网络安全防范论文精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全防范论文主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全防范论文范文

关键词：计算机网络安全威胁防范措施

1.网络安全性概述

随着计算机网络在全社会的普及，特别是Internet的飞速发展，网络技术在政府、军事、教育以及国民经济中的作用越来越重要。而由此带来的网络安全性问题也就成为一个全社会非常关注的问题。

计算机网络系统从技术上看它是一个开放系统互连环境，从应用上看它是一个资源交流和信息流通的开放环境。大量的事实让人们感受到，对于大到因特网，小到内部网和校园网，都存在着来自内部或外部的网络安全性威胁。要使计算机网络系统能够安全、可靠地运行，除了要加强对网络使用方法、使用道德的教育外，还要必须采取完善的网络安全性方面的各种技术措施。

2.计算机网络安全面临的威胁

通常时计算机网络安全构成威胁的主要因素有以下三个方面：

2.1自然因素。主要指由于地震、雷击、洪水等其他不可抗拒的自然灾害造成的损害，以及因计算机硬件和网络设备的自然磨损或老化造成的损失。

2.2操作失误。由于管理人员或操作员的操作失误，导致文件被删除，磁盘被格式化，或因为网络管理员对网络的设置不够严谨造成的安全漏洞，用户的安全意识不够等，都会给计算机网络的安全带来威胁。

2.3外部攻击。一般可分为两种，一种是对网络进行攻击：利用操作系统或应用软件的漏洞进行攻击以破坏对方信息的有效性或完整性，另一种是网络侦察：在不影响网络正常工作的情况下，进行截获、破译、窃取以获得重要的机密信息。

3.网络攻击的方式及发展趋势

3.1拒绝服务攻击。拒绝服务攻击的主要目的是使计算机及网络无法提供正常的服务，它会破坏计算机网络的各种配置，消耗计算机及网络中各种有限资源等。这是最常见的一种网络攻击，也是最难对付的入侵攻击之一。

3.2欺骗式攻击。欺骗式攻击不是利用软件的漏洞进行攻击，而是重点诱骗终端用户进行攻击。TCP／IP协议存在着很多缺陷和漏洞，攻击者利用这些漏洞进行攻击，或者进行DNS欺骗和Web欺骗。

3.3通过协同工具进行攻击。各种协同工具的使用，可能导致泄漏机密商业数据。

3.4对手机等移动设备的攻击。近年来，手机、PDA及其他无线设备感染恶意软件的数量在激增，但因为其使用和传播的一些特点还没有导致大规模爆发。但随着WAP网和无线上网的发展，此类攻击也会越来越普遍。

3.5电子邮件攻击。随着电子邮件在工作和生活中的普遍使用，和用电子邮件进行的攻击也越来越多。这些攻击常常针对政府部门、军事机构及其他大型组织。

4.网络信息安全的技术保障策略

4.1加密与解密技术。信息加密是网络与信息安全保密的重要基础。它是将原文用某种特定方式或规则进行重新编排，使其变为一般人无法阅读理解的密文。当前比较成熟的加密方法有：替换加密、移位加密、序列密码、一次性密码本加密等。加密可以有效地对抗信息泄露，黑客非法访问等威胁。

4.2身份鉴别。对实体声称的身份进行惟一性识别，以便验证其访问请求，或保证信息来源以验证消息的完整性，有效地对抗非法入侵访问、冒充、重演等威胁。鉴别的方式很多；利用通行字、密钥、访问控制机制等鉴别用户身份，防止冒充、非法访问等，当今最佳的身份鉴别方法是数字签名。

4.3网络访问控制策略。访问控制策略是网络安全防范和保护的主要措施，是保证网络安全最重要的核心策略之一。其主要任务是保证网络资源不被非法使用和非法访问。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。目前进行网络访问控制的主要方法主要有：MAC地址过滤，VLAN隔离、IEEE802.10身份验证、基于IP地址访问控制列表和防火墙控制等。

4.4物理安全策略。保护路由器、交换机、工作站、网络服务器等硬件实体和通信链路免受非人为及人为因素的破坏和攻击。

5.网络安全防范措施

5.1 加密及数字签名技术。加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即“公开密钥密码体制”,其中加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道,分别称为“公开密钥”和“秘密密钥”。

5.2 网络安全漏洞及入侵检测。扫描安全漏洞就是扫描网络中系统、程序、软件的漏洞。采用漏洞扫描系统对网络及各种系统进行定期或不定期的扫描监测,并向安全管理员提供系统最新的漏洞报告,使管理员能够随时了解网络系统当前存在的漏洞并及时采取相应的措施进行修补。入侵检测是通过计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。与其它安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。

5.3 数据备份和恢复。网络系统由于各种原因出现灾难事件时最为重要的是恢复和分析的手段和依据。网络运行部门应该制定完整的系统备份计划,并严格实施。备份计划中应包括网络系统和用户数据备份、完全和增量备份的频度和责任人。

5.4 安装配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。

6.结束语

网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,仅仅采用一两项安全技术是不足以全面对抗网络上所潜在的各种威胁的。因此需要仔细考虑系统的安全需求,并将各种安全技术,如密码技术等结合在一起,才能生成一个高效、通用、安全的网络系统。

参考文献:

第2篇：网络安全防范论文范文

我国的自然灾害发生的次数是非常频繁的，每一次灾害之后损失也会非常大，计算机网络信息系统是非常容易受到自然灾害影响。目前，在很多高职院校中的机房在防御自然灾害能力是非常差的，比如说在平时的工作生活中就会因为断电等意外情况将计算机内存储的数据弄丢。

2计算机网络安全威胁防范措施

计算机网络安全问题解决起来是非常困难的，计算机网络安全威胁会影响互联网正常的使用，需要运用多种不同的防范措施进行解决。对计算机网络安全威胁的防范措施主要有以下几点。

2.1设置防火墙

在高职院校中，多数情况下都是利用防火墙技术来确保计算机网络的安全，防火墙技术主要是将内部的网络与外部的网络之间设置出一道屏障出来。若是想要访问内部网络只有经过授权的协议才可以。目前，防火墙技术已经在社会上被广泛的使用，有些厂家已经把这种技术与计算机硬件并入一起。在未来的发展中，这种简单实用的技术将会得到进一步的发展。

2.2数据加密技术

数据加密主要目的就是对计算机内的重要信息进行加密，是一种保护数据防止丢失的最为有效的手段。数据加密的手段在一定的程度上可以对信息重新进行编码，同时也会隐藏计算机内的重要信息，这样黑客就没有办法获取计算机内的信息。在有人想要获取信息的时候，就会对其身份进行认证，通过对其输入的内容进行比较判断，这样就会对数据起到保护的作用。

2.3加强漏洞扫描技术的应用

这里的所说的漏洞扫描技术是可以自动去检测计算机的脆弱点在哪里，在扫描的时候就可以通过记录脚本文件对系统做出的攻击反应来发现计算机网络系统的漏洞在哪里。进行漏洞扫描的过程中就会收集一些信息为用户所利用。漏洞扫描技术可以进行大范围的扫描来找出计算机网络系统的漏洞在哪里、但是攻击者又可以利用漏洞扫描技术来对计算机网络系统进行攻击，而管理人员又可以利用漏洞扫描技术来防范攻击者对计算机的攻击。

