導語：如何才能寫好一篇網(wǎng)絡安全漏洞評估，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

2014年4月，谷歌安全部門和芬蘭安全檢測公司科諾康同時發(fā)現(xiàn)Open SSL開源軟件存在名為“心血”的安全漏洞。作為全球2/3以上互聯(lián)網(wǎng)網(wǎng)站普遍采用的加密手段，Open SSL開源軟件存在的安全漏洞，不僅會使網(wǎng)上銀行、電子支付、門戶網(wǎng)站、電子郵件等網(wǎng)站的用戶敏感信息面臨被竊取的危險，還會使網(wǎng)絡服務器、路由器、移動智能終端等網(wǎng)絡設備甚至國家關鍵信息基礎設施面臨受攻擊的風險。此次曝光的“心血”安全漏洞雖為獨立事件，但絕非偶然，這再次反映出美國政府在網(wǎng)絡安全漏洞的獲取、利用、頂層設計方面具備成熟的運行機制。

“心血”安全漏洞的形成原因及工作機理

Open SSL采用C語言開發(fā)，可以支持Linux、Windows、Mac OS等多種操作系統(tǒng)，具有優(yōu)秀的跨平臺性能，已成為目前互聯(lián)網(wǎng)領域廣泛使用的一種開源加密軟件工具。用戶在網(wǎng)站上的賬戶、密碼及各類通信信息均通過該軟件包進行加密。加密數(shù)據(jù)只有網(wǎng)絡服務器這個接收者才能解密，不法分子即便監(jiān)聽用戶與網(wǎng)絡服務器之間的對話信息，也只能看見一行隨機字符串，而無法獲取用戶實際的敏感信息。

此次Open SSL 1.0.2-beta及Open SSL 1.0.1系列（除1.0.1g外）多個版本存在的“心血”安全漏洞，使得Open SSL的加密功能基本無效，主要問題出在Open SSL實現(xiàn)傳輸層安全協(xié)議（TLS/DTLS）的心跳擴展代碼中。當Open SSL的傳輸層安全協(xié)議被調(diào)用時，連接SSL一端的客戶端向另一端的服務器發(fā)出一條簡短的字符串（即“心跳信息”），以確認服務器在線并能獲取響應；另一端的服務器會向客戶端返回與“心跳信息”相匹配的信息。但是，在這個過程中，由于Open SSL未對客戶端發(fā)送的字符串長度做邊界檢查，使不法分子可以截獲正?！靶奶畔ⅰ辈⑿薷钠溟L度后發(fā)給服務器，欺騙網(wǎng)絡服務器，從其內(nèi)存中竊取相應長度的數(shù)據(jù)，并將相應空間的信息作為“心跳信息”返回給不法分子，這部分數(shù)據(jù)中，很可能包含安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等信息。雖然不法分子利用該漏洞每次只能從服務器竊取64KB字節(jié)信息，但反復多次操作后，可以拼湊出更多用戶的賬戶、密碼、通信記錄等多種敏感信息。

“心血”安全漏洞可能產(chǎn)生的影響

由于“心血”安全漏洞屬于內(nèi)存泄露，可以從服務器內(nèi)存中直接讀取數(shù)據(jù)，即使入侵行為也不會在服務器日志中留下痕跡，所以無法確定哪些服務器曾被入侵。但從Open SSL的應用范圍，可以判斷“心血”安全漏洞可能產(chǎn)生的影響。

大范圍波及互聯(lián)網(wǎng)服務器及相關信息服務

2014年4月，英國Netcraft公司提供的網(wǎng)站服務器調(diào)查數(shù)據(jù)顯示，全球約有66%的互聯(lián)網(wǎng)活躍網(wǎng)站受“心血”安全漏洞影響。這些網(wǎng)站大都采用了基于Open SSL的Apache和Nginx等開源服務器。此外，由于Open SSL主要用于保護電子郵件服務器、聊天服務器、虛擬專用網(wǎng)絡、網(wǎng)絡應用和多種客戶端軟件，所以除互聯(lián)網(wǎng)網(wǎng)站受到影響外，電子郵件、即時通信和虛擬專網(wǎng)（VPN）等信息服務都遭受了嚴重影響。

2014年4月9日，我國國家信息安全漏洞共享平臺（CNVD）了關于“心血”漏洞的情況通報。根據(jù)監(jiān)測結果，國內(nèi)外一些大型互聯(lián)網(wǎng)企業(yè)的相關VPN、郵件服務、即時聊天、網(wǎng)絡支付、電子商務、權限認證等服務器受到漏洞影響，此外一些政府和高校網(wǎng)站服務器也受到影響。國內(nèi)兩大信息安全公司的監(jiān)測數(shù)據(jù)顯示，國內(nèi)網(wǎng)站約有2.3萬個（占其抽樣的1.5%）和1.1萬個（占其抽樣的1.0%）服務器主機受影響，涉及大型電商網(wǎng)站、銀行網(wǎng)銀系統(tǒng)、第三方支付、微信、淘寶、社交網(wǎng)站、門戶網(wǎng)站等等，以及126、163等郵箱、即時通信服務。截止4月10日，在全國存在“心血”安全漏洞的網(wǎng)站中，依然有近30%沒有采取任何防護措施。

大量敏感數(shù)據(jù)可能遭竊取

目前，“心血”安全漏洞的驗證腳本可以被不法分子廣泛獲取，而且不法分子可以針對這一安全漏洞進行大量的試驗和嘗試，可能導致使用Open SSL的站點遭到信息竊取。然而由于不法分子利用該安全漏洞對服務器進行信息竊取時不會留下任何痕跡，可能導致有些站點的大量敏感數(shù)據(jù)已經(jīng)遭到竊取，卻渾然不覺。

由于該安全漏洞給不法分子提供了讀取網(wǎng)站服務器內(nèi)存的權限，用戶修改密碼、發(fā)送消息、登錄等請求以及很多操作會全部暴露出來，直接導致用戶的證書密鑰、用戶名、密碼、甚至是安全問題與答案、即時通信、電子郵件、業(yè)務關鍵文檔和通信信息都可能遭竊。

國家關鍵信息基礎設施或受影響

事實上，政府、金融、能源、交通、國防等諸多國家關鍵領域都有用到類似Open SSL的開源軟件組件，由于這種組件功能專一、用途廣泛，且具有不可替代性，一旦存在安全漏洞，將導致國家關鍵信息基礎設施的底層通信、信息傳輸、上層應用等功能徹底癱瘓，甚至整個網(wǎng)絡空間都將面臨嚴峻的安全風險。

美國已建立完善的網(wǎng)絡安全漏洞獲取與應用機制

“心血”只是被曝光的眾多安全漏洞之一。當前，大量類似Open SSL這樣的開源軟件包廣泛應用于全球互聯(lián)網(wǎng)服務器、路由器、移動智能終端以及國家重要信息基礎設施。公開資料表明，美國長期以來通過植入、發(fā)掘、購買等多種方式獲取安全漏洞，建立了一套相對完善的網(wǎng)絡安全漏洞獲取機制。

多管齊下獲取安全漏洞

作為網(wǎng)絡時代的領跑者，以及最早發(fā)現(xiàn)并應用網(wǎng)絡技術的國家，面對日益復雜的網(wǎng)絡安全威脅，美國政府一直將安全漏洞視為重要的網(wǎng)絡戰(zhàn)略資源，為掌握海量秘密漏洞不惜花費大量的人力、物力和財力。

一是斥巨資與私營科技公司緊密合作，在軟硬件產(chǎn)品或算法中植入安全漏洞、預置“后門”。美國政府與私營企業(yè)的合作由來已久，大約有數(shù)千家高科技公司作為“可信合作伙伴”為美國政府提供用戶敏感信息，其中不乏谷歌、微軟、思科等世界知名IT公司。例如，美國國家安全局每年為“信號情報”項目（SIGNIT）投入2.5億美元，以合同授予的形式引誘國內(nèi)科技公司在商用加密系統(tǒng)、網(wǎng)絡系統(tǒng)、通信設備中植入隱秘漏洞，方便國家安全局獲取用戶信息。國家安全局曾與加密技術公司RSA達成1000萬美元的協(xié)議，要求對移動終端廣泛使用的加密軟件預置2個精心設計的“后門”。

同時，國家安全局下屬的“商用解決方案中心”長期與私營科技公司開展合作，表面上是對企業(yè)的IT產(chǎn)品進行安全評估，實際上是尋求如何在IT產(chǎn)品中植入安全漏洞。

二是建立官方專業(yè)技術團隊，開展網(wǎng)絡安全漏洞研究，不斷挖掘和發(fā)現(xiàn)漏洞。美國政府十分重視利用專業(yè)技術團隊的力量提升網(wǎng)絡防御與攻擊能力，充分吸收民間網(wǎng)絡人才組建專門技術團隊，并集結軍方精銳網(wǎng)絡力量挖掘和發(fā)現(xiàn)當前各類系統(tǒng)存在的安全漏洞。國家安全局下屬的“獲取特定情報行動辦公室”（TAO）的“遠程行動中心”擁有一個超過600名專業(yè)技術人員的團隊。該技術團隊建立了從網(wǎng)絡設施到人、從內(nèi)容到行為的完整體系，以網(wǎng)絡獲取技術為主線，以云計算和大數(shù)據(jù)分析技術為核心，利用先進的網(wǎng)絡滲透、機器學習、數(shù)據(jù)分析等漏洞挖掘技術，不間斷地尋找他國信息系統(tǒng)的安全漏洞，這已成為美國政府獲取安全漏洞的重要渠道。

三是投入大量資金，長期從黑客手中購買漏洞。多年來，為第一時間掌握互聯(lián)網(wǎng)、軟件、服務器存在的安全漏洞，美國政府長期從販賣漏洞的黑客手中購買安全漏洞。盡管平均每項安全漏洞的價格達到3.5～16萬美元，蘋果iOS系統(tǒng)安全漏洞的售價甚至高達50萬美元，但美國政府為提升自身網(wǎng)絡的防御和攻擊能力，仍不惜重金，成為當前安全漏洞市場的最大買家。據(jù)國家安全局合同文件顯示，該機構在2012年9月訂購了法國安全公司VUPEN一年的“零日”漏洞。

充分利用安全漏洞資源，做到早發(fā)現(xiàn)、早修復、早利用

一是利用發(fā)現(xiàn)的安全漏洞，及時修復自身網(wǎng)絡存在的安全問題，做好網(wǎng)絡防御措施。據(jù)美國彭博新聞社報道，美國國家安全局早在2012年就發(fā)現(xiàn)Open SSL開源加密軟件存在“心血”安全漏洞，但美國政府出于“維護國家安全威脅免受威脅”等因素的考慮，一直未將漏洞信息公之于眾，為其利用該漏洞搜集情報提供了2年的時間窗口。當“心血”安全漏洞被私營企業(yè)發(fā)現(xiàn)后，美國聯(lián)邦儲備委員會、財政部、國土安全部等政府部門立即對網(wǎng)絡系統(tǒng)開展了全面測試和修復。

二是利用安全漏洞制造網(wǎng)絡監(jiān)聽工具，搜集海量機密信息。一旦美國國家安全局尋找到目標網(wǎng)絡或計算機存在安全漏洞，就會借助軟件設計師和工程師隊伍設計的專用監(jiān)聽軟件，通過電子手段入侵系統(tǒng)并持續(xù)搜集機密信息。自2009年開始，美國政府利用搜集華為公司相關技術中存在的安全漏洞，入侵華為網(wǎng)絡設備并實施監(jiān)控，試圖找到華為與中國軍方之間有聯(lián)系的證據(jù)，同時監(jiān)控華為高管的通信。

三是利用安全漏洞制造網(wǎng)絡攻擊武器，破壞關鍵基礎設施。美國政府通過植入、發(fā)掘和購買等方式獲得安全漏洞后，利用這些龐大的安全漏洞資源，研發(fā)制造極具殺傷力的網(wǎng)絡武器，伺機將惡意軟件植入目標國家的計算機、路由器和防火墻，在需要時利用先進的網(wǎng)絡滲透與攻擊技術實行謹慎而高效的網(wǎng)絡監(jiān)聽或攻擊，破壞他國關鍵信息基礎設施。2010年，美國家安全局曾利用包括Windows字體漏洞在內(nèi)的四個“零日”漏洞，制造出“震網(wǎng)”蠕蟲病毒并向伊朗鈾濃縮項目發(fā)動攻擊，最終破壞了約1000臺伊朗離心機。此外，美國家安全局在代號為“精靈”的項目中，利用掌握到的漏洞資源，將惡意軟件秘密植入世界各地的計算機、路由器和防火墻，伺機發(fā)動網(wǎng)絡攻擊。至2013年底，該項目已控制了至少85000臺計算機。此外，美國中央情報局還部署了名為“FoxAcid”的利用安全漏洞發(fā)動網(wǎng)絡攻擊的服務器平臺，可對目標的狀態(tài)、受攻擊后的反應等進行判斷，以選擇最有效的漏洞進行攻擊。

