網(wǎng)絡(luò)安全方案大全11篇

緒論：寫作既是個人情感的抒發(fā)，也是對學(xué)術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇網(wǎng)絡(luò)安全方案范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

1、前言

網(wǎng)絡(luò)安全安全方案涉及的內(nèi)容比較多、比較廣、比較專業(yè)和實際。網(wǎng)絡(luò)安全方案就像一張施工的圖紙,圖紙的好壞直接影響工程的質(zhì)量高低。下面討論一下網(wǎng)絡(luò)安全設(shè)計的注意點和質(zhì)量。

2、 網(wǎng)絡(luò)安全方案設(shè)計的注意點

對于網(wǎng)絡(luò)安全人員來說,網(wǎng)絡(luò)有一個整體性、動態(tài)的安全。也就是在整個項目有一種總體的把握能力,不能只關(guān)注自己熟悉的某個領(lǐng)域,而要對其他的領(lǐng)域不關(guān)心,不理解,那么就寫不出一份好的安全方案。寫出來的方案要針對用戶所遇到的問題,運用技術(shù)和產(chǎn)品來解決問題。設(shè)計人員就只有對安全技術(shù)了解得很深,對產(chǎn)品了解得很深,設(shè)計出的方案才能接近用戶的要求。

好的安全方案應(yīng)該考慮技術(shù)、策略和管理,技術(shù)是關(guān)鍵,策略是核心,管理是保證。在方案中始終要休現(xiàn)出這三個方面的關(guān)系。在網(wǎng)絡(luò)安全設(shè)計時,一定要了解用戶實際網(wǎng)絡(luò)系統(tǒng)環(huán)境,對可能遇到的安全風(fēng)險和威脅進(jìn)行量化和評估,這樣寫出的解決方案才客觀。設(shè)計網(wǎng)絡(luò)安全方案時,動態(tài)安全很重要,隨著環(huán)境的變化和時間的推移,系統(tǒng)的安全性也會發(fā)生變化,所有在設(shè)計時不僅要考慮現(xiàn)在的情況,還要考慮將來的情況,用一種動態(tài)的方式來考慮,做到項目實施既考慮到現(xiàn)在的情況,也能很好的適應(yīng)以后網(wǎng)絡(luò)系統(tǒng)的升級,留一個較好的升級接口。

網(wǎng)絡(luò)沒有絕對安全,只有相對安全,在網(wǎng)絡(luò)安全方案設(shè)計時,必須清楚這點,客觀的來寫方案,不夸大也不縮小,寫得實實在在,讓人信服接受。由于時間和空間不斷發(fā)生作用,安全是沒有不變的,不管在設(shè)計還是在實施的時候,無論是想得多完善,做得多嚴(yán)密,都不能達(dá)到絕對的安全。所以安全方案中應(yīng)該告訴用戶只能做到避免風(fēng)險,清除風(fēng)險的根源,降低風(fēng)險所帶來的損失,而不能做到消除風(fēng)險。

3、 評價網(wǎng)絡(luò)安全方案的質(zhì)量

我們怎樣才能寫出高質(zhì)量、高水平的的網(wǎng)絡(luò)安全方案呢?我們只有抓住重點,理解安全理念和安全過程,那么就基本可以做到了。一份好的安全方案我們需要從下面幾個方面來把握。

對安全技術(shù)和安全風(fēng)險有一個綜合的把握和理解,包括現(xiàn)在的和將來可能出現(xiàn)的情況。

體現(xiàn)唯一性,由于安全的復(fù)雜性和特殊性,唯一性是評估安全方案最重要的一個標(biāo)準(zhǔn)。實際中,每一個特定網(wǎng)絡(luò)都是唯一的,需要根據(jù)實際情況處理。

對用戶的網(wǎng)絡(luò)系統(tǒng)可能遇到的安全風(fēng)險和安全威脅,結(jié)合現(xiàn)有的安全技術(shù)和安全風(fēng)險,要有一合適、中肯的評估。

對癥下藥,用相應(yīng)的安全產(chǎn)品、安全技術(shù)和管理手段,降低用戶的網(wǎng)絡(luò)系統(tǒng)當(dāng)前可能遇到的風(fēng)險和威脅,消除風(fēng)險和威脅的根源,增強整個網(wǎng)絡(luò)系統(tǒng)抵抗風(fēng)險和威脅的能力,增強系統(tǒng)本身的免疫力。

在設(shè)計方案時,要明白網(wǎng)絡(luò)系統(tǒng)安全是一個動態(tài)的、整體的、專業(yè)的工程,不能一步到位解決用戶所有的問題。

方案出來后,要不斷與用戶進(jìn)行溝通,能夠及時得到他們對網(wǎng)絡(luò)系統(tǒng)在安全方面的要求、期望和所遇到的問題。

方案中要體現(xiàn)出對用戶的服務(wù)支持,這是很重要的一部分。產(chǎn)品和技術(shù),都將會體現(xiàn)在服務(wù)中,服務(wù)用來保證質(zhì)量、提高質(zhì)量。

方案中所涉及到和產(chǎn)品和技術(shù),都要經(jīng)得起驗證、推敲、實施,要有理論根據(jù),要有實際基礎(chǔ)。

4、安全風(fēng)險分析

主要實際安全風(fēng)險一般從網(wǎng)絡(luò)的風(fēng)險和威脅分析、系統(tǒng)風(fēng)險和威脅分析、應(yīng)用的風(fēng)險和威脅分析、對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的風(fēng)險及威脅的具體實際的詳細(xì)的分析。

網(wǎng)絡(luò)的風(fēng)險和威脅分析:詳細(xì)分析用戶當(dāng)前的的網(wǎng)絡(luò)結(jié)構(gòu),找出帶來安全問題的關(guān)鍵,并形成圖形化,指出風(fēng)險和威脅所帶來的危害,對那些如果不消除風(fēng)險和威脅,會起引什么樣的后果,要有一個中肯、詳細(xì)的分析和解決辦法。系統(tǒng)的風(fēng)險和威脅分析:對用戶所有的系統(tǒng)都要進(jìn)行一次詳細(xì)地評估,分析存在哪些風(fēng)險和威脅,并根據(jù)與業(yè)務(wù)的關(guān)系,指出其中的厲害關(guān)系。要運用當(dāng)前流行系統(tǒng)所面臨的安全風(fēng)險和威脅,結(jié)合用戶的實際系統(tǒng),給出一個中肯、客觀和實際的分析。應(yīng)用的分析和威脅分析:應(yīng)用的安全是企業(yè)的關(guān)鍵,也是安全方案中最終說服要保護的對象。同時由于應(yīng)用的復(fù)雜性和關(guān)聯(lián)性,分析時要比較綜合。對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的風(fēng)險及威脅的具體實際的詳細(xì)分析:幫助用戶找出其網(wǎng)絡(luò)系統(tǒng)中要保護的對象,幫助用戶分析網(wǎng)絡(luò)系統(tǒng),幫助他們發(fā)現(xiàn)其網(wǎng)絡(luò)系統(tǒng)中存在的問題,以及采用哪些產(chǎn)品和技術(shù)來解決。

5、安全產(chǎn)品

常用的安全產(chǎn)品有:防火墻、防病毒、身份認(rèn)證、傳輸加密和入侵檢測。結(jié)合用戶的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的實際情況,對安全產(chǎn)品和安全技術(shù)作比較和分析,分析要客觀、結(jié)果要中肯,幫助用戶選擇最能解決他們所遇到問題的產(chǎn)品,不要求新、求好和求大。

防火墻:對包過濾技術(shù)、技術(shù)和狀態(tài)檢測技術(shù)的防火墻,都做一個概括和比較,結(jié)合用戶網(wǎng)絡(luò)系統(tǒng)的特點,幫助用戶選擇一種安全產(chǎn)品,對于選擇的產(chǎn)品,一定要從中立的角度來說明。

防病毒:針對用戶的系統(tǒng)和應(yīng)用的特點,對桌面防病毒、服務(wù)器防病毒和網(wǎng)關(guān)防病毒做一個概括和比較,詳細(xì)指出用戶必須如何做,否則就會帶來什么樣的安全威脅,一定要中肯、合適,不要夸大和縮小。

身份認(rèn)證:從用戶的系統(tǒng)和用戶的認(rèn)證的情況進(jìn)行詳細(xì)的分析,指出網(wǎng)絡(luò)和應(yīng)用本身的認(rèn)證方法會出現(xiàn)哪些風(fēng)險,結(jié)合相關(guān)的產(chǎn)品和技術(shù),通過部署這些產(chǎn)品和采用相關(guān)的安全技術(shù),能夠幫助用戶解決哪些用系統(tǒng)和應(yīng)用的傳統(tǒng)認(rèn)證方式所帶來的風(fēng)險和威脅。

傳輸加密:要用加密技術(shù)來分析,指出明文傳輸?shù)木薮笪：?通過結(jié)合相關(guān)的加密產(chǎn)品和技術(shù),能夠指出用戶的現(xiàn)有情況存在哪些危害和風(fēng)險。

入侵檢測:對入侵檢測技術(shù)要有一個詳細(xì)的解釋,指出在用戶的網(wǎng)絡(luò)和系統(tǒng)部署了相關(guān)的產(chǎn)品之后,對現(xiàn)有的安全情況會產(chǎn)生一個怎樣的影響要有一個詳細(xì)的分析。結(jié)合相關(guān)的產(chǎn)品和技術(shù),指出對用戶的系統(tǒng)和網(wǎng)絡(luò)會帶來哪些好處,指出為什么必須要這樣做,不這樣做會怎么樣,會帶來什么樣的后果。

結(jié)束語

一份好的網(wǎng)絡(luò)安全方案要求的是技術(shù)面要廣、要綜合,不僅只是技術(shù)好。總之,經(jīng)過不斷的學(xué)習(xí)和經(jīng)驗積

篇（2）

當(dāng)前網(wǎng)絡(luò)技術(shù)的快速發(fā)展，大部分高校已經(jīng)建立了學(xué)校校園網(wǎng)絡(luò)，為學(xué)校師生提供了更好的工作及學(xué)習(xí)環(huán)境，有效實現(xiàn)了資源共享，加快了信息的處理，提高了工作效率【1】。然而校園網(wǎng)網(wǎng)絡(luò)在使用過程中還存在著安全問題，極易導(dǎo)致學(xué)校的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題，因此，要想保證校園網(wǎng)的安全性，首先要對校園網(wǎng)網(wǎng)絡(luò)安全問題深入了解，并提出有效的網(wǎng)絡(luò)安全方案設(shè)計，合理構(gòu)建網(wǎng)絡(luò)安全體系。本文就對校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計與工程實踐深入探討。

1.校園網(wǎng)網(wǎng)絡(luò)安全問題分析

1.1操作系統(tǒng)的漏洞

當(dāng)前大多數(shù)學(xué)校的校園網(wǎng)都是采用windows操作系統(tǒng)，這就加大了安全的漏洞，服務(wù)器以及個人PC內(nèi)部都會存在著大量的安全漏洞【2】。隨著時間的推移，會導(dǎo)致這些漏洞被人發(fā)現(xiàn)并利用，極大的破壞了網(wǎng)絡(luò)系統(tǒng)的運行，給校園網(wǎng)絡(luò)的安全帶來不利的影響。

1.2網(wǎng)絡(luò)病毒的破壞

網(wǎng)絡(luò)病毒是校園網(wǎng)絡(luò)安全中最為常見的問題，其能夠使校園網(wǎng)網(wǎng)絡(luò)的性能變得較為低下，減慢了上網(wǎng)的速度，使計算機軟件出現(xiàn)安全隱患，對其中的重要數(shù)據(jù)帶來破壞，嚴(yán)重的情況下還會造成計算機的網(wǎng)絡(luò)系統(tǒng)癱瘓。

1.3來自外部網(wǎng)絡(luò)的入侵和攻擊等惡意破壞行為

校園網(wǎng)只有連接到互聯(lián)網(wǎng)上，才能實現(xiàn)與外界的聯(lián)系，使校園網(wǎng)發(fā)揮出重要的作用。但是，校園網(wǎng)在使用過程中，會遭到外部黑客的入侵和攻擊的危險，給校園互聯(lián)網(wǎng)內(nèi)部的服務(wù)器以及數(shù)據(jù)庫帶來不利的影響，使一些重要的數(shù)據(jù)遭到破壞，給電腦系統(tǒng)造成極大的危害。

