序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇網(wǎng)絡(luò)安全服務(wù)內(nèi)容范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

【關(guān)鍵詞】網(wǎng)絡(luò)安全 J2EE JavaBean 主動防御

隨著數(shù)據(jù)庫、網(wǎng)絡(luò)技術(shù)的快速發(fā)展，其已經(jīng)在電力通信、金融證券、電子商務(wù)、電子政務(wù)等領(lǐng)域得到了廣泛的普及和應(yīng)用，提高了網(wǎng)絡(luò)用戶學(xué)習(xí)、生活和工作的便捷性，進而提高了社會信息化服務(wù)水平。

1 網(wǎng)絡(luò)安全管理面臨的現(xiàn)狀

（1）網(wǎng)絡(luò)攻擊渠道多樣化。

（2）網(wǎng)絡(luò)安全威脅智能化。

2 網(wǎng)絡(luò)安全管理系統(tǒng)功能分析

為了能夠更好地導(dǎo)出系統(tǒng)的邏輯業(yè)務(wù)功能，系統(tǒng)需求分析過程中詳細的對網(wǎng)絡(luò)安全管理的管理員、用戶和防御人員進行調(diào)研和分析，使用原型化方法和結(jié)構(gòu)化需求分析技術(shù)導(dǎo)出了系統(tǒng)的邏輯業(yè)務(wù)功能，分別是系統(tǒng)配置管理功能、用戶管理功能、安全策略管理功能、網(wǎng)絡(luò)狀態(tài)監(jiān)控管理功能、網(wǎng)絡(luò)運行日志管理功能、網(wǎng)絡(luò)運行報表管理功能等六個部分：

（1）網(wǎng)絡(luò)安全管理系統(tǒng)配置管理功能分析。

（2）用戶管理功能分析。

（3）安全策略管理功能分析。

（4）網(wǎng)絡(luò)狀態(tài)監(jiān)控管理功能分析。

（5）網(wǎng)絡(luò)運行日志管理功能分析。

（6）網(wǎng)絡(luò)運行報表管理功能分析

3 網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計

3.1 系統(tǒng)服務(wù)器設(shè)計

網(wǎng)絡(luò)安全管理系統(tǒng)部署與運行過程中，其采用B/S體系架構(gòu)，是一個功能較為完善的分布式管理系統(tǒng)，因此結(jié)合系統(tǒng)采用的架構(gòu)，本文對系統(tǒng)服務(wù)器進行了設(shè)計，以便能夠更好地部署相關(guān)的網(wǎng)絡(luò)軟硬件環(huán)境。網(wǎng)絡(luò)拓撲結(jié)構(gòu)部署的內(nèi)容主要包括動態(tài)內(nèi)容和靜態(tài)內(nèi)容兩種模式，系統(tǒng)軟硬件平臺部署策略也分為兩種，分別是靜態(tài)系統(tǒng)部署和動態(tài)系統(tǒng)部署，如圖1所示。

3.2 系統(tǒng)架構(gòu)設(shè)計

網(wǎng)絡(luò)安全管理系統(tǒng)采用B/S架構(gòu)，該架構(gòu)包括三個層次，分布式表示層、業(yè)務(wù)功能處理層和數(shù)據(jù)功能處理層，其適應(yīng)現(xiàn)代互聯(lián)網(wǎng)的發(fā)展需求，用戶僅僅需要在瀏覽器上安裝一些插件或使用簡單的瀏覽器就可以登錄管理系統(tǒng)，并且向管理系統(tǒng)發(fā)出各種通信管理實時數(shù)據(jù)監(jiān)控邏輯業(yè)務(wù)請求，以便能夠進行及時的處理，完成互聯(lián)網(wǎng)安全監(jiān)控需求。

（1）表示層。

（2）業(yè)務(wù)功能處理層。

（3）數(shù)據(jù)功能處理層。

4 網(wǎng)絡(luò)安全管理系統(tǒng)實現(xiàn)

4.1 系統(tǒng)實現(xiàn)工具環(huán)境

網(wǎng)絡(luò)安全管理系統(tǒng)開發(fā)過程中，采用J2EE面向?qū)ο蠹夹g(shù)，實現(xiàn)環(huán)境采用Eclipse集成開發(fā)平臺，數(shù)據(jù)庫采用MySQL服務(wù)器，Web業(yè)務(wù)處理采用Tomcat服務(wù)器。本文對系統(tǒng)實施了詳細的需求分析和設(shè)計，導(dǎo)出了系統(tǒng)的邏輯業(yè)務(wù)功能，同時給出了系統(tǒng)的基本業(yè)務(wù)流程。為了能夠?qū)崿F(xiàn)一個完整的網(wǎng)絡(luò)安全管理系統(tǒng)，本文在以下環(huán)境下實現(xiàn)了系統(tǒng)的各個邏輯業(yè)務(wù)功能，并對其進行了部署。

