简述网络安全的概念

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇简述网络安全的概念范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

简述网络安全的概念范文第1篇

【关键词】数字化图书馆；网络安全

随着互联网技术的迅速普及应用，对图书馆转变服务模式提供了契机。以纸本图书、报纸为主体的传播平台有了革命性的技术创新，出现了多种的知识传播方式，如电子期刊、网络图书馆等。伴随着信息技术的普及，数字化图书馆的建设的步伐也在加快。数字化图书馆开放的网络资源使图书馆难免面临网络的信息安全。构建一个网络安全的数字化图书馆已成为最基本的条件。

1.数字化图书馆的概念

“数字化图书馆”由英文Digital Library翻译而来，它是一个海量的数据管理系统。随着互联网技术的迅猛发展，利用数字技术处理来存储各种图书馆的纸本图书和纸质期刊，提供给读者在网络上查询，用网络让读者方便快捷地共享资源。运用计算机系统网络化管理电子资源、信息资源。因此，数字化图书馆应运而生。

2.建设数字化图书馆意义

传统图书馆担负着信息采集、存储、传播及版权控制的重任，数字化图书馆也同样要完成这些任务，只是各项任务的内容、采取的手段及服务方式发生变化。建立数字化图书馆的主要意义在作为文献信息资源中心的图书馆仅仅存储传递知识信息还不够，必须担起信息服务的功能；读者对数字图书馆的需求也是推动图书馆数字化建设的重要原因之一。在信息化的大环境下，读者在利用图书馆获取信息资源时，希望能随时随地、不受限制地查找使用自己需要的信息；希望能通过简便易操作、人性化的导航与检索，使用图书馆收藏的海量信息资源。[1]

在充满竞争的知识经济时代，高校图书馆应积极应对数字化改革的浪潮，立足于本校办学特点、学科建设、科研重点，充分利用人才优势与资源优势，遵循全社会共享共建原则，建设有本校特色的数字馆藏，形成多学科、多层次、优势互补的文献资源格局，以便更科学、更合理地利用文献资源，实现全国乃至全球范围内的资源共享，打造有自己特色的现代化数字化图书馆。

3.建设数字化图书馆中存在的网络安全与隐患问题

3.1 网络安全的重要性

计算机、通信技术的结合导致现代信息网络的产生，它以自身特有的高速、共享和交互性而受到全球的重视，它已浸透到社会生活各个方面并改变着人类的工作和生活方式。随着人们对计算机网络越来越依赖，整个社会变得十分脆弱，万一网络不能正常工作，整个社会将陷入混乱。网络本身也存在隐患，计算机网络系统是开放的，其分布的广域性更增加这些危害的隐蔽性、广泛性和灾难性。可见，网络的安全直接决定着数字化图书馆的安全。[2]

3.2 预防网络病毒

因特网的发展和电脑病毒的传播从某种意义来说是相辅相成。随着因特网的飞速发展，图书馆网上数据库越来越多，因此应提防网络病毒。网络病毒的防治措施包括管理防范和技术防范两个方面，管理防范方面就是上面所说的建立健全各项网络信息安全管理制度；技术方面的防范又包括软件和硬件防范，其中软件预防是最常用的方式。数字图书馆有效的网络病毒防护技术应该能够将病毒检测、数据保护以及集中式的全域控制结合起来，并且易于使用和管理。

3.3 系统安全

主要指操作系统软件方面的问题：操作系统作为底层系统软件，负责为应用程序提供运行环境和访问硬件的接口，它的安全性是信息安全的基础。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器、NT服务器及Windows桌面PC。尤其是Microsoft公司的windows系统，漏洞众多，安全隐患也很多，易受到攻击，造成的影响也大，只不过在以前不大可能被非法使用者所利用，安全问题较小，但随着网络的出现，这个问题就比较突出了。[3]现在操作系统面临的威胁与攻击多种多样，如：客户资料泄密，损害系统完整性、未授权存取、使用等。

3.4 信息安全

信息安全性包括版权保护和系统安全性的保护。版权保护是数字图书馆能够健康发展的前提。数字化图书馆版权保护技术主要目的都是为了实现访问控制和使用控制。由于黑客和计算机病毒会直接影响数字化图书馆的正常运行，系统安全的保护尤为重要，可采取如下措施：对系统进行加密；安装防火墙来隔离网络的不同部分；运行诊断程序以检测系统的安全问题；备份系统的信息以保证在系统遇到突发事件时可恢复等等。这些技术在数字化图书馆中的应用，反过来也必将推动数字化图书馆的发展。

4.结束语

随着社会经济的蓬勃发展。数字化图书馆在这一时期的作用越发展现出来。它是信息知识的传播、收集、加工的核心部门。在大力发展网络安全技术的同时，还应不断完善一系列网络安全法律法规政策，并且还要不断地加强人们的网络安全意识教育和网络道德教育，从宏观和微观的角度来约束网络行为。使读者在更高层次上实现了对信息资源的共享，数字化图书馆成为信息资源共享的平台，是我国高校迅速发展的有效支撑。

参考文献

[1]李建平.我国数字图书馆建设的战略思考[M].前沿，2005（4）：198-200.

简述网络安全的概念范文第2篇

[关键词]电子商务；网络；信息安全

中图分类号：F224.33 文献标识码：A 文章编号：1009-914X（2015）05-0258-01

引言

电子商务近年来发展速度越来越快，应用的环境越来越好，但同时也产生了商务信息系统安全问题。电脑网络的建立与普及以及由此所产生的网络的国际化、社会化、开放化、个人化已经在很大程度上改变了人类原始的商务活动。

一、移动电子商务信息系统安全简述

1.电子商务与移动电子商务概念

电子商务（Electronic Commerce，简称E-commerce）是在因特网开放的网络环境下，基于浏览器或服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付，以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。

移动电子商务（M-Commerce），它由电子商务（E-Commerce）的概念衍生出来，是通过手机、PDA（个人数字助理）、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务：PIM（个人信息服务）、银行业务、交易、购物、基于位置的服务、娱乐等。移动电子商务因其快捷方便、无所不在的特点，已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间，真正解决做生意的问题。

2.电子商务信息安全的主要内容

在目前的条件下，电子商务系统的安全问题除了包含计算机系统本身存在的安全隐患外，还包含了电子商务中数据的安全隐患和交易的安全隐患。主要有以下几个方面，一是商务数据的机密性与完整性，二是商务对象的认证性，网络两端的使用者在沟通之前相互确认对方的身份，保证身份的正确性。

