導言：作為寫作愛好者，不可錯過為您精心挑選的10篇安全網絡論文，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內容能為您提供靈感和參考。

篇1

正如我們所知道的那樣，70％的安全威脅來自網絡內部，其形式主要表現在以下幾個方面。

內部辦公人員安全意識淡漠

內部辦公人員每天都專注于本身的工作，認為網絡安全與己無關，因此在意識上、行為上忽略了安全的規則。為了方便，他們常常會選擇易于記憶但同時也易于被猜測或被黑客工具破解的密碼，不經查殺病毒就使用來歷不明的軟件，隨便將內部辦公網絡的軟硬件配置、拓撲結構告之外部無關人員，給黑客入侵留下隱患。

別有用心的內部人員故意破壞

辦公室別有用心的內部人員會造成十分嚴重的破壞。防火墻、IDS檢測系統等網絡安全產品主要針對外部入侵進行防范，但面對內部人員的不安全行為卻無法阻止。一些辦公人員喜歡休息日在辦公室內上網瀏覽網頁，下載軟件或玩網絡游戲，但受到網絡安全管理規定的限制，于是繞過防火墻的檢測偷偷撥號上網，造成黑客可以通過這些撥號上網的計算機來攻入內部網絡。而有些辦公人員稍具網絡知識，又對充當網絡黑客感興趣，于是私自修改系統或找到黑客工具在辦公網絡內運行，不知不覺中開啟了后門或進行了網絡破壞還渾然不覺。更為嚴重的是一些人員已經在準備跳槽或被施利收買，辦公內部機密信息被其私自拷貝、復制后流失到外部。此外，還有那些被批評、解職、停職的內部人員，由于對內部辦公網絡比較熟悉，會借著各種機會（如找以前同事）進行報復，如使用病毒造成其傳播感染，或刪除一些重要的文件，甚至會與外部黑客相勾結，攻擊、控制內部辦公網絡，使得系統無法正常工作，嚴重時造成系統癱瘓。

單位領導對辦公網絡安全沒有足夠重視

有些單位對辦公網絡存在著只用不管的現象，有的領導只關心網絡有沒有建起來，能否連得上，而對其安全沒有概念，甚至對于網絡基本情況，包括網絡規模、網絡結構、網絡設備、網絡出口等概不知情。對內部辦公人員，公司平時很少進行安全技術培訓和安全意識教育，沒有建立相應的辦公網絡安全崗位和安全管理制度，對于黑客的攻擊和內部違規操作則又存在僥幸心理，認為這些是非常遙遠的事情。在硬件上，領導普遍認為只要安裝了防火墻、IDS、IPS，設置了Honeypot就可以高枕無憂。而沒有對新的安全技術和安全產品做及時升級更新，對網絡資源沒有進行細粒度安全級別的劃分，使內部不同密級的網絡資源處于同樣的安全級別，一旦低級別的數據信息出現安全問題，將直接影響核心保密信息的安全和完整。

缺乏足夠的計算機網絡安全專業人才

由于計算機網絡安全在國內起步較晚，許多單位缺乏專門的信息安全人才，使辦公信息化的網絡安全防護只能由一些網絡公司代為進行，但這些網絡安全公司必定不能接觸許多高級機密的辦公信息區域，因此依然存在許多信息安全漏洞和隱患。沒有內部信息安全專業人員對系統實施抗攻擊能力測試，單位則無法掌握自身辦公信息網絡的安全強度和達到的安全等級。同時，網絡系統的漏洞掃描，操作系統的補丁安裝和網絡設備的軟、硬件升級，對辦公網內外數據流的監控和入侵檢測，系統日志的周期審計和分析等經常性的安全維護和管理也難以得到及時的實行。

網絡隔離技術（GAP）初探

GAP技術

GAP是指通過專用硬件使兩個或兩個以上的網絡在不連通的情況下進行網絡之間的安全數據傳輸和資源共享的技術。簡而言之，就是在不連通的網絡之間提供數據傳輸，但不允許這些網絡間運行交互式協議。GAP一般包括三個部分：內網處理單元、外網處理單元、專用隔離交換單元。其內、外網處理單元各擁有一個網絡接口及相應的IP地址，分別對應連接內網（網）和外網（互聯網），專用隔離交換單元受硬件電路控制高速切換，在任一瞬間僅連接內網處理單元或外網處理單元之一。

GAP可以切斷網絡之間的TCP/IP連接，分解或重組TCP/IP數據包，進行安全審查，包括網絡協議檢查和內容確認等，在同一時間只和一邊的網絡連接，與之進行數據交換。

GAP的數據傳遞過程

內網處理單元內網用戶的網絡服務請求，將數據通過專用隔離硬件交換單元轉移至外網處理單元，外網處理單元負責向外網服務器發出連接請求并取得網絡數據，然后通過專用隔離交換單元將數據轉移回內網處理單元，再由其返回給內網用戶。

GAP具有的高安全性

GAP設備具有安全隔離、內核防護、協議轉換、病毒查殺、訪問控制、安全審計和身份認證等安全功能。由于GAP斷開鏈路層并切斷所有的TCP連接，并對應用層的數據交換按安全策略進行安全檢查，因此能夠保證數據的安全性并防止未知病毒的感染破壞。

使用網絡隔離技術（GAP）進行內部防護

我們知道，單臺的計算機出現感染病毒或操作錯誤是難以避免的，而這種局部的問題較易解決并且帶來的損失較小。但是，在辦公信息化的條件下，如果這種錯誤在網絡所允許的范圍內無限制地擴大，則造成的損失和破壞就難以想象。因此，對辦公內部網絡的安全防范不是確保每一臺網絡內的計算機不發生安全問題，而是確保發生的安全問題只限于這一臺計算機或這一小范圍，控制其影響的區域。目前，對內網采取“多安全域劃分”的技術較好地解決了這個問題，而GAP系統的一個典型的應用就是對內網的多個不同信任域的信息交換和訪問進行控制。因此，使用GAP系統來實現辦公內網的“多安全域劃分”，是一個比較理想的方法。

“多安全域劃分”技術

“多安全域劃分”技術就是根據內網的安全需求將內網中具有不同信任度（安全等級）網段劃分成獨立的安全域，通過在這些安全域間加載獨立的訪問控制策略來限制內網中不同信任度網絡間的相互訪問。這樣，即使某個低安全級別區域出現了安全問題，其他安全域也不會受到影響。

利用網絡隔離技術（GAP）實現辦公內網的“多安全域劃分”

