网络安全分析精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全分析主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全分析范文

关键词：IPv4；IPv6；网络安全；分析

中图分类号：TP393文献标识码：A 文章编号：1009-3044(2008)16-21207-01

The Analysis of IPv6 and IPv4 Network Security

ZHANG Lian-huan, ZHU Xiao-fei

( 91065 Army, Huludao125001,China )

Abstract: This article first make a summary of IPv4 and IPv6 ，discussed the shortcomings of IPv4 and IPv6 advantages. Then IPv4 security flaws were analyzed, discussed IPv6 improve on these deficiencies, at the last the IPv6 security issues are also analyzed.

Key words: IPv4 and IPv6; network security; analysis

随着网络的繁荣发展，加上最初设计的地址分类方法不合理，造成了今天IP地址极度缺乏的状况。其次，由于它起初主要面向研究和开发机构，对安全性的考虑不是很充分，而在实现网络商业化的今天，不安全的通信信道带来的网络攻击越来越多，其影响力也越来越大。IPv4获得的巨大成功反而使得它本身陷入了一个尴尬的境地，此时IPv6的推出成为大势所趋。

1 IPv4与IPv6概述

第一代互联网美国军方从60年代开始，70年代正式进行开发建设，1994年正式投入商业运营，并统一采用TCP/IP协议[1]。IPV4之所以向IPV6演进，主要是因为IPV4的地址协议出现明显的局限，IP地址已经不能满足需要。IPV4的IP地址大约为40多亿，但是却存在着严重的分配不均匀问题，其中美国掌握了绝对的控制权，IP地址分配上美国占着绝对的优势。造成了我国的公众网因IP地址匮乏，被迫大量使用转换地址，严重影响了互联网的正常发展，这就形成了对IPV6的迫切需要。下面对IPV4和IPV6进行简单介绍：

1.1 IPv4

目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议，是TCP/IP协议族的核心协议。目前IP协议的版本号是4(简称为IPv4)，发展至今已经使用了30多年。IPv4的地址位数为32位，也就是最多有2的32次方的电脑可以联到Internet上。有预测表明，所有IPv4地址将在2005～2010年间分配完毕。另外，由于IPv4采用与网络拓扑结构无关的形式来分配地址，所以随着连入网络数目的增涨，路由器数目飞速增加，相应的，决定数据传输路由的路由表也就不断增大，路由器在路由表中查询正确路由的时间就越长。IPv4也缺乏网络服务质量的支持，也没有对移动服务的支持。

1.2 IPv6

IPV6设计的初衷就是为了扩大地址空间，拟通过IPv6重新定义地址空间可以满足互联网发展的需要。IPv6采用128位地址长度，几乎可以不受限制地提供地址。按保守方法估算IPv6实际可分配的地址，整个地球的每平方米面积上仍可分配1000多个地址。在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题以外，还考虑了在IPv4中解决不好的其它问题，主要有端到端IP连接、服务质量(QoS)、安全性、多播、移动性、即插即用等。具体地说，IPv6具有以下优势：①扩展了地址容量，IPv6支持的IP地址长度由原来的32位扩充到128位；②自动地址分配，使IPv6终端能够快速连接到网络上，无需人工配置，实现了真正的即插即用。③简化了报头格式，有效减少了路由器及交换机对报头的处理开销；④提高了服务质量，IPv6数据包的格式包含一个8位的业务流类别(Class)和一个新的20位的流标签(Flow Label)，可以知道数据包的QoS需求,并进行快速的转发；⑤提供了认证和私密性，IPv6将IP安全性(IPSec)作为自身标准的有机组成部分；⑥支持移动服务，IPv6对于移动性的支持是作为一个必需的协议内嵌在IP协议中的，IPv6的移动性支持取消了异地，完全支持路由优化，彻底消除了三角路由问题，并且为移动终端提供了足够的地址资源，使得移动IP的实际应用成为可能。

2 IPv4的安全分析

在IPv4体系下，网络层几乎是毫无安全性可言的。

(1) IPv4地址分配的不合理性，导致IP地址分布十分零散。这就使得伪造源IP地址进行网络攻击成为可能，攻击者可以任意伪造源IP地址对目标地址进行攻击。

（下转第1213页）

（上接第1207页）

(2) 由于网络中存在的MTU的限制，因此传送大于该网络MTU的数据包要进行分片，但由此也会带来安全上的漏洞。攻击者只需要2个UDP分片，即可造成一些操作系统崩溃。

(3) 假冒IP地址，即攻击者利用被攻击者的IP地址或者一个根本不存在的地址作为特殊数据包的源地址，通过发送大量数据包占用被攻击者的资源，造成被攻击者的不正常工作。

3 IPv6安全分析

3.1 IPv6的改进

IPv6的巨大地址空间以及引入IPSEC带来的加密和认证机制，实现了网络层的身份认证和数据包的完整性、机密性，增强了网络层的安全,对于应对网络威胁与攻击，保障网络通信安全成效显著。IPv6的优势具体有以下几点：

3.1.1 IPv6地址资源丰富。

IPv6采用128位地址，且地址采用前缀表示法，格式前缀(也称全局路由前缀)是一个IP地址的高位，它用来识别子网或某种特殊类型的地址。其中，在全球范围内可唯一标识的地址是“可聚类全局单播地址”，它基于一个分层的原则，把128位地址分成6个部分，第一部分是标识该地址使用的是“可聚类全局单播地址”，第二部分用作保留，再往下依次是“次级聚类标识符”，“站点级聚类标识符”，最后64位表示接口ID，所以IPv6可以提供的IP地址资源更加丰富。

3.1.2 与IPSec有机结合

由于IPv4协议本身没有对数据进行有效保护，无法保证数据的完整性、机密性以及对身份的验证，在网络安全方面存在较大隐患。因此，在设计IPv6时，协议安全作为一个重要的方面进行考虑，将IP安全体系结构(IPSec)纳入了协议整体之中，成为协议的一个有机组成部分。数据网络的安全威胁是多层面的，它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分，IPSec通过身份验证头(AH)与封装安全性净荷头(ESP)相结合，配合相关的密钥管理机制， IPSec为网络数据和信息内容的有效性、一致性以及完整性提供了保证。但在实际部署IPv6网络时，由于技术能力不够和现有安全基础设施不足等原因，使得IPv6网络往往没有采用任何安全措施。而且，其网络传输数据包的基本机制也与IPv4相同，所以现有的IPv6网络并不比IPv4网络安全，这也有待完善。

3.1.3 数据认证

IPv6使数据包的接收者可以验证数据的真实性、完整性，还可以与数字签名结合，保证数据的不可抵赖性，使数据在接收端可得到认证，确保数据的真实可靠。而且，IPv6允许数据传输采用隧道模式和传输模式两种方式，它既可为两个节点间的简单直接的数据包传送提供身份验证和保护，也可用于对发给安全性网关或由安全性网关发出的整个数据包进行包装，并加入认证信息。

3.1.4 数据加密

在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验，这极大的增强了网络安全。

3.2 IPv6的安全缺陷

网络安全永远是一个相对概念，也不要指望IPv6能够彻底所有的网络安全问题。

IPv6中仍保留着IPv4的诸多结构特点，如选项分片和TTL等。这些选项都曾经被黑客用来攻击IPv4节点。而且，目前为止，IPv6中并没有提出新的安全策略――所有使用的安全策略都是在IPv4下已经存在的，因此它无法从根本上解决安全性能的问题。

IPv6主要解决的是网络层的身份认证、数据包完整性和加密问题。因此，一些从上层发起的攻击如应用层的缓冲区溢出攻击和传输层的TCP SYN FLOOD攻击等在IPv6下仍然存在。

IPv6协议本身还有一些问题有待解决，IP网中许多不安全问题主要是管理造成的。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现，因此缺乏对IPv6网络进行监测和管理的手段，缺乏对大范围的网络故障定位和性能分析的手段。没有网管，无法保障网络高效、安全运行。IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现。这方面的安全技术研发尚需时日。

参考文献：

[1] 刘斌.浅析IPv4和IPv6.高校实验室工作研究，2006(3).

