網路安全防護設備技術協議

⑴ 如何從技術方面實現網路安全防護主要目標的"五不

網路安全從本質上講就是網路上的信息安全。凡是涉及到網路信息的保密性，完整性，可用性，真實性和可控性的相關技術和理論都是網路安全的研究領域。 網路安全是網路系統的硬體，軟體以及系統中的數據受到保護，不會由於偶然或惡意的原因而遭到破壞，更改，泄露，系統能連續，可靠和正常的運行，網路服務不中斷。 安全威脅是某個人，物，事或概念對某個資源的機密性，完整性，可用性或合法性所造成的危害。某種攻擊就是某種威脅的具體實現。 安全威脅分為故意的和偶然的兩類。故意威脅又可以分為被動和主動兩類。 中斷是系統資源遭到破壞或變的不能使用。這是對可用性的攻擊。 截取是未授權的實體得到了資源的訪問權。這是對保密性的攻擊。 修改是未授權的實體不僅得到了訪問權，而且還篡改了資源。這是對完整性的攻擊。 捏造是未授權的實體向系統中插入偽造的對象。這是對真實性的攻擊。 被動攻擊的特點是偷聽或監視傳送。其目的是獲得正在傳送的信息。被動攻擊有：泄露信息內容和通信量分析等。 主動攻擊涉及修改數據流或創建錯誤的數據流，它包括假冒，重放，修改信息和拒絕服務等。 假冒是一個實體假裝成另一個實體。假冒攻擊通常包括一種其他形式的主動攻擊。 重放涉及被動捕獲數據單元以及後來的重新發送，以產生未經授權的效果。 修改消息意味著改變了真實消息的部分內容，或將消息延遲或重新排序，導致未授權的操作。 拒絕服務的禁止對通信工具的正常使用或管理。這種攻擊擁有特定的目標。另一種拒絕服務的形式是整個網路的中斷，這可以通過使網路失效而實現，或通過消息過載使網路性能降低。 防止主動攻擊的做法是對攻擊進行檢測，並從它引起的中斷或延遲中恢復過來。 從網路高層協議角度看，攻擊方法可以概括為：服務攻擊與非服務攻擊。 服務攻擊是針對某種特定網路服務的攻擊。 非服務攻擊不針對某項具體應用服務，而是基於網路層等低層協議進行的。 非服務攻擊利用協議或操作系統實現協議時的漏洞來達到攻擊的目的，是一種更有效的攻擊手段。 網路安全的基本目標是實現信息的機密性，完整性，可用性和合法性。 主要的可實現威脅： 3 滲入威脅：假冒，旁路控制，授權侵犯。 4 植入威脅：特洛伊木馬，陷門。 病毒是能夠通過修改其他程序而感染它們的一種程序，修改後的程序裡麵包含了病毒程序的一個副本，這樣它們就能繼續感染其他程序。 網路反病毒技術包括預防病毒，檢測病毒和消毒三種技術。 1 預防病毒技術。 它通過自身長駐系統內存，優先獲得系統的控制權，監視和判斷系統中是或有病毒存在，進而阻止計算機病毒進入計算機系統對系統進行破壞。這類技術有：加密可執行程序，引導區保護，系統監控與讀寫控制。 2．檢測病毒技術。 通過對計算機病毒的特徵來進行判斷的技術。如自身效驗，關鍵字，文件長度的變化等。 3．消毒技術。 通過對計算機病毒的分析，開發出具有刪除病毒程序並恢復原元件的軟體。 網路反病毒技術的具體實現方法包括對網路伺服器中的文件進行頻繁地掃描和檢測，在工作站上用防病毒晶元和對網路目錄以及文件設置訪問許可權等。 網路信息系統安全管理三個原則： 1 多人負責原則。 2 任期有限原則。 3 職責分離原則。

⑵ 企業網路安全解決方案論文

企業基於網路的計算機應用也在迅速增加，基於網路信息系統給企業的經營管理帶來了更大的經濟效益，但隨之而來的安全問題也在困擾著用戶，研究解決網路安全問題的方案顯得及其重要。下面是我帶來的關於企業網路安全解決方案論文的內容，歡迎閱讀參考!

企業網路安全解決方案論文篇1

淺談中小企業網路安全整體解決方案

摘要：隨著企業內部網路的日益龐大及與外部網路聯系的逐漸增多，一個安全可信的企業網路安全系統顯得十分重要。區域網企業信息安全系統是為了防範企業中計算機數據信息泄密而建立的一種管理系統，旨在對區域網中的信息安全提供一種實用、可靠的管理方案。

關鍵詞：網路安全 防病毒 防火牆 入侵檢測

一、網路安全的含義

網路安全從其本質上來講就是網路上的信息安全。它涉及的領域相當廣泛。這是因為在目前的公用通信網路中存在著各種各樣的安全漏洞和威脅。從廣義來說，凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論，都是網路安全所要研究的領域。網路安全，通常定義為網路系統的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。

二、中小企業網路安全方案的基本設計原則

(一)綜合性、整體性原則。應用系統工程的觀點、 方法 ，分析網路的安全及具體 措施 。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路，包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網路安全體系結構。

(二)需求、風險、代價平衡的原則。對任一網路，絕對安全難以達到，也不一定是必要的。對一個網路進行實際額研究(包括任務、性能、結構、可靠性可維護性等)，並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然後制定規范和措施，確定本系統的安全策略。

(三)分步實施原則。由於網路系統及其應用擴展范圍廣闊，隨著網路規模的擴大及應用的增加，網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施，即可滿足網路系統及信息安全的基本需要，亦可節省費用開支。

三、中小企業網路安全方案的具體設計

網路安全是一項動態的、整體的系統工程，從技術上來說，網路安全由安全的 操作系統 、應用系統、防病毒、防火牆、入侵檢測、網路監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成，一個單獨的組件是無法確保您信息網路的安全性。

該方案主要包括以下幾個方面：

(一)防病毒方面：應用防病毒技術，建立全面的網路防病毒體系。隨著Internet的不斷發展，信息技術已成為促進經濟發展、社會進步的巨大推動力：當今社會高度的計算機化信息資源對任何人無論在任何時候、任何地方都變得極有價值。不管是存儲在工作站中、伺服器里還是流通於Internet上的信息都已轉變成為一個關系事業成敗關鍵的策略點，這就使保證信息的安全變得格外重要。

(二)應用防火牆技術，控制訪問許可權，實現網路安全集中管理。防火牆技術是今年發展起來的重要網路安全技術，其主要作用是在網路入口處檢查網路通訊，根據客戶設定的安全規則，在保護內部網路安全的前提下，保障內外網路通訊。在網路出口處安裝防火牆後，內部網路與外部網路進行了有效的隔離，所有來自外部網路的訪問請求都要通過防火牆的檢查，內部網路的安全有了很大的提高。

防火牆可以完成以下具體任務：通過源地址過濾，拒絕外部非法IP地址，有效的避免了外部網路上與業務無關的主機的越權訪問;防火牆可以只保留有用的服務，將其他不需要的服務關閉，這樣可以將系統受攻擊的可能性降低到最小限度，使黑客無機可乘。

