网络安全防范策略范文

导语：如何才能写好一篇网络安全防范策略，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

【关键词】云计算环境；网络安全；防范技术

随着当前社会经济的逐渐发展，网络技术的通信能力和计算机技术水平也在不断加强，网络问题也成为了越来越多人关注的焦点。网络安全问题涉及的范围较为广泛，包括了网络使用的安全可靠性、网络软件的实施安全、以及网络信息安全等等方面。笔者主要分析当前经济现状对网络安全在云计算环境下引发的一系列问题，有效提出相应策划方案，从根本上提高网络安全性和云计算的工作运行质量。

一、网络安全在云计算环境下的主要影响要素

云计算技术的主要发展是把计算内容分布于由计算机构建的各个资源平台中，有助于网络用户更好地进行计算、贮存信息等快捷服务，虽然云计算为人们带来了不少便利，但云计算环境下的网络安全问题依旧不容忽视。当前我国网络信息安全方面还缺乏相应的治理策略，用户在访问网站的同时，基于各大网站不同的防火墙，网络权限也在不断被扩展，一旦某网站被一些不法分子控制，这也将会成为网络风险中的一大隐患。另一方面，网络系统的几个方面都存在着脆弱和不牢靠的情况。一是数据库的薄弱，在信息的储存上，数据库是最主要的主干，其决定着信息的完整性、保密性和可靠性几点，如果网络系统出现了用户信息遭窃取，就会给信息安全带来很严重的影响。二是通信系统的不完善和脆弱，如一些E-mail、FTP等等存在着相应的漏洞，这也在一定程度上成为了黑客利用的工具。三是计算机操作系统上的不足，在一些特定的情况下，当计算机受到黑客的攻击，而且在攻击之后也无法留下相关痕迹，不会影响到网络用户对于数据的获取，这在网络系统中也是一大安全问题。网络的环境较为复杂，无论是生活还是学习，包括如今社会的衣食住行，都离不开计算机技术和网络，计算机的云计算也在逐渐遍布家家户户，网络信息的运用者群体也在不断增加，这也导致了网络风险因素在不断扩大，比较常见的有网络欺诈行为、黑客病毒的入侵等等，都对网络用户人身财产安全造成威胁。

二、云计算环境下常用的网络安全技术

2.1反病毒技术计算机网络病毒在当今时代已不是一件新鲜事了，随着计算机水平的提高，网络病毒也在不断更新，为了有效预防和抵制病毒，避免病毒给计算机系统造成更深层次的风险，也研究出了新的技术，如反病毒技术，此技术一般有两种形式，一是静态反病毒模式，这种方式主要针对的是网络技术实施过程中的检测和管理，按照网络具体的运行情况来分析病毒的存在特征，从而保证了用户信息的安全；二是动态反病毒模式，这种技术方法有着非常好的防控病毒效果，而且防控病毒的技术资源需要与大众资源配置都十分接近，方便可行，能有效地加强病毒防控，保证信息资源的完整性。2.2智能防火墙技术较于传统的防火墙，智能防火墙技术没有采用数据过滤的体系原则，而是采用模糊数据库的检索功能，然后依据人工智能识别的技术，对数据规则进行动态化的模糊识别，运用这种新型技术方式，对网络安全实况进行具体的分析，及时将需要保护的网络安全数据计算出来，为用户提供一个安全可靠的网络环境。智能防火墙技术一般分为以下三种：1、防扫描技术扫描技术是计算机被病毒入侵，内部发生一定紊乱，其各项信息将会被恶意扫描的形式窃取，智能防火墙在这里的合理运用，可以有效地预防黑客入侵，阻止网络信息被包装和扫描，进而强化信息数据的安全性。2、入侵防御网络用户在访问网站时，经常会出现数据包侵入主机的现象，这样的隐患一旦出现，就会危害到用户的正常数据，用户很难再进行数据的使用，而智能防火墙可以对网络数据加以防护，将数据安全的等级进行提升。3、防欺骗技术在用户访问网页时，还会经常出现MAC地址、装作IP地址进入计算机网络中的情况，在智能防火墙的使用中，可以有效地限制MAC地址，从而避免入侵带来的危害，提高网络信息安全的系数。2.3加密技术在云计算的环境下，加密技术是一项必不可少的重要网络技术，这种技术主要被用于计算机网络的防御中，通常采用加密算法对计算机网络信息加以控制，将其转换为无法被第三方而已获取的信息数据，添加密钥，想要获取必须使用正确的密钥才可以打开，这也大大提升了网络数据的安全性和可靠性。加密技术在云计算环境下的实施中，一般有两种常用技术体现，对称加密和非对称加密技术，前者主要采用DES加密技术，后者主要运用了PKI技术与DES缓和等等技术。

三、计算机网络安全技术在云计算环境下的防范策略

作为网络技术的使用者，网络用户需要提高在日常上网中的安全防范意识，制定相应的计算机网络安全基本战略目标。首先，需要对计算机网络的使用采用实名身份认证，使用网络授权，对主体内容加以明确和分析，这也可以在一定程度上为计算机网络用户提供安全性能的保障。在计算机网络的使用中，也要强化监管功能，及时确保网络安全技术上的安全，做到及时性和全面性的检查，对云计算环境下计算机网络中易出现的安全问题进行认真分析、科学化整理，积累相关的经验，并对这些漏洞提出有效的应对和抵御方案，避免不良因素的影响。对于未经授权恶意篡改用户信息的行为，要制定相关的网络安全制度来加以控制，只有在制定上有一定支撑，才可以体现网络违法行为的代价，另外也需要更大力度上提升网民的安全隐患意识，相关部门应加大对计算机网络技术的发开投入，有效地保证计算机数据安全在云计算环境下得到合理、有效地提升。最后在保证网络数据完整性的前提下，对相关的网络技术进行创新和完善，找寻更加科学和高效的技术，网络研究人员也要不断地提升自我综合素质，在分析和探讨的过程中积极开发，为网络安全的检测提供更加合理有效的策略。开发新的安全防御技术也是很有必要的，以避免出现更多的计算机网络风险。

四、总结

随着社会科技的不断进步，计算机网络技术也在逐步发展，但在云计算环境下的网络安全仍旧存在诸多不足和风险，要想发挥计算机网络在社会中的重要促进作用，就必须加强网络安全防控措施，合理运用各项安全防范技术来保障网络信息的安全，为网络提供一个良好的网络环境，并且在网络监管工作上加强力度，有效提高计算机网络的安全性。

参考文献

[1]宋歌.网络安全技术在云计算环境下的探讨[J].无线互联科技,2016,(21):33-34+60.

[2]肖泽.云计算环境下网络安全防范技术分析[J].网络安全技术与应用,2016,(01):54+56.

[3]朱睿.探索云计算环境下网络安全技术实现路径[J].数字技术与应用,2015,(04):193.

[4]闫盛,石淼.基于云计算环境下的网络安全技术实现[J].计算机光盘软件与应用,2014,(23):168+170.