2.4建设计算机安全的管理队伍

校园内计算机网络绝对安全是不可能存在的，所以在校园内应该要建立安全的管理队伍，这样在一定的程度上才能保证校园计算机网络网络安全。在校园内若是想要实现计算机的网络安全是需要使用人员与管理人员共同努力的，这样才有可能减少对计算机网络安全的威胁。另外管理人员应该要将IP地址的资源进行统一管理，这样才能保证计算机网络安全管理工作顺利进行，维护学生们的利益。

3总结

第3篇：网络安全防范论文范文

针对上述计算机网络安全所存在的问题，需要建立一系列的安全防范技术保证计算机网络系统正常运行，安全防范技术包括了防火墙技术、访问控制技术、杀毒软件技术、漏洞扫描和修复技术、加密技术、备份和镜像技术等。防火墙技术。该技术的原理是进行网络屏障达到维护网络安全的目的。作为安全防范技术的基础，防火墙具有拒绝外部用户访问的功能，并且可以有效地管理内部用户访问权限。防火墙技术具有一定的抗攻击性，分为网关技术、状态监测技术、过滤技术三种方式，网关技术就是对网络数据进行扫描，对用户访问的网站进行保护。状态监测技术指的是监测用户访问时的网络连接状态。过滤技术就是对网络数据的地址（原地址、目标地址）进行过滤，确定数据是否可以通过端口。防火墙技术可以在互联网与局域网（企业局域网、校园局域网等）的交接地广泛应用，防火墙技术可以防止计算机网络系统内部信息外泄，同时具有清除网络病毒，实现网络安全保护。访问控制技术。计算机网络可以通过有效的身份认证和访问控制技术来防止黑客的恶意攻击。访问控制技术是计算机网络安全防范的重要内容，访问控制技术主要针对非法访问网络的问题，对用户身份进行判定进而确定访问者的身份。在身份认证方式首先需要管理员设置由数字和字母组成的口令，管理员可以定期修改口令以确保用户正常登录，防止黑客的非法入侵。然而黑客可以通过编写木马程序破译口令，仅采用口令登录方式不能有效地维护网络安全，用户可以设置系统文件权限，在局域网内设置网关等方式避免计算机网络系统的破坏。

与此同时，用户在进行文件传输、远程登录时，访问控制技术可以保证计算机网络安全。杀毒软件技术，杀毒软件可以从根本上抵御计算机网络病毒攻击，避免用户计算机被病毒感染。用户使用杀毒软件，通过全面扫描计算机可以检测出计算机的木马程序和病毒，进而查杀计算机病毒文件，达到提升计算机工作效率和延长计算机使用寿命的目的。杀毒软件技术工作时主要借助多引擎保护，全面扫描、系统监控等方法，判断计算机系统中是否存在病毒，从而抵御计算机病毒入侵。漏洞扫描及修复技术，计算机本身具有很多漏洞，随着网络系统的升级，导致系统的漏洞越来越多。从而导致计算机网络系统遭到木马攻击，引发网络系统崩溃。因此，用户要定期采用安全软件进行漏洞扫描，当发现计算机中存在漏洞时，及时安装必要系统补丁，修复计算机系统漏洞。加密技术，用户需要利用网络完成数据共享，信息交换、文件传输等工作，在此过程中，由于网络系统相对复杂，用户的数据信息存在经过未知网络，从而可能发生用户信息外泄的危险。因此用户在进行信息传递时，可以采用信息加密技术确保安全传输，防止信息泄露。加密技术分为节点加密、链路加密以及端到端加密。节点加密就是在节点端口进行加密，有效地保护节点发送信息和接收信息的安全。链路加密指的是数据以密文形式在链路中进行传输，采用这一方式可以确保链路免遭黑客攻击。端口到端口的加密是在数据信息传输的整个过程中都采用加密形式，为网络数据安全传输提供保障。备份和镜像技术，为了保证计算机网络安全，除了上述网络安全防范技术之外，还应该做好计算机网络系统数据的备份，其目的是为了当计算机系统受到攻击时，通过网络系统备份的数据进行修复，避免网络重要信息的丢失。除此之外，系统可以采用镜像技术，在计算机操作系统崩溃时，通过镜像系统可以还原计算机操作系统，保证计算机网络正常工作。

2结语

第4篇：网络安全防范论文范文

关键词：校园网 安全防范技术

一、校园网络安全概述

计算机网络是信息社会的基础，己经进入社会的各个角落。经济、文化、军事、教育和社会日常生活越来越多地依赖计算机网络。但是不容忽略的是网络本身的开放性、不设防和无法律约束等特点，在给人们带来巨大便利的同时，也带来了一些问题，网络安全就是其中最为显著的问题之一。计算机系统安全的定义主要指为数据处理系统建立和采用的安全保护技术。计算机系统安全主要涉及计算机硬件、软件和数据不被破坏、泄漏等。由此，网络安全主要涉及硬件、软件和系统数据的安全。

近几年，随着计算机网络的迅速发展，全国各高校都普遍建立了校园网。校园网成为学校重要的基础设施。同时，校园网也同样面临着越来越多的网络安全问题。但在高校网络建设的过程中，普遍存在着“重技术、轻安全”的倾向，随着网络规模的迅速发展，网络用户的快速增长，校园网从早先的教育试验网的转变成教育、科研和服务并重的带有运营性质的网络。校园网作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题，解决网络安全问题逐渐引起了各方面的重视。

从根本上说，校园计算机网络系统的安全隐患都是利用了网络系统本身存在的安全弱点，而系统在使用、管理过程中的失误和疏漏更加剧了问题的严重性。威胁校园网安全的因素主要包括：网络协议漏洞造成的威胁，操作系统及应用系统的漏洞造成的威胁，攻击工具获取容易、使用简单，校园网用户的安全意识不强，计算机及网络应用水平有限等方面。

关于网络安全的法律法规都已出台，学校网络中心也制定了各自的管理制度，但是还存在着各种现实问题，宣传教育的力度不够，许多师生法律意识淡薄。网上活跃的黑客交流活动，也为网络破坏活动奠定了技术基础。这是本论文讨论的背景和亟待解决的问题。

二、校园网的安全防范技术

校园网络的安全是整体的、动态的，主要有网络物理安全、系统安全、网络安全、应用安全等多方面的内容，通过采用防火墙、授权认证、数据加密、入侵检测等安全技术为手段，才有利于更有效地实现校园网络安全、稳定运行。论文将对常用的校园网络安全技术进行研究。

首先是认证技术，认证技术是网络通信中建立安全通信信道的重要步骤，是安全信息系统的“门禁”模块，是保证网络信息安全的重要技术。认证的主要目的是验证信息的完整性，确认被验证的信息在传递或存储过程中没有被篡改或重组，并验证信息发送者的真实性，确认他没有被冒充。认证技术是防止黑客对系统进行主动攻击的一种重要技术手段，主要通过数字信封、数字摘要、数字签名、智能卡和生物特征识别等技术来实现。

