信息網(wǎng)絡(luò)安全論文大全11篇

緒論：寫作既是個人情感的抒發(fā)，也是對學術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇信息網(wǎng)絡(luò)安全論文范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

2廣蓄電廠信息網(wǎng)絡(luò)安全建設(shè)

2.1網(wǎng)絡(luò)安全區(qū)域劃分

劃分安全區(qū)域是構(gòu)建企業(yè)信息網(wǎng)絡(luò)安全的基礎(chǔ)，提高抗擊風險能力，提高可靠性和可維護性。廣蓄電廠內(nèi)網(wǎng)劃分為網(wǎng)絡(luò)核心區(qū)、外聯(lián)接入?yún)^(qū)、IDC業(yè)務(wù)區(qū)、終端接入?yún)^(qū)。網(wǎng)絡(luò)核心區(qū)域是整個電廠信息網(wǎng)絡(luò)安全的核心，它主要負責全網(wǎng)信息數(shù)據(jù)的傳輸及交換、不同區(qū)域的邊界防護。這個區(qū)域一般包括核心交換機、核心路由器、防火墻及安全防護設(shè)備等。IDC業(yè)務(wù)區(qū)主要是各業(yè)務(wù)應(yīng)用服務(wù)器設(shè)備所在區(qū)域，如企業(yè)門戶、OA系統(tǒng)、生產(chǎn)管理系統(tǒng)等各信息系統(tǒng)服務(wù)器。終端接入?yún)^(qū)即為終端設(shè)備（如：臺式機、筆記本電腦、打印機等）連入內(nèi)網(wǎng)區(qū)域。

2.2二次安防體系建設(shè)

根據(jù)國家電監(jiān)管委員會令第5號《電力二次系統(tǒng)安全防護規(guī)定》、34號《關(guān)于印發(fā)<電力二次系統(tǒng)安全防護總體方案>》的相關(guān)要求，電廠堅持按照二次安全防護體系原則建設(shè)：

（1）安全分區(qū)：根據(jù)安全等級的劃分，將廣蓄電廠網(wǎng)絡(luò)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，其中生產(chǎn)控制大區(qū)又劃分為實時控制Ⅰ區(qū)和非實時控制Ⅱ區(qū)。

（2）網(wǎng)絡(luò)專用：電力調(diào)度數(shù)據(jù)網(wǎng)在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，采用SDH/PDH不同通道等方式跟調(diào)度、各電廠的生產(chǎn)業(yè)務(wù)相連接，在物理層面上與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)安全隔離。對電廠的IP地址進行調(diào)整和統(tǒng)一互聯(lián)網(wǎng)出口，將生活區(qū)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)分離，加強對網(wǎng)絡(luò)的統(tǒng)一管理和監(jiān)控。

（3）橫向隔離：在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間部署經(jīng)國家指定部門檢測認證的電力專用正反向安全隔離裝置。正向安全隔離裝置采用非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳輸，反向安全隔離裝置接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)，采用簽名認證、內(nèi)容過濾等檢查處理，提高系統(tǒng)安全防護能力。

（4）縱向認證：廣蓄電廠生產(chǎn)控制大區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接進行了安全防護硬件的部署，包括縱向加密裝置、縱向防火墻等，并配置了相應(yīng)的安全策略，禁用了高風險的網(wǎng)絡(luò)服務(wù)，實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。

2.3安全防護措施

（1）防火墻

在外聯(lián)接入?yún)^(qū)域同內(nèi)網(wǎng)網(wǎng)絡(luò)之間設(shè)置了防火墻設(shè)備，并對防火墻制定了安全策略，對一些不安全的端口和協(xié)議進行限制。通過防火墻過濾進出網(wǎng)絡(luò)的數(shù)據(jù)，對內(nèi)網(wǎng)的訪問行為進行控制和阻斷，禁止外部用戶進入內(nèi)網(wǎng)網(wǎng)絡(luò)，訪問內(nèi)部機器，使所有的服務(wù)器、工作站及網(wǎng)絡(luò)設(shè)備都在防火墻的保護下。

（2）口令加密和訪問控制

電廠對所有用戶終端采用準入控制技術(shù)，每個用戶都以實名注冊，需通過部門賬號申請獲得IP地址才能上局域網(wǎng)，并通過PKI系統(tǒng)對用戶訪問企業(yè)門戶、OA系統(tǒng)等業(yè)務(wù)系統(tǒng)進行訪問控制管理。在核心交換機中對重要業(yè)務(wù)部門劃分單獨的虛擬子網(wǎng)（VLAN），并使其在局域網(wǎng)內(nèi)隔離，限制其他VLAN成員訪問，確保信息的保密安全。對電廠內(nèi)部的網(wǎng)絡(luò)設(shè)備交換機、防火墻等，采用專機專用配置，并賦予用戶一定的訪問存取權(quán)限、口令等安全保密措施，建立嚴格的網(wǎng)絡(luò)安全日志和審查系統(tǒng)，定時對其進行審查分析，及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故，有效地保護網(wǎng)絡(luò)安全。

（3）上網(wǎng)行為管理

上網(wǎng)行為管理設(shè)備直接串行部署在內(nèi)網(wǎng)邊界區(qū)域，并制定了精細化的活動審計策略、應(yīng)用軟件監(jiān)控管理策略，監(jiān)控及記錄用戶非法操作信息，實時掌握互聯(lián)網(wǎng)使用情況，防患于未然，通過上網(wǎng)行為管理設(shè)備進行互聯(lián)網(wǎng)網(wǎng)關(guān)控制。

（4）防病毒系統(tǒng)

在電廠的局域網(wǎng)內(nèi)部署了Symantec防病毒系統(tǒng)。Symantec系統(tǒng)具有跨平臺的技術(shù)及強大功能，系統(tǒng)中心是中央管理控制臺。通過該管理控制臺集中管理運行SymantecAntiVirus企業(yè)版的服務(wù)器和客戶端；可以啟動和調(diào)度掃描，以及設(shè)置實時防護，從而建立并實施病毒防護策略，管理病毒定義文件的更新，控制活動病毒，管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。

（5）建立虛擬專網(wǎng)（VPN）系統(tǒng)

為保證網(wǎng)絡(luò)的安全，實現(xiàn)移動辦公，在核心網(wǎng)絡(luò)邊界區(qū)域部署了1臺VPN設(shè)備，并設(shè)置訪問條件和身份認證授權(quán)策略，如通過PKI系統(tǒng)進行身份認證和訪問授權(quán)后才能訪問電廠企業(yè)門戶系統(tǒng)、OA系統(tǒng)等。使用虛擬專網(wǎng)（VPN）系統(tǒng)，不僅滿足了電廠用戶遠程辦公需求，而且保證了電廠信息網(wǎng)絡(luò)及信息系統(tǒng)數(shù)據(jù)安全傳輸。

3信息網(wǎng)絡(luò)安全管理策略

俗話說：“三分技術(shù)，七分管理”，這在信息網(wǎng)絡(luò)安全管理方面也是適用的。事實上95%以上的計算機、網(wǎng)絡(luò)受到的攻擊事件和病毒侵害都是由于管理不善造成的。廣州蓄能水電廠作為國內(nèi)一流的水力發(fā)電廠，頭頂上始終懸著一把信息網(wǎng)絡(luò)安全的達摩克利斯之劍。在推進信息化道路上，借鑒國內(nèi)外企業(yè)對信息網(wǎng)絡(luò)安全管理的經(jīng)驗，形成屬于自身發(fā)展的網(wǎng)絡(luò)安全管理策略。（1）建立完善的網(wǎng)絡(luò)信息安全管理制度。在信息網(wǎng)絡(luò)安全方面電廠成立專門的信息化安全小組，制定完善的信息安全規(guī)章制度，規(guī)范整個電廠對網(wǎng)絡(luò)及信息系統(tǒng)的使用。（2）建立完備的網(wǎng)絡(luò)與信息安全應(yīng)急預案。電廠建立了一套應(yīng)急預案體系，目的就是在發(fā)生緊急情況時，指導電廠的值班人員對突發(fā)事件及時響應(yīng)并解決問題。（3）定期進行安全風險評估及加固。電廠每年進行安全風險評估分析，及時了解和掌握整個網(wǎng)絡(luò)的安全現(xiàn)狀，通過安全加固使得網(wǎng)絡(luò)安全系統(tǒng)更加健全。

篇（2）

企業(yè)信息網(wǎng)絡(luò)比較復雜和繁瑣，不僅包括受理人的資料，而且還有相關(guān)產(chǎn)品的詳細資料以及企業(yè)內(nèi)部員工的資料等，信息網(wǎng)絡(luò)系統(tǒng)能否正常運行，直接關(guān)系到通訊企業(yè)發(fā)展的好與壞[1]。但是由于計算機網(wǎng)絡(luò)和信息技術(shù)不斷的發(fā)展，經(jīng)常存在各種各樣的要素威脅著系統(tǒng)的安全，從而損壞甚至丟失內(nèi)部的重要信息，從而影響通信企業(yè)內(nèi)部正常的運作，最終導致一系列損失[2]。因此，對于通信企業(yè)信息網(wǎng)絡(luò)安全的控制刻不容緩，應(yīng)該加大力度提高系統(tǒng)的安全性能。

1.信息網(wǎng)絡(luò)安全概述

信息網(wǎng)絡(luò)安全是指通過各種各樣的網(wǎng)絡(luò)技術(shù)手段，保證計算機在正常運行的過程中處于安全的狀態(tài)，避免硬件及軟件受到網(wǎng)絡(luò)相關(guān)的危險因素的干擾與破壞，同時還可以阻止一些危險程序?qū)φ麄€系統(tǒng)進行攻擊與破壞，從而將信息泄露和篡改等，最終保證信息網(wǎng)絡(luò)在互聯(lián)網(wǎng)的大環(huán)境中正常運行[3]。信息網(wǎng)絡(luò)安全的維護主要是以信息與數(shù)據(jù)的完整性與可控性作為核心，并且能夠通過用戶的操作，實現(xiàn)基本的應(yīng)用目的。在信息網(wǎng)絡(luò)的安全維護中，主要包括兩個方面。一是設(shè)備安全，包括計算機系統(tǒng)的穩(wěn)定、硬件實體的安全以及軟件的正常運行。二是信息安全，主要指的是數(shù)據(jù)的備份、數(shù)據(jù)庫的安全性等。

2.通信企業(yè)信息網(wǎng)絡(luò)面臨的主要安全威脅

2.1人為的惡意攻擊

目前信息網(wǎng)絡(luò)所面臨的最大的威脅和挑戰(zhàn)就是認為的惡意攻擊，人們采取各種各樣的方式對于信息進行選擇性的破壞和控制，從而造成機密信息的丟失和篡改。

2.2人為的無意失誤

通訊企業(yè)通過對專門的管理人員進行管理與培訓從而保證信息網(wǎng)絡(luò)系統(tǒng)的正常運行，在日常管理和培訓的過程中，會無意的使相應(yīng)的措施處理不當，這是在所難免的，當工作人員因為自己的原因?qū)е虏僮鞑划?，會使信息網(wǎng)絡(luò)系統(tǒng)出現(xiàn)或多或少的漏洞，還有可能造成設(shè)備的損壞，這些都是由于人為的無意失誤造成的后果[4]。

2.3計算機病毒

由于計算機網(wǎng)絡(luò)的復雜性及聯(lián)系性，在工作過程中會盡可能的實現(xiàn)資源共享，因此所接收的結(jié)點會有很多。由于無法檢測每個結(jié)點是否是安全的，因此極容易造成系統(tǒng)的病毒感染。而一旦信息網(wǎng)絡(luò)受到病毒的感染后，病毒會在信息網(wǎng)絡(luò)中以非常快的速度進行再生并且傳染給其他系統(tǒng)，最終將波及整個網(wǎng)絡(luò)，后果將不堪設(shè)想[5]。

