网络安全体系

网络安全体系（共12篇）

网络安全体系 篇1

伴随着Internet进入到普通家庭,Internet上提供各式服务包括金融、政府服务、教育、医疗、生活购物等几乎涵盖所有方面,而个人或组织隐私信息、交易支付、重要数据等均在网络上进行交互和存储,对整个信息网络安全的需求也越来越高。然而信息网络架构越来越复杂,安全保护难度也随之加大,因此建立一套综合的、有效的、分层次的安全防护体系就变得尤为重要。

信息网络安全体系建设是一个融合管理安全、应用安全、网络安全、系统安全、物理安全等多方面的综合过程,各方面并重,且重在防护。

1 典型组织型信息系统

一个典型的组织如企业、政府、金融等网络信息系统结构如图1所示,主要包括内部办公区域、内部服务系统、外网服务系统(DMZ区域)、数据中心、分支机构、异地备份系统、外地办公人员等部分。下文将就信息系统各部分进行安全性分析并给出相应防护策略。

2 信息安全技术

2.1 内网安全防护

交换机和路由器作为政府网络内部网络互连的核心设备,一旦某台设备存在安全,将会危及整个网络安全,因此对网络设备的安全防护尤为重要。针对内网可从网络隔离,用户认证,路由协议保护,网管安全等几个方面实施。

(1)网络隔离

内部网设计一般采用接入层、汇聚层和核心层的三层交换结构设计体系,接入层直接面向用户,安全性也最差。在网络规划部署时,应考虑VLAN设计,实现不受物理限制的逻辑分组同时,每一个VLAN对应一个子网,实现逻辑网络隔离,限制广播域,而且在网络三层路由实施ACL,实现对VLAN间的访问控制。

(2)用户认证

为方便网络设备的管理和维护,一般会开启交换机和路由器远程访问功能,这样对用户的访问认证就至关重要。首先可采用如下基本访问控制方法:

●配置强健的系统密码并对密码加密

●确保Console控制台和物理端口的物理访问安全

●使用ACL限制管理访问

●用SSH取代Telnet作为远程访问协议

●禁用集成HTTP进程及不需要的服务

此外用户认证可采用集中式安全架构AAA模式, 对网络接入服务用户提供认证(Authentication)、授权 (Authorization)、审计(Accounting)三个独立功能,AAA服务一般采用RADIUS或TACACS+(cisco私有)协议作安全服务器,采用分布式Client/Server结构完成密码的集中管理和访问控制功能,交换机和路由器作为AAA结构的客户端,用户通过网络对网络设备的访问,须通过网络设备与AAA服务器之间的RADIUS或TACACS+ 等安全协议交互,经过认证、授权和审计的3A功能后方可获取访问权限[1],从而保证了用户接入的高安全性。

(3)路由协议保护

由于一些路由协议本身设计就存在安全漏洞,特别是针对大型网络,均采用动态路由协议,若恶意将路由器链接到网络,并发送伪造的路由更新,将会导致网络原有路由器将网络拓扑及路由信息发送到错误的目的地,从而造成网络信息的泄露。因此基于路由器的身份及路由认证就很有必要,对于主流常用的动态路由协议如广域骨干网eBGP和iBGP邻居关系均使用MD5密码验证,以及内网使用最广泛的动态路由OSPF启用基于Area的MD5身份验证和EIGRP(cisco私有)邻居采用MD5身份验证。

(4)网管安全

SNMP几乎已成了网络管理的标准协议,目前网络设备一般也内置有SNMP网管代理,与标准兼容,便于将网络设备纳入统一网络管理架构基础,随之也带来安全隐患。早期SNMPv1和SN- MPv2都不提供安全方面的特性,而在SNMPv3引入基于HMAC-MD5或HMAC-SHA认证和CBC-DES加密机制,确保被管理设备间传输重要数据的安全性。

(5)二层攻击防护

二层交换网络作为整个网络体系的接入部分,由于其开放性,不易管理,必须采取相应措施针对向交换机发起的二层攻击,针对主要的二层攻击提出相应防护措施见表1。

2.2 特殊区域防护

对于网络内部重点保护区域、对外提供公共服务的DMZ服务器区、以及与外网网络或Internet公网连接的网络边界应部署防火墙(Firewall)、IDS和IPS,也可根据需要将防火墙与IDS或IPS结合使用[2]。防火墙提供应用层代理判断、传输层状态检测包过滤或网络层包过滤的流量控制策略;IDS作为防火墙的补充,收集网络信息进行分析、审计,针对穿透防火墙的深层攻击网络入侵监测报警。但这两者都不能完全将攻击阻断在网络之外,而IPS正是将DDoS、嗅探(sniffer)、病毒、蠕虫、木马等攻击隔离在内网之外,提供一道防御屏障[3]。

2.3 核心数据保护

针对大型数据备份容灾需求,SAN(Storage Area Network)是非常理想的解决方案。SAN是大型的共享数据存储网络,采用FC光纤通道的Switch设备互连提供Gbps级速率的高速数据存储通道,保证数据可靠性、安全性,且能兼容原有网络共享存储模式,融合iSCSI组成IP SAN数据存储兼容网络,利用RAID技术可以保证数据容错性。

同时,SAN也让大型数据中心最高备份方式远程异地备份成为可能,因为SAN采用光纤网,传输距离可达数百千米,对于大容量数据的快速访问处理奠定了完备的物理基础,结合LAN-FREE(与LAN无关)和SERVER-LESS(与SERVER无关) 的备份与恢复技术,完美提供异地数据备份方案。

2.4 异地分支机构安全保障

VPN技术是目前异地远程分支机构组网最经济、灵活的方式,虽然MPLS VPN技术以其良好的可扩展性、丰富的QOS服务而被大量使用,但是由于MPLS VPN不提供加密、认证等安全服务,数据均是明文传输的,因此对于安全性要求较高的机构,最佳还是采用IPSEC VPN技术[4]。因为IPSEC作为IETF提出的网络安全协议,而IPSEC VPN由安全关联(Security Associ- ation,SA),封装安全载荷(ESP)、密钥管理协议(IKE) 及相关认证和加密算法构成的一个完整的安全体系, 为Internet传输提供非常强的安全性保障。

然而由于IPSEC VPN不支持NAT和动态路由等限制,其扩展性较差,配置维护也相对复杂,但结合GRE和MPLS使用,可以得到改善。作为大型固定的分支机构组网需求,IPSEC VPN仍然是最理想的高安全性VPN技术。

2.5 外地办公人员安全体系

当出差外地办公时,也有接入总部内网处理事务的需求,针对这种情况,SSL(Secure Socket Layer)是最佳的解决方案,因为SSL VPN基于最常用的WEB浏览器实现,通过X.509证书和公开密钥体制提供Inter- net基础上的身份认证和数据加密传输等安全保证,由于其安全、可靠和灵活性,在移动用户远程接入场景获得广泛应用。

3 信息安全管理工程

3.1 信息安全风险评估

根据信息系统的安全要求、访问应用要求等,对信息系统进行安全风险评估,将信息网络划分为不同的安全域,每个安全域的信息资产价值相近,具有相近的安全策略、安全环境、安全等级等,针对不同安全域提供不同等级安全保护[5]。

3.2 信息安全等级保护

针对本文网络结构,考虑不同部分的重要程度及风险威胁、安全需要,安全成本等,可分为边界接入域、核心数据域、网络基础域、服务环境域等安全域,针对不同安全域采取不同的安全保护等级策略并选用相应的安全保护技术、管理措施,以保障业务支撑的网络和信息安全。

4 结束语

安全不是针对某一种攻击和漏洞而进行设计,安全防护必须针对不同应用场景和需求进行全面的分析与设计。同时,安全设计又不仅仅是安全技术和安全产品的简单堆砌,而是安全策略、安全管理和安全技术的综合。

摘要：随着各类机构对信息网络安全重视度提高,目前各类安全产品和防护技术层出不穷,但是鱼龙混杂,不成体系。文章根据典型信息网络系统架构,针对不同安全域和常见的安全漏洞,从安全技术、安全策略、安全管理等方面提出信息网络安全防护体系。

关键词：信息安全,网络安全,安全技术,安全防护,安全管理

网络安全体系 篇2

企业安全生产标准化是通过建立安全生产责任制，制定安全管理制度和操作规程，排查治理隐患和监控重大危险源，建立预防机制，规范生产行为，使各生产环节符合有关安全生产法律法规和标准规范的要求，人、机、物、环始终处于良好的状态，持续改进并不断加强企业安全生产规范化建设的一种管理模式。安全生产标准化是我国结合我国国情制定的一种新的安全管理方法，它也采用了国际通用的PDCA（策划、实施、检查、处理）的闭环管理模式。国家新修订的《安全生产法》和《国务院关于进一步加强企业安全生产工作的通知》明确指出,必须推进企业安全生产标准化建设，并明确了达标期限。企业安全生产所有规章制度和操作规程都必须遵循《企业安全生产标准化基本规范》和国家标准、行业标准。企业安全生产标准化针对不同行业，制定了不同的行业标准及考评办法和评分细则，针对不同类型、层次的企业，规定了不同的达标等级和达标的时期。如工矿商贸、机械行业、氯碱行业、合成氨生产企业、危险化学品从业单位等。

EHS管理体系是环境管理体系(EMS)和EHS管理体系(OHSMS)两体系的整合。EHS是环境 Environment、健康Health、安全Safety的缩写。EHS管理体系是为管理EHS风险服务的，体系只是EHS管理必须的一部分。

二者的区别

1、安全质量标准化采取强制原则，而建立EHS管理体系采取自愿原则。

国家安全生产监督管理总局已于2005年起在全国范围内推行“安全质量标准化”推进各行业安全质量标准化活动。这是贯彻落实《国务院关于进一步加强安全生产工作的决定》等要求的重要体现。

EHS管理体系是通过周而复始地进行PDCA循环，即“计划、行动、监察、改进”活动，使体系功能不断加强。它要求组织在实施管理体系时始终保持持续改进意识，对体系进行不断修正和完善，最终实现预防和控制工伤事故、职业病及其损失的目标。组织是否实施该标准，是否进行EHS管理体系的认证，取决于组织自身的意愿。

