計算機網路安全的現狀

Ⅰ 網路安全的發展現狀

隨著計算機技術的飛速發展，信息網路已經成為社會發展的重要保證。有很多是敏感信息，甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等）。同時，網路實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
國外
2012年02月04日，黑客集團Anonymous公布了一份來自1月17日美國FBI和英國倫敦警察廳的工作通話錄音，時長17分鍾，主要內容是雙方討論如何尋找證據和逮捕Anonymous, LulzSec, Antisec, CSL Security等黑帽子黑客的方式，而其中涉及未成年黑客得敏感內容被遮蓋。
FBI已經確認了該通話錄音得真實性，安全研究人員已經開始著手解決電話會議系統得漏洞問題。
2012年02月13日，據稱一系列政府網站均遭到了 Anonymous 組織的攻擊，而其中CIA官網周五被黑長達9小時。這一組織之前曾攔截了倫敦警察與FBI之間的一次機密電話會談，並隨後上傳於網路。
國內
2010年，Google發布公告稱將考慮退出中國市場，而公告中稱：造成此決定的重要原因是因為Google被黑客攻擊。
2011年12月21日，國內知名程序員網站CSDN遭到黑客攻擊，大量用戶資料庫被公布在互聯網上，600多萬個明文的注冊郵箱被迫裸奔。
2011年12月29日下午消息，繼CSDN、天涯社區用戶數據泄露後，互聯網行業一片人心惶惶，而在用戶數據最為重要的電商領域，也不斷傳出存在漏洞、用戶泄露的消息，漏洞報告平台烏雲昨日發布漏洞報告稱，支付寶用戶大量泄露，被用於網路營銷，泄露總量達1500萬～2500萬之多，泄露時間不明，裡面只有支付用戶的賬號，沒有密碼。已經被捲入的企業有京東(微博)商城、支付寶(微博)和當當(微博)網，其中京東及支付寶否認信息泄露，而當當則表示已經向當地公安報案。
未來二三十年，信息戰在軍事決策與行動方面的作用將顯著增強。在諸多決定性因素中包括以下幾點：互聯網、無線寬頻及射頻識別等新技術的廣泛應用；實際戰爭代價高昂且不得人心，以及這樣一種可能性，即許多信息技術可秘密使用，使黑客高手能夠反復打進對手的計算機網路。
據網易、中搜等媒體報道，為維護國家網路安全、保障中國用戶合法利益，我國即將推出網路安全審查制度。該項制度規定，關系國家安全和公共安全利益的系統使用的重要信息技術產品和服務，應通過網路安全審查。審查的重點在於該產品的安全性和可控性，旨在防止產品提供者利用提供產品的方便，非法控制、干擾、中斷用戶系統，非法收集、存儲、處理和利用用戶有關信息。對不符合安全要求的產品和服務，將不得在中國境內使用。
技術支配力量加重
在所有的領域，新的技術不斷超越先前的最新技術。攜帶型電腦和有上網功能的手機使用戶一周7天、一天24小時都可收發郵件，瀏覽網頁。
對信息戰與運作的影響：技術支配力量不斷加強是網路戰的根本基礎。復雜且常是精微的技術增加了全世界的財富，提高了全球的效率。然而，它同時也使世界變得相對脆弱，因為，在意外情況使計算機的控制與監視陷於混亂時，維持行業和支持系統的運轉就非常困難，而發生這種混亂的可能性在迅速增加。根據未來派學者約瑟夫·科茨的觀點，「一個常被忽視的情況是犯罪組織對信息技術的使用。」時在2015年，黑手黨通過電子手段消除了得克薩斯州或內布拉斯加州一家中型銀行的所有記錄，然後悄悄訪問了幾家大型金融服務機構的網站，並發布一條簡單的信息：「那是我們乾的——你可能是下一個目標。我們的願望是保護你們。」
未來派學者斯蒂芬·斯蒂爾指出：「網路系統……不單純是信息，而是網路文化。多層次協調一致的網路襲擊將能夠同時進行大（國家安全系統）、中（當地電網）、小（汽車發動）規模的破壞。」
通信技術生活方式
電信正在迅速發展，這主要是得益於電子郵件和其他形式的高技術通信。然而，「千禧世代」（1980年－2000年出生的一代——譯注）在大部分情況下已不再使用電子郵件，而喜歡採用即時信息和社交網站與同伴聯系。這些技術及其他新技術正在建立起幾乎與現實世界中完全一樣的復雜而廣泛的社會。
對信息戰和運作的影響：這是使信息戰和運作具有其重要性的關鍵的兩三個趨勢之一。
破壞或許並不明目張膽，或者易於發現。由於生產系統對客戶的直接輸入日益開放，這就有可能修改電腦控制的機床的程序，以生產略微不合規格的產品——甚至自行修改規格，這樣，產品的差異就永遠不會受到注意。如果作這類篡改時有足夠的想像力，並且謹慎地選准目標，則可以想像這些產品會順利通過檢查，但肯定通不過戰場檢驗，從而帶來不可設想的軍事後果。
信息技術與商業管理顧問勞倫斯·沃格爾提醒注意雲計算（第三方數據寄存和面向服務的計算）以及Web2.0的使用（社交網及交互性）。他說：「與雲計算相關的網路安全影響值得注意，無論是公共的還是私人的雲計算。隨著更多的公司和政府採用雲計算，它們也就更容易受到破壞和網路襲擊。這可能導致服務及快速的重要軟體應用能力受到破壞。另外，由於Facebook、博客和其他社交網在我們個人生活中廣泛使用，政府組織也在尋求與其相關方聯絡及互動的類似能力。一旦政府允許在其網路上進行交互的和雙向的聯絡，網路襲擊的風險將隨之大增。」
全球經濟日益融合
這方面的關鍵因素包括跨國公司的興起、民族特性的弱化（比如在歐盟范圍之內）、互聯網的發展，以及對低工資國家的網上工作外包。
對信息戰及運作的影響：互聯網、私人網路、虛擬私人網路以及多種其他技術，正在將地球聯成一個復雜的「信息空間」。這些近乎無限的聯系一旦中斷，必然會對公司甚至對國家經濟造成嚴重破壞。
研究與發展
（R&D）促進全球經濟增長的作用日益增強， 美國研發費用總和30年來穩步上升。中國、日本、歐盟和俄羅斯也呈類似趨勢。 對信息戰及運作的影響：這一趨勢促進了近數十年技術進步的速度。這是信息戰發展的又一關鍵因素。 R&D的主要產品不是商品或技術，而是信息。即便是研究成果中最機密的部分一般也是存儲在計算機里，通過企業的內聯網傳輸，而且一般是在互聯網上傳送。這種可獲取性為間諜提供了極好的目標——無論是工業間諜，還是軍事間諜。這（5）技術變化隨著新一代的發明與應用而加速
在發展極快的設計學科，大學生一年級時所學的最新知識到畢業時大多已經過時。設計與銷售周期——構想、發明、創新、模仿——在不斷縮短。在20世紀40年代，產品周期可持續三四十年。今天，持續三四十周已屬罕見。
原因很簡單：大約80%過往的科學家、工程師、技師和醫生今天仍然活著——在互聯網上實時交流意見。
機器智能的發展也將對網路安全產生復雜影響。據知識理論家、未來學派學者布魯斯·拉杜克說：「知識創造是一個可由人重復的過程，也是完全可由機器或在人機互動系統中重復的過程。」人工知識創造將迎來「奇點」，而非人工智慧，或人工基本智能（或者技術進步本身）。人工智慧已經可由任何電腦實現，因為情報的定義是儲存起來並可重新獲取（通過人或計算機）的知識。（人工知識創造）技術最新達到者將推動整個範式轉變。

Ⅱ 弱弱的問一句啊誰能告訴我網路安全現狀怎麼樣了啊

隨著計算機互聯網技術的飛速發展，在計算機上處理業務已由單機處理功能發展到面向內部區域網、全球互聯網的世界范圍內的信息共享和業務處理功能。網路信息已經成為社會發展的重要組成部分。涉及到國家的政府、軍事、經濟、文教等諸多領域。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調控決策、商業經濟信息、銀行資金轉帳、股票證券、能源資源數據、科研數據等重要信息。有很多是敏感信息，甚至是國家機密。由於計算機網路組成形式多樣性、終端分布廣和網路的開放性、互聯性等特徵，致使這些網路信息容易受到來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等）。要保護這些信息就需要有一套完善的網路安全保護機制。那麼到底什麼是計算機網路安全？現在面臨哪些計算機網路安全問題？面對諸多的網路安全問題，我們又能採取哪些措施呢？

一、計算機網路安全的定義

國際標准化組織（ISO）將「計算機網路安全」定義為：「為數據處理系統建立和採取的技術和管理的安全保護，保護網路系統的硬體、軟體及其系統中的數據不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠、正常地運行，網路服務不中斷。」
上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容可理解為我們常說的網路上的信息安全，是指對信息的保密性、完整性和可用性的保護，而網路安全性的含義是信息安全的引申，即網路安全是對網路信息保密性、完整性和可用性的保護。從廣義來說，凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。

網路安全應具有以下五個方面的特徵：

保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。

完整性：數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

可用性：可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對可用性的攻擊；

可控性：對信息的傳播及內容具有控制能力。

可審查性：出現的安全問題時提供依據與手段

當然，網路安全的具體含義會隨著「角度」的變化而變化。比如：從用戶（個人、企業等）角度，他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護，避免其他人利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。從網路運行和管理者角度說，他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制，避免出現「陷門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅，制止和防禦網路黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失。從社會教育和意識形態角度來講，網路上不健康的內容，會對社會的穩定和人類的發展造成阻礙，必須對其進行控制。

