導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全漏洞評估，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

2014年4月，谷歌安全部門和芬蘭安全檢測公司科諾康同時(shí)發(fā)現(xiàn)Open SSL開源軟件存在名為“心血”的安全漏洞。作為全球2/3以上互聯(lián)網(wǎng)網(wǎng)站普遍采用的加密手段，Open SSL開源軟件存在的安全漏洞，不僅會使網(wǎng)上銀行、電子支付、門戶網(wǎng)站、電子郵件等網(wǎng)站的用戶敏感信息面臨被竊取的危險(xiǎn)，還會使網(wǎng)絡(luò)服務(wù)器、路由器、移動智能終端等網(wǎng)絡(luò)設(shè)備甚至國家關(guān)鍵信息基礎(chǔ)設(shè)施面臨受攻擊的風(fēng)險(xiǎn)。此次曝光的“心血”安全漏洞雖為獨(dú)立事件，但絕非偶然，這再次反映出美國政府在網(wǎng)絡(luò)安全漏洞的獲取、利用、頂層設(shè)計(jì)方面具備成熟的運(yùn)行機(jī)制。

“心血”安全漏洞的形成原因及工作機(jī)理

Open SSL采用C語言開發(fā)，可以支持Linux、Windows、Mac OS等多種操作系統(tǒng)，具有優(yōu)秀的跨平臺性能，已成為目前互聯(lián)網(wǎng)領(lǐng)域廣泛使用的一種開源加密軟件工具。用戶在網(wǎng)站上的賬戶、密碼及各類通信信息均通過該軟件包進(jìn)行加密。加密數(shù)據(jù)只有網(wǎng)絡(luò)服務(wù)器這個(gè)接收者才能解密，不法分子即便監(jiān)聽用戶與網(wǎng)絡(luò)服務(wù)器之間的對話信息，也只能看見一行隨機(jī)字符串，而無法獲取用戶實(shí)際的敏感信息。

此次Open SSL 1.0.2-beta及Open SSL 1.0.1系列（除1.0.1g外）多個(gè)版本存在的“心血”安全漏洞，使得Open SSL的加密功能基本無效，主要問題出在Open SSL實(shí)現(xiàn)傳輸層安全協(xié)議（TLS/DTLS）的心跳擴(kuò)展代碼中。當(dāng)Open SSL的傳輸層安全協(xié)議被調(diào)用時(shí)，連接SSL一端的客戶端向另一端的服務(wù)器發(fā)出一條簡短的字符串（即“心跳信息”），以確認(rèn)服務(wù)器在線并能獲取響應(yīng)；另一端的服務(wù)器會向客戶端返回與“心跳信息”相匹配的信息。但是，在這個(gè)過程中，由于Open SSL未對客戶端發(fā)送的字符串長度做邊界檢查，使不法分子可以截獲正?！靶奶畔ⅰ辈⑿薷钠溟L度后發(fā)給服務(wù)器，欺騙網(wǎng)絡(luò)服務(wù)器，從其內(nèi)存中竊取相應(yīng)長度的數(shù)據(jù)，并將相應(yīng)空間的信息作為“心跳信息”返回給不法分子，這部分?jǐn)?shù)據(jù)中，很可能包含安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等信息。雖然不法分子利用該漏洞每次只能從服務(wù)器竊取64KB字節(jié)信息，但反復(fù)多次操作后，可以拼湊出更多用戶的賬戶、密碼、通信記錄等多種敏感信息。

“心血”安全漏洞可能產(chǎn)生的影響

由于“心血”安全漏洞屬于內(nèi)存泄露，可以從服務(wù)器內(nèi)存中直接讀取數(shù)據(jù)，即使入侵行為也不會在服務(wù)器日志中留下痕跡，所以無法確定哪些服務(wù)器曾被入侵。但從Open SSL的應(yīng)用范圍，可以判斷“心血”安全漏洞可能產(chǎn)生的影響。

大范圍波及互聯(lián)網(wǎng)服務(wù)器及相關(guān)信息服務(wù)

2014年4月，英國Netcraft公司提供的網(wǎng)站服務(wù)器調(diào)查數(shù)據(jù)顯示，全球約有66%的互聯(lián)網(wǎng)活躍網(wǎng)站受“心血”安全漏洞影響。這些網(wǎng)站大都采用了基于Open SSL的Apache和Nginx等開源服務(wù)器。此外，由于Open SSL主要用于保護(hù)電子郵件服務(wù)器、聊天服務(wù)器、虛擬專用網(wǎng)絡(luò)、網(wǎng)絡(luò)應(yīng)用和多種客戶端軟件，所以除互聯(lián)網(wǎng)網(wǎng)站受到影響外，電子郵件、即時(shí)通信和虛擬專網(wǎng)（VPN）等信息服務(wù)都遭受了嚴(yán)重影響。

2014年4月9日，我國國家信息安全漏洞共享平臺（CNVD）了關(guān)于“心血”漏洞的情況通報(bào)。根據(jù)監(jiān)測結(jié)果，國內(nèi)外一些大型互聯(lián)網(wǎng)企業(yè)的相關(guān)VPN、郵件服務(wù)、即時(shí)聊天、網(wǎng)絡(luò)支付、電子商務(wù)、權(quán)限認(rèn)證等服務(wù)器受到漏洞影響，此外一些政府和高校網(wǎng)站服務(wù)器也受到影響。國內(nèi)兩大信息安全公司的監(jiān)測數(shù)據(jù)顯示，國內(nèi)網(wǎng)站約有2.3萬個(gè)（占其抽樣的1.5%）和1.1萬個(gè)（占其抽樣的1.0%）服務(wù)器主機(jī)受影響，涉及大型電商網(wǎng)站、銀行網(wǎng)銀系統(tǒng)、第三方支付、微信、淘寶、社交網(wǎng)站、門戶網(wǎng)站等等，以及126、163等郵箱、即時(shí)通信服務(wù)。截止4月10日，在全國存在“心血”安全漏洞的網(wǎng)站中，依然有近30%沒有采取任何防護(hù)措施。

大量敏感數(shù)據(jù)可能遭竊取

目前，“心血”安全漏洞的驗(yàn)證腳本可以被不法分子廣泛獲取，而且不法分子可以針對這一安全漏洞進(jìn)行大量的試驗(yàn)和嘗試，可能導(dǎo)致使用Open SSL的站點(diǎn)遭到信息竊取。然而由于不法分子利用該安全漏洞對服務(wù)器進(jìn)行信息竊取時(shí)不會留下任何痕跡，可能導(dǎo)致有些站點(diǎn)的大量敏感數(shù)據(jù)已經(jīng)遭到竊取，卻渾然不覺。

由于該安全漏洞給不法分子提供了讀取網(wǎng)站服務(wù)器內(nèi)存的權(quán)限，用戶修改密碼、發(fā)送消息、登錄等請求以及很多操作會全部暴露出來，直接導(dǎo)致用戶的證書密鑰、用戶名、密碼、甚至是安全問題與答案、即時(shí)通信、電子郵件、業(yè)務(wù)關(guān)鍵文檔和通信信息都可能遭竊。

國家關(guān)鍵信息基礎(chǔ)設(shè)施或受影響

事實(shí)上，政府、金融、能源、交通、國防等諸多國家關(guān)鍵領(lǐng)域都有用到類似Open SSL的開源軟件組件，由于這種組件功能專一、用途廣泛，且具有不可替代性，一旦存在安全漏洞，將導(dǎo)致國家關(guān)鍵信息基礎(chǔ)設(shè)施的底層通信、信息傳輸、上層應(yīng)用等功能徹底癱瘓，甚至整個(gè)網(wǎng)絡(luò)空間都將面臨嚴(yán)峻的安全風(fēng)險(xiǎn)。

美國已建立完善的網(wǎng)絡(luò)安全漏洞獲取與應(yīng)用機(jī)制

“心血”只是被曝光的眾多安全漏洞之一。當(dāng)前，大量類似Open SSL這樣的開源軟件包廣泛應(yīng)用于全球互聯(lián)網(wǎng)服務(wù)器、路由器、移動智能終端以及國家重要信息基礎(chǔ)設(shè)施。公開資料表明，美國長期以來通過植入、發(fā)掘、購買等多種方式獲取安全漏洞，建立了一套相對完善的網(wǎng)絡(luò)安全漏洞獲取機(jī)制。

多管齊下獲取安全漏洞

作為網(wǎng)絡(luò)時(shí)代的領(lǐng)跑者，以及最早發(fā)現(xiàn)并應(yīng)用網(wǎng)絡(luò)技術(shù)的國家，面對日益復(fù)雜的網(wǎng)絡(luò)安全威脅，美國政府一直將安全漏洞視為重要的網(wǎng)絡(luò)戰(zhàn)略資源，為掌握海量秘密漏洞不惜花費(fèi)大量的人力、物力和財(cái)力。

一是斥巨資與私營科技公司緊密合作，在軟硬件產(chǎn)品或算法中植入安全漏洞、預(yù)置“后門”。美國政府與私營企業(yè)的合作由來已久，大約有數(shù)千家高科技公司作為“可信合作伙伴”為美國政府提供用戶敏感信息，其中不乏谷歌、微軟、思科等世界知名IT公司。例如，美國國家安全局每年為“信號情報(bào)”項(xiàng)目（SIGNIT）投入2.5億美元，以合同授予的形式引誘國內(nèi)科技公司在商用加密系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、通信設(shè)備中植入隱秘漏洞，方便國家安全局獲取用戶信息。國家安全局曾與加密技術(shù)公司RSA達(dá)成1000萬美元的協(xié)議，要求對移動終端廣泛使用的加密軟件預(yù)置2個(gè)精心設(shè)計(jì)的“后門”。

同時(shí)，國家安全局下屬的“商用解決方案中心”長期與私營科技公司開展合作，表面上是對企業(yè)的IT產(chǎn)品進(jìn)行安全評估，實(shí)際上是尋求如何在IT產(chǎn)品中植入安全漏洞。

二是建立官方專業(yè)技術(shù)團(tuán)隊(duì)，開展網(wǎng)絡(luò)安全漏洞研究，不斷挖掘和發(fā)現(xiàn)漏洞。美國政府十分重視利用專業(yè)技術(shù)團(tuán)隊(duì)的力量提升網(wǎng)絡(luò)防御與攻擊能力，充分吸收民間網(wǎng)絡(luò)人才組建專門技術(shù)團(tuán)隊(duì)，并集結(jié)軍方精銳網(wǎng)絡(luò)力量挖掘和發(fā)現(xiàn)當(dāng)前各類系統(tǒng)存在的安全漏洞。國家安全局下屬的“獲取特定情報(bào)行動辦公室”（TAO）的“遠(yuǎn)程行動中心”擁有一個(gè)超過600名專業(yè)技術(shù)人員的團(tuán)隊(duì)。該技術(shù)團(tuán)隊(duì)建立了從網(wǎng)絡(luò)設(shè)施到人、從內(nèi)容到行為的完整體系，以網(wǎng)絡(luò)獲取技術(shù)為主線，以云計(jì)算和大數(shù)據(jù)分析技術(shù)為核心，利用先進(jìn)的網(wǎng)絡(luò)滲透、機(jī)器學(xué)習(xí)、數(shù)據(jù)分析等漏洞挖掘技術(shù)，不間斷地尋找他國信息系統(tǒng)的安全漏洞，這已成為美國政府獲取安全漏洞的重要渠道。

三是投入大量資金，長期從黑客手中購買漏洞。多年來，為第一時(shí)間掌握互聯(lián)網(wǎng)、軟件、服務(wù)器存在的安全漏洞，美國政府長期從販賣漏洞的黑客手中購買安全漏洞。盡管平均每項(xiàng)安全漏洞的價(jià)格達(dá)到3.5～16萬美元，蘋果iOS系統(tǒng)安全漏洞的售價(jià)甚至高達(dá)50萬美元，但美國政府為提升自身網(wǎng)絡(luò)的防御和攻擊能力，仍不惜重金，成為當(dāng)前安全漏洞市場的最大買家。據(jù)國家安全局合同文件顯示，該機(jī)構(gòu)在2012年9月訂購了法國安全公司VUPEN一年的“零日”漏洞。

充分利用安全漏洞資源，做到早發(fā)現(xiàn)、早修復(fù)、早利用

一是利用發(fā)現(xiàn)的安全漏洞，及時(shí)修復(fù)自身網(wǎng)絡(luò)存在的安全問題，做好網(wǎng)絡(luò)防御措施。據(jù)美國彭博新聞社報(bào)道，美國國家安全局早在2012年就發(fā)現(xiàn)Open SSL開源加密軟件存在“心血”安全漏洞，但美國政府出于“維護(hù)國家安全威脅免受威脅”等因素的考慮，一直未將漏洞信息公之于眾，為其利用該漏洞搜集情報(bào)提供了2年的時(shí)間窗口。當(dāng)“心血”安全漏洞被私營企業(yè)發(fā)現(xiàn)后，美國聯(lián)邦儲備委員會、財(cái)政部、國土安全部等政府部門立即對網(wǎng)絡(luò)系統(tǒng)開展了全面測試和修復(fù)。

二是利用安全漏洞制造網(wǎng)絡(luò)監(jiān)聽工具，搜集海量機(jī)密信息。一旦美國國家安全局尋找到目標(biāo)網(wǎng)絡(luò)或計(jì)算機(jī)存在安全漏洞，就會借助軟件設(shè)計(jì)師和工程師隊(duì)伍設(shè)計(jì)的專用監(jiān)聽軟件，通過電子手段入侵系統(tǒng)并持續(xù)搜集機(jī)密信息。自2009年開始，美國政府利用搜集華為公司相關(guān)技術(shù)中存在的安全漏洞，入侵華為網(wǎng)絡(luò)設(shè)備并實(shí)施監(jiān)控，試圖找到華為與中國軍方之間有聯(lián)系的證據(jù)，同時(shí)監(jiān)控華為高管的通信。

