程維軍

摘 要：21世紀是信息化的時代，人們的生產(chǎn)和生活都離不開計算機網(wǎng)絡(luò)，而隨著網(wǎng)絡(luò)應(yīng)用越來越多，計算機網(wǎng)絡(luò)也呈現(xiàn)出了多樣性、異構(gòu)性和復(fù)雜性的特點，網(wǎng)絡(luò)安全問題受到了越來越多的關(guān)注。本文以交換機的配置行為為基礎(chǔ)，對信息安全問題產(chǎn)生的原因進行了分析，并提出了相應(yīng)的解決方案，對交換機，構(gòu)成的網(wǎng)絡(luò)的普遍網(wǎng)絡(luò)組織結(jié)構(gòu)進行了介紹，并分析了可信網(wǎng)絡(luò)的評估要素，以及網(wǎng)絡(luò)可信性評估的框架。

關(guān)鍵詞：可信性；交換機；網(wǎng)絡(luò)

中圖分類號： TP393 文獻標識碼： A 文章編號： 1673-1069（2016）14-149-2

0 引言

局域網(wǎng)具有易管理、易擴展、高速率、高可靠性的優(yōu)點，在企業(yè)中應(yīng)用得比較廣泛，能夠滿足企業(yè)內(nèi)部的通信、共享和管理的需求，這也進一步推進了網(wǎng)絡(luò)互連設(shè)備交換機的發(fā)展。在交換機使用的過程中必須對安全問題予以高度的重視，保護系統(tǒng)中的數(shù)據(jù)和網(wǎng)絡(luò)中的軟件和硬件，從而保障企業(yè)信息的可用性、完整性和保密性。

1 信息安全產(chǎn)生的原因以及解決方案

在以往的研究中，如何提高網(wǎng)絡(luò)傳輸效率是研究者的主要關(guān)注點，但是隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)環(huán)境日益更新，暴露出了更多的網(wǎng)絡(luò)信息安全問題，網(wǎng)絡(luò)的可信度也一再降低。網(wǎng)絡(luò)信息安全的本質(zhì)就是對信息安全進行保護，其保護對象既包括系統(tǒng)中的數(shù)據(jù)，也包括軟件和硬件，通過網(wǎng)絡(luò)信息安全能夠使軟件和硬件避免惡意或偶然原因而遭到破壞，避免系統(tǒng)數(shù)據(jù)由于網(wǎng)絡(luò)攻擊而泄漏和更改，從而保障系統(tǒng)能夠正常運行，避免信息服務(wù)突然中斷給客戶帶來損失[1]。

網(wǎng)絡(luò)具有開放性，很多因素都會對網(wǎng)絡(luò)安全造成影響，例如網(wǎng)絡(luò)管理漏洞、操作系統(tǒng)漏洞、網(wǎng)絡(luò)體系結(jié)構(gòu)重建、不良內(nèi)容、垃圾軟件、計算機病毒、主動攻擊、人為誤操作等，其中既有人為因素，也有客觀因素。對于這些網(wǎng)絡(luò)安全問題，當(dāng)前有比較普遍的解決方案主要是安全接入與隔離、VPN 技術(shù)、數(shù)據(jù)加密技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、入侵檢測技術(shù)、防火墻技術(shù)等。鑒于當(dāng)前越來越多的企業(yè)開始應(yīng)用局域網(wǎng)具有較好的應(yīng)用效果，交換機能夠支持的功能越來越多，交換機之間有了越來越大的關(guān)聯(lián)程度，一定程度上也加大了安全管理的難度。一些企事業(yè)單位對局域網(wǎng)交換機的可信性具有較高的要求，但是當(dāng)前尚未形成對交換機按照預(yù)期方式工作的保障，這就需要對監(jiān)測網(wǎng)絡(luò)中交換機的異常行為、行為結(jié)果和行為過程進行預(yù)期和管理，從而提高其可信性。

2 基于交換機配置行為的網(wǎng)絡(luò)可信性評估的相關(guān)技術(shù)

2.1 交換機及其相關(guān)技術(shù)

