安全防护的网络工程

安全防护的网络工程（精选12篇）

安全防护的网络工程 第1篇

1 现阶段网络安全发展形势

1.1 全球范围网络安全合作不断展开

近年来, 为了应对愈来愈复杂的网络安全形势, 全球各国、各地区逐步强了化网络安全领域的战略合作。2016年5月, 我国与俄罗斯达成了国际信息安全合作协议, 承诺相互不开展黑客攻击;9月25日, 我国与美国针对构建双方打击网络犯罪、共同推进网络空间规范国家行为准则等网络安全问题取得共识;10月, 我国与英国针对打击网络犯罪问题达成安全对话协议, 旨在防护以窃取知识产权、瘫痪系统为目的的网络攻击[1]。伴随信息技术的进一步发展, 网络空间安全挑战必然越来越严峻, 全球各国会进一步深入开展网络安全领域的战略合作。

1.2 大规模网络冲突风险将进一步加剧

伴随网络空间地位的日益凸显, 网站空间已然转变成各国家、地区相互间安全博弈的新领域。各个国家、地区为了在网络空间中占据有利位置, 不断强化自身网络空间攻击水平, 全球性大规模网络冲突风险将逐步加剧, 具体表现为:一方面网络空间在军备竞赛上不断升级;一方面各个国家相互网络监控事件逐步上演;一方面网络冲突已然转变成现实战争的重要组成成分。当今时代, 网络摩擦将进一步增多, 大规模网络冲突风险将进一步加剧。

1.3 网络安全产业面临良好的增长机遇

在“互联网+”行动逐步深入及国家网络安全一系列政策不断颁布背景下, 网络安全重要性越来越为人们所关注, 再加上网络安全需求的不断攀升, 网络安全产业迎来良好的增长机遇, 具体表现为:一方面产业政策环境得到不断改善;一方面网络安全产品竞争日趋白热化;一方面网络安全产业呈飞速发展趋势。伴随“十三五”规划的循序渐进, 国家网络安全政策的有利促进, 及我国网络安全需求的不断刺激, 为网络安全产业增长创造了有利的契机。

1.4 网络安全自身能力建设将进一步加强

为了应对愈来愈复杂的网络安全形势, 我国自技术产品研发、专业人才培养等环节出发强化网络安全自身能力建设, 具体表现为:一方面自主可控安全技术研发得到不断加强;一方面网络安全技能得到显著提升;一方面网络安全专业人才培养逐步展开。2016年, 我国将进步加大网络安全能力建设力度, 强化自主可控安全技术研发, 强化高素质网络安全人才培养。

2 网络工程中存在的安全隐患问题

对于互联网来说, 网络工程安全起着至关重要的作用, 所以开展好网络工程安全防护是极为必要的。当今社会, 计算机网络得到了极为广泛的推广, 为人们日常生活、工作、学习等带来了极大的便利。在对计算机网络开展应用过程中, 往往要牵涉到用户的一系列隐私问题, 包括个人隐私、家庭隐私、企业隐私乃至国家安全隐私等, 由此为个人、家庭、企业以及国家等信息安全带来一定隐患。由此可见, 一方面互联网可为人们生活、工作、学习等带来极大的便利, 另一方面也为人们带来了一系列安全隐患。因此, 务必要开展好网络工程安全防护工作。近年来即便一些计算机网络安全防护技术在人们生活、生产诸多领域中得到推广, 密钥技术、数字签名技术、防火墙技术等均得到了广泛应用。值得一提的是, 虽然一系列网络工程安全防护技术在诸多领域得到推广, 但是依旧难以对计算机网络安全隐患进行全面规避, 计算机网络安全仍然存在诸多漏洞, 网络工程安全隐患问题依旧存在。

2.1 计算机病毒攻击

作为网络工程安全问题中的首要隐患, 计算机病毒攻击有着破坏性、潜伏性、隐藏性等特点。计算机主要是经由执行程序方式开展工作的, 而病毒某种意义上即为一项可执行的程序, 其通常会伪装成计算机可有序执行的安全程序, 依托网络开展复制、传输, 且传统途径以文件传输、文件执行及文件拷贝等为主, 上述方式中文件传输、文件拷贝均离不开传输媒介的支持, 而文件执行则不需要传输媒介, 因此其属于计算机病毒攻击的必然渠道。计算机病毒凭借其极具的破坏性、攻击性, 进而对计算机网络用户系统安全造成极为威胁。由此而言, 计算机病毒攻击属于全面网络工程安全隐患中最具威胁、攻击力的安全隐患。前些年十分传播迅速、破坏极强的蠕虫病毒, 其不仅有着与一般病毒相类似的特点, 还可自行开展传播, 且传播速度十分迅速。蠕虫病毒一方面可对计算机系统带来极强的破坏性, 使得计算机系统无法正常运行, 一方面更为严重的是可能致使网络瘫痪, 导致全面区域网络无法正常运行。

2.2 互联网黑客入侵

黑客一词由来已久, 其是指一些拥有极为高超专业技术的专业性计算机人才。随着计算机网络技术的不断发展, 黑客已然转变成网络工程安全问题中的又一大隐患。互联网黑客通过计算机网络系统存在的安全漏洞对计算机网络用户, 诸如个人、家庭、企业、国家等重要信息开展截获、窃取, 对计算机网络既定目标开展破坏, 从而对计算机网络用户安全带来极大威胁[2]。就好比, 互联网黑客制作病毒对网络开展攻击, 使得网站失稳, 进而造成网站无法正常运行, 使得网站受到难以预估的损失。现阶段, 互联网黑客较为常用的攻击手段有:将木马、病毒植入进用户计算机中, 利用木马、病毒对一系列程序开展执行, 破坏计算机系统;通过扫描端口, 依托已知系统对计算机主机开展攻击;采取数据溢出方式, 强行获取进入计算机主机的渠道;利用软件设计漏洞或程序漏洞, 对计算机主机直接开展攻击。通常来说, 互联网黑客大多选取植入木马、病毒及扫描端口的非法入侵方式, 特别以扫描端口入侵计算机更为常见。

2.3 计算机系统安全漏洞隐患

计算机系统安全漏洞隐患即便没有计算机病毒攻击那么大的破坏力, 然而其依旧可对计算机网络用户计算机网络系统安全造成极大威胁。计算机与网络工程两者是密不可分的, 计算机要通过网络工程达成扩展、外延, 网络工程要通过计算机开展维护、保障。伴随计算机与网络工程联系的进一步紧密, 计算机系统安全漏洞隐患势必会对网络工程带来一定影响, 倘若计算机系统发生系统、权限、密码等方面的安全问题, 便会引发连锁反应, 造成计算机系统风险迅速提升, 从而对网络工程带来负面影响, 极大威胁网络工程的安全。除此之外, 计算机与网络工程密不可分的关系还可能使得风险、威胁进一步扩大, 影响范围同样会不断扩大, 继而对局域网工程、局域计算机造成负面影响, 导致它们引发安全问题, 甚至其还可能使得计算机与网络工程全面瘫痪, 难以正常运行。

2.4 用户IP地址被盗用、滥用

网络工程中IP地址一方面是一项资源, 一方面是计算机网络用户权限的重要体现, 如果网络工程IP地址被盗用、滥用将可能形成下述两种不良结局: (1) 网络工程IP地址被不法人员迅速占用, 使得广大计算机网络用户自身无法正常使用, 还可能使得IP地址资源枯竭, 降低网络工程数据交换水平; (2) IP地址被盗用、滥用还可能对计算机网络用户权限、管理职能正常运行造成负面影响, 同时, 还不利于网络工程混乱的处理, 提升网络工程管理、维护难度, 放缓修复时间, 对广大计算机网络用户合法权益造成损坏。值得一提的是, 倘若IP地址被盗用、滥用, 极可能引发“冒名顶替”情况, 一方面为不法行为、活动带来可乘之机, 另一方面为执法机关查处、惩戒带来诸多不便[3]。

2.5 垃圾邮件

垃圾邮件在人们日常生活中十分多见, 其对于计算机网络用户而言, 是一项潜在的网络安全隐患, 可能危及计算机网络用户的个人隐私。学术界将垃圾邮件界定为, 在网络实际背景下计算机网络用户并非出于自身意愿而被迫接收到的各式各样的邮件。即便相较于计算机病毒, 垃圾邮件并没有那么大的破坏力, 然而依旧可对计算机网络用户安全造成一定威胁。除此之外, 垃圾邮件日积月累会无形加重网络的负担, 使得网络运行效率下降, 对网络工程安全造成负面影响。

3 网络工程的安全防护技术策略

伴随信息技术的飞速发展, 网络应用为人们日常生活、工作、学习带来巨大的冲击。互联网在推动经济社会发展的同时, 网络工程安全性也面临着严峻的考验。全面网络工程在时代发展新形势下, 要与时俱进, 大力进行改革创新, 引入先进科学技术、成功发展经验逐步强化网络工程安全防护, 如何进一步促进网络工程安全有序发展可以从以下相关策略着手。

3.1 强化对防火墙技术的合理运用

面对计算机病毒、互联网黑客所对网络工程带来的威胁, 应强化对防火墙技术的合理运用, 经由网络工程防火墙调节获取对信息的过滤收效, 尤其是网络工程与外部网络相互间更应引入防火墙, 依托计算机软件技术构建起网络工程与外部网络的有效连接, 将网络工程与外部网络开展信息体系、地址层面的划分, 形成网络工程全面通信、信息都要通过防火墙过滤, 由此规避网络工程所受计算机病毒、互联网黑客的攻击, 从而强化网络工程安全性, 网络防火墙与计算机防火墙如图1所示。防火墙还可实现对全面网络工程的优化整合, 关闭相关使用端口, 使木马病毒不具备可乘之机, 保证网络工程、计算机信息安全[4]。除此之外, 防火墙技术还可经由调节实现对非常规网络的防护性访问, 一方面杜绝对非法网站的访问, 一方面实现网络工程主动性安全, 网络防火墙工作原理如图2所示。

3.2 强化对计算机病毒防护技术的合理运用

计算机病毒防护在网络工程建设、维护中扮演着十分重要的角色, 是保证网络工程功能、稳定性的一项有效手段, 还是维护计算机系统安全性能的先决条件。近年来, 计算机病毒无论是形式, 还是结构均发生了翻天覆地的变化, 验证计算机病毒的特征码已经是过去时, 由此很大程度上加大了网络工程计算机病毒防治难度[5]。鉴于此, 应强化对计算机病毒防护技术的合理运用, 利用互联网各项优势, 构建云杀毒方式, 利用奇虎、腾讯等计算机病毒防护专业企业推出的360安全卫士、腾讯电脑管家等具备自动升级功能的计算机杀毒软件来对网络工程计算机病毒开展防护, 此类企业产品有着可实时升级特征, 可有效在尽可能快的时间发现网络工程的计算机病毒, 此外经由云杀毒、云计算等过程可实现对网络工程新病毒、新变种的防护, 促进网络工程达成现实性安全。

3.3 构建网络身份体系, 打造可信网络空间

(1) 开展好网络身份体系顶层设计工作, 基于对现有技术手段的全面分析, 对国家网络身份体系结构、不同参与方职责等予以明确, 并设计全面系统的网络身份体系建立路线图, 构建推行机制, 确立资金、组织等一系列保障, 自法律法规、技术研发、标准规范、试点示范等各个层面强化网络身份体系建设。 (2) 遵循包容并蓄原则, 为各式各样网络可信身份技术及服务发展提供有效保障, 加大政府引导力度, 有效调动起相关企业主观能动性, 推进电子认证互联互通等技术产品研发;为电子认证服务模式、产品形态创新提供有效保障, 强化电子认证行业全面系统服务水平;为互联网企业保护用户隐私提供有效保障, 推行以用户行为为基础的分析, 对行为主体网络身份真实性予以确认, 并从行为出发对相关重要操作开展限制。 (3) 积极推行网络可信身份法律法规、标准规范建立与应用示范等工作, 结合网络身份体系建设需求, 对当前法律法规开展修订, 抑或建立新法, 确立网络身份凭证法律效力, 健全一系列配套规定;有效确立网络身份体系标准结构, 推进相关标准制定、健全;加大资金投入, 依据计划推行网络可信身份对应试点示范, 科学评定示范效果, 并不断加大应用推广力度[6]。

