網絡安全分析范文

導語：如何才能寫好一篇網絡安全分析，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關鍵詞：電廠 信息網絡 安全 防范

中圖分類號：TM769 文獻標識碼：A 文章編號：1003-9082（2016）10-0282-01

前言

最近幾年，火電廠在自身的監管和調度等方面都引入了互聯網技術，構建了企業內部的信息網絡，極大的提高了管理的效率和水平，但是與此同時，也面臨著信息網絡的安全問題，必須采取切實有效的安全防范措施，對電廠信息網絡進行有效防范，防止黑客和病毒的入侵，確保電廠的穩定運轉。

一、火電廠信息網絡現狀

最近幾年，信息技術的發展和普及使得火電廠的信息網絡建設速度不斷加快，從目前來看，火電廠信息網絡的硬件環境已經基本形成，在電力系統生產、調度、傳輸等方面基本實現了信息網絡的管理及綜合調配。在火電廠中，信息網絡的結構非常復雜，為了加強與不同區域電廠的相互溝通，采用的是層層相疊的網絡構造，包括了幾個比較關鍵的要素，一是信息監控及動態控制，如發電量統計、日常維護檢修等；二是管理系統，主要有計算機、局域網以及部分配電設備共同構成，可以對日常發電信息進行整理和記錄，及時發現存在的故障和問題，做好處理工作，同時也能夠通過信息網絡，實現與供電區域的實時溝通，保證了良好的管理效果；三是網絡信息數據，這些數據屬于商業機密，應該具備良好的保密性[1]。

相關調查顯示，自信息網絡系統得到應用以來，電廠的管理水平得到了很大的提高，在安全生產、成本控制、降低能耗、提升效率等方面取得了非常顯著的成效。但是與此同時，在電廠信息網絡中也存在著一些安全隱患，影響了電廠的穩定發展。

二、火電廠信息網絡面臨的安全風險

信息網絡安全，是指為了保護企業信息網絡不受外來侵害而采取的有效措施，一方面能對網絡信息以及相關程序進行保護，避免其受到有意或無意的占用、破壞等問題，另一方面也可以通過信息加密技術，維護用戶的利益，減少和避免信息泄露問題。

1.物理風險

物理風險主要指信息網絡硬件設備所面臨的各種安全風險，如雷擊、火災、電磁干擾、人為破壞等，其會直接導致設備的損壞，造成難以彌補的損失。在火電廠中，必須強化對計算機網絡所處環境的安全防護工作，盡可能減少物理風險問題的出現。

2.網絡風險

網絡風險是指信息網絡面臨的病毒及黑客威脅，尤其是開放的網絡，更是容易受到外部的攻擊和入侵，入侵者可以利用系統中存在的安全漏洞，針對電廠信息網絡進行惡意攻擊，從而導致網絡的癱瘓，機密信息被篡改或者竊取[2]。

3.系統風險

電廠信息網絡中存在著各種各樣的系統，如操作系統、應用系統、服務器系統等，而在這些系統中，都必然會存在一定的漏洞，形成巨大的安全隱患，一旦被利用，將會給電廠帶來不可估量的損失。

三、火電廠信息網絡安全防范策略

實際上，除上述安全風險外，電廠信息網絡還存在安全意識不足、管理制度欠缺等問題，而這些問題的存在無疑都會給電廠信息網絡的可靠運行帶來負面影響。因此，為了保證信息網絡安全，火電廠相關管理人員應該重視信息安全管理工作，從電廠的實際情況出發，采取切實有效的安全防范策略。

1.強化安全意識

火電廠應該在做好相應的宣傳工作，在企業內部定期開展信息網絡安全知識講座，使得全體員工都能夠認識到信息網絡安全的重要性，強化其安全責任意識，確保其能夠嚴格依照相關規范進行施工作業，對于涉及機密的信息，需要強化監管，避免隨意流出，構建起一個信息網絡安全防范的體系，確保各項工作的順利開展[3]。

2.完善管理制度

一方面，應該對電廠信息網絡的安全管理工作進行明確，做好分層管理，將復雜的信息網絡劃分為多個不同的層次，采取分級信息管理的模式，對每一級的負責人進行明確，落實安全責任，在降低安全管理難度的同時，也可以及時發現并處理信息網絡中存在的安全隱患，切實保證信息網絡安全；另一方面，應該完善區域化管理模式，針對不同等級的電廠，給予不同級別的信息訪問權限，強化信息網絡安全機制，對電廠的信息管理制度進行完善。

3.落實防范措施

3.1物理層：在物理層，一方面應該做好設備的防盜防破壞工作，安排專人進行定期巡查，強化監管工作；另一方面，必須保證設備運行環境的安全。具體來講，應該將信息網絡設備放置在一個相對安全的環境中，做好電源保護；對于與系統攔截的存儲設備，需要進行妥善保管，防治出現數據的損壞或者信息的泄露；應該強化安全防護策略，完善網絡本身的物理防御，設置主機防御和邊界防御，利用防火墻對網絡接入點進行保護[4]。

3.2網絡層：應該立足電廠信心網絡的發展現狀及存在問題，積極引進先進的安全技術，結合遠程推送實現對于所有計算機客戶端防病毒軟件的安裝。而在完善客戶端后，還需要及時對病毒庫進行更新，對防病毒軟件進行升級，做好電腦病毒的查殺處理。在火電廠信息網絡中，防病毒體系主要包括了三個不同的層次，分別是客戶端防毒、服務器防毒以及網關防毒，可以通過網絡防毒軟件進行統一的管控。其中，客戶端防毒主要是通過病毒庫的自動更新以及遠程管控功能，幫助管理人員實現對局域網內部所有計算機的監控；服務器防毒則是通過防毒措施，對應用系統服務器進行保護，對宏病毒進行查殺；網關防毒則是通過對病毒的檢測和清除，為網絡傳輸系統提供防護，避免計算機病毒或者惡意程序通過網關進行入到內部信息網絡。

3.3系統層：系統層的安全防范主要包括了系統漏洞掃描、計算機病毒防范以及黑客防范等。其中，計算機病毒的防范多是通過安裝防毒軟件的方式，結合實時更新的病毒庫，對已知病毒和未知病毒進行抵御；黑客的供給是通過系統漏洞進行的，因此，反黑客與系統漏洞掃描是一致的，針對掃描出的安全漏洞，需要及時進行補丁的更新，并采取有效的補救措施，如果必要，對于一些比較重要的電力系統，還可以采取物理隔離措施。另外，應該重視對服務器系統日志的監測管理工作，系統日志能夠對系統中發生的各種事件進行記錄，通過系統日志，信息管理人員能夠了解信息網絡的安全性，判斷錯誤發生的原因，或者對入侵者在攻擊信息網絡系統時留下的痕跡進行確認，及時對存在的問題進行解決，保證信息網絡的安全[5]。

四、結語

總而言之，在火電廠中，信息網絡安全是一個系統性、全局性的問題，任何一個漏洞或者疏忽大意，都可能會引發網絡安全問題，給電廠帶來難以估量的損失。對于信息管理人員而言，應該立足電廠實際，采用系統性的觀點，去分析信息網絡中存在的安全問題，采取切實有效的安全防范措施，保證電廠信息網絡安全，進而推動火電廠的穩定健康發展。

參考文獻

[1]潘金明.水電廠網絡信息安全防護探究[J].科技資訊.2014，（32）：15，17.

[2]陳海平.廣州蓄能水電廠信息網絡安全建設[J].通訊世界，2015，（12）：110-111.

[3]解俊峰.水電廠信息網絡安全防護探究[J].電腦知識與技術，2012，8（8）：1759-1760.

篇2

網絡化、信息化時代背景下，人們對互聯網的依賴程度越來越高，但是網絡信息安全問題也變得更為嚴峻，近些年所發生的網絡安全事件屢見不鮮，如2017年老牌信用機構Equifax遭黑客攻擊，1.43億用戶信息被盜事件，全球爆發WannaCrypt勒索病毒等。面對愈發復雜的網絡環境以及海量增長的數據信息，傳統網絡安全防護技術已經無法滿足實際需求，將大數據技術加以充分應用，構建網絡安全平臺，能夠顯著增強網絡安全等級，是當下研究的熱點。

1大數據技術應用于網絡安全分析中的重要性

大數據技術具有有數據量大、種類繁多、速度快、價值密度低等特點，在網絡安全分析中有著較高的應用價值，其重要性具體體現在以下幾方面。第一，大數據技術可以拓寬數據存儲容量，滿足海量數據安全分析需求，并且在對多源數據和多階段組合進行分析時，在保證運算效率的同時，還能確保數據的完整性。第二，大數據技術能夠對網絡數據進行多層級、多精度分析，理清數據間的復雜關系，找出其中潛在的安全隱患和風險，網絡安全分析精度大幅提升。第三，利用大數據分析技術，可以對異構數據進行存儲和分析，顯著提高了網絡安全分析速率，能夠在更短時間內發現并解決網絡安全問題[1]。第四，傳統網絡安全平臺為結構化數據庫，而基于大數據技術的網絡安全平臺為分布式數據庫，具有良好的經濟效益，設備成本較低且性能良好，減少了系統維修費用，降低了網絡安全平臺構建成本。

2網絡安全分析的大數據技術實踐

將大數據技術應用于網絡安全分析方面，可以實現對日志和流量的集中化存儲與分析，深層挖掘數據之間的關系，增強了網絡安全檢測及防防護能力。

2.1數據采集

網絡安全分析需要依托全面、完整的信息數據，在應用大數據技術時，應先完成數據采集。對于每秒數百兆的日志信息來講，可以利用Chukwa等工具對其進行采集；對于全數量數據來講，可以使用傳統數鏡向方式對其進行采集[2]。

2.2數據存儲

完成數據采集后，需依托數據庫對其進行集中存儲，在大數據技術的幫助下，數據類型存在差異時，可以采用與其相匹配的方式完成存儲，不僅能夠保證數據之間的明確分類，又可以方便數據查詢。數據類型為即時數據時，可采用列式存儲方法，先運用流式計算方式進行分析，然后存儲所得結果。數據類型為日志時，為提高數據查詢效率，可選用列式存儲方法完成存儲。另外，當數據經過標準化處理后，需要先對其進行處理，所用方法為分布式計算方法，然后再采用列式存儲方法進行存儲。

2.3數據查詢

將大數據技術應用于網絡安全分析中去，就數據查詢來講，可依托MapReduce完成[3]。系統發出查詢指令后，在對應的節點位置完成處理，并將多種結果加以整合，然后可以通過檢索得到自己所需數據信息。相較于傳統網絡安全分析平臺，這種數據查詢方式的指令反應及處理更為迅速，大大提高了查詢效率。

2.4數據分析

基于大數據技術的網絡安全分析平臺，當數據類型不同時，所用分析處理方法也是不一樣的。首先，如果數據類型為實時數據時，在對其進行分析和處理時，主要用到了流式計算方式、CEP技術、關聯分析算法等，可以及時發現潛在的安全隱患及威脅。其次，如果數據類型為歷史數據、統計結果時，在實效性方面要求并不嚴格，可對其進行離線處理，完成更為深入、全面的分析，所用方法主要為分布式存儲與計算，既能夠發現其中的風險隱患，又可以找出攻擊來源。

