闖恩華

摘 ?要 ?隨著計算機技術的迅猛發(fā)展和網絡應用的普及，人類文明進入了信息化時代的新紀元，如今，計算機網絡已經滲透到社會生產、生活的各個領域。一方面，作為一種信息傳播媒介，它打破了人類傳統(tǒng)交流方式，在信息的便捷流通中構建了新型的社會存在形式，對人類政治、經濟、文化、生活產生深遠影響;另一方面，由于計算機網絡的開放性、互聯(lián)性，再加上本身存在的技術弱點，致使計算機網絡存在不少安全隱患。所以，探討計算機網絡的安全性，建立安全模型是當前一大時代課題，具有重大現實意義。

關鍵詞 ?計算機;網絡安全;建模

中圖分類號：TP393 ? ? ?文獻標識碼：A ? ? ?文章編號：1671-7597（2014）21-0031-02

計算機網絡自20世紀60年代起步，至今已有50年的發(fā)展歷程。它脫胎于計算機技術和信息技術的結合，大致經歷了四個發(fā)展階段：第一代，單機連接遠程終端計算機;第二代，通信子網、資源子網初步形成;第三代，開放式標準化計算機網絡;第四代，綜合性智能化寬帶高速網絡。進入21世紀以來，計算機網絡得到普及，同時網絡安全問題也日益嚴峻，病毒、蠕蟲、黑客、拒絕服務等事件嚴重威脅到網絡安全，只有找出漏洞，建模修復，驗證應用，才能最大限度的保護計算機網絡。

1 ?計算機網絡安全屬性

1）計算機網絡物理安全。計算機網絡物理安全也就是系統(tǒng)設備安全，指構成計算機網絡系統(tǒng)中的眾多硬件的安全，如網絡線纜、路由器、聯(lián)網交換機、服務器及信息存儲設備等[1]。此類設備的可靠性，對計算機網絡的安全運轉有直接關聯(lián)，是整個計算機網絡安全的基礎要素。一方面，如果組網硬件存在風險，可能直接在成硬件損壞、網絡系統(tǒng)中斷或癱瘓，無法正常工作，失去工具意義和存在價值。另一方面，計算機組網硬件風險可能導致網絡數據破壞甚至或丟失，直接關系到到網絡信息、數據的正常、安全傳遞。

2）計算機網絡環(huán)境安全。計算機網絡環(huán)境安全主要體現在安全需求以及訪問權限兩個方面。安全需求是指計算機用戶對自己的信息的完整程度、保密程度等方面提出的基本的要求;訪問權限指系統(tǒng)出于保密、安全考慮進行的訪問權限等級區(qū)分。在開放的網絡環(huán)境下，網絡訪問主體的身份辨別要求提升，同時網絡病毒給網絡安全安全帶來巨大風險，如今網絡病種類不斷增多、偽裝性隱藏性更強、感染性更高、破壞力更大，給計算機系統(tǒng)、程序以及用戶重要信息帶來隱患。

3）計算機系統(tǒng)安全漏洞。系統(tǒng)漏洞也叫系統(tǒng)脆弱性，它的存在是計算機網絡受到攻擊的關鍵因素，主要體現為計算機系統(tǒng)在軟硬件、各類協(xié)議的設計與實現以及安全策略存在的缺陷。計算機系統(tǒng)的安全漏洞主要體現為兩個方面：首先，系統(tǒng)模型本身的漏洞，它是在最初的系統(tǒng)設計時形成的，所以，此種漏洞無法通過修改系統(tǒng)程序的源代碼進行修復。其次，操作系統(tǒng)的源代碼存在Bug，任何程序都會存在漏洞，而操作系統(tǒng)本身就是一個計算機程序，黑客就是通過分析程序源代碼，找到后臺運行漏洞進行網絡攻擊。

4）互聯(lián)網協(xié)議的安全性。TCP/IP協(xié)議又叫傳輸控制協(xié)議，是Internet最基本的協(xié)議，國際互聯(lián)網絡的基礎。它由網絡層的IP協(xié)議與傳輸層的TCP協(xié)議構成，定義了設備如何接入Internet，以及數據在電子設備和因特網之間的傳輸方式。但TCP/IP協(xié)議本身具有極大的脆弱性：一方面，它將IP地址作為網絡節(jié)點的惟一標識，許多計算機指令和服務等都是基于IP地址對使用者進行認證和授權，然該協(xié)議的最大風險恰恰就是缺乏對IP地址的保護，缺乏對IP數據包中源IP地址真實性的辨別機制。另一方面，IP數據包在封裝傳輸時本身沒有加密機制，且不存在校驗功能，比較容易被惡意抓包分析、修改，產生信息安全隱患。

