第一篇：探究網(wǎng)絡(luò)安全與防范措施論文

探究網(wǎng)絡(luò)安全與防范措施

我們生活在科學技術(shù)迅猛發(fā)展而社會急劇變化的時代，在網(wǎng)絡(luò)廣泛發(fā)展的今天，網(wǎng)絡(luò)提供的業(yè)務(wù)不斷豐富其給人類的生活、工作等方面帶來便利的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出，網(wǎng)絡(luò)安全成為人類無法忽視的棘手難題。黑客，病毒，網(wǎng)絡(luò)詐騙，不良信息等問題的存在，正時刻威脅我們的電腦安全，網(wǎng)絡(luò)安全令人擔憂。我們應(yīng)采取及時的防范措施去維護網(wǎng)絡(luò)安全并營造綠色健康的網(wǎng)絡(luò)環(huán)境。

當今，互聯(lián)網(wǎng)已成為我們社會結(jié)構(gòu)的一個基本組成部分。網(wǎng)絡(luò)被應(yīng)用于各個方面，包括電子銀行、電子商務(wù)、現(xiàn)代化的企業(yè)管理、信息服務(wù)業(yè)等都以計算機網(wǎng)絡(luò)系統(tǒng)為基礎(chǔ)。安全性是互聯(lián)網(wǎng)技術(shù)中很關(guān)鍵的也是很容易被忽略的問題。

一、網(wǎng)絡(luò)安全的含義、本質(zhì)及特征

（一）含義

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。

網(wǎng)絡(luò)安全是一個關(guān)系國家安全和主權(quán)、社會的穩(wěn)定、民族文化的繼承和發(fā)揚的重要問題。其重要性，正隨著全球信息化步伐的加快而變得越來越重要。其也是一門涉及計算機科學、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。

（二）本質(zhì)

指網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

（三）特征

1、保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。

2、完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

3、可用性：可被授權(quán)實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊；

4、可控性：對信息的傳播及內(nèi)容具有控制能力。

5、可審查性：出現(xiàn)的安全問題時提供依據(jù)與手段。

二、國外

1996年初，據(jù)美國舊金山的計算機安全協(xié)會與聯(lián)邦調(diào)查局的一次聯(lián)合調(diào)查統(tǒng)計，有53％的企業(yè)受到過計算機病毒的侵害，42％的企業(yè)的計算機系統(tǒng)在過去的12個月被非法使用過。而五角大樓的一個研究小組稱美國一年中遭受的攻擊就達25萬次之多。

1994年末，俄羅斯黑客弗拉基米爾?利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計算機上，向美國CITYBANK銀行發(fā)動了一連串攻擊，通過電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計算機主機里竊取1100萬美元。

1996年8月17日，美國司法部的網(wǎng)絡(luò)服務(wù)器遭到黑客入侵，并將“ 美國司法部” 的主頁改為“ 美國不公正部”，將司法部部長的照片換成了阿道夫?希特勒，將司法部徽章?lián)Q成了納粹黨徽，并加上一幅色情女郎的圖片作為所謂司法部部長的助手。此外還留下了很多攻擊美國司法政策的文字。

1996年9月18日，黑客又光顧美國中央情報局的網(wǎng)絡(luò)服務(wù)器，將其主頁由“中央情報局” 改為“ 中央愚蠢局”。

1996年12月29日，黑客侵入美國空軍的全球網(wǎng)網(wǎng)址并將其主頁肆意改動，其中有關(guān)空軍介紹、新聞發(fā)布等內(nèi)容被替換成一段簡短的黃色錄象，且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關(guān)閉了其他80多個軍方網(wǎng)址。

國內(nèi)

1996年2月，剛開通不久的Chinanet受到攻擊，且攻擊得逞。

1997年初，北京某ISP被黑客成功侵入，并在清華大學“ 水木清華” BBS站的“ 黑客與解密” 討論區(qū)張貼有關(guān)如何免費通過該ISP進入Internet的文章。網(wǎng)絡(luò)安全技術(shù)案例

1997年4月23日，美國德克薩斯州內(nèi)查德遜地區(qū)西南貝爾互聯(lián)網(wǎng)絡(luò)公司的某個PPP用戶侵入中國互聯(lián)網(wǎng)絡(luò)信息中心的服務(wù)器，破譯該系統(tǒng)的shutdown帳戶，把中國互聯(lián)網(wǎng)信息中心的主頁換成了一個笑嘻嘻的骷髏頭。

1996年初CHINANET受到某高校的一個研究生的攻擊；96年秋，北京某ISP和它的用戶發(fā)生了一些矛盾，此用戶便攻擊該ISP的服務(wù)器，致使服務(wù)中斷了數(shù)小時。

2010年，Google發(fā)布公告稱將考慮退出中國市場，而公告中稱：造成此決定的重要原因是因為Google被黑客攻擊。

三、（一）每一種安全機制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境

防火墻是一種有效的安全工具，它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問，防火墻往往是無能為力的。因此，對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺和防范的。

（二）安全工具的使用受到人為因素的影響

一個安全工具能不能實現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當?shù)脑O(shè)置就會產(chǎn)生不安全因素。例如，NT在進行合理的設(shè)置后可以達到C2級的安全性，但很少有人能夠?qū)T本身的安全策略進行合理的設(shè)置。雖然在這方面，可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較，針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。

（三）系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方

防火墻很難考慮到這類安全問題，多數(shù)情況下這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺。比如說，眾所周知的ASP源碼問題，這個問題在IIS服務(wù)器4.0以前一直存在，它是IIS服務(wù)的設(shè)計者留下的一個后門，任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼，從而可以收集系統(tǒng)信息，進而對系統(tǒng)進行攻擊。對于這類入侵行為，防火墻是無法發(fā)覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。

（四）只要有程序，就可能存在BUG

甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)引起網(wǎng)絡(luò)安全問題的主要原因 和公布出來，程序設(shè)計者在修改已知的BUG的同時又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會產(chǎn)生日志，幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG，現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范。

（五）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)

然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)太慢。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

四、關(guān)于網(wǎng)絡(luò)安全的主要防范措施

網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實踐的發(fā)展而發(fā)展，其涉及的技術(shù)面非常廣，主要的技術(shù)如認證、加密、防火墻、殺毒軟件及入侵檢測是網(wǎng)絡(luò)安全的重要防線。

（一）認證

對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。

（二）數(shù)據(jù)加密

加密就是通過一種方式使信息變得混亂，從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型：私匙加密和公匙加密。

1.私匙加密。私匙加密又稱對稱密匙加密，因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性，它不提供認證，因為使用該密匙的任何人都可以創(chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點是速度很快，很容易在硬件和軟件中實現(xiàn)。

