安全网络论文范文

前言：我们精心挑选了数篇优质安全网络论文文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

办公网络面临的内部安全威胁

正如我们所知道的那样，70％的安全威胁来自网络内部，其形式主要表现在以下几个方面。

内部办公人员安全意识淡漠

内部办公人员每天都专注于本身的工作，认为网络安全与己无关，因此在意识上、行为上忽略了安全的规则。为了方便，他们常常会选择易于记忆但同时也易于被猜测或被黑客工具破解的密码，不经查杀病毒就使用来历不明的软件，随便将内部办公网络的软硬件配置、拓扑结构告之外部无关人员，给黑客入侵留下隐患。

别有用心的内部人员故意破坏

办公室别有用心的内部人员会造成十分严重的破坏。防火墙、IDS检测系统等网络安全产品主要针对外部入侵进行防范，但面对内部人员的不安全行为却无法阻止。一些办公人员喜欢休息日在办公室内上网浏览网页，下载软件或玩网络游戏，但受到网络安全管理规定的限制，于是绕过防火墙的检测偷偷拨号上网，造成黑客可以通过这些拨号上网的计算机来攻入内部网络。而有些办公人员稍具网络知识，又对充当网络黑客感兴趣，于是私自修改系统或找到黑客工具在办公网络内运行，不知不觉中开启了后门或进行了网络破坏还浑然不觉。更为严重的是一些人员已经在准备跳槽或被施利收买，办公内部机密信息被其私自拷贝、复制后流失到外部。此外，还有那些被批评、解职、停职的内部人员，由于对内部办公网络比较熟悉，会借着各种机会（如找以前同事）进行报复，如使用病毒造成其传播感染，或删除一些重要的文件，甚至会与外部黑客相勾结，攻击、控制内部办公网络，使得系统无法正常工作，严重时造成系统瘫痪。

单位领导对办公网络安全没有足够重视

有些单位对办公网络存在着只用不管的现象，有的领导只关心网络有没有建起来，能否连得上，而对其安全没有概念，甚至对于网络基本情况，包括网络规模、网络结构、网络设备、网络出口等概不知情。对内部办公人员，公司平时很少进行安全技术培训和安全意识教育，没有建立相应的办公网络安全岗位和安全管理制度，对于黑客的攻击和内部违规操作则又存在侥幸心理，认为这些是非常遥远的事情。在硬件上，领导普遍认为只要安装了防火墙、IDS、IPS，设置了Honeypot就可以高枕无忧。而没有对新的安全技术和安全产品做及时升级更新，对网络资源没有进行细粒度安全级别的划分，使内部不同密级的网络资源处于同样的安全级别，一旦低级别的数据信息出现安全问题，将直接影响核心保密信息的安全和完整。

缺乏足够的计算机网络安全专业人才

由于计算机网络安全在国内起步较晚，许多单位缺乏专门的信息安全人才，使办公信息化的网络安全防护只能由一些网络公司代为进行，但这些网络安全公司必定不能接触许多高级机密的办公信息区域，因此依然存在许多信息安全漏洞和隐患。没有内部信息安全专业人员对系统实施抗攻击能力测试，单位则无法掌握自身办公信息网络的安全强度和达到的安全等级。同时，网络系统的漏洞扫描，操作系统的补丁安装和网络设备的软、硬件升级，对办公网内外数据流的监控和入侵检测，系统日志的周期审计和分析等经常性的安全维护和管理也难以得到及时的实行。

网络隔离技术（GAP）初探

GAP技术

GAP是指通过专用硬件使两个或两个以上的网络在不连通的情况下进行网络之间的安全数据传输和资源共享的技术。简而言之，就是在不连通的网络之间提供数据传输，但不允许这些网络间运行交互式协议。GAP一般包括三个部分：内网处理单元、外网处理单元、专用隔离交换单元。其内、外网处理单元各拥有一个网络接口及相应的IP地址，分别对应连接内网（网）和外网（互联网），专用隔离交换单元受硬件电路控制高速切换，在任一瞬间仅连接内网处理单元或外网处理单元之一。

GAP可以切断网络之间的TCP/IP连接，分解或重组TCP/IP数据包，进行安全审查，包括网络协议检查和内容确认等，在同一时间只和一边的网络连接，与之进行数据交换。

GAP的数据传递过程

内网处理单元内网用户的网络服务请求，将数据通过专用隔离硬件交换单元转移至外网处理单元，外网处理单元负责向外网服务器发出连接请求并取得网络数据，然后通过专用隔离交换单元将数据转移回内网处理单元，再由其返回给内网用户。

GAP具有的高安全性

GAP设备具有安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计和身份认证等安全功能。由于GAP断开链路层并切断所有的TCP连接，并对应用层的数据交换按安全策略进行安全检查，因此能够保证数据的安全性并防止未知病毒的感染破坏。

使用网络隔离技术（GAP）进行内部防护

我们知道，单台的计算机出现感染病毒或操作错误是难以避免的，而这种局部的问题较易解决并且带来的损失较小。但是，在办公信息化的条件下，如果这种错误在网络所允许的范围内无限制地扩大，则造成的损失和破坏就难以想象。因此，对办公内部网络的安全防范不是确保每一台网络内的计算机不发生安全问题，而是确保发生的安全问题只限于这一台计算机或这一小范围，控制其影响的区域。目前，对内网采取“多安全域划分”的技术较好地解决了这个问题，而GAP系统的一个典型的应用就是对内网的多个不同信任域的信息交换和访问进行控制。因此，使用GAP系统来实现办公内网的“多安全域划分”，是一个比较理想的方法。

“多安全域划分”技术

“多安全域划分”技术就是根据内网的安全需求将内网中具有不同信任度（安全等级）网段划分成独立的安全域，通过在这些安全域间加载独立的访问控制策略来限制内网中不同信任度网络间的相互访问。这样，即使某个低安全级别区域出现了安全问题，其他安全域也不会受到影响。

利用网络隔离技术（GAP）实现办公内网的“多安全域划分”

首先，必须根据办公内网的实际情况将内网划分出不同的安全区域，根据需要赋予这些安全区域不同的安全级别。安全级别越高则相应的信任度越高，安全级别较低则相应的信任度较低，然后安全人员按照所划分的安全区域对GAP设备进行安装。系统管理员依照不同安全区域的信任度高低，设置GAP设备的连接方向。GAP设备的内网处理单元安装在高安全级别区域，GAP设备的外网处理单元安装在低信任度的安全区域，专用隔离硬件交换单元则布置在这两个安全区域之间。内网处理单元高安全级别区域（假设为A区域）用户的网络服务请求，外网处理单元负责从低安全级别区域（设为B区域）取得网络数据，专用隔离硬件则将B区域的网络数据转移至A区域，最终该网络数据返回给发出网络服务请求的A区域用户。这样，A区域内用户可通过GAP系统访问B区域内的服务器、邮件服务器、进行邮件及网页浏览等。同时，A区域内管理员可以进行A区域与B区域之间的批量数据传输、交互操作，而B区域的用户则无法访问A区域的资源。这种访问的不对称性符合不同安全区域信息交互的要求，实现信息只能从低安全级别区域流向高安全级别区域的“安全隔离与信息单向传输”。

这样，较易出现安全问题的低安全区（包括人员和设备）就不会对高安全区造成安全威胁，保证了核心信息的机密性和完整性。同时，由于在GAP外网单元上集成了入侵检测和防火墙模块，其本身也综合了访问控制、检测、内容过滤、病毒查杀，因此，GAP可限制指定格式的文件，采用专用映射协议实现系统内部的纯数据传输，限定了内网局部安全问题只能影响其所在的那个安全级别区域，控制了其扩散的范围。

“多安全域划分”的防护效果

由于GAP实现内网的信任度划分和安全区域设定，使办公内网的安全性极大提高，办公内网易出现的安全问题得到有效控制。

第2篇

1.1网络通信结构不合理网络通信自身结构的不合理是造成当前我国网络通信信息安全隐患的首要原因。互联网通信技术是以网间网技术为主要依托的，用户需要通过自身固定的IP协议或TCP协议在网上注册账号，从而在获得网络的远程授权后开展网络通信。由于网络结构是树状型，用户在使用网络通信功能时可能被黑客攻击从而通过树状连接网络窃取用户的通信信息。

1.2网络通信软件存在安全隐患由于客户在使用网络通信软件时需要通过下载补丁等方式让软件能够符合计算机终端操作系统的要求，而这些被广泛应用并下载的软件程序可能由于补丁程序等的引入而成为公开化的信息，这种公开化的软件信息一旦被不法分子利用则会给人们的网络通信带来严重影响，这种影响甚至会波及整个计算机网络系统，造成整个网络的通信安全隐患。

1.3人为的网络系统攻击在利益的驱使下，部分不法分子企图通过不合法的网络系统攻击方式对网络通信进行人为的攻击从而获取大量的网络资源。这些“黑客”的攻击不仅出现在商业管理终端等能够获取大量经济利益的领域，甚至还可能出现在个人的计算机中获取个体用户的信息，给用户的信息安全造成重大隐患。应该客观认识的是，我国网络通信在人们生活水平不断提升及通信方式变革的背景下发展速度一日千里，但是作为保障的信息安全维护工作却与网络通信的发展现状存在较大差距。再加上网络通信管理部门对于网络通信信息安全认识不足、网络通信管理制度不健全等问题也加剧了网络通信信息安全隐患，甚至给整个互联网通信系统带来安全隐患，给不法分子以利用的机会。正是基于当前我国网络通信中信息安全的严峻现状及在这一过程中所出现问题的原因，笔者认为，不断加强网络通信技术革新与网络通信制度建设，充分保障网络通信信息安全是时展的必然要求。

2保障网络通信信息安全的途径

2.1充分保障用户IP地址由于黑客对用户网络通信的侵入与攻击大都是以获取用户IP地址为目的的，因此，充分保障用户的IP地址安全是保护用户网络通信安全的重要途径。用户在使用互联网时也要特别注意对自身IP地址的保护，通过对网络交换机的严格控制，切断用户IP地址通过交换机信息树状网络结构传递被透露的路径；通过对路由器进行有效的隔离控制，经常关注路由器中的访问地址，对非法访问进行有效切断。

