信息網絡安全論文大全11篇

緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇信息網絡安全論文范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

2廣蓄電廠信息網絡安全建設

2.1網絡安全區域劃分

劃分安全區域是構建企業信息網絡安全的基礎，提高抗擊風險能力，提高可靠性和可維護性。廣蓄電廠內網劃分為網絡核心區、外聯接入區、IDC業務區、終端接入區。網絡核心區域是整個電廠信息網絡安全的核心，它主要負責全網信息數據的傳輸及交換、不同區域的邊界防護。這個區域一般包括核心交換機、核心路由器、防火墻及安全防護設備等。IDC業務區主要是各業務應用服務器設備所在區域，如企業門戶、OA系統、生產管理系統等各信息系統服務器。終端接入區即為終端設備（如：臺式機、筆記本電腦、打印機等）連入內網區域。

2.2二次安防體系建設

根據國家電監管委員會令第5號《電力二次系統安全防護規定》、34號《關于印發<電力二次系統安全防護總體方案>》的相關要求，電廠堅持按照二次安全防護體系原則建設：

（1）安全分區：根據安全等級的劃分，將廣蓄電廠網絡劃分為生產控制大區和管理信息大區，其中生產控制大區又劃分為實時控制Ⅰ區和非實時控制Ⅱ區。

（2）網絡專用：電力調度數據網在專用通道上使用獨立的網絡設備組網，采用SDH/PDH不同通道等方式跟調度、各電廠的生產業務相連接，在物理層面上與其他數據網及外部公共信息網安全隔離。對電廠的IP地址進行調整和統一互聯網出口，將生活區網絡和辦公網絡分離，加強對網絡的統一管理和監控。

（3）橫向隔離：在生產控制大區與管理信息大區之間部署經國家指定部門檢測認證的電力專用正反向安全隔離裝置。正向安全隔離裝置采用非網絡方式的單向數據傳輸，反向安全隔離裝置接收管理信息大區發向生產控制大區的數據，采用簽名認證、內容過濾等檢查處理，提高系統安全防護能力。

（4）縱向認證：廣蓄電廠生產控制大區與調度數據網的縱向連接進行了安全防護硬件的部署，包括縱向加密裝置、縱向防火墻等，并配置了相應的安全策略，禁用了高風險的網絡服務，實現雙向身份認證、數據加密和訪問控制。

2.3安全防護措施

（1）防火墻

在外聯接入區域同內網網絡之間設置了防火墻設備，并對防火墻制定了安全策略，對一些不安全的端口和協議進行限制。通過防火墻過濾進出網絡的數據，對內網的訪問行為進行控制和阻斷，禁止外部用戶進入內網網絡，訪問內部機器，使所有的服務器、工作站及網絡設備都在防火墻的保護下。

（2）口令加密和訪問控制

電廠對所有用戶終端采用準入控制技術，每個用戶都以實名注冊，需通過部門賬號申請獲得IP地址才能上局域網，并通過PKI系統對用戶訪問企業門戶、OA系統等業務系統進行訪問控制管理。在核心交換機中對重要業務部門劃分單獨的虛擬子網（VLAN），并使其在局域網內隔離，限制其他VLAN成員訪問，確保信息的保密安全。對電廠內部的網絡設備交換機、防火墻等，采用專機專用配置，并賦予用戶一定的訪問存取權限、口令等安全保密措施，建立嚴格的網絡安全日志和審查系統，定時對其進行審查分析，及時發現和解決網絡中發生的安全事故，有效地保護網絡安全。

（3）上網行為管理

上網行為管理設備直接串行部署在內網邊界區域，并制定了精細化的活動審計策略、應用軟件監控管理策略，監控及記錄用戶非法操作信息，實時掌握互聯網使用情況，防患于未然，通過上網行為管理設備進行互聯網網關控制。

（4）防病毒系統

在電廠的局域網內部署了Symantec防病毒系統。Symantec系統具有跨平臺的技術及強大功能，系統中心是中央管理控制臺。通過該管理控制臺集中管理運行SymantecAntiVirus企業版的服務器和客戶端；可以啟動和調度掃描，以及設置實時防護，從而建立并實施病毒防護策略，管理病毒定義文件的更新，控制活動病毒，管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。

（5）建立虛擬專網（VPN）系統

為保證網絡的安全，實現移動辦公，在核心網絡邊界區域部署了1臺VPN設備，并設置訪問條件和身份認證授權策略，如通過PKI系統進行身份認證和訪問授權后才能訪問電廠企業門戶系統、OA系統等。使用虛擬專網（VPN）系統，不僅滿足了電廠用戶遠程辦公需求，而且保證了電廠信息網絡及信息系統數據安全傳輸。

3信息網絡安全管理策略

俗話說：“三分技術，七分管理”，這在信息網絡安全管理方面也是適用的。事實上95%以上的計算機、網絡受到的攻擊事件和病毒侵害都是由于管理不善造成的。廣州蓄能水電廠作為國內一流的水力發電廠，頭頂上始終懸著一把信息網絡安全的達摩克利斯之劍。在推進信息化道路上，借鑒國內外企業對信息網絡安全管理的經驗，形成屬于自身發展的網絡安全管理策略。（1）建立完善的網絡信息安全管理制度。在信息網絡安全方面電廠成立專門的信息化安全小組，制定完善的信息安全規章制度，規范整個電廠對網絡及信息系統的使用。（2）建立完備的網絡與信息安全應急預案。電廠建立了一套應急預案體系，目的就是在發生緊急情況時，指導電廠的值班人員對突發事件及時響應并解決問題。（3）定期進行安全風險評估及加固。電廠每年進行安全風險評估分析，及時了解和掌握整個網絡的安全現狀，通過安全加固使得網絡安全系統更加健全。

篇（2）

企業信息網絡比較復雜和繁瑣，不僅包括受理人的資料，而且還有相關產品的詳細資料以及企業內部員工的資料等，信息網絡系統能否正常運行，直接關系到通訊企業發展的好與壞[1]。但是由于計算機網絡和信息技術不斷的發展，經常存在各種各樣的要素威脅著系統的安全，從而損壞甚至丟失內部的重要信息，從而影響通信企業內部正常的運作，最終導致一系列損失[2]。因此，對于通信企業信息網絡安全的控制刻不容緩，應該加大力度提高系統的安全性能。

1.信息網絡安全概述

信息網絡安全是指通過各種各樣的網絡技術手段，保證計算機在正常運行的過程中處于安全的狀態，避免硬件及軟件受到網絡相關的危險因素的干擾與破壞，同時還可以阻止一些危險程序對整個系統進行攻擊與破壞，從而將信息泄露和篡改等，最終保證信息網絡在互聯網的大環境中正常運行[3]。信息網絡安全的維護主要是以信息與數據的完整性與可控性作為核心，并且能夠通過用戶的操作，實現基本的應用目的。在信息網絡的安全維護中，主要包括兩個方面。一是設備安全，包括計算機系統的穩定、硬件實體的安全以及軟件的正常運行。二是信息安全，主要指的是數據的備份、數據庫的安全性等。

2.通信企業信息網絡面臨的主要安全威脅

2.1人為的惡意攻擊

目前信息網絡所面臨的最大的威脅和挑戰就是認為的惡意攻擊，人們采取各種各樣的方式對于信息進行選擇性的破壞和控制，從而造成機密信息的丟失和篡改。

2.2人為的無意失誤

通訊企業通過對專門的管理人員進行管理與培訓從而保證信息網絡系統的正常運行，在日常管理和培訓的過程中，會無意的使相應的措施處理不當，這是在所難免的，當工作人員因為自己的原因導致操作不當，會使信息網絡系統出現或多或少的漏洞，還有可能造成設備的損壞，這些都是由于人為的無意失誤造成的后果[4]。

2.3計算機病毒

由于計算機網絡的復雜性及聯系性，在工作過程中會盡可能的實現資源共享，因此所接收的結點會有很多。由于無法檢測每個結點是否是安全的，因此極容易造成系統的病毒感染。而一旦信息網絡受到病毒的感染后，病毒會在信息網絡中以非常快的速度進行再生并且傳染給其他系統，最終將波及整個網絡，后果將不堪設想[5]。

