营造信息网络安全新环境

① 结合实验课项目及所收集信息，谈谈如何构建安全网络信息环境，以及如何从技术角度应对各种网络安全威胁

一、引言
微型计算机和局域网的广泛应用,基于client/server体系结构的分布式系统的出现,I
SDN,宽带ISDN的兴起,ATM技术的实施,卫星通信及全球信息网的建设,根本改变了以往主机
-终端型的网络应用模式;传统的、基于Mainframe的安全系统结构已不能适用于新的网络环
境,主要原因是:
(1)微型机及LAN的引入,使得网络结构成多样化,网络拓扑复杂化;
(2)远地工作站及远地LAN对Mainframe的多种形式的访问,使得网络的地理分布扩散化
;
(3)多种通讯协议的各通讯网互连起来,使得网络通信和管理异质化。
构作Micro-LAN-Mainframe网络环境安全体系结构的目标同其它应用环境中信息安全的
目标一致,即:
(1)存储并处理于计算机和通信系统中的信息的保密性；
(2)存储并处理于计算机和通信系统中的信息的完整性；
(3)存储并处理于计算机和通信系统中的信息的可用性；
(4)对信息保密性、完整性、拒绝服务侵害的监查和控制。
对这些安全目标的实现不是绝对的,在安全系统构作中,可因地制宜,进行适合于自身条
件的安全投入,实现相应的安全机制。但有一点是应该明确的,信息安全是国民经济信息化
必不可少的一环,只有安全的信息才是财富。
对于潜在的财产损失,保险公司通常是按以下公式衡量的:
潜在的财产损失=风险因素×可能的损失
这里打一个比方,将信息系统的安全威胁比作可能的财产损失,将系统固有的脆弱程度
比作潜在的财产损失,于是有:
系统的脆弱程度=处于威胁中的系统构件×安全威胁
此公式虽不能将系统安全性定量化,但可以作为分析信息安全机制的适用性和有效性的
出发点。
对计算机犯罪的统计表明,绝大多数是内部人员所为。由于在大多数Micro-LAN-Mainf
rame系统中,用户登录信息、用户身份证件及其它数据是以明文形式传输的,任何人通过连
接到主机的微型机都可秘密地窃取上述信息。图1给出了我们在这篇文章中进行安全性分析
的网络模型,其安全性攻击点多达20个。本文以下各部分将详细讨论对此模型的安全威胁及
安全对策。
@@14219700.GIF;图1.Micro-LAN-Mainframe网络模型@@
二、开放式系统安全概述
1.OSI安全体系结构
1989年2月15日,ISO7498-2标准的颁布,确立了OSI参考模型的信息安全体系结构,它对
构建具体网络环境的信息安全构架有重要的指导意义。其核心内容包括五大类安全服务以
及提供这些服务所需要的八类安全机制。图2所示的三维安全空间解释了这一体系结构。
@@14219701.GIF;ISO安全体系结构@@
其中,一种安全服务可以通过某种安全机制单独提供,也可以通过多种安全机制联合提
供;一种安全机制可用于提供一种或多种安全服务。
2.美军的国防信息系统安全计划DISSP
DISSP是美军迄今为止最庞大的信息系统安全计划。它将为美国防部所有的网络(话音
、数据、图形和视频图象、战略和战术)提供一个统一的、完全综合的多级安全策略和结构
,并负责管理该策略和结构的实现。图3所示的DISSP安全框架三维模型,全面描述了信息系
统的安全需求和结构。第一维由九类主要的安全特性外加两类操作特性组成,第二维是系统
组成部件,它涉及与安全需求有关的信息系统部件,并提供一种把安全特性映射到系统部件
的简化手段;第三维是OSI协议层外加扩展的两层,OSI模型是面向通信的,增加两层是为了适
应信息处理。
@@14219702.GIF;DISSP安全框架雏形@@
3.通信系统的安全策略
1节和2节较全面地描述了信息系统的安全需求和结构,具有相当的操作指导意义。但仅
有这些,对于构作一个应用于某组织的、具体的网络应用环境的安全框架或安全系统还是不
够的。
目前,计算机厂商在开发适用于企业范围信息安全的有效策略方面并没有走在前面,这
就意味着用户必须利用现有的控制技术开发并维护一个具有足够安全级别的分布式安全系
统。一个安全系统的构作涉及的因素很多,是一个庞大的系统工程。一个明晰的安全策略必
不可少,它的指导原则如下:
·对安全暴露点实施访问控制；
·保证非法操作对网络的数据完整性和可用性无法侵害；
·提供适当等级的、对传送数据的身份鉴别和完整性维护；
·确保硬件和线路的联接点的物理安全；
·对网络设备实施访问控制；
·控制对网络的配置；
·保持对网络设施的控制权；
·提供有准备的业务恢复。
一个通信系统的安全策略应主要包括以下几个方面的内容:
总纲；
适用领域界定；
安全威胁分析；
企业敏感信息界定；
安全管理、责任落实、职责分明；
安全控制基线；
网络操作系统；
信息安全:包括用户身份识别和认证、文件服务器控制、审计跟踪和安全侵害报告、数
据完整性及计算机病毒；
网络安全:包括通信控制、系统状态控制、拨号呼叫访问控制；
灾难恢复。
三、LAN安全
1.LAN安全威胁
1)LAN环境因素造成的安全威胁
LAN环境因素,主要是指LAN用户缺乏安全操作常识;LAN提供商的安全允诺不能全部兑现
。
2)LAN自身成员面临的安全威胁
LAN的每一组成部件都需要保护,包括服务器、工作站、工作站与LAN的联接部件、LAN
与LAN及外部世界的联接部件、线路及线路接续区等。
3)LAN运行时面临的安全威胁
(1)通信线路上的电磁信号辐射
(2)对通信介质的攻击,包括被动方式攻击(搭线窃听)和主动方式攻击(无线电仿冒)
(3)通过联接上网一个未经授权的工作站而进行的网络攻击。攻击的方式可能有：窃听
网上登录信息和数据;监视LAN上流量及与远程主机的会话,截获合法用户log off指令,继续
与主机会话;冒充一个主机LOC ON,从而窃取其他用户的ID和口令。
(4)在合法工作站上进行非法使用,如窃取其他用户的ID、口令或数据
(5)LAN与其他网络联接时,即使各成员网原能安全运行,联网之后,也可能发生互相侵害