3.4 杜绝垃圾信息的接收

垃圾邮件在网络工程中通常以邮件形式出现, 垃圾邮件有着集群性、广泛性的特征, 即便计算机网络用户不情愿, 垃圾邮件时不时还是会被发送至用户邮箱中, 由此用户只能被迫接收。鉴于此, 要想杜绝垃圾信息的接收: (1) 为了杜绝垃圾邮件, 计算机网络用户应具备自我保护意识, 确保自身邮箱地址不被他人知晓或广泛扩散。 (2) 切忌随意将邮箱地址用以相关用户名开展注册登记, 强化对邮箱信息的保护。 (3) 用户可选取相关软件对垃圾邮件开展过滤, 最关键要求用户要具备自我保护意识, 唯有强化对自身邮箱的保护, 方可在本质上消除各式各样垃圾邮件对网络工程安全的威胁。

3.5 强化对互联网黑客攻击防护技术的合理运用

强化对互联网黑客攻击防护技术的合理运用: (1) 应当对计算机网络系统开展有效调节, 好比将计算机网络系统中Guest账户调节成禁用状态、关闭计算机网络系统中相关文件及打印共享等。 (2) 应当在计算机网络系统中装配相关安全软件, 好比杀毒软件、防黑软件等, 并且, 还应当设置防火墙, 以实现对互联网黑客攻击的有效规避, 强化计算机网络系统安全性。 (3) 应对计算机不必要的端口予以关闭, 由于互联网黑客在非法入侵过程中, 往往第一步会对计算机端口开展扫描, 如果在计算机端口转至相关的监视程序, 则监视程序会对其开展监视, 只要存在互联网黑客非法攻击情况, 监视程序便会提出警示, 因此需要计算机网络用户运用软件工具关闭不必要的端口。

4 结语

总而言之, 伴随信息技术的广泛推广, 其影响力越来越大, 然而受其特性影响, 使得其在全面应用过程中, 会产生一系列安全问题。鉴于此, 相关人员务必要钻研研究、总结经验, 清楚认识现阶段网络安全发展形势, 全面分析网络工程中存在的安全隐患问题, 强化对防火墙技术的合理运用、强化对计算机病毒防护技术的合理运用、构建网络身份体系、打造可信网络空间, 强化核心技术自主研发水平, 建立自主可控的网络安全产业生态体系、杜绝垃圾信息的接收、强化对互联网黑客攻击防护技术的合理运用等, 积极促进网络工程安全有序发展。

参考文献

[1]陈健, 唐彦儒.关于网络工程中的安全防护技术的思考[J].价值工程, 2015 (15) :244-245.

[2]毕妍.关于网络工程中的安全防护技术的思考[J].电脑知识与技术 (学术交流) , 2013 (21) :4790-4791.

[3]彭南兵.计算机网络信息安全及防护策略研究[J].电子技术与软件工程, 2013 (22) :236.

[4]董希泉, 林利, 张小军, 等.主动防御技术在通信网络安全保障工程中的应用研究[J].信息安全与技术, 2016 (1) :162-163.

[5]曾会利.计算机网络安全技术存在问题及防护措施[J].信息与电脑:理论版, 2014 (1) :247-248.

网络安全现状及网络安全的重要性 第2篇

随着网络尤其是因特网在我国的迅速普及，针对我国境内信息系统的攻击正在呈现快速增长的势头，利用网络传播有害信息的手段日益翻新，当前，全球电子商务时代已然来临，在带动国内互联网经济的同时，国内各站点也在遭受钓鱼网站、木马病毒攻击的“围追堵截”。保障网站安全是网民访问各类互联网站的第一前提。从网上银行被克隆、用户资金被盗取到蠕虫、木马、钓鱼网站、恶意软件的侵扰，网购安全问题成为电子商务发展的一大瓶颈，我国B2C、C2C网站的站长们也开始为自己站点上用户的网上交易忧心忡忡。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限，或者是作为进一步进入其他系统的跳板，或者恶意破坏这个系统,使其毁坏而丧失服务能力。

构建可信互联网 从源头上掐断安全隐患。据统计，互联网企业在营销过程中，有90%的客户会因为缺乏安全感和对网络信任度低而流失，企业不得不平均每天在互联网营销上投入成千上万元来建立网民对网站的信任。

显然，如果有一个第三方权威机构通过采用先进技术对各类网站进行实时的安全监测，并对安全网进行进行可信认证，也就是说给安全的网站帖上一个可信任的标签，无疑既保证了广大网民的上网安全，极大地方便了上网民众，又同时帮助广大互联网企业减少了不必要的损失。

互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的共享、开放、灵活和快速等需求得到满足。网络环境为共享、交流、服务创造了理想空间，的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题：泄漏、污染、不易受控。例如，资源未授权侵用、未授权流出现、系统拒绝流和系统否认等，这些都是安全的技术难点；在网络环境中，一些组织或个人出于某种特殊目的，进行泄密、破坏、侵权和意识形态的渗透，甚至通过网络进行政治颠覆等活动，使国家利益、社会公共利益和各类主体的合法权益受到威胁；网络运用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧，使资源的保护和管理出现脱节和真空，从而使安全问题变得广泛而复杂；随着社会重要基础设施的高度化，社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪，包括国防设施、动力控制网、金融系统和政府网站等。

全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务。应在认真研究的基础上下大气力抓好网络运行质量的设计方案。在总体设计时要注意以下几个问题：由于局域网采用的是以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅被两个节点的网卡所接收，同时也被处在同一以太网上的任何一个节点的网卡所截取。因此，只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息。为解除这个网络系统固有的安全隐患，可采取以下措施：网络分段技术的应用将从源头上杜绝网络的安全隐患问题。因为局域网采用以交换机为中心、以路由器为边界的网络传输格局，再加上基于中心交换机的访问控制功能和三层交换功能，所以采取物理分段与逻辑分段两种方法，来实现对局域网的安全控制，其目的就是将非法用户与敏感的网络资源相互隔离，从而防止非法侦听，保证信息的安全畅通；以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。

信息科技的迅速发展，Internet已成为全球重要的信息传播工具。据不完全统计，Internet现在遍及186个国家，容纳近60万个网络，提供了包括600个大型联网图书馆，400个联网的学术文献库，2000种网上杂志，900种网上新闻报纸，50多万个Web网站在内的多种服务，总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。

作为一种战略资源，信息的应用也从原来的军事、科技、文化和商业渗透到当今社会的各个领域，在社会生产、生活中的作用日益显著。传播、共享和自增殖是信息的固有属性，与此同时，又要求信息的传播是可控的，共享是授权的，增殖是确认的。因此在任何情况下，信息的安全和可靠必须是保证的。Internet是一种开放和标准的面向所有用户的技术，其资源通过网络共享。资源共享和信息安全是一对矛盾.自Internet问世以来，资源共享和信息安全一直作为一对矛盾体而存在着，计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出，各种计算机病毒和网上黑客（Hackers）对Internet的攻击越来越激烈，许多网站遭受破坏的事例不胜枚举。

在信息社会中，信息具有和能源、物源同等的价值，在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题，对于企业更是如此。例如：在竞争激烈的市场经济驱动下，每个企业对于原料配额、生产技术、经营决策等信息，在特定的地点和业务范围内都具有保密的要求，一旦这些机密被泄漏，不仅会给企业，甚至也会给国家造成严重的经济损失。

浅析网络安全防护体系的建立 第3篇

关键词 网络安全；体系

中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2010)121-0027-01

随着社会信息化程度的不断提高，网络信息系统的安全与否已成为影响国家安全的重要因素。因此，自主掌握最新的网络信息系统安全技术，在民族产业的支撑下建立网络系安全保障体系，建立完善的网络信息系统安全管理体系已成为当务之急。

我国的计算机应用和信息化建设已具规模，以TMIS和电子政务应用为核心的各项计算机应用系统已在生产中发挥着越来越重要的作用。对于现代营销、现代物流和电子商务等应用系统，仅具有连通功能的网络是无法满足其要求的，针对网络安全方面存在的漏洞和隐患，利用简单的技术防范措施已无法解决。必须调整网络结构，克服平面网络结构先天性的抵御攻击能力差、控制乏力的弱点，并采用先进的技术、加强基础设施和有效的网络管理，形成保证网络和信息安全的纵深立体防御体系。

1 建立网络安全体系

对于网络而言，没有绝对保证的信息安全，只有根据网络自身特点，合理运用网络安全技术，建立适应性的安全运行机制，才能从技术上最大限度地保证信息安全。

1.1 网络安全关键技术

由防火墙（Firewall）、（Public Key Infrastructure，PKI）公钥安全体系PKI、虚拟局域网（VLAN）和物理隔离与信息交换系统等构成了网络安全的关键技术。

1.2 创建网络立体安全防护体系

网络安全防护体系是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、网络反病毒等多个安全组件共同组成的，每个组件只能完成其中部分功能。

1）路由器。路由器是架构网络的第一层设备，也是网络入侵者的首要攻击目标，因此路由器必须安装必要的过滤规则，滤掉被屏蔽的IP地址和服务。例如，首先屏蔽所有的IP地址，然后有选择地放行一些地址进入网络。路由器也可以过滤服务协议，允许需要的协议通过，而屏蔽其他有安全隐患的协议。

2）入侵监测系统（IDS）。入侵监测系统是被动的，它监测网络上所有的包（packets）。其目的就是捕捉危险的或有恶意的动作，并及时发出警告信息。它是按用户指定的规则运行的，它的功能和防火墙有很大的区别，它是对端口进行监测、扫描等。入侵检测系统是立体安全防御体系中日益被普遍采用的成分，它能识别防火墙通常不能识别的攻击，如来自企业内部的攻击；在发现入侵企图之后提供必要的信息，帮助系统移植。

3）防火墙。防火墙可防止“黑客”进入网络的防御体系，可以限制外部用户进入内部网，同时过滤掉危及网络的不安全服务，拒绝非法用户的进入。同时可利用其产品的安全机制建立VPN（Virtual Private Networks）。 通过 VPN，能够更安全地从异地联入内部网络。

4）物理隔离与信息交换系统（网闸）。不能因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性。物理隔离与信息交换系统是运用物理隔离网络安全技术设计的安全隔离系统，它保证内部网络与不可信网络物理隔断，能够阻止各种已知和未知的网络层和操作系统层攻击，提供比防火墙、入侵检测等技术更好的安全性能，既保证了物理的隔离，又实现了在线实时访问不可信网络所必需的数据交换。

5）交换机。目前局域网大多采用以交换机为中心、路由器为边界的网络格局。核心交换机最关键的工作是访问控制功能和三层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。还有一项非常关键的工作就是划分 VLAN。

6）应用系统的认证和授权支持。建立应用系统提升安全性的支撑平台，实现应用系统保护的功能包括以下几个方面：①应用系统网络访问漏洞控制。应用系统软件要求按安全软件标准开发，在输入级、对话路径级和事务处理三级做到无漏洞；集成的系统要具有良好的恢复能力，这样才能保证内部生产网中的系统避免因受攻击而导致数据破坏或丢失。②数字签名与认证。应用系统须利用CA提供的数字证书进行应用级的身份认证，对文件和数据进行数字签名和认证，保证文件和数据的完整性以及防止源发送者抵赖。③数据加密。对重要的数据进行加密存储。

