网络安全防护方法范文

导语：如何才能写好一篇网络安全防护方法，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

[关键词] 网络安全;安全防护;计算机安全

[中图分类号]TP393.08 [文献标识码] C[文章编号] 1673-7210(2009)07(b)-113-02

随着计算机网络的不断普及应用,全球信息化已成为人类发展的重大趋势,信息技术正在以惊人的速度渗透到研究所的各个领域,研究所的信息化程度也有了显著的提高。由于科研单位是掌握科学信息最前沿的领域,对信息的传递要及时准确。就目前科研院所(如医药生物技术研究所)在计算机领域的主要应用包括:科技文献的检索、科研信息查询及信息交流、传递等。科研人员在自身的领域都是业务能手,但在计算机安全应用上往往忽略或欠缺。因此,要求信息网络能够稳定安全地运行,满足科研工作的需要。

1 计算机信息系统面临的安全威胁

造成网络安全威胁的主要因素有以下几个方面:

1.1 计算机病毒

伴随着计算机技术的推广普及,计算机病毒也在不断地发展演变,其危害越来越大。目前计算机病毒的特点是流行广泛、种类繁多、潜伏期长、破坏力大,对计算机信息系统的安全构成了长期与现实的威胁。

1.2 黑客入侵

通过技术手段,黑客以非法手段侵入计算机信息系统,获取计算机中的秘密信息或有选择地破坏信息的有效性与完整性。这是当前计算机信息系统所面临的最大威胁。1.3 系统漏洞

利用计算机操作系统、信息管理系统、网络系统等的安全漏洞,进行窃密与破坏活动。各类软件系统总是存在一些缺陷或漏洞,有些是疏忽造成的,有些则是软件公司为了自便而设置的,这些漏洞或“后门”一般不为人所知,但这给病毒、黑客入侵提供了可能。据Symantec的调查显示有65%的威胁是由系统漏洞造成的。

1.4 人为因素

由于人们在日常使用计算机时对安全防护的疏忽,特别是对口令的不重视,很容易产生弱口令,很多人用诸如自己的生日、姓名等作为口令,为黑客破解密码提供了机会。在内网中,黑客的口令破解程序更易奏效。

2 提高安全防护工作的办法

当前,科研院所计算机信息系统的安全防护工作,在技术层面上还存有一定缺陷,这需要相关工作人员针对以上可预见的威胁,及时完善安全设备设施、制定相应安全的技术措施,切实加强安全防护与防范,以保障信息系统的安全。当前,主要基于应用的技术防范措施有以下几种:

2.1 防病毒技术

计算机病毒的典型任务是潜伏、复制和破坏,防治的基本任务是发现、解剖和杀灭。目前,比较有效的方法是选用网络防病毒系统,用户端只需做一次系统安装,按时进行病毒库的升级工作,由防病毒软件进行病毒的自动查杀。

2.2 端口封闭技术

由于多数黑客都是通过端口扫描技术入侵用户计算机,因此,关闭不必要的端口,是防止黑客入侵的有效方法和手段。关闭端口的方法有:

2.2.1 基于基本应用,关闭所有不必要的应用端口。具体方法是:右键单击“网上邻居”选“属性”打开右键单击“本地连接”选“属性”打开选“Internet协议(TCP/IP)”选“属性”打开选择“高级”打开选择“筛选”选中“TCP/IP筛选”点击“属性”进入选择界面,选择需要开放的端口。

2.2.2 关闭容易被黑客利用的端口。病毒和黑客通常是通过TCP135、139、445、593、1025 端口和UDP135、137、138、445端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389侵入计算机的。因此,应关闭这些端口以保护计算机。

2.3 及时修补系统漏洞

由于各类软件系统总是存在一些缺陷或漏洞,有些是疏忽造成的缺陷。试想,若住在一个千疮百孔的破屋子里,会感到安全吗?而计算机都是基于各种软件运行,一个千疮百孔的计算机,怎么能够保障信息与网络应用的安全呢?应利用开源软件或杀毒软件自带的漏洞扫描工具及时对计算机系统漏洞安全扫描,可利用开源软件或杀毒软件自带的漏洞扫描工具完成。利用这些工具,找出操作系统中存在的可能被攻击的漏洞。

2.4 访问控制

访问控制是计算机信息系统安全的关键技术,对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户的口令是用户登陆计算机的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,它确定了每个用户的权力限制条件。

当前,随着计算机信息技术的迅猛发展,对计算机信息系统的破坏也日渐猖獗。然而,“魔高一尺,道高一丈”,只有真正警惕起来,牢固树立安全防护意识,加强安全防护,才能够防患于未然,保证计算机系统的安全。

3 结语

科研院所网络的安全问题,不仅是设备、技术的问题,更是管理的问题。对于计算机系统的使用者来说,一定要提高安全意识,加强安全防护的技术手段,注重对网络安全知识的了解和学习,保障计算机信息系统的安全,以满足科研工作的需要。

[参考文献]

[1]王宏伟.网络安全威胁与对策[J].科技创业月刊,2006,19(5):179-180.

[2]夏丹丹,李刚,程梦梦,等.入侵检测系统综述[J].网络安全技术与应用,2007,(1):35-36.

[3]冯素梅.网络安全技术与应用[J].网络防火墙技术分析与选择,2008,(4):21-22.

篇2

随着教育信息化的发展，各个学校大量使用笔记本电脑及各种手持无线设备。而无线局域网(WirelessLAN，WLANl有着传统有线局域网(LAN)所没有的优点，如建网灵活，可扩展性好，支持终端的移动性，支持在特殊场合(无法或很难架设网线)的应用。但由于WLAN是以无线电波作为上网的传输媒介，而无线网络信号可以传播到预期以外的地域，给入侵者有机可乘，特别是使用外接增益天线，可以远程窃听网络中的数据，安全问题堪忧。我校无线局域网已经使用了一段时间，积累了一些经验，因此，下文对校园无线网络的安全防护方法作一下探讨。

二、校园无线网络的安全防护

1.安全规划与配置

(1)规划好天线安装位置

布设校园无线网络时，选择好天线位置，也可使用定向天线，背向学校的方向就不易收到无线信号，学校一侧也可以收到更强的信号。

(2)在没有使用的时候关闭网络

安装时可将无线收发设备的电源与教学楼的电源装于同一线路上，在晚上夜自习结束离开教室后，关闭电源时也同时关闭无线信号。

(3)AP隔离规划

类似于有线网络的VLAN，将所有的无线客户端设备完全与有线网隔离，使之只能访问AP连接的固定网络，相当于无线中的局域网。

(4)配置无线入侵检测系统

用于无线局域网的入侵检测系统，可用来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。

(5)应用VPN技术

无线接入网络VLANfAP和VPN服务器之间的线路)从局域网把VPN服务器和内部网络隔离出来。VPN服务器提供网络的认证和加密，并应用于局域网网络内部，具有较好的扩充、升级性能，可应用于较大规模的校园无线网络。

(6)配置无线控制器+HTAP集中式WLAN管理设备

较新的WLAN网络架构，用户对FITAP的管理是通过无线控制器来完成，更改服务策略设定和安全策略设定只需要登录到指定的无线控制器就可以完成设置，无线控制器会自动把新的配置下发到指定的FITAP。

2.使用中的安全措施

(1)修改管理员密码和用户名

修改无线AP设置中的默认用户名和密码，尽量设置复杂的、较长的密码，最好是字母与数字并存。

(2)启用无线AP的连接密码

升级到WPA2(WiFi Protected Accessl加密协议。将安全设置改为“个人WPA2协议”并且勾选“TKIP+AES”运算法则。最后在“共享密钥”中输入密码，保存修改。

(3)采用身份验证和授权

Windows Server 2003内的IAS，可用来架设Radius服务器。客户端在使用网络之前必须先输入用户名、密码等认证信息，并只有在认证通过时才开放该客户端的网络使用权限。

(4)修改默认系统SSID

改变默认的SSID，可以使你区别于其它未受保护的网络，还可以使你的用户不会因此错连接到其它的网络中，从而就不会将你的数据暴露于黑客的嗅探器下。

(5)禁止SSID网络广播

SSID参数在设备缺省设定中是被AP无线接入点广播出去的，禁止这个广播后，我们必须把SSID名称告诉各位用户，在无线接收设备上设置好才能连接上无线AP。

(6)使用MAC地址过滤与固定IP

这个方法要求登记学校里所有使用无线上网设备的MAC地址，来更新无线AP中的MAC地址列表。这样就只有经过登记的合法设备可以访问你的网络了。如果能关闭DHCP服务，为学校里的每台电脑分配固定的静态IP地址，然后再把这个IP地址与无线终端的MAC地址进行绑定，这样就可以得到双重保险。