3.目前电子商务安全解决方案

电子商务的信息安全在很大程度上依赖于技术的完善，这些技术包括：密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术等。

首先是从网络安全技术来说，网络安全是保证电子商务安全最基本的技术，通常采用的主要有防火墙技术、VPN技术、反病毒技术等。

其次是数据加密技术。目前，经常被用到的加密技术主要有对称加密技术和非对称加密技术两种。

再次是认证技术。仅有加密技术不足以保证电子商务中的交易安全，身份认证技术是保证电子商务安全的又一重要技术手段。

最后是安全协议技术。电子商务安全，除了取决于已经提到的各种安全控制技术之外，还需要一套完整的安全协议。目前，比较成熟的协议有SET、SSL等。

以上这些结合起来保证了电子商务交易过程和数据的安全。

二.第二代互联网络

2.1 第二代计算机互联网络的发展情况

20世纪90年代，第二代互联网的研究在美国开始起步，目前，它的研究已经扩大到整个世界。代表网络是由美国大学发起的用来进行科学研究的Internet2。其主要任务是要研究和开发高级的网络与应用技术，换言之，就是加速推动下一代网络的产生，在推动网络技术本身的发展的同时推动它的应用。？

2.2 第二代计算机互联网络的优点

第二代计算机互联网络的优点简而言之就是更大、更快、更安全、更及时、更方便。

（1）第二代互联网将有更大的发展空间。基于IPV6协议的地址分配与现在的由32位2进制位表达的IP地址相比，可以使我们获得比现在的地址空间不知道要大多少倍的地址空间。

（2）速度更快。第二代计算机互联网络比我们现在的网络速度要快一千倍一万倍，也只有在这样的快速度下，才能够支持下一代互联网的应用。

（3）更安全。第二代计算机互联网络可进行网络对象识别、身份认证和访问授权，具有数据加密和完整性，实现一个可信任的网络。将从IP协议上，从根上，从路由器上去彻底解决安全的问题。

（4）传输与控制更及时。第二代互联网络不仅可以用来传输数据，更多的是传输电话、电视信号以及其他各种不同的信号。提供更好的实时控制，使得各种不同的信号都能够保质保量地在互联网上传送。

（5）使用更方便。第二代互联网络的网络终端不再局限于固定用户、固定的计算机，还可以是我们现在使用的移动电子设备。

三.电子商务信息安全管理

在电子商务活动中，有些信息属于商业秘密，如果失窃，将带来不可估量的损失，因此需有一个能不中断地提供服务及可靠稳定的电子商务平台，任何系统的中断，如软硬件错误，病毒，网络故障等都可能导致电子商务系统不能正常工作，所以电子商务信息的安全管理问题就成了电子商务顺利推进的保障。随着电子商务的深入应用，攻击网络技术和手段不断改进，这就对电子商务信息系统的安全性提出了更高的要求，必须保证外网用户不能对系统构成威胁，所以人们对这些基本技术进行了反复改进以适应更高的安全需求。

3.1 电子商务安全的法制建设及企业内部管理

为了保护用户信息在电子商务活动中不受侵犯，政府应该完善电子商务信息法规，同时，还需制定详尽、具体、具有可操作性的赔偿制度，包括精神赔偿和物质赔偿，为电子商务的发展提供必要的法律保证。

3.2 防火墙技术

目前的防火墙分可为两大类，一类是简单的包过滤技术，它是在网络层对数据包实施有选择的通过。依据系统内事先制定好的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址等因素来确定是否允许数据包通过。另一类是应用网管和服务器，其显著的优点是能提供小颗度的存取控制，可针对特别的数据过滤协议和网络应用服务，并且能够对数据包分析并形成相关的报告。通过防火墙技术，可以过滤掉不安全的服务，提高网络安全和减少网络中主机的风险。但防火墙是一种被动安全技术，不能阻止来自内部网络的攻击。唯一的解决办法就是，在每台计算机上都装反病毒软件。

3.3 病毒防范技术

计算机病毒实际上就是在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒绕过系统或违反授权入侵成功后，在系统中植入木马等病毒程序，为以后攻击系统、窃取信息做好准备。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测，工作站上对网络目录及文件设置访问权限等。

综上所述，电子商务信息的安全问题是一项复杂的系统工程，随着电子商务的发展，通过各种网络的交易手段也会更加多样化，安全问题变得更加突出。它不仅涉及到动态传输信息及静态存储信息的安全问题，还需要保证电子商务信息安全，而新一代的计算机网络的开发、成形以致日后的广泛应用势必将电子商务带入一个新的领域。我们所要关注的不再是纯粹的技术问题，而是从社会角度多方面多层次去构建一种全新的电子商务的安全体系。

参考文献

[1] 姬志刚：计算机、网络与信息社会.科技咨询导报[J].2006（20）.

简述网络安全的概念范文第3篇

关键词 云技术 私有云 数据网

中图分类号：TP309 文献标识码：A

Private Cloud Application Prospect in Shanxi

Electric Power Data Network

MENG Yaning， WANG Dong

（Information & Telecommunication Co. of SEPC， Taiyuan， Shanxi 030001）

Abstract In combination with concept of cloud technologies and private cloud， this paper analysis the feasibility of application in Shanxi Electric Power Data Network. It describes the advantages of builds enterprise private cloud. By building a private cloud services in the smart grid， will make the enterprise informatization level to a new height.

Key words cloud technology； private cloud； data network

0 概念简述

早期提出的云技术主要是指云计算，现今所提到的云技术除包含云计算外，还包括云存储和云安全等。

云计算是一种通过互联网以服务的方式提供动态可伸缩的虚拟化的资源的计算模式。“云”通常为一些大型服务器集群，包括计算服务器、存储服务器、宽带资源等。

云存储是从云计算衍出来的。云存储是将用户的大容量信息存储在网络的数据中心，用户端设备不必安装大容量硬盘，用户只需输入用户名和密码就可以安全提取数据。

云安全是网络时代信息安全的最新体现，它融合了并行处理、网络计算、未知病毒行为判断等新兴技术和概念，为保证用户信息和网络安全而产生的新型网络防御技术。

私有云也叫做内部云或企业云，是为一个客户单独使用而构建的，因而提供对数据、安全性和服务质量的最有效控制。

1 山西电力数据通信网（简称：数据网）概述

山西省电力数据通信网，是利用在建的山西省电力主干光纤网，在高可靠性的SDH光纤传输通道上建立高带宽、高性能、透明的、综合多种业务的数据通信网络，为山西省电力公司和相关电力企业的生产经营、信息化建设提供服务。数据网采用MPLS VPN技术组网，已承载了包括管理信息系统、变电站生产视频监控、营销采集、高清视频会议、NGN、调度信息管理系统及各类通信带外网管等三十多种业务。