2、安全质量标准化是管理标准，而EHS管理体系是管理方法。

安全质量标准化是一个标准，根据各行业不同，它分为不同部分，如机械行业分为基础管理评价、设备设施安全评价、作业环境与职业健康评价三部分，危险化学品行业分为12个A级要素和55个B级要素，它对每一项管理活动、每一台设备设施、每一个作业环境的评价都有明确的量值规定，以此来判定企业是否达到安全质量标准。

EHS管理体系是一套企业管理的做法和程序，它表达了一种对组织职业健康安全进行管理的思想和规范，主要强调系统化的健康安全管理思想，即通过建立一整套职业健康安全保障机制，旨在控制和降低职业健康安全风险，最大限度地减少安全事故和职业病的发生，是与质量管理体系和环境管理体系并列的三大管理体系之一，这种体系是科学的、有效的、可行的，而且与组织的其它活动及整体的管理是相容的。

3、安全质量标准化有起点要求，而EHS管理体系并没有起点要求。

安全质量标准化适用于各类企业，分别有不同的考核标准，也就是说，考核分不到规定的分值就不能达到相应的安全质量等级。

EHS管理体系用于所有行业，旨在使用一个组织能够控制职业健康安全风险并改进其绩效，它并未提出具体的职业健康安全绩效准则，也未作出设计管理体系的具体规定，也就是说不管这个企业是事故低发单位，还是事故高发、频发单位，都可以建立体系。

二者的联系

1、都是强调预防为主、持续改进以及动态管理

建立EHS管理体系是企业安全管理从传统的经验型向现代化管理转变的具体体现，是实现安全管理从事后查处的被动型管理向事前预防的主动型管理转变的重要途径。通过建立职业安全健康管理体系，利用“危险源辨识、风险评价和风险控制”的科学方法和动态管理，可进一步明确重大事故隐患和重大危险源。通过持续改进，加强对重大事故隐患和重大危险源的治理和整改，降低职业安全风险，不断改善生产现场作业环境。

安全质量标准化中通过“开展危险源辨识、评价与管理，以及对重要危险源制定应急预案”，从源头上加强了对职业风险的管理，采用动态管理方式，降低了事故事件的发生概率，体现了“安全第一、预防为主”的方针。与EHS管理体系有异曲同工的效果。

2、都是强调遵守法律法规和其他要求

我国已建成完善的安全生产法律体系，对于强化安全生产监督管理，规范生产经营单位和从业人员的安全生产行为，维护人民群众的生命安全，保障生产经营活动顺利进行，促进经济发展和社会稳定具有重大而深远的意义。

安全质量标准化考评标准中所列的考评条款是根据国家和行业法规、标准以及安全健康的有关规定编制的，企业开展安全质量标准化活动，就是以法律法规和其他要求为底线，把安全生产工作纳入了法制轨道。安全生产法律法规和其他要求是预测、度量系统的安全性、规范性、科学性的依据，是达到安全质量标准化的一条最基本的保障线。

遵守法律法规和其它要求也是建立EHS管理体系的基本要求，组织通过管理方案、运行控制等活动的实施确保满足法律法规要求，并对法律法规遵守情况进行监视检查。这与安全质量标准化活动的精神完全吻合。

3、安全质量标准化是建立体系的核心和基础

安全质量标准化是建立EHS管理体系的核心和基础，它相当于体系运行中的作业指导书，可以为危险源的辨识、运行控制、绩效改进提供方法和手段，它的产生使体系的具体化更有可操作性和实效性，有利于体系的有效运行。

安全质量标准化与EHS管理体系是企业开展安全生产工作两种必不可少、相辅相成的手段和管理标准。两者各有侧重，既不能偏废，也不能绝对化，要有机地结合起来，通过EHS管理体系的有效运行，来实现安全质量标准，最终达到降低职业风险，提高本质安全的目的。因此，在安全管理工作的不断探索过程中，我们要始终坚定不移地将安全质量标准化和EHS管理体系融合起来，坚持落实管理体系不走样、坚持标准不放松，使公司建立自我约束、不断完善的安全生产长效机制，实现安全生产状况的稳定好转。

二、EHS安全体系和ISO执安体系的区别是什么，二者有什么联系？ 公司实施的EHS体系就是ISO14001和OHSMS18000

三、安全标准化体系和ISO执安体系的区别是什么，二者有什么联系？ 见第一问

四、如何使企业安全生产标准化与EHS管理体系有效结合并能够得到具体的应用？

1、管理体系软件上的结合；

将标准化得要素及EHS的要素进行整合，将相近的文件档案进行整合，以EHS管理体系为指导框架进行查漏补缺融合企业安全生产标准化建设要素，可以确保两个体系在运行过程中的兼容性和互补，避免要素的冲突与不兼容，增强两者融合的系统性与管理效果，利用EHS管理体系建设过程中的组织机构、人才队伍等资源，避免重复性工作及资源的浪费。

2、管理体系硬件上的结合；

企业安全生产标准化对企业的设备、设施、作业现场有着严格的要求，它的依据是国家和有关部委出台的国家标准和行业标准，对作业现场的设备设施的安全防护、安全装置、安全距离、用水、用电、用气等设备、设施及辅助设施的规范性有着具体细致的要求，作业现场设置各类警示标志、人员作业行为、物料的摆放、通道、各类危险作业审批也有严格衡量标准，融合了人、机、物、环、管理的全过程，EHS管理体系对设备设施、作业现场方面要求是通过危险源识别与评价找出风险对风险实施管理过程的运行控制，更注重过程的管理，是一种框架式的管理，对各类设备设施与作业现场安全无具体的细化衡量标准。两者在硬件方面可以结合起来应用，通过安全生产标准化体系建设结合国家相关标准和规范和危险源辨识和风险评价、排查隐患、监控重大危险源，同时结合EHS管理体系作业文件中对的作业过程管理，将其转变为岗位操作规程，使操作规程对现场有效的控制，从人、机、物、环全方位的管理进行现场的硬件管理控制，从而减少生产安全事故的发生。

3、企业在EHS管理体系运行的基础上，开展企业安全生产标准化创建，使得两个管理体系在推行要素和软、硬件上进行相互结合应用，避免产生矛盾，使两个体系能够相辅相成，最终实现企业安全生产管理工作标准化、规范化、常态化，实现岗位达标、专业达标、企业达标，使之成为一套企业安全生产管理行之有效的方法和系统。

五、贵司对这一个环节的介绍有何特别需求或建议？

1、建议对安全标准化分行业进行细化列表，并链接相关行业建设标准及最新考评标准及实施办法；

2、标准化建设方法及日常运行管理要素；

3、标准化考核全过程；

4、介绍EHS体系的具体最新内容，企业建立体系的必要性；

浅析3G网络安全体系构建 篇3

关键词：3G网络；网络

中图分类号：TP393文献标识码：A文章编号：1007-9599 (2011) 03-0000-01

Analysis of 3G Network Security System

Zhang Kewei

(Baoding Branch of China Tietong,Baoding071000,China)

Abstract:With the continuous progress of the times,the rapid development of 3G networks has become a sign of the times,and we are eager to solve the problems and concerns is the security of 3G networks.This article on the current status of 3G network security analysis,and the 3G network problems and loopholes to be discussed,thereby enhancing the safety factor of the network to ensure the safe use of the user.

Keywords:3G networks;Network

安全体系的不断发展，网络的不断升级，3G网络系统已趋于全球化。如今的信息传输不仅可以通过全开放的无线链路，也可以通过全球有线网络进行传输信息。在多种信息服务于我们的同时，相应的网络安全性就成为我们关注的焦点，网络的安全性将会严重阻碍3G的未来发展空间。

一、3G第三代移动通信技术

3G第三代移动通信技术，指的是支持高速数据传输的蜂窝移动通讯技术。它可以在传送声音的时候同步传送邮件等数据信息。其特点是提供数据业务的速度。3G的安全技术是建立在GSM网络安全基础上的，这一技术不但在安全功能上给予了大幅度提升，而且还克服了GSM的一些安全隐患，给用户提供了更稳定的平台，并受到用户的极大欢迎，它将无线通信技术与因特网技术有机的融合在一起，并引入了因特网中的加密技术，给3G的业务拓展带来了极大的发展空间。

二、3G的安全漏洞3G网络的安全性虽然得到了大幅度的提升，但是随着网络技术的不断革新，3G网络的漏洞也相形见影

（一）通过非法手段获取敏感数据以及保密信息 攻击者通过伪装成为合法的身份切入用户网络，在用户不知情的情况下对用户进行侦听，获取有价值信息，并进行非法活动，只是用户经济以及其他方面的损失。

（二）干扰网络服务攻击者通过非法手段获取用户的使用特权，获取一些非授权信息，并通过非法手段对于网络系统以及服务器进行干扰，滥用系统中的服务功能，已达到为其获取利益的目的。

（三）服务的非法访问这一攻击主要包括两个方面：一是攻击者伪装成网络和用户实体，非法窃入访问系统服务器，盗用访问权限，获取非法服务。

三、3G安全技术分析

（一）2G网络的接入都采用无线信道，因此极易受到攻击，移动台到无线网络接入这一部分是移动通信系统的关键，在进入到3G系统时，对于接入控制的安全性给予了加强，同时有兼顾到了与GSM的兼容性。3G与GSM的相似之处在于，用户接入网的安全依靠于USIM（物理和逻辑上均独立的智能卡）设备。

（二）3GPP在发展的初期与移动通信系统第二代一样，都对核心网的安全技术未定义。核心网的安全性随着网络的进步、发展在全球的普遍应用，越来越成为人们关注的焦点。在今后网络发展的道路上，它也将会列入到3GPP标准化规定中。当前，3G核心网住处于一种向IP网过渡的一个时期，所以IP网所存在的一些问题核心網也必然会面对。因此，在3G网中因特网的安全技术也发挥了非常重要的作用。移动无线因特网为3GPP定义一个统一的结构。

（三）在3G系统中，保障应用层的安全性，除要提供传统的话音通话业务外，3G发展的热点将致力于电子商务、电子贸易、网络服务等新型业务。业务圈的不断扩大，使得3G的网络安全性越来越成为人们关注的重点。可以通过SIM应用工具包来达到完成端到端的安全和数字化签名认证。它也为SIM/USIM和网络SIM应用工具提供商之间建立一条安全纽带。