從國家層面加強網(wǎng)絡安全立法和機構設置，為利用安全漏洞提供頂層保障

近年來曝光的每一例關于網(wǎng)絡安全的問題，基本都是由美國官方或私營科技公司率先發(fā)現(xiàn)，其他國家只有在安全漏洞曝光或遭受攻擊后才能了解安全漏洞的相關信息。事實上，美國從國家層面建立了一整套完善的安全漏洞監(jiān)測、預警及響應體系，通過加強網(wǎng)絡安全立法和組織機構設置，為美國率先獲取和利用安全漏洞提供了頂層保障。

首先，重視網(wǎng)絡安全戰(zhàn)略建設，將網(wǎng)絡安全由政策、計劃提升到國家戰(zhàn)略高度。從克林頓時期的《美國政府對關鍵基礎設施的保護政策》、《信息系統(tǒng)保護國家計劃》到布什時期的《保護網(wǎng)絡空間的國家戰(zhàn)略》，再到奧巴馬政府的《網(wǎng)絡空間國際戰(zhàn)略》、《提升美國關鍵基礎設施網(wǎng)絡安全框架》等一系列文件的出臺，可以看出，美國政府高度重視網(wǎng)絡安全戰(zhàn)略建設，將其視為影響經(jīng)濟發(fā)展和國家安全的關鍵因素，通過政策、計劃、戰(zhàn)略逐級遞增的方式，不斷提升美國網(wǎng)絡安全的戰(zhàn)略高度。同時，美國先后頒布了《計算機欺詐和濫用法》、《聯(lián)邦信息安全管理法》、《關鍵基礎設施信息法》等十多部有關網(wǎng)絡安全的法律，這些法律從計算機與信息系統(tǒng)安全、基礎設施安全、信息內(nèi)容安全等多個層次構建了龐大的網(wǎng)絡安全保護框架，將網(wǎng)絡安全“威懾與防御”的理念貫徹在頂層戰(zhàn)略的具體規(guī)劃中，使美國成為網(wǎng)絡安全領域頒布法律最多且體系最為完善的國家。

其次，美國政府將網(wǎng)絡安全政策執(zhí)行、管理與監(jiān)督等權利分配給國土安全部、國防部、審計署、商務部及財政部等多個聯(lián)邦政府部門。各聯(lián)邦部門在網(wǎng)絡安全管理方面分工明確，職責清晰，形成了美國網(wǎng)絡安全管理的雙層主體架構：第一層是白宮網(wǎng)絡安全辦公室，由白宮網(wǎng)絡安全協(xié)調(diào)官協(xié)調(diào)和整合政府網(wǎng)絡安全方面的所有政策；第二層是國土安全部和國防部，分別作為聯(lián)邦政府網(wǎng)絡安全的指揮中樞和掌管美軍網(wǎng)絡安全與網(wǎng)絡作戰(zhàn)指揮的司令部。

對我國網(wǎng)絡安全漏洞應對機制的建議

雖然“心血”安全漏洞在曝光后迅速得到修復，但我國仍至少有3萬臺服務器受到影響。鑒于我國政府、金融、能源、交通、軍工等關鍵行業(yè)所用的服務器、操作系統(tǒng)、芯片等軟硬件產(chǎn)品和通用網(wǎng)絡組件主要來自國外，無法實現(xiàn)安全可控，這些關鍵行業(yè)的信息基礎設施都可能受到該安全漏洞的影響。因此，我國一方面要加強自主、安全、可控的軟硬件技術與產(chǎn)品的研發(fā)，并逐步在關鍵領域實現(xiàn)替代，從根本上防御網(wǎng)絡安全漏洞存在的威脅；另一方面，應加大對網(wǎng)絡安全漏洞的監(jiān)測、預警和響應力度，使我國能夠及早發(fā)現(xiàn)網(wǎng)絡安全漏洞，進而做到早修復。

加強各部門之間信息共享和協(xié)同行動，提升網(wǎng)絡安全態(tài)勢的整體感知能力，及時實施應急響應和威懾反制措施

從“蠕蟲”病毒到“震網(wǎng)”攻擊，再到此次存在時間長達2年的“心血”安全漏洞，美國一直以來都是病毒、木馬、漏洞等網(wǎng)絡武器的第一發(fā)現(xiàn)者和網(wǎng)絡攻擊發(fā)起者，這些“成績”的取得都直接歸于美國所建立的成熟的網(wǎng)絡安全監(jiān)測機構。因此，我國應通過網(wǎng)絡安全監(jiān)測機構建立關鍵領域網(wǎng)絡安全漏洞庫，并及時將安全漏洞在不同部門之間共享，切實提高網(wǎng)絡安全態(tài)勢的感知能力和應急響應能力。

結合實際情況，堅持發(fā)展自主可控的軟硬件產(chǎn)品，著力推進國產(chǎn)軟硬件產(chǎn)品系統(tǒng)性替代

發(fā)展和應用自主可控的元器件、芯片、操作系統(tǒng)、數(shù)據(jù)庫、服務器等軟硬件產(chǎn)品，是保障我國網(wǎng)絡安全的根本方法。我國應該結合實際情況，尋找適合自身需求的軟硬件產(chǎn)品。例如，在桌面操作系統(tǒng)方面，我國不需要重新研發(fā)類似Windows這樣的操作系統(tǒng)，基于Linux開發(fā)的操作系統(tǒng)在可用性、易用性、適用性等方面基本具備替代能力。雖然國內(nèi)廠商的研發(fā)能力、產(chǎn)品技術、生態(tài)環(huán)境與國外產(chǎn)品存在一定的差距，但國產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫、服務器已基本能夠滿足大部分用戶90%以上的需求。然而，很多行業(yè)部門在實際選擇中出于風險和安全考慮，仍偏向使用國外產(chǎn)品。因此，我國應通過優(yōu)化政府采購政策等方式，加大國產(chǎn)軟硬件產(chǎn)品在政府、金融、能源、交通、軍工等關鍵行業(yè)的應用比例，逐步推進國產(chǎn)軟硬件產(chǎn)品的替代步伐。

正確認識開源軟件的安全性，通過第三方評測機構對關鍵行業(yè)重要信息基礎設施所用的開源軟件開展評估

開源軟件采用的“同行評議”方式，使得眾多開發(fā)者持續(xù)對軟件代碼進行修改和完善，在一定程度上可以有效消除軟件內(nèi)部存在的缺陷。但正是由于行業(yè)內(nèi)對Open SSL這類全球廣泛應用的開源軟件安全性的信任，使得某些明顯漏洞在開源軟件中長期存在。因此，我國應該了解和掌握開源軟件在政府、金融、能源、交通、軍工等關鍵行業(yè)重要信息基礎設施中的應用情況，通過第三方評測機構對上述行業(yè)所使用的開源操作系統(tǒng)、數(shù)據(jù)庫、服務器的安全性和可靠性開展評估，及時修復發(fā)現(xiàn)的安全漏洞，滿足黨政軍及國家關鍵基礎設施等重要信息系統(tǒng)的運行需求，應對他國持續(xù)、有預謀、高強度的網(wǎng)絡空間攻勢。

篇2

1影響計算機網(wǎng)絡安全的因素

1.1操作系統(tǒng)的漏洞及網(wǎng)絡設計的問題。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡安全漏洞，黑客利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)。由于設計的網(wǎng)絡系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，使其受到影響。

1.2缺乏有效的手段評估網(wǎng)絡系統(tǒng)的安全性。缺少使用硬件設備對整個網(wǎng)絡的安全防護性能作出科學、準確的分析評估，并保障實施的安全策略技術上的可實現(xiàn)性、經(jīng)濟上的可行性和組織上的可執(zhí)行性。

1.3黑客的攻擊手段在不斷地更新。目前黑客的攻擊方法已超過計算機病毒的種類，且許多攻擊都是致命的。攻擊源相對集中，攻擊手段更加靈活。黑客手段和計算機病毒技術結合日漸緊密。黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

1.4計算機病毒。計算機病毒將導致計算機系統(tǒng)癱瘓，程序和數(shù)據(jù)嚴重破壞甚至被盜取，使網(wǎng)絡的效率降低，使許多功能無法使用或不敢使用。層出不窮的各種各樣的計算機病毒活躍在計算機網(wǎng)絡的每個角落，給我們的正常工作已經(jīng)造成過嚴重威脅。

2確保計算機網(wǎng)絡安全的防范措施

2.1操作系統(tǒng)與網(wǎng)絡設計。計算機用戶使用正版軟件，及時對系統(tǒng)漏洞打補丁，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在計算機網(wǎng)絡中，建立起統(tǒng)一的身份認證，供各種應用系統(tǒng)使用，實現(xiàn)用戶統(tǒng)一管理、認證和授權。網(wǎng)絡管理員和操作員根據(jù)本人的權限，輸入不同的口令，對應用程序數(shù)據(jù)進行合法操作，防止用戶越權訪問數(shù)據(jù)和使用網(wǎng)絡資源。

2.2安全性評估。加強計算機網(wǎng)絡各級使用人員的網(wǎng)絡安全教育，建立健全計算機網(wǎng)絡安全管理制度，嚴格執(zhí)行操作規(guī)程和規(guī)章制度。網(wǎng)絡管理人員對整個網(wǎng)絡的安全防護性能進行檢查，查找其中是否有可被黑客利用的漏洞，對系統(tǒng)安全狀況進行評估、分析，并對發(fā)現(xiàn)的問題提出建議，從而提高網(wǎng)絡系統(tǒng)安全性能。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞。

篇3

1．硬件威脅。計算機網(wǎng)絡安全的影響因素有一些是來自硬件的，如，組成計算機網(wǎng)絡的服務器，線路等設備不具有抗輻射、防火、防寒的功能。由于硬件是計算機網(wǎng)絡的載體，一旦硬件系統(tǒng)受到破壞，計算機網(wǎng)絡的使用則會受到極大的限制，甚至導致整個網(wǎng)絡系統(tǒng)不復存在。

2．系統(tǒng)自身問題。必須承認，任何操作系統(tǒng)都不可能完全排除安全漏洞，如，現(xiàn)在流行的操作系統(tǒng)windows，unix等本身就存在安全漏洞。操作系統(tǒng)的安全漏洞不易被發(fā)現(xiàn)，而一旦發(fā)現(xiàn)這些安全漏洞，進行系統(tǒng)修復則是一個漫長而又具有技術性的工作。黑客就是利用這些操作系統(tǒng)本身的安全漏洞來侵入系統(tǒng);有時硬件的配置不協(xié)調(diào)也會導致網(wǎng)絡運行的質(zhì)量;再有就是網(wǎng)卡選配不當，也會導致網(wǎng)絡不穩(wěn)定，缺乏安全策略。這就無意中擴大了訪問權限，這些權限就可能被他人所利用。

3．內(nèi)部局域網(wǎng)用戶的威脅。實際上，內(nèi)部局域網(wǎng)的威脅遠大于外部網(wǎng)的安全威脅，由于內(nèi)網(wǎng)使用者缺乏安全意識，在訪問網(wǎng)絡或信息通信時，缺乏安全意識，如，在使用公共計算機時，隨意把個人信息告知他人或用戶賬號和密碼的設置過于簡單等，都會造成個人信息的泄露;再如，在軟件開發(fā)的過程中，由于開發(fā)者的失誤或不注意，會造成軟件的安全存在漏洞，一旦此類軟件遭受到病毒的感染或被網(wǎng)絡黑客控制，就會對計算機網(wǎng)絡安全造成威脅，形成局域網(wǎng)內(nèi)部漏洞。最終導致黑客或病毒通過一臺計算機進入內(nèi)部網(wǎng)絡來實現(xiàn)控制:破壞文件，盜取資料，甚至是使內(nèi)部網(wǎng)絡癱瘓。如，當今流行的arp攻擊，它是一臺電腦中毒，中毒以后攻擊局域網(wǎng)內(nèi)部的其他電腦。arp欺騙木馬只需成功感染一臺計算機，就可能導致整個局域網(wǎng)都無法上網(wǎng)，嚴重的甚至可能帶來整個網(wǎng)絡的癱瘓。該木馬發(fā)作時除了會導致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時斷時續(xù)的現(xiàn)象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡游戲密碼和賬號去做金錢交易，盜竊網(wǎng)上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便甚至是巨大的經(jīng)濟損失。

