計算機網(wǎng)絡的防御策略的描述語言

　　計算機網(wǎng)絡的防御策略有多種描述語言，其中CNDPSL語言具有比較高的使用靈活性能，可擴展領(lǐng)域也非常廣，同時還具有很好的適應性。

　　計算機網(wǎng)絡的防御策略的描述語言【1】

　　摘要：該文主要介紹了一種計算機網(wǎng)絡系統(tǒng)的具有防御策略性的描述性語言，它對相應的計算機策略具有即時的響應、檢測和保護的特征，總體來看是面向CNDPM模型機制，并在此模型中利用先進的科學技術(shù)將比較抽象的計算機策略轉(zhuǎn)化為形象具體的規(guī)則原理，同時運用形式化的辦法對這一策略進行了驗證，表明其具有較高的完整性和統(tǒng)一性，并能夠為實踐的操作帶來實際的功效。

　　關(guān)鍵詞： 計算機網(wǎng)絡;防御策略;描述的具體語言;應用分析

　　計算機網(wǎng)絡的防御策略有多種描述語言，其中CNDPSL語言具有比較高的使用靈活性能，可擴展領(lǐng)域也非常廣，同時還具有很好的適應性。

　　總體來看，它是一種聲明式的計算機語言，對網(wǎng)絡控制的行為可以起到很好的控制與監(jiān)督作用。

　　另外在計算機網(wǎng)絡技術(shù)仿真平臺的實驗中，利用這種防御性策略的描述語言可以實現(xiàn)技術(shù)規(guī)則轉(zhuǎn)化為防御效能的自動化，更加提高了運用的效率。

　　1 計算機網(wǎng)絡防御策略描述語言的概述

　　計算機網(wǎng)絡攻防演練的組成結(jié)構(gòu)非常復雜涉及的環(huán)節(jié)比較多，其中網(wǎng)絡防御是非常重要的內(nèi)容，同時也是計算機網(wǎng)絡信息對抗的關(guān)鍵構(gòu)成部分，在實際的應用中起著舉足輕重的影響作用。

　　設置計算機網(wǎng)絡防御策略通常的目的是要保護計算機工作系統(tǒng)的穩(wěn)定性與安全性。

　　具體的策略一般是由一些具有特定防御功能的規(guī)則和程序構(gòu)成的。

　　依據(jù)PPDR 的虛擬模型，制定的防御策略主要包括三種策略，第一種是保護策略，第二種是檢測策略，第三種是響應策略。

　　在計算機系統(tǒng)網(wǎng)絡常規(guī)的攻防演練中，一般有兩種模式，真實的演練和模擬的演練，這兩種模式的應用效果有所不同，在具體的應用中應該具體問題具體分析。

　　模擬仿真方案在實際的使用過程中具有很多的優(yōu)勢，因而使用的范圍也比較廣闊，開發(fā)出的工具也非常多樣，常見的有VNS，RINSE等，在這些工具的具體應用中，一般都是比較側(cè)重于防火墻的仿真模擬以及IDS的仿真模擬等，使用的方法也會根據(jù)實際的需求有所調(diào)整。

　　計算機網(wǎng)絡防御策略的實際演練過程，需要使用很多的安全措施來抵御外界對網(wǎng)絡系統(tǒng)的攻擊。

　　在選用具體的防御措施前，防御的策略起到一定的指導效用。

　　很多計算機防御策略的描述語言都是建立在人類抽象思維策略基礎之上的，因而要在使用時產(chǎn)生技術(shù)級的措施，就要通過人的翻譯。

　　這樣的過程在計算機網(wǎng)絡防御策略的應用中進行的次數(shù)非常多，利用的是高級思維能力，但是也有一定的局限性。

　　這是因為高層思維在使用低層工具進行代換的時候，對翻譯的正確性難以在很短的時間內(nèi)進行有效的評估，運用不當也會導致翻譯差異性的出現(xiàn)，或者是思維語義上的誤解和損失，同時這種損失究竟到什么程度是不確定的。

　　可見計算機的自然語言存在著二義性，那么計算機的實際配置就會呈現(xiàn)出結(jié)構(gòu)復雜、效率低下、程序運行出錯頻率高的特征，嚴重影響著計算機網(wǎng)絡的安全性，需要采用策略性強的形式化描述語言，提高系統(tǒng)接收數(shù)據(jù)信息的能力，將抽象的策略轉(zhuǎn)化為具有高效性和準確性的語言來使用，同時還要體現(xiàn)出系統(tǒng)的伸縮性與靈活性，這樣才能達到預期的防御目的。

　　2 計算機網(wǎng)絡防御策略的描述語言的設計要求

　　常見的計算機防御策略語言具有其獨特的使用特點，不僅有優(yōu)勢，也有不足之處，在對優(yōu)點和缺點進行描述的時候，要從全面立體的角度出發(fā)去考慮，兼顧描述的具體內(nèi)容和抽象層次應用兩個方面。

　　PCIM把具體的策略描述成條件動作的特有方式，計算機系統(tǒng)的防御安全領(lǐng)域中，在PCIM基礎上進一步拓展出的語言包括CPIM，SPSL，NSPIM等，每一種語言都有其特殊性，但在實際應用上又有著同一性。

