網絡安全研究范文

導語：如何才能寫好一篇網絡安全研究，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

信息柵格安全需求

信息柵格是以互聯網作為通信支撐平臺的，而互聯網是一個開放性、異構性極大的公共網絡，這就使得在互聯網上運行的信息柵格服務面臨著各種各樣的安全威脅，如數據被截取、信息的內容被篡改或刪除、假冒合法用戶和服務器等等。信息柵格不僅需要解決普遍存在于互聯網上的安全問題，還需要解決信息柵格所特有的安全問題。信息柵格服務環境必須滿足用戶安全、高效地使用其提供的各種資源的要求，同時提供簡易方便的服務給用戶使用。為此，信息柵格服務環境必須具有抵抗各種非法攻擊和入侵的能力，并且在受到攻擊和入侵時采取某些措施以維持系統的正常高效運行，并保證系統中各種信息資源的安全。采取充分的措施來應對蠕蟲和病毒的影響在信息柵格服務中也至關重要，因為蠕蟲和病毒的影響在信息柵格環境中會得到放大。信息柵格安全技術的目的是授權給合法用戶訪問數據和執行相關操作的權限；防止用戶非法操作或錯誤操作造成的數據泄密；防止數據被非法訪問和修改；防止合法用戶偽造數據進行欺騙；防止合法用戶被冒充；以及完成對用戶的審計等其他服務。信息柵格安全的主要目標是：支持在柵格服務環境中主體之間的安全通信，防止主體假冒和數據泄密；支持跨虛擬組織的安全；支持信息柵格服務環境中用戶的單點登錄，包括跨越多個資源的地點的信任委托和信任轉移；支持入侵檢測（防護）技術；支持持續監控技術；支持告警與響應，支持恢復與重建等。

信息柵格安全模型

在深刻理解信息柵格基本概念、相關理論和實踐工作基礎上，深入分析信息柵格安全需求，依據信息安全相關標準規范，結合信息柵格功能模型和體系結構，利用數據融合和層次化分析的思想，給出5層信息柵格安全模型，從下到上依次為：節點和互聯安全層，柵格安全適配層，基本安全技術層、柵格安全會話層和柵格安全應用層。節點和互聯安全層：是提供資源共享給柵格的本地節點所采用的安全機制，其安全主要是硬件的物理安全，保護著本地的資源。柵格安全適配層：主要實現信息柵格實體向本地安全實體的映射。柵格安全適配層屏蔽了各種各樣的本地安全機制，為上層提供了一個統一的安全平臺?；景踩夹g層：包含了各種具體的安全技術和加密算法。如通信數據加密，數字簽名，入侵檢測，持續監控等。這些安全算法和技術構成了高級柵格安全服務的基礎。柵格安全會話層：安全會話是指實體按照一定的協議和規則進行的一次交互過程。一次安全會話形成一個安全上下文環境。這些安全會話包括認證、授權、證書管理等。柵格安全應用層：包含了各種高級的柵格安全服務。如，單點登錄，組安全通信，交叉認證等。它根據柵格應用的具體特點，提供了各種適合柵格應用環境的安全功能。

篇2

關鍵詞：校園網絡；安全運維；網絡安全

隨著高校信息化建設的全面深入和快速推進，基礎網絡設施和信息應用系統日趨完備，形成了規模大、結構復雜、系統多、應用全面的網絡與信息系統架構。信息化建設項目多、任務重，在高效率、高質量完成建設任務的同時，需要保證網絡運維和信息安全運維的效果和效率，為師生提供良好的用戶體驗，這就對網絡運維提出了更高的要求和標準。網絡業務日益繁多、復雜多變，各種網絡問題層出不窮，如黑客攻擊、計算機病毒泛濫，高校園網絡運維體系面臨新的問題，能否適應新變化就顯得非常重要。建立校園網運維體系、解決校園網面臨的問題對保證高校正常的教學、科研、管理等工作有著重要意義。

1校園網絡安全運維體系架構

隨著信息化在高校的發展，硬件平臺、應用軟件、操作系統越來越復雜，難以集中管理，加之師生對網絡的高度依賴性，使得保障網絡的可靠性和安全性成為重中之重。具備故障管理、配置管理、變更管理、性能管理、安全管理等功能的網絡管理技術為當前網絡安全技術中的關鍵技術。高校校園網絡中網絡安全設備、業務系統數量眾多、結構復雜，且管理控制平臺多樣，網絡管理員需要掌握不同平臺的管理及使用方法，去管理網絡中的各種設備和系統，復雜度高；網絡管理員對應用系統的使用權限不同，難以在不同的業務應用系統中保持控制策略和用戶權限的全局一致性，管理網絡安全事件日趨復雜化。只有對所有安全設備、業務系統發生的安全事件及其運行狀態信息進行關聯分析，才能有效發現新的、更深層次的安全隱患。安全管理技術主要包括安全事件采集、安全事件管理、安全設備監控三大模塊。安全事件釆集，用于采集網絡中所有安全設備及業務應用系統等的安全日志及運行狀態，這些信息將為后續的關聯分析提供數據源，是安全管理的基礎。安全事件管理將采集得到的數據源進行關聯分析、風險評估等處理，通過分析可能的安全威脅，提交安全對象的安全報告。安全設備監控，是通過監控各關鍵網絡設備的運行狀態信息，及時發現安全問題并第一時間進行處理。

2校園網絡安全運維平臺的組成

校園網絡安全運維平臺由監控中心、安全分析中心、運維中心組成，為保證高校校園網絡的安全提供了科學合理的方法，有效保障了校園網絡的安全和穩定。監控中心，通過事件采集器收集監控對象日志信息及安全事件，經過標準化、信息過濾和關聯分析后，標記安全事件級別同時存入數據庫。安全分析中心，通過資產識別、威脅識別、脆弱性識別、評價風險、風險計算等過程，評估校園網絡綜合資產的重要性、脆弱性以及面臨的威脅，為管理員進行決策提供依據；采用事件關聯分析算法，尋找海量事件相互關聯事件，提取出真正有價值的少量安全事件威脅，包括業務連續性威脅、數據安全威脅、攻擊威脅。運維中心，通過安全預警管理接收業務系統防護平臺產生的自動安全預警信息或人工預警信息，再進行分級處理，并按規定的通知模板將預警信息傳達給相關人員，并運用系統安全策略進行準確的預警，其中系統安全策略由告警的觸發條件、分析規則、風險策略、設施管策略、存儲策略等組成。

3安全運維的內容

3.1安全巡檢

定期對校園網絡安全設備的日志進行深入分析和審計，包括對防火墻、IDS、防病毒系統、動態口令認證、日志分析系統等的運行狀態、運行事件、日志和關鍵配置文件進行收集、分析，并形成相應的安全建議。安全巡檢內容如下：（1）制訂安全設備巡檢計劃和巡檢規范；（2）定期對網絡安全設備進行巡檢；（3）分析和解決在巡檢中發現的問題；（4）提交巡檢報告。

3.2漏洞掃描

通過漏洞掃描可以全面、準確發現校園網絡中各系統存在的安全隱患及可能被攻擊的方式，掌握信息系統的安全現狀，為進一步保證建設校園網絡的安全提供了數據參考和實際的依據，具有指導校園網絡安全建設的作用。對信息系統進行標準的安全探測是漏洞掃描采用的主要技術手段，通過安全探測可以發現網絡和系統潛在的安全隱患和薄弱環節。通過漏洞掃描設備、安全評估工具以掃描的方式對整個校園網中的信息系統、網絡設備和安全設備進行安全掃描，從校園內網和校園外網絡兩個不同的網絡環境來探測校園網絡結構、網絡設備部署、服務器主機配置、數據庫管理員賬號/口令等校園網絡對象目標存在的漏洞、安全風險和潛在的威脅。漏洞掃描有利于發現系統層、網絡層、應用層的安全問題。（1）系統層安全。各網絡設備、安全設備、服務器的操作系統，主要存在操作系統自身的漏洞、風險和威脅，主要包括用戶名、密碼管理、訪問權限分配和控制、系統漏洞等，以及操作系統的安全配置不夠完善，存在被攻擊的可能。（2）網絡層安全。網絡信息是網絡層的主要安全問題，包括身份認證，控制不同身份對網絡資源的訪問、傳輸過程中的信息數據保密性與完整性、校外網絡遠程接入、入侵檢測的發現及處理手段等。（3）應用層安全。應用軟件和數據的安全性是應用層安全考慮的主要方面，主要有：學工系統、門戶網站、教務系統、數據庫系統、Web應用服務、電子郵件系統、防火墻及WAF系統及其他網絡應用服務系統等。掃描流程如圖1所示：