交換機的基本硬件包括內(nèi)存、存儲器（Flash和NVRAM）、接口模塊、交換引擎、CPU。開啟交換機之后就會先進行加電自檢，也就是對硬件進行檢測，然后運行引導(dǎo)程序，加載操作系統(tǒng)，并運行配置文件。交換機的基本功能是轉(zhuǎn)發(fā)數(shù)據(jù)幀，大部分交換機也能夠?qū)LAN功能進行支持。交換機從某個端口中接收網(wǎng)絡(luò)數(shù)據(jù)幀，然后對其進行基本處理，在該過程中如果數(shù)據(jù)有錯誤就會被交換機丟棄，對于無錯誤的數(shù)據(jù)幀，交換機會以其VLAN處理規(guī)則為依據(jù)對其進行處理。對于沒有VLAN標簽的數(shù)據(jù)幀，會由交換機為其打上本地標簽。如果數(shù)據(jù)幀MAC地址不存在交換機的地址列表中，交換機就會自動生成該源MAC地址數(shù)據(jù)轉(zhuǎn)發(fā)表項。如果交換機沒有VLAN的目的轉(zhuǎn)發(fā)端口，就會對數(shù)據(jù)幀進行丟棄，否則其可以從端口進行轉(zhuǎn)發(fā)。最后交換機會通過端口將數(shù)據(jù)幀轉(zhuǎn)發(fā)出去。當(dāng)前一些品牌交換機的功能也在不斷增加，其配置參數(shù)、配置命令和支持功能也有所差別[2]。

2.2 交換網(wǎng)絡(luò)結(jié)構(gòu)

分布式網(wǎng)絡(luò)是交換機運行的主要網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)的狀態(tài)會受到交換機的不同連接方式的影響，從而影響網(wǎng)絡(luò)的維護和管理。當(dāng)前交換網(wǎng)絡(luò)的一般組織結(jié)構(gòu)主要有兩種：層次化網(wǎng)絡(luò)結(jié)構(gòu)、扁平化網(wǎng)絡(luò)結(jié)構(gòu)。層次化網(wǎng)絡(luò)結(jié)構(gòu)也就是將網(wǎng)絡(luò)整體劃分為各組織單位，從而形成不同的層次，各種交換機能夠完成不同的工作，不同層次交換機不會相互干擾，其具有配置簡單、故障排除便利、結(jié)構(gòu)清晰的優(yōu)點，在廣域網(wǎng)絡(luò)和大型局域網(wǎng)絡(luò)中應(yīng)用的比較普遍。扁平化的網(wǎng)絡(luò)結(jié)構(gòu)則是以網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計為基礎(chǔ)，合并匯聚層和核心層，能夠有效地減少網(wǎng)絡(luò)設(shè)備，從而降低其對網(wǎng)絡(luò)資源的消耗，管理相對便利，一定程度上也提高了交換網(wǎng)絡(luò)的安全性。

2.3 可信網(wǎng)絡(luò)評估的要素

在網(wǎng)絡(luò)可信評估的過程中要使用到3個關(guān)鍵要素，分別為評估指標的描述、網(wǎng)絡(luò)狀態(tài)的描述和交換機配置的描述，網(wǎng)絡(luò)的現(xiàn)狀主要使用網(wǎng)絡(luò)狀態(tài)進行描述，交換機的關(guān)鍵因子和配置形式則由交換機配置進行描述，對網(wǎng)絡(luò)環(huán)境的需求則由評估指標進行描述。

3 基于交換機配置行為的網(wǎng)絡(luò)可行性評估框架

3.1 評估框架

交換機的配置決定了交換機的功能，而且還能對網(wǎng)絡(luò)環(huán)境中其他交換機的功能進行改變。配置對象受到配置命令的影響會被細分為配置子對象，其屬性值會受到配置命令的影響而改變，但是也有一些屬性值不能被修改。這也說明分布式網(wǎng)絡(luò)環(huán)境和配置行為共同對交換機的運行產(chǎn)生影響。由于具有不同的功能需求，分布式網(wǎng)絡(luò)環(huán)境下的交換機配置內(nèi)容也有所不同，交換機所處的層次和位置不同也會影響其功能?？梢允褂镁W(wǎng)絡(luò)的整體功能和交換機功能來表達用戶的可信性期望。