4.1.1 硬件服務(wù)器硬件要求

系統(tǒng)運行的服務(wù)器CPU最低配置為PIII 800，建議配置現(xiàn)代主流的雙核、四核CPU。內(nèi)存最低配置為512M，建議內(nèi)存配置在1G以上；系統(tǒng)服務(wù)器硬盤最低配置為80G，建議配置為120G以上。

4.1.2 服務(wù)器軟件需求

Tomcat服務(wù)器：系統(tǒng)采用新型的B/S體系架構(gòu)，為了易于維護和管理，Web服務(wù)器采用Tomcat服務(wù)器，其能夠提供WWW、FTP等服務(wù)。

操作系統(tǒng)：由于系統(tǒng)的操作界面需要具有友好交互的特性，因此要求操作系統(tǒng)支持圖形化界面顯示，建議采用Window XP系統(tǒng)以上，具有集成網(wǎng)絡(luò)、系統(tǒng)容錯和高安全性的特點。

數(shù)據(jù)庫服務(wù)器：本文采用關(guān)系型數(shù)據(jù)庫，微軟開發(fā)的MySQL數(shù)據(jù)庫。

系統(tǒng)開發(fā)環(huán)境： Eclipse集成開發(fā)環(huán)境。

4.2 網(wǎng)絡(luò)安全主動防御策略

網(wǎng)絡(luò)運行過程中，安全管理系統(tǒng)可以采用主動、縱深防御模式，安全管理系統(tǒng)主要包括預(yù)警、響應(yīng)、保護、防御、監(jiān)測、恢復(fù)和反擊等六種關(guān)鍵技術(shù)，從根本上轉(zhuǎn)變信息系統(tǒng)使用人員的安全意識，改善系統(tǒng)操作規(guī)范性，進一步增強網(wǎng)絡(luò)安全防御性能。

（1）網(wǎng)絡(luò)安全預(yù)警。

（2）網(wǎng)絡(luò)安全保護。

（3）網(wǎng)絡(luò)安全監(jiān)測。

（4）網(wǎng)絡(luò)安全響應(yīng)。

（5）網(wǎng)絡(luò)恢復(fù)。

（6）網(wǎng)絡(luò)安全反擊。

4.3 網(wǎng)絡(luò)安全防御策略管理功能實現(xiàn)

網(wǎng)絡(luò)安全管理策略是網(wǎng)絡(luò)安全防御的關(guān)鍵內(nèi)容，需要根據(jù)網(wǎng)絡(luò)安全防御的關(guān)鍵內(nèi)容設(shè)置網(wǎng)絡(luò)訪問的黑白名單、應(yīng)用封堵、流量封堵、行為審計、內(nèi)容審計、策略分配等功能。

5 結(jié)束語

隨著網(wǎng)絡(luò)通信技術(shù)、云計算技術(shù)、移動計算技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全攻擊渠道逐漸呈現(xiàn)出多樣化、智能化等特點，并且網(wǎng)絡(luò)攻擊威脅潛藏的周期更長，安全威脅的感染速度更加迅速，影響網(wǎng)絡(luò)的正常運行。本文通過對網(wǎng)絡(luò)安全面臨的威脅現(xiàn)狀進行分析，導(dǎo)出了網(wǎng)絡(luò)安全管理系統(tǒng)需要實現(xiàn)的功能，并且對網(wǎng)絡(luò)安全管理系統(tǒng)服務(wù)器和系統(tǒng)架構(gòu)進行了設(shè)計，描述了系統(tǒng)實現(xiàn)的核心技術(shù)，構(gòu)建了一種多層次、深度安全防御體系，具有重要的作用和意義。

參考文獻

[1]王喜昌.計算機網(wǎng)絡(luò)管理系統(tǒng)及其安全技術(shù)分析[J].計算機光盤軟件與應(yīng)用，2014，14（14）：215-216.

[2]趙勤.使用移動存儲安全管理系統(tǒng)助力網(wǎng)絡(luò)安全[J].信息系統(tǒng)工程，2014， 2（2）：87-87.

