网络安全信息安全精选(五篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的5篇网络安全信息安全，期待它们能激发您的灵感。

篇1

1网络安全概述及发展现状分析

随着社会经济的不断发展，网络信息技术也在不断更新完善，这就要求网络安全工作也必须不断做出改革和创新。信息安全及系统安全是构成网络安全管理工作的两大核心内容，其中前者主要指的是对数据在传输和处理过程中的安全保护，尤其是对一些保密性较强的数据进行保护，避免数据被非法盗用，出现修改的状况，并最大限度的维护数据的可用性，使其能够在突发意外的情况下也可以正常应用于各项工作，不影响网络数据信息的使用效果，提高数据信息的安全性；而后者则主要指的是从硬件设施和软件装备来提高系统的可靠程度，涉及各个网络运行元件的安全。就我国当前网络安全管理工作的现状来看，我国已经颁布了一系列的政策措施并投入了一定的资金，在网络安全保障工作方面取得了一定的成效，构建了网络信息管理安全体系，但仍存在一些问题。恶意篡改、非法侵入数据信息库、病毒感染、网络黑客等违法行为，对网络信息系统安全造成了极大的危害，不利于信息可用性和真实性的保护，是当前信息安全保障工作的重中之重。

2增强信息安全保障体系的措施

2.1落实网络信息安全基础保障工作

由于网络环境的虚拟化、信息传输超高速化和区域无界化，网络信息安全保障工作具有一定的特殊性，其本质可以看作是实时性的安全预防、管理和应对。因此，不仅需要对国家现有的网络平台进行巩固，确保基本的信息管理设备和装置的合理应用和正常运行，还需要研制重点网络安全问题的应对机制。同时为了更好地开展信息安全保障工作，应加大网络安全的宣传力度，通过不同的途径和渠道让广大民众认识到信息安全保障工作的重要性和必要性，树立正确的网络安全意识，从而更好的遵守网络行为规范。还要打造一支网络安全意识强、安全管理能力高的专业化团队，为增强网络信息安全管理提供坚实的保障。除此之外，职能部门也应制定相应的安全管理计划方案，通过法律制度和标准，为信息安全管理工作的开展提供更好的政策依据。

2.2政府要加大对信息安全体系的构建力度

根据我国网络安全的重点问题，政府职能部门必须加强对信息安全的管控。可以采取试验试点的方式，对多种安全防治措施和方案进行探索和研究。在研发过程中可以从用户身份识别、信息来源追踪及用户对所接受消息的检测三个角度进行分析。譬如研发一套规范的数字证书验证体系，对网络用户的身份进行实名制认证，实现对用户信息和权限的系统化管理。这样，一旦发现问题，便可以立即采取有效的措施进行解决，从而创建一个安全的网络服务平台。

2.3构建健全的网络信息安全保障体系

在网络信息安全保障体系的构建过程中，除了做好基础保障工作，还应该不断地提高网络管理者的专业技能，完善网络体系的硬件和软件，让体系内的各个组成部分都拥有自身安全管理的机制。同时应明确网络环境中信息保护的根本目的，围绕信息安全的各个方面开展工作，提高和改善网络信息安全系统的监测能力、恢复能力、防御能力、反击能力、预警能力及应急能力。只有具备了以上六项能力才能做到运筹帷幄，对网络安全进行全面监控，对入侵行为进行有效的反击，对突发问题做出快速反应和及时处理，对数据信息进行合理的备份存储，使网络安全管理效率得到最大程度的提升。此外，还应制定一套系统自检测方案，对系统的安全性进行定时检测，对其中存在的漏洞问题进行处理，完成网络设备的自主检测和检测结果分析汇报。

