安全边界控制范文（精选9篇）

安全边界控制 第1篇

关键词：异构多核,片上总线,硬件隔离,密码服务区,安全边界控制

随着通信技术的发展, 信息安全问题愈发突出。安全So C是加密技术与片上系统So C (System on Chip) 技术相结合的产物, 是执行密码运算、提供密码服务、保证数据安全的可信控制平台。采用安全So C芯片作为密码处理设备具有安全性高、密码运算速度快、使用方便等特点。而随着侧信道能量攻击和电磁攻击等攻击技术的发展, 安全So C芯片的自身安全受到严重威胁, 系统自身的安全成为未来信息系统设计的核心问题之一。参考文献[1]中对So C芯片进行功能块划分, 设计固件防火墙保护敏感信息的安全, 可以对任何So C设备进行保护。ARM公司2003年开发的Trust Zone技术[2]为用户提供了一个安全构架, 能够抵抗多种安全威胁, 但其结构要求微处理器提供特殊支持。

通过数据加密、在操作系统中植入安全特性等软件方法, 在有限的嵌入式资源环境下大大增加了系统的复杂性和成本。由于其数据交互的实时性和开放性, 使之无法从根本上实现真正的安全系统。增加安全硬件模块的方法灵活性较差, 需要重新进行硬件设计才能满足新的安全功能, 同时新增的硬件IP加重了设计开销, 增加了系统功耗。

本文针对计算密集型任务和信息安全的系统问题, 基于安全So C芯片设计技术[3,4]和安全硬件结构思想, 从系统、整体的角度来解决安全问题。

1 体系结构

1.1 总体结构

为了满足高性能密码处理需要, 在So C系统中集成更多的处理器核等硬件资源, MPSo C (Multi Processor So C) 己成为片上系统发展的主流, 越来越多面向特定应用的系统采用多核的方式来提升系统的计算能力[5]。多核系统中原来的软件工作量分到了多片处理器上, 对单个处理器性能要求大大降低。而且可以灵活选择处理器以适应不同系统任务的需要, 从而提高软件执行效率[6,7]。

本文设计的多核So C采用精简指令处理器+协处理器结构。如图1所示, 通用RISC处理器负责数据流控制和数据分配, 专用密码协处理器负责密码处理, 两种类型处理器通过高带宽的多层系统总线连接, 通过共享存储器的缓存区进行数据交互。整个芯片分为密码服务区和应用开发区, 两个区域通过用安全控制单元和enhanced AHB-to-AHB (e H2H) 总线桥[8]连接。从图1中可以看出, 整个So C相当于完整的个人终端计算机系统, 而密码服务区相当于TPM (Trusted Platform Module) , 是保障系统安全的关键。

1.2 应用开发区

应用开发区连接各种通信接口, 提供给用户进行开发。整个区域构成主处理器系统, 在任务执行过程中, 用户通过主处理器系统运行的操作系统对整个安全So C芯片进行控制。主处理器系统负责整个应用开发区的设备管理、通信管理及控制任务的处理, 并对应用程序进行调度和划分, 是整个So C系统的控制核心[8]。

如图2所示, 主处理器系统包括通用处理器、DMA控制器、高速系统总线、USB控制器、存储器控制器、低速外设总线与外部设备接口。DMA控制器接受通用处理器的配置控制, 负责大批量数据的传输。存储控制器管理SRAM和Flash存储器, 为提高存储控制器效率和工作频率, 采用独立的通用存储控制器。USB控制器管理USB接口, 负责与外部进行数据快速交换。

1.3 密码服务区

密码服务区提供密码处理服务, 并存储密码算法、密钥等敏感信息。密码服务区构成协处理器系统, 在应用开发区的请求下自动完成密码处理服务。

如图3所示, 协处理器系统包括微控制器、局部总线、专用密码协处理器、随机数发生器、存储控制器和UART控制器。微控制器是密码服务区的控制核心, 具有上电信息加载控制、数据调度控制等功能。随机数发生器提供协处理器加解密所需要的密钥。存储控制器主要存储密码算法、密钥和明文等敏感信息。协处理器系统通过UART接口注入算法配置信息、密钥、用户信息、设备信息等关键数据, 并以密文的形式存放, 主要完成主处理器系统划分好的加解密等计算任务, 是整个So C系统的计算核心。

2 密码服务区的安全保护

2.1 安全威胁分析

So C芯片面临的安全问题可归结为如下几个方面:

(1) So C芯片的状态被非法读取或更改, 如以各种手段破解敏感数据和用户密钥;

(2) So C芯片被改造以欺骗应用终端或芯片发行方从而非法获得服务;

(3) So C芯片被应用终端欺骗从而造成用户利益被损害。

上述几个问题中, 解决好So C芯片安全状态被非法读取或更改最为关键。在此基础上可以进行扩展以解决其他安全问题[2]。

为了保护密码处理过程中敏感信息的安全, 方便用户使用和二次开发芯片, 本文基于安全域划分技术在硬件层面设置专用的密码服务区和应用开发区, 设计安全控制单元对来自CPU的总线请求进行安全访问控制过滤。

2.2 安全边界控制

融合安全机制和安全硬件结构的思想, 采用安全边界控制———硬件隔离机制, 限制应用开发区的程序对密码服务区的访问, 保护敏感信息不被窃取。

安全控制单元的工作原理如图4所示, 应用开发区的数据通过DMA控制器快速传输到密码服务区进行密码处理, 成功之后输出数据到共享存储器。由于恶意程序只能运行在应用开发区, 而应用开发区对密码服务区的访问都要经过安全控制单元, 安全控制单元过滤掉企图修改密码服务区的运行状态和对密码服务区进行数据读取的指令, 从而保证了密码处理过程中敏感信息和解密数据的安全。

安全控制单元按照如下的安全规则拦截CPU的非法访问:

(1) 如果应用开发区程序企图直接控制安全相关硬件模块, 则阻止该访问, 即安全相关的硬件模块对应的地址空间对于应用开发区程序是不可见的, 应用开发区程序只能通关密码服务区的安全服务程序获得相应功能。

(2) 如果芯片使用者企图通过CPU单元发出命令读取密码服务区的敏感信息或更改密码服务区的状态, 则阻止该请求。

通常权限生成电路的设计方法主要有两种:

(1) 查找表方法, 即将地址和写使能信号作为输入, 通过查表输出相应的控制信号。这种方法的优点是速度快, 但需要事先将控制信号的值存储于表中, 如果需要存储的内容较多, 则可能消耗较多的硬件资源。

(2) 比较器方法, 即将对地址信号的读写操作与给定的权限范围进行对比, 从而输出相应控制信号。这种方法由于要实现多次比较, 耗费资源较大, 也会带来较大延时。

由于本文需要存储的控制信号量不大, 而且要求尽可能地减小延迟, 因此采用基于真值表的电路设计方法。将整个总线地址空间按设计要求进行划分, 根据提出的地址分配表分别列出不同地址对应的访问权限真值表, 从而设计对应的控制电路。

设计的安全控制单元如图5所示。当En1有效时, 可以写入数据, 否则输入数据为0。同理当En2有效时可以读取数据, 否则读出数据恒为0。如果芯片进行了地址重映射, 不论是存储器内部还是从设备地址重映射, 安全控制单元都会在检测到地址重映射remap信号有效后对原来的地址权限做出更改。如果CPU的访问被隔离, 安全控制单元会返回中断信号intc给中断向量控制器;置位传输响应信号shresp_0为01, 告知CPU传输失败。

不同的地址分配表得出的硬件电路图不同, 简化的En1硬件电路图如图6所示, hwrite为写使能, Hadd_1、Hadd_2、Hadd_3为地址分配空间的划分值。En1在remap信号的控制下对不同的地址有不同的权限值。密码服务区写信号wen En1与总线读写信号hwrite相与生成, shaddr地址信号则由总线地址锁存一级后直接生成。

芯片的生命周期包括两个基本阶段, 即调试开发阶段和发行使用阶段。在调试开发阶段, 安全控制单元不发挥作用;当芯片有调试开发阶段进入发行使用阶段后, 发行者在片内非易失存储中特定位置写入相关信息, 安全控制单元就会按照上述安全规则拦截非法访问请求。

3 仿真验证

3.1 安全控制单元的功能仿真

采用Verilog语言对So C设计进行了RTL级描述, 建立仿真模型, 使用EDA软件对安全控制单元进行功能仿真。本文针对安全控制单元的仿真主要从两个方面进行:有效/无效的写操作、有效/无效的读操作。密码服务区的有效/无效写操作的仿真波形如图7所示。

在图7 (a) 中, 对密码服务区进行了一次写操作, 向地址0x000a0000写入数据0x11223344。根据设定的安全访问规则, 由于具有该地址空间的写入权限, 所以写使能信号有效, 相应的数据被传送至数据输入端口, 数据被正确写入。图7 (b) 中, 向地址0x000b0000写入数据0x55667788, 由于不具有对该地址空间的写入权限, 因此写使能信号和En1无效, 中断信号intc有效, 相应的总线数据无法被传送至数据输入端口, 数据锁定为0。

经过仿真验证读操作控制也可达到设计要求。

综合上述仿真波形可以看出, 设计的安全控制单元能够正确地实现边界控制, 达到了保护密码服务区安全的目的。而且与软件方法相比具有先天的安全程度高、不容易被篡改、速度快等优点, 有效提高了芯片的安全性和性能。与传统保护电路相比, 最大优点在于避免了由于电路设计而引入额外的电路延时和面积增大, 电路设计简单, 功能完善, 具有较高的实现价值, 而且可以灵活更改以适应不同的安全需求。

3.2 性能分析

使用EDA综合工具, 采用0.18μm CMOS工艺标准单元库及相应负载模型和RAM硬核对So C进行逻辑综合, 经过详细分析得出综合结果如表1所示。

将本系统与典型的基于片上总线的片上互连方式[9] (Mo T) 系统进行比较, 主要比较平均带宽和平均延迟2个参数。所有带宽数据等效换算为系统在100 MHz频率下和32 bit数据位宽时的数据, 结果如表2所示。可以看出, 该So C系统可在安全边界控制基础上实现较大的网络带宽和较小的延迟。

本文提出了多核异构安全So C芯片的硬件结构, 针对大批量数据处理和保护信息安全的需要, 采用了层次化总线的互连结构进行优化设计。集成多个异构的处理器, 将整个芯片划分为密码安全区和应用开发区, 并采用安全边界控制———硬件隔离机制、安全存储管理等措施, 可有效保证密码安全区的安全, 提高整个系统的安全性和数据的完整性。

参考文献

[1]KONDO H, OTANI S, NAKAJIMA M, et al.Heterogeneous multi-core SoC with SiP for secure multimedia applications[J].IEEE Journal of Solid-State Circuits, 2009, 44 (8) :2251-2259.

[2]童元满, 陆洪毅, 王志英, 等.基于层次平台的安全SoC设计技术[J].计算机工程与应用, 2008, 44 (17) :10-14.

[3]Huang Wei, Han Jun, Wang Shuai, et al.The design and implement of a mobile security SoC[C].Solid-State and Integrated Circuit Technology (ICSICT) , 2010 10th IEEE International Conference 2010, Shanghai, 2010:96-98.

[4]王雪瑞, 何永强, 公鑫.面向移动安全存储的密码SoC设计与实现[J].电子技术应用.2012, 38 (4) :10-12.

[5]HALFHILL T R.The future of multi-core processors[EB/OL]. (2007-12-31) [2013-07-08].http://www.Tensilica.com/uploads/pdf/Multicore_Microprocessor_Rept.pdf.

[6]刘继尧, 刘雷波, 伊首一, 等.基于多层AHB架构的多核SoC设计[J].计算机工程.2012, 38 (9) :237-239.

[7]王超.异构多核可重构片上系统关键技术研究[D].合肥:中国科技大学, 2011.

[8]赵为.面向媒体应用的多核SoC平台的设计与实现[D].浙江:浙江大学, 2007.

典型企业网络边界安全解决方案 第2篇

意见征询稿

Hillstone Networks Inc.2010年9月29日

典型中小型企业网络边界安全解决方案

目录 前言...................................................................................................................................................................................4 1.1 1.2 2 2.1 2.2 2.3 方案目的.......................................................................................................................................................4 方案概述.......................................................................................................................................................4 典型中小企业网络现状分析..................................................................................................................6 典型中小企业网络安全威胁..................................................................................................................8 典型中小企业网络安全需求...............................................................................................................10 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 3 3.1 需要进行有效的访问控制..........................................................................................................10 深度应用识别的需求....................................................................................................................11 需要有效防范病毒........................................................................................................................11 需要实现实名制管理....................................................................................................................11 需要实现全面URL过滤.............................................................................................................12 需要实现IPSEC VPN..................................................................................................................12 需要实现集中化的管理...............................................................................................................12 安全需求分析.................................................................................................................................................................6

安全技术选择..............................................................................................................................................................13 技术选型的思路和要点........................................................................................................................13 3.1.1 3.1.2 3.1.3 3.1.4 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 首要保障可管理性........................................................................................................................13 其次提供可认证性........................................................................................................................13 再次保障链路畅通性....................................................................................................................14 最后是稳定性..................................................................................................................................14 安全可靠的集中化管理...............................................................................................................15 基于角色的安全控制与审计......................................................................................................16 基于深度应用识别的访问控制.................................................................................................17 深度内容安全(UTMPlus®)......................................................................................................17 高性能病毒过滤.............................................................................................................................18 灵活高效的带宽管理功能..........................................................................................................19 强大的URL地址过滤库.............................................................................................................21 高性能的应用层管控能力..........................................................................................................21 高效IPSEC VPN...........................................................................................................................22 选择山石安全网关的原因....................................................................................................................14 3.2.10 高可靠的冗余备份能力...............................................................................................................22 4 系统部署说明..............................................................................................................................................................23 4.1 4.2 安全网关部署设计..................................................................................................................................24 安全网关部署说明..................................................................................................................................25 / 42

典型中小型企业网络边界安全解决方案

4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.2.8 4.2.9 5

部署集中安全管理中心...............................................................................................................25 基于角色的管理配置....................................................................................................................29 配置访问控制策略........................................................................................................................30 配置带宽控制策略........................................................................................................................31 上网行为日志管理........................................................................................................................33 实现URL过滤................................................................................................................................35 实现网络病毒过滤........................................................................................................................36 部署IPSEC VPN...........................................................................................................................37 实现安全移动办公........................................................................................................................38 方案建设效果..............................................................................................................................................................38 / 42

典型中小型企业网络边界安全解决方案 前言

1.1 方案目的

本方案的设计对象为国内中小企业，方案中定义的中小型企业为：人员规模在2千人左右，在全国各地有分支机构，有一定的信息化建设基础，信息网络覆盖了总部和各个分支机构，业务系统有支撑企业运营的ERP系统，支撑企业员工处理日常事务的OA系统，和对外进行宣传的企业网站；业务集中在总部，各个分支机构可远程访问业务系统完成相关的业务操作。

根据当前国内企业的发展趋势，中小企业呈现出快速增长的势头，计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件，为企业经营决策提供了有力支撑，为企业的对外宣传发挥了重要的作用，因此企业对信息化建设的依赖也越来越强，但同时由于计算机网络所普遍面临的安全威胁，又给企业的信息化带来严重的制约，互联网上的黑客攻击、蠕虫病毒传播、非法渗透等，严重威胁着企业信息系统的正常运行；内网的非法破坏、非法授权访问、员工故意泄密等事件，也是的企业的正常运营秩序受到威胁，如何做到既高效又安全，是大多数中小企业信息化关注的重点。