2.公匙加密。公匙加密比私匙加密出現(xiàn)得晚，私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密信息。公匙加密系統(tǒng)的缺點是它們通常是計算密集的，因而比私匙加密系統(tǒng)的速度慢得多，不過若將兩者結(jié)合起來，就可以得到一個更復雜的系統(tǒng)。

（三）防火墻技術(shù)

“防火墻”是一種形象的說法，其實它是一種計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起 一個安全網(wǎng)關(guān)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。

能夠完成“防火墻”工作的可以是簡單的隱蔽路由器，這種“防火墻”如果是一臺普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在互聯(lián)網(wǎng)協(xié)議端口級上阻止網(wǎng)間或主機間通信，起到一定的過濾作用。由于隱蔽路由器僅僅是對路由器的參數(shù)做些修改，因而也有人不把它歸入“防火墻”一級的措施。

真正意義的“防火墻”有兩類，一類被稱為標準“防火墻”；另一類叫雙家網(wǎng)關(guān)。標準“防火墻”系統(tǒng)包括一個Unix工作站，該工作站的兩端各有一個路由器進行緩沖。其中一個路由器的接口是外部世界，即公用網(wǎng)；而另一個則聯(lián)接內(nèi)部網(wǎng)。標準“防火墻”使用專門的軟件，并要求較高的管理水平，而且在信息傳輸上有一定的延遲。而雙家網(wǎng)關(guān)則是對標準“防火墻”的擴充。雙家網(wǎng)關(guān)又稱堡壘主機或應(yīng)用層網(wǎng)關(guān)，它是一個單個的系統(tǒng)，但卻能同時完成標準“防火墻”的所有功能。其優(yōu)點是能運行更復雜的應(yīng)用，同時防止在互聯(lián)網(wǎng)和內(nèi)部系統(tǒng)之間建立的任何直接的連接，可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡(luò)到達內(nèi)部網(wǎng)絡(luò)，反之亦然。

此外，現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測技術(shù)。

1.入侵檢測系統(tǒng)

入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)，則會構(gòu)架成一套完整立體的主動防御體系。

2.虛擬專用網(wǎng)（VPN）技術(shù)

VPN是目前解決信息安全問題的一個最新、最成功的技術(shù)課題之一，所謂虛擬專用網(wǎng)（VPN）技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機制，這兩種機制為路由過濾技術(shù)和隧道技術(shù)。目前VPN主要采用了如下四項技術(shù)來保障安全：隧道技術(shù)（Tunneling)、加解密技術(shù)（Encryption & Decryption)、密匙管理技術(shù)（Key Management)和使用者與設(shè)備身份認證技術(shù)（Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機制應(yīng)能技術(shù)不同層次的安全服務(wù)，這些安全服務(wù)包括不同強度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法，如按接入方式分成專線VPN和撥號VPN；按隧道協(xié)議可分為第二層和第三層的；按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。

（四）其他網(wǎng)絡(luò)安全技術(shù)

1．智能卡技術(shù)。智能卡技術(shù)和加密技術(shù)相近，其實智能卡就是密匙的一種媒體，由授權(quán)用戶持有并由該用戶賦與它一個口令或密碼字，該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。智能卡技術(shù)一般與身份驗證聯(lián)合使用。

2．安全脆弱性掃描技術(shù)。它為能針對網(wǎng)絡(luò)分析系統(tǒng)當前的設(shè)置和防御手段，指出系統(tǒng)存在或潛在的安全漏洞，以改進系統(tǒng)對網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)。

3．網(wǎng)絡(luò)數(shù)據(jù)存儲、備份及容災(zāi)規(guī)劃。它是當系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復數(shù)據(jù)，使整個系統(tǒng)在最短的時間內(nèi)重新投入正常運行的一種安全技術(shù)方案。

4．IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給這個IP廣播包的工作站返回發(fā)出一個警告信息。

5．Web，Email，BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡(luò)的

4、中國民間網(wǎng)絡(luò) http://004km.cn

6、楊寅春-《網(wǎng)絡(luò)安全技術(shù)》（高職高專計算機專業(yè)規(guī)劃教材）西安電子科技大學出版社 2009年

7、趙安軍、曾應(yīng)元、徐邦海、學春藤-《網(wǎng)絡(luò)安全技術(shù)與應(yīng)用》 人民郵電出版社 2007年

第二篇：淺析計算機網(wǎng)絡(luò)安全與有效防范措施

淺析計算機網(wǎng)絡(luò)安全與有效防范措施

文章編輯：全優(yōu)期刊網(wǎng)文章來源：

隨著信息化步伐的不斷加快，計算機網(wǎng)絡(luò)技術(shù)的發(fā)展和提高給網(wǎng)絡(luò)帶很大的沖擊,計算機網(wǎng)絡(luò)給人們帶來了很大的便捷，計算機網(wǎng)絡(luò)技術(shù)普遍的使用，使得人們在學習和工作中享受計算機網(wǎng)絡(luò)帶來的便捷的同時被越來越多的安全隱患所傷害。但是網(wǎng)絡(luò)的安全問題成了信息社會安全問題的熱點之一，計算機網(wǎng)絡(luò)安全已經(jīng)受到了人們的高度重視，人們也已經(jīng)對其提出了很多防范策略，并且得到了很好的好評。對網(wǎng)絡(luò)安全的威脅表現(xiàn)：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運行，利用網(wǎng)絡(luò)傳播病毒等方面。本將針對計算機網(wǎng)絡(luò)安全的重要性、計算機網(wǎng)絡(luò)存在的問題，并且采取有效的措施防范。

一、計算機網(wǎng)絡(luò)安全中存在的問題

1、IP地址被盜用。隨著計算機的發(fā)展，盜用IP地址現(xiàn)象非常普遍，這不僅影響了網(wǎng)絡(luò)的正常運行，而且一般被盜用的地址權(quán)限都很高，因而也給用戶造成了較大的經(jīng)濟損失。盜用IP地址就是指運用那些沒有經(jīng)過授權(quán)的IP地址，從而使得通過網(wǎng)上資源或隱藏身份進行破壞網(wǎng)絡(luò)的行為的目的得以實現(xiàn)。目前，網(wǎng)絡(luò)上經(jīng)常會發(fā)生盜用IP地址，這不僅嚴重侵害了合法使用網(wǎng)絡(luò)人員的合法權(quán)益，而且還導致網(wǎng)絡(luò)安全和網(wǎng)絡(luò)正常工作受到負面影響。

