网络安全防范体系范文

导语：如何才能写好一篇网络安全防范体系，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

【关键词】校园网络；网络安全；信息安全；防范体系

【中图分类号】G40-057　【文献标识码】A　【论文编号】1009－8097(2012)09－0053－04

随着信息技术的快速发展和高校网络基础设施的不断完善，资源整合、应用系统和校园信息化平台建设已经成为校园信息化的主要任务。在新的网络信息环境下，信息资源也得到更大程度地共享，3G、IPV6、虚拟化和云计算等新技术开始研究和实施应用；三网融合、云服务及“智慧校园”等服务新理念的不断提出，使得校园网规模不断扩大，复杂性和异构性也不断增加，而这些需求都要求有一个能够承载大容量、高可信、高冗余和快速稳定安全的校园网作为基础条件。与此同时，高校用户在享受信息化成果所带来的工作高效和便利的同时，也面临着来自校园网内部和外部带来的各种安全威胁和挑战。因此，有必要建立一套高效、安全、动态网络安全防范体系，来加强校园网络安全防护和监控，为校园信息化建设奠定更加良好的网络基础。

一　校园网络安全面临的问题

1、网络安全投入少，安全管理不足

在校园网建设过程中，管理单位主要侧重技术和设备投入，对网络安全管理不重视，在网络安全方面投入也较少，一般通过架设出口防火墙来保护校园内部网，缺少对安全漏洞的分析和病毒的主动防范的系统。同时，由于高校机构设置的原因，很多高校在网络管理方面存在人员不足，同一个技术人员同时肩负着建设、管理和安全的工作情况Ⅲ，在校园网安全管理方面，实践经验告诉我们，校园网络安全的保障不仅需要安全设备和安全技术，更需要有健全的安全管理体系。很多高校没有成立信息安全机构，缺乏完善的安全管理制度和管理规范，在网络和信息安全方面没有根据重要程度进行分级管理。有统计表明，70％以上的信息安全问题是由管理不善造成的，而这些安全问题的95％是可以通过科学的信息安全管理制度来避免。

2、系统和应用软件漏洞较多，存在严重威胁

传统的计算机网络是基于TCP/IP协议的网络。在实际运用中，TCP/IP协议在设计的时候是以简单高效为目标，缺少完善的安全机制。因此，基于TCP/IP而开发的各种网络系统都存在安全漏洞，黑客往往把这些漏洞作为攻击的突破口。安全漏洞主要包括交换机IOS漏洞、操作系统漏洞和应用系统漏洞等，操作系统漏洞如WINDOWS、UNIX、LINUX等往往存在着某些组件的安全漏洞，如果管理员没有及时更新系统补丁或升级软件，就会成为众多黑客攻击的目标。应用程序漏洞往往出现在最常用的软件上，如IE、QQ、迅雷、暴风影音等经常存在一些安全漏洞，这些漏洞很容易成为黑客攻击最直接的目标，给校园网带来了严重威胁，使得校园网络安全需要投入更多的精力，需要从各个层次进行防范。

3、网络安全意识淡薄，计算机病毒较多

高校校园网主要的服务群体是教职工和学生，用户计算机网络水平参差不齐，在日常上网行为和使用计算机过程中，很多用户缺少足够的网络安全意识，比如教职工为了教学科研和日常办公方便，经常使用简单的密码来管理计算机和各种业务系统，造成密码容易被非法盗用，从而导致系统和网络安全问题，黑客通过盗取个人信息进行诈骗或者获取用户账号信息来谋求不法利益，甚至有些黑客在用户的计算机安装后门木门，并作为僵尸网络的攻击工具。另外，计算机技术的飞速发展也使得计算机病毒获得了更加快捷多样的传输途径，各种新型病毒不断升级变异，并通过U盘、移动终端、局域网等各种方式进行广泛传播。如何提高用户的网络安全意识，有效解决病毒对校园网络安全的威胁，也是校园网管理人员必须面临的一个问题。

二　构建校园网络安全防范体系

针对校园网络安全的各种安全隐患和威胁，要有效地进行防范，我们必须了解网络安全的体系结构及其包含的主要内容，国际电信联盟电信标准部(ITU-T)在X－800建议中提出了开放系统互连(OSI)安全体系结构，OSI安全体系结构集中在三个方面：安全攻击，安全机制和安全服务。安全攻击是指损害机构所拥有信息的安全的任何行为；安全机制是指设计用于检测、预防安全攻击或者恢复系统的机制；安全服务是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。三者之间的关系如图1所示。

在校园网络管理中，网络安全防范根本任务就是防范安全攻击，提供安全可靠的信息服务。在计算机网络发展过程中，人们在不断实践总结的基础上逐渐形成了动态信息安全理论体系模型，如P2DR模型，主要包括：Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。该模型以安全策略为指导，将安全防护、安全检测和及时响应有机地结合起来，形成了一个完整的、动态的安全循环，有效地保障了保证网络信息系统的安全。

篇2

关键词：网络信息；防火墙；数据加密；防范

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599(2012)03-0000-02

Analysis of the Network and Information Security Issues and Preventive Measures

Zhang Xiujuan

(Tianjin University ofConstruction Engineering Staff,Tianjin300074,china)

Abstract:This article based on the question which exists to the computer network security aspect,through to the information revelation's way,the network attack method's analysis,has discussed computer network's safety control,proposed the network security guard measure.

Keywords:Network information;Firewall;Data encryption;Guard

随着科学技术的迅猛发展，网络的应用变得越来越广泛，给人们带来了数不尽的便捷和好处，是企业内外各种信息交互、传输和共享的基础。但由于网络自身的开放性、互联性以及连接形式多样性、终端分布不均匀等特点，致使网络易受黑客、恶意软件等攻击，因此网络安全问题和有效的防范措施凸显其重要性。

一、网络信息安全的基本内涵

信息安全是指防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。网络安全是指计算机网络环境下的信息安全。因此网络信息安全就是指计算机网络信息系统的硬件设备或者软件及其重要数据信息受到保护，不因突发事件或者恶意破坏而遭到损害、更改或者泄露，从而使网络信息系统能够连续安全运行。

二、网络信息系统面临的主要安全性问题

网络信息系统面临的安全性攻击有被动攻击和主动攻击两种类型。

（1） 被动攻击

被动攻击是攻击者对信息系统实施的一种“被动性”攻击，主要特征是窃密，其行为一般不妨碍信息系统本身的正常工作。

被动攻击主要包含以下攻击行为。

1.非法阅读和复制文件

攻击者未经授权而非法进入信息系统阅读或复制信息系统程序和其它文件等。

2.窃听通信信息

攻击者通过搭线窃听、空中拦截等手段，截取他人信息。

3.通信流量分析

攻击者通过流量监测，也可获得有用信息。例如某系统平时流量大致稳定，某天通讯流量突然激增，预示着有重大事件发生，攻击者必千方百计探知。

由于被动攻击不影响信息系统的正常工作，因此这种方式攻击隐蔽性强，通过检测等一般方法很难发现。因此对付这种攻击的有效途径不是检测而是预防。

（二）主动攻击

主动攻击是攻击者对信息系统实施的一种“主动性”攻击，主要特征是假冒、伪造和篡改，其行为妨碍信息系统本身的正常工作。

主动攻击主要包含以下攻击行为。

1.假冒

攻击者假冒他人身份，欺骗合法实体。例如，犯罪分子制作以假乱真的网上银行网页，盗取用户的用户名和密码，然后将用户的存款通过真正网银网页转移到他的账户上。

2.重放

重放攻击（Replay Attacks）又称重播攻击、回放攻击或新鲜性攻击（Freshness Attacks），是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。