　　具體來看，SPSL現(xiàn)階段支持的防御策略主要包括系統(tǒng)過濾、IKE交換等;NSPIM的具體描述內(nèi)容包括計算機系統(tǒng)的訪問控制層，同時還要對防御策略進行必要的檢測和管理，以提高其工作效率。

　　從層次應用方面來講，PCIM和ACL列表的功能有著很大的相似之處，所以在實際的應用中，欠缺對防御策略的高效管理性，在自動化方面也有待于進一步改善。

　　TPL在使用的過程中會經(jīng)過XML的檢驗來表示認證策略，然而XML的編程語言非常復雜，實際使用時，不具備高效的可讀性，在其抽象層次的應用中也與防御策略的描述語言存在著很多的差異。

　　上述的這些語言的綜合特點就是直接對網(wǎng)絡層的實體進行研究，描述策略的拓展性有限，所以在抽象的層次上也會有一定的局限性，具體描述的內(nèi)容也需要進一步加強。

　　基于上述的不足之處，CNDPSL的設計要點就要不斷克服這些不足之處，保證運行效率的顯著提高。

　　具體來看，這種防御策略的描述語言要起著對抽象網(wǎng)絡防御控制行為的操控能力，在語法的設置上必須清晰了然，具有很強的直觀性才能保證操作的具體化，利用這樣的語言借助計算機引擎的作用，可以將防御策略有效地轉(zhuǎn)化為實際可行的防御規(guī)則，提高操作性。

　　同時要求這種語言可以訪問控制領(lǐng)域相關(guān)策略的同時，也可以對其他的保護策略進行準確地描述，在此基礎上還能夠?qū)�檢測的配置以及規(guī)則的使用情況進行相應的監(jiān)督，從而起到一定的控制效應。

　　3 計算機網(wǎng)絡防御策略模型的建構(gòu)

　　計算機網(wǎng)絡防御策略模型最為常見的類型是在RBAC基礎上建立起來的模型以及在計算機組織結(jié)構(gòu)訪問方式的基礎上建立起來的模型。

　　前者在運行的過程中經(jīng)常將描述的主體定位為具體的角色，也沒有對權(quán)限進行抽象。

　　后者主要是把描述主體與客體以及描述的動作分別進行科學準確的抽象。

　　以上兩種模型的研究也存在很多的不足之處，為此次建立計算機網(wǎng)絡的防御策略描述語言的模型要克服這些缺陷，不斷拓寬訪問的控制領(lǐng)域，將每一語言概念之間的關(guān)系進行仔細地梳理，把握好每一環(huán)節(jié)的特點，將角色的分配方式落實到位，降低系統(tǒng)出現(xiàn)錯誤的幾率，提高運行的效率。

　　參照在計算機組織結(jié)構(gòu)訪問方式的基礎上建立起來的模型，進行科學合理地改進與拓展，具體來看，CNDPM的模型構(gòu)造圖如下所示：

　　圖1(實線箭頭表示relation，虛線箭頭表示include)

　　在模型的建構(gòu)中涉及到的策略與規(guī)則主要包括以下四個方面：第一點是系統(tǒng)要具備比較豐富的防御性語言表達能力，同時要面向CNDPM的各種應用需求，對每一種保護、檢測以及系統(tǒng)的響應策略。

　　第二點是要保證程序的簡潔性與靈活性，不僅是要求語法形式的簡單性，還要在具體的內(nèi)容上也體現(xiàn)出簡潔與直觀性。

　　第三點是要保證一定的無關(guān)性，可以讓系統(tǒng)自動解析成可以執(zhí)行部件某種規(guī)定的防御性的規(guī)則。

　　第四點是要保證防御性的語言具有可擴展性，這樣就可以逐漸提高其防御的效率。

　　以下給出CNDPSL的EBNF的具體范式：

　�。� ： =<語句塊><3cndpsl><語句塊>

　　<語句塊>： ： =<組織聲明>| (<組織名>|<組織聲明>) <策略語句

　　塊>|<組織名><策略>|<策略信息顯示>

　　<策略語句塊>： ： = ‘{’<策略語句>{<策略語句>} ‘}’

　　<策略語句>： ： =<角色語句>||<視圖語句>|<活動語句>

　　|<策略>|<上下文>

　　1)組織

　　組織是CNDPM模型的核心概念，通過搜索網(wǎng)絡配置想定目錄服務器的同名域建立，以下是組織的EBNF范式：

　　<組織聲明>： ： =org<組織名>[ <組織繼承>]

　　<組織名>： ： =|<組織名>. //組織名為點分字符串

　　<組織繼承>： ： = sub_org<組織名>{<組織名>} //組織的包含關(guān)系

　　2)策略

　　由于策略可以封裝在組織中，策略表示成五元組的形式，有配置和刪除兩種操作。

　　<策略>： ： =(policy| delete-policy) <措施><角色名><活動名><視圖短語>(<上下文名>| default)

　　其中，視圖可以通過角色的轉(zhuǎn)換得到，語法如下：

　　<視圖短語>： ： =<視圖名>|

　　角色、視圖、活動都包括聲明、層次、定義和分配四種語句，其中聲明需指出相應的類型，而其余三種無須給出，但名字必須是聲明過的。

　　4 計算機網(wǎng)絡防御策略語言的具體特征和實施機制

　　計算機網(wǎng)絡防御描述語言CNDPSL具有很高的應用性能，它是在CNDPM的模型上建立起來的，通過計算機網(wǎng)絡防御策略形成的語言描述系統(tǒng)，經(jīng)常使用的范式是EBNF，經(jīng)過計算機的仿真驗證，明確表示該種語言的使用功能很有效，完全可以為計算機的攻防演練提供有效的支持。

