网络安全防护手段实用13篇

网络安全防护手段篇1

网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了。第二，网络的安全机制与技术要不断地变化。第三，随着网络在社会各个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。为此，建立有中国特色的网络安全体系，需要国家政策和法规的支持及安全产品生产集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。

1 网络安全现状

由于政务网、商务网所有业务应用系统都基于一个企业网络系统实现，因此，应用与应用之间难以有效地隔离；同时，用户情况复杂，有的用户属于重要应用岗位，有的属于一般岗位。虽然这些用户对应用的安全服务要求不同，但他们均混杂在一个局域网络，因此对用户较难以分别控制。此外，政务网、商务网应用是基于开放的平台实现的，开放系统平台和开放的通讯协议存在安全缺陷及漏洞，同时也造成了这些应用存在着安全上的隐患。总之，各种应用之间可能存在信息非法访问、存取的机会，这都给政务网、商务网的信息应用的安全运行带来巨大的风险。这些风险包括用户对信息的误用、滥用、盗用以及破坏。对于政务网、商务网等信息应用系统来说，面临的攻击、威胁的主要手段有：病毒、破坏硬件设备、冒充、篡改、窃取等。在网络系统中，无论任何调用指令，还是任何反馈均是通过网络传输实现的，所以网络信息传输上的安全就显得特别重要。信息的传输安全主要是指信息在动态传输过程中的安全。为确保政务网、商务网网络信息的传输安全，主要应注意对网络上信息的监听。对网上传输的信息，攻击者只需在网络的传输链路上通过物理或逻辑的手段，就能对数据进行非法的截获与监听，进而获得用户或服务方的敏感信息。计算机网络上的通信面临以下四种威胁：截获——从网络上窃听他人的通信内容。中断——有意中断他人在网络上的通信。篡改——故意篡改网络上传送的报文。伪造——伪造信息在网络上传送。

2 网络安全管理监控

信息系统安全性起于好的管理。这包括检查所有重要文件和目录的所有者和许可权限，监视特权账户的使用，检查信息的使用及占有情况等。在一个信息系统运行中，影响系统安全的因素很多，但其中50％与管理因素有关。政务网、商务网信息系统较为复杂，一旦信息处理的某个节点或环节出现问题，很可能导致信息系统降低效率或瘫痪。而信息系统单纯依靠人工管理存在较大困难和诸多安全隐患，因此，需要一种手段和技术来保证信息系统的可管理性，并减少信息系统维护的费用。在政务网、商务网等信息系统中，分布式结构和网络计算占了重要地位。随着信息系统规模的扩大，我们会发现一个问题，就是策略的统一性、连续性。我们知道，对于政务网、商务网而言，整个信息系统是一个整体，想保证整体系统的可靠性、可用性和安全性，那么必须保持每一个局部的网络或者主机的安全性和可靠性。现在很多安全方面的隐患是由于整体信息系统的策略实施的不统一造成的。因此，当政务网、商务网制订了企业的整体安全策略时，除了通过规章制度把这些想法传达下去，还要具备相应的技术手段来保证这一点。

对于政务网、商务网这样的用户必须建立一个集中式管理的概念，就是数据和处理能力可以是分散的，但对于管理而言，应该是集中的。而所管理的内容应该包括企业网络中一些重要的信息，如：系统的集中管理、网络的集中管理、应用的集中管理、防火墙系统的集中管理、网络用户的集中管理，以及和这些相关的管理信息的复制、更新和同步。

3 防火墙技术及其发展趋势

防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其他途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。防火墙处于5层网络安全体系中的最底层，属于网络层安全技术范畴。作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。此外，还有多种防火墙产品正在朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

防火墙必须在基于芯片加速的深度内容过滤技术上实现真正的突破，并推出实用化的产品以解决当前的网络安全难题。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析、芯片解决计算加速技术，防火墙必将以软硬兼施的方案为用户的应用提供更安全的保障。而VPN、IDS／IPS、防病毒等功能可能以各类加速芯片的形式与防火墙协同工作，形成以芯片技术为主导的全系列硬件型安全网关。防火墙下一步的发展与中国下一代网络的建设紧密相关，如IPv6网络、P2P应用、3G、4G网络等等。这里特别强调的是防火墙与IPv6。由于IPv6网络的新特性，如端到端的连接、移动IP的处理、内嵌IPSec、路径MTU探测等，给防火墙带来新的安全挑战。防火墙不仅要及时适应IPv6网络的发展，并解决IPv6引入后带来的新问题，同时，由于IPv6与IPv4网络长期共存，网络必然会同时存在IPv4的安全问题与IPv6的安全问题，或由此造成新的安全问题。下一步要考虑的，不仅仅是更适应于网络发展的防火墙模型，可能还会包括网络安全防范与评估方法等。在Internet无所不在的理念下，防火墙等网络安全产品也必将站在可信赖应用与计算环境为基础的角度上设计并解决安全问题。当前基于不同架构设计实现的防火墙都将面临巨大的挑战，为此付出的代价也将是不同的。防火墙技术和产品已经相对成熟，但还存在一定的技术局限性，防火墙仍不能完全满足用户的需求。网络攻防是一对矛盾，用户需求激发技术创新，网络与应用也在日新月异，在关键处理技术上实现创新，并对防火墙在各种网络环境中的实际应用、稳定性与易用性，以及整体网络安全解决方案进行研究，一直会是防火墙技术的重要内容。因此，防火墙技术将持续快速发展，技术突破将必然带来新的天地。

4 结论

网络安全防护手段篇2

随着通信网络各种数据业务的快速发展，用户数量呈现高速增长，在互联网快速发展的同时安全事件也层出不穷、黑色产业链日益成熟、攻击行为组织化、攻击手段自动化、攻击目标多样化、攻击目的趋利化等特点明显。目前，通信网络的安全现状呈现出以下的一些趋势：

⑴网络IP化、设备IT化、应用Web化使电信业务系统日益开放，业务安全漏洞更加易于利用。针对业务攻击日益突出，电信业务系统的攻击越来越趋向追求经济利益。

⑵手机终端智能化带来了恶意代码传播、客户信息安全及对网络的冲击等安全问题。

⑶三网融合、云计算、物联网带来的网络开放性、终端复杂性使网络面临更多安全攻击和威胁；系统可靠性以及数据保护将面临更大的风险；网络安全问题从互联网的虚拟空间拓展到物理空间、网络安全和危机处置将面临更大的挑战。

⑷电信运营企业保存的客户信息（包括订购关系）日益增多，客户信息的流转环节不断增加，也存在SP等合作伙伴访问客户信息的需要、泄露、篡改、伪造客户信息的问题日益突出。

⑸电信运营企业内部人员，第三方支持人员SP等利用拥有的权限以及业务流程漏洞，实施以追求经济利益为目的的犯罪。

2 通信网络的安全防护措施

2.1 移动互联网安全防护

移动互联网把移动通信网作为接入网络，包括移动通信网络接入、公众互联网服务、移动互联网终端。移动互联网面临的安全威胁主要来自终端、网络和业务。终端的智能化带来的威胁主要是手机病毒和恶意代码引起的破坏终端功能、窃取用户信息、滥用网络资源非法恶意订购等。网络的安全威胁主要包括非法接入网络、进行拒绝服务攻击、跟踪窃听空口传输的信息滥用网络服务等。业务层面的安全威胁包括非法访问业务、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露等针对以上安全威胁，应在终端侧和网络侧进行安全防护。

2.1.1终端侧

主要增强终端自身的安全功能，终端应具有身份认证、业务应用的访问控制能力，同时要安装手机防病毒软件。

2.1.2网络侧

针对协议漏洞或网络设备自身漏洞，首先要对网络设备进行安全评估和加固，确保系统自身安全。其次。针对网络攻击和业务层面的攻击应在移动互联网的互联边界和核心节点部署流量分析、流量清洗设备、识别出正常业务流量、异常攻击流量等内容，实现对DDoS攻击的防护。针对手机恶意代码导致的滥发彩信、非法联网、恶意下载、恶意订购等行为，应在网络侧部署恶意代码监测系统。在GGSN上的Gn和Gp口通过分光把数据包采集到手机恶意代码监测系统进行扫描分析，同时可以从彩信中心获取数据，对彩信及附件进行扫描分析，从而实现对恶意代码的监测和拦截。见图 1

图1在网络侧部署恶意代码监测系统

2.2 核心网安全防护

⑴软交换网安全防护。软交换网需要重点防范来自内部的风险，如维护终端、现场支持、支撑系统接入带来的安全问题。重点防护措施可以包括：在软交换网和网管、计费网络的连接边界、设置安全访问策略、禁止越权访问。根据需要，在网络边界部署防病毒网关类产品；以避免蠕虫病毒的蔓延、维测终端、反牵终端安装网络版防病毒软件，并专用于设备维护。

⑵GPRS核心网安全防护。GPRS系统面临来自GPRS用户、互联伙伴和内部的安全风险。GPRS安全防护措施对GPRS网络划分了多个安全域，例如Gn安全域，Gi安全域，Gp安全域等，各安全域之间LAN 或防火墙实现与互联网的隔离；省际Gn域互联Gp域与其它PLMNGRPS网络互联，以及Gn与Gi域互联时，均应设置防火墙，并配置合理的防火墙策略。

⑶3G核心网安全防护，3G核心网不仅在分组域采用IP技术，电路域核心网也将采用IP技术在核心网元间传输媒体流及信令信息，因此IP网络的风险也逐步引入到3G核心网之中。由于3G核心网的重要性和复杂性，可以对其PS域网络和CS域网络分别划分安全域并进行相应的防护。例如对CS域而言，可以划分信令域、媒体域、维护OM域、计费域等，对于PS域可以分为Gn/Gp域、Gi域、Gom维护域、计费域等，对划分的安全域分别进行安全威胁分析并进行针对性的防护重要安全域中的网元之间要做到双向认证，数据一致性检查，同时对不同安全域要做到隔离，并在安全域之间进行相应的访问控制。

