前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安全網(wǎng)絡論文范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

安全網(wǎng)絡論文范文第1篇

網(wǎng)絡黑客在網(wǎng)絡上對數(shù)量眾多計算機進行控制，以此形成規(guī)模更大的網(wǎng)絡來攻擊所要攻擊的網(wǎng)絡目標，這就是最近幾年所產生的所謂“僵尸網(wǎng)絡”。僵尸網(wǎng)絡具有極大的危害性，其幕后者在通常情況下很難讓網(wǎng)絡警察所發(fā)現(xiàn);此外，基于僵尸網(wǎng)絡來攻擊網(wǎng)絡，具有極快的網(wǎng)絡速度、極為顯著的攻擊效果，通?？梢栽诙潭虜?shù)分鐘之內讓所要攻擊網(wǎng)絡出現(xiàn)癱瘓狀態(tài)。在全球全部“僵尸網(wǎng)絡”電腦數(shù)量當中，我國所擁有的“僵尸網(wǎng)絡”電腦數(shù)量達到1/5左右，由此可知，僵尸網(wǎng)絡對我國網(wǎng)絡信息安全所構成的威脅是極大的。

2我國網(wǎng)絡信息安全的應對措施

2．1加強網(wǎng)絡信息安全管理網(wǎng)絡信息安全實質就是一個管理方面的問題，特別是在我國網(wǎng)絡信息安全行業(yè)剛剛發(fā)展初期，做好網(wǎng)絡信息安全的管理工作更顯得尤為重要。①嚴格根據(jù)管理流程實施管理操作。對網(wǎng)絡進行微觀操作，這是網(wǎng)絡內網(wǎng)產生不安全的主要原因，因此，對業(yè)務不得進行越權查看及使用，不許私自對數(shù)據(jù)庫或某些機密文件進行修改，以此來杜絕內網(wǎng)中計算機及網(wǎng)絡受到惡意攻擊。②實施連續(xù)性管理網(wǎng)絡系統(tǒng)。作為網(wǎng)絡管理人員，一定要把系統(tǒng)恢復和系統(tǒng)備份策略應用于網(wǎng)絡系統(tǒng)，這不僅可實現(xiàn)連續(xù)性管理系統(tǒng)的要求，而且還可有效避免因惡意破壞、自然災害等原因使設備遭到破壞、無法正常提供服務的問題發(fā)生。③加強管理人員的日常操作管理。要有效對系統(tǒng)進行管理，最為重要的在于管理人員，因此，作為網(wǎng)絡系統(tǒng)管理人員，一定要具備超強的技術能力，此外，還必須具備一定的網(wǎng)絡信息安全意識。不管是企業(yè)，還是公司，在進行網(wǎng)絡管理人員選拔時，一定要綜合考慮有關技術能力和安全意識等方面的因素;同時，還要創(chuàng)造條件對這些網(wǎng)絡管理人員實施一定的職業(yè)培訓以及網(wǎng)絡信息安全教育，以此來讓網(wǎng)絡管理人員切實懂得網(wǎng)絡信息安全的重要性，并讓他們明白在維護網(wǎng)絡信息安全中他們個人所應承擔的責任。此外，對于網(wǎng)絡信息的相關操作管理，一定要讓網(wǎng)絡管理人員熟練掌握，對于安全的網(wǎng)絡管理策略能予以正確的執(zhí)行和落實，這樣，就可最大限度避免因人為原因所帶來的網(wǎng)絡信息安全漏洞。

2．2設置防火墻網(wǎng)絡威脅絕大多數(shù)是從互聯(lián)網(wǎng)來的，應用防火墻來判斷與辨別進出網(wǎng)絡的各種信息，能夠有效避免內網(wǎng)或計算機系統(tǒng)遭到病毒和木馬的攻擊;所以，要對網(wǎng)絡信息安全進行有效保護，一定要選擇一個防火墻來進行保護，而且要讓所選擇的防火墻，不僅要技術性強，而且防御功能要足夠強大。

