前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇计算机体系结构范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词:计算机体系结构;软件模拟技术;发展;措施
随着现代信息技术的飞速发展,计算机已经成为系统设计及信息处理的核心工具。体系结构软件模拟技术对于计算机系统而言是必不可少的技术手段,通过体系结构软件模拟技术能够不但最大程度的降低系统设计的费用以及时间,而且也极大提高了设计效率和质量。计算机体系结构软件模拟技术说白了就是通过现有的计算机应用软件,对系统硬件在计算机系统结构中的使用情况以及性能进行模拟,由于计算机体系结构软件模拟技术具有一定的技术优势和成本优势,因此,其目前已经成为计算机系统设计中必不可少的手段。在分析计算机体系结构软件模拟技术研发过程中所遇到问题的同时,也提出了解决问题的有效策略。
一.计算机体系结构软件模拟在研发中存在的问题
计算机体系结构软件模拟技术m然具有一定的优势,但也有一定的技术难题制约着其发展,例如计算机体系结构软件模拟器的开发难度大、软件模拟器的处理精度较差等。
(一)计算机体系结构软件模拟器的研发具有一定的难度
众所周知,计算机信息处理系统及其复杂,如果仅通过软件模拟器就想体现其在运行过程中,计算机系统内部各个部件的工作状态,几乎是不可能的。将复杂化的计算机系统进行简单化处理最有效的方式就是对计算机系统进行分层处理。而体系结构就是在这个基础上简化了系统,但经过分层处理之后的计算机系统,对于人们研究来说还是很复杂。另外,当前计算机系统的编程语言都是采用串行结构的C语言,利用C语言对系统内部元件进行模拟,不但耗时严重,而且如果中间一旦出现失误,那么整个编程语句将无法运行[4]。
(二)模拟器的处理精度较差
软件模拟器的运行精度较差主要是因为模拟器在研发过程中的设计不合理,或者是模拟器没有应用合理的策略。软件模拟器的开发主要经历三个步骤,首先是模拟器在理论上的研究及设计思路,其次是设计符合计算机系统的模拟器,最后则是实现模拟器的正常功能。软件在研发的过程中如果出现失误,对于第一个步骤而言,很有可能出现不能够正确分析计算机系统的各种模拟需求。对于第二个步骤而言,所造成的设计失误极有可能就是不能够正切构建计算机系统的内部,导致模拟器的错误设计。另外,模拟器的运行时间也会影响模拟器的使用精度,运行时间越长,则使用精度就越差。总而言之,计算机体系结构软件模拟器的设计之所以对软件模拟技术很重要,则是因为其还是计算机系统设计中的重要内容。甚至可以说,软件模拟器的质量决定者计算机处理器的设计质量和效率。
二.解决计算机体系结构软件模拟技术研发问题的措施
(一)降低计算机系统性能测试程序中的输入参数
为了缩短对模拟器的性能测试的程序运行时间,首先要在不改变标准化的计算机系统性能测试中的运行指令的前提下,对计算机系统性能检测程序中的输入参数进行科学合理的更正,这种方式不仅能够利用少量的输入参数使模拟器正常运行,而且还保证了模拟器运行结构准确代表计算机系统各个程序指令的模拟运作结果,不仅提升了模拟器运行的精度,而且还有效的降低了模拟器在运行性能检测程序过程中的运作时间[5]。
(二)减少运作模拟程序指令数量
在对计算机体系结构软件的性能进行标准性能检测程序的过程中,要科学合理的采用正确的模拟程序指令进行操作,并用这些指令运作的结果代替原有的运作结果。经研究发现,准确的模拟程序指令是提高模拟运作速度和精度的最佳方法。通常情况下,可利用统计方式抽样选择运行程序指令和直接性截获连续程序指令这两种方式选择运作模拟程序指令。其中,直接性截获连续程序指令的操作过程与统计方式抽样选择运行的程序指令方式相比较为容易,但缺点就是精度低,而统计方式抽样选择运行程序指令虽然操作过程较为复杂,但其模拟精度高。
三.总结
随着计算机系统更新频率的加快,计算机体系结构软件模拟技术的重要性日益凸显,从上述内容可得知,计算机体系结构软件模拟技术的工作内容主要是针对计算机中央处理器以及计算机系统设计。模拟技术水平在很大程度上影响着计算机系统的设计效果和计算机处理器的制作水平。其次,由于计算机体系结构软件模拟技术具有一定的优势,所以其注定将成为信息时代人们关注和研究的重点问题。而计算机体系结构软件模拟技术也必将会计算机体系结构的重点技术。
参考文献
[1]李振.浅析计算机体系结构软件模拟技术[J].大科技.2016(3).
[2]闫雨石.计算机体系结构软件模拟技术浅析[J].工业.2016(9):00262-00262.