2.2完善信息传递与储存的秘密性信息传递与信息储存的两个过程是当前给网络通信信息安全造成隐患的两个主要途径，在网络信息的存储与传递过程中，黑客可能会对信息进行监听、盗用、恶意篡改、拦截等活动以达到其不可告人目的的需求。这就要求用户在使用网络通信技术时要对网络信息的传递与储存环节尽量进行加密处理，保证密码的多元化与复杂性能够有效甚至从根本上解决信息在传递与储存环节被黑客攻击利用的威胁。当前在网络通信过程中用户可以选择自身合适的加密方式对自身的信息进行加密处理，而网络维护工作者也要根据实际情况加强对信息的加密设置。

2.3完善用户身份验证对用户的身份进行有效的验证是保障网络通信信息安全的另一条重要途径。在进行网络通信之前对用户身份进行严格验证，确保是本人操作从而对用户的私人信息进行充分有效的保护。当前，用户的身份验证主要是通过用户名与密码的“一对一”配对实现的，只有二者配对成功才能获得通信权限，这种传统的验证方法能够满意一般的通信安全需求，但是在网络通信技术发展速度不断加快的背景下，传统的身份验证方法需要新的变化，诸如借助安全令牌、指纹检测、视网膜检测等具有较高安全性的方法进一步提升网络通信信息安全水平。此外，在保障网络通信信息安全的过程中还可以通过完善防火墙设置，增强对数据源及访问地址恶意更改的监测与控制，从源头上屏蔽来自外部网络对用户个人信息的窃取以及对计算机的攻击。加强对杀毒软件的学习与使用，定期对电脑进行安全监测，从而确保用户自身的信息安全。

3结语

第3篇

档案信息化以计算机技术为基础，与以往的纸质档案资料相比，具有以下特征：

1.1设备依赖性。

不同于过往的档案记载，信息化的档案资料再也不是一支笔、一份纸记录的过程，从输入到输出都是经由计算机与其辅助设备实现，管理与传输也都依赖各种软件与网络资源共享，信息处理速度与质量在某些程度上依赖于计算机的性能与软件的适应性。

1.2易控性和可变性。

信息化的档案资料一般是以通用的文档、图片、视频、音频等形式储存下来，这给信息共享带来了便利，但也增加了档案资料的易控性和可变性，对于文档资料可以通过office工具删除修改文字、对于图片资料可以通过photoshop轻易地改变其原有的面貌、对于音频和视频资料可以通过adobeaudition和premiere工具的剪辑变成完全不同的模样，这些都造成了档案信息易丢失的现象。

1.3复杂性。

档案信息量不断增加、信息存储形式也变得丰富多样，不仅有前文所述的文档、图像、视频、音频等形式，不同格式之间的信息资料还可以相互转换，如视频与图片、文字与图片的转换等等，进一步增加了档案信息的复杂性。

2目前网络环境下档案信息安全管理存在的问题

2.1网络环境下档案信息安全问题的特性。

档案信息化有其显著特征，在此基础上的档案信息安全问题属性也发生了较大变化。首先表现在信息共享的无边界性，发达的网络技术使得整个世界变成一张巨大的网，上传的信息即使在大洋彼岸也能及时查看，一旦信息泄露，传播的范围广、造成的危害难以估量。同时，在某种程度上档案信息化系统也存在着脆弱性问题，计算机病毒可以入侵系统的众多组成部分，而任何一部分被攻击都可能造成整个系统的崩溃。此外，网络安全问题还存在一定的隐蔽性，无需面对面交流，不用对话沟通，只需打开一个网页或是鼠标轻轻点击，信息就会在极短时间内被窃取，造成严重后果。

2.2网络环境下档案信息安全面临的主要问题。

1）档案信息化安全意识薄弱。很多情况下，档案信息被窃取或损坏并不是因为入侵者手段高明，而是档案信息管理系统自身安全漏洞过多，其本质原因是档案信息管理安全意识不够。受传统档案管理观念的桎梏、自身技术水平的限制，很多管理人员并未将档案信息看作极为重要的资源，对相关资料处理的随意性大，也无法觉察到潜在的风险，日常操作管理不规范，增加了档案安全危机发生的可能性。

2）档案信息化安全资金投入不够。现代信息环境复杂多变，数据量急剧增加，信息管理难度也越来越大，对各种硬件、软件设备的要求也进一步提高，需要企业在档案信息管理方面投入更多的人力、物力，定期检查系统漏洞。而就目前情况而言，大部分企业在这方面投入的资源还远远达不到要求，档案信息管理的安全性得不到有效保障。

3）档案信息化安全技术问题。技术问题首先表现在互联网自身的开放性特征中，互联网的基石是TCP/IP协议，以效率和及时沟通性为第一追求目标，必然会导致安全性的牺牲，诸如E-mail口令与文件传输等操作很容易被监听，甚至于不经意间计算机就会被远程操控，许多服务器都存在可被入侵者获取最高控制权的致命漏洞。此外，网络环境资源良莠不齐，许多看似无害的程序中夹杂着计算机病毒代码片段，隐蔽性强、传染性强、破坏力大，给档案信息带来了严重威胁。

3网络环境下实现档案信息安全保障原则

3.1档案信息安全的绝对性与相对性。

档案信息安全管理工作的重要性是无需置疑的，是任何企业特别是握有核心技术的大型企业必须注重的问题，然而，档案信息管理并没有一劳永逸的方法，与传统档案一样，不存在绝对的安全保障，某一时期看起来再完善的系统也会存在不易发现的漏洞，随着科技的不断发展，会愈来愈明显地暴露出来。同时，档案信息安全维护技术也没有绝对的优劣之分，根据实际情况的需求，简单的技术可能性价比更高。

3.2管理过程中的技术与非技术因素。

档案信息管理工作不是单一的网络技术维护人员工作，也不是管理人员的独角戏，而需要技术与管理的有机结合。档案管理人员可以不具备专业网络技术人才的知识储备量，但一定要具备发现安全问题的感知力与责任心，对于一些常见入侵迹象要了然于心，对于工作中出现的自身无法解决的可疑现象应及时通知更专业的技术人员查看。可根据企业实际情况建立完善的档案安全管理机制，充分调动各部门员工的力量，以系统性、全面性的理念去组织档案信息管理工作。

4网络环境下档案信息安全管理具体保障方法

4.1建立制度屏障。

完善的制度是任何工作顺利进行的前提与基础，对于复杂网络环境下的档案信息安全管理工作来说更是如此。在现今高度发达的信息背景下，档案管理再不是锁好一扇门、看好一台计算机的简单工作，而是众多高新技术的集合体，因此，做好档案信息安全管理工作首先要加强安全意识的宣传，包括保密意识教育与信息安全基础教育，加强档案管理人员特别是技术操作人员的培训工作。同时，应注重责任制度的落实，详细规定库房管理、档案借阅、鉴定、销毁等责任分配，详细记录档案管理培训与考核工作、记录进出档案室的人员信息，具体工作落实到人。在实际操作中，应严格记录每一个操作步骤，将档案接收、借阅、复制等过程完整、有条理地编入类目中，以便日后查阅。

4.2建立技术屏障。

网络环境下的信息安全技术主要体现在通信安全技术和计算机安全技术两个方面。

1）通信安全技术。通信安全技术应用于档案资料的传输共享过程中，可分为加密、确认与网络控制技术等几大类。其中，信息加密技术是实现档案信息安全管理的关键，通过各种不同的加密算法实现信息的抽象化与无序化，即使被劫持也很难辨认出原有信息，这种技术性价比高，较小的投入便可获得较高的防护效果。档案信息确认技术是通过限制共享范围达到安全性要求，每一个用户都掌握着识别档案信息是否真实的方案，而不法接收者难以知晓方案的实际内容，从而预防信息的伪造、篡改行为。

2）计算机安全技术。从计算机安全角度入手，可采用芯片卡识别制度，每一名合法使用者的芯片卡微处理机内记录特有编号，只有当编号在数据库范围内时方可通过认证，防止档案信息经由计算机存储器被窃的现象发生。同时，应加强计算机系统的防火墙设计，注意查找系统漏洞。

4.3建立法律屏障。

第4篇

[论文摘要]随着计算机技术的发展，在计算机上处理业务已由单机处理功能发展到面向内部局域网、全球互联网的世界范围内的信息共享和业务处理功能。在信息处理能力提高的同时，基于网络连接的安全问题也日益突出，探讨了网络安全的现状及问题由来以及几种主要网络安全技术。

随着计算机网络的发展，其开放性，共享性，互连程度扩大，网络的重要性和对社会的影响也越来越大。而网络安全问题显得越来越重要了。国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”，上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。

一、网络的开放性带来的安全问题

众所周知，Internet是开放的，而开放的信息系统必然存在众多潜在的安全隐患，黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中，安全技术作为一个独特的领域越来越受到全球网络建设者的关注。为了解决这些安全问题，各种安全机制、策略和工具被研究和应用。然而，即使在使用了现有的安全工具和机制的情况下，网络的安全仍然存在很大隐患，这些安全隐患主要可以归结为以下几点：

（一）每一种安全机制都有一定的应用范围和应用环境

防火墙是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问。但是对于内部网络之间的访问，防火墙往往是无能为力的。因此，对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为，防火墙是很难发觉和防范的。

（二）安全工具的使用受到人为因素的影响

一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理者和普通用户，不正当的设置就会产生不安全因素。例如，NT在进行合理的设置后可以达到C2级的安全性，但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面，可以通过静态扫描工具来检测系统是否进行了合理的设置，但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较，针对具体的应用环境和专门的应用需求就很难判断设置的正确性。

（三）系统的后门是传统安全工具难于考虑到的地方

防火墙很难考虑到这类安全问题，多数情况下这类入侵行为可以堂而皇之经过防火墙而很难被察觉。比如说，众所周知的ASP源码问题，这个问题在IIS服务器4.0以前一直存在，它是IIS服务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出ASP程序的源码，从而可以收集系统信息，进而对系统进行攻击。对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的访问过程和正常的WEB访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后缀。