2.5復雜數據處理

面對越來越復雜以及關聯性越來越強的數據，以大數據技術為依托的網絡安全分析平臺，也可以更加迅速、精準地對其進行處理，包括多源異構數據、系統安全隱患以及關聯性攻擊行為等。以網絡安全問題中常見的僵尸網絡為例，借助大數據技術，不但能夠從流量和DNS訪問特性出發，而且能進行發散性關聯分析，同時結合多方面的數據信息，可對數據進行多維度、深層次、全方位分析，確保了數據處理的有效性。

3大數據技術背景下網絡安全平臺建設

基于大數據技術所體現出的多方面優勢，已經在網絡安全分析方面得到了越來越廣泛的應用，在構建網絡安全平臺時，需要科學設計其基礎構架，并嚴格把控關鍵技術環節，充分發揮其應用價值。

3.1平臺構架

以大數據技術為依托，所搭建的網絡安全平臺分為四個層級，包括數據采集層、數據存儲層、數據挖掘分析層、數據呈現層，四個層級功能各不相同，需要分別對其進行分析。首先，數據采集層主要負責采集各種類型數據，包括即時數據、用戶身份信息、日志等，實現方式為分布式采集。其次，數據存儲層的能夠實現海量信息的長期保存，并采用結構化、半結構化、非結構化方式對其進行統一存儲，使用均衡算法將現實數據均勻分布在分布式文件系統上[4]。另外，網絡安全異常的發現及溯源，則是在數據挖掘分析層完成，具體方法包括特征提取、情境分析、關聯分析等，可通過檢索查詢對異常網絡行為進行準確定位。最后，數據呈現層則可以通過可視化形式將大數據分析結果呈現出來，通過多種維度展現網絡安全狀態。

3.2關鍵技術

構建網絡安全平臺時，所用到的關鍵技術主要有數據采集技術、數據存儲技術、數據分析技術等。此次研究所用數據采集技術包括Flume、Kafka、Storm等，Flume能夠采用分布式方式，對來源不同的數據進行收集和整理，經過處理后將其傳輸至定制方。Kafka中應用了Zookeeper平臺，可實現數據的集群配置管理，能夠作為一個高吞吐量的分布式訂閱系統應用，平衡數據處理環節的系統負荷。完成數據采集后，采用HDFS分布式文件系統對其進行存儲，其容錯性和吞吐量都比較高，使用元數據管理節點文件系統對空間命名，數據文件保存至數據節點，基本存儲單位為64兆字節的數據塊。數據文件會隨著元數據節點的增多而減少，兩者之間呈反比關系，多個文件同時被訪問時，會對系統性能造成影響，而HDFS分布式文件系統的應用可有效避免這種問題。在數據分析環節，該平臺所用技術為Hivc，對于非結構化數據的檢索，所用語言為HiveQL，與HDFS和HBase匹配性良好。API的封裝則是采用Hive完成，使用定制的插件開發和實現各種數據的處理、分析與統計。

4結束語

將大數據技術應用于網絡安全分析領域，不僅能夠提高分析速率、分析精準度，而且還可以降低技術成本，有著多方面顯著優勢，是未來網絡安全防護的必然發展方向。在實際應用時，應采用層級結構構建網絡安全平臺，就數據采集、數據存儲、數據分析等關鍵技術環節進行重點把控，以此來改善當前網絡安全分析中的缺陷與不足，提高網絡安全等級。

參考文獻：

[1]孫玉.淺談網絡安全分析中的大數據技術應用[J].網絡安全技術與應用，2017.

[2]王帥,汪來富,金華敏等.網絡安全分析中的大數據技術應用[J].電信科學，2015.

篇3

氣象網絡，簡而言之，指的是將計算機網絡技術應用于氣象領域，使氣象信息網絡化，信息化，方便人們的使用。目前，氣象網絡按照不同的安全等級劃分成三種網絡結構形式：（1）內部局域網（含機要內網），此網要求安全等級極高，各個部門的計算機均在此網上；（2）通過數字專線與相關政府職能機構構成的政務專網，通過不同授權等級共享各級數據資源；（3）公眾互聯網，通過電信寬帶接入氣象網站，供廣大用戶瀏覽。現代社會氣象信息的大量應用，越來越彰顯其重要性，然而與此同時，網絡的應用也給氣象信息安全帶來了大量的潛在隱患，因此，加強氣象網絡的安全性就非常有必要。

（一）氣象技術的保障需求。當前，隨著氣象業務的不斷發展，氣象應用系統越來越多，對網絡的依賴程度越來越強，網絡安全早已擺在極其重要的位置。尤其是近幾年來，隨著全球氣候的普遍升溫，世界各個地方都面臨著干旱、洪澇、雨雪、臺風等自然災害，氣象技術的觀測、預報功能是人們預防自然災害最有利的工具，而病毒、非法侵入系統等不法行為肯定會影響到氣象技術的發揮，因此，保障氣象網絡安全是必需的。要解決這一問題不可能依靠某種單一的安全技術，必須針對氣象網絡的應用情況，采用綜合的策略，從物理環境、網絡和網絡基礎設施、網絡邊界、計算機系統和應用、安全管理等多方面構筑一個完整的安全體系。

（二）氣象網站的安全需要。全國各級氣象網站是公眾了解氣象政務、天氣預報等信息的重要媒體，通過這一媒介，人們可以根據未來的氣象資料，預先安排自己的生產生活。當前世界聯系日益緊密，任何因素的波動都可能造成無法估量的損失，因此，人們從氣象網站中及時獲取有價值的信息，對于他們來說，是非常重要的。但由于互聯網的安全性較低，隨時都有可能遭到有意或無意的黑客攻擊或者病毒傳播。

二、氣象網絡安全存在的問題

其實影響氣象網絡安全的因素有很多，本文從以下幾個方面進行論述：

（一）氣象網絡管理缺陷。由于全國各級氣象網絡系統在管理制度上普遍存在缺陷，有些基層站沒有專職計算機網絡管理人員，再加上某些基層氣象職工計算機水平較低，機房設備較差，對氣象網絡的安全極為不利。其不安全因素主要表現在：

（1）人為的非法操作。在某些基層氣象站閑雜人員擅自進入機房的現象時有發生，甚至有人隨意使用外來光磁盤。由于制度不到位，防范意識差，隨意的光盤、磁盤放入，有意無意將黑客裝入，給計算機網絡埋下不安全隱患。

（2）管理制度不完善。本應由管理員操作的部分管理工作，擅自交由其他非工作人員進行操作，甚至告訴密碼，致使其他人可以任意進行各種操作，隨意打開數據庫，造成有意無意的數據丟失，有的甚至在與Internet連接的情況下，將數據庫暴露，為黑客入侵創造條件；有的人將密碼隨意泄露給別人。

（3）相關工作人員的失職。氣象部門工作人員的職責不到位，，在Internet上亂發信息，為修改文件破壞了硬件，對“垃圾文件”不及時清除，造成數據庫不完整，資料不準確。

（二）病毒侵入。目前，氣象網絡安全面臨的最大危險就是病毒的侵入。當前網絡中，各種各樣的病毒已經不計其數，并且日有更新，每一個網絡隨時都有被攻擊的可能。計算機網絡病毒充分利用操作系統本身的各種安全漏洞和隱患，并對搭建的氣象網關防護體系見縫插針，借助多種安全產品在安裝、配置、更新、管理過程中的時間差，發起攻擊；有時黑客會有意釋放病毒來破壞數據，而大部分病毒是在不經意之間被擴散出去的。在不知情的情況下打開了已感染病毒的電子郵件附件或下載了帶有病毒的文件，也會讓氣象網絡染上病毒。

三、解決對策

（一）嚴格的安全管理制度。面對氣象信息網絡安全的脆弱性，一方面要采用技術方面的策略外，另一方面還應重視管理方面的安全，注重安全管理制度的加強。針對安全管理的復雜度，重要的是建立一套完整可行的安全政策，切實管理和實施這些政策。我們需要從以下幾個方面入手：

（1）首先加強人員的安全意識，定期進行網絡安全培訓；其次，制定安全操作流程，有明確、嚴格的安全管理制度。再次，責權明確，加強安全審計，詳細記錄網絡各種訪問行為，進而從中發現非法的活動。

（2）構建安全管理平臺。從技術上組成氣象安全管理子網，安裝集中統一的安全管理軟件，如病毒軟件管理系統，網絡設備管理系統，以及網絡安全設備統管理軟件。定期對安全策略的合理性和有效性進行核實，對于氣象網絡結構的變化，應先進行安全風險評估，適時修改安全策略。

（二）防范各種非法軟件攻擊和入侵。網絡的存在必然會帶來病毒攻擊和入侵發生。病毒的攻擊，一方面來自外部，由于應用系統本身的缺陷，防火墻或路由器的錯誤配置，導致非法攻擊輕而易舉的進入網絡，造成氣象業務中斷，數據的竊取和篡改等；另一方面的攻擊來自于內部，內部員工的無意或者惡意的攻擊，也會給網絡的正常運行構成威脅。

目前利用防火墻雖然可以阻止各種不安全訪問，降低安全風險，但防火墻不是萬無一失的，因此，作為防火墻的必要補充的入侵檢測系統（IDS），是第二道安全閘門，在全國各級氣象網絡的關鍵節點配置IDS，可監視信息網絡系統的運行，從中發現網絡中違反安全策略的行為和被攻擊的跡象，監控用戶的行為，對所有的訪問跟蹤，形成日志，為系統的恢復和追查攻擊提供基本數據。在各級建立IDS可以實時對關鍵服務器和數據進行監控，對入侵行為，違規操作進行預警與響應，并通過與防火墻聯動有效阻止來自內部和透過防火墻的攻擊行為。

（三）病毒防護策略。對于網絡病毒的防范是氣象網絡的重要組成部分。目前，氣象網絡的覆蓋面廣，病毒的危害也越來越大，加之傳統的單機殺毒已無法滿足需求，因此急需一個完善的病毒防護體系，負責病毒軟件的自動分發、自動升級、集中配置和管理、統一事件和告警處理、保證整個網絡內病毒防護體系的一致性和完整性。

主要的防范措施是建設覆蓋全國各級氣象信息網絡病毒防護體系，實現全網的統一升級、查殺、管理，防止病毒的交叉感染。包括網關級病毒防護，針對通過Internet出口的流量，進行病毒掃描，對郵件、Web瀏覽、FTP下載進行病毒過濾，服務器病毒防護，桌面病毒防護，對所有客戶端防病毒軟件進行統一管理等。

參考文獻：

[1]張劍平等，《地理信息系統與MapInfo應用》.科學出版社.1999.

[2]黃翠仙，廈門市氣象局網絡的VLAN設計[J].廣西氣象.2005（1）.

[3]鄔倫等，《地理信息系統－原理、方法和應用》.科學出版社.2001.