参考文献：

[1]李园，王燕鸿，无线网络安全性威胁及应对措施[J].现代电子技术，2007，(5)：91-94

[2]王秋华，章坚武，浅析无线网络实施的安全措施[J].中国科技信息，2005，(17)：18

篇3

关键词：网络安全；隐患；防护

中图分类号：TP393.08

二十一世纪是个计算机普及的时代，人们的生活和工作都离不开计算机网络。但计算机网络给人们带来便捷的同时，也为我们的生活带来了困扰，计算机网络中开始出现信息安全隐患的问题，因而如何建立一个安全健康的网络环境成为了当前急需解决的课题。

1 计算机网络安全环境的目前状况

随着时代的进步和科技的发展，计算机信息产业也紧随时代的脚步，顺应时代的发展，不断的进步。而与计算机信息相关的科学技术也在不断的开发和研究，使计算机信息产业健康的发展。在日常生活中，人们的工作、娱乐、学习等各个方面都与计算机分不开，计算机和网络已成为人们生活里不可分割的重要部分。作为计算机使用者，能享受到网络互连带来的便利，能从网络互连中得到自身所需要的多元化信息。计算机用户即使是呆在家里或是办公室里，也同样能在网络互连中获得世界各地各领域的有效信息。因而，我们说计算机网络是一个可以存在于任何地方，随时随地的为人们提供信息的重要工具。人们可通过网络来了解世界经济、军事、文化、社会等各方面的信息，从而更好地认知世界。但正由于网络的信息比较开放化，使得人们某些重要的信息被不法分子所破坏，给人们带来了极大的困扰。因而，有关网络信息安全的问题已成为人们关注的热点。

2 计算机网络存在的安全隐患

2.1 无意识的人为失误引起的安全隐患

这种安全隐患主要是由于操作员安全配置的不当，造成了计算机出现安全漏洞而产生的。计算机用户的网络安全意识不足，简单的设置用户口令或是轻易将用户口令转借给别人，从而可能造成了信息的外流，给网络安全带来不安定因素。

2.2 不法分子的恶意破坏

计算机网络安全面临的最大威胁便是一些有意识盗取网络信息，破坏网络安全环境的不法分子。这种威胁有两种情况，一种是主动的进行攻击，一种是被动的破坏。主动的攻击是指以任何手段方式有选择性地盗取信息或是损害信息的完整性和有效性。现在存在的黑客便是如此，他们利用自己所掌握的计算机技能，对计算机网络环境进行恶意攻击，从而获取利益。被动供给是指其在保证网络正常工作的前提下，对网络信息进行截获、破译等，从而获得机密信息。这两种恶意攻击的方式，为计算机网络环境带来了极大的威胁，不利于计算机网络的持久发展。

2.3 网络软件带来的安全隐患

计算及用户下载网络软件，无法保证其绝无漏洞存在，因而当网络软件出现漏洞时，就给了黑客攻击的机会。网络上有些网络软件并不是健康安全的绿色软件，而是带有着病毒的网络软件。当用户将其下载安装后，就可能导致计算机信息系统的崩溃，导致信息被破坏，出现安全危机。

3 影响网络安全的因素

3.1 网络资源是人们共同享受的，具有共享性

计算机中的网络资源具有共享性，它是提供给大众共同使用的。从有利的一面来说，网络资源的共享性为社会各领域的人员提供了便利，但从另一方面来说，也为一些有恶意企图的人提供了方便。由于计算机用户不断的增多，导致无法完全隔离外部服务的请求，给不法分子提供了漏洞对网络信息系统进行恶意的攻击，凭借其黑客技术来获取网络数据包，造成用户网络信息的不安全。

3.2 网络操作系统不完善

网络操作系统，作为网络协议和服务实现的载体，常常会出现系统漏洞，从而使得网络硬件设备的接口管理出现问题。网络协议变得越来越复杂，使得其相关程序更新的速度过快和其结构也变得复杂，从而造成了计算机系统存在着各种由协议与服务相关程序带来的漏洞。

3.3 网络系统设计存在问题

网络设施、网络服务协议和计算机操作系统都可能造成网络信息的不安全。而网络设计是对拓扑结构的设计，是用来有效选择各种网络设备功能的，因此，随着网络技术的发展，网络系统设计便需要解决自身的问题，从而来保障网络系统的安全。

4 计算机网络安全防护的对策

4.1 对数据进行备份

目前网络信息环境还不够安全，因而对于计算机内的一些重要信息要进行及时备份，以免遭受破坏时遗失。不仅要对计算机网络内部的数据进行备份，还应对核心设备和线路进行备份。在使用计算机网络浏览网页时，要设置网页防篡改系统，防止网页遭到破坏。

4.2 充分利用防火墙技术

防火墙是在用户进行网络访问时，拦截外部网络对内部网络的破坏，从而保护网络环境的安全。善于利用防火墙技术，设立不同级别的防火墙保护，从而避免遭受黑客的恶意侵害。防火墙技术是保护网络安全的有效手段。它可以按照用户自己设定的信息去检测网络通信并且监视网络的运行状态，及时对危害网络安全的行为采取防护措施。

4.3 强化病毒系统

计算机病毒是造成计算机网络环境不安全的一个重要因素，随着各种病毒的出现，给计算机用户带来了很大的困扰和危害。在这种情况下，建立和强化病毒系统是十分重要的。要定时对病毒库进行病毒更新，从而能及时发现病毒的存在并将其查杀。

4.4 改进漏洞修复技术

计算机系统出现漏洞，就很容易为计算机带来危害。由于计算机用户所使用的软件都存在着漏洞，便为黑客们提供了侵入用户计算机的机会，从而造成计算机用户的困扰。因而，在对软件进行更新时应及时软件漏洞补丁，从而修复软件中的漏洞，巩固计算机的防护功能。

4.5 强化网络安全管理

确保网络环境的安全，必须强化网络安全管理。要建立健全的计算机安全管理制度，提高网络管理工作人员的职业素质，根据企业的规定，进行重要数据的备份工作。

4.6 提高网络技术人员的安全意识

许多网络安全问题，都是一些网络技术十分精湛的人对网络环境进行人为的恶意的攻击，因而加强对网络技术人员的安全教育宣传是十分重要的。对网络技术人员做好安全知识教育，提高其安全意识，定期对网络技术相关人员进行职业教育的培训，从而使其能为网络环境的安全出一份力。

5 结束语

目前，计算机技术不断改进，软件产业不断发展，因而网络安全的发展也会越来越好，网络环境的安全问题也会得到解决。我们可以对其发展趋势进行预测：由于出现的系统越来越多，对网络环境的危害越来越大，使得人们不能不去关注和解决这个问题，从而可推动网络安全相关技术的发展。在网络安全的发展中黑客是一个不可忽视的角色。正是由于有黑客们一次又一次的找到了网络信息中所存在的漏洞并进行攻击，才促使计算机操作系统的技术人员们不断的改进软件完善系统。因而，我们要正确的认识黑客，相信在未来里，这些有着精湛技术的黑客们会参与到计算机网络安全的维护中。在网络越来越发达的这个年代，病毒和黑客技术的关系将越来越紧密。病毒不再只是通过储存介质来传播，也会利用网络这个载体进行扩散。只有不断的改进我网络技术，提高网络安全防范意识，才能使网络信息有一个安全的环境。

参考文献：

[1]陈燕.计算机网络安全现状与防护研究[J].硅谷，2013（20）.

[2]徐晓华.计算机网络存在的风险及安全策略分析[J].计算机光盘软件与应用，2013（14）.

[3]王永刚.计算机网络安全防护技术解析[J].电脑知识与技术，2012（32）.