三是利用安全漏洞制造網(wǎng)絡(luò)攻擊武器，破壞關(guān)鍵基礎(chǔ)設(shè)施。美國政府通過植入、發(fā)掘和購買等方式獲得安全漏洞后，利用這些龐大的安全漏洞資源，研發(fā)制造極具殺傷力的網(wǎng)絡(luò)武器，伺機(jī)將惡意軟件植入目標(biāo)國家的計(jì)算機(jī)、路由器和防火墻，在需要時(shí)利用先進(jìn)的網(wǎng)絡(luò)滲透與攻擊技術(shù)實(shí)行謹(jǐn)慎而高效的網(wǎng)絡(luò)監(jiān)聽或攻擊，破壞他國關(guān)鍵信息基礎(chǔ)設(shè)施。2010年，美國家安全局曾利用包括Windows字體漏洞在內(nèi)的四個(gè)“零日”漏洞，制造出“震網(wǎng)”蠕蟲病毒并向伊朗鈾濃縮項(xiàng)目發(fā)動攻擊，最終破壞了約1000臺伊朗離心機(jī)。此外，美國家安全局在代號為“精靈”的項(xiàng)目中，利用掌握到的漏洞資源，將惡意軟件秘密植入世界各地的計(jì)算機(jī)、路由器和防火墻，伺機(jī)發(fā)動網(wǎng)絡(luò)攻擊。至2013年底，該項(xiàng)目已控制了至少85000臺計(jì)算機(jī)。此外，美國中央情報(bào)局還部署了名為“FoxAcid”的利用安全漏洞發(fā)動網(wǎng)絡(luò)攻擊的服務(wù)器平臺，可對目標(biāo)的狀態(tài)、受攻擊后的反應(yīng)等進(jìn)行判斷，以選擇最有效的漏洞進(jìn)行攻擊。

從國家層面加強(qiáng)網(wǎng)絡(luò)安全立法和機(jī)構(gòu)設(shè)置，為利用安全漏洞提供頂層保障

近年來曝光的每一例關(guān)于網(wǎng)絡(luò)安全的問題，基本都是由美國官方或私營科技公司率先發(fā)現(xiàn)，其他國家只有在安全漏洞曝光或遭受攻擊后才能了解安全漏洞的相關(guān)信息。事實(shí)上，美國從國家層面建立了一整套完善的安全漏洞監(jiān)測、預(yù)警及響應(yīng)體系，通過加強(qiáng)網(wǎng)絡(luò)安全立法和組織機(jī)構(gòu)設(shè)置，為美國率先獲取和利用安全漏洞提供了頂層保障。

首先，重視網(wǎng)絡(luò)安全戰(zhàn)略建設(shè)，將網(wǎng)絡(luò)安全由政策、計(jì)劃提升到國家戰(zhàn)略高度。從克林頓時(shí)期的《美國政府對關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)政策》、《信息系統(tǒng)保護(hù)國家計(jì)劃》到布什時(shí)期的《保護(hù)網(wǎng)絡(luò)空間的國家戰(zhàn)略》，再到奧巴馬政府的《網(wǎng)絡(luò)空間國際戰(zhàn)略》、《提升美國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》等一系列文件的出臺，可以看出，美國政府高度重視網(wǎng)絡(luò)安全戰(zhàn)略建設(shè)，將其視為影響經(jīng)濟(jì)發(fā)展和國家安全的關(guān)鍵因素，通過政策、計(jì)劃、戰(zhàn)略逐級遞增的方式，不斷提升美國網(wǎng)絡(luò)安全的戰(zhàn)略高度。同時(shí)，美國先后頒布了《計(jì)算機(jī)欺詐和濫用法》、《聯(lián)邦信息安全管理法》、《關(guān)鍵基礎(chǔ)設(shè)施信息法》等十多部有關(guān)網(wǎng)絡(luò)安全的法律，這些法律從計(jì)算機(jī)與信息系統(tǒng)安全、基礎(chǔ)設(shè)施安全、信息內(nèi)容安全等多個(gè)層次構(gòu)建了龐大的網(wǎng)絡(luò)安全保護(hù)框架，將網(wǎng)絡(luò)安全“威懾與防御”的理念貫徹在頂層戰(zhàn)略的具體規(guī)劃中，使美國成為網(wǎng)絡(luò)安全領(lǐng)域頒布法律最多且體系最為完善的國家。

其次，美國政府將網(wǎng)絡(luò)安全政策執(zhí)行、管理與監(jiān)督等權(quán)利分配給國土安全部、國防部、審計(jì)署、商務(wù)部及財(cái)政部等多個(gè)聯(lián)邦政府部門。各聯(lián)邦部門在網(wǎng)絡(luò)安全管理方面分工明確，職責(zé)清晰，形成了美國網(wǎng)絡(luò)安全管理的雙層主體架構(gòu)：第一層是白宮網(wǎng)絡(luò)安全辦公室，由白宮網(wǎng)絡(luò)安全協(xié)調(diào)官協(xié)調(diào)和整合政府網(wǎng)絡(luò)安全方面的所有政策；第二層是國土安全部和國防部，分別作為聯(lián)邦政府網(wǎng)絡(luò)安全的指揮中樞和掌管美軍網(wǎng)絡(luò)安全與網(wǎng)絡(luò)作戰(zhàn)指揮的司令部。

對我國網(wǎng)絡(luò)安全漏洞應(yīng)對機(jī)制的建議

雖然“心血”安全漏洞在曝光后迅速得到修復(fù)，但我國仍至少有3萬臺服務(wù)器受到影響。鑒于我國政府、金融、能源、交通、軍工等關(guān)鍵行業(yè)所用的服務(wù)器、操作系統(tǒng)、芯片等軟硬件產(chǎn)品和通用網(wǎng)絡(luò)組件主要來自國外，無法實(shí)現(xiàn)安全可控，這些關(guān)鍵行業(yè)的信息基礎(chǔ)設(shè)施都可能受到該安全漏洞的影響。因此，我國一方面要加強(qiáng)自主、安全、可控的軟硬件技術(shù)與產(chǎn)品的研發(fā)，并逐步在關(guān)鍵領(lǐng)域?qū)崿F(xiàn)替代，從根本上防御網(wǎng)絡(luò)安全漏洞存在的威脅；另一方面，應(yīng)加大對網(wǎng)絡(luò)安全漏洞的監(jiān)測、預(yù)警和響應(yīng)力度，使我國能夠及早發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞，進(jìn)而做到早修復(fù)。

加強(qiáng)各部門之間信息共享和協(xié)同行動，提升網(wǎng)絡(luò)安全態(tài)勢的整體感知能力，及時(shí)實(shí)施應(yīng)急響應(yīng)和威懾反制措施

從“蠕蟲”病毒到“震網(wǎng)”攻擊，再到此次存在時(shí)間長達(dá)2年的“心血”安全漏洞，美國一直以來都是病毒、木馬、漏洞等網(wǎng)絡(luò)武器的第一發(fā)現(xiàn)者和網(wǎng)絡(luò)攻擊發(fā)起者，這些“成績”的取得都直接歸于美國所建立的成熟的網(wǎng)絡(luò)安全監(jiān)測機(jī)構(gòu)。因此，我國應(yīng)通過網(wǎng)絡(luò)安全監(jiān)測機(jī)構(gòu)建立關(guān)鍵領(lǐng)域網(wǎng)絡(luò)安全漏洞庫，并及時(shí)將安全漏洞在不同部門之間共享，切實(shí)提高網(wǎng)絡(luò)安全態(tài)勢的感知能力和應(yīng)急響應(yīng)能力。

結(jié)合實(shí)際情況，堅(jiān)持發(fā)展自主可控的軟硬件產(chǎn)品，著力推進(jìn)國產(chǎn)軟硬件產(chǎn)品系統(tǒng)性替代

發(fā)展和應(yīng)用自主可控的元器件、芯片、操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器等軟硬件產(chǎn)品，是保障我國網(wǎng)絡(luò)安全的根本方法。我國應(yīng)該結(jié)合實(shí)際情況，尋找適合自身需求的軟硬件產(chǎn)品。例如，在桌面操作系統(tǒng)方面，我國不需要重新研發(fā)類似Windows這樣的操作系統(tǒng)，基于Linux開發(fā)的操作系統(tǒng)在可用性、易用性、適用性等方面基本具備替代能力。雖然國內(nèi)廠商的研發(fā)能力、產(chǎn)品技術(shù)、生態(tài)環(huán)境與國外產(chǎn)品存在一定的差距，但國產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器已基本能夠滿足大部分用戶90%以上的需求。然而，很多行業(yè)部門在實(shí)際選擇中出于風(fēng)險(xiǎn)和安全考慮，仍偏向使用國外產(chǎn)品。因此，我國應(yīng)通過優(yōu)化政府采購政策等方式，加大國產(chǎn)軟硬件產(chǎn)品在政府、金融、能源、交通、軍工等關(guān)鍵行業(yè)的應(yīng)用比例，逐步推進(jìn)國產(chǎn)軟硬件產(chǎn)品的替代步伐。

正確認(rèn)識開源軟件的安全性，通過第三方評測機(jī)構(gòu)對關(guān)鍵行業(yè)重要信息基礎(chǔ)設(shè)施所用的開源軟件開展評估

開源軟件采用的“同行評議”方式，使得眾多開發(fā)者持續(xù)對軟件代碼進(jìn)行修改和完善，在一定程度上可以有效消除軟件內(nèi)部存在的缺陷。但正是由于行業(yè)內(nèi)對Open SSL這類全球廣泛應(yīng)用的開源軟件安全性的信任，使得某些明顯漏洞在開源軟件中長期存在。因此，我國應(yīng)該了解和掌握開源軟件在政府、金融、能源、交通、軍工等關(guān)鍵行業(yè)重要信息基礎(chǔ)設(shè)施中的應(yīng)用情況，通過第三方評測機(jī)構(gòu)對上述行業(yè)所使用的開源操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器的安全性和可靠性開展評估，及時(shí)修復(fù)發(fā)現(xiàn)的安全漏洞，滿足黨政軍及國家關(guān)鍵基礎(chǔ)設(shè)施等重要信息系統(tǒng)的運(yùn)行需求，應(yīng)對他國持續(xù)、有預(yù)謀、高強(qiáng)度的網(wǎng)絡(luò)空間攻勢。

篇2

1影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素

1.1操作系統(tǒng)的漏洞及網(wǎng)絡(luò)設(shè)計(jì)的問題。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，黑客利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)。由于設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，使其受到影響。

1.2缺乏有效的手段評估網(wǎng)絡(luò)系統(tǒng)的安全性。缺少使用硬件設(shè)備對整個(gè)網(wǎng)絡(luò)的安全防護(hù)性能作出科學(xué)、準(zhǔn)確的分析評估，并保障實(shí)施的安全策略技術(shù)上的可實(shí)現(xiàn)性、經(jīng)濟(jì)上的可行性和組織上的可執(zhí)行性。

1.3黑客的攻擊手段在不斷地更新。目前黑客的攻擊方法已超過計(jì)算機(jī)病毒的種類，且許多攻擊都是致命的。攻擊源相對集中，攻擊手段更加靈活。黑客手段和計(jì)算機(jī)病毒技術(shù)結(jié)合日漸緊密。黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。

1.4計(jì)算機(jī)病毒。計(jì)算機(jī)病毒將導(dǎo)致計(jì)算機(jī)系統(tǒng)癱瘓，程序和數(shù)據(jù)嚴(yán)重破壞甚至被盜取，使網(wǎng)絡(luò)的效率降低，使許多功能無法使用或不敢使用。層出不窮的各種各樣的計(jì)算機(jī)病毒活躍在計(jì)算機(jī)網(wǎng)絡(luò)的每個(gè)角落，給我們的正常工作已經(jīng)造成過嚴(yán)重威脅。

2確保計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施

2.1操作系統(tǒng)與網(wǎng)絡(luò)設(shè)計(jì)。計(jì)算機(jī)用戶使用正版軟件，及時(shí)對系統(tǒng)漏洞打補(bǔ)丁，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在計(jì)算機(jī)網(wǎng)絡(luò)中，建立起統(tǒng)一的身份認(rèn)證，供各種應(yīng)用系統(tǒng)使用，實(shí)現(xiàn)用戶統(tǒng)一管理、認(rèn)證和授權(quán)。網(wǎng)絡(luò)管理員和操作員根據(jù)本人的權(quán)限，輸入不同的口令，對應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作，防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。

2.2安全性評估。加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)各級使用人員的網(wǎng)絡(luò)安全教育，建立健全計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度，嚴(yán)格執(zhí)行操作規(guī)程和規(guī)章制度。網(wǎng)絡(luò)管理人員對整個(gè)網(wǎng)絡(luò)的安全防護(hù)性能進(jìn)行檢查，查找其中是否有可被黑客利用的漏洞，對系統(tǒng)安全狀況進(jìn)行評估、分析，并對發(fā)現(xiàn)的問題提出建議，從而提高網(wǎng)絡(luò)系統(tǒng)安全性能。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。

篇3

1．硬件威脅。計(jì)算機(jī)網(wǎng)絡(luò)安全的影響因素有一些是來自硬件的，如，組成計(jì)算機(jī)網(wǎng)絡(luò)的服務(wù)器，線路等設(shè)備不具有抗輻射、防火、防寒的功能。由于硬件是計(jì)算機(jī)網(wǎng)絡(luò)的載體，一旦硬件系統(tǒng)受到破壞，計(jì)算機(jī)網(wǎng)絡(luò)的使用則會受到極大的限制，甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)不復(fù)存在。

2．系統(tǒng)自身問題。必須承認(rèn)，任何操作系統(tǒng)都不可能完全排除安全漏洞，如，現(xiàn)在流行的操作系統(tǒng)windows，unix等本身就存在安全漏洞。操作系統(tǒng)的安全漏洞不易被發(fā)現(xiàn)，而一旦發(fā)現(xiàn)這些安全漏洞，進(jìn)行系統(tǒng)修復(fù)則是一個(gè)漫長而又具有技術(shù)性的工作。黑客就是利用這些操作系統(tǒng)本身的安全漏洞來侵入系統(tǒng);有時(shí)硬件的配置不協(xié)調(diào)也會導(dǎo)致網(wǎng)絡(luò)運(yùn)行的質(zhì)量;再有就是網(wǎng)卡選配不當(dāng)，也會導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定，缺乏安全策略。這就無意中擴(kuò)大了訪問權(quán)限，這些權(quán)限就可能被他人所利用。

