【www.rjdtv.com--计算机网络论文】

　　当前社会进入信息化时代，计算机网络日益普及，在网络的各种传输协议中 TCP/IP 是应用十分广的协议。但是在 TCP/IP 用于制造自动化环境中的安全易损性问题显得十分突出。TCP/IP 协议即运输控制协议/互联网协议，并不完全符合开放式系统互连（OSI） 参考模型。OSI 参考模型是一种具有 7 层通信协议的抽象参考模型，其中每一层执行某一特定的任务，而在制订之初并没有把网络安全考虑充分，这对于网络完整性来说是一个非常巨大的危险。TCP/IP 协议的可靠性往往受到很多方面的因素，尤其是在制造自动化环境中，服务质量与端对端可靠性成为大多数制造自动化环境的最重要需求因素。关于 TCP/IP 的制造自动化网络安全状况成为本文分析重点。

　　一、网络安全的结构

　　TCP/IP 协议采用了 4 层的结构层次，包括传输层、应用层、网络层和网络接口层这四个结构层次。每一层通过呼叫它下一层所提供的网络服务来完成自己的需求。TCP 对应传输层，它保证信息的可靠传输。IP 提供网络层服务，完成结点的编址、寻址和信息的分拆和打包。IP----网间协议，负责主机间数据传输的路由及网络数据的存储，同时为 ICMP、TCP、UDP 提供分组发送服务。TCP 对应传输层，它保证信息的可靠传输。IP 提供网络层服务，完成结点的编址、寻址和信息的分拆和打包。网络安全的结构层次包括物理安全、安全控制、安全服务和安全机制。

　　1、物理安全。首先是自然因素，自然灾害的损坏，如雷电、火灾等不可抗拒的因素，以及硬盘损坏等物理损坏因素，或者停电导致的设备故障的发生。通常针对这些问题采取的办法是：加强防护办法，制定安全制度，做好数据备份等措施。其次是人为操作失误问题，包括删除文件，格式化硬盘，线路拆除等意外疏漏。针对这些问题采取的办法是：状态检测，报警确认和应急恢复等。最后计算机系统机房环境的安全问题。对这些问题采取的办法： 强化机房管理，运行管理，安全组织和人事管理。

　　2、安全控制。安全控制可以有对网络接口模块的安全控制，也有对来自另外的机器的网络通信进程采取的安全控制。还有微机操作系统的安全控制与网络互联设备的安全控制。网络互联设备的安全控制主要通过网管软件或路由器配置实现。

　　3、安全机制。安全机制的类型比较都，包括路由控制机制、认证机制、公证机制、数字签名机制、访问控制机制、数据完整性机制、信息流填充机制和加密机制等等。

　　4、安全服务。安全服务的类型主要包括：数据保密服务、对等实体认证服务、禁止否认服务、数据源点认证服务、数据完整性服务和访问控制服务等方面。

　　二、TCP/IP 网络安全策略定制

　　使用 TCP/IP 协议可以实现异构计算机或者是异构局域网的相互连接功能。网络利用网关发送数据，网关的功能就是实现把异构网络协议转换为 TCP/IP 环境，实现互通互连，TCP/IP 成为事实上的网络互连标准。网络安全策略顾名思义是指在一个网络里关于安全问题以进行的处理办法，以确保网络的安全高效运行。网络安全策略需要坚持两个准则，首先是没有明确表述为允许的都作为禁止确定的；其次是一切没有明确表述为禁止的都作为是允许的，通常人们都采用第一种策略。制造自动化网络的安全策略需要考虑的问题比较多，如利用制造信息资源所涉及到的所有的基本原理。或者是特许利用来自制造自动化网络本身以外的信息资源的类型和方法，抑或者是特许使用来自制造自动化网络内的外部地址的类型和方法。特许利用来自制造自动化网络内的信息资源的类型和方法等方面。

