网络安全联络机制范文

前言：我们精心挑选了数篇优质网络安全联络机制文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

关键词：物联网；计算机网络；安全控制

1 物联网概述

夜上海论坛 目前，学术界尚未对物联网形成统一的定义，从实质上来讲，物联网具体包括两层含义：一是物联网以互联网为基础，通过互联网实现物物相连，实现网络扩展与延伸；二是物联网利用识别技术、智能感知技术、普适计算等通信技术，进行物品之间的信息交流。在实际应用中，需将物联网与互联网、移动通信网整合起来，通过在建筑、电网、公路、供水系统、油气管道、道路照明等物体中嵌入感应器，从而构建起业务控制平台，实现对基础设施、设备等集中管控，促使人类的管理活动可以向更加智能化、精细化的方向发展，提高生产力水平。

夜上海论坛 2 物联网计算机网络现存的安全问题分析

对于物联网而言，它的网络终端设备多数都处于无人值守的环境中运行，加之终端节点的数量比较庞大，使得物联网常常会受到各种网络安全威胁，由此引起了诸多问题，具体体现在如下几个方面：

2.1 终端节点的安全问题

物联网应用种类所具有的多样性特点，使得网络终端设备的类型相对较多，具体包括无线通信终端、传感器网络、RFID、移动通信终端等等。由于物联网的终端设备大多都是在无人值守的环境中运行，从而使得人对终端节点的监控有所缺失，致使这些网络终端很容易遭到安全威胁。

2.1.1 非授权使用

在无人值守的运行环境中，网络终端设备容易受到攻击者的非法入侵，当攻击者成功入侵到物联网的终端后，便可轻易将UICC非法拔出并挪作他用。

夜上海论坛 2.1.2 读取节点信息

夜上海论坛 网络攻击者可利用对终端设备强行破坏的方式，使设备内部非对外的接口暴露出来，由此攻击者便能获得会话密钥及一些重要的数据信息。

2.1.3 冒充感知节点

网络攻击者借助一些技术手段，可冒充感知节点，由此便可向感知网络中注入相关的信息，并以此为依托发起网络攻击，如监听信息、虚假信息、拒绝服务等等。

2.2 感知网络的安全问题

夜上海论坛 在物联网中，传感器网络安全威胁主要体现在如下几个方面。

夜上海论坛 2.2.1 攻击节点身份

因核心网对感知网络无法进行直接控制，致使网络攻击者可能会在感知网络范围内部署一些恶意节点，这样容易引起网络中传输的信息外泄。此外，攻击者还可将这些恶意节点作为跳板对网络发起攻击。

2.2.2 威胁数据传输安全

夜上海论坛 在感知网络当中，广播是数据发送的主要渠道，由于感知节点自身的能力有限，从而使得数据发送过程中无法进行加密，在无线网络环境下，感知网络中传输的数据容易被攻击者监听甚至破坏。

夜上海论坛 2.2.3 威胁数据的完整性

在感知网络当中，感知节点的数据处理功能会受到一定的限制，基于这一前提，节点很难对数据的完整性进行有效保护，一旦某个副本数据出现差错，则会导致数据接收节点无法判断该数据信息的可靠性。此外，数据汇聚节点在对同一份数据的不同副本进行处理时，也很难对数据的真伪做出正确判断。

2.3 通信网络的安全问题

在计算机通信网络中，通信方式的设计是以人作为考虑对象，由于通信终端的数量较少，加之通信网络的承载能力比较有限，从而使其面临的安全威胁有所增加。

2.3.1 网络拥堵

网络设备数量多是物联网所具备的特点之一，在现有认证方法下，信令流量对网络具有不可忽略性，特别是在较短的时间内有大量设备接入网络，容易给网络造成拥堵。

2.3.2 密钥管理问题

对于计算机通信网络而言，其对终端的认证方式为逐一认证，并在认证后生成保护密钥。由此会带来一个问题，即当通信网络存在物联网设备时，若逐一认证并生成密钥，会造成大量网络资源耗费。不仅如此，物联网中的业务种类较为繁杂，对同一用户的同个设备进行逐一认证会产生出不同的密钥，这也在无形中造成了网络资源浪费。

2.3.3 传输安全

夜上海论坛 在现有的通信网络中，借助加密算法可实现数据的完整性。而在物联网当中，单个网络设备的数据发送量较小，若是利用复杂的加密算法进行保护，会产生不必要的延时。