（四）只要有程序，就可能存在BUG

甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来，程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用，而且这种攻击通常不会产生日志，几乎无据可查。比如说现在很多程序都存在内存溢出的BUG，现有的安全工具对于利用这些BUG的攻击几乎无法防范。

（五）黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现

然而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。

二、网络安全的主要技术

安全是网络赖以生存的保障，只有安全得到保障，网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展，其涉及的技术面非常广，主要的技术如认证、加密、防火墙及入侵检测是网络安全的重要防线。

（一）认证

对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。

（二）数据加密

加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。主要存在两种主要的加密类型：私匙加密和公匙加密。

1.私匙加密。私匙加密又称对称密匙加密，因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性，它不提供认证，因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快，很容易在硬件和软件中实现。

2.公匙加密。公匙加密比私匙加密出现得晚，私匙加密使用同一个密匙加密和解密，而公匙加密使用两个密匙，一个用于加密信息，另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的，因而比私匙加密系统的速度慢得多，不过若将两者结合起来，就可以得到一个更复杂的系统。

（三）防火墙技术

防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和服务器技术，它们的安全级别依次升高，但具体实践中既要考虑体系的性价比，又要考虑安全兼顾网络连接能力。此外，现今良好的防火墙还采用了VPN、检视和入侵检测技术。

防火墙的安全控制主要是基于IP地址的，难以为用户在防火墙内外提供一致的安全策略；而且防火墙只实现了粗粒度的访问控制，也不能与企业内部使用的其他安全机制（如访问控制）集成使用；另外，防火墙难于管理和配置，由多个系统（路由器、过滤器、服务器、网关、保垒主机）组成的防火墙，管理上难免有所疏忽。

（四）入侵检测系统

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。在校园网络中采用入侵检测技术，最好采用混合入侵检测，在网络中同时采用基于网络和基于主机的入侵检测系统，则会构架成一套完整立体的主动防御体系。

（五）虚拟专用网（VPN）技术

VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一，所谓虚拟专用网（VPN）技术就是在公共网络上建立专用网络，使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制，这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全：隧道技术（Tunneling)、加解密技术（Encryption&Decryption)、密匙管理技术（KeyManagement)和使用者与设备身份认证技术（Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的安全服务，这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法，如按接入方式分成专线VPN和拨号VPN；按隧道协议可分为第二层和第三层的；按发起方式可分成客户发起的和服务器发起的。

（六）其他网络安全技术

1．智能卡技术，智能卡技术和加密技术相近，其实智能卡就是密匙的一种媒体，由授权用户持有并由该用户赋与它一个口令或密码字，该密码字与内部网络服务器上注册的密码一致。智能卡技术一般与身份验证联合使用。

2．安全脆弱性扫描技术，它为能针对网络分析系统当前的设置和防御手段，指出系统存在或潜在的安全漏洞，以改进系统对网络入侵的防御能力的一种安全技术。

3．网络数据存储、备份及容灾规划，它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据，使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。

4．IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个IP广播包的工作站返回一个警告信息。

5．Web，Email，BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统，实时跟踪、监视网络，截获Internet网上传输的内容，并将其还原成完整的www、Email、FTP、Telnet应用的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全网管中心报告，采取措施。

第5篇

1.1需精确地评估防火墙的失效状况

任何软件都有一定的生命周期，防火墙也有一定的生命周期，我们要正确的评估防火墙的使用效能，一旦防火墙失效，对网络安全造成的后果无法想象。防火墙使用具有一定的级别，在被外界病毒等侵入时候具有一定的防御，我们在设置防火墙的功能时候要具有一定的科学性，当防火墙受到攻击时候，能自动启动防御功能，因此，我们在设置防火墙功能时候，要正确检测防火墙是否失效功能要开启，达到防火墙失效状态正常评估。

1.2正确选择、科学配置防火墙

防火墙功能的科学配置，是对网络安全防御的重要保障，防火墙技术是网络安全技术基于防火墙网络安全技术的探究文/罗鹏　周哲韫进入新世纪以后，计算机网络技术发展迅速，尤其Internet的发展应用，计算机网络安全越来越重要，尤其一些政府部门网络，科研等机构网络如被黑客或病毒侵入，后果是非常严重的，在许多网络安全技术应用中，防火墙技术室比较成熟的，本论文是从不同层面阐述防火墙网络安全技术的应用。摘要中关键技术之一，在配置防火墙时候，要正确选择，科学配置。防火墙技术是计算机网络技术人才需要专门的培训与学习，才能进行科学的配置，在配置防火时候具有一定的技巧，在不同环境，不同时期具有一定的应用，因此正确科学的配置防火墙没有通式，必须在根据环境状态下进行科学合理的配置，这样才能使防火墙技术成为网络安全技术中最后一道保障。

1.3有赖于动态维护

防火墙技术在网络中应用，不是把防火墙软件在计算机中安装以后，进行一些配置以后就完事，管理员要对防火墙实时进行监控，看防火墙是否出现一些异常状况，管理员还要与厂商经常保持密切联系，是否有更新，任何在完美事物都有两面性，要及时更新，弥补防火墙漏洞，防止计算机网络被更新，因此防火墙技术是一种动态实时更新技术。

1.4搞好规则集的检测审计工作

网络安全技术最大的危险是自己，网络管理员不能出现一点大意，在防火墙技术的应用过程中，要适时进行更新，弥补漏洞，还要定期进行一定的检测和审计工作，用来评估网络现在的安全性，以及在未来一段时间网络的安全性，做好正确的评审工作，是网络能长时间保持稳定的重要条件，实时检测，实时维护是网络安全的基本法则。

2防火墙网络安全技术的实现方案

2.1设置内部防火墙，编制可靠的安全方案

在网络安全防范的过程中，内部局域网一定要重视，当局域网中一台机器出现病毒状况，可能瞬间整个网络出现瘫痪状态，因此利用防火墙技术作为网络安全的检测，内部局域网防火墙要进行科学合理的设置，制定一个可行的安全方案，对整个局域网的网络进行一定的保障。内部防火墙进行一定的分段，每个主机要有标准，但有一个统一的标准，标准时同样的，这样对网络的检测等有一定的依据，增强了网络的安全性。

2.2合理设定外部防火墙，防范外网攻击

经外部防火墙的设定，把内网同外网相分开，可防范外网攻击行为。外部防火墙通过编制访问策略，仅已被授权的主机方能访问内网IP，使外网仅能访问内网中同业务相关的所需资源。外部防火墙会变换地址，使外网无法掌握内网结构，阻断了黑客攻击的目标。外部防火墙的精确设定范围要在内网和外网之间，防火墙对获取的数据包加以剖析，把其中合法请求传导到对应服务主机，拒绝非法访问。

3防火墙技术的未来发展趋势及前景

防火墙技术是网络安全技术发展的必然产物，为不安全的网络搭建一个安全的网络平台，网络安全是不可预测的，防火墙技术也在日新月异的进行发展，防火墙技术的未来发展是广泛的，能为网络安全作出一定的贡献，下面阐述一下防火墙技术的未来发展趋势，引领网络安全技术的发展。

3.1智能化

现在计算机的未来发展是网络化、智能化，网络安全问题的发展也比较快，对网络安全的软件要求也是越来越高，网络上的病毒具有不可预见性，对防御病毒的软件提出一个崭新的要求，必须具有一定的智能化，就是防火墙自身具有很强的防御功能，不是人为的进行控制，智能化是网络安全专家对防火墙技术的期盼，也是防火墙技术自身发展的需要，但防火墙技术实现智能化需要一定的时间，需要网络安全专家不停努力的结果。

3.2扩展性能更佳

计算机网络的快速发展，点到点客户的快速发展，现在3G网络已经向4G网络发展，对防火墙的扩展型提出更好的要求，软件技术的发展必须为未来的发展提出更好的要求，其扩展性具有一定发展，使防火墙技术能更好的为网络安全服务，提高网络安全服务的本领，减少病毒的入侵，提高网络安全。

第6篇

关键词：网络安全；破译口令；IP欺骗；DNS欺骗；黑客攻击

中图分类号：TP393.08

文献标识码：A

文章编号：1672-3198(2009)13-0245-02

1　网络攻击和入侵的主要途径

网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗。

口令是计算机系统抵御入侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如：利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上；利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径；从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；查看主机是否有习惯性的帐号；有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。

IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中。入侵者假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起淹没攻击，使被信任的主机处于瘫痪状态。当主机正在进行远程服务时，网络入侵者最容易获得目标网络的信任关系，从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址，它们之间互相信任。由于这种信任关系，这些计算机彼此可以不进行地址的认证而执行远程操作。

域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常，网络用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53端口监听。并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名―IP地址映射表时，DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而，当一个客户机请求查询时，用户只能得到这个伪造的地址，该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器，所以一个被破坏的DNS服务器可以将客户引导到非法的服务器。也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。

2　计算机网络中的安全缺陷及产生的原因

(1)网络安全天生脆弱。

计算机网络安全系统的脆弱性是伴随计算机网络一同产生的，换句话说，安全系统脆弱是计算机网络与生俱来的致命弱点。在网络建设中，网络特性决定了不可能无条件、无限制的提高其安全性能。要使网络更方便快捷，又要保证网络安全，这是一个非常棘手的“两难选择”，而网络安全只能在“两难选择”所允许的范围中寻找支撑点。可以说世界上任何一个计算机网络都不是绝对安全的。

(2)黑客攻击后果严重。

近几年，黑客猖狂肆虐，四面出击，使交通通讯网络中断，军事指挥系统失灵，电力供水系统瘫痪，银行金融系统混乱……危及国家的政治、军事、经济的安全与稳定，在世界各国造成了难以估量的损失。