7）操作系统的安全。保证操作系统的安全包括以下内容：①操作系统的裁剪。不安装或删除不必要的系统组件。②操作系统服务裁剪。关闭所有不使用的服务和端口，并清除不使用的磁盘文件。③操作系统漏洞控制。在内部网中建立操作系统漏洞管理服务器，如在内部网中安装微软WSUS Server及第三方安全管理软件（BES），对网络内所有联网主机的操作系统进行监控，一旦发现存在系统漏洞或者安全隐患，立即强制其安装相应的系统补丁或者组件。

8）病毒防护。网络病毒网关与网络版的查杀病毒软件（McAfee EPO ＋Clients）相结合，构成了较为完整的病毒防护体系，能有效地控制病毒的传播，保证网络的安全稳定。

2 网络安全管理

有效的技术手段只是网络安全的基础工作，但仅靠网络安全技术是绝对无法确保信息安全的。只有建立严格的网络安全管理制度，才能充分发挥网络安全技术的效能，才能使网络信息更加安全可靠。

关于通过网络攻击信息系统，造成经济损失的报道已有多起。在科技最发达、防御最严密的美国国防部五角大楼内，每年都有成千上万的非法入侵者侵入其内部网络系统。而我国在这方面的技术防护力量更是相当薄弱，相关安全管理措施、制度与法律法规都有待完善。新千年伊始，我国已把网络信息系统安全问题列入到重要的议事日程。相信我国的网络信息系统安全技术和管理的完善程度在短期内定会有质的飞跃，最终建设一个安全的网络信息空间，以推动我国信息化进程的顺利发展。

3 结束语

目前网络已经深入到各个领域。不解决安全问题，可能造成巨大的经济损失。创建网络安全防护体系，将是信息化建设的有力保障。但建立信息安全体系是一个复杂而又庞大的系统工程，涉及的问题也比较多。只有继续对网络安全体系进行深入的研究和探讨，才能更好地实现网络安全，保证中国信息化建设的正常进行。

参考文献

[1]邱雪松.网络管理体系结构的研究[D].北京:北京邮电大学,1999.

[2]蒋苹,胡华平,等.计算机信息系统安全体系设计[J].计算机工程与科学,2003.

[3]杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003.

关于网络工程安全防护技术的分析 第4篇

关键词：网络安全,防护技术,网络病毒

在计算机和网络技术逐渐渗入到每个人生活的时候, 越来越多的网络诈骗、信息泄露问题也随之发生, 这说明了我国现在的网络工程存在着很大的安全技术缺陷, 而这些网络安全漏洞也时刻影响着社会的秩序和人们的生活。因此我们需要重视网络安全技术的研究, 加强对网络工程的安全防护, 进而保障我们的个人隐私、商业信息和国家机密等安全信息, 并维护我国的社会秩序。

1 现代网络工程中常见的安全漏洞

1.1 恶意的网络攻击问题

随着网络技术问世以来, 一些拥有专业计算机技术的黑客也相继产生。他们往往针对一些出现漏洞的网络系统来窃取他人的隐私和机密文件, 甚至破坏计算机系统造成整个网络系统的崩溃, 所以这种恶意的网络攻击给网络系统造成了很大的威胁, 让社会也带来了极大地影响。

1.2 网络病毒感染的问题

计算机病毒是在计算机软件技术发展过程中产生的, 也是当前危害网络技术的罪魁祸首。通常一些不法分子通过编写特殊的软件程序并投放到目标计算机中, 使目标计算机停止了自己的程序, 而去执行病毒编写者植入的指令, 进而达到破坏计算机系统、窃取计算机资料的目的。如现在常见的木马、熊猫点香、震网等病毒, 它们的破坏力极强, 传播范围也十分广泛。倘若某一台计算机被攻击, 同一局域网内的其他计算机都将会受到病毒的威胁。

1.3 垃圾短信扰动的问题

依靠网络技术的力量, 信息的传输速率得到了快速的提升, 当人们还在尽情享受网上冲浪的时候, 大量的垃圾信息也悄无声息的占据了我们的生活, 同时给整个社会带来了极大的负面影响。一些居心叵测, 搬弄是非的人常常会利用电子邮件、社交工具和一些网上论坛等网络工具来散播谣言, 来蛊惑人心。这在极大程度上危害了我国青少年的身心健康和社会秩序的稳定发展。

1.4 钓鱼网站造成的安全问题

钓鱼网站是黑客利用网络手段仿造知名网站的地址和页面, 或是在相应的网站插入恶意链接, 来盗取用户的账号、密码和个人隐私的犯罪行为。近些年涌现的大量钓鱼网站使不少用户遭受财产和信息损失, 对网上的一些线上产品也产生了巨大的影响, 严重的危害了社会群体的共同利益, 在一定程度上也降低了互联网产品和一些服务运营商的信誉度, 使网上活跃的用户量逐年降低。

2 修复网络安全漏洞的有效措施

2.1 加强计算机防火墙的过滤作用

防火墙在网络工程中可以对相应的信息进行过滤操作, 并能够有效的阻止黑客的攻击, 为网络安全提供了有效的防护功能。在本地网络与外部网络连接的过程中, 中间的防火墙对本地网络的保护起到了决定性的作用。网络防火墙内部含有本地网络地址和外部网络地址, 网络信息必须通过计算机防火墙过滤之后才能访问计算机, 这些过滤措施可以有效的防止一些攻击性的网络病毒对目标计算机的侵入, 从而有效的保障了内部网络的安全。防火墙还能及时的关闭一些没有使用的端口, 以防止病毒的侵入和内部信息的泄露。另外用户在访问特殊的网站时, 还能通过设置防火墙的过滤条件, 来主动维护网络工程的安全, 从而消除非法网络对本地计算机造成的危害。

2.2 开启计算机杀毒和病毒监控功能

计算机病毒防护技术对网络工程的建立和计算机系统的维护都发挥着至关重要的作用, 它一方面能够有效的稳定网络系统的基本功能, 另一方面也提高了计算机系统的稳定性。现在的计算机病毒与以前相比, 在结构和特征上已经明显不同了, 这也给现代网络工程的安全防护带来了很大的挑战。因此我们必须充分发挥现代互联网的强大优势, 积极地安装或升级360、金山卫士等专业的安全软件, 并定期的对计算机进行病毒扫描和实时监控, 实现网络安全的防护。使用这些网络安全产品可以有效地抵制恶意病毒的侵入, 也可以在云计算和云杀毒的作用下及时的查杀新型网络病毒, 并促进网络工程的安全防护。

2.3 加强维护计算机安全的入侵检测技术

在计算机系统中通过植入入侵检测系统的办法可以立刻实现系统的入侵检测功能, 并能够准确的识别网络系统中的威胁行为, 从而快速的查杀网络系统中潜伏的恶意程序和文件。采用这种主动式的安全防护措施可以有效的防止计算机病毒的入侵, 从而达到对网络工程安全防护的作用。如今对入侵检测技术的研究已经达到了新的高度, 入侵检测系统更加多样化, 实用效果也越来越好, 在整个网络工程的安全防护过程中占据的地位也越来越重要。

2.4 有效的拦截大量的垃圾短信

目前许多软件公司就网络系统中泛滥的垃圾信息问题, 开发了许多具有拦截垃圾短信和邮件的防护软件, 其作用机理就是对垃圾短信进行全面的特征分析, 再结合用户对垃圾信息的举报内容做出正确的判断, 来封锁垃圾短信的传播。同时在网络工程中也要加强对网络地址的安全保密工作, 在网上不要随意输入邮箱地址和账户密码, 提高安全上网的防护意识。

3 总结

在信息革命的影响下, 人们的生活方式发生了翻天覆地的变化, 在人们享受便利沟通的同时, 一些网络安全问题也随即产生。所以我们必须重视网络工程的安全问题, 不断加强网络工程的安全防护措施, 为绿色网络的建立打下良好的基础。

参考文献

[1]谭显红, 晏茂楠.网络信息安全的技术分析与防护措施[J].电子技术与软件工程, 2015 (12) .

[2]陈健, 唐彦儒.关于网络工程中的安全防护技术的思考[J].价值工程, 2015 (15) .

[3]胡磊.基于对网络工程安全防护技术的探究[J].电子制作, 2015 (09) .

[4]王志雄.网络工程中的安全防护技术[J].计算机光盘软件与应用, 2015 (03) .

[5]张玮.关于网络工程中的安全防护技术的思考[J].无线互联科技, 2014 (06) .

信息安全与网络安全的论文 第5篇

摘要：互联网时代的来临给人们带来便利的同时也使信息安全与网络安全形势日益严峻。形形色色的漏洞层出不穷，传统的安全保障模式已经无法有效地应对当前的威胁。本文分析了信息安全形势和现状，阐述了由漏洞挖掘、漏洞利用所构成的病毒产业链对现有安全技术和理念的冲击。根据病毒产业链中各个环节的特点，提出了基于“云安全”思想的新型的安全保障模式，使之能够快速感知和捕获新的威胁，并从源头上予以监控。

关键词：信息安全漏洞挖掘漏洞利用病毒云安全保障模式变革

一、引言

信息安全与网络安全的概念正在与时俱进，它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全，再到如今的信息保障和信息保障体系。单纯的保密和静态的保障模式都已经不能适应今天的需要。信息安全保障依赖人、操作和技术实现组织的业务运作，稳健的信息保障模式意味着信息保障和政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均能得以实施。

近年以来，我国的信息安全形势发生着影响深远的变化，透过种种纷繁芜杂的现象，可以发现一些规律和趋势，一些未来信息安全保障模式变革初现端倪。

二、信息安全形势及分析

据英国《简氏战略报告》和其它网络组织对世界各国信息防护能力的评估，我国被列入防护能力最低的国家之一，排名大大低于美国、俄罗斯和以色列等信息安全强国，排在印度、韩国之后。我国已成为信息安全恶性事件的重灾区，国内与网络有关的各类违法行为以每年高于30%的速度递增。根据国家互联网应急响应中心的监测结果，目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。

在互联网的催化下，计算机病毒领域正发生着深刻变革，病毒产业化经营的趋势日益显现。一条可怕的病毒产业链正悄然生成。

传统的黑客寻找安全漏洞、编写漏洞利用工具、传播病毒、操控受害主机等环节都需要自己手工完成。然而，现在由于整个链条通过互联网运作，从挖掘漏洞、漏洞利用、病毒传播到受害主机的操控，已经形成了一个高效的流水线，不同的黑客可以选择自己擅长的环节运作并牟取利润，从而使得整个病毒产业的运作效率更高。黑客产业化经营产生了严重的负面影响：

首先，病毒产业链的形成意味着更高的生产效率。一些经验丰富的黑客甚至可以编写出自动化的处理程序对已有的病毒进行变形，从而生产出大量新种类的.病毒。面对井喷式的病毒增长，当前的病毒防范技术存在以下三大局限：①新样本巨量增加、单个样本的生存期缩短，现有技术无法及时截获新样本。②即使能够截获，则每天高达数十万的新样本数量，也在严重考验着对于样本的分析、处理能力。③即使能够分析处理，则如何能够让中断在最短时间内获取最新的病毒样本库，成为重要的问题。

其次，病毒产业链的形成意味着更多的未知漏洞被发现。在互联网的协作模式下，黑客间通过共享技术和成果，漏洞挖掘能力大幅提升，速度远远超过了操作系统和软件生产商的补丁发布速度。

再次，黑客通过租用更好的服务器、更大的带宽，为漏洞利用和病毒传播提供硬件上的便利;利用互联网论坛、博客等，高级黑客雇佣“软件民工”来编写更强的驱动程序，加入病毒中加强对抗功能。大量软件民工的加入，使得病毒产业链条更趋“正规化、专业化”，效率也进一步提高。

