第一篇：簡談校園網絡安全技術

簡談校園網絡安全技術

摘要網絡安全越來越受到人們的重視，本文從系統安全、網絡運行安全和內部網絡安全方面，對校園網的安全性談了自己的看法和做法，供大家參考。

關鍵詞網絡安全系統安全網絡運行安全內部網絡安全防火墻

隨著網絡技術的不斷發展和Internet的日益普及，許多學校都建立了校園網絡并投入使用，這無疑對加快信息處理，提高工作效率，減輕勞動強度，實現資源共享都起到了無法估量的作用。但教師和學生在使用校園網絡的同時卻忽略了網絡安全問題，登陸了一些非法網站和使用了帶病毒的軟件，導致了校園計算機系統的崩潰，給計算機教師帶來了大量的工作負擔，也嚴重影響了校園網的正常運行。所以在積極發展辦公自動化、實現資源共享的同時，教師和學生都應加強對校園網絡的安全重視。正如人們經常所說的：網絡的生命在于其安全性。因此，如何在現有的條件下，如何搞好網絡的安全，就成了校園網絡管理人員的一個重要課題。

作為一位中學電腦教師兼負著校園網絡的維護和管理，我們一起來探討一下校園網絡安全技術。網絡安全主要是網絡信息系統的安全性，包括系統安全、網絡運行安全和內部網絡安全。

一、系統安全

系統安全包括主機和服務器的運行安全，主要措施有反病毒。入侵檢測、審計分析等技術。

1、反病毒技術：計算機病毒是引起計算機故障、破壞計算機數據的程序，它能夠傳染其它程序，并進行自我復制，特別是要網絡環境下，計算機病毒有著不可估量的威脅性和破壞力，因此對計算機病毒的防范是校園網絡安全建設的一個重要環節，具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測，或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控，效果不錯。

2、入侵檢測：入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析，從中發現是否有違反安全策略的行為和被攻擊的跡象，以提高系統管理員的安全管理能力，及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件，主要功能有：檢測并分析用戶和系統的活動；檢查系統的配置和操作系統的日志；發現漏洞、統計分析異常行為等等。

從目前來看系統漏洞的存在成為網絡安全的首要問題，發現并及時修補漏洞是每個網絡管理人員主要任務。當然，從系統中找到發現漏洞不是我們一般網絡管理人員所能做的，但是及早地發現有報告的漏洞，并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法，就是經常登錄各有關網絡安全網站，對于我們有使用的軟件和服務，應該密切關注其程序的最新版本和安全信息，一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多的網絡管理員對此認識不夠，以至于過了幾年，還能掃描到機器存在許多漏洞。在校園網中服務器，為用戶提供著各種的服務，但是服務提供的越多，系統就存在更多的漏洞，也就有更多的危險。因此從安全角度考慮，應將不必要的服務關閉，只向公眾提供了他們所需的基本的服務。最典型的是，我們在校園網服務器中對公眾通常只提供WEB服務功能，而沒有必要向公眾提供FTP功能，這樣，在服務器的服務配置中，我們只開放WEB服務，而將FTP服務禁止。如果要開放FTP功能，就一定只能向可能信賴的用戶開放，因為通過FTP用戶可以上傳文件內容，如果用戶目錄又給了可執行權限，那么，通過運行上傳某些程序，就可能使服務器受到攻擊。所以，信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。

3、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統，還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況，審計信息對于確定問題和攻擊源很重要。同時，系統事件的記錄能夠更迅速和系統地識別問題，并且它是后面階段事故處理的重要依據。另外，通過對安全事件的不斷收集、積聚和分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，可以及早發現可能產生的破壞性行為。因此，除使用一般的網管軟件系統監控管理系統外，還應使用目前已較為成熟的網絡監控設備，以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷，從而防止針對網絡的攻擊與犯罪行為。

二、網絡運行安全

網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外，還要有備份與恢復等應急措施來保證網絡受到攻擊后，能盡快地全盤恢復運行計算機系統所需的數據。

一般數據備份操作有三種。一是全盤備份，即將所有文件寫入備份介質；二是增量備份，只備份

那些上次備份之后更改過的文件，這種備份是最有效的備份方法；三是差分備份，備份上次全盤備份之后更改過的所有文件。

根據備份的存儲媒介不同，有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中，只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放，具有速度快和調用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系，在系統恢復時重新安裝。其特點是便于保管，用以彌補了熱備份的一些不足。進行備份的過程中，常使用備份軟件，如GHOST等。

三、內部網絡安全

為了保證局域網安全，內網和外網最好進行訪問隔離，常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測，以增強機構內部網的安全性。

1、訪問控制：在內外網隔離及訪問系統中，采用防火墻技術是目前保護內部網安全的最主要的，同時也是最在效和最經濟的措施之一。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據安全政策控制出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務。實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問，外界的哪些人可以訪問內部的哪些服務，以及哪些外部服務可以被內部人員訪問。其基本功能有：過濾進、出的數據；管理進、出網絡的訪問行為；封堵某些禁止的業務等。應該強調的是，防火墻是整體安全防護體系的一個重要組成部分，而不是全部。因此必須將防火墻的安全保護融合到系統的整體安全策略中，才能實現真正的安全。

另外，防火墻還用于內部網不同網絡安全域的隔離及訪問控制。防火墻可以隔離內部網絡的一個網段與另一個網段，防止一個網段的問題穿過整個網絡傳播。針對某些網絡，在某些情況下，它的一些局域網的某個網段比另一個網段更受信任，或者某個網段比另一個網段更敏感。而在它們之間設置防火墻就可以限制局部網絡安全問題對全局網絡造成的影響。

2、網絡安全檢測：保證網絡系統安全最有效的辦法是定期對網絡系統進行安全性評估分析，用實踐性的方法掃描分析網絡系統，檢查報告系存在的弱點和漏洞，建議補救措施和安全策略，達到增強網絡安全性的目的。

