導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全漏洞評估，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

2014年4月，谷歌安全部門和芬蘭安全檢測公司科諾康同時發(fā)現(xiàn)Open SSL開源軟件存在名為“心血”的安全漏洞。作為全球2/3以上互聯(lián)網(wǎng)網(wǎng)站普遍采用的加密手段，Open SSL開源軟件存在的安全漏洞，不僅會使網(wǎng)上銀行、電子支付、門戶網(wǎng)站、電子郵件等網(wǎng)站的用戶敏感信息面臨被竊取的危險，還會使網(wǎng)絡(luò)服務(wù)器、路由器、移動智能終端等網(wǎng)絡(luò)設(shè)備甚至國家關(guān)鍵信息基礎(chǔ)設(shè)施面臨受攻擊的風(fēng)險。此次曝光的“心血”安全漏洞雖為獨立事件，但絕非偶然，這再次反映出美國政府在網(wǎng)絡(luò)安全漏洞的獲取、利用、頂層設(shè)計方面具備成熟的運行機制。

“心血”安全漏洞的形成原因及工作機理

Open SSL采用C語言開發(fā)，可以支持Linux、Windows、Mac OS等多種操作系統(tǒng)，具有優(yōu)秀的跨平臺性能，已成為目前互聯(lián)網(wǎng)領(lǐng)域廣泛使用的一種開源加密軟件工具。用戶在網(wǎng)站上的賬戶、密碼及各類通信信息均通過該軟件包進行加密。加密數(shù)據(jù)只有網(wǎng)絡(luò)服務(wù)器這個接收者才能解密，不法分子即便監(jiān)聽用戶與網(wǎng)絡(luò)服務(wù)器之間的對話信息，也只能看見一行隨機字符串，而無法獲取用戶實際的敏感信息。

此次Open SSL 1.0.2-beta及Open SSL 1.0.1系列（除1.0.1g外）多個版本存在的“心血”安全漏洞，使得Open SSL的加密功能基本無效，主要問題出在Open SSL實現(xiàn)傳輸層安全協(xié)議（TLS/DTLS）的心跳擴展代碼中。當Open SSL的傳輸層安全協(xié)議被調(diào)用時，連接SSL一端的客戶端向另一端的服務(wù)器發(fā)出一條簡短的字符串（即“心跳信息”），以確認服務(wù)器在線并能獲取響應(yīng)；另一端的服務(wù)器會向客戶端返回與“心跳信息”相匹配的信息。但是，在這個過程中，由于Open SSL未對客戶端發(fā)送的字符串長度做邊界檢查，使不法分子可以截獲正常“心跳信息”并修改其長度后發(fā)給服務(wù)器，欺騙網(wǎng)絡(luò)服務(wù)器，從其內(nèi)存中竊取相應(yīng)長度的數(shù)據(jù)，并將相應(yīng)空間的信息作為“心跳信息”返回給不法分子，這部分數(shù)據(jù)中，很可能包含安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等信息。雖然不法分子利用該漏洞每次只能從服務(wù)器竊取64KB字節(jié)信息，但反復(fù)多次操作后，可以拼湊出更多用戶的賬戶、密碼、通信記錄等多種敏感信息。

“心血”安全漏洞可能產(chǎn)生的影響

由于“心血”安全漏洞屬于內(nèi)存泄露，可以從服務(wù)器內(nèi)存中直接讀取數(shù)據(jù)，即使入侵行為也不會在服務(wù)器日志中留下痕跡，所以無法確定哪些服務(wù)器曾被入侵。但從Open SSL的應(yīng)用范圍，可以判斷“心血”安全漏洞可能產(chǎn)生的影響。

大范圍波及互聯(lián)網(wǎng)服務(wù)器及相關(guān)信息服務(wù)

2014年4月，英國Netcraft公司提供的網(wǎng)站服務(wù)器調(diào)查數(shù)據(jù)顯示，全球約有66%的互聯(lián)網(wǎng)活躍網(wǎng)站受“心血”安全漏洞影響。這些網(wǎng)站大都采用了基于Open SSL的Apache和Nginx等開源服務(wù)器。此外，由于Open SSL主要用于保護電子郵件服務(wù)器、聊天服務(wù)器、虛擬專用網(wǎng)絡(luò)、網(wǎng)絡(luò)應(yīng)用和多種客戶端軟件，所以除互聯(lián)網(wǎng)網(wǎng)站受到影響外，電子郵件、即時通信和虛擬專網(wǎng)（VPN）等信息服務(wù)都遭受了嚴重影響。

2014年4月9日，我國國家信息安全漏洞共享平臺（CNVD）了關(guān)于“心血”漏洞的情況通報。根據(jù)監(jiān)測結(jié)果，國內(nèi)外一些大型互聯(lián)網(wǎng)企業(yè)的相關(guān)VPN、郵件服務(wù)、即時聊天、網(wǎng)絡(luò)支付、電子商務(wù)、權(quán)限認證等服務(wù)器受到漏洞影響，此外一些政府和高校網(wǎng)站服務(wù)器也受到影響。國內(nèi)兩大信息安全公司的監(jiān)測數(shù)據(jù)顯示，國內(nèi)網(wǎng)站約有2.3萬個（占其抽樣的1.5%）和1.1萬個（占其抽樣的1.0%）服務(wù)器主機受影響，涉及大型電商網(wǎng)站、銀行網(wǎng)銀系統(tǒng)、第三方支付、微信、淘寶、社交網(wǎng)站、門戶網(wǎng)站等等，以及126、163等郵箱、即時通信服務(wù)。截止4月10日，在全國存在“心血”安全漏洞的網(wǎng)站中，依然有近30%沒有采取任何防護措施。

大量敏感數(shù)據(jù)可能遭竊取

目前，“心血”安全漏洞的驗證腳本可以被不法分子廣泛獲取，而且不法分子可以針對這一安全漏洞進行大量的試驗和嘗試，可能導(dǎo)致使用Open SSL的站點遭到信息竊取。然而由于不法分子利用該安全漏洞對服務(wù)器進行信息竊取時不會留下任何痕跡，可能導(dǎo)致有些站點的大量敏感數(shù)據(jù)已經(jīng)遭到竊取，卻渾然不覺。

由于該安全漏洞給不法分子提供了讀取網(wǎng)站服務(wù)器內(nèi)存的權(quán)限，用戶修改密碼、發(fā)送消息、登錄等請求以及很多操作會全部暴露出來，直接導(dǎo)致用戶的證書密鑰、用戶名、密碼、甚至是安全問題與答案、即時通信、電子郵件、業(yè)務(wù)關(guān)鍵文檔和通信信息都可能遭竊。

國家關(guān)鍵信息基礎(chǔ)設(shè)施或受影響

事實上，政府、金融、能源、交通、國防等諸多國家關(guān)鍵領(lǐng)域都有用到類似Open SSL的開源軟件組件，由于這種組件功能專一、用途廣泛，且具有不可替代性，一旦存在安全漏洞，將導(dǎo)致國家關(guān)鍵信息基礎(chǔ)設(shè)施的底層通信、信息傳輸、上層應(yīng)用等功能徹底癱瘓，甚至整個網(wǎng)絡(luò)空間都將面臨嚴峻的安全風(fēng)險。

美國已建立完善的網(wǎng)絡(luò)安全漏洞獲取與應(yīng)用機制

“心血”只是被曝光的眾多安全漏洞之一。當前，大量類似Open SSL這樣的開源軟件包廣泛應(yīng)用于全球互聯(lián)網(wǎng)服務(wù)器、路由器、移動智能終端以及國家重要信息基礎(chǔ)設(shè)施。公開資料表明，美國長期以來通過植入、發(fā)掘、購買等多種方式獲取安全漏洞，建立了一套相對完善的網(wǎng)絡(luò)安全漏洞獲取機制。

多管齊下獲取安全漏洞

作為網(wǎng)絡(luò)時代的領(lǐng)跑者，以及最早發(fā)現(xiàn)并應(yīng)用網(wǎng)絡(luò)技術(shù)的國家，面對日益復(fù)雜的網(wǎng)絡(luò)安全威脅，美國政府一直將安全漏洞視為重要的網(wǎng)絡(luò)戰(zhàn)略資源，為掌握海量秘密漏洞不惜花費大量的人力、物力和財力。

一是斥巨資與私營科技公司緊密合作，在軟硬件產(chǎn)品或算法中植入安全漏洞、預(yù)置“后門”。美國政府與私營企業(yè)的合作由來已久，大約有數(shù)千家高科技公司作為“可信合作伙伴”為美國政府提供用戶敏感信息，其中不乏谷歌、微軟、思科等世界知名IT公司。例如，美國國家安全局每年為“信號情報”項目（SIGNIT）投入2.5億美元，以合同授予的形式引誘國內(nèi)科技公司在商用加密系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、通信設(shè)備中植入隱秘漏洞，方便國家安全局獲取用戶信息。國家安全局曾與加密技術(shù)公司RSA達成1000萬美元的協(xié)議，要求對移動終端廣泛使用的加密軟件預(yù)置2個精心設(shè)計的“后門”。

同時，國家安全局下屬的“商用解決方案中心”長期與私營科技公司開展合作，表面上是對企業(yè)的IT產(chǎn)品進行安全評估，實際上是尋求如何在IT產(chǎn)品中植入安全漏洞。

二是建立官方專業(yè)技術(shù)團隊，開展網(wǎng)絡(luò)安全漏洞研究，不斷挖掘和發(fā)現(xiàn)漏洞。美國政府十分重視利用專業(yè)技術(shù)團隊的力量提升網(wǎng)絡(luò)防御與攻擊能力，充分吸收民間網(wǎng)絡(luò)人才組建專門技術(shù)團隊，并集結(jié)軍方精銳網(wǎng)絡(luò)力量挖掘和發(fā)現(xiàn)當前各類系統(tǒng)存在的安全漏洞。國家安全局下屬的“獲取特定情報行動辦公室”（TAO）的“遠程行動中心”擁有一個超過600名專業(yè)技術(shù)人員的團隊。該技術(shù)團隊建立了從網(wǎng)絡(luò)設(shè)施到人、從內(nèi)容到行為的完整體系，以網(wǎng)絡(luò)獲取技術(shù)為主線，以云計算和大數(shù)據(jù)分析技術(shù)為核心，利用先進的網(wǎng)絡(luò)滲透、機器學(xué)習(xí)、數(shù)據(jù)分析等漏洞挖掘技術(shù)，不間斷地尋找他國信息系統(tǒng)的安全漏洞，這已成為美國政府獲取安全漏洞的重要渠道。

三是投入大量資金，長期從黑客手中購買漏洞。多年來，為第一時間掌握互聯(lián)網(wǎng)、軟件、服務(wù)器存在的安全漏洞，美國政府長期從販賣漏洞的黑客手中購買安全漏洞。盡管平均每項安全漏洞的價格達到3.5～16萬美元，蘋果iOS系統(tǒng)安全漏洞的售價甚至高達50萬美元，但美國政府為提升自身網(wǎng)絡(luò)的防御和攻擊能力，仍不惜重金，成為當前安全漏洞市場的最大買家。據(jù)國家安全局合同文件顯示，該機構(gòu)在2012年9月訂購了法國安全公司VUPEN一年的“零日”漏洞。

充分利用安全漏洞資源，做到早發(fā)現(xiàn)、早修復(fù)、早利用

一是利用發(fā)現(xiàn)的安全漏洞，及時修復(fù)自身網(wǎng)絡(luò)存在的安全問題，做好網(wǎng)絡(luò)防御措施。據(jù)美國彭博新聞社報道，美國國家安全局早在2012年就發(fā)現(xiàn)Open SSL開源加密軟件存在“心血”安全漏洞，但美國政府出于“維護國家安全威脅免受威脅”等因素的考慮，一直未將漏洞信息公之于眾，為其利用該漏洞搜集情報提供了2年的時間窗口。當“心血”安全漏洞被私營企業(yè)發(fā)現(xiàn)后，美國聯(lián)邦儲備委員會、財政部、國土安全部等政府部門立即對網(wǎng)絡(luò)系統(tǒng)開展了全面測試和修復(fù)。

二是利用安全漏洞制造網(wǎng)絡(luò)監(jiān)聽工具，搜集海量機密信息。一旦美國國家安全局尋找到目標網(wǎng)絡(luò)或計算機存在安全漏洞，就會借助軟件設(shè)計師和工程師隊伍設(shè)計的專用監(jiān)聽軟件，通過電子手段入侵系統(tǒng)并持續(xù)搜集機密信息。自2009年開始，美國政府利用搜集華為公司相關(guān)技術(shù)中存在的安全漏洞，入侵華為網(wǎng)絡(luò)設(shè)備并實施監(jiān)控，試圖找到華為與中國軍方之間有聯(lián)系的證據(jù)，同時監(jiān)控華為高管的通信。