3.通信企業做好信息網絡工作的措施

3.1對內部網的訪問保護

（1）用戶身份認證。如果用戶想要進入網絡必須經過三個步驟即首先進行用戶名進行驗證，其次進行用戶口令進行驗證，最后依據用戶帳號進入網絡。在這三個步驟中最關鍵的操作就是用戶口令，用戶口令需要同時進行系統的加密從而保護網絡的安全，并且還應控制同一個賬戶同時登陸多個計算機的這種現象[6]。（2）權限控制。管理員及用戶在進入網絡前需要履行某一個任務因此必須遵守所謂的權限原則，這種控制方法可以有效的防止一些非法的用戶在一定時間內訪問網絡資源，從而從根本上阻斷這條途徑。在進行權限設置的過程中，一定要遵守一些原則，第一，一定要合理的設置網絡權限，確保網絡權限設置的準確性，不能因為所設置的權限從而影響了整個網絡的正常工作，影響了工作的整體效率；第二應該增加一些先進的合理的加密操作技術來減少病毒的入侵，從而從一定程度上保證網絡的正常運行，對網絡信息數據使用系統性的加密來確保網絡安全性和合理性，最終實現對計算機所有結點信息的實時保護。（3）加密技術。通過合理準確的數學函數轉換的方法對系統以密文的形式代替明文的現象稱之為數據加密，當數據加密后，只有特定的管理人員可以對其進行解密，在數據加密的過程中主要包含兩大類：對稱加密和不對稱加密。

3.2對內外網間的訪問保護

（1）安全掃描。互聯網互動過程中，及時的對計算機安全衛士和殺毒軟件等進行升級，以便及時的對流動數據包進行檢測，以便及時有效的對網絡中發現的木馬和病毒采取有效的防護措施。（2）防火墻系統。防火墻作為計算機網絡信息安全防護的第一道屏障，是一種加強網絡之間訪問控制，以此來決定網絡之間傳輸信息的準確性、真實性及安全性，對于計算機的安全與正常運行具有重要的意義[7]。（3）入侵檢測。計算機當中的病毒傳播的速度較快且危害性極大，為此應該對網絡系統進行病毒的預防及統一的、集中管理，采用防病毒技術及時有效的進行殺毒軟件系統的升級，以便對網絡互動中發現的木馬或病毒程序采取及時的防護措施。

3.3網絡物理隔離

在進行信息網絡安全控制的過程中不能單一的采用一種安全控制對其保護，而應該根據網絡的復雜性采取不同的安全策略加以控制，因此管理人員可以依據密保的等級的程度、各種功能的保護以及不同形式安全設施的水平等差異，通過網絡分段隔離的方式提高通信企業信息網絡安全。這樣的形式及控制方法將以往的錯綜復雜的控制體系轉變成為細化的安全控制體系，能夠對于各種惡意的攻擊和入侵所造成的危害降低到最小。我們通常所說的物理隔離是指能滿足物理隔離的安全性要求的、相對的物理隔離技術。物理隔離的原理是使單個用戶在同一時間、同一空間不能同時使用內部網和外部網兩個系統。如果兩個系統在空間上物理隔離，在不同的時間運行，那么就可以得到兩個完全物理隔離的系統[8]。

3.4安全審計及入侵檢測技術

安全審計技術對于整個信息網絡安全的控制起到了關鍵性作用，它可以針對不同的用戶其入侵的方式、過程以及活動進行系統精密的記錄，主要分為兩個階段即誘捕和反擊。誘捕是一種特異安排出現的漏洞，可以在一定程度允許入侵者在一定時間內侵入，以便在今后能夠獲得更多的入侵證據及入侵的特征；當獲得足夠多的特征及證據的基礎上開始進行反擊，通過計算機精密的系統對用戶的非法入侵的行為進行秘密跟蹤并且在較快的時間里查詢對方的身份以及來源，從而將系統與入侵者的連接切斷,還可追蹤定位并對攻擊源進行反擊。

3.5制定切實可行的網絡安全管理策略

要想使通信企業信息網絡安全正常運行其前提必須保證整個網絡系統的安全，必須針對網絡安全提出相應的安全策略，應該使信息網絡使用起來安全方便，從而尋找最方便有效的安全措施。在工作的過程中管理人員一定要熟知對于開放性和安全性的具體要求，并且在工作過程中試圖尋求兩者的共同點和平衡點，當兩者出現矛盾的時候應該考慮事情的實際情況有進行準確的取舍。對本網絡拓撲結構和能夠承受的安全風險進行評估，從網絡安全技術方面為保證信息基礎的安全性提供了一個支撐。

信息網絡的發展需要計算機技術具有跟高的要求，特別是針對通信企業的信息網絡安全的控制問題應該加以關注，這直接關系到整個企業的發展。信息網絡工程是一個巨大而又復雜的動態的系統工程，需要從多角度進行思索與探討從而進行綜合性的分析，才能選擇出更好地安全網絡設備，并且對其進行有針對的系統的優化，從而提高管理人員及工作人員的業務水平，最終全面提高整個通訊企業信息網絡安全。

作者:王春寶 于曉鵬 單位:吉林師范大學計算機學院

參考文獻

[1]盧昱.網絡控制論淺敘[J].裝備指揮技術學院學報,2002,3(6):60-64.

[2]王雨田,控制論、信息論、系統科學與哲學[M].北京:中國人民大學出版社,1986.

[3]南湘浩,陳鐘.網絡安全技術概論[M].北京:國防工業出版社,2003.

[4]涂華.醫院信息系統的網絡安全與防范[J].中山大學學報論叢,2011,04(12).

[5]王蕓《.電子商務法規》.高等教育出版社,2010年版.

篇（3）

1）計算機病毒。我們常說的計算機病毒，實際上就是一種對計算機各種數據進行份復制的程度代碼，它是利用按照程序的手段，對計算機系統系統進行破壞的，進而導致計算機出現問題，并無法使用。例如，蠕蟲病毒，它是一種比較常見的計算機病毒之一，它就是計算機本身為載體，如果計算機系統出現漏洞，它就會利用這些漏洞進行傳播，其傳播速度快，一旦潛入計算機內部，并不容易被發現，同時還具強大的破壞力，如果它與黑客技術相結合，那么對于計算機網絡信息安全的威脅會更大。

2）木馬程序和后門。“木馬程序”以及“后門”是近些年來逐漸興起的計算機病毒，“后門”最為顯著的特點就是，計算機被感染之后，管理人員無法對其加阻止，它會隨意進入計算機系統，并且種植者能夠很快潛入系統中，也不容易被發現，計算機技術的升級換代過程中，“木馬程序”也隨之更新，例如特洛伊木馬病毒，這種病毒還能夠黑客活動提供便利，同樣具有較強的隱蔽性。

3）外在環境影響和安全意識。除了影響計算機信息安全的因素之外，一些外部環境因素也會對其產生影響，例如，自然災害，計算機所在環境等等，另外，有大一部分的計算機使用者的安全防護意識弱，這就為惡意程序的入侵以及病毒攻擊提供了條件。

2計算機信息網絡安全管理的策略

1）漏洞掃描和加密。對計算機信息網絡進行安全管理的第一步就是，進行系統漏洞掃描并采取加密的措施。漏洞掃描需要借助相關的工具，在找到系統漏洞被發現之后，對其進行修復和優化，從而為計算機系統的安全性提供保障，而機密技術則是對文件進行加密處理的一種技術，簡單的說，就是對源文件加密之后，其會形成很多不可讀代碼，這些代碼必須要輸入特定的密碼之后，才能夠顯示出來，并進行使用。

2）防火墻的應用和入侵檢測。在計算機信息網絡系統中，防火墻是非常重要的一個部分，也是最為關鍵的一道防線，它不僅僅能夠保障內部系統順利進入外部系統，還能夠有效阻止外部可以程序入侵內部網絡。為計算機病毒以及各種惡意程序的入侵，都會對計算機系統造成影響和破壞，從而對計算機信息網絡帶來威脅。因此做好計算機網絡安全管理工作，是非常必要的。了保障這樣的管理效果，管理人員首先就應該做好數據包的控制工作。然后對所有能夠進入防火墻的信息給與通過，入侵檢測技術是指通過檢測違反計算機網絡安全信息的技術。當系統被入侵時，及時記錄和檢測，并對不能進行的活動加以限制，從而對計算機系統進行有效防護。

3）網絡病毒防范和反病毒系統。反病毒系統是指禁止打開來歷不明的郵件，計算機相關技術人員根據對計算機病毒的了解進行與之相應的反病毒設計，從而促進計算機安全運行。近年來，互聯網病毒傳播途徑越來越多，擴散速度也日益增快，傳統的單機防止病毒技術已經不能滿足互聯網絡的要求。因此，有效利用局域網全面進行病毒防治工作勢在必行。