这种攻击会不断恶意或欺诈性地重复一个有效的数据传输，重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证服务器。重放攻击在任何网络通讯过程中都可能发生。

3.篡改

攻击者通过插入、修改、删除等手段篡改所访问或拦截的信息系统信息。

4.伪造

攻击者伪造信息并通过网络传送给接收者。

5.中断

攻击者无休止地对网上的服务实体不断进行干扰，使其超负荷运转，执行非服务性操作，最终导致系统无法正常使用甚至瘫痪。

由于主动攻击影响信息系统的正常工作，因此容易通过检测发现，但难以预防此种行为的发生。因此对付这种攻击的有效途径不是预防而是检测和恢复。

三、对计算机网络安全问题采取的几点防范措施

网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。

（一）网络信息安全在很大程度上依赖于技术的完善，包括防火墙、访问控制、入侵检测、密码、数字签名、病毒检测及清除、网络隐患扫描、系统安全监测报警等技术。

1.防火墙技术。

防火墙（Firewall）是指一个由软件系统和硬件设备组合而成的，在内部网和外部网之间的界面上构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而使内部网络与外部网络在一定意义下隔离，防止非法入侵、非法使用系统资源，执行安全管制措施，记录所有可疑事件。根据对数据处理方法的不同，防火墙大致可分为两大体系:包过滤防火墙和防火墙。

2.访问控制技术

访问控制（Access Control）技术是对信息系统资源进行保护的重要措施，它设计的三个基本概念为：主体、客体和授权访问。主体是指一个主动的实体，它可以访问客体，包括有用户、用户组、终端、主机或一个应用。客体是一个被动的实体，访问客体受到一定的限制。客体可以是一个字节、字段、记录、程序或文件等。授权访问是指对主题访问客体的允许，对于每一个主体和客体来说，授权访问都是给定的。访问控制技术的访问策略通常有三种：自主访问控制、强制访问控制以及基于角色的访问控制。访问控制的技术与策略主要有：入网访问控制、网络权限控制、目录级控制、属性控制以及服务器安全控制等多种手段。

3.入侵检测技术

入侵检测系统（Intrusion Detection System 简称 IDS）通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。提供了对内部入侵、外部入侵和错误操作的实时保护，在网络系统受到危害之前拦截相应入侵。

4.数据加密技术

所谓数据加密（Data Encryption）技术是指将一个信息（或称明文）经过加密密钥及加密函数转换，变成无意义的密文，而接收方则将此密文经过解密函数、解密密钥还原成明文。数据加密是网络中采用的最基本的安全技术，目的是为了防止合法接收者之外的人获取信息系统中的机密信息。

5.数字签名技术

数字签名（Digital Signature）技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。

6.防病毒技术

随着计算机网络的发展，计算机病毒从早期感染单机已发展到利用计算机网络技术进行病毒传播，其蔓延的速度更加迅速，破坏性也更为严重。在病毒防范中普遍使用的防病毒软件，网络防病毒软件主要注重网络防病毒，一旦病毒入侵网络或者从网络向其他资源传染，网络防病毒软件会立刻检测到并加以删除。

（二）人为的网络入侵和攻击行为使得网络安全面临新的挑战。

在做好技术安全防护措施的同时，也要加强对信息系统及相关人员的管理，只有技术与管理并重，信息系统才能真正做到安全防护。

首先，网络设备科学合理的管理。对网络设备进行合理的管理，必定能增加网络的安全性。比如将一些重要的设备尽量进行集中管理，如主干交换机、各种服务器等；对终端设备实行落实到人，进行严格管理，如工作站以及其他转接设备；对各种通信线路尽量进行架空、穿线或者深埋，并做好相应的标记等。

其次，是对网络的安全管理。建立各项网络信息安全制度，坚持预防为主、补救为辅的原则。制定工作岗位责任制，任务到人，责任到人，责、权、利分明，以最少的投入达到最佳安全状态。此外还必须对管理人员进行安全管理意识培训，加强对管理员安全技术和用户安全意识的培训工作。

四、结语

计算机网络信息安全是一个系统的工程，涉及技术、管理、使用等许多方面，我们必须综合考虑安全因素，制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统，随着计算机网络技术的进一步发展，网络安全防护技术也必然随着网络应用的发展而不断发展。

参考文献：

[1]邓元庆,龚晶,石会.密码学简明教程[M].北京.清华大学出版社,2011

[2]王可.浅谈计算机网络信息的安全技术与防范技巧[J].信息与电脑,2011（11）

[3]杨光,李非非,杨洋.浅析计算机网络安全防范措施[J].科技信息,2011（29）

篇3

论文摘要：该文对计算机网络安全存在的问题进行了深入探讨，并提出了对应的改进和防范措施。

计算机的广泛应用把人类带进了一个全新的时代，随着互联网的飞速发展，网络技术全面地影响和改造着人们的生活，上网已经成为工作和生活不可缺少的一部分，网络已经深进社会和生活的各个方面。但随之而来的是，计算机网络安全也受到前所未有的威胁，一旦计算机网络受到攻击而不能正常工作，甚至瘫痪，整个社会就会陷进危机。计算机病毒无处不在，黑客的猖獗，都防不胜防。本文将对计算机网络安全存在的问题进行深入剖析，并提出相应的安全防范措施。

1、计算机网络安全的定义

计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露。计算机网络安全包括两个方面， 即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护， 免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。

2、计算机网络不安全因素

对计算机信息构成不安全的因素很多， 其中包括人为的因素、自然的因素和偶发的因素。其中，人为因素是指，一些不法之徒利用计算机网络存在的漏洞，或者潜入计算机房，盗用计算机系统资源，非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素，垃圾邮件和间谍软件也都在侵犯着我们的计算机网络。计算机网络不安全因素主要表现在以下几个方面：

2.1 计算机网络的脆弱性

互联网是对全世界都开放的网络，任何单位或个人都可以在网上方便地传输和获取各种信息，互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有以下几项：

(1)网络的开放性，网络的技术是全开放的，使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击，或是来自对网络通信协议的攻击，以及对计算机软件、硬件的漏洞实施攻击。

(2)网络的国际性，意味着对网络的攻击不仅是来自于本地网络的用户，还可以是互联网上其他国家的黑客，所以，网络的安全面临着国际化的挑战。

(3)网络的自由性，大多数的网络对用户的使用没有技术上的约束，用户可以自由地上网，和获取各类信息。

2.2 操作系统存在的安全问题

操作系统是作为一个支撑软件，使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性，系统开发设计的不周而留下的破绽，都给网络安全留下隐患。

(1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理，每个管理都涉及到一些模块或程序，如果在这些程序里面存在问题，比如内存管理的问题，外部网络的一个连接过来，刚好连接一个有缺陷的模块，可能出现的情况是，计算机系统会因此崩溃。所以，有些黑客往往是针对操作系统的不完善进行攻击，使计算机系统，特别是服务器系统立刻瘫痪。

(2)操作系统支持在网络上传送文件、加载或安装程序，包括可执行文件，这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能，比如FTP，这些安装程序经常会带一些可执行文件，这些可执行文件都是人为编写的程序，如果某个地方出现漏洞，那么系统可能就会造成崩溃。像这些远程调用、文件传输，如果生产厂家或个人在上面安装间谍程序，那么用户的整个传输过程、使用过程都会被别人监视到，所有的这些传输文件、加载的程序、安装的程序、执行文件，都可能给操作系统带来安全的隐患。所以，建议尽量少使用一些来历不明，或者无法证明它的安全性的软件。