二、計算機網路安全現狀

近年來隨著Internet的飛速發展，計算機網路的資源共享進一步加強，隨之而來的信息安全問題日益突出。據美國FBI統計，美國每年網路安全問題所造成的經濟損失高達75億美元。而全球平均每20秒鍾就發生一起Internet計算機侵入事件。在Internet/Intranet的大量應用中，Internet/Intranet安全面臨著重大的挑戰，事實上，資源共享和安全歷來是一對矛盾。在一個開放的網路環境中，大量信息在網上流動，這為不法分子提供了攻擊目標。而且計算機網路組成形式多樣性、終端分布廣和網路的開放性、互聯性等特徵更為他們提供便利。他們利用不同的攻擊手段，獲得訪問或修改在網中流動的敏感信息，闖入用戶或政府部門的計算機系統，進行窺視、竊取、篡改數據。不受時間、地點、條件限制的網路詐騙，其「低成本和高收益」又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統的犯罪活動日益增多。

從人為（黑客）角度來看，常見的計算機網路安全威脅主要有：信息泄露、完整性破壞、拒絕服務、網路濫用。
信息泄露：信息泄露破壞了系統的保密性，他是指信息被透漏給非授權的實體。 常見的，能夠導致信息泄露的威脅有：網路監聽、業務流分析、電磁、射頻截獲、人員的有意或無意、媒體清理、漏洞利用、授權侵犯、物理侵入、病毒、木馬、後門、流氓軟體、網路釣魚。
完整性破壞：可以通過漏洞利用、物理侵犯、授權侵犯、病毒，木馬，漏洞來等方式實現。
拒絕服務攻擊：對信息或資源可以合法的訪問卻被非法的拒絕或者推遲與時間密切相關的操作。
網路濫用：合法的用戶濫用網路，引入不必要的安全威脅，包括非法外聯、非法內聯、移動風險、設備濫用、業務濫用。
常見的計算機網路絡安全威脅的表現形式主要有：竊聽、重傳、偽造、篡改、拒絕服務攻擊、行為否認、電子欺騙、非授權訪問、傳播病毒。
竊聽：攻擊者通過監視網路數據的手段獲得重要的信息，從而導致網路信息的泄密。
重傳：攻擊者事先獲得部分或全部信息，以後將此信息發送給接收者。
篡改：攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入，再將偽造的信息發送給接收者，這就是純粹的信息破壞，這樣的網路侵犯者被稱為積極侵犯者。積極侵犯者的破壞作用最大。
拒絕服務攻擊：攻擊者通過某種方法使系統響應減慢甚至癱瘓，阻止合法用戶獲得服務。
行為否認：通訊實體否認已經發生的行為。
電子欺騙：通過假冒合法用戶的身份來進行網路攻擊，從而達到掩蓋攻擊者真實身份，嫁禍他人的目的.
非授權訪問：沒有預先經過同意，就使用網路或計算機資源被看作非授權訪問。
傳播病毒：通過網路傳播計算機病毒，其破壞性非常高，而且用戶很難防範。

當然，除了人為因素，網路安全還在很大部分上由網路內部的原因或者安全機制或者安全工具本身的局限性所決定，他們主要表現在：每一種安全機制都有一定的應用范圍和應用環境、安全工具的使用受到人為因素的影響、系統的後門是傳統安全工具難於考慮到的地方、只要是程序，就可能存在BUG。而這一系列的缺陷，更加給想要進行攻擊的人以方便。因此，網路安全問題可以說是由人所引起的。

三、計算機網路安全技術
計算機網路安全從技術上來說，主要由防病毒、防火牆、入侵檢測等多個安全組件組成，一個單獨的組件無法確保網路信息的安全性。早期的網路防護技術的出發點是首先劃分出明確的網路邊界，然後通過在網路邊界處對流經的信息利用各種控制方法進行檢查，只有符合規定的信息才可以通過網路邊界，從而達到阻止對網路攻擊、入侵的目的。目前廣泛運用和比較成熟的網路安全技術主要有：防火牆技術、數據加密技術、防病毒技術等，主要的網路防護措施包括：1、防火牆
防火牆是一種隔離控制技術，通過預定義的安全策略，對內外網通信強制實施訪問控制，常用的防火牆技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網路層中對數據包實施有選擇的通過，依據系統事先設定好的過濾邏輯，檢查數據據流中的每個數據包，根據數據包的源地址、目標地址、以及包所使用的埠確定是否允許該類數據包通過；狀態檢測技術採用的是一種基於連接的狀態檢測機制，將屬於同一連接的所有包作為一個整體的數據流看待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別，與傳統包過濾防火牆的靜態過濾規則表相比，它具有更好的靈活性和安全性；應用網關技術在應用層實現，它使用一個運行特殊的「通信數據安全檢查」軟體的工作站來連接被保護網路和其他網路，其目的在於隱蔽被保護網路的具體細節，保護其中的主機及其數據。
2、數據加密與用戶授權訪問控制技術。
與防火牆相比，數據加密與用戶授權訪問控制技術比較靈活，更加適用於開放的網路。用戶授權訪問控制主要用於對靜態信息的保護，需要系統級別的支持，一般在操作系統中實現。數據加密主要用於對動態信息的保護。對動態數據的攻擊分為主動攻擊和被動攻擊。對於主動攻擊，雖無法避免，但卻可以有效地檢測；而對於被動攻擊，雖無法檢測，但卻可以避免，實現這一切的基礎就是數據加密。
數據加密實質上是對以符號為基礎的數據進行移位和置換的變換演算法，這種變換是受「密鑰」控制的。在傳統的加密演算法中，加密密鑰與解密密鑰是相同的，或者可以由其中一個推知另一個，稱為「對稱密鑰演算法」。這樣的密鑰必須秘密保管，只能為授權用戶所知，授權用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對稱加密演算法中最具代表性的演算法。如果加密/解密過程各有不相乾的密鑰，構成加密/解密的密鑰對，則稱這種加密演算法為「非對稱加密演算法」或稱為「公鑰加密演算法」，相應的加密/解密密鑰分別稱為「公鑰」和「私鑰」。在公鑰加密演算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發送給私鑰擁有者。私鑰是保密的，用於解密其接收的公鑰加密過的信息。典型的公鑰加密演算法如RSA是目前使用比較廣泛的加密演算法。

Ⅲ 我國網路安全現狀分析研究的目的是什麼

論文摘要：計算機網路和互聯網的發展,區域網安全越來越受到人們的和關注。是在區域網在廣域網中，都著自然和人為等諸多因素的潛在威脅和網路的脆弱性。故此，區域網的安全措施應是能地不同的威脅和脆弱性，才能網路信息的保密性、完整性和可用性。信息的安全與暢通，區域網的安全防範措施已迫在眉睫。
1.當前區域網安全
1.1 計算機網路的定義
計算機網路,通信設備和線路將地理位置不同的、功能獨立的多個計算機系統互連起來,以功能的網路軟體(即網路通信協議、信息交換和網路操作系統等)網路中資源共享和信息傳遞的系統。[①]
計算機網路由通信子網和資源子網兩構成。通信子網是計算機網路中數據通信的；資源子網是計算機網路中面向用戶的，全網路面向應用的數據工作。就區域網而言，通信子網由網卡、線纜、集線器、中繼器、網橋、路由器、交換機等設備和軟體組成。資源子網由連網的伺服器、工作站、共享的列印機和設備及軟體所組成。
1.2 網路安全定義
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不因偶然的或者惡意的原遭受到破壞、更改、泄露，系統連續地運行，網路服務不中斷。網路安全從其本質講網路上的信息安全。[②]
1.3 區域網安全
區域網的安全主要包括物理安全與邏輯安全。物理安全主要指網路硬體的、使用及管理等；邏輯安全是從軟體的角度的，主要指數據的保密性、完整性、可用性等。
1.3.1 來自互聯網的安全威脅
區域網是與Inernet互連的。Internet的開放性、國際性與自由性，區域網將面臨嚴重的安全威脅。區域網與外部網路間的安全防護措施，很容易遭到來自Internet 黑客的攻擊。可以嗅探程序來探測、掃描網路及操作系統的安全漏洞，如網路I P 地址、應用操作系統的類型、開放的T C P 埠號、系統用來保存用戶名和口令等安全信息的關鍵文件等，並攻擊程序攻擊。還可以網路監聽等手段內部網用戶的用戶名、口令等信息，進而假冒內部合法身份非法登錄，竊取內部網路中信息。還能發送數據包對網路伺服器攻擊，使得伺服器超負荷工作拒絕服務，甚至使系統癱瘓。
1.3.2 來自區域網內部的安全威脅
內部管理人員把內部網路結構、管理員口令系統的信息傳播給外人帶來信息泄漏；內部職工熟悉伺服器、小程序、腳本和系統的弱點，網路開些小玩笑，甚至搞破壞。如，泄漏至關的信息、錯誤地資料庫、刪除數據等，都將給網路的安全威脅。

