第一篇：商業(yè)銀行計算機網絡安全管理探討（寫寫幫推薦）

于計算機網絡具有聯(lián)接形式的多樣性、開放性、互連性等特征，致使網絡易受黑客、惡意軟件和其他不軌行為的攻擊。因此，計算機網絡安全和網上信息的安全、保密是至關重要的問題。

一、計算機網絡面臨的風險

商業(yè)銀行網絡呈現(xiàn)分層次的拓撲結構，由于其涉及信息的敏感性，會成為內部和外部黑客攻擊的目標。當前商業(yè)銀行網絡系統(tǒng)面臨的主要風險和威脅有以下幾方面。

1.非法訪問

商業(yè)銀行網絡系統(tǒng)是個遠程互連的金融網絡系統(tǒng)，現(xiàn)有網絡系統(tǒng)利用操作系統(tǒng)、網絡設備的部分安全功能進行訪問控制。控制強度相對較弱，攻擊者可以從任何一個終端/主機利用現(xiàn)有大量攻擊工具發(fā)起對主機的攻擊。整個網絡通過公用網絡互連，存在搭接終端進行攻擊的可能。攻擊的結果可以控制主機，進行非法操作，并修改數據。

2.竊取PIN/密鑰等敏感數據

部分商業(yè)銀行網絡系統(tǒng)采用軟件加密的形式保護關鍵數據，并且采用了公開加密算法（DES）。安全的關鍵是對加密密鑰的保護，而軟件加密最大的安全隱患在于無法安全保存加密密鑰。程序員可以修改程序使其運行時得到加密密鑰（顯示于屏幕上或寫入文件中）。加密密鑰一旦得到，攻擊者就可以容易解密主機中的敏感數據。

3.截獲和篡改傳輸數據

目前很多商業(yè)銀行還沒有自己的專用數據傳輸光纖，利用現(xiàn)有網絡系統(tǒng)通過公網傳輸的大量信息，其加密措施簡單；商業(yè)銀行傳輸信息量大，采用近似開放的TCP/IP協(xié)議，不法分子或網絡黑客可以很容易截獲、分析甚至修改信息。網絡或主機口令等敏感信息一旦被截獲，主機系統(tǒng)就成為極易被攻擊的對象。

4.假冒終端/操作員進行非法操作

目前商業(yè)銀行開始進行網上業(yè)務運營，銀行網絡系統(tǒng)及各分支網絡中心通過公網相連。商業(yè)銀行內、外網不能進行物理隔離，通過假冒銀行終端和操作員非法操作，在傳輸線路上搭接終端獲取銀行客戶資料；采用口令攻擊工具，通過分析口令文件等手段輕易攻破銀行非法入侵防范系統(tǒng)，達到破壞銀行運行系統(tǒng)，非法轉移、侵占合法客戶資金以及非法洗錢等目的。

5.其他網絡安全風險

其他網絡安全風險主要是指商業(yè)銀行所使用操作系統(tǒng)和業(yè)務運行程序的安全性和穩(wěn)定性不足；數據庫以及網銀所使用數據倉庫的類型和安全配置不足以適應網絡安全的要求；系統(tǒng)出現(xiàn)災難時不能自動熱備和數據資料備份不完整；恢復網絡正常運行的時間間隔超過安全時效等風險。

二、計算機網絡系統(tǒng)安全解決的原則

商業(yè)銀行計算機網絡安全與網絡規(guī)模、結構、通信協(xié)議、應用業(yè)務程序的功能和實現(xiàn)方式密切相關，一個好的安全設計應該結合現(xiàn)有網絡和業(yè)務特點并充分考慮發(fā)展需求。計算機網絡是個分層次的拓撲結構，商業(yè)銀行的網絡安全防護要充分考慮分層次的拓撲結構特點，采取分層次的拓撲防護措施，達到網絡安全措施覆蓋每個層次，并根據數據交換特點以及運營設備和執(zhí)行指令在整個系統(tǒng)運營中所

處的重要性不同，設置不同級別的防護措施。下面針對某些商業(yè)銀行的網絡系統(tǒng)，結合部分商業(yè)銀行的網絡和業(yè)務規(guī)劃，談商業(yè)銀行計算機系統(tǒng)網絡安全解決的原則。