2．3安裝vpn設備所謂vpn設備，其實就是一個服務器，電腦在進行網(wǎng)絡信息傳遞過程中，要使網(wǎng)絡信息先向vpn服務器進行傳遞，然后再通過vpn設備向目的主機進行傳遞，這樣就可讓計算機不直接連接于物聯(lián)網(wǎng)，從而讓網(wǎng)絡黑客無法得到真正的ip地址，無法完成對網(wǎng)絡進行攻擊，這樣就有效對網(wǎng)絡信息安全起到了保護作用。

3結語

安全網(wǎng)絡論文范文第2篇

近來較典型的是蠕蟲與木馬，比如說木馬程序它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種者的電腦。近來就出現(xiàn)許多人的網(wǎng)絡賬戶遭到木馬程序盜取的案例。這些網(wǎng)絡病毒使人民財產受到嚴重侵害，也嚴重威脅到我們的正常工作與生活。惡意的攻擊和入侵所謂惡意的攻擊和入侵可對信息的有效性和完整性進行有選擇的破壞，也可在不影響網(wǎng)絡正常工作的情況下，對網(wǎng)絡進行數(shù)據(jù)監(jiān)聽，截獲或捕捉傳播在網(wǎng)絡中的信息，這是計算機網(wǎng)絡面臨的主要威脅，引發(fā)網(wǎng)絡安全的問題。

計算機網(wǎng)絡受到威脅后果嚴重

1.國家安全將遭受到威脅

網(wǎng)絡黑客攻擊的目標常包括銀行、政府及軍事部門，竊取和修改信息。這會對社會和國家安全造成嚴重威脅，有可能帶來無法挽回的損失。

2.損失巨大

很多網(wǎng)絡是大型網(wǎng)絡，像互聯(lián)網(wǎng)是全球性網(wǎng)絡，這些網(wǎng)絡上連接著無數(shù)計算機及網(wǎng)絡設備，如果攻擊者攻擊入侵連接在網(wǎng)絡上的計算機和網(wǎng)絡設備，會破壞成千上萬臺計算機，從而給用戶造成巨大經濟損失。

3.手段多樣，手法隱蔽

網(wǎng)絡攻擊所需設備簡單，所花時間短，某些過程只需一臺連接Internet的PC即可完成。這個特征決定了攻擊者的方式多樣性和隱蔽性。比如網(wǎng)絡攻擊者既可以用監(jiān)視網(wǎng)上數(shù)據(jù)來盜取他人的保密信息；可以通過截取他人的帳號和口令潛入他人的計算機系統(tǒng)；可以通過一些方法來繞過或破壞他人安裝的防火墻等等。

網(wǎng)絡安全防范技術

1.病毒的防范

計算機病毒變得越來越復雜，對計算機信息系統(tǒng)構成極大的威脅。在網(wǎng)絡環(huán)境中對計算機病毒的防范是網(wǎng)絡安全性建設中重要的一環(huán)。它的入侵檢測技術包括基于主機和基于網(wǎng)絡兩種。單機防病毒軟件一般安裝在單臺PC上，即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。對網(wǎng)絡病毒的防范主要包括預防病毒、檢測病毒和殺毒三種技術。網(wǎng)絡版防病毒系統(tǒng)包括：（1）系統(tǒng)中心：系統(tǒng)中心實時記錄計算機的病毒監(jiān)控、檢測和清除的信息，實現(xiàn)對整個防護系統(tǒng)的自動控制。（2）服務器端：服務器端為網(wǎng)絡服務器操作系統(tǒng)應用而設計。（3）客戶端：客戶端對當前工作站上病毒監(jiān)控、檢測和清除，并在需要時向系統(tǒng)中心發(fā)送病毒監(jiān)測報告。（4）管理控制臺：管理控制臺是為了網(wǎng)絡管理員的應用而設計的，通過它可以集中管理網(wǎng)絡上所有已安裝的防病毒系統(tǒng)防護軟件的計算機。

