序論：好文章的創(chuàng)作是一個不斷探索和完善的過程，我們?yōu)槟扑]十篇網(wǎng)絡系統(tǒng)安全論文范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

篇（1）

關鍵字：信息系統(tǒng)信息安全身份認證安全檢測

Abstract：

Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.

Keywords：InformationsystemInformationsecurity

StatusauthenticationSafeexamination

一、目前信息系統(tǒng)技術安全的研究

1.企業(yè)信息安全現(xiàn)狀分析

隨著信息化進程的深入，企業(yè)信息安全己經(jīng)引起人們的重視，但依然存在不少問題。一是安全技術保障體系尚不完善，企業(yè)花了大量的金錢購買了信息安全設備，但是技術保障不成體系，達不到預想的目標:二是應急反應體系沒有經(jīng)?；?、制度化:三是企業(yè)信息安全的標準、制度建設滯后。

2003年5月至2004年5月，在7072家被調查單位中有4057家單位發(fā)生過信息網(wǎng)絡安全事件，占被調查總數(shù)的58%。調查結果表明，造成網(wǎng)絡安全事件發(fā)生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中，由于未修補或防范軟件漏洞導致發(fā)生安全事件的占安全事件總數(shù)的“%，登錄密碼過于簡單或未修改密碼導致發(fā)生安全事件的占19%.

對于網(wǎng)絡安全管理情況的調查:調查表明，近年來，使用單位對信息網(wǎng)絡安全管理工作的重視程度普遍提高，80%的被調查單位有專職或兼職的安全管理人員，12%的單位建立了安全組織，有2%的單位請信息安全服務企業(yè)提供專業(yè)化的安全服務。調查表明，認為單位信息網(wǎng)絡安全防護能力“較高”和“一般”的比較多，分別占44%。但是，被調查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓、安全經(jīng)費投入不足和安全產(chǎn)品不能滿足要求等問題，也說明目前安全管理水平和社會化服務的程度還比較低。

2.企業(yè)信息安全防范的任務

信息安全的任務是多方面的，根據(jù)當前信息安全的現(xiàn)狀，制定信息安全防范的任務主要是:

從安全技術上，進行全面的安全漏洞檢測和分析，針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網(wǎng)絡防病毒軟件、入侵檢測系統(tǒng)、建立安全認證系統(tǒng)等安全系統(tǒng)。

從安全管理上，建立和完善安全管理規(guī)范和機制，切實加強和落實安全管理制度，增強安全防范意識。

信息安全防范要確保以下幾方面的安全。網(wǎng)絡安全:保障各種網(wǎng)絡資源(資源、實體、載體)穩(wěn)定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應用的機密性(Confidentiality)、完整性(Integrity)、抗否認性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預防內部犯罪。

二、計算機網(wǎng)絡中信息系統(tǒng)的安全防范措施

（一）網(wǎng)絡層安全措施

①防火墻技術

防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡為甚。

防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網(wǎng)和Internet之間的任何活動，保證了內部網(wǎng)絡的安全。

防火墻是網(wǎng)絡安全的屏障：一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。防火墻可以強化網(wǎng)絡安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網(wǎng)絡存取和訪問進行監(jiān)控審計：如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。防止內部信息的外泄：通過利用防火墻對內部網(wǎng)絡的劃分，可實現(xiàn)內部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。除了安全作用，有的防火墻還支持具有Internet服務特性的企業(yè)內部網(wǎng)絡技術體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或專用子網(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障。

②入侵檢測技術

IETF將一個入侵檢測系統(tǒng)分為四個組件：事件產(chǎn)生器(EventGenerators)；事件分析器(EventAnalyzers)；響應單元(ResponseUnits)和事件數(shù)據(jù)庫(EventDataBases)。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結果。響應單元則是對分析結果做出反應的功能單元，它可以做出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復雜的數(shù)據(jù)庫，也可以是簡單的文本文件。

根據(jù)檢測對象的不同，入侵檢測系統(tǒng)可分為主機型和網(wǎng)絡型?；谥鳈C的監(jiān)測。主機型入侵檢測系統(tǒng)就是以系統(tǒng)日志、應用程序日志等作為數(shù)據(jù)源，當然也可以通過其他手段(如監(jiān)督系統(tǒng)調用)從所在的主機收集信息進行分析。主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)。這種系統(tǒng)經(jīng)常運行在被監(jiān)測的系統(tǒng)之上，用以監(jiān)測系統(tǒng)上正在運行的進程是否合法。最近出現(xiàn)的一種ID(IntrusionDetection)：位于操作系統(tǒng)的內核之中并監(jiān)測系統(tǒng)的最底層行為。所有這些系統(tǒng)最近已經(jīng)可以被用于多種平臺。網(wǎng)絡型入侵檢測。它的數(shù)據(jù)源是網(wǎng)絡上的數(shù)據(jù)包。往往將一臺機子的網(wǎng)卡設于混雜模式(PromiseMode)，對所有本網(wǎng)段內的數(shù)據(jù)包并進行信息收集，并進行判斷。一般網(wǎng)絡型入侵檢測系統(tǒng)擔負著保護整個網(wǎng)段的任務。

對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。從技術上，入侵檢測分為兩類：一種基于標志(CSignature-Based)，另一種基于異常情況(Abnormally-Based)。

（二）服務器端安全措施只有正確的安裝和設置操作系統(tǒng)，才能使其在安全方面發(fā)揮應有的作用。下面以WIN2000SERVER為例。

①正確地分區(qū)和分配邏輯盤。

微軟的IIS經(jīng)常有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個驅動器會導致系統(tǒng)文件的泄漏甚至入侵者遠程獲取ADMIN。本系統(tǒng)的配置是建立三個邏輯驅動器，C盤20G，用來裝系統(tǒng)和重要的日志文件，D盤20G放IIS,E盤20G放FTP，這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統(tǒng)目錄和系統(tǒng)文件。因為，IIS和FTP是對外服務的，比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。

②正確

地選擇安裝順序。

一般的人可能對安裝順序不太重視，認為只要安裝好了，怎么裝都可以的。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機。Win2000在安裝中有幾個順序是一定要注意的：

首先，何時接入網(wǎng)絡：Win2000在安裝時有一個漏洞，在你輸入Administrator密碼后，系統(tǒng)就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續(xù)到你再次啟動后，在此期間，任何人都可以通過ADMIN$進入你的機器；同時，只要安裝一完成，各種服務就會自動運行，而這時的服務器是滿身漏洞，非常容易進入的，因此，在完全安裝并配置好Win2000SERVER之前，一定不要把主機接入網(wǎng)絡。

其次，補丁的安裝：補丁的安裝應該在所有應用程序安裝完之后，因為補丁程序往往要替換/修改某些系統(tǒng)文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安裝，盡管很麻煩，卻很必要。

（三）安全配置

①端口：：端口是計算機和外部網(wǎng)絡相連的邏輯接口，從安全的角度來看，僅打開你需要使用的端口會比較安全，配置的方法是在網(wǎng)卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選，不過對于Win2000的端口過濾來說，有一個不好的特性：只能規(guī)定開哪些端口，不能規(guī)定關閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。

②IIS：IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，所以IIS的配置是我們的重點，所以在本系統(tǒng)的WWW服務器采取下面的設置：

首先，把操作系統(tǒng)在C盤默認安裝的Inetpub目錄徹底刪掉，在D盤建一個Inetpub在IIS管理器中將主目錄指向D：\Inetpub。

其次，在IIS安裝時默認的scripts等虛擬目錄一概刪除，這些都容易成為攻擊的目標。我們雖然已經(jīng)把Inetpub從系統(tǒng)盤挪出來了，但這樣作也是完全必要的。如果需要什么權限的目錄可以在需要的時候再建，需要什么權限開什么。特別注意寫權限和執(zhí)行程序的權限，沒有絕對的必要千萬不要給。

③應用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指出的是ASP,ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應用程序的映射，刪除所有的映射，具體操作：在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射，然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性。

經(jīng)過了Win2000Server的正確安裝與正確配置，操作系統(tǒng)的漏洞得到了很好的預防，同時增加了補丁，這樣子就大大增強了操作系統(tǒng)的安全性能。