篇4

一、数字图书馆系统及网络的安全

系统安全包括设备安全、运行安全和网络安全。设备安全是指数字图书馆系统中的计算机、存储设备、网络设备、通信设备、安全设备等物理保证安全，防止人为和自然的损坏；运行安全是指服务器操作系统及数字图书馆软件运行的安全性，防止系统运行软件故障，减少因软件故障导致的系统运行不稳定；网络安全是指服务器之间的协同和信息交换的安全，防止信息泄露，抵御黑客攻击。

数字图书馆系统的运行在一定时间段具有不间断性，并且在部分时间内可能有高访问量，故此在构建系统时必须考虑到要留有一定的冗余。为保障服务器的正常运行，防止恶意攻击，使用防火墙、安装杀毒软件对服务器进行保护是必要的。如果在服务器上启用适当的身份验证并对数据进行必要的加密，则客户端与网站信息交换的安全性会大大提高。

需要特别注意的是：(1)在数字图书馆网络构架中，防火墙的位置和设置至关重要。最佳设置是在服务器边缘设置，设置不当会造成安全漏洞或对网络访问功能产生限制，影响数字图书馆运行效率，此外，关键是服务器的访问要受到防火墙的监控。(2)防病毒服务器要单独设立，安装网络版的反病毒软件，对系统中的各个工作站(终端)及服务器进行统一的监控、管理，可以在全网(段)内实施全网监控、全网查杀，杜绝网络病毒的发生。(3)设有专人对防火墙及网络防病毒服务器负责，对安全日志(访问日志)及运行日志要有专人

审核，发现问题要及时处理。

二、网页的安全

网页是数字图书馆的门面，是与读者交流的窗口，一旦发生非授权人员修改其信息的情况，不仅会造成信息混乱，还会影响图书馆的服务。现在，我国高校数字图书馆网站所使用的多为ASP或CGI、PHP等编程，多使用VB或JAVA等脚本语言，这些脚本中有一些在编制时不严谨或脚本语言先天不足，存在这样或那样的漏洞，使黑客有可乘之机。当前，国外的数字图书馆WEB系统在使用构架时，都把重点转向了C#语言，它一方面提高了脚本执行效率，另一方面还可增加网站的安全性。

三、访问的安全

数字图书馆系统的访问安全是指保证信息通过网络传输的安全性，用户登录认证的安全性。访问安全主要分为内部访问安全和外部访问安全两方面。内部访问是指，工作人员通过内部局域网或通过VPN或拨号连接到内部服务器，并进行相关的操作。外部访问是指读者浏览WEB网页信息、检索图书信息、下载相关资源及使用网站提供的论坛等。

1.工作人员的安全访问。为了保证工作人员通过互联网安全地连接服务器，首先要确保为其建立的是一个安全的信息通道，其次还要保证其身份的真实性。在工作人员通过VPN或远程拨号接入时，我们可使用 RSA RC4的微软点对点加密(Microsoft MPPE)和数据加密标准(DES)加密的 In-ternet协议安全(IPSec)，或者我们使用智能卡(IC)进行身份验证，通过拨号连接设置。如果启用基于 MPPE 的数据加密，必须选择MS-CHAP、MS-CHAP v2或EAP-TLS身份验证方法，这些身份验证方法生成在加密过程中使用的密钥。VPN需根据所连接的服务器类型使用不同的加密方法。如果VPN被配置为连接到PPTP服务器，则使用 MPPE 加密；如果VPN被配置为连接到L2TP服务器，则使用 IPSec 加密；如果VPN被配置为连接到“自动”服务器类型(默认选择)，则首先尝试L2TP及其关联的IPSec加密，然后尝试PPTP及其关联的MPPE加密。使用必要的加密等级，就可以保证员工操作服务器的安全，防止黑客的嗅探(即便获得数据包也很难解密)。在内部局域网(域)，工作人员可以通过存储在Active Directory中的单个登录凭据，使用密码或智能卡登录到网络。经授权的用户可以访问该域和任何信任域中的资源，一般情况下使用Kerberos V5进行身份验证，这样保证其身份的惟一性。工作人员对服务器的操作在其授权内执行，并受到系统的审核监控。

2.读者访问的安全性。作为一种新兴的服务手段，数字图书馆网站要保证读者的信息安全，防止读者信息的泄露。网站通过提供“网站数字证书”供读者验证其身份，以保证访问的真实性，杜绝“网络钓鱼”的发生；读者与网站服务器之间的信息交换通过IPSec或其他通信方法加密，以免信息泄露，保障读者的切身利益。

四、存储数据的安全

高校数字图书馆的数据安全是指数字图书馆中电子信息资源的存储安全和存储读者信息的数据库安全。当前数字图书馆系统大都使用数据库来存储数据，国内小型数字图书馆系统常用的有Access和My-SQL，有些大中型数字图书馆系统还使用Oracle、SQL Server、DB2和Sybase。目前许多数字图书馆系统网站存储着数以TB的电子资源，这些资源是数字图书馆的根本，如果丢失或损坏(被篡改)，将是难以弥补的损失。此外，数字图书馆还存储读者(客户)信息，这些个人信息对读者来说是极其重要且非常敏感的。如果这些信息泄露，会对读者(客户)造成物质和精神上的损害，数字图书馆系统网站难辞其咎。

因此在构建数字图书馆时，就要确保这些数据库系统的安全，合理设置用户及表格权限，在保障正常运行的同时，尽可能地阻止非授权用户对数据库中敏感数据的访问。要对数据库进行异地备份，有条件的话，让Web网站与数据库分开，使用NTFS分区，并启用EFS，并对数据库服务器IP地址加密，增加硬件防火墙，加强对数据的保护。对于基于ASP 的网站服务器，对ODBC的访问要有用户权限限制，并将Web服务器中的配置ODBC的工具进行删除，加密数据库访问配置文件。

现在数字图书馆系统大多都有客户的虚拟账号，存有余额。国内高校数字图书馆系统软件还提供读者账户在线查询的功能，对客户账目查询所提交的信息，几乎没有使用任何加密协议，也没有对查询数据加密。黑客嗅探并更改查询信息后，很容易获得账户信息，进而获得客户的详细资料，造成客户信息的外泄。目前几乎所有的高校图书馆都有用于与读者交流的论坛。这些论坛大多是在修改购得的商业软件后投入使用的，其源代码在互联网上多有流传，软件开发商编程的疏漏及软件存在的技术缺陷，都可能导致读者信息的泄露。

在这种情况下，读者注册后，其相关信息可能在论坛上出现；论坛调用数据库中读者信息的同时，数据泄漏的风险大大增加；数据库连接的透明性也使数据库服务器容易遭受网络黑客的攻击。笔者通过Sniffer软件对国内的多个软件厂商的数字图书馆系统提供的论坛进行嗅探，竟能获得包括用户名、密码、电子邮件在内的多组信息，通过登录账户，竟发现许多虚拟账户中有不少余额。通过嗅探还发现了个别网站数据库服务器的IP地址及数据库的名称，通过下载配置文件，竟得到数据库系统的ODBC用户名和密码，并在构建ODBC的基础上，连接了数据库。虽然没有写的权限，但是黑客能够连接到服务器，那么数据库的数据就有可能会被下载，信息就有可能泄露。

篇5

关键词 五层次；全方位；网络安全；防护

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2013）23-0105-01

Internet起源于美国，最初应用于美国国防部高级研究计划管理局ARPA，用于美国军方信息通信，后来逐渐转为民用。

在信息技术的推动和牵引下，人类社会已由工业时代迈进信息时代。计算机网络对人类经济和生活的冲击是其它信息载体所无法比拟的，它的高速发展和全方位渗透，推动了整个社会的信息化进程。网络的机遇与挑战并存，影响网络安全的因素也日益显露。

1 网络安全的需求

影响网络安全的因素有很多，从宏观角度来分析，影响网络安全的方面有：物理层安全、网络层安全、系统层安全、应用层安全及管理层安全，这也与网络架构中的开放系统互连模型OSI七层结构异曲同工。

1.1 物理层网络安全及需求

网络的物理安全是影响网络安全的基础，可谓是网络安全的第一道防线，它可细分为环境安全、设备安全、存储介质安全和防电磁泄漏等。其中环境安全是最重要的，而防电磁泄漏是最容易被忽视的，这两点在物理安全中应当重点考虑。

1.2 网络层安全及需求

网络层安全总体目标可归纳为“进不来”、“出不去”、“拿不走”、“读不懂”、“跑不掉”。具体要求是利用计算机及通信技术，防范未经授权的人员非法访问网络资源。

非法访问网络的手段有：针对IP地址欺骗的ARP攻击、消耗大量网络资源的拒绝服务攻击、针对数据库堆栈溢出、Web应用的网站篡改等。

1.3 系统层安全及需求

系统安全可分为服务器系统安全和用户主机系统安全。影响安全的因素主要来自系统漏洞补丁、系统的端口及服务、主机密码、系统病毒等。

1.4 应用层安全及需求

应用层安全包括应用软件安全和数据安全。应用软件安全的需求包括及时安装补丁程序，对应用程序设置的身份认证和授权访问控制机制。应用系统要具有数据备份和恢复手段，以防止系统故障而导致数据丢失。