3.3安全加固

針對巡檢、漏洞掃描、安全評估過程中發現的各種安全隱患、系統漏洞，通過補丁升級、漏洞修復、進行更加嚴格的安全配置、校園網絡系統架構優化與調整、安全策略升級與完善等方式及時對系統進行安全加固，范圍可覆蓋資產梳理、終端檢查、物理檢查、管理體系優化、人工檢查、漏洞掃描結果加固、滲透測試結果加固（涉及數據庫加固），提高校園網絡的安全性、抗攻擊和防病毒入侵能力，降低網絡安全事件發生的可能性。采用基本安全配置定期檢測和優化，提高各系統、設備的密碼復雜度及修改密碼，系統漏洞檢測、修復處理，訪問控制策略完善配置，安全的遠程接入方式，開啟文件系統的審計策略，開啟系統日志記錄并定期進行分析，定期升級操作系統及更新安裝補丁等手段對校園網絡進行安全加固。加固完成后，定期對校園網絡的安全性進行評估，確保校園網絡中各業務系統、網絡設備、安全設備具有較高的安全性和抗攻擊能力。加固流程如圖2所示：

4結語

科學合理成體系的校園網絡安全運維能有效緩解校園網絡面臨的風險問題，將網絡安全事件從傳統的事后處理逐漸轉變為事前防范，能極大提高網絡運維和安全管理水平，增強校園網絡的安全性，提供更好的用戶體驗，從而實現安全、穩定、抗風險能力強的校園網絡環境。

參考文獻

[1]莊天天.安全運維平臺關鍵技術的研究與實現[D].北京:北京郵電大學,2013.

[2]吳京偉.大學校園網絡運維體系研究[D].合肥:合肥工業大學,2009.

[3]張先哲.信息系統安全運維管理平臺建設研究[J].軟件工程師,2015(5):38-39.

篇3

醫院之中所謂的內網安全威脅的主要存在于對醫院內網進行使用的人以及相關管理人員自身的安全意識上面，以及他們自身的安全操作使用規范上面。從基礎設施上面來說，醫院首先要建立一個具有廣泛影響力、能夠切合實際、規范嚴密的更加人性化的信息化網絡安全管理體系，這樣能夠強化醫院之中的管理人員以及使用內部網絡的醫護人員的網絡安全管理觀念以及網絡安全防范意識，同時也應當擴大對醫院內部的網絡安全管理的技術投人，加強管理人員的對于網絡完全的管理力度，同時制定出完善、細致的獎懲措施、同時制定出細致的安全操作規程，組建專業的網絡安全維護團隊或者設置專門的防御網絡攻擊安全機構，最終為在醫院的制度管理和操作規程方面為內部網絡的安全管理提供良好的安全體制建設。在以上醫院的安全制度的建立的情況下，在醫院的工作人員方面，還應當對其安全意識進行提升，使他們能夠養成良好的網絡完全操作習慣。比如說不去訪問或者瀏覽一些安全級別比較低的與無關自身工作的網站，經常對計算機進行殺毒、修復系統漏洞、打開系統防火墻、經常進行常規應用軟件的升級、養成對重要數據及時備份的習慣。與此同時也要提升醫院工作人員的網絡安全防范的防護意識，盡量不安裝來歷不明或者盜版的軟件，不隨意外聯網站；也要對醫院內部工作人員使用個人的移動存儲設備的方式進行規范，要求其不能隨便插到系統內部網絡計算機上使用。同時在內部計算機上也要利用設置密碼，記錄系統操作日志或者安裝正版的網絡安全防護軟件等方法來實時的控制接入內部網絡的計算機的使用過程。通過安全軟件的安裝和使用，比如說常用的安全防護軟件360安全衛士，堅持每天進行對電腦安全掃描，修復需要修復的系統漏洞。在進行網絡監測過程中，如果在某一時刻系統存在安全隱患的情況下，立刻采取措施，比如說殺毒、備份等來實現對醫療數據的實施保護。

2網絡安全防控措施

在醫院網絡環境在面臨著黑客攻擊、病毒入侵等眾多的網絡安全攻擊手段的安全隱患下，應該首先堅持以不變應萬變處理原則，首先加強醫院在網絡方面的安全管理，制定完善的網絡完全防護制度，對每一個參與對醫院網絡訪問的工作人員或者管理人員分配響應的安全責任，加強安全意識的培養，最終實現對網絡安全環境的有效監控。同時在日常安全防護管理過程中，如有發現問題，應當立即采取措施予以解決，并總結經驗教訓，保證以后在出現同樣狀況時能夠快速正確的解決問題。同時對工作人員安全意識方面，還需要設立專門的網絡安全防護部門，一方面用于對醫院網絡的安全防護進行管理，另外一方面用于對醫院相關工作人員做網絡安全操作培訓。在基礎設計防護方面，可以再軟件上面和硬件方面做出不同的安全防護手段，比如說安裝防火墻、使用殺毒軟件等方式來確保醫院網絡系統不會受到網絡攻擊。

3結束語

篇4

關鍵詞：醫院信息系統；網絡安全；解決策略；研究

0引言

提高網絡系統運行安全指數，對于任何領域來說都尤為重要，特別是作為關乎著億萬人生命健康的醫院。隨著科學技術的發展，醫院信息系統已經開始取得了質的飛躍，特別是已經開始采用專業管理模式進行管理，但是針對醫院信息網絡安全方面仍然有很多問題需要解決。從醫院的整體發展方向來看，日后醫院信息系統的作用只會越來越大，但是醫院信息系統網絡安全不能夠得到妥善解決，那么網絡系統一旦被病毒或者是侵入者侵入，造成系統癱瘓、數據丟失。那么醫院不僅僅會面臨巨大的經濟損失，也會影響到醫生對患者的救治，出現誤診的情況。所以應將醫院信息系統網路安全問題放在首位。只有將此問題解決，醫院才能夠提高工作效率，提高服務質量，向著持續發展的方向前進。

1醫院信息系統的網絡安全簡述

醫院信息系統在使用過程當中，參與人數較多，并且涉及的種類也很復雜，所以極其容易發生網絡安全問題，因為醫院信息系統涉及到患者信息以及隱私，所以對于網絡安全方面要求更高，但是醫院信息系統所受到的威脅較多，主要來源于以下幾個方面。

1.1內部存在的安全問題

工作人員在使用醫院信息系統時，偶爾會使用U盤進行信息傳遞或者是瀏覽網站，這不僅僅會造成工作人員分心同時也會給信息系統中植入病毒，當新的病毒侵入到醫院信息系統時極有可能使網絡中斷，嚴重時會造成系統絮亂致使數據丟失，無法恢復，影響到系統正常使用。當醫院信息系統發生數據被篡改或者是癱瘓時，醫生根據醫院信息系統所提供的信息對患者進行治療，會產生誤診情況，造成醫患糾紛產生，阻礙了醫院健康發展。內部少數工作人員也有可能會利用職務之變進行買賣信息，造成患者信息泄露，使不法分子有可乘之機，會造成醫院與患者的經濟損失。在我國大部分工作人員并不重視網絡安全信息，醫院也沒有提供相應的培訓，所以內部安全問題較為嚴重。

