网络安全设计论文精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全设计论文主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全设计论文范文

1.1计算机网络的信息安全

计算机网络设计是非常复杂的，设计过程中会涉及到各种技术，同时具有互联性、开放性、多样性等多种特点，所以可以说计算机网络安全设计也是非常复杂的。从一定程度上来说，信息在计算机网络中进行传输的方式主要包括广域网与局域网两种，传输方式网络的安全程度都是不同的。所以在设计信息安全的过程中，要与不同安全问题相结合，对其进行系统化、全方位的设计。

1.2对信息存储进行安全设计

对于信息安全来说，存储是一项重要措施，存储的位置、安全性对于信息安全来说都是非常重要的。存储的安全性主要是指在存储信息时，整个过程都要保证完整性和保密性，此外还要保证信息的可用性和可控性。一般来说，在存储计算机网络中的信息时会受到的威胁有几方面。一是外网非法的访问，计算机网络在进行访问时，对于一部分用户的访问是没有被授权的，虽然网络并没有授权对这些用户访问，但是依然允许其进行访问，保密性被破坏的同时一些信息也随之被泄露出来，这样一来信息的完整性就被破坏了。二是存储设备故障和损坏，一旦存储设备出现故障以后，信息就会受到不同程度的破坏，同时也会丢失一部分信息，信息的完整性和可用性也相应降低，最重要的是信息的有效性无法得到实现。针对以上各种情况，在信息安全设计过程中应该采取几项对策。控制访问权限，尤其是在信息安全级别方面应该在设置中进行控制，在设置安全级别时避免非法访问，同时对信息进行保护，这种方法的原理为将系统自行设置于安全控制技术相结合，主要包括对访问的级别、身份等进行鉴别，通过跟踪信息、控制文件的安全性等途径对其进行限制。此外，一些计算机在安全设计过程中会对数据进行加密，采取一些防堵措施对信息安全给予保障，一些计算机在安全设计过程中，经常会通过备份数据或者对数据进行加密的方式作为补救的措施，这些措施对非法访问造成的威胁都能起到有效的防止作用。加强保护或维护存储的设备，加强对存储设备的保护与维护可以对信息安全进行有效的保障，一旦存储的设备有问题发生，其后果将会是非常严重的，将会造成难以弥补的损失。所以即使采取措施对存储的设备进行保护与维护，可以防止一些问题的出现。具体的用户访问控制管理。

2计算机网络安全设计与系统化管理

通过上文的讨论，相信大家都已经了解到计算机网络安全的重要性了，安全设计实际上来说就是一些围绕技术人员而进行的一些措施。对于网络安全来说，这里主要探讨的是安全设计之外的网络安全，应该做到以用户为主。用户要想实现计算机网络的安全设计，就要对其进行有效的、长期的系统化管理，这里所说的管理实际上就是对其进行安全管理与安全设置，下面就让我们来具体分析。

2.1安全体系分析

要想对计算机网络进行系统化管理，首先应该在计算机网络中建立安全体系，认证安全体系的主要有几个途径。

1）认证安全证书的相关管理体系，认证安全证书时，应该以国际标准为根据认证其技术体系，必须要具备密钥管理系统，密钥管理系统主要由注册等五个系统构成。

2）目录服务器，访问应用层的控制主要在目录服务器基础之上进行，用户管理的核心在于目录服务器，目录服务器对于用户来说应该将其放在一个非常重要的位置上。

3）服务器认证，内部访问是在网络进行访问的一种主要方式。服务器认证可以有效控制认证及授权，与此同时还可以对安全传输进行科学管理。

2.2计算机系统管理

各计算机的系统是不同的，这就决定了管理系统的方式也是不同的，现阶段计算机系统中应用比较广泛的是Windows系统，管理计算机系统主要包括几个方面。

1）安全的登录，在计算机的使用过程中，用户会进行安全的登录，账户可以设计成一个，也可以设置成多个，在计算机安全设计中，登录是一个非常重要的部分，在登录的过程中我们可以发现还存在强制登录的情况。所以，在计算机的使用过程中，用户在授权进行管理时，应以授权为依据禁止登录，或者允许登录之后再进行审核，待审核之后才能进行实际操作。

2）账号和密码的管理，在一般情况下，计算机系统中会将Administrator设置成计算机系统的管理员，同时这也是管理账户的基础与前提。用户在管理账号与密码时，应以计算机网络安全需要为依据，管理账户的授权和创建，分配用户的权限可以使账户的安全得到一定的保障，这样用户就可以通过计算机管理员删除账户或者进行必要的修改等相关操作。

第2篇：网络安全设计论文范文

关键词：网络安全，网络管理，多级安全

 

1　引言网络技术，特别是Internet的兴起，正在从根本上改变传统的信息技术(IT)产业，随着网络技术和Internet的普及，信息交流变得更加快捷和便利，然而这也给信息保密和安全提出了更高的要求。近年来，研究人员在信息加密，如公开密钥、对称加密算法，网络访问控制，如防火墙，以及计算机系统安全管理、网络安全管理等方面做了许多研究工作，并取得了很多究成果。

本论文主要针对网络安全，从实现网络信息安全的技术角度展开探讨，以期找到能够实现网络信息安全的构建方案或者技术应用，并和广大同行分享。

2 网络安全风险分析影响局域网网络安全的因素很多，既有自然因素，也有人为因素，其中人为因素危害较大，归结起来，主要有六个方面构成对网络的威胁：

(1) 人为失误：一些无意的行为，如：丢失口令、非法操作、资源访问控制不合理、管理员安全配置不当以及疏忽大意允许不应进入网络的人上网等，都会对网络系统造成极大的破坏。

(2) 病毒感染：从“蠕虫”病毒开始到CIH、爱虫病毒，病毒一直是计算机系统安全最直接的威胁，网络更是为病毒提供了迅速传播的途径，病毒很容易地通过服务器以软件下载、邮件接收等方式进入网络，然后对网络进行攻击，造成很大的损失。

(3) 来自网络外部的攻击：这是指来自局域网外部的恶意攻击，例如：有选择地破坏网络信息的有效性和完整性；伪装为合法用户进入网络并占用大量资源；修改网络数据、窃取、破译机密信息、破坏软件执行；在中间站点拦截和读取绝密信息等。

(4) 来自网络内部的攻击：在局域网内部，一些非法用户冒用合法用户的口令以合法身份登陆网站后，查看机密信息，修改信息内容及破坏应用系统的运行。

(5) 系统的漏洞及“后门”：操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。科技论文。另外，编程人员为自便而在软件中留有“后门”，一旦“漏洞”及“后门”为外人所知，就会成为整个网络系统受攻击的首选目标和薄弱环节。大部分的黑客入侵网络事件就是由系统的“漏洞”和“后门”所造成的。

3　网络安全技术管理探讨3.1 传统网络安全技术目前国内外维护网络安全的机制主要有以下几类：

Ø访问控制机制；

Ø身份鉴别；

Ø加密机制；

Ø病毒防护。

针对以上机制的网络安全技术措施主要有：

(1) 防火墙技术

防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它用来控制内部网和外部网的访问。

(2) 基于主机的安全措施

通常利用主机操作系统提供的访问权限，对主机资源进行保护，这种安全措施往往只局限于主机本身的安全，而不能对整个网络提供安全保证。

(3) 加密技术

面向网络的加密技术是指通信协议加密，它是在通信过程中对包中的数据进行加密，包括完整性检测、数字签名等，这些安全协议大多采用了诸如RAS公钥密码算法、DES分组密码、MD系列Hash函数及其它一些序列密码算法实现信息安全功能，用于防止黑客对信息进行伪造、冒充和篡改，从而保证网络的连通性和可用性不受损害。

(4) 其它安全措施

包括鉴别技术、数字签名技术、入侵检测技术、审计监控、防病毒技术、备份和恢复技术等。鉴别技术是指只有经过网络系统授权和登记的合法用户才能进入网络。审计监控是指随时监视用户在网络中的活动，记录用户对敏感的数据资源的访问，以便随时调查和分析是否遭到黑客的攻击。这些都是保障网络安全的重要手段。

