的充分共享已然成为当务之急。值得一提的是,各级政务单位在构建自身网络的过程中没有进行统一规划,因而无论是在安全防护上,还是在安全管理上,均存在较明显的欠缺,所以,如何保障电子政务网络安全成了亟需解决的问题。下面将针对其整体解决方案予以进一步探讨。
4.2 整体解决方案
为实现对该市电子政务外网平台的全面、有效保护,应遵循“全网部署、一体安全、简单为本”的原则,为其构建一个一体化的全面安全防护体系,从而最大程度地满足用户的实际需求。
4.2.1 全网部署
在电子政务外网平台体系中,各级政务部门于广域网出口处设置了天清汉马USG一体化安全网关如图1所示,并将集中管理系统设置在了该市的市政府信息中心,能以整个网络体系为对象进行统一化管理。在统一化管理模式下,管理员通过面前的计算机便能够及时了解各级政务部位的网络状态,尤其是各类风险以及威胁,若察觉到局部突发性质的不安全事件,可马上对整个网络的安全策略进行相应调整,然后统一下发,消除网络威胁,减轻不利影响,从而构建一个具有在线监测和高效防护功能的一体化安全风险管理体系。
4.2.2 一体安全
对于天清汉马USG一体化安全网关而言,其优点表现在两大方面,一个是高性能的硬件架构,另一个是一体化的软件设计,集若干项高效的安全技术(防火墙、VPN以及入侵防御等)于一体,还推出了QoS、负载均衡以及日志审计等实用功能,可为网络边界提供及时而强大的安全防护。这便是“一体安全”的重要体现。除此之外,借助集中管理技术能够对系统中的多台计算机同时下发安全管理策略,如此一来,大幅简化了安全策略的具体实施过程。
4.2.3 简单为本
面对电子政务日趋复杂的网络环境,通过何种途径来更加简单地进行安全防护成了整个方案亟需解决的问题之一。“简单”在某种程度上是安全的一种外在表现形式,同时技术层面的创新是达成“简单”目的的途径。天清汉马USG一体化安全网关在设计过程中便充分体现了这一理念,并在实践应用中取得了较理想的效果,集中反映在下述方面:(1)设备部署变得简单;(2)防御威胁变得简单;(3)策略实施变得简单;(4)管理维护变得简单。
关键词:计算机;网络安全;隐患;控制策略
中图分类号:TP393.08
计算机网络并不是密闭的,需要与外界相连,所以其具有独特的脆弱性。正由于计算机是需要和外界计算机相连的,所以计算机系统随时都有可能受到来自外界的干扰与破坏,黑客攻击,网民恶作剧,系统软件或硬件出现故障等问题,都会影响到计算机及网络安全。再就是,计算机网络时常也会受到火灾、水灾、辐射等自然灾害的威胁与破坏[1]。本文就计算机网络安全存在的安全隐患问题,结合自己实际工作学习经验做出简单分析,并对控制策略进行简要概述。
1 计算机网络安全
1.1 关于计算机网络安全的简单概述。在广泛意义上讲,术语“网络安全”与“信息安全”就是指保护网络信息以及网络资源不为非授权用户所使用。首先,这就要求我们对数据存储或者信息处理的相关设备进行保护,这一做法是非常重要的。再就是,我们一般强调的网络安全就是指网络中信息、数据的完整性和保密性,以及可用性[2]。当然尽管网络安全的概念是这样的,但是我们也不可能片面的把计算机网络简单的划分成,所谓的安全或者不安全,这是因为大家对于其的理解存在差异,所以没有绝对意义的安全。
1.2 计算机网络脆弱性判断。随着社会的发展计算机网络在现代人们的生活中被运用的越来越多,并且其占据的位置也越来越重要。其已经在某种意义上影响到了现代人们的价值观、道德标准以及生活方式。在这个网络侵入到方方面面的大社会环境下,存在的网络安全问题更是不容忽视,但是尽管我们大家做了很多工作,网络安全的威胁问题依旧存在。据不完全统计,每年有95%的网站在不同程度上受到来自各种不同黑客的攻击。并且,我国计算机网络犯罪案件近几年不断增加。不仅仅是在我国,世界上很多国家都出现了这样情况,这个问题已受到了世界的普遍关注,最终原因还是由于计算机网络本身所具有的脆弱性所决定的。
1.3 网络安全的内容。网络安全的内容大致包括以下几个方面,网络实体的安全、网络管理的安全、软件的安全还有数据的安全,这四部分相互间的关系。
2 关于现已发现的安全隐患
对几个比较常见的隐患做出分析,首先,外部环境对计算机网络安全的威胁。正是由于计算机网络安全存在其特有的脆弱性,所以我们在研究其安全问题的时候就要从影响其安全的多个方面去研究。自然灾害绝对是不可忽略的重要方面。我们在日常生活中就能明显感受到其对“网”的影响,“网”是特别容易受到火灾,水灾以及地震等破坏的,另外温度、振动、冲击等也都是影响“网”的重要原因。大家日常生活中由于断电或者不小心导致设备损坏最终使得数据丢失的情况也是经常发生的,这些都会影响到“网”。第二是计算机病毒,据调查,中国的互联网用户中有90%曾在不同时段受到过来自病毒的侵袭,并有大部分人因此受到了损失。破坏分子会把“病毒”复制到别的程序上,当这些程序自行运转后,病毒就会进入到其网络的系统中然后进行扩散。这就要求大家在使用计算机的时候注意不要轻易相信陌生网址等陌生信息,注意保护自己的计算机,保护自己的数据信息。1999年的4月26日,CIH病毒造成的危害影响到了全球的网络安全,这足以显示病毒的可拍。
3 安全策略
针对以上的安全威胁,我们需要精心去研究防范方法,尽量做到在最大程度上减少安全隐患给我们带来的危害。现在我们能够做到的无非就是通过以下几种方式来维护我们的网络安全问题。
3.1 首先是对数据进行加密。这是最容易想到的一种方式,也是十分有效的方式。通过数据加密技术的运用,对我们的数据进行保密,这种方式对于我们网络通信以及数据存储都是非常有意义的。对数据进行加密,就是替换现有信息的存在形式来伪装我们的信息,之后再对信息进行正常的存储或者传输等等。这样,假如信息在进行传输的过程中受到了不法用户的截获,其对替换了的信息存在形式不熟知,也就无法起到破坏信息,从而到达我们保护信息的重要目的。此种技术的广泛应用必然会起到很好的防范作用。
3.2 防火墙技术的运用。防火墙是大家比较熟知的方式,其可以是硬件,当然也可以是软件,或者也可以是硬件与软件的合体,它就是一种用来加强网络内部安全的实用系统。在平时的网络安全防范中,防火墙经常被安装在内部或者外部网边界节点上,这样一方面可以保护我们内部的网络资源不被侵入,另一方面也可以保护从内部网络传出去的有效数据。
3.3 网络安全扫描技术。这种技术使用,就是让系统的管理员可以及时的了解到自己系统中存在的安全漏洞,然后再根据存在的问题采取实际措施,进而把风险降低到最小的系统安全技术。有了此种安全扫描技术,我们的系统管理员就可以了解到自己的网络系统中存在的威胁因素,然后采取有效方式进行防范。例如,管理员可以检测自己主机系统中是不是安装了窃听程序或者检测防火墙系统中是否有安全隐患存在等等。另外,要充分运用网络入侵技术,这种技术可以对硬件、软件,以及数据流做出详细并且及时的检查,然后与入侵系统的数据进行比较,当发现攻击迹象的时候立即做出相对应的措施。这种技术的侧重点是发现问题,所以其只能作为安全组件存在。
4 结束语
在实际的网络系统中,不能死板硬套某种控制措施,要根据具体问题采取有用的措施。另外就是,计算机的保养工作要做到位,对计算机系统的硬件来说,其最大的敌人就是灰尘及潮湿腐蚀,应该做好基本的清洁工作,当出现故障时,要依据故障的排除及维护保养原则,进行计算机系统的检测,制定出有效的维护保养策略,从而保证计算机的正常运行。对软硬件做好防护,控制好网络安全的隐患问题,我们的计算机网络会更好的为大家服务。
参考文献:
[1]闫二旺,王雅利.计算机硬件系统维护保养探析[J].太原科技,2013(02).
[2]徐莉.论软件合理使用制度――以利益衡量为分析方法[J].佳木斯大学社会科学学报,2013(03).
