网络空间安全对策研究

网络空间安全对策研究（通用10篇）

网络空间安全对策研究 篇1

随着计算机网络、各种电信网络和工控网络的融合发展,信息网络已经由传统的计算机网络向网络空间领域扩展。网络空间又称为“赛博空间”,“异次元空间”、“多维信息空间”等, 是连接各种信息技术基础设施的网络, 包括因特网、各种电信网、各种计算机系统及各类关键工业中的嵌入式处理器和控制器构成的信息环境所构成的空间。它不仅包含了虚拟信息环境, 还包含了社会实体空间。当前情况下, 网络空间安全所面临的潜在威胁、涉及的内容范畴和防护手段都发生了显著变化。

1 网络空间安全的新特点

1.1 安全攻击的高级性

在网络空间背景下, 面临的安全攻击级别更高, 隐蔽性更强, 技术更强大, 给信息安全防护带来了前所未有的挑战。网络空间安全成为了政治博弈的主战场, 成为了窃密与反窃密斗争的前沿阵地, 也成为了不法分子进行犯罪活动的暗舞台。近年来, 有组织的网络犯罪、网络恐怖主义甚至国家层面的高级攻击行为给新形势下网络空间安全构成的巨大威胁日益严重。

1.2 安全威胁的多元性

包括了攻击的多元性, 网络空间条件下攻击的对象、手段、形式都层出不穷, 呈现出多样化、多类型、复杂特征的态势; 威胁影响的多元性, 恶性结果影响到各类网络的多类终端; 安全事件的突发性, 网络的互联互通使得安全事件牵连更多, 危害更深, 引发的连锁反应也更突然, 影响更广泛。

1.3 安全危害的倍增性

由于网络空间条件下, 各网络相互融合, 信息互通和共享性更强, 因此网络空间安全危害性也更广, 一旦出现安全事件, 其危害会迅速从区域向广域扩散, 由个体向群体蔓延,由一种危害引发多种危害, 呈现出非线性激增的态势。

1.4 安全对抗的非对称性

根据木桶原理, 网络空间安全体系中出现任何一个薄弱环节, 都可能对整体安全体系构成威胁, 造成无法估量的严重后果。网络空间安全防护本身就是一难守易攻的领域, 对于攻击者而言, 被攻击目标总是明确的, 漏洞总是可以被试探和挖掘的, 因此, 可以通过搜集偿试所有可用资源, 发动针对目标的攻击。而对于防护者而言, 攻击感知、攻击类型分析、密码破译感知等一直以来都是一大难题, 使得网络空间安全防护具有明显的非对称性。

2 网络空间安全的新威胁和新挑战

(1) APT攻击面前 , 原本认为安全保密措施完善的系统需要重新审视。

APT ( Advanced persistent threat) 攻击 , 即高级持 续性攻击, 它具有精确打击、长期潜伏、将高价值目标作为主要攻击对象的特征, 通常使用先进的攻击手段进行持续性网络攻击, 长期经营与策划, 高度隐蔽且目标明确, 并且越来越多地出现集团式甚至国家行为操控的形式 。APT攻击的出 现 ,迫使网络安全从贼偷变成了贼惦记, 从打哪指哪充成了指哪打哪。APT攻击程序没有明显的代码特征, 针对特定目标进行编写, 甚至有独自的编译性。

(2) 云计算技术发展使得网络安全防御由“拒敌于门外”变成 “全民皆兵、处处作战”。

云计算技术的基本思想就是将复杂繁复的计算能力和资源分散到多个计算机, 并可对特定客户端提供计算服务或资源服务。云计算技术的发展使传统网络中以网络边界进行区域防护的网络安全技术失去作用, 因为云计算技术使得信息网从可封闭的系统域、以接口为分割的存储域都不再具有这些鲜明特征, 使得像以网络边界为基准进行安全部署的防火墙等技术失去了作用, 给云架构下的信息安全防护带来新的挑战。

(3) 海量的低价值数据可以推断出高价值信息 , 对现行的基于内容的安全防护理念带来了挑战。

大数据时代具有数据量大、数据形态多样、索引快速的明显特征。大数据背景下通过针对海量数据的综合分析和趋势推断, 就可以获得感兴趣的、有价值的信息或结论, 给传统的以关键字、关键内容为主线的信息安全体系带来了前所未有的冲击。并且, 针对海量低价值数据不能建立有效的定位和访问控制策略, 因此信息定位、防护和控制十分困难。

(4) 信息安全产品加密不规范带来了新威胁。

一些关键部门采用的网络安全产品采用了国际标准的公开算法, 或者是安全产品中应保护的数据或关键参数放弃了使用防护手段, 存在密码使用中的“普遍使用”和“当用不用” 等情况。事实上, 不少公开的加解密算法, 本身就存在着可被后门利用的漏洞, 采用了这些算法的安全产品, 反而成了最易攻破的对象。而该加密的文件不加密, 或不该加密的普遍加密的现象, 都会对安全产品造成致命威胁, 最终影响到整个信息网络及其信息的安全。

3 网络空间安全的新对策

必须建立强化密码认证、加强可信计算、信息资源加密、管理控制有序的网络空间安全防御体系, 包括组织管理体系、理论技术体系、法规制度体系和专业人才体系。

3.1 发展基础创新的网络空间安全理论体系

美国先后提出了防御为主、攻防结合、主动防御的网络空间防御理论体系, 先后出台了“网络空间国际战略”、“网络空间军事行动战略”以及“网络空间可信身份认证国家战略”, 虽然目前还没有出台我国的网络空间防御战略, 更没有网络空间作战条例, 但是我国必须发展具有基础创新机制的网络空间安全理论体系。避免在安全理论方面人云亦云, 必须开展网络空间理论体系的原始创新, 从知识要素、技术导向、能力构成、人才培养上独辟蹊径, 只有这样, 我们才能在网络空间的对抗中获得主动、占领优势。

3.2 抵销国外现有的基础设施与技术优势

必须提升我国的密码创新能力和水平, 基于密码建设我国的网络空间安全防线, 用先进的密码技术抵销国外固有的技术与设施优势, 构建以密码技术为核心的自主可控的网络空间动态防御体系。不断强固网络及应用系统安全根基, 强化信息资源的防护和控制能力, 提升密码的创新和管理水平, 发展自主可控的安全产品, 使密码技术向网络信息处理的全过程、网络行为的全环节和网络空间的全领域覆盖。真正达到人员身份可信, 网络行为可控、信息资源可管、审计责任可查的目的。

3.3 促进网络空间安全防御能力整体提升

3.3.1 可信计算和自免疫技术

可信是指“一个实体在实现给定目标时其行为总是如同预期一样的结果”。强调行为的结果可预测和可控制, 使PC机在进行计算的同时, 自动进行安全防护检查, 构成自我免疫的双重体系结构, 是一种运算和防护并存的安全可靠的计算模式。在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台, 以提高整体的安全性, 做到病毒染不上、黑客攻不成、恶意破坏自动恢复。

3.3.2 自毁式网络

2014年 , 美国国防部先进研究局和IBM共同研究了自毁式网络, 可以一键销毁所有设备。通过特殊材料在特定情况下释放能量, 可以把关键晶元全部毁掉。我国目前也必须开展自毁网络或自毁设备的相关研究, 保证在紧急状态下, 重要网络或设备可以自行销毁, 最大限度地保证网络结构、网络特征和敏感信息不被监控或窃取。

3.3.3 逻辑安全防护技术

主要包括有算法重构技术和网络重构技术, 重构就是特定情况下, 可以执行指定指令, 完成核心算法或网络架构的重新变换和再次构建, 指针对原有网络架构或原有算法的网络攻击瞬间失效, 它是网络空间对抗中的有效手段, 也是保证重要网络和信息资源不被破坏, 提供持续信息支撑的重要保障。

3.3.4 网络分割与资源管控技术

网络分割就是针对不同网络实施特定 资源的访 问控制 ,通过物理和逻辑分割, 达到不同级别的资源分配不同的访问权限; 资源管控就是保证对信息资源的浏览、索取、编辑都必须在权限控制范围之内进行操作。

4 发展网络空间攻防力量和人才培养体系

2011年8月11日 , 美NIST发布《网络安全教育计划战略规划》草案, 提出建立一支具有全球竞争力的网络安全部队,美国国防部下属的信息技术局和国家安全局, 则是直接从在美国每年两次举行的黑客大会上招募人才。我国也必须集中优势力量发展自己网络空间作战能力, 着力提升网络空间防御能力和信息管控能力。并不断完善网络空间安全人才培养体系, 建立一支“懂攻击、能对抗、善防御” 的网络空间安全人才队伍。

计算机无线网络安全对策研究 篇2

关键词：计算机；无线网络；安全对策

中图分类号：TN925

现在，互联网以成为人们不可或缺的重要工具和载体，更多的用户正在摆脱传统的有线上网方式，转而应用各类无线终端来获取信息或互动服务。近几年，越来越多的无线访问接入点更加普及，各类无线路由器正在单位或家庭发挥着重要的作用，无线网络的接入给人们带来了更多便利，但是无线网络也存在许多不安全因素。基于此，下面就无线网络安全所面临的问题进行探讨。

