常见的网络安全防护措施精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的常见的网络安全防护措施主题范文，仅供参考，欢迎阅读并收藏。

第1篇：常见的网络安全防护措施范文

关键词：网络安全 问题 对策

1 什么是计算机网络安全问题

国际标准化组织将计算机安全定义为：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。完整性，即保证非授权操作不能修改数据。有效性，即保证非授权操作不能破坏信息或计算机数资源。网络系统安全包括网络安全和信息安全。那么网络安全指基于网络运作和网络间的互联互通造成的物理线路和连接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全等几个方面。信息安全指数据的保密性、完整性、真实性、可用性、不可否认性及可控性等安全。

2 计算机网络安全的现状

网络安全问题不容忽视，诸如有意或无意地修改或破坏系统，或者在非授权和不能监测的方式下对数据进行修改的数据完整性破坏行为；利用计算机信息系统的广泛互联性和匿名性，散步错误的信息以诋毁某个对象的形象和知名度的诽谤行为；以及在网络系统中，读取网上传输的数据，安装通信监视器和读取网上的信息等，不得不让人们引起足够重视。

2.1互联网犯罪行为严重

互联网进入人们生活的各个角落，人们很多事情都需要通过网络来完成。正因为这样，网络犯罪也越来越普遍。人们利用网络盗取别人的信息，对用户的保密信息、财产等造成严重损失。

2.2用户安全意识不强

对于互联网用户应该加强安全意识，所有用户要有自身网络保护意识，还要注意自身的网络行为是否给他人造成危害意识，有时用户的不经意行为就会造成其他用户的安全威胁。

2.3黑客技术发展迅速

互联网不断发展，商业活动越来越多，现在出现的很多病毒都是带有商业利益的，病毒的方式有木马、蠕虫、间谍程序等，导致网络中的信息和数据被盗取。黑客之所以能给用户数据带来威胁，因为它能使病毒进行伪装和隐藏，以致于一般的杀毒软件无法检查并查杀病毒。计算机网络安全的防范对策网络安全与网络系统息息相关，要想确保计算机网络能够安全稳定运行，应从以下几方面着手。

3 对计算机网络安全问题采取的几点防范措施

3.1管理安全对策

作为计算机安全运行的重中之重，管理问题尤为重要。人是操作计算机系统的主体，因此人为操作失误也是影响网络安全运行的主要因素之一。基于此，必须建立健全网络管理机制，只有实现人为操作规范化管理，才能够有效避免人为操作失误安全隐患。此外，还应采取有效措施提高计算机管理人员的安全防护意识，并制定一套行之有效的网络安全应急防护方案。

3.2计算机系统的安全对策

随着网络时代的到来，计算机信息技术也得到了飞速发展，不过随之而来的是计算机病毒的传播也呈现出多样化趋势，要想确保计算机网络运行的安全可靠性，不仅仅要进一步提升广大计算机用户的安全防护意识，更为重要的是加大对计算机病毒的防护力度。常见的计算机系统安全防护手段主要有以下几方面：计算机用户不要随意打开或进入具有欺骗性的邮件或网站；加强对计算机病毒防护知识的学习，及时发现并解决计算机异常问题，以便有效预防计算机病毒攻击，确保计算机系统安全稳定运行。另外，对于一旦遭受病毒攻击就会造成巨大经济损失或其它损失的网络用户而言，应及时做好系统备份工作。

3.3计算机实体的物理防护对策

计算机物理安全很容易被人们所忽视，事实上，包括计算机硬件以及通信线路等在内的一些实体设备的安全防护也会对计算机系统安全运行产生直接影响，如果这些实体设备出现不同程度的故障，很可能会导致网络安全隐患。为有效预防雷电和强电对网络系统的干扰，技术人员往往通过增设避雷设备解决该问题，并利用电磁屏蔽技术有效避免电磁泄漏现象的出现，与此同时，还应做好对计算机设备的日常维护工作，确保防火、防震、防静电以及防尘等措施全部落实到位，为计算机系统安全可靠运行提供有力保障。

3.4网络控制对策

加强对网络的有效控制是确保网络安全的主要手段。（1）对网络设置访问权限。为有效解决因人为非法操作所造成的网络安全隐患问题，应对网络设置访问权限。加强入网控制是目前较为常见的网络控制手段，例如用户实名制登录、身份验证、口令验证等等。另外，还应对用户以及用户组的访问权限进行合理设置。（2）加强网络防火墙的控制。防火墙技术是保障网络安全的重要技术手段。该技术主要是通过对内网和外网进行有效隔离，并对这两个网络通信时的访问尺度进行有效控制来确保网络安全。过滤防火墙和防火墙是当前常见的防火墙技术：①过滤防火墙：利用路由器来阻挡外网对内网的非法入侵是过滤防火墙的主要作用。②防火墙：服务器技术是防火墙的最核心技术，服务器会对外部网络向内网发送的数据和请求进行过滤，只有符合过滤规则的数据才会被传递至真实的服务器，这样能够有效预防非法数据的传输。虽然防火墙技术能够进一步增强网络的安全可靠性，但该技术也无法确保网络的绝对安全，其自身也会面临被计算机病毒入侵的安全隐患，基于此，我们应将防火墙技术与其它安全防护技术有机结合在一起，从而使计算机网络安全得到进一步提升。

4 结语

据相关机构调查结果表明，未对自己网络制定专门的安全防护对策，仅仅通过较为简单的安全防护手段来确保网络安全的企业比例高达 55%，并且这些简单的安全防护措施之间很容易出现相互矛盾或相互重叠等方面问题，这样既导致网络的服务性能大打折扣，又无法确保网络安全可靠运行，因此，我们应加大网络安全管理力度，提高网络管理人员的安全意识，并加强网络安全技术的研发与应用，只有如此才能确保计算机网络安全可靠运行。

参考文献

[1]杨国文.网络病毒防治技术在计算机管理中的应用[J].网络安全技术与应用，2011（9）

第2篇：常见的网络安全防护措施范文

 

本文将在分析计算机网络安全隐患的基础上对如何做好港口码头区的网络安全防护进行分析阐述，并在此基础上提出了一些解决的措施以确保港口码头区网络安全、可靠的运行。

 

随着科学技术的发展以及计算机应用的普及，网络安全已经成为了广大群众关心的重点问题，随着各种网络安全问题频繁曝出使得计算机网络安全的形势更为严峻。做好港口码头区的网络安全防护对于保护港口码头的信息安全与促进港口码头的经济快速发展有着十分重要的意义。

 

1 计算机网络安全简述

 

随着经济以及科学技术的快速发展，信息化已经成为了推动社会发展的重要推动力，网络已经深入了居民生产、生活的方方面面。计算机网络安全从广义上说是要确保计算机用户的个人信息不泄露，从狭义上讲是指要在确保计算机系统正常运行的前提下，对计算机系统中的数据和计算机的软、硬件加以保护，从而使其在任何情况下免遭任何形式的的泄露、更改和破坏。

