网络信息安全与防护

关键词： 高校 网络

网络信息安全与防护（精选十篇）

网络信息安全与防护 篇1

近年来, 随着计算机与通信技术的快速发展, 网络已经广泛应用于社会生活的各个领域。网络的应用使得高校在教学、办公、训练等活动带来了极大的便利, 成为高校各个部门不可或缺的重要工具。但是网络通信加快了人们工作学习节奏的同时, 也潜藏了很大的安全隐患。尽管现在网络安全[1]的研究和实践已经取得了长足的进步, 但是损害高校网络信息安全事件仍屡有发生, 造成了严重经济损失。如何最大程度地利用好网络为教学服务, 并且抵御各种网络信息安全隐患, 为资源共享、信息传输、远程服务创造理想空间, 是高校网络管理人员所面临的严峻课题。

1. 信息安全

信息安全的本质就是网络上传输信息的安全, 具体包括网络系统硬件、软件及其系统中数据的安全[2]。

1.1 信息安全主要内涵

网络信息的传输、存储、处理和使用都要求处于安全状态且可见, 网络安全至少应包括静态安全和动态安全两个方面。静态安全是指信息在没有传输和处理的状态下其内容的秘密性、完整性和真实性;动态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。

1.2 信息安全的重要性

信息作为一种资源, 由于它的普遍性、共享性、增值性、可处理性和多效用性[3], 使其具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏, 即保证信息的安全性。信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、部门、行业都必须十分重视的问题, 是一个不容忽视的安全战略问题。但是, 对于不同的部门和行业来说, 高校对于信息安全的要求和重点却是有区别的。

2. 高校信息安全现状分析

目前, 影响校园计算机网络信息安全的问题, 可以分为人为因素和自然因素, 其中人为因素造成危害比例大、后果严重。人为因素对网络信息安全造成的危害主要有:系统漏洞、计算机病毒与木马攻击、电磁辐射、网络安全管理意识淡薄等。

2.1 系统漏洞攻击

高校信息系统主要还是以民用级别的局域网络为基础, 因此计算机系统的软硬件漏洞就决定了信息安全的不可预测性。系统漏洞是指应用软件或系统软件在设计上的缺陷或错误, 给计算机留下了安全隐患。攻击者利用系统漏洞探测工具来检测目标系统的各种软件漏洞, 从而进行有针对性地攻击。特别是利用一些新发现或未公布的漏洞, 攻击具有极强的穿透性。利用系统漏洞进行攻击是危害信息安全最普遍的问题。

2.2 计算机病毒与木马攻击

计算机病毒已经由单机病毒发展到网络病毒, 如今Windows平台下的病毒层出不穷, 甚至出现了Unix平台的病毒。当前的很多病毒与木马程序互相配合, 具有难查杀、传播快, 变异快等特点, 基于病毒的攻击可能对系统造成毁灭性的破坏。病毒是在计算机程序中插入的破坏计算机功能或者破坏数据, 影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

木马程序与一般的病毒不同, 它不会自我繁殖, 也并不"刻意"地去感染其他文件, 它的主要作用是向施种木马者打开被种者电脑的门户, 使对方可以任意毁坏、窃取你的文件, 甚至远程操控你的电脑。木马与计算机网络中常常要用到的远程控制软件是有区别的。虽然二者在主要功能上都可以实现远程控制, 但由于远程控制软件是"善意"的控制, 因此通常不具有隐蔽性。木马则完全相反, 木马要达到的正是"偷窃"性的远程控制。

2.3 电磁辐射泄漏

计算机信息的辐射泄漏[4], 是指计算机设备在工作时其主机以及计算机外部设备所产生的电磁辐射和计算机的各种线路所产生的传导辐射。主要包括主机、磁盘驱动器、显示器、打印机等外部设备, 在其工作过程中都会产生不同程度的电磁泄漏。比如主机中各种数字电路中的电流会产生电磁泄漏, 显示器的视频信号的电磁泄漏, 键盘上的按键开关引起的电磁泄漏, 打印机的低频电磁泄漏等等。

计算机的信息泄漏, 可通过两种途径:一是通过电磁辐射向外泄漏-称为辐射发射。辐射发射是指通过空间传播的电磁能量;二是传导泄漏, 也被称为传导发射。传导发射是指信息通过电源线、控制线、信号线等各种线路向外传导造成的泄漏。这种现象直接威胁到了高校信息传输的安全保密。

3. 防护策略

高校校园网络的信息安全是一个涉及多方面的、极其复杂的系统工程。因此构建一个相对完整的网络安全系统, 应该包括以下的防护策略:

3.1 防火墙技术

防火墙就是一个或一组位于计算机和它所连接的网络之间的软件或硬件, 用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部网络、访问内部网络资源, 保护内部网络操作环境的特殊网络互连设备。防火墙技术的主要作用是在网络入口点检查网络通信。根据设定的安全规则。在保护内部网络安全的前提下, 提供内、外部网络之间的通信。

3.2 访问控制

访问控制[5]包括身份验证与存取控制。身份验证技术是在计算机中最早应用的安全技术, 现在也仍在广泛应用, 它是网络信息安全的第一道屏障。存取控制是网络安全理论的重要方面, 主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制身份验证技术一起使用, 赋予不同身份的用户以不同的操作权限, 以实现不同安全级别的信息分级管理。

3.3 入侵检测技术

随着网络安全风险的加大, 曾经作为安全方法最重要的屏障的防火墙, 并不能有效的防范网络安全问题。在此形势下, 作为对防火墙很有效的补充, 入侵检测[6]技术是一种主动保护系统免受攻击的网络安全技术.在发现入侵企图后, 会及时作出响应, 包括切断网络连接、记录事件和报警等。入侵检测系统能够帮助网络系统快速发现攻击的发生, 它扩展了系统管理员的安全管理能力, 提高了信息安全基础结构的完整性。

3.4 加密与数字签名

加密技术越来越被计算机开发人员和用户的青睐, 随着网络技术和信息技术的广泛应用, 信息隐藏技术的发展有了更加广阔的应用前景。数字签名是信息隐藏技术的一个重要研究方向, 它是通过一定的算法将一些标志性信息直接嵌到多媒体内容中, 但不影响原内容的价值和使用, 并且不能被人的感觉系统觉察或注意到因此加强加密技术安全方法能力的提高将会有效的应对计算机网络安全破坏行为。

3.5 严格网络安全管理

任何信息系统的安全都是相对的, 只有加强网络安全管理, 首先要树立正确的信息安全保密意识, 要求每个网络管理员都要清楚自己的职责分工, 对网络运行情况进行定时检测等, 同时还要保障制度的贯彻落实, 加强监督检查建立严格的考核制度和奖惩机制是必要的。对网络的管理要遵循国家的规章制度, 维持网络有条不紊地运行, 应明确网络信息的分类.按等级采取不同级别的安全保护。只有做到"技管并举"才能切实做好高校网络的信息安全。

4. 结论与展望

高校的计算机网络信息系统已成为高校的教学、科研、行政管理等工作中重要的信息交换手段, 并且发挥着越来越重要的作用。但是由于网络共享具有开放性, 其安全具有相对性, 我们必须认清信息系统潜在安全隐患, 采取必要的安全防护策略。同时要加快网络信息安全技术手段的研究与创新, 从而使网络的信息能够安全可靠地为广大用户服务。

参考文献

[1]胡道元, 闵京华, 网络安全[M].清华大学出版社, 2008.10

[2]牛少彰, 崔宝江, 李剑, 信息安全概论[M].北京邮电大学出版社, 2004.4

[3]林国恩, 李建彬, 信息系统安全[M].电子工业出版社, 2010.3

[4]张水霞, 计算机的电磁信息泄漏防护[J].中国新技术新产品, 2009.18 (9)

