网络安全建设意义范文

前言：我们精心挑选了数篇优质网络安全建设意义文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

论文摘要：随着计算机技术和通信技术的发展，计算机网络正变得日益重要，已经渗透到各行业的生产管理、经营管理等各个领域。因此，认清网络的脆弱性和存在的潜在威胁，并采取强有力的防范措施，对于保障计算机网络的安全、可靠、正常运行具有十分重要的意义。本文分析了对网络安全建设造成威胁的诸多原因，并在技术及管理方面提出了相应的防范对策。

随着计算机网络的不断发展，信息全球化已成为人类发展的现实。但由于计算机网络具有多样性、开放性、互连性等特点，致使网络易受攻击。具体的攻击是多方面的，有来自黑客的攻击，也有其他诸如计算机病毒等形式的攻击。因此，网络的安全措施就显得尤为重要，只有针对各种不同的威胁或攻击采取必要的措施，才能确保网络信息的保密性、安全性和可靠性。

1威胁计算机网络安全的因素

计算机网络安全所面临的威胁是多方面的，一般认为，目前网络存在的威胁主要表现在：

1.1非授权访问

没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

1.2信息泄漏或丢失

指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括：信息在传输中丢失或泄漏(如"黑客"利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、账号等重要信息)、信息在存储介质中丢失或泄漏、通过建立隐蔽隧道等窃取敏感信息等。

1.3破坏数据完整性

以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加、修改数据，以干扰用户的正常使用。

1.4拒绝服务攻击

它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

1.5利用网络传播病毒

通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

2网络安全建设方法与技术

网络具有访问方式多样、用户群庞大、网络行为突发性较高的特点。网络安全问题要从网络规划阶段制定各种策略，并在实际运行中加强管理。为保障网络系统的正常运行和网络信息的安全，需要从多个方面采取对策。攻击随时可能发生，系统随时可能被攻破，对网络的安全采取防范措施是很有必要的。常用的防范措施有以下几种。

2.1计算机病毒防治

大多数计算机都装有杀毒软件，如果该软件被及时更新并正确维护，它就可以抵御大多数病毒攻击。定期地升级软件是很重要的。在病毒入侵系统时，对于病毒库中已知的病毒或可疑程序、可疑代码，杀毒软件可以及时地发现，并向系统发出警报，准确地查找出病毒的来源。大多数病毒能够被清除或隔离。再有，对于不明来历的软件、程序及陌生邮件，不要轻易打开或执行。感染病毒后要及时修补系统漏洞，并进行病毒检测和清除。

2.2防火墙技术

防火墙是控制两个网络间互相访问的一个系统。它通过软件和硬件相结合，能在内部网络与外部网络之间构造起一个"保护层"，网络内外的所有通信都必须经过此保护层进行检查与连接，只有授权允许的通信才能获准通过保护层。防火墙可以阻止外界对内部网络资源的非法访问，也可以控制内部对外部特殊站点的访问，提供监视Internet安全和预警的方便端点。当然，防火墙并不是万能的，即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。根据需要合理的配置防火墙，尽量少开端口，采用过滤严格的WEB程序以及加密的HTTP协议，管理好内部网络用户，经常升级，这样可以更好地利用防火墙保护网络的安全。

2.3入侵检测

攻击者进行网络攻击和入侵的原因，在于计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置，比如操作系统、网络服务、TCP／IP协议、应用程序、网络设备等几个方面。如果网络系统缺少预警防护机制，那么即使攻击者已经侵入到内部网络，侵入到关键的主机，并从事非法的操作，我们的网管人员也很难察觉到。这样，攻击者就有足够的时间来做他们想做的任何事情。

基于网络的IDS，即入侵检测系统，可以提供全天候的网络监控，帮助网络系统快速发现网络攻击事件，提高信息安全基础结构的完整性。IDS可以分析网络中的分组数据流，当检测到未经授权的活动时，IDS可以向管理控制台发送警告，其中含有详细的活动信息，还可以要求其他系统(例如路由器)中断未经授权的进程。IDS被认为是防火墙之后的第二道安全闸门，它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。