2 私有云在数据网中应用的可行性分析

数据网作为服务于电力行业的专网，具有鲜明的行业特点，各种业务对网络的实时性、安全性和可靠性的要求有着较大的差异，同时有些业务之间还需要隔离，私有云的应用可以充分利用数据网的潜能来满足各个应用系统的建设和发展需要，也符合网络技术的发展趋势。

首先，数据网本身是构建在高可靠性的光纤传输网中。现有省到市的通道带宽为千兆、市到县的通道带宽为155M，而县至35kV变电站的带宽为N？M。借助通道优势，可以为各种业务提供高速、高密度、大容量的数据传输基础。

其次，良好的网络架构为企业私有云提供安全的物理平台。骨干数据网采用三层网络结构设计，整个网络拓扑结构由核心层、汇聚层、接入层三部分构成。省公司核心节点的2套核心路由器以GE接口互联，各自以POS 622M接口连接备调核心路由器，同时以GE接口与11个分公司骨干路由器分别互联。除长治地区外，各地区骨干数据网的第一台路由器利用POS 155M接入备调核心路由器，长治采用GE方式直连。省公司作为核心点的2台核心路由器以双GE接口捆绑互联；2台接入路由器以双GE接口捆绑互联；核心路由器与接入路由器以双GE接口采用口字型结构捆绑互联。核心层负责整个网络的数据交换，核心层节点设置在省公司，通过两台核心路由器实现网络结构的全冗余及流量的负载均衡。 220kV及以上变电站和电厂的接入路由器，均采用2个2M分别连接各自地调的骨干路由器。每个站点的一个2M通过主干SDH传输电路提供的透明电路连接，另外一个2M通过主干区域网SDH或地区城网传输设备提供的传输电路连接。市级骨干数据网同样采用三层网络结构设计，整个网络拓扑结构由核心层（地市）、汇聚层（县局和110KV站）、接入层（35KV站、变电所/营业站等）三部分构成。2台市网核心通过1000M链路与原有地市骨干7609互联构成城网的核心。骨干层设备安装在县支公司，用于汇聚35KV站、变电所/营业站等节点。双设备、双链路、多路由等优势，将会在企业私有云的安全性及稳定性上提供强有利的支撑。

第三，数据网作为透明的传输平台，为信息化资源的虚拟化、池化、服务化提供了条件，使资源动态部署、按需获取、智能调度等成为可能，也使资源的利用率、运行效率等大幅提升。在企业私有云里，只需要配备简单的接口装置，通过通信端口连接，就可以随时随地地通过各种终端设备，享受综合的信息服务。

第四，数据网覆盖范围广，扩展性好。现有数据网覆盖了省公司、分公司、县支公司、供电所、35kV及以上变电站、电厂、特高压等共计2300多台路由器。随着网络规模的不断扩大，计算、存储、网络安全以及配套设施等性价比，也得到明显提高，势必会为企业私有云今后的覆盖及推广提供强有力的支持。

3 企业私有云的优势

（1）统一管理。当面对海量的数据或者涉及繁多的管理面时，分散管理往往是不能保证数据的一致性，而且用户分别管理自己的存储，所有人都做重复性工作，势必就会大大降低工作效率，造成人力资源的浪费；对信息的有效控制变得很难，信息泄露以及安全性会变成一个突出的问题。统一管理很好地解决了上述问题，在同一个管理界面下对数据进行维护，用户无需再自己处理数据管理的繁琐工作，节约成本的同时、安全性问题也可以得到有效解决。

（2）易于实现集中备份和容灾。存储设备不可能保证时刻都是可靠的，硬件坏了可以更换维修，但是数据丢失，如果是关键业务数据的丢失，有可能给企业带来巨大的损失。因此就需要对数据进行备份冗余保护，并且在适当的时候以可接受的成本来实现业务的容灾，保证应用与业务的可用性。与其它分散的存储相比，集中式地处理数据备份与应用与业务容灾要更加易于实现与管理，而且更加高效。

（3）易于扩展、升级方便。由于用户只知道存储的接口，并不关心如何实现存储，换言之就相当于给私有存储云与用户之前加入了一个中间层，如果对私有存储云的后台进行变动，则不会影响用户的使用。这就为私有存储云空间进行扩展、维护、升级带来了灵活性，使得后台的变动的影响最小化。

（4）节约成本、绿色节能。由于各种业务数据是集中存储，并且易于扩展与升级，因此可以结合相应存储虚拟化，对容量进行灵活配置，提高大容量，高效率的数据访问服务。同时可以利用虚拟机技术对硬件设备进行虚拟化，充分利用硬件的效益。相比分散存储，间接上减少了设备的投资，同时又减少了硬件设备能源的消耗，从而达到绿色节能的目的。

参考文献

[1] 黄磊.浅谈“私有云”如何解惑大型企业IT发展困境[J].电信科学，2010（8）.

[2] 刘畅，王彦力.建设基于云技术的智能电网高效通信网络探讨[J].电力信息化，2010（7）.

简述网络安全的概念范文第4篇

关键词公钥密码体制RSADSAECDSASHA-1数字签名身份认证

1引言

公开密钥密码体制的概念是1976年由美国密码学专家狄匪(Diffie)和赫尔曼(Hellman)[1]提出的，有两个重要的原则：第一，要求在加密算法和公钥都公开的前提下，其加密的密文必须是安全的；第二，要求所有加密的人和掌握私人秘密密钥的解密人，他们的计算或处理都应比较简单，但对其他不掌握秘密密钥的人，破译应是极困难的。随着计算机网络的发展，信息保密性要求的日益提高，公钥密码算法体现出了对称密钥加密算法不可替代的优越性。近年来，公钥密码加密体制和PKI、数字签名、电子商务等技术相结合，保证网上数据传输的机密性、完整性、有效性、不可否认性，在网络安全及信息安全方面发挥了巨大的作用。本文详细介绍了公钥密码体制常用的算法及其所支持的服务。

