如何加强网络安全防范范文

导语：如何才能写好一篇如何加强网络安全防范，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

[关键词]计算机；网络安全；防范技术

中图分类号：G72 文献标识码：A 文章编号：1009-914X（2016）02-0025-01

一、计算机安全的含义

从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

二、影响计算机网络安全的主要因素

1. 网络系统在稳定性和可扩充性方面存在 问题 。由于设计的系统不规范、不合理以及缺乏安全性考虑，因而使其受到影响。

2. 网络硬件的配置不协调。一是文件服务器。它是网络的中枢，其运行稳定性、功能完善性直接影响网络系统的质量。二是网卡用工作站选配不当导致网络不稳定。

3. 缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限，忽视了这些权限可能会被其他人员滥用。

4. 访问控制配置的复杂性，容易导致配置错误，从而给他人以可乘之机。

5. 管理制度不健全，网络管理、维护任其 自然 。

三、网络攻击和入侵的主要途径

网络入侵是指网络攻击者通过非法的手段（如破译口令、电子欺骗等）获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗。

口令是计算机系统抵御入侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。

IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中，入侵者假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起淹没攻击，使被信任的主机处于瘫痪状态。当主机正在进行远程服务时，网络入侵者最容易获得目标网络的信任关系，从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址，它们之间互相信任。由于这种信任关系，这些计算机彼此可以不进行地址的认证而执行远程操作。

域名系统（DNS）是一种用于TCP/IP 应用 程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常， 网络 用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53端口监听，并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名―IP地址映射表时，DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而，当一个客户机请求查询时，用户只能得到这个伪造的地址，该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器，所以一个被破坏的DNS服务器可以将客户引导到非法的服务器，也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。

四、计算机网络安全的防范措施

4.1 网络系统结构设计合理与否是网络安全运行的关键

全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务。应在认真研究的基础上下大气力抓好网络运行质量的设计方案。在总体设计时要注意以下几个问题：由于局域网采用的是以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅被两个节点的网卡所接收，同时也被处在同一以太网上的任何一个节点的网卡所截取。因此，只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息。

4.2 强化计算机管理是网络系统安全的保证

1、加强设施管理，确保计算机网络系统实体安全。建立健全安全管理制度，防止非法用户进入计算机控制室和各种非法行为的发生；注重在保护计算机系统、网络服务器、打印机等外部设备和能信链路上狠下功夫，并不定期的对运行环境条件（温度、湿度、清洁度、三防措施、供电接头、志线及设备）进行检查、测试和维护；着力改善抑制和防止电磁泄漏的能力，确保计算机系统有一个良好的电磁兼容的工作环境。

2、强化访问控制，力促计算机网络系统运行正常。访问控制是网络安全防范和保护的主要措施，它的任务是保证网络资源不被非法用户使用和非常访问，是网络安全最重要的核心策略之一。

第一，建立入网访问功能模块。入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

第二，建立网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。可以根据访问权限将用户分为3种类型：特殊用户（系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。

第三，建立属性安全服务模块。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络属性可以控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件的查看、执行、隐含、共享及系统属性等，还可以保护重要的目录和文件，防止用户对目录和文件的误删除、执行修改、显示等。

第四，建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台；设置服务器登录时间限制、非法访问者检测和关闭的时间间隔；安装非法防问设备等。安装非法防问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障，也是控制进、出两个方向通信的门槛。目前的防火墙有3种类型：一是双重宿主主机体系结构的防火墙；二是被屏蔽主机体系结构的防火墙；三是被屏蔽主机体系结构的防火墙。

第五，建立档案信息加密制度。保密性是计算机系统安全的一个重要方面，主要是利用密码信息对加密数据进行处理，防止数据非法泄漏。利用计算机进行数据处理可大大提高工作效率，但在保密信息的收集、处理、使用、传输同时，也增加了泄密的可能性。因此对要传输的信息和存储在各种介质上的数据按密级进行加密是行之有效的保护措施之一。

第六，建立网络智能型日志系统。日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中，日志将记录自某用户登录时起，到其退出系统时止，这所执行的所有操作，包括登录失败操作，对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户保执行操作的机器IP地址 操作类型 操作对象及操作执行时间等，以备日后审计核查之用。

第七，建立完善的备份及恢复机制。为了防止存储设备的异常损坏，可采用由热插拔SCSI硬盘所组成的磁盘容错阵列，以RAID5的方式进行系统的实时热备份。同时，建立强大的数据库触发器和恢复重要数据的操作以及更新任务，确保在任何情况下使重要数据均能最大限度地得到恢复。

参考文献

篇2

关键词 计算机应用 网络安全 防范意识

中图分类号：TP393.08 文献标识码：A

在当今世界，计算机越来越普及，人们越来越依赖于网络，它提高了人们的生活水平，享受着丰富的物质文明，但是，计算机安全问题不可小觑，它不仅泄露个人隐私，而且还造成重大经济损失，必须引起人们的重视。

1影响计算机网络安全的因素

计算机的运用必然有其安全隐患存在，影响其安全的因素有很多，主要表现为以下几种：

1.1计算机网络运行环境

计算机网络运行的环境有很多，比如机房的环境，比如空气湿度过高、温度较高引起网络设备损坏，计算机排列不合理造成用户碰撞等，这些网络运行环境都会影响网络安全。

1.2计算机网络设备

计算机设备是计算机运行的前提条件，它的运行情况直接影响网络安全，比如路由器、交换机等等。如果计算机网络结构不合理、计算机运行中的电磁干扰、服务器设备的安全性能得不到保障等，这些部件的运行直接关系计算机网络安全状况。

1.3计算机软件的问题

计算机的运行不仅需要相关的硬件设施，同样需要计算机软件的支持。因此，计算机软件同样影响着网络安全。比如计算机操作系统出现的漏洞问题，病毒就有了可乘之机。此外，操作系统的体系结构不完整同样会导致计算机出现故障，还有计算机里的相关应用软件，都会成为不法分子攻击电脑的入侵路径。

2计算机安全防范的对策

网络系统影响着计算机应用中的网络安全，因此，我们应该处理好网络系统的运行，具体对策如下：

2.1加强安全管理工作

计算机的运行是由人来操作的，一些因为操作失误导致的网络隐患问题经常存在，因此，必须加强计算机管理人员的日常管理工作。这里可以从两个方面来着手：第一，建立一个网络管理的长效机制，严格要求相关操作人员进行规范化的操作，并进行实施监督，提高实际操作水平；第二，做好安全防范宣传工作。意识是指导人的行为的，只有提高了安全管理和防范的意识，才会在平常工作中做好每一项工作；第三，制定一套应急处理方案，对于平常的网络管理工作提高警觉，针对平常的安全隐患制定一套应急方案，确保出现问题的时候能及时有效的解决。

