網絡安全主動防護范文

導語：如何才能寫好一篇網絡安全主動防護，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：主動防護；網絡安全；網絡欺騙；入侵防御

【中圖分類號】 TP306 【文獻標識碼】 A 【文章編號】1671-8437（2012）02-0013-02

一、引言

網絡信息安全保障是一項復雜的系統工程，是安全策略、多種技術、管理方法和人們安全素質的綜合。現代的網絡安全問題處于動態變化之中，要保障網絡系統的安全，必須建立具有相應防御策略的網絡安全防御體系。在綜合型的網絡安全防御模型中，多方位、多角度的縱深防御思想得到了充分體現，而主動防護系統在其中扮演了重要角色。

二、傳統信息安全防護系統的弱點

傳統信息安全防護方法，包括訪問控制、防火墻、入侵檢測系統（IDS）、虛擬專用網絡（VPN）等，都是通過靜態的規則阻擋攻擊者，防御系統只能被動地接受攻擊者的攻擊，攻擊者不會受到任何損失；而攻擊者卻完全主動地選擇目標，通過系統信息收集和弱點挖掘，針對靜態目標系統中最薄弱的環節強行攻擊。這種情況下，傳統防御系統恰處于“人為刀俎，我為魚肉”的尷尬境地，其脆弱性一覽無遺，導致近年來信息安全形勢非但沒有改善，反而日益惡化。

三、主動式網絡安全防護系統

主動防護系統是一種綜合性的網絡安全防護體系，借鑒ISS的自適應網絡安全模型P2DR和CISCO的網絡動態安全輪模型，在傳統網路安全防御技術的基礎上建立。該系統應能實現：通過掃描網絡漏洞，主動對網絡可能遭受的威脅進行預先評估；用硬件NIDS主動、實時、高效地檢測流經網絡的數據包并及時響應；借助密罐，主動設置誘騙以保護網絡上的機密信息。與傳統防護系統相比，網絡誘騙和主動式的入侵防御是主動防護系統中最具特點的兩個重要環節。

四、網絡誘騙系統

網絡誘騙技術就是在網絡中設計一個嚴格控制的欺騙環境，誘騙可疑入侵者重定向到該環境中，保護實際運行的系統，同時收集入侵信息，借以觀察入侵者的行為，記錄其活動，用以分析入侵者的水平、目的、所用工具、入侵手段等，待確定入侵者身份后，對其進行分別處理。同時在對可疑者進行分析的過程中，若網絡服務質量急劇下降，則可通過特殊機制保持重要應用的網絡服務質量。

1.網絡誘騙系統的體系結構

網絡誘騙系統由決策、誘導、欺騙、分析等模塊組成，如圖1所示。決策模塊實時地監聽各種事件，包括入侵檢測系統的報警信號，普通網絡訪問事件等。決策模塊將監聽到的事件與欺騙、誘導信息庫中的記錄進行比較，若目的地址在被保護的范圍內，則根據欺騙、誘導策略決定如何進行誘導或欺騙。誘導模塊將攻擊者的連接轉向蜜罐系統，欺騙模塊則由欺騙主機或欺騙網絡生成虛假信息發送給攻擊者，使其得不到正確的網絡資料。系統所作的欺騙和誘導事件都記錄到日志中，由分析模塊進行分析，調整欺騙和誘導策略。

圖1 網絡誘騙系統的體系結構示意圖

2.網絡誘騙系統

網絡欺騙系統有多種實現方式，目前得到實際應用的有欺騙主機和欺騙網絡。欺騙主機有一個很好聽的專用名稱“蜜罐”（Honeypot），欺騙網絡則被稱為“陷阱”（Honeynet）。

（1）蜜罐系統

所謂蜜罐，主要是指建立一個虛擬的環境，上面裝有模擬或真實的操作系統和應用程序，并故意留有各種弱點或漏洞，引誘黑客進行攻擊，從而監視、學習并分析其攻擊行為，進而提高自己系統或網絡的安全系數。蜜罐工作于一種理想狀態，即所有到蜜罐的通信都是允許的。蜜罐一般就是一臺主機，通過在其中安裝操作系統和相關配置，或運行一些仿真軟件對硬件進行模擬建立多個虛擬操作系統，甚至模擬出一個小型網絡，來實現其功能。

（2）陷阱網絡

蜜罐物理上是一臺單獨的機器，可能會運行多個虛擬操作系統，但由于數據包是直接進入網絡的，它不能控制外發的連接。因此，為了限制外發的數據包就必須使用防火墻，形成陷阱網絡。陷阱網絡有多個蜜罐主機、路由器、防火墻、IDS、審計系統等組成，一般需要實現蜜罐系統、數據控制系統、數據捕獲系統、數據記錄、數據分析、數據管理等功能。

五、主動式入侵防御系統

網絡主動防護系統的特點不僅包括通過網絡欺騙轉移入侵者的攻擊目標，更重要的是實現入侵追蹤，以及在發現入侵后采取相應措施保護系統、分析入侵行為，甚至實施反擊。而在網絡欺騙系統中，入侵檢測也是不可缺少的一個重要部分，它監聽到的事件是欺騙決策模塊的判斷依據，它捕獲的數據是入侵者留下的證據。下面將從入侵檢測系統的不足之處談起，對主動式網絡防護系統中的入侵防御系統做一番窺視。

1.入侵檢測系統（IDS）簡析

入侵檢測（ Intrusion Detection） ，是指從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，發現網絡中是否有違反安全策略的行為和遭到攻擊的跡象。入侵檢測概念的提出依賴于兩個假設： ①用戶和程序的活動是可以觀察的。例如：系統審計機制。②正?；顒雍腿肭只顒佑薪厝徊煌男袨?。不正常的活動被標志為入侵。

2.入侵防御系統（IPS）

由于入侵檢測系統存在誤報率高，不能采取積極有效的主動防御措施等缺點，人們提出入侵防御系統（ Intrusion Prevention System， IPS）的解決方案。IPS是一種主動防御的解決方案，它可以阻止由防火墻漏掉的或IDS只能檢測而不能處理的安全事件，減少因安全事件而受到的損失，增強系統和網絡的性能。

入侵防御系統目前還沒有一個統一完善的定義，有一種定義是：入侵防御系統（ IPS）為任何能夠檢測已知和未知攻擊，并且在沒有人為的干預下能夠自動阻止攻擊的硬件或軟件設備，是一個能夠對入侵進行檢測和響應的“主動防御”系統。

篇2

1.1部署入侵網絡檢測系統入侵網絡檢測系統是通過對計算機網絡或計算機系統的關鍵點信息進行收集與分析，從而發現是否有被攻擊或違反安全策略的跡象，協助系統管理員進行安全管理或對系統所收到的攻擊采取相應的對策。

1.2漏洞掃描系統的建立對服務器、工作站以及交換機等關鍵網絡設備的檢查其必須要采用當前最為先進的漏洞掃描系統，同時定期對上述關鍵網絡設備進行檢查，并對檢測的報告進行分析，從而為網絡的安全提供保障。

1.3培養網絡安全人才網絡安全人才的培養是一個很重要的問題。在我國，專門從事網絡安全問題的部門、單位比較少，技術人員十分缺乏，并且網絡人員以及網絡管理人員網絡安全意識比較淡薄，缺乏必備的安全知識。所以，我國急切需要培養大量的網絡安全人才，并提高他們的網絡安全意識和學習必備的安全知識。只有這樣，我國才能在網絡安全領域的研發、產業發展、人才培養等方面更快發展，縮小和國外的，是我國的網絡更加的安全，國家更加的安全。

1.4大力發展自主性網絡安全產業大力開發有自主知識產權的網絡安全產品可以有效提高網絡安全性能，是徹底擺脫進口設備的有效途徑，自己掌握關鍵技術是大力發展自主性網絡安全產業的關鍵。通過加大對網絡安全技術網絡安全技術研究開發與研究的投人，可以使網絡安全技術水平得到進一步的提高。

2網絡安全的發展趨勢

隨著我國當前網絡技術的飛速發展，原來的采用單點疊加方式的網絡防護手段已經不能抵御當前混合型的網絡威脅。因此，構建考慮局部安全、智能安全和全局安全的一個安全體系，以此為廣大的網絡用戶提供更為全方位和多層次的立體防護體系，是當前做好網絡安全建設的一個重要的理念，同時也是網絡安全未來發展趨勢。