Ⅳ 對計算機網路網路安全威脅及防範措施國內外的研究成果及現狀，重要的是國內外的研究現狀謝謝大家！！

不管是國內還是國外，網路安全都是按照ISO27001准標來做的。這一點，我們國內還而做的很好。好國家推出了信息安全等級保護及分保。你可以去查一下這方面的內容。

Ⅳ 2015目前網路信息安全的現狀3000字

21世紀已經進入信息化時代，隨著信息技術的快速發展和廣泛應用，計算機網路在帶來信息資源共享等極大便利，同時也出現了許多網路安全問題，並成為信息安全的重要研究內容和社會需求最大的研究方向，不僅關繫到企事業機構的信息化建設與發展、對網路系統的正常使用、以及用戶資產和信息資源的風險，也關繫到國家安全和社會穩定，不僅成為各國關注的焦點，也成為熱門研究和人才需求的新領域。
國內外網路信息安全的現狀
【案例1】我國網路遭受攻擊近況。據國家互聯網應急中心CNCERT監測和國家信息安全漏洞共享平台CNVD發布的數據，2014年2月10日至16日一周境內被篡改網站數量為8965個，比上周增長79.7%；境內被植入後門的網站數量為1168個；針對境內網站的仿冒頁面數量為181個。其中，政府網站被篡改418個、植入後門的35個。感染網路病毒的主機數量約為69萬個，新增信息安全漏洞280個。
另據國家互聯網應急中心(CNCERT)的數據顯示，中國遭受境外網路攻擊的情況日趨嚴重。CNCERT抽樣監測發現，2013年1月1日至2月28日，境外6747台木馬或僵屍網路控制伺服器控制了中國境內190萬余台主機；其中位於美國的2194台控制伺服器控制了中國境內128.7萬台主機，無論是按照控制伺服器數量還是按照控制中國主機數量排名，美國都名列第一。
國內外網路安全威脅的現狀及主要因由，主要涉及以下5個方面：
（1）法律法規和管理不完善
隨著信息技術快速發展和廣泛應用，國內外的法律法規和管理政策等在解決信息資源保密性、完整性、可用性、可控性、可審查性等方面應用中出現的一些問題，顯得相對滯後且不夠健全與完善。出現了一些企事業機構或個人用戶法制觀念淡薄，對網路風險和隱患不甚了解，網路安全意識不強、自身管理措施和方法不完善等問題，甚至出現內部監守自盜案件。重技術、輕管理和網路安全知識不夠普及成為一個重要問題。
（2）企業和政府的側重點不一致
政府注重信息及網路安全的可管性和可控性，企業則注重其可用性、效益和可靠性。由國際標准化組織ISO制定的OSI協議及美國政府組織的KRS系統等，由於不受企業歡迎而難以實施和推廣。在一些欠發達國家或地區，對網路安全技術重視不夠，經費投入無法滿足實際需要，或時常被擠占或挪用。
（3）網路安全規范和標准不統一
網路安全是一個系統工程，只有統一技術的規范標准，才能更好地進行實施。西方發達國家計算機網路技術最先進且對網路安全很重視，也同樣存在網路安全規范和標准等問題。西歐國家則實行另一套信息安全標准，在原理和結構上與美國也有異同。
（4）網路安全技術和手段滯後
計算機網路技術不斷快速發展，伴隨的各種網路安全問題層出不窮，網路攻擊及計算機病毒變化多端。相應的網路安全技術和手段相對滯後，更新不及時、不完善。
（5）網路安全風險和隱患增強
在現代信息化社會，電子商務、網路銀行、電子政務、辦公自動化和其他各種業務的應用對計算機網路的依賴程度越來越高，計算機網路的開放性、共享性、交互性和分散性等特點，以及網路系統及協議等從設計到實現自身存在的安全漏洞、缺陷和隱患，致使網路存在著巨大的風險和威脅，詳見1.2.3介紹。各種惡意攻擊、計算機病毒、垃圾郵件和廣告等也嚴重影響了網路的正常應用。全球平均不足15秒就發生一次黑客入侵事件，全世界每年因網路安全問題造成的經濟損失達幾千億美元。
注意：計算機病毒防範技術、網路防火牆技術和入侵檢測技術，常被稱為網路安全技術的三大主流。這些傳統的安全「老三樣」為網路安全建設起到了重要作用，卻具有一定局限性，也存在許多新的問題：計算機病毒防範技術滯後於實際的發生各種新病毒及繁衍變異。用戶在系統中安裝了防火牆後，卻難以避免垃圾郵件、病毒傳播和拒絕服務的侵擾。入侵檢測技術在提前預警、精確定位、實時交互、整體性、漏報誤報率和全局管理等方面存在著先天不足。另外，內網的安全還包含安全策略的執行、外來非法侵入、補丁更新及合規管理等問題。
摘自：網路安全技術與實踐，賈鐵軍主編，高等教育出版社2014.8

Ⅵ 中國網路安全現狀

2021年7月20日，新浪科技發文稱iPhone手機存在安全隱患，Pegasus惡意軟體可能會入侵用戶的iPhone手機，竊取用戶的信息和郵件，甚至可以控制手機的麥克風和攝像頭，大數據時代用戶或無隱私可言。

實際上，我國對打擊大數據泄露安全事件有著強大的決心和執行力，在滴滴事件之後，國家網信辦依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》《中華人民共和國數據安全法》等法律法規修訂了《網路安全審查好辦法》，向社會公開徵求意見，擬規定掌握超百萬用戶信息國外上市須審查。

由此可見，在我國互聯網高速發展的時代，用戶數據的監管變得越來越困難，此次網信辦修訂《網路安全審查辦法》凸顯了我國對收集隱私數據行為嚴厲打擊的決心。

網路安全行業主要企業：目前國內網路安全行業的主要企業有深信服(300454)、安恆信息(688023)、綠盟科技(300369)、啟明星辰(002439)、北信源(300352)等。

1、iPhone存在漏洞對用戶數據安全造成威脅

2021年7月20日，新浪科技發文稱iPhone存在漏洞，Pegasus惡意軟體在用戶不點擊鏈接的情況下也可以入侵用戶的手機，竊取信息和郵件，甚至可以操控用戶的攝像頭，此消息一出，網友大呼大數據時代無隱私可言，網路安全問題堪憂，實際上，在我國對網路安全問題有著強大的決心，滴滴事件之後，國家網信辦依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》《中華人民共和國數據安全法》等法律法規修訂了《網路安全審查好辦法》，向社會公開徵求意見，擬規定掌握超百萬用戶信息國外上市須審查。

由此可見，在我國互聯網高速發展的時代，用戶數據的監管變得越來越困難，此次網信辦修訂《網路安全審查辦法》凸顯了我國對收集隱私數據行為嚴厲打擊的決心。

綜合來看，滴滴事件對國家數據安全層面敲起了警鍾，而iPhone此次網路安全漏洞問題針對個人數據安全問題敲響了警鈴，相信未來隨著我國網路安全相關法案的不斷完善，我國個人網路安全問題將得到有效的保護。

—— 以上數據參考前瞻產業研究院《中國網路安全行業發展前景預測與投資戰略規劃分析報告》

Ⅶ 計算機網路技術的現狀及發展趨勢

這些年來中國信息技術的變革也是全球信息產業變革調整的一個重要的組成部分。20世紀90年代是全球電信和IT產業迅速發展的時期，這一發展過程實際上遠遠超過了當時國民經濟和社會進步的整體速度。結果是中國電信網路的發展非常普及，現在電話的用戶數（包括行動電話）超過了5億戶。從全球來講，美國電信產業從1984年AT＆T分解之後開始產生了巨大的變革，美國的迅速發展導致電信設備的研製、電信網路的建設已經遠遠超過了當時信息應用的消耗量，使網路設備和網路基礎設施大量過剩，直接的結果是導致大量的電信公司陷入了破產或經營不善的境地。

在我國可看到這樣幾個趨勢：一個就是電視、計算機和其他消費家電的融合以及信息技術與通信領域技術的融合，使傳統通信領域的游戲規則和競爭格局發生了根本的改變。我們國家已經由原來以中國電信一家獨大的狀態演變成幾家大運營商在網路運營方面共同競爭的狀態，在信息服務方面有多家信息服務提供運營商在進行全方位的競爭；產業間融合的趨勢正逐步加快，創造了更多的產業發展機會，產業融合使整個消費電子類產品已經成為各個企業爭奪非常集中的焦點，如智能手機、數字電視、移動電視和數碼產品等。剛才我談到了美國、英國等一些國家，如沃達豐、BT等，因在電信方面過分的投入，以及後來在管治政策方面出現嚴重問題，主要是在移動牌照拍賣方面導致企業負擔沉重，使得這些電信運營企業不得不低價變賣他們的通信網路。這反過來給了中國、日本、韓國這些後發展起來的IT大國很好的機會。最近中國網通集團收購了環球亞洲電訊的整體網路，中國運營商不僅僅在國內提供電信服務，也在立足於面向未來，逐步開始向全球提供電信服務和網路接入服務，這也是一個很好的趨勢。從信息技術來講，全球的IT製造業逐步向中國轉化，一個是由於中國有廉價的勞動力，再一個就是近些年中國工人的水平和整個IT技術水平的迅速提高，使得中國作為全球IT製造業基地的形象正逐步地確立起來。從IT業市場來講，中國已經成為全球最大的IT產業市場，吸引全世界的設備製造商、終端製造商、技術的研發機構將關注的焦點放到了中國地區。新技術的應用在中國取得了快速的增長，如大家普遍使用的快閃記憶體只用了兩年時間就迅速應用起來。還有象QQ，QQ實際上是廣東電信的一個課題組研究的一個小項目——即時通信，去年已經突破了5個億的收入，在互聯網上產生的巨大的影響。

