网络安全的意义精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全的意义主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全的意义范文

(1)忽视权限攻击。互联网的连接方式多样，其物理连接方式往往为攻击者所利用。攻击者可能通过连接计算机电缆的方式，顺利地侵入目标计算机，成为其超级用户并利用其root身份运行相关系统程序，实现远程控制。攻击者往往对其所控制的计算机进行程序修改，发动权限攻击。

(2)忽视系统漏洞。硬件、软件、协议实施过程和系统安全方面存在的漏洞被统称为系统漏洞，可能被攻击者所利用，发动未授权访问或者破坏系统。TCP/IP为最基本的网络配置，虽然其效率极高，但是网络安全性较差。但是如果过分地考虑安全性又会造成效率的下降。因此，这种网络配置也造成了网络安全的不稳定性，容易使计算机受到欺骗和被监听。

(3)电子邮箱管理不善。电子邮件具有公开性，这一点可以为攻击者所利用。攻击者常常发送邮件至被攻击者的电子邮箱中，令对方接收垃圾邮件。攻击者通过分析口令密码，对原文进行解读。这一点很容易做到，因为邮件采用的加密方式较为简单。

(4)忽视对病毒的查杀。计算机病毒是一种能够自我复制并侵入和破坏计算机的功能和数据的一组代码和指令。病毒的隐蔽性、传播性和潜伏性造成了其不易被发现的特点，因而对于网络安全的破坏性更大。

(5)网络管理不完善。网络的正常运行离不开管理人员的精心维护，如果维护不善很容易造成计算机设备的损坏，造成网络安全方面的问题。这些人为因素是完全可以避免的，这需要网络计算机管理人员具备应有的责任心和职业素养。

2网络安全维护过程中出现的问题的解决对策

(1)访问权限的控制。对于第一访问控制，即入网访问，其控制的主要内容有登陆服务器、获取网络资源、控制用户入网时间以及入网设备等。网络权限的设置主要是针对非法网络操作，是一种保护服务器安全的措施。在这个过程中要特别注意控制目录级别的安全以及网络端口等，防止其被攻击者所利用。

(2)及时修补系统漏洞。系统漏洞是计算机系统无法避免的，我们的管理人员所能够做到的就是及时地在杀毒软件的帮助下进行修复。可以根据实际情况安装相应的防火墙，从而阻断端口的外部访问，阻断入侵途径。

(3)对重要网络资源进行备份，进行恢复设置。备份工作在维护网络安全方面有着极其重要的作用，因为它能够防止信息的不可恢复性丢失。当然，备份系统应该做到多层次和立体式，首先对硬件设施进行防护，防止其损坏；其次，利用相关软件，结合手工修复的方式恢复系统数据和文件。只有建立多层级的防护措施才能够有效地防止信息的丢失，杜绝逻辑损坏。

(4)杀灭病毒。从范围的大小考虑，可以将杀灭病毒的方式分为两种，即单个计算机上病毒的查杀和整个网络系统的病毒查杀。单个计算机上病毒的查杀比较简单，但是整个网络系统的病毒查杀是相当复杂和困难的。对于比较大的网络，应该进行集体和集中的病毒查杀工作，做到完全覆盖、不留死角。

(5)完善网络管理。这是维护网络安全的核心问题，因此必须制定出完善的网络安全管理制度，加强管理人员的培训，提高其责任心。

3结语

第2篇：网络安全的意义范文

【关键词】3G移动通信系统；网络安全；防范措施

随着第三代移动通信（3G）网络技术的发展，移动终端功能的增强和移动业务应用内容的丰富，各种无线应用将极大地丰富人们的日常工作和生活，也将为国家信息化战略提供强大的技术支撑，网络安全问题就显得更加重要。

1.3G 移动通信系统及网络安全相关概述

3G移动通信系统即第三代移动通信技术，3G是英文the thirdgeneration的缩写。移动通信技术发展至今历经三次技术变革。3G的概念于1986年由国际电联正式提出，是将无线通信与互联网等新兴多媒体整合的新一代通信系统[1]。3G系统不仅满足了用户基本的通话需求，对于非语音业务如图像、视频交互，电子商务等，3G系统同样提供了优质业务的服务。

3G移动通信系统由于与互联网等多媒体通信结合，原本封闭的网络逐渐开放，一方面可以节省投资，另一方面便于业务升级，提供良好的服务。但与此同时3G移动通信系统的安全面临一定挑战。

构建3G系统的安全原则概括来说可做如下表述：建立在2G系统基础之上的3G系统要充分吸收构建2G系统的经验教训，对2G系统中可行有效的安全方法要继续使用，针对他的问题应加以修补，要全面保护3G系统，并且提供全部服务，包括新兴业务服务。3G系统需要达到的安全目标：保护用户及相关信息；保护相关网络的信息安全；明确加密算法；明确安全标准，便于大范围用户的之间的应用；确保安全系统可被升级，应对可能出现的新服务等。

2.影响3G移动通信系统网络安全的主要因素

3G移动通信系统的主要安全威胁来自网络协议和系统的弱点，攻击者可以利用网络协议和系统的弱点非授权访问、非授权处理敏感数据、干扰或滥用网络服务，对用户和网络资源造成损失。

按照攻击的物理位置，对移动通信系统的安全威胁可分为对无线链路的威胁、对服务网络的威胁和对移动终端的威胁，其威胁方式主要有以下几种。（1）窃听：在无线链路或服务网内窃听用户数据、信令数据及控制数据；（2）伪装：伪装成网络单元截取用户数据、信令数据及控制数据，伪终端欺骗网络获取服务；（3）流量分析：主动或被动流量分析以获取信息的时间、速率、长度、来源及目的地；（4）破坏数据完整性：修改、插入、重放、删除用户数据或信令数据以破坏数据完整性；（5）拒绝服务：在物理上或协议上干扰用户数据、信令数据及控制数据在无线链路上的正确传输实现拒绝服务攻击；（6）否认：用户否认业务费用、业务数据来源及发送或接收到的其他用户数据，网络单元否认提供网络服务；（7）非授权访问服务： 用户滥用权限获取对非授权服务的访问，服务网滥用权限获取对非授权服务的访问；（8）资源耗尽：通过使网络服务过载耗尽网络资源，使合法用户无法访问。当然，随着移动通信网络规模的不断发展和网络新业务的应用，还会有新的攻击类型出现。

3.3G 移动通信系统网络存在的安全问题

由于传播方式以及传输信息的影响，移动通信系统网络所面临的安全威胁更加严重，移动通信系统为保证数据信息的有效传播，无线电讯号需要在传播过程中进行多角度、多方向传播，并且传播必须具有强大的穿透力，和有线网络相比，其信息遭受破坏的因素会更多。3G用户的通信信息安全面临更多的威胁，由于 3G网络提供了许多新的服务，业务范围不断增加，3G移动通信系统用户可以登入互联网，通过手机终端共享网络资源，所以，来自网络的安全威胁也影响着3G 移动通信系统网络用户的通信信息安全。

相比2G系统，3G移动通信系统更易受到网络安全的威胁。因为3G系统相比之前的 2G系统数据资源量巨大，并且网络信息也比较多，有些信息涉及到金钱利益等方面，因此，不法分子以及黑客就会寻找机会，导致网络安全受到威胁。另外，3G 移动通信系统的网络开放程度比较高，所以，也给黑客的攻击创造了许多的方便条件，还有，如果3G网络软件设置有缺陷，也可能导致3G系统产生漏洞，给3G 网络带来不安全因素，造成潜在安全威胁。

4.3G 移动通信系统的网络安全防范对策

4.1 3G移动通信系统网络安全的技术

接入网安全的实现由智能卡USIM卡保证，它在物理和逻辑上均属独立个体。未来各种不同媒体间的安全、无缝接入将是研究开发的重点。3G核心网正逐步向IP网过渡，新的安全问题也将涌现，互联网上较成熟安全技术同时也可应用于3G移动通信网络的安全防范。传输层的安全因为互联网的接入受到更为广泛的重视，其防范技术主要采用公钥加密算法，同时具有类似基于智能卡的设备。应用层安全主要是指运营商为用户提供语音与非语音服务时的安全保护机制。代码安全，在3G系统中可针对不同情况利用标准化工具包定制相应的代码，虽有安全机制的考虑，但是不法分子可以伪装代码对移动终端进行破坏，可通过建立信任域节点来保证代码应用的安全。