3结语

篇2

目前，对信息异化概念有不同的说法，多是处于人的视角，认为信息异化是人类创造了信息，信息在生产、传播和利用等活动过程中有各种的阻碍，使得信息丧失其初衷，反客为主演变成外在的异化力量，反过来支配、统治和控制人的力量。其意针对的是人们创造的那部分信息，研究的是信息所拥有的社会属性，说到底是研究人造成的异化问题，只是使用了限定词的一个信息而已，疑似把“信息异化”当作“信息过程中人的异化”同一个归类。这样，使得异化的被动内涵被隐藏起来，结果造就了“信息对人的异化”方面的研究，疏忽对信息自然属性及“信息被异化”的研究，最后使信息异化研究具有片面性。笔者最后选择一个信息异化概念。“信息异化”是指信息在实践活动(包括信息的生产、制造，传播及接收等)过程中，在信息不自由的状态下变为异在于其本真活动结果的现象。关于信息安全，部分专家对信息安全的定义为：“一个国家的社会信息化状态不受外来的威胁与侵害；一个国家的信息技术体系不受外来的威胁与侵害。”这个定义，包含现有对信息安全的先进认识，又包含了更加广泛的信息安全领域，是目前较为全面且被认可的定义。信息安全本身包括的范围极大，其中包括如何防范企业商机泄露、防范未成年人对不良信息的浏览、个人信息的泄露损失等。所以网络信息安全体系的建立是保证信息安全的重要关键，其中包含计算机安全操作系统、各种的安全协议、安全机制(数字签名、消息认证、数据加密等)，直至安全系统，只要一环出现漏洞便会产生危险危害。如今，网络安全技术杂乱零散且繁多，实现成本相应增加，对网络性能的影响逐渐增大。其复杂性使得它的臃肿的弊端慢慢显现出来，业界需要相应的创新的理念和战略去解决网络安全问题以及它的性能问题，在这种背景下可信网络开始出现在世人的眼中。现在大众可信网络有不同理解与观点，有的认为可信应该以认证为基础，有的认为是以现有安全技术的整合为基石；有的认为是网络的内容可信化，有的认为可信是网络是基于自身的可信，有的认为是网络上提供服务的可信等，虽说众说纷纭，但其目的是一致的:提升网络以及服务的安全性，使人类在信息社会中受益。可信网络可提升并改进网络的性能，减少因为不信任带来的监视、不信任等系统的成本，提高系统的整体性能。

二、可信网络国内外研究

（一）可信网络国外研究

在可信网络的研究中，Clark等学者在NewArch项目的研究中提出了“信任调节透明性”(trust-modulatedtransparency)原则，他们期望在现实社会的互相信任关系能够反映在网络上。基于双方用户的信任需求，网络可以提供一定范围的服务，如果双方彼此完全信任，则他们的交流将是透明化、没有约束的，如果不是则需要被检查甚至是被约束。美国高级研究计划局出的CHAT(compostablehigh-Assurancetrustworthysystems)项目研究了在指定条件下运行如何开发出可快速配置的高可信系统及网络来满足关键的需求，其中包含了安全性、可生存性、可靠性、性能和其他相关因素。TRIAD(trustworthyrefinementthroughintrusion-awaredesign)项目研究了以策略为中心的入校检测模型，他们利用模型去提高网络系统的可信性。但因为网络有着复杂基于信息异化下的信息安全中可信网络分析研究柳世豫，郭东强摘要：互联网逐渐成为我们生活中不可或缺的同时，其弊端也开始出现。未来网络应该是可信的，这一观点已成为业界共性的特点，如何构建可信网络是需要研究的。因此TCG先进行较为简单的可信网络连接问题。它将可信计算机制延伸到网络的技术，在终端连入网络前，开始进行用户的身份认证;若用户认证通过，再进行终端平台的身份认证；若终端平台的身份认证也通过，最后进行终端平台的可信状态度量，若度量结果满足网络连入的安全策略，将允许终端连入网络，失败则将终端连入相应隔离区域，对它进行安全性补丁和升级。TNC是网络接入控制的一种实现方式，是相对主动的一种网络防御技术，它能够防御大部分的潜在攻击并且在他们攻击前就进行防御。2004年5月TCG成立了可信网络连接分组(trustednetworkconnectionsubgroup)，主要负责研究及制定可信网络连接TNC(trustednetworkconnection)框架及相关的标准。2009年5月，TNC了TNC1.4版本的架构规范，实现以TNC架构为核心、多种组件之间交互接口为支撑的规范体系结构，实现了与Microsoft的网络访问保护(networkaccessprotection,NAP)之间的互操作，他们将相关规范起草到互联网工程任务组(internationalengineertaskforce,IETF)的网络访问控制(networkaccesscontrol,NAC)规范中。如今已有许多企业的产品使用TNC体系结构，如ExtremeNetworks,HPProCureve,JuniperNetworks,OpSwat,Patchlink,Q1Labs,StillSecure,WaveSystems等。

（二）可信网络国内研究

我国也有学者进行了可信网络的研究。林闯等进行了可信网络概念研究以及建立相关模型，提出网络可信属性的定量计算方法。期望基于网络体系结构自身来改善信息安全的方式来解决网络脆弱性问题，通过保护网络信息中的完整性、可用性、秘密性和真实性来保护网络的安全性、可控性以及可生存性。利用在网络体系结构中的信任机制集成，使安全机制增强，在架构上对可信网络提出了相关设计原则。闵应骅认为能够提供可信服务的网络是可信网络，并且服务是可信赖和可验证的。这里的可信性包括健壮性、安全性、可维护性、可靠性、可测试性与可用性等。TNC进行设计过程中需要考虑架构的安全性，同时也要考虑其兼容性，在一定程度上配合现有技术，因此TNC在优点以外也有着局限性。TNC的突出优点是安全性和开放性。TNC架构是针对互操作的，向公众开放所有规范，用户能够无偿获得规范文档。此外，它使用了很多现有的标准规范，如EAP、802.1X等，使得TNC可以适应不同环境的需要，它没有与某个具体的产品进行绑定。TNC与NAC架构、NAP架构的互操作也说明了该架构的开放性。NC的扩展是传统网络接入控制技术用户身份认证的基础上增加的平台身份认证以及完整性验证。这使得连入网络的终端需要更高的要求，但同时提升了提供接入的网络安全性。虽然TNC具有上述的优点，但是它也有一定的局限性：