在面向全球的信息技術產業變革和調整的過程當中，中國信息產業保持比較理性和穩健的步伐，使中國電信運營商在全球動盪的情況下保持了持續的增長。中國互聯網信息服務提供商在全球IT產業陷入冰河期的時候僅僅經過一年多的時間就已經開始從谷底走出來，進入一個春天。中國設備製造商在全球IT業不景氣的情況下，能夠迅速抓住時機，現在在互聯網的高、中、低端設備方面擁有了自主知識產權的產品，為我們下一步的發展確立了很好的基礎和地位。另外，中國這幾年網路設備的快速增長，包括終端市場，在今後一兩年內還會保持持續增長，而且這種持續是受前幾年增長的帶動。在前不久我們有一個分析，在今年年底明年年初，中國網民將近達到一個億。這第一個一個億是比較容易實現的，達到二個億就比較難了。這就需要城市的應用、互聯網的應用、IT技術的應用以及網路與大家的工作生活結合起來成為大家必不可少的一部分時才有可能達到。在達到第二個億之後，要達到第三個或第四個億就非常費勁。因為從整體上來講，國民收入、國民經濟的整體發展水平必須達到相適應的一個地步，互聯網的發展依託於國民經濟的整體發展水平，而我們現在實際上是超前於國民經濟發展。從未來來看，我們應該很清楚，當網民數量達到第三個億或第四個億，當網路運營商建設網路規模時，互聯網的發展也會受到國民經濟整體發展水平的影響。現在建設的IPv4的網路僅僅是中國電信在國內的帶寬總量就超過了2500個G，這是一個非常大的數量，上面可承載的信息內容和可以為公眾提供的服務是非常大的。2500個G的概念是如果家庭上網使用專用1兆的帶寬，那麼它可為2500萬用戶提供服務。實際上大家使用的都是共享帶寬，而且日常家庭上網的基本功用已經基本滿足大家的使用。在2005、2006年之後，IPv4網路建設的速度也將放緩。同時大家可以看到，IPv6的建設正在逐步展開，幾大運營商，包括教育網、科技網等等都已經參與到IPv6實驗網的建設當中去。隨著實驗的進行，商用實驗網將很快推出，按照中國電信、網通、移動這幾大運營商習慣來看，推出的速度會非常快。我們初步估計在2010年前後，IPv6將占據國內互聯網的主流。同時大家應該看到IPv4不會退出這個市場，在相當長的一個時期內兩種制式都會保留。因為在網路設備上，IP v4、IPv6雙棧路由器已經非常普遍，高端路由器的開發已經非常成熟，因此使用IPv6不會影響IPv4業務的開展。

我們返回來看，10年來中國互聯網的發展成績巨大、輝煌。互聯網給中國的老百姓提供了一個了解世界的信息平台，在這個信息平台上，由中國的網民、中國的老百姓自己去選擇了解什麼東西。在傳統上，我們所接受的信息從報紙、廣播、電視到互相交流所得到信息都是單向式的。從幾千年的傳統觀念來講，大家接受信息的模式是大家很關注、很相信、很接受自上而下的信息傳遞方式。但互聯網的出現使人們具有一個平等的平面的獲取信息的渠道，獲取信息又使人們認識到什麼是信息，哪些信息是自己所需要的。同時人們獲取信息時會發現在發布信息、獲取信息過程當中自己應該擁有的權力，進而人們發現了自己在社會當中應該擁有的權力。我覺得這是互聯網對中國社會和普通老百姓在思維、意識和創新的觀念上帶來的巨大改變。現在大家以平常心態看待網上出現的QQ、ICQ或網上社區，而在10年前我們看待這些新鮮事務的時候首先要看這些是不是政府認可的或者是不是大家的公共觀念可以接受的。現在，我們對於創新的想法，對於創新的意識和觀念與以往具有本質的不同。網路給予大家一種在網上平等交流、平等溝通、平等獲取信息的權力，而這種權力是以往任何一種媒體不具備的，也不能夠給予中國老百姓的。它從根本上改變了中國人幾千年根深蒂固的封建意識帶給大家的思維定勢。互聯網的發展真正能夠使中國13億人的智慧為中國的未來發展創造出無窮的力量。這種平等的平台為大家提供了實現的機會。

同時我們應該看到互聯網的迅速發展帶來許多問題。我們在網路資源方面非常緊張，只有5000萬的資源，卻有將近1個億的用戶。通過向APNIC、Verisign申請，我們已經與Verisign公司達成協議，將Verisign的一個伺服器移至中國境內，這對於我們國內互聯網的互通具有十分重要的意義。

在互聯網的資源、互聯網市場經營模式、管理方面、業務規范、上網行為規范等方面都存在一些問題。我們國內的從業者在互聯網的發展過程中在不斷地探索如何找到適合自己的經營模式，如何找到適合自己發展的生存方式。在前不久的互聯網大會上，各方面的專家和業界的精英與領袖們都在這方面進行針鋒相對的探索，在網上也有熱烈的反映。另一方面，政府制訂信息網路化發展的政策也是一個逐步探索逐步成熟的過程。我們很早就明確了「積極發展、加強管理、趨利避害、為我所用」這樣一個方針，但在具體執行過程中，網上的許多業務仍然存在主管部門的職能交叉、分工不清的問題，也導致網路發展和管理當中出現了一些問題，這也是政府從國家整體戰略上對互聯網管理和互聯網發展逐步思索、探索得越來越清楚的過程。在制定政策、法規、行為規范方面會有更加成熟、寬松和適合網路發展的政策和措施出台。

網路安全方面的問題應該是非常嚴重的，黑客攻擊行為、網上盜竊、網上欺詐、網路病毒這些問題非常多。網路運營商的經營已經形成了大家比較固定的觀念，比較有保障。但信息服務提供商盈利模式相對來說比較單調，這會影響他們長期的發展和服務的提供。網上的垃圾信息和有害信息還比較多。今年6月10日，我們開通了中國互聯網協會的新聞信息服務工作委員會，開通了違法和不良信息的舉報中心網站。網站開通之後，全社會產生了積極的響應，我們及時向相關政府主管部門匯報了情況，十幾個部委聯合採取了對於網上不良信息尤其色情網站色情信息的治理。這適應了社會公眾和網民的需要，也是社會共同的呼聲。協會對反垃圾郵件也開展了工作，包括推動政府立法、組織技術交流、加強國際合作。在7月初我們有一個統計，全球垃圾郵件的頭號輸出國是美國，它的垃圾郵件數量佔73%到74%；全球垃圾郵件伺服器頭號大國是中國，因為用戶收到垃圾郵件當中74%是從中國的郵件伺服器傳遞給他們的。我昨天剛剛得到一個統計數字，經過政府、企業和行業組織的治理，垃圾郵件伺服器頭號大國已經不是中國而是韓國了，韓國已經佔到全球垃圾郵件伺服器的47%，中國已從73%、74%下降到31%。這是政府、業內、行業組織採取了大量的行動之後取得了一定的成果，尤其是省及市、縣級的相關部門對伺服器和IDC機房進行檢查之後取得了成效。

現在中文信息資源還存在很大不足。前兩年曾有一個口號，是某家公司做過廣告——「到2007年中文將成為網上第一大語言」，而現在網上中文信息資源只佔全球3%，即使每年翻倍，到2007年也達不到目標。我們希望國內信息服務提供商、信息資源的開發者加快信息資源開發，不論是從網上信息陣地的佔領、為下一代青少年服務、提供網路業務等諸多角度來講，我們現在必須加快信息資源的開發與利用，尤其是網路科普聯盟組織的青少年健康網路行活動中介紹的網上博物館、網上圖書館等這類網上應用。將來要加大投入，加大在這方面的開發，一方面要通過違法不良信息舉報制止有害信息對青少年成長中的侵蝕，另一方面也要向他們提供有益的健康的信息，讓他們在成長過程中獲得有益的知識，這樣互聯網才能得到健康的發展。

網上行為也要逐步地進行規范。美國這種網上自由、無管理、無法律的觀念還是深入人心的，深入全球的，大家曾認為互聯網上的任何行為就不應該受到任何規范，不應該有管理。現在出現的問題使大家越來越多地意識到確實需要對網上行為進行規范和管理。網上行為同樣應該遵守現實生活中的道德規范，同樣應該受現實社會規則的約束，網上出現的網路濫用行為是利用了網上的優良特質，從業者、行業組織、政府還需要採取進一步的行動。我們在9月2日公布了中國互聯網協會的互聯網公共電子郵件服務規范，可以說這是國內乃至全世界第一個在互聯網應用方面提出的從業規范。我們與國際上也進行了多次溝通，電子郵件雖然是最普及的應用，但解決垃圾郵件問題非常復雜，涉及到網路的管理、技術、規范。美國在今年1月1日公布了反垃圾郵件法案之後，垃圾郵件反而以每月2%的比率持續上漲，這說明沒有同業的積極參與和各個方面的積極支持配合，僅靠法律是不能解決這些問題的。所以我們公布的電子郵件規范力圖在互聯網的應用服務領域立下第一個規矩，供應商清楚電子郵件服務應有質量和保證；用戶在享受電子郵件服務時，不論是收費的還是免費的，了解自己的義務和權力，使大家能夠在這方面建立起規范的意識。現已有14家企業書面明確表示他們自願參與和遵守服務規范，這些企業提供服務的用戶數已經佔到了國內電子郵件注冊用戶數的80%以上，這件事情還要持續深入地推進下去。電子郵件服務規范是一個起步，我們還會在互聯網上的其它各個方面逐步規范服務，讓互聯網用戶相信網上提供的服務是可以信賴的，使互聯網不再是家長的敵人。在網路變得可信和讓人放心之後，家長和老師才能放心讓孩子自由地在網上沖浪。

