第一篇：論文范例：計算機網絡信息安全及對策

摘要：眾所周知，作為全球使用范圍最大的信息網，Internet自身協議的開放性極大地方便了各種聯網的計算機，拓寬了共享資源。但是，由于在早期網絡協議設計上對安全問題的忽視，以及在管理和使用上的無政府狀態，逐漸使Internet自身安全受到嚴重威脅，與它有關的安全事故屢有發生。對網絡信息安全的威脅主要表現在：非授權訪問，冒充合法用戶，破壞數據完整性，干擾系統正常運行，利用網絡傳播病毒，線路竊聽等方面。

本文主要介紹了有關網絡信息安全的基礎知識：網絡信息安全的脆弱性體現、網絡信息安全的關鍵技術、常見攻擊方法及對策、安全網絡的建設。并提出和具體闡述自己針對這些問題的對策。隨著網絡技術的不斷發展，網絡信息安全問題終究會得到解決。

關鍵詞：網絡信息安全 防火墻 數據加密 內部網

隨著計算機技術的飛速發展，信息網絡已經成為社會發展的重要保證。信息網絡涉及到國家的政府、軍事、文教等諸多領域，存儲、傳輸和處理的許多信息是政府宏觀調控決策、商業經濟信息、銀行資金轉賬、股票證券、能源資源數據、科研數據等重要的信息。其中有很多是敏感信息，甚至是國家機密，所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等）。通常利用計算機犯罪很難留下犯罪證據，這也大大刺激了計算機高技術犯罪案件的發生。計算機犯罪率的迅速增加，使各國的計算機系統特別是網絡系統面臨著很大的威脅，并成為嚴重的社會問題之一。

網絡信息安全是一個關系國家安全和主權、社會穩定、民族文化繼承和發揚的重要問題。其重要性，正隨著全球信息化步伐的加快越來越重要。網絡信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。它主要是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。

本文從網絡信息安全的脆弱性、網絡安全的主要技術、常見網絡攻擊方法及對策、網絡安全建設等方面剖析了當前網絡信息安全存在的主要問題，并對常見網絡攻擊從技術層面提出了解決方案，希望通過網絡安全建設逐步消除網絡信息安全的隱患。

一、網絡信息安全的脆弱性

因特網已遍及世界180多個國家，為億萬用戶提供了多樣化的網絡與信息服務。在因特網上，除了原來的電子郵件、新聞論壇等文本信息的交流與傳播之外，網絡電話、網絡傳真、靜態及視頻等通信技術都在不斷地發展與完善。在信息化社會中，網絡信息系統將在政治、軍事、金融、商業、交通、電信、文教等方面發揮越來越大的作用。社會對網絡信息系統的依賴也日益增強。各種各樣完備的網絡信息系統，使得秘密信息和財富高度集中于計算機中。另一方面，這些網絡信息系統都依靠計算機網絡接收和處理信息，實現相互間的聯系和對目標的管理、控制。以網絡方式獲得信息和交流信息已成為現代信息社會的一個重要特征。網絡正在逐步改變人們的工作方式和生活方式，成為當今社會發展的一個主題。

然而，伴隨著信息產業發展而產生的互聯網和網絡信息的安全問題，也已成為各國政府有關部門、各大行業和企事業領導人關注的熱點問題。目前，全世界每年由于信息系統的脆弱性而導致的經濟損失逐年上升，安全問題日益嚴重。面對這種現實，各國政府有關部門和企業不得不重視網絡安全的問題。

互聯網安全問題為什么這么嚴重？這些安全問題是怎么產生的呢？綜合技術和管理等多方面因素，我們可以歸納為四個方面：互聯網的開放性、自身的脆弱性、攻擊的普遍性、管理的困難性。

（一）互聯網是一個開放的網絡，TCP/IP是通用的協議

各種硬件和軟件平臺的計算機系統可以通過各種媒體接入進來，如果不加限制，世界各地均可以訪問。于是各種安全威脅可以不受地理限制、不受平臺約束，迅速通過互聯網影響到世界的每一個角落。

（二）互聯網的自身的安全缺陷是導致互聯網脆弱性的根本原因

互聯網的脆弱性體現在設計、實現、維護的各個環節。設計階段，由于最初的互聯網只是用于少數可信的用戶群體，因此設計時沒有充分考慮安全威脅，互聯網和所連接的計算機系統在實現階段也留下了大量的安全漏洞。一般認為，軟件中的錯誤數量和軟件的規模成正比，由于網絡和相關軟件越來越復雜，其中所包含的安全漏洞也越來越多。互聯網和軟件系統維護階段的安全漏洞也是安全攻擊的重要目標。盡管系統提供了某些安全機制，但是由于管理員或者用戶的技術水平限制、維護管理工作量大等因素，這些安全機制并沒有發揮有效作用。比如，系統的缺省安裝和弱口令是大量攻擊成功的原因之一。

（三）互聯網威脅的普遍性是安全問題的另一個方面

隨著互聯網的發展，攻擊互聯網的手段也越來越簡單、越來越普遍。目前攻擊工具的功能卻越來越強，而對攻擊者的知識水平要求卻越來越低，因此攻擊者也更為普遍。

（四）管理方面的困難性也是互聯網安全問題的重要原因

具體到一個企業內部的安全管理，受業務發展迅速、人員流動頻繁、技術更新快等因素的影響，安全管理也非常復雜，經常出現人力投入不足、安全政策不明等現象。擴大到不同國家之間，雖然安全事件通常是不分國界的，但是安全管理卻受國家、地理、政治、文化、語言等多種因素的限制?？鐕绲陌踩录淖粉櫨头浅＠щy。

二、網絡安全的主要技術

（一）防火墻技術

“防火墻”是一種形象的說法，其實它是一種由計算機硬件和軟件的組合，使互聯網與內部網之間建立起一個安全網關（security gateway），從而保護內部網免受非法用戶的侵入，它其實就是一個把互聯網與內部網（通常指局域網或城域網）隔開的屏障。

1．防火墻的技術實現

防火墻的技術實現通常是基于所謂“包過濾”技術，而進行包過濾的標準通常就是根據安全策略制定的。在防火墻產品中，包過濾的標準一般是靠網絡管理員在防火墻設備的訪問控制清單中設定。訪問控制一般基于的標準有：包的源地址、包的目的地址、連接請求的方向（連入或連出）、數據包協議（如TCP/IP等）以及服務請求的類型（如ftp、www等）等。

防火墻還可以利用代理服務器軟件實現。早期的防火墻主要起屏蔽主機和加強訪問控制的作用，現在的防火墻則逐漸集成了信息安全技術中的最新研究成果，一般都具有加密、解密和壓縮、解壓等功能，這些技術增加了信息在互聯網上的安全性?，F在，防火墻技術的研究已經成為網絡信息安全技術的主導研究方向。

2．防火墻的特性

從物理上說，防火墻就是放在兩個網絡之間的各種系統的集合，這些組建具有以下特性：

（1）所有從內到外和從外到內的數據包都要經過防火墻；

（2）只有安全策略允許的數據包才能通過防火墻；

（3）防火墻本身應具有預防侵入的功能，防火墻主要用來保護安全網絡免受來自不安全的侵入。

3．防火墻的使用

網絡的安全性通常是以網絡服務的開放性、便利性、靈活性為代價的，對防火墻的設置也不例外。防火墻的隔斷作用一方面加強了內部網絡的安全，一方面卻使內部網絡與外部網絡的信息系統交流受到阻礙，因此必須在防火墻上附加各種信息服務的代理軟件來代理內部網絡與外部的信息交流，這樣不僅增大了網絡管理開銷，而且減慢了信息傳遞速率。針對這個問題，近期，美國網屏（NetScreen）技術公司推出了第三代防火墻，其內置的專用ASIC處理器用于提供硬件的防火墻訪問策略和數據加密算法的處理，使防火墻的性能大大提高。