篇（4）

二、可信網絡國內外研究

（一）可信網絡國外研究

在可信網絡的研究中，Clark等學者在NewArch項目的研究中提出了“信任調節透明性”(trust-modulatedtransparency)原則，他們期望在現實社會的互相信任關系能夠反映在網絡上。基于雙方用戶的信任需求，網絡可以提供一定范圍的服務，如果雙方彼此完全信任，則他們的交流將是透明化、沒有約束的，如果不是則需要被檢查甚至是被約束。美國高級研究計劃局出的CHAT(compostablehigh-Assurancetrustworthysystems)項目研究了在指定條件下運行如何開發出可快速配置的高可信系統及網絡來滿足關鍵的需求，其中包含了安全性、可生存性、可靠性、性能和其他相關因素。TRIAD(trustworthyrefinementthroughintrusion-awaredesign)項目研究了以策略為中心的入校檢測模型，他們利用模型去提高網絡系統的可信性。但因為網絡有著復雜基于信息異化下的信息安全中可信網絡分析研究柳世豫，郭東強摘要：互聯網逐漸成為我們生活中不可或缺的同時，其弊端也開始出現。未來網絡應該是可信的，這一觀點已成為業界共性的特點，如何構建可信網絡是需要研究的。因此TCG先進行較為簡單的可信網絡連接問題。它將可信計算機制延伸到網絡的技術，在終端連入網絡前，開始進行用戶的身份認證;若用戶認證通過，再進行終端平臺的身份認證；若終端平臺的身份認證也通過，最后進行終端平臺的可信狀態度量，若度量結果滿足網絡連入的安全策略，將允許終端連入網絡，失敗則將終端連入相應隔離區域，對它進行安全性補丁和升級。TNC是網絡接入控制的一種實現方式，是相對主動的一種網絡防御技術，它能夠防御大部分的潛在攻擊并且在他們攻擊前就進行防御。2004年5月TCG成立了可信網絡連接分組(trustednetworkconnectionsubgroup)，主要負責研究及制定可信網絡連接TNC(trustednetworkconnection)框架及相關的標準。2009年5月，TNC了TNC1.4版本的架構規范，實現以TNC架構為核心、多種組件之間交互接口為支撐的規范體系結構，實現了與Microsoft的網絡訪問保護(networkaccessprotection,NAP)之間的互操作，他們將相關規范起草到互聯網工程任務組(internationalengineertaskforce,IETF)的網絡訪問控制(networkaccesscontrol,NAC)規范中。如今已有許多企業的產品使用TNC體系結構，如ExtremeNetworks,HPProCureve,JuniperNetworks,OpSwat,Patchlink,Q1Labs,StillSecure,WaveSystems等。

（二）可信網絡國內研究

我國也有學者進行了可信網絡的研究。林闖等進行了可信網絡概念研究以及建立相關模型，提出網絡可信屬性的定量計算方法。期望基于網絡體系結構自身來改善信息安全的方式來解決網絡脆弱性問題，通過保護網絡信息中的完整性、可用性、秘密性和真實性來保護網絡的安全性、可控性以及可生存性。利用在網絡體系結構中的信任機制集成，使安全機制增強，在架構上對可信網絡提出了相關設計原則。閔應驊認為能夠提供可信服務的網絡是可信網絡，并且服務是可信賴和可驗證的。這里的可信性包括健壯性、安全性、可維護性、可靠性、可測試性與可用性等。TNC進行設計過程中需要考慮架構的安全性，同時也要考慮其兼容性，在一定程度上配合現有技術，因此TNC在優點以外也有著局限性。TNC的突出優點是安全性和開放性。TNC架構是針對互操作的，向公眾開放所有規范，用戶能夠無償獲得規范文檔。此外，它使用了很多現有的標準規范，如EAP、802.1X等，使得TNC可以適應不同環境的需要，它沒有與某個具體的產品進行綁定。TNC與NAC架構、NAP架構的互操作也說明了該架構的開放性。NC的擴展是傳統網絡接入控制技術用戶身份認證的基礎上增加的平臺身份認證以及完整性驗證。這使得連入網絡的終端需要更高的要求，但同時提升了提供接入的網絡安全性。雖然TNC具有上述的優點，但是它也有一定的局限性：

1.完整性的部分局限。TNC是以完整性為基礎面對終端的可信驗證。但這種可信驗證只能保證軟件的靜態可信，動態可信的內容還處于研究中。因此TNC接入終端的可信還處于未完善的階段。

2.可信評估的單向性。TNC的初衷是確保網絡安全，在保護終端的安全上缺乏考慮。終端在接入網絡之前，在提供自身的平臺可信性證據的基礎上，還需要對接入的網絡進行可信性評估，否則不能確保從網絡中獲取的服務可信。

3.網絡接入后的安全保護。TNC只在終端接入網絡的過程中對終端進行了平臺認證與完整性驗證，在終端接入網絡之后就不再對網絡和終端進行保護。終端平臺有可能在接入之后發生意外的轉變，因此需要構建并加強接入后的控制機制。在TNC1.3架構中增加了安全信息動態共享，在一定程度上增強了動態控制功能。

4.安全協議支持。TNC架構中，多個實體需要進行信息交互，如TNCS與TNCC、TNCC與IMC、IMV與TNCS、IMC與IMV，都需要進行繁多的信息交互，但TNC架構并沒有給出相對應的安全協議。

5.范圍的局限性。TNC應用目前局限在企業內部網絡，難以提供多層次、分布式、電信級、跨網絡域的網絡訪問控制架構。在TNC1.4架構中增加了對跨網絡域認證的支持，以及對無TNC客戶端場景的支持，在一定程度上改善了應用的局限性。我國學者在研究分析TNC的優缺點的同時結合中國的實際情況，對TNC進行了一些改進，形成了中國的可信網絡連接架構。我國的可信網絡架構使用了集中管理、對等、三元、二層的結構模式。策略管理器作為可信的第三方，它可以集中管理訪問請求者和訪問控制器，網絡訪問控制層和可信平臺評估層執行以策略管理器為基礎的可信第三方的三元對等鑒別協議，實現訪問請求者和訪問控制器之間的雙向用戶身份認證和雙向平臺可信性評估。該架構采用國家自主知識產權的鑒別協議，將訪問控制器以及訪問請求者作為對等實體，通過策可信第三方的略管理器，簡化了身份管理、策略管理和證書管理機制，同時進行終端與網絡的雙向認證，提供了一種新思路。在國家“863”計劃項目的支持下，取得了如下成果:

（1）在對TNC在網絡訪問控制機制方面的局限性進行研究分析后，同時考慮可信網絡連接的基本要求，提出了一種融合網絡訪問控制機制、系統訪問控制機制和網絡安全機制的統一網絡訪問控制LTNAC模型，對BLP模型進行動態可信性擴展，建立了TE-BLP模型，期望把可信度與統一網絡訪問控制模型結合起來。

（2）通過研究獲得了一個完整的可信網絡連接原型系統。該系統支持多樣認證方式和基于完整性挑戰與完整性驗證協議的遠程證明，來實現系統平臺間雙向證明和以遠程證明為基礎的完整性度量器和驗證器，最后完成可信網絡連接的整體流程。

三、可信網絡模型分析

（一）網絡與用戶行為的可信模型

可信是在傳統網絡安全的基礎上的拓展:安全是外在的表現形式，可信則是進行行為過程分析所得到的可度量的一種屬性。如何構建高效分析刻畫網絡和用戶行為的可信模型是理解和研究可信網絡的關鍵。這是目前網絡安全研究領域的一個新共識。構建網絡和用戶的可信模型的重要性體現于:它只準確而抽象地說明了系統的可信需求卻不涉及到其他相關實現細節，這使得我們能通過數學模型分析方法去發現系統在安全上的漏洞。可信模型同時也是系統進行研發的關鍵步驟，在美國國防部的“可信計算機系統的評價標準(TCSEC)”中，從B級階段就需要對全模型進行形式化描述和驗證，以及形式化的隱通道分析等。我們還需要可信模型的形式化描述、驗證和利用能夠提高網絡系統安全的可信度。最后，構建理論來說明網絡的脆弱性評估和用戶遭受攻擊行為描述等的可信評估，這是實現系統可信監測、預測和干預的前提，是可信網絡研究的理論所有基礎。完全安全的網絡系統目前還無法實現，因此網絡脆弱性評估的最終目的不是完全消除脆弱性，而是找到一個解決方案，讓系統管理員在“提供服務”和“保證安全”之間找到平衡，主動檢測在攻擊發生之前，如建立攻擊行為的設定描述，通過在用戶中區分隱藏的威脅，以可信評估為基礎上進行主機的接入控制。傳統檢測多為以規則為基礎的局部檢測，它很難進行整體檢測。但我們現有的脆弱性評估工具卻絕大多數都是傳統基于規則的檢測工具，頂多對單一的主機的多種服務進行簡陋的檢查，對多終端構建的網絡進行有效評估還只能依靠大量人力。以模型為基礎的模式為整個系統建立一個模型，通過模型可取得系統所有可能發生的行為和狀態，利用模型分析工具測試，對整個系統的可信性評估。圖2說明了可信性分析的元素。網絡行為的信任評估包括行為和身份的信任，而行為可信又建立在防護能力、信任推薦、行為記錄、服務能力等基礎之上。