1.完整性的部分局限。TNC是以完整性为基础面对终端的可信验证。但这种可信验证只能保证软件的静态可信，动态可信的内容还处于研究中。因此TNC接入终端的可信还处于未完善的阶段。

2.可信评估的单向性。TNC的初衷是确保网络安全，在保护终端的安全上缺乏考虑。终端在接入网络之前，在提供自身的平台可信性证据的基础上，还需要对接入的网络进行可信性评估，否则不能确保从网络中获取的服务可信。

3.网络接入后的安全保护。TNC只在终端接入网络的过程中对终端进行了平台认证与完整性验证，在终端接入网络之后就不再对网络和终端进行保护。终端平台有可能在接入之后发生意外的转变，因此需要构建并加强接入后的控制机制。在TNC1.3架构中增加了安全信息动态共享，在一定程度上增强了动态控制功能。

4.安全协议支持。TNC架构中，多个实体需要进行信息交互，如TNCS与TNCC、TNCC与IMC、IMV与TNCS、IMC与IMV，都需要进行繁多的信息交互，但TNC架构并没有给出相对应的安全协议。

5.范围的局限性。TNC应用目前局限在企业内部网络，难以提供多层次、分布式、电信级、跨网络域的网络访问控制架构。在TNC1.4架构中增加了对跨网络域认证的支持，以及对无TNC客户端场景的支持，在一定程度上改善了应用的局限性。我国学者在研究分析TNC的优缺点的同时结合中国的实际情况，对TNC进行了一些改进，形成了中国的可信网络连接架构。我国的可信网络架构使用了集中管理、对等、三元、二层的结构模式。策略管理器作为可信的第三方，它可以集中管理访问请求者和访问控制器，网络访问控制层和可信平台评估层执行以策略管理器为基础的可信第三方的三元对等鉴别协议，实现访问请求者和访问控制器之间的双向用户身份认证和双向平台可信性评估。该架构采用国家自主知识产权的鉴别协议，将访问控制器以及访问请求者作为对等实体，通过策可信第三方的略管理器，简化了身份管理、策略管理和证书管理机制，同时进行终端与网络的双向认证，提供了一种新思路。在国家“863”计划项目的支持下，取得了如下成果:

（1）在对TNC在网络访问控制机制方面的局限性进行研究分析后，同时考虑可信网络连接的基本要求，提出了一种融合网络访问控制机制、系统访问控制机制和网络安全机制的统一网络访问控制LTNAC模型，对BLP模型进行动态可信性扩展，建立了TE-BLP模型，期望把可信度与统一网络访问控制模型结合起来。

（2）通过研究获得了一个完整的可信网络连接原型系统。该系统支持多样认证方式和基于完整性挑战与完整性验证协议的远程证明，来实现系统平台间双向证明和以远程证明为基础的完整性度量器和验证器，最后完成可信网络连接的整体流程。

三、可信网络模型分析

（一）网络与用户行为的可信模型

可信是在传统网络安全的基础上的拓展:安全是外在的表现形式，可信则是进行行为过程分析所得到的可度量的一种属性。如何构建高效分析刻画网络和用户行为的可信模型是理解和研究可信网络的关键。这是目前网络安全研究领域的一个新共识。构建网络和用户的可信模型的重要性体现于:它只准确而抽象地说明了系统的可信需求却不涉及到其他相关实现细节，这使得我们能通过数学模型分析方法去发现系统在安全上的漏洞。可信模型同时也是系统进行研发的关键步骤，在美国国防部的“可信计算机系统的评价标准(TCSEC)”中，从B级阶段就需要对全模型进行形式化描述和验证，以及形式化的隐通道分析等。我们还需要可信模型的形式化描述、验证和利用能够提高网络系统安全的可信度。最后，构建理论来说明网络的脆弱性评估和用户遭受攻击行为描述等的可信评估，这是实现系统可信监测、预测和干预的前提，是可信网络研究的理论所有基础。完全安全的网络系统目前还无法实现，因此网络脆弱性评估的最终目的不是完全消除脆弱性，而是找到一个解决方案，让系统管理员在“提供服务”和“保证安全”之间找到平衡，主动检测在攻击发生之前，如建立攻击行为的设定描述，通过在用户中区分隐藏的威胁，以可信评估为基础上进行主机的接入控制。传统检测多为以规则为基础的局部检测，它很难进行整体检测。但我们现有的脆弱性评估工具却绝大多数都是传统基于规则的检测工具，顶多对单一的主机的多种服务进行简陋的检查，对多终端构建的网络进行有效评估还只能依靠大量人力。以模型为基础的模式为整个系统建立一个模型，通过模型可取得系统所有可能发生的行为和状态，利用模型分析工具测试，对整个系统的可信性评估。图2说明了可信性分析的元素。网络行为的信任评估包括行为和身份的信任，而行为可信又建立在防护能力、信任推荐、行为记录、服务能力等基础之上。