2.3 支撑网络安全防护

支撑网络包括网管支撑系统、业务支撑系统和管理支撑系统。支撑网络中有大量的IT 设备、终端、面临的安全威胁主要包括病毒、木马、非授权的访问或越权使用、信息泄密、数据完整性破坏、系统可用性被破坏等。

支撑网络安全防护的基础是做好安全域划分、系统自身安全和增加基础安全防护手段。同时，通过建立4A系统，对内部维护人员和厂家人员操作网络、业务

系统、网管系统、业务支撑系统、OA系统等的全过程实施管控。对支撑系统进行区域划分，进行层次化，有重点的保护是保证系统安全的有效手段。安全域划分遵循集中化防护和分等级防护原则，整合各系统分散的防护边界，形成数个大的安全域，内部分区控制，外部整合边界，并以此为基础集中部署安全域内各系统共享的安全技术防护手段，实现重兵把守、纵深防护。

4A系统为用户访问资源，进行维护操作提供了便捷、高效、可靠的途径，并对操作维护过程进行实时日志审计，同时也为加强企业内部网络与信息安全控制、满足相关法案审计要求提供技术保证。图2为维护人员通过登录4A系统后访问后台设备的示意图。

图2维护人员通过登录4A系统后访问后台设备的示意

4A系统作为用户访问后台系统的惟一入口，可以实现对系统维护人员、用户的统一接入访问控制授权和操作行为审计、对于防止违规访问敏感信息系统和在访问之后进行审计提供非常重要的管控手段。

3 重要系统的安全防护

3.1 Web网站安全防护

随着网络层防护水平的提高Web等应用层由于其开放性可能会面临着越来越多的攻击，随着通信业务Web化的发展趋势Web系统的安全直接影响到通信业务系统的安全Web系统防护是一个复杂的问题，包括应对网页篡改DDoS攻击，信息泄漏，导致系统可用性问题的其它类型黑客攻击等各种措施。针对Web系统的许多攻击方式都是利用了Web系统设计编码中存在的漏洞，因此Web网站的安全防护通常要包括Web系统上线的安全编码阶段、安全检测及上线之后的监控及运行防护阶段。Web系统上线之前的阶段侧重于应用工具发现代码存在的漏洞，而在监控及运行防护阶段需要针对系统分层进行分别防护，例如分为内容层安全、应用层安全、网络层安全、系统层安全等，在分层防护时分别部署内容检测系统Web安全漏洞扫描系统，防火墙，Web应用防火墙，系统漏洞扫描器等措施。

3.2 DNS系统的安全防护

DNS系统是互联网的神经系统，因此对DNS系统的安全防护尤为重要。近几年来，针对DNS系统的攻击比较突出的为DoS攻击DNS投毒，域名劫持及重定向等。DNS系统的安全防护需要部署流量清洗设备，在发生异常DNSFlood攻击时，能够将DNS流量牵引到流量清洗设备进行清洗，保障DNS业务系统的正常运行。同时DNS系统安全防护需要进行安全配置并同时要运行安全的DNS系统或者启用安全的协议，例如运行源端口随机化的系统来部分解决，DNS投毒问题或者利用 DNSSEC协议来避免DNS投毒,DNS劫持等。

4 新业务网络的安全防护

4.1物联网安全

物联网由大量的机器构成，很多节点处于无人值守环境，并且资源受限、数量庞大，因此物联网除了面对移动通信网络的传统网络安全问题之外，还存在着一些特殊安全问题，包括感知网络的安全，以及感知网络与通信网络之间安全机制的相互协调，对于感知网络的安全。主要有以下安全问题:

⑴感知节点的物理安全问题。很多节点处于无人值守环境，容易失效或受到物理攻击，在进行安全设计时必须考虑失效/被俘节点的检测，撤除问题、同时还要将失效/被俘节点导致的安全隐患限制在最小范围内。

⑵感知网络的传输与信息安全问题，感知网络通常采用短距离通信技术。以自组织方式组网、且感知节点处理器、存储器、电源等资源非常有限。开放的环境使传输介质易受外界环境影响，节点附近容易产生信道冲突，恶意攻击者也可以方便窃听重要信息资源受限使节点无法进行快速的高复杂度的计算，这对依赖于加解密算法的安全架构提出了挑战，需要考虑轻量级，高效的安全实现方案。

物联网应用和行业紧密相关，有特殊的安全需求，作为运营商，应提供基础安全服务，解决物联网中共性的安全问题，例如构建物联网安全管理平台，为物联网应用提供安全基础支撑环境，重点提供认证、加密等安全通信服务，并解决节点监控与管理、网络安全状态监控、网络故障修复、安全策略分发等问题。

4.2 云计算安全

云计算的虚拟化、多租户和动态性不仅加重了传统的安全问题，同时也引入了一些新的安全问题。云计算系统的安全防护应重点考虑如下方面：

⑴数据安全和隐私保护。由于虚拟技术、数据迁移、业务迁移等多个因素综合导致数据保护将面临更大的挑战，应通过管理和技术手段，解决用户隐私数据保护和数据内容安全问题。

⑵虚拟化安全。重点解决虚拟机隔离、虚拟机监控、虚拟机安全迁移和镜像文件的安全存储。

⑶运行环境安全。通过代码的静态分析和运行监测，避免恶意程序对内网、外网和系统中其他用户发起的攻击。

网络安全防护手段篇3

一、现代网络攻击的特点

1.网络攻击趋于自动化。如今，网络黑客工具层出不穷，非法攻击的发起人不再是以往具有丰富经验的计算机顶级操作者，只要具备简单基础的人都可借助此类工具或软件实施非法攻击，使得网络非法攻击的技术门槛大幅降低，直接增加了防护难度，为网络安全建设带来了不同程度的风险威胁。

2.攻击手段逐渐多样。网络技术与各类应用的持续发展应用，在某种程度上也使攻击的方式趋于多样化，利用系统漏洞实施非法攻击的例子并不少见，在安全漏洞察觉速度不断提高的情形下，网络攻击手段也在逐渐推陈出新，致使网络防御一度陷入僵局。现阶段的网络攻击手段已不局限于扫描窥探、畸形报文攻击等传统方式，通过对近年来几起较为严重的网络攻击事件的总结发现，DoS攻击、IP Spoofing 攻击、Land攻击等一系列新型攻击手段的出现几率正不断提高。

二、目前网络安全防御技术

1.防火墙技术。防火墙是一种充分利用硬软件而组成的系统，主要控制内部网络与外部网络的连接和访问，从狭义的角度讲，防火墙实际上就是一种安装了相应防护软件的系统或主机;从广义的角度讲，防火墙除提供必要的防护功能外，还包含了安全策略与行为约束。

防火墙是建立在内网与外网之间的防护屏障，也可以是一个安全网关，主要用于恶意入侵和各类无法预测危害的发生。防火墙的实际功能为：对安全性不佳的用户与服务进行过滤、管理控制不可信网络的访问、对暴露的用户进行限制、制约非法访问、攻击警报等。防火墙是迄今为止最为常用且有效的防御手段，是切实保障网络安全的主要技术之一。

2.认证技术。认证是一种可有效防止恶意攻击的防御手段，它可对开放环境中的各类消息系统提供安全防护，实施认证技术的目的在于：

（1）验证消息的者是否合法;

（2）验证所的消息是否安全可靠，并保证信息传输过程中不会被攻击者篡改。

当前较为常用的认证技术为：信息认证、身份认证以及数字签名等。其中，信息认证技术的应用可以很好的解决在通信双方利益和危害均保持一致的情形下所出现的入侵和破坏防护等问题。此外，数字签字还可有效防止第三方以他人名义发送或接受信息的行为。

3.取证技术。取证技术主要包含动态和静态两种形式。其中静态取证指的是，在系统遭受侵害时，通过采取各类有效手段的方式，对危害进行取证和分析。在当前情况中，静态取证的应用范围较为广泛，在遭受入侵之后，对信息数据实行确认、抽取与分析，抽出凭证，这一系统过程会涉及数据防护技术、系统磁盘复制技术、数据信息识别技术、数据信息提取技术、数据信息分析技术、加密技术、解密技术等。

动态取证作为计算机取证技术的主要发展方向，是指在计算机中预先安装，在入侵发生时，可对系统的操作行为生成对应的日志，已达到动态记录的目的。充分运用文件系统所具有的特性，相关工具加以辅助，从而对损失的文件进行恢复，然后将日志上传至取证机中进行备份，为入侵行为的发生提供有力的证据，实现网络安全的综合防护。在动态取证中，具有一定典型特征的技术有：非法入侵检测技术、非法入侵取证技术、追踪技术、数据采集技术、数据过滤技术、信息的动态获取技术、IP获取技术等。

三、网络安全新技术

随着网络在人们的生活、工作和学习中越来越普及，网络安全问题也越来越困扰着人们，除了上述提到的几种安全技术，一些新的防御手段也逐渐开发出来，应用到网络中。

1.蜜罐技术。蜜罐是一种近几年兴起的安全防御技术，凭借其独特的思想和理念逐渐得到了多数人的关注和应用。蜜罐技术由Lance spitzner创作，他给出了该防御技术的定义，即为：蜜罐实际上是一个安全资源，其基本价值主要体现在扫描、攻击与攻陷，随后针对各种攻击活动实施监视、检测与研究。蜜罐技术的具体防御机制为，短暂容忍入侵行为，同时对攻击方式、攻击目的等进行记录和学习，特别是未知的攻击信息，进而对网络做出相应的调整，采取必要的安全措施，提升系统的安全性。此外，该技术还可有效转移攻击发起者的注意视线，消耗攻击者的资源及精力，从而起到间接防护的作用。蜜罐技术可以为使用者提供动态识别各类攻击的手段，将成功捕获的重要信息向防护系统中反馈，进而达到动态提升系统防御力的目的。然而由于蜜罐技术是一种新兴技术，所以其还处在起始阶段，但它所具有的独特功能和防御能力，正逐渐成为防护体系的重要组成部分，通过不断的完善和发展，该技术势必会得到更加广泛的应用，充分发挥其防御能力，使非法攻击无从下手。

2.攻击吸收及转移技术。在特殊环境下，若在发现攻击时对当前的连接进行迅速切断，虽然可以有效避免后续危害，但这样一来就无法对攻击者的行为进行观察，不利于类似攻击方式的防范。攻击吸收及转移技术是近几年兴起的防御技术，该技术的全面运用可以极短的时间内将攻击包吸收至相应的诱骗系统当中，不仅可以对和攻击者之间的连接进行快速切断，还可有效保护主机，此外还能对攻击行为和方式进行分析，为类似攻击的防范提供基础支持。

在未来的网络安全中，将会面临着更加严峻的考验，不仅攻击方式丰富，且危害性也在不断提高。为此，相关人员必须充分理解防御技术应用与发展必要性，综合分析网络安全现状，结合自身实践经验，积极研发各类杀毒软件，并对服务器的安全进行加强，及时更新软件与补丁，切实做好网络安全管理。另外，人们还需转变传统观念，网络安全不单单是安装各种杀毒软件这么简单，而是需要将系统应用、服务器等进行有效的结合，进而形成一个完善、健全的防御体系，以有效防止所有类型的入侵和攻击。

参考文献：

[1]应向荣.网络攻击新趋势下主动防御系统的重要性.[J].计算机安全.2003.