 

因此，计算机用户的利益与计算机网络本身的安全密切相关，保护好计算机网络安全就是保护好计算机用户的切身利益。为做好计算机的网络安全防护，可以从三个方面入手：(1)加强对于接入端的控制，这主要是针对计算机网络的进入权限进行设定和控制，对不具有相应权限的用户禁止接入，在接入端控制的过程中主要采用的是加密技术来用于接入控制系统的设计。

 

(2)安全协议，安全协议主要了为了确保通信协议的安全，但是一个安全通信协议的设计极为复杂，为了确保网络通信的的安全，一般采取的是找漏洞分析法、经验分析法和形式化法相结合的方式。(3)增加网络安全信息的保密性，计算机网络安全核心目的就是为了向用户提供安全可靠的保密通讯，因此，需要加强计算机网络用户的保密信息的确认，增强其保密性，从而加强计算机网络信息安全。

 

2 计算机网络安全所面临的威胁

 

现今，随着计算机网络覆盖的范围与人群越来越广，所面临的网络安全环境也越来越复杂，从而使得计算机网络安全面临着极大的不安全性。在对计算机网络安全威胁进行分析的基础上发现，造成计算机网络安全问题的原因除了人为因素外，最大的安全威胁来自于计算机系统本身所具有的漏洞。

 

总体来说，对计算机网络安全造成安全隐患的因素主要集中在以下几个方面：(1)计算机网络安全问题最大的威胁来自于计算机系统本身所具有的漏洞，现今所使用的系统由于受到科学技术发展水平的限制，并不存在一种绝对完美的计算机网络系统，同时由于广大用户缺乏专业的知识，使得计算机网络系统中的漏洞何难被用户察觉和修补，从而为计算机网络信息安全埋下了极大的安全隐患。同时，在同步和文件处理方面，计算机系统程序由于自身所存在的缺陷，使得其在应对网络攻击以及网络安全威胁时常常显得力不从心，攻击者可以在计算机信息处理的过程中在计算机外部展开入侵，并利用这些机会干扰到计算机程序的正常进行。

 

其次，计算机外部的网络安全环境日益恶化，其来自于外部网络的安全威胁时刻影响着计算机的信息安全，近些年来，由于计算机入侵而导致的信息泄露事件日益频发，前一段事件所曝光的油箱用户信息大规模泄露事件所引发的一系列网络安全问题为我们敲响了警钟。

 

在计算机网络安全的威胁中，来自于系统外部的问题是除了计算机系统本身这一安全漏洞外所面临的另一安全威胁.总的来说，计算机系统外部的网络安全威胁主要来自于三个方面：(1)各种间谍软件的威胁，此种软件是由黑客设计出来的专门窃取存储于计算机网络系统中的各种数据信息的软件，其具有极强的攻击性，这些间谍软件甚至于还能够隐蔽与系统中对用户在上网时的数据进行监视，从而达到窃取用户信息的目的。

 

同时间谍软件潜藏在计算机网络系统中还会对计算机的性能造成严重的影响。(2)计算机病毒所造成的威胁，计算机病毒是长期存在于网络中的一种毒瘤，与间谍软件一样成为困扰计算机网络系统发展的难题。相较于间谍软件等，计算机病毒对计算机网络所造成的安全威胁更为突出、也更大。计算机病毒具有传播速度快、范围广、危害大等的特点，其直接攻击计算机系统，造成计算机系统的损坏，使得计算机用户的信息与资料等丢失，严重的甚至会造成计算机硬件发生不可逆转的损坏，浪费计算机用户的时间与金钱。

 

(3)网络黑客对计算机网络所造成的安全威胁，计算机黑客都是一些具有较为扎实功底的计算机网络知识的人，其为了某种目的(窃取、窥视等)使用自身的计算机知识来肆意攻击普通用户的计算机进行信息的窃取或是破坏，这些黑客由于在暗中进行，缺少监管使得其行为肆意妄为，而一般的普通用户由于缺乏专业的计算机知识无法对这种攻击进行有效的防护。找到用户计算机系统中的漏洞并发动攻击获取相应的权限或信息是网络黑客锲而不舍的目标，也是最难防御的一种网络安全威胁。

 

计算机网络所面临的威胁是多方面的，而计算机网络系统管理制度的缺陷也会使得计算机网络系统面临巨大的网络安全威胁，计算机网络系统的管理所带来的威胁主要集中在以下几个方面：(1)管理人员疏忽大意或是由于自身计算机网络知识的不足，从而使得计算机网络系统存在漏洞，使用户的信息泄露从而造成的损失。

 

(2)此外就是个别的工作人员疏忽大意或是主观行为而造成的用户信息的泄露，个别的计算机网络管理人员为了获取不法利益而私自出售计算机网络用户的个人信息，这种行为在现今的社会是较为常见的。其主要做法是将保密系统资料和文件提供给第三方或是故意泄露计算机网络信息系统中数据库的重要数据等。以上这两种行为都被归结为管理上的漏洞或是疏忽，这些都会对计算机网络造成巨大的安全威胁，同时由此所引发的计算机网络安全维护是不可估量的。3 做好计算机网络安全防护的措施

 

3.1 计算机网络安全防护的原则

 

计算机网络安全是十分重要的，尤其是计算机网络日益发达的今天，大量的数据被存储在用户的计算机中，一旦丢失或是损坏将会面临严重的后果。因此，做好计算机网络的安全与防护刻不容缓。同时在做好计算机网络安全防护时要按照以下的原则进行：(1)加强信息的高密级防范原则，在对多密级信息进行处理时，很多的计算机网络安全信息系统都必须严格遵循相应的防护原则，做好计算机网络信息的加密，必要时应当将计算机网络信息提升至最高级以应对日益复杂的计算机网络安全威胁。

 

(2)安全适度原则，现今对于计算机网络安全威胁最大的是黑客的入侵对计算机网络所造成的影响。在计算机网络的安全防护中绝对安全的网络是不存在的，现今所采取的计算机网络安全防护归根结底都只是针对具体某一方面的安全威胁进行防护，为进一步做好网络安全防护，需要分析不同网络安全威胁的特点，实事求是因地制宜的做好防护措施，做好计算机网络安全防护。(3)授权最小化原则，对于重要的计算机进行物理隔离。

 

3.2 应对计算机网络安全威胁的措施

 

应对计算机网络安全威胁最主要的是做好技术防护，提高计算机网络信息技术需要从入侵检测技术、防病毒技术、计算机防火墙的开发和计算机漏洞的修补等多方面进行，在此基础上还需要定期及时的更新计算机中的各种软件和硬件设施，将计算机网络安全防护技术做到最好，不断的提高计算机网络的安全防护性能。在用户授权访问控制和数据加密技术上，不断探索研究新的技术，通过技术的不断升级完善使得计算机网络用户的安全防护更为牢固、可靠，从而从基础端堵死网络安全威胁。