的后果。
(6)网络病毒
4)工作站引发的安全威胁
(1)TSR和通信软件的滥用:在分布式应用中,用户一般在本地微机及主机拥有自己的数
据。将微机作为工作站,LAN或主机系统继承了其不安全性。TSR是用户事先加载,由规定事
件激活的程序。一个截获屏幕的TSR可用于窃取主机上的用户信息。这样的TSR还有许多。
某些通信软件将用户键入字符序列存为一个宏,以利于实现对主机的自动LOGON,这也是很危
险的。
(2)LAN诊断工具的滥用:LAN诊断工具本用于排除LAN故障,通过分析网上数据包来确定
线路噪声。由于LAN不对通信链路加密,故LAN诊断工具可用于窃取用户登录信息。
(3)病毒与微机通信:例如Jerusalem-B病毒可使一个由几千台运行3270仿真程序的微机
组成的网络瘫痪。
2 LAN安全措施
1)通信安全措施
(1)对抗电磁信号侦听:电缆加屏蔽层或用金属管道,使较常规电缆难以搭线窃听;使用
光纤消除电磁辐射;对敏感区域(如电话室、PBX所在地、服务器所在地)进行物理保护。
(2)对抗非法工作站的接入:最有效的方法是使用工作站ID,工作站网卡中存有标识自身
的唯一ID号,LAN操作系统在用户登录时能自动识别并进行认证。
(3)对抗对合法工作站的非法访问:主要通过访问控制机制,这种机制可以逻辑实现或物
理实现。
(4)对通信数据进行加密,包括链路加密和端端加密。
2)LAN安全管理
(1)一般控制原则,如对服务器访问只能通过控制台;工作站间不得自行联接;同一时刻
,一个用户只能登录一台工作站;禁止使用网上流量监视器;工作站自动挂起;会话清除;键盘
封锁;交易跟踪等。
(2)访问控制,如文件应受保护,文件应有多级访问权力;SERVER要求用户识别及认证等
。
(3)口令控制,规定最大长度和最小长度;字符多样化;建立及维护一个软字库,鉴别弱口
令字;经常更换口令等。
(4)数据加密:敏感信息应加密
(5)审计日志:应记录不成功的LOGIN企图,未授权的访问或操作企图,网络挂起,脱离联
接及其他规定的动作。应具备自动审计日志检查功能。审计文件应加密等。
(6)磁盘利用:公用目录应只读,并限制访问。
(7)数据备份:是LAN可用性的保证;
(8)物理安全:如限制通信访问的用户、数据、传输类型、日期和时间;通信线路上的数
据加密等。
四、PC工作站的安全
这里,以荷兰NMB银行的PC安全工作站为例,予以说明。在该系统中,PC机作为IBM SNA主
机系统的工作站。
1.PC机的安全局限
(1)用户易于携带、易于访问、易于更改其设置。
(2)MS-DOS或PC-DOS无访问控制功能
(3)硬件易受侵害;软件也易于携带、拷贝、注入、运行及损害。
2.PC安全工作站的目标
(1)保护硬件以对抗未授权的访问、非法篡改、破坏和窃取；
(2)保护软件和数据以对抗:未授权的访问、非法篡改、破坏和窃取、病毒侵害；
(3)网络通信和主机软硬件也应类似地予以保护；
3.安全型PC工作站的设计
(1)PC硬件的物理安全:一个的可行的方法是限制对PC的物理访问。在PC机的后面加一
个盒子,只有打开这个盒子才能建立所需要的联接。
(2)软件安全:Eracon PC加密卡提供透明的磁盘访问;此卡提供了4K字节的CMOS存储用
于存储密钥资料和进行密钥管理。其中一半的存储区对PC总线是只可写的,只有通过卡上数
据加密处理的密钥输入口才可读出。此卡同时提供了两个通信信道,其中一个支持同步通信
。具体的安全设计细节还有:
A、使用Clipcards提供的访问权授予和KEY存储(为脱机应用而设)、Clipcards读写器
接于加密卡的异步口。
B、对硬盘上全部数据加密,对不同性质的文件区分使用密钥。
C、用户LOGON时,强制进入与主机的安全监控器对话,以对该用户进行身份验证和权力
赋予;磁盘工作密钥从主机传送过来或从Clipcards上读取(OFFLINE);此LOGON外壳控制应用
环境和密钥交换。
D、SNA3270仿真器:利用Eracon加密卡实现与VTAM加解密设备功能一致的对数据帧的加
密。
E、主机安全监控器(SECCON):如果可能,将通过3270仿真器实现与PC安全监控程序的不
间断的会话;监控器之间的一套消息协议用于完成对系统的维护。
五、分布式工作站的安全
分布式系统的工作站较一般意义上的网络工作站功能更加全面,它不仅可以通过与网上
服务器及其他分布式工作站的通信以实现信息共享,而且其自身往往具备较强的数据存储和
处理能力。基于Client/Server体系结构的分布式系统的安全有其特殊性,表现如下:
(1)较主机系统而言,跨局域网和广域网,联接区域不断扩展的工作站环境更易受到侵害
;
(2)由于工作站是分布式的;往往分布于不同建筑、不同地区、甚至不同国家,使安全管
理变得更加复杂;
(3)工作站也是计算机犯罪的有力工具,由于它分布广泛,安全威胁无处不在;
(4)工作站环境往往与Internet及其他半公开的数据网互联,因而易受到更广泛的网络
攻击。
可见,分布式工作站环境的安全依赖于工作站和与之相联的网络的安全。它的安全系统
应不劣于主机系统,即包括用户的身份识别和认证;适当的访问控制;强健的审计机制等。除
此之外,分布式工作站环境还有其自身的特殊安全问题,如对网络服务器的认证,确保通信中
数据的保密性和完整性等。这些问题将在后面讨论。
六、通信中的信息安全
通过以上几部分的讨论,我们已将图1所示的网络组件(包括LAN、网络工作站、分布式
工作站、主机系统)逐一进行了剖析。下面,我们将就它们之间的联接安全进行讨论。
1.加密技术
结合OSI七层协议模型,不难理解加密机制是怎样用于网络的不同层次的。
(1)链路加密:作用于OSI数据模型的数据链路层,信息在每一条物理链路上进行加密和
解密。它的优点是独立于提供商,能保护网上控制信息;缺点是浪费设备,降低传输效率。
(2)端端加密:作用于OSI数据模型的第4到7层。其优点是花费少,效率高;缺点是依赖于