2.2保障计算机系统的安全

随着计算机技术的发展与进步，给人类生产生活都带来了极大的方便，但是随之也出现了网络安全问题，比如各种各样的病毒、黑客等等。因此，要想保障计算机应用中的网络安全，必须要加大计算机病毒的预防和处理能力，在做好计算机病毒防护工作时，应该注意以下几点：第一，充分利用网络安全软件保护计算机终端安全，比如金山毒霸、电脑管家、360安全卫士等等，及时升级和更新电脑的病毒库；第二，养成良好的上网习惯，不随便浏览没有安全保障的网页；第三，做好电脑资料的备份，防止病毒入侵造成隐私泄露和经济损失。

2.3做好计算机相关设备的防护工作

在处理计算机应用的安全防护工作上，人们经常会从系统自身、管理等方面进行处理，往往忽视了计算机相关设备的防护工作。计算机的相关配套设备是计算机运行的前提条件，是保障计算机安全运行的载体，所以必须严肃对待计算机相关设备的防护工作，比如计算机硬件和网络通信等，如果这些设备出现了问题，就会直接影响计算机的安全运行。在计算机的应用中，应该及时查看设备的使用情况，做好日常维护工作，比如防静电、防火等，将这些计算机维护工作落实到日常工作中。此外，相关技术人员采取措施解决计算机日常运用中的问题，提高计算机的使用效率。

2.4做好网络控制工作

网络控制是影响计算机网络运行安全的重要因素，它也是保障网络安全的重要内容和环节。做好网络控制工作，应该从以下几个方面来开展：

2.4.1做好网络访问权限工作

访问权限是网络管理员对用户进行的访问限制，它直接控制用户的访问资源，能有效避免一些人为的非法操作出现网络安全问题。一般采取的网络控制方法是入网访问控制和网络权限限制，因此，在计算机运用中，管理员应该设置实名制登录、密码登陆等形式。

2.4.2强化网络防火墙控制工作

防火墙指的是一种信息安全的防护系统，它能加强计算机的安全策略、记录Internet的具体活动等，它是确保网络安全的重要手段之一。防火墙技术通过对内外网的隔离并控制访问尺度等措施，保证网络安全。常见的防火墙技术有两种，一种是过滤防火墙，主要凭借的是路由器的相关作用；另外一种是防火墙，它最关键的技术是服务器，当外网向内网传输数据的时候，服务器会及时地对数据分析过滤，不符合过滤规则的数据是不能传输到内网中的，所以，它有效阻止了不安全数据的传输，确保了网络安全。但是，防火墙技术并不是万能的，它自身也存在被病毒感染的可能性，因此，我们不能过分依赖防火墙技术，应该综合利用防火墙技术和其他技术，有效提升提高网络安全。

3结束语

综上所述，计算机应用方便了人们的生活，但同样给人们的生活带来了困扰。我们应该正视计算机网络的应用，做好计算机网络安全的防范工作，及时发现计算机应用中的问题，采取合理措施加以解决。

参考文献

[1] 杜瑞瑞.浅谈企业内部计算机网络安全防范对策[J].计算机光盘软件与应用，2012.10

[2] 温化冰.计算机网络安全防范对策问题的几点思考[J].经营管理者，2011.7

篇3

断网事件的发生，再一次向人们敲响了网络安全亟需改善的警钟。而事实上，网络安全已经成为信息时代人类共同面临的挑战。据有关方面统计，目前美国每年由于网络安全而遭受的经济损失超过170亿美元，德国、英国也在数十亿美元以上，法国、日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。因与互联网连接而成为频繁攻击点的组织连续3年不断增加。

目前，我国网络安全问题也十分突出。据国家计算机网络应急技术处理协调中心(简称CNCERT)抽样监测统计，2008年我国境内感染木马控制端的IP地址为438,386个，感染木马被控端的IP地址为565,605个，感染僵尸网络被控制端的IP地址为1，237,043个。2008年，CNCERT共发现各种僵尸网络被用来发动拒绝服务攻击3395次。我国感染木马和僵尸网络恶意代码的数量之大，面临的网络安全问题之严重，可见一斑。

在网络安全防护方面，我国也存在一些不足。据了解，制约提高我国网络安全防范能力的原因是多方面的：

首先，缺乏自主的计算机网络和软件核心技术支撑，这使我国计算机网络的安全性能大大降低，成为易窥视和易打击的“玻璃网”。

其次，安全意识淡薄。总体上看，网络信息安全处于被动的封堵漏洞状态，普遍存在侥幸心理，没有形成主动防范、积极应对的全民意识，更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。近年来，国家和各级职能部门在信息安全方面做了大量工作，但就范围、影响和效果来讲，迄今所采取的信息安全保护措施和有关计划还不能从根本上解决目前的被动局面，整个信息安全系统在迅速反应、快速行动和预警防范等方面，还缺少方向感、敏感度和应对能力。

第三，运行管理机制的缺陷、不足和缺乏制度化的防范机制也制约了安全防范的力度。不少单位没有从管理制度上建立相应的安全防范机制，在运行过程中，缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。许多网络犯罪行为(尤其是非法操作)都是因为内部联网电脑和系统疏于管理而得逞的。同时，政策法规难以适应网络发展的需要，信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。网络作案手段新、时间短、不留痕迹等特点，给侦破和审理网上犯罪案件也带来极大困难。

虽然在网络安全防护上还存在诸多不足，但政府部门应该看到网络安全问题带来的巨大危害。如何尽快解决类似事件不再发生?就主管部门来说，解决网络安全问题应当尽快采纳以下几点建议：

第一，尽快提出一个具有战略眼光的“国家网络安全计划”。有关主管部门要充分研究和分析国家在信息领域的利益和所面临的内外部威胁，结合我国国情制订计划，以全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系，并投入足够的资金加强关键基础设施的信息安全保护。

第二，建立有效的国家信息安全管理体系。改变原来职能不匹配、重叠、交叉和相互冲突等不合理状况，提高政府的管理职能和效率。

第三，加快出台相关法律法规。改变目前一些相关法律法规太笼统、缺乏操作性的不足和弊端，对各种信息主体的权利、义务和法律责任，做出明晰的法律界定。

篇4

关键词 信息安全；PKI；CA；VPN

1 引言

随着计算机网络的出现和互联网的飞速发展，企业基于网络的计算机应用也在迅速增加，基于网络信息系统给企业的经营管理带来了更大的经济效益，但随之而来的安全问题也在困扰着用户，在2003年后，木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场，企业就面临着如何提高自身核心竞争力的问题，而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等，又时刻在制约着自己，企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

在下面的描述中，以某公司为例进行说明。

2 信息系统现状

2.1 信息化整体状况

1)计算机网络

某公司现有计算机500余台，通过内部网相互连接，根据公司统一规划，通过防火墙与外网互联。在内部网络中，各计算机在同一网段，通过交换机连接。

2)应用系统

经过多年的积累，某公司的计算机应用已基本覆盖了经营管理的各个环节，包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善，计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2 信息安全现状