以上只是對防范外部入侵，維護網絡安全的一些粗淺看法。建立健全的網絡管理制度是校園網絡安全的一項重要措施，健康正常的校園網絡需要廣大師生共同來維護。

參考文獻

1.局域網組建與維護DIY.人民郵電出版社,2003.05

2.黃偉.電腦上網從入門到精通.航空工業出版社,2000.08

3.現代遠程教育.湖南人民出版社,2005.07

第二篇：談談校園網絡安全技術

隨著網絡技術的不斷發展和Internet的日益普及，許多學校都建立了校園網絡并投入使用，這無疑對加快信息處理，提高工作效率，減輕勞動強度，實現資源共享都起到了無法估量的作用。但教師和學生在使用校園網絡的同時卻忽略了網絡安全問題，登陸了一些非法網站和使用了帶病毒的軟件，導致了校園計算機系統的崩潰，給計算機教師帶來了大量的工作負擔，也嚴重影響了校園網的正常運行。所以在積極發展辦公自動化、實現資源共享的同時，教師和學生都應加強對校園網絡的安全重視。正如人們經常所說的：網絡的生命在于其安全性。因此，如何在現有的條件下，如何搞好網絡的安全，就成了校園網絡管理人員的一個重要課題。

作為一位中學電腦教師兼負著校園網絡的維護和管理，我們一起來探討一下校園網絡安全技術。

網絡安全主要是網絡信息系統的安全性，包括系統安全、網絡運行安全和內部網絡安全。

一、系統安全

系統安全包括主機和服務器的運行安全，主要措施有反病毒。入侵檢測、審計分析等技術。

1、反病毒技術：計算機病毒是引起計算機故障、破壞計算機數據的程序，它能夠傳染其它程序，并進行自我復制，特別是要網絡環境下，計算機病毒有著不可估量的威脅性和破壞力，因此對計算機病毒的防范是校園網絡安全建設的一個重要環節，具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測，或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控，效果不錯。

2、入侵檢測：入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析，從中發現是否有違反安全策略的行為和被攻擊的跡象，以提高系統管理員的安全管理能力，及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件，主要功能有：檢測并分析用戶和系統的活動；檢查系統的配置和操作系統的日志；發現漏洞、統計分析異常行為等等。

從目前來看系統漏洞的存在成為網絡安全的首要問題，發現并及時修補漏洞是每個網絡管理人員主要任務。當然，從系統中找到發現漏洞不是我們一般網絡管理人員所能做的，但是及早地發現有報告的漏洞，并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法，就是經常登錄各有關網絡安全網站，對于我們有使用的軟件和服務，應該密切關注其程序的最新版本和安全信息，一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多的網絡管理員對此認識不夠，以至于過了幾年，還能掃描到機器存在許多漏洞。在校園網中服務器，為用戶提供著各種的服務，但是服務提供的越多，系統就存在更多的漏洞，也就有更多的危險。因此從安全角度考慮，應將不必要的服務關閉，只向公眾提供了他們所需的基本的服務。最典型的是，我們在校園網服務器中對公眾通常只提供WEB服務功能，而沒有必要向公眾提供FTp功能，這樣，在服務器的服務配置中，我們只開放WEB服務，而將FTp服務禁止。如果要開放FTp功能，就一定只能向可能信賴的用戶開放，因為通過FTp用戶可以上傳文件內容，如果用戶目錄又給了可執行權限，那么，通過運行上傳某些程序，就可能使服務器受到攻擊。所以，信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。

3、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統，還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況，審計信息對于確定問題和攻擊源很重要。同時，系統事件的記錄能夠更迅速和系統地識別問題，并且它是后面階段事故處理的重要依據。另外，通過對安全事件的不斷收集、積

聚和分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，可以及早發現可能產生的破壞性行為。

因此，除使用一般的網管軟件系統監控管理系統外，還應使用目前已較為成熟的網絡監控設備，以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷，從而防止針對網絡的攻擊與犯罪行為。

二、網絡運行安全

網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外，還要有備份與恢復等應急措施來保證網絡受到攻擊后，能盡快地全盤恢復運行計算機系統所需的數據。

一般數據備份操作有三種。一是全盤備份，即將所有文件寫入備份介質；二是增量備份，只備份那些上次備份之后更改過的文件，這種備份是最有效的備份方法；三是差分備份，備份上次全盤備份之后更改過的所有文件。

根據備份的存儲媒介不同，有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中，只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放，具有速度快和調用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系，在系統恢復時重新安裝。其特點是便于保管，用以彌補了熱備份的一些不足。進行備份的過程中，常使用備份軟件，如GHOST等。

三、內部網絡安全

為了保證局域網安全，內網和外網最好進行訪問隔離，常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測，以增強機構內部網的安全性。

1、訪問控制：在內外網隔離及訪問系統中，采用防火墻技術是目前保護內部網安全的最主要的，同時也是最在效和最經濟的措施之一。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據安全政策控制出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務。實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問，外界的哪些人可以訪問內部的哪些服務，以及哪些外部服務可以被內部人員訪問。其基本功能有：過濾進、出的數據；管理進、出網絡的訪問行為；封堵某些禁止的業務等。應該強調的是，防火墻是整體安全防護體系的一個重要組成部分，而不是全部。因此必須將防火墻的安全保護融合到系統的整體安全策略中，才能實現真正的安全。

另外，防火墻還用于內部網不同網絡安全域的隔離及訪問控制。防火墻可以隔離內部網絡的一個網段與另一個網段，防止一個網段的問題穿過整個網絡傳播。針對某些網絡，在某些情況下，它的一些局域網的某個網段比另一個網段更受信任，或者某個網段比另一個網段更敏感。而在它們之間設置防火墻就可以限制局部網絡安全問題對全局網絡造成的影響。

2、網絡安全檢測：保證網絡系統安全最有效的辦法是定期對網絡系統進行安全性評估分析，用實踐性的方法掃描分析網絡系統，檢查報告系存在的弱點和漏洞，建議補救措施和安全策略，達到增強網絡安全性的目的。

以上只是對防范外部入侵，維護網絡安全的一些粗淺看法。建立健全的網絡管理制度是校園網絡安全的一項重要措施，健康正常的校園網絡需要廣大師生共同來維護。

第三篇：網絡安全技術

網絡安全技術

——防火墻技術與病毒

摘 要：

計算機網絡安全，指致力于解決諸如如何有效進行介入控制，以及如何保證數據傳輸的安全性的技術手段。而計算機網絡安全主要包括計算機網絡安全的概況、虛擬網技術、防火墻技術、入侵檢測技術, 安全掃描技術, 電子認證和數字簽名技術.VPN技術、數據安全、計算機病毒等。防火墻技術作為時下比較成熟的一種網絡安全技術，其安全性直接關系到用戶的切身利益。針對網絡安全獨立元素——防火墻技術，通過對防火墻日志文件的分析，設計相應的數學模型和軟件雛形，采用打分制的方法，判斷系統的安全等級，實現對目標網絡的網絡安全風險評估，為提高系統的安全性提供科學依據。本文將以最常見的WORD宏病毒為例來解釋計算機病毒傳播過程。

