计算机网络安全

什么是计算机网络安全，尽管现在这个词很火，但是真正对它有个正确认识的人并不多。做为要考取职称计算机资格认证的考生也一定要学一学。事实上要正确定义计算机网络安全并不容易，困难在于要形成一个足够去全面而有效的定义。

通常的感觉下，安全就是“避免冒险和危险”。在计算机科学中，安全就是防止：

未授权的使用者访问信息。

未授权而试图破坏或更改信息。

这可以重述为“安全就是一个系统保护信息和系统资源相应的机密性和完整性的能力”。注意第二个定义的范围包括系统资源，即cpu、硬盘、程序以及其他信息。

在电信行业中，网络安全的含义包括：关键设备的可靠性；网络结构、路由的安全性；具有网络监控、分析和自动响应的功能；确保网络安全相关的参数正常；能够保护电信网络的公开服务器（如拨号接入服务器等）以及网络数据的安全性等各个方面。其关键是在满足电信网络要求，不影响网络效率的同时保障其安全性。

电信行业的具体网络应用（结合典型案例）

电信整个网络在技术上定位为以光纤为主要传输介质，以ip为主要通信协议。所以我们在选用安防产品时必须要达到电信网络的要求。如防火墙必须满足各种路由协议，qos的保证、mpls技术的实现、速率的要求、冗余等多种要求。

这些都是电信运营商应该首先考虑的问题。电信网络是提供信道的，所以ip优化尤其重要，至少包括包括如下几个要素：

网络结构的ip优化。网络体系结构以ip为设计基础，体现在网络层的层次化体系结构，可以减少对传统传输体系的依赖。

ip路由协议的优化。

ip包**的优化。适合大型、高速宽带网络和下一代因特网的特征，提供高速路由查找和包**机制。

带宽优化。在合理的qos控制下，最大限度的利用光纤的带宽。

稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力，快速恢复网络连接，避免路由表颤动引起的整网**，提供符合高速宽带网络要求的可靠性和稳定性。

可靠性和自愈能力：包括链路冗余、模块冗余、设备冗余、路由冗余等要求。对某省移动互联网工程这样的运营级宽带ip骨干网络来说，考虑网络的可靠性及自愈能力是必不可少的。

链路冗余。在骨干设备之间具备可靠的线路冗余方式。建议采用负载均衡的冗余方式，即通常情况下两条连接均提供数据传输，并互为备份。

充分体现采用光纤技术的优越性，不会引起业务的瞬间质量恶化，更不会引起业务的中断。

模块冗余。骨干设备的所有模块和环境部件应具备1+1或1：n热备份的功能，切换时间小于3秒。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。

设备冗余。提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时，另一台设备自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性。

切换时间小于3秒，以保证大部分ip应用不会出现超时错误。

路由冗余。网络的结构设计应提供足够的路由冗余功能，在上述冗余特性仍不能解决问题，数据流应能寻找其他路径到达目的地址。在一个足够复杂的网络环境中，网络连接发生变化时，路由表的收敛时间应小于30秒。

拥塞控制与服务质量保障。

拥塞控制和服务质量保障（qos）是公众服务网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。

业务分类。网络设备应支持6~8种业务分类（cos）。当用户终端不提供业务分类信息时，网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。

接入速率控制。接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。

队列机制。具有先进的队列机制进行拥塞控制，对不同等级的业务进行不同的处理，包括时延的不同和丢包率的不同。

先期拥塞控制。当网络出现真正的拥塞时，瞬间大量的丢包会引起大量tcp数据同时重发，加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术，在网路出现拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象。

资源预留。对非常重要的特殊应用，应可以采用保留带宽资源的方式保证其qos.

端口密度扩展。设备的端口密度应能满足网络扩容时设备间互联的需要。

网络的扩展能力。

网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、骨干带宽的扩展，以及网络规模的扩展能力。

交换容量扩展。交换容量应具备在现有基础上继续扩充多容量的能力，以适应数据类业务急速膨胀的现实。

骨干带宽扩展。骨干带宽应具备高的带宽扩展能力，以适应数据类业务急速膨胀的现实。

网络规模扩展。网络体系、路由协议的规划和设备的cpu路由处理能力，应能满足本网络覆盖某省移动整个地区的需求。

与其他网络的互联。

保证与中国移动互联网，internet国内国际出口的无缝连接。

通信协议的支持。

以支持tcp/ip协议为主，兼支持ipx、decnet、apple-talk等协议。提供服务营运级别的网络通信软件和网际操作系统。

支持rip、ripv2、ospf、igrp、eigrp、isis等路由协议。根据本网规模的需求，必须支持ospf路由协议。然而，由于ospf协议非常耗费cpu和内存，而本网络未来十分庞大复杂，必须采取合理的区域划分和路由规划（例如**汇总等）来保证网络的稳定性。

支持bgp4等标准的域间路由协议，保证与其他ip网络的可靠互联。

支持mpls标准，便于利用mpls开展增值业务，如vpn、te流量工程等。

网络管理与安全体系。

支持整个网络系统各种网络设备的统一网络管理。