（四）代码安全。与第二代移动通信系统相比较，第三代移动通信系统定义的标准化工具包可以用来实现各种服务（比如3GPP TS 23.057定义的MexE），而第二代移动通信系统就是固定标准化的服务模式。MExE的安全保护机制虽然是相对有限的，但是它可以提供下载手机终端的一系列的服务（比如下载新功能、新业务等）。

（五）个人无线网络安全3G终端的硬件设备形式多样，其中包括手机电话、PDA、电子钱包以及一些共享设备等，他们也可以通过设备自带的蓝牙技术组建局域网，允许各终端设备的自由加入和退出，因此，局域网内的安全也成为了我们值得关注的焦点。

四、3G系统中安全特性的优缺点

（一）相对于2G网络系统而言，3G系统在以下几个方面上有优于2G系统：双向鉴权认证：是指MS与基站之间的互相认证，既防止了一些为基站的攻击伤害，同时也可以及时避免了一些不良现象。为接入链路信令数据的完整性上提供了保护。增加了密钥的长度，对算法也进行了改进。3GPP接入链路数据加密延伸至无线接入控制器RNS。为了使将来在新业务上提供安全保护措施，3G的安全机制还具有可拓展性，可以对自己的安全模式、级别等随时查看具有安全可视性的功能。

（二）与2G相比在密钥的长度和算法的选定上还有鉴别机制和数据完整性检验等一系列的问题上3G要远远超越于2G。但依然存在着缺陷：公钥密码提职尚没有建立，用户签名认证难以实现。然而随着移动存储器容量的不断增大，无线带宽增容，以及CUP处理能力也在不断提升，这也迫使要建立无线公钥设施。3G中密码学的最新研究成果也并未得到发挥。而在密钥产生机制和认证协议上也有一定的安全性问题。

五、结束语

3G系统的逐步发展，给信息革命带来新的要求，随之也有许多的弊端出现，因此，更好的建设3G网络，需要我们认清目前3G网络的现状，以及存在问题，寻找更好的方法与手段予以解决。随着网络飞速的发展，3G在未来还有很大的发展空间，所以研究3G网络系统的安全任重而道远。

参考文献：

[1]庚志成.全球3G发展现状分析[J].移动通信,2005:10-20

高校网络安全体系的研究 篇4

现今社会高速发展, 数字化、网络化和信息化已经成为时代的主要特征。在这个信息化的社会, 人们的生活、学习和工作等各方面无不充斥着计算机网络的身影。信息科学与技术在给人们带来便利的同时, 计算机网络具有开放性、交互性的特点, 给我们带来便利的同时, 也带来了相应的信息安全的问题。现代高校的许多日常工作已离不开计算机网络了。虽然高校网络所处理和存储的大部分信息的重要性不高, 但其中的信息数据库、学生电子档案、毕业生数据库中都记录了重要的数据, 其重要性不言而喻。一旦网络受到恶意的攻击, 数据招篡改、泄漏或是丢失, 将严重破坏高校的秩序, 影响高校各项工作的开展, 轻则造成经济损失, 重则影响高校的声誉。为此, 我们应该重视高校计算机网络安全问题, 尽早做好相应的防护措施。

高校计算机网络安全, 指的是高校网络的系统硬件和软件能够无故障的运行, 能提供持续不中断的服务。同时保证信息服务能够实现唯一的对高校师生和相关授权用户开放, 使非授权用户不能获得真正的信息内容。再有就是确保网络信息能够得到保护, 不被恶意修改、插入和伪造。

可见, 计算机网络安全除了要保证硬件设备的安全, 还需做到对网络数据安全的保护。因此要针对高校计算机网络存在的安全问题, 建立和设计完备的网络安全体系。

二、高校面临的网络安全隐患

近年, 基于网络的犯罪活动正日益增多, 据美国FBI统计, 美国每年因网络安全问题而产生的经济损失多达75亿美元。全球几乎每二十秒就发生一起网络安全事件。高校信息的网络化和公开化, 在给他人提供便利的同时, 也把自己自身于一个充斥这众多步法分子的环境当中。这些人员可以在任意时间和地点, 利用不同的手段, 闯入并攻击网络内的计算机系统, 对数据进行篡改和窃取。

高校面临的主要安全问题主要是病毒和黑客攻击。网络上的病毒千奇百怪, 其潜伏性和隐藏性更是让人防不胜防。有些恶意病毒修改你的系统参数及复制大量的非法数据, 导致计算机工作缓慢甚至是瘫痪;而黑客攻击也是网络中常见的安全问题, 他们或绕过系统访问机制, 直接越权访问校园内部数据库的信息, 通过相应的手段或技术获取、插入和删除一些重要信息, 从而获取高额的利益。

这些网络安全问题的来源之一是由于部分高校网络管理员的网络安全意识淡薄, 缺乏的安全配置系统的技术和能力, 使其系统本身存在较大的安全漏洞, 给黑客以可乘之机。另一方面, 由于很多网络软件本身存在漏洞及“后门”, 这些漏洞和后门一旦被发现或打开, 黑客便可自由的进出系统, 势必带来严重后果。

三、高校网络安全体系的构建

高校网络安全体系的构建可以从以下几方面着手。

1. 防火墙及计算机病毒的预防

高校网络置身与互联网之中, 很容易受网络上的病毒入侵, 通过对防火墙的设置可以对外部的用户访问权限进行限制, 这就相当于建立了一个内部的防护层。防火墙的建立可以防止病毒和非法用户对校园网的入侵。通常意义的防火墙可以通过隐蔽智能网关的方式来实现, 这种方式可将校园网网关隐藏于公共网络之后, 使其免于非法用户的直接攻击。另一方面, 为了预防病毒的侵扰, 除了安装杀毒软件和配置防火墙之外, 还需要系统管理员对重要的数据做好备份, 以防万一。因为许多病毒及病毒的变异会让系统防不胜防。

2. 数据加密技术的使用

防火墙的设置是从外部阻断非法用户的入侵, 只能起到指标的作用。要正在确保系统的安全性, 还应从网络系统本身入手。而提高网络系统信息安全性的核心技术当然是数据加密技术了。数据加密技术是保证信息完整性的最为有效的方法, 可以同各国数字签名及省份认证等方式来实现, 也可以采用单钥匙密码体制、密钥管理或古典密码体制来实现。数据加密作为主动的网络安全技术, 通常涉及数据传输、存储、数据完整性鉴别的全过程。在不同过程中的数据加密方式又有不同。以数据传输过程的加密为例, 有线路加密和数据发送端加密两种。

常用的数据加密算法被分为两大类:对称加密算法和非对称加密算法。对称加密算法做较早使用的算法, 具有技术成熟, 执行效率高的特点, 收发双方使用相同的密钥来实现加密和加密。要求解密方事先知道加密密钥;非对称加密技术则采用不同的加密与解密密钥, 密钥往往包含私有和公开密钥两种, 公用的公开密钥不担心被人获取, 应为解密时用的是私有秘钥, 从而使得秘钥的安全性大大提高, 数据的安全性也得到了保障。该加密算法虽然比较适应与开放性的网络及协议要求, 但是由于其加密算法较为复杂, 和对称秘钥相比, 执行效率较低。建议采用对称加密和非对称加密算法相结合的方式来完成数据的加密, 可以弥补两种算法的各自的不足之处。例如, 可以对信息摘要进行非对称秘钥, 而其他的采用对称秘钥。

好的加密算法固然重要, 但是对秘钥的管理也需要进一步的完善才行。高校网络管理人员应该定期的更好秘钥及其管理机制, 确保秘钥的安全性和可靠性。

3. 入侵检测技术

入侵检测技术是一种检测远端主机及TCP服务端口中违反安全策略行为、主动保护自己免受攻击的一种安全技术。可以通过它是指通过对行为、安全日志、审计数据或其它网络上可以获得的信息进行操作、能够检测到非法闯入的活动, 从而限制这些活动, 保护网络的安全, 提高网络安全结构的完整性。

四、结论

总而言之, 只有综合采用各种网络安全技术, 构建系统的网络安全体系, 才能做到真正意义上的网络安全。

参考文献

[1]马晓翼.关于计算机网络应用安全问题与策略探析[J].西部大开发, 2011 (6) .

[2]马时来.计算机网络使用技术教程[M].北京:清华大学出版社.2007.

[3]严明.多媒体技术应用基础[M].武汉:华中科技大学出版社, 2004.

国内现有安全管理体系及考评体系 篇5

1、SY/T 6276—1997[3]

SY/T6276—1997《石油天然气工业健康、安全与环境管理体系》是由中国石油天然气总公司于1997 年9 月制定并颁布实施的。它等效地采用了ISO/CD 14690 标准。

2、GB114000

GB114000《环境管理体系》是依照ISO14000 制定的, 它等效地采用了ISO14000。

3、安全生产促进计划(Safety P ro)

《安全生产促进计划》是由化工部职业安全卫生研究院于1998 年中推出。它既是一种评价过程, 又是一种认证办法, 还是企业建立完善的劳动安全管理体系好的教科书。企业利用它, 可对其安全管理体系进行自我评价,为企业改进安全管理体系提供所需的信息,同时还可利用它来比较自己的管理水平在同行业中所处位置。政府部门利用它, 可对企业开展安全认证、注册工作, 宏观监督企业的安全管理。它是在充分调查我国企业实际的基础上, 总结以往的安全管理经验, 借鉴发达国家的做法而提出的, 可适用于各个行业, 现已得到国家经贸委安全生产局的批复, 同意将其作为安全认证的采用标准, 在全国范围内开展安全认证工作。

《安全生产促进计划》包含三大部分内容:

a.企业安全管理体系。

b.企业安全管理体系评价认证标准与方法。

教育信息网络安全体系研究与构建 篇6

关键词：教育信息网络；防火墙技术；网络安全体系；用户安全

中图分类号：TP393.08

教育网络随着互联网与计算机的快速发展也迅速普及，这对优质教育资源的合理利用、资源共享的实现还有工作效率的提高都起到了重要作用。自互联网诞生以来，信息安全问题就伴其左右，而随着互联网资源共享性的快速提高，信息安全问题也越来越严重，恶意软件、病毒、黑客攻击等造成的网络瘫痪、数据丢失等状况时有发生。因此所有高校都面临着怎样确保教育网络安全高效运行的问题，教育网络安全问题亟待解决。