2.防火墻的配置

首先我們了解防火墻所處的位置決定了一些特點包括（1）所有的從外部到內部的通信都必須經過它（。2）只有有內部訪問策略授權的通信才能被允許通過。（3）系統(tǒng)本身具有很強的高可靠性。所以防火墻是網(wǎng)絡安全的屏障，配置防火墑是實現(xiàn)網(wǎng)絡安全最基本、最經濟、最有效的安全措施之一。防火墻是所有安全工具中最重要的一個組成部分。它在內部信任網(wǎng)絡和其他任何非信任網(wǎng)絡上提供了不同的規(guī)則進行判斷和驗證，確定是否允許該類型的信息通過。一個防火墻策略要符合4個目標，而每個目標通常都不是通過一個單獨的設備或軟件來實現(xiàn)的。通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證）配置在防火墻上。也可對網(wǎng)絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時，也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當有網(wǎng)絡入侵或攻擊時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。再次，利用防火墻對內部網(wǎng)絡的劃分，可實現(xiàn)內部網(wǎng)重點網(wǎng)段的隔離，從而降低了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響，防止內部信息的外泄。

3.數(shù)據(jù)加密與用戶授權訪問控制技術

與防火墻相比，數(shù)據(jù)加密與用戶授權訪問控制技術比較靈活，更加適用于開放的網(wǎng)絡。用戶授權訪問控制主要用于對靜態(tài)信息的保護，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密包括傳輸過程中的數(shù)據(jù)加密和存儲數(shù)據(jù)加密，對于傳輸加密，一般有硬件加密和軟件加密兩種方法實現(xiàn)。網(wǎng)絡中的數(shù)據(jù)加密，要選擇加密算法和密鑰，可以將這些加密算法分為對稱密鑰算法和公鑰密鑰算法兩種。對稱密鑰算法中，收發(fā)雙方使用相同的密鑰。比較著名的對稱密鑰算法有：美國的DES、歐洲的IDEA等。

4.應用入侵檢測技術

入侵檢測系統(tǒng)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息，再通過這些信息分析入侵特征的網(wǎng)絡安全系統(tǒng)。入侵檢測系統(tǒng)的功能包括：監(jiān)控和分析系統(tǒng)、用戶的行為；評估系統(tǒng)文件與數(shù)據(jù)文件的完整性，檢查系統(tǒng)漏洞；對系統(tǒng)的異常行為進行分析和識別，及時向網(wǎng)絡管理人員報警；跟蹤管理操作系統(tǒng)，識別無授僅用戶活動。具體應用就是指對那些面向系統(tǒng)資源和網(wǎng)絡資源的未經授權的行為進行識別和響應。入侵檢測通過監(jiān)控系統(tǒng)的使用情況，來檢測系統(tǒng)用戶的越權使用以及系統(tǒng)外部的人侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖。目前主要有兩類入侵檢測系統(tǒng)基于主機的和基于網(wǎng)絡的。前者檢查某臺主機系統(tǒng)日志中記錄的未經授權的可疑行為，并及時做出響應。后者是在連接過程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流，查找每一數(shù)據(jù)包內隱藏的惡意入侵，并對發(fā)現(xiàn)的人侵做出及時的響應。

5.規(guī)范安全管理行為

單單在網(wǎng)絡安全技術上提高也是不夠的，因為網(wǎng)絡人員也可能是造成網(wǎng)絡安全的因素，所以安全管理行為的規(guī)范是必須的。一要內部有完善的安全管理規(guī)范，二要建立基于安全策略的搞笑網(wǎng)絡管理平臺。兩方面統(tǒng)籌規(guī)劃部署，達到提高整體安全性的效果。