1.5 管理层安全及需求

俗话说“三分技术、七分管理”，网络安全仅用技术手段是做不到全方位的防护的，必须从管理的角度让使用网络的人懂得怎样使用网络。

2 五层全方位网络防护策略

2.1 物理安全防护策略

网络设计与规划之初，要考虑核心机房及数据中心的选址问题。机房要选择在可控区域内，并与非可控区域间隔300米外，在现实条件无法满足的情况下，对机房采取安全屏蔽措施。机房对楼层的选择尽量就低不就高，避免在楼顶。

在单位，重要的政府机关、机要及军政、部队网络要与互联网物理隔离，不同等级的网络之间采用最小耦合。

在物理环境安全中要注重通风、降温及消防。在机房内采用机房专用精密空调，将机房的整体温度控制在21℃±2℃范围内。适度的温度可以延长服务器的使用寿命，减少故障的发生机率。

机房的消防一定要采用气体联动消防，切勿使用水或传统的干粉，这些方法虽然可以灭火，但对设备的影响，却是不可逆的，它的影响远大于灭火本身。

2.2 网络层安全防护策略

网络层安全防护应从网络拓扑结构进行分析，防护的方法是：在网络边界部署抗拒绝服务攻击系统、防火墙、入侵检测系统实时监测网络流量数据，发现违规操作后告警并阻断，形成防火墙与入侵检测系统联动的边界防护安全域。在核心交换机旁路部署安全审计系统、网络分析系统及漏洞扫描系统，利用安全审计系统对全网行为、数据库进行实时审计，通过网络分析系统抓取数据包，准确、及时定位故障，还原数据包行为来取证违规违纪操作。将服务器划分为内、外服务器域，保护不同的应用数据。利用虚拟局域网技术、身份认证准入机制及三层交换的ACL管理控制策略配合使用形成用户的不同域安全防护。

2.3 系统层安全防护策略

对操作系统和数据库系统配置高强度用户名及密码，启用登陆失败处理、传输加密等措施。对用户主机使用8位以上的口令，禁用guest用户、更改administrator用户名。对服务器主机进行访问控制的配置，管理员分级分权限控制，对重要信息（文件、数据库等）进行标记，设定访问控制策略进行访问控制，开启服务器日志审计功能。通过软件防火墙关闭服务器及用户主机端口，利用系统组策略关闭不必要的服务。

2.4 应用层安全防护策略

对重要的应用层系统及软件如WWW、DNS系统进行备份，可制作双机备份系统，一主一备，一旦一个系统出现故障，另一个系统自动启动，实现应用层的无缝实时切换。

数据是网络的核心，因此保护数据也是应用层安全防护的要点。最好的方法是建立异地容灾备份中心，可简称为两地三中心。本地有数据中心及备份中心，异地有容灾中心。数据备份采用光纤SAN网络架构，ISCSI协议与TCP/IP协议不同，两网之间不进行网络通信，保证网络的安全。

2.5 管理层安全

安全的最高境界不是产品，也不是服务，而是管理。没有好的管理思想、严格的管理制度、负责的管理人员和实施到位管理程序，就没有真正的信息安全。对人员的管理和安全制度的制订是否有效，直接影响这一层的安全问题。

管理层安全包括管理制度、管理技术。管理制度须制订一系列的安全管理制度，普及安全教育，包括：用户守则的制订。管理技术包括安全理论知识的培训、对安全产品使用培训、建立安全信息分发系统、及时通报最新安全事件、建立安全论坛、交流安全技术等。

3 结束语

网络安全影响因素万变不离物理层安全、网络层安全、系统层安全、应用层安全、及管理层安全这五类。物理安全是网络安全的基础，网络层安全是网络安全的关键，系统层安全是网络安全的个体体现，应用层安全是网络安全的重点，管理层安全是网络安全长治久安成效的重要保障。总之，网络安全不能脱离这五个方面的任何一个层次而谈，忽略了任何一个方面，网络安全都将会存在短板，“木桶效应”将展现。

参考文献

[1]顾昕.某内部网络安全防护系统的设计与实现[D].四川大学，2006.

[2]曾金繁.局域网网络安全防护工作剖析[J].网络安全技术与应用，2012（02）.

篇6

【关键词】网络工程；网络安全；防护技术

网络为人们自由交流提供了便利的机会，增进了人们日常交流的多样化。无论是商业领域还是政府部门，在新世纪对互联网技术的依赖达到了前所未有的程度。但是与此同时，一些网络上的欺诈现象也时有发生。另外，互联网技术与当前的国家安全部门也有着紧密的联系，因此如何为我国的互联网技术的持续健康发展扫清障碍，对我们的日常生活和对国家安全都有着极其重要的意义。

1影响网络工程安全的主要问题现状

1.1黑客攻击

黑客的含义众所周知，其是某些拥有者极高计算机技术的人才，但是这些人却善于利用网络系统漏洞来破坏相关的网络目标，盗取机密资料。计算机互联网是人类所创造，因此黑客群体也就成了网络安全的最大威胁着，无论是黑客进行的是破坏性攻击还是非破坏性攻击，这种现状是人为的。因此当前研究网络安全，就要提高自身系统的要求。

1.2病毒入侵

计算机病毒之所以也成为病毒，是因为其和生物病毒一样具有传染性。计算机病毒也是随着互联网诞生而产生的一个新事物，病毒编制者通过编写病毒程序在植入电脑，改变计算机的原有程序，盗取信息或者通过传播使其他计算机瘫痪停止工作，其危害程度更是非常严重，例如之前的木马与火焰等，其恐惧与破坏程度非常之高。因此，研究互联网安全防护技术，研究病毒是一个重要的方面。

1.3垃圾信息

当前的社会是智能社会，无论是计算机还是手机，我们在利用各种社交工具、论坛的同时，在接受信息的同时，往往会接受一些不良的或者有害的信息，一些不法之徒，通过网络散发诈骗信息，因此致使受众上当受骗的案例层出不穷，所以拦截垃圾信息，也是互联网安全防护技术不得不重视的一个问题。

1.4IP地址问题

多年以来，IP地址被盗用都是网路安全防护技术上的一个瓶颈，计算机网络若是丢失IP地址被别人盗用，用户就无法连接网络，窃IP者一般都是不明身份的，大多数都是有着不好的用途的。因此，IP地址被盗后会对用户利益产生威胁，其也就成为了用户自身网络安全的障碍。所以解决网络安全问题，就要重视IP地址被盗的问题。

1.5计算机系统问题

当前，计算机运行系统多样化，从前些年的xp到如今的W7与W8，且盗版与试用系统也挺多，对这些系统开发公司不能产生良好的维护，更不能针对性的进行安全技术维护，单纯靠地方软件的维护是很难做到十全十美的，操作系统不稳定，就好比人没有了免疫力，因此解决此问题需要用户自身和开发公司共同努力。另外，一些企业或者政府部门的内部办公系统也存在着安全威胁问题，开发者对软件的开发不够完善，再加之用户自身缺少维护知识，很容易产生上述病毒入侵和黑客攻击等问题。

2加强网络工程安全的相关方法与策略

2.1加强病毒防护

病毒防护是日常互联网应用中的常见常规方法，其也是计算机系统日常维护与安全管理的重要内容，当前计算机病毒类型越来越复杂，因此只是通过简单技术手段来清除是不行的，必须要把技术手段和常规维护相结合才能有效杜绝病毒入侵。计算机用户使用互联网的时候，一定要安装常规杀毒软件。对于计算机技术人员来说，更是要掌握各种杀软的原理，更要定期进行病毒查杀，另外重要文件备份，以防止遭受病毒侵袭丢失，造成损失。

2.2设置信息过滤

预防黑客最有效的方法就是设置防火墙，其也是互联网工程安全的关键防护技术。在外部网络与局域网之间设置网络防火墙，讲局网与外网的地址分开，所有信息的流通都要经过此防火墙，其会过滤掉一下具有攻击性和破坏性的信息程序，可以有效增强内部网络的安全性。另外防火墙可以关闭不使用的端口，使用特定端口流动信息，可以针对性的封锁木马，更可以禁止容易携带病毒的特殊站点的访问。

2.3入侵检测技术的利用强化计算机运行的稳定性

入侵检测技术能够对计算机或者网络中的恶意攻击行为进行有效识别，因此在网络系统受到伤害之前对有害信息进行拦截。这种多层次多角度的安全服务，能够有效降低来自网络对计算机的破坏与威胁。另外，要对计算机网络系统进行及时的升级，修补漏洞，强化计算机运营的稳定性，建设起一套日常的计算机安全防护机制与系统，防火墙、病毒入侵检测、杀软与加密等，配合应用，加强保护。

2.4提高风险防范意识

对付网络安全的威胁，不在于技术抵抗，而在于日常的防护，使得病毒与黑客无路可入，在世比较好的解决方法。数据加密是有效的安全保密手段，也是防范网络安全比较有效的方法。无论是线路加密或者是端口加密，都有自己的针对性，都是针对数据进行有效保护的不错方法。另外，计算机网络用户也要注意日常的常规杀毒与安全防护，提高自身的电脑安全防患意识。对计算机网络比较依赖的部门，一定要加大宣传力度。

3结束语

网络就像是高度公路，高度共享紧密相连，信号就像是交通工具，只有两者相互配合不出差错，才能让计算机网络利用者得到良好体验，才能对社会发展产生好的影响积极的影响。无论是商业、文化军事、还是政府与企业，既然技术不够完善，那就应该将现有技术发挥到极致。解决网络安全的防护问题，是一个持续发展与挑战并存的事情，研究者应该紧跟时代，紧跟技术的发展而发展，这样计算机互联网的安全防护技术，才会日渐成熟。

参考文献

[1]吴志新.网络工程中的安全防护技术的思考[J].电子世界,2014,12:325-326.