2、后門和木馬程序從最早計算機。計算機病毒計算機病毒指編制或在計算機程序中插入的破壞計算機功能和數(shù)據(jù),影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。如常見的蠕蟲病毒，就是以計算機為載體,利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行攻擊,是一種通過網(wǎng)絡(luò)傳統(tǒng)的惡性病毒。它具有病毒的一些共性,如傳播性、隱蔽性、破壞性和潛伏性等等,同時具有自己的一些特征,如不利用文件寄生(有的只存在于內(nèi)存中),對網(wǎng)絡(luò)造成拒絕服務(wù),以及和黑客技術(shù)相結(jié)合等。其他常見的破壞性比較強的病毒有宏病毒、意大利香腸等。被入侵開始,黑客們就已經(jīng)發(fā)展了“后門”這門技術(shù),利用這門技術(shù),他們可以再次進入系統(tǒng)。后門的功能主要有:使管理員無法阻止種植者再次進入系統(tǒng);使種植者在系統(tǒng)中不易被發(fā)現(xiàn);使種植者進入系統(tǒng)花費最少時間。木馬,又稱為特洛伊木馬,是一類特殊的后門程序，英文叫做“trojian horse”,其名稱取自希臘神話的“特洛伊木馬記”,它是一種基于遠程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點。木馬里一般有兩個程序,一個是服務(wù)器程序,一個是控制器程序。如果一臺電腦被安裝了木馬服務(wù)器程序,那么,黑客就可以使用木馬控制器程序進入這臺電腦,通過命令服務(wù)器程序達到控制你的電腦的目的。

二、計算機網(wǎng)絡(luò)安全與有效防范措施

1、對“文件和打印共享”關(guān)閉。文件和打印共享應(yīng)該是一個非常有用的功能,但在不需要它的時候,也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下,我們可以將它關(guān)閉。用鼠標右擊“網(wǎng)絡(luò)鄰居”,選擇“屬性”,然后單擊“文件和打印共享”按鈕,將彈出的“文件和打印共享”對話框中的兩個復選框中的鉤去掉即可。同時,為了禁止它人更改“文件和打印共享”,還應(yīng)修改注冊表。打開注冊表編輯器,選擇“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork”主鍵,在該主鍵下新建DWORD類型的鍵值,鍵值名為“NoFileSharingControl”,鍵值設(shè)為“1”表示禁止這項功能,從而達到禁止更改“文件和打印共享”的目的;鍵值為“0”表示允許這項功能。這樣在“網(wǎng)絡(luò)鄰居”的“屬性”對話框中“文件和打印共享”就不復存在了。

2、計算機的加密技術(shù)。網(wǎng)絡(luò)安全中,加密作為一把系統(tǒng)安全的鑰匙,是實現(xiàn)網(wǎng)絡(luò)安全的重要手段之一,正確的使用加密技術(shù)可以確保信息的安全。數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容,通過這樣的途徑來達到保護數(shù)據(jù)不被非法人竊取、閱讀的目的。該過程的逆過程為解密,即將該編碼信息轉(zhuǎn)化為其原來數(shù)據(jù)的過程。與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項技術(shù)是智能卡技術(shù)。所謂智能卡就是密鑰的一種媒體，一般就

像信用卡一樣，由授權(quán)用戶所持有并由該用戶賦予它一個口令或密碼字，該密碼與網(wǎng)絡(luò)服務(wù)器上注冊密碼一致，當口令與身份特征共同使用時，智能卡的保密性是相當有效的。

3、入侵檢測技術(shù)。入侵檢測就是對網(wǎng)絡(luò)入侵行為進行檢測，入侵檢測技術(shù)屬于一種積極主動地安全保護技術(shù)，它對內(nèi)部攻擊、外部攻擊以及誤操作都提供了實時保護。入侵檢測一般采用誤用檢測技術(shù)和異常監(jiān)測技術(shù)。1）誤用檢測技術(shù)。這種檢測技術(shù)是假設(shè)所有的入侵者的活動都能夠表達為中特征或模式，對已知的入侵行為進行分析并且把相應(yīng)的特征模型建立出來，這樣就把對入侵行為的檢測變成對特征模型匹配的搜索，如果與已知的入侵特征匹配，就斷定是攻擊，否則，便不是。對已知的攻擊，誤用入侵檢測技術(shù)檢測準確度較高，但是對已知攻擊的變體或者是一些新型的攻擊的檢測準確度則不高。因此，要想保證系統(tǒng)檢測能力的完備性是需要不斷的升級模型才行。目前，在絕大多數(shù)的商業(yè)化入侵檢測系統(tǒng)中，基本上都是采用這種檢測技術(shù)構(gòu)建。2）異常檢測技術(shù)。異常檢測技術(shù)假設(shè)所有入侵者活動都與正常用戶的活動不同，分析正常用戶的活動并且構(gòu)建模型，把所有不同于正常模型的用戶活動狀態(tài)的數(shù)量統(tǒng)計出來，如果此活動與統(tǒng)計規(guī)律不相符，則表示可以是入侵行為。這種技術(shù)彌補了誤用檢測技術(shù)的不足，它能夠檢測到未知的入侵。但是，在許多環(huán)境中，建立正常用戶活動模式的特征輪廓以及對活動的異常性進行報警的閾值的確定都是比較困難的，另外，不是所有的非法入侵活動都在統(tǒng)計規(guī)律上表示異常。今后對入侵檢測技術(shù)的研究主要放在對異常監(jiān)測技術(shù)方面。

參考文獻：

[1] 王建軍,李世英.計算機網(wǎng)絡(luò)安全問題的分析與探討[J].赤峰學院學報:自然科學版,2009(1).

第三篇：銀行網(wǎng)絡(luò)安全防范措施

銀行網(wǎng)絡(luò)安全防范措施

銀行網(wǎng)絡(luò)安全防范措施

□ 建行北京分行石景山支行郭亞力

隨著金融業(yè)務(wù)的拓展與金融電子化進程的加快，計算機網(wǎng)絡(luò)通信技術(shù)在金融領(lǐng)域中的應(yīng)用越來越廣。與此同時，金融電子化也帶來了高科技下的新風險。計算機系統(tǒng)本身的不安全和人為的攻擊破壞，以及計算機安全管理制度的不完善都潛伏著很多安全隱患，嚴重的可能導致計算機系統(tǒng)的癱瘓，影響銀行的業(yè)務(wù)和聲譽，造成巨大的經(jīng)濟損失和不良的社會影響。因此，加強銀行網(wǎng)絡(luò)系統(tǒng)安全體系的建設(shè)，保證其正常運行，防范犯罪分子對它的入侵，已成為金融電子化建設(shè)中極為重要的工作。