1.實行分級防護的原則

商業(yè)銀行的計算機網絡大部分是分層次的，即總行計算機中心、分行或部門計算機分中心、網點終端及個人用戶，計算機網絡安全防護也與之相適應，實行分級防護的原則。商業(yè)銀行根據外部Internet網絡規(guī)模大、用戶眾多的特點，對通過Internet/Intranet接入的網絡信息安全實施分級管理的解決方案，對其控制點分為三級安全管理。第一級：中心級網絡，實現(xiàn)內外網隔離，內外網用戶的訪問恰當控制，內部網的實時監(jiān)控，傳輸數據的備份與稽查。第二級：分中心（部門）級，實現(xiàn)內部網與外部網用戶的訪問控制，同級部門間的訪問控制，部門網內部的安全審計。第三級：網點終端及個人用戶級，實現(xiàn)部門網內部主機的訪問控制，數據庫及終端信息資源的安全保護。

2.風險威脅與安全防護相適應原則

現(xiàn)代商業(yè)銀行面對復雜多變的金融環(huán)境，要迎接多種風險和威脅。商業(yè)銀行資源有限，計算機網絡是個相對開放的系統(tǒng)，很難實現(xiàn)計算機網絡的絕對安全。需要對網絡及所處層次的重要性及風險威脅的程度進行科學的評估和研究，確定與之適應的安全解決策略。

3.系統(tǒng)性原則

商業(yè)銀行計算機網絡的安全防范要利用系統(tǒng)工程的原理、方法，分析網絡的安全及應采取的具體措施。首先，系統(tǒng)性原則體現(xiàn)在各種管理制度的建立、執(zhí)行和完善以及專業(yè)措施（識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等）的落實。其次，還要體現(xiàn)在綜合考慮設備、軟件、數據庫等的性能、安全性以及在網絡中的地位、影響作用等。第三，關注商業(yè)銀行計算機網絡每個鏈路和節(jié)點的安全性，建立綜合、系統(tǒng)的網絡安全防護體系。

4.效益與效率兼顧性原則

首先，商業(yè)銀行網絡安全措施需要人為完成，如果措施過于復雜，對人的要求太高，本身就會降低安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。第三，由于網絡系統(tǒng)及應用擴展范圍廣闊，隨著網絡規(guī)模的擴大及應用的增加，網絡脆弱性也會增加。同時，實施信息安全措施需要相當的費用支出。因此采取分步實施，即可滿足網絡系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。

三、計算機網絡安全采取的措施

商業(yè)銀行應根據銀監(jiān)會頒發(fā)的《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》，引進信息系統(tǒng)審計師，對計算機網絡安全性進行評估，認真分析商業(yè)銀行計算機網絡所面臨的風險隱患，結合計算機網絡系統(tǒng)安全解決原則，建立鏈路、網絡安全、數據庫等綜合計算機網絡防護措施（如圖1所示）。

1.加強鏈路安全管理

利用鏈路數據加密機，對核心數據進行加密。數據加密機是對主機數據提供安全保護的密碼設備，對所有用戶數據一起加密。用戶數據通過通信線路送到另一節(jié)點后立即解密，可靠、安全地保護商業(yè)銀行計算機網絡中的個人密碼PIN、金額、賬號、密鑰等重要數據以及對消息來源的正確性（MAC）、交易完整性（TAC）進行鑒別。有效地防止信息泄露和被非法篡改；提供數字簽名服務，防止假冒、抗

抵賴等詐騙行為。此外，加密機還可以提供完善的密鑰管理功能，可對全系統(tǒng)的密鑰進行分層次的結構管理。

2.加強網絡安全管理

利用防火墻和入侵檢測系統(tǒng)，構建多層次網絡安全體系，保證商業(yè)銀行網絡安全。商業(yè)銀行計算機網絡已融入國際互聯(lián)網，具有開放性、無邊界性、自由性等特點，更應加強信息網絡的安全管理。