4.2 3G 移动通信系统的安全体系结构

3G系统安全体系结构中定义了三个不同层面上的五组安全特性，三个层面由高到低分别是：应用层、归属层/服务层和传输层；五组安全特性包括网络接入安全、网络域安全、用户域安全、应用域安全、安全特性的可视性及可配置能力。网络接入安全是指3G网络系统中的对无线网络的保护。其功能包括用户认证、网络认证、用户身份识别、机密性算法、对移动设备的认证、保护数据完整性、有效性等。网络域安全是指运营商间数据传输的安全性，其包括三个安全层次：密钥建立、密钥分配、通信安全。用户域安全主要指接入移动台的安全特性，具体包括两个层次：用户与USIM卡、USIM卡与终端。保证它们之间的正确认证以及信息传输链路的保护。应用域安全是指用户在操作相关应用程序时，与运营商之间的数据交换的安全性。USIM卡提供了添加新的应用程序的功能，所以要确保网络向USIM卡传输信息的安全。安全特性的可视性及可配置能力是指允许用户了解所应用的服务的安全性，以及自行设置的安全系数的功能。

4.3 3G移动通信系统网络安全的防范措施

首先，个人用户应加强安全意识，对于不明信息的接收要慎重；确保无线传输的对象是确定的安全对象；浏览、下载网络资源注意其安全性；安装杀毒软件等。其次，企业用户大力宣传3G系统相关的安全知识，建立完善的管理及监管制度。最后，电信运营商要从用户、信息传输过程及终端等各个方面保证自身及用户接入网络的安全性。手机等移动终端已渗入日常生活的各个方面，3G移动通信系统的网络的安全性影响更加深远，也将面临更多的挑战。

5.结语

3G系统的安全以第2代移动通信系统中的安全技术为基础，保留了在系统中被证明是必要和强大的安全功能，并且对系统中的安全弱点做了很大的改进，同时也考虑了安全的扩展性。网络安全问题是系统的一个重要问题，只有保证所提供业务的安全性，才能获得成功。系统的安全要提供新的安全措施来保证其所提供新业务的安全。

【参考文献】

[1]曾勇，舒燕梅.3G给信息安全带来前景[J].信息安全与通信保密，2009，21（4）：45-47.

第3篇：网络安全的意义范文

关键词： 下一代网络； NGN； 网络安全； 应对措施

中图分类号： TP393.08 文献标识码： A 文章编号：1009-8631（2010）06-0154-02

一、前言

随着我国信息产业的迅猛发展，信息技术已经逐渐成为主导中国国民经济和社会发展的重要因素。当今，世界各国都在积极应对信息化的挑战和机遇，信息化、网络化、数字化正在全球范围内形成一场新的技术、产业和革命。大力发展信息化，其中一个重要的问题就是信息安全问题，它不仅仅是一个IT网络安全的问题，从大的方面来说，信息安全问题直接关系到国家安全。

互联网的高速发展推动了整个社会进入信息时代的进程，同时也改变了人们的生活方式。但是我们可以看到，由于第一代互联网在设计之初并没有充分考虑到信息安全问题，使得各种病毒、木马、间谍软件、黑客攻击在网络中层出不穷，整个网络世界疲于应付，已经成为困扰互联网用户的首要问题；同时，由于安全问题给用户带来的不信任感和不安全感，基于IP技术的电子商务的发展也受到了极大的限制。

下一代网络（NGN）是一个建立在IP技术基础上的新型公共电信网络，能够容纳各种形式的信息，在统一的管理平台下，实现音频、视频、数据信号的传输和管理，提供各种宽带应用和传统电信业务，是一个真正实现宽带窄带一体化、有线无线一体化、有源无源一体化、传输接入一体化的综合业务网络。

二、下一代网络的构成

与传统的PSTN网络不同，NGN以在统一的网络架构上解决各种综合业务的灵活提供能力为出发点，提供诸如业务逻辑、业务的接入和传送手段、业务的资源提供能力和业务的认证管理等服务。为此，在NGN中，以执行各种业务逻辑的软交换（Softswitch）设备为核心进行网络的构架建设。除此之外，业务逻辑可在应用服务器（AS）上统一完成，并可向用户提供开放的业务应用编程接口（API）。而对于媒体流的传送和接入层面，NGN将通过各种接入手段将接入的业务流集中到统一的分组网络平台上传送。

分组化的、开放的、分层的网络架构体系是下一代网络的显著特征。业界基本上按业务层、控制层、传送层、接入层四层划分，各层之间通过标准的开放接口互连。

业务层：一个开放、综合的业务接入平台，在电信网络环境中，智能地接入各种业务，提供各种增值服务，而在多媒体网络环境中，也需要相应的业务生成和维护环境。

控制层：主要指网络为完成端到端的数据传输进行的路由判决和数据转发的功能，它是网络的交换核心，目的是在传输层基础上构建端到端的通信过程，软交换(Softswitch)将是下一代网络的核心，体现了NGN的网络融合思想。

传送层：面向用户端支持透明的TDM线路的接入，在网络核心提供大带宽的数据传输能力，并替代传统的配线架，构建灵活和可重用的长途传输网络，一般为基于DWDM技术的全光网。

接入层：在用户端支持多种业务的接入，提供各种宽窄带、移动或固定用户接入。

三、NGN的安全隐患

NGN网络是一个复杂的系统，无论是网络硬件开发、协议设计、还是网络应用软件开发，都不可避免地会存在有不完善的地方，对于NGN系统来说，其安全隐患表现在以下几个方面：

（一）物理设备层面的隐患

1. 设备故障

NGN网络上的设备均是常年不间断地运行，难免会出现硬件故障，这些故障可能会造成数据的丢失、通信的中断，从而对用户服务造成损害。如果是某些核心的设备出现故障，则有可能导致整个网络的瘫痪。

2. 电磁辐射

我们知道，电子设备都具有电磁辐射，一方面电磁的泄露让窃听者在一定距离内使用先进的接收设备，可以盗取到正在传送的信息和数据，从而严重威胁用户的隐私；另一方面，电磁辐射可以破坏另外一些设备中的通信数据。

3. 线路窃听

在无线通讯中，信号是在空中传播，无法采用物理的方式保护，这就使得攻击者可以使用一些设备对通讯数据进行窃听；在有线通讯中，攻击者可以通过物理直接搭线的方式窃听相关信息。

4. 天灾人祸

这类灾害包括火灾、水灾、盗窃等等，一旦发生，其造成的后果都是毁灭性的，且不可弥补。

（二）操作系统层面的隐患

操作系统是网络应用的软件基础，负责掌控硬件的运行与应用软件的调度，其重要程度不言而喻。目前网络上应用比较普遍的操作系统有Linux、Unix、Windows、以及嵌入式Vxworks等。没有任何一种操作系统是完全安全的，正如Windows操作系统存在的大量安全漏洞造成了目前互联网安全问题的现状一样，操作系统的隐患也将使得网络系统本身存在极大的安全隐患。

针对操作系统存在的隐患，黑客的攻击手法主要是使用一些现有的黑客工具或自己编制一些程序进行攻击，比如口令攻击。口令攻击的目的是为了盗取密码，由于用户设置密码过于简单或者容易破解，如FTP服务器密码、数据库管理密码、系统超级用户密码等，黑客利用一些智能软件通过简单的猜测就能破解这些口令，从而使用户失去安全保障。

（三）应用软件层面的隐患

应用软件在使用过程中，往往被用户有意或无意删除，造成其完整性受到破坏。此外，不同应用软件之间也可能出现相互冲突。有些应用软件，在安装时存在文件互相覆盖或改写，从而引起一些不安全的因素。

（四）数据库层面的安全隐患

数据库是存放数据的软件系统，其安全隐患主要有：

1. 数据的安全

数据库中存放着大量的数据，这些数据可供拥有一定职责和权利的用户共享，但是，很难严格限制用户只得到一些他们必需的和他们权利相当的数据，通常用户可能获得更多的权限和数据。由于数据库被多人或多个系统共享，如何保证数据库的正确性和完整性也是问题。