（二）可信网络的体系结构

互联网因技术和理论的不足在建立时无法考量其安全周全，这是网络脆弱性的一个重要产生因素。但是如今很多网络安全设计却常常忽略网络体系的核心内容，大多是单一的防御、单一的信息安全和补丁补充机制，遵从“堵漏洞、作高墙、防外攻”的建设样式，通过共享信息资源为中心把非法侵入者拒之门外，被动的达到防止外部攻击的目的。在黑客技术日渐复杂多元的情况下，冗长的单一防御技术让系统规模庞大，却降低了网络性能，甚至破坏了系统设计的开放性、简单性的原则。因此这些被动防御的网络安全是不可信的，所以从结构设计的角度减少系统脆弱性且提供系统的安全服务特别重要。尽管在开放式系统互连参考模型的扩展部分增加了有关安全体系结构的描述，但那只是不完善的概念性框架。网络安全不再只是信息的可用性、机密性和完整性，服务的安全作为一个整体属性被用户所需求，因此研究人员在重新设计网络体系时需考虑从整合多种安全技术并使其在多个层面上相互协同运作。传统的补丁而补充到网络系统上的安全机制已经因为单个安全技术或者安全产品的功能和性能使得它有着极大地局限性，它只能满足单一的需求而不是整体需求，这使得安全系统无法防御多种类的不同攻击，严重威胁这些防御设施功效的发挥。如入侵检测不能对抗电脑病毒，防火墙对术马攻击也无法防范。因为如此，网络安全研究的方向开始从被动防御转向了主动防御，不再只是对信息的非法封堵，更需要从访问源端就进行安全分析，尽量将不信任的访问操作控制在源端达到攻击前的防范。因此我们非常需要为网络提供可信的体系结构，从被动转向主动，单一转向整体。可信网络结构研究必须充分认识到网络的复杂异构性，从系统的角度确保安全服务的一致性。新体系结构如图3所示，监控信息(分发和监测)以及业务数据的传输通过相同的物理链路，控制信息路径和数据路径相互独立，这样监控信息路径的管理不再只依赖于数据平面对路径的配置管理，从而可以建立高可靠的控制路径。其形成的强烈对比是对现有网络的控制和管理信息的传输，必须依赖由协议事先成功设置的传输路径。

（三）服务的可生存性

可生存性在特定领域中是一种资源调度问题，也就是通过合理地调度策略来进行服务关联的冗余资源设计，通过实时监测机制来监视调控这些资源的性能、机密性、完整性等。但网络系统的脆弱性、客观存在的破坏行为和人为的失误，在网络系统基础性作用逐渐增强的现实，确保网络的可生存性就有着重要的现实意义。由于当时技术与理论的不足，使得网络存在着脆弱性表现在设计、实现、运行管理的各个环节。网络上的计算机需要提供某些服务才能与其他计算机相互通信，其脆弱性在复杂的系统中更加体现出来。除了人为疏忽的编程错误，其脆弱性还应该包含网络节点的服务失误和软件的不当使用和网络协议的缺陷。协议定义了网络上计算机会话和通信的规则，若协议本身就有问题，无论实现该协议的方法多么完美，它都存在漏洞。安全服务是网络系统的关键服务，它的某个部分失去效用就代表系统会更加危险，就会导致更多服务的失控甚至是系统自身瘫痪。因此必须将这些关键服务的失效控制在用户许可的范围内。可生存性的研究必须在独立于具体破坏行为的可生存性的基本特征上进行理论拓展，提升系统的容错率来减少系统脆弱性，将失控的系统控制在可接受范围内，通过容侵设计使脆弱性被非法入侵者侵入时，尽可能减少破坏带来的影响，替恢复的可能性创造机会。

（四）网络的可管理性

目前网络已成为一个复杂巨大的非线性系统，具有规模庞大、用户数量持续增加、业务种类繁多、协议体系复杂等特点。这已远超设计的初衷，这让网络管理难度加大。网络的可管理性是指在内外干扰的网络环境情况下，对用户行为和网络环境持续的监测、分析和决策，然后对设备、协议和机制的控制参数进行自适应优化配置，使网络的数据传输、用户服务和资源分配达到期望的目标。现有网络体系结构的基础上添加网络管理功能，它无法实现网络的有效管理，这是因为现有的网络体系与管理协议不兼容。可信网络必须是可管理的网络，网络的可管理性对于网络的其他本质属性，如安全性、普适性、鲁棒性等也都有着重要的支撑作用。“网络管理”是指对网络情况持续进行监测，优化网络设备配置并运行参数的过程，包括优化决策和网络扫描两个重要方面。研究管理性是通过改善网络体系中会导致可管理性不足的设计，达到网络可管理性，实现网络行为的可信姓，再解决网络本质问题如安全性、鲁棒性、普适性、QoS保障等，提供支撑，使网络的适应能力加强。