网络安全防护手段篇4

网络安全是指通过各种计算机、网络、密码技术和信息安全技术、网络控制技术，保护网络中传输、交换、处理和存储的信息的机密性、完整性、可用性、真实性、抗否认性和可控性。从网络的组成结构来看，网络安全的概念涵盖了网络组成硬件的安全、网络运行的安全以及网络数据的安全三个层次。网络安全运行的基本目标包括以下三个方面：①信息的保密性，即实现用户信息不被非法用户获得和利用，以及不被合法用户非法使用；②信息的完整性，信息的完整是指信息的存储和修改等操作都必须在授权的前提下进行，避免出现存储信息的破坏或丢失；③信息的可用性，信息的可用性是指在需要向用户提供网络信息时，能够及时的将对应权限内的信息完整的提供给用户。为了实现以上网络安全的基本目标，就必须依赖于一定的技术手段，目前在保证网络安全运行方面技术手段主要有以下6大类：数据加密技术、数字签名技术、消息认证技术、身份鉴别技术、访问控制技术以及PKI技术。这几类技术手段从不同的角度来实现对网络安全运行。由于这几类技术的技术难度和应用需求各异，因此在适用范围上会有所差异。

2.电信宽带城域网的网络安全问题分析

对于网络运行商来说，网络安全基本的、也是重要的目标就是保障各级网络的正常运行，对蠕虫病毒和DDOS攻击等常见攻击形式应当具有一定的抵御能力。为了保障网络安全，已经普遍采用防火墙技术、数据加密等技术手段，提高了面临网络攻击时的应对速度。但这些技术手段都还需要不断的维护和升级才能适应网络的发展步伐。

为便于讨论，本文仅限于对电信宽带的城域网网络安全问题的探讨。笔者认为当前电信城域网网络的安全问题主要表现在以下几个方面：①在网络规模越来越大的情况下，并没有形成一套能够有效的城域网安全管理体系，现有技术对网络安全的保障力度不够；②缺乏网络在运行中的实时诊断、监控技术，在面临网络攻击时缺乏有效的应对技术手段；③对不同服务级别的安全承诺SLSA缺乏有效的服务模式。

在上述几类问题存在的情况下，要让电信网络正常运行并为客户提供更好的增值服务，首先是保障网络的可用性，这是网络安全基本特征之一。而就当前城域网网络安全的主要威胁来看，对网络可用性威胁最大的因素是DDOS攻击和网络滥用。因此这是首先需要着力解决的问题。为达到这一目标，就必须建立各层次网络的防护系统，规范网络边界，对各业务系统范围内的网络提供有效保护，并提高面临网络攻击时的应急处理能力。从具体实施步骤上看，笔者认为应当完成以下三类基本的任务：①提高对网络中异常流量的监控力度，加强对城域网出口层、汇聚层、接入层等各个级别的网络设备的监控；②加强对网络数据的源地址合法性审查；③完善各级网络的安全管理机制，形成一套集网络监控、攻击应对机制、常规安全管理为一体的网络安全管理模式。

3.技术体系分析

3.1 网络边界的保护措施

电信宽带城域网的网络层次结构包括出口层、核心层、汇聚层和接入层四个部分。对上述四个网络组成部分的边界保护是实现网络安全的基础之一。具体到各个层次而言，相应的安全控制措施为：①出口层，通过访问控制列表来控制进入电信城域网流量。②核心层，对与核心层相连接的网络端口进行数据包的ACL控制，加强对核心层基础网络设备的保护，对核心层管理系统进行安全强化。③汇聚层，汇聚层的安全控制是网络安全控制的核心，是网络用户数据汇聚的层次。为了加强这一层次的安全管理，首先应加强对网络数据包的监控和管理，可通过配置uRPF来防御源IP地址欺骗，同时开启TCP拦截或者CAR来限制网络流量以避免高频网络数据包攻击。此外，对已知网络病毒的防御也应在汇聚层的设备接口处来完成，可通过配置访问列表的方式来进行拦截。④接入层，启用uRPF或配置ACL，以加强对IP地址的控制和对外访问，依据需要还可以选择ICMP限速等其他功能来配合接入层的安全控制。

3.2 应用系统的安全防护

应用系统的安全防护是配合当前电信网络中部署的DNS服务器、邮件服务器、数据库等的正常使用。应用系统的安全防护的内容主要是指主机的安全防护、应用系统的入侵检测、应用系统的安全隔离以及病毒防护等。现分别对这几个方面的安全防护方式进行探讨。

(1)主机安全防护

主机的安全对于网络安全的重要意义不言而喻。主机的安全防护应首先从主机系统的漏洞修补开始，及时对主机所使用的系统进行更新和病毒检测。此外，为了避免主机在遭受攻击时造成大面积的服务瘫痪，应将重要的服务内容分布在不同的主机上，并将主机的使用权限进行严格的限制。

(2)访问的安全控制

对应用系统访问的控制是保护系统数据安全的重要手段，当前电信网络应用系统中对访问的主要控制手段是网络隔离和密码更换等方式。从理论上讲，对访问的控制应当是全方面的，从物理层面到技术、管理层面都应实施相应的控制手段，而不应当局限于当前采用的技术手段。

(3)安全隔离手段

当前电信网络中的安全隔离手段主要是设置防火墙来实现对网络边界的保护和访问控制。因此鉴于这种普遍存在的情况，在防火墙的设置时应在以下几个方面进行改进。1以网络重要性为基础，将网络划分为具有不同安全级别的区域，在各个区域的边界设置不同的防火墙安全级别，并依据安全隔离的需要配置合适类型的防火墙设备。除了对硬件和软件上的改进，更重要是对不同安全区域之间的访问进行控制，根据网络的结构变化和业务上的需求来实时的调整访问控制的管理的方式。

(4)入侵检测

以防火墙为主要安全隔离手段的网络攻击防护并不能完全保证系统不被非法入侵，而且也无法抵御来自系统内部的攻击，因此还需要配合系统的入侵检测来进一步保障系统的安全性。从系统的检测形式来看，主要分为两类，一是来自网络的系统入侵检测，二是针对主机的系统入侵检测。对于来自网络的入侵检测通过基于网络的IDS宿主机来实现是比较理想的方式，可以对网络数据包来源进行检测和识别，具有较好的实时性，并可对受到的攻击留下证据。基于主机的IDS能够监视系统的所有操作，在配合基于网络的IDS方面有不可替代的作用，因此是其重要补充。总之使用基于网络的IDS与基于主机的IDS的配合使用是检测系统监控和实时入侵检测的必要手段。

(5)病毒防护

对病毒的防护是保障网络安全的又一个重要方面，应对可能存在的网络安全漏洞进行定期的检查分析，并采取常规的防病毒措施。一旦发生系统病毒感染，关键阻止病毒的进一步扩散和查杀病毒。当病毒无法及时清除时，需要采取必要的应急措施来避免损失扩大，可采取以下几个方面备用应急措施：1对发生病毒感染的主机实施必要的隔离；2阻止被感染主机向外发送数据包；3必要时关闭邮件服务器，以避免病毒以邮件方式扩散。

4.应用实例

4.1 基本设置

本节中以某地电信防护DDOS攻击应用为例来阐述网络安全的防御技术。该公司在防御DDOS攻击时采用Detector攻击探测器和Guard保护器的组合防护策略，该防御策略的工作流程如图1所示。

4.2 系统配置

(1)清洁中心的配置

根据DDOS的攻击原理，清洁中心越靠近攻击源头则越能够发挥其作用，因此将清洁中心布置在网络中比较脆弱的连接部位上游。

(2)Guard保护器的配置

该公司城域网中共配置有两套Guard保护器。每套设备配置3条链路与核心设备连接，参数为：10GE链路×2+1GE链路×1，流量的转发和吸引由10GE链路完成，链路冗余由1GE链路完成。

(3)Detector攻击探测器的配置

Detector攻击探测器的工作需要依赖于一定的监控平台，此处的安全监控平台由Cisco和Detector共同构成，Cisco和Detector通过2个GE接口连接，并在核心链路中加入分光器，将发往用户的光信号分流，监控平台和用户之间光信号分流比例为2：8。在Cisco上配置SPAN作为进入将Cisco的流量镜像至Detector的途径。此外，配合使用MSP设备，在策略路由中使用ACL过滤用户流量，只将监测对象的流量复制至Cisco以节约带宽。

4.3 测试结果概述

为检测上述配置应对网络攻击的能力，采用模拟方法来进行检验。在实际测试中，采用4台机模拟网络攻击，当产生的攻击流量在200Mpbs时，Guard的CPU使用率不超过3%，能够较好的应对网络攻击。当采用子ZONE方式时，Guard可有效分流被攻击主机的数据流，从而保障服务器的正常运行。