網(wǎng)絡(luò)安全的基本要求是保密、完整、可用、可控和可審查。從技術(shù)角度講，銀行網(wǎng)絡(luò)系統(tǒng)的安全體系應(yīng)包括: 操作系統(tǒng)和數(shù)據(jù)庫安全、加密技術(shù)、訪問控制、身份認證、攻擊監(jiān)控、防火墻技術(shù)、防病毒技術(shù)、備份和災(zāi)難恢復等。從管理角度看，應(yīng)著力健全計算機管理制度和運行規(guī)程，加強員工管理，不斷提高員工的安全防范意識和責任感，杜絕內(nèi)部作案的可能性，建立起良好的故障處理反應(yīng)機制。

網(wǎng)絡(luò)系統(tǒng)技術(shù)安全措施

1.操作系統(tǒng)及數(shù)據(jù)庫

操作系統(tǒng)是計算機最重要的系統(tǒng)軟件，它控制和管理著計算機系統(tǒng)的硬件和軟件資源，是計算機的指揮中樞。目前銀行網(wǎng)絡(luò)系統(tǒng)常用的操作系統(tǒng)有Unix、Windows NT等，安全等級都是C2級，可以說是相對安全、嚴密的系統(tǒng)，但并非無懈可擊。

許多銀行業(yè)務(wù)系統(tǒng)使用Unix網(wǎng)絡(luò)系統(tǒng)，黑客可利用網(wǎng)絡(luò)監(jiān)聽工具截取重要數(shù)據(jù);利用用戶使用telnet、ftp、rlogin等服務(wù)時監(jiān)聽這些用戶的明文形式的賬戶名和口令;利用具有suid權(quán)限的系統(tǒng)軟件的安全漏洞;利用Unix平臺提供的工具，如finger命令查找有關(guān)用戶的信息，獲得大部分的用戶名;利用IP欺騙技術(shù);利用exrc文件等獲得對系統(tǒng)的控制權(quán)。針對這些安全缺陷，我們應(yīng)定期檢查日志文件;檢查具有suid權(quán)限的文件;檢查/etc/passwd是否被修改;檢查系統(tǒng)網(wǎng)絡(luò)配置中是否有非法項;檢查系統(tǒng)上非正常的隱藏文件;檢查/etc/inetd.conf和 /etc/rc2.d/*文件，并采取以下措施:

1）及時安裝操作系統(tǒng)的補丁程序;2）將系統(tǒng)的安全級別設(shè)置為最高，停止不必要的服務(wù)，該關(guān)的功能關(guān)閉;3）安裝過濾路由器;4）加強賬號和口令的安全管理，定期檢查/etc/passwd和/etc/shadow文件，經(jīng)常更換各賬號口令，查看su日志文件和拒絕登錄消息日志文件。

對于Windows NT網(wǎng)絡(luò)系統(tǒng)，可采取以下措施: 1）使用NTFS文件系統(tǒng)，它可以對文件和目錄使用ACL存取控制表;2）將系統(tǒng)管理員賬號由原先的“Administrator”改名，使非法登錄用戶不但要猜準口令，還要先猜出用戶名;3)對于提供Internet公共服務(wù)的計算機，廢止Guest賬號，移走或限制所有的其他用戶賬號;4）打開審計系統(tǒng)，審計各種操作成功和失敗的情況，及時發(fā)現(xiàn)問題前兆，定期備份日志文件;5）及時安裝補丁程序。

數(shù)據(jù)庫的安全就是要保證數(shù)據(jù)庫信息的完整、保密和可用。通常用安全管理、存取控制和數(shù)據(jù)加密來實現(xiàn)。安全管理一般分為集中控制和分散控制兩種方式。集中控制就是由單個授權(quán)者來控制系統(tǒng)的整個安全維護，分散控制則是采用不同的管理程序控制數(shù)據(jù)庫的不同部分。存取控制包括最小特權(quán)策略（用戶只能了解與自己工作有關(guān)的信息，其他信息被屏蔽）、最大共享策略（信息在保密控制條件下得到最大共享，并不是隨意存取信息）、開放與封閉系統(tǒng)（開放: 不明確禁止，即可訪問;封閉: 明確授權(quán)，才能訪問）、按名存取策略、按上下文存取策略、按存取歷史的存取策略等。數(shù)據(jù)加密可從三個方面進行，即庫內(nèi)加密（庫內(nèi)的一條記錄或記錄的某一屬性作為文件被加密）、整庫加密（整個數(shù)據(jù)庫包括數(shù)據(jù)結(jié)構(gòu)和內(nèi)容作為文件被加密）和硬件加密。

2.網(wǎng)絡(luò)加密技術(shù)

網(wǎng)絡(luò)加密的目的是保護網(wǎng)上傳輸?shù)臄?shù)據(jù)、文件、口令和控制信息的安全。

（1）加密方式:

信息加密處理通常有兩種方式: 鏈路加密和端到端加密。

鏈路加密是對兩節(jié)點之間的鏈路上傳送的數(shù)據(jù)進行加密，不適用于廣播網(wǎng)。

端到端加密是對源節(jié)點和目的節(jié)點之間傳送的數(shù)據(jù)所經(jīng)歷的各段鏈路和各個中間節(jié)點進行全程加密。端到端加密不僅適用于互聯(lián)網(wǎng)，也適用于廣播網(wǎng)。

基于鏈路加密和端到端加密各有特點，為提高網(wǎng)絡(luò)的安全性，可綜合使用這兩種技術(shù)。具體說就是鏈路加密用來對控制信息進行加密，而端到端加密僅對數(shù)據(jù)提供全程加密。

（2）加密算法

如果按收發(fā)雙方的密鑰是否相同來分類，可將這些加密算法分為常規(guī)密碼算法（對稱型加密）和公鑰密碼算法（非對稱型加密）。此外，還有一種加密算法是不可逆加密算法。

上述三種信息加密算法在實際工作中可單獨或結(jié)合使用。物理層、鏈路層和網(wǎng)絡(luò)層使用的加密設(shè)備一般運用常規(guī)加密算法（如DES）;遠程訪問服務(wù)中使用的一次性口令技術(shù)和Cisco路由器的Enable Secret口令一般采用不可逆加密算法MD5;基于PKI認證技術(shù)和SET協(xié)議則綜合采用了不可逆加密、非對稱加密、對稱加密和數(shù)字簽名等多種技術(shù)。