4．缺乏有效的監(jiān)視手段來評估網(wǎng)絡系統(tǒng)的安全。完整而且能夠準確地評估自身的計算機安全性，并作出有效的防范，要保障安全策略的實施，及時發(fā)現(xiàn)和解決問題，是一種非常有效的提高網(wǎng)絡安全的辦法。當發(fā)現(xiàn)系統(tǒng)漏洞時，要及時進行更新，發(fā)現(xiàn)運行出現(xiàn)不正常，及時進行檢查，這樣才能有效地防范于未然。然而我們的安全工具的更新速度很慢，一般都是發(fā)現(xiàn)該攻擊或該病毒后才會研究對應的辦法，而又需要一段時間，根本來不及挽回已經(jīng)造成的損失。而一個問題解決后，又可能出現(xiàn)其他的安全問題，因此，安全工具不知道何時又會有其他的問題出現(xiàn)，所以就目前情況來看缺乏有效的監(jiān)視手段。

5．計算機病毒。計算機病毒的威脅也是常見的網(wǎng)絡安全行為，它是一些人為了達到某種目的而編寫出來的一段計算機程序。計算機病毒通常具有極快的傳播速度與難以被刪除的特點。因此一旦計算機感染上病毒，通常會導致計算機功能遭到破壞，例如數(shù)據(jù)的損壞、信息的丟失等，并且隨著計算機病毒的不斷發(fā)展，計算機病毒也呈現(xiàn)出一種可自我進化，感染方式多樣化等特點。所以說計算機病毒也是威脅計算機網(wǎng)絡安全的一個重要因素。

6．黑客的攻擊手段也在不斷更新?？梢哉f相比于計算機病毒，黑客對于計算機網(wǎng)絡安全的危害更為嚴重。因為黑客對計算機網(wǎng)絡的攻擊有著明確的目的性，是根據(jù)特定的需要來進行信息的破壞、利用與竊取，并且這種信息的破壞、利用與竊取通常伴隨著相當高的隱蔽性，造成的損失難以估量的。所以雖說我們在不斷地更新各種殺毒軟件，不斷地修復系統(tǒng)的漏洞，但黑客也在不斷地研究新的病毒，改進新的手段，成為造成計算機網(wǎng)絡安全隱患的重要因素。

二、計算機網(wǎng)絡安全的防范措施

既然如此，我們就應該做好計算機網(wǎng)絡安全防范措施，做到防患于未然，盡量減小因網(wǎng)絡安全導致的損失。主要措施如下。

1．對網(wǎng)絡內(nèi)部用戶的網(wǎng)絡安全防范意識進行提升教育，使用戶意識到網(wǎng)絡安全的重要性。給每臺計算機安裝殺毒軟件，使每臺計算機都可以自動進行殺毒，并且養(yǎng)成定期殺毒的習慣，對他人拿來的u盤、移動硬盤必須進行查殺后才可使用。這是在防病毒的過程中，最經(jīng)濟也是最實惠的方法。

2．使用網(wǎng)絡防火墻。網(wǎng)絡防火墻可以加強網(wǎng)絡之間的訪問控制，阻止他人非法從外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，獲取網(wǎng)絡內(nèi)部資源，使重要資料流失。防火墻是目前對黑客的主要防范措施，但是防火墻不能完全防止已經(jīng)被感染的用戶，對內(nèi)部有泄密者也不能進行有效地防范。因此，大力發(fā)展網(wǎng)絡防火墻保護技術，一方面在保障其原有作用的前提下，另一方面應探索如何對于網(wǎng)內(nèi)用戶進行有效的保護。從而更有效地利用防火墻技術來保護計算機網(wǎng)絡安全。

3．可以在計算機網(wǎng)絡添加物理防火墻，對外部攻擊和非法數(shù)據(jù)進行監(jiān)測，對內(nèi)部病毒的攻擊進行有效的防護，使用物理防火墻能有效地控制外部數(shù)據(jù)的安全，有效地保護內(nèi)部網(wǎng)絡。

4．定期對操作系統(tǒng)進行備份，在使用計算機的過程中，如果有重要資料，要進行備份，對操作系統(tǒng)也要做原始備份，如果計算機一旦中毒，可以對操作系統(tǒng)和重要數(shù)據(jù)進行恢復，能夠避免失去重要數(shù)據(jù)。

5．定期進行系統(tǒng)漏洞的掃描與修補。及時下載系統(tǒng)補丁，修補計算機漏洞，對數(shù)據(jù)端口進行有效地防護。

6．大力發(fā)展計算機加密技術加密技術伴隨著計算機網(wǎng)絡的生成而逐步發(fā)展，是保障計算機網(wǎng)絡安全最重要的技術手段。其原理為將原有的信息資源通過算法轉換成不可讀且無意義的密文信息，接收用戶需要通過特定的解密鑰匙才能將信息轉化成明文。目前，計算機的加密技術主要通過兩種形式得以實現(xiàn):一方面是信息加密，即利用有效的算法對重要的信息、程序與文件進行加密鎖定，從而達到防止信息泄漏的目的;另一方面則是對互聯(lián)網(wǎng)的信息傳輸協(xié)議進行加密，此類信息協(xié)議大多采用復雜的算法來保障信息的安全，以達到防止電腦病毒的感染與電腦黑客的竊取與篡改，進而保證計算機網(wǎng)絡的通暢與安全。

三、總結

篇4

（河南中煙工業(yè)有限責任公司南陽卷煙廠 河南 南陽 473007）

摘 要：由于計算機互聯(lián)網(wǎng)比較容易受到內(nèi)部因素和外部因素的影響，這些影響嚴重威脅到了人們的切身利益，從而使得網(wǎng)絡安全的現(xiàn)狀越來越令人堪憂。因此，文章針對網(wǎng)絡安全風險的評估及其關鍵技術展開了分析討論，以期為企業(yè)的網(wǎng)絡安全提供重要的保障條件。

關鍵詞 ：網(wǎng)絡安全；風險的評估；關鍵技術

中圖分類號：TP393.08 文獻標識碼：A doi：10．3969／j．issn．1665－2272．2015．03．006

收稿日期：2014－11-29

1 網(wǎng)絡安全的現(xiàn)狀

網(wǎng)絡安全的核心原則是以安全目標為基礎的。在網(wǎng)絡安全威脅日益增加的今天，要求在網(wǎng)絡安全框架模型的不同層面、不同側面的各個安全維度，有其相應的安全目標要求，而這些安全目標要求必須可以通過一個或多個指標來評估，進而減少信息丟失和網(wǎng)絡事故發(fā)生的概率，從而提高網(wǎng)絡工作效率，降低網(wǎng)絡安全風險。網(wǎng)絡具有方便性、開放性、快捷性以及實效性，因此滿足了在信息時代背景下，人們對信息的接收與處理的要求。

當前，人們的日常生活和生產(chǎn)活動中，幾乎全部都能夠在網(wǎng)絡上進行，這樣不僅提高了效率和效果，而且還在很大程度上降低了運營成本和投資成本。其中網(wǎng)絡的開放性是現(xiàn)代網(wǎng)絡最大的特點，無論是誰，在什么地方都能快速、便捷的參與到網(wǎng)絡活動中去，任何團體或者個人都能在網(wǎng)絡上快速獲得自己所需要的信息。但是在這過程中，網(wǎng)絡也暴露出了許多問題，很多人在利用網(wǎng)絡促進社會發(fā)展和創(chuàng)造財富的同時，也有小部分的人利用網(wǎng)絡開放性的特點非法竊取商業(yè)機密和信息，有的甚至還會對商業(yè)信息進行篡改，從而不僅造成了巨大的經(jīng)濟損失，而且還對整個社會產(chǎn)生了負面的影響。

隨著網(wǎng)絡技術的日益發(fā)展，網(wǎng)絡安全問題也越來越得到了人們的重視，網(wǎng)絡安全問題不僅關系到人們的切身利益，而且它還關系到社會和國家的安全與穩(wěn)定。近幾年來，黑客攻擊事件頻繁發(fā)生，再加上人們對于網(wǎng)絡的安全意識比較淡薄，沒有安全漏洞的防護措施，從而造成了嚴重的后果。

2 網(wǎng)絡安全和網(wǎng)絡安全風險評估

網(wǎng)絡安全的定義需要針對對象而異，對象不同，其定義也有所不同。例如對象是一些個體，網(wǎng)絡安全就代表著信息的機密性和完整性以及在信息傳輸過程中的安全性等，防止和避免某些不法分子冒用信息以及破壞訪問權限等；如果對象是一些安全及管理部門，網(wǎng)絡安全就意味盡最大可能防止某些比較重要的信息泄露和漏洞的產(chǎn)生，盡量降低其帶來的損失和傷害，換句話說就是必須要保證信息的完整性。站在社會的意識形態(tài)角度考慮，網(wǎng)絡安全所涉及的內(nèi)容主要包括有網(wǎng)絡上傳播的信息和內(nèi)容以及這些信息和內(nèi)容所產(chǎn)生的影響。其實網(wǎng)絡安全意味著信息安全，必須要保障信息的可靠性。雖然網(wǎng)絡具有很大的開放性，但是對于某些重要信息的保密性也是十分重要的，在一系列信息產(chǎn)生到結束的過程中，都應該充分保證信息的完整性、可靠性以及保密性，未經(jīng)許可泄露給他人的行為都屬于違法行為。

同時網(wǎng)絡上的內(nèi)容和信息必須是在可以控制的范圍內(nèi)，一旦發(fā)生失誤，應該可以立即進行控制和處理。當網(wǎng)絡安全面臨著調(diào)整或威脅的時候，相關的工作人員或部門應該快速地做出處理，從而盡量降低損失。在網(wǎng)絡運行的過程中，應該盡量減少由于人為失誤而帶來的損失和風向，同時還需要加強人們的安全保護意識，積極建立相應的監(jiān)測機制和防控機制，保證當外部出現(xiàn)惡意的損害和入侵的時候能夠及時做出應對措施，從而將損失降到最低程度。除此之外，還應該對網(wǎng)絡的安全漏洞進行定期的檢查監(jiān)測，一旦發(fā)現(xiàn)問題應該及時進行處理和修復。

而網(wǎng)絡安全風險評估主要是對潛在的威脅和風險、有價值的信息以及脆弱性進行判斷，對安全措施進行測試，待符合要求后，方可采取。同時還需要建立完整的風險預測機制以及等級評定規(guī)范，從而有利于對風險的大小以及帶來的損害做出正確的評價。網(wǎng)絡安全風險不僅存在于信息中，而且還有可能存在于網(wǎng)絡設備中。因此，對于自己的網(wǎng)絡資產(chǎn)首先應該進行準確的評估，對其產(chǎn)生的價值大小和可能受到的威脅進行正確的預測和評估，而對于本身所具有的脆弱性做出合理的風險評估，這樣不僅有效的避免了資源的浪費，而且還在最大程度上提高了網(wǎng)絡的安全性。

3 網(wǎng)絡安全風險評估的關鍵技術

隨著網(wǎng)絡技術的日益發(fā)達，網(wǎng)絡安全技術也隨之在不斷的完善和提高。近年來有很多的企業(yè)和事業(yè)單位都對網(wǎng)絡系統(tǒng)采取了相應的、有效的防護體系。例如，防火墻的功能主要是對外部和內(nèi)部的信息進行仔細的檢查和監(jiān)測，并對內(nèi)部的網(wǎng)絡系統(tǒng)進行隨時的檢測和防護。利用防火墻對網(wǎng)絡的安全進行防護，雖然在一定程度上避免了風險的產(chǎn)生，但是防火墻本身具有局限性，因此不能對因為自己產(chǎn)生的漏洞而帶來的攻擊進行防護和攻擊，同時又由于防火墻的維護系統(tǒng)是由內(nèi)而外的，因此不能為網(wǎng)絡系統(tǒng)的安全提供重要的保障條件。針對于此，應該在防火墻的基礎上與網(wǎng)絡安全的風險評估系統(tǒng)有效地進行結合，對網(wǎng)絡的內(nèi)部安全隱患進行調(diào)整和處理。