2.1網絡安全技術的融合發展在網絡普及率不斷提高的情況下，網絡所面臨的威脅也日益加劇。傳統的以單一防護的方式已經成為過去。因此，只有通過技術的融合，建立更加智能化、集中化的管理體系，成為未來網絡安全的必然。未來網絡的規模會越來越龐大和復雜，網絡層的安全和暢通已經不能僅僅依靠傳統的網絡安全設備來保證，因此整體的安全解決方案開始融合以終端準入解決方案為代表的網絡管理軟件。終端準入解決方案為網絡安全提供了有效保障，幫助用戶實現了更加主動的安全防護，實現了更加高效、便捷地網絡管理目標，全面推動了網絡整體安全體系建設的進程。

2.2網絡主動防御的發展網絡主動防御的理念已經被提出來很多年了，但是和其他理論一樣，在其發展的時候遇到了很多阻礙。所謂的網絡主動防御，其實質就是通過對指定程序或者是線程方面的行為，并按照事先設定的規則，從而判斷該行為是否是屬于病毒或者是比較危險的程序，以此對其進行清除。通過主動防御可有效的提高系統整體的安全策略，并推進整個互聯網絡的智能化的建設。該產品在現階段的發展中還不夠成熟，但是未來隨著技術的進步，該技術會更為完善，從而成為未來互聯網的發展趨勢。

3結語

篇3

關鍵詞：安全性 防護 技術 計算機 網絡

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2013）10-0209-01

1 常見計算機網絡安全防護技術分析

現階段計算機網絡安全防護技術按照其應用功能不同，可分為密碼技術、入侵檢測技術、防火墻技術和陷阱網絡。密碼技術是基于密碼學的原理的密碼體制或一對數據變換，其中對稱密碼體制（序列密碼和分組密碼），將明文消息按字符逐位加密分組，逐組加密。而加密技術本身也存在不足，一是加密信息可破解，二是密碼泄露后，信息仍會被盜取。

防火墻技術是一種只允許符合安全策略的通信通過的防外不防內的網絡安全防護技術，使用過濾路由器保護網絡安全，具有過濾內部網絡用戶請求和數據包的功能，且工作時速度快、效率高，可提高網絡范圍內的反入侵技術成功率，有效隔離內部網絡和外部網絡。但防火墻技術還有一些缺點，不能徹底防止IP地址欺詐行為，且其正常數據包過濾路由器不能執行默寫安全策略，不利于反黑客攻擊；防火墻技術協議不完全適用于數據包過濾，也不支持應用層協議；不能實時更新以致于無法及時處理新安全威脅。

入侵檢測技術是一門通過搜集和分析信息，提供實時的入侵檢測，并采取相應手段抵御網絡內部攻擊的新型安全防范技術，主要功能是監測、統計、分析和跟蹤管理網絡用戶、計算機終端及其連接系統的異常行為模式，審計和檢查系統本身屬性安全性，檢查和評估系統和數據文件的完整性，記憶和識別分析已知的攻擊行為模式，可彌補防火墻技術上的不足。入侵檢測技術也有其局限性，如對于網絡外部的攻擊無法做到適時防御。

基于網絡的開放性而設計的隱藏在防火墻后的陷阱網絡系統主要包括能模擬常見漏洞或其它操作系統或“牢籠式”主機，誘騙入侵者進入受控環境，降低正常系統被攻擊的概率。陷阱網路主要用來學習了解攻擊者的思路、工具和目的，并為特定組織提供網絡安全風險和脆弱性經驗，發展事件響應能力。事實上陷阱網絡，對于一些高端用戶或黑客而言，容易識別，可能行之無效。

2 安全防護技術對計算機網絡的影響

2.1 安全防護技術對計算機網絡的有利影響

首先是防火墻技術通過應用級網關、地址轉換、服務和數據包過濾等方式對流入或流出防火墻的信息進行檢查和報警提示，有效的防火墻技術不僅可以避免重新編號，還能緩解IP地址緊張問題。

其次隨著網絡病毒的急速增加，其辨認難度也在逐步增加，擴散速度也逐步加快，防病毒技術和病毒查殺軟件可將傳統的被動防御形式，轉化為主動防御模式，有效結合治理機制與技術手段逐步滲透到入口攔截、客戶定制、反黑殺毒及全面優化等多個方面，加強了計算機網絡相關防護水平和功能應用。

再次信息數據加密技術的發展，非對稱密鑰密碼技術對非特定信息和數據進行加密，不僅保證了數據安全性、完整性，還通過訪問控制、身份鑒別和版權保護等手段有效控制數據傳輸安全。

最后入侵的檢測技術不僅能免受網絡協議、加密或速率的影響，還能進行檢測特定用戶監視和特洛伊木馬，保證網絡系統安全。

2.2 安全防護技術對計算機網絡的抵制作用

網絡安全防護技術本身有著技術缺陷，如防火墻技術僅能預防和控制計算機內部網絡攻擊。而目前網絡工程安全問題層出不窮，仍亟待解決如黑客攻擊威脅、計算機病毒入侵、IP地址盜用、垃圾郵件泛濫和計算機系統風險等，這些網絡安全問題并非一項技術能解決，而網絡安全防護技術缺陷往往會助長這些問題的發展擴張趨勢。計算機病毒本身具有復制性、破壞性和傳染性，多是通過網絡途徑進行傳播，也隨著現有的防毒軟件所存在的缺陷，不斷地人為編造，變異發展，最后破壞計算機資源進，影響系統安全性。當然在計算機網絡工程管理機構的體制不健全，崗位分工不明確，對密碼及權限管理不足，也會使用戶自身安全防護意識薄弱，導致嚴重信息系統風險，威脅計算機網絡安全。

3 加強網絡工程中安全防護技術的策略

3.1 設置防火墻過濾信息

在局域網與外部網絡間架設網絡防火墻過濾信息是防治黑客攻擊最直接的辦法，也是加強網絡工程中安全防護技術的關鍵。在將局域網、外部網地址分割開后，流入、流出計算機的網絡通信、信息經防火墻的過濾掉威脅和攻擊，禁止特殊站點訪問和特定端口流出通信，封鎖特洛伊木馬，以增加內部網絡的安全性。

3.2 加強病毒的防護措施

首先要增強網民的病毒防護意識，熟悉常見的殺毒軟件（如360安全衛士）和防病毒卡的使用，緊密結合技術手段和管理機制，定期檢測與查殺計算病毒，還要做好備份措施，防止系統數據的破壞和丟失。

3.3 入侵檢測技術的植入

入侵檢測系統作為一種對計算機網絡資源及信息中隱藏或包含的惡意攻擊行為有效的識別，攔截和響應入侵的主動性較強的安全防護技術，可實時防護錯誤操作、內部或外部攻擊，并能夠從網絡安全的立體縱深、多層次防御的角度出發提供安全服務，有效的降低網絡的威脅和破壞。

3.4 拒絕垃圾郵件的收取

未經用戶許可批量強行發送至用戶郵箱的垃圾郵件已成為如今的計算機網絡安全的公害。拒絕垃圾郵件的收取的第一步是郵件地址的自我保護，控制郵箱地址使用率和安全使用率；或使用out-look Ex Press和Fax mail中的郵件管理來過濾、拒收垃圾文件。

總之，計算機網絡的安全運行得益于安全防護技術的綜合有效地應用，單一的安全防護技術是無法保證網絡安全的，所以為了保證計算機網絡安全正常地運行，網絡用戶或計算機終端用戶應充分考慮計算機整個系統的安全要求，有效地在計算機上設置安全防護軟件，結合預防措施做好日常維護。

4 結語

安全性防護技術是一把雙刃劍，只有充分了解其應用功能、使用缺陷，有效地綜合利用它們，才能有效促進計算機網絡的安全健康的運行和發展。

參考文獻

[1]劉釗.對計算機網絡信息安全及防護的相關研究[J].信息與電腦，2013（04）：76-76.