安全網(wǎng)絡論文范文第3篇

商業(yè)銀行計算機網(wǎng)絡安全與網(wǎng)絡規(guī)模、結構、通信協(xié)議、應用業(yè)務程序的功能和實現(xiàn)方式緊密相關，一個優(yōu)秀的安全設計應當整合當前網(wǎng)絡和業(yè)務特殊之處并全面考慮發(fā)展要求。商業(yè)銀行的網(wǎng)絡安全保護應選擇分層次保護的優(yōu)點，使用多級拓撲防護方式，設置不同級別的防御方法。訪問控制是網(wǎng)絡安全防護和防御的首要方式之一，其重要目標是保證網(wǎng)絡資源不被非法訪問。訪問控制技術所包括內容相對廣泛，其中有網(wǎng)絡登錄控制、網(wǎng)絡使用權限控制、目錄級安全控制以及屬性安全控制等多種手段。結合某些商業(yè)銀行的網(wǎng)絡系統(tǒng)和部分商業(yè)銀行的網(wǎng)絡和業(yè)務規(guī)劃，談商業(yè)銀行計算機網(wǎng)絡安全解決的原則。

1.1實行分級和分區(qū)防護的原則商業(yè)銀行的計算機網(wǎng)絡絕大多數(shù)是分層次的，即總行中心、省級中心、網(wǎng)點終端，計算機網(wǎng)絡安全防護對應實行分級防護的原則，實現(xiàn)對不同層次網(wǎng)絡的分層防護。防火墻也根據(jù)訪問需求被分為不同的安全區(qū)域：內部核心的TRUST區(qū)域，外部不可信的Untrust區(qū)域，第三方受限訪問的DMZ區(qū)域。

1.2風險威脅與安全防護相適應原則商業(yè)銀行面對的是極其復雜的金融環(huán)境，要面臨多種風險和威脅，然而商業(yè)銀行計算機網(wǎng)絡不容易實現(xiàn)完全的安全。需要對網(wǎng)絡及所處層次的機密性及被攻擊的風險性程度開展評估和研究，制定與之匹配的安全解決方式。

1.3系統(tǒng)性原則商業(yè)銀行計算機網(wǎng)絡的安全防御必須合理使用系統(tǒng)工程的理論進而全面分析網(wǎng)絡的安全及必須使用的具體方法。第一，系統(tǒng)性原則表現(xiàn)在各類管理制度的制定、落實和補充和專業(yè)方法的落實。第二，要充分為綜合性能、安全性和影響等考慮。第三，關注每個鏈路和節(jié)點的安全性，建立系統(tǒng)安防體系。

2計算機網(wǎng)絡安全采取的措施

商業(yè)銀行需要依據(jù)銀監(jiān)會的《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》，引進系統(tǒng)審計專家進行評估，結合計算機網(wǎng)絡系統(tǒng)安全的解決原則，建立綜合計算機網(wǎng)絡防護措施。

2.1加強外部安全管理網(wǎng)絡管理人員需要認真思考各類外部進攻的形式，研究貼近實際情況的網(wǎng)絡安全方法，防止黑客發(fā)起的攻擊行為，特別是針對于金融安全的商業(yè)銀行網(wǎng)絡系統(tǒng)。通過防火墻、入侵檢測系統(tǒng)，組成多層次網(wǎng)絡安全系統(tǒng)，確保金融網(wǎng)絡安全。入侵檢測技術是網(wǎng)絡安全技術和信息技術結合的新方法。通過入侵檢測技術能夠實時監(jiān)視網(wǎng)絡系統(tǒng)的相關方位，當這些位置受到進攻時，可以馬上檢測和立即響應。構建入侵檢測系統(tǒng)，可以馬上發(fā)現(xiàn)商業(yè)銀行金融網(wǎng)絡的非法入侵和對信息系統(tǒng)的進攻，可以實時監(jiān)控、自動識別網(wǎng)絡違規(guī)行為并馬上自動響應，實現(xiàn)對網(wǎng)絡上敏感數(shù)據(jù)的保護。