3.2 构建多级网络安全管理多级安全作为一项计算机安全技术，在军事和商业上有广泛的需求。科技论文。“多级”包括数据、进程和人员的安全等级和分类，在用户访问数据时依据这些等级和分类进行不同的处理。人员和信息的安全标识一般由两部分组成，一部分是用“密级”表示数据分类具有等级性，例如绝密、秘密、机密和无密级；另一部分是用“类别”表示信息类别的不同，“类别”并不需要等级关系。在具体的网络安全实现上，可以从以下几个方面来构建多级网络安全管理：

(1) 可信终端

可信终端是指经过系统软硬件认证通过、被系统允许接入到系统的终端设备。网络安全架构中的终端具有一个最高安全等级和一个当前安全等级，最高安全等级表示可以使用该终端的用户的最高安全等级，当前安全等级表示当前使用该终端用户的安全等级。

(2) 多级安全服务器

多级安全服务器上需要部署具有强制访问控制能力的操作系统，该操作系统能够为不同安全等级的用户提供访问控制功能。该操作系统必须具备很高的可信性，一般而言要具备TCSEC标准下B1以上的评级。

(3) 单安全等级服务器和访问控制网关

单安全等级服务器本身并不能为多个安全等级的用户提供访问，但结合访问控制网关就可以为多安全等级用户提供访问服务。对于本网的用户，访问控制网关旁路许可访问，而对于外网的用户则必须经过访问控制网关的裁决。访问控制网关的作用主要是识别用户安全等级，控制用户和服务器之间的信息流。科技论文。如果用户的安全等级高于单级服务器安全等级，则只允许信息从服务器流向用户；如果用户的安全等级等于服务器安全等级，则允许用户和服务器间信息的双向流动；如果用户的安全等级低于服务器安全等级，则只允许信息从用户流向服务器。

(4) VPN网关

VPN网关主要用来保护跨网传输数据的保密安全，用来抵御来自外部的攻击。VPN网关还被用来扩展网络。应用外接硬件加密设备连接网络的方式，如果有n个网络相互连接，那么就必须使用n×(n-1)个硬件加密设备，而每增加一个网络，就需要增加2n个设备，这对于网络的扩展很不利。引入VPN网关后，n个网络只需要n个VPN网关，每增加一个网络，也只需要增加一个VPN网关。

4　结语在网络技术十分发达的今天，任何一台计算机都不可能孤立于网络之外，因此对于网络中的信息的安全防范就显得十分重要。针对现在网络规模越来越大的今天，网络由于信息传输应用范围的不断扩大，其信息安全性日益凸显，本论文正是在这样的背景下，重点对网络的信息安全管理系统展开了分析讨论，相信通过不断发展的网络硬件安全技术和软件加密技术，再加上政府对信息安全的重视，计算机网络的信息安全是完全可以实现的。

参考文献：

[1] 胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.

[2] 黄国言.WEB方式下基于SNMP的网络管理软件的设计和实现[J].计算机应用与软件,2003,20(9):92-94.

[3] 李木金,王光兴.一种被用于网络管理的性能分析模型和实现[J].软件学报,2000,22(12): 251-255.

第3篇：网络安全设计论文范文

关键词：数字化校园网，安全隐患，安全机制，安全实施

 

数字化校园是在校园网的基础之上，以计算机网络和信息数字化技术为依托，利用先进的信息手段和工具，来支撑学校的教学和管理信息流，实现了教育、教学、科研、管理、技术服务等校园信息的收集、处理、整合、存储、传输、应用等方面的全部数字化，使教学资源得到充分优化利用的一种虚拟教育环境。

一、高校数字化校园网的安全隐患分析

高校校园网的应用以及服务主要是面向学生，学生经常玩游戏、下电影、浏览未知以及可能存在安全隐患的网站、接收陌生人的电子邮件、用聊天软件时随意接受陌生人传送的文件，这些安全隐患都有可能导致校园网病毒泛滥；观看网上直播，严重影响网络速度，甚至阻塞网络运行；同时高校的学生人数较多，学生对网络安全的认识也参差不齐：很多学生认为网络中的安全威胁就是计算机病毒。所以，整个校园网中的大部分用户，对网络中存在的安全威胁还是没有一个清晰、系统的认识。

经过调查、分析、研究，高校校园网存在以下安全隐患：

1.校园网直接与因特网相连，所以会遭受黑客以及网络安全缺陷方面的攻击；

2.校园网内部安全隐患；

3.用户接入点数量大，使用率高，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果；

4.缺乏统一管理；

5.网络中心负荷量大：绝大部分网络管理功能都是由网络中心来完成的，包括校园网络的建设维护、网络使用的政策制定以及相关费用的收取；

总之，实施一个科学、合理的安全机制数字化校园网，对校园网的正常运行起着至关重要的作用。

二、数字化校园网安全机制的实施

为了有效地解决校园网将会遇到的种种网络安全问题，需要在网络中的各个环节都采取必要的安全防范措施，通过多种安全防范技术和措施的综合运用，从而来保证校园网能够高性能、高安全性的正常运行。

1、防火墙的实施

防火墙技术是抵抗黑客入侵和防止未授权访问的最有效手段之一，也是目前网络系统实现网络安全策略应用最为广泛的工具之一。

防火墙是一种保护内部网络操作环境的特殊网络互联设备；同时防火墙也是设置在不同网络或网络安全域之间的一系列部件的组合。它通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。论文格式，安全实施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网和Internet之间的活动，保证内部网络的安全。

可根据具体的校园网实际环境，在防火墙上设置如下安全策略：

1）解决内外网络边界安全，防止外部攻击，保护内部网络（禁止外部网络访问内部网络）；2）根据IP地址、协议类型、端口等进行数据包过滤；3）内外网络采用两套IP地址，实现双向地址转换功能；4）支持安全服务器网络（DMZ区），允许内外网络访问DMZ区，但禁止DMZ区访问内部网络；5）通过IP与MAC地址绑定防止IP盗用，避免乱用网络资源；6）防止IP欺骗；7）防DDoS攻击；8）开启黑白名单功能，实现URL过滤，过滤不健康网站；9）提供应用服务，隔离内外网络；10）具有自身保护能力，可防范对防火墙的常见攻击；11）启动入侵检测及告警功能；12）学生访问不良信息网站后的日志记录，做到有据可查；13）多种应用协议的支持，等等。

2、网闸的实施

安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。论文格式，安全实施。

可根据具体的校园网实际环境，在网闸上设置如下安全策略：

1）阻断内外网络的物理连接，防止外部攻击，保护内部网络；2）剥离内外网络传输的TCP/IP以及应用层协议，避免因为TCP/IP以及应用层协议造成的漏洞； 3）内外网络采用一套IP地址，实现指定协议通讯功能； 4）允许内网访问外网特定服务、应用（HTTP，FTP，FILE，DB等）；5）允许外网指定机器访问内网特定应用（FILE，DB等）；6）防止IP欺骗； 7）防DDoS攻击；8）具有自身保护能力，可防范常见DoS、DDoS攻击； 9）多种应用协议的支持，等等。

3、 防病毒的实施

计算机病毒对计算机网络的影响是灾难性的。计算机病毒的传播方式已经由在单机之间传播转向到各个网络系统之间的传播，一旦病毒侵入到某一局域网并发作，那么造成的危害是难以承受的。病毒和防病毒之间的斗争已经进入了由“杀”病毒到“防”病毒的时代。只有将病毒拒绝于内部网之外，或者及时查杀内部网的病毒，以此防范病毒在网络内泛滥传播，才能保证数据的真正安全。论文格式，安全实施。