2. 数据库系统被非法用户侵入

数据库本身存在着潜在的各种漏洞，致使一些非法用户利用这些漏洞侵入数据库系统，造成用户数据泄漏。比如SQL Server数据库系统加密的口令一直都非常脆弱。

3. 数据加密不安全性

由于现在不存在绝对不可破解的加密技术，各种加密手段均有一定的不安全性。

（五）协议层面的安全隐患

协议的安全隐患主要体现在网络中互相通信的协议本身存在安全方面的不健全，以及协议实现中存在的漏洞问题。协议在本质上也是一种软件系统，因此在设计上不可避免地会存在一些失误。比如：互联网的基础协议TCP/IP的设计就是仅仅建立在研究和试验的基础上，没有考虑到安全性。黑客可以通过专用软件工具对网络扫描以掌握有用的信息，探测出网络的缺口，从而进行攻击。另外，IP地址也可以人为地用软件设置，造成虚假IP地址，从而无法保证来源的真实性。

在NGN系统中，包含多种多样的协议，主要的协议包括H.248、SIP、MGCP、H.323、BICC、SigTran等，正是这些协议促成了各种网络的互通。但同时，每种协议也都存在着一些使网络服务中断的隐患。

四、NGN面对的安全威胁

目前，大部分的NGN网络都是基于IP进行通信的，因此，根据IP协议层次的不同，NGN安全威胁可以分为来自底层协议的攻击和来自高层协议的攻击。

（一）底层协议攻击

底层协议攻击主要是指第一层到第四层的网络攻击，比如，针对TCP、UDP或SCTP协议的攻击。来自底层协议的攻击是非常普遍的，对于网络中的大量设备会产生相同的影响，所以，对这些攻击的防范是与整个网络密切相关的，且与上面运行什么协议无关。

（二）高层协议攻击

高层协议攻击主要是针对NGN协议的攻击，比如SIP、H.323、MEGACO、COPS等协议。由于来自高层协议的攻击一般都是针对特定目标协议的，因此一般的防护方法是：或针对特定的协议，或使用安全的隧道机制。

（三）NGN中存在的其他攻击

1. 拒绝服务（DOS）攻击

拒绝服务攻击的目的是让正常用户无法使用某种服务。比如，让系统设备无法工作或者是让系统的资源不足。这种攻击采用的方法有很多，比如发送大量的数据包给特定的系统或设备，让设备无法接收正常的数据包，或使系统忙于处理这些无用的数据包；或者利用系统的弱点入侵，让系统无法正常工作或开机。另外还有：发送大量的伪造请求给某个设备；TCP数据洪流，即发送大量的带有不同TCP标记的数据包，比较常用的有SYN、ACK或RST的TCP数据包；ICMP洪流，即发送大量的ICMP请求/回应（ping洪流）数据包给特定IP地址的网络设备；发送大量的大数据包的Ping数据流给特定IP地址的网络设备；UDP洪流，即发送大量的数据包给特定IP地址的设备；呼叫建立洪流，即在使用SIP协议时，发送大量的INVITE/BYTE呼叫建立请求等数据包给特定的设备，或者发送大量的其他协议的呼叫建立请求；非法的通信结束请求，使得正常用户的呼叫中断；注册洪流，即发送大量的注册请求给一个特定的设备，使得正常的用户注册服务无法进行等等。

2. 偷听

这类攻击的目的主要是想非法获取一些信息或者资源，比如机密的数据。

偷听攻击的种类主要有：偷听通信的数据内容；偷听网络设备的ID（用于网络设备间通信前的身份验证）；使用特定的消息比如OPTIONS或Audit请求，获取SIP/服务器、网关以及软交换的信息等。

3. 伪装

入侵者使用偷听的信息来伪装一个合法的请求，比如，他可以先截取用户名和密码，然后修改其信息，非法访问某个网络或者设备。在合法用户和某个设备建立连接以后，入侵者还可以使用伪装的方法使用这种现成的连接进行其他类型的攻击，比如拒绝服务攻击。除此之外，还有通过MAC地址和IP地址的伪装攻击。

4. 修改信息

修改信息的入侵者经过某种特定的操作，使数据被破坏或者变成毫无用处。一般来说，这种修改是其他攻击的开始，比如拒绝服务攻击、伪装或者欺诈攻击。被修改的信息可以有很多个方面，比如，用户的通信内容、终端ID、网络设备ID、呼叫建立信息、路由信息、用户验证信息、服务验证信息、网络设备的验证信息以及用户注册时的交互信息等，都可能被修改。

5. 提高NGN安全的应对措施

要避免NGN未来可能遭遇的安全威胁，应全面着手，做好几个方面的工作。

首先，安全是相对的，不是绝对的，安全威胁永远存在。安全不是一种稳定的状态，永远不能认为采用了怎样的安全措施就能实现安全状态。付出金钱、管理代价可以增强安全性，但是无论付出多少代价也不能实现永远、绝对安全。

其次，安全是一个不稳定的状态，随着新技术的出现以及时间的推移，原本相对安全的措施和技术也会变得相对不安全。

再者，安全技术和管理措施是有针对性、有范围的，通常只对已知或所假想的安全威胁有效，安全技术和安全管理措施不能对未知或未预想的安全威胁生效。

安全应作为基础研究，需要长期的努力。NGN安全研究范围设计广泛，涉及法律法规、技术标准、管理措施、网络规划、网络设计、设备可靠性、业务特性、商业模式、缆线埋放、加密强度、加密算法、有害信息定义等大量领域。因此安全研究不是一蹴而就的，需要长期的努力。安全投入本身不能产生直接效益，只能防止和减少因不安全因素而造成的损失。此外通信安全越来越重要，不但影响公众生活，还直接影响国家利益和国家安全。因此安全研究应当作为基础研究，应由国家和运营商共同进行。

安全要付出代价，安全要求应当适度。NGN安全是所有人所希望的，但不是所有人都意识到为达到一定的安全标准，通常要付出相当大的代价。为安全付出的代价可能是人力、物力、财力，也可能是降低效率。当为机密性付出的代价大于因泄密可能受到的损失时，安全存在的意义并不大。在日常通话中能保证机密性当然理想，但是如需要增加几倍的通话费用来增强机密性时，相信大多数用户都将无法接受。

安全隐患有大有小，有轻重缓急之分。当前NGN上存在大量安全隐患，例如光纤、电缆可能遭破坏或窃听，网络设备可能被攻击，用户通信可能被非法窃听，网络业务可能被恶意滥用，网络服务可能被分布式拒绝攻击，网络协议可能存在漏洞，加密算法可能强度不够，基础设施过于集中等。对于众多的安全隐患，应当视可能造成的危害以及需要付出的成本，按顺序加以解决。一般来说可能大面积影响网络业务提供的安全隐患应当优先解决，对于不影响业务正常开展，或者只影响少量用户之类的安全隐患则可以延后解决。

安全不仅是技术问题，更重要的是管理。绝大多数安全隐患可以通过技术手段解决，但是安全更重要的是管理方面。当前技术条件下任何安全技术都是需要人参与的：再先进的安全技术也无法防范管理人员的恶意破坏；口令采用再复杂的加密算法也会因为采用“生日”作为密码而被窃取；最安全的防火墙也可能因为管理人员配置疏忽而失效。完善的管理机制能在最大程度上减少管理人员有意或无意增加安全隐患的行为，但也是以日志和审计作后盾的，以降低效率作代价的。

网络安全不仅仅是定性的，应当定量评估。长期以来，通信网络主要提供话音服务，对话音自身的信息安全以及内容是否合法并不关心，因此主要以业务可用性以及设备可靠性体现网络安全。随着技术的进步以及新业务的涌现，主要是由于互联网的出现，网络安全有了新的含义。此外，通信网络还支撑着国家重要安全设施的正常运行，因此网络安全有必要定量评估。通信网络只有定量评估，才能划分安全等级。不同的网络应用应当有最低安全等级要求。例如电子政务、电子商务、个人通信、商务通信所要求的NGN应当有不同的网络安全要求，这样才能提供个性化服务。因此NGN安全应当定量评估，通信应当满足最低安全等级要求。