1.4來自校園網(wǎng)內(nèi)部的攻擊和破壞

由于大多數(shù)高校都開設(shè)了計算機專業(yè)，一些學(xué)生在進(jìn)行實驗操作的時候，由于缺乏專業(yè)知識，出于對網(wǎng)絡(luò)的興趣，不經(jīng)意間會使用一些網(wǎng)絡(luò)攻擊工具進(jìn)行測試，這就給校園網(wǎng)絡(luò)系統(tǒng)帶來一定的安全威脅。

2.校園網(wǎng)網(wǎng)絡(luò)安全的設(shè)計思路

2.1根據(jù)安全需求劃分相關(guān)區(qū)域

當(dāng)前高校校園網(wǎng)都沒有重視到安全的問題，一般都是根據(jù)網(wǎng)絡(luò)互通需要為中心進(jìn)行設(shè)計的。以安全為中心的設(shè)計思路能夠更好的實現(xiàn)校園網(wǎng)的安全性。將校園網(wǎng)絡(luò)分為不同的安全區(qū)域，并對各個區(qū)域進(jìn)行安全設(shè)置。其中可以對高校校園網(wǎng)網(wǎng)絡(luò)安全的互聯(lián)網(wǎng)服務(wù)區(qū)、廣域網(wǎng)分區(qū)、遠(yuǎn)程接入?yún)^(qū)、數(shù)據(jù)中心區(qū)等進(jìn)行不同的安全區(qū)域。

2.2用防火墻隔離各安全區(qū)域

通過防火墻設(shè)備對各安全區(qū)域進(jìn)行隔離，同時防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全區(qū)域之間信息的出入口，配置不同的安全策略監(jiān)督和控制出入網(wǎng)絡(luò)的數(shù)據(jù)流，防火墻本身具有一定的抗攻擊能力。防火墻把網(wǎng)絡(luò)隔離成兩個區(qū)域，分別為受信任的區(qū)域和不被信任的區(qū)域，其中對信任的區(qū)域?qū)ζ溥M(jìn)行安全策略的保護，設(shè)置有效的安全保護措施，防火墻在接入的網(wǎng)絡(luò)間實現(xiàn)接入訪問控制。

3.校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計

3.1主干網(wǎng)設(shè)計主干網(wǎng)可采用三層網(wǎng)絡(luò)構(gòu)架，將原本較為復(fù)雜的網(wǎng)絡(luò)設(shè)計分為三個層次，分別為接入層、匯聚層、核心層。每個層次注重特有的功能，這樣就將大問題簡化成多個小問題。

3.2安全技術(shù)的應(yīng)用3.2.1VLAN技術(shù)的應(yīng)用。虛擬網(wǎng)是一項廣泛使用的基礎(chǔ)，將其應(yīng)用于校園網(wǎng)絡(luò)當(dāng)中，能夠有效的實現(xiàn)虛擬網(wǎng)的劃分，形成一個邏輯網(wǎng)絡(luò)。使用這些技術(shù)，能夠優(yōu)化校園網(wǎng)網(wǎng)絡(luò)的設(shè)計、管理以及維護。

3.2.2ACL技術(shù)的應(yīng)用。這項技術(shù)不僅具有合理配置的功能，而且還有交換機支持的訪問控制列表功能。應(yīng)用于校園網(wǎng)絡(luò)當(dāng)中，能夠合理的限制網(wǎng)絡(luò)非法流量，從而實現(xiàn)訪問控制。

3.3防火墻的使用防火墻是建立在兩個不同網(wǎng)絡(luò)的基礎(chǔ)之間，首先對其設(shè)置安全規(guī)則，決定網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包是否允許通過，并對網(wǎng)絡(luò)運行狀態(tài)進(jìn)行監(jiān)視，使得內(nèi)部的結(jié)構(gòu)與運行狀況都對外屏蔽，從而達(dá)到內(nèi)部網(wǎng)絡(luò)的安全防護【3】。如圖一所示。防火墻的作用主要有這幾個方面：一是防火墻能夠把內(nèi)、外網(wǎng)絡(luò)、對外服務(wù)器網(wǎng)絡(luò)實行分區(qū)域隔離，從而達(dá)到與外網(wǎng)相互隔離。二是防火墻能夠?qū)ν夥?wù)器、網(wǎng)絡(luò)上的主機隔離在一個區(qū)域內(nèi)，并對其進(jìn)行安全防護，以此提升網(wǎng)絡(luò)系統(tǒng)的安全性。三是防火墻能夠限制用戶的訪問權(quán)限，有效杜絕非法用戶的訪問。四是防火墻能夠?qū)崿F(xiàn)對訪問服務(wù)器的請求控制，一旦發(fā)現(xiàn)不良的行為將及時阻止。五是防火墻在各個服務(wù)器上具有審計記錄，有助于完善審計體系。

4.結(jié)語

總而言之，校園網(wǎng)絡(luò)的安全是各大院校所關(guān)注的問題，當(dāng)前校園網(wǎng)網(wǎng)絡(luò)安全的主要問題有操作系統(tǒng)的漏洞、網(wǎng)絡(luò)病毒的破壞、來自外部網(wǎng)絡(luò)的入侵和攻擊等惡意破壞行為、來自校園網(wǎng)內(nèi)部的攻擊和破壞等【4】。要想保障校園網(wǎng)網(wǎng)絡(luò)的安全性，在校園網(wǎng)網(wǎng)絡(luò)安全的設(shè)計方面，應(yīng)當(dāng)根據(jù)安全需求劃分相關(guān)區(qū)域，用防火墻隔離各安全區(qū)域。設(shè)計一個安全的校園網(wǎng)絡(luò)方案，將重點放在主干網(wǎng)設(shè)計、安全技術(shù)的應(yīng)用以及防火墻的使用上，不斷更新與改進(jìn)校園網(wǎng)絡(luò)安全技術(shù)，從而提升校園網(wǎng)的安全性。

作者:金茂 單位:杭州技師學(xué)院

參考文獻(xiàn)：

[1]余思東,黃欣.校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計[J]軟件導(dǎo)刊,2012,06:138-139

篇（3）

具體來說，P1提供了WAN和LAN 2個網(wǎng)絡(luò)接口，在使用時，我們要做的就是分別將它們連接到所住酒店的寬帶網(wǎng)絡(luò)接口和筆記本電腦有線網(wǎng)口上，然后打開電源。多數(shù)情況下，酒店寬帶都是基于端口的認(rèn)證服務(wù)。這時，P1默認(rèn)可以從當(dāng)?shù)鼐W(wǎng)絡(luò)中自動獲得一個IP地址和與之配套的網(wǎng)關(guān)、DNS信息，并自動根據(jù)P1內(nèi)置的VPN參數(shù)進(jìn)行企業(yè)VPN管道連接。一旦連接成功，你會看到P1的VPN指示燈變綠。整個過程，完全無需用戶任何干預(yù)，像在公司內(nèi)部一樣。

如果你所住的酒店使用IE窗口認(rèn)證模式，則你還需要在VPN連接成功前先開啟IE窗口，隨便輸入一個網(wǎng)址，系統(tǒng)會自動彈出相應(yīng)的酒店寬帶網(wǎng)絡(luò)登錄窗口，你也只要按照酒店上網(wǎng)說明，輸入你房間的寬帶口令，即可激活I(lǐng)nternet服務(wù)。接下來，P1仍然會自動配置好網(wǎng)管事先設(shè)定好的VPN連接，將你接入公司的網(wǎng)絡(luò)安全體系中。

其實，P1這樣的個人硬件安防解決方案最大的好處還是在于企業(yè)安全的統(tǒng)一管理和部署。

在完全沒有用戶干預(yù)的情況下，網(wǎng)管能通過ZyXEL的Vantage CNM中央網(wǎng)管系統(tǒng)遠(yuǎn)程強制分發(fā)統(tǒng)一的企業(yè)安防策略。確保身處異地的員工電腦一樣可以在遠(yuǎn)程連入企業(yè)網(wǎng)絡(luò)前，都確實執(zhí)行最新的企業(yè)網(wǎng)絡(luò)安全規(guī)范，既。節(jié)省了網(wǎng)管逐一為大家升級防火墻的麻煩，也避免了百密一疏的危險。真正做到貼身的安防服務(wù)。

三心二意玩電腦

隨著電腦更新速度的日益提升，誰家還沒有個把淘汰下來的舊電腦，或者被筆記本電腦替換下來的臺式機。這些電腦大都已成食之無味、棄之可惜的雞肋。怎樣利用這些電腦，幫你做更多的事情呢?這里，我們給你再支一招：用多電腦切換器(KVM Switch)實現(xiàn)多機并用互不干擾。

這里我們拿Aten(宏正自動科技)的雙機USB切換器CS-173ZA為例給大家做一示范。它具備2套主機接口，包括VGA、音頻(MIC、音箱)和USB總共4個接口，可以滿足2臺主機共享同一套顯示器、鍵鼠以及USB打印機等外設(shè)。這樣，你就可以將家中空閑的主機也架起來完成一些簡單的后臺工作，比如進(jìn)行BT下載。或者更方便地將筆記本電腦連到家里臺式機的大屏幕液晶顯示器和高保真音箱上，用標(biāo)準(zhǔn)鍵鼠更舒適地進(jìn)行操控，而不必受制于筆記本電腦的配置。

多電腦切換器的連接也很簡單，你只要將隨機附帶的2條主數(shù)據(jù)線，分別連接到電腦主機和KVM后的CPU1/2接口上(注意連接方向：數(shù)據(jù)線包括VGA、音頻和USB接頭的一端接在主機對應(yīng)接口上，數(shù)據(jù)線的另一端接到KVM上)，然后將顯示器、USB鍵鼠(PS/2鍵鼠可以通過附帶USB-2-PS/2轉(zhuǎn)接線轉(zhuǎn)換連接)和音響系統(tǒng)的MIc／音箱接入到KVM對應(yīng)端口上，一切就算ok了!KVM的使用也非常容易。在開機2臺電腦后，你可以直接通過KVM正面的1、2主機對應(yīng)按鈕，進(jìn)行雙機操控、顯示、聲音系統(tǒng)的快速切換。即要顯示、操控1號機的信息，就按下1號機切換鍵，然后就跟原來一樣，直接使用1號電腦。待需要使用2號主機時，就簡單地按下2號機切換鍵，顯示屏和鍵鼠就都連接到2號電腦上，你即可以開始操作2號電腦。

篇（4）

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)29-0340-02

The Project Design of Honeypot Deployment Based on Network Security

SHI Ze-quan

(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)

Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.

Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware

計算機及其網(wǎng)絡(luò)技術(shù)的應(yīng)用已深入各行各業(yè)，特別是企事業(yè)單位的日常管理工作更是緊密依賴網(wǎng)絡(luò)資源。基于此，保證網(wǎng)絡(luò)的正常運行就顯得尤為重要。目前，廣泛采用的安全措施是在企業(yè)局域網(wǎng)里布設(shè)網(wǎng)絡(luò)防火墻、病毒防火墻、入侵檢測系統(tǒng)，同時在局域網(wǎng)內(nèi)設(shè)置服務(wù)器備份與數(shù)據(jù)備份系統(tǒng)等方案。而這些安全網(wǎng)絡(luò)防火墻、入侵檢測系統(tǒng)真能有效地保證系統(tǒng)的安全嗎？做到了這一切系統(tǒng)管理員就能高枕無憂了嗎？

1 問題的提出

圖1為現(xiàn)實中常用的二層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。從圖中可以看出，網(wǎng)絡(luò)防火墻與入侵檢測系統(tǒng)（IDS）均部署在網(wǎng)絡(luò)入口處，即防火墻與入侵檢測系統(tǒng)所阻擋是外網(wǎng)用戶對系統(tǒng)的入侵，但是對于內(nèi)網(wǎng)用戶來說，內(nèi)部網(wǎng)絡(luò)是公開的，所有的安全依賴于操作系統(tǒng)本身的安全保障措施提供。對一般的用戶來講，內(nèi)網(wǎng)通常是安全的，即是說這種設(shè)計的對于內(nèi)網(wǎng)的用戶應(yīng)該是可信賴的。然而對于諸如校園網(wǎng)的網(wǎng)絡(luò)系統(tǒng)，由于操作者基本上都是充滿強烈好奇心而又具探索精神的學(xué)生，同時還要面對那些極少數(shù)有逆反心理、強烈報復(fù)心的學(xué)生，這種只有操作系統(tǒng)安全性作為唯一一道防線的網(wǎng)絡(luò)系統(tǒng)的可信賴程度將大打折扣。

另一方面，有經(jīng)驗的網(wǎng)絡(luò)管理員都知道，網(wǎng)絡(luò)中設(shè)置了防火墻與入侵檢測系統(tǒng)并不能從根本上解決網(wǎng)絡(luò)的安全問題（最安全的方法只能是把網(wǎng)絡(luò)的網(wǎng)線撥了），只能對網(wǎng)絡(luò)攻擊者形成一定的阻礙并延長其侵入時間。操作者只要有足夠的耐心并掌握一定的攻擊技術(shù)，這些安全設(shè)施終有倒塌的可能。

所以，如何最大可能地延長入侵者攻擊網(wǎng)絡(luò)的時間？如何在入侵雖已發(fā)生但尚未造成損失時及時發(fā)現(xiàn)入侵？避開現(xiàn)有入侵檢測系統(tǒng)可以偵測的入侵方式而采用新的入侵方式進(jìn)行入侵時，管理者又如何發(fā)現(xiàn)？如何保留入侵者的證據(jù)并將其提交有關(guān)部門？這些問題都是網(wǎng)絡(luò)管理者在安全方面需要經(jīng)常思考的問題。正是因為上述原因，蜜罐技術(shù)應(yīng)運而生。

2 蜜罐技術(shù)簡介

蜜罐技術(shù)的研究起源于上世紀(jì)九十年代初。蜜罐技術(shù)專家L．Spitzner對蜜罐是這樣定義的：蜜罐是一個安全系統(tǒng)，其價值在于被掃描、攻擊或者攻陷。即意味著蜜罐是一個包含漏洞的誘騙系統(tǒng)。它是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統(tǒng)的人設(shè)計的。它通過模擬一個或多個有漏洞的易受攻擊的主機，給攻擊者提供十分容易受攻擊的目標(biāo)。

如圖2所示，蜜罐與正常的服務(wù)器一樣接入核心交換機，并安裝相應(yīng)的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)，配置相應(yīng)的網(wǎng)絡(luò)服務(wù)，故意存放“有用的”但已過時的或可以公開的數(shù)據(jù)。甚至可以將蜜罐服務(wù)器配置成接入網(wǎng)絡(luò)即組成一臺真正能提供應(yīng)用的服務(wù)器，只是注意將蜜罐操作系統(tǒng)的安全性配置成低于正常的應(yīng)用服務(wù)器的安全性，或者故意留出一個或幾個最新發(fā)現(xiàn)的漏洞，以便達(dá)到“誘騙”的目的。

正常配置的蜜罐技術(shù)一旦使用，便可發(fā)揮其特殊功能。

1) 由于蜜罐并沒有向外界提供真正有價值的服務(wù)，正常情況下蜜罐系統(tǒng)不被訪問，因此所有對其鏈接的嘗試都將被視為可疑的，這樣蜜罐對網(wǎng)絡(luò)常見掃描、入侵的反應(yīng)靈敏度大大提高，有利于對入侵的檢測。

2) 蜜罐的另一個用途是拖延攻擊者對真正目標(biāo)的攻擊，讓攻擊者在蜜罐上浪費時間。如圖二， 正常提供服務(wù)的服務(wù)器有4個，加入4個蜜罐，在攻擊者看來，服務(wù)器有8個，其掃描與攻擊的對象也增加為8個，所以大大減少了正常服務(wù)器受攻擊的可能性。同時，由于蜜罐的漏洞多于正常服務(wù)器，必將更加容易吸引攻擊者注意，讓其首先將時間花在攻擊蜜罐服務(wù)器上。蜜罐服務(wù)器靈敏的檢測并及時報警，這樣可以使網(wǎng)絡(luò)管理員及時發(fā)現(xiàn)有攻擊者入侵并及時采取措施，從而使最初可能受攻擊的目標(biāo)得到了保護，真正有價值的內(nèi)容沒有受到侵犯。

3) 由于蜜罐服務(wù)器上安裝了入侵檢測系統(tǒng)，因此它可以及時記錄攻擊者對服務(wù)器的訪問，從而能準(zhǔn)確地為追蹤攻擊者提供有用的線索，為攻擊者搜集有效的證據(jù)。從這個意義上說，蜜罐就是“誘捕”攻擊者的一個陷阱。

經(jīng)過多年的發(fā)展，蜜罐技術(shù)已成為保護網(wǎng)絡(luò)安全的切實有效的手段之一。對企事關(guān)單位業(yè)務(wù)數(shù)據(jù)處理，均可以通過部署蜜罐來達(dá)到提高其安全性的目的。

3 蜜罐與蜜網(wǎng)技術(shù)

蜜罐最初應(yīng)用是真正的主機與易受攻擊的系統(tǒng)，以獲取黑客入侵證據(jù)、方便管理員提前采取措施與研究黑客入侵手段。1998年開始，蜜罐技術(shù)開始吸引了一些安全研究人員的注意，并開發(fā)出一些專門用于欺騙黑客的開放性源代碼工具，如Fred Cohen所開發(fā)的DTK（欺騙工具包）、Niels Provos開發(fā)的Honeyd等，同時也出現(xiàn)了像KFSensor、Specter等一些商業(yè)蜜罐產(chǎn)品。

這一階段的蜜罐可以稱為是虛擬蜜罐，即開發(fā)的這些蜜罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)并對黑客的攻擊行為做出回應(yīng)，從而欺騙黑客。虛擬蜜罐工具的出現(xiàn)也使得部署蜜罐變得比較方便。但是由于虛擬蜜罐工具存在著交互程度低、較容易被黑客識別等問題。從2000年之后，安全研究人員更傾向于使用真實的主機、操作系統(tǒng)和應(yīng)用程序搭建蜜罐，與之前不同的是，融入了更強大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制的工具，并且將蜜罐納入到一個完整的蜜網(wǎng)體系中．使得研究人員能夠更方便地追蹤侵入到蜜網(wǎng)中的黑客并對他們的攻擊行為進(jìn)行分析。

蜜網(wǎng)技術(shù)的模型如圖3所示。由圖中可以看出，蜜網(wǎng)與蜜罐最大的差別在于系統(tǒng)中多布置了一個蜜網(wǎng)網(wǎng)關(guān)（honeywall）與日志服務(wù)器。其中蜜網(wǎng)網(wǎng)關(guān)僅僅作為兩個網(wǎng)絡(luò)的連接設(shè)備，因此沒有MAC地址，也不對任何的數(shù)據(jù)包進(jìn)行路由及對TTL計數(shù)遞減。蜜網(wǎng)網(wǎng)關(guān)的這種行為使得攻擊者幾乎不可能能覺察到它的存在。任何發(fā)送到蜜網(wǎng)內(nèi)的機器的數(shù)據(jù)包都會經(jīng)由Honeywall網(wǎng)關(guān)，從而確保管理員能捕捉和控制網(wǎng)絡(luò)活動。而日志服務(wù)器則記錄了攻擊者在蜜罐機上的所有的行為以便于對攻擊者的行為進(jìn)行分析，并對蜜罐機上的日志進(jìn)行備份以保留證據(jù)。這樣攻擊者并不會意識到網(wǎng)絡(luò)管理員正在監(jiān)視著他，捕獲的行為也使管理員掌握了攻擊者使用的工具、策略和動機。

4 蜜罐部署

由前述內(nèi)容可以看出，蜜罐服務(wù)器布置得越多，應(yīng)用服務(wù)器被掃描與攻擊的風(fēng)險則越小，但同時系統(tǒng)成本將大幅度提高，管理難度也加大。正因為如此，實際中蜜罐的部署是通過虛擬計算系統(tǒng)來完成的。

當(dāng)前在Windows平臺上流行的虛擬計算機系統(tǒng)主要有微軟的Virtual Pc與Vmware。以Vmware為例，物理主機配置兩個網(wǎng)卡，采用Windows2000或Windows XP操作系統(tǒng)，并安裝VMwar。建立一臺虛擬機作為蜜網(wǎng)網(wǎng)關(guān)，此虛擬機設(shè)置三個虛擬網(wǎng)卡（其虛擬網(wǎng)卡類型見圖4），分別連接系統(tǒng)工作網(wǎng)、虛擬服務(wù)器網(wǎng)與監(jiān)控服務(wù)器。虛擬服務(wù)器網(wǎng)根據(jù)物理主機內(nèi)存及磁盤空間大小可虛擬多個服務(wù)器并安裝相應(yīng)的操作系統(tǒng)及應(yīng)用軟件，以此誘惑黑客攻擊。蜜網(wǎng)服務(wù)器用于收集黑客攻擊信息并保留證據(jù)。系統(tǒng)拓?fù)浣Y(jié)構(gòu)如圖4所示。

系統(tǒng)部署基本過程如下：

4.1 主機硬件需求

CPU：Pentium 4 以上CPU，雙核更佳。

硬盤：80G以上，視虛擬操作系統(tǒng)數(shù)量而定。

內(nèi)存：1G以上，其中蜜網(wǎng)軟件Honeywall至少需要256M以上。其它視虛擬操作系統(tǒng)數(shù)量而定。（下轉(zhuǎn)第346頁）

（上接第341頁）

網(wǎng)卡：兩個，其中一個作為主網(wǎng)絡(luò)接入，另一個作為監(jiān)控使用。

其它設(shè)備：視需要而定

4.2 所需軟件

操作系統(tǒng)安裝光盤：Windows 2000或Windows 2003；

虛擬機軟件：VMware Workstation for Win32；

蜜網(wǎng)網(wǎng)關(guān)軟件：Roo Honeywall CDROM v1.2，可從蜜網(wǎng)項目組網(wǎng)站（一個非贏利國際組織，研究蜜網(wǎng)技術(shù)，網(wǎng)址為）下載安裝光盤。

4.3 安裝過程

1）安裝主機操作系統(tǒng)。

2) 安裝虛擬機軟件。

3) 構(gòu)建虛擬網(wǎng)絡(luò)系統(tǒng)。其中蜜網(wǎng)網(wǎng)關(guān)虛擬類型為Linux，內(nèi)存分配為256M以上，最好為512M，硬盤空間為4G以上，最好為10G。網(wǎng)卡三個，分別設(shè)為VMnet0、VMnet1和VMnet2，如圖4所示。

4) 在蜜網(wǎng)網(wǎng)關(guān)機上安裝honeywall，配置IP信息、管理信息等。

5) 在蜜網(wǎng)網(wǎng)關(guān)機上配置Sebek服務(wù)器端，以利用蜜網(wǎng)網(wǎng)關(guān)收集信息。

6) 安裝虛擬服務(wù)器組，并布設(shè)相應(yīng)的應(yīng)用系統(tǒng)。注意虛擬服務(wù)器組均配置為VMnet1，以使其接入蜜網(wǎng)網(wǎng)關(guān)機后。

7) 在虛擬服務(wù)器組上安裝并配置sebek客戶端。

8) 通過監(jiān)控機的瀏覽器測試蜜網(wǎng)網(wǎng)關(guān)數(shù)據(jù)。

總之，虛擬蜜網(wǎng)系統(tǒng)旨在利用蜜網(wǎng)網(wǎng)關(guān)的數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析等功能，通過對蜜網(wǎng)防火墻的日志記錄、eth1上的嗅探器記錄的網(wǎng)絡(luò)流和Sebek 捕獲的系統(tǒng)活動，達(dá)到分析網(wǎng)絡(luò)入侵手段與方法的目的，以利于延緩網(wǎng)絡(luò)攻擊、改進(jìn)網(wǎng)絡(luò)安全性的目的。

參考文獻(xiàn)：

[1] 王連忠.蜜罐技術(shù)原理探究[J].中國科技信息,2005(5):28.

[2] 牛少彰,張 瑋. 蜜罐與蜜網(wǎng)技術(shù)[J].通信市場,2006(12):64-65.

[3] 殷聯(lián)甫.主動防護網(wǎng)絡(luò)入侵的蜜罐(Honeypot)技術(shù)[J].計算機應(yīng)用,2004(7):29-31.