篇4

關鍵詞：計算機網絡；安全防護；計算機安全隱患

引言

隨著我國對于計算機網絡技術的廣泛應用，對于其應用的安全防護設計和實現也逐漸成為當前人們熱議的話題。這需要能夠系統地針對網絡安全技術進行相關探究，并針對當前計算機網絡技術的系統安全隱患，構建成熟的防御和管理體系，同時應用相關網絡安全知識對存在的安全隱患進行深入剖析，進而構建一套完善的網絡安全防御分解體系。

1計算機網絡安全防護設計概述

計算機網絡是為用戶提供所需信息資源服務的一種方式，而計算機網絡安全防護主要用于保護相關服務信息的完整性。當前的計算機網絡安全防護設計主要是為了更好地保證網絡信息的安全。為此，近些年的研究往往將計算機網絡安全防護技術的應用與計算機網絡的發展直接聯系在一起，相關的計算機網絡安全防護技術的研究也越來越成熟和完善。例如，無論是近些年提出的區塊鏈加密技術，還是剛剛頒布的密碼法，對于計算機網絡的安全防護都給予了高度重視。對計算機網絡安全的重視能夠強化人們的安全意識和計算機網絡信息版權意識，同時也有助于增強人們的法律意識，幫助人們更好地掌握計算機網絡技術，更好地享受計算機網絡帶來的便利。

2計算機網絡安全防護設計現狀

用戶的安全意識較差一直是我國計算機網絡安全存在的首要問題。由于很多計算機用戶缺乏信息安全意識，因此在日常操作中經常由于操作不當引發信息安全問題，如信息泄露、安全信息使用不當、使用環境不安全、使用方式不符合規定等。此外，由于近些年來我國的防護措施水平存在一定的問題，處理網絡漏洞時往往會由于技術原因導致監管力度不夠、處理不夠及時等，直接導致計算機網絡出現安全問題。為了更好地發展計算機網絡，必須正視存在的這些問題，將網絡安全放在關鍵位置上。

3計算機網絡安全防護的設計與實現

針對當前計算機網絡安全防護設計的應用現狀和存在的問題進行相關解析，本文提出了相關的防護設計與實現策略，以期能夠更好地實現相關的網絡安全防護設計應用，提高網絡技術自身的安全性[1-2]。

3.1增強用戶安全意識

用戶在使用計算機互聯網絡時存在基礎性應用不足的問題，需要相關的計算機用戶操作守則真正發揮作用，或者能夠開展對于用戶的針對性培訓，以便增強用戶的安全意識。此外，計算機網絡安全監管部門需要加強對用戶行為的引導，避免由于沒有正規引導導致的用戶安全信息問題，同時需要用戶能夠保證自身網絡使用環境的安全，避免在未知環境下進行計算機操作。

3.2加強網絡安全管理措施

針對當前計算機網絡安全問題較多的現狀，我國需要相關的計算機網絡安全管理人員能夠更好地對當前計算機網絡信息技術中存在的安全問題進行有效的安全管理。例如，制定并監督相關網絡技術安全規定的執行，網絡使用情況的優化和完善，通過強化員工自身的網絡應用安全管理意識來優化網絡安全。為了更好地優化網絡安全管理措施，需要相關的管理人員按照一定的規定執行更有效的監管行為。這對于整個監管部門來說具有重要的意義，需要管理人員能夠對網絡安全具有更深刻的了解。此外，需要深入規定相關的計算機網絡準入標準，避免接入不符合規定的計算機網絡，從而減小病毒等不安全因素對網絡安全的影響。

3.3重視計算機軟件開發人員的培養和教育

目前，我國還需要高度重視對軟件技術應用人員的培養和教育，應給予一定的政策和福利支撐，以便培養出更多優秀的計算機網絡安全防護人員，促進計算機網絡信息技術的快速發展與進步[3]。同時，管理部門和計算機網絡開發部門應根據不同的計算機理論，提供針對性的開發課程和安全維護課程，從而提升計算機軟件開發人員自身的專業素質和素養。

3.4制定內部監督制度

計算機網絡應用部門在監管過程中要做好預防工作，避免由于工作中問題責任不明確而出現不必要的推諉現象。這就要求相關的計算機網絡應用管理和維護部門制定完善的內部監督制度，盡量避免由于工作失誤造成計算機網絡技術產生漏洞。這種內部監督制度能夠在一定程度上優化對網絡應用的技術管理，從而更好地保障計算機網絡的系統安全，同時避免相關的計算機網絡隱患。此外，計算機網絡技術的內部監督制度能夠從內部避免計算機網絡的隱患，幫助計算機網絡完善安全保障體系，實現優化計算機網絡的目標。

3.5強化檔案計算機管理的加密處理

計算機加密技術的最大特點在于能夠主動防御不法分子入侵。加密技術是將網絡數據通過某些特定的算法轉換為相應的密文，只有使用相應的算法才能解析出數據信息，是近年來計算機網絡技術安全防護的重要措施。許多網絡黑客可以通過企業內部的計算機網絡入侵企業的數據庫，導致企業重要信息丟失或者泄漏。計算機網絡加密技術是加密技術在企業內部局域網中的一項重要應用，對計算機網絡進行加密可以保證企業內部數據的安全，也能夠防止不法分子通過計算機網絡進入企業內部，對于企業的健康穩定發展具有重要的作用。此外，相關的管理人員需要針對當前計算機網絡存在的漏洞及時進行修復，避免由于相關漏洞導致系統性的風險。

篇5

【關鍵詞】計算機網絡；安全；分層；防護體系

前言

現如今，人們對計算機的應用需求在生活水平不斷提高的基礎上不斷擴大，與此同時，網絡安全系數卻在逐漸降低，不同程度影響人們的用網安全，為此，采取有效措施予以防護，通過構建分層評價防護體系的方式加強管理，具有重要的探究意義。

1計算機網絡安全及分層防護體系

1.1網絡安全

所謂網絡安全，主要是針對計算機硬件和軟件來講的安全，其中，網絡安全以個人信息、資料傳輸、網絡管理、個人賬戶、網絡技術以及企業信息等為基礎。網絡安全與網絡技術和網絡管理息息相關，通過規范網絡環境、提升網絡安全技術以及強化、優化網絡管理是極為必要的[1]。

1.2分層防護體系

目前，網絡發展的同時，網絡攻擊形式也呈多樣性變化，傳統的網絡攻擊防御技術在一定程度上處于被動地位，不能針對網絡攻擊及時防御。所構建的計算機網路安全分層防護體系主要由安全評估、安全防護以及安全服務等三部分構成。其中第一部分包括系統漏洞掃描和網路管理評估等兩方面；第二部分包括網絡監控、病毒防御體系、數據保密以及網絡訪問控制等四方面；第三部分主要包括數據恢復、應急服務體系以及安全技術培訓等三方面。

2優化計算機網絡安全分層評價防護體系的措施

2.1創新應用思維，強化安全防護意識

由于計算機網絡用戶數量與日俱增，并且計算機設備的應用范圍在不斷擴大，因此，使用群體呈多樣性存在，用戶群體掌握的網絡技術和網絡意識也高低不同，掌握高水平網絡技術的用戶僅占少數，大部分用戶尚未樹立正確的網絡意識，用戶對計算機網路技術的掌握不夠熟練，這在一定程度上為網絡安全留下了安全隱患，會不同程度的產生網絡威脅。計算機網路分層評價體系應用后，該體系能夠在提升用戶安全用網意識的基礎上，優化網絡安全管理，提升網路技術。當用戶網絡安全意識提升后，又能促進該體系再次完善，從而發揮該體系在實際應用中的作用。計算機網絡應用的領域較廣，像金融行業、教育行業、農業、物流運輸行業、醫療行業以及軍事行業等，在不同行業中強化計算機的網絡安全性，構建健全的預警機制和防護體系，能夠為用戶營造良好的用網環境，促進網絡安全[2]。

2.2完善硬件設施，優化配備設置

除了上述強化網絡安全意識、創新用網思維之外，還應完善硬件設施、優化配備設置，以此為計算機網絡提供安全性保障。大部分用戶為了降低用網成本，再加上部分用戶缺乏安全用網意識，經常忽視網絡設備的安全性和完善性，與此同時，也不會對網絡安全全面檢測，進而影響網絡安全的穩定性。此時，用戶需要在網內外接口處對設備進行全面的安全性維護和系統性監控，同時，還應適當完善硬件設施，對多樣性配備進行優化，以此攔截非健康信息，做好網絡安全的防護工作，并且還應對已存的設備故障問題具體分析，全面檢測和維修，從而為計算機安全提供有力、可靠性保障。此外，計算機安全防護體系內的各個部門要不斷升級和更新，并且部門間要互相合作、相互影響，形成統一的維護、運營和監管模式，在維護計算機網絡安全中貢獻積極力量。