信息安全是一个涉及面很广的问题，要想确保安全，必须同时从法规政策、管理、技术这三个层次上采取有效措施。高层的安全功能为低层的安全功能提供保护，忽略任何一个方面、任何一个层次上的安全措施都不可能提供真正的全方位安全。

第4篇：网络安全的意义范文

下一代防火墙（NGFW）可以全面应对应用层威胁，通过深度过滤网络流量中的用户、应用和内容，并借助全新的高性能并行处理引擎，为用户提供有效的网络一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。当前我国自主的主流防火墙产品有华为NGFW、深信服NGAF、网神防火墙等，在政企、教育、银行、医疗、科研等行业和领域承接着防护网络及数据安全的重任，下面对下一代防火墙在网络安全防护中的应用做深入分析。

1下一代防火墙的比较优势

下一代防火墙除去传统防火墙具有的包过滤、网络地址转换、状态检测和VPN技术等以外，还具有很多弥补传统防火墙缺陷的技术优势。一是多模块功能的集成联动，如入侵防御系统（IPS）、病毒检测系统、VPN、网络应用防护系统（WAF）等，改变了传统防护设备叠加部署、串糖葫芦式的部署模式，节约成本、消除网络瓶颈和单点故障，数据包单次解析多核并行处理提高检测速度，多模块联动提高响应速度，日志整合提高检测效率。二是网络二至七层的全栈检测能力，克服传统防火墙包过滤基于IP和端口检测的局限性，可以具体应用为粒度设置过滤及安全策略，辅助用户管理应用。三是数据包深度检测，通过对数据包进行深层次的协议解码、内容解析、模式匹配等操作，实现对数据包内容的完全解析，查找相对应的内容安全策略进行匹配。下一代防火墙通过HTTPS的功能，实现对SSL加密的数据进行解密分析，可以检测邮件中的非法信息。四是可视化配置界面，结合先进的技术和理念，设备配置可视简化，功能完善，使技术人员精力从复杂的配置命令中解放出来，更多关注配置规则的现实意义。通过可视化报表不仅能够全面呈现用户和业务的安全现状，还能帮助用户快速定位安全问题。

2下一代防火墙设备的选配

下一代防火墙功能强大，成本也相对较高，一些厂商按功能模块收费，因此在选配防火墙设备时需要考虑性价比。一是要了解使用方的网络拓扑结构、核心服务、主干网络带宽利用率峰值、网络中安全设备部署现状和终端用户网络使用体验，挖掘出网络建设安全需求和亟须解决的问题。二是根据客户安全需求，选择对应的防护功能，进而选用功能适配的防火墙设备，在采购防火墙设备的同时需开通对应的功能权限，比如网络序列号、IPSecVPN分支机构、SSLVPN移动用户数，WEB防护、网关杀毒、IPS、应用控制、流量控制、各类特征库升级序号等。三是根据功能需求选择相应的设备部署方式，接入方式不同，实现的防护功能也有差异，防火墙支持网关模式、网桥模式、混合模式、旁接模式和双机接入等。四是根据防火墙接入干线的流量来确定防火墙的性能指标，核心指标有接口数量及带宽、整机吞吐量、应用层吞吐量、每秒最大连接数和并发连接数、设备存储空间、关键部件冗余等，可能制约网络应用和用户体验。

3下一代防火墙对网络连通性的影响

防火墙网络连通配置比较复杂，有的部署模式可能改变原网络结构，影响原网络的连通性。一是影响网络结构。在网关模式和混合模式中，下一代防火墙可替代现有出口路由器，部署在网络出口配置路由功能。在网桥模式中下一代防火墙具有二层网络交换机的功能，部署在核心路由器与核心交换机中间。旁接模式中，下一代防火墙通常接入核心交换机，同时将核心交换机的流量镜像至防火墙，因为实际流量不经过防火墙，防火墙不能实现数据的实时检测和阻断，通常在使用监测和审计时采用这种部署方式。两台防火墙可支持双主模式或主备模式，部署在双核心网络中，实现防火墙设备的设备冗余和线路冗余[1]。二是对网络分区管理。按照网络系统安全等级保护2.0的要求，网络要分区管理，实现这一功能的主要设备就是防火墙。除了旁接模式外，使用其他三种模式部署时，均可将原网络分隔成三个区域，即可信区域、DMZ区域和不可信区域，便于分区管理和配置防护策略。内网属于可信区域，对外服务的服务器部署在DMZ区域，直接连接外网的出口网络属于不可信区域，仅对内提供服务的服务器划入可信区域[2]。三是网络技术运用。下一代防火墙在网络出口处支持多线路接入，包括ADSL线路的PPPoE接入，可同时接入多条运营商线路，并根据需要实现网络出口的多种模式的负载均衡，充分利用出口带宽，实现出口线路冗余。设备支持网络接口配置成交换口和路由口，支持常用路由协议配置，支持IPV6。使用IPSecVPN技术建立总部与分支网络间的VPN线路，建立总部与分支专线的虚拟备份链路。SSLVPN则可使出差人员异地方便接入内部网络、资源和服务等，保障移动安全办公需要。四是防火墙连通性配置。首先配置连通网络。网桥模式下，先使用既有网络设备连通网络，再在路由器与核心交换机中间加装防火墙。网关模式下，先配置相应的防火墙接口参数，再连通网络。网络连通后添加相应的包过滤规则或全通规则，测试防火墙内外网数据是否可达。其次，配置路由参数。选择网络通用的路由协议配置相应的路由参数。最后测试私有网络与公网的连通性。因运营商网络上不私网网段，私网访问公网时需配置NAT规则，公网访问私网时配置端口映射或IP映射规则，添加映射规则后，还须添加相应的包过滤规则才能生效。

4下一代防火墙安全策略配置

下一代防火墙通常配置的安全策略包括漏洞攻击策略、Web应用防护策略、僵尸网络策略、内容安全策略、应用控制策略、连接数控制策略、DoS/DDoS防护策略、流量管理策略、用户认证策略和认证选项等。安全策略制定时需注意以下事项：一是安全策略的可读性设置。为保证防火墙规则的可读性，在为各类资源、服务、应用、规则命名时要有明显区分，体现其分类、功能和用途，有利于安全策略的可视化配置和策略解读。防止大型网络配置规则过多后，因命名混乱而制造后期管理和维护难度。资源命名时以分组或类命名，在策略中调用分组，后期维护中方便添加和删除单个资源。二是安全策略的细粒度配置。安全策略源目地址、出入网口和源目端口与实际对应。下一代防火墙可以对区域、IP分组及用户、应用或服务、时间及生效状态等进行细粒度配置，进行个性化设置，也可以针对某个具体应用进行细节化配置，如允许用户通过HTTPS访问互联网，但是禁止通过HTTPS下载数据；允许用户使用QQ，但是禁止用户通过QQ接收文件。三是调整安全策略执行顺序。防火墙的安全策略通常按顺序执行，遇到满足条件的策略直接放行数据包，而不检查后续策略的适用性，因此策略顺序在防火墙功能发挥中的作用尤为重要。在配置规则时需将地址范围小、用户数量少、服务端口少等局部生效的安全策略序号调整至同类策略列表的前列优先执行。四是多方式的用户认证策略。防火墙实现精确管控首先要确定用户身份，通过用户认证策略可以确定单位内部每一个用户，即某个IP地址上某个时刻是哪个用户在使用的信息，对上网用户的身份进行认证，从而实现基于用户的上网行为管理。通常支持本地用户名密码登录、借助其他身份认证系统的单点登录、跨交换机和网段的IP－MAC地址绑定建立用户和IP对应关系，锁定上网用户身份，实现用户无感知地上网。5下一代防火墙对数据的全程防护下一代防火墙具有风险感知、多设备多模块联动防御、数据深度检测、日志分析可视化等功能，通过技术手段的融合，在网络威胁下全程对数据进行防护，包括事前的网络安全风险检测、事中的多手段联动防御、事后的快速响应，并将防护信息通过多种形式以可视化的方式呈现给用户。一是事前网络安全风险感知。安全威胁发生前，防火墙通过流经流量的IP地址检测及端口检测快速识别内部的服务器，检测服务器上开放端口、存在的漏洞和弱密码等风险；利用丰富的扫描插件对WEB服务器进行扫描，识别网站类型，提供漏洞分析和修复建议，通过流量检测、策略对比、版本检测等多个维度检测服务器对应的安全策略是否存在和生效。二是事中多设备多模块联动防御。下一代防火墙在防御层面融合了多种安全技术，防火墙内部传统防火墙、网关杀毒、IPS、WAF等模块联动防御，对网络数据进行L2-7层的安全防护，同时与其他安全设备联动取得更好的防护效果。下一代防火墙与终端检测响应平动，持续检测发现、快速响应处置，形成多层次立体化的威胁防御体系，弥补防火墙对内部发起和内部用户之间的网络攻击无法检测的缺陷[3]。下一代防火墙与云安全平动，借助厂家强大的技术支持、威胁云端检测、快速响应和全网威胁情报分享等，对抗高级威胁和未知威胁，为客户保驾护航。三是事后快速响应。下一代防火墙在黑客入侵之后，能够帮助客户及时发现入侵后的恶意行为，如检测僵尸主机发起的恶意攻击行为，网页篡改，网站黑链植入及网站后门检测等，并快速推送警告事件，协助用户进行响应处置。通过数据中心分析可发现被攻击的主机数量和被攻击的严重等级，利用策略动作自动执行、专用工具和云端联动等方式快速响应。