笔记本大都具备无线网络模块，办公及家庭环境中的无线网络需求正进一步增加。人们都希望借助笔记本或手机随时接入互联网，所以，无线网络得到了广泛的普及。无线网络普遍采用公共电磁波式的发送方式，与早期的交换机有类似指出，接入网络的用户都会在该无线局域网中获取或窃取信息。借助专用的抓包工具，进行处理后，可以借机免费上网甚至进入网内的服务器。几年前，wpa的加密方式已经被破解了。近期，有些分布式解密破解工具，正在试图实现对wpa无线网络密钥的破解。软件功能的日益强大，使得无线网络受到较大威胁。

1 无线网络的常见类型

依据网络传授速率、辐射范围和应用放马的不同，无线网络主要包括无线广域网、城域网、局域网和个域网等。

1.1 Wireless Wide AreaNetwork即为无线广域网，是借助通讯卫星传输数据的网络，覆盖范围非常大。常见技术有3G、4G网络，传输速率可以达到2MB/S以上。因为3G更趋于成熟化，许多国际上组织逐步发展传输速率更高、更为灵活的4G网络。

1.2 Wireless Metropolitan AreaNetwork即为无线城域网，是指通过移动电话或者车在设备实现数据通讯的方式，通常能覆盖一个城市。

1.3 Wireless Local Area Network即为无限局域网，其覆盖范围相对较小。数据传输在11M到56MB/S之间。有效传输距离再100M以内。传统技术是IEEE802.11和HomeRF无线标准。IEEE802.11涵盖802.11b/a/g的无限网络表彰，可以支持校园网或办公网的数据传输。

1.4 Wireless Personal Area Network即为无线个域网，一般是个人笔记本中的无线模块间的网络。传输距离在十几米之内，常见保证是IEEE 802.15、蓝牙等，传输速率可以达到0Mb/s。蓝牙的工作频段为2.4GHz，成本低，短距离传输数据较为方便，支持多达7个无线设备。IEEE802.15也支持Wireless Sensor Networks范围内的无线节点的通讯。

1.5 Wireless Body Area Network即为无线体域网，主要应用于医疗、娱乐和军事范围内的无线环境，可以在人体体表或体内嵌入的传感器上实现无线通讯。Wireless Body Area Network比Wireless Personal Area Network Communication Technologies传输距离短，这是无线域网的主要特征之一。

2 现实中无线局域网面临的安全隐患

无线网在开放的空间在传输数据，因此，只要具备恰当的无线终端，即可在信号可及的范围内接入无线网络。也正因为如此，无线网络存在以下安全隐患：

2.1 非法用户接入的隐患。视窗系统集成了自搜索无线信号的模块，只要对于此有常规的知识，对于安全等级较低或没有安全设置的网络，非法用户即可轻易进入该无线网络。接入后，非法用户可以挤占合法用户的带宽，甚至修改路由器的设置，造成正常用户无法接入，甚至造成用户的信息被非法用户窃取。

2.2 非法接入点的安全隐患。无线局域网访问简单、设置方便，普通人都可以自行购买无线接入点，绕过授权而进入网络。用户在应用方便的目的的驱使下，自行安装Access Point，非法进入无线网，在该Access Point范围内的任何人都能进入无线网，这就对网络造成了极大的隐患。

2.3 数据安全隐患。无线信号通过开放性空间传递，非法用户获取无线网络信号后，可能会进行以下不安全设置：一是破解无线网络安全规则，显示Service Set Identifier，突破wpa加密，取消mac过滤，造成门户大开。二是窃取传输数据。非法用户可以借助Ethereal等网络工具侦听通信数据，进而破坏信息的传递等。

3 无线网络安全技术措施

为了消减无线网络中的安全隐患，许多安全技术也逐步应用起来，比如过滤物理地址、匹配SSID、控制访问端口等。此类技术都依据网络的认证性、完整性等核心要素进行防护。其他还有密钥管理等机制，来扩展安全措施。

3.1 无线网络匿名身份双向认证。无线网络通讯双方通讯之前要进行几名身份双向认证，FA和MIN是通讯的双方，MIN对FA的认证是通过MIN对HA的认证和HA对FA的认证来构成。依托公钥协议实现HA和FA的双向认证，时间戳记和签名以HA对MIN临时身份的对应协定来认证MIN的有效身份。以双线程的特性实现认证。

3.2 引入会话密钥的有效及时性。FA和MIN的会话密钥E都是上次会话阶段MIN选定的随机值ram凭借Ek=H 3（bi-1||ki-1）测试得出，每次通讯时密钥都不一样，凸显每密一换，也依次确保会话密钥的有效及时性。

3.3 过滤物理地址。每个网卡的物理地址都是唯一的，可以在路由器中设置多个允许访问的物理地址表，实现物理地址的过滤。该方法适合于接入点不多的情况，而且非法用户也可以修改物理地址来达到入侵无线网络的效果，所以，过滤物理地址并非安全有效的防范措施。

3.4 服务区标识符（SSID）匹配。可以借助服务区标识符设置，对用户群体进行分组，避免漫游方面的安全隐患。因为客户端要与接入热点的服务区标识符相同，才可以接入。另外可以隐藏access point和服务区标识符来实现保密。所以服务区标识符加上密码认证的方式，可以实现安全防护。

3.5 端口访问控制技术。该技术依据端口访问控制管理协议机制，在物理层和物理地址层控制接入设备，关联无线访问点和工作站后，如果802.1x认证通过，就可以为热点放开这个端口，如果没有通过，就不授权访问。

4 结束语

无线网络技术在不断发展，所带来的安全隐患也层出不穷。要不断研究并应用新型的安全防范措施，才能保障网络的安全和访问的畅通。

参考文献：

[1]李林，刘毅，杨骏.无线网络安全风险评估方法的应用研究[J].计算机仿真，2011（09）：147-150.

[2]樊昕.浅谈乡村网络发展新趋势[J].农家之友（理论版），2008（05）：3.

[3]池水明，孙斌.无线网络安全风险及防范技术刍议[J].信息网络安全，2012（03）：25-27.

[4]陶波，张琳，马建锋.无线网络安全协议分析及解决方案[J].电脑知识与技术：学术交流，2012（12）：8823-8824.

作者简介：熊俊（1974.10-），男，湖南临澧人，讲师，硕士，研究方向：计算机信息安全。

网络空间安全对策研究 篇3

网络技术的发展,使得更多的人接触到网络,与此同时网络空间信息技术获得了更大的发展,同时网络空间信息安全逐渐成为一个较为严峻的问题,逐渐受到了更多人群的关注,下面我们就结合当前网络信息安全的主要威胁进行分析。

1 我国网络信息安全现状

由于我国网络信息技术发展,起步晚、技术人才欠缺,导致我国网络信息的安全处于相对脆弱的阶段。就近几年的网络信息安全性调查而言,网络信息安全问题依然突出,其所带来的危害和损失不容忽视。以下为近年来我国网络信息安全的新特点。

(1)在近几年中,网络威胁越来越多样化,且经济利益成为进行网络攻击的最大诱惑。网络欺骗手段不断升级,在目前网络欺骗中,勒索软件、网游盗号及网银盗号木马等比比皆是,足以说明这些网络欺骗的发生,是受经济利益的趋使。此外,现在有些黑客联合起来,以团体或者组织的形式,制作恶意代码或破坏性病毒,散播该代码,从而获取所需信息,达到攻击的目的。网络攻击已由最初的对网络技术的追求,向非法牟取经济利益的方向转变。现在不仅病毒的功能越来越强大,其隐蔽和自我保护能力也是越来越先进,以致病毒可以不断通过网络系统,及可移动设备进行传播。

(2)目前网络安全漏洞居高不下。往往是旧的漏洞被修补之后,又出现新的、危害更严重的安全漏洞。更严重的是,有些黑客组织或者网络技术人员发现新的安全漏洞,不及时公布,而是自己利用完这些漏洞后才发布出来。另一方面,则要归咎于管理人员,没有及时对网络系统进行升级和维护,使得网络系统门户大开,造成大量安全漏洞。而且日益加增的流氓软件,给网络秩序造成很大影响。那些流氓软件在进行安装或者下载时,擅自安装或上传某些文件。这些软件会做些不为人知的事情,给毫无察觉的用户造成很大的危害。比如,迅雷(偷偷上传文件),QQ实时聊天工具及某些播放器。

(3)全社会的网络信息安全意识淡薄。目前,虽然我国在强调要提高信息安全意识,但在实际问题中,很少运用到。网络攻击实际上还是由网络管理不到位或疏忽引起的,甚至,许多企业和公司的计算机系统,忽视防御网络的设置,或者随意私自改变安全策略,以致管理不善,从而引发网络安全威胁。这些都是网络安全意识淡薄所引起的,然而,目前这种状况仍普遍存在。

2 信息安全存在的主要威胁及其产生的原因

网络安全威胁是网络安全问题产生的根源和表现形式,也是网络安全的重要内容。网络安全威胁种类繁多,以下列举信息安全存在的几种主要威胁及其原因。

2.1 失泄密

失泄密是指电脑网络信息系统中的信息,尤其是敏感信息被非授权用户通过侦收、截获、窃取或分析破译等手段恶意获得,造成信息泄露的事件。失泄密发生后,计算机网络一般还可以正常工作,所以,失泄密事故通常不易被察觉,但失泄密所产生的危害性大,且持续时间很长。失泄密主要通过电磁辐射泄漏、传输过程中失泄密、破译分析、内部人员的泄密、非法冒充及信息存储泄露,这六种途径。