3.網(wǎng)絡(luò)安全訪問控制

訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問，也是維護網(wǎng)絡(luò)系統(tǒng)安全，保護網(wǎng)絡(luò)資源的重要手段。通過對特定的網(wǎng)段和服務(wù)建立有效的訪問控制體系，可在大多數(shù)的攻擊到達之前進行阻止，從而達到限制非法訪問的目的。這包括鏈路層和網(wǎng)絡(luò)層的安全訪問控制，以及遠程用戶訪問的安全訪問控制?？刹扇〉陌踩胧┯? VLAN劃分、訪問控制列表（ACL）、用戶授權(quán)管理、TCP同步攻擊攔截和路由欺騙防范等。

4.身份認證

5.網(wǎng)絡(luò)入侵檢測系統(tǒng)

入侵檢測技術(shù)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，是對入侵行為的監(jiān)控，它通過對網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或被攻擊的跡象。利用實時入侵檢測技術(shù)，可對特定網(wǎng)段、主機和服務(wù)建立攻擊監(jiān)控體系，有效阻止外部黑客的入侵和來自內(nèi)部網(wǎng)絡(luò)的攻擊。

6.網(wǎng)絡(luò)防火墻技術(shù)

防火墻就是在內(nèi)部網(wǎng)與外部網(wǎng)之間建立的一種被動式防御的訪問控制技術(shù)，它能夠在網(wǎng)絡(luò)的入口處，根據(jù)IP源地址、IP目標地址、協(xié)議端口以及數(shù)據(jù)包的狀態(tài)等信息，對發(fā)送和接受的每一個數(shù)據(jù)包進行過濾監(jiān)測，并根據(jù)用戶事先定義好的過濾規(guī)則，拒絕或允許IP數(shù)據(jù)包的通過，在必要時將有關(guān)信息反饋給上層應(yīng)用程序。

防火墻的主要技術(shù)類型包括網(wǎng)絡(luò)級數(shù)據(jù)包過濾和應(yīng)用代理服務(wù)（應(yīng)用網(wǎng)關(guān)）。鑒于兩種防火墻技術(shù)的優(yōu)缺點，在實際構(gòu)建防火墻系統(tǒng)時，常將兩種技術(shù)配合使用，由過濾路由器提供第一級安全保護，主要用于防止IP欺騙攻擊，再由代理服務(wù)器提供更高級的安全保護機制。

7.防病毒技術(shù)

8.備份和災(zāi)難恢復

備份和災(zāi)難恢復是對銀行網(wǎng)絡(luò)系統(tǒng)工作中可能出現(xiàn)的各種災(zāi)難情況（如計算機病毒、系統(tǒng)故障、自然災(zāi)害、人為破壞等）進行的保證系統(tǒng)及數(shù)據(jù)連續(xù)性和可靠性的一種防范措施。銀行網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)主機和服務(wù)器的備份方式一般可采取雙機備份、磁盤鏡像或容錯等技術(shù)，備份機要遠離生產(chǎn)機?？刹捎肊MC智能存儲系統(tǒng)的SRDF遠程磁盤鏡像技術(shù)等作為數(shù)據(jù)備份技術(shù)，生產(chǎn)中心和備份中心之間通過直連光纜實現(xiàn)數(shù)據(jù)備份通道。

數(shù)據(jù)備份包括系統(tǒng)數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)、應(yīng)用數(shù)據(jù)等的備份，采用傳統(tǒng)的磁盤、磁帶、光盤作為介質(zhì)，根據(jù)數(shù)據(jù)的重要程度和不同要求分不同的期限實行本地和異地雙備份保存。

網(wǎng)絡(luò)系統(tǒng)安全管理措施

銀行網(wǎng)絡(luò)系統(tǒng)的安全性不僅與硬件、網(wǎng)絡(luò)、系統(tǒng)等技術(shù)方面有關(guān)，還與它的管理和使用有著極為密切的關(guān)系。

1． 加強基礎(chǔ)設(shè)施和運行環(huán)境建設(shè)

計算機機房、配電室、交換機機房等計算機系統(tǒng)重要基礎(chǔ)設(shè)施應(yīng)嚴格管理，配備防盜、防火、防水等設(shè)備;安裝電視監(jiān)控系統(tǒng)、監(jiān)控報警等裝置;計算機設(shè)備采用UPS不間斷電源供電（重要機房可采用雙回路供電或配備發(fā)電機組）;設(shè)備要可靠接地;供電、通信線路要布線整齊、規(guī)范、連接牢靠;機房環(huán)境要干凈、整潔，保持特定的溫度和濕度。

2． 加強設(shè)備管理和使用工作

建立包括設(shè)備購置管理、設(shè)備使用管理、設(shè)備維修管理和設(shè)備倉儲管理等內(nèi)容的規(guī)章制度。計算機管理部門要定期對設(shè)備運行環(huán)境、設(shè)備運行狀況、各項規(guī)章制度、操作規(guī)程的執(zhí)行情況進行檢查，對發(fā)現(xiàn)的問題及時解決，確保計算機系統(tǒng)的安全、可靠運行。

3． 建立健全安全管理內(nèi)控制度

建立業(yè)務(wù)部門計算機系統(tǒng)使用管理規(guī)定、部門主管和業(yè)務(wù)操作人員計算機密碼管理規(guī)定、違反計算機管理規(guī)章制度處理辦法等內(nèi)控管理制度;嚴格實行運行、維護、開發(fā)分離的崗位責任制;禁止混崗和代崗，禁止公用和公開密碼;對重要數(shù)據(jù)的改賬處理要經(jīng)過授權(quán)由專人負責，并登記日志;建立健全備份制度，核心程序及數(shù)據(jù)結(jié)構(gòu)要嚴格保密，實行專人分工保管;對已制定的規(guī)章制度，要專人負責，真正落實，從根本上杜絕內(nèi)部安全隱患。

4． 加強銀行員工思想和安全意識教育

一方面對員工要進行經(jīng)常的思想道德水平和法制觀念教育，培養(yǎng)他們自覺抵制各種誘惑的能力，使他們不違法、不犯罪;另一方面要提高員工的安全防范意識和能力，不給犯罪分子以可乘之機。

第四篇：淺談校園網(wǎng)絡(luò)安全及防范措施

更多資料請訪問：豆丁 教育百科

淺談校園網(wǎng)絡(luò)安全及防范措施

高縣職校 楊兵

[摘要] 隨著校園網(wǎng)的不斷發(fā)展和應(yīng)用，網(wǎng)絡(luò)管理和安全防范問題也越來越復雜。Internet是一個信息的海洋,雖然給人們帶來了無盡的便捷,大大提高了工作效率,但是由于Intemet所具有的開放性、國際性和自由性,所以每個網(wǎng)絡(luò)用戶同時都面臨著嚴峻的安全問題。校園網(wǎng)絡(luò)通常是借助主干網(wǎng)絡(luò)將校園內(nèi)分處于不同地域的教學樓和機構(gòu)相連接構(gòu)成校園網(wǎng)絡(luò)的整體,然后通過一個出口與Intemet相連接。本文主要是結(jié)合校園網(wǎng)管理工作的實際，就校園網(wǎng)絡(luò)安全問題的特點，提出一些防范校園網(wǎng)安全的措施。