[2] 高嵩，贾卓生.关于IPv4及IPv6的安全讨论.计算机与现代化，2006(6).

[3] 杨碧天，常立夏，詹德新.IPv6安全性能研究.网络安全技术与应用，2008(1).

[4] 刘世杰，李祥和.IPv6对网络安全的改进.电视技术，2007(2).

第2篇：网络安全分析范文

1.硬件设备的损坏。有些机关单位的局域网中硬件设备损坏严重，如线路老化、硬件存储器质量较差、交换机设备故障等问题都会降低整个局域网系统的稳定性和安全性。在整个局域网中，计算机硬盘是数据存储的核心部件，因此对硬盘的维护与备份工作十分重要。

2.操作系统本身存在安全性。目前市场上占有率较高的操作系统均存在一定的漏洞和后门，尤其是Windows操作系统，更是安全漏洞频出，病毒、网络黑客往往就是利用这些系统自身的安全漏洞侵入和破坏系统，甚至有些国家也在利用这些安全漏洞和后门对我国机要单位的计算机进行攻击和侵入，以窃取我国机要信息。

3.来自内部网络用户的安全威胁。局域网络即使安装了等级较高的防火墙系统，来自内部用户所造成的安全威胁远大于外部网用户，由于机关工作人员对网络知识较为缺乏，导致外部存储设备带来的病毒未及时清理，或工作人员操作不当等原因进入了非法网站而导致计算机中了网络病毒。在一个安全性较高的网络中，人为因素造成的安全漏洞往往是整个局域网络最大的隐患。网络管理员和用户都拥有各自的权限，同时也存在着利用这些权限对自身网络进行破坏的可能性。

4.缺乏有效的监管手段。由于机关单位极度缺乏计算机相关人才，导致网络日常监管不到位，不能及时发现其中是否有可被黑客利用的漏洞并做出正确的处理。同时，却少专业人员定期对系统运行状况进行评估、测试，对发现的问题和不足之处不能及时完善和处置。

二、网络安全防范策略

（1）生物识别技术。生物识别技术是通过对人体的生物特征来进行身份验证的一种安全方式。例如声音、视网膜、脸部、指纹、骨架等均能作为识别对象，因为人体特征具有特殊性、不可复制性甚至是唯一性，使得这一识别技术的安全系数较传统意义上的身份验证方式有很大的提升和改善。

（2）加密技术。当前主流的加密技术有对称加密技术和非对称加密技术。对称加密是常规的加密技术，它是以口令为基础，加密运算与解密运算使用同样的密钥与方法。不对称加密，即加密密钥与解密密钥不相同，加密密钥对外公开，而解密密钥由解密人持有。加密技术的出现为基于互联网的电子交易提供了广阔的平台和安全保障。

（3）数字签名技术。在网络安全技术的发展空间中，数字签名技术将成为今后最通用的个人安全防范技术之一，数字签名技术能够实现对原始数据不可抵赖性的鉴别，其中使用公开密钥方式的数字签名技术将成为下一步的研究重点。另外，基于数字签名技术而开发的电子印鉴技术，将为机关办公自动化的实施和数据传输提供技术平台和安全保障，同时在电子商务和网络交易等安全通信中，也会发挥极大的作用。

（4）提高工作人员的安全意识。我国机关单位工作人员普遍存在计算机知识欠缺、操作水平低等问题，因此在实际操作中常常会因一些无意识的行为对局域网造成破坏，甚至不排除有人故意进行破坏的可能。因此在机关工作人员日常工作中，需要加强局域网的管理，提高人员的安全意识和对简单问题处理的能力，对U盘等插入设备进行严格的病毒查杀，通过IP限制等手段对不安全的网页和链接进行屏蔽，确保局域网络的使用安全和信息安全。

三、总结

第3篇：网络安全分析范文

【关键词】SCADA系统；信息安全

成品油管道输送过程中高度的自动化工业控制手段是确保管道安全、稳定输送成品油的前提，近年来为了实现实时数据采集与生产控制，满足“两化融合”的需求和管理的方便，工业控制系统和企业管理系统往往需要直接进行通信，而企业管理系统一般直接连接Internet，在这种情况下，工业控制系统也面临着来自Internet的威胁。因此建立成品油管道企业SCADA系统的安全防护体系和安全模型，对确保SCADA系统安全稳定运行，加速实现“数字化管道”的进程具有重要的现实意义，是当前管道企业自动化控制系统建设中亟待解决的大问题。

一、华南管网生产网现状及特点

销售华南分公司作为石化企业最长的成品油长输管道，典型的资金和技术密集型企业，负责西南及珠三角3千多公里的成品油输送业务，管道全线由国际上先进的SCADA系统完成对输油管道生产过程的数据采集、监视、水击保护与控制，批量计划、批次编排与输送，管道泄漏检测与定位等任务。华南管网的生产运行以调控中心操作控制为主，管道生产的连续性很强，装置和重要设备的意外停产都会导致巨大的经济损失，生产管理上更注重安全和平稳运行。SCADA控制网络由DCS、PLC和SCADA等控制系统构成，生产网在数据采集方面，采用开放性设计。开放性设计是当今系统设计的基本要求，它要求计算机软硬件厂家共同遵守通用的国际标准，以实现不同厂家设备之间的通讯。整个华南管网SCADA系统采用OPC协议、IEC 104协议、Modbus协议等通用标准接口与几十家甚至上百家的第三方设备通讯，采集足够的管线运行参数，如液位、温度、电气、阴保、密度等信号，确保对管线的有效监控。具体架构见图1所示。

在通信方式上，为确保监控数据及时、准确、安全的传输，采用沿管线敷设通信光缆线路方式，建立基于光同步数字传输系统下多业务传输平台（MSTP）的综合性通信网络，通过MSTP通信信道（主用信道）和公网SDH 2M信道（备用信道）方式进行数据传输和保护，以实现对沿线站场及线路SCADA实施远距离的数据采集、监视控制、安全保护和统一调度管理。在数据交换上，采用思科路由交换设备构建，使用EIGRP路由协议作为主干路由协议，负责整个网络的路由计算，具体网络拓扑见图2。

二、生产网络安全隐患分析

1.操作系统安全漏洞

目前公司主要采用通用计算机（PC）+Windows的技术架构，操作系统使用WINDOWS SERVER 2003、WINDOWS SERVER 2008。当今的DCS厂商更强调开放系统集成性，各DCS厂商不再把开发组态软件或制造各种硬件单元视为核心技术，而是纷纷把DCS的各个组成部分采用第三方集成方式或OEM方式。这一思路的转变使得现代DCS的操作站完全呈现PC化与Windows化的趋势。PC+Windows的技术架构现已成为控制系统操作站（HMI）的主流，任何一个版本的Windows自以来都在不停的漏洞补丁，为保证过程控制系统相对的独立性，现场工程师通常在系统正式运行后不会对Windows平台打任何补丁，更为重要的是打过补丁的操作系统没有经过制造商测试，存在安全运行风险。但是与之相矛盾的是，系统不打补丁就会存在被攻击的漏洞，即使是普通常见病毒也会遭受感染，可能造成Windows平台乃至控制网络的瘫痪。