1.2外部存在的安全問題

外部存在的安全隱患主要是由非醫院工作人員對信息系統進行侵入。主要有四種方式，第一種是竊聽，是由黑客使用竊聽技術進行信息系統進行監控，竊取一些敏感數據，用作不法活動，以此達到目的。第二種是木馬，這種方式是遠程控制技術，雖然其不是病毒，但是本身具有記憶功能，一旦醫院信息系統中被植入木馬，那么安全性會較低，醫院信息系統中所使用的賬戶密碼信息就會被竊取，這樣醫院信息系統將被侵入者自由登錄進出，那么信息數據極有可能丟失。第三種就是DOS攻擊，主要針對服務器開展攻擊，通過系統漏洞，向服務器不間斷發送海量數據信息，造成服務器沒辦法及時反應，從而導致服務器無法使用。針對醫院信息系統來看，一旦服務器無法正常使用，醫院針對就診患者就沒辦法快速做出反應，也沒辦法開藥，延誤患者最佳就診時間。第四種就是篡改信息，侵入者進入到醫院信息系統當中，就可以非法進行篡改患者相關信息，從而擾亂醫生診斷結果，致使誤診情況發生。以上安全問題，需要有專業的網絡安全工作人員進行管理，而且對醫院相關工作人員也要提出一定要求，進行網絡安全知識講座，但是從目前各個醫院情況來看，這方面培訓仍然欠缺。

1.3網路安全管理方面存在的問題

醫院信息系統針對網絡安全方面需要做的工作有很多，比如說需要工作人員對系統進行定期殺毒以及系統補丁更新等，但是大部分醫院雖然在電腦上安裝了殺毒系統，但是使用的次數較少，并不能及時消除病毒，致使網絡系統容易被侵入。也有少數醫院為了避免遭受外部病毒侵入，會將IP地址和MIC地址進行綁定，使每臺機器進行獨立操作，雖然能在一定程度上達到防御效果，但是也增加了操作難度。

2醫院信息系統網絡安全解決策略

醫院想要健康發展，離不開信息系統的支持，能夠保證醫院信息系統網絡安全的方式有很多，目前主要方式是使用多種入侵檢測技術進行安全檢測，同時與防火墻技術進行相互配合，可以有效提高數據的安全性。

2.1物理安全管理策略

物理安全能夠保證醫院信息系統發揮最大作用，所以我們應該針對醫院信息系統的基礎設施進行維護。首先，我們應該維護好中心機房的工作，要保證中心機房內的空氣溫度濕度在恒溫狀態，減少中心機器的損傷。同時中心機房也應該禁止非工作人員進入，保證機器不受人為傷害。醫院也應該明令禁止工作人員將個人設備連接到醫院電腦上，以及不能使用醫院電腦進行查閱使用其他網站。從而阻止由內部侵入病毒。同時醫院也應加強對相關工作人員網絡安全意識的培訓，定期的組織專業認識針對這以方面進行講解，從根本上提高工作人員的防范意識，避免由內部人員帶入病毒。

2.2防火墻技術與入侵檢測技術聯動方案

防火墻技術作為醫院信息系統的第一道安全保護技術，雖然并不能防御未知病毒，但是入侵檢測技術卻可以幫助防火墻進行防御，因為入侵檢測技術能夠利用人工智能技術，使用科學有效的算法防御檢測到未知病毒，所以由入侵檢測技術進行前期檢測，把檢測結果發送到防火墻，由防火墻進行防御，從而達到防御未知病毒的效果。比如有侵入者通過接口發出攻擊行為，那么受到保護的網絡就會將信息發送到入侵檢測系統，通過識別以后，將最終結果通知到防火墻，防火墻會根據情況進行阻斷網絡提出預警信息，通過聯動，就能夠起到一定的防范作用。

2.3備份技術的應用

但是再嚴密的系統，都存在這一定的漏洞，一旦醫院信息系統被侵入，造成數據丟失致使系統無法工作，那么醫院將會面臨巨大損失。所以一定要有備份系統，如發生意外，那么及時啟動備份系統就能夠將數據信息保護起來。傳統備份系統有信息備份、人工備份等等，但是傳統備份的缺點就是恢復信息較為麻煩，常常需要較多的時間和人力才能夠恢復，這就會影響工作效率，耽誤病人就醫，甚至是耽誤治療。因此醫院系統應該使用新的備份技術?？梢詫浞菁夹g建立在存儲層以及網絡層當中。存儲層中有主要磁盤陣列和次要磁盤陣列，在其中安裝備軟件，那么數據通過主要磁盤陣列時，備份軟件能夠及時進行備份，使所有信息能夠被完成保存下來。但是這種備份技術有時候仍然需要人工進行恢復，但是恢復時間將會縮短。網絡層中建立備份系統，就是在信息系統服務器以及磁盤陣列的存儲設備間添加上虛擬化控制器。這樣醫院信息系統所使用得數據經過虛擬化控制器時，所有數據自動被復制成兩份進行存儲，并且分別存在不同的磁盤當中。這樣所有數據能夠保持一致。當其中一份數據被篡改或者是丟失時，能夠在最短時間內啟用備份數據進行使用，并不會影響到工作人員的使用。并且這種方式不需要人工監測，降低了成本，提高了維護質量。因此這種備份技術被廣泛認可應用。

3總結

綜上所述，醫院信息系統能夠受到的網絡安全問題主要就是內在安全問題和外在安全問題，針對這兩個問題進行了分析，并提出以防火墻與入侵檢測技術進行聯動，大大減少了信息系統受到攻擊所要承擔的風險。同時也可以增加了備份技術。這樣就能夠使醫院信息系統得到最大的保護。從而提升醫院信息系統的工作效率，推動醫院能夠更好的發展，為人類做出更多貢獻。

參考文獻：

[1]劉璘.醫院網絡與信息安全策略研究[J].電腦編程技巧與維護，2017.

篇5

關鍵詞：計算機網絡；安全技術；網絡安全維護

隨著我國計算機信息技術的普及，越來越多的政府機構、高等院校和行業企業都采用信息技術，信息化和網絡化己成為當代社會競爭與發展的關鍵因素。對于大多數計算機網絡平臺的用戶來說，往往會以與現實身份截然不同的角色進入網絡社會，許多網絡騙術和交易都是在這個充斥虛擬的世界完成的，這將極大地增加用戶信息被盜用的風險。

1計算機網絡安全的重要性

網絡為經濟繁榮發展創造必要條件，而這條網絡動脈卻為不法分子提供通向犯罪的路徑，特別是近幾年來，這一勢頭表現得尤為明顯，在互聯網行業內掀起異?！吧C”。網絡技術在計算機中的首次應用可追溯至20世紀90年代，隨著時代的變遷，不斷有新型計算機技術涌現，而其能夠實現資源的全面共享，打破了傳統資源壟斷的局面。目前，網絡系統的應用范圍由醫學、軍事以及科研領域逐漸深入人們日常生產生活，但是計算機網絡技術的應用環境存在不確定性以及風險性，在一定程度上為信息安全帶來更大的挑戰，且網絡安全問題經常被人們忽視，多數人在日常網絡系統的應用過程中未曾采取相應的安全防護措施，只有在個人計算機用戶存儲與計算機內部的信息數據遭到不法分子的攻擊，才會實施安全防御措施，并且隨著計算機網絡用戶的逐漸增多，網絡安全問題的關注度也越來越高。因此，加強對計算機網絡安全性的研究，預防計算機網絡病毒入侵，不僅能夠保護計算機用戶的隱私問題，同時能夠有效降低個人經濟損失及社會損失[1]。

2計算機網絡安全問題產生的根本原因

2.1認證技術的缺陷

在互聯網安全日益重要的當下，國家和社會各界對計算機網絡安全維護技術的重視逐漸提高，逐步加強關鍵信息安全技術的研究與應用。從技術角度來看，計算機網絡安全技術被認為是保護網絡安全的第一道屏障，能夠抵御絕大多數的病毒、惡意軟件的侵襲。若黑客通過某些漏洞入侵內部網絡系統，用戶個人信息將展露無遺。對于現代化的計算機網絡而言，數據通信和信息資源共享是其最基本的兩項功能。其中，大量有效數據信息能夠快速傳輸，得益于上級系統所下達的傳輸認證口令，但口令沒有用戶權限分級的概念，安全性相對來說比較薄弱，部分黑客利用網絡存在的安全缺陷和漏洞，通過分析解密，竊取計算機系統的加密密鑰，盜取賬戶內的個人資料，包括用戶名、電子郵件地址以及加密口令，使得認證技術無法有效發揮自身的安全鑒定作用。