为保障计算机网络的安全，某公司实施了计算机网络安全项目，基于当时对信息安全的认识和安全产品的状况，信息安全的主要内容是网络安全，部署了防火墙、防病毒服务器等网络安全产品，极大地提升了公司计算机网络的安全性，这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

3 风险与需求分析

3.1 风险分析

通过对我们信息系统现状的分析，可得出如下结论：

(1)经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

(2)计算机应用系统涉及越来越多的企业关键数据，这些数据大多集中在公司总部数据中心，因此有必要加强各计算机应用系统的用户管理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的机密性、完整性和可用性。

通过对现有的信息安全体系的分析，也可以看出：随着计算机技术的发展、安全威胁种类的增加，某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷，具体表现在：

(1)系统性不强，安全防护仅限于网络安全，系统、应用和数据的安全存在较大的风险。

目前实施的安全方案是基于当时的认识进行的，主要工作集中于网络安全，对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证，对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段，很容易被冒充；又如数据备份缺乏整体方案和制度规范，容易造成重要数据的丢失和泄露。

当时的网络安全的基本是一种外部网络安全的概念，是基于这样一种信任模型的，即网络内部的用户都是可信的。在这种信任模型下，假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部，并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

针对外部网络安全，人们提出了内部网络安全的概念，它基于这样一种信任模型：所有的用户都是不可信的。在这种信任模型中，假设所有用户都可能对信息安全造成威胁，并且可以各种更加方便的手段对信息安全造成威胁，比如内部人员可以直接对重要的服务器进行操控从而破坏信息，或者从内部网络访问服务器，下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点：超过80%的信息安全隐患是来自组织内部，这些隐患直接导致了信息被内部人员所窃取和破坏。

信息系统的安全防范是一个动态过程，某公司缺乏相关的规章制度、技术规范，也没有选用有关的安全服务。不能充分发挥安全产品的效能。

(2)原有的网络安全产品在功能和性能上都不能适应新的形势，存在一定的网络安全隐患，产品亟待升级。

已购买的网络安全产品中，有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性，拟对系统的互联网出口进行严格限制，原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求，现有的防火墙不具备这些功能。

网络信息系统的安全建设建立在风险评估的基础上，这是信息化建设的内在要求，系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期，在规划的过程中，就运用风险评估、风险管理的手段，用户才可以避免重复建设和投资的浪费。

3.2 需求分析

如前所述，某公司信息系统存在较大的风险，信息安全的需求主要体现在如下几点：

(1)某公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。

(2)网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使某公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。

(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要加快规章制度和技术规范的建设，使安全防范的各项工作都能够有序、规范地进行。

(4)信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是某公司面临的重要课题。

4 设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行，避免重复投入、重复建设，充分考虑整体和局部的利益。

4.1 标准化原则

本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定，使安全技术体系的建设达到标准化、规范化的要求，为拓展、升级和集中统一打好基础。

4.2 系统化原则

信息安全是一个复杂的系统工程，从信息系统的各层次、安全防范的各阶段全面地进行考虑，既注重技术的实现，又要加大管理的力度，以形成系统化的解决方案。

4.3 规避风险原则

安全技术体系的建设涉及网络、系统、应用等方方面面，任何改造、添加甚至移动，都可能影响现有网络的畅通或在用系统的连续、稳定运行，这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题，在规划与应用系统衔接的基础安全措施时，优先保证透明化，从提供通用安全基础服务的要求出发，设计并实现安全系统与应用系统的平滑连接。

4.4 保护投资原则

由于信息安全理论与技术发展的历史原因和自身的资金能力，某公司分期、分批建设了一些整体的或区域的安全技术系统，配置了相应的设施。因此，本方案依据保护信息安全投资效益的基本原则，在合理规划、建设新的安全子系统或投入新的安全设施的同时，对现有安全系统采取了完善、整合的办法，以使其纳入总体安全技术体系，发挥更好的效能，而不是排斥或抛弃。

4.5 多重保护原则

任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

4.6 分步实施原则

由于某公司应用扩展范围广阔，随着网络规模的扩大及应用的增加，系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性，寻求安全、风险、开销的平衡，采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求，亦可节省费用开支。

5 设计思路及安全产品的选择和部署

信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终，如图2所示。

网络与信息安全防范体系模型

信息安全又是相对的，需要在风险、安全和投入之间做出平衡，通过对某公司信息化和信息安全现状的分析，对现有的信息安全产品和解决方案的调查，通过与计算机专业公司接触，初步确定了本次安全项目的内容。通过本次安全项目的实施，基本建成较完整的信息安全防范体系。

5.1网络安全基础设施

证书认证系统无论是企业内部的信息网络还是外部的网络平台，都必须建立在一个安全可信的网络之上。目前，解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure，公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障，向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统，建立一个完善的网络安全认证平台，能够通过这个安全平台实现以下目标：

身份认证(Authentication)：确认通信双方的身份，要求通信双方的身份不能被假冒或伪装，在此体系中通过数字证书来确认对方的身份。

数据的机密性(Confidentiality)：对敏感信息进行加密，确保信息不被泄露，在此体系中利用数字证书加密来完成。

数据的完整性(Integrity)：确保通信信息不被破坏(截断或篡改)，通过哈希函数和数字签名来完成。

不可抵赖性(Non-Repudiation)：防止通信对方否认自己的行为，确保通信方对自己的行为承认和负责，通过数字签名来完成，数字签名可作为法律证据。

5.2 边界防护和网络的隔离

VPN(VirtualPrivateNetwork)虚拟专用网，是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比，具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统，可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道，使得合法的用户可以安全的访问企业的私有数据，用以代替专线方式，实现移动用户、远程LAN的安全连接。

集成的防火墙功能模块采用了状态检测的包过滤技术，可以对多种网络对象进行有效地访问监控，为网络提供高效、稳定地安全保护。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

5.3 安全电子邮件

电子邮件是Internet上出现最早的应用之一。随着网络的快速发展，电子邮件的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点，电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先，它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织(根证书)之间相互认证，整个信任关系基本是树状的。其次，S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。

5.4 桌面安全防护

对企业信息安全的威胁不仅来自企业网络外部，大量的安全威胁来自企业内部。很早之前安全界就有数据显示，近80%的网络安全事件，是来自于企业内部。同时，由于是内部人员所为，这样的安全犯罪往往目的明确，如针对企业机密和专利信息的窃取、财务欺骗等，因此，对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起，形成一个整体，是针对客户端安全的整体解决方案。

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术，可以无缝嵌入OFFICE系统，用户可以在编辑文档后对文档进行签章，或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后，只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。

3)文件加密系统

文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中，加密算法采用国际标准安全算法或国家密码管理机构指定安全算法，从而保证了存储数据的安全性。

5.5 身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。

基于PKI的USBKey的解决方案不仅可以提供身份认证的功能，还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系，从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