网络协议,安全性不是很高。
(3)应用加密:作用于OSI数据模型的第7层,独立于网络协议;其致命缺点是加密算法和
密钥驻留于应用层,易于失密。
2.拨号呼叫访问的安全
拨号呼叫安全设备主要有两类,open-ended设备和two-ended设备,前者只需要一台设备
,后者要求在线路两端各加一台。
(1)open-ended设备:主要有两类,端口保护设备(PPDs)和安全调制解调器。PPDs是处于
主机端口和拨号线路之间的前端通信处理器。其目的是隐去主机的身份,在将用户请求送至
主机自身的访问控制机制前,对该用户进行预认证。一些PPDs具有回叫功能,大部分PPDs提
供某种形式的攻击示警。安全调制解调器主要是回叫型的,大多数有内嵌口令,用户呼叫调
制解调器并且输入口令,调制解调器验证口令并拆线。调制解调器根据用户口令查到相应电
话号码,然后按此号码回叫用户。
(2)two-ended设备:包括口令令牌、终端认证设备、链路加密设备和消息认证设备。口
令令牌日益受到大家欢迎,因为它在认证线路另一端的用户时不需考虑用户的位置及网络的
联接类型。它比安全调制解调器更加安全,因为它允许用户移动,并且禁止前向呼叫。
口令令牌由两部分组成,运行于主机上与主机操作系统和大多数常用访问控制软件包接
口的软件,及类似于一个接卡箱运算器的硬件设备。此软件和硬件实现相同的密码算法。当
一个用户登录时,主机产生一个随机数给用户,用户将该随机数加密后将结果返回给主机;与
此同时,运行于主机上的软件也作同样的加密运算。主机将这两个结果进行对比,如果一致
,则准予登录。
终端认证设备是指将各个终端唯一编码,以利于主机识别的软件及硬件系统。只有带有
正确的网络接口卡(NIC)标识符的设备才允许登录。
链路加密设备提供用于指导线路的最高程度的安全保障。此类系统中,加密盒置于线路
的两端,这样可确保传送数据的可信性和完整性。唯一的加密密钥可用于终端认证。
消息认证设备用于保证传送消息的完整性。它们通常用于EFT等更加注重消息不被更改
的应用领域。一般采用基于DES的加密算法产生MAC码。
七、安全通信的控制
在第六部分中,我们就通信中采取的具体安全技术进行了较为详细的讨论。但很少涉及
安全通信的控制问题,如网络监控、安全审计、灾难恢复、密钥管理等。这里,我们将详细
讨论Micro-LAN-Mainframe网络环境中的用户身份认证、服务器认证及密钥管理技术。这三
个方面是紧密结合在一起的。
1.基于Smartcards的用户认证技术
用户身份认证是网络安全的一个重要方面,传统的基于口令的用户认证是十分脆弱的。
Smartcards是一类一话一密的认证工具,它的实现基于令牌技术。其基本思想是拥有两个一
致的、基于时间的加密算法,且这两个加密算法是同步的。当用户登录时,Smartcards和远
端系统同时对用户键入的某一个系统提示的数进行运算(这个数时刻变化),如果两边运行结
果相同,则证明用户是合法的。
在这一基本的Smartcards之上,还有一些变种,其实现原理是类似的。
2.kerboros用户认证及保密通信方案
对于分布式系统而言,使用Smartcards,就需要为每一个远地系统准备一个Smartcard,
这是十分繁琐的,MIT设计与开发的kerboros用户认证及保密通信方案实现了对用户的透明
,和对用户正在访问的网络类型的免疫。它同时还可用于节点间的保密通信及数据完整性的
校验。kerboros的核心是可信赖的第三方,即认证服务中心,它拥有每一个网络用户的数据
加密密钥,需要用户认证的网络服务经服务中心注册,且每一个此类服务持有与服务中心通
信的密钥。
对一个用户的认证分两步进行,第一步,kerboros认证工作站上的某用户;第二步,当该
用户要访问远地系统服务器时,kerboros起一个中介人的作用。
当用户首次登录时,工作站向服务器发一个请求,使用的密钥依据用户口令产生。服务
中心在验明用户身份后,产生一个ticket,所使用的密钥只适合于该ticket-granting服务。
此ticket包含用户名、用户IP地址、ticket-granting服务、当前时间、一个随机产生的密
钥等;服务中心然后将此ticket、会话密钥用用户密钥加密后传送给用户;用户将ticket解
密后,取出会话密钥。当用户想联接某网络服务器时,它首先向服务中心发一个请求,该请求
由两部分组成,用户先前收到的ticket和用户的身份、IP地址、联接服务器名及一个时间值
,此信息用第一次传回的会话密钥加密。服务中心对ticket解密后,使用其中的会话密钥对
用户请求信息解密。然后,服务中心向该用户提供一个可与它相联接的服务器通信的会话密
钥及一个ticket,该ticket用于与服务器通信。
kerboros方案基于私钥体制,认证服务中心可能成为网络瓶颈,同时认证过程及密钥管
理都十分复杂。
3.基于公钥体制的用户认证及保密通信方案
在ISO11568银行业密钥管理国际标准中,提出了一种基于公钥体制,依托密钥管理中心
而实现的密钥管理方案。该方案中,通信双方的会话密钥的传递由密钥管理中心完成,通信
双方的身份由中心予以公证。这样就造成了密钥管理中心的超负荷运转,使之成为网上瓶颈
,同时也有利于攻击者利用流量分析确定网络所在地。
一个改进的方案是基于公钥体制,依托密钥认证中心而实现的密钥管理方案。该方案中
,通信双方会话密钥的形成由双方通过交换密钥资料而自动完成,无须中心起中介作用,这样
就减轻了中心的负担,提高了效率。由于篇幅所限,这里不再展开讨论。
八、结论
计算机网络技术的迅速发展要求相应的网络安全保障,一个信息系统安全体系结构的确
立有助于安全型信息系统的建设,一个具体的安全系统的建设是一项系统工程,一个明晰的
安全策略对于安全系统的建设至关重要,Micro-LAN-Mainframe网络环境的信息安全是相对
的,但其丰富的安全技术内涵是值得我们学习和借鉴的。