（二）可信網絡的體系結構

互聯網因技術和理論的不足在建立時無法考量其安全周全，這是網絡脆弱性的一個重要產生因素。但是如今很多網絡安全設計卻常常忽略網絡體系的核心內容，大多是單一的防御、單一的信息安全和補丁補充機制，遵從“堵漏洞、作高墻、防外攻”的建設樣式，通過共享信息資源為中心把非法侵入者拒之門外，被動的達到防止外部攻擊的目的。在黑客技術日漸復雜多元的情況下，冗長的單一防御技術讓系統規模龐大，卻降低了網絡性能，甚至破壞了系統設計的開放性、簡單性的原則。因此這些被動防御的網絡安全是不可信的，所以從結構設計的角度減少系統脆弱性且提供系統的安全服務特別重要。盡管在開放式系統互連參考模型的擴展部分增加了有關安全體系結構的描述，但那只是不完善的概念性框架。網絡安全不再只是信息的可用性、機密性和完整性，服務的安全作為一個整體屬性被用戶所需求，因此研究人員在重新設計網絡體系時需考慮從整合多種安全技術并使其在多個層面上相互協同運作。傳統的補丁而補充到網絡系統上的安全機制已經因為單個安全技術或者安全產品的功能和性能使得它有著極大地局限性，它只能滿足單一的需求而不是整體需求，這使得安全系統無法防御多種類的不同攻擊，嚴重威脅這些防御設施功效的發揮。如入侵檢測不能對抗電腦病毒，防火墻對術馬攻擊也無法防范。因為如此，網絡安全研究的方向開始從被動防御轉向了主動防御，不再只是對信息的非法封堵，更需要從訪問源端就進行安全分析，盡量將不信任的訪問操作控制在源端達到攻擊前的防范。因此我們非常需要為網絡提供可信的體系結構，從被動轉向主動，單一轉向整體。可信網絡結構研究必須充分認識到網絡的復雜異構性，從系統的角度確保安全服務的一致性。新體系結構如圖3所示，監控信息(分發和監測)以及業務數據的傳輸通過相同的物理鏈路，控制信息路徑和數據路徑相互獨立，這樣監控信息路徑的管理不再只依賴于數據平面對路徑的配置管理，從而可以建立高可靠的控制路徑。其形成的強烈對比是對現有網絡的控制和管理信息的傳輸，必須依賴由協議事先成功設置的傳輸路徑。

（三）服務的可生存性

可生存性在特定領域中是一種資源調度問題，也就是通過合理地調度策略來進行服務關聯的冗余資源設計，通過實時監測機制來監視調控這些資源的性能、機密性、完整性等。但網絡系統的脆弱性、客觀存在的破壞行為和人為的失誤，在網絡系統基礎性作用逐漸增強的現實，確保網絡的可生存性就有著重要的現實意義。由于當時技術與理論的不足，使得網絡存在著脆弱性表現在設計、實現、運行管理的各個環節。網絡上的計算機需要提供某些服務才能與其他計算機相互通信，其脆弱性在復雜的系統中更加體現出來。除了人為疏忽的編程錯誤，其脆弱性還應該包含網絡節點的服務失誤和軟件的不當使用和網絡協議的缺陷。協議定義了網絡上計算機會話和通信的規則，若協議本身就有問題，無論實現該協議的方法多么完美，它都存在漏洞。安全服務是網絡系統的關鍵服務，它的某個部分失去效用就代表系統會更加危險，就會導致更多服務的失控甚至是系統自身癱瘓。因此必須將這些關鍵服務的失效控制在用戶許可的范圍內。可生存性的研究必須在獨立于具體破壞行為的可生存性的基本特征上進行理論拓展，提升系統的容錯率來減少系統脆弱性，將失控的系統控制在可接受范圍內，通過容侵設計使脆弱性被非法入侵者侵入時，盡可能減少破壞帶來的影響，替恢復的可能性創造機會。

（四）網絡的可管理性

目前網絡已成為一個復雜巨大的非線性系統，具有規模龐大、用戶數量持續增加、業務種類繁多、協議體系復雜等特點。這已遠超設計的初衷，這讓網絡管理難度加大。網絡的可管理性是指在內外干擾的網絡環境情況下，對用戶行為和網絡環境持續的監測、分析和決策，然后對設備、協議和機制的控制參數進行自適應優化配置，使網絡的數據傳輸、用戶服務和資源分配達到期望的目標。現有網絡體系結構的基礎上添加網絡管理功能，它無法實現網絡的有效管理，這是因為現有的網絡體系與管理協議不兼容。可信網絡必須是可管理的網絡，網絡的可管理性對于網絡的其他本質屬性，如安全性、普適性、魯棒性等也都有著重要的支撐作用。“網絡管理”是指對網絡情況持續進行監測，優化網絡設備配置并運行參數的過程，包括優化決策和網絡掃描兩個重要方面。研究管理性是通過改善網絡體系中會導致可管理性不足的設計，達到網絡可管理性，實現網絡行為的可信姓，再解決網絡本質問題如安全性、魯棒性、普適性、QoS保障等，提供支撐，使網絡的適應能力加強。

四、結論

綜上所述，互聯網有著復雜性和脆弱性等特征，當前孤立分散、單一性的防御、系統補充的網絡安全系統己經無法應對具有隱蔽多樣可傳播特點的破壞行為，我們不可避免系統的脆弱性，可以說網絡正面臨重要的挑戰。我國網絡系統的可信網絡研究從理論技術上來說還處于初級階段，缺乏統一的標準，但是它己經明確成為國內外信息安全研究的新方向。隨著大數據的到來，全球的頭腦風暴讓信息技術日新月異，新技術帶來的不只有繁榮，同時也帶來異化。昨日的技術已經無法適應今日的需求，從以往的例子中可以得知信息安全的災難是廣泛的、破壞性巨大、持續的，我們必須未雨綢繆并且不停地發展信息安全的技術與制度來阻止悲劇的發生。信息異化帶來的信息安全問題是必不可免的，它是網絡世界一個嚴峻的挑戰，對于可信網絡的未來我們可以從安全性、可控性、可生存性來創新發展，新的防御系統將通過冗余、異構、入侵檢測、自動入侵響應、入侵容忍等多種技術手段提高系統抵抗攻擊、識別攻擊、修復系統及自適應的能力，從而達到我們所需的實用系統。可以通過下述研究方向來發展可信網絡：

（一）網絡系統區別于一般系統的基本屬性

之一是復雜性，網絡可信性研究需要通過宏觀與微觀上對網絡系統結構屬性的定性，定量刻畫，深入探索網絡系統可靠性的影響，這樣才能為網絡可信設計、改進、控制等提供支持。因此，以復雜網絡為基礎的可信網絡會成為一個基礎研究方向。

（二）網絡系統區別于一般系統的第二個重要屬性

是動態性，其包含網絡系統歷經時間的演化動態性和網絡失去效用行為的級聯動態性。如今，學術上對可信網絡靜態性研究較多，而動態性研究較少，這無疑是未來可信網絡研究的一大方向。

篇（5）

可以從不同角度對網絡安全作出不同的解釋。一般意義上，網絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認證、不可否認性、授權和訪問控制。