(3)网络杀手集团化。

目前，网络杀手除了一般的黑客外，还有一批具有高精尖技术的“专业杀手”，更令人担忧的是出现了具有集团性质的“网络”甚至政府出面组织的“网络战”、“黑客战”，其规模化、专业性和破坏程度都使其他黑客望尘莫及。可以说，由政府组织的“网络战”、“黑客战”是当前网络安全的最大隐患。目前，美国正开展用无线电方式、卫星辐射式注入方式、网络方式把病毒植入敌方计算机主机或各类传感器、网桥中的研究以伺机破坏敌方的武器系统、指挥控制系统、通信系统等高敏感的网络系统。另外，为达到预定目的，对出售给潜在敌手的计算机芯片进行暗中修改，在CPU中设置“芯片陷阱”，可使美国通过因特网指令让敌方电脑停止工作，以起到“定时炸弹”的作用。

(4)破坏手段多元化。

目前，“网络”除了制造、传播病毒软件、设置“邮箱炸弹”，更多的是采取借助工具软件对网络发动袭击，令其瘫痪或者盗用一些大型研究机构的服务器，使用“拒绝服务”程序，如TFN和与之相近的程序等，指挥它们向目标网站传输远远超出其带宽容量的垃圾数据，从而使其运行中断。多名黑客甚至可以借助同样的软件在不同的地点“集中火力”对一个或者多个网络发起攻击。而且，黑客们还可以把这些软件神不知鬼不觉地通过互联网安装到别人的电脑上，然后，在电脑主人根本不知道的情况下“借刀杀人”。

3　安全防范措施

(1)提高思想认识。

近年来，中国的网络发展非常迅速，同时，中国的网络安全也越来越引起人们的关注，国家权威部门曾对国内网站的安全系统进行测试，发现不少单位的计算机系统都存在安全漏洞，有些单位还非常严重，随时可能被黑客入侵。当前，世界各国对信息战十分重视，假如我们的网络安全无法保证，这势必影响到国家政治、经济的安全。因此，从思想上提高对计算机网络安全重要性的认识，是我们当前的首要任务。

(2)加强管理制度。

任何网站都不是绝对安全的，值得一提的是，当前一些单位在急忙赶搭“网络快车”时，只管好用，不管安全，这种短视必然带来严重的恶果，与“网络”的较量是一场“看不见硝烟的战争”，是高科技的较量，是“硬碰硬”的较量。根据这一情况，当前工作的重点，一是要狠抓日常管理制度的落实，要把安全管理制度落实到第一个环节中；二是要加强计算机从业人员的行业归口管理，对这些人员要强化安全教育和法制教育，建立人员管理档案并进行定期的检查和培训；三是要建立一支反黑客的“快速反应部队”，同时加快加紧培养高水平的网络系统管理员，并尽快掌握那些关键技术和管理知识。

(3)强化防范措施。

一般来说，影响计算机网络安全的因素很多，但目前最主要的因素是接受电子邮件和下载软件两种。下面就这两种方式谈谈基本的防范措施：切实保护电子邮件的安全：做好邮件帐户的选择。现在互联网上提供的E-MAIL帐户

主要都是免费帐户，这些免费的服务不提供任何有效的安全保障而且有的免费邮件服务器常常会导致邮件受损。所以，单位用户应该选择收费邮件帐户。做好邮件帐户的安全防范。一定要保护好邮箱的密码。在WEB方式中，不要使用IB的自动完成功能，不要使用保存密码功能以图省事，入网帐号与口令应该是需要保护的重中之重，密码要取得有技巧、有难度，密码最好能有8位数，且数字字母相间，中间还代“*”号之类的允许怪符号。

防止邮件炸弹。下面介绍几种对付电子邮件炸弹(E-MAIL BOMB)的方法：

①过滤电子邮件。凡可疑的E-MAIL尽量不要开启：如果怀疑信箱有炸弹，可以用邮件程序的远程邮箱管理功能来过滤信件，如国产的邮件程序Foxmail。在进行邮箱的远程管理时，仔细检查邮件头信息，如果发现有来历可疑的信件或符合邮件炸弹特征的信件，可以直接把它从邮件服务器上删除。

②使用杀毒软件。一是邮件有附件的话，不管是谁发过来的，也不管其内容是什么(即使是文档，也往往能成为病毒的潜伏场所，像著名的Melissa)，都不要立即执行，而是先存盘，然后用杀毒软件检查一番，以确保安全。二是注意目前网上有一些别有用心的人以网站的名义，让你接受他们通过邮件附件推给你的软件，并以种种借口要求你立即执行。对此，凡是发过来的任何程序、甚至文档都应用杀毒软件检查一番。

③使用转信功能。用户一般都有几个E-mail地址。最好申请一个容量较大的邮箱作为收信信箱，如777信箱(mail.省略)速度也很快。对于其它各种信箱，最好支持转信功能的，并设置转信到大信箱。所有其它邮件地址的信件都会自动转寄到大信箱内，可以很好地起到保护信箱的作用。

④申请邮件数字签证。现在国内的首都在线(省略)提供了邮件数字签证的服务。数字签证不但能够保护邮件的信息安全，而且通过它可以确认信件的发送者。最后要注意对本地的已收发邮件进行相应的删除处理。切实保障下载软件的安全。对于网络软件，需要指出的是，我们对下载软件和接受的E-MAIL决不可大意。在下载软件时应该注意：下载软件应尽量选择客流大的专业站点。大型的专业站点，资金雄厚，技术成熟，水平较高，信誉较佳，大都有专人维护，安全性能好，提供的软件问题较少。

⑤此外，从网上下载来的软件要进行杀毒处理。对下载的任何软件，不要立即使用，WORD文档也不宜直接打开，而应先用杀毒软件检测一番，进行杀毒处理。杀毒软件应当始终保持最新版本，最好每月升级一次，防止染上“木马”。一旦染上木马后，它就会给你的Windows留下后门，秘密监视网络信息，一旦发现远方控制指令，就会会秘密地予以回应，可以让远方的控制者掌握对机器的完全控制权。此后在你完全不知的情况下，远方的侵入者可以随时在因特网上无限制地访问你的计算机，因此它的危害是不育而喻的。最简便有效的预防措施是，避免启动服务器端(S端)消除木马的具体操作是，首先拜访注册表，获取木马的装入信息，找出S端程序放于何处。然后先将注册表中的木马配置键删掉，重新启动计算机，再将程序也删掉。

第7篇

1.1可用性

网络系统的可用性是指计算机网络系统要随时随地能够为用户服务，要保障合法用户能够访问到想要浏览的网络信息，不会出现拒绝合法用户的服务要求和非合法用户滥用的现象。计算机网络系统最重要的功能就是为合法用户提供多方面的、随时随地的网络服务。

1.2完整性

网络系统的完整性是指网络信息在传输过程中不能因为任何原因，发生网络信掺入、重放、伪造、修改、删除等破坏现象[1]，影响网络信息的完整性。通过信息攻击、网络病毒、人为攻击、误码、设备故障等原因都会造成网络信息完整性的破坏。

1.3保密性

网络系统的保密性是指网络系统要保证用户信息不能发生泄露，主要体现在网络系统的可用性和可靠性，是网络系统安全的重要指标。保密性不同于完整性，完整性强调的是网络信息不能被破坏，保密性是指防止网络信息的发生泄露[2]。

1.4真实性

网络系统的真实性是指网络用户对网络系统操作的不可抵赖性，任何用户都不能抵赖或者否定曾经对网络系统的承诺和操作。

1.5可靠性

网络系统的可靠性是指系统的安全稳定运行，网络系统要在一定的时间和条件下稳定的完成网络用户指定的任务和功能，网络系统的可靠性是网络安全最基本的要求。

1.6可控性

网络系统的可控性是指网络系统可以控制和调整网络信息传播方式和传播内容的能力，为了保障国家和广大人民的利益，为正常的社会管理秩序，网络系统管理者有必要对网络信息进行适当的监督和控制，避免外地侵犯和社会犯罪，维护网络安全。

2网络安全技术在校园网中的应用

2.1防火墙

防火墙是指管理校园网和外界互联网之间用户访问权限的软件和硬件的组合设备[3]，防火墙处于校园网和外界互联网之间的通道中，能够有效地阻断来自外界的病毒和非法访问，能够有效地提高校园网的网络安全。防火墙可以有效拦截来自外界的不安全的访问服务，同时还可以对防火墙进行设置，屏蔽有危害、不健康的网络网站，降低校园网的安全危害。另外防火墙还可以有效地监控用户对校园网的访问，记录用户的访问记录，保存到网络数据库中，可以快速统计校园网的使用情况，在分析用户访问记录如果发现用户的操作存在安全问题，防火墙可以及时发出报警信号，提醒用户的这个非法操作，防止校园网内部信息的泄露、另外，防火墙可以和NAT技术高效地结合起来，用于隐藏校园网的网络结构信息，提高校园网的安全系数，同时防火墙和NAT技术的高效结合很好地解决了校园网IP不足的情况，提高了校园网的运行效率。防火墙在校园网中的应用，完善了校园网内部的网络隔断，即使校园网发生安全问题，也可以在短时间内控制问题扩散的速度和范围。防火墙在校园网中发挥着重要的作用，能够有效地阻断来自外界互联网的安全侵害，但是防火墙不能阻止校园网内部的安全问题，不能拒绝和控制校园网内部的感染病毒。

2.2VPN技术

VPN技术在校园网的应用，通过VPN设备将校内局域网和外部的互联网连接起来，可以提高校园网的数据安全。VPN服务器经过设置后，只有符合相应条件的用户经过连接VPN服务器才能获得访问特定网络信息的权限，拒绝校园网内用户的危险操作。VPN技术可以实现用户验证，通过验证校内网用户的身份，只有符合条件的授权用户才能连接到VPN服务器，进行相关访问。其次实现校园网数据加密，VPN技术可以将通过互联网通道传输的数据进行加密，只有经过授权的用户才能访问这些信息。再次实现校园网密钥管理，通过生成校园网和互联网的基本协议，提高校园网的可靠性。并且VPN技术在校园网中的应用不需要安装VPN的客户端设备，降低了校园网安全管理的成本。通过VPN技术，校园网络管理员可以对校园网内用户的操作进行实时监控，及时发现校园网络故障点，进行远程维护，提高校园网维护管理能力。