篇4

【關鍵詞】移動通信網絡;安全問題;互聯網

一、前言

現代移動通信網絡的安全問題已經不再體現為原始的信息泄露方面，變得更加多元化，尤其實在手機與互聯網的接駁，使得互聯網的安全問題也開始影響移動通信網絡的安全，這樣的發展形勢下，保證移動通信網絡的安全，保護信息在移動通信網絡中傳輸不會被竊取、毀壞、篡改就變得更加的艱難。

二、移動通信網絡的定義

移動通信網絡是指移動物體或者移動物體與固定物體之間的通信網絡。就實際的應用來說，與人們最為密切的，就是現有的通信網絡、手機、無繩電話、衛星電話等。

現在的移動通信網絡與互聯網的相似程度越來越高，而且依托于手機網絡的很多聊天工具的出現使得，移動通信出現了很大的變化。也容易將移動通信網絡與互聯網相混淆。實際上手機通信網絡與互聯網是兩個不同的網絡，手機可以使用互聯網是因為手機移動網絡與互聯網有鏈接，而不是移動通信網絡包括互聯網，這是一個需要具體區分的概念[1]。4G網絡支持的視頻電話與互聯網的視頻聊天不同，它所使用的不是互聯網而是現有的移動通信網絡，原有的移動通信網絡傳輸語音信號，而現在可以傳輸視頻信號。這是一個看似相同但是本質上不同的問題。

移動通信網絡更加注重私密性，相對于互聯網來說，它所需要的保密性更強，能夠共享的信息更少，在發展中更注重安全問題，和信息的保護。在人們的認識中移動通信網絡更加的安全。

三、移動通信網絡的新局面

隨著移動通信技術的不斷深化，互聯網與移動通信網絡的重合部分也越來越大，這就產生了新的局面，與互聯網重合的部分和相似的部分越多，安全問題的重合和相似的部分也就越多。傳統的信號傳輸僅限于語音信號和文字信號，這些信號對于系統的要求低，而且技術性不高，所面對的安全問題也僅限于保證信息的泄露。而現代移動通信可以需要的安全性就高，適應性也更廣。在實際生活中，手機所需要負責的也更多，不僅僅是通話，發短信還可以進行工作，瀏覽網頁，看書等等，這樣的轉變使移動通信網絡的功能性有了很大的開發，很多以前幻想的情況通過一定的技術手段得以實現。現在的移動通信因為智能手機的出現變成了計算機互聯網的補充用品，在無法使用電腦或者攜帶不方便時，手機就在一定程度上替代了電腦的作用，移動通信網絡成了與互聯網相連接的橋梁。這就是現代移動通信網絡的新局面，傳統方式的移動通信網絡運行模式已經無法適應現在的情況。數據傳輸內容，傳輸方式的改變，迫使移動通信網絡的安全保護方式作出新的適應和改變[2]。

四、移動通信網絡的安全問題

1.傳統問題

傳統的移動通信網絡問題主要是集中在通信網絡上的竊聽與反竊聽上，因為信號傳輸能力和技術手段的問題，不存在信息篡改的情況。但是現代的移動通信網絡面臨的將是傳統問題從根源上的改變，新技術帶來的不僅僅是好的變化，在現代的移動通信網絡中，竊聽反竊聽的手段也越來越多樣，有依托于信息傳輸種植“種子”的，有劫持手機信號的還有很多方式，這樣的情況下傳統的移動通信網絡安全策略就無法有效的保護使用者的信息安全，造成了嚴重的信息危機。

2.新的問題

這些問題很明顯的帶有互聯網的色彩，可以說都是互聯網的負面衍生品，移動通信網絡在一定程度上替代了計算機網絡的使用功能，在移動信息網絡高質量高數量的數據傳輸的同時，智能手機依靠其與電腦的同質性崛起，可以說此二者是相輔相成的，但是這樣的改變使得，電腦病毒、黑客等互聯網安全問題有了更大的施展空間。

手機軟件在功用上可以與計算機相仿，但是手機的基本防護能力與計算機相比有著很大的差距，手機受限于硬件和數據空間的大小無法運行過大的防御軟件，但是這樣的限制對于病毒，黑客等安全問題幾乎沒有影響。甚至現代移動通信網絡發展初期就已經有了專用的手機病毒，這就表示在移動通行網絡整體防御機制沒有建立起來時，網絡破壞程序已經開始了發展，這樣的威脅世界為嚴重的[3]。

再有手機用戶的手機經濟行為越來越多，是很多罪犯將目標放在了移動通行網絡上，這就標志著移動通信網絡犯罪將成為移動通信網絡安全的首要問題。

五、移動通信網絡的安全對策

1.線路保護

移動通信網絡的基礎是遍布全球的通信基站、主服務器和衛星，可以說這些系統是對外不對內的，一旦線路出現問題，那么整個系統將毫無保留的呈現在入侵者面前，這樣的結果是不能被接受，損失也是整個世界所不能承受的，所以保護移動通信線路時需要嚴格的。

2.加密保護

最傳統的保護方式也是最為使用的保護方式，將整個系統進行加密，在移動通信網絡中流動的數據，經過嚴格的加密程序可以有效地保護起來。在新的技術的支持下，加密程序更加的復雜，步驟也更加的繁瑣。利用技術上的優勢保護系統內的信息，可以完成對于絕大多數使用者的保護。

3.身份認證

身份認證是一個十分重要的環節，這個身份既可以指個人身份，也可以指系統身份。個人身份就像現在的手機實名制，是一種可以有效保護個人的系統信息的方式。系統身份是作為信息的接受者或者信息的者的一種認證模式，再這樣的體系統，無法進行認證的使用者會被拒絕接入，利用這種方式對使用者的信息進行保護[4]。

4.信息篩選

在現代移動信息網絡中使用者是無法對接收信息進行篩選的，作為最終端的地系統只有接收和發射的能力，這就給使用者帶來了使用安全。以手機為例，現在的手機都是一殺毒軟件屏蔽的方式來進行對于信息的篩選，但是移動網絡本身沒有這樣的能力，單純依靠殺毒軟件達不到很好地信息篩選的效果，很多的入侵都是以殺毒系統識別不到的方式侵入手機盜取信息。

而移動網絡系統的信息篩選將從根源上解決這些問題，系統將直接篩選安全的信息傳入移動通信網絡，這就避免了很多不安全信息在傳入移動通信網絡后對于網絡用戶的傷害。

六、總結

現代移動通信網絡有著不同于之前的時代性和進步性，這樣的進步不僅影響著使用者的使用效果，也帶來更多更嚴峻的安全問題，再這樣的背景下，現代移動通信網絡加強自身的安全建設將成為首要的問題。在未來的發展中信息安全問題一直會影響著移動通信網絡的發展，也是我們將一直面對為之努力的問題。

參考文獻

[1]王歌.現代移動通信網絡安全分析[J].電子技術與軟件工程，2013，08（06）：47.

[2]楊光輝，李曉蔚.現代移動通信網絡安全關鍵技術探討[J].長沙通信職業技術學院學報，2010，06（02）：29-35.

篇5

高校在建設的時候，網絡規劃、網絡安全設計等都是根據當時的實際情況再預計未來一段時間的擴展性來設計，許多網絡系統、設備等到目前為止已經開始落后。網絡數據的井噴與網絡應用的飛速發展，更是進一步考驗高校現有網絡的安全性、可靠性和穩定性。雖然，許多高校隨著時代的不斷發展，也在不斷地更新換代新的設備，但是更換新一代的設備只是性能上的進一步提升，對于數據處理、轉發是跟得上時代的發展，不過對于網絡安全來說卻遠遠不足。

關鍵詞：

網絡安全；校園網；策略

1校園網絡基礎網絡架構

早期大部分高等院校校園建設的時候，信息化規劃跟不上學校教育的擴展，許多高等院校的基礎網絡架構都是簡單的層次化網絡結構（見圖1）：接入層、匯聚層、核心層級聯，再通過防火墻出口外部網絡，同時保證外部網絡對內部網絡的威脅被阻止，相對高級一些的設計還可能包括IDS（入侵檢測系統），隨著學校的不斷發展，一步步在原有的基礎網絡上添加新設備來豐富網絡組成，并提供更多的網絡服務。

2傳統網絡攻擊過程

在從前，主要的網絡安全威脅來自基于各種漏洞而進行的網絡攻擊和下載帶病毒的軟件包而導致的系統病毒感染。而這些傳統的網絡攻擊手段之后，才是在被攻破的系統中留下木馬、后門，或者破壞、竊取數據。這些傳統的攻擊手段是層層遞進式的（見圖2），從攻擊的開始到結束以遞進的形式進行，如果前面的步驟無法實現，則整個網絡攻擊過程將會中斷。這些傳統的網絡攻擊包括諸如DoS攻擊、DDoS攻擊、系統入侵、網絡滲透等。不斷重復這樣的一個網絡攻擊過程，當累積到一定的量后所組成的網絡僵尸大軍將對整個網絡造成非常嚴重的影響。

3傳統校園網絡安全防范體系

根據傳統的網絡攻擊過程，在許多的院校的基礎網絡中都會加入相應的網絡安全防范措施，這些網絡安全防范措施就構成了常見的校園網絡安全防范體系。而在傳統的高校校園網絡安全防范體系中，將網絡安全防御定義為外部網絡、內部網絡和用戶3個層次，而每個層次中有針對該層次的網絡安全設備和措施。對于外部網絡這一個層面，直接面對的是防火墻，很多的院校網絡都采用防火墻作網絡出口，承擔著網關與防火墻的雙重功能。采用防火墻作為外部網絡與內部網絡的邊界，可以有效地阻止大部分來自于外部網絡的惡意攻擊，保證內部網絡的穩定。在防火墻之后部署一臺入侵防御系統，可以進一步檢測可能避過防火墻的安全檢測而進入網絡的惡意流量。在內部網絡這個層面，傳統的網絡安全體系中一般沒有什么網絡安全設備，在這個層次主要采用的是基于策略的網絡安全措施，也就是所謂的軟設備。通過網絡設備中進行軟件層面的安全策略設計，保證內部網絡流量的正常穩定的轉發。例如，采用訪問控制列表來對網絡進行一些控制，不允許學生訪問教師網絡資源；使用QoS功能保證數據的高效轉發，設置安全端口，MAC與IP地址的綁定，甚至更高級的基于802.1x的認證。到了用戶層面，主要確保的是操作系統的安全，因為很多惡意的攻擊軟件、病毒、木馬或入侵軟件都是基于操作系統漏洞進行滲透破壞的，所以在用戶這個層面，針對操作系統要打好操作系統的補丁、安裝功能強大的殺毒軟件，開啟操作系統自帶的軟件防火墻或者殺毒軟件的防火墻，進一步，加強用戶層面的安全性。即使用有瞞過防火墻，混過入侵防護系統的漏網之魚，也可以在用戶層面進行補救。采用這種傳統的網絡安全體系進行網絡安全的設計部署，在以前的網絡時代還是有很好的效果的，但是，現今進入了網絡時代2.0，新的技術、新的威脅層出不窮，此時舊的網絡安全體系在網絡安全防護上表現得就有些捉襟見肘了。校園網絡需要推陳出新，結合現在的校園網絡及互聯網絡的發展趨勢，設計更合適更合理的網絡安全解決方案。