2.3加強重點防護，合理掌握訪問控制

針對上述對安全防護體系組成部分的介紹，應用該體系的過程中應抓住防護重點，并合理掌握訪問控制。在用戶和網絡訪問方面的控制中，應嚴格按照規定進行步驟式訪問，即正確填寫用戶身份、輸入用戶口令、檢驗驗證信息、賬戶檢測等環節，無論哪一環節出現問題，則用戶訪問行為會被迫停止，這時訪問權限的作用會被及時發揮。服務器安全控制，即通過服務器載體實現軟件的安全性下載和應用。網絡權限控制，即對非法行為進行及時、有效應對，同時，明確可被訪問的信息和操作行為。此外，還有屬性安全設置，在確保屬性安全性的前提下，用戶可被提供允許訪問的上文件資料[3]。

3結論

綜上所述，在網絡信息技術不斷發展的社會背景中，通過計算機網絡安全分層評估防護體系的構建，以此維護網絡安全、降低網絡信息風險，這不僅能夠促進計算機網絡有序運行，而且還能減少網絡威脅。同時，這有利于促進網絡工作效率不斷提升，網絡質量不斷優化，進而應用計算機網絡的相關行業也能順利發展，企業經濟效益會不斷提升，企業市場競爭實力不斷增強。

參考文獻

[1]吳永琢，孫授卿，劉汝元，等.企業計算機網絡安全與防護體系的構建研究[J].企業導報，2016，02：154+160.

[2]林新華.如何構建計算機網絡信息的安全和防護體系[J].電腦知識與技術，2015，20：29~30.

篇6

關鍵詞：網絡安全；計算機網絡技術；現狀；發展

一、當前計算機網絡安全的基本現狀分析

近些年，互聯網以迅猛的發展態勢席卷社會各行業，成為推動社會變革的主要力量。通過對計算機終端和網絡的借助，實現網絡的資源共享，這對于人們的交流和信息傳遞而言都是革命性的提升[1]。然而，隨著網絡的廣泛應用，網絡安全問題也日漸突出，主要表現在網絡病毒猖獗，信息丟失、泄漏嚴重和軟硬件運行可靠性不足等方面，對網絡的深度應用造成極為嚴重的阻礙。

二、當前計算機網絡安全問題的主要表現形式

2.1用戶安全意識匱乏。計算機網絡的服務群體為廣大的網絡用戶，用戶使用網絡過程中的安全防護意識對網絡安全防護的作用極大[2]。當前的許多用戶安全意識匱乏，在用網過程中存在許多違規行為，如瀏覽陌生網絡網頁，隨意下載、接受資料等，這成為許多網絡問題的產生根源。2.2軟件管控手段不規范。經過大量的數據調查表明，當前計算機網絡存在軟件自身運行條件不足的問題，影響到了網絡運行的安全性。具體來說，首先是在軟件的實踐開發過程中，開發者不注重軟件的質量監督，導致軟件自身存在缺陷；其次是信息核查環節的嚴重缺失，導致信息存在比對失誤。上述兩方面內容導致軟件應用過程中各類安全問題不斷出現，影響軟件的正常使用，對網絡安全產生極為不利的影響。2.3硬件應用存在缺陷。硬件是網絡實現的基礎，其硬件的應用缺陷導致網絡陷入癱瘓，造成信息的丟失或失竊。具體來說，主要是硬件維護和操控問題，由于維護不當，操控不合理導致網絡硬件的運行狀況發生異常，影響網絡硬件的功能發揮，導致數據傳輸受阻。

三、應對計算機網絡安全問題的相關舉措

3.1規范上網行為。在網絡系統操作過程中禁止對陌生網頁的瀏覽，接收、下載未知來源的文件等，以此來避免不規范操作行為影響到網絡環境的安全性。同時，用戶還應定期展開病毒掃描行為，及時發現計算機中存有的隱藏病毒，并對其展開行之有效的處理，營造一個良好的網絡運行空間。3.2硬件防火墻。防火墻是介于兩個網絡之間的設備，用來控制兩個網絡之間的通信。通過防火墻的應用可以對網絡訪問等進行審查，有效抵御來自外部網絡的攻擊和病毒傳播，起到極好的防護效果。在此基礎上，應用入侵檢測系統，即IDS，能夠實現對內部網絡的有效監測，及時發現內部的非法訪問，進而采取針對性的處理措施。相對硬件防火墻而言，IDS是基于主動防御技術的更高一級應用。3.3 訪問與控制。授權控制不同用戶對信息資源的訪問權限，即哪些用戶可訪問哪些資源以及可訪問的用戶各自具有的權限。通過這種授權訪問的形式能夠實現網絡信息的限制性管理，提高了信息的防護級別和安全性，是進行網絡信息資源保護的行之有效的手段。

四、我國網絡安全技術發展的趨勢

4.1網絡安全技術產業鏈生態化轉變。當前，網絡安全技術的發展較為零散，難以形成集約化發展，不利于技術的研發和應用，該種局面在未來將得到改善，企業之間的合作將逐步增強，戰略伙伴也將成為計算機產業鏈中無法取代的重要因素。4.2網絡安全技術優化向智能化、自動化方向發展。網絡安全技術是一個長期的過程優化、網絡發展的過程。隨著技術的發展，人工智能和專家系統技術等安全防護技術逐漸成熟，其防護優勢日漸體現。具體來說，通過智能決策支持系統的引入，能增強網絡安全防護的邏輯判斷能力，提高網絡服務的質量和操作的安全性。4.3向大容量網絡發展。據專家預測，每10個月，互聯網骨干鏈路的帶寬將會翻倍。有效地處理計算機數據處理能力與社會發展的市場需求成為了當前網絡安全技術發展的核心內容。鑒于此，網絡應該有一個高速數據包轉發和處理能力，強大的VPN網絡能力和完善的質量保證機制，這成為網絡開始向大容量發展的推動力量。

總體而言，網絡安全問題是計算機網絡的發展的伴生產物，難以實現根除，且將隨著網絡技術的發展而發生形式和內容上的轉變，具有極強的危害性。因此，必須根據安全問題的表現和特點進行網絡技術的發展和應用提升，從而取得理想的網絡安全防護效果。

作者:朱駿 單位:中國民用航空自治區管理局

參考文獻

篇7

關鍵詞：P2DR模型 主動防御技術 SCADA 調度自動化

隨著農網改造的進行，各電力部門的調度自動化系統得到了飛快的發展，除完成SCADA功能外，基本實現了高級的分析功能，如網絡拓撲分析、狀態估計、潮流計算、安全分析、經濟調度等，使電網調度自動化的水平有了很大的提高。調度自動化的應用提高了電網運行的效率，改善了調度運行人員的工作條件，加快了變電站實現無人值守的步伐。目前，電網調度自動化系統已經成為電力企業的"心臟"[1]。正因如此，調度自動化系統對防范病毒和黑客攻擊提出了更高的要求，《電網和電廠計算機監控系統及調度數據網絡安全防護規定》（中華人民共和國國家經濟貿易委員會第30號令）[9]中規定電力監控系統的安全等級高于電力管理信息系統及辦公自動化系統。各電力監控系統必須具備可靠性高的自身安全防護設施，不得與安全等級低的系統直接相聯。而從目前的調度自動化安全防護技術應用調查結果來看，不少電力部門雖然在調度自動化系統網絡中部署了一些網絡安全產品，但這些產品沒有形成體系，有的只是購買了防病毒軟件和防火墻，保障安全的技術單一，尚有許多薄弱環節沒有覆蓋到，對調度自動化網絡安全沒有統一長遠的規劃，網絡中有許多安全隱患，個別地方甚至沒有考慮到安全防護問題，如調度自動化和配網自動化之間，調度自動化系統和MIS系統之間數據傳輸的安全性問題等，如何保證調度自動化系統安全穩定運行，防止病毒侵入，已經顯得越來越重要。

從電力系統采用的現有安全防護技術方法方面，大部分電力企業的調度自動化系統采用的是被動防御技術，有防火墻技術和入侵檢測技術等，而隨著網絡技術的發展，逐漸暴露出其缺陷。防火墻在保障網絡安全方面，對病毒、訪問限制、后門威脅和對于內部的黑客攻擊等都無法起到作用。入侵檢測則有很高的漏報率和誤報率[4]。這些都必須要求有更高的技術手段來防范黑客攻擊與病毒入侵，本文基于傳統安全技術和主動防御技術相結合，依據動態信息安全P2DR模型，考慮到調度自動化系統的實際情況設計了一套安全防護模型，對于提高調度自動化系統防病毒和黑客攻擊水平有很好的參考價值。