四、结论

综上所述，互联网有着复杂性和脆弱性等特征，当前孤立分散、单一性的防御、系统补充的网络安全系统己经无法应对具有隐蔽多样可传播特点的破坏行为，我们不可避免系统的脆弱性，可以说网络正面临重要的挑战。我国网络系统的可信网络研究从理论技术上来说还处于初级阶段，缺乏统一的标准，但是它己经明确成为国内外信息安全研究的新方向。随着大数据的到来，全球的头脑风暴让信息技术日新月异，新技术带来的不只有繁荣，同时也带来异化。昨日的技术已经无法适应今日的需求，从以往的例子中可以得知信息安全的灾难是广泛的、破坏性巨大、持续的，我们必须未雨绸缪并且不停地发展信息安全的技术与制度来阻止悲剧的发生。信息异化带来的信息安全问题是必不可免的，它是网络世界一个严峻的挑战，对于可信网络的未来我们可以从安全性、可控性、可生存性来创新发展，新的防御系统将通过冗余、异构、入侵检测、自动入侵响应、入侵容忍等多种技术手段提高系统抵抗攻击、识别攻击、修复系统及自适应的能力，从而达到我们所需的实用系统。可以通过下述研究方向来发展可信网络：

（一）网络系统区别于一般系统的基本属性

之一是复杂性，网络可信性研究需要通过宏观与微观上对网络系统结构属性的定性，定量刻画，深入探索网络系统可靠性的影响，这样才能为网络可信设计、改进、控制等提供支持。因此，以复杂网络为基础的可信网络会成为一个基础研究方向。

（二）网络系统区别于一般系统的第二个重要属性

是动态性，其包含网络系统历经时间的演化动态性和网络失去效用行为的级联动态性。如今，学术上对可信网络静态性研究较多，而动态性研究较少，这无疑是未来可信网络研究的一大方向。

（三）网络系统的范围与规模日渐庞大

篇3

一、高度重视，迅速贯彻落实

通过召开专题会议、发送微信通知，及时将上级的文件精神传达给每位干部职工，让全体党员干部充分认识到做好当前网络信息安全保障工作的重要性和必要性，并作为当前的一件头等大事来抓，确保网络安全。

二、强化管理，明确责任

为进一步完善网络信息安全管理机制，严格按照“谁主管谁负责、属地管理”的原则，明确了第一责任人和直接责任人，加强对本单位的内部办公网及其它信息网站的监督管理，防范黑客的入侵。严禁传播、下载、发表一切不利于党和国家的信息资料，坚决制止违纪违规行为发生，确保网络信息安全。按照上级要求，迅速成立了网络安全工作小组，负责网络安全应急工作,组织单位有关方面做好应急处置工作,组织开展局域网络安全信息的汇集、研判,及时向县网信办报告。当发生重大网络安全事件时,能及时做好应急响应相关工作。由办公室负责本区域网络安全事件的监测预警和应急处置工作，分管副局长为网络安全工作小组的副组长，负责办公室。建立了本单位计算机信息网络系统应用管理岗位责任制，明确主管领导，落实责任部门，各尽其职，常抓不懈，并按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，切实履行好网络信息安全保障职责。

三、信息报告与应急支持

1.积极响应上级领导的有关要求，实时观测本区域网络安全信息，努力做到有效应对网络安全事件，一旦发生重大安全网络事件及时向县网信办报送网络安全事件和风险信息,并及时上报相关部门,积极配合协同做好应急准备工作或处置。

2.积极建立健全本系统、本部门、本行业重大网络安全事件应急响应机制。应急处置时,需要其他部门、行业或技术支撑队伍支持的,一定及时报请县网信办协调，同时配合其他部门尽快解决。

四、细化措施，排除隐患。

办公室将对对全局的网络设备、计算机进行一次细致的排查。检查安装桌面终端安全管理系统和杀毒软件，确保桌面终端安全管理系统注册率和360杀毒软件覆盖率达百分之百。对于在检查中发现的问题或可能存在的安全隐患、安全漏洞和薄弱环节，立即进行整改。进一步完善相关应急预案，落实应急保障条件。杜绝出现违规“自选动作”,遇重大突发敏感事件,一律按统一部署进行报道。各科室要严把网上宣传报道导向关,严格规范稿源,不得违规自采,不得违规转裁稿件,不得擅自篡改标题。严格网上新闻报道审校制度,防止出现低级错误,同时加大了对新闻跟帖的管理,组织本单位网评员积极跟帖。