我们结合计算机网络、计算机病毒的特征，给出以下防范防治策略：

1）阻止外网的病毒入侵（这是病毒入侵最常见的方式，因此在两个或多个网络边界之间，在网关处进行病毒拦截是效率最高，耗费资源最少的措施，但只能阻挡来自外部病毒的入侵）；2）阻止网络邮件/群件系统传播病毒（在邮件系统上部署防病毒体系）；3）设置文件服务器防病毒保护；4）最终用户：病毒绝大部分是潜伏在计算机网络的客户端机器上，因此在网络内对所有的客户机也要进行防毒控制；5）内容保护：为了能够在第一时间主动的阻止新型病毒的入侵，在防病毒系统中对附加内容进行过滤和保护是非常必要的；6）集中管理：通过一个监控中心对整个系统内的防毒服务和情况进行管理和维护，这样可以大大降低维护人员的数量和维护成本，并且缩短了升级、维护系统的响应时间。

4、学生宿舍区域802.1x认证

考虑到认证效率、接入安全、管理特性等多方面的因素，对于学生宿舍区域的用户接入建议采用已经标准化的802.1x认证方式：

1）网络环境复杂，接入用户数量巨大：建议采用分布式的用户认证方式，把认证分散到楼栋汇聚交换机上去完成，如果发生故障，不至于会影响到整个网络的所有用户；2）网络流量大，认证用户数量大：所采用的认证方式要具有很高的效率，以保证用户能及时通过认证，在网络流量大，认证用户数多时不会对设备的性能产生影响，以保证整个网络高效、稳定的运行；3）某些用户技术层次高，存在对网络安全造成影响的可能：难免存在某些用户因好奇使用一些黑客软件或病毒软件而造成对网络的影响，因此所采用的认证方式要能够有比较高的安全性，能防止如DHCP的恶意攻击等安全功能。

5、数据存储方案的实施

数字化校园是计算机技术的一个新兴应用领域，涉及的内容非常广泛，包括资料数字化、海量存储及数据管理、全方位查询检索、多渠道等技术，提供包括电子图书、视频、音频及其他多种形式的媒体资料等等。在数字化校园环境下，各种数字信息的增长非常迅猛，同时，数字信息存储的容量需求越来越大。

因此，设计一种高容量、可扩充的存储技术方案也是校园网络安全的重点。可以容纳、甚至可以无限制地容纳更多信息的“海量”存储技术：如NAS存储、SAN存储等应用支撑平台解决方案，在系统结构上满足用户未来的应用需求，同时合理使用用户投资，建立满足用户现有需求的系统，并且易于扩展的系统，来帮助用户解决在数据存储和应用需求方面所面临的挑战。

三、总结

随着Internet技术突飞猛进的发展，网络的应用范围和领域迅速扩大，新的网络技术、安全技术不断推陈出新，黑客技术也逐渐多元化，导致安全问题日益突出。在计算机网络里，安全防范体系的建立不是一劳永逸的，没有绝对的安全，我们只能不断的采用新的网络技术，以及新的安全设备与技术，这样才有可能将网络中威胁降到最低限度。论文格式，安全实施。

防火墙、网闸、病毒防范是信息安全领域的主流技术，这些网络安全技术为整个网络安全的建设起到至关重要的作用，任何一个网络或者用户都不能够忽视。论文格式，安全实施。到目前为止，尽管相关研究人员已经在理论和实践方面都作了大量的工作，而影响校园网的安全因素在不断地变化，黑客与病毒的攻击方式在不断地更新。论文格式，安全实施。要确保网络的安全就只有根据实际情况，在安全技术上采用最新的技术成果，及时调整安全策略，有效整合现有安全资源，并且不断引入新的安全机制，才能保证网络安全防范体系的良性发展，确保数字化校园网的有效性和先进性。

参考文献：

[1]焦中明.高校数字化校园建设的几个问题.赣南师范学院学报

[2]徐立.我国高校校园网建设的研究.中南大学硕士论文

[3]沈培华.数字校园的五个层次.计算机世界

[4]赵思辉.数字化校园基础平台体系架构.福建电脑

[5]宋金玲.数字校园的相关技术及方法研究.中国矿业大学

[6]曾力炜,徐鹰.关于数字化校园建设的研究.计算机与现代化

[7]占素环.校园网网络安全技术及解决方案.农机化研究

[8]张武军,李雪安.高校校园网安全整体解决方案研究.电子科技

第4篇：网络安全设计论文范文

关键词：计算机网络，防护技术，研究

 

随着高新技术的不断发展，计算机网络已经成为我们生活中所不可缺少的概念，然而随之而来的问题----网络安全也毫无保留地呈现在我们的面前，不论是在军事中还是在日常的生活中，网络的安全问题都是我们所不得不考虑的，只有有了对网络攻防技术的深入了解，采用有效的网络防护技术，才能保证网络的安全、畅通，保护网络信息在存储和传输的过程中的保密性、完整性、可用性、真实性和可控性，才能使我们面对网络而不致盲从，真正发挥出网络的作用。

一、计算机网络防护技术构成

（一）被动防护技术

其主要采用一系列技术措施（如信息加密、身份认证、访问控制、防火墙等）对系统自身进行加固和防护，不让非法用户进入网络内部，从而达到保护网络信息安全的目的。这些措施一般是在网络建设和使用的过程中进行规划设置，并逐步完善。因其只能保护网络的入口，无法动态实时地检测发生在网络内部的破坏和攻击的行为，所以存在很大的局限性。

( 1 )信息保密技术

密码技术是网络安全最有效的技术之一, 信息加密过程是由形形的加密算法来具体实施，它以很小的代价提供很大的安全保护。它通过信息的变换或编码，将敏感信息变成难以读懂的乱码型信息，以此来保护敏感信息的安全。在多数情况下，信息加密是保证信息机密性的惟一方法。信息加密的主要目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。

网络加密常用的方法有：链路加密、端点加密和节点加密3种。密码体制主要有分组密码体制和序列密码体制。论文参考网。

( 2 ) 信息认证技术

认证技术是网络安全的一个重要方面，属于网络安全的第一道防线。其认证机制是接收者接收信息的同时还要验证信息是否来自合法的发送者，以及该信息是否被篡改过，计算机系统是基于收到的识别信息识别用户。认证涉及多个步骤：收集认证信息、安全地传输认证信息、确定使用计算机的人（就是发送认证信息的人）。其主要目的是用来防止非授权用户或进程侵入计算机系统，保护系统和数据的安全

其主要技术手段有：用户名/密码方式；智能卡认证方式；动态口令；USB Key认证；生物识别技术。

( 3 ) 访问控制技术

访问控制是保证网络安全最重要的核心策略之一，是一种基于主机的防护技术。访问控制技术通过控制与检查进出关键服务器中的访问，保护服务器中的关键数据，其利用用户身份认证功能，资源访问权限控制功能和审计功能来识别与确认访问系统的用户，决定用户对系统资源的访问权限，并记录系统资源被访问的时间和访问者信息。其主要目的是保证网络资源不被非法使用和访问。

其主要方式有：自主访问控制、强行访问控制和信息流控制。

( 4 ) 防火墙技术

防火墙是一种网络之间的访问控制机制，它的主要目的是保护内部网络免受来自外部网络非授权访问，保护内部网络的安全。

其主要机制是在受保护的内部网和不被信任的外部网络之间设立一个安全屏障，通过监测、限制、更改、抑制通过防火墙的数据流，尽可能地对外部网络屏蔽内部网络的信息和结构，防止外部网络的未授权访问，实现内部网与外部网的可控性隔离，保护内部网络的安全。

防火墙的分类主要有：数据包过滤型防火墙、应用层网关型防火墙和状态检测型防火墙。

（二）主动防护技术

主动防护技术主要采取技术的手段如入侵取证、网络陷阱、入侵检测、自动恢复等，能及时地发现网络攻击行为并及时地采取应对措施，如跟踪和反攻击、设置网络陷阱、切断网络连接或恢复系统正常工作。实现实时动态地监视网络状态，并采取保护措施，以提供对内、外部攻击和误操作的实时保护。

( 1 )入侵取证技术

入侵取证技术是指利用计算机软硬件技术，按照符合法律规范的方式，对计算机网络入侵、破坏、欺诈、攻击等犯罪行为进行识别、保存、分析和提交数字证据的过程。

入侵取证的主要目的是对网络或系统中发生的攻击过程及攻击行为进行记录和分析，并确保记录信息的真实性与完整性（以满足电子证据的要求），据此找出入侵者或入侵的机器，并解释入侵的过程，从而确定责任人，并在必要时，采取法律手段维护自己的利益。