而作为信息安全体系建设，涉及到各个层面的要素，从管理的角度，涉及到组织、制度、流程、监督等，从技术的角度，设计到物理层、网络层、主机层、应用层和运维层，本方案的重点是网络层的安全建设，即通过加强对基础网络的安全控制和监控手段，来提升基础网络的安全性，从而为上层应用提供安全的运行环境，保障中小企业计算机网络的安全性。

1.2 方案概述

本方案涉及的典型中小型企业的网络架构为：两级结构，纵向上划分为总部与分支机构，总部/ 42

典型中小型企业网络边界安全解决方案

集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支机构均有互联网出口，提供给员工进行上网访问，同时总部的互联网出口也作为网站发布的链路途径。典型中小型企业的网络结构可表示如下：

典型中小型企业网络结构示意图

为保障中小企业网络层面的安全防护能力，本方案结合山石网科集成化安全平台，在对中小企业信息网络安全域划分的基础上，从边界安全防护的角度，实现以下的安全建设效果：

 实现有效的访问控制：对员工访问互联网，以及员工访问业务系统的行为进行有效控制，杜绝非法访问，禁止非授权访问，保障访问的合法性和合规性；  实现有效的集中安全管理：中小型企业的管理特点为总部高度集中模式，通过网关的集中管理系统，中小企业能够集中监控总部及各个分支机构员工的网络访问行为，做到可视化的安全。/ 42

典型中小型企业网络边界安全解决方案

 保障安全健康上网：对员工的上网行为进行有效监控，禁止员工在上班时间使用P2P、网游、网络视频等过度占用带宽的应用，提高员工办公效率；对员工访问的网站进行实时监控，限制员工访问不健康或不安全的网站，从而造成病毒的传播等；

  保护网站安全：对企业网站进行有效保护，防范来自互联网上黑客的故意渗透和破坏行为； 保护关键业务安全性：对重要的应用服务器和数据库服务器实施保护，防范病毒和内部的非授权访问；

 实现实名制的安全监控：中小型企业的特点是，主机IP地址不固定，但全公司有统一的用户管理措施，通常通过AD域的方式来实现，因此对于访问控制和行为审计，可实现基于身份的监控，实现所谓的实名制管理；

 实现总部与分支机构的可靠远程传输：典型中小型企业的链路使用模式为，专线支撑重要的业务类访问，互联网链路平时作为员工上网使用，当专线链路故障可作为备份链路，为此通过总部与分支机构部署网关的IPSEC VPN功能，可在利用备份链路进行远程通讯中，保障数据传输的安全性；

 对移动办公的安全保障：利用安全网关的SSL VPN功能，提供给移动办公人员进行远程安全传输保护，确保数据的传输安全性； 安全需求分析

2.1 典型中小企业网络现状分析

中小企业的典型架构为两级部署，从纵向上划分为总部及分支机构，总部集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支/ 42

典型中小型企业网络边界安全解决方案

机构均有互联网出口，提供给员工进行上网访问，同时总部的互联网出口也作为网站发布的链路途径。

双链路给中小企业应用访问带来的好处是，业务访问走专线，可保障业务的高可靠性；上网走互联网链路，增加灵活性，即各个分支机构可根据自己的人员规模，采用合理的价格租用电信宽带；从网络设计上，中小企业各个节点的结构比较简单，为典型的星形结构设计，总部因用户量和服务器数量较高，因此核心往往采用三层交换机，通过VLAN来划分不同的子网，并在子网内部署终端及各类应用服务器，有些中小型企业在VLAN的基础上还配置了ACL，对不同VLAN间的访问实行控制；各分支机构的网络结构则相对简单，通过堆叠二层交换连接到不同终端。具体的组网结构可参考下图：

典型中小企业组网结构示意图 / 42

典型中小型企业网络边界安全解决方案

2.2 典型中小企业网络安全威胁

在没有采取有效的安全防护措施，典型的中小型企业由于分布广，并且架构在TCP/IP网络上，由于主机、网络、通信协议等存在的先天性安全弱点，使得中小型企业往往面临很多的安全威胁，其中典型的网络安全威胁包括： 【非法和越权的访问】

中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和网站系统，在缺乏访问控制的前提下很容易受到非法和越权的访问；虽然大多数软件都实现了身份认证和授权访问的功能，但是这种控制只体现在应用层，如果远程通过网络层的嗅探或攻击工具（因为在网络层应用服务器与任何一台企业网内的终端都是相通的），有可能会获得上层的身份和口令信息，从而对业务系统进行非法及越权访问，破坏业务的正常运行，或非法获得企业的商业秘密，造成泄露； 【恶意代码传播】

大多数的中小企业，都在终端上安装了防病毒软件，以有效杜绝病毒在网络中的传播，但是随着蠕虫、木马等网络型病毒的出现，单纯依靠终端层面的查杀病毒显现出明显的不足，这种类型病毒的典型特征是，在网络中能够进行大量的扫描，当发现有弱点的主机后快速进行自我复制，并通过网络传播过去，这就使得一旦网络中某个节点（可能是台主机，也可能是服务器）被感染病毒，该病毒能够在网络中传递大量的扫描和嗅探性质的数据包，对网络有限的带宽资源造成损害。【防范ARP欺骗】

大多数的中小企业都遭受过此类攻击行为，这种行为的典型特点是利用了网络的先天性缺陷，即两台主机需要通讯时，必须先相互广播ARP地址，在相互交换IP地址和ARP地址后方可通讯，特别是中小企业都需要通过边界的网关设备，实现分支机构和总部的互访；ARP欺骗就是某台主机伪装成网关，发布虚假的ARP信息，让内网的主机误认为该主机就是网关，从而把跨越网段的访问/ 42

典型中小型企业网络边界安全解决方案

数据包（比如分支机构人员访问互联网或总部的业务系统）都传递给该主机，轻微的造成无法正常访问网络，严重的则将会引起泄密； 【恶意访问】

对于中小型企业网而言，各个分支机构的广域网链路带宽是有限的，因此必须有计划地分配带宽资源，保障关键业务的进行，这就要求无论针对专线所转发的访问，还是互联网出口链路转发的访问，都要求对那些过度占用带宽的行为加以限制，避免因某几台终端过度抢占带宽资源而影响他人对网络的使用。

这种恶意访问行为包括：过度使用P2P进行大文件下载，长时间访问网游，长时间访问视频网站，访问恶意网站而引发病毒传播，直接攻击网络等行为。【身份与行为的脱节】

常见的访问控制措施，还是QOS措施，其控制依据都是IP地址，而众所周知IP地址是很容易伪造的，即使大多数的防火墙都支持IP+MAC地址绑定，MAC地址也是能被伪造的，这样一方面造成策略的制定非常麻烦，因为中小型企业内员工的身份是分级的，每个员工因岗位不同需要访问的目标是不同的，需要提供的带宽保障也是不同的，这就需要在了解每个人的IP地址后来制定策略；另一方面容易形成控制缺陷，即低级别员工伪装成高级别员工的地址，从而可占用更多的资源。

身份与行为的脱节的影响还在于日志记录上，由于日志的依据也是根据IP地址，这样对发生违规事件后的追查造成极大的障碍，甚至无法追查。【拒绝服务攻击】

大多数中小型企业都建有自己的网站，进行对外宣传，是企业对外的窗口，但是由于该平台面向互联网开放，很容易受到黑客的攻击，其中最典型的就是拒绝服务攻击，该行为也利用了现有TCP/IP网络传输协议的先天性缺陷，大量发送请求连接的信息，而不发送确认信息，使得遭受攻击/ 42

典型中小型企业网络边界安全解决方案 的主机或网络设备长时间处于等待状态，导致缓存被占满，而无法响应正常的访问请求，表现为就是拒绝服务。这种攻击常常针对企业的网站，使得网站无法被正常访问，破坏企业形象； 【不安全的远程访问】

对于中小型企业，利用互联网平台，作为专线的备份链路，实现分支机构与总部的连接，是很一种提高系统可靠性，并充分利用现有网络资源的极好办法；另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台，进行相关的业务处理；而互联网的开放性使得此类访问往往面临很多的安全威胁，最为典型的就是攻击者嗅探数据包，或篡改数据包，破坏正常的业务访问，或者泄露企业的商业秘密，使企业遭受到严重的损失。【缺乏集中监控措施】

典型中小型企业的特点是，集中管理，分布监控，但是在安全方面目前尚缺乏集中的监控手段，对于各分支机构员工的上网行为，访问业务的行为，以及总部重要资源的受访问状态，都没有集中的监控和管理手段，一旦发生安全事件，将很难快速进行察觉，也很难有效做出反应，事后也很难取证，使得企业的安全管理无法真正落地。

2.3 典型中小企业网络安全需求

针对中小企业在安全建设及运维管理中所暴露出的问题，山石网科认为，应当进行有针对性的设计和建设，最大化降低威胁，并实现有效的管理。

2.3.1 需要进行有效的访问控制

网络安全建设的首要因素就是访问控制，控制的核心是访问行为，应实现对非许可访问的杜绝，限制员工对网络资源的使用方式。/ 42

典型中小型企业网络边界安全解决方案

中小企业的业务多样化，必然造成访问行为的多样化，因此如何有效鉴别正常的访问，和非法的访问是非常必要的，特别是针对中小企业员工对互联网的访问行为，应当采取有效的控制措施，杜绝过度占用带宽的访问行为，保障正常的业务和上网访问。

对于中小企业重要的应用服务器和数据库资源，应当有效鉴别出合法的业务访问，和可能的攻击访问行为，并分别采取必要的安全控制手段，保障关键的业务访问。

2.3.2 深度应用识别的需求

引入的安全控制系统，应当能够支持深度应用识别功能，特别是对使用动态端口的P2P和IM应用，能够做到精准鉴别，并以此为基础实现基于应用的访问控制和QOS，提升控制和限制的精度和力度。

对于分支机构外来用户，在利用分支机构互联网出口进行访问时，基于身份识别做到差异化的控制，提升系统总体的维护效率。

2.3.3 需要有效防范病毒

在访问控制的技术上，需要在网络边界进行病毒过滤，防范病毒的传播；在互联网出口上要能够有效检测出挂马网站，对访问此类网站而造成的病毒下发，能够快速检测并响应；同时也能够防范来自其他节点的病毒传播。

2.3.4 需要实现实名制管理

应对依托IP地址进行控制，QOS和日志的缺陷，应实现基于用户身份的访问控制、QOS、日志记录，应能够与中小企业现有的安全准入系统整合起来，当员工接入办公网并对互联网访问时，/ 42

典型中小型企业网络边界安全解决方案

先进行准入验证，验证通过后将验证信息PUSH给网关，网关拿到此信息，在用户发出上网请求时，根据IP地址来索引相关的认证信息，确定其角色，最后再根据角色来执行访问控制和带宽管理。

在日志记录中，也能够根据确定的身份来记录，使得日志可以方便地追溯到具体的员工。

2.3.5 需要实现全面URL过滤

应引入专业性的URL地址库，并能够分类和及时更新，保障各个分支机构在执行URL过滤策略是，能够保持一致和同步。

2.3.6 需要实现IPSEC VPN 利用中小企业现有的互联网出口，作为专线的备份链路，在不增加链路投资的前提下，使分支机构和总公司的通信得到更高的可靠性保障。

但是由于互联网平台的开放性，如果将原本在专线上运行的ERP、OA、视频会议等应用切换到互联网链路上时，容易遭到窃听和篡改的风险，为此需要设备提供IPSEC VPN功能，对传输数据进行加密和完整性保护，保障数据传输的安全性。

2.3.7 需要实现集中化的管理

集中化的管理首先要求日志信息的集中分析，各个分支机构既能够在本地查看详细的访问日志，总部也能够统一查看各个分支机构的访问日志，从而实现总部对分支机构的有效监管。

总部能够统一对各个分支机构的安全设备进行全局性配置管理，各个分支机构也能够在不违背全局性策略的前提下，配置符合本节点特点的个性化策略。

由于各个厂商的技术壁垒，不同产品的功能差异，因此要实现集中化管理的前提就是统一品牌，/ 42

典型中小型企业网络边界安全解决方案

统一设备，而从投资保护和便于维护的角度，中小企业应当选择具有多种功能的安全网关设备。安全技术选择

3.1 技术选型的思路和要点

现有的安全设备无法解决当前切实的安全问题，也无法进一步扩展以适应当前管理的需要，因此必须进行改造，统一引入新的设备，来更好地满足运行维护的要求，在引入新设备的时候，必须遵循下属的原则和思路。

3.1.1 首要保障可管理性

网络安全设备应当能够被集中监控，由于安全网关部署在中小企业办公网的重要出口上，详细记录了各节点的上网访问行为，因此对全网监控有着非常重要的意义，因此系统必须能够被统一管理起来，实现日志行为，特别是各种防护手段形成的记录进行集中的记录与分析。

此外，策略也需要分级集中下发，总部能够统一下发集中性的策略，各分支机构可根据自身的特点，在不违背全局性策略的前提下，进行灵活定制。

3.1.2 其次提供可认证性

设备必须能够实现基于身份和角色的管理，设备无论在进行访问控制，还是在QOS，还是在日志记录过程中，依据必须是真实的访问者身份，做到精细化管理，可追溯性记录。

对于中小企业而言，设备必须能够与中小企业的AD域管理整合，通过AD域来鉴别用户的身份和角色信息，并根据角色执行访问控制和QOS，根据身份来记录上网行为日志。/ 42

典型中小型企业网络边界安全解决方案

3.1.3 再次保障链路畅通性

对于多出口链路的分支机构，引入的安全设备应当支持多链路负载均衡，正常状态下设备能够根据出口链路的繁忙状态自动分配负载，使得两条链路都能够得到充分利用；在某条链路异常的状态下，能够自动切换负载，保障员工的正常上网。

目前中小企业利用互联网的主要应用就是上网浏览，因此系统应提供强大的URL地址过滤功能，对员工访问非法网站能够做到有效封堵，这就要求设备应提供强大的URL地址库，并能够自动升级，降低管理难度，提高控制精度。

中小企业的链路是有限的，因此应有效封堵P2P、IM等过度占用带宽的业务访问，保障链路的有效性。

3.1.4 最后是稳定性

选择的产品必须可靠稳定，选择产品形成的方案应尽量避免单点故障，传统的网络安全方案总是需要一堆的产品去解决不同的问题，但这些产品接入到网络中，任何一台设备故障都会造成全网通信的故障，因此采取集成化的安全产品应当是必然选择。

另外，安全产品必须有多种稳定性的考虑，既要有整机稳定性措施，也要有接口稳定性措施，还要有系统稳定性措施，产品能够充分应对各种突发的情况，并保持系统整体工作的稳定性。

3.2 选择山石安全网关的原因

基于中小企业的产品选型原则，方案建议采用的山石网科安全网关，在多核Plus G2硬件架构的基础上，采用全并行架构，实现更高的执行效率。并综合实现了多个安全功能，完全能够满足中小企业安全产品的选型要求。/ 42

典型中小型企业网络边界安全解决方案

山石网科安全网关在技术上具有如下的安全技术优势，包括：

3.2.1 安全可靠的集中化管理

山石网科安全管理中心采用了一种全新的方法来实现设备安全管理，通过提供集中的端到端生命周期管理来实现精细的设备配置、网络设置、VPN配置和安全策略控制。山石网科安全管理中心可以清楚地分配角色和职责，从而使设备技术人员、网络管理员和安全管理员通过相互协作来提高网络管理效率，减少开销并降低运营成本。