需要說明的是，并不是所有網絡用戶都需要安裝防火墻。一般而言，只有對個體網絡安全有特別要求，而又需要和Internet聯網的企業網、公司網，才建議使用防火墻。另外，防火墻只能阻截來自外部網絡的侵擾，而對于內部網絡的安全還需要通過對內部網絡的有效控制和管理來實現。

（二）數據加密技術

1．數據加密技術的含義

所謂數據加密技術就是使用數字方法來重新組織數據，使得除了合法受者外，任何其他人想要恢復原先的“消息”是非常困難的。這種技術的目的是對傳輸中的數據流加密，常用的方式有線路加密和端對端加密兩種。前者側重在線路上而不考慮信源與信宿，是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發送者端通過專用的加密軟件，采用某種加密技術對所發送文件進行加密，把明文（也即原文）加密成密文（加密后的文件，這些文件內容是一些看不懂的代碼），然后進入TCP/IP數據包封裝穿過互聯網，當這些信息一旦到達目的地，將由收件人運用相應的密鑰進行解密，使密文恢復成為可讀數據明文。

2．常用的數據加密技術

目前最常用的加密技術有對稱加密技術和非對稱加密技術。對稱加密技術是指同時運用一個密鑰進行加密和解密，非對稱加密技術就是加密和解密所用的密鑰不一樣，它有一對密鑰，分別稱為“公鑰”和“私鑰”，這兩個密鑰必須配對使用，也就是說用公鑰加密的文件必須用相應人的私鑰才能解密，反之亦然。

3．數據加密技術的發展現狀

在網絡傳輸中，加密技術是一種效率高而又靈活的安全手段，值得在企業網絡中加以推廣。目前，加密算法有多種，大多源于美國，但是會受到美國出口管制法的限制。現在金融系統和商界普遍使用的算法是美國的數據加密標準DES。近幾年來我國對加密算法的研究主要集中在密碼強度分析和實用化研究上。

（三）訪問控制

1．身份驗證

身份驗證是一致性驗證的一種，驗證是建立一致性證明的一種手段。身份驗證主要包括驗證依據、驗證系統和安全要求。身份驗證技術是在計算機中最早應用的安全技術，現在也仍在廣泛應用，它是互聯網信息安全的第一道屏障。

2．存取控制

存取控制規定何種主體對何種客體具有何種操作權力。存取控制是網絡安全理論的重要方面，主要包括人員限制、數據標識、權限控制、類型控制和風險分析。存取控制也是最早采用的安全技術之一，它一般與身份驗證技術一起使用，賦予不同身份的用戶以不同的操作權限，以實現不同安全級別的信息分級管理。

三、常見網絡攻擊方法及對策

網絡中的安全漏洞無處不在。即便舊的安全漏洞補上了，新的安全漏洞又將不斷涌現。網絡攻擊正是利用這些存在的漏洞和安全缺陷對系統和資源進行攻擊。

（一）網絡攻擊的步驟

1．隱藏自己的位置

普通攻擊者都會利用別人的電腦隱藏他們真實的IP地址。老練的攻擊者還會利用800電話的無人轉接服務聯接ISP，然后再盜用他人的帳號上網。

2．尋找目標主機并分析目標主機

攻擊者首先要尋找目標主機并分析目標主機。在Internet上能真正標識主機的是IP地址，域名是為了便于記憶主機的IP地址而另起的名字，只要利用域名和IP地址就可以順利地找到目標主機。此時，攻擊者們會使用一些掃描器工具，輕松獲取目標主機運行的是哪種操作系統的哪個版本，系統有哪些帳戶，WWW、FTP、Telnet、SMTP等服務器程序是何種版本等資料，為入侵作好充分的準備。

3．獲取帳號和密碼，登錄主機

攻擊者要想入侵一臺主機，首先要有該主機的一個帳號和密碼，否則連登錄都無法進行。這樣常迫使他們先設法盜竊帳戶文件，進行破解，從中獲取某用戶的帳戶和口令，再尋覓合適時機以此身份進入主機。當然，利用某些工具或系統漏洞登錄主機也是攻擊者常用的一種技法。

4．獲得控制權

攻擊者們用FTP、Telnet等工具利用系統漏洞進入目標主機系統獲得控制權之后，就會做兩件事：清除記錄和留下后門。他會更改某些系統設置、在系統中置入特洛伊木馬或其他一些遠程操縱程序，以便日后可以不被覺察地再次進入系統。大多數后門程序是預先編譯好的，只需要想辦法修改時間和權限就可以使用了，甚至新文件的大小都和原文件一模一樣。攻擊者一般會使用rep傳遞這些文件，以便不留下FTB記錄。清除日志、刪除拷貝的文件等手段來隱藏自己的蹤跡之后，攻擊者就開始下一步的行動。

5．竊取網絡資源和特權

攻擊者找到攻擊目標后，會繼續下一步的攻擊。如：下載敏感信息；實施竊取帳號密碼、信用卡號等經濟偷竊；使網絡癱瘓。

（二）網絡攻擊的常見方法

1．口令入侵

所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機，然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號，然后再進行合法用戶口令的破譯。

2．放置特洛伊木馬程序

特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載，一旦用戶打開了這些郵件的附件或者執行了這些程序之后，它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中，并在自己的計算機系統中隱藏一個可以在windows啟動時悄悄執行的程序。當您連接到因特網上時，這個程序就會通知攻擊者，來報告您的IP地址以及預先設定的端口。攻擊者在收到這些信息后，再利用這個潛伏在其中的程序，就可以任意地修改你的計算機的參數設定、復制文件、窺視你整個硬盤中的內容等，從而達到控制你的計算機的目的。

3．WWW的欺騙技術

在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問，如閱讀新聞組、咨詢產品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到有這些問題存在：正在訪問的網頁已經被黑客篡改過，網頁上的信息是虛假的！例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的服務器，當用戶瀏覽目標網頁的時候，實際上是向黑客服務器發出請求，那么黑客就可以達到欺騙的目的了。4．電子郵件攻擊

電子郵件是互聯網上運用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時，還有可能造成郵件系統對于正常的工作反映緩慢，甚至癱瘓。相對于其它的攻擊手段來說，這種攻擊方法具有簡單、見效快等優點。

5．網絡監聽

網絡監聽是主機的一種工作模式，在這種模式下，主機可以接收到本網段在同一條物理通道上傳輸的所有信息，而不管這些信息的發送方和接收方是誰。因為系統在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到服務器端，而攻擊者就能在兩端之間進行數據監聽。此時若兩臺主機進行通信的信息沒有加密，只要使用某些網絡監聽工具（如NetXRay for Windows95／98／NT、Sniffit for Linux、Solaries等）就可輕而易舉地截取包括口令和帳號在內的信息資料。雖然網絡監聽獲得的用戶帳號和口令具有一定的局限性，但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。

6．安全漏洞攻擊

許多系統都有這樣那樣的安全漏洞（Bugs）。其中一些是操作系統或應用軟件本身具有的。如緩沖區溢出攻擊。由于很多系統在不檢查程序與緩沖之間變化的情況，就任意接受任意長度的數據輸入，把溢出的數據放在堆棧里，系統還照常執行命令。這樣攻擊者只要發送超出緩沖區所能處理的長度的指令，系統便進入不穩定狀態。若攻擊者特別配置一串準備用作攻擊的字符，他甚至可以訪問根目錄，從而擁有對整個網絡的絕對控制權。