最后，黑客通过使用自动化的“肉鸡”管理工具，达到控制海量的受害主机并且利用其作为继续牟取商业利润的目的。至此整个黑客产业内部形成了一个封闭的以黑客养黑客的“良性循环”圈。

三、漏洞挖捆与利用

病毒产业能有今天的局面，与其突破了漏洞挖掘的瓶颈息息相关。而漏洞挖掘也是我们寻找漏洞、弥补漏洞的有利工具，这是一柄双刃剑。

3.1漏洞存在的必然性

首先，由于Internet中存在着大量早期的系统，包括低级设备、旧的系统等，拥有这些早期系统的组织没有足够的资源去维护、升级，从而保留了大量己知的未被修补的漏洞。其次，不断升级中的系统和各种应用软件，由于要尽快推向市场，往往没有足够的时间进行严格的测试，不可避免地存在大量安全隐患。再次，在软件开发中，由于开发成本、开发周期、系统规模过分庞大等等原因，Bug的存在有其固有性，这些Bug往往是安全隐患的源头。另外，过分庞大的网络在连接、组织、管理等方面涉及到很多因素，不同的硬件平台、不同的系统平台、不同的应用服务交织在一起，在某种特定限制下安全的网络，由于限制条件改变，也会漏洞百出。

3.2漏洞挖掘技术

漏洞挖掘技术并不单纯的只使用一种方法，根据不同的应用有选择地使用自下而上或者自上而下技术，发挥每种技术的优势，才能达到更好的效果。下面是常用的漏洞挖掘方法：

(1)安全扫描技术。安全扫描也称为脆弱性评估，其基本原理是采用模拟攻击的方式对目标系统可能存在的已知安全漏洞进行逐项检测。借助于安全扫描技术，人们可以发现主机和网络系统存在的对外开放的端口、提供的服务、某些系统信息、错误的配置等，从而检测出已知的安全漏洞，探查主机和网络系统的入侵点。

(2)手工分析。针对开源软件，手工分析一般是通过源码阅读工具，例如sourceinsight等，来提高源码检索和查询的速度。简单的分析一般都是先在系统中寻找strcpy0之类不安全的库函数调用进行审查，进一步地审核安全库函数和循环之类的使用。非开源软件与开源软件相比又有些不同，非开源软件的主要局限性是由于只能在反汇编获得的汇编代码基础上进行分析。在针对非开源软件的漏洞分析中，反编引擎和调试器扮演了最蘑要的角色，如IDAPro是目前性能较好的反汇编工具。

(3)静态检查。静态检查根据软件类型分为两类，针对开源软件的静态检查和针对非开源软件的静态检查。前者主要使用编译技术在代码扫描或者编译期间确定相关的判断信息，然后根据这些信息对特定的漏洞模型进行检查。而后者主要是基于反汇编平台IDAPro，使用自下而上的分析方法，对二进制文件中的库函数调用，循环操作等做检查，其侧重点主要在于静态的数据流回溯和对软件的逆向工程。

(4)动态检查。动态检查也称为运行时检查，基本的原理就是通过操作系统提供的资源监视接口和调试接口获取运行时目标程序的运行状态和运行数据。目前常用的动态检查方法主要有环境错误注入法和数据流分析法。以上介绍的各种漏洞挖掘技术之间并不是完全独立的，各种技术往往通过融合来互相弥补缺陷，从而构造功能强大的漏洞挖掘工具。

3.3漏洞利用

漏洞的价值体现在利用，如果一个漏洞没有得到广泛的利用便失去了意义。通常，从技术层面上讲，黑客可以通过远程/本地溢出、脚本注入等手段，利用漏洞对目标主机进行渗透，包括对主机信息和敏感文件的获取、获得主机控制权、监视主机活动、破坏系统、暗藏后门等，而当前漏洞利用的主要趋势是更趋向于Web攻击,其最终日标是要在日标主机(主要针对服务器)上植入可以综合利用上面的几种挖掘技术的复合型病毒，达到其各种目的。

4新型信息安全模式分析

最近的两三年间，在与病毒产业此消彼涨的较量中，信息安全保障体系的格局，包括相关技术、架构、形态发生了一些深远、重大的变化，大致归纳为以下三个方面：

第一，细分和拓展。信息安全的功能和应用正在从过去简单的攻击行为和病毒防范开始向各种各样新的联网应用业务拓展，开始向网络周边拓展。如现在常见的对于帐号的安全保护、密码的安全保护、游戏的安全保护、电子商务支付过程的安全保护等，都是信息安全功能和应用的细分与拓展。

第二，信息安全保障一体化的趋向。从终端用户来说，他们希望信息安全保障除了能够专业化地解决他们具体应用环节里面临的各种各样的具体问题之外，更希望整体的、一体化的信息安全解决方案贯穿业务的全过程，贯穿IT企业架构的全流程。因此，许多不同的安全厂商都在进行自身的安全产品、体系架构的整合，针对性地应用到个人客户的方方面面，表现出信息安全保障一体化的趋向。

第三，安全分布结构的变化。在服务器端，不管是相关市场的投入还是企业的需要，乃至相关的企业对服务器市场的重视都在发生重大的变化。这样的变化对安全的分布结构产生了重大的影响，在这方面，各个安全厂商无论在服务器安全还是客户端安全都加入了许多新型功能，甚至都在从体系结构方面提出一些新模式。

透过技术、架构、形态的新发展，我们看到了些规律和趋势，吏看到了一些未来信息安伞保障模式变节的端倪。既然客在互联的催化下实现产业化，那么信息安全保障呢?将互联网上的每个终端用户的力量调动起来，使整个互联网就将成为一个安全保障工具，这样的模式就是未来信息安全保障的模式，被一些机构和安全厂商命名为“云安全”。

在“云安全”模式中，参与安全保障的不仅是安全机构和安全产品生产商，更有终端用户客户端的参与。“云安全”并不是一种安全技术，而是一种将安全互联网化的理念。

“云安全”的客户端区别于通常意义的单机客户端，而是一个传统的客户端进行互联网化改造的客户端，它是感知、捕获、抵御互联网威胁的前端，除了具有传统单机客户端的检测功能以外还有基于互联网协作的行为特征检测和基于互联网协作的资源防护功能，因此它可以在感知到威胁的同时，迅速把威胁传递给“云安全”的威胁信息数据中心。威胁信息数据中心是收集威胁信息并提供给客户端协作信息的机构，它具有两个功能：一是收集威胁信息;二是客户端协作信息的查询和反馈。首先，从“云安全”的客户端收集、截获的恶意威胁信息，及时传递给数据中心，然后传递给来源挖掘和挖掘服务集群，来源挖掘和挖掘服务集群会根据这些数据来挖掘恶意威胁的来源，通过协作分析找到源头，进而对源头进行控制，如果不能控制，则至少可以对源头进行检测。然后，将所有收集到的信息集中到自动分析处理系统，由其形成一个解决方案，传递给服务器，服务器再回传客户端，或者是形成一个互联网的基础服务，传递给所有安全合作伙伴，形成一个互联网技术服务，使整个网络都享受该安全解决方案。

概括而言，“云安全”模式具有以下特点：第一，快速感知，快速捕获新的威胁。“云安全”的数据中心可以并行服务，通过互联网大大提高威胁捕获效率。第二，“云安全”的客户端具有专业的感知能力。通过威胁挖掘集群的及时检测，可以从源头监控互联网威胁。:

互联网已经进入Web2.O时代，Web2.0的特点就是重在用户参与，而“云安全”模式已经让用户进入了安全的2.O时代。在黑客产业化经营的新威胁的形势下，也只有互联网化的“云安全”保障模式才能与之对抗。

四、结束语

信息安全领域认为，仅仅依靠政策、法规和保密技术是不够的，必须建立一个实体来操作，可见信息安全已经扩展成为技术保障、组织保证、法规管理的全方位的动态概念，它包括保护、检测、反应和恢复的有机结合。目前，世界信息安全策略已经发生重大调整：①从追求部件的绝对保密，变为求得系统的相对安全。②从保证纵向“管式”的信息安全，转变为保障“扁平式”纵横信息网络互联的安全。⑨顶层设计、综合开发，统筹安排设计的安全框架、安全结构和安全协议，使开发信息系统高效运行、安全互通互操作。④“三分技术，七分管理”，管用并举，重在管理。

基于防火墙技术的网络安全防护 第6篇

关键词：防火墙；网络安全；防护

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2011) 03-0000-01

Firewall Technology-based Network Security Protection

Meng Xianmin

(Institute of Geological Science Shengli Oilfield,Dongying257000,China)

Abstract:In the 21st century,the network pervades virtually every aspect of our lives,the problem of network security becomes increasingly.

Firewall technology is to solve the two different network security communication between technology.This paper mainly introduced based on firewall network security protection,including:firewall meaning,

firewall,the basic types of firewall technology,firewall function etc.

Keywords:Firewall;Network security;Protective

一、前言

在社会信息化、网络化不断发展的今天，以网络方式获得信息和交流信息已成为现代信息社会的重要特征，例如网上办公、电子商务、数据处理等等，网络已经和人民的日常生活紧密联系起来，但网络也存在不容忽视的问题，例如，病毒、黑客攻击、系统漏洞等。为了应对越来越多的病毒、入侵和攻击，人们对信息的安全传输、安全存储、安全处理的要求越来越显得十分迫切和重要。

二、防火墙的类型

防火墙的分类方法有许多种，这里仅对其做简单介绍。

按照特性可划分为软件防火墙、硬件防火墙、芯片级防火墙三种；

从结构上可划分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种；

从实现原理上可划分为网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙四种；

按工作位置分为边界防火墙、个人防火墙和混合防火墙三种；

三、防火墙的技术

尽管防火墙的分类方法和类型众多，但是采取的技术确大同小异，主要有以下几种：

（一）数据包过滤技术。数据包过滤技术是最早使用且应用广泛的一种技术。数据包过滤技术工作在0Sl网络参考模型的网络层和传输层，它使用一个软件查看所流经的数据包的包头，由此决定整个包的命运。具体来讲就是包过滤防火墙审查每一个到达的数据包，根据IP转发过程中的源地址、目的地址、内装协议（TCP、UDP、ICMP）、TCPUDP的目标端口号、ICMP的消息类型号等字段查看它们是否匹配某一条过滤规则，然后根据所配备的规则是拒绝还是允许来决定丢弃或转发该数据包。

（二）应用网关技术。由于数据包过滤技术具有不能防范黑客攻击：不支持应用层协议：不能处理新的安全威胁等缺点，因此人们需要一种更全面的防火墙保护技术，在这样的需求背景下，采用“应用代理”技术的防火墙诞生了。应用网关技术通常被配置为“双宿主网关”，具有两个网络接口卡，同时接入内部和外部网，应用代理网关防火墙彻底隔绝内网与外网的直接通信．内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。其优点是只准许有代理的服务通过，其他所有服务都完全被封锁；可以过滤协议，防止不可靠的服务背着管理员进行。其缺点是会使网络的访问速度变慢。

（三）地址翻译技术。网络地址翻译（NAT，Network Address Translation）最初的设计目的是增加在专用网络中可使用的IP地址数，但现在则用于屏蔽内部主机。NAT通过将专用网络中的专用IP地址转换成在Internet上使用的全球唯一的公共IP地址，实现对黑客有效地隐藏所有TCP/IP级的有关内部主机信息的功能，使外部主机无法探测到它们。地址翻译技术主要模式有以下几种。

（四）动态防火墙技术。也称为动态包过滤技术，基本过滤原理与静态包过滤技术类似，但是它能感知一个连接到一个新连接和一个已知连接之间的差别。动态数据包过滤技术试图将数据包的上下文联系起来，建立一种基于状态的包过滤机制。它将已有连接写入内存中一个表格中。后续数据包先与表格进行比较，若数据包属于已有连接，则直接允许通过，否则进行常规的过滤。动态防火墙技术的状态感知技术避免了对通过防火墙的每个数据包都进行规则库检查，教静态包过滤技术在性能上提高很多，而且由于能够区分连接的双方，则对于动态端口的协议通过分析可以打开相应端口，提高了整体安全性。