关键词:计算机体系结构;教学方式;课程内容;卓越工程师
作者简介:李旎(1978-),女,浙江温州人,湖南城市学院信息科学与工程学院,讲师;吴宏斌(1964-),男,湖南益阳人,湖南城市学院信息科学与工程学院院长,教授。(湖南 益阳 413000)
中图分类号:G642.0?????文献标识码:A?????文章编号:1007-0079(2012)31-0079-01
2010-2020年,中国“卓越工程师教育培养计划”将用10年时间,培养百万高素质各类型工程技术人才,为建设创新型国家、实现工业化和现代化奠定人力资源优势。“卓越计划”具有三个特点:一是行业企业深度参与培养过程,二是学校按通用标准和行业标准培养工程技术人才,三是强化培养学生的工程能力和创新能力。本文就第三点,以“计算机体系结构”课程为例,提出了从课程内容与教学方式两方面进行课程教学模式的创新,以提高学生工程能力与创新能力的一些探索。
“计算机体系结构”是计算机科学与技术专业的一门基础和必修课程,覆盖了计算机组成原理、操作系统、编译原理、数据结构、数字电子技术、模拟电路基础等方面的内容。课程的目的是帮助学生建立整机系统的概念,提高学生从总体结构的层次来理解和研究计算机系统的能力。
“计算机体系结构”不仅是计算机专业研究生入学考试的专业课程之一,也是其他计算机类考试的必选内容。目前的计算机类考试主要是以下两种:软件水平考试,分初级、中级和高级三个级别;IT认证考试。无论哪种考试都涉及计算机体系结构的内容。比如,系统分析师考试大纲就要求学生了解各种计算机体系结构的特点与应用(SMP、MPP等),构成计算机的各类部件功能及其相互关系;实现性能计算(响应时间、吞吐量、TAT),性能设计(系统调整、Amdahl解决方案、响应特性、负载均衡)和性能指标(SPEC-Int、SPEC-Fp、TPC、Gibson mix、响应时间)。这从一个侧面说明,“计算机体系结构”是一门非常重要的计算机专业课程,对提高计算机专业学生的分析、计算和设计能力有很大的帮助。但是,在实践教学中,发现这门课程存在内容抽象、语言枯燥、学生难以理解等问题,因此教学难度大,效果也不尽如人意。为了做好“计算机体系结构”课程的教学,培养出高素质的计算机专业学生,我们改变了传统单一的教学模式,从教学方式和课程内容两个方面来改进课程教学。
一、教学方式的改进
1.启发式课程教学
启发式教学是指教师在教学过程中根据教学任务和学习的客观规律,从学生的实际出发,采用多种方式,以启发学生的思维为核心,调动学生的学习主动性和积极性,促使他们生动活泼学习的一种教学方式。
在教学中,先给学生设置悬念,然后再讨论需要讲解的内容,从而提高学生的兴趣。Nancy M.Dixon指出:我们能够记住所听到的10%,所看到的15%,边看边听的20%,做的10%,积极去做并得到响应的80%,给他人讲授的90%。所以,在常规教学中,学生能掌握的知识是有限的,需要创造情景,使学生积极地做并进行响应,若能转换成学生自己也能讲授的程度则更好。教师经常要求学生自问:如果自己是老师,会怎么讲这些内容,并要求在学生之间互相扮演教师和学生的角色,讲述课程内容。如在讲述流水线技术的过程中,笔者先向学生提出:为什么要采用流水线技术,怎样实现流水线,它与工程上的流水线有何相关。课堂中,首先以经典的五段式流水线为例,和学生一起探讨这个问题;然后,鼓励他们积极思考,踊跃发言;最后,由他们推出一位学生做总结性的发言。现场气氛活跃,课堂效果非常好。在期末考试中,关于流水线方面的知识,大部分学生均拿了满分。
2.量化分析教学
