網絡安全防范論文精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網絡安全防范論文主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網絡安全防范論文范文

關鍵詞：計算機網絡安全威脅防范措施

1.網絡安全性概述

隨著計算機網絡在全社會的普及，特別是Internet的飛速發展，網絡技術在政府、軍事、教育以及國民經濟中的作用越來越重要。而由此帶來的網絡安全性問題也就成為一個全社會非常關注的問題。

計算機網絡系統從技術上看它是一個開放系統互連環境，從應用上看它是一個資源交流和信息流通的開放環境。大量的事實讓人們感受到，對于大到因特網，小到內部網和校園網，都存在著來自內部或外部的網絡安全性威脅。要使計算機網絡系統能夠安全、可靠地運行，除了要加強對網絡使用方法、使用道德的教育外，還要必須采取完善的網絡安全性方面的各種技術措施。

2.計算機網絡安全面臨的威脅

通常時計算機網絡安全構成威脅的主要因素有以下三個方面：

2.1自然因素。主要指由于地震、雷擊、洪水等其他不可抗拒的自然災害造成的損害，以及因計算機硬件和網絡設備的自然磨損或老化造成的損失。

2.2操作失誤。由于管理人員或操作員的操作失誤，導致文件被刪除，磁盤被格式化，或因為網絡管理員對網絡的設置不夠嚴謹造成的安全漏洞，用戶的安全意識不夠等，都會給計算機網絡的安全帶來威脅。

2.3外部攻擊。一般可分為兩種，一種是對網絡進行攻擊：利用操作系統或應用軟件的漏洞進行攻擊以破壞對方信息的有效性或完整性，另一種是網絡偵察：在不影響網絡正常工作的情況下，進行截獲、破譯、竊取以獲得重要的機密信息。

3.網絡攻擊的方式及發展趨勢

3.1拒絕服務攻擊。拒絕服務攻擊的主要目的是使計算機及網絡無法提供正常的服務，它會破壞計算機網絡的各種配置，消耗計算機及網絡中各種有限資源等。這是最常見的一種網絡攻擊，也是最難對付的入侵攻擊之一。

3.2欺騙式攻擊。欺騙式攻擊不是利用軟件的漏洞進行攻擊，而是重點誘騙終端用戶進行攻擊。TCP／IP協議存在著很多缺陷和漏洞，攻擊者利用這些漏洞進行攻擊，或者進行DNS欺騙和Web欺騙。

3.3通過協同工具進行攻擊。各種協同工具的使用，可能導致泄漏機密商業數據。

3.4對手機等移動設備的攻擊。近年來，手機、PDA及其他無線設備感染惡意軟件的數量在激增，但因為其使用和傳播的一些特點還沒有導致大規模爆發。但隨著WAP網和無線上網的發展，此類攻擊也會越來越普遍。

3.5電子郵件攻擊。隨著電子郵件在工作和生活中的普遍使用，和用電子郵件進行的攻擊也越來越多。這些攻擊常常針對政府部門、軍事機構及其他大型組織。

4.網絡信息安全的技術保障策略

4.1加密與解密技術。信息加密是網絡與信息安全保密的重要基礎。它是將原文用某種特定方式或規則進行重新編排，使其變為一般人無法閱讀理解的密文。當前比較成熟的加密方法有：替換加密、移位加密、序列密碼、一次性密碼本加密等。加密可以有效地對抗信息泄露，黑客非法訪問等威脅。

4.2身份鑒別。對實體聲稱的身份進行惟一性識別，以便驗證其訪問請求，或保證信息來源以驗證消息的完整性，有效地對抗非法入侵訪問、冒充、重演等威脅。鑒別的方式很多；利用通行字、密鑰、訪問控制機制等鑒別用戶身份，防止冒充、非法訪問等，當今最佳的身份鑒別方法是數字簽名。

4.3網絡訪問控制策略。訪問控制策略是網絡安全防范和保護的主要措施，是保證網絡安全最重要的核心策略之一。其主要任務是保證網絡資源不被非法使用和非法訪問。一般采用基于資源的集中式控制、基于資源和目的地址的過濾管理以及網絡簽證等技術來實現。目前進行網絡訪問控制的主要方法主要有：MAC地址過濾，VLAN隔離、IEEE802.10身份驗證、基于IP地址訪問控制列表和防火墻控制等。

4.4物理安全策略。保護路由器、交換機、工作站、網絡服務器等硬件實體和通信鏈路免受非人為及人為因素的破壞和攻擊。

5.網絡安全防范措施

5.1 加密及數字簽名技術。加密技術的出現為全球電子商務提供了保證,從而使基于Internet上的電子交易系統成為了可能,因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密,即“公開密鑰密碼體制”,其中加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道,分別稱為“公開密鑰”和“秘密密鑰”。

5.2 網絡安全漏洞及入侵檢測。掃描安全漏洞就是掃描網絡中系統、程序、軟件的漏洞。采用漏洞掃描系統對網絡及各種系統進行定期或不定期的掃描監測,并向安全管理員提供系統最新的漏洞報告,使管理員能夠隨時了解網絡系統當前存在的漏洞并及時采取相應的措施進行修補。入侵檢測是通過計算機網絡或計算機系統中若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。與其它安全產品不同的是,入侵檢測系統需要更多的智能,它必須可以將得到的數據進行分析,并得出有用的結果。

5.3 數據備份和恢復。網絡系統由于各種原因出現災難事件時最為重要的是恢復和分析的手段和依據。網絡運行部門應該制定完整的系統備份計劃,并嚴格實施。備份計劃中應包括網絡系統和用戶數據備份、完全和增量備份的頻度和責任人。

5.4 安裝配置防火墻。利用防火墻,在網絡通訊時執行一種訪問控制尺度,允許防火墻同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。

6.結束語

網絡環境的復雜性、多變性,以及信息系統的脆弱性,決定了網絡安全威脅的客觀存在。總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,僅僅采用一兩項安全技術是不足以全面對抗網絡上所潛在的各種威脅的。因此需要仔細考慮系統的安全需求,并將各種安全技術,如密碼技術等結合在一起,才能生成一個高效、通用、安全的網絡系統。

參考文獻:

第2篇：網絡安全防范論文范文

我國的自然災害發生的次數是非常頻繁的，每一次災害之后損失也會非常大，計算機網絡信息系統是非常容易受到自然災害影響。目前，在很多高職院校中的機房在防御自然災害能力是非常差的，比如說在平時的工作生活中就會因為斷電等意外情況將計算機內存儲的數據弄丟。

2計算機網絡安全威脅防范措施

計算機網絡安全問題解決起來是非常困難的，計算機網絡安全威脅會影響互聯網正常的使用，需要運用多種不同的防范措施進行解決。對計算機網絡安全威脅的防范措施主要有以下幾點。

2.1設置防火墻

在高職院校中，多數情況下都是利用防火墻技術來確保計算機網絡的安全，防火墻技術主要是將內部的網絡與外部的網絡之間設置出一道屏障出來。若是想要訪問內部網絡只有經過授權的協議才可以。目前，防火墻技術已經在社會上被廣泛的使用，有些廠家已經把這種技術與計算機硬件并入一起。在未來的發展中，這種簡單實用的技術將會得到進一步的發展。

2.2數據加密技術

數據加密主要目的就是對計算機內的重要信息進行加密，是一種保護數據防止丟失的最為有效的手段。數據加密的手段在一定的程度上可以對信息重新進行編碼，同時也會隱藏計算機內的重要信息，這樣黑客就沒有辦法獲取計算機內的信息。在有人想要獲取信息的時候，就會對其身份進行認證，通過對其輸入的內容進行比較判斷，這樣就會對數據起到保護的作用。

2.3加強漏洞掃描技術的應用

這里的所說的漏洞掃描技術是可以自動去檢測計算機的脆弱點在哪里，在掃描的時候就可以通過記錄腳本文件對系統做出的攻擊反應來發現計算機網絡系統的漏洞在哪里。進行漏洞掃描的過程中就會收集一些信息為用戶所利用。漏洞掃描技術可以進行大范圍的掃描來找出計算機網絡系統的漏洞在哪里、但是攻擊者又可以利用漏洞掃描技術來對計算機網絡系統進行攻擊，而管理人員又可以利用漏洞掃描技術來防范攻擊者對計算機的攻擊。