五、应急值守

1.单位网络安全应急负责人、联系人要保持网络畅通，及时接收风险提示、预警信息和任务要求，并按要求报告相关情况。负责人、联系人名单或联系方式有调整的，及时函告县网信办。

2.值班期间，实行每日“零报告”制度，每日下午17:00前，报送当天本部门网络安全运行情况、受攻击情况和事件情况，一旦发生网络安全事件，立即启动应急预案，迅速应对，有效处置，并按规定程序及时报告有关情况。

六、工作要求

篇4

关键词：内部网系统网络信息安全安全管理

中图分类号：TU714文献标识码： A 文章编号：

大企业集团的内部网络往往结构复杂、覆盖面大、节点众多，怎样才能做好系统的网络信息安全工作也就成为了各数据中心急需解决的问题。本文以某网络信息安全为例，简要论述了Internet 快速发展下内网系统的网络信息安全管理。

一、内部网系统计算机网络信息面临的安全威胁

1、网络边界的安全威胁

计算机网络边界包括：远程用户 VPN 隧道、Internet 链路、专用WAN链路、PSTN 拨号、电子商务网络、外部网连接。如果内部系统在此类区域没用一定安全防护，那么其网络系统就很可能会受到入侵者的攻击。比如通过 Sniffer 等嗅探程序探测扫描网络及操作系统安全漏洞，如应用操作系统类型、网络 IP 地址、开放哪些TCP端口号、系统保存的用户名和口令等安全信息文件，并针对不同的漏洞采取相应的攻击程序进行网络攻击。入侵者通过网络监听等获得内部网用户用户名、口令等假冒内部合法身份非法登录，窃取内网重要信息。又比如说恶意攻击，入侵者发送大量 PING 包对内网服务器进行攻击，造成服务器超负荷工作甚至是拒绝服务造成系统瘫痪。

2、内部网安全威胁

内网设备较为分散，而其中的用户水平也是参差不齐，不同的承载业务，迥异的安全需求，这些都造成了内网安全建设的多元化和复杂性；移动办公用户、远程拨号用户、VPN 用户、合作伙伴、分支机构、供应商、无线局域网等扩展了网络边界，这让边界保护更为困难；蠕虫病毒大肆泛滥、新病毒不断涌现，这些让内网用户受到损失，同时，网络在病毒、蠕虫攻击后，不能及时隔离、阻断；内网安全防范较为脆弱，抵御不了内外部的入侵和攻击，安全策略无法及时分发执行，造成安全策略形同虚设；内部网通过 Modem、非法主机接入、无线网卡非法外联等安全防范不到位，安全风险引入；缺乏内网用户行为监控，造成隐私和组织机密信息泄漏。

二、内部网系统网络信息安全管理的策略

1、密码技术

密码技术是通过信息的变换或编码，将机密的敏感消息变换成黑客难以读懂的乱码型文字，以此达到不让黑客截获任何有意义的信息且黑客不能伪造信息的目的。采用密码方法可以隐蔽和保护机要消息，使未授权者不能提取信息。目前对网络加密主要有三种方式：链路加密方式、节点对节点加密方式和端对端加密方式。一般网络安全系统主要采取第一种方式，即链路加密方式。

2、防火墙技术

防火墙是一种保护计算机网络安全的技术型措施，它可以是软件，也可以是硬件，或两者结合。它在两个网络之间执行访问控制策略系统，目的是保护网络不被他人侵扰。通常，防火墙位于内部网或不安全的网络（Internet）之间，它就像一道门槛，通过对内部网和外部网之间的数据流量进行分析、检测、筛选和过滤，控制进出两个方向的通信，以达到保护网络的目的，实质上是一种隔离控制的技术。通常，在单位内部网络和外部网络之间设置一个防火墙是防止非法入侵，确保单位内部网络安全有效的防范措施之一。防火墙系统决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。

3、网络病毒防范技术

威胁计算机网络的病毒多种多样，既有单机上常见的计算机病毒，也有专门攻击计算机网络的网络型病毒。计算机网络一旦染上病毒，其影响要远比单机染毒更大，破坏性也更大。目前，在网络环境下，较为有效的防病毒方法是 Station Lock 方法。通常，防毒概念是建立在“病毒必须执行有限数量的程序后，才会产生感染”的基础之上。Station Lock 方法正是根据这一特点，辨别可能的病毒攻击意图，并在病毒未造成任何破坏之前进行拦截。对付网络病毒应该重点立足于服务器的防毒，其防毒表现形式为集中式扫毒，它能实现实时扫描，而且软件升级也方便。选用可靠的网络防病毒软件也是网络防毒的关键。