培养从总体、系统的角度来分析和解决问题的能力以及自主创新能力,对学生的成长和未来发展有很大的影响,“计算机体系结构”特别强调培养学生的这一种能力。“计算机体系结构”一般安排在大学四年级开始,需要学生在学完主要的软硬件基础课程后,从整体系统、总体设计的角度来理解和研究计算机系统,学习如何根据各种实际应用的需要,综合考虑软硬件,设计和构建合理的计算机系统结构。“计算机体系结构”课程中多是抽象的概念和原理,这些内容不被学生理解,且有限的实验环境也限制了学生自主创新能力的培养,但是,如果将研究对象转换成可以运算的数据,并对这些数据进行分析是完全可行的,这就是量化分析方法。
前人对量化分析法的定义和特点阐述主要有:量化研究遵循的是实证主义,它应用量的方法以验证假设;量的研究是指研究者事先建立假设并确定具有因果关系的各种变量,然后使用某些检测工具对这些变量进行测量和分析,从而验证预定的假设。“计算机体系结构”是从整体上研究由处理系统、指令系统、存储系统、信息传输系统构成的有机系统,其目的是设法提高整个系统的性能。对性能的分析主要就是采用量化分析法,将问题简化、精确化和客观化,使抽象的知识也变得形象起来。如在探讨计算机加速比S的过程中,以时间t为标准,比较计算机改进前与改进后的时间比值。实践证明,这样的效果非常好。
二、课程内容的改进
1.“计算机体系结构”课程和“计算机组成原理”课程有很多相似的地方
这两门课程都讲授输入输出系统、存储部件、数据表示等,但“计算机组成原理”作为一门硬件课程主要强调其基本运行原理,而“计算机体系结构”强调性能优化方法;“计算机组成原理”强调其细节,而“计算机体系结构”则强调的是软硬件的分配,及对性能的影响。现在有些专业中,在“计算机组成原理”中涵盖计算机体系结构的内容,有些专业则单独开设这两门课程。必须合理划分两门课的内容,组织教学内容和教学计划。现在,“计算机体系结构”课程主要讲述内容为流水线技术和存储技术,并对嵌入式系统方向的学生加强了存储技术中虚拟存储系统的讲授。
2.强调知识的更新和发展
计算机技术是发展最快、应用最广、影响最大的学科之一,“计算机体系结构”知识也在日新月异发展着。近年来多核技术、虚拟机、复杂存储系统和先进互联技术的发展使经典的计算机体系结构内容有了很大的更新。怎样运用有限的课堂时间,使这些复杂技术与经典体系结构知识点融合,是教学内容改革的主要任务。
同时,就是同一门课程,不同的作者所编著的教材的内容和侧重点都有很大的不同,如张晨曦所编著的《计算机系统结构》Catch部分,偏重于Catch性能的分析与优化,而李学干的《计算机体系结构》,则偏重于Catch系统的结构,且着重描述了虚拟存储器的结构和功能。
所以,教学中既不能照本宣科,也不能脱离书本,根据专业方向的不同,有选择性地进行讲授,同时将一些新技术、新知识、新产品以及最新的发展动态,融入课堂教学中。
3.加强实验教学环节
实验是任何科学创新的源和本。在学校教学工作中,理论课和实验课是教学体系中两个互相有联系的独立环节,要重视实验,决不能把实验课看成是理论课的依附。
计算机专业作为一门应用型专业,需加大培养学生的动手能力,激发他们的创新潜能,通过实验将课堂和实践结合,改善理论教学枯燥、单调的情况。现在“计算机体系结构”课程实验学时仅8个学时,而很多著名的高等院校如同济大学的实验环节已增加到了24学时,很值得借鉴。
三、结束语
人才是一个国家发展最重要的资源,能否培养出有优秀工程能力和创新能力的人才,最后的关键还要看是否有一个科学的课程体系和教学内容。探索说明,只有不断改进课程教学,才能培养出更多的高素质人才,实现我国的“卓越计划”。
参考文献:
[1]于永斌,徐洁,吴晓华,等.多核时代的“计算机系统结构”课程[J].计算机教育,2011,(6).
[2]张晨曦,刘依.探索新的教学模式和方法,建设计算机系统结构精品课程[J].计算机教育,2007,(12).