三是利用安全漏洞制造網(wǎng)絡(luò)攻擊武器，破壞關(guān)鍵基礎(chǔ)設(shè)施。美國政府通過植入、發(fā)掘和購買等方式獲得安全漏洞后，利用這些龐大的安全漏洞資源，研發(fā)制造極具殺傷力的網(wǎng)絡(luò)武器，伺機將惡意軟件植入目標國家的計算機、路由器和防火墻，在需要時利用先進的網(wǎng)絡(luò)滲透與攻擊技術(shù)實行謹慎而高效的網(wǎng)絡(luò)監(jiān)聽或攻擊，破壞他國關(guān)鍵信息基礎(chǔ)設(shè)施。2010年，美國家安全局曾利用包括Windows字體漏洞在內(nèi)的四個“零日”漏洞，制造出“震網(wǎng)”蠕蟲病毒并向伊朗鈾濃縮項目發(fā)動攻擊，最終破壞了約1000臺伊朗離心機。此外，美國家安全局在代號為“精靈”的項目中，利用掌握到的漏洞資源，將惡意軟件秘密植入世界各地的計算機、路由器和防火墻，伺機發(fā)動網(wǎng)絡(luò)攻擊。至2013年底，該項目已控制了至少85000臺計算機。此外，美國中央情報局還部署了名為“FoxAcid”的利用安全漏洞發(fā)動網(wǎng)絡(luò)攻擊的服務(wù)器平臺，可對目標的狀態(tài)、受攻擊后的反應(yīng)等進行判斷，以選擇最有效的漏洞進行攻擊。

從國家層面加強網(wǎng)絡(luò)安全立法和機構(gòu)設(shè)置，為利用安全漏洞提供頂層保障

近年來曝光的每一例關(guān)于網(wǎng)絡(luò)安全的問題，基本都是由美國官方或私營科技公司率先發(fā)現(xiàn)，其他國家只有在安全漏洞曝光或遭受攻擊后才能了解安全漏洞的相關(guān)信息。事實上，美國從國家層面建立了一整套完善的安全漏洞監(jiān)測、預(yù)警及響應(yīng)體系，通過加強網(wǎng)絡(luò)安全立法和組織機構(gòu)設(shè)置，為美國率先獲取和利用安全漏洞提供了頂層保障。

首先，重視網(wǎng)絡(luò)安全戰(zhàn)略建設(shè)，將網(wǎng)絡(luò)安全由政策、計劃提升到國家戰(zhàn)略高度。從克林頓時期的《美國政府對關(guān)鍵基礎(chǔ)設(shè)施的保護政策》、《信息系統(tǒng)保護國家計劃》到布什時期的《保護網(wǎng)絡(luò)空間的國家戰(zhàn)略》，再到奧巴馬政府的《網(wǎng)絡(luò)空間國際戰(zhàn)略》、《提升美國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》等一系列文件的出臺，可以看出，美國政府高度重視網(wǎng)絡(luò)安全戰(zhàn)略建設(shè)，將其視為影響經(jīng)濟發(fā)展和國家安全的關(guān)鍵因素，通過政策、計劃、戰(zhàn)略逐級遞增的方式，不斷提升美國網(wǎng)絡(luò)安全的戰(zhàn)略高度。同時，美國先后頒布了《計算機欺詐和濫用法》、《聯(lián)邦信息安全管理法》、《關(guān)鍵基礎(chǔ)設(shè)施信息法》等十多部有關(guān)網(wǎng)絡(luò)安全的法律，這些法律從計算機與信息系統(tǒng)安全、基礎(chǔ)設(shè)施安全、信息內(nèi)容安全等多個層次構(gòu)建了龐大的網(wǎng)絡(luò)安全保護框架，將網(wǎng)絡(luò)安全“威懾與防御”的理念貫徹在頂層戰(zhàn)略的具體規(guī)劃中，使美國成為網(wǎng)絡(luò)安全領(lǐng)域頒布法律最多且體系最為完善的國家。

其次，美國政府將網(wǎng)絡(luò)安全政策執(zhí)行、管理與監(jiān)督等權(quán)利分配給國土安全部、國防部、審計署、商務(wù)部及財政部等多個聯(lián)邦政府部門。各聯(lián)邦部門在網(wǎng)絡(luò)安全管理方面分工明確，職責(zé)清晰，形成了美國網(wǎng)絡(luò)安全管理的雙層主體架構(gòu)：第一層是白宮網(wǎng)絡(luò)安全辦公室，由白宮網(wǎng)絡(luò)安全協(xié)調(diào)官協(xié)調(diào)和整合政府網(wǎng)絡(luò)安全方面的所有政策；第二層是國土安全部和國防部，分別作為聯(lián)邦政府網(wǎng)絡(luò)安全的指揮中樞和掌管美軍網(wǎng)絡(luò)安全與網(wǎng)絡(luò)作戰(zhàn)指揮的司令部。

對我國網(wǎng)絡(luò)安全漏洞應(yīng)對機制的建議

雖然“心血”安全漏洞在曝光后迅速得到修復(fù)，但我國仍至少有3萬臺服務(wù)器受到影響。鑒于我國政府、金融、能源、交通、軍工等關(guān)鍵行業(yè)所用的服務(wù)器、操作系統(tǒng)、芯片等軟硬件產(chǎn)品和通用網(wǎng)絡(luò)組件主要來自國外，無法實現(xiàn)安全可控，這些關(guān)鍵行業(yè)的信息基礎(chǔ)設(shè)施都可能受到該安全漏洞的影響。因此，我國一方面要加強自主、安全、可控的軟硬件技術(shù)與產(chǎn)品的研發(fā)，并逐步在關(guān)鍵領(lǐng)域?qū)崿F(xiàn)替代，從根本上防御網(wǎng)絡(luò)安全漏洞存在的威脅；另一方面，應(yīng)加大對網(wǎng)絡(luò)安全漏洞的監(jiān)測、預(yù)警和響應(yīng)力度，使我國能夠及早發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞，進而做到早修復(fù)。

加強各部門之間信息共享和協(xié)同行動，提升網(wǎng)絡(luò)安全態(tài)勢的整體感知能力，及時實施應(yīng)急響應(yīng)和威懾反制措施

從“蠕蟲”病毒到“震網(wǎng)”攻擊，再到此次存在時間長達2年的“心血”安全漏洞，美國一直以來都是病毒、木馬、漏洞等網(wǎng)絡(luò)武器的第一發(fā)現(xiàn)者和網(wǎng)絡(luò)攻擊發(fā)起者，這些“成績”的取得都直接歸于美國所建立的成熟的網(wǎng)絡(luò)安全監(jiān)測機構(gòu)。因此，我國應(yīng)通過網(wǎng)絡(luò)安全監(jiān)測機構(gòu)建立關(guān)鍵領(lǐng)域網(wǎng)絡(luò)安全漏洞庫，并及時將安全漏洞在不同部門之間共享，切實提高網(wǎng)絡(luò)安全態(tài)勢的感知能力和應(yīng)急響應(yīng)能力。

結(jié)合實際情況，堅持發(fā)展自主可控的軟硬件產(chǎn)品，著力推進國產(chǎn)軟硬件產(chǎn)品系統(tǒng)性替代

發(fā)展和應(yīng)用自主可控的元器件、芯片、操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器等軟硬件產(chǎn)品，是保障我國網(wǎng)絡(luò)安全的根本方法。我國應(yīng)該結(jié)合實際情況，尋找適合自身需求的軟硬件產(chǎn)品。例如，在桌面操作系統(tǒng)方面，我國不需要重新研發(fā)類似Windows這樣的操作系統(tǒng)，基于Linux開發(fā)的操作系統(tǒng)在可用性、易用性、適用性等方面基本具備替代能力。雖然國內(nèi)廠商的研發(fā)能力、產(chǎn)品技術(shù)、生態(tài)環(huán)境與國外產(chǎn)品存在一定的差距，但國產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器已基本能夠滿足大部分用戶90%以上的需求。然而，很多行業(yè)部門在實際選擇中出于風(fēng)險和安全考慮，仍偏向使用國外產(chǎn)品。因此，我國應(yīng)通過優(yōu)化政府采購政策等方式，加大國產(chǎn)軟硬件產(chǎn)品在政府、金融、能源、交通、軍工等關(guān)鍵行業(yè)的應(yīng)用比例，逐步推進國產(chǎn)軟硬件產(chǎn)品的替代步伐。

正確認識開源軟件的安全性，通過第三方評測機構(gòu)對關(guān)鍵行業(yè)重要信息基礎(chǔ)設(shè)施所用的開源軟件開展評估

開源軟件采用的“同行評議”方式，使得眾多開發(fā)者持續(xù)對軟件代碼進行修改和完善，在一定程度上可以有效消除軟件內(nèi)部存在的缺陷。但正是由于行業(yè)內(nèi)對Open SSL這類全球廣泛應(yīng)用的開源軟件安全性的信任，使得某些明顯漏洞在開源軟件中長期存在。因此，我國應(yīng)該了解和掌握開源軟件在政府、金融、能源、交通、軍工等關(guān)鍵行業(yè)重要信息基礎(chǔ)設(shè)施中的應(yīng)用情況，通過第三方評測機構(gòu)對上述行業(yè)所使用的開源操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器的安全性和可靠性開展評估，及時修復(fù)發(fā)現(xiàn)的安全漏洞，滿足黨政軍及國家關(guān)鍵基礎(chǔ)設(shè)施等重要信息系統(tǒng)的運行需求，應(yīng)對他國持續(xù)、有預(yù)謀、高強度的網(wǎng)絡(luò)空間攻勢。

篇2

1影響計算機網(wǎng)絡(luò)安全的因素

1.1操作系統(tǒng)的漏洞及網(wǎng)絡(luò)設(shè)計的問題。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，黑客利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)。由于設(shè)計的網(wǎng)絡(luò)系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，使其受到影響。

1.2缺乏有效的手段評估網(wǎng)絡(luò)系統(tǒng)的安全性。缺少使用硬件設(shè)備對整個網(wǎng)絡(luò)的安全防護性能作出科學(xué)、準確的分析評估，并保障實施的安全策略技術(shù)上的可實現(xiàn)性、經(jīng)濟上的可行性和組織上的可執(zhí)行性。

1.3黑客的攻擊手段在不斷地更新。目前黑客的攻擊方法已超過計算機病毒的種類，且許多攻擊都是致命的。攻擊源相對集中，攻擊手段更加靈活。黑客手段和計算機病毒技術(shù)結(jié)合日漸緊密。黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

1.4計算機病毒。計算機病毒將導(dǎo)致計算機系統(tǒng)癱瘓，程序和數(shù)據(jù)嚴重破壞甚至被盜取，使網(wǎng)絡(luò)的效率降低，使許多功能無法使用或不敢使用。層出不窮的各種各樣的計算機病毒活躍在計算機網(wǎng)絡(luò)的每個角落，給我們的正常工作已經(jīng)造成過嚴重威脅。

2確保計算機網(wǎng)絡(luò)安全的防范措施

2.1操作系統(tǒng)與網(wǎng)絡(luò)設(shè)計。計算機用戶使用正版軟件，及時對系統(tǒng)漏洞打補丁，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在計算機網(wǎng)絡(luò)中，建立起統(tǒng)一的身份認證，供各種應(yīng)用系統(tǒng)使用，實現(xiàn)用戶統(tǒng)一管理、認證和授權(quán)。網(wǎng)絡(luò)管理員和操作員根據(jù)本人的權(quán)限，輸入不同的口令，對應(yīng)用程序數(shù)據(jù)進行合法操作，防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。

2.2安全性評估。加強計算機網(wǎng)絡(luò)各級使用人員的網(wǎng)絡(luò)安全教育，建立健全計算機網(wǎng)絡(luò)安全管理制度，嚴格執(zhí)行操作規(guī)程和規(guī)章制度。網(wǎng)絡(luò)管理人員對整個網(wǎng)絡(luò)的安全防護性能進行檢查，查找其中是否有可被黑客利用的漏洞，對系統(tǒng)安全狀況進行評估、分析，并對發(fā)現(xiàn)的問題提出建議，從而提高網(wǎng)絡(luò)系統(tǒng)安全性能。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。

篇3

1．硬件威脅。計算機網(wǎng)絡(luò)安全的影響因素有一些是來自硬件的，如，組成計算機網(wǎng)絡(luò)的服務(wù)器，線路等設(shè)備不具有抗輻射、防火、防寒的功能。由于硬件是計算機網(wǎng)絡(luò)的載體，一旦硬件系統(tǒng)受到破壞，計算機網(wǎng)絡(luò)的使用則會受到極大的限制，甚至導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)不復(fù)存在。

2．系統(tǒng)自身問題。必須承認，任何操作系統(tǒng)都不可能完全排除安全漏洞，如，現(xiàn)在流行的操作系統(tǒng)windows，unix等本身就存在安全漏洞。操作系統(tǒng)的安全漏洞不易被發(fā)現(xiàn)，而一旦發(fā)現(xiàn)這些安全漏洞，進行系統(tǒng)修復(fù)則是一個漫長而又具有技術(shù)性的工作。黑客就是利用這些操作系統(tǒng)本身的安全漏洞來侵入系統(tǒng);有時硬件的配置不協(xié)調(diào)也會導(dǎo)致網(wǎng)絡(luò)運行的質(zhì)量;再有就是網(wǎng)卡選配不當，也會導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定，缺乏安全策略。這就無意中擴大了訪問權(quán)限，這些權(quán)限就可能被他人所利用。