3.通信企業(yè)做好信息網(wǎng)絡(luò)工作的措施

3.1對內(nèi)部網(wǎng)的訪問保護

（1）用戶身份認證。如果用戶想要進入網(wǎng)絡(luò)必須經(jīng)過三個步驟即首先進行用戶名進行驗證，其次進行用戶口令進行驗證，最后依據(jù)用戶帳號進入網(wǎng)絡(luò)。在這三個步驟中最關(guān)鍵的操作就是用戶口令，用戶口令需要同時進行系統(tǒng)的加密從而保護網(wǎng)絡(luò)的安全，并且還應(yīng)控制同一個賬戶同時登陸多個計算機的這種現(xiàn)象[6]。（2）權(quán)限控制。管理員及用戶在進入網(wǎng)絡(luò)前需要履行某一個任務(wù)因此必須遵守所謂的權(quán)限原則，這種控制方法可以有效的防止一些非法的用戶在一定時間內(nèi)訪問網(wǎng)絡(luò)資源，從而從根本上阻斷這條途徑。在進行權(quán)限設(shè)置的過程中，一定要遵守一些原則，第一，一定要合理的設(shè)置網(wǎng)絡(luò)權(quán)限，確保網(wǎng)絡(luò)權(quán)限設(shè)置的準確性，不能因為所設(shè)置的權(quán)限從而影響了整個網(wǎng)絡(luò)的正常工作，影響了工作的整體效率；第二應(yīng)該增加一些先進的合理的加密操作技術(shù)來減少病毒的入侵，從而從一定程度上保證網(wǎng)絡(luò)的正常運行，對網(wǎng)絡(luò)信息數(shù)據(jù)使用系統(tǒng)性的加密來確保網(wǎng)絡(luò)安全性和合理性，最終實現(xiàn)對計算機所有結(jié)點信息的實時保護。（3）加密技術(shù)。通過合理準確的數(shù)學函數(shù)轉(zhuǎn)換的方法對系統(tǒng)以密文的形式代替明文的現(xiàn)象稱之為數(shù)據(jù)加密，當數(shù)據(jù)加密后，只有特定的管理人員可以對其進行解密，在數(shù)據(jù)加密的過程中主要包含兩大類：對稱加密和不對稱加密。

3.2對內(nèi)外網(wǎng)間的訪問保護

（1）安全掃描。互聯(lián)網(wǎng)互動過程中，及時的對計算機安全衛(wèi)士和殺毒軟件等進行升級，以便及時的對流動數(shù)據(jù)包進行檢測，以便及時有效的對網(wǎng)絡(luò)中發(fā)現(xiàn)的木馬和病毒采取有效的防護措施。（2）防火墻系統(tǒng)。防火墻作為計算機網(wǎng)絡(luò)信息安全防護的第一道屏障，是一種加強網(wǎng)絡(luò)之間訪問控制，以此來決定網(wǎng)絡(luò)之間傳輸信息的準確性、真實性及安全性，對于計算機的安全與正常運行具有重要的意義[7]。（3）入侵檢測。計算機當中的病毒傳播的速度較快且危害性極大，為此應(yīng)該對網(wǎng)絡(luò)系統(tǒng)進行病毒的預防及統(tǒng)一的、集中管理，采用防病毒技術(shù)及時有效的進行殺毒軟件系統(tǒng)的升級，以便對網(wǎng)絡(luò)互動中發(fā)現(xiàn)的木馬或病毒程序采取及時的防護措施。

3.3網(wǎng)絡(luò)物理隔離

在進行信息網(wǎng)絡(luò)安全控制的過程中不能單一的采用一種安全控制對其保護，而應(yīng)該根據(jù)網(wǎng)絡(luò)的復雜性采取不同的安全策略加以控制，因此管理人員可以依據(jù)密保的等級的程度、各種功能的保護以及不同形式安全設(shè)施的水平等差異，通過網(wǎng)絡(luò)分段隔離的方式提高通信企業(yè)信息網(wǎng)絡(luò)安全。這樣的形式及控制方法將以往的錯綜復雜的控制體系轉(zhuǎn)變成為細化的安全控制體系，能夠?qū)τ诟鞣N惡意的攻擊和入侵所造成的危害降低到最小。我們通常所說的物理隔離是指能滿足物理隔離的安全性要求的、相對的物理隔離技術(shù)。物理隔離的原理是使單個用戶在同一時間、同一空間不能同時使用內(nèi)部網(wǎng)和外部網(wǎng)兩個系統(tǒng)。如果兩個系統(tǒng)在空間上物理隔離，在不同的時間運行，那么就可以得到兩個完全物理隔離的系統(tǒng)[8]。

3.4安全審計及入侵檢測技術(shù)

安全審計技術(shù)對于整個信息網(wǎng)絡(luò)安全的控制起到了關(guān)鍵性作用，它可以針對不同的用戶其入侵的方式、過程以及活動進行系統(tǒng)精密的記錄，主要分為兩個階段即誘捕和反擊。誘捕是一種特異安排出現(xiàn)的漏洞，可以在一定程度允許入侵者在一定時間內(nèi)侵入，以便在今后能夠獲得更多的入侵證據(jù)及入侵的特征；當獲得足夠多的特征及證據(jù)的基礎(chǔ)上開始進行反擊，通過計算機精密的系統(tǒng)對用戶的非法入侵的行為進行秘密跟蹤并且在較快的時間里查詢對方的身份以及來源，從而將系統(tǒng)與入侵者的連接切斷,還可追蹤定位并對攻擊源進行反擊。

3.5制定切實可行的網(wǎng)絡(luò)安全管理策略

要想使通信企業(yè)信息網(wǎng)絡(luò)安全正常運行其前提必須保證整個網(wǎng)絡(luò)系統(tǒng)的安全，必須針對網(wǎng)絡(luò)安全提出相應(yīng)的安全策略，應(yīng)該使信息網(wǎng)絡(luò)使用起來安全方便，從而尋找最方便有效的安全措施。在工作的過程中管理人員一定要熟知對于開放性和安全性的具體要求，并且在工作過程中試圖尋求兩者的共同點和平衡點，當兩者出現(xiàn)矛盾的時候應(yīng)該考慮事情的實際情況有進行準確的取舍。對本網(wǎng)絡(luò)拓撲結(jié)構(gòu)和能夠承受的安全風險進行評估，從網(wǎng)絡(luò)安全技術(shù)方面為保證信息基礎(chǔ)的安全性提供了一個支撐。

信息網(wǎng)絡(luò)的發(fā)展需要計算機技術(shù)具有跟高的要求，特別是針對通信企業(yè)的信息網(wǎng)絡(luò)安全的控制問題應(yīng)該加以關(guān)注，這直接關(guān)系到整個企業(yè)的發(fā)展。信息網(wǎng)絡(luò)工程是一個巨大而又復雜的動態(tài)的系統(tǒng)工程，需要從多角度進行思索與探討從而進行綜合性的分析，才能選擇出更好地安全網(wǎng)絡(luò)設(shè)備，并且對其進行有針對的系統(tǒng)的優(yōu)化，從而提高管理人員及工作人員的業(yè)務(wù)水平，最終全面提高整個通訊企業(yè)信息網(wǎng)絡(luò)安全。

作者:王春寶 于曉鵬 單位:吉林師范大學計算機學院

參考文獻

[1]盧昱.網(wǎng)絡(luò)控制論淺敘[J].裝備指揮技術(shù)學院學報,2002,3(6):60-64.

[2]王雨田,控制論、信息論、系統(tǒng)科學與哲學[M].北京:中國人民大學出版社,1986.

[3]南湘浩,陳鐘.網(wǎng)絡(luò)安全技術(shù)概論[M].北京:國防工業(yè)出版社,2003.

[4]涂華.醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全與防范[J].中山大學學報論叢,2011,04(12).

[5]王蕓《.電子商務(wù)法規(guī)》.高等教育出版社,2010年版.

篇（3）

1）計算機病毒。我們常說的計算機病毒，實際上就是一種對計算機各種數(shù)據(jù)進行份復制的程度代碼，它是利用按照程序的手段，對計算機系統(tǒng)系統(tǒng)進行破壞的，進而導致計算機出現(xiàn)問題，并無法使用。例如，蠕蟲病毒，它是一種比較常見的計算機病毒之一，它就是計算機本身為載體，如果計算機系統(tǒng)出現(xiàn)漏洞，它就會利用這些漏洞進行傳播，其傳播速度快，一旦潛入計算機內(nèi)部，并不容易被發(fā)現(xiàn)，同時還具強大的破壞力，如果它與黑客技術(shù)相結(jié)合，那么對于計算機網(wǎng)絡(luò)信息安全的威脅會更大。

2）木馬程序和后門。“木馬程序”以及“后門”是近些年來逐漸興起的計算機病毒，“后門”最為顯著的特點就是，計算機被感染之后，管理人員無法對其加阻止，它會隨意進入計算機系統(tǒng)，并且種植者能夠很快潛入系統(tǒng)中，也不容易被發(fā)現(xiàn)，計算機技術(shù)的升級換代過程中，“木馬程序”也隨之更新，例如特洛伊木馬病毒，這種病毒還能夠黑客活動提供便利，同樣具有較強的隱蔽性。

3）外在環(huán)境影響和安全意識。除了影響計算機信息安全的因素之外，一些外部環(huán)境因素也會對其產(chǎn)生影響，例如，自然災害，計算機所在環(huán)境等等，另外，有大一部分的計算機使用者的安全防護意識弱，這就為惡意程序的入侵以及病毒攻擊提供了條件。

2計算機信息網(wǎng)絡(luò)安全管理的策略

1）漏洞掃描和加密。對計算機信息網(wǎng)絡(luò)進行安全管理的第一步就是，進行系統(tǒng)漏洞掃描并采取加密的措施。漏洞掃描需要借助相關(guān)的工具，在找到系統(tǒng)漏洞被發(fā)現(xiàn)之后，對其進行修復和優(yōu)化，從而為計算機系統(tǒng)的安全性提供保障，而機密技術(shù)則是對文件進行加密處理的一種技術(shù)，簡單的說，就是對源文件加密之后，其會形成很多不可讀代碼，這些代碼必須要輸入特定的密碼之后，才能夠顯示出來，并進行使用。

2）防火墻的應(yīng)用和入侵檢測。在計算機信息網(wǎng)絡(luò)系統(tǒng)中，防火墻是非常重要的一個部分，也是最為關(guān)鍵的一道防線，它不僅僅能夠保障內(nèi)部系統(tǒng)順利進入外部系統(tǒng)，還能夠有效阻止外部可以程序入侵內(nèi)部網(wǎng)絡(luò)。為計算機病毒以及各種惡意程序的入侵，都會對計算機系統(tǒng)造成影響和破壞，從而對計算機信息網(wǎng)絡(luò)帶來威脅。因此做好計算機網(wǎng)絡(luò)安全管理工作，是非常必要的。了保障這樣的管理效果，管理人員首先就應(yīng)該做好數(shù)據(jù)包的控制工作。然后對所有能夠進入防火墻的信息給與通過，入侵檢測技術(shù)是指通過檢測違反計算機網(wǎng)絡(luò)安全信息的技術(shù)。當系統(tǒng)被入侵時，及時記錄和檢測，并對不能進行的活動加以限制，從而對計算機系統(tǒng)進行有效防護。

3）網(wǎng)絡(luò)病毒防范和反病毒系統(tǒng)。反病毒系統(tǒng)是指禁止打開來歷不明的郵件，計算機相關(guān)技術(shù)人員根據(jù)對計算機病毒的了解進行與之相應(yīng)的反病毒設(shè)計，從而促進計算機安全運行。近年來，互聯(lián)網(wǎng)病毒傳播途徑越來越多，擴散速度也日益增快，傳統(tǒng)的單機防止病毒技術(shù)已經(jīng)不能滿足互聯(lián)網(wǎng)絡(luò)的要求。因此，有效利用局域網(wǎng)全面進行病毒防治工作勢在必行。