2.网络通信协议存在安全漏洞

OPC协议、Modbus协议等通用协议越来越广泛地应用在工业控制网络中，随之而来的通信协议漏洞问题也日益突出。例如，OPCClassic协议（OPCDA，OPCHAD和OPCA&E）基于微软的DCOM协议，DCOM协议是在网络安全问题被广泛认识之前设计的，极易受到攻击，并且OPC通讯采用不固定的端口号，导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。

3.杀毒软件漏洞

为了保证工控应用软件的可用性及稳定性，目前部分工控系统操作站不安装杀毒软件。即使安装了杀毒软件，在使用过程中也有很大的局限性，原因在于使用杀毒软件很关键的一点是，其病毒库需要不定期的更新，这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的，这容易导致大规模的病毒攻击，特别是新病毒。

4.应用软件漏洞

由于应用软件多种多样，很难形成统一的防护规范以应对安全问题；另外当应用软件面向网络应用时，就必须开放其应用端口。因此常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取设备的控制权，一旦这些控制权被不良意图黑客所掌握，那么后果不堪设想。

5.缺乏有效的网络监控手段

缺乏统一的网络和业务系统监控平台，主要体现在以下四个方面。

第一是随着生产网络不断拓宽，对网络的依赖越来越大，要求对网络管理的内容日趋增多，包括网络管理、性能管理、应用管理、使用管理、安全系统等内容。第二是业务服务的规模增大，规划、维护、安全、管理等分工更加细致，管理迫切要求对业务服务管理和维护建立统一的、规范的、体系化的、层次化的服务管理。第三是多设备、多系统的运行信息、告警信息的多样化，需要对这些信息进行集中化的管理，进行智能化的分析、统计，得出有利于网络管理和维护的数据，便于更有效、更快捷的解决问题。第四是管理人员不断增多，管理流程日益复杂，管理成本不断上升，技术管理体系需要完善。

6.网络未有效隔离

公司生产网与Internet网间缺乏安全有效的隔离。随着互联网日新月异的发展和企业集团信息化整合的加强，中石化总部提出了生产数据集中采集，通过广域网实现集团内部资源共享、统一集团管理的需求，企业信息化网络不再是单纯意义上的Intranet，而Internet接入也成为必然。Internet接入减弱了控制系统、SCADA等系统与外界的隔离，容易造成蠕虫、木马等病毒的威胁向工业控制系统扩散。

7.缺乏有效的访问控制手段

操作站（PC）和服务器提供了过多的硬件接口，光盘、移动硬盘等存储介质未经安全检测就使用给网络安全带来了隐患；笔记本电脑等非生产终端设备未经过准入许可，通过网络节点接入后，在未授权的情况下便可以访问和操控控制网络系统，也存在安全隐患。

三、生产网络安全方案设计原则

针对以上存在的安全隐患，通过目前大型企业网络设计及建设经验，结合生产网络的特点，生产网络系统在安全方案设计、规划过程中，应遵循以下原则：

综合性、整体性原则：应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等，这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。

需求、风险、代价平衡的原则：对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

一致性原则：一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计（包括初步或详细设计）及实施计划、网络验证、验收、运行等，都要有安全的内容及措施。实际上，在网络建设初期就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也少得多。

分步实施原则：由于网络系统及其应用扩展范围广，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。

多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

四、生产网络安全保障的主要方法和措施

华南管网生产网的安全建设前提必须是确保生产应用系统的正常稳定，由于目前控制系统应用软件对网络稳定性及计算机性能要求较高，安全系统建设应基于不增加系统负担，不过大占用网络带宽，不因安全设备的安装增加故障点的前提考虑，尽可能进行网络加固监控，实现对网络安全事件的“事前、事中、事后”全程监控防范。现就生产网的建设提出自己的想法和建议，基本架构及方法如图3。

1.采用网络隔离技术，实现内外网数据安全交互

隔离防护系统建设必须遵循“安全隔断、适度交换”的设计原则，当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，采用数据通道控制技术，在保证内网系统和信息安全的前提下，实现内外网之间数据的安全、快速交换。采用多重安全机制、综合防范策略，彻底避免来自操作系统、命令、协议等已知和未知的攻击。目前此类安全产品以隔离网闸为代表，通过专用硬件使两个网络在物理不连通的情况下实现数据的安全传输。

2.建立综合网管系统，全面完整掌握网络运行状况

目前生产网所要管理的资源包括网络、主机、安全、数据库、中间件、业务系统等，通过采集以上资源全部告警状态信息、配置信息及性能信息，并与通信资源库进行关联，实现对全网的拓扑管理、配置信息管理、业务管理、故障管理、性能管理等功能。为了便于运行人员快速熟悉和掌握新的统一平台的使用，广泛采用了功能菜单和图形化界面相结合的操作界面。

3.建立网络入侵检测系统

入侵检测系统IDS（Intrusion Detec-tion System）提供一种实时的检测，对网络流量中的恶意数据包进行检测，发现异常后报警并动态防御。由于考虑到生产网的可用性及稳定性，故在服务器及操作站中不加装软件防火墙及网络流量检测软件，而是根据接口流量及带宽，在各管理处及输油站网络的交换机上链路出口、核心交换汇聚接口及与外网连接接口均部署IDS。为避免因设备故障影响网络通断，将IDS以旁路并联方式连接到网络中，对路由器或交换机做端口镜像，将需要监控的端口流量镜像后传输IDS后进行分析，最终通过IDS服务器完成集中监控、策略统一配置和报表综合管理等功能，实现从事前警告、事中防护到事后取证的一体化监控。

4.建立严格的准入控制

针对接入层用户的安全威胁，特别是来自应用层面的安全隐患，防止黑客对核心层设备及服务器的攻击，我们必须在接入层设置强大的安全屏障，从网络接入端点的安全控制入手，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，加强网络用户终端的主动防御能力，并严格控制终端用户的网络使用行为，保护网络安全。整个系统应包括准入控制手段、控制支撑、控制决策和应用接口4个层面。

5.通过桌面安全实现补丁及防病毒软件升级

操作站及服务器等PC设备考虑到生产网的安全，不直接Internet直接下载操作系统补丁及防病毒软件补丁，而在生产网内部建立桌面安全系统与外网连接，通过桌面安全系统实现对公司生产网内PC机的控制管理，从应用程序管理、外设管理、软件分发、补丁管理、文件操作审计、远程管理等多方面对PC机各种资源要素进行全程控制、保护和审计。确保桌面计算机运行的可靠性、完整性和安全性，提高PC机维护效率，从而达到自动化管理和信息安全监控的整体目的。

五、结论

随着计算机技术的发展，计算机病毒制造技术和黑客攻击技术也在不断的发展变化，越来越多的安全事件的发生，我国的工业基础设施面临着前所未有的安全挑战。虽然我们在生产网安全建设和防范过程中积累了一定经验，但我们仍需研究和探索，不断学习和掌握日新月异的网络安全新知识，综合运用多种安全技术来加强安全策略和安全管理，从而建立起一套真正适合企业生产网的安全网络体系。

参考文献

[1]戴宗坤.信息安全实用技术[M].重庆大学出版社，2005.

