網絡安全的根源范文

導語：如何才能寫好一篇網絡安全的根源，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：校園網 網絡安全 Agent技術 分布式結構

中圖分類號：TP311 文獻標識碼：A 文章編號：1007-9416（2016）06-0218-01

隨著計算機技術和網絡技術的快速發展，全國絕大多數的高校均已建成了自己的校園網絡。校園網為教職員工的教學、科研和管理，以及廣大學生對網絡的各項應用提供了基本保障。由于網絡應用的深入、規模的擴大和數據存儲量的增加，相關的網絡安全問題如數據丟失、系統癱瘓、病毒入侵、網絡阻塞、信息傳輸中斷等問題都對校園網絡的健康發展產生了影響和制約，對學校的教學、管理、科研等活動也產生了很大影響。運行一套行之有效的校園網絡安全管理與維護系統是校園網絡安全管理與維護人員的切實需要。

1 Agent技術

IT界的Agent概念是由麻省理工學院的著名計算機學家和人工智能學科創始人之一的Minsky提出來的，他在“Society of Mind”一書中將社會與社會行為概念引入計算系統。傳統的計算系統是封閉的，要滿足一致性的要求，然而社會機制是開放的，不能滿足一致性條件，這種機制下的部分個體在矛盾的情況下，需要通過某種協商機制達成一個可接受的解。Minsky將計算社會中的這種個體稱為Agent。這些個體的有機組合則構成計算社會-多Agent系統。Agent是指駐留在某一環境下，能持續自主地發揮作用，具備駐留性、反應性、社會性、主動性等特征的計算實體。

Agent具有自治性、反應性、主動性、社會性、進化性等特性，和對象一樣具有標識、狀態、行為和接口，但Agent和對象相比，又有以下差異：

（1）Agent具有智能，通常擁有自己的知識庫和推理機，而對象一般不具有智能性；

（2）Agent能夠自主地決定是否對來自其它Agent的信息做出響應，而對象必須按照外界的要求去行動。也就是說Agent系統能封裝行為，而對象只能封裝狀態，不能封裝行為，對象的行為取決于外部方法的調用；

（3）Agent之間有通信通常采用支持知識傳遞的通信語言。

但Agent可以看作是一類特殊的對象，即具有心智狀態和智能的對象，Agent本身可以通過對象技術進行構造，而且大多數Agent都采用了面向對象的技術，Agent本身具有的特性又彌補了對象技術本身存在的不足，成為繼對象技術后，計算機領域的又一次飛躍。全球范圍內的Agent研究浪潮正在興起，包括計算機、人工智能、系統集成以及其它行業的研究人員正在對該技術進行更深入的研究，并將其引入到各自的研究領域，為更加有效地解決生產實際問題提供了新的工具。

2 系統設計

校園網絡安全管理與防護系統運行于具有分層結構的校園網絡環境中，根據學校網絡分散、復雜等特點，系統采用了網絡分布式體系結構，終端Agent運行在各個用戶終端上負責監控和收集系統信息，而控制服務器則可以進行集中的管理，該體系結構兼具靈活部署能力與良好拓展能力兩個特點。系統體系結構如圖1所示。

系統主體包括：控制服務器、用戶終端控制臺和用戶控制臺。其中用戶控制臺和控制服務器之間采用 C/S 模式確定規則部署、告警信息設定和統計報表等功能；終端用戶控制臺和控制服務器之間采用C/S模式實現各類數據上報，采用B/S模式實現客戶端軟件下載安裝；控制服務器還提供 B/S 模式實現服務器自身維護和管理，包括軟件升級、服務管理和用戶管理等。

網絡安全管理與防護系統各模塊功能如下：

（1）控制服務器：作為整個系統的核心，具有集中存放、管理和分析監控數據的功能?？刂品掌鬟€完成構件的集中管理、自動部署以及快速開發、組裝，同時新的數據采集探針、監控分析構件也可在系統平臺上快速開發、部署。控制服務器具有拓展靈活的特點，適用于各種復雜的監控應用環境。

（2）用戶終端控制臺：為終端用戶提供的圖形用戶終端，以供用戶查看當前終端相關安全信息。Agent 駐留用戶監控目標機上，負責按設定規則對桌面操作進行監控，在必要時觸發報警，并實時對控制服務器上傳數據。同時用戶終端控制臺還具有遠程控制和實時錄像的功能，能夠對信息系統的多層面進行監測、掃描。通過多途徑的數據過濾、分析和處理，及時反映系統的運行狀態和性能。Agent 還完成探針組件包的調度、升級更新等管理操作。用戶終端控制臺又細分為3個模塊，Agent 管理模塊、Agent監控模塊和終端用戶應用程序模塊。

（3）用戶控制臺：所有管理工作運行的平臺單位。用戶控制平臺為了便于控制利用，實現了用戶終端的圖形可視化，為用戶提供查看報表、配置規則及其他相關方面的信息。

3 Agent模塊功能設計

由于 Agent 具有的自適應、自組織能力，將其安裝在被監控機器上，負責自動執行接收到的監控策略，同時相應地更新策略信息，并記錄監控信息，在適時地上傳警報。其中包含了通訊Agent、監控Agent和策略庫。通訊Agent用于實現系統和被監控主機間的通信，可收發來自控制端、配置端和 監控Agent端的數據，同時更新被監控機器策略庫中的子策略。策略庫存儲了被監測機器的所有策略，為監控Agent端管理提供了規則。監控Agent負責根據策略庫中的規則來對數據包進行分析，并產生日志和發出警報。

整個Agent端可以劃分為監控和管理兩大模塊，兩個模塊都是由多個不同功能的Agent子模塊組成，監控模塊分為：網絡連接Agent、設備監控Agent、系統環境監控Agent、程序行為監控Agent、文件目錄監控Agent。管理模塊分為：Agent自我保護、Agent狀態管理、桌面違規響應動作、桌面動態信息實時采集。

4 系統測試及結論

系統測試環境的搭建依附于學院校園網絡之上，各終端之間均是 100M連接，網絡硬件性能良好。測試提供了1臺控制服務器（獨立硬件設備），50臺終端用戶機，其中選擇一臺終端測試機器作為用戶控制臺主機，負責規則部署下發和審計查詢測試。

篇2

關鍵詞：計算機技術；網絡安全；安全管理；途經措施

在計算機技術發展的初期，網絡技術還未與計算機連接，該技術還僅僅只限于科學家等專業人員對數據的整理、分析方面。但隨著知識爆炸和工業革命的到來，計算機信息技術網絡安全也正面臨著前所未有的挑戰和威脅。黑客、病毒和漏洞等種種安全問題正一步步地逼近，計算機信息技術網絡安全所設立的防護墻正被逐漸摧毀。因此我們務必要提高警惕，加強防范意識，利用可實踐性的舉措加強安全管理工作。

一、加強操作系統的安全管理

操作系統對于任何一臺計算機而言都有著至關重要作用，它不僅是實現人機對話的載體工具，更重要的是運行良好的操作系統能夠成為保保護計算機技術網絡安全的屏障。因此要想加強操作系統的安全性，首先我們應系統了解操作系統的安裝途徑，在安裝過程中務必購買使用官網公布的正版運行系統[1]。其次在使用操作系統過程中，我們可以運用端口掃描法對隱藏的病毒漏洞進行排查檢測，具體方法為：運用計算機自身所擁有的端口掃描功能對連接的網絡端口檢測，并在之后將檢測結果與網絡的漏洞數據庫進行對比和修補。切實保障操作系統的安全性是加強計算機技術網絡安全管理的關鍵一步。

二、加強網絡連接環境的安全管理

根據調查發現，計算機技術網絡安全的指數高低與其外連網絡環境的好壞有著密不可分的關系。外連網絡環境不僅在很大程度上決定著病毒、黑客和漏洞的數量，而且它所攜帶的病毒都具有很強的傳播性和殺傷力，比如風行一時的“熊貓燒香”病毒就是通過外聯網絡傳播的。因此加強外聯網絡環境的安全管理工作是網絡工作者不可推卸的責任。現在外連網絡一般都會采用無線、寬帶、撥號和VPN連接等方式來獲取網絡，但這些途徑中都隱匿著不少的安全隱患。為了減少威脅，首先網絡工作者應在每個計算機的終端對其IP地址和近期常用網絡進行安全檢查和評估，只有從根源掐斷病毒侵入才能提高安全管理的有效性。其次我們應盡量避免使用來路不明的公用網絡，頻繁地更換外聯網絡的地點會加大病毒入侵的可能性，與此同時對于經常使用的可靠的網絡連接不要輕易分享給其他計算機的終端，只有樹立防微杜漸的意識才能在紛擾繁雜的網絡環境中找到一片凈土。

三、加強軟件下載途徑的安全管理

現在計算機網絡市場上所涌現的層出不窮的軟件是新時代科技迅速發展的產物和證明。但是由于網絡技術的更新和黑客科技的更迭交替，多數軟件已經淪為了攜帶病毒漏洞的工具，它們空有一副華麗的軀殼卻在下載安裝后瘋狂地傳播著病毒。因此對軟件市場的監管和軟件下載途徑的管理已經成為了計算機技術網絡安全管理工作中的當務之急。要想加強軟件下載途徑的安全工作，我們應從兩方面入手：一方面網絡技術工作人員應該對網絡中現有的軟件下載市場平臺進行排查檢測，通過強有力地技術手段把不正規、有嫌疑的軟件平臺下架并且公布于眾。另一方面網絡技術人員有義務提醒用戶在下載軟件時應該開啟計算機自身的防護墻，對下載的軟件及其地址鏈接要善于用360衛士等防護工具進行檢測。唯有既從根源查病毒又從客戶端加強防范工作，才能使得軟件下載不再是一場可怕的夢魘。