　　在CNDPSL的描述內(nèi)容中，主要的描述內(nèi)容包括計算機防御的組織架構(gòu)、策略定位、功能防御角色、視圖效果、具體活動、上下文的轉(zhuǎn)換和連接、防御措施的具體說明、計算機防御語言的聲明以及定位、各個組成部位的功能分配以及相關(guān)的繼承關(guān)系，這些內(nèi)容之間是相互聯(lián)系的，對于具體的設計要求的落實，一方面要先確立好計算機網(wǎng)絡防御的描述語言的設計目標，這樣才好做好下一步的部署工作。

　　通常情況下，這種防御策略的描述語言要具有比較豐富的表達能力，在具體的設計上要與CDNPM模型保持一致性，這樣才能夠很好地將保護、檢測、響應策略有機統(tǒng)一在一起。

　　語言的簡潔靈活性、語法形式的簡單性和形象直觀性可以為防御策略的運作提供更好的運行環(huán)境。

　　同時要實現(xiàn)無關(guān)性的建設機制，使得系統(tǒng)可以自動化地形成具體的執(zhí)行環(huán)節(jié)，對一些防御規(guī)則的運用有著獨到的地方，不僅可以提高運行的質(zhì)量，還可以提高運行的速度，以便使計算機的防御系統(tǒng)更具有安全性和可靠性。

　　計算機防御策略的語言可拓展性對系統(tǒng)的運作效率也有著很大的影響。

　　在CNDPSL語言格式的實施策略中，通常都要將比較的抽象的模型轉(zhuǎn)化為具體的防御規(guī)則。

　　這就需要經(jīng)過特定的推理，在模型實踐的過程中，通常會有兩種推理形式：第一種推理認為，每一組織中的任何一種角色或者是任何的主體具有相關(guān)性，主體同時可以作為角色，那么就用D1表示，分配的機制為：

　　Employ(or g，s)ΛDef ine(r，ch) Λ

　　Own(s，ch)→As(s，r)

　　這樣的分配方式可以運用到活動和視圖的分配過程中來。

　　另一種推理方式將組織雇傭為主體作為角色，用客體來作為視圖的內(nèi)容，在活動的措施中對相關(guān)的防御策略進行評估。

　　例如在計算機信息安全系統(tǒng)的攻防模擬演練中，很多的CNDPSL格式的策略文件在具體的使用過程中，都要先經(jīng)過計算機引擎的處理，與防御策略的信息庫進行交換處理，轉(zhuǎn)化為與之相關(guān)的各種有效的防御命令，然后再經(jīng)過RTI的傳送，將命令進一步轉(zhuǎn)化為防御的具體動作。

　　對一些策略信息庫的傳送，通常要處理的是實體與實體之間的關(guān)系，先要對各部分的工作模塊進行劃分，對防御策略描述語言的語法、語義、詞法進行分析與判讀，將這些信息存入固定的防御信息庫中，然后依據(jù)網(wǎng)絡的信息將各種策略描述準確地提煉出來，在這一過程中將完成轉(zhuǎn)化的模塊依據(jù)相應的推導規(guī)則，將防御的策略映射為防御的具體規(guī)則，然后根據(jù)分發(fā)的模塊將防御的策略信息進行相應的推導，最終將分析所得的信息發(fā)送給防御節(jié)點，這樣就形成了CNDDL的防御命令。

　　5 結(jié)束語

　　綜上所述，計算機網(wǎng)絡防御策略的描述語言在實際應用中的作用是非常強大的，在進行模型建立和具體實施的時候，要根據(jù)具體的實踐需要，從以往的描述語言中和模型建構(gòu)中尋找經(jīng)驗，克服其不足之處，建立其具有使用性語言機制，CNDPSL防御策略的具有非常強的操作性，并且在實際的應用中效能比較高，拓展的領(lǐng)域比較寬廣，因而應該得到廣泛的推廣。

　　參考文獻：

　　[1] 魏玉娣，夏春和.一種計算機網(wǎng)絡防御策略描述語言[J].計算機研究與應用，2008(8).

　　[2] 吳秀敏，王曉蘭.EDA技術(shù)在計算機硬件設計中的應用與研究[J].計算機與數(shù)字工程，2010(10).

　　[3] 夏春和，李肖堅.計算機網(wǎng)絡防御策略描述語言研究[J].計算機研究與發(fā)展，2009(1).

　　[4] 朱小龍.EDA實踐教學與學生工程實踐素質(zhì)的培養(yǎng)[J].教育與職業(yè)，2010(33).

　　[5] 楊蓮紅.EDA技術(shù)在模擬電子技術(shù)教學中的應用[J].高師理科學刊，2010(1).

　　[6] 田文英.計算機網(wǎng)絡防御策略描述語言研究[J].科技傳播，2012(7).

　　[7] 曹立杰，李松松.數(shù)字電子技術(shù)與EDA技術(shù)相結(jié)合的探討[J].現(xiàn)代電子技術(shù)，2009(20).

　　[8] 崔國瑋.基于EDA技術(shù)的數(shù)電課程設計新模式的探索與實踐[J].實驗技術(shù)與管理，2008(1).