2.3入侵检测技术

入侵检测技术在校园网中的应用，可以检测校园网络中一些不安全的网络操作行为，一旦检测到网络系统中的一些异常现象和未授权的网络操作，就会发出网络报警信号。入侵检测技术可以自动分析校园网络的用户活动，检测出校园网中授权用户的非法使用和未授权用户的越权使用[4]。入侵检测技术还可以监控校园网络系统的配置情况，检测出系统安全漏洞，提醒校园网络管理人员及时进行维护。另外，入侵检测技术在识别网络攻击和网络威胁方面具有重要的作用，可以及时发出报警信号，并且拒绝和处理网络攻击入侵行为，结合发现的网络攻击模式，检测校园网系统结构是否存在安全漏洞，提高校园网的数据完整性，进行系统评估。

2.4访问控制技术

访问控制技术主要是用来控制校园网用户的非法访问和非法操作，用户想要进入校园网，首先要通过访问控制，经过验证识别用用户口令、户名、密码等，确定该用户是否具有访问校园网的权限，当用户进入校园网后，就会赋予用户访问操作权限，使校园网络资源不会被未授权用户非法使用和非法访问。

2.5网络数据恢复和备份技术

校园网中的网络数据恢复和备份技术，可以防止校园网信息数据丢失，保护校园网重要信息资源。网络数据恢复和备份技术可以实现集中式的网络信息资源管理，对整个校园网系统中的信息资源进行备份管理，可以极大地提高校园网管理员的工作效率，实现网络资源的统一管理，利用网络备份设备实时监控校园网络中的备份作业，结合校园网的运行情况，及时修改网络备份策略[5]，提高系统备份效率。校园网管理员可以利用网络数据恢复和备份技术，定时对网络数据库中的数据进行备份，这是网络管理重要环节。校园网的备份系统可以在用户进行校园网访问时，建立在线网络索引，当用户需要恢复网络信息时，通过在线网络索引中的备份系统就可以自动恢复网络数据文件。网络数据恢复和备份技术实现了校园网络的归档管理，通过时间定期和项目管理对网络信息数据进行归档管理，在网络环境建立统一的数据备份和储存格式，使所有网络信息数据在统一格式中完成长时间的保存[6]。

2.6灾难恢复技术

校园网中的灾难恢复主要包括两类：个别数据文件的恢复和所有信息数据的恢复。当校园网中的个别数据文件恢复可以利用网络中备份系统完成个别受损数据文件的恢复，校园网络管理员可以浏览目录或者数据库，触动受损数据文件的恢复功能，系统会自动加载存储软件，恢复受损文件。所有信息数据的恢复主要应用在当发生意外灾难时导致整个校园网系统重组、系统升级、系统崩溃和信息数据丢失等情况。

3结语

第8篇

1.1计算机网络工程物理安全问题

计算机网络工程是由通信线路、通信设备、计算机相互连接而构成的具有远程通信与远程数据传输等功能的数据通信和资源共享系统。计算机网络工程中无论是局域网、广域网、城域网或者是互联网都与网络工程硬件设备密不可分，其网络连计算机网络工程物理硬件设备安全问题涉及到两个方面，一方面是硬件功能是否正常工作方面的安全问题，另一方面是物理攻击方便的问题。在计算机网络完成数据通信和资源共享时，由于自然因素或者是人为因素造成硬件设备出现故障所导致不能正常应用的问题。物理攻击是黑客通过计算机硬件漏洞进行攻击，通过网络TCP/IP等硬件接口漏洞控制计算机BIOS以至于导致计算机出现死机、蓝屏、黑屏等问题。

1.2计算机网络工程系统安全问题

目前，计算机系统并不安全，常见的计算机系统漏洞主要包括：RDP漏洞、VM漏洞和UPNP服务漏洞等，并且计算机系统漏洞不断的被挖掘，这导致我们计算机应用安全面临着严重的威胁。

1.3网络病毒安全问题

计算机病毒是由编程人员在软件中或者是数据中插入破坏计算机系统及数据的代码，这类代码具有寄生性、隐藏性、传染性和潜伏性，常见的计算机病毒包括引导区病毒、文件寄生病毒、宏病毒、脚本病毒、蠕虫病毒、特洛伊木马等。

1.4黑客攻击安全问题

目前有一类专门针对于计算机网络进行攻击的犯罪人员，这类人可以分为两种，一种是以攻击和破坏他人网络系统和计算机，窃取他人机密数据为盈利目的，另一种是以破坏网络系统为乐趣，证明自身破坏能力，这两种人被统称为“黑客”。

2计算机网络工程安全对策

以技术手段进行计算机网络工程安全防范，首先需要建立计算机网络工程安全评估机制，利用系统工具对计算机网络工程漏洞进行扫描，计算机漏洞扫描一方面挖掘计算机网络工程可能存在的漏洞，另一方面可发现系统中的薄弱环节。计算机网络工程安全评估需要定期进行的，因为随着计算机应用的不断发展，计算机网络工程漏洞随时会增加，一次安全评估只能代表某一时刻的评估结果，也许下一秒就会出现新的漏洞。计算机网络工程安全评估机制建立。计算机网络工程安全评估可以依据已经发现的网络漏洞建立数据库进行比对扫描分析，漏洞数据库中包含了最新的已经发现的计算机网络工程漏洞，并且能够通过漏洞的关联性挖掘可能存在薄弱的环节，通过对漏洞的分析，作出相应的修补方案，并通过反复的试验最终修补漏洞，并重新做安全评估。于计算机用户疏于安全应用防范意识，导致个人信息被窃取或者是财产受到损失的事件时有发生，这主要是因为计算机用户对计算机网络的使用不够了解，对计算机网络漏洞认知度不够，一些用户认为计算机中安装了杀毒软件和防火墙就可以完全安全上网，对网络上的资源不认真辨别就进行下载，甚至认为如果遇到病毒杀毒软件和防火墙一定会替他拦截的，但是，一些高危的病毒和木马往往伪装成应用程序或者是依附于下载资源，杀毒软件和防火墙很难甄别，这就导致不法分子利用计算机的漏洞获取到用户的信息资源。因此，提高计算机用户自我防范意识是计算机漏洞处置措施中的重要环节，用户在下载或者安装软件过程中，要时刻警惕，安装软件过程中，一些选择性安装的插件如不需要无需勾选，如安装软件过程中发现问题，立即停止安装。在网络上下载资源时要到正规网站下载，如有提示“风险”谨慎下载。

3结语

第9篇

【关键词】网络安全；防火墙；数据库；病毒；黑客

当今许多的企业都广泛的使用信息技术，特别是网络技术的应用越来越多，而宽带接入已经成为企业内部计算机网络接入国际互联网的主要方式。而与此同时，因为计算机网络特有的开放性，企业的网络安全问题也随之而来，由于安全问题给企业造成了相当大的损失。因此，预防和检测网络设计的安全问题和来自国际互联网的黑客攻击以及病毒入侵成为网络管理员一个重要课题。

一、网络安全问题

在实际应用过程中，遇到了不少网络安全方面的问题。网络安全是一个十分复杂的问题，它的划分大体上可以分为内网和外网。如下表所示：

由上表可以看出，外部网的安全问题主要集中在入侵方面，主要的体现在：未授权的访问，破坏数据的完整性，拒绝服务攻击和利用网络、网页浏览和电子邮件夹带传播病毒。但是网络安全不仅要防范外部网，同时更防范内部网。因为内部网安全措施对网络安全的意义更大。据调查，在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的安全问题主要体现在：物理层的安全，资源共享的访问控制策略，网内病毒侵害，合法用户非授权访问，假冒合法用户非法授权访问和数据灾难性破坏。

二、安全管理措施

综合以上对于网络安全问题的初步认识，有线中心采取如下的措施：

（一）针对与外网的一些安全问题

对于外网造成的安全问题，使用防火墙技术来实现二者的隔离和访问控制。

防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制（允许、禁止、报警）。

防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信；用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，从而保护内部网络操作环境。所以，安装防火墙对于网络安全来说具有很多优点：（1）集中的网络安全；（2）可作为中心“扼制点”；（3）产生安全报警；（4）监视并记录Internet的使用；（5）NAT的位置；（6）WWW和FTP服务器的理想位置。

但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此，中心选用了RealSecureSystemAgent和NetworkEngine。其中，RealSecureSystemAgent是一种基于主机的实时入侵检测产品，一旦发现对主机的入侵，RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵，同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecureSystemAgent还具有伪装功能，可以将服务器不开放的端口进行伪装，进一步迷惑可能的入侵者，提高系统的防护时间。Re?鄄alSecureNetworkEngin是基于网络的实时入侵检测产品，在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecureNetworkEngine在检测到网络入侵后，除了可以及时切断攻击行为之外，还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的、智能的防护体系。

通过部署入侵检测系统，我们实现了以下功能：

对于WWW服务器，配置主页的自动恢复功能，即如果WWW服务器被攻破、主页被纂改，系统能够自动识别并把它恢复至事先设定的页面。

入侵检测系统与防火墙进行“互动”，即当入侵检测系统检测到网络攻击后，通知防火墙，由防火墙对攻击进行阻断。

（二）针对网络物理层的稳定

网络物理层的稳定主要包括设备的电源保护，抗电磁干扰和防雷击。

本中心采用二路供电的措施，并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中，所有的机箱都必须有接地的设计，在机房安装的时候必须按照接地的规定做工程；对于供电设备，也必须做好接地的工作。这样就可以防止静电对设备的破坏，保证了网内硬件的安全。

（三）针对病毒感染的问题

病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码；广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件，（例如：SymantecAntivirus等）并控制写入服务器的客户端，网管可以随时升级并杀毒，保证写入数据的安全性，服务器的安全性，以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。