首先，必須根據辦公內網的實際情況將內網劃分出不同的安全區域，根據需要賦予這些安全區域不同的安全級別。安全級別越高則相應的信任度越高，安全級別較低則相應的信任度較低，然后安全人員按照所劃分的安全區域對GAP設備進行安裝。系統管理員依照不同安全區域的信任度高低，設置GAP設備的連接方向。GAP設備的內網處理單元安裝在高安全級別區域，GAP設備的外網處理單元安裝在低信任度的安全區域，專用隔離硬件交換單元則布置在這兩個安全區域之間。內網處理單元高安全級別區域（假設為A區域）用戶的網絡服務請求，外網處理單元負責從低安全級別區域（設為B區域）取得網絡數據，專用隔離硬件則將B區域的網絡數據轉移至A區域，最終該網絡數據返回給發出網絡服務請求的A區域用戶。這樣，A區域內用戶可通過GAP系統訪問B區域內的服務器、郵件服務器、進行郵件及網頁瀏覽等。同時，A區域內管理員可以進行A區域與B區域之間的批量數據傳輸、交互操作，而B區域的用戶則無法訪問A區域的資源。這種訪問的不對稱性符合不同安全區域信息交互的要求，實現信息只能從低安全級別區域流向高安全級別區域的“安全隔離與信息單向傳輸”。

這樣，較易出現安全問題的低安全區（包括人員和設備）就不會對高安全區造成安全威脅，保證了核心信息的機密性和完整性。同時，由于在GAP外網單元上集成了入侵檢測和防火墻模塊，其本身也綜合了訪問控制、檢測、內容過濾、病毒查殺，因此，GAP可限制指定格式的文件，采用專用映射協議實現系統內部的純數據傳輸，限定了內網局部安全問題只能影響其所在的那個安全級別區域，控制了其擴散的范圍。

“多安全域劃分”的防護效果

篇2

2當前網絡數據通信中存在的主要安全隱患

2.1網絡病毒

當前，Internet已經成為了各種計算機網絡病毒的最大傳播途徑，一旦用戶終端被網絡病毒感染，就可能造成與其進行數據通信的其他用戶終端被連帶感染，特別是當前病毒的破壞形式多種多樣，能在不被發現的情況下對傳輸數據進行復制、篡改和毀壞，也可以通過侵入終端內部對系統數據進行攻擊，從而造成數據通信質量下降或中斷。在政府機構或企業中，一些非法分子出于經濟或政治目的，通過對政府機關網或企業局域網的服務器植入病毒，造成機密信息外泄，從而造成不可估量的損失，嚴重時還可能威脅到國家安全和社會穩定。

2.2黑客攻擊

正常的網絡通信是通過合法訪問的形式實現的，而在現實中，一些網絡黑客出于不同的目的，在未經允許的情況下就利用網絡傳輸協議、服務器以及操作系統上的安全漏洞進行非法訪問，使得系統內部的信息和數據被盜取或刪改等，從而造成系統崩潰、重要信息丟失或泄露等嚴重事件。

2.3管理缺失

在實際工作中，很多用戶在利用網絡進行數據通信時沒有充分重視安全方面的問題。一方面沒有投入先進的網絡硬件設備，或者投入時只重視服務器、交換機等硬件設備的性能而忽略了安全防護性；另一方面由于相關技術人員和管理人員缺乏，使得信息的使用和傳輸非常隨意，再加上對傳輸和終端設備的入網安全性檢測工作不嚴，容易被不法分子在設備內部設置后門，從而給數據通信安全造成威脅。

3網絡數據通信中的安全防范技術措施

3.1對網絡入侵進行檢測

網絡數據通信一般都是基于TCP/IP等網絡通信協議的基礎上完成的，在這個過程中可以加強對網絡訪問行為的監視和分析，判斷其是否屬于合法訪問的范疇。一旦發現其存在違反安全策略的行為，就要立即對訪問實施攔截，同時發出報警，提示相關工作人員進行進一步的處理。

3.2實施訪問控制

首先，對不同的訪問用戶設置不同的安全權限。通過設置不同的安全權限可以有效防止未經授權的用戶訪問敏感信息，避免了機密信息數據的外泄。其次，局域網用戶還應做好內部訪問外網的控制，通過部署網絡版防火墻等方式杜絕外部病毒和木馬程序順著訪問路徑入侵。最后，采用認證技術來限制用戶訪問網絡。用戶只有通過門戶網站或客戶端的形式完成認證步驟，才能實施對外部網絡的訪問。

3.3進行數據加密將信息數據在傳輸前進行加密，被接收之后通過解密機進行還原，從而有效提高數據在傳輸過程中的安全性。目前常用的數據加密技術有兩種：

（1）端到端加密技術。在數據信息的發送端和接收端同時以加密的形式存在。

（2）鏈路加密技術。在數據信息的傳輸過程中以加密的形式存在。在實際應用中，這兩種加密技術一般混合采用，以提高數據信息的安全性。

篇3

（1）個人信息的泄露。在網絡工程當中，對于系統硬件、軟件的相關維護工作還不夠完善，同時網絡通信當中的許多登錄系統需要借助遠程終端來完成，造成系統遠程終端和網絡用戶在用戶運用互聯網進入對應系統時存在長遠的連接點，當信息在進行傳輸時，這些連接點很容易引起黑客對用戶的入侵以及攻擊，使得用戶信息被泄露，個人信息安全得不到保障。

（2）網絡通信結構不完善。網間網的技術給網絡通信提供了技術基礎，用戶通過IP協議或TCP協議得到遠程授權，登錄相關互聯網系統，通過點與點連接的方式來進行信息的傳輸。然而，網絡結構間卻是以樹狀形式進行連接的，當用戶受到黑客入侵或攻擊時，樹狀結構為黑客竊聽用戶信息提供了便利。

（3）相關網絡維護系統不夠完善。網絡維護系統的不完善主要表現軟件系統的安全性不足，我們現在所使用的計算機終端主要是依靠主流操作系統，在長時間的使用下需下載一些補丁來對系統進行相關的維護，導致了軟件的程序被泄露。

2對于網絡通信中存在的信息安全問題的應對方案

對于上述的種種網絡通信當中存在的信息安全問題，我們應當盡快地采取有效的對策，目前主要可以從以下幾個方面入手：

（1）用戶應當保護好自己的IP地址。黑客入侵或攻擊互聯網用戶的最主要目標。在用戶進行網絡信息傳輸時，交換機是進行信息傳遞的重要環節，因此，用戶可以利用對網絡交換機安全的嚴格保護來保證信息的安全傳輸。除此之外，對所使用的路由器進行嚴格的控制與隔離等方式也可以加強用戶所使用的IP地址的安全。

（2）對信息進行加密。網絡通信中出現的信息安全問題主要包括信息的傳遞以及存儲過程當中的安全問題。在這兩個過程當中，黑客通過竊聽傳輸時的信息、盜取互聯網用戶的相關資料、對信息進行惡意的篡改、攔截傳輸過程中的信息等等多種方法來對網絡通信當中信息的安全做出威脅?；ヂ摼W用戶如果在進行信息傳遞與存儲時，能夠根據具體情況選用合理的方法來對信息進行嚴格的加密處理，那么便可以有效地防治這些信息安全問題的產生。