隨著網路的廣泛應用和普及，網路入侵行為、病毒破壞、垃圾郵件的處理和普遍存在的安全話題也成了人們日趨關注的焦點。防火牆作為網路邊界的第一道防線，由最初的路由器設備配置訪問策略進行安全防護，到形成專業獨立的產品，已經充斥了整個網路世界。在網路安全領域，隨著黑客應用技術的不斷「傻瓜化」，入侵檢測系統IDS的地位正在逐漸增加。一個網路中，只有有效實施了IDS，才能敏銳地察覺攻擊者的侵犯行為，才能防患於未然。

參考文獻：

[1]陳家琪.計算機網路安全.上海理工大學，電子教材，2005

[2]胡建斌.網路與信息安全概論.北京大學網路與信息安全研究室，電子教材，2005

企業網路安全解決方案論文篇2

淺談網路安全技術與企業網路安全解決方案

網路由於其系統方面漏洞導致的安全問題是企業的一大困擾，如何消除辦企業網路的安全隱患成為 企業管理 中的的一大難題。各種網路安全技術的出現為企業的網路信息安全帶來重要保障，為企業的發展奠定堅實的基礎。

1 網路安全技術

1.1 防火牆技術

防火牆技術主要作用是實現了網路之間訪問的有效控制，對外部不明身份的對象採取隔離的方式禁止其進入企業內部網路，從而實現對企業信息的保護。

如果將公司比作人，公司防盜系統就如同人的皮膚一樣，是阻擋外部異物的第一道屏障，其他一切防盜系統都是建立在防火牆的基礎上。現在最常用也最管用的防盜系統就是防火牆，防火牆又可以細分為代理服務防火牆和包過濾技術防火牆。代理服務防火牆的作用一般是在雙方進行電子商務交易時，作為中間人的角色，履行監督職責。包過濾技術防火牆就像是一個篩子，會選擇性的讓數據信息通過或隔離。

1.2 加密技術

加密技術是企業常用保護數據信息的一種便捷技術，主要是利用一些加密程序對企業一些重要的數據進行保護，避免被不法分子盜取利用。常用的加密方法主要有數據加密方法以及基於公鑰的加密演算法。數據加密方法主要是對重要的數據通過一定的規律進行變換，改變其原有特徵，讓外部人員無法直接觀察其本質含義，這種加密技術具有簡便性和有效性，但是存在一定的風險，一旦加密規律被別人知道後就很容易將其解除。基於公鑰的加密演算法指的是由對應的一對唯一性密鑰(即公開密鑰和私有密鑰)組成的加密方法。這種加密方法具有較強的隱蔽性，外部人員如果想得到數據信息只有得到相關的只有得到唯一的私有密匙，因此具有較強的保密性。

1.3 身份鑒定技術

身份鑒定技術就是根據具體的特徵對個人進行識別，根據識別的結果來判斷識別對象是否符合具體條件，再由系統判斷是否對來人開放許可權。這種方式對於冒名頂替者十分有效，比如指紋或者後虹膜， 一般情況下只有本人才有許可權進行某些專屬操作，也難以被模擬，安全性能比較可靠。這樣的技術一般應用在企業高度機密信息的保密過程中，具有較強的實用性。

2 企業網路安全體系解決方案

2.1 控制網路訪問

對網路訪問的控制是保障企業網路安全的重要手段，通過設置各種許可權避免企業信息外流，保證企業在激烈的市場競爭中具有一定的競爭力。企業的網路設置按照面向對象的方式進行設置，針對個體對象按照網路協議進行訪問許可權設置，將網路進行細分，根據不同的功能對企業內部的工作人員進行許可權管理。企業辦公人員需要使用到的功能給予開通，其他與其工作不相關的內容即取消其訪問許可權。另外對於一些重要信息設置防寫或讀保護，從根本上保障企業機密信息的安全。另外對網路的訪問控制可以分時段進行，例如某文件只可以在相應日期的一段時間內打開。

企業網路設計過程中應該考慮到網路安全問題，因此在實際設計過程中應該對各種網路設備、網路系統等進行安全管理，例如對各種設備的介面以及設備間的信息傳送方式進行科學管理，在保證其基本功能的基礎上消除其他功能，利用當前安全性較高的網路系統，消除網路安全的脆弱性。

企業經營過程中由於業務需求常需要通過遠端連線設備連接企業內部網路，遠程連接過程中脆弱的網路系統極容易成為別人攻擊的對象，因此在企業網路系統中應該加入安全性能較高的遠程訪問設備，提高遠程網路訪問的安全性。同時對網路系統重新設置，對登入身份信息進行加密處理，保證企業內部人員在操作過程中信息不被外人竊取，在數據傳輸過程中通過相應的 網路技術 對傳輸的數據審核，避免信息通過其他 渠道 外泄，提高信息傳輸的安全性。

2.2 網路的安全傳輸

電子商務時代的供應鏈建立在網路技術的基礎上，供應鏈的各種信息都在企業內部網路以及與供應商之間的網路上進行傳遞，信息在傳遞過程中容易被不法分子盜取，給企業造成重大經濟損失。為了避免信息被竊取，企業可以建設完善的網路系統，通過防火牆技術將身份無法識別的隔離在企業網路之外，保證企業信息在安全的網路環境下進行傳輸。另外可以通過相應的加密技術對傳輸的信息進行加密處理，技術一些黑客解除企業的防火牆，竊取到的信息也是難以理解的加密數據，加密過後的信息常常以亂碼的形式存在。從理論上而言，加密的信息仍舊有被解除的可能性，但現行的數據加密方式都是利用復雜的密匙處理過的，即使是最先進的密碼解除技術也要花費相當長的時間，等到數據被解除後該信息已經失去其時效性，成為一條無用的信息，對企業而言沒有任何影響。

2.3 網路攻擊檢測

一些黑客通常會利用一些惡意程序攻擊企業網路，並從中找到漏洞進入企業內部網路，對企業信息進行竊取或更改。為避免惡意網路攻擊，企業可以引進入侵檢測系統，並將其與控制網路訪問結合起來，對企業信息實行雙重保護。根據企業的網路結構，將入侵檢測系統滲入到企業網路內部的各個環節，尤其是重要部門的機密信息需要重點監控。利用防火牆技術實現企業網路的第一道保護屏障，再配以檢測技術以及相關加密技術，防火記錄用戶的身份信息，遇到無法識別的身份信息即將數據傳輸給管理員。後續的入侵檢測技術將徹底阻擋黑客的攻擊，並對黑客身份信息進行分析。即使黑客通過這些屏障得到的也是經過加密的數據，難以從中得到有效信息。通過這些網路安全技術的配合，全方位消除來自網路黑客的攻擊，保障企業網路安全。

3 結束語

隨著電子商務時代的到來，網路技術將會在未來一段時間內在企業的運轉中發揮難以取代的作用，企業網路安全也將長期伴隨企業經營管理，因此必須對企業網路實行動態管理，保證網路安全的先進性，為企業的發展建立安全的網路環境。