關鍵詞：網絡安全 防火墻技術 計算機病毒

1.1 研究背景

隨著互聯網的普及和發展，尤其是Internet的廣泛使用，使計算機應用更加廣泛與深入。同時，我們不得不注意到，網絡雖然功能強大，也有其脆弱易受到攻擊的一面。據美國FBI統計，美國每年因網絡安全問題所造成的經濟損失高達75億美元，而全求平均每20秒鐘就發生一起Internet計算機侵入事件。在我國，每年因黑客入侵、計算機病毒的破壞也造成了巨大的經濟損失。人們在利用網絡的優越性的同時，對網絡安全問題也決不能忽視。如何建立比較安全的網絡體系，值得我們關注研究。

1.2 計算機病毒簡介

計算機病毒是指那些具有自我復制能力的計算機程序, 它能影響計算機軟件、硬件的正常運行, 破壞數據的正確與完整。計算機病毒的來源多種多樣, 有的是計算機工作人員或業余愛好者為了純粹尋開心而制造出來的;有的則是軟件公司為保護自己的產品被非法拷貝而制造的報復性懲罰, 因為他們發現病毒比加密對付非法拷貝更有效且更有威脅, 這種情況助長了病毒的傳播。還有一種情況就是蓄意破壞, 它分為個人行為和政府行為兩種, 個人行為多為雇員對雇主的報復行為, 而政府行為則是有組織的戰略戰術手段。另外有的病毒還是用于研究或實驗而設計的“有用”程序, 由于某種原因失去控制擴散出實驗室, 從而成為危害四方的計算機病毒。

1987 年, 計算機用戶忽然發現, 在世界的各個角落, 幾乎同時出現了形形色色的計算機病毒。Brain, Lenig h, IBM 圣誕樹, 黑色星期五, 特別是近期發現的幾種病毒, 其名氣也最大, 它們是: 臺灣一號病毒、DIR-Ⅱ病毒、幽靈病毒、米開朗基羅病毒等, 至今, 病毒種類已超過一萬種。

1988 年底, 我國國家統計系統發現小球病毒。隨后, 中國有色金屬總公司所屬昆明、天津、成都等地的一些單位, 全國一些科研部門和國家機關也相繼發現病毒入侵。自從“中國炸彈”病毒出現后,已發現越來越多的國產病毒。比如目前國內主要有:感染Window s3.x 的“V3783”,感染Window s95/ 98的“CIH”病毒。

縱觀計算機病毒的發展歷史, 我們不難看出, 計算機病毒已從簡單的引導型、文件型病毒或它們的混合型發展到了多形性病毒、欺騙性病毒、破壞性病毒。已從攻擊安全性較低的DOS平臺發展到攻擊安全性較高的Window s95/ 98平臺;從破壞磁盤數據發展到直接對硬件芯片進行攻擊。1995 年宏病毒的出現, 使病毒從感染可執行文件過渡到感染某些非純粹的數據文件。最近有資料顯示已發現JAVA病毒, 各種跡象表明病毒正向著各個領域滲透, 這些新病毒更隱秘, 破壞性更強。

計算機病毒的種類很多, 不同種類的病毒有著各自不同的特征, 它們有的以感染文件為主、有的以感染系統引導區為主, 大多數病毒只是開個小小的玩笑。

按傳染方式分類可分為引導型病毒、文件型病毒和混合型病毒3種。引導型病毒主要是感染磁盤的引導區, 系統從包含了病毒的磁盤啟動時傳播, 它一般不對磁盤文件進行感染;文件型病毒一般只傳染磁盤上的可執行文件(COM, EXE), 其特點是附著于正常程序文件, 成為程序文件的一個外殼或部件;混合型病毒則兼有以上兩種病毒的特點, 既感染引導區又感染文件, 因此擴大了這種病毒的傳染途徑。

按連接方式分類可分為源碼型病毒、入侵型病毒和操作系統型病毒等3 種。其中源碼型病毒主要攻擊高級語言編寫的源程序, 它會將自己插入到系統的源程序中, 并隨源程序一起編譯、連接成可執行文件, 從而導致剛剛生成的可執行文件直接帶毒;入侵型病毒用自身代替正常程序中的部分模塊或堆棧區的病毒, 它只攻擊某些特定程序, 針對性強;操作系統型病毒是用其自身部分加入或替代操作系統的部分功能, 危害性較大。

病毒按程序運行平臺分類可分為DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它們分別是發作于DOS,Windows9X,WindowsNT, OS/2等操作系統平臺上的病毒。而計算機病毒的主要危害：不同的計算機病毒有不同的破壞行為, 其中有代表性的行為如下: 一是攻擊系統數據區, 包括硬盤的主引導扇區、Boot 扇區、FAT 表、文件目錄。一般來說, 攻擊系統數據區的病毒是惡性病毒, 受損的數據不易恢復。二是攻擊文件, 包括刪除、改名、替換文件內容、刪除部分程序代碼、內容顛倒、變碎片等等。三是攻擊內存。

1.3防火墻概述

隨著Internet的迅速發展，網絡應用涉及到越來越多的領域，網絡中各類重要的、敏感的數據逐漸增多;同時由于黑客入侵以及網絡病毒的問題，使得網絡安全問題越來越突出。因此，保護網絡資源不被非授權訪問，阻止病毒的傳播感染顯得尤為重要。就目前而言，對于局部網絡的保護，防火墻仍然不失為一種有效的手段，防火墻技術主要分為包過濾和應用代理兩類。其中包過濾作為最早發展起來的一種技術，其應用非常廣泛。

防火墻是設置在被保護網絡和外部網絡之間的一道屏障，以防止發生不可預測的、潛在破壞性的侵入。[4]防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。防火墻提供信息安全服務，是實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監控了內部網絡和互聯網之間的任何活動，保證了內部網絡的安全。