2.2加強內部安全管理內部安全管理可以利用802.1X準入控制技術、內部訪問控制技術、內部漏洞掃描技術相結合，構建多層次的內部網(wǎng)絡安全體系?；?02.1x協(xié)議的準入控制設計強調了對于交換機端口的接入控制。在內部用戶使用客戶端接入局域網(wǎng)時，客戶端會先向接入交換機設備發(fā)送接入請求，并將相關身份認證信息發(fā)送給接入交換機，接入交換機將客戶端身份認證信息轉發(fā)給認證服務器，如果認證成功該客戶端將被允許接入局域網(wǎng)內。如認證失敗客戶端將被禁止接入局域網(wǎng)或被限制在隔離VLAN中。[4]內部訪問控制技術可以使用防火墻將核心服務器區(qū)域與內部客戶端區(qū)域隔離，保證服務器區(qū)域不被非法訪問。同時結合訪問控制列表（ACL）方式，限制內部客戶端允許訪問的區(qū)域或應用，保證重要服務器或應用不被串訪。同時結合內部漏洞掃描技術，通過在內部網(wǎng)絡搭建漏洞掃描服務器，通過對計算機網(wǎng)絡設備進行相關安全掃描收集收集網(wǎng)絡系統(tǒng)信息，查找安全隱患和可能被攻擊者利用的漏洞，并針對發(fā)現(xiàn)的漏洞加以防范。

2.3加強鏈路安全管理對于數(shù)據(jù)鏈路的安全管理目前常用方法是對傳輸中的數(shù)據(jù)流進行加密。對于有特殊安全要求的敏感數(shù)據(jù)需要在傳輸過程中進行必要的加密處理。常用的加密方式有針對線路的加密和服務器端對端的加密兩種。前者側重在線路上而不考慮信源與信宿，通過在線路兩端設置加密機，通過加密算法對線路上傳輸?shù)乃袛?shù)據(jù)進行加密和解密。后者則指交易數(shù)據(jù)在服務器端通過調用加密軟件，采用加密算法對所發(fā)送的信息進行加密，把相應的敏感信息加密成密文，然后再在局域網(wǎng)或專線上傳輸，當這些信息一旦到達目的地，將由對端服務器調用相應的解密算法解密數(shù)據(jù)信息。隨著加密技術的不斷運用，針對加密數(shù)據(jù)的破解也越來越猖獗，對數(shù)據(jù)加密算法的要求也越來越高，目前根據(jù)國家規(guī)定越來越多的商業(yè)銀行開始使用國密算法。

2.4建立商業(yè)銀行網(wǎng)絡安全審計評估體系通過建立商業(yè)銀行網(wǎng)絡安全審計評估體系，保證計算機信息系統(tǒng)的正常運行。對商業(yè)銀行的核心業(yè)務系統(tǒng)和計算機網(wǎng)絡數(shù)據(jù)進行安全風險評估，發(fā)掘風險隱患，制訂相關的措施。[5]

安全網(wǎng)絡論文范文第4篇

眾所周知，只要是基于互聯(lián)網(wǎng)之下的系統(tǒng)，都要按時對其進行系統(tǒng)的升級。否則，該系統(tǒng)就會出現(xiàn)漏洞，從而導致黑客和惡意軟件的入侵，給系統(tǒng)造成嚴重的破壞。電力調度自動化的網(wǎng)絡系統(tǒng)也是如此，如果電力調度人員不能定期的給電力調度自動化的網(wǎng)絡系統(tǒng)進行升級，那么就會導致該系統(tǒng)出現(xiàn)漏洞。這個時候，黑客就可以借助一些高科技的技術，肆意的去修改或者是竊取電力調度傳輸過程中的信息。電力調度的信息一旦被修改或者是竊取，將會給電力企業(yè)造成無法挽回的經濟損失。