第5篇：网络安全的意义范文

【关键词】计算机网络 安全防护 网络安全 系统漏洞

计算机网络的建设使得世界各地的联系更加频繁和紧密，极大地促进了人类文明的发展。但与此同时，计算机网络安全问题也有愈演愈烈之势，给社会造成了巨大的经济损失。因此，加强计算机网络建设的安全对策研究具有重要的现实意义。

1 计算机网络安全的定义

计算机网络由一定数量的计算机以及与之相连的外部设备构成，处于该网络中的计算机设备分别位于不同的地理位置，各自拥有独立功能，并且通过通信线路彼此连接，能够在网络系统及软件的协助下完成信息的交互与数据的共享。受制于计算机网络自身的架构特点，其中的传输线路、硬件设备以及操作软件都可能成为不法分子攻击和破坏的对象，从而对计算机网络的安全运行造成影响。计算机网络安全则是指网络中的信息流动、数据存储等不受自然或人为因素的干扰，不发生数据信息的篡改或泄露，从而保障信息的完整性、保密性和真实性。

2 计算机网络建设面临的安全问题

2.1 病毒入侵

计算机病毒是出于各种不当目的而编写的代码或程序，其具有传染力强、破坏力大的特点，且由于计算机病毒一般没有特定的传染对象，因此其影响范围十分广泛。计算机病毒通常会破坏电脑的软件系统，窃取或删改其中的文件和信息，给计算机用户带来巨大困扰和损失。还有极少部分病毒能够对硬件部分造成影响，导致设备故障或损毁。

2.2 黑客威胁

黑客可通过各种软硬件漏洞非法潜入计算机系统，并窃取、损坏其中的数据资料，其行为具有隐蔽性和破坏性。在当前的社会环境下，只要黑客行为没有造成太大损失，一般不会定性为犯罪，这也间接导致了黑客行为的肆虐。近年来频频发生的个人信息泄露事件就大多是网络黑客所为。

2.3 硬件落伍

普通用户对计算机硬件一般没有太高要求，但对于一些企业或政府重要部门来说，硬件配置直接决定了计算机能否顺利更新并运行最新的软件及程序，进而影响其安全性能。同时，受恶劣场地条件、电磁干扰、自然老化等因素的影响，计算机设备可能出现各种各样的缺陷，给黑客留下可乘之机，使之能够借助远程监控硬件设备来入侵电脑。

2.4 系统漏洞

系统漏洞是无法避免的存在，只能通过更新补丁等方式尽量减少漏洞数量，消除漏洞影响。系统漏洞是黑客攻击的重要入口，许多信息的泄露和数据的篡改都是通过漏洞来完成的，它就如同黑客的后门，只要利用其中的一个漏洞就可以随时潜入，并进行大量的非法操作，给计算机网络安全造成重大威胁。

3 计算机网络建设的安全对策

3.1 访问控制

访问控制能够避免信息数据被非法访问或窃取，其主要有以下三种方式：

3.1.1 属性安全控制

这种方法通常和网络设备、服务器文件与目录，以及所制定的属性联系起来，能够充分保证访客的安全。

3.1.2 防火墙控制

防火墙是系统的通信门槛，控制着进、出两个方向的数据通信，可以阻止黑客的非法访问，常用的防火墙有过滤型、型、双穴主机型三种。

3.1.3 入网访问控制

其通过控制服务器登录用户的入网时间、资源权限等，将非法访问拒之门外。

3.2 升级硬件

升级硬件是计算机网络安全的重要保障，升级硬件设备能够全面提高计算机运行能力，确保其顺利完成操作系统或软件的更新，提高安全防护性能。同时，升级硬件可以消除老硬件中的漏洞，如Inter CPU被曝存在缓存机制漏洞，黑客可在系统管理模式（SMM）中安装rootkit来发起攻击，而最新的处理器已对这一问题进行了修复。此外，如今硬件的功能越来越多元化，一些新硬件采用了最新的安全设计，在接入方面的安全性有了大幅提升。

3.3 软件补丁

对于计算机软件系统要及时进行更新，打上最新的补丁，从而消除已发现的系统漏洞，必要时应定期进行自检，并结合实际情况设置加密程序，从而保障软件系统的安全性。在关注软件系统安全的同时，也应该外接一定的安全控件，为计算机网络设置双层保险。

3.4 加强备份

任何防护措施都有其自身的局限性，虽然计算机软件系统本身拥有比较完善的信息数据保护能力，但一些物理性的损毁却很难完全避免，比如硬件受潮、进水、火灾、高温老化等，都很可能导致信息资料丢失。因此，必须定期对计算机网络中的数据资料进行备份，这样即便发生信息的意外丢失，也能通过备份数据给予恢复。

3.5 服务器防护

首先，要完善服务器管理使用规章，比如要求网络服务器的管理人员必须依据相应的规章制度来规范操作和维护服务器；强化服务器机房管理，严禁闲杂人员进出机房，避免非法授权操作。其次，使用相应的安全技术，比如采用基于角色的权限管理方案，为服务器操作系统增加安全设置等。再次，提高服务器基础防护措施，比如选用安全隐患较少的NTFS格式，或者将服务器重要数据所在磁盘转变为NTFS格式；购买正版、专业的网络监测软件，对外部网络进行密切监控，准确辨别非法入侵。最后，对于不必要公开的服务器IP地址予以隐藏，只公开Web服务器或邮件服务器等IP地址，同时屏蔽不必要的通讯端口，以减少服务器受攻击的几率。

4 结论

计算机网络安全防护水平的高低直接关乎计算机网络建设的最终成效，因此必须加强计算机网络建设的安全防护。针对目前计算机网络建设存在的安全问题，可通过访问控制、升级硬件、软件补丁、加强备份、服务器防护等方式进行安全防护，从而提高计算机网络安全水平，保证计算机网络信息的安全性、保密性、真实性。

参考文献

[1]黄磊，郑伟杰，陶金.分析计算机信息管理技术在网络安全中的运用[J].黑龙江科技信息，2015（24）.

[2]张颖，曹天人.如何加强计算机网络数据库的安全性[J].科学咨询，2015（27）.

[3]魏巍巍，陈悦.计算机信息网络安全现状与防范对策探索[J].产业与科技论坛，2015（14）.