2.4建設計算機安全的管理隊伍

校園內計算機網絡絕對安全是不可能存在的，所以在校園內應該要建立安全的管理隊伍，這樣在一定的程度上才能保證校園計算機網絡網絡安全。在校園內若是想要實現計算機的網絡安全是需要使用人員與管理人員共同努力的，這樣才有可能減少對計算機網絡安全的威脅。另外管理人員應該要將IP地址的資源進行統一管理，這樣才能保證計算機網絡安全管理工作順利進行，維護學生們的利益。

3總結

第3篇：網絡安全防范論文范文

網絡安全威脅是指通過利用潛在的網絡安全漏洞，該安全威脅可能導致的結果有：資源耗盡、信息泄露、非授權訪問以及資源被破壞或者被盜等。隨著科學技術水平的不斷進步，網絡安全威脅的種類也在不斷發生變化，現階段的網絡安全威脅主要有五種，分別是：

1.1有害程序的威脅有害程序包括更新、下載、木馬以及病毒等。隨著人們對于網絡的依賴程度逐漸增加，計算機病毒等有害程序已經對計算機系統和網絡構成了極為嚴重的威脅。由于網絡中的各種設備都是互相連接的，因此一旦其中一個設備受到攻擊，很有可能對整個網絡造成影響。病毒等有害程序具有不可預見性、潛伏性、傳播性、傳染性、隱藏性以及破壞性等特點。

1.2線纜連接的威脅線纜連接威脅包括：竊聽、撥號進入以及冒名頂替等。其中，竊聽是線纜威脅中最為常見的一種。在廣播室網絡系統中的每個節點都可能被利用，常見的有安裝監視器、搭線竊聽。

1.3身份鑒別的威脅身份鑒別威脅包括口令圈套、口令破解、隨意口令以及考慮不周等幾種。因此，人們在使用互聯網的時候尤為需要注意設置密碼的重要性，通過設置具有一定難度的密碼來保證安全。

1.4系統漏洞的威脅系統漏洞包括初始化、配置以及不安全服務。系統漏洞是最容易被利用來攻擊計算機網絡的，因此我們需要使用殺毒軟件定期檢查系統，及時更新安裝系統補丁，這樣就可以在一定程度上防范網絡攻擊。

1.5物理威脅物理威脅包括：身份識別錯誤、間諜行為以及偷竊。現階段偷竊計算機數據的事情時有發生，特別是一些大型企業的核心機密文件，極容易被不法分子偷竊，造成極為慘重的損失。

2計算機網絡安全的防范措施

2.1提高計算機網絡安全意識為保證計算機網絡的安全運行，需要建立一個科學、合理的管理機構，通過制定各個崗位的工作職責，實現對網絡系統安全管理和業務水平的提高。此外還要對重要數據及時做好備份以及加密，防備數據的泄露，并且通過計算機網絡系統的定期維護，保護其安全運行。總之，能夠具有更高的安全上網意識，就能夠大幅度降低被攻擊的概率。

2.2病毒和木馬的防范計算機病毒以及木馬很難預防，因此現階段絕大多數的預防計算機網絡安全的方法都以預防病毒和木馬的入侵為主，這就需要在計算機中安裝防火墻軟件以及殺毒軟件，并且通過及時的更新病毒庫和木馬庫，保證軟件的有效性。現階段較為常用的殺毒軟件有：金山毒霸、360殺毒、卡巴斯基等。

2.3定期備份數據通過定期的數據備份，可以在計算機出現異常狀況時，通過備份的數據來進行恢復。例如：出現洪水、地震導致計算機網絡硬件損壞，或者計算機由于突然斷電、死機等情況后，可以通過數據備份對其進行有效的保護，繼而達到保護計算機網絡安全的目的。

2.4強化訪問控制網絡安全防范的最主要方法就是加強訪問控制，通過該方法可以有效的保證網絡資源的安全性，避免其被非法使用或訪問。通過加強訪問控制的方式可以避免訪問者越級訪問，還能夠控制訪問者的機器以及時間。系統管理員會發放訪問賬號和密碼，訪問者僅有修改密碼的權限，并通過對訪問者身份的審核，保證網絡安全。

3結論

第4篇：網絡安全防范論文范文

關鍵詞：校園網 安全防范技術

一、校園網絡安全概述

計算機網絡是信息社會的基礎，己經進入社會的各個角落。經濟、文化、軍事、教育和社會日常生活越來越多地依賴計算機網絡。但是不容忽略的是網絡本身的開放性、不設防和無法律約束等特點，在給人們帶來巨大便利的同時，也帶來了一些問題，網絡安全就是其中最為顯著的問題之一。計算機系統安全的定義主要指為數據處理系統建立和采用的安全保護技術。計算機系統安全主要涉及計算機硬件、軟件和數據不被破壞、泄漏等。由此，網絡安全主要涉及硬件、軟件和系統數據的安全。

近幾年，隨著計算機網絡的迅速發展，全國各高校都普遍建立了校園網。校園網成為學校重要的基礎設施。同時，校園網也同樣面臨著越來越多的網絡安全問題。但在高校網絡建設的過程中，普遍存在著“重技術、輕安全”的傾向，隨著網絡規模的迅速發展，網絡用戶的快速增長，校園網從早先的教育試驗網的轉變成教育、科研和服務并重的帶有運營性質的網絡。校園網作為數字化信息的最重要傳輸載體，如何保證校園網絡能正常的運行不受各種網絡黑客的侵害就成為各個高校不可回避的一個緊迫問題，解決網絡安全問題逐漸引起了各方面的重視。

從根本上說，校園計算機網絡系統的安全隱患都是利用了網絡系統本身存在的安全弱點，而系統在使用、管理過程中的失誤和疏漏更加劇了問題的嚴重性。威脅校園網安全的因素主要包括：網絡協議漏洞造成的威脅，操作系統及應用系統的漏洞造成的威脅，攻擊工具獲取容易、使用簡單，校園網用戶的安全意識不強，計算機及網絡應用水平有限等方面。

關于網絡安全的法律法規都已出臺，學校網絡中心也制定了各自的管理制度，但是還存在著各種現實問題，宣傳教育的力度不夠，許多師生法律意識淡薄。網上活躍的黑客交流活動，也為網絡破壞活動奠定了技術基礎。這是本論文討論的背景和亟待解決的問題。

二、校園網的安全防范技術

校園網絡的安全是整體的、動態的，主要有網絡物理安全、系統安全、網絡安全、應用安全等多方面的內容，通過采用防火墻、授權認證、數據加密、入侵檢測等安全技術為手段，才有利于更有效地實現校園網絡安全、穩定運行。論文將對常用的校園網絡安全技術進行研究。

首先是認證技術，認證技術是網絡通信中建立安全通信信道的重要步驟，是安全信息系統的“門禁”模塊，是保證網絡信息安全的重要技術。認證的主要目的是驗證信息的完整性，確認被驗證的信息在傳遞或存儲過程中沒有被篡改或重組，并驗證信息發送者的真實性，確認他沒有被冒充。認證技術是防止黑客對系統進行主動攻擊的一種重要技術手段，主要通過數字信封、數字摘要、數字簽名、智能卡和生物特征識別等技術來實現。

第二是密碼技術，目前保障數據的安全主要采用現代密碼技術對數據進行主動保護，如數據保密、雙向身份認證。數據完整性等，由此密碼技術是保證信息的安全性的關鍵技術。密碼技術在古代就己經得到相當的應用，但僅限于外交和軍事等重要領域。隨著計算機技術的迅速發展，密碼技術發展成為集數學、電子與通信、計算機科學等學科于一身的交叉學科。密碼技術不僅能夠保證機密性信息的加密，而且完成了數字簽名、系統安全等功能。所以，使用密碼技術不僅可以保證信息的機密性，而且可以防止信息被篡改、假冒和偽造。現在密碼技術主要是密碼學。密碼學也是密碼技術的理論基礎，主要包括密碼編碼學和密碼分析學。密碼編碼學主要研究如何對信息進行編碼，以此來隱藏、偽裝信息，通過對給定的有意義的數據進行可逆的數學變換，將其變為表面上雜亂無章的數據，而只有合法的接收者才能恢復原來的數據，由此保證了數據安全。密碼分析學是研究如何破譯經過加密的消息并識別偽造消息。總之，密碼編碼技術和密碼分析技術相互支持、密不可分。

第三是防火墻技術，防火墻是指放置在不同網絡或網絡安全域之間的系列部件的組合。防火墻在不同網絡區域之間建立起控制數據交換的唯一通道，通過允許或拒絕等手段實現對進出內部網絡的服務和訪問的控制。防火墻本身也具有較強的抗攻擊能力，能有效加強不同網絡區域之間的訪問控制，是提供信息安全服務，實現網絡安全的重要的基礎設施。

第四是入侵檢測系統。網絡安全風險系數越來越高，防火墻技術己經不能滿足人們對網絡安全的需求。入侵檢測系統作為對防火墻及其有益的補充，不僅能幫助網絡系統快速發現攻擊的發生，也擴展了系統管理員的安全管理能力，有效提高了信息安全基礎結構的完整性。

三、結語

網絡技術迅速發展的同時，也帶來了越來越多的網絡安全問題，校園網安全防范的建設更是一項復雜的系統工程，需要相關工作人員予以更多的重視。論文在辨清網絡安全和校園網絡安全的定義的基礎上，從認證技術、密碼技術、防火墻、入侵檢測系統、訪問控制技術、虛擬專用網六個方面分析了校園網安全防范技術，這不僅是理論上的分析，也為網絡安全實踐提供了一定的借鑒。

參考文獻：

[1]蔡新春.校園安全防范技術的研究與實現[J].合肥工業大學，2009（04）.