（3）完善身份驗證系統。身份驗證是互聯網用戶進行網絡通信的首要步驟。在進行身份驗證時一般都需要同時具備用戶名以及密碼才能完成登錄。在驗證過程當中用戶需要注意的是要盡量將用戶名、密碼分開儲存，可以適當地使用一次性密碼，同時還可以利用安全口令等方法來保證身份驗證的安全。隨著科技的快速發展，目前一些指紋驗證、視網膜驗證等先進生物檢測方法也慢慢得到了運用，這給網絡通信信息安全提供了極大的保障。

篇4

隨著計算機網絡的發展，其開放性，共享性，互連程度擴大，網絡的重要性和對社會的影響也越來越大。而網絡安全問題顯得越來越重要了。國際標準化組織（ISO）將“計算機安全”定義為：“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”，上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網絡安全性的含義是信息安全的引申，即網絡安全是對網絡信息保密性、完整性和可用性的保護。

一、網絡的開放性帶來的安全問題

眾所周知，Internet是開放的，而開放的信息系統必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭仍將繼續。在這樣的斗爭中，安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。然而，即使在使用了現有的安全工具和機制的情況下，網絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點：

（一）每一種安全機制都有一定的應用范圍和應用環境

防火墻是一種有效的安全工具，它可以隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問，防火墻往往是無能為力的。因此，對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為，防火墻是很難發覺和防范的。

（二）安全工具的使用受到人為因素的影響

一個安全工具能不能實現期望的效果，在很大程度上取決于使用者，包括系統管理者和普通用戶，不正當的設置就會產生不安全因素。例如，NT在進行合理的設置后可以達到C2級的安全性，但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面，可以通過靜態掃描工具來檢測系統是否進行了合理的設置，但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較，針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。

（三）系統的后門是傳統安全工具難于考慮到的地方

防火墻很難考慮到這類安全問題，多數情況下這類入侵行為可以堂而皇之經過防火墻而很難被察覺。比如說，眾所周知的ASP源碼問題，這個問題在IIS服務器4.0以前一直存在，它是IIS服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼，從而可以收集系統信息，進而對系統進行攻擊。對于這類入侵行為，防火墻是無法發覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區別是入侵訪問在請求鏈接中多加了一個后綴。

（四）只要有程序，就可能存在BUG

甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來，程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用，而且這種攻擊通常不會產生日志，幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG，現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。

（五）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統安全問題出現

然而安全工具的更新速度太慢，絕大多數情況需要人為的參與才能發現以前未知的安全問題，這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時，其他的安全問題又出現了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

二、網絡安全的主要技術

安全是網絡賴以生存的保障，只有安全得到保障，網絡才能實現自身的價值。網絡安全技術隨著人們網絡實踐的發展而發展，其涉及的技術面非常廣，主要的技術如認證、加密、防火墻及入侵檢測是網絡安全的重要防線。

（一）認證

對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問，使用認證機制還可以防止合法用戶訪問他們無權查看的信息。

（二）數據加密

加密就是通過一種方式使信息變得混亂，從而使未被授權的人看不懂它。主要存在兩種主要的加密類型：私匙加密和公匙加密。

1.私匙加密。私匙加密又稱對稱密匙加密，因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性，它不提供認證，因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快，很容易在硬件和軟件中實現。

2.公匙加密。公匙加密比私匙加密出現得晚，私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密信息。公匙加密系統的缺點是它們通常是計算密集的，因而比私匙加密系統的速度慢得多，不過若將兩者結合起來，就可以得到一個更復雜的系統。

（三）防火墻技術

防火墻是網絡訪問控制設備，用于拒絕除了明確允許通過之外的所有通信數據，它不同于只會確定網絡信息傳輸方向的簡單路由器，而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊，其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和服務器技術，它們的安全級別依次升高，但具體實踐中既要考慮體系的性價比，又要考慮安全兼顧網絡連接能力。此外，現今良好的防火墻還采用了VPN、檢視和入侵檢測技術。

防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內外提供一致的安全策略；而且防火墻只實現了粗粒度的訪問控制，也不能與企業內部使用的其他安全機制（如訪問控制）集成使用；另外，防火墻難于管理和配置，由多個系統（路由器、過濾器、服務器、網關、保壘主機）組成的防火墻，管理上難免有所疏忽。

（四）入侵檢測系統

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全。在校園網絡中采用入侵檢測技術，最好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統，則會構架成一套完整立體的主動防御體系。

（五）虛擬專用網（VPN）技術

VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一，所謂虛擬專用網（VPN）技術就是在公共網絡上建立專用網絡，使數據通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制，這兩種機制為路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全：隧道技術（Tunneling)、加解密技術（Encryption&Decryption)、密匙管理技術（KeyManagement)和使用者與設備身份認證技術（Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務，這些安全服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法，如按接入方式分成專線VPN和撥號VPN；按隧道協議可分為第二層和第三層的；按發起方式可分成客戶發起的和服務器發起的。

（六）其他網絡安全技術

1．智能卡技術，智能卡技術和加密技術相近，其實智能卡就是密匙的一種媒體，由授權用戶持有并由該用戶賦與它一個口令或密碼字，該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯合使用。

2．安全脆弱性掃描技術，它為能針對網絡分析系統當前的設置和防御手段，指出系統存在或潛在的安全漏洞，以改進系統對網絡入侵的防御能力的一種安全技術。

3．網絡數據存儲、備份及容災規劃，它是當系統或設備不幸遇到災難后就可以迅速地恢復數據，使整個系統在最短的時間內重新投入正常運行的一種安全技術方案。

4．IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發出這個IP廣播包的工作站返回一個警告信息。

篇5

2）局域網的管理。局域網管理是影響局域網功能能否充分發揮的重要因素。依據對象的不同可將管理內容分為人的管理與局域網的管理，其中對人的管理主要體現在：要求局域網使用人員嚴格按照制定的規章制度使用局域網，要求其不人為破壞局域網的軟、硬件，以及其他重要設施。而對局域網的管理則包括局域網結構的選擇、局域網功能的擴展以及局域網所處環境的優化等內容，一方面根據局域網的規劃功能選擇合理的局域網拓撲結構。另一方面擴展局域網功能時應綜合考慮經濟投入，實現目標等內容，要求在實現局域網相關功能的基礎上最大限度的降低經濟投入。另外，優化局域網環境時應重點考慮人員配備與局域網性能的匹配，以確保局域網資源的充分利用。