網路濫用行為已經是全球化的一個趨勢。現在已形成國際垃圾郵件發送者組織，由垃圾郵件的製造者、訂單採集者、他的合夥人一起通過這種方式將垃圾郵件發送給世界各地，規避各國已經制訂的反垃圾郵件法律。例如，他們從美國接受全球訂單，搜集整理電子郵件地址，再發到加拿大中介人那裡，由中介人分配訂單並制訂結算辦法，中介人再把訂單發到中國或韓國，由他的合作者或代理人通過在國內注冊的大量域名和虛擬主機轉發垃圾郵件回美國。轉發回美國的目的就是為了規避美國國內已經制訂的法律。垃圾郵件僅僅是其中的一個問題，網上的濫用行為使互聯網上全球化和國際性的犯罪組織正逐步形成。所以在這個階段我們要在反對網上濫用行為的立法、管理和政策等一系列方面加快採取措施。隨著垃圾郵件的出現，又出現了一些反垃圾郵件組織，他們公布黑名單，試圖把垃圾郵件擋在自己的郵箱用戶之外，但由於公布黑名單在全球沒有形成一個統一的規范和基本規則，所以公布的黑名單在很多情況下是公布了大量的IP地址段。中國互聯網協會也在公布黑名單，是哪一個地址發了垃圾郵件就公布哪一個地址。而Spamhaus和Spamcop這些組織公布的黑名單是一段一段的地址段，這些地址段中有可能包括128個、256個甚至幾萬個中國的IP地址，他認為在這些IP地址段中有一些相連的地址發出了垃圾郵件，所以整個地址段都被當作是垃圾郵件的發送源。全世界幾十萬個郵件服務商就會根據他公布的IP地址把中國這個地址段的信息全部屏蔽掉。在這個網段上我們確實有個別用戶，比如幾個或十幾個用戶發送了垃圾郵件，其結果是導致這個網段上幾十萬甚至上百萬用戶正常的郵件通信被中斷。所以我們既要制定反垃圾郵件的政策，又要向國際呼籲和反復溝通，反對公布地址段的辦法。因為在地址資源分配時對中國就不公平，我們有大量的動態IP地址在使用，這不僅僅是對中國，對發展中國家都是不公平的。七月份我們參與ITU會議時，尚比亞代表站起來就說反對垃圾郵件的行為我們支持，但是現在出現發達國家向發展中國家轉嫁垃圾郵件的問題。尚比亞全國的IP地址已經全部被列入黑名單，它所有的對外通信已經全部被阻斷了。發達國家有很充足的IP地址，它並不擔心某一地址段有問題，而且它很少使用動態IP。只有IP地址不充足的國家才面臨這些問題，這不公平也不公正。互聯網上盡管有很多好的東西，但是有許多東西是大家平常不會遇到的，背後是國與國之間經濟利益、各個方面利益的沖突。

未來比較明顯的趨勢是寬頻業務和各種移動終端的普及，如可照相手機越來越多，實際上這對網路帶寬和頻譜產生了巨大的需求。整個寬頻的建設和應用將進一步推動網路的整體發展。IPv6和網格等下一代互聯網技術的研發和建設將在今後取得比較明顯的進展。另一方面，從去年我們組織「中國互聯網發展報告」的過程中看到，中國互聯網的製造業在網路設備方面的研發已經取得了很多突破，包括現在在高、中、低端路同器產品方面都已經有具有自主知識產權的產品出現。我們現在有許多郵件服務商、技術提供商在網路標准方面進行積極的研究和開發。這個方面是我們在國際方面要加強的內容。另一方面是互聯網和傳統產業更加緊密地結合起來，這種結合隨著電子政務的普及、隨著相關法律措施的完善，象前一段時間通過的電子簽名法，逐步使得電子商務真正能夠在建立了社會信用機制的基礎之上開展起來。大量電子社區的出現也使互聯網的應用也越來越廣泛。互聯網經營和生存的模式也將更加豐富。互聯網產業的從業者以今後的發展具有堅定的信息。從以往看，大家在網上更多的是瀏覽信息、使用電子郵件、玩網路游戲，把互聯網更多地當作自己的一個高級的信息技術玩具，隨著互聯網的發展，玩具能夠變成工具，成為人們日常生活、工作離不開的工具。電子政務的推進會推動這樣一個進程。網路服務會逐步規范化，這個規范是一個長期的過程，不是一兩天就能實現的，也不是政府下達文件指令或行業組織號召一下就能實現的，它需要從業者的認識，當大家都意識到，當大家都規范起來並能夠在這個產業里很好地生存時，這個規范才有實際的價值。網路的應用也更加開放，這個開放指的是各個方面，包括社會事務方面，有許多政府網站已經將其事務到網站上去，如徵求意見、地方基層選舉等，這些使網路的應用更加開放和多樣化。盡管對網路安全技術的研究越來越深入，但是網路自身的特點，即它的簡單性、便宜性，使得它的安全問題仍然很突出。尤其是IPv6出現以後，它的安全性、服務質量會有更大提高，在將來一段時間針對IPv6的網路安全問題也會出現。我們希望網路信息要人為本，尤其是今年互聯網大會的一個主題是構建一個繁榮誠信的互聯網，互聯網做為一個信息平台它的用戶主流50%以上是30歲以下青少年，那麼為青少年建設的網路應該是一個可信、健康的網路，它應該成為青少年成長過程中的朋友和助手。科普網站和提供精神食糧信息資源開發的單位在這方面還要做大量的工作。希望學校老師、家長成為應用互聯網的行家裡手，不應該害怕使用互聯網。現在孩子對互聯網的使用要比家長熟練，這也是家長不讓孩子上網的一個重要原因。我們希望將來家長了解哪些網站對孩子是有益的，能夠指導他們瀏覽什麼樣的網站。這樣，學校老師和家長對互聯網學習將成為熱潮。PFP業務將來對網路結構和網路安全會產生重大影響，這是互聯網技術開發和政策管制部門所關心的。網路教育將是下一個互聯網業務的熱點問題，網路搜索，大容量電子郵件，電子商務平台，移動互聯網，無線區域網，網路資源信息開發等業務都將成為互聯網業務的熱點問題。功能比較強大的個人終端以及共享信息資源這些將來會出現。
參考資料：http://www.kepu629.cn/showthread.asp?id=49&thistype=%D1%A7%CA%F5%BD%BB%C1%F7

Ⅷ 計算機安全發展現狀

隨著網路技術的迅速發展和網路應用的廣泛普及,網路安全問題日益突出。如何對網路
上的非法行為進行主動防禦和有效抑制,是當今亟待解決的重要問題。本期專題就計算機網
絡安全研究的現狀、發展動態以及相關的理論進行了論述,並介紹了幾種計算機安全模型及
開發方法。

1.開放式互聯網路的安全問題研究 本文介紹了計算機安全研究的現狀和發展動態,並對
公鑰密碼體制和OSI的安全體系結構進行了詳細的分析。

2.計算機安全模型介紹 存取控制模型和信息流模型是計算機安全模型的兩大主流,作者
在文章中對此分別做了介紹。

3.計算機安全策略模型的開發方法 本文涉及兩類安全模型的開發方法,即函數型方法和
關系型方法,文中詳細敘述了這兩類開發方法中的狀態機模型與邊界流方法開發的具體步驟
。

4.Internet上防火牆的實現 目前,防火牆已成為實現網路安全策略最有效的工具之一。
防火牆的體系結構是什麼?防火牆有幾種類型?作者將在文章中做介紹。開放式互聯網路的安
全問題研究
上海交通大學金橋網路工程中心 余巍 唐冶文 白英彩

一、開放系統對安全的需求
當前,我國正處在Internet的應用熱潮中,隨著國民經濟信息化的推進,人們對現代信息
系統的應用投入了更多的關注。人們在享受網路所提供的各種好處的同時,還必須考慮如何
對待網上日益泛濫的信息垃圾和非法行為,必須研究如何解決Internet上的安全問題。
眾所周知,利用廣泛開放的物理網路環境進行全球通信已成為時代發展的趨勢。但是,如
何在一個開放的物理環境中構造一個封閉的邏輯環境來滿足集團或個人的實際需要,已成為
必須考慮的現實問題。開放性的系統常常由於節點分散、難於管理等特點而易受到攻擊和蒙
受不法操作帶來的損失,若沒有安全保障,則系統的開放性會帶來災難性的後果。
開放和安全本身是一對矛盾,如何進行協調,已成為我們日益關心的問題。因此,必須對
開放系統的安全性進行深入和自主的研究,理清實現開放系統的安全性所涉及的關鍵技術環
節,並掌握設計和實現開放系統的安全性的方案和措施。

二、計算機安全概論
在現實社會中會遇到各種威脅,這些威脅來自各方面,有些是由於我們自身的失誤而產生
的,有些是各種設施和設備失常而造成的,也有一些是由各種自然災害引起的。這些危害的一
個共同特點是"被動的",或者說是帶有偶然性的,它不屬於本文所要研究的范疇。最危險的威
脅是"主動的"。所謂"主動威脅"是指人故意做出的,這些人出於各種各樣的目的,他們的目標
就是要使對手蒙受損失,自己獲得利益。 計算機安全包括:
·計算機實體的安全 如計算機機房的物理條件及設施的安全標准、計算機硬體的安裝
及配置等。
·軟體安全 如保護系統軟體與應用軟體不被非法復制、不受病毒的侵害等 。
·計算機的數據安全 如網路信息的數據安全、資料庫系統的安全。
·計算機的運行安全 如運行時突發事件的安全處理等。包括計算機安全技術、計算機
安全管理和計算機安全評價等內容。
對於計算機網路的安全問題,一方面,計算機網路具有資源的共享性,提高了系統的可靠
性,通過分散負荷,提高了工作效率,並具有可擴充性;另一方面,正是由於這些特點,而增加了
網路的脆弱性和復雜性。資源的共享和分布增加了網路受攻擊的可能性。現在的網路不僅有
區域網(LAN),還有跨地域採用網橋(Bridge)、網關(Gateway)設備、數據機、各種公用
或專用的交換機及各種通信設備,通過網路擴充和異網互聯而形成的廣域網(WAN)。由於大大
增加了網路的覆蓋范圍和密度,更難分清網路的界限和預料信息傳輸的路徑,因而增加了網路
安全控制管理的難度。
計算機網路系統的安全性設計和實現包括以下五個因素:
·分析安全需求 分析本網路中可能存在的薄弱環節以及這些環節可能造成的危害和由
此產生的後果。
·確定安全方針 根據上述安全需求分析的結果,確定在網路中應控制哪些危害因素及
控製程度、應保護的資源和保護程度。
·選擇安全功能 為了實現安全方針而應具備的功能和規定。
·選擇安全措施 實現安全功能的具體技術和方法。
·完善安全管理 為有效地運用安全措施,體現安全功能,而採取的支持性和保證性的技
術措施,包括有關信息報告的傳遞等。
本文主要討論網路資源的安全性,尤其是網路在處理、存儲、傳輸信息過程中的安全性
,因此,衡量網路安全性的指標是可用性、完整性和保密性。
·可用性(Availability) 當用戶需要時,就可以訪問系統資源。
·完整性(Integrity) 決定系統資源怎樣運轉以及信息不能被未授權的來源替代和破壞
。
·機密性(Confidentiality) 定義哪些信息不能被窺探,哪些系統資源不能被未授權的
用戶訪問。
任何信息系統的安全性都可以用4A的保密性來衡量,即:
·用戶身份驗證(Authentication) 保證在用戶訪問系統之前確定該用戶的標識,並得
到驗證(如口令方式)。
·授權(Authorization) 指某個用戶以什麼方式訪問系統。
·責任(Accountablity) 如檢查跟蹤得到的事件記錄,這是業務控制的主要領域,因為
它提供證據(Proof)和跡象(Evidence)。
·保證(Assurance) 系統具有什麼級別的可靠程度。