第二是密码技术，目前保障数据的安全主要采用现代密码技术对数据进行主动保护，如数据保密、双向身份认证。数据完整性等，由此密码技术是保证信息的安全性的关键技术。密码技术在古代就己经得到相当的应用，但仅限于外交和军事等重要领域。随着计算机技术的迅速发展，密码技术发展成为集数学、电子与通信、计算机科学等学科于一身的交叉学科。密码技术不仅能够保证机密性信息的加密，而且完成了数字签名、系统安全等功能。所以，使用密码技术不仅可以保证信息的机密性，而且可以防止信息被篡改、假冒和伪造。现在密码技术主要是密码学。密码学也是密码技术的理论基础，主要包括密码编码学和密码分析学。密码编码学主要研究如何对信息进行编码，以此来隐藏、伪装信息，通过对给定的有意义的数据进行可逆的数学变换，将其变为表面上杂乱无章的数据，而只有合法的接收者才能恢复原来的数据，由此保证了数据安全。密码分析学是研究如何破译经过加密的消息并识别伪造消息。总之，密码编码技术和密码分析技术相互支持、密不可分。

第三是防火墙技术，防火墙是指放置在不同网络或网络安全域之间的系列部件的组合。防火墙在不同网络区域之间建立起控制数据交换的唯一通道，通过允许或拒绝等手段实现对进出内部网络的服务和访问的控制。防火墙本身也具有较强的抗攻击能力，能有效加强不同网络区域之间的访问控制，是提供信息安全服务，实现网络安全的重要的基础设施。

第四是入侵检测系统。网络安全风险系数越来越高，防火墙技术己经不能满足人们对网络安全的需求。入侵检测系统作为对防火墙及其有益的补充，不仅能帮助网络系统快速发现攻击的发生，也扩展了系统管理员的安全管理能力，有效提高了信息安全基础结构的完整性。

三、结语

网络技术迅速发展的同时，也带来了越来越多的网络安全问题，校园网安全防范的建设更是一项复杂的系统工程，需要相关工作人员予以更多的重视。论文在辨清网络安全和校园网络安全的定义的基础上，从认证技术、密码技术、防火墙、入侵检测系统、访问控制技术、虚拟专用网六个方面分析了校园网安全防范技术，这不仅是理论上的分析，也为网络安全实践提供了一定的借鉴。

参考文献：

[1]蔡新春.校园安全防范技术的研究与实现[J].合肥工业大学，2009（04）.

[2]谢慧琴.校园网安全防范技术研究[J].福建电脑，2009（09）.

[3]卜银侠.校园网安全防范技术体系[J].硅谷，2011（24）.

[4]陶甲寅.校园网安全与防范技术[J].电脑知识与技术，2007（01）.

[5]袁修春.校园网安全防范体系[D].兰州：西北师范大学，2005.

[6]钟平.校园网安全防范技术研究[D].广州：广东工业大学，2007.

第5篇：网络安全防范论文范文

本论文最终建立了适应独立学院网络安全管理的体系模型及应用模式,为校园网络中所存在的严重安全问题提出一种思路及解决办法。

关键词:校园网 网络安全 管理体系

Abstract:The research in this thesis is based on the data from the campus network in Zhuhai Campus of Beijing Institute of Technology, which is abbreviated to ZC below. It is a total resolution to all sorts of problems in ZC during last 4 years. The safety management system is a theoretical summary to the total resolution, which is not a simple stacking technology, but the integration of the technology, such as ACL, firework, IDS, Traffic management, intrusion detection and vulnerability scanning. Network-wide security measures are designed from the client to export to the Internet, and safety precautions are applied to every aspect of the user data streams. In actual operation, the main security problems of the networks are controlled effectively, and the network is very stable.

eventually a system model and an application model are established adapting to the safety management for the campus network of colleges and universities. Solutions to the serious security issues of campus network are put forward.

Key Words:campus network、Network Security、management system

上述三个系统在应用中,基本搭建起学校的整个电子资源,其中校务管理系统最为重要,此系统一但瘫痪意味着学校将基本停止正常运行。然而随着互联网技术的发展,黑客的攻击手段日益先进。单一的技术手段无法保证系统的安全运行,只有在安全策略的指导下,建立互动的安全防范体系,才能最终保证网络的安全,保证系统稳定运行。

构建网络安全管理体系模型

一般而言,各学校目前普遍采用PDRR模型来构建安全防御体系。PDRR模型属于动态信息安全理论的模型,PDRR是4个英文单词的头字符:Protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复)。这四个部分构成了一个动态的信息安全周期,如图:

该模型更多的强调通过防火墙、IDS以及VPN等技术来解决校园网络中存在的安全问题,重点在于安全应用技术,同时没有形成体系和防御层次,并忽视了两个重要的安全因素,安全管理与大流量数据拥堵造成的网络安全问题。

为能够更加有效的保证网络及各类应用的安全运行,安全管理体系的设计应突出网络安全的整个流程,从用户的发起端到校园网络的INTERNET出口,在数据流传输的各个环节进行了分布式的安全防范,同时辅以入侵检测、漏洞扫描、流量管理的多种技术手段,加以监控并降低设备不必要的运行压力,保证网络系统稳定运行。在各个环节中,以策略为中心的安全模型可以更充分的发挥模型的各项功能。以安全策略为中心的轮形安全模型,可以从安全、监测、测试、调优、流控五个部分对我们的安全架构进行不断的完善,使其成为一个自防御体系,能够快速、有效、可靠、全面的发现各种系统遭受的攻击,并实现有效的防范,以确保系统的稳定运行。

在PDRR基础上,以安全策略为核心,以安全技术为支撑,以安全管理作为落实手段,建立了高效校园网络安全管理体系。

针对于上述的安全架构,在具体的应用中,安全体系架构包含二个模块:分别为校园互联网接入模块、校园园区网模块,二个安全构件组成信息系统的安全架构。这种结构划的设计,有利于在不同的网络功能模块之间更好的划分安全防范的重点,并具有良好的扩展型,允许在今后的网络安全规划中,以一种层次的关系来分发安全策略。

安全模块的设计特点

校园INTERNET接入模块

校园INTERNET接入模块主要是预防INTERNET攻击的第一道门户,是防范INTERNET上黑客攻击的最主要屏障。因此,它的设计思想是以最少的策略,实现最严格的限制与最少的漏洞,同时保证最快的转发速度。

校园园区网模块

校园园区网是内部网的核心,保护着包括内网用户、重要服务器的安全。园区网由一台防火墙、两台互为冗余的主干交换机、内部应用服务器与楼层交换机、IDS模块组成。在防火墙上根据用户、服务进行详细的分类,并针对每一个服务访问做到具体的策略应用,园区网上防火墙的安全配置要求对每个访问做到具体、全面、严格的限制,为每个用户都划分了访问的具体范围,它作为安全防护的中心。

安全架构的检测

完成基本架构的搭建,为了保证各项安全措施能够满足防御要求,采用了多种方式进行系统的模拟安全检测。

(1) 使用两种漏洞扫描软件对系统进行测试,SYMANTEC NETSTAT、及SSS软件进行比较安全测试;

(2) 在防火墙的不同位置,TRUST、UNTRUST、DMZ、DMZ1等区域对包括网络设备、主机系统进行了模拟攻击;

在一个完整的校园安全管理体系中,各个部分之间的分工清晰,相互协作,在具体应用中可以很好的应用在实际的管理模块上。这种方式将简单、高效的布置校园网络的安全,为校园网络的运行及信息化建设奠定良好的安全基础。

北京理工大学珠海学院校园网安全管理体系部署

北京理工大学珠海学院(以下简称珠海学院)自2004年建校以来,珠海学院已拥有在校生15000人,校园网络经历了6年的建设,信息点已达20000个,建成了内网骨干带宽为20G,珠海学院外网带宽600M,校内包括教务系统、网络教学平台、一卡通系统等各类应用已达40个,网络用户已达12500人左右。