2.2易欺騙性和隱蔽性

在信息技術領域，計算機網絡技術屬于尖端技術，具有必要性和先進性，但高水平技術也給計算機網絡犯罪帶來了更大的欺騙性和隱蔽性，可以在不同階段形成肆意網絡攻擊行為。目前，在局域網中，局域網多以Unix作為整個服務系統的主機結構，計算機終端在得到相應的訪問權限之后可對服務器進行訪問，而對于計算機系統的主機而言，只需得到計算機終端的IP地址，便可以將兩者相互連接。其中，一些不法分子抓住這一安全漏洞，為了能夠無限制地對主機進行順利訪問，在獲取局域網內計算機名稱以及IP地址之后，通過相同名稱與IP地址的設置，進而達到最終的訪問目的[2]。

2.3操作系統的易監視性

在對計算機系統實際操作過程中，訪問網站或者應用軟件時，用戶自己的一舉一動都在被監視和記錄，一旦這些信息得不到妥善的保管而被泄露，落到不法分子手中，很有可能被用來從事各種違法事件，例如，監視用戶瀏覽記錄、竊取用戶數據信息及個人資料等。在獲取這些信息數據后，不法分子便可在任何不經用戶許可的情況下，以正確的渠道順理成章地對用戶的計算機系統或者網絡數據信息進行肆意的訪問，一步步對終端進行全面控制。

3現階段計算機網絡安全存在的主要問題

3.1計算機病毒

近年來，計算機病毒總數繼續高漲，一旦計算機系統遭受并不入侵，將會對系統進行惡意篡改、刪除或者干擾，使一種能夠造成系統無法正常運行或數據損失的行為。計算機病毒易擴散呈爆發性，防御起來比較難，這種程序預測難，潛伏期長，隱蔽性強，破壞性大，主要是在沒有經過用戶許可的情況下對用戶信息復制，并利用網絡進行大范圍擴散。

根據最新的粘度計算機病毒疫情調查報告顯示，2017年中國計算機病毒仍處于活躍期，主要有4種方式：（1）木馬病毒。木馬病毒在全部計算機病毒總數中仍然處于高比例攻擊范疇，該病毒程度大多藏匿在用戶網址中，轉化成其他形式誘導用戶點擊查看，進而實現對用戶信息的獲??；（2）蠕蟲病毒。自計算機時代到來，蠕蟲病毒就已經存在，蠕蟲病毒是一種沒有任何人工干預即傳播的惡意軟件，無需點擊壞鏈接或者打開受感染的附件?？梢酝ㄟ^廣泛開放的環境迅速傳播，而不僅僅是分割網絡，訪問受限，數據被鎖

定的環境。2017年5月12日起，在全球范圍內爆發的“永恒之藍”網絡攻擊事件，整個歐洲以及中國國內高校網、企業網、政府網中招，被勒索支付高額贖金才能解密恢復文件。（3）腳本病毒。所謂“腳本病毒”，其實就是使用JavaScript代碼編寫的具有惡意操作意向的程序代碼，比如修改用戶操作系統的注冊表來設置瀏覽器的首頁等。（4）間諜病毒。該程序的恐怖之處在于，其他病毒所破壞的都是電腦軟件，最多也是操作系統、數據文件，而間諜病毒破壞的是電腦硬件，導致電腦無法正常運行。

3.2計算機自身系統安全問題

經過WannaCry和Petya這兩次全球范圍的勒索病毒爆發事件，一方面，不得不承認，系統的安全與威脅往往只隔著一層紗，或許一封偽裝過的電子郵件就可以將其輕易戳破；而另一方面，即便所有新產品都己預裝最新系統，但仍有大量的老舊設備還未進行升級，仍然有大量的用戶不知道老系統在安全方面的隱患?？梢哉f，在計算機安全的道路上，從系統、軟件、硬件，到用戶自身的意識、行為，仍有很長的路要走。

4計算機網絡安全技術在計算機網絡安全中的具體應用

4.1利用防火墻技術有效預防病毒入侵

計算機病毒是計算機網路技術中較為常見的安全威脅類型，嚴重影響計算機網絡系統的常規運行，而防火墻技術在計算機網絡技術中的應用，就像一道無形的安全屏障，對計算機網絡進行強有力的保護預防并控制潛在性的安全風險對信息系統的破壞，成為不同網絡和安全區域件的信息交換窗口。與此同時，防火墻技術的防御以及控制功能的表現形式多樣，體現在很多方面。首先，對用戶不同網頁訪問權限進行控制，對計算機網絡系統的存取以及訪問權限進行實時的監督與控制，進而降低信息數據泄漏問題產生的概率。其次，防火墻能夠有效實現網絡訪問地址在不同界面之間的轉換，并且支持虛擬專用網絡（VirtualPrivateNetwork，VPN）的功能。

4.2采用數據加密技術

所謂信息加密技術，就是計算機用戶可以對所存儲信息進行加密處理，通過改變信息的儲存算法使信息數據以密文的形式呈現，當信息數據完成傳輸之后，可解除加密處理，信息數據將直接解除密文形式，以正常形式呈現。并且為了能夠進一步保障信息數據免受不法分子的攻擊，用戶在加密與解密的過程中，可設置兩種完全不同的密碼形式，通常被稱為對稱密鑰加密技術和非對稱密鑰加密技術。計算機用戶可以根據實際使用需求采用適宜的加密技術對所存儲信息進行安全防護，一般一個用戶的賬戶擁有量較大，銀行賬號以及密碼往往是網絡黑客等的主要對象，用戶可設定更加有難度的加密技術，例如可利用非對稱密鑰加密技術，增加計算機網絡應用中的安全性能。

4.3入侵檢測技術

所謂入侵檢測技術，其實質是一種對信息的搜集、羅列，例如對計算機網絡數據、操作系統以及應用程序等相關信息進行有效整合，有效檢測系統潛在的安全漏洞，在第一時間對其進行安全預警，有效攔截病毒等安全風險因素的侵略與攻擊。從當前市面上常見的入侵檢測系統來看，主要是分為兩種檢測概念：一種是誤用檢測，其檢測系統的運行主要以當前己知的入侵模式為首要前提，對風險的入侵進行全方位的檢測，其主要優勢在于，具有完備的應急響應機制，能夠迅速對檢測內容進行響應，并且預警性能良好，但是其制約性在于，檢測過程中需耗費大量時間和精力，把入侵行為作為依據，提前建立對應的數據模型；另一種是異常檢測，主要是對系統中所有網絡數據及系統信息進行排查檢測，這種檢測方式在一定程度上，無法達到與誤用檢測系統同等精準的預警效果，錯誤率普遍較高，并且其掃描范圍較大，有時甚至囊括整個計算機系統，極大地提高了對時間的需求總量。

5結語

在計算機技術以及網絡環境不斷變化的今天，雖然計算機網絡為人們創造了良好的生活方式，但是計算機網絡技術也是一把雙刃劍，大量網絡安全問題如系統安全漏洞、病毒入侵、黑客攻擊等對計算機網絡系統的安全威脅程度越來越高。因此，在計算機網絡應用中采取有效的安全防御系統，能夠保障計算機用戶安全風險的產生概率，促進計算機網絡技術的良性發展。

[參考文獻] 