2.3.4 隐私泄露

夜上海论坛 物联网中的网络设备有很多处于不安全的物理环境当中，这为网络攻击者提供了入侵途径，从这些不安全的网络设备中，攻击者能够获取到用户的身份等隐私信息，以该设备作为跳板可对通信网络发起各种恶意攻击。

3 物联网计算机网络安全控制方法

夜上海论坛 为确保物联网计算机网络的安全性，可采取如下技术方法对网络安全进行保护和控制：

3.1 加密

物联网中大多数的终端设备都处于无人值守的运行环境当中，其所获取到的相关信息主要是通过移动网络传给信息中心，对此，可利用网络层逐跳的加密方式确保信息传输的安全性，或是采取端到端的加密方式来保障数据信息安全传输。

夜上海论坛 3.1.1 逐跳式加密

这种加密方式最为突出的特点是延时低、效率高、可扩展性好，其仅对受保护的链接进行加密，对传送节点的可信度要求较高。这种加密方式是在网络层中进行，基本上能够适用于所有的业务，确保了安全机制对业务的透明化。

3.1.2 端到端加密

夜上海论坛 这种加密方式可按照业务型选取安全策略，为业务提供端到端的安全加密，确保了业务的安全性。在此需要着重阐明的一点是，该加密方式不允许对消息的目的地址进行加密，换言之其无法掩盖被传输信息的起点和终点，可能会遭到恶意攻击。鉴于此，对于一般的物联网，可选用逐跳式加密，将端到端的加密方式作为安全选项，当用户有较高的安全需求时，可用该加密方式提供端到端的安全保护。

3.2 隐私保护

物联网中各个设备之间的通信基本不需要人的参与，这就造成部分带有个人隐私的信息容易被攻击者非法窃取。在RFID系统中，带电子标签的物品会被系统入侵者扫描、定位及跟踪，由此会使物品所有者的隐私外泄。故此，必须对物联网的隐私保护予以重视。对隐私的保护可从技术和管理两方面着手，在技术方面，可利用授权认证与加密等安全技术，确保用户在通信过程中的隐私安全。在管理方面，应当对物联网终端设备的数据读取进行相应的操作规定，如包含读写操作的日志管理以及相关人员的管理权限设定等，由此可对物联网中用户的隐私信息起到一定的保护。

3.3 安全路由

由于物联网中包含了感知和通信两大网络体系，从而使得物联网路由需要跨越多类网络，如基于IP地址的路由协议、基于标识的传感网路由算法等等，在这一前提下，为保证路由的安全，需要解决如下两个方面的问题：多网络融合后的路由安全和传感网的路由安全。对于前者而言，需要重点考虑的是将身份标识映射成与IP地址相类似的信息，由此便可构建起基于IP地址的统一路由体系。对于后者而言，传感器网络的计算资源较为局限，并且容易受到网络攻击，因此，必须设计出一套合理可行的安全路由算法，从而有效抵抗入侵者对路由的攻击。从现有的技术手段上看，实现安全路由的方法有两类，一类是借助密钥构建安全的通信环境，为路由信息的交换提供安全保证；另一类是借助冗余路由对数据包进行传递。无论采用何种方法确保路由的安全，都应当在设计之初予以考虑，并结合物联网的应用特点对路由进行安全设计。

3.4 位置检测

夜上海论坛 为避免在未经授权的区域内擅自使用物联网终端设备，有必要建立起网络检测机制，加强对物联网终端设备位置信息的有效管理。在网络检测中，对位置信息的检测主要通过终端设备及其所属通信小区予以实现，利用终端设备上报设备的位置信息，并在SC/SGSN/MME等网络实体上接收到所上报的信息，而后再根据预定义的位置信息，分析判断所收到的位置信息是否正确，若两者不同，则表明物联网终端设备被移动到未经授权的区域。此时，网络实体立即向应用服务器发出警告消息，由应用服务器采用相应的措施对位置变化进行处理。在物联网终端设备管理中，位置检测机制能够提供位置管理服务功能。对于低移动性的物联网终端设备而言，一旦终端设备发生位置移动，网络检测机制可第一时间向应用层发出位置移动预警，并将检测到的具置移动结果发送到服务器。如此一来，通过对终端设备的位置管理，可有效避免终端设备被非法移动，防止终端设备在未经授权区域内进行信息传输，进而影响信息传输的安全性。在物联网的功能中，位置检测功能可作为备选功能，根据用户的实际需要进行选用，从而为用户提供更加安全的功能服务。