篇（5）

前言

電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)在電力系統(tǒng)的運行中起到不可忽視的重要作用，良好的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)環(huán)境有效保證電網(wǎng)經(jīng)濟、安全、可靠、穩(wěn)定的運行，為電力系統(tǒng)中的電力生產(chǎn)、燃料調(diào)度、水庫調(diào)度以及電網(wǎng)調(diào)度自動化、繼電保護等提供了便捷的通信條件，它為電力企業(yè)的生產(chǎn)與管理提供了良好保障。為了滿足基于虛擬專用網(wǎng)的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全性需求，相關(guān)技術(shù)人員要不斷在實際工作中總結(jié)經(jīng)驗，設(shè)計出合理、科學(xué)的安全方案，以保證電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)更好地服務(wù)于企業(yè)，為企業(yè)帶來更多的經(jīng)濟效益。

1電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)建設(shè)的必要性

隨著經(jīng)濟社會的快速發(fā)展，各種現(xiàn)代化管理方式應(yīng)運而生，電網(wǎng)管理方式的創(chuàng)新與管理水平的提高，帶動了電力調(diào)度業(yè)務(wù)的發(fā)展，良好的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)能夠有效保障電網(wǎng)系統(tǒng)的安全性與經(jīng)濟性，確保電網(wǎng)運行的穩(wěn)定性。目前我國電力調(diào)度數(shù)據(jù)業(yè)務(wù)還局限在傳統(tǒng)模式上，運用的是傳統(tǒng)的數(shù)字專線模式，這種傳統(tǒng)電力調(diào)度數(shù)據(jù)模式使信息共享受到阻礙，造成了通信資源的浪費，隨著各種高科技產(chǎn)品的生產(chǎn)，各種電力調(diào)度業(yè)務(wù)不斷上線，對電網(wǎng)通道資源與數(shù)據(jù)共享的需求也逐漸增高。只有建設(shè)良好的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，才能保證電力系統(tǒng)的經(jīng)濟性與安全性。

1.1電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)建設(shè)是自動化系統(tǒng)發(fā)展的需要

人們在經(jīng)營各種生產(chǎn)生活等的活動中，都離不開電網(wǎng)的支持，為了更好地適應(yīng)電網(wǎng)的發(fā)展需求，調(diào)度自動化系統(tǒng)在其功能上得到不斷的改進(jìn)和完善，除了安全自動裝置、繼電保護以及傳統(tǒng)的調(diào)度自動化系統(tǒng)之外，一些現(xiàn)代化的系統(tǒng)諸如配網(wǎng)自動化系統(tǒng)、電能量計量系統(tǒng)、無人值班變電站監(jiān)控設(shè)備等逐漸應(yīng)用到電網(wǎng)系統(tǒng)中，這些新型系統(tǒng)設(shè)備的有效運用，使得信息傳輸容量得到了很大的提高。由于信息傳輸容量的增加，各個調(diào)度系統(tǒng)之間要進(jìn)行更多的信息共享與數(shù)據(jù)轉(zhuǎn)換，這就對通信網(wǎng)絡(luò)的要求越來越高，傳統(tǒng)的通信網(wǎng)絡(luò)在傳統(tǒng)實時數(shù)據(jù)時其數(shù)量和質(zhì)量都受到了很大的局限，不能夠再適應(yīng)現(xiàn)代電網(wǎng)自動化應(yīng)用系統(tǒng)的需求。建立安全的基于VPN的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，在一些地區(qū)已經(jīng)得到運用，其運行情況很好，對信息數(shù)據(jù)的傳輸速率與質(zhì)量都有了明顯的提高，有效保證了自動化應(yīng)用系統(tǒng)的發(fā)展需求。建立一個基于VPN的電力調(diào)度數(shù)據(jù)安全網(wǎng)絡(luò)，能夠有效提高電網(wǎng)運行的信息共享程度、傳輸速率，滿足電網(wǎng)自動化系統(tǒng)發(fā)展的需求。

1.2電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)建設(shè)是提高實時數(shù)據(jù)傳輸可靠性的需要

目前我國一些電力系統(tǒng)變電站的實時監(jiān)控信息采用的是模擬和數(shù)字專線通道與地調(diào)調(diào)度自動化系統(tǒng)相結(jié)合的通信方式，每臺終端設(shè)備和地調(diào)之間要獨自單用一條或者是兩條專用的數(shù)據(jù)通道。這種采用模擬和數(shù)字專線通道與地調(diào)調(diào)度自動化系統(tǒng)進(jìn)行通信的模式在通信傳輸時速率普遍較低，傳輸?shù)男盘枙艿酵ǖ垒^大的干擾，傳輸?shù)臄?shù)據(jù)不穩(wěn)定，也沒有網(wǎng)絡(luò)層間的保護系統(tǒng)，如果數(shù)據(jù)通道出現(xiàn)故障，那么數(shù)據(jù)信息就會立即丟失并且不能夠進(jìn)行數(shù)據(jù)的恢復(fù)，這種點對點的傳輸方式需要在主站端設(shè)置較多的接口設(shè)備，由于操作配置的復(fù)雜性，使其在后期維護時工作量增大。建立電力調(diào)度數(shù)據(jù)網(wǎng)，能夠?qū)崿F(xiàn)調(diào)度生產(chǎn)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)性模式，通過直接上網(wǎng)的方式來進(jìn)行數(shù)據(jù)交換，有效的提高了信息傳輸?shù)目煽啃浴；赩PN的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的建設(shè)，能夠保證信息數(shù)據(jù)傳輸?shù)目煽啃裕粫驗橥ǖ莱霈F(xiàn)故障而導(dǎo)致數(shù)據(jù)丟失的情況，主站端不必要設(shè)置大量的終端設(shè)備，方便了工作人員進(jìn)行設(shè)備維護。

2基于VPN的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案

基于VPN的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案在設(shè)計時要遵循經(jīng)濟性、流量優(yōu)化、擴展性、節(jié)點可靠性以及拓?fù)淇煽啃缘鹊脑瓌t。設(shè)計電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案時，在充分確保電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的暢通性和可靠性的前提下，最大限度的減少網(wǎng)絡(luò)電路的數(shù)量、網(wǎng)絡(luò)電路的總里程以及寬帶，以此來盡量減小網(wǎng)絡(luò)的運行費用，為企業(yè)帶來更多的經(jīng)濟效益。根據(jù)電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的流量以及流向，在設(shè)置電路和寬帶時要保證其合理性配置，均勻的將網(wǎng)絡(luò)流量分布開來，保證各個電路寬帶均能充分的利用網(wǎng)絡(luò)流量，避免使網(wǎng)絡(luò)帶寬達(dá)到瓶頸，影響電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全性。進(jìn)行主干網(wǎng)絡(luò)的拓?fù)湓O(shè)計時，要充分遵循N-1的設(shè)備可靠性和電路可靠性原則，增加、修改或者減少網(wǎng)絡(luò)電路和節(jié)點時，要保證網(wǎng)絡(luò)的總體拓?fù)洳皇艿接绊憽Ｔ谠O(shè)置網(wǎng)絡(luò)中各個骨干、核心的節(jié)點時，要采用雙設(shè)備配置，根據(jù)實際情況需求，進(jìn)行設(shè)備的風(fēng)扇、引擎以及電源燈冗余設(shè)計，注意電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)節(jié)點的熱插撥等特性。

在網(wǎng)絡(luò)設(shè)計中包括電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的核心層、匯聚層以及接入層三層的設(shè)計。在核心層中進(jìn)行核心路由器和核心層交換機的聯(lián)通性時，要注意保證核心層交換機的業(yè)務(wù)服務(wù)器在傳輸數(shù)據(jù)時具有不間斷性，順暢地發(fā)送到核心層路由器，再由核心層路由器再次轉(zhuǎn)發(fā)數(shù)據(jù)。核心層交換機要具備全局的地址，能夠保證網(wǎng)管服務(wù)器的正常訪問。核心層與匯聚層進(jìn)行具體網(wǎng)絡(luò)的聯(lián)通時，要注意核心層交換機下聯(lián)的網(wǎng)絡(luò)管理服務(wù)器可以正常的對匯聚層的設(shè)備進(jìn)行訪問，下聯(lián)的業(yè)務(wù)服務(wù)器能夠順利的連接匯聚層的業(yè)務(wù)地址并進(jìn)行正常訪問。即使發(fā)生部分線路中斷的情況，匯聚層的各個業(yè)務(wù)地址仍然可以在冗余的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中進(jìn)行數(shù)據(jù)的傳輸，或者是通過高可靠性的路由協(xié)議來完成數(shù)據(jù)的上傳，保證業(yè)務(wù)或者網(wǎng)管服務(wù)器正常接收數(shù)據(jù)。此外還應(yīng)當(dāng)注意匯聚層的不同站點業(yè)務(wù)地址不需要進(jìn)行互通。電力調(diào)度數(shù)據(jù)網(wǎng)的核心層和骨干層的數(shù)據(jù)處理能力較強，因此在設(shè)計方案中將仿真分析集中于接入層。對于電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案的接入層設(shè)計，應(yīng)當(dāng)保證接入層中的業(yè)務(wù)流量可以進(jìn)行不間斷的數(shù)據(jù)發(fā)送，接入層中的業(yè)務(wù)終端可以與核心層的業(yè)務(wù)服務(wù)器進(jìn)行正常互通，接入層的網(wǎng)絡(luò)設(shè)備可以與核心層的網(wǎng)絡(luò)管理服務(wù)器進(jìn)行正常的互通，只有同時達(dá)到這三個要求，才能保證接入層的網(wǎng)絡(luò)連通性。接入層采用的是低端網(wǎng)絡(luò)的嵌入式遠(yuǎn)動監(jiān)控設(shè)備，在安全方案設(shè)計中將基于IPSec的VPN內(nèi)核進(jìn)一步裁剪，在裁剪后的VPN安全框架中融入新的身份認(rèn)證和密鑰協(xié)商算法，這樣能夠有利于新設(shè)計安全方案的實現(xiàn)，同時可以大幅度降低接入層設(shè)備在安全數(shù)據(jù)處理中的費用，減少電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案的設(shè)計投入。

3結(jié)語

總而言之，在電力系統(tǒng)的生產(chǎn)管理工作中，電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)起到對其的直接控制作用，電力調(diào)度數(shù)據(jù)網(wǎng)的重要性不容忽視。電力企業(yè)一定要重視電力調(diào)度數(shù)據(jù)網(wǎng)的安全性和實時性，不斷借鑒國外先進(jìn)的技術(shù)，在實際運行工作中，注意總結(jié)和歸納，設(shè)計出一種合理的基于VPN的身份認(rèn)證與密鑰協(xié)商相互融合的安全方案，消除電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)中實時性與安全性兩者之間的矛盾，使其為企業(yè)帶來更多的應(yīng)用價值。

篇（6）

中圖分類號 G271 文獻(xiàn)標(biāo)識碼 A 文章編號 1673-9671-（2012）111-0142-01

計算機網(wǎng)絡(luò)的安全運行，是關(guān)系到一個企業(yè)發(fā)展的重要問題，如何能使得企業(yè)網(wǎng)絡(luò)更為安全，如今已經(jīng)成為了一個熱議的話題。影響網(wǎng)絡(luò)安全的因素有很多種，保護網(wǎng)絡(luò)安全的手段、技術(shù)也很多。對于網(wǎng)絡(luò)安全的保護我們一般都是通過防火墻、加密系統(tǒng)、防病毒系統(tǒng)、身份認(rèn)證等等方面來保護網(wǎng)絡(luò)的安全。為了保護網(wǎng)絡(luò)系統(tǒng)的安全，我們必須要結(jié)合網(wǎng)絡(luò)的具體需求，把多種安全措施進(jìn)行總結(jié)，建立一個立體的、全面的、多層次網(wǎng)絡(luò)安全防御系統(tǒng)。

1 影響網(wǎng)絡(luò)安全的因素

網(wǎng)絡(luò)信息的安全問題日益嚴(yán)重，這不僅會使企業(yè)遭受到巨大的經(jīng)濟損失，也影響到國家的安全。

如何避免網(wǎng)絡(luò)安全問題的產(chǎn)生，我們必須要清楚因法網(wǎng)絡(luò)安全問題的因素有哪些。我們主要把網(wǎng)絡(luò)安全問題歸納為以下幾個方面：

1.1 人為失誤

人為失去指的是在在無意識的情況下造成的失誤，進(jìn)而引發(fā)網(wǎng)絡(luò)安全問題。如“非法操作、口令的丟失、資源訪問時控制不合理、管理人員疏忽大意等，這些都會對企業(yè)網(wǎng)絡(luò)系統(tǒng)造成很大的破壞，引發(fā)網(wǎng)絡(luò)安全問題。