[1]喬志.計算機網絡安全技術在網絡安全維護中的應用[J]城市建設理論研究（電子版），2013 （20）：309-311 

[2]董希泉，林利，張小軍，等.主動防御技術在通信網絡安全保障工程中的應用研究[J]信息安全與技術，2016 （1）：280-284 

篇6

[關鍵詞] 校園網絡安全；網絡攻擊；病毒防治

【中圖分類號】 TP393.18 【文獻標識碼】 A 【文章編號】 1007-4244（2013）11-108-2

一、引言

作為廣泛使用的新興技術，計算機網絡技術已經深入到人們日程生活和工作的方方面面中，尤其對于各大高校，網絡對其產生的影響尤為重要。校園網引用平臺是學校在校園網絡建設方面的重要體現之一，就目前的現狀來看，國內幾乎所有的高校都建立了校園網絡，其中主干帶寬在1000M的高校已經占了大約72.7%。在校園網絡的建設中，國內高校深深地認識到了信息技術對校園網絡系統的發展變化的重要性；目前，隨著校園網的快速發展，信息系統已經應用在學校的方方面面，應用比較廣泛的有校園一卡通、網上評教系統、網上選修課的報名系統、學生成績管理系統等，給學生帶來了很大的便利。校園一卡通與銀行卡之間的綁定，為學生的消費和轉賬提供了便利，學生不需要攜帶過多的現金，就可以在學校的各個超市等消費場所進行消費，并獲得相應的服務。此外，校園卡與圖書管理系統的結合，使得一卡通具備了借書證、閱覽證的功能，學生在圖書館能夠有效地利用自己的時間。同時，校園卡還是學生身份的象征，可以進行計算機的使用，在某些情況下，可以替代學生證，表明學生的身份。然而，越是廣泛的應用，越是對校園網絡安全提出了更高的要求，校園網絡通過交換機和服務器連接，傳輸速度高，但是采用的技術相對比較簡單，安全保護措施也相對較少，因此，給病毒的傳播提供了有利的通道。正如上文所述，校園網很大一部分作用和功能的使用基本局限于于局域網，許多用戶可以在內網和外網之間的頻繁切換，將自己使用的電腦在沒有經過許可的情況下隨意進入到內網使用，造成病毒的傳播和信息的入侵。在校園網的使用中，經常出現IP地址沖突，導致部分的計算機無法進行正常的上網活動，因為用戶數量龐大，查找工作量較困難，與此同時，由于是局域網，網內電腦相互感染系數變大，病毒的傳播更快速，危害更加嚴重。由此看出校園網絡的安全顯得更加重要，網絡安全是一個立體系統，網絡中的信息單元、安全特性需要與IP網絡各個層面之間產生交叉的多維聯系。校園網安全的風險主要來自網絡的不同層面，首先，校園網絡是一個基于IP協議的大型局域網絡，IP 協議采用四層的層級框架，主要由網絡接口層、網絡層、傳輸層和應用層等構成，同時，每一層在執行特定的網絡通信任務需要面臨著由于本身缺陷所帶來的風險。其次，校園各部門業務應用以及同時支持這些應用運行的網絡操作系統、校園數據庫，存在很多的安全漏洞。最后，安全管理的機制、網絡安全的策略以及防護意識的不足都會帶來的不同程度的風險，對此校園網絡的安全必須受到重視，對校園網絡安全采取有效地保護措施，避免校園、學生的利益受到損失。

二、校園網絡安全技術

校園網絡安全面對的隱患，可以從計算機的軟件和硬件兩個方面進行分析。軟件方面是本文研究的重點，其包括操作系統，網絡系統和數據庫管理系統。硬件方面主要是電壓，電波，電路短路等計算機硬件系統本身的故障以及防火墻的局限性。針對上述問題，通過以下兩個方面進行分析。

（一）病毒防治技術

病毒，是最常見的網絡不安全因素，即使能及時更新殺毒軟件，升級病毒數據庫，以及設置相應的防火墻，對軟件進行定期的檢測，病毒也同樣無處不在。殺毒和維護是網絡安全防范的有效手段，尤其是對于外網的權限設置，以及公共機房的電腦軟件的安裝權限。下面通過兩大方面對校園網絡中的病毒以及其影響進行分析。病毒的入侵對校園網絡系統中的學習資源造成了巨大的威脅，嚴重的影響了系統的正常運行，特別是病毒通過網絡傳播，能夠在短時間內導致計算機網絡狀態的癱瘓，給學校造成嚴重的損失，因此對病毒問題要尤為重視，如何防范和解決病毒問題，首先，要明確病毒的危害，對不同的病毒的侵入原理和入侵方式，以及傳播途徑有深刻的認識，繼而，采取相應的措施對病毒進行有效、合理的防范，阻止病毒，杜絕病毒的傳播。例如：木馬病毒，是一種通過遠程控制，簡便，有效入侵的手段。被木馬入侵的電腦變成了傀儡機，入侵者可以在被入侵的電腦上進行任何的操作，如上傳文件，下載文件，刪除文件，修改文件，被入侵者的隱私將蕩然無存。木馬通常情況下是通過執行一系列帶病毒的操作程序入侵用戶的?，F階段的殺毒軟件可以對木馬病毒進行查殺，但是在新出現木馬的時候，可以通過端口的掃描來進行，一旦出現一些新的端口，就必須來檢測是否有木馬的存在。此外，病毒在有些情況下是通過改變，竊取密碼來達到其破壞目的。密碼，是各種軟件和平臺最頻繁使用的保護系統和數據安全的方法。隨著信息技術的不斷深入發展，同學們的日常交流也朝著信息化，網絡化的虛擬世界邁進，QQ，MSN，郵箱，微博的頻繁使用，使得同學們信息交流的安全性面臨著很大的挑戰。由于密碼管理不夠嚴密，經常發生此類密碼被竊等安全事件的發生，因此，對密碼的保護是有效管理的基本方式之一，也是尤為重要的一項。首先，在密碼的設置上，就要杜絕不設口令賬號的存在。在通常情況下，網絡管理人員，默認為服務器是由一個人或者幾個管理的，在安全性方面不存在問題，因此，常常對系統的密碼不做任何的處理和設置。在不設置的情況下，很容易造成系統被入侵，對系統的權限設置的不當，也常受到入侵者的侵襲。例如：對web網頁的權限修改的設置，通常情況下的修改權限設定為任何的用戶都能修改，這樣，就有可能造成任何一個用戶在互聯網上聯系到站點之后，就可以隨意對主頁進行修改。其次，弱密碼的使用，所謂弱密碼就是可以被人很輕易可以猜到，或者破解的字符。弱密碼的設置，給入侵者入侵系統提供了便利，一旦入侵者通過系統和網絡的漏洞得到了需要的文件，他就可以通過相應的程序進行解碼分析進行破解。通常情況下，對于五位數以下的密碼最長的解碼破解時間不會超過十幾分鐘，對于六位字符的密碼也最多要十幾個小時，但是對于七位數或者以上的至少耗時一個月左右，當然，對于專業的破解專家和黑客例外。但這在一定程度上說明了密碼在設置的時候要按照一定的原則，在設置的時候秉持著使用不常見容易記的長密碼，交叉使用大小寫字母的原則以增加被破解的難度。

（二）系統安全防范

系統安全，就是要防止各種病毒通過系統漏洞進行傳播。系統漏洞的存在，給病毒的傳播提供了便利的條件，因此，要及時的發現并修補系統漏洞。及時發現，就需要登陸到相關的網站，使用有效的軟件，下載補丁程序并進行有效地升級。在校園網中的服務器，要為用戶提供各種相應的服務，服務多，對應的系統漏洞就面臨更大的挑戰，這就需要在向公眾提供所需資源的同時，對開放權限進行設置，例如，在對FTP的功能設置的時候，就不要向公眾設置，因為要開放FTP功能，就可能通過上傳運行某些程序使得服務器受到攻擊。FTP的使用主要是一個資料共享的平臺，在平臺上的資料可以為同學們的日常學習和生活帶來幫助和指導，因此，屬于學校內部的傳播資源，一般情況下不允許外網的訪問，尤其是不安全因素的訪問有可能造成的破壞作用。所以，不可信賴的數據是網絡不安全的一個重要因素，在來源的識別和上傳文件的安全性上要進行記錄和掃描，避免病毒的入侵。入侵者，通過非法手段訪問的網站信息，例如學生的成績管理系統，評教系統，以及學生的校園卡消費系統，這些系統都應該有各自的使用權限，只有授權者才有權利進入相應的系統，查看到數據。虛擬子網是一個有效的方式，鑒于目前的高校網絡局域網的建設是以太網為基礎的，任何的兩節點之間的通信數據包，都可以被同一個網絡中的另一外的節點所接收。因此，可以通過不同的用戶安全級別和需求來對虛擬子網進行劃分。劃分的主要方式為三層交換機來進行。采用交換機局域網可以將網絡分段，也就是說，根據不同的應用業務和需求，安全級別對網絡分段進行隔離，進而實現不同的應用業務，實現相互間的訪問控制，進而，達到限制某些用戶的非法訪問的目的。在高校的網絡安全中，應用點是很多的，而且彼此的應用目的和需求也是不同的，此外，不同需求者的使用位置比較分散，因此子網的劃分就便于進行網絡管理。例如，在高校的職能部門中的財務部，人事部以及教務部的安全性有相對更高的要求，這些區域的子網就需要單獨的劃分，提高其安全性，而對于師生經常使用的交流和共享平臺的安全要求就相對較低一些，因此，這些就應該設定方便師生通過網絡進行交流的安全模式。這就要求系統分析通過網絡協議、服務器和操作系統上的多重結合，防止非法的操作竊取訪問權限，防止入侵者進入系統對相應的數據進行刪除，篡改等惡意的破壞行為，從而，保障校園網絡中系統原始數據的安全性，真實性和完整性。