第2篇

夜上海论坛 关键词：马歇尔试验模型；计算机；物联网络；安全控制

1基于马歇尔试验模型的计算机网络安全控制设计

1.1计算机物联网络安全控制总体架构

夜上海论坛 马歇尔试验主要是确定沥青混合料最佳油石比的试验，目的是进行沥青路面施工质量检验。马歇尔试验模型便是测试某一方案设计的可行性方法。计算机物联网络安全控制方法是指保护计算机网络方法中储存、传输和处理的信息免于未经授权的泄露、修改以及由于各种原因造成的信息无法使用，维护计算机物联网络正常运行的方法，即通常所说的信息的保密性、完整性、真实性和可用性[1]。基于马歇尔试验模型的计算机物联网络安全控制方法主要由三部分组成：计算机主机访问控制、入侵检测、安全审计与监控。其中计算机主机访问控制主要是限定主体是否有权访问计算机物联网络，确保网络资源在合法用户范围内使用。入侵检测主要是检测计算机物联网络中存在的违犯网络安全控制的行为和被攻击的迹象。安全审计与监控是对计算机物联网络进行实时有效的审计与监控，及时评估计算机物联网络的安全性，提高计算机物联网络运行的可靠性、数据资源的可利用性[2]。

夜上海论坛 1.2计算机主机访问控制

夜上海论坛 计算机主机访问控制是保证网络安全的第一关卡，是限定主体是否以及能否有权访问计算机物联网络，对计算机物联网络允许执行什么样的操作，进而有效防止破坏计算机物联网络安全运行的行为，确保计算机物联网络中的信息在合法用户范围内的使用。未授权的访问包括非法用户进行计算机物联网络方法，合法用户对网络方法资源的非法使用以及没有授权的情况下使用、泄露、篡改、销毁信息等[3]。计算机主机访问控制规定了访问主体对网络客体访问的权限，而且可以通过身份及身份权限识别，对提出的网络资源访问请求加以控制。

1.3入侵检测

夜上海论坛 入侵检测主要是从计算机物联网络内部和各种网络资源中主动收集信息，从采集到的信息中分析潜存的网络入侵或者网络安全攻击，是一种主动的计算机物联网络安全防护技术[4]。当入侵检测技术发现入侵后，能够及时采取相应的措施，例如切断网络连接、阻断、追踪、反击以及报警等。与此同时，还能够记录网络安全受攻击的过程，为计算机物联网络安全的恢复和追击入侵来源提供有效的数据信息。入侵检测的具体实现首先是收集包括计算机物联网络系统、数据以及用户活动的状态和行为在内的相关信息。然后通过模型匹配、统计分析以及完整性分析对收集到的数据进行检测。当检测到某种不匹配的模型时，便会发出警告并传输到网络控制台。接着分析过滤掉的信息，从中分析判断出潜存的攻击。最后根据入侵检测的情况随时调整或者终止网络运行，以便实现计算机物联网络的安全隔离[5]。

夜上海论坛 1.4安全审计与监控

计算机物联网络安全审计是记录和追踪网络方法状态的变化，例如用户的活动、对网络资源使用情况的监控、记录对网络资源使用以及处理的过程。安全审计能够监控和捕捉各种网络安全事件，实现对安全事件的识别、定位以及做出相应地反应。监控则是对计算机物联网络的运行状态和用户行为进行实时监视，对出现的破坏网络安全的违规行为或者非法行为采取必要的控制措施[6]。通过安全审计与监控，计算机物联网络相关的管理人员能及时发现被监控计算机物联网络可能的网络资源泄露问题，以及一些正在破坏网络安全的特殊行为，自动采取控制措施阻止这些行为的发生。

2实验结果与分析

上述采用提出的基于马歇尔试验模型的计算机物联网络安全控制方法有效保证了对计算机物物联网络的安全运行，充分地证明了基于马歇尔试验模型的计算机物联网络安全控制方法的可行性，但是其有效性还有待进一步研究。因此，采用对比实验对提出的计算机物联网络安全控制方法的有效性进行实验。

2.1实验数据准备

夜上海论坛 实验数据的准备主要包括计算机物联网络运行环境，模拟提出的计算机物联网络安全控制方法对计算机安全运行的保障。根据模拟不同复杂的实验环境，分析传统的计算机物联网络安全控制方法与机遇马歇尔试验模型的计算机物联网络安全控制方法的有效性。模拟计算机物联网络运行环境的指令具体如下：Calc:Interfacevlancliconfgsqlsereverifaccess-groupvlan_aclininterfacevlancompmgmentifaccess-groupvlan_aclininterfacevlanlusrmgr.mscipaccess-groupvlan_aclinExitLogoff