當今社會，通信網絡的普及和演進讓人們改變了信息溝通的方式，通信網絡作為信息傳遞的一種主要載體，在推進信息化的過程中與多種社會經濟生活有著十分緊密的關聯。這種關聯一方面帶來了巨大的社會價值和經濟價值，另一方面也意味著巨大的潛在危險--一旦通信網絡出現安全事故，就有可能使成千上萬人之間的溝通出現障礙，帶來社會價值和經濟價值的無法預料的損失。

3通信網絡安全現狀

互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間，網絡技術的迅速發展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯網的上述特性，產生了許多安全問題。

計算機系統及網絡固有的開放性、易損性等特點使其受攻擊不可避免。

計算機病毒的層出不窮及其大范圍的惡意傳播，對當今日愈發展的社會網絡通信安全產生威脅。

現在企業單位各部門信息傳輸的的物理媒介，大部分是依靠普通通信線路來完成的，雖然也有一定的防護措施和技術，但還是容易被竊取。

通信系統大量使用的是商用軟件，由于商用軟件的源代碼，源程序完全或部分公開化，使得這些軟件存在安全問題。

4通信網絡安全分析

針對計算機系統及網絡固有的開放性等特點，加強網絡管理人員的安全觀念和技術水平，將固有條件下存在的安全隱患降到最低。安全意識不強，操作技術不熟練，違反安全保密規定和操作規程，如果明密界限不清，密件明發，長期重復使用一種密鑰，將導致密碼被破譯，如果下發口令及密碼后沒有及時收回，致使在口令和密碼到期后仍能通過其進入網絡系統，將造成系統管理的混亂和漏洞。為防止以上所列情況的發生，在網絡管理和使用中，要大力加強管理人員的安全保密意識。

軟硬件設施存在安全隱患。為了方便管理，部分軟硬件系統在設計時留有遠程終端的登錄控制通道，同時在軟件設計時不可避免的也存在著許多不完善的或是未發現的漏洞(bug)，加上商用軟件源程序完全或部分公開化，使得在使用通信網絡的過程中，如果沒有必要的安全等級鑒別和防護措施，攻擊者可以利用上述軟硬件的漏洞直接侵入網絡系統，破壞或竊取通信信息。

傳輸信道上的安全隱患。如果傳輸信道沒有相應的電磁屏蔽措施，那么在信息傳輸過程中將會向外產生電磁輻射，從而使得某些不法分子可以利用專門設備接收竊取機密信息。

另外，在通信網建設和管理上，目前還普遍存在著計劃性差。審批不嚴格，標準不統一，建設質量低，維護管理差，網絡效率不高，人為因素干擾等問題。因此，網絡安全性應引起我們的高度重視。

5通信網絡安全維護措施及技術

當前通信網絡功能越來越強大，在日常生活中占據了越來越重要的地位，我們必須采用有效的措施，把網絡風險降到最低限度。于是，保護通信網絡中的硬件、軟件及其數據不受偶然或惡意原因而遭到破壞、更改、泄露，保障系統連續可靠地運行，網絡服務不中斷，就成為通信網絡安全的主要內容。

為了實現對非法入侵的監測、防偽、審查和追蹤，從通信線路的建立到進行信息傳輸我們可以運用到以下防衛措施：“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網絡系統權限分級，權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽，從而達到網絡分級機制的效果;“網絡授權”通過向終端發放訪問許可證書防止非授權用戶訪問網絡和網絡資源;“數據保護”利用數據加密后的數據包發送與訪問的指向性，即便被截獲也會由于在不同協議層中加入了不同的加密機制，將密碼變得幾乎不可破解;“收發確認”用發送確認信息的方式表示對發送數據和收方接收數據的承認，以避免不承認發送過的數據和不承認接受過數據等而引起的爭執;“保證數據的完整性”，一般是通過數據檢查核對的方式達成的，數據檢查核對方式通常有兩種，一種是邊發送接收邊核對檢查，一種是接收完后進行核對檢查;“業務流分析保護”阻止垃圾信息大量出現造成的擁塞，同時也使得惡意的網絡終端無法從網絡業務流的分析中獲得有關用戶的信息。

為了實現實現上述的種種安全措施，必須有技術做保證，采用多種安全技術，構筑防御系統，主要有：

防火墻技術。在網絡的對外接口采用防火墻技術，在網絡層進行訪問控制。通過鑒別，限制，更改跨越防火墻的數據流，來實現對網絡的安全保護，最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制，防止Internet上的不安全因素蔓延到局域網內部，所以，防火墻是網絡安全的重要一環。

入侵檢測技術。防火墻保護內部網絡不受外部網絡的攻擊，但它對內部網絡的一些非法活動的監控不夠完善，IDS（入侵檢測系統）是防火墻的合理補充，它積極主動地提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵，提高了信息安全性。

網絡加密技術。加密技術的作用就是防止公用或私有化信息在網絡上被攔截和竊取，是網絡安全的核心。采用網絡加密技術，對公網中傳輸的IP包進行加密和封裝實現數據傳輸的保密性、完整性，它可解決網絡在公網上數據傳輸的安全性問題也可解決遠程用戶訪問內網的安全問題。

身份認證技術。提供基于身份的認證，在各種認證機制中可選擇使用。通過身份認證技術可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。

虛擬專用網(VPN)技術。通過一個公用網(一般是因特網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等跟公司的內網連接起來，構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在，仿佛所有的機器都處于一個網絡之中。

篇（6）

2對企業辦公網絡安全造成威脅的因素

對辦公網絡的信息安全實施有效的保護有著非常重要的意義，但同時也存在著一定的難度。由于網絡技術自身存在很多不足，如系統安全性保障不足。沒有安全性的實踐等，而使得辦公網絡不堪一擊。除了自然災害會給辦公網絡埋下巨大的安全隱患外，還有計算機犯罪、黑客攻擊等因素也是影響網絡信息安全的不穩定因素。

2.1自然災害造成的威脅

從本質上來說，企業辦公網絡的信息系統就是一臺機器，根本不具備抵御自然災害、溫度、濕度等環節因素影響的能力，再加上防護措施的欠缺，必然會加大自然災害和環境對辦公網絡信息的威脅。最常見的就是斷電而造成的影響，會使得正處于運行狀態中的設備受到損害或者導致數據丟失等情況的發生。

2.2網絡軟件漏洞造成的威脅

一般來說，網絡軟件自身就存在著一些不可避免的漏洞，而給黑客攻擊提供了便利，黑客會利用這些軟件漏洞對網絡實施攻擊，在常見的案例中，網絡安全受到攻擊的主要原因就是由于網絡軟件不完善。還有一些軟件編程人員，為了自身使用方便而設置“后門”，一旦這些“后門”被不法分子找到，將會造成不可預料的后果。

2.3黑客造成的威脅

辦公網絡信息安全遭受黑客攻擊的案例數不勝數，這些黑客利用各種計算機工具，對自己所掌握的系統和網絡缺陷下手，從而盜取、竊聽重要信息，或者攻擊系統中的重要信息，甚至篡改辦公網絡中的部分信息，而造成辦公網絡癱瘓，給企業造成嚴重的損失。

2.4計算機病毒造成的威脅

計算機病毒會以極快的速度蔓延，而且波及的范圍也非常廣，一旦爆發計算機病毒將會造成不可估計的損失。計算機病毒無影無形，以依附于其他程序的形式存在，隨著程序的運行進一步侵入系統，并迅速擴散。一旦辦公網絡被病毒入侵，會降低工作效率，甚至導致系統死機，數據丟失等嚴重情況的發生。

3如何加強辦公網絡中的網絡安全

3.1數據加密

數據加密技術指的是通過加密鑰匙和加密函數轉化，將信息處理成為無意義的密文。而接收方再通過解密鑰匙和解密函數，將密文還原成為明文。加密技術是網絡安全技術的基石。加密的原理就是改變數據的表現形式，而目的就是確保密文只能被特定的人所解讀。一個加密網絡，不僅可以實現對非授權用戶的搭線竊聽和入網的阻攔，而且還能有效的防止惡意軟件的入侵。一般的數據加密可以在通信的三個層次來實現，分別是鏈路加密、節點加密和端到端加密。

3.2建立網絡管理平臺

現階段，隨著網絡系統的不斷擴大，越來越多的技術也應用到網絡安全當中，常見的技術主要有防火墻、入侵檢測、防病毒軟件等。但不足的就是這些系統都處于獨立地工作狀態，要保證網絡安全以及網絡資源能夠被充分利用，應當為其提供一個經濟安全、可靠高效、功能完善的網絡管理平臺來實現對這些網絡安全設備的綜合管理，使其能夠充分發揮應有的功能。