[關(guān)鍵詞] 校園網(wǎng) 網(wǎng)絡(luò)安全

防范措施

一、前言

當前，構(gòu)架在網(wǎng)絡(luò)環(huán)境之上的“校園網(wǎng)”，已成為學校信息化建設(shè)的焦點。校園網(wǎng)建設(shè)的宗旨，是服務(wù)于教學、科研和管理，其建設(shè)原則也無外乎先進性、實用性、高性能性、開放性、可擴展性、可維護性、可操作性，但人們大多都忽略了網(wǎng)絡(luò)的安全性，或者說在建設(shè)校園網(wǎng)過程中對安全性的考慮不夠。據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟損失高達75億美元，而全球平均每20秒鐘就發(fā)生一起Internet 計算機侵入事件。在我國，每年因黑客入侵、計算機病毒的破壞給企業(yè)造成的損失令人觸目驚心。人們在享受到網(wǎng)絡(luò)的優(yōu)越性的同時，對網(wǎng)絡(luò)安全問題變得越來越重視。

由此可見，校園網(wǎng)的安全性問題貫穿于校園網(wǎng)建設(shè)、管理、使用的全過程，是非常重要的。

二、校園網(wǎng)絡(luò)安全問題的特點

由于學校是以教學活動為中心的場所，網(wǎng)絡(luò)的安全問題也有自己的特點。主要表現(xiàn)在：

1.不良信息的傳播。

在校園網(wǎng)接入Internet后，師生都可以通過校園網(wǎng)絡(luò)在自己的機器上進入Internet。目前Internet上各種信息良莠不齊，有關(guān)色情、暴力、邪教內(nèi)容的網(wǎng)站泛濫。這些有毒的信息違反人類的道德標準和有關(guān)法律法規(guī)，對世界觀和人生觀正在形成的學生來說，危害非常大。如果安全措施不好，不僅會有部分學生進入這些網(wǎng)站，還會把這些信息在校園內(nèi)傳播。2.病毒的危害。

通過網(wǎng)絡(luò)傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機病毒所不能比擬的。特別是在學校接入Internet后，為外面病毒進入學校大開方便之門，下載的程序和電子郵件都可能帶有病毒。3.非法訪問。

學校涉及到的機密不是很多，來自外部的非法訪問的可能性要少一些，關(guān)鍵是內(nèi)部的非法訪問。一些學生可能會通過非正常的手段獲得習題的答案，使正常的教學練習失去意義。更有甚者，有的學生可能在考前獲得考試內(nèi)容，嚴重地破壞了學校的管理秩序。4.惡意破壞。

這包括對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個方面的破壞。

網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機、集線器、通信媒體、工作站等，它們分布在更多資料請訪問：豆丁 教育百科

整個校園內(nèi)，管理起來非常困難，某些人員可能出于各種目的，有意或無意地將它們損壞，這樣會造成校園網(wǎng)絡(luò)全部或部分癱瘓。

另一方面是利用黑客技術(shù)對校園網(wǎng)絡(luò)系統(tǒng)進行破壞。表現(xiàn)在以下幾個方面：對學校網(wǎng)站的主頁面進行修改，破壞學校的形象；向服務(wù)器發(fā)送大量信息使整個網(wǎng)絡(luò)陷于癱瘓；利用學校的BBS轉(zhuǎn)發(fā)各種非法的信息等。5.使用者自身的特點

校園網(wǎng)絡(luò)有別于一般的Intranet。首先，它的主要使用者為處于青少年階段的學生，他們好奇心強、求勝逞強心重、法律意識比較淡泊，大部分學校對他們的信息道德教育不到位，使他們產(chǎn)生崇拜黑客的想法，總想一試身手；其次，某些網(wǎng)站為了點擊率及自身的利益，提供黑客軟件及教程下載；此外，學生精力旺盛，掌握了大量的計算機和網(wǎng)絡(luò)專業(yè)知識，所以他們易產(chǎn)生黑客行為或編寫病毒程序。

三、校園網(wǎng)安全的防范措施

目前，比較成熟的網(wǎng)絡(luò)安全技術(shù)產(chǎn)品有：防火墻、入侵檢測、身份認證、病毒防范、信息過濾、數(shù)據(jù)加密、VPN、VLAN、容錯、數(shù)據(jù)備份、地址綁定等。但網(wǎng)絡(luò)安全不只是這些技術(shù)產(chǎn)品的簡單堆砌，它是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機結(jié)合。1.根據(jù)用戶的特性和需求劃分VLAN

校園局域網(wǎng)與其他企事業(yè)單位的局域網(wǎng)相比，聯(lián)網(wǎng)計算機及網(wǎng)絡(luò)用戶的群體更為復雜。有教師備課機、學生機房、學生宿舍、圖書館、家屬區(qū)以及人事、財務(wù)、后勤等行政辦公計算機等。不同的用戶對于網(wǎng)絡(luò)有著不同的需求，對于自身信息的安全性要求也不同，據(jù)此可以將校園網(wǎng)劃分為多個VLAN。2.在校園網(wǎng)出口設(shè)置防火墻網(wǎng)關(guān)

防火墻網(wǎng)關(guān)能有效隔離校園網(wǎng)和外部互聯(lián)網(wǎng)，使校園網(wǎng)與互聯(lián)網(wǎng)之間的訪問連接得到有效控制，阻止黑客對校園網(wǎng)的非法訪問和攻擊。針對校園網(wǎng)中部分重要的網(wǎng)段(如院長辦公室、教務(wù)、財務(wù)、人事、科研中心、重要實驗室等)設(shè)置防火墻網(wǎng)關(guān)，將他們和學生機房、學生宿舍及家屬區(qū)的網(wǎng)段隔離，提供最基本的網(wǎng)絡(luò)層的訪問控制，使之不會受到來自校內(nèi)其他網(wǎng)段的攻擊。3.合理運用入侵檢測技術(shù)

入侵檢測技術(shù)是主動保護自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性?？梢岳萌肭謾z測技術(shù)構(gòu)架校園網(wǎng)的主動防御體系，加強對校園網(wǎng)特別是行政、教研、服務(wù)器等重點網(wǎng)段的保護。4.設(shè)置訪問控制管理系統(tǒng)和智能信息過濾系統(tǒng)