2局域網網絡安全研究

局域網網絡安全是業內人士討論的經典話題，而且隨著互聯網攻擊的日益頻繁，以及病毒種類的不斷增加與衍生，使人們不得不對局域網安全問題進行重新審視。采取何種防范手段確保局域網安全仍是人們關注的重點。那么為確保局域網網絡安全究竟該采取何種措施呢？接下來從物理安全與訪問控制兩方面進行探討。

1）物理安全策略。物理安全策略側重在局域網硬件以及使用人員方面對局域網進行保護。首先，采取針對性措施，加強對局域網中服務器、通信鏈路的保護，尤其避免人為因素帶來的破壞。例如，保護服務器時可設置使用權限，避免無權限的人員使用服務器，導致服務器信息泄露；其次，加強局域網使用人員的管理。通過制定完善的工作制度，避免外來人員使用局域網，尤其禁止使用局域網時隨意安裝相關軟件，拆卸局域網硬件設備；最后，提高工作人員局域網安全防范意識。通過專業培訓普及局域網安全技術知識，使局域網使用者掌握有效的安全防范技巧與方法，從內部入手做好局域網安全防范工作。

2）加強訪問控制。訪問控制是防止局域網被惡意攻擊、病毒傳染的有效手段，因此，為進一步提高局域網安全性，應加強訪問控制。具體應從以下幾方面入手實現訪問控制。首先，做好入網訪問控制工作。當用戶試圖登錄服務器訪問相關資源時，應加強用戶名、密碼的檢查，有效避免非法人員訪問服務器；其次，給用戶設置不同的訪問權限。當用戶登錄到服務器后，為防止無關人員獲取服務器重要信息，應給予設置對應的權限，即只允許用戶在權限范圍內進行相關操作，訪問相關子目錄、文件夾中的文件等，避免其給局域網帶來安全威脅；再次，加強局域網的監測。網絡管理員應密切監視用戶行為，詳細記錄其所訪問的資源，一旦發現用戶有不法行為應對其進行鎖定，限制其訪問；最后，從硬件方面入手提高網絡的安全性。例如，可根據保護信息的重要程度，分別設置數據庫防火墻、應用層防火墻以及網絡層防火墻。其中數據庫防火墻可對訪問進行控制，一旦發現給數據庫構成威脅的行為可及時阻斷。同時，其還具備審計用戶行為的功能，判斷中哪些行為可能給數據庫信息構成破壞等。應用層防火墻可實現某程序所有程序包的攔截，可有效防止木馬、蠕蟲等病毒的侵入。網絡層防火墻工作在底層TCP/IP協議堆棧上，依據制定的規則對訪問行為進行是否允許訪問的判斷。而訪問規則由管理員結合實際進行設定。

3）加強安全管理。網絡病毒由來已久而且具有較大破壞性，因此，為避免其給網絡造成破壞，管理員應加強管理做好病毒防范工作。一方面要求用戶拒絕接受可疑郵件，不擅自下載、安裝可疑軟件。另一方面，在使用U盤、軟盤時應先進行病毒查殺。另外，安裝專門的殺毒軟件，如卡巴斯基、360殺毒等并及時更新病毒庫，定期對系統進行掃描，以及時發現病毒將其殺滅。另外，安裝入侵檢測系統。該系統可即時監視網絡傳輸情況，一旦發現可疑文件傳輸時就會發出警報或直接采用相關措施，保護網絡安全。依據方法可將其分為誤用入侵檢測與異常入侵檢測，其中異常檢測又被細分為多種檢測方法，以實現入侵行為檢測，而誤用入侵檢測包括基于狀態轉移分析的檢測法、專家系統法以及模式匹配法等。其中模式匹配法指將收集的信息與存在于數據路中的網絡入侵信息進行對比，以及時發現入侵行為。

篇6

計算機系統的正常運行以計算機操作系統程序為主要依據，與之相關的各類程序也必須以此為標準，操作系統理所當然地成為了計算機系統中的基本程序。計算機操作系統具有較強的拓展性，開發商很容易完成計算機系統的開發工作。但是，在優化和升級計算機系統的過程中，相關操作技術仍存在較大問題，這是計算機技術快速發展的難點，也是黑客入侵計算機系統的主要切入點。

1.2計算機病毒安全問題

計算機一旦受到病毒的入侵，將會出現嚴重的運行問題，如系統癱瘓、傳輸數據失真以及數據庫信息丟失等。計算機病毒具有典型的潛伏性、傳染性、隱蔽性和破環性，目前，計算機病毒種類主要有以下四種：第一，木馬病毒。該類病毒的主要目的是竊取計算機上的數據信息，具有典型的誘騙性；第二，蠕蟲病毒。熊貓燒香是該類病毒的典型代表，以用戶計算機上出現的漏洞為切入點，綜合使用攻擊計算機終端的方式控制計算機系統，該病毒具有較強的傳播性和變異性；第三，腳本病毒。該病毒主要發生在互聯網網頁位置；第四，間諜病毒。要想提升某網頁的訪問量，強制要求計算機用戶主頁預期鏈接。伴隨著科技的發展，計算機網絡應用范圍不斷擴大，各種類型病毒的破壞性也隨之增加。

1.3黑客

通過網絡攻擊計算機目前，我國仍存在著大量非法人員對計算機系統進行攻擊等行為，這類人員大都掌握著扎實的計算機和計算機安全漏洞技術，對計算機用戶終端與網絡做出強有力的破壞行為是他們的主要目的。黑客攻擊計算機網絡的主要形式有三種：第一，利用虛假的信息攻擊網絡；第二，利用木馬或者病毒程序對計算機用戶的電腦進行控制；第三，結合計算機用戶瀏覽網頁的腳本漏洞對其進行攻擊。

2計算機網絡安全技術在企業網中的應用

2.1防火墻技術

防護墻技術是計算機網絡安全技術在企業網中應用的主要表現形式之一。防火墻技術的應用能夠從根本上解決計算機病毒安全問題，在實際應用過程中，計算機網絡安全中心的防火墻技術被分為應用級防火墻和包過濾防火墻兩種形式。其中應用型防護墻的主要目的是保護服務器的安全，在掃描終端服務器的數據后，如果發現有意或者不合常理等攻擊行為，系統應該及時切斷服務器與內網服務器之間的交流，采用終端病毒傳播的方式保護企業網的安全。包過濾防火墻的主要工作任務是及時過濾路由器傳輸給計算機的數據信息，這種過濾手段可以阻擋病毒信息入侵計算機系統，并第一時間內通知用戶攔截病毒信息，為提高企業網的安全性提供技術保障。下圖1是企業網防護墻配置示意圖。Intranet周邊網絡InternetInternet防火墻周邊防火墻內部網絡服外部網絡務器服務器圖1防火墻配置