2.2实验数据分析

夜上海论坛 以上述执行指令模拟计算机物联网络运行环境，对提出的计算机物联网络安全控制方法进行实验。对传统的计算机物联网络安全控制方法与传统的安全控制方法在测试后的效果进行对比，实验数据如下：从上表中可以看出，提出的计算机物联网络安全控制系统在测试后其效果还是比较明显的，由于病毒攻击造成的网络崩溃相比传统的安全控制方法次数大大降低，其对网络安全性和稳定性的改善还是显而易见的。

3结束语

提出的计算机物联网络安全控制方法减少了网络因遭受攻击而造成的网络崩溃的次数，极大地提高了计算机物联网络的运行。但是其仍然存在较大的上升空间，因此，需要对其进行进一步的研究与分析。

参考文献：

[1]马世登,罗先录,包文夏.物联网计算机网络安全与控制研究[J].无线互联科技,2017(9):24-25.

夜上海论坛 [2]王士鑫.物联网计算机网络安全与远程控制技术初探[J].电子技术与软件工程,2018,134(12):9-12.

[3]李磊.油田物联网计算机网络安全与远程控制分析[J].南方农机,2018,No.303(11):15-18.

第3篇

目前，电力行业系统，是一个拥有自主知识产权的企业，有大量企业内部的技术和业务机密存储在计算机和网络中，如何有效地保护这些机密数据信息的安全，是我们关注的重点；防病毒、防黑客、数据备份是目前常用的数据保护手段，我们通常认为黑客、病毒以及各种其他的攻击大都来自外部网络，因此采取了一系列的防范措施，建立两套网络，一套用于内部员工办公和资源共享，称之为内部网络；另一套用于连接互联网，称之为外部网络，同时断开内外网络的物理连接；并且采用防火墙、入侵检测设备等防范手段。

1 江苏电力职业技能训练基地网络特点

江苏电力职业技能训练基地网络规划开始于07年，是为满足电力行业基础技能实际训练，建立的新型培训中心，中心在建设之初就考虑了各种培训模式，网络作为先进的辅助教学和管理工具是进行现代培训的基础。

基地内部网络虽然采用1000M的网络主干，与江苏省电力公司主网采用单条光纤连接，实现局域网络的运行模式。采用环网运行提高了与公司网络连接安全性，并进一步提高网络运行速度，达到消除拥堵的目的，使仿真、虚拟的培训教学系统运用减少了系统等待和抖动。

夜上海论坛 职业基地的网络建设扑结构图：

夜上海论坛 2 内部网络更易受到攻击

为什么内部网络更容易受到攻击呢？主要原因如下：

(1) 信息网络技术的应用正日益普及，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。网络已经是企业不可缺少的重要的组成部分，基于Web的应用在内部网正日益普及，本企业的财务系统、PDM系统、ERP系统等，这些大规模系统应用密切依赖于内部网络的安全。

夜上海论坛 (2) 在对Internet严防死守和物理隔离的措施下，对网络的破坏，大多数来自网络内部的安全空隙。黑客工具在Internet上很容易获得，这些工具对Internet及内部网络往往具有很大的危害性。这是内部人员能够对内部网络造成威胁的原因之一。

(3) 内部网络更脆弱。由于网络速度快，千兆的带宽，能让黑客工具大显身手。

(4) 为了简单和易用，在内网传输的数据往往是不加密的，这为别有用心者提供了窃取机密数据的可能性。

(5) 信息不仅仅限于服务器，同时也分布于各个工作计算机中，目前对个人硬盘上的信息缺乏有效的控制和监督管理办法。

(6) 由于人们对口令的不重视，弱口令很容易产生，很多人用诸如生日、姓名等作为口令，在内网中，黑客的口令破解程序更易奏效。

3内部网络的安全现状

夜上海论坛 在网络平台上建立了内部网络和外部网络，实行内部网络和外部网络的物理隔离；在应用上从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的应用如财务系统、PDM系统、教务系统、企业资源计划，逐步实现企业信息的高度集成，构成完善的企事业问题解决链。

在网络安全方面，根据国家和省公司系统内部的相关规定，配置了网络安全产品，如CISCO ASA5510-SEC防火墙等，防止病毒入侵，检测访客，该产品主要是针对外部网络，可能遭受到安全威胁而采取的措施，在内部网络上的使用虽然针对性强，但往往有很大的局限性。