篇(2)

關(guān)鍵詞 網(wǎng)絡(luò)安全實驗 課程教學(xué) 實驗設(shè)計

中圖分類號：G424 文獻標識碼：A

0 引言

隨著網(wǎng)絡(luò)信息產(chǎn)業(yè)的快速發(fā)展，網(wǎng)絡(luò)安全成為亟需解決的問題，我院為了培養(yǎng)應(yīng)用型本科人才，在網(wǎng)絡(luò)通信專業(yè)培養(yǎng)計劃中設(shè)置了網(wǎng)絡(luò)安全實驗這門選修課，因為開設(shè)時間較短，教學(xué)過程還處于探索階段。網(wǎng)絡(luò)安全實驗教學(xué)這門課無論在掌握計算機學(xué)科理論，還是鍛煉學(xué)生在實際工作生活中解決應(yīng)用問題的能力方面，都起到了十分重要的作用。因為是實驗課程，所以在教學(xué)過程中，比較重視實踐操作過程。網(wǎng)絡(luò)安全實驗課程的內(nèi)容比較集中在P2DR模型中說涉及的網(wǎng)絡(luò)安全防御、檢測、響應(yīng)三大領(lǐng)域，以滿足在現(xiàn)實工作中所遇到的不同網(wǎng)絡(luò)安全問題。因此，本文從實驗項目的選擇，實驗平臺的建立，以及實驗教學(xué)方法等上對網(wǎng)絡(luò)安全實驗教學(xué)進行探索。

1 實驗平臺搭建

首先是虛擬機技術(shù)在實驗中的使用，網(wǎng)絡(luò)安全實驗中的實驗具有一定的破壞性，所以我們采用了虛擬機來進行實驗，在網(wǎng)絡(luò)安全實驗中，需要模擬網(wǎng)絡(luò)攻擊，使學(xué)生掌握怎樣防御的同時，也了解攻擊技術(shù)。所以在實驗中我們首先安排了Vmware虛擬機的安裝與配置。在虛擬機中我們安裝windowsserver2003服務(wù)器版操作系統(tǒng)，并且配置開啟相關(guān)服務(wù)。

因為硬件條件有限，所以我們的大量實驗還只能在虛擬機上進行，但為了使學(xué)生身臨其境的感受網(wǎng)絡(luò)安全技術(shù)，我們在綜合實訓(xùn)中還是建立了基礎(chǔ)的網(wǎng)絡(luò)攻防實驗環(huán)境。

2 實驗項目設(shè)計

在我國，高校是培養(yǎng)網(wǎng)絡(luò)安全人才的核心力量。網(wǎng)絡(luò)攻擊與防護是網(wǎng)絡(luò)安全的核心內(nèi)容，也是國內(nèi)外各個高校信息安全相關(guān)專業(yè)的重點教學(xué)內(nèi)容。所以在實驗項目設(shè)計上我們體現(xiàn)了實用性為主的觀念，要在實驗中更多的體現(xiàn)未來學(xué)生畢業(yè)后，會遇到的網(wǎng)絡(luò)安全問題。所以設(shè)置了以下實驗：

（1）安裝Vmware虛擬機，并配置完整的網(wǎng)絡(luò)環(huán)境。配置完善win2003server虛擬環(huán)境，為以后的實驗搭建平臺，習(xí)和掌握Vmware虛擬機的安裝與配置，以建立網(wǎng)絡(luò)攻防平臺。

（2）加密原理與技術(shù)，利用不同技術(shù)進行加密。了解和掌握各種加密方法，以實現(xiàn)信息加密。學(xué)習(xí)和掌握密碼技術(shù)，利用密碼技術(shù)對計算機系統(tǒng)的各種數(shù)據(jù)信息進行加密保護實驗，實現(xiàn)網(wǎng)絡(luò)安全中的數(shù)據(jù)信息保密。

（3）PPPoE的網(wǎng)絡(luò)通信原理及應(yīng)用。學(xué)習(xí)和掌握基于PAP/CHAP的PPPOE的身份認證方法。學(xué)習(xí)和掌握利用身份認證技術(shù)對計算機和網(wǎng)絡(luò)系統(tǒng)的各種資源進行身份認證保護實驗，實現(xiàn)網(wǎng)絡(luò)安全中的信息鑒別。

（4）掌握Windows系統(tǒng)中基于PPTV VPN的功能、配置與使用操作。學(xué)習(xí)和掌握如何利用防火墻技術(shù)對網(wǎng)絡(luò)通信中的傳輸數(shù)據(jù)進行鑒別和控制實驗。