[2]謝慧琴.校園網安全防范技術研究[J].福建電腦，2009（09）.

[3]卜銀俠.校園網安全防范技術體系[J].硅谷，2011（24）.

[4]陶甲寅.校園網安全與防范技術[J].電腦知識與技術，2007（01）.

[5]袁修春.校園網安全防范體系[D].蘭州：西北師范大學，2005.

[6]鐘平.校園網安全防范技術研究[D].廣州：廣東工業大學，2007.

第5篇：網絡安全防范論文范文

本論文最終建立了適應獨立學院網絡安全管理的體系模型及應用模式,為校園網絡中所存在的嚴重安全問題提出一種思路及解決辦法。

關鍵詞:校園網 網絡安全 管理體系

Abstract:The research in this thesis is based on the data from the campus network in Zhuhai Campus of Beijing Institute of Technology, which is abbreviated to ZC below. It is a total resolution to all sorts of problems in ZC during last 4 years. The safety management system is a theoretical summary to the total resolution, which is not a simple stacking technology, but the integration of the technology, such as ACL, firework, IDS, Traffic management, intrusion detection and vulnerability scanning. Network-wide security measures are designed from the client to export to the Internet, and safety precautions are applied to every aspect of the user data streams. In actual operation, the main security problems of the networks are controlled effectively, and the network is very stable.

eventually a system model and an application model are established adapting to the safety management for the campus network of colleges and universities. Solutions to the serious security issues of campus network are put forward.

Key Words:campus network、Network Security、management system

上述三個系統在應用中,基本搭建起學校的整個電子資源,其中校務管理系統最為重要,此系統一但癱瘓意味著學校將基本停止正常運行。然而隨著互聯網技術的發展,黑客的攻擊手段日益先進。單一的技術手段無法保證系統的安全運行,只有在安全策略的指導下,建立互動的安全防范體系,才能最終保證網絡的安全,保證系統穩定運行。

構建網絡安全管理體系模型

一般而言,各學校目前普遍采用PDRR模型來構建安全防御體系。PDRR模型屬于動態信息安全理論的模型,PDRR是4個英文單詞的頭字符:Protection(防護)、Detection(檢測)、Response(響應)、Recovery(恢復)。這四個部分構成了一個動態的信息安全周期,如圖:

該模型更多的強調通過防火墻、IDS以及VPN等技術來解決校園網絡中存在的安全問題,重點在于安全應用技術,同時沒有形成體系和防御層次,并忽視了兩個重要的安全因素,安全管理與大流量數據擁堵造成的網絡安全問題。

為能夠更加有效的保證網絡及各類應用的安全運行,安全管理體系的設計應突出網絡安全的整個流程,從用戶的發起端到校園網絡的INTERNET出口,在數據流傳輸的各個環節進行了分布式的安全防范,同時輔以入侵檢測、漏洞掃描、流量管理的多種技術手段,加以監控并降低設備不必要的運行壓力,保證網絡系統穩定運行。在各個環節中,以策略為中心的安全模型可以更充分的發揮模型的各項功能。以安全策略為中心的輪形安全模型,可以從安全、監測、測試、調優、流控五個部分對我們的安全架構進行不斷的完善,使其成為一個自防御體系,能夠快速、有效、可靠、全面的發現各種系統遭受的攻擊,并實現有效的防范,以確保系統的穩定運行。

在PDRR基礎上,以安全策略為核心,以安全技術為支撐,以安全管理作為落實手段,建立了高效校園網絡安全管理體系。

針對于上述的安全架構,在具體的應用中,安全體系架構包含二個模塊:分別為校園互聯網接入模塊、校園園區網模塊,二個安全構件組成信息系統的安全架構。這種結構劃的設計,有利于在不同的網絡功能模塊之間更好的劃分安全防范的重點,并具有良好的擴展型,允許在今后的網絡安全規劃中,以一種層次的關系來分發安全策略。

安全模塊的設計特點

校園INTERNET接入模塊

校園INTERNET接入模塊主要是預防INTERNET攻擊的第一道門戶,是防范INTERNET上黑客攻擊的最主要屏障。因此,它的設計思想是以最少的策略,實現最嚴格的限制與最少的漏洞,同時保證最快的轉發速度。

校園園區網模塊

校園園區網是內部網的核心,保護著包括內網用戶、重要服務器的安全。園區網由一臺防火墻、兩臺互為冗余的主干交換機、內部應用服務器與樓層交換機、IDS模塊組成。在防火墻上根據用戶、服務進行詳細的分類,并針對每一個服務訪問做到具體的策略應用,園區網上防火墻的安全配置要求對每個訪問做到具體、全面、嚴格的限制,為每個用戶都劃分了訪問的具體范圍,它作為安全防護的中心。

安全架構的檢測

完成基本架構的搭建,為了保證各項安全措施能夠滿足防御要求,采用了多種方式進行系統的模擬安全檢測。

(1) 使用兩種漏洞掃描軟件對系統進行測試,SYMANTEC NETSTAT、及SSS軟件進行比較安全測試;

(2) 在防火墻的不同位置,TRUST、UNTRUST、DMZ、DMZ1等區域對包括網絡設備、主機系統進行了模擬攻擊;

在一個完整的校園安全管理體系中,各個部分之間的分工清晰,相互協作,在具體應用中可以很好的應用在實際的管理模塊上。這種方式將簡單、高效的布置校園網絡的安全,為校園網絡的運行及信息化建設奠定良好的安全基礎。

北京理工大學珠海學院校園網安全管理體系部署

北京理工大學珠海學院(以下簡稱珠海學院)自2004年建校以來,珠海學院已擁有在校生15000人,校園網絡經歷了6年的建設,信息點已達20000個,建成了內網骨干帶寬為20G,珠海學院外網帶寬600M,校內包括教務系統、網絡教學平臺、一卡通系統等各類應用已達40個,網絡用戶已達12500人左右。

本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文

安全策略

珠海學院各應用服務器大部分采用WINDOWS 2003,部分采用WINDOWS 2008,數據庫服務器采用LINUX操作系統,使用的應用軟件主要包括:ORACLE、SQL SERVER、MY SQL、APACHE、IIS等,網絡情況、應用環境十分復雜。針對上述問題,在建網初期,即制定了相應的安全管理近期與長期目標。安全體系的近期目標是實現完善的安全審計和取證機制,保證受到入侵后有證可查。鑒于大多數安全事件來自于管理員的誤操作,審計在明確事故責任上也能發揮重大作用。長期目標是建立安全預警系統,能夠抵御較高水平的黑客攻擊。

分布式安全防范措施

分布式防范措施是從用戶端到INTERNET出口之間進行層層設防,部署不同的安全技術和措施,從技術方面杜絕出現安全問題的舉措。在珠海學院的網絡上,我們采取了下列措施:

(1)限定網絡用戶的不同vlan。(2)實行802.1x的認證協議。(3)網絡用戶安全管理。(4)網絡用戶隔離。(5)網間設備數據傳輸安全。(6)交換機ip與用戶ip分別管理。

(7)防止木馬的管理方式。(8)設置應用的不同安全等級。(9)服務器的安全管理。

(10)VPN訪問。(11)系統恢復。

漏洞掃描

珠海學院在漏洞掃描工具上采用的是俄羅斯Shadow Security Scanner軟件,在安全掃描市場中享有速度最快,功效最好的盛名,其功能遠遠超過了其它眾多的掃描分析工具。SSS 可以對很大范圍內的系統漏洞進行安全、高效、可靠的安全檢測,對系統全部掃面之后,SSS可以對收集的信息進行分析,發現系統設置中容易被攻擊的地方和可能的錯誤,得出對發現問題的可能的解決方法。