参考文献

网络安全防护手段篇5

随着现代信息技术和网络技术的飞速发展与广泛应用，高校图书馆正逐步从传统图书馆向数字化图书馆发展过渡，数字图书馆已成为高校文献信息中心和枢纽。目前数字图书馆网络系统具有分布广域性、体系结构开放性、资源共享性和信道公用性的特点，不可避免地增加了网络信息系统的脆弱性，很多因素都有可能对系统造成潜在的威胁。如果系统受到人为或者意外因素的影响，存放在系统中的数据将受到严重的破坏，高校图书馆的网络信息安全变得越来越重要，如何有效保护图书馆的信息数据资源、提高图书馆网络信息安全将成为建设数字化图书馆必须考虑和解决的重要课题。

2 高校图书馆网络信息安全威胁分析

高校数字化图书馆中，文献信息资源量在图书馆资产中所占的比例越来越大，在图书馆的网络信息系统中，最宝贵的不是软硬件设备，而是图书馆在长期发展过程中积累下来的大量珍贵数据信息资源。高校数字化图书馆在突破时间与空间的限制，为读者提供快捷的资源检索和信息服务的同时，其计算机网络信息系统的安全也面临各种威胁。

高校图书馆网络信息安全威胁主要存在于以下几个方面：（1）信息资源的共亨性：在建设资源共享的网络结构体系的同时，也为攻击者利用网络信息系统漏洞对共享资源进行破坏活动提供了机会。（2）网络的开放性：高校图书馆不仅拥有大量敏感性个人信息资料，甚至存储了重要的科研技术成果，网络中非法用户通过技术手段很容易获得这些敏感性信息。（3）网络系统的复杂性：高校图书馆为了网络系统的安全性，往往网络安全防护体系相当复杂，使得网络的安全管理更加困难。（4）边界的不确定性：网络可扩展性特点必然影响网络安全边界被破坏，导致网络边界的不确定性，对网络信息安全构成严重的威胁。（5）路由路径的不确定性：从用户宿主机到另一个宿主机可能存在多条路径。一份报文在从发送节点达到目标节点之前可能要经过若干个中间节点。所以起始节点和目标节点的安全保密性能并不能保证中间节点的可靠性。（6）管理安全漏洞的威胁：管理制度不健全，缺乏专业的安全管理人员，面对突发事件，预警、预案不到位，缺少对读者的安全教育。

基于以上的高校图书馆安全威胁的存在，图书馆网络信息安全问题就显得尤为突出。为解决图书馆网络信息安全存储和传输问题，建立一个完善的高校图书馆的信息安全模型是十分必要的。信息安全模型在信息系统安全建设中起着重要的指导作用，它精确而形象地描述高校图书馆信息系统的安全属性，准确地描述信息安全的重要方面与图书馆系统行为的关系，能够提高对成功实现关键安全需求的理解层次，并且能够从中开发出一套适合高校图书馆信息安全性评估准则和关键的描述变，WPDRRC安全模型正是满足高校图书馆安全需求的理想解决方案，有利于高校图书馆制定出相应的安全策略，采取相应的安全保护措施，来构建一个完整的动态安全防护体系，才能从根本上解决图书馆网络系统的安全问题。

3 WPDRRC信息安全模型应用分析

3.1 信息安全模型的发展

信息安全模型的发展经历了由静态安全模型到动态可适应安全模型的演变。静态安全模型主要是针对单机系统制定的，无法完全反映分布式的、动态变化的网络信息安全问题。PDR（保护、检测和响应）、PPDR（安全策略、保护、检测和响应）、PDRR（保护、检测、响应和恢复）、MPDRR（管理、保护、检测、响应和恢复）和WPDRRC等动态可适应安全模型主要是应对来自网络的破坏与攻击，其基本思想是认可安全风险的存在，绝对安全与绝对可靠的网络信息系统是不现实的，在尽最大可能消灭信息系统漏洞的同时，更重要的是强调及时发现攻击行为，实时消灭安全风险。

3.2 WPDRRC信息安全模型的因素分析

WPDRRC信息安全模型（见图1）是我国863信息安全专家组提出的适合中国国情的信息系统安全保障体系建设模型。该模型全面涵盖了各种安全因素，将WPDRRC这6个环节和人、政策（包括法律、法规、制度、管理）和技术三大要素结合起来构成宏观的信息网络安全保障体系结构的框架，突出了人、策略、管理的重要性，反映了各个安全组件之间的内在联系。该模型全面衡量信息安全的保障能力，既能从宏观上指导信息安全保障体系的建设，也能从微观上推动具体的技术、政策、管理、法规、标准、产业发展和人员素质的发展和提高。

该模型有6技术手段和3大因素。6种技术手段WPDRRC：W（预警）+P（防护）+D（检测）+R（响应）+R（恢复）+C（反击）。它是在PDR安全模型前增加了预警（Warning），在其后增加了恢复（Restore）和反击（Counterattack），使防御体系具有较强的时序性、可控性和协作性，突出了网络信息安全要从“事前”（攻击发生前）的入侵预警+安全防护、“事中”（攻击发生时）的动态检测+ 实时响应、“事后”（攻击发生后）的灾难恢复+精确反击3 方面全程考虑，强调了在加强安全防护的同时，还要形成对攻击威胁的快速反应，也强调了在提高网络信息系统抗击能力的同时，更突出了系统被攻陷后的恢复和反击能力，还强调了闭环控制下反馈机制的形成，更注重了网络信息系统防御能力的动态提升。从逻辑层次上，WPDRRC是以WPD实现积极主动防御，以RRC实现系统坚固防御，6种技术手段轮式往复，构成了一个具有闭环控制机制的高校图书馆网络纵深防御信息安全模型。

3大因素包括人员、策略和技术，人员是核心，策略是桥梁，技术是保证，3要素紧密协作，6种技术手段有机联动，将预期的安全防御策略变为安全现实。通过组织网络攻防仿真试验，验证了该模型在对抗大规模、分布式、瞬时万变的网络攻击时具有良好的适应性、应变性和耐攻击、强生存的能力，不仅能有力地抵御多种已知的网络攻击，而且也能主动地防御新型的未知的入侵攻击。WPDRRC信息安全模型与其他信息安全模型安全防护功能对比（如表1）所示。

3.2 WPDRRC信息安全模型的理论分析

WPDRRC动态可适应安全模型将网络安全划分为两个阶段。假设Pt为从入侵开始到成功入侵被保护系统的时间，Dt为从安全检测开始到发现安全隐患和潜在攻击的时间，Rt为从发现攻击到系统启动响应措施的时间，Et为从发现破坏系统行为到将系统恢复正常的时间。在第1阶段，网络安全的含义就是及时检测和立即响应：当Pt > Dt+Rt时，网络处于安全状态；当Pt < Dt+Rt时，网络处于不安全状态；当Pt=Dt +Rt时，网络安全处于临界状态，Pt的值越大说明系统的保护能力越强，安全性越高。在第二阶段，网络安全的含义就是及时检测和立即恢复。当Et = Dt+ Rt时，如果Pt = 0，解决安全问题的有效方法就是提高系统的防护时间Pt ，降低检测时间Dt和响应时间Rt。

3.3 WPDRRC信息安全模型应用分析

WPDRRC信息安全模型从人员、技术、策略3个层面构成一个三维的立体安全防护结构，再从管理角度，对模型3个层面加以统一整合，让高校图书馆信息安全成为一个坚固的堡垒，对图书馆的信息资产、核心数据、应用系统、物理设备等进行多层次保护，由此建成的高校图书馆网络安全防护体系如图2所示。

管理在网络信息安全中发挥着重要作用，管理的对象是对人、策略和技术的管理。对人员的管理主要通过各种政策和安全制度对参与高校图书馆网络信息系统安全的人员，强制执行安全制度、提高安全意识、加强安全技术培训、增强安全意识和遵纪守法意识、提高信息系统安全警觉性，从而加强网络信息防护系统的整体安全性。对技术的管理主要通过策略进行，使各种安全技术能成为一个有机的整体，从而提高系统的整体防护能力。对策略的管理主要包括政策的制定、执行和改进，采用各种网络技术以达到网络安全最大化等。

策略是将各种安全技术有机结合起来的关键。安全策略是整个网络安全的依据。高校图书馆应该根据自身需求，采用不同的防护策略，将安全策略立为高校图书馆网络安全行为的准则。

从图2中可以清晰的看出，在人员到位，制度健全，安全策略可靠的条件下，我们更加需要从技术手段入手，对高校图书馆网络安全建设进行实施，下面就从WPDRRC信息安全模型体系结构中6种技术手段进行应用分析。

（1）预警环节，采用多检测点数据收集和智能化的数据分析方法，检测是否存在某种恶意的攻击行为，并评测攻击的威胁程度、攻击的本质、范围和起源，同时预测敌方可能的行动。预警是实施信息安全体系的依据，对整个网络安全防护性能给出科学、准确的分析评估。

（2）保护环节，采用一系列的手段（识别、认证、授权、访问控制、数据、加密）保障数据的保密性，完整性、可用性、可控性和不可否认性等。保护是用于提高安全性能，抵抗入侵的主动防御手段，通过建立反复检查的安全机制，评估高校图书馆网络的风险和弱点，确保每层相互配合工作，检测与政策相违背的情况，确保与整体安全政策保持一致。采用防火墙、DDoS防御网关、安全域访问控制系统、内网安全管理及补丁分发系统、存储介质与文档安全管理系统、网络防病毒系统、入侵保护系统（IPS）、数据库审计系统，结合日志分析、安全加固、紧急响应等安全服务，实现对图书馆信息系统全方位的保护。