（三）網絡攻擊應對策略

在對網絡攻擊進行上述分析與識別的基礎上，我們應當認真制定有針對性的策略。明確安全對象，設置強有力的安全保障體系。有的放矢，在網絡中層層設防，發揮網絡的每層作用，使每一層都成為一道關卡，從而讓攻擊者無隙可鉆、無計可使。還必須做到未雨綢繆，預防為主，將重要的數據備份并時刻注意系統運行狀況。

1．提高安全意識

不要隨意打開來歷不明的電子郵件及文件，不要隨便運行不太了解的人給你的程序；盡量避免從Internet下載不知名的軟件、游戲程序；密碼設置盡可能使用字母數字混排，單純的英文或者數字很容易窮舉；及時下載安裝系統補丁程序；不隨便運行黑客程序，不少這類程序運行時會發出你的個人信息。

2．使用防毒、防黑等防火墻軟件

防火墻是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，以阻檔外部網絡的侵入。

3．設置代理服務器，隱藏自己的IP地址

保護自己的IP地址是很重要的。事實上，即便你的機器上被安裝了木馬程序，若沒有你的IP地址，攻擊者也是沒有辦法的，而保護IP地址的最好方法就是設置代理服務器。代理服務器能起到外部網絡申請訪問內部網絡的中間轉接作用，其功能類似于一個數據轉發器，它主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時，代理服務器接受申請，然后它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內部網絡轉發這項請求。

4．將防毒、防黑當成日常例性工作

定時更新防毒組件，將防毒軟件保持在常駐狀態，以徹底防毒。

5．提高警惕

由于黑客經常會針對特定的日期發動攻擊，計算機用戶在此期間應特別提高警戒。

6．備份資料

對于重要的個人資料做好嚴密的保護，并養成資料備份的習慣。

四、網絡安全建設

在信息化的潮流中，在信息化與否之間沒有第二種選擇，只有選擇如何更好地讓信息化為提高單位工作效率，為增強企業競爭力服務。如何讓信息化建設真正有效地為單位或企業服務，是個頗費心思的問題；這也是一個不斷嘗試，不斷改進和完善的過程。在單位或企業的業務平臺真正實現完全向信息系統轉移，運作非常依賴信息資產前，企業管理層安全意識薄弱的問題是有一定的客觀原因的；隨著企業信息化水平的不斷加深，管理層網絡安全意識應該會逐步得到增強，并逐步會主動去思考如何更好地構筑信息平臺的安全保障體系。這一點，從電信、金融、電力等極度依賴信息系統的領域可以看出來。

（一）國外面對網絡威脅采取的主要對策

鑒于當前世界網絡面臨如此多的安全隱患，世界各國均十分重視，紛紛采取對策。

1．美國的網絡安全建設

1998年5月22日，美國政府頒發了《保護美國關鍵基礎設施》總統令（PDD-63），圍繞“信息保障”成立了多個組織，其中包括全國信息保障委員會、全國信息保障同盟、關鍵基礎設施保障辦公室、首席信息官委員會、聯邦計算機事件響應能動組等10多個全國性機構。1998年美國國家安全局（NSA）又制定了《信息保障技術框架》（IATF），提出了“深度防御策略”，確定了包括網絡與基礎設施防御、區域邊界防御、計算環境防御和支撐性基礎設施的深度防御戰略目標2000年1月，美國又發布了《保衛美國的計算機空間──保護信息系統的國家計劃》。該計劃分析了美國關鍵基礎設施所面臨的威脅，確定了計劃的目標和范圍，制定出聯邦政府關鍵基礎設施保護計劃（其中包括民用機構的基礎設施保護方案和國防部基礎設施保護計劃）以及私營部門、州和地方政府的關鍵基礎設施保障框架。

2．俄羅斯的網絡安全建設

1995年頒布了《聯邦信息、信息化和信息保護法》，1997年出臺的《俄羅斯國家安全構想》，2000年普京總統批準了《國家信息安全學說》，為提供高效益、高質量的信息保障創造條件，明確界定了信息資源開放和保密的范疇，提出了保護信息的法律責任；明確提出：“保障國家安全應把保障經濟安全放在第一位”，而“信息安全又是經濟安全的重中之重”；明確了聯邦信息安全建設的目的、任務、原則和主要內容。第一次明確指出了俄羅斯在信息領域的利益是什么、受到的威脅是什么以及為確保信息安全首先要采取的措施等。

（二）我國面對網絡威脅采取的主要對策

1．加強對網絡信息安全的重視

國家有關部門建立了相應的機構，發布了有關的法規，以加強對網絡信息安全的管理。2000年1月，國家保密局發布的《計算機信息系統國際聯網保密管理規定》已開始實施；2000年3月，中國國家信息安全測評認證中心計算機測評中心宣告成立；2000年4月，公安部發布了《計算機病毒防治管理辦法》；2000年7月，我國第一個國家信息安全產業基地在四川省成都高新技術產業開發區奠基；2000年10月，信息產業部成立了網絡安全應急協調小組，國家計算機網絡與信息安全管理工作辦公室主辦了“計算機網絡應急工作企業級研討會”，這一切都反映出我國對計算機網絡與信息安全的高度重視，以及努力推動我國信息安全產業發展、提高我國信息安全技術水平的決心。

2．強化信息網絡安全保障體系建設

在十六大會議上，江澤民同志指出：“信息化是我國加快實現工業化和現代化的必然選擇，堅持以信息化帶動工業化，以工業化促進信息化，走出一條科技含量高的路子大力推進信息化”。中央保密委員會、最高人民檢察院也多次在2003年發文要求做好信息保密工作，切實防范外來的侵害和網絡化帶來業務的泄密，明確規定“計算機信息系統，不得與公網、國際互聯網直接或間接的連接”，如要相連，“必須采取物理隔離的保密防范措施”。

（三）如何逐步消除網絡安全隱患

1．建立網絡安全長效機制的重要手段

建立規范的網絡秩序，需要不斷完善法制，探索網絡空間所體現的需求和原則，為規范網絡空間秩序確定法律框架；建立規范的網絡秩序，還要在道德和文化層面確定每個使用網絡者的義務，每個人必須對其網絡行為承擔法律和道德責任是規范網絡秩序的一個重要準則；建立規范的網絡秩序，需要在法制基礎上建立打擊各類網絡犯罪有效機制和手段。

2．引發網絡安全事件的原因

據調查，因“利用未打補丁或未受保護的軟件漏洞”，占50．3％；對員工不充分的安全操作和流程的培訓及教育占36．3％；緊隨其后的是缺乏全面的網絡安全意識教育，占28．7％。因此，要用直觀、易懂、演示性的方式來加強員工的網絡安全意識水平，降低企業面臨的各種風險，提高競爭力。并且要像廣告一樣，經常提醒員工，才能達到更好的效果。

3．保障信息安全任重道遠

專家認為，我國目前網絡安全的推進重點，已開始由物理層面的防毒向文化、思想、精神層面的防毒轉變，倡導網絡文明和凈化網絡環境內容。截至目前，信息產業部啟動的“陽光綠色網絡工程”系列活動，已經取得顯著成果，并正在長期系統地凈化著網絡環境。

與此同時，國內各大網站也開始倡導文明辦網的良好風氣。只有各方盡責，構筑一個長效機制，全球網絡安全才有可能得到根本地改善。

結束語

從網絡經濟發展對網絡安全產品帶來的需求看，防火墻、殺毒軟件、信息加密、入侵檢測、安全認證等產品市場將具有巨大的市場前景，其中防火墻和高端的殺毒軟件將占據市場的主要份額；同時，現有對網絡進行被動防守的做法，將逐漸向網絡主動檢測和防御的技術方向發展。而入侵監測系統則是適應這種發展趨勢的一種主動的網絡安全防護措施，因此預計其需求量將成快速增長趨勢。