篇（4）

二、可信網(wǎng)絡(luò)國內(nèi)外研究

（一）可信網(wǎng)絡(luò)國外研究

在可信網(wǎng)絡(luò)的研究中，Clark等學者在NewArch項目的研究中提出了“信任調(diào)節(jié)透明性”(trust-modulatedtransparency)原則，他們期望在現(xiàn)實社會的互相信任關(guān)系能夠反映在網(wǎng)絡(luò)上?；陔p方用戶的信任需求，網(wǎng)絡(luò)可以提供一定范圍的服務(wù)，如果雙方彼此完全信任，則他們的交流將是透明化、沒有約束的，如果不是則需要被檢查甚至是被約束。美國高級研究計劃局出的CHAT(compostablehigh-Assurancetrustworthysystems)項目研究了在指定條件下運行如何開發(fā)出可快速配置的高可信系統(tǒng)及網(wǎng)絡(luò)來滿足關(guān)鍵的需求，其中包含了安全性、可生存性、可靠性、性能和其他相關(guān)因素。TRIAD(trustworthyrefinementthroughintrusion-awaredesign)項目研究了以策略為中心的入校檢測模型，他們利用模型去提高網(wǎng)絡(luò)系統(tǒng)的可信性。但因為網(wǎng)絡(luò)有著復雜基于信息異化下的信息安全中可信網(wǎng)絡(luò)分析研究柳世豫，郭東強摘要：互聯(lián)網(wǎng)逐漸成為我們生活中不可或缺的同時，其弊端也開始出現(xiàn)。未來網(wǎng)絡(luò)應(yīng)該是可信的，這一觀點已成為業(yè)界共性的特點，如何構(gòu)建可信網(wǎng)絡(luò)是需要研究的。因此TCG先進行較為簡單的可信網(wǎng)絡(luò)連接問題。它將可信計算機制延伸到網(wǎng)絡(luò)的技術(shù)，在終端連入網(wǎng)絡(luò)前，開始進行用戶的身份認證;若用戶認證通過，再進行終端平臺的身份認證；若終端平臺的身份認證也通過，最后進行終端平臺的可信狀態(tài)度量，若度量結(jié)果滿足網(wǎng)絡(luò)連入的安全策略，將允許終端連入網(wǎng)絡(luò)，失敗則將終端連入相應(yīng)隔離區(qū)域，對它進行安全性補丁和升級。TNC是網(wǎng)絡(luò)接入控制的一種實現(xiàn)方式，是相對主動的一種網(wǎng)絡(luò)防御技術(shù)，它能夠防御大部分的潛在攻擊并且在他們攻擊前就進行防御。2004年5月TCG成立了可信網(wǎng)絡(luò)連接分組(trustednetworkconnectionsubgroup)，主要負責研究及制定可信網(wǎng)絡(luò)連接TNC(trustednetworkconnection)框架及相關(guān)的標準。2009年5月，TNC了TNC1.4版本的架構(gòu)規(guī)范，實現(xiàn)以TNC架構(gòu)為核心、多種組件之間交互接口為支撐的規(guī)范體系結(jié)構(gòu)，實現(xiàn)了與Microsoft的網(wǎng)絡(luò)訪問保護(networkaccessprotection,NAP)之間的互操作，他們將相關(guān)規(guī)范起草到互聯(lián)網(wǎng)工程任務(wù)組(internationalengineertaskforce,IETF)的網(wǎng)絡(luò)訪問控制(networkaccesscontrol,NAC)規(guī)范中。如今已有許多企業(yè)的產(chǎn)品使用TNC體系結(jié)構(gòu)，如ExtremeNetworks,HPProCureve,JuniperNetworks,OpSwat,Patchlink,Q1Labs,StillSecure,WaveSystems等。

（二）可信網(wǎng)絡(luò)國內(nèi)研究

我國也有學者進行了可信網(wǎng)絡(luò)的研究。林闖等進行了可信網(wǎng)絡(luò)概念研究以及建立相關(guān)模型，提出網(wǎng)絡(luò)可信屬性的定量計算方法。期望基于網(wǎng)絡(luò)體系結(jié)構(gòu)自身來改善信息安全的方式來解決網(wǎng)絡(luò)脆弱性問題，通過保護網(wǎng)絡(luò)信息中的完整性、可用性、秘密性和真實性來保護網(wǎng)絡(luò)的安全性、可控性以及可生存性。利用在網(wǎng)絡(luò)體系結(jié)構(gòu)中的信任機制集成，使安全機制增強，在架構(gòu)上對可信網(wǎng)絡(luò)提出了相關(guān)設(shè)計原則。閔應(yīng)驊認為能夠提供可信服務(wù)的網(wǎng)絡(luò)是可信網(wǎng)絡(luò)，并且服務(wù)是可信賴和可驗證的。這里的可信性包括健壯性、安全性、可維護性、可靠性、可測試性與可用性等。TNC進行設(shè)計過程中需要考慮架構(gòu)的安全性，同時也要考慮其兼容性，在一定程度上配合現(xiàn)有技術(shù)，因此TNC在優(yōu)點以外也有著局限性。TNC的突出優(yōu)點是安全性和開放性。TNC架構(gòu)是針對互操作的，向公眾開放所有規(guī)范，用戶能夠無償獲得規(guī)范文檔。此外，它使用了很多現(xiàn)有的標準規(guī)范，如EAP、802.1X等，使得TNC可以適應(yīng)不同環(huán)境的需要，它沒有與某個具體的產(chǎn)品進行綁定。TNC與NAC架構(gòu)、NAP架構(gòu)的互操作也說明了該架構(gòu)的開放性。NC的擴展是傳統(tǒng)網(wǎng)絡(luò)接入控制技術(shù)用戶身份認證的基礎(chǔ)上增加的平臺身份認證以及完整性驗證。這使得連入網(wǎng)絡(luò)的終端需要更高的要求，但同時提升了提供接入的網(wǎng)絡(luò)安全性。雖然TNC具有上述的優(yōu)點，但是它也有一定的局限性：

1.完整性的部分局限。TNC是以完整性為基礎(chǔ)面對終端的可信驗證。但這種可信驗證只能保證軟件的靜態(tài)可信，動態(tài)可信的內(nèi)容還處于研究中。因此TNC接入終端的可信還處于未完善的階段。

2.可信評估的單向性。TNC的初衷是確保網(wǎng)絡(luò)安全，在保護終端的安全上缺乏考慮。終端在接入網(wǎng)絡(luò)之前，在提供自身的平臺可信性證據(jù)的基礎(chǔ)上，還需要對接入的網(wǎng)絡(luò)進行可信性評估，否則不能確保從網(wǎng)絡(luò)中獲取的服務(wù)可信。

3.網(wǎng)絡(luò)接入后的安全保護。TNC只在終端接入網(wǎng)絡(luò)的過程中對終端進行了平臺認證與完整性驗證，在終端接入網(wǎng)絡(luò)之后就不再對網(wǎng)絡(luò)和終端進行保護。終端平臺有可能在接入之后發(fā)生意外的轉(zhuǎn)變，因此需要構(gòu)建并加強接入后的控制機制。在TNC1.3架構(gòu)中增加了安全信息動態(tài)共享，在一定程度上增強了動態(tài)控制功能。

4.安全協(xié)議支持。TNC架構(gòu)中，多個實體需要進行信息交互，如TNCS與TNCC、TNCC與IMC、IMV與TNCS、IMC與IMV，都需要進行繁多的信息交互，但TNC架構(gòu)并沒有給出相對應(yīng)的安全協(xié)議。

5.范圍的局限性。TNC應(yīng)用目前局限在企業(yè)內(nèi)部網(wǎng)絡(luò)，難以提供多層次、分布式、電信級、跨網(wǎng)絡(luò)域的網(wǎng)絡(luò)訪問控制架構(gòu)。在TNC1.4架構(gòu)中增加了對跨網(wǎng)絡(luò)域認證的支持，以及對無TNC客戶端場景的支持，在一定程度上改善了應(yīng)用的局限性。我國學者在研究分析TNC的優(yōu)缺點的同時結(jié)合中國的實際情況，對TNC進行了一些改進，形成了中國的可信網(wǎng)絡(luò)連接架構(gòu)。我國的可信網(wǎng)絡(luò)架構(gòu)使用了集中管理、對等、三元、二層的結(jié)構(gòu)模式。策略管理器作為可信的第三方，它可以集中管理訪問請求者和訪問控制器，網(wǎng)絡(luò)訪問控制層和可信平臺評估層執(zhí)行以策略管理器為基礎(chǔ)的可信第三方的三元對等鑒別協(xié)議，實現(xiàn)訪問請求者和訪問控制器之間的雙向用戶身份認證和雙向平臺可信性評估。該架構(gòu)采用國家自主知識產(chǎn)權(quán)的鑒別協(xié)議，將訪問控制器以及訪問請求者作為對等實體，通過策可信第三方的略管理器，簡化了身份管理、策略管理和證書管理機制，同時進行終端與網(wǎng)絡(luò)的雙向認證，提供了一種新思路。在國家“863”計劃項目的支持下，取得了如下成果:

（1）在對TNC在網(wǎng)絡(luò)訪問控制機制方面的局限性進行研究分析后，同時考慮可信網(wǎng)絡(luò)連接的基本要求，提出了一種融合網(wǎng)絡(luò)訪問控制機制、系統(tǒng)訪問控制機制和網(wǎng)絡(luò)安全機制的統(tǒng)一網(wǎng)絡(luò)訪問控制LTNAC模型，對BLP模型進行動態(tài)可信性擴展，建立了TE-BLP模型，期望把可信度與統(tǒng)一網(wǎng)絡(luò)訪問控制模型結(jié)合起來。

（2）通過研究獲得了一個完整的可信網(wǎng)絡(luò)連接原型系統(tǒng)。該系統(tǒng)支持多樣認證方式和基于完整性挑戰(zhàn)與完整性驗證協(xié)議的遠程證明，來實現(xiàn)系統(tǒng)平臺間雙向證明和以遠程證明為基礎(chǔ)的完整性度量器和驗證器，最后完成可信網(wǎng)絡(luò)連接的整體流程。