(3)操作系统不安全的一个原因在于它可以创建进程，支持进程的远程创建和激活，支持被创建的进程继承创建的权利，这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上，特别是“打”在一个特权用户上，黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。

(4)操作系统有些守护进程，它是系统的一些进程，总是在等待某些事件的出现。所谓守护进程，比如说用户有没按键盘或鼠标，或者别的一些处理。一些监控病毒的监控软件也是守护进程，这些进程可能是好的，比如防病毒程序，一有病毒出现就会被扑捉到。但是有些进程是一些病毒，一碰到特定的情况，比如碰到5月1日，它就会把用户的硬盘格式化，这些进程就是很危险的守护进程，平时它可能不起作用，可是在某些条件发生，比如5月1日，它才发生作用，如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况。

(5)操作系统会提供一些远程调用功能，所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序，可以提交程序给远程的服务器执行，如telnet。远程调用要经过很多的环节，中间的通讯环节可能会出现被人监控等安全的问题。

(6)操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段，程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用，或在软件前没有删除后门程序，容易被黑客当成漏洞进行攻击，造成信息泄密和丢失。此外，操作系统的无口令的入口，也是信息安全的一大隐患。

(7)尽管操作系统的漏洞可以通过版本的不断升级来克服， 但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间，一个小小的漏洞就足以使你的整个网络瘫痪掉。

2.3 数据库存储的内容存在的安全问题

数据库管理系统大量的信息存储在各种各样的数据库里面，包括我们上网看到的所有信息，数据库主要考虑的是信息方便存储、利用和管理，但在安全方面考虑的比较少。例如：授权用户超出了访问权限进行数据的更改活动；非法用户绕过安全内核，窃取信息。对于数据库的安全而言，就是要保证数据的安全可靠和正确有效，即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取；数据库的完整性是防止数据库中存在不符合语义的数据。

2.4 防火墙的脆弱性

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合，使Internet 与Intranet 之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。

但防火墙只能提供网络的安全性，不能保证网络的绝对安全，它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁，但是却不能防止从LAN 内部的攻击，若是内部的人和外部的人联合起来，即使防火墙再强，也是没有优势的。它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展，还有一些破解的方法也使得防火墙造成一定隐患。这就是防火墙的局限性。

2.5 其他方面的因素

计算机系统硬件和通讯设施极易遭受到自然环境的影响，如：各种自然灾害（如地震、泥石流、水灾、风暴、建筑物破坏等）对计算机网络构成威胁。还有一些偶发性因素，如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等，也对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对计算机信息安全造成威胁。

3、计算机网络安全的对策

3.1 技术层面对策

对于技术方面，计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来，技术层面可以采取以下对策：

(1)建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息，严格做好开机查毒，及时备份数据，这是一种简单有效的方法。

(2)网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

(3)数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略：只备份数据库、备份数据库和事务日志、增量备份。

(4)应用密码技术。应用密码技术是信息安全核心技术，密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一，密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。

(5)切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理，不使用来历不明的U 盘和程序，不随意下载网络可疑信息。

(6)提高网络反病毒技术能力。通过安装病毒防火墙，进行实时过滤。对网络服务器中的文件进行频繁扫描和监测，在工作站上采用防病毒卡，加强网络目录和文件访问权限的设置。在网络中，限制只能由服务器才允许执行的文件。

(7)研发并完善高安全的操作系统。研发具有高安全的操作系统，不给病毒得以滋生的温床才能更安全。

3.2 管理层面对策

计算机网络的安全管理，不仅要看所采用的安全技术和防范措施，而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合，才能使计算机网络安全确实有效。

计算机网络的安全管理，包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念，提高计算机用户的安全意识，对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰，是十分重要的措施。

这就要对计算机用户不断进行法制教育，包括计算机安全法、计算机犯罪法、保密法、数据保护法等，明确计算机用户和系统管理人员应履行的权利和义务，自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则，自觉地和一切违法犯罪的行为作斗争，维护计算机及网络系统的安全，维护信息系统的安全。除此之外，还应教育计算机用户和全体工作人员，应自觉遵守为维护系统安全而建立的一切规章制度，包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。

3.3 物理安全层面对策

要保证计算机网络系统的安全、可靠，必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施，主要包括以下内容：

(1)计算机系统的环境条件。计算机系统的安全环境条件，包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面，都要有具体的要求和严格的标准。

(2)机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地，要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性，避开强振动源和强噪声源，并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。

(3)机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全，首先，应考虑物理访问控制来识别访问用户的身份，并对其合法性进行验证；其次，对来访者必须限定其活动范围；第三，要在计算机系统中心设备外设多层安全防护圈，以防止非法暴力入侵；第四设备所在的建筑物应具有抵御各种自然灾害的设施。

4、结语

计算机网络安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术，将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来，形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重，安全技术必须结合安全措施，并加强计算机立法和执法的力度，建立备份和恢复机制，制定相应的安全标准。此外，由于计算机病毒、计算机犯罪等技术是不分国界的，因此必须进行充分的国际合作，来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。

参考文献

[1]张千里，陈光英著.《网络安全新技术》.人民邮电出版社，2003.1.

篇4

一、图书馆计算机网络系统存在的安全管理问题

（一）网络的攻击时常发生。由于网络的安全措施不到位，例如没有配置相应的防火墙和杀毒软件，导致网络黑客经常利用系统存在的缺陷和错误制造病毒或者木马等，对系统进行强烈的攻击，经常导致系统大面积的出现瘫痪，数据被非法盗取和利用，给图书馆带来了巨大的损失。信息也无法进行正常的传递，给图书馆的正常运行和使用造成了很大的不便。

（二）管理人员的水平和素质有待提高。有些图书馆的网络系统虽然软硬件的安全管理措施做得已经比较到位了，但是系统依旧无法比较高效的运行和管理[1]，其原因主要是图书馆的管理人员水平和能力存在很大的差距，图书馆也缺乏相应的有效的体系来保障，导致安全无法落到实处，员工对自己的职责不确定，数据没有安全的督察。所以即便有的时候，图书馆的计算机网络系统所在的内网和外网已经阻断了联系，但是还是会由于图书馆内部管理不当，缺乏高素质和能力的管理员，给数据库的数据带来了严重的安全威胁。

（三）系统的硬件时常出现问题。很多老化和过时的系统硬件仍旧在使用，图书馆管理者不舍得花钱去更新好的高效的设备，导致了系统的工作效率比较低。甚至会出现很多的功能没法正常实现，给系统的安全管理也带来了一定的困难，这种现象在很多图书馆都有出现。

二、图书馆计算机网络系统存在安全管理问题的解决对策

（一）加强对网络攻击的预防。网络攻击有些是即时性高爆发的，有些则是潜伏性的，在达到设置的时间后则迅速发生，让人根本预料和处理，就导致整个系统瘫痪了，这是管理员最不希望发生的事。为此必须努力增强组织病毒入侵的防范工作。其中使用最广泛的手段就是计算机系统自带的防火墙功能，还有下载安装的正版杀毒软件[2]，如360、卡巴斯基等等。防火墙是一种硬件和软件相结合的技术，市场上销售量比较多的质量有保证的防火墙软件有天网防火墙和诺顿网络安全特警系列等等，能够很好的阻止外网对内网的入侵，并自动把非法不安全的服务器和用户筛选掉，杀毒软件则可以很好的减少病毒的侵犯，确保系统的数据是安全的。想要做到数据在网络系统的绝对安全是不能当当的依靠防火墙和杀毒软件的，必须要做好对相关重要数据的定期备份和必要时的恢复性工作。还要时常更新系统的软件设备，升级病毒库以及更换相应的硬件设施。