[5]路海, 网络访问控制技术及其应用分析[J].信息与电子工程, 2009.7 (5)

计算机网络信息安全与安全防护论文 篇2

1.1.1硬件设备的运行隐患硬件系统包括了系统服务器、网络设备和存储设备等。大多数用户在使用过程中，并没有对相关的硬件设备进行充分的维护与更新，久而久之，这些硬件就会存在一些运行隐患，从而使网络信息安全防护失去效果。1.1.2自然灾害等对硬件设备和信息系统的损坏计算机信息系统有相当大的脆弱性，自然环境中的温度、湿度、地震和污染等因素都能对这个系统的相关设备产生较大的影响，甚至引发大规模的系统断开事件。

1.2网络安全的脆弱性

网络信息具有相当大的开放性，其依赖的TCP/IP协议本身就不具备较高的安全性，登录认证较为简单，因此容易受到各种安全威胁，计算机被攻击，相关数据被篡改和截取都可能发生。网络安全的脆弱也使各种人为的恶意攻击频发。一种主动攻击，即有人恶意的通过一些各种方式对网络信息进行选择性破坏，使网络信息失去完整性、合理性和有效性，进而直接影响系统的正常运行和信息的正常读取;另一种方式是被动攻击，攻击者出于各种原因直接截取、破译用户信息。这两种攻击方式都会导致网络信息的泄露以及运行破绽。

1.3系统安全漏洞

操作系统和各种软件本身都会存在一些安全漏洞，而这些漏洞在很短的时间内就会被找到。系统的的缓冲区溢出会轻易的被攻击者利用。系统有时候不会对程序和缓冲区间的变化进行检查，而直接接收数据录入，再把溢出的数据在堆栈内存放，这种状况下系统依然能够正常运行，但这些溢出的数据却很易被攻击者利用。通过输入一些指令而使系统运行不够稳定，甚至攻击TCP/IP连接次序，最后使系统被损坏甚至无法运行。因此，系统安装后要及时进行维护，而如果维护不规范，则可能由于计算机系统内的一些过滤而使新的漏洞产生。1.4计算机病毒计算机病毒可能会暗藏在一些软件和程序中，技术不足或者查阅不认真很容易忽略这些危险，而这些病毒又会在运行的时候被触发，对计算机数据进行攻击和破坏。病毒一般都具有传染性和潜伏性，因此还是不说了一旦被触发很可能导致一连串的计算机中毒现象发生，这些病毒通过网络就能联系在一起，从而引发大规模的网络信息破坏现象。

2安全防护策略

2.1保障硬件设备的安全

要保证网络信息安全，首先要对相关硬件设备进行加固，使这些硬件能够更好的适应电磁环境、温度和湿度变化，也可以在安装时就将严格选择安装环境，延长使用寿命。同时，还要加强管理，避免人为破坏的发生。要制定相关的管理制度、操作规范、维护制度以及应急方案等。

2.2安全使用网络

2.2.1隐藏IP人为的攻击一般都要对主机的IP地址进行锁定，一旦攻击者已经明确了相关IP地址，就能通过溢出攻击和拒绝服务攻击等方式轻易的对IP地址发起攻击，获取或破坏数据。隐藏IP可以使用代理服务器，攻击者一般只能查探到代理服务器的IP地址，从而避免主机被攻击。2.2.2用户账号设置要复杂账号和密码通常是非法人员对用户网络信息的主要攻击手段。用户在使用计算机网络时，要将相关账号密码进行更为复杂的设置，如系统登录的账号、电子邮件账号、网上银行账号等，设置时要注意复杂程度，并且各个账号密码设置要雷同，设置时可以使用字母、数字和符号结合的方式。

2.3安装杀毒软件和防火墙

计算机使用时一定要进行防火墙和杀毒软件的.安装，提高网络的安全环境。防火墙技术一般有过滤型、地址转换型、代理型和监测型四种。过滤型的防火墙可以在读取数据时对网络分包传输的数据进行过滤，判断哪些安全，并把不安全的直接拦在网络外。地址转换型技术可以直接把网络正在使用的真实IP替换为外部或临时IP，从而在网络活动中隐藏了真实的IP，保护了计算机网络的安全。还可以通过云数据来防控病毒，简单来说，就是把已知的病毒类型上传为云数据，就成为一个针对这些病毒类型和它们的处理方式的综合处理的系统模式。

2.4使用信息加密技术

网络信息可以通过各种加密方法保障其安全，这些方法主要有节点加密、链路加密和端点加密。节点加密是通对目的节点和源节点之间的传输链路进行保护;链路加密就是节点传输链路的安全保护;端点加密就是对源端用户和目的端用户之间的数据进行安全保护。

3结语

计算机网络与信息安全防护探讨 篇3

关键词：计算机网络，信息安全，防护

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 05-0000-01

Computer Network and Information Security Protection

Zhou Xuemei,Wu Jianbin

(Dongguan Boson Appliance Air-conditioning Co.,Ltd.,Dongguan523900,China)

Abstract:The rapid development of information technology,has brought great convenience to people's lives,but also to many departments and units posed a great risk.This paper analyzes the various aspects of network information security umbrella of insecurity may arise,and then analyzes the latest developments in network security technology,gives a more comprehensive security system can be used to enhance a variety of means,and the corresponding security policy.

Keywords:Computer network,Information security,Protection

随着网络应用的蓬勃发展，一方面，网络用户成分越来越多样化，出于各种目的的黑客网络入侵和攻击越来越频繁；另一方面，网络应用越来越广泛地渗透到企业的领域。

一、企业有关的安全策略

（一）制定安全策略的原则

1.适应性原则：制定的安全策略必须是和网络的实际应用环境是相结合的。2.动态性原则：安全策略是在一定时期采取的安全措施。由于用户在不断增加，网络规模在不断扩大，网络技术本身的发展变化也很快，所以制定的安全措施必须不断适应网络发展和环境的变化。3.简单性原则：网络用户越多，网络管理人员越众，网络拓扑越复杂，采用网络设备种类和软件种类繁多，网络提供的服务和捆绑的协议越多，出现安全漏洞的可能性相对就越大，出现安全问题后及时找出问题原因和责任者的难度就越大量。安全的网络是相对简单的网络。网络中帐号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小限度。4.系统性原则：网络的安全管理是一个系统化的工作，必须考虑到整个网络的方方面面。也就是在制定安全策略时，应全面考虑网络上各类用户、各种设备、各种情况，有计划也有准备地采取相应的策略。任何一点疏漏都会造成整个网络安全性的降低甚至崩溃。

（二）网络规划时的安全策略

网络的安全性最好在网络规划阶段就要考虑进去，安全策略在网络规划时就要实施。

1.首先根据企业的特点确认网络的物理和逻辑拓扑、相互间的业务依赖信任关系以及之间应采取的隔离手段，明确业务所要求达到的安全要求。2.明确网络安全责任人和安全策略实施者。3.对网络上所有的服务器和网络设备，设置物理上的安全措施（防火、防盗）和环境上的安全措施（供电、温度）。最好将网络上的公用服务器和主交换设备安置在一间中心机房内集中放置。4.网络规划应考虑容错和备份。安全策略不可能保证网络绝对安全和硬件不出故障。我们的网络应允许网络出现的一些故障，并且可以很快从故障中恢复。网络的主备份系统应位于中心机房。5.如果网络与Internet之间有固定连接，最好在网络和Internet之间安装防火墙。防火墙技术是为了保证网络路由安全性而在内部网和外部网之间的界面上构造一个保护层。防火墙的安全意义是双向的，一方面可以限制外部网对内部网的访问，另一方面也可以限制内部网对外部网中不健康或敏感信息的访问。6.网络使用代理服务器访问Internet。不仅可以降低访问成本，而且隐藏网络规模和特性，加强了网络的安全性。7.在人员配置上，应该对用户进行分类，划分不同的用户等级。规定不同的用户权限。给不同的用户或用户组分配不同的帐号，口令、密码。并且规定口令、密码的有效期，对其进行动态的分配监控和修改，保证密码的有效性。8.配合路由器和防火墙的使用，对一些IP地址进行过滤，可以在很大程度上防止非法用户通过TCP/IP访问服务器。9.及时更新防火墙知识库和相应的配置，使防火墙能够防御各种最新的攻击类型。10.定期对服务器和网络设备进行安全扫描工作。