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文

安全策略

珠海学院各应用服务器大部分采用WINDOWS 2003,部分采用WINDOWS 2008,数据库服务器采用LINUX操作系统,使用的应用软件主要包括:ORACLE、SQL SERVER、MY SQL、APACHE、IIS等,网络情况、应用环境十分复杂。针对上述问题,在建网初期,即制定了相应的安全管理近期与长期目标。安全体系的近期目标是实现完善的安全审计和取证机制,保证受到入侵后有证可查。鉴于大多数安全事件来自于管理员的误操作,审计在明确事故责任上也能发挥重大作用。长期目标是建立安全预警系统,能够抵御较高水平的黑客攻击。

分布式安全防范措施

分布式防范措施是从用户端到INTERNET出口之间进行层层设防,部署不同的安全技术和措施,从技术方面杜绝出现安全问题的举措。在珠海学院的网络上,我们采取了下列措施:

(1)限定网络用户的不同vlan。(2)实行802.1x的认证协议。(3)网络用户安全管理。(4)网络用户隔离。(5)网间设备数据传输安全。(6)交换机ip与用户ip分别管理。

(7)防止木马的管理方式。(8)设置应用的不同安全等级。(9)服务器的安全管理。

(10)VPN访问。(11)系统恢复。

漏洞扫描

珠海学院在漏洞扫描工具上采用的是俄罗斯Shadow Security Scanner软件,在安全扫描市场中享有速度最快,功效最好的盛名,其功能远远超过了其它众多的扫描分析工具。SSS 可以对很大范围内的系统漏洞进行安全、高效、可靠的安全检测,对系统全部扫面之后,SSS可以对收集的信息进行分析,发现系统设置中容易被攻击的地方和可能的错误,得出对发现问题的可能的解决方法。

在珠海学院的网络管理中,定期对各个主要的交换机、服务器进行安全扫描,以为下一步的安全管理提供依据。

入侵检测

珠海学院的入侵检测系统布置,分为两个层次,首先为NIDS,主要启用防火墙的IDS模块功能;

另外,启用HIDS功能及在服务器上安装个人防火墙设置,珠海学院采用的是MICROSOFT ISA2004。

为了检测有害的入侵者,ISA Server将网络通信以及日志项与熟知的攻击方法进行比较。如发现可疑的行为会触发一组预先设定的措施或者警报。这些措施包括终止链接、终止服务、电子邮件警报、记入日志、以及运行一个选定的程序。

流量管理

由于P2P技术的广泛应用,目前大多数网络用户都采用P2P技术的网络工具进行诸如下载、视频、听歌等服务,如迅雷、QQ直播、酷狗等,这些软件的优点是充分利用互联网络,为用户提供丰富的资源。应该说P2P技术的快速发展带动了互联网络的快速发展,让用户能够更加便捷的使用互联网上的资源。

但P2P技术对于网络管理与运营来说是一种严重的挑战,一方面P2P技术过于贪婪,最大化的利用网络带宽进行下载。在珠海学院建网初期,申请的100M互联网带宽在没有任何限制的情况下,仅有120多用户就占满了所有的下行带宽,对校园网络运营影响极大(带宽租用价格较贵)。而且下载的很多资源内包含有大量的木马、病毒程序,对网络的安全运行造成了极大的影响。在珠海学院校园网络运行初期,很多问题是围绕着带宽、速度产生的。P2P应用软件的广发使用对校园网络设备带来了极大的压力,根本无从保证校园网络的稳定运行和安全管理。

经过不断的摸索,珠海学院在控制P2P应用中重点采用了三种措施:

(1)限制用户的带宽:对于单个用户ip,通过防火墙对用户进行带宽管理,为每个用户保证一条相对固定的通道,而不去影响其它用户的上网;

(2)限制用户的连接数:每个服务都是通过TCP或者UDP进行的数据通信,通过防火墙对单个用户ip进行连接数的限制,从而限制诸如迅雷、p2p等贪婪占用通道的工具,以保证网络线路的通畅;

(3)限制或封闭P2P协议的总带宽:P2P协议之所以难以管理,主要是由于这种技术在使用过程中的服务端口可以随机的变化,管理者根本无法确定服务的端口号,也就无法通过传统的设备进行限制和禁止。但任何协议都有自己的特征码,我们通过技术手段对P2P协议的特征进行匹配从而控制这种协议的软件。但考虑到这种软件应用的广泛性,仅对这种软件限制总体流量而并不完全封闭。

安全管理

安全管理贯穿于安全防范体系的始终。实践一再告诉人们仅有安全技术防范,而无严格的安全管理体系相配套,是难以保障网络系统安全的。必须制定一系列安全管理制度,对安全技术和安全设施进行管理。实现安全管理必须遵循可操作、全局性、动态性、管理与技术的有机结合、责权分明、分权制约及安全管理的制度化等原则。

2004年珠海学院校园网络建立后,我们形成了初步的安全管理制度,但在运行过程中,发现存在有很多的问题。校园网络建立初期,设立网管负责全校的校园网络管理、设立了系统管理员负责全校的应用服务器管理,但实际上虽然人员角色明确,但人员任务并不明确。比如,网管人员管理所有的网络设备,但具体的学生用户上网情况并不是十分了解,对存在的问题不是非常清晰。而作为系统管理员并不十分清楚服务器所安装的具体应用软件要求,往往是由应用管理人员对系统进行维护,但又经常忽视系统的安全性。

针对上述问题,我们制定了以业务为主导的管理模式,将校园网络分为两片,宿舍区网络、教学区网络,分别由专人进行管理,但网络路由统一由教学区管理,以保证网络的稳定、畅通性。而应用系统部分分为公共基础服务、校务管理系统、网络教学系统分别由三个专职人员负责维护、管理,并有一人总负责,检查、督促工作的完成情况。

这种管理方式让具体管理人员对于自身管理系统的问题十分清楚,从而保证了整个网络安全体系的动态性和有效性。

运行效果

经过对校园网络的一系列调整、改造,珠海学院的校园网络运行得到了极大的改善,我们从以下几个方面来评定:

网络基本流量对比

珠海学院学生用INTERNET线路共计有3条,2条200M电信带宽,1条100M网通带宽。三条线路分别连接在3台防火墙上,分别为3.1,3.10,4.1。下列图为对前2台防火墙的INTERNET接口进行的数据取样。

如图所示,每到高峰期时,200M带宽基本上已经全部占满,

用户网络运行稳定

珠海学院网络运行时间为8:00-24:00,其余时间断网,下表即位珠海学院上网用户的信息统计。如表所示,一天之中在中午与晚上分别为两个最高峰的运行值,用户在线率高,网络带宽消耗也相应提升。

网络运行稳定

珠海学院网络分为办公网络(教学楼部分)与学生网络(生活区部分),为了保障系统的安全,这两个部分之间的网络作了相应的策略控制,只能通过服务器进行数据交换。每天,网管对两部分网络进行监控各自的运行状态,以及时了解网络中可能出现的问题。

下图分别描述了位于教学区与生活区部分网络设备的运行状况。(测试工具为SolarWinds 2001 Enhanced Ping)

基本服务运行正常

通过对所有流经网络管理器的数据包进行监控,分析得到网络中各种协议的运行情况及流量状态。该监控囊括了网络上所有协议的定义,分作传统协议、P2P下载、网络电视、即时通信、流媒体、网络电话、网络游戏、股票交易、网络安全这些监控模块,直接体现了网络上各种协议的应用情况。

服务器系统运行稳定

通过对主要服务器的系统状态监控,了解CPU、内存、SWAP等的运行状态及各服务进程的运行状态,确定服务器的是否正常。

3 结语

校园网络作为校园信息系统的基础网络平台,网络的安全、稳定运行是保证各项业务平稳运行的基础保障,必须建立起一套可行的、有机的安全管理体系,根据学校的实际特点进行有效的部署。从北京理工大学珠海学院校园网络安全体系的建立中,我们积累了一些基础,并在此基础上,本文提出了在PDRR基础上,以安全策略为核心,以安全技术为支撑,以安全管理作为落实手段,建立了校园网络安全管理体系。

参考文献

康弗瑞.网络安全体系结构.北京:人民邮电出版社,2005年.15-21.