雖然信息管理系統(tǒng)安全性措施目前已經(jīng)比較成熟，但我們切不可馬虎大意，只有不斷學習新的網(wǎng)絡安全知識、采取日新月異的網(wǎng)絡安全措施，才能保證我們的網(wǎng)絡安全防御真正金湯。

參考文獻：

劉海平，朱仲英.一個基于ASP的在線會員管理信息系統(tǒng).微型電腦應用.2002（10）

東軟集團有限公司，NetEye防火墻使用指南3.0，1-3

賈晶，陳元，王麗娜編著，信息系統(tǒng)的安全與保密，第一版，1999.01，清華大學出版社

EricMaiwald，Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94

楊兵.網(wǎng)絡系統(tǒng)安全技術研究及其在寶鋼設備采購管理系統(tǒng)中的應用：（學位論文）.遼寧：東北大學，2002

篇（2）

可以從不同角度對網(wǎng)絡安全作出不同的解釋。一般意義上，網(wǎng)絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認證、不可否認性、授權和訪問控制。

當今社會，通信網(wǎng)絡的普及和演進讓人們改變了信息溝通的方式，通信網(wǎng)絡作為信息傳遞的一種主要載體，在推進信息化的過程中與多種社會經(jīng)濟生活有著十分緊密的關聯(lián)。這種關聯(lián)一方面帶來了巨大的社會價值和經(jīng)濟價值，另一方面也意味著巨大的潛在危險--一旦通信網(wǎng)絡出現(xiàn)安全事故，就有可能使成千上萬人之間的溝通出現(xiàn)障礙，帶來社會價值和經(jīng)濟價值的無法預料的損失。

3通信網(wǎng)絡安全現(xiàn)狀

互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡環(huán)境為信息共享、信息交流、信息服務創(chuàng)造了理想空間，網(wǎng)絡技術的迅速發(fā)展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題。

計算機系統(tǒng)及網(wǎng)絡固有的開放性、易損性等特點使其受攻擊不可避免。

計算機病毒的層出不窮及其大范圍的惡意傳播，對當今日愈發(fā)展的社會網(wǎng)絡通信安全產(chǎn)生威脅。

現(xiàn)在企業(yè)單位各部門信息傳輸?shù)牡奈锢砻浇?，大部分是依靠普通通信線路來完成的，雖然也有一定的防護措施和技術，但還是容易被竊取。

通信系統(tǒng)大量使用的是商用軟件，由于商用軟件的源代碼，源程序完全或部分公開化，使得這些軟件存在安全問題。

4通信網(wǎng)絡安全分析

針對計算機系統(tǒng)及網(wǎng)絡固有的開放性等特點，加強網(wǎng)絡管理人員的安全觀念和技術水平，將固有條件下存在的安全隱患降到最低。安全意識不強，操作技術不熟練，違反安全保密規(guī)定和操作規(guī)程，如果明密界限不清，密件明發(fā)，長期重復使用一種密鑰，將導致密碼被破譯，如果下發(fā)口令及密碼后沒有及時收回，致使在口令和密碼到期后仍能通過其進入網(wǎng)絡系統(tǒng)，將造成系統(tǒng)管理的混亂和漏洞。為防止以上所列情況的發(fā)生，在網(wǎng)絡管理和使用中，要大力加強管理人員的安全保密意識。

軟硬件設施存在安全隱患。為了方便管理，部分軟硬件系統(tǒng)在設計時留有遠程終端的登錄控制通道，同時在軟件設計時不可避免的也存在著許多不完善的或是未發(fā)現(xiàn)的漏洞(bug)，加上商用軟件源程序完全或部分公開化，使得在使用通信網(wǎng)絡的過程中，如果沒有必要的安全等級鑒別和防護措施，攻擊者可以利用上述軟硬件的漏洞直接侵入網(wǎng)絡系統(tǒng)，破壞或竊取通信信息。

傳輸信道上的安全隱患。如果傳輸信道沒有相應的電磁屏蔽措施，那么在信息傳輸過程中將會向外產(chǎn)生電磁輻射，從而使得某些不法分子可以利用專門設備接收竊取機密信息。

另外，在通信網(wǎng)建設和管理上，目前還普遍存在著計劃性差。審批不嚴格，標準不統(tǒng)一，建設質量低，維護管理差，網(wǎng)絡效率不高，人為因素干擾等問題。因此，網(wǎng)絡安全性應引起我們的高度重視。

5通信網(wǎng)絡安全維護措施及技術

當前通信網(wǎng)絡功能越來越強大，在日常生活中占據(jù)了越來越重要的地位，我們必須采用有效的措施，把網(wǎng)絡風險降到最低限度。于是，保護通信網(wǎng)絡中的硬件、軟件及其數(shù)據(jù)不受偶然或惡意原因而遭到破壞、更改、泄露，保障系統(tǒng)連續(xù)可靠地運行，網(wǎng)絡服務不中斷，就成為通信網(wǎng)絡安全的主要內容。

為了實現(xiàn)對非法入侵的監(jiān)測、防偽、審查和追蹤，從通信線路的建立到進行信息傳輸我們可以運用到以下防衛(wèi)措施：“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網(wǎng)絡系統(tǒng)權限分級，權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽，從而達到網(wǎng)絡分級機制的效果;“網(wǎng)絡授權”通過向終端發(fā)放訪問許可證書防止非授權用戶訪問網(wǎng)絡和網(wǎng)絡資源;“數(shù)據(jù)保護”利用數(shù)據(jù)加密后的數(shù)據(jù)包發(fā)送與訪問的指向性，即便被截獲也會由于在不同協(xié)議層中加入了不同的加密機制，將密碼變得幾乎不可破解;“收發(fā)確認”用發(fā)送確認信息的方式表示對發(fā)送數(shù)據(jù)和收方接收數(shù)據(jù)的承認，以避免不承認發(fā)送過的數(shù)據(jù)和不承認接受過數(shù)據(jù)等而引起的爭執(zhí);“保證數(shù)據(jù)的完整性”，一般是通過數(shù)據(jù)檢查核對的方式達成的，數(shù)據(jù)檢查核對方式通常有兩種，一種是邊發(fā)送接收邊核對檢查，一種是接收完后進行核對檢查;“業(yè)務流分析保護”阻止垃圾信息大量出現(xiàn)造成的擁塞，同時也使得惡意的網(wǎng)絡終端無法從網(wǎng)絡業(yè)務流的分析中獲得有關用戶的信息。

為了實現(xiàn)實現(xiàn)上述的種種安全措施，必須有技術做保證，采用多種安全技術，構筑防御系統(tǒng)，主要有：

防火墻技術。在網(wǎng)絡的對外接口采用防火墻技術，在網(wǎng)絡層進行訪問控制。通過鑒別，限制，更改跨越防火墻的數(shù)據(jù)流，來實現(xiàn)對網(wǎng)絡的安全保護，最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡，防止他們隨意更改、移動甚至刪除網(wǎng)絡上的重要信息。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制，防止Internet上的不安全因素蔓延到局域網(wǎng)內部，所以，防火墻是網(wǎng)絡安全的重要一環(huán)。

入侵檢測技術。防火墻保護內部網(wǎng)絡不受外部網(wǎng)絡的攻擊，但它對內部網(wǎng)絡的一些非法活動的監(jiān)控不夠完善，IDS（入侵檢測系統(tǒng)）是防火墻的合理補充，它積極主動地提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵，提高了信息安全性。

網(wǎng)絡加密技術。加密技術的作用就是防止公用或私有化信息在網(wǎng)絡上被攔截和竊取，是網(wǎng)絡安全的核心。采用網(wǎng)絡加密技術，對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性，它可解決網(wǎng)絡在公網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩詥栴}也可解決遠程用戶訪問內網(wǎng)的安全問題。

身份認證技術。提供基于身份的認證，在各種認證機制中可選擇使用。通過身份認證技術可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。

虛擬專用網(wǎng)(VPN)技術。通過一個公用網(wǎng)(一般是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。它通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構、公司業(yè)務伙伴等跟公司的內網(wǎng)連接起來，構成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡的存在，仿佛所有的機器都處于一個網(wǎng)絡之中。