2.防火墻的原理及分類

顧名思義，包過濾防火墻[9]就是把接收到的每個數據包同預先設定的包過濾規則相比較，從而決定是否阻塞或通過。過濾規則是基于網絡層IP包包頭信息的比較。包過濾防火墻工作在網絡層，IP包的包頭中包含源、目的IP地址，封裝協議類型(TCP，UDP，ICMP或IP Tunnel)，TCP/UDP端口號，ICMP消息類型，TCP包頭中的ACK等等。如果接收的數據包與允許轉發的規則相匹配，則數據包按正常情況處理;如果與拒絕轉發的規則相匹配，則防火墻丟棄數據包;如果沒有匹配規則，則按缺省情況處理。包過濾防火墻是速度最快的防火墻，這是因為它處于網絡層，并且只是粗略的檢查連接的正確性，所以在一般的傳統路由器上就可以實現，對用戶來說都是透明的。但是它的安全程度較低，很容易暴露內部網絡，使之遭受攻擊。例如，HTTP。通常是使用80端口。如果公司的安全策略允許內部員工訪問網站，包過濾防火墻可能設置允所有80端口的連接通過，這時，意識到這一漏洞的外部人員可以在沒有被認證的情況下進入私有網絡。包過濾防火墻的維護比較困難，定義過濾規則也比較復雜，因為任何一條過濾規則的不完善都會給網絡黑客造成可乘之機。同時，包過濾防火墻一般無法提供完善的日志。

應用級代理技術通過在OSI的最高層檢查每一個IP包，從而實現安全策略。代理技術與包過濾技術完全不同，包過濾技術在網絡層控制所有的信息流，而代理技術一直處理到應用層，在應用層實現防火墻功能。它的代理功能，就是在防火墻處終止客戶連接并初始化一個新的連接到受保護的內部網絡。這一內建代理機制提供額外的安全，這是因為它將內部和外部網絡隔離開來，使網絡外部的黑客在防火墻內部網絡上進行探測變得困難，更重要的是能夠讓網絡管理員對網絡服務進行全面的控制。但是，這將花費更多的處理時間，并且由于代理防火墻支持的應用有限，每一種應用都需要安裝和配置不同的應用代理程序。比如訪問WEB站點的HTTP，用于文件傳輸的FTP，用于E一MAIL的SMTP/POP3等等。如果某種應用沒有安裝代理程序，那么該項服務就不被支持并且不能通過防火墻進行轉發;同時升級一種應用時，相應的代理程序也必須同時升級。

代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應用級網關一類。它是針對數據包過濾[10]和應用網關技術存在的缺點而引入的防火墻技術，其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的“鏈接”，由兩個終止代理服務器上的“鏈接”來實現，外部計算機的網絡鏈路只能到達代理服務器，從而起到了隔離防火墻內外計算機系統的作用。此外，代理服務也對過往的數據包進行分析、注冊登記，形成報告，同時當發現被攻擊跡象時會向網絡管理員發出警報，并保留攻擊痕跡。應用代理型防火墻是內部網與外部網的隔離點，起著監視和隔絕應用層通信流的作用。同時 也常結合入過濾器的功能。它工作在OSI模型的最高層，掌握著應用系統中可用作安全決策的全部信息。

復合型防火墻：由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結合起來，形成復合型防火墻產品。這種結合通常是以下兩種方案。屏蔽主機防火墻體系結構，在該結構中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內部網絡，通過在分組過濾器路由器或防火墻上過濾規則的設置，使堡壘機成為Internet上其他節點所能到達的唯一節點，這確保了內部網絡不受未授權外部用戶的攻擊。屏蔽子網防火墻體系結構：堡壘機放在一個子網內，形成非軍事化區，兩個分組過濾路由器放在這一子網的兩端，使這一子網與Internet及內部網絡分離。在屏蔽子網防火墻體系結構中，堡壘機和分組過濾路由器共同構成了整個防火墻的安全基礎。執行save命令保存退出后就可以在企業外網出口指定IP時實現防火墻數據轉發以及安全保護功能了。

3.1防火墻包過濾技術發展趨勢

(1)安全策略功能

一些防火墻廠商把在AAA系統上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網關技術的，包過濾技術的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網絡通信帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。

(2)多級過濾技術

所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾(網絡層)一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規則，過濾掉所有禁止出或/和入的協議和有害數據包如nuke包、圣誕樹包等；在應用網關(應用層)一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術，它可以彌補以上各種單獨過濾技術的不足。

這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網絡層，從這個概念出發，又有很多內容可以擴展，為將來的防火墻技術發展打下基礎。

(3)功能擴展

功能擴展是指一種集成多種功能的設計趨勢，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產品中了，很多時候我們已經無法分辨這樣的產品到底是以防火墻為主，還是以某個功能為主了，即其已經逐漸向我們普遍稱之為IPS（入侵防御系統）的產品轉化了。有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當然目前主要還是在個人防火墻中體現，因為它是純軟件形式，更容易實現。這種防火墻技術可以有效地防止病毒在網絡中的傳播，比等待攻擊的發生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。

3.1防火墻的體系結構發展趨勢

隨著網絡應用的增加，對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外，在以后幾年里，多媒體應用將會越來越普遍，它要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發了基于ASIC的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來，基于網絡處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網絡處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網絡數據流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。參考文獻

[1] 艾軍.防火墻體系結構及功能分析[J].電腦知識與技術.2004，(s):79一82.[2] 高峰.許南山.防火墻包過濾規則問題的研究[M].計算機應用.2003，23(6):311一312.[3] 孟濤、楊磊.防火墻和安全審計[M].計算機安全.2004，(4):17一18.[4] 鄭林.防火墻原理入門[Z].E企業.2000.[5] 魏利華.防火墻技術及其性能研究.能源研究與信息.2004，20(l):57一62

[6] 李劍，劉美華，曹元大.分布式防火墻系統.安全與環境學報.2002，2(l):59一61

[7] 王衛平，陳文惠，朱衛未.防火墻技術分析.信息安全與通信保密.2006，(8):24一27

[8] 付歌，楊明福.一個快速的二維數據包分類算法.計算機工程.2004，30(6):76一78

[9] 付歌，楊明福，王興軍.基于空間分解的數據包分類技術.計算機工程與應用.2004(8):63一65

[10] 〕韓曉非，王學光，楊明福.位并行數據包分類算法研究.華東理工大學學報.2003，29(5):504一508

[11] 韓曉非，楊明福，王學光.基于元組空間的位并行包分類算法.計算機工程與應用.2003，(29):188一192

[12] 馮東雷，張勇，白英彩.一種高性能包分類漸增式更新算法.計算機研究與發展.2003，40(3):387一392

第四篇：網絡安全技術

網絡信息安全與策略

【摘要】隨著我國網路信息科技的高速發展，網絡信息安全問題日益突出。以網絡方式獲取信息和交流信息已成為現代信息社會的一個重要特征。網絡給人們生活帶來極大便利的同時，也給許多部門、單位和個人帶來了極大的風險，造成嚴重的經濟損失。最新報道：央視《經濟半小時》播出“我國黑客木馬形成產業 2009年收入可超百億元”節目，可以看出黑客通過網絡傳播木馬的嚴重性。本文主要探討了網絡信息安全中存在的威脅，并提出了相應的技術保障和對策。【關鍵字】網絡