关键词 计算机;网络;体系;机构
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)69-0185-02
0引言
几十年来,计算机网络发展相当迅速。但计算机网络的实现要解决很多复杂的技术问题:支持多种通信介质,比如双绞线、同轴电缆、光纤、微波、红外线等;支持多厂商、异构互联,包括软件的通信约定以及硬件接口的规范;支持多种业务,比如批处理、交互分时、数据库等;支持高级人机接口,满足人们对多媒体日益增长的需求。正如结构化程序设计中对复杂问题的模块化分层处理一样,在处理计算机网络这种复杂系统时所采用的方法就是把复杂的大系统分层处理,每层完成特定功能,各层协调起来实现整个网络系统的功能。计算机网络体系结构就是介绍计算机网络中普遍采用的层次化网络研究方法。
1计算机网络体系结构的基本概念
1.1通信协议
在网络系统中,为了满足数据通信的双方准确无误的进行通信,这就需要我们根据在通信过程中产生的各种问题,制定一系列的通信双方必须遵守的规定,这就是我们所说的通信协议。从通信协议的表现形式来看,它规定了交互双方用于通信的一系列语言法则和语言意义,这些相关的协议能够规范各个功能部件在通信过程中的正确操作。
1.2实体
每层的具体功能是由该层的实体完成的。所谓实体是指能在某一层中具有数据收发能力的活动单元(元素)。一般就是该层的软件进程或者实现该层协议的硬件单元。在不同系统上同一层的实体互称为对等实体。
1.3接口
上下层之间交换信息通过接口来实现。一般使上下层之间传输信息量尽可能少,这样使两层之间保持其功能的相对独立性。
1.4服务
服务就是网络中各层向其相邻上层提供的一组功能集合,是相邻两层之间的界面。因为在网络的各个分层机构中的单方面依靠关系,使得在网络中相互邻近层之间的相关界面也是单向性的:下层作为服务的提供者,上层作为服务的接受者。上层实体必须通过下次的相关服务访问点(Service Access Point,SAP),才能够获得下层的服务。SAP作为上层与下层进行访问的服务场所,每一个SAP都会有有自己的一个标识,并且每个层间接口可以有多个SAP。
1.5服务原语
网络中的各种服务是通过相应的语言进行描述的,这些服务原语可以帮助用户访问相应的服务,也可以像用户报告发生的相应事件。
服务原语可以带着不同的参数,这些参数可以指明需要与那台服务器相连、服务器的类别、和准备在这次连接上所使用的数据长度。假如被呼叫的用户不同意呼叫用户建立的连接数据大小,它会在一个“连接响应”原语中提出一个新的建议,呼叫的一方能够从“连接确认”的原语中得知情况。这样的整个过程细节就是协议内容的一部分。
1.6数据单元
在网络中信息传送的单位称为数据单元。数据单元可分为:协议数据单元(PDU)、接口数据单元(IDU)和服务数据单元(SDU)。
1)协议数据单元
不同系统某层对等实体为实现该层协议所交换的信息单位,称为该层协议数据单。
其中:协议控制信息,是为实现协议而在传送的数据的首部或尾部加的控制信息,如地址、差错控制信息、序号信息等;用户数据为实体提供服务而为上层传送的信息。考虑到协议的要求,如时延、效率等因素,对协议数据单元的大小一般都有所限制。
2)服务数据单元
上层服务用户要求服务提供者传递的逻辑数据单元称为服务数据单元。考虑到协议数据单元对长度的限制,协议数据单元中的用户数据部分可能会对服务数据单元进行分段或合并。
3)接口数据单元
在同一系统的相邻两层实体的一次交互中,经过层间接口的信息单元,称为接口数据单元。
其中,接口控制信息是协议在通过层间接口时,需要加一些控制信息,如通过多少字节或要求的服务质量等,它只对协议数据单元通过接口时有作用,进入下层后丢弃;接口数据为通过接口传送的信息内容。
1.7网络体系结构
网络体系结构就是以完成不同计算机之间的通信合作为目标,把需要连接的每个计算机相互连接的功用分成明确的层次,在结构里面它规定了同层次进程通信的协议及相邻层之间的接口及服务。实际上网络体系结构就是用分层研究方法定义的计算机网络各层的功能、各层协议以及接口的集合。
2网络体系结构的分层原理
当今社会上存在这各个年代、各个厂家、各个类型的计算机系统,如果将这不同的系统进行连接就必须遵守某种互联标准规则。为了减少协议设计的复杂性,大多数网络都是按照层的方式来组织的。