篇（3）

在網(wǎng)絡安全態(tài)勢感知系統(tǒng)中，網(wǎng)絡服務評估系統(tǒng)的數(shù)據(jù)源是最重要的數(shù)據(jù)源之一。一方面，它能向上層管理者提供目標網(wǎng)絡的安全態(tài)勢評估。另一方面，服務數(shù)據(jù)源為其它傳感器(Log傳感器、SNMP傳感器、Netflow傳感器)的數(shù)據(jù)分析提供參考和依據(jù)［1］。

1．2主要功能

(1)風險評估，根據(jù)國家安全標準并利用測試系統(tǒng)的數(shù)據(jù)和主要的風險評估模型，獲取系統(tǒng)數(shù)據(jù)，定義系統(tǒng)風險，并提出應對措施［2］。

(2)安全態(tài)勢評估與預測，利用得到的安全測試數(shù)據(jù)，按照預測、隨機和綜合量化模型，對信息系統(tǒng)作出安全態(tài)勢評估與預測，指出存在的安全隱患并提出安全解決方案。

(3)建立數(shù)據(jù)庫支撐，包括評估模型庫、專家知識庫、標準規(guī)范庫等。

(4)輸出基于圖表樣式和數(shù)據(jù)文件格式的評估結果。

2系統(tǒng)組成和總體架構

2．1系統(tǒng)組成

網(wǎng)絡安全評估系統(tǒng)態(tài)勢評估系統(tǒng)是在Windows7平臺下，采用C++builder2007開發(fā)的。它的數(shù)據(jù)交互是通過核心數(shù)據(jù)庫來運行的，為了使評估的計算速度和讀寫數(shù)據(jù)庫數(shù)據(jù)更快，應將子系統(tǒng)與核心數(shù)據(jù)庫安裝在同一機器上。子系統(tǒng)之間的數(shù)據(jù)交互方式分別為項目數(shù)據(jù)交互和結果數(shù)據(jù)交互。前者分發(fā)采用移動存儲的形式進行，而后者的提交獲取是通過核心數(shù)據(jù)庫運行。

2．2總體架構

系統(tǒng)包括人機交互界面、控制管理、數(shù)據(jù)整合、漏洞掃描、安全態(tài)勢評估和預測、本地數(shù)據(jù)庫等六個模塊組成。網(wǎng)絡安全評估系統(tǒng)中的漏洞掃描部分采用插件技術設計總體架構。掃描目標和主控臺是漏洞掃描子系統(tǒng)的主要部分，后者是漏洞掃描子系統(tǒng)運行的中心，主控臺主要是在用戶打開系統(tǒng)之后，通過操作界面與用戶進行交流，按照用戶下達的命令及調用測試引擎對網(wǎng)絡上的主機進行漏洞測試，測試完成后調取所占用的資源，并取得掃描結果，最后形成網(wǎng)絡安全測試評估報告，通過這個測試，有利于管理人員發(fā)現(xiàn)主機有可能會被黑客利用的漏洞，在這些薄弱區(qū)被黑客攻擊之前對其進行加強整固，從而提高主機網(wǎng)絡系統(tǒng)的安全性。

3系統(tǒng)工作流程

本系統(tǒng)首先從管理控制子系統(tǒng)獲取評估任務文件［3］，然后根據(jù)任務信息從中心數(shù)據(jù)庫獲取測試子系統(tǒng)的測試數(shù)據(jù)，再對這些數(shù)據(jù)進行融合(加權、去重)，接著根據(jù)評估標準、評估模型和支撐數(shù)據(jù)庫進行評估［4］，評估得到網(wǎng)絡信息系統(tǒng)的安全風險、安全態(tài)勢，并對網(wǎng)絡信息系統(tǒng)的安全態(tài)勢進行預測，最后將評估結果進行可視化展示，并生成相關評估報告，以幫助用戶進行最終的決策［5］。

4系統(tǒng)部分模塊設計

4．1網(wǎng)絡主機存活性識別的設計

“存活”是用于表述網(wǎng)絡主機狀態(tài)［6］，在網(wǎng)絡安全評估系統(tǒng)中存活性識別流程對存活主機識別采用的方法是基于ARP協(xié)議。它的原理是當主機或路由器正在尋找另外主機或路由器在此網(wǎng)絡上的物理地址的時候，就發(fā)出ARP查詢分組。由于發(fā)送站不知道接收站的物理地址，查詢便開始進行網(wǎng)絡廣播。所有在網(wǎng)絡上的主機和路由器都會接收和處理分組，但僅有意圖中的接收者才會發(fā)現(xiàn)它的IP地址，并響應分組。

4．2網(wǎng)絡主機開放端口/服務掃描設計

端口是計算機與外界通訊交流的出口［7］，軟件領域的端口一般指網(wǎng)絡中面向連接服務的通信協(xié)議端口，是一種抽象的軟件結構，包括一些數(shù)據(jù)結構和FO(基本輸入輸出)緩沖區(qū)［8］。

4．3網(wǎng)絡安全評估系統(tǒng)的實現(xiàn)

該實現(xiàn)主要有三個功能，分別是打開、執(zhí)行和退出系統(tǒng)［9］。打開是指打開系統(tǒng)分發(fā)的評估任務，顯示任務的具體信息;執(zhí)行任務指的是把檢測數(shù)據(jù)融合，存入數(shù)據(jù)庫;退出系統(tǒng)是指關閉系統(tǒng)。然后用戶在進行掃描前可以進行選擇掃描哪些項，對自己的掃描范圍進行設置。進入掃描后，界面左邊可以顯示掃描選項，即用戶選中的需要掃描的項［10］。界面右邊顯示掃描進程。掃描結束后，用戶可以點擊“生成報告”，系統(tǒng)生成用戶的網(wǎng)絡安全評估系統(tǒng)檢測報告，最終評定目標主機的安全等級［11］。

5結束語

(1)系統(tǒng)研究還不夠全面和深入。網(wǎng)絡安全態(tài)勢評估是一門新技術［12］，很多問題如規(guī)劃和結構還沒有解決。很多工作僅限于理論，設計方面存在爭論，沒有統(tǒng)一的安全態(tài)勢評估系統(tǒng)模型［13］。

篇（4）

當前，大多數(shù)企業(yè)都實現(xiàn)了辦公自動化、網(wǎng)絡化，這是提高辦公效率、擴大企業(yè)經(jīng)營范圍的重要手段。但也正是因為對計算機網(wǎng)絡的過分依賴，容易因為一些主客觀因素對計算機網(wǎng)絡造成妨礙，并給企業(yè)造成無法估計的損失。

1網(wǎng)絡管理制度不完善

網(wǎng)絡管理制度不完善是妨礙企業(yè)網(wǎng)絡安全諸多因素中破壞力最強的。“沒有規(guī)矩，不成方圓?！敝贫染褪且?guī)矩。當前，一些企業(yè)的網(wǎng)絡管理制度不完善，尚未形成規(guī)范的管理體系，存在著網(wǎng)絡安全意識淡漠、管理流程混亂、管理責任不清等諸多嚴重問題，使企業(yè)相關人員不能采取有效措施防范網(wǎng)絡威脅，也給一些攻擊者接觸并獲取企業(yè)信息提供很大的便利。

2網(wǎng)絡建設規(guī)劃不合理

網(wǎng)絡建設規(guī)劃不合理是企業(yè)網(wǎng)絡安全中存在的普遍問題。企業(yè)在成立初期對網(wǎng)絡建設并不是十分重視，但隨著企業(yè)的發(fā)展與擴大，對網(wǎng)絡應用的日益頻繁與依賴，企業(yè)未能對網(wǎng)絡建設進行合理規(guī)劃的弊端也就會日益凸顯，如，企業(yè)所接入的網(wǎng)絡寬帶的承載能力不足，企業(yè)內部網(wǎng)絡計算機的聯(lián)接方式不夠科學，等等。

3網(wǎng)絡設施設備的落后

網(wǎng)絡設施設備與時展相比始終是落后。這是因為計算機和網(wǎng)絡技術是發(fā)展更新最為迅速的科學技術，即便企業(yè)在網(wǎng)絡設施設備方面投入了大筆資金，在一定時間之后，企業(yè)的網(wǎng)絡設施設備仍是落后或相對落后的，尤其是一些企業(yè)對于設施設備的更新和維護不夠重視，這一問題會更加突出。