三、結論

校園網絡安全是校園網絡系統正常運行的基礎，隨著網絡技術的發展，能夠使得更多的電子信息技術、網絡設備應用到校園網絡中來，校園網絡環境也會變得更加重要。本文通過對校園網絡安全現狀及面臨的問題進行分析，側重從病毒防治和系統安全兩個方面來闡述如何提高校園網絡安全的有效措施，在很大程度上可以有效的阻止不安全因素的影響，對日常校園的網絡使用和健全校園網絡具有指導性的意義。

參考文獻：

[1]丁吉安.常用網絡安全技術在校園網中的應用研究[D].濟南：山東大學，2011.

[2]徐波濤.校園網網絡安全方案設計與工程實踐[D].北京：北京郵電大學，2012.

[3]黎向華.入侵檢測與校園網絡安全研究[D].長沙：湖南大學，2011.

[4]沈忠誠.校園網絡安全體系研究[D].南京：南京理工大學，2011.

篇7

關鍵字：網絡安全；安全業務；密碼技術

中圖分類號：TP393.08文獻標識碼：A文章編號：1009-3044(2011)12-2789-02

計算機網絡和互聯網的發展，網絡安全越來越受到人們的和關注。網絡安全措施應能勝任、應對不同的威脅和脆弱性，才能實現網絡信息的保密性、完整性和可用性。信息的安全與暢通，局域網的安全防范措施已迫在眉睫。

1 網絡安全業務

網絡通信安全性涉及面很廣泛，甚至在犯罪行為中也涉及到部分網絡通信的安全性問題，往往會構成嚴重的犯罪行為。網絡通信安全自身主要關心的是確保其他無關人員不能讀取，更無法修改傳送給他人的資料。網絡通信的安全也對合法消息的截獲和重播進行處理與分析，一般來說，網絡安全問題的出現往往是由于有人惡意對某種能夠獲取利用的信息和資料進行截取和攔截而引起的。

網絡通信安全的內容可以概括為以下幾個方面。

保密性：保密性是指防止靜態信息被非授權訪問和防止動態信息被截取解密；完整性：完整性要求在存儲或傳輸時信息的內容和順序都不被偽造、亂序、重置、插入和修改；可靠性：可靠性是指信息的可信度，包括信息的完整性、準確性和發送人的身份認證等方面；實用性：實用性即信息的加密密鑰不可丟失；可用性：可用性是指主機存放靜態信息的可用性和可操作性；占有性：占有性是指存儲信息的主機、磁盤等信息載體被盜用，導致對信息占有權的喪失。保護信息占有性的方法有使用版權、專利、商業秘密、使用物理和邏輯的訪問限制方法，以及維護和檢查有關盜竊文件的審計記錄和使用標簽等。

2 網絡安全保密技術

密碼學是基于數論、概率統計、橢圓曲線等理論的一門學科，是計算機科學和數學的有機結合和發展。密碼技術采用密碼技術對信息加密，是最常用和有效的安全保護手段。目前廣泛應用的加密技術主要分為兩類：對稱算法加密、非對稱算法加密與公鑰體系

2.1 密碼體制

完成加密和解密的算法。通常，數據的加密和解密過程是通過密碼體制(cipher system) +密鑰(keyword)來控制的。 密碼體制必須易于使用，特別是應當可以在微型計算機是使用。密碼體制的安全性依賴于密鑰的安全性，現代密碼學不追求加密算法的保密性，而是追求加密算法的完備，即：使攻擊者在不知道密鑰的情況下，沒有辦法從算法找到突破口。

密碼體制可分為兩大類：單鑰體制和雙鑰體制。單鑰體制的加密密鑰和解秘密鑰相同見圖1。其系統的保密性基于密鑰的安全性，但如何產生滿足保密要求的密鑰是這類體制設計和實現的主要課題。另一個重要問題是如何將密鑰安全可靠地分配給通信對方，包括密鑰產生、分配、存儲、銷毀等多方面問題。若密鑰管理得不好，則系統安全難以保證。典型的單鑰算法有DES，IDEA等。

而在雙鑰體制下，加密密鑰與解密密鑰是不同的，此時根本就不需要安全信道來傳送密鑰，而只需利用本地密鑰發生器產生解密密鑰即可。雙鑰體制將加密和解密分開見圖2，而系統的安全性在于從公鑰kbl和密文C要推出明文M或解秘密鑰kb2在計算上是不可能的。由于雙鑰密碼體制的加密和解密不同，且能公開加密密鑰，而僅需保密解密密鑰，所以雙鑰密碼不存在密鑰管理問題。雙鑰密碼還有一個優點是可以擁有數字簽名等新功能。典型的雙鑰密碼有RSA，ELGAMAL，RABIN，基于橢圓曲線的密碼等。

2.2 雜湊技術

雜湊技術是通過雜湊函數單向不可逆性實現的。雜湊函數又稱hash函數，Hash函數(也稱雜湊函數或雜湊算法)就是把任意長的輸入消息串變化成固定長的輸出串的一種函數。這個輸出串稱為該消息的雜湊值。就是一種可將一個 key 對應到一個索引的函數，一個可能的雜湊函數為 h(x)=key % 100 ， (% 傳回 key 除以 100 的余數 ) ，這個函數僅傳回 key 的末兩位數。 若一個特定的 key ，被雜湊到 i ，就降這個 key 及其對應到的紀錄擠旁 S[i] 。 若一個特定的 key ，被雜湊到 i ，就降這個 key 及其對應到的紀錄擠旁 S[i] 。

2.3 數字簽名技術

在網絡環境下，發送方不承認自己發送過某一報文；接收方自己偽造一份報文，并聲稱它來自發送方；網絡上的某個用戶冒充另一個用戶接收或發送報文；接收方對收到的信息進行篡改。數字簽名技術可以解決上述情況引發的爭端。數字簽名與公鑰密碼學緊密相連，公開密鑰和私有密鑰共同組成了密鑰的主要組成部分。數字簽名的過程主要包括內容：簽名過程使用私有密鑰進行：驗證過程采用接受方或驗證方用公開密鑰進行。

一般來說，無法從公開密鑰得出私有密鑰，因此公開密鑰對私有密鑰的安全不產生影響；即認為無需對公開密鑰進行保密，傳播自由，但需對私有密鑰進行保密。因此，在對消息進行私有密鑰加密時，如果可以利用公開密鑰進行解密，即可認為該簽名的所有者就是加密者本人簽名。造成這種現象的原因主要是由于其他人的通過公開密鑰不可能對該消息進行解密，也無法獲悉消息簽名者的私有密鑰來進行解密。

從技術上來講，數字簽名其實就是通過一個單向函數對要傳送的報文（或消息）進行處理產生別人無法識別的一段數字串，這個數字串用來證明報文的來源并核實報文是否發生了變化。在數字簽名中，私有密鑰是某個人知道的秘密值，與之配對的唯一公開密鑰存放在數字證書或公共數據庫中，用簽名人掌握的秘密值簽署文件，用對應的數字證書進行驗證