关键词:计算机 网络 安全 防护策略
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)10-0210-01
1 计算机网络安全的涵义
我们需要理解的就是,计算机网络安全的定义并不是一成不变的。它随着时代的发展,不同的使用者对于其涵义和认识都是不同的。基本上来说,计算机网络是由其系统的硬件、软件以及传输的数据来组成的,因此,其安全性也包含了这三方面。其中的各个环间都会因为偶然或故意的攻击遭到破坏。
2 计算机网络安全的现状以及所面临的问题
随着互联网的高速发展,我国很多重要的机构对于网络的需求也越来越大。而近些年的黑客以及计算机病毒事件也经常发生,而且其技术手段也愈来愈隐蔽,我国的网络安全形式比较严峻。一旦发生敏感信息的泄漏,后果将极其严重。因此,我国已经在立法和监管方面加大了管理力度,并投入大量的资金和人力进行计算机网络安全维护。计算机网络安全的道路任重道远。
在我们的日常生活中,计算机网络安全也正在面临严重的威胁,具体表现在计算机病毒、计算机操作系统和软件安全漏洞、计算机网络协议、黑客攻击等等多方面。在这里,我们重点论述这其中比较重要的两个问题,就是计算机网络的数据安全和安全管理。
2.1 计算机网络的数据安全问题
在计算机网络中,数据的传输安全问题尤为重要,当我们进行数据的传输时就面临着被窃听的危险,还有很多不法分子勾结内部人员,对一些敏感信息和登录密码进行窃取和篡改,造成了数据泄漏。如果我们对于数据安全问题不重视,那么一些不法分子以及黑客将轻易可以窃取到我们的重要信息,假如该信息涉及到国家安全,那么造成的影响和后果是极其严重的。
2.2 计算机网络的安全管理问题
计算机网络的安全管理是网络安全维护中的重要组成部分,但是在很多情况下,这些安全管理制度并不完善,造成了目前的网络安全风险。有些工作人员为了图方便,将网络的口令和密码设置过于简单,这样黑客和不法人员可以非常容易的对其进行破解。还有很多网络工作人员在进行登录系统时,使用相同的用户名和口令,加上管理混乱,如果出现问题更是责任不清不楚。计算机网络安全本身就是利用各种方法阻止网络的入侵,而这样的安全管理制度以及责任不明确的管理体制是出现计算机网络安全问题的重要原因所在。
3 计算机网络安全防护策略
据上所述,针对计算机网络安全的两大问题,必须要采取有效的安全防护策略,以保护计算机网络健康的运行和发展。
3.1 防火墙技术
顾名思义,防火墙就是在计算机网络之外设置的一道关卡,任何经过这个关卡的信息和数据都要经过防火墙软件的过滤和筛选,这样我们就可以通过防火墙技术识别非法的数据,以及封锁恶意的计算机病毒。另外,它还可以阻止计算机对于特殊网站或站点的访问,防止任何外来信息对计算机网络安全进行破坏,很大程度上保护了计算机网络的安全性。
3.2 数据加密技术
数据加密技术对于数据的保护是显而易见的。例如我们将一个数字的十进制改为二进制后,它的表面特征是发生了巨大的变化的。如果接收信息的人知道这个转变,我们就可以成功地将这个数字安全的传给接收信息的人。这个例子虽然很简单,但是却简洁明了的说明了数据加密技术在计算机网络安全中的重要性。我们可以对网络中的数据或者文件通过一些自定的算法进行改变,使其成为一段不可读的代码,此时我们可以称之为密文。只有在知道相应的算法后,第三人才能知道这其中的秘密。通过这样一个过程,我们就可以保护数据不被黑客等不法分子阅读。
3.3 云安全
“云安全”技术是一种全新的技术,是网络时代信息安全的最新体现。这个概念是随着“云计算”的提出而提出的安全概念。
云计算本身是一种新型的商业计算模型。与普通的计算模式不同,它是一种基于互联网的超级计算模式。它利用计算机网络,需要处理的数据并不是在本地进行,而是利用互联网将这些数据传输到一个集中的超级计算机中心,利用虚拟的资源,为用户提供高速、快捷的服务。
而随着云计算的发展,云安全的概念也随之被提出。顾名思义,云安全就是通过一个集中而庞大的数据库对网络中的行为和数据进行检测,获取的木马或者恶意程序信息又可以被搜集到这个数据库中供另外的客户端使用。因此云安全技术在应用后,病毒和木马的查杀不再仅仅是依靠本地硬盘的病毒库,而是依靠庞大的网络服务,实时对数据进行采集、分析以及处理。
任何一个新概念的提出,都会引发广泛的讨论,甚至有学者认为云安全这个概念只是一个不可信的伪命题。但随着技术的发展,现在有很多杀毒软件公司成功运用“云安全”技术对病毒实现了成功的查杀,云安全技术成为了不争的事实。正是因为云安全是一个全新的技术,所以我们还需要对此进行更深入的探讨和研究,为计算机网络安全做出更巨大的贡献。
3.4 完善计算机网络安全立法,加强法律监管
除了新技术的使用,网络安全的立法工作也不能放松。我国虽然已经出台了一些相关的法律,但是在面对互联网的高速发展,其发展还有些滞后,加上各部门之间缺乏协调,因此加快制订和完善网络安全的相关法律的同时,我们还需要加强网络安全法律的监管力度。让网络安全相关法律也真正做到“有法可依,有法必依,执法必严,违法必究”的原则。
另外,我们在工作的过程中也要加强数据的备份和恢复工作,因为即使数据被不发分子破坏,我们也可以利用备份恢复相关的数据。因此数据的备份与恢复工作是应对计算机网络安全问题的重要措施之一。
4 结语
随着Internet的发展,计算机网络的安全问题日益重要。我们在平时的日常生活中,也应该从自身做起,规范使用网络,做一个计算机网络安全维护的红客,从而使整个计算机网络逐步走向安全和稳定的良好环境。
参考文献
[1]黄丹.关于计算机网络安全问题分析及对策研究[J].信息与电脑,2011,10:54,56.
关键词:入侵检测;粗糙集;网络安全;属性约简
中图分类号:TN915.08 文献标识码:A文章编号:1007-9599 (2010) 04-0000-01
Research of Intrusion Detection System Model Based on Rough Set Theory
Su Hang,Li Yanqing
(DalianTransportation University,Education Technical Center Network Technology Department,Dalian116028,China)
Abstract:The Intrusion Detection System as a key technology and important means to protect network security has become a hot research area.Rough sets as a new mathematical tool to deal with the fuzzy and uncertain knowledge.It has important practical significance to use it in intrusion detection.