（3）检测环节，检测是保证及时发现攻击行为，为及时响应提供可能的关键环节，检测的目的是发现网络攻击，检测本地网络存在的非法信息流，以及检测本地网络存在的安全漏洞，从而有效地阻止网络攻击。使用基于网络和基于主机的入侵检测系统（IDS），并对检测系统实施隐蔽技术，以防止黑客发现防护手段进而破坏监测系统，以及时发现攻击行为，为响应赢得时间。检测部分主要用到的技术有入侵检测技术、网络实时监控技术和网络安全扫描技术等，提高网络安全和减少图书馆局域网中各类应用服务器、数据库服务器及主机的风险。

（4）响应环节，对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延，力求系统尚能提供正常服务。使用实时响应阻断系统、攻击源跟踪系统、取证系统和必要的反击系统来确保响应的准确、有效和及时，预防同类事件的再发生并为捕获攻击者提供可能，为抵抗黑客入侵提供有效的保障。

（5）恢复环节，是及时恢复系统，使系统能尽快正常地对外提供服务，是降低网络攻击造成损失的有效途径。采用双机热备系统、服务器集群系统、存储备份系统和网络运维管理系统，结合信息系统安全管理体系，实现意外情况下图书馆网络运行、数据流通和业务应用的迅速恢复。

（6）反击环节，采用一切可能的高技术手段和工具，对网络攻击者进行反击。网络反击就是综合运用各种网络攻击手段对网络攻击者进行攻击，迫使其停止攻击。这些攻击手段包括探测类攻击、阻塞类攻击、漏洞类攻击、控制类攻击、欺骗类攻击和病毒类攻击。网络反向攻击的实施需要慎重，必须在遵守道德和国家法律的前提下进行。

（7）网络安全通信协议，要构建一个高校图书馆网络信息安全防护体系，各种技术所构成的子系统间的信息交互不可避免。然而，如果通信时子系统的身份被伪造，网络通信的内容被泄漏和篡改，那么整个网络的安全就无从谈起。因此，高校图书馆网络信息安全防护体系需要一种安全的网络通信协议来保证各个子系统通信的安全。

4 结束语

本文介绍了目前广泛应用，符合我国国情一种WPDRRC信息安全模型，目的在于从整体上理清信息安全系统的各个环节，为建立高效的网络信息安全系统提供理论依据，具有一定的理论研究和现实意义。从高校图书馆网络信息安全系统整体性出发，需要进一步研究完善该模型整体功能，如融入基于蜜罐技术的网络诱骗防御技术、基于免疫的动态检测技术和基于网格的协同联动防御技术等，建立起平战结合、技术管理一体、综合完善的多层次、多级别、多手段的高校图书馆网络纵深信息安全防御体系。

参考文献

1 钟平. 校园网安全防范技术研究[D].广东：广东工业大学，2007.

2 朱子华，吴海峰. 信息安全管理的多目标决策效用模型研究[J]. 河南图书馆学刊，2006，26 （5）： 10-12.

3 刘中杰. 基于WPDRRC模型构建基层农信社信息安全管理系统[D].湖南：湖南大学，2012.

4 刘升俭. 基于闭环控制的军事网络纵深防御模型研究[J]. 计算机科学，2011，38 （10A）： 96-98.

5 段莹，陈耿. 计算机网络的信息安全体系结构[J]. 中国西部科技，2011，10 （12）： 29-30.

网络安全防护手段篇6

1 引言

随着计算机互联网技术的飞速发展，计算机网络已成为人们获取和交流信息的最重要的手段。人们的工作、学习和生活方式也因此发生着巨大的变化，越来越依赖计算机网络，与此同时计算机网络的安全问题也日益凸显，逐渐成为一个突出的社会热点问题，所以对计算机网络安全与防护的研究迫在眉睫。

2 计算机网络安全与防护的重要性

计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。

在我国，针对银行、证券等金融领域的计算机网络安全问题所造成的经济损失已高达数亿元，而且其他行业的网络安全威胁也同样严峻。由此可见，不管是偶然的泄露，还是恶意的破坏，都将会造成不可估量的损失。因此，计算机网络安全与防护的重要性可见一斑。不管是在局域网还是在广域网中，必须要采取有效的网络安全措施来全方位应对各种不同的网络安全威胁，这样才能确保网络信息的保密性、完整性和可用性。

3 影响计算机网络安全的因素

3.1 网络系统自身的漏洞

众所周知，无论哪一款操作系统，都存在或多或少的安全漏洞，而这些不可消除的漏洞正好给黑客创造了条件，黑客们可以肆无忌惮的侵入到系统里面，给计算机网络带来极大地隐患，造成不可估量的损失。同时，网络中信息传播的方式是一种开放式的，这也直接决定了网上传播信息很容易被截获或篡改。

3.2 来自内部网用户的疏忽

人的因素是计算机网络安全中的最大隐患，而来自内部用户的隐患远远大于外部用户的隐患，也就是说，由于管理员或者用户防护意识的缺乏将会是网络安全的最大威胁。比如操作者不小心打开了恶意网站，没有及时删除文件等等，都会使得信息被窃取，造成巨大的损失。

3.3 缺乏有效的监控手段

黑客们之所以能肆无忌惮，网络上之所以有各式各样的病毒，都是因为缺乏有效的监控手段，未能形成有效的监控机制，于是导致了各种网络犯罪，例如，2005年的“飞客”病毒、2012年的“鬼影”病毒，2013年的“磁碟机电脑病毒”，都是由于监控手段的缺乏，导致了严重的计算机网络安全问题，引发了极其恶劣的影响。

4 计算机网络防护

计算机网络防护是通过特定的技术达到软、硬及传输信息安全的行为。计算机网络防护手段能够很大程度的保证计算机网络的安全。主要从以下几个方面阐述计算机的防护。

4.1 加强防护意识，健全防护机制

人为因素是重要因素，所以通过加强使用者的安全防护意识、健全安全防护机制能从根源解决问题，能够有效规范计算机用户和管理员的行为，并能提高用户和计算机系统管理员的专业素质和职业水准，让计算机操作人员形成较好的习惯，最大限度地保证计算机网络安全。比如，及时关闭或删除系统中不需要的服务。在通常情况下，许多操作系统会安装辅助服务，如FTP客户端和Web服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

4.2 采取合理的防火墙技术

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种隔离技术，它允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外。防火墙技术是一种比较有效的防护手段，因为黑客要想访问内网就必须通过连接外网来实现，而访问内网的目的是窃取重要的机密与信息，采用防火墙技术可以有效地防止此类现象发生。防火墙的最佳位置是安装在内部网络的出口，这样可以控制外网与内网之间的访问，使外网连接都要经过保护层，并对外网的状态和活动进行监听，对一些非法入侵的活动进行及时的控制和分析。达到只有被授权的活动才可以通过防火墙保护层的目的，这样可以起到很大的防护作用，从而减少内网重要机密信息遭受入侵的可能性。

4.3 加强数据加密技术

数据加密技术是指将一个信息经过加密钥匙及加密函数转换，变成无意义的密文，而接收方则将此密文经过解密函数、解密钥匙还原成明文的一项技术。简单的讲，就是通过使用密码或代码将某些重要的信息或数据从可以理解的明文变成一种错乱而不能理解的密文，完成对在存储体内或传送过程中信息的保护，防止以明文方式被窃取，确保信息安全。数据的加密技术包括数据传送、数据存储、密钥和数据的完整性四部分，各个部分都能对数据信息进行全方位的安全性保护，有增加密码、身份验证审核、转换加密、加密密钥、端加密、还有身份、密钥、口令的鉴别，包括最后的自动解密。这样可以有效保证重要信息在传输过程中的安全和保密。

4.4 病毒防护技术

计算机病毒，是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，主要包括木马病毒和蠕虫病毒。病毒主要的传播方式有隐藏在邮件附件当中借助邮件以及利用系统的漏洞传播。因此，首先我们必须注意邮件的来源，打开邮件之前进行扫面，尤其是文件名带有“exe”的邮件，主观上杜绝病毒的侵害。其次，要做到注意共享权限，从正规的网站下载软件，从病毒的载体上减少危害。我们最后我们应该做到定期下载最新的安全补丁，更新杀毒软件，防止“漏网之鱼”进一步危害我们的计算机网络。从而确保我们最大限度的防止病毒的侵入，减少计算机病毒所带来的危害。

5 结语

计算机网络极大地方便了我们的生活，但是计算机网络又时刻面临着安全威胁。尽管现在用于网络安全的产品有很多，比如防火墙、杀毒软件、入侵检测系统，但是我们周围仍然有很多黑客的非法入侵。根本原因是网络自身的安全隐患无法根除，这就使得黑客有机可乘。虽然如此，安全防护仍然是必须的，而且应该慎之又慎，最大限度的减少黑客的入侵，从而保护我们的计算机网络安全。总之，计算机网络安全防护技术有很多，但是仅靠其中的某一项或几项难达到好的效果。这需要我们在加强安全意识的同时还要做出细致而全面的多级安全防护措施，才能够尽可能的确保计算机网络的安全可靠性，才能更好的将计算机网络运用于我们的日常生活中。

参考文献

网络安全防护手段篇7

随着计算机网络的不断发展与普及，人类生活已经入信息化、数字化时代，在我们的日常生活、学习、工作等诸多领域都有着网络的痕迹，而目获取信息进行交流的主要手段也是网络。但是由于受到多重因素影响，计算机网络信息安全受到了一定的威胁，如果不对计算机网络信息安全引起足够的重视，将无法发挥计算机网络的信息传输作用。由此可见，在计算机网络发展过程中，应对计算机网络信息安全的定义进行深入分析，并认真研究计算机网络信息安全存在的问题，同时制定具体的计算机网络信息安全防范及策略，提高计算机网络信息的安全性，促进计算机网络发展的质量，满足计算机网络信息的传输需要，保证计算机网络信息能够安全准确传输。

1 计算机网络信息安全的基本定义

计算机网络信息安全的含义很广，随着情景的不同会发生一些变化。不同用户对网络信息安全的认识和要求也不尽相同，一般用户可能仅希望个人隐私或保密信息在网络上传输时不受侵犯，避免被人窃听、篡改或者伪造；对网络服务商来说，除关心网络信息安全问题外，还要考虑突发的自然灾害等原因对网络硬件的破坏，以及在网络功能发生异常时恢复网络通信和正常服务。