（五）状态监测技术。状态检测技术防火墙将包过滤技术和应用网关技术两者的优点结合起来，状态检测防火墙在网络层由一个检查引拳截获数据包，并抽取出与应用层状态有关的信息在核心部份建立了状态连接表，并对网絡中流通的数据编成一个个的会话，并利用状态表跟踪每个会话的状态，就是说其能够对突破前两种监测的只限于网络层和应用层的局限性，其能够对各层数据进行主动的、实时的监测，并对监测数据进行系统的分析，从而更好地准确判断出各层中的非法入侵行为，其不仅可以对付外部网络攻击，而且还对内部网络的恶意破坏有很强的防范作用。

四、防火墙的作用

防火墙时刻监控网络状态，自动过滤不安全的服务，以此达到降低内部网络系统所面临的风险的目的，极大的提高了网络的安全性。因此，内部网络环境要经受较少的外部风险，只有通过严格的防火墙控制来保证，这样使得内部网络系统不会被外部攻击者利用，而且在保证安全的情况下使用一些服务。对于内部局域网不可缺少的服务如NIS或NFS，可以采用公用的方式使用，从而减轻内部网络管理系统的负担。

五、结束语

防火墙作为维护网络安全的关键设备，在目前采用的网络，安全的防范体系中，占据着举足轻重的位置，在网络安全中所扮演的重要角色是不可撼动的。当然，网络安全是一个系统的、包括多个方面的庞大体系，防火墙仅仅是其中一环，必须从各个方面综合全面入手，才能更好的保证互联网的安全，也才能发挥出防火墙在互联网中的重要作用。

参考文献：

[1]杨广宇.防火墙—内网与外网的安全壁垒.河南科技,2010,10

安全防护的网络工程 第7篇

1 网络安全问题的探讨

如今, 由于电脑病毒、网络黑客、垃圾信息等问题频发, 网络安全防护技术的研究迫在眉睫, 其中问题比较突出的有:

1.l网络黑客入侵个人、企业计算机

网络黑客攻击一直以来是网络环境安全的一大突出问题。黑客, 定义为通过利用存在于计算机中网络安全漏洞并对互联网进行攻击破坏或窃取个人信息资料的一类人。根据目前的网络攻击案例分析可得, 黑客攻击互联网方式共有两大种, 即非破坏性攻击和破坏性攻击。非破坏性攻击是指通过干预正常的网络环境通道, 使用病毒信息对个人计算机进行攻击, 以达到阻碍网络正常运行的目的, 但并不损害个人计算机。而破坏性攻击是指通过入侵个人计算机系统, 并在窃取用户个人隐私信息后损害计算机系统的一种攻击方式。

1.2 传播电脑病毒

电脑病毒通过扩散型传播方式在个人计算机中相互传播, 严重影响着网络环境的正常运行。电脑病毒会损害个人计算机, 并自行在宿主机内复制, 以及可以通过互联网途径进行传播等。电脑病毒是个人编写者通过网络通道将电子数据命令、程序代码置于个人计算机中, 干扰电脑正常运行工作并破坏电脑系统, 严重威胁网络的安全性。

1.3 盗用IP地址

针对个人计算机的网络连接漏洞, 窃取IP地址的相关信息并通过占用用户的使用权限, 致使个人计算机不能正常连接互联网, 严重影响个人工作, 并且用户的使用权利被严重侵犯, 也严重扰乱了网络环境的稳定秩序。

1.4 垃圾信息泛滥

垃圾信息即非自愿性接受的数据信息, 影响着个人计算机的运行效率, 并增加网络运营负担, 致使网络通道的流畅性受到严重制约, 并危害到网络安全环境的正常维持。

1.5 系统分工问题

在我国网络工程建设部门中, 管理机制存在不合理、不完善的问题, 体系中各部分成员分工问题没有得到优化, 管理层人员对相关机密与信息没有加以保护与防卫, 造成个人计算机受到来自网络的各种攻击以及网络稳定环境的波动, 如果不加以高度重视, 最终会导致网络工程体系崩溃。

2 网络安全防护措施的思考

通过分析上述存在于网络环境中的各种问题与缺陷, 针对不同方面的网络威胁, 提出了以下几种不同形式的解决办法:

2.1 防火墙保护法

针对黑客入侵问题, 关键点在于如何阻止黑客入侵个人计算机, 所以分析可得, 通过设置防火墙, 隔离网络中的有害信息, 可以防止黑客通过个人计算机的网络漏洞进入到个人电脑中窃取用户的个人信息与隐私。设置防火墙是网络安全环境的有效保障, 通过防火墙的有效过滤, 可以隔离众多黑客攻击的行为, 保护用户的信息安全性与保密性。

2.2 隔离计算机病毒

通过安装专用的杀毒软件, 识别隐藏于网络环境中的有害信息, 并防止计算机病毒的传播, 同时用户个人加强自我保护意识, 不要轻易下载或浏览非安全网络内容, 再结合相关的安全防护技术与管理体系, 才能有效切断病毒的传播途径, 确保网络环境的安全。

2.3 加强网络安全监测技术

针对网络工程而言, 网络安全监测技术能有效甄用户个人网络资源的可靠性以及潜藏于网络信息中的恶意病毒或攻击行为, 保证个人网络通道的安全畅。通过设置网络环境内、外两层面的安全保护措施, 对入侵行为加以多方位, 多视角的监控与限制, 有效维护了网络环境的安全性。

2.4 垃圾信息处理办法

由于垃圾信息会以集群式或广泛式的特点在网络环境中加以传播, 所以当用户的个人邮箱以及手机等信息被泄露后, 会受到垃圾信息的严重侵害, 故通过加强个人保护意识, 保证个人的邮箱地址与手机号码等个人信息不被窃取或泄露, 即可防止来及信息的传播与扩散。

2.5 网络数据加密

在网络工程建设还不完善的现阶段, 互联网中存在或多或少的信息安全风险, 针对网络中出现的各种信息安全风险与安全问题, 通过数据加密技术, 即用户通过对网络中的个人信息数据设加密码, 提高个人访问权限与控制权限, 这样可以有效降低网络信息安全风险, 这也是个人计算机实现安全上网的可靠保障。

3 总结

互联网为人类的社会发展带来了第三次工业革命, 数字化的信息交流方式, 使得信息的有效传播得以实现, 网络资源共享已经逐步融入人民的生活空间中, 但是网络工程中的安全防护问题必须引起高度重视, 所以在享受信息时代为我们创造的技术成果的同时, 也要加强网络安全防护的力度, 并为我国的快速发展提供有效的网络平台。

参考文献

[1]王薪凯, 姚衡, 王亨, 常晶晶, 喻星晨.计算机网络信息安全与防范[J].硅谷, 2011.

[2]金金.2011年信息安全十大热点预测[J].信息安全与通信保密, 2011 (3) .

[3]赵章界, 李晨肠, 刘海峰.信息安全策略开发的关键问题研究[J]信息网络安全, 2011 (3) .

安全防护的网络工程 第8篇

关键词：网络工程,防火墙,计算机病毒,垃圾邮件,检测技术

0 引言

信息化和网络化的潮流已经冲击到人们生活和社会生产的每个细节, 网络工程已经成为人们获取信息、实现交流、互通有无的主要系统, 并形成了越来越发展、越来越重要的发展趋向。由于网络工程和计算机技术存在开放、自由、互联方面的特点, 导致网络工程存在着容易受到黑客攻击、计算机病毒入侵、IP地址盗用、垃圾邮件泛滥、网络和计算机系统风险等各种威胁和隐患的影响, 轻则造成网络工程的功能受损, 中则造成网络工程的系统的崩溃, 严重者会形成网络工程的硬件受到损失。应该从网络工程的功能认知入手, 以网络工程防火墙、计算机病毒防范、入侵检测、网络风险防范和垃圾邮件处理为基础构建新型安全防护技术体系, 实现网络工程总体的稳定和安全, 为社会生产和生活提供状态更加的网络系统。

1 网络工程中存在的主要安全问题

在日常的生活和工作中越来越借助网络工程的时候, 人们突然发现网络工程安全存在着诸多隐患和漏洞, 这些问题会直接给网络工程带来安全问题, 严重者会形成对网络工程功能和结构的致命性影响, 因此必须加大对网络工程安全问题的研究和分析, 以达到对网络工程安全的全面认知, 根据经验和实践网络工程存在主要的安全问题类型和表现有如下几种类型:

1.1 黑客对网络工程的攻击

黑客是利用网络工程或计算机的系统性漏洞对计算机发起攻击, 进而破解网络工程密码, 获取计算机信息资料, 破坏他人对网络工程和计算机的正常使用, 已到达非法目的的行为。黑客发展到现在已经出现了分化, 常见的黑客有两种, 一是, 非破坏性攻击黑客, 这类黑客的主要以扰乱网络工程和计算机正常运行为主, 主要的目的是阻碍系统正常的运行, 例如此类黑客采用信息炸弹的方式对网络工程和计算机进行攻击, 使网络工程处于瘫痪的状态;二是, 破坏性攻击黑客, 此类黑客以入侵网络工程和计算机为主, 获取保密信息, 用于不当得利, 由于这类黑客会在破解网络工程和计算机时会使用非常规手段, 导致网络工程和计算机产生破坏, 严重者会形成网络工程的报废。

1.2 计算机病毒对网络工程的入侵

计算机病毒会在网络工程中发作, 形成对网络工程安全和功能的制约和影响, 由于计算机病毒的传染性强、复制快、破坏剧烈等特点, 导致网络工程中一旦感染计算机病毒就会形成极大的安全隐患, 尤其是以网震、fire等病毒专门攻击网络工程, 形成了对网络工程软件、硬件, 系统、功能上的全面影响。

1.3 IP地址盗用对网络工程的影响

网络工程中IP地址是一种资源, 同时也是权限的具体体现, 如果网络工程的IP地址被盗用会直接形成两个后果, 一是, 网络工程的IP地址被盗用者迅速占用, 既造成了正常用户对网络工程的正常使用, 又造成了IP地质资源的枯竭, 形成网络工程数据交换能力的下降;二是, 网络工程IP地址被盗用会影响到权限和管理职能的行使, 给网络工程混乱的处理带来严重的不便, 延长了网络工程修复的时间, 严重侵害了网络工程用户的权益。此外, IP地址被盗用还可以被不法分子利用, 起到“冒名顶替”的作用, 既隐蔽了不法活动, 又增加了查处的难度[1]。

1.4 垃圾邮件对网络工程的影响

垃圾邮件是指未经对方运行对非固定网络用户或网络工程进行发送邮件, 垃圾邮件有批量发送的特点, 如果出现垃圾邮件的泛滥, 将会造成整个网络的安全问题, 严重占用网络空间资源, 造成网络工程效率和安全的下降, 给整个网络工程带来长期、持续、巨大的影响[2]。

1.5 计算机系统风险对网络工程的影响

计算机和网络是不可分割的两个部分, 计算机需要网络工程实现扩展和外延, 网络工程需要计算机进行维护和保障。计算机系统风险会随着计算机与网络工程的互联互通而影响到网络工程, 如果网络工程出现密码、权限、系统、结构方面的问题, 计算机系统风险就会被瞬间放大, 形成对网络工程功能和安全的严重威胁。同时, 计算机———网络工程的互联效应会将威胁和风险再次倍增, 导致局域网络工程和计算机出现安全问题, 出现网络工程和计算机彻底地瘫痪。