6 方案的组织与实施方式

网络与信息安全防范体系流程主要由三大部分组成：攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程，也为本方案的实施提供了借鉴。

因此在本方案的组织和实施中，除了工程的实施外，还应重视以下各项工作：

(1)在初步进行风险分析基础上，方案实施方应进行进一步的风险评估，明确需求所在，务求有的放矢，确保技术方案的针对性和投资的回报。

(2)把应急响应和事故恢复作为技术方案的一部分，必要时可借助专业公司的安全服务，提高应对重大安全事件的能力。

(3)该方案投资大，覆盖范围广，根据实际情况，可采取分地区、分阶段实施的方式。

(4)在方案实施的同时，加强规章制度、技术规范的建设，使信息安全的日常工作进一步制度化、规范化。

7 结论

篇5

[关键词] 计算机 网络安全 概述 现状 防范

引言

近些年，随着社会经济以及信息网络技术的不断发展，计算机网络安全问题引起了人们越来越广泛地关注。信息技术是一把双刃剑，既会给人们的生产与生活带来诸多便利，也会给人们的生产与生活带来诸多困难与挑战。在信息时代，计算机网络安全问题绝不是一种偶然现象，而是各种因素综合作用的结果。在现实中，计算机网络安全有很多表现形式，如网络系统的硬件与软件安全、网络传输信息安全等等。同时，计算机网络安全问题的产生，既有管理因素，又有技术因素。由此可见，如何加强计算机网络安全，是人们不得不面对的一项重点课题与难点课题。基于以上的论述，本文从计算机网络安全的概述、现状、防范措施三个角度，对该问题进行了深入地分析与研究，希望以此能为该项事业的发展贡献自身的力量。

一、计算机网络安全的概述

计算机网络安全是一个非常宽泛的概念。仁者见仁、智者见智，不同的人对于计算机网络安全有着不同的界定。对于普通的计算机网络使用者而言，他们将计算机网络安全仅仅局限在个人隐私或相关信息在网络传输过程中要受到保护；而对于计算机网络开发商而言，他们不仅要关注各项信息传输的安全，而且要关注各种网络硬件的安全以及网络通信的连续性。ISO计算机安全定义为：“保护计算机网络系统中的硬件，软件和数据资源，不因偶然或恶意的原因遭到破坏、更改、泄露，使网络系统连续可靠性地正常运行，网络服务正常有序。”本文综合各种观点，对计算机网络安全下了这样一个定义：“计算机网络安全是指通过网络管理与各项技术措施，确保在一种网络环境里，数据的完整性、保密性与可使用性受到严格地保护。”现如今，计算机网络安全主要包括物理安全与逻辑安全两方面的内容。物理安全是指系统设备以及相关设施受到免于破坏或丢失等物理保护；而逻辑安全就是通常意义上的信息安全，是指信息的完整性、保密性与可使用性受到的保护。

在现实中，计算机网络具有共享性、开放性与国际性的特点，这给计算机网络安全带来了严峻的挑战。概况起来讲，计算机网络的不安全性主要表现在：首先，网络的开放性。因为网络具有开放性的特点，所以它极易受到各种网络攻击。这些攻击方式是多种多样的，既有物理传输线路方面的攻击，又有网络通信协议方面的攻击，还有计算机软件或硬件漏洞方面的攻击。其次，网络的国际性。因为网络具有国际性的特点，所以它不仅会受到本地网络黑客的入侵，而且会受到其它国家国家或地区网络黑客的攻击。最后，网络的自由性。因为大多数用户使用网络时不会受到技术约束，这无形中增大了网络威胁的概率。

二、计算机网络安全的现状分析

近些年来，随着互联网的普及以及网络应用的进一步深入，计算机网络安全现状令人堪忧，还存在着诸多亟需改革的问题。目前，网络攻击行为复杂和多变，各种攻击方法相互交融，极大地增加了网络安全防御的难度。具体而言，一方面，网络黑客的攻击手段越来越多，甚至已经超过了计算机病毒的种类与数量，而且许多攻击手段都是致命的，极有可能导致整个计算机网络系统的瘫痪。例如，后门、蠕虫、网路监听等都是目前比较流行的网络攻击手段，在实践中，这些攻击手段已经充分显示了它们的威力，给人们带来了诸多不便。另一方面，与以前相比，现在的网络攻击手段更加智能化，网络攻击目标更加明确化，网络攻击范围更加扩大化，给网络用户的信息安全防范带来了极大的挑战。例如，现如今，网络攻击的目标已经由单纯的追求“荣耀感”转变为获取实际利益。网络攻击范围已经由Web程序扩展到内核级Rootlets。总之，现如今，计算机网络安全问题变得错综复杂，影响力也越来越大，很难在短时间内进行根治。如果我们不对其加以防范，将会严重影响到网络应用的广度和深度。因此，我们要将计算机网络安全问题放在重要的战略高度，采取各种有效的手段，改善目前的计算机网络安全现状。

三、计算机网络安全的防范措施分析

从哲学的角度讲，任何事物都是一分为二的。虽然目前计算机网络安全现状令人担忧，但是我们也不能盲目地悲观。在实践中，我们可以积极地采取各项防范措施，切实地增强计算机网络的安全性。进一步讲，分析问题并解决问题是一种良好的行为习惯。针对目前我国计算机网络安全防范中存在的问题，本文提出了以下几项应对策略：

第一、要增强网络使用人员与管理人员的安全意识。

在现实生活中，为了防止病毒的入侵，我们通常采用口令的办法来控制外来人员对计算机系统的访问。实践证明，这确实是一种非常有效和实用的办法。因此，在实际操作过程中，网络管理人员或者终端操作人员要严格履行职责，合法操作各类应用程序数据，以有效地防止外来人员越权访问或使用网络资源。除此之外，对于计算机网络安全而言，软件的安装与管理也是至关重要的，不仅关系到网络管理与维护的效率高低，而且关系到网络安全性能的高低。在实践中，网络使用人员与管理人员要增强安全意识。他们除了要进行安全地操作外，还要选用高效能的杀毒软件。因为，好的杀毒软件会成为网络安全管理的重要组成部分，为计算机网络提供最佳的病毒防御措施。当计算机病毒攻击网络时，它会将病毒扼杀在产生实质的危害之前。

第二、要加大网络防火墙技术与安全加密技术的应用力度。

网络防火墙技术与安全加密技术是计算机网络安全防范的两项非常有效的技术手段。其中，网络防火墙技术是一种加强网络间的访问控制，保护内部网络操作环境的设备。具体而言，它通过各种有效的安全策略，检查网络传输数据包的安全状况，并最终决定该次通信是否被允许。目前，网络防火墙技术发挥的作用是不可忽视的。但是，它也有些明显的不足。例如，它既不能防范其它途径的网络攻击，又不能防范病毒文件或软件的传送，还不能防范数据驱动型的网络攻击。对于安全加密技术而言，它是全球电子商务的发展的重要保障。目前，我们比较常用的安全加密技术是对称加密和非对称加密技术。这两项技术各有自身的优点，我们要根据实际的需要而综合运用。