三、可信網(wǎng)絡(luò)模型分析

（一）網(wǎng)絡(luò)與用戶行為的可信模型

可信是在傳統(tǒng)網(wǎng)絡(luò)安全的基礎(chǔ)上的拓展:安全是外在的表現(xiàn)形式，可信則是進行行為過程分析所得到的可度量的一種屬性。如何構(gòu)建高效分析刻畫網(wǎng)絡(luò)和用戶行為的可信模型是理解和研究可信網(wǎng)絡(luò)的關(guān)鍵。這是目前網(wǎng)絡(luò)安全研究領(lǐng)域的一個新共識。構(gòu)建網(wǎng)絡(luò)和用戶的可信模型的重要性體現(xiàn)于:它只準確而抽象地說明了系統(tǒng)的可信需求卻不涉及到其他相關(guān)實現(xiàn)細節(jié)，這使得我們能通過數(shù)學模型分析方法去發(fā)現(xiàn)系統(tǒng)在安全上的漏洞?？尚拍Ｐ屯瑫r也是系統(tǒng)進行研發(fā)的關(guān)鍵步驟，在美國國防部的“可信計算機系統(tǒng)的評價標準(TCSEC)”中，從B級階段就需要對全模型進行形式化描述和驗證，以及形式化的隱通道分析等。我們還需要可信模型的形式化描述、驗證和利用能夠提高網(wǎng)絡(luò)系統(tǒng)安全的可信度。最后，構(gòu)建理論來說明網(wǎng)絡(luò)的脆弱性評估和用戶遭受攻擊行為描述等的可信評估，這是實現(xiàn)系統(tǒng)可信監(jiān)測、預測和干預的前提，是可信網(wǎng)絡(luò)研究的理論所有基礎(chǔ)。完全安全的網(wǎng)絡(luò)系統(tǒng)目前還無法實現(xiàn)，因此網(wǎng)絡(luò)脆弱性評估的最終目的不是完全消除脆弱性，而是找到一個解決方案，讓系統(tǒng)管理員在“提供服務(wù)”和“保證安全”之間找到平衡，主動檢測在攻擊發(fā)生之前，如建立攻擊行為的設(shè)定描述，通過在用戶中區(qū)分隱藏的威脅，以可信評估為基礎(chǔ)上進行主機的接入控制。傳統(tǒng)檢測多為以規(guī)則為基礎(chǔ)的局部檢測，它很難進行整體檢測。但我們現(xiàn)有的脆弱性評估工具卻絕大多數(shù)都是傳統(tǒng)基于規(guī)則的檢測工具，頂多對單一的主機的多種服務(wù)進行簡陋的檢查，對多終端構(gòu)建的網(wǎng)絡(luò)進行有效評估還只能依靠大量人力。以模型為基礎(chǔ)的模式為整個系統(tǒng)建立一個模型，通過模型可取得系統(tǒng)所有可能發(fā)生的行為和狀態(tài)，利用模型分析工具測試，對整個系統(tǒng)的可信性評估。圖2說明了可信性分析的元素。網(wǎng)絡(luò)行為的信任評估包括行為和身份的信任，而行為可信又建立在防護能力、信任推薦、行為記錄、服務(wù)能力等基礎(chǔ)之上。

（二）可信網(wǎng)絡(luò)的體系結(jié)構(gòu)

互聯(lián)網(wǎng)因技術(shù)和理論的不足在建立時無法考量其安全周全，這是網(wǎng)絡(luò)脆弱性的一個重要產(chǎn)生因素。但是如今很多網(wǎng)絡(luò)安全設(shè)計卻常常忽略網(wǎng)絡(luò)體系的核心內(nèi)容，大多是單一的防御、單一的信息安全和補丁補充機制，遵從“堵漏洞、作高墻、防外攻”的建設(shè)樣式，通過共享信息資源為中心把非法侵入者拒之門外，被動的達到防止外部攻擊的目的。在黑客技術(shù)日漸復雜多元的情況下，冗長的單一防御技術(shù)讓系統(tǒng)規(guī)模龐大，卻降低了網(wǎng)絡(luò)性能，甚至破壞了系統(tǒng)設(shè)計的開放性、簡單性的原則。因此這些被動防御的網(wǎng)絡(luò)安全是不可信的，所以從結(jié)構(gòu)設(shè)計的角度減少系統(tǒng)脆弱性且提供系統(tǒng)的安全服務(wù)特別重要。盡管在開放式系統(tǒng)互連參考模型的擴展部分增加了有關(guān)安全體系結(jié)構(gòu)的描述，但那只是不完善的概念性框架。網(wǎng)絡(luò)安全不再只是信息的可用性、機密性和完整性，服務(wù)的安全作為一個整體屬性被用戶所需求，因此研究人員在重新設(shè)計網(wǎng)絡(luò)體系時需考慮從整合多種安全技術(shù)并使其在多個層面上相互協(xié)同運作。傳統(tǒng)的補丁而補充到網(wǎng)絡(luò)系統(tǒng)上的安全機制已經(jīng)因為單個安全技術(shù)或者安全產(chǎn)品的功能和性能使得它有著極大地局限性，它只能滿足單一的需求而不是整體需求，這使得安全系統(tǒng)無法防御多種類的不同攻擊，嚴重威脅這些防御設(shè)施功效的發(fā)揮。如入侵檢測不能對抗電腦病毒，防火墻對術(shù)馬攻擊也無法防范。因為如此，網(wǎng)絡(luò)安全研究的方向開始從被動防御轉(zhuǎn)向了主動防御，不再只是對信息的非法封堵，更需要從訪問源端就進行安全分析，盡量將不信任的訪問操作控制在源端達到攻擊前的防范。因此我們非常需要為網(wǎng)絡(luò)提供可信的體系結(jié)構(gòu)，從被動轉(zhuǎn)向主動，單一轉(zhuǎn)向整體。可信網(wǎng)絡(luò)結(jié)構(gòu)研究必須充分認識到網(wǎng)絡(luò)的復雜異構(gòu)性，從系統(tǒng)的角度確保安全服務(wù)的一致性。新體系結(jié)構(gòu)如圖3所示，監(jiān)控信息(分發(fā)和監(jiān)測)以及業(yè)務(wù)數(shù)據(jù)的傳輸通過相同的物理鏈路，控制信息路徑和數(shù)據(jù)路徑相互獨立，這樣監(jiān)控信息路徑的管理不再只依賴于數(shù)據(jù)平面對路徑的配置管理，從而可以建立高可靠的控制路徑。其形成的強烈對比是對現(xiàn)有網(wǎng)絡(luò)的控制和管理信息的傳輸，必須依賴由協(xié)議事先成功設(shè)置的傳輸路徑。

（三）服務(wù)的可生存性

可生存性在特定領(lǐng)域中是一種資源調(diào)度問題，也就是通過合理地調(diào)度策略來進行服務(wù)關(guān)聯(lián)的冗余資源設(shè)計，通過實時監(jiān)測機制來監(jiān)視調(diào)控這些資源的性能、機密性、完整性等。但網(wǎng)絡(luò)系統(tǒng)的脆弱性、客觀存在的破壞行為和人為的失誤，在網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)性作用逐漸增強的現(xiàn)實，確保網(wǎng)絡(luò)的可生存性就有著重要的現(xiàn)實意義。由于當時技術(shù)與理論的不足，使得網(wǎng)絡(luò)存在著脆弱性表現(xiàn)在設(shè)計、實現(xiàn)、運行管理的各個環(huán)節(jié)。網(wǎng)絡(luò)上的計算機需要提供某些服務(wù)才能與其他計算機相互通信，其脆弱性在復雜的系統(tǒng)中更加體現(xiàn)出來。除了人為疏忽的編程錯誤，其脆弱性還應(yīng)該包含網(wǎng)絡(luò)節(jié)點的服務(wù)失誤和軟件的不當使用和網(wǎng)絡(luò)協(xié)議的缺陷。協(xié)議定義了網(wǎng)絡(luò)上計算機會話和通信的規(guī)則，若協(xié)議本身就有問題，無論實現(xiàn)該協(xié)議的方法多么完美，它都存在漏洞。安全服務(wù)是網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵服務(wù)，它的某個部分失去效用就代表系統(tǒng)會更加危險，就會導致更多服務(wù)的失控甚至是系統(tǒng)自身癱瘓。因此必須將這些關(guān)鍵服務(wù)的失效控制在用戶許可的范圍內(nèi)?？缮嫘缘难芯勘仨氃讵毩⒂诰唧w破壞行為的可生存性的基本特征上進行理論拓展，提升系統(tǒng)的容錯率來減少系統(tǒng)脆弱性，將失控的系統(tǒng)控制在可接受范圍內(nèi)，通過容侵設(shè)計使脆弱性被非法入侵者侵入時，盡可能減少破壞帶來的影響，替恢復的可能性創(chuàng)造機會。

（四）網(wǎng)絡(luò)的可管理性

目前網(wǎng)絡(luò)已成為一個復雜巨大的非線性系統(tǒng)，具有規(guī)模龐大、用戶數(shù)量持續(xù)增加、業(yè)務(wù)種類繁多、協(xié)議體系復雜等特點。這已遠超設(shè)計的初衷，這讓網(wǎng)絡(luò)管理難度加大。網(wǎng)絡(luò)的可管理性是指在內(nèi)外干擾的網(wǎng)絡(luò)環(huán)境情況下，對用戶行為和網(wǎng)絡(luò)環(huán)境持續(xù)的監(jiān)測、分析和決策，然后對設(shè)備、協(xié)議和機制的控制參數(shù)進行自適應(yīng)優(yōu)化配置，使網(wǎng)絡(luò)的數(shù)據(jù)傳輸、用戶服務(wù)和資源分配達到期望的目標。現(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)的基礎(chǔ)上添加網(wǎng)絡(luò)管理功能，它無法實現(xiàn)網(wǎng)絡(luò)的有效管理，這是因為現(xiàn)有的網(wǎng)絡(luò)體系與管理協(xié)議不兼容?？尚啪W(wǎng)絡(luò)必須是可管理的網(wǎng)絡(luò)，網(wǎng)絡(luò)的可管理性對于網(wǎng)絡(luò)的其他本質(zhì)屬性，如安全性、普適性、魯棒性等也都有著重要的支撐作用?！熬W(wǎng)絡(luò)管理”是指對網(wǎng)絡(luò)情況持續(xù)進行監(jiān)測，優(yōu)化網(wǎng)絡(luò)設(shè)備配置并運行參數(shù)的過程，包括優(yōu)化決策和網(wǎng)絡(luò)掃描兩個重要方面。研究管理性是通過改善網(wǎng)絡(luò)體系中會導致可管理性不足的設(shè)計，達到網(wǎng)絡(luò)可管理性，實現(xiàn)網(wǎng)絡(luò)行為的可信姓，再解決網(wǎng)絡(luò)本質(zhì)問題如安全性、魯棒性、普適性、QoS保障等，提供支撐，使網(wǎng)絡(luò)的適應(yīng)能力加強。

四、結(jié)論

綜上所述，互聯(lián)網(wǎng)有著復雜性和脆弱性等特征，當前孤立分散、單一性的防御、系統(tǒng)補充的網(wǎng)絡(luò)安全系統(tǒng)己經(jīng)無法應(yīng)對具有隱蔽多樣可傳播特點的破壞行為，我們不可避免系統(tǒng)的脆弱性，可以說網(wǎng)絡(luò)正面臨重要的挑戰(zhàn)。我國網(wǎng)絡(luò)系統(tǒng)的可信網(wǎng)絡(luò)研究從理論技術(shù)上來說還處于初級階段，缺乏統(tǒng)一的標準，但是它己經(jīng)明確成為國內(nèi)外信息安全研究的新方向。隨著大數(shù)據(jù)的到來，全球的頭腦風暴讓信息技術(shù)日新月異，新技術(shù)帶來的不只有繁榮，同時也帶來異化。昨日的技術(shù)已經(jīng)無法適應(yīng)今日的需求，從以往的例子中可以得知信息安全的災難是廣泛的、破壞性巨大、持續(xù)的，我們必須未雨綢繆并且不停地發(fā)展信息安全的技術(shù)與制度來阻止悲劇的發(fā)生。信息異化帶來的信息安全問題是必不可免的，它是網(wǎng)絡(luò)世界一個嚴峻的挑戰(zhàn)，對于可信網(wǎng)絡(luò)的未來我們可以從安全性、可控性、可生存性來創(chuàng)新發(fā)展，新的防御系統(tǒng)將通過冗余、異構(gòu)、入侵檢測、自動入侵響應(yīng)、入侵容忍等多種技術(shù)手段提高系統(tǒng)抵抗攻擊、識別攻擊、修復系統(tǒng)及自適應(yīng)的能力，從而達到我們所需的實用系統(tǒng)?？梢酝ㄟ^下述研究方向來發(fā)展可信網(wǎng)絡(luò)：

（一）網(wǎng)絡(luò)系統(tǒng)區(qū)別于一般系統(tǒng)的基本屬性

之一是復雜性，網(wǎng)絡(luò)可信性研究需要通過宏觀與微觀上對網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)屬性的定性，定量刻畫，深入探索網(wǎng)絡(luò)系統(tǒng)可靠性的影響，這樣才能為網(wǎng)絡(luò)可信設(shè)計、改進、控制等提供支持。因此，以復雜網(wǎng)絡(luò)為基礎(chǔ)的可信網(wǎng)絡(luò)會成為一個基礎(chǔ)研究方向。