（四）针对应用系统的安全

应用系统的安全主要面对的是服务器的安全，对于服务器来说，安全的配置是首要的。对于本中心来说主要需要2个方面的配置：服务器的操作系统（Windows2003）的安

全配置和数据库（SQLServer2000）的安全配置。1．操作系统（Windows2003）的安全配置

（1）系统升级、打操作系统补丁，尤其是IIS6.0补丁。

（2）禁止默认共享。

（3）打开管理工具-本地安全策略，在本地策略-安全选项中，开启不显示上次的登录用户名。

（4）禁用TCP/IP上的NetBIOS。

（5）停掉Guest帐号，并给guest加一个异常复杂的密码。

（6）关闭不必要的端口。

（7）启用WIN2003的自身带的网络防火墙，并进行端口的改变。

（8）打开审核策略，这个也非常重要，必须开启。

2．数据库（SQLServer2000）的安全配置

（1）安装完SQLServer2000数据库上微软网站打最新的SP4补丁。

（2）使用安全的密码策略

。设置复杂的sa密码。

（3）在IPSec过滤拒绝掉1434端口的UDP通讯，可以尽可能地隐藏你的SQLServer。

（4）使用操作系统自己的IPSec可以实现IP数据包的安全性。

（五）管理员的工具

除了以上的一些安全措施以外，作为网络管理员还要准备一些针对网络监控的管理工具，通过这些工具来加强对网络安全的管理。

Ping、Ipconfig/winipcfg、Netstat：

Ping，TCP/IP协议的探测工具。

Ipconfig/winipcfg，查看和修改网络中的TCP/IP协议的有关配置，

Netstat，利用该工具可以显示有关统计信息和当前TCP/IP网络连接的情况，用户或网络管理人员可以得到非常详尽的统计结果。

SolarWindsEngineer''''sEditionToolset

另外本中心还采用SolarWindsEngineer''''sEditionToolset。它的用途十分广泛，涵盖了从简单、变化的ping监控器及子网计算器（Subnetcalculators）到更为复杂的性能监控器何地址管理功能。”

SolarWindsEngineer''''sEditionToolset的介绍：

SolarWindsEngineer’sEdition是一套非常全面的网络工具库，包括了网络恢复、错误监控、性能监控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外，Engineer’sEdition还增加了新的SwitchPortMapper工具，它可以在您的switch上自动执行Layer2和Layer3恢复。工程师版包含了SolarwindsMIB浏览器和网络性能监控器（NetworkPerformanceMonitor），以及其他附加网络管理工具。

SnifferPro能够了解本机网络的使用情况，它使用流量显示和图表绘制功能在众多网管软件中最为强大最为灵活；它能在于混杂模式下的监听，也就是说它可以监听到来自于其他计算机发往另外计算机的数据，当然很多混杂模式下的监听是以一定的设置为基础的，只有了解了对本机流量的监听设置才能够进行高级混杂模式监听。

除了上面说的五个措施以外，还有不少其他的措施加强了安全问题的管理：

制订相应的机房管理制度；

制订相应的软件管理制度；

制订严格的操作管理规程；

制订在紧急情况下系统如何尽快恢复的应急措施，使损失减至最小；

第10篇

众所周知，只要是基于互联网之下的系统，都要按时对其进行系统的升级。否则，该系统就会出现漏洞，从而导致黑客和恶意软件的入侵，给系统造成严重的破坏。电力调度自动化的网络系统也是如此，如果电力调度人员不能定期的给电力调度自动化的网络系统进行升级，那么就会导致该系统出现漏洞。这个时候，黑客就可以借助一些高科技的技术，肆意的去修改或者是窃取电力调度传输过程中的信息。电力调度的信息一旦被修改或者是窃取，将会给电力企业造成无法挽回的经济损失。

2电力调度人员没有对电力调度自动化的网络系统进行严格的管理

一方面，电力调度自动化具有复杂性，也正是因为它的这种复杂性，让电力调度人员在对电力调度自动化的网络系统进行管理的时候，出现了难以对其进行管理的现象。另一方面，随着互联网的不断发展，更是增强了一些恶意软件和黑客的技术手段，这就从很大程度上增加了电力调度自动化的网络安全问题。随着电力调度自动化网络安全问题的加深，电力调度自动化在运行的过程当中，就会出现越来越多的问题，从而导致整个电力调度自动化不能正常的进行运转。

3电力调度人员没有尽到该尽的责任

电力调度人员自身的素质，在电力调度自动化管理的过程当中起着决定性的作用。因此，电力调度人员要是不具备很高的个人素质，那么他在工作的整个过程当中，就不会用严谨的态度去履行工作的义务，那就更别说是承担起相应的责任了。于是，一旦网络安全出现问题，他们也就无法及时找到造成这些问题出现的因素，从而导致问题越来越严重，以致于最后危及到了整个电力调度自动化的运行。

4探究解决电力调度自动化网络安全问题的方法

通过对电力调度自动化的网络安全问题进行仔细的分析和探究，现将能够有效解决这一问题的方法列举出来：

4.1为电力调度自动化建造一个基于科学之上的网络结构

建设人员在为电力调度自动化建立网络结构的时候，要严格的按照网络安全中所规定的去进行，以确保网络结构的一致性和完整性。

4.2安排专业的技术人员对电力调度自动化的网络系统进行管理

当电力调度自动化在运行的时候，电力企业要安排专业的技术人员，对电力调度自动化网络系统进行实时的监控和管理。一旦网络系统出现了问题，那么技术人员就可以及时的发现，并找出造成这一问题出现的原因，然后对其进行全面的分析和探究，最后总结出一个能够有效解决这一问题的办法。其次，电力企业还要对这些技术人员进行定期的网络安全管理知识的培训，以提高他们的网络管理水平。

4.3对电力调度自动化的网络系统进行定期的维护

对网络系统进行定期的维护，可以有效的减少网络系统出现问题的概率。当然，在对网络系统进行维护的时候，要对网络系统进行全方位的检查和维护，比如：可以用杀毒软件清理网络系统中的垃圾、对需要升级的软件进行升级和检查网络系统中的信息等等。只有加强了对网络系统的维护，才能够从很大程度上避免网络系统在运行的过程当中出现安全性问题。

5结束语

第11篇

1.1五层体系架构设计

随着互联网的飞速发展，城市人民的生活基本进入信息化时代，人们不管是网上购物，还是在线聊天等，或多或少了一些个人信息。甚至我国很大一部分的企业关键信息都存储于网络，因此网络是信息传递和存储的载体，它的正常运行有效地保证了用户信息的安全。网络信息安全主要涵盖网络信息安全、传输安全和内容安全三个方面，网络数据传播的渠道方式以及传播的信息内容是否真实可靠。基于我国网络安全基本情况，所谓网络安全，主要体现在从以下四个方面：网络信息数据的完整性、保密性以及共享数据的可控性和可用性。每一个安全特征都需要每个网络用户自觉维护，才能实现。本文根据网络安全要求及其特征，对目前网络安全做了体现架构分析。根据用户群体的不同将网络划分为五个层次，分别为应用和保密基础层、应用群体、用户群体、系统群体以及网络群体。目前，本文所提的五层网络安全体系在全球范围内已经得到了公认，并且也已经成功应用在网络安全产品之中，五层网络安全体系主要涵盖五层，下面针对每层的安全性问题做简要分析。

1.1.1网络层的安全性

网络信息和传输是否能得到控制是网络层安全性的核心问题，网络用户通过固定的IP地址进入网络系统，而网络则对此IP地址传输的数据进行检查，查看信息内容是否安全，安全则允许传输，否则屏蔽。目前网络安全性提高方法主要由两种：防火墙产品和VPN（虚拟专用网）。

1.1.2系统的安全性

网络系统中的安全性主要包括两个方面：第一是非法黑客对网络系统的入侵和破坏；第二是传统病毒对网络系统的入侵和破坏。病毒是一种可复制性、具有攻击型可执行文件，这些病毒的源头是非法程序员通过网络散布的、破坏正常文件的可执行文件；黑客是通过非法渠道进入网络系统窃取他人资料；这两种方式都是破坏系统安全性的渠道。

1.1.3用户操作安全性

目前，网络数据主要分为两种，一种是静态数据；一种是动态数据；而用户都是通过静态数据进行校验，登录系统，但往往由于用户操作失误或遗失账号密码，导致系统出现漏洞，给非法用户提供了侵入系统接口。

1.1.4应用程序的安全性

应用程序安全性主要涉及两个方面的问题：一是应用程序对数据的合法权限；二是应用程序对用户的合法权限。即合法用户通过应用程序操作合法数据。

1.1.5数据的安全性

数据作为整个架构层次的核心部分，其保存前、中和后都需要进行加密，充分保证数据的安全性，即使在数据被窃后。通过数据加密等措施，即使数据丢失，也可以让非法入侵者得到的是加密文件，无法了解其信息内容。上述的五层安全体系并非孤立分散。他们是有机的结合体，通过互相的数据共享和联通，形成整个网络体系架构，以上便是本文所设计及介绍的五层网络安全体系。

1.2安全技术分析

从上个世纪网络盛行时，网络安全就被世人所关注，针对网络漏洞和病毒，科学家和研究者制定出各种协议和规则，甚至研究出各种网络安全技术，下面就几种成熟的网络安全技术进行分别介绍。

（1）防火墙技术。

防火墙作为一种网络数据核查软件，很好的杜绝了网络用户通过非法渠道获取其他网络用户信息，它通过分包和IP地址并行校验机制，对外来数据进行一一检查，此种技术很好的保障了内部数据的安全性。目前，防火墙技术主要是分组过滤和服务两种类型，它们的主要宗旨是保护外来非法数据对本地数据的入侵和破坏，防火墙技术是一种真正保证本地数据的有效工具，它通过固定的网络协议对往来电子邮件进行过滤，使进出数据都得到了很好的检验。

（2）应用网关。

应用网关主要是针对网络数据传输过程中的数据包进行过滤，一般与防火墙技术组合使用，防火墙将数据包送至应用网关，应用网关可以被用来处理电子邮件，远程登录，及文件传输。

（3）虚拟私人网络。

虚拟网络主要是为一些用户专门访问而成立的技术，因此可以在Internet上建立自己的虚拟私人网络是一个安全的策略。通过路由器，虚拟链接就形成了。这样就可以由用户建立一个专内网络，进行数据交换，形成内部网络。由此可见，通过这种手段来保护数据的安全。