篇2

关键词：计算机；网络；安全策略；防范

无论是在局域网还是在广域网中，都存在着诸多因素的安全威胁，如何确保网络信息的保密性、完整性和可用性成为当前必须要解决和长期维护必要的课题。

一、计算机网络安全面临的困难

计算机网络技术本身就是一种技术集合，肯定存在着一定的安全隐患，再加上一些人的人为因素，使得网络信息的安全受到严重的挑战。纵观目前出现的网络安全问题，我们归纳总结以下5点，来对网络安全面临的问题进行诠释：

一是来自不可抗力因素威胁。主要体现在来自自然灾害的破坏，如地震、雷击、洪水及其他天灾造成的损害。

二是来自操作不当带来的损失。主要是操作人员操作不当造成的系统文件被删除，磁盘被格式化等，还有就是因为网络管理员对网络的设置存在漏洞，造成网络高手潜入威胁，有些用户网络安全意识不强，对用户口令的选择考虑不周，或者将自己的帐号没有防备的轻信他人，造成与别人共享等，都会给网络安全带来威胁。

三是网络“黑客”有意威胁。网络“黑客”是目前计算机网络所面临的最大敌人，他们以各种方式进行有选择地破坏电脑系统，造成计算机系统信息的不完整性；还有就是他们在不影响你电脑网络正常工作情况下，在秘密进行截获电脑传送、窃取电脑储存内容、破译电脑程序以获得更有效的攻击目标。

二、计算机网络的安全策略分析

随着计算机系统功能的不断完善，网络体系化不断加强，人们对网络的依赖越来越强，网络对人们的生活产生了巨大的影响，提高计算机网络的防御能力，增强网络的安全措施，已成为当前急需解决的问题。

1、计算机网络安全的物理安全特性

物理安全是计算机安全的前提，是指计算机存在的环境和操作基本要求，包括自然环境，使用环境，关联环境等，自然环境是要求设备在天灾因素下的保护设施要求，更多的是考虑由于自然环境的变化引起的不必要的其他损害；使用环境强调的是建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生，更加防止计算机人为操作带来的破坏和搭线攻击，验证用户的身份和使用权限、防止用户越权操作；关联环境强调的是确保计算机系统有一个良好的电磁兼容工作环境，打印机、扫描仪、关联设备的安全。

2、控制访问策略

控制访问是网络安全防范和保护的主要策略，目的是保证计算机正常使用，网络资源不被非法使用和非常访问。也是维护网络系统安全、保护网络资源的重要手段，控制访问可以说是保证网络安全最重要的核心策略之一，只有电脑操作者严格控制访问限制，保护自己的网络网络安全是没有问题的。

一是限制入网访问权利。入网访问控制是网络安全第一道防线。用户名或用户帐号是所有计算机系统中最基本的入网许可证据，是最安全形式之一。它控制一些用户能够登录到服务器并获取网络资源，控制一些用户入网的时间和准许他们在哪台工作站入网等。用户可以修改自己的口令，但系统管理员可以控制口令的最小长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数等。

二是文件目录属性级别安全设置。当文件、目录和网络设备在网络系统管理员赋予一定的指定访问属性后。用户的权限被限制在对所有文件和子目录有效，还可进一步对指定目录下的子目录和文件的权限进行控制。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性，来抵御来自各个方面的网络破坏。

3、网络信息安全的技术保障策略

不安全的网络一旦遭到恶意攻击，将会造成巨大的损失。目前，适应各个行业和不同用户的网络软件技术措施仍是最直接、最常用和有效的的网络屏障，也是最有效的保护措施，下面就基本的措施做简单总结。

一是采用先进的密码技术。密码技术体现在网络使用者身上有加密需要，还要有解密技术。加密是网络与信息安全保密的重要基础，是防止被破坏网络的有效措施。它是将需要保护的对象采用一些既定方式进行某种编排和篆写，形成独又的一种密文，保护自己的产品不被攻击。

二是进行数字签名确认。对于网络上自由传输的电子文档，完全可以使用数字签名的方法来实现传输内容的确认。数据签名一般采用不对称加密技术，通过双方认可或者约定的认可来证明身份的真实性，来确保文件传输的有效性和合法性，杜绝因此产生的流氓、抵赖、交换等行为的发生。

三、计算机网络安全防范预警

一是必须拒绝不明服务攻击。通过以上分析，对不明服务要提高警惕，黑客攻击的主要目标是计算机网络安全意识不够的客户，目的是让你的计算机及网络无法提供正常的使用。它基本上可以破坏计算机网络使用的硬件设备，消耗计算机及网络中不可再生的资源等，让计算机处于瘫痪状态。

二是坚决拒绝欺骗攻击。黑客会利用TCP/IP协议本身的缺陷进行网络攻击，或者进行DNS设置进行欺骗和Web页面进行欺骗，打破常规预防措施，提高警惕，以免上当受骗。

三是监测功能对移动设备的攻击。日前，通过手机、PDA及其他无线设备感染恶意软件的数量在不断增加，破坏移动设备的正常使用，达到其不法传播的目的，提高使用者的安全防范迫在眉睫。

纵上所述，只有加强网络与信息安全管理，增强安全意识，不断改进和发展网络安全保密技术，才能防范于未然，避免不必要的损失。

参考文献：

[1]齐德显，胡铮.网络与信息资源管理[M].北京：北京兵器工业出版社，北京：北京希望电子出版社，2005.

篇3

关键词：计算机网络网络安全策略

计算机的广泛应用把人类带入了一个全新的时代,特别是计算机网络的社会化，已经成为信息时代的主要推动力，在带来了前所未有的海量信息的同时，其网络数据也遭到不同程度的攻击和破坏。攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信息；还可以篡改数据库内容，伪造用户身份，否认自己的签名。甚至攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。因此，网络信息的安全性变得日益重要,受到社会的各个方面的重视。

一、计算机网络存在的安全隐患

计算机网络存在的安全隐患主要来自于以下几个方面。

1.网络系统本身的问题

一是操作系统存在的网络安全漏洞。

二是网络硬件的配置不协调。

三是防火墙配置不完善。

2.来自内部网络用户的安全威胁

使用者缺乏安全意识，许多应用服务系统的访问控制及安全通信方面考虑较少，并且，如果系统设置错误，很容易造成损失。管理制度不健全，人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限，利用这些权限破坏网络安全的隐患也是存在的。另外，有一些内部用户利用自身的合法身份有意对数据进行破坏。如操作口令的泄漏 ，磁盘上的机密文件被人利用，临时文件未及时删除而被窃取，内部人员有意无意的泄漏给黑客带来可乘之机等，都可能使网络安全机制形同虚设。

3.来自外部的安全威胁

（1）自然灾害、意外事故。

（2）硬件故障。

（3）网络软件的漏洞和“后门”。

（4）黑客的威胁和攻击。

（5）计算机病毒。

（6）信息战的严重威胁。

（7）计算机犯罪。

（8）网络协议中的缺陷。

二、计算机网络安全防范策略

常用的计算机网络安全防范策略有：物理安全策略、访问控制策略、信息加密策略、网络安全管理策略。

1.物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

2.访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。常用的访问控制策略包括：入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络端口和节点的安全控制、防火墙控制等。

3.信息加密策略

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。密码技术是网络安全最有效的技术之一。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端—端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

4.网络安全管理策略

网络安全除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。

网络的安全管理策略包括：确定安全管理等级和安全管理范围；制定有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。

总之，网络安全是一个综合性的课题，涉及技术、管理、使用等诸多方面，既包括信息系统本身的安全问题，也包括内部和外部的安全威胁。因此，只有综合采取多种防范措施，制定严格的保密政策和明晰的安全策略，才能完好、实时地保证信息的机密性、完整性和可用性，为网络提供强大的安全保证。

参考文献：

[1]刘羿,谢先彬.电子商务网络技术基础[M].北京.高等教育出版社,2001(4).

[2]郭春平.网络安全体系[J].计算机世界.1999.

[3]李学诗.计算机系统安全技术[M].武汉:华中理工大学出版社,2003.