2.2 信息破坏

信息破坏是指计算机网络信息系统中的信息,由于偶然事故或人为破坏,被恶意修改、添加、伪造、删除或者丢失。信息破坏主要分为六个方面:一、硬件设备的破坏;二、程序方式的破坏;三、通信干扰;四、返回渗透;五、非法冒充;六、内部人员造成的信息破坏。

2.3 电脑病毒

计算机病毒是指恶意编写的对计算机功能、计算机数据及计算机使用,造成不利影响,并且能够自我复制的一组计算机程序代码。计算机病毒具有以下特点:(1)寄生性;(2)繁殖力强;(3)潜伏期特别长;(4)隐蔽性高;(5)破坏性强;(6)具有可触发性。

网络信息安全威胁产生的原因,除了上述人为因素外,网络自身存在的安全隐患也密切相关。其存在的安全隐患有如下两点:

(1)系统的开放性

开放、共享是计算机网络系统的基本目的和优势,但是随着开放规模越来、开放对象的多样化、开放系统应用环境的改变,简单的开放已不切实际。而这也导致了,相当一部分网络安全威胁的产生。

(2)系统的复杂性

复杂性是信息技术的基本特点,规模庞大特性本身就意味着存在设计隐患,而设计环境和应用环境的不同,更是导致设计过程不可能达到完美。软件漏洞、硬件漏洞、协议设计缺陷等也是典型的由系统复杂性而带来的网络安全威胁。

3 我国网络信息安全的对策

3.1 网络信息安全的管理

网络信息安全问题,首先应考虑管理方面。由于我国网络信息安全行业发展,还处于初级阶段,其管理工作尤为重要。

首先,根据管理流程进行管理操作。内网所出现的危险性,主要表现在违规使用网络,例如越权查看和使用某些业务、篡改机密文件或重要文库的设置,甚至恶意破坏内网中计算机及网络。

其次,对系统进行连续性管理。系统或者网络管理人员,要将系统设置成系统备份和恢复策略。从而可以更好地连续性管理,并防止因自然原因、意外事故、设备问题及恶意破坏,造成系统不能正常运行。

再次,管理人员要进行安全与日常操作管理。管理人员是系统进行管理的核心,这就要求管理人员兼具足够的技术能力,及良好的网络信息安全意识。因而,企业或者公司在选取管理人员时,应将这两方面因素都考虑在内。此外,对工作人员的安全教育及相关培训,有助于提高其在保证网络信息安全中的责任感,执行安全的网络策略,从而减少网络信息安全漏洞。

3.2 网络信息安全的保护措施

为了尽量减少计算机或网络系统受到的网络威胁,这几年来针对不同的网络信息安全威胁,研发了许多技术性产品。其具体如下:

(1)防火墙。网络威胁主要来自互联网,利用防火墙,对出入的网络信息进行判断与鉴别,从而有效地使内网或者计算机系统,免于木马和病毒的侵害。

(2)VPN设备。VPN设备是一个代理服务器,计算机在传递网络信息时,先将信息传到VPN代理服务器,然后再由VPN传给目的主机,以免计算机直接与物联网相连接,这样可以避免黑客获得真正的IP地址,从而免受网络攻击。

(3)安全检测预警系统。该系统能够实时地监测,在网络上传输的数据,且有效地找出具有网络攻击性质,以及违反本网络安全策略的数据,并提示管理者对其拦截、消除。同时记录每次拦截的相关数据。

(4)系统日志审查工具。计算机系统具有时刻记录日志的功能,该记录能够显示出,该系统是否被黑客攻击过,及系统中的安全配置被修改的历史信息。管理员时刻查看系统日志,一定程度上可以发现系统是否存在漏洞,以及安全策略是否更改。

(5)授权和身份认证系统。该系统可以识别来访用户的身份,可以控制来访者的访问权限。而对于无法验证身份的用户,不能访问网络系统及相关操作。同时,能够对传出的信息进行加密,对传入的信息进行解密。

4 总结

网络空间安全对策研究 篇4

关键词：网络鉴证；问题；对策

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2013) 06-0000-02

1网络鉴证论述

1.1网络鉴证的产生背景

“网络鉴证（WebTrust）”服务在1997年由美国和加拿大注册会计师协会共同提出，旨在建立网站浏览者对网站的信任，帮助保障隐私，鉴证网站安全和降低网络商业诈骗风险。

1.2网络鉴证的含义

网络鉴证指注册会计师根据既定的标准对开展电子商务网站的网上隐私、网站安全措施、保密性、履行交易的可靠性、经营业务与交易诚信、应用保障和认证机关七个方面中任一方面或几个方面进行测试，对符合标准的网站签发电子印章的一种业务。

1.3网络鉴证的目标和重点

网络鉴证是以网站的安全性、信息的管理保护等为鉴证的中心，以评价这些内容是否符合“网络鉴证准则与规范”为目标进行的鉴证服务。

2网络鉴证在我国推行的必然性

2.1我国推行网络鉴证业务是电子商务发展的必然要求

就国内而言，虽然网络购物很流行，但人们对它的安全性存在质疑，而网络鉴证业务恰恰能为电子商务的安全性提供保障。就国际而言，我国电子商务要与国际电子商务接轨，必然要遵循国际准则，即要实施网络鉴证业务。

2.2公众对网络鉴证的心理需求

一项调查表明，在52家被调查企业中，有15家企业认为需要网络鉴证服务，占被调查企业的28.85%，这项数据说明我国实施网络鉴证业务是会计师事务所扩展业务范围的需要。一方面，会计师事务所开展网络鉴证业务可以提高自身的竞争力；另一方面，注册会计师开展网络鉴证业务有利于分散业务风险。

3网络鉴证所存在的风险

3.1网络鉴证所持风险的情况

凡经过网络操作的各项业务均存在各种不确定风险，而所谓网络鉴证的风险，是指注册会计师对已知存在的风险，不符合要求的网站仍然进行网站鉴证印章的情况。网络鉴证风险包括固有风险、控制风险、检查风险。固有风险是指假设不存在“网络鉴证准则和规范”，网站内部维护没有进行相关的施控策略或章程的情况下，网站发生了一些比如触犯他人隐私权、私密资料泄露或者危害网站使用者个人财产安全、网站服务出现差错等事端的可能出现行为。网站的控制风险是指网站自身所具备的自主抑制及监管措施与相应程序未能及时阻止或出现一系列问题的可能性。检查风险是指网络鉴证在行使职能的时候没有检查出该网站所能出现的不符合“网络鉴证准则和规范”的重大事项的可能性。

3.2网络鉴证风险大的原因

网络鉴证风险大的原因有：第一，网络的变化迅速，关注者往往看到的信息也许并不是最新更新的数据信息，这样的安全签证，其实也许并不安全，因为在时间性上存在一定的数据未及时更新的情况。第二，网络鉴证报告的人群并不仅仅是签证委托人，而是囊括了诸如具有入侵风险的全部电子服务站点的浏览人群。第三，一些虽然具备了注册会计师资格的从业者其实对业务也有很多不甚了解的地方。第四，不同计算机使用者在机器硬件、软件的配备上各有不同。第五，计算机随时会发生诸如黑客的攻击，或是网络病毒的侵害，这一情况会随着时间的发展愈演愈烈。

4网络鉴证经费昂贵

4.1从花费的时间来看网络签证的经费

网络鉴证看似只是一种签证办理的手段变迁而已，实则不然，它是一种独一无二的产品，从办理的时间上来看，每次在经过了诸多程序后都要耗时甚久。截止本文成稿，根据官方的权威数据资料显示，网络鉴证的办理从开始到最终取得该签证至少要话费三个月的时间，而这期间所消耗掉的费用可想而知。

4.2从人力、物力等方面的消耗来看网络签证的费用

网络签证看似省去了很多繁琐的程序与人力物力等诸多方面，但事实并非如此。第一，网络签证的整个过程当中需要不止一位注册会计师来共同完成。第二，收集和编制的鉴证材料也很多。第三，网络鉴证涉及的内容较比其他方式的签证内容显得更为广泛。

5网络鉴证难度大

5.1很难搜索网络鉴证线索

网络鉴证线索，就是网络鉴证的轨迹。网络鉴证在计算机上进行，计算机只记录最后的处理结果忽略中间的处理过程，这使注册会计师发现错误的可能性减少，给网络鉴证的追踪带来了重重困难。

5.2网络鉴证对象受到限制

网络鉴证对象是网络鉴证监督、检查和评价的客体。注册会计师进行网络鉴证的依据是计算机的输出信息，网络鉴证对象受到计算机操作人员的限制。

5.3网络鉴证取证难度大

注册会计师只有通过在线访问来查询电子数据，获取无纸化的鉴证证据。

5.4计算机舞弊的隐蔽性

计算机的数据和程序的修改在没有控制的情况下，完全可以不留任何痕迹的进行。计算机不仅信息处理的有效工具，也是犯罪舞弊的绝妙手段。

6缺乏必要的与网络鉴证相关的法律规范

没有如何具体进行网络鉴证的规范，缺乏可操纵性的准则、指南。法律盲区是实施网络鉴证的主要障碍之一。传统的鉴证制度准则、法律规范体系已不能适应指导的规范网络鉴证实践。而我国到目前为止仍未颁布《电子商务法》、《网络鉴证准则》。我国实施网络鉴证缺乏重要依据，使得注册会计师执行网络鉴证业务的行为得不到规范。

