程維軍

摘 要：21世紀(jì)是信息化的時(shí)代，人們的生產(chǎn)和生活都離不開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)，而隨著網(wǎng)絡(luò)應(yīng)用越來(lái)越多，計(jì)算機(jī)網(wǎng)絡(luò)也呈現(xiàn)出了多樣性、異構(gòu)性和復(fù)雜性的特點(diǎn)，網(wǎng)絡(luò)安全問(wèn)題受到了越來(lái)越多的關(guān)注。本文以交換機(jī)的配置行為為基礎(chǔ)，對(duì)信息安全問(wèn)題產(chǎn)生的原因進(jìn)行了分析，并提出了相應(yīng)的解決方案，對(duì)交換機(jī)，構(gòu)成的網(wǎng)絡(luò)的普遍網(wǎng)絡(luò)組織結(jié)構(gòu)進(jìn)行了介紹，并分析了可信網(wǎng)絡(luò)的評(píng)估要素，以及網(wǎng)絡(luò)可信性評(píng)估的框架。

關(guān)鍵詞：可信性；交換機(jī)；網(wǎng)絡(luò)

中圖分類(lèi)號(hào)： TP393 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1673-1069（2016）14-149-2

0 引言

局域網(wǎng)具有易管理、易擴(kuò)展、高速率、高可靠性的優(yōu)點(diǎn)，在企業(yè)中應(yīng)用得比較廣泛，能夠滿足企業(yè)內(nèi)部的通信、共享和管理的需求，這也進(jìn)一步推進(jìn)了網(wǎng)絡(luò)互連設(shè)備交換機(jī)的發(fā)展。在交換機(jī)使用的過(guò)程中必須對(duì)安全問(wèn)題予以高度的重視，保護(hù)系統(tǒng)中的數(shù)據(jù)和網(wǎng)絡(luò)中的軟件和硬件，從而保障企業(yè)信息的可用性、完整性和保密性。

1 信息安全產(chǎn)生的原因以及解決方案

在以往的研究中，如何提高網(wǎng)絡(luò)傳輸效率是研究者的主要關(guān)注點(diǎn)，但是隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)環(huán)境日益更新，暴露出了更多的網(wǎng)絡(luò)信息安全問(wèn)題，網(wǎng)絡(luò)的可信度也一再降低。網(wǎng)絡(luò)信息安全的本質(zhì)就是對(duì)信息安全進(jìn)行保護(hù)，其保護(hù)對(duì)象既包括系統(tǒng)中的數(shù)據(jù)，也包括軟件和硬件，通過(guò)網(wǎng)絡(luò)信息安全能夠使軟件和硬件避免惡意或偶然原因而遭到破壞，避免系統(tǒng)數(shù)據(jù)由于網(wǎng)絡(luò)攻擊而泄漏和更改，從而保障系統(tǒng)能夠正常運(yùn)行，避免信息服務(wù)突然中斷給客戶帶來(lái)?yè)p失[1]。

網(wǎng)絡(luò)具有開(kāi)放性，很多因素都會(huì)對(duì)網(wǎng)絡(luò)安全造成影響，例如網(wǎng)絡(luò)管理漏洞、操作系統(tǒng)漏洞、網(wǎng)絡(luò)體系結(jié)構(gòu)重建、不良內(nèi)容、垃圾軟件、計(jì)算機(jī)病毒、主動(dòng)攻擊、人為誤操作等，其中既有人為因素，也有客觀因素。對(duì)于這些網(wǎng)絡(luò)安全問(wèn)題，當(dāng)前有比較普遍的解決方案主要是安全接入與隔離、VPN 技術(shù)、數(shù)據(jù)加密技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、入侵檢測(cè)技術(shù)、防火墻技術(shù)等。鑒于當(dāng)前越來(lái)越多的企業(yè)開(kāi)始應(yīng)用局域網(wǎng)具有較好的應(yīng)用效果，交換機(jī)能夠支持的功能越來(lái)越多，交換機(jī)之間有了越來(lái)越大的關(guān)聯(lián)程度，一定程度上也加大了安全管理的難度。一些企事業(yè)單位對(duì)局域網(wǎng)交換機(jī)的可信性具有較高的要求，但是當(dāng)前尚未形成對(duì)交換機(jī)按照預(yù)期方式工作的保障，這就需要對(duì)監(jiān)測(cè)網(wǎng)絡(luò)中交換機(jī)的異常行為、行為結(jié)果和行為過(guò)程進(jìn)行預(yù)期和管理，從而提高其可信性。

2 基于交換機(jī)配置行為的網(wǎng)絡(luò)可信性評(píng)估的相關(guān)技術(shù)

2.1 交換機(jī)及其相關(guān)技術(shù)