1.2 病毒感染

病毒一直以來，都是能夠?qū)τ嬎銠C安全夠成直接威脅的因素，而網(wǎng)絡(luò)更能夠為病毒提供迅速快捷的傳播途徑，病毒很容易通過服務(wù)器以軟件的方式下載、郵件等方式進(jìn)入網(wǎng)絡(luò)，然后對計算機網(wǎng)絡(luò)進(jìn)行攻擊、破壞，進(jìn)而會造成很大的經(jīng)濟損失。

1.3 來自企業(yè)網(wǎng)絡(luò)外部的攻擊

企業(yè)網(wǎng)絡(luò)外部的攻擊主要是企業(yè)局域網(wǎng)外部的惡意攻擊，比如：偽裝合法用戶進(jìn)入企業(yè)網(wǎng)絡(luò)，并占用修改資源；有選擇的來破壞企業(yè)網(wǎng)絡(luò)信息的完整性和有效性；修改企業(yè)網(wǎng)站數(shù)據(jù)、破譯企業(yè)機密、竊取企業(yè)情報、破壞企業(yè)網(wǎng)絡(luò)軟件；利用中間網(wǎng)線來讀取或者攔截企業(yè)絕密信息等。

1.4 來自網(wǎng)絡(luò)內(nèi)部的攻擊

在企業(yè)局域網(wǎng)內(nèi)部，一些非法人員冒用合法的口令，登陸企業(yè)計算機網(wǎng)絡(luò)，產(chǎn)看企業(yè)機密信息，修改企業(yè)信息內(nèi)容，破壞企業(yè)網(wǎng)絡(luò)系統(tǒng)的正常運行。

1.5 企業(yè)網(wǎng)絡(luò)系統(tǒng)漏洞

企業(yè)的網(wǎng)絡(luò)系統(tǒng)不可能是毫無破綻的，而企業(yè)網(wǎng)絡(luò)中的漏洞，總是設(shè)計者預(yù)先留下的，為網(wǎng)絡(luò)黑客和工業(yè)間諜提供最薄弱的攻擊部位。

2 企業(yè)計算機網(wǎng)絡(luò)安全方案的設(shè)計與實現(xiàn)

影響計算機網(wǎng)絡(luò)完全因素很多，而相應(yīng)的保護手段也很多。

2.1 動態(tài)口令身份認(rèn)證的設(shè)計與實現(xiàn)

動態(tài)口令身份認(rèn)證具有動態(tài)性、不可逆性、一次性、隨機性等特點，跟傳統(tǒng)靜態(tài)口令相比，增加了計算機網(wǎng)絡(luò)的安全性。傳統(tǒng)的靜態(tài)口令進(jìn)行身份驗證的時候，很容易導(dǎo)致企業(yè)計算機網(wǎng)絡(luò)數(shù)據(jù)遭到竊取、攻擊、認(rèn)證信息的截取等諸多問題。而動態(tài)口令的使用不僅保留了靜態(tài)口令的優(yōu)點，又采用了先進(jìn)的身份認(rèn)證以及解密流程，而每一個動態(tài)口令只能使用一次，并且對認(rèn)證的結(jié)果進(jìn)行記錄，防止同一個口令多次登錄。

2.2 企業(yè)日志管理與備份的設(shè)計與實現(xiàn)

企業(yè)要想保證計算機網(wǎng)絡(luò)的安全，對于計算機網(wǎng)絡(luò)進(jìn)行日志管理和備份是不可缺少的內(nèi)容，日志管理和備份數(shù)據(jù)系統(tǒng)是計算機運行的基礎(chǔ)。計算機在運行過程中難保不會出現(xiàn)故障，而計算機中的數(shù)據(jù)和資料的一個企業(yè)的血液，如果數(shù)據(jù)和資料丟失，會給企業(yè)今后的發(fā)展帶來巨大的不便，為了避免數(shù)據(jù)資料的丟失，我們就應(yīng)當(dāng)對計算機網(wǎng)絡(luò)做好數(shù)據(jù)備份以及數(shù)據(jù)歸檔的保護措施。這些都是維護企業(yè)網(wǎng)絡(luò)安全的最基本的措施與工作。

2.3 病毒防護設(shè)計與實現(xiàn)

計算機病毒每年都在呈上漲的趨勢，我國每年遭受計算機入侵的網(wǎng)絡(luò)，占到了相當(dāng)高的比例。計算機病毒會使計算機運行緩慢，對計算機網(wǎng)絡(luò)進(jìn)行有目的的破壞行為。目前Internet在飛速的發(fā)展，讓病毒在網(wǎng)上出現(xiàn)之后，會很快的通過網(wǎng)絡(luò)進(jìn)行傳播。對于企業(yè)計算機網(wǎng)絡(luò)，應(yīng)當(dāng)時刻進(jìn)行監(jiān)控以及判斷系統(tǒng)中是否有病毒的存在，要加大對于病毒的檢測。處理、免疫及對抗的能力。而企業(yè)使用防病毒系統(tǒng)，可以有效的防止病毒入侵帶來的損失。為了使企業(yè)的網(wǎng)絡(luò)更加安全，要建立起一個完善的防病毒系統(tǒng)，制定相應(yīng)的措施和病毒入侵時的緊急應(yīng)急措施，同時也要加大工作人員的安全意識。

病毒會隨著時間的推移變的隨時都有可能出現(xiàn)，所以企業(yè)中計算機網(wǎng)絡(luò)安全人員，要隨時加強對于防毒系統(tǒng)的升級、更新、漏洞修復(fù)，找出多種不同的防毒方法，提高企業(yè)計算機網(wǎng)絡(luò)防病毒的能力。

2.4 防火墻技術(shù)設(shè)計與實現(xiàn)

Internet使用過程中，要通過內(nèi)網(wǎng)。外網(wǎng)的連接來實現(xiàn)訪問，這些就給網(wǎng)絡(luò)黑客們提供了良好的空間與環(huán)境。目前，企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)，采用防火墻技術(shù)，能有效的保證企業(yè)的機密不會受到網(wǎng)絡(luò)黑客以及工業(yè)間諜的入侵，這種方法也是維護企業(yè)計算機網(wǎng)絡(luò)最有效、最經(jīng)濟的方法，因為防火墻系統(tǒng)是企業(yè)計算機網(wǎng)絡(luò)安全的最前面屏障，能有效的組織入侵情況的發(fā)生。所以企業(yè)計算機網(wǎng)絡(luò)第一個安全措施就是安裝以及應(yīng)用防火墻。防火墻一般是安裝在內(nèi)部網(wǎng)絡(luò)出口處，在內(nèi)網(wǎng)與外網(wǎng)之間。

防火墻最大的特點是所有的信息傳遞都要經(jīng)過它，這樣就能有效的避免企業(yè)網(wǎng)絡(luò)遭到非法入侵，防火本身的具有很高的可靠性，它可以加強對企業(yè)網(wǎng)絡(luò)的監(jiān)督，防止外部入侵和黑客攻擊造成的信息泄露，

2.5 網(wǎng)絡(luò)安全設(shè)計的實現(xiàn)

在企業(yè)網(wǎng)絡(luò)運行中，與用戶和各個系統(tǒng)之間，存在著信息交換的過程，這些信息包括信息代碼、電子文稿、文檔等，所以總會有各種網(wǎng)絡(luò)安全的問題出現(xiàn)。為了保障網(wǎng)絡(luò)的安全性和客戶使用的合法性，就要去嚴(yán)格的限制登錄者的操作權(quán)限，增加口令的復(fù)雜程度。當(dāng)工作人員離職要對于網(wǎng)絡(luò)口令認(rèn)證做出相應(yīng)的調(diào)整，以避免帶來的不便。

3 總結(jié)

現(xiàn)今網(wǎng)絡(luò)在現(xiàn)代生活中發(fā)展迅速，然而網(wǎng)絡(luò)安全的系統(tǒng)也日益突出。作為一個企業(yè)如何的保證自己網(wǎng)絡(luò)的安全性，使自身能夠更快更好的發(fā)展，面對著網(wǎng)絡(luò)入侵的行為要進(jìn)行如何的防御，已經(jīng)是一個越來越迫切的問題。我們只有從實際出發(fā)，去構(gòu)建一個完整的安全的網(wǎng)絡(luò)防御系統(tǒng)，才能保證企業(yè)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

篇（7）

【關(guān)鍵詞】網(wǎng)絡(luò)安全技術(shù) 解決方案 企業(yè)網(wǎng)絡(luò)安全

網(wǎng)絡(luò)由于其系統(tǒng)方面漏洞導(dǎo)致的安全問題是企業(yè)的一大困擾，如何消除辦企業(yè)網(wǎng)絡(luò)的安全隱患成為企業(yè)管理中的的一大難題。各種網(wǎng)絡(luò)安全技術(shù)的出現(xiàn)為企業(yè)的網(wǎng)絡(luò)信息安全帶來重要保障，為企業(yè)的發(fā)展奠定堅實的基礎(chǔ)。

1 網(wǎng)絡(luò)安全技術(shù)

1.1 防火墻技術(shù)

防火墻技術(shù)主要作用是實現(xiàn)了網(wǎng)絡(luò)之間訪問的有效控制，對外部不明身份的對象采取隔離的方式禁止其進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，從而實現(xiàn)對企業(yè)信息的保護。

如果將公司比作人，公司防盜系統(tǒng)就如同人的皮膚一樣，是阻擋外部異物的第一道屏障，其他一切防盜系統(tǒng)都是建立在防火墻的基礎(chǔ)上。現(xiàn)在最常用也最管用的防盜系統(tǒng)就是防火墻，防火墻又可以細(xì)分為服務(wù)防火墻和包過濾技術(shù)防火墻。服務(wù)防火墻的作用一般是在雙方進(jìn)行電子商務(wù)交易時，作為中間人的角色，履行監(jiān)督職責(zé)。包過濾技術(shù)防火墻就像是一個篩子，會選擇性的讓數(shù)據(jù)信息通過或隔離。

1.2 加密技術(shù)

加密技術(shù)是企業(yè)常用保護數(shù)據(jù)信息的一種便捷技術(shù)，主要是利用一些加密程序?qū)ζ髽I(yè)一些重要的數(shù)據(jù)進(jìn)行保護，避免被不法分子盜取利用。常用的加密方法主要有數(shù)據(jù)加密方法以及基于公鑰的加密算法。數(shù)據(jù)加密方法主要是對重要的數(shù)據(jù)通過一定的規(guī)律進(jìn)行變換，改變其原有特征，讓外部人員無法直接觀察其本質(zhì)含義，這種加密技術(shù)具有簡便性和有效性，但是存在一定的風(fēng)險，一旦加密規(guī)律被別人知道后就很容易將其破解。基于公鑰的加密算法指的是由對應(yīng)的一對唯一性密鑰（即公開密鑰和私有密鑰）組成的加密方法。這種加密方法具有較強的隱蔽性，外部人員如果想得到數(shù)據(jù)信息只有得到相關(guān)的只有得到唯一的私有密匙，因此具有較強的保密性。

1.3 身份鑒定技術(shù)

身份鑒定技術(shù)就是根據(jù)具體的特征對個人進(jìn)行識別，根據(jù)識別的結(jié)果來判斷識別對象是否符合具體條件，再由系統(tǒng)判斷是否對來人開放權(quán)限。這種方式對于冒名頂替者十分有效，比如指紋或者后虹膜， 一般情況下只有本人才有權(quán)限進(jìn)行某些專屬操作，也難以被模擬，安全性能比較可靠。這樣的技術(shù)一般應(yīng)用在企業(yè)高度機密信息的保密過程中，具有較強的實用性。