6.1加大宣传，提高公众对网络鉴证的认识

政府和注册会计师的协会要引起足够的重视，通过一系列途径来加强社会公众对网络鉴证的认识。第一，通过新闻、媒体加大宣传力度。第二，通过讲座形式使学生对网络鉴证有所了解。第三，在网络上增加关于网络鉴证方面的资料。第四，报刊中要增加刊登网络鉴证方面的学术文章。

6.2借鉴并采用先进的鉴证程序、方法与技术来提高网络鉴证的效率

（1）借鉴国外先进程序、方法来提高网络鉴证的效率

第一，由于中国至今还未引入网络鉴证业务，国内网络鉴证的理论依据较少。而美国、加拿大的网络鉴证技术已经比较成熟。第二，我国仅靠已有的鉴证技术无法对网站要求鉴证的方面进行全面、完备的鉴证。第三，网络鉴证各个阶段具有不同的特点。

（2）利用先进技术来提高网络鉴证的效率

要综合运用多种先进学科技术方法进行网络鉴证。第一，对网络系统的了解和描述方面方法如：面谈法、系统文档审阅法、观察法、计算机系统文字描述法等等。第二，可以结合计算机辅助鉴证技术，从而提高鉴证效率。第三，可以通过建立测试模型来实施检查与测试。

参考文献：

[1]罗杰.我国网络鉴证探析[J].经济师,2006,5.

[2]刘振雨.浅谈网站认证[J].成功(教育),2008,2.

[3]吕先培.CAP鉴证[M].成都:西南财经大学出版社,2005.

[4]审计署审计科研究所.中国审计研究报告[M].北京:中国时代经济出版社,2005.

[作者简介]钟山（1986.5-），男，福建宁德人，助理工程师，本科，研究方向：网络安全。

网络空间安全对策研究 篇5

不同于以往的网络空间安全研究,网络空间安全科学在很多关键性安全问题方面,其优势更加突出,我们必须要认识到网络空间是人类活动的新领域,是与海、陆、空、天同等重要的第五作战空间,与我国经济、社会、政治文化事业的发展密不可分。现阶段,我国在网络空间安全方面还缺乏相关的研究与理论支撑,因此强化网络空间安全科研力度,提升网络空间安全等级迫在眉睫。

2 网络空间安全的科学概述

科学是指建立在可验证假设的基础上,对客观事物的形式、组织等进行预测的有序的知识系统。在自然科学中,定理、定律等被用来反映现实世界各种现象的本质规律,如E=mc2,PV=n RT。然而,科学规律的本质并不是这些量化的数学表述本身,而是其背后所揭示的可验证的预见性。因此,对网络空间安全科学基础的研究[3[3,4]4]也旨在去寻求设计安全计算系统的基础科学规律,从而使得信息系统不仅可以抵抗已知攻击,还能抵御未预料到的攻击。

不同于物理、化学等基础自然科学,网络空间安全研究的是一个人造的、数字的世界,与网络空间安全相关的威胁是动态变化的,敌手的攻击方式及攻击空间也在随时间不断演化,因此,没有一个科学领域能覆盖网络空间安全所有突出的问题。然而,网络空间安全仍存在和其他一些领域相似的地方,通过借鉴密码学、模型检测、博弈论等领域的观念,将有助于确定网络空间安全研究的方向。

密码学研究如何在有敌手存在的环境中通信,其中对敌手攻击能力的刻画、攻击模式的分类,以及密码系统的安全性评估方法,都可以为网络空间安全科学的基础研究提供有益的参考。

模型检测中首先需要提出算法的详细描述,然后尝试验证在特定的假设下该描述的不同推论的正确性,这为考察网络空间安全问题提供了一种严格的理论框架。

博弈论的思想可以帮助确定网络空间安全防御策略的优先次序,为网络攻防收益的量化、最优防御策略选择、攻击行为预测、风险评估提供了解决方案。

3 网络空间安全需要解决的关键科学问题

3.1 系统构件的组合方法与扩展方式

信息系统的安全性如果得到保证,那么这套系统将会被众多公司所认可并使用。作为信息系统的组成部分,操作系统、数据库以及硬件平台等产品的质量,将直接对大规模的信息系统造成影响。由于不同构件的来源广范且种类繁多,不同产品之间可以互相替代,因此,如何利用科学的理论进行系统的搭建至关重要。

在选取系统构建的组合方法和拓展方式时,需要保证选用的构件不会对整个信息系统造成威胁,从而让较为安全的组件顺利成为安全系统的一部分,同时为了方便对整个安全系统进行分析,选用的组件要具有独立性,从而保证网络空间安全具有科学基础。

就组合性方面的研究而言,通用可组合(UC)框架(计算复杂性)、DDMP模型(符号操作方法)是比较成功的基础理论,这两个由密码学研究出的基础理论是密码协议可组合安全性方面的重心。密码学在组合性领域的研究成果,进一步保障了现今这个网络时代的安全性。

如何让网络空间更加安全,需要从四个方面入手。

(1)网络空间层次分为代码层、结构层和应用层,了解这些层次在系统中的组合方法和扩展的方式,并掌握各种构件的相同特征。

(2)机密性、完整性以及可用性是系统特定的安全属性,针对这些属性在系统构建方式上的相关要求做出研究。

(3)以前两个方面为基础,在保障网络安全性评估是可组合的同时去探究构件的组合方法与扩展方式,从而具体研究拥有多维安全性要求的构件系统。

(4)加快形式化分析工具开发、组合型系统安全属性验证技术开发的脚步,合理化设计一套完整的可组合型体系结构,从而适用于各种类型的构件系统的开发与应用。

3.2 信息系统的安全性度量方法

系统安全性这个词对于在网络时代生活的人并不陌生,我们在使用网络的同时也比较注重其系统的安全性,许许多多的问题也就随之而来,比如,“相对其它系统而言,这个系统的安全性高吗?”“利用这种安全技术设计的系统安全性会提高吗?提高多少呢?”“实施某种措施后,会不会对系统安全性带来安全隐患呢?”等。

这些问题并不是一时三刻就能解决的。想要对一套普遍适用的信息系统安全性度量指标进行合理定义并实现,必须要做到将度量指标与敌手的攻击能力相结合,与攻击的模式和攻击目标的模型相结合,与攻击系统环境结合,并与系统漏洞知识相结合,但这并非容易之事。要想对信息系统进行安全性度量,就要充分了解防御措施与防御能力的变化、外部环境安全的变化和信息系统自身价值的变化,这些变化不定的因素对信息系统的安全度量有着较大的影响。

组合型网络攻击建模方法的提出在信息系统安全性的研究领域上获得成功,此方法是基于攻击树模型和攻击图模型的建模方法。攻击树模型,即对故障树模型进行扩展,对攻击目标的信息系统漏洞进行描述。攻击图模型,即合理利用网络拓扑信息,实施其含有的两种分析方法(攻击序列成功概率分析方法、网络系统损失风险分析方法),从而对系统中容易存在的问题进行合理的分析。

从网络发展趋势来讲,网络空间安全研究的方向会从局部评估逐渐向整体评估拉近,从基于规则的系统评估方法,逐渐向基于模型的系统评估方法拉近,从单机评估逐渐向分布式评估拉近。

3.3 基于策略的跨域安全协作方法

网络空间安全的研究,多年来一直不曾停止,尤其是在互联网分布技术不断发展的背景下,更多的大规模分布式系统出现,并且划分为不同的高度自制领域系统,这些不同的领域在安全方面互相牵制,从而达到提高安全性的目的。

在这样的多领域环境下,分布式管理对集中式管理的安全模式要求更多,因此很多问题也逐渐暴露出来。例如,跨领域访问流量过大,领域成员不断增多等,这就会导致多领域操作越来越复杂,难度也越来越大。网络空间安全面临的基础科学问题,包括如何对适用于不同应用场景的策略标准语言和模型进行定义;怎样研发在不同权限域中参与者之间的规范需求以及策略的表达和实施方法;如何保障参与者之间的安全协作过程。多域安全互操作的研究在网络安全领域上的发展势头较为领先,其在国内乃至国际都占有主要地位,尤其是基于信任管理的自动信任协商机制的提出令多域安全互操作更加丰富多彩。

4 结束语

总而言之,网络空间安全的研究,是我国目前计算机网络领域研究的主要问题,针对网络空间安全领域的共性问题深入探索,结合国外的先进经验,研究出符合我国网络空间发展的技术和理念,是推动我国网络空间安全领域可持续发展的关键。调动一切能够调动的力量,不断尝试各种新的方法和技术,才能够是我国摆脱受制于人的困境,占领网络空间这块高地。

参考文献

[1]董青岭.多元合作主义与网络安全治理[J].世界经济与政治,2014(11).

[2]田立加,王光厚.中国网络空间安全现状研究[J].山西大同大学学报(社会科学版),2015(02).

[3]王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报,2015(02).

[4]方兴东,张笑容,胡怀亮.棱镜门事件与全球网络空间安全战略研究[J].现代传播(中国传媒大学学报),2014(01).