3．內(nèi)部局域網(wǎng)用戶的威脅。實(shí)際上，內(nèi)部局域網(wǎng)的威脅遠(yuǎn)大于外部網(wǎng)的安全威脅，由于內(nèi)網(wǎng)使用者缺乏安全意識，在訪問網(wǎng)絡(luò)或信息通信時(shí)，缺乏安全意識，如，在使用公共計(jì)算機(jī)時(shí)，隨意把個(gè)人信息告知他人或用戶賬號和密碼的設(shè)置過于簡單等，都會造成個(gè)人信息的泄露;再如，在軟件開發(fā)的過程中，由于開發(fā)者的失誤或不注意，會造成軟件的安全存在漏洞，一旦此類軟件遭受到病毒的感染或被網(wǎng)絡(luò)黑客控制，就會對計(jì)算機(jī)網(wǎng)絡(luò)安全造成威脅，形成局域網(wǎng)內(nèi)部漏洞。最終導(dǎo)致黑客或病毒通過一臺計(jì)算機(jī)進(jìn)入內(nèi)部網(wǎng)絡(luò)來實(shí)現(xiàn)控制:破壞文件，盜取資料，甚至是使內(nèi)部網(wǎng)絡(luò)癱瘓。如，當(dāng)今流行的arp攻擊，它是一臺電腦中毒，中毒以后攻擊局域網(wǎng)內(nèi)部的其他電腦。arp欺騙木馬只需成功感染一臺計(jì)算機(jī)，就可能導(dǎo)致整個(gè)局域網(wǎng)都無法上網(wǎng)，嚴(yán)重的甚至可能帶來整個(gè)網(wǎng)絡(luò)的癱瘓。該木馬發(fā)作時(shí)除了會導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號去做金錢交易，盜竊網(wǎng)上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便甚至是巨大的經(jīng)濟(jì)損失。

4．缺乏有效的監(jiān)視手段來評估網(wǎng)絡(luò)系統(tǒng)的安全。完整而且能夠準(zhǔn)確地評估自身的計(jì)算機(jī)安全性，并作出有效的防范，要保障安全策略的實(shí)施，及時(shí)發(fā)現(xiàn)和解決問題，是一種非常有效的提高網(wǎng)絡(luò)安全的辦法。當(dāng)發(fā)現(xiàn)系統(tǒng)漏洞時(shí)，要及時(shí)進(jìn)行更新，發(fā)現(xiàn)運(yùn)行出現(xiàn)不正常，及時(shí)進(jìn)行檢查，這樣才能有效地防范于未然。然而我們的安全工具的更新速度很慢，一般都是發(fā)現(xiàn)該攻擊或該病毒后才會研究對應(yīng)的辦法，而又需要一段時(shí)間，根本來不及挽回已經(jīng)造成的損失。而一個(gè)問題解決后，又可能出現(xiàn)其他的安全問題，因此，安全工具不知道何時(shí)又會有其他的問題出現(xiàn)，所以就目前情況來看缺乏有效的監(jiān)視手段。

5．計(jì)算機(jī)病毒。計(jì)算機(jī)病毒的威脅也是常見的網(wǎng)絡(luò)安全行為，它是一些人為了達(dá)到某種目的而編寫出來的一段計(jì)算機(jī)程序。計(jì)算機(jī)病毒通常具有極快的傳播速度與難以被刪除的特點(diǎn)。因此一旦計(jì)算機(jī)感染上病毒，通常會導(dǎo)致計(jì)算機(jī)功能遭到破壞，例如數(shù)據(jù)的損壞、信息的丟失等，并且隨著計(jì)算機(jī)病毒的不斷發(fā)展，計(jì)算機(jī)病毒也呈現(xiàn)出一種可自我進(jìn)化，感染方式多樣化等特點(diǎn)。所以說計(jì)算機(jī)病毒也是威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的一個(gè)重要因素。

6．黑客的攻擊手段也在不斷更新?？梢哉f相比于計(jì)算機(jī)病毒，黑客對于計(jì)算機(jī)網(wǎng)絡(luò)安全的危害更為嚴(yán)重。因?yàn)楹诳蛯τ?jì)算機(jī)網(wǎng)絡(luò)的攻擊有著明確的目的性，是根據(jù)特定的需要來進(jìn)行信息的破壞、利用與竊取，并且這種信息的破壞、利用與竊取通常伴隨著相當(dāng)高的隱蔽性，造成的損失難以估量的。所以雖說我們在不斷地更新各種殺毒軟件，不斷地修復(fù)系統(tǒng)的漏洞，但黑客也在不斷地研究新的病毒，改進(jìn)新的手段，成為造成計(jì)算機(jī)網(wǎng)絡(luò)安全隱患的重要因素。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施

既然如此，我們就應(yīng)該做好計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施，做到防患于未然，盡量減小因網(wǎng)絡(luò)安全導(dǎo)致的損失。主要措施如下。

1．對網(wǎng)絡(luò)內(nèi)部用戶的網(wǎng)絡(luò)安全防范意識進(jìn)行提升教育，使用戶意識到網(wǎng)絡(luò)安全的重要性。給每臺計(jì)算機(jī)安裝殺毒軟件，使每臺計(jì)算機(jī)都可以自動進(jìn)行殺毒，并且養(yǎng)成定期殺毒的習(xí)慣，對他人拿來的u盤、移動硬盤必須進(jìn)行查殺后才可使用。這是在防病毒的過程中，最經(jīng)濟(jì)也是最實(shí)惠的方法。

2．使用網(wǎng)絡(luò)防火墻。網(wǎng)絡(luò)防火墻可以加強(qiáng)網(wǎng)絡(luò)之間的訪問控制，阻止他人非法從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，獲取網(wǎng)絡(luò)內(nèi)部資源，使重要資料流失。防火墻是目前對黑客的主要防范措施，但是防火墻不能完全防止已經(jīng)被感染的用戶，對內(nèi)部有泄密者也不能進(jìn)行有效地防范。因此，大力發(fā)展網(wǎng)絡(luò)防火墻保護(hù)技術(shù)，一方面在保障其原有作用的前提下，另一方面應(yīng)探索如何對于網(wǎng)內(nèi)用戶進(jìn)行有效的保護(hù)。從而更有效地利用防火墻技術(shù)來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全。

3．可以在計(jì)算機(jī)網(wǎng)絡(luò)添加物理防火墻，對外部攻擊和非法數(shù)據(jù)進(jìn)行監(jiān)測，對內(nèi)部病毒的攻擊進(jìn)行有效的防護(hù)，使用物理防火墻能有效地控制外部數(shù)據(jù)的安全，有效地保護(hù)內(nèi)部網(wǎng)絡(luò)。

4．定期對操作系統(tǒng)進(jìn)行備份，在使用計(jì)算機(jī)的過程中，如果有重要資料，要進(jìn)行備份，對操作系統(tǒng)也要做原始備份，如果計(jì)算機(jī)一旦中毒，可以對操作系統(tǒng)和重要數(shù)據(jù)進(jìn)行恢復(fù)，能夠避免失去重要數(shù)據(jù)。

5．定期進(jìn)行系統(tǒng)漏洞的掃描與修補(bǔ)。及時(shí)下載系統(tǒng)補(bǔ)丁，修補(bǔ)計(jì)算機(jī)漏洞，對數(shù)據(jù)端口進(jìn)行有效地防護(hù)。

6．大力發(fā)展計(jì)算機(jī)加密技術(shù)加密技術(shù)伴隨著計(jì)算機(jī)網(wǎng)絡(luò)的生成而逐步發(fā)展，是保障計(jì)算機(jī)網(wǎng)絡(luò)安全最重要的技術(shù)手段。其原理為將原有的信息資源通過算法轉(zhuǎn)換成不可讀且無意義的密文信息，接收用戶需要通過特定的解密鑰匙才能將信息轉(zhuǎn)化成明文。目前，計(jì)算機(jī)的加密技術(shù)主要通過兩種形式得以實(shí)現(xiàn):一方面是信息加密，即利用有效的算法對重要的信息、程序與文件進(jìn)行加密鎖定，從而達(dá)到防止信息泄漏的目的;另一方面則是對互聯(lián)網(wǎng)的信息傳輸協(xié)議進(jìn)行加密，此類信息協(xié)議大多采用復(fù)雜的算法來保障信息的安全，以達(dá)到防止電腦病毒的感染與電腦黑客的竊取與篡改，進(jìn)而保證計(jì)算機(jī)網(wǎng)絡(luò)的通暢與安全。

三、總結(jié)

篇4

（河南中煙工業(yè)有限責(zé)任公司南陽卷煙廠 河南 南陽 473007）

摘 要：由于計(jì)算機(jī)互聯(lián)網(wǎng)比較容易受到內(nèi)部因素和外部因素的影響，這些影響嚴(yán)重威脅到了人們的切身利益，從而使得網(wǎng)絡(luò)安全的現(xiàn)狀越來越令人堪憂。因此，文章針對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評估及其關(guān)鍵技術(shù)展開了分析討論，以期為企業(yè)的網(wǎng)絡(luò)安全提供重要的保障條件。

關(guān)鍵詞 ：網(wǎng)絡(luò)安全；風(fēng)險(xiǎn)的評估；關(guān)鍵技術(shù)

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A doi：10．3969／j．issn．1665－2272．2015．03．006

收稿日期：2014－11-29

1 網(wǎng)絡(luò)安全的現(xiàn)狀

網(wǎng)絡(luò)安全的核心原則是以安全目標(biāo)為基礎(chǔ)的。在網(wǎng)絡(luò)安全威脅日益增加的今天，要求在網(wǎng)絡(luò)安全框架模型的不同層面、不同側(cè)面的各個(gè)安全維度，有其相應(yīng)的安全目標(biāo)要求，而這些安全目標(biāo)要求必須可以通過一個(gè)或多個(gè)指標(biāo)來評估，進(jìn)而減少信息丟失和網(wǎng)絡(luò)事故發(fā)生的概率，從而提高網(wǎng)絡(luò)工作效率，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)具有方便性、開放性、快捷性以及實(shí)效性，因此滿足了在信息時(shí)代背景下，人們對信息的接收與處理的要求。

當(dāng)前，人們的日常生活和生產(chǎn)活動中，幾乎全部都能夠在網(wǎng)絡(luò)上進(jìn)行，這樣不僅提高了效率和效果，而且還在很大程度上降低了運(yùn)營成本和投資成本。其中網(wǎng)絡(luò)的開放性是現(xiàn)代網(wǎng)絡(luò)最大的特點(diǎn)，無論是誰，在什么地方都能快速、便捷的參與到網(wǎng)絡(luò)活動中去，任何團(tuán)體或者個(gè)人都能在網(wǎng)絡(luò)上快速獲得自己所需要的信息。但是在這過程中，網(wǎng)絡(luò)也暴露出了許多問題，很多人在利用網(wǎng)絡(luò)促進(jìn)社會發(fā)展和創(chuàng)造財(cái)富的同時(shí)，也有小部分的人利用網(wǎng)絡(luò)開放性的特點(diǎn)非法竊取商業(yè)機(jī)密和信息，有的甚至還會對商業(yè)信息進(jìn)行篡改，從而不僅造成了巨大的經(jīng)濟(jì)損失，而且還對整個(gè)社會產(chǎn)生了負(fù)面的影響。

隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展，網(wǎng)絡(luò)安全問題也越來越得到了人們的重視，網(wǎng)絡(luò)安全問題不僅關(guān)系到人們的切身利益，而且它還關(guān)系到社會和國家的安全與穩(wěn)定。近幾年來，黑客攻擊事件頻繁發(fā)生，再加上人們對于網(wǎng)絡(luò)的安全意識比較淡薄，沒有安全漏洞的防護(hù)措施，從而造成了嚴(yán)重的后果。

2 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估

網(wǎng)絡(luò)安全的定義需要針對對象而異，對象不同，其定義也有所不同。例如對象是一些個(gè)體，網(wǎng)絡(luò)安全就代表著信息的機(jī)密性和完整性以及在信息傳輸過程中的安全性等，防止和避免某些不法分子冒用信息以及破壞訪問權(quán)限等；如果對象是一些安全及管理部門，網(wǎng)絡(luò)安全就意味盡最大可能防止某些比較重要的信息泄露和漏洞的產(chǎn)生，盡量降低其帶來的損失和傷害，換句話說就是必須要保證信息的完整性。站在社會的意識形態(tài)角度考慮，網(wǎng)絡(luò)安全所涉及的內(nèi)容主要包括有網(wǎng)絡(luò)上傳播的信息和內(nèi)容以及這些信息和內(nèi)容所產(chǎn)生的影響。其實(shí)網(wǎng)絡(luò)安全意味著信息安全，必須要保障信息的可靠性。雖然網(wǎng)絡(luò)具有很大的開放性，但是對于某些重要信息的保密性也是十分重要的，在一系列信息產(chǎn)生到結(jié)束的過程中，都應(yīng)該充分保證信息的完整性、可靠性以及保密性，未經(jīng)許可泄露給他人的行為都屬于違法行為。

同時(shí)網(wǎng)絡(luò)上的內(nèi)容和信息必須是在可以控制的范圍內(nèi)，一旦發(fā)生失誤，應(yīng)該可以立即進(jìn)行控制和處理。當(dāng)網(wǎng)絡(luò)安全面臨著調(diào)整或威脅的時(shí)候，相關(guān)的工作人員或部門應(yīng)該快速地做出處理，從而盡量降低損失。在網(wǎng)絡(luò)運(yùn)行的過程中，應(yīng)該盡量減少由于人為失誤而帶來的損失和風(fēng)向，同時(shí)還需要加強(qiáng)人們的安全保護(hù)意識，積極建立相應(yīng)的監(jiān)測機(jī)制和防控機(jī)制，保證當(dāng)外部出現(xiàn)惡意的損害和入侵的時(shí)候能夠及時(shí)做出應(yīng)對措施，從而將損失降到最低程度。除此之外，還應(yīng)該對網(wǎng)絡(luò)的安全漏洞進(jìn)行定期的檢查監(jiān)測，一旦發(fā)現(xiàn)問題應(yīng)該及時(shí)進(jìn)行處理和修復(fù)。

而網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估主要是對潛在的威脅和風(fēng)險(xiǎn)、有價(jià)值的信息以及脆弱性進(jìn)行判斷，對安全措施進(jìn)行測試，待符合要求后，方可采取。同時(shí)還需要建立完整的風(fēng)險(xiǎn)預(yù)測機(jī)制以及等級評定規(guī)范，從而有利于對風(fēng)險(xiǎn)的大小以及帶來的損害做出正確的評價(jià)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不僅存在于信息中，而且還有可能存在于網(wǎng)絡(luò)設(shè)備中。因此，對于自己的網(wǎng)絡(luò)資產(chǎn)首先應(yīng)該進(jìn)行準(zhǔn)確的評估，對其產(chǎn)生的價(jià)值大小和可能受到的威脅進(jìn)行正確的預(yù)測和評估，而對于本身所具有的脆弱性做出合理的風(fēng)險(xiǎn)評估，這樣不僅有效的避免了資源的浪費(fèi)，而且還在最大程度上提高了網(wǎng)絡(luò)的安全性。