第4篇：网络安全分析范文

防火墙是指在外界网络与本地网络之间的一道隔离防御系统。应用防火墙最主要的目的是通过对网络入、出环节的控制，促使各环节经过防火墙的检查，从而有效预防网络遭到外来因素的破坏和干扰，达到保护内部网络不受非法访问的目的。

2防火墙的功能

2.1可提高网络的安全性能

防火墙的应用能大幅度提升内部网络的安全性能，降低安全风险。比如，防火墙可以迫使NFS的进、出受网络保护。此外，防火墙还能保护网络免受路由的攻击，抵挡各种不安全因素，并通知管理员。

2.2强化网络安全

执行站点安全策略配备在防火墙内部，相比于传统的将安全问题分散到不同主机上的方式，这种集中安全管理的防火墙更加经济、安全。

2.3监控网络的访问和存取

防火墙能有效记录各种网络活动，遇到可疑的网络活动时会报警，并为网络管理员提供全面的信息，比如谁在访问网络、在网路上访问哪些信息。一旦防火墙监控到可疑动作，就会自动报警，并提供攻击和监测的具体信息。

2.4保护内部信息不被泄露

通过防火墙对内部网络的保护和划分，可实现对内部重点网络的保护和隔离，降低了重点局部网络安全问题对整个局域网内部的影响。应用防火墙后，网络具有了加密和身份验证功能，进一步降低了网络暴露在外的风险，从而保护内部信息不被泄露。

3防火墙架构分析

完整的防火墙由服务器和屏蔽路由器组成。通过屏蔽路由器可有效预防IP欺骗性攻击。该系统硬件成本比较低、架构简单，但因缺乏用户身份验证和管理投资，很难建立包过滤规则。现阶段，越来越多的路由生产厂家开始关注并开发具有过滤规则的用户界面，积极制订用户身份标准认证协议。通过服务器能有效识别、屏蔽和拒绝非法请求。在该系统中，具有账号管理、记录日志、身份认证功能，但如果想全面提升安全保障力度，则需要建立应用层对应网关，但其不易被系统接受。该系统的具体实现方案是以部署内部防火墙和外部防火墙的方式实现的。部署防火墙可有效过滤各种信息，保护敏感数据不被破坏和偷窃。同时，还能详细记录有关事件的发生时间与操作行为。

4网络安全技术要点分析

应用防火墙能提高内部网络的安全性，但并不意味着能做到万无一失。深入分析防火墙的原理和实现方式后，笔者总结了以下技术要点。

4.1合理选择防火墙

作为一种对于网络完全有效的防护方式，防火墙有多种实现方式。在合理选择防火墙前，需要全面进行风险分析、需求分析，进一步制订安全防范策略，从而有针对性地选择防护方式，尽可能地保持安全政策与防护方式的统一性。

4.2准确评估防火墙失效问题

在评价防火墙安全性和性能的过程中，需要查看防火墙运行是否正常、能否阻挡非法访问或恶意攻击；如果防火墙被攻破，则其状态是怎样的。按照一定的级别划分，防火墙失效有4种情况：①在没有被攻破时能正常工作；②在受到伤害时可以重新启动，并恢复至之前的工作界面；③禁止和关闭所有通行数据；④关闭且允许数据继续通行。第一种和第二种状态比较理想，第四种状态最不安全。在选择防火墙的过程中，需要验证并准确评估其失效状态。

4.3防火墙的动态维护

在安装防火墙和防火墙投入使用后，需对其运行状态进行动态性维护，维护和跟踪其发展动态，时刻观察动态并与之保持联系。一旦发现安全漏洞，则会积极推出补救措施，并及时更新防火墙。

4.4可靠规则集的制订

可靠规则集的制订是使防火墙安全、有效的关键性步骤。如果防火墙的规则集不正确，则再强大的防火墙也起不到任何作用。

4.4.1制订安全性策略

应由上级管理人员制订安全防范策略，使防火墙成为实施安全防范策略的工具。在制订规则集前，必须全面掌握安全策略，建设以下3方面的内容：①内部员工访问网络不受限制；②外部用户能使用Email服务器和Web服务器；③管理员能远程访问系统。从实际情况看，大部分部门的安全策略要远远超过上述内容。

4.4.2积极构建安全体系

在将一项安全策略转化成技术的过程中，内部员工访问网络不受限制是比较容易实现的，这是因为内部网络中的所有数据信息都允许在网络中传输。对于外部用户能使用Email服务器和Web服务器，需要建立Email服务器和Web服务器，这是因为所有人都能访问Email服务器和Web服务器，因此，不能信任所有人。鉴于此，可以将Email服务器和Web服务器放到DMZ中去实现，DMZ是一个孤立的网络，经常存放不被信任的系统。该网络中的系统无法连接、启动内部网络。对于管理员远程访问系统而言，可通过加密服务的方式进行。笔者建议在这一过程中加入DNS，虽然上述安全策略中未陈述此项内容，但在实际运营过程中需积极提供该服务。

4.4.3规则次序的制订

规则次序的制订非常重要。不同的规则次序排列相同的规则时，可能会彻底改变防火墙的运行情况。比如，大部分防火墙按照顺序对数据包进行检查，收到第一个数据包与第一条规则相对应，收到第二个数据包与第二条规则相对应，以此类推。如果检查到匹配选项，则会停止检查；如果没有找到匹配规则，则会拒绝该数据包。一般而言，比较特殊的规则应放在前面，比较普通的规则应放在后面。这样的方式能有效避免防火墙的错误配置。

4.4.4落实规则集

一旦确认了规则次数和安全防范策略，就要落实每条规则。在实际落实过程中，需要注意以下8个关键点：①切断不必要的防火墙默认服务；②内部网络的所有人都能出网，任何服务都被允许，与安全策略规定吻合；③增添锁定规则，除管理员之外，其他人员都不能访问防火墙；④丢弃不匹配的数据包，且不记录；⑤允许网络用户访问DNS，允许内部用户和网络用户依照邮件传递协议访问邮件服务器，允许内部POP访问；不允许内部用户公开访问DMZ；⑥拒绝、警告、记录DMZ与内部用户之间的通话；⑦管理员能通过加密方式访问内部网络；⑧将最常用规则尽可能地放到规则集上部，进一步提升防火墙的安全性能。

4.4.5更换控制

合理制订各项规则后，需标注详细、经常更新这些规则。详细的标注能更好地指导人们认识规则的具体内容，全面掌握规则后，出现的错误配置概率会更低。如果一个机构设有多重防火墙，则在修改规则的过程中需要标记清楚更改人员的姓名、更改原因和更改时间。

4.4.6强化审计工作

完成规则集的制订后，下一个重要环节是检测。需要注意的是，建立有效防火墙的关键在于建立简单的规则集，错误配置是网络的最大敌人。因此，应尽可能确保规则集的简短和简洁。简单的规则集理解和掌握起来比较容易。笔者建议，规则集应在30条以内，如果1个规则集超过50条，则必将会失败。规则集越简单，出现错误配置的概率就越小，所以，简单的规则集无形之中提高了安全性能。

5结束语

第5篇：网络安全分析范文

【关键词】气象网络；安全防范；等级保护；入侵防御；审计

1.引言

目前，全省气象宽带网络系统采用SDH点到点专线和VPN组网技术，连接省级中心和17个市级系统、2个管理处及63个县级系统，通过主、备方式来保证线路的可靠稳定性。省局机关地理位置与气象科技园相距约6公里，两端网络系统采用千兆光纤直接相连。通过MPLS VPN和MSTP线路与国家气象信息中心通信，将省级气象数据实时传送到国家气象信息中心。整个宽带网内利用了多种网络技术，如OSPF、BGP、IPSEC VPN、VLAN、STP、策略路由等[1]。