篇4

【关键词】计算机网络安全 漏洞 防范 策略

1 引言

随着互联网的飞速发展，当前，人们对计算机的依赖程度到达了空前的地步。随时随地的都在使用计算机，但是，一旦计算机网络受到外界的恶性攻击，就会导致计算机不能正常工作，甚至出现瘫痪的情况，带来极大的损失。现在全球的计算机都可以通过网络连接起来，网络安全问题国际化，信息安全的内涵也跟根本上发生变化，不仅仅只是一般性的防卫问题，甚至会涉及到国际安全问题，正是因为这些无处不在的网络，才会使得不法分子做出很多破坏网络的行为。

2 网络安全的现状

根据相关统计显示，在每20分钟的时间内，在世界上就会有一次恶性攻击互联网络的计算机安全事件发生，三分之一的计算机防火墙会被攻破。与此同时，我国的大多数网民极度的缺乏网络安全方面的预防意识，并且使用的操纵系统和应用程序漏洞不断的出现，我国成为黑客们攻击的首要目标国家，由此可见我国的互联网的安全问题非常的严重，根据最新的数据显示，我国三分之一的人口在半年的时间内会发生账户或者密码泄露的问题，只有少数的网络使用者人为网上交易存在着不安全问题。由于技术条件的限制问题，很多的网络使用者对网络安全的预防意识还只是停留在预防病毒的阶段，对网络的安全缺乏根为深刻的认识。

3 计算机网络安全漏洞

网络的使用处在一种及其开放的环境中，造成了攻击问题的出现，例如木马、病毒、网络爬虫等问题，这是问题主要攻击的对象包括对机密信息的窃取、中断网络服务等。例如比较常见的缓存区溢出问题。

3.1 操作系统漏洞以及链接漏洞

计算机操作系统作为一个统一的交互平台，为了更好的满足使用者的需求，最大可能的为用户提供便利，使其处于一个开放的状态下，但是不可避免的是计算机的功能越强大，出现的漏洞越多，受到网络攻击的可能性会越发的增大。如果一个操作系统长时间的使用，它的漏洞也会暴漏在人们的视野中，受到的网络攻击几率随之提高，即使拥有强大的设计性兼容性，也会存在漏洞。计算机在使用的过程中，通过链接进行各平台之间的交互，实现网络互通的效果，链接的存在，必然会有因素对链路进行攻击，甚至有可能会对互通协议以及对话链路进行攻击。

3.2 TCP/IP协议漏洞以及安全策略漏洞

网络的安全运行依赖于应用协议的支持，但是TCP/IP协议存在着不可更改的漏洞，造成其没有对源地址进行科学鉴别的控制机制，造成黑客可以通过窃听的方式盗取数据，更改路由地址等问题的出现。另外，计算机中的各项应用的顺利展开过分的依赖于开放的响应端口，端口的开放给网络攻击带来便利。如果针对端口进行攻击，建立传统的防火墙已经不能有效的对其进行阻止。

4 计算机网络安全防范策略

在技术方面，计算机网络安全问题的产生主要是防火墙、防病毒、入侵检测等多个安全组件完成，一个单独的组件不能保证整个系统的安全。就目前的情况而言，使用最多的网络安全技术包括：防火墙技术、防病毒技术、安全扫描技术以及对局域网络的预防。

4.1 防火墙技术

在计算机系统自身携带的防火墙是用来阻控制经过其进行的网络应用和数据的安全系统，它通过对硬件和软件的结合，对没有授权的应用访问进行阻止，主要的目的是保护系统的正常运行。

在使用防火墙技术的时候，需要考虑到两个因素：安全性和实用性。当两者兼备的时候，需要以实用性来平衡安全性。主要是因为：需要把安全性考虑在首位。目前，防火墙技术设计时大多数都采用的“没有允许的情况下进行禁止操作”的策略。第二点，当计算机处于一个相对安全的环境下，需要增强防火墙的实用性，如果没有一个良好的实用性的防火墙，即使安全性再高，也很难投入到使用中。

4.2 防病毒技术

防病毒技术可分为三类：病毒预防、病毒检测、病毒清理。

计算机病毒的预防主要通过一定的技术手段防止计算机病毒对系统的破坏。主要体现在对计算机磁盘的操作。主要是因为如果一个计算机的磁盘遭受到攻击，虽然系统不会出现瘫痪，但是计算机中的所有数据将会丢失。计算机病毒预防的应用包括对已有夫人病毒进行预防和对未知病毒进行预防。

计算机病毒的检测和清理处在一种必然的关系，通过一定的技术手段，对整个系统进行病毒的检测，当发现病毒的时候，病毒的清理是一种必然的结果，。目前所使用的检测和清理病毒大多是通过某种安全软件进行。

4.3 安全扫描技术

安全扫描技术包括端口扫描、操作系统的检测以及漏洞扫描等。其中端口扫描技术和罗东扫描技术是网络安全扫描技术的核心技术，并且别广泛的应用到各个网络扫描器中。例如当优盘通过端口访问计算机时，会对整个优盘进行端口扫描，检测其是否带有病毒。

5 总结

黑客技术的不断发展，对网络安全造成很大的威胁，漏洞越多，越容易受到攻击。网络安全对我们今后社会的发展、人们的生活起着重要的作用。我们处于一个全面网络的是滴啊，我们就必须深入的研究网络安全问题，最大可能的保证网络的安全性。

参考文献

[1]耿筠.计算机应用中的网络安全防范对策探索[J].电脑迷，2014（01）.

[2]牛建强.计算机应用中的网络安全防范对策探析[J].商，2015（01）.

作者单位

篇5

论文摘要：通过对计算机网络面临威胁的分析，该文提出了网络安全方面的一些具体防范措施，提高了计算机网络的安全性。

Analysis of the Computer Network Security and its Preventive Tactics

ZHANG Jing

(College of Information Engineering,Inner Mongolia University of Science and Technology,Baotou 014010,China)

Abstract: Through analyzing threats against the computer network,this paper puts forward.some concrete preventive measures,raising the computer network safety.

Key words: network security;firewall;preventive tactic;network attack;computer virus

1 引言

随着网络时代的来临，人们在享受着网络带来的无尽的快乐的同时，也面临着越来越严重和复杂的网络安全威胁和难以规避的风险，网上信息的安全和保密是一个至关重要的问题。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性，计算机网络的安全以及防范措施已迫在眉睫。

2 网络安全面临的威胁

由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、恶意软件和其他意图不轨的攻击，常见的威胁主要来自以下几个方面：

1) 非授权访问非授权访问指具有熟练编写和调试计算机程序的技巧并使用这些技巧来获得非法或未授权的网络或文件访问，侵入到他方内部网的行为。网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限，或者是作为进一步进入其他系统的跳板，或者恶意破坏这个系统，使其毁坏而丧失服务能力。

2) 自然威胁 自然威胁可能来自与各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。这些无目的的事件有时也会直接或间接地威胁网络的安全，影响信息的存储和交换。

3) 后门和木马程序 后门是一段非法的操作系统程序，其目的是为闯人者提供后门，它可以在用户主机上没有任何痕迹地运行一次即可安装后门，通过后门实现对计算机的完全控制，而用户可能莫名其妙地丢失文件、被篡改了数据等。木马，又称为特洛伊木马，是一类特殊的后门程序，它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。木马里一般有两个程序，一个是服务器程序，一个是控制器程序。

4) 计算机病毒计算机病毒指编制或在计算机程序中插入的破坏计算机功能和数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。如常见的蠕虫病毒，就是以计算机为载体，利用操作系统和应用程序的漏洞主动进行攻击，是一种通过网络传统的恶性病毒。它具有病毒的一些共性，如传播性、隐蔽性、破坏性和潜伏性等。