入侵取证技术主要包括：网络入侵取证技术（网络入侵证据的识别、获取、保存、安全传输及分析和提交技术等）、现场取证技术（内存快照、现场保存、数据快速拷贝与分析技术等）、磁盘恢复取证技术、数据还原取证技术（对网上传输的信息内容，尤其是那些加密数据的获取与还原技术）、电子邮件调查取证技术及源代码取证技术等。

( 2 ) 网络陷阱技术

网络陷阱技术是一种欺骗技术，网络安全防御者根据网络系统中存在的安全弱点，采取适当技术，伪造虚假或设置不重要的信息资源，使入侵者相信网络系统中上述信息资源具有较高价值，并具有可攻击、窃取的安全防范漏洞，然后将入侵者引向这些资源。同时，还可获得攻击者手法和动机等相关信息。这些信息日后可用来强化现有的安全措施，例如防火墙规则和IDS配置等。

其主要目的是造成敌方的信息误导、紊乱和恐慌，从而使指挥决策能力丧失和军事效能降低。论文参考网。灵活的使用网络陷阱技术可以拖延攻击者，同时能给防御者提供足够的信息来了解敌人，将攻击造成的损失降至最低。

网络陷阱技术主要包括：伪装技术（系统伪装、服务伪装等）、诱骗技术、引入技术、信息控制技术（防止攻击者通过陷阱实现跳转攻击）、数据捕获技术（用于获取并记录相关攻击信息）及数据统计和分析技术等。

( 3 ) 入侵检测技术

入侵检测的基本原理是从各种各样的系统和网络资源中采集信息（系统运行状态、网络流经的信息等），对这些信息进行分析和判断，及时发现入侵和异常的信号，为做出响应赢得宝贵时间，必要时还可直接对攻击行为做出响应，将攻击行为带来的破坏和影响降至最低。它是一种主动的入侵发现机制，能够弥补防火墙和其他安全产品的不足，为网络安全提供实时的监控及对入侵采取相应的防护手段，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。入侵检测系统已经被认为是维护网络安全的第二道闸门。

其主要目的是动态地检测网络系统中发生的攻击行为或异常行为，及时发现攻击或异常行为并进行阻断、记录、报警等响应，弥补被动防御的不足之处。

入侵检测技术主要包括：数据收集技术、攻击检测技术、响应技术。

( 4 ) 自动恢复技术

任何一个网络安全防护系统都无法确保万无一失，所以，在网络系统被入侵或破坏后，如何尽快恢复就显得非常关键了。这其中的一个关键技术就是自动恢复技术，他针对服务器上的关键文件和信息进行实时地一致性检查，一旦发现文件或信息的内容、属主、时间等被非法修改就及时报警，并在极短的时间内进行恢复。论文参考网。其性能的关键是资源占有量、正确性和实时性。

其主要目的是在计算机系统和数据受到攻击的时候，能够在极短的时间内恢复系统和数据，保障系统的正常运行和数据的安全。

自动恢复技术主要包括：备份技术、冗余技术、恢复技术、远程控制技术、文件扫描与一致性检查技术等。

二、计算机网络防护过程模型

针对日益严重的网络安全问题和愈来愈突出的安全需求，人们在研究防黑技术的同时，认识到网络安全防护不是一个静态过程，而是一个包含多个环节的动态过程，并相应地提出了反映网络安全防护支柱过程的P2DR模型，其过程模型如图1所示。

图1　P2DR模型体系结构图

其过程如下所述：

1．进行系统安全需求和安全风险分析，确定系统的安全目标，设计相应的安全策略。

2．应根据确定的安全策略，采用相应的网络安全技术如身份认证技术、访问控制、网络技术，选择符合安全标准和通过安全认证的安全技术和产品，构建系统的安全防线，把好系统的入口。

3．应建立一套网络案例实时检测系统，主动、及时地检测网络系统的安全漏洞、用户行为和网络状态；当网络出现漏洞、发现用户行为或网络状态异常时及时报警。

4．当出现报警时应及时分析原因，采取应急响应和处理，如断开网络连接，修复漏洞或被破坏的系统。

随着网络技术的不断发展，我们的生活中越来越离不开网络，然而网络安全问题也日趋严重，做好网络防护已经是我们所不得不做的事情，只有采取合理有效的网络防护手段才能保证我们网络的安全、保证信息的安全，使我们真正能够用好网络，使网络为我们的生活添光添彩。

第5篇：网络安全设计论文范文

关键词:局域网;网络安全;技术分析

中图分类号:TP393.02 文献标识码:A文章编号:1007-9599 (2010) 05-0000-02

Analysis on Key Technology of LAN Security

Cheng Wei,Wang Xiaoman

(95854 People's Liberation Army Troops,Beijing101308,China)

Abstract:LAN network security has been related to the internal information security of enterprises,this paper focused on the design of local area network security technology,after a brief description of the definition of local area network security and the principles of design,the design of local area network security technology,which combined with information in the company network security requirements was also analyzed in detail,and its realization was from network physical security design,network architecture security design,network applications security design and network management systems security design,they were all discussed in detail the realization of local area network information security technology solutions.All this work is significative for enhancing the local area network technologies and applications of information security level.

Keywords:LAN;Network security;Technology analysis

一、引言

随着信息技术的发展,全球范围Internet应用的普及,计算机网络越来越多的服务于人们的生产和生活,同时也给信息行业带来很多新的挑战。在众多的网络攻击事件中,由内部人员发起的攻击或者由内部人员滥用网络资源造成的攻击占据网络攻击事件中相当大的比例,因此内部网络和主机安全对于企事业单位的网络安全至关重要。

二、局域网网络安全概述

(一)网络安全的定义

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。

网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

(二)局域网网络安全设计的原则

1.原则1:网络信息系统安全与保密的“木桶原则”

网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的是“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测,是设计信息安全系统的必要前提条件。

2.原则2:信息安全系统的“有效性与实用性”原则

不能影响系统的正常运行和合法用户的操作活动,网络中的信息安全和信息共享存在一个矛盾:一方面,为健全和弥补系统缺陷的漏洞,会采取多种技术手段和管理措施;另一方面,势必给系统的运行和用户的使用造成负担和麻烦,尤其在网络环境下,实时性要求很高的业务不能容忍安全连接和安全处理造成的时延和数据扩张。如何在确保安全性的基础上,把安全处理的运算量减小或分摊,减少用户记忆、存储工作和安全服务器的存储量、计算量,应该是一个信息安全设计者主要解决的问题。

三、局域网网络安全设计技术分析

为了使本论文所探讨的局域网网络安全设计技术更具有针对性,这里以某公司内部的实际内部局域网为研究对象进行具体的技术分析。

(一)网络物理安全设计

网络的物理安全是整个网络系统安全的前提。根据公司实际情况,综合考虑成本、安全、可靠等各方面因素,在网络的物理安全设计方面,主要进行以下几个方面的设计:

第一,服务器后备供电问题,为了防止服务器市电供电突然中断可能引起的硬件损坏和软件系统故障以及在正常情况下给服务器提供稳定安全的供电,给服务器配置UPS是最好的选择

第二,电脑主机室设计,机房除了加装空调设备外,还应当作防火、防雷等其他方面的考虑,增加防火、防雷系统,并安装了门禁系统,对出入机房进行严格的管理和记录。

第三,结构化布线方面,全部采用结构化布线系统,数据线(网线与电话线)和电线分开不同的管道铺设,网络节点全部采用铁盒安装在地板上,不使用时可以关上铁盒,不影响地面使用。