2.2數據加密技術

數據加密技術是計算機網絡安全技術在企業網中應用的另一種表現形式。在企業發展建設過程中，要想提高企業發展信息的安全性和可靠性，企業必須在實際運行的計算機網絡中綜合使用數據加密技術。數據加密技術要求將企業網內的相關數據進行加密處理，在傳輸和接收數據信息的過程中必須輸入正確的密碼才能打開相關文件，這為提高企業信息的安全性提供了技術保障。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種，其中對稱加密算法中使用的加密和加密信息保持一致，非對稱加密算法中加密方法和解密方法存在較大的差異，通常很難被黑客破解，這兩種加密形式在企業網中均得到了廣泛應用。

2.3病毒查殺技術

病毒查殺技術是計算機網絡安全技術在企業網中應用的表現形式之一。病毒對計算機安全有極大的威脅，該技術要求企業技術對計算機操作系統進行檢測和更新，減少系統出現漏洞的頻率；杜絕用戶在不經允許的情況下私自下載不正規的軟件；安裝正版病毒查殺軟件的過程中還應該及時清理病毒數據庫；控制用戶瀏覽不文明的網頁；在下載不明郵件或者軟件后立即對不良文件進行病毒查殺處理，確定文件的安全性后才能投入使用。

2.4入侵檢測技術

入侵檢測技術在企業網安全運行中發揮著至關重要的作用，其作用主要表現在以下幾方面：第一，收集計算機操作系統、網絡數據及相關應用程序中存在的信息數據；第二，找尋計算機系統中可能存在的侵害行為；第三，自動發出病毒侵害報警信號；第四，切斷入侵途徑；第五，攔截入侵。入侵檢測技術在企業網中的應用具有較強的安全性特征，該技術的主要任務是負責監視企業網絡運行狀況，對網絡的正常運行不會產生任何影響。入侵檢測技術使用的網絡系統以基于主機系統和基于網絡的入侵系統為主?；谥鳈C系統的入侵檢測技術主要針對企業網的主機系統、歷史審計數據和用戶的系統日志等，該檢測技術具有極高的準確性，但是，實際檢測過程中很容易引發各種問題，如數據失真和檢測漏洞等；基于網絡入侵檢測技術以其自身存在的特點為依據，以網絡收集的相關數據信息為手段，在第一時間將入侵分析模塊里做出的測定結果發送給網絡管理人，該技術具有較強的抗攻擊能力、能在短時間內做出有效的檢測，但是，由于該技術能對網絡數據包的變化狀況進行監控，在實際過程中會給加密技術帶來一定程度影響。入侵檢測技術在企業網的應用過程中通常表現為誤用檢測和異常檢測兩種形式。誤用檢測通常以已經確定的入侵模式為主，在實際檢測過程中，該檢測方法具有響應速度快和誤警率低等特點，但是，該檢測技術需要較長的檢測時間為支撐，實際耗費的工作量比較大。異常檢測的主要對象是計算機資源中用戶和系統非正常行為和正常行為情況，該檢測法誤警率較高，在實際檢測過程中必須對整個計算機系統進行全盤掃描，因此，必須有大量的檢測時間作支撐。

篇7

網絡系統的可用性是指計算機網絡系統要隨時隨地能夠為用戶服務，要保障合法用戶能夠訪問到想要瀏覽的網絡信息，不會出現拒絕合法用戶的服務要求和非合法用戶濫用的現象。計算機網絡系統最重要的功能就是為合法用戶提供多方面的、隨時隨地的網絡服務。

1.2完整性

網絡系統的完整性是指網絡信息在傳輸過程中不能因為任何原因，發生網絡信摻入、重放、偽造、修改、刪除等破壞現象[1]，影響網絡信息的完整性。通過信息攻擊、網絡病毒、人為攻擊、誤碼、設備故障等原因都會造成網絡信息完整性的破壞。

1.3保密性

網絡系統的保密性是指網絡系統要保證用戶信息不能發生泄露，主要體現在網絡系統的可用性和可靠性，是網絡系統安全的重要指標。保密性不同于完整性，完整性強調的是網絡信息不能被破壞，保密性是指防止網絡信息的發生泄露[2]。

1.4真實性

網絡系統的真實性是指網絡用戶對網絡系統操作的不可抵賴性，任何用戶都不能抵賴或者否定曾經對網絡系統的承諾和操作。

1.5可靠性

網絡系統的可靠性是指系統的安全穩定運行，網絡系統要在一定的時間和條件下穩定的完成網絡用戶指定的任務和功能，網絡系統的可靠性是網絡安全最基本的要求。

1.6可控性

網絡系統的可控性是指網絡系統可以控制和調整網絡信息傳播方式和傳播內容的能力，為了保障國家和廣大人民的利益，為正常的社會管理秩序，網絡系統管理者有必要對網絡信息進行適當的監督和控制，避免外地侵犯和社會犯罪，維護網絡安全。

2網絡安全技術在校園網中的應用

2.1防火墻

防火墻是指管理校園網和外界互聯網之間用戶訪問權限的軟件和硬件的組合設備[3]，防火墻處于校園網和外界互聯網之間的通道中，能夠有效地阻斷來自外界的病毒和非法訪問，能夠有效地提高校園網的網絡安全。防火墻可以有效攔截來自外界的不安全的訪問服務，同時還可以對防火墻進行設置，屏蔽有危害、不健康的網絡網站，降低校園網的安全危害。另外防火墻還可以有效地監控用戶對校園網的訪問，記錄用戶的訪問記錄，保存到網絡數據庫中，可以快速統計校園網的使用情況，在分析用戶訪問記錄如果發現用戶的操作存在安全問題，防火墻可以及時發出報警信號，提醒用戶的這個非法操作，防止校園網內部信息的泄露、另外，防火墻可以和NAT技術高效地結合起來，用于隱藏校園網的網絡結構信息，提高校園網的安全系數，同時防火墻和NAT技術的高效結合很好地解決了校園網IP不足的情況，提高了校園網的運行效率。防火墻在校園網中的應用，完善了校園網內部的網絡隔斷，即使校園網發生安全問題，也可以在短時間內控制問題擴散的速度和范圍。防火墻在校園網中發揮著重要的作用，能夠有效地阻斷來自外界互聯網的安全侵害，但是防火墻不能阻止校園網內部的安全問題，不能拒絕和控制校園網內部的感染病毒。