>>>下一頁更多精彩的「企

⑶ 簡述防火牆的作用及其安全方案

防火牆的作用：

1、過濾進出網路的數據。

2、管理進出訪問網路的行為。

3、封堵某些禁止業務。

4、記錄通過防火牆信息內容和活動。

5、對網路攻擊檢測和告警。

安全方案：

防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。

防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

(3)網路安全防護設備技術協議擴展閱讀：

區域網內部，不連接互聯網外網的一般是不需要防火牆，監控單獨一個網路的時候才需要，一般都接在區域網內，通過路由器處的防火牆，而大型網路連接外網的，是需要防火牆的。

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等。

⑷ 網路安全的預防措施

網安措施
計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面，各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。
（一）保護網路安全。
網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下：
（1）全面規劃網路平台的安全策略。
（2）制定網路安全的管理措施。
（3）使用防火牆。
（4）盡可能記錄網路上的一切活動。
（5）注意對網路設備的物理保護。
（6）檢驗網路平台系統的脆弱性。
（7）建立可靠的識別和鑒別機制。
（二）保護應用安全。
保護應用安全，主要是針對特定應用（如Web伺服器、網路支付專用軟體系統）所建立的安全防護措施，它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊，如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最復雜，因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位，但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
（三）保護系統安全。
保護系統安全，是指從整體電子商務系統或網路支付系統的角度進行安全防護，它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施：
（1）在安裝的軟體中，如瀏覽器軟體、電子錢包軟體、支付網關軟體等，檢查和確認未知的安全漏洞。
（2）技術與管理相結合，使系統具有最小穿透風險性。如通過諸多認證才允許連通，對所有接入數據必須進行審計，對系統用戶進行嚴格安全管理。
（3）建立詳細的安全審計日誌，以便檢測並跟蹤入侵攻擊等。
商交措施
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題，在計算機網路安全的基礎上，如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的，主要包括加密技術、認證技術和電子商務安全協議等。
（一）加密技術。
加密技術是電子商務採取的基本安全措施，交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類，即對稱加密和非對稱加密。
（1）對稱加密。
對稱加密又稱私鑰加密，即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快，適合於對大數據量進行加密，但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那麼機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
（2）非對稱加密。
非對稱加密又稱公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個公開發布（即公鑰），另一個由用戶自己秘密保存（即私鑰）。信息交換的過程是：甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方，甲方再用自己保存的私鑰對加密信息進行解密。
（二）認證技術。
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術，即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
（1）數字簽名。
數字簽名也稱電子簽名，如同出示手寫簽名一樣，能起到電子文件認證、核准和生效的作用。其實現方式是把散列函數和公開密鑰演算法結合起來，發送方從報文文本中生成一個散列值，並用自己的私鑰對這個散列值進行加密，形成發送方的數字簽名；然後，將這個數字簽名作為報文的附件和報文一起發送給報文的接收方；報文的接收方首先從接收到的原始報文中計算出散列值，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密；如果這兩個散列值相同，那麼接收方就能確認該數字簽名是發送方的。數字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充、篡改等問題。
（2）數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰，加上密鑰所有者的用戶身份標識符，以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構（CA），如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書，然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書，並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一系列數據，提供了一種驗證各自身份的方式，用戶可以用它來識別對方的身份。
（三）電子商務的安全協議。
除上文提到的各種安全技術之外，電子商務的運行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。
（1）安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間，由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與伺服器真正傳輸應用層數據之前建立安全機制。當客戶與伺服器第一次通信時，雙方通過握手協議在版本號、密鑰交換演算法、數據加密演算法和Hash演算法上達成一致，然後互相驗證對方身份，最後使用協商好的密鑰交換演算法產生一個只有雙方知道的秘密信息，客戶和伺服器各自根據此秘密信息產生數據加密演算法和Hash演算法參數。SSL記錄協議根據SSL握手協議協商的參數，對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC，然後經網路傳輸層發送給對方。SSL警報協議用來在客戶和伺服器之間傳遞SSL出錯信息。
（2）安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系，給定交易信息傳送流程標准。SET主要由三個文件組成，分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務系統設計的。它位於應用層，其認證體系十分完善，能實現多方認證。在SET的實現中，消費者帳戶信息對商家來說是保密的。但是SET協議十分復雜，交易數據需進行多次驗證，用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外，還有發卡行、收單行、認證中心、支付網關等其它參與者。
加密方式
鏈路加密方式
安全技術手段
物理措施：例如，保護網路關鍵設備(如交換機、大型計算機等)，制定嚴格的網路安全規章制度，採取防輻射、防火以及安裝不間斷電源（UPS）等措施。
訪問控制：對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的許可權，控制網路設備配置的許可權等等。
數據加密：加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒，安裝網路防病毒系統。
網路隔離：網路隔離有兩種方式，一種是採用隔離卡來實現的，一種是採用網路安全隔離網閘實現的。
隔離卡主要用於對單台機器的隔離，網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。
其他措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。圍繞網路安全問題提出了許多解決辦法，例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密，到達目的地後再解密還原為原始數據，目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。
安全防範意識
擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。
主機安全檢查
要保證網路安全，進行網路安全建設，第一步首先要全面了解系統，評估系統安全性，認識到自己的風險所在，從而迅速、准確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具，徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性，一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定，並對評測系統進行強有力的分析處置和修復。
主機物理安全
伺服器運行的物理安全環境是很重要的，很多人忽略了這點。物理環境主要是指伺服器託管機房的設施狀況，包括通風系統、電源系統、防雷防火系統以及機房的溫度、濕度條件等。這些因素會影響到伺服器的壽命和所有數據的安全。我不想在這里討論這些因素，因為在選擇IDC時你自己會作出決策。
在這里著重強調的是，有些機房提供專門的機櫃存放伺服器，而有些機房只提供機架。所謂機櫃，就是類似於家裡的櫥櫃那樣的鐵櫃子，前後有門，裡面有放伺服器的拖架和電源、風扇等，伺服器放進去後即把門鎖上，只有機房的管理人員才有鑰匙打開。而機架就是一個個鐵架子，開放式的，伺服器上架時只要把它插到拖架里去即可。這兩種環境對伺服器的物理安全來說有著很大差別，顯而易見，放在機櫃里的伺服器要安全得多。
如果你的伺服器放在開放式機架上，那就意味著，任何人都可以接觸到這些伺服器。別人如果能輕松接觸到你的硬體，還有什麼安全性可言?
如果你的伺服器只能放在開放式機架的機房，那麼你可以這樣做：
（1)將電源用膠帶綁定在插槽上，這樣避免別人無意中碰動你的電源；
（2)安裝完系統後，重啟伺服器，在重啟的過程中把鍵盤和滑鼠拔掉，這樣在系統啟動後，普通的鍵盤和滑鼠接上去以後不會起作用(USB滑鼠鍵盤除外)
（3)跟機房值班人員搞好關系，不要得罪機房裡其他公司的維護人員。這樣做後，你的伺服器至少會安全一些。

⑸ 什麼是防火牆，以及防火牆可以實現什麼功能.