首先，利用防火墻把被保護的網絡從開放的、無邊界的網絡環(huán)境中獨立出來，成為可管理、可控制的內部網絡。并且根據商業(yè)銀行計算機系統(tǒng)和處理、存儲數據的重要性，設置防火墻的級次。核心的業(yè)務系統(tǒng)、主機設備、數據，需要高級別的防火墻。在防火墻的設置上，應體現(xiàn)分層次的原則，每個層次和關鍵業(yè)務節(jié)點都要設置防火墻，起到層層攔截不法入侵行為和有限授權操作的作用，實現(xiàn)內部網與外部不可信任網絡之間或內部網不同網絡安全域的隔離與訪問控制。

其次，建立入侵檢測系統(tǒng)，及時發(fā)現(xiàn)商業(yè)銀行計算機網絡的非法入侵和對信息系統(tǒng)的攻擊。建立入侵檢測系統(tǒng)可以實時監(jiān)控、自動識別網絡違規(guī)行為并作出自動響應。它通過實時截獲網絡數據流，識別、記錄入侵和破壞性代碼流，尋找網絡違規(guī)模式和未授權的網絡訪問，實現(xiàn)對網絡上敏感數據的保護。當發(fā)現(xiàn)網絡違規(guī)模式和未授權的網絡訪問時，入侵檢測系統(tǒng)能夠根據系統(tǒng)安全策略做出反應，包括實時報警、事件登錄、自動阻斷通信連接或執(zhí)行用戶自定義的安全策略等。

3.加強數據信息安全

利用密碼、密鑰、數字證書等技術，識別用戶身份，控制用戶權限，保證商業(yè)銀行計算機網絡應用數據庫安全。建立證書中心（即公鑰密碼證書管理中心），利用公鑰密碼算法，在密鑰自動管理、數字簽名、身份識別等方面增強安全性。使用端端加密機對用戶數據中的數據字段部分加密，控制字段部分不加密，用戶數據加密后通過網絡路由交換到達目的地后再進行解密。用戶數據在網絡的各個交換節(jié)點中傳輸時始終處于加密狀態(tài)，有效地防止了用戶信息在網絡環(huán)節(jié)上的泄漏和篡改問題。建立數據庫安全保密系統(tǒng)是針對目前已選用的通用數據庫開發(fā)的安全措施，在通用數據庫基礎上增加控件，實現(xiàn)對數據庫的訪問/存取控制及加密控制等。

4.建立網絡安全審計評估系統(tǒng)

建立商業(yè)銀行計算機網絡安全審計評估系統(tǒng)，保證計算機信息系統(tǒng)的安全運行。根據銀監(jiān)會的要求，引進信息系統(tǒng)審計師（CISA），定期、不定期地對商業(yè)銀行的核心業(yè)務系統(tǒng)和網絡數據進行安全風險評估，發(fā)現(xiàn)風險隱患，制訂相應的措施。同時在核心業(yè)務系統(tǒng)中利用嵌入式審計軟件，對核心業(yè)務系統(tǒng)運行過程中的業(yè)務流、數據流進行監(jiān)控，及時發(fā)現(xiàn)核心業(yè)務系統(tǒng)運行過程中出現(xiàn)的異常情況和不法入侵、攻擊現(xiàn)象，偵測業(yè)務運行中出現(xiàn)的風險隱患和程序漏洞，提醒計算機系統(tǒng)維護人員及時修補漏洞、完善

第二篇：計算機網絡安全管理

1、雙機雙網的優(yōu)缺點？優(yōu)點：（1）、內、外網絡分別使用專用的通線線路和網絡設備，兩

套網絡之間實現(xiàn)了徹底的物理隔離，系統(tǒng)安全性高。（2）、只要在制度和應用中能保證用戶執(zhí)行專網的規(guī)定，不隨意改變計算機的歸屬，就可以實現(xiàn)真正的物理隔離。缺點：

（1）、兩套網絡需要單獨組建和管理，建設和使用成本高。（2）、接入網絡的計算機等設備的利用率低。（3）、內、外網之間無法實現(xiàn)數據共享，且兩套系統(tǒng)之間無法實現(xiàn)實時的數據同步更新。