（5）學(xué)習(xí)掌握Windows系統(tǒng)中NAT防火墻的功能、配置與使用操作。學(xué)習(xí)和掌握網(wǎng)絡(luò)通信中的合法用戶數(shù)據(jù)信息的傳輸，以實現(xiàn)網(wǎng)絡(luò)安全中的保密性、鑒別性和完整。

（6）學(xué)習(xí)和掌握Superscan掃描工具對計算機進行端口掃描的方法，操作應(yīng)用。學(xué)習(xí)和掌握各種網(wǎng)絡(luò)安全掃描技術(shù)和操作，并能有效運用網(wǎng)絡(luò)掃描工具進行網(wǎng)絡(luò)安全分析、有效避免網(wǎng)絡(luò)攻擊行為。

（7）學(xué)習(xí)和掌握如何利用Wireshark進行網(wǎng)絡(luò)安全監(jiān)測與分析。學(xué)習(xí)各種網(wǎng)絡(luò)監(jiān)聽技術(shù)的操作實驗，能利用網(wǎng)絡(luò)監(jiān)聽工具進行分析、診斷、測試網(wǎng)絡(luò)安全性的能力。

（8）學(xué)習(xí)和掌握Snort網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)的安裝、配置和操作。學(xué)習(xí)和掌握Snort入侵檢測系統(tǒng)的基本原理、操作與應(yīng)用實驗。

3 綜合實訓(xùn)

為了讓學(xué)生能適應(yīng)真實的網(wǎng)絡(luò)環(huán)境，使之更貼近應(yīng)用型人才的培養(yǎng)方案，最后我們設(shè)計了綜合實訓(xùn)這個環(huán)節(jié)，讓學(xué)生在網(wǎng)絡(luò)通信系統(tǒng)中綜合運用各種網(wǎng)絡(luò)安全技術(shù)，設(shè)計一個整體的網(wǎng)絡(luò)安全系統(tǒng)。分析公司網(wǎng)絡(luò)需求，綜合運用網(wǎng)絡(luò)安全技術(shù)構(gòu)建公司網(wǎng)絡(luò)的安全系統(tǒng)。通過一個實際網(wǎng)絡(luò)通信系統(tǒng)中的綜合運用，實現(xiàn)整體系統(tǒng)的有效設(shè)計和部署。

學(xué)生分組進行實訓(xùn)，分為防御組與攻擊組，為了充分利用實驗資源讓防御組的同學(xué)在局域網(wǎng)環(huán)境下搭建服務(wù)器靶機，并讓防御組的同學(xué)配置VPN、NAT防火墻的技術(shù)并搭建SNORT入侵檢測系統(tǒng)。攻擊組同學(xué)操作學(xué)生終端嘗試攻擊服務(wù)器靶機，使用ARP欺騙等技術(shù)。防御組的學(xué)生使用Wireshark網(wǎng)絡(luò)監(jiān)聽查看ARP欺騙源地址，并解決該威脅。

4 結(jié)論

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成為重中之重，為了培養(yǎng)本科應(yīng)用型人才，實踐證明實驗必須貼近真實存在的案例才能提高學(xué)生的實際網(wǎng)絡(luò)攻防水平，使學(xué)生掌握網(wǎng)絡(luò)安全的新技術(shù)，而使用綜合實訓(xùn)這種方式，更是提高了學(xué)生的參與積極性，使教學(xué)質(zhì)量進一步提升。

參考文獻

[1] 常晉義.網(wǎng)絡(luò)安全實驗教程. 南京大學(xué)出版社，2010.12.

篇(3)

隨著全球信息化程度的加深，CDN已經(jīng)成為互聯(lián)網(wǎng)上向用戶提供服務(wù)的重要系統(tǒng)之一，一方面由于CDN位于內(nèi)容源站和終端用戶之間的特殊物理位置，能夠抵御一部分對源站的安全攻擊，從而提高源站的安全性；另外一方面，隨著CDN越來越多地服務(wù)于重要國家部門、金融機構(gòu)、網(wǎng)絡(luò)媒體、商業(yè)大型網(wǎng)站，并經(jīng)常承擔奧運會、國慶等重大活動，保障CDN自身的安全性、確保源站信息內(nèi)容安全準確地分發(fā)給用戶也非常重要。一旦CDN出現(xiàn)業(yè)務(wù)中斷、數(shù)據(jù)被篡改等安全問題，可能對用戶使用互聯(lián)網(wǎng)服務(wù)造成大范圍嚴重影響，甚至可能影響社會穩(wěn)定。