利用山石网科安全管理中心，可以为特定用户分配适当的管理接入权限（从只读到全面的编辑权限）来完成多种工作。可以允许或限制用户接入信息，从而使用户可以作出与他们的角色相适应的决策。

山石网科安全管理中心的一个关键设计理念是降低安全设备管理的复杂性，同时保证足够的灵活性来满足每个用户的不同需求。为了实现这一目标，山石网科安全管理中心提供了一个综合管理界面以便从一个集中位置上控制所有设备参数。管理员只需要点击几下鼠标就可以配置设备、创建安全策略或管理软件升级。同时，只要是能够通过山石网科安全管理中心进行配置的设备都可以通过CLI接入。

山石网科安全管理中心还带有一种高性能日志存储机制，使IT部门可以收集并监控关键方面的详细信息，如网络流量、设备状态和安全事件等。利用内置的报告功能，管理员还可以迅速生成报告来进行调查研究或查看是否符合要求。

山石网科安全管理中心采用了一种3层的体系结构，该结构通过一条基于TCP的安全通信信道－安全服务器协议（SSP）相连接。SSP可以通过AES加密和SHA1认证来提供受到有效保护的端到端的安全通信功能。利用经过认证的加密TCP通信链路，就不需要在不同分层之间建立VPN隧/ 42

典型中小型企业网络边界安全解决方案 道，从而大大提高了性能和灵活性。

山石网科安全管理中心提供统一管理功能，在一个统一界面中集成了配置、日志记录、监控和报告功能，同时还使网络管理中心的所有工作人员可以协同工作。山石网科网络公司的集中管理方法使用户可以在安全性和接入便利性之间达成平衡，对于安全网关这类安全设备的大规模部署非常重要。

3.2.2 基于角色的安全控制与审计

针对传统基于IP的访问控制和资源控制缺陷，山石网科采用RBNS（基于身份和角色的管理）技术让网络配置更加直观和精细化，不同基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认，确定访问者的访问权限，分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。

另外，在采用了RBNS技术后，使得审计记录可以直接反追溯到真实的访问者，更便于安全事件的定位。

在本方案中，利用山石网科安全网关的身份认证功能，可结合AD域认证等技术，提供集成化的认证+控制+深度检测+行为审计的解决方案，当访问者需跨网关访问时，网关会根据确认的访问者身份，自动调用邮件系统内的邮件组信息，确定访问者角色，随后根据角色执行访问控制，限制其访问范围，然后再对访问数据包进行深度检测，根据角色执行差异化的QOS，并在发现非法的访问，或者存在可疑行为的访问时，记录到日志提供给系统员进行事后的深度分析。/ 42

典型中小型企业网络边界安全解决方案

3.2.3 基于深度应用识别的访问控制

中小型企业的主要业务应用系统都建立在HTTP/HTTPS等应用层协议之上，新的安全威胁也随之嵌入到应用之中，而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略，根本无法识别应用，更谈不上安全防护。

Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制，而不依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS®识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时，应用特征库通过网络服务可以实时更新，无须等待新版本软件发布。

3.2.4 深度内容安全(UTMPlus®)

山石网科安全网关可选UTMPlus®软件包提供病毒过滤，入侵防御，内容过滤，上网行为管理和应用流量整形等功能，可以防范病毒，间谍软件，蠕虫，木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库，攻击库，URL库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的URL做到及时响应。

由于中小企业包含了多个分支机构，一旦因某个节点遭到恶意代码的传播，病毒将会很快在企业的网络内传播，造成全网故障。在使用了山石网科安全网关后，并在全网各个节点的边界部署后，将在逻辑上形成不同的隔离区，一旦某个节点遭遇到病毒攻击/ 42

典型中小型企业网络边界安全解决方案

后，不会影响到其他节点。并且山石支持硬件病毒过滤技术，在边界进行病毒查杀的时候，对性能不会造成过多影响。

3.2.5 高性能病毒过滤

对于中小企业而言，在边界进行病毒的过滤与查杀，是有效防范蠕虫、木马等网络型病毒的有效工具，但是传统病毒过滤技术由于需要在应用层解析数据包，因此效率很低，导致开启病毒过滤后对全网的通信速度形成很大影响。

山石安全网关在多核的技术上，对病毒过滤采取了全新的流扫描技术，也就是所谓的边检测边传输技术，从而大大提升了病毒检测与过滤的效率。

 流扫描策略

传统的病毒过滤扫描是基于文件的。这种方法是基于主机的病毒过滤解决方案实现的，并且旧一代病毒过滤解决方案也继承这一方法。使用这种方法，首先需要下载整个文件，然后开始扫描，最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收，会经历长时间延迟。对于大文件，用户应用程序可能出现超时。

文件接受扫描文件发送延迟

山石网科扫描引擎是基于流的，病毒过滤扫描引擎在数据包流到达时进行检查，如果没有检查到病毒，则发送数据包流。由此，用户将看到明显的延迟改善，并且他们的应用程序也将更快响应。/ 42

典型中小型企业网络边界安全解决方案

文件接收扫描文件发送延迟

流扫描技术仅需要缓存有限数量的数据包。它也不像文件扫描那样受文件大小的限制。低资源利用率也意味着更多文件流的同时扫描。出于对高性能、低延迟、高可升级性的首要考虑，流扫描技术适合网关病毒过滤解决方案。

 基于策略的病毒过滤功能

山石网科病毒过滤功能与策略引擎完全集成。管理员能够完全控制以下各方面：哪些域的流量需要进行病毒过滤扫描，哪些用户或者用户组进行扫描，以及哪些服务器和应用被保护。

3.2.6 灵活高效的带宽管理功能

山石网科产品提供专有的智能应用识别(Intelligent Application Identification)功能，称为IAI。IAI能够对百余种网络应用进行分类，甚至包括对加密的P2P应用（Bit Torrent、迅雷、Emule、Edonkey等）和即时消息流量进行分类。山石网科QoS首先根据流量的应用类型对流量进行识别和标记。然后，根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是：用户可以为关键网页浏览设置高优先级保证它们的带宽使用；对于P2P下载流量，用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。

将山石网科的角色鉴别以及IP QoS结合使用，用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同IP地址及用户角色的流量优先级区分和带宽/ 42

典型中小型企业网络边界安全解决方案

控制（入方向和出方向），这就相当于系统中可容纳最多40,000的QoS队列。

结合应用QoS，山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如，对于同一个IP地址产生的不同流量，用户可以基于应用分类结果指定流量的优先级。在IP QoS里面使用应用QoS，甚至可以对每个IP地址进行流量控制的同时，还能够对该IP地址内部应用类型的流量进行有效管控。

除了高峰时间，用户经常会发现他们的网络带宽并没有被充分利用。山石网科的弹性QoS功能（FlexQoS）能够实时探测网络的出入带宽利用率，进而动态调整特定用户的带宽。弹性QoS（FlexQoS）既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。

总之，通过采取山石网科产品所集成的带宽管理功能，可以在用户网络中做到关键应用优先，领导信息流量优先，非业务应用限速或禁用，VoIP、视频应用保证时延低、无抖动、音质清晰、图片清楚，这些有效管理带宽资源和区分网络应用的效果都能给用户带来更高效、更灵活、更合理的带宽应用，使得昂贵的带宽能获取最高的效益和高附加值应用。/ 42

典型中小型企业网络边界安全解决方案

3.2.7 强大的URL地址过滤库

山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库，具有超过2000万条域名的分类Web页面库，并实时保持同步更新，当中小企业办公网用户访问了不健康、反动、不安全的网站时，系统会根据不同的策略，进行报警、日志、阻断等动作，实现健康上网；

全面的URL地址库也改变了现在各个分支机构自行手动配置URL地址的局限性，当时设备被部署到网络中后，各个设备均采用统一标准的过滤地址库，在进行URL访问日志中也可以保持日志内容的一致性。

3.2.8 高性能的应用层管控能力

安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的，而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代，能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析，而使用传统网络平台所带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。

山石网科安全网关具有丰富的应用层管控能力，包括URL地址过滤功能、网页内容关键字过滤功能、网页敏感文件过滤功能、网页控件过滤功能、协议命令控制功能等，能够通过简单的配置来实现敏感的URL地址、敏感关键字以及敏感文件等内容过滤，防止潜在的安全风险。/ 42

典型中小型企业网络边界安全解决方案

此外，山石网科安全网关均采用多核系统架构，在性能上具有很高的处理能力，能够实现大并发处理。

3.2.9 高效IPSEC VPN 所有的山石网科安全网关设备都支持对IPSec的硬件加速。每一个CPU核都有一个内嵌的IPSec处理引擎，这保证了在CPU核数增加时，IPSec的性能得到相应提高，不会成为瓶颈。山石网科安全网关设备的IPSec吞吐率最高可以达到8Gbps，达到和防火墙一样的性能和设备极限。

山石网科安全网关设备支持标准IPSec协议，能够保障与第三方VPN进行通讯，建立隧道并实现安全的数据传输。

3.2.10 高可靠的冗余备份能力

山石网科安全网关能够支持设备级别的HA解决方案，如A-P和A-A架构。山石网科的HA解决方案能够为网络层提供会话级别的状态同步机制，保证在设备切换过程中数据传输的连续性及网络的持久畅通，甚至在设备进行主备切换的时候都不会中断会话，为企业提供真正意义的网络冗余/ 42

典型中小型企业网络边界安全解决方案

解决方案。山石网科安全甚至还能够提供VPN传输的状态同步，并包括SA状态的同步。系统部署说明

对于中小企业，在设计边界安全防护时，首要进行的就是安全区域的划分，划分安全域是信息安全建设常采用的方法，其好处在与可以将原本比较庞大的网络划分为多个单元，根据不同单元的资产特点、支撑业务类型分别进行安全防护系统的设计，保障了安全建设的针对性和差异性。

安全域的定义是同一安全域内的系统有相同安全保护需求、并相互信任。但以此作为安全区域划分原则，可操作性不强，在实际划分过程中有很多困难。在本方案中，建议按照资产重要性以及支撑的业务类型，纵向上可划分为总部及分支机构域，从资产角度可根据业务类型的不同，将总部/ 42

典型中小型企业网络边界安全解决方案

信息网络划分为ERP域、OA域、网站域、终端域和运维域等，而分支机构的域相对简单，由于只有终端，因此不再细分。

4.1 安全网关部署设计

划分安全域后，可在所有安全域的边界，特别是重要的业务系统安全域的边界配置安全网关即可，配置后形成的边界安全部署方案可参考下图：

部署要点：  通过总部配置的山石网科安全管理中心，集中监管各个分支机构边界部署的山石网科安全网关，对日志进行集中管理；同时各个分支机构本地也部署管理终端，在本地对网关进行监管； / 42

典型中小型企业网络边界安全解决方案

 纵向链路的出口分别部署安全网关，实现对中小企业网的纵向隔离，对分支机构的上访行为进行严格控制，杜绝非法或非授权的访问；

 安全网关启用源地址转换策略，在终端上网过程中进行转换，保障内网用户上网的要求，同时启用相应的日志，对上网行为进行有效记录；

 安全网关在分支机构上网出口的链路上，运用深度应用识别技术，有效鉴别出哪些是合法的HTTP应用，哪些是过度占用带宽的P2P和IM应用，对P2P和IM通过严格的带宽限制功能能进行及限制，并对HTTP执行保障带宽策略，保障员工正常上网行为；

 安全网关与中小企业的AD域认证整合，在确认访问者身份的基础上，进行实名制的访问控制，QOS控制，以及上网行为审计；

 安全网关内置全面的URL地址库，用以对员工的访问目标地址进行分类，对于非法网站进行封堵，且URL地址库能够自动升级，保障了该功能的持续性和完整性；

 安全网关运用IPSEC VPN技术，实现与总部的加密传输，作为现有专线的备份链路，在不增加投资的前提下提升系统的可靠性。

 安全网关运用SSL VPN技术，对移动办公用户配发USB KEY，当其需要远程访问企业网时，利用USB KEY与总部互联网出口的安全网关建立VPN加密隧道，从而实现了安全可靠的远程访问。

4.2 安全网关部署说明

4.2.1 部署集中安全管理中心

通过在总部部署山石网科安全管理中心，然后对分布在各个分支机构边界的安全网关进行配置，/ 42

典型中小型企业网络边界安全解决方案

使网关接受管理中心的集中管理来实现，并执行如下的集中监管。

设备管理

设备管理包括域管理和设备组管理，域和设备组都是用来组织被管理设备的逻辑组，域包含设备组。通过域的使用，可以实现设备的区域化管理；而通过设备组的使用，可以进一步将域中的设备进行细化分组管理。一台设备可以同时属于多个域或者设备组。只有超级管理员可以执行域的操作以及添加设备和彻底删除设备，普通管理员可以执行设备组的操作，将设备从设备组中删除。

设备基本信息监管

显示设备的基本信息，例如设备主机名称、设备序列号、管理IP、设备运行时间、接口状态以及AV相关信息等。

通过客户端可查看的设备属性信息包括：设备基本信息以及设备实时统计信息，包括实时资源使用状态、会话数、总流量、VPN隧道数、攻击数以及病毒数。系统通过曲线图显示以上实时信息，使用户能够直观的了解当前设备的各种状态。/ 42

典型中小型企业网络边界安全解决方案

日志浏览

山石网科安全管理中心接收设备发送的多种日志信息，经过系统处理后，用户可通过客户端进行多维度、多条件的浏览。山石网科安全管理中心支持通过以下种类进行日志浏览：

●系统日志 ●配置日志 ●会话日志 ●地址转换日志 ●上网日志

流量监控

山石网科安全管理中心可以实时监控以下对象的流量，并在客户端通过饼状图或者柱状图直观显示：

●设备接口（TOP 10）/ 42

典型中小型企业网络边界安全解决方案

●指定接口TOP 10 IP，进而可以查看指定IP的TOP 10应用的流量 ●指定接口TOP 10应用，进而可以查看指定应用的TOP 10 IP的流量

柱状图可分别按照上行流量、下行流量或者总流量进行排序；饼状图可分别根据上行流量、下行流量或者总流量显示不同的百分比。

攻击监控

山石网科安全管理中心可以实时监控以下对象的攻击情况，并在客户端通过饼状图或者柱状图直观显示：

●设备接口遭受攻击（TOP 10）

●指定接口发起攻击TOP 10 IP，进而可以查看指定IP发起的TOP 10攻击类型 ●指定接口TOP 10攻击类型，进而可以查看发起指定攻击类型的TOP 10 IP

VPN监控

山石网科安全管理中心可以实时监控被管理设备的IPSec VPN和SCVPN隧道流量，并在客户端通过饼状图或者柱状图直观显示。/ 42

典型中小型企业网络边界安全解决方案

4.2.2 基于角色的管理配置

对于中小企业办公网而言，终端使用者的身份不尽相同，因此其访问权限，对资源的要求等也不尽相同，实现差异化的访问控制与资源保障。对此可通过山石网科安全网关的RBNS（基于身份和角色的管理）策略来实现。RBNS包含三个部分：用户身份的认证、用户角色的确定、基于角色控制和服务。

  在访问控制部分，通过RBNS实现了基于用户角色的访问控制，使得控制更加精准； 在QOS部分，通过RBNS实现了基于角色的带宽控制，使得资源分配更加贴近中小企业办公网的管理模式；  在会话限制部分，通过RBNS实现了基于角色的并发限制，对于重要用户放宽并发连接的数量，对于非重要用户则压缩并发连接的数量；   在上网行为管理部分，通过RBNS实现了基于角色的上网行为管理；