戴英侠.计算机网络安全.北京:清华大学出版社,2004年.89-131.

曾湘黔.防火墙与网络安全-入侵检测和VPNs.北京:清华大学出版社,2004年.

W.RICHARD STEVENS. TCP/IP详解 卷1:协议 .机械工业出版社,2000年.

W..RICHARD STEVENS.TCP/IP详解 卷2:实现TCP/IP .机械工业出版社,2000年.

W.RICHARD STEVENS. TCP/IP详解卷三:TCP事务协议.机械工业出版社,2000年.

张小斌,严望佳.黑客分析与防范技术.北京:清华大学出版社,2003.82-91.

张仕斌,谭三等.网络安全技术.北京:清华大学出版社,2004.87-121.

段钢.加密与解密(第三版).电子工业出版社,2008.

曹元大,薛静锋,祝烈煌,阎慧.入侵检测技术.人民邮电出版社,2007.

第6篇：网络安全防范论文范文

论文关键词：计算机　网络　安全　对策

论文摘要：本文对计算机网络安全存在的问题进行了深入探讨，提出了对应的改进和防范措施。

随着计算机信息化建设的飞速发展，计算机已普遍应用到日常工作、生活的每一个领域，比如政府机关、学校、医院、社区及家庭等。但随之而来的是，计算机网络安全也受到全所未有的威胁，计算机病毒无处不在，黑客的猖獗，都防不胜防。本文将着重对计算机信息网络安全存在的问题提出相应的安全防范措施。

1、技术层面对策

在技术方面，计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来，技术层面可以采取以下对策：

1) 建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息，严格做好开机查毒，及时备份数据，这是一种简单有效的方法。

2) 网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

3) 数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略：只备份数据库、备份数据库和事务日志、增量备份。

4) 应用密码技术。应用密码技术是信息安全核心技术，密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一，密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。

5) 切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理，不使用来历不明的U盘和程序，不随意下载网络可疑信息。

6) 提高网络反病毒技术能力。通过安装病毒防火墙，进行实时过滤。对网络服务器中的文件进行频繁扫描和监测，在工作站上采用防病毒卡，加强网络目录和文件访问权限的设置。在网络中，限制只能由服务器才允许执行的文件。

7) 研发并完善高安全的操作系统。研发具有高安全的操作系统，不给病毒得以滋生的温床才能更安全。

2、管理层面对策

计算机网络的安全管理，不仅要看所采用的安全技术和防范措施，而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合，才能使计算机网络安全确实有效。

计算机网络的安全管理，包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念，提高计算机用户的安全意识，对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰，是十分重要的措施。

这就要对计算机用户不断进行法制教育，包括计算机安全法、计算机犯罪法、保密法、数据保护法等，明确计算机用户和系统管理人员应履行的权利和义务，自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则，自觉地和一切违法犯罪的行为作斗争，维护计算机及网络系统的安全，维护信息系统的安全。除此之外，还应教育计算机用户和全体工作人员，应自觉遵守为维护系统安全而建立的一切规章制度，包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。

3、物理安全层面对策

要保证计算机网络系统的安全、可靠，必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施，主要包括以下内容：

1) 计算机系统的环境条件。计算机系统的安全环境条件，包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面，都要有具体的要求和严格的标准。

2) 机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地，要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性，避开强振动源和强噪声源，并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。

3) 机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全，首先，应考虑物理访问控制来识别访问用户的身份，并对其合法性进行验证；其次，对来访者必须限定其活动范围；第三，要在计算机系统中心设备外设多层安全防护圈，以防止非法暴力入侵；第四设备所在的建筑物应具有抵御各种自然灾害的设施。

计算机网络安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术，将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来，形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重，安全技术必须结合安全措施，并加强计算机立法和执法的力度，建立备份和恢复机制，制定相应的安全标准。此外，由于计算机病毒、计算机犯罪等技术是不分国界的，因此必须进行充分的国际合作，来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。

参考文献

[1] 张千里.网络安全新技术[M].北京:人民邮电出版社，2003.

第7篇：网络安全防范论文范文

一 绪论 安全管理的发展趋势和现状

1、 网络安全现状

计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利，而且正在创造着巨大的财富，以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次不断深入，应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。

与此同时，计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长，网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等，都造成了各种危害，包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出，已经成为影响国家安全、社会稳定和人民生活的大事，发展与现有网络技术相对应的网络安全技术，保障网络安全、有序和有效的运行，是保证互联网高效、有序应用的关键之一。

2、 现有网络安全技术

计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合，协议本身和应用都有可能存在问题，网络安全问题包括网络所使用的协议的设计问题，也包括协议和应用的软件实现问题，当然还包括了人为的因素以及系统管理失误等网络安全问题，下表示意说明了这些方面的网络安全问题。

问题类型 问题点 问题描述

协议设计 安全问题被忽视 制定协议之时，通常首先强调功能性，而安全性问题则是到最后一刻、甚或不列入考虑范围。

其它基础协议问题 架构在其他不穏固基础协议之上的协议，即使本身再完善也会有很多问题。

流程问题 设计协议时，对各种可能出现的流程问题考虑不够周全，导致发生状况时，系统处理方式不当。

设计错误 协议设计错误，导致系统服务容易失效或招受攻击。

软件设计 设计错误 协议规划正确，但协议设计时发生错误，或设计人员对协议的认知错误，导致各种安全漏洞。

程序错误 程序撰写习惯不良导致很多安全漏洞，包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。

人员操作 操作失误 操作规范严格且完善，但是操作人员未受过良好训练、或未按手册操作，导致各种安全漏洞和安全隐患。

系统维护 默认值不安全 软件或操作系统的预设设置不科学，导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。

未修补系统 软件和操作系统的各种补丁程序没有及时修复。

内部安全问题 对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统，成为不信任领域内系统攻击信任领域的各种跳板。

针对上表所示的各种网络安全问题，全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题，这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等，相继陆续推出了包括防火墙、入侵检测（IDS）、防病毒软件、CA系统、加密算法等在内的各类网络安全软件，这些技术和安全系统（软件）对网络系统提供了一定的安全防范，一定程度上解决了网络安全问题某一方面的问题。

3、 现有网络安全技术的缺陷

现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的，它只能相应地在一定程度上解决这一个或几个方面的网络安全问题，无法防范和解决其他的问题，更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题，但却无法防止确认的用户之间传递的信息是否安全的问题，而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害，但却无法识别和确认网络上用户的身份等等。