第6篇：网络安全的意义范文

关键词：校园一卡通 网络 安全 对策

中图分类号：TP393 文献标识码：A 文章编号：1672-3791（2014）03（c）-0038-01

现今社会正处于数字化时期，且随着信息技术的发展，一卡通网络逐渐被应用于行政事业单位、金融企业、保险行业以及学校等人口较为密集的区域。当前，学校中一卡通网络的应用主要体现在：学籍管理、教学管理、食堂消费管理、图书管理、考勤管理、宿舍管理、门禁管理以及校园通讯等系统中；其形式主要存在于学生卡、借记卡、饭卡、上网卡、出入证、宿舍房卡以及报名登记卡等方面。这样一来，不仅能够给使用者提供便利，而且还能节约资源。但其网络安全问题不容忽视，因此，分析校园一卡通网络安全问题，加强对其的防范显得尤为重要。

1 校园一卡通网络中易出现的安全问题

校园一卡通网络的应用，不仅给学生的学习和生活带来极大的便利，而且还能提升学校建设、管理方面的质量。但是，校园一卡通网络仍存在一些安全问题，具体体现在以下几个方面。

（1）极易受计算机的病毒影响：计算机未安装杀毒软件或杀毒软件更新不及时，一旦连通网络极易被病毒侵入，致使一条线路上的一卡通网络遭病毒入侵。

（2）系统本身存在漏洞：校园一卡通网络的稳定性及安全性较好，但将自身系统中存在的漏洞全部排除仍比较困难，这就给非法入侵的用户提供了可能。

（3）滥用网络资源现象较为严重：校园一卡通网络面对的用户不同，由于设计、管理等方面存在缺陷，知识校园网用户滥用网络资源现象较为严重。

（4）网络的攻击、入侵：未安装反病毒软件、病毒数据库更新不及时、计算机存在漏洞等情况下极易受外部网络的攻击和入侵。此外，校园一卡通网络用户过多，学生素质水平高低不一，少部分学生利用非法软件恶意攻击、破坏存在缺陷、漏洞的计算机，致使校园一卡通网络被破坏[1]。

（5）校园网络管理不足：校园网络管理中存在一定的不足和缺陷，这在一定程度上导致了校园网络一卡通安全问题的产生，如，网络管理的人员业务素质较低、更换管理人员的频率过高，管理人员分工不明确等都有可能致使网络安全问题的出现。

2 提升校园一卡通网络安全的对策

2.1 加强对计算机病毒的防范

随着信息技术的不断发展，计算机网络病毒的种类也逐渐增多，加强对计算机病毒的防范，需做到以下几个方面：首先，需提升网络管理人员的专业素质；提高网络管理人员的素质，使其能够积极投入到工作中；同时，还需做好系统的安全工作，确保网络更好的为用户服用；其次，及时升级防毒软件和数据库；定期升级防毒软件，能有效防护校园一卡通网络的安全，并避免数据被非法入侵者破坏，降低修复的成本[2]。

2.2 及时修补影响系统安全的漏洞

网络管理人员应利用系统自动修补漏洞的软件或反病毒软件等，对影响系统安全的漏洞进行修补，这样不仅能够保证用户的合法权益，而且还能够为用户提供更好的服务。

2.3 身份认证和识别技术的开发和利用

身份认证是防护校园一卡通网络资产最为重要的关口，因此，加大对用户身份认证和识别技术的开发和利用，保障用户身份合法化、网络服务规范化起着至关重要的作用。身份认证不仅能够确保用户拥有一个安全的通网络体系，而且还能进一步强化用户安全防范的意识和观念，进而确保网络的运行更为安全、可靠。

2.4 加大网络监控的力度

确保校园一卡通网络使用的安全，就必须加大对其网络监控的力度。校园一卡通遍布全校各个角落，健全且合理的网络监控能够对非法入侵者起到约束性的作用。同时，还应做好相关的安全隔离，这样一来，合法用户使用权限的同时，还能够抑制非法入侵者的登录，为校园一卡通网络安全提供了屏障。此外，还应对数据进行备份，以便修复被非法入侵者恶意破坏的数据级系统，尽可能的将损伤降至最低[3]。

2.5 建立健全安全管理体系

建立健全的校园一卡通网络安全管理体系，不仅能够保障用户的合法权益，而且还能够震慑非法入侵者，进而确保网络的安全。健全且行之有效的安全管理体系，需加强合法用户防范意识，使其的操作更加规范化、法制化，进而提升合法用户网络的使用率，减少安全隐患的发生。

3 结语

校园一卡通的广泛应用，进一步加快了校园数字化建设的脚步。同时，对于降低学校建设及管理等方面的投入成本，弥补对学生管理方面的缺陷具有重要意义。此外，还能有效剔除重复的管理程序，提升学校管理的质量，促进学校的长久、健康的发展。

第7篇：网络安全的意义范文

关键词：全球化；网络安全；新思维；镜鉴；下一步 

中图分类号： TP309 文献标识码： A 文章编号： 1673-1069（2016）15-151-2 

1 概述 

现如今以网络技术和信息技术为依托的各种智能化、自动化系统逐步深入发展，网络安全作为我国国家安全体系中重要的组成部分变得日益重要。现阶段，网络安全已成为全球化性问题，世界各国都将其上升到国家战略层面，并且深刻认识、科学合理的规划与管理。世界各国都从各自国家的战略利益出发，运用网络安全新思维、新技术加强了网络安全建设。我国也应在中央网络安全和信息化领导小组的总体架构下深刻认识、理解网络安全的最新国际发展趋势，深化体制机制建设，构建具有中国特色的网络安全战略框架。本文首先分析了英国网络安全和信息化领导机制建设的相关经验，之后提出了强化我国网络安全的必要途径，旨在为提高我国网络安全水平提供一些建议和思路。 

1.1 国家网络安全战略 

近年来，英国不断制定国家层面的信息安全战略规划，连续了两份国家网络安全战略，分别是09年的《英国网络安全战略》报告与11年的《英国网络安全战略：在数字世界里保护英国并促进国家发展》。英国的网络安全战略将网络安全作为新的经济增长点，关注于维护本国网络安全、加强本国网络安全产业竞争力、创造新的商业机遇，从而促进经济增长和经济繁荣。它坚持技术为本，立足于网络安全技术的发展和更新；强调政府间的跨部门协作和国际合作；注重发动社会的力量，鼓励全民参与；坚持积极防御和主动出击相结合。 

1.2 网络安全管理机构的设置 

网络安全管理体制是贯彻执行网络安全战略的基础保障，英国政府也在这方面进行了不断的调整，并将其演化为实现英国国家战略目标的崭新武器。英国政府并未设置全国统一的机构来维护网络安全，而是加强统筹协作，明确各部门、各岗位的职责分工与权限。在互联网管理上，英国还运用了本国固有的自由主义，其轻政府管制、重社会自治。因此，在维护网络安全方面，应将设置的政府职能部门与自律组织、独立的规制机构有效结合，共同管理本国的网络安全，实现最佳的管理目标。 

1.3 立法保障和行业自律 

一直以来，英国出台了很多互联网及相关领域的立法，并且也在不断完善和发展网络自治自律机制，立法保障和行业自律是英国实施网络管理的两种主要手段，并辅之以政府指导。最初互联网立法的重点是保护关键性信息基础设施，随着互联网的不断发展，逐渐开始强调网络信息的安全，加强对网络犯罪的打击。同时，行业自律机制在控制和监管网络非法信息方面发挥着重要的作用。英国的网络监管拥有比较完善的法律框架以及完善的法律法规基础，这为保障英国的网络信息安全以及权益提供了必要的支撑。 

2 英国网络安全战略经验对我国网络安全和信息化的启示及建议 

2.1 构建符合我国国情的网络安全战略 

现如今，我国建立了网络安全和信息化领导小组，但其重要地位和价值没有得到充分的体现，尤其是网络安全战略思维的重要性。因此，必须结合我国现阶段的具体国情、国家治理体系、现代化的治理能力以及现代化的军事理论等关键环节，全面、系统、有侧重点的构建具有中国特色的网络安全战略。首先要将相关的关键概念发展起来，在此条件下明确我国网络安全战略框架的构成要素、各要素的地位与作用以及相关关系，确立网络安全战略框架的具体任务和项目。 

2.2 不断完善相应的法律法规体系 

现在我国的信息立法存在滞后性，不符合信息化建设的需求，极大的限制了我国社会经济的发展与稳定。网络管理必须有强大的法律法规体系做后盾，提升网络安全管理水平。因此我国应重视信息立法建设，不断完善相应的法律法规体系，可以借鉴国外较为成功的信息立法经验，强化前瞻性信息立法，满足网络安全维护与我国信息化发展的需求，加大依法管理网络的力度。 