火牆定義

防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。

防火牆的功能

防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

為什麼使用防火牆

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

防火牆的類型

防火牆有不同類型。一個防火牆可以是硬體自身的一部分，你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行，該機器作為它背後網路中所有計算機的代理和防火牆。最後，直接連在網際網路的機器可以使用個人防火牆。

防火牆的概念

當然，既然打算由淺入深的來了解，就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。再電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

防火牆的功能

防火牆是網路安全的屏障：

一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

防火牆可以強化網路安全策略：

通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

對網路存取和訪問進行監控審計：

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄：

通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所了解。

除了安全作用，防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN（虛擬專用網）。

防火牆的英文名為「FireWall」，它是目前一種最重要的網路防護設備。從專業角度講，防火牆是位於兩個(或多個)網路間，實施網路之間訪問控制的一組組件集合。

防火牆在網路中經常是以下圖所示的兩種圖標出現的。左邊那個圖標非常形象，真正像一堵牆一樣。而右邊那個圖標則是從防火牆的過濾機制來形象化的，在圖標中有一個二極體圖標。而二極體我們知道，它具有單向導電性，這樣也就形象地說明了防火牆具有單向導通性。這看起來與現在防火牆過濾機制有些矛盾，不過它卻完全體現了防火牆初期的設計思想，同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的，而對外部網路卻總是不信任的，所以最初的防火牆是只對外部進來的通信進行過濾，而對內部網路用戶發出的通信不作限制。當然目前的防火牆在過濾機制上有所改變，不僅對外部網路發出的通信連接要進行過濾，對內部網路用戶發出的部分連接請求和數據包同樣需要過濾，但防火牆仍只對符合安全策略的通信通過，也可以說具有「單向導通」性。

防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為「防火牆」。其實與防火牆一起起作用的就是「門」。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這里所講的防火牆的「安全策略」，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的「單向導通性」。

我們通常所說的網路防火牆是借鑒了古代真正用於防火的防火牆的喻義，它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網（LAN）網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。典型的防火牆具有以下三個方面的基本特性：

（一）內部網路和外部網路之間的所有網路數據流都必須經過防火牆

這是防火牆所處網路位置特性，同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道，才可以全面、有效地保護企業網部網路不受侵害。

根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用戶網路系統的邊界，屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處，比如用戶網路和互聯網之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網路的服務和訪問的審計和控制。

典型的防火牆體系網路結構如下圖所示。從圖中可以看出，防火牆的一端連接企事業單位內部的區域網，而另一端則連接著互聯網。所有的內、外部網路之間的通信都要經過防火牆。

（二）只有符合安全策略的數據流才能通過防火牆

防火牆最基本的功能是確保網路流量的合法性，並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一台「雙穴主機」，即具備兩個網路介面，同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的（網路介面>=2）轉發設備，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。如下圖：

（三）防火牆自身應具有非常強的抗攻擊免疫力

這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火牆操作系統本身是關鍵，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。

目前國內的防火牆幾乎被國外的品牌占據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹，價格上也更具有優勢。防火牆產品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、聯想、方正等，它們都提供不同級別的防火牆產品。來自:引用

⑹ 網路安全與防範措施

網路安全與防範措施【1】

摘要：隨著計算機網路技術的快速發展，網路安全日益成為人們關注的焦點。

越來越多的計算機用戶足不出戶就可訪問到全球網路系統豐富的信息資源，經濟、文化、軍事和社會活動也強烈依賴於網路，一個網路化的社會已呈現在我們面前。

隨著網路應用的不斷增多，網路安全問題也越來越突出。

由於計算機網路聯接形式的多樣性、終端分布的不均勻性、網路的開放性和網路資源的共享性等因素，致使計算機網路容易遭受病毒、黑客、惡意軟體和其它不軌行為的攻擊。

為確保信息的安全與暢通，研究網路的安全與防範措施已迫在眉捷。

本文分析了影響網路安全的主要因素及攻擊的主要方式，從管理和技術兩方面就加強計算機網路安全提出了針對性的對策。

關鍵詞：網路安全;防範;隱患;措施

引言

隨著計算機技術的突飛猛進，計算機網路的新月異，網路已經深入到我們生活的各個角落。

計算機網路在扮演著越來越重要的角色。

然而，在我們每天通過互聯網路與朋友通信，和同行交流，通過互聯網了解新聞獲取信息的同時，我們對這個網路究竟了解多少，我們是否能意識到給我們生活、工作帶來快捷、便利的網路所潛伏的不安全因素。

1計算機網路安全的概念

計算機網路安全的具體定義會隨著使用者的變化而變化，使用者不同，對網路安全的認識和要求也就不同。

例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網路上傳輸時受到保護，避免被偷聽、篡改和偽造;而網路提供商除了關心這些網路信息安全外，還要考慮如何應付突發的 自然 災害、軍事打擊等對網路硬體的破壞，以及在網路出現異常時如何恢復網路通信，保持網路通信的連續性。

從本質上來講，網路安全包括組成網路系統的硬體、軟體及其在網路上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網路安全既有技術方面的問題 ，也有管理方面的問題，兩方面相互補充，缺一不可。

人為的網路入侵和攻擊行為使得網路安全面臨新的挑戰。

2、計算機網路安全的隱患及攻擊形式

2.1計算機網路硬體安全隱患

計算機網路硬體設施是互聯網中必不可少的部分，硬體設施本身就有著安全隱患。

電子輻射泄露就是其主要的安全隱患問題，也就是說計算機和網路所包含的電磁信息泄露了，這增加了竊密、失密、泄密的危險;此外安全隱患問題也體現在通信部分的脆弱性上，在進行數據與信息的交換和通信活動時，主要通過四種線路，即光纜、電話線、專線、微波，除光纜外其它三種線路上的信息比較容易被竊取;除上述方面外，計算機的操作系統與硬體組成的脆弱性，也給系統的濫用埋下了隱患。

?另外，移動存儲介質。

移動存儲介質比如U盤、移動硬碟等，由於其自身具有方便小巧、存儲量大、通用性強、易攜帶等特點，應用比較廣泛，尤其是涉密單位，這給網路系統的信息安全造成很大的隱患。

2.2計算機軟體漏洞

黑客通過精心構造的惡意代碼，攻擊某些網站並上傳惡意代碼到被攻擊網站的伺服器。

用戶訪問被攻擊的網站時，可能導致用戶隱私信息泄露。

無論多強大的軟體在設計之初都難免存在缺陷或漏洞，操作系統軟體也不例外。

系統主機之間互異的操作系統具有相對的獨立性，同樣性質的漏洞，也會由於操作系統軟體設計開發過程的不同，而具有不一樣的表現形式。

攻擊者可以很「方便」的通過漏洞對計算機系統進行破壞，造成主機癱瘓、重要資料丟失等，嚴重影響系統的正常運行。

2.3黑客攻擊和計算機病毒攻擊

這是一種最嚴重的網路安全威脅。

攻擊者通過各種方式尋找系統脆弱點或系統漏洞，由於網路系統同構冗餘環境的弱點是相同的，多個系統同時故障的概率雖小，但被攻破可能性卻大，通過攔截、竊取等多種方式，向系統實施攻擊，破壞系統重要數據，甚至系統癱瘓，給網路安全帶來嚴重威脅。