第三、要综合采用技术、管理和物理安全层面的措施。

针对目前的各项计算机网络安全问题，我们必须综合采用技术、管理和物理安全层面的措施。在技术层面，我们既要建立安全管理制度，又要有效地控制网络访问，还要切断病毒传播的途径和提高网络反病毒技术能力；在管理层面，我们既要顾及采用的安全技术与防范措施，又要顾及采用的管理措施与执行法律法规的力度，并实现两者的有机结合；在物理安全层面，我们既要优化计算机系统的环境条件，又要科学地选择机房场地，还要加强机房的安全防护。

篇6

关键词：煤炭企业；网络信息安全；问题；对策

引言：当前煤炭企业对网络安全威胁很难开展有效的监测，无法实现主动防御，只能处于一种被动防护状态，这无疑将会给煤炭企业引入极大的网络安全风险。煤炭企业上到领导下到普通职员，均对网络信息安全问题抱有侥幸的心理，觉得一般不会出大的问题，从而缺少积极的防范措施，使得煤炭企业当前在应对实际的网络安全威胁时不能有效的进行监测和防护。

一、关于煤炭企业当前面临的网络信息安全问题的分析

（1）煤炭企业员工的网络信息安全意识比较淡薄

当前很多煤炭企业对自身所处的网络信息安全现状依然缺少正确、完整的认识，他们企业管理者觉得煤炭企业信息化的水平不高，接入互联网的终端和用户比较少，因此企业的网络信息安全问题并不会给煤炭企业造成一定的威胁。另外，煤炭企业的管理层缺少对企业网络信息安全的有效支持，使得实际投入到企业网络和信息安全建设中的资金远远达不到应有的要求。

（2）煤炭企业内部网络信息系统的防护能力比较薄弱

从目前看来，依然存在一些煤炭企业缺少复杂的网络信息系统部署结构，已有的设备性能和配置也比较落后。在实际的网络系统部署中缺少有效的安全防护技术和手段，不能有效监测到网络安全的威胁，只能一直处于被动防护的状态。由于煤炭企业内部大多使用的还是比较老旧的操作系统，这些旧的终端设备本身就存在着大量的系统漏洞，很容易遭到黑客的攻击。当各个系统或软件厂商在网上修补漏洞的补丁时，很多煤炭企业员工和用户由于对这些网络安全问题缺少正确的认识，无法意识到这些系统和软件漏洞会给煤炭企业本身带来的安全威胁，使得企业内部网络终端设备很难全部完成漏洞的修补。

（3）煤炭企业缺乏有效的网络安全防范体系

调查发现，当前很多煤炭企业的网络信息安全管理较为混乱，没有形成一套科学完整的网络安全防范体系和机制。煤炭企业虽然制定了一些有关于网络信息安全的管理制度和工作方法，但是依然缺乏有效的网络安全威胁监测和应对方法，对于已有的网络安全管理办法也很难严格的去执行，不能达到预期的网络安全防护效果。另外，对于煤炭企业员工本身缺少有效的约束管理办法，大多数时候只能依靠員工本身的自律能力，没能从企业网络安全管理制度和办法上建立起一种行之有效的防范措施。

二、煤炭企业防范网络信息安全的对策

（1）加强企业内部网络信息安全管理

煤炭企业要想提高企业本身的网络安全防护能力，首先必须改变企业当前固有的网络安全管理方法，各个部门都需要制定出适合自己部门业务系统的网络安全防护管理机制和体系。煤炭企业必须加强企业内部自身的管理，为企业制定一套完整的网络安全审计体系，能够及时的发现潜在的安全威胁，并有效的追踪到问题责任人。煤炭企业的网络安全防护能力的强弱还需要根据企业员工网络安全意识的强弱来判断，因此在煤炭企业实际的运营当中，必须加大对企业网络安全技术培训和教育的投入。在煤炭企业中，网络信息安全相关知识的培训、教育以及宣传非常重要，尤其要加强企业员工对网络安全意识的培养，认识到网络安全对企业发展的重要性。要想让煤炭企业能够具备足够的网络安全知识和应急响应能力，就必须对企业员工开展定期的网络安全知识培训，从而不断维持煤炭企业较高的网络信息安全水平。

（2）引入先进的安全防护技术

除了刚刚提到的煤炭企业要加强企业内部网络信息安全管理之外，最为重要的就是煤炭企业必须要引入先进的网络安全防护技术。如果企业没有这些先进的安全防护技术，那么煤炭企业的网络信息安全管理做的再好也没有用，因为攻击者将能够直接不费吹之力拿下企业的整个网络系统，令企业面临巨大的经济或声誉损失。当前随着攻击者的攻击手段不断提高，网络安全防护技术也在不断地取得发展，因此煤炭企业必须要选择先进的安全防护技术来保护企业系统免受侵害。

首先，煤炭企业必须要给企业内部所有的办公终端安装网络版的防病毒软件，如此一来煤炭企业便可以实现对企业办公终端的集中式管理，使得企业的系统管理员能够及时的了解到当前网络环境中每个节点的网络安全状态，从而可以实现对企业办公终端的有效监管。此外，煤炭企业必须要在系统网络之间部署防火墙，避免攻击者通过非法的技术手段访问企业内部网络，从而有效保护企业内部网络的安全。防火墙技术能够实现煤炭企业内部网络和外部网络的有效隔离，所有来自煤炭企业外部网络的访问都需要经过防火墙的检查，从而提高企业内部网络的安全性。除此之外，煤炭企业还必须引入数据加密技术，来有效提高企业内部系统和数据的保密性，避免企业内部的机密数据被攻击者窃取或遭内部员工的泄露。机密数据在发送之前会被发送者使用密钥进行加密处理得到密文，然后密文会通过传输介质传送给接收者，接收者在拿到密文之后，需要利用密钥对密文进行解密处理得到原始的机密数据。这样一来便保证了数据信息的机密性，从而避免机密数据被黑客窃取给煤炭企业带来经济损失。

篇7

[关键词]:网络信息安全网络攻击 安全防护

在互联网技术迅猛发展的今天，网络给人们提供了极大方便，在带来种种物质和文化享受的同时，我们也正受到日益严重的来自网络的安全威胁。黑客活动越来越猖狂，他们无孔不入，对社会造成了严重的危害。与此同时，更让人不安的是，互联网上黑客网站还在不断增加，学习黑客技术、获得黑客攻击工具变得轻而易举。这样，使原本就十分脆弱的互联网越发显得不安全。