3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的關(guān)鍵技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)達(dá)，網(wǎng)絡(luò)安全技術(shù)也隨之在不斷的完善和提高。近年來有很多的企業(yè)和事業(yè)單位都對網(wǎng)絡(luò)系統(tǒng)采取了相應(yīng)的、有效的防護(hù)體系。例如，防火墻的功能主要是對外部和內(nèi)部的信息進(jìn)行仔細(xì)的檢查和監(jiān)測，并對內(nèi)部的網(wǎng)絡(luò)系統(tǒng)進(jìn)行隨時(shí)的檢測和防護(hù)。利用防火墻對網(wǎng)絡(luò)的安全進(jìn)行防護(hù)，雖然在一定程度上避免了風(fēng)險(xiǎn)的產(chǎn)生，但是防火墻本身具有局限性，因此不能對因?yàn)樽约寒a(chǎn)生的漏洞而帶來的攻擊進(jìn)行防護(hù)和攻擊，同時(shí)又由于防火墻的維護(hù)系統(tǒng)是由內(nèi)而外的，因此不能為網(wǎng)絡(luò)系統(tǒng)的安全提供重要的保障條件。針對于此，應(yīng)該在防火墻的基礎(chǔ)上與網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評估系統(tǒng)有效地進(jìn)行結(jié)合，對網(wǎng)絡(luò)的內(nèi)部安全隱患進(jìn)行調(diào)整和處理。

從目前來看，在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的系統(tǒng)中，網(wǎng)絡(luò)掃描技術(shù)是人們或團(tuán)體經(jīng)常采用的技術(shù)手段之一。網(wǎng)絡(luò)掃描技術(shù)不僅能夠?qū)⑾嚓P(guān)的信息進(jìn)行搜集和整理，而且還能對網(wǎng)絡(luò)動態(tài)進(jìn)行實(shí)時(shí)的監(jiān)控，從而有助于人們隨時(shí)隨地地掌握到有用的信息。近幾年來，隨著計(jì)算機(jī)互聯(lián)網(wǎng)在各個(gè)行業(yè)中的廣泛運(yùn)用，使得掃描技術(shù)更加被人們進(jìn)行頻繁的使用。對于原來的防護(hù)機(jī)制而言，網(wǎng)絡(luò)掃描技術(shù)可以在最大程度上提高網(wǎng)絡(luò)的安全系數(shù)，從而將網(wǎng)絡(luò)的安全系數(shù)降到最低。由于網(wǎng)絡(luò)掃描技術(shù)是對網(wǎng)絡(luò)存在的漏洞和風(fēng)險(xiǎn)的出擊手段具有主動性，因此能夠?qū)W(wǎng)絡(luò)安全的隱患進(jìn)行主動的檢測和判斷，并且在第一時(shí)間能夠進(jìn)行正確的調(diào)整和處理，而對那些惡意的攻擊，例如黑客的入侵等，都會起到一個(gè)預(yù)先防護(hù)的作用。

網(wǎng)絡(luò)安全掃描針對的對象主要包括有主機(jī)、端口以及潛在的網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)安全掃描技術(shù)首先是對主機(jī)進(jìn)行掃描，其效率直接影響到了后面的步驟，對主機(jī)進(jìn)行掃描主要是網(wǎng)絡(luò)控制信息協(xié)議對信息進(jìn)行判斷，由于主機(jī)自身的防護(hù)體制常常被設(shè)置為不可用的狀態(tài)，因此可以用協(xié)議所提供的信息進(jìn)行判斷。同時(shí)可以利用Ping功能向所需要掃描的目標(biāo)發(fā)送一定量的信息，通過收到的回復(fù)對目標(biāo)是否可以到達(dá)或發(fā)動的信息被目標(biāo)屏蔽進(jìn)行判斷。而對于防護(hù)體系所保護(hù)的目標(biāo)，不能直接從外部進(jìn)行掃描，可以利用反響映射探測技術(shù)對其及進(jìn)行檢測，當(dāng)某個(gè)目標(biāo)被探測的時(shí)候，可以向未知目標(biāo)傳遞數(shù)據(jù)包，通過目標(biāo)的反應(yīng)進(jìn)行判斷。例如沒有收到相應(yīng)的信息報(bào)告，可以借此判斷IP的地址是否在該區(qū)域內(nèi)，由于受到相關(guān)設(shè)備的影響，也將會影響到這種方法的成功率。而端口作為潛在的信息通道，通過對端口的掃描收到的有利信息量進(jìn)行分析，從而了解內(nèi)部與外部交互的內(nèi)容，從而發(fā)現(xiàn)潛在的漏洞，進(jìn)而能夠在很大程度上提高安全風(fēng)險(xiǎn)的防范等級。利用相應(yīng)的探測信息包向目標(biāo)進(jìn)行發(fā)送，從而做出反應(yīng)并進(jìn)行分析和整理，就能判斷出端口的狀態(tài)是否處于關(guān)閉或打開的狀態(tài)，并且還能對端口所提供的信息進(jìn)行整合。從目前來看，端口的掃描防止主要包括有半連接、全連接以及FIN掃描，同時(shí)也還可以進(jìn)行第三方掃描，從而判斷目標(biāo)是否被控制了。

除此之外，在網(wǎng)絡(luò)安全的掃描技術(shù)中，人們還比較常用的一種技術(shù)是網(wǎng)絡(luò)漏洞掃描技術(shù)，這種技術(shù)對于網(wǎng)絡(luò)安全也起到了非常重要的作用。在一般情況下，網(wǎng)絡(luò)漏洞掃描技術(shù)主要分為兩種手段，第一種手段是先對網(wǎng)絡(luò)的端口進(jìn)行掃描，從而搜集到相應(yīng)的信息，隨后與原本就存在的安全漏洞數(shù)據(jù)庫進(jìn)行比較，進(jìn)而可以有效地推測出該網(wǎng)絡(luò)系統(tǒng)是否存在著網(wǎng)絡(luò)漏洞；而另外一種手段就是直接對網(wǎng)絡(luò)系統(tǒng)進(jìn)行測試，從而獲得相關(guān)的網(wǎng)絡(luò)漏洞信息，也就是說，在黑客對網(wǎng)絡(luò)進(jìn)行惡意攻擊的情況下，并且這種攻擊是比較有效的，從而得出網(wǎng)絡(luò)安全的漏洞信息。通過網(wǎng)絡(luò)漏洞掃描技術(shù)的這種手段而獲取到的漏洞信息之后，針對這些漏洞信息對網(wǎng)絡(luò)安全進(jìn)行及時(shí)的、相應(yīng)的維護(hù)和處理，從而保證網(wǎng)絡(luò)端口一直處于安全狀態(tài)。

4 結(jié)語

在當(dāng)今信息化的時(shí)代背景下，網(wǎng)絡(luò)的到來徹底改變了傳統(tǒng)的生產(chǎn)方式以及人們的生活方式。目前，網(wǎng)絡(luò)作為一個(gè)重要的運(yùn)營平臺，通過信息對企業(yè)的生產(chǎn)和發(fā)展進(jìn)行輔助和支持，這對社會和企業(yè)的發(fā)展，都具有十分深遠(yuǎn)的意義。因此，在網(wǎng)絡(luò)的運(yùn)行過程中，應(yīng)當(dāng)對網(wǎng)絡(luò)的信息資產(chǎn)進(jìn)行正確的評估和妥善的保護(hù)，從而為企業(yè)和社會的經(jīng)濟(jì)提供重要的保障條件。針對于此，應(yīng)該加大人們的網(wǎng)絡(luò)安全意識，建立完整、有效的網(wǎng)絡(luò)安全評估系統(tǒng)，從而提高網(wǎng)絡(luò)的安全系數(shù)。

參考文獻(xiàn)

1 白兆輝．淺析計(jì)算機(jī)網(wǎng)絡(luò)安全防范的幾種關(guān)鍵技術(shù)［J］．科技信息，2009（23）

2 李靖．網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估關(guān)鍵技術(shù)研究［J］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（5）

篇5

關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵監(jiān)測；防火墻；包過濾

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)和不斷發(fā)展，療養(yǎng)院信息化的也呈跨越式的發(fā)展。所有療養(yǎng)人員的信息都已經(jīng)通過網(wǎng)絡(luò)數(shù)字化存入了網(wǎng)絡(luò)數(shù)據(jù)庫，使療養(yǎng)人員的健康管理，療案跟蹤以及醫(yī)護(hù)人員的定點(diǎn)服務(wù)能夠快速、準(zhǔn)確。所以療養(yǎng)院網(wǎng)絡(luò)的安全，將直接關(guān)系到療養(yǎng)工作的正常進(jìn)行。網(wǎng)絡(luò)上的漏洞、病毒等如果不進(jìn)行有效的技術(shù)控制防護(hù)殺毒，將會帶來巨大的災(zāi)難和損失。那么，對于網(wǎng)絡(luò)安全管理來說，管理員應(yīng)該從哪些方面，如何才能做到安全管理呢，我們一步一步進(jìn)行分析。

1網(wǎng)絡(luò)安全技術(shù)分析

網(wǎng)絡(luò)安全技術(shù)一般都由多種安全技術(shù)組成，如網(wǎng)絡(luò)防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、網(wǎng)絡(luò)安全漏洞掃描技術(shù)。

1.1網(wǎng)絡(luò)防火墻技術(shù)

網(wǎng)絡(luò)防火墻又分為硬件防火墻和軟件防火墻，他們的功能基本相同，都是在療養(yǎng)院內(nèi)部可信任網(wǎng)絡(luò)和外部不可信任的公共網(wǎng)絡(luò)之架起一座橋梁，然后根據(jù)內(nèi)部網(wǎng)絡(luò)的要求，允許授權(quán)的包通過，同時(shí)防止外部未經(jīng)授權(quán)的用戶非法訪問內(nèi)部網(wǎng)絡(luò)，也可以完全阻止外部用戶的訪問，進(jìn)而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵。不管是硬件防火墻還是軟件防火墻都能夠根據(jù)一定的安全規(guī)則來控制內(nèi)外網(wǎng)之間的信息流，并且保護(hù)自身不受非法用戶的攻擊。

防火墻技術(shù)從應(yīng)用上來說一般分為“包過濾”型（PacketFiltering）、“應(yīng)用”型（ApplicationProxy），網(wǎng)絡(luò)地址轉(zhuǎn)換型（NetworkAddressTranslation）三種?！鞍^濾”型：它是依據(jù)網(wǎng)絡(luò)中的數(shù)據(jù)包傳輸，根據(jù)防火墻制作的過濾包的規(guī)則來檢測攻擊行為。因?yàn)榫W(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)模恳粋€(gè)數(shù)據(jù)包都包含特定的信息，像數(shù)據(jù)源地址、目的地址、端口號等等。包過濾會檢查這些是否來自可信任的安全站點(diǎn)，如果發(fā)現(xiàn)數(shù)據(jù)包不正?；騺碜圆话踩牡刂?，就會拒絕這些數(shù)據(jù)包通過。管理員可根據(jù)自身網(wǎng)絡(luò)的需要來制定相應(yīng)的包過濾規(guī)則。

包過濾也有一定的缺點(diǎn)，因?yàn)樗枪ぷ髟诰W(wǎng)絡(luò)層，通過數(shù)據(jù)包的信息來判斷，如果有黑客偽造地址和端口等方法就能很容易通過包過濾型的防火墻?！皯?yīng)用”型：應(yīng)用型的防火墻其實(shí)就是使用服務(wù)器作為防火墻用，服務(wù)器處于客戶機(jī)和服務(wù)器之間，內(nèi)部網(wǎng)絡(luò)用戶可以通過服務(wù)使用外部網(wǎng)絡(luò)，而外部網(wǎng)絡(luò)用戶無法訪問內(nèi)部網(wǎng)絡(luò)，保護(hù)了內(nèi)部網(wǎng)絡(luò)上的數(shù)據(jù)。由于內(nèi)外之間沒有直接連接，都是通過服務(wù)器進(jìn)行，所以安全性較高。服務(wù)器還可以同時(shí)提供安全審計(jì)和日志服務(wù)。服務(wù)雖然安全性較高，對病毒和木馬入侵十分有效，但是因?yàn)樗锌蛻魴C(jī)的訪問都要由服務(wù)器進(jìn)行連接，加重了服務(wù)器的負(fù)擔(dān)，而且速度較慢。

“網(wǎng)絡(luò)地址轉(zhuǎn)換”型：它是把內(nèi)部網(wǎng)絡(luò)用戶的內(nèi)部IP臨時(shí)轉(zhuǎn)換成具有外部網(wǎng)絡(luò)的IP地址的計(jì)算機(jī)來訪問外網(wǎng)。外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)絡(luò)的機(jī)器在訪問外網(wǎng)果，都由NAT服務(wù)器來產(chǎn)生一個(gè)映射地址，然后在映射出一個(gè)偽裝的端口通過網(wǎng)卡訪問，這樣就隱藏了實(shí)際的內(nèi)部網(wǎng)絡(luò)地址。“網(wǎng)絡(luò)地址轉(zhuǎn)換”型的優(yōu)點(diǎn)是可以使內(nèi)部所有的機(jī)器共享幾個(gè)外網(wǎng)的IP訪問外網(wǎng)，對于內(nèi)網(wǎng)安全性較高，但是同樣網(wǎng)絡(luò)訪問速度慢。

1.2網(wǎng)絡(luò)入侵檢測技術(shù)入侵檢測

技術(shù)能夠監(jiān)視計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的各種事件并形成日志文件，并且進(jìn)行完整檢測分析，從中找到不安全的因素或系統(tǒng)中存在的漏洞。一般把入侵檢測的軟件與硬件的組合稱為入侵檢測系統(tǒng)。它是一種主動型的安全防護(hù)系統(tǒng)，可以對內(nèi)部攻擊、誤操作和外部攻擊做實(shí)時(shí)防護(hù)，在計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前提前報(bào)警、攔截和響應(yīng)。入侵檢測系統(tǒng)可分為兩類?；谥鳈C(jī)的入侵檢測系統(tǒng)用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器，實(shí)時(shí)監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等。特點(diǎn)是：精確，可以精確地判斷入侵事件；高級，可以判斷應(yīng)用層的入侵事件；對入侵時(shí)間立即進(jìn)行反應(yīng)；針對不同操作系統(tǒng)特點(diǎn)；占用主機(jī)寶貴資源?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。特點(diǎn)是：能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動；實(shí)時(shí)網(wǎng)絡(luò)監(jiān)視；監(jiān)視粒度更細(xì)致；精確度較差；防入侵欺騙的能力較差；交換網(wǎng)絡(luò)環(huán)境難于配置。