2 ?計算機網絡的安全建模分析

1）系統(tǒng)設備建模。計算機網絡由多種系統(tǒng)設備組成，如計算機、服務器、路由器和交換機等。但網絡中的主機都有且僅有一個獨立地址，且可用IP地址、MAC地址以及主機名來進行唯一標記。因此，在建模時可將計算機網絡系統(tǒng)設備認知為一個集合X，則有X={X1，X2，X3，……Xn}，其中Xi（i=1，2，3，……）代表計算機網絡系統(tǒng)中的實體設備個體。通常情況下，計算機網絡中相關聯(lián)的主機屬性有以下幾個方面：主機操作系統(tǒng)類型和對應的版本、主機開放的服務和對應的端口信息、主機的弱點信息等。因此，單個主機在網絡中可以用（host-id，OS，svcs，vuls）來表示，其中，host-id代表網絡中主機的唯一標識符，OS代表主機操作系統(tǒng)類型和版本號，svcs代表著開放的服務列表，vuls代表著弱點列表。

2）網絡安全需求建模。計算機網絡安全需求是指在一個網絡環(huán)境里，用戶信息、數據的保密性、完整性以及可實用性受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄

露[2]。在絕大多數情況下，網絡安全需求皆以安全策略作基礎保障，即通過安全策略來判斷某一網絡主體是否對另外主體具備訪問權限，或者判定其訪問權限等級。計算機網絡安全策略主要涵蓋以下幾個方面：組織自身的特定策略、強制訪問控制策略、自主訪問控制策略等。在網絡安全需求建模中，可將安全需求看作集合Y={Y1，Y2，Y3，……Yn}，其中Yi（i=1，2，……n）為計算機網路安全策略中的各個子方面。

3）訪問權限建模。在訪問權限建模時，以用戶身份為標準，計算機網絡訪問權限整體上可劃為5大層次：第一為Root，可稱為系統(tǒng)管理員，對應描述為全部權限，即用戶可訪問全部資源，涵蓋計算機網絡系統(tǒng)設備、文件、進程等的訪問和控制。第二為Sup-user，對應描述為低于管理員的權限但高于普通用戶的權限，擁有對計算機文件、程序等的訪問權。第三為User，對應描述為個體普通系統(tǒng)用戶，可對擁有自身歸屬權的計算機資源進行訪問。第四為Guest，對應描述為計算機系統(tǒng)的訪客，權限低于User，僅對權限內的計算機資源進行匿名訪問。第五為Access，對應描述為網絡服務遠程訪問者，擁有數據交互、系統(tǒng)信息掃描等權限。endprint

4）主體鏈接關系建模。

當前，TCP/IP協(xié)議是計算機網絡的建構基礎，Internet中的任何獨立存在的主機都擁有一個區(qū)別其他主機的IP地址，以此為基礎經ICMP協(xié)議獲取網絡路由、傳輸時間以及目標可達性等信息[3]。在計算機網絡主體鏈接關系建模，可將TCP/IP協(xié)議中的各種和計算機網絡安全聯(lián)動的連接關系表達為一個集合，網絡環(huán)境中任何兩個設備之間的連接關系構建成該集合的子集。因此，網絡主機和設備之間的連接關系可設為集合P={pl，p2，p3，……pn}，其中pi（i=1，2，3，……n）代表各子連接關系。此外網絡主機間的連接關系可表達為（Hsrc，Hdst，Protocols），分別代表源主機、目標主機以及兩者間連接關系集合的子集。

5）計算機網絡弱點建模。計算機網絡弱點也就是計算機的缺陷，缺陷的存在是計算機網絡安全隱患的一大影響因素。在計算機網絡弱點建模時，可將既有已知弱點認知為一個集合R，R={R1，R2，R3，……Rn}，其中Ri（i=1，2，3，……n）計算機網絡中單個弱點，后期不斷添加。此外，單個弱點R可以使用（BID，NAME，OS，DATE，Ppre，Pcon，AC）進行描述，分別代表：默認通用標識號;弱點名稱;弱點影響的系統(tǒng)類型;弱點發(fā)布日期;前提訪問權限;結果訪問權限;攻擊復雜性。

3 ?結束語

綜上所述，計算機網絡在帶給用戶無限可能的同時，也帶來了眾多的安全隱患，如今計算機網絡安全已經成為普遍關注的問題。然而，已有網絡安全模型中存在著不少問題，比如權限等級細化、安全評估指標的量化分析等等。因此，計算機網絡安全建設人士首先要對既有安全模型充分探討，其次需密切關注計算機網絡安全動態(tài)，不斷完善安全模型。由于筆者個人水平有限，希望更多的研究人員參與到這一課題的討論中來，共同致力于計算機網絡系統(tǒng)的安全性能的提升。

參考文獻

[1]韓英.計算機網絡安全性分析建模研究探析[J].淮南職業(yè)技術學院學報，2014（01）：90-92.

[2]洪亞玲.探究計算機網絡安全性分析建模研究[J].計算機光盤軟件與應用，2013（02）：151-152.

[3]許柳威.計算機網絡安全性的建模分析[J].計算機光盤軟件與應用，2013（06）：211-212.endprint