[2]陈健,唐彦儒.关于网络工程中的安全防护技术的思考[J].价值工程,2015,15:244-245.

[3]王志雄.网络工程中的安全防护技术[J].计算机光盘软件与应用,2015,03:188-189.

篇7

信息化是社会发展的必然趋势，是经济全球化的内在需求，信息技术的普及应用改变了人们的思维方式和生活习惯，给整个社会带来一场深刻的革命。随着信息化社会建设步伐的不断加快，消防部队的信息化建设也要保持与时俱进，紧跟时代步伐。如今，消防部队计算机网络建设和应用虽然已经取得一定实践成果，但网络建设中的数据管理以及安全防范技术还不够成熟，计算机网络系统仍存在诸多安全隐患。而消防部队是一个程度较高的部门，保证信息系统的安全性至关重要，所以分析消防部队计算机网络安全隐患，并采用针对性安全防护措施，保证系统数据安全，保证系统免受恶意攻击是目前面临的重大问题。

1消防部队计算机网络的安全隐患

（1）人为因素方面存在的安全隐患

计算机网络技术的普及应用给官兵日常工作带来了极大的方便，只要用一台电脑就可以进行日常办公。然而，消防部队官兵网络安全意识淡薄，缺乏安全知识，或打开网页浏览网络信息后不能及时关闭网页，导致重要信息泄露；或数字证书使用后不能及时从电脑上取下，埋下安全隐患；或使用U盘、移动硬盘等移动数码存储介质时没有进行杀毒处理，极易导致系统感染病毒或造成系统信息泄露；或不注意对杀毒软件进行更新、升级，无法保证杀毒软件的监控功能和查杀功能。另外，消防部队官兵大部分不属于计算机专业，接触计算机网络项目少，缺乏网络安全维护知识，对网络安全防护操作不了解，在系统应用过程中容易出现一机两用、信息泄密、感染病毒等现象。消防部队官兵网络系统安全意识淡薄、安全防护知识缺乏为消防部队的网络系统埋下了极大的安全隐患。

（2）网络基础设施建设以及技术方面存在的安全隐患

由于受投入资金的限制，消防部分的网络信息化建设明显不完善，尤其是调度指挥网的建设以及各种专用网的建设均无法满足现实需求，即没有做到专网专机专用，在网络安全隔离方面也没有设置网闸、硬件防火墙等安全防护设施，而且仅仅采用双网卡接入方式实现部分网络的接入，使网络系统的安全性得不到保障。另外，部分网络为了调试方便，几乎在电脑硬件上不设置任何防护措施，使电脑端口呈开发状态，这样极易给一些不法人员以可乘之机吗，对系统实施恶意攻击，最终导致网络系统瘫痪。在网络安全防护技术应用方面，在安全防护技术方面的投入不足，杀毒软件等安全防护软件不能及时更新、升级，系统漏洞较多，容易受到攻击及病毒感染，甚至造成不同网络的病毒交叉感染，最终系统瘫痪。

（3）数据存储存方面存在的安全隐患

随着系统数量的不断增加，数据的存储问题越来越突出，如何保证数据的完整性、安全性使目前要解决的重要问题。导致系统数据丢失的因素有很多，网络硬件故障、系统管理不善或者自然灾害等情况均可以导致数据丢失。消防部队网络系统数据存储存在的安全风险主要体现在以下几个方面：①操作系统和数据库系统的安全防护能力不高，当系统造成恶意攻击时可导致系统崩溃，进而造成数据丢失；②系统的硬件由于兼容性的限制而无法实现数据的有效备份，一旦计算机硬盘发生故障即可导致存储数据丢失；③系统数据缺乏完善的保密机制，导致数据泄露现象频发。

2消防部队计算机网络安全隐患的应对策略

2.1加强硬件防护

硬件是实现信息化建设的基础设施，是解决网络安全问题的关键所在。首先要加强机房建设，健全机房设备，建立高效的、适用的供电系统、UPS系统、防雷系统等，机房交换机设备、路由器设备要保证具有较好的稳定性性和较高的运行速度，以确保网络通信畅通。机房服务器的运行指标要满足一定要求，保证服务器稳定、高效运行。网闸、硬件防火墙的等设备要符合公安要求，以便实现不同网络之间的对接，这对保证网络的安全运行非常重要。另外，在数据存储方面，一定要加强移动存储介质应用的管理，移动存储介质在对接公安网时要进行杀毒，存储介质在确定不含机密文件的情况下才能插入如联网。网络建设中各种硬件设备一旦发生故障要及时维修或者更换。

2.2加强软件防护

消防部队的网络建设需要安装正版的系统软件，一方面保证系统的性能，另一方面保证系统的安全。在数据库的管理和应用中，需要由专业的计算机网络管理人员进行数据库操作，在设计数据库的过程中要考虑到各数据之间的关系，并正确配置，对数据库的用户数量进行一定限制，明确不同用户的职责范围和使用权限，对于一些机密数据要进行加密处理。为了保证数据的完整性和有效性，要做好数据库数据备份工作，制定完善的数据备份策略。严格遵守软件的开发要求，有必要时需要关闭影响网络安全的服务，以确保系统的安全运行。加强网络安全技术应用，安装杀毒软件，设置防火墙，定期检查和修复系统漏洞，同时注意对杀毒软件的更新。目前应用较广泛的计算机网络安全防范技术有加密技术、防火墙、病毒防护技术、入侵检测技术等。①加密技术是进行网络安全防护的核心技术，经过多样的研究和开发，现代加密技术基本已经实现了数据保密性、数据完整性、数据真实性以及数据可控性的完美结合，在当前的网络信息安全管理中发挥着重要作用。②防火墙是阻挡网络外部风险的重要措施，是一种用于加强网络之间安全访问控制，阻止外部网络用户以非法手段进入内部网络，是一种非常有效的安全策略。根据所采用技术的不同，防火墙可分为多个类型，包括过滤性防火墙、型防火墙、监测型防火墙等等。③病毒是网络安全的最大隐患之一，采用有效的防病毒技术可以防止病毒对计算机系统造成破坏。当前的防病毒技术主要有病毒预防技术、病毒检测技术以及病毒消除技术等。

2.3加强管理

（1）建立健全的网络安全防范机制

其一，制定物理隔离相关规定，并加强执行力度，以消除一机两用的现象；其二，规范网络安全管理和维护，局域网内需安装网络版防病毒软件以及其他安全防护软件，并进行及时更新、升级，以便最大程度消除安全隐患。其三，针对网络病毒制定有效的应急预案，以应对大规模的病毒发作，提高系统运行性能和应急能力。

（2）对主机本身进行安全加固

服务器是网络系统中的关键部分，一定因为服务器问题引发安全问题或者导致系统瘫痪将会造成不可估量的损伤，所以网络系统的安全防护必须要重视对服务器的管理，对重点服务器进行安全加固。服务器加固的方法有多种，常见的有增打补丁、或利用安全扫描技术对系统服务器进行扫描分析，以便找出系统中潜在的安全隐患，并及时消除。另外，对重要的、安全级别较高的系统建立应急预案，同时建立数据安全策略。

（3）制定详细的管理措施

为了进一步加强安全管理，消防部队应根据实际需求制定比较详细的管理细节，同时对计算机系统进行安全风险评估，通过对系统的定期分析了解系统各个层次的安全状况以及潜在的风险，信息安全评估内容包括物理安全、网络安全、系统安全、软件安全、数据安全、应用安全、管理安全等等多个方面，其中尤其要重视软件的安全，详细分析各种安全要素，以保证系统软件的安全应用。