② 如何强化网络安全，有效净化网上舆论环境

净化网络环境和新媒体环境有以下几点建议：
一是深化对网络文化建设的认识。网络文化建设是中国特色社会主义先进文化建设的重要组成部分，必须始终坚持社会主义先进文化的前进方向，坚持正确的舆论导向，坚持把社会效益放在首位，按照积极利用、科学发展、依法管理、确保安全的要求，在建设中加强管理，以管理促进健康发展。网络文化“重在建设”，既要重视技术手段建设，更要重视内容建设，以先进技术传播先进文化；既要重视网站建设，更要重视舆论导向，以正确引导社会舆论；既要重视网络文化产品创作和生产，更要重视产品价值和社会效益提升，以优秀的网络文化产品满足广大群众日益增长的精神文化需求。
二是加强监督管理：希望有关部门加快网络立法和法律监管步伐，运用法律手段加强对网络运营和网络产品的监管，尽快实行网络、手机实名制，确保有线、无线上网的身份认证；建立和完善网络分级管理体制与青少年网络保护法律体系，根据不同的受众对象，赋予网络经营者不同的经营权限；设立互联网安全执法部门，严厉打击并严惩重罚网络违法犯罪行为，维护互联网安全和正常秩序。同时应加强宣传和监督，对青少年不适宜进入的场所要严把“禁入”关，对于违反相关规定接纳未成年人进入的经营场所要严加处罚和整治。相关部门应该加强指导和监督，建立职业资格认证制度，对网站经营者加强业务培训，规范网络发布内容，在源头上把好关，为青少年输送适合他们身心发展的网络信息和文化精品。
三是净化网络环境，积极构筑绿色网上空间和服务平台。依法管理互联网，严厉打击网络违法犯罪、网络色情等不法行为，积极倡导行业自律，充分发挥社会监督作用，及时遏制网上有害信息传播，并且从网民结构特点和网络应用实际出发主动搭建平台，突出互联网社会服务功能，着力营造良好的网上环境。设立青少年喜闻乐见的“绿色健康”网站，通过学习、就业、交友、心理咨询、法律援助等青少年感兴趣的、能切实为青少年服务的形式，吸引他们积极参与。推动网络文化向社区和农村延伸，努力在社区、乡村打造集政务、娱乐、信息、教育、服务、惠民等功能为一体的社区（乡村）网络文化，建设传递文明和谐、温馨关爱的网上幸福家园。
四是充分发挥新媒体平台优势，用先进技术传播先进文化，用新阵地引领社会新风尚。充分发挥手机媒体、微博、视频拍客等新兴媒体“短、平、快”的传播优势，围绕弘扬社会公德、倡导文明新风、净化网络环境、营造和谐氛围。集中优势资源、打造品牌栏目是新闻网站科学定位、快速发展的必由之路。
因此,净化网络和新媒体环境，需要全社会共同的努力。