一、网络安全威胁的起因

为什么会存在这么多的网络安全，网络安全威胁的起因包括：

1.技术上的缺陷。互联网使用的是TCP/IP协议，最初设计时，主要考虑的是如何实现网络连接，并没有充分考虑到网络的安全问题，而TCP/IP协议是完全公开的，这就导致入侵者可以利用TCP/IP协议的漏洞对网络进行攻击。另外，计算机使用的操作系统，在设计上也存在安全漏洞，用户经常需要更新、下载它的安全补丁，以修补它的安全漏洞。其他的技术缺陷还包括应用程序的编写对安全性考虑不足，网络通讯设备存在安全的缺陷等，这些技术上的缺陷都容易被入侵者利用，从而构成安全威胁。

2.思想上不重视。由于企业的负责人、网络管理员思想上不重视或者疏忽，没有正视黑客入侵所造成的严重后果，没有投入必要的人力、物力和财力来加强网络的安全性等，这也导致了网络的安全防范能力差。

二、网络安全问题可能导致的后果

在现代网络信息社会环境下，由于存在各种各样的安全威胁，从而可能会造成重要数据文件的丢失。网络安全问题具体的后果包括：

1.企业的资料被有意篡改、网站的页面被丑化或者修改。

2.破坏计算机的硬件系统。

3.使得商业机密或技术成果泄露或者被散播。

4.安全问题还可能使得服务被迫停止，并给客户层带来服务质量低劣的印象，使得企业形象被破坏，从而造成恶劣影响和难以挽回的损失。

三、网络攻击的主要方式

1.口令入侵

所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。

2.放置特洛伊木马程序

特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等，诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。

3.WWW的欺骗技术

在网上，用户可以利用IE等浏览器进行各种各样的WEB站点的访问。然而，一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的。如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。

4.电子邮件攻击

电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。

5.网络监听

网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。此时，若两台主机进行通信的信息没有加密，只要使用某些网络监听工具就可轻而易举地截取包括口令和帐号在内的信息资料。

6.安全漏洞攻击

许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。

四、网络安全的主要防范措施

网络安全防范的目的是保护以网络为代表的系统资源不受攻击影响、同时要发现可疑的行为、对可能影响安全的事件做出反应。网络系统安全的最终目标是要保证数据和信息的安全性。网络安全不单是单点的安全，而是整个系统的安全，需要专业的安全产品与网络产品紧密配合才能达到。网络安全的防范措施包括：

1.安装防火墙。最常用的网络安全技术就是采用防火墙，防火墙是防止内部的网络系统被人恶意破坏的一个网络安全产品，通常是防范外部入侵的第一道防线，可以有效地挡住外来的攻击，对进出的数据进行监视。

2.防止内部破坏。有了防火墙可以防范外部的攻击，这还不能完全有效地保障内网的安全，因为很多不安全因素来自内部非授权人员对信息的非法访问和恶意窃取，因此在网络内部，也必须要有强有力的身份鉴别、访问控制、权限管理以及文件的保密存储和传输等措施，才能有效地保障内部信息的安全性。

3.口令保护。口令攻击是常见的一种网络攻击方式，黑客可以通过破解用户口令入侵用户系统，因此，必须非常注意对口令的保护，特别是密码设置不要容易被别人猜出，重要的密码最好定期更换等。

4.数据加密。在互联网出现后，特别是随着电子商务应用的普及，企业的许多数据要经过互联网传输，传输过程中间极有可能出现数据被窃取和被篡改的危险，因此，跨越互联网传输的数据都必须经过加密。以往发生的数据泄露事件中，内部数据泄露也比较多，因此，网络内部的数据也应该采用一定的加密措施。

加密技术的主要目标是确保数据的机密性、真实性、完整性，通过加密措施，使非法窃听者即使截获部分信息也无法理解这些信息，另外通过校验技术，可以使数据被篡改后还有机制去恢复被篡改的内容。

总之，网络安全防范是一个动态的概念，不可能做到一劳永逸，重要的是要建立一个网络安全防范体系。网络安全是一个广泛而复杂的课题，各种类型的企业对网络安全有不同的需求，必须进行具体的分析，才能制定出适合企业自身要求的总体网络安全解决方案。

参考文献：

[1]肖军模,刘军,周海刚.网络信息安全.北京：机械工业出版社,2003,8.

[2]黄梯云.管理信息系统.北京：高等教育出版社，2005,3.

篇8

[关键词] 网络安全 安全策略 安全技术 安全管理

网络安全问题随着因特网的迅速普及而激增，据美国FBI统计，83%的信息安全事故为内部人员和内外勾结所为。据我国公安部统计，70%的泄密犯罪来自于内部，电脑应用单位80%未设立相应的安全管理系统、技术措施和制度。由于内部人员泄密所导致的资产损失高达6干多万美元，是黑客所造成损失的16倍，是病毒所造成损失的12倍。为什么安装了防火墙、防病毒软件等措施后，网络安全事故依然频繁发生？这是因为网络的使用者是人，人们在网上的行为并没有得到有效的管理和控制。

一、威胁网络安全的因素

从根本上说，网络的安全隐患都是利用了网络系统本身存在的安全弱点，在使用、管理过程中的失误和疏漏更加剧了问题的严重性。威胁网络安全的主要因素有：

1.管理因素。管理人员素质低、管理措施不完善、用户安全意识淡薄等。

2.技术因素。软件本身的漏洞；加密解密、入侵检测等技术产品不完善;病毒层出不穷；黑客程序在网络上的肆意传播等。

3.人为因素。(1)人为的无意失误。如操作员安全配置不当造成的安全漏洞，用户口令选择不慎，都会对网络安全带来威胁。（2)人为的恶意攻击。一是主动攻击，以各方式有选择地破坏信息的有效性和完整性;二是被动攻击，在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可使网络造成极大的危害，导致机密数据的泄露。（3)软件的漏洞和“后门”。软件不可能是百分之百的无缺陷和无漏洞，这些漏洞和缺陷常常是黑客进行攻击的首选目标。

二、网络管理的概念

网络管理是指监督，组织和控制计算机网络通信服务以及信息处理所必需的各种活动的总称，其目标是确保计算机网络的持续正常运行，并在计算机网络系统运行出现异常现象时能及时响应和排除故障。为了对网络进行充分，完备和有序的管理，ISO定义了网络管理的五大功能：故障管理，配置管理，计费管理，性能管理和安全管理，这五个大功能包括了保证一个网络系统正常运行的基本功能。

三、网络安全管理体系的建立

网络安全管理体系构建是以安全策略为核心，以安全技术作为支撑，以安全管理作为落实手段，完善安全体系赖以生存的大环境。

1.安全策略

安全策略是一个成功的网络安全体系的基础与核心。安全策略包括网络拓扑结构和为了网络安全、稳定、可持续发展能够承受的安全风险，保护对象的安全优先级等方面的内容。

2.安全技术的应用

常见的安全技术主要包括防火墙、安全漏洞扫描、安全评估分析、网管软件、入侵检测、网络陷阱、备份恢复和病毒防范等。在网络安全体系中各种安全技术要合理部署，互联互动，形成一个有机的整体。