（二）網(wǎng)絡(luò)系統(tǒng)區(qū)別于一般系統(tǒng)的第二個重要屬性

是動態(tài)性，其包含網(wǎng)絡(luò)系統(tǒng)歷經(jīng)時間的演化動態(tài)性和網(wǎng)絡(luò)失去效用行為的級聯(lián)動態(tài)性。如今，學術(shù)上對可信網(wǎng)絡(luò)靜態(tài)性研究較多，而動態(tài)性研究較少，這無疑是未來可信網(wǎng)絡(luò)研究的一大方向。

篇（5）

可以從不同角度對網(wǎng)絡(luò)安全作出不同的解釋。一般意義上，網(wǎng)絡(luò)安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認證、不可否認性、授權(quán)和訪問控制。

當今社會，通信網(wǎng)絡(luò)的普及和演進讓人們改變了信息溝通的方式，通信網(wǎng)絡(luò)作為信息傳遞的一種主要載體，在推進信息化的過程中與多種社會經(jīng)濟生活有著十分緊密的關(guān)聯(lián)。這種關(guān)聯(lián)一方面帶來了巨大的社會價值和經(jīng)濟價值，另一方面也意味著巨大的潛在危險--一旦通信網(wǎng)絡(luò)出現(xiàn)安全事故，就有可能使成千上萬人之間的溝通出現(xiàn)障礙，帶來社會價值和經(jīng)濟價值的無法預料的損失。

3通信網(wǎng)絡(luò)安全現(xiàn)狀

互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題。

計算機系統(tǒng)及網(wǎng)絡(luò)固有的開放性、易損性等特點使其受攻擊不可避免。

計算機病毒的層出不窮及其大范圍的惡意傳播，對當今日愈發(fā)展的社會網(wǎng)絡(luò)通信安全產(chǎn)生威脅。

現(xiàn)在企業(yè)單位各部門信息傳輸?shù)牡奈锢砻浇椋蟛糠质且揽科胀ㄍㄐ啪€路來完成的，雖然也有一定的防護措施和技術(shù)，但還是容易被竊取。

通信系統(tǒng)大量使用的是商用軟件，由于商用軟件的源代碼，源程序完全或部分公開化，使得這些軟件存在安全問題。

4通信網(wǎng)絡(luò)安全分析

針對計算機系統(tǒng)及網(wǎng)絡(luò)固有的開放性等特點，加強網(wǎng)絡(luò)管理人員的安全觀念和技術(shù)水平，將固有條件下存在的安全隱患降到最低。安全意識不強，操作技術(shù)不熟練，違反安全保密規(guī)定和操作規(guī)程，如果明密界限不清，密件明發(fā)，長期重復使用一種密鑰，將導致密碼被破譯，如果下發(fā)口令及密碼后沒有及時收回，致使在口令和密碼到期后仍能通過其進入網(wǎng)絡(luò)系統(tǒng)，將造成系統(tǒng)管理的混亂和漏洞。為防止以上所列情況的發(fā)生，在網(wǎng)絡(luò)管理和使用中，要大力加強管理人員的安全保密意識。

軟硬件設(shè)施存在安全隱患。為了方便管理，部分軟硬件系統(tǒng)在設(shè)計時留有遠程終端的登錄控制通道，同時在軟件設(shè)計時不可避免的也存在著許多不完善的或是未發(fā)現(xiàn)的漏洞(bug)，加上商用軟件源程序完全或部分公開化，使得在使用通信網(wǎng)絡(luò)的過程中，如果沒有必要的安全等級鑒別和防護措施，攻擊者可以利用上述軟硬件的漏洞直接侵入網(wǎng)絡(luò)系統(tǒng)，破壞或竊取通信信息。

傳輸信道上的安全隱患。如果傳輸信道沒有相應(yīng)的電磁屏蔽措施，那么在信息傳輸過程中將會向外產(chǎn)生電磁輻射，從而使得某些不法分子可以利用專門設(shè)備接收竊取機密信息。

另外，在通信網(wǎng)建設(shè)和管理上，目前還普遍存在著計劃性差。審批不嚴格，標準不統(tǒng)一，建設(shè)質(zhì)量低，維護管理差，網(wǎng)絡(luò)效率不高，人為因素干擾等問題。因此，網(wǎng)絡(luò)安全性應(yīng)引起我們的高度重視。

5通信網(wǎng)絡(luò)安全維護措施及技術(shù)

當前通信網(wǎng)絡(luò)功能越來越強大，在日常生活中占據(jù)了越來越重要的地位，我們必須采用有效的措施，把網(wǎng)絡(luò)風險降到最低限度。于是，保護通信網(wǎng)絡(luò)中的硬件、軟件及其數(shù)據(jù)不受偶然或惡意原因而遭到破壞、更改、泄露，保障系統(tǒng)連續(xù)可靠地運行，網(wǎng)絡(luò)服務(wù)不中斷，就成為通信網(wǎng)絡(luò)安全的主要內(nèi)容。

為了實現(xiàn)對非法入侵的監(jiān)測、防偽、審查和追蹤，從通信線路的建立到進行信息傳輸我們可以運用到以下防衛(wèi)措施：“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網(wǎng)絡(luò)系統(tǒng)權(quán)限分級，權(quán)限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽，從而達到網(wǎng)絡(luò)分級機制的效果;“網(wǎng)絡(luò)授權(quán)”通過向終端發(fā)放訪問許可證書防止非授權(quán)用戶訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)資源;“數(shù)據(jù)保護”利用數(shù)據(jù)加密后的數(shù)據(jù)包發(fā)送與訪問的指向性，即便被截獲也會由于在不同協(xié)議層中加入了不同的加密機制，將密碼變得幾乎不可破解;“收發(fā)確認”用發(fā)送確認信息的方式表示對發(fā)送數(shù)據(jù)和收方接收數(shù)據(jù)的承認，以避免不承認發(fā)送過的數(shù)據(jù)和不承認接受過數(shù)據(jù)等而引起的爭執(zhí);“保證數(shù)據(jù)的完整性”，一般是通過數(shù)據(jù)檢查核對的方式達成的，數(shù)據(jù)檢查核對方式通常有兩種，一種是邊發(fā)送接收邊核對檢查，一種是接收完后進行核對檢查;“業(yè)務(wù)流分析保護”阻止垃圾信息大量出現(xiàn)造成的擁塞，同時也使得惡意的網(wǎng)絡(luò)終端無法從網(wǎng)絡(luò)業(yè)務(wù)流的分析中獲得有關(guān)用戶的信息。

為了實現(xiàn)實現(xiàn)上述的種種安全措施，必須有技術(shù)做保證，采用多種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：

防火墻技術(shù)。在網(wǎng)絡(luò)的對外接口采用防火墻技術(shù)，在網(wǎng)絡(luò)層進行訪問控制。通過鑒別，限制，更改跨越防火墻的數(shù)據(jù)流，來實現(xiàn)對網(wǎng)絡(luò)的安全保護，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，所以，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。

入侵檢測技術(shù)。防火墻保護內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊，但它對內(nèi)部網(wǎng)絡(luò)的一些非法活動的監(jiān)控不夠完善，IDS（入侵檢測系統(tǒng)）是防火墻的合理補充，它積極主動地提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，提高了信息安全性。

網(wǎng)絡(luò)加密技術(shù)。加密技術(shù)的作用就是防止公用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取，是網(wǎng)絡(luò)安全的核心。采用網(wǎng)絡(luò)加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性，它可解決網(wǎng)絡(luò)在公網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩詥栴}也可解決遠程用戶訪問內(nèi)網(wǎng)的安全問題。

身份認證技術(shù)。提供基于身份的認證，在各種認證機制中可選擇使用。通過身份認證技術(shù)可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。

虛擬專用網(wǎng)(VPN)技術(shù)。通過一個公用網(wǎng)(一般是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。它通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構(gòu)、公司業(yè)務(wù)伙伴等跟公司的內(nèi)網(wǎng)連接起來，構(gòu)成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機器都處于一個網(wǎng)絡(luò)之中。

篇（6）

2對企業(yè)辦公網(wǎng)絡(luò)安全造成威脅的因素

對辦公網(wǎng)絡(luò)的信息安全實施有效的保護有著非常重要的意義，但同時也存在著一定的難度。由于網(wǎng)絡(luò)技術(shù)自身存在很多不足，如系統(tǒng)安全性保障不足。沒有安全性的實踐等，而使得辦公網(wǎng)絡(luò)不堪一擊。除了自然災害會給辦公網(wǎng)絡(luò)埋下巨大的安全隱患外，還有計算機犯罪、黑客攻擊等因素也是影響網(wǎng)絡(luò)信息安全的不穩(wěn)定因素。

2.1自然災害造成的威脅

從本質(zhì)上來說，企業(yè)辦公網(wǎng)絡(luò)的信息系統(tǒng)就是一臺機器，根本不具備抵御自然災害、溫度、濕度等環(huán)節(jié)因素影響的能力，再加上防護措施的欠缺，必然會加大自然災害和環(huán)境對辦公網(wǎng)絡(luò)信息的威脅。最常見的就是斷電而造成的影響，會使得正處于運行狀態(tài)中的設(shè)備受到損害或者導致數(shù)據(jù)丟失等情況的發(fā)生。

2.2網(wǎng)絡(luò)軟件漏洞造成的威脅

一般來說，網(wǎng)絡(luò)軟件自身就存在著一些不可避免的漏洞，而給黑客攻擊提供了便利，黑客會利用這些軟件漏洞對網(wǎng)絡(luò)實施攻擊，在常見的案例中，網(wǎng)絡(luò)安全受到攻擊的主要原因就是由于網(wǎng)絡(luò)軟件不完善。還有一些軟件編程人員，為了自身使用方便而設(shè)置“后門”，一旦這些“后門”被不法分子找到，將會造成不可預料的后果。

2.3黑客造成的威脅

辦公網(wǎng)絡(luò)信息安全遭受黑客攻擊的案例數(shù)不勝數(shù)，這些黑客利用各種計算機工具，對自己所掌握的系統(tǒng)和網(wǎng)絡(luò)缺陷下手，從而盜取、竊聽重要信息，或者攻擊系統(tǒng)中的重要信息，甚至篡改辦公網(wǎng)絡(luò)中的部分信息，而造成辦公網(wǎng)絡(luò)癱瘓，給企業(yè)造成嚴重的損失。

2.4計算機病毒造成的威脅

計算機病毒會以極快的速度蔓延，而且波及的范圍也非常廣，一旦爆發(fā)計算機病毒將會造成不可估計的損失。計算機病毒無影無形，以依附于其他程序的形式存在，隨著程序的運行進一步侵入系統(tǒng)，并迅速擴散。一旦辦公網(wǎng)絡(luò)被病毒入侵，會降低工作效率，甚至導致系統(tǒng)死機，數(shù)據(jù)丟失等嚴重情況的發(fā)生。

3如何加強辦公網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全

3.1數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)指的是通過加密鑰匙和加密函數(shù)轉(zhuǎn)化，將信息處理成為無意義的密文。而接收方再通過解密鑰匙和解密函數(shù)，將密文還原成為明文。加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基石。加密的原理就是改變數(shù)據(jù)的表現(xiàn)形式，而目的就是確保密文只能被特定的人所解讀。一個加密網(wǎng)絡(luò)，不僅可以實現(xiàn)對非授權(quán)用戶的搭線竊聽和入網(wǎng)的阻攔，而且還能有效的防止惡意軟件的入侵。一般的數(shù)據(jù)加密可以在通信的三個層次來實現(xiàn)，分別是鏈路加密、節(jié)點加密和端到端加密。