4傳統網絡安全策略應用分析

傳統校園網絡安全解決方案使用的網絡安全策略應用是基于不同層面進行區分的，針對不同層面分別部署相對應的網絡安全設備或網絡安全策略。這種網絡安全策略應用主要是針對從外部網絡進入內部網絡的流量進行檢測控制，正如防火墻功能一樣，定義了外部非安全區域、內部安全區域和DMZ區域，然后給這些區域定義安全等級和默認策略。這種安全體系的設計對于以前的網絡攻擊過程（見圖4）來說是可以滿足校園網絡安全的需求的。在以前的網絡環境中，攻擊主要來自外部，內部的安全等級是可信的，所以外部的攻擊流量經過防火墻后，基本上已經抵御了，再經過IPS或IDS設備后，到達用戶層面時還要經過操作系統或殺毒軟件防火墻后，可以成功攻擊目標的惡意行為已經降到了可接受層面范圍。所以，從前的校園網絡安全情況比現在相對要好一些。如圖4的攻擊過程示意所示，基于原有的網絡安全策略應用對于起源自外部網絡的攻擊可以做到有效防范，但是正如前文提到的，現在越來越多的現象是，內部用戶通過其他途徑感染了自動下載代碼或木馬端等惡意源后，從內部發起攻擊或者自動下載各式各樣病毒木馬直接破壞用戶操作系統，并以此為跳板，從內部網絡感染、攻擊其他用戶主機、學校服務器等設備，導致學校網絡受到嚴重影響進一步影響學校的正常教學秩序。原有的校園網絡安全策略應用基于單向防護、由3個獨立層面以遞進的方式構建的校園網絡防御系統，其性能已經無法適應現時復雜多樣化的校園網絡環境。因此，針對這個舊的網絡安全策略應用的不足，需要一個更合適更優秀的校園網絡安全策略。

5傳統網絡安全策略架構分析

在院校用的舊的校園網絡解決方案中，采用的基礎架構簡單實用，在從前的網絡時代，無論是外部網絡還是內部網絡的數據流量都不并是很大，而且那時候無論是師生的日常生活還是教學活動中，對網絡的依賴程度也不高。不過，隨著人們對網絡的依賴性的不斷加強，以及信息化教學的廣泛推廣，校園網絡中產生了越來越多的數據，并且日常教學也有絕大部分是基于網絡的。這個時候，傳統的網絡架構就存在不足，主要體現在網絡單點故障現象導致的網絡中斷而影響師生的生活學習和學校的教學秩序。現在新規劃的校園網絡中，校園網絡基礎架構相對復雜，但是性能和安全性都有所提升。現有校園網絡基本上都是基于雙網絡核心熱備以提高網絡的安全性和可靠性的設計，根據學校的需求，可以選擇在關鍵節點部署雙機熱備提供安全可靠性，避免了原有基礎網絡架構的不足。

6網絡安全策略應用技術分析

經過調查了解，現在校園網絡中采用的技術有很多都不符合標準，例如密碼的復雜性，這個最基本的一條都做不到。另外，學校管理中使用的技術不足，如管理網絡設備使用telnet協議而不是采用ssh，對管理流量與數據流量沒有區分控制，無線網絡的加密算法采用容易破解的算法等等。這些技術細節上的不足，也會導致校園網絡安全受到威脅。因此，在新的網絡安全策略應用中，應該注意相關網絡安全技術的使用是否符合安全等級的要求。

7傳統高校校園網絡安全策略應用的優點

對于傳統的高校校園網絡安全解決辦法來說，好處就是學校的信息化建設方案相對簡單，管理相對便捷，在數據量以及網絡依賴性不高的院校，或資金不足的院校具有一定的參考作用。

8傳統高校校園網絡安全策略應用的缺點

對于傳統的高校校園網絡安全解決辦法來說，弊端就是學校校園網絡安全受到嚴重威脅，來自校園網絡外部、內部、系統自身產生的安全威脅匯集起來使用整個校園網絡的復雜性、不穩定性大大增加，最后導致網絡安全性大大降低。

作者：周怡燕 單位：南華工商學院

[參考文獻]

[1]鄒縣芳，孫道德.高校校園網絡安全問題及策略研究[J].阜陽師范學院學報：自然科學版，2010（27）：87-90.

[2]杜蕓.高校校園網網絡安全隱患與解決策略探析[J].信息安全與技術，2015（6）：13-15.

[3]王超，林峰.高校校園網絡安全管理策略[J].科技資訊，2007（7）：160-161.

篇6

關鍵詞：計算機網絡安全； 網絡安全威脅； 網絡安全防范措施； 網絡安全技術； 網絡安全管理

中圖分類號：TN91934文獻標識碼：A文章編號：1004373X(2012)04010904

Analysis of computer network security

PENG Shasha, ZHANG hongmei, BIAN Dongliang

(Science College, Air Force Engineering University, Xi’an 710051, China)

Abstract： Computer network security (CNS) is a prerequisite to promote the development of network healthily. Based on the analysis of causes against CNS and threats that confront the network security, the specific methods and measures to protect computer network are proposed in two aspects of technology and management. The technologies of firewalls, access control, network antivirus, data encryption, disaster recovery are introduced. The security principles, implementation methods and application fields of the new technologies such as intrusion detection system technology (IDS), virtual private network (VPN) technology and cloud security are elaborated emphatically.

Keywords： computer network security; network security threat; network security measures; network security technology; network security managemen

收稿日期：20110909

基金項目：軍內武器系統科研項目(KJ2010182)；陜西省電子信息系統綜合集成重點實驗室基金資助項目(201107Y16)0引言

隨著計算機網絡的普及和發展，網絡的運用已經滲透到各個領域。信息社會，人們對網絡的依賴程度也日益加深，但隨著網絡迅速的發展，網絡安全儼然已經成為一個潛在的巨大問題。在網絡發展的大好前景下，網絡信息安全為其籠罩上了一片烏云。雖然我國的計算機制造業有了很大進步，但是其核心部件的制造技術仍然是很薄弱的。計算機軟件的開發和研制也同樣受到國外市場的壟斷，尤其是操作系統，所以我國目前運用著大量來自境外的計算機軟、硬件，這就使得我國的網絡安全問題不得不警鐘長鳴。

1計算機網絡安全

網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科 。國際標準化組織（ISO）定義是指網絡系統的硬件、軟件及其系統的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常的運行,網絡服務不中斷。主要涉及了機密性、完整性、可用性、可審性、真實性、可控性、抗否認性等屬性造成網絡安全問題的原因。

1.1網絡最初設計的理念

網絡發展的早期，人們更加看重、強調的是網絡的方便性和可用性，卻忽略了網絡的安全性。那時，網絡的使用僅限于一個很小的范圍，因此網絡安全并沒有被重視。但是隨著科學技術的發展，以及人類需求的更新，網絡克服了地理上的限制，把分布在一個個小范圍內的網絡分支，成功地聯系起來，直至遍布全世界。由于網絡的關聯性導致此時在傳送敏感性信息時，信息的安全就受到了極大的威脅。同時，各類網絡產品都是在基礎網絡協議上發展起來的，或多或少都存在有安全隱患。

1.2網絡的開放性

因特網最根本的特征就是開放性，整個因特網就是建立在自由開放的基礎上的。當今網絡的資源日益廣泛應用，同時也為黑客的傾入提供了可乘之機。資源共享與網絡安全之間的矛盾也日尖銳化。

1.3網絡的控制管理性變差

隨著網絡遍布全世界，私有網絡也因需求不可避免地與外部公眾網直接或者間接地聯系起來。由于網絡的關聯性，導致只需攻擊網絡鏈條中最薄弱的一個環節就可以使整個安全體系崩潰。從而使網絡的運行環境更加復雜化，可控性急劇降低，網絡安全性也變差。

2網絡安全面臨的威脅

現如今，網絡所面臨的威脅是多方面的，不僅僅是對網絡信息的威脅，同樣也包括網絡設施。總結起來可分為3點：一是人為的疏忽大意，如操作員因配置不當造成安全漏洞，例如，防火墻的配置不當，就會給外來的攻擊創造機會，用戶安全意識不強，口令選擇不慎，或者不及時地更新防護系統，都會造成網絡安全的威脅；二是人為惡意攻擊，可分為主動攻擊與被動攻擊，主動攻擊是指攻擊者通過修改、刪除、延遲、復制、插入一些數據流，有目的財破壞信息，可以歸納為中斷、篡改、偽造、拒絕服務4種。被動攻擊則是對信息進行截獲，偷聽或者監視，主動攻擊時比較容易被發現，但是被動攻擊則很難被發現；三是網絡軟件的漏洞和“后門”，軟件在設計和編程時，難免都會有漏洞，這就成了黑客下手攻擊的對象，同時，軟件開發人員為了便于維護而設置的軟件“后門”，也可能成為網絡安全的很大隱患；四是管理不當，造成網絡設施無意或惡意的損壞。

3網絡安全的防御措施

網絡安全是一項復雜的工程，它涉及了技術、設備、管理使用及立法制度等各個方面的因素。想要很好地實現信息安全，就必須形成一套完備的網絡信息安全體系，使得技術、設備、管理使用及立法制度等方面因素協同發展，缺一不可。

3.1傳統技術

3.1.1防火墻

防火強是一種專屬的硬件，也可以是架設在一般硬件上的一套軟件。在邏輯上，防火墻是一個分離器、限制器和分析器，主要作用是當2個或多個網絡之間通信時，防火墻能起到控制訪問的尺度，過濾信息。常見的防火墻類型有包過濾型、應用型、網絡地址轉換的NAT和監測型。 防火墻的運用可最大限度地提高內外網絡的正常運行，但是不能防止從LAN內部的攻擊，這也就成了防火墻最大的局限性。同時，隨著技術的發展，一些破譯的方法也使得防火墻存在一定的隱患，所以在防火墻的技術上還有待更好的開發。常用的防火墻有天網、瑞星，還有360防火墻等。

3.1.2訪問控制技術

提及訪問控制技術，就必須提到訪問控制技術設計到的3個基本概念及主體、客體和訪問授權。主體：可以對其他實體施加動作的主動實體，有時也可稱為用戶或者訪問者，包括用戶本身、用戶組、終端、卡機，甚至應用服務程序等。客體：接受其他實體訪問的被動實體，它可以是信息、文件、記錄，也可以是一個處理器、存儲器、網絡接點等。訪問授權：主體對客體訪問的允許權，訪問授權對每一對的主題和客體是給定的。

訪問控制技術是通過設置訪問權限來限制訪問主體對訪問客體的訪問，阻止未經允許的用戶有意或無意地獲取數據的技術。這項技術是網絡安全防范和保護的主要策略之一，它的主要任務是保證網絡資源不被非法使用和訪問。訪問控制技術涉及的范圍比較廣，包括：入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。