基本防护体系（包过滤防火墙+NAT+应用级防火墙）；隔离内部不同网段；建立VLAN根据IP地址、协议类型、端口进行过滤。内外网络采用两套IP地址，需要网络地址转换NAT功能支持安全服务器网络SSN、通过IP地址与MAC地址对应防止IP欺骗防火墙运行在安全操作系统之上网关级防火墙为独立硬件服务器级防火墙主要用来过滤病毒用户端安装防病毒软件

（三）网络用户的安全策略

网络的安全不仅仅是网络管理员的职责，网络上的每一个用户都有责任。网络用户应该了解下列安全策略：1.严格遵循本企业的计算机管理制度；2.口令一定要保密；3.清楚自己工作数据存储的位置，知道如何备份和恢复；4.安装启动时病毒扫描软件。虽然绝大多数病毒对服务器不构成威胁，但会通过NT网在客户端很快传播开来；5.访问Internet有可能将机器至于不安全的环境下，不要下载和安装未经安全认证的软件和插件；6.用户在局域网和远程登录分别使用不同的用户账号和口令。因有些方式的远程登录账号和口令没有加密，有可能被截获。以上所有的策略总结起来主要是两条：一是保护服务器：二是保护口令。总之，安全性是一个涉及到各方面相互关联的问题，在越来越普及的以NT为操作系统的今天，安全性的问题日益突出。

二、结束语

认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。作为一个新兴的研究领域，网络安全正孕育着无限的机遇和挑战。在正确看待网络信息安全问题的同时，有几个观念值得注意：1.安全是一个系统的概念。安全问题不仅仅是个技术性的问题，更重要的还有管理，而且它还与社会道德、行业管理以及人们的行为模式紧密地联系在一起。2.安全是相对的。不要追求一个永远也攻不破的安全技术，安全与管理始终是联系在一起的。3.安全是有成本和代价的。一定要考虑到安全的代价和成本的问题。作为一个管理者，应该综合考虑各种因素。

参考文献：

[1]张红旗.信息网络安全[M].清华大学出版社,2004

[2]王宇,卢昱.信息网络安全脆弱性分析[J].计算机研究与发展,2006,43(z2)

[作者简介]

网络信息安全防护理论与方法的研究 篇4

1.1 固有的安全漏洞

从理论上看操作系统无法准确的排除所有安全漏洞, 这意味着新的操作系统在发布时, 就存在一些安全漏洞。安全漏洞分为两类, 一是高危漏洞, 二是普通漏洞。高危漏洞是最容易被发现的系统漏洞, 同时也容易被最容易黑客利用的。

缓冲区溢出是一种固有的安全漏洞。在很多操作系统中, 中央处理器在执行命令时不检测程序与缓冲区之间内存的动态变化, 就接受任意长度数据的输入;当缓冲区达到饱和时, 系统会默认的将溢出部分存放在堆栈内, 此时系统仍旧执行系统命令。这种程序运行方式给黑客增加了入侵的机会, 在理论上只要黑客发送长度大于缓存区间的命令就可以造成操作系统不稳定, 出现死机、卡顿、蓝屏等状况。此外如果入侵者有意去破坏, 可以在发送命令时加入具有攻击性的代码, 可以达到访问系统根目录的目的。

1.2 合法工具的滥用

现在流行的操作系统中, 大部分带有改进用户系统管理和质量服务的软件。但可惜的是, 这些工具也成为了入侵者的利用途径之一, 入侵者利用这些软件进行非法信息收集, 并利用其加强攻击服务器的强度。如常见的NBTSTAT命令是系统管理员用来收集远程节点的信息, 但是对于熟识操作系统的黑客, 可以利用它来非法的收集威胁系统的信息, 如控制软件的系统管理员信息、系统的用户名、IIS名等。通过这信息, 黑客可以破译出进入系统的口令等。

除了常见的NBTSTAT命令外, 网包嗅探器也是经常被利用的系统工具。系统管理员一般利用它分布和监控网包的动态, 以此来找出隐藏在网络中的问题。而黑客在攻击网络时, 首先攻击电脑的网卡, 将其变为功能混交的固件设备, 再通过对网卡的控制, 使其截获经过网络的信息包, 接着通过控制网包嗅探器来收集隐藏在网络中的信息, 最后通过这些信息来攻击网络。

1.3 操作系统的维护方式不正确

现在流行的操作系统都存在固定的漏洞, 再加上网络环境中随处可见的攻击工具, 为黑客的入侵提供极大的方便。同时缺乏安全管理, 也是黑客入侵的另一个重要因素。当管理员发现系统漏洞时, 应该首先分析漏洞的类型, 再采取相应的补救手段。

有些情况, 虽然我们通过软件升级, 及时的修复了微软推送的系统补丁, 但由于系统防火墙的过滤方式过于繁杂, 导致产生新的系统漏洞。因此及时的改变操作系统的管理方式, 可以相对的提高系统的安全性。

2 网络信息安全存在问题的应对策略

面对不同的漏洞问题应该采取不同的解决方案, 从根本上看, 黑客们最终想攻击的是一台储存着有高价值数据的计数机或服务器, 对于网站等攻击只是一种寻找信息的地址而进行的。下面介绍几种有效的方法来提高用户在网络冲浪中信息的安全性。

(1) 隐藏IP地址。IP地址是用户基础的物理地址, 黑客可以利用它进行寻找攻击主机的具体位置。因此隐藏IP地址可以减少用户信息泄露, 有效的提高用户信息安全性。

(2) 关闭不必要的端口。在黑客眼中, 最容易被人们忽视的地方是他们入侵的端口。对于一些使用较少的端口最好关闭, 这些端口很容易被管理者忽视, 而黑客在攻击计算机时常常会扫描用户的端口。如果安装了相应的监视工具, 则会出现警告。因此建议一些重要用户可以安装端口监视程序, 同时也可以利用相应的计算机软件, 将一些使用频率低的端口关闭, 这两种做法都可以有效的提高系统的安全性。

(3) 管理员账号问题。黑客在攻击计算机时, 最希望破译的是系统管理员密码。操作系统的管理员密码一旦泄露, 便会造成系统信息泄露, 容易造成严重的后果。因此在用户的管理上, 可以设置多个账户, 同时设置较为复杂的密码。黑客在获取管理员密码时就必须在所有账户中找到真正的管理员账户, 这会可以增加黑客破译系统管理员密码的难度, 因此这种做法可以有效的降低系统信息泄露的危险, 提高系统信息的安全性。

(4) 系统必须安装必要的安全管理软件。在常见的操作系统中, 应该安装必要的病毒查杀软件和防火墙软件。使用计算机时将其开启, 在上网冲浪中, 即使遇到了病毒的攻击, 病毒查杀软件也会起到一定的保护作用, 可以有效的降低计算机受到的风险。

(5) 做好浏览器安全设置。我们所使用的计算机操作系统大部分是Windows操作系统, 所以使用的浏览器一般是IE浏览器, 其中的两种插件具有强大的功能, 但同时也是浏览器存在安全隐患最多的地方。一些恶意攻击网站就利用IE的两种插件编写恶意具有攻击性的网页插件, 这些插件在打开网页时便可以运行。因此要避免被这些插件的攻击, 可以在IE浏览器中进行设置。在IE 11浏览器中的设置流程如下, “选项”→“安全”→“自定义级别”, 在“选项”还有很多安全方面的选项, 可以根据用户的想法进行设置。