(二)网络结构安全设计

网络拓扑结构设计也直接影响到网络系统的安全性。例如在内部网和外部互联网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统,因此如何很好的隔离内网与互联网是网络结构安全设计的主要考虑。在前面的逻辑设计中提到,公司内网与互联网络的连接是通过中国电信的DDN 4M专线来实现的。如何安全可靠的隔离它们呢,在本次升级方案中,采用了两种方案。第一,完善原来的Cisco路由器和防火墙组成的第一道隔离带,加强路由器和防火墙的配置,尽量将不安全的因素阻击在第一道隔离带。第二,除了第一种方案的所采用的硬件措施外,考虑引入一种软件部署成服务器,在内网与互联网络之间形成坚实的第二道隔离带。

(三)网络应用系统安全设计

应用的安全涉及方面很多,在安全性上,主要考虑尽可能建立安全的系统平台,通过专业的安全工具和及时修补应用系统的漏洞等方法,来提高应用系统的安全性。目前对公司来说,涉及对互联网的应用系统主要是Exchange Server邮件系统。在原来的网络系统中,邮件系统存在的主要问题是,用户接收大量的垃圾邮件和病毒软件,导致客户机电脑中毒,中毒的客户机电脑又自动利用公司的邮件服务器向互联网中转发送大量的垃圾邮件,周而复始。因此,如何反垃圾邮件成了应用系统安全设计的主要考虑。在本次升级方案中,要想彻底解决这个问题,建议配置一台硬件垃圾邮件防火墙是非常必要的,能够在不增加成本的情况下最大限度的防护垃圾邮件和病毒。

(四)网络管理系统安全设计

管理是网络安全中非常重要的部分。对整个网络和公司用户来讲,就是要建立可操作性的、健全的网络管理制度。对网络管理员来说,有一套功能强大的、专业的网络管理软件会对网络的管理起到事半功倍的作用:当网络出现攻击行为或网络受到其它一些安全威胁时,能进行实时的检测、监控、报告与预警。同时,当事故发生后,也能提供黑客攻击行为的追踪线索及破案依据,对网络能做到可控性与可审查性。因此,对于网络管理的设计,最可行的做法是建立健全的网络管理制度和使用专业的网络管理软件相结合,以此保障网络的安全运行,使公司的局域网成为一个具有良好的安全性、可扩充性和易管理性的信息网络系统。

四、结语

局域网网络安全一直是企业信息安全的重点攻防战,本文重点从网络物理安全设计、网络结构安全设计、网络应用系统安全设计和网络管理系统安全设计等几个方面论述了局域网的设计与管理过程,对于一个安全且运行良好的公司局域网的实现具有一定指导和借鉴的意义。

参考文献:

[1]陈明.计算机网络设计教程[M].北京:清华大学出版社,2008

[2]张德杨,高俊,张勇.Microsoft ISA Server在网络管理中的应用[J].郑州轻工业学院学报,2006,21(1):58

[3]张得太.公司网络安全的规划设计与实践[D].西安:西安电子科技大学,2006

第6篇：网络安全设计论文范文

论文摘要 计算机和通讯网络的普及和发展从根本上改变了人类的生活方式与工作效率。网络已经成为农业、工业、第三产业和国防工业的重要信息交换媒介，并且渗透到社会生活的各个角落。政府、企业、团体、个人的生活都发生了巨大改变。网络的快速发展都得益于互联网自身的独特优势：开放性和匿名性。然而也正是这些特征，同时还决定了网络存在着不可避免的信息安全隐患。本文主要通过介绍目前在计算机网络中存在的主要安全威胁并提出构建网络安全的防护体系，从而对网络安全的防护策略进行探讨。 

0 引言 

网络给我们提供极大的方便的同时也带来了诸多的网络安全威胁问题，这些问题一直在困扰着我们，诸如网络数据窃密、病毒攻击、黑客侵袭、木马挂马、陷门等。为 了有效防止网络安全问题的侵害，计算机广泛地推广使用了各种复杂的软件技术，如入侵检测、防火墙技术、通道控制机制、服务器，然后尽管如此，计算机信息安全和网络安全问题还是频发。网络hacker活动日益猖獗，他们攻击网络服务器，窃取网络机密，进行非法入侵，对社会安全造成了严重的危害。本文就如何确保网络信息安全特别是网络数据安全进行了安全威胁分析并且提出了实现网络安全的具体策略。 

1 目前网络中存在的主要安全威胁种类 

1.1 计算机病毒 

计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，它具有寄生性、传染性、破坏性、潜伏性和可触发性等特点。计算机病毒主要是通过复制、传送数据包以及运行程序等操作进行传播，在日常的生活中，闪存盘、移动硬盘、硬盘、光盘和网络等都是传播计算机病毒的主要途经。计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。 

1.2 特洛伊木马 

利用计算机程序漏洞侵入后窃取文件的程序程序被称为木马。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序，多不会直接对电脑产生危害，而是以控制为主。 

1.3 拒绝服务攻击 

拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。 

1.4 逻辑炸弹  

逻辑炸弹引发时的症状与某些病毒的作用结果相似，并会对社会引发连带性的灾难。与病毒相比，它强调破坏作用本身，而实施破坏的程序不具有传染性。逻辑炸弹是一种程序，或任何部分的程序，这是冬眠，直到一个具体作品的程序逻辑被激活。  

1.5 内部、外部泄密  

由于黑客的目的一般都是窃取机密数据或破坏系统运行，外部黑客也可能入侵web或其他文件服务器删除或篡改数据，致使系统瘫痪甚至完全崩溃。  

1.6 黑客攻击  

这是计算机网络所面临的最大威胁。些类攻击又可以分为两种，一种是网络攻击。即以各种方式有选择地破坏对方信息的有效性和完整性；另一类是网络侦察，它是在不影响网络正常工作的情况下，进行截取、窃取、破译以获得对方重要的机密信息。这两种攻击均可对计算机网络造成极大的危害  

1.7 软件漏洞  

操作系统和各类软件都是认为编写和调试的，其自身的设计和结构始终会出现问题，不可能无缺陷或者无漏洞，而这些漏洞会被计算机病毒和恶意程序所利用，这就使计算机处于非常危险的境地，一旦连接入互联网，危险就悄然而至。 

2 网络信息与网络安全的防护对策 

尽管计算机网络信息安全受到威胁，但是采取恰当的防护措施也能有效的保护网络信息的安全。本文总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全。 

2.1 技术层面上的安全防护对策 

1）升级操作系统补丁 

操作系统因为自身的复杂性和对网络需求的适应性，需要及时进行升级和更新，除服务器、工作站等需要操作系统升级外，也包括各种网络设备，均需要及时升级并打上最新的系统补丁，严防网络恶意工具和黑客利用漏洞进行入侵。 

2）安装网络版防病杀毒软件 

防病毒服务器作为防病毒软件的控制中心，及时通过internet更新病毒库，并强制局域网中已开机的终端及时更新病毒库软件。 

3）安装入侵检测系统 

4）安装网络防火墙和硬件防火墙 

安装防火墙，允许局域网用户访问internet资源，但是严格限制internet用户对局域网资源的访问。 

5）数据保密与安装动态口令认证系统 

信息安全的核似是数据保密，一般就是我们所说的密码技术，随着计算机网络不断渗透到各个领域，密码学的应用也随之扩大。数字签名、身份鉴别等都是由密码学派生出来新技术和应用。 

6）操作系统安全内核技术 

操作系统安全内核技术除了在传统网络安全技术上着手，人们开始在操作系统的层次上考虑网络安全性，尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去，从而使系统更安全。 

7）身份验证技术身份验证技术 

身份验证技术身份验证技术是用户向系统出示自己身份证明的过程吗，能够有效防止非法访问。 

2.2 管理体制上的安全防护策略 

1）管理制度的修订及进行安全技术培训； 

2）加强网络监管人员的信息安全意识，特别是要消除那些影响计算机网络通信安全的主观因素。计算机系统网络管理人员缺乏安全观念和必备技术，必须进行加强； 

3）信息备份及恢复系统，为了防止核心服务器崩溃导致网络应用瘫痪，应根据网络情况确定完全和增量备份的时间点，定期给网络信息进行备份。便于一旦出现网络故障时能及时恢复系统及数据； 

4）开发计算机信息与网络安全的监督管理系统； 

5）有关部门监管的力度落实相关责任制，对计算机网络和信息安全应用与管理工作实行“谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合”的原则，逐级建立安全保护责任制，加强制度建设，逐步实现管理的科学化、规范化。 

  

参考文献 

[1]简明.计算机网络信息安全及其防护策略的研究[j].科技资讯，2006(28). 