在珠海學院的網絡管理中,定期對各個主要的交換機、服務器進行安全掃描,以為下一步的安全管理提供依據。

入侵檢測

珠海學院的入侵檢測系統布置,分為兩個層次,首先為NIDS,主要啟用防火墻的IDS模塊功能;

另外,啟用HIDS功能及在服務器上安裝個人防火墻設置,珠海學院采用的是MICROSOFT ISA2004。

為了檢測有害的入侵者,ISA Server將網絡通信以及日志項與熟知的攻擊方法進行比較。如發現可疑的行為會觸發一組預先設定的措施或者警報。這些措施包括終止鏈接、終止服務、電子郵件警報、記入日志、以及運行一個選定的程序。

流量管理

由于P2P技術的廣泛應用,目前大多數網絡用戶都采用P2P技術的網絡工具進行諸如下載、視頻、聽歌等服務,如迅雷、QQ直播、酷狗等,這些軟件的優點是充分利用互聯網絡,為用戶提供豐富的資源。應該說P2P技術的快速發展帶動了互聯網絡的快速發展,讓用戶能夠更加便捷的使用互聯網上的資源。

但P2P技術對于網絡管理與運營來說是一種嚴重的挑戰,一方面P2P技術過于貪婪,最大化的利用網絡帶寬進行下載。在珠海學院建網初期,申請的100M互聯網帶寬在沒有任何限制的情況下,僅有120多用戶就占滿了所有的下行帶寬,對校園網絡運營影響極大(帶寬租用價格較貴)。而且下載的很多資源內包含有大量的木馬、病毒程序,對網絡的安全運行造成了極大的影響。在珠海學院校園網絡運行初期,很多問題是圍繞著帶寬、速度產生的。P2P應用軟件的廣發使用對校園網絡設備帶來了極大的壓力,根本無從保證校園網絡的穩定運行和安全管理。

經過不斷的摸索,珠海學院在控制P2P應用中重點采用了三種措施:

(1)限制用戶的帶寬:對于單個用戶ip,通過防火墻對用戶進行帶寬管理,為每個用戶保證一條相對固定的通道,而不去影響其它用戶的上網;

(2)限制用戶的連接數:每個服務都是通過TCP或者UDP進行的數據通信,通過防火墻對單個用戶ip進行連接數的限制,從而限制諸如迅雷、p2p等貪婪占用通道的工具,以保證網絡線路的通暢;

(3)限制或封閉P2P協議的總帶寬:P2P協議之所以難以管理,主要是由于這種技術在使用過程中的服務端口可以隨機的變化,管理者根本無法確定服務的端口號,也就無法通過傳統的設備進行限制和禁止。但任何協議都有自己的特征碼,我們通過技術手段對P2P協議的特征進行匹配從而控制這種協議的軟件。但考慮到這種軟件應用的廣泛性,僅對這種軟件限制總體流量而并不完全封閉。

安全管理

安全管理貫穿于安全防范體系的始終。實踐一再告訴人們僅有安全技術防范,而無嚴格的安全管理體系相配套,是難以保障網絡系統安全的。必須制定一系列安全管理制度,對安全技術和安全設施進行管理。實現安全管理必須遵循可操作、全局性、動態性、管理與技術的有機結合、責權分明、分權制約及安全管理的制度化等原則。

2004年珠海學院校園網絡建立后,我們形成了初步的安全管理制度,但在運行過程中,發現存在有很多的問題。校園網絡建立初期,設立網管負責全校的校園網絡管理、設立了系統管理員負責全校的應用服務器管理,但實際上雖然人員角色明確,但人員任務并不明確。比如,網管人員管理所有的網絡設備,但具體的學生用戶上網情況并不是十分了解,對存在的問題不是非常清晰。而作為系統管理員并不十分清楚服務器所安裝的具體應用軟件要求,往往是由應用管理人員對系統進行維護,但又經常忽視系統的安全性。

針對上述問題,我們制定了以業務為主導的管理模式,將校園網絡分為兩片,宿舍區網絡、教學區網絡,分別由專人進行管理,但網絡路由統一由教學區管理,以保證網絡的穩定、暢通性。而應用系統部分分為公共基礎服務、校務管理系統、網絡教學系統分別由三個專職人員負責維護、管理,并有一人總負責,檢查、督促工作的完成情況。

這種管理方式讓具體管理人員對于自身管理系統的問題十分清楚,從而保證了整個網絡安全體系的動態性和有效性。

運行效果

經過對校園網絡的一系列調整、改造,珠海學院的校園網絡運行得到了極大的改善,我們從以下幾個方面來評定:

網絡基本流量對比

珠海學院學生用INTERNET線路共計有3條,2條200M電信帶寬,1條100M網通帶寬。三條線路分別連接在3臺防火墻上,分別為3.1,3.10,4.1。下列圖為對前2臺防火墻的INTERNET接口進行的數據取樣。

如圖所示,每到高峰期時,200M帶寬基本上已經全部占滿,

用戶網絡運行穩定

珠海學院網絡運行時間為8:00-24:00,其余時間斷網,下表即位珠海學院上網用戶的信息統計。如表所示,一天之中在中午與晚上分別為兩個最高峰的運行值,用戶在線率高,網絡帶寬消耗也相應提升。

網絡運行穩定

珠海學院網絡分為辦公網絡(教學樓部分)與學生網絡(生活區部分),為了保障系統的安全,這兩個部分之間的網絡作了相應的策略控制,只能通過服務器進行數據交換。每天,網管對兩部分網絡進行監控各自的運行狀態,以及時了解網絡中可能出現的問題。

下圖分別描述了位于教學區與生活區部分網絡設備的運行狀況。(測試工具為SolarWinds 2001 Enhanced Ping)

基本服務運行正常

通過對所有流經網絡管理器的數據包進行監控,分析得到網絡中各種協議的運行情況及流量狀態。該監控囊括了網絡上所有協議的定義,分作傳統協議、P2P下載、網絡電視、即時通信、流媒體、網絡電話、網絡游戲、股票交易、網絡安全這些監控模塊,直接體現了網絡上各種協議的應用情況。

服務器系統運行穩定

通過對主要服務器的系統狀態監控,了解CPU、內存、SWAP等的運行狀態及各服務進程的運行狀態,確定服務器的是否正常。

3 結語

校園網絡作為校園信息系統的基礎網絡平臺,網絡的安全、穩定運行是保證各項業務平穩運行的基礎保障,必須建立起一套可行的、有機的安全管理體系,根據學校的實際特點進行有效的部署。從北京理工大學珠海學院校園網絡安全體系的建立中,我們積累了一些基礎,并在此基礎上,本文提出了在PDRR基礎上,以安全策略為核心,以安全技術為支撐,以安全管理作為落實手段,建立了校園網絡安全管理體系。

參考文獻

康弗瑞.網絡安全體系結構.北京:人民郵電出版社,2005年.15-21.

戴英俠.計算機網絡安全.北京:清華大學出版社,2004年.89-131.

曾湘黔.防火墻與網絡安全-入侵檢測和VPNs.北京:清華大學出版社,2004年.

W.RICHARD STEVENS. TCP/IP詳解 卷1:協議 .機械工業出版社,2000年.

W..RICHARD STEVENS.TCP/IP詳解 卷2:實現TCP/IP .機械工業出版社,2000年.

W.RICHARD STEVENS. TCP/IP詳解卷三:TCP事務協議.機械工業出版社,2000年.

張小斌,嚴望佳.黑客分析與防范技術.北京:清華大學出版社,2003.82-91.

張仕斌,譚三等.網絡安全技術.北京:清華大學出版社,2004.87-121.

段鋼.加密與解密(第三版).電子工業出版社,2008.

曹元大,薛靜鋒,祝烈煌,閻慧.入侵檢測技術.人民郵電出版社,2007.