3.1.3網絡防病毒技術

計算機病毒可以是一個程序，也可以一段可執行碼，能破壞計算機的正常運行，使之無法正常使用，甚至使整個操作系統或者硬盤損壞，它們就像生物病毒一樣，同樣可以大量自我復制并傳播，造成大面積的計算機網絡安全問題。

防病毒技術根據計算機網絡病毒的作用來講，可分為病毒防御技術、病毒檢測技術、病毒清除技術等。網絡大都采用ClientServer的工作模式，需要從服務器和工作站2個結合方面解決防范病毒的問題。隨著計算機網絡技術的發展，網絡防病毒技術的發展也將日新月異，其發展方向可大致以下述幾種為主：網絡操作系統和應用程序集成防病毒技術、集成化網絡防病毒技術、網絡開放式防病毒技術等。建立起一套全方位、多層次的防病毒系統，并及時進行系統升級，以確保網絡免于病毒的侵襲。

3.1.4數據加密技術

數據加密技術是指在數據傳輸時，對信息進行一些形形的加法運算，將其重新編碼，從而達到隱藏信息的作用，使非法用戶無法讀取信息內容，有效保護了信息系統和數據的安全性，是網絡安全核心技術之一。數據加密技術可在網絡OSI7層協議的多層實現，從加密技術應用的邏輯位置看，常用的數據加密方式有：鏈路加密（網絡層以下的加密）、節點加密（協議傳輸層上的加密）、端對端加密（網絡層以上的加密）等。按照不同的作用，數據加密技術可以分為：數據存儲、數據傳輸、數據完整性的鑒別以及密鑰管理技術等。

信息的加密算法或是解密算法都是在一組密鑰控制下進行的。根據加密密鑰和解密密鑰是否相同，可將目前的加密體制分為2種：一種是當加密密鑰與解密密鑰對應相同時，稱之為私鑰加密或者對稱加密體制，典型代表是美國的數據加密標志（DES）；另一種是加密密鑰與解密密鑰不相同，通稱其為公鑰或者非對稱加密。這種加密方式，加密密鑰是可以公開的，但是解密密鑰則是由用戶自己持有的，典型代表為RSA體制。

在目前的數據加密系統中，對信息的安全性保護，主要取決于對密鑰的保護，而不是對系統和硬件本身的保護，所以密鑰的保密和安全管理在數據系統中是極其重要的。

3.1.5容災技術

信息時代，數據越來越突出，數據的安全性更是影響一個機構發展的生存關鍵。如何使數據在災難發生時不丟失，保障服務系統盡快正常運行，容災技術將成為解決這一問題的能手。

提及容災技術就必須提出災難，即一切影響計算機正常工作的事件都稱為災難，包括：自然災害、設備故障、人為破壞等。容災就是在上訴災難發生時，在保證生產系統的數據盡量少丟失的情況下，保持生產系統的業務不間斷運行。

容災的評價指標公認為：RPO（針對數據丟失）、RTO（針對服務丟失）。從其對系統的保護分類來說，可將容災分為數據容災和應用容災。數據容災就是建立一個異地的數據系統，該系統是本地關鍵應用數據的一個實時恢復；應用容災是在數據容災的基礎上，在異地建立一套完整的與本地生產系統相當的備份應用系統。在災難發生后，將應用迅速切換到備用系統，使生產系統的業務正常運行。

3.2新型技術

3.2.1入侵檢測系統技術（IDS）

入侵檢測技術是繼“防火墻”之后，近10年來新一代網絡安全保障技術，在很大程度上它彌補了防火墻的不足。它是通過對網絡或者計算機系統中若干關鍵點收集信息并分析，檢測其中是否有違反安全策略的行為，是否受到攻擊，能夠有效地發現入侵行為合法用戶濫用特權的行為，是一種集檢測、記錄、報警、響應技術，能主動保護自己免受攻擊的動態網絡安全策略，也是P2DR的核心部分。

雖然目前很多“防火墻”都集成有入侵檢測的模塊，但是由于技術和性能上的限制，與專業的入侵檢測系統還是無法相比的。專業的入侵檢測系統是一種積極主動的網絡安全防護工具，提供了對內部、外部攻擊和誤操作的實時防護，在網絡系統受到危害之前攔截相應入侵。目前入侵檢測系統常用的入侵檢測方法包括：特征檢測、異常檢測、狀態檢測、協議分析等。

同時入侵檢測系統也存在著一些問題，比如誤報；再比如，當受到精巧及有組織的攻擊時，要找出這樣復雜的攻擊是有難度的。從總體上來講，入侵檢測系統的發展趨勢可以概括為分布式入侵檢測與CIDF、應用層入侵檢測、智能層入侵檢測、與網絡安全其他相結合的入侵檢測、建立入侵檢測系統評價體系。由于入侵檢測系統存在的弊端，已經不能滿足網絡的發展需求，今后的入侵檢測技術主要朝著以下幾個方面發展：智能化入侵檢測、大規模分布式入侵檢測、應用層入侵檢測、分布式入侵檢測與通用入侵檢測等。

3.2.2虛擬專用網（VPN）技術

虛擬專用網（Virtual Private Network,VPN）是一種基于公共數據網，給用戶一種直接連接到私人局域網感覺的服務。VPN技術是依靠Internet服務提供商（ISP）和其他網絡服務提供商（NSP），在公用網絡中建立專用的數據通信網絡技術。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專用網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。按照實現技術不同，VPN可分為PPTP(PointtoPoint Tunneling Protocol)，L2TP(Layer 2 Tunneling Protocol)，MPLS(MultiProtocol Label Switch)，IPSec(Internet Protocol Security)及SSL(Secure Sockets Layer) 等。

虛擬專用網的作用很多，比如：實現網絡安全，簡化網絡設計，降低成本，容易擴展，連接靈活，完全控制主動權等等。在此主要探討它的安全性，虛擬專用網大多傳輸的是私有信息，所以用戶數據的安全性就更為關注。目前，VPN主要采用四項技術來保證信息安全，分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。通過這些技術能有力地抵制不法分子篡改、偷聽、攔截信息的能力，保證數據的機密性。

3.2.3云安全

云安全是網絡時代信息安全的最新體現，隨著云計算成為了網絡發展的熱門話題，相繼提出了“云安全”的概念。

云計算是一個新興的商業計算模型，是分布式處理、并行處理和網絡計算的發展，是一種基于互聯網的超級計算模式。它利用高速互聯網的傳輸能力，將數據的處理過程從個人計算機或服務器移到互聯網上的超級計算機集群中。云計算是一個虛擬的計算資源池，它通過互聯網為用戶提供資源池內的計算資源。對用戶而言，云計算具有隨時獲取、按需使用、隨時擴展、按使用付費等優點。同時，云計算具有效益好、經營集約化、設備利用率高、節能降耗、服務后臺化、貨幣化、即時化、彈性化等等諸多特點。

隨著云計算的日漸推廣和普及，云計算安全的問題也逐漸浮出水面。和傳統的安全風險不同，在云計算中惡意用戶和黑客都是云端互動環節攻擊數據中心的，其具體變現有信息體的偽造、編造、假冒以及病毒攻擊等等，并且這些危害不僅僅是發生在服務定制和交付這2個出入口，還貫穿于服務的組織、加工、整理、包裝過程中。

與之相對應的，提出了云安全概念。云安全通過網絡的大量客服端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，推送到服務端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客服端。云安全技術應用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網絡服務，實時即時采集、分析以及處理。

云安全的概念提出后，曾引發了廣泛的爭議，許多人認為它是偽命題，但是隨著各大公司運用云安全技術實現了新一代的查殺概念，云安全技術成為了不爭的事實。但同時，由于云安全仍然是門較新的技術，所以還存在許多問題需要深入的探究、解決并且依靠時間來證實。

3.3管理使用及立法

“三分技術七分管理”，一直都是安全界的名言，網絡安全管理也不例外，即使有了再好的技術，沒有妥善的管理措施和立法保護措施，網絡安全同樣也會受到不小的威脅。只有當安全技術和計算力安全管理措施緊密結合，才能使計算機網絡安全達到最好成效。

3.3.1對設備的管理

計算機機房應設在適宜的環境下，以保證計算機系統的安全性和可靠性。同時要注意機房的溫度、濕度、空氣清潔度、蟲害、震動、沖擊以及電氣干擾等方面，都要有相應的標準。機房不但能抵制自然災害的侵略，同時也要能防范人為地破壞。定期對機房周邊，機房和計算機設備進行檢查，確保外在安全無隱患。

3.3.2開展網絡安全教育和網絡道德教育，增強網絡安全防范意識僅僅通過技術來解決網絡安全問題，是不夠的，只有增強了網絡安全防范意識，才能使網絡安全發揮到最大效能。

培養網絡安全意識，就是通過對網民及網絡管理人員開展網絡安全普及教育，使人們意識到網絡安全的重要性，了解并掌握一定的網絡安全防范措施。經過定期的網絡自查和安全更新，就能排除一些不良的網絡安全威脅。比如，及時打好系統補丁、使用殺毒軟件進行計算機病毒查殺、不得使用各類移動存儲設備在互聯網和內網之間傳播不安全程序、文件等。

在網絡道德教育方面，目前儼然已成為網絡安全管理一個很重要的環節。由于計算機技術的大力發展，網絡犯罪已日趨惡劣化、低齡化、復雜化、廣泛化、損失嚴重化。所以通過教育宣傳等手段來增強人們網絡道德觀，提高他們對網絡不良文化和違法行為的免疫力、抵制力。尤其是在中學生中，一定要重視這一問題的教育，提早讓學生對網絡信息有著正確的判斷分析能力。

3.3.3嚴格制定并遵守網絡安全規章制度

遵照國家和本部門相關信息安全的技術標準和管理規范，針對本部門專項應用，對信息管理和對系統流程的各個環節進行安全評估，設定安全應用等級，明確人員職責，制定安全規章制度的分步實施方案，要求相關人員嚴格遵守操作，達到安全和應用的科學平衡。

3.3.4完善網絡安全立法，加強網絡法律監管

我國目前已經出臺了多項有關網絡安全的法律，但是與網絡發展的速度相比還是相對滯后的，而且現有的法律大多過于龐雜，其間的協調性和相通性也不夠，缺乏系統規范性和權威性。因此加快制定和完善網絡安全的相關法律是迫在眉睫的。在制定網絡安全相關法律時，可以借鑒國外成功的經驗，與國際有關的法律法規相接軌，并結合我國的實際情況，趨利避害，最終既定出一套適用于我國的網絡安全法律。

僅僅有了網絡法是不夠的，還必須加強網絡法律的監管力度。建立一支高素質的網絡執法隊，使其熟練掌握網絡信息技術、安全技術，能夠在第一時間內發現不法的網絡犯罪行為，提高執法效率。加大網絡違法犯罪的處罰力度，查封和大力打擊網絡有毒、有害的信息，定時整頓網絡的秩序。讓網絡安全相關法律也真正做到“有法可依，有法必依，執法必嚴，違法必究”的原則。