电视会商系统、相关预报系统及其产品、雷达资料、观测资料及办公自动化系统已经在全省气象宽带主干网络系统中传输，随着气象部门各项气象业务的发展，宽带网络系统越来越多的承担着数据收集与交换、资料共享、电视会商等重要业务系统的信息传输任务。随着网络规模逐步扩大，网络信息在逐步开放和共享的同时也来越不安全，各种各样的混合型入侵越来越多，单一的预防模式很难抵御外来的威胁。一旦出现问题将会严重威胁业务的传输和数据的安全，影响气象为防灾减灾服务。

因此如何保护重要气象资料，保障气象网络与互联网、外部网络进行正常通信成为部署气象信息网络安全设备的首要任务。

2.网络安全隐患综合分析及安全现状

2.1 网络安全隐患

国内外的相关资料显示，目前影响网络系统安全的原因主要有四种：非授权访问、信息泄露、拒绝服务、病毒的危害。

现在气象网络规模较大，大量网络设备如交换机、路由器等分布在不同的地方，全面安全管理较困难。网络中的计算机使用大量的操作系统和应用软件，系统或软件的漏洞会导致计算机成为气象网络的被攻击的后门和隐患。计算机病毒是网络安全最大的威胁，网络环境下传播速度快，有着巨大的破坏性，防范查杀较为困难。内部用户对网络资源的滥用，特别是BT等P2P的下载占用了大量的网络带宽，对正常业务的网络需求受到影响。

ARP欺骗攻击、移动存储设备传播的病毒与木马、新型恶意代码的威胁等，都曾严重影响气象网络和信息系统的安全运行。

2.2 网络安全现状

2008年，按照国家信息安全等级保护的相关要求，省气象局启动了信息安全等级保护定级工作，但目前仅完成信息系统定级阶段，安全建设现状与已确定的等级要求间也存在一定差距，这表现在物理安全情况多样；网络安全设施薄弱，网络安全防护不全面；部分人员安全意识淡薄，系统安全防护不到位；安全组织机构尚不健全，安全管理能力有限。

目前宽带网络仅通过部署防火墙实现了最基本的访问控制，对于内部网络攻击、网络异常流量、资源非法访问和网络病毒传播等都缺乏有效的应对手段，难以发现和追踪各类安全入侵事件，给整个网络的安全稳定运行带来极大的隐患。

因此需要进行网络安全检测、评估、整改和加固，同时，还必须从安全管理要求出发，建立健全管理制度、系统建设管理和系统运维管理等基本安全管理措施。

3.网络系统安全的防护策略

3.1 网络安全的需求分析

依照等级保护中要求信息系统与信息安全“同步规划、同步建设、同步投入运行”的三同步原则和安全技术要求，通过对省级网络实际情况进行分析和信息安全建设情况调研，根据省级网络结构，从网络的各层次所带来的风险进行分析，同时结合信息系统安全建设现状，有针对性地为省级信息网络系统提供安全保障，须加强环境、传输、网络、主机、应用、运行管理等方面的安全措施[2]。

3.1.1 物理环境安全需求

主要包括：机房选址、机房建设、区域控制、门禁措施、重点部位监控、电磁泄露发射保护等方面。

3.1.2 网络安全需求

信息系统的很多风险都来自网络，网络防护要求建设全面的网络安全基础设施，能够对进出本安全域的信息和数据进行严格的控制，并能够及时发现和响应各种网络攻击与破坏行为等。

3.1.3 主机安全需求

操作系统安全和数据库系统安全是深层的安全问题，需要建立病毒及恶意代码的预警和响应机制，能及时发现和响应各种病毒及恶意代码的攻击、破坏和信息泄露行为；需要提供技术手段实现操作系统漏洞的及时升级和补丁的安装；需要对用户终端采用技术手段，防治终端的病毒和恶意代码，防止违规外联；需要对安全事件的进行记录，实现对服务器和重要客户端上的每个操作系统用户和数据库用户的安全审计，并进行有效的责任认定等。

3.1.4 应用及数据安全需求

需要建立身份认证机制，保证系统敏感或重要数据的完整性、保密性和抗抵赖性等，需要实现对系统的粗粒度的访问控制和应用的细粒度访问授权。

3.1.5 安全管理需求

信息系统的安全“三分技术、七分管理”，解决信息系统的安全问题不应只从技术方面着手，更应加强安全管理工作。需要建立安全管理组织，制定相关安全管理制度、应急响应计划和应急状态下的安全保障措施等。

3.2 安全防护体系的建构

第6篇：网络安全分析范文

一、导致无线通信网络存在安全的因素

1、无线网络传输媒介本身具有的开放性。

有线网络的连接是有固定介质的，在进行网络访问的时候有固定的物理边界，所以能够对非法用户的侵入做到有效的控制。但是无线网络和有线网络却完全相反，以信号的方式将需要传达的信息发送到空气当中，当处于信号覆盖范围内的时候，若控制不好，同一频率的用户都能够接入到网络中，故无线网络传输介质所具有的开放性就决定了所发出的信号易被人所窃听，并且还不易被人发现。

2、无线终端有限性。

无线传感器的节点属于非常微小的一种嵌入型设备，这种设备成本和体积都非常小，而这种传感器内的存储器、处理器、电池、芯片等所具有的性能都有所限制。存储器以及处理器的限制直接决定了无线传感器的存储能力有限，传感器上的节点是需要进行数据转换及采集、处理等工作。而无线传感器的资源则是非常有限的，使得整个无线通信网络可能出现安全问题。

3、无线终端的移动性。

无线通信网络没有任何的线缆连接，而在通信的时候为了减少成本，有时候移动位置会发生改变，而这种改变则会有可能造成窃听这类安全问题，最终导致无线跟踪无法实现。

4、无线通信信道稳定性不强。

当前无线通信属于多信道通信，这种通信方式有效的避免了众多节点全部聚集到一个信道上最终导致的通信竞争。当全部的信道全部通信的时候，节点之间的干扰就减弱了，这时候各个节点就能够进行有效的信息交换，使得网络的吞吐量增加。而多信道也就规避了单信道可能会造成的网络瘫痪。信道的稳定性并不是十分强，有时候没有办法避免信道的干扰、信道的接入等问题。

二、提高无线通信网络安全的有效措施

1、加强加密技术的开发有效的控制无线窃听。

机密技术对于无线通信网络技术来说是最为基本的一种安全技术，透过这种技术可以将通信明文变成密文。密码体制可以分为两种，有对称和非对称之别，对称体制不但能够对保密通信进行限制，同时也能够对密钥进行有效的管理。而非对称体制因为所有的用户都有两种密码，不管是加码还是解码都需要用户验证，所以安全性也是比较高的，所以通过加强加密技术是可以达到对无线窃听有效控制的。

2、加强身份认证技术有效的控制身份假冒、信息篡改。

进行身份认证能够确保信息的完整，这种技术能够有效的防止主动攻击，而当处于无线通信这种开放性环境的时候其作用就意义重大的。进行身份认证的目的有两个，一是能够对信息接收和信息发送的真假进行验证；二是能够对信息是否完整进行验证，能够避免信息在传送等过程当中被恶意篡改，所以加强身份认证技术是能够有效控制出现身份假冒、信息篡改等现象的。