1 网络安全体系简介

1.1 网络安全定义

网络安全指的是在目前已有的网络基础之上，通过采用相应的技术或者安全措施去防止病毒、恶意软件、黑客等利用修改、窃听、冒充等手段造成的用户信息安全受损，从而确保网络系统能够高效可靠的正常运行，所以，网络安全保护系统的建立使为了保证数据在经过网络的传输和交换之后不会发生篡改泄露或者丢失等[1]。

1.2 网络安全技术

（1）防火墙技术与入侵检测技术。防火墙指的是在内部网与外部网之间设立的封锁过滤机制，它是由一系列部件的结合而成的。它能够有效拦截一些从内网向外网发送的不合法信息，也可以阻断外部网络使内部网络资源不受黑客非法入侵，从而使得防火墙可以保护网络系统的安全，入侵检测技术是一种可以在受到攻击时主动保护系统不受伤害的网络安全技术[2]。

（2）数据加密技术与防病毒技术。数据加密技术比防火墙技术更加灵活，所以开放性网络多采用此技术进行安全防护。在网络安全问题中，计算机病毒的危害是相当严重的，其不仅覆盖面特别广、潜伏性特别强而且发生的频率也特别高从而造成的损失也很大。网络安全防护中计算机病毒防护是一个很重要的领域[3]。

2 教育信息网络安全体系需求分析

2.1 用户安全

用户安全分为管理员层和业务层两个层次的安全。管理员层用户具有较高的能力与权力，导致其承担较高的责任，所以，对于信息系统的安全，最大的执行责任由管理层用户承担。为此，信息系统管理人员必须具有精湛的业务素质和良好的政治素养；只有在管理层用户分配的权限内业务层用户才可以教育网络内的相关资源进行相关操作与使用，绝对不允许越权使用系统资源、转让及泄露合法权限也绝对不允许利用合法权限进行和职位不相关的操作。

2.2 应用环境安全

对于一些保存了敏感信息的专用业务子网站如人事处、教务处和财务处等，一定要保证应用的安全。包括数据的备份与恢复、防病毒入侵、接入安全管理、防止敏感信息失窃、对网络通信秩序进行规范、有层次的监控保存了敏感信息的重要服务器的硬/软件资源等。

2.3 组织管理安全

信息系统安全中组织管理安全也是其重要的组成部分。根据《中华人民共和国计算机信息系统安全保护条例》这一法律条例的规定，再结合高校内对校园网安全的要求，从上层向基层建立起层级分明的网络安全管理机制，全面有效的负责高校内教育网络的安全[4]。

2.4 网络平台安全

网络平台安全分为两部分，其中包括基础设施安全部分和网络连接安全部分。基础设施安全部分，这部分安全主要包括：硬件设施本身机械及物理的安全、物理的环境与保障安全；网络连接安全部分，高校内网络连接安全主要包括：教育网络和互联网之间的连接安全、教学单位与学生宿舍还有行政办公和网管中心以及公众服务器等网络同其他网络之间的连接安全、各个专用的业务子网站的安全、关于宿舍内网络IP地址的欺骗及仿冒等问题的防范。

3 教育信息网络安全体系构建分析

3.1 结构设计

防火墙作为一种网络周边安全机制，其是无法做到完全监控内部网络的全方位安全监控的，很多安全威胁都是防火墙所无法防范的，教育信息网络在运行过程中，大部分的安全威脅都来自于校园内部，所以在安全体系中引入防火墙系统可以实现网络安全监测以及实时攻击识别，能够及时分析出来自校园外部以及内部的数据通讯信息，但是入侵系统的一个劣势在于其单独是无法发挥作用的，所以将入侵系统与防火墙进行联合，是构建教育信息网络安全体系的可供选择。

3.2 教育信息网络安全体系的建立

为了建立完善的网络安全体系，需要对各种体系和安全技术进行深入的分析，进而制定出全方位的网络安全体系，通过多种技术与安全工具的联合，形成多种维度的安全机制。P2DR是一个动态的计算机系统安全模型，指的是在安全战略的指导之下，运用防火墙、加密手段以及操作用户身份认证的方式，利用入侵检测、漏洞评估等工具，对评估系统网络的安全状态进行全方位的了解，达到将网络体系的安全性调整到最安全的状态[5]。

3.3 教育信息网络安全体系实现

教育信息网络的核心交换机是三层交换机，对于虚拟局域网技术能够给予很好的支持，为了提高网络体系的安全性，需要将不同区域的网络运作进行虚拟网络的划分，如教学楼、办公楼、学生宿舍、食堂等。为了更好的实现应用安全，在教育信息网络中应该有如下几种规定：一是访问控制，可以采用自主访问进行合理控制；二是信息的完整性，指的是保证教育信息不会被随意更改；三是记录，即对于访问的用户能够及时进行记录；四是用户认证，其主要是为了避免非法用户登录到教育信息网站进行恶意破坏。另外，为了保证教育信息网络安全体系的真正实现，必须保证防火墙系统安全性、入侵系统安全性以及整体网络安全管理的实现。

防火墙技术是目前使用最广泛的保护网络系统安全的有效手段之一。数据加密技术主要针对于动态信息，对于动态数据受到的攻击既有主动攻击也有被动攻击，对于主动攻击虽然很难避免但是却可以被检测，而被动攻击则是无法检测但却可以避免，而如果以信息加密技术为基础就可以实现这一切。数据被加密后就算黑客获取了数据也没有办法复原这些数据，从而保护了信息的安全。

4 结束语

当前如何确保计算机网路系统的安全是任何一个网络的设计者和管理者都极为关心的热点话题，出现安全隐患的最主要的原因是因为互联网全面开放的特点，人们为了避免这些安全隐患的入侵，开始积极研究各种安全手段与技术措施，以期能够构建出一种可靠的计算机安全网络系统，教育信息网络安全体系研究与构建是目前困扰教育界的一大难题，对教育信息网络的安全方案中存在着手段单一的问题，这种局限性的措施不能完全消除安全隐患，所以这些问题都是亟待解决的重点问题。

参考文献：

[1]罗曦.校园网络安全体系构建的研究与应用[D].长沙：湖南大学，2013.

[2]张彭，李若思，王蓓.实现教育信息网络安全的对策[J].小学时代（教育研究），2011（03）：8-9.

[3]张德祥，刘勋，扈炳良.校园信息网络安全体系构建研究[J].情报科学，2012（04）：1542-1544.

[4]苏骏.信息系统安全体系构建研究[D].武汉：武汉理工大学，2012.

[5]孟小冬.浅谈教育信息网络安全与防范[J].吉林广播电视大学学报，2012（02）：97-98.

作者简介：刘长才（1993.03-），男，河南周口人，本科在读，研究方向：信息网络安全。

涉密网络的安全体系设计 篇7

1、涉密网络的建设背景及所面临的问题

1.1 涉密网的分级保护背景

国家保密局在1998年发布了《计算机信息系统保密管理暂行规定》, 2006年又下发了《关于开展涉密信息系统分级保护工作的通知》, 要求建立健全涉密信息系统分级保护制度, 加强信息安全保密管理。由于涉密网络中信息设备是多种多样的, 信息系统的规模也不同, 不同的网络中存在着不同层次、不同级别的国家秘密信息, 需要有不同强度的保护措施, 因此涉密网络的安全策略的制定具有一定的复杂性

1.2 涉密网所面临的安全问题

(1) 病毒威胁:一些机器没有安装或更新杀毒软件, 使用U盘在不同的机器之间拷贝文件, 都会引起网上病毒威胁涉密信息网的正常运行。例如公安信息网上曾发生过四次大范围的病毒侵袭, 造成公安信息网中断和系统瘫痪。

(2) “一机两用”问题:涉密信息系统作为国家的重要信息系统, 势必成为境内外敌对势力进行窃密活动和攻击破坏的重要目标。但由于许多涉密单位的网络都分为内网 (涉密) 和外网 (与互联网相连) , 若不能有效解决涉密单位的电脑、网络的专用问题, 涉密信息网将面临泄密和遭受攻击的威胁。

(3) 网上缺乏相关的安全措施, 影响了涉密信息系统的发展和信息共享。涉密信息网上要实施加密技术措施, 使涉密信息可以在网上交换, 同时保护级别高的涉密网要解决上网用户的身份认证和访问授权控制等问题。

(4) 系统抵御能力较弱。许多涉密信息网上的业务数据库没有建立完善的容灾备份机制, 一旦发生破坏或丢失将对相应的业务工作造成严重影响。

2、设计内容

借鉴美国国防部DISSP计划中的安全框架, 图1表示的是适合较高级别的信息网络的安全体系结构模型, 包括安全服务、协议层次和实体单元三个层面, 并在每个层面都包含安全管理内容。 (1)

从安全服务层面来看, 根据信息密级程度不同, 涉密信息系统对安全服务的需求也不同。其中, 向社会发布信息的应用系统要求保护数据的完整性, 防止非授权用户篡改数据;对系统内部开放的信息和应用系统需要提供一定强度的认证手段和访问控制能力, 并提供完善的审计机制;对业务部门内部使用的涉密系统, 则需要实现多级安全访问控制机制和数据保密机制。

从实体单元角度来看, 涉密网络与信息安全体系包含物理环境安全;端系统安全;网络通信安全;应用系统安全。

由此, 涉密网络与信息安全体系的设计内容包括以下几方面内容:身份认证, 网络安全, 计算机系统安全, 应用系统安全, 安全管理体制。

3、涉密网络的安全设计

3.1 广域网传输的保密性设计

传输涉密信息必须在租用的专线链路两端使用硬件加密/解密设备;在互连设备相邻节点间实行链路层连接认证;在无线信道中使用硬件加密机实现数据保密传输。

3.1.1 路由信息的安全交换

使用安全路由器和安全的路由协议, 利用密码技术实现路由器间相互认证, 保证路由信息的真实性、完整性、保密性;