3．內(nèi)部局域網(wǎng)用戶的威脅。實際上，內(nèi)部局域網(wǎng)的威脅遠大于外部網(wǎng)的安全威脅，由于內(nèi)網(wǎng)使用者缺乏安全意識，在訪問網(wǎng)絡(luò)或信息通信時，缺乏安全意識，如，在使用公共計算機時，隨意把個人信息告知他人或用戶賬號和密碼的設(shè)置過于簡單等，都會造成個人信息的泄露;再如，在軟件開發(fā)的過程中，由于開發(fā)者的失誤或不注意，會造成軟件的安全存在漏洞，一旦此類軟件遭受到病毒的感染或被網(wǎng)絡(luò)黑客控制，就會對計算機網(wǎng)絡(luò)安全造成威脅，形成局域網(wǎng)內(nèi)部漏洞。最終導(dǎo)致黑客或病毒通過一臺計算機進入內(nèi)部網(wǎng)絡(luò)來實現(xiàn)控制:破壞文件，盜取資料，甚至是使內(nèi)部網(wǎng)絡(luò)癱瘓。如，當今流行的arp攻擊，它是一臺電腦中毒，中毒以后攻擊局域網(wǎng)內(nèi)部的其他電腦。arp欺騙木馬只需成功感染一臺計算機，就可能導(dǎo)致整個局域網(wǎng)都無法上網(wǎng)，嚴重的甚至可能帶來整個網(wǎng)絡(luò)的癱瘓。該木馬發(fā)作時除了會導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時斷時續(xù)的現(xiàn)象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號去做金錢交易，盜竊網(wǎng)上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便甚至是巨大的經(jīng)濟損失。

4．缺乏有效的監(jiān)視手段來評估網(wǎng)絡(luò)系統(tǒng)的安全。完整而且能夠準確地評估自身的計算機安全性，并作出有效的防范，要保障安全策略的實施，及時發(fā)現(xiàn)和解決問題，是一種非常有效的提高網(wǎng)絡(luò)安全的辦法。當發(fā)現(xiàn)系統(tǒng)漏洞時，要及時進行更新，發(fā)現(xiàn)運行出現(xiàn)不正常，及時進行檢查，這樣才能有效地防范于未然。然而我們的安全工具的更新速度很慢，一般都是發(fā)現(xiàn)該攻擊或該病毒后才會研究對應(yīng)的辦法，而又需要一段時間，根本來不及挽回已經(jīng)造成的損失。而一個問題解決后，又可能出現(xiàn)其他的安全問題，因此，安全工具不知道何時又會有其他的問題出現(xiàn)，所以就目前情況來看缺乏有效的監(jiān)視手段。

5．計算機病毒。計算機病毒的威脅也是常見的網(wǎng)絡(luò)安全行為，它是一些人為了達到某種目的而編寫出來的一段計算機程序。計算機病毒通常具有極快的傳播速度與難以被刪除的特點。因此一旦計算機感染上病毒，通常會導(dǎo)致計算機功能遭到破壞，例如數(shù)據(jù)的損壞、信息的丟失等，并且隨著計算機病毒的不斷發(fā)展，計算機病毒也呈現(xiàn)出一種可自我進化，感染方式多樣化等特點。所以說計算機病毒也是威脅計算機網(wǎng)絡(luò)安全的一個重要因素。

6．黑客的攻擊手段也在不斷更新。可以說相比于計算機病毒，黑客對于計算機網(wǎng)絡(luò)安全的危害更為嚴重。因為黑客對計算機網(wǎng)絡(luò)的攻擊有著明確的目的性，是根據(jù)特定的需要來進行信息的破壞、利用與竊取，并且這種信息的破壞、利用與竊取通常伴隨著相當高的隱蔽性，造成的損失難以估量的。所以雖說我們在不斷地更新各種殺毒軟件，不斷地修復(fù)系統(tǒng)的漏洞，但黑客也在不斷地研究新的病毒，改進新的手段，成為造成計算機網(wǎng)絡(luò)安全隱患的重要因素。

二、計算機網(wǎng)絡(luò)安全的防范措施

既然如此，我們就應(yīng)該做好計算機網(wǎng)絡(luò)安全防范措施，做到防患于未然，盡量減小因網(wǎng)絡(luò)安全導(dǎo)致的損失。主要措施如下。

1．對網(wǎng)絡(luò)內(nèi)部用戶的網(wǎng)絡(luò)安全防范意識進行提升教育，使用戶意識到網(wǎng)絡(luò)安全的重要性。給每臺計算機安裝殺毒軟件，使每臺計算機都可以自動進行殺毒，并且養(yǎng)成定期殺毒的習(xí)慣，對他人拿來的u盤、移動硬盤必須進行查殺后才可使用。這是在防病毒的過程中，最經(jīng)濟也是最實惠的方法。

2．使用網(wǎng)絡(luò)防火墻。網(wǎng)絡(luò)防火墻可以加強網(wǎng)絡(luò)之間的訪問控制，阻止他人非法從外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，獲取網(wǎng)絡(luò)內(nèi)部資源，使重要資料流失。防火墻是目前對黑客的主要防范措施，但是防火墻不能完全防止已經(jīng)被感染的用戶，對內(nèi)部有泄密者也不能進行有效地防范。因此，大力發(fā)展網(wǎng)絡(luò)防火墻保護技術(shù)，一方面在保障其原有作用的前提下，另一方面應(yīng)探索如何對于網(wǎng)內(nèi)用戶進行有效的保護。從而更有效地利用防火墻技術(shù)來保護計算機網(wǎng)絡(luò)安全。

3．可以在計算機網(wǎng)絡(luò)添加物理防火墻，對外部攻擊和非法數(shù)據(jù)進行監(jiān)測，對內(nèi)部病毒的攻擊進行有效的防護，使用物理防火墻能有效地控制外部數(shù)據(jù)的安全，有效地保護內(nèi)部網(wǎng)絡(luò)。

4．定期對操作系統(tǒng)進行備份，在使用計算機的過程中，如果有重要資料，要進行備份，對操作系統(tǒng)也要做原始備份，如果計算機一旦中毒，可以對操作系統(tǒng)和重要數(shù)據(jù)進行恢復(fù)，能夠避免失去重要數(shù)據(jù)。

5．定期進行系統(tǒng)漏洞的掃描與修補。及時下載系統(tǒng)補丁，修補計算機漏洞，對數(shù)據(jù)端口進行有效地防護。

6．大力發(fā)展計算機加密技術(shù)加密技術(shù)伴隨著計算機網(wǎng)絡(luò)的生成而逐步發(fā)展，是保障計算機網(wǎng)絡(luò)安全最重要的技術(shù)手段。其原理為將原有的信息資源通過算法轉(zhuǎn)換成不可讀且無意義的密文信息，接收用戶需要通過特定的解密鑰匙才能將信息轉(zhuǎn)化成明文。目前，計算機的加密技術(shù)主要通過兩種形式得以實現(xiàn):一方面是信息加密，即利用有效的算法對重要的信息、程序與文件進行加密鎖定，從而達到防止信息泄漏的目的;另一方面則是對互聯(lián)網(wǎng)的信息傳輸協(xié)議進行加密，此類信息協(xié)議大多采用復(fù)雜的算法來保障信息的安全，以達到防止電腦病毒的感染與電腦黑客的竊取與篡改，進而保證計算機網(wǎng)絡(luò)的通暢與安全。

三、總結(jié)

篇4

（河南中煙工業(yè)有限責(zé)任公司南陽卷煙廠 河南 南陽 473007）

摘 要：由于計算機互聯(lián)網(wǎng)比較容易受到內(nèi)部因素和外部因素的影響，這些影響嚴重威脅到了人們的切身利益，從而使得網(wǎng)絡(luò)安全的現(xiàn)狀越來越令人堪憂。因此，文章針對網(wǎng)絡(luò)安全風(fēng)險的評估及其關(guān)鍵技術(shù)展開了分析討論，以期為企業(yè)的網(wǎng)絡(luò)安全提供重要的保障條件。

關(guān)鍵詞 ：網(wǎng)絡(luò)安全；風(fēng)險的評估；關(guān)鍵技術(shù)

中圖分類號：TP393.08 文獻標識碼：A doi：10．3969／j．issn．1665－2272．2015．03．006

收稿日期：2014－11-29

1 網(wǎng)絡(luò)安全的現(xiàn)狀

網(wǎng)絡(luò)安全的核心原則是以安全目標為基礎(chǔ)的。在網(wǎng)絡(luò)安全威脅日益增加的今天，要求在網(wǎng)絡(luò)安全框架模型的不同層面、不同側(cè)面的各個安全維度，有其相應(yīng)的安全目標要求，而這些安全目標要求必須可以通過一個或多個指標來評估，進而減少信息丟失和網(wǎng)絡(luò)事故發(fā)生的概率，從而提高網(wǎng)絡(luò)工作效率，降低網(wǎng)絡(luò)安全風(fēng)險。網(wǎng)絡(luò)具有方便性、開放性、快捷性以及實效性，因此滿足了在信息時代背景下，人們對信息的接收與處理的要求。

當前，人們的日常生活和生產(chǎn)活動中，幾乎全部都能夠在網(wǎng)絡(luò)上進行，這樣不僅提高了效率和效果，而且還在很大程度上降低了運營成本和投資成本。其中網(wǎng)絡(luò)的開放性是現(xiàn)代網(wǎng)絡(luò)最大的特點，無論是誰，在什么地方都能快速、便捷的參與到網(wǎng)絡(luò)活動中去，任何團體或者個人都能在網(wǎng)絡(luò)上快速獲得自己所需要的信息。但是在這過程中，網(wǎng)絡(luò)也暴露出了許多問題，很多人在利用網(wǎng)絡(luò)促進社會發(fā)展和創(chuàng)造財富的同時，也有小部分的人利用網(wǎng)絡(luò)開放性的特點非法竊取商業(yè)機密和信息，有的甚至還會對商業(yè)信息進行篡改，從而不僅造成了巨大的經(jīng)濟損失，而且還對整個社會產(chǎn)生了負面的影響。

隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展，網(wǎng)絡(luò)安全問題也越來越得到了人們的重視，網(wǎng)絡(luò)安全問題不僅關(guān)系到人們的切身利益，而且它還關(guān)系到社會和國家的安全與穩(wěn)定。近幾年來，黑客攻擊事件頻繁發(fā)生，再加上人們對于網(wǎng)絡(luò)的安全意識比較淡薄，沒有安全漏洞的防護措施，從而造成了嚴重的后果。

2 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全風(fēng)險評估

網(wǎng)絡(luò)安全的定義需要針對對象而異，對象不同，其定義也有所不同。例如對象是一些個體，網(wǎng)絡(luò)安全就代表著信息的機密性和完整性以及在信息傳輸過程中的安全性等，防止和避免某些不法分子冒用信息以及破壞訪問權(quán)限等；如果對象是一些安全及管理部門，網(wǎng)絡(luò)安全就意味盡最大可能防止某些比較重要的信息泄露和漏洞的產(chǎn)生，盡量降低其帶來的損失和傷害，換句話說就是必須要保證信息的完整性。站在社會的意識形態(tài)角度考慮，網(wǎng)絡(luò)安全所涉及的內(nèi)容主要包括有網(wǎng)絡(luò)上傳播的信息和內(nèi)容以及這些信息和內(nèi)容所產(chǎn)生的影響。其實網(wǎng)絡(luò)安全意味著信息安全，必須要保障信息的可靠性。雖然網(wǎng)絡(luò)具有很大的開放性，但是對于某些重要信息的保密性也是十分重要的，在一系列信息產(chǎn)生到結(jié)束的過程中，都應(yīng)該充分保證信息的完整性、可靠性以及保密性，未經(jīng)許可泄露給他人的行為都屬于違法行為。

同時網(wǎng)絡(luò)上的內(nèi)容和信息必須是在可以控制的范圍內(nèi)，一旦發(fā)生失誤，應(yīng)該可以立即進行控制和處理。當網(wǎng)絡(luò)安全面臨著調(diào)整或威脅的時候，相關(guān)的工作人員或部門應(yīng)該快速地做出處理，從而盡量降低損失。在網(wǎng)絡(luò)運行的過程中，應(yīng)該盡量減少由于人為失誤而帶來的損失和風(fēng)向，同時還需要加強人們的安全保護意識，積極建立相應(yīng)的監(jiān)測機制和防控機制，保證當外部出現(xiàn)惡意的損害和入侵的時候能夠及時做出應(yīng)對措施，從而將損失降到最低程度。除此之外，還應(yīng)該對網(wǎng)絡(luò)的安全漏洞進行定期的檢查監(jiān)測，一旦發(fā)現(xiàn)問題應(yīng)該及時進行處理和修復(fù)。

而網(wǎng)絡(luò)安全風(fēng)險評估主要是對潛在的威脅和風(fēng)險、有價值的信息以及脆弱性進行判斷，對安全措施進行測試，待符合要求后，方可采取。同時還需要建立完整的風(fēng)險預(yù)測機制以及等級評定規(guī)范，從而有利于對風(fēng)險的大小以及帶來的損害做出正確的評價。網(wǎng)絡(luò)安全風(fēng)險不僅存在于信息中，而且還有可能存在于網(wǎng)絡(luò)設(shè)備中。因此，對于自己的網(wǎng)絡(luò)資產(chǎn)首先應(yīng)該進行準確的評估，對其產(chǎn)生的價值大小和可能受到的威脅進行正確的預(yù)測和評估，而對于本身所具有的脆弱性做出合理的風(fēng)險評估，這樣不僅有效的避免了資源的浪費，而且還在最大程度上提高了網(wǎng)絡(luò)的安全性。