3 结语

通过以上的介绍我们可以了解一些常见的网络信息安全中存在的漏洞, 黑客攻击计算机的手段等。在应对策略方面笔者总结归纳出五点, 这是一般的用户可以做到的。而对于一些有重要机密的计算机, 可以请专业人士来进行设置相关的防御措施, 以此来提高信息的安全性。

参考文献

[1]简明.计算机网络信息安全及其保护策略的研究[J].科技咨询.2006 (28)

网络信息安全与防护 篇5

应积极做好局域网安全维护工作，制定信息管理相关工作制度，分别针对网络管理人员及全体工作人员开展不同类型的讲座和培训，提高全体人员信息安全意识，各个部门以及工作人员之间相互配合，才能保证数据信息的安全。信息安全管理主要包括了管理、技术、应用三个方面，根据实际情况制定合理的网络安全策略和相关措施的同时要加强对网络管理人员的培训，创新网络管理方式，使网络管理人员明确工作重点，提高运维效率;对全体工作员开展网信息安全讲座，树立工作人员的法律观念，增强信息安全知识，才能保证相关工作开展。

3.2 通过桌面管理对系统用户进入局域网进行控制

在事业单位网络维护过程中，通过实现桌面终端的标准化管理，积极的对入网进行控制，解决桌面安全管理问题，提高信息运维效率，规范员工操作行为。在实际的管理过程中，事业单位可以通过对用户入网进行限制，设置相应的目录文件以及相关的资源等。同时，还要使用登录密码，保证用户在对相关文件进行使用的过程中只有通过密码口令才能实现对其的访问。另外，还要设置相应的口令控制器，能够有效防止密码被修改，对相应的登录时间、非法访问进行检测，从而能够提高数据的安全性，避免数据丢失、泄露现象的出现。

3.3 加强防火墙配置

防火墙的作用是允许或是限制传输的数据通过，能够自主选择进入的数据，一定程度上保证了数据信息的安全。通常来说，常用的防火墙技术主要包括了：数据包处理技术、IP/URL过滤技术、TCP/IP协议处理等能够对一些不合理的信息进行拦截，保护脆弱的服务，控制对系统的访问，记录和统计网络利用数据以及非法使用数据情况从而保证数据信息的安全稳定。

3.4 加强局域网IP地址管理及网段划分

首先做好IP地址方案的设计规划，制定IP地址管理策略，合理分配IP地址，并根据业务需要划分子网或是设置VLAN，制定颁布相关的局域网IP地址管理办法，对IP地址的申请、使用、备案、禁用、回收进行严格管理，有效的局域网IP地址管理是局域网的安全和稳定的基础。网络分段是一种控制网络广播风暴的基本手段，也是一项保证网络安全的重要措施。将非法用户与敏感的网络资源相互隔离，从而防止非法侦听，网络分段可分为物理分段和逻辑分段两种方式。

3.5 安装杀毒软件

可在局域网中架设防病毒服务器，安装络版的杀毒软件，将其和终端进行连接，然后在局域网内所有的电脑上安装该杀毒软件的客户端，就能够实现对局域网内所有的计算机的安全运行进行检测和统一监控，对没有安装杀毒软件的计算机进行警告，采用强制的手段安装升级杀毒软件，从而提高数据信息的安全性。例如：瑞星杀毒软件网络版采用“分布处理、集中控制”技术，以系统中心、服务器、客户端、控制台为核心结构，成功地实现了远程自动安装、远程集中控管、远程病毒报警、远程卸载、远程配置、智能升级、全网查杀、日志管理、病毒溯源等功能。另外，有条件的单位在实施网络规划时就将业务专网与行政专网进行彻底物理隔离，从而保证数据信息的安全。

4 总结

网络信息的安全防护体系构建 篇6

关键词：网络信息;安全防护;体系构建

随着社会的不断发展，网络在我们生活中所扮演的角色将会越来越多。我们生活在网络信息的社会中，很多信息都能通过网络所传递，这已经成为了当今社会传递信息的一种主要手段。网络信息的安全防护不是针对单一方面的安全防护，它要保证整个网络系统的安全不被威胁。当前，科技的更新速度越来越快，针对网络数据进行攻击的不安全因素也变得越来越复杂。因此，我们必须付诸于行动，构建网络安全防护体系，同危害网络信息安全的行为作斗争。

一、网络信息安全防护体系

随着攻击手段的不断演变，传统的依靠防火墙、加密和身份认证等手段已经满足不了要求，监测和响应环节在现代网络安全体系中的地位越来越重要，正在逐步成为构建网络安全体系中的重要部分，不仅是单纯的网络运行过程的防护，还包括对网络的安全评估，以及使用安全防护技术后的服务体系。

二、网络信息安全威胁分析

Internet技术的最显著优点是开放性。然而，这种广泛的开放性，从安全性上看，反而成了易受攻击的弱点。加上Internet所依赖的TCP/IP协议本身安全性就不高，运行该协议的网络系统就存在欺骗攻击、拒绝服务、数据截取和数据篡改等威胁和攻击。用户安全意识不强，用户口令设置简单，用户将自己的账号随意泄露等，都会对网络安全带来威胁。人为的恶意攻击是计算机网络面临的最大威胁。恶意攻击又可以分为主动攻击和被动攻击两种。主动攻击是以各种方式有选择地破坏信息的有效性和完整性;被动攻击是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致重要数据的泄漏。现在使用的网络软件或多或少存在一定的缺陷和漏洞，网络黑客们通常采用非法侵入重要信息系统的手段，窃听、获取、攻击侵入有关敏感性的重要信息，修改和破坏信息网络的正常使用状态，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。计算机病毒是可存储、可执行、可隐藏在可执行程序和数据文件中而不被人发现，触发后可获取系统控制的一段可执行程序，它具有传染性、潜伏性、可触发性和破坏性等特点。

三、构建网络信息的安全防护体系

（一）加大法律法规宣传

在现阶段的统计数据中可以看出，在我国有一百多条正在使用的国际国内信息安全相关的准则。信息安全保障体系是在网络信息安全标准的基础上建立的，保证了政府能够对网络进行合理有效的宏观调控。目前，信息安全起着至关重要的作用，没有网络信息安全，国家的利益和人民的安全便得不到保证。网络信息安全有利于产品实现互相操作和互相连接，是网络安全产品更加可信。现如今，由于网络不安全所产生的问题越来越多，网络违法的行为时常发生在我们身边，有些甚至因为网络纠纷而闹到了法庭。因此，必须加强与网络相关的法律法规的宣传，保证网络能在健康的环境下运行，切实保障国家和人民的利益得以实现。当我们遇到网络信息安全的纠纷时，必须走法律的途径，用法律的手段维护自身利益，打击网络违法犯罪行为。

（二）安装杀毒软件

在计算机上安装杀毒软件，对于保护好网络信息安全有着非常重要的作用。其中杀毒软件还可以叫做防毒软件，还可叫做反病毒软件，其作用是一种安全防护软件，可以查找并消除电脑病毒、恶意软件和特洛伊木马。杀毒软件是把许多功能集中于一体，主要包括对计算机的实时监控、对病毒的扫描与清除、自动更新病毒库以及自动更新等，目前有一些杀毒软件还带有数据上传与恢复的功能。防火墙、杀毒软件、恶意软件查杀程序和入侵防御系统等构成了计算机的防御系统，杀毒软件是计算机防御系统中极其重要的一部分。