3、数字签名技术的应用可有效的控制身份假冒。

数字签名与传统的签名意义是一样的，但是这种签名和传统方式的签名是有区别的，这种签名能够在网络上进行传输、指导密匙的用户才能自动生成数字签名、一旦数字签名生成则是无法进行更改的。当前的数字签名技术大多数时候与密码技术结合在一起，当无线通信网络用户使用密码技术对信息进行签名，签名后把签名和信息同步发送给验证方，这时候验证方就能够验证数字签名的真伪对信息进行验证，而验证人要想对信息的真假进行验证，其必须具有被验证人的密匙。

总结：

第7篇：网络安全分析范文

关键词 计算机；网络安全；防范措施；趋势

中图分类号TP39 文献标识码A 文章编号 1674-6708（2011）56-0189-02

1 计算机网络安全的涵义及特点

计算机网络安全的含义随网络使用者的变化而变化。从本质上来讲，网络安全主要包括网络系统的软、硬件以及网络传输信息安全性等方面。计算机网络安全不仅技术方面的问题，还有管理方面的问题，两方面是相辅相成的关系，缺一不可。当前，受人为攻击等因素的影响，计算机网络安全面临着新的挑战。网络安全的特征主要体现在系统保密性、可用性、完整性以及可控性等方面。

1）保密性。信息的保密性是指网络信息只供授权访问的用户使用，而不会泄露给未经授权的用户、实体利用。通常情况下，网络信息的保密性需通过加密技术来实现；

2）可用性。为计算机网络用户提供服务作为网络系统最基本的功能，网络信息只能被授予访问权限的用户使用，即需要网络信息服务时，允许授权用户使用的特性。网络信息的可用性多通过系统正常使用与全部工作时间之比进行衡量；

3）完整性。网络信息未经授权不得改变自身特性。即信息在存储及传输的过程中应保持完整与真实性，不应发生改变及丢失的情况。网络信息的完整性是要求网络信息实现正确生成、正确存储与正确传输；

4）可控性。计算机网络传播的信息内容具有可控制能力的特性。这能够避免不良信息经公共网络的传输，确保计算机系统受到攻击或破坏时，网络信息能够实现自动恢复和控制。

2 影响计算机网络安全的因素

计算机网络安全包括通信、数据运行以及管理人员的安全意识三部分。这其中任何一方面出现问题都将会对整个网络的正常运行产生影响。

2.1 计算机网络自身的技术缺陷

在计算机网络的软、硬件设计过程中，受网络设计技术缺陷的影响，计算机网络信息安全存在着诸多隐患，作为当前使用范围最广泛的Internet信息网，对于网络安全性的宽泛要求虽大大方便了各种计算机入网运行，提高了网络共享资源的利用效率。由于对通信协议最基本的安全机制缺乏足够认识，在制定TCP／IP协议时，往往会忽略身份认证、加密等影响通信路径安全性的因素；网络在发送信息的过程中所包含的源、目标地址以及端口信息会造成计算机网络的远程用户非执行根与执行根文件的传送安全漏洞的产生。

2.2 计算机病毒的影响

计算机病毒以计算机网络为传播载体，造成的安全危害越来越引起人们的重视。网络安全威胁多来自于邮件以及文件下载，邮件病毒具有种类繁多、传播速度快以及影响范围广等特点，具有极大的危害性。通过通讯簿散发病毒、泄密信息的特性使得邮件病毒已成为当前网络病毒防治的重中之重。

2.3 计算机网络系统内部安全威胁

网络系统内部安全影响因素主要包括网络系统软硬件设计、使用不当，系统自身的脆弱性以及因人为因素所造成的网络配置信息的泄露、网络信息窃取等方面。计算机网络系统内部安全威胁会对计算机网络安全产生严重影响。

2.4 电磁辐射引起的信息泄漏

计算机网络能够经过地线、电源线以及信号线将电磁信号以及谐波转化为电磁辐射，电磁辐射物会对计算机网络传输的数据产生破坏作用。电磁辐射主要包括网络电子设备电磁辐射、对数据传输具有破坏作用的干扰辐射源以及计算机网络的终端工作时的电磁辐射泄漏等方面。这类电磁信号经接收和提取处理都能够恢复原始信息，产生信息泄漏。

2.5 网络安全管理制度不够完善

计算机网络安全要以完备的安全制度为基础，网络安全管理的失败是造成安全体系失败的重要原因。计算机网络配置不当、管理员在网络升级过程中不及时、用户口令安全度不高、在防火墙内部不通过账号认证进行拨号服务器的架设，网络用户网络安全意识不强都会对计算机网络安全产生影响。

3 计算机网络安全防范措施

3.1 加密技术

要保证计算机网络的安全性，就必须有合适的加密技术来实现计算机的安全性能，数据加密技术就是一种比较常见的方法。数据加密技术是指将原有的数据通过某种算法，转换成一种不可读的密文，并通过转换后的密文进行信息存储与传输。信息的接收者只有通过相应密匙才能获取原先的信息内容，从而实现信息的保密性。信息加密技术的关键就在于信息加密算法以及密匙的管理。通过这种技术来实现计算机的网络安全。信息加密算法主要分为对称与非对称加密算法两类。对称加密算法由于加密和解密所使用密匙的密钥相同，加密与解密速度较快，加、解密算法公开；非对称加、解密所使用的密匙不同，只有通过使用相应的密钥才能打开加密数据。相比较而言，非对称加密算法密钥不易破译，加密数据安全较高。

3.2防火墙技术

防火墙技术是当前保护计算机网络内网资源，防止外部人员侵入，进行网络访问控制最广泛使用的一种网络安全技术。防火墙能够通过对数据包中包含的目标地址、源地址、源端口以及目标端口等信息与预先设定好的访问控制规则进行匹配，只有当信息匹配成功时，数据才会被允许通过。当前最常用的防火墙为深度包过滤的状态检测防火墙。防火墙技术对于计算机网络安全具有积极的防范作用，但其对于网络内部用户威胁以及已感染程序和文件的传送的防范作用不够明显。

3.3网络入侵检测技术

网络入侵检测技术是保证网络安全的一种措施，主要是通过对收集到的操作系统网络数据包以及应用程序等相关信息分析，对所发现的入侵行为通过报警、切断入侵线路等手段进行安全防护的行为。网络入侵检测只是对网络数据信息进行监听，并不过滤数据，不会对正常的网络性能产生影响。网络入侵检测主要有异常检测与误用检测两种。异常检测不受系统限制，能够对系统及用户非正常的操作行为和计算机资源的非正常情况进行检测，具有很强的通用性。由于缺乏全面的网络扫描，异常检测虽然会对以前未出现过的网络攻击方式进行有效检测，但其误警率比较高。误用检测是基于对已知入侵行为进行检测的过程。误用检测具有响应速度快，误警率低的优点，但事先需要投入大量时间根据网络安全入侵行为建立各种入侵模型。

入侵检测分为基于网络和基于主机的两种检测系统。基于网络的入侵检测系统通过一定的检测规则对从网络中获取的信息进行安全检测，进而作出安全判断。基于网络的安全检测系统具有节约资源、实时监测响应等优点，同时信息受数据加密技术的影响，网络数据异常情况检测受到一定的限制；基于主机的入侵检测技术通过对主机系统的历史审计数据与系统日志的监督检测，发现信息入侵事件，具有入侵检测准确的优点，同时其容易漏检的问题不容忽视。