在每个管理域的边界, 通过配置路由器或防火墙, 使得只有源地址为该管理域合法地址的IP包可以离开该管理域。

3.1.2 网络管理系统的安全措施

网络管理系统需要严格的身份认证, 特别是对于来自非控制台的用户, 需要强制认证机制。不能在网络上明码传输口令;对不同网络管理员, 根据其任务和角色提供不同级别的授权控制;对管理员的每次使用和对网络设备的操作, 需要有完善的审计机制, 以便于故障的恢复、责任的追查。

3.2 内部资源子网

资源子网或末梢网络主要指各级机关局域网, 资源包括主机及其所提供的服务, 目标在于防止来自外部和内部的非法访问和攻击, 采取的主要措施是物理和逻辑上的各种访问控制措施, 辅助以实时入侵监测手段。

3.2.1 网络资源的访问控制

内部网络资源的保护和访问控制首先依赖于合理的网络结构设计 (特别是局域网) , 如利用合理的网段设置、局域网交换机的虚网划分等手段实现广播域的隔离。

为防止来自外部的非授权访问和恶意攻击, 主要采取防火墙的过滤技术和辅助以入侵监测技术, 包括专用的包过滤设备、过滤路由器、以及应用层代理或应用网关。

3.2.2 按不同密级划分网段

不同密级的信息在存储与传输阶段应该在物理或逻辑上进行隔离。在局域网设计时, 网段的划分与隔离应充分考虑网段信息的密级。

由于严格的物理隔离将造成使用不便、管理复杂, 信息无法共享。因此, 对不同密级信息的访问控制应该主要由应用系统来完成。

对于绝密信息, 可以做特殊考虑。保存绝密信息的主机或网络可以在物理上与其他网络隔离。机要部门之间的传输媒体应该采用屏蔽电缆或光纤, 端系统使用硬件加密机。

3.2.3 拨号用户接入与移动用户接入

由于拨号网络使用公用电话交换网, 在网络上传输的机密信息存在被窃听、篡改等威胁, 需要解决用户的认证问题, 必须保障用户口令不在网络上以明码形式传输。

无线移动用户的接入与电话拨号用户的接入作同样的考虑。对于重要的应用和机密信息, 信息的保密服务由上层协议来完成。

3.2.4 与公网的互连

涉密网络作为涉密系统的内部网络, 从路由概念上讲不与公用网络互连。但有些单位为满足内部人员使用Internet和对社会的信息发布等需求, 在信息中心建立了对外公众信息服务网。

公众信息服务网中不应该包含任何涉密信息, 对公众信息服务网的安全需求主要是系统和服务的可用性、数据的完整性, 通过加强系统安全、防火墙控制、安全监控等措施, 防范黑客攻击和侵入、篡改信息。通过设置专用防火墙, 拒绝外部网络对内的网络访问。同时在网关处安装流量分析和入侵检测设备, 以便及时发现网络上的异常情况。

对外信息服务区和数据采集暂存区在与内部信息交换时可以连在内部网上, 但在对外提供服务时必须与内部网络物理断开并采用经国家有关部门批准的安全隔离设备, 保障安全。

4、涉密网络的安全保障技术建设

除了安全保障制度建设及信息系统的安全防护外, 涉密网络安全保障技术的重点工作应体现在下述几方面:

4.1 建设CA身份认证系统及以密钥管理、密码工作管理和检测监控为主的涉密信息网络安全管理系统

身份认证与访问授权控制系统为每位上网用户配发电子身份证书, 实现对每一个登录涉密信息网的用户进行身份的合法性验证, 并根据用户的身份授予访问不同信息内容的权力。

4.2 涉密信息网安全监控系统

4.2.1 入侵检测子系统

入侵检测系统通过对网段内的数据包进行监测、分析, 判断非法访问、攻击、入侵和窃取信息行为并报警。

4.2.2 敏感信息监控子系统

在涉密信息网上安装敏感信息检测子系统, 实现对非法信息、泄密信息等进行监控、分析、通报甚至阻断, 建立日常的运行管理、主题词库维护和人工干预工作机制。

4.2.3“一机两用”监控系统

通常我们讲的“一机两用”是指涉密网络使用的计算机及网络设备同时连接涉密信息网和国际互联网等其他外部网络, 也包括断开涉密信息网后接入国际互联网或其他外部网络。

联入外网指的是使用一切手段和设备, 包括使用手机、小灵通、无线网卡、蓝牙技术等无线设备或调制解调器、光端机、ADSL、传真机等有线设备直接或间接与外网相联。如果有违规连接, 应能及时监测。

4.3 技术防范的措施建设

(1) 内网防火墙:将内部子网 (涉密网内的局域网) 和公众网络 (涉密信息网) 分开的网络安全工具。

(2) 防病毒 (计算机病毒预警防范体系) :通过在核心交换节点部署网络预警系统的病毒监测探针, 实时检测和发现网络病毒, 结合涉密信息网的IP地址规划和计算机注册定位信息, 形成覆盖全网的网络病毒宏观分析、研判与协调处置系统, 建立涉密信息网病毒预警和通报机制, 及时处理紧急病毒爆发事件。

(3) 防灾难 (防灾备份系统) :建立本地或异地的数据备份系统, 对操作系统、数据库、应用系统和资源库进行防灾备份。

4.4 涉密网络的边界安全建设

涉密信息网的整体边界安全是安全保障工作的第一道防线。涉密信息网边界安全包括:

4.4.1 保障涉密信息网无线接入安全

建立无线通信、微波通信、移动通信等无线技术接入涉密信息网的审查和批准制度。制定无线接入涉密信息网的安全技术要求和规范标准, 无线接入产品要备案登记。

4.4.2保障涉密信息网的拨号接入安全

制定电话拨号方式接入涉密信息网的安全技术要求和规范标准。

5、结语

涉密网络的安全体系建设是一项复杂的系统工程, 它不是简单的产品购买, 也不仅仅是几张证书, 而是一种机制。它与网络边界防护、网络身份认证和权限管理、内网监控与审计等技术都有密切的关联。

参考文献

谈校园网络安全体系的构建 篇8

一、网络现状分析

网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护, 不受偶然的或者恶意的原因而遭到破坏、更改、泄露, 系统连续可靠正常地运行, 网络服务不中断。

我校校园网结构是:校园内建筑物之间的连接选用是IBDN6芯室外光纤, 以信息楼为中心, 辐射向其他建筑物, 楼内水平线采用IBDN超五类非屏双绞线缆。CISCO Catalyst 4006交换机作为中心交换机, 二层交换机为两台CISCO Catalyst 3550交换机。网络管理中心的服务器分别由管理服务器、学校网站服务器和远程教学服务器组成。

二、网络安全分析

1、计算网络面临的威胁。

计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多, 归结起来, 针对网络安全的威胁主要有三:第一人为的无意失误。第二人为的恶意攻击。此类攻击又可以分为主动攻击和被动攻击。这两种攻击均可对计算机网络造成极大的危害, 并导致机密数据的泄漏。第三网络软件的漏洞和“后门”。这些漏洞和缺陷恰恰是黑客进行攻击的首选目标, 软件的“后门”都是软件公司的设计编程人员为了自便而设置的, 一般不为外人所知, 但一旦“后门”洞开, 其造成的后果将不堪设想。

2、校园网络中不安全的主要问题。

现阶段, 本校园网的主题架构已经成型, 然而随着对网络服务要求的进一步提高, 还要全面的解决在运行中所出现的问题, 从而提供更加完善的服务。一是IP盗用问题。校园内部连接有几百台电脑, 一部分电脑通过正常的申请途径申请得到合法的IP地址, 然而实际情况是并不是所有的校内电脑都申请过IP地址, 所以当某些没有IP地址的用户, 冒用他人的合法IP地址, 就会造成网络内部地址的冲突, 严重阻碍了合法用户的正常使用。二是防火墙攻击。防火墙系统相关技术的发展已经比较成熟, 但这只是对于对外部的防护而已, 它对于内部的防护则几乎不起什么作用。然而不幸的是, 一般情况下有70%的攻击是来自局域网的内部人员。所以怎样防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。三是Email问题。怎样防止有问题的信件进入校园网的Email系统也是一个待解决的问题。四是各种服务器和网络设备的扫描和攻击, 致使服务器拒绝提供服务, 或造成校园网不能提供正常的服务。五是非法UPL的访问问题。对于一些反动的或不健康的站点, 应当禁止校园网用户通过校园网去访问。六是病毒防护。互联网迅猛发展使得网络运营成为社会时尚, 但同时也为病毒感染和快速传播提供了方便, 严重威胁网络的安全, 如何让校园网更安全, 防止网络遭受病毒的侵袭, 成为校园网迫切需要解决的问题。

三、对策与措施

1、内外网隔离技术。

我校校园网内网和Internet之间通过管理局信息中心进行统一管理, 欲申请国际互联网的用户, 首先填写, 《胜利油田国际互联网申请表》和《单位用户入网备案表》, 由本单位加盖公章后, 报送信息中心综合信息科。经审查后提供Internet的接入服务, 采用用户名, 密码接入互联网的方式, 大大提高了网络的安全性, 管理局信息中心部署一台防火墙, 成为内外网之间一道牢固的安全屏障。这样, 通过Internet进来的公众用户只能访问到对外公开的一些服务 (如WWW、MAIL、FTP、DNS等) , 既保护内网资源不被外部非授权用户非法访问或破坏, 也可以阻止内部用户对外部不良资源的滥用, 并能够对发生在网络中的安全事件进行跟踪和审计。

2、反病毒软件的部署。

根据油田统一部署, 联网的Windows系列服务器及客户端微机要求全部安装局信息中心指定的Norton防病毒软件;新联网的机器要及时安装防病毒软件;用户不能私自终止防病毒系统的运行, 反病毒软件采用Symantec Anti Virus™9.0企业版软件包提供了强大且易于管理的保护。它还能检测某些非病毒威胁, 此外, 它还对传入的POP3附件进行病毒扫描, 阻止蠕虫通过传出邮件传播。

主要功能 (1) 检测某些非病毒威胁, 包括间谍软件和广告软件, 自动杀除病毒、蠕虫和特洛伊木马。 (2) 扫描POP3电子邮件和附件。 (3) 防止蠕虫通过电子邮件传播。 (4) 帮助确保VPN连接不受病毒感染。 (5) 提供自动和即时安全更新。集中安装、配置和维护。 (6) 允许管理员锁定企业范围内的策略和设置。提供易于查看的集中事件日志记录