Keywords:Intrusion detection;Rough sets;Network security;Attribute reduction
一、引言
随着计算机网络和信息技术的发展,人们对互联网的使用越来越频繁,这也使得网络安全问题变得越发重要[1]。入侵检测系统作为保护网络系统安全的关键技术和重要手段,已经成为当前网络安全方面研究的热点和重要方向。
二、粗糙集理论
(一)粗糙集基本概念
1.知识分类的概念
知识是人类通过实践认识到的客观世界的规律性的东西,是人类实践经验的总结和提炼,具有抽象和普遍的特性。人工智能研究中的一个重要概念是智能需要知识。从认知科学的观点来看,可以认为知识来源于人类以及其他物种的分类能力,知识即是将对象进行分类的能力。设 是我们感兴趣的对象组成的有限集合,称为论域。以分类为基础,可以将分类理解为等价关系,而这些等价关系对论域 进行划分。
2.粗糙集及其近似
定义1 设 是对象集, 是 上的等价关系[2]。
(1)称 为近似空间,由 产生的等价类为 ,其中 。
(2)对于任意 ,记 , ,称 为 的下近似, 为 的上近似。
(3)若 ,称 为可定义的集合,否则称 为粗糙集(图1)。
(4) 的 边界域定义为
(5)集合 称为 的 正域, 称为 的 负域。
(二)近似精度与粗糙度
定义设集合 是论域 上的一个关于 的粗糙集,定义 关于 的近似精度为 ,其中 ; 表示集合中所包含元素的数目,称集合的基数或势。
定义 设集合 是论域 上的一个关于 的粗糙集,定义 的 粗糙度为 。如果 ,则集合 关于 是普遍集合;如果 ,则集合 关于 是粗糙集合。
(三)核与约简
属性约简包括两个概念:约简(reduce)和核(core)。属性约简是指关系的最小不可省略子集,而属性的核则是指最重要的关系集。
定义* 对于一给定的决策系统 ,条件属性集合 的约简是 的一个非空子集 。它满足:1, 都是 不可省略的 2则称 是 的一个约简, 中所有约简的集合记作 。
三、入侵检测模型
(一)入侵检测系统
入侵检测系统全称为Intrusion Detection System,简称IDS。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是入侵检测是防火墙之后的第二道安全闸门。
(二)粗糙集理论在入侵检测中的应用
本文主要探讨判断当前的网络连接是正常连接还是入侵,实现这个功能的系统模型分为四个部分。第一,数据预处理。主要包括删除重复记录,决策表缺失内容修正,数据离散化。第二,属性约简。采集到的大量数据里面包含了多种信息,但是所有的信息并不是同等重要的,有些时候是冗余的,通过属性约简可以有效去掉冗余信息以便得到更为简捷的决策规则。第三,根据约简结果得到逻辑规则。本文入侵检测系统体系结构如图2所示。
(三)基于信息熵的属性约简改进算法
属性约简部分是基于粗糙集理论的入侵系统模型中非常重要的部分,本文对一种基于信息熵的属性约简算法进行改进,使得算法更高效。文献[3]提出的cebarkcc算法是一种比较典型的基于信息熵的属性约简算法,该算法是建立在决策属性集相对于条件属性集额条件熵的基础上的,以 作为启发式信息,以 作为算法的终止条件。它以决策表核属性集为起点,逐次选择使 最小的非核条件属性 添加到核属性集中,直到满足终止条件 。该算法步骤文献[44]中有详细说明,本文不在细述,现将改进算法步骤描述如下:
Cebarkcc的改进算法:
输入:一个决策表 ,其中, 为论域, 和 分别为条件属性集和决策属性集;
输出:决策表 的一个相对约简 ;
Step1:计算决策表 中决策属性集 相对条件属性集 的条件熵 ;
Step2:计算条件属性集 中相对于决策属性集 的核属性 ,并令 , ;
Step3:
Step3.1:计算条件信息熵 ,转Step3.4;
Step3.2:对 , 中的每个属性计算条件熵 ,求 得到属性 的重要度 ;
Step3.3:选择使 最大的属性 (若同时有多个属性达到最小值,则从中选取一个与 的属性值组合数最少的属性),把 从 中删除,并把 增加到 的尾部;同时从 中删除使 的值为零的属性 ;
Step3.4:如果 ,则转Step4,否则转Step3.2;
Step4:从 的尾部开始,从后向前判别每个属性的 是否可约。如果 ,则从 开始向前的属性都是核属性,不可约,算法终止;否则,如果 ,则 是可约简的,把 从 中删除。
四、结论
一个完善的入侵检测系统是对系统防火墙有益的补充,能够在网络系统受到危害之前拦截和响应入侵。但是现今网络数据量非常大,环境复杂,这就需要入侵检测系统更加智能,能够适应复杂多变的环境。粗糙集能够不需要任何附加信息和先验知识的情况下,对数据进行分析从而得出人们想要的结果。所以将粗糙集理论应用于入侵检测系统是可行而且有效的,本文同时给出了改进的约简算法,该算法较先前算法效率更高,约简效果更好。
参考文献:
[1]肖晓春.基于模型的网络安全风险评估的研究,复旦大学,2008
【 关键词 】 计算机; 网络信息管理; 安全防护; 问题; 策略
Computer Network Information Management And Its Security Strategy
Shi Chao
(China Kunlun Engineering Company Beijing 100037)
【 Abstract 】 Based on the computer network information management as the research object, from the computer network information management content classification, computer network in the management of the information security problem analysis and computer network information security strategy analysis of these three aspects, has carried on the detailed analysis and exposition, and then demonstrates that do a good job of this in to further enhance the computer network information management quality and management efficiency in the process to play the vital role and the significance.
【 Keywords 】 computer; network information management; safety protection ; problem; strategy
0 引言
在全球经济一体化进程不断加剧与城市化建设规模持续扩大的推动作用下,计算机网络以其高质量的数据传输性能、强大的数据储存能力以及高效率的数据处理能力得到了较为广泛的研究与应用。我们需要清醒的认识到一点:新时期的网络信息管理与传统意义上单独的网络管理或是信息管理均存在着比较明显的差异,它将管理工作的重点定义在了网络信息及信息服务之上,在整个计算机网络当中开辟了一个崭新的研究阶段。在计算机网络信息传输与运动关系日益密切的网络环境当中,计算机网络的信息管理工作也正面临着前所未有的发展机遇与挑战,如何在计算机网络大环境之下围绕信息管理这一中心构建起一套健全且完善的安全防护策略,确保计算机网络信息管理工作的正常运行,已成为当前相关工作人员最亟待解决的问题之一。笔者现结合实践工作经验,就这一问题谈谈自己的看法与体会。
1 计算机网络信息管理内容的分类
何谓信息管理呢?一般来说,信息管理是指以信息技术为载体,以网络信息及信息服务为基本对象,以计算机网络信息的分布、构成、储存、利用以及服务为载体,以确保计算机网络信息服务及应用正常运行的管理活动。新时期的计算机网络信息管理由信息资源的组织、平台协调、终端用户权限管理以及安全防护这四大板块共同构成。如果将整个计算机网络信息管理视作一个整体的话,信息资源的组织即为前提,信息平台的协调就好比载体,终端用户的权限管理正如同基础,而安全防护策略即为核心,由此可见安全防护在计算机网络信息管理中的重要地位。对计算机网络信息管理加以分类能够使我们更具针对性的去制定相应的安全防护策略,从而保障整个计算机网络信息的安全性与完整性。具体而言,计算机网络信息管理工作可以划分为四大基本类型。
1.1 基础运行信息
基础运行信息是整个计算机网络信息的基础,也是计算机网络信息管理工作的基本管理对象,各类型计算机网络信息的多元化发展都需要以基础运行信息为必要前提。一般来说,基础运行信息包括了计算机网络IP地址、域名以及AS(自制系统号)这三大类。
1.2 服务器信息
从理论上来说,服务器信息就是指在计算机进行网络信息服务供给的过程中与服务器正常运行密切相关的信息的统称,是相关工作人员判定整个计算机服务器运行质量与运行效率的最关键指标。一般来说,计算机网络信息中的服务器信息包括了计算机服务器的基本配置参数、负载均衡指标、访问指标以及信息服务的完整性指标等。
1.3 用户信息
简单来说,计算机网络信息中的用户信息包括了用户的姓名、部门、职位以及权责等相关资料数据,是用户身份的证明。
1.4 网络信息资源
顾名思义,网络信息资源即为计算机在面向终端操作用户提供网络信息服务的过程中所生成的各类型信息资源。对于树状网络拓扑形式的计算机网络结构而言,网络信息资源在服务器上会呈现出分散式、非线性式的分布特性,网络信息资源的传输及异步进行,存在各种不安全信息介入以及网络信息泄露的诸多安全隐患,需要引起相关工作人员的特别关注。
2 计算机网络信息管理工作中的安全问题分析
计算机网络的开放性、共享性特性在为终端操作用户提供便捷的信息服务的同时,也不可避免的使得整个计算机网络呈现出了一定的安全性问题。相关工作人员在开展计算机网络信息管理工作的过程中,需要将网络信息正常的访问与作为管理工作的重点,在合理控制计算机用户登录权限的基础之上确保计算机网络系统免受非法攻击与干扰。那么,我们在进行计算机网络信息安全管理工作的过程中需要特别注意哪几个方面内容?当前的计算机网络信息管理工作又应当侧重于哪几个方面的问题呢?笔者现结合这两大问题做详细分析与说明。
2.1 计算机网络信息管理工作安全指标分析