（二）提高管理人员的工作水平和安全意识。我国的图书馆计算机网络系统的管理人员普遍水平不高，也缺乏相应的安全防范意识。而系统的安全主要是依靠服务器和数据库的安全，所以要把服务器配置在安全的场所，并加强内在的安全防范意识[3]，制定好数据的保密工作领域，经常性的备份数据，对管理人员加强正确规范的新管理概念和方法的培训工作。努力让他们树立好的工作素养，和安全意识，提高工作质量的同时保证工作的效率。可以签订相关的保密协议，做到出现问题追究到具体的个人身上，严重的给予相应的惩罚和法律的制裁，避免因人为因素造成的不必要巨大损失。图书馆可以考虑自身的实际情况，加强对工作人员相关工作和能力上的强化。

篇5

关键词:信息网络安全 防火墙 信息加密

1 前言

互联网和IT技术的普及,使得信息突破了时空上的限制,特别是计算机网络的社会化,已经成为了信息时代的主要推动力。随着互联网应用的飞速发展,在给人们带来前所未有的海量信息的同时,网络的开放性和自由性使得网页篡改、计算机病毒系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生,网络信息的安全性变得日益重要起来。为了更有效地对信息主动防护,提高计算机网络的安全防御策略,必须对影响计算机网络安全的主要因素有深入详细的了解。

2 网络安全的定义

网络安全是一个关系国家安全和、社会的稳定、民族文化的继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快而变到越来越重要。网络安全[1]是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化[2]。

3 网络安全面临的问题

(1)系统生存安全,系统能否在自然灾害、人为破坏、战争等情况下,保证服务的连续性;

(2)系统运行安全,系统信息处理和传输的安全,避免人为不当;

(3) 系统信息的安全,包括系统中用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密等是否安全;

(4)网络信息传播后果安全,它侧重于系统能否有效防止和控制非法、有害的信息进行传播后的后果,避免在网络上大量自由传输的信息失控;

(5)网络信息内容的安全,它侧重于系统能否保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等损害合法用户的行为,保护用户的利益和隐私。

4 网络的安全防范策略

4.1 物理措施

例如保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的保密观念和责任心;增强业务、技术的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。

保护传输线路安全。对于传输线路,应有露天保护措施或埋于地下,并要求远离各种 辐射源,以减少各种辐射引起的数据错误;电缆铺设应当使用金属导管,以减少各种辐射引起的电磁泄露和对发送线路的干扰。对连接要定期检查,以检测是否有搭线窃听、外连或破坏行为。

4.2 防御黑客攻击

黑客攻击是黑客自己开发或利用已有的工具寻找计算机系统和网络 的缺陷和漏洞,并对这些缺陷实施攻击。在计算机网络飞速发展的同时,黑客技术也日益高超,目前黑客能运用的攻击软件已有1000 多种。从网络防御[3]的角度讲,计算机黑客是一个挥之不去的梦魇,以下是黑客常常采取的几种方法:

(1) 获取口令:一是通过网络监听非法得到用户口令;二是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令;三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令的Shadow文件。

(2) 放置特洛伊木马程序:特洛伊木马程序可以直接侵入用户的电脑并进行破坏,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。就可以任意修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。

(3) WWW的欺骗技术:黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。

(4) 电子邮件攻击:电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹;二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序。

(5) 网络监听:网络监听是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。

(6) 寻找系统漏洞:许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的。

(7)利用帐号进行攻击:有的黑客会利用操作系统提供的缺省账户和密码进行攻击。

访问控制是网络安全防范和保护的主要策略,他的主要任务是保证网络资源不被非法使用和非常访问。根据网络安全的等级,网络空间的环境不同,可灵活地设置访问控制的种类和数量。

防火墙技术。防火墙是近期发展起来的一种防御黑客攻击保护计算机网络安全的技术性措施,他是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进出两个方向通信的门槛。目前的防火墙主要有包过滤防火墙、防火墙和双穴主机防火墙3种类型,并在计算机网络得到了广泛的应用。防火墙的确是一种重要的新型安全措施。但是防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行,那个程序很可能就包含一段恶意的代码,或泄露敏感信息,或对之进行破坏

4.3 信息加密技术

信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。信息加密技术是利用数学或物理手段,对电子信息在传输过程中和存储体内进行保护,以防止泄漏的技术。

保密通信、计算机密钥、防复制软盘等都属于信息加密技术。通信过程中的加密主要是采用密码,在数字通信中可利用计算机采用加密法,改变负载信息的数码结构。计算机信息保护则以"软件加密"为主。目前世界上最流行的几种加密体制和加密算法有:"RSA算法"和"CCEP算法"等。一个加密网络,不但可以防止非授权用户的搭线窃听和入网而且也是对付恶意软件的有效方法之一。

5 结语

信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制。本文分析了网络安全面临的诸多问题以及相应的安全防范策略。

参考文献

[1] 吕江.网络安全现状分析及应对措施[J].中国新技术新产品,2009,23:44-45.

[2] 朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.

篇6

随着信息技术的迅速发展和普遍应用，人们的生活工作等各个方面都已经离不开网络，人们对互联网的依赖性也越来越强。高校作为信息和新技术的前沿，更是在各个方面依赖于网络。高校的信息化建设也日益发展，高校的教学、科研、生活、管理等各方面都依赖于校园网络，成为高校信息的载体，促进了校园的资源共享，提高了校园的管理效率，也方便了广大师生的学习和生活。然而，网络安全问题也随着显现出来，信息的安全是令人忧虑的。本文就高校网络的安全问题进行了分析并提出了如何防范的对策。

一、高校网络安全问题的现状

（一）高校校园网络的特点

新时期高校的教学、科研和学校管理等方面越来越多地依赖于校园网络，与其他的网络相比它又具有自己的特点。具体体现在三个方面：首先，校园网在建设规模上比较大，应用和覆盖的范围广且管理难度大，用于安全管理的软硬件措施缺少必要的投入，造成在维护方面有困难。其次，校园网络的用户群体也比较特殊，他们上网时间偏长且有一定的知识和技术水平，加上强烈的好奇心，很容易对网络安全构成威胁。再者，在管理层面上，每年的流动性比较大，用户的管理及路由器管理等比较复杂，用户的类型及安全权限等复杂性也加大了管理难度。

（二）高校校园网络存在的安全隐患

1.高校校园网络存在病毒和黑客入侵等隐患。病毒具有很大的破坏性和隐蔽性，校园网络中的用户由于缺乏安全意识，很容易使病毒入侵和传播，不仅会影响计算机的正常运行，甚至会造成系统的瘫痪。黑客的入侵是校园网络的严重威胁，窃取重要的信息和资源，造成极大的危害。

2.高校校园网络用户缺乏安全意识。校园网络的用户主要是教师和学生，使用网络时更多地是为了获取信息、共享资源，对网络安全缺乏应有的安全意识，计算机不设置防火墙和杀毒软件或者不进行及时更新，随意访问各类网站并对登录密码的设置也比较简单，对一些不安全的网站或者页面随意登录，个人的账号随便转借别人，这些都给高校的网络带来安全隐患。

3.高校校园网络的管理和投入不足。高校的网络在管理和建设上有待完善，对网络的安全不够重视，尤其是对管理和维护方面的投入上明显不足，管理硬件缺乏投入。管理制度也不是很健全。网络管理人员比较少，只是简单维护，专业技能方面还需要提高，因此应该加大对校园网络的投入和监管力度。