在网络的各个不同分层结构中,每一层都要服务于它的上层,并且呀说明服务对象的相应接口,上层只不过是利用下层所提供的服务和相关的功能,不用知道下面的层次为了此次服务到底采用了什么样的方法和相关的协议,下层也仅仅是知道上面一个层次传送过来了什么参数,这就是层次间的无关性。处在各个不同的系统里面的相同层次之间的实体之间没有什么直接的相互通信的能力,它们的通信必须经过相邻近的下面层次和更加下层的各种通信来完成。分层结构的优点如下:
1)独立性强。各个层次之间有具体的分工,独立性是指被分层的具有相对独立功能的每一层只要知道下面的层次能够为自己提供的服务是什么和自己向上面一个层次能够提供什么服务就好,不用知道下面的层次为自己提供的服务需要什么方式;
2)适应性强。层与层之间是相互独立的,一层内部发生了变化并不影响与他相连接的其它各层;
3)易于实现和维护。整个大的系统进行分层后,一个复杂的系统被分解成很多个功能单一、范围较小的子系统,每一个层次仅仅实现了与自己相关的功能,不仅仅让复杂的系统变得清晰明了,也是网络系统中各个环节的实现和调试变得简单和容易。
3结论
计算机网络的体系复杂,各个层次间的联系多种多样,相信只要学习好现有的体系结构,一定能够应对各种网路体系问题,由于作者本身经验和知识层次的欠缺,文中难免会出现不合理之处,望作者批评指正。
参考文献
关键词:计算机网络;安全体系;框架结构;安全管理;应用
1计算机网络安全体系的相关内容
1.1在组成部分方面
第一,防火墙技术。在网页与网页之间的关卡上,通过安装防火墙,分组过滤,对网络内外部的通信进行监视。第二,口令管理。各个用户需要设置口令,这个口令的性质与密码差不多,用户可以设置密码,但是密码尽量以数字加字母为主。第四,病毒防护。通过防火墙技术或杀毒软件的安装,可以对服务器和终端的状态进行实时查询和分析。第五,系统管理,要定期打系统补丁和服务器安全检测工作,如果发现问题,要做到修补漏洞工作,必要时也可以讲不相关的账户进行删除处理。
1.2在结构方面
首先,安全服务。在数据的传输和处理中,要提供安全的方法手段。在网络运行过程中,要对各个部分提供安全性保障。首先,要确保系统自身的安全性,给予系统过程中各个部分的安全一定的保障。其次,确保系统技术的安全。总之,作为重要的安全服务措施之一,促进数据传输和处理工作的顺利进行。其次,安全机制。对于安全机制来说,是实现安全服务目标的重要举措之一。对于安全机制来说,属于一些程序的设定,可以给予程序的安全运行一定的保障。安全性机制,是操作系统和软硬件功能部件整合的成果,与管理程序和软硬件功能部件的整合之间也有着一定的联系性,在信息系统中,任意部件检测,都可以确保系统中程序的安全运行。
2计算机网络安全体系的三维框架结构分析
在分析计算机网络安全体系的一种框架结构中,主要围绕三维框架结构体系进行,进而发挥出三维框架结构体系的作用,给予计算机网络安全体系一定的保障。借助三维框架结构体系,在分析计算机网络安全问题时,要深入分析网络结构设计,确保高度的可靠性,结合X、Y、Z等层次,从而为分析网络安全体系提供一定的便利性。第一,X安全服务方面。在安全服务层面的设计过程中,所涵盖的内容主要包括可用性、访问控制以及认证等。在安全服务层面设计过程中,对于可用性来说,主要是指网络数据信息是否可用,并且是否会影响到系统的安全性,旨在确保系统的安全运作;而对于数据保密性来说,主要是指数据传输方面的内容,这对于计算机网络的应用至关重要;而对于认证来说,主要是指Internet相关信息的认证,通过有效认证,为数据访问的安全性创造一定的条件。第二,Y协议层面。在协议层面的应用,与应用层、网络层以及物理层之间有着可紧密的联系,这是网络安全体系构建的重要的内容。协议层面的建设与系统通信模型的构建,这两者之间的关系是紧密联系、密不可分的,主要围绕TCP/IP协议进行,从而给予系统安全性强有力的保障。第三,Z实体单元层面。在实体单元层面中,与计算机网络安全、应用系统安全等关系,是息息相关的,在三维框架结构中,实体单元层面是重要的构成内容,在应用过程中,针对计算机网络的各个层面,要进行深入分析,确保计算机网络的安全运行。通过实体单元层面的应用,对于有效管理网络安全具有极大的帮助,进而与计算机网络系统的安全需求相适应[1]。对于计算机网络安全三维框架结构,在利用三维框架结构过程中,以物理层、计算机网络安全为例,可以看出,在计算机系统应用过程中,通过物理层,可以有效认证计算机网络安全,确保系统的高效化运作。主机网络安全在访问认证过程中,要选择相应的协议,有效控制访问,进而与安全性需求相符合。在三维框架结构体系应用过程中,可以保证相关操作的安全性和可靠性。
3计算机网络安全体系的框架结构的具体应用
