程维军

摘 要：21世纪是信息化的时代，人们的生产和生活都离不开计算机网络，而随着网络应用越来越多，计算机网络也呈现出了多样性、异构性和复杂性的特点，网络安全问题受到了越来越多的关注。本文以交换机的配置行为为基础，对信息安全问题产生的原因进行了分析，并提出了相应的解决方案，对交换机，构成的网络的普遍网络组织结构进行了介绍，并分析了可信网络的评估要素，以及网络可信性评估的框架。

关键词：可信性；交换机；网络

中图分类号： TP393 文献标识码： A 文章编号： 1673-1069（2016）14-149-2

0 引言

局域网具有易管理、易扩展、高速率、高可靠性的优点，在企业中应用得比较广泛，能够满足企业内部的通信、共享和管理的需求，这也进一步推进了网络互连设备交换机的发展。在交换机使用的过程中必须对安全问题予以高度的重视，保护系统中的数据和网络中的软件和硬件，从而保障企业信息的可用性、完整性和保密性。

1 信息安全产生的原因以及解决方案

在以往的研究中，如何提高网络传输效率是研究者的主要关注点，但是随着互联网的发展，网络环境日益更新，暴露出了更多的网络信息安全问题，网络的可信度也一再降低。网络信息安全的本质就是对信息安全进行保护，其保护对象既包括系统中的数据，也包括软件和硬件，通过网络信息安全能够使软件和硬件避免恶意或偶然原因而遭到破坏，避免系统数据由于网络攻击而泄漏和更改，从而保障系统能够正常运行，避免信息服务突然中断给客户带来损失[1]。

网络具有开放性，很多因素都会对网络安全造成影响，例如网络管理漏洞、操作系统漏洞、网络体系结构重建、不良内容、垃圾软件、计算机病毒、主动攻击、人为误操作等，其中既有人为因素，也有客观因素。对于这些网络安全问题，当前有比较普遍的解决方案主要是安全接入与隔离、VPN 技术、数据加密技术、网络防病毒技术、入侵检测技术、防火墙技术等。鉴于当前越来越多的企业开始应用局域网具有较好的应用效果，交换机能够支持的功能越来越多，交换机之间有了越来越大的关联程度，一定程度上也加大了安全管理的难度。一些企事业单位对局域网交换机的可信性具有较高的要求，但是当前尚未形成对交换机按照预期方式工作的保障，这就需要对监测网络中交换机的异常行为、行为结果和行为过程进行预期和管理，从而提高其可信性。

2 基于交换机配置行为的网络可信性评估的相关技术

2.1 交换机及其相关技术

交换机的基本硬件包括内存、存储器（Flash和NVRAM）、接口模块、交换引擎、CPU。开启交换机之后就会先进行加电自检，也就是对硬件进行检测，然后运行引导程序，加载操作系统，并运行配置文件。交换机的基本功能是转发数据帧，大部分交换机也能够对VLAN功能进行支持。交换机从某个端口中接收网络数据帧，然后对其进行基本处理，在该过程中如果数据有错误就会被交换机丢弃，对于无错误的数据帧，交换机会以其VLAN处理规则为依据对其进行处理。对于没有VLAN标签的数据帧，会由交换机为其打上本地标签。如果数据帧MAC地址不存在交换机的地址列表中，交换机就会自动生成该源MAC地址数据转发表项。如果交换机没有VLAN的目的转发端口，就会对数据帧进行丢弃，否则其可以从端口进行转发。最后交换机会通过端口将数据帧转发出去。当前一些品牌交换机的功能也在不断增加，其配置参数、配置命令和支持功能也有所差别[2]。