3 网络安全的防范策略

1) 防火墙技术的作用是对网络访问实施访问控制策略。使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

2) 建立安全实时相应和应急恢复的整体防御没有百分百安全和保密的网络信息，因此要求网络要在被攻击和破坏时能够及时发现，及时反映，尽可能快的恢复网络信息中心的服务，减少损失，网络安全系统包括安全防护机制、安全检测机制、安全反映机制和安全恢复机制。

3) 建立分层管理和各级安全管理中心建立多级安全层次和和级别，将网络安全系统分为不同的级别。包括，对信息保密程度的分级(绝密、机密、秘密、普密)；对用户操作权限分级;对网络安全程度分级；对系统实现的结构分级等。从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。

4) 阻止入侵或非法访问入网访问控制为网络访问提供第一层访问控制，它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许在哪台工作站入网。控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。对所有用户的访问进行审计，如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。设定用户权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备执行哪些操作。

5) 数据传输加密技术目的是对传输中的数据流加密，常用的方针有线路加密和端到端加密两种。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护的。后者则指信息由发送者端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，将被自动重组、解密，成为可读数据。数据存储加密技术目的是防止在存储环节的数据失密。可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现；后者则是对用户资格、权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。

6) 密钥管理技术为了数据使用的方便，数据加密在许多场合集中表现为密钥的应用，因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。

7) 加强网络的安全管理、制定有效的规章制度，对于确保网络的安全、可靠运行，将起到十分有效的作用。加强网络的安全管理包括:确定安全管理等级和安全管理范围；制定有关网络操作使用规程和人员出入机房管理制度。制定网络系统的维护制度和应急措施包括:加强立法，及时补充和修订现有的法律法规。用法律手段打击计算机犯罪；加强计算机人员安全防范意识，提高人员的安全素质；健全的规章制度和有效的、易于操作的网络安全管理平台。

4 结束语

解决安全的措施有很多，仅靠其中的某一项或几项是很难解决好网络安全问题的。在具体工作中还需要根据网络的实际情况做出细致而全面的多级安全防范措施，尽可能提高网络系统的安全可靠性。

参考文献：

篇6

【关键词】计算机;网络通信安全问题;防范策略

前言

计算机网络通讯已经被广泛的应用与人们的工作、学习与生活中，同时也在一定程度上改善了人们的生活与工作方式，增加社会的发展进程。但是在计算机网络通讯技术带来便捷的同时，相关的安全问题也逐渐的显现出来。所以，如果在日常的工作与生活中需要运用计算机网络通信时，应当提前做好相应的安全防护措施。

1计算机网络通信安全问题

1.1人为因素

随着对计算机网络通信安全问题的深入研究，如果计算机网络通讯技术出现了安全问题，很有可能是人为因素导致的，所以说，计算机网络通讯技术的安全意识与人为因素使息息相关的[1]。例如，现代社会中，很多计算机的使用者对于安全问题的防范意识较为薄弱，因此并没有针对网络通信技术制定完善的防范措施。另外，有些在网络技术管理部门工作的员工，会因为操作不当等行为，导致相关资料或数据被破坏。

1.2计算机网络通信系统自身问题

由于计算机技术与网络通信没有固定的发展模式，所以导致网络通信技术的种类繁多，具有自由性与开放性等特点。因此一些网络黑客或是不法分子会利用网络通信技术的这一特点，大开计算机技术的后门，造成了严重的使用风险。同时，计算机网络为满足用户对于信息的需求，实现了信息与资源的共享，有的用户甚至可以对信息及资源进行远程管理，所以这种自由、开放性的情况非常容易导致计算机网络通信出现安全问题[2]。例如，一些实际应用的计算机网络通信设备中，如果没有被设置安全监测系统，就会非常容易遭受到不法分子或是黑客的入侵，从而导致相关资料及数据出现破坏或丢失等情况。

1.3传输信息数据的通道出现了问题

通常计算机网络通信出现了安全问题，最主要的原因是传输信息数据出现了问题[3]。因为如果传输通道设计的不够合理，不能对相关数据进行管理，就会使得数据失去完整性，从而引发计算机网络通信安全问题。

2防范计算机网络通信问题出现的有效策略

2.1增强系统稳定性的防护力度

尽管人们对于计算机的依赖性越来越强，但是这种新型的通信技术并非完美的，还是存在真多的使用风险与安全威胁的。因此，想要避免出现安全问题，就应当对可能存在疏漏或者是已经存在疏漏的地方进行严格的检查，综合分析计算机网络系统，从而杜绝网络黑客或不法分子的攻击[4]。

2.2引进先进的安全防护技术

目前，我国的计算机网络通信防护技术中，安全防护技术较多，主要体现在防火墙安全技术、密码防护技术等。尽管如此，在现实的生活与工作中，还是有很多计算机的使用者对于密码防护技术的认知程度不够，缺乏安全防护的意识。例如，使用简单的数字或是计算机使用者自身的生日作为密码。因为这些密码过于简单，所以很容易导致网络黑客或不法分子能够轻松的获取使用者的信息。因此，想要杜绝这一现象的出现，就应当重视计算机的安全防护，充分发挥出密码防护的重要作用。另外，在计算机中安装防火墙，可以增加网络通信的安全系数[5]。例如常见的360电脑管家以及金山杀毒防火墙系统等电脑软件。当使用者浏览的信息或进行的操作中含有电脑病毒，或是要即将安装到计算机上的软件中含有木马，都会被防火墙识别出来，然后提示使用者继续操作的后果，并且禁止继续浏览该信息或阻止使用者继续安装该软件。

2.3贯彻落实安全管理工作

因为计算机网络通信具有一定的自由性与开放性，所以贯彻落实计算机网络通信的安全管理工作，能够提升网络通信的安全防护系数[6]。在进行计算机网络通信安全的管理时，应当增强使用者的安全防护意识，创建完善的安全管理机制，从而增强计算机网络通信安全的管理力度。

3结论

综上所述，计算机网络通讯技术已经与人们的工作生活有着密切的联系，所以相关的安全问题也会随之而来，因此相关的科学研究部门应当针对这些问题，制定出完善的安全防护措施，引进专业的技术人员，总结相关经验，实现计算机网络通信的安全。

参考文献

[1]刘敬刚.计算机网络通信的安全防范措施探讨[J].通讯世界，2015，20：44.

[2]盛洪.分析计算机网络通信安全问题与防范策略探究[J].电子测试，2015，07：65~67.

[3]李丽.计算机网络通信安全问题与防范策略探究[J].中国校外教育，2014，29：166.

[4]康沛博.浅谈计算机网络通信安全问题及防范[J].通讯世界，2014，08：3~4.