2.3 重构互联网管理领导体制 

当前我国建立的网络安全和信息化领导小组，虽然统筹协调了网络安全与信息化建设，但其下设机构的合理布局仍有待研究。“领导小组”机制主要是发挥统筹协调各职能部门的作用，“领导小组”办公室也就是网信办是其日常办事机构，作为辅助领导小组制定并统筹实施国家网络安全与信息化战略机构应保持独立性，处理好同网络安全与信息化的具体业务领域的监管部门的关系，例如，负责实施“两化融合”战略的工业和信息化部等，并且与国务院互联网信息管理办公室分离。另外，还要赋予网信办规划落实信息化战略、规划管理国家网络建设、系统开发关键技术、系统采购核心设备的宏观指导以及国家网络安全评估与审查等职能，真正发挥“领导小组”统筹协调的价值和作用。 

2.4 协调组织政府各方资源 

网络安全和信息化建设涉及领域和内容都较为广泛，是一项复杂、庞大的任务，因此必须协调全国各个机构及全民的参与，共同维护国家的网络安全。在此过程中“领导小组”要充分发挥其集中统一领导作用，针对各领域的网络安全和信息化建设存在的重大问题，统筹协调解决。另外，还要加强互联网国际交流与合作，积极参与国际交流，扩大信息基础设施发展和研发信息技术与设备方面的国际合作，积极参与信息安全国际标准的制定，切实提供我国的网络安全水平。 

2.5 积极推进信息基础设施的建设与维护　各国网络安全战略的高效实施都离不开信息基础设施的建设与维护，因此，我国应高度重视关键信息基础设施的建设与维护工作，并将其上升到国家战略高度，在此基础上制定和实施网络政策。首先要准确掌握和了解现阶段我国信息化发展和网络安全维护的实际情况，尤其是要深化对关键信息基础设施、党政军重要业务系统的统计调查，加快建立国家网络安全评估与审查机制。 

2.6 创新研发关键技术与设备 

过分依赖国外的技术支持，会导致本国的信息化建设和网络安全维护失去本质上的意义，因此我国应增强自主创新能力，研发关键技术与设备，为维护网络安全和信息化建设提供保障。国家政府要大力支持国内信息安全技术和产品的研发工作，创造有利条件促进国内市场的发展。另外，还可以借助高等院校中计算机和数学基础，鼓励自主创新，制定信息领域的核心技术设备发展战略，促进我国IT产业和网络安全产业的可持续发展。 

2.7 强化高素质网络安全和信息化人才队伍的建设 

除了注重建设合理、完善的管理体制以及自主创新研发技术与设备之外，人才队伍的建设也是推进网络安全维护和信息化建设的关键点，我国应利用高校及相关的科研单位与组织，加大这方面人才的培养力度，同时制定科学合理的人才培训机制，为保障国家网络信息安全提供有力的智力支撑。 

3 结语 

综上所述，英国实施的网络安全战略对我国构建网络安全和信息化建设的新型领导体制具有重要的参考价值，我国应结合我国的国情，积极借鉴其成功经验，构建符合我国国情的网络安全战略，正确指导我国网络管理；不断完善相应的法律法规体系，为保障网络安全提供法律保障；重构互联网管理领导体制，协调组织政府各方资源，积极推进信息基础设施的建设与维护，创新研发关键技术与设备，强化高素质网络安全和信息化人才队伍的建设，稳步推进我国网络安全维护与信息化建设。 

参 考 文 献 

[1] 任琳.全球公域：不均衡全球化世界中的治理与权力[J].国际安全研究，2014（6）：114-128. 

第8篇：网络安全的意义范文

关键词：网上交易；证券；安全；身份认证；SOA

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)25-6092-03

随着网络技术的发展，人们的生活发生了翻天覆地的变化，证券交易的形式也随之发生了改变。当今社会，网络交易已成为其最主要的交易模式。网络交易有着方便、快捷、实时性强、无须等候等优点，然而，危及网上证券交易安全的病毒、木马、钓鱼、窃取、篡改等攻击手段层出不穷。大部分网上证券交易用户的防范意识不高，对于可能盗取用户口令的攻击手段没有任何防范能力，严重影响了整个证券交易体系的安全。在交易当中，一旦网络安全问题发生，轻则造成个人的直接经济损失，重则对行业造成毁灭性打击，甚至还会对整个社会秩序产生连锁的负面影响。因此，网络证券交易的安全性一直以来都是人们高度关注的问题。

为了保障网络证券交易的安全，科研工作者们针对这一问题展开了大量研究，获得了卓有成效的进展。迄今为止，在密码保护、身份认证、日志审计等各个方面都已形成了成熟的技术和标准；同时，也能够见到一些安全保障系统范例，例如：辽宁证券网上交易系统[1]、基于PKI技术的网上证券信息系统[2]、兴安证券网上交易系统[3]等等。然而，我们综合比较这些解决方案后发现：这些系统或多或少都存在一些不足。这些系统或者只针对网络交易安全的某一个方面使用了某一种核心技术；或者虽然涉及到了多个保护环节，但防护力度较为分散；或者系统的扩展性不强，难以根据实际需要进行更新和改进。

证券交易行业需要的是能够保障交易安全并且具有商业价值的完善系统。针对这一需求，我们开发了这套“基于面向服务架构（SOA）的网络证券交易安全系统”。本系统主要有以下四大优势：在技术上，我们使用了多种先进成果相辅相成的方法，多角度全方位地保障网络交易的各个方面；在功能上，根据保护内容的不同，将系统分为客户防御、身份认证和日志审计三个主要部分，层次清晰合理；在性能指标上，我们的系统完全能够满足商业环境中大量数据并况下的时效性和稳定性；在系统构架上，我们根据面向服务构架（SOA）的要求，设计出了一套各模块单元之间耦合度低、便于升级和维护的系统，系统中的三个主要部分都可以作为独立的部件进行技术更新或移植到其他平台，具有较强的实用价值和商业价值。

1 背景

1.1 网络证券交易的安全

网络证券交易作为一种“网络交易”形式，它的安全问题与其他类型网络交易相比，有许多相似性，但也具有自身鲜明的特点。总体来说，包括了以下几个基本的安全问题[4]：

1）保证证券交易系统运行的安全，即保证证券交易系统在信息处理和传输时的安全。这一问题主要侧重于保证系统正常稳定地运行，避免因为系统的崩溃或损坏而对系统内存贮、处理和传输的信息造成破坏和损失，同时要避免因故障而引起的信息泄露。

2）保证证券交易信息系统的安全。这包括用户身份认证和授权，用户存取权限的控制，交易行为的可追溯和抗抵抗，资金的异常阻止，二次鉴别，计算机病毒防治和数据传输加密等等。

3）保证证券交易内容的安全。这主要侧重于保证交易信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为，本质上是保护用户的利益和隐私。

1.2保障网络交易安全的对策

针对网络证券交易安全问题，一个能够保障安全并投入商业使用的系统，应具有保密性、正确性和完整性、身份的确定性、不可抵赖性四个基本特点。为满足这些特点，目前系统一般采取如下几种对策[5]：

1）安装防火墙， 防止黑客入侵及攻击；

2）安装防病毒软件；

3）采用身份认证和数字签名支持第三方CA认证体系，确保网上委托身份识别的安全性；

4）使用128位强加密算法和数字签名， 确保委托数据的安全， 防止数据在传输过程中被截获修改；

5）网上委托站点和券商交易系统相互独立，有明确的接口，访问券商交易系统的接口转换程序由券商编制，源代码由券商保管；

6）在Internet与证券公司网络的网关上采用并口隔离技术。并口通信使用的是专用协议， 而不是通用的TCP/IP协议，其优越性在于既能完成正常数据交换功能， 又能非常有效地隔离一切来自Internet上的对证券公司网络的攻击；