3.安全管理

安全管理贯穿整个安全防范体系，是安全防范体系的核心，代表了安全防范体系中人的因素。安全管理更主要的是对安全技术和安全策略的管理。用户的安全意识是信息系统是否安全的决定因素，除了在网络中心部署先进的网络结构和功能强大的安全工具外，从制度上、应用上和技术上加强网络安全管理。

（1)建立严格制度。制订网络建设方案、机房管理制度、各类人员职责分工、安全保密规定、口令管理制度、网络安全指南、用户上网使用手册、系统操作规程、应急响应方案、安全防护记录一系列的制度保证网络的核心部门高安全、高可靠地运作。从内到外，层层落实，动态管理，适应新的网络需求，如网络拓扑结构、网络应用以及网络安全技术的不断发展，调整网络的安全管理策略。（2)加强网络技术的培训。网络安全是一门综合性的技术，网络管理人员必须不断地学习新的网络知识，掌握新的网络产品的功能，了解网络病毒、密码攻击、分组窃听、IP欺骗、拒绝服务、端口攻击等多样化的攻击手段，才能更好地管理好网络。（3)加强用户的安全意识。网络安全最大的威胁是网络用户对网络安全知识的缺乏，必须加强用户的安全意识，引导用户自觉安装防病毒软件，打补丁，自动更新操作系统，对不熟悉的软件不要轻易安装。

四、结论

网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会导致全网的安全事故。安全不能简单的通过一系列的网络安全设备来解决，必须把安全的建设融入到基础网络平台建设过程中，不能单纯考虑网络安全问题，应该从多个层面去考虑网络安全问题，一个完善的而且能够严格执行的安全管理策略，才是安全的核心。计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构，这样才能真正做到整个系统的安全。要提高网络的安全性就必须有严格的网络管理，随着网络的发展网络安全与管理是密不可分的，在确保安全性的前提下，网络才会有利于社会的发展，加快企业信息化建设的步伐。

参考文献:

[1]张伟:网络不安全因素该如何控制和管理.中国制造业信息化，2006.8

[2]薛方芳:简析校园网络安全管理.科技信息，2007.13

[3]杨克:论网络安全管理的重要性.法制与社会，2007.2

篇9

关键词：计算机网络 网络安全特征 安全技术 网络安全威胁防护

中图分类号：tp393 文献标识码：A 文章编号：1007-9416（2015）11-0000-00

随着计算机技术的不断发展，计算机网络已广泛应用于社会的各个领域，由于计算机病毒的侵入，黑客活动的猖獗，网络安全面临的威胁防不胜防，电脑硬件和软件都面临着潜在的安全隐患，如何防范网络安全潜在安全问题和威胁，提高网络数据信息的安全性，已成为当前计算机网络应用中亟待解决的重大问题，因此，加强对计算机网络安全的防护研究，全面提高计算机网络的安全性，具有重要的意义。

1 计算机网络安全的含义与特性

计算机网络安全是利用网络管理控制和技术，保证计算机网络数据的保密性、完整性、合法使用性。包括计算机网络的物理性安全和罗辑性安全。物理安性全是指计算机系统设备和相关的设施等受到物理性方面的保护，以确保计算机网络中的硬件设备免于破坏、内部数据丢失等。罗辑性安全是指网络各种数据信息的完整性、保密性、合法使用性。

网络安全主要特有：保密性，信息不泄露；完整性，数据未经授权不能修改；合法使用性，授权访问，按需使用；限制性，对信息内容及传播限制的控制能力；可检测与审计性，对已出现的网络安全问题，及时提供依据与技术手段，检测、判断和解决，及时维护网络系统安全运行。

2 计算机网络应用中普遍存在的主要安全隐患和威胁

⑴互联网络的开放性引起的网络系统的不安全性。为便于更多用户最大限度的访问和使用，网络系统具有高度的开放性，在广泛应用中从某种程度上导致了计算机网络安全面临着各种安全隐患和威胁入侵。

⑵计算机病毒及其变异危险的入侵和泛滥。计算机病毒具有很强的隐蔽性、极快的繁殖能力、多种传染途径、长期潜伏性及极大的破坏力。入侵计算机网络的病毒一旦发作，极易干扰网络系统的正常运行，在很大程度上破坏磁盘重要数据、删除有关的重要文件，甚至导致整个计算机系统无法正常运行，致使网络系统处于瘫痪状态。

⑶计算机网络操作系统存在着缺陷和漏洞，导致网络安全出现问题。操作系统作为计算机网络的系统支撑软件，具有很强的功能和作用，特别是它提供了很多的管理功能，但是，由于各种原因操作系统软件本身也存有缺陷，操作系统开发设计中存在的不周密性而留下的漏洞等，使得计算机网络在一定程度上会受到病毒、黑客入侵等威胁，导致计算机网络存在着不安全隐患的可能。

⑷网络安全防线的脆弱性、局限性导致网络被侵害。防火墙是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统，依照特定的规则，允许或是限制数据传输。它是在内部网和外部网之间、专用网与公共网之间构造的保护屏障。但是，防火墙无法解决内部网络之间的访问，所以具有一定的局限性。

⑸网络运行管理方面缺陷。计算机网络运行及安全管理缺陷，主要是由于对系统以及安全的不重视、管理不善、管理不到位，导致计算机网络遭到威胁。

⑹缺乏计算机安全评估系统。在实际应用中不注重计算机安全评估系统的构建，只注重计算机网络安全事故的预防与事后处理，缺乏对计算机网络安全作出及时的评估与监控，导致网络安全隐患不能及时被发现处理。

3 计算机网络安全防范的主要策略方法

3.1技术性防范策略

利用网络安全技术进行防范，主要有实时监测、实时扫描、防火墙、完整性检验保护、病毒分析和系统安全管理等技术。

①实时扫描与监测。采用网络扫描工具，对最新的安全漏洞进行扫描修复。在网络服务器、Email服务器中使用安全监测系统，实时跟踪、监视，截获上传非法内容，及时采取措施。

②属性安全控制。将给定的属性与网络服务器文件、目录和设备联系起来。利用属性设置覆盖已经指定受托者指派和有效权限，保护重要的目录和文件。

③网络访问控制。配置高效防火墙，有效防止网上病毒传播。最大限度地阻止黑客攻击。利用数据加密技术，保护数据传输的正确性与安全性。加强网络权限控制， 建立网络服务器安全设置，设置口令、设置登录时间限制、非法访问者检测和关闭时间间隔，安装非法访问设备等。

④ 病毒预防与查杀。配备专业的安全高效的优秀网络杀毒软件，定期进行病毒查杀，有效提高系统的防护能力。可采用内存常驻防病毒的程序，时刻监视病毒的侵入并对磁盘进行检查。