二、高校校园网络防范对策

针对高校校园网络存在的安全问题，运用先进的技术和管理来保障校园网络安全运行。

（一）在安全技术上加大对校园网络问题的防范

高校校园网络应该运用先进的技术，加大监控力度。防火墙可以控制网络之间的访问，在保护内部网络安全上起到至关重要的作用。应用最为先进的防火墙的技术，为校园网络筑起安全的屏障。由于病毒和黑客的入侵，要加强校园网络的漏洞检测，及时修补。并采取措施预防病毒，病毒防护的核心技术是病毒的检测，加强检测技术，使病毒一旦入侵计算机便可及时进行拦截。由于病毒的更新和繁衍非常快，一定要对病毒库代码进行及时更新。同时做好数据的备份，最低限度地降低破坏。严格控制学校网络的访问，设置访问权限。对重要的数据和文件要加密，利用专业的加密技术，使校园网络中的数据不被泄露。这些最大限度地保护了校园网络的安全。

（二）加大校园网络管理力度，增加投入

多数高校注重对网络基础设施的投入，没有意识到校园网络安全问题带来的更大的隐患。先进的设备需要有更先进的管理系统和制度，所以必须在硬件上增加资金投入，引进各种检测系统，采用先进的检测手段，才能更好地维护校园网络的安全。同时加强校园网络管理队伍建设，对专业人员进行培训，掌握最新的网络技术，提高他们的维护网络安全的能力。

（三）加强高校校园网络用户的安全意识

由于校园网络用户数量规模比较大，大多数缺乏网络安全意识或是认识不足，因此应该对校园网络用户开展安全教育，开展多种形式的网络安全宣传及活动，规范文明上网，提高网络安全意识。定期开展计算机防护技术公开课，提高用户的计算机水平，从主体上降低网络用户的安全隐患。

篇7

关键词：云计算；计算机网络安全；防范策略

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 （2013） 10-0116-01

一、云计算

（一）云计算的概念

云计算（CloudComputing）是近年来发展的一种新的计算形态。它是网格计算（GridComputing）、分布式计算（DistributedComputing）、并行计算（ParallelComputing）、效用计算（UtilityComputing）、网络存储（NetworkStorageTechnologies）、虚拟化（Virtualization）、负载均衡（LoadBalance）等传统计算机和网络技术发展融合的产物。云计算的核心思想是将大量用网络连接的计算资源统一管理和调度，构成一个计算资源池向用户按需服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取，按需使用，随时扩展，按使用付费。

（二）云计算的工作原理

云计算的思想就是把力量联合起来，然后给其中的每一个成员使用。云计算的基本原理就是通过使计算分布在大量的分布式计算机上，而非本地计算机或远程服务器中。这使得企业能够将资源切换到需要的应用上，根据需求访问计算机和存储系统。这也意味着计算能力就像我们现在使用水和电一样，取用方便，费用低廉。

二、云计算背景下计算机网络安全存在的问题

在技术方面，云计算存储了大量的数据，一旦在云计算中心放生故障，将导致不可估量的损失。云计算在网络的建设中拥有巨大的优势，但是存在的问题也很多。其中最突出的就是网络的虚假地址和虚假标识问题。

其次，在计算机的网络里，我们的防范措施很单一，网络上的黑客和病毒随时都有可能攻击我们的云计算中心。在云计算中心里存储的大数据信息对这些攻击具有强大的吸引力。因此，云计算有许多重要的安全问题，例如在没有真正明确保密性、完整性和可用性责任的情况下把服务委托给第三方等。

此外，互联网技术在中国发展太快、变化太多，以致于让我们对网络安全的认识跟不上，缺少防范意识，虽然近几年有了一定的提高，但是还不能满足网络安全的需求。我国对网络安全的立法还并不全面，存在着漏洞，而且监管的严密性也不够。目前我国的立法不全，缺乏对网络安全的制裁手段和惩罚。

三、云计算背景下计算机网络安全的防范策略

（一）提高防范意识，明确网络安全发展目标

一方面，加强对网络系统认证身份的确认和识别，明确授权主体，从而提高对网络安全在身份上的确认保障，避免因第三方侵入网络安全系统；另一方面，保证网络信息的完整性和机密性、一致性，加强对信息传播的监控操作，防止机密信息流失造成不必要的影响，禁止非授权用户对信息数据的整改，严格把关信息安全的操控。

（二）提高网络安全壁垒，强化应对网络威胁的能力

1.系统安全分析

系统安全分析是把系统中复杂事物分成相对简单的组成部分，并找出各组成部分之间的内部联系，查明危害的过程。系统安全分析的目的是为了在整个系统生命周期内，彻底除去或是控制危害。

2.采用加密技术

要提高网络安全，加密技术是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。

3.采用认证和数字签名技术

身份认证是指用数字办法确认、鉴定、认证网络上参与信息交流者或服务器的身份。数字证书是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。认证的主要目的确定信息的真实性、完整性和不可否认性。所谓认证系统是为了使接收者或第三者能够识别和确认消息的完整性的密码系统。

4.运用服务器

服务器只允许因特网的主机访问其本身，并有选择地将某些允许的访问传输给内部网，这是利用服务器软件的功能实现的。采用防火墙技术，易于实现内部网的管理，限制访问地址。可以保护局域网的安全，起到防火墙的作用：对于使用服务器的局域网来说，在外部看来只有服务器是可见的，其他局域网的用户对外是不可见的，服务器为局域网的安全起到了屏障的作用。

5.使用过滤器

Vontu、Websense和Vericept等公司提供一种系统，目的在于监视哪些数据离开了你的网络，从而自动阻止敏感数据。比方说，身份证号码具有独特的数位排列方式。还可以对这类系统进行配置，以便一家公司里面的不同用户在导出数据方面享有不同程度的自由。

参考文献

[1]刘颖，刘景.计算机网络安全问题及措施[J].科技资讯，2008，6.

[2]姚远耀，张予民.云计算在网络安全领域的应用[J].科技广场，2009，7.

[3]王洪镇，谢立华.关于云计算及其安全问题的综述[J].现代计算机（专业版），2013，6.

[4]梁杰文，佟得天.云计算下的信息安全综述[J].信息与电脑（理论版），2012，12.

篇8

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2012）04-0000-00

所谓计算机网络，就是通过通信线路将某些具有独立功能的计算机与和外部设备进行连接，再计算机网络操作系统、计算机网络管理软件以及计算机网络通信协议的共同协调作用下，实现信息传递与资源共享功能的计算机系统。所谓计算机网络安全，就是对计算机网络系统内的软硬件以及系统数据进行有效保护，使其能够不受外界因素影响而持续地进行正常工作，避免其因遭受破坏而泄露信息、更改系统或者发生网络服务中断等问题。从本质上来讲，计算机网络安全的根本是指计算机网络信息的安全，因此计算机网络安全的研究领域囊括了网络信息的保密性、真实性、完整性、可用以及可控性等相关技术理论等内容。计算机网络安全是一项涉及计算机、网络、通信、密码、信息安全、应用数学等多种学科的应用技术。防火墙、入侵检测、病毒防治是计算机网络安全技术的三项基本内容。

1、计算机网络安全与计算机网络安全技术的发展现状

我们所说的计算机网络需要以网络可识别的网络协议为前提，在此基础上再将各种网络应用进行完整的组合，因此无论协议本身还是网络应用，均存在发生问题的可能性。计算机网络安全问题，既有计算机网络协议的使用和设计问题，也有网络协议的应用以及相关软件的应用问题，此外还有一些人为因素导致的系统管理失误等等。

