導語：如何才能寫好一篇基于某企業(yè)的網絡安全策略，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

計算機信息系統(tǒng)安全是一個動態(tài)過程。美國國際互聯網安全系統(tǒng)公司（ISS）對此提出P2DR模型，其關鍵是Policy（策略）、Protection（防護）、Detection（檢測）和Response（響應）四方面。按照P2DR的觀點，完整的動態(tài)安全體系需要防護措施（如網絡或單機防火墻、文件加密、身份認證、操作系統(tǒng)訪問控制、數據庫系統(tǒng)訪問控制等）、動態(tài)檢測機制（入侵檢測、漏洞掃描等）、先進的資源管理系統(tǒng)（及時發(fā)現問題并做出響應）。

中國石油按照信息安全P2DR模型制定的信息安全系統(tǒng)體系結構包括安全運行中心、網絡邊界管理系統(tǒng)、網絡準入控制、網絡管理系統(tǒng)、病毒監(jiān)控與升級管理系統(tǒng)、系統(tǒng)加固與監(jiān)控管理系統(tǒng)、CA認證中心、密鑰管理與分發(fā)系統(tǒng)、數據庫防護系統(tǒng)、容災系統(tǒng)、內容訪問監(jiān)控系統(tǒng)和電子郵件監(jiān)控系統(tǒng)。

中國石油廣域網安全基礎設施

防火墻系統(tǒng)

中國石油廣域網十分龐大，下屬單位很多，遍布全國，連通世界上很多國家的分支企業(yè)。因此需要在網絡各個相連處部署強力防火墻，確保網絡的安全性。另外，在區(qū)域網絡中心的服務器群前，加兩臺防火墻，以負載均衡方式，用千兆光纖連接到區(qū)域網絡中心路由器上。在兩臺防火墻都正常工作情況下，可以提供約兩倍于單臺設備的性能，即約4Gbps的防火墻吞吐量，當一臺防火墻出現故障時，另一臺防火墻保證網絡不間斷運行，保障服務器群的高可用性。

利用防火墻技術，能在內外網之間提供安全保護; 但有如下局限性: 入侵者可尋找防火墻可能敞開的后門進行襲擊; 網絡結構改變有時會造成防火墻安全策略失效，攻擊者可以繞防火墻實施攻擊; 入侵者可能來自防火墻內部; 防火墻可能不能提供實時入侵檢測。

入侵檢測系統(tǒng)

入侵檢測系統(tǒng)分為基于網絡和基于主機兩種類型?；诰W絡的入侵檢測系統(tǒng)對所在網段的IP數據包進行分析監(jiān)測，實時發(fā)現和跟蹤有威脅或隱患的網絡行為?；谥鳈C的入侵檢測系統(tǒng)安裝在需要保護的主機上，為關鍵服務提供實時保護。通過監(jiān)視來自網絡的攻擊、非法闖入和異常進程，能實時檢測出攻擊，并做出切斷服務、重啟服務器進程、發(fā)出警報、記錄入侵過程等動作。

入侵檢測在網絡中設置關鍵點，收集信息，并加以分析，查找違反安全策略的行為和遭到襲擊的跡象。它是第二道安全閘門，對內外攻擊和誤操作提供實時保護，又不影響網絡性能。其具體功能如下: 監(jiān)視、分析用戶及系統(tǒng)活動; 系統(tǒng)構造和弱點審計; 識別已知進攻的活動模式并向相關人員報警; 異常行為模式的統(tǒng)計分析; 評估重要系統(tǒng)和數據文件的完整性; 操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。

中國石油12個區(qū)域網絡中心，均配備入侵檢測系統(tǒng)，監(jiān)控內外網入侵行為。

漏洞掃描系統(tǒng)

漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術。它查詢TCP/IP端口，并記錄目標的響應，收集關于某些特定項目的有用信息，例如正在進行的服務、擁有這些服務的用戶是否支持不記名登錄、是否有某些網絡服務需要鑒別等。

漏洞掃描系統(tǒng)可安裝在便攜機中，在網絡比較空閑時檢測。檢測方式可本地可遠程; 可臨時檢測某網段，也可固定檢測某網段，但是檢測范圍不可跨越防火墻。

查殺病毒系統(tǒng)

中國石油網絡上各個局域網普遍設立查殺病毒軟件服務器，不斷更新殺毒軟件，及時向用戶機下推最新版本殺毒軟件。大大減輕了病毒泛濫和造成的損失。

網絡安全策略管理

中國石油全網提供統(tǒng)一安全策略，各級分別部署，從而提高全網整體安全。

企業(yè)網絡安全策略分為四個方面:檢測評估、體系結構、管理措施和網絡標準，并構成動態(tài)循環(huán)系統(tǒng)（圖1）。安全檢測與評估隨著安全標準的提高而改進，評估結果是網絡體系結構的完善的依據，安全策略管理必須隨之改進與增強; 技術的進步和網絡安全要求的提高，促使網絡標準的完善與改進。

網絡安全檢測與評估涉及網絡設備、網絡操作系統(tǒng)、應用軟件、專業(yè)軟件、數據庫、電子商務、Web網站、電子郵件等。安全體系結構涉及物理、場地、環(huán)境、訪問控制、數據傳輸與保存、路由控制。安全管理措施涉及網絡設備、軟件、密鑰。

路由器和交換機策略管理是上述安全管理措施中的重要方面。它們的策略維護通過訪問控制列表（ACL）實現。這種工作容易出錯，因而應采用專用工具軟件集中管理。所采用的管理軟件有管理設備ACL的WEB接口，通過這個接口對IP過濾列表進行編輯及下載，簡化了管理工作量，實現了大型網絡路由器和交換機上策略參數的集中管理。

分系統(tǒng)設計

除了上述基礎設施外，還必須有屬于“上層建筑”安全措施。這便是分系統(tǒng)設計。

安全運行中心

中國石油信息系統(tǒng)地域分散、規(guī)模龐大，與多個業(yè)務系統(tǒng)耦合性很強，如何將現有安全系統(tǒng)納入統(tǒng)一管理平臺，實現安全事件全局分析和動態(tài)監(jiān)控，是中國石油廣域網面臨的主要問題。

建立安全運行中心，實現對全網安全狀況的集中監(jiān)測、安全策略的統(tǒng)一配置管理、統(tǒng)計分析各類安全事件，并處理各種安全突發(fā)事件。安全運行中心不僅可以將不同類型安全產品實現統(tǒng)一管理，還可以將網絡中不同位置、不同系統(tǒng)中單一安全事件進行收集、過濾、關聯分析，得出網絡全局風險事件集，提供安全趨勢報告，并通過遠程狀態(tài)監(jiān)控、遠程分發(fā)、實現快速響應，有效控制風險事件。

安全運行中心功能模塊包括安全配置模塊、網絡監(jiān)控模塊、內容監(jiān)管模塊、安全事件與預警模塊以及應急響應模塊，具體功能模塊如圖2所示。下邊介紹幾種主要功能。

（1）安全配置管理

包括防火墻、入侵檢測、VPN等安全系統(tǒng)的安全規(guī)則、選項和配置，各種操作系統(tǒng)、數據庫、應用等系統(tǒng)配置的安全設置、加固和優(yōu)化措施?？蓪崿F策略創(chuàng)建、更新、、學習和查詢。

（2）網絡監(jiān)控

模塊可提供對網絡設備、網絡安全設備、網絡拓撲、服務器、應用系統(tǒng)運行情況的可視化監(jiān)控，確定某個安全事件是否會發(fā)生，事件類型、影響程度和范圍。預警: 對網絡設備、安全設備、主機系統(tǒng)、服務器、數據庫系統(tǒng)日志信息的收集、集中存儲、分析、管理，及時發(fā)現安全事件，并做出相應預警。

（3）內容監(jiān)管

內容監(jiān)控、內容訪問監(jiān)控以及內容傳播監(jiān)控。

中國石油信息安全系統(tǒng)安全運行中心由總部、區(qū)域中心、地區(qū)公司三級結構組成。

總部級: 制定統(tǒng)一安全配置，收集所有匯總上來的數據，并對其進行統(tǒng)一分析、管理。通過這種逐級逐層多級化模式管理，達到對信息安全全方位防御的目的。

區(qū)域中心級: 執(zhí)行對管轄范圍內所有地區(qū)公司安全運行中心的監(jiān)控，也可監(jiān)控區(qū)域內的網絡安全、主機安全、數據庫安全、應用系統(tǒng)安全等，并向總部安全運行中心上報相關數據。

地區(qū)公司級: 部署總部的統(tǒng)一安全配置，監(jiān)控地區(qū)公司內部網絡、主機、數據庫、應用系統(tǒng)安全等，收集分析安全事件并做出及時響應，生成分析報告，定期向區(qū)域中心匯總。

網絡邊界管理系統(tǒng)

中國石油網絡按照其應用性質的不同和安全要求的不同，劃分為不同的安全域。整個網絡安全符合木桶原則: 最低木板決定木桶裝水量; 網絡安全最薄弱環(huán)節(jié)決定整個網絡的安全性。

由于網絡中不可控制的接入點比較多，導致全網受攻擊點明顯增多。通過網絡邊界管理系統(tǒng)可以最大限度保護內部業(yè)務數據的安全，其中重點保護與Internet直接連接的區(qū)域。

按照業(yè)務不同的安全程度要求，中國石油各個企業(yè)網絡劃分若干安全區(qū)域:

（1）業(yè)務區(qū)域: 企業(yè)重要信息集中在此，這里有核心數據庫，可與相關單位交換信息。

（2）生產區(qū)域: 主要指各煉化企業(yè)的生產網絡，實現生產在線監(jiān)控和管理信息的傳遞。

（3）辦公區(qū)域: 各單位的辦公網，用戶訪問企業(yè)業(yè)務系統(tǒng)與互聯網、收發(fā)電子郵件等。

（4）對外服務區(qū): 通過因特網對外信息和進行電子商務的區(qū)域，該區(qū)域日趨重要。

（5）因特網接入區(qū): 因特網瀏覽信息、對外交流的窗口，最易受攻擊，要重點保護。

通過邊界管理系統(tǒng)在中國石油各局域網邊界實施邊界管理，在內部部署入侵檢測系統(tǒng)實施全面安全保護，并在對外連接處和必要的部位部署防火墻進行隔離。

通過入侵檢測系統(tǒng)和防火墻聯動，可以對攻擊行為實時阻斷，提高安全防護的有效性。

網絡準入控制系統(tǒng)