 

在最好技术防护的同时还需要加强对于计算机网络使用人员的管理，即使是在技术层面最为安全的计算机网络系统仅仅依靠技术防护也是无法应对全部的威胁，做好计算机网络安全管理制度的建设，严控一些非法行为对于计算机网络安全防护的威胁，通过建立起安全管理制度与技术的全方位防护，多方协作共同实现对于计算机网络安全的防护。

 

结语

 

现今，计算机网络应用得越来越广泛，其在为人们带来便利的同时，也面临着巨大的安全威胁，做好计算机网络安全威胁的分析与防护对于保证计算机网络用户的信息安全有着十分重要的意义，本文在分析计算机网络所面临的安全威胁的基础上对如何做好计算机网络的安全防护进行了分析阐述。

第3篇：常见的网络安全防护措施范文

一、企业计算机网络信息安全影响因素

(一)网络系统自身存在的缺陷

网络信息技术具有开放性、共享性特点，但是也正是因为其广泛的开放性和共享性，导致在系统运行的过程中存在较多的安全隐患，容易使计算机遭受攻击。另外再加上计算机信息网络所依赖的IP协议本身就存在安全性能低的问题，在工作过程中运行此协议的网络系统存在欺骗攻击、数据篡改以及拒绝服务等威胁，导致系统存在较大的安全问题[1]。

(二)病毒侵害威胁

在计算机迅速发展的同时也存在较大的安全威胁，计算机病毒是网络安全威胁形式之一。病毒侵害比其他网络安全威胁具有更加鲜明的特点。比如病毒侵害具有不可预见性、繁殖快、传染力强等特点，这些特点也给计算机病毒防护带来很大的困难。企业在发展过程中面临的病毒威胁类型比较多，主要威胁有3种：木马病毒、蠕虫病毒与黑客程序等。木马病毒是计算机网络系统中一种比较常见的病毒侵害形式，用户在使用网络的过程中如果不小心激活木马病毒，病毒会在很短的时间内传播、复制，危害计算机系统和用户信息，对计算机程序有较大的危害；而蠕虫病毒的传播方式主要是在邮件发送过程中感染和复制；黑客病毒对计算机的侵害主要是通过攻击他人的电脑。

(三)恶意攻击

恶意攻击的主要方式是以不同的方式选择性的对计算机系统产生攻击，恶意攻击的主要方式有主动攻击和被动攻击。其中主动攻击是指主动破坏计算机网络信息有效性和合理性；而被动攻击是在不影响计算机正常运行的情况下进行信息的截取和拦截。这两种形式的攻击均对计算机网络系统有较大的伤害，容易导致网络信息和数据的泄露，同时网络软件漏洞也给网络黑客提供侵入渠道，导致信息网络不能正常运行，给企业造成较大的经济损失。

二、企业计算机网络信息的有效安全防护技术

(一)加强计算机系统的安全防护体系

企业在工作过程中要做好计算机安全防护，不断完善安全防护体系，提高网络运行安全。完善计算机安全防护体系主要包含完善计算机查毒软件、防火墙及网关等。主要是因为计算机病毒及其它损害形式虽然对计算机的危害性比较大，但是这些病毒和危害能够通过一定的形式进行预防和控制，比如通过杀毒软件的安全和防火墙的建立能够实施防护计算机外部侵害，平时对这些系统进行实时更新处理，能够有效控制计算机网络病毒侵害，提高计算机系统的安全性能。

(二)加强病毒检测技术的研发

计算机病毒和其他系统侵害形式均对计算机系统具有较大的侵害，企业计算机系统的安全防护应该做好病毒检测处理，通常根据一定的判断方式做好计算机病毒侵害的判断，病毒的判断依据是：如果计算机出现不明原因的自动重启、桌面图标变化、计算机在运行过程中出现不明死机现象、系统运行中出现内存不足提示等等，出现上述描述的一种或多种，均表示计算机系统中存在病毒程序，提示需要做病毒查杀工作。

(三)计算机杀毒软件的安装与应用

计算机病毒对计算机系统的危害性很大，企业计算机要安装专业的杀毒软件，杀毒软件安装后能够对计算机进行自动定时查毒和杀毒处理，这种杀毒软件对于潜藏在计算机内部的病毒有很大的杀伤力度，能够起到预防计算机病毒复制的作用。用户在使用杀毒软件的过程中要注意杀毒软件的实时更新工作，以便查毒过程中不会遗漏新型病毒，确保计算机系统的安全运行。

(四)加强用户账号安全

随机计算机网络信息技术的发展，越来越多的网络软件设计用户账号，而用户账号涉及面比较广，它包含电子账号、系统登录名以及网上银行账号等。在网络信息系统中获得合法的系统登录名和破解密码是网络系统中最主要的方法。所以在网络系统中为了减少网络安全问题，提高账户安全，首先用户可以尽可能的将系统用户登录账号设置的复杂一些，其次尽量不要在同一个网络中设置相同或相似的账号，账号的设置一般要有字母和数字混合应用，而且账号密码的设置尽可能长，并定期更换密码，以便最大程度的保障网络系统的安全。

(五)数据加密技术的应用

在计算机网络系统中数据加密技术是最主要的安全防护技术形式之一，这种技术主要是通过网络传输的信息进行数据加密，从而有效保障系统的安全性。加密技术是对网络上传输数据的访问权加强限制的一种技术类型。在数据加密中原始数据和密钥加密所产生的经过编码的数据一般被称为密文。加密的反向处理是解码，这个过程主要是将密文还原为原始明文，再此过程中解密者必须利用相应的加密设备对密文实施解密处理。这样就能够加大解密的难度，从而加强了网络信息安全。

三、结语

第4篇：常见的网络安全防护措施范文

[关键词]电力信息网络；安全防护；安全隔离技术；应用分析

中图分类号：TP393.08 文献标识码：A 文章编号：1009-914X（2016）19-0399-01

前言

电力资源是我国目前应用最为频繁的资源，其作用意义重大已然得到了举国重视，作为我国的重点行业，电力企业要想不断做好自己的本职工作，并在此基础上继续提高发展，就要顺应时代的变化作出适当的改革转变，科学技术水平的提高将网络信息化的普遍程度推广到了各行各业，电力系统也不例外，网络信息化极大地改善了电力系统工作的状态，提高了供电服务的质量，加快了供电服务的效率。为此具有十分重要深远的意义。但是，电力信息网络也存在着一些安全上的问题，所谓安全大过天，安全一直是电力企业放在首位的工作重点，电力资源的特殊性决定了其具有一定的危险系数，因此，要保障居民用电安全不受影响，就必须加强电力信息网络的安全管理，合理利用安全隔离技术，积极做好安全防护工作。