1.3網(wǎng)絡(luò)防病毒技術(shù)

計(jì)算機(jī)病毒是危害網(wǎng)絡(luò)信息系統(tǒng)安全的重要問題之一，它可以通過光盤、優(yōu)盤、移動硬盤、網(wǎng)上下載、電子郵件等方式進(jìn)行傳播，一旦網(wǎng)絡(luò)中的某一臺主機(jī)受到病毒感染，病毒程序就會很快迅速傳播，一般的蠕蟲病毒可能拖慢計(jì)算機(jī)速度，惡意的病毒則可能使用信息泄漏、文件丟失甚至造成計(jì)算機(jī)崩潰，最嚴(yán)重的病毒甚至可以造成計(jì)算機(jī)硬件燒毀，如CIH病毒等。網(wǎng)絡(luò)防病毒一般是在全網(wǎng)安裝防病毒軟件客戶端，由一臺防病毒服務(wù)器來運(yùn)行服務(wù)端軟件。服務(wù)端和客戶軟件都具有檢查和清除病毒的功能，服務(wù)端還可以設(shè)置所有在線機(jī)器的定時(shí)殺毒以及網(wǎng)全網(wǎng)殺毒。當(dāng)服務(wù)端的殺毒程序升級更新后所有的客戶端都可以自動更新，增加內(nèi)部網(wǎng)絡(luò)的防病毒能力。

1.4網(wǎng)絡(luò)安全漏洞掃描技術(shù)

網(wǎng)絡(luò)安全漏洞掃描技術(shù)是網(wǎng)絡(luò)安全技術(shù)中不可或缺的一部分，它能夠增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性，能夠掃描分析系統(tǒng)中存在的安全問題，并針對掃描到的安全漏洞提供詳細(xì)的安全解決方案，使系統(tǒng)管理員及時(shí)打好系統(tǒng)安全補(bǔ)丁，避免因存在的漏洞而讓黑客有可乘之機(jī)，造成數(shù)據(jù)丟失?，F(xiàn)在的漏洞掃描工具分為兩類，一類是基于服務(wù)的，一類是基于網(wǎng)絡(luò)的。基于服務(wù)器的漏洞掃描工具可以對服務(wù)器進(jìn)行全方位的掃描，如弱口令、共享文件、WWW服務(wù)、系統(tǒng)漏洞等，掃描完成后會給出詳盡的分析說明?；诰W(wǎng)絡(luò)的安全掃描工具主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的交換機(jī)、路由器、數(shù)據(jù)庫服務(wù)器、防火墻等設(shè)備的安全漏洞，還可以設(shè)定模擬攻擊，以便測試系統(tǒng)的防御能力。通過漏洞掃描技術(shù)的應(yīng)用，管理可以針對相應(yīng)的問題，制定切實(shí)可行的安全解決方案。

2網(wǎng)絡(luò)安全管理實(shí)施對策

2.1在全網(wǎng)部署硬件防火墻

根據(jù)內(nèi)部網(wǎng)絡(luò)的需求，在內(nèi)網(wǎng)和外網(wǎng)之間架設(shè)硬件防火墻，隔離外網(wǎng)與內(nèi)網(wǎng)之間的訪問。在防火墻中打開IP和端口控制，設(shè)立DMZ區(qū)，打開所需的常用網(wǎng)絡(luò)服務(wù)如HTTP、FTP等，這樣就可防范外部對內(nèi)部用戶的攻擊；及時(shí)查看防火墻的日志文件，對防火墻的管理可以指定獨(dú)立的管理IP。通過對防火墻規(guī)則的設(shè)置，使用戶需要的應(yīng)用協(xié)議才能通過，讓內(nèi)部網(wǎng)絡(luò)變得更安全。

2.2利用專用服務(wù)器安裝網(wǎng)絡(luò)版殺毒軟件

采用網(wǎng)絡(luò)版殺毒軟件，可以對整個(gè)內(nèi)部網(wǎng)絡(luò)采取全面的病毒防護(hù)?，F(xiàn)在的網(wǎng)絡(luò)版殺毒軟件有瑞星和江民。他們都能對整個(gè)內(nèi)部網(wǎng)絡(luò)進(jìn)行防病毒統(tǒng)一管理，制作一定的防病毒策略，定時(shí)對全網(wǎng)系統(tǒng)進(jìn)行自動查、殺病毒。網(wǎng)絡(luò)防病毒策略一般包括：升級和修補(bǔ)，及時(shí)更新病毒程序包和殺毒軟件版本；備份，定時(shí)備份所需的重要數(shù)據(jù)以便在出現(xiàn)故障時(shí)進(jìn)行恢復(fù)；安裝軟件時(shí)使用經(jīng)過確認(rèn)的軟件包；一旦某臺機(jī)器感染病毒，找到感染源并徹底清除；任何客戶端都不能自行卸載殺毒軟件，設(shè)立卸載密碼。

2.3網(wǎng)絡(luò)安全漏洞修補(bǔ)

定期采用專用的漏洞掃描軟件對內(nèi)部網(wǎng)絡(luò)的專用服務(wù)器如WWW服務(wù)器、視頻會議服務(wù)器、數(shù)據(jù)庫服務(wù)器、FTP服務(wù)器等進(jìn)行漏洞掃描、分析和評估，并生成掃描報(bào)告。根據(jù)評估的安全風(fēng)險(xiǎn)，及時(shí)修補(bǔ)漏洞及下載系統(tǒng)更新補(bǔ)丁，還要對重要數(shù)據(jù)進(jìn)行備份，以達(dá)到增強(qiáng)網(wǎng)絡(luò)的安全性的目的。

2.4用戶級訪問控制

對所有用戶采用專用的用戶口令和訪問規(guī)則及權(quán)限，以確保只有合法用戶才能訪問合法資源。網(wǎng)絡(luò)管理員應(yīng)該對不同的設(shè)備設(shè)置不同的口令，而且設(shè)置的口令最好是大小寫字母、數(shù)字加特殊字符等，最好是8位以上的密碼，還需要定期更改密碼并將密碼記錄下來。

2.5內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)認(rèn)證訪問

我們都知道，計(jì)算機(jī)的MAC地址在全球是唯一的，在網(wǎng)絡(luò)中對所有計(jì)算機(jī)進(jìn)行IP地址和MAC地址進(jìn)行綁定，就能夠標(biāo)識每臺計(jì)算機(jī)的使用人，只有經(jīng)過綁定的計(jì)算機(jī)的IP才能夠訪問網(wǎng)絡(luò)。這種綁定可以使用具有三層功能的核心交換來做，也可以使用軟件在專用服務(wù)器上做。利用這種綁定不但可以控制網(wǎng)內(nèi)用戶隨意更換IP的問題，還可以很容易找到某些存在問題的計(jì)算機(jī)。

2.6網(wǎng)絡(luò)機(jī)房安全管理

網(wǎng)絡(luò)安全管理不僅僅要從計(jì)算機(jī)硬件、軟件和人員使用上管理到位，而且對機(jī)房也要納入安全管理范圍，并建立各種安全管理制度，如機(jī)房管理制度、設(shè)備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應(yīng)急制度、各服務(wù)器檢查備份制度等，建立相應(yīng)的各種檢查記錄文件，定期修訂不安全的因素，最終采取切實(shí)有效的措施保證制度的執(zhí)行。通過以上對各種網(wǎng)絡(luò)安全技術(shù)的分析，我們給出了相應(yīng)的解決問題的對策，從技術(shù)和制度管理上保證了療養(yǎng)院信息網(wǎng)絡(luò)安全的運(yùn)行。我相信，隨著網(wǎng)絡(luò)安全管理人員的進(jìn)一步學(xué)習(xí)和實(shí)踐，并積極參加國內(nèi)外的各種網(wǎng)絡(luò)安全培訓(xùn)，必將會進(jìn)一步提高我們信息網(wǎng)絡(luò)管理的安全，使網(wǎng)絡(luò)安全正常的運(yùn)行。

參考文獻(xiàn)：

[1]AnneCarasik-Henmi.防火墻核心技術(shù)精解[M].北京:中國水利水電出版社,2005:10-14.

[2]戴浩,楊林.端端通信系統(tǒng)安全體系結(jié)構(gòu)[J].計(jì)算機(jī)安全,2004(2).

篇6

關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)安全；防范技術(shù)

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2011) 14-0000-01

Brief Introduction on the Security and Prevention of Computer Network

Chen Zhengyao

(Yangjiang District Cadastral Management Office,Yangjiang529500,China)

Abstract:This paper from the start with the concept of computer network security,computer network security issues Chuqian discussed.

Keywords:Computer;Network security;Prevention technology

一、計(jì)算機(jī)網(wǎng)絡(luò)安全的概念

國際標(biāo)準(zhǔn)化組織將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。

從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

二、影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素

人為因素是對計(jì)算機(jī)信息網(wǎng)絡(luò)安全威脅最大的因素。計(jì)算機(jī)網(wǎng)絡(luò)不安全因素主要表現(xiàn)在以下幾個(gè)方面:

（一）互聯(lián)網(wǎng)絡(luò)的不安全性。（1）網(wǎng)絡(luò)的開放性，網(wǎng)絡(luò)的技術(shù)是全開放的，使得網(wǎng)絡(luò)所面臨的攻擊來自多方面?；蚴莵碜晕锢韨鬏斁€路的攻擊，或是來自對網(wǎng)絡(luò)通信協(xié)議的攻擊，以及對計(jì)算機(jī)軟件、硬件的漏洞實(shí)施攻擊。（2）網(wǎng)絡(luò)的國際性，意味著對網(wǎng)絡(luò)的攻擊不僅是來自于本地網(wǎng)絡(luò)的用戶，還可以是互聯(lián)網(wǎng)上其他國家的黑客，所以，網(wǎng)絡(luò)的安全面臨著國際化的挑戰(zhàn)。（3）網(wǎng)絡(luò)的自由性，大多數(shù)的網(wǎng)絡(luò)對用戶的使用沒有技術(shù)上的約束，用戶可以自由的上網(wǎng)，和獲取各類信息。

（二）操作系統(tǒng)存在的安全問題。操作系統(tǒng)是作為一個(gè)支撐軟件，提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開發(fā)設(shè)計(jì)的不周而留下的破綻，都給網(wǎng)絡(luò)安全留下隱患。

（三）來自內(nèi)部網(wǎng)用戶的安全威脅。來自內(nèi)部用戶的安全威脅遠(yuǎn)大于外部網(wǎng)用戶的安全威脅，使用者缺乏安全意識，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失，管理制度不健全，人為因素造成的安全漏洞無疑是整個(gè)網(wǎng)絡(luò)安全性的最大隱患。

（四）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。

三、確保計(jì)算機(jī)網(wǎng)絡(luò)安全的對策

網(wǎng)絡(luò)安全不僅是技術(shù)問題，更是一個(gè)管理問題，它包含管理機(jī)構(gòu)、法律、技術(shù)、經(jīng)濟(jì)各方面。我們可從加強(qiáng)管理和提高網(wǎng)絡(luò)安全技術(shù)兩方面確保計(jì)算機(jī)網(wǎng)絡(luò)安全。

（一）管理層面的對策。（1）建立安全管理制度。建立健全各種安全機(jī)制、各種網(wǎng)絡(luò)安全制度，加強(qiáng)網(wǎng)絡(luò)安全教育和培訓(xùn)，提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對重要部門和信息，嚴(yán)格做好開機(jī)查毒，及時(shí)備份數(shù)據(jù)，這是一種簡單有效的方法。（2）加強(qiáng)網(wǎng)絡(luò)訪問控制。訪問控制涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。

（二）技術(shù)層面的對策。（1）網(wǎng)絡(luò)病毒的防范。要使用全方位的防病毒產(chǎn)品，針對網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對應(yīng)的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，及時(shí)為每臺客戶端計(jì)算機(jī)打好補(bǔ)丁，加強(qiáng)日常監(jiān)測，使網(wǎng)絡(luò)免受病毒的侵襲。（2）配置防火墻。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，根據(jù)不同網(wǎng)絡(luò)的安裝需求，做好防火墻內(nèi)服務(wù)器及客戶端的各種規(guī)則配置，更加有效利用好防火墻。（3）采用入侵檢測系統(tǒng)。在入侵檢測系統(tǒng)中利用審計(jì)記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達(dá)到限制這些活動，以保護(hù)系統(tǒng)的安全。在學(xué)校、政府機(jī)關(guān)、企事業(yè)網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)，則會構(gòu)架成一套完整立體的主動防御體系，有的入侵檢測設(shè)備可以同防火強(qiáng)進(jìn)行聯(lián)動設(shè)置。（4）應(yīng)用密碼技術(shù)。應(yīng)用密碼技術(shù)是信息安全核心技術(shù)，密碼手段為信息安全提供了可靠保證?；诿艽a的數(shù)字簽名和身份認(rèn)證是當(dāng)前保證信息完整性的最主要方法之一，密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。（5）Web，Email，BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時(shí)向上級安全網(wǎng)管中心報(bào)告，采取措施。（6）漏洞掃描系統(tǒng)。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評估，顯然是不現(xiàn)實(shí)的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。（7）IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過路由器訪問Internet時(shí)，路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)人機(jī)系統(tǒng)，安全保護(hù)的對象是計(jì)算機(jī)，而安全保護(hù)的主體則是人，應(yīng)重視對計(jì)算機(jī)網(wǎng)絡(luò)安全的硬件產(chǎn)品開發(fā)及軟件研制，建立一個(gè)好的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)，也應(yīng)注重樹立人的計(jì)算機(jī)安全意識，才可能防微杜漸。把可能出現(xiàn)的損失降低到最低點(diǎn)，才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn):

[1]孟祥初.網(wǎng)絡(luò)安全重在流程[N].通信產(chǎn)業(yè)報(bào),2007

篇7

今日的世界已進(jìn)入了網(wǎng)絡(luò)信息高速流通的時(shí)代，它仿佛使地球變小了，把世界各地的距離拉近。隨著計(jì)算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)進(jìn)入了千家萬戶。本文首先概括了網(wǎng)絡(luò)信息安全的概念和當(dāng)前網(wǎng)絡(luò)安全解決方案的局限性，然后對網(wǎng)絡(luò)安全防范體系及設(shè)計(jì)原則進(jìn)行了系統(tǒng)分析。