网络信息安全性能可以分为保密、鉴别、反拒认以及完整性控制四个方面。保密是保护信息不被未授权者访问，是网络信息安全的首要内容；鉴别是指在揭示敏感信息或进行事务处理前先确认对方身份；反拒认主要与签名有关；保密和完整性则是通过使用注册过的邮件和文件锁来完成。

2 计算机网络信息安全存在的问题分析

由于计算机网络的重要性和对社会活动的影响越来越大，大量数据需要进行存储和传输，某些偶然的或恶意的因素都有可能对数据造成破坏、泄露、丢失或更改。以下内容主要是论述计算机网络系统中本身存在的信息安全问题，并针对这些问题进一步提出了解决的策略。

从目前计算网络信息传输和信息管理实际来看，计算机网络信息安全主要存在以下几方面的问题：

2.1 自然灾害

计算机网络的自然灾害主要是指计算机的硬件系统出现错误，导致计算机网络内部的信息丢失或者影响计算机网络的信息传输。自然灾害是计算机网络信息安全面临的主要问题。

2.2 计算机犯罪

计算机犯罪通常是利用窃取口令等手段非法侵入计算机信息系统，传播有害信息，恶意破坏计算机软硬件系统，以致实施贪污、盗窃、诈骗等重大犯罪活动。

在计算机网络中，计算机犯罪是计算机网络信息面临的主要问题之一，如果不加强计算机网络信息安全，将会危害计算机网络系统，影响信息的管理和传输。

2.3 垃圾邮件和网络黑客

在目前计算机网络信息中，垃圾邮件和网络黑客是影响计算机网络健康发展的重要危害因素，为了保证计算机网络能够和谐发展，实现信息的有效管理，应对垃圾邮件和网络黑客引起足够的重视。

2.4 计算机病毒

计算机病毒是一种具有破坏性的小程序，具有很强的隐藏性和潜伏性，常常是依附在其他用户程序上，在这些用户程序运行时侵入系统并进行扩散。

在计算机网络信息传输过程中，计算机病毒会感染文件并同文件一起传输给网络终端，引起计算机网络终端中毒，导致文件丢失或者受损。由此可见，计算机病毒是影响计算机网络信息安全的重要因素。

3 计算机网络信息安全防范及策略

为了保证计算机网络信息的安全性，应根据计算机网络信息安全存在的问题，制定具体的防范及策略，为计算机网络信息提供安全防护方案。

3.1 加强计算机防火墙的建设。

所谓计算机防火墙是由软件和硬件设备组成、在内网和外网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合，保护内部网免受非法用户的入侵，能够保护计算机系统不受任何来自“本地”或“远程”病毒的危害，向计算机系统提供双向保护，也防止“本地”系统内的病毒向网络或其他介质扩散

3.2 网络中心环境治理

出于提高计算机网络信息安全的目的，应对网络中心环境进行综合治理。主要应从计算机网络的硬件设施入手，解决计算机网络硬件存在的问题，避免计算机网络的硬件设施自然灾害现象的发生，提高计算机网络硬件的工作效率，提升计算机网络硬件设施的可靠性，满足计算机网络的信息管理要求。

3.3 经常升级杀毒软件

为了防止计算机内部信息被盗，应积极应用杀毒软件，并定期将杀毒软件升级，提高杀毒软件的防护能力，形成对计算机内部信息的良好保护，保证计算机内部信息的安全。从目前计算机网络信息安全防护来看，升级杀毒软件是一种低投入高效果的安全防护策略，在实际应用中取得了良好的效果。

3.4 利用入侵检测技术防止内外网攻击

从计算机网络信息的安全防护来看，防火墙控制访问权限技术属于被动防护，为了提高计算机网络信息的安全防护主动性，目前采用了入侵检测技术有效防止了计算机内外网的攻击。从实际应用来看，入侵检测技术的应用效果较好，应在计算机网络信息安全防护中进行重要应用。

综上所述，在计算机网络中，信息安全防护是关系到计算机网络有效性的重要因素。为了保证计算机网络信息安全，应从网络中心环境治理、经常升级杀毒软件、利用防火墙控制访问权限和利用入侵检测技术防止内外网攻击等方面入手，切实提高计算机网络信息安全性。只有树立人的计算机安全意识，才有可能防微杜渐，同时还要不断进行网络信息安全保护技术手段的研究和创新，从而使网络信息能安全可靠地为广大用户服务。

参考文献

[1] 李东升.关于防火墙技术与网络安全问题研究[J].经营管理者，2011，13.

网络安全防护手段篇8

在任何情况下，失误都有它的两面性，人们在享受通信网络到来的便利的时候，也必须承受它所带来的对通信网络信息安全的威胁。随着科学技术的逐渐的进步，我国已经进入到了“3G时代”，通信网络已经变成了一个开放性能很高的一个通信技术的平台，这种快速的网络通信的速度也为一些人知道恶意的通信网络安全的行为提供了巨大的客户资源。也正是这些恶意的攻击网络信息的人员的存在，这就给人们所使用的网络信息的安全埋下了隐患。合理正确的规避这些风险，确保人们的网络通信的信息安全具有重要的意义。所以本文对通信网络信息安全的主要的影响因素进行分析，同时提出保护通信网络信息安全的防护措施。这对于保护我国的商业秘密以及人们的隐私生活有很重的作用，甚至还会影响到国家的战略问题的安全。因此本文的分析具有很强的现实意义。

一、对通信网络信息安全性产生的威胁的类型

随着通信网络的逐渐发展以及科学技术的进步，现阶段，我国的通信网络已经进入到了“3G时代”这就造成了对于通信网络的信息安全的威胁性也逐渐的增加，同时这些种类也在不断的扩大。下面对这些主要的威胁通信网络信息安全的因素进行分析。

1.用户的个人信息被泄露

用户的个人信息被泄露或者被盗的情况在通信网络中经常的发生。这也给被盗人的个人生活产生了很大的困恼。甚至他们还会利用被盗人的个人信息进行一些非法的勾当，这会给信息被盗者带来更大的损失。这主要是盗取着将自己的身份信息进行恶意的伪装，在用户进行网络访问的时候要求他们进行身份的确认或者身份信息的输入，这样他们就会很容易的获得用户的个人信息。另一种原因是一些网站可能会为了某些个人的利益将会员的身份信息进行买卖这也在很大的程度上造成了用户个人信息的泄露。在人们的日常生活中，比如：移动或者联通公司会把用户的个人信息出售给保险公司等等，这也就导致了人们经常会接到推销保险的电话，在人们警戒性不高的情况下可能还会带来财产的损失。

2.正常的网络服务得到干扰

正常的网络服务得到干扰会给人们的正常的工作带来很大的困难。现在人们的工作大部分都是依托于网络进行的，当正常的网络服务被打扰以后，对人们产生的损失可想而知。对正常的网络服务进行干扰的时候等级也会有所不同，最低级的就是恶意的攻击者利用一些简单的手段，造成了数据信息不能够传输等。第二等级就是协议的干扰，这种主要是恶意的攻击者利用某些特定的手段对特定的协议流程进行攻击并最终达到破坏或者干扰正常通信的目的。

3.重要的数据被盗窃或者数据的完整性遭到破坏

数据信息被盗或者数据的完整性遭到破坏对于财务公司或者数据类的公司会产生很大的危害。一般都是恶意攻击者通过各种非法的手段来盗取客户的数据信息在挪作他用的，一般会采用：窃听用户的业务类型、控制客户的数据等等手段来进行数据的盗窃。公司的数据完整性遭到破坏和数据被盗所造成的危害是同样等级的。都会严重的影响到公司业务的顺利进行。

二、维护通信网络信息安全的主要的防护措施

通过上面的介绍，人们了解到通信网络的信息安全会给人们的工作和生活带来很大的影响，并且在商业机密被盗会还可能会影响到企业的生死存亡。所以对通信网络信息的安全性采取防护措施具有很重要的现实意义。下面对主要的防护措施进行介绍。

1.对网络漏洞的扫描和修补进行强化

在通信网络信息化程度不断加大的今天，网络的信息安全事件的发生率也在逐渐的提高。所以加强对于网络漏洞的扫描和修补对于防止恶意攻击者的攻击有很好的效果。对网络进行安全性扫描只是一种提高通信网络信息安全的一种重要的措施。并且还可以针对扫描出来的漏洞下载合适的补丁对网络进行及时的修复，进而保证了通信网络的信息安全。

2.对重要的信息进行再加密的处理

信息的加密处理本身就是一种增强信息安全的手段，能够有效的防止用户个人信息的泄露。所以企业在对网络进行扫描和修补的同时也对重要的信息进行再加密就可以很好的确保重要信息的安全性。

3.建立针对网络信息安全的应急措施

针对网络信息安全建立合理及时的应急措施也是十分有必要的。这些能够确保在遇到网络信息安全问题的时候能够及时有效的解决。现在针对通信网络的信息安全问题要做到：预防第一。既要加强事前的预防，同时对于发生之后也要有相应的应对措施，这样才能保证网络信息的安全性。

三、结论

通过上面的分析了解到：随着我国科学技术的快速的发展，通信网络信息安全的问题已经变成了一个不可避免的问题了。当然，不可能存在一种单一的安全防护措施确保通信网络信息的绝对安全，所以在日常的生活和工作中，一般都要采取多种手段对通信网络的信息的安全性进行防护，这样才可以有效的保护自己的私人信息记忆商业机密的安全性。在采用多种手段防护通信网络信息安全的同时也要了解到对通信网络信息安全产生的威胁也有很多种，而针对这些威胁也有很多种保证通信网络信息安全的手段。因此，只要能够对其威胁进行合理的分析并对其措施进行合理的利用就可以在一定程度上保证人们的通信网络的信息安全问题了。

参考文献：

[1]张然.如何加强通讯网络信息安全防护[J].科技创新导报，2010，12（29）：115-117.