從目前來看，在網(wǎng)絡安全風險評估的系統(tǒng)中，網(wǎng)絡掃描技術是人們或團體經(jīng)常采用的技術手段之一。網(wǎng)絡掃描技術不僅能夠將相關的信息進行搜集和整理，而且還能對網(wǎng)絡動態(tài)進行實時的監(jiān)控，從而有助于人們隨時隨地地掌握到有用的信息。近幾年來，隨著計算機互聯(lián)網(wǎng)在各個行業(yè)中的廣泛運用，使得掃描技術更加被人們進行頻繁的使用。對于原來的防護機制而言，網(wǎng)絡掃描技術可以在最大程度上提高網(wǎng)絡的安全系數(shù)，從而將網(wǎng)絡的安全系數(shù)降到最低。由于網(wǎng)絡掃描技術是對網(wǎng)絡存在的漏洞和風險的出擊手段具有主動性，因此能夠對網(wǎng)絡安全的隱患進行主動的檢測和判斷，并且在第一時間能夠進行正確的調(diào)整和處理，而對那些惡意的攻擊，例如黑客的入侵等，都會起到一個預先防護的作用。

網(wǎng)絡安全掃描針對的對象主要包括有主機、端口以及潛在的網(wǎng)絡漏洞。網(wǎng)絡安全掃描技術首先是對主機進行掃描，其效率直接影響到了后面的步驟，對主機進行掃描主要是網(wǎng)絡控制信息協(xié)議對信息進行判斷，由于主機自身的防護體制常常被設置為不可用的狀態(tài)，因此可以用協(xié)議所提供的信息進行判斷。同時可以利用Ping功能向所需要掃描的目標發(fā)送一定量的信息，通過收到的回復對目標是否可以到達或發(fā)動的信息被目標屏蔽進行判斷。而對于防護體系所保護的目標，不能直接從外部進行掃描，可以利用反響映射探測技術對其及進行檢測，當某個目標被探測的時候，可以向未知目標傳遞數(shù)據(jù)包，通過目標的反應進行判斷。例如沒有收到相應的信息報告，可以借此判斷IP的地址是否在該區(qū)域內(nèi)，由于受到相關設備的影響，也將會影響到這種方法的成功率。而端口作為潛在的信息通道，通過對端口的掃描收到的有利信息量進行分析，從而了解內(nèi)部與外部交互的內(nèi)容，從而發(fā)現(xiàn)潛在的漏洞，進而能夠在很大程度上提高安全風險的防范等級。利用相應的探測信息包向目標進行發(fā)送，從而做出反應并進行分析和整理，就能判斷出端口的狀態(tài)是否處于關閉或打開的狀態(tài)，并且還能對端口所提供的信息進行整合。從目前來看，端口的掃描防止主要包括有半連接、全連接以及FIN掃描，同時也還可以進行第三方掃描，從而判斷目標是否被控制了。

除此之外，在網(wǎng)絡安全的掃描技術中，人們還比較常用的一種技術是網(wǎng)絡漏洞掃描技術，這種技術對于網(wǎng)絡安全也起到了非常重要的作用。在一般情況下，網(wǎng)絡漏洞掃描技術主要分為兩種手段，第一種手段是先對網(wǎng)絡的端口進行掃描，從而搜集到相應的信息，隨后與原本就存在的安全漏洞數(shù)據(jù)庫進行比較，進而可以有效地推測出該網(wǎng)絡系統(tǒng)是否存在著網(wǎng)絡漏洞；而另外一種手段就是直接對網(wǎng)絡系統(tǒng)進行測試，從而獲得相關的網(wǎng)絡漏洞信息，也就是說，在黑客對網(wǎng)絡進行惡意攻擊的情況下，并且這種攻擊是比較有效的，從而得出網(wǎng)絡安全的漏洞信息。通過網(wǎng)絡漏洞掃描技術的這種手段而獲取到的漏洞信息之后，針對這些漏洞信息對網(wǎng)絡安全進行及時的、相應的維護和處理，從而保證網(wǎng)絡端口一直處于安全狀態(tài)。

4 結語

在當今信息化的時代背景下，網(wǎng)絡的到來徹底改變了傳統(tǒng)的生產(chǎn)方式以及人們的生活方式。目前，網(wǎng)絡作為一個重要的運營平臺，通過信息對企業(yè)的生產(chǎn)和發(fā)展進行輔助和支持，這對社會和企業(yè)的發(fā)展，都具有十分深遠的意義。因此，在網(wǎng)絡的運行過程中，應當對網(wǎng)絡的信息資產(chǎn)進行正確的評估和妥善的保護，從而為企業(yè)和社會的經(jīng)濟提供重要的保障條件。針對于此，應該加大人們的網(wǎng)絡安全意識，建立完整、有效的網(wǎng)絡安全評估系統(tǒng)，從而提高網(wǎng)絡的安全系數(shù)。

參考文獻

1 白兆輝．淺析計算機網(wǎng)絡安全防范的幾種關鍵技術［J］．科技信息，2009（23）

2 李靖．網(wǎng)絡安全風險評估關鍵技術研究［J］．網(wǎng)絡安全技術與應用，2014（5）

篇5

關鍵詞：網(wǎng)絡安全；入侵監(jiān)測；防火墻；包過濾

隨著計算機技術和網(wǎng)絡和不斷發(fā)展，療養(yǎng)院信息化的也呈跨越式的發(fā)展。所有療養(yǎng)人員的信息都已經(jīng)通過網(wǎng)絡數(shù)字化存入了網(wǎng)絡數(shù)據(jù)庫，使療養(yǎng)人員的健康管理，療案跟蹤以及醫(yī)護人員的定點服務能夠快速、準確。所以療養(yǎng)院網(wǎng)絡的安全，將直接關系到療養(yǎng)工作的正常進行。網(wǎng)絡上的漏洞、病毒等如果不進行有效的技術控制防護殺毒，將會帶來巨大的災難和損失。那么，對于網(wǎng)絡安全管理來說，管理員應該從哪些方面，如何才能做到安全管理呢，我們一步一步進行分析。

1網(wǎng)絡安全技術分析

網(wǎng)絡安全技術一般都由多種安全技術組成，如網(wǎng)絡防火墻技術、網(wǎng)絡入侵檢測技術、網(wǎng)絡防病毒技術、網(wǎng)絡安全漏洞掃描技術。

1.1網(wǎng)絡防火墻技術

網(wǎng)絡防火墻又分為硬件防火墻和軟件防火墻，他們的功能基本相同，都是在療養(yǎng)院內(nèi)部可信任網(wǎng)絡和外部不可信任的公共網(wǎng)絡之架起一座橋梁，然后根據(jù)內(nèi)部網(wǎng)絡的要求，允許授權的包通過，同時防止外部未經(jīng)授權的用戶非法訪問內(nèi)部網(wǎng)絡，也可以完全阻止外部用戶的訪問，進而保護內(nèi)部網(wǎng)絡免受非法用戶的入侵。不管是硬件防火墻還是軟件防火墻都能夠根據(jù)一定的安全規(guī)則來控制內(nèi)外網(wǎng)之間的信息流，并且保護自身不受非法用戶的攻擊。

防火墻技術從應用上來說一般分為“包過濾”型（PacketFiltering）、“應用”型（ApplicationProxy），網(wǎng)絡地址轉換型（NetworkAddressTranslation）三種?！鞍^濾”型：它是依據(jù)網(wǎng)絡中的數(shù)據(jù)包傳輸，根據(jù)防火墻制作的過濾包的規(guī)則來檢測攻擊行為。因為網(wǎng)絡上傳輸?shù)臄?shù)據(jù)都是以“包”為單位進行傳輸?shù)?，每一個數(shù)據(jù)包都包含特定的信息，像數(shù)據(jù)源地址、目的地址、端口號等等。包過濾會檢查這些是否來自可信任的安全站點，如果發(fā)現(xiàn)數(shù)據(jù)包不正?；騺碜圆话踩牡刂?，就會拒絕這些數(shù)據(jù)包通過。管理員可根據(jù)自身網(wǎng)絡的需要來制定相應的包過濾規(guī)則。

包過濾也有一定的缺點，因為它是工作在網(wǎng)絡層，通過數(shù)據(jù)包的信息來判斷，如果有黑客偽造地址和端口等方法就能很容易通過包過濾型的防火墻。“應用”型：應用型的防火墻其實就是使用服務器作為防火墻用，服務器處于客戶機和服務器之間，內(nèi)部網(wǎng)絡用戶可以通過服務使用外部網(wǎng)絡，而外部網(wǎng)絡用戶無法訪問內(nèi)部網(wǎng)絡，保護了內(nèi)部網(wǎng)絡上的數(shù)據(jù)。由于內(nèi)外之間沒有直接連接，都是通過服務器進行，所以安全性較高。服務器還可以同時提供安全審計和日志服務。服務雖然安全性較高，對病毒和木馬入侵十分有效，但是因為所有客戶機的訪問都要由服務器進行連接，加重了服務器的負擔，而且速度較慢。

“網(wǎng)絡地址轉換”型：它是把內(nèi)部網(wǎng)絡用戶的內(nèi)部IP臨時轉換成具有外部網(wǎng)絡的IP地址的計算機來訪問外網(wǎng)。外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡，所有內(nèi)部網(wǎng)絡的機器在訪問外網(wǎng)果，都由NAT服務器來產(chǎn)生一個映射地址，然后在映射出一個偽裝的端口通過網(wǎng)卡訪問，這樣就隱藏了實際的內(nèi)部網(wǎng)絡地址?！熬W(wǎng)絡地址轉換”型的優(yōu)點是可以使內(nèi)部所有的機器共享幾個外網(wǎng)的IP訪問外網(wǎng)，對于內(nèi)網(wǎng)安全性較高，但是同樣網(wǎng)絡訪問速度慢。

1.2網(wǎng)絡入侵檢測技術入侵檢測

技術能夠監(jiān)視計算機系統(tǒng)或網(wǎng)絡系統(tǒng)中發(fā)生的各種事件并形成日志文件，并且進行完整檢測分析，從中找到不安全的因素或系統(tǒng)中存在的漏洞。一般把入侵檢測的軟件與硬件的組合稱為入侵檢測系統(tǒng)。它是一種主動型的安全防護系統(tǒng)，可以對內(nèi)部攻擊、誤操作和外部攻擊做實時防護，在計算機網(wǎng)絡和系統(tǒng)受到危害之前提前報警、攔截和響應。入侵檢測系統(tǒng)可分為兩類?；谥鳈C的入侵檢測系統(tǒng)用于保護關鍵應用的服務器，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等。特點是：精確，可以精確地判斷入侵事件；高級，可以判斷應用層的入侵事件；對入侵時間立即進行反應；針對不同操作系統(tǒng)特點；占用主機寶貴資源?；诰W(wǎng)絡的入侵檢測系統(tǒng)用于實時監(jiān)控網(wǎng)絡關鍵路徑的信息。特點是：能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動；實時網(wǎng)絡監(jiān)視；監(jiān)視粒度更細致；精確度較差；防入侵欺騙的能力較差；交換網(wǎng)絡環(huán)境難于配置。

1.3網(wǎng)絡防病毒技術

計算機病毒是危害網(wǎng)絡信息系統(tǒng)安全的重要問題之一，它可以通過光盤、優(yōu)盤、移動硬盤、網(wǎng)上下載、電子郵件等方式進行傳播，一旦網(wǎng)絡中的某一臺主機受到病毒感染，病毒程序就會很快迅速傳播，一般的蠕蟲病毒可能拖慢計算機速度，惡意的病毒則可能使用信息泄漏、文件丟失甚至造成計算機崩潰，最嚴重的病毒甚至可以造成計算機硬件燒毀，如CIH病毒等。網(wǎng)絡防病毒一般是在全網(wǎng)安裝防病毒軟件客戶端，由一臺防病毒服務器來運行服務端軟件。服務端和客戶軟件都具有檢查和清除病毒的功能，服務端還可以設置所有在線機器的定時殺毒以及網(wǎng)全網(wǎng)殺毒。當服務端的殺毒程序升級更新后所有的客戶端都可以自動更新，增加內(nèi)部網(wǎng)絡的防病毒能力。