篇（7）

隨著電腦的普及，計算機技術已并沒有向早年想象的那么遙遠。幾乎每個人都知道一些最基本的電腦維護的知識，對于生活在高校的學生們就更不用說了。幾乎每所高校都有其自身的網絡體系，無論是無線網絡還是有線網絡。有了網絡的幫助后老師可以提高課堂內容的豐富度，不必拘匿與灌輸死板的概念內容，而是靈活的動態模式，這樣才能更好的激發學生的學習興趣。在大家看來每所高校所關心的安全領域問題是大致相同的，無論是在哪方面，無疑就是網絡是否暢通，上網是否安全，網絡是否可以抵御黑客攻擊，上網是我們的賬號是否存在風險等問題。

1.2校園網絡架構分析

學校校園網跟隨著信息化建設的步伐，已經逐步走上正軌。許多高校都配備了無線、有線網絡，使學生和老師的生活和教學就更加方便，XX學校網絡的拓撲圖（圖1）。根據圖片可知XX學校將Internet匯總通過防火墻，總的路由器分配至每個教學樓路由器，再由交換機分到各個房間，這樣每個房間就能有其自己的端口號。這樣如果遇到電路、網絡中斷的話就可以就可以根據端口直接檢查出問題所在的地方以及進行及時的修理，例如在一個教學樓的房間，網路連接不上，我們可以通過以下步驟來找到問題所在，首先用測線器來測試下網線是否正常，若不正常首先判斷是交叉線還是直通線，換一根網線繼續使用；若網線正常在看下網線插口里的芯片是否有接觸，可以用小的鉗子給它擺正再插上網線試下；若還是不行將模塊拆下檢查下銅導線與模塊是否是接觸不良同時可以將銅導線頭接觸處剝下一點講他們捏在一起，在交換機上觀察是否通，通的話將銅導線重新裝回至模塊內，正常使用。我們可以從圖中得知，這樣的架構可以幫助我們盡快查到問題的出處，防止更加難以控制的局面的發生。

1.3校園網絡面臨的威脅

學校網絡大多都使用TCP/IP協議，而該協議的網絡所提供的網絡服務都包含許多不安全的因素，存在許多漏洞。同時網絡的普及是信息共享達到了一個新的層次，信息被暴露的機會大大增加，特別是internet，他就是一個開放大系統。另外，數據處理的可訪問性和資源共享的目的性之間的一對矛盾，這些都給校園網絡帶來了威脅。計算機網絡所面臨的威脅大體可分為兩種：一是，對網絡中信息的威脅,即所謂的軟威脅；二是，對網絡中設備的威脅，即所謂的硬威脅。影響計算機網絡的安全因素很多，有意的、無意的、人為的、自然的以及外來黑客對網絡系統資源的非法使用等，歸結起來，針對網絡安全的威脅主要有以下幾種：第一，入侵者：入侵者包括黑客、破壞者和其他從外部試圖非法訪問內部網絡的網絡用戶。這些訪問者或者有特定的目的，或者只是基于興趣和好奇心，都會對校網信息形成威肋。并且，由于互聯網的廣泛應用，更多的黑客工具和破壞程序被共享，許多青少年對此興趣極高，形成了一大批潛在的攻擊者。第二，病毒和有害代碼：便利的網絡環境使病毒成為網絡信息安全的另一個重要威脅，病毒不僅破壞程序和數據，還會嚴重影響網絡效率，甚至破壞設備；特洛伊木馬為入侵者所利用進行網絡攻擊和刺探，操作系統或應用軟件的后門也被開發者利用進行攻擊和破壞。目前病毒與黑客技術的結合，使得病毒的危害更進一層，不僅僅針對計算機，同時也針對網絡，近幾年的一次利用SQLServer漏洞的“蠕蟲王”病毒就幾乎使得全國計算機網絡癱瘓。第三，內部教職員工與學生：其實更為重要的安全威脅來自網絡內部，由于誤操作、好奇或泄憤，內部教職員工和學生會對校園網中關鍵信息安全和完整性構成威脅。尤其是學生，極強烈的好奇心和爭勝欲望，為了炫耀或者學習實踐，對網絡有比較大的攻擊性。第四，系統和應用的安全漏洞：網絡設備、操作系統和應用軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。除此之外，軟件和硬件的配置/設置不當同樣會造成相當嚴重的安全問題。第五，用戶安全意識：用戶對信息安全認識不足，對安全的簡單理解和關注不足，對安全設備的利用和投入不足、不及時，都會構成校網信息安全缺陷。第六，其他安全威脅：包括自然災害、物理設備故障以及其他破壞網絡基礎設施和數據的意外事故。

2校園網絡信息安全策略

2.1信息安全含義及策略概述信息安全是指采取措施保護信息網絡的硬件、軟件及其系統中的數據，使之不因偶然的或者惡意的原因而遭受破壞、更改、泄露，保證信息系統能夠連續、可靠、正常地運行。信息安全是一門涉及網絡技術、數據庫技術、密碼技術、信息安全技術、通信技術、應用數學、信息論等多種學科的綜合性學科。信息安全本身包括的范圍很廣，大到國家軍事政治等機密安全，小到防范青少年對不良信息的瀏覽以及個人信息的泄露等。而信息安全策略是一個有效的信息安全項目的基礎。信息安全策略可以劃分為兩個部分，問題策略和功能策略。問題策略描述了一個組織所關心的安全領域和對這些領域內安全問題的基本態度。功能策略描述如何解決所關心的問題，包括制定具體的硬件和軟件配置規格說明、使用策略以及雇員行為策略。從信息安全領域中發生的事件來看，信息安全策略的核心地位變得越來越明顯。例如，沒有安全策略，系統管理員將不能安全的安裝防火墻。策略規定了所允許的訪問控制、協議以及怎樣記錄與安全有關的事件。策略的制定需要達成下述目標：減少風險，遵從法律和規則，確保組織運作的連續性、信息完整性和機密性。信息安全策略應主要依靠組織所處理和使用的信息特性推動制定。同時應當重視對信息系統了解深刻的員工所提出的組織當前信息的主要特性，具體包括：什么信息是敏感的、什么信息是有價值的以及什么信息是關鍵的。在制定一整套信息安全策略時，應當參考一份近期的風險評估，以便清楚了解組織當前的信息安全需所要面臨的風險管理。對曾出現的安全事件的總結，也是一份有價值的資料。信息安全策略應當與已有的信息系統結構相一致，并對其完全支持。這一點不是針對信息安全體系結構，而是針對信息系統體系結構。信息安全策略一般在信息系統體系結構確立以后制定，以保障信息安全體系實施、運行。例如，互聯網訪問控制策略可使安全體系結構具體化，也有利于選擇和實施恰當的防火墻產品。關于風險評估，我們可以根據每一項任務來進行一個風險評估具體流程（如圖2），做好一個風險評估能很大程度上的提高信息安全度，也便于今后的管理。

2.2防范校園網絡安全措施

在校園網絡日漸普及的今天，關于如何應對和防范校園網絡安全這一塊也存在著許多不足和漏洞，所以各個學校都要從各個方面來保障校園網路的安全運行。首先是管理層面，通過申請在校園網絡中各種功能的開通和使用，來實現從源頭抓問題，學校也應該制定出明確的計劃與流程，使得一些行為可以按照流程一步步完成，這樣就能更加安全了。以學生寬帶申請為例，學校規定從學校網站上統一下載，統一領導簽字，統一分發，統一管理。這種模式能提高管理和工作的效率，正是因為這樣的管理和工作模式，讓學校的工作井井有條的開展。通過對申請信息的填寫，當遇到網絡安全威脅時，可以通過信息查詢到有問題的主機，然后及時解決問題，不至于拖延很長時間。再次是技術方面，學校配備有上網認證控制器，可以保證在教學樓范圍內上網都是有認證的，每個人的上網記錄都是可以查詢的，以及還有流量控制器，可以保證基本上網的暢通，VPN認證可以保證在校外訪問校內網有跡可循，同時學校還配有負載均衡器以擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力，提高網絡的靈活性和可用性。同時這些設備也是信息安全策略中功能策略的反映。