2公钥密码算法

公钥密码算法中的密钥依性质划分，可分为公钥和私钥两种。用户或系统产生一对密钥，将其中的一个公开，称为公钥；另一个自己保留，称为私钥。任何获悉用户公钥的人都可用用户的公钥对信息进行加密与用户实现安全信息交互。由于公钥与私钥之间存在的依存关系，只有用户本身才能解密该信息，任何未受授权用户甚至信息的发送者都无法将此信息解密。在近代公钥密码系统的研究中,其安全性都是基于难解的可计算问题的。如:

(1)大数分解问题；(2)计算有限域的离散对数问题；(3)平方剩余问题；(4)椭圆曲线的对数问题等。

基于这些问题,于是就有了各种公钥密码体制。关于公钥密码有众多的研究,主要集中在以下的几个方面:

(1)RSA公钥体制的研究；(2)椭圆曲线密码体制的研究；(3)各种公钥密码体制的研究；(4)数字签名研究。

公钥加密体制具有以下优点:

(1)密钥分配简单；(2)密钥的保存量少；(3)可以满足互不相识的人之间进行私人谈话时的保密性要求；(4)可以完成数字签名和数字鉴别。

2.1RSA算法

RSA算法[2]是RonRivest,AdiShamir和LenAdleman在1978年提出的，是一种公认十分安全的公钥密码算法。RSA算法是目前网络上进行保密通信和数字签名的最有效安全算法。RSA算法的安全性基于数论中大素数分解的困难性。所以，RSA需采用足够大的整数。因子分解越困难，密码就越难以破译，加密强度就越高。其公开密钥和私人密钥是一对大素数的函数。从一个公开密钥和密文中恢复出明文的难度等价于分解两个大素数之积。因式分解理论的研究现状表明：所使用的RSA密钥至少需要1024比特，才能保证有足够的中长期安全。

为了产生两个密钥，选取两个大素数p和q。为了获得最大程度的安全性，两数的长度一样。计算乘积：N=pq，然后随机选取加密密钥e，使e和（p-1）（q-1）互素。最后用欧几里得扩展算法计算解密密钥d，以满足：ed=1mod（p-1）（q-1）则d=e-1mod（p-1）（q-1）注意：d和n也互素。e和n是公开密钥，d是私人密钥。两个素数p和q不再需要，可以舍弃，但绝不能泄漏。

加密消息m时，首先将它分成比n份小的数据分组。加密后的密文c，将由相同长度的分组ci组成。加密公式可表示为：ci=mie×(modn)解密消息时，取每一个加密后的分组ci并计算：mi=cdi×(modn)。

由于：cdi=(mei)d=medi=mik(p-1)(q-1) 1=mi×mik(p-1)(q-1)=mi×1=mi(modn)这个公式能恢复出全部明文。公开密钥n：两个素数p和q的乘积（p和q必须保密）；e：与（p-1）（q-1）互素。私人密钥d：与n互素。加密c=me×(modn)；解密m=cd×(modn)。

2.2ECDSA算法

椭圆曲线数字签名算法(ECDSA)[5]设计的数学原理是基于椭圆曲线离散对数问题的难解性。EC点上离散对数的研究现状表明:所使用的ECDSA密钥至少需要192比特,才能保证有足够的中长期安全。椭圆曲线是指由韦尔斯特拉斯(Weierstrass)方程：

y2 a1xy a3y=x3 a2x2 a4x a6

所确定的平面曲线。定义F为一个域，其中ai∈F，i＝1,2，…6。F可为有理解域、实数域、复数域，也可为有限域GF(q)。在椭圆曲线密码体制中，F一般为有限域。由有限域椭圆曲线上的所有点外加无穷远点组成的集合，连同按照“弦切法”所定义的加法运算构成一个有限Abel群。在此有限Abel群上，定义标量乘法(ScalarMultiplication)为：mP＝P P …P(m个P相加)；若mP＝Q，定义：m＝logpQ为椭圆曲线点群上的离散对数问题，此问题无多项式时间内的求解算法。ECDSA的设计正是基于这一问题的难解性。

在此，我们讨论定义在有限域GF(2m)上的椭圆曲线数字签名算法。今定义椭圆曲线方程为：y2 xy＝x3 ax2 ba,b∈GF(2m)；则椭圆曲线的域参数为D(m,f(x),a,b,P,n)

其中,f(x)为GF(2m)的多项式基表示的不可约多项式。P表示椭圆曲线上的一个基点，n为素数且为点G的阶。

ECDSA算法密钥对的生成过程为：在区间[1，n-1]上选择一个随机数d，计算Q＝dP，则Q为公钥，d为私钥。

ECDSA算法的签名生成过程可简述如下：若签名的消息为e，则在区间[1，n-1]上选择一个随机数k，计算kG＝(xl，y1)；r＝xlmodn；s＝k-1(e dr)modn。如果r或s为零，则重新计算，否则生成的签名信息为(r，s)。

ECDSA算法的签名验证过程可简述如下：若公钥为Q，签名的消息为e计算：w＝s-1modn；u1＝ewmodn；u2＝rwmodn；X＝u1P u2Q＝(xl，y1)。如果X为无穷远点，则拒绝签名，否则计算：v＝xlmodn；如果v＝r，则接受签名，否则拒绝签名。

2.3SHA-1算法

SHA-1杂凑算法[4]起初是针对DSA算法而设计的，其设计原理与RonRivest提出的MD2，MD4，尤其是MD5杂凑函数的设计原理类似。当输入长度<264bit的消息时，输出160bit的摘要，其算法分为5步：

(1)填充消息使其长度为512的倍数减去64，填充的方法是添一个“1”在消息后，然后添加“0”直至达到要求的长度，要求至少1位，至多512位填充位；

(2)完成第1步后，在新得到的消息后附加上64bit填充前的消息长度值；

(3)初始化缓存，SHA-1用5字的缓存，每个字均是32bit；

(4)进入消息处理主循环，一次循环处理512bit，主循环有4轮，每轮20次操作；

(5)循环结束后，得到的输出值即为所求。

3公钥密码的服务

3.1数据加密

一般说来，公钥密码中的计算是很慢的，以至于在很多情况下是不可行的。可以用一个两步过程来代替。

(1)用随机生成的对称密钥来加密数据。

(2)用授权接收者的公钥来加密这个对称密钥。

当授权接收者收到加过密的数据后，也采取一个类似的两步过程

：(1)授权接收者用自己的私钥来解出对称密钥。

(2)接着用对称密钥进行解密获得原始数据。

3.2数字签名

数字签名在公钥密码体制下是很容易获得的一种服务，但在对称密码体制下很难获得。数字签名从根本上说是依靠密钥对的概念。发送方必须拥有一个只有自己知道的私钥，这样当他签名一些数据时，这些数据唯一而又明确地和他联系在一起，同时，应该有一个或更多实体都知道的公钥，以便大家验证，并确认签名是发送方的。因此，可以把数字签名操作看作是在数据上的私钥操作。整个签名操作就是一个两步过程：