1.4網(wǎng)絡安全漏洞掃描技術

網(wǎng)絡安全漏洞掃描技術是網(wǎng)絡安全技術中不可或缺的一部分，它能夠增強內(nèi)部網(wǎng)絡的安全性，能夠掃描分析系統(tǒng)中存在的安全問題，并針對掃描到的安全漏洞提供詳細的安全解決方案，使系統(tǒng)管理員及時打好系統(tǒng)安全補丁，避免因存在的漏洞而讓黑客有可乘之機，造成數(shù)據(jù)丟失。現(xiàn)在的漏洞掃描工具分為兩類，一類是基于服務的，一類是基于網(wǎng)絡的。基于服務器的漏洞掃描工具可以對服務器進行全方位的掃描，如弱口令、共享文件、WWW服務、系統(tǒng)漏洞等，掃描完成后會給出詳盡的分析說明?；诰W(wǎng)絡的安全掃描工具主要掃描設定網(wǎng)絡內(nèi)的交換機、路由器、數(shù)據(jù)庫服務器、防火墻等設備的安全漏洞，還可以設定模擬攻擊，以便測試系統(tǒng)的防御能力。通過漏洞掃描技術的應用，管理可以針對相應的問題，制定切實可行的安全解決方案。

2網(wǎng)絡安全管理實施對策

2.1在全網(wǎng)部署硬件防火墻

根據(jù)內(nèi)部網(wǎng)絡的需求，在內(nèi)網(wǎng)和外網(wǎng)之間架設硬件防火墻，隔離外網(wǎng)與內(nèi)網(wǎng)之間的訪問。在防火墻中打開IP和端口控制，設立DMZ區(qū)，打開所需的常用網(wǎng)絡服務如HTTP、FTP等，這樣就可防范外部對內(nèi)部用戶的攻擊；及時查看防火墻的日志文件，對防火墻的管理可以指定獨立的管理IP。通過對防火墻規(guī)則的設置，使用戶需要的應用協(xié)議才能通過，讓內(nèi)部網(wǎng)絡變得更安全。

2.2利用專用服務器安裝網(wǎng)絡版殺毒軟件

采用網(wǎng)絡版殺毒軟件，可以對整個內(nèi)部網(wǎng)絡采取全面的病毒防護?，F(xiàn)在的網(wǎng)絡版殺毒軟件有瑞星和江民。他們都能對整個內(nèi)部網(wǎng)絡進行防病毒統(tǒng)一管理，制作一定的防病毒策略，定時對全網(wǎng)系統(tǒng)進行自動查、殺病毒。網(wǎng)絡防病毒策略一般包括：升級和修補，及時更新病毒程序包和殺毒軟件版本；備份，定時備份所需的重要數(shù)據(jù)以便在出現(xiàn)故障時進行恢復；安裝軟件時使用經(jīng)過確認的軟件包；一旦某臺機器感染病毒，找到感染源并徹底清除；任何客戶端都不能自行卸載殺毒軟件，設立卸載密碼。

2.3網(wǎng)絡安全漏洞修補

定期采用專用的漏洞掃描軟件對內(nèi)部網(wǎng)絡的專用服務器如WWW服務器、視頻會議服務器、數(shù)據(jù)庫服務器、FTP服務器等進行漏洞掃描、分析和評估，并生成掃描報告。根據(jù)評估的安全風險，及時修補漏洞及下載系統(tǒng)更新補丁，還要對重要數(shù)據(jù)進行備份，以達到增強網(wǎng)絡的安全性的目的。

2.4用戶級訪問控制

對所有用戶采用專用的用戶口令和訪問規(guī)則及權限，以確保只有合法用戶才能訪問合法資源。網(wǎng)絡管理員應該對不同的設備設置不同的口令，而且設置的口令最好是大小寫字母、數(shù)字加特殊字符等，最好是8位以上的密碼，還需要定期更改密碼并將密碼記錄下來。

2.5內(nèi)部網(wǎng)絡計算機認證訪問

我們都知道，計算機的MAC地址在全球是唯一的，在網(wǎng)絡中對所有計算機進行IP地址和MAC地址進行綁定，就能夠標識每臺計算機的使用人，只有經(jīng)過綁定的計算機的IP才能夠訪問網(wǎng)絡。這種綁定可以使用具有三層功能的核心交換來做，也可以使用軟件在專用服務器上做。利用這種綁定不但可以控制網(wǎng)內(nèi)用戶隨意更換IP的問題，還可以很容易找到某些存在問題的計算機。

2.6網(wǎng)絡機房安全管理

網(wǎng)絡安全管理不僅僅要從計算機硬件、軟件和人員使用上管理到位，而且對機房也要納入安全管理范圍，并建立各種安全管理制度，如機房管理制度、設備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應急制度、各服務器檢查備份制度等，建立相應的各種檢查記錄文件，定期修訂不安全的因素，最終采取切實有效的措施保證制度的執(zhí)行。通過以上對各種網(wǎng)絡安全技術的分析，我們給出了相應的解決問題的對策，從技術和制度管理上保證了療養(yǎng)院信息網(wǎng)絡安全的運行。我相信，隨著網(wǎng)絡安全管理人員的進一步學習和實踐，并積極參加國內(nèi)外的各種網(wǎng)絡安全培訓，必將會進一步提高我們信息網(wǎng)絡管理的安全，使網(wǎng)絡安全正常的運行。

參考文獻：

[1]AnneCarasik-Henmi.防火墻核心技術精解[M].北京:中國水利水電出版社,2005:10-14.

[2]戴浩,楊林.端端通信系統(tǒng)安全體系結構[J].計算機安全,2004(2).

篇6

關鍵詞：計算機；網(wǎng)絡安全；防范技術

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 14-0000-01

Brief Introduction on the Security and Prevention of Computer Network

Chen Zhengyao

(Yangjiang District Cadastral Management Office,Yangjiang529500,China)

Abstract:This paper from the start with the concept of computer network security,computer network security issues Chuqian discussed.

Keywords:Computer;Network security;Prevention technology

一、計算機網(wǎng)絡安全的概念

國際標準化組織將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網(wǎng)絡安全性的含義是信息安全的引申，即網(wǎng)絡安全是對網(wǎng)絡信息保密性、完整性和可用性的保護。

從本質(zhì)上來講，網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件及其在網(wǎng)絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡入侵和攻擊行為使得網(wǎng)絡安全面臨新的挑戰(zhàn)。

二、影響計算機網(wǎng)絡安全的主要因素

人為因素是對計算機信息網(wǎng)絡安全威脅最大的因素。計算機網(wǎng)絡不安全因素主要表現(xiàn)在以下幾個方面:

（一）互聯(lián)網(wǎng)絡的不安全性。（1）網(wǎng)絡的開放性，網(wǎng)絡的技術是全開放的，使得網(wǎng)絡所面臨的攻擊來自多方面?；蚴莵碜晕锢韨鬏斁€路的攻擊，或是來自對網(wǎng)絡通信協(xié)議的攻擊，以及對計算機軟件、硬件的漏洞實施攻擊。（2）網(wǎng)絡的國際性，意味著對網(wǎng)絡的攻擊不僅是來自于本地網(wǎng)絡的用戶，還可以是互聯(lián)網(wǎng)上其他國家的黑客，所以，網(wǎng)絡的安全面臨著國際化的挑戰(zhàn)。（3）網(wǎng)絡的自由性，大多數(shù)的網(wǎng)絡對用戶的使用沒有技術上的約束，用戶可以自由的上網(wǎng)，和獲取各類信息。

（二）操作系統(tǒng)存在的安全問題。操作系統(tǒng)是作為一個支撐軟件，提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開發(fā)設計的不周而留下的破綻，都給網(wǎng)絡安全留下隱患。

（三）來自內(nèi)部網(wǎng)用戶的安全威脅。來自內(nèi)部用戶的安全威脅遠大于外部網(wǎng)用戶的安全威脅，使用者缺乏安全意識，許多應用服務系統(tǒng)在訪問控制及安全通信方面考慮較少，并且，如果系統(tǒng)設置錯誤，很容易造成損失，管理制度不健全，人為因素造成的安全漏洞無疑是整個網(wǎng)絡安全性的最大隱患。

（四）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

三、確保計算機網(wǎng)絡安全的對策

網(wǎng)絡安全不僅是技術問題，更是一個管理問題，它包含管理機構、法律、技術、經(jīng)濟各方面。我們可從加強管理和提高網(wǎng)絡安全技術兩方面確保計算機網(wǎng)絡安全。

（一）管理層面的對策。（1）建立安全管理制度。建立健全各種安全機制、各種網(wǎng)絡安全制度，加強網(wǎng)絡安全教育和培訓，提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術素質(zhì)和職業(yè)道德修養(yǎng)。對重要部門和信息，嚴格做好開機查毒，及時備份數(shù)據(jù)，這是一種簡單有效的方法。（2）加強網(wǎng)絡訪問控制。訪問控制涉及的技術比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡權限控制、目錄級控制以及屬性控制等多種手段。

（二）技術層面的對策。（1）網(wǎng)絡病毒的防范。要使用全方位的防病毒產(chǎn)品，針對網(wǎng)絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，及時為每臺客戶端計算機打好補丁，加強日常監(jiān)測，使網(wǎng)絡免受病毒的侵襲。（2）配置防火墻。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，根據(jù)不同網(wǎng)絡的安裝需求，做好防火墻內(nèi)服務器及客戶端的各種規(guī)則配置，更加有效利用好防火墻。（3）采用入侵檢測系統(tǒng)。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。在學校、政府機關、企事業(yè)網(wǎng)絡中采用入侵檢測技術，最好采用混合入侵檢測，在網(wǎng)絡中同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)，則會構架成一套完整立體的主動防御體系，有的入侵檢測設備可以同防火強進行聯(lián)動設置。（4）應用密碼技術。應用密碼技術是信息安全核心技術，密碼手段為信息安全提供了可靠保證?；诿艽a的數(shù)字簽名和身份認證是當前保證信息完整性的最主要方法之一，密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。（5）Web，Email，BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡的www服務器、Email服務器等中使用網(wǎng)絡安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、Telnet應用的內(nèi)容，建立保存相應記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡上傳輸?shù)姆欠▋?nèi)容，及時向上級安全網(wǎng)管中心報告，采取措施。（6）漏洞掃描系統(tǒng)。面對大型網(wǎng)絡的復雜性和不斷變化的情況，僅僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞、做出風險評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞。（7）IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

計算機網(wǎng)絡系統(tǒng)是一個人機系統(tǒng)，安全保護的對象是計算機，而安全保護的主體則是人，應重視對計算機網(wǎng)絡安全的硬件產(chǎn)品開發(fā)及軟件研制，建立一個好的計算機網(wǎng)絡安全系統(tǒng)，也應注重樹立人的計算機安全意識，才可能防微杜漸。把可能出現(xiàn)的損失降低到最低點，才能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。

參考文獻:

[1]孟祥初.網(wǎng)絡安全重在流程[N].通信產(chǎn)業(yè)報,2007

篇7

今日的世界已進入了網(wǎng)絡信息高速流通的時代，它仿佛使地球變小了，把世界各地的距離拉近。隨著計算機技術的發(fā)展，網(wǎng)絡進入了千家萬戶。本文首先概括了網(wǎng)絡信息安全的概念和當前網(wǎng)絡安全解決方案的局限性，然后對網(wǎng)絡安全防范體系及設計原則進行了系統(tǒng)分析。

【關鍵詞】網(wǎng)絡安全 網(wǎng)絡攻擊

1 引言

在網(wǎng)絡信息高度發(fā)達的今天，網(wǎng)絡已經(jīng)成為信息交流便利和開放的代名詞，幾年前不可思議的事情今天已成為現(xiàn)實。然而伴隨計算機與通信技術的迅猛發(fā)展，網(wǎng)絡攻擊與防御技術也在循環(huán)遞升，矛與盾的較量會長時間的進行下去。原本網(wǎng)絡固有的優(yōu)越性、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁，網(wǎng)絡安全已變成越來越棘手的問題。據(jù)有關部門統(tǒng)計，網(wǎng)絡犯罪幾年來呈上升趨勢。在此，筆者僅談一些關于網(wǎng)絡安全及網(wǎng)絡攻擊的相關知識和一些常用的安全防范技術。