四、加強病毒查殺的安全管理

計算機病毒之所以讓人頭疼不已就是因為其不光具有廣泛的傳播途徑、強大的殺傷力而且還具有揮之不去的特點?，F在無孔不入的木馬病毒讓眾多計算機用戶產生恐懼心理，唯恐避之而不及。為了加強病毒查殺的安全管理工作，我們應平時養成良好的定時檢測病毒的習慣，倘若計算機不幸被病毒叨擾，那就應及時采用類似于金山毒霸和360衛士的病毒查殺軟件將其扼殺在早期的萌芽狀態中[2]。而且值得格外注意的是在發現病毒感染時，用戶應及時斷開網絡啟動防護墻，只有正確的補救檢查措施才能夠保計算機技術網絡的一方平安。綜上所述，及時更新計算機查殺病毒軟件是計算機安全系數得到保障的有力措施。

五、結語

隨著計算機技術網絡安全問題的接連發生，我們的社會不僅因其受到不少的負面影響，而且它還會逐漸對用戶的自身安全產生威脅。因此，計算機技術網絡安全管理工作不應只局限于個人或者組織團體，而是應該呼吁全社會參與的一項工作。只有全民共同建立完善健全的計算機網絡安全體系和制度，才能做到有效的網絡安全管理。計算機網絡安全十分復雜，包括的內容較多，工作也較為繁瑣。解決網絡安全必須綜合各方面技術，形成完整的防護體系。在具體工作中，既要重視計算機網絡安全的技術的提高也要重視計算機網絡的管理活動，堅持按照法律法規辦事。另外，加強計算機安全管理曬需要我們一開放的心態與其他國家合作，共同為提高計算機信息網絡技術的安全而努力。

參考文獻：

[1]曾榮.如何有效加強計算機信息技術網絡安全管理[J].科技風.2013.(03)

篇3

網絡安全定義為為計算機網絡的數據處理所建立的技術與管理安全防護措施，主要目的是保護計算機硬件系統不被遭受破壞，軟件數據不會因惡意攻擊而遭到損失和泄漏。這一網絡安全定義主要包含兩個方面，分別為物理安全與邏輯安全，其中邏輯安全可以理解為我們通常所說的信息安全，主要是指對計算機數據信息的保密性、完整性以及可靠性的保護，完整性，是確保非授權操作不能對數據進行修；可靠性，是確保非授權操作不能破壞數據信息以及計算機的數資源。網絡安全主要是基于網絡運作以及網絡間的互相聯通所產生的物理線路的連接安全、網絡系統安全、應用服務安全、操作系統安全、人員管理安全等多個方面。

二、計算機網絡安全問題的提出

計算機網絡的安全問題也逐漸顯現出來，分析其原因，主要包括以下幾個方面：

（1）計算機病毒的威脅。隨著計算機網絡技術的飛速發展，計算機病毒也逐漸增多，并且在某種程度上已經超前于計算機網絡安全技術的發展，這些計算機病毒嚴重威脅著計算機的網絡安全。

（2）木馬程序與黑客攻擊。黑客攻擊主要包括兩種方式：第一種方式是網絡攻擊，它以多種手段來破壞對方計算機數據，使得對方數據造成丟失和系統癱瘓的現象。第二種方式是網絡偵查，即在網絡對方毫不知情的情況下，對對方重要的數據信息進行截獲、竊取、破譯，嚴重威脅著數據的安全性。

（3）計算機內部威脅。內部威脅主要是發生在企業用戶中，主要是因為企業用戶對計算機網絡安全的認識不足，防范意識不夠，導致內部網絡安全試過多次發生，使得企業內部數據信息遭到竊取，嚴重威脅了企業的經濟利益。

（4）釣魚網站。隨著現代網絡購物的發展，在給廣大網民提供便利的同時，也為部分不法分子的欺詐行為帶來了可乘之機，網絡釣魚不法份子通常是利用非法偽造的網站或者具有欺騙性的電子郵件在網絡上進行詐騙活動，這些人通常會把自己偽裝成為網絡銀行或者著名品牌網站以及網絡交易平臺等進行非法詐騙活動，造成受害者泄露自己的銀行卡賬號以及密碼或者身份證號碼等私人信息，給個人的人身財產造成威脅。

（5）系統漏洞。大部分網絡系統或多或少存在著一些系統漏洞，這些系統漏洞有些是系統自身所帶，如Windows、UNIX等操作系統都有一些漏洞，這些漏洞是不可避免的。另外，使用盜版軟件或者網絡下載的軟件業容易產生系統漏洞，這些系統漏洞嚴重威脅著計算機的網絡安全。

三、對計算機網絡安全問題采取的防范措施

（1）加強對網絡人才的培養，開發先進網絡技術。國家加強對計算機網絡人才培養以及加快對網絡安全技術開發這兩方面的投資是非常有必要的，強大的計算機技術力量以及高科技型人才不僅是安全和諧的網絡環境的有力保障，也是對一些不法份子的一種強有力的威懾。

（2）強化安全意識，加強內部管理。通常網絡安全的管理也是十分必要的，加強網絡管理可以從下幾個方面開展：①設置安全密碼，所有網絡設備以及主機盡可能設置密碼，而且密碼字符數量要足夠長，這樣不易被破解，并且密碼需要定期更換。②設置控制路由器的訪問權限，對路由器應設置多種權限的密碼，不同用戶具有不同權限。對控制對路由器設置訪問權限即是對路由器本身的一種保護，也是對拓撲結構以及所有計算機系統的操作、配置以及其他使用權限的保護。③設置可信任地址段，對訪問的主機IP設置不同的可信任地址段，這樣可以防止非法IP登陸系統。

（3）控制網絡攻擊途徑。只有掌握網絡攻擊的一般途徑，才可以從根源上消除活挫傷不安全因素。網絡遭受攻擊可能的原因主要是利用銅須協議，竊取信息。不法分子可能會利用公開協議或工具竊取駐留在網絡系統中的多個主機系統的數據信息。

四、結論

篇4

關鍵詞：電力；信息安全；解決方案；技術手段

一、電力信息化應用和發展

目前，電力企業信息化建設硬件環境已經基本構建完成，硬件設備數量和網絡建設狀況良好，無論是在生產、調度還是營業等部門都已實現了信息化，企業信息化已經成為新世紀開局階段的潮流。在網絡硬件方面，基本上已經實現千兆骨干網；百兆到桌面，三層交換；VLAN，MPLS等技術也普及使用。在軟件方面，各應用十要包括調度自動化系統、生產管理信息系統、營銷信息系統、負荷監控系統及各專業相關的應用子系統等。計算機及信息網絡系統在電力生產、建設、經營、管理、科研、設計等各個領域有著十分廣泛的應用，安全生產、節能消耗、降低成本、縮短工期、提高勞動生產率等方面取得了明顯的社會效益和經濟效益，同時也逐步健全和完善了信息化管理機制，培養和建立了一支強有力的技術隊伍，有利促進了電力工業的發展。

二、電力信息網安全現狀分析

結合電力生產特點，從電力信息系統和電力運行實時控制系統2個方面，分析電力系統信息安全存在的問題。電力信息系統已經初步建立其安全體系，將電力信息網絡和電力運行實時控制網絡進行隔離，網絡間設置了防火墻，購買了網絡防病毒軟件，有了數據備份設備。但電力信息網絡的安全是不平衡的，很多單位沒有網絡防火墻，沒有數據備份的概念，更沒有對網絡安全做統一，長遠的規劃，網絡中有許多的安全隱患。**供電公司嚴格按照省公司的要求，對網絡安全進行了全方位的保護，防火墻、防病毒、入侵檢測、網管軟件的安裝、VerJtas備份系統的使用，確保了信息的安全，為生產、營業提供了有效的技術支持。但有些方面還不是很完善，管理起來還是很吃力，給網絡的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。

三、電力信息網安全風險分析

計算機及信息網絡安全意識亟待提高。電力系統各種計算機應用對信息安全的認識距離實際需要差距較大，對新出現的信息安全問題認識不足。

缺乏統一的信息安全管理規范。電力系統雖然對計算機安全一+直非常重視，但由于各種原因，目前還沒有一套統一、完善的能夠指導整個電力系統計算機及信息網絡系統安全運行的管理規范。

急需建立同電力行業特點相適應的計算機信息安全體系。相對來說，在計算機安全策略、安全技術和安全措施投入較少。為保證電力系統安全、穩定、高效運行，應建立一套結合電力計算機應用特點的計算機信息安全體系。

計算機網絡化使過去孤立的局域網在聯成廣域網后，面臨巨大的外部安全攻擊。電力系統較早的計算機系統一般都是內部的局域網，并沒有同外界連接。所以，早期的計算機安全只是防止外部破壞或者對內部人員的安全控制就可以了，但現在就必須要面對國際互聯網上各種安全攻擊，如網絡病毒、木馬和電腦黑客等。

數據庫數據和文件的明文存儲。電力系統計算機網絡中的信息一般存儲在由數據庫管理系統維護的數據庫中或操作系統文件中。以明文形式存儲的信息存在泄漏的可能，拿到存儲介質的人可以讀出這些信息；黑客可以饒過操作系統，數據庫管理系統的控制獲取這些信息；系統后門使軟硬件系統制造商很容易得到這些信息。弱身份認證。電力行業應用系統基本上基于商業軟硬件系統設計和開發，用戶身份認證基本上采用口令的鑒別模式，而這種模式很容易被攻破。有的應用系統還使用白己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數據庫或文件中，這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天不能再使用了。沒有完善的數據備份措施。很多單位只是選擇一臺工作站備份一下數據就了事，沒有完善的數據備份設備、沒有數據備份策略、沒有備份的管理制度，沒有對數據備份的介質進行妥善保管。