2 提高网络工程安全防护技术的技术要点

2.1 合理运用防火墙技术

防火墙可以应对黑客的攻击和计算机病毒对网络工程的威胁, 可以通过网络工程防火墙的设置达到对信息的过滤效果, 特别在外部网络和网络工程之间更应该加设防火墙, 以计算机软件技术搭设网络工程与外部网络的连接, 将外部网络和网络工程进行地址上和信息体系上的分割, 形成网络工程所有的通信和信息均要经由防火墙的过滤, 这会避免黑客和病毒对网络工程的攻击, 进而提高网络工程的安全性 (见图1网络防火墙与计算机防火墙) 。防火墙还可以对整个网络工程进行整合, 关闭可能被木马病毒所利用的不使用端口, 进一步避免信息的外泄, 确保网络和计算机信息的安全[3]。此外, 防火墙技术还可以通过设置起到对特殊网站的防护性访问, 既可以避免对非法网站的访问, 又可以实现网络工程的主动性安全 (图2网络防火墙工作原理) 。

2.2 计算机病毒防护措施

计算机病毒防护是网络工程建设和维护工作中重要的一环, 是确保网络工程功能和稳定的基本措施之一, 也是维护计算机系统安全和性能的基础。当前计算机病毒在结构上和形式上存在着巨大的改变, 传统检验计算机病毒的特征码已经不复存在, 这会造成网络工程对计算机病毒防治的困难[4]。当前, 应该利用互联网络的优势, 形成“云杀毒”的方式, 利用奇虎、金山等计算机病毒防护专业公司出品的360安全卫士、金山毒霸等带有自动升级的计算机杀毒软件来进行网络工程计算机病毒的防护, 这些公司的产品具有可实时升级的特点, 对于及时发现网络工程的计算机病毒有着积极的意义, 同时通过“云计算”、“云杀毒”的过程可以对网络工程的新病毒和新变种进行及时地防范和查杀, 有利于网络工程实现现实性安全。

2.3 入侵检测技术应用

网络工程要对入侵检测系统留有一定的空间, 以实现入侵检测系统的功能, 从主动方面实现对网络工程的安全防护, 这会产生对网络工程的积极影响, 有利于网络工程安全目标的达成。通过入侵检测技术的应用, 计算机可以检验出网络工程中和网络资源中隐藏的恶意代码或程序, 并对威胁网络工程的行为加以识别, 以实现在攻击开始前或威胁形成前就识别出攻击和威胁行为, 提前做好防护的准备。当前入侵检测技术已经进入到了新一代的开发, 检测的层次越来越多、防御的角度越来越独特, 对网络工程防护的效果也越来越好, 并成为当前网络工程中主要的安全防护技术种类。

2.4 垃圾邮件的处理

针对网络工程垃圾邮件泛滥的实际, 很多计算机软件公司开发出垃圾邮件拒止软件, 通过对垃圾邮件特征的鉴别, 以及用户对垃圾邮件的举报达到拒止垃圾邮件的目的[5]。在网络工程中要注意网络地址的保密, 更要指导用户的上网行为, 尤其是要建立不随便登记个人信息和电子邮箱地址的意识, 在源头上做出主动防止垃圾邮件产生的行为[6]。

2.5 网络工程风险防范

在网络工程安全中加强对网络风险防范是从源头上控制网络工程安全问题的产生, 要通过数字加密技术对网络工程的信息和数据进行加密, 同时设置网络工程的密码和访问权限, 以风险控制和防范的方式, 降低网络工程产生安全问题的可能[7]。

3 结语

综上所述, 新时期要看到网络工程给世界带来巨大变化, 给生活和工作带来巨大便利的同时, 要看到网络工程的安全性问题。要认识到网络工程安全工作的长期性和艰巨性, 要有坚持不懈的精神, 通过网络工程安全防护技术的全面实施形成网络工程的功能和安全。在文章的最后笔者要提醒同仁:网络工程安全防护技术的发展很快, 要注意对新型技术的学习和掌握, 这样才能形成对网络工程安全工作的全力支撑, 进而达到对网络和信息的整体安全。

参考文献

[1]马广宇, 沈菁.如何更好地发挥通信网络安全基线的作用[J].电信技术, 2011 (05) :76-77.

[2]金金.2011年信息安全十大热点预测[J].信息安全与通信保密, 2011 (03) :45-46.

[3]赵章界, 李晨旸, 刘海峰.信息安全策略开发的关键问题研究[J].信息网络安全, 2011 (03) :93-94.

[4]王薪凯, 姚衡, 王亨, 常晶晶, 喻星晨.计算机网络信息安全与防范[J].硅谷, 2011 (04) :68-69.

[5]李巍巍.计算机网络安全的数据备份和容灾系统[J].黑龙江科技信息, 2010 (33) :73-74.

[6]陆文红, 蒙劲.小议通信网络安全问题分析及维护措施[J].中小企业管理与科技 (下旬刊) , 2010 (10) :53-54.

安全防护的网络工程 第9篇

随着计算机网络的大量普及, 网络安全问题引起人们的重视。目前中国已经有Web、Mail等服务, 随着Internet技术的发展, 电子商务的各种增值业务将会越来越多, 但是计算机网络体系结构TCP/IP的不设防性和开放性使网络安全问题不可避免, 因此信息的安全也显得尤为重要。提升网络的安全性, 首先必须构建一个网络安全的模型, 在模型内部进行优化组合, 为网络的安全性能提供技术保证。

1.1 模型子系统设计

以满足安全需求为目的, 从技术和组织管理两个角度进行模型子系统的综合设计。模型的子系统的优化设计是构建安全网络的基础, 必须以实现总系统的安全需求为目标。将模型的各个子系统根据具体的功能进行细致划分, 前期的划分是组建安全模型的基础, 在系统内部需要进一步的综合, 确保安全模型的各个部分完美搭配。

1.2 内容综合

最优化最安全的网络系统, 内部必须有完整的要素构成, 各个部分之间有机配合, 对实现系统的安全目标有准确的定位。首先要求系统做到专一, 这种专一主要指各部分内容的配合, 内容的特点准确各个内容之间的关系清晰, 如果一个网络系统包含所有的内容, 很难达到内容各要素之间的精确描述和呈现, 网络的安全目标难以达到。

1.3 用户验证

以模型子系统层次关系为基础设计模型, 可以对任何用户, 不管内网和外网的, 进行访问合法性的检验。保护层面的入侵监测系统对用户的身份进行验证, 合法用户将顺利通过, 非法用户将被有效拦截。因此, 用户的身份验证是确定是否具有访问资格的唯一有效信息。系统内部的各层机制相互配合, 可以增加访问的合法性, 避免了出现某个要素遭到破换而导致不合法的访问, 引起整个系统的安全问题。网络的安全管理必须有法治的保证, 使安全管理达到有法可依, 依法行事, 健全当前的网络各项安全法规。在模型内, 网络安全综合管理系统可以联系各个部分, 因此具有重要的地位。安全评估与分析系统, 对系统的各项指标进行分析, 包括定性或定量的指标, 用户根据对系统的评估情况, 对网络系统的安全性采取一定的措施。

1.4 关系分析

对模型的各个子系统进行优化整合是第一步, 然后根据分层原理来构建安全的网络模型。主要从以下的四个层次来划分和组建, 包括保护机制、基础要素、安全管理和响应机制。其中保护机制层包括防火墙、入侵检测、身份认证、数字加密等内容;基础要素层包括用户管理、访问许可管理、密钥管理、网络安全资源管理、漏洞检测等内容;安全管理层主要包括网络安全系统综合管理;响应机制层主要包括安全评估与分析、风险管理、备份与恢复等内容。把保护机制、基础要素、响应机制三个层次紧密联系起来, 形成一个以网络安全管理为中心, 改变各部分的孤立状态, 实现系统内部的进行有机的连接, 孤立分散的状态自动降低了网络的安全性能, 一旦某个系统遭到破坏, 可能导致网络的瘫痪。系统之间相互联系可以使信息共享, 电脑对反馈的信息及时做出反应, 整合系统内部的功能, 阻止不良信息或病毒的入侵, 网络的安全性得到保证。

2 基于信息安全控制的网络技术

网络的信息安全系统是不断变化的, 因为信息的威胁来自两个方面, 内部和外部, 内部的可以及时控制, 外部的危害会带来更加严重的后果。以信息系统的特点为依据进行网络的安全控制, 必须确保各个系统内部的各个要素具有很高的保护标准。一般的安全网络模块有负责通信的相互认证、密钥协商的认证模块和负责用户控制, 动态反馈的控制模块, 这些模块都要有完备性和隔离性。完备性能够使对信息的全部操作都必须经过安全模块的检测, 只有符合标准的才能通过。隔离性是把用户与安全控制模块分开, 这样可以防止模块被非法修改, 也能及时监测到安全模块的不合法操作, 迅速终止非法操作。

网络面对的用户是各种各样的, 不同的用户有不同的要求, 为了达到每一个用户的满意, 必须将各个方面的信息进行快速准确的整合, 系统之间的通讯配置, 要具有高度的精确性。信息在结点之间流动时候产生泄漏或破坏, 因此, 必须有一个统一的控制措施对访问进行控制。以信息安全控制为基础的网络技术实现的是一个繁杂的多样化的有机联系, 保障的是整个系统所用用户的安全, 系统内部各个点的信息都要建立安全的连结, 改变仅一个用户和一个服务器联系的传统安全模式。对用户的身份进行实时检验, 将检测的信息及时反馈给安全控制管理, 这样做的消除了网络内部的安全隐患, 提高了网络内部的安全性能。使这个问题得到了解决。

3 监测漏洞技术的网络安全评估系统

下面描述的模型是基于C--S为基础的一种互动模型。

模型在工作过程中, 通过漏洞驱动的反馈机制, 实现对整个系统的管理。

1) 程序开始。将客户端安装到主机上, 系统内部的中央管控对客户端进行扫描, 将扫描获得的信息搜集整合到一个数据库, 在数据库内部完成信息的初始化。

2) 调度插件。插件的调度根据扫描的不同阶段, 采取不同的办法。插件调度系数高的先调用, 插件的调度系数, 由插件的初始风险系数和扫描漏洞的预期完成时间所决定, 在扫描过程中, 根据特定时刻检测到的漏洞信息, 分析系统的安全状况, 针对安全度的高低来不断调整插件。

中央控管调度中心依照漏洞库对客户端进行扫描, 发现新漏洞后初步修补漏洞, 实时监控客户端的扫描和补丁, 更新日志通过扫描监控模块管理客户端的补丁更新模块, 自动到补丁库更新最新的补丁, 同时提示扫描控制中心进行漏洞补丁库更新。

3) 客户端对发现的系统漏洞进行及时的处理, 如果存在系统的漏洞, 客户端要根据检测到的漏洞判断系统有多大风险, 将系统所处的风险状态快速发给中央控管调度中心, 控管调度中心具有漏洞驱动的反馈机制, 没有反馈信息, 就说明当前的网络系统处在一个安全的状态。

4) 网络安全的评估报告是系统改进的依据, 对完善系统具有重要的作用。插件对系统的风险进行量化的计算, 客户端依据量化计算的结果, 把与漏洞相关的信息抽取出来, 根据这些信息制作网络安全风险报告。网络的管理者根据提供的风险报告, 采取一定的手段提高系统的安全等级。

4 结束语

知识经济时代, 信息在给我们带来巨大便利的同时, 也存在着安全的隐患。随着互网络的普及, 网络的安全问题是当今信息时代的面临的一个严峻问题, 提高网络的安全状态, 关系到信息的安全性, 关系到网络的健康发展, 关系到网络时代每个人的切身利益。所以, 必须引起我们的高度重视。在原有技术的基础上不断进行创新, 促进网络安全技术的不断完善, 实现在网络的安全控制广泛应用, 是我们面临的一个问题。

参考文献

[1]胡健.以信息安全控制原理为基础的安全网络技术[J].才智, 2011, 5 (6) :58.