2.2VPN技術

VPN技術在校園網的應用，通過VPN設備將校內局域網和外部的互聯網連接起來，可以提高校園網的數據安全。VPN服務器經過設置后，只有符合相應條件的用戶經過連接VPN服務器才能獲得訪問特定網絡信息的權限，拒絕校園網內用戶的危險操作。VPN技術可以實現用戶驗證，通過驗證校內網用戶的身份，只有符合條件的授權用戶才能連接到VPN服務器，進行相關訪問。其次實現校園網數據加密，VPN技術可以將通過互聯網通道傳輸的數據進行加密，只有經過授權的用戶才能訪問這些信息。再次實現校園網密鑰管理，通過生成校園網和互聯網的基本協議，提高校園網的可靠性。并且VPN技術在校園網中的應用不需要安裝VPN的客戶端設備，降低了校園網安全管理的成本。通過VPN技術，校園網絡管理員可以對校園網內用戶的操作進行實時監控，及時發現校園網絡故障點，進行遠程維護，提高校園網維護管理能力。

2.3入侵檢測技術

入侵檢測技術在校園網中的應用，可以檢測校園網絡中一些不安全的網絡操作行為，一旦檢測到網絡系統中的一些異常現象和未授權的網絡操作，就會發出網絡報警信號。入侵檢測技術可以自動分析校園網絡的用戶活動，檢測出校園網中授權用戶的非法使用和未授權用戶的越權使用[4]。入侵檢測技術還可以監控校園網絡系統的配置情況，檢測出系統安全漏洞，提醒校園網絡管理人員及時進行維護。另外，入侵檢測技術在識別網絡攻擊和網絡威脅方面具有重要的作用，可以及時發出報警信號，并且拒絕和處理網絡攻擊入侵行為，結合發現的網絡攻擊模式，檢測校園網系統結構是否存在安全漏洞，提高校園網的數據完整性，進行系統評估。

2.4訪問控制技術

訪問控制技術主要是用來控制校園網用戶的非法訪問和非法操作，用戶想要進入校園網，首先要通過訪問控制，經過驗證識別用用戶口令、戶名、密碼等，確定該用戶是否具有訪問校園網的權限，當用戶進入校園網后，就會賦予用戶訪問操作權限，使校園網絡資源不會被未授權用戶非法使用和非法訪問。

2.5網絡數據恢復和備份技術

校園網中的網絡數據恢復和備份技術，可以防止校園網信息數據丟失，保護校園網重要信息資源。網絡數據恢復和備份技術可以實現集中式的網絡信息資源管理，對整個校園網系統中的信息資源進行備份管理，可以極大地提高校園網管理員的工作效率，實現網絡資源的統一管理，利用網絡備份設備實時監控校園網絡中的備份作業，結合校園網的運行情況，及時修改網絡備份策略[5]，提高系統備份效率。校園網管理員可以利用網絡數據恢復和備份技術，定時對網絡數據庫中的數據進行備份，這是網絡管理重要環節。校園網的備份系統可以在用戶進行校園網訪問時，建立在線網絡索引，當用戶需要恢復網絡信息時，通過在線網絡索引中的備份系統就可以自動恢復網絡數據文件。網絡數據恢復和備份技術實現了校園網絡的歸檔管理，通過時間定期和項目管理對網絡信息數據進行歸檔管理，在網絡環境建立統一的數據備份和儲存格式，使所有網絡信息數據在統一格式中完成長時間的保存[6]。

2.6災難恢復技術

校園網中的災難恢復主要包括兩類：個別數據文件的恢復和所有信息數據的恢復。當校園網中的個別數據文件恢復可以利用網絡中備份系統完成個別受損數據文件的恢復，校園網絡管理員可以瀏覽目錄或者數據庫，觸動受損數據文件的恢復功能，系統會自動加載存儲軟件，恢復受損文件。所有信息數據的恢復主要應用在當發生意外災難時導致整個校園網系統重組、系統升級、系統崩潰和信息數據丟失等情況。

篇8

常永亮

(飛行試驗研究院測試所陜西西安710089)

【摘要】Internet是一種開放和標準的面向所有用戶的技術，其資源通過網絡共享，因此，資源共享和信息安全就成了一對矛盾。

【關鍵詞】網絡攻擊、安全預防、風險分析、網絡安全

1.引言

隨著網絡的迅速發展，網絡的安全性顯得非常重要，這是因為懷有惡意的攻擊者竊取、修改網絡上傳輸的信息，通過網絡非法進入遠程主機，獲取儲存在主機上的機密信息，或占用網絡資源，阻止其他用戶使用等。然而，網絡作為開放的信息系統必然存在眾多潛在的安全隱患，因此，網絡安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。

一般來說，計算機系統本身的脆弱性和通信設施的脆弱性再加上網際協議的漏洞共同構成了網絡的潛在威脅。隨著無線互聯網越來越普及的應用，互聯網的安全性又很難在無線網上實施，因此，特別在構建內部網時，若忽略了無線設備的安全性則是一種重大失誤。

2.網絡攻擊及其防護技術

計算機網絡安全是指計算機、網絡系統的硬件、軟件以及系統中的數據受到保護，不因偶然或惡意的原因遭到破壞、泄露，能確保網絡連續可靠的運行。網絡安全其實就是網絡上的信息存儲和傳輸安全。

網絡的安全主要來自黑客和病毒攻擊，各類攻擊給網絡造成的損失已越來越大了，有的損失對一些企業已是致命的，僥幸心里已經被提高防御取代，下面就攻擊和防御作簡要介紹。

2.1常見的攻擊有以下幾類：

2.1.1入侵系統攻擊

此類攻擊如果成功，將使你的系統上的資源被對方一覽無遺，對方可以直接控制你的機器。

2.1.2緩沖區溢出攻擊

程序員在編程時會用到一些不進行有效位檢查的函數，可能導致黑客利用自編寫程序來進一步打開安全豁口然后將該代碼綴在緩沖區有效載荷末尾，這樣當發生緩沖區溢出時，從而破壞程序的堆棧，使程序轉而執行其它的指令，如果這些指令是放在有root權限的內存中，那么一旦這些指令得到了運行，黑客就以root權限控制了系統，這樣系統的控制權就會被奪取，此類攻擊在LINUX系統常發生。在Windows系統下用戶權限本身設定不嚴謹，因此應比在LINUX系統下更易實現。

2.1.3欺騙類攻擊

網絡協議本身的一些缺陷可以被利用，使黑客可以對網絡進行攻擊，主要方式有：IP欺騙；ARP欺騙；DNS欺騙；Web欺騙；電子郵件欺騙；源路由欺騙；地址欺騙等。

2.1.4拒絕服務攻擊

通過網絡，也可使正在使用的計算機出現無響應、死機的現象，這就是拒絕服務攻擊，簡稱DoS（DenialofService）。

分布式拒絕服務攻擊采用了一種比較特別的體系結構，從許多分布的主機同時攻擊一個目標，從而導致目標癱瘓，簡稱DDoS（DistributedDenialofService）。