篇7

关键词：计算机；网络安全；防范策略

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2012) 06-0000-02

一、引言

随着计算机的发展，计算机网络已经成为人们学习、工作、生活中不可缺少的工具。但是由于网络本身具有开放性、互联性、连接方式的多样性及终端分布的不均匀性，再加上本身技术弱点和人为疏忽的存在，计算机网络在给人们带来方便的同时也给一些犯罪分子带来了可乘之机。比方说企业核心技术的泄露，商业机密被窃取，银行卡金额被盗等等。因此私有数据的安全已经成为人们非常关注的问题，计算机网络安全防范策略的研究和实施是网络化发展的必然趋势。

二、计算机网络安全存在的含义

网络安全从其本质上讲就是保护计算机客户网络上的信息安全及利益等。从狭义的角度上看，网络系统本身的硬件设施、软件设施以及系统中的数据不会因为偶然的或者其他意外的原因而被破坏、更改或泄露。而在系统连续可靠的正常运行中，网络服务不会中断，同时保护计算机用户的利益不被侵害。

三、计算机网络安全存在的问题

计算机网络安全主要包括保密、完整、可用、可控、审查5个方面。其实计算机网络安全技术是一门综合学科，因为它不仅涉及到网络系统的本身，同时它也是一门涉及到信息安全技术、信息论、应用数学、通信技术等多方面的知识。另外系统本身的错误使用以及使用人员的方法不当等，也会加剧计算机网络安全方面问题的严重性。主要表现在以下几个方面。

（一）计算机网络系统本身存在的问题

在计算机网络安全存在的问题上，计算机本身的网络系统中存在着一定的系统漏洞。它将会对网络安全造成巨大的威胁，同时也对计算机网络客户的资料信息造成巨大的损失。同时，它也会在系统程序处理文件和同步方面存在问题，在程序处理的过程中，它可能存在一个机会窗口使攻击者能够强加外部的影响。从而影响程序的正常运行。

（二）存在于网络外部的问题主要包括：黑客的威胁和攻击、计算机病毒的侵害以及间谍软件的威胁和隐患等。

首先，在黑客的威胁和攻击这一方面，黑客除了拥有极为熟悉的网络知识外，还能极为熟练的运用各种计算机技术和软件工具。

其次是通过邮件传播病毒，现在电子邮件系统已经是办公自动化系统的基本要求，一些人通过垃圾邮件和病毒邮件进行病毒传播。虽然随着计算机应用的发展，现在邮件系统的功能和技术已经比较成熟，但是仍然避免不了垃圾邮件和病毒邮件的传送。并且它已经成为一个全球性的问题，它对人们的影响不仅表现在时间上，而且也影响了安全，占用大量的网络资源，使得正常的业务动作变得缓慢。除此之外，垃圾邮件和病毒邮件现在与一些病毒和入侵关系密切，成为黑客发动攻击的重要平台。

最后在间谍软件威胁和隐患上这一方面，间谍软件的功能多，不仅能窃取计算机信息网络系统存储的各种数据信息，还能在一定程度上监视用户行为，修改系统设置，直接威胁到用户隐私和计算机安全。并在一定程度上影响计算机系统工作的性能。

（三）网络系统管理制度存在的问题

除上述问题之外，在网络系统管理制度上也存在着一定的安全问题。首先，由于工作人员的疏忽而造成网络系统安全受到威胁。由于工作人员对计算机的工作性能以及对计算机的正常规章制度不熟悉等问题，经常导致计算机出现错误的程序，从而造成信息的无意泄露。其次，工作人员的故意泄露。在当今社会中，一些信息工作人员经常会为了一己之私而致客户的信息于不顾，在对网络安全破坏的同时，也使计算机的信息系统、数据库内的重要秘密泄露，甚至会把计算机保密系统的文件、资料向外提供，对计算机的网络安全问题产生了严重的威胁。

四、计算机网络安全的防范策略

在计算机网络环境下，如果想彻底清除网络病毒，仅采用单一的方法基本可以说是没有任何实际意义，必须根据需要选择与网络适合的全方位的防范策略。

（一）要养成良好的使用电脑的习惯

尽量不要使用盗版软件，因为大部分盗版软件存在安全漏洞，很容易染上病毒，另外上网时要访问可靠的网站，下载文件时首先要进行病毒扫描，确保无病毒后再进行下载，对一些重要数据要随时进行备份。

（二）设置系统对用户身份证明的核查

也就是说对用户是否具有它所请求的资源的存储使用权进行查明，这就是身份认证技术。因为现在黑客或木马程序从网上截获密码的事件越来越多，用户关键信息被窃取的情况也越来越多，而身份认证恰恰可以解决用户的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据。

（三）入侵检测

入侵检测就是对网络入侵行为进行检测，入侵检测技术属于一种积极主动地安全保护技术，它对内部攻击、外部攻击以及误操作都提供了实时保护。入侵检测一般采用误用检测技术和异常监测技术。1）误用检测技术。这种检测技术是假设所有的入侵者的活动都能够表达为征或模式，对已知的入侵行为进行分析并且把相应的特征模型建立出来，这样就把对入侵行为的检测变成对特征模型匹配的搜索，如果与已知的入侵特征匹配，就断定是攻击，否则，便不是。2）异常检测技术。异常检测技术假设所有入侵者活动都与正常用户的活动不同，分析正常用户的活动并且构建模型，把所有不同于正常模型的用户活动状态的数量统计出来，如果此活动与统计规律不相符，则表示可以是入侵行为。

（四）数据加密技术

在计算机网络实际运行中，所有的应用系统无论提供何种服务，其基础运行都想通过数据的传输。因此，数据的安全是保证整个计算机网络的核心。数据加密的基本过程是按某种算法，对原来为明文的文件或数据进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。

常用的加密技术有以下几种：对称数据加密技术、非对称数据加密技术、公开密钥密码技术。

对称数据加密技术是使用加密密钥与解密密钥是相同的密码体制。该加密技术通信的双方在加密和解密时使用的是同1个密钥。在通信双方能确保密钥在交换阶段未泄露的情况下，可以保证信息的机密性与完整性。典型的算法有DES及其各种变形。DES是一种对二元数据进行加密的算法，将信息分成64位的分组，并使用56位长度的密钥，另8位用于奇偶校验。它对每1个分组使用一种复杂的变位组合、替换，再进行异或运算和其他一些过程，最后生成64位的加密数据。对每一个分组进行l9步处理，每一步的输出是下一步的输入。以此类推，直到用完K(16)，再经过逆初始置换，全部加密过程结束。

非对称式加密就是使用不同的密钥对数据进行加密和解密，通常为“公钥”和“私钥。其中“公钥”是可以公开的，收件人解密时只要用自己的私钥即可，这样就很好地避免了密钥的传输安全性问题。典型的算法有lISA体制。

为了数据传输的安全，人家设计了各种不同的数据加密工具，常用的有硬件加密、光盘加密、压缩包加密：硬件加密就是在计算机的并行口或者USB接口加密。而光盘加密就是制作加密光盘，主要是通过对镜像文件进行可视化的修改，隐藏光盘镜像文件，把一般文件放大，把普通目录改为文件目录。压缩包解压密码主要是在进行文件传输之前，先将该文件压缩成ZIP和RAR的格式，并且在压缩过程中可以设置密码。也就是说在解压的时候要有密码才能获取压缩包内的信息内容。采取这几种方式可以有效的保护用户的隐私和信息，减少第三方窃取信息的可能性。

不过什么事情都有其两面性，如果自己设置的密码忘记了也会给工作带来不便，因此与加密工具对应的解密工具也应运而生。所以数据信息的安全就如同战争，知己知彼才能久立不败之地。

总之计算机网络给人们的学习、工作、生活带来方便的同时也带来的许多安全隐患，人们只有提高自己的防范意识，养成良好的使用计算机的习惯，多掌握一些有关计算机网络安全方面的知识，这样就能针对不同隐患采取一定的措施来进行自我保护。也能让计算机网络更好的服务于我们的学习、工作和生活。