　　1、IP 源地址欺骗和辨别。TCP/IP 协议是用 IP 地址来表示网络节点的唯一标识，但是节点的 IP 地址又是不固定的，所以 IP 欺骗是网络黑客攻击系统最常用的手段之一，攻击者可冒充某个可信任节点的 IP 地址进行主机攻击。IP 源地址欺骗有外部源地址欺骗和内部源地址欺骗，在外部源地址欺骗中需要区分好进入内部网络的唯一通道是路由器，而在广域网接口上不可能有内部源地址数据包进入。所以有通信截断可能在许多方面被执行。如更改信息的方向，引起网络上的主机在网络对话期间改变它们发送报文包的地址。制造自动化网络的对话被第三者窃听或修改出现情况。这种威胁的主要危险是专有信息（例如：方案、生产率、制造过程技术）的泄露。对于内部源地址欺骗冒充你信任的网络进行连接，可采用基于地址信任的策略来防止这一攻击。

　　2、DNS 欺骗。DNS 欺骗产生是 DNS 服务器中数据遭到破坏引起的。一个冒充被信任客户的攻击者需要先进入负责保留攻击者 IP地址的 DNS 服务器，当主机需要把一个域名转化为 IP 地址时，它会向 DNS 服务器发送一个查询请求；同样，把 IP 地址改变成域名时，就会有一个反查询请求进行发送，并且进行修改反向查询表，采取的措施就是使用正向与反向查询表做交叉查询进行防范。采取的措施是停止 Finger 服务、关掉可能产生无限序列的服务，以及延长等待连接的队列长度并减少半连接的保存时间，通过这样的方式来防止欺骗。

　　3、路由器的控制。目前，路由器可以实现分段控制和包过滤。首先是实现分段控制分析，很多 IP 路由器都支持访问控制，“访问控制”作为一种有效措施，利用这个方法，通过路由选择设备的通信就被限制于特定的主机。而且能够把它应用到独立的主机或整个子网。当访问控制被加到子网层，则路由器被连接，从 IP 地址的特定范围到另一段都允许通信。让访问控制的路由器必须被精心连接。这样就可以保护制造自动化网络免于获得非特许服务的企图。但是需要注意的是，假设访问控制应用到子网，对于主机的随机服务请求就不能起到防止作用，数据意外恶化的危险还是会有。对于访问控制被扩大到具体的主机里，危险就会相应减小。如果在访问控制层和分段都使用，就可以起到双层保护。

　　其次包过滤分析。在路由器里增添了过滤性能之后，最关键的就是要知道网络操作中所使用的协议类型和通道数目是多少。功能的实现是包过滤在网络层截取网络数据包，依据防火墙里面设定的规则要求，然后攻击的行为进行检测。数据包过滤（Packet Filtering）主要就是在计算机网络层上对数据包做分析和选择工作。很多 IP 路由器还支持访问控制，并且把该路由器应用到独立的主机或者是全部子网。使用访问控制的路由器一定要做好细致的连接工作。假设访问控制应用到全部网络里，它就会减少通过远距离，关于中继的破坏使分段间对话被截断的危险。当出现访问控制被使用到子网层，就被连接上路由器了，就会出现从 IP 地址的某一限定范围到另一段都是可以让其通信的过程。

　　参考文献：
　　[1] 吾湖兰·吾拉木. 计算机网络安全问题的分析与探讨[J]. 科技风. 2016（16）
　　[2] 陈曦,张晨. 网络安全问题分析研究[J]. 数字技术与应用.2016（08）
　　[3] 邱筱琳,李美玉,韩鹏刚. 计算机网络安全防范措施[J]. 信息系统工程. 2016（09）
　　[4] 侯英鹏. 计算机通信中网络安全问题分析[J]. 黑龙江科技信息. 2016（28）
　　[5] 肖幼. 与时俱进,加快发展,着力推进淮委网络安全与信息化工作[J]. 治淮. 2016（09）
　　[6] 熊杰,李中年,杜勇,张海波. “TCP/IP 协议原理”双语教学实践探索——以长江大学为例[J]. 教育与教学研究. 2009（11）

本文来源：http://www.rjdtv.com/jisuanjilunwen/2499.html