（三）加强防火墙功能

网络层防火墙被看作为既是分离器，又是一种在底层的TCP/IP协议堆栈上运作的一种IP封包过滤器，同时又是一个分析器，它能够确保内部网络不被侵害的同时可以行之有效的监控内部网和Internet之间的所有活动。它为了保证内部网络的安全运行，不被外部网络干扰可以把互联网方面的风险区域和安全区域有效的隔离。另外，网络防火墙除了起到对某些禁止的业务进行封堵、对进出的访问行为进行管理以及发现网络攻击时能够及时的进行检测和报警的作用，还能够在有信息内容和活动通过防火墙时，做到及时的分析和记录。

（四）加强网络安全管理

从日前的数据来看，超过百分之六十的信息安全出现了问题都归咎于管理方面。职责分离原则、任期有限原则以及多人负责原则是安全管理网络信息系统上的三个原则。加强网络的安全管理不但要求管理网络的人员提高其监督意识，既要加强使用人员的安全意识还要设置计算机的系统口令，非专业人员不得访问。网络管理人员也要做到尽职尽责，按照自己的职责与权限，对不同的系统设置不同的口令，在操作的过程中要保证其合法性，严格限制有些用户对网络资源进行非法的访问和使用。保障网络信息安全的关键是建立一个完善的网络信息安全机制。在完善网络安全机制的过程中，除了要做到建立良好的网络数字签名机制、数据完整性机制、安全加密机制、访问控制机制以外，还要对鉴别交换机制、公正机制、通信业务流填充机制以及路由控制机制等进行不断的完善。

四、结束语

网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要指保护网络系统的硬件、软件及其系统中的数据，不受偶然的或者恶意的原因破坏、更改和泄露，保证系统连续可靠正常地运行，网络服务不中断。

参考文献：

[1]彭晓明.应对飞速发展的计算机网络的安全技术探索[J].硅谷，2016.

网络信息安全与防护 篇7

信息时代,对石油化工等制造业而言,以震网蠕虫为代表的木马、病毒等对工业自动化生产安全带来了极大威胁,工业控制系统安全成为信息化时代企业安全生产的重中之重。最初的工控系统被设计为独立封闭的系统,其安全风险主要来自设备运行不稳定、操作不合理等方面。但是,随着信息化的推进和工业化进程的加速,越来越多的计算机和网络技术应用于工业控制系统,在为工业生产带来极大推动作用的同时也带来了诸如木马、病毒、网络攻击等安全问题。

1 石化行业工控系统面临的信息安全问题

随着石化行业信息化的不断深入,管理的精细化和智能工厂的实施,都离不开实时的现场信息,因此管与控的结合就成为了必然趋势。DCS控制系统与外界不再隔离,控制网络和信息网络之间广泛采用OPC通信技术;此外,先进过程控制(APC)也需要OPC技术建立通讯。目前,常用的OPC通讯随机使用1024~65535中的任意端口,采用传统IT防火墙进行防护配置时,被迫需要开放大量端口,形成严重的安全漏洞;同时,OPC的访问权限过于宽松,任意网络中的任意计算机都可以运行OPC中的服务;且OPC使用的Windows的DCOM和RPC服务极易受到攻击。普通IT方后勤无法实现工业通讯协议过滤,网络中某个操作站/工程师站感染病毒,会马上传播到其它计算机,造成所有操作站同时故障,严重时可导致操作站失控甚至停车[1]。目前,存在的工控信息安全问题主要有[2]:

(1)操作系统漏洞。目前,工业计算机操作系统大多采用Windows操作系统,甚至还有XP系统,这些一般不允许安装操作系统的安全补丁和防病毒软件。针对性的网络攻击、病毒感染都会给系统造成严重后果,而且由于漏洞和病毒公布的滞后性,杀毒软件并不能有效地进行防护。此外,不正当的操作,比如,在项目实施和后期维护中使用U盘、笔记本等外设,也会存在一定的安全隐患。

(2)隔离失效。大多数石化企业通过OPC的双网卡结构对数据采集网络与控制网之间进行了隔离,使得恶意程序无法直接攻击控制网络。但对于针对Windows系统漏洞的病毒,这种设置就失去了效果,造成病毒在数采网和控制网之间传播。

(3)信息安全延迟性。若工业网络遭受黑客攻击,维护人员无法采取相应措施,并查询故障点和分析原因。通常情况下,小的信息安全问题直至发展成大的安全事故才会被发现和解决。

2 柴油加氢控制系统安全防护简介

目前,我国炼油、石化等行业工业控制系统一般分为3部分:控制层、数据采集层和管理信息层,普遍采用DCS(分散控制系统)和PLC(可编程逻辑控制器)等数字化手段,自动化程度高,多以DCS系统为核心、PLC为辅机控制,形成对设备组命令的下达与控制,并对DCS和PLC反馈的数据进行分析以掌握设备组的整体运行状况。

某石化公司的柴油加氢系统采取安全防护后的拓扑结构如图1所示。

实时服务器和组态服务器组成管理信息层;监控层包括操作员站、工程师站、OPC应用站和异构系统工作站,控制层包括以DCS为主控制温度显示仪表、液位计、继电器和阀门等仪表,PLC为辅控制报警器。其中,设备层与控制层通过模拟数字通信模块通信。其中:(1)信息层与数据采集层之间添加纵向隔离平台,避免信息层向下采集数据时造成信息泄露;(2)异构系统应用站采用横向隔离平台,防止其它系统对加氢操作工艺产生不必要的影响;(3)引入智能防火墙,对工业协议和应用程序进行审计、监控。

3 工业网络中的安全区域

按照IEC 62443定义,“区域”由逻辑的或物理的资产组成,并且共享通用的信息安全要求。区域是代表需考虑系统分区的实体集合,基于功能、逻辑和物理关系[3]。

3.1 使用操作域识别区域

安全区域的建立,第一步就是识别所有操作域,以确定每个区域的组成及边界所在。一般在工业网络中建立区域时,要考虑的操作域包括有网络连接控制回路、监控系统、控制流程、控制数据存储、交易通信、远程访问以及用户群体和工业协议组之类。其目的是通过隔离使各操作域受到攻击的风险最低,从而进一步使用各类安全产品和技术对每个操作域进行保护,成为安全区域。然而现实情况下,有必要使用操作域间功能共享来简化操作域,从而有效地将重叠的操作域结合成一个独立的更大的区域。

3.2 区域边界建立

理想情况下,每个操作域与其它区域都有明确的边界,并且确保每个分区都采用独特的安全防护设备,这样边界防御才能部署在正确的位置上。

识别区域后,将其映射到网络,从而定义清晰的边界,CIP-005-3[4]的NERC规则中提到该过程的要求。只有存在已被定义和管理的接入点,区域才会被保护。

3.3 网络架构调整

所有设备都应该直接连接到该区域或者该区域的任何设备上,然而,比如一台打印机不属于该区域,但是可能连接到本地交换机或路由器的接口或无线接入上。这种差错可能是不当的网络设计或网络寻址的结果。当定义了安全区域的划分并对网络架构作出了必要的调整,这样就具备了履行NERC CIP、ISA99、CFATS等符合规范性要求的必要信息。

3.4 区域及其安全设备配置

防火墙、IDS(入侵检测系统)和IPS(入侵防护系统)、安全信息和事件管理系统(SIEM)以及许多其它安全系统支持变量的使用,使得边界安全控制与合规性要求相互关联。

对于每一个区域,如下几项都应保持在最低限度[5]:(1)通过IP地址,将设备划分到特定区域;(2)通过用户名或其它标志,获得修改区域权限的用户;(3)在区域中使用的协议、端口及服务。