篇7

關鍵詞：計算機；網絡；安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）24-0022-02

計算機網絡安全是指利用網絡管理控制和技術措施，保證在一個網絡環境里，數據的保密性、完整性、可使用性受到保護。計算機網絡安全包括物理安全和邏輯安全兩方面，其中物理安全指系統設備及相關設備受到物理保護，防止丟失；邏輯安全包括信息的保密性、完整性和可用性。

1 計算機網絡安全所面臨的威脅

計算機病毒。計算機病毒是編織者在計算機程序中插入的破壞計算機功能或者數據的代碼，計算機病毒能夠影響計算機的正常使用，計算機病毒還能夠自我復制。計算機病毒的傳播速度很快，它就像生物病毒一樣能夠自我繁殖、激活再生或者是互相傳染。計算機病毒的復制能力是獨有的，它的蔓延速度很快，但是清除的時候很難清除掉，破壞性極強。它們往往都是附著于各種那個類型的文件之中，在文件的復制與傳送之間蔓延。

在計算機病毒中比較典型的有1986年巴基斯坦兄弟編寫的“大腦”病毒、1987年的“小球”與“石頭”病毒、1989年的“石頭2”、1992年的“金蟬”病毒、1995年中典型的病毒代表“病毒制造機”“VCL”、1988年的“CIH”病毒以及2000年以后的“沖擊波殺手”“木馬”“蠕蟲”“黑客病毒”“求職信”等等這些病毒的威力都是非常巨大的。

黑客的攻擊。隨著互聯網黑客技術的飛速發展，計算機網絡受到的威脅越來越嚴重，對于黑客來說侵入你的電腦獲取你的信息是一件非常容易的事情，黑客攻擊的手段可以分為非破壞性攻擊以及破壞性攻擊，不管是哪一種攻擊為危害都是非常大的。黑客比較常用的幾種攻擊方式分別是：后門程序、信息炸彈、拒絕服務、網絡監聽、密碼破解。維護網絡安全最主要的目標就是保證數據的機密性、完整性。在一個安全的計算機網絡環境下，未經授權的數據是不可以隨便修改的想要獲取任何數據信息的人員都應該是經過授權的合法用戶。

據《2008瑞星中國大陸地區互聯網安全報告》顯示以牟利為目的的黑客攻擊已經形成了產業鏈，成為了新的暴利行業，在幾年前中國的一些重要部門就曾經遭受過黑客的攻擊，一些政府部門、軍工企業等重要單位遇到了大型的網絡黑客攻擊。

內部威脅。由于上網單位對于內部危險的認識不夠全面導致所采取的安全防范措施不當，近幾年的內部網絡的安全事故不斷增加。認為的無意失誤是造成網絡安全威脅的重要因素，網絡管理員在這一方面肩負重任，稍微有一點考慮的不慎重安全配置不妥當就可能造成比較大的安全漏洞。如果網絡中存在一些安全漏洞，那么用戶在網上沖浪時點擊了文件中的惡意鏈接就會造成安全問題。

竊聽。攻擊者通過對于網絡數據的監視而獲取到一些敏感信息造成信息的泄露，竊聽的主要表現就是網絡上的信息被竊聽。更有一些惡意的攻擊者以此為基礎，再利用其它的一些攻擊手段進行攻擊，造成更加慘重的損失。

2 計算機網絡安全的對策措施

2.1 加強網絡技術的安全防范

對于用戶的身份進行驗證，保證用戶身份的真實性。例如：人臉識別、公鑰加密認證、指紋識別等等，對網絡安全進行保障。加強信息的保密性，保證機密的信息不會泄露給沒有經過授權人，對不同人員進行權限設置，沒有權限的人不能夠訪問，這樣能夠防止竊聽以及網絡截獲。另外信息的完整性也需要加強，對于沒有經過授權的人員是不能夠對于數據或者是信息進行修改或者是刪除，嚴格控制信息數據的訪問權限，只能夠允許經過許可放入當事人進行修改以及刪除。網絡安全還應該具有系統易用性、可審查性。系統易用性是指在能夠滿足其安全要求的條件下，系統的操作應該簡單易學，操作方便。可審查性是指在系統出現問題的時候可以提供調查的依據以及手段。

2.2 加強入網訪問控制

訪問控制系統在一個安全的信息系統中不可或缺，它的目的就是在于拒絕非法的用戶的訪問并且對于合法用戶的操作進行規范。網絡訪問的第一層訪問控制就是入網訪問控制。它能夠準許用戶入網的時間、準許他們在哪一個時間段入網和使某些用戶能夠登錄到服務器并且獲取網絡資源。訪問控制能夠根據用戶的權限讓該用戶進行訪問，防止了用戶無限制的對于資源進行訪問，使得每一位訪問者的操作都會處于系統的監控之下，進而讓資源合法使用。入網訪問控制的步驟就是當某一位用戶發出訪問請求的時候，訪問控制就對用戶的ID和身份到安全策略庫中查詢，，如果找到用戶對于特定資源的訪問請求就允許用戶子進行訪問，反之則拒絕。

2.3 加強網絡權限控制

網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶具有一定的權限可以指定訪問一些目錄文件或者是其他的資源，指定的一些用戶可以對這些目錄、文件和其他資源進行某一項操作。我們可以將訪問的權限分為特殊用戶，一般就是指系統管理員，一般用戶就是系統管理員根據實際需要進行分類的用戶，審計用戶就是對網絡安全以及資源使用情況的審計。

2.4 加強網絡安全教育和管理

美國作為全球信息化程度最高的國家，它非常重視信息的安全性，信息系統的安全成為國家安全戰略最重要的組成部分之一，并且采取了一系列的政策措施，所以想要加強我國計算機網絡安全，那么就要制定相應的法律法規作為依據，還要加強網絡安全教育和管理。國家應該在高度重視的同時還要大力普及家算計網絡安全的教育，制定并且實施一系列的關于網絡安全法律法規，強化對于公民的網絡安全意識的教育以及對于網絡運營人員和網絡安全管理人員的教育，提高其素質以及管理的方式手段，旨在能夠提高廣大網民的網絡安全意識，降低國家的計算機網絡安全的威脅。另外在加強對于網絡安全教育的同時也要加強網絡安全的監管力度，對于惡意破壞計算機網絡安全的行為進行嚴厲的處罰，對于無意破壞的進行教育，建立嚴密的網絡安全管理體系，及時的檢測維護計算機網絡的安全。

2.5 提高網絡用戶操作技能

隨著信息的不斷進步，計算機網絡安全問題對于網絡用戶的傷害越來越嚴重，所以提高網絡用戶的操作技能是刻不容緩的。對于提高網絡用戶的操作技能，首先就是要加強用戶的病毒檢測以及防御手段，在對于用戶的權限進行辨別以后，自動開啟網絡防護功能以及防火墻功能，自動查殺病毒，提高用戶的上網技巧。另外一方面就是注意防范外部的惡意攻擊，訪問和下載健康的文件，在下載之前對于文件進行必要的檢測以及病毒查殺，從化多種途徑措施來減少計算機網絡安全問題的產生。

3 結語

隨著計算機技術的不斷發展，網絡安全防護技術也必然會不斷地進步與發展，網絡安全是一個涉及技術、管理、使用等多方面的綜合性課題，所以我們必須綜合考慮。在當今復雜的網絡環境下，我們應該高度的重視計算機網絡問題，增強社會安全意識教育，普及計算機網絡安全教育，要求有關部門加大對于網絡安全的監管力度，提高計算機網絡安全技術的水平，積極建設營造一種安全的計算機網絡環境，改善現在的安全現狀。

參考文獻：

[1]蔡曉蓮，李平.計算機網絡安全威脅及防范策略的探討[J]. 網絡與信息， 2009（6）：30-31.

篇8

所謂的網絡安全主要指的是網絡系統中的數據、硬件、軟件等能夠受到良好的保護，不會受到惡意或者偶然的因素而泄露、更改或破壞，能夠保證系統的正常穩定運行，且提供的網絡服務不會發生中斷現象。由于醫院本身的性質較為特殊，醫院信息系統必須是一個24h都能正常運行的網絡系統。除此之外，醫院信息系統的網絡輻射范圍是整個醫院的所有部門，很多計算機聯網后同時運行，其中包含了患者就診的每一個環節，這使得醫院開展的每一項業務都有著非常高的網絡依賴性。除此之外，醫院通過互聯網實現了和醫保聯網，從而使醫院網絡模式變得更具有開放性，同時也在一定程度上增加了網絡攻擊病毒感染的可能性，只要醫院網絡信息系統出現故障，則會對醫院的管理工作與醫療工作產生很大的影響，并且給患者和醫院帶來巨大的損傷及災難。當前，醫院信息化建設過程中主要存在的網絡安全隱患包括三個不同的層面：網絡安全、系統安全、數據安全。其中，系統安全包括應用程序安全、操作系統安全及物理安全，網絡安全則會伴隨著網絡攻防技術的不斷演變而呈現出復雜性、多樣性的特征，數據安全主要包括數據防護安全及數據本身的安全。通常而言，醫院信息化建設中網絡安全問題主要包括應用服務、產品、技術及物理4個層面。從應用服務層面來說，網絡安全問題主要指的是在網絡終端將網絡接入后發生的安全問題，例如垃圾郵件、黑客攻擊、非法入侵、病毒感染及違規操作等，導致系統網絡中斷、服務器癱瘓、主機遭到劫持、患者賬戶隱私被盜、數據被篡改或丟失以及醫療信息失竊等等；從產品層面上來說，網絡安全問題主要指的是軟件操作系統與硬件設備和應用程序中被惡意植入的代碼及隱藏的后門造成的安全問題；從技術層面來說，網絡安全問題主要指的是信息產品本身存在的設計與研發方面的缺陷，也包括日常管理維護及信息技術引進中的可控性、非自主造成的安全隱患；從物理層面上來說，網絡安全問題主要指的是由于受到錯誤操作、人為破壞、自然災害以及計算機攻擊行為，造成計算機網絡系統無法繼續正常運行下去。除此之外，隨著當前網絡科技信息的不斷進步與變化，網絡安全威脅也隨之發生了很多方面的變化，新興的網絡威脅如APT攻擊、釣魚網站、僵尸網絡等等，現階段的網絡安全問題可謂十分嚴峻。

2醫院信息化建設過程中網絡安全的防護對策分析

2.1構建科學的網絡安全管理制度

要想充分保證當前醫院網絡環境的穩定健康運行，醫院必須制定出科學的網絡安全規章管理制度。醫院應當結合自身的實際情況，采取科學的使用方法和合理的管理制度，例如機房安全管理制度、醫療資源數據存儲備份制度、網絡運行維護制度、醫療信息系統操作使用制度等，并且醫院應當逐步培養工作人員的網絡安全意識，從而保證醫院網絡安全能夠有據可依、有章可循。此外，醫院還可以成立網絡安全應急小組，當發生網絡安全事件問題時小組應當根據事件的嚴重程度采取措施。如果出現災難時應當在第一時間內對網絡安全進行恢復，并且盡可能將醫院的社會影響、故障損失及網絡中斷時間降到最低，同時形成長效的問題整改機制。除此之外，醫院還應當對所有的網絡使用人員進行定期的考核，確保所有的工作人員能夠完全勝任其所屬的崗位職責。