3.2建立網(wǎng)絡(luò)管理平臺

現(xiàn)階段，隨著網(wǎng)絡(luò)系統(tǒng)的不斷擴大，越來越多的技術(shù)也應(yīng)用到網(wǎng)絡(luò)安全當中，常見的技術(shù)主要有防火墻、入侵檢測、防病毒軟件等。但不足的就是這些系統(tǒng)都處于獨立地工作狀態(tài)，要保證網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)資源能夠被充分利用，應(yīng)當為其提供一個經(jīng)濟安全、可靠高效、功能完善的網(wǎng)絡(luò)管理平臺來實現(xiàn)對這些網(wǎng)絡(luò)安全設(shè)備的綜合管理，使其能夠充分發(fā)揮應(yīng)有的功能。

篇（7）

隨著電腦的普及，計算機技術(shù)已并沒有向早年想象的那么遙遠。幾乎每個人都知道一些最基本的電腦維護的知識，對于生活在高校的學生們就更不用說了。幾乎每所高校都有其自身的網(wǎng)絡(luò)體系，無論是無線網(wǎng)絡(luò)還是有線網(wǎng)絡(luò)。有了網(wǎng)絡(luò)的幫助后老師可以提高課堂內(nèi)容的豐富度，不必拘匿與灌輸死板的概念內(nèi)容，而是靈活的動態(tài)模式，這樣才能更好的激發(fā)學生的學習興趣。在大家看來每所高校所關(guān)心的安全領(lǐng)域問題是大致相同的，無論是在哪方面，無疑就是網(wǎng)絡(luò)是否暢通，上網(wǎng)是否安全，網(wǎng)絡(luò)是否可以抵御黑客攻擊，上網(wǎng)是我們的賬號是否存在風險等問題。

1.2校園網(wǎng)絡(luò)架構(gòu)分析

學校校園網(wǎng)跟隨著信息化建設(shè)的步伐，已經(jīng)逐步走上正軌。許多高校都配備了無線、有線網(wǎng)絡(luò)，使學生和老師的生活和教學就更加方便，XX學校網(wǎng)絡(luò)的拓撲圖（圖1）。根據(jù)圖片可知XX學校將Internet匯總通過防火墻，總的路由器分配至每個教學樓路由器，再由交換機分到各個房間，這樣每個房間就能有其自己的端口號。這樣如果遇到電路、網(wǎng)絡(luò)中斷的話就可以就可以根據(jù)端口直接檢查出問題所在的地方以及進行及時的修理，例如在一個教學樓的房間，網(wǎng)路連接不上，我們可以通過以下步驟來找到問題所在，首先用測線器來測試下網(wǎng)線是否正常，若不正常首先判斷是交叉線還是直通線，換一根網(wǎng)線繼續(xù)使用；若網(wǎng)線正常在看下網(wǎng)線插口里的芯片是否有接觸，可以用小的鉗子給它擺正再插上網(wǎng)線試下；若還是不行將模塊拆下檢查下銅導線與模塊是否是接觸不良同時可以將銅導線頭接觸處剝下一點講他們捏在一起，在交換機上觀察是否通，通的話將銅導線重新裝回至模塊內(nèi)，正常使用。我們可以從圖中得知，這樣的架構(gòu)可以幫助我們盡快查到問題的出處，防止更加難以控制的局面的發(fā)生。

1.3校園網(wǎng)絡(luò)面臨的威脅

學校網(wǎng)絡(luò)大多都使用TCP/IP協(xié)議，而該協(xié)議的網(wǎng)絡(luò)所提供的網(wǎng)絡(luò)服務(wù)都包含許多不安全的因素，存在許多漏洞。同時網(wǎng)絡(luò)的普及是信息共享達到了一個新的層次，信息被暴露的機會大大增加，特別是internet，他就是一個開放大系統(tǒng)。另外，數(shù)據(jù)處理的可訪問性和資源共享的目的性之間的一對矛盾，這些都給校園網(wǎng)絡(luò)帶來了威脅。計算機網(wǎng)絡(luò)所面臨的威脅大體可分為兩種：一是，對網(wǎng)絡(luò)中信息的威脅,即所謂的軟威脅；二是，對網(wǎng)絡(luò)中設(shè)備的威脅，即所謂的硬威脅。影響計算機網(wǎng)絡(luò)的安全因素很多，有意的、無意的、人為的、自然的以及外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使用等，歸結(jié)起來，針對網(wǎng)絡(luò)安全的威脅主要有以下幾種：第一，入侵者：入侵者包括黑客、破壞者和其他從外部試圖非法訪問內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)用戶。這些訪問者或者有特定的目的，或者只是基于興趣和好奇心，都會對校網(wǎng)信息形成威肋。并且，由于互聯(lián)網(wǎng)的廣泛應(yīng)用，更多的黑客工具和破壞程序被共享，許多青少年對此興趣極高，形成了一大批潛在的攻擊者。第二，病毒和有害代碼：便利的網(wǎng)絡(luò)環(huán)境使病毒成為網(wǎng)絡(luò)信息安全的另一個重要威脅，病毒不僅破壞程序和數(shù)據(jù)，還會嚴重影響網(wǎng)絡(luò)效率，甚至破壞設(shè)備；特洛伊木馬為入侵者所利用進行網(wǎng)絡(luò)攻擊和刺探，操作系統(tǒng)或應(yīng)用軟件的后門也被開發(fā)者利用進行攻擊和破壞。目前病毒與黑客技術(shù)的結(jié)合，使得病毒的危害更進一層，不僅僅針對計算機，同時也針對網(wǎng)絡(luò)，近幾年的一次利用SQLServer漏洞的“蠕蟲王”病毒就幾乎使得全國計算機網(wǎng)絡(luò)癱瘓。第三，內(nèi)部教職員工與學生：其實更為重要的安全威脅來自網(wǎng)絡(luò)內(nèi)部，由于誤操作、好奇或泄憤，內(nèi)部教職員工和學生會對校園網(wǎng)中關(guān)鍵信息安全和完整性構(gòu)成威脅。尤其是學生，極強烈的好奇心和爭勝欲望，為了炫耀或者學習實踐，對網(wǎng)絡(luò)有比較大的攻擊性。第四，系統(tǒng)和應(yīng)用的安全漏洞：網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和應(yīng)用軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。除此之外，軟件和硬件的配置/設(shè)置不當同樣會造成相當嚴重的安全問題。第五，用戶安全意識：用戶對信息安全認識不足，對安全的簡單理解和關(guān)注不足，對安全設(shè)備的利用和投入不足、不及時，都會構(gòu)成校網(wǎng)信息安全缺陷。第六，其他安全威脅：包括自然災害、物理設(shè)備故障以及其他破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施和數(shù)據(jù)的意外事故。

2校園網(wǎng)絡(luò)信息安全策略

2.1信息安全含義及策略概述信息安全是指采取措施保護信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，使之不因偶然的或者惡意的原因而遭受破壞、更改、泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行。信息安全是一門涉及網(wǎng)絡(luò)技術(shù)、數(shù)據(jù)庫技術(shù)、密碼技術(shù)、信息安全技術(shù)、通信技術(shù)、應(yīng)用數(shù)學、信息論等多種學科的綜合性學科。信息安全本身包括的范圍很廣，大到國家軍事政治等機密安全，小到防范青少年對不良信息的瀏覽以及個人信息的泄露等。而信息安全策略是一個有效的信息安全項目的基礎(chǔ)。信息安全策略可以劃分為兩個部分，問題策略和功能策略。問題策略描述了一個組織所關(guān)心的安全領(lǐng)域和對這些領(lǐng)域內(nèi)安全問題的基本態(tài)度。功能策略描述如何解決所關(guān)心的問題，包括制定具體的硬件和軟件配置規(guī)格說明、使用策略以及雇員行為策略。從信息安全領(lǐng)域中發(fā)生的事件來看，信息安全策略的核心地位變得越來越明顯。例如，沒有安全策略，系統(tǒng)管理員將不能安全的安裝防火墻。策略規(guī)定了所允許的訪問控制、協(xié)議以及怎樣記錄與安全有關(guān)的事件。策略的制定需要達成下述目標：減少風險，遵從法律和規(guī)則，確保組織運作的連續(xù)性、信息完整性和機密性。信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動制定。同時應(yīng)當重視對信息系統(tǒng)了解深刻的員工所提出的組織當前信息的主要特性，具體包括：什么信息是敏感的、什么信息是有價值的以及什么信息是關(guān)鍵的。在制定一整套信息安全策略時，應(yīng)當參考一份近期的風險評估，以便清楚了解組織當前的信息安全需所要面臨的風險管理。對曾出現(xiàn)的安全事件的總結(jié)，也是一份有價值的資料。信息安全策略應(yīng)當與已有的信息系統(tǒng)結(jié)構(gòu)相一致，并對其完全支持。這一點不是針對信息安全體系結(jié)構(gòu)，而是針對信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定，以保障信息安全體系實施、運行。例如，互聯(lián)網(wǎng)訪問控制策略可使安全體系結(jié)構(gòu)具體化，也有利于選擇和實施恰當?shù)姆阑饓Ξa(chǎn)品。關(guān)于風險評估，我們可以根據(jù)每一項任務(wù)來進行一個風險評估具體流程（如圖2），做好一個風險評估能很大程度上的提高信息安全度，也便于今后的管理。

2.2防范校園網(wǎng)絡(luò)安全措施

在校園網(wǎng)絡(luò)日漸普及的今天，關(guān)于如何應(yīng)對和防范校園網(wǎng)絡(luò)安全這一塊也存在著許多不足和漏洞，所以各個學校都要從各個方面來保障校園網(wǎng)路的安全運行。首先是管理層面，通過申請在校園網(wǎng)絡(luò)中各種功能的開通和使用，來實現(xiàn)從源頭抓問題，學校也應(yīng)該制定出明確的計劃與流程，使得一些行為可以按照流程一步步完成，這樣就能更加安全了。以學生寬帶申請為例，學校規(guī)定從學校網(wǎng)站上統(tǒng)一下載，統(tǒng)一領(lǐng)導簽字，統(tǒng)一分發(fā)，統(tǒng)一管理。這種模式能提高管理和工作的效率，正是因為這樣的管理和工作模式，讓學校的工作井井有條的開展。通過對申請信息的填寫，當遇到網(wǎng)絡(luò)安全威脅時，可以通過信息查詢到有問題的主機，然后及時解決問題，不至于拖延很長時間。再次是技術(shù)方面，學校配備有上網(wǎng)認證控制器，可以保證在教學樓范圍內(nèi)上網(wǎng)都是有認證的，每個人的上網(wǎng)記錄都是可以查詢的，以及還有流量控制器，可以保證基本上網(wǎng)的暢通，VPN認證可以保證在校外訪問校內(nèi)網(wǎng)有跡可循，同時學校還配有負載均衡器以擴展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)的靈活性和可用性。同時這些設(shè)備也是信息安全策略中功能策略的反映。