[2]吴晓东.信息安全防护探析[J].现代商业，2010.

网络安全防护手段篇9

1 计算机网络面临的安全威胁及隐患

（1）网络硬件存在安全隐患。一是核心技术受制于人。当前我国所使用的计算机芯片、骨干路由器和微机主板等主要是从国外进口的，且对引进技术和设备缺少必要的技术改造，一旦不法分子在硬件设备中预先安置后门程序，后果不堪设想。二是操作系统存在隐患。目前，我们使用的主要操作系统都是微软的Windows系列操作系统，这个系统设计之初考虑的是易用性而忽视了系统的安全，非授权用户或黑客可通过漏洞对网络进行攻击，而且此系统本身比较脆弱，易受温湿度、磁场、污染等外部环境的影响而出现故障。三是易遭非法终端接入。现有硬件设备很可能被非法分子在现有终端上并接一个终端，或非法终端在合法终端从网上撤下时乘机接入并操纵计算机通信接口，或通过某种技术手段冒充主机使敏感信息传到非法终端。四是易受非法入侵。非法分子通过技术渗透或通信线路入侵网络，非法盗用、破坏或获取敏感信息或数据及系统资源。利用目标计算机的漏洞进入系统或通过口令猜测进入系统，采用IP地址欺骗等手段来入侵。

（2）技术缺陷带来入侵威胁。一是网络协议的缺陷。包括源地址认证、网络控制机制及路由协议等使用TCP协议的缺陷，造成入侵者的入侵，进行访问、修改、拒绝访问、否认等攻击。二是软件出现缺陷。由于程序员在编程时考虑不周而造成的问题，如输入确认、访问确认、设计、特殊条件和竞争条件等错误引起的软件缺陷。三是病毒防护薄弱。计算机病毒可多种方式入侵计算机网络，且不断繁殖和扩散，使计算机系统出现错误或处理能力下降，甚至是丢失数据或文件。四是安全测试设备落后。目前的安全保密测试设备落后于系统发展，对部分系统隐患无法侦测，无法通过有效的定性定量分析来加强系统防范，使网络系统难以应对新出现的安全隐患。

（3）人为操作导致失泄密发生。一是安全防护人员少，专业人才不够。如网络管理员配置不当，安全观念不强，造成人为泄密，或由于责任心不强网络应用升级不及时造成安全漏洞，随意使用普通网络站（点）下载的软件。二是用户安全意识薄弱。部分用户将自己的账号随意转借他人或与别人共享，从而导致信息泄漏。三是现有安保人员业务不够精，安全管理不到位，特别是对不安全事件的处理不及时，方法不妥当。这些人为因素是无论多么精妙的安全策略和网络安全体系均无法防范和解决的。

（4）管理机制存在安全漏洞。一是安全措施不到位。信息网络越来越具有综合性和动态性特点，这同时也是信息网络不安全的原因所在。然而，部分操作人员对此缺少认识，未进入安全就绪状态就急于操作，结果导致敏感数据暴露，使系统遭受风险。二是缺乏综合性的解决方案。面对复杂的不断变化的网络世界，大多数单位缺乏综合性的安全管理解决方案，安全意识较强的单位也只是依赖防火墙和加密技术。三是防范机制不到位。不少单位没有从管理制度上建立相应的安全防范，在整个运行过程中，缺乏行之有效的安全检查和应对保护制度。

2 计算机网络安全防护的对策及措施

（1）发展自主信息安全产业。网络硬件要确保安全，发展具有我国自主知识产权的信息化产业成为重中之重。在未来的信息化发展过程中，要高度重视计算机网络安全保密设备和系统的“国产化”、“自主化”建设。一是积极组织核心技术攻关，如自主操作系统、密码专用芯片和安全处理器等，要狠抓技术及系统的综合集成，以确保信息系统的安全。二是加强关键技术研究，如密码技术、鉴别技术、病毒防御技术等，以提高技术防护能力。三是监测评估手段，如网络侦察技术、信息监测技术、风险管理技术、测试评估技术等，构建具有我国特色、行之有效的网络安全保密平台，实现网络及终端的可信、可管、可控，摆脱网络安全控制于人的被动局面。

网络安全防护手段篇10

3．提供恢复被破坏的数据和系统的手段，尽量降低损失；

4．提供查获侵入者的手段。

安全需求：

通过对网络系统的风险分析及需要解决的安全问题，我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即，可用性：授权实体有权访问数据

机密性：

信息不暴露给未授权实体或进程

完整性：保证数据不被未授权修改

可控性：控制授权范围内的信息流向及操作方式

可审查性：对出现的安全问题提供依据与手段

访问控制：需要由防火墙将内部网络与外部不可信任的网络隔离，对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样，对内部网络，由于不同的应用业务以及不同的安全级别，也需要使用防火墙将不同的LAN或网段进行隔离，并实现相互的访问控制。

数据加密：数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。

安全审计：是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容，一是采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，即时响应（如报警）并进行阻断；二是对信息内容的审计，可以防止内部机密或敏感信息的非法泄漏险分析网络安全是网络正常运行的前提。网络安全不单是单点的安全，而是整个信息网的安全，需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护，首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位，都会存在很大的安全隐患，都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况，应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测，对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。

解决方案：

安全策略:

1．采用漏洞扫描技术，对重要网络设备进行风险评估，保证信息系统尽量在最优的状况下运行。

2．采用各种安全技术，构筑防御系统，主要有：

(1)防火墙技术：在网络的对外接口，采用防火墙技术，在网络层进行访问控制。

(2)NAT技术：隐藏内部网络信息。

(3)VPN：虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用，而事实上并非如此。

(4)网络加密技术(Ipsec)：采用网络加密技术，对公网中传输的IP包进行加密和封装，实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题，也可解决远程用户访问内网的安全问题。

(5)认证：提供基于身份的认证，并在各种认证机制中可选择使用。

(6)多层次多级别的企业级的防病毒系统：采用多层次多级别的企业级的防病毒系统，对病毒实现全面的防护。

(7)网络的实时监测：采用入侵检测系统，对主机和网络进行监测和预警，进一步提高网络防御外来攻击的能力。

3．实时响应与恢复：制定和完善安全管理制度，提高对网络攻击等实时响应与恢复能力。

4．建立分层管理和各级安全管理中心。

防御系统：我们采用防火墙技术、NAT技术、VPN技术、网络加密技术（Ipsec）、身份认证技术、多层次多级别的防病毒系统、入侵检测技术，构成网络安全的防御系统。

物理安全：

物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。为保证信息网络系统的物理安全，还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。为保证网络的正常运行，在物理安全方面应采取如下措施：

1．产品保障方面：主要指产品采购、运输、安装等方面的安全措施。

2．运行安全方面：网络中的设备，特别是安全类产品在使用过程中，必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统，应设置备份系统。

3．防电磁辐射方面：所有重要的设备都需安装防电磁辐射产品，如辐射干扰机。

4．保安方面：主要是防盗、防火等，还包括网络系统所有网络设备、计算机、安全设备的安全防护。

防火墙技术

防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和Internet之间地任何活动，保证了内部网络地安全；在物理实现上，防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统，也可以在一个进行网络互连地路由器上实现防火墙。入侵检测入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：

1．监视、分析用户及系统活动；

2．系统构造和弱点的审计；

3．识别反映已知进攻的活动模式并向相关人士报警；

4．异常行为模式的统计分析；

5．评估重要系统和数据文件的完整性；

6．操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

安全服务：

网络是个动态的系统，它的变化包括网络设备的调整，网络配置的变化，各种操作系统、应用程序的变化，管理人员的变化。即使最初制定的安全策略十分可靠，但是随着网络结构和应用的不断变化，安全策略可能失效，必须及时进行相应的调整。针对以上问题和网管人员的不足，下面介绍一系列比较重要的网络服务。包括：

1．通信伙伴认证

2．访问控制

3．数据保密

网络安全防护手段篇11

2、几种常见的网络攻击方法

2.1网络监听攻击。网络监听是主机的一种工作模式，通常它用于监视网络状态、数据流,以及网络上传输信息,它可以将网络接口设置在监听模式,并且可以截获网络上传输的信息,取得目标主机的超级用户权限。鉴于这种原因，当网络信息在传输的时候,入侵者只要利用工具将网络接口设置在监听的模式,就可以将网络中正在传播的信息截获,从而进行攻击。入侵者一般都是利用网络监听工具来截获用户口令的。

2.2放置木马程序。木马程序的危害性比较大，它通常被伪装成工具程序或者游戏等软件诱使用户执行，或者在网站页面加入恶意代码，将木马程序偷偷下载到用户后台自动执行。一旦这些程序执行之后，木马就会在远程计算机之间建立起连接，当你运行电脑或者打开网页的时候，攻击者就会利用这些潜伏的程序修改或控制本地计算机的文件、窃取用户的网银、IM 软件、网游等账号信息。达到最终到控制本地计算机的目的。

2.3系统安全漏洞的攻击。对于计算机系统而言，没有十全十美的，总会存在这样或那样的漏洞。虽然这些系统漏洞是程序中无意造成的缺陷,但是通常它会被忽略而形成一个不被注意的通道。许多时候,运行在服务器上的操作系统或程序包含这些代码问题。黑客就利用这些问题,利用它们进行攻击。

2.4拒绝服务攻击。拒绝服务攻击是黑客常用的攻击手段之一，入侵者通常是通过某种手段让目标主机停止提供服务以达到对网络的攻击。拒绝服务攻击方式最为常见的是对计算机网络带宽攻击和连通性攻击。对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。对于网络而言，拒绝服务攻击是一个一直得不到合理的解决的问题，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接

3、网络安全策略研究

3.1攻击发生前的预防策略。使用防火墙技术，可以最大限度的识别和阻挡大量非法攻击行为。防火墙是一种用于隔离内网与外网以及其它部分之间信息交流的，位于网络边界的特殊访问控制设备。根据网络网络体系的结构，可以设置IP分组过滤防火墙（在网络层）、链路级防火墙（在传输层）和应用级防火墙（在应用层）。