创建这些变量将有助于制定用于增强区域边界的防火墙和IDS规则,同时也会帮助安全监管工具检测策略异常并发出警报。

4 对安全区域边界和内部的安全防护

CIP-005-4R1要求在“任何关键网络资产”边界,以及该边界上的所有访问点都要建立通过对已建立、标识并记录归档电子安全边界(ESP)[6]。区域周围建立电子安全边界可以提供直接的保护,并且防止对封闭系统未经授权的访问,同时防止从内部访问外部系统,这是很容易忽略的一点。

要使建立的电子安全边界能有效保护入站和出站流量,必须达到两点要求[4]:(1)所有的入站和出站流量必须通过一个和多个已知的、能够被监控和控制的网络连接;(2)每个连接中应该部署一个或多个安全设备。

4.1 区域边界安全防护

对于临界点,NERC CIP和NRC CFR 73.54[7]给出了安全评价标准以及建议的改进措施,如表1所示。

其中防火墙和IPS都被建议的原因是,防火墙和IPS设备具有不同的功能:防火墙限制了允许通过边界的流量类型,而IPS则检查已被允许通过的流量,目的是为了检测恶意代码或恶意软件等带有破坏目的的流量。这两种设备的优势在于:(1)IPS可以对所有经过防火墙的流量进行深度包检测(DPI);(2)防火墙基于定义的安全区域变量限制了通过的流量,使IPS可以专注于这部分流量,并因此可以执行更为全面和强大的IPS规则集。

4.2 区域内部安全防护

区域内部由特定的设备以及这些设备之间各种各样的网络通信组成。区域内部安全主要是通过基于主机安全来实现,通过控制终端用户对设备的身份认证、设备如何在网络上通信、设备能访问哪些文件以及可以通过设备执行什么应用程序。

主要的3种安全领域[5]:(1)访问控制,包括用户身份认证和服务的可用性;(2)基于主机的网络安全,包括主机防火墙和主机入侵检测系统(HIDS);(3)反恶意软件系统,如反病毒(AV)和应用程序白名单(AWL)。

5 结语

石油化工等关键基础设施和能源行业关系国计民生,在我国两化融合深入发展的同时,如何确保工控系统信息安全是石化行业信息化建设的重要研究课题。本文以某石化行业柴油加氢系统架构为例,重点介绍了如何识别和分隔操作域,确定每个区域的边界和组成,最终建立安全区域,并从外部使用防火墙、IDS、IPS以及应用程序监控器等安全设备,从内部使用主机防火墙、主机IDS和应用程序白名单等对工业控制系统进行保护。

参考文献

[1]李东周.工控蠕虫病毒威胁,化企如何应对?[N].中国化工报,2014-05-27.

[2]温克强.石化行业工控系统信息安全的纵深防御[J].中国仪器仪表,2014(9):37-38.

[3]肖建荣.工业控制系统信息安全[M].北京:电子工业出版社,2015.

[4]NORTH AMERICAN RELIABILITY CORPORATION.Standard CIP-005-3.cyber security—electronic security perimeter[S].2009.

[5]纳普.工业网络安全:智能电网,SCADA和其他工业控制系统等关键基础设备的网络安全[M].周秦,译.北京:国防工业出版社,2014.

[6]NORTH AMERICAN RELIABILITY CORPORATION.Standard CIP-005-4.cyber security—electronic security perimeter[S].2011.

浅议计算机网络信息安全与防护措施 篇8

1 计算机网络信息存在的安全问题

目前计算机网络信息安全面临的威胁主要来自技术及管理两个方面的安全问题。

1.1 安全技术方面的问题

1) 网络软件的安全漏洞。绝大部分的网络软件在其编程设计上不可避免的会存在一定的漏洞和缺陷, 此外, 某些软件编程设计员在设计软件时会在代码中为自己建立一个后门, 以方便日后再行修改, 这些都为网络黑客对计算机进行攻击行了便利, 为计算机网络信息带来了安全隐患。

2) 计算机病毒。计算机网络信息最常见的安全威胁是计算机病毒。随着计算机网络技术的高速发展, 计算机病毒的种类也在随之增加, 计算机网络信息面对着几十万种计算机病毒的安全威胁。计算机病毒无法单独传播, 必须隐藏在程序当中, 通过程序运行侵入计算机内, 其传播方式主要有网络共享空间、硬盘、软件、电子邮件、网页访问、服务器访问、FTP文件等多个途径。计算机病毒具有传染性、破坏性、隐匿性、潜伏性等特性, 可造成极大破坏, 有时甚至可使整个信息处理系统在顷刻间瘫痪[1]。

3) 网络协议安全漏洞。目前在计算机网络最常见的是TCP/IP协议, 其本身存在着安全漏洞, 如IP地址极易发生欺骗或假冒地址等安全隐患;以及IP协议支持源路由方式, 即信息包通过源点的指定可以被传送到指定节点的中间路由, 这为源路由攻击创造了条件。而一些应用层协议诸如FTP、SMTP、Telnet等因为缺少保密措施及相应的认证, 易遭受欺骗攻击, 数据篡改、拒绝服务或数据截取等威胁及攻击。

4) 来自黑客的恶意攻击。对当前的计算机网络信息安全来说, 其面对的最大的信息安全威胁之一即是黑客。黑客的定义是指利用计算机网络系统的安全漏洞对他人数据信息进行破坏或窃取的人。黑客利用拒绝服务、破解密码、入侵系统、监听网络等攻击手段, 指定性地破坏他人的网络信息数据, 致使企事业单位的机密数据或是个人数据遭到泄密, 甚至可引起大范围网络系统瘫痪, 严重危害网络信息系统的安全。

1.2 安全管理方面的问题

计算机网络信息除必须防范来自网络上的安全威胁外, 还需应对因工作人员对信息安全管理的不重视和疏忽而造成的安全问题。1) 领导人或工作人员网络信息安全观念薄弱, 造成信息数据的丢失或泄露。某些计算机技术人员或管理人员缺乏信息安全观念, 没有相应的信息安全管理制度, 操作流程随意, 系统防护密码设置简单, 甚至告知他人其工作用帐号, 给黑客攻击电脑制造了机会, 使计算机信息安全处于危险之中;[2]2) 由于技术人员的疏忽而造成的数据泄露或丢失。技术人员没有定时对信息数据进行备份和存储, 如突然发生停电、火灾、雷电、地震等意外将导致信息丢失。

2 计算机网络信息安全的防护措施

在计算机网络信息安全中虽然存在着许多安全漏洞和缺陷, 但同时也出现了许多相应的防护措施保护计算机网络信息的安全。

2.1 安全技术方面的防护措施

2.1.1 漏洞扫描系统

漏洞扫描系统对于计算机软件及计算机网络协议来说是最好的防护手段。漏洞扫描系统分为网络扫描系统、主机扫描系统及数据库扫描系统三种。通过漏洞扫描系统对计算机软件或计算机网络协议中的软件或系统漏洞进行定期的扫描, 对发现的漏洞打上相应的补丁。[3]漏洞扫描系统利用网络安全漏洞及自动检测主机技术, 记录脚本文件在运行时对计算机系统发出的攻击反应, 继而采取相应的应对措施。

2.1.2 防范黑客侵入技术

为了防止黑客侵入系统, 可通过访问控制技术、数字签名技术、防火墙技术、密码技术、身份认证技术等几个防护措施对计算机系统安全进行保护。

1) 访问控制技术。访问控制技术可确保只有特定的用户才可获得访问网络中某类资源中相关程序或数据的资格, 使网络资源不会遭到非法使用及非法访问。访问控制的实行措施包括有属性安全控制、网络权限限制、网络锁定及监测控制、入网访问控制、网络端口和防火墙控制、目录级安全控制、节点安全控制、网络服务器安全控制等。就计算机网络安全来说, 访问控制技术是其主要的防护手段之一。