首先是保密性。计算机网络系统能够在加密技术的支持之下,允许经过授权的终端操作用户对计算机网络信息数据进行访问与利用,筛选掉未经过授权用户的访问请求。
其次是完整性。计算机网络系统能够通过加密或是散列函数有效防治各种非法信息的进入、并在此基础之上确保计算机网络系统中所储存数据的完整性。
再次是可用性。计算机网络信息安全管理中信息资源的可用性主要体现在信息系统的设计环节,确保计算机网络系统当中的各类信息资源在遭受攻击时能够及时恢复正常运行状态。
再次是授权性。授权将直接关系到用户在计算机网络系统当中的权限,关系到用户能够进入计算机网络信息系统,对信息进行访问与操作,通常我们可以采取访问控制列表或是策略标签的形式来确保计算机网络系统授权的合理性与正确性。
再次是认证性。一般来说,在当前技术条件支持下,使用较为普遍的计算机网络信息系统认证方式可以分为实体性认证与数据源认证这两种方式,确保权限提供与权限所有者为同一用户。
最后是抗抵赖性。简单来说计算机网络信息系统中的抗抵赖性是指任何计算机网络信息通信方在整个网络信息通信过程结束之后无法否认自身参与整个通信过程的真实性,进而为计算机网络信息管理提供后续保障。
2.2 计算机网络信息管理中的安全性问题
大量的实践研究结果使我们认识到一点:在当前技术条件支持之下,整个计算机网络信息管理工作频频发生的安全性问题可以根据上文所述的信息管理工作安全性指标的不同划分为两大基本类型:第一类为信息访问控制问题(主要针对的是信息管理工作中的保密性、授权性、认证性以及抗抵赖性);第二类信息安全监测问题(主要针对的是信息管理工作中的完整性以及可用性)。
2.2.1 信息访问控制问题
信息访问控制一直都是整个计算机网络信息管理工作的基础与核心。在整个计算机网络信息通信过程当中,资源拥有方与使用方对于网络信息管理中的访问控制工作都有所要求。换句话来说,信息访问控制需要将个人信息的储存与资源信息的过程作为整个安全管理工作的基本对象。
2.2.2信息安全监测
信息安全监测工作的执行能够最大限度的消除计算机网络信息资源开放性与网络系统脆弱性之间的矛盾,使相关工作人员及时发现整个计算机信息系统当中遭受攻击的对象,并及时作出预警处理,在此基础之上为计算机网络系统当中关键数据的恢复提供保障。
3 计算机网络信息安全防护策略分析
笔者现以A部门计算机网络信息安全防护策略的制定实例为研究对象,针对上文所提出的计算机网络信息管理工作中值得注意的信息访问控制问题以及信息安全监测问题,提出包括基于角色的访问控制安全防护策略以及基于证书的访问控制安全防护策略在内的两大安全防护方式。现对其做进一步阐述与分析。
3.1 基于角色的访问控制安全防护策略分析
在当前技术条件支持之下,计算机网络信息安全管理工作中针对访问控制进行的安全防护策略可以分为基于规则与基于角色这两大类型。对于A部门封闭式的电脑USB及光驱接口情况来说,基于角色的访问控制更为实用。在这一防护策略支持之下,终端操作用户在接受角色的同时也被赋予了相应的权限。用户角色从本质上来说是形成访问控制策略的基础性语义结构,能够随着用户权责的改变作出同等的转化。
3.2 基于证书的访问控制安全防护策略
就A部门现有的计算机网络系统结构来说,各个楼层独立应用的交换机会经由主线连接至计算机信息中心机房当中的核心交换机当中,笔者建议选用PKI机制环境下所颁布的X.509证书作为整个计算机网络信息管理的访问控制安全防护证书。用户在提交X.509证书之后,计算机网络系统当中的访问控制系统会读取用户所提交证书当中的相关信息,对目录服务器相应信息进行读取与查询,进而对提交证书用户的角色加以查询,并在此基础之上对客户需要访问资源的访问权限加以定义。简单来说,在这一过程当中,访问控制系统能够基于X.509证书判定何种角色能够具备访问该资源的权限。假定由用户所提供证书读取出的角色归属于该资源的权限定义范围之内,那么访问控制系统就能够及时下达指令,允许证书提供用户对该资源进行访问。
4 结束语
伴随着现代科学技术的蓬勃发展与现代经济社会建设发展脚步日益加快,社会大众持续增长的物质文化与精神文化需求同时对新时期的计算机网络及其系统技术的应用提出了更为全面与系统的发展要求。新时期的计算机网络信息管理工作正向着多元化、集成化以及系统化方向发展,但这其中所产生的信息安全问题却尤为突出,需要引起我们的广泛关注。本文针对计算机网络信息管理中需要特别关注的安全问题以及安全防护策略的制定问题做出了简要分析与说明,希望能够为今后相关研究与实践工作的开展提供一定的参考与帮助。
参考文献
[1] 段盛.企业计算机网络信息管理系统可靠性探讨[J].湖南农业大学学报(自然科学版),2000.(26).
[2] 李晓琴.张卓容.医院计算机网络信息管理的设计与应用[J].医疗装备,2003.(16).
[3] 李晓红.妇幼保健信息计算机网络管理系统的建立与应用[J].中国妇幼保健,2010.(25).
[4] 罗宏俭.计算机网络信息技术在公路建设项目管理中的应用[J].交通科技,2009.(01).
[5] 金文.面向21世纪多媒体在医院计算机网络信息管理系统中的应用[J].数理医药学杂志,2000.(13).
[6] 肖亚红.基于计算机网络技术的物流业务信息管理[J].中国商贸,2011.(09).
所谓计算机网络可靠性其实就是指计算机网络的可用性,也就是具备计算机网络各用户间互相连通能力的强弱。优化计算计算机网络可靠性是目前业界所关注的热点话题。与传统算法相比较,遗传算法优点更多,不仅算法的结构比较简单、便于求解以及搜索高效,在进行全局计算的时候还可获得最优的近似。遗传算法具有较好的实用性、简易的算法结构以及较快的求解速度能够求出近似值的最优解,在解决网络可靠性优化计算问题上有着明显的优势。
【关键词】网络可靠性 优化计算 遗传算法
计算机网络可靠性也就是计算机网络的可用性,通过遗传算法,解决网络优化计算过程中的核心问题,能够提高网络的可靠性。下面就来探讨一下计算机网络可靠性优化计算中遗传算法的应用优势。
1 计算机网络中可靠性优化和遗传算法的概念介绍
1.1 计算机网络可靠性优化
计算机网络可靠性优化是具有重要意义的一个环节,网络是否具有可靠性是计算机网络信息传输是否能得到保障的前提,而计算机网络往往又具有许多重要的特性,比如在生存性方面和抗破坏性方面尤其显得非常突出。计算机网络中的这些特性,给我们优化计算机的可靠性提供了方向,因为这些特性能够适应各种不同的模式,使网络设备在工作时的有效性得到了保证。计算机所处的温湿度、辐射以及维修等对计算机网络通信和联网设备工作会产生影响,但在以下分析中假定网络处于理想状态,不受上述条件影响。
计算机网络的可靠性类型有:2终端可靠性、Y终端以及全终端可靠性这三种类型。
1.2 遗传算法含义
遗传算法广泛应用于计算机各个领域,它的基本原理是根据生物学上的遗传知识和自然选择规律为基础发展起来的。将数据在网络中的传输方式和过程进行模拟,然后根据生物学上基因遗传信息的传递方法,在经过群体搜索和个体之间互相交换信息,将网络中传输的数据信息切割成各种不同的数据块,再在达到网络地终端时按照一定的规律进行组合起来,最后就构造出满足在网络中进行传输地优化信息搜索功能。此搜索功能不仅能够达到在网络中优化全局信息地要求,而且该方法在操作上比较简单和便捷,所具备的通信全局性较好,且所具备的优势以及功能较为明显,可有效解决在传输网络数据中遇到的封装问题。遗传算法主要是由以下几个部分所构成,即进化运算、基因表达、基因适值、遗传运算以及初始种群这五个部分。
2 在计算机网络可靠优化计算中遗传算法的有效应用
2.1 问题假设
在计算机网络中,数据的分析和信息的运算是在经过多节点情况下,采用多通道的传输方式来控制的。而通道中都是单一性数据来联系的,此时需通过数学模型的建立来描述系统中的单一性。网络传输通道是否具有稳定性,将对到节点之间的数据起到关键性的作用,直接决定数据是否能得到可靠地传输。
2.2 计算问题的数学模型
关于计算机网络信息通信的传输可以建立下面的数学模型来进行说明和分析,下面是一个网络矩阵,通过这个矩阵来对网络传输地介质实现公式化的研究。
如公式(1)所示:C0可代表的含义是:一个传输介质的矩阵,而评估链路介质间成本的关系,看是否存在某种联系,则用j(1≤j≤n),这个链路是指矩阵中包含的链路。
在计算机网络通信中,可使用下面的数学公式表示信道链路介质在传输数据时的衡量值:
在上述公式(2)和(3)中,N代表的含义是:计算机网络地节点个数,C代表的含义是:通信信道中信息传输成本,α和β代表的含义是节点的可靠性约束常数,Diaji指的是i与j节点间的介质数,是代表最优的逻辑链路。当gij的值为0时,表示i与j节点之间没有直连地链路;当gij的值为1时,表示i与j节点之间有直连地链路。
根据上述的公式,很容易就可以推算出计算介质可靠性地具体公式如公式(4)所示。
在上述该公式(4)中,R0代表的是网络的可靠性矩阵。当计算机的整个网络处在一种可用状态,即网络中计算机均可相互连通,基于这种条件下,网络中的每一个节点就可构成为一种相对应的系统,该系统可在一定程度上使网络正常工作得到相应的保障。
2.3 遗传算法优化的过程
首先进行数学建模优化,采用遗传算法按照顺序服务的原则,用排队模型处理,可以简化计算机网络中的通信问题和节点储存问题。优化可靠性的计算,包括选择分配容量和路由的复杂非线性方程。在求最优解时,遗传算法的运算过程可以表示为如下流程:begin(0t)―初始化p评估pWhile不满足终止条件begin重组p,获得c评估c从p和c中选择p(t+1t)end。在考虑到约束条件比较多情况下,寻优问题要想使解决变得容易,遗传算法是最佳选择之一。针对算法的设计和优化,选择使用遗传算法来作为寻优设计的核心算法,这样就可以比较容易的得到很好的近似值,起到了很好的优化作用。
3 结束语
随着信息技术和网络技术的飞跃式发展,各行业对信息传递过程中的安全性和可靠性也有了更高的标准和要求。尤其是在对网络数据具有极强的依赖性行业,迫切需要提高其信息的安全性、网络的稳定可靠性。为了使计算机网络的可靠性得到保证,需要在优化计算机包括安全性在内的综合性能的同时,探索出节约或者是降低网络结点链路成本的新技术新方法。通过以上的研究和探讨,可以发现,将遗传算法应用到计算机网络可靠优化的计算中来,不仅可以大大提高计算速度,还能有效优化计算效果提升操作性能。
参考文献
[1]王洪丽.计算机通信网络可靠性设计技术研究[J].信息技术与信息化,2014(06):98-99.