【關(guān)鍵詞】網(wǎng)絡(luò)安全 網(wǎng)絡(luò)攻擊

1 引言

在網(wǎng)絡(luò)信息高度發(fā)達(dá)的今天，網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開放的代名詞，幾年前不可思議的事情今天已成為現(xiàn)實(shí)。然而伴隨計(jì)算機(jī)與通信技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升，矛與盾的較量會長時(shí)間的進(jìn)行下去。原本網(wǎng)絡(luò)固有的優(yōu)越性、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁，網(wǎng)絡(luò)安全已變成越來越棘手的問題。據(jù)有關(guān)部門統(tǒng)計(jì)，網(wǎng)絡(luò)犯罪幾年來呈上升趨勢。在此，筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識和一些常用的安全防范技術(shù)。

2 當(dāng)前主要影響網(wǎng)絡(luò)安全的管理因素和技術(shù)因素

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全問題成了人們關(guān)心的焦點(diǎn)，影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素有：

（1）TCP/IP的脆弱性。作為所有網(wǎng)絡(luò)安全協(xié)議基石的TCP/IP協(xié)議，其本身對于網(wǎng)絡(luò)安全性考慮欠缺，這就使攻擊者可以利用它的安全缺陷來實(shí)施網(wǎng)絡(luò)攻擊。

（2）軟件系統(tǒng)的不完善性造成了網(wǎng)絡(luò)安全漏洞，給攻擊者打開方便之門。

（3）網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。由于因特網(wǎng)采用了網(wǎng)間網(wǎng)技術(shù)，因此當(dāng)兩臺主機(jī)進(jìn)行通信時(shí)，攻擊者利用一臺處于用戶數(shù)據(jù)流傳輸路徑上的主機(jī)，就可以劫持用戶的數(shù)據(jù)包。

（4）缺乏安全意識和策略。由于人們普遍缺乏安全意識，網(wǎng)絡(luò)中許多安全屏障形同虛設(shè)。如為了避開防火墻的額外認(rèn)證，直接進(jìn)行PPP連接，給他人留下可乘之機(jī)等。

（5）管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)任其自然。

（6）由于條塊分割的利益分配問題所帶來的網(wǎng)絡(luò)安全問題。

3 目前解決網(wǎng)絡(luò)安全問題存在著技術(shù)和管理的缺失

網(wǎng)絡(luò)安全防范措施主要有防火墻、口令驗(yàn)證系統(tǒng)、加密系統(tǒng)等，應(yīng)用最廣泛的是防火墻技術(shù)。防火墻技術(shù)是內(nèi)部網(wǎng)最重要的安全技術(shù)之一，其主要功能就是控制對受保護(hù)網(wǎng)絡(luò)的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險(xiǎn)立足點(diǎn)為。但也有其明顯的局限性，如：

（1）防火墻難于防內(nèi)。防火墻的安全控制只能作用于外對內(nèi)或內(nèi)對外，而據(jù)權(quán)威部門統(tǒng)計(jì)結(jié)果表明，網(wǎng)絡(luò)上的安全攻擊事件有70%來自內(nèi)部攻擊。

（2）防火墻難于管理和配置，易造成安全漏洞。防火墻的管理和配置，易造成安全漏洞。防火墻的管理及配置相當(dāng)復(fù)雜，一般來說，由多個(gè)系統(tǒng)（路由器、過濾器、服務(wù)器、網(wǎng)關(guān)、保壘主機(jī)）組成的防火墻，管理上有所疏忽是在所難免的。根據(jù)美國財(cái)經(jīng)雜志統(tǒng)計(jì)資料表明，30%的入侵發(fā)生在有防火墻的情況下。

（3）防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內(nèi)外提供一致的安全策略。許多防火墻對用戶的安全控制主要是基于用戶所用機(jī)器的IP地址而不是用戶身份，這樣就很難為同一用戶在防火墻內(nèi)外提供一致的安全控制策略，限制了企業(yè)網(wǎng)的物理范圍。

4 當(dāng)前設(shè)計(jì)網(wǎng)絡(luò)安全防范體系應(yīng)遵循的原則

根據(jù)防范安全攻擊的安全需求、需要達(dá)到的安全目標(biāo)、對應(yīng)安全機(jī)制所需的安全服務(wù)等因素，參照SSE-CMM（“系統(tǒng)安全工程能力成熟模型”）和ISO17799（信息安全管理標(biāo)準(zhǔn)）等國際標(biāo)準(zhǔn)，綜合考慮可實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防范體系在整體設(shè)計(jì)過程中應(yīng)遵循以幾項(xiàng)原則：

（1）短板理論在網(wǎng)絡(luò)信息安全技術(shù)方面的應(yīng)用。網(wǎng)絡(luò)信息安全的木桶原則是指對信息均衡、全面的進(jìn)行保護(hù)?！澳就暗淖畲笕莘e取決于最短的一塊木板” 。網(wǎng)絡(luò)信息系統(tǒng)是一個(gè)復(fù)雜的計(jì)算機(jī)系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性使單純的技術(shù)保護(hù)防不勝防。攻擊者使用的“最易滲透原則”，必然在系統(tǒng)中最薄弱的地方進(jìn)行攻擊。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進(jìn)行分析，評估和檢測（包括模擬攻擊）是設(shè)計(jì)信息安全系統(tǒng)的必要前提條件。安全機(jī)制和安全服務(wù)設(shè)計(jì)的首要目的是防止最常用的攻擊手段，根本目的是提高整個(gè)系統(tǒng)的“安全最低點(diǎn)”的安全性能。

（2）防止以偏概全的網(wǎng)絡(luò)信息安全的整體性原則。要求在網(wǎng)絡(luò)發(fā)生被攻擊、破壞事件的情況下，必須盡可能地快速恢復(fù)網(wǎng)絡(luò)信息中心的服務(wù)，減少損失。因此，信息安全系統(tǒng)應(yīng)該包括安全防護(hù)機(jī)制、安全檢測機(jī)制和安全恢復(fù)機(jī)制。安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應(yīng)的防護(hù)措施，避免非法攻擊的進(jìn)行。安全檢測機(jī)制是檢測系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)和制止對系統(tǒng)進(jìn)行的各種攻擊。安全恢復(fù)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息，減少供給的破壞程度。

（3）實(shí)踐中的安全性評價(jià)與經(jīng)濟(jì)可行和安全性的平衡原則。對任何網(wǎng)絡(luò)，絕對安全難以達(dá)到，也不一定是必要的，所以需要建立合理的實(shí)用安全性與用戶需求評價(jià)與平衡體系。安全體系設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，做到安全性與可用性相容，做到組織上可執(zhí)行。評價(jià)信息是否安全，沒有絕對的評判標(biāo)準(zhǔn)和衡量指標(biāo)，只能決定于系統(tǒng)的用戶需求和具體的應(yīng)用環(huán)境，具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質(zhì)和信息的重要程度。

5 結(jié)束語

由于互聯(lián)網(wǎng)絡(luò)的開放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲和對其訪問與處理的分布性特點(diǎn)，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重，因此建立有效的網(wǎng)絡(luò)安全防范體系就更為迫切。實(shí)際上，保障網(wǎng)絡(luò)安全不但需要參考網(wǎng)絡(luò)安全的各項(xiàng)標(biāo)準(zhǔn)以形成合理的評估準(zhǔn)則，更重要的是必須明確網(wǎng)絡(luò)安全的框架體系、安全防范的層次結(jié)構(gòu)和系統(tǒng)設(shè)計(jì)的基本原則，分析網(wǎng)絡(luò)系統(tǒng)的各個(gè)不安全環(huán)節(jié)，找到安全漏洞，做到有的放矢。

參考文獻(xiàn)

[1]朱理森，張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京：專利文獻(xiàn)出版社，2001.

[2]劉占全.網(wǎng)絡(luò)管理與防火墻[M].北京：人民郵電出版社，1999.

篇8

關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)安全；防范措施；含義

中圖分類號：TP393.08文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2012) 03-0000-02

Research and Discussion on Computer Network Security and Preventation

Xiao Zu

(Zhaotong Teachers' College,Shaotong657000,China)

Abstract:Fundamentally looking for addressing the safe operation of the computer network,you must start from the fundamental computer network.This article first analyzes the meaning of computer network security,described the causes of computer network security issues,and on this basis of computer network security measures and strategies.

Keywords:Computer;Network security;Preventive measures;Meaning

一、計(jì)算機(jī)網(wǎng)絡(luò)安全的含義

計(jì)算機(jī)技術(shù)在現(xiàn)代社會的迅猛發(fā)展，離不開計(jì)算機(jī)網(wǎng)絡(luò)提供的平臺和運(yùn)行環(huán)境，而今，計(jì)算機(jī)操作系統(tǒng)的功能日漸強(qiáng)大，伴隨而來的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境體系也復(fù)雜多變，尤其是計(jì)算機(jī)網(wǎng)絡(luò)的負(fù)面影響在社會生活中造成的影響不容忽視[1]。若要從根本上尋找解決計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)營問題，則必須從計(jì)算機(jī)網(wǎng)絡(luò)的根本處入手。

目前被國際普遍接受的計(jì)算機(jī)安全定義是這樣解釋的：為計(jì)算機(jī)的數(shù)據(jù)信息處理系統(tǒng)采取和建立的技術(shù)或管理手段，保護(hù)網(wǎng)絡(luò)中的計(jì)算機(jī)軟件、硬件內(nèi)存儲的數(shù)據(jù)不會因?yàn)樽匀换蛉斯さ脑蛟獾礁摹⑿孤渡踔疗茐?。這個(gè)定義包含的內(nèi)容有兩方面，不僅要保證計(jì)算機(jī)內(nèi)存儲邏輯數(shù)據(jù)的安全，更要保護(hù)計(jì)算機(jī)系統(tǒng)的物理安全不受破壞。狹義理解情況下所指的計(jì)算機(jī)安全僅僅指的是計(jì)算機(jī)內(nèi)部的邏輯數(shù)據(jù)的完整、保密性和可用性，也即是信息安全；廣義理解的計(jì)算機(jī)安全是在信息安全的基礎(chǔ)上，再加上對計(jì)算機(jī)網(wǎng)絡(luò)終端的計(jì)算機(jī)操作系統(tǒng)硬件的完整性、保密性以及可用性的保護(hù)[2][3]。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全問題的產(chǎn)生原因分析

現(xiàn)階段已知的計(jì)算機(jī)網(wǎng)絡(luò)安全問題的產(chǎn)生方向主要有四類：網(wǎng)絡(luò)本身的缺陷；網(wǎng)絡(luò)用戶操作不當(dāng)帶來的威脅；網(wǎng)絡(luò)系統(tǒng)安全性評估測試手段的缺失；人為的黑客攻擊。下面將具體分析每種威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的因素的作用過程。

（一）計(jì)算機(jī)網(wǎng)絡(luò)本身的系統(tǒng)缺陷

現(xiàn)階段市面上流行的多種計(jì)算機(jī)操作系統(tǒng)都并非完美，都或多或少存在著安全漏洞，這樣也就給了網(wǎng)絡(luò)安全問題產(chǎn)生的土壤，也給采用人工攻擊網(wǎng)絡(luò)的黑客利用這些操作系統(tǒng)的漏洞入侵計(jì)算機(jī)系統(tǒng)帶來了可趁之機(jī)[4]。計(jì)算機(jī)操作系統(tǒng)的開發(fā)者雖然可以考慮到多個(gè)層面的操作需求，但是也不可能不對計(jì)算機(jī)操作系統(tǒng)留下一絲一毫的破綻，這樣也就給網(wǎng)絡(luò)安全埋下隱患。這些隱患一方面來自于存儲文件的服務(wù)器：服務(wù)器是計(jì)算機(jī)網(wǎng)絡(luò)的“交通樞紐”，它的穩(wěn)定性和完善的功能會直接影響到網(wǎng)絡(luò)系統(tǒng)的運(yùn)行質(zhì)量，若網(wǎng)絡(luò)應(yīng)用的用戶需求未得到足夠的重視，信息傳輸?shù)囊?guī)劃沒有做好，影響網(wǎng)絡(luò)正常功能的發(fā)揮、信息傳輸?shù)目煽啃砸约熬W(wǎng)絡(luò)擴(kuò)充和升級；另外一方面，安全策略缺乏的服務(wù)器工作站會明顯影響網(wǎng)絡(luò)的穩(wěn)定。

（二）局域網(wǎng)終端的用戶操作不當(dāng)引發(fā)的安全威脅

局域網(wǎng)內(nèi)部用戶對網(wǎng)絡(luò)安全帶來的威脅要遠(yuǎn)大于局域網(wǎng)外部的安全攻擊造成的威脅。很多局域網(wǎng)用戶在使用網(wǎng)絡(luò)時(shí)，并未接受系統(tǒng)的網(wǎng)絡(luò)安全知識的教育，加之服務(wù)器系統(tǒng)的安全通信和訪問控制的不作為，使得系統(tǒng)設(shè)置的錯(cuò)誤就會在局域網(wǎng)內(nèi)部造成極大的損失。健全的網(wǎng)絡(luò)管理制度、安全設(shè)計(jì)完備的管理和維護(hù)工作可以大大降低網(wǎng)絡(luò)內(nèi)部人為因素產(chǎn)生的安全漏洞。為保證網(wǎng)絡(luò)安全管理制度的順利建立，網(wǎng)絡(luò)的用戶以及管理員各自的權(quán)限要明確劃分，避免由于權(quán)限管理混亂造成的網(wǎng)絡(luò)安全破壞[5]。

（三）網(wǎng)絡(luò)系統(tǒng)安全性評估測試手段的缺失

網(wǎng)絡(luò)安全性能評估即是通過對網(wǎng)絡(luò)信息傳輸情況的檢查，搜尋是否存在可能被網(wǎng)絡(luò)入侵者利用的漏洞，對網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀作出安全情況分析、評估，若存在問題，則會對所發(fā)現(xiàn)的問題提出行之有效的簡易，最終達(dá)到提高網(wǎng)絡(luò)系統(tǒng)安全性能的目的。避免黑客入侵網(wǎng)絡(luò)的有效手段之一就是建立起完整、準(zhǔn)確的網(wǎng)絡(luò)系統(tǒng)安全評估體系。這一評估可以對網(wǎng)絡(luò)現(xiàn)存以及未來可能構(gòu)建的網(wǎng)絡(luò)安全體系作出準(zhǔn)確的、科學(xué)的評估分析，對將要進(jìn)行的安全策略的可行性提供保障。