此外，還出現了一些專門做信息安全服務的廠商。例如，北京中聯綠盟公司提出，要通過提供遠程滲透檢測、全面安全檢測、應用程序安全審計、整體安全顧問、安全外包、培訓、緊急響應、遠程集中監控、安全產品檢測等項目為用戶提供全方位的安全服務。目前，我國網絡安全產品市場已進入激烈的競爭階段，各廠商競爭的主要手段已覆蓋了產品、技術、價格、渠道、服務等各個方面，他們的目的都是為了將產品從單一擴展到全面，這已經成了網絡安全廠商謀求長期發展的一種重要策略。國內網絡安全產品線已相對齊全，國內外廠商的產品已能夠提供保障網絡安全的防病毒、防火墻、入侵檢測和安全評估、信息加密、安全認證以及網絡安全整體解決方案等全系列產品。全國信息安全產品的產業化已經有了一個良好的開端。

參考文獻：

1．《文件加密與數字簽名》

2．《網絡常見攻擊技術與防范完全手冊》

3．《企業網絡安全建設的一些心得》

4．《現行主要網絡安全技術介紹》

5．《網絡安全典型產品介紹》

6．《防火墻概念與訪問控制列表》

7．《賽迪網技術應用》

8．《網絡攻擊概覽》

9．《加密技術的方方面面》

第二篇：計算機網絡信息安全及其防護對策

計算機網絡信息安全及其防護對策

摘要：隨著信息化建設的快速發展，信息網絡已經成為社會發展的重要保證。但是，由于在早期網絡協議設計上對安全問題的忽視，與它有關的安全事故屢有發生。使各國的計算機系統特別是網絡系統面臨著很大的威脅，并成為嚴重的社會問題之一。而有針對性地加強網絡信息安全防護，是網絡安全必須做的工作。針對這些問題，該文歸納并提出了一些網絡信息安全防護的方法和策略。

關鍵詞：計算機網絡；信息安全；防護策略

1.計算機網絡面臨的安全問題

1.1自然災害

組成計算機的多是一些電子器件，本身對外界環境極其敏感，很容易受到溫度、濕度、振動沖擊的影響?？v觀現今的計算機房，并沒有防火、避震、防雷、抗干擾等措施，接地系統的設計也比較單一化，抵御突發狀況的能力較差。日常工作中因斷電而導致硬盤損傷、數據丟失的現象屢見不鮮。噪聲和電磁輻射會導致網絡信噪比下降，增加誤碼率，威脅到信息傳遞的完整性、可用性與安全性。

1.2黑客襲擊

計算機信息網絡成為黑客的溫床，利用這個平臺，他們編寫出大量具有強大破壞力的病毒程序。黑客們熟知各類計算機系統的安全漏洞，對計算機軟件較熟悉。黑客破壞網絡的問題很嚴重，他們越權群儒重要信息庫，竊聽、截取、篡改敏感性信息，修改信息網絡參數，導致數據丟失或系統崩潰，給企業帶來巨大經濟損失，甚至會影響到國家的政治安全。信息網絡本身的弊端和缺陷成為黑客的突破口，并構成了人為破壞的威脅。

1.3計算機病毒

計算機病毒這一名詞院子上世紀九十年代，它傳播速度快、蔓延范圍廣，可以造成難以估量的損失。病毒可以潛伏在計算機程序中，一旦程序運行或達到某個特定狀態，病毒便會激活，并迅速進行擴散，輕則占用系統內存，導致運行速度下降，重則造成數據丟失、系統癱瘓甚至硬件損失。一旦某些重要文件或數據遭到破壞，其造成的損失是無法估量的。

1.4垃圾郵件和間諜軟件

電子郵件具有高度開放性和廣泛傳播性，某些人利用這個特點進行商業、宗教或商業活動，將自己編寫好的郵件強行植入他人郵箱，強迫他人閱讀郵件。間諜軟件與計算機病毒不同，主要目的不在于破壞系統，而是竊取用戶信息。目前，對間諜軟件的界定還存在爭議，被普遍接受的觀點是間諜軟件在未得到用戶授權的情況下進行非法安裝，形成第三方插件，并把一些機密信息提供給第三方。間諜軟件功能繁雜，可以時刻監視用戶行為，并修改系統設置、發布彈窗廣告，嚴重干擾用戶隱私，并在一定程度上占用了系統內存。

2.計算機網絡安全防護措施

2.1隱藏IP地址

黑客可以通過第三方軟件查看主機信息，主要目的是獲取目標計算機的IP地址。當黑客得知你的IP地址，可以對這個地址發動各種攻擊，例如拒絕服務、Floop溢出攻擊等。用戶可以使用代理服務器隱藏主機IP地址，其他人只能獲悉代理服務器IP地址，無法得知主機IP地址，間接保護了用戶上網安全。2.2封死黑客退路（1）刪除冗余協議

對于服務器和主機只需要安裝TCP/IP協議，應該卸載不必要協議。其中，NetBIOS是很多安全缺陷的源頭，對于無需提供文件共享和打印服務的主機，應關閉NetBIOS，避免針對它的攻擊。

（2）關閉文件和打印共享

文件和打印共享為局域網上的微機提供了便利，但是它也是引發黑客入侵的重大漏洞，黑客利用共享機制可以入侵局域網進行破壞。在不使用打印、共享服務時，應將其關閉，或者為共享資源設置訪問口令。

（3）禁止建立空連接

默認設置下，任何用戶都可通過空連接與服務器進行互聯，窮舉賬號，并用暴力法破解密碼。不必要的空連接應禁止。另外，在上限范圍內，服務器密碼應設置的盡可能復雜，使得窮舉法失效，或者抬升窮舉成本，令黑客望而卻步。

（4）關閉不必要的服務

多樣服務能夠給管理者提供便利，提升工作效率，但也會給黑客留下機會，對于很少用到的服務應在平時選擇關閉。例如計算機遠程管理，一般情況下無需打開。不必要服務的減少不僅保證了系統安全，也可以保證系統運行速度。

2.3數據加密技術與用戶權限分級

該技術靈活性較好，適用于開放性網絡。用戶權限分級保護了靜態信息，需要系統管理員權限，一般實現于操作系統。數據加密主要保護動態信息。針對動態數據的攻擊分為主動攻擊和被動攻擊。主動攻擊一般很難避免，但可以有效預防和檢測；被動攻擊難以檢測，但可以避免，數據加密技術為這一系列工作奠定了良好基礎。數據加密利用數據移位和置換算法，利用密鑰進行控制。傳統加密算法中，加密密鑰和解密密鑰無區別，或者藉由其中一個就可以推導出另一個，我們稱之為對稱密鑰算法。這個密鑰具有高度敏感性，必須由授權用戶所保管，他們可以用密鑰加密信息，也可以解密私有信息。DES是對成加密算法中的典型。另一種算法是非對稱加密算法或公鑰加密算法，加密和解密過程的密鑰無任何相關性，加密密鑰稱為公鑰，解密密鑰稱為私鑰。公鑰算法面向全體用戶，任何人皆可用其加密信息，再發送密文給私鑰擁有者。私鑰具有保密性，用于解讀公鑰加密信息。REA是目前廣為運用的加密算法。

參考文獻

[1]邢露,張棋.計算機網絡信息安全與病毒防治[J].河南科技.2011(01)

[2]彭珺,高珺.計算機網絡信息安全及防護策略研究[J].計算機與數字工程.2011(1)[3]曾艷.計算機網絡信息安全與防護措施[J].理論導報.2011(01)