2 企業(yè)網(wǎng)絡(luò)安全體系解決方案

2.1 控制網(wǎng)絡(luò)訪問

對網(wǎng)絡(luò)訪問的控制是保障企業(yè)網(wǎng)絡(luò)安全的重要手段，通過設(shè)置各種權(quán)限避免企業(yè)信息外流，保證企業(yè)在激烈的市場競爭中具有一定的競爭力。企業(yè)的網(wǎng)絡(luò)設(shè)置按照面向?qū)ο蟮姆绞竭M(jìn)行設(shè)置，針對個體對象按照網(wǎng)絡(luò)協(xié)議進(jìn)行訪問權(quán)限設(shè)置，將網(wǎng)絡(luò)進(jìn)行細(xì)分，根據(jù)不同的功能對企業(yè)內(nèi)部的工作人員進(jìn)行權(quán)限管理。企業(yè)辦公人員需要使用到的功能給予開通，其他與其工作不相關(guān)的內(nèi)容即取消其訪問權(quán)限。另外對于一些重要信息設(shè)置寫保護或讀保護，從根本上保障企業(yè)機密信息的安全。另外對網(wǎng)絡(luò)的訪問控制可以分時段進(jìn)行，例如某文件只可以在相應(yīng)日期的一段時間內(nèi)打開。

企業(yè)網(wǎng)絡(luò)設(shè)計過程中應(yīng)該考慮到網(wǎng)絡(luò)安全問題，因此在實際設(shè)計過程中應(yīng)該對各種網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)系統(tǒng)等進(jìn)行安全管理，例如對各種設(shè)備的接口以及設(shè)備間的信息傳送方式進(jìn)行科學(xué)管理，在保證其基本功能的基礎(chǔ)上消除其他功能，利用當(dāng)前安全性較高的網(wǎng)絡(luò)系統(tǒng)，消除網(wǎng)絡(luò)安全的脆弱性。

企業(yè)經(jīng)營過程中由于業(yè)務(wù)需求常需要通過遠(yuǎn)端連線設(shè)備連接企業(yè)內(nèi)部網(wǎng)絡(luò)，遠(yuǎn)程連接過程中脆弱的網(wǎng)絡(luò)系統(tǒng)極容易成為別人攻擊的對象，因此在企業(yè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)該加入安全性能較高的遠(yuǎn)程訪問設(shè)備，提高遠(yuǎn)程網(wǎng)絡(luò)訪問的安全性。同時對網(wǎng)絡(luò)系統(tǒng)重新設(shè)置，對登入身份信息進(jìn)行加密處理，保證企業(yè)內(nèi)部人員在操作過程中信息不被外人竊取，在數(shù)據(jù)傳輸過程中通過相應(yīng)的網(wǎng)絡(luò)技術(shù)對傳輸?shù)臄?shù)據(jù)審核，避免信息通過其他渠道外泄，提高信息傳輸?shù)陌踩浴?/p>

2.2 網(wǎng)絡(luò)的安全傳輸

電子商務(wù)時代的供應(yīng)鏈建立在網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上，供應(yīng)鏈的各種信息都在企業(yè)內(nèi)部網(wǎng)絡(luò)以及與供應(yīng)商之間的網(wǎng)絡(luò)上進(jìn)行傳遞，信息在傳遞過程中容易被不法分子盜取，給企業(yè)造成重大經(jīng)濟損失。為了避免信息被竊取，企業(yè)可以建設(shè)完善的網(wǎng)絡(luò)系統(tǒng)，通過防火墻技術(shù)將身份無法識別的隔離在企業(yè)網(wǎng)絡(luò)之外，保證企業(yè)信息在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行傳輸。另外可以通過相應(yīng)的加密技術(shù)對傳輸?shù)男畔⑦M(jìn)行加密處理，技術(shù)一些黑客破解企業(yè)的防火墻，竊取到的信息也是難以理解的加密數(shù)據(jù)，加密過后的信息常常以亂碼的形式存在。從理論上而言，加密的信息仍舊有被破解的可能性，但現(xiàn)行的數(shù)據(jù)加密方式都是利用復(fù)雜的密匙處理過的，即使是最先進(jìn)的密碼破解技術(shù)也要花費相當(dāng)長的時間，等到數(shù)據(jù)被破解后該信息已經(jīng)失去其時效性，成為一條無用的信息，對企業(yè)而言沒有任何影響。

2.3 網(wǎng)絡(luò)攻擊檢測

一些黑客通常會利用一些惡意程序攻擊企業(yè)網(wǎng)絡(luò)，并從中找到漏洞進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，對企業(yè)信息進(jìn)行竊取或更改。為避免惡意網(wǎng)絡(luò)攻擊，企業(yè)可以引進(jìn)入侵檢測系統(tǒng)，并將其與控制網(wǎng)絡(luò)訪問結(jié)合起來，對企業(yè)信息實行雙重保護。根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)，將入侵檢測系統(tǒng)滲入到企業(yè)網(wǎng)絡(luò)內(nèi)部的各個環(huán)節(jié)，尤其是重要部門的機密信息需要重點監(jiān)控。利用防火墻技術(shù)實現(xiàn)企業(yè)網(wǎng)絡(luò)的第一道保護屏障，再配以檢測技術(shù)以及相關(guān)加密技術(shù)，防火記錄用戶的身份信息，遇到無法識別的身份信息即將數(shù)據(jù)傳輸給管理員。后續(xù)的入侵檢測技術(shù)將徹底阻擋黑客的攻擊，并對黑客身份信息進(jìn)行分析。即使黑客通過這些屏障得到的也是經(jīng)過加密的數(shù)據(jù)，難以從中得到有效信息。通過這些網(wǎng)絡(luò)安全技術(shù)的配合，全方位消除來自網(wǎng)絡(luò)黑客的攻擊，保障企業(yè)網(wǎng)絡(luò)安全。

3 結(jié)束語

隨著電子商務(wù)時代的到來，網(wǎng)絡(luò)技術(shù)將會在未來一段時間內(nèi)在企業(yè)的運轉(zhuǎn)中發(fā)揮難以取代的作用，企業(yè)網(wǎng)絡(luò)安全也將長期伴隨企業(yè)經(jīng)營管理，因此必須對企業(yè)網(wǎng)絡(luò)實行動態(tài)管理，保證網(wǎng)絡(luò)安全的先進(jìn)性，為企業(yè)的發(fā)展建立安全的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

[1]周觀民，李榮會.計算機網(wǎng)絡(luò)信息安全及對策研究[J].信息安全與技術(shù)，2011.

篇（8）

從20世紀(jì)90年代至今，我國電信行業(yè)取得了跨越式發(fā)展，電信固定網(wǎng)和移動網(wǎng)的規(guī)模均居世界第一，網(wǎng)絡(luò)的技術(shù)水平也居世界前列。電信已經(jīng)深入到人類生活的方方面面，和日常生活的結(jié)合越來越緊密。電信網(wǎng)的安全狀況直接影響這些基礎(chǔ)設(shè)施的正常運行。加強電信網(wǎng)絡(luò)的安全防護工作，是一項重要的工作。筆者結(jié)合工作實際，就電信網(wǎng)絡(luò)安全及防護工作做了一些思考。

1 電信網(wǎng)絡(luò)安全及其現(xiàn)狀

狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性，按照網(wǎng)絡(luò)對象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運營商內(nèi)部網(wǎng)絡(luò)安全等幾個方面；廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個基本層面，在這個基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面，幾個層面結(jié)合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網(wǎng)絡(luò)安全的建設(shè)，針對網(wǎng)絡(luò)特點、業(yè)務(wù)特點建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年，原中國電信意識到網(wǎng)絡(luò)安全的重要性，并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門，著力建立中國電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中，包括組織體系、策略體系和保障的機制，依據(jù)組織保障策略引導(dǎo)、保障機制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大和業(yè)務(wù)的突飛猛進(jìn)，單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此，建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺，也就是SOC平臺，形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系，以完成中國電信互聯(lián)網(wǎng)的安全保障工作。這個系統(tǒng)通過幾個模塊協(xié)同工作，來完成對網(wǎng)絡(luò)安全事件的監(jiān)控，完成對網(wǎng)絡(luò)安全工作處理過程中的支撐，還包括垃圾郵件獨立處理的支持系統(tǒng)。

然而，網(wǎng)絡(luò)安全是相對的。網(wǎng)絡(luò)開放互聯(lián)、設(shè)備引進(jìn)、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等，造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中，安全問題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看，隨著攻擊技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具的獲得越來越容易，對網(wǎng)絡(luò)發(fā)起攻擊變得容易；而運營商網(wǎng)絡(luò)分布越來越廣泛，這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞，容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看，業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等，也是威脅網(wǎng)絡(luò)安全的因素。

2 電信網(wǎng)絡(luò)安全面臨的形勢及問題

2.1 互聯(lián)網(wǎng)與電信網(wǎng)的融合，給電信網(wǎng)帶來新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送，信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離，完全由運營商控制，電信用戶無法進(jìn)入。這種機制有效地避免了電信用戶非法進(jìn)入網(wǎng)絡(luò)控制系統(tǒng)，保障了網(wǎng)絡(luò)安全。IP電話引入后，需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通，電信網(wǎng)的信令網(wǎng)不再獨立于業(yè)務(wù)網(wǎng)。IP電話的實現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上，TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號碼不在IP包中傳送，一旦出現(xiàn)不法行為，無論是運營商還是執(zhí)法機關(guān)，確認(rèn)這些用戶的身份需要費一番周折，加大了打擊難度。

2.2 新技術(shù)、新業(yè)務(wù)的引入，給電信網(wǎng)的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運營商帶來的好處是顯而易見的，但從網(wǎng)絡(luò)安全方面看，如果采取的措施不當(dāng)，NGN的引入可能會增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外，3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入，都有可能給電信網(wǎng)的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強，每一個用戶都有能力對網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制，組成僵尸網(wǎng)絡(luò)群，其拒絕服務(wù)攻擊的破壞力將可能十分巨大。

2.3 運營商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合，網(wǎng)絡(luò)出現(xiàn)重大事故時難以迅速恢復(fù)

目前，我國電信領(lǐng)域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運營商條件下的監(jiān)管措施還不配套，給電信網(wǎng)絡(luò)安全帶來了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面，原來由行業(yè)主管部門對電信網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，現(xiàn)在由各運營企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè)，行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問題，不同運營商之間的網(wǎng)絡(luò)能否互相支援配合就存在問題。

2.4 相關(guān)法規(guī)尚不完善，落實保障措施缺乏力度

當(dāng)前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中，與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備，且缺乏操作性。在規(guī)范電信運營企業(yè)安全保障建設(shè)方面，也缺乏法律依據(jù)。運營企業(yè)為了在競爭中占據(jù)有利地位，更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開發(fā)、市場份額和投資回報，把經(jīng)濟效益放在首位，網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運行維護管理等相對滯后。

3 電信網(wǎng)絡(luò)安全防護的對策思考

強化電信網(wǎng)絡(luò)安全，應(yīng)做到主動防護與被動監(jiān)控、全面防護與重點防護相結(jié)合，著重考慮以下幾方面。

3.1 發(fā)散性的技術(shù)方案設(shè)計思路

在采用電信行業(yè)安全解決方案時，首先需要對關(guān)鍵資源進(jìn)行定位，然后以關(guān)鍵資源為基點，按照發(fā)散性的思路進(jìn)行安全分析和保護，并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個統(tǒng)一規(guī)范的安全系統(tǒng)，使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2 網(wǎng)絡(luò)層安全解決方案

網(wǎng)絡(luò)層安全要基于以下幾點考慮：控制不同的訪問者對網(wǎng)絡(luò)和設(shè)備的訪問；劃分并隔離不同安全域；防止內(nèi)部訪問者對無權(quán)訪問區(qū)域的訪問和誤操作。可以按照網(wǎng)絡(luò)區(qū)域安全級別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進(jìn)行安全隔離。同時，應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護和監(jiān)控需要，與實際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機構(gòu)組織形式進(jìn)行密切結(jié)合，在系統(tǒng)中建立一個完善的安全體系，包括企業(yè)級的網(wǎng)絡(luò)實時監(jiān)控、入侵檢測和防御，系統(tǒng)訪問控制，網(wǎng)絡(luò)入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強系統(tǒng)的總體可控性。

3.3 網(wǎng)絡(luò)層方案配置

在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺專用的安全工作站安裝入侵檢測產(chǎn)品，將工作站直接連接到主干交換機的監(jiān)控端口(SPANPort)，用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包，并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個網(wǎng)卡并分別連接到多個子網(wǎng)的入侵檢測工作站進(jìn)行相應(yīng)的監(jiān)測。

3.4 主機、操作系統(tǒng)、數(shù)據(jù)庫配置方案

由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu)，兼呈局域網(wǎng)和廣域網(wǎng)的特性，是一個充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計算機網(wǎng)絡(luò)，它面臨的安全性威脅來自于方方面面。每一個需要保護的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護產(chǎn)品進(jìn)行防范，并在中央安全管理平臺上部署中央管理控制臺，對全部的核心防護產(chǎn)品進(jìn)行中央管理。