網路病毒發病和傳播速度極快，而許多計算機用戶由於各種各樣的原因，沒有安裝殺毒軟體或不能及時更新殺毒軟體病毒庫，造成網路病毒泛濫，病毒程序輕者降低系統工作效率，重者導致系統崩潰、數據丟失，造成無可挽回的損失，不僅嚴重地危害到了用戶計算機安全，而且極大的消耗了網路資源，造成網路擁塞，給每一個用戶都帶來極大的不便。

2.4網路自身的安全缺陷

網路是一個開放的環境，TCP/IP是一個通用的協議，即通過IP地址作為網路節點的唯一標識，基於IP地址進行多用戶的認證和授權，並根據IP包中源IP地址判斷數據的真實和安全性，但該協議的最大缺點就是缺乏對IP地址的保護，缺乏對源IP地址真實性的認證機制，這就是TCP/IP協議不安全的根本所在。

通過TCP/IP協議缺陷進行的常見攻擊有：源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協議攻擊、SYN攻擊等等。

3.網路安全的防範措施

3.1防火牆技術

防火牆是網路安全的屏障，配置防火牆是實現網路安全最基本、最經濟、最有效的安全措施之一。

防火牆是指一個由軟體或和硬體設備組合而成，處於企業或網路群體計算機與外界通道之間，限制外界用戶對內部網路訪問及管理內部用戶訪問外界網路的許可權。

當一個網路接上Inter net之後，系統的安全除了考慮計算機病毒、系統的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火牆技術完成。

3.2數據加密技術

數據加密技術就是對信息進行重新編碼，從而隱藏信息內容，使非法用戶無法獲取信息的真實內容的一種技術手段。

數據加密技術是為提高信息系統及數據的安全性和保密性，防止秘密數據被外部破析所採用的主要手段之一。

數據加密技術按作用不同可分為數據存儲，數據傳輸、數據完整性的鑒別，以及密鑰的管理技術。

數據存儲加密技術是防止在存儲環節上的數據丟失為目的，可分為密文存儲和存取兩種，數據傳輸加密技術的目的是對傳輸中的數據流加密。

數據完整性鑒別是對介入信息的傳送、存取，處理人的身份和相關數據內容進行驗證，達到保密的要求，系統通過對比驗證對輸入的特徵值是否符合預先設定的參數，實現對數據的安全保護。

3.3防病毒技術

隨著計算機技術的不斷發展，計算機病毒變得越來越復雜和高級，對計算機信息系統構成極大的威脅。

在病毒防範中普遍使用的防病毒軟體，從功能上可以分為網路防病毒軟體和單機防病毒軟體兩大類。

單機防病毒軟體一般安裝在單台PC上，即對本地和本地工作站連接的遠程資源採用分析掃描的方式檢測、清除病毒。

網路防病毒軟體則主要注重網路防病毒，一旦病毒入侵網路或者從網路向其它資源傳染，網路防病毒軟體會立刻檢測到並加以刪除。

病毒主要由數據破壞和刪除、後門攻擊、拒絕服務、垃圾郵件傳播幾種方式的對網路進行傳播和破壞，照成線路堵塞和數據丟失損毀。

那麼建立統一的整體網路病毒防範體系是對計算機網路整體有效防護的解決辦法。

3.4伺服器訪問控制策略

伺服器和路由器這樣的網路基礎設備，避免非法入侵的有效方法是去掉不必要的網路訪問，在所需要的網路訪問周圍建立訪問控制。

另外對用戶和賬戶進行必要的許可權設置。

一是要限制資料庫管理員用戶的數量和給用戶授予其所需要的最小許可權。

二是取消默認賬戶不需要的許可權選擇合適的賬戶連接到資料庫。

3.5建立更安全的電子郵件系統

目前有些優秀的電子郵件安全系統具有強大的高准確率和低誤報率，獨特的策略模塊可以幫助用戶輕松地實現郵件系統的管理與維護，有的電子郵件系統判別垃圾郵件的准確率接近百分之百。

各用戶要多方分析、比較，選擇優秀的電子郵件安全系統保證網路的郵件系統安全，以改變郵件系統存在垃圾郵件、郵件病毒、郵件泄密等安全隱患的現狀。

3.6提高網路工作人員的素質，強化網路安全責任

為了強化網路安全的責任，還有一項重要任務――提高網路工作人員的管理素質。

要結合數據、軟體、硬體等網路系統各方面對工作人員進行安全教育，提高責任心，並通過相關業務技術培訓，提高工作人員的操作技能，網路系統的安全管理要加以重視，避免人為事故的發生。

由於網路研究在我國起步較晚，因此網路安全技術還有待提高和發展。

此外，為了保障網路能夠安全運行，我們還應該制定完善的管理措施，建立嚴格的管理制度，完善法規、法律，提高人們對網路安全的認識，加大對計算機犯罪的法律制裁。

4.結束語

計算機網路的安全性越來越受到重視，網路環境的復雜性、多變性，以及信息系統的脆弱性，決定了計算機網路不能僅僅依靠防火牆，而涉及到管理和技術等方方面面。

總的來說，網路安全不僅僅是技術問題，同時也是一個安全管理問題。

我們必須綜合考慮安全因素，制定合理的目標、技術方案和相關的配套法規等。

世界上不存在絕對安全的網路系統，隨著計算機網路技術的進一步發展，網路安全防護技術也必然隨著網路應用的發展而不斷發展。

需要仔細考慮系統的安全需求，建立相應的管理制度，並將各種安全技術與管理手段結合在一起，才能生成一個高效、通用、安全的計算機網路系統。

網路安全與防範措施【2】

[摘要]隨著計算機網路的普及，我們對網路的依賴程度越來越高。

網路的開放性使得網路信息的安全受到前所未有的威脅。

我們必須積極採取各種有效的防範措施以確保重要信息不受損失。

本文主要從分析計算機網路安全隱患入手來探究其防範措施。

[關鍵詞]計算機網路;網路安全;防範措施;防火牆

隨著高新科技的發展，信息技術已滲透各個領域，對行業現代化建設發揮越來越重要的作用。

特別是信息技術在生活中的廣泛滲透和發展，不但改變了傳統的生活模式、辦公方式、管理方式。

信息化已作為社會發展的核心內容，成為促進社會發展的助推器。

然而，隨著信息網規模的逐漸擴大和系統應用的不斷深入。

各種網路安全問題也隨之而來。

例如系統不穩定、網速緩慢或癱瘓：訪問登錄失敗、設備和信息安全事故、黑客和計算機病毒入侵等故障，嚴重影響，網路的正常使用，成為阻礙網路進一步深化和發展的瓶頸。

因此，研究網路安全防範技術具有十分重要的意義。

1計算機網路安全的概念

網路安全從本質上講就是網路上的信息安全，指網路系統的硬體、軟體及數據受到保護，免受破壞、更改和泄露，系統可靠正常地運行，網路服務小中斷;從用戶的角度來看，他們希望涉及個人和商業的信息在網路上傳輸時受到機密性、完整性和真實性的保護，避免其他人利用偷聽，篡改、抵賴等於段對自己的利益和隱私造成損害和侵犯;從網路運營商和管理者的角度來說，他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制，避免出現病毒、非法存取、拒絕服務和網路資源的非法佔用和黑客的攻擊。