2 當前主要影響網(wǎng)絡安全的管理因素和技術因素

隨著計算機網(wǎng)絡的普及，網(wǎng)絡安全問題成了人們關心的焦點，影響計算機網(wǎng)絡安全的主要因素有：

（1）TCP/IP的脆弱性。作為所有網(wǎng)絡安全協(xié)議基石的TCP/IP協(xié)議，其本身對于網(wǎng)絡安全性考慮欠缺，這就使攻擊者可以利用它的安全缺陷來實施網(wǎng)絡攻擊。

（2）軟件系統(tǒng)的不完善性造成了網(wǎng)絡安全漏洞，給攻擊者打開方便之門。

（3）網(wǎng)絡結構的不安全性。由于因特網(wǎng)采用了網(wǎng)間網(wǎng)技術，因此當兩臺主機進行通信時，攻擊者利用一臺處于用戶數(shù)據(jù)流傳輸路徑上的主機，就可以劫持用戶的數(shù)據(jù)包。

（4）缺乏安全意識和策略。由于人們普遍缺乏安全意識，網(wǎng)絡中許多安全屏障形同虛設。如為了避開防火墻的額外認證，直接進行PPP連接，給他人留下可乘之機等。

（5）管理制度不健全，網(wǎng)絡管理、維護任其自然。

（6）由于條塊分割的利益分配問題所帶來的網(wǎng)絡安全問題。

3 目前解決網(wǎng)絡安全問題存在著技術和管理的缺失

網(wǎng)絡安全防范措施主要有防火墻、口令驗證系統(tǒng)、加密系統(tǒng)等，應用最廣泛的是防火墻技術。防火墻技術是內(nèi)部網(wǎng)最重要的安全技術之一，其主要功能就是控制對受保護網(wǎng)絡的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結構，另一方面對內(nèi)屏蔽外部危險立足點為。但也有其明顯的局限性，如：

（1）防火墻難于防內(nèi)。防火墻的安全控制只能作用于外對內(nèi)或內(nèi)對外，而據(jù)權威部門統(tǒng)計結果表明，網(wǎng)絡上的安全攻擊事件有70%來自內(nèi)部攻擊。

（2）防火墻難于管理和配置，易造成安全漏洞。防火墻的管理和配置，易造成安全漏洞。防火墻的管理及配置相當復雜，一般來說，由多個系統(tǒng)（路由器、過濾器、服務器、網(wǎng)關、保壘主機）組成的防火墻，管理上有所疏忽是在所難免的。根據(jù)美國財經(jīng)雜志統(tǒng)計資料表明，30%的入侵發(fā)生在有防火墻的情況下。

（3）防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內(nèi)外提供一致的安全策略。許多防火墻對用戶的安全控制主要是基于用戶所用機器的IP地址而不是用戶身份，這樣就很難為同一用戶在防火墻內(nèi)外提供一致的安全控制策略，限制了企業(yè)網(wǎng)的物理范圍。

4 當前設計網(wǎng)絡安全防范體系應遵循的原則

根據(jù)防范安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素，參照SSE-CMM（“系統(tǒng)安全工程能力成熟模型”）和ISO17799（信息安全管理標準）等國際標準，綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡安全防范體系在整體設計過程中應遵循以幾項原則：

（1）短板理論在網(wǎng)絡信息安全技術方面的應用。網(wǎng)絡信息安全的木桶原則是指對信息均衡、全面的進行保護?！澳就暗淖畲笕莘e取決于最短的一塊木板” 。網(wǎng)絡信息系統(tǒng)是一個復雜的計算機系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構成了系統(tǒng)的安全脆弱性，尤其是多用戶網(wǎng)絡系統(tǒng)自身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的“最易滲透原則”，必然在系統(tǒng)中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析，評估和檢測（包括模擬攻擊）是設計信息安全系統(tǒng)的必要前提條件。安全機制和安全服務設計的首要目的是防止最常用的攻擊手段，根本目的是提高整個系統(tǒng)的“安全最低點”的安全性能。

（2）防止以偏概全的網(wǎng)絡信息安全的整體性原則。要求在網(wǎng)絡發(fā)生被攻擊、破壞事件的情況下，必須盡可能地快速恢復網(wǎng)絡信息中心的服務，減少損失。因此，信息安全系統(tǒng)應該包括安全防護機制、安全檢測機制和安全恢復機制。安全防護機制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應的防護措施，避免非法攻擊的進行。安全檢測機制是檢測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊。安全恢復機制是在安全防護機制失效的情況下，進行應急處理和盡量、及時地恢復信息，減少供給的破壞程度。

（3）實踐中的安全性評價與經(jīng)濟可行和安全性的平衡原則。對任何網(wǎng)絡，絕對安全難以達到，也不一定是必要的，所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設計要正確處理需求、風險與代價的關系，做到安全性與可用性相容，做到組織上可執(zhí)行。評價信息是否安全，沒有絕對的評判標準和衡量指標，只能決定于系統(tǒng)的用戶需求和具體的應用環(huán)境，具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質(zhì)和信息的重要程度。

5 結束語

由于互聯(lián)網(wǎng)絡的開放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡環(huán)境中數(shù)據(jù)信息存儲和對其訪問與處理的分布性特點，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡受到的安全攻擊非常嚴重，因此建立有效的網(wǎng)絡安全防范體系就更為迫切。實際上，保障網(wǎng)絡安全不但需要參考網(wǎng)絡安全的各項標準以形成合理的評估準則，更重要的是必須明確網(wǎng)絡安全的框架體系、安全防范的層次結構和系統(tǒng)設計的基本原則，分析網(wǎng)絡系統(tǒng)的各個不安全環(huán)節(jié)，找到安全漏洞，做到有的放矢。

參考文獻

[1]朱理森，張守連.計算機網(wǎng)絡應用技術[M].北京：專利文獻出版社，2001.

[2]劉占全.網(wǎng)絡管理與防火墻[M].北京：人民郵電出版社，1999.

篇8

關鍵詞：計算機；網(wǎng)絡安全；防范措施；含義

中圖分類號：TP393.08文獻標識碼：A文章編號：1007-9599 (2012) 03-0000-02

Research and Discussion on Computer Network Security and Preventation

Xiao Zu

(Zhaotong Teachers' College,Shaotong657000,China)

Abstract:Fundamentally looking for addressing the safe operation of the computer network,you must start from the fundamental computer network.This article first analyzes the meaning of computer network security,described the causes of computer network security issues,and on this basis of computer network security measures and strategies.

Keywords:Computer;Network security;Preventive measures;Meaning

一、計算機網(wǎng)絡安全的含義

計算機技術在現(xiàn)代社會的迅猛發(fā)展，離不開計算機網(wǎng)絡提供的平臺和運行環(huán)境，而今，計算機操作系統(tǒng)的功能日漸強大，伴隨而來的計算機網(wǎng)絡環(huán)境體系也復雜多變，尤其是計算機網(wǎng)絡的負面影響在社會生活中造成的影響不容忽視[1]。若要從根本上尋找解決計算機網(wǎng)絡安全運營問題，則必須從計算機網(wǎng)絡的根本處入手。

目前被國際普遍接受的計算機安全定義是這樣解釋的：為計算機的數(shù)據(jù)信息處理系統(tǒng)采取和建立的技術或管理手段，保護網(wǎng)絡中的計算機軟件、硬件內(nèi)存儲的數(shù)據(jù)不會因為自然或人工的原因遭到更改、泄露甚至破壞。這個定義包含的內(nèi)容有兩方面，不僅要保證計算機內(nèi)存儲邏輯數(shù)據(jù)的安全，更要保護計算機系統(tǒng)的物理安全不受破壞。狹義理解情況下所指的計算機安全僅僅指的是計算機內(nèi)部的邏輯數(shù)據(jù)的完整、保密性和可用性，也即是信息安全；廣義理解的計算機安全是在信息安全的基礎上，再加上對計算機網(wǎng)絡終端的計算機操作系統(tǒng)硬件的完整性、保密性以及可用性的保護[2][3]。

二、計算機網(wǎng)絡安全問題的產(chǎn)生原因分析

現(xiàn)階段已知的計算機網(wǎng)絡安全問題的產(chǎn)生方向主要有四類：網(wǎng)絡本身的缺陷；網(wǎng)絡用戶操作不當帶來的威脅；網(wǎng)絡系統(tǒng)安全性評估測試手段的缺失；人為的黑客攻擊。下面將具體分析每種威脅計算機網(wǎng)絡安全的因素的作用過程。

（一）計算機網(wǎng)絡本身的系統(tǒng)缺陷

現(xiàn)階段市面上流行的多種計算機操作系統(tǒng)都并非完美，都或多或少存在著安全漏洞，這樣也就給了網(wǎng)絡安全問題產(chǎn)生的土壤，也給采用人工攻擊網(wǎng)絡的黑客利用這些操作系統(tǒng)的漏洞入侵計算機系統(tǒng)帶來了可趁之機[4]。計算機操作系統(tǒng)的開發(fā)者雖然可以考慮到多個層面的操作需求，但是也不可能不對計算機操作系統(tǒng)留下一絲一毫的破綻，這樣也就給網(wǎng)絡安全埋下隱患。這些隱患一方面來自于存儲文件的服務器：服務器是計算機網(wǎng)絡的“交通樞紐”，它的穩(wěn)定性和完善的功能會直接影響到網(wǎng)絡系統(tǒng)的運行質(zhì)量，若網(wǎng)絡應用的用戶需求未得到足夠的重視，信息傳輸?shù)囊?guī)劃沒有做好，影響網(wǎng)絡正常功能的發(fā)揮、信息傳輸?shù)目煽啃砸约熬W(wǎng)絡擴充和升級；另外一方面，安全策略缺乏的服務器工作站會明顯影響網(wǎng)絡的穩(wěn)定。

（二）局域網(wǎng)終端的用戶操作不當引發(fā)的安全威脅

局域網(wǎng)內(nèi)部用戶對網(wǎng)絡安全帶來的威脅要遠大于局域網(wǎng)外部的安全攻擊造成的威脅。很多局域網(wǎng)用戶在使用網(wǎng)絡時，并未接受系統(tǒng)的網(wǎng)絡安全知識的教育，加之服務器系統(tǒng)的安全通信和訪問控制的不作為，使得系統(tǒng)設置的錯誤就會在局域網(wǎng)內(nèi)部造成極大的損失。健全的網(wǎng)絡管理制度、安全設計完備的管理和維護工作可以大大降低網(wǎng)絡內(nèi)部人為因素產(chǎn)生的安全漏洞。為保證網(wǎng)絡安全管理制度的順利建立，網(wǎng)絡的用戶以及管理員各自的權限要明確劃分，避免由于權限管理混亂造成的網(wǎng)絡安全破壞[5]。

（三）網(wǎng)絡系統(tǒng)安全性評估測試手段的缺失

網(wǎng)絡安全性能評估即是通過對網(wǎng)絡信息傳輸情況的檢查，搜尋是否存在可能被網(wǎng)絡入侵者利用的漏洞，對網(wǎng)絡系統(tǒng)的現(xiàn)狀作出安全情況分析、評估，若存在問題，則會對所發(fā)現(xiàn)的問題提出行之有效的簡易，最終達到提高網(wǎng)絡系統(tǒng)安全性能的目的。避免黑客入侵網(wǎng)絡的有效手段之一就是建立起完整、準確的網(wǎng)絡系統(tǒng)安全評估體系。這一評估可以對網(wǎng)絡現(xiàn)存以及未來可能構建的網(wǎng)絡安全體系作出準確的、科學的評估分析，對將要進行的安全策略的可行性提供保障。

（四）人為黑客攻擊

黑客對網(wǎng)絡的攻擊，就是前文提到的局域網(wǎng)外部的入侵方式之一。黑客入侵是指以非法目的利用網(wǎng)絡系統(tǒng)安全的漏洞入侵網(wǎng)絡中的計算機操作系統(tǒng)，并作出破壞網(wǎng)絡安全性和完整性等的破壞的行為。因為黑客入侵的目的以及所做的操作的未知性使得黑客入侵網(wǎng)絡后所造成的危害較大，且無法預估，所以黑客的入侵對網(wǎng)絡安全帶來的威脅要遠大于病毒對網(wǎng)絡造成的危害[6]。然而，安全評估系統(tǒng)的不完整以及安全測試工具的更新速度要遠遠落后于黑客的入侵速度，所以，安全工具以及安全檢測手段的更新速度無法滿足網(wǎng)絡的安全需要也是造成計算機網(wǎng)絡安全問題產(chǎn)生的原因。