中國石油網絡準入控制系統(tǒng)分四部分: 策略服務器、客戶端平臺、聯動設備和第三方服務器（圖3）。

（1）安全策略服務器: 它是網絡準入控制系統(tǒng)的管理與控制中心，實現用戶管理、安全策略管理、安全狀態(tài)評估、安全聯動控制以及安全事件審計等功能。

（2）安全客戶端平臺: 它是安裝在用戶終端系統(tǒng)上的軟件，可集成各種安全產品插件，對用戶終端進行身份認證、安全狀態(tài)評估以及實施網絡安全策略。

（3）安全聯動設備: 它是企業(yè)網絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。安全管理系統(tǒng)管理平臺作為安全策略服務器，提供標準協(xié)議接口，支持同交換機、路由器等各類網絡設備的安全聯動。

（4）第三方服務器: 為病毒服務器、補丁服務器等第三方網絡安全產品，通過安全策略的設置實施，實現安全產品功能的整合。

鏈接

中國石油廣域網安全設計原則

在中石油廣域網絡安全系統(tǒng)的設計中應遵循以下設計原則:

高度安全與良好性能兼顧: 安全與性能相互矛盾，安全程度越高，性能越受影響。任何事物沒有絕對安全，也不總是越安全越好。安全以投資、性能、效率的付出為代價。在安全系統(tǒng)設計中，對不同安全程度要求，采用不同安全措施，從而保證系統(tǒng)既有高度安全保障，又有良好系統(tǒng)性能。所謂高度安全，指實現的安全措施達到信息安全級別的要求，對關鍵信息可以再高一個級別。

全方位、均衡性和層次性: 全方位、均衡性安全設計保證消除網絡中的漏洞、后門或薄弱環(huán)節(jié); 層次性設計保證當網絡中某個安全屏障（如防火墻）被突破后，網絡仍受到其他安全措施（如第二道防火墻）的保護。

主動和被動相結合: 主動對系統(tǒng)中安全漏洞進行檢測，及時消除安全隱患; 被動實施安全策略，如防火墻措施、ACL措施等等。兩者完美結合，有效實現安全。

切合實際: 有的放矢、行之有效，避免措施過度導致性能不應有的下降。

易于實施、管理與維護。

篇2

關鍵詞：信息化；網絡安全；企業(yè)；解決方案

0　引言

現代企業(yè)信息化網絡是基于內部傳輸網和Internet網絡的互聯網絡，由于公眾網絡是一個相對開放的平臺，網絡接入比較復雜，掛接的相關點比較多，網絡一旦接入公眾網絡，對于一些網絡安全比較敏感的數據，傳輸的安全性就比較弱，比較危險。本文將重點分析企業(yè)網絡系統(tǒng)安全性方面以及業(yè)務系統(tǒng)安全性方面存在的問題。

1　企業(yè)信息化網絡存在的安全隱患

1.1　Windows系統(tǒng)的安全隱患

Windows的安全機制不是外加的，而是建立在操作系統(tǒng)內部的，可以通過一定的系統(tǒng)參數、權限等設置使文件和其他資源免受不良用戶的威脅(破壞、非法的編輯等等)。例如設置系統(tǒng)時鐘，對用戶賬號、用戶權限及資源權限的合理分配等。

由于Windows系統(tǒng)的復雜性，以及系統(tǒng)的生存周期比較短，系統(tǒng)中存在大量已知和未知的漏洞。一些國際上的安全組織已經公示了大量的安全漏洞，其中一些漏洞可以導致入侵者獲得管理員的權限，而另一些漏洞則可以被用來實施拒絕服務攻擊。例如，Windows所采用的存儲數據庫和加密機制可導致一系列安全隱患：NT把用戶信息和加密口令保存于NTRegistry的SAM文件即安全賬戶管理(securityAccounts Management)數據庫中，由于采用的算法的原因，NT口令比較脆弱，容易被破譯。能解碼SAM數據庫并能破解口令的工具有：PWDump和NTCrack。這些工具可以很容易在Internet上得到。黑客可以利用這些工具發(fā)現漏洞而破譯―個或多個DomainAdministrator帳戶的口令，并且對NT域中所有主機進行破壞活動。

1.2　路由和交換設備的安全隱患

路由器是企業(yè)網絡的核心部件，它的安全將直接影響整個網絡的安全。路由器在缺省情況下只使用簡單的口令驗證用戶身份，并且在遠程TELNET登錄時以明文傳輸口令。一旦口令泄密，路由器將失去所有的保護能力。同時，路由器口令的弱點是沒有計數器功能，所以每個人都可以不限次數地嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。每個管理員都可能使用相同的口令，路由器對于誰曾經作過什么修改沒有跟蹤審計的能力。此外，路由器實現的某些動態(tài)路由協(xié)議存在一定的安全漏洞，有可能被惡意攻擊者利用來破壞網絡的路由設置，達到破壞網絡或為攻擊作準備的目的。

1.3　數據庫系統(tǒng)的安全隱患

一般的現代化企業(yè)信息系統(tǒng)包含著多套數據庫系統(tǒng)。數據庫系統(tǒng)是存儲重要信息的場所并擔負著管理這些數據信息的任務。數據庫的安全問題，在數據庫技術誕生之后就一直存在，并隨著數據庫技術的發(fā)展而不斷深化。如何保證和加強數據庫系統(tǒng)的安全性和保密性對于企業(yè)的正常、安全運行至關重要。

我們將企業(yè)數據庫系統(tǒng)分成兩個部分：一部分是數據庫，按照一定的方式存取各業(yè)務數據。一部分是數據庫管理系統(tǒng)(DBMS)，它為用戶及應用程序提供數據訪問，同時對數據庫進行管理，維護等多種功能。

數據庫系統(tǒng)的安全隱患有如下特點：涉及到信息在不同程度上的安全，即客體具有層次性和多項性；在DBMS中受到保護的客體可能是復雜的邏輯結構，若干復雜的邏輯結構可能映射到同一物理數據客體上，即客體邏輯結構與物理結構的分離；客體之間的信息相關性較大，應該考慮對特殊推理攻擊的防范。

2　企業(yè)信息化網絡安全策略的體系

網絡安全策略為網絡安全提供管理指導和支持。企業(yè)應該制定一套清晰的指導方針，并通過在組織內對網絡安全策略的和保持來證明對網絡安全的支持與承諾。

2.1　安全策略系列文檔結構

(1)最高方針

最高方針，屬于綱領性的安全策略主文檔，陳述本策略的目的、適用范圍、網絡安全的管理意圖、支持目標以及指導原則，網絡安全各個方面所應遵守的原則方法和指導性策略。安全策略的其他部分都從最高方針引申出來，并遵照最高方針，不與之發(fā)生違背和抵觸。

(2)技術規(guī)范和標準

技術標準和規(guī)范，包括各個網絡設備、主機操作系統(tǒng)和主要應用程序應遵守的安全配置和管理技術標準和規(guī)范。技術標準和規(guī)范將作為各個網絡設備、主機操作系統(tǒng)和應用程序安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標準，不允許發(fā)生違背和沖突。它向上遵照最高方針，向下延伸到安全操作流程，作為安全操作流程的依據。

(3)管理制度和規(guī)定

管理制度和規(guī)定包括各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規(guī)定、管理辦法和實施辦法，必須具有可操作性，而且必須得到有效推行和實施。它向上遵照最高方針，向下延伸到用戶簽署的文檔和協(xié)議。用戶協(xié)議必須遵照管理規(guī)定和管理辦法，不與之發(fā)生違背。

(4)組織機構和人員職責

安全管理組織機構和人員的安全職責，包括安全管理機構組織形式和運作方式，機構和人員的一般責任和具體責任。作為機構和員工工作時的具體職責依照，此部分必須具有可操作性，而目必須得到有效推行和實施。

(5)用戶協(xié)議

用戶簽署的文檔和協(xié)議，包括安全管理人員、網絡和系統(tǒng)管理員安全責任書、保密協(xié)議、安全使用承諾等等。作為員工或用戶對日常工作中遵守安全規(guī)定的承諾，也作為違背安全時處罰的依據。

2.2　策略體系的建立

目前的企業(yè)普遍缺乏完整的安全策略體系，沒有將政府高層對于網絡安全的重視體現在正式的、成文的、可操作的策略和規(guī)定上。企業(yè)應當建立策略體系，制定安全策略系列文檔。建議按照上面所描述的策略文檔結構，建立起安全策略文檔體系。

建議策略編制原則為建立一個統(tǒng)一的、體系完整的企業(yè)安全策略體系，內容覆蓋企業(yè)中的所有網絡、部門、人員、地點和分支機構。鑒于企業(yè)中的各個機構業(yè)務情況和網絡現狀差別很大，因此在整體的策略框架和體系下，允許各個機構根據各自情況，對策略體系中的管理制度、操作流程、用戶協(xié)議、組織和人員職責進行細化。但細化后的策略文檔必須依照企業(yè)統(tǒng)一制定的策略文檔中的規(guī)定，不允許發(fā)生違背和矛盾，其要求的安全程度只能持平或提高，不允許下降。

2.3　策略的有效和執(zhí)行

安全策略系列文檔制定后，必須和有效執(zhí)行。和執(zhí)行過程中除了要得到企業(yè)高層領導的大力支持和推動外，還必須要有合適的、可行的和推動手段，同時在和執(zhí)行前對每個本員要進行與其相關部分的充分培訓，保證每個人員都了解與其相關部分的內容。必須要注意到這是一個長期、艱苦的工作，需要付出艱苦的努力，而且由于牽扯到企業(yè)許多部門和絕大多數人，可能需要改變工作方式和流程，所以推行起

來阻力會相當大；同時安全策略本身存在的缺陷，包括不切實際的、太過復雜和繁瑣的、規(guī)定有缺欠的情況等，都會導致整體策略難以落實。

3　企業(yè)信息化網絡安全技術總體解決方案

參考以上所論述的，結合現有網絡安全核心技術，本文認為，企業(yè)信息化網絡總體的安全技術解決方案將圍繞著企業(yè)信息化網絡的物理層、網絡層、系統(tǒng)層、應用層和安全服務層搭建整體的解決方案，企業(yè)信息化網絡建設將著重從邊界防護、系統(tǒng)加固、認證授權、數據加密、集中管理五個方面進行，在企業(yè)信息化網絡中重點部署防火墻、入侵檢測、漏洞掃描、網絡防病毒、VPN五大子系統(tǒng)，并通過統(tǒng)一的平臺進行集中管理，從而實現企業(yè)信息化網絡安全既定的目標。