③ 网络及信息系统需要构建什么样的网络安全防护体系

网络安全保障体系的构建

网络安全保障体系如图1所示。其保障功能主要体现在对整个网络系统的风险及隐患进行及时的评估、识别、控制和应急处理等，便于有效地预防、保护、响应和恢复，确保系统安全运行。

图4 网络安全保障体系框架

网络安全管理的本质是对网络信息安全风险进行动态及有效管理和控制。网络安全风险管理是网络运营管理的核心，其中的风险分为信用风险、市场风险和操作风险，包括网络信息安全风险。实际上，在网络信息安全保障体系框架中，充分体现了风险管理的理念。网络安全保障体系架构包括五个部分：

1) 网络安全策略。属于整个体系架构的顶层设计，起到总体宏观上的战略性和方向性指导作用。以风险管理为核心理念，从长远发展规划和战略角度整体策划网络安全建设。

2) 网络安全政策和标准。是对网络安全策略的逐层细化和落实，包括管理、运作和技术三个层面，各层面都有相应的安全政策和标准，通过落实标准政策规范管理、运作和技术，保证其统一性和规范性。当三者发生变化时，相应的安全政策和标准也需要调整并相互适应，反之，安全政策和标准也会影响管理、运作和技术。

3) 网络安全运作。基于日常运作模式及其概念性流程（风险评估、安全控制规划和实施、安全监控及响应恢复）。是网络安全保障体系的核心，贯穿网络安全始终；也是网络安全管理机制和技术机制在日常运作中的实现，涉及运作流程和运作管理。

4) 网络安全管理。对网络安全运作至关重要，从人员、意识、职责等方面保证网络安全运作的顺利进行。网络安全通过运作体系实现，而网络安全管理体系是从人员组织的角度保证正常运作，网络安全技术体系是从技术角度保证运作。

5) 网络安全技术。网络安全运作需要的网络安全基础服务和基础设施的及时支持。先进完善的网络安全技术可极大提高网络安全运作的有效性，从而达到网络安全保障体系的目标，实现整个生命周期（预防、保护、检测、响应与恢复）的风险防范和控制。

摘自-拓展：网络安全技术及应用（第3版）贾铁军主编，机械工业出版社，2017

④ 结合实际情况论述新时代大学生应如何认识网络安全问题及如何营造风清气正的网络环境

大学生从自身角度出发，努力学习网络安全防范理论，增强网络安全防范意识，同时做好监督“主人翁”。

网络生态关系每个人的切身利益，淫秽色情、低俗庸俗、恐怖惊悚、赌博诈骗等不良生活方式在网上传播挑动群众的神经，在网下也会形成不良的社会风气，特别是对判断力较低的青少年影响最大，严重影响青少年的身心健康。

(4)营造信息网络安全新环境扩展阅读：

大学生网络安全意识薄弱的主要原因

（一）网络不安全因素比较隐蔽

网络不安全因素的隐蔽性欺骗了大学生。现在有很多学生都有QQ号、网银账号被盗的经历，但是也有很多学生认为没有人企图对他们实施数据盗窃。

网络安全不仅是指网络信息安全，还包括网络设备安全和网络软体安全。由于技术原因，目前的电脑操作系统都存在安全漏洞，入侵者可以利用各种工具借助系统漏洞入侵他人电脑，或盗取他人的信息，或借用他人电脑对网络实施恶意攻击。

（二）学校网络安全教育的缺位

大学生网络安全知识匮乏、网络法律和道德意识淡薄的现状与学校在网络安全教育方面的缺位有着一定的关系。

⑤ 为什么要营造良好网络环境

2017年国家网络安全宣传周开幕式16日在上海西郊会议中心举行。中共中央政治局常委、中央书记处书记、中央网络安全和信息化领导小组副组长刘云山在开幕式上发表讲话，并参观网络安全博览会暨网络安全成就展，强调要深入贯彻网络强国战略思想，坚持网络安全和网络发展同步推进，把保障人民群众的安全和利益作为网络安全工作的根本出发点，为党的十九大胜利召开营造良好网络环境。