2.1.5對防火墻的攻擊

防火墻也是由軟件和硬件組成的，在設計和實現上都不可避免地存在著缺陷，對防火墻的攻擊方法也是多種多樣的，如探測攻擊技術、認證的攻擊技術等。

2.1.6利用病毒攻擊

病毒是黑客實施網絡攻擊的有效手段之一，它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預見性和破壞性等特性，而且在網絡中其危害更加可怕，目前可通過網絡進行傳播的病毒已有數萬種，可通過注入技術進行破壞和攻擊。

2.1.7木馬程序攻擊

特洛伊木馬是一種直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功并取得管理員權限，安裝此程序的人就可以直接遠程控制目標系統。

2.1.8網絡偵聽

網絡偵聽為主機工作模式，主機能接受到本網段在同一條物理通道上傳輸的所有信息。只要使用網絡監聽工具，就可以輕易地截取所在網段的所有用戶口令和帳號等有用的信息資料。

等等?，F在的網絡攻擊手段可以說日新月異，隨著計算機網絡的發展，其開放性、共享性、互連程度擴大，網絡的重要性和對社會的影響也越來越大。計算機和網絡安全技術正變得越來越先進，操作系統對本身漏洞的更新補救越來越及時?，F在企業更加注意企業內部網的安全，個人越來越注意自己計算機的安全。可以說：只要有計算機和網絡的地方肯定是把網絡安全放到第一位。

網絡有其脆弱性，并會受到一些威脅。因而建立一個系統時進行風險分析就顯得尤為重要了。風險分析的目的是通過合理的步驟，以防止所有對網絡安全構成威脅的事件發生。因此，嚴密的網絡安全風險分析是可靠和有效的安全防護措施制定的必要前提。網絡風險分析在系統可行性分析階段就應進行了。因為在這階段實現安全控制要遠比在網絡系統運行后采取同樣的控制要節約的多。即使認為當前的網絡系統分析建立的十分完善，在建立安全防護時，風險分析還是會發現一些潛在的安全問題，從整體性、協同性方面構建一個信息安全的網絡環境。可以說網絡的安全問題是組織管理和決策。

2.2防御措施主要有以下幾種

2.2.1防火墻

防火墻是建立在被保護網絡與不可信網絡之間的一道安全屏障，用于保護企業內部網絡和資源。它在內部和外部兩個網絡之間建立一個安全控制點，對進、出內部網絡的服務和訪問進行控制和審計。

2.2.2虛擬專用網

虛擬專用網（VPN）的實現技術和方式有很多，但是所有的VPN產品都應該保證通過公用網絡平臺傳輸數據的專用性和安全性。如在非面向連接的公用IP網絡上建立一個隧道，利用加密技術對經過隧道傳輸的數據進行加密，以保證數據的私有性和安全性。此外，還需要防止非法用戶對網絡資源或私有信息的訪問。

2.2.3虛擬局域網

選擇虛擬局域網(VLAN)技術可從鏈路層實施網絡安全。VLAN是指在交換局域網的基礎上，采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。該技術能有效地控制網絡流量、防止廣播風暴，還可利用MAC層的數據包過濾技術，對安全性要求高的VLAN端口實施MAC幀過濾。而且，即使黑客攻破某一虛擬子網，也無法得到整個網絡的信息，但VLAN技術的局限在新的VLAN機制較好的解決了，這一新的VLAN就是專用虛擬局域網（PVLAN）技術。

2.2.4漏洞檢測

漏洞檢測就是對重要計算機系統或網絡系統進行檢查，發現其中存在的薄弱環節和所具有的攻擊性特征。通常采用兩種策略，即被動式策略和主動式策略。被動式策略基于主機檢測，對系統中不合適的設置、口令以及其他同安全規則相背的對象進行檢查；主動式策略基于網絡檢測，通過執行一些腳本文件對系統進行攻擊，并記錄它的反應，從而發現其中的漏洞。漏洞檢測的結果實際上就是系統安全性的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。漏洞檢測系統是防火墻的延伸，并能有效地結合其他網絡安全產品的性能，保證計算機系統或網絡系統的安全性和可靠性。

2.2.5入侵檢測

入侵檢測系統將網絡上傳輸的數據實時捕獲下來，檢查是否有黑客入侵或可疑活動的發生，一旦發現有黑客入侵或可疑活動的發生，系統將做出實時報警響應。

2.2.6密碼保護

加密措施是保護信息的最后防線，被公認為是保護信息傳輸唯一實用的方法。無論是對等還是不對等加密都是為了確保信息的真實和不被盜取應用，但隨著計算機性能的飛速發展，破解部分公開算法的加密方法已變得越來越可能。因此，現在對加密算法的保密越來越重要，幾個加密方法的協同應用會使信息保密性大大加強。

2.2.7安全策略

安全策略可以認為是一系列政策的集合，用來規范對組織資源的管理、保護以及分配，已達到最終安全的目的。安全策略的制定需要基于一些安全模型。

2.2.8網絡管理員

網絡管理員在防御網絡攻擊方面也是非常重要的，雖然在構建系統時一些防御措施已經通過各種測試，但上面無論哪一條防御措施都有其局限性，只有高素質的網絡管理員和整個網絡安全系統協同防御，才能起到最好的效果。

以上大概講了幾個網絡安全的策略，網絡安全基本要素是保密性、完整性和可用，但網絡的安全威脅與網絡的安全防護措施是交互出現的。不適當的網絡安全防護，不僅可能不能減少網絡的安全風險，浪費大量的資金，而且可能招致更大的安全威脅。一個好的安全網絡應該是由主機系統、應用和服務、路由、網絡、網絡管理及管理制度等諸多因數決定的，但所有的防御措施對信息安全管理者提出了挑戰，他們必須分析采用哪種產品能夠適應長期的網絡安全策略的要求，而且必須清楚何種策略能夠保證網絡具有足夠的健壯性、互操作性并且能夠容易地對其升級。

隨著信息系統工程開發量越來越大，致使系統漏洞也成正比的增加，受到攻擊的次數也在增多。相對滯后的補救次數和成本也在增加，黑客與反黑客的斗爭已經成為一場沒有結果的斗爭。

3.結論

網絡安全的管理與分析現已被提到前所未有的高度，現在IPv6已開始應用，它設計的時候充分研究了以前IPv4的各種問題，在安全性上得到了大大的提高，但并不是不存在安全問題了。在WindowsVista的開發過程中，安全被提到了一個前所未有的重視高度，但微軟相關負責人還是表示，＂即使再安全的操作系統，安全問題也會一直存在＂。

總之，網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。因此只有完備的系統開發過程、嚴密的網絡安全風險分析、嚴謹的系統測試、綜合的防御技術實施、嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才等各方面的綜合應用才能完好、實時地保證信息的完整性和正確性，為網絡提供強大的安全服務——這也是網絡安全領域的迫切需要。