[2]池瑞楠.windows缓冲区溢出的深入研究[j].电脑编程技巧与维护，2006(9). 

第7篇：网络安全设计论文范文

论文摘要:随着网络在社会生活中不断普及，网络安全问题越来越显得重要。当因特网以变革的方式提供信息检索与能力的同时，也以变革的方式带来信息污染与破坏的危险。对计算机网络安全保护模式与安全保护策略进行探讨。

计算机网络最重要的资源是它所提供的服务及所拥有的信息，计算机网络的安全性可以定义为保障网络服务的可用性和网络信息的完整性。为了有效保护网络安全，应选择合适的保护模式。

1 安全保护模式

为尽量减少和避免各种外来侵袭的安全模式有以下几种类型:

1.1 无安全保护。最简单的安全保护模式是完全不实施任何安全机制，按销售商所提供的最小限度安全运行。这是最消极的一种安全保护模式。

1.2 模糊安全保护。另一种安全保护模式通常称之为“模糊安全保护”，采用这种模式的系统总认为没有人会知道它的存在、目录、安全措施等，因而它的站点是安全的。但是实际上对这样的一个站点，可以有很多方法查找到它的存在。站点的防卫信息是很容易被人知道的。在主机登录信息中了解到系统的硬件和软件以及使用的操作系统等信息后，一个入侵者就能由此试一试安全漏洞的重要线索。入侵者一般有足够多的时间和方法来收集各种信息，因此这种模式也是不可取的。

1.3 主机安全保护。主机安全模式可能是最普通的种安全模式而被普遍采用，主机安全的目的是加强对每一台主机的安全保护，在最大程度上避免或者减少已经存在的可能影响特定主机安全的问题。

在现代的计算机环境中，主机安全的主要障碍就是环境复杂多变性。不同品牌的计算机有不同的商，同一版本操作系统的机器，也会有不同的配置、不同的服务以及不同的子系统。这就得要作大量的前期工作和后期保障上作，以维护所有机器的安全保护，而且机器越多安全问题也就越复杂。即使所有工作都正确地执行了，主机保护还会由于软件缺陷或缺乏合适功能和安全的软件而受到影响。

1.4 网络安全保护。由于环境变得大而复杂，主机安全模式的实施也变得愈来愈困难。有更多的站点开始采用网络安全保护模式。用这种安全保护模式解决如何控制主机的网络通道和它们所提供的服务比对逐个主机进行保护更有效。现在一般采用的网络安全手段包括:构建防火墙保护内部系统与网络，运用可靠的认证方法(如一次性口令)，使用加密来保护敏感数据在网络上运行等。

在用防火墙解决网络安全保护的同时，也决不应忽视主机自身的安全保护。应该采用尽可能强的主机安全措施保护大部分重要的机器，尤其是互联网直接连接的机器，防止不是来自因特网侵袭的安全问题在内部机器上发生。上面讨论了各种安全保护模式，但没有一种模式可以解决所有的问题，也不存在一种安全模式可以解决好网络的管理问题。安全保护不能防止每一个单个事故的出现，它却可以减少或避免事故的严重损失，甚至工作的停顿或终止。

2 安全保护策略

所谓网络安全保护策略是指一个网络中关于安全问题采取的原则、对安全使用的要求以及如何保护网络的安全运行。以下是加强因特网安全保护措施所采取的几种基本策略。

2.1 最小特权。这是最基本的安全原则。最小特权原则意味着系统的任一对象(无论是用户、管理员还是程序、系统等)，应该仅具有它需要履行某些特定任务的那些特权。最小特权原则是尽量限制系统对侵入者的暴露并减少因受特定攻击所造成的破坏。 　在因特网环境下，最小特权原则被大量运用。在保护站点而采取的一些解决方法中也使用了最小将权原理，如数据包过滤被设计成只允许需要的服务进入。在试图执行最小特权时要注意两个问题:一是要确认已经成功地装备了最小特权，二是不能因为最小特权影响了用户的正常工作。

2.2 纵深防御。纵深防御是指应该建立多种机制而不要只依靠一种安全机制进行有效保护，这也是一种基本的安全原则。防火墙是维护网络系统安全的有效机制，但防火墙并不是因特网安全问题的完全解决办法。任何安全的防火墙，都存在会遇到攻击破坏的风险。但可以采用多种机制互相支持，提供有效冗余的办法，这包括安全防御(建立防火墙)、主机安全(采用堡垒主机)以及加强安全教育和系统安全管理等。防火墙也可以采用多层结构。如使用有多个数据包过滤器的结构，各层的数据包过滤系统可以做不同的事情，过滤不同的数据包等。在开销不大的情况下，要尽可能采用多种防御手段。

2.3 阻塞点。所谓阻塞点就是可以对攻击者进行监视和控制的一个窄小通道。在网络中，个站点与因特网之间的防火墙(假定它是站点与因特网之间的唯一连接)就是一个这样的阻塞点。任何想从因特网上攻击这个站点的侵袭者必须经过这个通道。用户就可以在阻塞点上仔细观察各种侵袭并及时做出反应。但是如果攻击者采用其他合法的方法通过阻塞点，这时阻塞点则失去了作用。在网络上，防火墙并不能阻止攻击者通过很多线路的攻击。

2.4 防御多样化。在使用相同安全保护系统的网络中，知道如何侵入一个系统也就知道了如何侵入整个系统。防御多样化是指使用大量不同类型的安全系统，可以减少因一个普通小错误或配置错误而危及整个系统的可能，从而得到额外的安全保护。但这也会由于不同系统的复杂性不同而花费额外的时间与精力。

3 防火墙

防火墙原是建筑物大厦设计中用来防止火势从建筑物的一部分蔓延到另一部分的设施。与之类似，作为一种有效的网络安全机制，网络防火墙的作用是防止互联网的危险波及到内部网络，它是在内部网与外部网之间实施安全防范，控制外部网络与内部网络之间服务访问的系统。但必须指出的是防火墙并不能防止站点内部发生的问题。防火墙的作用是:限制人们从一个严格控制的点进入;防止进攻者接近其他的防御设备;限制人们从一个严格控制的点离开。防火墙的优点:1)强化安全策略:在众多的因特网服务中，防火墙可以根据其安全策略仅仅容许“认可的”和符合规则的服务通过，并可以控制用户及其权力。2)记录网络活动:作为访问的唯一站点，防火墙能收集记录在被保护网络和外部网络之间传输的关于系统和网络使用或误用的信息。3)限制用户暴露:防火墙能够用来隔开网络中的一个网段与另一个网段，防止影响局部网络安全的问题可能会对全局网络造成影响。4)集中安全策略:作为信息进出网络的检查点，防火墙将网络安全防范策略集中于一身，为网络安全起了把关作用。

参考文献

[1]靳攀，互联网的网络安全管理与防护策略分析[J].北京工业职业技术学院学报，2008，(03).

[2]赵薇娜，网络安全技术与管理措施的探讨[J].才智，2008，(10).