三、某内部网络信息安全管理设计和实现

根据以上对网络信息管理及安全策略研究，设计基于 Web 网络信息管理安全构架，此构架兼顾访问控制和安全监测两方面。为有效管理此类信息，利用 LDAP 目录服务来解决网络信息管理中冗余问题以满足查询需求。该系统主要由管理服务器、目录服务器、证书服务器和应用服务器 ( 可以多个 )组成。系统设计中遵循 PKI 规定，通过签发各种身份证书、角色证书和权限证书，实现层次化安全访问控制。管理服务器是一台支持 SSL 的 Web 服务器，它提供管理界面和证书申请表格，承担了访问控制的任务。用户通过管理服务器注册基本信息，管理服务器从目录服务器中查询访问控制策略 (ACP) 信息，把用户信息和相应的访问控制策略送到证书服务器，证书服务器根据这些信息颁发给用户相应角色的证书。管理服务器和证书服务器通过 LDAP 来访问目录服务器。系统采用基于角色的访问控制来实现安全访问控制。任何人的访问行为都要递交相应的证书，管理服务器验证用户的身份以及确定用户的访问权限，只有合法的用户才可以访问并进行相应的操作。

管理服务器同时承担着安全监测任务，它驱动相应的功能模块对关键数据文件生成 MD5 摘要，并定时进行摘要监测和比较。如发现应用服务器被攻击，先报警，并通知管理员将被攻击的应用服务器从网上隔离开，以防止入侵者进行更深入地破坏。如果是服务被破坏，则重新启动服务；如果是关键数据被破坏，则进行错误定位，并用备份数据恢复被破坏的文件。所有的处理过程和结果都要生成报告通知管理人员。网络信息管理系统的关键数据主要有：系统文件（口令文件、网络启动文件等）、网络信息服务的配置文件、关键业务信息等。

在构建网络安全实际技术中我们坚持：保护网络系统可靠性；保护网络资源合法使用性；防范入侵者恶意攻击与破坏；保护信息通过网上传输机密性、完整性及不可抵赖性；防范病毒侵害；实现网络安全管理。建立在对信息系统安全需求与环境客观分析、评估基础上，在系统应用性能及价格和安全保障需求之间确定“最佳平衡点”，让网络安全保障引入开销与它带来相当效益。在外部网络攻击主要来源地，即第一层网络出口处部署硬件防火墙，保证外部访问只到 Web、应用服务器层。第二层网络出口处部署 VPN、硬件防火墙来，利用 VPN 加密技术及安全认证机制，实现数据在网络传输真实性、机密性、完整性及可靠性，保证只有授权用户才可访问内部网络。此外，对来自第二、三、四层内部网络攻击，通过网络入侵检测系统（IDS）作防火墙补充，动态监视网络流过所有数据包，识别来自本网段内、其他网段及外部网络全部攻击，解决来自防火墙内由于用户误操作或内部人员恶意攻击所带来的安全威胁。为减少由于安全事故造成的损失，在系统设备及相关链路等物理安全保护方面采取必要数据库服务器冗余与备份、线路冗余备份、异地容灾等措施。

四、结论

信息安全是个综合性课题，涉及技术、立法、管理、使用等多方面，对网络信息安全保护有更高要求，也让网络信息安全学科地位更重要，网络信息安全在将来必然会随着网络应用不断发展。

参考文献：

篇5

【关键词】计算机信息管理技术 网络安全

1 问题引入

随着互联网终端由电脑向智能手机过度，并日益普及，许多人的日常生活中已经离不开网络。网上购物、网上办公、网上学习对于现代网络社会的人来说早已司空见惯。但是，网络在给人带来便捷和高效的同时，本身也存在着许多让人担忧的问题，其中最大的隐患便是网络安全隐患。网络攻击轻则导致个人信息丢失，严重则会给个人财产、个人安全甚至国家安全造成重大危害。所以，在我国当前网络安全监管体系尚不健全的背景下，以计算机信息管理技术加强网络安全显得尤其重要。所以本文就将在对常见网络安全漏洞进行分析的基础上，有针对性地研究计算机信息管理技术在学校网络安全中的应用。

2 学校常见的网络安全漏洞及原因

导致网络安全出现问题的原因，一部分在于网络使用者本身的主观原因，例如安全意识淡薄、缺乏必要的网络安全防护技术，还有一个很重要的外部原因便是黑客的恶意攻击。而且，近年来随着支付宝等网络支付和金融平台的普及，网络攻击和网络犯罪更是呈高发趋势。统计数据显示，自我国接入互联网二十余年时间，尤其是自2010年以来，网络犯罪率快速攀升，造成的直接和间接经济损失更是无法估量。所以，分析常见的网络安全漏洞是研究计算机信息管理技术在网络安全中应用的第一步。