参考文献：

[1]王烨兴.网络安全管理——实名认证系统[J].煤炭技术,2011,12

[2]胡瑞卿,田杰荣.关于网络安全防护的几点思考[J].电脑知识与技术,2008,16

[3]赵威.计算机网络的安全防护与发展[J].煤炭技术,2011,10

[4]华建军.计算机网络安全问题探究[J].科技信息,2007,9

篇8

关键词：校园网；网络安全；防范

目前,我国校园计算机网络的安全管理普遍存在问题,或是病毒入侵致使校园网瘫痪, 或是信息过滤不足致使大量垃圾邮件冲垮邮件服务器等。造成这些问题的原因主要有以下几个方面因素:

1、在校园计算机网络兴起的初期,校园网的建设只重视规模不在乎安全很多学校将主要精力和财力集中于校园网的扩容建设,在网络安全方面的投入不足,缺乏必要的网络安全意识。

2、高校网络安全管理人才缺乏

现有的网管人员多数对网络安全的技术和经验不足,难以应付日益复杂多变的网络环境,缺乏处理突发网络安全事故的经验和能力。

3、网络用户安全防范意识薄弱,缺乏足够的网络安全防御技术和能力

高校校园网内的网络用户主体是大学生,收发邮件、聊天、下载等很流行,如果他们缺乏足够的网络安全防御技术和能力,就会在不经意间使机器感染病毒并加以传播,对校园网造成严重影响甚至使其瘫痪。

4、网络道德教育严重滞后

恶意使用网络资源,浏览黄色网页,接受、不良信息等问题日趋严重,大学生网络犯罪也呈现上升趋势。

5、相关的管理法规、制度不健全,监督机制不完备,管理漏洞多。

构建全面的计算机网络安全防范策略。从学校政策层面考虑,应重视高校计算机网络的安全管理,加大投入,完善校园网安全管理的各项规章制度,健全网络安全监督机制；引进专业的网络安全管理人才,对网络管理人员进行专项培训,加强安全意识和培养安全业务技能；重视校园网络用户安全教育,大力开展学生网络道德教育,对大学生进行安全常识教育,如防杀病毒软件的安装、病毒库的更新、来历不明电子邮件的处理等,以抵御来自校园网外部的攻击。

技术安全策略。从技术应用层面考虑,应通过合理有效的网络管理技术来应对日趋复杂多变的网络环境,通过各种技术手段来监督、组织和控制网络通信服务以及信息处理,确保计算机网络的持续正常运行,并在计算机网络运行异常时能及时响应和排除故障。计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、访问控制技术、入侵检测技术、防病毒技术等。这些技术的主要任务是保证网络资源不被非法使用和非常访问,它们也是维护网络系统安全、保护网络资源的重要手段。主要控制方式有以下几个方面:

(1)入网访问控制。入网访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。

(2)网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,根据访问权限将用户分为特殊用户(即系统管理员) 、一般用户、审计用户。

(3)目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效。用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有8种,即系统管理员权限,读权限,写权限,创建权限,删除权限,修改权限,文件查找权限,存取控制权限。一个网络系统管理员应当为用户指定适当的访问权限,控制用户对服务器的访问。访问权限的有效组合可以让用户完成工作,同时又能控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。

(4)网络监测和锁定控制。网络管理员应对网络实施监控；服务器应记录用户对网络资源的访问。对非法访问,服务器应以图、文、声等形式报警,引起管理员的注意,如果不法之徒试图进入网络,网络服务器应会自动记录试图进入网络的次数,如果非法访问的次数达到设定数值,该账户将被自动锁定。

(5)网络服务器安全控制。网络允许在服务器控制台上执行一系列操作,用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制,包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据。可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

校园网是学校信息系统的核心,必须建立有效的网络安全防范体系来保护学校的网络应用的安全。本文粗略地列举了校园网的安全防范技术。它是校园网络安全防范体系的技术支撑,更需要配套建立相应的安全管理制度。当然,在高校计算机网络安全管理方面绝不仅仅限于以上分析的技术手段,而应随着网络应用的深入和技术频繁的升级,以及针对由此产生的负面影响,如非法访问、恶意攻击等安全威胁,不断推陈出新,采用更前沿的技术手段做好防治工作,确保校园网络的安全使用。

参考文献:

〔1〕刘远生. 计算机网络安全[M ]. 北京:清华大学出版社, 2006.

〔2〕林国庆. 浅析计算机网络安全与防火墙技术[J]. 恩施职业技术学院学报, 2007, (1) .

〔3〕王宏伟. 网络安全威胁与对策[J] . 应用技术, 2006, (5) .

〔4〕陈斌. 计算机网络安全与防御[J] . 信息技术与网络服务, 2006, (11) .

篇9

关键词：计算机系统网络安全防范策略

1 概述

网络办公、视频会议等已逐渐应用到企业办公中，多数企业用户已建立了完善的网络办公协同环境。计算机网络给我们的生活带来便捷的同时，也带来了来自网络安全的威胁，计算机网络安全问题已关系到我们的工作质量、工作效率和个人信息的安全。网络安全维护已成为信息化建设的重点研究问题。

2 计算机网络安全现状分析

计算机病毒具有破坏性、传染性、潜伏性和隐蔽性的特点，传播方式多样、传播速度快，可以隐藏在文件或是程序代码中伺机进行复制和发作。由于计算机网络组织形式多样、终端分布广以及网络的开放性，其很容易遭到外部攻击。黑客会通过系统漏洞侵入到网络中对计算机系统进行攻击，窃取或破坏数据，甚至使整个网络系统瘫痪。

2.1 黑客攻击

计算机安全隐患中另一个主要威胁是黑客攻击。黑客利用系统或软件中存在的漏洞进入到用户计算机系统中，对用户计算机进行操作，损坏、更改或泄露用户的数据，或利用用户的计算机进行非法操作，危害性极大。黑客攻击分为网络攻击和网络侦查，网络攻击通常是以入侵用户计算机系统、窃取用户机密数据或是破坏系统数据为目的。

2.2 用户安全意识不强

在计算机的使用过程中，用户安全意识薄弱是造成网络安全问题的一个重要因素。用户未对机密文件加密，对他人泄露操作口令或不设置操作口令，或是随意泄露网络账号等信息，共享文件，启用远程桌面等，这些行为都埋下了网络安全隐患，为攻击者提供了便利条件。随意打开未知文件或是网站、未经杀毒就直接打开移动存储设备等操作行为都有可能陷入攻击者的陷阱之中。

2.3 安全策略配置不当

为了提升计算机网络的安全性，大多数企业都配备了防火墙等安全产品。只有结合各个企业的具体情况进行有效的安全策略设置，才能充分发挥安全设备的防护作用。而在实际工作中，不乏有些计算机安全管理人员未能对此有足够的重视，忽视了一些安全策略的设置，造成了网络安全隐患的存在。

3 计算机网络安全改进措施

3.1 网络物理安全

在整个网络物理安全控制过程中，机房建设是重点。机房的建设要符合安全可靠、应用灵活、管理科学等要求，要重视供配电、安全防范、空气净化、防静电、防磁、防水防潮、防雷、防火等多方面的安全设施。在改善设备运行环境的同时也要加强计算机及网络设备的维护，对网络设备和计算机进行定期检修和维护，并做好相关记录。

3.2 防火墙技术

防火墙技术作为企业内部与外部网络的第一道安全屏障，最先受到人们的重视。防火墙技术能有效提升内部网络的安全性，通过隔离、过滤、封锁等技术阻止非法用户对内部数据的访问，保护企业信息资源，降低服务风险。通过配置防火墙的安全方案能将所有安全软件配置在防火墙上，通过内外部的网络规划可实现对内部重点网络区域的隔离，避免网络敏感区域对全局网络安全问题的影响。根据防火墙提供的服务和安全等级要求分为多种结构，常见的有：包过滤型防火墙、双宿主主机防火墙、屏蔽主机防火墙、屏蔽子网防火墙。