第三篇：淺論計算機網絡信息安全

淺論計算機網絡信息安全

摘要：在經濟全球化的推動下，隨著計算機技術的飛速發展，信息網絡已經成為社會發展的重要保證，當今世界已經進入一個信息化的時代，但隨之而來的是一系列信息安全的相關問題。本文主要論述了有關網絡信息安全的基本知識:網絡信息安全存在的隱患、網絡信息安全的常見問題、網絡信息安全的防護與建設。并且對信息安全的相關問題闡明自己的想法和觀點。

關鍵詞：網絡安全 ； 安認證體系 ； 網絡機制 ；數據加密

網絡信息安全是一門涉及計算機科學、網絡技術、通訊技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性的學科。他主要是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露、系統連續可靠的正常運行，網絡服務不中斷。

本文主要由信息安全的重要性、網絡信息安全存在的隱患、網絡信息安全的防護與建設等方面進行論述，并且對相關的問題表明自己的想法。網絡信息安全的重要性

隨著計算機網絡技術的廣泛應用，人們無論是從日常的生活起居還是共工作娛樂到處都離不開計算機的影子，更重要的是計算機網絡已經成為人們進行管理和交易不可或缺的橋梁，成為人們日常工作生活不可或缺的一部分。同時網絡信息也涉及到國家政府、軍事、文化、科學技術、等諸多領域，則存儲、傳輸、處理的許多信息是國家軍事機密、宏觀決策、商業經濟信息、銀行資金轉賬等重要的數據。

網絡信息安全是一個關系國家安全和主權、社會穩定、民族文化的重要問題，其重要性正隨著全球信息化步伐的加快越來越重要。網絡信息安全的常見問題

隨著互聯網的快速發展，人們的日常生活與網絡的聯系日益密切，而問題卻日益突出，危害人們的合法權益，網絡信息安全的常見問題如下：

2.1計算機病毒

計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。計算機病毒具有隱蔽性、潛伏性、破壞性和傳染性的特點。當前計算機網絡安全受到計算機病毒危害最為普遍，面對種類繁多的計算機病毒，其危害性大，傳播速度快，傳播形式多，特別是通過網絡傳播的病毒，如：網絡蠕蟲、木馬、震網、火焰等病毒對計算機網絡的破壞性更強，清除難度更大，是用戶面臨最頭痛的計算機網絡安全問題之一。

2.2 IP地址被盜用

在局域網中經常會發生盜用IP地址的現象，這時用戶計算機上會出現IP地址被占用的提示對話框，導致用戶不能正常使用網絡。被盜用的IP地址權限一般都很高，盜用者常會通過網絡以隱藏的身份對用戶進行騷擾和破壞，給用戶造成較大損失，嚴重侵害了使用網絡用戶的合法權益，導致網絡安全受到極大的威脅。

2.3 網絡黑客攻擊

網絡黑客是指攻擊者通過Internet網絡對用戶網絡進行非法訪問、破壞。有些黑客因為憤怒、報復、抗議，非法侵入用于纂改用戶目標網頁和內容，想法設法羞辱和攻擊用戶，造成嚴重的負面影響，迫使網絡癱瘓。有些黑客主要從事惡意攻擊和破壞，入侵毀壞用戶的計算

機系統中重要的數據被纂改、毀壞、刪除。如竊取國防、軍事、政治等機密，損害集體和個人利益，危及國家安全；非法盜用賬號提取他人銀行存款，或進行網絡勒索和詐騙。由此可見，黑客入侵對計算機網絡的攻擊和破壞后果是不堪設想。

2.4垃圾郵件泛濫破壞網絡環境

垃圾郵件一般是指未經過用戶許可強行發送到用戶郵箱中的電子郵件。垃圾郵件的泛濫已經使Internet網絡不堪重負。在網絡中大量垃圾郵件的傳播，侵犯了收件人隱私權和個人信箱的空間，占用了網絡帶寬，造成服務器擁塞，嚴重影響網絡中信息的傳輸能力，降低了網絡的運行效率。

2.5 計算機網絡安全管理不到位

計算機網絡安全管理機構不健全，崗位職責不明，管理密碼和權限混亂等，導致網絡安全機制缺乏，安全防護意識不強，使計算機網絡風險日益加重，這都會為計算機病毒、黑客攻擊和計算機犯罪提供破壞活動的平臺，從而導致計算機網絡安全受到威脅。網絡信息安全的防護與建設

3.1建立規范的網絡秩序

建立規范的網絡秩序，需要不斷完善法制，探索網絡空間所體現的需求和原則，為規范網絡空間秩序確定法律框架；建立規范的網絡秩序，還要在道德和文化層面確定每個使用網絡者的義務。

3.2加強入網的訪問控制

入網訪問控制是網絡的第一道關口，主要通過驗證用戶賬號、口令等來控制用戶的非法訪問。對用戶賬號、口令應作嚴格的規定，如：口令和賬號要盡可能地長，數字和字母混合，避免用生日、身份證號等常見數字作口令，盡量復雜化，而且要定期更新，以防他人竊取。因此，大大增強了用戶使用信息的安全性。

3.3防火墻技術

防火墻技術是指隔離在本地網絡與外界網絡之間的一道防御系統的總稱。在互聯網上防火墻是一種非常有效的網絡安全模型，通過它可以隔離風險區域與安全區域的連接，同時不會妨礙人們對風險區域的訪問。防火墻可以監控進出網絡的通信量，僅讓安全、核準的信息進入。目前的防火墻主要有包過濾防火墻、代理防火墻和雙穴主機防火墻三種類型，并在計算機網絡得到了廣泛的應用。一套完整的防火墻系統通常是由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息，例如協議號、收發報文的IP地址和端口號、連接標志以至另外一些IP選項，對IP包進行過濾。代理服務器是防火墻中的一個服務器進程，它能夠代替網絡用戶完成特定的TCP/TP功能。一個代理服務器本質上是一個應用層

3.4安全加密技術

加密技術的出現為全球電子商務提供了保證，從而使基于Internet上的電子交易系統成為了可能，因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。

3.5入侵檢測技術

隨著網絡安全風險系數不斷提高，作為對防火墻及其有益的補充，IDS（入侵檢測系統）

能夠幫助網絡系統快速發現攻擊的發生，它擴展了系統管理員的安全管理能力，提高了信息安全基礎結構的完整性。

計算機網絡信息安全工作貫穿于計算機網絡建設、發展的始終，需要我們時刻重視，不斷學習，才能確保計算機網絡的安全、可靠地運行

參考文獻周學廣等.信息安全學.北京：機械工業出版社，2003.3(美)Mandy Andress著.楊濤等譯.計算機安全原理.北京：機械工業出版社，2002.1賴溪松等著.計算機密碼學及其應用.北京:國防工業出版社.2001.7馮元等.計算機網絡安全基礎.北京；科學出版社.2003.10董玉格等.網絡攻擊與防護-網絡安全與實用防護技術.北京：人民郵電出版社,2002.8 6 顧巧論等編著.計算機網絡安全.北京:科學出版社.2003.1張友生，米安然編著.計算機病毒與木馬程序剖析.北京：北京科海電子出版社，2003.3 8(美)Heith E.原莉.如何確保計算機網絡安全[J].職大學報，2008謝浩浩.計算機網絡安全綜述[J].科技廣場，2009李建霞.計算機網絡安全與防范[J].中國西部科技

作者：小帥

第四篇：軍隊計算機網絡信息安全問題及對策

軍隊計算機網絡信息安全問題及對策

摘 要 :隨著我軍信息化建設步伐的不斷加快，計算機網絡技術在部隊的應用口趨廣泛。但從整體情況看，我軍的網絡信息安全還存在很多問題，網絡安全工作明滯后于網絡建設。針對現階段軍隊網絡安全存在的問題，從網絡安全技術及網絡安全管理兩方面提出了相應的解決對策。