（4）数据加密技术。

为防止数据被外部非法用户所窃取的另外一个重要技术就是数据加密技术，它也是目前最为常用，而且安全性和可靠性非常高，数据加密技术主要包括密钥机制、数据传输、存储和完整性等。数据传输加密技术。数据存储加密技术。数据完整性鉴别技术。密钥管理技术。

（5）智能卡技术。

智能卡技术主要是对存储数据的磁盘进行管理，在存储空间设置授权机制，非授权数据和非授权的操作用户都将无法与智能卡进行交互，这种方式充分保障了智能卡总的数据安全性，适合独立和重要数据保护应用技术之一。

2．数据加密

2.1数据加密技术

加密技术是保证某些信息只有目标接收人才能读懂其含义的一种方法。所有的加密技术都要使用算法，算法是一种复杂的数字规则，被设计用来搅乱信息，以防止第三者对信息的截获。密码体制技术是研究通信安全保密的学科，它由密码编码学和密码分析学两部分组成。密码编码学是研究对信息进行变换，以保护信息在传送过程中不被第三方窃取、解读和利用的方法，它涉及对数据的保护、控制和标识。密码分析学研究如何分析和破译密码，二者既相互对立，又相互促进。加密算法的抗攻击能力可用加密强度来衡量，加密强度由三个因素组成：算法强度、密钥的保密性、密钥长度。加密技术是信息安全系统中常用的一种数据保护工具，而这种加密技术可用在交易过程中使用，加密体制无外乎分为两种，一种是对称加密，另一种是非对称加密体制。除了这两种加密体制外，还包括了哈希技术和数字签名技术。这些加密技术都在五层体系架构中发挥着重要的作用。

（1）对称加密/对称密钥加密/专用密钥加密体制。

如果使用对称加密方式，相同的密钥被使用在信息加密和解密的过程中，加密算法可以通过使用对称加密方法将其简化，每个贸易方都采用相同的加密算法并只交换共享的专用密钥，而不必彼此研究和交换专用的加密算法。

（2）非对称加密/公开密钥加密。

非对称加密和公开密钥加密同属一个意思。即在这种加密体制中，密钥被分解为一个加密密钥和一个专用的解密密钥。非对称加密算法中最著名的就是RSA算法，它的优点是加密复杂度高，不易破解，但他的缺点是运行速度慢。因此在实际加密过程中基本不采用此种加密算法。对应加密量大的应用，公开密钥加密算法通常用于对称加密方法密钥的加密。

2.2密钥安全分析

密钥是数据加密技术中的核心算法点，本文所讨论的五层架构体系中所有的数据传输和存储及访问，都基于数据加密技术的支持，随着技术的发展，加密技术不断完善，但完成安全的数据通讯，仅仅有加密和解密算法还是不够的，还需要有安全的密钥分配协议的支持。在网络数据传输过程中，采用公钥密码系统有较好的安全性，但加密解密的速度慢，而私钥虽然速度快，但不安全，因此密钥分配协议（简称KDP）是一种增强加密和解密的安全性。目前，世界存在的密钥分配协议有两种，一种是基于单一网络的密钥分配协议；一种是基于网络时钟同步的网络密钥分配协议；还有一种是基于层次的KDP。但这三种协议由于种种原因（必要前提、不可修补等）而不能长时间应用与数据加密技术中。

2.3可修补密钥分配协议

本文基于数据加密技术和网络安全的五层体系架构考虑，设计一种可替补的密钥分配协议方法，通过此协议，增加数据加密密钥的合理性和减小密钥丢失的风险性，提高网络安全性能。所谓密钥可修补分配协议的重点在于当一个密钥由于病毒、黑客或用户误操作而导致的系统漏洞，因此系统就出现各种被恶意破坏的可能存在，目前部分密钥分配协议中采用新密钥代替被泄露的密钥，但也无法保证没有了安全漏洞。而本文所设计的密钥分配协议不仅能取代泄露的密钥，而且可使系统恢复至初始，此种协议被称为可替补协议。

3．总结

第12篇

关键词：网络安全防火墙加密技术PKI技术

随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。

计算机网络安全从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等,以下就此几项技术分别进行分析。

一、防火墙技术

防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。

二、数据加密技术

与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。

1.对称加密技术

对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。

2.非对称加密/公开密钥加密

在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。

三、PKI技术

PKI(PublieKeyInfrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。

1.认证机构

CA(CertificationAuthorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。

2.注册机构

RA(RegistrationAuthorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。

3.密钥备份和恢复

为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

4.证书管理与撤消系统

证书是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,这就需要进行证书撤消。证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。

四、结束语

网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。

参考文献:

第13篇

关键词网络安全系统安全网络运行安全内部网络安全防火墙

随着网络技术的不断发展和Internet的日益普及，许多学校都建立了校园网络并投入使用，这无疑对加快信息处理，提高工作效率，减轻劳动强度，实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题，登陆了一些非法网站和使用了带病毒的软件，导致了校园计算机系统的崩溃，给计算机教师带来了大量的工作负担，也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时，教师和学生都应加强对校园网络的安全重视。正如人们经常所说的：网络的生命在于其安全性。因此，如何在现有的条件下，如何搞好网络的安全，就成了校园网络管理人员的一个重要课题。

作为一位中学电脑教师兼负着校园网络的维护和管理，我们一起来探讨一下校园网络安全技术。

网络安全主要是网络信息系统的安全性，包括系统安全、网络运行安全和内部网络安全。

一、系统安全

系统安全包括主机和服务器的运行安全，主要措施有反病毒。入侵检测、审计分析等技术。

1、反病毒技术：计算机病毒是引起计算机故障、破坏计算机数据的程序，它能够传染其它程序，并进行自我复制，特别是要网络环境下，计算机病毒有着不可估量的威胁性和破坏力，因此对计算机病毒的防范是校园网络安全建设的一个重要环节，具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测，或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控，效果不错。

2、入侵检测：入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，以提高系统管理员的安全管理能力，及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件，主要功能有：检测并分析用户和系统的活动；检查系统的配置和操作系统的日志；发现漏洞、统计分析异常行为等等。

从目前来看系统漏洞的存在成为网络安全的首要问题，发现并及时修补漏洞是每个网络管理人员主要任务。当然，从系统中找到发现漏洞不是我们一般网络管理人员所能做的，但是及早地发现有报告的漏洞，并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法，就是经常登录各有关网络安全网站，对于我们有使用的软件和服务，应该密切关注其程序的最新版本和安全信息，一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够，以至于过了几年，还能扫描到机器存在许多漏洞。在校园网中服务器，为用户提供着各种的服务，但是服务提供的越多，系统就存在更多的漏洞，也就有更多的危险。因此从安全角度考虑，应将不必要的服务关闭，只向公众提供了他们所需的基本的服务。最典型的是，我们在校园网服务器中对公众通常只提供WEB服务功能，而没有必要向公众提供FTP功能，这样，在服务器的服务配置中，我们只开放WEB服务，而将FTP服务禁止。如果要开放FTP功能，就一定只能向可能信赖的用户开放，因为通过FTP用户可以上传文件内容，如果用户目录又给了可执行权限，那么，通过运行上传某些程序，就可能使服务器受到攻击。所以，信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。

3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集、积聚和分析，有选择性地对其中的某些站点或用户进行审计跟踪，可以及早发现可能产生的破坏。因此，除使用一般的网管软件系统监控管理系统外，还应使用目前已较为成熟的网络监控设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。二、网络运行安全

网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外，还要有备份与恢复等应急措施来保证网络受到攻击后，能尽快地全盘恢复运行计算机系统所需的数据。

一般数据备份操作有三种。一是全盘备份，即将所有文件写入备份介质；二是增量备份，只备份那些上次备份之后更改过的文件，这种备份是最有效的备份方法；三是差分备份，备份上次全盘备份之后更改过的所有文件。

根据备份的存储媒介不同，有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中，只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放，具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装。其特点是便于保管，用以弥补了热备份的一些不足。进行备份的过程中，常使用备份软件，如GHOST等。

三、内部网络安全

为了保证局域网安全，内网和外网最好进行访问隔离，常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测，以增强机构内部网的安全性。

1、访问控制：在内外网隔离及访问系统中，采用防火墙技术是目前保护内部网安全的最主要的，同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。其基本功能有：过滤进、出的数据；管理进、出网络的访问行为；封堵某些禁止的业务等。应该强调的是，防火墙是整体安全防护体系的一个重要组成部分，而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中，才能实现真正的安全。

另外，防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段，防止一个网段的问题穿过整个网络传播。针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

2、网络安全检测：保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析，用实践性的方法扫描分析网络系统，检查报告系存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。

以上只是对防范外部入侵，维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施，健康正常的校园网络需要广大师生共同来维护。

参考文献

1.局域网组建与维护DIY.人民邮电出版社,2003.05

第14篇

2通信网络安全的定义及其重要性

可以从不同角度对网络安全作出不同的解释。一般意义上，网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”；控制安全则指身份认证、不可否认性、授权和访问控制。

当今社会，通信网络的普及和演进让人们改变了信息沟通的方式，通信网络作为信息传递的一种主要载体，在推进信息化的过程中与多种社会经济生活有着十分紧密的关联。这种关联一方面带来了巨大的社会价值和经济价值，另一方面也意味着巨大的潜在危险--一旦通信网络出现安全事故，就有可能使成千上万人之间的沟通出现障碍，带来社会价值和经济价值的无法预料的损失。

3通信网络安全现状

互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题。

计算机系统及网络固有的开放性、易损性等特点使其受攻击不可避免。

计算机病毒的层出不穷及其大范围的恶意传播，对当今日愈发展的社会网络通信安全产生威胁。

现在企业单位各部门信息传输的的物理媒介，大部分是依靠普通通信线路来完成的，虽然也有一定的防护措施和技术，但还是容易被窃取。

通信系统大量使用的是商用软件，由于商用软件的源代码，源程序完全或部分公开化，使得这些软件存在安全问题。

4通信网络安全分析

针对计算机系统及网络固有的开放性等特点，加强网络管理人员的安全观念和技术水平，将固有条件下存在的安全隐患降到最低。安全意识不强，操作技术不熟练，违反安全保密规定和操作规程，如果明密界限不清，密件明发，长期重复使用一种密钥，将导致密码被破译，如果下发口令及密码后没有及时收回，致使在口令和密码到期后仍能通过其进入网络系统，将造成系统管理的混乱和漏洞。为防止以上所列情况的发生，在网络管理和使用中，要大力加强管理人员的安全保密意识。