三、計算機網(wǎng)絡安全防護措施及策略

結合上面對計算機網(wǎng)絡安全問題產(chǎn)生的幾點原因，我們不難從這些起因入手尋找解決網(wǎng)絡安全問題的對策。從相應的法制機制的建立健全到網(wǎng)絡用戶安全意識的普及，從計算機網(wǎng)絡監(jiān)聽的維護到網(wǎng)絡防火墻的升級，可以采取的措施可以總結為以下幾點：

（一）建立健全相應的網(wǎng)絡安全法制機制

現(xiàn)行的《互聯(lián)網(wǎng)信息服務管理辦法》、《中國互聯(lián)網(wǎng)絡域名注冊暫行管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務管理暫行規(guī)定》等法律法規(guī)的相繼頒布表明國家政府已經(jīng)開始注重我國網(wǎng)絡安全的環(huán)境規(guī)范問題，接下來對這些法律法規(guī)的貫徹落實，和對網(wǎng)絡安全教育的培訓和普及也要積極就緒。

（二）對網(wǎng)絡病毒的預防

網(wǎng)絡開放的環(huán)境很適宜計算機病毒的傳播和擴散，單機的病毒預防產(chǎn)品已經(jīng)難以徹底清除網(wǎng)絡內(nèi)留存的病毒，必須要結合計算機所在網(wǎng)絡選取合適的防毒殺毒軟件產(chǎn)品，尤其是軍隊、學校、政府機關以及企事業(yè)單位的網(wǎng)絡一定要做好病毒的防治工作，規(guī)范上網(wǎng)，保證計算機內(nèi)數(shù)據(jù)信息的安全可靠。

（三）計算機及網(wǎng)絡的安全設置

在計算機網(wǎng)絡中設置有效的防火墻，控制信息在網(wǎng)絡中的流向，能夠有效地控制不安全因素在計算機網(wǎng)絡蔓延的采用Web、BBS等安全檢測系統(tǒng)對網(wǎng)絡的各類服務器的安全運行進行實施跟蹤和監(jiān)視；截獲互聯(lián)網(wǎng)內(nèi)傳送的數(shù)據(jù)包，并將這些分解后的數(shù)據(jù)包還原為原始的網(wǎng)頁、電郵等內(nèi)容。

（四）設置網(wǎng)絡漏洞掃描系統(tǒng)

對網(wǎng)絡層的安全保障需要首先了解網(wǎng)絡中安全隱患以及漏洞可能出現(xiàn)的問題集中在哪些位置、哪些環(huán)節(jié)。越是大型網(wǎng)絡其結構越是復雜，可能產(chǎn)生問題的結點越多，一旦出現(xiàn)網(wǎng)絡安全問題，僅僅依靠網(wǎng)絡管理員的經(jīng)驗尋找漏洞，或是做風險評估，則會由于主觀傾向明顯而導致無法確定問題的癥結。最佳的解決方案即是尋找一種能夠以掃描的方式及時發(fā)現(xiàn)網(wǎng)絡漏洞，對網(wǎng)絡安全問題做出風險評估，并提出漏洞修補建議的工具。優(yōu)化的系統(tǒng)配置再加上安全工具的補丁彌補最近發(fā)現(xiàn)的安全漏洞或者安全隱患，達到防微杜漸的效果[7]。

（五）除了消除網(wǎng)絡中的漏洞，解決網(wǎng)絡中的身份認證問題―IP盜用問題，也是提高網(wǎng)絡安全程度的必要條件

當某IP通過網(wǎng)絡路由器訪問互聯(lián)網(wǎng)時，要在路由器設置檢測IP廣播包的MAC地址是否與路由器內(nèi)存儲的MAC地址相符，以身份檢測的方式對網(wǎng)絡發(fā)出安全隱患的預警。

（六）網(wǎng)絡監(jiān)聽是局域網(wǎng)子網(wǎng)安全的重要保證

來自局域網(wǎng)外部的入侵可以使用防火墻解決，若入侵來自局域網(wǎng)內(nèi)部，則需要局域網(wǎng)自身具備一定的入侵抵抗能力。為局域網(wǎng)子網(wǎng)制定特殊功能的審計信息文件，為局域網(wǎng)網(wǎng)管分析子網(wǎng)安全運行的狀況提供依據(jù)。專用的子網(wǎng)監(jiān)聽功能，通過對子網(wǎng)的長期監(jiān)聽，掌握子網(wǎng)與互聯(lián)網(wǎng)以及子網(wǎng)與終端計算機之間的通信情況，也為服務器的審計信息提供備份。

參考文獻：

[1]劉征.淺談圖書館計算機網(wǎng)絡系統(tǒng)的安全管理問題及其防范措施[J].信息安全與技術,2011,8:48-50

[2]桑磊.計算機網(wǎng)絡安全風險與防范策略淺析[J].商場現(xiàn)代化,2011,33:87

[3]張元峰.淺析計算機網(wǎng)絡信息的安全防范[J].科學與財富,2011,11:199

[4]胡燕華,胡梅勇.關于計算機網(wǎng)絡安全技術的防范策略[J].大科技：科技天地,2011,21:16-17

[5]杜常青.計算機網(wǎng)絡信息技術安全及防范對策研究[J].信息安全與技術,2011,11:54-55

篇9

摘要：隨著信息技術的飛速發(fā)展，網(wǎng)絡與人們的工作、學習、生活等已密不可分，而網(wǎng)絡安全也成為了制約網(wǎng)絡發(fā)展的關鍵問題之一。本文主要介紹了目前我們面臨的網(wǎng)絡安全隱患以及應采取的防范措施。

關鍵詞：網(wǎng)絡安全；計算機；防范

互聯(lián)網(wǎng)的產(chǎn)生和發(fā)展改變了人們的生活方式，網(wǎng)上購物、收發(fā)電子郵件、即時聊天等給人們提供了極大的便利，但同時也留下了一些隱患，比如說網(wǎng)上銀行中的錢不翼而飛，收到了帶有病毒的E-mail，qq密碼被盜了等，造成了人們生活中的諸多不便，網(wǎng)絡安全受到威脅。其實互聯(lián)網(wǎng)影響到了社會的方方面面，小到個人，大到企業(yè)，甚至整個國家都與網(wǎng)絡有著千絲萬縷的聯(lián)系。而網(wǎng)絡安全又是網(wǎng)絡技術發(fā)展的核心問題之一。只有提供了安全的網(wǎng)絡，才能使互聯(lián)網(wǎng)更好的為人們服務。因此網(wǎng)絡安全越來越受到人們的重視，如何采取防范措施解決網(wǎng)絡安全隱患已成為我們亟待解決的問題。

一、網(wǎng)絡安全的概念

計算機網(wǎng)絡安全是指計算機及其網(wǎng)絡系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，確保系統(tǒng)正常運行，網(wǎng)絡服務不中斷。具體包括：（1）禁止非授權訪問；（2）防止冒充合法用戶；（3）保護數(shù)據(jù)的完整性；（4）保證系統(tǒng)正常運行；（5）阻止病毒入侵和惡意攻擊；（6）阻止線路竊聽。

二、常見的網(wǎng)絡安全隱患

1.安全漏洞。操作系統(tǒng)是大多數(shù)計算機中的一個運行環(huán)境，而操作系統(tǒng)中通常都會因為技術原因、人為原因等存在一些安全漏洞，既我們常說的bug，比如我們常見的Windows操作系統(tǒng)，已了幾十個安全漏洞警告。黑客很可能利用這些漏洞向網(wǎng)絡發(fā)起攻擊，導致某些功能喪失，甚至會竊取重要數(shù)據(jù)，威脅網(wǎng)絡和數(shù)據(jù)的安全。此外，各類應用軟件在編寫的過程中可能會出現(xiàn)漏洞。如果編寫人員在程序中加入盜竊功能，那么用戶的信息就會被輕而易舉的盜取。

2.病毒。病毒是目前網(wǎng)絡最容易遇到的安全問題之一。病毒其實是一段可執(zhí)行的代碼，由黑客編寫，它們可以破壞計算機系統(tǒng)。絕大部分病毒破壞計算機的軟件系統(tǒng)，很少造成硬件系統(tǒng)的傷害。它通常偽裝成合法附件通過電子郵件發(fā)送，或通過即時信息網(wǎng)絡發(fā)送。

3.木馬。木馬是通過一段特定的程序來控制另一臺計算機，使未授權用戶能夠訪問安裝了特洛伊木馬的系統(tǒng)，可以捕捉密碼和其他個人信息，最終達到控制你的計算機的目的。

4.人為原因。很多時候，個人由于網(wǎng)絡安全意識薄弱或者錯誤的行為對信息造成破壞。尤其是在一些企業(yè)中，員工的信息安全意識相對落后，不能很好的對企業(yè)信息保護，導致企業(yè)在信息管理中存在著大量的安全盲點和誤區(qū)。

三、網(wǎng)絡安全防范措施

網(wǎng)絡安全防范措施是一個復雜的過程，我們要從多方面進行考慮，不但要采用各種技術和設備來保障網(wǎng)絡安全，還要加強各類計算機操作員的安全意識和建立安全規(guī)章制度。

1.網(wǎng)絡病毒的防范。從網(wǎng)絡病毒產(chǎn)生至今，病毒的種類越來越多，病毒的危害越來越大，病毒的傳播越來越快，因此應安裝殺毒軟件，防止病毒侵害計算機。在使用殺毒軟件的過程中要注意及時開啟殺毒軟件。要定期或不定期更新病毒庫，保證新出現(xiàn)的病毒可以被殺毒軟件檢測及查殺。要定期或不定期查殺計算機病毒，如發(fā)現(xiàn)病毒入侵，應立即查殺。

2.防火墻。防火墻技術是用來加強訪問控制，防止外部非授權用戶以非法手段進入內(nèi)部網(wǎng)絡，訪問網(wǎng)絡資源，保護操作環(huán)境的特殊網(wǎng)絡互連設備。防火墻主要攔截蠕蟲，并提供電子郵件防病毒、反垃圾郵件過濾、內(nèi)容過濾、安全無限接入點選項等服務。它是一種廣泛采用的安全機制，防止Internet上的不安全因素進入內(nèi)部網(wǎng)絡。

3.數(shù)據(jù)加密。數(shù)據(jù)加密技術是指將一個信息（或稱明文，plain text）經(jīng)過加密鑰匙（Encryption key）及加密函數(shù)轉換，變成無意義的密文（cipher text），而接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙（Decryption key）還原成明文。它是網(wǎng)絡安全領域廣泛采用的技術之一，對于商業(yè)數(shù)據(jù)的保密和企業(yè)信息的維護上面，起著至關重要的作用。當下最新的數(shù)據(jù)加密技術采用驅動層加解密技術，因為更貼近于操作系統(tǒng)底層，能夠有效防止黑客工具的攻擊。

4.入侵檢測。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄，能識別出任何不希望有的行為，從而達到限制這些活動，保護系統(tǒng)安全的目的。

5.系統(tǒng)漏洞檢測。解決網(wǎng)絡層安全問題，首先要清楚網(wǎng)絡中存在哪些安全隱患和弱點。面對大型程序的復雜性和變化，僅僅依靠管理員的技術和經(jīng)驗尋找安全漏洞和風險評估是不現(xiàn)實的。最好的方法就是使用安全掃描工具來查找漏洞并提出修改建議。另外實時給操作系統(tǒng)和軟件打補丁也可以彌補一部分漏洞和隱患。

6.建立規(guī)章制度，提高操作員素質(zhì)。根據(jù)部門或單位的具體情況和技術條件，制定出切實可行且全面的網(wǎng)絡安全規(guī)章制度。同時要落實制度的執(zhí)行情況和做好監(jiān)督工作。同時，提高網(wǎng)絡工作人員的素質(zhì)，加強網(wǎng)絡安全管理隊伍建設，對工作人員進行業(yè)務技術培訓，降低人為事故發(fā)生的概率。進行有關網(wǎng)絡方面的法律、法規(guī)教育，加強行業(yè)人員的法律觀念。

四、結語

網(wǎng)絡安全問題是現(xiàn)代社會一個重要的問題，網(wǎng)絡安全涉及到許多人的切身利益。網(wǎng)絡安全又是一個復雜的問題，它涉及到技術、管理、法規(guī)制定實施等許多方面。網(wǎng)絡安全還是一個發(fā)展的問題，隨著網(wǎng)絡攻擊方式的增加，對網(wǎng)絡安全方法措施的要求也就越來越高?？偠灾?，網(wǎng)絡安全問題應該引起現(xiàn)代人的高度重視，只有保證網(wǎng)絡安全，才能讓我們真正感受到互聯(lián)網(wǎng)給我們帶來的便捷。

參考文獻：

[1]冒志建.信息網(wǎng)絡安全及防范技術探討[J].科技咨詢,2008.