[5]网络安全课题组,王益民.网络空间安全国际对话机制与对策研究[J].电子政务,2014(07).

高校网络安全防御对策研究 篇6

由于网络技术的高速的发展, 计算机网络越来越在社会的各个方面进行广泛的普及, 在高校更不例外。在高校, 组建校园网络, 其主要功能是实现各部门之间资源共享, 加快信息的处理, 从而达到工作效率的提高和劳动强度的降低。校园网络虽然为教职工与同学带来了很大便利, 但同时校园网络同样存在安全问题, 例如非法登录、访问非法网站以及使用带病毒的软件等等, 这些将严重影响校园网的正常运行产生非常重大的影响, 甚至系统有时都会崩盘。在高校, 学习与生活都已离不开校园网一卡通。因而一卡通的深入的使用, 对校园财务安全提出了更高的要求。所以校园网络安全问题已对校园网络的高速发展及高校教育事业的快速有效发展产生了重要影响。

因此, 我们需要对高校校园网络安全产生威胁的几个方面进行了解。对安全产生威胁的主要有失密或窃密、信息的纂改、黑客的侵入以及计算机病毒等。窃密和失密是指采用各种手段如利用间谋软件、利用搭线窃听窃收等进行密码破译或窃取。信息的纂改是指在非授权的情况下在信息的传输过程或在信息的存储过程中, 采用篡改等手段来修改信息。黑客的侵入是指采用各种黑客技术侵入网络, 获取资料、破坏系统等。而由于计算机病毒流行与当今计算机网络, 会对校园网络产生重大影响, 甚至会使得整个系统的瘫痪等。

2. 常见网络安全技术

2.1 防火墙技术

防火墙原指现代大型建筑大厦为了防止发生重大火灾, 并从建筑的一部分传播到另一部分而采用的防火设施。现在在计算机网络中计算机病毒、黑客入侵等非法操作非常多, 所以在网络中设置类似与建筑大厦的防火墙功能的措施, 也简称为防火墙。简单来说, 防火墙就是一个把外网 (互联网) 与内网 (校园网) 之间设置一个防止非法入侵及病毒等的屏障。它主要从限制外网的用户从一个特别的控制点入侵, 窃取你的资料;限定内网的人们从一个特别的点离开, 从而数据泄密;防止入侵者接近内网你的其它设施, 从而阻止破坏你的系统, 达到保护的作用。防火墙作为一个安全策略的检查站, 仍然存在许多缺陷。对于恶意的破坏不能实现防范;实现不了防范与内网系统的连接;不能对所有的威胁起作用, 特别是计算机病毒。防火墙主要有两种类型, 一是标准防火墙, 二是双家网关。不同类型有它们自己的特点, 有它们自己起作用的侧重点。

2.2 虚拟专用网 (VPN) 技术

虚拟专用网 (VPN) 是一种通过一个公用网络, 建立一个相当于给用户类似于直接跟私人局域网连接的服务的技术。采用VPN技术, 可对用户的通信费用大大地降低, 并且有比较好好的安全与可靠性。其中隧道技术和加密技术是虚拟专用网技术实现起来的的两个重要技术。

2.3 计算机病毒防护技术

计算机病毒就是一个计算机可执行的程序代码, 能够对正在正常使用的计算机进行恶意复制或将文件蓄意传送给其他的用户, 直至系统崩盘, 遭到甚至硬件损坏。计算机病毒主要目标就是毁坏数据、强占硬件资源、破坏系统等。

3. 加强网络安全的建议

(一) 安全区域划分

当前高校校园网络基本上是基于网络互通, 采用自下而上的集中式设计的, 在网络安全上考虑的相对比较少, 虽然该设计的层次结构相对比较清晰, 方便系统的管理与维护。但由于同一环境下同一层的之间存在安全隔离问题。因而我们需要转变思路, 采用以安全为中心, 网络通联的设计思路。, 将校园网络按不同安全级别进行区域划分, 并进行相关的网络安全设置, 同时不能忘记安全隔离。

(二) 对关键路径进行深入检测防护

为了进一步增加网络的安全性, 以及更深一层的保护, 我们应对关键路径进行深入检测防护。对网络中的数据包进行综合的深入检测, 对网络中的病毒、非法数据流进行有效识别, 进而采用对应的有效措施, 加强网络安全。

(三) 识别用户上网行为, 并控制非法上网行为

使用计算机网络, 用户之间实现了资源共享, 这是非常有益的。但事物总是有两面性, 有益处, 就有害处。资源共享的同时, 一些非法网站、病毒就会占有网络带宽, 所以在使用网络过程中, 我们应采用有效识别技术, 识别用户上网行为, 并阻断非法上网行为, 建立一个安全、高速的校园网络。

参考文献

[1]刘远生、辛一, 计算机网络安全[M]第二版, 清华大学出版社, 2009

涉密网络安全管理对策研究 篇7

关键词：涉密网络,安全管理,对策

1 引言

信息网络广泛应用的同时,网络安全问题一直层出不穷,对涉密网络的安全提出了更高的要求。目前,大多数涉密网络对外安全防护程度较高,一般均综合配置了防火墙、安全网关、入侵检测、信息加密等设备,较好地实现了对来自外部入侵的安全防护,但来自内部网络的安全事件频频发生,使涉密网络内部管理面临着严峻挑战,因此,如何加强涉密网络安全管理值得深入研究。

2 应采取的对策

2.1 严格法规制度,筑牢思想防线

严格的规章制度是实现网络安全的重要保证,是规范涉密网络管理的依据和保障。一方面,要健全法规制度。依据国家相关法规和有关规定,有针对性地制定适合本单位实际的措施、制度,建立网络安全管理机制,细化原则性的规定、标准和要求,明确分工及相应的安全职责,将制度建设渗透到涉密网络建设、使用、维护、管理等各个环节,建立完善网络建设、终端接入、开通运行、涉密信息发布等制度,健全网络安全保密检查评估机制,实行涉密信息集中管控。另一方面,要抓好制度落实。制度关键要靠人来具体落实,许多单位在网络运行管理和使用中,更多的是考虑效益、速度和便捷,而对安全、保密重视不够,因此,要深层次地增强网络安全观念,认识到信息安全防护工作不仅仅是技术人员的“专利”,更需要所有相关人员来共同防护。

要教育培养网络安全意识, 掌握信息安全知识,学会“防什么、怎么防”,坚持不懈地抓好各项制度落实,调动人员的积极性和主动性,构筑牢固的思想防线。一是开展以提高技术防范能力为目标的知识教育,大力普及计算机信息安全保密知识, 增强网络安全防护意识,丰富安全防护知识。二是开展以规范涉密网络安全管理为重点的法规教育,熟悉相关规定和要求,提高遵章守纪的自觉性。三是开展以强化信息安全观念为主题的警示教育,认真汲取近年来网络和涉密载体失泄密案件的教训,营造群防群治的良好氛围。四是定期进行网络安全检查,排查隐患,及时整治,对发生频率较高、整治较困难的问题反复抓,直到彻底纠正。特别要严格涉密网络信息管控,使涉密信息从产生、流转、使用到销毁形成完整的“闭合回路”,将网络安全管理相关内容纳入单位及个人工作考评中,对发生的安全事件,依照有关规定进行问责。

2.2 配套人员设施,健全防护体系

合理调配人员,建立网络安全专职机构,主要负责网络安全系统配置、网络安全设备维护、网络安全监督检查等,对各类可能发生的网络安全事件制订相应的应急处置预案,并能够及时有效处置,针对存在的安全隐患提出整改意见。

构建涉密网络安全防护体系必须实现几个目标:网络系统稳定、可靠运行,具有可审查性,能够进行权限管理,杜绝非授权用户使用未授权信息;网络中的信息在传输、交换、存储和处理过程中保持完整性和原样性。当网络系统遭受攻击或破坏时,能快速响应、迅速恢复使用。据此来制定网络安全策略,对照安全策略查找安全“短板”,选用相应的安全软件、硬件加以弥补,构建覆盖用户终端的安全防护体系。

一是加强涉密服务器安全防护, 采取网络访问控制、包过滤、代理服务、审计跟踪、信息确认、密匙安全、身份鉴别、入侵检测、漏洞扫描、病毒防范等技术,操作系统进行安全配置,严格控制不同用户访问网络资源的权限,开启系统各类监控审核日志,确保服务器安全。

二是加强涉密终端安全防护,为涉密终端配备电子干扰器,配置IC卡或USB加密狗等用户认证设备,采取主机登录控制、端口权限绑定、外联监测封堵和安装内网综合防护系统等措施,对网络运行和终端操作行为进行实时监控,防止非授权计算机接入涉密网和“一机跨两网”;正确设置管理策略等措施,封堵外设接口,防止非授权电子设备接入拷贝数据。

三是加强网络设备安全防护,使用经过权威部门安全认证的设备, 通过网络接入控制系统, 为网络用户提供统一的身份认证和授权机制; 合理划分虚拟局域网, 实现对内网、外网和内网各区域间数据包的过滤;使用漏洞扫描定期检查系统安全隐患,针对安全分析报告组织整改;防火墙启用防抗网络攻击功能,交换机采取端口与IP地址绑定、网卡地址与机端口绑定、关闭远程登录、设置端口禁用、启用安全认证、更改默认密码等措施,增强网络整体安全性。