面对计算机网络安全这一研究课题，计算机网络安全专家曾经进行了深入的探索研究，设计开发了一系列安全技术试图防患于未然，例如：防火墙系统、访问控制技术、密码安全技术、病毒防护技术、数据库安全技术等等，还先后推出了防火墙软件、入侵检测(IDS)软件以及各类防毒杀毒软件等，从某种程度上使得计算机网络安全问题得以有效解决和处理。

随着计算机技术的不断发展，计算机网络安全技术也逐渐由系统和网络等基础层面的防护演变提高至应用层面的安全防护上来，由基层或者基本数据层面提高至应用层面上来，安全技术更主要的已与应用紧密结合起来，因此应用防护已经与各类业务行为紧密相联。

尤其是近年来，我国政府对于计算机网络安全问题尤为关注，进一步推动了我国计算机网络安全技术的发展和繁荣，很多网络安全企业与时俱进，采用最新的安全技术手段和方法，研制开发和推出了一批能够有效满足计算机用户需求且符合时展需要的安全产品，也使得我国计算机网络安全技术得以逐步提高。

2、计算机网络安全技术面临的主要问题及影响因素

2.1 计算机网络安全技术面临的主要问题

计算机网络安全技术面临着许多难题，其中最主要的现在的网络安全技术仅能够解决某个以及某方面的网络安全问题，而对其他方面问题无法有效防范和处理，更无法实现对计算机网络系统的全面防范保护。例如访问控制以及身份认证等技术的主要功能就是对网络用户身份进行确认，却无法保证网络用户彼此之间传递信息是否安全的问题；再如病毒防范技术也仅能够防止病毒威胁网络系统安全，却无法辨认识别网络用户身份等等。

通过现有的防火墙技术，能够解决一部分网络安全问题，然而一些防火墙产品也都存在局限性。如今的网络环境，防火墙主要是作为可信网络与不可信网络之间的缓冲作用，同时作为其它网络可能发起攻击屏障防范工具。现代防火墙技术也无法保证其放行的数据全部安全，因此应用同样存在局限。再有，如果是从内部网络攻击防火墙、或者绕过防火墙进行攻击、采用最新的攻击手段、发生数据驱动攻击等等其都无法进行有效防御。因此，即使用户在计算机系统中安装有防火墙，然而面对泛滥的蠕虫、各种新式病毒、某些垃圾邮件等等问题仍然无法有效解决。

入侵检测技术中也有一定的局限，其中最主要的是漏报及误报问题。入侵检测技术通常仅能视为参考工具使用，而作为安全工具其是无法值得信赖的。单个产品没有经入侵检测，可能存在提前预警方面的问题，目前应该从精确定位和全局管理等方面着手研究，尚存一定发展空间。

大部分用户都会在单机和终端安装某些防毒软件工具，然而内网安全问题不仅是简单的防病毒问题，还包括执行安全策略、防范外来非法侵入以及补丁管理、日常管理等各种相关内容。

网络安全技术在面对某个具体系统、软硬件、数据、以及程序本身的安全时，从网络安全的整体技术框架方面来看，其问题相当严峻。对于应用层面的安全问题，其侧重点在于信息语义范畴的内容和网络虚拟世界的行为。

在理想的安全防范产品没有面世时，绝大部分用户只能通过防火墙技术来保护网络安全。然而，面对新的OS漏洞以及大量的网络层攻击，出现了许多攻破防火墙和攻击网络的事件。因此，计算机网络安全商和广大计算机用户都期望能够拥有一套理想的计算机网络安全防范系统，从而确保网络系统的安全。

2.2计算机网络安全技术面临的影响因素

理想情况下，计算机网络安全技术能够保证计算机网络的安全，然而，现实情况却并非如此，存在着很多不安全因素，综合分析其主要影响因素包括以下几方面内容：

(1)计算机网络的建设单位、网络管理人员以及技术人员在其主观上缺乏安全防范意识，没有采取必要的安全措施，在其工作行为上始终处于被动状态。

(2)单位的工作人员对网络安全的现状不了解以及对网络安全隐患不清楚，因为人为因素导致未能做好防御攻击。

(3)单位没有建立起相对完备的网络安全防范体系结构，未能形成有效防范，导致攻击者有机可乘对网络缺陷进行攻击。

(4)单位缺乏完善的计算机网络管理体系，无法有效利用安全管理体系以及安全防范措施。因此在业务活动中，某些安全漏洞很容易泄露信息，让攻击者能够收集到一些敏感信息。

(5)网络安全管理人员以及专业技术人员安全知识缺乏，无法实现对网络安全的有效管理，对于现存的安全问题不能及时发现解决，对于未来可能发生的安全突发事件没有能力有效处理。

3、计算机网络安全技术的主要解决策略

计算机网络安全的实现是一项长期系统的工程。因此，必须做好需求分析，加强安全风险管理，制定安全防范策略，开展定期安全审核，注重外部支持，以及加强网络安全管理，从而实现预期的网络安全目标。

(1)做好需求分析。只要明确安全需求，才能建立起有效的安全防范体系结构，从而保证网络系统的安全。

(2)加强安全风险管理。单位要充分利用现有资料，尽已所能做好安全防范工作，针对安全需求分析发现的可能存在的安全威胁以及业务安全需求进行风险评估，加强安全风险管理。

(3)制定安全防范策略。单位要根据安全需要、风险评估的结果，有计划地制定出有效的计算机网络安全防范策略。

(4)开展定期安全审核。开展安全审核的目的就是查看单位是否采取了有效的安全防范策略。面对单位计算机网络配置的频繁变化，单位对网络安全的需求也会发生改变，因此网络安全策略也要随之进行调整。为了确保在安全策略和控制措施能够反映出这种变化的情况，必须进行定期安全审核。

(5)注重外部支持。计算机网络安全还需要注重依靠外部支持。通过专业的安全服务机构能够有效改善现有的网络安全体系，以及提供网络安全预警和获取最新的安全资讯内容等。

(6)加强网络安全管理。网络安全管理是网络安全的重中之重，要想真正做好网络安全工作，必须加强网络安全的管理。

4、结语

综上所述，计算机网络安全与计算机网络的发展是紧密相联的。计算机网络安全是一项长期系统的工程，单纯地依靠防火墙技术、杀毒软件等进行防护远远不够。要知道计算机网络系统属于人机交互系统，人才是进行计算机安全保护的主体。因此，我们在进行计算机网络安全硬件产品研发和打造强大的计算机网络安全系统的同时，还必须注重人们对计算机网络安全防范意识的树立，网络安全制度的建立，网络安全教育的开展，网络安全管理的落实，建立起从技术层面到管理层面都十分强大的计算机网络安全系统。

参考文献

[1] 杨永旭.防火墙技术在网络安全应用中的现状[J].甘肃科技,2009.

[2] 张旭斌.计算机网络安全现状及防范策略[J].数字技术与应用,2009.

[3] 周刚伟,苏凯.对网络安全技术的浅析[J].数字技术与应用,2009.

[4] 李忍,戴书文.浅谈网络安全问题及防御[J].知识经济,2009.