(1)签名者通过杂凑函数把数据变成固定大小。

(2)签名者把杂凑后的结果用于私钥操作。

验证操作也是一个类似的两步过程：

(1)验证者通过杂凑函数把数据变成固定大小。

(2)验证者检查杂凑后的结果，传输来的签名，如果传输来的签名用公钥解密后的结果和验证者计算的杂凑结果相匹配，签名就被验证，否则，验证失败。

从而，数字签名不仅提供了数据起源认证服务，还有数据完整性及不可否认性的服务。

3.3密钥的建立

公钥密码体制也可以用来实现两个实体间的密钥建立的功能（即密钥交换），也就是说，一个协议用到公钥和私钥，协议的结果是两个实体共享一个对称密钥，而这个密钥不为其他的实体所知。密钥的建立可以通过以下两种途径：

(1)密钥传递：一个实体产生一个对称密钥送给其他的实体，公钥密码体制可以用来保证传送的机密性。如发送方用接收方的公钥来加密对称密钥，使得只有接收方才能得到。

(2)密钥协定：两个实体共同来完成对称密钥的产生，公钥密码体制把这个过程变得相对简单。如Diffie-Hellman[6]体制是第一个利用公钥密码的特点来选取双方共同约定的对称密码体制中密钥的方案。

其具体方法如下:假设Alice和Bob两个用户打算选取一个高阶有限域Zp中某一个数作为会话密钥。设P是一个质数,g是P的一个本原元:0

(1)Alice随机选取整数a(1

(2)Bob随机选取整数b(1(3)Alice将Qa传送给Bob,而Bob将Qb传送Alice；

(4)Alice收到Qb后,计算K=QbamodP∈Zp；Bob收到Qa后,计算K=QabmodP∈Zp；

则K∈Zp就可作为Alice和Bob所使用对称密码体制中的密钥。

3.4身份标识和认证

在对称密码环境下，通信双方的身份认证是十分困难的，这就成了推动公钥密码体制发展的巨大动力之一。通信或交易时，应该保证信息的接收方和发送方能够被唯一地标识出来，让通信双方都能够知道信息从哪里来或者到哪里去。我们也将这种安全保障简称为真实性。按照被验证对象可以将真实性问题分成三种，一种是设备真实性，其二是人的真实性，其三是信息的真实性。通过主机地址，主机名称，拥有者的口令等都在一定的程度上保证了对设备的验证，但都不能很好地满足安全的要求。非对称算法或数字签名是人员、设备或信息验证的一种好方法。原理上说，没有人能够假冒数字签名。基于公钥体制的身份认证主要利用数字签名和hash函数实现。设A对信息M的hash值H(M)的签名为SigSA(H(M)),其中SA为A的私钥.A将M及SigSA(H(M))发送给用户B。B通过A的公钥PA进行解密：

PA（SigSA(H(M))=M。确认信息是由A所发出的并且计算hash值还可对信息M的完整性进行鉴别。在信息需要保密的情况下，A和B应通过密钥分配中心(KDC)获得一个会话密钥KAB,A将信息签名和加密后再传送给B，由于只有A和B拥有KAB，因此B同样可以确信信息来源的可靠性和完整性。

对于那些需要使用密钥对中的公钥来获得基本安全服务的实体来说，公钥总是能很方便地得到。然而，没有完整性保护措施就分发公钥会削弱这些安全服务。需要有一种数据完整性机制来保证公钥及其相关信息不被篡改，即一种把公钥和它的声称者绑定的机制。公私证书可以满足上述要求，使得证书使用者能得到以下保证：

(1)公钥（以及其他相关信息）的完整性得到保障。

(2)公钥（以及其他相关信息）以一种可信的方式和它的声称者绑定在一起。

公私证书机制很好的解决了通信双方相互确定身份的问题。

4结束语

公钥密码体制是非常重要的一种技术，它实现了数字签名的概念，提供了对称密钥协定的切实可行的机制，使安全通信成为可能。密钥对的思想也实现了其他的服务和协议，包括：机密性、数据完整性、安全伪随机数发生器和零知识证明等。目前，公钥密码的重点研究方向,理论方面[7]:

(1)用于设计公钥密码的新的数学模型和陷门单向函数的研究；

(2)公钥密码的安全性评估问题，特别是椭圆曲线公钥密码的安全性评估问题。

应用方面:

(1)针对实际应用环境的快速实现的公钥密码设计；

(2)公钥密码在当今热点技术如网络安全、电子商务、PKI、信息及身份认证等中的应用，这方面还将是持续研究热点。

参考文献

[1]Diffie,W.andM.Hellman.NewdirectionsinCryptography.IEEETransactionsonInformationTheory22(1976):644-654.

[2]RivestR,ShamirA,AdlemanL.Amethodforobtainingdigitalsignaturesandpublic-keycryptosystems[J].CommunicationsoftheACM,1976,21(2):120-126.

[3]谭凯军,诸鸿文,顾尚杰.基于数字签名方案DSS/DSA的几种应用方案[J].计算机研究与发展.1999,36(5):632-638.

[4]吴世忠，祝世雄等.应用密码学-协议、算法与C源程序[M].机械工业出版社,20__.

[5]MJBRobshaw,YiqunLisaYin.EllipticCurveCryptosystems.AnRSAlaboratoriesTechnicalNote,Revised,1997:URL-.

[6]庞南,戴英侠,李镇江.因特网密钥交换协议研究[J].计算机工程,20__,28(5):67-70.

[7]冯登国.国内外密码学研究现状及发展趋势[J].通信学报,20__,23(5):18-27.