交換機(jī)的基本硬件包括內(nèi)存、存儲(chǔ)器（Flash和NVRAM）、接口模塊、交換引擎、CPU。開(kāi)啟交換機(jī)之后就會(huì)先進(jìn)行加電自檢，也就是對(duì)硬件進(jìn)行檢測(cè)，然后運(yùn)行引導(dǎo)程序，加載操作系統(tǒng)，并運(yùn)行配置文件。交換機(jī)的基本功能是轉(zhuǎn)發(fā)數(shù)據(jù)幀，大部分交換機(jī)也能夠?qū)LAN功能進(jìn)行支持。交換機(jī)從某個(gè)端口中接收網(wǎng)絡(luò)數(shù)據(jù)幀，然后對(duì)其進(jìn)行基本處理，在該過(guò)程中如果數(shù)據(jù)有錯(cuò)誤就會(huì)被交換機(jī)丟棄，對(duì)于無(wú)錯(cuò)誤的數(shù)據(jù)幀，交換機(jī)會(huì)以其VLAN處理規(guī)則為依據(jù)對(duì)其進(jìn)行處理。對(duì)于沒(méi)有VLAN標(biāo)簽的數(shù)據(jù)幀，會(huì)由交換機(jī)為其打上本地標(biāo)簽。如果數(shù)據(jù)幀MAC地址不存在交換機(jī)的地址列表中，交換機(jī)就會(huì)自動(dòng)生成該源MAC地址數(shù)據(jù)轉(zhuǎn)發(fā)表項(xiàng)。如果交換機(jī)沒(méi)有VLAN的目的轉(zhuǎn)發(fā)端口，就會(huì)對(duì)數(shù)據(jù)幀進(jìn)行丟棄，否則其可以從端口進(jìn)行轉(zhuǎn)發(fā)。最后交換機(jī)會(huì)通過(guò)端口將數(shù)據(jù)幀轉(zhuǎn)發(fā)出去。當(dāng)前一些品牌交換機(jī)的功能也在不斷增加，其配置參數(shù)、配置命令和支持功能也有所差別[2]。

2.2 交換網(wǎng)絡(luò)結(jié)構(gòu)

分布式網(wǎng)絡(luò)是交換機(jī)運(yùn)行的主要網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)的狀態(tài)會(huì)受到交換機(jī)的不同連接方式的影響，從而影響網(wǎng)絡(luò)的維護(hù)和管理。當(dāng)前交換網(wǎng)絡(luò)的一般組織結(jié)構(gòu)主要有兩種：層次化網(wǎng)絡(luò)結(jié)構(gòu)、扁平化網(wǎng)絡(luò)結(jié)構(gòu)。層次化網(wǎng)絡(luò)結(jié)構(gòu)也就是將網(wǎng)絡(luò)整體劃分為各組織單位，從而形成不同的層次，各種交換機(jī)能夠完成不同的工作，不同層次交換機(jī)不會(huì)相互干擾，其具有配置簡(jiǎn)單、故障排除便利、結(jié)構(gòu)清晰的優(yōu)點(diǎn)，在廣域網(wǎng)絡(luò)和大型局域網(wǎng)絡(luò)中應(yīng)用的比較普遍。扁平化的網(wǎng)絡(luò)結(jié)構(gòu)則是以網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)為基礎(chǔ)，合并匯聚層和核心層，能夠有效地減少網(wǎng)絡(luò)設(shè)備，從而降低其對(duì)網(wǎng)絡(luò)資源的消耗，管理相對(duì)便利，一定程度上也提高了交換網(wǎng)絡(luò)的安全性。

2.3 可信網(wǎng)絡(luò)評(píng)估的要素

在網(wǎng)絡(luò)可信評(píng)估的過(guò)程中要使用到3個(gè)關(guān)鍵要素，分別為評(píng)估指標(biāo)的描述、網(wǎng)絡(luò)狀態(tài)的描述和交換機(jī)配置的描述，網(wǎng)絡(luò)的現(xiàn)狀主要使用網(wǎng)絡(luò)狀態(tài)進(jìn)行描述，交換機(jī)的關(guān)鍵因子和配置形式則由交換機(jī)配置進(jìn)行描述，對(duì)網(wǎng)絡(luò)環(huán)境的需求則由評(píng)估指標(biāo)進(jìn)行描述。

3 基于交換機(jī)配置行為的網(wǎng)絡(luò)可行性評(píng)估框架

3.1 評(píng)估框架

交換機(jī)的配置決定了交換機(jī)的功能，而且還能對(duì)網(wǎng)絡(luò)環(huán)境中其他交換機(jī)的功能進(jìn)行改變。配置對(duì)象受到配置命令的影響會(huì)被細(xì)分為配置子對(duì)象，其屬性值會(huì)受到配置命令的影響而改變，但是也有一些屬性值不能被修改。這也說(shuō)明分布式網(wǎng)絡(luò)環(huán)境和配置行為共同對(duì)交換機(jī)的運(yùn)行產(chǎn)生影響。由于具有不同的功能需求，分布式網(wǎng)絡(luò)環(huán)境下的交換機(jī)配置內(nèi)容也有所不同，交換機(jī)所處的層次和位置不同也會(huì)影響其功能?？梢允褂镁W(wǎng)絡(luò)的整體功能和交換機(jī)功能來(lái)表達(dá)用戶的可信性期望。