3.1　防火墻系統(tǒng)的引入

通過防火墻系統(tǒng)的引入，利用防火墻“邊界隔離+訪問控制”的功能，實現對進出企業(yè)網的訪問控制，特別是針對內網服務器資源的訪問，進行重點監(jiān)控，可以提高企業(yè)網的網絡層面安全。防火墻子系統(tǒng)能夠與入侵檢測子系統(tǒng)進行聯動，當入侵檢測系統(tǒng)對網絡中的數據包進行細粒度檢測，發(fā)現異常，并通知防火墻時，防火墻會自動生成安全策略，將訪問源阻斷在防火墻之外。

3.2　入侵檢測子系統(tǒng)的引入

入侵檢測系統(tǒng)用于實時檢測針對重要網絡資源的網絡攻擊行為，它會對企業(yè)網內異常的訪問及數據包發(fā)出報警，以便企業(yè)的網絡管理人員及時采取有效的措施，防范重要的信息資產遭到破壞。同時，可在入侵檢測探測器與防火墻之間建立互動響應體系，當探測器檢測到攻擊行為時，向防火墻發(fā)出指令，防火墻根據入侵檢測系統(tǒng)上報的信息，自動生成動態(tài)規(guī)則，對發(fā)出異常訪問及數據包的源地址給予阻斷。入侵檢測和防火墻相互配合，能夠共同提高企業(yè)網整體網絡層面的安全性，兩個系統(tǒng)共同構成了企業(yè)網的邊界防護體系。

3.3　網絡防病毒子系統(tǒng)的引入

防病毒子系統(tǒng)用于實時查殺各種網絡病毒，可防范企業(yè)網遭到病毒的侵害。企業(yè)應在內部部署網關級、服務器級、郵件級，以及個人主機級的病毒防護。從整體上提高系統(tǒng)的容災能力，提升企業(yè)網整體網絡層面的安全性。

3.4　漏洞掃描子系統(tǒng)的引入

漏洞掃描子系統(tǒng)能定期分析網絡系統(tǒng)存在的安全隱患，把隱患消滅在萌牙狀態(tài)。針對企業(yè)網絡中存在眾多類型的操作系統(tǒng)、數據庫系統(tǒng)，運行著營銷系統(tǒng)、財務系統(tǒng)、客戶信息系統(tǒng)、人力資源系統(tǒng)等重要的應用，如何確保各類應用系統(tǒng)的穩(wěn)定和眾多信息資產的安全，是企業(yè)信息化網絡中需要重點關注的問題。通過漏洞掃描子系統(tǒng)對操作系統(tǒng)、數據庫、網絡設備的掃描，定期提交漏洞及弱點報告，可大大提高企業(yè)網整體系統(tǒng)層面的安全性。該系統(tǒng)與病毒防范系統(tǒng)一起構成了企業(yè)網的系統(tǒng)加固平臺。

3.5　數據加密子系統(tǒng)的引入

通過對企業(yè)網重要數據的加密，確保數據在網絡中以密文的方式被傳遞，可以有效防范攻擊者通過偵聽網絡上傳輸的數據，竊取企業(yè)的重要數據，或以此為基礎實施進一步的攻擊，從而提高了企業(yè)網整體應用層面的安全性。

篇3

關鍵詞：網絡 安全策略 數據 訪問

        0 引言

        隨著我國經濟與科技的不斷發(fā)展，企業(yè)數字化管理作為為網絡時代的產物，已經成為企業(yè)管理發(fā)展的方向。隨著各企業(yè)內部網絡規(guī)模的急劇膨脹，網絡用戶的快速增長，企業(yè)內部網安全問題已經成為當前各企業(yè)網絡建設中不可忽視的首要問題。

        1 目前企業(yè)內部網絡的安全現狀

        1.1 操作系統(tǒng)的安全問題 目前，被廣泛使用的網絡操作系統(tǒng)主要是UNIX、WINDOWS 和Linux等，這些操作系統(tǒng)都存在各種各樣的安全問題，許多新型計算機病毒都是利用操作系統(tǒng)的漏洞進行傳染。如不對操作系統(tǒng)進行及時更新，彌補各種漏洞，計算機即使安裝了防毒軟件也會反復感染。

        1.2 病毒的破壞 計算機病毒影響計算機系統(tǒng)的正常運行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統(tǒng)的癱瘓，是影響企業(yè)內部網絡安全的主要因素。

        1.3 黑客 在《中華人民共和國公共安全行業(yè)標準》中，黑客的定義是：“對計算機系統(tǒng)進行非授權訪問的人員”，這也是目前大多數人對黑客的理解。大多數黑客不會自己分析操作系統(tǒng)或應用軟件的源代碼、找出漏洞、編寫工具，他們只是能夠靈活運用手中掌握的十分豐富的現成工具。黑客入侵的常用手法有：端口監(jiān)聽、端口掃描、口令入侵、JAVA等。

        1.4 口令入侵 為管理方便，一般來說，企業(yè)為每個上網的領導和工人分配一個賬號，并根據其應用范圍，分配相應的權限。某些人員為了訪問不屬于自己應該訪問的內容，用不正常的手段竊取別人的口令，造成了企業(yè)管理的混亂及企業(yè)重要文件的外流。

        1.5 非正常途徑訪問或內部破壞 在企業(yè)中，有人為了報復而銷毀或篡改人事檔案記錄；有人改變程序設置，引起系統(tǒng)混亂；有人越權處理公務，為了個人私利竊取機密數據。這些安全隱患都嚴重地破壞了學校的管理秩序。

        1.6 設備受損 設備破壞主要是指對網絡硬件設備的破壞。企業(yè)內部網絡涉及的設備分布在整個企業(yè)內，管理起來非常困難，任何安置在不能上鎖的地方的設施，都有可能被人有意或無意地損壞，這樣會造成企業(yè)內部網絡全部或部分癱瘓的嚴重后果。

        1.7 敏感服務器使用的受限 由于財務等敏感服務器上存有大量重要數據庫和文件，因擔心安全性問題，不得不與企業(yè)內部網絡物理隔離，使得應用軟件不能發(fā)揮真正的作用。

         1.8 技術之外的問題 企業(yè)內部網是一個比較特殊的網絡環(huán)境。隨著企業(yè)內部網絡規(guī)模的擴大，目前，大多數企業(yè)基本實現了科室辦公上網。由于上網地點的擴大，使得網絡監(jiān)管更是難上加難。由于企業(yè)中部分員工對網絡知識很感興趣，而且具有相當高的專業(yè)知識水平，有的員工上學時所學的專業(yè)甚至就是網絡安全，攻擊企業(yè)內部網就成了他們表現才華，甚至是泄私憤的首選。其次，許多領導和員工的計算機網絡安全意識薄弱、安全知識缺乏。企業(yè)的規(guī)章制度還不夠完善，還不能夠有效的規(guī)范和約束領導和員工的上網行為。

篇4

[關鍵詞] Intranet 網絡安全防護體系 統(tǒng)一安全管理平臺

一、前言

內部網（Intranet）指采用Internet技術建立的企業(yè)內部專用網絡。它以TCP/IP協(xié)議作為基礎，以Web為核心應用，構成統(tǒng)一和便利的信息交換平臺。內部網在企業(yè)信息、銷售服務、提高工作群體的生產力、內部交流與支持、員工的培訓和數據庫開發(fā)等方面，發(fā)揮著不可缺少的作用。它能夠幫助企業(yè)協(xié)調內部通訊和提高企業(yè)生產力。

但是，隨著Intranet在企業(yè)的廣泛應用，內部網的安全問題也得到越來越多的關注，特別是網絡病毒的泛濫、網絡黑客的攻擊、企業(yè)信息的泄密等，無不牽動著企業(yè)領導敏感的神經。如果沒有一個高效的網絡管理系統(tǒng)對網絡進行管理，保障內部網絡安全有效的運行。將直接影響到企業(yè)的正常運作，最終影響到企業(yè)的經濟效益和社會效益。

二、現有內部網安全防護體系存在的問題

當前企業(yè)內部網普遍采用在網絡出口部署IDS（Intrusion Detection System，入侵檢測系統(tǒng)）和硬件防火墻，在內部網服務器上安裝殺毒、防火墻軟件輔以一定的訪問控制策略并及時更新補丁等多項安全措施相結合的綜合安全防護體系。當發(fā)生網絡安全問題時，由于大部分交換機以及路由器不具備或只具備較弱的安全防護功能，只能依靠防火墻來抵御攻擊和入侵，并由IDS 來予以跟蹤。但是這種安全體系存在以下幾個明顯的弱點：

1.隨著網絡流量的持續(xù)增長，特別是大型內部網內數據流量的爆炸性增長，單純的依靠在內部網的某一點安裝某一網絡安全設備來進行全網的防護已顯得力不從心，容易發(fā)生單點故障，并且造成內部網整體通信的瓶頸。

2.來自于內部的誤操作和濫用對內部網的影響是最為致命的，通常的比例高達70%。當攻擊者與被攻擊者均處于Intranet內部時， 如果攻擊流不經過IDS 的監(jiān)控點，就不能被IDS 捕獲，此時IDS 無法跟蹤，部署在網絡出口的硬件防火墻則失去了作用，只能靠服務器以及用戶電腦上安裝的防火墻來抵御攻擊。如果此時用戶的攻擊為虛擬IP 攻擊，則網絡管理人員只能依靠將局域網逐片斷開的原始方式逐步地進行故障定位，影響的范圍大，排查的時間長，過程繁瑣。

3.IDS+防火墻的組合模式在進行病毒和攻擊方式識別時需要產品廠家的支持，具有一定的滯后性，對新出現的病毒和攻擊行為基本無能為力，且誤報的情況也是時有發(fā)生。

4.啟用基于802.1x 協(xié)議的用戶接入認證，能夠保障Intranet用戶接入的合法性，較好地解決IP 地址盜用、用戶私自架設服務器等一系列困擾內部網管理者的問題，但是基于802.1x 協(xié)議的系統(tǒng)對于用戶的計算機系統(tǒng)是否安全、用戶是否存在網絡攻擊行為則無法進行判別。

基于以上幾點，最安全的辦法就是采取讓所有接入Intranet的計算機安裝殺毒和防火墻軟件并及時更新補丁。但由于用戶的網絡應用水平參差不齊，作為網絡管理部門，只能督促用戶及時更新操作系統(tǒng)補丁和安裝防火墻及殺毒軟件，而且操作系統(tǒng)或者應用程序的補丁更新方式，若直接從互聯網上更新則比較慢，若在企業(yè)內部架設WSUS服務器，則需要用戶修改配置，過程相對復雜很多，用戶會覺得麻煩。無法從技術層面上強制執(zhí)行，要保證用戶系統(tǒng)的安全和統(tǒng)一非常困難。