篇（8）

物理層面的風險主要是指由于計算機硬件設備損壞而影響系統正常運行，物理層面是整個網絡系統安全的第一道防線。在物理層面的安全屏障主要有:(1)建立災備中心。中心平臺包括數據中心、災備中心和監控中心。數據中心是整個系統的核心，與數據中心不同物理地址的災備中心是數據中心的備份。目前，通過遠程磁帶備份系統，每天將數據中心內的數據備份到災備中心磁帶庫，并將磁帶轉移到其它地點。最大限度在24小時之內恢復受損數據。二期建設將在災備中心建立與數據中心相同的網絡平臺，實現數據中心的應用級災備。(2)設備和線路冗余配置。為了防止數據中心所有設備和網絡的單點故障導致服務中斷，在平臺和網絡的設計上采用完全冗余的配置。一是中心平臺所有的核心設備均采用兩臺或多臺雙機冗余熱備和負載均衡機制。二是在線路上，采用一主一備網絡連接，“省－市地”主干網以覆蓋全省各市地的電子政務網為主，以基于互聯網的10M光纖為備份，所有連接節點均有兩個以上的路由連接數據中心。(3)完善機房環境。中心平臺和各市地的中心節點機房建設均按國家A級機房標準規劃，基本設施包括:多路互投供電和不間斷電源UPS，六面體屏蔽，防雷、防靜電、防盜、防火、防水、防塵等系統，溫度和濕度控制系統。同時建立嚴格的機房管理制度，有利地保障了系統的穩定運行。

2網絡層面

計算機網絡互聯在大大擴展信息資源共享空間的同時，也將其自身暴露在更多危險攻擊之下。信息系統也同樣承擔著非法接入、非法訪問、病毒傳播等風險。網絡層面的安全屏障主要有:(1)路由策略。由于信息系統的網絡大部線路是基于公網的VPN通道，因此在出口處的VPN設備必然要與公網連接，為防止來自公網的非法訪問，內網用戶的IP地址使用了RFC1918所定義的私有網絡地址，這種地址外部用戶不能夠直接訪問，同時連接外網的VPN設備也不把到公網的路由廣播到內部網絡。這樣可以保證內網用戶和外網用戶雙方都無法直接互相訪問。(2)防火墻訪問控制。在中心平臺和每個地市中心節點都安裝了一臺做訪問控制的防火墻，這臺防火墻只允許內部數據通過，任何內外之間的直接訪問都會被防火墻所隔離，有效的防止了外部非法訪問。(3)多層面用戶身份認證。在網絡上用戶的合法性和該用戶擁有的合法權限均通過多個層面的身份認證系統來確認，這些認證包括VPN密鑰認證、Radius身份認證、終端設備和數字密鑰身份認證、業務系統登錄認證等。如果黑客想要冒充合法用戶進入時，由于沒有密鑰口令，連接請求將會被拒絕。網絡最終要做到每個用戶在信息中心登記后分配給其單獨的用戶名和口令，并定期更新口令。為了加強對用戶的身份認證，還在應用層上對用戶所持有的數字密鑰進行驗證，只有各方面信息完全吻合的用戶才能被認定為合法用戶，授予登錄訪問權限。而且因采用分層管理，合法用戶也無法訪問到與其無關的服務內容。(4)使用訪問列表控制非法連接。訪問控制列表是應用在路由器接口的指令列表，這些指令列表可以控制路由器的數據接收。通過靈活地增加訪問控制列表，可以過濾流入和流出路由器接口的數據包。(5)設置網絡防病毒系統。在系統中部署了網絡防病毒軟件，在省數據中心設置了一臺防病毒根服務器，在各地市中心設置防病毒分支服務器。網絡管理員只要定期升級根服務器，全省的防病毒軟件客戶端就可以通過分支的防病毒服務器隨時自動進行升級。(6)通過訪問控制隔斷病毒傳播途徑。多數病毒的傳播途徑都是有規律可循的。當某種病毒流傳時，根據其網絡傳播特點，在網絡路由轉發設備上制定相應的訪問控制列表，就可將病毒控制在最小范圍內來處理，而不會大面積傳播。

3應用層面和數據層面

應用和數據兩個層面的風險主要有:非法用戶(入侵者)對網絡進行探測掃描、通過攻擊程序對應用層主機的漏洞進行攻擊、使服務器超負荷工作以至拒絕服務甚至系統癱瘓。由于系統采用的是基于公網的VPN技術，信息需要通過公網傳輸，在公網上，信息有可能會被人截獲，造成信息泄漏或數據被修改后再發送，從而造成數據破壞。用于數據層面的屏障主要有:(1)在通過公網建立VPN連接時，所有傳輸數據都經過加密，以防止在傳輸過程中被竊聽或篡改。(2)防止非法用戶進入并攻擊系統。首先是防止非法用戶連接到內部網絡，具體措施已在前面網絡層面論述。而對已經連接到內部網絡中的非法用戶，要防止其對服務器進行攻擊。解決此問題的措施主要有:①對關鍵服務器采用負載均衡交換機進行端口映射。負載均衡交換機對訪問沒有進行映射端口的數據包直接丟棄，使針對服務器的端口掃描和漏洞攻擊無效，使非法用戶無法遠程對服務器進行直接訪問，也就不能發起直接攻擊;②入侵檢測系統隨時對入侵行為進行報警和記錄。在數據中心和各地市中心都配置了入侵檢測系統，隨時監控著網絡上的數據流量，檢測到攻擊特征的數據后立即告警，以便迅速采取進一步的措施，同時也為事后審核及追查攻擊源頭提供參考;③使用漏洞掃描系統進行主動的安全防護。信息中心配備了便攜式的漏洞掃描系統，由管理員根據需要不定期的掃描系統內服務器和網絡設備的漏洞，通過自身的主動監測，發現系統漏洞并及時彌補，對網絡入侵做到防范于未然，同時建立系統安全報告，對整個系統的安全狀況提供客觀的評估標準。

篇（9）

1.2網絡安全檢測系統架構網絡安全檢測系統架構采用分級式設計，架構圖如。分級設計網絡安全檢測系統具有降低單點失效的風險，同時還可以降低服務器負荷，在系統的擴容性、容錯性和處理速度上都具有更大的能力。

2系統功能設計

網絡安全檢測系統功能模塊化設計將系統劃分為用戶身份管理功能模塊、實時監控功能模塊、軟件管理模塊、硬件管理模塊、網絡管理和文件管理。用戶身份管理功能模塊是實現對網絡用戶的身份識別和管理，根據用戶等級控制使用權限；實時監控模塊對在線主機進行管理，采用UDP方式在網絡主機上的檢測程序發送監控指令，檢測程序對本地進行列表進行讀取，實時向服務器反饋信息；軟件管理模塊是將已知有威脅的軟件名稱、參數等納入管理數據庫，當用戶試圖應用此軟件時，檢測系統會發出警告或者是拒絕應用；硬件管理模塊對網絡中的應用硬件進行登記，當硬件非法變更，系統將發出警告；網絡管理模塊將已知有威脅網絡IP地址納入管理數據庫，當此IP訪問網絡系統時，檢測系統會屏蔽此IP并發出警告；文件管理模塊，對被控計算機上運行的文件進行實時審計，當用戶應用的文件與系統數據庫中非法文件記錄匹配，則對該文件進行自動刪除，或者提示用戶文件存在風險。

3數據庫設計

本文所設計的網絡安全檢測系統采用SQLServer作為數據庫，數據庫中建立主體表，其描述網絡中被控主機的各項參數，譬如編號、名稱、IP等；建立用戶表，用戶表中記錄用戶編號、用戶名稱、用戶等級等；建立網絡運行狀態表，其保存網絡運行狀態結果、運行狀態實際內容等，建立軟件、硬件、信息表，表中包含軟件的名稱、版本信息、容量大小和硬件的配置信息等；建立軟件、網址黑名單，對現已發現的對網絡及主機具有威脅性的非法程序和IP地址進行記錄。

4系統實現

4.1用戶管理功能實現用戶管理功能是提供網絡中的用戶注冊、修改和刪除，當用戶登錄時輸出錯誤信息，則提示無此用戶信息。當創建用戶時，系統自動檢測注冊用戶是否出現同名，如出現同名則提示更改，新用戶加入網絡應用后，網絡安全檢測系統會對該用戶進行系統審核，并將其納入監管對象。系統對網絡中的用戶進行監控，主要是對用戶的硬件資源、軟件資源、網絡資源等進行管控，有效保護注冊用戶的網絡應用安全。

4.2實時監控功能實現系統實時監控功能需要能夠實時獲取主機軟硬件信息，對網絡中用戶的軟件應用、網站訪問、文件操作進行檢測，并與數據庫中的危險數據記錄進行匹配，如發現危險則提出警告，或者直接屏蔽危險。