4網(wǎng)絡操作系統(tǒng)自身存在漏洞

操作系統(tǒng)是將用戶界面、計算機軟件和硬件三者進行有機結合的應用體系。網(wǎng)絡環(huán)境中的操作系統(tǒng)不可避免地會存在安全漏洞。其中包括計算機工作人員為了操作方便而主動留出的“后門”以及一些因技術問題而存在的安全隱患，一旦這些為網(wǎng)絡黑客所了解，就會給其進行網(wǎng)絡攻擊提供便利。

網(wǎng)絡安全防護體系的構建策略

如前所述，企業(yè)網(wǎng)絡安全問題所面臨的形勢十分嚴峻，構建企業(yè)網(wǎng)絡安全防護體系已經(jīng)刻不容緩。要結合企業(yè)計算機網(wǎng)絡的具體情況，構建具有監(jiān)測、預警、防御和維護功能的安全防護體系，切實保障企業(yè)的信息安全。

1完善企業(yè)計算機網(wǎng)絡制度

制度的建立和完善是企業(yè)網(wǎng)絡安全體系的重要前提。要結合企業(yè)網(wǎng)絡使用要求制定合理的管理流程和使用制度，強化企業(yè)人員的網(wǎng)絡安全意識，明確網(wǎng)絡安全管護責任，及時更新并維護網(wǎng)絡設施設備，提高網(wǎng)絡設施的應用水平。如果有必要，企業(yè)應聘請專門的信息技術人才，并為其提供學習和培訓的機會，同時，還要為企業(yè)員工提供網(wǎng)絡安全的講座和培訓，引導企業(yè)人員在使用網(wǎng)絡時主動維護網(wǎng)絡安全，避免網(wǎng)絡安全問題的出現(xiàn)。

2配置有效的防火墻

防火墻是用于保障網(wǎng)絡信息安全的設備或軟件，防火墻技術是網(wǎng)絡安全防御體系的重要構成。防火墻技術主要通過既定的網(wǎng)絡安全規(guī)則，監(jiān)視計算機網(wǎng)絡的運行狀態(tài)，對網(wǎng)絡間傳輸?shù)臄?shù)據(jù)包進行安全檢查并實施強制性控制，屏蔽一些含有危險信息的網(wǎng)站或個人登錄或訪問企業(yè)計算機，從而防止計算機網(wǎng)絡信息泄露，保護計算機網(wǎng)絡安全。

3采用有效的病毒檢測技術

篇（5）

（2）網(wǎng)絡復雜性帶來的安全威脅。眾所周知網(wǎng)絡是具有開放性的，所以網(wǎng)絡用戶可以瀏覽到很多內容，比如個人信息資料或者一些企事業(yè)單位、團體組織的信息內容，這些內容可能會包括很多敏感信息，可能是個人的或者企業(yè)內部的，很多調查網(wǎng)站甚至利用這些個人信息來進行販賣從中牟利，這使得很多人的個人信息等敏感資料在不知不覺中就被泄露了。

（3）網(wǎng)絡開放性帶來的安全威脅。計算機網(wǎng)絡技術之所以能像今天這么發(fā)達，是匯聚了很多人的心血的，可以說是人類智慧的結晶。同時計算機網(wǎng)絡系統(tǒng)的構成是十分復雜的，是由多個網(wǎng)絡硬件設備以及軟件等組合而構成的，這種復雜性其實也是有它的缺點的，它在很大程度上威脅了網(wǎng)絡信息的安全。

（4）網(wǎng)絡邊界以及傳輸過程中的不確定性帶來的安全威脅。如今在進行網(wǎng)絡構建的時候習慣對其邊界進行可擴展處理，這可以說是網(wǎng)絡建設的一個需求了，雖然為以后的空間擴展提供了便利，但是這種特定卻讓網(wǎng)絡的邊界變得更加不確定，在進行共享訪問時網(wǎng)絡安全邊界被破壞的可能性大大增加，同時增加了網(wǎng)絡信息傳遞的途徑，這種具有很大不確定性的傳輸路徑增加了中間環(huán)節(jié)被影響的可能性。

（5）信息密集帶來的安全威脅。很多網(wǎng)站建立的初衷就是收集相關的信息，同時對這些信息進行整理，形成最終的結果并且展示給用戶看，但是在信息收集的過程中缺乏挑選性，沒有精準的對信息進行篩選，這就可能會造成網(wǎng)絡安全威脅。

2計算機網(wǎng)絡和信息安全系統(tǒng)

2.1系統(tǒng)的物理環(huán)境

我們首先需要按照國家的相關標準來進行計算機網(wǎng)絡和信息系統(tǒng)的機房安裝，保證機房內的物理環(huán)境、機房內擺放使用的設施以及機房的裝修都需要按照國家規(guī)定來進行，使用的裝飾材料等要保證其防水、防潮、防火的性能達標。只有保證了機房建設以及其物理環(huán)境符合相應的標準，才能更好的進行信息和數(shù)據(jù)安全的保護工作。首先計算機網(wǎng)絡中心機房要進行正確的選址，在樓層適中的位置進行建設，同時盡量遠離那些具有危險性的建筑設施，這樣也更便于企事業(yè)單位進行后續(xù)的網(wǎng)絡建設。其次是安設門禁系統(tǒng)或者環(huán)境監(jiān)控措施，一般來講現(xiàn)在企事業(yè)單位的信息中心都具有這樣現(xiàn)代化的機房。環(huán)境監(jiān)控措施例如自動報警裝置或者UPS等，可以對中心機房內的信息情況進行實時監(jiān)測，一旦出現(xiàn)設備異?；蛘呶锢懋惓５那闆r就會立刻進行警報；同時機房內一般會安裝專用空調并且保持開機自啟動，來對機房內的環(huán)境溫度和濕度進行調控保持。最后是防火措施，一般來說現(xiàn)代化的機房內設施也會比較完善。

2.2系統(tǒng)的運行環(huán)境

想要保證信息系統(tǒng)安全，就要對其核心因素——人給予足夠的重視，企事業(yè)單位首先應該建立完善的管理體系，然后提供相應的技術支持例如引入先進的技術等，為計算機網(wǎng)絡和信息安全系統(tǒng)的安全保駕護航，從各個角度比如組織角度、技術角度以及管理角度來為網(wǎng)絡系統(tǒng)提供足夠的安全保障，注意和本單位的具體情況相結合，層層遞進有序的完成企事業(yè)單位信息化建設。其一是對于那些計算機網(wǎng)絡和信息系統(tǒng)安放的場所高度重視起來，安裝有核心網(wǎng)絡設備的場所都應該有顯眼的標志來進行說明，比如安裝門派或者其他醒目標志以及其他醒目的文字標志例如“機房重地，閑人勿進”、“嚴禁煙火”等，避免出現(xiàn)誤闖的情況，例如路由器、中心服務器和交換機等都屬于核心網(wǎng)絡設備。其二是備份中心機房的網(wǎng)絡設備、網(wǎng)絡通信線路以及控制裝置等。其三是為了保證數(shù)據(jù)完整，可以在計算機和網(wǎng)絡信息系統(tǒng)通信中采取一定的措施，例如加入一些冗余信息在網(wǎng)絡數(shù)據(jù)傳輸中，這樣更便于發(fā)現(xiàn)網(wǎng)絡傳輸中是否有修改或者刪除數(shù)據(jù)信息的操作。

3計算機網(wǎng)絡和信息安全關鍵技術

3.1防病毒軟件以及防火墻

我們生活中最常見的病毒防護技術就是防病毒軟件，現(xiàn)在的計算機網(wǎng)絡防病毒軟件分為兩類，單機防病毒軟件和網(wǎng)絡防病毒軟件，二者的區(qū)別就是防護是在哪里進行的，在計算機本身或者在網(wǎng)絡上。單機防病毒軟件的工作原理是對本機以及與本機遠程連接的資源來進行掃描分析，從而發(fā)現(xiàn)病毒并且盡快進行清除；網(wǎng)絡防病毒軟件則是在病毒入侵網(wǎng)絡時發(fā)現(xiàn)并且清除病毒。防病毒軟件具有一定的防病毒入侵作用，但并不是無懈可擊的，對于很多新生病毒來說是沒有作用的，所以還需要進行定期備份數(shù)據(jù)系統(tǒng)或者加密關鍵業(yè)務信息等措施來建立防護系統(tǒng)。