1.电力信息网络的安全隐患

1.1 结构复杂

电力信息网络的工作十分繁杂，为此涉及到大量的数据信息，而每一个数据信息的运算背后后关系到电力信息系统的业务工作，如果这些数据受到外界的攻击，发生了丝毫差错的话，就会危及影响到整个电力系统的发展。

1.2 缺少防护

电力信息网络安全问题直接关系到我国电力企业的发展前景，可以说在电力系统中占有着举足轻重的地位，然而，与其重要性十分不相匹配的是，我国电力信息网络缺少足够的防护措施，始终处于一种暴露状态，一旦有不法分子侵入信息网，将会控制到电力系统的数据，给电力系统工作带来损害。

1.3 认知不足

我国电力系统的很多业务人员工作年限都非常长，不缺乏实际工作的经验，但是由于年龄增加，对于新事物的接受能力越来越弱，对于先进科学技术与科学设备的应用能力较差，且缺乏对其重要性的认知，因此其技术水平仍然止步不前。在工作上难以得心应手，而且没有良好的、积极的工作态度。

2. 网络安全隔离技术的概述

网络隔离技术所利用的原理是，将两个，或者两个以上的计算机或网络，处于一种断开连接的状态，即使如此，仍然能够实现信息交换与资源共享。那就意味着，一旦将安全隔离技术应用在电力信息网络时，就对电力信息网络实行了物理隔离，让其既能在安全的环境下继续工作，又能保障不受网络稳定性的影响，提高信息交换与资源共享的效率。保证了数据的准确性，也就保障了电力系统服务工作的质量。目前我国网络安全防护工作主要还是采用病毒软件、防火墙等工具方式进行，防病毒软件的应用是安全防护的最常用措施，针对性很强，但是需要不断更新。相比而言，安全隔离技术是具有很大优势的，如何将安全隔离技术优势发挥到最大，就要在实际应用中保证技术的合理与达标。

3. 安全隔离技术在电力信息网络安全防护工作中的应用分析

3.1 通用网闸类技术

通用网闸类技术指的是利用两个完全独立的计算机来处理系统两端连接的不同安全等级的网络，这样的话，在两套完全不一样的系统中，进行数据的交换往来，就能够确保内网、外网都做到同步隔离。通过对http协议进行数据分析，来实现数据访问安全的控制。

3.2 双网隔离技术

“网闸类技术的安全强度能够满足信息网隔离要求，但这种技术适合于各个业务系统分别布置在不同的分级区域中，而且这种装置还无法对数据库专用通信协议进行解析和强过滤，不能满足现有电力信息内外双网隔离的架构与需求。”[1]与网闸类技术相比，双网隔离技术在应用强度上要更胜一筹，将电力信息系统中不同业务信息进行分类处理，采取内外双网方式进行隔离，信息外网与因特网采用防火墙相连，安全防御的等级较低，容易受到病毒等因素的危害，但是外网与内网之间不存在网络关系，所以内网的安全防护等级非常高，适宜存储电力系统中各业务的重要数据。

3.3 其它常见安全隔离技术

除了上述两种隔离技术，数据库审计类技术和隔离类技术也较为常见，审计类技术主要是指对一般数据库服务器上的作出监测，采用基于协议解析的技术路线对数据库日志进行旁路分析与记录。

结论

“目前我国电力企业信息系统安全事故频发”[2]，这充分说明我国在电力信息网络化的工作中做的仍不到位，电力事业直接影响着我国经济水平的提升发展，关系到人民日常生活的用电安全，因此“电力企业需要高度重视信息网络安全”[3]工作，针对目前出现的问题，做好切实有效的防护，利用安全隔离技术让信息化系统变得更加高校安全，为用户提供放心满意的供电服务。

参考文献

[1] 陈悦.探讨电力信息网络安全防护中的安全隔离技术应用[J].大科技，2012（04）：68-69.

[2] 张敏.电力企业信息系统安全防护措施探讨[J].计算机光盘软件与应用，2013（04）：175-176.

[3] 任春雷.电力信息网络安全防护及措施研究[J].商品与质量，2016（05）.

作者简介：

1孙川，男，河南鹤壁浚县，1984年8月生，大学本科，国网河南浚县供电公司职工，工程师，主要从事电力信息，网络与安全等方面的工作。

第5篇：常见的网络安全防护措施范文

1计算机网络安全的内涵

木文所提到的计算机网络安全实际是指计算机在信息交流与文件传输中的安全性问题，主要包括了计算机的软件系统保护、硬件系统保护以及网络信息交流运行的安全性与可靠性。实行计算机网络安全的木质目的在于抗击网络上的第三者窃取重要或者是其它的网络交流信息，有效地提供一个合理、公平、环境安全的信息交流平台。另外，计算机网络安全包含着计算机技术以及计算机管理两方面内容。计算机网络安全的有效应用，不仅仅合理有效地保障了信息技术的在网络平台的安全性，还给日常生活中的居民提供了一个良好的计算机安全网络平台，为广大企业与市民做出了应有的贡献。

2计算机网络安全隐患及网络安全的特点

当今社会计算机网络安全存在的隐患大多数是一些网络病毒包、木马、计算机蠕虫等计算机常见问题;再加上一些不道德的网络黑客很有可能会进行一些恶性攻击以及恶意的非法操作，更是加重了现今计算机网络的不安全性。由于一些好奇心比较强的用户’在强烈好奇心驱使下’错误地进人了不该进人的网站或者领域’使得该领域的管理者再使用第三方特殊软件’偷偷地潜人该计算机使用者的电脑，以窃取一些重要的机密以及一些使用者自身的私隐;还有一些内部用户利用自己的权益之便，随意地进人数据库进行肆意破坏，使得整个网络的安全都遭到了严重威胁，其损失的信息与数据是不容忽视的。尤其对于一个黑客的人侵而言，造成的损失是最为可怕的，这也是网络安全与防范控制的主要对象之一。

计算机网络安全具备以下几个主要特征：

①保密性。计算机的安全防护技术要最大限度地做到计算机网络现象的保密性。

②完整性。数据未经授权不能进行改变，信息在存储或传输过程中不被修改、破坏和丢失。

③可用性。可被授权实体访问并按需求使用。

④可控性。对信息的传播及内容具有控制能力。

3计算机网络安全的威胁因素

3.1计算机网络安全威胁因素的病毒威胁

对于计算机病毒而言，大家都是了解甚祥，其可以通过计算机使用的人员下载一些非专业网站的视频以及资料而进人下载资料者的电脑，使得下载者的电脑出现漏洞以及破坏计算机软件与硬件安全。实际上，病毒主要分为恶性病毒与良性病毒两种，其中对于良性病毒而言，下载者可以通过一般的杀毒软件进行杀毒，就可以清除；而对于恶性病毒而言，其不仅仅顽固不能使得下载得以顺利清除，而且还能自我复制，其还具有更高、更强的传染性、隐蔽性、破坏性以及寄生性等特点。甚至还可以通过下载的电脑传播给其它的网络用户，给别的用户带去不良的影响。另外，顽固性病毒还对下载者电脑的硬件造成一定的破坏，影响计算机的正常使用，给使用者带来诸多不便。因此，对在网络安全运行中计算机病毒的防范，刻不容缓。