四、電力信息網安全防護方案

4．1加強電力信息網安全教育

安全意識和相關技能的教育是企業安全管理中重要的內容，其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證安全的成功和有效，高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。所有的企業人員必須了解并嚴格執行企業安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。

主管信息安全工作的高級負責人或各級管理人員，重點是了解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等。

信息用戶，重點是學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。當然，對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并納入整個企業文化體系中才是最根本的解決辦法。

4．2電力信息髓安全防護技術措旌

(1)網絡防火墻：防火墻是企業局域網到外網的唯一出口，所有的訪問都將通過防火墻進行，不允許任何饒過防火墻的連接。DMZ區放置了企業對外提供各項服務的服務器，既能夠保證提供正常的服務，又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略，遵循“缺省全部關閉，按需求開通的原則”，拒絕除明確許可證外的任何服務。

(2)物理隔離裝置：主要用于電力信息網的不同區之間的隔離，物理隔離裝置實際上是專用的防火墻，由于其不公開性，使得更難被黑客攻擊。

(3)入侵檢測系統：部署先進的分布式入侵檢測構架，最大限度地、全天候地實施監控，提供企業級的安全檢測手段。在事后分析的時候，可以清楚地界定責任人和責任時間，為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術，具有高可靠性、高識別率、規則更新迅速等特點。

(4)網絡隱患掃描系統：網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP／IP協議的設備，掃描的對象包括掃描多種操作系統，掃描網絡設備包括：服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時，可以從網絡中不同的位置對網絡設備進行掃描。

掃描結束后生成詳細的安全評估報告，采用報表和圖形的形式對掃描結果進行分析，可以方便直觀地對用戶進行安全性能評估和檢查。

(5)網絡防病毒：為保護電力信息網絡受病毒侵害，保證網絡系統中信息的可用性，應構建從主機到服務器的完善的防病毒體系。以服務器作為網絡的核心，對整個網絡部署查、殺毒，服務器通Internet從免疫中心實時獲取最新的病毒碼信息，及時更新病毒代碼庫。同時，選擇的網絡防病毒軟件應能夠適應各種系統平臺、各種數據庫平臺、各種應用軟件。

(6)數據加密及傳輸安全：通過文件加密、信息摘要和訪問控制等安全措施，來實現文件存儲和傳輸的保密和完整性要求，實現對文件訪問的控制。對通信安全，采用數據加密，信息摘要和數字簽名等安全措施對通信過程中的信息進行保護，實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全，通過VPN技術，提高實時的信息傳播中的保密性和安全性。

(7)數據備份：對于企業來說，最珍貴的是存儲在存儲介質中的數據信息。數據備份和容錯方案是必不可少的，必須建立集中和分散相結合的數據備份設施及切合實際的數據備份策略。

(8)數據庫安全：通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性，并實現數據庫數據的訪問安全。

4．3電力信息網安全防護管理措施

技術是安全的主體，管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中，網絡安全的長期性和穩定性才能有所保證。

(1)要加強信息人員的安全教育，保持信息人員特別是網絡管理人員和安全管理人員的相對穩定，防止網路機密泄露，特別是注意人員調離時的網絡機密的泄露。

(2)對各類密碼要妥善管理，杜絕默認密碼，出廠密碼，無密碼，不要使用容易猜測的密碼。密碼要及時更新，特別是有人員調離時密碼一定要更新。

(3)技術管理，主要是指各種網絡設備，網絡安全設備的安全策略，如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。

(4)數據的備份策略要合理，備份要及時，備份介質保管要安全，要注意備份介質的異地保存。

(5)加強信息設備的物理安全，注意服務器、計算機、交換機、路由器、存儲介質等設備的防火、防盜、防水、防潮、防塵、防靜電等。

(6)注意信息介質的安全管理，備份的介質要防止丟失和被盜。報廢的介質要及時清除和銷毀，特別要注意送出修理的設備上存儲的信息的安全。

五、電力信息網絡安全工作應注意的問題

(1)理順技術與管理的關系。

解決信息安全問題不能僅僅只從技術上考慮，要防止重技術輕管理的傾向，加強對人員的管理和培訓。

(2)解決安全和經濟合理的關系。安全方案要能適應長遠的發展和今后的局部調整，防止不斷改造，不斷投入。

(3)要進行有效的安全管理，必須建立起一套系統全面的信息安全管理體系，可以參照國際上通行的一些標準來實現。

(4)網絡安全是一個系統的、全局的管理問題，網絡上的任何一個漏洞，都會導致全網的安全問題，應該用系統工程的觀點、方法，分析網絡的安全及具體措施。

篇5

[關鍵詞] 油田；網絡安全；管理；防護

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 15. 031

[中圖分類號] TN915.08 [文獻標識碼] A [文章編號] 1673 - 0194（2013）15- 0048- 02

1 油田網絡安全管理存在的問題

隨著油田企業信息化建設的迅速發展，網絡安全問題已成為油田企業必須面對的現實問題。目前，我國油田網絡安全存在以下幾個主要問題。

1.1 缺乏防范意識

在日常的網絡安全管理中，我國多數油田企業是在出現了安全問題之后才會采取相應的措施去解決，典型的“事后諸葛”。有些人把網絡安全管理人員以及網絡維護技術人員比作消防員，因為他們是在發現安全問題之后才去解決，嚴重缺乏網絡安全防范意識。例如：網絡硬件設備出現故障，不能正常使用時，管理人員才會向上級打報告，具體工作人員也特別被動，根本不去主動預防問題的出現，造成無法在問題出現之前就及時解決，嚴重影響了油田企業網絡的穩定和正常運行，網絡安全管理無從談起。

1.2 應急措施不足

受傳統觀念的影響，我國油田企業的網絡安全管理工作者往往靠經驗辦事，由于工作人員的經驗存在差異，很難在第一時間發現網絡故障的原因所在，嚴重影響了故障的排除和處理。同時，隨著我國信息化程度的提高，網絡環境也變得愈來愈復雜，在網絡安全事故發生時，不能快速了解網絡設備的運行狀況，致使解決問題不及時，這就為不法網絡黑客的惡意入侵提供了可乘之機，為油田企業的網絡安全管理帶來了極大的風險。

1.3 不能及時對網絡整體運行狀況作出科學的分析

我國油田企業的網絡安全管理所采用的方式是到網絡設備近端檢查，或利用遠程登錄的方法到相關設備上進行查看。該種方式在一定程度上浪費了工作人員的大量精力和寶貴時間，并且對于設備運行的歷史數據不能進行持續的檢測和保存，無法為工作人員提供可靠的真實的相關數據。這些都直接影響油田企業網絡性能以及網絡運行質量的提高。面對復雜的網絡環境，如果不能對網絡進行系統管理，網絡的運行無法保持穩定，網絡安全問題也就不可避免。

2 油田企業網絡安全與維護

為了保證油田企業的網絡安全，必須采用先進的網絡安全技術，提高油田企業網絡的安全性和網絡運行的穩定性。

2.1 建立網絡安全預警機制

當下，為了及時發現網絡安全問題，把故障消滅在萌芽狀態，必須建立網絡安全預警機制，防患于未然。例如：告警監控，油田企業網絡安全部工作人員通過這一機制可以及時發現問題，并且系統給出的數據去分析、判斷故障出現的原因和根源。具體操作主要有以下幾方面：

（1）完善網絡安全硬件設備。通常油田企業的計算機主干網絡主要有網絡設備、服務器，并且設備的CPU、接口狀態、流量測試等性能參數也不盡相同。在網絡設備的各項性能閾值的設置上要根據客觀需要進行設定，這樣才能在網絡出現異常時及時發出警告。

（2）警告方式多樣化。在日常的網絡安全管理活動過程中，工作人員不可能一直坐在電腦前進行直接的查看和監管，這除了需要油田企業在人員安排上實行輪班制以外，還需要采取網絡故障警告多樣化的措施。這樣不僅體現了現代企業管理的人性化，更能夠及時通知網絡安全相關工作人員。網絡安全警告的多樣化手段很多，例如：不同的問題用不同的聲音，給工作人員自動發送郵件、手機短信等。

（3）網絡拓撲動態化。在日常的網絡維護過程中，對相關設備及數據的逐一檢查不僅費時費力，而且效果也不理想。如果網絡安全維護的工作人員把企業所有相關設備的運行的狀態以及連接狀況通過編程和設定直觀反映在一張圖表上，那么就會給網絡安全的監管帶來較大的便利。一旦某一環節出現問題，工作人員可以通過該動態監測圖表及時發現，并且拿出相應的解決對策。這就提高了網絡安全管理與維護的工作效率，最大限度地保障了網絡的穩定性和運行的持續性。

2.2 提高防范意識

網絡安全事故的防范是保障企業網絡安全的最有效手段。在日常的工作中，企業的網絡安全管理與維護人員必須要有網絡故障防范意識和責任觀念。實踐證明，大部分的網絡安全事故是可以防范的。企業的內部員工在使用企業網絡時，必須養成良好的上網習慣，對于一些不明出處的電子郵件或文件不要隨便打開查看，在下載計算機軟件時，避免使用不知名的軟件，嚴禁玩網絡游戲。對于企業內部的相關數據，未經允許不要上傳到網絡上，另外還必須定時檢查計算機防火墻是否開啟，檢查計算機是否有漏洞，如果有漏洞要及時修復。

2.3 建立一支高素質的人才隊伍

人才是現代企業在市場競爭中取得優勢地位的基本保障。油田企業的網絡安全管理與維護也需要高素質的人才。

油田企業在日常的運營過程中，應該盡可能地為本企業現有的網絡安全工作人員提供學習和專業培訓的機會，使得工作人員能夠不斷提高其專業技術水平，為企業的網絡安全管理與維護做出應有的貢獻。另外，油田企業還應該舉辦網絡安全與維護的專業交流活動，企業與企業之間進行經驗交流，同時企業應與專業的網絡安全研究機構建立長期的合作關系，及時了解和掌握更加可靠的網絡安全管理技術。

另外，油田企業應該吸收引進更多的、高素質的專業技術人才。尤其是實行靈活的薪酬機制，為專業技術人才營造良好的工作氛圍。

3 結 語

網絡技術的不斷發展，為企業的生產和管理帶來了極大的便利，極大地提高了企業的生產力。然而，我們也不得不承認網絡技術的發展對于油田企業來講是把“雙刃劍”。這就需要油田企業在利用網絡資源的同時，加強網絡安全管理與維護，避免受到網絡黑客的攻擊，避免企業機密數據的泄露。

主要參考文獻

[1]楊樹宏，戎茹敏，李小兵.玉門油田網絡安全管理和防護建設[J].信息系統工程，2011（8）.