2.2采取科學的網絡安全管理措施

醫院應當在充分結合自身發展實際情況的基礎上，實施科學正確的網絡安全管理措施，從而保證整個網絡信息系統能夠安全、高效、正常地運行。第一，為了進一步保證醫院網絡系統服務器能夠高效、穩定可靠地運行，應當采取雙機熱備、雙機容錯等解決措施；第二，對于一些十分關鍵的設備，建議通過UPS進行主機設備供電，這能夠在保證電壓穩定的同時，有效避免發生突發事件；第三，網絡架構設計方面，應當將主干網絡鏈路也構建成冗余模式，一旦主干網絡中發生線路故障時，則可以通過冗余線路保證網絡信息數據依然能夠得到正常的傳輸；第四，物理隔離措施同樣是不可缺少的一種安全防護措施，醫院專業的工作人員應當將網絡外網和業務內網進行物理分離處理，從而防止發生互聯網和醫療業務網絡出現混搭的現象，這能夠從根本上避免受到互聯網因素的影響導致醫療業務數據發生外泄，還可避免非法用戶借助外部網絡進入醫院信息系統和服務器實施一系列非法操作；第五，針對醫療業務信息安全，醫院應當構建出系統和數據備份容災體系，從而保障發生機房災難和存儲設備損壞時能夠在短時間內快速恢復信息系統的正常運行；第六，采取權限分級管理的措施，避免修改數據以及越權訪問等現象的發生，還能夠對部分關鍵數據信息進行跟蹤預警等。

2.3實施科學合理的技術手段

醫院網絡安全防范的對策較為繁多，在技術手段方面的對策應當變得多層次、多元化，從被動防護過渡到主動防御層面上來。第一，由于醫院的網絡架構是外網和內網隔離的，內網的網絡安全需求更為高級，其應當安裝一些強大的殺毒軟件，同時還應當構建管理控制中心，以此來進行危險項修復、病毒庫更新、病毒查殺、漏洞修復、全網體驗等；第二，在醫院的外網和內網之間構建出防火墻網關，從而將一些非法服務和不安全的服務過濾出去，對網絡訪問進行適當的限制，還能夠在一定程度上探測及預警網絡的攻擊行為，避免出現潛在的、不可預測的惡意入侵現象；第三，要想有效彌補防火墻存在的漏洞，醫院還應當采取專業化的入侵檢測系統部署措施，將多個關鍵點分散在網絡中，通過對審計數據、安全日志及行為或其他網絡來檢測所獲取的各方面信息，并且從其中發現系統或網絡中是否存在被攻擊的現象或有違背網絡安全的行為；第四，醫院在信息化建設過程中，專業的技術人員還應當通過安全掃描技術，全面掃描網絡中的網絡服務和可能潛在的安全漏洞；第五，構建云安全管理平臺。通常來說，通過虛擬化平臺能實現網絡安全的集中式管理，如終端保護方案、事件管理（SIEM）、數據防丟失（DLP）等，從而為醫院提供出相關的云服務功能，通過虛擬化的手段來壓縮醫院網絡維護成本，并且能夠對醫院內部網絡安全問題進行有效解決。例如，利用VMwarevSphere5與病毒廠商的結合，從而對服務器進行全方位的檢測，這能夠動態識別網絡通信及對虛擬架構配置更改問題，同時還能夠對用戶中的未授權操作進行阻止，并且給在不會對系統安全運行產生影響的前提下防止Oday攻擊等行為。

3結語

篇9

隨著計算機網絡技術的普及，利用聯網實現辦公自動化，并將辦公自動化應用到政府、軍隊等安全性要求

較高的機構已成為一種迫切的需要.所謂辦公自動化是指運用微機及相關外設，有效地管理和傳輸各種信息，

達到提高工作效率的目的.

辦公自動化網絡是一個中小型的局部網絡.辦公自動化網絡系統是自動化無紙辦公系統的重要組成部分.在

實現聯網辦公時，由于覆蓋面大，使用人員混雜，管理水平各異，往往不能保證公文在網絡上安全傳輸和管理.

還有一些人專門在網絡上從事信息破壞活動，給國家、企業造成巨大的損失.因此，加強網絡安全，防止信息被

泄露、修改和非法竊取成為當前網絡辦公自動化普及與應用迫切需要解決的問題.

2辦公自動化的主要特點

一般認為將辦公室日常處理各種事務和信息的過程，在辦公主體—人的控制下，利用現代工具和手段自

動完成，這就是辦公自動化.從信息處理的多層面和復雜性來講，辦公自動化可分以下三個層面或階段:

(1)行文處理自動化主要指縱向和橫向單位傳遞來的各類文件之接收、批閱與辦理過程;本單位發往上述單

位文件的擬稿、審核、簽發等過程;本單位內部各種報告、計劃、總結等材料的形成以及逐級審核、審批過程;

文檔一體化及綜合檔案管理.

(2)事務處理自動化主要包括各種行政事務(車輛管理、固定資產管理等);秘書事務(會議安排、領導活動安

排、信息采編等);督辦事務(領導交辦事務督察、工作管理等);專業事務(財務管理、生產經營管理等);

個人事務(個人信息交流、個人通信錄等).

(3)輔助決策自動化該層次的自動化是建立在前兩個方面自動化基礎上的，專門為負責人匯總各方面信息，

并就各種問題作出正確決策提供準確、全面、及時的依據而建立.其主要內容應建在領導綜合查詢平臺下，提

供的信息主要是單位內部資金、經營等各方面情況的匯總及分析:國際國內相關領域有關情況分析預測;國家

相關法律法規匯編及快速參考等.通過綜合查詢能使本單位領導自動、快速地得到決策所需的各種詳實材料，

使決策更加及時、準確.

3安全的諸多因素

根據以上辦公自動化特點的分析，系統的安全應主要包括數據與信息的完整性和系統安全兩個方面;數據與

信息的完整性指數據不發生損壞或丟失，具有完全的可靠性和準確性;系統安全指防止故意竊取和損壞數據.威

脅數據完整性和系統安全的因素主要有:(1)數據完整性威脅因素

1)人類自身方面:主要是意外操作、缺乏經驗、蓄意破壞等;2)自然災難方面:包括地震、水災、火災、

電磁等;3)邏輯問題方面:包括應用軟件錯誤、文件損壞、數據交換錯誤、操作系統錯保、不恰當的用戶

需求等:4)硬件故障方面:主要指硬件系統的各個組成部分，如芯片、主板、存儲介質、電源、I/O控制器等

發生故障;5)來自網絡故障方面:網絡故障包括網絡連接問題(如網橋或路由器的緩沖不夠大引起的阻塞)，網

絡接口卡和驅動程序問題以及輻射問題等.

(2)系統安全威脅因素

I)物理設備威脅:是指偷竊設備、直接讀取設備、間諜行為等以直接方式對系統信息造成的威脅;2)線

纜連接威脅:包括撥號進入、連線或非連線(如磁場分析)竊聽等方式竊取重要信息;3)身份鑒別威脅:包括口

令被破解、加密算法不周全等漏洞性因素;4)病毒或編程威脅:病毒襲擊己成為計算機系統的最大威脅.此外，

有的編程人員為了某種目的，故意編寫一段程序代碼隱藏在系統中，對系統安全構成威脅.4辦公自動化系統安全設計分析

由于眾多的因素造成了對數據完整性威脅和安全威脅，因此，辦公自動化網絡系統必須建設一套完整的策

略和安全措施來保障整個系統的安全.

4.1安全設計的基本原則

1)安全性第一的原則:由于安全性和網絡的性能(使用的靈活性、方便性、傳輸效率等)是一對矛盾，兩者

不能兼得.建議選擇前者，以犧牲網絡的性能，來換取安全性的增強，但采取的措施應讓用戶感覺不到網絡性

能受到的影響.2)多重保護的原則:任何安全保護措施都可能被攻破.建立一個多重保護系統，各重保護相互

補充，當一重保護被攻破時，其它重保護仍可保護信息系統的安全.3)多層次((OSI參考模型中的邏輯層次)的

原則:如在鏈路層和網絡層實施包過濾，在表示層實施加密傳送，在應用層設置專用程序代碼、運行應用審計

軟件，在應用層之上啟動服務等.4)多個安全單元的原則:把整個網絡的安全性賦予多個安全單元，如路

由器、屏蔽子網、網關，形成了多道安全防線.5)網絡分段的原則:網絡分段是保證安全的重要措施.網絡分

段可分為物理分段和邏輯分段.網絡可通過交換器連接各段.也可把網絡分成若干IP子網，各子網通過路由器

連接，并在路由器上建立可訪問表，來控制各子網的訪問.6)最小授權的原則:對特權(超級)網絡要有制約措

施，分散權力，以降低災難程度.7)綜合性原則:計算機網絡系統的安全應從物理上、技術上、管理制度(如

安全操作乃至計算機病毒的防范等)上以及安全教育上全面采取措施，相互彌補和完善，盡可能地排除安全漏洞.

4.2建立一套安全措施

辦公自動化網絡建立以后，在運用安全設計原則的基礎上如何很好地協調系統的安全和系統的靈活性、開

放性，是在設計系統安全時必須考慮的問題.分析此類辦公自動化網絡系統的特點，安全威脅主要有4個方面:

一是外界黑客或非法用戶的侵入;二是病毒的侵害:三是內部人員闖入非允許進入的節點，獲取非授權的資料;

四是設備發生問題影響網絡的運行.為了防止這類事情的發生，在設計方案中根據實際情況，制定一系列的防

范措施.這些措施主要有:

1)建立用戶使用網絡資源的規章制度;2)嚴格劃分不同工作人員的權限;3)嚴格設定各種信息資源、設備

資源的使用權限:4)關鍵信息的傳輸采用端到端的專用加密工具:5)完善認證/授權的技術控制手段;6)采用分

布授柳集中控制的安全策略;7)采用數字簽名技術和第三方確認的控制措施;8)加強用戶管理，防止非法侵入;

9)加強對用戶下卸的軟件進行病毒檢查;10)定時備份，防止系統崩潰;11)加強組織管理，完善各項規章制度.

4.3防止非法訪問與數據丟失

由于辦公自動化網絡聯接著許多重要的部門，網上一些信息資源有著很高的保密性.在網絡設計方案中應

根據實際情況，制定一系列的防范措施，分別對網絡層、系統設備層、應用層進行分級安全保護，采用一些專

用的軟件和設備提高安全性.數據的安全保護方法主要體現在兩個方面:防止非法訪問和防止數據丟失.