　　[9] 朱怡健.簡單高性能微處理器的設計[J].電氣電子教學學報，2004(2).

　　[10] 高三紅，呂勇.計算機體系結(jié)構(gòu)的發(fā)展趨勢分析[J].飛行器測控學報，2003(2).

　　[11] 陳智勇.機群計算中的負載共享策略[J].桂林電子工業(yè)學院學報，2001(4).

　　計算機網(wǎng)絡防御策略描述語言【2】

　　【摘 要】隨著計算機信息網(wǎng)絡的不斷發(fā)展，人們在享受計算機給人們帶來的便利同時，越來越意識到網(wǎng)絡安全問題所帶來的危害，計算機網(wǎng)絡已成為社會基礎設施建設的重要組成部分，社會生活對計算機及網(wǎng)絡系統(tǒng)的依賴性也越來越大，本文就計算機網(wǎng)絡防御策略描述語言進行了分析及探討。

　　【關(guān)鍵詞】計算機;網(wǎng)絡防御;策略;描述語言

　　計算機網(wǎng)絡安全所指的是凡是涉及網(wǎng)絡信息完整性、保密性、真實性、可靠性、可用性及抗抵賴性等相關(guān)技術(shù)及理論均是網(wǎng)絡安全要研究的領(lǐng)域，從本質(zhì)上講網(wǎng)絡安全即是網(wǎng)絡信息安全，盡管網(wǎng)絡安全已經(jīng)被信息社會各領(lǐng)域重視了，可因為計算機網(wǎng)絡本身就存在著一些潛在威脅因素，這就讓計算機網(wǎng)絡容易受到病毒、黑客、惡意軟件及其它不軌意圖行為等的攻擊，為了確保計算機網(wǎng)絡的安全及可靠，計算機內(nèi)就需要一種較為強大的網(wǎng)絡防御策略來保護自身的網(wǎng)絡安全。

　　一、計算機網(wǎng)絡安全漏洞及攻擊分析

　　由于計算機網(wǎng)絡自身因素所造成的安全漏洞，主要有三個方面的因素，一是網(wǎng)絡結(jié)構(gòu)不安全性，Internet是種網(wǎng)絡與網(wǎng)絡間的技術(shù)，主要有主機和自治系統(tǒng)所連接成的龐大網(wǎng)絡，在兩臺主機進行端與端通信的時候，相互傳輸?shù)臄?shù)據(jù)流一定會通過許多主機進行發(fā)送，這樣的話就給那些攻擊者帶來了便利，當他有一臺數(shù)據(jù)流傳輸中的主機，對用戶的數(shù)據(jù)包進行挾持就易如反掌了。

　　二是TCP/IP體系間的脆弱性，在上個世紀的70年代，當美國的國防部制定有關(guān)DARPA計劃時，并沒有想到會在全球范圍內(nèi)使用，因此，TCP/IP協(xié)議所考慮的網(wǎng)絡安全性并不是很多，而且TCP/IP協(xié)議是開放的，當有人對這個協(xié)議很熟悉的時候，就有可能運用其安全缺陷實施網(wǎng)絡攻擊。

　　三是計算機用戶的安全意識較為缺乏，盡管在網(wǎng)絡中設置了較多的安全壁壘保護屏障，可人們的安全意識普遍不強，這些保護措施很多時候形同虛設，像用戶口令的選擇不夠謹慎，以及打開了來歷不明E-mail，這些都會給網(wǎng)絡帶來安全隱患，有些人為了避開有關(guān)防火墻的代理服務器額外認證，就會直接進行PPP連接，這樣也就避開了防火墻保護，還有些人是直接進行瀏覽器頁面的關(guān)閉，這些操作均給病毒及黑客入侵帶來了便利。

　　現(xiàn)在的攻擊行為主要是運用計算機網(wǎng)絡自身存在缺陷或者安全配置不恰當造成了安全漏洞來實施計算機網(wǎng)絡攻擊的，其攻擊程度與攻擊者采用的攻擊手段及攻擊思路不同而有著不同，但這些都給計算機的網(wǎng)絡安全帶來了較大的隱患。

　　二、有關(guān)計算機網(wǎng)絡的防御策略描述語言

　　1.CNDPSL概述

　　計算機網(wǎng)絡的防御策略所指的是為了實現(xiàn)特定安全目標，其網(wǎng)絡及信息系統(tǒng)依據(jù)一定條件來選擇防御措施規(guī)則，進行計算機防御就需要大量措施應對各種網(wǎng)絡攻擊，用人工配置的方法是比較復雜、低效及易錯的，運用網(wǎng)絡防御策略能夠?qū)崿F(xiàn)措施的正確、高效及自動化的部署并且能夠讓系統(tǒng)具有靈活性及可伸縮性的特點。

　　這種策略具有較多的優(yōu)點，已經(jīng)被廣泛應用在網(wǎng)絡防御中了，并且是網(wǎng)絡防御核心，其檢測、保護及響應均是依據(jù)策略進行實施的，這種思想也被稱為PPDR模型思想，可由于這種模型的策略粒度有些太大，沒有辦法實現(xiàn)基于策略防御，依據(jù)這個先天不足，策略樹把防御策略表示成了目標/措施的形式，可并沒有實施機制，并且兼容性不是很好，層次也不是很清楚的問題。