[2]袁宏伟.基于遗传算法的计算机网络可靠性优化计算[J].计算机光盘软件与应用,2012(23):6-8.
作者简介
苗蕤(1983-),男,河南省许昌市人。工学双学士学位。现为甘肃广播电视大学工程师。主要研究方向为计算机应用技术、数字图像处理、计算机网络安全。
屈展(1981-),男,黑龙江省拜泉县人。硕士研究生学历。现为甘肃广播电视大学讲师。研究方向为智能交通系统、智能控制、算法分析。
关键词:脆弱性扩散;网络风险评估;网络安全;累积效应;攻击模型
中图分类号: TP393.08; TP309.5
文献标志码:A
New network vulnerability diffusion analysis method based on cumulative effect
LI Yan*, HUANG Guangqiu, ZHANG Bin
School of Management, Xian University of Architecture and Technology, Xian Shaanxi 710055, China
Abstract: Network vulnerability assessment which intends to safety situation analysis and establishment of defensive measures before attack is a kind of active defense technology, but the traditional quantitative analysis models cannot show the dynamic interactive relationship between entities, and most of them cannot get global results for risk diffusion. With reference to the influence of social network in the process of communication, a new network vulnerability diffusion analysis method based on cumulative effect was proposed. The defined vulnerability diffusion analysis model described subject relation structure in a more detailed level, and the algorithm proposed by using the accumulation characteristics in attack effects described vulnerability diffusion rule more accurately to ensure better influence range. At last, the model and algorithm were verified by a typical example, the horizontal comparison analysis on some aspects such as simplicity of the model description, accuracy of the analysis results, rationality of the safety recommendations were given. The results show that the method has an advantage in visual assessment results and the formulation of the cost minimum security measures.
Key words: vulnerability diffusion; network risk assessment; network security; cumulative effect; attack model
0引言
信息技术的快速发展使计算机等电子设备成为了当前社会发展的基石,但安全漏洞或者脆弱性的存在导致各种攻击事件层出不穷,由此引发的网络安全问题已经成为了各国关注的焦点。目前已知病毒大约有58000多种[1],一些组织也在不断更新各种软件的脆弱性状况,网络管理人员为了保证系统正常工作,必然会开放一些存在脆弱点的服务,如何在不安全因素状态下保证系统安全和鲁棒性成为了研究的重要方向。
脆弱性风险评估作为一种主动防范技术,意图帮助管理员发现潜在的威胁,在攻击发生之前对安全态势进行评估进而制定防御策略。本文将风险评估分为模型构建和分析方法构建两个步骤。模型构建的过程将网络中和风险评估相关的各要素进行抽象并以形式化的语言表达,目前的工作主要围绕着攻击图模型[2-3]展开。早期的攻击图趋向于状态攻击图构建[4-5],但容易导致状态空间的爆炸,随着研究的深入越来越倾向于因果攻击图的构建[6-7],其边代表节点间的连接关系或者原子攻击间的逻辑关系,扩展性强,更易于大规模网络的应用,也有文献专注于攻击图的大规模构建和可视化呈现[8]。分析方法构建主要包含定性分析和定量分析两种:定性分析主要是在模型描述的基础上,通过对攻击场景的可视化分析得出所有可能攻击路径的过程[9-10],即定性分析的关注点是脆弱性逻辑关联问题;定量分析一般在模型构建过程中同时对一些因素进行量化。文献[11]提出的层次化安全分析方法可以得出直观的安全威胁态势;何慧等[12]对网络安全事件的危害程度进行量化,提出了基于性能指标的网络安全事件危害度量化评估方法;文献[13-14]依托于最大可达概率的概念对攻击图进行分析,可以进行各节点的概率计算;张永铮等[15]提出的风险传播模型对于网络风险评估具有很好的借鉴意义。
传统的定量分析方法主要包括风险叠加和风险概率预计两种,但是无论哪种方法都专注于当前攻击步骤下的局部最优,不能保证最终的风险扩散结果最优,也不能对风险扩散的动态过程进行很好的刻画。为此本文提出了一种基于累积效应的网络脆弱性扩散分析方法,首先介绍了脆弱性扩散模型的基本定义,同时借鉴社会网络线性阈值传播模型(Linear Threshold Model)的影响力最大化思想,给出了脆弱性累积扩散算法,该算法可以综合考虑网络特性和扩散特性来推演攻击者最终的影响范围。实例分析表明该方法可以直观地描述脆弱性在整个网络的扩散过程,脆弱性态势分析结果可以提高风险评估的准确性,找到最具威胁的脆弱性集合,以便制定成本最小的安全措施。
1模型定义
本文将计算机网络抽象成由多个计算机服务及其之间访问关系所组成的复杂网络。这种复杂的网络结构对于信息传递过程起着重要的意义,当某一个服务节点存在着脆弱性时,攻击者可以利用该漏洞改变原有的访问结构或者提升自己的访问权限,这个过程称为脆弱性传播或扩散过程。为了叙述方便,下面先给出一系列概念和定义。
定义1网络主体。本文将网络系统中的独立计算设备称为网络节点,记为n;将网络节点上提供的应用程序、操作系统、服务等称为网络主体,记为C;Cns=(n,s)表示网络节点n上提供的一个可供访问的应用s。
功能各异的设备通过有线或者无线的网络相连构成了网络信息交换系统,网络主体通过这些物理载体来实现数据交换或操作的过程可以抽象为网络主体之间特殊的访问逻辑关系,本文将这种逻辑关系抽象为访问权限关系和访问连接关系两类。
定义2权限关系。权限关系P代表某一个网络主体在另一个网络主体上的访问权限,
P∈{None,Access,User,Superuser,Root},满足None
定义3连接关系。连接关系L代表某一个网络主体与另一个网络主体上的普通连接关系,例如所使用的网络协议关系等。EL=(Cxi, Cyj, l) 表示网络节点x上网络主体i在网络节点y的网络主体j上拥有连接关系l。
计算机脆弱点(Vulnerability)或安全漏洞是指计算机上网络主体存在的设计、编码或配置缺陷,攻击者可以利用这些缺陷违背系统安全策略,引发不同程度的安全隐患。本文主要考虑脆弱性的关联和量化问题,因此参考文献[10]对脆弱性的定义如下。
定义4脆弱性。计算机的脆弱性定义为一个多元组v=(BID,Name,OS,Date,Pre,Post,AC)。其中:BID代表该脆弱性的通用标识号;Name是脆弱性的名字;OS代表影响的系统对象类型,包括各种操作系统平台、应用软件平台和网络设施平台等;Date表示脆弱性的日期;Pre表示利用此脆弱性的前置访问权限和连接关系;Post代表利用此脆弱性后带来的访问权限和连接关系的变化;AC表示此脆弱点的攻击复杂性。
定义5传播收益。为了对风险传播结果进行量化,本文采用文献[16]中的描述,将风险传播过程中系统的损失作为攻击的收益,即:
Cost=AL×criticality×(costI×pI+costC×pC+costA×pA)
(1)
其中:AL是攻击致命度,代表某类攻击所能具有的危害程度(用0~10的数值来表示);criticality是攻击目标的资源损失;costI表示资源属性中的完整性代价,pI表示资源对于完整性代价的偏重;costC表示资源属性中的机密性代价,pC表示资源对于机密性代价的偏重;costA表示资源属性中的可用性代价,pA表示资源对于可用性代价的偏重;并且pI、pC、pA之间满足pI+pC+pA=1的关系。
定义6主体关系网络。由网络主体及其权限关系、连接关系、脆弱性及传播收益构建的网络称之为主体关系网络CRN(Component Relationship Network),CRN=(C, EP, EL, V, Cost,Aα)。其中:C是网络主体的集合;EP是网络主体间的权限关系集合;EL是网络主体间的普通连接关系集合;V是网络系统中脆弱性的集合;Cost是脆弱性扩散过程中攻击者的收益集合;Aα:C2α表示网络主体所拥有的属性列表,α为网络主体的所有属性的集合(同时包括正常属性和脆弱属性,即Vα)。主体关系网络的构建可通过自动化工具完成,这里不赘述[4]。
定义7脆弱性扩散过程。在图1所示的主体关系网络示意图中,网络主体节点A上存在着脆弱性漏洞v,攻击者对A的权限关系和连接关系如果满足脆弱性v的前置条件Pre,则攻击者可以继续利用主体节点A与其他主体节点的连接或权限关系扩大自己的攻击范围,这就是节点A上的脆弱性v的扩散过程,边上的数字代表风险传播过程中攻击者可以获取的收益,这和社会关系网络中一个人受朋友的影响进行某项决定的过程十分类似。
定义8脆弱性扩散分析模型。这里将应用脆弱性扩散分析(Vulnerability Diffusion Analysis)方法进行网络风险评估的模型定义为VDAM=(CRN,Alg)。其中:CRN是定义6中所定义的主体关系网络,用于描述网络信息系统中的连接关系结构、主体节点的脆弱性分布及传播收益等;Alg是针对主体关系网络CRN进行分析的算法的集合,任何一个分析算法要能给出脆弱性动态扩散演化的规则和量化的分析结果,以有助于网络管理员以最小代价采取防御手段。
2脆弱性累积扩散分析算法
通过第1章的相关定义,本文将承载信息交换的计算机网络抽象为一个有向加权无环图,每个节点代表提供相关功能的网络主体,节点之间的边代表主体之间的关系。在正常状态或者授权状态(SAuthorized)下,用户可以根据安全策略访问相应的功能,但是由于主体上存在的脆弱性,恶意用户可以访问到未授权状态下(SunAuthorized)的功能,某个网络主体脆弱性的存在导致某个未被授权的功能被访问的过程就是脆弱性扩散的过程,随着时间的推移,越来越多未授权的功能或者主体被访问到,攻击者也借此来达到攻击目的。这里假设脆弱性扩散过程是单调的,即:攻击者通过脆弱性扩散的过程获取得到某项功能后不会主动放弃。
这样网络脆弱性的评估过程就可以归纳为一个算法问题,即在给定由一个有向加权无环图代表的主体关系网络
(包含了主体节点上的脆弱性)的前提下,如何确定扩散范围或影响最大化的问题。独立级联模型(Independent Cascade Model)[17-18] 是社会网络影响力最大化研究的主要模型之一,其在给定初始节点集合S0和节点u、v间相互影响概率Puv的基础上来模拟信息扩散的过程,文献[13-14]提出的概率攻击图分析方法与此很类似,但各种概率的取值主观性过强。本文主要考虑使用线性阈值模型(Linear Threshold Model)[19],其具有“影响力累积特性”,即当一个节点试图影响其邻居节点而未成功时影响力将被累积而不是抛弃,这与攻击者攻击过程十分类似,对某一个节点的攻击虽未成功,但对该节点的邻居节点或者后续节点的攻击是有贡献的。基于累积效应的脆弱性风险评估过程如下:通过自动扫描工具获取主体关系网络CRN、攻击者的初始连接集合S0、节点的阈值θv及节点间的扩散力λuv,在第t步扩散时,将集合St-1中相连接的满足阈值的连接节点加入到集合St-1中形成St,重复此过程直至结束为止。
2.1扩散估值公式λuv
本文使用扩散值λuv来表示节点u对节点v存在的影响程度,值得注意的是这里的扩散力不仅仅来自于脆弱性,正常或者授权的连接关系也存在影响力。因为主体关系网络是有向加权图,所以影响的程度主要是由边上的权重也就是攻击收益决定的。
定义9主体邻接关系图。主体邻接关系图CNRG(Component Neighbor Relationship Graph)由v和指向它的邻居节点及这些节点之间的连接关系构成。
CNRG(v)=CRN′(C′,E′)
C′={c}∪N(c)
E′={(u,v)|u,v∈C′,(u,v)∈E}
其中N(c)表示节点c在主体连接关系图中入边邻居节点的集合。
定义10扩散估值公式。在以攻击收益为权重的主体关系图中,规定节点间扩散估值λuv的定义如式(2)所示,其中w(u,v)代表节点u、v之间的权重(即节点u对节点v的攻击收益)。
λuv=w(u,v)/∑m∈N(v)w(m,v)
(2)
在图例1所示的主体关系图中,边(C,E)、(B,E)、(D,E)的权重分别为8、5、3,根据式(2)可以得到λCE=8/16,λBE=5/16, λDE=3/16。
2.2扩散分析算法
社会网络的影响力最大化问题是一个NP问题[17-19],在选择最有影响力的种子节点和保证最终的全局化最优方面非常耗时,因此一般采用启发式的算法来解决时间复杂度过高的问题。本文所构建的主体关系网络中已经包含了节点的脆弱属性及相互之间的访问连接关系,因此不需要在每一步的扩散过程中都进行种子节点选取,只需保证影响全局化最优和得出有意义的量化结果。
程序后
在DAM算法中,根据事先设定的阈值(针对主体节点的重要程度可以设置不同的阈值),使用广度优先的策略描述了攻击者自初始连接状态下逐步进行攻击演化的过程,计算了攻击者到达任意攻击节点的收益,因为算法整体使用的是广度优先的策略,所以时间复杂度和广度搜索的复杂度相似,为O(|C|+|E|)。
3实验和评估
3.1应用及验证
为了验证本文所提出的网络脆弱性扩散分析方法的正确性,阐述该模型的基本分析过程和在风险评估领域内的优势,给出了一个典型的Web信息系统的实例,拓扑结构如图2所示。实验网络内共有4台服务器,10.10.0.10为Web服务器(以下简称10服务器),Windows操作系统,通过IIS、Apache、FTP三个部件主体对外提供服务,外网的用户通过外网防火墙可以对其进行访问;10.10.0.11为数据库服务器(以下简称11服务器),Windows操作系统,存在SQL Server和RPC两个部件主体;10.10.0.12为邮件服务器(以下简称12服务器),Windows操作系统,提供Email和RSHD服务;10.10.0.13为文件服务器(以下简称13服务器),Linux操作系统,提供Telnetd和FTP服务。
根据预先设定的网络安全规则,外网用户可以访问位于Web服务器上的IIS和Apache服务,Web服务器可以远程到数据库服务器和邮件服务器上,Apache组件可以访问位于邮件服务器上的Email服务,IIS可以访问数据库服务器上的
SQL Sever数据库,Web服务器上的FTP服务可以和文件服务器上的FTP组件进行交互,位于数据库服务器上的RPC和位于邮件服务器上的RSHD可以远程Linux服务器上的Telnetd组件。构建所得的主体关系网络如图3所示。
假设主体IIS上存在着Null.htw漏洞,攻击者可以获取所在主机的Root权限,Apache上存在着远程命令注入漏洞,Email上存在着Outlook URI漏洞,Web服务器和文件服务器上
的FTP组件都存在着FTP目录遍历漏洞,RPC上存在着RPC请求缓冲区溢出漏洞,RSHD主体允许用户以Root身份执行远程shell命令,Telneted主体存在着输入验证错误,可以使访问
者获得远程管理员权限。通过定义10可以获得各个
节点之间的扩散值λuv如表1所示。为表述方便,以下用10IIS
表示Web服务器10.10.0.10上的IIS服务,其他依此类推。
图4是使用本文所提出的脆弱性扩散分析模型和脆弱性累积扩散分析算法所得出的分析结果。其中:图(a)是θv=0.2时的扩散结果,在此时攻击者不论攻击效果或收益的大小,针对每一个节点的任何漏洞或者权限提升的可能性都进行了攻击;图(b)是θv=0.4时结果,表明攻击者在攻击时会过滤掉攻击收益不明显的过程,如10IIS至11SQL的攻击、10Apache至12Email的攻击等;图(c)是θv=0.5时的结果,可以明显地看到此时攻击者会选择攻击收益较大的动作,如选取针对Web服务器的10Windows主体攻击,而不是选择攻击10FTP节点。
3.2结果比较与分析