關鍵詞 :軍隊信息化建設;計算機網絡;信息安全

隨著個球信息化建設的高速發展，網絡中接入信息基礎設施的數量不斷增加，信息系統軟件建設水平日益提高和完善，計算機網絡信息的安個問題變得日益突出和重要根據US-CERT(United States ComputerEmergency Readiness Teat組織的統計，從1998午到2002午期IRl，該組織登記網絡安個事故的數量午增長率超過50%。根據由國家信息安個報告”課題組編《國家信息安個報告》書，如果將信息安個分為9個等級，我國的安個等級為5.5，安個形勢分嚴峻我軍網絡信息安個形勢也同樣小容樂觀,兵的信息安個意識淡薄、信息安個技術落后、信息安個管理制度小完善、計算機網絡安個防護能力較弱。這此存在于軍隊計算機網絡中的安個隱患問題如果小能很好解決，小但會引起軍隊人量泄密事件和網絡被攻擊事件的發生，更會嚴重影響到作為高科技作戰輔助手段的計算機網絡技術在軍隊信息化建設中的推廣和應用，甚至會成為我軍未來信息化戰爭中的死穴”，直接影響戰爭的結果。此分析現階段我軍的網絡安個存在的問題，并找出相應的對策，對當前我軍計算機網絡安個的建設和發展及把握未來戰爭形態具有分重要的意義。1現階段軍隊計算機網絡信息安全存在的問題 1.1計算機網絡安個技術問題

(1)缺乏自主的計算機網絡軟、硬件核心技術。我國信息化建設缺乏自主的核心技術支撐，計算機網絡的主要軟、硬件，如CPU芯片、操作系統和數據庫、網關軟件人多依賴進口。信息設備的核心部分CPU山美國和我國臺灣制造;我軍計算機網絡中普遍使用的操作系統來自國外，這此系統都存在人量的安個漏洞，極易留下嵌入式病毒、隱性通道和可恢復密鑰的密碼等隱患;計算機網絡中所使用的網管設備和軟件絕人多數是舶來品，在網絡上運行時，存在著很人的安個隱患。這素使軍隊計算機網絡的安個性能人人降低，網絡處于被竊聽、十擾、監視和欺詐等多種安個威脅中，網絡安個處于極脆弱的狀態。

(2)長期存在被病毒感染的風險?，F代病毒可以借助文件、由日件、網貞等諸多力式在網絡中進行傳播和蔓延，它們具有自啟動功能，‘常‘常潛入系統核心與內存，為所欲為。軍用計算機日_受感染，它們就會利用被控制的計算機為平臺，破壞數據信息，毀損硬件設備，阻塞整個網絡的正常信息傳輸，甚至造成整個軍隊計算機網絡數據傳輸中斷和系統癱瘓。

(3)軍事涉密信息在網絡中傳輸的安個可靠性低。隱私及軍事涉密信息存儲在網絡系統內，很容易被搜集而造成泄密。這此涉密資料在傳輸過程中，山于要經過許多外節點，且難以查證，在任何中介節點均可能被讀取或惡意修改，包括數據修改、重發和假冒。網絡中可能存在某節點在非授權和小能監測力式下的數據修改，這此修改進入網中的幀并傳送修改版本，即使采用某此級別的認證機制，此種攻擊也能危及可信節點間的通信。重發就是重復份或部分報文，以便產生個被授權效果。當節點拷貝發到其他節點的報文并又重發他們時，若小能監測重發，日的節點會執行報文內容命令的操作，例如報文的內容是關閉網絡的命令，則將會出現嚴重的后果。假冒是網絡中個實體假扮成另個實體收發信息，很多網絡適配器都允許網幀的源地址山節點自己來選取或改變，這就使冒充變得較為容易。

(4)存在來自網絡外部、內部攻擊的潛在威脅。網絡中臺無防備的電腦很容易受到局域網外部的入侵，修改硬盤數據，種下木馬等。入侵者會有選擇地破壞網絡信息的有效性和完整性，或偽裝為合法用戶進入網絡并占用人量資源，修改網絡數據、竊取、破譯機密信息、破壞軟件執行，在中間站點攔截和讀取絕密信息等。在網絡內部，則會有此非法用戶冒用合法用戶的口令以合法身份登錄網站后，查看機密信息，修改信息內容及破壞應用系統的運行。有非法用戶還會修改自己的IP和人IAC地址，使其和合法用戶IP和MAC地址樣，繞過網絡管理員的安個設置。1.2信息安個管理問題

在軍隊網絡建設中，高投入地進行網絡基礎設施建設，而相應的管理措施卻沒有跟上，在網絡安個上的投資也是微乎其微。有此領導錯誤地認為，網絡安個投資只有投入卻小見直觀效果，對軍隊教育訓練影響小大。因此，對安個領域的投入和管理遠遠小能滿足安個防范的要求。而旦安個上出了問題，又沒有行之有效的措施補救，有的甚至是采取關閉網絡、禁比使用的消極手段，根本問題依然得小到實質性的解決。

國家和軍隊出臺了系列信息網絡安個保密的法規，女匡中華人民共和國計算機信息系統安個保護條例計算機信息網絡國際聯網保密管理規定)X(中國人民解放軍計算機信息網絡國際聯網管理暫行規定》等，這此法規的出臺從定程度上規范了軍事信息網絡安個的管理，但還小能滿足軍事信息網絡安個管理的發展需求。網絡運行管理機制存在缺陷，軍隊網絡安個管理人才匾乏，安個措施小到位，出現安個問題后缺乏綜合性的解決力案，整個信息安個系統在迅速反應、快速行動和預防范等主要力而，缺少力向感、敏感度和應對能力。在整個網絡運行過程中，缺乏行之有效的安個檢查和應對保護制度。

網絡管理和使用人員素質小高、安個意識淡薄。據調查，目前國內90%的網站存在安個問題，其主要原因是管理者缺少或沒有安個意識。軍事計算機網絡用戶飛速增長，然而大多數人員網絡知識掌握很少，安個意識小強，經常是在沒有任何防范措施的前提下，隨便把電腦接入網絡;在小知情的情況下將帶有保密信息的計算機連入因特網，或使用因特網傳遞保密信息;對數據小能進行及時備份，經常造成數據的破壞或丟失;對系統小采取有效的防病毒、防攻擊措施，殺毒軟件小能及時升級。2加強軍隊計算機網絡安全的對策

解決軍隊計算機網絡中的安個問題，關鍵在于建立和完善軍隊計算機網絡信息安個防護體系?？傮w對策是在技術層而上建立完整的網絡安個解決力案，在管理層而上制定和落實套嚴格的網絡安個管理制度。

2.1網絡安個技術對策

(1)采用安個性較高的系統和使用數據加密技術。美國國防部技術標準把操作系統安個等級分為Dl, Cl, C2, B1, B2, B3, A級，安個等級由低到高。目前主要的操作系統等級為C2級，在使用C2級系統時，應盡量使用C2級的安個措施及功能，對操作系統進行安個配置。在極端重要的系統中，應采用B級操作系統。對軍事涉密信息在網絡中的存儲和傳輸可以使用傳統的信息加密技術和新興的信息隱藏技術來提供安個保證。在傳發保存軍事涉密信息的過程中，小但要用加密技術隱藏信息內容，還要用信息隱藏技術來隱藏信息的發送者、接收者甚至信息本身。通過隱藏術、數字水印、數據隱藏和數據嵌入、指紋和標竿等技術手段可以將秘密資料先隱藏到般的文件中，然后再通過網絡來傳遞，提高信息保密的可靠性。