现有的各种网络安全技术中，防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙，状态检测包过滤防火墙和应用层防火墙，但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时，防火墙还存在着一些弱点：一、不能防御来自内部的攻击：来自内部的攻击者是从网络内部发起攻击的，他们的攻击行为不通过防火墙，而防火墙只是隔离内部网与因特网上的主机，监控内部网和因特网之间的通信，而对内部网上的情况不作检查，因而对内部的攻击无能为力；二、不能防御绕过防火墙的攻击行为：从根本上讲，防火墙是一种被动的防御手段，只能守株待兔式地对通过它的数据报进行检查，如果该数据由于某种原因没有通过防火墙，则防火墙就不会采取任何的措施；三、不能防御完全新的威胁：防火墙只能防御已知的威胁，但是人们发现可信赖的服务中存在新的侵袭方法，可信赖的服务就变成不可信赖的了；四、防火墙不能防御数据驱动的攻击：虽然防火墙扫描分析所有通过的信息，但是这种扫描分析多半是针对IP地址和端口号或者协议内容的，而非数据细节。这样一来，基于数据驱动的攻击，比如病毒，可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。

入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重，它不能称之为一个可以信赖的安全工具，而只是一个参考工具。

在没有更为有效的安全防范产品之前，更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全，然而相对应的是，新的OS漏洞和网络层攻击层出不穷，攻破防火墙、攻击计算机网络的事件也越来越多，因此，开发一个更为完善的网络安全防范系统来有效保护网络系统，已经成为各网络安全厂商和用户的共同需求和目标。

4发展趋势：

中国的网络安全技术在近几年得到快速的发展，这一方面得益于从中央到地方政府的广泛重视，另一方面因为网络安全问题日益突出，网络安全企业不断跟进最新安全技术，不断推出满足用户需求、具有时代特色的安全产品，进一步促进了网络安全技术的发展。

从技术层面来看，目前网络安全产品在发展过程中面临的主要问题是：以往人们主要关心系统与网络基础层面的防护问题，而现在人们更加关注应用层面的安全防护问题，安全防护已经从底层或简单数据层面上升到了应用层面，这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴，越来越多的安全技术已经与应用相结合。

4.1、现阶段网络安全技术的局限性

谈及网络安全技术，就必须提到网络安全技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。

任何一个用户，在刚刚开始面对安全问题的时候，考虑的往往就是这“老三样”。可以说，这三种网络安全技术为整个网络安全建设起到了功不可没的作用，但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。

转贴于

首先，从用户角度来看，虽然系统中安装了防火墙，但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。

其次，未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足，且在精确定位和全局管理方面还有很大的空间。

再次，虽然很多用户在单机、终端上都安装了防病毒产品，但是内网的安全并不仅仅是防病毒的问题，还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。

所以说，虽然“老三样”已经立下了赫赫战功，且仍然发挥着重要作用，但是用户已渐渐感觉到其不足之处。其次，从网络安全的整体技术框架来看，网络安全技术同样面临着很大的问题，“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全，需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。

4.2、技术发展趋势分析

.

防火墙技术发展趋势

在混合攻击肆虐的时代，单一功能的防火墙远不能满足业务的需要，而具备多种安全功能，基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术，优势将得到越来越多的体现，UTM（UnifiedThreatManagement，统一威胁管理）技术应运而生。

从概念的定义上看，UTM既提出了具体产品的形态，又涵盖了更加深远的逻辑范畴。从定义的前半部分来看，很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念；而从后半部分来看，UTM的概念还体现了经过多年发展之后，信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。

UTM的功能见图1.由于UTM设备是串联接入的安全设备，因此UTM设备本身必须具备良好的性能和高可靠性，同时，UTM在统一的产品管理平台下，集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体，实现了多种防御功能，因此，向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。

（1）网络安全协议层防御。防火墙作为简单的第二到第四层的防护，主要针对像IP、端口等静态的信息进行防护和控制，但是真正的安全不能只停留在底层，我们需要构建一个更高、更强、更可靠的墙，除了传统的访问控制之外，还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用，实现七层协议的保护，而不仅限于第二到第四层。

（2）通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高，将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出，但是目前全世界对IPS的部署非常有限，影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率，针对不同的攻击，采取不同的检测技术，比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等，从而显著降低误报率。

（3）有高可靠性、高性能的硬件平台支撑。

（4）一体化的统一管理。由于UTM设备集多种功能于一身，因此，它必须具有能够统一控制和管理的平台，使用户能够有效地管理。这样，设备平台可以实现标准化并具有可扩展性，用户可在统一的平台上进行组件管理，同时，一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛，从而在应对各种各样攻击威胁的时候，能够更好地保障用户的网络安全。

二 网络安全面临的主要问题

1. 网络建设单位、管理人员和技术人员缺乏安全防范意识，从而就不可能采取主动的安全 措施加以防范，完全处于被动挨打的位置。

2. 组织和部门的有关人员对网络的安全现状不明确，不知道或不清楚网络存在的安全隐 患，从而失去了防御攻击的先机。

3. 组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构，其缺陷给攻击 者以可乘之机。

4. 组织和部门的计算机网络没有建立完善的管理体系，从而导致安全体系和安全控制措施 不能充分有效地发挥效能。业务活动中存在安全疏漏，造成不必要的信息泄露，给攻击者以收集敏感信息的机会。

5. 网络安全管理人员和技术有员缺乏必要的专业安全知识，不能安全地配置和管理网络， 不能及时发现已经存在的和随时可能出现的安全问题，对突发的安全事件不能作出积极、有序和有效的反应。

三 网络安全的解决办法

实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性，才能保证安全控制措施有效地发挥其效能，从而确保实现预期的安全目标。因此，建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构，把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。

1. 安全需求分析 "知已知彼，百战不殆"。只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构，从而有效地保证网络系统的安全。

2. 安全风险管理 安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估，以组织和部门可以接受的投资，实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。

3. 制定安全策略 根据组织和部门的安全需求和风险评估的结论，制定组织和部门的计算机网络安全策略。

4. 定期安全审核 安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次，由于网络安全是一个动态的过程，组织和部门的计算机网络的配置可能经常变化，因此组织和部门对安全的需求也会发生变化，组织的安全策略需要进行相应地调整。为了在发生变化时，安全策略和控制措施能够及时反映这种变化，必须进行定期安全审核。

5. 外部支持 计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持，将使网络安全体系更加完善，并可以得到更新的安全资讯，为计算机网络安全提供安全预警。

6. 计算机网络安全管理 安全管理是计算机网络安全的重要环节，也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动，规范组织的各项业务活动，使网络有序地进行，是获取安全的重要条件。

第8篇：网络安全防范论文范文

关键词：网络安全；安全技术；病毒；方法

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)17-4028-02

Analyze Calculator Network Security Flaws and Prevention

LI Tian-xiang, LI Xuan-ming

(University for Science & Technology Sichuan, Chengdu 611745, China)

Abstract：Internet bring convenience to the life of people at the same time, the problem of network security has become more and more serious. The current threat to many factors of network security, outlaws use of computer network vulnerability of network security problems existing in the computer network crime, serious harm the state and society. Thus, the computer network security technology should have realistic meanings.