3 網(wǎng)絡(luò)安全風(fēng)險評估的關(guān)鍵技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)達，網(wǎng)絡(luò)安全技術(shù)也隨之在不斷的完善和提高。近年來有很多的企業(yè)和事業(yè)單位都對網(wǎng)絡(luò)系統(tǒng)采取了相應(yīng)的、有效的防護體系。例如，防火墻的功能主要是對外部和內(nèi)部的信息進行仔細的檢查和監(jiān)測，并對內(nèi)部的網(wǎng)絡(luò)系統(tǒng)進行隨時的檢測和防護。利用防火墻對網(wǎng)絡(luò)的安全進行防護，雖然在一定程度上避免了風(fēng)險的產(chǎn)生，但是防火墻本身具有局限性，因此不能對因為自己產(chǎn)生的漏洞而帶來的攻擊進行防護和攻擊，同時又由于防火墻的維護系統(tǒng)是由內(nèi)而外的，因此不能為網(wǎng)絡(luò)系統(tǒng)的安全提供重要的保障條件。針對于此，應(yīng)該在防火墻的基礎(chǔ)上與網(wǎng)絡(luò)安全的風(fēng)險評估系統(tǒng)有效地進行結(jié)合，對網(wǎng)絡(luò)的內(nèi)部安全隱患進行調(diào)整和處理。

從目前來看，在網(wǎng)絡(luò)安全風(fēng)險評估的系統(tǒng)中，網(wǎng)絡(luò)掃描技術(shù)是人們或團體經(jīng)常采用的技術(shù)手段之一。網(wǎng)絡(luò)掃描技術(shù)不僅能夠?qū)⑾嚓P(guān)的信息進行搜集和整理，而且還能對網(wǎng)絡(luò)動態(tài)進行實時的監(jiān)控，從而有助于人們隨時隨地地掌握到有用的信息。近幾年來，隨著計算機互聯(lián)網(wǎng)在各個行業(yè)中的廣泛運用，使得掃描技術(shù)更加被人們進行頻繁的使用。對于原來的防護機制而言，網(wǎng)絡(luò)掃描技術(shù)可以在最大程度上提高網(wǎng)絡(luò)的安全系數(shù)，從而將網(wǎng)絡(luò)的安全系數(shù)降到最低。由于網(wǎng)絡(luò)掃描技術(shù)是對網(wǎng)絡(luò)存在的漏洞和風(fēng)險的出擊手段具有主動性，因此能夠?qū)W(wǎng)絡(luò)安全的隱患進行主動的檢測和判斷，并且在第一時間能夠進行正確的調(diào)整和處理，而對那些惡意的攻擊，例如黑客的入侵等，都會起到一個預(yù)先防護的作用。

網(wǎng)絡(luò)安全掃描針對的對象主要包括有主機、端口以及潛在的網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)安全掃描技術(shù)首先是對主機進行掃描，其效率直接影響到了后面的步驟，對主機進行掃描主要是網(wǎng)絡(luò)控制信息協(xié)議對信息進行判斷，由于主機自身的防護體制常常被設(shè)置為不可用的狀態(tài)，因此可以用協(xié)議所提供的信息進行判斷。同時可以利用Ping功能向所需要掃描的目標發(fā)送一定量的信息，通過收到的回復(fù)對目標是否可以到達或發(fā)動的信息被目標屏蔽進行判斷。而對于防護體系所保護的目標，不能直接從外部進行掃描，可以利用反響映射探測技術(shù)對其及進行檢測，當某個目標被探測的時候，可以向未知目標傳遞數(shù)據(jù)包，通過目標的反應(yīng)進行判斷。例如沒有收到相應(yīng)的信息報告，可以借此判斷IP的地址是否在該區(qū)域內(nèi)，由于受到相關(guān)設(shè)備的影響，也將會影響到這種方法的成功率。而端口作為潛在的信息通道，通過對端口的掃描收到的有利信息量進行分析，從而了解內(nèi)部與外部交互的內(nèi)容，從而發(fā)現(xiàn)潛在的漏洞，進而能夠在很大程度上提高安全風(fēng)險的防范等級。利用相應(yīng)的探測信息包向目標進行發(fā)送，從而做出反應(yīng)并進行分析和整理，就能判斷出端口的狀態(tài)是否處于關(guān)閉或打開的狀態(tài)，并且還能對端口所提供的信息進行整合。從目前來看，端口的掃描防止主要包括有半連接、全連接以及FIN掃描，同時也還可以進行第三方掃描，從而判斷目標是否被控制了。

除此之外，在網(wǎng)絡(luò)安全的掃描技術(shù)中，人們還比較常用的一種技術(shù)是網(wǎng)絡(luò)漏洞掃描技術(shù)，這種技術(shù)對于網(wǎng)絡(luò)安全也起到了非常重要的作用。在一般情況下，網(wǎng)絡(luò)漏洞掃描技術(shù)主要分為兩種手段，第一種手段是先對網(wǎng)絡(luò)的端口進行掃描，從而搜集到相應(yīng)的信息，隨后與原本就存在的安全漏洞數(shù)據(jù)庫進行比較，進而可以有效地推測出該網(wǎng)絡(luò)系統(tǒng)是否存在著網(wǎng)絡(luò)漏洞；而另外一種手段就是直接對網(wǎng)絡(luò)系統(tǒng)進行測試，從而獲得相關(guān)的網(wǎng)絡(luò)漏洞信息，也就是說，在黑客對網(wǎng)絡(luò)進行惡意攻擊的情況下，并且這種攻擊是比較有效的，從而得出網(wǎng)絡(luò)安全的漏洞信息。通過網(wǎng)絡(luò)漏洞掃描技術(shù)的這種手段而獲取到的漏洞信息之后，針對這些漏洞信息對網(wǎng)絡(luò)安全進行及時的、相應(yīng)的維護和處理，從而保證網(wǎng)絡(luò)端口一直處于安全狀態(tài)。

4 結(jié)語

在當今信息化的時代背景下，網(wǎng)絡(luò)的到來徹底改變了傳統(tǒng)的生產(chǎn)方式以及人們的生活方式。目前，網(wǎng)絡(luò)作為一個重要的運營平臺，通過信息對企業(yè)的生產(chǎn)和發(fā)展進行輔助和支持，這對社會和企業(yè)的發(fā)展，都具有十分深遠的意義。因此，在網(wǎng)絡(luò)的運行過程中，應(yīng)當對網(wǎng)絡(luò)的信息資產(chǎn)進行正確的評估和妥善的保護，從而為企業(yè)和社會的經(jīng)濟提供重要的保障條件。針對于此，應(yīng)該加大人們的網(wǎng)絡(luò)安全意識，建立完整、有效的網(wǎng)絡(luò)安全評估系統(tǒng)，從而提高網(wǎng)絡(luò)的安全系數(shù)。

參考文獻

1 白兆輝．淺析計算機網(wǎng)絡(luò)安全防范的幾種關(guān)鍵技術(shù)［J］．科技信息，2009（23）

2 李靖．網(wǎng)絡(luò)安全風(fēng)險評估關(guān)鍵技術(shù)研究［J］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（5）

篇5

關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵監(jiān)測；防火墻；包過濾

隨著計算機技術(shù)和網(wǎng)絡(luò)和不斷發(fā)展，療養(yǎng)院信息化的也呈跨越式的發(fā)展。所有療養(yǎng)人員的信息都已經(jīng)通過網(wǎng)絡(luò)數(shù)字化存入了網(wǎng)絡(luò)數(shù)據(jù)庫，使療養(yǎng)人員的健康管理，療案跟蹤以及醫(yī)護人員的定點服務(wù)能夠快速、準確。所以療養(yǎng)院網(wǎng)絡(luò)的安全，將直接關(guān)系到療養(yǎng)工作的正常進行。網(wǎng)絡(luò)上的漏洞、病毒等如果不進行有效的技術(shù)控制防護殺毒，將會帶來巨大的災(zāi)難和損失。那么，對于網(wǎng)絡(luò)安全管理來說，管理員應(yīng)該從哪些方面，如何才能做到安全管理呢，我們一步一步進行分析。

1網(wǎng)絡(luò)安全技術(shù)分析

網(wǎng)絡(luò)安全技術(shù)一般都由多種安全技術(shù)組成，如網(wǎng)絡(luò)防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、網(wǎng)絡(luò)安全漏洞掃描技術(shù)。

1.1網(wǎng)絡(luò)防火墻技術(shù)

網(wǎng)絡(luò)防火墻又分為硬件防火墻和軟件防火墻，他們的功能基本相同，都是在療養(yǎng)院內(nèi)部可信任網(wǎng)絡(luò)和外部不可信任的公共網(wǎng)絡(luò)之架起一座橋梁，然后根據(jù)內(nèi)部網(wǎng)絡(luò)的要求，允許授權(quán)的包通過，同時防止外部未經(jīng)授權(quán)的用戶非法訪問內(nèi)部網(wǎng)絡(luò)，也可以完全阻止外部用戶的訪問，進而保護內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵。不管是硬件防火墻還是軟件防火墻都能夠根據(jù)一定的安全規(guī)則來控制內(nèi)外網(wǎng)之間的信息流，并且保護自身不受非法用戶的攻擊。

防火墻技術(shù)從應(yīng)用上來說一般分為“包過濾”型（PacketFiltering）、“應(yīng)用”型（ApplicationProxy），網(wǎng)絡(luò)地址轉(zhuǎn)換型（NetworkAddressTranslation）三種?！鞍^濾”型：它是依據(jù)網(wǎng)絡(luò)中的數(shù)據(jù)包傳輸，根據(jù)防火墻制作的過濾包的規(guī)則來檢測攻擊行為。因為網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)都是以“包”為單位進行傳輸?shù)模恳粋€數(shù)據(jù)包都包含特定的信息，像數(shù)據(jù)源地址、目的地址、端口號等等。包過濾會檢查這些是否來自可信任的安全站點，如果發(fā)現(xiàn)數(shù)據(jù)包不正?；騺碜圆话踩牡刂?，就會拒絕這些數(shù)據(jù)包通過。管理員可根據(jù)自身網(wǎng)絡(luò)的需要來制定相應(yīng)的包過濾規(guī)則。

包過濾也有一定的缺點，因為它是工作在網(wǎng)絡(luò)層，通過數(shù)據(jù)包的信息來判斷，如果有黑客偽造地址和端口等方法就能很容易通過包過濾型的防火墻?！皯?yīng)用”型：應(yīng)用型的防火墻其實就是使用服務(wù)器作為防火墻用，服務(wù)器處于客戶機和服務(wù)器之間，內(nèi)部網(wǎng)絡(luò)用戶可以通過服務(wù)使用外部網(wǎng)絡(luò)，而外部網(wǎng)絡(luò)用戶無法訪問內(nèi)部網(wǎng)絡(luò)，保護了內(nèi)部網(wǎng)絡(luò)上的數(shù)據(jù)。由于內(nèi)外之間沒有直接連接，都是通過服務(wù)器進行，所以安全性較高。服務(wù)器還可以同時提供安全審計和日志服務(wù)。服務(wù)雖然安全性較高，對病毒和木馬入侵十分有效，但是因為所有客戶機的訪問都要由服務(wù)器進行連接，加重了服務(wù)器的負擔(dān)，而且速度較慢。

“網(wǎng)絡(luò)地址轉(zhuǎn)換”型：它是把內(nèi)部網(wǎng)絡(luò)用戶的內(nèi)部IP臨時轉(zhuǎn)換成具有外部網(wǎng)絡(luò)的IP地址的計算機來訪問外網(wǎng)。外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)絡(luò)的機器在訪問外網(wǎng)果，都由NAT服務(wù)器來產(chǎn)生一個映射地址，然后在映射出一個偽裝的端口通過網(wǎng)卡訪問，這樣就隱藏了實際的內(nèi)部網(wǎng)絡(luò)地址?！熬W(wǎng)絡(luò)地址轉(zhuǎn)換”型的優(yōu)點是可以使內(nèi)部所有的機器共享幾個外網(wǎng)的IP訪問外網(wǎng)，對于內(nèi)網(wǎng)安全性較高，但是同樣網(wǎng)絡(luò)訪問速度慢。

1.2網(wǎng)絡(luò)入侵檢測技術(shù)入侵檢測

技術(shù)能夠監(jiān)視計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的各種事件并形成日志文件，并且進行完整檢測分析，從中找到不安全的因素或系統(tǒng)中存在的漏洞。一般把入侵檢測的軟件與硬件的組合稱為入侵檢測系統(tǒng)。它是一種主動型的安全防護系統(tǒng)，可以對內(nèi)部攻擊、誤操作和外部攻擊做實時防護，在計算機網(wǎng)絡(luò)和系統(tǒng)受到危害之前提前報警、攔截和響應(yīng)。入侵檢測系統(tǒng)可分為兩類。基于主機的入侵檢測系統(tǒng)用于保護關(guān)鍵應(yīng)用的服務(wù)器，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等。特點是：精確，可以精確地判斷入侵事件；高級，可以判斷應(yīng)用層的入侵事件；對入侵時間立即進行反應(yīng)；針對不同操作系統(tǒng)特點；占用主機寶貴資源。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。特點是：能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動；實時網(wǎng)絡(luò)監(jiān)視；監(jiān)視粒度更細致；精確度較差；防入侵欺騙的能力較差；交換網(wǎng)絡(luò)環(huán)境難于配置。