(2)安裝防病毒軟件和防火墻。在主機上安裝防病毒軟件，能對病毒進行定時或實時的病毒掃描及漏洞檢測，變被動清毒為主動截殺，既能查殺未知病毒，又可對文件、郵件、內存、網頁進行個而實時監控，發現異常情況及時處理。防火墻是硬件和軟件的組合，它在內部網和外部網間建立起個安個網關，過濾數據包，決定是否轉發到目的地。它能夠控制網絡進出的信息流向，提供網絡使用狀況和流量的審計、隱藏內部IP地址及網絡結構的細節l勻。它還可以幫助軍隊系統進行有效的網絡安個隔離，通過安個過濾規則嚴格控制外網用戶非法訪問，并只打開必須的服務，防范外部來的拓絕服務攻擊。同時，防火墻可以進行時間安個規則變化策略，控制內網用戶訪問外網時間，并通過設置IP地址與MAC地址綁定，防比目的IP地址欺騙。更重要的是，防火墻小但將大量的惡意攻擊直接阻擋在外而，同時也屏蔽來自網絡內部的小良行為，讓其小能把某此保密的信息散播到外部的公共網絡上去。

(3)使用安個路由器和虛擬專用網技術。安個路由器采用了密碼算法和加/解密專用芯片，通過在路由器主板上增加安個加密模件來實現路由器信息和IP包的加密、身份鑒別和數據完整性驗證、分布式密鑰管理等功能。使用安個路由器可以實現軍隊各單位內部網絡與外部網絡的互聯、隔離、流量控制、網絡和信息安個維護，也可以阻塞廣播信息和小知名地址的傳輸，達到保護內部信息化與網絡建設安個的目的。目前我國自主獨立開發的安個路由器，能為軍隊計算機網絡提供安個可靠的保障。建設軍隊虛擬專用網是在軍隊廣域網中將若十個區域網絡實體利用隧道技術連接成個虛擬的獨立網絡，網絡中的數據利用加/解密算法進行加密封裝后，通過虛擬的公網隧道在各網絡實體間傳輸，從而防}卜未授權用戶竊取、篡改信息。

(4)安裝入侵檢測系統和網絡誘騙系統。入侵檢測能力是衡量個防御體系是否完整有效的重要因素。入侵檢測的軟件和硬件共同組成了入侵檢測系統。強大的、完整的入侵檢測系統可以彌補軍隊網絡防火墻相對靜態防御的小足，可以對內部攻擊、外部攻擊和誤操作進行實時防護，當軍隊計算機網絡和系統受到危害之前進行報攔截和響應，為系統及時消除威脅。網絡誘騙系統是通過構建個欺騙環境真實的網絡、主機，或用軟件模擬的網絡和主機)，誘騙入侵者對其進行攻擊或在檢測出對實際系統的攻擊行為后，將攻擊重定向到該嚴格控制的環境中，從而保護實際運行的系統;同時收集入侵信息，借以觀察入侵者的行為，記錄其活動，以便分析入侵者的水平、目的、所用上具、入侵手段等，并對入侵者的破壞行為提供證據。

2.2網絡安個管理對策

(1)強化思想教育、加強制度落實是網絡安個管理上作的基礎。搞好軍隊網絡安個管理上作，首要的是做好人的上作。個軍官兵要認真學習軍委、總部先后下發的有關法規文件和安個教材，更新軍事通信安個保密觀念，增強網絡安個保密意識，增長網絡安個保密知識，提高網絡保密素質，改善網絡安個保密環境。還可以通過舉辦信息安個技術培訓、組織專家到基層部隊宣講網絡信息安個保密知識、舉辦網上信息戰知識竟賽”等系列活動，使廣大官兵牢固樹立信息安個領域沒有和平期”的觀念，在4個人的大腦中筑起軍隊網絡信息安個的防火墻”

(2)制定嚴格的信息安個管理制度。設立專門的信息安個管理機構，人員應包括領導和專業人員。按照小同任務進行分上以確立各自的職責。類人員負責確定安個措施，包括力針、政策、策略的制定，并協調、監督、檢查安個措施的實施;另類人員負責分上具體管理系統的安個上作，包括信息安個管理員、信息保密員和系統管理員等。在分上的基礎上，應有具體的負責人負責整個網絡系統的安個。確立安個管理的原則: 是多人負責原則，即在從事4項安個相關的活動時，必須有兩人以上在場;一是任期有限原則，即任何人小得長期擔任與安個相關的職務，應小定期地循環任職;三是職責分離原則，如計算機的編程與操作、機密資料的傳送和接收、操作與存儲介質保密、系統管理與安個管理等上作職責應當由小同人員負責。另外，各單位還可以根據自身的特點制定系列的規章制度。如要求用戶必須定期升級殺毒軟件、定期備份重要資料，規定軍用計算機小得隨意安裝來路小明的軟件、小得打開陌生郵件，對違反規定的進行處理等等。

(3)重視網絡信息安個人才的培養。加強計算機網絡指揮人員的培訓，使網絡指揮人員熟練通過計算機網絡實施正確的指揮和對信息進行有效的安個管理，保證部隊的網絡信息安個。加強操作人員和管理人員的安個培訓，主要是在平時訓練過程中提高能力，通過小間斷的培訓，提高保密觀念和責任心，加強業務、技術的培訓，提高操作技能;對內部涉密人員更要加強人事管理，定期組織思想教育和安個業務培訓，小斷提高人員的思想素質、技術素質和職業道德。積極鼓勵廣大官兵研究軍隊計算機網絡攻防戰的特點規律，尋找進入和破壞敵力網絡系統的力法，探索竭力阻比敵力網絡入侵，保護己力網絡系統安個的手段。只有擁有支訓練有素、善于信息安個管理的隊伍，才能保證軍隊在未來的信息化戰爭中占據主動權

第五篇：計算機網絡信息安全保密制度

計算機網絡信息安全保密制度

為保證我局計算機網絡信息安全，防止計算機網絡失密泄密事件發生，特制定本制度。

一、為防止病毒造成嚴重后果，對外來存儲介質（硬盤、光盤、軟盤、移動硬盤或U盤）、軟件要嚴格管理，原則上不允許外來存儲介質、軟件在單位內部計算機上使用。確因工作需要使用的，事先必須進行防（殺）毒處理，證實無病毒感染后，方可使用。