篇6

【關鍵詞】企業信息化 網絡管理 網絡安全 解決措施

1 網絡管理的基本知識

1.1 網絡管理的基本概念

所謂的企業網絡管理指的是利用資源的調度和協調整個企業網絡系統設計和規劃、運行監控、管理控制和故障診斷，從而保護企業網絡系統和穩定運行，優化網絡環境，網絡安全，以保證正常的企業工作安全、穩定、有效運行。

1.2 網絡管理的基本對象

企業網絡管理主要包括網絡設備、網絡性能、網絡系統和其他方面的管理。

2 中小企業網絡管理現狀及解決辦法

2.1 網絡管理在中小企業的現狀

中小企業特是指一種員工相對較少，業務的規模也較小的企業。 同時網絡布局和管理在中小企業更加靈活，但由于沒有雄厚的資金投入、及有限的技術人員等原因，以至于一些企業至今一直未能實施合理有效的網絡管理。即使一些企業已有了一定程度網絡管理，但是對于網絡管理重視程度不夠，關鍵技術細節理解不完整，造成網絡管理還存在許多不足。

2.2 中小型企業形勢分析

經過對90%以上的中小型企業網絡管理的數據分析，中小型企業網絡問題的根源主要集中在以下幾個方面：

2.2.1企業網絡管理的安全意識薄弱

企業高層管理人員對于發展生產技術和擴大企業經營規模的興趣，遠遠大于對于網絡管理的學習和安全方面的重視，安全意識薄弱。對于企業網絡安全的投資較少、有關管理領域較為寬松，無法滿足現代網絡信息安全的基本要求。另外中小企業對網絡的穩定性和網絡安全存在僥幸心理，對于網絡安全沒有充分積極的認識，一旦出現問題，更不會積極應對，這就導致一旦出現安全問題不但不會去解決，更會任由問題擴大。

2.2.2網絡管理措施不足

中小企業由于專項資金不足，這也成為網絡管理經驗技術力量薄弱的的主要原因。路由器、交換機、服務器等網絡設備、及軟件系統在中小企業一般沒有相關的管理策略。對于由其生產商或集成商發出的用來修補或升級軟件系統信息沒有有效的處理方式。對于服務器和其他重要數據不配備備份或數據加密，冗余措施。這些無法更新的系統和缺乏配置的硬件設備讓惡意人員有機可乘，對病毒、木馬或惡意程序的更是毫無抵抗，企業網絡的可能性，存在著嚴重的安全隱患。通信設計與應用。

2.2.3全面解決方案的缺乏

在大多數中小型企業缺乏網絡管理解決方案情況下，他們的安全意識大都建立在防火墻、防病毒軟件及加密技術升級上，進而讓自己的心理更加依賴。大家都知道，對于企業網絡管理，簡單的解決方案并不能完全保證企業網絡安全性，隨著信息技術的發展，網絡的更新換代極快，網絡安全這個問題遠遠不是單一的殺毒軟件和防火墻就可以解決的，也不是很多標準的安全產品可以處理的。這些問題需要一個綜合且全面的技術解決方案，而這個方案很大程度依賴專業的網絡管理。

2.3 中小型企業網絡管理存在問題的解決方案

2.3.1 加強企業網絡管理實踐，提高安全意識

企業想獲得健康，穩定，快速的發展，規范網絡管理經營行為，提高員工的網絡安全意識勢在必行。詳細的解決方案措施：

（1）可分為虛擬VLAN網絡段，應用數據控制和管理控制，將公司的主營業務和非主營業務分開有效管理或者將公司各個部門、小組按照業務不同分開管理。

（2）對于企業員工應用固定IP設置或者使用DCHP動態分配IP地址，與此同時進行MAC地址綁定，啟動防網絡風暴管理制度，強化互聯網的網絡安全。這樣操作一方面便于監視與維護，另一方面減少了網絡中毒，網絡癱瘓等問題出現的可能性。

2.3.2 采取切實可行的網絡安全管理措施

對于企業來說，最典型的網絡安全問題是數據的丟失、損壞與泄漏，數據的安全問題，以及網絡安全協議的問題。提高整體網絡安全意識，重要數據定期備份是網絡管理中對信息進行有效處理的必要手段。

（1）為了解決數據安全的問題，需要進行業務關鍵數據進行遠程備份，以防止數據因為木馬、病毒、及人為原因導致數據安全問題。

（2）對于服務器、路由器、交換機等突然損壞的硬件問題，重要的是要進行設備冗余設置。網絡的關鍵設備設置一用一備的組網方式。

（3）對于軟件系統的問題，則需要檢查系統的編碼，嚴格編碼標準，從而消除系統本身的問題。

（4）基于網絡的安全協議問題，需要專用網絡執行加密操作，以防止惡意黑客攻擊。

2.3.3 制定切實完備的網絡技術應對方案

在當前的網絡信息如此開放的大環境中，任何網絡都不是百分之百保證安全的，所以一套完整有效的網絡技術應對方案對于網絡管理尤為重要。網絡技術應對方案一方面是指應對網絡安全方面的技術方案，一方面是應對網絡故障方面的技術方案。因此，企業需要結合自己本身的實際情況，制定完善的應對措施及方案。

（1）制定一個完整的防火墻和防護軟件的升級規則，及時更新系統補丁，避免網絡安全漏洞。

（2）進行網絡故障實戰演練，提供網絡管理人員的技術業務水平。

（3）對于發生的故障及安全事故要及時備案，分析，避免類似的情況再次發生。

3 結論

隨著網絡信息技術的迅猛發展，信息容量在這個開放的環境中不斷增長，網絡規模也將隨之增加，越來越多的企業的管理者們開始認識到網絡管理的重要性，并且在企業資金的投入上有了一定的傾斜。信息化程度的高低已經成為衡量一個企業是否是現代化企業的重要標準。從在整個國民經濟中有著非常重要地位的中小企業來看，一個高效、穩定、安全的網絡是確保其健康發展的命脈之一。網絡管理在中小企業的原材料采購、產品營銷、客戶關系等等方面也起著底層建筑的基礎。目前很多企業在網絡管理方面還有很大的完善空間，還有很多工作需要踏踏實實的去完成。

篇7

關鍵詞：BP神經網絡；計算機網絡；安全評估

中圖分類號：TP18 文獻標識碼：A 文章編號：1009-3044（2013）18-4303-05

網絡安全從本質上看是網絡的信息安全。而從廣義來說，涉及到的范圍就較大，凡是有關網絡信息的完整性、保密性、真實性、可用性和可控性方面，都是網絡安全需要考慮與研究的領域。

隨著全球計算機技術和 Internet 的迅猛發展，全球信息化進程加速，互聯網與千家萬戶息息相關，在我們的工作和生活中扮演著極其重要的角色。與此同時，網絡和網絡用戶也在以指數級的速度增長?；ヂ摼W正引領著我們的生活進入一個前所未有的，以網絡為基礎的信息化環境。由此，網絡安全就顯得尤為重要。

1 網絡安全評估的重要性

由于現階段的計算機系統，其網絡設備存在不完善的因素，包括設計的缺陷、漏洞及網絡協議等，這樣的情況下，計算機網絡就潛在各種可能的安全風險。近年來，計算機網絡受到的侵害越來越多，網絡漏洞各種各樣，計算機安全得不到應有的保障。具體表現為：

1） 網絡病毒更加多樣、智能與隱蔽。

2） 隨著網絡扮演越來越重要的角色，各方的生產生活都離不開網絡，因此網絡服務商、管理部門和運營商都十分重視網絡的安全，并提出了更多的需求。

3） 網絡安全脆弱的根源是漏洞。

目前，針對網絡安全進行的惡意活動越來越多，如何有效保證網絡安全正常運行已經成為各方都十分關注的問題。在這樣的情況下，我們需要事先對系統與網絡進行安全檢查與評估，分析現有網絡是否安全可靠，并且對于檢測出的問題，提出并實施相應的有針對性的安全防范措施，力求將損失降到最低，將風險扼殺在潛伏期。

2 BP神經網絡技術

2.1 BP神經網絡技術介紹

2.1.1 神經網絡技術概要

BP（Back Propagation）神經網絡這一算法是由Rumelhart和McCelland等人于1986年提出的。它的主要思想是按照誤差逆傳播算法訓練多層前饋網絡，它可以解決多層的網絡里所隱含的單元連接的學習問題。這一方法的提出，為此后打開了重要的一片領域，它成為目前應用最為廣泛的模型之一。BP神經網絡一般分為三層結構，包括輸入層、輸出層以及隱含層。