3.5 系統(tǒng)、數(shù)據(jù)庫漏洞掃描

系統(tǒng)和數(shù)據(jù)庫的漏洞掃描對電信行業(yè)這樣的大型網(wǎng)絡(luò)而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門購買其他的系統(tǒng)/數(shù)據(jù)庫漏洞掃描工具。

篇（9）

隨著廣播電視數(shù)字化、網(wǎng)絡(luò)化的迅速發(fā)展，廣播電視監(jiān)測工作由過去靠人工的傳統(tǒng)落后手段轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)化、自動化的方式，監(jiān)測網(wǎng)的建成使監(jiān)測工作發(fā)生了飛躍式的變化，提高了信息反饋速度，豐富了監(jiān)測信息內(nèi)容，拓展了監(jiān)測業(yè)務(wù)類型，擴大了監(jiān)測地理范圍，大大提高了廣播電視監(jiān)測的綜合監(jiān)測能力。但是，隨著網(wǎng)絡(luò)規(guī)模的擴大，監(jiān)測網(wǎng)的復(fù)雜性和風(fēng)險性也在不斷增加。業(yè)務(wù)的發(fā)展對網(wǎng)絡(luò)性能的要求也在不斷提高，如何運用先進(jìn)技術(shù)方案保障監(jiān)測網(wǎng)絡(luò)安全而高效地運轉(zhuǎn)已經(jīng)成為我們面臨的重要工作。

1 監(jiān)測網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)特點

網(wǎng)絡(luò)規(guī)模大、系統(tǒng)復(fù)雜、專業(yè)性強，通常由一個或多個局域網(wǎng)系統(tǒng)及數(shù)個地理位置分散的遠(yuǎn)程無人值守遙控站點組成分布式廣域網(wǎng)系統(tǒng)。

多種通信方式并存，監(jiān)測網(wǎng)系統(tǒng)的通信建立倚賴于當(dāng)?shù)氐耐ㄐ艞l件，造成系統(tǒng)具有多種接入方式。

軟件開發(fā)基于J2EE平臺，軟件體系多采用C/S架構(gòu)。

2 風(fēng)險性分析

目前，廣播電視監(jiān)測網(wǎng)主要面臨以下問題：

2.1缺乏完整的安全體系

廣播電視監(jiān)測網(wǎng)建設(shè)是根據(jù)總體規(guī)劃，分步實施的，系統(tǒng)往往邊運行邊擴展規(guī)模。這種情況造成監(jiān)測網(wǎng)系統(tǒng)建設(shè)之初，對系統(tǒng)安全很難進(jìn)行全面規(guī)劃。隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用范圍的擴展，網(wǎng)絡(luò)的脆弱性不斷增加，同時，系統(tǒng)配置的更改，軟件的升級也造成系統(tǒng)的安全需求不斷變化，現(xiàn)有的安全手段將很難勝任。

2.2系統(tǒng)分布方式帶來安全的復(fù)雜性

監(jiān)測網(wǎng)系統(tǒng)具有節(jié)點分布廣，地理位置分散等特點，使得對網(wǎng)絡(luò)安全狀況的集中控制變得困難，帶來數(shù)據(jù)安全的復(fù)雜性。不同的環(huán)節(jié)將需要不同手段的安全方案。

2.3網(wǎng)絡(luò)本身的安全漏洞

監(jiān)測系統(tǒng)是一個基于IP的網(wǎng)絡(luò)系統(tǒng)，采用TCP/IP協(xié)議軟件，本身在應(yīng)用、傳輸時存在較多不安全因素。

3 安全技術(shù)方案

鑒于對以上幾種風(fēng)險性因素的分析，根據(jù)系統(tǒng)的實際情況，結(jié)合考慮需求、風(fēng)險、成本等因素，在總體規(guī)劃的基礎(chǔ)上制訂了既可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，又不造成浪費的解決方案。

3.1網(wǎng)絡(luò)資源總體規(guī)劃

實踐證明，合理、統(tǒng)一的網(wǎng)絡(luò)規(guī)劃對網(wǎng)絡(luò)維護及安全運行都有極大的好處，有利于保障監(jiān)測網(wǎng)系統(tǒng)在不斷擴展中的可持續(xù)性，因此，在監(jiān)測網(wǎng)建立之初統(tǒng)一進(jìn)行網(wǎng)絡(luò)資源的設(shè)計，制定合理的IP規(guī)劃、網(wǎng)絡(luò)拓?fù)湟?guī)劃，對各種資源進(jìn)行統(tǒng)一編碼是保障網(wǎng)絡(luò)安全的第一步。

3.2設(shè)備安全配置

對于重要安全設(shè)備如交換機、路由器等，需要制定良好的配置管理方案，關(guān)閉不必要的設(shè)備服務(wù)，設(shè)置口令、密碼，加強設(shè)備訪問的認(rèn)證與授權(quán)，升級BIOS，限制訪問、限制數(shù)據(jù)包類型等。

3.3操作系統(tǒng)安全方案

操作系統(tǒng)大部分的安全問題歸根結(jié)底是由于系統(tǒng)管理不善所導(dǎo)致的。解決方案是正確更新使用密碼設(shè)置、權(quán)限設(shè)置，正確進(jìn)行服務(wù)器配置。建立健全操作系統(tǒng)安全升級制度，及時下載并安裝補丁。

3.4備份方案

為保證監(jiān)測網(wǎng)的安全穩(wěn)定運行，對于監(jiān)測網(wǎng)的核心局域網(wǎng)系統(tǒng)硬件可采用雙機熱備方案，磁盤陣列、交換機、防火墻等硬件采用雙機并行，負(fù)載均衡的方式運行，應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器還可互為備份，從而保證不會因某一點出現(xiàn)故障而影響整個系統(tǒng)的正常使用。

3.5病毒防護

監(jiān)測網(wǎng)系統(tǒng)覆蓋的點多面廣，防毒系統(tǒng)應(yīng)采用集中控制多層防護的方案，在監(jiān)測系統(tǒng)各個網(wǎng)絡(luò)都分級部署防病毒軟件，中心網(wǎng)絡(luò)對下一級系統(tǒng)進(jìn)行實時集中病毒監(jiān)測，定時升級。制定和采用統(tǒng)一的防病毒策略，使得網(wǎng)絡(luò)中的所有服務(wù)器和客戶端都能得到相同的防病毒保護。

3.6防火墻系統(tǒng)

監(jiān)測網(wǎng)系統(tǒng)由于其分布特性往往由多個安全域組成，應(yīng)加裝防火墻，以實現(xiàn)系統(tǒng)內(nèi)各級網(wǎng)絡(luò)之間的隔離和訪問控制；實現(xiàn)對服務(wù)器的安全保護及對遠(yuǎn)程用戶的安全認(rèn)證與訪問權(quán)限控制，并實現(xiàn)對專線資源的流量管理控制和防攻擊。

3.7應(yīng)用安全

可采用多種手段保障應(yīng)用層安全。如：系統(tǒng)日志審核、服務(wù)器賬戶管理、用戶登錄權(quán)限管理、數(shù)據(jù)定期備份等。

3.8數(shù)據(jù)傳輸安全

監(jiān)測網(wǎng)作為一個廣域網(wǎng)主要利用廣電光纜或電信線路進(jìn)行通信，為保證安全性，數(shù)據(jù)的傳輸須采取加密措施。具體方案可針對不同通信方式及數(shù)據(jù)安全級別制定。

4 結(jié)束語

網(wǎng)絡(luò)是一個多樣、復(fù)雜、動態(tài)的系統(tǒng)，單一的安全產(chǎn)品和技術(shù)不能夠滿足網(wǎng)絡(luò)安全的所有要求，只有各個安全部件相互關(guān)聯(lián)、各種安全措施相互補充，網(wǎng)絡(luò)安全才能得到保障。同時，任何一個網(wǎng)絡(luò)的安全目標(biāo)都不是僅依靠技術(shù)手段就能實現(xiàn)的，還應(yīng)采取措施加強操作人員素質(zhì)管理，提高值班員責(zé)任心。做到管理規(guī)范，才能確保監(jiān)測網(wǎng)安全、高效運行。

篇（10）

Abstract ： The paper mainly discusses the network information security.

1.網(wǎng)絡(luò)安全的含義

1.1含義 網(wǎng)絡(luò)安全是指：為保護網(wǎng)絡(luò)免受侵害而采取的措施的總和。當(dāng)正確的采用網(wǎng)絡(luò)安全措施時，能使網(wǎng)絡(luò)得到保護，正常運行。

它具有三方面內(nèi)容：①保密性：指網(wǎng)絡(luò)能夠阻止未經(jīng)授權(quán)的用戶讀取保密信息。②完整性：包括資料的完整性和軟件的完整性。資料的完整性指在未經(jīng)許可的情況下確保資料不被刪除或修改。軟件的完整性是確保軟件程序不會被錯誤、被懷有而已的用戶或病毒修改。③可用性：指網(wǎng)絡(luò)在遭受攻擊時可以確保合法擁護對系統(tǒng)的授權(quán)訪問正常進(jìn)行。

1.2特征 網(wǎng)絡(luò)安全根據(jù)其本質(zhì)的界定，應(yīng)具有以下基本特征：①機密性：是指信息不泄露給非授權(quán)的個人、實體和過程，或供其使用的特性。②完整性：是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性。③可用性：是指授權(quán)的用戶能夠正常的按照順序使用的特征，也就是能夠保證授權(quán)使用者在需要的時候可以訪問并查詢資料。

2.網(wǎng)絡(luò)安全現(xiàn)狀

網(wǎng)絡(luò)目前的發(fā)展已經(jīng)與當(dāng)初設(shè)計網(wǎng)絡(luò)的初衷大相徑庭，安全問題已經(jīng)擺在了非常重要的位置上，安全問題如果不能解決，會嚴(yán)重地影響到網(wǎng)絡(luò)的應(yīng)用。網(wǎng)絡(luò)信息具有很多不利于網(wǎng)絡(luò)安全的特性，例如網(wǎng)絡(luò)的互聯(lián)性，共享性，開放性等，現(xiàn)在越來越多的惡性攻擊事件的發(fā)生說明目前網(wǎng)絡(luò)安全形勢嚴(yán)峻，不法分子的手段越來越先進(jìn)，系統(tǒng)的安全漏洞往往給他們可趁之機，因此網(wǎng)絡(luò)安全的防范措施要能夠應(yīng)付不同的威脅，保障網(wǎng)絡(luò)信息的保密性、完整性和可用性。

3.網(wǎng)絡(luò)安全解決方案

要解決網(wǎng)絡(luò)安全，首先要明確實現(xiàn)目標(biāo)：①身份真實性：對通信實體身份的真實性進(jìn)行識別。②信息機密性：保證機密信息不會泄露給非授權(quán)的人或?qū)嶓w。③信息完整性：保證數(shù)據(jù)的一致性，防止非授權(quán)用戶或?qū)嶓w對數(shù)據(jù)進(jìn)行任何破壞。④服務(wù)可用性：防止合法擁護對信息和資源的使用被不當(dāng)?shù)木芙^。⑤不可否認(rèn)性：建立有效的責(zé)任機智，防止實體否認(rèn)其行為。⑥系統(tǒng)可控性：能夠控制使用資源的人或?qū)嶓w的使用方式。⑦系統(tǒng)易用性：在滿足安全要求的條件下，系統(tǒng)應(yīng)該操作簡單、維護方便。⑧可審查性：對出現(xiàn)問題的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

4.如何保障網(wǎng)絡(luò)信息安全

網(wǎng)絡(luò)安全有安全的操作系統(tǒng)、應(yīng)用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計、通信加密、災(zāi)難恢復(fù)、安全掃描等多個安全組件組成，一個單獨的組件是無法確保信息網(wǎng)絡(luò)的安全性。從實際操作的角度出發(fā)網(wǎng)絡(luò)安全應(yīng)關(guān)注以下技術(shù)：

4.1防病毒技術(shù)。病毒因網(wǎng)絡(luò)而猖獗，對計算機系統(tǒng)安全威脅也最大，做好防護至關(guān)重要。應(yīng)采取全方位的企業(yè)防毒產(chǎn)品，實施層層設(shè)防、集中控制、以防為主、防殺結(jié)合的策略。