3.2计算机网络安全防护技术中关于黑客攻击的问题

对于黑客攻击而言，是影响整个网络安全防护技术中最重要的一个因素。由于黑客攻击都是未经法律许可以及主人的许可就私自进人管理者电脑，去恶意破坏电脑管理者硬件系统与软件系统，使得管理者的电脑信息安全出现严重的漏洞与隐患。另外，黑客还可以利用木马程序、隐藏指令以及种植病毒等恶意手段对用户的电脑进行控制，进而窃取用户的信息资料，给计算机网络用户带来极大的危害。

3.3计算机网络信息仍缺乏有效的保护措施

现今由于计算机网络的快速发展以及应用范围的扩大，使得我国的计算机网络信息在传输与管理上就存在了很大的传输危害以及安全隐患。再加上，我国计算机网络信息的保护安全措施仍存在问题，相关的保护技术也相对薄弱，这些因素都给计算机信息安全传输与交流带来一定的安全隐患。

3.4计算机的系统仍有漏洞

对于计算机的应用软件而言，其系统中仍有不少系统漏洞存在。对于计算机的系统漏洞而言，本身对计算机没有任何的网络威胁以及病害产生，但由于计算机整体的安全网络存在漏洞，这在一定程度上给黑客、不法分子以及软件所带木马以及病毒提供了空隙，使得这些不法分子更容易窃取用户计算机上的数据信息，给计算机网络安全带来很大的隐患。

4计算机网络安全防护技术

4.1 计算机网络安全防护技术中的防火墙技术

对于一个计算机的防火墙而言，主要是指在计算机网络以及网络安全域之间构建一个一系列部件的组合，这是网络安全防护的第一道屏障，是电脑管理者可以自动控制的唯一安全保障之一。另外，防火墙不仅仅是计算机网络中信息进人电脑的唯一通道，还是电脑管理者进行有机管理电脑内部用户访问外界网络的唯一权限。防火墙本身具有一定的抗攻击能力，如若对电脑的防火墙进行系统整体提升以及保护，病毒以及木马就可以很快进人电脑，从而对信息进行有机窃取。鉴于以上种种优势，使防火墙技术成为了实现计算机网络安全的必不可少的基础技术。

4.2 计算机网络安全防护技术中的加密技术

计算机网络安全防护技术中的加密技术，不仅仅是保护计算机网络信息不被窃取的有效手段之一，还是保障计算机网络整体系统安全的重要手段之一。另外，计算机网络安全防护系统中还可以适当增加密钥管理系统，对整体计算机网络安全防护的信息数据进行系统性加密，以保障整个系统信息的安全性与可靠性。再加上，计算机的设置人员可以适当对计算机的节点进行加密，能够最大限度地有效对计算机的节点信息进行保护。而且端到端的加密使数据从源端用户传输到目的端用户的整个过程中，都以密文形式进行传输，有效地保护了传输过程中的数据安全。

4.3 计算机网络访问控制技术

实际上，计算机网络不仅可以实现信息数据的远程文件传输，同时，还为黑客以及病毒、木马提供了访问计算机的能力，因此我们必须对其进行严格的控制，才能更好地为计算机的网络安全防护做出应有的贡献。例如:我们可以适当对路由器进行控制，来不断增强计算机网络的局域网安全，另外，我们还可以通过对系统文件权限进行设置，以此确认访问是否合法，从而保证计算机网络信息的安全。

4.4计算机网络病毒防范技术

计算机病毒是网络中最常见的安全威胁，对于它的防护，我们可以适当地在网上安装一些网络软件，然后管理者可以在自身的电脑上进行安装，借以来保障计算机网络防护安全，尽最大努力地将网络威胁控制到最小程度。我们可以采用加密执行程序，引导区保护、系统监控和读写控制等手段，有效防范计算机病毒，对系统中是否有病毒进行监督判断，进而阻止病毒侵人计算机系统。

4.5 计算机系统的漏洞扫描及修复技术

对于一个计算机系统而言’如若在其系统中存在一定的网络漏洞’势必会使得计算机网络出现一定的安全隐患。因此’计算机网络的管理人员一定要定期对计算机系统进行整体、全方位的系统漏洞扫描，以此来不断检査确认计算机系统在当前状态下是否存在着系统漏洞;如果软件扫描发现存在系统漏洞，就要及时进行修复，来最大程度地避免被黑客等不法法子所利用。

4.6计算机要进行备份和镜像技术的应用

管理人员要想提高计算机网络信息的安全性，不仅要掌握防范技术，还需要做好数据的备份工作，一旦计算机系统发生故障，就可以利用备份的数据进行还原，避免数据信息丢失。还可以采用镜像技术，当计算机系统发生故障时，可以启动后镜像系统，保证计算机系统可用。

第6篇：常见的网络安全防护措施范文

关键词:网络工程;安全技术;应用

近年来，伴随着网络信息市场规模的迅猛发展，各种针对网络的违法犯罪活动的可能性也在不断增加，而一段时间以来曝光的各类网络诈骗、信息泄露以及网络攻击事件也在提醒着人们必须告诉重视网络实践中各种潜在的风险，切实利用好各种网络安全技术，最大限度地有效规避信息时代中的各种网络风险。

1网络工程实践中的一般安全技术分析

网络工程实践中的安全技术伴随着网络工程的发展而不断完善，目前总结来看网络工程实践中的安全技术主要分为以下几大类：

1.1攻击

所谓攻击，是指应用各种杀毒软件工具对可能影响计算机网络正常工作的各类病毒进行反攻击和查杀，从而达到保护计算机并保证计算机正常工作的目的。一般来说，由于该技术应用较为普遍且一般仅能满足小众型用户的网络安全需要，因而只是一种最基本的网络安全技术手段。