2電力調度人員沒有對電力調度自動化的網(wǎng)絡系統(tǒng)進行嚴格的管理

一方面，電力調度自動化具有復雜性，也正是因為它的這種復雜性，讓電力調度人員在對電力調度自動化的網(wǎng)絡系統(tǒng)進行管理的時候，出現(xiàn)了難以對其進行管理的現(xiàn)象。另一方面，隨著互聯(lián)網(wǎng)的不斷發(fā)展，更是增強了一些惡意軟件和黑客的技術手段，這就從很大程度上增加了電力調度自動化的網(wǎng)絡安全問題。隨著電力調度自動化網(wǎng)絡安全問題的加深，電力調度自動化在運行的過程當中，就會出現(xiàn)越來越多的問題，從而導致整個電力調度自動化不能正常的進行運轉。

3電力調度人員沒有盡到該盡的責任

電力調度人員自身的素質，在電力調度自動化管理的過程當中起著決定性的作用。因此，電力調度人員要是不具備很高的個人素質，那么他在工作的整個過程當中，就不會用嚴謹?shù)膽B(tài)度去履行工作的義務，那就更別說是承擔起相應的責任了。于是，一旦網(wǎng)絡安全出現(xiàn)問題，他們也就無法及時找到造成這些問題出現(xiàn)的因素，從而導致問題越來越嚴重，以致于最后危及到了整個電力調度自動化的運行。

4探究解決電力調度自動化網(wǎng)絡安全問題的方法

通過對電力調度自動化的網(wǎng)絡安全問題進行仔細的分析和探究，現(xiàn)將能夠有效解決這一問題的方法列舉出來：

4.1為電力調度自動化建造一個基于科學之上的網(wǎng)絡結構

建設人員在為電力調度自動化建立網(wǎng)絡結構的時候，要嚴格的按照網(wǎng)絡安全中所規(guī)定的去進行，以確保網(wǎng)絡結構的一致性和完整性。

4.2安排專業(yè)的技術人員對電力調度自動化的網(wǎng)絡系統(tǒng)進行管理

當電力調度自動化在運行的時候，電力企業(yè)要安排專業(yè)的技術人員，對電力調度自動化網(wǎng)絡系統(tǒng)進行實時的監(jiān)控和管理。一旦網(wǎng)絡系統(tǒng)出現(xiàn)了問題，那么技術人員就可以及時的發(fā)現(xiàn)，并找出造成這一問題出現(xiàn)的原因，然后對其進行全面的分析和探究，最后總結出一個能夠有效解決這一問題的辦法。其次，電力企業(yè)還要對這些技術人員進行定期的網(wǎng)絡安全管理知識的培訓，以提高他們的網(wǎng)絡管理水平。

4.3對電力調度自動化的網(wǎng)絡系統(tǒng)進行定期的維護

對網(wǎng)絡系統(tǒng)進行定期的維護，可以有效的減少網(wǎng)絡系統(tǒng)出現(xiàn)問題的概率。當然，在對網(wǎng)絡系統(tǒng)進行維護的時候，要對網(wǎng)絡系統(tǒng)進行全方位的檢查和維護，比如：可以用殺毒軟件清理網(wǎng)絡系統(tǒng)中的垃圾、對需要升級的軟件進行升級和檢查網(wǎng)絡系統(tǒng)中的信息等等。只有加強了對網(wǎng)絡系統(tǒng)的維護，才能夠從很大程度上避免網(wǎng)絡系統(tǒng)在運行的過程當中出現(xiàn)安全性問題。

5結束語

安全網(wǎng)絡論文范文第5篇

關鍵詞信息安全；PKI；CA；VPN

1引言

隨著計算機網(wǎng)絡的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡的計算機應用也在迅速增加，基于網(wǎng)絡信息系統(tǒng)給企業(yè)的經營管理帶來了更大的經濟效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術的飛速發(fā)展，許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場，企業(yè)就面臨著如何提高自身核心競爭力的問題，而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業(yè)采用PKI技術來解決這些問題已經成為當前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進行說明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計算機網(wǎng)絡

某公司現(xiàn)有計算機500余臺，通過內部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內部網(wǎng)絡中，各計算機在同一網(wǎng)段，通過交換機連接。