第6篇：網絡安全防范論文范文

論文關鍵詞：計算機　網絡　安全　對策

論文摘要：本文對計算機網絡安全存在的問題進行了深入探討，提出了對應的改進和防范措施。

隨著計算機信息化建設的飛速發展，計算機已普遍應用到日常工作、生活的每一個領域，比如政府機關、學校、醫院、社區及家庭等。但隨之而來的是，計算機網絡安全也受到全所未有的威脅，計算機病毒無處不在，黑客的猖獗，都防不勝防。本文將著重對計算機信息網絡安全存在的問題提出相應的安全防范措施。

1、技術層面對策

在技術方面，計算機網絡安全技術主要有實時掃描技術、實時監測技術、防火墻、完整性檢驗保護技術、病毒情況分析報告技術和系統安全管理技術。綜合起來，技術層面可以采取以下對策：

1) 建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業道德修養。對重要部門和信息，嚴格做好開機查毒，及時備份數據，這是一種簡單有效的方法。

2) 網絡訪問控制。訪問控制是網絡安全防范和保護的主要策略。它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術比較廣，包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。

3) 數據庫的備份與恢復。數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作。備份是恢復數據庫最容易和最能防止意外的保證方法。恢復是在意外發生后利用備份來恢復數據的操作。有三種主要備份策略：只備份數據庫、備份數據庫和事務日志、增量備份。

4) 應用密碼技術。應用密碼技術是信息安全核心技術，密碼手段為信息安全提供了可靠保證。基于密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一，密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。

5) 切斷傳播途徑。對被感染的硬盤和計算機進行徹底殺毒處理，不使用來歷不明的U盤和程序，不隨意下載網絡可疑信息。

6) 提高網絡反病毒技術能力。通過安裝病毒防火墻，進行實時過濾。對網絡服務器中的文件進行頻繁掃描和監測，在工作站上采用防病毒卡，加強網絡目錄和文件訪問權限的設置。在網絡中，限制只能由服務器才允許執行的文件。

7) 研發并完善高安全的操作系統。研發具有高安全的操作系統，不給病毒得以滋生的溫床才能更安全。

2、管理層面對策

計算機網絡的安全管理，不僅要看所采用的安全技術和防范措施，而且要看它所采取的管理措施和執行計算機安全保護法律、法規的力度。只有將兩者緊密結合，才能使計算機網絡安全確實有效。

計算機網絡的安全管理，包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念，提高計算機用戶的安全意識，對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾，是十分重要的措施。

這就要對計算機用戶不斷進行法制教育，包括計算機安全法、計算機犯罪法、保密法、數據保護法等，明確計算機用戶和系統管理人員應履行的權利和義務，自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則，自覺地和一切違法犯罪的行為作斗爭，維護計算機及網絡系統的安全，維護信息系統的安全。除此之外，還應教育計算機用戶和全體工作人員，應自覺遵守為維護系統安全而建立的一切規章制度，包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。

3、物理安全層面對策

要保證計算機網絡系統的安全、可靠，必須保證系統實體有個安全的物理環境條件。這個安全的環境是指機房及其設施，主要包括以下內容：

1) 計算機系統的環境條件。計算機系統的安全環境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面，都要有具體的要求和嚴格的標準。

2) 機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地，要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性，避開強振動源和強噪聲源，并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入口的管理。

3) 機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網絡設施、重要數據而采取的安全措施和對策。為做到區域安全，首先，應考慮物理訪問控制來識別訪問用戶的身份，并對其合法性進行驗證；其次，對來訪者必須限定其活動范圍；第三，要在計算機系統中心設備外設多層安全防護圈，以防止非法暴力入侵；第四設備所在的建筑物應具有抵御各種自然災害的設施。

計算機網絡安全是一項復雜的系統工程，涉及技術、設備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進行把握。網絡安全解決方案是綜合各種計算機網絡信息系統安全技術，將安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來，形成一套完整的、協調一致的網絡安全防護體系。我們必須做到管理和技術并重，安全技術必須結合安全措施，并加強計算機立法和執法的力度，建立備份和恢復機制，制定相應的安全標準。此外，由于計算機病毒、計算機犯罪等技術是不分國界的，因此必須進行充分的國際合作，來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。

參考文獻

[1] 張千里.網絡安全新技術[M].北京:人民郵電出版社，2003.

第7篇：網絡安全防范論文范文

一 緒論 安全管理的發展趨勢和現狀

1、 網絡安全現狀

計算機網絡的廣泛應用是當今信息社會的一場革命。電子商務和電子政務等網絡應用的發展和普及不僅給我們的生活帶來了很大的便利，而且正在創造著巨大的財富，以Internet為代表的全球性信息化浪潮日益深刻，信息網絡技術的應用正日益普及和廣泛，應用層次不斷深入，應用領域更是從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。

與此同時，計算機網絡也正面臨著日益劇增的安全威脅。廣為網絡用戶所知的黑客行為和攻擊活動正以每年10倍的速度增長，網頁被修改、非法進入主機、發送假冒電子郵件、進入銀行系統盜取和轉移資金、竊取信息等網絡攻擊事件此起彼伏。計算機病毒、特洛伊木馬、拒絕服務攻擊、電子商務入侵和盜竊等，都造成了各種危害，包括機密數據被篡改和竊取、網站頁面被修改或丑化、網絡癱瘓等。網絡與信息安全問題日益突出，已經成為影響國家安全、社會穩定和人民生活的大事，發展與現有網絡技術相對應的網絡安全技術，保障網絡安全、有序和有效的運行，是保證互聯網高效、有序應用的關鍵之一。

2、 現有網絡安全技術

計算機網絡是基于網絡可識別的網絡協議基礎之上的各種網絡應用的完整組合，協議本身和應用都有可能存在問題，網絡安全問題包括網絡所使用的協議的設計問題，也包括協議和應用的軟件實現問題，當然還包括了人為的因素以及系統管理失誤等網絡安全問題，下表示意說明了這些方面的網絡安全問題。

問題類型 問題點 問題描述

協議設計 安全問題被忽視 制定協議之時，通常首先強調功能性，而安全性問題則是到最后一刻、甚或不列入考慮范圍。

其它基礎協議問題 架構在其他不穏固基礎協議之上的協議，即使本身再完善也會有很多問題。

流程問題 設計協議時，對各種可能出現的流程問題考慮不夠周全，導致發生狀況時，系統處理方式不當。

設計錯誤 協議設計錯誤，導致系統服務容易失效或招受攻擊。

軟件設計 設計錯誤 協議規劃正確，但協議設計時發生錯誤，或設計人員對協議的認知錯誤，導致各種安全漏洞。

程序錯誤 程序撰寫習慣不良導致很多安全漏洞，包含常見的未檢查資料長度內容、輸入資料容錯能力不足、未檢測可能發生的錯誤、應用環境的假設錯誤、引用不當模塊、未檢測資源不足等。

人員操作 操作失誤 操作規范嚴格且完善，但是操作人員未受過良好訓練、或未按手冊操作，導致各種安全漏洞和安全隱患。

系統維護 默認值不安全 軟件或操作系統的預設設置不科學，導致缺省設置下系統處于不安全的狀況下。容易遭受病毒、蠕蟲、特洛依木馬等的攻擊。

未修補系統 軟件和操作系統的各種補丁程序沒有及時修復。

內部安全問題 對由信任系統和網絡發起的各種攻擊防范不夠。信任領域存在的不安全系統，成為不信任領域內系統攻擊信任領域的各種跳板。

針對上表所示的各種網絡安全問題，全世界的網絡安全廠商都試圖發展了各種安全技術來防范這些問題，這些技術包括訪問控制技術、識別和鑒別技術、密碼技術、完整性控制技術、審計和恢復技術、防火墻系統、計算機病毒防護、操作系統安全、數據庫系統安全和抗抵賴協議等，相繼陸續推出了包括防火墻、入侵檢測（IDS）、防病毒軟件、CA系統、加密算法等在內的各類網絡安全軟件，這些技術和安全系統（軟件）對網絡系統提供了一定的安全防范，一定程度上解決了網絡安全問題某一方面的問題。

3、 現有網絡安全技術的缺陷

現有的各種網絡安全技術都是針對網絡安全問題的某一個或幾個方面來設計的，它只能相應地在一定程度上解決這一個或幾個方面的網絡安全問題，無法防范和解決其他的問題，更不可能提供對整個網絡的系統、有效的保護。如身份認證和訪問控制技術只能解決確認網絡用戶身份的問題，但卻無法防止確認的用戶之間傳遞的信息是否安全的問題，而計算機病毒防范技術只能防范計算機病毒對網絡和系統的危害，但卻無法識別和確認網絡上用戶的身份等等。