3.4防病毒技术

网络病毒技术包括病毒预防、病毒检测与病毒消除技术。病毒预防技术通过对常驻系统内存的系统控制，对病毒是否存在进行监视、判断，以防止病毒的扩散与破坏；检测技术通过对计算机病毒和文件特征两种方式进行检测，对系统是否感染病毒作出判断；消除技术是感染程序的逆过程，通过对网络病毒预防、检测，通过杀毒软件等方式，杀灭病毒。伴随网络的日益普及，计算机网络安全也越来越受到人们的关注。当前，我国的计算机网络安全已历经通信保密与数据保护两个阶段，但网络安全防范措施尚不完善，计算机网络安全主要通过防火墙技术、入侵检测技术等方法进行防范。计算机网络安全同时是一个社会问题，网络安全防范应该加强计算机网络络安全教育，提高安全防范意识，实现网络安全由被动接受向主动防范的转变。

4 计算机网络安全的发展趋势

为降低大量网络数据在计算机终端的传输风险，计算机网络安全防范业界提出了云安全技术。伴随计算机网络云计算时代的到来，网络安全受到越来越大的挑战。云计算作为一种分布式计算技术，能够通过网络计算，将计算处理程序分拆成多个较小的子程序，再经过由多部服务器所组成的系统的搜寻与计算分析后，将结果回传用户。云安全技术作为网络信息安全的最新体现，融合了信息处理和网络安全技术等多种新兴技术的防护措施。通过网状的客户端对网络软件异常行为进行监测，获取各类木马、恶意程序信息，将获取信息传送到网络服务端，将木马和病毒防治方案间隙广泛发送，从而对影响网络安全的各类信息进行科学有效的分析与处理，保障计算机网络安全。

5结论

随着科学技术的发展，计算机网络安全面临着日益严峻的形势，系统漏洞，人为的恶意侵犯以及用户自身的安全意识不强等现象的存在对网络安全产生了严重影响。对计算机网络安全进行有效防范应该从系统漏洞的及时更新，防火墙以及杀毒软件的安装，良好上网习惯的养成等方面着手，保护计算机网络用户信息，保障网络系统的正常运行。计算机网络安全问题受信息化社会发展的影响在不久的将来将面临着更加严峻的挑战。计算机网络安全防范问题，仍有大量工作需要我们去研究、开发与探索。

参考文献

[1]鹿璐.网络安全中信息加密的应用研究[J].民营科技，2009(7).

[2]徐安平.计算机网络安全管理技术的开发和应用[J].中国新技术新产品，2009(19).

[3]任占娟.大学生网络安全面临的问题及对策探析[J].四川教育学院学报，2009(7).

[4]邓学浩.会计电算化实务中存在的问题及对策[J].恩施职业技术学院学报，2010(1).

[5]龙芸菲.加强计算机网络信息安全的措施探讨[J].电脑知识与技术，2010(35).

第8篇：网络安全分析范文

随着经济的发展和科技的进步，电子商务中计算机网络安全问题成为亟待解决的问题。通过对拉动全球经济增长的电子商务主导产业的深入研究，结合电子商务行业的特点，提出了相应的改进策略，希望能够为相关人员提供借鉴。

[关键词]

计算机；电子商务；网络安全

1计算机网络安全技术在电子商务中的应用优势

现代化计算机技术主要是根据电子商务行业的特点，主要运用在认识、实验、生产等过程中，能够充分反映电子商务行业的发展过程，使得电子商务技术人员能够在发展环境中高效进行技术创新，进而激发电子商务人员进行技术创新。由于计算机网络资源主要有硬件资源和软件资源这两类，因而优化和合理配置计算机网络软件资源，对提升计算机软件的监控、管理和维护工作具有重要的实践意义。优化和创新计算机安全管理软件有利于实现计算机安全工作的合理组织，为计算机网络发展提供了完整的逻辑功能，有利于优化计算机网络安全环境，提高计算机人员的创新意识和能力，提高电子商务人员的专业素质和综合素质，有利于培养计算机技术人员在实践中发现安全问题的意识和解决问题的能力。

2电子商务中计算机网络安全的现状

电子商务中计算机网络安全问题主要有电子商务技术人员的综合素质较低，电子商务技术人员的执行力度比较弱，导致收益较少。具体而言，由于电子商务普遍存在计算机网络安全问题，因而使得电子商务人员对电子商务应用体系的构建和完善很难形成完整的认识，这十分不利于电子商务技术人员专业素质的提高。大多数技术人员在应用计算机网络技术的过程中，往往缺乏实践经验和清晰的思路。作为发展世界经济的主导性产业的电子商务产业，其电子商务中计算机网络安全技术改革虽然开启了研发空间，但是也存在电子商务中计算机网络安全功能指标不断下降的问题，严重限制了电子商务的技术创新手段，无法实现对电子商务中计算机网络安全技术服务平台的安全管理，严重制约了电子商务信息资源的有效传播。

3推进电子商务中计算机网络安全改革的必要性

随着电子商务中计算机网络安全技术的快速发展，完善电子商务中计算机网络安全技术设备的日常管理工作，有利于使电子商务充分利用计算机技术的相关资源。为了满足电子商务的发展需求，计算机网络安全技术设备的资源必须是优秀可靠的，重视电子商务中计算机网络安全设备的日常维护工作，建立一个可靠合理的电子商务计算机网络安全管理机制变得至关重要。为了保障电子商务中计算机网络安全技术在一种稳定有效的环境中推广运用，电子商务行业应当进一步提高电子商务中计算机网络安全技术人员的技术水准，使得技术人员能够熟练掌握各种计算机网络安全仪器设备的使用方法，实现电子商务中计算机网络安全技术设备维修管理的合理性，推动电子商务中计算机网络安全技术的改革，有利于保证我国电子商务的持续快速发展。

4电子商务中计算机网络安全的创新策略

4.1完善电子商务中计算机网络安全的操作规范和流程完善电子商务中计算机网络安全技术改革的操作规范和流程，有利于提高电子商务中计算机网络安全技术功能，提高电子商务中计算机网络安全信息传输的效率，实现与电子商务中计算机网络安全技术的高度融合。合理配置电子商务中计算机网络信息资源，优化我国电子商务中计算机网络安全技术的创新工作，对提升我国电子商务中计算机网络安全技术的运行效率至关重要。因而，必须优化电子商务中计算机网络安全技术改革的信息传输、定位工作，实现电子商务中计算机网络安全管理流程的不断完善。要求电子商务中计算机网络安全技术人员做好改革的计划和调查工作，合理编制电子商务中计算机网络安全技术改革的建设方案和流程。电子商务中计算机网络安全技术人员在进行改革过程中，应当明确分工，严格按照电子商务中计算机网络安全技术改革计划，促进电子商务中计算机网络安全技术改革的项目建设和验收、评价等工作的顺利进行。

4.2提升我国电子商务中计算机网络安全技术的整体质量为了实现我国信息网络技术与高效智能化电子商务中计算机网络安全技术的完美接轨，电子商务中计算机网络安全技术的管理人员应当在满足社会成员对电子商务中计算机网络结构的规模化需求条件下，不断完善电子商务中计算机网络安全技术的质量控制，实现电子商务中计算机网络传送数据的完整性和信息的安全性。因而，电子商务中计算机网络安全管理人员在提升计算机网络服务质量的同时，不能忽略电子商务中计算机网络安全技术发展的实际情况，应不断引导电子商务中计算机网络安全技术人员严格遵守计算机网络安全技术规程，不断引入现代化的计算机网络安全技术，保障我国电子商务中计算机网络安全技术改革的质量，适时融入到电子商务中计算机网络安全的管理和制度建设过程中，提升电子商务中计算机网络安全技术人员的专业性。

5结语

综上所述，电子商务中计算机网络安全技术的科学化和信息化建设对完善我国电子商务中计算机网络安全的改革策略至关重要。为了实现电子商务中计算机网络安全技术改革的科学化和现代化目标，保证电子商务中计算机网络安全信息高质量地传送，不仅有利于有效保障电子商务中计算机网络安全设备的安全运行，为未来电子商务中计算机网络安全技术的发展指明道路，还有利于提高电子商务中计算机网络安全技术的效率，促进电子商务中计算机网络安全技术的全面提高。

[参考文献]

[1]李嘉欣.电子商务中计算机网络安全改革的未来发展策略[J].科学技术，2014（11）.