圖1

2)應用系統(tǒng)

經過多年的積累，某公司的計算機應用已基本覆蓋了經營管理的各個環(huán)節(jié)，包括各種應用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡的進一步完善，計算機應用也由數(shù)據(jù)分散的應用模式轉變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計算機網(wǎng)絡的安全，某公司實施了計算機網(wǎng)絡安全項目，基于當時對信息安全的認識和安全產品的狀況，信息安全的主要內容是網(wǎng)絡安全，部署了防火墻、防病毒服務器等網(wǎng)絡安全產品，極大地提升了公司計算機網(wǎng)絡的安全性，這些產品在此后防范網(wǎng)絡攻擊事件、沖擊波等網(wǎng)絡病毒攻擊以及網(wǎng)絡和桌面日常保障等方面發(fā)揮了很大的作用。

3風險與需求分析3.1風險分析

通過對我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結論：

(1)經營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。

(2)計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證，加強對數(shù)據(jù)的備份，并運用技術手段，提高數(shù)據(jù)的機密性、完整性和可用性。

通過對現(xiàn)有的信息安全體系的分析，也可以看出：隨著計算機技術的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強，安全防護僅限于網(wǎng)絡安全，系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險。

目前實施的安全方案是基于當時的認識進行的，主要工作集中于網(wǎng)絡安全，對于系統(tǒng)和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證，對服務器、網(wǎng)絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當時的網(wǎng)絡安全的基本是一種外部網(wǎng)絡安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡內部的用戶都是可信的。在這種信任模型下，假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡從外部使用各種攻擊手段進入內部網(wǎng)絡信息系統(tǒng)的。

針對外部網(wǎng)絡安全，人們提出了內部網(wǎng)絡安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內部人員可以直接對重要的服務器進行操控從而破壞信息，或者從內部網(wǎng)絡訪問服務器，下載重要的信息并盜取出去。內部網(wǎng)絡安全的這種信任模型更符合現(xiàn)實的狀況。

美國聯(lián)邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點：超過80%的信息安全隱患是來自組織內部，這些隱患直接導致了信息被內部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個動態(tài)過程，某公司缺乏相關的規(guī)章制度、技術規(guī)范，也沒有選用有關的安全服務。不能充分發(fā)揮安全產品的效能。

(2)原有的網(wǎng)絡安全產品在功能和性能上都不能適應新的形勢，存在一定的網(wǎng)絡安全隱患，產品亟待升級。

已購買的網(wǎng)絡安全產品中，有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性，擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制，原有的防火墻將成為企業(yè)內網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡信息系統(tǒng)的安全建設建立在風險評估的基礎上，這是信息化建設的內在要求，系統(tǒng)主管部門和運營、應用單位都必須做好本系統(tǒng)的信息安全風險評估工作。只有在建設的初期，在規(guī)劃的過程中，就運用風險評估、風險管理的手段，用戶才可以避免重復建設和投資的浪費。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風險，信息安全的需求主要體現(xiàn)在如下幾點：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡，也需要做好系統(tǒng)、應用、數(shù)據(jù)各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

(2)網(wǎng)絡規(guī)模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn)，原有的產品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術規(guī)范的建設，使安全防范的各項工作都能夠有序、規(guī)范地進行。

(4)信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4設計原則

安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。

4.1標準化原則

本方案參照信息安全方面的國家法規(guī)與標準和公司內部已經執(zhí)行或正在起草標準及規(guī)定，使安全技術體系的建設達到標準化、規(guī)范化的要求，為拓展、升級和集中統(tǒng)一打好基礎。

4.2系統(tǒng)化原則

信息安全是一個復雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮，既注重技術的實現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3規(guī)避風險原則