三、計算機安全研究的現狀與發展動態
60年代以前,西方注意的重點是通信和電子信號的保密。60年代中期,美國官方正式提出
計算機安全問題。1981年美國成立了國防部安全中心(NCSC),1983年正式發布了《桔皮書》
,此書及以後發布的一系列叢書,建立了有關計算機安全的重要概念,影響了一代產品的研製
和生產,至今仍具有權威性。 ISO在提出OSI/RM以後,又提出了ISO/7498-2(安全體系結構)。
另外,從80年代中期開始,CEC(Commission of European Communications)以合作共享成果
的方式進行了一系列工作,探討和研究了適用於開放式計算機系統的環境和可集成的安全系
統。 隨著Internet網上商業應用的發展,發達國家開始了防火牆的研究和應用工作。
近年來,國內外在安全方面的研究主要集中在兩個方面:一是以密碼學理論為基礎的各種
數據加密措施;另一是以計算機網路為背景的孤立的通信安全模型的研究。前者已更多地付
諸於實施,並在實際應用中取得了較好的效果;而後者尚在理論探索階段,且不健全,特別是缺
乏有機的聯系,僅局限於孤立地開展工作。ISO在1989年提出了一個安全體系結構,雖然包括
了開放式系統中應該考慮的安全機制、安全管理以及應提供的安全服務,但只是一個概念模
型,至今仍未能有真正適用於實際的形式化的安全模型。盡管如此,眾多的學者和科研機構在
此基礎上還是進行了許多有益的探索。
對於分布式安全工程的實施,MIT於1985年開始進行Athena工程,最終形成了一個著名的
安全系統Kerb-deros。這個系統是一個基於對稱密碼體制DES的安全客戶服務系統,每個客戶
和密鑰中心公用一個密鑰。它的特點是中心會記住客戶請求的時間,並賦予一個生命周期,用
戶可以判斷收到的密鑰是否過期。它的缺點在於,網上所有客戶的時鍾必須同步。另外,它忽
略了一個重要的問題———安全審計。在網路環境下,必須考慮多級安全的需要,如美國軍用
DDN網的多級安全性研究。此外,還應考慮不同域之間的多級安全問題。由於各個域的安全策
略有可能不同,因此,必須考慮各個域之間的協調機制,如安全邏輯和一致性的訪問控制等。

Internet的基礎協議TCP/IP協議集中有一系列缺陷,如匿名服務及廣播等,因此,可能會
導致路由攻擊、地址欺騙和假冒身份所進行的攻擊。為此,提出了大量的RFC文檔,表明了TC
P/IP協議和Internet之間密不可分的關系。隨著應用的深入,TCP/IP中的各種問題首先在In
ternet上發現,並在實際中得到了解決。有的學者考慮到Unix環境下的遠程過程調用中,採用
UDP方式易受到非法監聽,以及DES演算法密鑰傳輸的困難性,建議採用公鑰體制。
有關Internet的安全應用,已有大量的文獻報導。如採用一個能提供安全服務並適用於
開放式環境的企業集成網EINET,它根據Internet的服務是採用Client/Server結構的特點,向
用戶提供一個"柔性"的安全框架,既能兼顧安全性又能兼顧開放性,使用戶不會因為安全機制
的提供而影響對網上數據的正常訪問。它以OSI的安全體系為基礎,構造了一個三層的安全體
系結構,即安全系統、安全操作和安全管理。最後,將安全系統集成到Internet上的各種應用
中,如FTP、Telnet、WAIS和E-mail等。又如,對Internet上的各種瀏覽工具Gopher、WAIS和
WWW的安全性提出了建議,像末端用戶認證機制、訪問控制、數據安全及完整性,等等。考慮
到Client/Server結構的特點,可以運用對象管理組(Object Management Group)實施多級分
布式安全措施,並提出一個基於OSI考慮的通用的安全框架,將安全模塊和原有的產品進行集
成。
在有的文獻中討論了公用交換電信網在開放環境下所面臨的威脅,並在政策措施方面提
出公司應與政府合作,通過OSI途徑,開發實用的工具,進行公用網的安全管理。同時指出了在
分布式多域的環境下,建立一個國際標準的分布式安全管理的重要性,並著重從分布式管理功
能服務的角度進行了闡述。由於網路的開放性和安全性是一對矛盾,所以,必須對在網路通信
中,由於安全保密可能引起的一系列問題進行探討。現在,網路上採用的安全信關設備只能保
證同一級別上保密的有效性,對於不同級別的用戶必須進行協議安全轉換,因此而形成網路通
信的瓶頸。因此,採用保密信關設備進行互聯只是權宜之計。要解決這個問題,就必須從網路
的安全體繫上進行考慮。目前,高速網的安全問題已經逐漸被人們所重視,如ATM和ISDN網路
安全性研究等。主要的研究問題有:高性能快速加密演算法的研究、信元丟失對密碼系統的影
響等。
在一個安全系統中,除了加密措施外,訪問控制也起很重要的作用。但是,一般的訪問控
制技術,如基於源、目的地址的網關節點上的濾波技術,由於處於網路層,不能對應用層的地
址信息進行有意義的決策,因而不能對付冒名頂替的非法用戶。另外,由於常見的訪問控制矩
陣比較稀疏,增加用戶項時效率不高,而且不能進行有效的刪除操作。因此,應該研究一種有
效的動態訪問控制方法。

四、公鑰密碼體制
計算機網路安全的發展是以密碼學的研究為基礎的。隨著密碼學研究的進展,出現了眾
多的密碼體制,極大地推動了計算機網路安全的研究進程。

1.對稱密碼體制
一個加密系統,如果加密密鑰和解密密鑰相同,或者雖不相同,但可以由其中一個推導出
另一個,則是對稱密碼體制。最常見的有著名的DES演算法等。其優點是具有很高的保密強度,
但它的密鑰必須按照安全途徑進行傳遞,根據"一切秘密寓於密鑰當中"的公理,密鑰管理成為
影響系統安全的關鍵性因素,難於滿足開放式計算機網路的需求。
DES是一種數據分組的加密演算法,它將數據分成長度為64位的數據塊,其中8位作為奇偶校
驗,有效的密碼長度為56位。首先,將明文數據進行初始置換,得到64位的混亂明文組,再將其
分成兩段,每段32位;然後,進行乘積變換,在密鑰的控制下,做16次迭代;最後,進行逆初始變
換而得到密文。
對稱密碼體制存在著以下問題:
·密鑰使用一段時間後就要更換,加密方每次啟動新密碼時,都要經過某種秘密渠道把密
鑰傳給解密方,而密鑰在傳遞過程中容易泄漏。
·網路通信時,如果網內的所有用戶都使用同樣的密鑰,那就失去了保密的意義。但如果
網內任意兩個用戶通信時都使用互不相同的密鑰,N個人就要使用N(N-1)/2個密鑰。因此,密
鑰量太大,難以進行管理。
·無法滿足互不相識的人進行私人談話時的保密性要求。
·難以解決數字簽名驗證的問題。

2.公鑰密碼體制
如果將一個加密系統的加密密鑰和解密密鑰分開,加密和解密分別由兩個密鑰來實現,並
且,由加密密鑰推導出解密密鑰(或由解密密鑰推導出加密密鑰)在計算上是不可行的,一般系
統是採用公鑰密碼體制。採用公鑰密碼體制的每一個用戶都有一對選定的密鑰,一個可以公
開,一個由用戶秘密保存。公鑰密碼體制的出現是對現代密碼學的一個重大突破,它給計算機
網路的安全帶來了新的活力。
公鑰密碼體制具有以下優點:
·密鑰分配簡單。由於加密密鑰與解密密鑰不同,且不能由加密密鑰推導出解密密鑰,因
此,加密密鑰表可以像電話號碼本一樣,分發給各用戶,而解密密鑰則由用戶自己掌握。
·密鑰的保存量少。網路中的每一密碼通信成員只需秘密保存自己的解密密鑰,N個通信
成員只需產生N對密鑰,便於密鑰管理。
·可以滿足互不相識的人之間進行私人談話時的保密性要求。
·可以完成數字簽名和數字鑒別。發信人使用只有自己知道的密鑰進行簽名,收信人利
用公開密鑰進行檢查,即方便又安全。
由於具有以上優點,在短短的幾十年中,相繼出現了幾十種公鑰密碼體制的實現方案。如
:W·Deffie和M·E·Hellmanbit提出了一種稱為W·Deffie和M·E·Hellman協議的公鑰交換
體制,它的保密性是基於求解離散對數問題的困難性;Rivest、Shamir和Adleman提出了基於
數論的RSA公鑰體制,它的依據是大整數素因子的分解是十分困難的;我國學者陶仁驥、陳世
華提出的有限自動機密碼體制,是目前唯一的以一種時序方式工作的公鑰體制,它的安全性是
建立在構造非線性弱可逆有限自動機弱逆的困難性和矩陣多項式分解的困難性上的;Merkle
和Herman提出了一種將求解背包的困難性作為基礎的公鑰體制。此外,在上述基礎上還形成
了眾多的變形演算法。