2、一機雙網的優(yōu)缺點？優(yōu)點：（1）、每個用戶只需要配置一臺計算機，節(jié)約了成本。（2）、任何時刻只有一塊硬盤和對應的網絡連接被啟動，而另一塊硬盤和對應的網絡連接被切斷，實現(xiàn)了以硬盤訪問位對象的物理隔離。（3）、系統(tǒng)安全性雖然比“雙機網絡”方案差，但能夠滿足對內網數據安全性不是很高的用戶需求。缺點：（1）、需要組建兩套獨立的網絡系統(tǒng)，造成資源的浪費和管理成本的增大。（2）、當在內、外之間切換時需要重啟計算機，給用戶帶來不便。（3）、物理隔離卡上具有多個網絡接口，分別接到內被網絡和外部網絡，物理隔離卡用于實現(xiàn)內外網絡物理隔離。這種方法占用了計算機很多硬件資源，成本也很高。（4）、物理隔離卡的安全性決定著整個系統(tǒng)的安全。

3、計算機病毒的特征：（1）、非權限可執(zhí)行性。（2）、隱蔽性。（3）、傳染性。（4）、潛伏性

（5）、破壞性（6）、可觸發(fā)性（7）、針對性（8）與黑客技術的結合性。

4、計算機病毒的分類：（1）、文件傳染性病毒（2）、引導扇區(qū)病毒（3）、主引導記錄病毒

（4）、復合型病毒（5）、宏病毒

5、計算機病毒檢測的實現(xiàn)過程：（1）、從感染源中提取病毒樣本（2）、從病毒樣本中提取

病毒的特征碼（3）、將特征碼導入病毒數據庫（4）、查毒操作

6、防火墻的基本功能：（1）、監(jiān)控并限制訪問（2）、控制協(xié)議和服務（3）、保護內部網絡

（4）網絡地址轉換（5）、虛擬專用網（6）、日志記錄與審計

7、防火墻應用的局限性：（1）、防火墻不能防范未通過自身的網絡連接（2）、防火墻不能

防范全部的威脅（3）、防火墻不能防范內部用戶的惡意破壞（4）、防火墻本身也存在安全問題（6）、認為因素在很大程度上影響了防火墻的功能

8、入侵檢測系統(tǒng)的功能：（1）、監(jiān)視、分析用戶及系統(tǒng)行為，查找非法用戶和合法用戶的越權操作（2）、系統(tǒng)配置和漏洞的審計檢查（3）、評估重要系統(tǒng)和數據文件的完整性（4）、識別、反應已知攻擊的行為模式并報警（5）、異常行為模式的統(tǒng)計分析（6）操作系統(tǒng)的審計跟蹤管理基違反安全策略的用戶行為的識別

9、數字簽名必須同時滿足以下的要求：（1）、發(fā)送者事后不能否應對報文的簽名。（2）、接

收者能夠核實發(fā)送的報文簽名。（3）、接收者不能偽造發(fā)送者的報文簽名。（4）、接收者不能對發(fā)送者的報文進行部分篡改。（5）、網絡的其他用戶不能冒充報文的接收者或發(fā)送者。

10、VPN的特點：（1）、費用低（2）、安全保障（3）、服務質量保障（4）課擴張性和靈

活性（5）可管理性

第三篇：計算機網絡安全管理責任狀

計算機網絡安全管理責任狀

為明確任務，落實責任，不斷增強教師的安全防范意識，更好地實施學校計算機與網絡的安全管理，堅決杜絕意外事故的發(fā)生，現(xiàn)就加強計算機與網絡的安全管理，打造平安校園，下達責任書，請認真執(zhí)行。