2.4 身份認證技術

利用Diffie-Hellman密鑰交換協議是一種較好的解決方案。Diffie-Hellman密鑰交換協議如下：首先，Alice和Bob雙方約定2個大整數n和g，其中1

另一種認證體制即基于公鑰的認證的過程(圖3)。

分三個步驟：

1）A選一隨機數RA，用B的公鑰加密傳送給B；

2）B將RA解密后再選另一隨機數RB和會話密鑰KS用A的公鑰加密后送給A；

3）A用會話密鑰KS加密RB傳送給B。A收到第二條消息后可確認對方確是B，因為其他人無法獲取RA。同理，B也可認證A。基于公鑰的認證有一平前提，即認證雙方必須知道對方的公鑰，而這又涉及到了公鑰證書的管理和CA(Certificate Authorization)的架構問題，

3 結束語

對計算機信息構成不安全的因素很多，其中包括人為的因素、自然的因素和偶發的因素。計算機密碼技術是計算機網絡安全保密技術中一項非常重要的技術。而其中人為因素是對計算機信息網絡安全威脅最大的因素。

參考文獻：

[1] 喻鏑.計算機網絡的安全與保密技術[J].現代計算機,2000(2).

[2] 宗葉紅,施揚.TETRA網絡安全保密技術研究[J].現代電子技術,2005(11).

[3] 關啟明.計算機網絡安全與保密[J].河北理工學院學報,2003(2).

篇8

21世紀全世界的計算機都將通過Internet聯到一起，信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候，我國將建立起一套完整的網絡安全體系，特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。

一個國家的信息安全體系實際上包括國家的法規和政策，以及技術與市場的發展平臺。我國在構建信息防衛系統時，應著力發展自己獨特的安全產品，我國要想真正解決網絡安全問題，最終的辦法就是通過發展民族的安全產業，帶動我國網絡安全技術的整體提高。

網絡安全產品有以下幾大特點：第一，網絡安全來源于安全策略與技術的多樣化，如果采用一種統一的技術和策略也就不安全了；第二，網絡的安全機制與技術要不斷地變化；第三，隨著網絡在社會個方面的延伸，進入網絡的手段也越來越多，因此，網絡安全技術是一個十分復雜的系統工程。為此建立有中國特色的網絡安全體系，需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。

信息安全是國家發展所面臨的一個重要問題。對于這個問題，我們還沒有從系統的規劃上去考慮它，從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分，而且應該看到，發展安全產業的政策是信息安全保障系統的一個重要組成部分，甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。

2.防火墻

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。

目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統，提出了防火墻概念后，防火墻技術得到了飛速的發展。國內外已有數十家公司推出了功能各不相同的防火墻產品系列。

防火墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇。在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網絡系統?如果答案是“是”,則說明企業內部網還沒有在網絡層采取相應的防范措施。

作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、型和監測型。

2.1.包過濾型

包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點

,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。

包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。

但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。

2.2.網絡地址轉化—NAT

網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。

NAT的工作過程如圖1所示：

在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。

2.3.型

型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。

型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。

2.4.監測型

監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部。因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品

篇9

關鍵詞：網絡安全；實戰；案例

在“網絡安全技術”教學中，充分利用計算機網絡功能，開展以自主學習為前提、以合作交流為形式、以探究建構為目的的實戰式案例教學模式，無疑對實現學生認知的深化和建構，教學雙方發生角色互換，喚醒學生的主體意識，發展學生的主體能力，塑造學生的主體人格，培養學生科學的探索精神和創造能力是大有裨益的。

一、案例教學的模型設計

1．案例教學的理論基礎

現代科學理論認為，思維是人腦對信息進行采集、分析、綜合、存儲、加工處理，并做出判斷推理的過程。這一過程可分為信息的提供、加工處理和輸出三個步驟。在這個過程中，教師作為引導者提供源信息，并指導學生對這些信息加工處理：學生是主體，分析、綜合、加工處理這些信息，不斷豐富自己的知識和技能。案例教學是完成課程內容教學和知識延伸很重要的環節，因此，案例教學是通過對一個具體情景的描述，引導學生對這些特殊情景進行討論的一種教學方法，對培養學生的創造性思維能力十分重要。

案例教學主要的優點在于：

(1)案例教學注重學生的創造能力和實際解決問題能力的發展，它所解決的是如何用更有效的方式(不只是傳授、講座)獲得這些知識。

(2)學生通過案例教學得到的知識是內化了的知識，逐漸學會了如何處理眾多的疑難問題。

(3)通過案例教學，學生不僅可以從中獲得認知的知識，而且有助于提高其表達、討論技能，增強其面對困難的自信心。

(4)案例教學大大縮短了教學情景與實際生活情境的差距。

(5)案例可以把抽象的原理、概念等具體化，學習者可以清楚地認識到這些原理、概念在實際生活中的用處、表現，激發其學習興趣和動力，同時也會恰當地掌握它所具有的特定含義和意義。

以“網絡安全技術”課程為例，在案例教學中討論安全防范的知識，網絡元素性能、特點、網絡物理和邏輯結構、網絡服務器在分層園區網中的安全地位，以及網絡核心、匯聚、接入層的通信性能等問題。可以使學生在學習知識、分析問題、解決問題的過程中，將理論與實踐相結合，深刻理解“學以致用”的意義，使課程的學習網絡安全技術達到知識和能力兩方面有機融合的目標。

2．案例教學方法基礎模型的構建

案例教學方法重在于案例的設計、應用與分析，一個案例是一個實際情境的描述，包括有一個或多個疑難問題，同時也可能包含有解決這些問題的方法。在案例教學中，教師與學生承擔著更多的教與學的責任，要求有更多的投入和參與。作為教師，他有責任去選擇和組織所要討論的材料，要從大量的資料中選擇出適當的案例，如果沒有現成的案例，還要自己動手撰寫這些案例，并以一定的程序把它呈現出來；經過精心設計案例、引入案例操作與分析、布置合理的開放式任務，使學生所學的知識得到遷移和升華，通過合理的評析，使學生產生積極的學習動機。作為學生，必須做好課前準備，要對所提供的具體事實和原始材料進行分析、討論、并從中得出有用的結論來。

根據“網絡安全技術”教學內容和教學要求的特點，結合案例教學法理論，我們構造兩個集網絡安全理論和實踐操作平臺，即虛擬網絡環境下的網絡安全技術理論劉南開，華北科技學院教務處綜合科科長，副教授。與實踐和網絡硬件搭建的網絡實戰平臺。其基本流程如下圖所示：

二、案例教學方法的實施

將教學內容與案例結合，進行分類、合理安排，不同的教學內容采用不同的教學方法。第一類是基本內容，它是課程的基礎。由教師帶領學生進行系統學習，當學生入門后，即讓學生開始實驗設計與操作，以加深對概念、技術的理解。學生在完成學習任務的過程中提出的問題，教師根據教學內容結合實例中類似的問題給學生適當指導，學生從課程的案例分析結合實例并通過模擬實驗獲得。案例的設計采用兩種方式，其一，利用授課計算機，進行任務式案例教學。逐步過渡到自主學習的狀態，為學生進行創造性思維奠定了良好基礎。其二，利用游戲軟件，攻關式案例教學，利用學習黑客攻擊操作系統的軟件：研究究竟如何入侵電腦網絡系統內部。網絡安全是攻與防的有機體，學習入侵，才能更好地學會防范，按照關口設置要求作為案例實現目標，在游戲中學習知識，寓教于樂。