简述网络安全的概念范文第5篇

1． 广域网概述

广域网（WAN，wide area network），有时也称远程网（long haul network），是覆盖地理范围相对较广的数据通信网络。常利用公共网络系统（如电话公司）提供的便利条件进行传输，可以分布在一个城市、一个国家，甚至跨过许多国家分布在全球。

广域网可以不断扩展，以满足跨越广阔地域的多个地点、每个地点都有多个计算机之间联网的需要。不仅如此，广域网还有足够的能力，使得联网的多个计算机能同时通信。因此，路由选择技术和异构网的互联技术是广域网技术的重要组成部分。

2． 广域网的参考模型

广域网一般由主机和通信子网组成，子网用于在主机之间传递信息。将网络的通信（子网）和应用（主机）分离，可以简化整个网络。图1所示为主机和通信子网的关系。

在许多广域网中，一般由公共网络充当通信子网，它包括两个组成部分：传输线和交换节点。传输线用来在计算机之间传送比特流；交换节点有时也叫做分组交换节点、中间系统或数据交换设备，用于连接两个或多个传输线。数据沿输入线到达交换节点后，交换节点必须为其选择输出线并将其输出。

通信子网工作在OSI参考模型的下三层，即物理层、数据链路层和网络层。图2所示为广域网子网技术和OSI参考模型之间的关系。

目前常用的公共网络系统有电话交换网（PSTN）、分组交换数据网（又称X.25网）、帧中继网（Frame Relay）、数字数据网（DDN）等。广域网种类很多，性能差异很大，租用不同的网络同所需支付的费用差异也很大。

网络设计及规划

1． 技术目标分析

典型的技术目标包括可扩充性、可靠性、灵活性、可管理性和流量特性。

（1）可扩充性

可扩充性是指网络设计必须支持增长幅度，对于许多使用者来说，可扩充性是最基本的目标。很多使用者经常以很快的速度增添用户、新站点以及与外部网络的连接，所以设计时必须了解信息网络平台的扩展计划，适应建筑及居住区用户网络使用及范围的增长。

（2）可靠性

可靠性通常是网络的一个非常重要的目标，包括精确度、错误率、稳定性、无故障时间等。可靠性通常与冗余联系在一起，但冗余并不是网络目标，是为避免停机而为网络增加双重链路。

（3）灵活性

指建好的网络尽量适应新技术和新变化。网络的灵活性会影响它的使用性能，灵活性好的网络不一定提供最好的使用性能。

（4）可管理性

可管理性的重点是使网络管理员的工作更容易。

（5）流量特征

描述流量特征包括辨识网络通信的源和宿，分析源和宿之间数据传输的方向性以及对称性。在某些应用中，流量是双向且对称的。在其他应用中，流量是双向非对称的，客户站点发送小的查询，而服务器则发送大量的数据。在广播式应用中，流量是单向非对称的。

终端/主机通信流量通常是不对称的。终端发送少量字符，主机则发送许多字符。

客户端/服务器的通信流量是使用最广泛的流量类型。流量通常是双向非对称的。客户的请求通常不超过64字节，但若向服务器写数据，则字节数目会很大。服务器的响应范围可以达到1500字节或更多。

在对等通信中，流量通常是双向对称的。

服务器/服务器通信包括服务器之间的传输和服务器与管理程序之间的传输。服务器通过与其他服务器通信完成目录服务、高速缓存常用数据、镜像负载平衡和冗余数据、备份数据，以及广播可用的服务。服务器与管理程序之间的通讯，处于同样的目的，还为了加强安全策略和更新网络管理数据。服务器/服务器网络通信的流量通常是双向的，流量的对称取决于应用。大多数的应用其流量是对称的。

2． 设计网络结构

网络结构的设计主要包括核心层、汇聚层和接入层。

核心层是互联网络的高速主干，因此必须用冗余组件来设计核心层。配置核心层的路由器时，应该使用可以优化分组吞吐量的路由特性，应避免使用分组过滤或其他降低分组处理效率的功能。

汇聚层是核心层和接入层的分界点，扮演许多角色，包括由于安全性原因控制对资源的访问，以及由于性能原因控制通过核心层的网络通信等。如果计划实现一个VLAN，那么汇聚层可以配置为VLAN之间的路由。

接入层为用户提供了在局域网段访问互联网的能力。

3． 设计寻址和命名模型

应该规划、管理和记录接入层地址。必须设计好并管理好这些编号。寻址的结构化模型是指地址是有意义的、分层的和规划好的。Apptalk的地址包括建筑物和楼层的号码，所以是结构化的。包含前缀和主机部分的IP地址也是结构化的。

在满足用户易用性目标方面，名字的作用是不可少的。简短而有意义的名字可以提高用户的生产率，简化网络管理。

4． 桥接交换机和路由选择协议

如果网络设计包括以太网网桥或交换机，最好使用带有生成树协议的透明网桥。可能还需要支持VLAN的连接交换机的协议，该协议适应IEEE802.10协议、IEEE802.1Q协议或CISCO的ISL协议。

路由选择协议使得路由器能够动态地广播和获得路径，确定有哪些路径可供选择，而哪一条又是将数据传输到目的地址的最佳路径。路由选择协议对第三层的网络状态进行更新并使路由表驻留到第三层交换机/路由器中。而诸如 IP、IPX 和 AppleTalk 这类常用的第三层协议，则被称为路由转发协议，它们能够在网络中传送数据。

共有两种路由选择协议：距离向量路由选择协议和链路状态路由选择协议。从本质上来说，距离向量路由选择协议在路径的远近方面决定它是否最佳，而链路状态路由选择协议能够用更为复杂的方法来考虑各种连接变量，如带宽、延时、可靠性和负载等。

距离向量路由选择协议就路径的远近判断其是否最佳。距离可以是中转站点（路由或是主机）的数目或是一套经过计算能够代替距离的量度。如今仍在使用中的 IP 距离向量路由选择协议有：路由信息协议（RIV v1 和 v2）和内部网关路由协议 IGRP。

链路状态路由选择是一种概念，用于在分组交换网络中进行计算机通信时的路径查找。链路状态路由选择所进行的工作就是让网络中的路由器告知该网络中所有其它的路由器哪个与它相邻最近。所有的路由器都不会将整张路由表全部出去，它们只发其中与相邻路由器相关的部分。一些链路状态路由选择协议为：OSPF、IS-IS 和 EIGRP。

链路状态路由选择协议比距离向量路由选择协议拥有更高的灵活性和完善性。它们综合了诸如带宽、延时、可靠性和负载等众多的网络性能方面的因素，从而在总体上降低了网络中散播的信息量，并能在路径选择方面更好地作出决定，而不像距离向量路由选择协议那样以距离或中转站点的数目为唯一的依据。

网络主干设备的选型指标分析

网络主干设备的系统结构直接决定了设备的性能和功能水平。这犹如先天很好的一个婴儿和一个先天不足的婴儿，即便后天成长条件完全相同，他们的能力依然有相当大的差别。因此，深入了解设备的系统结构设计，客观认知设备的性能和功能，这对正确选择设备极有帮助，下面将从七个方面进行讨论。