4保护内部网络的安全

内部网络的安全威胁所造成的损失是显而易见的，如何保护内部网络，使遭受的损失减少到最低限度是网络安全不断探索的目标。根据多年的网络系统集成经验，形成自己对网络安全的理解，阐述如下：

夜上海论坛 4.1内部网络的安全体系

夜上海论坛 比较完整的内部网络的安全体系包括安全产品以及安全制度等多个方面，整个体系为分层结构，分为水平层面上的安全产品、安全管理等，其在使用模式上是支配与被支配的关系。在垂直层面上为安全制度，从上至下地规定各个水平层面上的安全行为。

4.2安全产品

夜上海论坛 安全产品是各种安全策略和安全制度的执行载体。虽然有了安全制度，但在心理上既不能把制度理想化，也不能把人理想化，因此还必须有好的安全工具把安全管理的措施具体化。

目前市场上的网络安全产品林林总总，功能也千差万别，通常一个厂家的产品只在某个方面占据领先的地位，各个厂家的安全产品在遵守安全标准的同时，会利用厂家联盟内部的协议提供附加的功能。这些附加功能的实现是建立在全面使用同一厂家联盟的产品基础之上的。那么在选择产品的时候会面临这样一个问题，即是选择所需要的每个方面的顶尖产品呢，还是同一厂家联盟的产品。笔者认为选择每个方面的顶尖产品在价格上会居高不下，而且在性能上并不能达到l+1等于2甚至大于2的效果。这是因为这些产品不存在内部之间的协同工作，不能形成联动的、动态的安全保护层，一方面使得这些网络安全产品本身所具有的强大功效远没有得到充分的发挥，另一方面，这些安全产品在技术实现上，有许多重复工作，这也影响了应用的效率。目前在国内外都存在这样的网络安全联盟实现产品之间的互联互动，达到动态反应的安全效果。

夜上海论坛 4.3网络安全技术和策略

内部网络的安全具体来说包括攻击检测、攻击防范、攻击后的恢复这三个大方向，那么安全技术和策略的实现也应从这三个方面来考虑。

积极主动的安全策略把入侵检测概念提升到了更有效、更合理的入侵者检测层面。内部安全漏洞在于人，而不是技术。因此，应重点由发现问题并填补漏洞迅速转向查出谁是破坏者、采取弥补措施并消除事件再发的可能性。如果不知道破坏者是谁，就无法解决问题。真正的安全策略的最佳工具应包括实时审查目录和服务器的功能，具体包括：不断地自动监视目录，检查用户权限和用户组帐户有无变更；警惕地监视服务器，检查有无可疑的文件活动。无论未授权用户企图访问敏感信息还是员工使用下载的工具蓄意破坏，真正的安全管理工具会通知相应管理员，并自动采取预定行动。

在积极查询的同时，也应该采用必要的攻击防范手段。网络中使用的一些应用层协议，如HTTP、Telnet，其中的用户名和密码的传递采用的是明文传递的方式，极易被窃听和获取。因此对于数据的安全保护，理想的办法是在内部网络中采用基于密码技术的数字身份认证和高强度的加密数据传输技术，同时采用安全的密钥分发技术，这样既防止用户对业务的否认和抵赖，同时又防止数据遭到窃听后被破解，保证了数据在网上传输的可靠性。攻击后恢复首先是数据的安全存储和备份，在发现遭受攻击后可以利用备份的数据快速的恢复；针对WWW服务器网页安全问题，实施对Web文件内容的实时监控，一旦发现被非法篡改，可及时报警并自动恢复，同时形成监控和恢复日志，并提供友好的用户界面以便用户查看、使用，有效地保证了Web文件的完整性和真实性。

4.4安全管理

安全管理主要是指安全管理人员。有了好的安全工具和策略，还必须有好的安全管理人员来有效的使用工具和实现策略。经过培训的安全管理员能够随时掌握网络安全的最新动态，实时监控网络上的用户行为，保障网络设备自身和网上信息的安全，并对可能存在的网络威胁有一定的预见能力和采取相应的应对措施，同时对已经发生的网络破坏行为在最短的时间内做出响应，使企业的损失减少到最低限度。