信息

安全

黑客

病毒

技術

一、網絡信息安全的內涵

在網絡出現以前，信息安全是指為建立信息處理系統而采取的技術上和管理上的安全保護以實現電子信息的保密性、完整性、可用性、可控性和不可否認性。當今信息時代，計算機網絡已經成為一種不可缺少的信息交換工具。然而，由于計算機網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性，再加上本身存在的技術弱點和人為的疏忽，致使網絡易受計算機病毒、黑客或惡意軟件的侵害。面對侵襲網絡安全的種種威脅，必須考慮信息的安全這個至關重要的問題。

網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統安全，即硬件平臺、操作系統、應用軟件;運行服務安全，即保證服務的連續性、高效率。信息安全則主要是指數據安全，包括數據加密、備份、程序等。

1.網絡信息安全的內容

(1)硬件實體安全。即網絡硬件和存儲媒體的安全。要保護這些硬設施不受損害，能夠正常工作；預防地震、水災、颶風、雷擊等的措施；滿足設備正常運行環境要求；防止電磁輻射、泄露；媒體的安全備份及管理等。

(2)軟件系統安全。即計算機程序和文檔資料及其網絡中各種軟件不被篡改或破壞，不被非法操作或誤操作，功能不會失效，不被非法復制。

(3)運行服務安全。即網絡中的各個信息系統能夠正常運行并能正常地通過網絡交流信息。通過對網絡系統中的各種設備運行狀況的監測，發現不安全因素能及時報警并采取措施改變不安全狀態，保障網絡系統正常運行。

(4)數據信息安全。即網絡中存儲及流通數據的安全。要保護網絡中的數據文件和數據信息在傳輸過程中不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網絡安全最根本的目的。

2.網絡信息安全的目標

(1)保密性。保密性是指利用密碼技術對敏感信息進行加密處理同時采取抑制、屏蔽措施防止電磁泄漏，保證信息只有合法用戶才能利用，而不會泄露給非授權人、實休。

(2)完整性。完整性是指信息未經授權不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網絡信息安全進行攻擊的最終目的就是破壞信息的完整性。

(3)可用性。可用性是指合法用戶訪問并能按要求順序使用信息的特性，即保證合法用戶在需要時可以訪問到信息。

(4)可控性。可控性是指授權機構對信息的內容及傳播具有控制的能力的特性，可以控制授權范圍內的信息流向以及方式。

(5)不可否認性。不可否認性是指在信息交流過程結束后，通信雙方不能抵賴曾經做出的行為，也不能否認曾經接收到對方的信息。

二、網絡信息安全面臨的威脅

1.操作系統自身的因素

無論哪一種操作系統，其體系結構本身就是不安全的一種因素。由于操作系統的程序是可以動態連接的，包過I/O的驅動程序與系統服務都可以用打補丁的方法升級和進行動態連接。而這種動態連接正是計算機病毒產生的溫床，該產品的廠商可以使用，“黑客”成員也可以使用。因此，這種打補丁與滲透開發的操作系統是不可能從根本上解決安全問題。

2.網絡協議和軟件的安全缺陷

因特網的基石是TCP/IP協議簇，該協議簇在實現上力求效率，而沒有考慮安全因素，因為那樣無疑增大代碼量，從而降低了TCP/IP的運行效率，所以說TCP/IP本身在設計上就是不安全的。很容易被竊聽和欺騙：大多數因特網上的流量是沒有加密的，電子郵件口令、文件傳輸很容易被監聽和劫持。很多基于TCP/IP的應用服務都在不同程度上存在著安全問題，這很容易被一些對TCP/IP十分了解的人所利用，一些新的處于測試階級的服務有更多的安全缺陷。缺乏安全策略：許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被內部人員濫用，黑客從一些服務中可以獲得有用的信息，而網絡維護人員卻不知道應該禁止這種服務。配置的復雜性：訪問控制的配置一般十分復雜，所以很容易被錯誤配置，從而給黑客以可乘之機。TCP/IP是被公布于世的，了解它的人越多被人破壞的可能性越大。現在，銀行之間在專用網上傳輸數據所用的協議都是保密的，這樣就可以有效地防止入侵。當然，人們不能把TCP/IP和其實現代碼保密，這樣不利于TCP/IP網絡的發展。

3.電腦黑客攻擊多樣化

進人2006年以來，網絡罪犯采用翻新分散式阻斷服務(DDOS)攻擊的手法，用形同互聯網黃頁的域名系統服務器來發動攻擊，擾亂在線商務。寬帶網絡條件下，常見的拒絕服務攻擊方式主要有兩種，一是網絡黑客蓄意發動的針對服務和網絡設備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式，造成網絡流量急速提高，導致網絡設備崩潰，或者造成網絡鏈路的不堪負重。

調查資料顯示，2006年初發現企業的系統承受的攻擊規模甚于以往，而且來源不是被綁架的“僵尸”電腦，而是出自于域名系統(DNS)服務器。一旦成為DDOS攻擊的目標，目標系統不論是網頁服務器、域名服務器，還是電子郵件服務器，都會被網絡上四面八方的系統傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統正常的信息處理，借以切斷攻擊目標對外的連線。黑客常用“僵尸”電腦連成網絡，把大量的查詢要求傳至開放的DNS服務器，這些查詢信息會假裝成被巨量信息攻擊的目標所傳出的，因此DNS服務器會把回應信息傳到那個網址。

美國司法部的一項調查資料顯示，1998年3月到2005年2月期間，82%的人侵者掌握授權用戶或設備的數據。在傳統的用戶身份認證環境下，外來攻擊者僅憑盜取的相關用戶身份憑證就能以任何臺設備進人網絡，即使最嚴密的用戶認證保護系統也很難保護網絡安全。另外，由于企業員工可以通過任何一臺未經確認和處理的設備，以有效合法的個人身份憑證進入網絡，使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機可乘，嚴重威脅網絡系統的安全。有資料顯示，最近拉美國家的網絡詐騙活動增多，作案手段先進。犯罪活動已經從“現實生活轉入虛擬世界”，網上詐騙活動日益增多。