1． 交换结构

随着网络交换技术不断的发展，交换结构在网络设备的体系结构中占据着极为重要的地位。为了便于理解，这里仅简述三种典型的交换结构的特点：

共享总线

由于近年来网络设备的总线技术发展缓慢，所以导致了共享总线带宽低，访问效率不高；而且，它不能用来同时进行多点访问。另外，受CPU频率和总线位数的限制，其性能扩展困难。它适用于大部分流量在模块本地进行交换的网络模式。

共享内存

其访问效率高，适合同时进行多点访问。共享内存通常为DRAM和SRAM两种，DRAM速度慢，造价低，SRAM速度快，造价高。共享内存方式对内存芯片的性能要求很高，至少为整机所有端口带宽之和的两倍（比如设备支持32个千兆以太网端口，则要求共享内存的性能要达到64Gbps）。由此可见，既便不考虑价格因素，内存芯片技术本身在某种程度上也限制了共享内存方式所能达到的性能水平。

交换矩阵（Cross bar）

由于ASIC技术发展迅速，目前ASIC芯片间的转发性能通常可达到1Gbps，甚至更高的性能，于是给交换矩阵提供了极好的物质基础。所有接口模块（包括控制模块）都连接到一个矩阵式背板上，通过ASIC芯片到ASIC芯片的直接转发，可同时进行多个模块之间的通信；每个模块的缓存只处理本模块上的输入/输出队列，因此对内存芯片性能的要求大大低于共享内存方式。总之，交换矩阵的特点是访问效率高，适合同时进行多点访问，容易提供非常高的带宽，并且性能扩展方便，不易受CPU、总线以及内存技术的限制。目前大部分的专业网络厂商在其第三层核心交换设备中都越来越多地采用了这种技术。

2． 阻塞与非阻塞配置

阻塞与非阻塞配置是两种截然不同的设计思想，它们各有优劣。在选型时，一定要根据实际需求来选择相应的网络设备。

阻塞配置

该种设计是指：机箱中所有交换端口的总带宽，超过前述交换结构的转发能力。因此，阻塞配置设计容易导致数据流从接口模块进入交换结构时，发生阻塞；一旦发生阻塞，便会降低系统的交换性能。例如，一个交换接口模块上有8个千兆交换端口，其累加和为8Gbps，而该模块在交换矩阵的带宽只有2Gbps。当该模块满负荷工作时，势必发生阻塞。采用阻塞设计容易在千兆/百兆接口模块上提高端口密度，十分适合连接服务器集群（因为服务器本身受到操作系统、输入/输出总线、磁盘吞吐能力，以及应用软件等诸多因素的影响，通过其网卡进行交换的数据不可能达到网卡吞吐的标称值）。

非阻塞配置

该设计的目标为：机箱中全部交换端口的总带宽，低于或等于交换结构的转发能力，这就使得在任何情况下，数据流进入交换结构时不会发生阻塞。因此，非阻塞设计的网络设备适用于主干连接。在主干设备选型时，只需注意接口模块的端口密度和交换结构的转发能力相匹配即可（建议：当要构造高性能的网络主干时，必须选用非阻塞配置的主干设备）。

3． 处理方式

众所周知，每一次网络通信都是在通信的机器之间产生一串数据包。这些数据包构成的数据流可分别在第3、4层进行识别。

在第3层（Network Layer，即网络层，以下简称L3），数据流是通过源站点和目的站点的网络地址被识别。因此，控制数据流的能力仅限于通信的源站点和目的站点的地址对，实现这种功能的设备称之为路由器。一个不争的事实：无论过去、现在、还是将来，路由器在网络中都占据着核心的地位。传统路由器是采用软件实现路由功能，其速度慢，且价格昂贵，往往成为网络的瓶颈。随着网络技术的发展，路由器技术发生了革命，路由功能由专用的ASIC集成电路来完成。现在这种设备被称之为第三层交换机或叫做交换式路由器。

在第4层（Transport Layer即传输层，以下简称L4），通过数据包的第4层信息，设备能够懂得所传输的数据包是何种应用。因此，第4层交换提供应用级的控制，即支持安全过滤和提供对应用流施加特定的QoS策略。诚然，传统路由器具有阅读第4层报头信息的能力（通过软件实现），与第三层交换机（或交换式路由器）采用专用的ASIC集成电路相比，设备的性能几乎相差了两个数量级，因此，传统路由器无法实现第4层交换。

值得指出的是：网络主干设备的系统结构在设计上分成两大类：集中式和分布式。即便两者都采用了新的技术，但就其性能而言，仍存在着较大的差异。

集中式

所谓集中式，顾名思义，L3/L4数据流的转发由一个中央模块控制处理。因此，L3/L4层转发能力通常为3M－4Mpps，最多达到15Mpps。

分布式

将L3/L4层数据流的转发策略设置到接口模块上，并且通过专用的ASIC芯片转发L3/L4层数据流，从而实现相关控制和服务功能。L3/L4层转发能力可达 30Mpps 至 40Mpps。

4． 系统容量

由于网络规模越来越大，网络主干设备的系统容量也成为选型中的重要考核指标。建议重点考核以下两个方面：

物理容量

各类网络协议的端口密度，如千兆以太网、快速以太网，尤其是非阻塞配置下的端口密度。

逻辑容量

路由表、MAC地址表、应用数据流表、访问控制列表（ACL）大小，反映出设备支持网络规模大小的能力（先进的主干设备必须支持足够大的逻辑容量，以及非阻塞配置设计下的高端口密度。）

5． 关键部件冗余设计

通过这些年的实践，人们已经认同处于关键部位的网络设备不应存在单点故障。为此，网络主干设备应能实现如下三方面的冗余。

电源和机箱风扇冗余

控制模块冗余

控制模块冗余功能应提供对主控制模块的“自动切换”支持。如：备份控制模块连续5次没有听到来自主控制模块的汇报，备份模块将进行初始化并执行硬件恢复。另外，各种模块均可热插拔。

交换结构冗余

如果网络主干设备忽略交换结构的冗余设计，就无法达到设备冗余的完整性。因此，要充分考虑网络主干设备的可靠性，应该要求该设备支持交换结构冗余。此外，交换结构冗余功能也应具有对主交换结构“自动切换”的特性。