3、监控系统——北信源内网安全管理软件的部署

北信源内网安全管理软件对于类似下面的安全问题做到真正意义上的解决:

(1) 移动设备 (笔记本电脑等) 和新增设备未经过安全过滤和检查违规接入内部网络。 (2) 内部网络用户通过调制解调器、双网卡、无线网卡等网络设备进行在线违规拨号上网、违规离线上网等行为; (3) 违反规定将专网专用的计算机带出网络进入到其它网络; (4) 网络出现病毒、蠕虫攻击等安全问题后, 不能做到安全事件源的实时、快速、精确定位、远程阻断隔离操作。 (5) 大规模病毒 (安全) 事件发生后, 网管无法确定病毒黑客事件源头、无法找到网络中的薄弱环节, 无法做到事后分析、加强安全预警; (6) 静态IP地址的网络由于用户原因造成使用管理混乱、网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以及网络中IP分配情况; (7) 针对网络内部安全隐患, 自动检测网络中主机的安全防范等级, 进行补丁大面积分发问题。

北信源内网安全管理软件能够完全解决上述网络安全管理工作中遇到的常见问题。同时, 为有效解决网络中计算机非法接入和非法外联问题, 本系统提供实时监控的强大功能, 即时报警以及切断非法计算机同内网的连接。系统通过WEB方式对整个系统进行应用策略配置, 管理网络和查询报警数据, 方便用户操作, 有效防范不安全因素对内部网络构成的威胁, 真正做到内部网络的完全安全管理。

网络安全动态防护体系的构建 篇9

关键词：动态安全,策略联动,主动响应

随着互联网的快速发展以及信息化进程的不断深入, 世界各地的网络应用日益广泛。由于网络环境具有复杂性和多变性, 它给人们的工作、学习和生活带来巨大便利的同时也带来了一些不容忽视的问题, 其中网络安全就是最为显著的问题之一。目前, 常见的网络交换设备一般采用身份认证与访问控制等方法来确保信息安全, 但这些措施只能实现静态安全保护, 无法满足复杂网络运行环境下的动态安全要求, 一旦出现问题, 这对于计算机用户信息、国家信息、政治信息和文化信息的保障带来严重的安全威胁。 因此, 为解决网络交换设备动态安全问题, 技术人员有必要加快网络安全动态防护体系的构建速度, 确保网络交换设备在复杂网络运行环境下的安全防护。

1 动态性

1.1 安全系统要求动态化

网络信息的安全系统动态化的要求就体现在需加入更多的新的变化因素, 从而使其能够向前扩展。网络信息的安全系统中的加密信, 其信息在被黑客破译时其本身的保密性就已经失去了意义, 表明加密算法也是存在漏洞的, 需保护的信息自然也具有安全性。故加密信的变化因素持续增多、生 存期不断变短, 那么, 其系统的安全性级别相对就较高。也就是说, 由于在各类密码被不断攻击, 破译密码的手段处于不断更新的情况下, 设备的性能也就随之而不得不发展, 网络安全应用系统也得为了实现自身功能而变化、发展。由此 可知, 人们所说的网络安全不是永恒的, 它只是暂时的[1]。

1.2 安全漏洞具备动态性

网络中的设备和软件本身就具有大量的缺陷、漏洞, 从而给网络安全带来危险。网络信息系统安全中的漏洞也具有动态性, 它会随着网络中各类配置、新部件的安装而出现和扩展。因此, 需要用动态的和发展的眼光去看待网络安全中的漏洞问题, 它所具有的时效性、攻击性、复杂性、相对性 等, 均会造成安全漏洞动态性这一现象。

1.3 实现动态网络的安全策略

建立网络的基本意图就是进行资源共享及信息交流, 而在进行这些操作的过程中必然会出现安全问题。网络安全强度就取决网络最弱的连接强弱度。 而随着我国网络技术升级、网络设备更新及规模扩展等, 网络本身就是一个处于动态发展的个体。动态网络的安全策略指的是在定期内采取安全措施, 这种安全措施随着网络更新, 也具备自身的防范性和发展性, 所以制定出来的新的安全措施也要随着网络发展而变化, 也就是说安全策略也许具有动态性[2]。

2 网络安全动态防护体系的设计与实现

2.1 主动防御的模型

网络安全主动防御是具有动态性和主动性的安全防御的手段之一, 它是在静态安全防御的基础上发展起来。网络安全主动防御的模型还具有可扩展性, 具体包含管理、策略和技术等相关部分:(1) 管理层是安全模型的主体, 它经过一定的科学体系, 并按照相关的规章制度, 使那些自身带有网络信息安全防御功能的软硬件完全和使用者连接为一, 让网络系统处于信息安全的环境中, 从而实现了管理层的主动防御目的。(2) 策略层是安全模型的基础, 它在安全策略的基础上, 把诸多安全技术融合再一起, 使网络处于最佳的安全状态。(3) 技术层包含的内容很多, 如监测、预警、保护措施、 检测和响应等。监测就是用特定技术发现网络中存在的威胁, 使网络安全工作处于主动状态。预警就是警告那些蠢蠢欲动的网络攻击行为的一种技术, 它对从开放信息中获得的数据进行收集, 并仔细分析这些数据, 从而明确哪些行为属于入侵或潜在的入侵; 保护就是针对分析数据流的结果, 采取相关的防护行为; 检测就是检测系统现阶段的运行状态, 从而锁定入侵者。响应则是对危及网络安全的行为采取主动防御或查杀的行为[3]。

主动防御就是分析诸多攻击手段的特征, 从而制定出防御措施, 重点修改及完善网络交换设备系统软件, 采取给累安全构件构建具有弹性、比较集中的一个安全管理的平台, 每个安全构件都将安全管理平台当作核心, 从而共同构成动态的安全主动防御系统, 其结构图如图1所示。

网络安全预警这一模块主要是采取网络的主动扫描、探测、获得网络信息等技术, 使攻击者无法破坏网络的一种安全状态。网络安全预警模块的监控手段就是网络交换设备的扫描与探测这两种技术, 并按照网络目前的状态信息的变化, 对网络安全的防护系统表项进行实时更新, 让网络安全防护系统的模式在匹配时, 所采纳规则与当前的网络实际情况相一致, 从而将网络安全提升到一个较高的层次。

安全管理平台中的安全策略表是网络数据流处理的前提条件, 安全策略表内定义规则可成为数据流访问的控制模块、行为安全分析模块等的依据, 对匹配数据流实行控制及处理; 日志报警管理则经对数据流的行为安全分析和网络安全预警两个模块的工作日志进行查询, 并监视其发展的动态, 并自动通知网络系统管理员对需要警告的攻击行为进行处理; 用户操作管理的工作就是实时接收用户自己输入命令, 并将命令进行解释, 使其符合安全防护系统内相关的查询及管理等诸多要求[4]。

2.2 动态策略联动响应

2.2.1 网络数据流的分类

网络数据流进到网络中, 首先会被访问控制规则将其过滤, 过滤后的数据流, 其报文会被提交, 到达数据流识别及分类处理这一模块内, 而在此数据流被分类处理前, 还要经过源IP、目的IP、源端口、目的端口、协议类型五元进行组 对, 并根据流识别后的数据库内给出的规则, 从而最终给本批数据流一个合理的分类结果。

2.2.2 深度特征的匹配

数据流被分类和识别后, 直接进入到检测器给予深度的特征匹配, 其结果也会直接送达行为安全分析模块, 让其进行全面的分析, 进而判断数据流的危险系数, 之后根据分析的结果进行策略响应。检测器通过其数据库对攻击流进行检测的相关规则, 用报文内的字段对其实施特征的检查和匹配工作, 从而确认数据流属性。

2.2.3 策略联动的响应

一旦网络攻击被发现或者检测出来的时候, 数据流行为安全的分析模块就会对攻击等级进行分析, 之后再给予相应的响应机制。安全策略的中心、防火墙、Scanner等的交互信息量不多时, 可以定义以XML为基础的专用数据的交互格式。

SSL协议可确保安全策略的中心和其他设备进行安全通信, SSL协议中有2个工作协议, 即SSL记录协议和SSL握手协议, 分别具有身份认证和安全传输服务功能, 恰好是安全策略中心和其他设备进行交互时需要的。所以选用SSL, 配合数字证书这一身份认证[5]。

3 网络安全动态防护体系的应用验证

做好以网络的安全动态防护体系为基础的安全网络交换设备设计工作, 同时对网络安全动态防护体系技术在实际网络应用中真正起到的安全防护能力进行验证, 这就需要在实际的工作中通过安全网络交换设备的硬件逻辑的组成部分来实行, 其内容包括: 数据处理、安全监测和管理控制这3个模块。

数据处理模块具有的功能, 不仅有实现网络数据的转发处理和控制等方面, 还有把出现在网络交换设备中的数据流, 直接镜像到网络的安全监测模块中; 安全监测模块会直接分类并识别这些数据流, 并分析和确定这些匹配的数据流属于安全或者不安全的行为, 再按照策略应用规则, 将匹配的结果置于数据的处理模块中, 同时还要向管理控制模块报告这些数据流的状态信息。管理控制模块主要就是对系统各组成部分状态信息进行实时查询, 同时对状态信息的组成部分实行管理和规则、策略配置和协议处理等工作。另外, 管理控制模块经CPCI总线和数据处理模块实行交互, 完成管理控制数据处理模块, 并将需要上报的网络协议报文合理地处置。安全监测模块则在网络和数据处理模块之间相连时, 接收数据处理模块镜像来的网络报文, 仔细对其进行分析, 并进行科学的处理, 再将相应的策略用于数据处理模块中。

4 结语

校园网网络安全体系研究 篇10

1 校园网以及网络安全的综述

1.1 校园网。

21世纪发展最快的除却科技以及工业以外就是计算机技术, 从某种角度来说, 计算机技术的发展不仅在一定程度上反作用于科技以及经济发展上, 同样也是促进信息化时代建设的主要推动力之一, 而推动信息化建设的另一个主要因素便是网络技术的发展, 而所谓的校园网的就是在信息化时代的建设下, 在教育部的号召下, 一起满足日常的教学、研究并在一定程度上涵盖教务系统、行政系统以及总务管理系统等各种促进学校建设进度以及保障学校安全的计算机网络体系, 而在校园网中最为主要的就是教育系统。换句话说, 校园网应具有较大的宽带、具有极强的专业性以及交互性, 从而以满足学生的日常需求以及教师的教学需求。