以上幾點充分說明了當前Intranet普遍采用的安全體系存在諸多漏洞，已不能很好地滿足日益增長的網絡安全需求。

三、統(tǒng)一安全管理平臺的體系架構及工作原理

1.統(tǒng)一安全管理平臺的架構

構建一個統(tǒng)一的安全管理平臺，用以實現對Intranet內所有網絡設備的統(tǒng)一管理和調配，確保接入Intranet的所有網絡終端設備的安全可信，是在現有網絡安全防護體系的基礎上發(fā)展建立的新的網絡安全防護體系設計思想。

統(tǒng)一安全管理平臺系統(tǒng)具體構架（如圖1所示），由三個層面、五個部分組成：

(1)后臺服務層面

身份認證系統(tǒng)――身份認證系統(tǒng)能夠提供嚴格的用戶接入控制，通過準確的身份認證和物理定位來確保接入用戶的可靠性。用戶認證系統(tǒng)針對用戶的入網行為，提供入網控制功能，同時，認證系統(tǒng)還可以實現用戶帳號、用戶IP、用戶MAC、設備IP、設備端口的靜態(tài)綁定、動態(tài)綁定以及自動綁定，保證用戶入網身份的唯一性。

安全管理平臺――安全管理平臺是安全防護體系的管理與控制中心，是統(tǒng)一安全管理平臺的核心組成部分。通過安全管理平臺，可以對系統(tǒng)內的安全設備與系統(tǒng)安全策略進行管理，實現全系統(tǒng)安全策略的統(tǒng)一配置、分發(fā)和管理，并能有效地配置和管理全網安全設備，從而實現全網安全設備的集中管理，起到安全網管的作用。通過統(tǒng)一的技術方法，將系統(tǒng)所有的安全日志、安全事件集中收集管理，實現集中的日志分析、審計與報告。同時通過集中的分析審計，發(fā)現潛在的攻擊征兆和安全發(fā)展趨勢，確保安全事件、事故得到及時的響應和處理。

安全修復系統(tǒng)――安全修復系統(tǒng)的作用是跟蹤安全漏洞的變化，能夠有效地進行系統(tǒng)補丁、病毒特征碼或者用戶指定應用程序補丁的管理。針對不同的安全策略，點到面地自動強制分發(fā)部署補丁程序。

(2)網絡層面

安全聯動設備――安全聯動設備是Intranet中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。由安全管理平臺提供標準的協(xié)議接口，同交換機、路由器、防火墻、IDS等各類網絡設備實現安全聯動。

(3)用戶層面

安全客戶端――安全客戶端是安裝在個人電腦和服務器上的端點保護軟件。安全客戶端負責收集不同用戶的安全軟件的狀態(tài)信息，包括對防病毒軟件信息的收集。同時，安全客戶端可以評估操作系統(tǒng)的版本、補丁程度等信息，并且把這些信息傳遞到安全管理平臺，沒有進行適當升級的主機將被隔離到網絡修復區(qū)域，從而保障網絡的安全運行。與傳統(tǒng)的解決方案不同，安全客戶端通過對用戶終端設備信息的搜集，可預先識別和防止用戶對網絡的惡意行為，排除潛在的已知和未知的安全風險。

2.統(tǒng)一安全管理平臺的工作原理

統(tǒng)一安全管理平臺的工作原理如圖2所示。

統(tǒng)一安全管理平臺系統(tǒng)實現終端用戶安全準入的工作流程如下：

(1)用戶終端試圖接入網絡時，首先通過安全客戶端上傳用戶信息至用戶認證服務器進行用戶身份認證，非法用戶將被拒絕接入網絡。

(2)合法用戶將被要求進行安全狀態(tài)認證，由安全管理平臺驗證補丁版本、病毒庫版本等信息是否合格，不合格用戶將被安全聯動設備隔離到隔離區(qū)。

(3)進入隔離區(qū)的用戶可以根據企業(yè)網絡安全策略，通過安全修復系統(tǒng)安裝系統(tǒng)補丁、升級病毒庫、檢查終端系統(tǒng)信息，直到接入終端符合企業(yè)網絡安全策略。

(4)安全狀態(tài)合格的用戶將實施由安全管理平臺下發(fā)的安全設置，并由安全聯動設備提供基于身份的網絡服務。

四、結束語

保障Intranet安全、有效運行，是一項復雜的系統(tǒng)工程。它既是一個技術問題，但更是一個管理問題，所謂“三分技術，七分管理”。所以，除了采用上述技術措施之外，加強網絡安全的管理：制定有關規(guī)章制度；確定安全管理等級和安全管理范圍；制訂有關網絡操作使用規(guī)程和人員出入機房管理制度；制定網絡系統(tǒng)的維護制度和應急措施；對工作人員結合機房、硬件、軟件、數據和網絡等各個方面的安全問題，進行安全教育，提高工作人員的保密觀念和責任心；加強業(yè)務、技術的培訓，提高操作技能等，也將起到十分有效的作用。

參考文獻：

[1]思科系統(tǒng)網絡技術有限公司.思科自防御網絡[EB/OL]. [2006-04-03].

篇5

關鍵詞:計算機 網絡

1 計算機網絡的安全性非常脆弱

由于計算機網絡技術本身存在著諸多的安全弱點和軟件漏洞等缺陷,加上一些人為制造的因素,使得網絡信息的安全性受到很大威脅。

首先,TCP/IP的協(xié)議集就存在先天性的安全缺陷。比如:大部分的低層協(xié)議在局域網中都是使用廣播方式進行數據傳輸,于是在局域網上的任何一臺機器都有可能竊聽到廣播方式發(fā)送的數據包;從而很輕易的從系統(tǒng)的“后門”進行攻擊和入侵。

其次,由于信息安全還處在發(fā)展的初級階段,當計算機網絡系統(tǒng)安全受到威脅或入侵時,系統(tǒng)管理人員缺少應有的安全管理和正確的安全對策。這也形成了計算機網絡的諸多安全隱患。

2 計算機網絡安全面臨的威脅

通常對計算機網絡安全構成威脅的主要因素有以下三個方面:(1)自然因素。主要指由于地震、雷擊、洪水等其他不可抗拒的自然災害造成的損害,以及因計算機硬件和網絡設備的自然磨損或老化造成的損失。主要破壞了信息的完整性及可用性。(2) 操作失誤。由于管理人員或操作員的操作失誤,導致文件被刪除,磁盤被格式化,或因為網絡管理員對網絡的設置不夠嚴謹造成的安全漏洞,用戶的安全意識不夠等,都會給計算機網絡的安全帶來威脅。(3) 外部攻擊。一般可分為兩種,一種是對網絡進行攻擊:利用操作系統(tǒng)或應用軟件的漏洞進行攻擊以破壞對方信息的有效性或完整性;另一種是網絡偵察:在不影響網絡正常工作的情況下,進行截獲、破譯、竊取以獲得重要的機密信息。

3 網絡攻擊的方式及發(fā)展趨勢

(1)拒絕服務攻擊。拒絕服務攻擊的主要目的是使計算機及網絡無法提供正常的服務。它會破壞計算機網絡的各種配置,消耗計算機及網絡中各種有限資源等。(2)欺騙式攻擊。欺騙式攻擊不是利用軟件的漏洞進行攻擊,而是重點誘騙終端用戶進行攻擊。TCP/IP協(xié)議存在著很多缺陷和漏洞,攻擊者利用這些漏洞進行攻擊,或者進行DNS欺騙和Web欺騙。(3)通過協(xié)同工具進行攻擊。各種協(xié)同工具的使用,可能導致泄漏機密商業(yè)數據。(4)對手機等移動設備的攻擊。近年來,手機、PDA及其他無線設備感染惡意軟件的數量在激增,但因為其使用和傳播的一些特點還沒有導致大規(guī)模爆發(fā)。但隨著WAP網和無線上網的發(fā)展,此類攻擊也會越來越普遍。(5)電子郵件攻擊。隨著電子郵件在工作和生活中的普遍使用,利用電子郵件進行的攻擊也越來越多。這些攻擊常常針對政府部門、軍事機構及其他大型組織。

4 網絡信息安全的技術保障策略

存在安全隱患的網絡一旦遭到黑客的惡意攻擊,將可能造成巨大的損失。網絡信息安全是一項系統(tǒng)工程,需要從法律制度、管理、技術上采取綜合措施,才能取得較好的安全效果。目前,技術仍是最直接有效的的措施。主要的安全技術保障策略主要有以下幾種:

(1)加密與解密技術。信息加密是網絡與信息安全保密的重要基礎。它是將原文用某種特定方式或規(guī)則進行重新編排,使其變?yōu)橐话闳藷o法閱讀理解的密文。當前比較成熟的加密方法有:替換加密、移位加密、序列密碼、一次性密碼本加密等。加密可以有效地對抗信息泄露、黑客非法訪問等威脅。

(2)身份鑒別。對實體聲稱的身份進行惟一性識別,以便驗證其訪問請求,或保證信息來源以驗證消息的完整性,有效地對抗非法入侵訪問、冒充、重演等威脅。鑒別的方式很多;利用通行字、密鑰、訪問控制機制等鑒別用戶身份,防止冒充、非法訪問等,當今最佳的身份鑒別方法是數字簽名。

(3)網絡訪問控制策略。訪問控制策略是網絡安全防范和保護的主要措施,是保證網絡安全最重要的核心策略之一。其主要任務是保證網絡資源不被非法使用和非法訪問。一般采用基于資源的集中式控制、基于資源和目的地址的過濾管理以及網絡簽證等技術來實現。目前進行網絡訪問控制的主要方法主要有:MAC 地址過濾、VLAN 隔離、IEEE802.1Q 身份驗證、基于IP 地址訪問控制列表和防火墻控制等。

(4)物理安全策略。保護路由器、交換機、工作站、網絡服務器等硬件實體和通信鏈路免受非人為及人為因素的破壞和攻擊。

5 主要防范措施

目前網絡安全系統(tǒng)常用的防范措施主要有:防火墻技術、病毒防治技術、安全入侵檢測與預警技術、路由器技術等。

(1)防火墻技術。網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環(huán)境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監(jiān)視網絡運行狀態(tài)。目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。通常來說,防火墻的許多配置仍然需要網絡管理員進行手工修改,如果管理員對防火墻不是特別熟悉,就有可能在配置過程中存在的安全漏洞。