篇9

关键词信息安全；PKI；CA；VPN

1引言

随着计算机网络的出现和互联网的飞速发展，企业基于网络的计算机应用也在迅速增加，基于网络信息系统给企业的经营管理带来了更大的经济效益，但随之而来的安全问题也在困扰着用户，在2003年后，木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场，企业就面临着如何提高自身核心竞争力的问题，而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等，又时刻在制约着自己，企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

在下面的描述中，以某公司为例进行说明。

2信息系统现状2.1信息化整体状况

1)计算机网络

某公司现有计算机500余台，通过内部网相互连接，根据公司统一规划，通过防火墙与外网互联。在内部网络中，各计算机在同一网段，通过交换机连接。

图1

2)应用系统

经过多年的积累，某公司的计算机应用已基本覆盖了经营管理的各个环节，包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善，计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2信息安全现状

为保障计算机网络的安全，某公司实施了计算机网络安全项目，基于当时对信息安全的认识和安全产品的状况，信息安全的主要内容是网络安全，部署了防火墙、防病毒服务器等网络安全产品，极大地提升了公司计算机网络的安全性，这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

3风险与需求分析3.1风险分析

通过对我们信息系统现状的分析，可得出如下结论：

(1)经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

(2)计算机应用系统涉及越来越多的企业关键数据，这些数据大多集中在公司总部数据中心，因此有必要加强各计算机应用系统的用户管理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的机密性、完整性和可用性。

通过对现有的信息安全体系的分析，也可以看出：随着计算机技术的发展、安全威胁种类的增加，某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷，具体表现在：

(1)系统性不强，安全防护仅限于网络安全，系统、应用和数据的安全存在较大的风险。

目前实施的安全方案是基于当时的认识进行的，主要工作集中于网络安全，对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证，对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段，很容易被冒充；又如数据备份缺乏整体方案和制度规范，容易造成重要数据的丢失和泄露。

当时的网络安全的基本是一种外部网络安全的概念，是基于这样一种信任模型的，即网络内部的用户都是可信的。在这种信任模型下，假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部，并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

针对外部网络安全，人们提出了内部网络安全的概念，它基于这样一种信任模型：所有的用户都是不可信的。在这种信任模型中，假设所有用户都可能对信息安全造成威胁，并且可以各种更加方便的手段对信息安全造成威胁，比如内部人员可以直接对重要的服务器进行操控从而破坏信息，或者从内部网络访问服务器，下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点：超过80%的信息安全隐患是来自组织内部，这些隐患直接导致了信息被内部人员所窃取和破坏。

信息系统的安全防范是一个动态过程，某公司缺乏相关的规章制度、技术规范，也没有选用有关的安全服务。不能充分发挥安全产品的效能。

(2)原有的网络安全产品在功能和性能上都不能适应新的形势，存在一定的网络安全隐患，产品亟待升级。

已购买的网络安全产品中，有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性，拟对系统的互联网出口进行严格限制，原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求，现有的防火墙不具备这些功能。

网络信息系统的安全建设建立在风险评估的基础上，这是信息化建设的内在要求，系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期，在规划的过程中，就运用风险评估、风险管理的手段，用户才可以避免重复建设和投资的浪费。

3.2需求分析

如前所述，某公司信息系统存在较大的风险，信息安全的需求主要体现在如下几点：

(1)某公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。

(2)网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使某公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。

(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要加快规章制度和技术规范的建设，使安全防范的各项工作都能够有序、规范地进行。

(4)信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是某公司面临的重要课题。

4设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行，避免重复投入、重复建设，充分考虑整体和局部的利益。

4.1标准化原则

本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定，使安全技术体系的建设达到标准化、规范化的要求，为拓展、升级和集中统一打好基础。

4.2系统化原则

信息安全是一个复杂的系统工程，从信息系统的各层次、安全防范的各阶段全面地进行考虑，既注重技术的实现，又要加大管理的力度，以形成系统化的解决方案。

4.3规避风险原则

安全技术体系的建设涉及网络、系统、应用等方方面面，任何改造、添加甚至移动，都可能影响现有网络的畅通或在用系统的连续、稳定运行，这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题，在规划与应用系统衔接的基础安全措施时，优先保证透明化，从提供通用安全基础服务的要求出发，设计并实现安全系统与应用系统的平滑连接。

4.4保护投资原则

由于信息安全理论与技术发展的历史原因和自身的资金能力，某公司分期、分批建设了一些整体的或区域的安全技术系统，配置了相应的设施。因此，本方案依据保护信息安全投资效益的基本原则，在合理规划、建设新的安全子系统或投入新的安全设施的同时，对现有安全系统采取了完善、整合的办法，以使其纳入总体安全技术体系，发挥更好的效能，而不是排斥或抛弃。

4.5多重保护原则

任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

4.6分步实施原则

由于某公司应用扩展范围广阔，随着网络规模的扩大及应用的增加，系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性，寻求安全、风险、开销的平衡，采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求，亦可节省费用开支。

5设计思路及安全产品的选择和部署

信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终，如图2所示。

图2网络与信息安全防范体系模型

信息安全又是相对的，需要在风险、安全和投入之间做出平衡，通过对某公司信息化和信息安全现状的分析，对现有的信息安全产品和解决方案的调查，通过与计算机专业公司接触，初步确定了本次安全项目的内容。通过本次安全项目的实施，基本建成较完整的信息安全防范体系。

5.1网络安全基础设施

证书认证系统无论是企业内部的信息网络还是外部的网络平台，都必须建立在一个安全可信的网络之上。目前，解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure，公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障，向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统，建立一个完善的网络安全认证平台，能够通过这个安全平台实现以下目标：

身份认证(Authentication)：确认通信双方的身份，要求通信双方的身份不能被假冒或伪装，在此体系中通过数字证书来确认对方的身份。

数据的机密性(Confidentiality)：对敏感信息进行加密，确保信息不被泄露，在此体系中利用数字证书加密来完成。

数据的完整性(Integrity)：确保通信信息不被破坏(截断或篡改)，通过哈希函数和数字签名来完成。

不可抵赖性(Non-Repudiation)：防止通信对方否认自己的行为，确保通信方对自己的行为承认和负责，通过数字签名来完成，数字签名可作为法律证据。

5.2边界防护和网络的隔离

VPN(VirtualPrivateNetwork)虚拟专用网，是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比，具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统，可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道，使得合法的用户可以安全的访问企业的私有数据，用以代替专线方式，实现移动用户、远程LAN的安全连接。

集成的防火墙功能模块采用了状态检测的包过滤技术，可以对多种网络对象进行有效地访问监控，为网络提供高效、稳定地安全保护。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

5.3安全电子邮件

电子邮件是Internet上出现最早的应用之一。随着网络的快速发展，电子邮件的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点，电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先，它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织(根证书)之间相互认证，整个信任关系基本是树状的。其次，S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。

5.4桌面安全防护

对企业信息安全的威胁不仅来自企业网络外部，大量的安全威胁来自企业内部。很早之前安全界就有数据显示，近80%的网络安全事件，是来自于企业内部。同时，由于是内部人员所为，这样的安全犯罪往往目的明确，如针对企业机密和专利信息的窃取、财务欺骗等，因此，对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起，形成一个整体，是针对客户端安全的整体解决方案。

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术，可以无缝嵌入OFFICE系统，用户可以在编辑文档后对文档进行签章，或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后，只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。

3)文件加密系统

文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中，加密算法采用国际标准安全算法或国家密码管理机构指定安全算法，从而保证了存储数据的安全性。

5.5身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。

基于PKI的USBKey的解决方案不仅可以提供身份认证的功能，还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系，从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

6方案的组织与实施方式

网络与信息安全防范体系流程主要由三大部分组成：攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程，也为本方案的实施提供了借鉴。