　　而計算機網(wǎng)絡防御策略描述語言簡稱為CNDPSL，它所面向的是計算機網(wǎng)絡防御策略模型(CNDPM)，能夠統(tǒng)一地對檢測、保護及響應策略進行描述，并能夠把抽象策略細化成具體的規(guī)則，還能夠以形式化方法來驗證策略一致性、完備性及有效性。

　　對于計算機網(wǎng)絡防御策略描述語言(CNDPSL)來說，它是一種聲明式的語言，對網(wǎng)絡防御控制行為進行了抽象，而且對網(wǎng)絡防御的需求具有比較好的適應性、靈活性及可擴展性，通過實驗表明，這種描述語言能夠?qū)⒊橄蟮牟呗宰詣拥剞D(zhuǎn)為具體技術(shù)規(guī)則，且實現(xiàn)表達防御效能。

　　在CNDPSL設計中，需要滿足下列要求，一是語法簡潔直觀，能夠抽象網(wǎng)絡防御控制行為，并且能夠細化成有效及可實施防御的規(guī)則。

　　二是能夠表示訪問控制領(lǐng)域策略，也能夠?qū)ΡＣ艿绕渌�保護策略進行描述，并控制響應及檢測規(guī)則配置。

　　2.計算機網(wǎng)絡防御策略模型描述

　　這里的防御策略模型代表是依據(jù)RBAC模型及組織機構(gòu)訪問控制的模型Or-BAC，前者僅是把主體抽象成了角色，并沒有對權(quán)限給予抽象，后者則對客體、主體及動作等都給予了抽象，但它們僅是一些框架及概念，并沒有進行實際的應用防御。

　　而CNDPM是在Or-BAC的基礎上進行了擴展，引入了措施概念，把策略及具體規(guī)則統(tǒng)一成了元組形式，把Or-BAC中有關(guān)規(guī)則及策略的8個謂詞進行了去除，且給出了推導規(guī)則，概念間的關(guān)系進行了簡化，把剩下的七個多元謂詞進行演變成了一個四元謂詞及九個二元謂詞，從而對應成了十種關(guān)系。

　　同時引入了特性的定義機制，把視圖、角色及活動自動地分配給了客體、主體及動作。

　　并將策略結(jié)構(gòu)轉(zhuǎn)化為了6元組，Policey:，其表示為在組織(org)中其角色(r)能夠?qū)σ晥D(v)的活動(a)上下文(c)環(huán)境中采取相應措施(m)。

　　其具體規(guī)則結(jié)構(gòu)化成了5元組，Rule:，這里所表示的是在組織(org)里主體(s)能夠?qū)�客體(o)的動作(a)運用措施(m)。

　　3.防御策略性質(zhì)

　　計算機網(wǎng)絡防御策略性質(zhì)主要包括有效性、完備性及一致性。

　　有效性所指的是當任何策略預期風險均在可接受范圍之內(nèi)時，這個策略集就能夠被稱之為有效的了。

　　策略的有效性是依據(jù)上限值及評估函數(shù)進行決定的，當給定一個風險后，就應該選取合適策略，把威脅限制在能夠接受的范圍內(nèi)。

　　完備性所指的是任何組織及任何一個事件至少應該對應一條策略，那么稱這個策略集為完備的，它所表示的在任意攻擊事件中，都可以在策略集里找到響應及檢測策略，有些已知攻擊響應策略可能并沒有定義，依據(jù)這種情況，可在每個組織中，定義出一條缺省的策略來實現(xiàn)策略集完備性，這樣對于未知的攻擊就會存在著漏檢情況，僅有當未知的攻擊轉(zhuǎn)變成了已知攻擊的時候，才能進行相關(guān)檢測及響應策略擴展。

　　當兩條策略組織及上下文相同的時候，并且視圖、角色及活動都存在交集的時候，采用了相沖突措施，像許可和禁止，這時策略集出現(xiàn)了不一致現(xiàn)象，而檢測一致性所指的是在某個策略集中，任意兩條不同策略，其組織不同、上下文不同、視圖不重疊、角色不重疊或者活動沒有重疊，那么這個策略集就是一致的。

　　三、CNDPSL設計及實施機制

　　CNDPSL是依據(jù)CNDPM模型而實現(xiàn)的一種策略描述語言，把計算機網(wǎng)絡防御策略所涉及的內(nèi)容按照語言描述了出來，并給出了EBNF的范式，且通過仿真來驗證該語言是否有效，為攻防模擬的演練給予了支持。

　　CNDPSL所需要描述的內(nèi)容主要有組織機構(gòu)、角色、策略、活動、視圖、定義、上下文、措施聲明、分配和繼承關(guān)系等，其中，組織結(jié)構(gòu)為CNDPM模型核心的概念，并運用搜索網(wǎng)絡配置來設定目錄服務器同名域的建立，這些內(nèi)容有效地反映了有關(guān)CNDPM的思想。

　　在計算機攻防的模擬演練之中，人機交互命令或者CNDPSL格式策略文件，通過策略引擎及防御策略的信息庫進行交互處理，并轉(zhuǎn)化成相應CNDDL的防御命令，再通過RT1傳送至GTNetS仿真聯(lián)邦成員中，且有CNDDL解釋器把命令轉(zhuǎn)成防御動作，完成了對防御策略部署。