篇（8）

物理層面的風險主要是指由于計算機硬件設(shè)備損壞而影響系統(tǒng)正常運行，物理層面是整個網(wǎng)絡(luò)系統(tǒng)安全的第一道防線。在物理層面的安全屏障主要有:(1)建立災備中心。中心平臺包括數(shù)據(jù)中心、災備中心和監(jiān)控中心。數(shù)據(jù)中心是整個系統(tǒng)的核心，與數(shù)據(jù)中心不同物理地址的災備中心是數(shù)據(jù)中心的備份。目前，通過遠程磁帶備份系統(tǒng)，每天將數(shù)據(jù)中心內(nèi)的數(shù)據(jù)備份到災備中心磁帶庫，并將磁帶轉(zhuǎn)移到其它地點。最大限度在24小時之內(nèi)恢復受損數(shù)據(jù)。二期建設(shè)將在災備中心建立與數(shù)據(jù)中心相同的網(wǎng)絡(luò)平臺，實現(xiàn)數(shù)據(jù)中心的應(yīng)用級災備。(2)設(shè)備和線路冗余配置。為了防止數(shù)據(jù)中心所有設(shè)備和網(wǎng)絡(luò)的單點故障導致服務(wù)中斷，在平臺和網(wǎng)絡(luò)的設(shè)計上采用完全冗余的配置。一是中心平臺所有的核心設(shè)備均采用兩臺或多臺雙機冗余熱備和負載均衡機制。二是在線路上，采用一主一備網(wǎng)絡(luò)連接，“?。械亍敝鞲删W(wǎng)以覆蓋全省各市地的電子政務(wù)網(wǎng)為主，以基于互聯(lián)網(wǎng)的10M光纖為備份，所有連接節(jié)點均有兩個以上的路由連接數(shù)據(jù)中心。(3)完善機房環(huán)境。中心平臺和各市地的中心節(jié)點機房建設(shè)均按國家A級機房標準規(guī)劃，基本設(shè)施包括:多路互投供電和不間斷電源UPS，六面體屏蔽，防雷、防靜電、防盜、防火、防水、防塵等系統(tǒng)，溫度和濕度控制系統(tǒng)。同時建立嚴格的機房管理制度，有利地保障了系統(tǒng)的穩(wěn)定運行。

2網(wǎng)絡(luò)層面

計算機網(wǎng)絡(luò)互聯(lián)在大大擴展信息資源共享空間的同時，也將其自身暴露在更多危險攻擊之下。信息系統(tǒng)也同樣承擔著非法接入、非法訪問、病毒傳播等風險。網(wǎng)絡(luò)層面的安全屏障主要有:(1)路由策略。由于信息系統(tǒng)的網(wǎng)絡(luò)大部線路是基于公網(wǎng)的VPN通道，因此在出口處的VPN設(shè)備必然要與公網(wǎng)連接，為防止來自公網(wǎng)的非法訪問，內(nèi)網(wǎng)用戶的IP地址使用了RFC1918所定義的私有網(wǎng)絡(luò)地址，這種地址外部用戶不能夠直接訪問，同時連接外網(wǎng)的VPN設(shè)備也不把到公網(wǎng)的路由廣播到內(nèi)部網(wǎng)絡(luò)。這樣可以保證內(nèi)網(wǎng)用戶和外網(wǎng)用戶雙方都無法直接互相訪問。(2)防火墻訪問控制。在中心平臺和每個地市中心節(jié)點都安裝了一臺做訪問控制的防火墻，這臺防火墻只允許內(nèi)部數(shù)據(jù)通過，任何內(nèi)外之間的直接訪問都會被防火墻所隔離，有效的防止了外部非法訪問。(3)多層面用戶身份認證。在網(wǎng)絡(luò)上用戶的合法性和該用戶擁有的合法權(quán)限均通過多個層面的身份認證系統(tǒng)來確認，這些認證包括VPN密鑰認證、Radius身份認證、終端設(shè)備和數(shù)字密鑰身份認證、業(yè)務(wù)系統(tǒng)登錄認證等。如果黑客想要冒充合法用戶進入時，由于沒有密鑰口令，連接請求將會被拒絕。網(wǎng)絡(luò)最終要做到每個用戶在信息中心登記后分配給其單獨的用戶名和口令，并定期更新口令。為了加強對用戶的身份認證，還在應(yīng)用層上對用戶所持有的數(shù)字密鑰進行驗證，只有各方面信息完全吻合的用戶才能被認定為合法用戶，授予登錄訪問權(quán)限。而且因采用分層管理，合法用戶也無法訪問到與其無關(guān)的服務(wù)內(nèi)容。(4)使用訪問列表控制非法連接。訪問控制列表是應(yīng)用在路由器接口的指令列表，這些指令列表可以控制路由器的數(shù)據(jù)接收。通過靈活地增加訪問控制列表，可以過濾流入和流出路由器接口的數(shù)據(jù)包。(5)設(shè)置網(wǎng)絡(luò)防病毒系統(tǒng)。在系統(tǒng)中部署了網(wǎng)絡(luò)防病毒軟件，在省數(shù)據(jù)中心設(shè)置了一臺防病毒根服務(wù)器，在各地市中心設(shè)置防病毒分支服務(wù)器。網(wǎng)絡(luò)管理員只要定期升級根服務(wù)器，全省的防病毒軟件客戶端就可以通過分支的防病毒服務(wù)器隨時自動進行升級。(6)通過訪問控制隔斷病毒傳播途徑。多數(shù)病毒的傳播途徑都是有規(guī)律可循的。當某種病毒流傳時，根據(jù)其網(wǎng)絡(luò)傳播特點，在網(wǎng)絡(luò)路由轉(zhuǎn)發(fā)設(shè)備上制定相應(yīng)的訪問控制列表，就可將病毒控制在最小范圍內(nèi)來處理，而不會大面積傳播。

3應(yīng)用層面和數(shù)據(jù)層面

應(yīng)用和數(shù)據(jù)兩個層面的風險主要有:非法用戶(入侵者)對網(wǎng)絡(luò)進行探測掃描、通過攻擊程序?qū)?yīng)用層主機的漏洞進行攻擊、使服務(wù)器超負荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。由于系統(tǒng)采用的是基于公網(wǎng)的VPN技術(shù)，信息需要通過公網(wǎng)傳輸，在公網(wǎng)上，信息有可能會被人截獲，造成信息泄漏或數(shù)據(jù)被修改后再發(fā)送，從而造成數(shù)據(jù)破壞。用于數(shù)據(jù)層面的屏障主要有:(1)在通過公網(wǎng)建立VPN連接時，所有傳輸數(shù)據(jù)都經(jīng)過加密，以防止在傳輸過程中被竊聽或篡改。(2)防止非法用戶進入并攻擊系統(tǒng)。首先是防止非法用戶連接到內(nèi)部網(wǎng)絡(luò)，具體措施已在前面網(wǎng)絡(luò)層面論述。而對已經(jīng)連接到內(nèi)部網(wǎng)絡(luò)中的非法用戶，要防止其對服務(wù)器進行攻擊。解決此問題的措施主要有:①對關(guān)鍵服務(wù)器采用負載均衡交換機進行端口映射。負載均衡交換機對訪問沒有進行映射端口的數(shù)據(jù)包直接丟棄，使針對服務(wù)器的端口掃描和漏洞攻擊無效，使非法用戶無法遠程對服務(wù)器進行直接訪問，也就不能發(fā)起直接攻擊;②入侵檢測系統(tǒng)隨時對入侵行為進行報警和記錄。在數(shù)據(jù)中心和各地市中心都配置了入侵檢測系統(tǒng)，隨時監(jiān)控著網(wǎng)絡(luò)上的數(shù)據(jù)流量，檢測到攻擊特征的數(shù)據(jù)后立即告警，以便迅速采取進一步的措施，同時也為事后審核及追查攻擊源頭提供參考;③使用漏洞掃描系統(tǒng)進行主動的安全防護。信息中心配備了便攜式的漏洞掃描系統(tǒng)，由管理員根據(jù)需要不定期的掃描系統(tǒng)內(nèi)服務(wù)器和網(wǎng)絡(luò)設(shè)備的漏洞，通過自身的主動監(jiān)測，發(fā)現(xiàn)系統(tǒng)漏洞并及時彌補，對網(wǎng)絡(luò)入侵做到防范于未然，同時建立系統(tǒng)安全報告，對整個系統(tǒng)的安全狀況提供客觀的評估標準。

篇（9）

1.2網(wǎng)絡(luò)安全檢測系統(tǒng)架構(gòu)網(wǎng)絡(luò)安全檢測系統(tǒng)架構(gòu)采用分級式設(shè)計，架構(gòu)圖如。分級設(shè)計網(wǎng)絡(luò)安全檢測系統(tǒng)具有降低單點失效的風險，同時還可以降低服務(wù)器負荷，在系統(tǒng)的擴容性、容錯性和處理速度上都具有更大的能力。

2系統(tǒng)功能設(shè)計

網(wǎng)絡(luò)安全檢測系統(tǒng)功能模塊化設(shè)計將系統(tǒng)劃分為用戶身份管理功能模塊、實時監(jiān)控功能模塊、軟件管理模塊、硬件管理模塊、網(wǎng)絡(luò)管理和文件管理。用戶身份管理功能模塊是實現(xiàn)對網(wǎng)絡(luò)用戶的身份識別和管理，根據(jù)用戶等級控制使用權(quán)限；實時監(jiān)控模塊對在線主機進行管理，采用UDP方式在網(wǎng)絡(luò)主機上的檢測程序發(fā)送監(jiān)控指令，檢測程序?qū)Ρ镜剡M行列表進行讀取，實時向服務(wù)器反饋信息；軟件管理模塊是將已知有威脅的軟件名稱、參數(shù)等納入管理數(shù)據(jù)庫，當用戶試圖應(yīng)用此軟件時，檢測系統(tǒng)會發(fā)出警告或者是拒絕應(yīng)用；硬件管理模塊對網(wǎng)絡(luò)中的應(yīng)用硬件進行登記，當硬件非法變更，系統(tǒng)將發(fā)出警告；網(wǎng)絡(luò)管理模塊將已知有威脅網(wǎng)絡(luò)IP地址納入管理數(shù)據(jù)庫，當此IP訪問網(wǎng)絡(luò)系統(tǒng)時，檢測系統(tǒng)會屏蔽此IP并發(fā)出警告；文件管理模塊，對被控計算機上運行的文件進行實時審計，當用戶應(yīng)用的文件與系統(tǒng)數(shù)據(jù)庫中非法文件記錄匹配，則對該文件進行自動刪除，或者提示用戶文件存在風險。

3數(shù)據(jù)庫設(shè)計

本文所設(shè)計的網(wǎng)絡(luò)安全檢測系統(tǒng)采用SQLServer作為數(shù)據(jù)庫，數(shù)據(jù)庫中建立主體表，其描述網(wǎng)絡(luò)中被控主機的各項參數(shù)，譬如編號、名稱、IP等；建立用戶表，用戶表中記錄用戶編號、用戶名稱、用戶等級等；建立網(wǎng)絡(luò)運行狀態(tài)表，其保存網(wǎng)絡(luò)運行狀態(tài)結(jié)果、運行狀態(tài)實際內(nèi)容等，建立軟件、硬件、信息表，表中包含軟件的名稱、版本信息、容量大小和硬件的配置信息等；建立軟件、網(wǎng)址黑名單，對現(xiàn)已發(fā)現(xiàn)的對網(wǎng)絡(luò)及主機具有威脅性的非法程序和IP地址進行記錄。

4系統(tǒng)實現(xiàn)

4.1用戶管理功能實現(xiàn)用戶管理功能是提供網(wǎng)絡(luò)中的用戶注冊、修改和刪除，當用戶登錄時輸出錯誤信息，則提示無此用戶信息。當創(chuàng)建用戶時，系統(tǒng)自動檢測注冊用戶是否出現(xiàn)同名，如出現(xiàn)同名則提示更改，新用戶加入網(wǎng)絡(luò)應(yīng)用后，網(wǎng)絡(luò)安全檢測系統(tǒng)會對該用戶進行系統(tǒng)審核，并將其納入監(jiān)管對象。系統(tǒng)對網(wǎng)絡(luò)中的用戶進行監(jiān)控，主要是對用戶的硬件資源、軟件資源、網(wǎng)絡(luò)資源等進行管控，有效保護注冊用戶的網(wǎng)絡(luò)應(yīng)用安全。