計算機安全主要是為數據處理系統建立和採取的技術和管理的安全保護，保護計算機硬體、軟體數據不因偶然和惡意的元兇而遭到破壞，更改和泄漏。

從本質上來講，網路安全包括組成網路系統的硬體，軟體及其住網路上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞。

網路安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。

2網路安全的隱患

對計算機信息構成不安全的因素很多，其中包括人為的因素、自然的因素和偶發的因素。

其中，人為因素是指一些不法之徒利用計算機網路存在的漏洞，或者潛入計算機房，盜用計算機系統資源，非法獲取重要數據、篡改系統數據、破壞硬體設備、編制計算機病毒。

人為因素是對計算機信息網路安全威脅最大的因素。

計算機網路不安全因素主要表現在以下幾個方面：

2.1計算機網路的脆弱性

互聯網是對全世界都開放的網路，任何單位或個人都可以在網上方便地傳輸和獲取各種信息，互聯網這種具有開放性、共享性、國際性的特點就對計算機網路安全提出了挑戰。

在使用互聯網時應注意以下幾項不可靠的安全性。

2.1.1網路的開放性，網路的技術是全開放的，使得網路所面臨的攻擊來自多方面。

或是來自物理傳輸線路的攻擊，或是來自對網路通信協議的攻擊，以及對計算機軟體、硬體的漏洞實施攻擊。

2.1.2網路的國際性，意味著對網路的攻擊不僅是來自於本地網路的用戶，還可以是互聯網上其他國家的黑客，所以，網路的安全面臨著國際化的挑戰。

2.1.3網路的自由性，大多數的網路對用戶的使用沒有技術上的約束，用戶可以自由的`上網，發布和獲取各類信息。

2.2操作系統存在的安全問題

操作系統是一個支撐軟體，是計算機程序或別的運用系統在上面正常運行的一個環境。

操作系統提供了很多的管理功能，主要是管理系統的軟體資源和硬體資源。

操作系統軟體自身的不可靠安全性，是計算機系統開發設計的不周而留下的破綻，都給網路安全留下隱患。

2.2.1操作系統結構體系的缺陷。

操作系統本身有內存管理、CPU管理、外設的管理，每個管理都涉及一些模塊或程序，如果在這些程序裡面存在問題，比如內存管理的問題，外部網路的一個連接過來，剛好連接一個有缺陷的模塊，可能出現的情況是，計算機系統會因此崩潰。

所以，有些黑客往往是針對操作系統的不完善進行攻擊，使計算機系統，特別是伺服器系統立刻癱瘓。

2.2.2操作系統支持在網路上傳送文件、載入或安裝程序，包括可執行文件，這些功能也會帶來不安全因素。

網路很重要的一個功能就是文件傳輸功能，比如FTP，這些安裝程序經常會帶一些可執行文件，這些可執行文件都是人為編寫的程序，如果某個地方出現漏洞，那麼系統就可能會造成崩潰。

像這些遠程調用、文件傳輸，如果生產廠家或個人在上面安裝間諜程序，那麼用戶的整個傳輸過程、使用過程都會被別人監視到，所有的這些傳輸文件、載入的程序、安裝的程序、執行文件，都可能給操作系統帶來安全的隱患。

所以，建議盡量少使用一些來歷不明，或者無法證明它安全性的軟體。

2.2.3操作系統有守護進程的防護功能，它是系統的一些進程，總是在等待某些事件的出現。

所謂的守護進程，就是監控病毒的監控軟體，當有病毒出現就會被捕捉。

但是有些進程是一些病毒，碰到特定的情況就會把用戶的硬碟格式化，這些進程就是很危險的守護進程，平時可能不起作用，可是在某些條件下發生後，就會發生作用。

如果操作系統守護進程被人為地破壞掉就會出現這種不良的安全隱患。

3網路安全的防患措施

上面已經分析了網路安全所存在的一系列隱患，其中包括網路本身所具有的脆弱性和一些管理上的失當等原因。

而作為計算機用戶，應該積極地採取有效的措施進行防患，以避免嚴重後果發生的可能性。

網路安全採用的主要防範措施如下：

3.1提高安全意識，加大安全管理力度

(1)配備專業的安全管理人員。

安全管理要有專人負責，同時還要有技術人員去落實。

(2)控制對網路的訪問和使用。

控制用戶對網路的訪問和使用的目的是保證網路資源不被非法使用和非法訪問。

(3)增強防病毒意識。

查、殺病毒是確保網路系統安全的必不可少的重要手段。

(4)及時做好數據備份工作，確保網路信息的安全。

3.2及時修補「漏洞」

網路軟體不可能無缺陷、無漏洞，這些漏洞和缺陷正是黑客攻擊的首選目標。

3.3利用網路安全技術

3.3.1防火牆技術

目前保護網路安全最主要的手段之一就是構築防火牆。

防火牆是一種形象的說法，其實它是一種計算機硬體和軟體相結合的技術，是在受保護網與外部網之間構造一個保護層，把攻擊者擋在受保護網的外面。

這種技術強制所有出入內外網的數據流都必須經過此安全系統。

它通過監測、限制或更改跨越防火牆的數據流，盡可能地對外部網路屏蔽有關受保護網路的信息和結構來實現對網路的安全保護。

因而防火牆可以被認為是一種訪問控制機制，用來在不安全的公共網路環境下實現局部網路的安全性。

3.3.2身份認證

身份認證是任何一個安全的計算機所必需的組成部分。

身份認證必須做到准確無誤地將對方辨認出來，同時還應該提供雙向的認證，即互相證明自己的身份，網路環境下的身份認證比較復雜，因為驗證身份的雙方都是通過網路而不是直接接觸，傳統的指紋手段等已無法使用，所以目前通常採用的是基於對稱密鑰加密或公開密鑰加密的方法，以及採用高科技手段的密碼技術進行身份驗證。

3.3.3訪問控制

訪問控制也叫接入控制，阻止非授權用戶進入網路，防止任何對計算機資源和通信資源的非授權訪問。

即根據用戶的身份賦予其相應的許可權，也就是說按事先確定的規則決定主體對客體的訪問是否合法。

訪問控制主要通過注冊口令、用戶分組控制、文件許可權控制三個層次來實現。

3.3.4基於密碼論的技術

密碼技術是集數學、計算機科學、電子與通信等諸多學科於一體的交叉學科，是保護信息安全的主要手段之一，它不僅具有保證信息機密性的信息加密功能，而且具有數字簽名、身份驗證、秘密分存、系統安全等功能。