在计算机网络安全体系建设中,三维框架结构体系发挥的作用不容忽视,在网络安全建设过程中,可以有效管理网络管理。计算机网络安全框架结构的应用,必须要对计算机网络发展的特点进行深入分析,不断增强应用的可针对性。比如可以对计算机网络安全进行细分,进而给予网络安全一定的保障。
3.1端系统安全管理分析
在三维框架结构体系应用过程中,端系统安全管理的应用至关重要,端系统安全管理,对自身端系统的管理,给予了高度重视,制定相应的安全防范措施。比如:用户可以结合Windows操作系统[2],加强防火墙和杀毒软件的应用,避免安全隐患的出现。用户在端系统安全管理过程中,必须要严格管理通信端口,全方位、多角度领域地监督和控制信息传输端,确保信息传输的畅通无阻,将安全隐患保持在萌芽状态内。
3.2通信安全管理
在应用三维框架结构体系中,必须要高度重视通信安全管理。计算机网络自身具有一定的开放性和匿名性,极容易导致网络安全隐患的出现。数据信息在通信的带动下,实现了传输,大大提高了计算机网络的安全性,所以要想更好地处理和解决网络安全隐患,必须要高度重视通信这一层面。3.2.1加强网络安全性的评估网络安全性的评估,必须要集中在网络设备、用户操作等方面,给予通信安全性一定的保障。网络安全性的评估,可以对用户通信安全状况进行检测,并深入分析其中存在的安全隐患,维护好通信的安全性和稳定性。现阶段,在评估网络安全过程中,要加强态势感知技术的应用[3],对相应的网络安全防护设备进行部署,并有效判断信息传输情况,做到防患于未然。3.2.2加强网络入侵检查对于网络安全问题的出现,网络入侵是重要的影响因素之一。在网络入侵检查过程中,必须要有效检测网络安全问题。基于网络通信视角进行分析,网络通信主要运用了TCP/IP协议。在网络入侵检查过程中,必须要正确判断访问的合理性,如果出现非法问题,要及时进行阻止,并进行一定的提示,从而更好地处理网络安全问题。
3.3应用系统安全管理
对于应用系统来说,是计算机用户处理事物的重要系统之一,在应用系统进行安全管理过程中,必须要及时修复好漏洞问题。要求要加强安全管理系统的构建,针对系统中存在的安全漏洞,加大管理力度。其中,要积极构建应用层或网关,不断提高计算机通信管理服务职能。应用层或网关,在通信安全管理中,主要结合统一的认证服务,进而使授权的用户可以访问使用信息。
结束语
总之,现阶段,计算机网络技术,已经得到了广泛的应用和推广,在计算机网络安全体系中,必须要高度重视三维框架结构体系的应用,不断提高数据信息传输的安全性和稳定性,并避免网络安全隐患的出现。
b[1]康志辉.计算机网络安全体系的一种框架结构及其应用[J].福建师大福清分校学报,2016(5):22-26.
随着计算机/通信网络技术的迅速发展及其在军事领域的广泛应用,计算机网络与作战越来越联系紧密,已成为新的作战空间。计算机网络对抗作为一种新型的作战手段在现代化战争中将发挥越来越大的作用,因此计算机网络对抗体系结构作为计算机网络对抗的基础,显得尤为重要,并越来越受到重视,大量学者开展了相关的研究。李雄伟[1]等研究了网络对抗效能的评估指标体系,并设计了网络对抗体系结构,由信息支援、信息攻击和信息防护3部分组成。陈文斌[2]基于设计了协同网络安全对抗模型,由安全攻击、安全机制和安全服务三者构成。刘海燕[3]等基于高层体系结构(HLA)在HLA标准下构建了网络对抗仿真系统的层次模型,用对象模型模板(OMT)表格的方式对网络对抗仿真系统进行了描述。王付明[4]等认为网络对抗技术体系是一个灰色系统,并针对网络对抗技术能力的抽象性和难以度量性,采用灰色关联分析方法建立了网络对抗技术能力评估模型。卢云生[5]分析了计算机网络战的作用和对象,探讨了信息战背景下计算机网络攻击系统的组成和作用,提出了计算机网络攻击体系结构,由网络侦察技术、网络攻击技术、网络对抗数据库3部分组成。这些研究成果,从网络对抗评估指标、安全对抗模型、网络对抗仿真以及网络对抗技术体系等方面进行了研究,推动了网络对抗技术的发展,于网络对抗技术在网络中心战中发挥重要作用,但是作为一种作战手段,计算机网络对抗需要成体系、成系统地进行全面研究和建设,而不能仅仅依靠某一方面的技术。为此,设计了计算机网络对抗体系结构,包括系统体系结构和技术体系结构,并基于该体系结构设计了典型的计算机网络对抗试验环境。通过该体系结构的研究,可推动计算机网络对抗技术成体系的发展,有力地支撑信息时代的网络中心战。
1计算机网络对抗体系结构
1.1系统体系结构