2.2 交换网络结构

分布式网络是交换机运行的主要网络环境，网络的状态会受到交换机的不同连接方式的影响，从而影响网络的维护和管理。当前交换网络的一般组织结构主要有两种：层次化网络结构、扁平化网络结构。层次化网络结构也就是将网络整体划分为各组织单位，从而形成不同的层次，各种交换机能够完成不同的工作，不同层次交换机不会相互干扰，其具有配置简单、故障排除便利、结构清晰的优点，在广域网络和大型局域网络中应用的比较普遍。扁平化的网络结构则是以网络结构设计为基础，合并汇聚层和核心层，能够有效地减少网络设备，从而降低其对网络资源的消耗，管理相对便利，一定程度上也提高了交换网络的安全性。

2.3 可信网络评估的要素

在网络可信评估的过程中要使用到3个关键要素，分别为评估指标的描述、网络状态的描述和交换机配置的描述，网络的现状主要使用网络状态进行描述，交换机的关键因子和配置形式则由交换机配置进行描述，对网络环境的需求则由评估指标进行描述。

3 基于交换机配置行为的网络可行性评估框架

3.1 评估框架

交换机的配置决定了交换机的功能，而且还能对网络环境中其他交换机的功能进行改变。配置对象受到配置命令的影响会被细分为配置子对象，其属性值会受到配置命令的影响而改变，但是也有一些属性值不能被修改。这也说明分布式网络环境和配置行为共同对交换机的运行产生影响。由于具有不同的功能需求，分布式网络环境下的交换机配置内容也有所不同，交换机所处的层次和位置不同也会影响其功能。可以使用网络的整体功能和交换机功能来表达用户的可信性期望。

网络中的任意一台交换机功能都不能对网络的整体状态进行反应，要对整个网络进行反应必须通过该网络中所有的交换机功能，这也就是所谓的网络状态。网络状态能够对网络的整体功能进行描述，根据交换机的配置内容并提取相关的对象属性，组成完整的网络状态，网络状态也可以用来描述网络的可信需求，作为一个重要的评估指标。基于交换机配置行为的网络可信性评估框架如图1。

3.2 划分网络状态可信等级

用户认可的可信网络状态的集合可以使用评估指标TT来表示，也就是描述用户的可信需求。本文划分了4个评估指标的可信等级，分别为不可信、可信、一般可信、非常可信，从而对网络状态进行判定。

由于网络状态会受到网络配置行为的影响，最新的网络状态肯定都会发生变化，应该对配置行为进行可信程度评价，从而对应以上的可信程度划分，对网络配置行为的可信等级进行了划分，将其划分为不可信、一般可信、可信、非常可信4个等级。交换机的状态会直接构成网络的状态，因此可以对配置行为和交换机状态之间的关系进行扩展，使其成为配置行为与网络状态的关系，并对网络状态进行划分。如果网络状态原本就有较高的可信程度，并向不高于其可信程度的网络状态转变，那么配置行为的可信程度会有所不同，相反配置行为的可信程度较高。

3.3 可信评估过程

基于交换机配置行为的网络可行性评估，首先，要将交换机的状态提取出来，对组网络中各交换机的配置内容进行收集，从而描述交换机状态因子，组成交换机状态。其次，要将网络状态的样本构造出来。最后，将上一步的网络状态样本输入评估流程，以此为依据将可信指标制定出来，在对网络状态的类别进行判定时可以以该网络状态样本对可信指标的符合程度为依据。

4 结语

随着网络的发展，网络的安全性受到了越来越多的关注，本文在分析信息安全产生的原因，以及交换机、交换网络结构的相关技术的基础上提出了基于交换机配置行为的网络可行性评估的整体框架，通过网络状态的概念来对网络的整体状态进行描述，该框架的配置数据为交换机的配置内容，能够对网络状态数据集进行处理，从而对网络状态的可信程度进行判定，对配置行为的可信程度进行评估。

参 考 文 献

[1] 马军煜，赵知劲，叶学义.一种可信网络节点行为证据监测与管理机制[J].计算机应用研究，2011（08）.

[2] 蒋泽，李双庆，尹程果.基于多维决策属性的网络用户行为可信度评估[J].计算机应用研究，2011（06）.