安全技術體系的建設涉及網(wǎng)絡、系統(tǒng)、應用等方方面面，任何改造、添加甚至移動，都可能影響現(xiàn)有網(wǎng)絡的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行，這是安全技術體系建設必須面對的最大風險。本規(guī)劃特別考慮規(guī)避運行風險問題，在規(guī)劃與應用系統(tǒng)銜接的基礎安全措施時，優(yōu)先保證透明化，從提供通用安全基礎服務的要求出發(fā)，設計并實現(xiàn)安全系統(tǒng)與應用系統(tǒng)的平滑連接。

4.4保護投資原則

由于信息安全理論與技術發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設了一些整體的或區(qū)域的安全技術系統(tǒng)，配置了相應的設施。因此，本方案依據(jù)保護信息安全投資效益的基本原則，在合理規(guī)劃、建設新的安全子系統(tǒng)或投入新的安全設施的同時，對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5多重保護原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

4.6分步實施原則

由于某公司應用擴展范圍廣闊，隨著網(wǎng)絡規(guī)模的擴大及應用的增加，系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性，尋求安全、風險、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費用開支。

5設計思路及安全產品的選擇和部署

信息安全防范應做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終，如圖2所示。

圖2網(wǎng)絡與信息安全防范體系模型

信息安全又是相對的，需要在風險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現(xiàn)狀的分析，對現(xiàn)有的信息安全產品和解決方案的調查，通過與計算機專業(yè)公司接觸，初步確定了本次安全項目的內容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡安全基礎設施

證書認證系統(tǒng)無論是企業(yè)內部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺，都必須建立在一個安全可信的網(wǎng)絡之上。目前，解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI(PublicKeyInfrastructure，公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系，它從技術上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡應用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng)，建立一個完善的網(wǎng)絡安全認證平臺，能夠通過這個安全平臺實現(xiàn)以下目標：

身份認證(Authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認對方的身份。

數(shù)據(jù)的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護和網(wǎng)絡的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構建虛擬專用網(wǎng)絡提供了一整套安全的解決方案。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w，通過加密、認證、封裝以及密鑰交換技術在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術，可以對多種網(wǎng)絡對象進行有效地訪問監(jiān)控，為網(wǎng)絡提供高效、穩(wěn)定地安全保護。

集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應用之一。隨著網(wǎng)絡的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡上傳播。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的。首先，它的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織(根證書)之間相互認證，整個信任關系基本是樹狀的。其次，S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。

5.4桌面安全防護

對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡外部，大量的安全威脅來自企業(yè)內部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡安全事件，是來自于企業(yè)內部。同時，由于是內部人員所為，這樣的安全犯罪往往目的明確，如針對企業(yè)機密和專利信息的竊取、財務欺騙等，因此，對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統(tǒng)

文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法，從而保證了存儲數(shù)據(jù)的安全性。

5.5身份認證

身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程。基于PKI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內置的密碼算法實現(xiàn)對用戶身份的認證。

基于PKI的USBKey的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構成的綜合性安全技術體系，從而實現(xiàn)上述身份認證、授權與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。

6方案的組織與實施方式

網(wǎng)絡與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網(wǎng)絡與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程，也為本方案的實施提供了借鑒。

圖3

因此在本方案的組織和實施中，除了工程的實施外，還應重視以下各項工作：

(1)在初步進行風險分析基礎上，方案實施方應進行進一步的風險評估，明確需求所在，務求有的放矢，確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分，必要時可借助專業(yè)公司的安全服務，提高應對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實際情況，可采取分地區(qū)、分階段實施的方式。

(4)在方案實施的同時，加強規(guī)章制度、技術規(guī)范的建設，使信息安全的日常工作進一步制度化、規(guī)范化。

7結論

本文以某公司為例，分析了網(wǎng)絡安全現(xiàn)狀，指出目前存在的風險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術手段的改進，到規(guī)章制度的完善；從單機系統(tǒng)的安全加固，到整體網(wǎng)絡的安全管理。本方案從技術手段上、從可操作性上都易于實現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡安全解決手段。

也希望通過本方案的實施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來自各方面的攻擊和威脅，把風險降到最低水平。