4.2防火墻技術(shù)。通常是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合（包括硬件和軟件）。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

4.3入侵檢測技術(shù)。入侵檢測幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)控，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。具體的任務(wù)是監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點審計；識別反映已進(jìn)攻的活動規(guī)模并報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。

4.4安全掃描技術(shù)。這是又一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)三者相互配合，對網(wǎng)絡(luò)安全的提高非常有效。通過對系統(tǒng)以及網(wǎng)絡(luò)的掃描，能夠?qū)ψ陨硐到y(tǒng)和網(wǎng)絡(luò)環(huán)境有一個整體的評價，并得出網(wǎng)絡(luò)安全風(fēng)險級別，還能夠及時的發(fā)現(xiàn)系統(tǒng)內(nèi)的安全漏洞，并自動修補。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，做到防患于未然。

4.5網(wǎng)絡(luò)安全緊急響應(yīng)體系。網(wǎng)絡(luò)安全作為一項動態(tài)工程，意味著它的安全程度會隨著時間的變化而發(fā)生變化。隨著時間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略，并及時組建網(wǎng)絡(luò)安全緊急響應(yīng)體系，專人負(fù)責(zé)，防范安全突發(fā)事件。

4.6安全加密技術(shù)。加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證，從而使基于Internet上的電子交易系統(tǒng)成為了可能，因此完善的對稱加密和非對稱加密技術(shù)仍是21世紀(jì)的主流。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。⑦網(wǎng)絡(luò)主機的操作系統(tǒng)安全和物理安全措施。防火墻作為網(wǎng)絡(luò)的第一道防線并不能完全保護內(nèi)部網(wǎng)絡(luò)，必須結(jié)合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機的操作系統(tǒng)安全和物理安全措施。按照級別從低到高，分別是主機系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全；同時主機安全檢查和漏洞修補以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個網(wǎng)絡(luò)系統(tǒng)的第二道安全防線，主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線，用來遭受攻擊之后進(jìn)行系統(tǒng)恢復(fù)。在防火墻和主機安全措施之后，是全局性的由系統(tǒng)安全審計、入侵檢測和應(yīng)急處理機構(gòu)成的整體安全檢查和反應(yīng)措施。它從網(wǎng)絡(luò)系統(tǒng)中的防火墻、網(wǎng)絡(luò)主機甚至直接從網(wǎng)絡(luò)鏈路層上提取網(wǎng)絡(luò)狀態(tài)信息，作為輸人提供給入侵檢測子系統(tǒng)。入侵檢測子系統(tǒng)根據(jù)一定的規(guī)則判斷是否有入侵事件發(fā)生，如果有入侵發(fā)生，則啟動應(yīng)急處理措施，并產(chǎn)生警告信息。而且，系統(tǒng)的安全審計還可以作為以后對攻擊行為和后果進(jìn)行處理、對系統(tǒng)安全策略進(jìn)行改進(jìn)的信息來源。

篇（11）

AbstractWith the rapid development of computer information technology，computer network has penetrated into every corner of social life， and all trades and professions would be cannot exchange information without it. Since we enjoyed the high speed it brought us， we encountered the network security at the same time.Therefore，clear understanding of network security， network vulnerabilities and its potential threats，taking strong security strategy and precautionary measures are of great importance.

Keywordscomputer；network security；precautionary measure

一、網(wǎng)絡(luò)安全的定義及內(nèi)涵

1、定義。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是計算機網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全措施是指為保護網(wǎng)絡(luò)免受侵害而采取的措施的總和。

2、內(nèi)涵。網(wǎng)絡(luò)安全根據(jù)其本質(zhì)的界定，應(yīng)具有以下三個方面的特征：①保密性：是指信息不泄露給非授權(quán)的個人、實體和過程，或供其使用的特性。在網(wǎng)絡(luò)系統(tǒng)的每一個層次都存在著不同的保密性，因此也需要有相應(yīng)的網(wǎng)絡(luò)安全防范措施。在物理層，要保護系統(tǒng)實體的信息不外露，在運行層面，保證能夠為授權(quán)使用者正常的使用，并對非授權(quán)的人禁止使用，并有防范黑客，病毒等的惡性攻擊能力。②完整性：是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性。③可用性：是指授權(quán)的用戶能夠正常的按照順序使用的特征，也就是能夠保證授權(quán)使用者在需要的時候可以訪問并查詢資料。在物理層，要提高系統(tǒng)在惡劣環(huán)境下的工作能力。在運行層面，要保證系統(tǒng)時刻能為授權(quán)人提供服務(wù)，保證系統(tǒng)的可用性，使得者無法否認(rèn)所的信息內(nèi)容，接受者無法否認(rèn)所接收的信息內(nèi)容。

二、網(wǎng)絡(luò)自身特性及網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀

網(wǎng)絡(luò)信息自身具有很多不利于網(wǎng)絡(luò)安全的特性，例如網(wǎng)絡(luò)的互聯(lián)性，共享性，開放性，網(wǎng)絡(luò)操作系統(tǒng)的漏洞及自身設(shè)計缺陷等，網(wǎng)絡(luò)目前的發(fā)展已經(jīng)與當(dāng)初設(shè)計網(wǎng)絡(luò)的初衷大相徑庭，安全問題已經(jīng)擺在了非常重要的位置上，安全問題如果不能解決，會嚴(yán)重地影響到網(wǎng)絡(luò)的應(yīng)用。現(xiàn)在越來越多的惡性攻擊事件的發(fā)生說明當(dāng)前網(wǎng)絡(luò)安全形勢嚴(yán)峻，不法分子的手段越來越先進(jìn)，因此網(wǎng)絡(luò)安全的防范措施要能夠應(yīng)付不同的威脅，保障網(wǎng)絡(luò)信息的保密性、完整性和可用性。目前我國的網(wǎng)絡(luò)系統(tǒng)和協(xié)議還存在很多問題，還不夠健全不夠完善不夠安全。計算機和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計算機和網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的。

三、網(wǎng)絡(luò)安全解決方案及實例分析

要解決網(wǎng)絡(luò)安全，首先要明確我們的網(wǎng)絡(luò)需要實現(xiàn)的目標(biāo)，一般需要達(dá)到以下目標(biāo)：①身份真實性：對通信實體身份的真實性進(jìn)行識別。②信息保密性：保證密級信息不會泄露給非授權(quán)的人或?qū)嶓w。③信息完整性：保證數(shù)據(jù)的一致性，防止非授權(quán)用戶或?qū)嶓w對數(shù)據(jù)進(jìn)行任何破壞。④服務(wù)可用性：防止合法用戶對信息和資源的使用被不當(dāng)?shù)木芙^。⑤不可否認(rèn)性：建立有效的責(zé)任機制，防止實體否認(rèn)其行為。⑥系統(tǒng)可控性：能夠控制使用資源的人或?qū)嶓w的使用方式。⑦系統(tǒng)易用性：在滿足安全要求的條件下，系統(tǒng)應(yīng)該操作簡單、維護方便。⑧可審查性：對出現(xiàn)問題的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

為了最大程度的保證網(wǎng)絡(luò)安全，目前的方法有：安全的操作系統(tǒng)及應(yīng)用系統(tǒng)、防火墻、防病毒、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計、通信加密、災(zāi)難恢復(fù)、安全掃描等多個安全組件組成，一個單獨的組件往往是無法確保信息網(wǎng)絡(luò)的安全的。圖1是某一網(wǎng)絡(luò)實例的安防拓?fù)浜唸D，日常常見的安防技術(shù)在里面都得到了運用：

1、防火墻技術(shù)。包括硬件防火墻和軟件防火墻。圖中的是硬件防火墻，一般設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間，它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段，市場上的防火墻種類繁多，它們大都可通過IE瀏覽器控制，可視化好，易于操作，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，無法防范數(shù)據(jù)驅(qū)動型的攻擊。

2、防病毒技術(shù)。病毒因網(wǎng)絡(luò)而猖獗，對計算機系統(tǒng)安全威脅也最大，做好防護至關(guān)重要。應(yīng)采取全方位的企業(yè)防病毒產(chǎn)品，實施層層設(shè)防、集中控制、以防為主、防殺結(jié)合的策略。一般公司內(nèi)部大都采用網(wǎng)絡(luò)版殺毒軟件，病毒庫聯(lián)網(wǎng)升級，管理員可通過系統(tǒng)中心制定統(tǒng)一的防病毒策略并應(yīng)用至下級系統(tǒng)中心及本級系統(tǒng)中心的各臺終端，可實施實時監(jiān)控，主動防御，定時殺毒等功能。但實踐證明，僅依靠一款殺毒軟件，一種策略，并不能完整的清除所有病毒，有時需要制訂不同的安全策略或與另外一款殺毒軟件同時使用方可，此時需要具體情況具體分析。

3、入侵檢測技術(shù)。入侵檢測幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)控，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。具體的任務(wù)是監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點審計；識別反映已進(jìn)攻的活動規(guī)模并報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。

4、安全掃描技術(shù)。這是又一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)三者相互配合，對網(wǎng)絡(luò)安全的提高非常有效。通過對系統(tǒng)以及網(wǎng)絡(luò)的掃描，能夠?qū)ψ陨硐到y(tǒng)和網(wǎng)絡(luò)環(huán)境有一個整體的評價，并得出網(wǎng)絡(luò)安全風(fēng)險級別，還能夠及時的發(fā)現(xiàn)系統(tǒng)內(nèi)的安全漏洞，并自動修補。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，做到防患于未然。

5、網(wǎng)絡(luò)主機的操作系統(tǒng)安全和物理安全措施。操作系統(tǒng)種類繁多，而Windows因其諸多優(yōu)點被普遍采用，但Windows存在諸多漏洞，易于被攻擊，因此需要定期進(jìn)行更新。北信源補丁分發(fā)系統(tǒng)通過定時探測各終端的補丁數(shù)，自動給各終端打上補丁，較大程度的避免了因系統(tǒng)漏洞導(dǎo)致的信息安全問題。安全系數(shù)要求高的網(wǎng)絡(luò)，有必要對其進(jìn)行物理隔絕，采用專用軟件控制各終端的外設(shè)，對各終端操作人員進(jìn)行身份驗證等等。

6、安全加密技術(shù)。分為對稱加密技術(shù)和不對稱加密技術(shù)。前者是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密運算與解密運算使用同樣的密鑰；不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。加密方式有硬件加密及軟件加密，其中硬件加密又有信道機密和主機終端加密等。

7、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系。網(wǎng)絡(luò)安全作為一項動態(tài)工程，意味著它的安全程度會隨著時間的變化而發(fā)生變化。應(yīng)該隨著時間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略，并及時組建網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系，專人負(fù)責(zé)，防范安全事件的突然發(fā)生。

總之，網(wǎng)絡(luò)的第一道防線防火墻并不能完全保護內(nèi)部網(wǎng)絡(luò)，必須結(jié)合其它措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機的操作系統(tǒng)安全和物理安全措施，按照級別從低到高，分別是主機系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全；同時主機安全檢查和漏洞修補以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個網(wǎng)絡(luò)系統(tǒng)的第二道安全防線，主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。在防火墻和主機安全措施之后，是全局性的由系統(tǒng)安全審計、入侵檢測和應(yīng)急處理機制構(gòu)成的整體安全檢查和反應(yīng)措施。

四、小結(jié)

網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，單一的技術(shù)是不能解決網(wǎng)絡(luò)的安全防護問題的。隨著信息技術(shù)的不斷發(fā)展，各行各業(yè)信息化建設(shè)的腳步也越來越快，計算機技術(shù)和網(wǎng)絡(luò)技術(shù)已深入應(yīng)用到人們生產(chǎn)生活的各個領(lǐng)域，各種活動對計算機網(wǎng)絡(luò)的依賴程度也越來越高。增強人這一主體的安全意識，普及計算機網(wǎng)絡(luò)安全教育，提高計算機網(wǎng)絡(luò)安全技術(shù)水平，改善其安全現(xiàn)狀，才是最有效的防范措施。

參考文獻(xiàn)

[1]胡道元，閔京華.網(wǎng)絡(luò)安全（2版）.北京：清華大學(xué)出版社. 2008（10）

[2]黃怡強等.淺談軟件開發(fā)需求分析階段的主要任務(wù).中山大學(xué)學(xué)報論叢，2002（01）

[3]胡道元.計算機局域網(wǎng)[M].北京：清華大學(xué)出版社，2001