一、責任目標

1、負責本校計算機與網絡的安全保護管理工作，建立健全安全保護管理制度，定期檢查計算機軟硬件設備，做好計算機病毒和網絡安全的防范工作。

2、每日檢查計算機房、微機室安全設施，使用完畢，及時關閉門窗、電源，做好每天安全臺帳記錄。

3、負責對本校網絡用戶的安全操作培訓。

4、教育與督促學生遵紀守規(guī)，愛護機房內所有公物，對不服從管理的學生有權作出取消上機資格的處理。

5、有權對師生員工的上網記錄進行保留，檢查與監(jiān)督師生員工不利用計算機與網絡從事非法活動，瀏覽不良網頁，或破壞、隨意改變學校網頁內容。

6、定期做好計算機房與微機室環(huán)境衛(wèi)生工作。

二、目標管理措施

1、根據以上目標任務，計算機與網絡安全管理責任人應認真抓好落實工作，嚴格計算機與網絡安全工作的管理，及時解決實施過程中的困難與問題，確保各項工作目標全面完成。

2、明確目標責任人。網管員_______ 為目標責任人。

三、目標考核辦法

以上目標任務，由電教處進行目標考核，并列入教師學期工作考核。凡由于責任不到位，沒有完成任務的，對目標責任人將實行評優(yōu)“一票否決制”，對出現(xiàn)重大事故并造成重大損失和惡劣影響的，將依法追究相應的管理責任。

四、責任期限

本責任書有效期自____年___月___日至_____年___月____日

五、責任書一式兩份，甲乙雙方各執(zhí)一份。

甲 方（教導主任）簽名：____ 年___月___日

乙 方（網管員）簽名：___ 年___月___日

第四篇：計算機網絡安全管理工作總結

網管工作總結

2007年以來，我礦的計算機網絡管理工作在我礦黨政領導的正確領導下，在公司信息中心的關心、幫助、指導和支持下，我礦計算機管理工作取得了有效的進步，OA系統(tǒng)、瓦斯監(jiān)測、財務系統(tǒng)、供應購銷鏈及煤礦安全等網絡系統(tǒng)的安全、穩(wěn)定運行工作取得了較好成績。計算機各項管理的工作得以順利開展，并取得較好效果。現(xiàn)將一年來的計算機管理工作總結如下：

一、制定制度，明確責任

我礦共有電腦129臺，打印機77臺，分布在礦區(qū)的辦公大樓，綜合大樓，救護隊各地，分布較散，由于局域網絡的全面鋪開應用，給我礦網絡管理與維護工作帶來難處。對此，在我礦黨政領導的高度重視和指導下，我礦成立了計算機安全管理領導小組并制定出臺了《計算機及網絡管理辦法》，對計算機的使用和網絡的安全管理擬定了詳細的規(guī)定和法則，堅持專業(yè)管理與業(yè)余小組管理相結合，落實責任，明確分工，使逢春煤礦的計算機與網絡管理在制度上得到了健全，做到了責任落實到個人。

二、加強管理，規(guī)范員工行為，提高員工素質

為了規(guī)范我礦員工使用電腦的行為，我礦每個星期都堅持定時或不定時對電腦進行檢查，檢查殺毒軟件是否升級，電腦是否做到人走關機，電腦上是否安裝了游戲等。在雷雨季節(jié)時候，我礦更是加強了檢查次數，并及時制定了《雷雨季節(jié)計算機使用辦法》。辦法規(guī)定：電腦使用者必須做到人走關機并將網線拔出，做好相關防雷措施。

在電腦使用上，我礦員工素質參差不齊，2007年3月，我礦遭受了一次因為ARP病毒導致全礦網絡癱瘓的事故。事后經分析，這次事故是由于一個基層連隊的電腦使用不當造成。這讓我礦感到：要想讓我礦網絡長治久安，還得從提高電腦使用者素質抓起。為此，去年，我礦組建了一個電腦培訓室，并組織舉辦了4次計算機安全培訓，這4次培訓都是針對對電腦知識欠缺的基層連隊的隊長、書記和機關管理人員而設計；培訓課上除了學習《計算機及網絡管理辦法》以及一些辦公自動化軟件應用的基礎知識，還重點講解了計算機基礎知識、計算機安全相關知識、病毒的防范、處理以及卸載、安裝、殺毒軟件的等技巧。經過培訓，我礦各級管理人員對計算機網絡安全意識得到了提高，同時也提高了他們電腦操作和應用水平。

另外，我礦在日常的計算機及網絡維護過程中，采取現(xiàn)場講解、指導的方式，如：問題原因出在那里，下次遇見這種情況怎么處理。同時還要求他們人走關機，重要資料不存C盤并備好份等。提高了計算機使用者的業(yè)務技能，才能進一步提高計算機使用者的安全意識、防范、處理技能。