1.3網(wǎng)絡(luò)防病毒技術(shù)

計算機病毒是危害網(wǎng)絡(luò)信息系統(tǒng)安全的重要問題之一，它可以通過光盤、優(yōu)盤、移動硬盤、網(wǎng)上下載、電子郵件等方式進行傳播，一旦網(wǎng)絡(luò)中的某一臺主機受到病毒感染，病毒程序就會很快迅速傳播，一般的蠕蟲病毒可能拖慢計算機速度，惡意的病毒則可能使用信息泄漏、文件丟失甚至造成計算機崩潰，最嚴重的病毒甚至可以造成計算機硬件燒毀，如CIH病毒等。網(wǎng)絡(luò)防病毒一般是在全網(wǎng)安裝防病毒軟件客戶端，由一臺防病毒服務(wù)器來運行服務(wù)端軟件。服務(wù)端和客戶軟件都具有檢查和清除病毒的功能，服務(wù)端還可以設(shè)置所有在線機器的定時殺毒以及網(wǎng)全網(wǎng)殺毒。當服務(wù)端的殺毒程序升級更新后所有的客戶端都可以自動更新，增加內(nèi)部網(wǎng)絡(luò)的防病毒能力。

1.4網(wǎng)絡(luò)安全漏洞掃描技術(shù)

網(wǎng)絡(luò)安全漏洞掃描技術(shù)是網(wǎng)絡(luò)安全技術(shù)中不可或缺的一部分，它能夠增強內(nèi)部網(wǎng)絡(luò)的安全性，能夠掃描分析系統(tǒng)中存在的安全問題，并針對掃描到的安全漏洞提供詳細的安全解決方案，使系統(tǒng)管理員及時打好系統(tǒng)安全補丁，避免因存在的漏洞而讓黑客有可乘之機，造成數(shù)據(jù)丟失?，F(xiàn)在的漏洞掃描工具分為兩類，一類是基于服務(wù)的，一類是基于網(wǎng)絡(luò)的?；诜?wù)器的漏洞掃描工具可以對服務(wù)器進行全方位的掃描，如弱口令、共享文件、WWW服務(wù)、系統(tǒng)漏洞等，掃描完成后會給出詳盡的分析說明?；诰W(wǎng)絡(luò)的安全掃描工具主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的交換機、路由器、數(shù)據(jù)庫服務(wù)器、防火墻等設(shè)備的安全漏洞，還可以設(shè)定模擬攻擊，以便測試系統(tǒng)的防御能力。通過漏洞掃描技術(shù)的應(yīng)用，管理可以針對相應(yīng)的問題，制定切實可行的安全解決方案。

2網(wǎng)絡(luò)安全管理實施對策

2.1在全網(wǎng)部署硬件防火墻

根據(jù)內(nèi)部網(wǎng)絡(luò)的需求，在內(nèi)網(wǎng)和外網(wǎng)之間架設(shè)硬件防火墻，隔離外網(wǎng)與內(nèi)網(wǎng)之間的訪問。在防火墻中打開IP和端口控制，設(shè)立DMZ區(qū)，打開所需的常用網(wǎng)絡(luò)服務(wù)如HTTP、FTP等，這樣就可防范外部對內(nèi)部用戶的攻擊；及時查看防火墻的日志文件，對防火墻的管理可以指定獨立的管理IP。通過對防火墻規(guī)則的設(shè)置，使用戶需要的應(yīng)用協(xié)議才能通過，讓內(nèi)部網(wǎng)絡(luò)變得更安全。

2.2利用專用服務(wù)器安裝網(wǎng)絡(luò)版殺毒軟件

采用網(wǎng)絡(luò)版殺毒軟件，可以對整個內(nèi)部網(wǎng)絡(luò)采取全面的病毒防護。現(xiàn)在的網(wǎng)絡(luò)版殺毒軟件有瑞星和江民。他們都能對整個內(nèi)部網(wǎng)絡(luò)進行防病毒統(tǒng)一管理，制作一定的防病毒策略，定時對全網(wǎng)系統(tǒng)進行自動查、殺病毒。網(wǎng)絡(luò)防病毒策略一般包括：升級和修補，及時更新病毒程序包和殺毒軟件版本；備份，定時備份所需的重要數(shù)據(jù)以便在出現(xiàn)故障時進行恢復(fù)；安裝軟件時使用經(jīng)過確認的軟件包；一旦某臺機器感染病毒，找到感染源并徹底清除；任何客戶端都不能自行卸載殺毒軟件，設(shè)立卸載密碼。

2.3網(wǎng)絡(luò)安全漏洞修補

定期采用專用的漏洞掃描軟件對內(nèi)部網(wǎng)絡(luò)的專用服務(wù)器如WWW服務(wù)器、視頻會議服務(wù)器、數(shù)據(jù)庫服務(wù)器、FTP服務(wù)器等進行漏洞掃描、分析和評估，并生成掃描報告。根據(jù)評估的安全風(fēng)險，及時修補漏洞及下載系統(tǒng)更新補丁，還要對重要數(shù)據(jù)進行備份，以達到增強網(wǎng)絡(luò)的安全性的目的。

2.4用戶級訪問控制

對所有用戶采用專用的用戶口令和訪問規(guī)則及權(quán)限，以確保只有合法用戶才能訪問合法資源。網(wǎng)絡(luò)管理員應(yīng)該對不同的設(shè)備設(shè)置不同的口令，而且設(shè)置的口令最好是大小寫字母、數(shù)字加特殊字符等，最好是8位以上的密碼，還需要定期更改密碼并將密碼記錄下來。

2.5內(nèi)部網(wǎng)絡(luò)計算機認證訪問

我們都知道，計算機的MAC地址在全球是唯一的，在網(wǎng)絡(luò)中對所有計算機進行IP地址和MAC地址進行綁定，就能夠標識每臺計算機的使用人，只有經(jīng)過綁定的計算機的IP才能夠訪問網(wǎng)絡(luò)。這種綁定可以使用具有三層功能的核心交換來做，也可以使用軟件在專用服務(wù)器上做。利用這種綁定不但可以控制網(wǎng)內(nèi)用戶隨意更換IP的問題，還可以很容易找到某些存在問題的計算機。

2.6網(wǎng)絡(luò)機房安全管理

網(wǎng)絡(luò)安全管理不僅僅要從計算機硬件、軟件和人員使用上管理到位，而且對機房也要納入安全管理范圍，并建立各種安全管理制度，如機房管理制度、設(shè)備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應(yīng)急制度、各服務(wù)器檢查備份制度等，建立相應(yīng)的各種檢查記錄文件，定期修訂不安全的因素，最終采取切實有效的措施保證制度的執(zhí)行。通過以上對各種網(wǎng)絡(luò)安全技術(shù)的分析，我們給出了相應(yīng)的解決問題的對策，從技術(shù)和制度管理上保證了療養(yǎng)院信息網(wǎng)絡(luò)安全的運行。我相信，隨著網(wǎng)絡(luò)安全管理人員的進一步學(xué)習(xí)和實踐，并積極參加國內(nèi)外的各種網(wǎng)絡(luò)安全培訓(xùn)，必將會進一步提高我們信息網(wǎng)絡(luò)管理的安全，使網(wǎng)絡(luò)安全正常的運行。

參考文獻：

[1]AnneCarasik-Henmi.防火墻核心技術(shù)精解[M].北京:中國水利水電出版社,2005:10-14.

[2]戴浩,楊林.端端通信系統(tǒng)安全體系結(jié)構(gòu)[J].計算機安全,2004(2).

篇6

關(guān)鍵詞：計算機；網(wǎng)絡(luò)安全；防范技術(shù)

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 14-0000-01

Brief Introduction on the Security and Prevention of Computer Network

Chen Zhengyao

(Yangjiang District Cadastral Management Office,Yangjiang529500,China)

Abstract:This paper from the start with the concept of computer network security,computer network security issues Chuqian discussed.

Keywords:Computer;Network security;Prevention technology

一、計算機網(wǎng)絡(luò)安全的概念

國際標準化組織將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護。

從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

二、影響計算機網(wǎng)絡(luò)安全的主要因素

人為因素是對計算機信息網(wǎng)絡(luò)安全威脅最大的因素。計算機網(wǎng)絡(luò)不安全因素主要表現(xiàn)在以下幾個方面:

（一）互聯(lián)網(wǎng)絡(luò)的不安全性。（1）網(wǎng)絡(luò)的開放性，網(wǎng)絡(luò)的技術(shù)是全開放的，使得網(wǎng)絡(luò)所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊，或是來自對網(wǎng)絡(luò)通信協(xié)議的攻擊，以及對計算機軟件、硬件的漏洞實施攻擊。（2）網(wǎng)絡(luò)的國際性，意味著對網(wǎng)絡(luò)的攻擊不僅是來自于本地網(wǎng)絡(luò)的用戶，還可以是互聯(lián)網(wǎng)上其他國家的黑客，所以，網(wǎng)絡(luò)的安全面臨著國際化的挑戰(zhàn)。（3）網(wǎng)絡(luò)的自由性，大多數(shù)的網(wǎng)絡(luò)對用戶的使用沒有技術(shù)上的約束，用戶可以自由的上網(wǎng)，和獲取各類信息。

（二）操作系統(tǒng)存在的安全問題。操作系統(tǒng)是作為一個支撐軟件，提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開發(fā)設(shè)計的不周而留下的破綻，都給網(wǎng)絡(luò)安全留下隱患。

（三）來自內(nèi)部網(wǎng)用戶的安全威脅。來自內(nèi)部用戶的安全威脅遠大于外部網(wǎng)用戶的安全威脅，使用者缺乏安全意識，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮較少，并且，如果系統(tǒng)設(shè)置錯誤，很容易造成損失，管理制度不健全，人為因素造成的安全漏洞無疑是整個網(wǎng)絡(luò)安全性的最大隱患。

（四）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

三、確保計算機網(wǎng)絡(luò)安全的對策

網(wǎng)絡(luò)安全不僅是技術(shù)問題，更是一個管理問題，它包含管理機構(gòu)、法律、技術(shù)、經(jīng)濟各方面。我們可從加強管理和提高網(wǎng)絡(luò)安全技術(shù)兩方面確保計算機網(wǎng)絡(luò)安全。

（一）管理層面的對策。（1）建立安全管理制度。建立健全各種安全機制、各種網(wǎng)絡(luò)安全制度，加強網(wǎng)絡(luò)安全教育和培訓(xùn)，提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對重要部門和信息，嚴格做好開機查毒，及時備份數(shù)據(jù)，這是一種簡單有效的方法。（2）加強網(wǎng)絡(luò)訪問控制。訪問控制涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。

（二）技術(shù)層面的對策。（1）網(wǎng)絡(luò)病毒的防范。要使用全方位的防病毒產(chǎn)品，針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，及時為每臺客戶端計算機打好補丁，加強日常監(jiān)測，使網(wǎng)絡(luò)免受病毒的侵襲。（2）配置防火墻。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，根據(jù)不同網(wǎng)絡(luò)的安裝需求，做好防火墻內(nèi)服務(wù)器及客戶端的各種規(guī)則配置，更加有效利用好防火墻。（3）采用入侵檢測系統(tǒng)。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。在學(xué)校、政府機關(guān)、企事業(yè)網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)，則會構(gòu)架成一套完整立體的主動防御體系，有的入侵檢測設(shè)備可以同防火強進行聯(lián)動設(shè)置。（4）應(yīng)用密碼技術(shù)。應(yīng)用密碼技術(shù)是信息安全核心技術(shù)，密碼手段為信息安全提供了可靠保證?；诿艽a的數(shù)字簽名和身份認證是當前保證信息完整性的最主要方法之一，密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。（5）Web，Email，BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時向上級安全網(wǎng)管中心報告，采取措施。（6）漏洞掃描系統(tǒng)。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。（7）IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

計算機網(wǎng)絡(luò)系統(tǒng)是一個人機系統(tǒng)，安全保護的對象是計算機，而安全保護的主體則是人，應(yīng)重視對計算機網(wǎng)絡(luò)安全的硬件產(chǎn)品開發(fā)及軟件研制，建立一個好的計算機網(wǎng)絡(luò)安全系統(tǒng)，也應(yīng)注重樹立人的計算機安全意識，才可能防微杜漸。把可能出現(xiàn)的損失降低到最低點，才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

參考文獻:

[1]孟祥初.網(wǎng)絡(luò)安全重在流程[N].通信產(chǎn)業(yè)報,2007

篇7

今日的世界已進入了網(wǎng)絡(luò)信息高速流通的時代，它仿佛使地球變小了，把世界各地的距離拉近。隨著計算機技術(shù)的發(fā)展，網(wǎng)絡(luò)進入了千家萬戶。本文首先概括了網(wǎng)絡(luò)信息安全的概念和當前網(wǎng)絡(luò)安全解決方案的局限性，然后對網(wǎng)絡(luò)安全防范體系及設(shè)計原則進行了系統(tǒng)分析。

【關(guān)鍵詞】網(wǎng)絡(luò)安全 網(wǎng)絡(luò)攻擊

1 引言

在網(wǎng)絡(luò)信息高度發(fā)達的今天，網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開放的代名詞，幾年前不可思議的事情今天已成為現(xiàn)實。然而伴隨計算機與通信技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升，矛與盾的較量會長時間的進行下去。原本網(wǎng)絡(luò)固有的優(yōu)越性、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁，網(wǎng)絡(luò)安全已變成越來越棘手的問題。據(jù)有關(guān)部門統(tǒng)計，網(wǎng)絡(luò)犯罪幾年來呈上升趨勢。在此，筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識和一些常用的安全防范技術(shù)。