计算机网络对抗是作战双方针对可利用的计算机网络环境,在计算机网络空间所展开的各类对抗活动的总称,是以该环境中的计算机终端、交换机、路由器以及它们构成的网络为作战对象,以先进的信息技术为基本手段获取制信息权,以赢得局部战争的胜利为最终目的。计算机网络对抗包括瓦解、破坏敌方计算机网络以及保护己方计算机网络所采用的技术、方法和手段等。为此设计计算机网络对抗系统体系结构如图1所示,计算机网络对抗系统由网络攻击、网络防御、对抗评估以及对抗指挥4部分构成。网络攻击在对抗指挥的统一控制和指挥下开展对敌方计算机网络的攻击,以获取敌方计算机网络的相关信息(包括拓扑结构、节点位置、应用协议、传输的信息等)或破坏敌方计算机网络为目的,承担对抗指挥的攻击职能。为了实现网络攻击职能,网络攻击系统应该由网络侦察、情报处理、攻击决策、网络进攻等子系统构成。网络侦察子系统通过一定的技术手段获取敌方计算机网络的相关信息,包括拓扑结构、存在的漏洞、运行模式等,为网络进攻奠定基础。情报处理子系统是对网络侦察子系统获取的信息进行综合加工,提取可用于攻击的漏洞或缺陷等信息。攻击决策是在情报处理基础上,根据敌方计算机网络存在的漏洞或缺陷等信息,选择相应的攻击技术和设备,组织对敌网络进行攻击。网络进攻子系统由各种计算机网络攻击设备组成,根据攻击决策子系统的指令,直接开展对敌计算机网络攻击。网络防御是在对抗指挥的统一控制和指挥下开展对我方计算机网络进行防护,以保障我方计算机网络的正常运行和信息的安全传输,承担对抗指挥的防御职能。为了实现网络防御职能,网络防御系统由脆弱分析、终端防护、网络防护以及协议安全等子系统构成。脆弱分析子系统根据我方计算机网络的拓扑结构、运行协议、运行模式、组织应用等情况,通过综合分析,挖掘我方计算机网络存在的脆弱性和安全需求,为终端防护、网络防护以及协议安全提供支撑。终端防护根据计算机网络中终端的特点,如操作系统类型、存在的漏洞、应用系统、硬件平台等,采取相应的防护手段,确保终端的安全,保障应用系统正常运行。网络防护子系统根据网络拓扑结构、网络协议等,采用多种手段对网络进行综合防护,包括入侵检测、防火墙等。协议安全是针对TCP/IP协议族在设计上存在的缺陷,从协议的角度进行安全增强,弥补TCP/IP等协议的缺陷。对抗评估是对抗指挥的统一管理和控制下,对网络攻击系统以及网络防御系统进行效能和安全性评估,使更有效的发挥其功能。对抗评估系统由效能评估、安全测试、对抗测试、模拟仿真等子系统构成。效能评估子系统是在攻击效能评估指标体系下对网络攻击系统的攻击效能进行评估,以便对网络攻击系统的作战能力进行评价。模拟仿真子系统是通过模拟仿真手段构造敌方或者我方计算机网络,便于评估和测试网络攻击系统以及网络防御系统的作战效能。安全测试子系统是根据相关的安全防护标准以及指标体系对网络防御系统的防御能力进行测试。为了进一步评估网络防御系统的作战效能,对抗测试子系统采用网络对抗的测试方式和环境,测试网络防御系统的防御能力。对抗指挥是整个计算机网络对抗系统体系的核心,承担整个对抗系统的指挥控制职能,保障整个对抗系统的有序正常运行和作战效能的发挥。对抗指挥系统由设备管理、指挥控制、态势处理和应急响应四部分构成。设备管理是对所有的攻击设备、防护设备和评估设备进行统一管理和控制,包括相应策略的下发。指挥控制是通过协调和调动所有相关设备对敌进行协同攻击,对我方网络进行协同防护,充分发挥所有设备的作战效能。态势处理通过收集敌方计算机网络的相关信息和我方计算机网络的相关信息,做到知己知彼,并进行直观的展示,辅助作战人员进行指控控制。应急响应通过感知计算机网络中所发生的紧急事件,并以此作为多种应急预案选择的依据,从而确定相应的处置过程,以保障计算机网络在多种紧急情况下能够正常运行。
1.2技术体系结构
根据计算机网络对抗系统体系结构,设计网络对抗技术体系结构如图2所示,计算机网络对抗技术体系结构由网络攻击、网络防御、网络评估、对抗指控四部分技术构成。网络攻击技术包括物理攻击技术、能量攻击技术、病毒攻击技术、拒绝服务攻击技术、密码分析技术、协议攻击技术等。物理攻击技术主要以硬杀伤为主要手段,攻击敌方计算机网络中的重要部件或接口装备,特别是破坏计算机的中央处理器、硬盘、存储芯片等,具有彻底性和不可逆性。能量攻击技术主要是采用诸如电磁脉冲炸弹等的高功率武器或设备,破坏敌方计算机网络中的通信装备或基础设施,导致敌方计算机网络瘫痪。病毒攻击技术利用对方计算机网络存在的漏洞,通过植入病毒木马等方式,攻击敌方计算机网络。