（4）制定完善的访问控制策略

有效的控制访问策略是提高系统安全抵抗能力，缺乏系统数据安全性的重要手段。网络系统的安全控制管理一方面要建立认证系统，为确保系统数据信息的安全性必须要加强访问权限管理。另一方面可以充分应用IP限制技术、或者与MAC绑定技术加强系统访问控制管理。

（5）提高全员的安全意识，加强安全知识学习

随着网络系统的普及应用，提高安全意识是保证网络系统安全性的关键所在。其一，必须要从思想上认识到网络安全防护的重要性，杜绝使用未经杀毒处理、或者其他来历不明的软件，不随便查看、阅读、下载网络上来历不明的邮件或者文件；其二，用户应增强安全防护意识，对计算机系统要设置密码，不使用影响系统完全的服务，取消完全共享，并定期对系统和相关软件进行杀毒，增打补丁。其三，对全体官兵进行网络安全知识教育和普及，并落实网络安全责任，培养高素质的计算机网络安全维护人才。

3结论

网络安全防护是一个比较复杂的、需要长期坚持的任务，随着计算机技术的快速发展，计算机病毒、网络攻击等威胁系统安全的技术也不断升级、更新，让人防不慎防范。在网络安全问题逐渐多样化、复杂化的趋势性，网络安全防护也需要从多方面加强防护措施，建立多层次的、立体的防护体系，全方位维护网络系统的安全。

作者：李哲强 单位：呼伦贝尔市公安消防支队司令部

引用：

[1]唐镇.基层消防部队网络和信息安全问题及管理对策[J].网络安全技术与应用，2015.

[2]郭浩.当前消防部队网络信息安全问题及措施分析[J].信息安全与技术，2013.

[3]刘霄.消防部队网络安全问题及对策[J].信息与电脑(理论版)，2014.

篇8

关键词：P2DR模型主动防御技术SCADA调度自动化

随着农网改造的进行，各电力部门的调度自动化系统得到了飞快的发展，除完成SCADA功能外，基本实现了高级的分析功能，如网络拓扑分析、状态估计、潮流计算、安全分析、经济调度等，使电网调度自动化的水平有了很大的提高。调度自动化的应用提高了电网运行的效率，改善了调度运行人员的工作条件，加快了变电站实现无人值守的步伐。目前，电网调度自动化系统已经成为电力企业的"心脏"[1]。正因如此，调度自动化系统对防范病毒和黑客攻击提出了更高的要求，《电网和电厂计算机监控系统及调度数据网络安全防护规定》（中华人民共和国国家经济贸易委员会第30号令）[9]中规定电力监控系统的安全等级高于电力管理信息系统及办公自动化系统。各电力监控系统必须具备可靠性高的自身安全防护设施，不得与安全等级低的系统直接相联。而从目前的调度自动化安全防护技术应用调查结果来看，不少电力部门虽然在调度自动化系统网络中部署了一些网络安全产品，但这些产品没有形成体系，有的只是购买了防病毒软件和防火墙，保障安全的技术单一，尚有许多薄弱环节没有覆盖到，对调度自动化网络安全没有统一长远的规划，网络中有许多安全隐患，个别地方甚至没有考虑到安全防护问题，如调度自动化和配网自动化之间，调度自动化系统和MIS系统之间数据传输的安全性问题等，如何保证调度自动化系统安全稳定运行，防止病毒侵入，已经显得越来越重要。

从电力系统采用的现有安全防护技术方法方面，大部分电力企业的调度自动化系统采用的是被动防御技术，有防火墙技术和入侵检测技术等，而随着网络技术的发展，逐渐暴露出其缺陷。防火墙在保障网络安全方面，对病毒、访问限制、后门威胁和对于内部的黑客攻击等都无法起到作用。入侵检测则有很高的漏报率和误报率[4]。这些都必须要求有更高的技术手段来防范黑客攻击与病毒入侵，本文基于传统安全技术和主动防御技术相结合，依据动态信息安全P2DR模型，考虑到调度自动化系统的实际情况设计了一套安全防护模型，对于提高调度自动化系统防病毒和黑客攻击水平有很好的参考价值。

1威胁调度自动化系统网络安全的技术因素

目前的调度自动化系统网络如iES-500系统[10]、OPEN2000系统等大都是以Windows为操作系统平台，同时又与Internet相连，Internet网络的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCP/IP协议缺乏相应的安全机制，而且Internet最初设计没有考虑安全问题，因此它在安全可靠、服务质量和方便性等方面存在不适应性[3]。此外，随着调度自动化和办公自动化等系统数据交流的不断增大，系统中的安全漏洞或"后门"也不可避免的存在，电力企业内部各系统间的互联互通等需求的发展，使病毒、外界和内部的攻击越来越多，从技术角度进一步加强调度自动化系统的安全防护日显突出。

2基于主动防御新技术的安全防护设计

2.1调度自动化系统与其他系统的接口

由于调度自动化系统自身工作的性质和特点，它主要需要和办公自动化（MIS）系统[6]、配网自动化系统实现信息共享。为了保证电网运行的透明度，企业内部的生产、检修、运行等各部门都必须能够从办公自动化系统中了解电网运行情况，因此调度自动化系统自身设有Web服务器，以实现数据共享。调度自动化系统和配网自动化系统之间由于涉及到需要同时控制变电站的10kV出线开关，两者之间需要进行信息交换，而配网自动化系统运行情况需要通过其Web服务器公布于众[5]，同时由于配网自动化系统本身的安全性要求，考虑到投资问题，可以把它的安全防护和调度自动化一起考虑进行设计。

2.2主动防御技术类型

目前主动防御新技术有两种。一种是陷阱技术，它包括蜜罐技术（Honeypot）和蜜网技术(Honeynet)。蜜罐技术是设置一个包含漏洞的诱骗系统，通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标[2]。蜜罐的作用是为外界提供虚假的服务，拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。蜜罐根据设计目的分为产品型和研究型。目前已有许多商用的蜜罐产品，如BOF是由MarcusRanum和NFR公司开发的一种用来监控BackOffice的工具。Specter是一种商业化的低交互蜜罐，类似于BOF，不过它可以模拟的服务和功能范围更加广泛。蜜网技术是最为著名的公开蜜罐项目[7],它是一个专门设计来让人"攻陷"的网络，主要用来分析入侵者的一切信息、使用的工具、策略及目的等。

另一种技术是取证技术，它包括静态取证技术和动态取证技术。静态取证技术是在已经遭受入侵的情况下，运用各种技术手段进行分析取证工作。现在普遍采用的正是这种静态取证方法，在入侵后对数据进行确认、提取、分析，抽取出有效证据，基于此思想的工具有数据克隆工具、数据分析工具和数据恢复工具。目前已经有专门用于静态取证的工具，如GuidanceSoftware的Encase,它运行时能建立一个独立的硬盘镜像，而它的FastBloc工具则能从物理层组织操作系统向硬盘写数据。动态取证技术是计算机取证的发展趋势，它是在受保护的计算机上事先安装上，当攻击者入侵时，对系统的操作及文件的修改、删除、复制、传送等行为，系统和会产生相应的日志文件加以记录。利用文件系统的特征，结合相关工具，尽可能真实的恢复这些文件信息，这些日志文件传到取证机上加以备份保存用以作为入侵证据。目前的动态取证产品国外开发研制的较多，价格昂贵，国内部分企业也开发了一些类似产品。

2.3调度自动化系统安全模型

调度自动化安全系统防护的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架，P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型，它主要包含4个部分：安全策略（Policy）、防护（Protection）、检测（Detection）和响应（Response）[8]。模型体系框架如图1所示。

在P2DR模型中，策略是模型的核心，它意味着网络安全需要达到的目标，是针对网络的实际情况，在网络管理的整个过程中具体对各种网络安全措施进行取舍，是在一定条件下对成本和效率的平衡[3]。防护通常采用传统的静态安全技术及方法来实现，主要有防火墙、加密和认证等方法。检测是动态响应的依据，通过不断的检测和监控，发现新的威胁和弱点。响应是在安全系统中解决安全潜在性的最有效的方法，它在安全系统中占有最重要的地位。

2.4调度自动化系统的安全防御系统设计

调度自动化以P2DR模型为基础，合理利用主动防御技术和被动防御技术来构建动态安全防御体系，结合调度自动化系统的实际运行情况，其安全防御体系模型的物理架构如图2所示。