(1)密鑰技術。

密鑰技術的任務是在一個密碼系統中控制密鑰的選擇和分配。

密鑰是一段數字信息，它與加密演算法相互作用，以控制信息的加密。

(2)數字簽名。

數字簽名是一種用於鑒別的重要技術。

數字簽名是一個數，它依賴於消息的所有位以及一個保密密鑰。

它的正確性可以用一個公開密鑰來檢驗。

數字簽名可以用於鑒別服務，也可以用於完整性服務和無拒絕服務。

當數字簽名用於無拒絕服務時，它是和公證一起使用的。

公證是通過可信任的第三方來驗證消息的。

(3)驗證技術。

驗證技術可分為基於共享密鑰的認證和基於公鑰的認證。

前者實際上是執行一種查詢―問答協議，發送方發送一個隨機數給接收方，接收方解密後以一種特殊形式轉換它並傳回結果，從而實現認證。

該協議的關鍵是如何建立共享密鑰。

3.3.5反病毒軟體

即使有防火牆、身份認證和加密措施，人們仍擔心遭到病毒和黑客的攻擊。

隨著計算機網路的發展，攜帶病毒和黑客程序的數據包和電子郵件越來越多，打開或運行這些文件，計算機就有可能感染病毒。

假如安裝有反病毒軟體，就可以預防、檢測一些病毒和黑客程序。

總之，網路安全是一項復雜的系統工程，涉及技術、設備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進行把握。

網路安全解決方案是綜合各種計算機網路信息系統安全技術，將安全操作系統技術、防火牆技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來，形成一套完整的、協調一致的網路安全防護體系。

我們必須做到管理和技術並重，安全技術必須結合安全措施，並加強網路立法和執法的力度，建立備份和恢復機制，制定相應的安全標准。

此外，由於網路病毒、網路犯罪等技術是不分國界的，因此必須進行充分的國際合作，來共同對付日益猖獗的網路犯罪和網路病毒等問題，確保網路安全。

參考文獻：

[1]白斌.防火牆在網路安全中的應用[J].科技創新導報，2007(35).

[2]彭，高.計算機網路信息安全及防護策略研究[J].計算機與數字工程，2011(01).

[3]陳愛梅.基於防火牆技術的網路安全的研究[J].科協論壇(下半月)，2008(05).

[4]郭勇.計算機網路安全淺析[J].科技廣場，2009(09).

⑺ 網路安全技術有哪幾種【關於網路安全技術及防護】

[摘 要]隨著的迅速發展,網路安全性已成為迫切需要解決的問題。隨著計算機網路的發展越來越深入,計算機系統的安全性就日益突出和復雜。首先從網路安全內涵開始,對其面臨的威脅及主要影響因素進行分析,重點介紹幾種普遍的安全技術及其防護技術的發展趨勢。
[關鍵詞]網路安全威脅防護技術趨勢
中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1210104-02

一、計算機網路安全概述

(一)網路安全的定義
國際標准化組織(ISO)將計算機安全定義為「為數據處理系統建立和採取的技術和管理的安全保護,保護計算機硬體、軟體數據不因偶然和惡意的原因而遭到破壞、更改和泄露。」我國自己提出的定義是:「計算機系統的硬體、軟體、數據受到保護,不因偶然的或惡意的原因而遭到破壞、更改、泄露,系統能連續正常運行。」因此,所謂網路安全就是指基於網路的互聯互通和運作而涉及的物理線路和連接的安全,網路系統的安全,操作系統的安全,應用服務的安全和人員管理的安全等幾個方面。總的說來,計算機網路橘轎的安全性,是由數據的安全性、通信的安全性和管理人員的安全意識三部分組成。①
(二)影響計算機網路安全的主要因素
計算機網路安全受到的安全威脅是來自各個方面的,一般來說,影響計算機網路安全的因世伍圓素主要有以下幾個方面:
1.計算機網路使信息的收集方便而且快速,信息的價值劇增,吸引了許多網上黑客前來攻擊。
2.現有的計算機系統皆有安全漏洞,使網路入侵成為可能。一般操作系統的體系結構其本身是不安全的,這也是計算機系統不安全的根本原因之一,操作系統的程序是可以動態連接的,包括FO的驅動程序與系統服務,都可以用打「補丁」的方式進行動態連接,為黑客的侵入和病毒的產生提供了一個好環境。
3.網路系統中數據的安全問題。網路中的信息數據是存放在計算機資料庫中的,通常也指存放在伺服器中的信息集,供不同的用戶來共享,資料庫存在不安全性和危險性,因為在資料庫系統中存放著大量重要的信息資源,在用戶共享資源時可能會出現以下現象:授權用戶超出了他們的訪問許可權進行更改活動,非法用戶繞過安全內核,竊取信息資源等。
4.遠程訪問控制使得每個主機甚至可以被國外的黑客攻擊。網路黑客是計算機網路發展的產物,黑客攻擊,早在10多年前的主機終端時代就已出現,隨著Internet的發展,現代黑客則從以系統為主的攻擊轉變到以網路為主的攻擊,利用網路竊取重要的情報,毀壞數據和信息。
5.目前的計算機病毒不但可以破壞計算機硬體,而且可以破壞網路安全系統並通過網路破壞更多的計算機。

二、計算機網路所面臨的威脅及攻擊

(一)管理的欠缺
網路系統的嚴格管理是企業、機構及用戶免受攻擊的重要措施。事實上,很多企業、機構及用戶的網站或系統都疏於這方面的管理。據IT界企業團體ITAA的調查顯示,美國90%的IT企業對黑客攻擊准備不足。目前,美國75～85%的網站都抵擋不住黑客的攻擊,約有75%的企業網上信息失竊,其中25%的企業損失在25萬美元以上。此外,管理的缺陷還可能出現系統內部人員泄露機密或外部人員通過非法手段截獲而導致機密信息的泄漏,從而為一些不法分子製造了可乘之機。②
(二)網路的缺陷及軟體的漏洞
網際網路的共享性和開放性使網上信息安全存在先天不足,因為其賴以生存的TCP/IP協議,缺乏相應的安全機制,而且網際網路最初的設計考慮是該網不會因局部故障而影響信息的傳輸,基本沒有考慮安全問題,因此它在安全可靠、服務質量、帶寬和方便性等方面存在著不適應性。此外,隨著軟體系統規模的不斷增大,系統中的安搜塌全漏洞或「後門」也不可避免地存在,比如我們常用的操作系統,無論是Windows還是UNIX都存在或多或少的安全漏洞,眾多的各類伺服器、瀏覽器、一些桌面軟體等等都被發現過存在安全隱患。
(三)計算機病毒
病毒是計算機中最讓人頭痛,也是最普遍的安全威脅,幾乎每一個用過電腦的人都受到過病毒或多或少的威脅。大到系統崩潰,數據丟失,小到影響系統性能,甚至有的病毒只是開個玩笑。
(四)黑客的攻擊
黑客是影響網路安全的最主要因素之一。「黑客」是英文「Hacker」的譯音,原意是用來形容獨立思考,然而卻奉公守法的計算機迷,熱衷於設計和編制計算機程序的程序設計者和編程人員。然而,隨著社會發展和技術的進步「Hacker」的定義有了新的演繹,出現了一類專門利用計算機犯罪的人,即那些憑借自己所掌握的計算機技術,專門破壞計算機系統和網路系統,竊取政治、軍事、商業秘密,或者轉移資金賬戶,竊取金錢,以及不露聲色地捉弄他人,秘密進行計算機犯罪的人。