對于第一個方面，可以通過防火墻并利用CISCO路由器自帶軟件來實現.1)授權控制(Authentication):控制特定

的用戶在特定的時間內使用特定的應用.防火墻用專有的FTP和

Telnet進程取代了標準進程。FTP或者Telnet的請求只有經過防火墻認證般權后才能進行通信.HTTP認證服務運

行在Firewallgateway之上，可以保護在防火墻之后的所有的HTTP服務器.管理員可以制定用戶授權策略，決定

哪些服務器或應用可以被用戶訪問.2)數據加密((Encryption):在通信節點配備Firewallgateway，可以將各個節

點定義成為一個加密域，形成了一個虛擬專用網VPN.3)地址轉換(IPTranslation):管理員可決定哪些IP地址需

要映射成能夠接入Internet的有效地址，哪些地址被屏蔽掉，不能接入Internet.4)在對操作系統(Windows2000

Server)訪問檢查設置功能中采取進入系統時口令檢查;在文件管理系統中建立文件、記錄和共享資源的訪問許

可控制;對存儲空間的訪問進行保護;控制面板中的網絡窗口定義網絡資源的訪問許可控制;用戶管理系統建

立登錄用戶的帳戶，規定用戶在系統中各種操作的權利等保護措施.

對于防止數據丟失，采取的方法是:

1)利用磁帶機對文件服務器上的系統數據進行定期備份.2)采用先進的UPS來防止外部電源斷電而引起的

對網絡使用的傷害.3)利用磁盤陣列做好重要數據的冗余備份，提高網上重要設備的自身容錯能力.4)設計

的主機群應采用雙機禍合容錯結構，主輔機可以共享磁盤陣列資源，可以自動錯誤偵測，接管備援，恢復系統，

使整個主機群處于高可靠禍合工作狀態，雙機可以互為備份，兩臺機器之間可以均衡負載.

4.4基于角色的訪問控制機制

在防止非法訪問和數據丟失的同時，應做到既防止公文信息被竊取、破壞和濫用，又有利于提高公文處理

效率，其重要手段之一就是采取一套安全有效又靈活的訪問控制機制.

基于角色的訪問控制是GeorgeMason(喬治梅森)大學的教授Sandhu(圣得胡)提出的一種新型訪問控制模

型.它的基本思想是將權限與角色聯系起來，在系統中根據工作應用的需要為不同的工作崗位創建相應的角色，

同時根據用戶職務和責任指派合適的角色，用戶通過所指派的角色獲得相應的權限，實現對文件的訪問.因此

可以極大地簡化權限的管理，靈活地將用戶從一個角色重新指派為另一個角色，給角色分配和撤銷一些權限.它

支持最小特權、責任分離以及數據抽象三個基本的安全原則.

基于角色的安全性是指公文文檔可被而且僅被預先定義的人員存取操作，在底層是網絡和數據庫安全性保

證，包括服務器存取控制、數據庫存取控制表、加密、簽名和用于鑒別的Domino/Notes和SSL(SecureSocketsLayer)

數字簽名驗證字.Domin。有以下訪問類型(角色)，按權限的高低依次有:管理者、設計者、編輯者、作者、讀

者、投稿者等。而實際參與辦公系統的有管理員、文書、辦公室主任、局領導、科領導和科員等角色，由于在

該系統運行中，實際的角色權限還在動態改變，仍無法直接用Domino系統提供的權限，因此，提出通過映射關

系來實現(見表1).還必須借助Script動態的修改表單的域，實現對包括管理員在內的一些必要的限制.

如何根據應用的需求恰當地建立用戶—角色—權限這三者之間多對多的映射關系，將是整個辦公自動

化系統安全可靠和高效運行的關鍵.此外，所建立的映射關系，應提供靈活的配置功能，使映射關系具有可更

改和可擴充性，以適應可能變化的需求.為了實現基于角色的訪問控制，這里定義了四張表以實現角色到用戶、

角色到權限的分配.如表2}3}4}5所示.

在用戶申請某操作時，系統需要檢測用戶所擁有的角色集，并根據這些角色集中所包含的權限來判斷該用

戶是否能進行該操作，如果可行則置許可證發放標記為真.同時，系統為了執行某些靜態約束，比如同一用戶

不能同屬于兩個互斥角色，還可以定義互斥角色表.約束是基于角色的訪問控制中重要的安全策略，是對用戶

執行權限的一些限制.靜態約束在系統設計時定義，而動態約束在系統運行時執行.某個用戶在系統中可能同

時擁有多個角色，但是在某一個工作過程中，當他充當其中一個角色的同時不能激活其另一個角色.例如在一

個文件的處理過程中，用戶的擬稿角色和審批角色至多只能激活一個.又例如對用戶閱讀文件的時間期限，系

統也可以加以限制.

5小結

系統安全在辦公自動化網絡系統中占據著尤為重要的地位.本文對系統安全設計進行了簡要的闡述，針對

非法訪問，數據丟失和訪問控制模式進行了較為詳細的論述.

隨著我國信息化的逐步深入，尤其是“電子政務”建設熱點的興起，建設辦公自動化網絡系統的熱潮將會

得到更迅速的發展，將會促進我國信息化的建設.

參考文獻:

t1]李海泉.計算機系統安全技術與方法[叫.西安:西安電子科技大學出版社，1991.

[2]陳江東.辦公自動化系統的系統分析閉.計算機系統應用，1998,(10).

篇10

關鍵詞：電子商務；計算機網絡；網絡安全

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 06-0000-01

Computer Network Security Analysis and Countermeasures in E-commerce

Li Dong

(Hubei Vocational College of BIO-Technology,Wuhan430070,Chian)

Abstract:With the development of computer network,E-commerce faces some opportunities,but also faces some challenges,particularly in computer network security,to the development of electronic commerce posed a grave threat,which requires the enterprises measures to strengthen security technology and management.This paper analyzes the security of computer networks,electronic commerce issues,and proposed countermeasures.

Keywords:Electronic commerce;Computer network;Network security

計算機網絡的出現及快速發展，為社會帶來了巨大的貢獻。然而，當前電子商務的發展仍存在一定的問題，尤其是隨網絡而來的安全問題，對電子商務的發展造成了嚴重的影響。因此，企業應逐漸消除其安全問題，加強網絡安全管理，促進電子商務的持續發展。

一、電子商務中的計算機網絡安全分析

（一）網絡黑客的侵犯。網絡黑客指的是在網絡中利用個人所掌握的技術來非法地進入其他網站的行為人，一般說來，網絡黑客都具有高超的網絡技術，能夠破解一些電子商務網站設置的技術防護。近年來，很多網絡黑客破壞網站，篡改網站的內容信息，甚至盜取了企業、商戶的賬戶密碼及資金，嚴重影響了電子商務的正常運轉。

（二）電子商務網站的管理不力。多數電子商務企業都沒有樹立較高的警惕性，缺乏對網絡安全的有效管理。還有一些企業盲目地崇拜各種安全產品，它們認為安裝入侵監測系統或者防火墻等安全產品，就足以確保網站的安全性，所以，缺乏有效的技術防范，從而使得外來入侵者有了機會。

（三）電子商務網絡的安全問題。網絡自身帶有共享性和開放性的特點，它的設計原則為不要由于局部損壞使信息傳輸受到影響，這樣一來，就形成了網站安全隱患。特別是一些電子商務企業，其技術不達標，而且網站安全管理手段相對落后，使網絡安全增加了大量隱患。

（四）電子商務軟件的漏洞。一些軟件開發商由于缺乏成熟的技術，導致電子商務軟件技中存在一定的安全漏洞，這樣一來，就易于被外來的入侵者攻破防護，給電子商務企業帶來了巨大的經濟損失。還有一些企業購買并安裝了相關病毒防護軟件，然而，缺乏對軟件及時更新及升級的重視，從而導致防護軟件喪失了自身的防護功能。

（五）人為管理相對滯后。一些電子商務企業缺乏對企業安全管理的重視，也不注重安全技術上的投入，管理人員的管理與配備也不合理；也有一些企業的制度缺失，或者沒有真正落實這些制度，或者管理不到位；還有一些企業的管理人員為了滿足自身的利益，蓄意地利用網絡來對外泄露企業的商務秘密。

二、強化電子商務中計算機網絡安全的對策

（一）制定電子商務安全規劃。電子商務貿易方式具有諸多的優點，如效率高和成本低等等，若能夠完全排除其中的安全問題，那么，電子商務形式的發展優勢一定的巨大的。所以，電子商務企業應該提高對計算機網絡安全的重視程度，從企業發展總體戰略的高度來看待安全問題。可聘請專業人士來制定企業安全防范的合理規劃，同時，在監控機制、人員配備、技術防范、技術投入、安全管理以及人員管理等方面進行精心規劃，并選擇科學周密的安全防范方案。

（二）加大電子安全的技術投入及管理投入。企業要加大計算機網絡安全的資金投入，以購置各種必要的技術防范設備以及防護軟件，并注重這些軟件的升級與更新，同時加大技術的改造與設備的更新和投入。此外，還應大力引進安全管理的專業人才，加強崗位培訓，不斷提升這些人才的技術水平，并適度地優化其待遇，以確保網絡安全管理隊伍的穩定性。

（三）強化安全技術管理。應該重視電子商務的網站建設、軟件升級和系統維護，加強管理網站服務器，在日常工作中，做好安全備份。另外，還應制定安全防范預案，這樣一來，如果出現了安全問題，才能盡快得以解決，從而防止出現經濟損失。還應建立服務器恢復系統，從而一旦遭遇安全攻擊，引發網站篡改等危害性事件之后，以確保能夠在最短的時間使系統恢復正常狀態，也使網站恢復正常的功能。企業還需注意的是，要采用權威的、知名的病毒防護軟件，從而確保其可以正常升級、啟動，以及有效發揮其防護功能。

（四）強化電子商務企業的自身管理。安全作為企業的生命線，必須引起企業的高度重視，企業應該教育員工在工作中從安全出發，具有較強的安全意識以及敏銳性，徹底消除安全工作中的僥幸心理。安全技術作為電子商務企業一個重要的防范屏障，其有效發揮作用離不開嚴密的管理，也就是說，只有建立有效、完善的安全防范管理系統，才能夠保障企業的安全。

（五）提高對電子商務疫情信息的重視程度。各個企業應進行行業聯合，進而組成企業聯盟。特別是在電子商務的安全信息上，應做到互通有無，對于安全疫情與有關信息要及時通報。企業應注重網絡安全領域中病毒的疫情預報，從而在每個時期都能有針對性地對其進行重點防范，此外，還應時刻關注本行業協會的安全通報，對已經出現的安全事件做到引以為戒，加強重點管理，一定要避免出現相同的安全事件。此外，還需注意的是在電子商務中，信譽度是企業維護客戶市場的一個重要因素，所以，企業還要注重客源市場的穩定性，加強自身網絡的安全。

三、結束語

綜上所述，電子商務中的網絡安全問題是不容忽視的，相關企業必須提高重視程度、加強制度建設，并強化落實安全管理。有效運用計算機網絡，并消除其中存在的各種弊端，推動計算機網絡技術的進步，促進電子商務的發展。

參考文獻：

[1]孫敬武,李雅靜,劉波,張翠.身份認證方式的選擇與電子商務安全需求分析[J].河北省科學院學報,2009,3

[2]黃學翔,童軍,樂群.Internet上的數據安全傳輸和身份鑒別[J].電腦知識與技術(學術交流),2007,1

[3]萬緒江,班顯秀,劉小東,萬朔.網絡安全的防御方法和可行性研究[J].電腦編程技巧與維護,2010,8