篇（6）

病毒的入侵是因為計算機系統(tǒng)本身存在著一些漏洞，因此需要定時地對計算機的漏洞進行檢測并修復，從而有效及時地防范病毒的攻擊。我們只需要一款好的殺毒軟件便可以解決此問題。殺毒軟件不僅具有殺毒的功能，還能對計算機進行實時的監(jiān)控，因此用戶必須要安裝一款殺毒軟件，并及時地對病毒庫進行更新，增強計算機病毒防范的能力。

2）防火墻技術

防火墻技術可以有效地避免外界網(wǎng)絡對計算機的非法入侵，保障網(wǎng)絡的安全性。它是一道隔離本地網(wǎng)絡和外界網(wǎng)絡的防御系統(tǒng)，能夠有效地隔離風險區(qū)合安全區(qū)的連接，是一種高效的網(wǎng)絡安全模型，因此用戶要提高防火墻的等級。

3）加強訪問控制技術

訪問控制技術是指制定相應的網(wǎng)絡訪問規(guī)則，部分網(wǎng)絡允許被訪問，而部分網(wǎng)絡禁止被訪問。通過訪問控制技術能夠降低網(wǎng)絡被攻擊的概率，從而在一定程度上提高了網(wǎng)絡的安全性。訪問控制策略的制定包括入網(wǎng)訪問控制環(huán)節(jié)、網(wǎng)絡權限劃分環(huán)節(jié)、客戶端防護策略制定三部分組成。其中入網(wǎng)訪問控制是網(wǎng)絡的第一道關口，一般都是通過驗證用戶賬號和口令來控制。因此，為了提高計算機使用的安全性，用戶應盡量使賬號和口令復雜化，并定時對其進行更改，防止他人盜竊。

4）建立安全實施防御和恢復系統(tǒng)

眾所周知，計算機本身具有一定的漏洞控制能力，但是不能長時間地確保網(wǎng)絡信息的安全性，因而當發(fā)現(xiàn)網(wǎng)絡信息被破壞的時候，應該及時地做出一些補救方案，使丟失的信息或者資料能夠盡快恢復，減小損失。為了保障網(wǎng)絡系統(tǒng)的安全性，就需要建立安全實施防御和恢復系統(tǒng)，包括安全檢測預警機制、安全反應機制、入侵檢測機制以及安全恢復機制。

5）采用信息加密和認證技術

當前受大眾歡迎的電子商務就是依靠加密技術作為保障的。信息加密是阻止他人惡意地盜取或者破壞信息，能有效地保障信息的機密性。而認證技術可以確保信息的完整性，使信息不被他人惡意更改，在開放式計算機網(wǎng)絡環(huán)境的安全防御方面扮演了重要的角色。因此，為了保障計算機內數(shù)據(jù)、文件、口令等重要信息不被他人盜取，就需要對信息流通過程中要傳輸?shù)臄?shù)據(jù)進行加密和認證處理。常見的信息加密方法有三種，即鏈路加密、端點加密以及節(jié)點加密。

2計算機網(wǎng)絡與信息安全系統(tǒng)的關鍵技術

1）設置密碼技術

為了保障計算機網(wǎng)絡信息的安全性，最常用的方法就是設置密碼，這是保證信息安全的最基本的方法。首先，對需要保護的信息進行加密處理，可以防止信息被非授權用戶所訪問。其次，密碼技術的采用使得網(wǎng)絡信息多了一層保護殼，即使信息被不法分子盜取，但是卻很難破解其中的內容，有效地防止了信息的外泄。

2）訪問控制技術

訪問控制技術能夠有效地對網(wǎng)絡進行安全防范和保護，主要是防止用戶對資源越權使用現(xiàn)象的出現(xiàn)。使用訪問控制技術時，用戶在使用某些特定的網(wǎng)絡資源的時候需要進行身份驗證，從而確定用戶是否具有使用權。該技術在某種程度上限制了訪問網(wǎng)絡的行為，減小了網(wǎng)絡信息被侵犯的可能性。

篇（7）

企業(yè)信息網(wǎng)絡比較復雜和繁瑣，不僅包括受理人的資料，而且還有相關產(chǎn)品的詳細資料以及企業(yè)內部員工的資料等，信息網(wǎng)絡系統(tǒng)能否正常運行，直接關系到通訊企業(yè)發(fā)展的好與壞[1]。但是由于計算機網(wǎng)絡和信息技術不斷的發(fā)展，經(jīng)常存在各種各樣的要素威脅著系統(tǒng)的安全，從而損壞甚至丟失內部的重要信息，從而影響通信企業(yè)內部正常的運作，最終導致一系列損失[2]。因此，對于通信企業(yè)信息網(wǎng)絡安全的控制刻不容緩，應該加大力度提高系統(tǒng)的安全性能。

1.信息網(wǎng)絡安全概述

信息網(wǎng)絡安全是指通過各種各樣的網(wǎng)絡技術手段，保證計算機在正常運行的過程中處于安全的狀態(tài)，避免硬件及軟件受到網(wǎng)絡相關的危險因素的干擾與破壞，同時還可以阻止一些危險程序對整個系統(tǒng)進行攻擊與破壞，從而將信息泄露和篡改等，最終保證信息網(wǎng)絡在互聯(lián)網(wǎng)的大環(huán)境中正常運行[3]。信息網(wǎng)絡安全的維護主要是以信息與數(shù)據(jù)的完整性與可控性作為核心，并且能夠通過用戶的操作，實現(xiàn)基本的應用目的。在信息網(wǎng)絡的安全維護中，主要包括兩個方面。一是設備安全，包括計算機系統(tǒng)的穩(wěn)定、硬件實體的安全以及軟件的正常運行。二是信息安全，主要指的是數(shù)據(jù)的備份、數(shù)據(jù)庫的安全性等。

2.通信企業(yè)信息網(wǎng)絡面臨的主要安全威脅

2.1人為的惡意攻擊

目前信息網(wǎng)絡所面臨的最大的威脅和挑戰(zhàn)就是認為的惡意攻擊，人們采取各種各樣的方式對于信息進行選擇性的破壞和控制，從而造成機密信息的丟失和篡改。

2.2人為的無意失誤

通訊企業(yè)通過對專門的管理人員進行管理與培訓從而保證信息網(wǎng)絡系統(tǒng)的正常運行，在日常管理和培訓的過程中，會無意的使相應的措施處理不當，這是在所難免的，當工作人員因為自己的原因導致操作不當，會使信息網(wǎng)絡系統(tǒng)出現(xiàn)或多或少的漏洞，還有可能造成設備的損壞，這些都是由于人為的無意失誤造成的后果[4]。

2.3計算機病毒

由于計算機網(wǎng)絡的復雜性及聯(lián)系性，在工作過程中會盡可能的實現(xiàn)資源共享，因此所接收的結點會有很多。由于無法檢測每個結點是否是安全的，因此極容易造成系統(tǒng)的病毒感染。而一旦信息網(wǎng)絡受到病毒的感染后，病毒會在信息網(wǎng)絡中以非常快的速度進行再生并且傳染給其他系統(tǒng)，最終將波及整個網(wǎng)絡，后果將不堪設想[5]。