　　其執(zhí)行系統(tǒng)總體設計主要包括策略引擎及防御策略的信息庫。

　　防御策略的信息庫主要是通過1dap來存儲策略需要的實體關(guān)系及實體信息。

　　其引擎具體工作原理為：先對模塊進行解析，主要是通過Yacc和Lex對CNDPSL的語法、詞法及語義進行分析，并從信息庫里讀出策略描述需要的客體、主體及動作，且存入防御策略的信息庫里，接著依照模型推導規(guī)則將模塊的防御策略映射成相應規(guī)則，并由分發(fā)模塊對防御策略信息庫查找，且把規(guī)則分發(fā)到相應防御節(jié)點上，最終轉(zhuǎn)化成了CNDDL的防御命令。

　　其中，訪問允許策略定要遞歸地在每個父組織防御節(jié)點上部署，這是由于數(shù)據(jù)包必定經(jīng)過所有防火墻。

　　四、結(jié)束語

　　CNDPSL作為一種計算機防御策略描述語言，能夠在很多環(huán)境中，對計算機網(wǎng)絡的防御措施給予選擇，隨著新防御措施的出現(xiàn)，僅需要將措施集里加入相應描述就可以被策略發(fā)現(xiàn)及選擇了，而防御策略圖形化界面的提供，必將進一步加強計算機網(wǎng)絡防御的功能及可操作性。

　　參考文獻：

　　[1]楊鵬,楊帆.一種計算機網(wǎng)絡防御策略描述語言[J].硅谷,2011(13).

　　[2]吳鳳剛.計算機網(wǎng)絡的防御技術(shù)研究[J].中國新技術(shù)新產(chǎn)品,2010(11).

　　[3]夏春和,魏玉娣,李肖堅,王海泉,何巍.計算機網(wǎng)絡防御策略描述語言研究[J].計算機研究與發(fā)展,2009(01).

　　[4]于晶.淺析計算機的網(wǎng)絡安全及攻擊的防御措施[J].電腦知識與技術(shù),2009(18).

　　計算機網(wǎng)絡安全的防御策略【3】

　　摘 要 隨著計算機技術(shù)和網(wǎng)絡通信技術(shù)的快速發(fā)展，計算機網(wǎng)絡已經(jīng)深入到國民生活的方方面面，信息化已成為人類發(fā)展的必然趨勢，網(wǎng)絡安全問題也受到越來越多的高度重視，計算機網(wǎng)絡安全面臨著巨大的挑戰(zhàn)，如何提高計算機網(wǎng)絡的防御能力，確保在計算機網(wǎng)絡安全穩(wěn)定運行，已經(jīng)成為現(xiàn)階段急需解決的問題之一。

　　該文從介紹計算機網(wǎng)絡的安全要求，及對影響計算機網(wǎng)絡安全的主要因素進行了歸納和詳細闡述，提出了有效的防御策略，目的是為了計算機網(wǎng)絡能夠?qū)θ藗兩�產(chǎn)、生活發(fā)揮出更大更好的作用。

　　關(guān)鍵詞 計算機網(wǎng)絡;網(wǎng)絡安全;防御策略

　　計算機網(wǎng)絡技術(shù)的迅速發(fā)展和應用，在給人們工作和生活帶來方便和物質(zhì)享受的同時，也給人們帶來了來自網(wǎng)絡的安全威脅，計算機網(wǎng)絡的聯(lián)結(jié)形式具有復雜多樣性、開放性及網(wǎng)絡邊界的不確定性等特征，使網(wǎng)絡數(shù)據(jù)容易遭受到破壞、更改、泄露、網(wǎng)絡容易受到黑客的攻擊，所以網(wǎng)絡安全密是一個非常重要的課題，研究計算機網(wǎng)絡安全的防御策略就成了必然。

　　1計算機網(wǎng)絡概述

　　計算機網(wǎng)絡，是指將地理位置不同的具有獨立功能的多臺計算機及其外部設備，通過通信線路連接起來，在網(wǎng)絡操作系統(tǒng)，網(wǎng)絡管理軟件及網(wǎng)絡通信協(xié)議的管理和協(xié)調(diào)下，實現(xiàn)資源共享和信息傳遞的計算機系統(tǒng)[1]。

　　2 網(wǎng)絡安全的概述及要求

　　網(wǎng)絡安全是指網(wǎng)絡體系的軟件系統(tǒng)、硬件系統(tǒng)及其系統(tǒng)中的數(shù)據(jù)受到安全保護，網(wǎng)絡系統(tǒng)資源不受偶然的或者惡意的原因而遭到破壞、更改、泄露，網(wǎng)絡系統(tǒng)能夠可靠穩(wěn)定正常運行。

　　廣義來說凡是涉及網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡安全所要研究的領(lǐng)域。

　　2.1網(wǎng)絡安全的要求

　　1)數(shù)據(jù)完整性：指數(shù)據(jù)的精確性和可靠性，未經(jīng)授權(quán)不能進行改變的特性，數(shù)據(jù)在網(wǎng)絡中存儲或傳輸?shù)倪^程中不遭受任何形式的修改、破壞和丟失的特性;

　　2)數(shù)據(jù)保密性：保護數(shù)據(jù)不被未授權(quán)者訪問，數(shù)據(jù)不泄露給未授權(quán)者并進行利用的特性;