1 威脅調度自動化系統網絡安全的技術因素

目前的調度自動化系統網絡如iES-500系統[10]、OPEN2000系統等大都是以Windows為操作系統平臺，同時又與Internet相連，Internet網絡的共享性和開放性使網上信息安全存在先天不足，因為其賴以生存的TCP/IP協議缺乏相應的安全機制，而且Internet最初設計沒有考慮安全問題，因此它在安全可靠、服務質量和方便性等方面存在不適應性[3]。此外，隨著調度自動化和辦公自動化等系統數據交流的不斷增大，系統中的安全漏洞或"后門"也不可避免的存在，電力企業內部各系統間的互聯互通等需求的發展，使病毒、外界和內部的攻擊越來越多，從技術角度進一步加強調度自動化系統的安全防護日顯突出。

2 基于主動防御新技術的安全防護設計

2.1 調度自動化系統與其他系統的接口

由于調度自動化系統自身工作的性質和特點，它主要需要和辦公自動化（MIS）系統[6]、配網自動化系統實現信息共享。為了保證電網運行的透明度，企業內部的生產、檢修、運行等各部門都必須能夠從辦公自動化系統中了解電網運行情況，因此調度自動化系統自身設有Web服務器，以實現數據共享。調度自動化系統和配網自動化系統之間由于涉及到需要同時控制變電站的10 kV出線開關，兩者之間需要進行信息交換，而配網自動化系統運行情況需要通過其Web服務器公布于眾[5]，同時由于配網自動化系統本身的安全性要求，考慮到投資問題，可以把它的安全防護和調度自動化一起考慮進行設計。

2.2 主動防御技術類型

目前主動防御新技術有兩種。一種是陷阱技術，它包括蜜罐技術（Honeypot）和蜜網技術(Honeynet)。蜜罐技術是設置一個包含漏洞的誘騙系統，通過模擬一個或多個易受攻擊的主機，給攻擊者提供一個容易攻擊的目標[2]。蜜罐的作用是為外界提供虛假的服務，拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。蜜罐根據設計目的分為產品型和研究型。目前已有許多商用的蜜罐產品，如BOF是由Marcus Ranum和NFR公司開發的一種用來監控Back Office的工具。Specter是一種商業化的低交互蜜罐，類似于BOF，不過它可以模擬的服務和功能范圍更加廣泛。蜜網技術是最為著名的公開蜜罐項目[7]，它是一個專門設計來讓人"攻陷"的網絡，主要用來分析入侵者的一切信息、使用的工具、策略及目的等。

另一種技術是取證技術，它包括靜態取證技術和動態取證技術。靜態取證技術是在已經遭受入侵的情況下，運用各種技術手段進行分析取證工作?，F在普遍采用的正是這種靜態取證方法，在入侵后對數據進行確認、提取、分析，抽取出有效證據，基于此思想的工具有數據克隆工具、數據分析工具和數據恢復工具。目前已經有專門用于靜態取證的工具，如Guidance Software的Encase，它運行時能建立一個獨立的硬盤鏡像，而它的FastBloc工具則能從物理層組織操作系統向硬盤寫數據。動態取證技術是計算機取證的發展趨勢，它是在受保護的計算機上事先安裝上，當攻擊者入侵時，對系統的操作及文件的修改、刪除、復制、傳送等行為，系統和會產生相應的日志文件加以記錄。利用文件系統的特征，結合相關工具，盡可能真實的恢復這些文件信息，這些日志文件傳到取證機上加以備份保存用以作為入侵證據。目前的動態取證產品國外開發研制的較多，價格昂貴，國內部分企業也開發了一些類似產品。

2.3 調度自動化系統安全模型

調度自動化安全系統防護的主導思想是圍繞著P2DR模型思想建立一個完整的信息安全體系框架，P2DR模型最早是由ISS公司提出的動態安全模型的代表性模型，它主要包含4個部分：安全策略（Policy）、防護（Protection）、檢測（Detection）和響應（Response）[8]。模型體系框架如圖1所示。

在P2DR模型中，策略是模型的核心，它意味著網絡安全需要達到的目標，是針對網絡的實際情況，在網絡管理的整個過程中具體對各種網絡安全措施進行取舍，是在一定條件下對成本和效率的平衡[3]。防護通常采用傳統的靜態安全技術及方法來實現，主要有防火墻、加密和認證等方法。檢測是動態響應的依據，通過不斷的檢測和監控，發現新的威脅和弱點。響應是在安全系統中解決安全潛在性的最有效的方法，它在安全系統中占有最重要的地位。

2.4 調度自動化系統的安全防御系統設計

調度自動化以P2DR模型為基礎，合理利用主動防御技術和被動防御技術來構建動態安全防御體系，結合調度自動化系統的實際運行情況，其安全防御體系模型的物理架構如圖2所示。

防護是調度自動化系統安全防護的前沿，主要由傳統的靜態安全技術防火墻和陷阱機實現。在調度自動化系統、配網自動化系統和公司信息網絡之間安置防火墻監視限制進出網絡的數據包，防范對內及內對外的非法訪問。陷阱機隱藏在防火墻后面，制造一個被入侵的網絡環境誘導入侵，引開黑客對調度自動化Web服務器的攻擊，從而提高網絡的防護能力。

檢測是調度自動化安全防護系統主動防御的核心，主要由IDS、漏洞掃描系統、陷阱機和取證系統共同實現，包括異常檢測、模式發現和漏洞發現。IDS對來自外界的流量進行檢測，主要用于模式發現及告警。漏洞掃描系統對調度自動化系統、配網自動化主機端口的已知漏洞進行掃描，找出漏洞或沒有打補丁的主機，以便做出相應的補救措施。陷阱機是設置的蜜罐系統，其日志記錄了網絡入侵行為，因此不但充當了防護系統，實際上又起到了第二重檢測作用。取證分析系統通過事后分析可以檢測并發現病毒和新的黑客攻擊方法和工具以及新的系統漏洞。響應包括兩個方面，其一是取證機完整記錄了網絡數據和日志數據，為攻擊發生系統遭破壞后提出訴訟提供了證據支持。另一方面是根據檢測結果利用各種安全措施及時修補調度自動化系統的漏洞和系統升級。

綜上所述，基于P2DR模型設計的調度自動化安全防護系統有以下特點和優越性：

·在整個調度自動化系統的運行過程中進行主動防御，具有雙重防護與多重檢測響應功能；

·企業內部和外部兼防，可以以法律武器來威懾入侵行為，并追究經濟責任。

·形成了以調度自動化網絡安全策略為核心的防護、檢測和響應相互促進以及循環遞進的、動態的安全防御體系。

3 結論

調度自動化系統的安全防護是一個動態發展的過程，本次設計的安全防護模型是采用主動防御技術和被動防御技術相結合，在P2DR模型基礎上進行的設計，使調度自動化系統安全防御在遭受攻擊的時候進行主動防御，增強了系統安全性。但調度自動化系統安全防護并不是純粹的技術，僅依賴安全產品的堆積來應對迅速發展變化的攻擊手段是不能持續有效的。調度自動化系統安全防護的主動防御技術不能完全取代其他安全機制，尤其是管理規章制度的嚴格執行等必須長抓不懈。

參考文獻

[1]梁國文.縣級電網調度自動化系統實現的功能.農村電氣化，2004，(12):33~34.

[2]丁杰，高會生，俞曉雯.主動防御新技術及其在電力信息網絡安全中的應用.電力系統通信，2004，(8):42~45.

[3]趙陽.電力企業網的安全及對策.電力信息化，2004，(12):26~28.

[4]阮曉迅，等.計算機病毒的通用防護技術.電氣自動化，1998，(2):53~54.

[5]郝印濤，等.配網管理與調度間的信息交換.農村電氣化，2004，(10):13~14.

[6]韓蘭波.縣級供電企業管理信息系統(MIS)的應用.農村電氣化，2004，(12):33~34.

[7]Honeynt Project. Know Your Enemy:Hnoeynet[DB/OL].honeynet.org.

[8]戴云，范平志.入侵檢測系統研究綜述[J].計算機工程與應用，2002，38(4):17~19.