在案例式教學中重點突出網絡安全系統設計的結構化和系統化的思維方法。結構化是一種描述事物內部規律性的方法，是系統思維的重要方法之一。而系統思維被認為是現代科學技術發展的主要特征之一，要求把對象放在系統中加以研究，從系統的觀點出發去研究整體與局部，探索系統各因素的特征及解決問題的最佳方案。在機房環境下，給同學們配備好相應的網絡硬件，如w2K服務器、交換機、路由器、防火墻。首先小組成員集體討論，理解問題的要求。采用模塊化的方式每人承擔一部分，團結協作到問題的解決。小組成員均要發表自己對問題的求解方法，集思廣益求得對問題解決的一致方法，待問題解決后，還要進行小組自評與組間互評，以找出設計方案存在的不足，最后，采用小組對抗方式，進行實戰安全攻防對壘，真正了解理論和實踐中的差距和不足。各自小組進行輪流角色，每小組在角色變換時進行攻防經驗交流，為在下一輪攻防前進行安全設置，彌補漏洞為實戰對抗演練進行準備，經過多輪的實戰演練，調動了同學學習的積極性，培養了學生的學習和創造性思維能力。

三、結束語

根據不同的課程要求，采用基于實戰式案例教學方法，在實施學與教的過程中，深刻體會到，此種教學法旨在通過案例引導學生解決復雜的、實際的問題，使學習建構起寬厚而靈活的知識基礎，發展有效的解決問題技能。通過實戰訓練，發展自主學習和終生學習的技能，實戰雙方成為有效的合作者，對培養學生的學習動機和創造性思維能力，可以起到事半功倍的效果。

篇10

關鍵詞：網絡安全；態勢；預測；方法

中圖分類號：TP393.08

計算機要想健康正常的運行，是與網絡分不開的。近些年來隨著網絡被廣泛的應用，網絡中存在的安全問題也日益增多，經常會有一些病毒入侵到網絡，嚴重時甚至會引起計算機網絡的崩潰，影響網絡的正常運行。目前，網絡安全的問題嚴重干擾著社會的生活和生產，其安全問題已經成為了世界重點關注的對象。為了能夠時刻保持網絡的正常運營，提高網絡的安全特性，就應該采取先進的方法對網絡的安全態勢做好準確的預測，這樣可以減少網絡安全問題給社會帶來的經濟損失。

1 網絡安全態勢預測的概述

網絡安全態勢預測方法的使用能夠查找到網絡系統中潛在的安全問題，該方法可以對網絡的一些原始事件進行處理，之后把有著一些相關特性，能夠體現出網絡安全問題特點的一些信息搜集出來，利用數學的模型以及一些相關的經驗，對網絡安全問題的產生和發展進行預測，從而為網絡安全的管理提供有力的數據信息。

網絡安全態勢的評估具有層次特性和復雜特性兩個特點。該評估的模型有三種：第一，網絡態勢的察覺；第二，網絡態勢的理解；第三，網絡態勢的預測。網絡態勢的察覺是首先對網絡態勢的相關元素進行提取，之后把網絡態勢的相關元素進行分類處理，它是像素級別的結合；而網絡態勢的理解是通過專家的系統與網絡態勢的特征相結合，之后對當時的網絡態勢做出解釋，該模型屬于是特征級的結合；網絡態勢的預測是對多個級別做網絡安全態勢的預測，預測出它的單體行為一直到全局網絡態勢的轉變過程，該模型屬于是決策級別。

因為在對網絡安全態勢進行評估的整個過程中會有很多的數據出現，因此要對該評估方法負責度進行確保，還得對一些相關虛警信息進行解決，從該意義來說，如果想對網絡安全態勢評估的科學性以及精確性進行提高，一定要有很高的網絡建模能力以及對數學方法的使用能力。從目前的網絡技術和理論水平來說，一般情況下可以使用數據信息的挖掘以及數據信息的融合等方法對網絡安全態勢進行預測。數據信息的挖掘是把一些具有潛在使用價值的數據信息從網絡的數據庫當中找出來的整個過程，在評估的整個過程中該數據信息挖掘方法的使用，能夠幫助網管人員對歷史的數據信息進行研究，從而找出有利用價值的潛在信息，對網絡安全的問題進行精確的預測。

從目前的情況來看，數據結合的定義還沒有得到統一，隨著使用領域以及使用角度的不一樣，它的概念也存在著不同之處。數據結合的定義最早是在傳感器數據信息處理中所使用的，是指那些按照時序得到傳感器觀測的數據信息，之后根據相應的準則利用計算機的技術對它做出分析和匯總，進而完成對網絡安全態勢的預測和評估。和單源的數據信息相比較，同源的數據信息結合之后會在統計的方面表現出明顯的優勢，另外多個傳感器還能夠提高整個系統的精確度。一般來說，數據結合的過程中會表現出它的多個級別以及多個層面數據信息處理的特征。

2 網絡安全態勢預測的基本原理

當所分析對象的范圍比較廣，構成十分復雜，同時還被很多的因素所干擾的情況之下，一般能夠用態勢來對分析對象的狀態和表現進行說明，比如在軍事領域當中，戰場的態勢則是它的一種。然而把態勢這個定義在網絡安全的管理中引入，它的核心目的就是要完成一個網絡安全態勢的綜合體系，并且要求它一定要具備很高的精確性以及有效性，進而能夠讓網管人員更加全面，更加及時的對網絡的整體安全情況進行把握。網絡安全態勢的預測和管理是根據網絡安全問題產生的有關參數來做加權處理的，比方說產生的頻率，產生的次數以及被威脅的程度等，之后把所有的網絡安全數據信息結合在一起，得到一個能夠正確顯示出網絡情況的態勢值，最后再根據以往的態勢值以及當時的態勢值對以后的網絡安全態勢進行預測。網絡安全態勢一般是按時間的順序對數據信息進行搜集的，因此在進行處理的時候可以把它當成一個時間序列，預測模型在對變量進行輸入時要選取前段時間的態勢值，而下一段時間的態勢值作為輸出。

由此可以看出，網絡安全態勢預測就是對序列很多時刻的態勢值進行研究和分析，之后對以后的很多態勢值做出預測，主要分成兩個步驟：第一，使用訓練的數據，搭建網絡安全態勢預測的模型，之后使用該模型對以后某個時間段的網絡安全態勢進行分析和預測。第二，由于網絡安全態勢可能會表現出不確定以及隨機的特性，因此為了能夠提高預測結果的精確性，不能只使用以往的預測模型，還應該使用支持向量機對網絡安全的態勢做出預測。

3 網絡安全態勢的評估方法

網絡安全系統的結構是非常復雜的，按照該系統的整體結構可以把它分成四層：一是系統的廣域網；二是系統的局域網；三是系統的主機；四是系統的服務。層次化網絡安全態勢的評估模型使用的主要評估方法是由下到上，后整體先局部， 具體情況如下圖。網絡入侵人員通過網絡中的一些漏洞向計算機網絡進行進攻，主要是以相關系統所提供的多源安全數據信息作為最原始的信息數據，之后對原始的信息數據進行更加精確的定位。

首先，根據對入侵層的統計來對入侵的程度，入侵的頻率和次數以及網絡帶寬的使用率等數據信息進行分析，從而獲得各個服務層的安全情況；第二，按照各個服務層在主機上的重要程度，算出每個服務層的安全情況，之后再對該主機防御增強的情況進行測算，最后得到該主機的整個安全情況，也就是主機的服務情況和主機的防御水平進行對比，從而對網絡安全系統中各個主機層的安全情況進行評估；第三，按照主機的安全情況，對局域網層的各個局域網系統的安全情況進行研究和分析；第四，在得到局域網安全情況的前提下，再與網絡系統的結構相結合對整個網絡的安全情況作出評估。

4 結束語

綜上所述，目前隨著網絡的普及，網絡安全問題已經得到了世界各個領域的廣泛關注。而對網絡安全態勢的預測也已經成為計算機領域中的熱點研究對象之一，它是預防網絡病毒入侵的重要手段。網絡安全態勢的準確預測可以給網管人員提供過去的以及當時的網絡安全情況，另外，還能預測到未來某個時間段的網絡安全情況，降低網管人員在數據方面壓力的同時，可以最大程度的確保網絡的安全運行。

參考文獻：

[1]張翔.基于支持向量機的網絡攻擊態勢預測技術研究[J].計算機工程，2012（11）：10-12.

[2]陳秀真.網絡化系統安全態勢評估的研究[J].西安交通大學學報，2012（4）：404-408.