2.1.2 輸入層、輸出層變量及預處理

BP神經網絡輸入層變量屬于自變量，是需要通過專業的知識來確定的，如果說增加輸入層的變量的數量，那么還要進行主成分分析，再對所有的變量進行縮減，使得數量與增加前的輸入層數量相當，然后再對輸入變量前與縮減變量后的系統誤差進行比較，通過比值的大小達到縮減輸入層變量的目的。

輸入層變量屬于因變量，一般系統不對輸入層變量的數量進行具體要求，但是為了網絡模型得到更好的訓練，系統對于BP神經網絡應要進行轉換。即把具有多個輸入變量的模型轉換成多個具有一個輸出的模型，以達到更好的效果。

預處理有很多的方法，一般筆者根據實際需求以及喜好，會采用各不相同的方式。但是殊途同歸，進行完數據的處理之后，對網絡神經輸出的結果進行一定程度的變換，最后得到的數據才是所需數據。并且，與處理后，數據值要控制在0.2～0.8之間，使得建立的模型具有一定的外推能力。

2.1.3 BP神經網絡的拓撲結構

BP神經網絡的拓撲結構包含隱含層層數、隱含層結點數、動量因子、初始權值、學習率、誤差精度等。

BP神經網絡的拓撲結構最應注意的是隱含層結點的數量，過多或過少都會產生問題，或者使得網絡訓練時間過長、無法找到最優點，或者使得網絡的穩定性較差。因此，應合理優化隱含點的節點數，同時考慮網絡結構的復雜程度以及誤差的大小，綜合各方情況確定節點數。

2.2 BP神經網絡技術算法

2.2.1 BP神經網絡算法學習過程

1） 工作信號的正向傳播：工作信號的正向傳播指的是輸入信號經由輸入層傳向輸出層，最終在輸出端產生輸出信號。

2） 誤差信號的反向傳播：工作信號的反向傳播指的是誤差信號由輸出端向后傳播，誤差信號指的是網絡實際輸出信號和期望輸出信號之間的差值。

本文以含有三個隱含層的BP神經網絡為例，其結構如下圖所示。

9） 輸入下一個學習樣本，返回步驟（3），直至全部 z 個模式對訓練完畢；

10） 進入下一輪學習。

2.2.1 BP神經網絡算法工作過程

BP神經網絡算法的工作工程并不復雜，具體如下：

1） 對神經網絡參數初始化。

2） 計算隱藏層單元的個數、輸出層單元的輸出個數、輸出層單元誤差，若誤差在誤差范圍內，可輸出結果。

1）若2）中的誤差不在誤差范圍內，則重新調整中間層到輸出層連接的權值和輸出層單元，再調整輸入層到中間層的連接權值和輸出單元，更新學習次數。

1） 反復步驟3），當學習次數大于上限或滿足誤差要求，結束學習輸出結果。

2） 輸出最終結果。

3 BP神經網絡算法的優越性

3.1 網絡安全評估方法

雖然關于網絡安全評估的研究在國內僅十多年的歷史，但人們已經提出了多種評估方法，其中較有代表性的方法是故障樹分析法（Fault Tree Analysis， FTA）、層次分析法（Analytic Hierarchy Process， AHP）、模糊綜合評判法（Fuzzy Comprehensive Evaluation method， FCE）和基于貝葉斯、BP 神經網絡、D_S 證據理論等方法。

3.2網絡安全評估方法比較

不同的網絡安全評估方法具有不同的優缺點，針對網絡安全的實際需要，選擇不同的評估方法，個方法具體優缺點如下表。

2.該方法要求大量可供參考的歷史資料

從以上比較中我們可以看出，基于BP神經的網絡安全評估方法具有良好的優越性，特別是針對故障樹分析法、層次分析法、基于貝葉斯、模糊綜合評判法等主觀性較強、方法繁復的方法，基于BP神經評估方法的客觀性就顯得尤為的重要。

4 基于BP神經網絡的計算機網絡安全評估過程

4.1 構建計算機網絡安全評估指標集

計算機網絡是一個很復雜的體系，能夠影響網絡安全的因素較多，建立科學的、合理的網絡安全評價指標將關系到評價的作用和功能。 本文通過歸納網絡安全的各個影響因素，以物理安全、邏輯安全和管理安全作為評價指標體系的一級指標，并進行逐層細化，最終建立了完整的網絡安全評價指標體系，具體如表 2 所示。

4.2 各評價指標的取值和標準化

在本文設計的各個指標集中，因為所描述的因素各不相同，既有定量的評價指標，也有定性的評價指標，因此在評價時所選擇的取值規則也是不一樣的。

4.2.1定量指標

對于定量指標，由于其衡量的單位不同，因此必須進行標準化的處理，并將最終取值范圍控制在0～1之間，方法如表1所示。

4.2.2定性指標

對于定性指標，該文采用的是專家打分法，專家打分法較為抽象，可采用配值標準化處理，保持與定量指標的一致性。

4.3 BP神經網絡結構的設定與訓練

確定BP神經網絡對計算機網絡安全進行評估的層數。主要利用試湊法，根據輸入層輸出層神經元個數，確定隱含層神經元個數。

與此同時，設定誤差精度與訓練次數，當訓練的精度或訓練次數達到要求后，即停止訓練，保存數據。

4.4 對計算機網絡安全進行評估

將計算機的網絡安全評估等級分為四種，分別是安全、基本安全、不安全與很不安全。其中，安全等級的評估值大于或等于0.8、基本安全等級的評估值大于或等于0.7且小于0.8、不安全等級的評估值大于或等于0.6且小于0.7、、很不安全等級的評估值小于0.6。根據網絡評估的具體數值，對網絡安全進行四種等級的判定。

5 基于BP神經網絡的計算機網絡安全評估實例

5.1 實例探究

本文通過實例對以上的闡述進行探究：設計BP神經網絡輸入層的節點為5，輸出層節的點為1，隱含層的節點為19，學習精度E設為01001，權值調整參數、網絡閾值均設為011，最大迭代次數為1000次，輸入層與隱含層之間采用Logsig傳遞函數，隱含層與輸出層之間采用Purelin轉遞函數。

本文收集了40份計算機網絡安全評估數據樣本，對數據進行處理與分析后，根據前文所表述的評估步驟，對各網絡進行了安全評估，具體數據見下圖。

5.2實例分析

結合調查獲得的實際情況，結果表明，基于BP神經網絡算法的計算機網絡安全評估模型精準性較好，與實際情況較為符合。同時我們可以看到，當前許多網絡的安全性存在一定的隱患，多數網絡的安全等級屬于基本安全與很不安全之間，少有安全性很高、評估值大于0.9的網絡系統。

另外，應用BP神經網絡計算方法還可以對同一等級內的網絡進行不同安全程度的驚喜評定，因此，BP模型能夠精確地對改造后的網絡安全進行重新評價，并根據評價結果提出具有針對性的提高網絡安全的有效措施。

6 結論

當前，網絡安全是網絡管理人員急需解決的重要問題，網絡安全評估作為有效防護網絡安全的手段之一，是一項技術要求復雜的工作。而BP神經網絡算法既有神經神經網絡自學習、自適應的特點，同時還兼有專家的知識經驗，因此成為了非線性映射能力較強的綜合評價模型之一。BP神經網絡算法在網絡安全評估中的應用，減少了主觀因素，提高了檢測評估的客觀性，有利于用戶發現網絡安全的漏洞與薄弱，做好安全措施，提高網絡安全水平。

本文介紹了BP神經網絡算法，并通過與其他評估方法的對比分析其優越性，提出利用BP神經網絡對計算機網絡安全進行評估，并提出相應的評估過程。最后以實例驗證了BP神經網絡算法在計算機網絡安全評估的應用。但本文亦有不足之處，第一，在實例中缺少其他評估方法的應用，無法突出BP神經網絡算法的優越性；第二，缺少對實例結果精確性的檢驗，這些工作應在將來予以補正。

參考文獻：

[1] Lee W.A data mining framework for constructing features andmodels for intrusion detection systems[D].New York Columbia University，1999.

[2] Lv H Y ， Cao Y D.Research on network risk situation assessment based on threat analysis[C].2008 International Symposium on Information Science and Engineering，2008：252-257.

[3] Biswajeet Pradhan，Saro Lee. Regional landslide susceptibility analysis using back-propagation neural network model at Cameron Highland， Malaysia [J].Earth and Environmental Science，2010， 7（1）：13-30.

[4] 趙冬梅，劉海峰，劉晨光.基于BP 神經網絡的信息安全風險評估[J].計算機工程與應用，2007（1）.

[5] 金嶠，方帥，閻石.BP網絡模型改進方法綜述[J].沈陽建筑工程學院學報：自然科學版，2001，17（3）：197-199.