3.3 加密技术

在当下计算机网络安全现状中，加密技术是保障信息安全传递和交流的基础技术，对网络安全起到了决定性的作用。加密技术的应用主要包含以下几个方面：

3.3.1 存储加密技术和传输加密技术

存储加密技术分为密文存储和存取控制，目的是为了防止数据在存储过程中泄漏。主要通过加密算法转换、附加密码加密、加密模块等方式实现，存取控制主要通过审核用户资格和限制用户权限，识别用户操作是否合法，防止合法用户越权存取数据，阻止非法用户存取信息。传输加密技术通过线路和两端加密两种方式，对传输过程中的数据进行加密，保证传输过程中数据的完整和安全性。

3.3.2 密钥管理加密技术和确认加密技术

密钥管理加密技术的应用是为了方便用户使用数据，数据加密多表现为密钥的应用，密钥的管理就显得尤为重要，合理的密钥管理技术方案要求能保证合法用户的权限。密钥的媒介主要有磁卡、磁带、磁盘、半导体存储器。密钥的管理技术包含密钥的生成、密钥的分配、密钥的保存、密钥的更换以及密钥的销毁等环节上的保密措施。网络信息的加密技术通过严格限定信息的共享范围来防止信息被非法伪造、纂改和假冒。

3.3.3 消息摘要和完整性鉴别技术

消息摘要是由一个单向Hash加密函数对消息作用而产生的。消息发送者使用个人的私有密钥摘要，消息摘要的接收者可以通过密钥解密确认消息的发送者，如果消息在发送途中被改变，接收者通过分析新摘要和原摘要的区别来确认消息是否已被改变，消息摘要保证了消息的完整性。完整性鉴别技术包含口令、密钥、身份等几项的鉴别，通常为了保密系统通过对比验证对象的输入的特征值预先设定的参数，实现信息的加密作用和保证数据的安全性。

3.4 提高网络管理员及用户的安全意识

网络管理员和用户的安全意识直接影响到对网络系统安全问题的控制。要求提高网络管理人员和用户的安全意识，加强管理人员的职业道德，树立良好的责任感，促进网路安全体制的建立和执行。

4 计算机网络安全设计策略

4.1 建立信任体系

4.1.1 证书管理系统采用基于国际标准PKI技术开发的证书和密钥管理系统，具有符合标准、开放、安全性高、功能全面、工组流程清晰、配置灵活等特点，且提供了与其它PKI/CA体系的接口，易于扩展。

4.1.2 目录服务器集中存储用户的身份信息、服务数据、访问策略和证书等，是整个方案设计的基石，是应用层访问控制的基础，是用户管理的核心。系统中设置四个目录服务器，内部两个作为主目录服务器，包含所有信息记录，另外两个相互复制来保持其含有最新数据，保证任何一个服务器发生故障都不会造成信息的损失。

4.1.3 认证服务器的主要功能是认证服务和授权策略管理，保证商业信息的安全传输。用户认证/授权管理平台实现了统一的用户身份管理的功能。采用集中的策略管理、单点访问控制、数字证书、令牌卡等方式增强应用程序和数据的安全性，提高用户效率，减少系统维护工作量，提高运行效率。

4.2 网络边界保护策略

为了满足网络敏感信息系统的安全需求，采用密码技术将企业核心业务网络区域与外部网络进行隔离，确保内部信息系统的安全性。

4.2.1 以密码技术为基础的网络隔离系统是由外部访问控制服务器、安全隔离与信息交换设备和内部访问控制服务器组成的具有层次结构的系统，如图1所示。该系统控制机制包含内外网、可信的数据交换、基于PKI/CA的身份认证与授权访问等，并采用反向功能作为应用网关。系统配备病毒网关和内容过滤机制，起到净化数据、控制消息类攻击的作用。

4.2.2 以机制为基础的访问控制。针对企业安全层次的需求，对不同安全级别的资源进行多层次、多点访问控制。系统中的服务器包括位于外网安全平台的反向、位于内网安全平台的正向、位于内网的应用和位于内外网中的安全。优化后安全网络系统结构图如图2所示。

4.3 局域网计算机网络安全策略

4.3.1 病毒防护。计算机病毒对网络安全的威胁越来越严重，现在有效的防御措施就是在自己的pc上安装杀毒软件，并及时对操作系统安装补丁。但是这种防御措施并不能在企业网络管理中达到令人满意的效果。而在企业网络边缘配置网关过滤产品，能在确保原有系统的稳定性的同时，效率上也远远高于在内部各个机器进行病毒防护和查杀。

4.3.2 网络系统安全

①内外网的隔离与访问控制。访问控制主要通过制定严格的管理制度、配备相应的安全设备来实现。通过设置防火墙来实现内外网的隔离与访问控制是最主要、最有效的措施之一。

②内部子网不同安全域的隔离和访问控制。主要通过VLAN技术实现内部子网的物理隔离。在交换机上划分VLAN可以将整个网络划分为几个不同的广播域，实现内部网段的物理隔离。

③网络安全检测。网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络中的薄弱环节，最大限度的保证网络系统的安全，最有效的方式是定期对网络系统进行安全检测和分析，及时发现并修正系统漏洞。

5小结

计算机网络安全管理是一个涉及范围比较广、影响比较大的复杂的管理系统，需要多方面的配合。管理制度应注意以下几项内容，确定安全管理等级，明确安全管理范围，制定网络操作规程，规定人员进入机房权限，对网络系统设备的维护和检修进行记录，制定严格的防病毒管理制度，实行网络安全责任制，配备网络安全应急措施等，做到预防、监控、修复相结合，确保相关制度和规定的落实，确保计算机网络安全运行。

参考文献：

[1]宋杰，陈真灵.计算机网络安全管理的研究[J].科技视界.2011(06).

篇10

关键词：ARP协议；ARP欺骗；MAC地址；IP地址；网络安全

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)34-1883-02

The Safety Methods to Avoid the ARP-Cheating in Network

LIU Yi, ZHU Yan-jin, CHEN Zhen

(Department of Technology and Education, Zhanjiang Normal College, Zhanjiang 524048, China)

Abstract: In this article, the meaning and the principle of address resolution protocol (ARP) is introduced. The process of ARP-cheating in LANs and out LANs based on the bug of ARP is given. Some effective methods to avoid the attack from ARP-cheating according to the actual work are submitted. The binding between IP Address and MAC Address, the binding between switch ports and MAC Address, and the technique of VLAN isolation are explained strictly.The effectiveness of above- mentioned have been demonstrated in our work.