Key words: network security; safety technology; virus; methods

随着计算机网络讯速发展,信息传递方式的改变，促使社会沟通联系更加密切。随着互联网规模进一步扩大，网络给网民带来丰富的信息资源的同时，也存在安全隐患，计算机网络安全成为亟待解决的问题。

1 计算机网络安全概述

1.1 计算机网络安全的含义

计算机安全的定义是数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。由此而衍生出计算机网络安全的含义，即：计算机网络的硬件、软件、数据的保密性、完整性、可用性得到保护，使之不受到偶然或恶意的破坏。具体含义随着使用者的立场不同而改变。

1.2 计算机网络安全威胁的特点

1) 破坏性和危害性。网络攻击往往会对计算机系统造成严重的破坏，使计算机处于瘫痪状态。一旦攻击成功，会给计算机用户带来惨重的经济损失，甚者将威胁社会和国家安全。

2) 隐蔽性和潜伏性。计算机网络攻击正是由于其隐蔽性，且其过程所需的时间很短，让使用者疏于防范、防不胜防。计算机攻击产生效果需要一定的时间，攻击一般潜伏在程序中，直到程序满足攻击效果产生的条件，被攻击对象才会发现问题。

3) 突发性和扩散性。计算机网络破坏通常是毫无征兆的，而且其影响会迅速扩散。无论计算机网络攻击的对象是个体还是群体，都会因为网络的互联性形成扩散的连环破坏，其影响规模若不受干扰将会是无限的。

2 计算机网络安全的缺陷分析

2.1 网络系统自身的问题

首先，互联网处于一个无组织状态，自然无安全可言，任一用户可以通过上网浏览，方便的可访问性使单位及个人的敏感性信息极易受到侵入。其次，目前较为流行的操作系统均存在漏洞。漏洞是可以在攻击过程中利用的弱点，它可以是硬件、软件、功能设计等造成的。入侵者往往会研究分析这些漏洞，加以利用而获得侵入和破坏的机会。最后，TCP/IP协议存在安全隐患。一方面，该协议数据流采用明码传输，且传输过程无法控制，这就为他人截取、窃听信息提供了机会；另一方面，该协议在设计时采用簇的基本体系结构，IP地址作为网络节点的唯一标识，不是固定的且不需要身份认证，因此攻击者就有了可乘之机，他们可以通过修改或冒充他人的IP地址进行信息的拦截、窃取和篡改。

2.2 来自外界的威胁

1) 黑客攻击。计算机技术发展速度快于计算机安全技术的发展速度，黑客利用两者之间的空白期，研究发现系统的漏洞，进行突击网络系统安全的提前预谋。这种人为的恶意攻击是计算机网络安全最大的威胁。

2) 病毒入侵。计算机病毒因为其隐蔽性、潜伏性、传染性和破坏性的特点，对计算机网络安全造成巨大的破坏。未来计算机病毒的摧毁力度将越来越强，隐蔽性和抗压性也日益增强，这些病毒的存在对于计算机网络安全而言无疑是定时炸弹。

3) 非法访问。非法访问指的是未经同意就越过权限，利用工具或通过编写计算机程序突破计算机网络的访问权限，侵入他人电脑进行操作。

2.3 计算机用户带来的威胁因素

在计算机使用过程中，使用者安全意识的缺乏通常是网络安全的一个重大隐患。隐秘性文件未设密，操作口令的泄露，重要文件的丢失等都会给黑客提供攻击的机会。对于系统漏洞的不及时修补以及不及时防病毒都可能会给网络安全带来破坏。

2.4 有效监控手段的缺乏

在现实中，计算机网络安全的维护更多注重的是事前预防与事后弥补，在事中监控方面有所欠缺，这直接造成网络安全的不稳定。

3 计算机网络安全防范

3.1 深入研析系统缺陷，不断完善网络系统设计

全面分析网络系统设计是建立安全可靠的计算机网络工程的首要任务。应针对现在计算机网络系统中存在的弱点进行认真研究，完善网络系统设计。主要建立入网访问控制功能模块。入网访问控制为网络提供了第一层保护。用户入网访问控制可分为三步骤：用户名的识别与验证；用户口令的识别与验证；用户账号的检查。三步骤中任意一个不能通过，系统应将其视为非法用户，不能访问该网络。

网络操作系统要经过及时更新，保证其完整性和安全性。系统软件应具备以下安全措施：网络操作系统应具备完善的存取控制功能，防止用户越权存取信息；操作系统应具备良好的存储保护功能，防止用户作业在指定范围以外的存储区域进行操作；还应具备较完善的管理能力，以记录系统的运行情况，监测对数据文件的存取。

3.2 加强网络安全保护，抵制外来威胁

3.2.1 确保计算机网络运行的优良环境

硬件运行环境的改善。服务器机房建设要按照国家统一颁布的标准进行建设、施工，经公安、消防等部门检查验收合格后投入使用。

做好维护设备的工作。建立对各种计算机及网络设备定期检修、维护制度，并作好检修、维护记录。对突发性安全事故处理要制定应急预案，对主要服务器和网络设备，要指定专人负责；发生故障确保及时修复，从而保证设备处于最佳运行状态。

3.2.2 建立完整可靠的安全防线

1) 防火墙控制。防火墙技术是一种网络之间的互联设备，主要防范外部网络用户以非法手段进入内部网络访问，即过滤危险因素的网络屏障。防火墙可以强化网络安全性，它对网络间传输的数据包按照一定的安全策略实施检查，决定传输是否被允许，这样就减小了非法传输的可能性。同时，防火墙可以对网络中的实际操作进行监控和记录。

2) 病毒防杀技术。病毒对于整个计算机网络的破坏作用是巨大的，因此病毒防杀是网络完全技术中的重要环节。在生活中，人们存在一个认识的误区，即对待病毒关键是“杀”。其实病毒应当以“防”为主。计算机被病毒感染后再进行分析、杀毒，这无异于“饭后买单”，事后的弥补性措施是不可能彻底计算机安全问题的。因此我们应当采取主动防御，计算机一定要安装正版的杀毒软件，同时杀毒软件实时监控，定时升级，定期对电脑进行扫描，以便发现并清除隐藏的病毒。应当尽可能采用行之有效的新方法，建立“防杀结合，以防为主，以杀为辅，软硬互补，标本兼治”的网络病毒安全模式。

3) 访问权限设置。访问权限设置是尽量将非法访问排除在网络之外，权限设置是网络安全防范系统中的重要环节。系统通过设定权限条件，赋予用户一定的访问的权利与限制,用户在权限范围内访问可访问相关资源；指定用户能够进行的具体操作。

4) 文件加密技术。加密是把明文变成密文，使未被授权的人看不懂它，从而保护网络中数据传输的安全性。常用的网络加密方法有链路加密、端点加密和节点加密等。

3.2.3 增强计算机用户、管理人员的安全意识

计算机个人用户要加强网络安全意识的培养，根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止其他用户越权访问网络资源。同时，在使用时要注意对病毒的防范,重视杀毒软件的更新，在网络前端进行杀毒。加强网络管理人员安全意识、职业道德、责任心的培养，建立、健全安全管理体制，不断完善信息网络的安全规范化管理制度，大力加强安全建设，给计算机网络安全提供有力保证。

3.2.4 打造专业管理团队,加强网络评估和监控

网络安全的维护一方面要依靠先进的软件防御，另一方面要依靠专业的网络评估和监控人员。这类管理团队存在于黑客的对立面，主要对网络运行的过程进行监控，研究分析是否有不法攻击的存在，并提出改善意见，不断完善网络运行管理机制。

4 结束语

计算机网络安全涉及方方面面，是一个较为复杂的系统。

我们必须综合考虑安全因素，制定合理的目标、技术方案和相关的配套法规等。网络安全是一个相对的安全，并没有绝对安全的网络。随着计算机网络技术的进一步发展，网络安全防护技术也必然随着网络应用的发展而不断发展。

参考文献：

[1] 齐英兰.计算机网络安全问题初探[J].河南财政税务高等专科学校学报,2003.