防护是调度自动化系统安全防护的前沿，主要由传统的静态安全技术防火墙和陷阱机实现。在调度自动化系统、配网自动化系统和公司信息网络之间安置防火墙监视限制进出网络的数据包，防范对内及内对外的非法访问。陷阱机隐藏在防火墙后面，制造一个被入侵的网络环境诱导入侵，引开黑客对调度自动化Web服务器的攻击，从而提高网络的防护能力。

检测是调度自动化安全防护系统主动防御的核心，主要由IDS、漏洞扫描系统、陷阱机和取证系统共同实现，包括异常检测、模式发现和漏洞发现。IDS对来自外界的流量进行检测，主要用于模式发现及告警。漏洞扫描系统对调度自动化系统、配网自动化主机端口的已知漏洞进行扫描，找出漏洞或没有打补丁的主机，以便做出相应的补救措施。陷阱机是设置的蜜罐系统，其日志记录了网络入侵行为，因此不但充当了防护系统，实际上又起到了第二重检测作用。取证分析系统通过事后分析可以检测并发现病毒和新的黑客攻击方法和工具以及新的系统漏洞。响应包括两个方面，其一是取证机完整记录了网络数据和日志数据，为攻击发生系统遭破坏后提出诉讼提供了证据支持。另一方面是根据检测结果利用各种安全措施及时修补调度自动化系统的漏洞和系统升级。

综上所述，基于P2DR模型设计的调度自动化安全防护系统有以下特点和优越性：

·在整个调度自动化系统的运行过程中进行主动防御，具有双重防护与多重检测响应功能；

·企业内部和外部兼防，可以以法律武器来威慑入侵行为，并追究经济责任。

·形成了以调度自动化网络安全策略为核心的防护、检测和响应相互促进以及循环递进的、动态的安全防御体系。

3结论

调度自动化系统的安全防护是一个动态发展的过程，本次设计的安全防护模型是采用主动防御技术和被动防御技术相结合，在P2DR模型基础上进行的设计，使调度自动化系统安全防御在遭受攻击的时候进行主动防御，增强了系统安全性。但调度自动化系统安全防护并不是纯粹的技术，仅依赖安全产品的堆积来应对迅速发展变化的攻击手段是不能持续有效的。调度自动化系统安全防护的主动防御技术不能完全取代其他安全机制，尤其是管理规章制度的严格执行等必须长抓不懈。

参考文献：

[1]梁国文.县级电网调度自动化系统实现的功能.农村电气化,2004,(12):33~34.

[2]丁杰,高会生,俞晓雯.主动防御新技术及其在电力信息网络安全中的应用.电力系统通信,2004,(8):42~45.

[3]赵阳.电力企业网的安全及对策.电力信息化,2004,(12):26~28.

[4]阮晓迅,等.计算机病毒的通用防护技术.电气自动化,1998,(2):53~54.

[5]郝印涛,等.配网管理与调度间的信息交换.农村电气化,2004,(10):13~14.

[6]韩兰波.县级供电企业管理信息系统(MIS)的应用.农村电气化,2004,(12):33~34.

[7]HoneyntProject.KnowYourEnemy:Hnoeynet[DB/OL]..

[8]戴云,范平志.入侵检测系统研究综述[J].计算机工程与应用,2002,38(4):17~19.

篇9

关键词：通信网络；安全隐患；管理体系；安全与防护

中图分类号：TN918.91文献标识码：A文章编号：1007-9599 (2012) 02-0000-02

Thinking of Communication Network Security and Protection

Li Jian

(Qinhuangdao Branch of China Tietong Group Ltd.,Qinhuangdao066100,China)

Abstract:The rapid development of information technology naturally led to the rapid rise of the communications network,both communications network to provide rare opportunities for development,but also inevitable to the communications network to bring some security risks.This paper discusses the security threats that currently exist on the communication network,in-depth thinking on the communication network security and protection,protection strategies to improve the security of network communications.

Keywords:Communication network;Security risks;Management system;Safety and Protection

一、前言

计算机网络包括两个部分：计算机和通信网络，计算机是信源或者终端，通信网络则是进行数据传输和交换，它最终实现计算机网络的资源共享。随着信息技术的不断更新，我国通信网络产业也在快速发展。目前，国内的通信网络系统覆盖地域广阔，设备复杂多样，针对各种特定类型的通信设备，很多的网管系统基本实现了使用专用的接口协议。

信息技术的快速发展，自然而然就带动了通信网络的快速发展，随着国民经济信息化进程的加快，使得信息技术得到普及，而各行业通信网络的依赖程度越来越高。通常，机遇与挑战是并存的，一方面给通信网络带来了发展机遇；另一方面又不可避免的给通信网络的安全造成一定的挑战。当前，通信网络安全问题日渐凸显，如病毒，黑客等等窃取信息的方式也不计其数，所以如何应对这些通信网络出现的安全问题，也就是保证网络通信的安全性是目前通信工程需要急需解决的难题。

为了维护网络通信的信息系统的正常工作，预防网络安全事故以保证通信网络的安全，防范猖狂的网络犯罪。需要制定相关的网络通信信息系统的安全防护策略。

二、通信网络安全防护工作现状

通信网络安全防护包括：网络安全的等级保护、网络安全的风险评估和网络安全的灾难备份等，这些都以事前防护和准备为主的，最终通过技术和管理落实和改进通信网络安全的维护和管理，并且与网络安全的重要性及潜在的威胁相适应，以提高通信网络的安全水平，降低重大网络安全事件的发生概率，以“积极防御、综合防范”为指导方针，以“预防为主”的原则，关键是进行事前预防保护。

通信网络安全是根据网络特性，通过相应的安全技术和措施以防止通信网络中泄露、破坏或更改了操作系统、软件、硬件和数据等资源，预防非法用户窃取服务，以确保通信网络的正常运行；网络通信安全包括设备安全、用户识别安全以及数据传输安全等内容。

国内外对通信网络安全的研究一直在进行，国外很早就进行信息网络安全研究，研究全面而广泛。上个世纪70年代美国在网络安全技术基础理论研究成果“计算机保密模型”的基础上，制定了“可信计算机系统安全评估准则”（TCSEC），之后又制定了网络系统数据库方面和系列安全解释，形成了安全信息体系结构的准则[3]。安全协议对信息安全而言是必不可少的，包括基于状态机、代数工具和模态逻辑三种分析方法。而今密码学成为网络信息安全的重要技术，近年来各个国家和地区相继举办信息学及安全密码学术会议。当前研究的热点是密钥密码，而电子商务的安全性也受到极大关注，目前处于研究和发展的阶段，加快了密钥管理及论证理论的研究步伐。国内的信息网络安全研究经历了两个阶段：通信保密和数据保护。目前主要从安全体系结构、现代密码结论、安全协议、信息分析和监控等方面提出的系统完整和协同的通信网络安全与防护的方案。2009年开始，国家的信息化部及工业计划每年对通信网络进行安全等级保护、通信风险评估，网络通信的灾难备份等相关防护工作。

三、探讨通信网络中的安全隐患

随着通信网络的一体化和互联互通，以及共享资源步伐的加快，通信的安全和保密问题就显得非常重要。

（一）关于安全管理体系建设

首先，网络安全机构不够健全，网络安全维护队伍还不充实。目前，非传统安全问题不断增加，而企业在进行人员素质培养、人员的配备及机构的设置未能很好地适应管理工作。其次，未能很好的统筹网络安全管理工作，整体性不足。虽然在业务发展中，各运营企业相继建设了不少的网络和系统，但没有统筹谋划和监督管理，缺乏统一标准，运营企业各自管理网络和系统的安全，因此，必然存在安全隐患。再者，由于缺乏安全技术手段。网络的应急处置、预警监控、安全防护和审计等技术水平不高。最后，网络安全制度未完善，未能涉及每个环节。安全管理主要集中在运行维护环节而忽略其他环节，最近几年企业建设了不少IT系统，但上线前未对设备和系统进行彻底的安全检测，同样带来安全隐患。

（二）关于适应形势的发展

运营企业未能深入认识到通信网络的基础性以及全局性作用，随着通信网络移动化、IP化、智能化的发展，网络安全观念相对滞后，传统的网络通信安全意识仍停在设备可靠性等物理安全层面上，而对网络攻击、非法远程控制和病毒传播等威胁意识仍然不够，对通信网络安全防护的投入很少，对网络安全存在侥幸心理。

（三）关于规范第三方服务的管理

运营企业在信息和网络系统的安全的保障、规划的设计、建设集成和网络的运行维护等环节基本都依赖第三方服务。但是由于缺乏规程规范和制度，运营企业对第三方服务的管控力度不够，致使服务过程存在较大风险。