2 當前主要影響網(wǎng)絡(luò)安全的管理因素和技術(shù)因素

隨著計算機網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全問題成了人們關(guān)心的焦點，影響計算機網(wǎng)絡(luò)安全的主要因素有：

（1）TCP/IP的脆弱性。作為所有網(wǎng)絡(luò)安全協(xié)議基石的TCP/IP協(xié)議，其本身對于網(wǎng)絡(luò)安全性考慮欠缺，這就使攻擊者可以利用它的安全缺陷來實施網(wǎng)絡(luò)攻擊。

（2）軟件系統(tǒng)的不完善性造成了網(wǎng)絡(luò)安全漏洞，給攻擊者打開方便之門。

（3）網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。由于因特網(wǎng)采用了網(wǎng)間網(wǎng)技術(shù)，因此當兩臺主機進行通信時，攻擊者利用一臺處于用戶數(shù)據(jù)流傳輸路徑上的主機，就可以劫持用戶的數(shù)據(jù)包。

（4）缺乏安全意識和策略。由于人們普遍缺乏安全意識，網(wǎng)絡(luò)中許多安全屏障形同虛設(shè)。如為了避開防火墻的額外認證，直接進行PPP連接，給他人留下可乘之機等。

（5）管理制度不健全，網(wǎng)絡(luò)管理、維護任其自然。

（6）由于條塊分割的利益分配問題所帶來的網(wǎng)絡(luò)安全問題。

3 目前解決網(wǎng)絡(luò)安全問題存在著技術(shù)和管理的缺失

網(wǎng)絡(luò)安全防范措施主要有防火墻、口令驗證系統(tǒng)、加密系統(tǒng)等，應(yīng)用最廣泛的是防火墻技術(shù)。防火墻技術(shù)是內(nèi)部網(wǎng)最重要的安全技術(shù)之一，其主要功能就是控制對受保護網(wǎng)絡(luò)的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險立足點為。但也有其明顯的局限性，如：

（1）防火墻難于防內(nèi)。防火墻的安全控制只能作用于外對內(nèi)或內(nèi)對外，而據(jù)權(quán)威部門統(tǒng)計結(jié)果表明，網(wǎng)絡(luò)上的安全攻擊事件有70%來自內(nèi)部攻擊。

（2）防火墻難于管理和配置，易造成安全漏洞。防火墻的管理和配置，易造成安全漏洞。防火墻的管理及配置相當復(fù)雜，一般來說，由多個系統(tǒng)（路由器、過濾器、服務(wù)器、網(wǎng)關(guān)、保壘主機）組成的防火墻，管理上有所疏忽是在所難免的。根據(jù)美國財經(jīng)雜志統(tǒng)計資料表明，30%的入侵發(fā)生在有防火墻的情況下。

（3）防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內(nèi)外提供一致的安全策略。許多防火墻對用戶的安全控制主要是基于用戶所用機器的IP地址而不是用戶身份，這樣就很難為同一用戶在防火墻內(nèi)外提供一致的安全控制策略，限制了企業(yè)網(wǎng)的物理范圍。

4 當前設(shè)計網(wǎng)絡(luò)安全防范體系應(yīng)遵循的原則

根據(jù)防范安全攻擊的安全需求、需要達到的安全目標、對應(yīng)安全機制所需的安全服務(wù)等因素，參照SSE-CMM（“系統(tǒng)安全工程能力成熟模型”）和ISO17799（信息安全管理標準）等國際標準，綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防范體系在整體設(shè)計過程中應(yīng)遵循以幾項原則：

（1）短板理論在網(wǎng)絡(luò)信息安全技術(shù)方面的應(yīng)用。網(wǎng)絡(luò)信息安全的木桶原則是指對信息均衡、全面的進行保護。“木桶的最大容積取決于最短的一塊木板” 。網(wǎng)絡(luò)信息系統(tǒng)是一個復(fù)雜的計算機系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性使單純的技術(shù)保護防不勝防。攻擊者使用的“最易滲透原則”，必然在系統(tǒng)中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析，評估和檢測（包括模擬攻擊）是設(shè)計信息安全系統(tǒng)的必要前提條件。安全機制和安全服務(wù)設(shè)計的首要目的是防止最常用的攻擊手段，根本目的是提高整個系統(tǒng)的“安全最低點”的安全性能。

（2）防止以偏概全的網(wǎng)絡(luò)信息安全的整體性原則。要求在網(wǎng)絡(luò)發(fā)生被攻擊、破壞事件的情況下，必須盡可能地快速恢復(fù)網(wǎng)絡(luò)信息中心的服務(wù)，減少損失。因此，信息安全系統(tǒng)應(yīng)該包括安全防護機制、安全檢測機制和安全恢復(fù)機制。安全防護機制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應(yīng)的防護措施，避免非法攻擊的進行。安全檢測機制是檢測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊。安全恢復(fù)機制是在安全防護機制失效的情況下，進行應(yīng)急處理和盡量、及時地恢復(fù)信息，減少供給的破壞程度。

（3）實踐中的安全性評價與經(jīng)濟可行和安全性的平衡原則。對任何網(wǎng)絡(luò)，絕對安全難以達到，也不一定是必要的，所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設(shè)計要正確處理需求、風(fēng)險與代價的關(guān)系，做到安全性與可用性相容，做到組織上可執(zhí)行。評價信息是否安全，沒有絕對的評判標準和衡量指標，只能決定于系統(tǒng)的用戶需求和具體的應(yīng)用環(huán)境，具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質(zhì)和信息的重要程度。

5 結(jié)束語

由于互聯(lián)網(wǎng)絡(luò)的開放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲和對其訪問與處理的分布性特點，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡(luò)受到的安全攻擊非常嚴重，因此建立有效的網(wǎng)絡(luò)安全防范體系就更為迫切。實際上，保障網(wǎng)絡(luò)安全不但需要參考網(wǎng)絡(luò)安全的各項標準以形成合理的評估準則，更重要的是必須明確網(wǎng)絡(luò)安全的框架體系、安全防范的層次結(jié)構(gòu)和系統(tǒng)設(shè)計的基本原則，分析網(wǎng)絡(luò)系統(tǒng)的各個不安全環(huán)節(jié)，找到安全漏洞，做到有的放矢。

參考文獻

[1]朱理森，張守連.計算機網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京：專利文獻出版社，2001.

[2]劉占全.網(wǎng)絡(luò)管理與防火墻[M].北京：人民郵電出版社，1999.

篇8

關(guān)鍵詞：計算機；網(wǎng)絡(luò)安全；防范措施；含義

中圖分類號：TP393.08文獻標識碼：A文章編號：1007-9599 (2012) 03-0000-02

Research and Discussion on Computer Network Security and Preventation

Xiao Zu

(Zhaotong Teachers' College,Shaotong657000,China)

Abstract:Fundamentally looking for addressing the safe operation of the computer network,you must start from the fundamental computer network.This article first analyzes the meaning of computer network security,described the causes of computer network security issues,and on this basis of computer network security measures and strategies.

Keywords:Computer;Network security;Preventive measures;Meaning

一、計算機網(wǎng)絡(luò)安全的含義

計算機技術(shù)在現(xiàn)代社會的迅猛發(fā)展，離不開計算機網(wǎng)絡(luò)提供的平臺和運行環(huán)境，而今，計算機操作系統(tǒng)的功能日漸強大，伴隨而來的計算機網(wǎng)絡(luò)環(huán)境體系也復(fù)雜多變，尤其是計算機網(wǎng)絡(luò)的負面影響在社會生活中造成的影響不容忽視[1]。若要從根本上尋找解決計算機網(wǎng)絡(luò)安全運營問題，則必須從計算機網(wǎng)絡(luò)的根本處入手。

目前被國際普遍接受的計算機安全定義是這樣解釋的：為計算機的數(shù)據(jù)信息處理系統(tǒng)采取和建立的技術(shù)或管理手段，保護網(wǎng)絡(luò)中的計算機軟件、硬件內(nèi)存儲的數(shù)據(jù)不會因為自然或人工的原因遭到更改、泄露甚至破壞。這個定義包含的內(nèi)容有兩方面，不僅要保證計算機內(nèi)存儲邏輯數(shù)據(jù)的安全，更要保護計算機系統(tǒng)的物理安全不受破壞。狹義理解情況下所指的計算機安全僅僅指的是計算機內(nèi)部的邏輯數(shù)據(jù)的完整、保密性和可用性，也即是信息安全；廣義理解的計算機安全是在信息安全的基礎(chǔ)上，再加上對計算機網(wǎng)絡(luò)終端的計算機操作系統(tǒng)硬件的完整性、保密性以及可用性的保護[2][3]。

二、計算機網(wǎng)絡(luò)安全問題的產(chǎn)生原因分析

現(xiàn)階段已知的計算機網(wǎng)絡(luò)安全問題的產(chǎn)生方向主要有四類：網(wǎng)絡(luò)本身的缺陷；網(wǎng)絡(luò)用戶操作不當帶來的威脅；網(wǎng)絡(luò)系統(tǒng)安全性評估測試手段的缺失；人為的黑客攻擊。下面將具體分析每種威脅計算機網(wǎng)絡(luò)安全的因素的作用過程。

（一）計算機網(wǎng)絡(luò)本身的系統(tǒng)缺陷

現(xiàn)階段市面上流行的多種計算機操作系統(tǒng)都并非完美，都或多或少存在著安全漏洞，這樣也就給了網(wǎng)絡(luò)安全問題產(chǎn)生的土壤，也給采用人工攻擊網(wǎng)絡(luò)的黑客利用這些操作系統(tǒng)的漏洞入侵計算機系統(tǒng)帶來了可趁之機[4]。計算機操作系統(tǒng)的開發(fā)者雖然可以考慮到多個層面的操作需求，但是也不可能不對計算機操作系統(tǒng)留下一絲一毫的破綻，這樣也就給網(wǎng)絡(luò)安全埋下隱患。這些隱患一方面來自于存儲文件的服務(wù)器：服務(wù)器是計算機網(wǎng)絡(luò)的“交通樞紐”，它的穩(wěn)定性和完善的功能會直接影響到網(wǎng)絡(luò)系統(tǒng)的運行質(zhì)量，若網(wǎng)絡(luò)應(yīng)用的用戶需求未得到足夠的重視，信息傳輸?shù)囊?guī)劃沒有做好，影響網(wǎng)絡(luò)正常功能的發(fā)揮、信息傳輸?shù)目煽啃砸约熬W(wǎng)絡(luò)擴充和升級；另外一方面，安全策略缺乏的服務(wù)器工作站會明顯影響網(wǎng)絡(luò)的穩(wěn)定。

（二）局域網(wǎng)終端的用戶操作不當引發(fā)的安全威脅

局域網(wǎng)內(nèi)部用戶對網(wǎng)絡(luò)安全帶來的威脅要遠大于局域網(wǎng)外部的安全攻擊造成的威脅。很多局域網(wǎng)用戶在使用網(wǎng)絡(luò)時，并未接受系統(tǒng)的網(wǎng)絡(luò)安全知識的教育，加之服務(wù)器系統(tǒng)的安全通信和訪問控制的不作為，使得系統(tǒng)設(shè)置的錯誤就會在局域網(wǎng)內(nèi)部造成極大的損失。健全的網(wǎng)絡(luò)管理制度、安全設(shè)計完備的管理和維護工作可以大大降低網(wǎng)絡(luò)內(nèi)部人為因素產(chǎn)生的安全漏洞。為保證網(wǎng)絡(luò)安全管理制度的順利建立，網(wǎng)絡(luò)的用戶以及管理員各自的權(quán)限要明確劃分，避免由于權(quán)限管理混亂造成的網(wǎng)絡(luò)安全破壞[5]。

（三）網(wǎng)絡(luò)系統(tǒng)安全性評估測試手段的缺失

網(wǎng)絡(luò)安全性能評估即是通過對網(wǎng)絡(luò)信息傳輸情況的檢查，搜尋是否存在可能被網(wǎng)絡(luò)入侵者利用的漏洞，對網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀作出安全情況分析、評估，若存在問題，則會對所發(fā)現(xiàn)的問題提出行之有效的簡易，最終達到提高網(wǎng)絡(luò)系統(tǒng)安全性能的目的。避免黑客入侵網(wǎng)絡(luò)的有效手段之一就是建立起完整、準確的網(wǎng)絡(luò)系統(tǒng)安全評估體系。這一評估可以對網(wǎng)絡(luò)現(xiàn)存以及未來可能構(gòu)建的網(wǎng)絡(luò)安全體系作出準確的、科學(xué)的評估分析，對將要進行的安全策略的可行性提供保障。