三、加強學習，提高自身業(yè)務素質

計算機是一門很深的學科，技術更新很快，只有不斷的學習才能提高自身水平，從礦計算機管理的實際情況出發(fā)，我們著重自學了計算機硬件日常保養(yǎng)及維護，以及常用軟件使用等。

計算機和網絡管理最主要的安全問題還是防治病毒的入侵。

2007年期間，ARP病毒在我礦盛行。后經公司信息中心的老師們指點，我礦學習了利用 Sniffer4_70工具進行抓包分析，大大減少了對病毒計算機的盲目性處理。后來，我礦從網絡上找到了一款ARP防火墻單機版，這款軟件能夠攔截來自局域網中的ARP病毒攻擊，也能夠抑制感染了病毒的計算機對局域網的發(fā)包數量，我礦把這款軟件安裝在一些經常用U盤的電腦上，這樣，一旦我礦有電腦感染了ARP病毒，我礦就能在最短的時間內知道并進行處理。

但這款軟件并不能對感染了病毒的計算機進行殺毒處理，于是，我礦從網上找到了一款專門針對一些ARP病毒的殺毒工具，如USBCleaner6.0專殺工具，AV終結者-8749木馬專殺工具等。有了這些軟件工具，有效杜絕了該病毒的進一步蔓延和入侵，確保了我礦計算機的安全運行。

第五篇：計算機網絡安全

黃岡職業(yè)技術學院

電子信息學院

課程期末項目考核任務書

課程名稱:網絡設備配置與管理學生姓名:張贏學生學號:200902081125專業(yè)名稱:計算機網絡技術

2011-2012學年第一學期

電子信息學院教務辦室制

摘要...............2 前言...............2

第1章計算機通信網絡安全概述...........2

第2章影響計算機通信網絡安全的因素分析.....2

2.1影響計算機通信網絡安全的客觀因素...........2

2.1.1網絡資源的共享性............2

2.1.2網絡操作系統(tǒng)的漏洞..........2

2.1.3網絡系統(tǒng)設計的缺陷..........3

2.1.4網絡的開放性................3

2.1.5惡意攻擊.............3

2.2影響計算機網絡通信安全的主觀因素...........3

第3章計算機網絡的安全策略..............3

3.1物理安全策略.............3

3.2常用的網絡安全技術.............3

3.2.1 網絡加密技術................4

3.2.2 防火墻技術...........4

3.2.3 操作系統(tǒng)安全內核技術...............4

3.2.4 身份驗證技術身份驗證技術...........5

3.2.5 網絡防病毒技術..............5

總結...............5 參考文獻.................5摘要：隨著計算機信息技術的迅猛發(fā)展，計算機網絡已經越發(fā)成為農業(yè)、工業(yè)、第三產業(yè)和國防工業(yè)的重要信息交換媒介，并且滲透到社會生活的各個角落。因此，認清網絡的脆弱性和潛在威脅的嚴重性，采取強有力安全策略勢在必行。計算機網絡安全工作是一項長期而艱巨的任務，它應該貫徹于整個信息網絡的籌劃、組成、測試的全過程。本文結合實際情況，分析網絡安全問題并提出相應對策。

前言：隨著計算機技術的迅速發(fā)展，在計算機上完成的工作已由基于單機的文件處理、自動化辦公，發(fā)展到今天的企業(yè)內部網、企業(yè)外部網和國際互聯(lián)網的世界范圍內的信息共享和業(yè)務處理，也就是我們常說的局域網、城域網和廣域網。計算機網絡的應用領域已從傳統(tǒng)的小型業(yè)務系統(tǒng)逐漸向大型業(yè)務系統(tǒng)擴展。計算機網絡在為人們提供便利、帶來效益的同時，也使人類面臨著信息安全的巨大挑戰(zhàn)。

第1章計算機通信網絡安全概述

所謂計算機通信網絡安全，是指根據計算機通信網絡特性，通過相應的安全技術和措施，對計算機通信網絡的硬件、操作系統(tǒng)、應用軟件和數據等加以保護，防止遭到破壞或竊取，其實質就是要保護計算機通訊系統(tǒng)和通信網絡中的各種信息資源免受各種類型的威脅、干擾和破壞。