2) 数字签名技术。数字签名技术是一种以电子形式存在于计算机数据信息当中, 用于审察辨别数字信息的方法, 其使用了公钥加密技术实现了类似于书写的物理签名, 故其又被称为电子签章或公钥数字签名。一套数字签名通常会定义两种运算, 一种用于验证, 另一种用于签名。数字签名技术多用于处理篡改、冒充、抵赖或伪造等问题, 在电子交易中运用广泛。

3) 防火墙技术。在计算机网络用语中, 防火墙是指由硬件设备及软件设备组合成的, 用于阻拦不安全因素侵入计算机的安全屏障, 是计算机信息防护人员为了预防并消除病毒, 增强计算机隔离病毒、查杀病毒、预防病毒、检测系统漏洞等防范能力而建立的病毒防范体系。为保证计算机信息安全, 计算机用户应尽量不使用外来在存储设备如移动硬盘、光盘、U盘等, 同时避免访问非法网站。

4) 密码技术。当前计算机网络世界中最常用的一种信息保密安全技术即是密码技术, 密码技术包含两种加密方法。一种是不对称加密, 其常见算法包括有椭圆曲线密码算法、El Gamal算法、RSA算法等[4], 用户可分别拥有解密及加密两个不同密钥;另一种是对称加密, 其常见算法包括有美国数据加密标准DES、高级加密标准AES、IDEA等, 用户拥有一个密钥, 该密钥兼顾解密及加密两种功能。

5) 身份认证技术。身份认证技术被用于识别计算机网络用户的身份, 是为了获知用户身份而产生的一种解决方法。常见的身份认证形式包括有静态密码、智能卡、动态口令牌、USB KEY、短信密码、双因素身份认证、数字签名、生物识别技术等。被认证用户的属性则包括两种特征, 一种是物理特征, 即密码、口令;另一种是生理特征, 即声音、视网膜、指纹等。身份认证技术常被通讯双方用于确认彼此身份, 以确保通讯的安全性。

2.2 安全管理方面的防护措施

要保护计算机信息网络的安全除了增加计算机信息安全技术方面的防护措施外, 还应增强安全管理方面的安全教育工作, 提升网络用户的计算机系统安全防范观念, 进而提高计算机网络信息的安全性。只有加强网络用户的安全防范观念, 网络用户才会重视并拥有相应的信息安全防护手段, 有效提高计算机网络信息安全。针对网络用户的计算机网络信息安全教育可从提高其网络安全知识教育及网络安全意识教育等两个方面开始[5]。其中, 网络安全意识教育主要指导网络用户如何设置及保护密码、机密数据、个人识别码等, 加强其网络密码安全意识, 以及教导网络用户设置计算机个人防火墙、使用杀毒软件, 提供其网络安全信息等。此外, 为了提升民众对于防火墙、计算机杀毒软件之类网络安全防护工具的认识, 还可举办计算机网络信息安全防范措施方面的培训, 使用现场演示或一问一答等方式提高其网络安全常识。

参考文献

[1]杜常青.计算机网络信息技术安全及防范对策研究[J].信息安全与技术, 2011, 3 (11) :56.

[2]王延中.计算机网络信息安全及其防护[J].信息与电脑 (理论版) , 2011, 7 (01) :23-50.

[3]赵雪.浅谈计算机网络的信息安全及防护策略[J].才智, 2011, 10 (9) :80.

[4]焦新胜.对计算机网络信息和网络安全及其防护策略的探讨[J].科技传播, 2011, 11 (5) :34-60.

网络信息安全与防护 篇9

随着现代社会的飞速发展,互联网技术和计算机技术的普及应用,给人们生活、工作和学习带来了巨大变化。由于网络环境具有开放性等特征,以及网络规模的持续扩大和各种网络应用的诞生,导致网络环境变得日益复杂。然而,校园网络作为互联网的重要组成部分,涉及行政管理、教学管理、学生管理、档案管理、财务管理、科研管理等多项业务。由于校园网络体系结构复杂、用户群体广泛、安全管理机制不健全,其面临的信息安全问题也越来越多。如何采取有效的信息安全防护策略,构建安全、稳定、可靠的校园网络系统,已经成为了校园信息化发展亟待解决的问题。

1 校园网络信息安全面临的问题

1.1 计算机系统管理不善

接入校园网络的计算机设备成千上万,但管理方式却各不相同。校园网络中的个人计算机设备不可避免地登录外界互联网,因此,经常出现个人计算机设备在外部网络环境中感染计算机病毒,当接入校园网络时病毒又入侵到校园网络中,导致校园网络信息安全得不到有效防护,更难以明确破坏校园网络信息安全的责任。

1.2 开放的校园网络环境

很多学校为了方便教师和学生利用校园网络资源,在网络管理方面没有采取过多的安全防护措施,校园网络环境比较开放。但是,校园网络环境的过度开放非常不利于信息安全防护管理,难以有效控制与外部网络环境的连接。

1.3 用户群体多元化

校园网络的用户群体广泛,包括学生、教师、行政管理人员、后勤管理人员和外来人员等。其中,学生是校园网络中最为活跃的用户群体,学生对网络环境的过于依赖,以及热衷于在网络环境中使用各种新型技术,甚至由于学生法律意识不强,还会使用自己开发的攻击技术尝试入侵校园网络,严重影响校园网络的正常运行。

1.4 管理机制不健全

目前,很多校园网络还没有建立完善的网络信息安全管理机制,也没有采取用户身份认证机制、入侵检测技术等防护措施来限制外部人员进入校园网络,无法确保校园网络系统的安全性。

2 校园网络信息安全防护策略

2.1 防火墙技术

防火墙技术主要是在可信任的校园网络和不可信任的外部网络之间设置一定级别的控制策略,是隔离不同网络环境的安全屏障。从物理层面来说,防火墙系统包括网络路由器、计算机设备和各种软硬件设备,但也可以是单纯的硬件设备或软件设备;从组成层面上来说,防火墙系统包括访问控制规则、身份认证工具、包过滤和网关四个部分;从逻辑层面来说,防火墙系统既属于限制器,也属于分离器,还可以作为分析器对校园网络和外部网络之间的数据通信进行监控,以确保校园网络的安全。目前,校园网络中的防火墙配置主要采用的是代理服务技术,其安全性较高,可以有效阻断校园网络和外部网络的数据连接,实时对网络应用层的通信流进行监控。代理服务技术要求外部用户必须通过代理服务器的身份认证,才能与校园网络建立连接。

2.2 入侵检测技术

校园网络中的入侵检测技术可以发现企图破坏校园网络资源的行为,并立即做出响应。入侵检测系统可以检测对网络服务器资源发起访问请求的用户信息,实时监控校园网络的数据流,还可以检测绕过防火墙系统尝试对校园网络发起攻击行为。入侵检测技术属于一种主动型、智能型的网络信息安全防护技术,同时检测对内部校园网络和外部网络的攻击,入侵检测系统的配置可以放在防火墙系统之后,作为校园网络的第二道安全屏障。尤其是对于校园网络这种级别较高的网络安全防护体系,必须设置相应的入侵检测系统。校园网络入侵检测系统模型如图1 所示:

2.3 虚拟专用网技术

虚拟专用网技术(VPN)指的是利用网络服务商提供的公共网络资源创建一个安全的、虚拟的数据通信隧道。虚拟专用网络并不是真实存在的物理网络结构,只是一种虚拟的网络数据通信链路,属于节点对节点的网络连接。虚拟专用网络技术在校园网络中的应用可以节约资金成本,将分散在不同地点的网络设备进行连接,形成一个虚拟的、安全的、专用的数据通信隧道,以满足校园网络用户的个性化需求。目前,很多校园网络在构建信息安全防护体系时会选择采用网络层的虚拟专用网技术,即IP网络安全协议,通过认证协议、数据加密算法等,将网络IP层传输的数据进行加密、验证和检查,以确保校园网络数据通信的安全性和可靠性。