（四）人為黑客攻擊

黑客對網(wǎng)絡(luò)的攻擊，就是前文提到的局域網(wǎng)外部的入侵方式之一。黑客入侵是指以非法目的利用網(wǎng)絡(luò)系統(tǒng)安全的漏洞入侵網(wǎng)絡(luò)中的計(jì)算機(jī)操作系統(tǒng)，并作出破壞網(wǎng)絡(luò)安全性和完整性等的破壞的行為。因?yàn)楹诳腿肭值哪康囊约八龅牟僮鞯奈粗允沟煤诳腿肭志W(wǎng)絡(luò)后所造成的危害較大，且無法預(yù)估，所以黑客的入侵對網(wǎng)絡(luò)安全帶來的威脅要遠(yuǎn)大于病毒對網(wǎng)絡(luò)造成的危害[6]。然而，安全評估系統(tǒng)的不完整以及安全測試工具的更新速度要遠(yuǎn)遠(yuǎn)落后于黑客的入侵速度，所以，安全工具以及安全檢測手段的更新速度無法滿足網(wǎng)絡(luò)的安全需要也是造成計(jì)算機(jī)網(wǎng)絡(luò)安全問題產(chǎn)生的原因。

三、計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)措施及策略

結(jié)合上面對計(jì)算機(jī)網(wǎng)絡(luò)安全問題產(chǎn)生的幾點(diǎn)原因，我們不難從這些起因入手尋找解決網(wǎng)絡(luò)安全問題的對策。從相應(yīng)的法制機(jī)制的建立健全到網(wǎng)絡(luò)用戶安全意識的普及，從計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽的維護(hù)到網(wǎng)絡(luò)防火墻的升級，可以采取的措施可以總結(jié)為以下幾點(diǎn)：

（一）建立健全相應(yīng)的網(wǎng)絡(luò)安全法制機(jī)制

現(xiàn)行的《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》等法律法規(guī)的相繼頒布表明國家政府已經(jīng)開始注重我國網(wǎng)絡(luò)安全的環(huán)境規(guī)范問題，接下來對這些法律法規(guī)的貫徹落實(shí)，和對網(wǎng)絡(luò)安全教育的培訓(xùn)和普及也要積極就緒。

（二）對網(wǎng)絡(luò)病毒的預(yù)防

網(wǎng)絡(luò)開放的環(huán)境很適宜計(jì)算機(jī)病毒的傳播和擴(kuò)散，單機(jī)的病毒預(yù)防產(chǎn)品已經(jīng)難以徹底清除網(wǎng)絡(luò)內(nèi)留存的病毒，必須要結(jié)合計(jì)算機(jī)所在網(wǎng)絡(luò)選取合適的防毒殺毒軟件產(chǎn)品，尤其是軍隊(duì)、學(xué)校、政府機(jī)關(guān)以及企事業(yè)單位的網(wǎng)絡(luò)一定要做好病毒的防治工作，規(guī)范上網(wǎng)，保證計(jì)算機(jī)內(nèi)數(shù)據(jù)信息的安全可靠。

（三）計(jì)算機(jī)及網(wǎng)絡(luò)的安全設(shè)置

在計(jì)算機(jī)網(wǎng)絡(luò)中設(shè)置有效的防火墻，控制信息在網(wǎng)絡(luò)中的流向，能夠有效地控制不安全因素在計(jì)算機(jī)網(wǎng)絡(luò)蔓延的采用Web、BBS等安全檢測系統(tǒng)對網(wǎng)絡(luò)的各類服務(wù)器的安全運(yùn)行進(jìn)行實(shí)施跟蹤和監(jiān)視；截獲互聯(lián)網(wǎng)內(nèi)傳送的數(shù)據(jù)包，并將這些分解后的數(shù)據(jù)包還原為原始的網(wǎng)頁、電郵等內(nèi)容。

（四）設(shè)置網(wǎng)絡(luò)漏洞掃描系統(tǒng)

對網(wǎng)絡(luò)層的安全保障需要首先了解網(wǎng)絡(luò)中安全隱患以及漏洞可能出現(xiàn)的問題集中在哪些位置、哪些環(huán)節(jié)。越是大型網(wǎng)絡(luò)其結(jié)構(gòu)越是復(fù)雜，可能產(chǎn)生問題的結(jié)點(diǎn)越多，一旦出現(xiàn)網(wǎng)絡(luò)安全問題，僅僅依靠網(wǎng)絡(luò)管理員的經(jīng)驗(yàn)尋找漏洞，或是做風(fēng)險(xiǎn)評估，則會由于主觀傾向明顯而導(dǎo)致無法確定問題的癥結(jié)。最佳的解決方案即是尋找一種能夠以掃描的方式及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，對網(wǎng)絡(luò)安全問題做出風(fēng)險(xiǎn)評估，并提出漏洞修補(bǔ)建議的工具。優(yōu)化的系統(tǒng)配置再加上安全工具的補(bǔ)丁彌補(bǔ)最近發(fā)現(xiàn)的安全漏洞或者安全隱患，達(dá)到防微杜漸的效果[7]。

（五）除了消除網(wǎng)絡(luò)中的漏洞，解決網(wǎng)絡(luò)中的身份認(rèn)證問題―IP盜用問題，也是提高網(wǎng)絡(luò)安全程度的必要條件

當(dāng)某IP通過網(wǎng)絡(luò)路由器訪問互聯(lián)網(wǎng)時(shí)，要在路由器設(shè)置檢測IP廣播包的MAC地址是否與路由器內(nèi)存儲的MAC地址相符，以身份檢測的方式對網(wǎng)絡(luò)發(fā)出安全隱患的預(yù)警。

（六）網(wǎng)絡(luò)監(jiān)聽是局域網(wǎng)子網(wǎng)安全的重要保證

來自局域網(wǎng)外部的入侵可以使用防火墻解決，若入侵來自局域網(wǎng)內(nèi)部，則需要局域網(wǎng)自身具備一定的入侵抵抗能力。為局域網(wǎng)子網(wǎng)制定特殊功能的審計(jì)信息文件，為局域網(wǎng)網(wǎng)管分析子網(wǎng)安全運(yùn)行的狀況提供依據(jù)。專用的子網(wǎng)監(jiān)聽功能，通過對子網(wǎng)的長期監(jiān)聽，掌握子網(wǎng)與互聯(lián)網(wǎng)以及子網(wǎng)與終端計(jì)算機(jī)之間的通信情況，也為服務(wù)器的審計(jì)信息提供備份。

參考文獻(xiàn)：

[1]劉征.淺談圖書館計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理問題及其防范措施[J].信息安全與技術(shù),2011,8:48-50

[2]桑磊.計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與防范策略淺析[J].商場現(xiàn)代化,2011,33:87

[3]張?jiān)?淺析計(jì)算機(jī)網(wǎng)絡(luò)信息的安全防范[J].科學(xué)與財(cái)富,2011,11:199

[4]胡燕華,胡梅勇.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的防范策略[J].大科技：科技天地,2011,21:16-17

[5]杜常青.計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)安全及防范對策研究[J].信息安全與技術(shù),2011,11:54-55

篇9

摘要：隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)與人們的工作、學(xué)習(xí)、生活等已密不可分，而網(wǎng)絡(luò)安全也成為了制約網(wǎng)絡(luò)發(fā)展的關(guān)鍵問題之一。本文主要介紹了目前我們面臨的網(wǎng)絡(luò)安全隱患以及應(yīng)采取的防范措施。

關(guān)鍵詞：網(wǎng)絡(luò)安全；計(jì)算機(jī)；防范

互聯(lián)網(wǎng)的產(chǎn)生和發(fā)展改變了人們的生活方式，網(wǎng)上購物、收發(fā)電子郵件、即時(shí)聊天等給人們提供了極大的便利，但同時(shí)也留下了一些隱患，比如說網(wǎng)上銀行中的錢不翼而飛，收到了帶有病毒的E-mail，qq密碼被盜了等，造成了人們生活中的諸多不便，網(wǎng)絡(luò)安全受到威脅。其實(shí)互聯(lián)網(wǎng)影響到了社會的方方面面，小到個(gè)人，大到企業(yè)，甚至整個(gè)國家都與網(wǎng)絡(luò)有著千絲萬縷的聯(lián)系。而網(wǎng)絡(luò)安全又是網(wǎng)絡(luò)技術(shù)發(fā)展的核心問題之一。只有提供了安全的網(wǎng)絡(luò)，才能使互聯(lián)網(wǎng)更好的為人們服務(wù)。因此網(wǎng)絡(luò)安全越來越受到人們的重視，如何采取防范措施解決網(wǎng)絡(luò)安全隱患已成為我們亟待解決的問題。

一、網(wǎng)絡(luò)安全的概念

計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，確保系統(tǒng)正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。具體包括：（1）禁止非授權(quán)訪問；（2）防止冒充合法用戶；（3）保護(hù)數(shù)據(jù)的完整性；（4）保證系統(tǒng)正常運(yùn)行；（5）阻止病毒入侵和惡意攻擊；（6）阻止線路竊聽。

二、常見的網(wǎng)絡(luò)安全隱患

1.安全漏洞。操作系統(tǒng)是大多數(shù)計(jì)算機(jī)中的一個(gè)運(yùn)行環(huán)境，而操作系統(tǒng)中通常都會因?yàn)榧夹g(shù)原因、人為原因等存在一些安全漏洞，既我們常說的bug，比如我們常見的Windows操作系統(tǒng)，已了幾十個(gè)安全漏洞警告。黑客很可能利用這些漏洞向網(wǎng)絡(luò)發(fā)起攻擊，導(dǎo)致某些功能喪失，甚至?xí)`取重要數(shù)據(jù)，威脅網(wǎng)絡(luò)和數(shù)據(jù)的安全。此外，各類應(yīng)用軟件在編寫的過程中可能會出現(xiàn)漏洞。如果編寫人員在程序中加入盜竊功能，那么用戶的信息就會被輕而易舉的盜取。

2.病毒。病毒是目前網(wǎng)絡(luò)最容易遇到的安全問題之一。病毒其實(shí)是一段可執(zhí)行的代碼，由黑客編寫，它們可以破壞計(jì)算機(jī)系統(tǒng)。絕大部分病毒破壞計(jì)算機(jī)的軟件系統(tǒng)，很少造成硬件系統(tǒng)的傷害。它通常偽裝成合法附件通過電子郵件發(fā)送，或通過即時(shí)信息網(wǎng)絡(luò)發(fā)送。

3.木馬。木馬是通過一段特定的程序來控制另一臺計(jì)算機(jī)，使未授權(quán)用戶能夠訪問安裝了特洛伊木馬的系統(tǒng)，可以捕捉密碼和其他個(gè)人信息，最終達(dá)到控制你的計(jì)算機(jī)的目的。

4.人為原因。很多時(shí)候，個(gè)人由于網(wǎng)絡(luò)安全意識薄弱或者錯(cuò)誤的行為對信息造成破壞。尤其是在一些企業(yè)中，員工的信息安全意識相對落后，不能很好的對企業(yè)信息保護(hù)，導(dǎo)致企業(yè)在信息管理中存在著大量的安全盲點(diǎn)和誤區(qū)。

三、網(wǎng)絡(luò)安全防范措施

網(wǎng)絡(luò)安全防范措施是一個(gè)復(fù)雜的過程，我們要從多方面進(jìn)行考慮，不但要采用各種技術(shù)和設(shè)備來保障網(wǎng)絡(luò)安全，還要加強(qiáng)各類計(jì)算機(jī)操作員的安全意識和建立安全規(guī)章制度。

1.網(wǎng)絡(luò)病毒的防范。從網(wǎng)絡(luò)病毒產(chǎn)生至今，病毒的種類越來越多，病毒的危害越來越大，病毒的傳播越來越快，因此應(yīng)安裝殺毒軟件，防止病毒侵害計(jì)算機(jī)。在使用殺毒軟件的過程中要注意及時(shí)開啟殺毒軟件。要定期或不定期更新病毒庫，保證新出現(xiàn)的病毒可以被殺毒軟件檢測及查殺。要定期或不定期查殺計(jì)算機(jī)病毒，如發(fā)現(xiàn)病毒入侵，應(yīng)立即查殺。

2.防火墻。防火墻技術(shù)是用來加強(qiáng)訪問控制，防止外部非授權(quán)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問網(wǎng)絡(luò)資源，保護(hù)操作環(huán)境的特殊網(wǎng)絡(luò)互連設(shè)備。防火墻主要攔截蠕蟲，并提供電子郵件防病毒、反垃圾郵件過濾、內(nèi)容過濾、安全無限接入點(diǎn)選項(xiàng)等服務(wù)。它是一種廣泛采用的安全機(jī)制，防止Internet上的不安全因素進(jìn)入內(nèi)部網(wǎng)絡(luò)。

3.數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)是指將一個(gè)信息（或稱明文，plain text）經(jīng)過加密鑰匙（Encryption key）及加密函數(shù)轉(zhuǎn)換，變成無意義的密文（cipher text），而接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙（Decryption key）還原成明文。它是網(wǎng)絡(luò)安全領(lǐng)域廣泛采用的技術(shù)之一，對于商業(yè)數(shù)據(jù)的保密和企業(yè)信息的維護(hù)上面，起著至關(guān)重要的作用。當(dāng)下最新的數(shù)據(jù)加密技術(shù)采用驅(qū)動層加解密技術(shù)，因?yàn)楦N近于操作系統(tǒng)底層，能夠有效防止黑客工具的攻擊。

4.入侵檢測。入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計(jì)記錄，能識別出任何不希望有的行為，從而達(dá)到限制這些活動，保護(hù)系統(tǒng)安全的目的。

5.系統(tǒng)漏洞檢測。解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患和弱點(diǎn)。面對大型程序的復(fù)雜性和變化，僅僅依靠管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞和風(fēng)險(xiǎn)評估是不現(xiàn)實(shí)的。最好的方法就是使用安全掃描工具來查找漏洞并提出修改建議。另外實(shí)時(shí)給操作系統(tǒng)和軟件打補(bǔ)丁也可以彌補(bǔ)一部分漏洞和隱患。

6.建立規(guī)章制度，提高操作員素質(zhì)。根據(jù)部門或單位的具體情況和技術(shù)條件，制定出切實(shí)可行且全面的網(wǎng)絡(luò)安全規(guī)章制度。同時(shí)要落實(shí)制度的執(zhí)行情況和做好監(jiān)督工作。同時(shí)，提高網(wǎng)絡(luò)工作人員的素質(zhì)，加強(qiáng)網(wǎng)絡(luò)安全管理隊(duì)伍建設(shè)，對工作人員進(jìn)行業(yè)務(wù)技術(shù)培訓(xùn)，降低人為事故發(fā)生的概率。進(jìn)行有關(guān)網(wǎng)絡(luò)方面的法律、法規(guī)教育，加強(qiáng)行業(yè)人員的法律觀念。

四、結(jié)語

網(wǎng)絡(luò)安全問題是現(xiàn)代社會一個(gè)重要的問題，網(wǎng)絡(luò)安全涉及到許多人的切身利益。網(wǎng)絡(luò)安全又是一個(gè)復(fù)雜的問題，它涉及到技術(shù)、管理、法規(guī)制定實(shí)施等許多方面。網(wǎng)絡(luò)安全還是一個(gè)發(fā)展的問題，隨著網(wǎng)絡(luò)攻擊方式的增加，對網(wǎng)絡(luò)安全方法措施的要求也就越來越高?？偠灾?，網(wǎng)絡(luò)安全問題應(yīng)該引起現(xiàn)代人的高度重視，只有保證網(wǎng)絡(luò)安全，才能讓我們真正感受到互聯(lián)網(wǎng)給我們帶來的便捷。

參考文獻(xiàn)：

[1]冒志建.信息網(wǎng)絡(luò)安全及防范技術(shù)探討[J].科技咨詢,2008.