2.3 严格入网审批,规范终端管理

入网终端的管理是整个涉密网络安全管理工作的重头戏,主要目标是禁止未经授权计算机和移动设备违规接入, 防止涉密网络计算机与外部网络建立非法外连,控制移动存储载体在涉密网络的使用等。

一是严格把好终端用户入网审批关,实行入网申请审批制度。管理部门认真核查终端用户入网资格,对准许入网用户的使用人信息、位置坐落、计算机终端情况、IP地址、MAC地址、上联交换机端口等信息进行详细登记,建立实名制上网登录帐户,发放身份令牌。

二是严格IP地址管理, 明确IP地址申请和发放流程、IP地址变更流程、IP地址非法使用处罚制度,严格控制用户设备入网及网址变更。用户网络信息的改变必须提前上报,经主管部门审核批准后,方可更改。

三是建立终端用户信息基础数据库,信息项目设置尽可能详尽,一般可包括用户本人自然情况、使用终端的配置情况、网络资源分配记录、上网地点、终端维护记录及用户行为记录等信息,这些信息将成为用户信息管理、用户网上行为监控及安全事件定位的基本依据。

四是完善技术措施,及时监督和纠正用户在入网操作中的违规的行为。实行“全网先封闭,审批再开放,多参数捆绑,全时域监控”的管理模式,杜绝随意入网的问题,从开放式入网转变为封闭式管理。依托主机监控系统,对终端的登录、外设、网络、进程等实施精细管理控制,严把信息传递流程。定期对接入涉密网络的计算机终端进行身份鉴别,阻止未授权的计算机终端接入和访问内部网资源;通过建立违规外联特征行为模型,实时扫描内部网络所有在线主机情况,检测并确认违规外连主机, 实时监视网内受控计算机通过普通电话线、ISDN、ADSL等方式拨号上网行为, 检测通过无线方式非法上网的行为。强制推广使用“涉密电子文件标签和水印管理系统”,必要时禁用USB端口、光驱等外设接口,严防涉密计算机违规上网、涉密载体非法外连、个人存储载体随意拷贝等行为。采用口令加密、数字签名和指纹识别等技术手段,分级控制内网用户的使用和访问权限,防止非法用户窃取涉密资料。

2.4 加强安全监测,做好重点防范

根据网络安全形势的变化和技术的发展,不断调整和补充新的技术手段,建立一个综合监管平台,使既有的入侵检测、漏洞扫描、补丁分发、主机监控、防病毒等系统形成整体合力,对网络攻击、病毒传播、有害信息发布等内容进行全面监测, 实时采集整个网络的基础数据,通过对网络的信息汇总、统计和分析,为网络安全提供数据支持。通过网络可靠运行监测、漏洞扫描、木马检测、攻击事件监测等,查找网络中的薄弱环节,分析网络的安全状况, 有针对性地制订安全策略,一旦有安全事件发生,发出实时告警,迅速准确地定位事件来源,进行应急处置。

在全面防范的基础上,重点把住网络攻击和病毒破坏关口,紧盯移动载体使用。更新完善防火墙、入侵检测和防病毒系统,定期检查漏洞扫描、网络监测预警,对终端运行资源、异常流量、异常进程进行监控与管理,一旦发现网络病毒、对外扫描、对内攻击、流量异常等安全事件隐患,按照早发现、早报告、早处置的原则,快速有效地定位网络事件引入点,采取技术手段追查非法攻击来源,及时、准确分析、定位和隔离,恢复或重建被破坏的系统。重要系统须存有备份,一旦遭受破坏性攻击,应立即停止系统运行,检查日志资料,确认攻击来源,采取有效措施,恢复软件系统和数据。

还要规范移动存储体质使用管理,严格涉密计算机及存储介质管控, 实行淘汰报废涉密载体审批上交、离岗保密审计等措施, 实施全寿命户籍式精确化保密管控,严防在涉密网与非涉密网之间交叉使用,严格办公类电子设备保密管理,对涉密移动存储介质进行加密注册使用,区分明密,专网专用。确需在涉密网和非涉密网之间、内网和外网之间传递资料时,可采用文档打印法、U盘或移动硬盘转换法、安装数据单向传输设备、光盘刻录法进行间接操作,防止交叉感染病毒,遭受“摆渡”木马程序攻击泄密。

3 结束语

网络安全性及对策研究 篇8

信息技术和信息产业的飞速发展, 推动了计算机及其网络在社会生活各个领域的广泛应用。以Internet为代表的全球性信息化浪潮, 使得网络技术的应用日益普及, 应用层次逐渐深入, 应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。

而在当今这个开放的网络环境下, 私有的信息不可避免会受到来自各个方面的各种主动或被动的人为攻击, 如信息窃取、数据篡改、计算机病毒等。近年来, 垃圾邮件的日益蔓延, 网页频繁遭到黑客篡改攻击, 病毒、蠕虫、恶意程序等泛滥成灾, 网络信息系统中的各种犯罪活动已经严重危害着社会的发展, 并给全球的众多机构和企业造成了巨大的经济、名誉损失。利用信息技术进行的高科技犯罪事件呈现增长态势, 已经成为普遍的国际性问题, 也严重阻碍了各行各业的信息化进程。

目前网络信息安全已成为急待解决、影响大局和长远利益的重大关键问题。信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分, 是世纪之交世界各国在奋力攀登的制高点。因此我们应该对网络的安全性进行全面的评估、分析, 从而有针对性地提出应对的方法和措施, 提高网络信息的总体安全的性能。

2. 网络安全现状浅析

2.1 入侵手段的多样化

随着网络黑客队伍的壮大化、产业化。以赢利为第一目的, 完整而成熟的庞大黑客产业链已经形成, 产业链的分工产生了“专业化服务”, 病毒研发、销售、培训、使用已经形成一条龙, 例如权威部门统计:2009年的病毒数量继续暴增, 比2008年增长12倍以上。

目前的网络威胁多数已经从网络层发展到应用层, 包括入侵、蠕虫、病毒、木马、恶意软件、垃圾邮件、P2P滥用等等。面对安全威胁的发展趋势, 传统的基础网络安全手段应对已经显得无能为力。它无法深一步地检测出利用正常业务端口展开的恶意威胁与攻击, 也无法有效检测和控制占用用户大量网络资源的流媒体、P2P的应用。在这种情况下, 必须融合多种安全能力, 对应用层进行深层检测、立体防御。

2.2 网络边界的脆弱性

网络对外业务增多的同时对外连接需求也不断增加, 分支结构和移动人员需要实时接入企业网络进行数据传输和资源共享, 移动办公终端交替接入企业内网和互联网等等, 这些都让原本静态封闭的网络边界变得日益模糊。

同时, 网络应用体系的复杂化、应用系统和终端数量的增多都有了质的飞跃, 网络内部也逐步划分了不同的网络计算环境, 但是随着业务的调整和网络互连手段的增加, 移动办公的随意接入, 无线网络的普及, 内部网络之间的边界而动态地变化着。网络边界的模糊导致了防护难度与日俱增, 为了建立有效的安全保障体系, 必须考虑各种接入方式的针对性防护措施。

2.3 应用流量的杂乱

众多网络流量中存在各种错综复杂的应用、信息以及其应用状况没有合理化分配, 导致网络管理处于无序状态, 网络与应用性能的保证处于盲目状态。另外当前网络资源的滥用, 很难进行有效控制。多样化的应用导致关键其应用性能的急剧下降。同时异常的网络流量攻击也会导致网络的合理化使用崩溃。

3. 安全威胁的对策与研究

3.1 入侵防御系统的应用

网络速度的日益提高和网络入侵行为的越来越复杂化, 高速高性能的网络入侵检测和防御系统越来越受到重视, 当前绝大部分研究都集中在网络入侵检测系统方面。但是由于入侵检测系统的局限性, 同时不具有实时阻断的功能, 目前入侵防御技术和系统更受人们的重视。

入侵防御系统 (Intrusion Prevention System) 是指不但能检测入侵的发生, 而且能通过一定的响应方式, 实时地中止入侵行为的发生和发展, 实时地保护信息系统不受实质性攻击的一种智能化的安全产品。入侵防御系统是网络安全领域为弥补防火墙及入侵检测系统的不足而新兴的计算机信息安全技术, 不同的入侵防御系统实现的方式各不一样, 但其共同点是综合了防火墙防御功能和入侵检测系统的网络数据包检测功能, 紧密实现上述两种安全系统的互动互利, 对受保护网络进行更为完善的保护。

现代网络环境中的入侵防御系统部署, 多为专门深入网络数据内部, 查找它所认识的攻击代码特征, 过滤有害数据流, 丢弃有害数据包, 并进行记载, 以便事后分析。除此之外, 更重要的是, 大多数入侵防御系统同时结合考虑应用程序或网络传输重的异常情况, 来辅助识别入侵和攻击。

3.2 可信接入的研究与实现

在当今多样化的网络环境中, 随着网络接入方式的复杂多变, 新的安全问题日益凸显, 要对于各种网络接入方式做到完全“可信”, 就不能仅仅保证接入认证时的身份可信, 还应当确保接入后的访问过程中行为可控, 全面防范各种攻击行为, 即从接入发起开始, 一直到整个网络访问完成的全过程可信和可控。针对这一总体要求, 我们从以下几个分析:

3.2.1 接入通道可信

接入通道即网络访问通道可信是是指, 网络接入或终端接入时能够保证交互数据的保密性和完整性, 保证在数据传输过程中, 不会被恶意攻击者截听、篡改和破坏。外部网络接入和外部终端接入可以通过SSL VPN、IPSec VPN或者专线方式实现。内部网络之间接入和内部终端接入时的网络访问通道可信可以通过终端管理系统、防火墙边界隔离、VLAN划分、设备加固、无线接入防护等手段综合实现。

3.2.2 接入者身份可信

身份认证是整个网络安全体系最基础的环节, 身份安全是网络安全的基础, 身份可信归根结底就是要保障发起访问的人的身份是合法的, 要确认该用户为企业的合法用户, 这是可信接入的基础。应采用多种身份认证手段, 例如OTP、数字证书等, 认证数据应以密文的方式在网络中传递, 即使被截取也无法获得原始数据, 使攻击者无法伪造身份, 更无法获得访问信息网络的权限。

对于网络与网络间的基本信任关系应当基于全面评估结果, 通过访问控制手段实现。全面评估应当包括网络间的业务数据流向关系、访问关系、协议、网络地址、端口、用户、带宽等多个角度和层次。

3.2.3 接入中行为可控

行为可控是为了有效规范合法用户的行为, 防范合法身份的非法使用和越权使用等行为。行为可控包括以下几个方面:

内部网络访问行为可控:网络内部不同区域间应当对跨域访问行为进行控制, 以避免非法访问和越权访问。可以根据控制的需求强度, 采用隔离网闸、防火墙、流量控制等技术手段实现;

边界网络访问行为可控:网络边界是安全防护的重点, 必须采取严格的控制措施进行边界防护和隔离, 保护内部网络安全和控制对外的访问行为。可以根据控制的需求强度, 采用隔离网闸、防火墙、流量控制等技术手段实现;

终端网络访问行为可控:这里的终端包括内部终端、外部的移动办公终端以及分支结构终端等。应对终端的网络访问行为进行有效监管, 包括:控制终端的各种非法外联行为;控制远程终端接入后资源的访问权限和粒度;控制内部终端可以访问的资源以及可以访问的形式, 避免对信息系统的非授权访问;另外需要对终端的P2P下载、流媒体应用等过度占用网络带宽资源的访问进行限制, 保护关键应用。可以综合采用终端管理系统、防火墙、流量控制、行为审计系统等多种技术手段实现。

3.3 网络流量监控体系的构建

网络流量监控是一种保障网络安全的有效机制, 在网络安全保护、实时运行记录和违规操作拦截等方面都有广泛的应用。通常, 网络完全监控的对象可分为两类:信息和操作。

其中, 信息主要是指网络流量中所提炼出的文件和文件信息, 操作主要是指用户认为产生的操作行为。监控系统要对文件信息的变更, 文本信息的复制传播以及认为操作进行记录、甑别, 必要时要能够阻止有威胁的信息传播。

文件是信息的主要载体, 在网络安全领域, 对涉密文件的保护至关重要, 要求必须监控网络行为对于文件信息的操作, 对文件的新建、修改、删除等操作进行准确的记录。甚至要依据判别规则进行操作干预, 放置受保护的信息被非法修改、删除或者复制传播。文本是大部分信息的直接表现形式, 它可以来自于文件、网络等多种渠道, 流量的监控保护主要体现在对流量内容复制、篡改的监控, 记录修改的相关信息, 阻止敏感信息。

在监控对象中, 人为的操作具有高不确定性和破坏性等特点。人为操作的监控可以在记录基本网络行为的基础上, 结合操作对象来判断操作目的和生成信息, 以阻止有威胁的操作以及信息的泄露。可以综合采用内容审计系统、行为管理系统等多种技术手段实现。

4. 结束语

网络安全威胁的根源在于每个网络的脆弱性, 由于这些弱点而引起的网络攻击、非法入侵、非法接入、行为不可控等严重扰乱了军事、金融、政府、企业等各个部分的网络使用, 造成了一系列的严重后果, 严重危及到各个领域的安全。

消除这些网络威胁, 只有清楚地了解每个网络中存在的各种脆弱性, 并尽可能地弥补它们, 才不会为之所累, 使得网络能够发挥其最大的效能。从根本上理解各种脆弱的起因、利用各种网络技术的原理、方式以及影响后果等本质, 从而有针对性地提出应对这些威胁的方式和措施, 提高网络的总体安全性能。

参考文献

[1]王赛, 林海波等著.网络安全与防火墙技术.北京:清华大学出版社, 2000.

[2]张杰, 基于互联网环境的企业信息安全防范策略.科技资讯, 2007 (17) :100.

[3]沈昌祥, 张焕国, 冯登国.信息安全综述.中国科学 (E辑:信息科学) , 2007, 37 (2) :129-150

网络空间安全对策研究 篇9

【关键词】计算机；网络通信；安全防护；对策研究

近年来，计算机网络技术的进步，改变了我们的生活，推动着社会经济的发展，随着网络通信范围的不断扩大，网络通信存在的安全问题也逐渐显现出来，如何保障网络通信安全，成为了当下广为关注的问题，结合现阶段我国计算机网络技术的发展现状以及网络通信安全问题，对安全问题的产生原因进行分析，对防护对策进行探讨，有着重要的现实意义。

一、计算机网络通信安全现状分析

（一）计算机网络通信安全的特征

计算机网络通信安全具有三大特征：第一，攻击损失较大，网络通信已经成为人们生活的重要组成部分，使得计算机网络成为不法分子攻击的主要对象，一旦系统遭到破坏，数据大量失窃，会给计算机用户带来巨大的损失；第二，威胁社会安全，除了普通计算机用户外，网络通信技术还广泛应用于社会经济的各个领域，无论是政府机关，还是企事业单位，都越来越依赖于计算机开展工作，这也使得网络攻击范围也在逐渐扩大，政府机关和企事业单位成为攻击目标，会对社会安全造成严重的威胁；第三，攻击手段隐蔽，网络攻击技術伴随着计算机网络通信技术的发展而发展，呈现出多样化的发展趋势，如截取用户帐号和密码、监视网络数据等，这些攻击手段都非常隐蔽，不易察觉，给安全防范工作增添了难度[1]。

（二）计算机网络通信安全问题成因

计算机网络通信安全问题主要体现为以下几点：其一，系统自身问题，计算机系统由软硬件系统组成，这在增加便捷性的同时也存在着一定的安全隐患，随着网络开放程度的日益提高，数据信息的保障工作面临着巨大的压力，通信质量容易遭到破坏，使得网络通信安全性能大为降低；再有系统软件存在漏洞，尤其是通信协议的不健全，也会给不法分子侵入系统提供机会，IP管理的薄弱常常会被熟悉IP的不法分子利用。其二，计算机性能不高，计算机系统本身防御能力比较低，再加上难以消除的静电威胁，都可能会使系统面临安全威胁。其三，人为操作失误，缺乏网络安全意识，网络技术的发展使得网络构架越来越复杂，网络安全管理水平有待提高，然而由于用户这方面的意识比较薄弱，在操作过程中因随意下载或进入非法网站，都会带来网络通信安全问题。其四，网络传输信息通道存在安全隐患，相关人才比较匮乏，信息通道在设计上还有待提高，目前还没有比较有效的电磁屏蔽措施来解决信息被非法监测的问题，加之我国目前还缺乏这方面的管理人才，网络通信安全防范工作整体水平不高，严重限制了我国计算机网络通信系统的快速发展[2]。

二、计算机网络通信安全方法对策

（一）改善网络通信系统性能，做好相应防护工作

计算机网络通信系统要保持良好的性能，其设计目标必须要以实时、高效为主，而在实际操作中我们不仅要考虑系统的便捷性，还要考虑到系统的安全性，这就要求在设计过程中要注意信息保密的可行性，完善通信协议，尽量减少软件系统存在的漏洞。具体而言，应充分考虑和全面分析网络通信系统已经存在和潜在的安全隐患，采取有针对性的拦截和防御工作，杀毒软件的安装应起到积极防御的作用，将病毒消除在系统之外，此外还可以考虑设计一个专门处理系统的“莫名文件”，有效防范恶意文件的侵入以及对系统造成的损坏[3]。

（二）采用多样化的安全技术，实施有效防护对策

目前，计算机网络通信安全防范可采用的安全技术比较多，如防火墙技术、漏洞扫描技术、入侵检验技术、身份认证技术、密码技术等。以防火墙技术为例，借助强大的防火墙功能体系，可将计算机网络划分为多个级别的区域边界，采用审计、身份鉴别、动态监测的方式对安全区域加以控制。除了技术层面，还应从法律法规和管理方式方面制定网络通信安全防护对策，在此基础上达到以下三种目的：第一，设置访问权限，制定访问权限管理制度，鉴定登入用户身份，实现网络分级管理，有效防范非法用户侵入系统；第二设置使用权限，制定授权制度，控制用户使用权，并结合内容审核制度，实现对网络资源和通信信息的控制；第三，使用加密制度，适当运用保密制度，能够提高系统的安全程度，实现系统的保密性。

（三）落实计算机网络通信管理，注意网络安全教育宣传

网络开放程度的日益提高对计算机网络通信管理提出了更高的要求，落实相关工作是防范网络通信安全的重要基础，在此过程中，应完善网络通信安全管理机制和体系，及时发现问题，增强系统安全防范性能，同时还要注意网络安全教育宣传，强化网络通信安全意识，通过计算机通信网络技术领域内的交流与合作，使计算机用户能够充分利用最新网络通信安全技术，保证在安全防护上的主动性，在此过程中，相关管理人才是一个关键性要素，在计算机网络通信安全工作设计和防护措施制定上，应充分发挥管理人员的作用[4]。

结论：综上所述，现阶段计算机网络通信技术在人们生产生活中应用的越来越广泛，在此过程中存在的安全问题也亟待解决，网络攻击手段的多样化，给计算机网络通信管理提出了更高的要求，使得网络通信管理必须借助多样化的安全技术，采用全方位的防护手段，来提高网络通信的安全性，促进我国计算机网络通信更好地发展。

参考文献：

[1]王赓.计算机网络通信安全与防护措施探究[J].科技致富向导，2013，35（13）：125-127.