今年网络安全宣传周主题是“网络安全为人民，网络安全靠人民”，将举行网络安全博览会暨网络安全成就展、网络安全技术高峰论坛以及网络安全主题日活动。

营造良好的网络环境，不仅国家要作出努力，人民更应作出努力。

⑥ 从网络安全角度出发,谈谈如何建设好中国网络空间

为了国家的网络安全，必须营造清朗的网络空间。互联网是意识形态工作的主阵地，网络空间是亿万网民共同的精神家园，必须履行好加强网上舆论工作的责任，把加强网络内容建设放在重中之重的位置，推动优秀精神文化产品上网，让主流思想文化的阳光洒满网络。

要走好网上群众路线，善于通过网络了解民情民意，主动回应网民关切，解疑释惑、凝聚共识，更好地构筑网上网下同心圆。要运用网络传播规律，创新改进网上宣传方式，让网民听得懂、听得进。本着对社会负责、对人民负责的态度。

坚持依法依规加强网络空间治理、加强对各种有害信息和网络谣言的管控，推进网络依法有序规范运行，用法治的力量使网络空间清朗起来。具体如下：

核心观点是我们需要探索建立一个使网络信息的片面、不健康、违法因素被网络环境随时随地、自动给予筛选和甄别的机制，才能使网络信息更好地服务转型期的中国社会，网络空间的清朗才能长治久安。

1、还网络一个清朗空间

互联网在中国继续保持快速发展态势，网民人数进一步增加，市场规模进一步扩大，新业态新技术不断推陈出新，互联网以更加迅猛的势头融入到中国社会的方方面面。互联网在信息获取、文化生活、电子商务、交流沟通等方面的应用稳步增长，新产品加快普及的同时。

互联网的媒体属性也越来越强。网络传递信息具有即时性、个性化、互动化的优点，但是也有碎片化、自我强化、剧场效应等特征。如何发挥网络传播信息的优点，避免网络成为片面信息的放大器、社会戾气的集散地、违法信息的藏身地。

还网络一个清朗空间，成为社会关注的焦点问题。简单地看，网络信息分为正面的信息、正能量的信息、阳光的信息和负面的信息、负能量的信息、阴暗的信息。对网络信息的社会影响作出正与负的区分，是必要的。因为，正向的信息令人振作、有信心。

负向的信息使人沮丧、打击信心。中国社会处于转型期，更需要全体中国人民拨开社会发展的迷雾，聚合正能量，凝聚起团结奋斗的共同思想基础。可是面对自媒体时代的海量信息，什么机制能够依照简便易行的标准，独立作出正向与负向的标签管理呢。

网络信息的生产是即时的、海量的，网络信息的标签管理也必须是即时的、海量的，否则网络信息的筛选、甄别、监管就会具有迟滞性，网络空间总会积存一些标签管理的“漏网之鱼”，翻出片面、虚假、违法的“负面信息之浪”。

我们需要探索建立一个使网络信息的片面、不健康、违法因素被网络环境随时随地、自动给予筛选和甄别的机制，才能使网络信息更好地服务转型期的中国社会，网络空间的清朗才能长治久安。

2、把握好网上舆论引导的时、度、效

探索这种让网络空间清朗起来的机制，需要从三个层面同时着手。

一是建设好政府管理的基本面。网络信息是社会经济政治生活的再加工、再反映。近十年来网络信息在推进政府管理创新，增强政府管理的透明性、回应性方面已经有很大进展。目前中国97%以上的中央政府部门、100%的省级政府和98%以上的地市级政府部门开通了政府门户网站。

政务微博账号数量超过17万个。政府通过网络载体，及时回应社会关切，接受社会监督，征询网民对重大政策措施的意见，进而改进工作。越来越多的人通过网络参与社会公共事务管理，民众与政府之间的沟通更加顺畅。政府的职责和作用主要是保持宏观经济稳定。

加强和优化公共服务，保障公平竞争，加强市场监管，维护市场秩序，推动可持续发展，促进共同富裕，弥补市场失灵。只要在切实转变政府职能，深化行政体制改革，创新行政管理方式，增强政府公信力和执行力，建设法治政府和服务型政府方面。

既有善始善终、善做善成的高层推动又有时不我待、锲而不舍的基层行动，围绕着公权力的行使的社会生态就会得到纯洁和净化来源于公权力的负面消息就会减少，网络空间放大这类信息的基础就会被消解。

二是建设好网络空间法律环境的基础面。法治是网络媒体管理的基本原则。通过法治的方式，保障人民群众通过网络媒体的方式，实现知情权、参与权、表达权、监督权，是网络信息管理的基础工程。特别是要根据新媒体技术的特点和需求，探索建立以法治为基础的新媒体管理模式。

新媒体是区别于传统广播、电视、报纸等媒体的新兴数字化媒体。它以社交媒体如社交网站、微博、微信、博客、论坛、播客等为代表。这类即时通讯工具的大量使用，打破了传统媒体的单向传播方式，使网络成为兼具信息发布功能舆论传播功能、社会动员功能的聚合器。

随着微博、微信等社交网络的快速发展，更多的网民参与网上内容创造。据对中国最有影响的10家网站统计，网民每天发表的论坛帖文和新闻评论达300多万条，每天发布和转发的微博客信息超过2亿条。互联网为人们传递和获取信息、增进彼此交流、表达意见建议搭建了新的更大平台。