第2章影響計算機通信網絡安全的因素分析

計算機通信網絡的安全涉及到多種學科，包括計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等十數種，這些技術各司其職，保護網絡系統(tǒng)的硬件、軟件以及系統(tǒng)中的數據免遭各種因素的破壞、更改、泄露，保證系統(tǒng)連續(xù)可靠正常運行。

2.1影響計算機通信網絡安全的客觀因素

2.1.1網絡資源的共享性

計算機網絡最主要的一個功能就是“資源共享”。無論你是在天涯海角，還是遠在天邊，只要有網絡，就能找到你所需要的信息。所以，資源共享的確為我們提供了很大的便利，但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞也提供了機會。

2.1.2網絡操作系統(tǒng)的漏洞

操作系統(tǒng)漏洞是指計算機操作系統(tǒng)本身所存在的問題或技術缺陷。由于網絡協(xié)議實現(xiàn)的復雜性，決定了操作系統(tǒng)必然存在各種的缺陷和漏洞。

2.1.3網絡系統(tǒng)設計的缺陷

網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。

2.1.4網絡的開放性

網上的任何一個用戶很方便訪問互聯(lián)網上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的信息。

2.1.5惡意攻擊

惡意攻擊就是人們常見的黑客攻擊及網絡病毒．是最難防范的網絡安全威脅。隨著電腦教育的大眾化，這類攻擊也越來越多，影響越來越大。無論是DOS 攻擊還是DDOS 攻擊，簡單的看，都只是一種破壞網絡服務的黑客方式，雖然具體的實現(xiàn)方式千變萬化，但都有一個共同點，就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求，或無法及時回應外界請求。具體表現(xiàn)方式有以下幾種：（1）制造大流量無用數據，造成通往被攻擊主機的網絡擁塞，使被攻擊主機無法正常和外界通信。（2）利用被攻擊主機提供服務或傳輸協(xié)議上處理重復連接的缺陷，反復高頻的發(fā)出攻擊性的重復服務請求，使被攻擊主機無法及時處理其它正常的請求。（3）利用被攻擊主機所提供服務程序或傳輸協(xié)議的本身實現(xiàn)缺陷，反復發(fā)送畸形的攻擊數據引發(fā)系統(tǒng)錯誤而分配大量系統(tǒng)資源，使主機處于掛起狀態(tài)甚至死機。

DOS 攻擊幾乎是從互聯(lián)網絡的誕生以來，就伴隨著互聯(lián)網絡的發(fā)展而一直存在也不斷發(fā)展和升級。值得一提的是，要找DOS 的工具一點不難，黑客網絡社區(qū)都有共享黑客軟件的傳統(tǒng)，并會在一起交流攻擊的心得經驗，你可以很輕松的從Internet 上獲得這些工具。所以任何一個上網者都可能構成網絡安全的潛在威脅。DOS 攻擊給飛速發(fā)展的互聯(lián)網絡安全帶來重大的威脅。然而從某種程度上可以說，D0S 攻擊永遠不會消失而且從技術上目前沒有根本的解決辦法。

2.2影響計算機網絡通信安全的主觀因素

主要是計算機系統(tǒng)網絡管理人員缺乏安全觀念和必備技術，如安全意識、防范意思等。

第3章計算機網絡的安全策略

3.1物理安全策略

物理安全策略目的是保護計算機系統(tǒng)、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。物理安全策略還包括加強網絡的安全管理，制定有關規(guī)章制度，對于確保網絡的安全、可靠地運行，將起到十分有效的作用。網絡安全管理策略包括：確定安全管理等

級和安全管理范圍。

3.2常用的網絡安全技術

3.2.1 網絡加密技術

網絡加密技術是網絡安全最有效的技術之一。一個加密網絡，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法之一。網絡信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密，端點加密和節(jié)點加密三種。鏈路加密的目的是保護網絡節(jié)點之間的鏈路信息安全；端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供加密保護。用戶可根據網絡情況選擇上述三種加密方式。