在审计部分，通过RBNS实现实名制审计，使审计记录能够便捷地追溯到现实的人员。

在整合了AD域以及邮件系统后的实名制管理与控制方案后，在员工上网访问过程中实现精细化的管理，大大降低了单纯依靠IP地址带来的安全隐患，也降低了配置策略的难度，还提升了日志的可追溯性； / 42

典型中小型企业网络边界安全解决方案

整合后实名制监管过程示意图

4.2.3 配置访问控制策略

山石网科多核安全网关可提供广泛的应用层监控、统计和控制过滤功能。该功能能够对FTP、HTTP、P2P应用、IM以及VoIP语音数据等应用进行识别，并根据安全策略配置规则，保证应用的正常通信或对其进行指定的操作，如监控、流量统计、流量控制和阻断等。StoneOS利用分片重组及传输层代理技术，使设备能够适应复杂的网络环境，即使在完整的应用层数据被分片传送且分片出现失序、乱序的情况下，也能有效的获取应用层信息，从而保证安全策略的有效实施。

山石网科安全网关，作用在中小企业的互联网出口链路上，通过访问控制策略，针对访问数据包，根据数据包的应用访问类型，进行控制，包括： / 42

典型中小型企业网络边界安全解决方案

 限制不被许可的访问类型：比如在只允许进行网页浏览、电子邮件、文件传输，此时当终端用户进行其他访问（比如P2P），即使在网络层同样使用TCP 80口进行访问数据包的传送，但经过山石网科安全网关的深度应用识别后，分析出真实的应用后，对P2P和IM等过度占用带宽的行为进行限制；

 限制不被许可的访问地址：山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库，具有超过2000万条域名的分类Web页面库，并实时保持同步更新，当中小企业办公网用户访问了不健康、反动、不安全的网站时，系统会根据不同的策略，进行报警、日志、阻断等动作，实现健康上网；

 基于身份的访问控制：传统访问控制的基础是IP地址，但是由于IP地址的可修改性，使得控制的精度大打折扣，特别是根据不同IP地址配置不同强度的访问控制规则时，通过修改IP地址可以获得较宽松的访问限制，及时采用了IP+MAC绑定，但修改MAC也不是难事。山石网科安全网关支持与第三方认证的结合，可实现基于“实名制”下的访问控制，将大大提升了访问控制的精度。

4.2.4 配置带宽控制策略

针对外网的互联网出口链路，承载了员工上网的访问，因此必须应采取带宽控制，来针对不同访问的重要级别，提供差异化的带宽资源。(可以实现基于角色的QOS) 基于角色的流量管理

基于山石网科的多核 Plus G2安全架构，StoneOS® Qos将Hillstone 山石网科的行为控制以及IP QoS结合使用，用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同角色的流量优先级区分和带宽控制（入方向和出方向），这就相当于系统

/ 42

典型中小型企业网络边界安全解决方案

中可容纳多于40,000的QoS队列。结合应用QoS，山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如，对于同一个角色产生的不同流量，用户可以基于应用分类结果指定流量的优先级。

 对应用控制流量和区分优先级

山石网科提供专有的智能应用识别（Intelligent Application Identification）功能，简称为IAI。IAI能够对百余种网络应用进行分类，甚至包括对加密的P2P应用（Bit Torrent、迅雷、Emule、Edonkey等）和即时消息流量进行分类；Hillstone 山石网科还支持用户自定义的流量，并对自定义流量进行分类；同时山石网科可以结合强大的policy对流量进行分类。山石网科 QoS首先根据流量的应用类型对流量进行识别和标记。然后，根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是：用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用；对于网页浏览和P2P下载流量，用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。网吧用户可以用这种方法控制娱乐流量并对娱乐流量区分优先级。

 带宽利用率最大化

除了高峰时间，用户经常会发现他们的网络带宽并没有被充分利用。Hillstone 山石网科的弹性QoS功能（FlexQoS）能够实时探测网络的出入带宽的利用率，进而动态调整特定用户的带宽。弹性QoS（FlexQoS）既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。弹性QoS还允许用户进行更加精细的控制，允许某一类的网络使用者享有弹性QoS，另外一类不享有弹性QoS。以此功能用户可以为网络使用者提供差分服务。

 实时流量监控和统计

山石网科 QoS解决方案提供各种灵活报告和监控方法，帮助用户查看网络状况。用户可以轻松查看接口带宽使用情况、不同应用带宽使用情况以及不同IP地址的带宽使用情况。山石网科设备

/ 42

典型中小型企业网络边界安全解决方案

提供带宽使用情况的历史记录，为将来分析提供方便。同时用户还可以自己定制想要的统计数据。

4.2.5 上网行为日志管理

通过山石网科安全网关，在实现分支机构员工上网访问控制和QOS控制的基础上，对行为进行全面记录，来控制威胁的上网行为，并结合基于角色的管理技术，实现“实名制”审计，在本方案中将配置执行如下的安全策略：

 网络应用控制策略规则

网络应用控制策略规则，是根据名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。通过WebUI配置上网行为管理策略规则，需要进行下列基本元素的配置：

  策略规则名称 – 上网行为管理策略规则的名称。

优先级-上网行为管理策略规则的优先级。当有多条匹配策略规则的时候，优先级高的策略规则会被优先使用。 用户 – 上网行为管理策略规则的用户，即发起网络行为的主体，比如某个用户、用户组、角色、IP地址等。 时间表 – 上网行为管理策略规则的生效时间，可以针对不同用户控制其在特定时间段内的网络行为。 网络行为 – 具体的网络应用行为，比如MSN聊天、网页访问、邮件发送、论坛发帖等。 控制动作 – 针对用户的网络行为所采取的控制动作，比如允许、拒绝某网络行为或者对该行为或者内容进行日志记录等。

/ 42

典型中小型企业网络边界安全解决方案

 网页内容控制策略规则

网页内容控制策略规则包括URL过滤策略规则和关键字过滤策略规则。网页内容控制策略规则能够对用户访问的网页进行控制。URL过滤策略规则可以基于系统预定义的URL类别和用户自定义的URL类别，对用户所访问的网页进行过滤。关键字过滤策略规则可以基于用户自定义的关键字类别，对用户所访问的网页进行过滤，同时，能够通过SSL代理功能对用户所访问的含有某特定关键字的HTTPS加密网页进行过滤。

 外发信息控制策略规则

外发信息控制策略规则包括Email控制策略规则和论坛发帖控制策略规则，能够对用户的外发信息进行控制。Email控制策略规则能够对通过SMTP协议发送的邮件和Webmail外发邮件进行控制，可以根据邮件的收件人、发件人、内容关键字、附件名称和附件大小对邮件的发送进行限制。同时，能够通过SSL代理功能控制Gmail加密邮件的发送。论坛发帖控制策略规则能够对通过HTTP Post方法上传的含有某关键字的内容进行控制，如阻断内网用户在论坛发布含有指定关键字的帖子。

 例外设置

对于特殊情况下不需要上网行为管理策略规则进行控制的对象，可以通过例外设置实现。例外设置包括免监督用户、黑白名单和Bypass域名。

/ 42

典型中小型企业网络边界安全解决方案

分级日志管理模式示意图

4.2.6 实现URL过滤

山石网科结合中国地区内容访问的政策、法规和习惯量身定制了强大的URL地址库，包含数千万条域名的分类web页面库，并能够实时同步更新，该地址库将被配置在所有分支机构出口的山石安全网关上，对员工访问的目标站点进行检查，保障健康上网。

山石网科提供的URL过滤功能包含以下组成部分：    黑名单：包含不可以访问的URL。不同平台黑名单包含的最大URL条数不同。白名单：包含允许访问URL。不同平台白名单包含的最大URL条数不同。

关键字列表：如果URL中包含有关键字列表中的关键字，则PC不可以访问该URL。不同平台关键字列表包含的关键字条目数不同。

/ 42

典型中小型企业网络边界安全解决方案

  不受限IP：不受URL过滤配置影响，可以访问任何网站。

只允许用域名访问：如果开启该功能，用户只可以通过域名访问Internet，IP地址类型的URL将被拒绝访问。

 只允许访问白名单里的URL：如果开启该功能，用户只可以访问白名单中的URL，其它地址都会被拒绝。

4.2.7 实现网络病毒过滤

随着病毒技术的发展，网络型病毒（比如蠕虫、木马等）已经被广泛应用了，这种病毒的特点是没有宿主就可以传播，在网络中快速扫描，只要发现网络有许可的行为，就能够快速传播，其危害除了对目标主机造成破坏，在传播过程中也产生大量的访问，对网络流量造成影响，对此传统在主机上进行病毒查杀是不足的，对此问题就产生了病毒过滤网关，该系统类似于防火墙，采用“空中抓毒“技术，工作在网络的关键节点，对经过网关的数据包进行过滤，在判断为是病毒的时候进行阻断，防止病毒利用网络进行传播。

这里建议中小企业可利用安全网关的病毒过滤技术，对各个安全域在实行访问控制的同时，进行有效的病毒过滤，杜绝某个安全域内（比如终端区域）的主机感染了病毒，该病毒无法穿越病毒过滤网关，从而无法在全企业网蔓延，造成更大的破坏。

山石网科的病毒过滤能够有效解析出上十万种病毒，能够侦测病毒、木马、蠕虫、间谍软件和其他恶意软件。基于多核Plus® G2架构的设计提供了病毒过滤需要的高处理能力，其提供的应用处理扩展模块进一步的提高了病毒过滤的处理能力和总计处理能力，全并行流检测引擎则使用较少的系统资源，并且在并行扫描会话和最大可扫描文件

/ 42

典型中小型企业网络边界安全解决方案

方面提供高升级性。

病毒过滤系统同样也大大提升了服务器的安全性，在当前访问控制的基础上，进一步保障了关键业务的安全性。

4.2.8 部署IPSEC VPN 山石网科安全网关支持的IPSec VPN技术，作用于中小企业，可实现总部与分支机构之间通过互联网的纵向互联，并作为现有专线的备份链路，在不增加额外投资的基础上，提升了系统总体的安全效率。（当然需要总部的互联网出口也部署有标准IPSEC VPN系统）

在通过互联网实现纵向互联的过程中，通过IPSEC VPN技术，将实现如下的保护：   机密性保护：在传输过程中对数据进行加密，从而防范了被篡改的风险；

完整性保护：在传输过程中，通过HASH算法，对文件进行摘要处理，当到达接收端时再次进行HASH，并与发送端HASH后形成的摘要进行批对，如果完全相同则证明数据没有

/ 42

典型中小型企业网络边界安全解决方案

被篡改，从而保障了传输过程的完整性；   抗抵赖：IPSEC VPN运用了数字签名技术，采用对称密钥算法防范传输数据被抵赖的风险； 抗重放：IPSEC VPN运用系列号，一旦某个数据包被处理，序列号自动加一，防范攻击者在收取到数据包，以自己的身份重新发送的风险； 山石网科安全网关IPSec VPN支持的主要技术包括：  标准的技术使Hillstone IPSec VPN能和国际VPN厂商互通，只要对端采用标准IPSEC协议，即可实现互联互通；   全面的加密算法支持，包括AES256、Diffie-Hellman Group 5；

支持静态IP对端、动态IP对端、拨号VPN对端，可以很好地使用各个分支机构实际的网络环境；  支持VPN上的应用控制，在隧道内针对中小企业，提供更完善的访问控制。

4.2.9 实现安全移动办公

山石网科安全网关支持的SSL VPN技术，针对移动办公人员，在不需要配置任何客户端的情况下，实现安全可靠的接入。通过USB KEY的方式，配发证书，移动办公人员必须在提交KEY证书后，安全网关方可允许其通过互联网接入到企业网内，实现安全快捷的访问。方案建设效果

本方案利用山石网科安全网关，作用于中小企业各个分支机构的互联网出口，对员工上网行为进行有效控制和记录，对比现有的安全手段，将在如下层面提升安全性：

/ 42

典型中小型企业网络边界安全解决方案

总体部署效果示意图

【实现集中监控】

在采取了统一品牌的山石网科安全网关后，通过部署在总部的安全管理中心，实现对分布在各个分支机构互联网出口的安全设备的集中管理，重点对日志进行集中的收集和分析，确保在发生安全事件后能够快速传递到总部，以便采取必要的保障措施。【实现有效访问控制】

通过严格的访问控制，限制了内、外部用户对企业各种资源的访问，限制员工对ERP和OA的访问，限制互联网用户对企业网站的访问，由于这些人员只能通过许可的方式，因此大大降低了重要信息资产的暴露程度，提升了系统的安全性； 【有效保护关键资产】

/ 42

典型中小型企业网络边界安全解决方案

对于中小企业而言，关键的信息资产就是各类应用服务器，和数据库，由于本方案采取安全域划分的方式，将这些关键资产集中起来进行有效防护，因此大大提升了系统的总体安全性； 【有效防范攻击】

山石安全网关支持超过3,000种的攻击检测和防御，支持攻击特征库离线在线更新，定期自动更新多种方式。

山石安全网关内置的入侵防御系统重点实现了对重要服务器的保护，当其他主机访问业务系统时，发起对服务器的访问，山石入侵防御系统会在线分析这些数据包，并从中剥离出哪些是正常访问的数据包，哪些是存在攻击行为的数据包，在此基础上对攻击包采取有效的封堵行为，从而保障了安全可靠的访问，进一步保护了易程公司关键的应用服务器。

【有效过滤病毒】

与防范攻击的作用类似，科山石安全网关内置的过滤网关部署在重要的安全域边界，当重要的服务器接受访问时，病毒过滤网关深入分析数据包，检测出是否携带病毒，或者数据包本身就是由一些恶意病毒（比如木马、蠕虫等）引发的，并采取有效的查杀，或者将数据包直接丢弃。

【基于角色的控制与资源保障】

/ 42

典型中小型企业网络边界安全解决方案

中小企业的上网人员是多个层面多种角色的，因角色不同，在访问控制和资源保障部分，需要有不同的策略与力度。山石安全网关能够与第三方身份认证有效整合，在控制（比如访问控制、日志审计）和资源保障（比如QOS）方面能够根据用户身份以及对应的角色来进行配置，解决了传统以IP地址为依据时，IP地址容易被伪造的问题； 【上网行为实名制审查】

国家相关监管部门要求提供上网的机构，应当对上网人员的行为进行记录，以备在员工进行违规访问（比如发布发动言论，访问非法网站）时，能够进行追溯。而目前中小企业员工均通过NAT来上网，这样单纯在互联网上无法准确定位访问者，即使有些分支机构采取了NAT和上网行为管理设备，但这些设备对行为之记录到IP地址，很难对应到具体的人员。

对此山石安全网关能够在身份识别和角色确定的基础上，对上网人员的行为（访问了什么地址、进行了什么操作、访问的时间、访问产生的流量等）进行有效记录，从而做到实名制审计。【有效封堵P2P和IM】

P2P和IM的特点是，运用动态端口进行访问，对此传统访问控制的基础是地址、协议和端口，这种控制方法根本无法从根本上封堵P2P和IM。

山石安全网关支持的深度应用识别，通过协议分析能够有效鉴别出真实的应用，再此基础上进行控制，方可实现对P2P和IM等通过动态端口的应用。【更全面的URL过滤】

目前中小企业的URL过滤库采用手工方式维护，这种方式无论从实效性、全面性上都存在明显不足，山石网科安全网关内置了一套完整的URL地址库，具有超过2000万条域名的分类Web页面库，并实时保持同步更新，当中小企业办公网用户访问了不健康、反动、不安全的网站时，系统会根据不同的策略，进行报警、日志、阻断等动作，实现健康上网。