篇8

關鍵詞：內網；威脅；檢測

中圖分類號：TP393.18 文獻標識碼：A文章編號：1007-9599(2012)05-0000-02

一、引言

大部分企業網管人員至今仍對內網威脅不重視，他們認為只要做好內外網物理隔離，或在內外網間部署好網關、防火墻等安全防護產品，網絡安全就能萬無一失。內網安全僅依賴管理措施，極少采用技術手段進行防護。中國國家信息安全測評認證中心的調查結果表明，信息安全問題主要來自泄密和內部人員犯罪，而非病毒和外來黑客引起。因此進一步分析企業內網威脅及防治技術，構建內網安全防護模型顯得愈發重要。

二、基于行為的內網威脅分析

隨著信息、通信技術的發展，企業內部網絡的應用越來越復雜，內網大多數的應用都是企業核心內容，需嚴格保密，一旦出現、破壞的事件，后果將不堪設想，內網出現問題甚至能夠導致整個企業癱瘓。

企業內網威脅除了由系統缺陷引起的安全隱患，大部分是由于企業內部人員安全意識不足，基于行的內網威脅，具體表現在：

（一）移動存儲介質管理的不規范：如數據拷貝不受限、違規交叉使用、單位和個人持有不區分等，特別是在與非計算機間、內部與互聯網計算機間交叉使用，導致計算機或內部工作計算機感染木馬病毒。

（二）服務端口過多開放：黑客一般是通過掃描端口獲取信息，確定主機運行的服務，然后再尋找相關服務或程序漏洞，最后通過漏洞服務或程序的端口攻擊目標主機。

（三）賬號口令管理不嚴：黑客攻擊的目的是為了非法獲取系統訪問權限，一旦取得賬戶口令，他們就可以順利登陸到目標系統，進行犯罪活動。

（四）用戶權限分配不合理：用戶權限往往未被限制，即授予其所需要的最小權限。攻擊者就利用用戶過高的權限進行攻擊。

（五）使用盜版、破解軟件等：盜版軟件通過破解、反編譯等手段得到軟件程序源代碼，修改源代碼往往影響到軟件模塊結構之間的邏輯性，導致一些軟件漏洞的出現，黑客也常用一些工具來搜索存有漏洞的計算機來確定攻擊目標。

（六）內部的網絡攻擊。有的員工為了泄私憤、或被策反成為敵方間諜，成為單位泄密者或破壞者。由于這些員工對單位內部的網絡架構熟悉，可利用管理上的漏洞，侵入他人計算機進行破壞。

（七）網管人員工作量過大、專業水平不夠高、工作責任心差；用戶操作失誤，可能會損壞網絡設備如主機硬件等，誤刪除文件和數據、誤格式化硬盤等，都將構成內網嚴重威脅。

三、內網威脅檢測技術

內外網隔離、防火墻、IDS及其他針對外部網絡的訪問控制系統，能夠有效防范來自網絡外部的進攻。但對于企業內部的信息保密問題，卻一直沒有很好的防范措施：內部人員可以輕松地將計算機中的機密信息通過網絡、存儲介質或打印等方式泄露。當前，可通過主流技術對內網威脅進行檢測：

（一）準入控制技術。目前，防范終端安全威脅可采用多種準入控制技術主動監控桌面電腦的安全狀態和管理狀態，將不安全的電腦隔離，進行修復。使準入控制技術與傳統的網絡安全技術如防火墻、防病毒技術有機結合，改變“被動的、以事件驅動”為特征的傳統內網安全管理模式，變被動防御為主動防御，有效促進內網規范化建設。

（二）網絡安全防范技術及監控手段的集成。可將防火墻技術、漏洞掃描技術、入侵檢測技術和安全管理、安全監測和安全控制集成與融合，實現對內部網絡的安全防范。網絡安全監測需要監測非授權外聯、非授權接入及非法入侵、非授權信息存取，對重要數據進行重點保護、重點信息進行重點監測，對可疑人物、可疑事件跟蹤監測。

（三）網絡安全監控?？刂凭W絡設備的運行狀態，對網絡安全監測事件實時響應；這樣不僅能及時發現安全域內潛在的網絡安全威脅，減少網絡安全事故的發生，而且能做到對安全事故的及時解決。

（四）建立用戶行為審計。對用戶網絡行為進行審計，包括：審計登錄主機的用戶、登錄時間、退出時間等有詳細記錄；對重點數據操作的全過程審計；對發現可疑操作如多次嘗試用戶名和密碼的行為，及時報警并采取必要的安全措施如關機等。

四、內網安全防護模型

在內網威脅檢測技術的基礎上，建設一個多層次的網絡安全防護體系，使得安全管理員能夠全面掌握網絡的運行狀況，掌握網絡的應用流量狀況，掌握網絡中發生的安全事件，并在網絡出現異?；虬l生可疑事件時能夠方便快捷地對數據進行深入分析，從而實現對內部網的全方位安全監控，提高對安全事件的監控和響應處理能力。

（一）網絡準入控制與終端安全防護系統。將安全策略及多種安全防護技術等結合起來，構成一個統一終端安全防護系統。包括安全策略制定與下發、桌面終端的管理與控制、認證與授權、合規與審計。實現對進入內網的控制和安全策略符合診斷控制，提高企業終端安全管理水平。

（二）威脅分析監控系統。能盡早檢測出新的未知惡意軟件，對數據泄漏快速響應。能通過檢測網絡中的破壞性應用程序和服務程序，節省帶寬和資源；通過集中式管理，使威脅和事件信息管理更為容易。

（三）網絡流量分析系統。通過該系統捕獲并分析網絡中傳輸的數據包，有效反映網絡通訊狀況，幫助網管人員快速準確定位故障點并解決網絡故障，并快速排查網絡故障，從而提高網絡性能，規避網絡安全風險，增大網絡可用性價值，并確保整個網絡的持續可靠運行。

（四）用戶行為審計系統。及時分析用戶行為日志的審計，可發現可疑的信息，并重點跟蹤監測。有助于發現網絡中的薄弱環節及可疑因素；有助于提高企業用戶的網絡安全意識，也是對網絡安全破壞分子的震懾。

五、結束語

本文首先分析了基于行為的企業內網安全威脅,探討了當前內網威脅檢測技術，設計了一套對網絡準入控制、終端安全防護、流量分析、用戶行為審計等內網威脅檢測和管理的網絡安全防護模型。使得企業可以全面了解網絡的運行狀況以及安全事件信息，為安全管理中心和安全事件審計提供信息和證據。

參考文獻：

[1]陳廣山.網絡與信息安全技術[J].機械工業出版社,2007

篇9

隨著智能手機、平板電腦等終端產品的普及，網絡安全問題變得越來越復雜。面對新的網絡安全的威脅和攻擊，傳統的應對手段也需要顛覆了。請關注—

隨著新的互聯網時代的到來，許多人已經可以實現借助家里電腦、智能手機、平板電腦等終端進行遠程辦公，現今IT信息系統的架構也發生了變化，導致網絡安全問題變得越來越復雜。在近期舉辦的第二屆國家網絡安全宣傳周上，基于云端架構的網絡安全防護體系正受到越來越多的追捧。

網絡安全問題越來越復雜

今年2月份，網絡安全公司卡巴斯基的一份分析報告顯示，黑客組織Carbanak在兩年內連續攻擊了俄、烏、白等30多個國家的金融機構，造成損失達10億美元，引發了俄羅斯銀行業恐慌。

根據2012年的數據，我國電子銀行交易筆數高達896.2億筆，交易規模為820萬億元，個人網銀用戶規模為2.1億戶。電子銀行替代率提高到72.3%，且到2016年時，該比率預計將達到82.3%。而與此同時，信息泄露、惡意軟件、釣魚網站等卻在不斷的威脅到網銀安全服務，中國工商銀行(601398，股吧)安全部總經理敦宏程表示，這些網絡上侵害金融安全的非法活動甚至已形成黑色產業鏈，相關組織內分工明確。

“黑客最初是向目標機構的普通職員發送電子郵件，誘使他們打開一個包含惡意軟件的附件；突破職員電腦后，黑客會以此為跳板進行滲透平移，找到并攻陷掌握銀行交易權限的高級管理人員；通過在管理人員的電腦植入木馬程序，分析得到合法賬號、密碼以及系統操作流程，最終冒充合法賬號成功轉移資產?！本W康科技執行副總裁左英男介紹俄羅斯銀行大案時說，盡管俄羅斯警方幾年前已經逮捕了8名犯罪團伙成員，但攻擊并未停止。