　　3)數(shù)據(jù)可用性：可被授權(quán)用戶訪問并按需求使用的特性，在要求的數(shù)據(jù)資源得到保證的前提下，在規(guī)定的條件下和規(guī)定的時刻或時間區(qū)間內(nèi)處于可執(zhí)行規(guī)定功能狀態(tài)的能力。

　　是數(shù)據(jù)完整性、保密性和真實性的綜合反映;

　　4)數(shù)據(jù)可控性：是指數(shù)據(jù)的流向以及行為方式可以控制在授權(quán)范圍內(nèi)，并對數(shù)據(jù)的傳播及內(nèi)容具有控制能力;

　　5)可審查性：對出現(xiàn)的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。

　　3影響計算機網(wǎng)絡安全的主要因素

　　對計算機信息構(gòu)成不安全的因素很多，包括網(wǎng)絡系統(tǒng)本身的問題，如操作系統(tǒng)存在網(wǎng)絡安全漏洞、網(wǎng)絡的開放性、自由性等;內(nèi)部網(wǎng)絡安全威脅認識不足問題，局域網(wǎng)內(nèi)部用戶未采取科學的防范措施，導致來自于內(nèi)部的網(wǎng)絡安全事故逐年增加;網(wǎng)絡安全管理機制不健全等因素：

　　1)計算機網(wǎng)絡的不安全性，計算機網(wǎng)絡的多樣性、開放性和自由性的特性給網(wǎng)絡用戶提供了便捷的信息服務，同時也帶來了許多的網(wǎng)絡安全隱患，計算機網(wǎng)絡是全開放的，這就致使網(wǎng)絡易受來自多方面攻擊，意味著對網(wǎng)絡的攻擊不僅是來自于本地網(wǎng)絡的用戶，或是來自對網(wǎng)絡通信協(xié)議的攻擊，以及對計算機軟件、硬件的漏洞實施攻擊，大多數(shù)的網(wǎng)絡對用戶的使用沒有技術(shù)上的約束，目前的技術(shù)難以對外部服務請求實現(xiàn)完全隔離，非授權(quán)者利用服務請求的機會很容易獲取網(wǎng)絡敏感信息;

　　2)防火墻的局限性，防火墻指的是一個由軟件和硬件設備組合而成、它能增強機構(gòu)內(nèi)部網(wǎng)絡的安全性。

　　它是內(nèi)部網(wǎng)絡與外部公共網(wǎng)絡之間的第一道屏障、安全策略的一個部分，防止非法用戶、黑客、網(wǎng)絡破壞者等進入內(nèi)部網(wǎng)絡。

　　禁止存在安全脆弱性的服務進出網(wǎng)絡，并抗擊來自各種路線的攻擊。

　　雖然防火墻是目前保護內(nèi)部網(wǎng)絡免遭黑客襲擊的有效屏障，但也有它的局限性，它難以防范網(wǎng)絡內(nèi)部的攻擊和病毒的侵犯，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，它甚至不能保護你免受所有那些它能檢測到的攻擊，不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊;

　　3)網(wǎng)絡中的設備包括計算機、網(wǎng)絡通信設備、傳輸設備、存儲設備、防火墻、網(wǎng)絡環(huán)境都是網(wǎng)絡安全的重要保障，易遭受到自然環(huán)境的影響，每個環(huán)節(jié)設備出現(xiàn)問題，都會造成網(wǎng)絡故障;

　　4)網(wǎng)絡安全管理的缺失，網(wǎng)絡安全意識不強，也會對網(wǎng)絡安全造成威脅，計算機網(wǎng)絡的安全管理，不僅要做到物理硬件的安全，邏輯軟件和數(shù)據(jù)資源的安全，還必須有人的配合、遵守和協(xié)助[2]。

　　4計算機網(wǎng)絡安全的防御策略

　　4.1網(wǎng)絡安全技術(shù)防御策略

　　計算機網(wǎng)絡安全技術(shù)主要有網(wǎng)絡訪問控制技術(shù)、計算機網(wǎng)絡入侵監(jiān)測技術(shù)、信息加密技術(shù)、防火墻、認證的防范技術(shù)和系統(tǒng)安全管理技術(shù)。

　　綜合起來可以采取以下策略：

　　1)網(wǎng)絡訪問控制。

　　是對網(wǎng)絡信息系統(tǒng)資源進行保護的重要措施，是網(wǎng)絡安全防御和保護的主要策略。

　　通過對IP地址段限制、授權(quán)訪問服務控制體系，允許對限定資源的授權(quán)訪問，保證網(wǎng)絡資源不被非法使用和非授權(quán)訪問。

　　訪問控制不僅提供主動網(wǎng)絡安全防范和保護，而且還能維護網(wǎng)絡系統(tǒng)安全，對網(wǎng)絡資源起到安全隔離的作用。

　　訪問控制是對外部訪問過濾的關(guān)鍵技術(shù)，是實現(xiàn)數(shù)據(jù)保密性和完整性機制的主要手段;

　　2)計算機網(wǎng)絡入侵監(jiān)測技術(shù)。

　　基于檢測技術(shù)上的報警和監(jiān)測系統(tǒng)，是一種針對計算機入侵的技術(shù)措施，按照報警的數(shù)據(jù)來源來看，入侵報警可以分為對事件入侵的報警、基于流量入侵的報警這兩大類。