篇8

［關鍵詞］信息安全;網絡空間;網絡空間安全管理

隨著互聯網技術在全世界范圍內的普及，互聯網已經成為國家安全的“無形疆域”，互聯網安全威脅問題也日益成為世界性難題。美國等西方發達國家由于網絡技術起步早、普及廣，且壟斷和控制著網絡的核心技術，從而在信息化進程中占據主導地位。我國在內的大多數發展中國家，迄今仍處于“信息貧困”之中，被“數字鴻溝”分隔在另一邊。由于技術、管理以及安全意識上的原因，中國面臨的信息安全問題更為嚴重。主要表現在基礎信息技術嚴重依賴國外、網絡技術的廉價與跨國性使安全問題泛化、人員對保密認識模糊、保密觀念薄弱、人員流動無序、保密法律約束力不強、缺少確保信息安全的核心技術等問題。其中，軟件隱患、芯片“陷阱”、計算機病毒和“黑客”入侵是信息系統面臨的普遍性的問題。如果我們不重視互聯網安全問題，那么我們國家的政治、經濟、文化、軍事等各個領域都將存在巨大的風險，所以我們應當重視互聯網安全技術的發展，采取有效的手段來抑制互聯網安全威脅，保證我們在互聯網世界中占據主動。

1強化網絡空間安全教育管理

信息技術是未來世界強國競爭的主題，誰掌握了信息制高點，誰就在未來世界競爭中處于優勢，誰落后就要被淘汰。以軍事為例，除了傳統意義上的“陸、海、空、天”戰場，電磁和信息領域的戰斗更是不見硝煙的戰場，信息戰、電磁戰等領域無不凸顯信息安全的重要性，摧毀了敵方的信息安全防線，就能在未來戰爭中占有極大的優勢。事實上，國內外的許多失泄密事件早已證明，就信息安全與保密而言，“內防”和“防內”才是真正的工作重點。以美國為例，與計算機有關的犯罪活動，80%都是內部人員所為。換言之，信息安全問題不能只限于保密規定和開會，應當落實在人的思想上，因為只有人的思想決定他的行為，是他對網絡安全保密問題的認識。認識不到位，具體到工作上自然就“卡殼”，這也是一些單位安全保密意識淡薄，規章制度不落實，技術防范措施流于形式的主要原因。因此，對于信息安全的防控，除了要從硬件上進行把控，比如建立健全安全保密制度、應急處理機制，還應從人的管理上下功夫，要認識到不是把保密制度掛在墻壁上，或者開開保密會就可以把安全保密工作做好，網絡是開放的，思想是開放的，但不是沒有界限的，要對從事網絡安全的人員進行深度的宣貫和思想教育，嚴把思想觀，鑄牢網絡安全的防線，保證在任何時候都緊繃網絡安全這根弦，發揮人在網絡安全管理方面的主觀能動性，在構建的安全管理機制中凸顯人的基石作用，加強考核和監督監管機制建設，實行網絡安全問題一查到底模式，追根溯源，全方位保證網絡安全不出問題。

2注重網絡空間安全人才梯隊建設和技術創新

隨著網絡信息安全對國家安全影響的日益加劇，作為全球互聯網用戶最多的國家，應該做好籌建網絡信息專門組織的準備，其主要任務，一是機密資料的防竊取;二是進行輿論戰;三是直接的網絡對抗。要實現這一目標，人才梯隊建設至關重要。人才是信息化產生和發展之本，也是信息戰和信息安全之本。除了要培養信息網絡安全專家外，還要培養信息安全的法律和管理專家。要在高層次上開展網絡攻擊技術研究，以確保我國在未來信息戰中處于主動地位。網絡安全技術平臺在網絡安全問題上發揮基礎作用，可以試想一個有著致命網絡安全漏洞的系統再怎么補救也無濟于事，會造成無可挽回的損失。因此，應該大力加強網絡安全平臺的設計研發工作，充分發揮網絡信息安全技術人才的主觀能動性，投入資金和力量，完善和健全網絡安全平臺，以技術為保障，人才為核心，安全為牽引，把握信息安全的主動權，在信息安全核心問題上下功夫，加大自主知識產權技術的研發，形成我們自主品牌的技術和產品，擺脫發達國家信息技術制約的瓶頸，力爭在信息加密、信息安全測評等領域的理論和技術突破，實現安全路由器、防火墻、加密系統的國產化進程，確保硬件過關。

3制定網絡空間安全戰略目標，搞好規劃及預測

信息安全戰略目標是指一個國家在某一個時期內，在信息安全領域所需達到的目的、標準和水平。信息安全的戰略目標既不能過高，又不能過低，應該是積極可靠的，通過努力可以達到的。只有網絡信息安全作為國家安全戰略的一部分，把網絡基礎設施列為戰略資產，實施保護才能真正地將信息安全戰略建設落到實處。應該增強對國家信息基礎設施和重點信息資源的安全保障能力建設，開發可以保護國家主要機關設施的網絡信息安全體系，逐漸在制度上和技術上完善網絡信息安全戰略，有效應對網絡信息安全帶來的威脅和挑戰。對于網絡安全問題，頂層規劃是重點，如果頂層設計有缺陷漏洞，那么接下來無論投入再多，技術再先進也是徒勞。所以我們應做到:一是確保網絡的用戶密碼都具有極強的健壯性，要對進入網絡的管理員進行分級分類;二是要構建應急事故反應和處理機制，確保一旦有安全事故發生能將損失降至最低;三是確保網絡安全平臺的硬件和軟件均處于受控狀態，注重穩健性設計;四是保證信息傳輸的安全，預防機密信息的泄密。隨著美國“斯諾登事件”的持續發酵，網絡安全泄密問題已經成為每個國家的新的威脅，傳統的安全防護技術已經無法滿足新型信息泄密，我們必須有一體聯防的思想，摒棄傳統事后修補的做法，要系統分析網絡安全的漏洞和可能存在的威脅，不但要深入研究防護技術，更要深入研究攻擊技術及破解方法，只有這樣，才能有效根治網絡安全問題，變被動補牢為主動作為。

4構建全面網絡空間安全監測系統

全面的網絡空間安全檢測系統可以包含惡意病毒侵襲、檢測和監控及處理功能，這些功能分別實現如下意圖:惡意病毒侵襲?，F代病毒的攻擊性、傳播速度和途徑都是傳統病毒無法比擬的，它可以通過用戶任何無意識操作或習慣進行傳播，比如瀏覽文件等，一旦中毒，往往很難消除，這就需要網絡具有實時監控、攔截騷擾、主動防御等方面的功能。入侵檢測。入侵檢測能力是衡量一個防御體系是否完整有效的重要因素。作為一種動態防御工具，其可以很好地作為防火墻等靜態被動防御工具的補充，共同維護網絡系統安全?，F在比較常用的360、瑞星等國產殺毒軟件都具有入侵檢測功能，可以主動消除病毒帶來的襲擾。網絡漏洞檢測。俗話說，“明槍易躲，暗箭難防”。除了網絡自身存在的天然缺陷，比如網絡自身方面的因素包括:通信線路遭到竊聽;通信協議、操作系統平臺本身存在的漏洞;“黑客”借助軟件“后門”入侵電腦。還包括人物方面存在的非技術方面的因素，如系統安全配置不當、用戶操作失誤、執行保密規定不嚴格等。只有通過嚴格網絡管理規范和安全制度，杜絕人為差錯的存在，通過網絡安全技術來使這種“不可避免”的網絡安全漏洞變為真正的安全鑰匙。

5形成“一攬子”網絡空間安全決策方案

要發揮網絡加密技術在網絡安全領域的主體主導地位，其中包括防火墻技術、數據加密技術，以及網絡協議、口令、身份認證和授權等。傳統的設置防火墻技術已經很難適應大規模“黑客”頻繁攻擊的需要，被認為是一種被動技術，要大力尋求主動防御的技術，諸如加密技術，這種技術在現今被證明為一種無可替代的主動防御技術，它是一種可以將信息通過隱藏的方式和技術發送給客戶的技術，其加密途徑可以是隱藏，也可以是加上水印，比如我軍現行的各級部門電腦中都加有水印系統，這種技術有效防止了機密文件被竊取的風險，還可以對所有處理的公文進行監控，一旦出現問題可以通過查詢該系統立刻追根溯源，找到問題的根源。我們還需要通過電子屏蔽的手段來保護我們的機密信息，在重要場合進行電子屏蔽，防止電子輻射竊密。

參考文獻:

［1］［美］SingerP.W.，［美］FriedmanA.．網絡安全:輸不起的互聯網戰爭［M］．北京:電子工業出版社，2015.

［2］郭宏生.網絡空間安全戰略［M］．北京:航空工業出版社，2016.

篇9

關鍵詞：計算機網絡信息技術安全；影響因素；對策

中圖分類號：TP393.08

1 計算機網絡信息安全的內涵

當前，計算機網絡信息技術已在全社會各行各業得到普及，使用計算機技術進行日常管理和日常事務的處理已經成為了二十一世紀最顯著的特征。在計算機高度普及的同時，計算機網絡信息技術安全問題也開始受到廣泛重視，以下從幾個方面闡述計算機網絡信息安全的內涵：

1.1 狹義上的內涵。從狹義上來說，計算機網絡信息安全，是指保護計算機及其網絡信息資源不受人為或自然因素的威脅和損害，保護計算機網絡的信息資源安全性、完整性、可用性。簡而言之，就是采取適當的措施保護計算機網絡軟硬件的正常運行，避免被破壞、更改或泄漏。

1.2 廣義上的內涵。廣義上來說，計算機網絡信息技術安全的主要內容包括軟件系統的可靠性、信息的完整性、可用性以及保密性，從而得出計算機網絡信息技術安全的主要特征有：

（1）網絡系統的可靠性，計算機網絡信息技術安全的首要特征是保障計算機網絡系統的可靠性，即網絡的穩定性和可用性。計算機網絡系統的穩定運行，是計算機網絡能夠積極、高效、持續工作的前提和基礎，因而網絡系統的可靠性是計算機網絡信息技術安全的首要目標和最基本特征。

（2）網絡數據的真實性、完整性，是指保護網絡數據不被非法更改。計算機網絡信息技術安全保護的另一內容是，要求數據信息在存儲、傳輸的過程中不被非法修改、刪除或丟失，保護計算機網絡數據信息的真實性和完整性。

（3）網絡數據的可用性，是指網絡用戶的合法指令和訪問能夠得到積極回應的屬性，也是計算機網絡信息技術安全的根本目的之一。

（4）網絡數據的保密性，是指度網絡用戶的保密信息予以加密保護，防止被竊取和泄漏。

2 計算機網絡信息技術安全的影響因素

計算機網絡技術的應用是在利用計算機軟硬件技術的基礎上，網絡用戶通過網絡信息瀏覽和應用，網絡信息管理、以及同其他用戶的交流等方式實現計算機網絡技術的應用目的。由此可見，計算機網絡所接觸到的客體有計算機本身軟硬件設備、內部網絡用戶、外部網絡用戶，因此可以總結出影響計算機網絡信息技術安全的因素可以分為計算機網絡內部原因、人為的外部原因、及客觀的意外因素等。