[2]张恒山, 管会生.基于安全问题描述的网络安全模型[J].通信技术, 2009, 42 (3) :177-182.

安全防护的网络工程 第10篇

1 当前信息安全系统的局限性

1.1 计算机操作系统安全性分析

国家计算机信息系统安全保护条例要求,信息安全等级要实现五个安全层面(即物理层、网络层、系统层、应用层和管理层)的整体防护。其中系统层面所要求的安全操作系统是全部安全策略中的重要一环,也是国内外安全专家提倡的建立可信计算机环境的核心。操作系统的安全是网络系统信息安全的基础。所有的信息化应用和安全措施都依赖操作系统提供底层支持。操作系统的漏洞或配置不当有可能导致整个安全系统的崩溃。各种操作系统之上的应用要想获得运行的高可靠性和信息的完整性、机密性、可用性和可控性,必须依赖于操作系统提供的系统软件基础,任何脱离操作系统的应用软件的安全性都是不可能的。

目前,我国计算机信息系统中的主流操作系统基本采用国际主流C级操作系统,即商用操作系统,其安全性远远不够,访问控制粒度粗、超级用户的存在以及不断被发现的安全漏洞,是操作系统存在的几个致命性问题。一般来讲,包括病毒在内的各种网络安全问题的根源和症结,主要是由于商用操作系统的脆弱性。当今的信息系统产生安全问题的基本原因是操作系统的结构和机制不安全。这样就导致:资源配置可以被篡改、恶意程序被植入执行、利用缓冲区(栈)溢出攻击非法接管系统管理员权限等安全事故。病毒在世界范围内传播泛滥,黑客利用各种漏洞攻击入侵,非授权者任意窃取信息资源,使得安全防护形成了防火墙、防病毒、入侵检测和漏洞检测这老几样防不胜防的被动局面。

1.2 当前信息安全系统的局限性

1.2.1 重网络安全轻信息安全

当前信息安全系统的基础防护建设大量采用防火墙、IDS等安全设备,主要的防御体系都是构建在OSI模型的网络层(IP层),优点是与应用和用户终端无关,但在信息源头,主机及相关数据上大多都未采用以密码技术为核心的网络与信息信任安全支撑体系的安全措施。

1.2.2 重外网安全轻内网安全

在当前电子政务、电子商务安全系统建设中,当用户网络存在与外部网络的接口时,大量的安全投资都放在了外网的封堵上,防火墙、IDS、线路加密机的使用,在内网与外部网络间构建了强大的屏障,而信息安全事件的大多数为内部攻击或内外勾结,目前安全系统构建的单边重视形式造成了安全系统构建的严重不对等和安全防御效果的不佳。

1.2.3 重被动防御轻主动防御

现有的防御体系,由于采用安全产品的设计出发点,更多是考虑当攻击来临时如何应对,如何做事后的审计、响应,效果是防御的手段越来越复杂,防御系统满足实时性的难度越来越大,整个防御系统的设计没有更多考虑攻击发起点的安全,没有从攻击的源头和信息共享源进行有效设计,结果是防御的效果并未随防御系统的越来越庞大而显著增强,其关键在于没有采用有主动、可控的密码技术。实践证明,密码技术不是万能的,但离开密码技术是万万不能的。

1.2.4 安全与应用结合薄弱

安全系统的构建,最终目的是要保障关键应用的安全,由于应用安全系统的构建需要与应用系统结合,各种应用系统的不同,客观上造成应用安全系统构建较为复杂,现有安全系统大多采用与应用无关的网络安全系统,而在应用安全上考虑较少,近年来应用安全支撑平台(CA)的建设非常热门,但CA建成后的PKI应用却不太成功,事实上仍然处于安全与应用较为脱节的阶段。

1.2.5 安全产品种类少,难于满足发展需求

安全系统的构建离不开成熟安全产品的采用,现有安全产品提供厂家不少,但产品种类较为单一,防火墙、IDS等传统安全产品的提供商较多,而满足内网安全的真正信息安全产品非常少,客观上也影响了用户安全系统构建的侧重,难以真正解决各种复杂的安全需求。

2 构建网络信息安全防护体系的主要安全目标

2.1 网络信息安全技术的目标

由于互联网的开放性、连通性和自由性,用户在享受各类共有信息资源的同时,也存在着自己的秘密信息可能被侵犯或被恶意破坏的危险。信息安全的目标就是保护有可能被侵犯或破坏的机密信息不被外界非法操作者的控制。具体要达到:保密性、完整性、可用性、可控性等目标。

2.2 网络信息安全防护体系的主要安全目标

网络信息安全防护体系应从终端源头、业务应用系统、服务器,实现对用户违规操作的有效防范。通过以密码技术为支持、安全操作系统为核心,建立局域网内部的信任体系,对局域网内部的操作者进行身份认证和访问控制,对计算机终端和服务器进行重点保护,并实现安全与应用业务的有机结合,从而达到“主动”防御的目的。

3 构建网络信息安全防护体系的思路及方法

3.1 基于操作系统级的安全增强

建立可信计算机环境是安全建设的重要目标,作为可信计算机环境的核心,安全操作系统可提供全方位、高强度的安全性。

强制与自主访问控制:内核级的高强度访问控制可使关键数据源和应用程序免受黑客和病毒牟攻击;可确保用户工作空间的独立性和可用性;

确保操作系统提供服务的完整性;

与密码技术的结合,实现更高强度安全:自动实现数据存储、传输和处理的高强度密码保障。

3.2 应用的身份认证

身份认证是用户隔离的初级屏障,核心防护体系应采用基于密码技术的强认证,确保非授权用户不能对单机和所有应用服务器进行访问,并在此基础上,与基于特定应用程序的身份认证进行结合,变被动为主动防御。

3.2.1 策略管理

在PKI系统中,制定并实现科学的安全策略管理是非常重要的。这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。

3.2.2 密钥备份和恢复

为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全自主、可控的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

3.2.3 证书管理与撤消系统

证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。

3.3 加密机制

衡量一个加密技术的可靠性,主要取决于解密过程的难度,而这取决于密钥的长度和算法。

3.3.1 对称密钥加密体制

对称密钥加密技术使用相同的密钥对数据进行加密和解密,发送者和接收者用相同的密钥。

3.3.2 非对称密钥加密体制

非对称密钥加密系统,又称公钥和私钥系统。其特点是加密和解密使用不同的密钥。非对称加密系统的关键是寻找对应的公钥和私钥,并运用密码技术使得加密过程成为一个不可逆过程,即用公钥加密的信息只能用与该公钥配对的私钥才能解密;反之亦然。

3.4 访问控制策略

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用。下面我们分述几种常见的访问控制策略。

3.4.1 入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,以及用户入网时间和入网地点。对用户名和口令进行验证是防止非法访问的首道防线。

3.4.2 网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。

3.4.3 目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。这样可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。

3.4.4 基于数据的访问控制

在身份认证基础上的访问控制,应是基于最小数据单元、文件的细粒度访问控制,并与用户角色相关联,核心防护体系采用RBAC(基于角色的访问控制技术)的授权访问控制技术实现与角色相关联的高强度访问控制。

3.4.5 安全审计和外设控制

安全审计系统主要是针对个人计算机及关键主机的操作行为进行审计,为事后的追踪提供依据,审计信息要尽量详尽,主要包括用户对应用程序、数据、文件和外设的各种操作,同时对于外设的控制也是当前防止信息泄露的重要需求,核心防护体系设计的审计和外设控制重点地针对个人计算机,同时也与成熟的主机审计与控制系统配合,实现整体的审计与控制。

3.5 防火墙技术

防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间的任何活动,保证了内部网络的安全;在物理实现上,防火墙是位于网络特殊位置的以组硬件设备-路由器、计算机或其他特制的硬件设备。防火墙可以是独立的系统,也可以在一个进行网络互连的路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构。

3.6 VPN技术

VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性,利用隧道、加密等VPN特性可以保证信息在整个Internet VPN上安全传输。利用VPN技术可以组建安全的Exrranet。既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络安全。

3.7 多层次多级别的防病毒系统

防病毒产品可以自动进行文件更新,使管理和服务作业合理化,并可用来从控制中心管理企业范围的反病毒安全机制,优化系统性能、解决及预防问题、保护企业免受病毒的攻击和危害。并对采用http、ftp、smtp协议进入内部网络的文件进行病毒扫描和恶意代码过滤,从而实现对整个网络的病毒防范。

3.8 入侵检测

入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

3.9 操作系统内核加固体系

目前一个新漏洞的发布往往伴随着新的病毒以及攻击手段的出现。而传统的防毒、漏洞扫描、入侵检测等基于知识库或者特征库识别的防范技术面对这种新生的甚至未知的攻击手段往往无能为力。信息安全的根本解决,需要通过建立安全操作系统,构建动态、完整的安全体系。对原有操作系统进行内核安全加固,是当前必须的增强重要服务器和计算机终端安全性的办法。操作系统内核加固基于主机和终端的系统内核级安全加固防护,通过采用强制访问控制、强认证(身份鉴别)和分权管理的安全策略,作用范围从系统内核层一直延伸到应用层,从而对操作系统内核实施保护,对网络中的不安全因素实现“有效控制”,构造出一个具有“安全内核”的操作系统。从根本上阻止针对操作系统关键资源的破坏,有效地遏制传统安全防护技术防已知难防未知造成的安全威胁。这样既可以有效覆盖其它安全技术产品的防护盲区,又可以弥补防护上的不足。

4 结论

安全防护的网络工程 第11篇

关键词 铁路信号；微机监测系统；网络安全

中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2012)012-0120-01

随着网络技术的发展，很多行业领域都已经采用了微机技术，不但弥补了传统的技术的落后现状，同样也促进了相关行业的迅速发展。我国的铁路信号系统同样采用了微机系统进行管理。但是随之而来的病毒入侵等网络不安全因素，对铁路信号的微机管理系统所造成的潜在威胁同样非常的大。本文就此问题进一步论述，以此对我国现阶段铁路信号微机系统的安全等问题进一步明确，促进我国铁路信号微机系统的发展。

1 微机监测系统网络安全防护现状

目前的微机监测系统一般都是三层次的网络结构，既由车站、领工区（车间）、电务段三级构成的计算机网络，电务段和领工区的管理人员可以通过微机监测网直接看到所辖各站信号设备和战场运作状况。目前网络遭受病毒侵袭的主要途径有：生产已经网络化，网络上任何一点感染病毒后，如不及时处理，容易全网蔓延；随着移动存储设备越来越广泛的使用，病毒通过移动设备感染的机率大大增加。一机多用，如某台终端机既用于调看生产监控，又兼作办公机；其他遭受恶意攻击等非正常感染病毒。

现阶段微机监测系统采取的网络安全防护措施包括以下几个方面。

1）要求把站机、终端机上的I/0接口，如光驱、欤驱、USB插口等用标签加封，并在主板BIOS里修改相应项屏蔽设备端口，杜绝在站机、终端机上进行与业务无关的作业。

2）微机检测安全服务器，站机、终端机，安装有MCAFEE网络版防毒软件或瑞星单机版杀毒软件，但没有建立专用的防病毒服务器，病毒库的更新不及时，单机版的软件只有维护人员到站上才能更新。

3）清理非法接入局域网的计算机，查清有无一机多用甚至多网的可能，并对非法接人的计算机进行屏蔽。

2 现有系统存在的安全问题及改进的主要参考原则

设计新的网络安全防护系统，应确保运行数据的完整性、可用性、可控性、可审查性。安全系统的改进可参考以下几个原则。

1）体系化设计原则。通过分析网络系统的层次关系．提出科学的安全体系和安全构架，从中分析出存在的各种安全风险，充分利用現有投资，并合理运用当今主流的安全防护技术和手段，最大限度地解决网络中可能存在的安全问题。