⑤采用混合式入侵检测技术，提供实时入侵检测，采取抵御措施，防止恶意进攻。对系统安全属性进行审计检查，对系统数据完整性进行监测评估。利用审计记录，适时限制非法行为，保护系统安全。

另外，可以隐藏IP地址、关闭不必要端口、更换管理员账户、杜绝Guest账户入侵、封死黑客“后门”、删掉不必要协议、关闭“文件和打印共享”、禁止建立空连接 、关闭不必要服务、做好IE安全设置等方法。

3.2完善网络安全管理制度

建立网络智能型日志系统。记录用户登录所有操作以备日后审计核查之用。建立档案加密制度，加强设施管理，建立健全安全管理制度，验证用户的身份和权限，防止越权操作，确保网络系统安全运行。

3.3物理性安全防范对策

保证系统实体安全的物理环境条件。如温度、湿度、清洁度、腐蚀度、虫害、振动和冲击、电气干扰等，选择合适的安装场地，强化机房的安全防护。

3.4其他防护措施

不使用来历不明的软件，系统盘以及移动盘进行写保护，重要文件及时备份，禁止未经检测移动盘插入计算机，建立口令密码，限定合理读写权限，提高网络工作人员素质，严禁打游戏，强化网络安全责任，安装正版杀毒软件和防火墙。

篇10

关键词：劳动保障； 信息系统； 安全； 对策

中图分类号：TP309 文献标识码：A 文章编号：1006-3315（2012）06-162-001

一、引言

南京系统的设计规划、开发建设，一直到系统的运行维护管理等各个环节，都将安全问题置于首要位置予以考虑，结合我市劳动保障工作实际，从系统网络、主机设备、数据库、应用系统、人员管理、承建单位协调管理、区县包括街道社区劳动保障信息化建设管理等各方面，制定实行了一系列比较全面、详细、具体的有关管理制度和规定。

本文提出了南京系统的安全风险防范工作的新思路、新方法，并列出了系统风险防范的各种对策、机制。

1.南京劳动保障信息系统当前安全运行风险防范机制

南京系统从开发至今，始终将安全体系建设置于最重要位置，建立起包括应用系统、数据库系统、系统网络、物理环境、入网单位、入网人员等各个层面、多方位的安全风险防范机制。

1.1应用系统安全防范机制：应用系统设置有三层管理机制，用户级、任务级和系统级，严格控制系统操作权限和范围，确保每一用户的使用权限和操作合法性。

1.2数据库系统安全防范机制：通过系统权限、角色权限、数据权限的管理，建立了数据库系统的权限控制机制。

1.3系统网络安全防范机制：关闭不需要开放的服务端口，限制用户的操作权限，使用网管软件，加强网络安全管理。

1.4劳动和社会保障卡安全防范机制：卡密钥系统为一卡一密，防止伪造。

1.5物理环境安全防范机制：存储信息的备份介质达到防尘、防潮、防毒变要求；主机房安装自动防火设备。

1.6各区县局域网安全管理情况：各区（县）劳动保障信息系统的建设与安全管理统一规划、统一部署、统一建设。

1.7入网机构和个人的安全管理：实行上岗前安全操作培训，对外机构：如定点医疗机构、全市各街道和社区等单位需要接入南京劳动和社会保障信息网的，建立了一套较完备的入网资格认证方案。

2.南京劳动保障信息系统安全运行方面存在的风险

2.1管理层面。南京系统安全运行文件内容侧重点主要是如何避免南京系统客户端的安全运行风险，忽略后台的安全运行风险，且文件执行力度不够。

2.2技术应用层面。

2.2.1主机网络设备缺乏有效机制进行管理与维护。

2.2.2应用系统程序众多，功能繁杂，开发技术相对落后，系统架构缺乏先进性。

2.2.3只重视系统网络核心的技术支撑，弱化了系统辅助设备以及客户端的技术管理。

2.2.4系统的容灾恢复技术严重缺乏。

2.2.5缺乏动态口令认证系统。

2.3操作层面。对一些出现的故障没有做到“能发现”，“有证据”。

2.4人员层面。对信息技术人员培养投入不到位。

3.南京劳动保障信息系统安全运行风险防范对策

3.1安全防范技术对策。

3.1.1网络拓扑分析对策。对策内容：根据网络的实际情况，绘制网络拓扑图；分析网络中存在的安全缺陷并提出整改建议意见。

对策作用：针对网络的整体情况，进行总体、框架性分析。一方面，通过网络拓扑分析，能够形成网络整体拓扑图，为网络规划、网络日常管理等管理行为提供必要的技术资料；另一方面，通过整体的安全性分析，能够找出网络设计上的安全缺陷，找到各种网络设备在协同工作中可能产生的安全问题。

3.1.2防病毒软件病毒库定期升级对策。对策内容：防病毒服务器通过INTERNET更新病毒库；防病毒服务器强制所有在线客户端更新病毒库。

对策作用：通过不断升级病毒库确保防病毒软件能够及时发现新的病毒。

3.1.3服务器定期扫描、加固对策。对策内容：使用专用的扫描工具，在用户网络管理人员的配合下，对主要的服务器进行扫描。

对策作用：找出对应服务器操作系统中存在的系统漏洞；找出服务器对应应用服务中存在的问题。

3.1.4信息备份系统。对策内容：定期备份电子信息。

对策作用：防止核心服务器崩溃导致网络应用瘫痪。

3.2安全防范管理对策

3.2.1管理制度对策。对策内容：编制详实的涵盖系统建设各个层面的规章制度，建立制度的实施办法与流程，建立健全制度实施、监督的流程与办法。

对策作用：使系统安全体系制度化、标准化，规范了系统的运行行为与操作行为，在管理上保证系统的安全运行，降低风险发生的几率。

3.2.2建立系统安全风险防范评估机制对策。对策内容：进行自评估和他评估服务两类;进行安全检查;进行系统安全保障等级评估;安全认证与认可。

对策作用：安全风险评估安全风险评估是应用比较广泛的一种安全评估方法，是系统风险管理的前期活动，风险评估具有基础性作用，为信息系统安全建设指明方向。

3.2.3人员对策。对策内容：制订针对系统管理者、系统使用者、系统决策者等不同层面的培训内容与培训计划，并形成制度化、标准化；建立动态、长效的信息化技术和劳动保障业务的研究机制。

对策作用：提高人员素质，增强系统维护开发的力度，保证系统被正确的使用，从而从“人”这个因素上防范系统风险的发生。

二、结束语

南京劳动保障信息系统的安全不是一朝一夕的工作，而是一项长期的、艰巨的任务，需要全局的参与和努力。同时要加大投入，建立全新的系统运行风险安全防范体系，并在管理上、制度上保证该体系的实现。

参考文献：

[1]黄志澄.电子政务的内涵及发展.中国信息导报，2002(4)