現有的各種網絡安全技術中，防火墻技術可以在一定程度上解決一些網絡安全問題。防火墻產品主要包括包過濾防火墻，狀態檢測包過濾防火墻和應用層防火墻，但是防火墻產品存在著局限性。其最大的局限性就是防火墻自身不能保證其準許放行的數據是否安全。同時，防火墻還存在著一些弱點：一、不能防御來自內部的攻擊：來自內部的攻擊者是從網絡內部發起攻擊的，他們的攻擊行為不通過防火墻，而防火墻只是隔離內部網與因特網上的主機，監控內部網和因特網之間的通信，而對內部網上的情況不作檢查，因而對內部的攻擊無能為力；二、不能防御繞過防火墻的攻擊行為：從根本上講，防火墻是一種被動的防御手段，只能守株待兔式地對通過它的數據報進行檢查，如果該數據由于某種原因沒有通過防火墻，則防火墻就不會采取任何的措施；三、不能防御完全新的威脅：防火墻只能防御已知的威脅，但是人們發現可信賴的服務中存在新的侵襲方法，可信賴的服務就變成不可信賴的了；四、防火墻不能防御數據驅動的攻擊：雖然防火墻掃描分析所有通過的信息，但是這種掃描分析多半是針對IP地址和端口號或者協議內容的，而非數據細節。這樣一來，基于數據驅動的攻擊，比如病毒，可以附在諸如電子郵件之類的東西上面進入你的系統中并發動攻擊。

入侵檢測技術也存在著局限性。其最大的局限性就是漏報和誤報嚴重，它不能稱之為一個可以信賴的安全工具，而只是一個參考工具。

在沒有更為有效的安全防范產品之前，更多的用戶都選擇并依賴于防火墻這樣的產品來保障自己的網絡安全，然而相對應的是，新的OS漏洞和網絡層攻擊層出不窮，攻破防火墻、攻擊計算機網絡的事件也越來越多，因此，開發一個更為完善的網絡安全防范系統來有效保護網絡系統，已經成為各網絡安全廠商和用戶的共同需求和目標。

4發展趨勢：

中國的網絡安全技術在近幾年得到快速的發展，這一方面得益于從中央到地方政府的廣泛重視，另一方面因為網絡安全問題日益突出，網絡安全企業不斷跟進最新安全技術，不斷推出滿足用戶需求、具有時代特色的安全產品，進一步促進了網絡安全技術的發展。

從技術層面來看，目前網絡安全產品在發展過程中面臨的主要問題是：以往人們主要關心系統與網絡基礎層面的防護問題，而現在人們更加關注應用層面的安全防護問題，安全防護已經從底層或簡單數據層面上升到了應用層面，這種應用防護問題已經深入到業務行為的相關性和信息內容的語義范疇，越來越多的安全技術已經與應用相結合。

4.1、現階段網絡安全技術的局限性

談及網絡安全技術，就必須提到網絡安全技術的三大主流—防火墻技術、入侵檢測技術以及防病毒技術。

任何一個用戶，在剛剛開始面對安全問題的時候，考慮的往往就是這“老三樣”。可以說，這三種網絡安全技術為整個網絡安全建設起到了功不可沒的作用，但是傳統的安全“老三樣”或者說是以其為主的安全產品正面臨著許多新的問題。

轉貼于

首先，從用戶角度來看，雖然系統中安裝了防火墻，但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務的侵擾。

其次，未經大規模部署的入侵檢測單個產品在提前預警方面存在著先天的不足，且在精確定位和全局管理方面還有很大的空間。

再次，雖然很多用戶在單機、終端上都安裝了防病毒產品，但是內網的安全并不僅僅是防病毒的問題，還包括安全策略的執行、外來非法侵入、補丁管理以及合規管理等方面。

所以說，雖然“老三樣”已經立下了赫赫戰功，且仍然發揮著重要作用，但是用戶已漸漸感覺到其不足之處。其次，從網絡安全的整體技術框架來看，網絡安全技術同樣面臨著很大的問題，“老三樣”基本上還是針對數據、單個系統、軟硬件以及程序本身安全的保障。應用層面的安全，需要將側重點集中在信息語義范疇的“內容”和網絡虛擬世界的“行為”上。

4.2、技術發展趨勢分析

.

防火墻技術發展趨勢

在混合攻擊肆虐的時代，單一功能的防火墻遠不能滿足業務的需要，而具備多種安全功能，基于應用協議層防御、低誤報率檢測、高可靠高性能平臺和統一組件化管理的技術，優勢將得到越來越多的體現，UTM（UnifiedThreatManagement，統一威脅管理）技術應運而生。

從概念的定義上看，UTM既提出了具體產品的形態，又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看，很多廠商提出的多功能安全網關、綜合安全網關、一體化安全設備都符合UTM的概念；而從后半部分來看，UTM的概念還體現了經過多年發展之后，信息安全行業對安全管理的深刻理解以及對安全產品可用性、聯動能力的深入研究。

UTM的功能見圖1.由于UTM設備是串聯接入的安全設備，因此UTM設備本身必須具備良好的性能和高可靠性，同時，UTM在統一的產品管理平臺下，集防火墻、VPN、網關防病毒、IPS、拒絕服務攻擊等眾多產品功能于一體，實現了多種防御功能，因此，向UTM方向演進將是防火墻的發展趨勢。UTM設備應具備以下特點。

（1）網絡安全協議層防御。防火墻作為簡單的第二到第四層的防護，主要針對像IP、端口等靜態的信息進行防護和控制，但是真正的安全不能只停留在底層，我們需要構建一個更高、更強、更可靠的墻，除了傳統的訪問控制之外，還需要對垃圾郵件、拒絕服務、黑客攻擊等外部威脅起到綜合檢測和治理的作用，實現七層協議的保護，而不僅限于第二到第四層。

（2）通過分類檢測技術降低誤報率。串聯接入的網關設備一旦誤報過高，將會對用戶帶來災難性的后果。IPS理念在20世紀90年代就已經被提出，但是目前全世界對IPS的部署非常有限，影響其部署的一個重要問題就是誤報率。分類檢測技術可以大幅度降低誤報率，針對不同的攻擊，采取不同的檢測技術，比如防拒絕服務攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規短信攻擊等，從而顯著降低誤報率。

（3）有高可靠性、高性能的硬件平臺支撐。

（4）一體化的統一管理。由于UTM設備集多種功能于一身，因此，它必須具有能夠統一控制和管理的平臺，使用戶能夠有效地管理。這樣，設備平臺可以實現標準化并具有可擴展性，用戶可在統一的平臺上進行組件管理，同時，一體化管理也能消除信息產品之間由于無法溝通而帶來的信息孤島，從而在應對各種各樣攻擊威脅的時候，能夠更好地保障用戶的網絡安全。

二 網絡安全面臨的主要問題

1. 網絡建設單位、管理人員和技術人員缺乏安全防范意識，從而就不可能采取主動的安全 措施加以防范，完全處于被動挨打的位置。

2. 組織和部門的有關人員對網絡的安全現狀不明確，不知道或不清楚網絡存在的安全隱 患，從而失去了防御攻擊的先機。

3. 組織和部門的計算機網絡安全防范沒有形成完整的、組織化的體系結構，其缺陷給攻擊 者以可乘之機。

4. 組織和部門的計算機網絡沒有建立完善的管理體系，從而導致安全體系和安全控制措施 不能充分有效地發揮效能。業務活動中存在安全疏漏，造成不必要的信息泄露，給攻擊者以收集敏感信息的機會。

5. 網絡安全管理人員和技術有員缺乏必要的專業安全知識，不能安全地配置和管理網絡， 不能及時發現已經存在的和隨時可能出現的安全問題，對突發的安全事件不能作出積極、有序和有效的反應。

三 網絡安全的解決辦法

實現網絡安全的過程是復雜的。這個復雜的過程需要嚴格有效的管理才能保證整個過程的有效性，才能保證安全控制措施有效地發揮其效能，從而確保實現預期的安全目標。因此，建立組織的安全管理體系是網絡安全的核心。我們要從系統工程的角度構建網絡的安全體系結構，把組織和部門的所有安全措施和過程通過管理的手段融合為一個有機的整體。安全體系結構由許多靜態的安全控制措施和動態的安全分析過程組成。

1. 安全需求分析 "知已知彼，百戰不殆"。只有明了自己的安全需求才能有針對性地構建適合于自己的安全體系結構，從而有效地保證網絡系統的安全。

2. 安全風險管理 安全風險管理是對安全需求分析結果中存在的安全威脅和業務安全需求進行風險評估，以組織和部門可以接受的投資，實現最大限度的安全。風險評估為制定組織和部門的安全策略和構架安全體系結構提供直接的依據。