[2]陳力.網(wǎng)絡(luò)信息安全與防護(hù)[J].電腦知識與技術(shù),2008,10.

[3]張龍波.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范[J].科技資訊,2008.

篇10

【論文摘要】 在網(wǎng)絡(luò)攻擊手段日益增多，攻擊頻率日益增高的背景下，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全隱患。需要一種靜態(tài)技術(shù)和動態(tài)技術(shù)相結(jié)合的安全解決方案，即在網(wǎng)絡(luò)中的各個(gè)部分采取多種安全防范技術(shù)來構(gòu)筑企業(yè)網(wǎng)絡(luò)整體安全體系。包括防病毒技術(shù)；防火墻技術(shù)；入侵檢測技術(shù)；網(wǎng)絡(luò)性能監(jiān)控及故障分析技術(shù)；漏洞掃描安全評估技術(shù)；主機(jī)訪問控制等。

信息技術(shù)正以其廣泛的滲透性和無與倫比的先進(jìn)性與傳統(tǒng)產(chǎn)業(yè)結(jié)合，隨著Internet網(wǎng)絡(luò)的飛速發(fā)展，使網(wǎng)絡(luò)的重要性和對社會的影響越來越大。企業(yè)的辦公自動化、生產(chǎn)業(yè)務(wù)系統(tǒng)及電子商務(wù)系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)的依賴性尤其突出，但病毒及黑客對網(wǎng)絡(luò)系統(tǒng)的惡意入侵使企業(yè)的信息網(wǎng)絡(luò)系統(tǒng)面臨著強(qiáng)大的生存壓力，網(wǎng)絡(luò)安全問題變得越來越重要。

企業(yè)網(wǎng)絡(luò)安全主要來自以下幾個(gè)方面：①來自INTERNET的安全問題；②來自外部網(wǎng)絡(luò)的安全威脅；③來自內(nèi)部網(wǎng)絡(luò)的安全威脅。

針對以上安全威脅，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全隱患，本文介紹一種靜態(tài)技術(shù)和動態(tài)技術(shù)相結(jié)合的安全解決方案，即在網(wǎng)絡(luò)中的各個(gè)部分采取多種安全防范技術(shù)來構(gòu)筑企業(yè)網(wǎng)絡(luò)整體安全體系：①防病毒技術(shù)；②防火墻技術(shù)；③入侵檢測技術(shù)；④網(wǎng)絡(luò)性能監(jiān)控及故障分析技術(shù)；⑤漏洞掃描安全評估技術(shù)；⑥主機(jī)訪問控制。

一、防病毒技術(shù)

對于企業(yè)網(wǎng)絡(luò)及網(wǎng)內(nèi)大量的計(jì)算機(jī)，各種病毒更是防不勝防，如宏病毒和變形病毒。徹底清除病毒，必須采用多層的病毒防護(hù)體系。企業(yè)網(wǎng)絡(luò)防病毒系統(tǒng)采用多層的病毒防衛(wèi)體系和層次化的管理結(jié)構(gòu)，即在企業(yè)信息中心設(shè)防病毒控制臺，通過該控制臺控制各二級網(wǎng)絡(luò)中各個(gè)服務(wù)器和工作站的防病毒策略，監(jiān)督整個(gè)網(wǎng)絡(luò)系統(tǒng)的防病毒軟件配置和運(yùn)行情況，并且能夠進(jìn)行相應(yīng)策略的統(tǒng)一調(diào)整和管理：在較大的下屬子公司設(shè)置防病毒服務(wù)器，負(fù)責(zé)防病毒策略的設(shè)置、病毒代碼分發(fā)等工作。其中信息中心控制臺作為中央控制臺負(fù)責(zé)控制各分控制臺的防病毒策略，采集網(wǎng)絡(luò)中所有客戶端防毒軟件的運(yùn)行狀態(tài)和配置參數(shù)，對客戶端實(shí)施分組管理等。管理員可以通過管理員客戶端遠(yuǎn)程登錄到網(wǎng)絡(luò)中的所有管理服務(wù)器上，實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)的管理。根據(jù)需要各個(gè)管理服務(wù)器還可以由專門的區(qū)域管理員管理。管理服務(wù)器負(fù)責(zé)收集網(wǎng)絡(luò)中的客戶端的實(shí)時(shí)信息， 分發(fā)管理員制定的防毒安全策略等。

配套軟件：冠群金辰KILL6.0。KILL采用服務(wù)器/客戶端構(gòu)架，實(shí)時(shí)保護(hù)Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系統(tǒng)的服務(wù)器及Internet網(wǎng)關(guān)服務(wù)器，防止各種引導(dǎo)型病毒、文件型病毒、宏病毒、傳播速度快且破壞性很大的蠕蟲病毒進(jìn)入企業(yè)內(nèi)部網(wǎng)，阻止不懷好意的Java、ActiveX小程序等攻擊企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。它通過全方位的網(wǎng)絡(luò)管理、多種報(bào)警機(jī)制、完整的病毒報(bào)告、支持遠(yuǎn)程服務(wù)器、軟件自動分發(fā)，幫助管理員更好的實(shí)施網(wǎng)絡(luò)防病毒工作。

二、防火墻技術(shù)

防火墻是一種形象的說法, 其實(shí)它是一種由計(jì)算機(jī)硬件和軟件的組合, 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)( scurity gateway), 從而抵御網(wǎng)絡(luò)外部安全威脅，保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入，它是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（局域網(wǎng)或城域網(wǎng)）隔開的屏障，控制客戶機(jī)和真實(shí)服務(wù)器之間的通訊，主要包括以下幾方面的功能：①隔離不信任網(wǎng)段間的直接通訊；②拒絕非法訪問；③系統(tǒng)認(rèn)證；④日志功能。在計(jì)算機(jī)網(wǎng)絡(luò)中設(shè)置防火墻后，可以有效防止非法訪問，保護(hù)重要主機(jī)上的數(shù)據(jù)，提高網(wǎng)絡(luò)的安全性。

配套軟件：NetScreen。NetScreen是唯一把防火墻、負(fù)載均衡及流量控制結(jié)合起來，且提供100M的線速性能的軟硬件相結(jié)合的產(chǎn)品，在Internet出口、撥號接入入口、企業(yè)關(guān)鍵服務(wù)器的前端及與電信、聯(lián)通的連接出口處增設(shè)NetScreen-100f防火墻，可以實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)與外界的安全隔離，保護(hù)企業(yè)的關(guān)鍵信息。

三、入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）是一種為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是對防火墻的必要補(bǔ)充，它可以對系統(tǒng)或網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)檢測，及時(shí)發(fā)現(xiàn)惡意入侵者或識別出對計(jì)算機(jī)的非法訪問行為，并對其進(jìn)行隔離，并能收集可以用來訴訟的犯罪證據(jù)。

配套軟件： eTrust Intrusion Detection(Sessionwall-3)。利用基于網(wǎng)絡(luò)的eTrust Intrusion Detection建立入侵檢測系統(tǒng)來保證企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性。

首先，信息管理中心設(shè)立整個(gè)網(wǎng)絡(luò)監(jiān)控系統(tǒng)的控制中心。通過該控制臺，管理員能夠?qū)ζ渌W(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行監(jiān)控和配置。在該機(jī)器上安裝集中控制的eID中央控制臺模塊、eID日志服務(wù)器模塊和eID日志瀏覽器模塊，使所有eTrust Intrusion Detection監(jiān)控工作站處于集中控制之下，該安全主控臺也被用于集中管理所有的主機(jī)保護(hù)系統(tǒng)軟件。

其次，在Internet出口路由器和防火墻之間部署一套eTrust Intrusion Detection的監(jiān)控工作站，重點(diǎn)解決與Internet的邊界安全問題，在這些工作站上安裝軟件，包括eID基本模塊、eID模塊和日志數(shù)據(jù)庫客戶端。

四、網(wǎng)絡(luò)性能監(jiān)控及故障分析

性能監(jiān)控和故障分析就是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地址為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。該技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面，它自動接收著來自網(wǎng)絡(luò)的各種信息，通過對這些數(shù)據(jù)的分析，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。

配套軟件——NAI Sniffer。NAI Sniffer 是一套功能強(qiáng)大的網(wǎng)絡(luò)故障偵測工具，它可以幫助用戶快速診斷網(wǎng)絡(luò)故障原因，并提出具體的解決辦法。在信息中心安裝這樣的工具，用于對網(wǎng)絡(luò)流量和狀態(tài)進(jìn)行監(jiān)控，而且無論全網(wǎng)任何地方發(fā)生問題時(shí)，都可以利用它及時(shí)診斷并排除故障。

五、網(wǎng)絡(luò)系統(tǒng)的安全評估

網(wǎng)絡(luò)安全性之所以這么低的一個(gè)主要原因就是系統(tǒng)漏洞。譬如管理漏洞、軟件漏洞、結(jié)構(gòu)漏洞、信任漏洞。采用安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合來檢測系統(tǒng)安全漏洞。

網(wǎng)絡(luò)安全漏洞掃描系統(tǒng)通常安裝在一臺與網(wǎng)絡(luò)有連接的主機(jī)上。系統(tǒng)中配有一個(gè)信息庫，其中存放著大量有關(guān)系統(tǒng)安全漏洞和可能的黑客攻擊行為的數(shù)據(jù)。掃描系統(tǒng)根據(jù)這些信息向網(wǎng)絡(luò)上的其他主機(jī)和網(wǎng)絡(luò)設(shè)備發(fā)送數(shù)據(jù)包，觀察被掃描的設(shè)備是否存在與信息庫中記錄的內(nèi)容相匹配的安全漏洞。掃描的內(nèi)容包括主機(jī)操作系統(tǒng)本身、操作系統(tǒng)的配置、防火墻配置、網(wǎng)路設(shè)備配置以及應(yīng)用系統(tǒng)等。

網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面：①速度。在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時(shí)；②網(wǎng)絡(luò)拓?fù)?。通過GUI的圖形界面，可選擇一個(gè)或某些區(qū)域的設(shè)備；③能夠發(fā)現(xiàn)的漏洞數(shù)量；④是否支持可定制的攻擊方法；⑤掃描器應(yīng)該能夠給出清楚的安全漏洞報(bào)告。⑥更新周期。提供該項(xiàng)產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安全漏洞掃描特性升級，并給出相應(yīng)的改進(jìn)建議。

通過網(wǎng)絡(luò)掃描，系統(tǒng)管理員可以及時(shí)發(fā)現(xiàn)網(wǎng)路中存在的安全隱患，并加以必要的修補(bǔ)，從而減小網(wǎng)絡(luò)被攻擊的可能。

配套軟件：Symantec Enterprise Security Manger 5.5。

六、主機(jī)防護(hù)系統(tǒng)

在一個(gè)企業(yè)的網(wǎng)絡(luò)環(huán)境中，大部分信息是以文件、數(shù)據(jù)庫的形式存放在服務(wù)器中的。在信息中心，使用WWW、Mail、文件服務(wù)器、數(shù)據(jù)庫服務(wù)器來對內(nèi)部、外部用戶提供信息。但無論是UNIX還是Windows 9X/NT/2K，都存在著這樣和那樣的安全薄弱環(huán)節(jié)，存放在這些機(jī)器上的關(guān)鍵業(yè)務(wù)數(shù)據(jù)存在著被破壞和竊取的風(fēng)險(xiǎn)。因此，對主機(jī)防護(hù)提出了專門的需求。

配套軟件：CA eTrust Access。eTrust Access Control在操作系統(tǒng)的安全功能之上提供了一個(gè)安全保護(hù)層。通過從核心層截取文件訪問控制，以加強(qiáng)操作系統(tǒng)安全性。它具有完整的用戶認(rèn)證，訪問控制及審計(jì)的功能，采用集中式管理，克服了分布式系統(tǒng)在管理上的許多問題。

通過eTrust Access Control，我們可以集中維護(hù)多臺異構(gòu)平臺的用戶、組合安全策略，以簡化安全管理工作。

通過以上幾種安全措施的實(shí)施，從系統(tǒng)級安全到桌面級安全，從靜態(tài)訪問控制到動態(tài)入侵檢測主要層面：方案覆蓋網(wǎng)絡(luò)安全的事前弱點(diǎn)漏洞分析修正、事中入侵行為監(jiān)控響應(yīng)和事后信息監(jiān)控取證的全過程，從而全面解決企業(yè)的信息安全問題，使企業(yè)網(wǎng)絡(luò)避免來自內(nèi)外部的攻擊，防止病毒對主機(jī)的侵害和在網(wǎng)絡(luò)中的傳播。使整個(gè)網(wǎng)絡(luò)的安全水平有很大程度的提高。

【參考文獻(xiàn)】