在學生上網(wǎng)比較集中的網(wǎng)段(如學生機房、學生宿舍、圖書館等)，設(shè)置Internet訪問控制管理系統(tǒng)和智能信息過濾系統(tǒng)，從技術(shù)上對學生的上網(wǎng)行為進行管理和監(jiān)控，防止學生有意無意訪問含有黃、賭、毒、暴力、邪教等內(nèi)容的網(wǎng)站。另外，還要加強對學生的信息道德教育、法制教育及上網(wǎng)行為的管理，使他們不再主動上網(wǎng)瀏覽、下載、傳播這類信息。5.加強服務(wù)器安全設(shè)置

服務(wù)器是校園網(wǎng)的核心設(shè)備，也是黑客們的主要攻擊對象，所以它們要有最高的安全性。網(wǎng)絡(luò)操作系統(tǒng)是校園網(wǎng)服務(wù)器系統(tǒng)中最重要的組成部分，用戶通過使用網(wǎng)絡(luò)操作系統(tǒng)來使用校園網(wǎng)絡(luò)資源，所以服務(wù)器安全的前提是網(wǎng)絡(luò)操作系統(tǒng)更多資料請訪問：豆丁 教育百科 的安全。

6.加強防范，防止病毒泛濫

要建立一個有效合理的病毒預(yù)防和查殺機制。通過在網(wǎng)絡(luò)中部署分布式、網(wǎng)絡(luò)化的防病毒系統(tǒng)，不僅可以讓單機有效地防止病毒侵害，還可以使管理員從中央位置對整個網(wǎng)絡(luò)進行實時狀態(tài)下的病毒防護。

◆ 及時有效對病毒進行查殺。

◆ 保證所有計算機都安裝了網(wǎng)絡(luò)版殺毒軟件的客戶端，不能漏掉一個，否則就會出現(xiàn)“木桶效應(yīng)”，使整個網(wǎng)絡(luò)重新被病毒感染。

◆ 及時升級服務(wù)器端殺毒軟件的病毒庫，并要求客戶端也要及時升級病毒庫，并定期進行全網(wǎng)計算機病毒掃描。

◆近年爆發(fā)的計算機病毒如沖擊波、震蕩波、QQ尾巴等都是利用操作系統(tǒng)或應(yīng)用軟件本身的漏洞進行傳播，所以要及時安裝系統(tǒng)補丁，截斷病毒傳播的途徑，配合殺毒軟件起到雙重防范病毒的效果。

◆ 要求校園網(wǎng)用戶在安裝了學校提供的網(wǎng)絡(luò)版殺毒軟件后，不得再私自安裝其他殺毒軟件，以免互相沖突。7.在防火墻內(nèi)口上捆綁IP和MAC地址，在匯聚交換機上捆綁IP和MAC地址，在接入交換機上捆綁端口和MAC地址。

通過MAC地址、IP地址、交換機端口的雙重捆綁，解決校園網(wǎng)中IP地址盜用問題和IP沖突問題。8.容錯和備份

對于重要的服務(wù)器，可以進行雙機熱備、磁盤鏡像；對于重要的數(shù)據(jù)信息，采用數(shù)據(jù)備份技術(shù)，要定期進行備份、存儲，做到防患于未然。一旦出現(xiàn)系統(tǒng)癱瘓、崩潰，可通過備份的數(shù)據(jù)信息快速地恢復系統(tǒng)。9.加強內(nèi)部安全管理，提高用戶的安全意識

為了確保網(wǎng)絡(luò)和系統(tǒng)的正常運轉(zhuǎn)，應(yīng)該建立嚴格的局域網(wǎng)管理制度和機房上機管理制度，杜絕人為因素造成網(wǎng)絡(luò)不安全。配備相應(yīng)的網(wǎng)絡(luò)管理人員負責整個網(wǎng)絡(luò)安全的日常管理及維護。

校園網(wǎng)絡(luò)安全問題的解決不僅僅需要先進的網(wǎng)絡(luò)安全技術(shù)及網(wǎng)絡(luò)安全設(shè)備，更需要嚴格的校園網(wǎng)管理制度和校園網(wǎng)安全意識，是一個系統(tǒng)化的工程，涉及范圍很廣。隨著校園網(wǎng)規(guī)模的擴大和網(wǎng)絡(luò)應(yīng)用的發(fā)展,還會出現(xiàn)新的網(wǎng)絡(luò)安全問題,所以不會有絕對的和永久的安全，因此網(wǎng)絡(luò)管理員就需要不斷學習，提高自身技術(shù)水平。

以上是從事網(wǎng)絡(luò)管理工作中得到的一些經(jīng)驗和理論，但這些仍不足以完全杜絕網(wǎng)絡(luò)危險，維護網(wǎng)絡(luò)安全的核心是保證用戶數(shù)據(jù)不受損害，所以定期地備份網(wǎng)絡(luò)用戶數(shù)據(jù)，是非常重要的手段，也是切實有效的方式。

第五篇：淺析計算機網(wǎng)絡(luò)安全威脅及防范措施

淺析計算機網(wǎng)絡(luò)安全威脅及防范措施

作者任 慧072701061

［摘要］隨著計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全日益成為人們關(guān)注的焦點。本文分析了影響網(wǎng)絡(luò)安全的主要因素及攻擊的主要方式，從管理和技術(shù)兩方面就加強計算機網(wǎng)絡(luò)安全提出了針對性的建議。

［關(guān)鍵詞］計算機網(wǎng)絡(luò) 安全 管理 技術(shù)

計算機網(wǎng)絡(luò)是一個開放和自由的空間，它在大大增強信息服務(wù)靈活性的同時，也帶來了眾多安全隱患，黑客和反黑客、破壞和反破壞的斗爭愈演愈烈，不僅影響了網(wǎng)絡(luò)穩(wěn)定運行和用戶的正常使用，造成重大經(jīng)濟損失，而且還可能威脅到國家安全。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為影響一個國家的政治、經(jīng)濟、軍事和人民生活的重大關(guān)鍵問題。本文通過深入分析網(wǎng)絡(luò)安全面臨的挑戰(zhàn)及攻擊的主要方式，從管理和技術(shù)兩方面就加強計算機網(wǎng)絡(luò)安全提出針對性建議。