4計算機病毒

計算機病毒是專門用來破壞計算機正常工作，具有高級技巧的程序。它并不獨立存在，而是寄生在其他程序之中，它具有隱蔽性、潛伏性、傳染性和極大的破壞性。隨著網絡技術的不斷發展、網絡空間的廣泛運用，病毒的種類急劇增加。目前全世界的計算機活體病毒達14萬多種，其傳播途徑不僅通過軟盤、硬盤傳播，還可以通過網絡的電子郵件和下載軟件傳播。從國家計算機病毒應急處理中日常監測結果來看，計算機病毒呈現出異常活躍的態勢。據2001年調查，我國約73%的計算機用戶曾感染病毒,2003年上半年升至83%。其中，感染3次以上的用戶高達59%，而且病毒的破壞性較大。被病毒破壞全部數據的占14%，破壞部分數據的占57%。只要帶病毒的電腦在運行過程中滿足設計者所預定的條件，計算機病毒便會發作，輕者造成速度減慢、顯示異常、丟失文件，重者損壞硬件、造成系統癱瘓。

5.人性的脆弱性

人們與生俱來就有信任他人、樂于助人以及對未知事物的好奇心等弱點。狡猾的電腦黑客往往利用這些弱點，通過E-mail、偽造的Web網站、向特定的用戶提幾個簡單的問題的伎倆，騙取公司的保密資料或從個人用戶那里騙取網上購物的信用卡、用戶名和密碼，達到入侵網絡信息系統的目的，使得那些采用多種先進技術的安全保護措施形同虛設。

6管理因素

用戶安全意識淡薄, 管理不善是當前存在的一個嚴重的問題。目前我國安全管理方面存在的問題主要有: 一是缺乏強有力的權威管理機構, 由于我國網絡安全立法滯后, 安全管理部門受人力、技術等條件的限制影響著安全管理措施的有效實施。二是缺乏安全審計,安全審計是把與安全相關的事件記錄到安全日志中,我國現有的網絡系統大多數缺少安全審計, 安全日志形同虛設。三是安全意識淡薄。人們對信息安全認識不夠, 過分依賴信息安全產品, 缺乏細致的內部網絡管理機制, 一些用戶警惕性不高, 操作麻痹, 甚至把自己賬號隨意給他人。

三、保障網絡信息安全的對策和技術

1.安全通信協議和有關標準。

在網絡安全技術應用領域，安全通信協議提供了一種標準，基于這些標準，企業可以很方便地建立自己的安全應用系統。目前主要的安全通信協議有SSL（TLS）、IPsec和S/MIME SL提供基于客戶/服務器模式的安全標準，SSL（TLS）在傳輸層和應用層之間嵌入一個子層，主要用于實現兩個應用程序之間安全通訊機制，提供面向連接的保護；IP安全協議（IPsec）提供網關到網關的安全通信標準，在網絡層實現，IPsec能夠保護整個網絡；S/MIME在應用層提供對信息的安全保護，主要用于信息的安全存儲、信息認證、傳輸和信息轉發。三種安全通信協議雖然均提供了類似的安全服務，但是他們的具體應用范圍是不同的，在實際應用中，應根據具體情況選擇相應的安全通信協議。

2.防火墻技術

防火墻技術是為了保證網絡路由安全性而在內部網和外部網之間的界面上構造一個保護層。所有的內外連接都強制性地經過這一保護層接受檢查過濾，只有被授權的通信才允許通過。防火墻的安全意義是雙向的，一方面可以限制外部網對內部網的訪問，另一方面也可以限制內部網對外部網中不健康或敏感信息的訪問。同時，防火墻還可以對網絡存取訪問進行記錄和統計，對可疑動作告警，以及提供網絡是否受到監視和攻擊的詳細信息。防火墻系統的實現技術一般分為兩種，一種是分組過濾技術，一種是代理服務技術。分組過濾基于路由器技術，其機理是由分組過濾路由器對IP分組進行選擇，根據特定組織機構的網絡安全準則過濾掉某些IP地址分組，從而保護內部網絡。代理服務技術是由一個高層應用網關作為代理服務器，對于任何外部網的應用連接請求首先進行安全檢查，然后再與被保護網絡應用服務器連接。代理服務技術可使內、外網絡信息流動受到雙向監控。

3.訪問拉制技術

訪問控制根據用戶的身份賦予其相應的權限，即按事先確定的規則決定主體對客體的訪問是否合法，當一主體試圖非法使用一個未經授權使用的客體時，該機制將拒絕這一企圖，其主要通過注冊口令、用戶分組控制、文件權限控制三個層次完成。此外，審計、日志、入侵偵察及報警等對保護網絡安全起一定的輔助作用，只有將上述各項技術很好地配合起來，才能為網絡建立一道安全的屏障。

4.反病毒軟件

反病毒軟件已成為人們抵御病毒進攻的有力武器。目前的反病毒軟件具有幾項技術特色。首先, 出現了病毒防火墻。該技術為用戶提供了一個實時監防止病毒發作的工具,它對用戶訪問的每一個文件進行病毒檢測, 確認無毒后才會讓系統接管進行下一步的工作。其次, 反病毒軟件提出了在線升級的方式。第三, 完成了統一的防病毒管理。第四,嵌入式查毒技術的形成, 它將殺毒引擎直接嵌掛到IE 瀏覽器和流行辦公軟件Office2003 和OfficeXP 組件當中,使其與可能發生病毒侵擾的應用程序有機地結合為一體, 在占用系統資源最小的情況下查殺病毒。

5.入侵檢測技術

隨著網絡安全風險系數的不斷提高, 作為對防火墻及其有益的補充, IDS(入侵檢測系統)能夠幫助網絡系統快速發現攻擊的發生,它擴展了系統管理員的安全管理能力包括安全審計、監視、進攻識別和響應, 提高了信息安全基礎結構的完整性。入侵檢測系統是一種對網絡活動進行實時監測的專用系統, 該系統處于防火墻之后, 可以和防火墻及路由器配合工作, 用來檢查一個LAN 網段上的所有通信,記錄和禁止網絡活動,可以通過重新配置來禁止從防火墻外部進入的惡意流量。入侵檢測系統能夠對網絡上的信息進行快速分析或在主機上對用戶進行審計分析, 通過集中控制臺來管理、檢測。