拒绝服务攻击技术就是利用对方计算机网络存在的缺陷,通过发送大量攻击报文或控制对方网络的重要设施,导致对方计算机网络不能提供正常服务。密码分析技术是加密技术的逆过程,是通过对方的密文等信息,获取相应的明文或者加密算法、参数以及密钥等。协议攻击技术就是利用计算机网络通信协议本身的缺陷,攻击对方计算机网络的方法,如ARP协议攻击等。网络防御技术包括访问控制技术、入侵检测技术、安全审计技术、防火墙技术、终端监控技术、防病毒技术以及加密技术等。访问控制技术就是通过一定的技术手段实现主体对客体的有序合法访问,防止非法或越权访问,常见的访问控制技术包括强制访问控制MAC、自主访问控制DAC、基于角色访问控制RBAC以及基于身份访问控制IBAC等。入侵检测技术是通过模式匹配、关联分析等手段,发现网络中可能存在的攻击行为或事件,为联防联动提供支撑。安全审计技术通过收集和分析各种安全日志或者网络中传输的数据或者操作者的行为,以挖掘各种攻击事件或违规行为,实现事后追踪和责任认定。防火墙技术基于五元组(协议类型、源地址、源端口、目的地址、目的端口)对网络中传输的数据进行过滤和控制,防止非法数据在网络边界的流动。终端监控技术基于操作系统提供的各种函数或接口,实现对终端各种外部接口以及资源(如硬盘、光驱、CPU等)的监控。防病毒技术通过特征码匹配以及智能识别等手段检测计算机网络中存在的病毒,并对病毒进行处理,避免病毒的破坏。加密技术基于相应的加密算法将明文转化为密文,防止重要信息的泄露。网络评估技术包括基线扫描技术、对抗测试技术、攻击效能评估技术等。基线扫描技术是在获得授权的情况下对系统进行检测,并将目标设备或网络与相应的安全标准进行对比,以评估目标设备或网络的安全性。对抗测试技术通过专业测试人员模拟入侵者常用的入侵手法,对被评估设备或网络进行一系列的安全检测,从而发现评估对象存在的安全问题。攻击效能评估技术通过模拟仿真或实物的方式对攻击设备进行测试,获取攻击设备的作战效能,评估可能对敌计算机网络造成的破坏。对抗指挥技术包括设备管理技术、应急处置技术、指挥调度技术、态势处理技术等。设备管理技术通过统一的接口规范收集攻防设备的信息,并下发相应的攻防策略,实现对所有的设备的统一管控。应急处置技术通过制定应急响应预案以及相应的资源调度策略等,实现紧急事件处理的方法,保障计算机网络能够应对各种突发事件。指控调度技术通过提供相应的人机界面,提供攻防人员对攻防设备的控制,实现多种攻防设备的协同作战和有序调度。
2计算机网络对抗试验环境
基于计算机网络对抗体系结构,设计网络对抗试验环境如图3所示,主要由网络对抗系统、网络防御系统、对抗评估系统以及对抗指挥系统组成。基本的网络对抗系统由攻击决策设备、情报处理设备、网络侦察设备以及相应的攻击设备构成。基本的网络防御系统由终端监控系统、入侵检测设备、防火墙、安全审计设备等构成。基本的对抗评估系统由安全测试设备、攻击效能评估系统、对抗测试系统以及相应的模拟仿真设备构成。基本的对抗指挥系统由态势处理服务器、指挥控制系统、设备管理服务器以及应急响应服务器构成。(1)网络防御试验流程在进行网络防御试验时,需要综合应用对抗指挥系统、对抗评估系统甚至网络对抗系统的相关设备进行试验,其大体流程如下:①指挥控制系统根据安全防御需求,生成相应的网络防御方案,包括网络防御设备清单以及设备的部署图;②根据网络防御方案,部署相应的网络防御设备;③设备管理服务器为所有网络防御设备配置安全策略,并使所有网络防御设备开始工作;④网络对抗系统的攻击设备发出各种攻击,网络防御设备检测和抵御这些攻击,并将相应信息上报到态势处理服务器;⑤通过态势处理服务器可以直观得到网络防御的性能和强度,必要时可以将这些信息输入到对抗评估系统进行评估。(2)网络对抗试验流程在进行网络对抗试验时,需要综合应用对抗指挥系统、对抗评估系统以及网络防御系统的相关设备,大体试验流程如下:①指挥控制系统根据试验目的,生成相应的网络防御图,包括网络防御设备以及对应的安全策略;②根据网络防御图部署相应的网络防御设备,并有指挥控制系统发出攻击测试开始指令;③网络侦察设备开始扫描目标网络,并把获取的信息上报到情报处理设备;④情报处理设备对这些信息进行分析,获取目标网络存在的漏洞或缺陷,并上报给攻击决策设备;⑤攻击决策设备根据发现的漏洞和缺陷,以及网络对抗系统具备的攻击能力,组织相应的攻击设备开始攻击;⑥攻击设备开展攻击操作,并把攻击结果或获取的信息上报给攻击效能评估系统;⑦攻击效能评估系统对攻击效能进行评估,并把评估结果上报给态势处理服务器,进行直观展现。