第8篇：网络安全设计论文范文

论文摘要：在介绍网络安全概念及其产生原因的基础上，介绍了各种信息技术及其在局域网信息安全中的作用和地位。

随着现代网络通信技术的应用和发展，互联网迅速发展起来，国家逐步进入到网络化、共享化，我国已经进入到信息化的新世纪。在整个互联网体系巾，局域网是其巾最重要的部分，公司网、企业网、银行金融机构网、政府、学校、社区网都属于局域网的范畴。局域网实现了信息的传输和共享，为用户方便访问互联网、提升业务效率和效益提供了有效途径。但是由于网络的开放性，黑客攻击、病毒肆虐、木马猖狂都给局域网的信息安全带来了严重威胁。

信息技术是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论诸多学科的技术。信息技术的应用就是确保信息安全，使网络信息免遭黑客破坏、病毒入侵、数据被盗或更改。网络已经成为现代人生活的一部分，局域网的安全问题也闲此变得更为重要，信息技术的应用必不可少。

1网络安全的概念及产生的原因

1.1网络安全的概念

计算机网络安全是指保护计算机、网络系统硬件、软件以及系统中的数据不因偶然的或恶意的原因而遭到破坏、更改和泄密，确保系统能连续和可靠地运行，使网络服务不巾断。从本质上来讲，网络安全就是网络上的信息安全。网络系统的安全威胁主要表现在主机可能会受到非法入侵者的攻击，网络中的敏感信息有可能泄露或被修改。从内部网向公共网传送的信息可能被他人窃听或篡改等等。典型的网络安全威胁主要有窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁／射频截获、人员疏忽。

网络安全包括安全的操作系统、应用系统以及防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复和完全扫描等。它涉及的领域相当广泛，这是因为目前的各种通信网络中存在着各种各样的安全漏洞和威胁。从广义上讲，凡是涉及网络上信息的保密性、完整性、可性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。网络安全归纳起来就是信息的存储安全和传输安全。

1.2网络安全产生的原因

1.2.1操作系统存在安全漏洞

任何操作系统都不是无法摧毁的“馒垒”。操作系统设计者留下的微小破绽都给网络安全留下了许多隐患，网络攻击者以这些“后门”作为通道对网络实施攻击。局域网中使用的操作系统虽然都经过大量的测试与改进，但仍有漏洞与缺陷存在，入侵者利用各种工具扫描网络及系统巾的安全漏洞，通过一些攻击程序对网络进行恶意攻击，严重时造成网络的瘫痪、系统的拒绝服务、信息的被窃取或篡改等。

1.2.2 TCP／lP协议的脆弱性

当前特网部是基于TCP／IP协议，但是陔协议对于网络的安全性考虑得并不多。且，南于TCtVIP协议在网络上公布于众，如果人们对TCP／IP很熟悉，就可以利川它的安全缺陷来实施网络攻击。

1.2.3网络的开放性和广域性设计

网络的开放性和广域性设计加大了信息的保密难度.这其巾还包括网络身的布线以及通信质量而引起的安全问题。互联网的全开放性使网络可能面临来自物理传输线路或者对网络通信协议以及对软件和硬件实施的攻击；互联网的同际性给网络攻击者在世界上任何一个角落利州互联网上的任何一个机器对网络发起攻击提供机会，这也使得网络信息保护更加难。

1.2.4计算机病毒的存在

计算机病毒是编制或者存计箅机程序巾插入的一组旨在破坏计箅机功能或数据，严重影响汁算机软件、硬件的正常运行，并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点。大量涌现的病毒在网上传播极快，给全球地嗣的网络安全带来了巨大灾难。

1.2.5网络结构的不安全性

特网是一个南无数个局域网连成的大网络，它是一种网问网技术。当l主机与另一局域网的主机进行通信时，它们之间互相传送的数据流要经过很多机器重重转发，这样攻击者只要利用l台处于用户的数据流传输路径上的主机就有可能劫持用户的数据包。

2信息技术在互联网中的应用

2.1信息技术的发展现状和研究背景

信息网络安全研究在经历了通信保密、数据保护后进入网络信息安全研究阶段，当前已经…现了一些比较成熟的软件和技术，如：防火墙、安全路由器、安全网关、黑客人侵检测、系统脆弱性扫描软件等。信息网络安全是一个综合、交叉的学科，应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统等方面综合开展研究，使各部分相互协同，共同维护网络安全。

国外的信息安全研究起步较早，早在20世纪70年代美国就在网络安全技术基础理论研究成果“计算机保密模型(Beu&Lapaduh模型)”的基础上，提出了“可信计箅机系统安全评估准则(TESEC)”以及后来的关于网络系统数据库方面的相关解释，彤成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容，处于发展提高阶段，仍存在局限性和漏洞。密码学作为信息安全的关键技术，近年来空前活跃，美、欧、亚各洲举行的密码学和信息安全学术会议频繁。自从美国学者于1976年提出了公开密钥密码体制后，成为当前研究的热点，克服了网络信息系统密钥管理的闲舴，同时解决了数字签名问题。另外南于计箅机运算速度的不断提高和网络安全要求的不断提升，各种安全技术不断发展，网络安全技术存21世纪将成为信息安全的关键技术。

2.2信息技术的应用

2.2.1网络防病毒软件

存网络环境下，病毒的传播扩散越来越快，必须有适合于局域网的全方位防病毒产品。针对局域网的渚多特性，应该有一个基于服务器操作系统平的防病毒软件和针对各种桌面操作系统的防病毒软件。如果局域网和互联网相连，则川到网大防病毒软件来加强上网计算机的安全。如果使用邮件存网络内部进行信息交换.则需要安装基于邮件服务器平的邮件防病毒软件，用于识别出隐藏在电子邮件和附件巾的病毒最好的策略是使川全方位的防病毒产品，针对网络巾所有可能的病毒攻击点设置对应的防病毒软件。通过全方位、多层次的防病毒系统的配置，定期或不定期地动升级，保护局域网免受病毒的侵袭。

2.2.2防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础；上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境巾，尤其以接入lnlernel网络的局域网为典型。防火墙是网络安全的屏障：一个防火墙能檄大地提高一个内部网络的安全性，通过过滤不安全的服务而降低风险。南于只有经过精心选择的应州协议才能通过防火墙，所以网络环境变得更安全。防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件如口令、加密、身份认证、审计等配置在防火墙上。对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。

防火墙技术是企业内外部网络问非常有效的一种实施访问控制的手段，逻辑上处于内外部网之问，确保内部网络正常安全运行的一组软硬件的有机组合，川来提供存取控制和保密服务。存引人防火墙之后，局域网内网和外部网之问的通信必须经过防火墙进行，某局域网根据网络决策者及网络擘家共同决定的局域网的安全策略来设置防火墙，确定什么类型的信息可以通过防火墙。可见防火墙的职责就是根据规定的安全策略，对通过外部网络与内部网络的信息进行检企，符合安全策略的予以放行，不符合的不予通过。

防火墙是一种有效的安全工具，它对外屏蔽内部网络结构，限制外部网络到内部网络的访问。但是它仍有身的缺陷，对于内部网络之问的入侵行为和内外勾结的入侵行为很难发觉和防范，对于内部网络之间的访问和侵害，防火墙则得无能为力。

2.2.3漏洞扫描技术

漏洞扫描技术是要弄清楚网络巾存在哪些安全隐患、脆弱点，解决网络层安全问题。各种大型网络不仅复杂而且不断变化，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估得很不现实。要解决这一问题，必须寻找一种能金找网络安全漏洞、评估并提…修改建议的网络安全扫描工具，利刖优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。存网络安全程度要水不高的情况下，可以利用各种黑客工具对网络实施模拟攻击，暴露出：网络的漏洞，冉通过相关技术进行改善。

2.2.4密码技术

密码技术是信息安全的核心与关键。密码体制按密钥可以分为对称密码、非对称密码、混合密码3种体制。另外采用加密技术的网络系统不仅不需要特殊网络拓扑结构的支持，而且在数据传输过程巾也不会对所经过网络路径的安全程度做出要求，真正实现了网络通信过程端到端的安全保障。非对称密码和混合密码是当前网络信息加密使川的主要技术。

信息加密技术的功能主要是保护计算机网络系统内的数据、文件、口令和控制信息等网络资源的安全。信息加密的方法有3种，一是网络链路加密方法：目的是保护网络系统节点之间的链路信息安全；二是网络端点加密方法：目的是保护网络源端川户到口的川户的数据安全；二是网络节点加密方法：目的是对源节点到目的节点之间的传输链路提供保护川户可以根据实际要求采川不同的加密技术。