(2)修補系統(tǒng)安全漏洞。Windows 提供了很多服務,但是由于一些網絡服務或協(xié)議自身存在的許多安全漏洞。Telnet 就是一個非常典型的例子! 在Windows2000 操作系統(tǒng)中是這樣解釋Telnet 服務的:“允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序”。也就是說Telnet 可以被用于進行各種各樣的入侵活動。平時應該禁止這類服務,需要時才打開它。Windows 還有許多服務,可以根據自己實際情況禁用一些不必要的服務,除了可以減少安全隱患,還可以增加Windows 運行速度。

(3)注意防病毒監(jiān)控。網絡病毒無處不在,一旦被感染,就會嚴重影響網絡正常使用, 甚至帶來巨大損失。在互聯網環(huán)境下,必須選擇一個全方位防病毒產品,一個基于服務器操作系統(tǒng)平臺的防病毒軟件和針對各種操作系統(tǒng)的防病毒軟件,針對網絡中所有可能存在的病毒攻擊點設置對應防病毒軟件,通過全方位多層次防病毒系統(tǒng)的配置,通過定期或不定期自動升級, 使網絡免受病毒的侵襲。

篇6

關鍵詞 局域網 信息安全問題 有效保障策略

中圖分類號：TP393.08 文獻標識碼：A

隨著計算機網絡的不斷發(fā)展和普及，越來越多的企事業(yè)單位組建了內部局域網，實現了信息數據快速集中、傳遞和共享，極大地提高了工作效率。與此同時，局域網開放共享的特點，很容易受到來自系統(tǒng)內部和外部的非法訪問和攻擊。所以，局域網管理者必須關注局域網存在的信息安全問題，尋求保障局域網信息安全的有效策略。

1 局域網存在的信息安全問題

相對廣域網絡比較完善的安全防御體系，局域網對網絡內部計算機客戶端的安全威脅缺乏必要防范措施，導致許多信息安全問題。

（1）局域網最大的特點是內網資源共享，這種共享資源的“數據開放性”也給未經授權的外部網絡設備或用戶通過局域網的網絡設備自動進入網絡提供了有效的通道，極易導致內網數據信息的泄露、篡改和刪除。

（2）許多內網用戶缺乏網絡安全方面的知識和手段，不經意間下載安裝了欺騙性的軟件，而類似的軟件往往附帶病毒，如果局域網中服務器區(qū)域沒有進行獨立保護，只要內網中一臺電腦感染病毒，就會感染服務器，并使得局域網中任何一臺通過服務器信息傳遞的電腦，都可能會感染病毒，相應使數據安全性降低。

（3）許多內網用戶使用移動存儲設備進行數據傳遞，可能將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網，同時將內部數據帶出局域網，這就給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。

（4）為管理方便，一般來說，局域網管理者為每個上網計算機終端分配一個賬號，并根據其應用范圍，分配相應的權限。某些人員為了訪問不屬于自己應該訪問的內容，用不正常的手段竊取別人的口令，造成了網絡管理的混亂，也可能造成重要文件數據的外流。

2 保障局域網信息安全的有效策略

從保證局域網信息網安全的層面看，安全策略決定采用何種方式和手段來保證網絡系統(tǒng)的安全。目前廣泛運用和比較成熟的局域網安全保障策略包括以下方面：

（1）強化用戶安全意識策略。局域網信息安全匯集了硬件、軟件、網絡、人員諸多因素，而人正是網絡安全中最薄弱的環(huán)節(jié)。所以必須強化網絡用戶的安全防范意識，讓每個用戶都明白數據信息安全的重要性，理解保證數據信息安全是所有計算機使用者共同的責任。使計算機使用者掌握一定的安全知識，樹立良好的計算機使用習慣。

（2）防火墻技術策略。防火墻技術是指網絡之間通過預定義的安全策略，對內外網通信強制實施訪問監(jiān)察的安全應用措施。主要用來隱蔽內部網絡結構，加強網絡之間訪問控制，限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環(huán)境。

（3）數據加密策略。數據加密就是對信息進行重新編碼，將明文數據經過變序或替換變成密文數據，應用時再將密文數據轉換成明文數據輸出，從而隱藏信息內容，使非法用戶無法獲取信息的真實內容的一種技術手段。數據加密主要用于對動態(tài)信息的保護，一個加密系統(tǒng)包括明文集合、密文集合、密鑰集合和算法，其中密鑰和算法構成了加密系統(tǒng)的基本單元，算法是一些公式、法則或程序，規(guī)定了明文與密文之間的變換方法，密鑰則可以看作算法中的參數。

（4）漏洞掃描策略。漏洞掃描是自動檢測遠端或本地主機安全的技術。掃描程序利用已經掌握的網絡攻擊方法，并把它們集成到整個掃描中，通過查詢TCP/IP各種服務的端口，探測本地主機系統(tǒng)和遠端系統(tǒng)信息，對網絡模擬攻擊，記錄目標主機的響應，收集關于某些特定項目的有用信息，可以在很短的時間內發(fā)現網絡系統(tǒng)中的安全脆弱點，并以統(tǒng)計的格式輸出，從而幫助網絡安全管理員準確地掌握網絡安全狀況 。

（5）入侵檢測策略。入侵檢測基于在不影響網絡性能情況下對網絡行為、安全日志、審計數據或網絡數據包進行的檢測，實現對局域網信息的實時監(jiān)聽，識別出任何不希望發(fā)生的網絡活動，發(fā)現對系統(tǒng)的闖入或者對系統(tǒng)的威脅，檢測局域網絡中違反安全策略的行為，提供對內部攻擊、外部攻擊和誤操作的實時防護，保證信息系統(tǒng)的資源不受攻擊。

（6）網絡安全可視化策略。網絡安全可視化利用人類視覺對模型和結構的獲取能力，將海量高維抽象網絡和系統(tǒng)數據以圖形圖像形式表現出來，實時顯示網絡通信的特殊信息，反映目前整個局域網絡的運行狀態(tài)，并以一種人性化的方式將網絡上存在的安全風險準確地告知管理員，使網絡安全防護變得更智能、更積極、更主動。

保證安全是局域網應用與維護的重要前提。要生成一個高效、通用、安全的局域網絡信息系統(tǒng)，我們必須仔細考慮系統(tǒng)的安全需求，采取強有力的網絡安全技術手段，認真研究局域網絡安全技術的新趨勢，構建一個完善的安全保護體系，才能保證局域網絡系統(tǒng)安全、可靠地正常運行。

參考文獻

篇7

關鍵詞：網絡安全；防火墻；入侵檢測技術；PKI技術

中圖分類號：TP393.08文獻標識碼：A文章編號：16727800（2011）012013902

作者簡介：宗波(1984-)，男，江西宜春人，碩士，江西宜春學院助教，研究研究方向為網絡安全。

0引言

隨著高校校園網的普及，尤其是高校校園網上的網絡應用變得越來越多，在帶來了巨大信息量的同時，網絡的不確定性也帶來了私有信息和數據被盜取和破壞的可能，校園網絡信息的安全性變得日益重要起來。

校園網絡安全從技術上來說，主要由防入侵、防火墻等多個安全技術組成，單個技術都無法確保網絡信息的全方位的安全。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、入侵檢測技術、PKI技術等，以下就此幾項技術分別進行分析。

1防火墻技術

防火墻技術，最初是針對 Internet 網絡不安全因素所采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成。防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。通過以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。其次對網絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統(tǒng)計數據。當發(fā)生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監(jiān)測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。

2入侵檢測技術

對各種事件進行分析，從中發(fā)現違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。從技術上，入侵檢測分為兩類：一種基于標志（signaturebased），另一種基于異常情況（anomalybased）。

對于基于標識的檢測技術來說，首先要定義違背安全策略的事件的特征，如網絡數據包的某些頭信息。檢測主要判別這類特征是否在所收集到的數據中出現。此方法非常類似殺毒軟件。

而基于異常的檢測技術則是先定義一組系統(tǒng)“正?！鼻闆r的數值，如CPU利用率、內存利用率、文件校驗和等（這類數據可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的數值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正?！鼻闆r。

兩種檢測技術的方法、所得出的結論有非常大的差異。基于異常的檢測技術的核心是維護一個知識庫。對于已知的攻擊，它可以詳細、準確地報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新。基于異常的檢測技術則無法準確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺的攻擊。

3PKI技術

PKI(Publie Key Infrastucture)技術就是一個用公鑰概念和技術實施和提供安全服務的具有普適性的安全基礎設施。PKI（Public Key Infrastructure）公鑰基礎設施是提供公鑰加密和數字簽名服務的系統(tǒng)或平臺，目的是為了管理密鑰和證書。一個機構通過采用PKI 框架管理密鑰和證書可以建立一個安全的網絡環(huán)境。PKI 主要包括四個部分：X.509 格式的證書（X.509 V3）和證書廢止列表CRL（X.509 V2）；CA 操作協(xié)議；CA 管理協(xié)議；CA 政策制定。一個典型、完整、有效的PKI 應用系統(tǒng)至少應具有以下5個部分：

（1）認證中心。認證中心CA：CA是PKI 的核心，CA負責管理PKI 結構下的所有用戶（包括各種應用程序）的證書，把用戶的公鑰和用戶的其他信息捆綁在一起，在網上驗證用戶的身份，CA還要負責用戶證書的黑名單登記和黑名單，后面有CA的詳細描述。

（2）X.500 目錄服務器 。X.500 目錄服務器用于用戶的證書和黑名單信息，用戶可通過標準的LDAP 協(xié)議查詢自己或其他人的證書和下載黑名單信息。

（3）高強度密碼算法。具有高強度密碼算法(SSL)的安全WWW服務器 Secure socket layer(SSL)協(xié)議最初由Netscape 企業(yè)發(fā)展，現已成為網絡用來鑒別網站和網頁瀏覽者身份，以及在瀏覽器使用者及網頁服務器之間進行加密通訊的全球化標準。

（4）Web（安全通信平臺）。Web 有Web Client 端和Web Server 端兩部分，分別安裝在客戶端和服務器端，通過具有高強度密碼算法的SSL 協(xié)議保證客戶端和服務器端數據的機密性、完整性、身份驗證。

（5）自開發(fā)安全應用系統(tǒng)。自開發(fā)安全應用系統(tǒng)是指各行業(yè)自開發(fā)的各種具體應用系統(tǒng)，例如銀行、證券的應用系統(tǒng)等。完整的PKI 包括認證政策的制定（包括遵循的技術標準、各CA 之間的上下級或同級關系、安全策略、安全程度、服務對象、管理原則和框架等）、認證規(guī)則、運作制度的制定、所涉及的各方法律關系內容以及技術的實現等。

4結束語

高校校園網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性，為網絡提供強大的安全服務。

參考文獻：

[1]張海燕.淺談校園網安全技術[J].青海社會科學，2008(3).