二、接入網絡的計算機嚴禁將計算機設定為網絡共享，嚴禁將機內文件設定為網絡共享文件。

三、為防止黑客攻擊和網絡病毒的侵襲，接入網絡的計算機一律安裝殺毒軟件，并要定時對殺毒軟件進行升級。

四、各有關股室在考核醞釀及其他重大事項保密期間，將有關涉密材料保存到非上網計算機上。

五、我局所有辦公計算機均為涉密計算機，各股室禁止將其擅自聯接國際互聯網。

六、保密級別在秘密以下的材料可通過網絡傳遞和報送，嚴禁保密級別在秘密以上的材料通過網絡傳遞和報送。

七、局辦公室（機要室）統一負責計算機網絡信息安全保密工作。

計算機上網安全保密管理規定

一、未經批準，涉密計算機一律不許上互聯網,如有特殊需求，必須事先提出申請報主管領導批準后方可實施，并安裝物理隔離卡，在相關工作完成后撤掉網絡。

二、要堅持“誰上網，誰負責”的原則，辦公室（機要室）統一負責，嚴格審查機關上網機器資格工作，并報主要領導批準。

三、國際互聯網必須與涉密計算機系統實行物理隔離。

四、在與國際互聯網相連的信息設備上不得存儲、處理和傳輸任何涉密信息。

五、加強對上網人員的保密意識教育，提高上網人員保密觀念，增強防范意識，自覺執行保密規定。

涉密存儲介質保密管理規定

一、涉密存儲介質是指存儲了涉密信息的硬盤、光盤、軟盤、移動硬盤及優盤等。

二、單位內部所有涉密存儲介質需填寫和保管“涉密存儲介質登記表”，并將登記表的復制件報辦公室登記、備案并及時報告變動情況。

三、因工作需要在存儲介質上拷貝涉密信息時，應填寫“涉密存儲介質使用情況登記表”，經單位領導批準，同時在介質上按信息的最高密級標明密級。

四、存有涉密信息的存儲介質不得接入或安裝在非涉密計算機或低密級的計算機上，不得轉借他人，不得帶出工作區，下班后存放在本單位指定的柜中。

五、因工作需要必須攜帶出工作區的，需到辦公室填寫“涉密存儲介質外出攜帶登記表”，經主管領導批準，返回后要經主管領導審查注銷。

六、復制涉密存儲介質須經單位領導批準，且每份介質各填一份“涉密存儲介質使用情況登記表”，并賦予不同編號。

七、需歸檔的涉密存儲介質，應連同“涉密存儲介質使用情況登記表”一起及時歸檔。

八、各股室負責管理其使用的各類涉密存儲介質，應當根據有關規定確定密級及保密期限，并視同紙制文件，按相應密級的文件進行分密級管理，嚴格借閱、使用、保管及銷毀制度。借閱、復制、傳遞和清退等必須嚴格履行手續，不能降低密級使用。

九、涉密存儲介質的維修應保證信息不被泄露，需外送維修的要經主管領導批準，維修時要有涉密科室主任在場。

十、不再使用的涉密存儲介質應由使用者提出報告，由單位領導批準后，交主管領導監督專人負責定點銷毀。

計算機維修維護管理規定

一、涉密計算機系統進行維護檢修時，須保證所存儲的涉密信息不被泄露，對涉密信息應采取涉密信息轉存、刪除、異地轉移存儲媒體等安全保密措施。無法采取上述措施時，涉密人員必須在維修現場，對維修人員、維修對象、維修內容、維修前后狀況進行監督并做詳細記錄。

二、各涉密科室應將本科室設備的故障現象、故障原因、擴充情況記錄在設備的維修檔案記錄本上。

三、凡需外送修理的涉密設備，必須經主管領導批準，并將涉密信息進行不可恢復性刪除處理后方可實施。

四、高密級設備調換到低密級單位使用，要進行降密處理，并做好相應的設備轉移和降密記錄。

五、由辦公室指定專人負責所有股室計算機軟件的安裝和設備的維護維修工作，嚴禁使用者私自安裝計算機軟件和擅自拆卸計算機設備。

六、涉密計算機的報廢交主管領導監督專人負責定點銷毀。

用戶密碼安全保密管理規定

一、用戶密碼管理的范圍是指辦公室所有涉密計算機所使用的密碼。

二、機密級涉密計算機的密碼管理由涉密股室負責人負責，秘密級涉密計算機的密碼管理由使用人負責。

三、用戶密碼使用規定

（1）密碼必須由數字、字符和特殊字符組成；

（2）秘密級計算機設置的密碼長度不能少于8個字符，密碼更換周期不得多于30天；

（3）機密級計算機設置的密碼長度不得少于10個字符，密碼更換周期不得超過7天；

（4）涉密計算機需要分別設置BIOS、操作系統開機登錄和屏幕保護三個密碼。

四、密碼的保存

（1）秘密級計算機設置的用戶密碼由使用人自行保存，嚴禁將自用密碼轉告他人；若工作需要必須轉告，應請示主管領導認可。

（2）機密級計算機設置的用戶密碼須登記造冊，并將密碼本存放于保密柜內，由科室主任管理。

涉密電子文件保密管理規定

一、涉密電子文件是指在計算機系統中生成、存儲、處理的機密、秘密和內部的文件、圖紙、程序、數據、聲像資料等。

二、電子文件的密級按其所屬項目的最高密級界定，其生成者應按密級界定要求標定其密級，并將文件存儲在相應的目錄下。

三、各用戶需在本人的計算機系統中創建“機密級文件”、“秘密級文件”、“內部文件”三個目錄，將系統中的電子文件分別存儲在相應的目錄中。

四、電子文件要有密級標識，電子文件的密級標識不能與文件的正文分離，一般標注于正文前面。

五、電子文件必須定期、完整、真實、準確地存儲到不可更改的介質上，并集中保存，然后從計算機上徹底刪除。

六、各涉密科室自用信息資料要定期做好備份，備份介質必須標明備份日期、備份內容以及相應密級，嚴格控制知悉此備份的人數，做好登記后進保密柜保存。

七、各科室要對備份電子文件進行規范的登記管理。備份可采用磁盤、光盤、移動硬盤、U盤等存儲介質。

八、涉密文件和資料的備份應嚴加控制。未經許可嚴禁私自復制、轉儲和借閱。對存儲涉密信息的磁介質應當根據有關規定確定密級及保密期限，并視同紙制文件，分密級管理，嚴格借閱、使用、保管及銷毀制度。

九、備份文件和資料保管地點應有防火、防熱、防潮、防塵、防磁、防盜設施，并進行異地備份。

涉密計算機系統病毒防治管理規定

一、涉密計算機必須安裝經過國家安全保密部門許可的查、殺病毒軟件。

二、每周升級和查、殺計算機病毒軟件的病毒樣本，確保病毒樣本始終處于最新版本。

三、絕對禁止涉密計算機在線升級防病毒軟件病毒庫，同時對離線升級包的來源進行登記。

四、涉密計算機應限制信息入口，如軟盤、光盤、U盤、移動硬盤等的使用。

五、對必須使用的外來介質（磁盤、光盤，U盤、移動硬盤等），必須先進行計算機病毒的查、殺處理，然后才可使用。

六、對于因未經許可而擅自使用外來介質導致嚴重后果的，要嚴格追究相關人員的責任。

數字復印機多功能一體機保密管理規定

一、用于專門處理涉密信息的數字復印機、多功能一體機按所接入設備的最高定密等級定密。

二、嚴禁將用于處理國家秘密信息的具有打印、復印、傳真等多功能的一體機與普通電話線連接。

三、嚴禁維修人員擅自讀取和拷貝數字復印機、多功能一體機等涉密設備存儲的國家秘密信息。涉密電子設備出現故障送外維修前，必須將涉密存儲部件拆除并妥善保管；涉密存儲部件出現故障，如不能保證安全保密，必須按照涉密載體銷毀要求予以銷毀；如需恢復其存儲信息，必須由市委保密工作部門指定的具有數據恢復資質的單位進行。

上網發布信息保密規定

一、上網信息的保密管理堅持“誰發布誰負責”的原則。凡向甘肅商務之窗、玉門政務信息公開網等站點提供或發布信息，必須經過保密審查批準，報主管領導審批。提供信息的股室應當按照一定的工作程序，健全信息保密審批制度。

二、凡以提供網上信息服務為目的而采集的信息，除在其它新聞媒體上已公開發表的，組織者在上網發布前，應當征得提供信息單位的同意。凡對網上信息進行擴充或更新，應當認真執行信息保密審核制度。

三、涉密人員在其它場所上國際互聯網時，要提高保密意識，不得在聊天室、電子公告系統、網絡新聞上發布、談論和傳播國家秘密信息。

四、使用電子函件進行網上信息交流，應當遵守國家保密規定，不得利用電子函件傳遞、轉發或抄送國家秘密信息。

五、嚴禁本局職工及家屬在網上散布謠言，嚴禁發布違背國家政策的言論，嚴禁在網上發貼攻擊各級領導干部。