1.影響網(wǎng)絡(luò)安全的主要因素

計算機網(wǎng)絡(luò)所面臨的威脅是多方面的，既包括對網(wǎng)絡(luò)中信息的威脅，也包括對網(wǎng)絡(luò)中設(shè)備的威脅，但歸結(jié)起來，主要有三點：一是人為的無意失誤。如操作員安全配置不當造成系統(tǒng)存在安全漏洞，用戶安全意識不強，口令選擇不慎，將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會給網(wǎng)絡(luò)安全帶來威脅。二是人為的惡意攻擊。這也是目前計算機網(wǎng)絡(luò)所面臨的最大威脅，比如敵手的攻擊和計算機犯罪都屬于

這種情況，此類攻擊又可以分為兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并導致機密數(shù)據(jù)的泄漏。三是網(wǎng)絡(luò)軟件的漏洞和“后門”。任何一款軟件都或多或少存在漏洞，這些缺陷和漏洞恰恰就是黑客進行攻擊的首選目標。絕大部分網(wǎng)絡(luò)入侵事件都是因為安全措施不完善，沒有及時補上系統(tǒng)漏洞造成的。此外，軟件公司的編程人員為便于維護而設(shè)置的軟件“后門”也是不容忽視的巨大威脅，一旦“后門”洞開，別人就能隨意進入系統(tǒng)，后果不堪設(shè)想。

2.計算機網(wǎng)絡(luò)受攻擊的主要形式

計算機網(wǎng)絡(luò)被攻擊，主要有六種形式。①內(nèi)部竊密和破壞。內(nèi)部人員有意或無意的泄密、更改記錄信息或者破壞網(wǎng)絡(luò)系統(tǒng)。②截收信息。攻擊者可能通過搭線或在電磁輻射的范圍內(nèi)安裝截收裝置等方式，截獲機密信息或通過對信息流和流向、通信頻度和長度等參數(shù)的分析，推出有用的信息。③非法訪問。指未經(jīng)授權(quán)使用網(wǎng)絡(luò)資源或以未授權(quán)的方式使用網(wǎng)絡(luò)資源,主要包括非法用戶進入網(wǎng)絡(luò)或系統(tǒng)進行違法操作和合法用戶以未授權(quán)的方式進行操作。④利用TCP/IP 協(xié)議上的某些不安全因素。目前廣泛使用TCP/IP 協(xié)議存在大量安全漏洞，如通過偽造數(shù)據(jù)包進行，指定源路由（源點可以指定信息包傳送到目的節(jié)點的中間路由）等方式，進行APR 欺騙和IP 欺騙攻擊。⑤病毒破壞。利用病毒占用帶寬，堵塞網(wǎng)絡(luò)，癱瘓服務(wù)器，造成系統(tǒng)崩潰或

讓服務(wù)器充斥大量垃圾信息，導致數(shù)據(jù)性能降低。⑥其它網(wǎng)絡(luò)攻擊方式。包括破壞網(wǎng)絡(luò)系統(tǒng)的可用性，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，拒絕服務(wù)甚至摧毀系統(tǒng)，破壞系統(tǒng)信息的完整性，還可能冒充主機欺騙合法用戶，非法占用系統(tǒng)資源等。

3.加強計算機網(wǎng)絡(luò)安全的對策措施

3.1 加強網(wǎng)絡(luò)安全教育和管理：對工作人員結(jié)合機房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個方面安全問題，進行安全教育，提高工作人員的安全觀念和責任心；加強業(yè)務(wù)、技術(shù)的培訓，提高操作技能；教育工作人員嚴格遵守操作規(guī)程和各項保密規(guī)定，防止人為事故的發(fā)生。同時，要保護傳輸線路安全。對于傳輸線路，應(yīng)有露天保護措施或埋于地下，并要求遠離各種輻射源，以減少各種輻__射引起的數(shù)據(jù)錯誤；線纜鋪設(shè)應(yīng)當盡可能使用光纖，以減少各種輻射引起的電磁泄漏和對發(fā)送線路的干擾。要定期檢查連接情況，以檢測是否有搭線竊聽、非法外連或破壞行為。

3.2 運用網(wǎng)絡(luò)加密技術(shù)：網(wǎng)絡(luò)信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種：①鏈接加密。在網(wǎng)絡(luò)節(jié)點間加密，在節(jié)點間傳輸加密的信息，傳送到節(jié)點后解密，不同節(jié)點間用不同的密碼。②節(jié)點加密。與鏈接加密類似，不同的只是當數(shù)據(jù)在節(jié)點間傳送時，不用明碼格式傳送，而是用特殊的加密硬件進行解密和重加密，這種專用硬件通常放置在安全保險箱中。③首尾加密。對進入網(wǎng)絡(luò)的數(shù)據(jù)加密，然后待數(shù)據(jù)從網(wǎng)絡(luò)傳送出后再進行解密。網(wǎng)絡(luò)的加密技術(shù)很多，在實際應(yīng)用中，人們通常根據(jù)各種加密算法結(jié)合在一起使用，這樣可以更加有效地加強網(wǎng)絡(luò)的完全性。網(wǎng)絡(luò)加密技術(shù)也是網(wǎng)絡(luò)安全最有效的技術(shù)之

一。既可以對付惡意軟件攻擊，又可以防止非授權(quán)用戶的訪問。

3.3 加強計算機網(wǎng)絡(luò)訪問控制：訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問，也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點的安全控制。根據(jù)網(wǎng)絡(luò)安全的等級、網(wǎng)絡(luò)空間的環(huán)境不同，可靈活地設(shè)置訪問控制的種類和數(shù)量。

3.4 使用防火墻技術(shù)：采用防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的主要手段。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。防火墻是在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng)，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機制，并且本身具有較強的抗攻擊能力。在邏輯上，防火墻是一個分離器、限制器和分析器，可以有效地監(jiān)控內(nèi)部網(wǎng)和Internet 之間的任何活動，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻的應(yīng)用可最大限度地保障網(wǎng)絡(luò)的正常運行，它可以起著提高內(nèi)部網(wǎng)絡(luò)的安全性、強化網(wǎng)絡(luò)安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡(luò)防毒、信息加密、存儲通信、授權(quán)、認證等重要作用。

總之，網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、管理、使用等諸多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施。因此，只有綜合采取多種防范措施，制定嚴格的保密政策和明晰的安全策略，才能完好、實時地保證信息的機密性、完整性和可用性，為網(wǎng)絡(luò)提供強大的安全保證。

參考文獻

［1］吳鈺鋒，劉泉，李方敏.網(wǎng)絡(luò)安全中的密碼技術(shù)研究及其應(yīng)用［J］.真空電子技術(shù)，2004.［2］楊義先.網(wǎng)絡(luò)安全理論與技術(shù)［M］.北京：人民郵電出版社，2003.［3］李學詩.計算機系統(tǒng)安全技術(shù)［M］.武漢：華中理工大學出版社，2003.