但是也放大了网络的媒体属性，产生出游离于事实真相与法律责任之外的众多“原创信息”与“转发评论”。这类社交媒体信息具有信息的生产者与消费者、传播者合一的特点，却不具有报刊、电台、电视台等传统媒体的专业性品质和公信力约束，容易让虚假信息、违法信息藏身其中。

因此，加快完善网络法律法规，形成对自媒体环境中网络信息生产的法律责任约束，加强网站自律和网民自律，坚决打击网络犯罪，让网络管理、网络运用、网络服务始终在法治轨道上健康运行，我们才能为新媒体网络信息生产与传播的健康有序，提供坚实的法治基础。

三是建设好网络舆论环境的引导面。网上舆论引导工作是我们党宣传思想工作的重中之重。网上舆论工作的核心目标，是进一步巩固马克思主义在意识形态领域的指导地位，巩固全党全国各族人民团结奋斗的共同思想基础，牢牢把握我们党对意识形态工作的领导权、管理权、话语权。

在政府管理的基本面、网络空间法律环境基础面的建设效率都大大提升之后，网络舆论生态已然大大优化。做好网上舆论引导工作的目标更加单一确定，难度系数大大降低，舆论引导的资源也能得以有效整合，舆论引导的效率必将大大提高。

我们可以更有针对性、更有说服力地进行社会转型期的思想讨论，更有针对性、更理直气壮地防止西方社会思潮在思想领域的演化和侵蚀，更有针对性、更大张旗鼓地深入开展中国特色社会主义和中国梦的宣传教育，把握好网上舆论引导的时、度、效，不断放大网上正面宣传的社会影响力。

⑦ 我们应该如何创建更好的网络环境

随着信息化时代的到来,互联网正以空前的广度和深度渗透到人们生活的各个方面,满足了人们工作,生活,学习和娱乐的需求,但同时网络带来的负面影响也越来越多地引起人们的注意。我们应该如何创建更好的网络环境，以下是我的个人建议，希望能够对大家有帮助！

一、维护网络环境，从自身做起

近年互联网络普及快速,移动终端飞速发展,网民数量骤增,网络不仅给公民衣,食,住,行带来很大便利,也给企业发展,国家的社会管理创新提供了新机遇和新挑战。网络空间是一个有利也有害的。为了创建清朗的网路环境，我们要从自我做起，让大家的世界更美好。直接关系到用户个人信息账号安全、网络空间内容安全、校园舆情引导等,甚至会影响到学生的价值观.因此,我们必须紧绷校园网络安全这根弦,确保校园网络的安全。所以维护网络环境，从我做起，从自身做起。

以上就是我的个人观点，希望能够对大家有用！

⑧ 为营造良好的网络环境,你认为国家,社会和公民应该怎么做

1、党政机关、人民团体充分利用互联网平台进行信息的传递，让信息多跑路，让百姓少跑腿。在发挥国家互联网信息办公室主导作用的同时，也注重地方互联网信息办公室在属地管理方面的作用。

2、从企业的层面来说，主要集中于治理互联网非法、有害内容。我们鼓励互联网企业进行内部的制度建设，强化平台责任。

3、互联网内容建设的重点在于抓思想文化等方面，实现的途径是加强内容监管。比如对直播平台、视频节目的规范，对网上的黄色淫秽信息、盗版内容的治理等。同时，也给各种形态的网络内容提供了一个正规的发布渠道，例如网民自己制作的电影、视频等。

(8)营造信息网络安全新环境扩展阅读：

营造良好的网络环境成就

网络综合治理体系是一个系统工程，既包括网络安全的保障、风险的规避，也包括有害信息的治理等。其中，有害信息关系到网络空间整体的清朗。基于此，我国出台了一系列法律和规范性文件来净化网络空间。

例如，2016年11月公布的《中华人民共和国网络安全法》，国家互联网信息办公室于今年8月公布的《互联网跟帖评论服务管理规定》和《互联网论坛社区服务管理规定》等。这些法律、管理规定都有着自己的特点，有规范行业平台的，也有规范网民上网行为的。