图3

因此在本方案的组织和实施中，除了工程的实施外，还应重视以下各项工作：

(1)在初步进行风险分析基础上，方案实施方应进行进一步的风险评估，明确需求所在，务求有的放矢，确保技术方案的针对性和投资的回报。

(2)把应急响应和事故恢复作为技术方案的一部分，必要时可借助专业公司的安全服务，提高应对重大安全事件的能力。

(3)该方案投资大，覆盖范围广，根据实际情况，可采取分地区、分阶段实施的方式。

(4)在方案实施的同时，加强规章制度、技术规范的建设，使信息安全的日常工作进一步制度化、规范化。

7结论

本文以某公司为例，分析了网络安全现状，指出目前存在的风险，随后提出了一整套完整的解决方案，涵盖了各个方面，从技术手段的改进，到规章制度的完善；从单机系统的安全加固，到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署，为众多行业提供了网络安全解决手段。

也希望通过本方案的实施，可以建立较完善的信息安全体系，有效地防范信息系统来自各方面的攻击和威胁，把风险降到最低水平。

篇10

【关键词】校园网；网络安全；安全策略

【中图分类号】TN915.08【文献标识码】A【文章编号】1672-5158（2013）07-0329-02

1 校园网络安全规范

校园的网络安全是指利用各种网络监控和管理技术措施，对网络系统的硬件、软件及系统中的数据资源实施保护，使其不会因为一些不利因素而遭到破坏，从而保证网络系统连续、安全、可靠地运行。

学校网络中心负责网络设备的运行管理，信息中心负责网络资源，系统管理员口令绝对保密，根据用户需求严格控制，合理分配用户权限，向学生开放的教学实验室应禁止使用软驱和光驱，以杜绝病毒的传播。

2 安全方案建议

2.1 校园网络状况分析

（1）资源分布和应用服务体系

校园网络可向网络用户提供：域名服务（DNS），电子邮件服务（Email），远程登录（telnet），文件传输服务（ftp），电子广告牌，BBS，电子新闻，WWW以及信息收集，存储，交换，检索等服务。

（2）网络结构的划分

整个网络是由各网络中心，和园区内部网络通过各种通信方式互联而成，所有网络可归纳为由连接子网、公共子网、服务子网、内部网四个部分组成。这四部分组成一个独立单位的局域网，然后通过广域连接与其他网络连接。

2.2 网络安全目标

为了增加网络安全性，必须对信息资源加以保护，对服务资源加以控制管理。

（1）信息资源

a：公众信息；即不需要访问控制。

b：内部信息；即需要身份验证以及根据根据身份进行访问控制。

C：敏感信息；即需要验证身份和传输加密。

（2）服务资源包括：内部服务资源、公众服务资源

内部服务资源：面向已知客户，管理和控制内部用户对信息资源的访问。

公众服务资源：面向匿名客户，防止和抵御外来的攻击。

3 校园网络安全技术的应用

3.1 建立网络安全模型

通信双方在网络上传输信息时，需要先在双方之间建立一条逻辑通道。为了在开放的网络环境中安全地传输信息，需要对信息提供安全机制和安全服务。

为了信息的安全传输，通常需要一个可信任的第三方。第三方的作用是负责向通信双方秘密信息，并在双方发生争议时进行仲裁。设计一个网络安全方案时，需要完成以下四个基本任务：

（1）设计一个算法，执行安全相关的转换；

（2）生成该算法的秘密信息；

（3）研制秘密信息的分发与共享的方法；

（4）设定两个责任者使用的协议，利用算法和秘密信息取得安全服务。

3.2 数据备份方法

数据备份有多种实现形式，从备份模式看，分为物理备份和逻辑备份；从备份策略看，分为完全备份、增量备份和差异备份。

（1）逻辑备份

逻辑备份也称作“基于文件的备份”。每个文件都由不同的逻辑块组成，每个逻辑块存储在连续的物理磁盘块上，备份系统能识别文件结构，并拷贝所有文件和目录到备份资源上。

（2）物理备份。

物理又称“基于块的备份”或“基于设备的备份”，其在拷贝磁盘块到备份介质上时忽略文件结构，从而提高备份的性能。因为在执行过程中，花在搜索操作上的开销很少。

（3）完全备份

完全备份是指整个系统或用户指定的所有文件数据进行一次全面的备份。这种备份方式很直观，容易理解。如果在备份间隔期间出现数据丢失等问题，可以使用备份文件快速地恢复数据。

（4）增量备份

为了解决完全备份的两个缺点，出现了更快、更小的增量备份。增量备份只备份相对于上次备份操作更新过的数据。因为在特定的时间段内只有少量的文件发生改变，既节省空间，又缩短了备份的时间。因而这种备份方法比较经济，可以频繁地进行。

（5）差异备份

差异备份即备份上一次完全备份后产生和更新的所有新的数据。它的主要目的是将完全恢复时涉及到备份记录数量限制在两个，以简化恢复的复杂性。

3.3 防火墙技术

防火墙是在网络之间通过执行控制策略来保护网络的系统，它包括硬件和软件。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用。

防火墙是一个由软件与硬件组成的系统。由于不同内部网的安全策略与防护目的不同，防火墙系统的配置与实现方式也有很大的区别。简单的一个包过滤路由器或应用网关、应用服务器都可以作为防火墙使用。

3.4 入侵检测技术

入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统。它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部的非法授权行为，并采取相应的防护手段。它的基本功能包括：

（1）监控、分析用户和系统的行为。

（2）检查系统的配置和漏洞。

（3）评估重要的系统和数据文件的完整性。

（4）对异常行为的统计分析，识别攻击类型，并向网络管理人员报警。

（5）对操作系统进行审计、跟踪管理，识别违反授权的用户活动。

4 校园网主动防御体系

校园网的安全威胁既有来自校内的，也有来自校外的。在设计校园网网络安全系统时，首先要了解学校的需要和目标，制定安全策略。因此网络安全防范体系应该是动态变化的，必须不断适应安全环境的变化，以保证网络安全防范体系的良性发展，确保它的有效性和先进性。

安全管理贯穿整个安全防范体系，是安全防范体系的核心。网络系统的安全性不只是技术方面的问题，一个有效的安全防范体系应该是以安全策略为核心，以安全技术为支撑，以安全管理为落实，安全管理主要是对安全技术和安全策略的管理， 安全策略为安全管理提供管理方向，安全技术是辅助安全管理的措施。当网络出现攻击行为或其它安全威胁时，无法进行实时的检测、监控、报告与预警。同时，也无法提供黑客攻击的追踪线索，即缺乏对网络的可控性与可审查性。这就要求网络管理员经常通过网络攻击扫描器提前识别弱点区域，入侵系统监控和响应安全事件，必须对站点的访问活动进行多层次的记录，及时发现非法入侵。

结论

通过上述分析，我提出如下校园网络安全防范策略：

（1）利用防火墙将内网和外网进行有效隔离，避免与外部网络直接通信；

（2）利用防火墙建立网络的安全保护措施，保证系统安全；

（3）利用防火墙对网上服务请求内容进行控制，使非法访问被拒绝；利用防火墙加强合法用户的访问认证，同时在不影响用户正常访问的基础上将访问权限控制在最低限度内；

（4）在Internet出口处，使用NetHawk监控系统进行网络活动实时监控；

（5）在本校区部署RJ-iTop网络隐患扫描系统，定期对整个网络的安全状况进行评估，及时弥补出现的漏洞；

（6）加强网络安全管理，提高全体人员的网络安全意识和防范技术。

[1] 冯登国.计算机通信网络安全[M].北京：清华大学出版社，2001，3

[2] 蔡立军.计算机网络安全技术[M].北京：中国水利水电出版社， 2005， 52-56

[3] 陈健伟，张辉.计算机网络与信息安全[M].北京：希望电子出版社，2006.2：42-43