[2]鄒麗英,孫小權.淺談校園網絡規(guī)劃中的安全設計[J].實驗技術與管理,2006(4).

[3]楊竣輝,黃嬋.高校校園網絡安全建設的思考[J].教育信息化,2006(7).

篇8

1、網絡安全現狀

計算機網絡的廣泛應用是當今信息社會的一場革命。電子商務和電子政務等網絡應用的發(fā)展和普及不僅給我們的生活帶來了很大的便利，而且正在創(chuàng)造著巨大的財富，以Internet為代表的全球性信息化浪潮日益深刻，信息網絡技術的應用正日益普及和廣泛，應用層次不斷深入，應用領域更是從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展。

與此同時，計算機網絡也正面臨著日益劇增的安全威脅。廣為網絡用戶所知的黑客行為和攻擊活動正以每年10倍的速度增長，網頁被修改、非法進入主機、發(fā)送假冒電子郵件、進入銀行系統(tǒng)盜取和轉移資金、竊取信息等網絡攻擊事件此起彼伏。計算機病毒、特洛伊木馬、拒絕服務攻擊、電子商務入侵和盜竊等，都造成了各種危害，包括機密數據被篡改和竊取、網站頁面被修改或丑化、網絡癱瘓等。網絡與信息安全問題日益突出，已經成為影響國家安全、社會穩(wěn)定和人民生活的大事，發(fā)展與現有網絡技術相對應的網絡安全技術，保障網絡安全、有序和有效的運行，是保證互聯網高效、有序應用的關鍵之一。

2、現有網絡安全技術

計算機網絡是基于網絡可識別的網絡協(xié)議基礎之上的各種網絡應用的完整組合，協(xié)議本身和應用都有可能存在問題，網絡安全問題包括網絡所使用的協(xié)議的設計問題，也包括協(xié)議和應用的軟件實現問題，當然還包括了人為的因素以及系統(tǒng)管理失誤等網絡安全問題，下表示意說明了這些方面的網絡安全問題。

問題類型問題點問題描述

協(xié)議設計安全問題被忽視制定協(xié)議之時，通常首先強調功能性，而安全性問題則是到最后一刻、甚或不列入考慮范圍。

其它基礎協(xié)議問題架構在其他不穏固基礎協(xié)議之上的協(xié)議，即使本身再完善也會有很多問題。

流程問題設計協(xié)議時，對各種可能出現的流程問題考慮不夠周全，導致發(fā)生狀況時，系統(tǒng)處理方式不當。

設計錯誤協(xié)議設計錯誤，導致系統(tǒng)服務容易失效或招受攻擊。

軟件設計設計錯誤協(xié)議規(guī)劃正確，但協(xié)議設計時發(fā)生錯誤，或設計人員對協(xié)議的認知錯誤，導致各種安全漏洞。

程序錯誤程序撰寫習慣不良導致很多安全漏洞，包含常見的未檢查資料長度內容、輸入資料容錯能力不足、未檢測可能發(fā)生的錯誤、應用環(huán)境的假設錯誤、引用不當模塊、未檢測資源不足等。

人員操作操作失誤操作規(guī)范嚴格且完善，但是操作人員未受過良好訓練、或未按手冊操作，導致各種安全漏洞和安全隱患。

系統(tǒng)維護默認值不安全軟件或操作系統(tǒng)的預設設置不科學，導致缺省設置下系統(tǒng)處于不安全的狀況下。容易遭受病毒、蠕蟲、特洛依木馬等的攻擊。

未修補系統(tǒng)軟件和操作系統(tǒng)的各種補丁程序沒有及時修復。

內部安全問題對由信任系統(tǒng)和網絡發(fā)起的各種攻擊防范不夠。信任領域存在的不安全系統(tǒng)，成為不信任領域內系統(tǒng)攻擊信任領域的各種跳板。

針對上表所示的各種網絡安全問題，全世界的網絡安全廠商都試圖發(fā)展了各種安全技術來防范這些問題，這些技術包括訪問控制技術、識別和鑒別技術、密碼技術、完整性控制技術、審計和恢復技術、防火墻系統(tǒng)、計算機病毒防護、操作系統(tǒng)安全、數據庫系統(tǒng)安全和抗抵賴協(xié)議等，相繼陸續(xù)推出了包括防火墻、入侵檢測（IDS）、防病毒軟件、CA系統(tǒng)、加密算法等在內的各類網絡安全軟件，這些技術和安全系統(tǒng)（軟件）對網絡系統(tǒng)提供了一定的安全防范，一定程度上解決了網絡安全問題某一方面的問題。

3、現有網絡安全技術的缺陷

現有的各種網絡安全技術都是針對網絡安全問題的某一個或幾個方面來設計的，它只能相應地在一定程度上解決這一個或幾個方面的網絡安全問題，無法防范和解決其他的問題，更不可能提供對整個網絡的系統(tǒng)、有效的保護。如身份認證和訪問控制技術只能解決確認網絡用戶身份的問題，但卻無法防止確認的用戶之間傳遞的信息是否安全的問題，而計算機病毒防范技術只能防范計算機病毒對網絡和系統(tǒng)的危害，但卻無法識別和確認網絡上用戶的身份等等。

現有的各種網絡安全技術中，防火墻技術可以在一定程度上解決一些網絡安全問題。防火墻產品主要包括包過濾防火墻，狀態(tài)檢測包過濾防火墻和應用層防火墻，但是防火墻產品存在著局限性。其最大的局限性就是防火墻自身不能保證其準許放行的數據是否安全。同時，防火墻還存在著一些弱點：

一、不能防御來自內部的攻擊：來自內部的攻擊者是從網絡內部發(fā)起攻擊的，他們的攻擊行為不通過防火墻，而防火墻只是隔離內部網與因特網上的主機，監(jiān)控內部網和因特網之間的通信，而對內部網上的情況不作檢查，因而對內部的攻擊無能為力；

二、不能防御繞過防火墻的攻擊行為：從根本上講，防火墻是一種被動的防御手段，只能守株待兔式地對通過它的數據報進行檢查，如果該數據由于某種原因沒有通過防火墻，則防火墻就不會采取任何的措施；

三、不能防御完全新的威脅：防火墻只能防御已知的威脅，但是人們發(fā)現可信賴的服務中存在新的侵襲方法，可信賴的服務就變成不可信賴的了；

四、防火墻不能防御數據驅動的攻擊：雖然防火墻掃描分析所有通過的信息，但是這種掃描分析多半是針對IP地址和端口號或者協(xié)議內容的，而非數據細節(jié)。這樣一來，基于數據驅動的攻擊，比如病毒，可以附在諸如電子郵件之類的東西上面進入你的系統(tǒng)中并發(fā)動攻擊。

入侵檢測技術也存在著局限性。其最大的局限性就是漏報和誤報嚴重，它不能稱之為一個可以信賴的安全工具，而只是一個參考工具。

在沒有更為有效的安全防范產品之前，更多的用戶都選擇并依賴于防火墻這樣的產品來保障自己的網絡安全，然而相對應的是，新的OS漏洞和網絡層攻擊層出不窮，攻破防火墻、攻擊計算機網絡的事件也越來越多，因此，開發(fā)一個更為完善的網絡安全防范系統(tǒng)來有效保護網絡系統(tǒng)，已經成為各網絡安全廠商和用戶的共同需求和目標。

4發(fā)展趨勢：

中國的網絡安全技術在近幾年得到快速的發(fā)展，這一方面得益于從中央到地方政府的廣泛重視，另一方面因為網絡安全問題日益突出，網絡安全企業(yè)不斷跟進最新安全技術，不斷推出滿足用戶需求、具有時代特色的安全產品，進一步促進了網絡安全技術的發(fā)展。

從技術層面來看，目前網絡安全產品在發(fā)展過程中面臨的主要問題是：以往人們主要關心系統(tǒng)與網絡基礎層面的防護問題，而現在人們更加關注應用層面的安全防護問題，安全防護已經從底層或簡單數據層面上升到了應用層面，這種應用防護問題已經深入到業(yè)務行為的相關性和信息內容的語義范疇，越來越多的安全技術已經與應用相結合。

4.1、現階段網絡安全技術的局限性

談及網絡安全技術，就必須提到網絡安全技術的三大主流—防火墻技術、入侵檢測技術以及防病毒技術。

任何一個用戶，在剛剛開始面對安全問題的時候，考慮的往往就是這“老三樣”。可以說，這三種網絡安全技術為整個網絡安全建設起到了功不可沒的作用，但是傳統(tǒng)的安全“老三樣”或者說是以其為主的安全產品正面臨著許多新的問題。首先，從用戶角度來看，雖然系統(tǒng)中安裝了防火墻，但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務的侵擾。

其次，未經大規(guī)模部署的入侵檢測單個產品在提前預警方面存在著先天的不足，且在精確定位和全局管理方面還有很大的空間。

再次，雖然很多用戶在單機、終端上都安裝了防病毒產品，但是內網的安全并不僅僅是防病毒的問題，還包括安全策略的執(zhí)行、外來非法侵入、補丁管理以及合規(guī)管理等方面。

所以說，雖然“老三樣”已經立下了赫赫戰(zhàn)功，且仍然發(fā)揮著重要作用，但是用戶已漸漸感覺到其不足之處。其次，從網絡安全的整體技術框架來看，網絡安全技術同樣面臨著很大的問題，“老三樣”基本上還是針對數據、單個系統(tǒng)、軟硬件以及程序本身安全的保障。應用層面的安全，需要將側重點集中在信息語義范疇的“內容”和網絡虛擬世界的“行為”上。

4.2、技術發(fā)展趨勢分析

.防火墻技術發(fā)展趨勢

在混合攻擊肆虐的時代，單一功能的防火墻遠不能滿足業(yè)務的需要，而具備多種安全功能，基于應用協(xié)議層防御、低誤報率檢測、高可靠高性能平臺和統(tǒng)一組件化管理的技術，優(yōu)勢將得到越來越多的體現，UTM（UnifiedThreatManagement，統(tǒng)一威脅管理）技術應運而生。