1.2 网络安全。

网络安全问题是伴随着网络技术发展而逐渐成为了社会的热点, 可以说, 网络安全问题是网络技术发展中不可回避的问题。而所谓的网络安全从概念上来说就是保护网络系统中的数据, 并能可靠的运行下去, 换句话说就是保证在网络环境下的个人信息以及机密文件的安全性, 做大限度抵制恶意破坏等行为, 以达到维护上网安全的目的。

2 校园网网络安全的主要技术

校园网网络安全作为保障校园网正常工作以及维护校园安全的重要的安全体系, 主要是由以下几种技术来支撑着校园安全的体系发挥作用。

2.1 虚拟网技术。

虚拟网技术, 也被称为VPN技术, 一般被细分为远程访问VPN、内部VPN以及网联网VPN这三种, 虽然获取信息的方式有所不同, 但是归根就地都是依靠互联网服务提供商在公用网络中建立专用的数据通信网络的技术。而在虚拟网技术中, 为了实现数据通信的功能, 一般所采取的关键技术是安全隧道技术以及用户认证技术, 而这两种技术也是保障网络安全的重要技术之一。

2.2 防火墙技术。

防火墙技术作为网络安全体系的重要也是最基本的组成之一, 同样也是保障本地计算机以及内联网络不受到外部的攻击以及篡改, 从而引发不可弥补的损失, 除此之外, 防火墙技术同样也是保障网络安全的主要技术, 这主要是由于防火墙技术通过在不同的Internite用户间建立合理的网管, 分析网络流量, 从而检测网络状况。

2.3 入侵检测技术。

防火墙技术作为保卫个人网络安全的第一道防线, 在相当长的一段时间里为网络安全做出了一定的贡献, 但是随着网络技术的发展以及网络技术的普及度, 单一的防火墙技术已经不足以抵挡住来自外部网络的恶意攻击, 基于此, 入侵检测技术便应运而生, 而入侵检测技术 (简称为IDS) 通过对系统的行为进行分析, 找出系统运行不合理之处, 判断是否收到外界的入侵, 从而及时的提醒管理员, 进而保障用网的安全。

2.4 其他技术。

除却VPN技术、IDS技术以及防火墙技术以外, 构建成网络安全体系的关键技术还包括通过扫描发现入侵的安全扫描技术、虚拟局域网技术、通过确定访问对象的安全性来维护网络安全的访问控制技术、杀毒技术以及通过“诱饵”方式维护网络安全的honeypot技术等, 而基于防火墙技术、虚拟网技术以及入侵检测技术这三大基本网络安全技术为基石。

3 校园网网络安全的现状

校园网的网络安全是保证正常教育开展的重要安全体系之一, 而由于校园网的用户基数十分庞大, 再加上校园网具有开放性、互联性以及共享性的特点, 这就更在一定程度上造就了校园网的网络安全不易维护的现状, 而之所以造成这种情况的出现, 一部分原因是由于学生在使用校园网的过程的不当举措造成的, 而另一部分是由于网络安全体系构建中出现致命的缺点, 比如终端的合法性的确定问题等, 除此之外便是内部以及外部黑客的攻击致使网络安全性大大降低。

4 改善校园网网络安全的现状

由于校园网网络的安全对学校基础教育建设具有十分重要的意义, 因此改善目前校园网网络安全的现状是必不可少的。有当前影响校园网网络安全的因素可以明显的看出, 挡圈校园网络安全体系构建过程中的被动型, 而这种被动恰恰是导致校园网络安全性大大降低的主要原因, 所以, 在构建校园网网络安全体系的过程中, 在保证基础设施的性能性的基础上, 应该合理的设计校园网络安全体系的全局部署, 其基本的设计要求就是保证网络环境的安全性, 即需要从升级核心网络、替换交换机、加强出口路由器的性能、加强整体认证的执行, 最重要的是加强网络的监控, 这就需要革新技术, 加强安全管理, 而在这个网络安全体系的构建过程最主要的是根据学院之间的区别构建科学的子网防护。

5 构建完备的校园网网络安全体系的重要性

校园网是在一定的教育思想以及理论指导下形成的, 主要是为了教育提供共享资源, 虽然校园网是基于教育和网络技术而发展的, 但是校园网发展的过程中也会促进网络技术以及教育事业的发展, 两者是辩证统一的。而随着黑客技术的发展, 校园网的防火墙系统以及防入侵系统就如同纸般一碰即碎, 而这也就导致我国的校园网系统出现问题, 进而影响校园网的使用, 从而影响学校教育事业的进行, 因此构建完备的校园网络安全体系无论是对于学校的发展, 还是对网络技术的发展都有着十分重要的意义。

结束语

综上所述, 随着个人电脑的普及, 计算机技术以及网络技术得到了快速的发展, 同时网络的开放性也越来越高, 这在加快信息化建设的步伐的同时也造成了网络安全问题的讨论, 校园网的网络安全体系作为网络安全的重要组成部分, 由于各种原因存在不少的问题, 但是由于目前已认识到校园网网络安全的重要性而得到了重视, 更由于校园网网络安全对于网络技术发展以及教育事业发展的作用, 所以校园网网络安全体系的构建具有十分重要的社会意义。

参考文献

[1]张兴东, 胡华平, 况晓辉等.防火墙与入侵检测系统联动的研究与发现[J].计算机工程与科学, 2004, 26 (4) :23-24.

电子政务网络安全体系的设计探讨 篇11

【关键词】政府；电子政务；网络安全系统；设计

电子政务网络安全体系的设计对政府工作的信息化，促进政务信息公开、提高政府办公效率以及构建和谐社会等都具有十分重要的作用和价值，特别是近年来，随着政务信息化的快速发展，政府管理工作和政府信息化系统的日益复杂化，给政务网络的安全性带来了诸多的挑战，加强电子政务网络安全体系的设计和建设，对推动电子政务的发展具有重要的意义。

一、电子政务网络安全的重要性

电子政务是政府管理和服务的重要手段，如果电子政务网络的安全度不高，引起信息的泄密或者网络的瘫痪，不仅会给政府日常管理工作和社会的稳定带来影响，严重的还会给国家安全带来危害。所以必须重视对承载着政务信息的电子政务网络安全体系的设计。

电子政务网络信息安全不仅能保证政务信息化建设工作的顺利开展，还是抵抗信息侵略和霸权主义的重要举措，目前电子政务网络安全已经成为影响经济竞争力和综合国力以及生存能力的重要的组成部分[1]。

二、影响电子政务网络安全的重要因素

首先分析影响电子政务网路安全的几个重要要因素，然后针对问题提出设计电子政务网络安全体系的关键点，以期提高电子政务网络的安全性、可靠性和稳定性。

影响电子政务网络安全的重要因素有以下几点：

(1)政务网络硬件设备的软件系统出现漏洞

任何一个网络设备软件系统或网络上的终端设备如计算机操作系统和都具有或多或少的缺陷，需要进行及时的补丁以及更新程序操作，特别是对于一些用非正版软件和操作系统建立起来的电子政务网络系统，将会存在更大的风险和漏洞。在电子政务网络系统中，一些信息的泄露主要由软件的进程或者是操作系统的漏洞造成的。所以在建立电子政务网络系统时，应该选择正版的操作系统和应用软件，保证电子政务系统健康完善[2]。

(2)黑客和病毒的入侵

在电子政务网络系统中，黑客和病毒是目前最常见且最大的网络安全风险，病毒的种类随着计算机、电子和网络技术的发展而变化，如蠕虫以及变异性病毒等严重威胁着电子政务网络系统的安全，所以在进行电子政务网络安全体系设计时，应该注意防黑客和防病毒体系的设计。

(3)管理人员和工作人员的问题

电子政务网络安全不仅与硬件设备的软件系统有着很大的关联，而且与管理人员和工作人员也有着非常大的联系，主要表现在：一是电子政务网络安全管理人员没有根据政务信息化发展的趋势及时控制网络中存在的安全隐患；二是工作人员缺乏对网络及信息安全方面更多知识的了解，以及对电子政务网络的管理混乱、责权不明确和制度不完善等。以上这些都是造成电子政务网路不安全的重要因素。

三、电子政务网络安全体系的设计

(1)电子政务网络硬件系统的安全设计

虽然有很多的电子政务网络硬件设备以及计算机系统存在较多的漏洞和缺陷，但是只要保持对网络设备软件系统的更新、安装最新的安全补丁以及在电子政务网络系统中设置较高的安全级别，并且定期或者不定期地变换口令和检查安全日志，这都可以大大提高电子政务网络系统的安全性。

(2)入侵监测和防火墙设备的设计

在电子政务网络系统中，入侵监测设备的配置主要是为了防止外部人员（即黑客）的非法入侵，防火墙的配置主要是为了能够加强对网络的访问控制，防火墙能够对两个或者两个以上网络之间传输的数据的安全性根据一定的安全策略进行检查，并具有监视网络是否安全运行的作用，两者结合能够有效的防止外部人员采用不正当的手段访问网络系统中的资源和信息。从而保护政务网络系统中信息以及资源的安全。入侵监测和防火墙设备都是保护网络安全环境的特殊设备。

在电子政务网络系统中，防火墙是网络安全体系中最根本的措施，防火墙处于电子政务网络层的安全技术的最低层，网络之间的通信以及相互访问等都要通过防火墙进行安全认证。随着科学技术的进步，网络安全技术的发展，防火墙系统逐渐向网络层之外的安全层次进行发展，并且还能够为网络的应用提供安全服务，因此在电子政务网络安全体系设计中，防火墙是必不可少的一种技术[3]。

(3)计算机病毒的防护设计

计算机病毒对网络具有灾难性的影响，为了防止计算机病毒对电子政务网络系统造成损害，应该在电子政务网络系统中建立病毒防护体系，不仅应该在客户机中安装防病毒软件，在网关中安装防病毒软件，而且应该在服务器中安装防病毒软件。良好的杀毒软件不仅能够有效的查杀病毒，而且可以实时监控网络端口，对网络攻击、木马程序以及非法进程的阻挡等具有非常好的作用。