夜上海论坛 职训基地领导在认识到网络安全的重要性的同时，应当投入相当的经费用于网络安全管理人员的培训，聘请上级主管部门的专业人员，提供维护内部网络的安全。

4.5网络安全制度

网络安全的威胁来自人对网络的使用，因此好的网络安全管理首先是对人的约束，企业并不缺乏对人的管理办法，在网络安全方面常常忽视对网络使用者的控制。要从网络安全的角度来实施对人的管理，制定相应的政策法规，使网络安全的相关问题做到有法可依、有过必惩等，最大限度地提高员工的安全意识和安全技能，并在一定程度上造成对蓄意破坏分子的心理震慑。

认识到网络安全的重要性，已采取了一些措施并购买了相应的设备，但在网络安全法规上还没有清醒的认识，或者是没有较为系统和完善的制度，这样在企业上下往往会造成对网络安全的忽视，给不法分子以可乘之机。国际上，以ISO17799/BSI7799为基础的信息安全管理体系已经确立，并已被广泛采用，企业可以此为标准开展安全制度的建立工作。具体应当明确企业领导、安全管理员、财物人员、采购人员、销售人员和其它办公人员等各自的安全职责。安全组织应当有企业高层挂帅，由专职的安全管理员负责安全设备的管理与维护，监督其它人员设备安全配置的执行情况。单位还应形成定期的安全评审机制。只有通过以上手段加强安全管理，才能保证由安全产品和安全技术组成的安全防护体系能够被有效地使用。

5常见的网络攻击及其防范对策

特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序，采用服务器／客户机的运行方式，从而达到在上网时控制你电脑的目的。

特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码，因此含有特洛伊木马的程序在执行时，表面上是执行正常的程序，而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分，即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力，在网络中当人们执行一个含有特洛伊木马的程序时，它能把自己插入一些未被感染的程序中，从而使它们受到感染。此类攻击对计算机的危害极大，通过特洛伊木马，网络攻击者可以读写未经授权的文件，甚至可以获得对被攻击的计算机的控制权。

夜上海论坛 防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时，对每一个文件进行数字签名，而在运行文件时通过对数字签名的检查来判断文件是否被修改，从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。

电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽，占据邮箱的空间，使用户的存储空间消耗殆尽，从而阻止用户对正常邮件的接收，防碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。

防止邮件炸弹的方法主要有通过配置路由器，有选择地接收电子邮件，对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息，也可使自己的SMTP连接只能达成指定的服务器，从而免受外界邮件的侵袭。

夜上海论坛 过载攻击是攻击者通过服务器长时间发出大量无用的请求，使被攻击的服务器一直处于繁忙的状态，从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击，它是通过大量地进行人为地增大CPU的工作量，耗费CPU的工作时间，使其它的用户一直处于等待状态。

防止过载攻击的方法有：限制单个用户所拥有的最大进程数；杀死一些耗时的进程。然而，不幸的是这两种方法都存在一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除，会使用户某些正常的请求得不到系统的响应，从而出现类似拒绝服务的现象。通常，管理员可以使用网络监视工具来发现这种攻击，通过主机列表和网络地址列表来分析问题的所在，也可以登录防火墙或路由器来发现攻击究竟是来自于网络外部还是网络内部。另外，还可以让系统自动检查是否过载或者重新启动系统。

正常情况下，TCP连接建立要经历3次握手的过程，即客户机向主机发送SYN请求信号；目标主机收到请求信号后向客户机发送SYN/ACK消息；客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址，向被攻击主机发出SYN请求信号，当被攻击主机收到SYN请求信号后，它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时主机的IP不存在或当时没有被使用所以无法向主机发送RST，因此，造成被攻击的主机一直处于等待状态，直至超时。如果攻击者不断地向被攻击的主机发送SYN请求，被攻击主机就会一直处于等待状态，从而无法响应其他用户的请求。

夜上海论坛 对付淹没攻击的最好方法是实时监控系统处于SYN-RECEIVED状态的连接数，当连接数超过某一给定的数值时，实时关闭这些连接。

6结论

夜上海论坛 要想保证内部网络的安全，在做好边界防护的同时，更要做好内部网络的管理。所以，安全重在管理的观念已被广泛接受。没有好的管理思想，严格的管理制度，实施到位的管理程序，就没有真正的安全。在有了“法治”的同时，还要有“人治”，即经验丰富的安全管理人员和先进的网络安全工具，有了这两方面的治理，才能得到一个真正安全的网络。

参考文献

夜上海论坛 1 杨义先、钮心忻，网络安全理论与技术[M.人民邮电出版社，2003

2 Linda McCarthy著，赵学良译，信息安全一企业抵御风险之道[M].清华大学出版社，2003

3 胡道元.计算机局域网［M］．北京：清华大学出版社，2001