3.通信企業(yè)做好信息網(wǎng)絡工作的措施

3.1對內部網(wǎng)的訪問保護

（1）用戶身份認證。如果用戶想要進入網(wǎng)絡必須經(jīng)過三個步驟即首先進行用戶名進行驗證，其次進行用戶口令進行驗證，最后依據(jù)用戶帳號進入網(wǎng)絡。在這三個步驟中最關鍵的操作就是用戶口令，用戶口令需要同時進行系統(tǒng)的加密從而保護網(wǎng)絡的安全，并且還應控制同一個賬戶同時登陸多個計算機的這種現(xiàn)象[6]。（2）權限控制。管理員及用戶在進入網(wǎng)絡前需要履行某一個任務因此必須遵守所謂的權限原則，這種控制方法可以有效的防止一些非法的用戶在一定時間內訪問網(wǎng)絡資源，從而從根本上阻斷這條途徑。在進行權限設置的過程中，一定要遵守一些原則，第一，一定要合理的設置網(wǎng)絡權限，確保網(wǎng)絡權限設置的準確性，不能因為所設置的權限從而影響了整個網(wǎng)絡的正常工作，影響了工作的整體效率；第二應該增加一些先進的合理的加密操作技術來減少病毒的入侵，從而從一定程度上保證網(wǎng)絡的正常運行，對網(wǎng)絡信息數(shù)據(jù)使用系統(tǒng)性的加密來確保網(wǎng)絡安全性和合理性，最終實現(xiàn)對計算機所有結點信息的實時保護。（3）加密技術。通過合理準確的數(shù)學函數(shù)轉換的方法對系統(tǒng)以密文的形式代替明文的現(xiàn)象稱之為數(shù)據(jù)加密，當數(shù)據(jù)加密后，只有特定的管理人員可以對其進行解密，在數(shù)據(jù)加密的過程中主要包含兩大類：對稱加密和不對稱加密。

3.2對內外網(wǎng)間的訪問保護

（1）安全掃描?；ヂ?lián)網(wǎng)互動過程中，及時的對計算機安全衛(wèi)士和殺毒軟件等進行升級，以便及時的對流動數(shù)據(jù)包進行檢測，以便及時有效的對網(wǎng)絡中發(fā)現(xiàn)的木馬和病毒采取有效的防護措施。（2）防火墻系統(tǒng)。防火墻作為計算機網(wǎng)絡信息安全防護的第一道屏障，是一種加強網(wǎng)絡之間訪問控制，以此來決定網(wǎng)絡之間傳輸信息的準確性、真實性及安全性，對于計算機的安全與正常運行具有重要的意義[7]。（3）入侵檢測。計算機當中的病毒傳播的速度較快且危害性極大，為此應該對網(wǎng)絡系統(tǒng)進行病毒的預防及統(tǒng)一的、集中管理，采用防病毒技術及時有效的進行殺毒軟件系統(tǒng)的升級，以便對網(wǎng)絡互動中發(fā)現(xiàn)的木馬或病毒程序采取及時的防護措施。

3.3網(wǎng)絡物理隔離

在進行信息網(wǎng)絡安全控制的過程中不能單一的采用一種安全控制對其保護，而應該根據(jù)網(wǎng)絡的復雜性采取不同的安全策略加以控制，因此管理人員可以依據(jù)密保的等級的程度、各種功能的保護以及不同形式安全設施的水平等差異，通過網(wǎng)絡分段隔離的方式提高通信企業(yè)信息網(wǎng)絡安全。這樣的形式及控制方法將以往的錯綜復雜的控制體系轉變成為細化的安全控制體系，能夠對于各種惡意的攻擊和入侵所造成的危害降低到最小。我們通常所說的物理隔離是指能滿足物理隔離的安全性要求的、相對的物理隔離技術。物理隔離的原理是使單個用戶在同一時間、同一空間不能同時使用內部網(wǎng)和外部網(wǎng)兩個系統(tǒng)。如果兩個系統(tǒng)在空間上物理隔離，在不同的時間運行，那么就可以得到兩個完全物理隔離的系統(tǒng)[8]。

3.4安全審計及入侵檢測技術

安全審計技術對于整個信息網(wǎng)絡安全的控制起到了關鍵性作用，它可以針對不同的用戶其入侵的方式、過程以及活動進行系統(tǒng)精密的記錄，主要分為兩個階段即誘捕和反擊。誘捕是一種特異安排出現(xiàn)的漏洞，可以在一定程度允許入侵者在一定時間內侵入，以便在今后能夠獲得更多的入侵證據(jù)及入侵的特征；當獲得足夠多的特征及證據(jù)的基礎上開始進行反擊，通過計算機精密的系統(tǒng)對用戶的非法入侵的行為進行秘密跟蹤并且在較快的時間里查詢對方的身份以及來源，從而將系統(tǒng)與入侵者的連接切斷,還可追蹤定位并對攻擊源進行反擊。

3.5制定切實可行的網(wǎng)絡安全管理策略

要想使通信企業(yè)信息網(wǎng)絡安全正常運行其前提必須保證整個網(wǎng)絡系統(tǒng)的安全，必須針對網(wǎng)絡安全提出相應的安全策略，應該使信息網(wǎng)絡使用起來安全方便，從而尋找最方便有效的安全措施。在工作的過程中管理人員一定要熟知對于開放性和安全性的具體要求，并且在工作過程中試圖尋求兩者的共同點和平衡點，當兩者出現(xiàn)矛盾的時候應該考慮事情的實際情況有進行準確的取舍。對本網(wǎng)絡拓撲結構和能夠承受的安全風險進行評估，從網(wǎng)絡安全技術方面為保證信息基礎的安全性提供了一個支撐。

信息網(wǎng)絡的發(fā)展需要計算機技術具有跟高的要求，特別是針對通信企業(yè)的信息網(wǎng)絡安全的控制問題應該加以關注，這直接關系到整個企業(yè)的發(fā)展。信息網(wǎng)絡工程是一個巨大而又復雜的動態(tài)的系統(tǒng)工程，需要從多角度進行思索與探討從而進行綜合性的分析，才能選擇出更好地安全網(wǎng)絡設備，并且對其進行有針對的系統(tǒng)的優(yōu)化，從而提高管理人員及工作人員的業(yè)務水平，最終全面提高整個通訊企業(yè)信息網(wǎng)絡安全。

作者:王春寶 于曉鵬 單位:吉林師范大學計算機學院

參考文獻

[1]盧昱.網(wǎng)絡控制論淺敘[J].裝備指揮技術學院學報,2002,3(6):60-64.

[2]王雨田,控制論、信息論、系統(tǒng)科學與哲學[M].北京:中國人民大學出版社,1986.

[3]南湘浩,陳鐘.網(wǎng)絡安全技術概論[M].北京:國防工業(yè)出版社,2003.

[4]涂華.醫(yī)院信息系統(tǒng)的網(wǎng)絡安全與防范[J].中山大學學報論叢,2011,04(12).

[5]王蕓《.電子商務法規(guī)》.高等教育出版社,2010年版.

篇（8）

1.2操作系統(tǒng)遠程登錄入侵因為操作系統(tǒng)本身就存在一定的漏洞，所以一些不法分子可以使用遠程登錄獲取對計算機進行管理的權限，在此基礎上，更改或者破壞計算機中存儲的數(shù)據(jù)。舉個例子，通過Unix系統(tǒng)中的Telent服務器就可以非法遠程登錄其他計算機。

1.3對計算機系統(tǒng)內置文件進行更改有些病毒程序或木馬程序會攻擊計算機系統(tǒng)，更改其中的相關系統(tǒng)文件，非法竊取計算機用戶重要的文件或者數(shù)據(jù)?！疤芈逡聊抉R”是目前為止最為著名的一種木馬程序，它的存在給計算機網(wǎng)絡安全造成非常嚴重的影響。

1.4通過IP源路徑進行破壞用戶通過網(wǎng)絡向其他用戶發(fā)送信息時使用的IP路徑是不確定的，所以不法分子會通過修改IP路徑獲取用戶信息。

2計算機網(wǎng)絡安全防范措施

2.1及時修復系統(tǒng)漏洞補丁系統(tǒng)漏洞是威脅計算機網(wǎng)絡安全的重要因素之一。一般來講，主要包括三個方面，分別是硬件漏洞、軟件漏洞、應用程序漏洞。值得注意的是，計算機用戶安裝計算機系統(tǒng)時，假如操作不當也會使計算機產(chǎn)生系統(tǒng)漏洞。針對此問題，系統(tǒng)開發(fā)商為了維護系統(tǒng)安全，避免出現(xiàn)系統(tǒng)漏洞，會及時地更新系統(tǒng)補丁。

2.2安裝殺毒軟件由于心理作用，部分計算機用戶不愿意在計算機上安裝殺毒軟件，用個如今社會流行的詞語來描述這種行為就是讓個人電腦“裸奔”。這樣一來，電腦的安全系數(shù)非常低，這種行為的直接后果就是會給病毒提供更多的途徑來入侵電腦，損害計算機系統(tǒng)、文件或數(shù)據(jù)，從而降低個人電腦的工作效率。