(4)应用层信息安全设计

①身份验证是最常用的一种网络安全防范措施，通过在电子政务中设定网络用户名和密码，这样不仅能够防止无关人员的登陆，而且能够阻止对电子政务信息的访问。但是由于黑客的技术水平也在不断地提高，所以在电子政务网络安全体系设计中不仅应该使用最新的口令技术，还应该结合其他的先进技术和科学手段一起来保护电子政务网络系统的安全性。

②采用权限矩阵措施。对于电子政务网络系统的登陆一般分为管理人员和普通人员两种登陆方式，不同的身份对应电子政务系统中不同的内容，具有不同的访问权限。所以在进入系统后，管理人员可以在权限之内对电子政务网络系统中的内容进行访问、修改以及删除等操作，负责对电子政务系统的日常管理和维护，而普通人员只能够对系统中的信息和内容查看，没有对信息进行修改或者其他操作的权力[4]。在电子政务系统中使用这种管理能够很大程度保障信息以及数据的安全性。

(5)建立安全管理策略

电子政务网络系统的安全关系到国家的安全、主权以及公众的利益。因此电子政务网络的安全性设计和建设必须考虑以下几方面的事项：一是参照国家法律法规，成为电子政务网络安全设计建设和运行的重要准则；二是为了保证电子政务网络系统的安全性，应该建立完善的政务网络安全管理制度；三是加大对电子政务网络系统安全运行的管理措施；四是必须明确电子政务网络日常运行维护部门和应用系统使用部门人员的责任和权力；五是应该在电子政务网络系统安全体系设计时，完善涉及资源以及信息的安全管理规定；六是对信息的产生、储存、传输以及处理等各个环节进行控制管理，从而保证信息的安全性。

(6)提高人员的综合素质和业务能力

在电子政务网络安全设计和建设中，应该建立对网络安全管理人员和使用人员的培训和考核制度，培训内容包括网络日常使用维护知识、风险检测分析技术、紧急事件的处理能力等，通过培训提高网络安全管理人员和工作人员的综合素质和业务水平，从而保证电子政务网络系统的安全性和可靠性。

四、总结

电子政务网络安全体系设计是一项复杂并且涉及面广的综合性的系统工程，况且网络的安全事关国家经济、政治、文化和军事的安全，对社会稳定也具有重要的作用，因此必须加强对电子政务网络安全体系设计的研究，不断建立健全网络安全体系，提高管理人员和工作人员的综合素质和业务能力，这对保障政务网络安全和高效地运行起着重要的作用，对促进社会和谐发展也具有重大的意义。

参考文献

[1]张达旭.构建网络安全体系,保障电子政务畅通[J].北方交通,2008(5):228-229.

[2]梁明君.浅谈电子政务网络安全体系的建设[J].网络与信息,2007(8):2-3.

[3]陈颖一.政府电子政务系统安全体系构建研究[J].现代经济信息,2009(11):297.

[4]陈世文.政府电子政务网络系统安全体系的设计与实现[J].山东大学,2008:1-75.

计算机信息网络安全体系 篇12

1 计算机信息网络安全体系的基础性结构

我国为了确保国家、企业及个人的信息安全,已开始建立计算机信息网络安全体系。一般来说,计算机信息网络安全体系由下面六个部分构成:(1)建立完善的安全预警系统,提高人们对危险的防范意识,分析计算机信息网络中可能出现的问题及隐患;(2)建立计算机信息网络维护系统,结合预警情况下发现的问题,运用相应的维护措施;(3)对计算机信息网络系统进行定期检测,及时发现隐藏的问题,对信息实行全方位的保护;(4)制定提前分析外来入侵的方法,启动相应的预警方案,抵御入侵,有效保护计算机信息的安全性;(5)一旦计算机信息网络体系被入侵,可以及时采取系统恢复的方式,避免原始资料被破坏,并修复整个信息系统;(6)适当的时候要对外来入侵实行反击策略,在入侵之前主动进攻,避免二次伤害。

2 计算机信息网络安全标准体系结构

第一,子网的安全层包括OSI环境的网络层,能够传递信息数据,将数据线分组。此外,它可以运用安全手段,比如,数据加密和签名、填充业务量等。

第二,链路的安全层能够转化出现错误的信息,更正后再进行传输。它还能把数据分成数据帧,将此作为基本传递单位。其中,物理层作为网络接口通常运用加密或者业务量填充的方式。但是由于成本较高,所以,一般都是在链路层采用加密技术。

第三,为了避免非法用户侵入导致网络信息破坏,用户安全层作为保护信息的结构必不可少。另外,它还可以为用户提供安全访问的服务,辨识合法或者非法用户,运用加密或者互换机制技术手段提高用户信息的安全性。

第四,应用安全层在传输信息、远程终端及域名服务方面有固定的操作标准,能够给上级使用者转换抽象数据或者提供需要信息,保障解压缩或者加密的正常运行。此外,应用安全层包括会话层、表示层及应用层能够认证身份、避免否认等,加强网络信息安全性。

3 计算机信息网络存在的安全问题

3.1 互联网络的不安全性

首先,由于计算机网络的开放性及网络技术的发展,在使用过程中,必然会受到各方面的安全威胁,不管是在物理方面还是网络传输方面,开放的特性都使计算机安全受到威胁。此外,全世界逐渐由互联网联系起来,为用户提供了便捷,却带来很大的威胁,网络信息安全成为国际性问题。

其次,目前对网络的使用并没有详细具体的法律规范,任何人都可以自由使用,网络的终端得不到有效控制,可以在网络上随意发布信息,网络安全边界也不确定,在实现网络资源共享时,缺乏约束性手段。

3.2 操作系统的安全问题

操作系统是计算机软件运行的载体,为计算机顺利运行提供良好的环境。计算机运行需要保证操作系统的应用程序和管理功能正常,一旦设计中出现问题,就会给网络运行造成威胁。操作系统可能出现的问题有以下几个方面。

第一,系统机构体系问题,操作系统的各个管理部分如CPU、内存及外设等都关系到不同的程序及模块,它们之间有着密切联系,一旦程序或者模块出现连接问题会威胁到整个操作系统。例如,在连接中,外设网络没有连接在准确的模块上,这样漏洞就会被黑客利用,导致系统崩溃。

第二,由于操作系统有传输文件、安装或者加载程序等功能,那么在这一系列过程中需要执行一些文件,由于文件都是人为编写的程序,一旦由于程序员的马虎出现漏洞就会导致系统瘫痪。

第三,由于操作系统能够创建进程,就为计算机在远端服务器安装间谍软件创造了条件,尤其将其运用补丁方式打在用户电脑上,黑客就能够使系统进程检测不出来其的存在。

第四,操作系统的远程调用功能也会带来威胁,远程调用环节复杂,通过调用远程服务器的程序提交执行,这一过程很可能被监控。

3.3 防火墙的局限

防火墙是由软硬件组合而成,在内部和外部网络,专用和公用网络之间设置保护,建立起安全网关,避免受保护用户网络遭到入侵。

4 计算机信息网络安全措施

4.1 技术层面

第一,建立完善的安全管理制度。系统管理人员提高自身的技术水平和职业道德水平,尤其对于重要信息要及时备份,每次开机都要进行杀毒。第二,网络访问控制。为了避免网络信息资源被非法利用,可以对网络访问进行控制,包含入网的访问权限控制、目录级别控制和属性控制。第三,数据库的备份和恢复。数据库管理工作人员一般为了提高信息的安全性和完整性,通常要对重要数据进行备份,这样能够有效防止意外带来的损失,意外一旦发生就可以及时使用早先的备份对数据进行恢复。第四,加密。这是计算机信息安全的核心技术,数字签名和身份认证是确保信息安全的重要手段,加密技术还包括公钥密码体制、古典的密码体制及密钥体制等。第五,及时切断传播途径。尤其对于已被感染病毒的硬盘或者优盘一定及时切断其传播途径,进行彻底杀毒后再使用,不要随便下载可疑信息。

4.2 物理层面

计算机网络运行除了自身的软硬件配置,运行环境也很重要,这是计算机信息网络安全的保障。第一,计算机系统环境条件。计算机在使用中要考虑到环境的温度和湿度、电气干扰及虫害。第二,机房场地环境。机房场地的选择也要考虑周围环境的影响,例如,周围是否存在电磁干扰、振动及噪声,特别要离用水设施远一些。第三,机房的安全防护。对机房进行安全防护主要是避免物理环境的破坏或者人为带来的损失,在选择机房时,要考虑其抗震性,提高抵御灾害的水平,此外,要对进出机房的人员严格管理,必要时进行身份认证,避免人为偷盗,最后尤其要对机房的控制中心严加防范,可以设置防护圈。

5 结语

计算机信息网络安全工程复杂,设计到技术、设备等多方面,信息网络安全一旦出现问题,造成的损失不可估量,甚至会威胁到国家和社会的安全、稳定。笔者分析了计算机信息网络安全体系,探讨了威胁安全的相关问题,并在技术和物理层面上提出了相关的解决措施,加强对计算机信息网络安全。

摘要：计算机网络科技迅速发展,给人们的生产和生活带来极大便利,为我国的经济发展做出了突出贡献。近年来,随着网络信息安全问题的不断暴露,如计算机病毒、黑客攻击等,网络与信息安全逐渐成为当今通信与计算机领域的热门课题,受到更多的关注。笔者分析了计算机信息网络安全体系,并针对出现的问题提出相应的解决方案,希望对提高计算机信息安全性有所帮助。

关键词：计算机,信息,网络安全

参考文献

[1]蒋春芳,岳超源,陈太一.信息系统安全体系结构的有关问题研究[J].计算机工程与应用,2004(1).

[2]王东霞,赵刚.安全体系结构与安全标准体系[J].计算机工程与应用,2005(8).

[3]李延哲.计算机网络的信息安全体系结构[J].信息通信,2015,23(8):132-133.

[4]尚金成,黄永皓,陈卫华.电力市场技术支持系统网络信息安全技术与解决方案[J].电力系统自动化,2013(4):15-19.