　　在事件基礎上的入侵報警的技術(shù)是通過分析網(wǎng)絡中正在發(fā)生或者數(shù)次發(fā)生的入侵事件。

　　通過對這些入侵進行實時而詳細的監(jiān)控和記錄來發(fā)現(xiàn)入侵事件的規(guī)律性，然后進行報警并預測其未來發(fā)生的威脅;

　　3)建立完善的備份及恢復機制。

　　為了防止數(shù)據(jù)的存儲設備異常損壞，根據(jù)數(shù)據(jù)本身的重要程度、保密性要求、對業(yè)務連續(xù)性的影響程度、更新和使用頻率、面臨的風險等等，制定完善的數(shù)據(jù)備份策略和備份計劃，或者可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列，以RAID5的方式進行系統(tǒng)的實時熱備份，以保障數(shù)據(jù)安全性和完整性; 　　4)信息加密技術(shù)。

　　信息加密技術(shù)是信息安全核心技術(shù)，通過對敏感數(shù)據(jù)信息實施加密處理，可以維護數(shù)據(jù)信息的安全，實現(xiàn)網(wǎng)上數(shù)據(jù)的安全傳輸[3]。

　　常用的方針有線路加密和端到端加密兩種。

　　不同的加密技術(shù)可以應用到不同的情況，對保密信息通過各線路采用不同的加密密鑰提供安全保護，防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù);

　　5)通過安裝病毒防火墻，進行實時過濾。

　　對網(wǎng)絡服務器中的文件進行頻繁掃描和監(jiān)測，在服務器和各客戶主機上分別布設防火墻是網(wǎng)絡安全防范的必要技術(shù)，加強網(wǎng)絡目錄和文件訪問權(quán)限的設置，實現(xiàn)安全隱患的提前判斷和攔截;

　　6)局域網(wǎng)內(nèi)用戶計算機IP地址、MAC地址綁定技術(shù)，在網(wǎng)絡安全協(xié)議中，每一個網(wǎng)絡終端都有一個獨一無二的MAC地址，在局域網(wǎng)內(nèi)將計算機IP地址、MAC地址綁定，防止IP 被盜用。

　　4.2網(wǎng)絡安全管理防御策略

　　網(wǎng)絡安全的關(guān)鍵在于安全管理，而安全管理的保證依賴于網(wǎng)絡安全技術(shù)[4]。

　　技術(shù)與管理是網(wǎng)絡安全的兩個重要組成部分，網(wǎng)絡安全必須依靠安全管理與安全技術(shù)來進行保證。

　　建立完善的網(wǎng)絡安全管理系統(tǒng)，要防止外部入侵，也要防范內(nèi)部人員泄密可能。

　　建立健全安全管理方面的體制，加大全面管理的力度，要對安全管理足夠的重視。

　　管理是網(wǎng)絡安全中最為關(guān)鍵的部分，以防一些重要信息有意或無意的被泄漏。

　　建立安全管理制度，制定和完善相關(guān)法律、法規(guī)。

　　加強對網(wǎng)絡管理人員的技術(shù)培訓，提高網(wǎng)絡系統(tǒng)管理員和網(wǎng)絡用戶的職業(yè)道德修養(yǎng)和法律意識，明確責任，強化監(jiān)督，維護計算機及網(wǎng)絡系統(tǒng)的安全，同時建立應急管理機制，加強應急管理，制定應急事件出現(xiàn)時的詳細應急預案，并定期開展應急演練，提高應對網(wǎng)絡安全事件的能力和水平，確保事件發(fā)生時能夠從容應對。

　　5結(jié)論

　　綜上所述，計算機網(wǎng)絡安全是一項復雜的系統(tǒng)工程，網(wǎng)絡安全隨著網(wǎng)絡技術(shù)的發(fā)展將面臨更為嚴重的挑戰(zhàn)，所以我們要增大計算機網(wǎng)絡安全管理的投入，加強安全意識教育，進行相關(guān)技術(shù)培訓，并建立完善的計算機管理制度和監(jiān)督機制，采取強有力的安全策略預防安全問題的出現(xiàn)，只有這樣才能真正的提高計算機網(wǎng)絡安全性，使計算機網(wǎng)絡能夠更好的為人們服務。

　　參考文獻

　　[1]滿昌勇.計算機網(wǎng)絡基礎知識[J].清華大學出版社，2010(10)：11-12.

　　[2]陳欣.安全網(wǎng)絡體系[N].中國計算機報，2004.

　　[3]俞承杭.計算機網(wǎng)絡與信息安全技術(shù)[M].北京：機械工業(yè)出版社，2008.

　　[4]王小芹.計算機網(wǎng)絡安全的防范技術(shù)及策略[J].內(nèi)蒙古科技與經(jīng)濟，2005(5).

【計算機網(wǎng)絡的防御策略的描述語言】相關(guān)文章：

計算機網(wǎng)絡防御策略模型10-26

計算機網(wǎng)絡的防御策略技術(shù)論文10-09

計算機網(wǎng)絡防御策略論文10-09

計算機網(wǎng)絡防御策略關(guān)鍵技術(shù)分析論文10-09

計算機網(wǎng)絡防御策略求精的關(guān)鍵技術(shù)論文10-08

計算機網(wǎng)絡防御策略求精關(guān)鍵技術(shù)探究論文10-09

網(wǎng)絡安全管理策略與防御措施10-06

計算機網(wǎng)絡攻擊與防御10-05

計算機安全問題的防御策略論文10-08