[2]赵超.计算机网络通信安全问题及防范措施分析[J].信息与电脑（理论版），2013，12（5）：117-118.

[3]王远鹏.计算机网络通信安全与防护措施探究[J].计算机光盘软件与应用，2014，12（3）：190-191.

高校网络安全问题及对策研究 篇10

现如今, 高校校园网络在高校的教学和科研等多方面工作中都发挥着越来越重要的作用, 广大师生在从事很多相关工作时都离不开高校校园网络。对网络的高依赖性使得网络不安全因素产生的影响随之加大, 一旦高校网络出现问题会对高校的各方面工作产生影响。特别是近两年, 网络安全问题频出, 对高校的信息化进程产生影响。为此, 本文将针对高校校园网络的安全问题进行如下研究。

1 高校校园网络特点及面临的主要安全问题

1.1 高校校园网的特点

高校的校园网络与其他地方的网络相比, 有着一些突出的特点, 集中表现在如下三个方面:首先, 高校的校园网络在规模上有明显的大的特点, 覆盖范围和应用都较多, 这对管理提出了很大的挑战, 受到投入的影响, 网络安全问题频发是高校网络的特点之一;其次, 高校校园网络的用户群体特点鲜明, 属于上网时间较长的用户群体, 乐于进行各类尝试, 容易对网络安全构成大的威胁;再次, 高校校园网络的管理策略复杂, 面对多用户类型和多用户权限时表现出不同的网络质量和计费策略, 管理过程较其他网络复杂很多。

1.2 高校校园网络面临的主要安全问题

当前高校校园网络面临的主要安全问题有如下几个方面:首先, 在各类软硬件之间以及通讯协议之间存在的安全漏洞是不可避免的安全问题之一, 高校校园网络普遍存在多种安全漏洞, 一旦被攻击或感染病毒便会造成网络的严重威胁和影响。其次, 网络攻击也是高校网络经常出现的问题, 高校网络很可能受到有目的性的破坏行为导致网络服务器无法进行正常工作, 这些攻击不论是出于恶意破坏还是出于攻击者的好奇心, 都会对高校校园网造成严重影响;再次, 病毒危害也会对校园网络环境造成影响, 很多未安装杀毒软件的“裸奔”用户使得病毒传播速度提高, 对网络资源的消耗也大大增加, 同时产生安全隐患;然后, 不良信息的传播和网络资源的滥用也严重危害高校校园网络安全, 很多行为会对带宽造成过度占用, 影响其他用户使用;最后, 校园网用户的安全意识普遍比较低, 对日常的网络安全问题重视较少, 容易产生不安全操作和不恰当使用校园网问题。

2 高校网络安全防范对策

2.1 利用先进的网络管理技术, 提高高校网络管理水平

第一, 应当在防火墙技术上有所改进和提升, 真正树立起校园网络的安全屏障。这可以看作是校园网络安全保障的第一道关, 能够将校园内网和外网之间进行一定程度的区分和隔离, 过滤到一些攻击, 关闭一些不正常的端口信息, 禁止来自非法地址的不明访问等。

第二, 应当在推广VLAN技术的同时加强对校园网上网用户群体的细分和隔离。通过虚拟的局域网技术将校园网细分为多个子网, 防止广播风暴等不安全因素的传播和带来的影响, 控制数据广播的进程和安全防护, 提升网络带宽的利用率和使用效果。

第三, 通过访问权限控制技术的应用来保障校园网的资源安全。通过访问权限控制来阻止并拒绝未经授权的非法访问对校园网资源造成的潜在泄露风险, 保证校内网络资源的安全性。

第四, 应当采用必要的网络杀毒软件, 构建完善的校园网络防病毒体系。在病毒方面进行严格的控制, 防止其通过校园网络进行疯狂的传播和肆意的危害。可以安装网络版的杀毒软件, 充分利用其自动升级和集中管理的功能对网络病毒进行控制。

第五, 采用严格的加密技术对网络节点重要数据进行安全性保护。当计算机有了防火墙和防毒软件之后并不是绝对安全的, 必须要有足够安全的协议才能够更好的保证系统的安全性, 最基本的计算机通信协议是十分开放的, 这种开放性是没有加入安全问题考虑的, 很容易产生数据泄露, 只有经过加密才能够保证网络数据传输过程的安全性, 减少非法访问造成的敏感信息泄露。

第六, 应当发展入侵检测的相关技术, 主动监测网络中的非法行为, 在不影响网络性能的情况下主动防御出现的入侵, 今早解除安全风险。

2.2 加强内部管理, 提高高校网络安全防患能力

首先, 应当在服务器管理方面扎实的做好工作, 保证服务器的数据安全。高校网络的核心就是数据, 不论什么样的服务都离不开数据, 数据与软硬件设备不同, 其恢复性差的特点使得其极其重要并脆弱, 因此, 应当在服务器方面做足功课, 保证服务器安全。

其次, 在日常维护时要及时进行漏洞检测和补丁安装, 对网络中已经发现的漏洞要进行及时的弥补, 安装相应的补丁以消除漏洞。

再次, 应当在日常工作中良好的安排备份和应急处理工作, 形成一套科学的体系, 尤其是对于核心数据来说更是要进行及时的备份和修复, 保证其运行安全。

2.3 加强校园网络管理人才队伍建设, 增强网络管理能力

为了进一步保障校园网络的安全, 必须从人才队伍方面进一步着手, 构建一直高精尖的网络运营管理队伍, 提升队伍成员的警惕性和应变性。可以通过加强培训和进修来增强他们的具体能力, 提升保障基础。

2.4 加强对用户的教育和培训, 规范用户上网行为

应当加强对校园网使用者的安全教育, 强化其安全意识, 并规范其网络使用行为, 让每一个用户都深切的意识到网络安全的重要性, 从用户方面进行努力, 减少网络安全问题的产生和恶化。通过对网络用户的宣传和培训帮助用户掌握一些最基本的网络安全使用方法和网络故障修复方法, 让他们有能力和信心面对一些最简单的网络安全事故。对常见的网络安全事故进行重点记录和研究, 普及相关知识并将相关情况向上级汇报。

2.5 加强网络安全管理制度建设, 构建安全保障体系

校园网络安全建设是“三分设备、七分管理”, 没有切实可行的安全保障体系, 校园网络安全建设就变成了空谈。各高校要根据校园网的实际情况, 制定并严格执行有效的安全管理制度。如制定校园网网络安全管理制度、网络主干管理与维护制度、校园网非主干维护制度、网络安全管理岗位职责、校园网信息发布与管理制度、病毒防治管理制度、重要数据备份与管理制度等, 做到有章可循, 这样才能有效地控制和减少校园网的隐患。

3 结语

随着网络使用的逐渐深化和拓展, 网络的利用率已经在现如今的高校工作汇中占据重要的地位。保护高校网络的安全可靠性是一项刻不容缓的工作。相信在业内的不断研究和探索下, 一定会找到更多、更好、更加行之有效的方法来解决当前的网络安全问题, 更好的促进和保障高校各项工作的开展。

摘要：近些年, 在高校校园数字化建设的逐步推进下, 信息化建设取得了前所未有的进步, 与此同时, 高校的网络安全问题也变得日益突出。如何更好的保证高校网络安全运行, 保障高校的基本网络需求, 已经成为了当前高校网络研究和建设中需要重点关注的问题。为此, 本文中笔者将结合自身的经验对高校校园网络的特点进行分析, 从而得到其中存在的主要问题, 并对提高高校网络安全的对策进行了一些阐述, 以期能够更好地促进高校网络安全的发展和进步, 为业内的其他研究提供借鉴和参考。

关键词：高校,校园网络,问题,对策

参考文献

[1]张淋江, 孔素真.校园网的维护和管理[J].郑州牧业工程高等专科学校学报.2006 (03) .

[2]李常先.校园网络的管理与维护[J].计算机与网络.2006 (09) .

[3]刘杰, 王自力, 梁一子.校园网络信息安全与对策[J].现代情报.2005 (10) .

[4]王德恒, 徐琳瑜.校园网安全及防护技术研究[J].中共郑州市委党校学报.2005 (04) .