（四）人為黑客攻擊

黑客對網(wǎng)絡(luò)的攻擊，就是前文提到的局域網(wǎng)外部的入侵方式之一。黑客入侵是指以非法目的利用網(wǎng)絡(luò)系統(tǒng)安全的漏洞入侵網(wǎng)絡(luò)中的計算機操作系統(tǒng)，并作出破壞網(wǎng)絡(luò)安全性和完整性等的破壞的行為。因為黑客入侵的目的以及所做的操作的未知性使得黑客入侵網(wǎng)絡(luò)后所造成的危害較大，且無法預(yù)估，所以黑客的入侵對網(wǎng)絡(luò)安全帶來的威脅要遠大于病毒對網(wǎng)絡(luò)造成的危害[6]。然而，安全評估系統(tǒng)的不完整以及安全測試工具的更新速度要遠遠落后于黑客的入侵速度，所以，安全工具以及安全檢測手段的更新速度無法滿足網(wǎng)絡(luò)的安全需要也是造成計算機網(wǎng)絡(luò)安全問題產(chǎn)生的原因。

三、計算機網(wǎng)絡(luò)安全防護措施及策略

結(jié)合上面對計算機網(wǎng)絡(luò)安全問題產(chǎn)生的幾點原因，我們不難從這些起因入手尋找解決網(wǎng)絡(luò)安全問題的對策。從相應(yīng)的法制機制的建立健全到網(wǎng)絡(luò)用戶安全意識的普及，從計算機網(wǎng)絡(luò)監(jiān)聽的維護到網(wǎng)絡(luò)防火墻的升級，可以采取的措施可以總結(jié)為以下幾點：

（一）建立健全相應(yīng)的網(wǎng)絡(luò)安全法制機制

現(xiàn)行的《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》等法律法規(guī)的相繼頒布表明國家政府已經(jīng)開始注重我國網(wǎng)絡(luò)安全的環(huán)境規(guī)范問題，接下來對這些法律法規(guī)的貫徹落實，和對網(wǎng)絡(luò)安全教育的培訓(xùn)和普及也要積極就緒。

（二）對網(wǎng)絡(luò)病毒的預(yù)防

網(wǎng)絡(luò)開放的環(huán)境很適宜計算機病毒的傳播和擴散，單機的病毒預(yù)防產(chǎn)品已經(jīng)難以徹底清除網(wǎng)絡(luò)內(nèi)留存的病毒，必須要結(jié)合計算機所在網(wǎng)絡(luò)選取合適的防毒殺毒軟件產(chǎn)品，尤其是軍隊、學(xué)校、政府機關(guān)以及企事業(yè)單位的網(wǎng)絡(luò)一定要做好病毒的防治工作，規(guī)范上網(wǎng)，保證計算機內(nèi)數(shù)據(jù)信息的安全可靠。

（三）計算機及網(wǎng)絡(luò)的安全設(shè)置

在計算機網(wǎng)絡(luò)中設(shè)置有效的防火墻，控制信息在網(wǎng)絡(luò)中的流向，能夠有效地控制不安全因素在計算機網(wǎng)絡(luò)蔓延的采用Web、BBS等安全檢測系統(tǒng)對網(wǎng)絡(luò)的各類服務(wù)器的安全運行進行實施跟蹤和監(jiān)視；截獲互聯(lián)網(wǎng)內(nèi)傳送的數(shù)據(jù)包，并將這些分解后的數(shù)據(jù)包還原為原始的網(wǎng)頁、電郵等內(nèi)容。

（四）設(shè)置網(wǎng)絡(luò)漏洞掃描系統(tǒng)

對網(wǎng)絡(luò)層的安全保障需要首先了解網(wǎng)絡(luò)中安全隱患以及漏洞可能出現(xiàn)的問題集中在哪些位置、哪些環(huán)節(jié)。越是大型網(wǎng)絡(luò)其結(jié)構(gòu)越是復(fù)雜，可能產(chǎn)生問題的結(jié)點越多，一旦出現(xiàn)網(wǎng)絡(luò)安全問題，僅僅依靠網(wǎng)絡(luò)管理員的經(jīng)驗尋找漏洞，或是做風(fēng)險評估，則會由于主觀傾向明顯而導(dǎo)致無法確定問題的癥結(jié)。最佳的解決方案即是尋找一種能夠以掃描的方式及時發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，對網(wǎng)絡(luò)安全問題做出風(fēng)險評估，并提出漏洞修補建議的工具。優(yōu)化的系統(tǒng)配置再加上安全工具的補丁彌補最近發(fā)現(xiàn)的安全漏洞或者安全隱患，達到防微杜漸的效果[7]。

（五）除了消除網(wǎng)絡(luò)中的漏洞，解決網(wǎng)絡(luò)中的身份認證問題―IP盜用問題，也是提高網(wǎng)絡(luò)安全程度的必要條件

當某IP通過網(wǎng)絡(luò)路由器訪問互聯(lián)網(wǎng)時，要在路由器設(shè)置檢測IP廣播包的MAC地址是否與路由器內(nèi)存儲的MAC地址相符，以身份檢測的方式對網(wǎng)絡(luò)發(fā)出安全隱患的預(yù)警。

（六）網(wǎng)絡(luò)監(jiān)聽是局域網(wǎng)子網(wǎng)安全的重要保證

來自局域網(wǎng)外部的入侵可以使用防火墻解決，若入侵來自局域網(wǎng)內(nèi)部，則需要局域網(wǎng)自身具備一定的入侵抵抗能力。為局域網(wǎng)子網(wǎng)制定特殊功能的審計信息文件，為局域網(wǎng)網(wǎng)管分析子網(wǎng)安全運行的狀況提供依據(jù)。專用的子網(wǎng)監(jiān)聽功能，通過對子網(wǎng)的長期監(jiān)聽，掌握子網(wǎng)與互聯(lián)網(wǎng)以及子網(wǎng)與終端計算機之間的通信情況，也為服務(wù)器的審計信息提供備份。

參考文獻：

[1]劉征.淺談圖書館計算機網(wǎng)絡(luò)系統(tǒng)的安全管理問題及其防范措施[J].信息安全與技術(shù),2011,8:48-50

[2]桑磊.計算機網(wǎng)絡(luò)安全風(fēng)險與防范策略淺析[J].商場現(xiàn)代化,2011,33:87

[3]張元峰.淺析計算機網(wǎng)絡(luò)信息的安全防范[J].科學(xué)與財富,2011,11:199

[4]胡燕華,胡梅勇.關(guān)于計算機網(wǎng)絡(luò)安全技術(shù)的防范策略[J].大科技：科技天地,2011,21:16-17

[5]杜常青.計算機網(wǎng)絡(luò)信息技術(shù)安全及防范對策研究[J].信息安全與技術(shù),2011,11:54-55

篇9

摘要：隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)與人們的工作、學(xué)習(xí)、生活等已密不可分，而網(wǎng)絡(luò)安全也成為了制約網(wǎng)絡(luò)發(fā)展的關(guān)鍵問題之一。本文主要介紹了目前我們面臨的網(wǎng)絡(luò)安全隱患以及應(yīng)采取的防范措施。

關(guān)鍵詞：網(wǎng)絡(luò)安全；計算機；防范

互聯(lián)網(wǎng)的產(chǎn)生和發(fā)展改變了人們的生活方式，網(wǎng)上購物、收發(fā)電子郵件、即時聊天等給人們提供了極大的便利，但同時也留下了一些隱患，比如說網(wǎng)上銀行中的錢不翼而飛，收到了帶有病毒的E-mail，qq密碼被盜了等，造成了人們生活中的諸多不便，網(wǎng)絡(luò)安全受到威脅。其實互聯(lián)網(wǎng)影響到了社會的方方面面，小到個人，大到企業(yè)，甚至整個國家都與網(wǎng)絡(luò)有著千絲萬縷的聯(lián)系。而網(wǎng)絡(luò)安全又是網(wǎng)絡(luò)技術(shù)發(fā)展的核心問題之一。只有提供了安全的網(wǎng)絡(luò)，才能使互聯(lián)網(wǎng)更好的為人們服務(wù)。因此網(wǎng)絡(luò)安全越來越受到人們的重視，如何采取防范措施解決網(wǎng)絡(luò)安全隱患已成為我們亟待解決的問題。

一、網(wǎng)絡(luò)安全的概念

計算機網(wǎng)絡(luò)安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，確保系統(tǒng)正常運行，網(wǎng)絡(luò)服務(wù)不中斷。具體包括：（1）禁止非授權(quán)訪問；（2）防止冒充合法用戶；（3）保護數(shù)據(jù)的完整性；（4）保證系統(tǒng)正常運行；（5）阻止病毒入侵和惡意攻擊；（6）阻止線路竊聽。

二、常見的網(wǎng)絡(luò)安全隱患

1.安全漏洞。操作系統(tǒng)是大多數(shù)計算機中的一個運行環(huán)境，而操作系統(tǒng)中通常都會因為技術(shù)原因、人為原因等存在一些安全漏洞，既我們常說的bug，比如我們常見的Windows操作系統(tǒng)，已了幾十個安全漏洞警告。黑客很可能利用這些漏洞向網(wǎng)絡(luò)發(fā)起攻擊，導(dǎo)致某些功能喪失，甚至?xí)`取重要數(shù)據(jù)，威脅網(wǎng)絡(luò)和數(shù)據(jù)的安全。此外，各類應(yīng)用軟件在編寫的過程中可能會出現(xiàn)漏洞。如果編寫人員在程序中加入盜竊功能，那么用戶的信息就會被輕而易舉的盜取。

2.病毒。病毒是目前網(wǎng)絡(luò)最容易遇到的安全問題之一。病毒其實是一段可執(zhí)行的代碼，由黑客編寫，它們可以破壞計算機系統(tǒng)。絕大部分病毒破壞計算機的軟件系統(tǒng)，很少造成硬件系統(tǒng)的傷害。它通常偽裝成合法附件通過電子郵件發(fā)送，或通過即時信息網(wǎng)絡(luò)發(fā)送。

3.木馬。木馬是通過一段特定的程序來控制另一臺計算機，使未授權(quán)用戶能夠訪問安裝了特洛伊木馬的系統(tǒng)，可以捕捉密碼和其他個人信息，最終達到控制你的計算機的目的。

4.人為原因。很多時候，個人由于網(wǎng)絡(luò)安全意識薄弱或者錯誤的行為對信息造成破壞。尤其是在一些企業(yè)中，員工的信息安全意識相對落后，不能很好的對企業(yè)信息保護，導(dǎo)致企業(yè)在信息管理中存在著大量的安全盲點和誤區(qū)。

三、網(wǎng)絡(luò)安全防范措施

網(wǎng)絡(luò)安全防范措施是一個復(fù)雜的過程，我們要從多方面進行考慮，不但要采用各種技術(shù)和設(shè)備來保障網(wǎng)絡(luò)安全，還要加強各類計算機操作員的安全意識和建立安全規(guī)章制度。

1.網(wǎng)絡(luò)病毒的防范。從網(wǎng)絡(luò)病毒產(chǎn)生至今，病毒的種類越來越多，病毒的危害越來越大，病毒的傳播越來越快，因此應(yīng)安裝殺毒軟件，防止病毒侵害計算機。在使用殺毒軟件的過程中要注意及時開啟殺毒軟件。要定期或不定期更新病毒庫，保證新出現(xiàn)的病毒可以被殺毒軟件檢測及查殺。要定期或不定期查殺計算機病毒，如發(fā)現(xiàn)病毒入侵，應(yīng)立即查殺。

2.防火墻。防火墻技術(shù)是用來加強訪問控制，防止外部非授權(quán)用戶以非法手段進入內(nèi)部網(wǎng)絡(luò)，訪問網(wǎng)絡(luò)資源，保護操作環(huán)境的特殊網(wǎng)絡(luò)互連設(shè)備。防火墻主要攔截蠕蟲，并提供電子郵件防病毒、反垃圾郵件過濾、內(nèi)容過濾、安全無限接入點選項等服務(wù)。它是一種廣泛采用的安全機制，防止Internet上的不安全因素進入內(nèi)部網(wǎng)絡(luò)。

3.數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)是指將一個信息（或稱明文，plain text）經(jīng)過加密鑰匙（Encryption key）及加密函數(shù)轉(zhuǎn)換，變成無意義的密文（cipher text），而接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙（Decryption key）還原成明文。它是網(wǎng)絡(luò)安全領(lǐng)域廣泛采用的技術(shù)之一，對于商業(yè)數(shù)據(jù)的保密和企業(yè)信息的維護上面，起著至關(guān)重要的作用。當下最新的數(shù)據(jù)加密技術(shù)采用驅(qū)動層加解密技術(shù)，因為更貼近于操作系統(tǒng)底層，能夠有效防止黑客工具的攻擊。

4.入侵檢測。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄，能識別出任何不希望有的行為，從而達到限制這些活動，保護系統(tǒng)安全的目的。

5.系統(tǒng)漏洞檢測。解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患和弱點。面對大型程序的復(fù)雜性和變化，僅僅依靠管理員的技術(shù)和經(jīng)驗尋找安全漏洞和風(fēng)險評估是不現(xiàn)實的。最好的方法就是使用安全掃描工具來查找漏洞并提出修改建議。另外實時給操作系統(tǒng)和軟件打補丁也可以彌補一部分漏洞和隱患。

6.建立規(guī)章制度，提高操作員素質(zhì)。根據(jù)部門或單位的具體情況和技術(shù)條件，制定出切實可行且全面的網(wǎng)絡(luò)安全規(guī)章制度。同時要落實制度的執(zhí)行情況和做好監(jiān)督工作。同時，提高網(wǎng)絡(luò)工作人員的素質(zhì)，加強網(wǎng)絡(luò)安全管理隊伍建設(shè)，對工作人員進行業(yè)務(wù)技術(shù)培訓(xùn)，降低人為事故發(fā)生的概率。進行有關(guān)網(wǎng)絡(luò)方面的法律、法規(guī)教育，加強行業(yè)人員的法律觀念。

四、結(jié)語

網(wǎng)絡(luò)安全問題是現(xiàn)代社會一個重要的問題，網(wǎng)絡(luò)安全涉及到許多人的切身利益。網(wǎng)絡(luò)安全又是一個復(fù)雜的問題，它涉及到技術(shù)、管理、法規(guī)制定實施等許多方面。網(wǎng)絡(luò)安全還是一個發(fā)展的問題，隨著網(wǎng)絡(luò)攻擊方式的增加，對網(wǎng)絡(luò)安全方法措施的要求也就越來越高?？偠灾?，網(wǎng)絡(luò)安全問題應(yīng)該引起現(xiàn)代人的高度重視，只有保證網(wǎng)絡(luò)安全，才能讓我們真正感受到互聯(lián)網(wǎng)給我們帶來的便捷。

參考文獻：

[1]冒志建.信息網(wǎng)絡(luò)安全及防范技術(shù)探討[J].科技咨詢,2008.