4.2實時監(jiān)控功能實現(xiàn)系統(tǒng)實時監(jiān)控功能需要能夠?qū)崟r獲取主機軟硬件信息，對網(wǎng)絡(luò)中用戶的軟件應(yīng)用、網(wǎng)站訪問、文件操作進行檢測，并與數(shù)據(jù)庫中的危險數(shù)據(jù)記錄進行匹配，如發(fā)現(xiàn)危險則提出警告，或者直接屏蔽危險。

4.3網(wǎng)絡(luò)主機及硬件信息監(jiān)控功能實現(xiàn)網(wǎng)絡(luò)主機及硬件信息監(jiān)控是對網(wǎng)絡(luò)中的被控計算機系統(tǒng)信息、硬件信息進行登記記錄，當硬件設(shè)備發(fā)生變更或者網(wǎng)絡(luò)主機系統(tǒng)發(fā)生變化，則安全檢測系統(tǒng)會啟動，告知網(wǎng)絡(luò)管理人員，同時系統(tǒng)會對網(wǎng)絡(luò)主機及硬件變更的安全性進行判定，如發(fā)現(xiàn)非法接入則進行警告并阻止連接網(wǎng)絡(luò)。

篇（10）

（1）個人信息的泄露。在網(wǎng)絡(luò)工程當中，對于系統(tǒng)硬件、軟件的相關(guān)維護工作還不夠完善，同時網(wǎng)絡(luò)通信當中的許多登錄系統(tǒng)需要借助遠程終端來完成，造成系統(tǒng)遠程終端和網(wǎng)絡(luò)用戶在用戶運用互聯(lián)網(wǎng)進入對應(yīng)系統(tǒng)時存在長遠的連接點，當信息在進行傳輸時，這些連接點很容易引起黑客對用戶的入侵以及攻擊，使得用戶信息被泄露，個人信息安全得不到保障。

（2）網(wǎng)絡(luò)通信結(jié)構(gòu)不完善。網(wǎng)間網(wǎng)的技術(shù)給網(wǎng)絡(luò)通信提供了技術(shù)基礎(chǔ)，用戶通過IP協(xié)議或TCP協(xié)議得到遠程授權(quán)，登錄相關(guān)互聯(lián)網(wǎng)系統(tǒng)，通過點與點連接的方式來進行信息的傳輸。然而，網(wǎng)絡(luò)結(jié)構(gòu)間卻是以樹狀形式進行連接的，當用戶受到黑客入侵或攻擊時，樹狀結(jié)構(gòu)為黑客竊聽用戶信息提供了便利。

（3）相關(guān)網(wǎng)絡(luò)維護系統(tǒng)不夠完善。網(wǎng)絡(luò)維護系統(tǒng)的不完善主要表現(xiàn)軟件系統(tǒng)的安全性不足，我們現(xiàn)在所使用的計算機終端主要是依靠主流操作系統(tǒng)，在長時間的使用下需下載一些補丁來對系統(tǒng)進行相關(guān)的維護，導致了軟件的程序被泄露。

2對于網(wǎng)絡(luò)通信中存在的信息安全問題的應(yīng)對方案

對于上述的種種網(wǎng)絡(luò)通信當中存在的信息安全問題，我們應(yīng)當盡快地采取有效的對策，目前主要可以從以下幾個方面入手：

（1）用戶應(yīng)當保護好自己的IP地址。黑客入侵或攻擊互聯(lián)網(wǎng)用戶的最主要目標。在用戶進行網(wǎng)絡(luò)信息傳輸時，交換機是進行信息傳遞的重要環(huán)節(jié)，因此，用戶可以利用對網(wǎng)絡(luò)交換機安全的嚴格保護來保證信息的安全傳輸。除此之外，對所使用的路由器進行嚴格的控制與隔離等方式也可以加強用戶所使用的IP地址的安全。

（2）對信息進行加密。網(wǎng)絡(luò)通信中出現(xiàn)的信息安全問題主要包括信息的傳遞以及存儲過程當中的安全問題。在這兩個過程當中，黑客通過竊聽傳輸時的信息、盜取互聯(lián)網(wǎng)用戶的相關(guān)資料、對信息進行惡意的篡改、攔截傳輸過程中的信息等等多種方法來對網(wǎng)絡(luò)通信當中信息的安全做出威脅?；ヂ?lián)網(wǎng)用戶如果在進行信息傳遞與存儲時，能夠根據(jù)具體情況選用合理的方法來對信息進行嚴格的加密處理，那么便可以有效地防治這些信息安全問題的產(chǎn)生。

（3）完善身份驗證系統(tǒng)。身份驗證是互聯(lián)網(wǎng)用戶進行網(wǎng)絡(luò)通信的首要步驟。在進行身份驗證時一般都需要同時具備用戶名以及密碼才能完成登錄。在驗證過程當中用戶需要注意的是要盡量將用戶名、密碼分開儲存，可以適當?shù)厥褂靡淮涡悦艽a，同時還可以利用安全口令等方法來保證身份驗證的安全。隨著科技的快速發(fā)展，目前一些指紋驗證、視網(wǎng)膜驗證等先進生物檢測方法也慢慢得到了運用，這給網(wǎng)絡(luò)通信信息安全提供了極大的保障。

篇（11）

一、校園網(wǎng)絡(luò)安全隱患綜合分析

1.物理層的安全問題

校園網(wǎng)需要各種設(shè)備的支持，而這些設(shè)備分布在各種不同的地方，管理困難。其中任何環(huán)節(jié)上的失誤都有可能引起校園網(wǎng)的癱瘓，如室外通信光纜、電纜等，分布范圍廣，不能封閉式管理;室內(nèi)設(shè)備也可能發(fā)生被盜、損壞等情況。

物理層的安全問題是指由于網(wǎng)絡(luò)設(shè)備的放置不合適或者防范措施不得力，使得網(wǎng)絡(luò)設(shè)備，光纜和雙絞線等遭受意外事故或人為破壞，造成校園網(wǎng)不能正常運行。物理安全是制訂校園網(wǎng)安全解決方案時首先應(yīng)考慮的問題。

2.系統(tǒng)和應(yīng)用軟件存在的漏洞威脅

在校園網(wǎng)中使用的操作系統(tǒng)和應(yīng)用軟件千差萬別，這些威脅，而且網(wǎng)絡(luò)用戶濫用某些共享軟件也會導致計算機可能成為黑客攻擊校園網(wǎng)的后門。

3.計算機病毒入侵和黑客攻擊

計算機病毒是校園網(wǎng)安全最大的威脅因素，有著巨大的破壞性。尤其是通過計算機網(wǎng)絡(luò)傳播的病毒，其傳播速度快、影響大、殺毒難等都不是單機病毒所能相比的。校園網(wǎng)在接入Internet后，便面臨著內(nèi)部和外部黑客雙重攻擊的危險，尤以內(nèi)部攻擊為主。由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，特別是在校學生，學校不能有效的規(guī)范和約束學生的上網(wǎng)行為，學生會經(jīng)常的監(jiān)聽或掃描學校網(wǎng)絡(luò)，因此來自內(nèi)部的安全威脅更難應(yīng)付。

4.內(nèi)部用戶濫用網(wǎng)絡(luò)資源

校園網(wǎng)內(nèi)部用戶對校園網(wǎng)資源的濫用，有的校園網(wǎng)用戶利用校園網(wǎng)資源提供視頻、音頻、軟件等資源下載，占用了大量的網(wǎng)絡(luò)帶寬。特別是近幾年興起的BT、電騾等的泛濫使用占用了大量的網(wǎng)絡(luò)帶寬，給正常的校園網(wǎng)應(yīng)用帶來了極大的威脅。

二、采取安全控制策略

1.硬件安全策略

硬件安全是網(wǎng)絡(luò)安全最重要的部分，要保證校園網(wǎng)絡(luò)正常，首先要保證硬件能夠正常使用。通常情況下可采取的措施主要有:減少自然災害(如火災、水災、地震等)對計算機硬件及軟件資源的破壞，減少外界環(huán)境(如溫度、濕度、灰塵、供電系統(tǒng)、外界強電磁干擾等)對網(wǎng)絡(luò)信息系統(tǒng)運行可靠性造成的不良影響。

2.訪問控制策略

訪問控制方面的策略任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用或訪問。包括入侵監(jiān)測控制策略、服務(wù)器訪問控制策略、防火墻控制策略等多個方面的內(nèi)容。

(1)防火墻控制策略

防火墻控制策略維護網(wǎng)絡(luò)安全最重要的手段。防火墻是具有網(wǎng)絡(luò)安全功能的路由器，對網(wǎng)絡(luò)提供的服務(wù)和訪問定義，并實現(xiàn)更大的安全策略。它通常用來保護內(nèi)部網(wǎng)絡(luò)不受來自外部的非法或非授權(quán)侵入的邏輯裝置。

(2)入侵監(jiān)測控制策略

入侵監(jiān)測控制策略就是使用入侵監(jiān)測系統(tǒng)對網(wǎng)絡(luò)進行監(jiān)測。入侵檢測系統(tǒng)(IntrusionDetectionSystems)專業(yè)上講就是依照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。

(3)服務(wù)器訪問控制策略

服務(wù)器和路由器這樣的網(wǎng)絡(luò)基礎(chǔ)設(shè)備，避免非法入侵的有效方法是去掉不必要的網(wǎng)絡(luò)訪問，在所需要的網(wǎng)絡(luò)訪問周圍建立訪問控制。另外對用戶和賬戶進行必要的權(quán)限設(shè)置。一是要限制數(shù)據(jù)庫管理員用戶的數(shù)量和給用戶授予其所需要的最小權(quán)限。二是取消默認賬戶不需要的權(quán)限選擇合適的賬戶連接到數(shù)據(jù)庫。

3.病毒防護策略

病毒主要由數(shù)據(jù)破壞和刪除、后門攻擊、拒絕服務(wù)、垃圾郵件傳播幾種方式的對網(wǎng)絡(luò)進行傳播和破壞，照成線路堵塞和數(shù)據(jù)丟失損毀。那么建立統(tǒng)一的整體網(wǎng)絡(luò)病毒防范體系是對校園網(wǎng)絡(luò)整體有效防護的解決辦法。

4.不良信息的防護策略

Internet上存在大量的不良信息，校園網(wǎng)絡(luò)因為Internet連接，學生有可能無意中接觸這些信息而在校園網(wǎng)上傳播，造成惡劣的影響?？梢园惭b非法信息過濾系統(tǒng)，設(shè)置非法IP過濾和非法字段過濾有效屏蔽Internet上的不良信息。

5.建立安全評估策略

校園網(wǎng)絡(luò)安全不能僅僅依靠防火墻和其他網(wǎng)絡(luò)安全技術(shù)，而需要仔細考慮系統(tǒng)的安全需求，建立相應(yīng)的管理制度，并將各種安全技術(shù)與管理手段結(jié)合在一起，才能生成一個高效、通用、安全的校園網(wǎng)絡(luò)系統(tǒng)。使用安全評估工具是進行安全評估的一種手段，可以對各方面進行檢測和反饋信息收集，進而制定策略。

三、結(jié)束語

高校校園網(wǎng)絡(luò)的安全性越來越受到重視，網(wǎng)絡(luò)環(huán)境的復雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了高校校園的網(wǎng)絡(luò)不能僅僅依靠防火墻，而涉及到管理和技術(shù)等方方面面。需要仔細考慮系統(tǒng)的安全需求，建立相應(yīng)的管理制度，并將各種安全技術(shù)與管理手段結(jié)合在一起，才能生成一個高效、通用、安全的校園網(wǎng)絡(luò)系統(tǒng)。

參考文獻:

[1]KurousJF，KeithW.RossComputerNetworking[M].HigherEducationPressPearson，2003.653-657.

[2]張武軍，李雪安.高校校園網(wǎng)安全整體解決方式研究[J].電子科技，2006，(3):64-67.