4.3網絡主機及硬件信息監控功能實現網絡主機及硬件信息監控是對網絡中的被控計算機系統信息、硬件信息進行登記記錄，當硬件設備發生變更或者網絡主機系統發生變化，則安全檢測系統會啟動，告知網絡管理人員，同時系統會對網絡主機及硬件變更的安全性進行判定，如發現非法接入則進行警告并阻止連接網絡。

篇（10）

（1）個人信息的泄露。在網絡工程當中，對于系統硬件、軟件的相關維護工作還不夠完善，同時網絡通信當中的許多登錄系統需要借助遠程終端來完成，造成系統遠程終端和網絡用戶在用戶運用互聯網進入對應系統時存在長遠的連接點，當信息在進行傳輸時，這些連接點很容易引起黑客對用戶的入侵以及攻擊，使得用戶信息被泄露，個人信息安全得不到保障。

（2）網絡通信結構不完善。網間網的技術給網絡通信提供了技術基礎，用戶通過IP協議或TCP協議得到遠程授權，登錄相關互聯網系統，通過點與點連接的方式來進行信息的傳輸。然而，網絡結構間卻是以樹狀形式進行連接的，當用戶受到黑客入侵或攻擊時，樹狀結構為黑客竊聽用戶信息提供了便利。

（3）相關網絡維護系統不夠完善。網絡維護系統的不完善主要表現軟件系統的安全性不足，我們現在所使用的計算機終端主要是依靠主流操作系統，在長時間的使用下需下載一些補丁來對系統進行相關的維護，導致了軟件的程序被泄露。

2對于網絡通信中存在的信息安全問題的應對方案

對于上述的種種網絡通信當中存在的信息安全問題，我們應當盡快地采取有效的對策，目前主要可以從以下幾個方面入手：

（1）用戶應當保護好自己的IP地址。黑客入侵或攻擊互聯網用戶的最主要目標。在用戶進行網絡信息傳輸時，交換機是進行信息傳遞的重要環節，因此，用戶可以利用對網絡交換機安全的嚴格保護來保證信息的安全傳輸。除此之外，對所使用的路由器進行嚴格的控制與隔離等方式也可以加強用戶所使用的IP地址的安全。

（2）對信息進行加密。網絡通信中出現的信息安全問題主要包括信息的傳遞以及存儲過程當中的安全問題。在這兩個過程當中，黑客通過竊聽傳輸時的信息、盜取互聯網用戶的相關資料、對信息進行惡意的篡改、攔截傳輸過程中的信息等等多種方法來對網絡通信當中信息的安全做出威脅。互聯網用戶如果在進行信息傳遞與存儲時，能夠根據具體情況選用合理的方法來對信息進行嚴格的加密處理，那么便可以有效地防治這些信息安全問題的產生。

（3）完善身份驗證系統。身份驗證是互聯網用戶進行網絡通信的首要步驟。在進行身份驗證時一般都需要同時具備用戶名以及密碼才能完成登錄。在驗證過程當中用戶需要注意的是要盡量將用戶名、密碼分開儲存，可以適當地使用一次性密碼，同時還可以利用安全口令等方法來保證身份驗證的安全。隨著科技的快速發展，目前一些指紋驗證、視網膜驗證等先進生物檢測方法也慢慢得到了運用，這給網絡通信信息安全提供了極大的保障。

篇（11）

一、校園網絡安全隱患綜合分析

1.物理層的安全問題

校園網需要各種設備的支持，而這些設備分布在各種不同的地方，管理困難。其中任何環節上的失誤都有可能引起校園網的癱瘓，如室外通信光纜、電纜等，分布范圍廣，不能封閉式管理;室內設備也可能發生被盜、損壞等情況。

物理層的安全問題是指由于網絡設備的放置不合適或者防范措施不得力，使得網絡設備，光纜和雙絞線等遭受意外事故或人為破壞，造成校園網不能正常運行。物理安全是制訂校園網安全解決方案時首先應考慮的問題。

2.系統和應用軟件存在的漏洞威脅

在校園網中使用的操作系統和應用軟件千差萬別，這些威脅，而且網絡用戶濫用某些共享軟件也會導致計算機可能成為黑客攻擊校園網的后門。

3.計算機病毒入侵和黑客攻擊

計算機病毒是校園網安全最大的威脅因素，有著巨大的破壞性。尤其是通過計算機網絡傳播的病毒，其傳播速度快、影響大、殺毒難等都不是單機病毒所能相比的。校園網在接入Internet后，便面臨著內部和外部黑客雙重攻擊的危險，尤以內部攻擊為主。由于內部用戶對網絡的結構和應用模式都比較了解，特別是在校學生，學校不能有效的規范和約束學生的上網行為，學生會經常的監聽或掃描學校網絡，因此來自內部的安全威脅更難應付。

4.內部用戶濫用網絡資源

校園網內部用戶對校園網資源的濫用，有的校園網用戶利用校園網資源提供視頻、音頻、軟件等資源下載，占用了大量的網絡帶寬。特別是近幾年興起的BT、電騾等的泛濫使用占用了大量的網絡帶寬，給正常的校園網應用帶來了極大的威脅。

二、采取安全控制策略

1.硬件安全策略

硬件安全是網絡安全最重要的部分，要保證校園網絡正常，首先要保證硬件能夠正常使用。通常情況下可采取的措施主要有:減少自然災害(如火災、水災、地震等)對計算機硬件及軟件資源的破壞，減少外界環境(如溫度、濕度、灰塵、供電系統、外界強電磁干擾等)對網絡信息系統運行可靠性造成的不良影響。

2.訪問控制策略

訪問控制方面的策略任務是保證網絡資源不被非法使用或訪問。包括入侵監測控制策略、服務器訪問控制策略、防火墻控制策略等多個方面的內容。

(1)防火墻控制策略

防火墻控制策略維護網絡安全最重要的手段。防火墻是具有網絡安全功能的路由器，對網絡提供的服務和訪問定義，并實現更大的安全策略。它通常用來保護內部網絡不受來自外部的非法或非授權侵入的邏輯裝置。

(2)入侵監測控制策略

入侵監測控制策略就是使用入侵監測系統對網絡進行監測。入侵檢測系統(IntrusionDetectionSystems)專業上講就是依照一定的安全策略，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。

(3)服務器訪問控制策略

服務器和路由器這樣的網絡基礎設備，避免非法入侵的有效方法是去掉不必要的網絡訪問，在所需要的網絡訪問周圍建立訪問控制。另外對用戶和賬戶進行必要的權限設置。一是要限制數據庫管理員用戶的數量和給用戶授予其所需要的最小權限。二是取消默認賬戶不需要的權限選擇合適的賬戶連接到數據庫。

3.病毒防護策略

病毒主要由數據破壞和刪除、后門攻擊、拒絕服務、垃圾郵件傳播幾種方式的對網絡進行傳播和破壞，照成線路堵塞和數據丟失損毀。那么建立統一的整體網絡病毒防范體系是對校園網絡整體有效防護的解決辦法。

4.不良信息的防護策略

Internet上存在大量的不良信息，校園網絡因為Internet連接，學生有可能無意中接觸這些信息而在校園網上傳播，造成惡劣的影響。可以安裝非法信息過濾系統，設置非法IP過濾和非法字段過濾有效屏蔽Internet上的不良信息。

5.建立安全評估策略

校園網絡安全不能僅僅依靠防火墻和其他網絡安全技術，而需要仔細考慮系統的安全需求，建立相應的管理制度，并將各種安全技術與管理手段結合在一起，才能生成一個高效、通用、安全的校園網絡系統。使用安全評估工具是進行安全評估的一種手段，可以對各方面進行檢測和反饋信息收集，進而制定策略。

三、結束語

高校校園網絡的安全性越來越受到重視，網絡環境的復雜性、多變性，以及信息系統的脆弱性，決定了高校校園的網絡不能僅僅依靠防火墻，而涉及到管理和技術等方方面面。需要仔細考慮系統的安全需求，建立相應的管理制度，并將各種安全技術與管理手段結合在一起，才能生成一個高效、通用、安全的校園網絡系統。

參考文獻:

[1]KurousJF，KeithW.RossComputerNetworking[M].HigherEducationPressPearson，2003.653-657.

[2]張武軍，李雪安.高校校園網安全整體解決方式研究[J].電子科技，2006，(3):64-67.