6.PKI技術

PKI是在公開密鑰理論和技術基礎上發展起來的一種綜合安全平臺，能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理，從而達到保證網上傳遞信息的安全、真實、完整和不可抵賴的目的。利用PKI可以方便地建立和維護一個可信的網絡計算環境，從而使得人們在這個無法直接相互面對的環境里，能夠確認彼此的身份和所交換的信息，能夠安全地從事商務活動。目前，PKI技術己趨于成熟，其應用已覆蓋了從安全電子郵件、虛擬專用網絡(VPN),Web交互安全到電子商務、電子政務、電子事務安全的眾多領域，許多企業和個人已經從PKI技術的使用中獲得了巨大的收益。

在PKI體系中，CA(CertificateAuthority，認證中心)和數字證書是密不可分的兩個部分。認證中心又叫CA中心，它是負責產生、分配并管理數字證書的可信賴的第三方權威機構。認證中心是PKI安全體系的核心環節，因此又稱作PKI/CA。認證中心通常采用多層次的分級結構，上級認證中心負責簽發和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。數字證書，又叫“數字身份證”、“數字ID”，是由認證中心發放并經認證中心數字簽名的，包含公開密鑰擁有者以及公開密鑰相關信息的一種電子文件，可以用來證明數字證書持有者的真實身份。

7.增強網絡安全意識

利用講座和電視視頻直播給上網的朋友們普及有關網絡安全知識,使他們知道網絡中時時刻刻都存在潛在的威脅,可能會帶來經濟損失和精神損失。同時，還要讓他們知道一切不明身份的垃圾郵件千萬不要打開，因為它可能給你的電腦帶進病毒。通過事實中的案例告訴網民在網絡中做任何事情一定不要放松自己的警惕，加強自己電腦的殺毒軟件，多關注網上欺騙手段的視頻。總之，利用一切可以利用的手段加強網民的網絡安全意識。

8.法律保護

隨著互聯網技術的發展，大量的信息在互聯網上進行傳播，不可避免地會侵犯他人的合法權益，而且這種侵犯將因為互聯網比其他媒體更有廣泛的影響而加重侵權的嚴重程度。從這個意義上來說，一個人可以不上網，但是他的合法權益被他人通過互聯網侵犯卻是有可能的，因此，加強與互聯網相關的立法建設，對于全體國民都是非常重要的。

四、結論

隨著信息技術的飛速發展，網絡及網絡信息安全技術已經深入到了社會的多個領域。網絡和信息時代給我們帶來技術進步和生活便利的同時，也給國家和個人都帶了巨大經濟損失。網民要加強自己的防范意識，保證自己的財產不受到侵犯。我還希望國家相關部門規范網絡信息安全標準，加快先進技術的研發來保障網絡通訊的安全。同時，加強相關法律法規的力度來保證人民的根本利益，為我們提供一個安全的網絡環境。參考文獻：

[1]龐淑英.網絡信息安全技術基礎及應用.2009 [2]李俊宇.信息安全技術基礎冶金工業出版社.2004.12 [3]王麗輝.網絡安全及相關技術吉林農業科技學院學報，第19卷第2期.2005 [4]何萬敏.網絡信息安全與防范技術甘肅農業.2005年第1期 [5]黃慧陳閡中.針對黑客攻擊的預防措施計算機安全.2005 [6]王云峰.信息安全技術及策略[J].廣東廣播電視大學學報,2006

第五篇：網絡安全技術論文

當前網絡常見安全問題分析

指導老師：

摘要：信息時代，人們對計算機和網絡的應用和依賴程度愈來愈高，信息安全問題日益突顯，海量的信息存儲在網絡上，隨時可能遭到非法入侵，存在著嚴重的安全隱患本文針對根據幾火突出的網絡安全問題，歸納并提出了一些網絡信息安全防抄的方法和策略計算機網絡的廣泛應用給計算機的安全提出了更高的要求，也使網絡安全問題日漸突出。如果不很好地解決這個問題，必將阻礙計算機網絡化發展的進程。關鍵詞：網絡安全

黑客入侵

網絡詐騙

1、網絡安全的基本內涵

網絡安全從本質上來講就是網絡上的信息安全，網絡安全從其本質上來講就是網絡上的信息安全，具體指的是網絡系統的硬件、軟件及其系統中的數據受到保護，不會因為偶然的或者惡意的攻擊而遭到破壞、更改、泄漏，系統能夠連續可靠、正常地運行，網絡服務不中斷網絡安全包括數據安全和系統安全兩方面，它具有保密性、完整性、可用性可控性、不可否認性五大特征

從廣義上來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論，都是網絡安全所要研究的領域。計算機網絡安全不僅包括組網的硬件、管理控制網絡的軟件，也包括共享的資源，快捷的網絡服務，所以定義網絡安全應考慮涵蓋計算機網絡所涉及的全部內容。參照ISO給出的計算機安全定義，認為計算機網絡安全是指：“保護計算機網絡系統中的硬件，軟件和數據資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網絡系統連續可靠性地正常運行，網絡服務正常有序。”

2、常見的網絡安全問題

互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間，網絡技術的迅速發展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯網的上述特性，產生了許多安全問題：（1）信息泄漏、信息污染、信息不易受控。例如，資源未授權侵用、未授權信息流出現、系統拒絕信息流和系統否認等，這些都是信息安全的技術難點。（2）在網絡環境中，一些組織或個人出于某種特殊目的，進行信息泄密、信息破壞、信息侵權和意識形態的信息滲透，甚至通過網絡進行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權益受到威脅。（3）網絡運用的趨勢是全社會廣泛參與，隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧，使信息資源的保護和管理出現脫節和真空，從而使信息安全問題變得廣泛而復雜。（4）隨著社會重要基礎設施的高度信息化，社會的“命脈”和核心控制系統有可能面臨惡意攻擊而導致損壞和癱瘓，包括國防通信設施、動力控制網、金融系統和政府網站等。

2.1遭受黑客攻擊

自 1994 年國際互聯網進入我國以來，我國的網民人數急劇增長，隨著網絡的逐漸普及，黑客隊伍也相應產生并逐漸壯大，其作案范圍日益擴大，作案手段日益高明，對網絡安全造成了危害。

黑客主要是使用一些現有的工具對操作系統的弱口令或安全漏洞加以利用攻擊，獲得一般用戶甚至管理員用戶權限，進而達到實施破壞的目的。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統的運行，并不盜竊系統資料，通常采用拒絕服務攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統、盜竊系統保密信息、破壞目標系統的數據為目的

電腦黑客活動已形成重要威脅。網絡信息系統具有致命的脆弱性、易受攻擊性和開放性，從國內情況來看，目前我國95%與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入，其中銀行、金融和證券機構是黑客攻擊的重點。