上面几个小节给出了模型的详细定义、实验环境及模型应用过程。在已有通过攻击图进行脆弱性分析的模型中,还没有一个通用的数据集或实验环境来对各种方法进行横向比较,但是几乎每篇文章都会给出一个和本文类似的实验来说明模型或分析方法的有效性,篇幅原因,这里不再一一给出本文模型
在各方法上的应用示例,仅给出下列比较分析结果。
文献[9-10]重点介绍了利用攻击图模型进行网络安全分析的基本原理和方法,都是使用攻击前件集来描述攻击的发生条件,使用后件集来描述攻击的后果。和文献[9-10]的方法相比,本文模型的生成过程可以随着漏洞扫描工具同时完成,无需再单独编写算法来完成攻击前件集、后件集等的转换过程。同时本文攻击图中的各个节点是网络中的部件主体,依托于权限关系和连接关系进行的网络抽象,和文献[5]等的结果比较起来显然更加简洁和清晰,没有歧义性,无需对图中的各要素进行单独说明。文献[13-14]的模型分析结果是针对状态构建的,虽然也明确提出了攻击图的简化算法[14],但是对于大规模的网络安全分析一定会存在着状态空间爆炸的风险,本文模型基于部件主体之间的逻辑因果关系,更加适用于大规模网络的扩散分析。
贝叶斯网络等概率模型被广泛应用于网络态势感知的量化分析中:Homer算法[8]为了能够对攻击图中的循环路径进行处理,增加了大量的边和节点,导致联合概率的获取和计算异常复杂,很难适应于复杂目标网络;吴迪等[5]的量化分析结果过分依赖于DS(DempsterShafer)初始证据的可信度赋值,对子攻击图的攻击预测成功概率也会限制模型的使用;陈小军等[14]在叶云等[13]的研究基础上引入了状态概率转移表,意图在单步攻击准确的基础上推测攻击者的攻击意图。但以上所有模型中的概率风险预计几乎完全依赖于专家知识库,而本文模型中的扩散估值计算方法基于客观的攻击收益值,可以大大降低主观因素的影响,扩散阈值的计算与设定体现了攻击者的趋利特性,即在每步攻击时都会选择收益大、操作简单的方法或节点,相比风险叠加[5,8,13],本文模型在增加脆弱性扩散描述的同时给出了可以得出全局化最优结果的算法。如应用文献[14]等模型只能得到攻击者针对10IIS攻击的描述,而本文模型中增加了对攻击或未成功攻击后的风险扩散过程,可以得出对10FTP的攻击等潜在攻击可能性。
进行网络风险评估的核心意义是在网络攻击发生之前确定可能的攻击路径来采取相应的措施,保证网络的正常运行。对风险分析的结果进行处理是得出合理化安全建议的前提,而传统的分析模型大部分忽略了此方面,假设攻击者的攻击目标是位于文件服务器上的File,如采用文献[9-10]中提出的攻击图模型定然会得出针对Web服务器或文件服务器上的FTP进行修复的建议,但是从本文模型可以看出攻击者收益最大的攻击路径为10IIS10Windows11Windows或12Windows13Linux13File,在此情况下防御的重心是针对各服务器上操作系统漏洞的升级,能得出此类建议的原因是本文模型增加了对脆弱性量化扩散的考虑。
4结语
为了对网络信息系统的安全风险进行更好的评估,本文提出了一种基于累积效应的网络脆弱性扩散分析方法,该方法主要由脆弱性扩散分析模型和脆弱性累积扩散分析算法两部分组成,意在能对攻击过程中脆弱性的扩散过程描述更加直观,同时综合考虑网络特性和扩散特性来得到最终的影响范围,最后以一个实例阐明了该模型的应用过程,验证了算法的效率和准确性,并从分析结果的合理性以及安全建议的合理性两个方面与以往的分析模型进行了对比,说明了本文模型在提高风险评估准确性、制定成本最小安全措施等方面的优势。
本文模型借鉴社会网络影响力最大化思想,但是攻击的过程中一定会涉及到时间的概念(即攻击步时)及防御策略的影响(即攻防博弈),因此需要对本文模型进行扩展使之包含时间因素和决策对抗过程;目前的KDD99安全数据集不适合风险评估模型的应用,对本文模型亦是如此,因此构建适合于大规模网络风险评估分析的数据集也将会是本课题的重要方向之一。
参考文献:
[1]BRUCE L. Managed Vulnerability Assessment (MVA) ― Mprove security by understanding your own vulnerabilities! [J]. Network Security, 2002(4):8-9.
[2]
RITECHEY R W, AMMANN P. Using model checking to analyze network vulnerabilities [C]// S&P 2000: Proceedings of the 2000 IEEE Symposium on Research on Security and Privacy. Washington, DC: IEEE Computer Society, 2000: 156-165.
[3]
AMMANN P,WIJESEKERA D, KAUSHIK S. Scalable, graph based network vulnerability analysis [C]// CCS 02: Proceedings of the 9th ACM Conference on Computer and Communications Security. New York: ACM, 2002: 217-224.
[4]
SHEYNER O, HAINES J, JHA S, et al. Automated generation and analysis of attack graphs [C]// Proceedings of the 2002 IEEE Symposium on Security and Privacy. Washington, DC: IEEE Computer Society, 2002: 273-284.
[5]
WU D, LIAN Y, CHEN K, et al. A security threats identification and analysis method based on attack graph [J]. Chinese Journal of Computers, 2012, 35(9): 1938-1950. (吴迪, 连一峰, 陈恺, 等. 一种基于攻击图的安全威胁识别和分析方法[J]. 计算机学报, 2012, 35(9): 1938-1950.)
[6]
INGOLS K, LIPPMANN R, PIWOWARSKI K. Practical attack graph generation for network defense [C]// ACSAC 06: Proceedings of the 22nd Annual Computer Security Applications Conference. Piscataway: IEEE, 2006: 121-130.
[7]
INGOLS K, CHU M, LIPPMANN R, et al. Modeling modern network attacks and counter measures using attack graphs [C]// ACSAC 09: Proceedings of the 25th Annual Computer Security Applications Conference. Piscataway: IEEE, 2009: 117-126.
[8]
HOMER J, VARIKUTI A, OU X, et al. Improving attack graph visualization through data reduction and attack grouping [C]// VizSec 2008: Proceedings of the 5th International Workshop on Visualization for Computer Security, LNCS 5210. Belin: Springer, 2008: 68-79.
[9]
WANG Y, XIAN M, LIU J, et al. Study of network security evaluation based on attack graph model [J]. Journal on Communications, 2007, 28(3): 29-34. (王永杰,鲜明,刘进,等.基于攻击图模型的网络安全评估研究[J]. 通信学报, 2007, 28(3): 29-34.)
[10]
ZHANG T, HU M, YUN X, et al. Research on computer network security analysis model [J]. Journal on Communications, 2006, 26(12): 100-109. (张涛,胡铭曾,云晓春,等.计算机网络安全性分析建模研究[J].通信学报,2006, 26(12):100-109.)