Key words: address resolution protocol (ARP); ARP-Cheating;MAC address;IP address; network security

1 引言

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是包含目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行[1-2]。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障，他的危害更加隐蔽。

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是――截获网关数据。第二种ARP欺骗的原理是――伪造网关[3-5]。

该文就此提出了IP地址和MAC地址绑定、交换机端口和MAC地址绑定、VLAN隔离技术这几种能有效防范ARP欺骗攻击的方法，希望能给广大网络管理工作者一些启示。

2 ARP协议简介

ARP(Address Resolution Protocol)即地址解析协议，该协议将网络层的IP地址转换为数据链路层地址。TCP/IP协议中规定，IP地址为32位，由网络号和网络内的主机号构成，每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中，源主机和目的主机通信时，源主机不仅要知道目的主机的IP地址，还要知道目的主机的数据链路层地址，即网卡的MAC地址，同时规定MAC地址为48位。ARP协议所做的工作就是查询目的主机的IP地址所对应的MAC地址，并实现双方通信。

3 ARP协议的工作原理

源主机在传输数据前，首先要对初始数据进行封装，在该过程中会把目的主机的IP地址和MAC地址封装进去。在通信的最初阶段，我们能够知道目的主机的IP地址，而MAC地址却是未知的。这时如果目的主机和源主机在同一个网段内，源主机会以第二层广播的方式发送ARP请求报文。ARP请求报文中含有源主机的IP地址和MAC地址，以及目的主机的IP地址。当该报文通过广播方式到达目的 主机时，目的主机会响应该请求，并返回ARP响应报文，从而源主机可以获取目的主机的MAC地址，同样目的主机也能够获得源主机的MAC地址。如果目的主机和源主机地址不在同一个网段内，源主机发出的IP数据包会送到交换机的默认网关，而默认网关的MAC地址同样可以通过ARP协议获取。经过ARP协议解析IP地址之后，主机会在缓存中保存IP地址和MAC地址的映射条目，此后再进行数据交换时只要从缓存中读取映射条目即可。

4 ARP欺骗攻击的实现过程

4.1 网段内的ARP欺骗攻击

ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答，并使目标主机接收应答中伪造的IP与MAC间的映射对，并以此更新目标主机缓存[6]。设在同一网段的三台主机分别为A,B,C，详见表1。

假设A与B是信任关系，A欲向B发送数据包。攻击方C通过前期准备，可以发现B的漏洞，使B暂时无法工作，然后C发送包含自己MAC地址的ARP应答给A。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存，而不考虑是否发出过真实的ARP请求，所以A接收到应答后，就更新它的ARP缓存，建立新的IP和MAC地址映射对，即B的IP地址1.1.1.2对应了C的MAC地址00-A0-4C-33-33-33。这样，导致A就将发往B的数据包发向了C,但A和B却对此全然不知，因此C就实现对A和B的监听。

4.2 跨网段的ARP欺骗攻击

跨网段的ARP欺骗比同一网段的ARP欺骗要复杂得多，它需要把ARP欺骗与ICMP重定向攻击结合在一起[7]。假设A和B在同一网段，C在另一网段，详见表2。

首先攻击方C修改IP包的生存时间，将其延长，以便做充足的广播。然后和上面提到的一样，寻找主机B的漏洞，攻击此漏洞，使主机B暂时无法工作。此后，攻击方C发送IP地址为B的IP地址1.1.1.2，MAC地址为C的MAC地址00-A0-4C-33-33-33的ARP应答给A。A接收到应答后，更新其 ARP缓存。这样，在主机A上B的IP地址就对应C的MAC地址。但是，A在发数据包给B时，仍然会在局域网内寻找1.1.1.2的MAC地址，不会把包发给路由器，这时就需要进行ICMP重定向，告诉主机A到1.1.1.2的最短路径不是局域网，而是路由，请主机重定向路由路径，把所有到1.1.1.2 的包发给路由器。主机A在接受到这个合理的ICMP重定向后，修改自己的路由路径，把对1.1.1.2的数据包都发给路由器。这样攻击方C就能得到来自内部网段的数据包。

5 ARP欺骗攻击安全防范策略

5.1 用户端绑定

在用户端计算机上绑定交换机网关的IP和MAC地址。

1)首先，要求用户获得交换机网关的IP地址和MAC地址，用户在DOS提示符下执行arp

Ca命令，具体如下： C:\Documents and Settings\user>arp -a Interface: 1.1.1.1 --- 0x2 Internet Address Physical Address Type 1.1.1.254 00-A0-66-77-88-99 dynamic 其中1.1.1.254和00-A0-66-77-88-99分别为网关的IP 地址和MAC地址，因用户所在的区域、楼体和交换机不同，其对应网关的IP地址和MAC地址也不相同。

2）编写一个批处理文件arp.bat，实现将交换机网关的MAC地址和网关的IP地址的绑

定，内容如下：@echo off arp Cd arp -s 1.1.1.254 00-A0-66-77-88-99 用户应该按照第一步中查找到的交换机网关的IP地址和MAC地址，填入arp Cs后面即可，同时需要将这个批处理软件拖到“windows--开始--程序--启动”中，以便用户每次开机后计算机自动加载并执行该批处理文件，对用户起到一个很好的保护作用。

5.2 网管交换机端绑定

在核心交换机上绑定用户主机的IP地址和网卡的MAC地址，同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式[8]。

1) IP和MAC地址的绑定。在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。具体实现方法如下（以AVAYA三层交换机为例）： P580(Configure)# arp 1.1.1.1 00:A0:4C:11:11:11 P580(Configure)# arp 1.1.1.2 00:A0:4C:22:22:22 P580(Configure)# arp 1.1.2.3 00:A0:4C:33:33:33

2) MAC地址与交换机端口的绑定。根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号，将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网，自然也就不会对局域网造成干扰了。

5.3 采用VLAN技术隔离端口

局域网的网络管理员可根据本单位网络的拓卜结构，具体规划出若干个VLAN，当管理员发现有非法用户在恶意利用ARP欺骗攻击网络，或因合法用户受病毒ARP病毒感染而影响网络时，网络管理员可利用技术手段首先查找到该用户所在的交换机端口，然后将该端口划一个单独的VLAN将该用户与其它用户进行物理隔离，以避免对其它用户的影响[9]。当然也可以利用将交换机端口Disable掉来屏蔽该用户对网络造成影响，从而达到安全防范的目的。

6 结论

网络欺骗攻击作为一种非常专业化的攻击手段，给网络安全管理者带来了严峻的考验。ARP欺骗是一种典型的欺骗攻击类型，它利用了ARP协议存在的安全隐患，并使用一些专门的攻击工具，使得这种攻击变得普及并有较高的成功率。文中通过分析ARP协议的工作原理，探讨了ARP协议从IP地址到MAC地址解析过程中的安全性，给出了网段内和跨网段ARP欺骗的实现过程，提出了几种常规可行的解决方案，如在用户计算机上绑定交换机网关的IP地址和MAC地址、在交换机上绑定用户主机的IP地址和网卡的MAC地址或绑定用户计算机网卡的MAC地址和交换机端口、VLAN隔离等技术。如果多种方案配合使用，就可以最大限度的杜绝ARP欺骗攻击的出现。总之，对于ARP欺骗的网络攻击，不仅需要用户自身做好防范工作之外，更需要网络管理员应该时刻保持高度警惕，并不断跟踪防范欺骗类攻击的最新技术，做到防范于未然。

参考文献：

[1] 王佳,李志蜀.基于ARP协议的攻击原理分析[J].微电子学与计算机,2004,21(4):10-12.

[2] 徐功文,陈曙,时研会.ARP协议攻击原理及其防范措施[J].网络与信息安全,2005(1):4-6.

[3] 孟晓明.基于ARP的网络欺骗的检测与防范[J].信息技术,2005(5):41-44.

[4] 蒲宏伟,唐光艳; 计算机网络中的安全问题[J].辽宁师专学报:自然科学版,2006(1):30-31.

[5] 毕四军; 浅析网络协议对局域网性能和应用的影响[J].甘肃科技,2006(2):61-63.

[6] 刘贵松,晏华,章毅.基于ARP协议的局域网访问控制[J].电子科技大学学报,2005(2):25.

[7] 彭学军,李春丽.基于ARP协议的攻击和保护[J].荆门职业技术学院学报,2005,20(6):32-35