3. 制定安全策略 根據組織和部門的安全需求和風險評估的結論，制定組織和部門的計算機網絡安全策略。

4. 定期安全審核 安全審核的首要任務是審核組織的安全策略是否被有效地和正確地執行。其次，由于網絡安全是一個動態的過程，組織和部門的計算機網絡的配置可能經常變化，因此組織和部門對安全的需求也會發生變化，組織的安全策略需要進行相應地調整。為了在發生變化時，安全策略和控制措施能夠及時反映這種變化，必須進行定期安全審核。

5. 外部支持 計算機網絡安全同必要的外部支持是分不開的。通過專業的安全服務機構的支持，將使網絡安全體系更加完善，并可以得到更新的安全資訊，為計算機網絡安全提供安全預警。

6. 計算機網絡安全管理 安全管理是計算機網絡安全的重要環節，也是計算機網絡安全體系結構的基礎性組成部分。通過恰當的管理活動，規范組織的各項業務活動，使網絡有序地進行，是獲取安全的重要條件。

第8篇：網絡安全防范論文范文

關鍵詞：網絡安全；安全技術；病毒；方法

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)17-4028-02

Analyze Calculator Network Security Flaws and Prevention

LI Tian-xiang, LI Xuan-ming

(University for Science & Technology Sichuan, Chengdu 611745, China)

Abstract：Internet bring convenience to the life of people at the same time, the problem of network security has become more and more serious. The current threat to many factors of network security, outlaws use of computer network vulnerability of network security problems existing in the computer network crime, serious harm the state and society. Thus, the computer network security technology should have realistic meanings.

Key words: network security; safety technology; virus; methods

隨著計算機網絡訊速發展,信息傳遞方式的改變，促使社會溝通聯系更加密切。隨著互聯網規模進一步擴大，網絡給網民帶來豐富的信息資源的同時，也存在安全隱患，計算機網絡安全成為亟待解決的問題。

1 計算機網絡安全概述

1.1 計算機網絡安全的含義

計算機安全的定義是數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件、數據不因偶然和惡意的原因而遭到破壞、更改和泄露。由此而衍生出計算機網絡安全的含義，即：計算機網絡的硬件、軟件、數據的保密性、完整性、可用性得到保護，使之不受到偶然或惡意的破壞。具體含義隨著使用者的立場不同而改變。

1.2 計算機網絡安全威脅的特點

1) 破壞性和危害性。網絡攻擊往往會對計算機系統造成嚴重的破壞，使計算機處于癱瘓狀態。一旦攻擊成功，會給計算機用戶帶來慘重的經濟損失，甚者將威脅社會和國家安全。

2) 隱蔽性和潛伏性。計算機網絡攻擊正是由于其隱蔽性，且其過程所需的時間很短，讓使用者疏于防范、防不勝防。計算機攻擊產生效果需要一定的時間，攻擊一般潛伏在程序中，直到程序滿足攻擊效果產生的條件，被攻擊對象才會發現問題。

3) 突發性和擴散性。計算機網絡破壞通常是毫無征兆的，而且其影響會迅速擴散。無論計算機網絡攻擊的對象是個體還是群體，都會因為網絡的互聯性形成擴散的連環破壞，其影響規模若不受干擾將會是無限的。

2 計算機網絡安全的缺陷分析

2.1 網絡系統自身的問題

首先，互聯網處于一個無組織狀態，自然無安全可言，任一用戶可以通過上網瀏覽，方便的可訪問性使單位及個人的敏感性信息極易受到侵入。其次，目前較為流行的操作系統均存在漏洞。漏洞是可以在攻擊過程中利用的弱點，它可以是硬件、軟件、功能設計等造成的。入侵者往往會研究分析這些漏洞，加以利用而獲得侵入和破壞的機會。最后，TCP/IP協議存在安全隱患。一方面，該協議數據流采用明碼傳輸，且傳輸過程無法控制，這就為他人截取、竊聽信息提供了機會；另一方面，該協議在設計時采用簇的基本體系結構，IP地址作為網絡節點的唯一標識，不是固定的且不需要身份認證，因此攻擊者就有了可乘之機，他們可以通過修改或冒充他人的IP地址進行信息的攔截、竊取和篡改。

2.2 來自外界的威脅

1) 黑客攻擊。計算機技術發展速度快于計算機安全技術的發展速度，黑客利用兩者之間的空白期，研究發現系統的漏洞，進行突擊網絡系統安全的提前預謀。這種人為的惡意攻擊是計算機網絡安全最大的威脅。

2) 病毒入侵。計算機病毒因為其隱蔽性、潛伏性、傳染性和破壞性的特點，對計算機網絡安全造成巨大的破壞。未來計算機病毒的摧毀力度將越來越強，隱蔽性和抗壓性也日益增強，這些病毒的存在對于計算機網絡安全而言無疑是定時炸彈。

3) 非法訪問。非法訪問指的是未經同意就越過權限，利用工具或通過編寫計算機程序突破計算機網絡的訪問權限，侵入他人電腦進行操作。

2.3 計算機用戶帶來的威脅因素

在計算機使用過程中，使用者安全意識的缺乏通常是網絡安全的一個重大隱患。隱秘性文件未設密，操作口令的泄露，重要文件的丟失等都會給黑客提供攻擊的機會。對于系統漏洞的不及時修補以及不及時防病毒都可能會給網絡安全帶來破壞。

2.4 有效監控手段的缺乏

在現實中，計算機網絡安全的維護更多注重的是事前預防與事后彌補，在事中監控方面有所欠缺，這直接造成網絡安全的不穩定。

3 計算機網絡安全防范

3.1 深入研析系統缺陷，不斷完善網絡系統設計

全面分析網絡系統設計是建立安全可靠的計算機網絡工程的首要任務。應針對現在計算機網絡系統中存在的弱點進行認真研究，完善網絡系統設計。主要建立入網訪問控制功能模塊。入網訪問控制為網絡提供了第一層保護。用戶入網訪問控制可分為三步驟：用戶名的識別與驗證；用戶口令的識別與驗證；用戶賬號的檢查。三步驟中任意一個不能通過，系統應將其視為非法用戶，不能訪問該網絡。

網絡操作系統要經過及時更新，保證其完整性和安全性。系統軟件應具備以下安全措施：網絡操作系統應具備完善的存取控制功能，防止用戶越權存取信息；操作系統應具備良好的存儲保護功能，防止用戶作業在指定范圍以外的存儲區域進行操作；還應具備較完善的管理能力，以記錄系統的運行情況，監測對數據文件的存取。

3.2 加強網絡安全保護，抵制外來威脅

3.2.1 確保計算機網絡運行的優良環境

硬件運行環境的改善。服務器機房建設要按照國家統一頒布的標準進行建設、施工，經公安、消防等部門檢查驗收合格后投入使用。

做好維護設備的工作。建立對各種計算機及網絡設備定期檢修、維護制度，并作好檢修、維護記錄。對突發性安全事故處理要制定應急預案，對主要服務器和網絡設備，要指定專人負責；發生故障確保及時修復，從而保證設備處于最佳運行狀態。

3.2.2 建立完整可靠的安全防線

1) 防火墻控制。防火墻技術是一種網絡之間的互聯設備，主要防范外部網絡用戶以非法手段進入內部網絡訪問，即過濾危險因素的網絡屏障。防火墻可以強化網絡安全性，它對網絡間傳輸的數據包按照一定的安全策略實施檢查，決定傳輸是否被允許，這樣就減小了非法傳輸的可能性。同時，防火墻可以對網絡中的實際操作進行監控和記錄。

2) 病毒防殺技術。病毒對于整個計算機網絡的破壞作用是巨大的，因此病毒防殺是網絡完全技術中的重要環節。在生活中，人們存在一個認識的誤區，即對待病毒關鍵是“殺”。其實病毒應當以“防”為主。計算機被病毒感染后再進行分析、殺毒，這無異于“飯后買單”，事后的彌補性措施是不可能徹底計算機安全問題的。因此我們應當采取主動防御，計算機一定要安裝正版的殺毒軟件，同時殺毒軟件實時監控，定時升級，定期對電腦進行掃描，以便發現并清除隱藏的病毒。應當盡可能采用行之有效的新方法，建立“防殺結合，以防為主，以殺為輔，軟硬互補，標本兼治”的網絡病毒安全模式。

3) 訪問權限設置。訪問權限設置是盡量將非法訪問排除在網絡之外，權限設置是網絡安全防范系統中的重要環節。系統通過設定權限條件，賦予用戶一定的訪問的權利與限制,用戶在權限范圍內訪問可訪問相關資源；指定用戶能夠進行的具體操作。