三、計算機網路的安全技術

通過對網路系統各個層次的分析可以給數據鏈路層網路層系統層資料庫層和應用層提供全面的保護。
(一)加密技術
加密技術是網路安全的核心,現代密碼技術發展至今二十餘年,其技術已由傳統的只注重保密性轉移到保密性、真實性、完整性和可控性的完美結合。加密技術是解決網路上信息傳輸安全的主要方法,其核心是加密演算法的設計。③
1.非對稱密鑰加密
在非對稱機密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰),而且加密密鑰與解密密鑰不同,是一種利用公開加密密鑰加密,利用不公開解密密鑰解密的密碼體制。
2.對稱加密技術
在對稱加密技術中,對信息的加密和解密都使用相同的鑰匙,這種加密方法可簡化加密處理過程。信息交換雙方都不必彼此研究交換專用的加密演算法。若在交換階段私有密鑰未曾泄漏,那麼機密性和報文完整性就可以得以保證。
(二)網路防病毒技術
由於網路計算機病毒是網路系統最大的攻擊者,具有強大的傳染性和破壞力,網路防病毒技術已成為計算機網路安全的又一重要課題。防病毒技術可分為三種:病毒預防技術,病毒檢測技術和病毒消除技術。④
1.病毒預防技術
計算機病毒的預防技術是指通過一定的技術手段防止計算機病毒對系統的破壞。計算機病毒的預防應包括對已知病毒的預防和對未知病毒的預防。預防病毒技術包括:磁碟引導區保護、加密可執行程序、讀寫控制技術、系統監控技術等。
2.病毒檢測技術
計算機病毒的檢測技術是指通過一定的技術判定出計算機病毒的一種技術。計算機病毒的檢測技術有兩種:一種是判斷計算機病毒特徵的監測技術。病毒特徵包括病毒關鍵字、特徵程序段內容、傳染方式、文件長度的變化等。另一種是文件自身檢測技術,這是一種不針對具體病毒程序的特徵進行判斷,而只是通過對文件自身特徵的檢驗技術。
3.病毒消除技術
計算機病毒的消除技術是計算機病毒檢測技術發展的必然結果,是計算機病毒傳染程序的一種逆過程。但由於殺毒軟體的更新是在病毒出現後才能研製,有很大的被動性和滯後性,而且由於計算機軟體所要求的精確性,致使某些變種病毒無法消除,因而應經常升級殺毒軟體。
4.入侵檢測技術和網路監控技術
入侵檢測(IDSIntrusion Detection System)是近年來發展起來的一種防範技術,綜合採用了統計技術、規則方法、網路通信技術、人工智慧、密碼學、推理等技術和方法,其作用是監控網路和計算機系統是否出現被入侵或濫用的徵兆。根據採用的分析技術可分為簽名分析法和統計分析法。
(三)防火牆技術
網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段進入內部網路,訪問內部網路資源,保護內部網路的特殊網路互聯設備。
1.防火牆技術的定義
在網路中,防火牆是內部網路與外界網路之間的一道防禦系統,通過它使得內部網路與Internet或者其他外部網路之間相互隔離,並通過限制網路互訪來保護內部網路,但這些對數據的處理操作並不會妨礙人們對風險區域的訪問。
2.防火牆的關鍵技術
根據防火牆所採用的技術不同,我們可以將它分為4種基本類型:包過濾型、網路地址轉換型,代理型和監測型。⑤
(1)包過濾型。包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以「包」為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源埠和目標埠等。
(2)網路地址轉換型。網路地址轉換是一種用於把IP地址轉換成臨時的、外部的IP地址標准。它允許具有私有IP地址的內網訪問網際網路。
(3)代理型。代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後由代理伺服器將數據傳輸給客戶機。
(4)監測型。監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。

四、網路安全防護的發展趨勢

(一)加強病毒監控
隨著病毒技術的發展,病毒的宿主也越來越多,在宿主增多的同時,傳播途徑也越來越廣,目前較受關注的一項病毒注入技術是利用電磁波注入病毒。這種技術的基本設想是把計算機病毒調制在電磁信號並向計算機網路系統所在方向輻射,電磁信號通過網路中某些適當的節點進入網路,然後計算機病毒就在網路中傳播,產生破壞作用。所以加強病毒監控成為網路安全防護的一項重要內容。
(二)建立安全可靠的虛擬專用網
虛擬專用網(VPN)系統採用復雜的演算法來加密傳輸的信息,使分布在不同地方的專用網路在不可信任的公共網路上安全地通信。其工作流程大致如下:1.要保護的主機發送不加密信息到連接公共網路的虛擬專網設備;2.虛擬專網設備根據網路管理員設置的規則,確認是否需要對數據進行加密或讓數據直接通過;3.對需要加密的數據,虛擬專網設備對整個數據包(包括要傳送的數據、發送端和接收端的IP地址)進行加密和附上數字簽名;4.虛擬專網設備加上新的數據包頭,其中包括目的地虛擬專網設備需要的安全信息和一些初始化參數;5.虛擬專網設備對加密後數據、鑒別包以及源IP地址、目標虛擬專網設IP地址進行重新封裝,重新封裝後數據包通過虛擬通道在公網上傳輸;6.當數據包到達目標虛擬專網設備時,數字簽名被核對無誤後數據包被解密。
(三)強化管理
網路安全不只是一個單純的技術問題,而且也是一個十分重要的管理問題。採取各種措施對計算機網路實施有效管理是計算機網路防護的主要內容之一。一般,計算機網路管理包括安全審計、行政管理、人事管理等幾個方面的內容。安全審計是對計算機系統的安全事件進行收集、記錄、分析、判斷,並採取相應的安全措施進行處理的過程。

注釋:
①李靜,計算機網路安全與防範措施,湖南省政法管理部學院學報,2002,18(1):8.
②張寶劍,計算機安全與防護技術[M].機械工業,2003,1.
③王德秀,網路安全技術及應用,有線電視技術,2003,1.
④梅筱琴、蒲韻、廖凱生,計算機病毒防治與網路安全手冊,海洋出版社,2004:9～2.
⑤余偉建、王凌,黑客攻擊手段分析與防範,人民郵電出版社,2003:10～13.


參考文獻:
[1]李靜,計算機網路安全與防範措施,湖南省政法管理部學院學報,2002,18(1):8.
[2]王春、林海波,網路安全與防火牆技術,北京:清華大學出版社,2000:10～30.
[3]秦超、李素科、滿成圓,網路與系統安全實用指南,北京航空航天大學出版社,2002.
[4]劉東華等著,網路與通信安全技術,人民郵電出版社,2002.
作者簡介:
張尚理,男,碩士研究生,高級工程師,研究方向:網路安全。

⑻ 安裝常用的網路安全協議有哪些

常用的網路安全協議包括：SSL、TLS、IPSec、Telnet、SSH、SET 等

網路安全協議是營造網路安全環境的基礎，是構建安全網路的關鍵技術。設計並保證網路安全協議的安全性和正確性能夠從基礎上保證網路安全，避免因網路安全等級不夠而導致網路數據信息丟失或文件損壞等信息泄露問題。在計算機網路應用中，人們對計算機通信的安全協議進行了大量的研究，以提高網路信息傳輸的安全性。

網路安全的內容包括：計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題，實施網路安全增強方案，以保證計算機網路自身的安全性為目標。