7）所有与委托有关的程序全部在券商的营业场所内运行，电信局方面只运行与行情有关的程序。

8）交易数据处理的可监控和防抵赖。

9）行情主站和委托主站自动互为备份，确保在系统和线路出现故障或大行情突然来临时，不会因并发量过大而导致通道堵塞，不影响客户的交易。

在重点分析了以上几种对策的安全性、可行性和适用性之后，我们决定同时采用上述1、2、3、4、8方案。这些方法不仅代表了计算机网络安全方面的先进技术，同时也适于系统的实现和投入商用；为了能使整体功能进一步强化，除上述方法之外，我们还增加了反逆向分析技术、拥有自主产权的SSL加密技术、基于数据挖掘的监控预警等多种技术手段，将系统的功能划分为“防盗取口令”、“防非法登录”、“预警与日志审计”三个清晰的层面，构建起可靠的“三重防护”模式；除此之外，针对用户的习惯和操作环境特点，在保障安全级别不降低的前提下，我们将一些安全策略的选择权交给用户，实现了系统的灵活性，这也是我们的一大创新。

1.3 面向服务体系构架（SOA）

面向服务的体系结构（Service-Oriented Architecture，缩写为SOA）是一个组件模型，它将应用程序的不同功能单元（称为服务）通过这些服务之间定义良好的接口和契约联系起来[6]。接口是采用中立的方式进行定义的，它应该独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在各种这样的系统中的服务可以一种统一和通用的方式进行交互。这种体系结构，与传统的面向对象模型不同，它的各个模块之间是松耦合的。松耦合保障了各个模块之间的相对独立性，模块内部的修整对外不会造成使用的变化。

SOA具有平台无关、低耦合、可以按模块分别实施等特点，比较适合部件功能划分清晰，同时需要频繁更新的系统。对于我们所研究的证券交易安全系统来说，根据商业使用的反馈进行系统版本的升级、部件的更新是很普遍的，而且，各个部件也都可以作为独立的标准化产品推向市场，因此，采用这种设计方式是非常合理的。

以下几个小节将详细地介绍我们开发的系统。其中第3小节从整体设计出发，展示了系统的整体构架；第4小节将以系统的“身份认证”模块为例，详细介绍了这一子平台的特点；第5节系统测试，通过实验数据证明我们系统的可靠性；第6小节总结了这一系统的研究意义和经验，希望我们的工作能够为后继的研究者们提供一些参考价值，最后一部分是参考文献。

4 系统测试

我们对实现后的系统进行了测试。在目前的实验结果中，系统单台设备平均处理能力不低于500笔/秒；单台设备峰值处理能力不低于1500笔/秒；周边应用客户端认证响应延时

5 结论

网上证券交易的安全性一直是人们关注的话题，也是金融行业不可或缺的一部分。我们针对金融行业交易安全开发的这一套系统，涵盖了网络交易过程中最容易发生问题的各个方面，采用了多种先进反入侵技术集成、多种认证方式集成、多种系统保护机制集成的方法，功能完善；建立了合理的系统构架，模块之间耦合度低，安全性强，便于维护和移植；投入测试之后结果良好，可投入商业使用。

科技发展日新月异，诚然，我们的系统也存在许多可以进步的地方。我们仍不断追求着更安全、用户使用更便捷、处理速度更快的网络证券交易安全系统。在今后的研究工作中，我们还将不断研究加密、认证、日志审计的核心技术，随时进行系统的更新和完善。同时，也正如其他同行提出的，“证券业网上交易系统安全体系的建立，不是某个环节或者单一层面的问题，而是从设施、技术到管理的，整个经营运作体系的方案”，我们所做的工作，只是在保障网络金融交易安全道路上的一小步，希望这项工作能够为行业的发展和稳定提供一些帮助，也为其他研究者提供借鉴参考。

参考文献：

[1] 王淑清,齐景嘉.兴安证券网上交易安全方案[J].金融理论与教学,2006(1).

[2] 杨童.基于PKI技术的网上证券信息系统的安全解决方案[J].电脑知识与技术,2009(7).

[3] 王淑清,齐景嘉.兴安证券网上交易安全方案[J].金融理论与数学,2006(1).

[4] 戴宗坤,罗万伯,唐三平,等.信息系统安全[M].北京:金城出版社,2002.

[5] 姚前,陈舜,谢立.综合安全管理监控技术在网上证券交易中的应用[J].计算机应用研究,2005,22(4).

[6] 毛新生.SOA原理・方法・实践[M].北京:电子工业出版社,2007.

[7] 尉永青,刘培德.电子商务环境下主要的身份认证方式分析[J].商场现代化,2005(7).

第9篇：网络安全的意义范文

1 引言

网络监听，在网络安全中通常发生在以太网中对其他主机的监听，一直以来，都缺乏很好的检测方法。这是由于产生网络监听行为的主机在工作时只是被动地收集数据包，不会主动发出任何信息的原因。目前有如下解决方法：向怀疑有网络监听行为的网络发送大量垃圾数据包，根据各个主机回应的情况进行判断，正常的系统回应的时间应该没有太明显的变化，而处于混杂模式的系统由于对大量的垃圾信息照单全收，所以很有可能回应时间会发生较大的变化；许多的网络监听软件都会尝试进行地址反向解析，因为这些检测都是建立在假设之上的，其检测结果准确率有待提高。在实际中也很难实现。

作为一种发展比较成熟的技术，网络监听在协助网络管理员检测网络传输数据，排除网络故障方面具有不可替代的作用，但网络监听也给以太网络安全带来了极大隐患，许多的网络入侵往往都是伴随着以太网内网络监听行为，从而造成口令失窃，敏感数据被截获等连锁性安全事故。在网络上，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作。

2 网络监听原理

以太网可以把相邻的计算机、终端、大容量存储器的设备、控制器、显示器以及为连接其他网络而使用的网络连接器等相互连接起来，具有设备共享、信息共享、高速数据通讯等特点。以太网这种工作方式，一个形象的比喻：学校很多的学生集中在一间大教室里，教室就像是一个共享的信道，里面的每个人好像是一台主机。教师所说的话是信息包，在教室中到处传播。当我们对其中某同学说话时，所有的人都能听到。正常情况下只有名字相符的那个人才会作出反应，并进行回应。但其他人了解谈话的内容，也可对所有谈话内容作出反应。因此，网络监听用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获。

3 网络监听的特点

(1)手段灵活。网络监听可以在网上的任何位置实施，可以是网上的一台主机、路由器，也可以是调制解调器。

(2)隐蔽性强。进行网络监听的主机只是被动地接收网上传输的信息，没有任何主动的行为，既不修改网上传输的数据包，也不往链路上插入任何数据，很难被网络管理员觉察到。

4 网络监听的检测

（1）对于怀疑运行监听程序的机器，向局域网内的主机发送非广播方式的ARP包（错误的物理地址），如果局域网内的某个主机响应了这个ARP请求，我们就可以判断该机器处于杂乱模式。而正常的机器不处于杂乱模式，对于错误的物理地址不会得到响应。

（2）网络和主机响应时间测试。向网上发大量不存在的物理地址的包，处于混杂模式下的机器则缺乏此类底层的过滤，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，骤然增加的网络通讯流量会对该机器造成较明显的影响，这将导致性能下降。通过比较前后该机器性能加以判断是否存在网络监听。

（3）使用反监听工具如antisniffer等进行检测。

5 网络监听的防范

首先是网络分段，网络分段即采用网络分段技术建立安全的拓扑结构，将一个大的网络分成若干个小网络，如将一个部门、一个办公室等可以相互信任的主机放在一个物理网段上，网段之间再通过网桥、交换机或路由器相连，实现相互隔离。这样只有相互信任的主机才在同一网段，才可进行直接的通信。这是控制网络风暴的一种基本手段，也是防范网络监听的一项重要措施。因此，网段外的主机无法直接对网段内的主机进行监听，从而减少网段内主机被基于广播原理监听的可能性，即使某个网段被监听了，网络中其他网段还是安全的，因为数据包只能在该子网的网段内被截获，网络中的剩余部分则被保护了。

其次是数据加密，数据加密的优越性在于，即使攻击者获得了数据，如果不能破译，这些数据对他们也是没有用的。一般而言，人们真正关心的是那些秘密数据的安全传输，使其不被监听和偷换。如果这些信息以明文的形式传输，就很容易被截获而且阅读出来。因此，对秘密数据进行加密传输是一个很好的办法。

再次是加强身份验证，采用一定的安全措施，使主机之间的信任和主机身份识别需要IP地址和MAC地址，而不是单纯依靠IP地址或MAC地址。这样监听者主机就无法利用ARP欺骗技术来冒充被监听的主机。