4) 文件加密技術。加密是把明文變成密文，使未被授權的人看不懂它，從而保護網絡中數據傳輸的安全性。常用的網絡加密方法有鏈路加密、端點加密和節點加密等。

3.2.3 增強計算機用戶、管理人員的安全意識

計算機個人用戶要加強網絡安全意識的培養，根據自己的職責權限，選擇不同的口令，對應用程序數據進行合法操作，防止其他用戶越權訪問網絡資源。同時，在使用時要注意對病毒的防范,重視殺毒軟件的更新，在網絡前端進行殺毒。加強網絡管理人員安全意識、職業道德、責任心的培養，建立、健全安全管理體制，不斷完善信息網絡的安全規范化管理制度，大力加強安全建設，給計算機網絡安全提供有力保證。

3.2.4 打造專業管理團隊,加強網絡評估和監控

網絡安全的維護一方面要依靠先進的軟件防御，另一方面要依靠專業的網絡評估和監控人員。這類管理團隊存在于黑客的對立面，主要對網絡運行的過程進行監控，研究分析是否有不法攻擊的存在，并提出改善意見，不斷完善網絡運行管理機制。

4 結束語

計算機網絡安全涉及方方面面，是一個較為復雜的系統。

我們必須綜合考慮安全因素，制定合理的目標、技術方案和相關的配套法規等。網絡安全是一個相對的安全，并沒有絕對安全的網絡。隨著計算機網絡技術的進一步發展，網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。

參考文獻：

[1] 齊英蘭.計算機網絡安全問題初探[J].河南財政稅務高等專科學校學報,2003.

[2] 白兆輝.淺析計算機網絡安全防范的幾種關鍵技術[J].科技信息,2009.

[3] 徐超漢.計算機網絡安全與數據完整性技術[M].北京:電子工業出版社,2005.

[4] 皮興進.計算機網絡系統安全威脅及其防護策略的研究[J].才智,2009.

第9篇：網絡安全防范論文范文

論文摘要：電子商務的安全防范方面，已經出現了許多新技術新方法，但網絡安全問題仍然讓人擔憂。引入安全策略的維度思想，對各種安全技術進行整合，使各種安全技術在搭配組合上更科學合理，發揮最大的安全效能。

論文關鍵詞：網絡安全；安全策略；雛度思想

1概述

計算機信息安全策略維度思想是將計算機信息安全首先從不同的角度(維度)進行拆分，然后對某一些角度(維度)的信息加以限制(如進行加密)，當這一維度被抽出后，其它的信息即便被人得到，只要該被限制的維度不能被獲得，則其他人無法得到真實完整的信息，或者說是得到無用的信息。這種體系發生作用的原因就是前面提過的，為當某一維度被限制后，它的上一層維度將會被限制，這樣向上的一層層維度都將被限制直到最頂層。在計算機領域里，我們知道計算機信息需要傳輸，而傳輸過程中將涉及到傳輸的內容(加密內容、非加密內容)、傳輸使用的方式(電話、網絡、衛星信號)、傳輸的時間等諸多維度。在這些維度中如果我們能將任何—個維度加以限制，就能保證這次傳輸的信息安全可靠。

2安全策略維度的關聯分析

為了加強計算機信息安全，我們往往同時采用多種安全技術，如加密、安全認證、訪問控制、安全通道等。這樣高強度的安全措施為什么還會出現那么多的安全漏洞，以致于大家普遍認為“網絡無安全“呢?經過思考，我們認為計算機信息安全策略存在的缺陷，是造成這一現象的重要原因。主要問題出在幾個安全維度之間出現了強關聯，使原本三維、四維的安全措施降低了維數，甚至只有一維。這樣一來，就使得安全防范技術的效力大打折扣。舉例來講，如果我們采取了加密、安全通道這兩種技術措施，則我們可以認為這是—個二維安全策略，但是由于它們都是在WINDOWS操作系統上運行，于是這兩種本不相關聯的安全技術，通過同一操作系統出現了強關聯，使其安全策略維度降至一維甚至更低。因為一旦有人在當事人完全不知道的情況下，通過木馬或其他手段操控了WINDOWS操作系統，那么無論是加密還是安全通道都變得毫無意義。因為這時入侵者已經被認為是—個合法的操作者，他可以以原主人的身分自行完成諸如加密、安全通道通信的操作，從而進行破壞。究其原因是加密、安全通道技術都分別與操作系統發生了強關聯，而加密與安全通道技術通過操作系統，它們倆之問也發生了強關聯，這就使安全強度大打折扣。為了減少各維度間的關聯盡量實現各維度的正交，我們必須盡量做到各維度之間相互隔離減少軟、硬件的復用、共用。共用硬件往往隨之而來的就是軟件的共用(通用)，因此實現硬件的獨立使用是關鍵。舉例來說，要是我們能把操作系統與加密、安全通道實現隔離，則我們就可以得到真正的二維安全策略。為了實現這種隔離，我們可以作這樣的設計：我們設計出用各自分離的加密、通訊硬件設備及軟件操作系統這些設施能獨立的(且功能單一的)完成加密、通訊任務，這樣操作系統、加密、安全通道三者互不依賴，它們之間只通過一個預先設計好的接口傳輸數據(如：Rs232接口和PKCS#11加密設備接口標準)。這樣一來，對于我們所需要保護的信息就有了一個完全意義上的二維安全策略。在電子交易的過程中，即便在操作系統被人完全操控的情況下，攻擊者也只能得到—個經過加密的文件無法將其打開。即便攻擊者用巨型計算機破解了加密文件，但由于安全通道的獨立存在，它仍能發揮其安全保障作用，使攻擊者無法與管理電子交易的服務器正常進行網絡聯接，不能完成不法交易。綜上所述，我們在制定安全策略時，要盡量實現各個維度安全技術的正交，從硬件、軟件的使用上盡量使各個安全技術不復用操作系統不復用硬件設施，從而減少不同維度安全技術的關聯程度。

3安全策略維度的節點安全問題

為了保護節安全，我們可以采取的方法一般有兩種：加強對節點的技術保護或是將節點后移。為了加強對節點的技術保護，我們采取的方法很多，如加設防火墻，安裝防病毒、防木馬軟件，以及應用層次防御和主動防御技術等等，這方面已經有很多成熟的技術。這種方法強調的是使用技術手段來防御，但也有其缺點，就是防御手段往往落后于攻擊手段，等發現技術問題再填補漏洞時很可能已經造成很大的損失。節點后移則更多是強調一種策略而不強調先進的技術，它不強調用最新的病毒庫、最新解碼技術來進行節點保護，而是通過現有的成熟技術手段盡可能延長節點并將節點后移，從而實現對節點的保護。

為了理清這倆個方法的區別，可以將保護分成系統自身的保護性構造與外部對系統的保護。

系統自身的保護構造依靠的是節點后移，它講的是系統自身如何通過沒汁的合理來保證系統內操作的安全性。但是如果僅靠系統自身的構造是不足以保證系統安全的，因為如果系統的源代碼被攻擊者購得，又或者高級節點的維護人員惡意修改系統內容等等安全系統外情況的出現，再完美的系統也會無效。這就如同金庫的門再厚，管鑰匙的人出了問題金庫自身是無能為力的。計算機安全能做的事就如同建—個結實的金庫，而如何加強對金庫的管理、維護(或者說保護)則是另外一件事。事實上金庫本身也需要維護與保護，所以我們按照維度思維構建了計算機信息安全體系本身的同時也需要按維度思維對安全體系自身進行保護。具體來講比如，越是重要的數據服務器越要加強管理，對重要數據服務器的管理人員審查越要嚴格，工資待遇相對要高，越重要的工作場所越要加強值班、監控等等。

4安全策略維度的安全技術分布

在所沒汁安全策略采用了加密、密碼認證、安全通道三種技術，則認為是采用了三維的安全防范策略。有以下技術分布方法。方法1中三個安全技術維度直接與頂點相接，只有兩級層次沒有實現前文所述的節點后移無法進行層級管理，也沒有按照二叉樹結構進行組織。所以安全性能最差；

方法2中，三個安全技術分成了三個層級，它比方法l要好。但它也有問題它的加密與認證關聯于同一個節點，因此如果圖中的“二級節點”一旦被攻破則兩種安全技術被同時攻破。

方法3中三個安全技術分成四個層級，且加密與認證被分布在不同的節點上，兩個三級節點任意—個被攻破仍無法攻破二級節點。因此方法3的安全性能最高。

因此，在有限的可用安全技術中，應該盡量使用二叉樹結構，并將這些安全技術盡可能地分布在不同的節點上。