2.3定期對電腦進行體檢對于經(jīng)常使用電腦網(wǎng)絡的用戶而言，定期清理電腦對于維護計算機網(wǎng)絡安全是非常重要的，所以用戶要養(yǎng)成定期檢查硬盤、定期體檢電腦、定期掃描病毒的良好上網(wǎng)習慣。隨著我國軟件技術的蓬勃發(fā)展，市場上出現(xiàn)了許許多多的計算機防護軟件，而且都具有著非常強的專業(yè)防護功能，比如，360殺毒軟件、金山毒霸、諾頓殺毒軟件等，就目前而言，360殺毒軟件使用的相對廣泛些。如果計算機用戶能夠科學地使用這些軟件對電腦進行清理防護，養(yǎng)成良好的上網(wǎng)習慣，就可以在一定程度上保證個人計算機網(wǎng)絡的安全，從而使個人信息得到很好的保護。

篇（9）

1.1網(wǎng)絡用戶的行為管理需要規(guī)范。

網(wǎng)絡行為的根本出發(fā)點，不僅僅是對設備進行保護，也不是對數(shù)據(jù)進行監(jiān)控防范，而是規(guī)范企業(yè)員工在網(wǎng)絡中的各種行為，也就是對人的管理。規(guī)范企業(yè)員工的網(wǎng)絡行為需要通過技術設備和規(guī)章制度的結合來進行。網(wǎng)絡中用戶的各種不規(guī)范行為主要包括：正常使用互聯(lián)網(wǎng)時訪問到被人為惡意控制的網(wǎng)站或者網(wǎng)頁。這些被控制的網(wǎng)站被黑客植入后門，方便攻擊者竊取企業(yè)的各類內部數(shù)據(jù)或者控制其連接互聯(lián)網(wǎng)的服務器。

1.2網(wǎng)絡用戶的安全意識需要加強。

各種安全設備的建立和安全技術的應用只是企業(yè)信息通信網(wǎng)絡安全防護的一部分，關鍵是加強企業(yè)網(wǎng)絡用戶的安全意識，貫徹落實企業(yè)的安全制度。企業(yè)只依靠技術不可能完全解決自身的安全防護，因為技術在不斷發(fā)展，設備在不斷更新，黑客技術也在發(fā)展和更新。所以企業(yè)管理人員必須有安全意識，重視自己企業(yè)的安全措施。加強對員工的安全培訓，使得全體人員提高安全意識，從根本杜絕安全隱患。

2企業(yè)信息通信網(wǎng)絡的安全防護

信息通信網(wǎng)絡安全防護工作，主要包括幾個方面：安全組織、安全技術、安全運行體系。

2.1安全組織體系的構架

信息通信網(wǎng)絡安全組織建設方面，需要建立決策、管理、協(xié)作三級組織架構，明確各層組織的職責分工和職能，對應合理的崗位，配備相應的人員，同時根據(jù)企業(yè)信息通信網(wǎng)絡實際情況，建立起垂直和水平的溝通、協(xié)調機制。企業(yè)中有具體的人和組織來承擔安全工作，即成立專業(yè)的信息通信網(wǎng)絡安全部門，設置不同的崗位，明確對應的職責，并且賦予部門相應的權力和信任；安全部門組織專業(yè)人員制訂出安全策略來指導和規(guī)范安全工作的開展，明確哪些可以做，哪些不能做，哪些如何做，做到何種程度等等。另外需要創(chuàng)造合理的外部環(huán)境來推動安全部門的工作，建立起一套快速有效的溝通協(xié)調機制，確保安全工作的高效推動。

2.2安全技術的應用

有了安全組織制訂的安全目標和安全策略后，需要選擇合適的安全技術來滿足安全目標；這里主要分為信息通信網(wǎng)絡系統(tǒng)的整體防護和個人終端的防護。

2.2.1信息通信網(wǎng)絡系統(tǒng)的安全防護。

系統(tǒng)自身漏洞而導致的安全風險，經(jīng)常是因為信息通信網(wǎng)絡應用本身的漏洞使得網(wǎng)站被病毒入侵或者被植入控制程序，導致企業(yè)丟失數(shù)據(jù)。因此需要建立以下防范措施：（1）部署網(wǎng)絡應用防火墻和網(wǎng)絡應用安全掃描器，重要的網(wǎng)絡應用通過各種安全認證或者許可才能進行使用，同時保證驗證程序本身的安全性。（2）時刻對系統(tǒng)進行更新，對應用程序和系統(tǒng)軟件進行補丁安裝和升級。對于客戶端漏洞有以下幾種防范措施：（1）系統(tǒng)管理員要通過相應的認證軟件攔截限制用戶訪問一些具有安全威脅的網(wǎng)頁；（2）系統(tǒng)管理員要通過相關方案防止用戶訪問含有攻擊和惡意軟件的網(wǎng)站；（3）系統(tǒng)管理員要禁止用戶從網(wǎng)上下載任何媒體播放文件；（4）系統(tǒng)管理員要通過部署相關軟件禁止外網(wǎng)訪問企業(yè)的郵件服務器；（5）禁止系統(tǒng)管理員在企業(yè)內部服務器上使用網(wǎng)頁瀏覽器、電子郵件客戶端、媒體播放器以及辦公軟件。從技術層面上而言，安全問題無處不在，單一的防火墻、防病毒軟件、區(qū)域防御系統(tǒng)已經(jīng)不能滿足企業(yè)網(wǎng)的需要，為了應對網(wǎng)絡中存在的多元、多層次的安全威脅，必須首先構建一個完備的安全體系，在體系架構下層層設防、步步為營，才能夠將安全問題各個擊破，實現(xiàn)全網(wǎng)安全。安全體系架構：由以太網(wǎng)交換機、路由器、防火墻、流量控制與行為審計系統(tǒng)、接入認證與強制管理平臺等多種網(wǎng)絡設備做技術支撐。從可信終端準入、資產(chǎn)管理、訪問控制、入侵防御、遠程訪問、行為審計、全局安全管理等多方面，構成完善的防護體系，從而實現(xiàn)“可信、可控、可取證”的全網(wǎng)安全。其中以太網(wǎng)交換機、路由器、防火墻、流量控制與行為審計系統(tǒng)作為部署在網(wǎng)絡各個層面的組件，接入認證與強制管理平臺作為全網(wǎng)調度和策略分發(fā)的決策核心，通過安全聯(lián)動，從內外兩個安全域，三個維度構建自適應的安全體系。

2.2.2信息通信網(wǎng)絡中個人應用的安全防護。

為了更好地加強企業(yè)信息通信網(wǎng)絡安全，必須規(guī)范用戶自己的安全行為，加強個人安全意識，建立自己的計算機安全系統(tǒng)，這就需要企業(yè)每個員工做到以下幾方面的安全措施：（1）修改計算機管理員賬戶，為系統(tǒng)管理員和備份操作員創(chuàng)建特殊賬戶。用戶要禁止所有具有管理員和備份特權的賬戶瀏覽Web，嚴禁設置缺省的Guest賬戶；（2）限制遠程管理員訪問NT平臺；（3）在域控制器上，修改注冊表設置；（4）嚴格限制域中Windows工作站上的管理員特權，嚴禁使用缺省值；（5）對于注冊表嚴格限制，只能進行本地注冊，不能遠程訪問；（6）限制打印操作員權限的人數(shù)；（7）合理配置FTP，確保服務器必須驗證所有FTP申請。在確定了安全組織和安全技術后，必須通過規(guī)范的運作過程來實施安全工作，將安全組織和安全技術有機地結合起來，形成一個相互推動、相互聯(lián)系地整體安全運行體系，最終實現(xiàn)企業(yè)信息通信網(wǎng)絡的安全防護。