從概念的定義上看，UTM既提出了具體產品的形態(tài)，又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看，很多廠商提出的多功能安全網關、綜合安全網關、一體化安全設備都符合UTM的概念；而從后半部分來看，UTM的概念還體現了經過多年發(fā)展之后，信息安全行業(yè)對安全管理的深刻理解以及對安全產品可用性、聯動能力的深入研究。

UTM的功能見圖1.由于UTM設備是串聯接入的安全設備，因此UTM設備本身必須具備良好的性能和高可靠性，同時，UTM在統(tǒng)一的產品管理平臺下，集防火墻、VPN、網關防病毒、IPS、拒絕服務攻擊等眾多產品功能于一體，實現了多種防御功能，因此，向UTM方向演進將是防火墻的發(fā)展趨勢。UTM設備應具備以下特點。

（1）網絡安全協(xié)議層防御。防火墻作為簡單的第二到第四層的防護，主要針對像IP、端口等靜態(tài)的信息進行防護和控制，但是真正的安全不能只停留在底層，我們需要構建一個更高、更強、更可靠的墻，除了傳統(tǒng)的訪問控制之外，還需要對垃圾郵件、拒絕服務、黑客攻擊等外部威脅起到綜合檢測和治理的作用，實現七層協(xié)議的保護，而不僅限于第二到第四層。

（2）通過分類檢測技術降低誤報率。串聯接入的網關設備一旦誤報過高，將會對用戶帶來災難性的后果。IPS理念在20世紀90年代就已經被提出，但是目前全世界對IPS的部署非常有限，影響其部署的一個重要問題就是誤報率。分類檢測技術可以大幅度降低誤報率，針對不同的攻擊，采取不同的檢測技術，比如防拒絕服務攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規(guī)短信攻擊等，從而顯著降低誤報率。

（3）有高可靠性、高性能的硬件平臺支撐。

（4）一體化的統(tǒng)一管理。由于UTM設備集多種功能于一身，因此，它必須具有能夠統(tǒng)一控制和管理的平臺，使用戶能夠有效地管理。這樣，設備平臺可以實現標準化并具有可擴展性，用戶可在統(tǒng)一的平臺上進行組件管理，同時，一體化管理也能消除信息產品之間由于無法溝通而帶來的信息孤島，從而在應對各種各樣攻擊威脅的時候，能夠更好地保障用戶的網絡安全。

二網絡安全面臨的主要問題

1.網絡建設單位、管理人員和技術人員缺乏安全防范意識，從而就不可能采取主動的安全措施加以防范，完全處于被動挨打的位置。

2.組織和部門的有關人員對網絡的安全現狀不明確，不知道或不清楚網絡存在的安全隱患，從而失去了防御攻擊的先機。

3.組織和部門的計算機網絡安全防范沒有形成完整的、組織化的體系結構，其缺陷給攻擊者以可乘之機。

4.組織和部門的計算機網絡沒有建立完善的管理體系，從而導致安全體系和安全控制措施不能充分有效地發(fā)揮效能。業(yè)務活動中存在安全疏漏，造成不必要的信息泄露，給攻擊者以收集敏感信息的機會。

5.網絡安全管理人員和技術有員缺乏必要的專業(yè)安全知識，不能安全地配置和管理網絡，不能及時發(fā)現已經存在的和隨時可能出現的安全問題，對突發(fā)的安全事件不能作出積極、有序和有效的反應。

三網絡安全的解決辦法

實現網絡安全的過程是復雜的。這個復雜的過程需要嚴格有效的管理才能保證整個過程的有效性，才能保證安全控制措施有效地發(fā)揮其效能，從而確保實現預期的安全目標。因此，建立組織的安全管理體系是網絡安全的核心。我們要從系統(tǒng)工程的角度構建網絡的安全體系結構，把組織和部門的所有安全措施和過程通過管理的手段融合為一個有機的整體。安全體系結構由許多靜態(tài)的安全控制措施和動態(tài)的安全分析過程組成。

1.安全需求分析"知已知彼，百戰(zhàn)不殆"。只有明了自己的安全需求才能有針對性地構建適合于自己的安全體系結構，從而有效地保證網絡系統(tǒng)的安全。

2.安全風險管理安全風險管理是對安全需求分析結果中存在的安全威脅和業(yè)務安全需求進行風險評估，以組織和部門可以接受的投資，實現最大限度的安全。風險評估為制定組織和部門的安全策略和構架安全體系結構提供直接的依據。

3.制定安全策略根據組織和部門的安全需求和風險評估的結論，制定組織和部門的計算機網絡安全策略。

4.定期安全審核安全審核的首要任務是審核組織的安全策略是否被有效地和正確地執(zhí)行。其次，由于網絡安全是一個動態(tài)的過程，組織和部門的計算機網絡的配置可能經常變化，因此組織和部門對安全的需求也會發(fā)生變化，組織的安全策略需要進行相應地調整。為了在發(fā)生變化時，安全策略和控制措施能夠及時反映這種變化，必須進行定期安全審核。

5.外部支持計算機網絡安全同必要的外部支持是分不開的。通過專業(yè)的安全服務機構的支持，將使網絡安全體系更加完善，并可以得到更新的安全資訊，為計算機網絡安全提供安全預警。

6.計算機網絡安全管理安全管理是計算機網絡安全的重要環(huán)節(jié)，也是計算機網絡安全體系結構的基礎性組成部分。通過恰當的管理活動，規(guī)范組織的各項業(yè)務活動，使網絡有序地進行，是獲取安全的重要條件。

篇9

提起網絡信息安全，人們自然就會想到病毒破壞和黑客攻擊。其實不然，政府和企業(yè)因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失，據權威機構調查：三分之二以上的安全威脅來自泄密和內部人員犯罪，而非病毒和外來黑客引起。

目前，政府、企業(yè)等社會組織在網絡安全防護建設中，普遍采用傳統(tǒng)的內網邊界安全防護技術，即在組織網絡的邊緣設置網關型邊界防火墻、AAA認證、入侵檢測系統(tǒng)IDS等等網絡邊界安全防護技術，對網絡入侵進行監(jiān)控和防護，抵御來自組織外部攻擊、防止組織網絡資源、信息資源遭受損失，保證組織業(yè)務流程的有效進行。

這種解決策略是針對外部入侵的防范，對于來自網絡內部的對企業(yè)網絡資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經常移動的終端設備在安全防護薄弱的外部網絡環(huán)境的安全保障，企業(yè)基于網絡邊界的安全防護技術就更是鞭長莫及了，由此危及到內部網絡的安全。一方面，企業(yè)中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網，而這些機器通常又置于企業(yè)內網中，這種情況的存在給企業(yè)網絡帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網絡VPN、無線局域網、操作系統(tǒng)以及網絡應用程序的各種漏洞就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內部網絡，發(fā)起攻擊使內部網絡癱瘓、重要服務器宕機以及破壞和竊取企業(yè)內部的重要數據。

二、內網安全風險分析

現代企業(yè)的網絡環(huán)境是建立在當前飛速發(fā)展的開放網絡環(huán)境中，顧名思義，開放的環(huán)境既為信息時代的企業(yè)提供與外界進行交互的窗口，同時也為企業(yè)外部提供了進入企業(yè)最核心地帶――企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網絡面臨種種威脅和風險：病毒、蠕蟲對系統(tǒng)的破壞；系統(tǒng)軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識、安全知識、安全技能的匱乏，導致企業(yè)安全策略不能真正的得到很好的落實，開放的網絡給企業(yè)的信息安全帶來巨大的威脅。

1.病毒、蠕蟲入侵

目前，開放網絡面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點，即使再先進的防病毒軟件、入侵檢測技術也不能獨立有效地完成安全防護，特別是對新類型新變種的病毒、蠕蟲，防護技術總要相對落后于新病毒新蠕蟲的入侵。

病毒、蠕蟲很容易通過各種途徑侵入企業(yè)的內部網絡，除了利用企業(yè)網絡安全防護措施的漏洞外，最大的威脅卻是來自于內部網絡用戶的各種危險應用：不安裝殺毒軟件；安裝殺毒軟件但不及時升級；網絡用戶在安裝完自己的辦公桌面系統(tǒng)后，未采取任何有效防護措施就連接到危險的網絡環(huán)境中，特別是Internet；移動用戶計算機連接到各種情況不明網絡環(huán)境，在沒有采取任何防護措施的情況下又連入企業(yè)網絡；桌面用戶在終端使用各種數據介質、軟件介質等等都可能將病毒、蠕蟲在不知不覺中帶入到企業(yè)網絡中，給企業(yè)信息基礎設施，企業(yè)業(yè)務帶來無法估量的損失。

2.軟件漏洞隱患

企業(yè)網絡通常由數量龐大、種類繁多的軟件系統(tǒng)組成，有系統(tǒng)軟件、數據庫系統(tǒng)、應用軟件等等，尤其是存在于廣大終端用戶辦公桌面上的各種應用軟件不勝繁雜，每一個軟件系統(tǒng)都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用，都會給企業(yè)帶來危害，輕者危及個別設備，重者成為攻擊整個企業(yè)網絡媒介，危及整個企業(yè)網絡安全。

3.系統(tǒng)安全配置薄弱

企業(yè)網絡建設中應用的各種軟件系統(tǒng)都有各自默認的安全策略增強的安全配置設置，例如，賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應用對于各種軟件系統(tǒng)自身的安全防護的增強具有重要作用，但在實際的企業(yè)網絡環(huán)境中，這些安全配置卻被忽視，尤其是那些網絡的終端用戶，導致軟件系統(tǒng)的安全配置成為“軟肋”、有時可能嚴重為配置漏洞，完全暴露給整個外部。例如某些軟件系統(tǒng)攻擊中采用的“口令強制攻擊”就是利用了弱口令習慣性的使用安全隱患，黑客利用各種網絡應用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。

4.脆弱的網絡接入安全防護

傳統(tǒng)的網絡訪問控制都是在企業(yè)網絡邊界進行的，或在不同的企業(yè)內網不同子網邊界進行且在網絡訪問用戶的身份被確認后，用戶即可以對企業(yè)內網進行各種訪問操作。在這樣一個訪問控制策略中存在無限的企業(yè)網絡安全漏洞，例如，企業(yè)網絡的合法移動用戶在安全防護較差的外網環(huán)境中使用VPN連接、遠程撥號、無線AP，以太網接入等等網絡接入方式，在外網和企業(yè)內網之間建立一個安全通道。