[2]陳力.網(wǎng)絡(luò)信息安全與防護[J].電腦知識與技術(shù),2008,10.

[3]張龍波.計算機網(wǎng)絡(luò)系統(tǒng)的安全防范[J].科技資訊,2008.

篇10

【論文摘要】 在網(wǎng)絡(luò)攻擊手段日益增多，攻擊頻率日益增高的背景下，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計算機網(wǎng)絡(luò)中存在的安全隱患。需要一種靜態(tài)技術(shù)和動態(tài)技術(shù)相結(jié)合的安全解決方案，即在網(wǎng)絡(luò)中的各個部分采取多種安全防范技術(shù)來構(gòu)筑企業(yè)網(wǎng)絡(luò)整體安全體系。包括防病毒技術(shù)；防火墻技術(shù)；入侵檢測技術(shù)；網(wǎng)絡(luò)性能監(jiān)控及故障分析技術(shù)；漏洞掃描安全評估技術(shù)；主機訪問控制等。

信息技術(shù)正以其廣泛的滲透性和無與倫比的先進性與傳統(tǒng)產(chǎn)業(yè)結(jié)合，隨著Internet網(wǎng)絡(luò)的飛速發(fā)展，使網(wǎng)絡(luò)的重要性和對社會的影響越來越大。企業(yè)的辦公自動化、生產(chǎn)業(yè)務(wù)系統(tǒng)及電子商務(wù)系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)的依賴性尤其突出，但病毒及黑客對網(wǎng)絡(luò)系統(tǒng)的惡意入侵使企業(yè)的信息網(wǎng)絡(luò)系統(tǒng)面臨著強大的生存壓力，網(wǎng)絡(luò)安全問題變得越來越重要。

企業(yè)網(wǎng)絡(luò)安全主要來自以下幾個方面：①來自INTERNET的安全問題；②來自外部網(wǎng)絡(luò)的安全威脅；③來自內(nèi)部網(wǎng)絡(luò)的安全威脅。

針對以上安全威脅，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計算機網(wǎng)絡(luò)中存在的安全隱患，本文介紹一種靜態(tài)技術(shù)和動態(tài)技術(shù)相結(jié)合的安全解決方案，即在網(wǎng)絡(luò)中的各個部分采取多種安全防范技術(shù)來構(gòu)筑企業(yè)網(wǎng)絡(luò)整體安全體系：①防病毒技術(shù)；②防火墻技術(shù)；③入侵檢測技術(shù)；④網(wǎng)絡(luò)性能監(jiān)控及故障分析技術(shù)；⑤漏洞掃描安全評估技術(shù)；⑥主機訪問控制。

一、防病毒技術(shù)

對于企業(yè)網(wǎng)絡(luò)及網(wǎng)內(nèi)大量的計算機，各種病毒更是防不勝防，如宏病毒和變形病毒。徹底清除病毒，必須采用多層的病毒防護體系。企業(yè)網(wǎng)絡(luò)防病毒系統(tǒng)采用多層的病毒防衛(wèi)體系和層次化的管理結(jié)構(gòu)，即在企業(yè)信息中心設(shè)防病毒控制臺，通過該控制臺控制各二級網(wǎng)絡(luò)中各個服務(wù)器和工作站的防病毒策略，監(jiān)督整個網(wǎng)絡(luò)系統(tǒng)的防病毒軟件配置和運行情況，并且能夠進行相應(yīng)策略的統(tǒng)一調(diào)整和管理：在較大的下屬子公司設(shè)置防病毒服務(wù)器，負責(zé)防病毒策略的設(shè)置、病毒代碼分發(fā)等工作。其中信息中心控制臺作為中央控制臺負責(zé)控制各分控制臺的防病毒策略，采集網(wǎng)絡(luò)中所有客戶端防毒軟件的運行狀態(tài)和配置參數(shù)，對客戶端實施分組管理等。管理員可以通過管理員客戶端遠程登錄到網(wǎng)絡(luò)中的所有管理服務(wù)器上，實現(xiàn)對整個網(wǎng)絡(luò)的管理。根據(jù)需要各個管理服務(wù)器還可以由專門的區(qū)域管理員管理。管理服務(wù)器負責(zé)收集網(wǎng)絡(luò)中的客戶端的實時信息， 分發(fā)管理員制定的防毒安全策略等。

配套軟件：冠群金辰KILL6.0。KILL采用服務(wù)器/客戶端構(gòu)架，實時保護Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系統(tǒng)的服務(wù)器及Internet網(wǎng)關(guān)服務(wù)器，防止各種引導(dǎo)型病毒、文件型病毒、宏病毒、傳播速度快且破壞性很大的蠕蟲病毒進入企業(yè)內(nèi)部網(wǎng)，阻止不懷好意的Java、ActiveX小程序等攻擊企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。它通過全方位的網(wǎng)絡(luò)管理、多種報警機制、完整的病毒報告、支持遠程服務(wù)器、軟件自動分發(fā)，幫助管理員更好的實施網(wǎng)絡(luò)防病毒工作。

二、防火墻技術(shù)

防火墻是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)( scurity gateway), 從而抵御網(wǎng)絡(luò)外部安全威脅，保護內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入，它是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（局域網(wǎng)或城域網(wǎng)）隔開的屏障，控制客戶機和真實服務(wù)器之間的通訊，主要包括以下幾方面的功能：①隔離不信任網(wǎng)段間的直接通訊；②拒絕非法訪問；③系統(tǒng)認證；④日志功能。在計算機網(wǎng)絡(luò)中設(shè)置防火墻后，可以有效防止非法訪問，保護重要主機上的數(shù)據(jù)，提高網(wǎng)絡(luò)的安全性。

配套軟件：NetScreen。NetScreen是唯一把防火墻、負載均衡及流量控制結(jié)合起來，且提供100M的線速性能的軟硬件相結(jié)合的產(chǎn)品，在Internet出口、撥號接入入口、企業(yè)關(guān)鍵服務(wù)器的前端及與電信、聯(lián)通的連接出口處增設(shè)NetScreen-100f防火墻，可以實現(xiàn)企業(yè)網(wǎng)絡(luò)與外界的安全隔離，保護企業(yè)的關(guān)鍵信息。

三、入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）是一種為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是對防火墻的必要補充，它可以對系統(tǒng)或網(wǎng)絡(luò)資源進行實時檢測，及時發(fā)現(xiàn)惡意入侵者或識別出對計算機的非法訪問行為，并對其進行隔離，并能收集可以用來訴訟的犯罪證據(jù)。

配套軟件： eTrust Intrusion Detection(Sessionwall-3)。利用基于網(wǎng)絡(luò)的eTrust Intrusion Detection建立入侵檢測系統(tǒng)來保證企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性。

首先，信息管理中心設(shè)立整個網(wǎng)絡(luò)監(jiān)控系統(tǒng)的控制中心。通過該控制臺，管理員能夠?qū)ζ渌W(wǎng)絡(luò)入侵檢測系統(tǒng)進行監(jiān)控和配置。在該機器上安裝集中控制的eID中央控制臺模塊、eID日志服務(wù)器模塊和eID日志瀏覽器模塊，使所有eTrust Intrusion Detection監(jiān)控工作站處于集中控制之下，該安全主控臺也被用于集中管理所有的主機保護系統(tǒng)軟件。

其次，在Internet出口路由器和防火墻之間部署一套eTrust Intrusion Detection的監(jiān)控工作站，重點解決與Internet的邊界安全問題，在這些工作站上安裝軟件，包括eID基本模塊、eID模塊和日志數(shù)據(jù)庫客戶端。

四、網(wǎng)絡(luò)性能監(jiān)控及故障分析

性能監(jiān)控和故障分析就是利用計算機的網(wǎng)絡(luò)接口截獲目的地址為其他計算機的數(shù)據(jù)報文的一種技術(shù)。該技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護和管理方面，它自動接收著來自網(wǎng)絡(luò)的各種信息，通過對這些數(shù)據(jù)的分析，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)當前的運行狀況，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。

配套軟件——NAI Sniffer。NAI Sniffer 是一套功能強大的網(wǎng)絡(luò)故障偵測工具，它可以幫助用戶快速診斷網(wǎng)絡(luò)故障原因，并提出具體的解決辦法。在信息中心安裝這樣的工具，用于對網(wǎng)絡(luò)流量和狀態(tài)進行監(jiān)控，而且無論全網(wǎng)任何地方發(fā)生問題時，都可以利用它及時診斷并排除故障。

五、網(wǎng)絡(luò)系統(tǒng)的安全評估

網(wǎng)絡(luò)安全性之所以這么低的一個主要原因就是系統(tǒng)漏洞。譬如管理漏洞、軟件漏洞、結(jié)構(gòu)漏洞、信任漏洞。采用安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合來檢測系統(tǒng)安全漏洞。

網(wǎng)絡(luò)安全漏洞掃描系統(tǒng)通常安裝在一臺與網(wǎng)絡(luò)有連接的主機上。系統(tǒng)中配有一個信息庫，其中存放著大量有關(guān)系統(tǒng)安全漏洞和可能的黑客攻擊行為的數(shù)據(jù)。掃描系統(tǒng)根據(jù)這些信息向網(wǎng)絡(luò)上的其他主機和網(wǎng)絡(luò)設(shè)備發(fā)送數(shù)據(jù)包，觀察被掃描的設(shè)備是否存在與信息庫中記錄的內(nèi)容相匹配的安全漏洞。掃描的內(nèi)容包括主機操作系統(tǒng)本身、操作系統(tǒng)的配置、防火墻配置、網(wǎng)路設(shè)備配置以及應(yīng)用系統(tǒng)等。

網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面：①速度。在網(wǎng)絡(luò)內(nèi)進行安全掃描非常耗時；②網(wǎng)絡(luò)拓撲。通過GUI的圖形界面，可選擇一個或某些區(qū)域的設(shè)備；③能夠發(fā)現(xiàn)的漏洞數(shù)量；④是否支持可定制的攻擊方法；⑤掃描器應(yīng)該能夠給出清楚的安全漏洞報告。⑥更新周期。提供該項產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安全漏洞掃描特性升級，并給出相應(yīng)的改進建議。

通過網(wǎng)絡(luò)掃描，系統(tǒng)管理員可以及時發(fā)現(xiàn)網(wǎng)路中存在的安全隱患，并加以必要的修補，從而減小網(wǎng)絡(luò)被攻擊的可能。

配套軟件：Symantec Enterprise Security Manger 5.5。

六、主機防護系統(tǒng)

在一個企業(yè)的網(wǎng)絡(luò)環(huán)境中，大部分信息是以文件、數(shù)據(jù)庫的形式存放在服務(wù)器中的。在信息中心，使用WWW、Mail、文件服務(wù)器、數(shù)據(jù)庫服務(wù)器來對內(nèi)部、外部用戶提供信息。但無論是UNIX還是Windows 9X/NT/2K，都存在著這樣和那樣的安全薄弱環(huán)節(jié)，存放在這些機器上的關(guān)鍵業(yè)務(wù)數(shù)據(jù)存在著被破壞和竊取的風(fēng)險。因此，對主機防護提出了專門的需求。

配套軟件：CA eTrust Access。eTrust Access Control在操作系統(tǒng)的安全功能之上提供了一個安全保護層。通過從核心層截取文件訪問控制，以加強操作系統(tǒng)安全性。它具有完整的用戶認證，訪問控制及審計的功能，采用集中式管理，克服了分布式系統(tǒng)在管理上的許多問題。

通過eTrust Access Control，我們可以集中維護多臺異構(gòu)平臺的用戶、組合安全策略，以簡化安全管理工作。

通過以上幾種安全措施的實施，從系統(tǒng)級安全到桌面級安全，從靜態(tài)訪問控制到動態(tài)入侵檢測主要層面：方案覆蓋網(wǎng)絡(luò)安全的事前弱點漏洞分析修正、事中入侵行為監(jiān)控響應(yīng)和事后信息監(jiān)控取證的全過程，從而全面解決企業(yè)的信息安全問題，使企業(yè)網(wǎng)絡(luò)避免來自內(nèi)外部的攻擊，防止病毒對主機的侵害和在網(wǎng)絡(luò)中的傳播。使整個網(wǎng)絡(luò)的安全水平有很大程度的提高。

【參考文獻】