2）全局性、均衡性、综合性设计原则。从网络整体建设角度出发，提供一个具有相当高度，可扩展性强的安全防护解决方案，应均衡考虑各种安全措施的效果，提供具有最优性价比的网络安全防护解决方案。

3）可行性、可靠性、可审查性原则。可行性是设计网络安全防护方案的根本，它将直接影响到网络通信平台的畅通，可靠性是安全系统和网络通信平台正常运行的保证，可审查性是对出现的安全问题提供依据与手段。

4）分步实施原则。分级管理，分步实施。

3 系统改进可采取的的主要措施

维护管理方面我们可以做好以下几点改进。

1）微机监测增设防病毒服务器，定期升级服务器病毒库，将病毒入侵机率降至最低。安装防火墙，对连接网络中的计算机进行统一管理，确保网络安全。

2）科学处理补丁和病毒之间的矛盾。安装补丁时，应经过慎重的论证测试，可行在开发系统上进行测试，确保安全的前提下，再进行补丁安装，因为有些补丁可能与现行的操作系统发生冲突，进而影响整个系统的稳定性。

3）在生产网上组建VPN，创建一个安全的私有链接。

同时，为保证系统的安全管理 ，避免人为的安全威胁，应根据运行工作的重要程度划分系统的安全等级，根据确定的安全等级确定该系统的管理范围和安全措施。对机房实行安全分区控制，根据工作人员权限限定其工作区域。机房的出入管理可以采取先进的证件识别或安装自动识别登记系统，采用磁卡，身份证等手段对工作人员进行识别、登记、管理。根据职责分离和多人负责的原则，确定工作系统人员的操作范围和管理，制定严格的操作规程。针对工作调动或离职人员要及时调整相应授权。

4 可采用的网络安全新技术

建立完善的微机监测系统网络安全防护系统，需要现有网络安全防护系统的基础上，充分考虑防火墙、入侵检测／防护、漏洞扫描、防病毒系统等安全机制。由于网络技术的不断飞速发展，传统的防护技术已经不能适应复杂多变的新型网络环境，必须采用安全有效的网络安全新技术才能防患于未然，提高整个微机监测网络的安全性。可采用的新型网络安全技术包括以下几种。

1）链路负载均衡技术。链路负载均衡技术是建立在多链路网络结构上的一种网络流量管理技术。它针对不同链路的网络流量，通信质量以及访问路径的长短等诸多因素，对访问产生的径路流量所使用的链路进行调度和选择。可最大限度的扩展和利用链路的带宽，当某一链路发生故障中断时，可以自动将其访问流量分配给其它尚在工作的链路，避免IPS链路上的单点故障。

2）IPS入侵防御系统。网络入侵防御系统作为一种在线部署的产品，提供主动的，实时的防护，其设计目的旨在准确检测网络异常流量，自动应对各类攻击性的流量，不将攻击流量放进内部网络。

3）上网行为管理系统。上网行为管理系统能够提供全面的互联网控制管理，并能实现基于用户和各种网络协议的带宽控制管理。实时监控整个网络使用情况。

4）网络带宽管理系统。对整个网络状况进行细致管理，提高网络使用效率，实现对关键人员使用网络的保障，对关键应用性能的保护，对非关键应用性能的控制。可根据业务需求和应用自身需求进行带宽分配。

5）防毒墙。传统的计算机病毒防范是在需要保护的计算机内部建立反病毒系统，随着网络病毒的日益严重和各种网络威胁的侵害，需要将病毒在通过服务器后企业内部网关之前予以过滤，防毒墙就满足了这一需求。防毒墙是集成了强大的网络杀毒机制，网络层状态包过滤，敏感信息的加密传输，和详尽灵活的日志审计等多种安全技术于一身的硬件平台。在毁灭性病毒和蠕虫病毒进入网络前进行全面扫描，适用于各种复杂的网络拓扑环境。

5 总结

通过本文的分析，可以看出，我国铁路信号微机监测系统的应用得到了初步的效果，但是随着我国铁路系统的继续发展，网络安全是我们不得不考虑的问题，而且随着网络安全问题的越来越多，对我国铁路信号微机监测系统的安全性要求就越高，因此，在未来的发展过程中，我们需要进一步提升铁路信号微机监测系统的安全等级，只有这样才能促进我国铁路信号系统的安全，提升我国铁路信号系统的继续发展。

参考文献

[1]刘琦.铁路信号安全维护及监控系统设计思路及应用[J].安防科技,2007,03.

[2]崔百玲.铁路通信信号一体化技术探索[J].黑龙江科技信息,2011,27.

[3]王亚东.关于微机监测系统网络防护的探讨[J].科技咨询,2007,26.

安全防护的网络工程 第12篇

网络安全从其本质来讲就是网络上信息安全,它涉及的领域相当广泛,这是因为目前的公用通信网络中存在着各式各样的安全漏洞和威胁。广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性和可控性的相关技术和理论,都是网络安全的研究领域。

网络安全是指网络系统的硬件,软件及数据受到保护,不遭受偶然或恶意的破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。且在不同环境和应用中又有不同的解释。

(1)运行系统安全:即保证信息处理和传输系统的安全,包括计算机系统机房环境和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全运行、计算机操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防御等。

(2)网络上系统信息的安全:包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。

(3)网络上信息传输的安全:即信息传播后果的安全,包括信息过滤、不良信息过滤等。

(4)网络上信息内容的安全:即我们讨论的狭义的“信息安全”;侧重于保护信息的机密性、真实性和完整性。本质上是保护用户的利益和隐私。

1 网络系统的脆弱性

计算机网络本身存在一些固有的弱点(脆弱性),非授权用户利用这些脆弱性可对网络系统进行非法访问,这种非法访问会使系统内数据的完整性受到威胁,也可能使信息遭到破坏而不能继续使用,更为严重的是有价值的信息被窃取而不留任何痕迹。

网络系统的脆弱性主要表现为以下几方面:

1.1 操作系统的脆弱性

网络操作系统体系结构本身就是不安全的,具体表现为:

(1)动态联接。为了系统集成和系统扩充的需要,操作系统采用动态联接结构,系统的服务和I/O操作都可以补丁方式进行升级和动态联接。这种方式虽然为厂商和用户提供了方便,但同时也为黑客提供了入侵的方便(漏洞),这种动态联接也是计算机病毒产生的温床。

(2)创建进程。操作系统可以创建进程,而且这些进程可在远程节点上被创建与激活,更加严重的是被创建的进程又可以继续创建其他进程。这样,若黑客在远程将“间谍”程序以补丁方式附在合法用户,特别是超级用户上,就能摆脱系统进程与作业监视程序的检测。

(3)空口令和RPC。操作系统为维护方便而预留的无口令入口和提供的远程过程调用服务都是黑客进入系统的通道。

(4)超级用户。操作系统的另一个安全漏洞就是存在超级用户,如果入侵者得到了超级用户口令,整个系统将完全受控于入侵者。

1.2 计算机系统本身的脆弱性

计算机系统的硬件和软件故障可影响系统的正常运行,严重时系统会停止工作。系统的硬件故障通常有电源故障、芯片主板故障、驱动器故障等;系统的软件故障通常有操作系统故障、应用软件故障和驱动程序故障等。

1.3 电磁泄漏

计算机网络中的网络端口、传输线路和各种处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射,从而造成有用信息甚至机密信息泄漏。

1.4 数据的可访问性

进入系统的用户可方便地复制系统数据而不留任何痕迹;网络用户在一定的条件下,可以访问系统中的所有数据,并可将其复制、删除或破坏掉。

1.5 通信系统和通信协议的弱点

网络系统的通信线路面对各种威胁显得非常脆弱,非法用户可对线路进行物理破坏、搭线窃听、通过未保护的外部线路访问系统内部信息等。通信协议TCP/IP及FTP、E-mail、NFS、WWW等应用协议都存在安全漏洞,如FTP的匿名服务浪费系统资源;E-mail中潜伏着电子炸弹、病毒等威胁互联网安全;WWW中使用的通用网关接口(CGI)程序、Java Applet程序和SSI等都可能成为黑客的工具;黑客可采用Sock、TCP预测或远程访问直接扫描等攻击防火墙。

1.6 数据库系统的脆弱性

由于数据库管理系统对数据库的管理是建立在分级管理的概念上,因此,DBMS的安全必须与操作系统的安全配套,这无疑是一个先天的不足之处。黑客通过探访工具可强行登录或越权使用数据库数据,可能会带来巨大损失;数据加密往往与DBMS的功能发生冲突或影响数据库的运行效率。由于服务器/浏览器(B/S)结构中的应用程序直接对数据库进行操作,所以,使用B/S结构的网络应用程序的某些缺陷可能威胁数据库的安全。国际通用的数据库如Oracle、sql server、mysql、db2存在大量的安全漏洞,以Oracle为例,仅CVE公布的数据库漏洞就有2000多个,同时我们在使用数据库的时候,存在补丁未升级、权限提升、缓冲区溢出等问题,数据库安全也由于这些存在的漏洞让安全部门越来越重视。

1.7 网络存储介质的脆弱

各种存储器中存储大量的信息,这些存储介质很容易被盗窃或损坏,造成信息的丢失;存储器中的信息也很容易被复制而不留痕迹。

此外,网络系统的脆弱性还表现为保密的困难性、介质的剩磁效应和信息的聚生性等。

2 计算机网络安全防护措施及策略

2.1 信息加密

加密就是通过密码算术对数据进行转化,使之成为没有正确密钥任何人都无法读懂的报文。而这些以无法读懂的形式出现的数据一般被称为密文。为了读懂报文,密文必须重新转变为它的最初形式—明文。而含有用来以数学方式转换报文的双重密码就是密钥。在这种情况下即使一则信息被截获并阅读,这则信息也是毫无利用价值的。而实现这种转化的算法标准,据不完全统计,到现在为止已经有近200多种。在网络中运用的加密方法有节点加密、链路加密、端点加密三种。用户可自由选择任一种方式。

2.2 配置防火墙

在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。大型的企业通常需要购买昂贵的专业防火墙对机密文件进行保护。

2.3 备份数据

保存在计算机中的数据会因为意外遭到破坏和修改。采用备份数据的方法可以将计算机中的数据保存至一个原点存在本机的硬盘中或者其他数据媒介中。在遭到破坏的时候快速地恢复原点,数据管理人员必须掌握各种备份数据的方法,并且勤于进行数据备份以便使整个系统在遭到破坏的时候能够用最短的时间重新运用。

2.4 漏洞扫描

漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。

漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。

2.5 提高安全防范意识和责任观念

(1)加强法律监管势在必行。目前我国互联网的相关法律法规还比较欠缺,相关部门应根据网络体系结构以及网络安全的特点,尽快建立比较完善的网络应急体系,为破解网络安全难题提供法律方面的依据。

(2)网络安全架构的建设刻不容缓。构建一个比较完善的网络安全架构,不仅要从技术方面保障网络系统的安全性,还要加强对网络安全问题的监管,为用户创造一个良好的网络环境,尽可能预防网络安全事故的发生。

(3)网民个人安全意识亟待提高。现实生活中,很多网络完全事故的发生,都是因为网民自身安全意识过低,使得不法分子钻了空子。因此,广大网民一定要提高自己的网络安全意识,丰富自己的网络安全知识,以不变应万变,避免掉入不法分子处心积虑设置的网络“陷阱”中。

摘要：随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互连网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高,但在连接信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。本文首先分析了计算机网络安全的含义,阐述了计算机网络系统的脆弱性,并在此基础上探讨了计算机网络安全的防护措施。

关键词：计算机网络,网络安全,防范措施

参考文献

[1]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社.

[2]陈健伟,张辉.计算机网络与信息安全[M].北京:希望电子出版社.

[3][美]斯托林斯.密码编码学与网络安全——原理与实践(第三版)[M].电子工业出版社.

[4]卡哈特.密码学与网络安全[M].清华大学出版社.