網(wǎng)絡(luò)中的任意一臺交換機功能都不能對網(wǎng)絡(luò)的整體狀態(tài)進行反應(yīng)，要對整個網(wǎng)絡(luò)進行反應(yīng)必須通過該網(wǎng)絡(luò)中所有的交換機功能，這也就是所謂的網(wǎng)絡(luò)狀態(tài)。網(wǎng)絡(luò)狀態(tài)能夠?qū)W(wǎng)絡(luò)的整體功能進行描述，根據(jù)交換機的配置內(nèi)容并提取相關(guān)的對象屬性，組成完整的網(wǎng)絡(luò)狀態(tài)，網(wǎng)絡(luò)狀態(tài)也可以用來描述網(wǎng)絡(luò)的可信需求，作為一個重要的評估指標?；诮粨Q機配置行為的網(wǎng)絡(luò)可信性評估框架如圖1。

3.2 劃分網(wǎng)絡(luò)狀態(tài)可信等級

用戶認可的可信網(wǎng)絡(luò)狀態(tài)的集合可以使用評估指標TT來表示，也就是描述用戶的可信需求。本文劃分了4個評估指標的可信等級，分別為不可信、可信、一般可信、非?？尚?，從而對網(wǎng)絡(luò)狀態(tài)進行判定。

由于網(wǎng)絡(luò)狀態(tài)會受到網(wǎng)絡(luò)配置行為的影響，最新的網(wǎng)絡(luò)狀態(tài)肯定都會發(fā)生變化，應(yīng)該對配置行為進行可信程度評價，從而對應(yīng)以上的可信程度劃分，對網(wǎng)絡(luò)配置行為的可信等級進行了劃分，將其劃分為不可信、一般可信、可信、非?？尚?個等級。交換機的狀態(tài)會直接構(gòu)成網(wǎng)絡(luò)的狀態(tài)，因此可以對配置行為和交換機狀態(tài)之間的關(guān)系進行擴展，使其成為配置行為與網(wǎng)絡(luò)狀態(tài)的關(guān)系，并對網(wǎng)絡(luò)狀態(tài)進行劃分。如果網(wǎng)絡(luò)狀態(tài)原本就有較高的可信程度，并向不高于其可信程度的網(wǎng)絡(luò)狀態(tài)轉(zhuǎn)變，那么配置行為的可信程度會有所不同，相反配置行為的可信程度較高。

3.3 可信評估過程

基于交換機配置行為的網(wǎng)絡(luò)可行性評估，首先，要將交換機的狀態(tài)提取出來，對組網(wǎng)絡(luò)中各交換機的配置內(nèi)容進行收集，從而描述交換機狀態(tài)因子，組成交換機狀態(tài)。其次，要將網(wǎng)絡(luò)狀態(tài)的樣本構(gòu)造出來。最后，將上一步的網(wǎng)絡(luò)狀態(tài)樣本輸入評估流程，以此為依據(jù)將可信指標制定出來，在對網(wǎng)絡(luò)狀態(tài)的類別進行判定時可以以該網(wǎng)絡(luò)狀態(tài)樣本對可信指標的符合程度為依據(jù)。

4 結(jié)語

隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)的安全性受到了越來越多的關(guān)注，本文在分析信息安全產(chǎn)生的原因，以及交換機、交換網(wǎng)絡(luò)結(jié)構(gòu)的相關(guān)技術(shù)的基礎(chǔ)上提出了基于交換機配置行為的網(wǎng)絡(luò)可行性評估的整體框架，通過網(wǎng)絡(luò)狀態(tài)的概念來對網(wǎng)絡(luò)的整體狀態(tài)進行描述，該框架的配置數(shù)據(jù)為交換機的配置內(nèi)容，能夠?qū)W(wǎng)絡(luò)狀態(tài)數(shù)據(jù)集進行處理，從而對網(wǎng)絡(luò)狀態(tài)的可信程度進行判定，對配置行為的可信程度進行評估。

參 考 文 獻

[1] 馬軍煜，趙知勁，葉學(xué)義.一種可信網(wǎng)絡(luò)節(jié)點行為證據(jù)監(jiān)測與管理機制[J].計算機應(yīng)用研究，2011（08）.

[2] 蔣澤，李雙慶，尹程果.基于多維決策屬性的網(wǎng)絡(luò)用戶行為可信度評估[J].計算機應(yīng)用研究，2011（06）.