[2]陳力.網(wǎng)絡信息安全與防護[J].電腦知識與技術,2008,10.

[3]張龍波.計算機網(wǎng)絡系統(tǒng)的安全防范[J].科技資訊,2008.

篇10

【論文摘要】 在網(wǎng)絡攻擊手段日益增多，攻擊頻率日益增高的背景下，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計算機網(wǎng)絡中存在的安全隱患。需要一種靜態(tài)技術和動態(tài)技術相結合的安全解決方案，即在網(wǎng)絡中的各個部分采取多種安全防范技術來構筑企業(yè)網(wǎng)絡整體安全體系。包括防病毒技術；防火墻技術；入侵檢測技術；網(wǎng)絡性能監(jiān)控及故障分析技術；漏洞掃描安全評估技術；主機訪問控制等。

信息技術正以其廣泛的滲透性和無與倫比的先進性與傳統(tǒng)產(chǎn)業(yè)結合，隨著Internet網(wǎng)絡的飛速發(fā)展，使網(wǎng)絡的重要性和對社會的影響越來越大。企業(yè)的辦公自動化、生產(chǎn)業(yè)務系統(tǒng)及電子商務系統(tǒng)對網(wǎng)絡系統(tǒng)的依賴性尤其突出，但病毒及黑客對網(wǎng)絡系統(tǒng)的惡意入侵使企業(yè)的信息網(wǎng)絡系統(tǒng)面臨著強大的生存壓力，網(wǎng)絡安全問題變得越來越重要。

企業(yè)網(wǎng)絡安全主要來自以下幾個方面：①來自INTERNET的安全問題；②來自外部網(wǎng)絡的安全威脅；③來自內(nèi)部網(wǎng)絡的安全威脅。

針對以上安全威脅，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計算機網(wǎng)絡中存在的安全隱患，本文介紹一種靜態(tài)技術和動態(tài)技術相結合的安全解決方案，即在網(wǎng)絡中的各個部分采取多種安全防范技術來構筑企業(yè)網(wǎng)絡整體安全體系：①防病毒技術；②防火墻技術；③入侵檢測技術；④網(wǎng)絡性能監(jiān)控及故障分析技術；⑤漏洞掃描安全評估技術；⑥主機訪問控制。

一、防病毒技術

對于企業(yè)網(wǎng)絡及網(wǎng)內(nèi)大量的計算機，各種病毒更是防不勝防，如宏病毒和變形病毒。徹底清除病毒，必須采用多層的病毒防護體系。企業(yè)網(wǎng)絡防病毒系統(tǒng)采用多層的病毒防衛(wèi)體系和層次化的管理結構，即在企業(yè)信息中心設防病毒控制臺，通過該控制臺控制各二級網(wǎng)絡中各個服務器和工作站的防病毒策略，監(jiān)督整個網(wǎng)絡系統(tǒng)的防病毒軟件配置和運行情況，并且能夠進行相應策略的統(tǒng)一調(diào)整和管理：在較大的下屬子公司設置防病毒服務器，負責防病毒策略的設置、病毒代碼分發(fā)等工作。其中信息中心控制臺作為中央控制臺負責控制各分控制臺的防病毒策略，采集網(wǎng)絡中所有客戶端防毒軟件的運行狀態(tài)和配置參數(shù)，對客戶端實施分組管理等。管理員可以通過管理員客戶端遠程登錄到網(wǎng)絡中的所有管理服務器上，實現(xiàn)對整個網(wǎng)絡的管理。根據(jù)需要各個管理服務器還可以由專門的區(qū)域管理員管理。管理服務器負責收集網(wǎng)絡中的客戶端的實時信息， 分發(fā)管理員制定的防毒安全策略等。

配套軟件：冠群金辰KILL6.0。KILL采用服務器/客戶端構架，實時保護Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系統(tǒng)的服務器及Internet網(wǎng)關服務器，防止各種引導型病毒、文件型病毒、宏病毒、傳播速度快且破壞性很大的蠕蟲病毒進入企業(yè)內(nèi)部網(wǎng)，阻止不懷好意的Java、ActiveX小程序等攻擊企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)。它通過全方位的網(wǎng)絡管理、多種報警機制、完整的病毒報告、支持遠程服務器、軟件自動分發(fā)，幫助管理員更好的實施網(wǎng)絡防病毒工作。

二、防火墻技術

防火墻是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關( scurity gateway), 從而抵御網(wǎng)絡外部安全威脅，保護內(nèi)部網(wǎng)絡免受非法用戶的侵入，它是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（局域網(wǎng)或城域網(wǎng)）隔開的屏障，控制客戶機和真實服務器之間的通訊，主要包括以下幾方面的功能：①隔離不信任網(wǎng)段間的直接通訊；②拒絕非法訪問；③系統(tǒng)認證；④日志功能。在計算機網(wǎng)絡中設置防火墻后，可以有效防止非法訪問，保護重要主機上的數(shù)據(jù)，提高網(wǎng)絡的安全性。

配套軟件：NetScreen。NetScreen是唯一把防火墻、負載均衡及流量控制結合起來，且提供100M的線速性能的軟硬件相結合的產(chǎn)品，在Internet出口、撥號接入入口、企業(yè)關鍵服務器的前端及與電信、聯(lián)通的連接出口處增設NetScreen-100f防火墻，可以實現(xiàn)企業(yè)網(wǎng)絡與外界的安全隔離，保護企業(yè)的關鍵信息。

三、入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）是一種為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是對防火墻的必要補充，它可以對系統(tǒng)或網(wǎng)絡資源進行實時檢測，及時發(fā)現(xiàn)惡意入侵者或識別出對計算機的非法訪問行為，并對其進行隔離，并能收集可以用來訴訟的犯罪證據(jù)。

配套軟件： eTrust Intrusion Detection(Sessionwall-3)。利用基于網(wǎng)絡的eTrust Intrusion Detection建立入侵檢測系統(tǒng)來保證企業(yè)網(wǎng)絡系統(tǒng)的安全性。

首先，信息管理中心設立整個網(wǎng)絡監(jiān)控系統(tǒng)的控制中心。通過該控制臺，管理員能夠對其它網(wǎng)絡入侵檢測系統(tǒng)進行監(jiān)控和配置。在該機器上安裝集中控制的eID中央控制臺模塊、eID日志服務器模塊和eID日志瀏覽器模塊，使所有eTrust Intrusion Detection監(jiān)控工作站處于集中控制之下，該安全主控臺也被用于集中管理所有的主機保護系統(tǒng)軟件。

其次，在Internet出口路由器和防火墻之間部署一套eTrust Intrusion Detection的監(jiān)控工作站，重點解決與Internet的邊界安全問題，在這些工作站上安裝軟件，包括eID基本模塊、eID模塊和日志數(shù)據(jù)庫客戶端。

四、網(wǎng)絡性能監(jiān)控及故障分析

性能監(jiān)控和故障分析就是利用計算機的網(wǎng)絡接口截獲目的地址為其他計算機的數(shù)據(jù)報文的一種技術。該技術被廣泛應用于網(wǎng)絡維護和管理方面，它自動接收著來自網(wǎng)絡的各種信息，通過對這些數(shù)據(jù)的分析，網(wǎng)絡管理員可以了解網(wǎng)絡當前的運行狀況，以便找出所關心的網(wǎng)絡中潛在的問題。

配套軟件——NAI Sniffer。NAI Sniffer 是一套功能強大的網(wǎng)絡故障偵測工具，它可以幫助用戶快速診斷網(wǎng)絡故障原因，并提出具體的解決辦法。在信息中心安裝這樣的工具，用于對網(wǎng)絡流量和狀態(tài)進行監(jiān)控，而且無論全網(wǎng)任何地方發(fā)生問題時，都可以利用它及時診斷并排除故障。

五、網(wǎng)絡系統(tǒng)的安全評估

網(wǎng)絡安全性之所以這么低的一個主要原因就是系統(tǒng)漏洞。譬如管理漏洞、軟件漏洞、結構漏洞、信任漏洞。采用安全掃描技術與防火墻、安全監(jiān)控系統(tǒng)互相配合來檢測系統(tǒng)安全漏洞。

網(wǎng)絡安全漏洞掃描系統(tǒng)通常安裝在一臺與網(wǎng)絡有連接的主機上。系統(tǒng)中配有一個信息庫，其中存放著大量有關系統(tǒng)安全漏洞和可能的黑客攻擊行為的數(shù)據(jù)。掃描系統(tǒng)根據(jù)這些信息向網(wǎng)絡上的其他主機和網(wǎng)絡設備發(fā)送數(shù)據(jù)包，觀察被掃描的設備是否存在與信息庫中記錄的內(nèi)容相匹配的安全漏洞。掃描的內(nèi)容包括主機操作系統(tǒng)本身、操作系統(tǒng)的配置、防火墻配置、網(wǎng)路設備配置以及應用系統(tǒng)等。

網(wǎng)絡安全掃描的主要性能應該考慮以下方面：①速度。在網(wǎng)絡內(nèi)進行安全掃描非常耗時；②網(wǎng)絡拓撲。通過GUI的圖形界面，可選擇一個或某些區(qū)域的設備；③能夠發(fā)現(xiàn)的漏洞數(shù)量；④是否支持可定制的攻擊方法；⑤掃描器應該能夠給出清楚的安全漏洞報告。⑥更新周期。提供該項產(chǎn)品的廠商應盡快給出新發(fā)現(xiàn)的安全漏洞掃描特性升級，并給出相應的改進建議。

通過網(wǎng)絡掃描，系統(tǒng)管理員可以及時發(fā)現(xiàn)網(wǎng)路中存在的安全隱患，并加以必要的修補，從而減小網(wǎng)絡被攻擊的可能。

配套軟件：Symantec Enterprise Security Manger 5.5。

六、主機防護系統(tǒng)

在一個企業(yè)的網(wǎng)絡環(huán)境中，大部分信息是以文件、數(shù)據(jù)庫的形式存放在服務器中的。在信息中心，使用WWW、Mail、文件服務器、數(shù)據(jù)庫服務器來對內(nèi)部、外部用戶提供信息。但無論是UNIX還是Windows 9X/NT/2K，都存在著這樣和那樣的安全薄弱環(huán)節(jié)，存放在這些機器上的關鍵業(yè)務數(shù)據(jù)存在著被破壞和竊取的風險。因此，對主機防護提出了專門的需求。

配套軟件：CA eTrust Access。eTrust Access Control在操作系統(tǒng)的安全功能之上提供了一個安全保護層。通過從核心層截取文件訪問控制，以加強操作系統(tǒng)安全性。它具有完整的用戶認證，訪問控制及審計的功能，采用集中式管理，克服了分布式系統(tǒng)在管理上的許多問題。

通過eTrust Access Control，我們可以集中維護多臺異構平臺的用戶、組合安全策略，以簡化安全管理工作。

通過以上幾種安全措施的實施，從系統(tǒng)級安全到桌面級安全，從靜態(tài)訪問控制到動態(tài)入侵檢測主要層面：方案覆蓋網(wǎng)絡安全的事前弱點漏洞分析修正、事中入侵行為監(jiān)控響應和事后信息監(jiān)控取證的全過程，從而全面解決企業(yè)的信息安全問題，使企業(yè)網(wǎng)絡避免來自內(nèi)外部的攻擊，防止病毒對主機的侵害和在網(wǎng)絡中的傳播。使整個網(wǎng)絡的安全水平有很大程度的提高。

【參考文獻】