“哪個網絡是不可信的？哪個網絡是可信的？這些概念已經改變了。傳統的網絡安全理論是靜態、被動的，是一種防御性思維，已不適應信息產業架構的變化。隨著互聯網的云化和移動終端移動化趨勢，IT信息系統的架構需要有新的手段去解決安全問題。”左英男說。

借助云端解決網絡安全

“安全問題永遠是人與人之間的智力對抗，所謂魔高一尺道高一丈，但防御的一方永遠處于被動地位，所以現在要改變這種防御策略，形成主動發現、主動打擊。這就是我們提出的下一代網絡安全架構，提供主動對抗的手段。”左英男介紹，下一代網絡安全架構的一個重要特點就是智能協同，主動防御。云、邊界設備與終端設備之間都可以進行聯動，使得架構中“邊界”設備和“終端”設備的安全能力都得到了劃時代的提升，可以有效應對已知和未知的高級威脅。

“更好的安全模型應該是PDFP模型(Prediction預測、Detection檢測、Forensics取證、Protection防護)，即假設IT系統存在無法預估的風險，甚至認為攻擊已經發生只是人們尚未感知，此時必須進行動態檢測，把異常的人員、行為、應用、內容等日志信息實時匯集到云分析中心，通過跨時空的大數據分析，迅速判定攻擊并進行過程溯源，從而實施對抗策略。這個過程是動態的、主動的，是一種對抗型思維。”左英男解釋，“將來我們會給客戶提供一個云管端的架構，部屬終端、部屬終結設備，會給他一個云賬號，登錄云賬號之后，能夠看到經過大數據分析之后的結果，主機是否危險，內部有哪些僵尸，都在干什么，有非常直觀的風險信息提示。”

目前，為了防止用戶信息泄露和受到詐騙，當前各大銀行紛紛采取措施，其中云技術、大數據等已被運用。比如銀聯推出的虛擬銀行卡，可以直接使用手機來刷POS機，而基于云端的安全機制將大大提高賬戶的安全性。

提高民眾的安全意識是關鍵

“網絡安全問題并不僅僅是一個行業、一個企業的行為，它還需要整個全民網絡安全意識的提高，以及整個社會網絡安全防護體系的構建?！弊笥⒛姓f。

中國工商銀行安全部總經理敦宏程表示，相對銀行采取的種種措施，民眾的網絡安全意識仍然是抵御網絡金融詐騙和信息泄露的第一道關口。“用戶的安全意識，實際上相對來說是各個環節中最薄弱的環節，工商銀行為此提供了很多安全措施，都是針對客戶安全意識不足做的補充措施?！?/p>

篇10

信息時代的到來讓人們享受到了互聯網技術所帶來的種種便利，但是同時，各種日益突出的網絡安全問題也讓人們越來越擔憂。因此，加快我國計算機網絡安全發展的進程就顯得尤為迫切何必要。本文首先對計算機網絡安全的特點及其影響因素做了簡要分析，然后從兩個方面概括了我國計算機網絡安全的發展現狀，最后列舉了三個我國計算機網絡安全的未來趨勢，以期為相關研究提供一定的參考意見。

關鍵詞：

計算機；網絡安全；發展；趨勢

近年來，互聯網的發展取得了顯著成就，計算機網絡也隨之被應用于社會的各個領域之中。無論是人們的學習、工作還是生活，都越來越離不開計算機，而計算機網絡給人們生活所帶來的便利也是顯而易見的。但是，因計算機網絡應用而產生的各種安全問題數量也在逐漸呈上升趨勢，因信息泄露而造成財產損失的狀況時有發生。以此，加強對計算機網絡安全的重視就顯得尤為必要。

1計算機網絡安全的特點

對計算機網絡系統中的各種軟硬件和數據進行保護，使其不被遭到蓄意破壞而導致信息泄露，進而維護計算機的正常運行，是計算機網絡安全的最主要內容。通常情況下，計算機網絡安全具備如下特點。

1.1多元性是指對計算機網絡安全的影響因素是多元的。在具體實踐中，不難發現，人為因素、自然因素、病毒侵襲以及硬件威脅等因素都會對計算機的網絡安全造成影響。

1.2嚴重性是指其破壞程度是非常嚴重的。計算機網絡是進行信息傳輸的載體，而其所涉及的各種利益也是無法估量的，一旦計算機網絡系統遭到破壞，那些有價值的信息就很有可能被泄露出去，便會造成巨大經濟損失，嚴重者甚至會危及個人的人身安全。

1.3壁壘性是指其安全預防的壁壘性。縱觀最近幾年的發展，計算機技術的門檻變得越來越低，但是病毒技術的制作和傳播卻相對有了一定提升，計算機預防病毒侵襲的難度也越來越大，很多普通的用戶都受到了一定傷害。

2影響計算機網絡安全的因素

影響計算機網絡安全的因素并不是單一的，各種確定的和不確定的因素都有可能對計算機網絡的安全造成一定程度的影響，這些影響因素可以概括為如下幾點。

2.1計算機侵襲病毒因為侵襲計算機網絡的病毒種類較非常多，已經有泛濫成災的趨勢。這些病毒會通過某種途徑隱藏于計算機的程序之中，當計算機中的某些條件滿足了病毒運行時，這些病毒就會被激活，進而使得用戶的計算機遭到蓄意篡改和破壞等傷害。木馬病毒、文件病毒等都是較為常見的計算機病毒，一旦計算機網絡系統遭到病毒攻擊，那些儲存于計算機網絡當中的重要信息就會被泄露出去，最終對計算機網絡用戶造成了傷害。

2.2網絡系統設計網絡系統本身的設計也會對網絡計算機安全造成一定影響。部分電腦在被設計時，便沒有充分對其科學合理性和安全性加以考慮，在投入使用時，就很容易產生安全漏洞，這些漏洞就為計算機網絡安全埋下了隱患。

2.3網絡結構如果對網絡拓撲結構的設計不夠科學合理，便很有可能會影響網絡通信系統的正常運行，因為如果其中一臺計算機遭到破壞，那么整個局域網都會受到影響。這個時候，計算機網絡安全的安全防御性能就會較弱，很難抵御病毒的入侵或其他外部的攻擊行為，不少重要信息數據因此而被泄露或丟失。

2.4網管機制不健全在對計算機網絡進行維護管理時，如果沒有一個明確的監督機構和評價體系，就會讓網絡管理員相關工作的開展變得消極，因為其并不明白自己的職責所在，這也為網絡安全埋下了安全隱患。

2.5計算機網絡黑客的惡意攻擊行為也會對計算機網絡的安全造成一定影響

3我國計算機網絡安全的發展現狀

3.1目前計算機網絡安全技術的分類就目前而言，我國最普遍使用的網絡安全技術有三種，如下所示。

3.1.1網絡數據加密技術該技術主要是通過密鑰或密函的方式保護計算機網絡信息數據。無論是信息數據的接收者還是發送者，都必須要利用密鑰或者密函，同時管理互聯網中的各種相關信息數據。用戶在對網絡數據加密以后，便能實現對網絡信息數據的保護。并且，加密技術還能夠對用戶的真實信息數據進行獲取。而要實現與數據信息的聯通，也必須要通過用戶的真實數據才行，如此一來，便能夠對網絡信息數據進行動態的保護。密鑰和密函這樣的網絡數據加密技術不除了夠防止用戶的信息泄露，使互聯網安全技術穩定性提高之外，還能夠使計算機網絡安全的安全性得到提升。

3.1.2網絡防火墻技術防火墻技術也是實現網絡信息安全的一種重要安全技術，能夠對互聯網之間的各種信息通訊行為進行監督和管理。從某種意義上講，防火墻技術就是一種能夠為可信任網絡開路，而為不信任網絡添設屏障的技術，進而實現對影響計算機網絡安全性和穩定性因素的有效控制。當有病毒或者黑客入侵計算機網絡系統時，防火墻便能夠對所要保護的數據進行阻攔，以限制其和互聯網之間的訪問，進而使其躲避那些有可能的來自互聯網的各種攻擊，有效保護計算機網絡信息數據安全。可見，對防火墻技術而言，其關鍵就在于內網和外網之間所設置的屏障，這一屏障能夠對內網的安全進行有效保護。比如，用戶通過互聯網傳輸數據時，防火墻就會按照用戶所設定的程序或軟件監控那些正在傳輸的數據，一旦有網絡攻擊出現，便會立即啟用防火墻，將其攔截在外，進而防止互聯網中的重要信息數據被泄露出去，以實現對用戶信息安全的保護。