五、ISO/OSI安全體系結構
安全體系結構、安全框架、安全模型及安全技術這一系列術語被認為是相互關聯的。安
全體系結構定義了最一般的關於安全體系結構的概念,如安全服務、安全機制等;安全框架定
義了提供安全服務的最一般方法,如數據源、操作方法以及它們之間的數據流向;安全模型是
表示安全服務和安全框架如何結合的,主要是為了開發人員開發安全協議時採用;而安全技術
被認為是一些最基本的模塊,它們構成了安全服務的基礎,同時可以相互任意組合,以提供更
強大的安全服務。
國際標准化組織於1989年對OSI開放互聯環境的安全性進行了深入的研究,在此基礎上提
出了OSI安全體系,定義了安全服務、安全機制、安全管理及有關安全方面的其它問題。此外
,它還定義了各種安全機制以及安全服務在OSI中的層位置。為對付現實中的種種情況,OSI定
義了11種威脅,如偽裝、非法連接和非授權訪問等。

1.安全服務
在對威脅進行分析的基礎上,規定了五種標準的安全服務:
·對象認證安全服務 用於識別對象的身份和對身份的證實。OSI環境可提供對等實體認
證和信源認證等安全服務。對等實體認證是用來驗證在某一關聯的實體中,對等實體的聲稱
是一致的,它可以確認對等實體沒有假冒身份;而數據源點鑒別是用於驗證所收到的數據來源
與所聲稱的來源是否一致,它不提供防止數據中途修改的功能。
·訪問控制安全服務 提供對越權使用資源的防禦措施。訪問控制可分為自主訪問控制
和強制型訪問控制兩類。實現機制可以是基於訪問控制屬性的訪問控製表、基於安全標簽或
用戶和資源分檔的多級訪問控制等。
·數據保密性安全服務 它是針對信息泄漏而採取的防禦措施。可分為信息保密、選擇
段保密和業務流保密。它的基礎是數據加密機制的選擇。
·數據完整性安全服務 防止非法篡改信息,如修改、復制、插入和刪除等。它有五種形
式:可恢復連接完整性、無恢復連接完整性、選擇欄位連接完整性、無連接完整性和選擇字
段無連接完整性。
·訪抵賴性安全服務 是針對對方抵賴的防範措施,用來證實發生過的操作。可分為對發
送防抵賴、對遞交防抵賴和進行公證。

2.安全機制
一個安全策略和安全服務可以單個使用,也可以組合起來使用,在上述提到的安全服務中
可以藉助以下安全機制:
·加密機制 藉助各種加密演算法對存放的數據和流通中的信息進行加密。DES演算法已通過
硬體實現,效率非常高。
·數字簽名 採用公鑰體制,使用私有密鑰進行數字簽名,使用公有密鑰對簽名信息進行
證實。
·訪問控制機制 根據訪問者的身份和有關信息,決定實體的訪問許可權。訪問控制機制的
實現常常基於一種或幾種措施,如訪問控制信息庫、認證信息(如口令)和安全標簽等。
·數據完整性機制 判斷信息在傳輸過程中是否被篡改過,與加密機制有關。
·認證交換機制 用來實現同級之間的認證。
·防業務流量分析機制 通過填充冗餘的業務流量來防止攻擊者對流量進行分析,填充過
的流量需通過加密進行保護。
·路由控制機制 防止不利的信息通過路由。目前典型的應用為IP層防火牆。
·公證機制 由公證人(第三方)參與數字簽名,它基於通信雙方對第三者都絕對相信。目
前,Internet上的許多Server服務都向用戶提供此機制。

3.安全管理
為了更有效地運用安全服務,需要有其它措施來支持它們的操作,這些措施即為管控。安
全管理是對安全服務和安全機制進行管理,把管理信息分配到有關的安全服務和安全機制中
去,並收集與它們的操作有關的信息。
OSI概念化的安全體系結構是一個多層次的結構,它本身是面向對象的,給用戶提供了各
種安全應用,安全應用由安全服務來實現,而安全服務又是由各種安全機制來實現的。如圖所
示。
@@05085000.GIF;圖1 OSI安全系統層次結構@@
OSI提出了每一類安全服務所需要的各種安全機制,而安全機制如何提供安全服務的細節
可以在安全框架內找到。
一種安全服務可以在OSI的層協議上進行配置。在具體的實現過程中,可以根據具體的安
全需求來確定。OSI規定了兩類安全服務的配置情況:即無連接通信方式和有連接通信方式。

4.安全層協議擴展和應用標准
國際標准化組織提出了安全體系結構,並致力於進行安全層協議的擴展和各種應用標准
的工作。
為了把安全功能擴展到層協議上,目前,有兩個小組負責這方面的工作。一是ISO/IEC分
委會中的JTC1/SC6,主要負責將安全功能擴展到傳輸層及網路層的服務和協議上;另一個是J
TC1/SC21,負責把安全功能擴展到表示層和應用層上。目前,在建立會話(相當於應用層連接
)的同時,可以進行經過登記的雙向驗證交換,這使任何OSI應用在進行會話時均可採用公鑰密
碼驗證機制。此外,保密交換應用服務單元也是OSI/IEC和CCITT正在研究的問題。如果這一
問題解決,將能把保密信息交換(如公鑰驗證交換)綜合到應用層協議中。
在應用方面,OSI大都包含了安全功能,如MHS(文電作業系統)和目錄驗證應用協議均對安
全性進行了綜合的考慮,而且兩者都應用了公鑰密碼體制。
(1)公鑰密碼技術的安全標准
ISO/IEC分委會下的JTC1/SC27小組負責制定整個信息安全技術領域的標准,其中也包括
OSI。該小組主要以公鑰密碼技術為基礎制定安全標准,其中包括雙方、三方、四方的公鑰驗
證技術。
(2)網路層公鑰密碼技術
網路層可以提供端到端加密和子網保密。這不僅可以使定址信息和高層協議信息受到保
護,而且對網路管理人員控制以外的應用也可進行保護。網路安全協議(NLSP)標准由ISO/IE
C的JTC1/SC6小組負責。該協議採用了公鑰和對稱密碼相混合的方式來實現安全任務,採用對
稱式密碼體制(如DES)來保證機密性,而用公鑰系統(如RSA)進行驗證。對於在大型網路系統
中建立保密呼叫來說,這一混合體制很有前途。
(3)目錄驗證框架
OSI目錄標准(CCITT X.500)為計算機/通信系統的互聯提供了邏輯上完整、物理上分散
的目錄系統。目錄涉及互聯系統復雜的配置關系和數量上眾多的用戶,因此,在目錄環境中的
機密性證書和簽名證書的分發,有著極為重要的作用。
目錄驗證框架包括:
·驗證機制的描述;
·目錄中用戶密鑰的獲取方法;
·RSA演算法描述;
·解釋材料。
(4)用於文電作業系統的公鑰密碼
CCITT 1984年版的MHS(X.400)中未提出安全要求,但1988年版增加了以下安全內容:驗證
、完整性、機密性、訪問控制和防復制性。這些服務可用混合方式由公鑰密碼加以保護。

六、存在的問題及解決方法

1.加密的效率及可靠性問題
在網路中引入安全服務和安全管理後,如同等實體鑒別及訪問控制等機制,網路的安全性
加強了,但是,網路的通信效率下降,實時性變差。效率下降的主要原因是由於加密演算法的復
雜性而引起計算量的增大。因此,應該研究簡單、適用且效率高的加密演算法。為了提高加密
的速度,還應該對加密演算法的硬體實現進行研究。

2.安全保密和網路互通問題
安全保密的特性決定了網路加密會損害網路的互通性。目前,流行的做法是在網路中引
入保密網關設備,即在網關設備上設置安全功能,實現安全協議的轉換。但是,這種做法存在
著許多問題,它會造成網路通信的瓶頸,引起通信效率的下降。因此,採用保密網關設備只是
權宜之計,還必須從整個網路的安全體系結構出發,採取措施。現有的OSI安全體系只是針對
網路通信的安全而言,而開放式系統的安全不僅與網路通信有關,還和參與通信的末端系統有
關。目前,這兩者只是孤立地進行研究。要實現不同域內的系統中不同級別用戶之間的安全
互通,我們應將兩者結合起來。

3.網路規模和網路安全問題
由於網路規模擴大了,相應地,網路的薄弱環節和受到攻擊的可能性也就增加了,密鑰的
分配和安全管理問題也就比較突出。因此,必須對鑒別機制、訪問控制機制和密鑰的分發機
制進行研究。

4.不同安全域內的多級安全問題
由於不同安全域內的安全政策不同,且每一個安全域的用戶不同,其相應的安全級別也不
同。因此,要實現不同域內不同級別的用戶之間的安全互通,必須對中間的協調機制進行研究
。應對OSI安全體系結構進行研究,理清安全需求、安全服務和安全機制在OSI各層中的位置
與作用, 並通過對安全管理資料庫(SMIB)和安全管理模塊的分析, 研究SMIB分配和使用的安
全管理協議及各管理Agent之間的相互協作和通信問題, 從而進一步研究OSI安全設施的集成
。

（計算機世界報 1997年 第5期）

Ⅸ 計算機網路安全有哪些方面的影響

威脅企業網路安全的主要因素

由於企業網路由內部網路、外部網路和企業廣域網組成，網路結構復雜，威脅主要來自：病毒的侵襲、黑客的非法闖入、數據"竊聽"和攔截、拒絕服務、內部網路安全、電子商務攻擊、惡意掃描、密碼破解、數據篡改、垃圾郵件、地址欺騙和基礎設施破壞等。

下面來分析幾個典型的網路攻擊方式：

1.病毒的侵襲

幾乎有計算機的地方，就有出現計算機病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內，伺機進行自我復制，並能夠通過網路、磁碟、光碟等諸多手段進行傳播。正因為計算機病毒傳播速度相當快、影響面大，所以它的危害最能引起人們的關注。