2.2計算機病毒

病毒實際上是一種特殊的程序或普通程序中的一段特殊代碼，它的功能是破壞計算機的正常運行或竊取用戶計算機上的隱私。計算機感染上病毒后，輕則使系統效率下降，重則造成系統死機或毀壞，使部分文件或全部數據丟失，甚至造成計算機主板等部件的損壞。有了互聯網后，病毒的傳播速度更快，涉及范圍更廣，危害性更大。計算機系統遭受病毒感染和破壞的情況相當嚴重。據國家計算機病毒應急處理中心副主任張健介紹，從國家計算機病毒應急處理中心日常監測結果看來，計算機病毒呈現出異常活躍的態勢。

2.3 垃圾郵件和間諜軟件

一些人利用電子郵件地址的“公開性”和系統的“可廣播性”進行商業、宗教、政治等活動，把自己的電子郵件強行“推入”別人的電子郵箱，強迫他人接受垃圾郵件。與計算機病毒不同，間諜軟件的主要目的不在于對系統造成破壞，而是竊取系統或是用戶信息。間諜軟件的功能繁多，它可以監視用戶行為，或是發布廣告，修改系統設置，威脅用戶隱私和計算機安全，并可能不同程度地影響系統性能。

2.4 計算機犯罪

計算機犯罪，通常是利用竊取口令等手段非法侵人計算機信息系統，傳播有害信息，惡意破壞計算機系統，實施貪污盜竊、詐騙和金融犯罪等活動。網絡安全的防范措施

3.1 安裝殺毒軟件

計算機病毒有以下五種特征：寄生性、傳染性、破壞性、可觸發性、可潛伏性。根據計算機病毒的特征，人們摸索出了許多檢測計算機病毒和殺毒的軟件。國內的有瑞星、KV3000、金山毒霸、360殺毒軟件等，國外的有諾頓、卡巴斯基等。但是，沒有哪種殺毒軟件是萬能的，所以當本機的殺毒軟件無法找到病毒時，用戶可以到網上下載一些專殺工具，如木馬專殺工具、蠕蟲專殺工具或宏病毒專殺工具等。值得注意的是，安裝了殺毒軟件后，我們還必須每周至少更新一次殺毒軟件病毒庫，因為防病毒軟件只有最新才是最有效的。每周還要對電腦硬盤進行一次全面的掃描、殺毒，以便及時發現并清除隱藏在系統中的病毒。當不慎感染上病毒時，應立即將殺毒軟件升級到最新版本，然后對整個硬盤進行掃描，清除一切可以查殺的病毒。當受到網絡攻擊時，我們的第一反應就是拔掉網絡連接端口以斷開網絡。3.2 安裝網絡防火墻

所謂“防火墻”，是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制，防止Internet上的不安全因素蔓延到局域網內部，所以，防火墻是網絡安全的重要一環。常見的個人網絡防火墻有天網防火墻、瑞星防火墻和360安全衛士等。.安裝防病毒網關軟件 防病毒網關放置在內部網絡和互聯網連接處。當在內部網絡發現病毒時，可能已經感染了很多計算機，防病毒網關可以將大部分病毒隔離在外部，它同時具有反垃圾郵件和反間諜軟件的能力。當出現新的病毒時，管理員只要將防病毒網關升級就可以抵御新病毒的攻擊。

3.3 數據加密

數據加密作為一項基本技術是所有通信安全的基石。數據加密過程是由形形色色的加密算法來具體實施的，它以很小的代價來提供很大的安全保護。在多數情況下，數據加密是保證信息機密性的惟一方法。一般把受保護的原始信息稱為明文，編碼后的稱為密文。數據加密的基本過程包括對明文進行翻譯，譯成密文或密碼的代碼形式。該過程的逆過程為解密，即將該加密的編碼信息轉化為原來的形式的過程。機密資料被加密后，無論是被人通過復制數據、還是采用網絡傳送的方式竊取過去，只要對方不知道你的加密算法，該機密資料就成了毫無意義的亂碼一堆。常見的加密軟件有SecWall、明朝萬達、完美數據加密大師等。

3.4 警惕“網絡釣魚”

“網絡釣魚”（phishing）是通過大量發送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息的一種攻擊方式。黑客就是利用這種欺騙性的電子郵件和偽造的web站點來進行網絡詐騙活動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。黑客通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。對此，用戶應該提高警惕，可安裝一款有反垃圾郵件功能的良好殺毒軟件。大多數安全產品都能將這種郵件識別為垃圾郵件，使你對它們的花言巧語提高警惕。不登錄不熟悉的網站，鍵入網站地址時要認真校對。多用常識思考，因為這是你 抵御詐騙的最有效方式。沒有人會無條件地給予你什么，而網上一見鐘情的概率也是微乎其微。因此，你從一開始就要對這種聯絡抱有高度懷疑，以防誤入圈套。結語

本文簡要地分析了計算機網絡存在的幾種安全隱患，并探討了計算機網絡的幾種安全防范措施。總的來說，網絡安全不僅僅是技術問題，同時也是一個安全管理問題。目前解決網絡安全問題的大部分技術是存在的，但是隨著社會的發展，人們對網絡功能的要求愈加苛刻，這就決定了通信網絡安全維護是一個長遠持久的課題。我們必須適應社會，不斷提高技術水平，以保證網絡安全維護的順利進行。

參考文獻

1、尹建璋《計算機網絡技術及應用實例》西安電子科技大學出版社，2、劉遠生、辛一主編《計算機網絡安全》北京:清華大學出版社.2009.6

3、張千里，陳光英《網絡安全新技術》北京：人民郵電出版社,2003.1

4、徐茂智《信息安全概論》人民郵電出版社2007.8

5、劉永華、解圣慶《局域網組建、管理與維護》清華大學出版社2006.6

5、呂江。網絡安全現狀分析及應對措施[J]．中國新技術新產品，2009，23：44～45．

The current network common security analysis

Abstract: information age, people to the computer and network applications and dependence on more and more high, the information security problem has become very prominent, the magnitude of the information stored in the network, may at any time by the illegal invasion, there are serious security hidden danger in this paper according to a few fire outstanding network security problem, inductive and puts forward some prevention network information security copy method and strategy of the wide application of computer network to computer security put forward higher request, also make the problem of network security becomes more and more serious if not solve this problem well, will hinder the process of the development of computer network.Keywords: network security ,hackers ,network fraud