3.1.3數據備份恢復技術數據信息對互聯網的運行和發展發揮著非常重大的作用，如果沒有對數據進行備份，或者沒有使用數據恢復技術，那么儲存在互聯網中的各種信息數據就不能夠得到有效保護。當這些信息數據遭到蓄意破壞或者直接丟失之時，如果數據不能夠恢復，則將會給用戶帶來極大的損失。因此，對計算機網絡中的數據進行備份和恢復操作時非常有必要的。因此便有了數據備份和恢復技術，其就是利用較為先進的各種網絡技術，保護計算機網絡中的各種信息數據。該技術是將一些重要的網絡信息數據存儲至計算機硬盤之中，計算機的服務器磁盤陣列便會對這些信息數據自動進行備份，就算是系統崩潰或者被意外丟失，服務器也能夠將這些信息數據恢復到之前的狀態。所以，廣大用戶還是要對那些比較重要的數據進行備份，以免重大意外造成重要數據數據丟失的情況發生。

3.1.4入侵檢測技術在計算機網絡安全的防范領域，入侵檢測技術也是一種必不可少的網絡安全防范技術。其中的IDS入侵檢測系統能夠監測和控制網絡的各種進入和出入行為，并且，對其所實施的管理和控制都是自動化的。該技術在對計算機中的網絡信息進行監控的過程中，一旦發現又可以行為存在，該技術便會限制其行為，自動對那些可能引起風險的因素進行分析，隔斷所有存在安全隱患的信號，做出及時預警，以使相關人員引起高度重視。在具體的防范過程中，經常會收到一些存在安全隱患的郵件，這些郵件中所存在的猜測口令便很有可能成為破壞計算機網絡安全的因素。而一旦計算機這樣的情況出現，該技術就能夠及時地作出相應，采取相應措施加以應對，并根據所存在的安全風險類型出示預警，將這些具有風險的因素限制于網絡之外，進而保障計算機網絡的安全。

3.2現有計算機網絡安全技術的局限性計算機網絡安全技術的類型不同，其所發揮的功能也就不同，但這些技術都有一個共同點，即對計算機網絡安全進行保護，對計算機網絡安全的發展發揮著至關重要的作用。但是，由于技術本身和其他外在因素的影響，我國現有的計算機網絡安全技術仍舊存在一定的局限性，具體如下。（1）對網絡數據加密技術而言，該技術主要分為兩種，一是磁盤加密技術，二是文檔加密技術，但無論是其中哪一種，都不可避免地存在不穩定的加密弊端，進而無法對其信息數據保密屬性進行有效判斷，直接影響信息數據的安全性。（2）對網絡防火墻技術而言，其局限性主要體現在計算機的內部互聯網網絡之上，該技術對互聯網內網和外網之間所存在差異的辨別程度較低，所以，如果用戶僅僅只依靠防火墻技術對計算機網絡進行保護，是很難保障其安全的。就算一些用戶使用了防火墻技術，但是由于其對該技術的了解并不深入，即便防火墻攔截了相關的懷疑網站，還是有部分用戶選擇忽略，仍舊允許其進入，最終造成了信息泄露的后果。（3）對計算機備份和恢復技術而言，盡管該技術能夠保證一些重要的數據信息不被丟失，但是其在具體的運行過程中抵御風險的能力仍舊偏低。通常情況下，普通用戶都不會對信息數據進行備份，不僅僅是因為人們的信息數據安全意識不強，還因為該技術的普及和應用程度不高。（4）對入侵檢測系統而言，其局限性也是不可忽略的。盡管入侵檢測系統的所發揮的信息數據保護作用很大，但是因為一些漏報和誤報的情況存在，并且還不能夠對精確攻擊位置進行確定，也沒有較為完善的攻擊管理機制，所以其在計算機網絡安全控制的有效性上尚有很大的發展空間。

4我國計算機網絡安全的未來趨勢

4.1對計算機網絡安全內容的分析將會更加深入互聯網技術的快速發展使得各種網絡安全威脅隨之產生，因此，要想實現對網絡安全的保護，就必須要提高計算機網絡安全技術水平。為了實現這一目標，我國計算機網絡安全的未來發展趨勢一定會朝著更好的方向發展。就目前而言，我國的網絡安全技術之所以存在如此多的缺陷，主要原因是因為在研發該技術時，對計算機網絡安全的內容的分析還比較欠缺，不夠深入。因此，必須要加強對計算機網絡安全技術的識別。而要實現這一目的，首先就必須要計算機的安全防護內容為出發點，對計算機網絡安全防護的匹配特征和各種安全行為進行深入的分析。在特征庫簽名基礎上所進行的深度報文的特征匹配是目前較為常用的安全防護分析法之一。該方法主要指有針對性地對報文的各種深度內容進行分析，以掌握與網絡安全攻擊行為有關的特征。在通過特征庫對這些網絡攻擊內容進行匹配搜索，匹配搜索完成之后，在采取相應的防御措施加以應對。另外，以網絡行為為基礎的模型學習和安全防護智能分析也是一種非常不錯的安全技術手段。該方式既能夠對各種特征化網絡行為進行模擬，又能夠對其各種行為的特征進行分析，進而對所了解的網絡攻擊行為作出提前預警，以實現對計算機網絡系統的有效保護。

4.2將會構建出更好的硬件支撐平臺盡管防火墻技術能夠在一定程度上實現對計算機網絡安全的保護，完成相關安全防護任務，并且在使用時也是靈活多變的。但是，有些防火墻技術的安全防護性能還是存在一些問題，特別是在多功能網關的市場發展方面，其所遇到的瓶頸仍舊較多。由NP和FPGA等架構出來的防火墻相對其他防火墻而言，靈活性較差。所以，未來防火墻技術性能的提升將會成為其發展的一個重要趨勢，一定要構建出更好的硬件支持平臺，比如多核硬件平臺的建立、ASIC的硬件架構等都是實現這一目的的較好選擇。4.3計算機網絡安全技術的主動防御性能將會加強在以前，計算機網絡安全的防護更多強調的是一種被動性的防御，在主動防御保護技術方面的發展并不是特別顯著。然而，從其所產生的安全防御效果看，并不是特別理想，蠕蟲泛濫、病毒傳播等問題還是比較嚴重。所以，使網絡安全技術的主動防御功能加強就非常的關鍵。網絡安全技術只有實現被動、靜態結構向主動、動態結構的發展，才能取得相應成效。計算機網絡安全的主動防御功能包括定位追蹤、快速響應、自動恢復以及攻擊取證等，這些功能的增強也將會成為計算機網絡安全技術發展的一個重要方向。

5結束語

計算機網絡安全本身所體現出來的多元性、嚴重性和壁壘性都是造成其影響因素眾多的原因，不僅僅計算機侵襲病毒、網絡系統設計和網絡結構會對計算機網絡安全造成影響，網絡管理機制的不健全和黑客的攻擊行為等也是影響計算機網絡安全的重要因素。就目前而言，我國主要的網絡安全管理技術主要有四種，分別是網絡數據加密技術、防火墻技術、數據備份恢復技術以及入侵檢測技術，雖然這些技術能夠在一定程度上對計算機網絡安全進行保護，但其在具體應用過程中所表現出來的弊端也是不可忽略的。在未來，我國計算機網絡安全的發展將會朝著更好的趨勢發展，對計算機網絡安全內容的分析將會更加深入、將會構建出更好的硬件支撐平臺、其技術的主動防御性能將會加強等都是未來我國計算機網絡安全的發展趨勢。

參考文獻

[1]云曉東,王賀,左馥銘.芻議計算機網絡安全技術及其發展趨勢[J].電子制作,2014,02163.

[2]邱宏.計算機網絡安全技術的發展趨勢[J].電腦與電信,2014,0658+65.

[3]韓永生.當代計算機信息網絡安全技術及未來的發展趨勢[J].中國教育技術裝備,2012,3360-61.

[4]劉崇健.計算機網絡安全發展趨勢研究[J].信息與電腦(理論版),2015,0543-44.

[5]溫澤漢.探討計算機網絡安全技術及其發展趨勢[J].黑龍江科技信息,2015,26178.