病毒的"毒性"不同，輕者只會玩笑性地在受害機器上顯示幾個警告信息，重則有可能破壞或危及個人計算機乃至整個企業網路的安全。

有些黑客會有意釋放病毒來破壞數據，而大部分病毒是在不經意之間被擴散出去的。員工在不知情的情況下打開了已感染病毒的電子郵件附件或下載了帶有病毒的文件，這導致了病毒的傳播。這些病毒會從一台個人計算機傳播到另一台，因而很難從某一中心點對其進行檢測。

任何類型的網路免受病毒攻擊最保險和最有效的方法是對網路中的每一台計算機安裝防病毒軟體，並定期對軟體中的病毒定義進行更新。值得用戶信賴的防病毒軟體包括Symantec、Norton和McAfee等。然而，如果沒有"憂患意識"，很容易陷入"盲從殺毒軟體"的誤區。

因此，光有工具不行，還必須在意識上加強防範，並且注重操作的正確性；重要的是在企業培養集體防毒意識，部署統一的防毒策略，高效、及時地應對病毒的入侵。

2.黑客的非法闖入

隨著越來越多黑客案件的報道，企業不得不意識到黑客的存在。黑客的非法闖入是指黑客利用企業網路的安全漏洞，不經允許非法訪問企業內部網路或數據資源，從事刪除、復制甚至毀壞數據的活動。一般來說，黑客常用的入侵動機和形式可以分為兩種。

黑客通過尋找未設防的路徑進入網路或個人計算機，一旦進入，他們便能夠竊取數據、毀壞文件和應用、阻礙合法用戶使用網路，所有這些都會對企業造成危害。黑客非法闖入將具備企業殺手的潛力，企業不得不加以謹慎預防。

防火牆是防禦黑客攻擊的最好手段。位於企業內部網與外部之間的防火牆產品能夠對所有企圖進入內部網路的流量進行監控。不論是基於硬體還是軟體的防火牆都能識別、記錄並阻塞任何有非法入侵企圖的可疑的網路活動。硬體防火牆產品應該具備以下先進功能：

●包狀態檢查:在數據包通過防火牆時對數據進行檢查，以確定是否允許進入區域網絡。

●流量控制:根據數據的重要性管理流入的數據。

●虛擬專用網(VPN)技術:使遠程用戶能夠安全地連接區域網。

●Java、ActiveX以及Cookie屏蔽:只允許來自可靠Web站點上的應用程序運行。

●代理伺服器屏蔽(Proxyblocking):防止區域網用戶繞過互聯網過濾系統。

●電子郵件發信監控(Outgoinge-mailscreening):能夠阻塞帶有特定詞句電子郵件的發送，以避免企業員工故意或無意的泄露某些特定信息。

3.數據"竊聽"和攔截

這種方式是直接或間接截獲網路上的特定數據包並進行分析來獲取所需信息。一些企業在與第三方網路進行傳輸時，需要採取有效措施來防止重要數據被中途截獲，如用戶信用卡號碼等。加密技術是保護傳輸數據免受外部竊聽的最好辦法，其可以將數據變成只有授權接收者才能還原並閱讀的編碼。

進行加密的最好辦法是採用虛擬專用網(VPN)技術。一條VPN鏈路是一條採用加密隧道(tunnel)構成的遠程安全鏈路，它能夠將數據從企業網路中安全地輸送出去。兩家企業可以通過Internet建立起VPN隧道。一個遠程用戶也可以通過建立一條連接企業區域網的VPN鏈路來安全地訪問企業內部數據。

4、拒絕服務

這類攻擊一般能使單個計算機或整個網路癱瘓，黑客使用這種攻擊方式的意圖很明顯，就是要阻礙合法網路用戶使用該服務或破壞正常的商務活動。例如，通過破壞兩台計算機之間的連接而阻止用戶訪問服務；通過向企業的網路發送大量信息而堵塞合法的網路通信，最後不僅摧毀網路架構本身，也破壞整個企業運作。

5.內部網路安全

為特定文件或應用設定密碼保護能夠將訪問限制在授權用戶范圍內。例如，銷售人員不能夠瀏覽企業人事信息等。但是，大多數小型企業無法按照這一安全要求操作，企業規模越小，越要求每一個人承擔更多的工作。如果一家企業在近期內會迅速成長，內部網路的安全性將是需要認真考慮的問題。

6.電子商務攻擊

從技術層次分析，試圖非法入侵的黑客，或者通過猜測程序對截獲的用戶賬號和口令進行破譯，以便進入系統後做更進一步的操作；或者利用伺服器對外提供的某些服務進程的漏洞，獲取有用信息從而進入系統；或者利用網路和系統本身存在的或設置錯誤引起的薄弱環節和安全漏洞實施電子引誘，以獲取進一步的有用信息；或者通過系統應用程序的漏洞獲得用戶口令，侵入系統。

除上述威脅企業網路安全的主要因素外，還有如下網路安全隱患：

惡意掃描：這種方式是利用掃描工具(軟體)對特定機器進行掃描，發現漏洞進而發起相應攻擊。

密碼破解：這種方式是先設法獲取對方機器上的密碼文件，然後再設法運用密碼破解工具獲得密碼。除了密碼破解攻擊，攻擊者也有可能通過猜測或網路竊聽等方式獲取密碼。

數據篡改：這種方式是截獲並修改網路上特定的數據包來破壞目標數據的完整性。

地址欺騙：這種方式是攻擊者將自身IP偽裝成目標機器信任機器的IP 地址，以此來獲得對方的信任。

垃圾郵件 主要表現為黑客利用自己在網路上所控制的計算機向企業的郵件伺服器發送大量的垃圾郵件，或者利用企業的郵件伺服器把垃圾郵件發送到網路上其他的伺服器上。

基礎設施破壞：這種方式是破壞DNS或路由器等基礎設施，使得目標機器無法正常使用網路。

由上述諸多入侵方式可見，企業可以做的是如何盡可能降低危害程度。除了採用防火牆、數據加密以及藉助公鑰密碼體制等手段以外，對安全系數要求高的企業還可以充分利用網路上專門機構公布的常見入侵行為特徵數據-通過分析這些數據，企業可以形成適合自身的安全性策略，努力使風險降低到企業可以接受且可以管理的程度。

企業網路安全的防範

技術與管理相結合：技術與管理不是孤立的，對於一個信息化的企業來說，網路信息安全不僅僅是一個技術問題，也是一個管理問題。在很多病毒或安全漏洞出現不久，網上通常就會有相應的殺毒程序或者軟體補丁出現，但為什麼還會讓病毒肆虐全球呢？為什麼微軟主頁上面及時發布的補丁以及各種各樣查殺的工具都無法阻止這些病毒蔓延呢？歸根結底還是因為很多用戶(包括企業級用戶)沒有養成主動維護系統安全的習慣，同時也缺乏安全方面良好的管理機制。

要保證系統安全的關鍵，首先要做到重視安全管理，不要"坐以待斃"，可以說，企業的信息安全，是一個整體的問題，需要從管理與技術相結合的高度，制定與時俱進的整體管理策略，並切實認真地實施這些策略，才能達到提高企業信息系統安全性的目的。

風險評估：要求企業清楚自身有哪些系統已經聯網、企業網路有哪些弱點、這些弱點對企業運作都有哪些具體風險，以及這些風險對於公司整體會有怎樣的影響。

安全計劃：包括建立企業的安全政策，掌握保障安全性所需的基礎技術，並規劃好發生特定安全事故時企業應該採取的解決方案。企業網路安全的防範策略目的就是決定一個組織機構怎樣來保護自己。

一般來說，安全策略包括兩個部分：一個總體的安全策略和具體的規則。總體安全策略制定一個組織機構的戰略性安全指導方針，並為實現這個方針分配必要的人力物力。

計劃實施：所有的安全政策，必須由一套完善的管理控制架構所支持，其中最重要的要素是要建立完整的安全性解決方案。

物理隔離：即在網路建設的時候單獨建立兩套相互獨立的網路，一套用於部門內部辦公自動化，另一套用於連接到Internet，在同一時候，始終只有一塊硬碟處於工作狀態，這樣就達到了真正意義上的物理安全隔離。

遠程訪問控制：主要是針對於企業遠程撥號用戶，在內部網路中配置用戶身份認證伺服器。在技術上通過對接入的用戶進行身份和密碼驗證，並對所有的用戶機器的MAC地址進行注冊，採用IP地址與MAC地址的動態綁定，以保證非授權用戶不能進入。

病毒的防護：培養企業的集體防毒意識，部署統一的防毒策略，高效、及時地應對病毒的入侵。

防火牆：目前技術最為復雜而且安全級別最高的防火牆是隱蔽智能網關, 它將網關隱藏在公共系統之後使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問, 同時阻止了外部未授權訪問對專用網路的非法訪問。一般來說, 這種防火牆的安全性能很高，是最不容易被破壞和入侵的。
網路安全問題簡單化

大多數企業家缺乏對IT技術的深入了解，他們通常會被網路的安全需求所困擾、嚇倒或征服。許多企業領導，不了解一部網關與一台路由器之間的區別，卻不願去學習，或因為太忙而沒時間去學。

他們只希望能夠確保財務紀錄沒被竊取，伺服器不會受到一次"拒絕服務攻擊"。他們希望實現這些目標，但不希望為超出他們需求范圍的技術或服務付出更高的成本，就像銷售計算機設備的零售店不願意提供額外服務一樣。

企業網路安全是一個永遠說不完的話題，今天企業網路安全已被提到重要的議事日程。一個安全的網路系統的保護不僅和系統管理員的系統安全知識有關，而且和領導的決策、工作環境中每個員工的安全操作等都有關系。

網路安全是動態的，新的Internet黑客站點、病毒與安全技術每日劇增。要永遠保持在知識曲線的最高點，把握住企業網路安全的大門，從而確保證企業的順利成長