1.2预防

所谓预防，主要是指利用相应的网络技术手段来防止计算机内部信息的泄露及数据信息破坏。目前来看，计算机内部信息的泄露途径主要有黑客恶意访问、恶意软件等等，因此为有效计算机网络内部信息的泄露及破坏，一般主要采用网络信息密码技术和防火墙技术，其中密码技术是当前网络安全尤其是网络信息安全的重要技术之一，采用加密技术后的加密网络，不仅可以有效阻止非授权用户的搭线窃听及非法访问行为，同时也是有效应对各类恶意软件的可靠途径，目前，通常情况下的加密行为可以在通信的三个层次来实现，即分别是链路加密、节点加密和端到端加密三种；防火墙技术则是专门在公网和专网、外网和内网之间搭设的一个技术性的保护措施，其可以有效拦截来自外部网络的各种网络攻击，包括内网的网络安全，随着防火墙技术的快速发展，目前的防火墙技术已经相当成熟和完善，其中主流的防火墙技术主要有包过滤技术、应用技术和状态监测技术三种。

1.3监测

这里的监测主要是指对网络工程内外部环境进行实时监测，以确保计算机网络能够正常工作，目前网络工程中进行监测使用较多的主要是IDS即计算机网络入侵检测系统，以旁路为主，对计算机网络进行实时监控，一旦发生可疑情况及时报告或者采取有效措施来进行应对，同时还可以对来自网络内部的各种攻击进行积极主动的观测，这是相比较于防火墙技术IDS的独特优势所在。

1.4控制和管理

控制和管理也是网络工程中常用的安全技术，所谓控制是通过运用本地监测软件等对网络工程运行情况进行定期和不定期的扫描，以及时发现并处理各种漏洞及风险，而管理则是通过虚拟网、VPN技术等对计算机网络的运行进行安全管理和维护，防止各类安全问题的出现。

2网络工程实践中安全技术的应用分析

随着网络工程实践的不断延伸，网络工程实践中的安全问题也逐渐受到人们的高度重视，尤其是在当前越来越趋于复杂的网络安全发展态势下，要想真正确保网络工程的安全使用，笔者以为，必须要建立起一个立体化的网络安全防护体系，这一体系应该涵盖计算机网络工程的软件、硬件乃至管理等诸多方面，彼此之间相互配合协调，真正实现网络工程的安全使用。根据当前网络工程风险的来源的不同层次，笔者主要从网络工程的网络层安全、应用层安全及管理层安全三个角度来论述网络工程实践中安全技术的应用。

2.1网络工程的网络层安全防护

网络层安全是网络工程中安全防护的重要区域，例如来自网络上的计算机病毒以及来自局域外的恶意攻击等等，都会对网络工程的安全使用造成巨大威胁，因此对于网络层的安全防护，除了必须采用相应的防火墙技术以外，还应积极主动地安装相应的IDS系统和IPS系统，及时发现并积极处理各种来自网络层的安全风险，确保计算机网络工程网络层方面的安全。

2.2网络工程的应用层安全防护

除了网络层方面的风险以外，应用层安全也是网络工程日常维护中需要重点加强安全防护的区域之一，常见的应用层网络风险主要由于人为应用而产生的一些漏洞，这些漏洞一旦被非法利用则有可能对网络工程的安全带来风险，例如有的计算机编程人员为省时方便而在软件中存留有一定的漏洞，这些漏洞的存在就极有可能被其他人员获取，因而会成为黑客等不法分子的首要攻击目标，因此必须在日常维护中利用交换技术、虚拟网及VPN等技术来对网络工程中的各种软件进行定期和不定期的扫描，一旦发现潜在漏洞及时填补。

2.3网络工程的安全管理防护

网络工程实践中安全技术的使用主要靠工作人员来完成，因此管理者在网络工程的安全防护方面发挥着不可替代的关键作用，在日常工作过程中，工作人员要积极主动地强化对各类网络安全技术的熟悉，能够及时发现网络工程实践中存在的各种现实和潜在的风险，有针对性地进行安全维护，同时还必须不断提高自身的网络安全意识，切实做好网络安全管理工作。

3总结

总之，在当前日趋复杂的网络工程安全领域，仅仅依靠简单的被动式防御已经不能很好地适应今后的网络工程安全防护工作需要，加快构建包括网络工程的网络层、应用层以及安全管理在内的立体式、动态化以及智能化的网络工程防护体系，当是未来网络工程安全防御的大趋势，也是当下网络工程安全防护工作者所应该认真思考、积极实践的现实性问题。

参考文献

[1]杨雅颂.网络工程实践中安全技术的应用[J].电子技术与软件工程,2016(19):235-236.

[2]毕文霞.试析网络工程实践中安全技术的应用[J].黑龙江科学,2016(14):34-35.

[3]杨猛.网络工程实践中安全技术的应用探讨[J].河南科技,2015(22):11-12.

第7篇：常见的网络安全防护措施范文

【关键词】网络；安全；方案

【中图分类号】G412.65 【文章标识码】B 【文章编号】1326-3587（2012）11-0091-02

一、前言

近来，随着信息化的发展和普及，危害网络安全的事情时常发生。例如，越权访问、病毒泛滥、网上随意信息，甚至发表不良言论。这些问题需要我们引起足够的重视，规划并建设一个方便、高效、安全、可控的信息系统成为当前系统建设的重要工作。

信息系统安全建设项目，应该严格按照网络和信息安全工程学的理论来实施；严格按照信息安全工程的规律办事，做到“安全规划前瞻、行业需求明确、技术手段先进、工程实施规范、管理措施得力、系统效率明显”，因此，将按照信息安全工程学的理论指导实施用户信息网络系统安全项目的建设，从政策法规、组织体系、技术标准、体系架构、管理流程等方面入手，按照科学规律与方法论，从理论到实践、从文档到工程实施等方面，着手进行研究、开发与实施。

信息系统安全建设是一项需要进行长期投入、综合研究、从整体上进行运筹的工程。该工程学主要从下列几个方面入手来构造系统安全：

1、对整个信息系统进行全面的风险分析与评估，充分了解安全现状；

2、根据评估分析报告，结合国家及行业标准，进行安全需求分析；

3、根据需求分析结果，制定统一的安全系统建设策略及解决方案；

4、根据解决方案选择相应的产品、技术及服务商，实施安全建设工程；

5、在安全建设工程实施后期，还要进行严格的稽核与检查。

二、安全系统设计要点

有些用户对网络安全的认识存在一些误区：认为网络运行正常，业务可以正常使用，就认为网络是安全的，是可以一直使用的；网络安全几乎全部依赖于所安装的防火墙系统和防病毒软件，认为只要安装了这些设备，网络就安全了；他们没有认识到网络安全是动态的、变化的，不可能仅靠单一安全产品就能实现。所以，我们必须从网络安全可能存在的危机入手，分析并提出整体的网络安全解决方案。

1、建设目标。

通过辽宁地区网络及应用安全项目的建设目标来看，构建一个安全、高效的网络及应用安全防护体系，充分保障业务系统稳定可靠地运行势在必行。

2、设计思想。

一个专业的网络及应用安全解决方案必须有包含对网络及应用安全的整体理解。它包括理论模型和众多项目案例实施的验证。该方案模型应是参照国际、国内标准，集多年的研发成果及无数项目实施经验提炼出来的，同时方案需要根据这个理论模型及众多的专业经验帮助客户完善对其业务系统安全的认识，最终部署安全产品和实施安全服务以保证客户系统的安全。