2.1 网络信息访问权限漏洞

网络信息访问权限是指对网络访问者信息进行识别，网络信息仅供权限内部人员使用的计算机信息管理技术。是维护网络信息安全的重要技术手段，也是基础性手段。一般来讲，网络信息根据自身密级和重要程度的不同，对访问者权限的设置也会不同，而且根据信息相关人员的需要，访问权限的识别内容也会有所不同。但是，我国目前许多网络信息缺少访问权限设置，许多个人也没有网络信息访问权限设置意识。当今社会，随着网络技术开发程度的提高，网络技术使用门越来越低，远程访问操作对于许多网络使用者来说已经不是什么困难的事情。在这种情况下网络信息访问权限的漏洞就更容易被利用。

2.2 网络信息安全监管漏洞

网络空间虽然是虚拟空间，但由于其信息来源的广泛性，其监管复杂性丝毫不亚于现实空间，甚至由于网络自身的隐蔽性特点，其监管难度甚至高于现实空间。 我国目前的网络信息安全监管体系尚不健全，网络信息安全监管技术开发也比较滞后。具体来讲，网络信息安全监管体系没有建立起常态化监管与突发事件监管相结合的体系，应对网络突发状况的能力比较低，监管内容也不够深入具体。例如前些年的熊猫烧香病毒，就是由于监管漏洞导致其快速传播，瘫痪大量计算机并造成严重的经济损失。

2.3 计算机及网络自身系统漏洞

网络由于其自身对信息开放性和信息共享性的追求，因此在一些网络协议例如文本传输协议等，设计之初就缺乏对于信息安全度审查的考虑，所以这也是网络系统本身的安全漏洞，也是网络信息安全出现问题的最根本原因。许多黑客正是利用网络系统本身的漏洞，窃取网络信息。因此，解决网络共享性和信息安全之间的矛盾是保障网络信息安全最根本的手段。

2.4 外来的网络系统攻击

目前，恶性网络攻击主要有以下几类，第一种是网络黑客制造大量虚假信息并向网络终端进行发送，网络终端由于大量信息处理识别而造成网络系统繁忙甚至服务器瘫痪，个人无法接入网络；其次，一些黑客还经常利用远程操控入侵防护等级较低的网络终端，窃取用户数据信息，最后一些黑客还会将木马病毒进行包装在网络空间传播，造成网络数据信息被恶意删改，甚至失窃。

3 总结：如何以计算机信息管理技术改善网络安全环境

3.1 防火墙在网络安全中的基础性作用

防火墙是最为重要的网络信息安全技术手段之一，也是普通网络用户最容易操作的网络信息安全技术手段。现在许多免费的杀毒软件以及网络终端本身就带有防火墙功能，防火墙可以对计算机信息使用者权限以及计算机输入输出的网络信息的大值类型和内容进行识别，防止权限外人员窃取计算机信息，防止伪装的木马病毒窃取和删改计算机信息。

3.2 以加密技术保障重要信息安全

使用特定的计算机算法对计算机数据信息进行加密是维护计算机信息安全的重要渠道，相比防火墙的简单防护，计算机数据信息加密的防范能力更强，即使信息失窃可能也不会造成严重损失，但计算机信息加密使用的技术门槛相对较高。当前的计算机信息加密主要有公开秘钥和对称秘钥两种。公开秘钥的加密解密过程所花费的时间相对较长，但是秘钥管理相对方便；对称秘钥的加密解密过程比较简单，且安全性比较可靠，但是秘钥设定范围比较小。根据计算机信息特点可以自行进行选择，甚至两种秘钥搭配使用。

3.3 以技术控制和网络信息访问权限管理加强网络安全

技术控制是以计算机信息管理技术维护网络安全的最关键措施，以技术控制手段维护网络安全要充分考虑到网络运行的各个环节，技术手段的覆盖范围一定要全面。以技术手段维护计算机和网络信息安全的关键是要建立完善的网络信息安全系统，由于网络信息安全系统涉及环节较多，相关内容也比较复杂，因此一定要加强网络信息安全系统负责人员的技术水平和业务能力。对登陆服务器的用户信息和用户权限要加强识别，建立健全信息访问权限识别系统。

3.4 以明确的网络信息安全技术系统确保网络安全

以计算机信息管理技术维护网络安全一定要注意技术的系统化和组合化运用，建立起从杀毒软件研发更新，病毒检测插件更新，到计算机和网络信息安全动态分析的一整套技术系统。另外还要建立规范化的计算机和网络信息管理规章制度。全面保障计算机和网络信息安全。

参考文献

[1]高永强，郭世泽等编著.网络安全技术与应用大典[M].北京：人民邮电出版社，2003.

[2]武庆利，王飞编著.跟我学网络黑客防范[M].北京：机械工业出版社，2002.

[3]刘东华等编著.网络与通信安全技术[M]. 北京：人民邮电出版社，2002.