2.1 內部因素。影響計算機網絡信息技術安全的內部因素可以從計算機軟硬件本身的漏洞和缺陷、管理人員管理漏洞、計算機用戶自身失誤等幾個方面進行分析：

（1）計算機軟硬件的漏洞和缺陷造成的計算機網絡信息技術安全問題的主要表現有：首先，計算機操作系統自身的自由性和可操作性，使訪問者可以自由訪問，并不留痕跡的進行無限復制或刪除等操作，這是計算機網絡信息技術安全的一大隱患；其次，計算機軟件系統設計中的缺陷，不同行業對計算機軟件有不同的要求，因而不可能有完美的軟件系統，總有可能的缺陷和漏洞；同時，電磁泄漏、通信系統及通信協議、及數據庫系統等存在的漏洞都可能造成計算機的網絡安全事故。

（2）管理人員在計算機網絡信息技術安全的管理過程中，為便于管理和操作，往往會對計算機系統留“后門”，便于管理的同時也為網絡安全留下了隱患。

（3）計算機用戶對網絡安全的保護意識不強，失誤或有意泄漏相關信息，造成信息資源的泄漏或丟失，同時，訪問非法網站，造成網絡病毒的入侵，從而造成計算機網絡信息技術安全事故。

2.2 外部因素。造成計算機網絡信息技術安全事故的最主要因素就是外部因素，即人為的對網絡安全的侵害和破壞，主要包括：

（1）黑客的入侵，黑客往往是對計算機網絡系統和網絡缺陷有充分了解的專業人士，通過竊取身份驗證信息或繞過計算機安全控件機制，非法侵入計算機網絡，竊取信息。

（2）計算機病毒的入侵，計算機病毒是通過計算機網絡的訪問或信息接收等途徑，植入計算機病毒，并通過信息傳輸中獲取信息，或通過對計算機系統的破壞，竊取信息。計算機病毒因其更新速度快、具有強繁殖性、傳播速度快、影響范圍大等特性，使其成為計算機網絡信息技術安全的最大威脅。

2.3 自然因素或其他客觀因素的影響。

（1）溫度、濕度、震動等因素的影響。溫度、濕度、震動等都會對計算機網絡的安全運行造成影響，但當下的計算機運行環境一般不會為此單獨投入相應的防控設備，導致計算機網絡在運行的過程中因外部自然環境的影響中斷，造成不必要的損失。

（2）計算機硬件設備的老化或意外破壞也是計算機網絡信息技術安全的可能影響因素，由于計算機硬件設備在日常管理中的不當管理，定期檢查不及時等原因，計算機硬件設施意外損壞，造成計算機系統的中斷。

3 計算機網絡信息技術安全問題的應對策略

維護計算機網絡信息技術安全，降低因網絡安全事故造成的破壞，是目前計算機安全的努力方向和終極目標，以下對計算機網絡信息技術安全的維護提出幾點對策：

3.1 利用防火墻技術。防火墻技術是目前維護網絡安全的必要和明智之選，作為網絡安全的屏障，具有低成本，高防護性能的特點。在網絡安全的維護中，應當堅持科學、適當的原則，選取最為適宜的防火墻技術，從網絡建立堅固的過濾網，保障網絡安全。

3.2 充分發揮人的因素的積極作用。建設一支具有較強專業計算機網絡信息技術安全技能的管理隊伍，加強計算機網絡信息技術安全的資金投入和技術投入，不斷優化計算機網絡信息技術安全管理的質量和水準，從客觀的硬件上保障計算機網絡信息技術安全問題。

3.3 加強病毒防范。提高對計算機病毒的警惕，不斷完善和更新計算機的防毒能力。計算機病毒的更新速度之快，繁殖和傳播能力之強，波及范圍之大使計算機病毒成為計算機網絡信息技術安全的最大隱患，因而應當不斷的更新計算機防毒系統，將網絡防病毒軟件和單機防病毒軟件充分的結合起來，全面實現對計算機病毒的查殺和防范。

3.4 采用加密方式防止病毒入侵。加強對計算機數據的保護，實行信息加密策略，結合用戶授權訪問等措施，通過鏈路加密、斷電加密、節點加密等多種方法，全面攔截信息盜取，防治數據的流失和泄漏。

3.5 做好備份，防止重要數據丟失。定期實施重要數據信息的備份，對一些因計算機網絡信息技術安全問題造成的損失做好預防措施，減少因數據流失造成的損害。

3.6 加強安全防范宣傳。加強對用戶的計算機網絡信息技術安全防范意識宣傳。對計算機網絡的用戶而言，應當提高計算機網絡信息技術安全意識，提高警惕，同時文明操作，及時維護，避免因失誤或疏忽造成的不必要計算機網絡信息技術安全事故。

4 結語

計算機技術的普遍應用，一方面加速了社會經濟發展的速度，提高了社會整體效益，加快了社會化大生產的步伐；另一方面，由于計算機技術本身的難操作、高度自由性、及外部計算機病毒及黑客的侵擾，計算機網絡信息技術安全問題已經對我國經濟和社會的可持續發展構成了巨大威脅，加強計算機網絡信息技術的安全維護和防范已經勢在必行。因此，必須充分的認識到計算機網絡信息技術安全的重要性，準確把握影響計算機網絡信息技術安全的主要因素，從計算機網絡運行的各個流程，各個方面出發，多管齊下，全面管理，保障計算機網絡的安全、高效運行，從而促進社會的和諧、穩定發展。

參考文獻：

[1]羅軫友.計算機網絡安全技術探討[J].才智，2008，05.

篇10

關鍵詞：網絡安全；防火墻；DMZ

中圖分類號：TP393.08 文獻標識碼：A文章編號：1009-3044(2007)12-21564-03

Firewall Technology and Tobacco Processing Factory Network Security

ZHANG Song-lin

(Hefei University of Technology,Hefei 230039,China)

Abstract: Computer Network Technology of the rapid development of enterprises within the scope of the global sharing of information and resources to provide a convenient, effectively reduce the company's operating costs and to change the traditional work patterns. Along with the internal network and the increasing external networking gradually increased. A safe and reliable enterprise network security system is very important for us. To address enterprises in the development of the information industry is facing network information security issues, the full study of the network security needs on the basis of By analyzing the current classification of firewall technology and the advantages and disadvantages of various types of firewalls, Construction of enterprises in the firewall on the Firewall option and set up to make recommendations and to develop corresponding security strategy. Use corresponding security technology as a means to be achieved.

Key words:network security;firewall;DoS

1 引言

20世紀90年代以來，煙草系統信息進程得到巨大的發展和廣泛的應用。計算機應用技術的普及，信息技術的迅猛發展，信息化建設給這個行業帶來了新的機遇和挑戰。而對于打葉復烤企業來說，由于企業規模較小，計算機應用基礎薄弱。隨著信息化建設的不斷深入，特別是計算機網絡技術應用（如企業網絡的應用系統，主要有WEB、E-mail、OA系統、MIS系統等）范圍越來越廣，不可避免的就會帶來了網絡攻擊、內部網絡使用混亂、信息盜竊和其它危及企業正常生產及經營活動的行為，從而直接威脅到打葉復烤企業網絡與信息方面的安全問題。

2 網絡安全

2.1 網絡安全的概念

信息技術的使用給人們的生活和工作帶來了便捷，然而，計算機信息技術也和其它學科一樣是一把雙刃劍，當大部分人使用信息技術提高了工作效率，為社會創造更多財富的同時，另外一些人卻利用信息技術做著相反的事情。他們非法侵入他人的計算機系統竊取機密信息，篡改和破壞數據，造成難以估量的損失。

網絡安全是一個關系到國家安全、社會穩定、民族文化的繼承和發揚等重要問題。網絡安全涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論和信息論等多種學科。

計算機網絡的安全不是絕對的。安全是有成本的，而且也有時間限制。因此，安全是指化多大成本在多長時間之內可以保證計算機網絡安全。安全問題的解決依賴于法律、管理機制和技術保障等多方面相互協調和配合，形成一個完整的安全保障體系。

2.2 網絡安全的需求

計算機網絡安全是隨著計算機網絡的發展和廣泛應用而產生的，是計算機安全的發展與延伸?？梢杂孟到y的觀點把計算機網絡看成一個擴大了的計算機系統，因此許多關于計算機安全的概念和機制也同樣適用于計算機網絡。雖然網絡安全同單個計算機安全在目標上并沒有本質區別，但由于網絡環境的復雜性，網絡安全比單個計算機安全要復雜得多[1]。

第一，網絡資源的共享范圍更加寬泛，難以控制。共享既是網絡的優點，又是風險的根源，它會導致更多的用戶（友好與不友好的）遠程訪問系統，使數據遭到攔截與破壞，以及對數據、程序和資源的非法訪問。

第二網絡支持多種操作系統，這使網絡系統更為復雜，安全管理和控制更為困難。

第三網絡的擴大使網絡的邊界和網絡用戶群變得不確定，對用戶的管理較計算機單機困難得多。

第四單機的用戶可以從自己的計算機中直接獲取敏感數據，但網絡中用戶的文件可能存放在遠離自己的服務器上，在文件的傳送過程中，可能經過多個主機的轉發，因而沿途可能受到多處攻擊。