为什么要实施安全体系？

内因，也就是根本原因，是因为其信息有价值，网络健康高效的运行需求迫切。客户的信息资产值越来越大，信息越来越电子化、网络化，越来越容易泄漏、篡改和丢失，为了保护信息资产不减值，网络行为正常、稳定，必须要适当的保护，因此要有安全投入。

其次才是我们耳熟能详的外因，如遭受攻击。当前在网络信息领域中，入侵的门槛已经越来越低（攻击条件：简单化；攻击方式：工具化；攻击形式：多样化；攻击后果：严重化；攻击范围：内部化；攻击动机：目的化；攻击人群：低龄化和低层次化），因此当入侵者采用技术方式攻击，客户必须采用安全技术防范。随着我国安全技术的逐步深入研究，已经把各种抽象的安全技术通过具体的安全产品和安全服务体现了出来。

时间和空间是事物的两个根本特性，即一经一纬构成了一个立体的整体概念，安全系统的设计也可以这么理解。

从时间角度部署安全系统，如图一，基于时间的防御模型。

该模型的核心思想是从时间方面考虑，以入侵者成功入侵一个系统的完整步骤为主线，安全方案的设计处处与入侵者争夺时间，赶在入侵者前面对所保护的系统进行安全处理。在入侵前，对入侵的每一个时间阶段，即下一个入侵环节进行预防处理。也就是说，与入侵者赛跑，始终领先一步。

从空间角度部署安全系统，如图二，基于空间的防御模型。

一个具体的网络系统可以根据保护对象的重要程度（信息资产值的大小）及防护范围，把整个保护对象从网络空间角度划分成若干层次，不同层次采用具有不同特点的安全技术，其突出的特点是对保护对象“层层设防、重点保护”。

一个基本的网络系统按防护范围可以分为边界防护、区域防护、节点防护、核心防护四个层次。

边界防护是指在一个系统的边界设立一定的安全防护措施，具体到系统中边界一般是两个不同逻辑或物理的网络之间，常见的边界防护产品有防火墙等。

区域防护相较于边界是一个更小的范围，指在一个重要区域设立的安全防护措施，常见的区域防护产品有网络入侵检测系统等。

节点防护范围更小，一般具体到一台服务器或主机的防护措施，它主要是保护系统的健壮性，消除系统的漏洞，常见的节点防护产品主机监控与审计系统。

核心防护的作用范围最小但最重要，它架构在其它网络安全体系之上，能够保障最核心的信息系统安全，常见的核心防护产品有身份认证系统、数据加密、数据备份系统等。

3、设计原则。

1） 实用性。

以实际业务系统需求为基础，充分考虑未来几年的发展需要来确定系统规模。以平台化、系统化来构造安全防护体系，各安全功能模块以组件方式扩展。

2） 标准化。

安全体系设计、部署符合国家 相关标准，各安全产品之间实现无缝连接，确实不能实现的必需采用其他技术手段予以解决，并与内部的网络平台兼容，使安全体系的设备能够方便的接入到现有网络系统中。

第8篇：常见的网络安全防护措施范文

【关键词】交换机安全；MAC地址泛洪；vlan跨越；ARP欺骗；DHCP欺骗

提到网络安全防护，大多数企业都是将防火墙、UTM、路由器等设备一层接一层的部署在企业网络的各个区域，而对于众多的交换机则很少考虑到它们的安全性。随着企业网络越来越复杂，交换机在网络中扮演着众多的角色：终端网络的接入点、路由器的连接点、甚至是核心网络的连接途径。因此，详细研究交换机的攻击方式和安全防护措施具有重要的意义。

1 MAC地址泛洪攻击的安全防护

交换机是基于MAC地址去转发数据帧的，转发过程中依靠对CAM表的查询来确定正确的转发接口，一旦在查询过程中无法找到相关目的MAC对应的条目，此数据帧将作为广播帧来处理，而CAM表的容量有限，只能储存不多的条目，当CAM表记录的MAC地址达到上限后，新的条目将不会添加到CAM表中。于是攻击者在很短的时间内不断的变换出大量的MAC地址发向交换机，引起MAC地址泛洪，而当有新的设备要发送数据时，就将泛洪整个广播域，攻击者即收到了设备的泛洪信息。

防护措施：对交换机端口接入的源MAC地址或源MAC地址接入的数量进行限制。

2 VLAN跨越攻击的安全防护

VLAN跨越攻击是指数据包被传送到不正确的端口上，数据包能够不通过三层设备跨VLAN传输。基本上VLAN跨越攻击有如下两个类型。

交换机欺骗：攻击者试图通过配置802.1Q或者ISL把自己伪装成一个交换机，通过DTP（动态中继协议）信号可以帮助攻击者完成欺骗。

双标签：是包括2个802.1Q头的传输帧标签，一个头用于（受害者）用户的交换机，另一个用于攻击者的交换机。如图1：攻击者pc1的包即写了vlan2，也写了vlan3的标签，在通过switch1时，剥离了第一层标签dot1q2，由于switch1的native vlan是2，于是数据包不打标传输到switch2，switch2收到不带标的数据包后，自动加上switch2的native vlan 3，于是攻击者pc1就能和不同vlan的pc2进行通信。

防护措施：

1）交换机未使用的端口关闭；

2）所有未用的端口都配为access，防止自动协商为trunk；

3）native vlan不能和pc使用的vlan相同；

4）所有未用得端口配为pc未用的另一个vlan；

5）在所有来历不明的端口上禁止DTP协议；

6）trunk的允许vlan不要加入native vlan。

3 DHCP欺骗攻击的安全防护

DHCP欺骗攻击是指攻击者首先将正常的DHCP服务器所能分配的IP地址耗尽，然后冒充合法的 DHCP服务器，从而获取所有PC的数据信息。

防护措施：开启DHCP Snooping，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息。

4 ARP欺骗攻击的安全防护

交换机维护着一个ARP映射表，这个表中记录了交换机每个端口所连接的设备的IP地址和MAC地址的映射关系。假如攻击者想要获取网络中某合法PC的信息访问权，它只要能接入该PC所连的交换机，然后向此PC发送一个伪造请求，把自己的IP地址伪造成网关地址，此PC收到该请求后会把该攻击者的IP地址当作网关地址，然后把所有要发送给网关的请求都发送到攻击者的机器上，攻击者再监测这些数据包，并把它们继续转发给真正的网关。由于攻击者最终还是将数据包转发给真正的网关了，合法PC无法意识到自己的数据包被截取了，因此只要攻击者继续保持攻击，该PC就会一直向攻击者转发流量，最终被攻击者获取合法信息访问权。