2.4安全漏洞扫描技术

安全漏洞扫描技术可以自动检测远程或本地主机安全性上的弱点，让网络管理人员能在入侵者发现安全漏洞之前，找到并修补这些安全漏洞。安全漏洞扫描软件有主机漏洞扫描，网络漏洞扫描，以及专门针对数据库作安全漏洞检查的扫描器。各类安全漏洞扫描器都要注意安全资料库的更新，操作系统的漏洞随时都在，只有及时更新才能完全的扫描出系统的漏洞，阻止黑客的入侵。

2.5数据加密技术

数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文，然后再进行信息的存储或传输，即使加密信息在存储或者传输过程为非授权人员所获得，也可以保证这些信息不为其认知，从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。

2.6安全隔离技术

面对新型网络攻击手段的不断出现和高安全网络的特殊需求，全新安全防护理念"安全隔离技术"应运而生。它的目标是，在确保把有害攻击隔离在可信网络之外，并保证可信网络内部信息不外泄的前提下，完成网络间信息的安全交换。隔离概念的出现是为了保护高安全度网络环境。

2.7黑客诱骗技术

黑客诱骗技术是近期发展起来的一种网络安全技术，通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐(Honeypot)系统，其最重要的功能是特殊设置的对于系统中所有操作的监视和记录，网络安全专家通过精心的伪装使得黑客在进入到目标系统后，仍不知晓自己所有的行为已处于系统的监视之中。为了吸引黑客，网络安全专家通常还在蜜罐系统上故意留下一些安全后门来吸引黑客上钩，或者放置一些网络攻击者希望得到的敏感信息，当然这些信息都是虚假信息。这样，当黑客正为攻入目标系统而沾沾自喜的时候，他在目标系统中的所有行为，包括输入的字符、执行的操作都已经为蜜罐系统所记录。有些蜜罐系统甚至可以对黑客网上聊天的内容进行记录。蜜罐系统管理人员通过研究和分析这些记录，可以知道黑客采用的攻击工具、攻击手段、攻击目的和攻击水平，通过分析黑客的网上聊天内容还可以获得黑客的活动范围以及下一步的攻击目标，根据这些信息，管理人员可以提前对系统进行保护。同时在蜜罐系统中记录下的信息还可以作为对黑客进行起诉的证据。

2.8网络安全管理防范措施

对于安全领域存在的问题，应采取多种技术手段和措施进行防范。在多种技术手段并用的同时，管理工作同样不容忽视。规划网络的安全策略、确定网络安全工作的目标和对象、控制用户的访问权限、制定书面或口头规定、落实网络管理人员的职责、加强网络的安全管理、制定有关规章制度等等，对于确保网络的安全、可靠运行将起到十分有效的作用。网络安全管理策略包括：确定安全管理等级和安全管理范围；指定有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。

参考文献

[1]张琳，黄仙姣．浅谈网络安全技术[J]．电脑知识与技术，2006(11)

[2]卢云燕．网络安全及其防范措施[J]，科技情报开发与经济，2006(10)

第2篇

主要功能模块划分

对于文中平台主要功能的实现，则主要通过业务逻辑层来完成，概括起来主要包含四个方面的功能。

1设备管理

对于设备管理模块来说，可以作为其他功能模块的基础，是其他模块有机结合的基础模块，主要包括几个子功能：(1)设备信息管理；(2)设备状态监控；(3)设备拓扑管理等。这些子功能的实现，可以在网络拓扑和手动的基础上，通过统一通信接口来对设备的状态和性能进行实施的监控和管理，必要的情况下，还可以通过图形化的方式来表示，方便平台和系统管理员对设备运行状态的及时掌握和定位，减轻管理员的工作量。

2事件分析

作为安全设备管理平台的核心模块，安全事件分析模块的目的就是对大量的网络事件进行分析和处理、筛选，减轻管理员的工作压力，所以，该功能模块的主要子功能有安全时间分类统计、关联分析和处理等。同样，该功能模块也能够通过统一通信接口来对各个安全设备所生成的时间报告进行收集、统计，在统计分析的过程中，可以根据不同的标准进行分类，如时间、事件源、事件目的和事件类型等，通过科学统计和分析，还可以利用图表的方式进行结果显示，从而实现对安全事件内容关系及其危害程度进行准确分析的目的，并从海量的安全事件中挑选出危险程度最高的事件供管理员参考。