參考文獻

篇9

一、無線網絡安全問題的表現

1.1插入攻擊插入攻擊以部署非授權的設備或創建新的無線網絡為基礎，這種部署或創建往往沒有經過安全過程或安全檢查?？蓪尤朦c進行配置，要求客戶端接入時輸入口令。如果沒有口令，入侵者就可以通過啟用一個無線客戶端與接入點通信，從而連接到內部網絡。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。

1.2漫游攻擊者攻擊者沒有必要在物理上位于企業建筑物內部，他們可以使用網絡掃描器，如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網絡，這種活動稱為“wardriving”；走在大街上或通過企業網站執行同樣的任務，這稱為“warwalking”。

1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網絡所有者的許可或知曉的情況下，就設置或存在的接入點。一些雇員有時安裝欺詐性接入點，其目的是為了避開已安裝的安全手段，創建隱蔽的無線網絡。這種秘密網絡雖然基本上無害，但它卻可以構造出一個無保護措施的網絡，并進而充當了入侵者進入企業網絡的開放門戶。

1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”，雙面惡魔其實就是一個以鄰近的網絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點，然后竊取個別網絡的數據或攻擊計算機。

1.5竊取網絡資源有些用戶喜歡從鄰近的無線網絡訪問互聯網，即使他們沒有什么惡意企圖，但仍會占用大量的網絡帶寬，嚴重影響網絡性能。而更多的不速之客會利用這種連接從公司范圍內發送郵件，或下載盜版內容，這會產生一些法律問題。

1.6對無線通信的劫持和監視正如在有線網絡中一樣，劫持和監視通過無線網絡的網絡通信是完全可能的。它包括兩種情況，一是無線數據包分析，即熟練的攻擊者用類似于有線網絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分，而其數據一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶，并劫持用戶會話和執行一些非授權的命令等。第二種情況是廣播包監視，這種監視依賴于集線器，所以很少見。

二、保障無線網絡安全的技術方法

2.1隱藏SSIDSSID，即ServiceSetIdentifier的簡稱，讓無線客戶端對不同無線網絡的識別，類似我們的手機識別不同的移動運營商的機制。參數在設備缺省設定中是被AP無線接入點廣播出去的，客戶端只有收到這個參數或者手動設定與AP相同的SSID才能連接到無線網絡。而我們如果把這個廣播禁止，一般的漫游用戶在無法找到SSID的情況下是無法連接到網絡的。需要注意的是，如果黑客利用其他手段獲取相應參數，仍可接入目標網絡，因此，隱藏SSID適用于一般SOHO環境當作簡單口令安全方式。

2.2MAC地址過濾顧名思義，這種方式就是通過對AP的設定，將指定的無線網卡的物理地址（MAC地址）輸入到AP中。而AP對收到的每個數據包都會做出判斷，只有符合設定標準的才能被轉發，否則將會被丟棄。這種方式比較麻煩，而且不能支持大量的移動客戶端。另外，如果黑客盜取合法的MAC地址信息，仍可以通過各種方法適用假冒的MAC地址登陸網絡，一般SOHO，小型企業工作室可以采用該安全手段。

2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱，所有經過WIFI認證的設備都支持該安全協定。采用64位或128位加密密鑰的RC4加密算法，保證傳輸數據不會以明文方式被截獲。該方法需要在每套移動設備和AP上配置密碼，部署比較麻煩；使用靜態非交換式密鑰，安全性也受到了業界的質疑，但是它仍然可以阻擋一般的數據截獲攻擊，一般用于SOHO、中小型企業的安全加密。

2.4AP隔離類似于有線網絡的VLAN，將所有的無線客戶端設備完全隔離，使之只能訪問AP連接的固定網絡。該方法用于對酒店和機場等公共熱點HotSpot的架設，讓接入的無線客戶端保持隔離，提供安全的Internet接入。

2.5802.1x協議802.1x協議由IEEE定義，用于以太網和無線局域網中的端口訪問與控制。802.1x引入了PPP協議定義的擴展認證協議EAP。作為擴展認證協議，EAP可以采用MD5，一次性口令，智能卡，公共密鑰等等更多的認證機制，從而提供更高級別的安全。

2.6WPAWPA即Wi-Fiprotectedaccess的簡稱，下一代無線規格802.11i之前的過渡方案，也是該標準內的一小部分。WPA率先使用802.11i中的加密技術-TKIP（TemporalKeyIntegrityProtocol），這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協議，而且TKIP加密仍不能滿足高端企業和政府的加密需求，該方法多用于企業無線網絡部署。

2.7WPA2WPA2與WPA后向兼容，支持更高級的AES加密，能夠更好地解決無線網絡的安全問題。由于部分AP和大多數移動客戶端不支持此協議，盡管微軟已經提供最新的WPA2補丁，但是仍需要對客戶端逐一部署。該方法適用于企業、政府及SOHO用戶。

篇10

隨著計算機網絡技術的飛速發展,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網絡的開放性和自由性也產生了私有信息和數據被破壞或侵犯的可能性,網絡信息的安全性變得日益重要起來,已被信息社會的各個領域所重視。

計算機網絡安全從技術上來說,主要由防病毒、防火墻等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、PKI技術等,以下就此幾項技術分別進行分析。

一、防火墻技術

防火墻是指一個由軟件或和硬件設備組合而成,處于企業或網絡群體計算機與外界通道之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。防火墻是網絡安全的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。當一個網絡接上Internet之后,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。

二、數據加密技術

與防火墻相比,數據加密技術比較靈活,更加適用于開放的網絡。數據加密主要用于對動態信息的保護,對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密技術分為兩類:即對稱加密和非對稱加密。

1.對稱加密技術

對稱加密是常規的以口令為基礎的技術,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。目前,廣為采用的一種對稱加密方式是數據加密標準DES,DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。

2.非對稱加密/公開密鑰加密

在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數字簽名等信息交換領域。

三、PKI技術

PKI(PublieKeyInfrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術,他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。

1.認證機構

CA(CertificationAuthorty)就是這樣一個確保信任度的權威實體,它的主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。

2.注冊機構

RA(RegistrationAuthorty)是用戶和CA的接口,它所獲得的用戶標識的準確性是CA頒發證書的基礎。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網絡化、安全的且易于操作的RA系統。

3.密鑰備份和恢復

為了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關系到整個PKI系統強健性、安全性、可用性的重要因素。

4.證書管理與撤消系統

證書是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發證書的整個生命周期里是有效的。但是,有時也會出現一個已頒發證書不再有效的情況,這就需要進行證書撤消。證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用周期性的機制撤消證書或采用在線查詢機制,隨時查詢被撤消的證書。

四、結束語

網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性,為網絡提供強大的安全服務。