2.2.5入侵检测技术。

入侵检测系统对计算机和网络资源上的恶意使川行为进行识别和响应。入侵检测技术同时监测来自内部和外部的人侵行为和内部刚户的未授权活动，并且对网络入侵事件及其过程做fIj实时响应，是维护网络动态安全的核心技术。入侵检测技术根据不同的分类标准分为基于行为的入侵检测和基于知识的人侵检测两类。根据使用者的行为或资源使状况的正常程度来判断是否发生入侵的称为基于行为的入侵检测，运用已知的攻击方法通过分析入侵迹象来加以判断是否发生入侵行为称为基于知识的入侵检测。通过对迹象的分析能对已发生的入侵行为有帮助，并对即将发生的入侵产生警戒作用

3结语

第9篇：网络安全设计论文范文

 

在信息安全专业的实践教学中，除少数重点院校外，多数院校普遍存在学生网络与信息安全编程能力较弱的问题，相关网络与信息安全课程以课堂授课为主，学生难以很好地将所学的理论知识用于解决实际问题。当他们面临一个实际要解决的网络与信息安全编程问题时，不知道如何结合已有的理论知识去分析问题并编程解决问题，比如非对称加密算法RSA，简易扫描器和消息摘要算法MD5等学生在具体实现时面临较大困难。

 

另一方面，在“最难就业季“的大背景下，现在很多用人单位需要毕业生具有很强的网络与信息安全编程能力的“求”与高校毕业生的“供”就形成尖锐的矛盾，导致就业形势异常严峻。因此，解决这种矛盾已迫在眉睫。

 

结合我校教学实践的实际情况，从以下几个方面介绍我们在提高学生网络与信息安全编程能力方面做出的一些探索和尝试。

 

1以经典案例激发学生编程兴趣

 

兴趣是最好的老师，只有充分激发学生对网络与信息安全编程的兴趣，才能在整个培养过程中逐步引导和提升学生的网络与信息安全编程的能力。从教学过程发现，学生对安全工具的使用比理论学习的兴趣大，而编程实现某一安全工具或软件所带来的兴趣和成就感又高于简单机械地使用安全工具。笔者曾在“网络与信息安全概论”的课堂上演示了一个“盗取”U盘文件的小程序，当同学们发现一插上U盘，U盘里的所有文件被悄无声息地拷贝到计算机后，课堂气氛马上“炸开了锅”，同学们立即来了兴趣。于是笔者赶紧抓住这一时机，向学生提出几个问题：①如何实现“盗取“?②用到哪些专业知识与技巧?③你能不能编写一个这样的程序?④此程序如何躲过杀毒软件或防火墙的检测?通过这几个问题的一连串提出，引导学生思考，激发起兴趣。

 

另外，演示一些国内外经典黑客工具如流光、Advanced Office Password Recovery等，通过展示这些工具的强大的功能同样也能激发学生学习和编程创作的兴趣。

 

2 构建连贯的编程体系，使得提高网络与信息安全编程能力过程贯穿本科4年

 

网络与信息安全编程能力的提高，离不开对相关专业课程的系统学习，如网络基础、密码学基础、编程基础等课程[4]。所以梳理专业基础课程、专业核心课程、专业选修课程与编程课程的关系，合理安排进度，实现编程不“断线”显得尤为必要。为了保证学生编程能力培养的连续性，本校从大一到大三6个学期中每学期都有与编程相关的课程，是淮北师范大学计算机科学与技术学院信息安全专业2013年修订的本科人才培养方案的编程体系。

 

3“以本科生导师为核心”组织学习兴趣小组，提供相关教材，给予指导方向

 

我校从第1届信息安全专业本科生开始建立本科生导师制度，从大二第一学期开始，学生可以结合学校的开放实验项目，由学生根据兴趣自主选题并书写项目申请书交实验室与设备管理处审批并给予经费支持[5]。以一个学期为一个周期，针对不同学生的兴趣和能力，指导老师给每位学生推荐参考书目指导学生完成网络与信息安全技术某一方面的编程。如笔者所指导的学生中成立两个方向的编程小组，一组对密码学的加解密算法感兴趣，推荐了《精通PKI网络安全认证技术与编程实现》，本书介绍了PKI应用开发常用的技术，包括OpenSSL开发、CrytoAPI开发、Java Security开发等，每个系列都是按照先原理、再讲解、再实战的方式进行，非常适合学生独立练习PKI编程。另外一组对防火墙感兴趣，推荐了朱雁辉，朱雁冰编写的《 Windows防火墙与网络封包截获技术》，陈卓，阮鸥，沈剑编写的《网络安全编程与实践》和刘文涛编写的《网络安全开发包详解》[3]。

 

通过这种以“本科生导师为核心”的组合，每学期结束进行验收时，学生能按时完成相应软件或工具的编制任务。学生普遍反映通过平时的安全编程训练实战，对理论知识的理解更加深入了，网络与信息安全编程能力在潜移默化中显著提高。

 

4 3+1培养模式，校企合作——课程置换、毕业论文(设计)双导师制

 

为了贯彻落实《国家中长期教育改革和发展规划纲要(2010-2020年)》精神，推动人才培养模式的改革，创新校企合作联合培养的人才机制，淮北师范大学以培养切合现代社会需要的计算机科学与技术专业应用型人才为目标，不断改革创新，改革人才培养模式体系和实践教学模式体系，通过多渠道，多途径提升学生的工程实践素养，培养计算机科学与技术、网络工程专业、信息安全专业学生的工程实践能力、工程设计能力和工程创新能力[2]。

 

为了深化改革，淮北师范大学与安艾艾迪信息技术(上海)有限公司(以下简称NIIT)联合建立了国家级工程实践教育中心“淮北师范大学-NIIT(上海)工程实践教育中心”和安徽省省级工程实践教育中心：“淮北师范大学-NIIT(无锡)工程实践教育中心”。 2011年9月，淮北师范大学计算机科学与技术学院为培养学生动手实践能力和创新意识，从企业需求出发，为提高大学生就业能力，在教务处的大力支持下，从 2008级大四学生中选派了84名学生赴NIIT(无锡)工程实践教育中心进行毕业实习。84名实习生按照个人意愿，分别选择参加了JAVA软件开发项目和.NET软件开发项目的工程实践实训项目。通过这种校企合作，联合培养的措施，大四学生在完成了前3年的本科教学内容，打下了坚实的学科基础，再经过这 1年的采用企业化办公环境、企业管理、真实开发项目和开发流程等培养模式的训练，从技能、工作经验、职业素质三个方面入手，培养大学生的IT实战技术和真正的工作经验，使大学生在真实的工作环境中成长，为顺利就业、成为合格IT企业人才铺平道路。

 

2011年下半年，为了深化校企结合的新模式改革，支持工程实践教育中心的建设，淮北师范大学计算机科学与技术学院与NIIT(上海)签订了 “课程置换协议”，将信息安全专业的部分选修课(限选课和任选课)与NIIT(上海)无锡中心的一些实践性强的工程项目开发课程进行置换;并签订了“毕业论文(设计)双导师制协议”，由学校和企业共同组建毕业论文(设计)指导团队，对每一位参加双导师制毕业论文(设计)指导的学生安排一位校内指导教师和一位企业指导教师，共同进行毕业论文(设计)的指导和评价工作。他们的毕业论文(设计)的指导也采用了双导师制的形式进行，毕业论文(设计)题目均为具有实际工程实践和项目开发背景的课题。毕业论文(设计)完成后，由淮北师范大学计算机科学与技术学院与NIIT(上海)无锡中心专家共同组成答辩委员会，对学生毕业论文(设计)进行答辩，24位同学中有11人达到优秀等次，其余均为良好，优良率均超过没有实行“双导师制”指导的学生。这24名送去NIIT(上海)无锡中心参加工程实践教育培训的学生100%就业成功，而且就业的企业都是较大的IT公司或软件开发公司，如：江苏航天信息有限公司、福瑞博德软件开发(无锡)有限公司、上海易远软件有限公司等。毕业生到岗后能够很快地进入角色，符合IT行业和软件公司对人才的需求。

 

5结束语