篇（10）

計算機網(wǎng)絡的軟、硬件數(shù)據(jù)保護著計算機網(wǎng)絡系統(tǒng)的安全，但因在設計過程中，由于認識能力、知識水平以及當代的科學發(fā)展水平的限制，留下了部分技術方面的缺陷，導致無法全面確保計算機網(wǎng)絡系統(tǒng)安全，使得網(wǎng)絡安全游離于潛在風險之中。也就是說，任何人在沒有任何身份驗證的情況下，都可以將任何信息放在網(wǎng)絡上共享。人們并沒有清晰意識到這種極大范圍的資源共享途徑是否真正安全，信息本身或信息傳輸?shù)倪^程中是否存在某種安全風險等等。

1.2是存在于系統(tǒng)內部的潛在安全威脅

計算機網(wǎng)絡的安全不僅受到外部風險的沖擊，同時還存在來自系統(tǒng)內部的威脅。具體地說，系統(tǒng)內部威脅主要可劃分為三大板塊：一是人為因素形成的安全漏洞。比如某一網(wǎng)絡管理員因個人原因泄露了某條應用程序的操作口令，更改了網(wǎng)絡設置和記錄信息，從而導致硬盤上某些文件被人惡意利用。二是系統(tǒng)與通信線路形成的安全漏洞。在計算機內部編程的過程中，由于人們認識和思維的局限，導致計算機網(wǎng)絡系統(tǒng)及通信線路在設計初期就已經(jīng)埋下安全隱患，從而容易受外來攻擊的破壞。三是系統(tǒng)軟硬件設備使用不當形成的漏洞。計算機網(wǎng)絡系統(tǒng)的軟、硬件就是系統(tǒng)內的安全管家，但由于使用者不恰當?shù)牟僮髦率瓜到y(tǒng)內軟、硬件受損而無法發(fā)揮應有作用；同時，還存在設計疏漏，導致運行過程中無法辨認部分病毒的情形存在。

1.3是計算機病毒帶來的直接與潛在影響

計算機病毒是指人為編制或在計算機程序中植入的一種破壞計算機正常運行或破壞計算機內部數(shù)據(jù)，是一種具有自我復制能力的一組計算機指令或程度代碼。屬性不同，病毒的破壞性、復制性與傳染性也不相同。計算機一旦遭到病毒入侵，則會破壞計算機系統(tǒng)，影響計算機的運行速度，甚至造成整個計算機網(wǎng)絡癱瘓，給人們帶了不便的同時，還有可能造成巨大的經(jīng)濟損失。需要注意的是，病毒通常不是獨立存在的，多數(shù)隱藏在計算機程序中進行“暗地”復制和破壞。

1.4是關乎于網(wǎng)絡安全監(jiān)管體系的缺失

計算機網(wǎng)絡作為一種年輕的產(chǎn)品進入人們的生活，雖然我國已初步建立部分計算機網(wǎng)絡安全管理系統(tǒng)，但仍舊缺失嚴格的網(wǎng)絡安全監(jiān)管體系，主要體現(xiàn)為：一方面是計算機網(wǎng)絡安全管理機構的不健全，比如在出現(xiàn)某些網(wǎng)絡安全問題后，并沒有相應的機構能夠有權并及時的處理相關事宜，遑論防患于未然；另一方面是部分已建立的基本計算機網(wǎng)絡安全管理機構卻因職責權分配不明確，防護意識淡薄，遇到問題相互推諉，難以起到預防與治療的效果。等等這些都使得計算機網(wǎng)絡安全監(jiān)管漏洞百出，最終導致網(wǎng)絡危機日益加重，嚴重影響著計算機網(wǎng)絡的安全。

2維護計算機網(wǎng)絡安全的有效方法

2.1指導網(wǎng)絡安全與道德教育與宣傳

通過網(wǎng)絡安全教育宣傳，能增強人們的網(wǎng)絡道德意識，在提升道德水平的同時，也能提高對網(wǎng)絡信息的分析能力，進而形成對網(wǎng)絡中不良信息的免疫力與抵制力。同時，還能幫助計算機用戶以及網(wǎng)絡管理員認識到計算機網(wǎng)絡安全的重要性，進而掌握必要的計算機安全防護措施。譬如，定期安排人員進行計算機系統(tǒng)體檢、木馬查殺、垃圾清理等，能及早發(fā)現(xiàn)計算機的安全威脅因素，做好應對防護工作，防止計算機網(wǎng)絡受到外部不安全因素的侵襲，有效實現(xiàn)計算機網(wǎng)絡的安全。

2.2指導強化操作系統(tǒng)自身安全性能

由于計算機網(wǎng)絡系統(tǒng)的開放性，任何信息都能隨意進入其中，無形中為計算機操作系統(tǒng)埋下了很多安全威脅。由此，為了強化操作系統(tǒng)本身的安全性能，筆者建議可在系統(tǒng)中安裝“NTFS”格式文件的操作系統(tǒng)，這類系統(tǒng)對各種文件開展權限設置，能防止用戶非法使用網(wǎng)絡信息資源。同時，在設置操作系統(tǒng)管理員賬號和密碼時，建議改成由字母、數(shù)字與其他特殊符號組合起來的高保密度的復雜密碼，以防止密碼被破解。此外，在日常使用中，還應定期對操作系統(tǒng)進行維護，及時進行計算機系統(tǒng)體檢，一旦檢查出病毒或漏洞，應立即殺毒并安裝相應補丁程序。再有就是建立安全系數(shù)高的網(wǎng)絡服務器，如在安裝操作系統(tǒng)時拒絕默認共享，在源頭切斷默認共享可能帶來的不安全因素，加強操作系統(tǒng)本身的安全性能。

2.3指導防范計算機病毒入侵與查殺

計算機病毒憑借其“全面”特性可以做到無孔不入，由此，防患于未然，預防計算機病毒首要工作即是安裝強大的防病毒軟件，并定期對系統(tǒng)進行查殺與軟件的升級。同時，采用綠色上網(wǎng)也是防止計算機中病毒的有效手段，如訪問正規(guī)網(wǎng)站，下載正版軟件，對于外來文件進行掃描確保無病毒后再使用，藉此切斷計算機病毒來源。需要注意的是，如遇清除不了的頑固病毒，應反復查殺，還可以將其上傳到專業(yè)殺毒網(wǎng)站，尋求相關專家?guī)椭愿玫亟鉀Q問題。

2.4指導預防網(wǎng)絡黑客入侵反查技術

黑客攻擊的方式，通常依靠計算機網(wǎng)絡端口和遠程軟件開展攻擊，采用收集信息、選擇目標、攻擊程序等方式對用戶計算機網(wǎng)絡實施破壞。所以，在計算機運行過程中應及時關閉不用的網(wǎng)絡端口，不給黑客攻擊留有“后門”。時下常見的幾款黑客遠程控制軟件有：黑洞、灰鴿子、木馬程序、網(wǎng)絡神偷等。現(xiàn)實中，黑客侵入網(wǎng)絡的目的，多為盜用計算機用戶相關賬戶和密碼等，在獲取這些信息后通過系統(tǒng)的身份認證，成為計算機網(wǎng)絡的合法用戶，進而獲得計算機網(wǎng)絡資源的使用權進行更深一層次的破壞。比如，部分黑客盜取用戶“QQ號”與密碼后，冒充原用戶來向親戚、朋友進行詐騙，從而造成不同程度的經(jīng)濟損失與精神傷害。所以，我們必須正確認識到計算機網(wǎng)絡系統(tǒng)對身份認證的重要性，定期或不定期的修改計算機用戶的賬戶與密碼，結合“密保設置”等輔助功能的運用，規(guī)避黑客攻擊。此外，還可以借助防火墻技術進行訪問限制和隔離網(wǎng)絡來控制網(wǎng)絡訪問權限。在防火墻技術下，計算機內部網(wǎng)絡進入和輸出以及計算機外部網(wǎng)絡進入和輸出的數(shù)據(jù)訪問情況都受到了實時監(jiān)控，能夠有效抵制計算機外部網(wǎng)絡的黑客侵入。但是，“防火墻”只能夠抵擋計算機外部網(wǎng)絡的侵襲，無法確保內部網(wǎng)絡的絕對安全。所以，必須結合服務器來效隱藏“IP地址”，黑客無法搜獲用戶真實“IP地址”，自然無法展開網(wǎng)絡攻擊，這樣一來，便可有效防止黑客入侵，保證計算機用戶上網(wǎng)安全。