[11]
CHEN X, ZHENG Q, GUAN X, et al. Quantitative hierarchical threat evaluation model for network security [J]. Journal of Software, 2006, 17(4): 885-897. (陈秀真,郑庆华,管晓宏,等.层次化网络安全威胁态势量化评估方法[J].软件学报,2006,17(4):885-897.)
[12]
HE H, ZHANG H, WANG X, et al. Detriment quantitative assessment of the network security incident [J]. Journal of Harbin Institute of Technology, 2012, 44(5): 66-70. (何慧,张宏莉,王星,等.网络安全事件危害度的量化评估[J]. 哈尔滨工业大学学报, 2012, 44(5): 66-70.)
[13]
YE Y, XU X, JIA Y. An attack graphbased probabilistic computing approach of network security [J]. Chinese Journal of Computers, 2010,33(10):1987-1996. (叶云,徐锡山,贾焰.基于攻击图的网络安全概率计算方法[J].计算机学报,2010,33(10):1987-1996.)
[14]
CHEN X, FANG B, TAN Q, et al. Inferring attack intent of malicious insider based on probabilistic attack graph model [J]. Chinese Journal of Computers, 2014, 37(1):62-72. (陈小军,方滨兴,谭庆丰,等.基于概率攻击图的内部攻击意图推断算法研究[J].计算机学报,2014,37(1):62-72.)
[15]
ZHANG Y, FANG B, CHI Y, et al. Risk propagation model for assessing network information systems [J]. Journal of Software, 2007, 18(1): 137-145. (张永铮,方滨兴,迟悦,等.用于评估网络信息系统的风险传播模型[J].软件学报,2007,18(1):137-145.)
[16]
JIANG W, FANG B, TIAN Z, et al. Evaluating network security and optimal active defense based on attackdefense game mode [J]. Journal of Software, 2009, 32(4): 817-827. (姜伟,方滨兴,田志宏,等.基于攻防博弈模型的网络安全测评和最优主动防御[J].软件学报,2009,32(4):817-827.)
[17]
WATTS D J. A simple model of global cascades on random networks [J]. Proceedings of the National Academy of Sciences of the United States of America, 2002, 99(9): 5766-5771.
http:///stable/3058573?seq=1#page_scan_tab_contents
[18]
GOLDENBERG J, LIBAI B, MULLER E. Talk of the network: a complex systems look at the underlying process of wordofmouth [J]. Marketing Letters, 2001, 12(3): 211-223.
【关键词】计算机通信;安全策略;通信网络
1 计算机通信简述
计算机通信是一种以数据通信形式出现,在计算机与计算机之间或计算机与终端设备之间进行信息产生、处理、传输、交换、存储的手段。它是现代计算机技术与通信技术相融合的产物,在军队指挥自动化系统、武器控制系统、信息处理系统、决策分析系统、情报检索系统以及办公自动化系统等领域得到了广泛应用。计算机通信网络是计算机技术和通信技术相结合而形成的一种新的通信方式,主要是满足数据传输的需要。它将不同地理位置、具有独立功能的多台计算机终端及附属硬件设备(路由器、交换机)用通信链路连接起来,并配备相应的网络软件,以实现通信过程中资源共享而形成的通信系统。它不仅可以满足局部地区的一个企业、公司、学校和办公机构的数据、文件传输需要,而且可以在一个国家甚至全世界范围进行信息交换、储存和处理,同时可以提供语音、数据和图像的综合,是未来信息技术发展的必由之路。目前,计算机网络和数据通信发展迅速,各国都通过建成的公用数据通信网享用各数据库资源和网络设备资源。为发展高新技术和国民经济服务。计算机通信技术、数据库技术相基于两者基础上的联机检索技术已广泛应用于信息服务领域。从报刊、人工采集、会员单位组织的传统信息服务方式正逐步被以数据库形式组织的信息通信计算机网络供用户联机检索所代替。信息量和随机性增大,信息更新加快,信息价值明显提高,信息处理和利用更加方便。因此,计算机网络通信系统是信息社会的显著标志,在信息处理和传递中占重要位置;计算机网络的组成基本上包括:计算机、网络操作系统、传输介质(可以是有形的,也可以是无形的,如无线网络的传输介质就是空气)以及相应的应用软件四部分:(1)资源共享:资源共享是人们建立计算机网络的主要目的之一。计算机资源包括有硬件资源、软件资源和数据资源。硬件资源的共享可以提高设备的利用率,避免设备的重复投资。如利用计算机网络建立网络打印机。软件资源和数据资源的共享可以充分利用已有的信息资源,减少软件开发过程中的劳动,避免大型数据库的重复设置;(2)数据通讯:数据通讯是指利用计算机网络实现不同地理位置的计算机之间的数据传送。如人们通过电子邮件(E-Mail)发送和接收信息,使用IP电话进行相互交谈等;(3)均衡负荷与分布处理:是指当计算机网络中的某个计算机系统负荷过重时,可以将其处理的任务传送到网络中的其它计算机系统中,以提高整个系统的利用率。对于大型的综合性的科学计算和信息处理,通过适当的算法,将任务分散到网络中不同的计算机系统上进行分布式的处理。如通过国际互联网中的计算机分析地球以外空间的声音等;(4)综合信息服务:在当今的信息化社会中,各行各业每时每刻都要产生大量的信息需要及时的处理,而计算机网络在其中起着十分重要的作用。
2 计算机网络安全策略
计算机网络安全策略是指在某个安全区域内,与安全活动有关的一套规则,由安全区域内的一个权威建立,它使网络建设和管理过程中的工作避免了盲目性,但在目前它并没有得到足够的重视。国际调查显示,目前55%的企业网没有自己的安全策略,仅靠一些简单的安全措施来保障网络安全,计算机网络安全策略包括对企业各种网络服务的安全层次和权限进行分类,确定管理员的安全职责,如实现安垒故障处理.确定网络拓扑结构、入侵及攻击的防御和检测、备份和灾难恢复等。这里所说的安全策略主要涉及4个大的方面:物理安全策略、访问控制策略、信息加密策略和网络安全管理策略,网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断,计算机安全策略主要有两个:一是物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生;二是访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段,各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一,下面我们分述各种访问控制策略;这两种可以保护计算机长久的保持安全。
3 计算机通信网络技术
为了满足日益增长的需求,人们提出了基于XML的Web服务。它的主要目标是在现有的各种异构平台的基础上构建一个通用的与平台无关、语言无关的技术层,各种平台上的应用依靠这个技术层来实现彼此的连接和集成,Web Services的核心技术主要是XML技术、SOAP技术、WSDL及UDDI等;近年来,XML已成为数据表示和数据交换的一种新标准。其基本思想是数据的语义通过数据元素的标记来表达,数据元素之间关系通过简单的嵌套和引用来表示。若所有web服务器和应用程序将它们的数据以XML编码并到Internet,则信息可以很快地以一种简单、可用的格式获得,信息提供者之间也易于互操作。XML一推出就被广泛地采用,并且得到越来越多的数据库及软件开发商的支持。总体讲来,XML具有自描述性、独立于平台和应用、半结构化、机器可处理的、可扩展性和广泛的支持等特点;SOAP(simple ObjectAcCess PrOtOCO1,简单对象访问协议)是由Microsoft、IBM等共同提出的规范,目的是实现大量异构程序和平台之间的互操作,从而使存在的应用程序能够被用户访问;WSDL(WebServices Description Language,web服务描述语言)基于Ⅺ旺,将Web服务描述为一组对消息进行操作的服务访问点它抽象描述了操作和消息,并绑定到一个具体的网络协议和消息格式,定义了具体实施的服务访问点。WSDL包含服务接口定义和服务实现定义,服务接口是Web服务的抽象定义,包括类型、消息和端口类型等;这些都属于计算机的通信技术手段,运用这些技术可以大量的增加计算机的通信流畅和方便性能。
4 总结:
随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要
参考文献:
[1]雷震甲.网络工程师教程.[M].北京:清华大学出版社,2009.
[2]郭军.网络管理.[M].北京:北京邮电大学出版社,2010.
[3]劳帼龄.网络安全与管理.[M].北京:高等教育出版社,2009.
[4]蔡皖东.计算机网络技术.西安电子科技大学出版社, 2009.
购物车(0)