如果按照收發(fā)雙方的密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。在實際應用中，人們通常將常規(guī)密碼和公鑰密碼結合在一起使用，比如：利用DES 或者IDEA 來加密信息，而采用RSA 來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼算法和分組密碼算法，前者每次只加密一個比特。

3.2.2 防火墻技術

防火墻技術是設置在被保護網絡和外界之間的一道屏障，是通過計算機硬件和軟件的組合來建立起一個安全網關，從而保護內部網絡免受非法用戶的入侵，它可以通過鑒別、限制，更改跨越防火墻的數據流，來保證通信網絡的安全對今后計算機通信網絡的發(fā)展尤為重要。

根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和狀態(tài)監(jiān)測型。

3.2.3 操作系統(tǒng)安全內核技術

操作系統(tǒng)安全內核技術除了在傳統(tǒng)網絡安全技術上著手，人們開始在操作系統(tǒng)的層次上考慮網絡安全性，嘗試把系統(tǒng)內核中可能引起安全性問題的部分從內核中剔除出去，從而使系統(tǒng)更安全。操作系統(tǒng)平臺的安全措施包括：采用安全性較高的操作系統(tǒng)；對操作系統(tǒng)的安全配置；利用安全掃描系統(tǒng)檢查操作系統(tǒng)的漏洞等。美國國防部技術標準把操作系統(tǒng)的安全等級分成了D1、C1、C2、B1、B2、B3、A 級，其安全等級由低到高。目前主要的操作系統(tǒng)的安全等級都是C2 級,其特征包括：①用戶必須通過用戶注冊名和口令讓系統(tǒng)識別；②系統(tǒng)可以根據用戶注冊名決定用戶訪問資源的權限；③系統(tǒng)可以對系統(tǒng)中發(fā)生的每一件事進行審核和記錄；④可以創(chuàng)建其他具有系統(tǒng)管理權限的用戶。

3.2.4 身份驗證技術身份驗證技術

身份驗證技術身份驗證技術是用戶向系統(tǒng)出示自己身份證明的過程。身份認證是系統(tǒng)查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環(huán)節(jié)，人們常把這兩項工作統(tǒng)稱為身份驗證。它的安全機制在于首先對發(fā)出請求的用戶進行身份驗證，確認其是否為合法的用戶，如是合法用戶，再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密算法上來講，其身份驗證是建立在對稱加密的基礎上的。

3.2.5 網絡防病毒技術

在網絡環(huán)境下，計算機病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計算機網絡防病毒，那可能給社會造成災難性的后果，因此計算機病毒的防范也是網絡安全技術中重要的一環(huán)。網絡防病毒技術的具體實現(xiàn)方法包括對網絡服務器中的文件進行頻繁地掃描和監(jiān)測，工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。防病毒必須從網絡整體考慮，從方便管理人員的能，在夜間對全網的客戶機進行掃描，檢查病毒情況；利用在線報警功能，網絡上每一臺機器出現(xiàn)故障、病毒侵入時，網絡管理人員都能及時知道，從而從管理中心處予以解決。

總結

隨著信息技術的飛速發(fā)展，影響通信網絡安全的各種因素也會不斷強化，因此計算機網絡的安全問題也越來越受到人們的重視，以上我們簡要的分析了計算機網絡存在的幾種安全隱患，并探討了計算機網絡的幾種安全防范措施。

總的來說，網絡安全不僅僅是技術問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標、技術方案和相關的配套法規(guī)等。世界上不存在絕對安全的網絡系統(tǒng)，隨著計算機網絡技術的進一步發(fā)展，網絡安全防護技術也必然隨著網絡應用的發(fā)展而不斷發(fā)展。

參考文獻

【1】 陶陽.計算機與網絡安全 重慶：重慶大學出版社，2005.【2】 田園.網絡安全教程 北京：人民郵電出版社，2009.【3】 馮登國.《計算機通信網絡安全》，清華大學出版社，2001

【4】 陳斌.《計算機網絡安全與防御》，信息技術與網絡服務，2006（4）：35-37.【5】 William Stallings.網絡安全基礎教程：應用與標準（英文影印版），清華大學出版社，2006（7）

【6】 趙樹升等.《信息安全原理與實現(xiàn)》，清華大學出版社，2004（9）