软硬件设施存在安全隐患。为了方便管理，部分软硬件系统在设计时留有远程终端的登录控制通道，同时在软件设计时不可避免的也存在着许多不完善的或是未发现的漏洞(bug)，加上商用软件源程序完全或部分公开化，使得在使用通信网络的过程中，如果没有必要的安全等级鉴别和防护措施，攻击者可以利用上述软硬件的漏洞直接侵入网络系统，破坏或窃取通信信息。

传输信道上的安全隐患。如果传输信道没有相应的电磁屏蔽措施，那么在信息传输过程中将会向外产生电磁辐射，从而使得某些不法分子可以利用专门设备接收窃取机密信息。

另外，在通信网建设和管理上，目前还普遍存在着计划性差。审批不严格，标准不统一，建设质量低，维护管理差，网络效率不高，人为因素干扰等问题。因此，网络安全性应引起我们的高度重视。

5通信网络安全维护措施及技术

当前通信网络功能越来越强大，在日常生活中占据了越来越重要的地位，我们必须采用有效的措施，把网络风险降到最低限度。于是，保护通信网络中的硬件、软件及其数据不受偶然或恶意原因而遭到破坏、更改、泄露，保障系统连续可靠地运行，网络服务不中断，就成为通信网络安全的主要内容。

为了实现对非法入侵的监测、防伪、审查和追踪，从通信线路的建立到进行信息传输我们可以运用到以下防卫措施：“身份鉴别”可以通过用户口令和密码等鉴别方式达到网络系统权限分级，权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽，从而达到网络分级机制的效果;“网络授权”通过向终端发放访问许可证书防止非授权用户访问网络和网络资源;“数据保护”利用数据加密后的数据包发送与访问的指向性，即便被截获也会由于在不同协议层中加入了不同的加密机制，将密码变得几乎不可破解;“收发确认”用发送确认信息的方式表示对发送数据和收方接收数据的承认，以避免不承认发送过的数据和不承认接受过数据等而引起的争执;“保证数据的完整性”，一般是通过数据检查核对的方式达成的，数据检查核对方式通常有两种，一种是边发送接收边核对检查，一种是接收完后进行核对检查;“业务流分析保护”阻止垃圾信息大量出现造成的拥塞，同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。

为了实现实现上述的种种安全措施，必须有技术做保证，采用多种安全技术，构筑防御系统，主要有：

防火墙技术。在网络的对外接口采用防火墙技术，在网络层进行访问控制。通过鉴别，限制，更改跨越防火墙的数据流，来实现对网络的安全保护，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制，防止Internet上的不安全因素蔓延到局域网内部，所以，防火墙是网络安全的重要一环。

入侵检测技术。防火墙保护内部网络不受外部网络的攻击，但它对内部网络的一些非法活动的监控不够完善，IDS（入侵检测系统）是防火墙的合理补充，它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，提高了信息安全性。

网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取，是网络安全的核心。采用网络加密技术，对公网中传输的IP包进行加密和封装实现数据传输的保密性、完整性，它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。

身份认证技术。提供基于身份的认证，在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。

虚拟专用网(VPN)技术。通过一个公用网(一般是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的机器都处于一个网络之中。

漏洞扫描技术。面对网络的复杂性和不断变化的情况，仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不够的，我们必须通过网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。

第15篇

关键词：校园网；网络安全；防范措施；防火墙；VLAN技术

校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件，将校园内计算机和各种终端设备有机地集成在一起，用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护，不因偶然和恶意等因素而遭到破坏、更改、泄密，保障校园网的正常运行。随着“校校通”工程的深入实施，学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患，建立一套切实可行的校园网络防范措施，已成为校园网络建设中面临和亟待解决的重要问题。

一、校园网络安全现状分析

（一）网络安全设施配备不够

学校在建立自己的内网时，由于意识薄弱与经费投入不足等方面的原因，比如将原有的单机互联，使用原有的网络设施；校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断；机房设计不合理，温度、湿度不适应以及无抗静电、抗磁干扰等设施；网络安全方面的投入严重不足，没有系统的网络安全设施配备等等；以上情况都使得校园网络基本处在一个开放的状态，没有有效的安全预警手段和防范措施。

（二）学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善

学校师生对网络安全知识甚少，安全意识淡薄，U盘、移动硬盘、手机等存贮介质随意使用；学校网络管理人员缺乏必要的专业知识，不能安全地配置和管理网络；学校机房的登记管理制度不健全，允许不应进入的人进入机房；学校师生上网身份无法唯一识别，不能有效的规范和约束师生的非法访问行为；缺乏统一的网络出口、网络管理软件和网络监控、日志系统，使学校的网络管理混乱；缺乏校园师生上网的有效监控和日志；计算机安装还原卡或使用还原软件，关机后启动即恢复到初始状态，这些导致校园网形成很大的安全漏洞。

（三）学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”

大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品，加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作，在网络上运行时，这些网络系统和接口都相应增加网络的不安全因素。

（四）计算机病毒、网络病毒泛滥，造成网络性能急剧下降，重要数据丢失

网络病毒是指病毒突破网络的安全性，传播到网络服务器，进而在整个网络上感染，危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况，遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用，使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序，它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的，一旦学校网络中的一台电脑感染上病毒，就很可能在短短几分钟中内使病毒蔓延到整个校园网络，只要网络中有几台电脑中毒，就会堵塞出口，导致网络的“拒绝服务”，严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论，列出了下个世纪的国际恐怖活动将采用五种新式武器和手段，计算机病毒名列第二，这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出，网络病毒的防范任务越来越严峻。

综上所述，学校校园网络的安全形势非常严峻，在这种情况下，学校如何能够保证网络的安全运行，同时又能提供丰富的网络资源，保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题，文章提出以下校园网络安全防范措施。

二、校园网络的主要防范措施

（一）服务器

学校在建校园网络之时配置一台服务器，它是校园网和互联网之间的中介，在服务器上执行服务的软件应用程序，对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器，服务器会检查用户的访问请求是否符合规定，才会到被用户访问的站点取回所需信息再转发给用户。这样，既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息，整个校园网络只有服务器是可见的，从而大大增强了校园网络的安全性。

（二）防火墙

防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品，是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合，通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理，在网络间建立一个安全网关，对网络数据进行过滤（允许/拒绝），控制数据包的进出，封堵某些禁止行为，提供网络使用状况（网络数据的实时/事后分析及处理，网络数据流动情况的监控分析，通过日志分析，获取时间、地址、协议和流量，网络是否受到监视和攻击），对网络攻击行为进行检测和告警等等，最大限度地防止恶意或非法访问存取，有效的阻止破坏者对计算机系统的破坏，可以最大限度地保证校园网应用服务系统的安全工作。

（三）防治网络病毒

校园网络的安全必须在整个校园网络内形成完整的病毒防御体系，建立一整套网络软件及硬件的维护制度，定期对各工作站进行维护，对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作，学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段，在服务器和各办公室、工作站上安装瑞星杀毒软件网络版，对病毒进行定时的扫描检测及漏洞修复，定时升级文件并查毒杀毒，使整个校园网络有防病毒能力。

（四）口令加密和访问控制

校园网络管理员通过对校园师生用户设置用户名和口令加密验证，加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护，赋予用户一定的访问存取权限、口令字等安全保密措施，用户只能在其权限内进行操作，合理设置网络共享文件，对各工作站的网络软件文件属性可采取隐含、只读等加密措施，建立严格的网络安全日志和审查系统，建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等，定时对其进行审查分析，及时发现和解决网络中发生的安全事故，有效地保护网络安全。

（五）VLAN(虚拟局域网)技术

VLAN(虚拟局域网)技术，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中，将校园网络划分成几个子网。将用户限制在其所在的VLAN里，防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接，网络管理员借助VLAN技术管理整个网络，通过设置命令，对每个子网进行单独管理，根据特定需要隔离故障，阻止非法用户非法访问，防止网络病毒、木马程序，从而在整个网络环境下，计算机能安全运行。

（六）系统备份和数据备份

虽然有各种防范手段，但仍会有突发事件给网络系统带来不可预知的灾难，对网络系统软件应该有专人管理，定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作，并建立网络资源表和网络设备档案，对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。

（七）入侵检测系统（IntrusionDetectionSystem，IDS）

IDS是一种网络安全系统，是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时，IDS能检测和发现入侵行为并报警，通知网络采取措施响应。即使被入侵攻击，IDS收集入侵攻击的相关信息，记录事件，自动阻断通信连接，重置路由器、防火墙，同时及时发现并提出解决方案，列出可参考的网络和系统中易被黑客利用的薄弱环节，增强系统的防范能力，避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，大大提高了网络的安全性。

（八）增强网络安全意识、健全学校统一规范管理制度

根据学校实际情况，对师生进行网络安全防范意识教育，使他们具备基本的网络安全知识。制定相关的网络安全管理制度（网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等）。安排专人负责校园网络的安全保护管理工作，对学校专业技术人员定期进行安全教育和培训，提高工作人员的网络安全的警惕性和自觉性，并安排专业技术人员定期对校园网进行维护。

三、结论

校园网的安全问题是一个较为复杂的系统工程，长期以来，从病毒、黑客与防范措施的发展来看，总是“道高一尺，魔高一丈”，没有绝对安全的网络系统，只有通过综合运用多项措施，加强管理，建立一套真正适合校园网络的安全体系，提高校园网络的安全防范能力。

参考文献：

1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.

2、张公忠.现代网络技术教程[M].清华大学出版社,2004.

3、刘清山.网络安全措施[M].电子工业出版社,2000.

4、谢希仁.计算机网络[M].大连理工大学出版社,2000.

5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).

6、李卫.计算机网络安全与管理[M].清华大学出版社,2004.