/ 42

典型中小型企业网络边界安全解决方案 【对专线形成补充】

目前中小企业各个分支机构与总公司之间，通过专线实现纵向链接，并支撑纵向的业务访问，而总公司和各个分支机构都有互联网的通道，该通道也可作为专线的备份链路，并且从节约投资的角度，甚至可以用互联网通道取代专线，降低系统总体成本。

山石安全网关支持的IPSEC VPN技术，可以在互联网通道上提供安全保护，数据传输过程中采用加密、完整性校验措施，保障了数据的安全性。【实现安全移动办公】

通过SSL VPN解决了远程办公的安全隐患，使移动人员能够安全、可靠地访问企业网资源。

试论企业内部控制边界 第3篇

一、引言

从1905年Dicksee首次提出内部牵制（Internal check）以来，内部控制就逐渐成为企业管理的重要问题。在经历了内部牵引、内部控制、内部控制结构等阶段后，内部控制进入了整体框架阶段。人们对内部控制的认识也由最初认为内部控制是以差错防弊为目的，以职务分离和账目核对为手段，以钱、账、物等会计事项为主要控制对象的管理活动，发展为内部控制是由董事、管理层及其他人员在公司内进行的，旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。在内部控制实践不断丰富和理论研究日趋深化的背后是企业内部控制边界的与时俱进。随着全球公司治理变革不断演进、内部控制重要性愈发突出以及企业社会责任概念日趋成为企业行为准则，企业内部控制边界如何适应这一变化要求就成为理论界和实务界关注的焦点。

对于现代企业而言，企业内部控制的主体既包括企业内部利益相关者（内部股东、董事、管理者、员工等），也包括外部利益相关者（债务人、非股东融资者、供应商、消费者等）。由于契约主体的利己心理和机会主义动机，企业中各个利益相关者之间并不总是和谐相处，可能会产生利益冲突。对于企业每个利益相关者来说，自然也就会存在利益的差异，因此各个利益相关者不可避免地会诱发谋求自身局部利益最大化的倾向。对于这种倾向如果不予以规范和引导，势必导致利益相关者内部控制目标偏离企业整体内部控制目标。通过有效制度安排可以协调各利益主体之间的冲突，从而实现企业内部控制目标。以和谐观为指导建立有效的内部控制就是其中重要的制度安排。

二、和谐观下内部控制边界的内容

所谓和谐观就是人们对和谐思维的总的看法和根本观点。现代和谐观的内涵十分丰富，主要包括：坚持以人为本、促进全面发展、保持协调发展、实现可持续发展、兼顾公平效率、实现公平正义。和谐观是一个完整的理论体系，其中，坚持以人为本是和谐观的核心内容，只有在实践中强调和谐，人才能克服各种制约因素，达到主体和自然的和谐统一；促进全面发展是和谐观的重要目的，全面发展既讲经济发展，也兼顾人和社会的全面进步和发展，特别是强调人与自然、人与社会的协调发展，是一种全面的发展观，只有促进全面发展才能实现人的发展与社会发展的一致性；保持协调发展是和谐观的基本原则，促使社会的各个组成部分之间要相互联系、相互沟通、相互协作；可持续性是指一种可以长久维持的过程或状态，实现可持续发展是和谐观的重要体现；兼顾公平效率，实现公平正义是和谐观的总体要求是和谐观的总体要求。因此，和谐观不仅是一种价值理念，也是一种思维方法。构建和谐社会是人类千百年来的梦想和追求。企业是社会肌体的重要组成部分，作为经济社会发展的主要驱动力，既是构建和谐社会的主要载体，也是构建和谐社会的重要基础。在和谐社会视角下建立企业内部控制不仅是企业内部控制边界一次根本性的改变，还是企业适应人类社会发展规律。

和谐观下内部控制边界内容包括和谐的内部共同控制和和谐的内部相机控制两方面。其中，和谐的内部共同控制是指通过建立一套有效的制度安排，使各利益相关者都有平等的机会分享企业内部控制权，即通过分享企业内部控制权来相互制衡，以保护其收益权免遭他人侵害，从而达到长期稳定合作的目的。要实现和谐的内部共同控制关键在于企业要对各利益相关者进行分散对称的内部控制权配置。主要表现在：

一是共同的内部控制收益分享机制。不同性质的股东、管理层、债权人对于内部控制收益分享权有着不同的理解，因此内部控制收益的分配往往是公司内部控制的矛盾所在。内部控制收益分享机制的解决办法是在不同利益相关者之间按照效率与公平的原则，共同分享公司的收益。

二是共同的内部控制决策机制。合理的内部控制决策机制能够保证各产权主体都有平等机会参与企业的内部控制决策。依据管理学原理，内部控制决策权可以分为内部控制战略决策权和内部控制战术决策权。内部控制战略决策权是指企业内部控制决策者根据环境的变化、本身的资源和实力选择适合的经营领域和产品，形成自己的核心竞争力，并通过有效的内部控制在竞争中取胜的权力。企业内部控制战略决策权具有指导性、全局性、长远性、竞争性、系统性风险性等主要特征。内部控制战术决策权是指具体的内部控制安排权力。

三是共同的内部控制监督机制。主要是指内部控制对公司重大的筹资、投资、企业并购以及清算等重大财务问题应保留决策权，并实施有效的审计监控。

和谐的内部相机控制是在企业经营出现危机时，通过有效的制度安排使受损失的财务主体能够取得企业的内部控制权，以改变既定的利益分配格局。和谐的内部相机控制的基础是企业所有权特征和经营状态。在所有权既定情况下，不同经营状态反映了不同的利益分配格局，当其中某个利益主体的权益遭到严重侵害时，其必然要求改变既定格局，进行企业内部控制权分配的再谈判。

三、和谐观下内部控制边界构建

和谐观下的内部控制边界要求企业通过有效方式来建立相应的内容。企业可以通过结构和谐、过程和谐和行为和谐来构建企业内部控制边界。结构和谐、过程和谐和行为和谐也就从本质上回答了和谐观下内部控制边界的内容：企业内部控制是由谁制定？企业内部控制如何制定？企业内部控制如何执行？

和谐观下内部控制的结构和谐是指企业内部控制决策制定权合约安排的程序和谐。根据现代企业理论，企业本质是关于企业所有权分配的合约，其核心问题是契约安排即剩余索取权和控制权的安排问题。而从企业所有权安排的性质和内容来看， 无论是企业剩余索取权还是企业控制权， 其关键在于企业内部控制的决策权在各利益相关者之间合理安排， 使各利益相关者具有相同机会参与企业内部控制决策。

和谐观下内部控制的过程和谐是指企业内部控制政策制定和支持过程中的和谐。从利益相关者角度来看企业的内部控制，在强调内部控制与外部控制并重的同时，以企业利益相关者团体满意化为导向，以协调内部利益相关者的利益为核心内容，以企业内部控制的有效实施为最终目标， 遵循利益相关者合作共赢的利益逻辑，来分析定义在企业的利益相关者这张大网上， 每个人应扮演的角色、职责与义务。

和谐观下内部控制的行为和谐是指内部控制决策执行人按照企业内部控制规则和相关指令进行个人行动的和谐。人是社会发展的价值主体和评价主体。和谐观下企业内部控制不仅重视发挥主体能动性，而且以人的发展为根本，以能否最大限度地满足人的需要作为衡量社会进步的重要价值尺度。当然，在企业内部控制实际活动中，就是不仅重视公司股东和管理者等内部人利益，而且重视债权人、员工、顾客、供应商等利益相关者利益，最大限度使各利益相关者在内部控制中的行为符合和谐观，并且获得和谐收益。

四、结论

有效的内部控制将有助于实现企业经营目标，保护资产安全完整，保证会计信息资料正确可靠，确保经营活动的经济性、效率性和效果性。尽管我国企业内部控制取得了一定成就，但还存在较多问题，内部控制边界模糊是重要原因，主要表现在：

一是内部控制制度不健全。内部控制制度是企业各个部门及工作人员在业务运作中形成的相互影响、相互制约的一种动态机制，是具有控制职能的各种方式、措施及程序的总称，它决不能简单地等同于企业的规章制度或内部管理。内部控制不是一种概念，是体现在企业各种规章制度之中的行为准则。我国企业内部控制还不健全，不能覆盖到企业中所有部门和人员，没有渗透到企业各个业务领域和业务操作系统。

二是缺乏有效的监督机制。个人权力高度膨胀，缺少监督制约，必然导致腐败。我国企业内部控制安排中往往忽视了内部控制的监督作用，带来了严重后果。

三是内部控制意识薄弱，缺乏内部控制文化。内部控制需要董事会、高级管理层和员工共同努力才能实现。目前，我国企业内部控制文化并未真正形成，甚至部分管理者还不理解内部控制和风险管理的内涵，将业务发展与内部控制对立起来，风险防范意识较差。

基于本文的理论分析，要解决我国企业内部控制存在的问题，就必须明确我国企业内部控制边界，需要从结构和谐、过程和谐以及行为和谐三方面，综合考虑股东、债权人、经理、员工、供应商和顾客、政府的利益，建立起有效的内部控制边界。

论内部控制的有效边界 第4篇

一、内部控制的内涵

(一) “内部”的标准

其一, 原则性标准。判断某一控制活动属于“内部控制”还是“外部控制”取决于控制的主体, 也就是说, 如若控制主体是“内部人”, 则该控制活动系内部控制, 否则为外部控制。主体身份与具有独立法人资格的组织之间的隶属关系是判断“内部”与否的原则性标准。这与公司治理中的“内部人”是有区别的。公司治理中的“内部人”将未直接参与生产经营的股东排除在外, 但在内部控制中“股东”作为一种特殊的职业身份被完整地纳入到“内部人”的范畴中。当然, 职务上的隶属关系可能是紧密型或松散型的。需要指出的是, 实施控制的主体和控制主体是有差别的。控制主体通常是指一个集体, 实施控制的主体则是指具体的某个人。二者之间的联系在于, 实施控制的主体属于某一特定控制主体, 并在控制主体的授权委托下从事具体的控制活动。概念上的差异并不对主体的内部性构成威胁, 因而, 在表达上将其统称为内部控制的主体。其二, 派生标准。构成控制的另一个不可或缺的要素是控制客体。一般而言, 控制的客体包括资源和交易两大类。能够作为内部控制客体的资源和交易也必须得具备“内部性”。控制客体的内部性必须以控制主体的内部性为前提。 (1) 资源的内部性。资源的内部性集中体现在组织对资源的享有方式上, 即拥有资源的所有权、控制权和使用权。 (2) 交易的内部性。交易的内部性集中体现在交易主体的内部性上, 即无论交易的行为地在何处, 只要交易双方至少有一方属于“内部人”, 则该交易为内部控制的对象。

(二) “内部”的相对性

“内部”的标准是针对如何界定内与外而言。“内部”的相对性则纯粹在“内”的前提下讨论问题。内部控制具有层次性, 且按不同经济主体分层, 这些经济主体也就是不同控制层次中相应的控制主体。大体上包括:高层内部控制、中层内部控制和基层内部控制。控制的作用方式是自上而下的, 高层控制的作用效果涵盖了中层和基层, 中层主体实施控制的作用效果则直指基层。需要说明的是, 以高层、中层和基层对内部控制主体进行区分仅仅是一种笼统地分层方式。在现实中, 这三层中的每一层中也都存在更为细致的分层。正是因为内部控制具有层次性, “内部”的相对性才得以产生。一方面, 高层主体实施的内部控制对于中层或基层而言具有显著的“外”的色彩, 类似地, 基层对中层主体实施的内部控制也会有“外部”施加压力的感受。另一方面, 对于较高层次的控制而言, 较低层次的控制主体, 从某种角度上说作为资源构成控制的对象。

二、内部控制的外延

(一) 与内部控制相关联的外部市场

任何一个企业的发展都离不开市场, 这些市场主要是指资本市场、供应市场、销售市场和劳动力市场。在资本市场上, 企业一方面进行资金筹措, 另一方面, 又会将闲散资金投放到资本市场。在供应市场上, 企业获得生产经营必须的设备、原材料等物资。企业通过销售市场, 将商品资本转换为货币资本, 并获得资本增值。企业所需要的人力资源则来源于劳动力市场。当企业与市场发生关系时, 内部控制的触角自然也就伸向了市场。此时, 内部控制的“辐射效应”便产生了。

(二) 内部控制对外部市场的“辐射效应”

内部控制能够对外

部市场产生“辐射效应”是由于交易双方中的一方是代表企业的“内部人”, 而不是内部控制能够对外部市场产生控制效果。由于企业在不同市场中从事的交易是有差别的, 因而, 内部控制对外部市场的“辐射”方式也不尽相同。 (1) 资本市场上的内部控制“辐射”。在资本市场上, 企业筹措资金的方式主要包括股票融资和负债筹资。无论采取何种方式, 企业都需向资金提供方提交财务报告。而企业所提供财务报告的真实性是与企业的内部控制状况密不可分的, 这就是内部控制在资本市场上的“辐射效应”。 (2) 供应市场上的内部控制“辐射”。在采购与付款循环中, 企业为了自身的利益, 将设置一系列的内部控制制度。这些内部控制制度既有可能针对“资源”, 如防止采购人员在采购过程中收受贿赂购入质次价高的物资, 又有可能针对“交易”。交易的另一方是市场上的供应商, 所以, 企业对采购交易进行的控制势必会波及供应商。 (3) 销售市场上的内部控制“辐射”。与供应市场的情况类似, 企业对交易的控制也会对销售市场产生“辐射”效果。例如, 企业为了避免过多的赊销可能带来的坏账损失, 对赊销的授权审批做出了严格的限制性规定, 这些规定将会对那些资金实力不够雄厚的客户不利。由此可见, 销售与收款循环的内部控制将直逼企业的市场占有率。 (4) 劳动力市场上的内部控制“辐射”。“人”作为内部控制的对象时, 往往是以“资源”的身份出现的。从对员工的选拔录用, 到考核培训, 再到日常管理, 甚至是辞退, 企业的人事政策中不乏控制的因素。相当一部分的人事政策都会给劳动力市场上企业潜在的人力资源以示范作用。

三、利益相关者之间对内部控制制度的博弈

(一) 内部控制制度的利益相关者

内部控制制度的利益相关者大体上可以分为内部控制施控方和承受方。具体包括:股东、董事、监事、经理人员、员工、顾客、供应商、债权人。其中, 股东、员工、客户、供应商和债权人不仅涵盖“现实的”, 还包括“潜在的”。需要指出的是, 除股东外的“内部人”作为内部控制的利益相关者, 即有可能以控制的施控方身份出现, 又有可能以控制承受方的身份出现。顾客、供应商和银行往往属于内部控制的承受方。

(二) 利益相关者对内部控制制度的博弈方式

一项成熟的内

部控制制度乃至整个内部控制体系都是利益相关者之间多次博弈的结果。具体方式图1所示。图1中, “强制”是指以牺牲他人为代价, 满足自己对内部控制的需求。“回避”意味着内部控制施控方逃避或屈服于内部控制承受方。“协作”旨在寻求对各方均有利的内部控制制度。“迁就”是主动将本身利益置于次要地位, 而将内部控制承受方的利益置于自身利益之上。“折中”则是内部控制的施控方和承受各自放弃一些利益, 以求得均衡。很显然, “协作”是解决双方冲突的最佳方式, 但是, 现实中双方为了各自的既得利益, “协作”很难实现, 由此, “折中”便成了退而求次之的选择。具体分析为:

(1) 公司所有者与经营者之间的内部控制博弈现象。理论上, 股东是内部控制的最高层次主体, 拥有最终的控制权, 具有绝对的主动性。但是, 现实中, 股东拥有的实际最终控制权会在不同公司中, 以及公司的不同发展阶段有所差异。这样所有者与经营者 (这里主要指董事会) 之间的控制权配置就有了基本的四种组合方式。组合一, 所有者控制程度高, 经营者控制程度低, 表现为所有者对经营者有过多的束缚, 经营管理者作用的发挥受到严重限制。组合二, 所有者控制程度低, 经营者控制程度低, 表现为无论所有者还是经营者均对公司的经营持漠不关心的态度。组合三, 所有者控制程度低, 经营者控制程度高, 表现为所有者缺位, 公司的实际控制权被经营者掌握, 所有者能否获得法定收益完全取决于经营者的道德素质。组合四, 所有者控制程度高, 经营者控制程度高, 表现为所有者与经营者之间形成了有效的制衡机制, 双方均能发挥各自的作用。在二者的关系中, 经营管理者的控制程度受所有者控制程度的影响, 经营管理者能否掌握到剩余控制权并非由其自身决定, 而是取决于所有者。

(2) 公司与顾客之间的内部控制博弈现象。本文以超市的有关内部控制为例分析说明公司与顾客之间的内部控制博弈现象。保护资产的安全、完整是超市内部控制的目标之一, 因而, 不仅要防止员工的偷窃行为, 更要防止顾客非法占有商品。此时, 多数超市选择让顾客寄存箱包, 但“寄存”的方式各有差别。方式一, 顾客将箱包存于超市开放式的“箱包寄存处”, 凭寄存处提供的号牌取回箱包。方式二, 顾客将箱包存于超市提供的带锁柜中, 顾客保管钥匙。方式三, 顾客将箱包存于超市提供的具有智能记忆功能的柜中, 顾客持只能使用一次的密码条取回箱包, 密码一旦丢失, 须经特殊授权方可解锁。顾客是自身利益的捍卫者, 其会很快发现第一种对自己相当不利。当物品丢失时, 其很可能因无法提供相应证据而独自承担损失。相比较而言, 第二种和第三种方式, 顾客更能够接受。久而久之, 采用第一种方式寄存箱包的超市将会忙于应付越来越多的寄存纠纷, 调整内部控制制度也就变得势在必行了。

(3) 公司与供应商之间的内部控制博弈现象。采购业务通常要经过请购、订货、验收和付款流程。请购纯属内部交易, 订货、验收和付款将会直接涉及供货商利益 (其中, 尤以付款为重) 。公司在付款之前, 须确认已批准的请购单、合同书、验收单和发票, 同时, 还会要求四份单据在品名、规格、数量和质量要求等内容上保持一致。当请购单信息与其他单据信息不符时, 公司将会拒绝付款。供应商此时必定产生不公平感, 甚至提出抗议。请购单信息与其他单据信息不符, 是公司采购代理人的原因造成的, 从法律角度讲, 委托人对代理人的行为约束不得对抗善意第三方。为了防止此类事件的再次发生和避免损害公司形象, 公司对此内部控制有必要做出相应调整。如明确规定请购单与其他单据不符所造成的损失完全由公司内部的采购代理人承担, “付款”流程不受其影响。

参考文献

[1]财政部:《关于印发<企业内部控制规范——基本规范>和17项具体规范 (征求意见稿) 的通知》 (财会便2007第7号) 。

[2]郑石桥等:《内部控制基本原理——融于管理体系中的内部控制》, 新疆科学技术出版社2004年版。

安全边界控制 第5篇

核电厂是技术密集、人员密集型产业,其生命周期包括设计、建造、调试、生产运营和退役五个重要阶段。其中,建安阶段和调试阶段紧密相连,在同一时间和区域内,建安活动和调试活动交叉进行,此阶段的安全、质量和进度管理面临较大的挑战。本文对建安向调试移交过程中边界控制的要求和管理特点进行分析和介绍,为核电站同类型工作提供借鉴。

2 建安向调试移交的特点

按照核安全导则HAD103/02《核电厂调试程序》的要求,建安向调试移交是将构筑物、系统和设备(Structure, System, Component, 以下简称“SSC”)从建造组向调试组进行移交,运行组则必须参与调试活动。移交是SSC管辖权的移交,也是执行调试大纲的开始[1]。

由于核电厂的系统构成的复杂性,为缩短整体建设工期,系统移交工作就必须按照核电厂调试逻辑进行组织,确定移交的先后次序。为了使施工组织和调试达到平衡,又可以将系统按照可以组织调试的系统功能块拆分为1个或多个子系统进行移交,每个子系统划定为1个移交包(Turnover Package,以下简称“TOP”)。

核电厂建安向调试移交有以下特点:

(1)建安向调试移交的TOP数量多,不同电厂有所差别,一般为100-300个;

(2)建安向调试移交参与的组织多,一般有建安、监理、供货商、设计院、工程管理单位、调试和业主代表等;

(3)移交时间跨度长,从外围BOP系统移交开始,到核岛主系统移交,一般跨度1年以上;

(4)移交文件要求严格,建造组根据调试组提供的TOP边界图纸,编制详细的TOP文件,并经过多轮审核。

3 移交过程的边界控制

3.1 边界控制的必要性

按照核电厂建设经验,在施工完成70%时,就需要将施工组织方式从按区域、按专业施工,转移到按系统TOP进行施工。在上百个TOP建安向调试移交的过程中,未移交的SSC由建造组织者负责管辖,执行建安阶段的质保大纲;而已移交的SSC由调试组织者负责管辖,执行调试阶段的质保大纲[2]。

在移交过程中,不可避免的会面临大量的建安和调试交叉作业的情况,这些交叉作业将面临着工作管理要求不一致、工作时间和区域上的冲突、安全措施的冲突等,必须对移交边界进行控制,明确双方的工作范围和管理要求,控制现场安全质量风险。

3.2 边界控制的措施、方法和手段

(1)组织管理措施

核电站的各项活动必须按照质保大纲的要求开展,凡事有章可循。移交边界控制也必须建立相应的管理程序,如系统移交区域管理、调试工作控制管理等,规定建造组、调试组和运行组在边界控制中的具体职责和管理接口。加强协调。由建造组、调试组和运行组以及移交参与各方通过定期会议形式,加强沟通,及时协调处理移交边界控制中存在的问题。专人负责。对每个TOP,建造组和调试组分别设专人负责,确保边界问题能第一时间找到责任人。日常检查。建造组、调试组和运行组分别建立日常检查机制,对移交边界进行检查,及时发现问题。加强监督。安全管理部门设专人对现场移交区域边界上的工作进行监管,从安全管理角度对移交边界的管理进行监督。

(2)系统移交边界控制

在系统移交后,调试组将组织调试工作,系统将通入介质,包括水、电、气等导致人员伤亡或设备损坏的高能流体。必须对系统移交边界进行控制,防止高能流体流入未受保护的建安区域,导致事故发生。因此,在TOP签字后,应迅速建立系统边界控制,由机组工作控制中心(也称隔离办)对系统设备进行隔离(边界隔离,防止边界被误动导致的意外)和挂牌(标明设备状态信息,提醒现场人员注意)。隔离和挂牌管理是电站调试阶段日常工作控制中最重要的安全管理方法[3]。

系统移交后,所有在已移交系统上进行的工作都需要通过机组的工作控制中心,由工作控制中心进行授权和许可后才能开展。在工作授权和许可前,工作控制中心应联系调试组系统负责人,确认系统调试状态,避免工作冲突。另外,根据工作内容建立必要的安全隔离措施,如对边界设备进行挂牌和挂锁,防止设备被误动。

(3)系统移交区域的实体隔离

为确保安全,系统移交区域和非移交区域应建立实体隔离,使施工人员和调试人员在其工作区域内工作,不受对方的影响。实体隔离的方式可包括房间钥匙控制、区域建立软隔离(如警示带)或硬隔离(如栅栏),必要时安排临时保安等。实体隔离应明显标注隔离区的信息,主要包括组织、调试负责人及联系信息、潜在安全风险等。由于核电厂系统较为复杂,部分系统、房间或区域在空间上无法建立实体隔离,这些区域的边界控制应考虑以下方式:在区域内明显位置注明系统移交信息和潜在风险;可建议暂缓移交,待具备建立建安/调试实体隔离后进行移交;移交后暂不开展向系统内通入介质的调试工作。为降低风险,高度交叉作业(建安和调试)的区域,系统移交时均应进行充分的安全、技术和进度评估。如现场条件许可,房间和区域移交应优先于系统移交。

(4)移交尾项

尾项,是指按照设计文件和施工工艺规范或施工技术规范的要求,施工或调试未全部完成但不影响实现其设计功能的问题,这些问题不要求在移交前处理完毕,但必须明确问题的处理期限及责任方,移交后将继续由责任方负责消除。理想情况下,系统应完整移交,不带任何尾项。而在核电厂系统移交过程中,由于各种条件制约以及进度需要,不可避免会产生相当数量的尾项,这些尾项在移交后进行处理,其责任方一般为建造组。移交后的尾项处理必须至少满足以下三个先决条件:建造组已经做好尾项消除的准备(包括文件、材料、工具、人力等);调试计划为尾项消除安排合理的时间窗口,包括设备停运或电气柜断电等;尾项消除工作获得运行组的授权许可(工作票)。在海阳核电1号机组调试过程中,曾发现建安单位为尽快消除通风系统移交尾项,未开工作票,现场拆除移交边界的盲板并安装风管的事件,这是移交尾项处理对移交边界控制影响的典型案例。因此,应重点关注后续两点对边界控制的影响,合理为尾项消除安排工期,强调建造组的尾项消除工作必须获得许可的管理要求。

(5)边界防护措施

由于交叉作业的存在,同一空间内可能存在已移交和未移交的设备,如:同一电缆桥架上存在已移交电缆和未移交电缆;已移交设备上方有未移交的设备施工;现场开孔或打磨作业引起的粉尘进入已移交设备等。对于此类交叉作业,建造组应按照现场张贴的信息,及时与调试组系统负责人取得联系,商量和确定工作必须的防护措施,避免施工人员受到已移交设备影响,同时避免施工活动对已移交设备造成二次损坏或污染。在电厂的管理程序中应明确此类问题的处理方式和流程,同时应加强现场巡检和控制。

(6)信息通报和公告

由于信息通报不及时或信息通报和公告不广泛,而现场的工作人员和工作活动较多,交叉作业非常容易出现意外,如厂房内建安正进行压力试验或探伤,调试组人员未获知而进入;调试组进行电源切换试验停电,影响现场施工用电等。电厂应建立统一的信息发布平台,确保现场人员第一时间获取和了解调试和建安的作业情况及潜在风险,进行有针对性的部署和安排。信息发布平台必须具备及时性、准确性和相关性的要求,特别是局部区域受影响的,局部区域边界应有明显标识。

(7)人员培训

由于移交过程和现场施工、调试交叉作业涉及的组织较多,各组织人员难以获取移交区域交叉工作边界控制相关的管理要求和措施。在调试初期特别容易发生施工人员未获得许可在已移交设备上工作的事件,这是由于现场施工承包商较多,施工人员来源广泛,管理相对松散,现场的管理要求难以宣传和彻底贯彻。应加强人员培训,特别是施工人员的培训,使其了解移交后电站工作控制的管理要求,尤其是“未授权不得在挂牌设备上工作”的要求,以避免因不了解程序而造成意外。海阳核电1号机组在调试初期多次发生施工人员误动已移交调试设备的事件,所幸未引起严重后果;后续经过多轮培训和复训,对一线施工人员强化移交边界管理要求,现场边界被误动的事件大大减少。

4 结束语

系统移交是核电厂建设阶段的重要活动,应设置具体的流程和管理要求来进行规范。伴随着系统移交后调试工作的逐渐展开,建安和调试两大组织高度交叉作业,面临较高的安全和质量风险。必须建立建安向调试移交边界控制的管理措施和要求,加强交叉作业的管理和监督,以降低安全风险。建安向调试移交过程中的边界控制方法,不仅仅限于本文所探讨的,还可以根据各个核电项目的实际情况不断探讨和完善。总之,必须对核电厂管理上的高风险活动高度重视,并采取合理有效措施,确保核电建设的质量和安全。

摘要：介绍了核电厂建安向调试移交过程中边界控制的要求和管理特点,提出移交过程中边界控制的措施、方法和手段,确保建安和调试交叉作业能在安全可控的范围内有序开展,可为核电站同类型工作提供借鉴。

安全边界控制 第6篇

关键词：风洞侧壁边界层,多段翼型,侧壁干扰,吹除控制系统

飞机性能的好坏主要取决于机翼翼型的气动性能。而翼型的气动性能数据来源于精确的风洞实验。在翼型风洞实验中,风洞侧壁边界层的增厚会促使处于大迎角状态时的翼型与侧壁连接处的边界层(尤其是翼型后缘附近的边界层)提早分离,从而导致翼型模型展向出现三维效应。为了减小风洞侧壁边界层的干扰影响,本文以GAW—1翼型为研究对象,通过侧壁边界层吹除的测压实验研究翼型气动特性随迎角和边界层控制系统中吹气位置和吹气系数的变化规律,测量翼型模型在风洞中的流场特性和压力分布,以及升力、阻力、俯仰力矩和升阻比特性变化,分析该方法对单段和多段翼型在不同雷诺数、不同迎角,尤其是大迎角时翼型表面边界层分离的改善程度。最后将侧壁吹气时模型中间剖面和端部截面的气动特性比较分析,探讨侧壁边界层吹除技术对改善翼型实验中侧壁边界层干扰的有效性,并形成一套翼型侧壁边界层吹除的实验控制技术[1,2,3]。

1实验设备

1.1风洞与数据采集系统

实验是在西北工业大学“翼型—叶栅空气动力学国防重点实验室”的NF—3低速风洞二元试验段内进行的,该风洞是直流式闭口风洞,有3个可更换实验段:三元实验段、二元实验段和螺旋桨实验段。实验是在二元实验段内进行的,实验段宽3 m,高1.6 m,长8 m,风速范围为(20～139)m/s,实验段紊流度为0.045 5%。风洞配有一套PSI9816电子扫描压力采集系统,其压力传感器大于(17 k Pa)(2.5 PSi)量程精度是0.05%FS。量程小于等于(17 kPa)(2.5 PSi)的压力传感器是0.15%FS。

1.2模型

实验采用GAW—1主翼型+富勒襟翼两段翼型。模型采用钢芯木质结构,弦长1.0 m,展长1.6 m。为测量模型在靠近侧壁截面上的压力分布,分别在模型翼展中间剖面和靠近洞壁80 mm剖面各开了87个测压孔,各测压孔由Φ1.2 mm的紫铜管通过转轴引出模型连到PSI9816电子扫描阀各对应传感器上。