另一個傳統(tǒng)網絡訪問控制問題來自企業(yè)網絡內部，尤其對于大型企業(yè)網絡擁有成千上萬的用戶終端，使用的網絡應用層出不窮，目前對于企業(yè)網管很難準確的控制企業(yè)網絡的應用，這樣的現實導致安全隱患的產生：員工使用未經企業(yè)允許的網絡應用，如郵件服務器收發(fā)郵件，這就可能使企業(yè)的保密數據外泄或感染郵件病毒；企業(yè)內部員工在終端上私自使用未經允許的網絡應用程序，在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件，從而感染內部網絡，進而造成內部網絡中敏感數據的泄密或損毀。

5.企業(yè)網絡入侵

現階段黑客攻擊技術細分下來共有8類，分別為入侵系統(tǒng)類攻擊、緩沖區(qū)溢出攻擊、欺騙類攻擊、拒絕服務攻擊、對防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。

對于采取各種傳統(tǒng)安全防護措施的企業(yè)內網來說，都沒有萬無一失的把握;對于從企業(yè)內網走出到安全防護薄弱的外網環(huán)境的移動用戶來說，安全保障就會嚴重惡化，當移動用戶連接到企業(yè)內網，就會將各種網絡入侵帶入企業(yè)網絡。

6.終端用戶計算機安全完整性缺失

隨著網絡技術的普及和發(fā)展，越來越多的員工會在企業(yè)專網以外使用計算機辦公，同時這些移動員工需要連接回企業(yè)的內部網絡獲取工作必須的數據。由于這些移動用戶處于專網的保護之外，很有可能被黑客攻陷或感染網絡病毒。同時，企業(yè)現有的安全投資（如：防病毒軟件、各種補丁程序、安全配置等）若處于不正常運行狀態(tài)，終端員工沒有及時更新病毒特征庫，或私自卸載安全軟件等，將成為黑客攻擊內部網絡的跳板。

三、內網安全實施策略

1.多層次的病毒、蠕蟲防護

病毒、蠕蟲破壞網絡安全事件一直以來在網絡安全領域就沒有一個根本的解決辦法，其中的原因是多方面的，有人為的原因，如不安裝防殺病毒軟件，病毒庫未及時升級等等，也有技術上的原因，殺毒軟件、入侵防范系統(tǒng)等安全技術對新類型、新變異的病毒、蠕蟲的防護往往要落后一步。危害好像是無法避免的，但我們可以控制它的危害程度，只要我們針對不同的原因采取有針對性的切實有效的防護辦法，就會使病毒、蠕蟲對企業(yè)的危害減少到最低限度，甚至沒有危害。這樣，僅靠單一、簡單的防護技術是難以防護病毒、蠕蟲的威脅的。

2.終端用戶透明、自動化的補丁管理，安全配置

為了彌補和糾正運行在企業(yè)網絡終端設備的系統(tǒng)軟件、應用軟件的安全漏洞，使整個企業(yè)網絡安全不至由于個別軟件系統(tǒng)的漏洞而受到危害，完全必要在企業(yè)的安全管理策略中加強對補丁升級、系統(tǒng)安全配置的管理。

用戶可通過管理控制臺集中管理企業(yè)網絡終端設備的軟件系統(tǒng)的補丁升級、系統(tǒng)配置策略，定義終端補丁下載。將補丁升級策略、增強終端系統(tǒng)安全配置策略下發(fā)給運行于各終端設備上的安全，安全執(zhí)行這些策略，以保證終端系統(tǒng)補丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明，減少了終端用戶的麻煩和企業(yè)網絡的安全風險，提高企業(yè)網絡整體的補丁升級、安全配置管理效率和效用，使企業(yè)網絡的補丁及安全配置管理策略得到有效的落實。

3.全面的網絡準入控制

為了解決傳統(tǒng)的外網用戶接入企業(yè)網絡給企業(yè)網絡帶來的安全隱患，以及企業(yè)網絡安全管理人員無法控制內部員工網絡行為給企業(yè)網絡帶來的安全問題，除了有效的解決企業(yè)員工從企業(yè)內網、外網以各種網絡接入方式接入企業(yè)網絡的訪問控制問題，同時對傳統(tǒng)的網絡邊界訪問控制沒有解決的網絡接入安全防護措施，而采用邊界準入控制、接入層準入控制等技術進行全面的實現準入控制。當外網用戶接入企業(yè)網絡時，檢查客戶端的安全策略狀態(tài)是否符合企業(yè)整體安全策略，對于符合的外網訪問則放行。一個全面的網絡準入檢測系統(tǒng)。

4.終端設備安全完整性保證

篇10

[論文摘要]隨著計算機技術的發(fā)展，在計算機上處理業(yè)務已由單機處理功能發(fā)展到面向內部局域網、全球互聯網的世界范圍內的信息共享和業(yè)務處理功能。在信息處理能力提高的同時，基于網絡連接的安全問題也日益突出，探討了網絡安全的現狀及問題由來以及幾種主要網絡安全技術。

隨著計算機網絡的發(fā)展，其開放性，共享性，互連程度擴大，網絡的重要性和對社會的影響也越來越大。而網絡安全問題顯得越來越重要了。國際標準化組織（ISO）將“計算機安全”定義為：“為數據處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”，上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網絡安全性的含義是信息安全的引申，即網絡安全是對網絡信息保密性、完整性和可用性的保護。

一、網絡的開放性帶來的安全問題

眾所周知，Internet是開放的，而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中，安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。然而，即使在使用了現有的安全工具和機制的情況下，網絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點：

（一）每一種安全機制都有一定的應用范圍和應用環(huán)境

防火墻是一種有效的安全工具，它可以隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問，防火墻往往是無能為力的。因此，對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為，防火墻是很難發(fā)覺和防范的。

（二）安全工具的使用受到人為因素的影響

一個安全工具能不能實現期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當的設置就會產生不安全因素。例如，NT在進行合理的設置后可以達到C2級的安全性，但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面，可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較，針對具體的應用環(huán)境和專門的應用需求就很難判斷設置的正確性。

（三）系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方

防火墻很難考慮到這類安全問題，多數情況下這類入侵行為可以堂而皇之經過防火墻而很難被察覺。比如說，眾所周知的ASP源碼問題，這個問題在IIS服務器4.0以前一直存在，它是IIS服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼，從而可以收集系統(tǒng)信息，進而對系統(tǒng)進行攻擊。對于這類入侵行為，防火墻是無法發(fā)覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。

（四）只要有程序，就可能存在BUG

甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現和公布出來，程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統(tǒng)的BUG經常被黑客利用，而且這種攻擊通常不會產生日志，幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG，現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。

（五）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現

然而安全工具的更新速度太慢，絕大多數情況需要人為的參與才能發(fā)現以前未知的安全問題，這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發(fā)現并努力更正某方面的安全問題時，其他的安全問題又出現了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

二、網絡安全的主要技術

安全是網絡賴以生存的保障，只有安全得到保障，網絡才能實現自身的價值。網絡安全技術隨著人們網絡實踐的發(fā)展而發(fā)展，其涉及的技術面非常廣，主要的技術如認證、加密、防火墻及入侵檢測是網絡安全的重要防線。

（一）認證

對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無權查看的信息。

（二）數據加密

加密就是通過一種方式使信息變得混亂，從而使未被授權的人看不懂它。主要存在兩種主要的加密類型：私匙加密和公匙加密。

1.私匙加密。私匙加密又稱對稱密匙加密，因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性，它不提供認證，因為使用該密匙的任何人都可以創(chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點是速度很快，很容易在硬件和軟件中實現。

2.公匙加密。公匙加密比私匙加密出現得晚，私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密信息。公匙加密系統(tǒng)的缺點是它們通常是計算密集的，因而比私匙加密系統(tǒng)的速度慢得多，不過若將兩者結合起來，就可以得到一個更復雜的系統(tǒng)。

（三）防火墻技術

防火墻是網絡訪問控制設備，用于拒絕除了明確允許通過之外的所有通信數據，它不同于只會確定網絡信息傳輸方向的簡單路由器，而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。大多數防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊，其中最流行的技術有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和服務器技術，它們的安全級別依次升高，但具體實踐中既要考慮體系的性價比，又要考慮安全兼顧網絡連接能力。此外，現今良好的防火墻還采用了VPN、檢視和入侵檢測技術。

防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內外提供一致的安全策略；而且防火墻只實現了粗粒度的訪問控制，也不能與企業(yè)內部使用的其他安全機制（如訪問控制）集成使用；另外，防火墻難于管理和配置，由多個系統(tǒng)（路由器、過濾器、服務器、網關、保壘主機）組成的防火墻，管理上難免有所疏忽。

（四）入侵檢測系統(tǒng)

入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現并報告系統(tǒng)中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。在校園網絡中采用入侵檢測技術，最好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統(tǒng)，則會構架成一套完整立體的主動防御體系。

（五）虛擬專用網（VPN）技術

VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一，所謂虛擬專用網（VPN）技術就是在公共網絡上建立專用網絡，使數據通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制，這兩種機制為路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全：隧道技術（Tunneling)、加解密技術（Encryption&Decryption)、密匙管理技術（KeyManagement)和使用者與設備身份認證技術（Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務，這些安全服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法，如按接入方式分成專線VPN和撥號VPN；按隧道協(xié)議可分為第二層和第三層的；按發(fā)起方式可分成客戶發(fā)起的和服務器發(fā)起的。

（六）其他網絡安全技術

1．智能卡技術，智能卡技術和加密技術相近，其實智能卡就是密匙的一種媒體，由授權用戶持有并由該用戶賦與它一個口令或密碼字，該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯合使用。

2．安全脆弱性掃描技術，它為能針對網絡分析系統(tǒng)當前的設置和防御手段，指出系統(tǒng)存在或潛在的安全漏洞，以改進系統(tǒng)對網絡入侵的防御能力的一種安全技術。

3．網絡數據存儲、備份及容災規(guī)劃，它是當系統(tǒng)或設備不幸遇到災難后就可以迅速地恢復數據，使整個系統(tǒng)在最短的時間內重新投入正常運行的一種安全技術方案。

4．IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

5．Web，Email，BBS的安全監(jiān)測系統(tǒng)。在網絡的www服務器、Email服務器等中使用網絡安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網絡，截獲Internet網上傳輸的內容，并將其還原成完整的www、Email、FTP、Telnet應用的內容，建立保存相應記錄的數據庫。及時發(fā)現在網絡上傳輸的非法內容，及時向上級安全網管中心報告，采取措施。