（四）防护措施落实不到位

目前，网络通信防护内容主要是防病毒、防攻击、防入侵。但是，防护措施落实不够，未能防范和抵御网络系统的内外部安全风险，DDOS攻击堵塞城域网和IDC的事件时有发生；未能及时升级软件，漏洞管理不及时，被保护主机或系统会因为漏洞遭到黑客的攻击；如果没做好不同安全域之间和内外网隔离及其访问控制工作，就可能导致不同系统间的非授权访问；服务器或者系统开放不必要的服务和端口就会给黑客有机可乘，通过远程攻击和入侵；没有启用安全日志或者没做好日志审计工作就会对故障的排查及处理，安全事件的还原工作带来困难。

（五）关于网络的安全意识

目前，运营企业的网络和系统本身安全性不足，存在很多安全漏洞，而运营企业本身的内部网络防范措施不足，太过依赖边界安全，因此存在严重的安全隐患。

（六）关于远程维护管控措施

有的远程维护管理网络平台本身就有漏洞，而远程维护管理控制的审批的管理、平台的管理、日志的审计以及实时的监控等措施也不足，因此业务系统同时存在内外部的安全隐患。

（七）灾难备份工作不够完善

随着网络的集中管控程度的提高，在部分网络单元中，还存在同管道、单节点、单路由等问题。

四、关于网络安全的防护

（一）关于网络安全维护的新情况和新问题

监管部门应该加强管理及随时研究新技术带来的安全问题，为提高工作的有效性和主动性，应及时提出相关的措施。

（二）关于安全防护的检查力度

在传统的安全防护检查的基础上，需要制订和完善安全防护标准以针对非传统安全的薄弱环节和突出问题，深入开展风险和安全评测。

（三）贯彻落实各项制度标准

电信监管部门应该积极组织开展《互联网网络安全应急预案》、《通信网络安全防护管理办法》等制度的学习宣传和贯彻，落实安全防护工作。

（四）对应急事件的处理

随着网络技术的发展，网络安全事件发生频率将越来越高，电信监管部门应及时通报网络安全信息，重视重大的网络安全事件。

（五）关于主机、操作系统、数据库配置方案

基于Intranet体系结构的运营企业的网络系统，同时兼备广域网和局域网的特性，是一个范围覆盖广且充分利用了Intranet技术的分布式的计算机网络，面临的安全隐患很多，应安装核心防护产品在需要保护的核心服务器上，部署中央管理控制台在中央安全管理平台上，以对全部的核心防护产品进行统一管理。

（六）关于网络的安全技术水平

监管部门在网络安全工作中应重视技术手段建设，随时关注通信网络的发展趋势，加强技术研发，提高运营企业的抗击能力。一直以来，运营企业的安身立命需要保证通信网络的安全稳定运行。随着信息通信技术的飞速发展，通信网络所涉及的各种业务已经渗透到国家社会、政治及生活的各个方面，其地位和作用日趋重要。在新的发展形势下，网络的安全稳定已经成为通信运营企业所担负的社会责任。

五、结语

当今是信息时代，掌握了信息就掌握了主动权，不管是经济的发展还是战争的对抗，信息就是决定一切的先决条件。整个社会都在努力追赶信息时代的步伐，为的就是及时追随时代的步伐，走在信息时代的最前沿才能掌握发言权。

参考文献：

[1]杨朝军.关于计算机通信网络安全与防护策略的几点思考[J].应用科学

[2]丁全文.浅谈通信网络的安全与防护[J].信息与电脑,2011,5

[3]冯登国.国内外信息安全研究现状及其发展趋势[J].网络安全技术与应用,2001,1:8-13

[4]姜滨,于湛.通信网络安全与防护[J].甘肃科技,2006,12,22

篇10

【关键词】 网络工程 安全防护 主要技术

网络传播需要具有完整性和严密性，但是也避免不了大量的漏洞。网络设计问题和操作问题都会给网络安全带来影响。我国计算机发展迅速，计算机涉及的领域也不断的增多。面对安全隐患，应采取必要的措施，防火墙技术、括密码技术以及各类杀毒技术都是网络安全方式的重要手段，我们对其进行必要的分析。

一、计算机网络安全问题

1、计算机自身设计问题。计算机信息具有共享性，在计算机发展过程中，人们通过计算机完成了一系列的活印5是计算机的设计存在一定的漏洞，如当下流行的网络支付功能过程中，一些非正规的网络就会存在安全风险。人们在使用各种购物软件购物的过程中，也需要留个人信息，很难避免丢失和通过连接破坏个人电脑，盗取个人钱财。计算机的自由性、开放性决定了其强大的功能，但是技术的更新始终落后于多样化的需求，在这一过程中，病毒的变化速度极快，导致计算机数据库的更新速度手段影响，安全威胁巨大。

2、网络黑客攻击。计算机通常运行在复杂的环境中，黑客攻击是复杂网络环境中的一种。黑客技术对网络的影响巨大，黑客可以通过一些技术手段获得用户信息，了解客户状态，并且盗取用户的钱财。黑客在进行网络攻击时，一般分为两类，一类是具有强大破坏性的，一种是非破坏性的。前者主要是为了获取用户信息，后者主要是为了破坏电脑的正常运行。日常生活中，非破坏性的黑客攻击大量存在，事实上，这类网络攻击带来的很可能是计算机系统瘫痪，甚至是无法修复，因此防止网络黑客攻击十分必要。

3、垃圾软件泛滥。我国计算机技术已经十分发达，可以为用户提供娱乐、购物游戏等功能，十分方便。但是计算机在设计过程中，漏洞依然存在。为了避免计算机漏洞，应从使用者入手，加强使用者的安全防范意识，使其正确进行网络操作。认识到网络存在的问题，如计结构不完善，系统运行过程中硬件设施性能不足，程序设计漏洞明显等。多样化的计算机病毒就是这一时期的主要特征，计算机安全隐患依然存在。

二、网络工程安全防护的主要技术

网络安全已经成为现代社会主要问题。我国已经从法律手段进行干预，严厉打击计算机网络攻击。并且从技术上进行优化，提高计算机安全防护技术。具体的优化过程包括以下几个方面。

2.1提高网络安全管理能力

阻止病毒入侵是保证计算机网络安全运行的主要手段，而消除网络影响因素则要通过强化计算机自身管理水平来实现，要求严格按照国家的规定进行操作。并且对于企业用户而言，要建立完善的内部管理制度，将计算机管理的原则细化，规范员工的使用，确保计算机的安全。另外，对网络运行安全而言，包括不同的等级，并且特点不同，人们对于网络安全意识差是造成这一问题的重要原因，因此要注重个人安全防护能力和防护意识的提高。还要对计算机攻击进行定位，采用行政、刑事手段强势干预计算机攻击，严惩不贷。

2.2加强网络防范，关注并去除安全隐患

计算机发展迅速，技术更新快，应用领域广泛。但是计算机病毒也在这一过程中能够快速发展。当下，计算机植入病毒已经给人们的生活带来了极大的麻烦。包括财产和名誉上的措施，此种现象屡禁不止。只能从自我防护能力上入手，进一步优化防火墙技术、计算机杀毒技术，保证其运行环境安全、稳定。及时修复计算机漏洞，不给不法分子入侵机会。设计人员和开发人员还应掌握具体的网络安全防护知识，系统操作规则和数据库运行特征等，加深对计算机数据库的分析，及时发现计算机的潜在风险并进行修补。采用合理的补救措施来降低网络风险，提高网络的安全性能。目前，网络安全隐患的修复方法主要用防火墙、360、瑞星和等。另外，秘钥设置也是当下主要安全防护方式之一。

2.3杜绝垃圾邮件

计算机病毒通常是一些垃圾邮件作为连接，因此对计算机网络的信息鉴别十分重要，要求使用者拒绝接收网络邮件。但是现代社会，垃圾邮件的形式越来越多，使用者必须要积极应对，才能正确区分垃圾软件与信息。同时要保护邮箱地址，不要轻易泄露邮箱密码。总之，只有采取必要的手段，加强防护意识才能确保网络运行的安全。

总结：网络的发展是现代技术的产物，网络的强大功能为人们提供了丰富的资源和服务。加强计算机安全防范不仅是保护个人信息和财产的需求，也是我国综合国力的一种象征。因此，要严厉打击网络攻击。加强安全防护能力，并且要求网络操作者具有防范意识，正确使用网络，杜绝垃圾网页和垃圾邮件，确保网络运行安全。总之，网络通信的安全从从管理上和技术上入手，全面的确保网络通信的安全，发挥其在各个领域的强大功能。

参 考 文 献