網(wǎng)絡(luò)中的任意一臺(tái)交換機(jī)功能都不能對(duì)網(wǎng)絡(luò)的整體狀態(tài)進(jìn)行反應(yīng)，要對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行反應(yīng)必須通過(guò)該網(wǎng)絡(luò)中所有的交換機(jī)功能，這也就是所謂的網(wǎng)絡(luò)狀態(tài)。網(wǎng)絡(luò)狀態(tài)能夠?qū)W(wǎng)絡(luò)的整體功能進(jìn)行描述，根據(jù)交換機(jī)的配置內(nèi)容并提取相關(guān)的對(duì)象屬性，組成完整的網(wǎng)絡(luò)狀態(tài)，網(wǎng)絡(luò)狀態(tài)也可以用來(lái)描述網(wǎng)絡(luò)的可信需求，作為一個(gè)重要的評(píng)估指標(biāo)?；诮粨Q機(jī)配置行為的網(wǎng)絡(luò)可信性評(píng)估框架如圖1。

3.2 劃分網(wǎng)絡(luò)狀態(tài)可信等級(jí)

用戶認(rèn)可的可信網(wǎng)絡(luò)狀態(tài)的集合可以使用評(píng)估指標(biāo)TT來(lái)表示，也就是描述用戶的可信需求。本文劃分了4個(gè)評(píng)估指標(biāo)的可信等級(jí)，分別為不可信、可信、一般可信、非?？尚?，從而對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行判定。

由于網(wǎng)絡(luò)狀態(tài)會(huì)受到網(wǎng)絡(luò)配置行為的影響，最新的網(wǎng)絡(luò)狀態(tài)肯定都會(huì)發(fā)生變化，應(yīng)該對(duì)配置行為進(jìn)行可信程度評(píng)價(jià)，從而對(duì)應(yīng)以上的可信程度劃分，對(duì)網(wǎng)絡(luò)配置行為的可信等級(jí)進(jìn)行了劃分，將其劃分為不可信、一般可信、可信、非常可信4個(gè)等級(jí)。交換機(jī)的狀態(tài)會(huì)直接構(gòu)成網(wǎng)絡(luò)的狀態(tài)，因此可以對(duì)配置行為和交換機(jī)狀態(tài)之間的關(guān)系進(jìn)行擴(kuò)展，使其成為配置行為與網(wǎng)絡(luò)狀態(tài)的關(guān)系，并對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行劃分。如果網(wǎng)絡(luò)狀態(tài)原本就有較高的可信程度，并向不高于其可信程度的網(wǎng)絡(luò)狀態(tài)轉(zhuǎn)變，那么配置行為的可信程度會(huì)有所不同，相反配置行為的可信程度較高。

3.3 可信評(píng)估過(guò)程

基于交換機(jī)配置行為的網(wǎng)絡(luò)可行性評(píng)估，首先，要將交換機(jī)的狀態(tài)提取出來(lái)，對(duì)組網(wǎng)絡(luò)中各交換機(jī)的配置內(nèi)容進(jìn)行收集，從而描述交換機(jī)狀態(tài)因子，組成交換機(jī)狀態(tài)。其次，要將網(wǎng)絡(luò)狀態(tài)的樣本構(gòu)造出來(lái)。最后，將上一步的網(wǎng)絡(luò)狀態(tài)樣本輸入評(píng)估流程，以此為依據(jù)將可信指標(biāo)制定出來(lái)，在對(duì)網(wǎng)絡(luò)狀態(tài)的類(lèi)別進(jìn)行判定時(shí)可以以該網(wǎng)絡(luò)狀態(tài)樣本對(duì)可信指標(biāo)的符合程度為依據(jù)。

4 結(jié)語(yǔ)

隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)的安全性受到了越來(lái)越多的關(guān)注，本文在分析信息安全產(chǎn)生的原因，以及交換機(jī)、交換網(wǎng)絡(luò)結(jié)構(gòu)的相關(guān)技術(shù)的基礎(chǔ)上提出了基于交換機(jī)配置行為的網(wǎng)絡(luò)可行性評(píng)估的整體框架，通過(guò)網(wǎng)絡(luò)狀態(tài)的概念來(lái)對(duì)網(wǎng)絡(luò)的整體狀態(tài)進(jìn)行描述，該框架的配置數(shù)據(jù)為交換機(jī)的配置內(nèi)容，能夠?qū)W(wǎng)絡(luò)狀態(tài)數(shù)據(jù)集進(jìn)行處理，從而對(duì)網(wǎng)絡(luò)狀態(tài)的可信程度進(jìn)行判定，對(duì)配置行為的可信程度進(jìn)行評(píng)估。

參 考 文 獻(xiàn)

[1] 馬軍煜，趙知?jiǎng)?，葉學(xué)義.一種可信網(wǎng)絡(luò)節(jié)點(diǎn)行為證據(jù)監(jiān)測(cè)與管理機(jī)制[J].計(jì)算機(jī)應(yīng)用研究，2011（08）.

[2] 蔣澤，李雙慶，尹程果.基于多維決策屬性的網(wǎng)絡(luò)用戶行為可信度評(píng)估[J].計(jì)算機(jī)應(yīng)用研究，2011（06）.