2.4 身份认证技术

身份认证技术是远程用户向校园网络系统证明自己身份的过程,也是身份认证系统核实用户身份的过程。身份认证技术可以鉴定校园网络和外部网络数据通信双方用户的身份,以确保用户登录校园网络的合法性和真实性,限制非法用户的进入,根据用户的授权身份严格控制访问资源,是校园网络安全防护体系建设中的关键技术。目前,很多校园网络的身份认证系统采用的是远程用户接入认证服务协议(RADIUS),RADIUS认证协议能够为校园网络提供用户身份认证授权服务,拒绝未授权的非法用户访问校园网络资源,属于一种分布式信息交互认证协议。RADIUS认证协议采用的是非对称加密技术,其工作流程如图2 所示。

2.5 数据备份技术

网络安全防护策略中的数据备份技术非常重要,由于数据信息在存储、传输过程中不可避免的会发生数据丢失和损坏的情况,因此,只有不断提高数据备份技术的安全性和可靠性,才能有效确保数据信息安全。目前,校园网络中的数据备份技术是维护校园网络信息安全的关键手段。随着大容量磁盘技术的迅速发展,磁盘阵列数据备份技术替代了传统的物理磁带备份技术,很多学校开始采用磁盘阵列模拟虚拟磁带库的方式实现海量数据的备份功能。虚拟磁带库数据备份包括两种方式,一是软件方式,利用虚拟磁带库模拟软件运行,在数据备份服务器或专用服务器中安装磁带库软件;二是将虚拟磁带库模拟软件集成于专用硬件控制器设备中实现数据备份功能。

以上几种安全防护技术能够有效保障校园网络信息安全。除了防火墙技术、虚拟专用网技术、入侵检测技术、身份认证技术和数据备份技术之外,访问控制技术、漏洞扫描技术、防病毒技术、数字加密技术等也能确保校园网络信息安全。随着校园网络信息化建设发展,来自校园内部网络和外部网络的安全威胁越来越多,校园网络安全管理部门要完善部署工作信息安全防护策略,提高安全防护技术的有效性。

3 结语

综上所述,校园网络安全稳定运行是确保学校各项工作顺利开展的基础,校园网络信息安全的防护工作离不开防火墙技术、身份认证技术、虚拟专用网络技术、入侵检测技术和数据加密技术等多种技术手段的支持,同时,校园网络系统的架构设计也要充分考虑安全性和可靠性。

参考文献

[1]潘磊,李廷元.适用于移动自组织网络的信息安全动态评估模型[J].计算机应用,2015.

[2]肖凌,彭龙.论网络个人信息的安全问题与法律保障[J].中外企业家,2015.

[3]史玉锋,邓成飞,李明,赵燕.论网络信息安全技术优化与防范措施[J].电子技术与软件工程,2015.

网络信息安全与防护 篇10

1计算机通信网络安全现状

1.1网络终端设备通信网络安全概况

网络终端设备主要由计算机终端、移动终端和通信网络组成, 其中移动设备和计算机是通信网络的信源或终端, 通信网络是传输和交换数据的必要手段, 最终实现各类终端设备的资源共享。网络终端设备通信网络安全, 是通过对应的安全措施防止计算机及移动终端中的通信网络中的密码、数据、各类操作系统等内容遭到更改破坏、防止其它用户窃取服务。从网络的运行环节来分, 网络安全有设备安全、数据传输安全、用户识别安全等几个方面。

1.2网络安全研究的历史、现状

网络安全研究最早是由美国进行相关的基础理论研究, 先后制订了计算机系统安全评估准则、网络系统数据库方面的系统安全解释, 形成了安全信息系统体系结构的基本准则。安全协议作为信息安全的重要内容, 作为信息安全关键技术的密码学, 更是取得了长远的发展, 近年来信息人员解决了数字签名的问题, 而电子商务的安全性要求更是带动了网络安全论证、密码管理等研究。

2目前网络安全存在的问题

2.1系统自身的问题

由于各类个人移动设备终端及PC终端在设计时由于各种原因, 厂家总是留有“窗口”或是“后门”, 这就导致了各类设备在实际运用的过程中由于其系统自身的不完善导致了安全隐患。

2.1.1操作系统的脆弱性

各类操作系统由于开发企业的技术不同, 在网络安全方面总是存在各类流动, 导致存在各类信息隐患的存在, 尤其是当前黑客技术的不断发展, 后门类软件能够做到在入侵各类终端后自行上传隐私数据、窃取密码等重要资料。

2.1.2软件的漏洞

各类应用及通信软件系统的不完善, 给各种不安全因素和入侵留下了隐患, 应用的不规范更导致了信息安全的缺陷。

2.1.3脆弱的网络安全服务

我们常接触的PC终端因特网的基石是TCP/IP协议, 该协议在设计上就有许多安全隐患, 很多基于TCP/IP的应用服务, 在不同程度上存在着信息安全问题, 而无线设备可能在接触钓鱼WIFI及其他恶意网络渠道会导致安全风险。

2.2人为因素

网络黑客通过各种技术手段进入各类终端设备, 进行破坏、窃取、篡改损坏网络, 对网络构成了极大的威胁。黑客入侵的手段和方式多种多样, 有传统的利用病毒、木马、间谍软件与网络监听、口令攻击、漏洞攻击等方式进行攻击, 还有新型的利用0day工具、rootkit软件、利用虚拟机实施攻击、无线入侵等方式, 为自己谋求各个方面的利益。

2.3自身因素

网络危害的另一个主因是因为企业及个人对网络安全意识淡薄, 缺乏必要的安全防护意识和安全防护措施, 导致信息危害的发生。

3提升网络安全的几点建议

安全针对以上提出的影响网络安全的因素, 我们应当从以下6个方面着手提高终端通信网络安全。

(1) 加快网络安全政策法规建设, 制定新的信息安全法律, 规范网络空间主体的权利和义务。

(2) 加强个人及企业的网络安全意识, 进一步的推广和普及网络安全知识。

(3) 进一步的研发加密设备芯片, 在集成电路、核心电子元器件、基础软件等核心关键技术方面实现进一步的推进, 将新科技手段融入终端设备中, 提升设备保密性能。

(4) 进一步增加网络安全资金投入, 形成多层次、多渠道、多方式筹措资金的模式和机制, 重点支持信息安全关键技术研究、信息安全产品开发与产业化、重要基础设施防护、国家信息安全重大工程建设、信息安全关键标准制定与信息安全宣传教育等重要基础性工作。

(5) 积极开展国际对话与合作交流, 推进网络外交, 加强信息安全事件与威胁信息共享, 联手打击网络犯罪行为和网络恐怖行为。

(6) 进一步的研发操作系统安全技术, 对目前的手机及计算机系统的网络安全弱点进行全面整改, 尽量做好已发现漏洞的安全维护工作。

摘要：信息技术的进步带动了通信网络的飞跃式发展, 最近几年随着移动设备终端功能的迅速发展, 信息安全的焦点逐步由以固定的计算机网络安全转变为移动设备及普通计算机设备共同的网络安全, 目前, 手机终端及计算机终端已经成为人们日常生活中不可缺少的部分, 手机所涉及的个人信息隐私及通讯安全和计算机网络安全防护已经成为目前新时期网络安全的重点, 本文主要探讨目前无线终端设备及计算机信息网络威胁等问题, 提出提高综合网络安全防护策略。

关键词：移动设备通信网络,网络安全,防护策略,网络安全技术

参考文献

[1]杨朝军.关于计算机通信网络安全与防护策略的几点思考[J].硅谷, 2008.

[2]斯图塔德.黑客大曝光:网络安全机密与解决方案[M].北京:人民邮电出版社, 2012.