[2]赵泉.网络安全与电子商务[M].北京：清华大学出版社，2005.

第9篇：网络安全分析范文

关键词：3G；移动通信技术；网络安全

中图分类号：TN929文献标识码： A

前言

随着移动通信技术的飞速发展和普及,人们对生活方式、工作方法及思维逻辑等各个方面均产生了较大的影响，人们对于该类信息技术的认识也在不断深入。移动通信中的安全问题正受到越来越多的关注。人们在得到使用移动通信的便利的同时，对通信中的信息安全也提出了更高的要求。在各种因素的作用下，如现代生活节奏加快、生活习惯、行为逻辑等，人们的零碎时间较多，而工作压力大，也使得工作的场所不仅仅停留在办公室或者家里，而是向各个零碎的时间段及各科类场所转移，因此对于信息资源的获得、处理、使用等提出了新的要求。移动通信技术的发展为满足该类要求提供了新的选择。3G移动通信技术极为现代新型的移动通讯技术，该系统功能较为丰富，不仅包括传统的语音及数据功能，也包含了电子商务、多媒体业务、互联网等多项信息服务，得到了广泛的使用。随着向下一代网络(NGN)的演进,基于IP的网络架构必将使移动网络面临IP网络固有的一些安全问题。移动通信网络最终会演变成开放式的网络,能向用户提供开放式的应用程序接口,以满足用户的个性化需求。在资源共享的同时，信息安全问题也越来越明显，引起了社会各界人士的关注。

一、移动通信的发展概况

随着信息技术的飞速发展，当今社会移动电话已经不在是奢侈品，为了满足人们对通信业务种类和数量提出的更高要求,目前移动通信系统已发展到第四代，即4G移动通信，下面简单介绍一下移动通信的发展状况及优缺点。

第一代移动通信系统是采用FDMA技术的模拟蜂窝系统,如AMPS、TACS等,其缺点是容量小,不能满足飞速发展的移动通信业务量的要求。

第二代数字移动通信系统(2G)出现于20世纪80年代后期,以GSM,DAMPS和PDC为代表。2G采用先进的数字语音编码技术,使在保证话音质量的前提下可以大大减少通信带宽的需要。从而提高网络频段资源的利用效率；差错控制技术可以用来增强网络抗干扰能力；2G网络在频分复用(FDMA)的基础上又采用了时分多址(TDMA)来增加网络容量。在2G移动通信系统中,安全性得到了提高,通过加密方式来传送用户信息,对移动用户的认证采用了询问-响应认证协议,对通话内容也进行了加密(无线链路段)。尽管2G系统在安全性方面有了大的进步,但它还存在许多不足和安全缺陷。如采用单项认证,伪基站,加密算法不够强。

第三代移动通信系统IMT2000，即3G，是国际电信联盟(ITI-J)在1985年提出的，当时称为FPLMS(未来公共陆地移动通信系统),在1996年更名为IMT-2000。相比于2G移动通信系统，具有全球普及和全球无缝漫游；具有支持多媒体业务的能力，特别是支持Internet的能力；便于过渡和演进；高频谱利用率；能够传送高达2Mbit/s以上的高质量图象等特点。

除上面这些特点外3G网络强调业务能力的实现，突出业务网络的分层结构，提出业务网络的概念；2G网络强调端到端业务的实现，基本不提业务网络的概念。另外，3G网络在业务范围方面包括短信、语音、补充业务、智能网业务、移动数据增值业务(含MMS,WAP等等)。但在技术实现上，3G业务网络与3G承载网络相对独立，3G承载网络提供基本语音业务、承载业务及补充业务，并且3G业务网络重点提供数据业务及移动智能业务。

二、3G通信系统的网络安全漏洞及需求

1、3G通信系统的网络安全漏洞

3G是一个崭新的系统,随着该系统的进一步发展,一些威胁3G移动通信系统的问题开始出现，如利用网络协议和系统的弱点进行非授权访问、非授权处理敏感数据、干扰或滥用网络服务,给用户及网络资源埋下了一定的隐患。随着网络的IP化和终端的智能化,这种安全威胁日益严峻。其威胁方式主要有以下几种。

窃听：在无线链路或服务网内窃听用户数据、信令数据及控制数据；资源耗尽：攻击者通过使网络过载,使合法用户无法访问；伪装：攻击者伪装合法身份,诱使用户和网络相信其身份合法,从而窃取系统信息；流量分析：主动或被动流量分析以获取信息的时间、速率、长度、来源及目的地；破坏数据完整性：通过删除、插入、修改、重放、用户数据或信令数据使数据完整性遭到破坏；否认：用户否认业务费用、业务数据来源及发送或接收到的其他用户数据,网络单元否认提供网络服务；非授权访问服务：攻击者通过伪造成网络和用户实体,对系统服务进行非法访问，或者用户滥用权限获取对非授权服务的访问。

2、移动网络的安全需求

随着移动网络逐步深入到人们的生活，用户对移动网络的依赖性日益增加，用户的安全需求因此也日益严格，其中主要包括:

(1)用户身份的匿名性:现有GSM系统的移动终端在接入网络的过程中，要求移动终端以明文方式发送自己的国际移动用户标识号IMSI，这样很容易造成造成用户身份的暴露，给用户带来受到攻击的可能性。

(2)双向认证:基于单向认证的第二代移动网络安全机制没有考虑用户对网络的认证。并且在安全性要求较高的增值业务中，双向认证的需要尤为迫切。

(3)机密性:根据现有SIM卡计算能力和终端低能耗的要求，对称密钥加密算法仍然是最现实的；椭圆曲线密码体制（ECC算法）由于其满足移动终端的计算能力和能源消耗的特点，具有相当的潜力。

(4)完整性:完整性能够保证消息在传输过程中不会被篡改。

(5)新鲜性:可以采用时间戳服务来保证消息的新鲜性。新鲜性是防止重传攻击的重要手段。

(6)不可抵赖性:可以防止接收方或发送方抵赖其所传输的消息。

三、3G通信网络的安全分析

1、规划总体网络

网络的规划主要内容有划分安全平面，并在不同安全区域的边界或者哥哥安全区域的衔接位置是进行网络的整合或者保护，如分配IP地址、将不同的网络或者服务区进行有效的隔离并适当增加设备，已达到扩容的目的。网络规划的主要作用是在组合网络时直接解决安全问题，环节大流量对于系统的压力，或者改善网络环境，方便实施相应的管理措施，解除网络中潜在的缺陷或者安全隐患，降低安全问题出现的概率。

2、通过身份认证

身份的认证是鉴别用户的最为直接的方式之一，能够保障用户的可信性及可靠度，但是如果在认证的过程中首先将其中一方当做可信的，而将双向的认定则会变化为可信一方向需要认证一方的单项行为，系统也会可能会被欺骗，或者拒绝服务等鉴于双向认证的流程较多，较为繁琐，成本高，因此通常在一方已经属于可信的条件下，也可以将双向认证简化为单项认证，以节约资源，减少开销，降低成本。