第五由于網絡路由選擇的不固定性，很難確保網絡信息在一條安全通道上傳送。

基于以上5個特點的分析可知，保證計算機網絡的安全，就是要保護網絡信息在存儲和傳動過程中的保密性、完整性、可用性、可控性和真實性。

(1)數據的保密性

數據的保密性是網絡信息不被泄露給非授權的用戶和實體，信息只能以允許的方式供授權用戶使用的特性。也就是說，保證只有授權用戶才可以訪問數據，而限制其他人對數據的訪問。

(2)數據的完整性

數據的完整性是網絡信息未經授權不能進行改變的特性，即網絡信息在存儲或傳送過程中不被偶然或蓄意地刪除、修改、偽造、亂序、重放及插入等破壞和丟失的特性。

(3)數據的可用性

數據的可用性是網絡信息可被授權實體訪問并按需求使用的特性，即需要網絡信息服務時允許授權用戶或實體使用的特性，或者是網絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性。影響網絡可用性的因素包括人為和非人為兩種，前者有非法占用網絡資源，切斷或阻塞網絡通信，通過病毒、蠕蟲或者拒絕服務攻擊降低網絡性能，甚至使網絡癱瘓等；后者有災害事故（水災、火災、雷擊等）和系統死鎖、系統故障等。

(4)數據的可控性

數據的可控性是控制授權范圍內的網絡信息流向和行為方式的特性，如對信息的訪問、傳播及內容具有控制能力。

(5)數據的真實性

數據的真實性又稱不可抵賴或不可否認性，指在網絡信息系統的信息交互過程中參與者的真實同一性，即所有參與者都不可能否認或抵賴曾經完成的操作和承諾。

2.3 安全攻擊的種類和常見形式

對網絡信息系統的攻擊來自很多方面，這些攻擊可以宏觀地分為人為攻擊和自然災害攻擊。它們都會對通信安全構成威脅，但精心設計的人為攻擊威脅更大，也最難防備。對網絡信息系統的人為攻擊，通常都是通過尋找系統的弱點，以非授權的方式達到破壞、欺騙和竊取數據等目的[2]。

2.3.1 主動攻擊

主動攻擊涉及某些數據流的篡改或虛假數據流的產生，這些攻擊可分為假冒、重放、篡改消息和拒絕服務4類。

(1)假冒：假冒指某個實體（人或系統）假扮另外一個實體，以獲取合法用戶的權力和特權。

(2)重放：重放即攻擊者對截獲的某次合法數據進行復制，以后出于非法目的的重新發送，以產生未授權的效果。

(3)篡改消息：篡改消息是指一個合法消息的某些部分被改變、刪除，或者消息被延遲或改變順序，以產生未授權的效果。

(4)拒絕服務：拒絕服務即常說的DoS（Deny of Service），會導致對通信設備的正常使用或管理被無條件地拒絕。通常是對整個網絡實施破壞，如大量無用信息將資源（如通信帶寬、主機內存）耗盡，以達到降低性能，中斷服務的目的。這種攻擊可能有一個特定的目標，如到某一特定目的地（如安全審計服務）的所有數據包都被阻止。

2.3.2 被動攻擊

被動攻擊是在未經用戶同意和認可的情況下將信息或數據文件泄露給系統攻擊者，但不對數據信息做任何修改。通常包括監聽未受保護的通信、流量分析、解密弱加密的數據流、獲得認證信息（如密碼）等。被動攻擊常用的手段有以下幾種：

(1)搭線監聽：搭線監聽是最常用的手段，將導線搭到無人職守的網絡傳輸線上進行監聽。

(2) 無線截獲：通過高靈敏度的接受裝置接受網絡節點輻射的電磁波或網絡連接設備輻射的電磁波，通過對電磁信號的分析恢復原數據信號，從而獲得網絡信息。

(3)其它截獲：用程序和病毒截獲信息是計算機技術發展的新型手段，在通信設備或主機中預留程序代碼或施放病毒程序后，這些程序會將有用的信息通過某種方式發送出來。

3 防火墻技術

防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。 在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全[3]。

從技術上看，防火墻有三種基本類型：包過濾型、服務器型和復合型。它們之間各有所長，具體使用哪一種或是否混合使用，要根據具體需求確定[4]。

(1)包過濾型防火墻(Packet Filter Firewall)

通常建立在路由器上，在服務器或計算機上也可以安裝包過濾防火墻軟件。包過濾型防火墻工作在網絡層，基于單個IP包實施網絡控制。它對所收到的IP數據包的源地址、目的地址、TCP數據分組或UDP報文的源端口號及目的端口號、包出入接口、協議類型和數據包中的各種標志位等參數，與網絡管理員預先設定的訪問控制表進行比較，確定是否符合預定義好的安全策略并決定數據包的放行或丟棄。這種防火墻的優點是簡單、方便、速度快、透明性好，對網絡性能影響不大，可以用于禁止外部不合法用戶對企業內部網的訪問，也可以用來禁止訪問某些服務類型，但是不能識別內容有危險的信息包，無法實施對應用級協議的安全處理。

(2)服務器型防火墻(Proxy Service Firewall)

通過在計算機或服務器上運行的服務程序，直接對特定的應用層進行服務，因此也稱為應用層網關級防火墻。服務器型防火墻的核心，是運行于防火墻主機上的服務器進程，實質上是為特定網絡應用連接企業內部網與Internet的網關。它用戶完成TCP／IP網絡的訪問功能，實際上是對電子郵件、FTP、Telnet、WWW等各種不同的應用各提供一個相應的。這種技術使得外部網絡與內部網絡之間需要建立的連接必須通過服務器的中間轉換，實現了安全的網絡訪問，并可以實現用戶認證、詳細日志、審計跟蹤和數據加密等功能，實現協議及應用的過濾及會話過程的控制，具有很好的靈活性。服務器型防火墻的缺點是可能影響網絡的性能，對用戶不透明，且對每一種TCP／IP服務都要設計一個模塊，建立對應的網關，實現起來比較復雜。

(3)復合型防火墻(Hybrid Firewall) [5]

由于對更高安全性的要求，常把基于包過濾的方法與基于應用的方法結合起來，形成復合型防火墻，以提高防火墻的靈活性和安全性。這種結合通常有兩種方案：

屏蔽主機防火墻體系結構：在該結構中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內部網絡，通過在分組過濾路由器或防火墻上過濾規則的設置，使堡壘機成為Internet上其它節點所能到達的唯一節點，這確保了內部網絡不受未授權外部用戶的攻擊。

屏蔽子網防火墻體系結構：堡壘機放在一個子網內，形成非軍事化區，兩個分組過濾路由器放在這一子網的兩端，使這一子網與Internet及內部網絡分離。在屏蔽子網防火墻體系結構中，堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。

企業在選擇防火墻時不僅要考慮防火墻的安全性、實用性、而且還要考慮經濟性，防火墻產品的安全性、實用性和經濟性是相互制約和平衡的。

4 打葉復烤企業防火墻的設置

必須妥善地規劃其架構，擬定其安全政策，最重要的是必須徹底執行其安全政策，而防火墻是落實這些安全政策的重要工具之一。Internet網絡商用化的趨勢愈來愈明顯，企業也不斷通過應用網絡技術提高生產銷售的水平，單位網絡的安全性規劃更是刻不容緩。一個好防火墻的規劃必須能充分配合執行單位所制定的安全政策，再加上安全的建置架構，方能提供單位一個方便而安全的網絡環境。

圖1以屏蔽子網防火墻為例介紹打葉復烤企業防火墻的設置，一級堡壘防火墻是整個內部網絡對外的樞紐，是必需設立的。它一邊連接單位內部網絡，一邊通往外部網絡。外部網絡上可擺單位對外提供服務的主機，例如：WEBServer、EMAILServer、POP3Server及FTPServer等，提供對外服務。防火墻的設定，可保證服務器主機只提供它應提供的服務，而阻擋所有不當的存取與連線，避免黑客在服務主機上開后門[6]。

打葉復烤企業可根據實際需要，將其他部門的子系統保護在隔斷防火墻內，比如生產運行實時控制系統、企業運行管理信息系統、企業營銷管理系統、企業多種經營管理系統等。同時可以將某些較重要而有安全顧慮的部門網絡，加上防火墻的配置，此即所謂的單位內防火墻(IntranetFirewall)。單位內防火墻的功能與主防火墻類似，但因為其數量可能很多，會分配到電力部門的網絡內，因此其管理規則的設定、系統的維護，不應太過于困難。單位希望建置一個安全的網絡環境，除了采用防火墻之外，當然還提供單位一個方便而安全的網絡環境。

圖1 企業屏蔽子網防火墻拓撲圖

4 結論

打葉復烤企業所面臨的網絡安全問題是多種多樣的，所以企業設計和部署防火墻也就沒有唯一的正確答案。各個機構的網絡安全決定可能會受到許多因素的影響，諸如安全策略、職員的技術背景、費用、以及估計可能受到的攻擊等。作者認為：企業內部信息網絡系統是動態發展變化的，正確的安全策略與選擇合適的防火墻產品只是一個良好的開端，它只能解決40%~60%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統高智能主動性威脅、后續安全策略與響應的弱化、系統的配置錯誤、對安全風險的感知程度低、動態變化的應用環境充滿弱點等，所有這些都使打葉復烤企業將要面對網絡信息系統安全的挑戰。

參考文獻:

[1]孫靜,曾紅衛.網絡安全檢測與預警[J].計算機工程,2001,(12):109-110.

[2]劉占全.網絡管理與防火墻技術[M].人民郵電出版社，2000.

[3]Greg Holden(美).防火墻與網絡安全[M]. 清華大學出版社，2004.

[4]郭炎華.網絡信息與信息安全探析[J].情報雜志，2001,6.

[5]劉克龍,蒙楊.一種新型的防火墻系統[J].計算機學報,2006,8.