6． 缓冲技术

缓冲技术在网络交换机的系统结构中使用的越来越多，也越来越复杂。任何技术的使用都有着两面性，如过大的缓冲空间会影响正常通信状态下，数据包的转发速度（因为过大的缓冲空间需要相对多一点的寻址时间），并增加设备的成本。而过小的缓冲空间在发生拥塞时又容易丢包出错。所以，适当的缓冲空间加上先进的缓冲调度算法是解决缓冲问题的合理方式。对于网络主干设备，需要注意几点：

每端口是否享有独立的缓冲空间，而且该缓冲空间的工作状态不会影响其它端口缓冲的状态。

模块或端口是否设计有独立的输入缓冲、独立的输出缓冲，或是输入/输出缓冲。

是否具有一系列的缓冲管理调度算法，如RED、WRED、RR/FQ、WERR/WEFQ。

7． 系统结构的技术寿命

所选择的网络主干设备，其系统结构应能满足用户的功能需求，并具有足够长的技术生命周期。换言之，要避免通过硬件补丁的办法（不断增加新的硬件单元对系统结构中存在的不足进行补偿，或彻底更换新设备的方式），才能满足用户1至2年内不断增长的功能需求。

业界有很多设备的系统结构是第2层交换的设计概念，需要通过增加第3层的硬件模块才能实现第3层或第3/4层交换的功能，而且第3/4层数据包的转发能力远低于第2层交换的转发能力。另外，短期内还可能出现用新产品来替代原有产品的情况，这对用户的投资保护十分不利。

网络管理

ISO在ISO/IEC 7498-4文档中定义了网络管理的五大功能，这五大功能是：

1． 故障管理

故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成失效时，网络管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故障，因为网络故障的产生原因往往相当复杂，特别是当故障是由多个网络组成共同引起的。在此情况下，一般先将网络修复，然后再分析网络故障的原因。分析故障原因对于防止类似故障的再发生相当重要。网络故障管理包括故障检测、隔离和纠正三方面，应包括以下典型功能：

维护并检查错误日志

接受错误检测报告并做出响应

跟踪、辨认错误

执行诊断测试

纠正错误

对网络故障的检测依据对网络组成部件状态的监测。不严重的简单故障通常被记录在 错误日志中，并不作特别处理；而严重一些的故障则需要通知网络管理器。 一般网络管理器应根据有关信息对警报进行处理，排除故障。当故障比较复杂时，网络管理器应能执行一些诊断测试来辨别故障原因。

2． 计费管理

计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价，以及已经使用的资源。网络管理员还可规定用户可使用的最大费用，从而控制用户过多占用和使用网络 资源。这也从另一方面提高了网络的效率。另外，当用户为了一个通信目的需要使用多个网络中的资源时，计费管理应可计算总计费用。

3． 配置管理

配置管理同样相当重要。它初始化网络、并配置网络，以使其提供网络服务。配置管理 是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能，目的是为了 实现某个特定功能或使网络性能达到最优。 这包括：

设置开放系统中有关路由操作的参数

被管对象和被管对象组名字的管理

初始化或关闭被管对象

根据要求收集系统当前状态的有关信息

获取系统重要变化的信息

更改系统的配置

4． 性能管理

性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。一些典型的功能包括:

收集统计信息

维护并检查系统状态日志

确定自然和人工状况下系统的性能

改变系统操作模式以进行系统性能管理的操作

5． 安全管理

安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题:网络数据的私有性(保护网络数据不被侵 入者非法获取),授权(authentication)(防止侵入者在网络上发送错误信息),访问控制(控 制访问控制(控制对网络资源的访问)。相应的,网络安全管理应包括对授权机制、访问控制 、加密和加密关键字的管理,另外还要维护和检查安全日志。包括:

创建、删除、控制安全服务和机制

与安全相关信息的分布

与安全相关事件的报告

检测与验收

1． 网络接线连通性

连通图指网络拓扑结构图，连通的检测为在命令窗口中输入ping命令，格式为“ping x.x.x.x”，“x.x.x.x”是网络设备的网络地址。如返回信息是“reply from x.x.x.x: bytes=m time

传输延迟是指信息传输过程中，由于要经过的距离远或者一些故障或者网络忙导致传输并没有准时达到目的地，数据在传输之间存在一定程度的传输延迟问题，延迟越小说明性能越好，越大越会影响数据传输的速度。

局域网内测试的合格结果为：丢包率=0并且延迟小于10ms

为了保证测试结果的准确，请不要在测试的途中进行如下载大文件，同时ping其他服务器等操作，否则将会导致测试结果为网络不正常

2． 机房安全性

中心机房应有严格的门禁系统以及完善的管理制度。

3． 网络设备安全性

（1）网络安全设备的范围

网络安全设备包括IP协议密码机、安全路由器、线路密码机、防火墙等，广义的信息安全设备除了包括上述设备外，还包括密码芯片、加密卡、身份识别卡、电话密码机、传真密码机、异步数据密码机、安全服务器、安全加密套件、金融加密机/卡、安全中间件、公开密钥基础设施（PKI）系统、授权证书（CA）系统、安全操作系统、防病毒软件、网络/系统扫描系统、入侵检测系统、网络安全预警与审计系统等。

（2）网络设备的重新配置

应有配置手册对现有的网络及系统配置状况进行描述，并规定要定期进行配置检查，要有具体的执行人员。

（3）对外提供服务区

如果需要对外提供服务，则应将网络划分出对外提供服务区和内部使用的安全内网；不对外的服务器及办公机房的主机放置在内网，对外提供服务的服务器只能放在对外提供服务区。可以使用DMZ，即非军事化区来作为对外提供服务区。图3是用两个防火墙时的DMZ区，图4是用单个防火墙时的DMZ区，在使用单个防火墙时，此防火墙要求有3个端口。

所有对外提供服务的设备都必须放在DMZ区中，Internet或外部网用户访问这些设备都要经过防火墙。

还可以通过防火墙设置，使Internet或外部网用户无法访问内部网络，或者对这种访问配备更多的限定条件。

在网络系统与外部网络接口处应设置防火墙设备；服务器必须放在防火墙后面。

（4）防病毒

具体防范病毒应采用网关防病毒、邮件防病毒、服务器防毒、网络主机防病毒等多种防毒措施的组合，从而形成一个交叉、完善的病毒防护体系。

网关防病毒是通过在防火墙后布置服务器，安装防病毒软件，对采用http、ftp、smtp协议进入内部网络的文件进行病毒扫描和恶意代码过滤。

如果有邮件服务器，则应该根据邮件服务器的软件配置安装相应的防病毒软件。