防护措施：1）未使用的交换机端口要关闭；2）在交换机上手动配置IP地址和MAC地址的映射关系；3）假如是DHCP动态分配IP地址，再开启了ip dhcp snooping后，开启ARP欺骗防护。

5 交换机的其他安全防护

5.1 CDP协议的安全防

CDP是思科私有协议，它工作在数据链路层上的协议，主要用来发现和查看相邻设备的简单配置信息：如网络地址、发送消息的端口或者接口信息、硬件平台、发送设备的功能、软件版本等等。通常情况下这部分信息都是明文保存的。攻击者通过一些工具就可以轻松的获得这些机密信息。因此，建议关闭CDP协议。防护配置如下：SW（config）#no cdp run

5.2 远程管理的安全防护

常见交换机的远程管理协议是telnet、http，但这两个协议传输的都是明文信息，因此，很容易被攻击者截获取得想要的信息。因此，1）建议使用ssh、https等加密管理协议；2）建立对可远程管理交换机的IP地址进行控制，可使用ACL。

5.3 密码防护

对交换机的console口、aux口、vty、enable都要设置密码。并且启用密码加密服务。防护配置如下：

在企业中，交换机大多位于网络的接入层，如果能够对交换机的安全性给予足够的重视并进行合理的配置，它能使企业网络免受绝大部分的攻击。随着交换机在企业网络中的数量和部署区域的增多，利用交换机来防范网络安全具有十分重要的意义。

参考文献

[1]海吉，罗进文，王，张媛.网络安全技术与解决方案[M].人民邮电出版社，2009.

第9篇：常见的网络安全防护措施范文

随着信息化建设的推进,目前整个IT系统的建设已经具备了相当的规模,网络、服务器、终端机和运行在上面的应用系统形成了整个业务运行的基础支撑环境,业务系统越来越依赖于IT系统,而作为整个IT基础设施中数量最多的终端机,是IT管理部门最为头疼的问题。一方面,由于计算机设备的更新和变化,对计算机设备的管理经常处于一种无序及手工统计的状态;另一方面,安全漏洞与日俱增,新的病毒充斥网络,原有的手工安装和分发升级文件包及补丁不仅需要更多的人力资源,还会造成时间的迟滞,影响运行效率,给单位带来损失;再者,非法办公软件及其他软件的使用,不但造成了生产效率的低下,也给单位的形象造成了很坏的影响。

终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加,作为网络管理技术的边缘产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。

内部网络面临安全问题

现代网络安全管理体系的日臻完善,使得对网络终端桌面安全管理的需求强烈凸现出来。正确、全面地认识终端桌面管理产品的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的问题。

近两年的安全防御调查也表明,政府、企业及金融证券等单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,网络安全呈现出了新的发展趋势,对于各政府企业网络来说,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。

提起网络安全,人们自然就会想到病毒破坏和黑客攻击,其实不然。常规安全防御理念往往局限在网关级别、网络边界(防火墙、漏洞扫描、防病毒、IDS)等方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部的计算机终端的安全威胁却是众多安全管理人员普遍反映的问题。

自2003年来,以SQL蠕虫、“冲击波”、“震荡波”等病毒的连续性爆发以及多种木马程序的蔓延为起点,到计算机文件泄密、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络频繁发生,增加了网络管理人员的工作量。一些常见的终端安全威胁随时随地都可能影响着用户网络的正常运行,这也显现出终端管理的缺乏。

对症下药主动防御

解决以上这些问题的有效方法是建立终端安全管理体系。

操作系统存在自身的弱点就是在应用中不断出现漏洞,这将形成一个变化中的安全风险,让攻击者有威胁计算机安全的可乘之机。一些蠕虫会发现并利用漏洞进入计算机操作系统。过去,我们被迫要等到爆发之后再写一个特征码来防护操作系统;现在,我们要采用混合型威胁防护,即主动式防护来保护我们的计算机安全性。

病毒、蠕虫破坏一类的网络安全事件在网络安全领域一直没有一个根本的解决办法,其中的原因是多方面的:有人为的原因,如不安装防杀病毒软件、病毒库未及时升级等等;也有技术上的原因,如杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步,危害无法避免。通过终端安全管理系统,我们可以控制病毒、蠕虫的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对网络的危害降低到最低限度。

仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。对当前肆虐于开放网络环境中的大量病毒、蠕虫威胁,必须采用多层次的安全防护策略,归结起来是:事前预防、事中隔离、事后修复和杀毒联动。

新型的网络准入控制技术(Network Access Control, NAC )是在端点连接到网络之前对它们的安全状态进行审计,并在连接到标准企业网络之前进行适当地更新,从而将蠕虫和病毒屏蔽在网络之外,也能强制执行应用级的安全策略。网络准入控制是一个过程,它通过强制执行作为网络访问前提条件的IT安全策略,来减少网络安全事件,增强对安全制度的遵从。网络准入系统通过保证每个端点在安全上不做任何妥协,阻止不安全和未授权的行为,在网络中排除未授权的设备,从而保护网络的安全性和完整性。网络准入系统通过确认设备的安全策略,创建加密的虚拟桌面环境,在会话结束后清除所有传输过去的数据,将对机密数据的保护延展到非企业所属的设备之上。

网络准入系统基于一个全新系统架构,它将整个内网安全防护策略划分为逻辑上的三个组成部分:

1. 内网边界安全防护:此部分架构实现对来自网络外部的安全威胁进行安全防护。

2. 内网安全威胁防护:此部分架构实现对来自网络内部的安全威胁进行防护。

3. 外网移动用户安全接入防护:此部分架构用于保证内部移动用户所处网络环境的变换,以及当移动用户处于外网安全防护薄弱网络环境中自身安全、接入企业网络安全。

由此可见,只有建立完整的终端安全管理体系才能有效保护我们的内部网络安全。终端安全管理体系是能够提供端点的全程、纵深端点安全保障体系(如图1所示)。

利用全新系统架构,我们建立的终端安全管理系统是一个主动的安全防御体系,与传统的解决方案有所不同(如图2 所示)。打个比方:子弹射出之后,如何阻截飞速前进的子弹,以了解我们是否有比利用磁铁来追赶子弹更好的解决方案。例如,我们可以适当采取主动的预防措施(比如防弹背心),以便在子弹导致破坏之前阻截子弹;或者为枪装一把锁,以防止子弹射出枪膛;或者我们可以使攻击者不知道向哪里发射子弹,就像在布满镜子的大厅中一样。在计算机世界,我们可能正在对付数以百万的“子弹” ―― 互联网上每时每刻存在着数百万蠕虫和混合型威胁。要阻截这数百万的“子弹”,我们必须在主机、服务器和整个网络结构中部署功能相似的各种技术,积极阻截这些威胁。