1.3侧壁边界层吹除控制系统

在学校985二期实验室建设项目支持下,在原NF—3风洞侧壁吹气系统基础上[4,5],将原系统的两条吹气缝增加为三条吹气缝的控制方案,研制的NF—3风洞二元实验段侧壁边界层控制系统由气源、截止阀、电动调节阀、电气比例阀、气控比例阀、过滤器、油雾截止阀、电磁阀、标准压力表、安全阀、稳压罐、稳压盒、吹气缝及管路系统等组成,如图1所示。压缩空气从10个大气压的气源引出,通过截止阀、电动调节阀到稳压箱,经过较长距离流动的气流在稳压箱得到缓冲和稳定,然后由四个电动调节阀门分四路调节控制,将均匀高压气流通过稳压罐送到风洞试验段上、下壁的稳压盒,气流在稳压盒进一步得到稳定后,由风洞上、下内壁的吹气缝沿壁面切向吹入模型与洞壁交汇处,给侧壁边界层补充新的能量,防止或延缓边界层气流的分离。各缝吹气的开闭和吹气量大小可通过计算机进行自动控制。

1.4 吹气缝

侧壁边界层吹除控制系统采用三条吹气缝的控制方案[6], 缝宽均为2 mm,带吹气缝的稳压盒结构和吹气缝外形如图2所示。前吹气缝位于模型前缘的弦线之上,缝长260 mm,中缝距模型前缘460 mm位置处,缝长660 mm,为使翼面上下不串气,在中缝稳压盒中沿轴线隔开,分别用两个阀门控制;后缝在距模型前缘788 mm位置处,缝长120 mm。

2 实验方法

2.1 吹气系数确定

侧壁边界层吹除控制实验中吹气量通常是用吹气系数λ来表征控制的。设试验段自由流的动压为q∞,吹气缝出口的动压为qj,吹气系数定义为:λ=qj/q∞(qj=poj-p∞),其中:poj(poj=p表压+p当地大气压)是稳压盒内的压力;p∞(p∞=p当地大气压-q∞)是风洞实验段静压。稳压盒侧壁开有一个测压孔,可以认为该孔感受的压力就是吹气射流的总压,用橡皮管将该压力连到精密压力表上。这样qj的控制转到精密压力p表压来控制。将qj,poj和p∞代入λ=qj/q∞便得:

p表压=λ(q∞-1) (1)

用不同吹气系数做实验都是通过p表压来保的。p表压反映的是比当地大气压高出的压力。实验时,我们将连在稳压盒的高压气管上的传感器与计算机相连,从而实现吹气量的智能控制。从而也就保证了实验所用的吹气系数。

2.2 气动力测量

模型实验时,由PSI9816电子扫描压力采集系统采集并处理翼型表面弦向压力数据,然后通过翼型表面压力测量结果进行积分得到翼型的升力、力矩和升阻比系数,由冲量法得到翼型的阻力。

3 实验结果与分析

3.1 最佳吹气缝组合

图3～图4为雷诺数Re=0.685×106,吹气系数λ=20时,不吹气和不同吹气方式的GAW—1单段翼型升力特性验曲线和攻角α=15°时的压力分布。图中三种吹气方式指:第一种吹气方式是后缝关闭,前缝和中缝打开;第二种方式是前缝关闭,中缝和后缝打开;第三种方式是前、中、后缝同时打开。从图3中可以清楚的看出:相对不吹气而言,三种方式吹气时,翼型的升力都有较为明显增大。其中以第二种方式的升力、升力线斜率和最大升力系数增大最大。例如,当迎角α=12°时,侧壁吹气时的升力系数为1.536 2,不吹气时的升力系数为1.449 8,相对增大了5.96%。从图4中可以看出,三种方式时的压力分布高于不吹气时的压力分布,其中也以第二种方式吹气时压力吸力峰包络最大,压力变化较大区域表现在距模型前缘10%～50%范围。因此,对于本次GAW—1单段翼型实验来说,最佳吹气方式为前缝+中缝组合的第二种吹气方式。

3.2 最佳吹气系数确定

图5～图6为雷诺数Re=0.685×106,吹气系数λ=0,7,13,20,29时,GAW—1单段翼型升力、和阻力特性曲线。从图中可以清楚地看出,侧壁吹气时翼型的升力、阻力特性曲线比不吹气时都有明显的改善;升力系数有不同程度的提高,而阻力系数略有减小,其中吹气系数λ=20时翼型的气动特性改善最为显著;如当攻角α=16°翼型最大升力系数为1.602 7,相对不吹气时的升力增大了14.83%,而阻力为0.066,相比不吹气减小了41%。图7为相同雷诺数下,襟翼偏角δj=30°,GAW—1多段翼型在不同吹气系数λ时的升力特性曲线,与单段翼型情况相同,吹气时的升力系数明显大于不吹气的升力系数,如当翼型攻角α=11°,吹气系数λ=29时,对应的最大升力系数为3.094 1,比不吹气时增加了2.873%。从以上分析看出,无论单段翼型还是多段翼型,吹气系统均可以减小或消除洞壁边界层的干扰,而且对带增升装置的翼型,其效果更好一些。在本次实验条件下,GAW—1单段翼型最佳吹气系数为20,多段翼型最佳吹气系数为29。

3.3 展向气动特性比较

图8为Re=0.685×106,襟翼偏角δj=30°时, GAW—1多段翼型中间剖面和端部截面有无吹气时的升力特性比较曲线。从图中可以看出,吹气时,中间剖面和端部截面的升力增大,最大升力系数增大。例如λ=29时,机翼中间剖面和端部截面的最大升力系数分别为2.322 6和2.387 6,与无吹气(即λ=0)时,对应截面的最大升力系数分别增大了2.16%和6.766%。此外,从图9迎角α=12°的GAW—1多段翼型压力分布曲线可以看出,侧壁吹气改善了翼型展向的二维流动性。

图10为Re=0.685×106,襟翼偏角δj=30°,有无吹气时GAW—1多段翼型力矩特性曲线。从图中可以看出:吹气情况相对无吹气时,中间剖面和端部截面的力矩绝对值都有所增大,侧壁吹气增大了翼型的低头力矩。

4 结论

(1) 通过将GAW—1多段翼型有无侧壁吹气实验结果的比较分析,以及侧壁吹气时模型中间剖面和端部截面的气动特性比较分析,说明了NF—3风洞新研制的侧壁边界层吹除系统的设计合理,实现了吹气压力的自动控制,系统可以正常运行。

(2) 在本次实验的低雷诺数(Re=0.685×106)情况下, NF—3低速风洞GAW—1翼型测压实验的最佳吹气方式是前缝关闭,中缝+后缝打开组合,针对不同的翼型构型有不同最佳吹气系数。

(3) 所研制的吹除系统可以有效的控制翼型与风洞侧壁边界层的干扰,改善翼型展向的二维流动性,提高翼型气动特性测量的精确性。

参考文献

[1] Girardi R M,Assato M Effect of the blown plane jet thickness on theminimization of three-dimensional flow over a three-element airfoilmodel.AIAA,2006:1391—1402

[2] Assato M,Fico Jr N G C R,da Mota Girardi R.Effect of tangentialblowingon two dimensional boundary layer of a wind tunnel.AIAA2006:3874—3887

[3] Assato M.Analysis of a methodology for 2-D high lift testing using aboundary-layer control system by air blowing.AIAA 2007:7051—7062

[4]周瑞兴,上官云信,郗忠祥,等.大型低速二元风洞侧壁边界层控制及对单段翼型实验结果的影响.实验力学,1997;12(2):28—32

[5]解万川.NF—3风洞二元侧壁附面层控制技术研究.西安:西北工业大学硕士论文,2007

安全边界控制 第7篇

机动轨迹跟踪对于无人机来说至关重要[1]。作为无人机的核心部分, 飞行控制系统是实现精确的航迹跟踪的关键。小型无人机的飞行控制系统主要包括导航控制和飞行姿态控制两部分内容。在导航控制方面, 文献[2]研究了移动机器人的路径跟踪策略, 其中涉及了经优化的几何路径跟踪法, 一定程度地解决了完全依赖控制律设计造成的控制量过大和控制滞后等问题;文献[3]讨论了一种侧向导航算法, 引入侧向速度作为控制反馈量, 获得了一定的效果。在姿态控制方面, 横侧向姿态的稳定与控制可以通过操纵方向舵实现水平转弯, 或通过副翼协调转弯来实现。通过控制方向舵实现水平转弯的方式存在较大的侧滑角, 空速与纵轴的协调性差, 且转弯半径大, 仅适合修正小的航向偏角[4]。

本文提出了一种经优化的导航策略, 通过引入边界约束对飞行器提前进行航向校正, 将飞行器控制在航线边界以内, 消除跟踪目标航迹时可能带来的超调量过大的问题, 与此同时, 有选择的选取控制副翼和方向舵实现对航迹偏角的跟踪。

2、系统概述

本文所涉及的小型无人机以Kangke固定翼航模教练机为载体, 对其动力系统进行了改造, 采用油机控制以保证动力的持续强劲, 对加装的GPS与数字罗盘等设备的布局进行了调整, 以保证飞行器重心的稳定。所涉及的改造为该无人机的飞行实验提供了必要的结构和硬件前提 (如图1) 。

该无人机的主控系统主要由飞控系统、环境感知系统、通信系统及电源系统组成。

飞行控制系统采用STC12C5604AD作为其主控处理芯片, 将控制信号转变为脉冲调制信号, 由脉冲调制信号控制电压输出, 从而驱动舵机偏转。

环境感知系统利用传感器采集外界信息, 并对该信息进行处理, 用于飞行控制行为的决策。系统选用GARMIN-LEGEND手持卫星接收器, 输出接口为RS-232串口, 信号格式为NMEA0183协议。它提供飞行状态航向角、目标点磁航向角、飞行速度、时间信息、距目标点距离等导航参数, 其定位精度为20 m, 刷新率为1 s。同时, 系统集成有数字罗盘传感器, 为系统提供横滚轴的角度变化信息。

电源系统为无人机的稳定可靠飞行提供了必要的动力能源。GPS接收机、遥控接收机和主控计算机三部分采用独立供电的形式。GPS的电源采用2*1.5V/1000mA电池, 遥控接收机采用4*1.2V/800mA氢铬电池, 主控计算机采用9V/800mA镍氢电池。为保证提供给STC12C5604的电压稳定在5V, 飞控电脑电源接口处采用78L05稳压芯片进行稳压处理。

通信系统主要用于实现操作人员对于无人机的实时操控, 包括无人机起飞、着陆及自动飞行时紧急情况的处理等操作。采用Futaba专用遥控接收模块完成无人机对控制指令的实时有效接收。

3、导航与控制方案

无人机具有对称性, 在小扰动的条件下, 其纵向和横侧向运动交联影响并不大, 可相互独立讨论分析[5]。本文所涉及的小型无人机机体气动特性和纵向短周期动态特性较为稳定, 所需设计的飞行控制系统主要考虑改善横侧向动态特性。在小型无人机低速飞行时, 飞机的侧滑角很小, 飞机的期望航迹方位角可近似为偏航角的期望值 (如图2) 。

其中d, 为根据所涉及的无人机的尺寸与性能参数选取得到的约束边界值;α为飞行器当前位置点与目标点在约束边界上投影的连线与该侧约束边界的夹角。

系统通过GPS接收机获取飞行器当前点M的位置信息, 优先判断α是否小于0, 若小于, 则认定飞行器已进入目标航线区域内, 将计算得到的期望偏转航向角∆θ, 通过角度变换函数将∆θ转化到-180°-180°范围内, 将其代入控制表达式计算出期望ω (k) , 通过PWM模块控制方向舵偏转完成纠偏任务;反之, 则认定飞行器当前在约束边界以外, 以同样的过程计算出期望ω (k) 后, 控制副翼偏转完成对航迹偏角的跟踪。

根据系统要求, 本设计中采用PI控制。

选取适当的PI参数, 即可得到系统这一时刻的期望角速度, 将此信号转化为舵机的输入PWM信号, 控制舵机的偏转。

令方向舵或副翼的中心位置对应一个脉宽, 那么我们可以得到一个脉宽与转角的线性函数:

式 (2) 中, 偏转方向由ω的正负来确定;b为外部通过AD转换进行舵机控制的中心值, 为方便舵机能够在中心范围自由均匀偏转, 此系统b中为常数13加上AD值。

这里以方向舵通道的控制进行说明。对于K值来说, 不仅要控制方向舵的灵敏度而且要控制方向舵转动的最大幅度。经过多次试验得到以下表达式:

式 (3) 中, 顺时钟转为3+6;逆时钟转为-;DAT1为通道1的AD转换值, 范围:0-25;DAT2为通道2的AD转换值, 范围:0-25。

改变DAT1能调节中心值使得方向舵能保持在中心位置;改变DAT2能调节方向舵的灵敏度, 因为方向舵不能偏转180度, 所以DAT2应该小于36。

当距目标的距离趋向于0时, 自动跟踪结束, 飞机进入盘旋模式, 在目标点上空半径内盘旋, 等待切换为手动模式收回。

4、仿真与实验

4.1仿真研究

通过直线航迹跟踪与绕圆盘旋飞行跟踪仿真程序确定PI参数, 其中Kp=.052, Ki=.133, 仿真曲线如图3、图4所示, 可以得到航迹跟踪效果较好, 有较小的响应时间与超调, 因此该控制器效果良好。

4.2实验验证

图5中航点及航迹信息由GPS接收机所附带的Mapsource软件实时获取, 点0001 (N38 58.647 E117 13.310) 为飞行起点, 点0002 (N38 58.600 E117 13.514) 为启动自动飞行模式的的切换点, 点0003 (N38 58.733E117 13.273) 为目标航点, 点0004 (N38 58.764 E117 13.324) 为改自动模式为手动遥控模式的切换点, 点0005 (N38 58.653 E11713.297) 为飞行活动结束点, 其中, 主要考察无人机在目标航迹0002-0003航段的飞行状态。

由图可以看出, 无人机由点0002飞向点0003的路径选取比较合理, 跟踪目标航迹的过程中没有出现较大的超调, 进入目标区域后, 能够在该区域有效范围内进行盘旋飞行, 所设计的飞控系统工作稳定, 航线跟踪误差小于正负8m, 达到了预先设计的要求。

由图6可以看出, 飞机在自动跟踪飞行阶段 (海拔高度100m上下) 飞行平稳, 效果良好。

5、结语

本文讨论了一种适用于小型固定翼无人机的航迹跟踪飞行控制系统的设计工作, 考核了该系统的整体性能, 验证了其可行性和有效性, 为后续研究的深入开展奠定了基础。

参考文献

[1]杨恩泉, 高金源.无人机机动轨迹跟踪系统设计[J].飞行力学, 2007.6, 25 (2) :30-38.

[2]童艳.移动机器人路径跟踪控制方法研究[D].陕西:西北工业大学, 2007:16-2 4.

[3]王永林等.考虑侧风情况下的无人机自主导航控制技术研究[J].沈阳航空工业学院学报2005, 22 (5) :7-10.

[4]吴森堂等编著.飞行控制系统[M].北京:北京航空航天大学出版社, 2005.9:235.