[2] 白兆辉.浅析计算机网络安全防范的几种关键技术[J].科技信息,2009.

[3] 徐超汉.计算机网络安全与数据完整性技术[M].北京:电子工业出版社,2005.

[4] 皮兴进.计算机网络系统安全威胁及其防护策略的研究[J].才智,2009.

第9篇：网络安全防范论文范文

论文摘要：电子商务的安全防范方面，已经出现了许多新技术新方法，但网络安全问题仍然让人担忧。引入安全策略的维度思想，对各种安全技术进行整合，使各种安全技术在搭配组合上更科学合理，发挥最大的安全效能。

论文关键词：网络安全；安全策略；雏度思想

1概述

计算机信息安全策略维度思想是将计算机信息安全首先从不同的角度(维度)进行拆分，然后对某一些角度(维度)的信息加以限制(如进行加密)，当这一维度被抽出后，其它的信息即便被人得到，只要该被限制的维度不能被获得，则其他人无法得到真实完整的信息，或者说是得到无用的信息。这种体系发生作用的原因就是前面提过的，为当某一维度被限制后，它的上一层维度将会被限制，这样向上的一层层维度都将被限制直到最顶层。在计算机领域里，我们知道计算机信息需要传输，而传输过程中将涉及到传输的内容(加密内容、非加密内容)、传输使用的方式(电话、网络、卫星信号)、传输的时间等诸多维度。在这些维度中如果我们能将任何—个维度加以限制，就能保证这次传输的信息安全可靠。

2安全策略维度的关联分析

为了加强计算机信息安全，我们往往同时采用多种安全技术，如加密、安全认证、访问控制、安全通道等。这样高强度的安全措施为什么还会出现那么多的安全漏洞，以致于大家普遍认为“网络无安全“呢?经过思考，我们认为计算机信息安全策略存在的缺陷，是造成这一现象的重要原因。主要问题出在几个安全维度之间出现了强关联，使原本三维、四维的安全措施降低了维数，甚至只有一维。这样一来，就使得安全防范技术的效力大打折扣。举例来讲，如果我们采取了加密、安全通道这两种技术措施，则我们可以认为这是—个二维安全策略，但是由于它们都是在WINDOWS操作系统上运行，于是这两种本不相关联的安全技术，通过同一操作系统出现了强关联，使其安全策略维度降至一维甚至更低。因为一旦有人在当事人完全不知道的情况下，通过木马或其他手段操控了WINDOWS操作系统，那么无论是加密还是安全通道都变得毫无意义。因为这时入侵者已经被认为是—个合法的操作者，他可以以原主人的身分自行完成诸如加密、安全通道通信的操作，从而进行破坏。究其原因是加密、安全通道技术都分别与操作系统发生了强关联，而加密与安全通道技术通过操作系统，它们俩之问也发生了强关联，这就使安全强度大打折扣。为了减少各维度间的关联尽量实现各维度的正交，我们必须尽量做到各维度之间相互隔离减少软、硬件的复用、共用。共用硬件往往随之而来的就是软件的共用(通用)，因此实现硬件的独立使用是关键。举例来说，要是我们能把操作系统与加密、安全通道实现隔离，则我们就可以得到真正的二维安全策略。为了实现这种隔离，我们可以作这样的设计：我们设计出用各自分离的加密、通讯硬件设备及软件操作系统这些设施能独立的(且功能单一的)完成加密、通讯任务，这样操作系统、加密、安全通道三者互不依赖，它们之间只通过一个预先设计好的接口传输数据(如：Rs232接口和PKCS#11加密设备接口标准)。这样一来，对于我们所需要保护的信息就有了一个完全意义上的二维安全策略。在电子交易的过程中，即便在操作系统被人完全操控的情况下，攻击者也只能得到—个经过加密的文件无法将其打开。即便攻击者用巨型计算机破解了加密文件，但由于安全通道的独立存在，它仍能发挥其安全保障作用，使攻击者无法与管理电子交易的服务器正常进行网络联接，不能完成不法交易。综上所述，我们在制定安全策略时，要尽量实现各个维度安全技术的正交，从硬件、软件的使用上尽量使各个安全技术不复用操作系统不复用硬件设施，从而减少不同维度安全技术的关联程度。

3安全策略维度的节点安全问题

为了保护节安全，我们可以采取的方法一般有两种：加强对节点的技术保护或是将节点后移。为了加强对节点的技术保护，我们采取的方法很多，如加设防火墙，安装防病毒、防木马软件，以及应用层次防御和主动防御技术等等，这方面已经有很多成熟的技术。这种方法强调的是使用技术手段来防御，但也有其缺点，就是防御手段往往落后于攻击手段，等发现技术问题再填补漏洞时很可能已经造成很大的损失。节点后移则更多是强调一种策略而不强调先进的技术，它不强调用最新的病毒库、最新解码技术来进行节点保护，而是通过现有的成熟技术手段尽可能延长节点并将节点后移，从而实现对节点的保护。

为了理清这俩个方法的区别，可以将保护分成系统自身的保护性构造与外部对系统的保护。

系统自身的保护构造依靠的是节点后移，它讲的是系统自身如何通过没汁的合理来保证系统内操作的安全性。但是如果仅靠系统自身的构造是不足以保证系统安全的，因为如果系统的源代码被攻击者购得，又或者高级节点的维护人员恶意修改系统内容等等安全系统外情况的出现，再完美的系统也会无效。这就如同金库的门再厚，管钥匙的人出了问题金库自身是无能为力的。计算机安全能做的事就如同建—个结实的金库，而如何加强对金库的管理、维护(或者说保护)则是另外一件事。事实上金库本身也需要维护与保护，所以我们按照维度思维构建了计算机信息安全体系本身的同时也需要按维度思维对安全体系自身进行保护。具体来讲比如，越是重要的数据服务器越要加强管理，对重要数据服务器的管理人员审查越要严格，工资待遇相对要高，越重要的工作场所越要加强值班、监控等等。

4安全策略维度的安全技术分布

在所没汁安全策略采用了加密、密码认证、安全通道三种技术，则认为是采用了三维的安全防范策略。有以下技术分布方法。方法1中三个安全技术维度直接与顶点相接，只有两级层次没有实现前文所述的节点后移无法进行层级管理，也没有按照二叉树结构进行组织。所以安全性能最差；

方法2中，三个安全技术分成了三个层级，它比方法l要好。但它也有问题它的加密与认证关联于同一个节点，因此如果图中的“二级节点”一旦被攻破则两种安全技术被同时攻破。

方法3中三个安全技术分成四个层级，且加密与认证被分布在不同的节点上，两个三级节点任意—个被攻破仍无法攻破二级节点。因此方法3的安全性能最高。

因此，在有限的可用安全技术中，应该尽量使用二叉树结构，并将这些安全技术尽可能地分布在不同的节点上。