3策略管理

安全设备管理平台中的策略管理模块包含多个功能，即策略信息管理、冲突检测和策略决策等功能。通过对各类安全设备的策略进行标准化定义的基础上，就可以统一对设备的策略定义进行管理和修改，对当前所采用的策略进行网络安全事件冲突检测，及时发现可能存在的网络设置冲突和异常，确保网络策略配置的正确性和合理性。通过对网络环境中安全事件的深入分析，在跟当前所采用安全策略相比较的基础上，就能够为设备的安全设置提供合理化建议，从而实现对网络安全设备设置的决策辅助和支持。

4级别评估

最后一个功能模块就是安全级别评估模块，该模块的主要任务就是对网络商业设备安全制度的收集汇总、实施情况的总结和级别的评估等。该模块通过对网络安全事件的深入分析，在结合安全策略设置的基础上，实现对网络安全水平的准确评估，从而为网络安全管理的实施和水平的提高提供有价值的数据参考。

平台中的通信方法

要实现网络中异构安全设备的统一管理，就需要通过统一的通信接口来实现，该接口的主要功能就是通过对网络中异构设备运行状态、安全事件等信息的定时获取，从技术的角度解决异构设备所造成的安全信息格式不兼容和通信接口多样的问题，实现网络安全信息的标准化和格式的标准化。

1资源信息标准化

在网络安全管理中，所涉及到的安全资源信息主要包括安全设备的运行状态、设备配置策略信息和安全事件信息等。其中，安全设备的运行状态信息主要通过数据交换层中的通信程序通过跟安全设备的定时通信来得到，可以通过图表的方式进行可视化。这些资源信息主要采用RRD文件的方式进行存储，但是采用数据库存储的则比较少，这主要是由于：(1)RRD文件适合某个时间点具有特定值且具有循环特性的数据存储；(2)如果对多台安全设备的运行状态进行监控的情况下，就应该建立跟数据库的多个连接，给后台数据库的通信造成影响。对于上面提到的安全设备的运行状态信息和安全事件信息，通过对各种安全设备信息表述格式的充分考虑，本文中所设计平台决定采用XML语言来对设备和平台之间的差异性进行描述，不仅实现了相应的功能，还能够为平台提供调用转换。而对于安全策略类的信息，则是先通过管理员以手动的方式将安全策略添加到平台，然后再在平台中进行修改，之后就可以在通过平台的检测冲突，由平台自动生成设备需要的策略信息，然后再通过管理员对策略进行手动的修改。

2格式标准化

对于安全事件和策略的格式标准化问题，可以通过格式的差异描述文件来实现彼此之间的转换，这里提到的差异描述文件则采用XML格式来表述，而格式的自动转换则通过JavaBean的内置缺省功能来实现。

3通信处理机制

对于通信接口而言，由不同厂家所提供的同类型设备之间的差异也比较大。所以，对于设备的运行状态信息，主要采用两种途径来获取：(1)通过标准的SNMP、WMI方式获得；(2)通过专用的Socket接口调用特定函数来获得。而对于网络运行中的安全事件，其获得途径也有两种：(1)通过专用Socket接口来获得；(2)将安全事件通过推送的方式发送到指定的安全管理设备。通过综合分析，本文平台主要采用独立的通信程序和集中设置调用的方法来获得安全资源信息，这样就可（1）以实现对安全设备管理的最有效支持。本文所采用方式的实现机制为：平台通过标准接口获取网络的安全资源信息，再通过通信程序的调用设置功能，对程序调用的时间间隔及其语法规范进行定义。

第3篇

一、 基本网络的搭建。

由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:

1. 网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。

2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。

二、网络安全设计。

1.物理安全设计 为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网 、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。

2.网络共享资源和数据信息安全设计 针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。

但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。

3.计算机病毒、黑客以及电子邮件应用风险防控设计 我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。

为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。

第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。