⑨ 急求论文 如何构建网络环境下计算机信息安全体系 1500字以上

“凡事预则立，不预则废”。网络安全的重要前提就是要充分具有网络安全意识，并形成相应的网络安全策略。首先要明确网络安全策略重在管理。俗话说：“三分技术，七分管理”，因此，必须加强网络的安全管理，确定安全管理等级和安全管理范围，制订和完善有关的规章制度（如网络操作使用规程、人员出入机房管理制度及网络系统的维护和开发管理制度等）。其次，要清楚做好网络安全策略必须从制定以下两种核心策略着手：物理安全策略。制定物理安全策略的目的是保护网络服务器、交换机、路由器、打印机、工作站等众多硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境，抑制和防止电磁泄漏；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏计算机设备活动的发生。抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，另一类是对辐射的防护。后者又分为两种，一是采用各种电磁屏蔽措施，二是干扰的防护措施；访问控制策略。之所以制定访问控制策略，因为它是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。需要强调的是，各种安全策略必须相互配合才能真正起到保证网络安全的作用。
网络环境下的具体安全防范策略
安全策略是成功的网络安全体系的基础与核心。安全策略描述了校园数据中心的安全目标（包括近期目标和长期目标），能够承受的安全风险，保护对象的安全优先级等方面的内容。安全技术常见的安全技术和工具主要包括防火墙、安全漏洞扫描、安全评估分析、入侵检测、网络陷阱、入侵取证、备份恢复和病毒防范等。这些工具和技术手段是网络安全体系中直观的部分，缺少任何一种都会有巨大的危险，因为，网络入侵防范是个整体概念。但校园数据中心往往经费有限，不能全部部署，这时就需要我们在安全策略的指导下，分步实施。需要说明的是，虽然是单元安全产品，但在网络安全体系中它们并不是简单地堆砌，而是要合理部署，互联互动，形成有机的整体。安全管理贯穿整个安全防范体系，是安全防范体系的核心。代表了安全防范体系中人的因素。安全不是简单的技术问题，不落实到管理，再好的技术、设备也是徒劳的。一个有效的安全防范体系应该是以安全策略为核心，以安全技术为支撑，以安全管理为落实。安全管理不仅包括行政意义上的安全管理，更主要的是对安全技术和安全策略的管理。安全培训最终用户的安全意识是信息系统是否安全的决定因素，因此对校园数据中心用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分。
建立网络入侵检测系统
义为：试图破坏信息系统的完整性、机密性或可信性的任何网络活动的集合。网络入侵分为三种类型：外部攻击、内部攻击和特权滥用。入侵检测（Intrusion Detection）就是检测任何企图损害系统完整性、机密性或可信性的行为的一种网络安全技术，它通过对运行系统的状态和活动的监视，找出异常或误用的行为，根据所定义的安全策略，分析出非授权的网络访问和恶意的行为，迅速发现入侵行为和企图，为入侵防范提供有效的手段。入侵检测在系统后台不问断的运行，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，通过对系统或网络日志的分析，获得系统或网络目前的安全状况，查看网络中是否有违反安全策略的行为和遭到袭击的痕迹，当检测到非法或值得怀疑的行为时，及时报告给系统或网络管理员，并自动采取措施。入侵检测作为一种提高网络安全性的新方法，被认为是防火墙的合理补充，它能帮助系统在不影响网络性能的情况下对网络进行检测，从而提供对付网络攻击操作的实时性保护，扩展了系统管理员的安全管理能力，（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。其作为保证现代计算机系统安全的重要手段，在整个网络系统安全保障体系中具有不可替代的地位。
入侵检测系统检查的数据源主要有两大类，一类是网络数据，一类是系统数据。具体说来，这些都通过入侵检测系统执行以下任务来实现：（1）监视、分析用户及系统活动；（2）系统构造和弱点的审计；（3）评估重要系统和数据文件的完整性；（4）异常行为模式的统计分析；（5）识别反映已知进攻的活动模式并向相关人士报警；（6）操作系统日志管理，并识别用户违反安全策略的行为。
建立网络系统备份与灾难恢复体系
对数据进行备份是为了保证数据的一致性和完整性，消除系统使用者和操作者的后顾之忧。不同的应用环境要求不同的解决方案，但一个完善的备份系统一般要满足以下的原则：备份软件要与操作系统完全兼容；选用的备份软件，要支持各种操作系统、数据库和典型应用；在进行备份的时候，要进行事务跟踪，以确保备份系统中的所有文件；在设计备份时，要考虑到提高数据备份的速度；能提供定时的自动备份；备份数据存放在远离数据中心的地方。备份不仅是数据的保护，其最终目的是为了在系统遇到人为或自然灾难时，能够通过备份内容对系统进行有效的灾难恢复。第一类是全盘恢复，一般应用在服务器发生意外灾难，导致数据全部丢失、系统崩溃或是有计划的系统升级、系统重组等情况，也称为系统恢复。第二类是个别文件恢复，还有一种值得一提的是重定向恢复。为了防备数据丢失，我们需要做好详细的灾难恢复计划，同时还要定期进行灾难演练。此外，选了先进的备份硬件后，我们决不能忽略备份软件的选择，因为只有优秀的备份件才能充分发挥硬件的先进功能，保证快速、有效的数据备份和恢复。
最后，需要强调的是网络安全防范一定要持之以恒。网络安全保障体系的建立并非一劳永逸，随着网络的扩展，黑客攻击手段的发展，安全防范需求也会日新月异。值得注意的是，由于网络安全保障体系本身存在的固有弱点，在遭受攻击时会导致“木桶原理”效应，即最微弱的安全漏洞都可能引发整个网络系统的崩溃。因此，必须进行可持续的安全规划与防范，才能避免更多问题的出现。

⑩ 安全的网络环境怎么营造

【天下数据简介】
天下数据是香港朗信天下发展有限公司控股的一家网络基础服务商，是朗玥科技对外提供IDC服务的品牌。
天下数据是信息产业部认定的ISP+ICP双证合一的综合电信服务提供商，在深圳电信、网通、美国加州硅谷、香港新世界电讯、香港第一线、英国电信等多个骨干机房分别建立VIP机房服务中心，公司成立于2003年，
总部位于香港特别行政区，客服中心位于深圳经济特区，是大中华地区一流的数据中心服务提供商。
http://ke..com/view/2755671.htm