3.2攻击过程中的防范策略。随着计算机网络技术的不断发展，攻击者的手段和工具也复杂多样，因此单纯的防火墙技术已经不能满足用户对网络安全技术的需求，网络的防护必须采用纵深、多样化的手段。这种情况下，计算机网络可以引进入侵检测系统

3.3攻击后的应对策略。防火墙和入侵技术可以记录有误操作的危险动作和蓄意攻击行为，一旦计算机网络受到攻击后，计算机可以根据记录分析攻击方式，尽快弥补系统漏洞，防止再次受到攻击。

3.4全方位的安全防范策略。（1）、物理安全策略。为保证计算机网络系统顺畅运行在物理安全方面应采取如下措施: 严格把握网络产品采购，选用质量比较高的网络设备；网络中的设备,特别是安全类产品在使用过程中,必须选用正规厂家生产的，对一些关键设备和系统,应设置备份系统；加强计算机机房的安全保护，主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。

（2）、网络安全管理策略。网络安全管理需要制定一整套严格的安全政策，以管理手段为主，技术手段为辅。针对计算机网络的各个管理部门，对数据管理和系统流程的各个环节进行安全评估，确定使用的安全技术，设定安全应用等级，明确人员职责针对使用者，明确网络用户使用的规章制度。网络安全最大的威胁不是来自外部，而是内部人员对网络安全知识的缺乏，所以必须加强用户安全知识、安全意识及计算机网络安全的法制教育。不断提高用户的网络安全意识。（3）、信息安全策略。信息安全策略就是要保证计算机信息的机密性、真实性和完整性。为此，要对计算机内重要或隐私数据进行加密，在数据传输工程中采用加密技术。信息加密是保证信息机密性的主要方法，应建立并遵守用于信息进行保护的密码控制的使用策略，从链路加密（保护网络节点之间的链路信息安全）、端点加密（保护源端用户到目的端用户的数据安全）和节点加密（保护源节点到目的节点之间的传输链路保护）三种加密方式确保网络信息的安全。（4）、访问控制策略。访问控制策略是网络安全防范和保护的主要策略，其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用，而访问控制是保证网络安全最重要的核心策略之一。访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面的内容。因此，访问控制策略是维护网络安全、保护网络资源的重要手段。

结束语：伴随着互联网技术的发展，计算机攻击技术手段也逐渐发展，针对网络攻击的威胁，单纯的技术手段不能很好的克服，要加强技术和管理相结合。一方面网络管理者必须充分意识到潜在的安全性威胁，并不断探索防范网络攻击的新措施，尽可能减少这些威胁带来的恶果，将危险降到最低程度。另一方面要加强网络管理，不断增强网络用户的网络安全意识，全力配合网络管理人员的工作。本文以上列出的防范策略随着攻击技术和手段的发展可能不再可用，各种新型的攻击手段也会层出不穷，我们只要掌握了它的攻击原理，就一定会找到应对措施从而确保信息安全。

参考文献：

【1】宋开旭网络攻击与网络安全分析 . 电脑编程技巧与维护 2009年第10期

【2】黄旸,胡伟栋,陈克非网络攻击与安全防护的分类研究计算机工程 2001年第27卷第5期

【3】林曼筠,钱华林,杨明川 Internet网络攻击防范对策研究 ——对抗未来的攻击中国科学院计算技术研究所第六届计算机科学与技术研究生学术讨论会 2000年

网络安全防护手段篇12

在信息时代，信息可以帮助团体或个人，使他们受益，同样，信息也可以用来对他们构成威胁，造成破坏。因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。

一、计算机网络安全的概念

国际标准化组织将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。

从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

二、计算机网络安全现状

计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。计算机和网络技术具有的复杂性和多样性，使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类，而且许多攻击都是致命的。在internet网络上，因互联网本身没有时空和地域的限制，每当有一种新的攻击手段产生，就能在一周内传遍全世界，这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(back-doors)、rootkits、dos(denialofservices)和sniffer(网路监听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力，时至今日，有愈演愈烈之势。这几类攻击手段的新变种，与以前出现的攻击方法相比，更加智能化，攻击目标直指互联网基础协议和操作系统层次。从web程序的控制程序到内核级rootlets。黑客的攻击手法不断升级翻新，向用户的信息安全防范能力不断发起挑战。

三、计算机网络安全的防范措施

1、加强内部网络管理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中，最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止用户越权访问数据和使用网络资源。

在网络上，软件的安装和管理方式是十分关键的，它不仅关系到网络维护管理的效率和质量，而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个nt服务器上，并可下载和散布到所有的目的机器上，由网络管理员集中设置和管理，它会与操作系统及其它安全措施紧密地结合在一起，成为网络安全管理的一部分，并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时，这样的病毒存在于信息共享的网络介质上，因此就要在网关上设防，在网络前端进行杀毒。

2、网络防火墙技术

是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

3、安全加密技术

加密技术的出现为全球电子商务提供了保证，从而使基于internet上的电子交易系统成为了可能，因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术，加密运算与解密运算使用同样的密钥。不对称加密，即加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用，解密密钥只有解密人自己知道。

4、网络主机的操作系统安全和物理安全措施

防火墙作为网络的第一道防线并不能完全保护内部网络，必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高，分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线，主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线，用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后，是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息，作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生，如果有入侵发生，则启动应急处理措施，并产生警告信息。而且，系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。

总之，网络安全是一个综合性的课题，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，一种技术只能解决一方面的问题，而不是万能的。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。

参考文献：

[1]黄怡强,等.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛,2002(01).

[2]胡道元.计算机局域网[m].北京:清华大学出版社,2001.

网络安全防护手段篇13

目前，国内对电子图书馆的使用还处于较低层次，人们在使用电子图书馆的过程中，过于注重电子图书馆的便利性和实用性，对相关安全防护工作不够重视，导致一些图书馆的信息处于开放状态，相关网络病毒很容易进入，严重时会导致整个管理系统瘫痪。因此，采取合理有效的措施对电子图书馆进行防护是很有必要的。

1.数字图书馆计算机网络的安全防护技术的基本概念

所谓数字图书馆计算机网络的安全防护技术，就是采取相应的预防手段确保数字图书馆内部的组成部分不受病毒等有害物质损坏，从而确保各个程序有效运行，且在相关数据信息传播过程中，数据信息不被盗取或者阻碍等。

数字图书馆计算机网络的安全防护技术具有以下几方面特点：（1）保密性，所有相关信息在储存、传输及浏览过程中，不被外界因素侵害；（2）完整性，确保信息数据在传输过程中不被非法途径损坏；（3）实用性，电子图书馆主要作用就是给人们提供快捷服务，因此，要确保相关数据信息具有很强的实用性。

2.数字图书馆计算机网络存在的安全问题

2.1病毒传播带来的安全问题

网络病毒作为计算机系统最大的危害因素之一，一旦系统被病毒入侵就会导致相关数据损坏或者丢失。此外，网络病毒还可以入侵电子图书馆的硬盘，并且可以盗取或者破坏硬盘内储存的相关数据信息，从而阻碍计算机网络系统正常运作。病毒的入侵还会导致信息数据传输异常，从而影响人们的正常工作。

2.2非法破坏电子图书馆系统

一些不法分子利用不正当的手段对电子图书馆系统进行破坏，对硬盘内储存的信息进行修改和盗取，严重时会对相关系统进行破坏，因此采用相应的预防措施是很有必要的。

3.数字图书馆安全防护措施

3.1采用预防病毒的安全防护技术

现阶段对数字图书馆危害最严重的就是网络病毒，因此，使用一些杀毒软件或者防火墙，是进行电子图书馆网络保护的主要手段。此外，还可以安装反病毒装置，从而提升电子图书馆的安全性能，并且对相关数据信息进行二次储备，避免不安全情况发生。

3.2数字图书馆数据信息安全防护措施

数字图书馆数据信息安全防护措施主要可以从以下几方面进行：

（1）使用安全加密算法，把重要相关数据信息转换为密码文本，这样即使数据信息在传递过程中被拦截，也很难进行破译，确保数据传递的安全性。加密算法又被简单地分为相应密匙加密算法和显示密匙加密算法，相应密匙加密算法较为简单，指加密和解密采用相同的算法，一般使用在对数据信息要求不高的行业；显示密匙加密算法比较复杂，加密和解密使用不同算法，因此，被广泛使用在大型企业中。电子图书馆一般使用相应密匙加密算法。

（2）随着信息计算不断发展，国内已经研究出信息伪装安全防护技术，对不法分子可以进行攻击，还可以避免电子图书馆信息数据被破坏，简单来说就是将相关文本、图片等相关信息进行隐藏，从而达到预防保护的目的。

（3）水印安全防护技术，在信息数据传输过程中，可以将相关信息数据隐藏在水印中，从而起到保护作用。

3.3数字图书馆网络安全防护技术

现阶段最流行的就是网络防火墙，可以对电子图书馆的网页进行监督和管理。网络防火墙具有监督管理电子图书馆信息不受侵害，并且可以在非法手段干扰数据传输时，对传输的信息流量进行控制，尽可能控制在预期传输轨道上。网络安全防火墙能够阻止外来危险源的攻击，不管是在系统内部，还是外部都可以起到监管作用，对电子图书馆的持续稳定运行有很大帮助。

3.4用户安全防护措施

图书馆的主要作用就是为人服务，确保用户准确及时地获得相关网络数据信息。用户的安全防护措施有以下两个方面：

（1）对用户的身份进行注册和鉴别，避免非法手段危害用户的合法权益。

（2）对用户进行安全危害等级划分，简单来说就是根据用户的威胁等级进行划分。现阶段使用的用户安全认证手段较为简单，很容易被非法手段入侵，因此，提升用户认证标准是很重要的。

结语

现阶段影响数字图书馆的安全因素较多。因此，为了确保数字图书馆能够安全有效地为人们服务，对数字图书馆计算机网络采取相应安全防护手段很有必要。

参考文献：