安全边界控制 第8篇

关键词：滑动模态,非线性系统,抖振,变边界层

0 引言

近年来变结构控制理论中的滑模控制得到了广泛的研究,为了削弱或者消除滑模控制带来的高频抖动,许多学者研究了多种方法,八十年代Slotine J.E.等人提出了边界层法,他的基本思想是用饱和函数S代替理想的切换函数,对控制输入不连续函数进行连续化,以减弱抖振。但常规的边界层法中,边界层的宽度是不变的,消除抖振的效果不明显。对于具有不确定性的系统来说,边界层的宽度选取得太小,控制量会作高频抖振;而边界层的宽度选取得太大,消除抖振的同时又给系统带来较大的稳态误差。为了克服这一缺点,本文引入变边界层的概念,根据系统要求的稳态误差和系统不确定性大小动态改变边界层的宽度,这样既能削弱系统的抖振,又能满足系统稳态误差的指标。数值仿真研究证明了这一控制方法的有效性。

1 基于系统非线性动态函数估计的滑模控制

考虑一类高阶非线性系统:

其中状态向量x=[x1,x2,…,xn],u(t)是控制输入,y(t)是系统的输出,假设b(X,t)为已知函数,f(X,t)是系统的非线性动态函数,且:

其中f*(X,t)是f(X,t)的估计值,且有F=(fmaxfmin)/2,另外,d(X,t)是外干扰,假设系统外干扰d(X,t)有界。

系统控制的目的是在f(X,t)不确定以及外部干扰存在的情况下使系统状态跟踪预先设定的参考向量Xd或者使系统输出y(t)跟踪参考信号yr(t),并使系统保持稳定且具有良好的性能。若设跟踪误差为e=y(t)-yr(t)=x1-xd,取切换函数:

式中e1=e,e2=﹒e1=e(1),……,en=﹒en-1=e(n-1),正值常数λ1,λ2,…,λn满足满足霍尔维兹稳定多项式。

对于式(1)所描述的系统,取式(2)的切换函数,如果控制输入信号取为

其中:

则滑动模态存在且可达。

要证明这一点,将式(1)对时间求导有:

取Lyapulov函数:

则:

将式(1)带入式(3)有:

因此,在切换面以外,滑模到达条件s﹒s≤-ηs s总成立。

2 变边界层法滑动模态的存在性与可达性分析

常规边界层法是采用边界层宽度β不变的饱和函数代替开关函数sgn(s)。对可变边界层法,可类似常规边界层法,将控制输入信号改为

式中

饱和特性函数sat(s(t),Δ(t))的定义如下

令

则有

对于采用边界层宽度变化的饱和函数代替理想开关函数的变结构控制系统,滑动模态的到达及存在条件为:

证明:

所以对于式(1)所示的系统采用可变边界层法的控制策略系统滑动模态存在且可达。

3 系统稳态误差分析

为使控制系统既消除抖振又满足稳态误差指标,必须对稳态误差进行估计。对于式(1)所示系统,采用可变边界法变结构控制策略,若满足滑模存在条件,则边界层宽度β(t)受以下方程约束:

且参数γ必须满足:

其中,em为系统稳态误差给定值。

4 数值仿真研究

对于一非线性系统:

其中:d(X,t)=x+sin(2t)

所以

设参考输出信号为yr=xd=sin2t;λ=2。滑模切换面为:

其中:e(t)=e1(t)=x1-xd=y-yr

(1)采用未进行平滑的常规变结构控制策略:

其中:k(X,t)=0.25x12+x1+0.2 x2+1.3

计算机仿真结果如图1所示。

(2)采用变边界层滑模变结构控制策略:

4cos(2t)-k(X,t)sgn(s(t),β(t))其中:

计算机仿真结果如图2所示。从图1可以看出,系统的切换面和控制输入存在高频振动,实际系统无法实现;在图2中可以看出,系统的抖振得到了消除。实验结果证明了本文提出方法的有效性。

5 结束语

本文提出了一类不确定非线性系统的变边界层滑模便结构控制的设计方法。通过调节边界层参数,得到了很好的平滑性能,一般情况下,不确定离散非线性系统在一般滑模控制下能够到达一个准滑动模态区,但状态响应及控制信号抖动很大,本文提出的方法,消除了其稳态缺陷,充分保证了滑模控制的鲁棒性。仿真实例证明了本文提出方法的有效性及其优点。

参考文献

[1]Utkin VI,Guldner J.Sliding mode control inelectromechanical systems[M].Taylor&Francis,1999:193-214.

[2]姚琼荟,黄继起,吴汉松.变结构控制系统[M].重庆大学出版社,1997:193-214.

[3]张晓宇,苏宏业,褚健.一类非线性系统的直接自适应模糊滑模控制[J].系统工程理论与实践,2003(5):86-91.

[4]曾克俭,李光.时变边界层滑模控制在多连杆机器手的应用[J].机械与电子,2007(2):3-5.

安全边界控制 第9篇

监控网络数据包安全性的网络监听技术在网络安全领域是一把双刃剑,除了提供黑客截获网络数据的功能外,还可以帮助网管人员监视网络状态和数据流动、分析网络的流量以及排除网络故障。边界数据包的安全一般而言,是利用网络监听技术对从外部网络进入内部网络的所有数据包进行安全性的检查,匹配已建立的恶意数据包规则库,分析数据包的异常情况,对特征匹配和有异常的数据包进行特殊处理,以杜绝恶意数据包的入侵,保证内网的安全。

网络入侵检测系统是提供对网络传输进行实时监控,在发现可疑传输时即时发出警报或采取实际措施解决的设备。网管人员可以利用入侵检测系统主动、实时的发现、防范网络上各种攻击行为,维系网络的正常使用。

在入侵检测系统中,根据分析方法可分为误用检测和异常检测,Snort属于基于网络的误用IDS。它是基于规则的网络搜索机制,对数据包进行基于内容的模式匹配,以发现入侵和攻击行为。目前Snort能够检测出诸如缓冲区溢出、端口扫描、CGI攻击、拒绝服务攻击等多种常见攻击类型。

1 Snort

Snort是一款功能强大的轻量级IDS自由软件,提供实时数据流量分析和检测IP网络数据包的能力,能够进行协议分析,对数据包内容进行搜索/匹配,还可以检测各种不同的攻击方式,对攻击进行实时报警等强大功能。此外,Snort可以使用简单、可扩展的规则描述语言进行软件的移植和功能的扩展。

从Snort官网上可以进行规则库的升级或更改,也可以根据实际网络环境自定义检测规则,通过测试成功后,加入到规则库中使用。当出现新的入侵行为或蠕虫病毒时,Snor官网没有及时提供新规则,这时管理员就可以自行提取新入侵行为或蠕虫病毒的特征码,建立自己的新规则加入本地规则库。

Snort的工作原理是对已知各类攻击的特征模式进行不同方式的匹配,包括利用将网卡设置在混杂模式下的嗅探器被动地进行协议分析,以及对数据报文进行解释分析其特征。Snort是基于规则检测的入侵检测工具,它针对每一种攻击行为,都提取出它的特征值并利用规则描述语言按照规范写成检测规则,从而形成一个规则库。另外还将捕获的数据包按照一定的算法在规则库中进行逐一匹配,若匹配成功,则认为该数据包具有与之匹配规则的攻击行为,应对其进行特殊处理。

整个Snort系统架构的着眼于性能、简洁和灵活性3个方面。Snort系统结构由以下模块构成:数据包解析器、预处理器、检测引擎、日志/报警模块、输出模块。Snort的体系结构如图1所示。

2 网络部署

对于IDS的部署可以根据内部网络的拓扑结构和实际需要而定。可以根据需要监控的具体需求在一个或多个位置部署,根据攻击的来源(内部入侵、外部入侵、或者两个都要检测)和所要监控的网段等多方面因素来决定IDS放置的位置。为了低成本而又高效的对进入内部网络的数据包进行检测,并利用Snort入侵检测系统作为边界数据包安全性检测工具,需要将Snort部署在网络的边界位置。

结合我公司的实际网络情况,将Snort IDS部署在网通线路的边界位置,以检测所有来自网通主干网络的数据包安全性,达到保护内部网络免受外来恶意数据包的攻击。如图2是我公司网通线路下的含有DMZ区域的简单局域拓扑结构,为了实现对所有进入内部网络的数据包进行检查,而无论数据包是访问DMZ区域的服务器,或者是企业内部网络,可以将Snort IDS部署在防火墙内部的核心交换机上,通过核心交换机的镜像功能将DMZ端口和内部网络端口的数据镜像给Snort IDS所在的端口,这样即可实现对来自网络线路的数据包的监控。

另外对于交换网络需要监控一些特殊的网段时,还可以将Snort IDS部署在该网段所在的网段中心交换机的某个端口上,通过交换机的镜像功能将需要监控的网段镜像到Snort监控的端口,可以实现对内部特定网段的监控,以保证重要网段的安全运行。当然,也可以接入特定的部门中心交换机,以对重要的部门网段进行监控。

3 数据包检测方案

数据包安全性的检测归根到底就是对现已知的攻击行为、蠕虫病毒、木马等网络入侵行为的特征进行提取,按照特定的IDS描述语言,建立基于本地IDS的特征规则库,再对进入内部网络的数据包进行给定算法进行匹配,当有进入数据包满足规则库中的某一特征时,需要对其进行特殊处理,如删除、发出警告等。

3.1 规则库结构

构建一个符合Snort IDS应用、包含当前公开的所有攻击行为、满足本地实际用途的规则库是一项艰巨的任务。当前国际上公开的网络入侵行为以CVE列表中列出的漏洞在安全领域普遍认为是最为全面的,在CVE漏洞库的基础上,建立IDS规则库,需要对CVE漏洞特征、体系结构等有一定的了解,建立以CVE标准为系统规则库的漏洞数据源,采用Snort的规则描述语言对漏洞规则加以描述,构建具有CVE特征的Snort入侵检测规则库。

基于CVE的Snort IDS规则库可以采用模块化的规则库结构加以构建。通过对CVE列表中的漏洞按照系统分类,对其级别加以划分,再根据不同的CVE漏洞类别建立子规则库模块。本地对边界网络数据包进行监控,需要对网络上流行的漏洞进行分类以建立各类子模块的规则库,子规则库将不同类型的CVE漏洞特征编写成规则放入到各个子模块中。分类的规则库如:Denial of service、Shellcode detect、Misc activity、Web-IIS、Web-cgi等,对子规则库的分类越详细,系统对恶意数据的处理能力越强。对规则库的分类不仅可以分类CVE漏洞的类别,方便研究及规则库的建立管理,同时大大减少了数据包在规则库中的匹配时间。

结合企业实际运营情况,对部署在边界的Snort IDS进行规则库建立,首先对规则库进行分类,分成的若干子特征规则库如图3所示。

3.2 Snort规则语法

Snort的工作过程就是通过解析规则集形成规则树,再利用libpcap对采集到的数据进行模式匹配,若匹配成功,则认为是有攻击行为发生,做出相应的处理动作。因此,Snort规则是它的核心,为了实现对网络数据包的安全性检测,必须拥有一个强大的入侵特征规则库。规则库中的每条规则都需要严格按照Snort规则语法进行编辑、测试方可投入使用。

Snort使用一种简单的、轻量级的规则描述语言,这种语言灵活而强大。在开发snort规则时要遵循在大多数Snort规则都写在一个单行上,或者在多行之间的行尾用“/”分隔。Snort的每条规则由两部分组成,即规则头和规则选项,其形式是“规则头(选项)”模式。

规则头包含规则动作、协议、源IP地址、目的IP地址、网络掩码、源端口、目的端口、方向操作符、CVE ID号等信息。规则头定义了数据包“来自哪里,去哪里,去做什么”以及发现满足这个规则所有条件的数据包时Snort应该采取什么措施等信息都可以从规则头中得知。

规则选项包括报警信息以及用于确定是否触发规则响应动作而需要检查的数据包区域位置等诸多信息。规则选项中可能有一个或多个选项,不同选项之间使用“;”分隔开,它们之间为逻辑“与”的关系;选项由关键字和参数组成,每个关键字和它的参数间使用“:”加以分隔。

Snort规则功能强大灵活,得益于它的选项关键字内容很丰富。例如:

Msg——在警报和记录的数据中打印消息;

Flags——检查tcp flags的值;

Content——在数据包的有效荷载中搜索特定的模式串;

Offset——content选项的修饰符,设定开始搜索的位置。

3.3 规则库建立

作为IDS系统中的出色者——Snort自身也提供了强大的规则库,注册用户可以从snort的官方网站上免费下载最新的规则库。但往往企业从业务需求、安全等多方面考虑,保密内部网络使用的一些安全防护设备和采取的策略措施等一些机密信息,参考Snort官方的规则库,分析CVE列表中漏洞特征,自行构建内部网络的规则库。

在设计检测数据包安全性的Snort规则库方案时,不仅要尽可能减小检测的范围,还要考虑快速地结束一个无效的检测过程(即证明该数据包是安全的,在特征库中没有找到匹配项)。那么为了实现范围小、时间短的目标,就需要从众多的规则选项参数中选出最适合的、最容易达到匹配目的的参数先进行匹配。

例如TCP报文,就TCP数据包本身来说,它的特征就是源端口和目的端口。对于一般的连接,可以从保留端口和非保留端口来判断通信双方是服务器端和客户端,因此保留端口可以作为独特的参数使用在Snort的规则选项中。Snort可以检测出保留端口的位置,根据保留端口是源或者目的端口,判断数据包在服务器和客户端之间的流向。对TCP规则定义可以以端口、标志位、协议字段为特征,或者以某个数据段为字符串特征。

如果对TCP 9876端口发送“Get Info|5b|”触发事件,那么就定义规则为“alert tcp$EXTERNAL_NET any->$HOME_NET 9876(msg:“BACKDOOR tools getinfo”;flow to_server,established;content:“Get Info|5b|”;)”。该规则对端口和字符特征同时进行了匹配,但如果将端口修改了,可能改规则就无效了。

因此,在定义规则时,将漏洞的特征进行组合使用,才会更加有效的提高IDS的工作效率。利用Snort规则检测数据包的安全性,同时也通过嗅探获取数据包来分析提取特征来创建规则。当出现新的漏洞或攻击时,通常都是采用流量分析来创建新规则。对于任何一个新的攻击,首先要知道其数据包的类型、数据流流向等基本信息用于编写规则头部,再从安全报告或者数据抓包中找到威胁数据包的特征,以便更新规则库,阻止攻击行为的再次发生影响内部网络的正常运营。

3.4 环境测试

在内网边界的核心交换机上,通过镜像将进出DMZ和内网的所有数据包镜像给Snort IDS,以检测数据包安全。这里将Snort IDS安装在Centos 5.5环境下,结合Apache作为Web服务器、Mysql数据库以及第三方分析管理工具BASE(Basic Analysis and Security Engine)和Barnyard建立基于边界的IDS snort检测数据包安全性的实施方案的环境平台。借助SVC漏洞库提取各种攻击行为的特征,参考Snort本身的规则库和Snort规则描述语言进行规则数据库建立。该Snort IDS投入使用后,对进出网络数据包的安全性检测的结果进行报警或作其他处理。

4 结束语

Snort的扩展性和可移植性,可以很方便用户定身量做自己的规则库。随着现在网络攻击的日益频繁,来自网络的数据包安全性日益让人担忧,Snort的免费、跨平台等特性,使得不管是企业还是个人,都有机会搭建自己的IDS系统进行网络数据包的检测、学习、研究等。利用国际公开的CVE漏洞数据库和开源的Snort系统,搭建网络边界的安全检测系统无论是研究人员还是企业都是乐见其成的事。同时,目前软件漏洞日渐频繁,网络攻击日新月异,企业在面对这些日益严重的网络威胁时,必须不断及时添加新规则以有效的检测攻击行为,提高Snort的检测能力,阻止恶意数据包进入网络,保护内部网络免遭破坏。

参考文献

[1]孙立媛,朱亦宁,孙悦轩.Snort规则的分析与实现[J].计算机安全.2009.

[2]赵苏骅.Snort规则的分析与制定[J].四川教育学院学报.2008.