標準工作開展背景

一直以來，國際國內(nèi)缺乏專門的標準明確CDN應(yīng)滿足的安全要求，今年《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護檢測要求》在中國通信標準化協(xié)會（CCSA：ChinaCommunications StandardsAssociation）立項，“電信網(wǎng)安全防護標準起草組”討論了征求意見稿，相信CDN安全的標準化工作，能對促進CDN服務(wù)商規(guī)范安全地提供服務(wù)，從整體上提高CDN行業(yè)的安全防護水平提供指導(dǎo)。

美英等國家從20世紀70年代就開始研究等級保護、風險評估的相關(guān)內(nèi)容，制訂了彩虹系列、BS7799、ISO27001等具有世界影響力的安全標準。隨著通信網(wǎng)絡(luò)在國家政治、經(jīng)濟和社會發(fā)展過程中的基礎(chǔ)性和全局性作用與日俱增，這些發(fā)達國家越來越重視通信網(wǎng)絡(luò)安全，并上升到國家安全高度。我國也越來越重視網(wǎng)絡(luò)與信息安全保障，相繼了中辦【2003】27號《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》、中辦發(fā)【2006】11號《2006―2020年國家信息化發(fā)展戰(zhàn)略》等文件指導(dǎo)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保障體系建設(shè)。

近五年通信網(wǎng)絡(luò)安全防護工作取得很大成效，指導(dǎo)通信網(wǎng)絡(luò)從業(yè)務(wù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、設(shè)備安全、物理環(huán)境安全、管理安全等各方面加固，提高了通信網(wǎng)絡(luò)運行的穩(wěn)定性和安全性、基礎(chǔ)電信運營企業(yè)安全管理的規(guī)范性，也促進了通信行業(yè)安全服務(wù)產(chǎn)業(yè)的快速發(fā)展。

隨著通信網(wǎng)絡(luò)安全防護工作逐步深入規(guī)范開展，2011年工業(yè)和信息化部組織開展了增值運營企業(yè)的安全防護試點，率先對新浪、騰訊、百度、阿里巴巴、萬網(wǎng)、空中信使運營管理的網(wǎng)絡(luò)單元進行定級備案、安全符合性評測和風險評估。

2011年，“電信網(wǎng)安全防護標準起草組”組織研究起草《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護檢測要求》等8項安全防護標準，工業(yè)和信息化部電信研究院、藍汛、網(wǎng)宿、清華大學(xué)、中國移動、中國電信、華為、中國互聯(lián)網(wǎng)協(xié)會等單位研究人員參與了標準的起草，目前這兩項標準的征求意見稿已經(jīng)在CCSA討論通過。

根據(jù)《通信網(wǎng)絡(luò)安全防護管理辦法》，按照各通信網(wǎng)絡(luò)單元遭到破壞后可能對國家安全、經(jīng)濟運行、社會秩序、公眾利益的危害程度，由低到高可劃分為一級、二級、三級、四級、五級。因此《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護要求》明確了一級至五級CDN系統(tǒng)應(yīng)該滿足的安全等級保護要求，級別越高，CDN需滿足的安全要求越多或越嚴格。《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護檢測要求》明確了對CDN進行安全符合性評測的方法、內(nèi)容、評價原則等，有助于深入檢查企業(yè)是否落實了安全防護要求。

CDN安全防護內(nèi)容

CDN位于內(nèi)容源站與終端用戶之間，主要通過內(nèi)容的分布式存儲和就近服務(wù)提高內(nèi)容分發(fā)的效率，改善互聯(lián)網(wǎng)絡(luò)的擁塞狀況，進而提升服務(wù)質(zhì)量。通常CDN內(nèi)部由請求路由系統(tǒng)、邊緣服務(wù)器、運營管理系統(tǒng)、監(jiān)控系統(tǒng)組成，CDN外部與內(nèi)容源站以及終端用戶相連。CDN是基于開放互聯(lián)網(wǎng)的重疊網(wǎng)，與承載網(wǎng)松耦合。

CDN主要是為互聯(lián)網(wǎng)上的各種業(yè)務(wù)應(yīng)用提供內(nèi)容分發(fā)服務(wù)，以顯著提高互聯(lián)網(wǎng)用戶的訪問速度，所以保障CDN分發(fā)的數(shù)據(jù)內(nèi)容安全和CDN業(yè)務(wù)系統(tǒng)安全至關(guān)重要，保障CDN的基礎(chǔ)設(shè)施安全、管理安全，有效實施災(zāi)難備份及恢復(fù)等也是CDN安全防護應(yīng)該考慮的重要內(nèi)容。因此CDN的安全防護可從數(shù)據(jù)內(nèi)容安全、業(yè)務(wù)系統(tǒng)安全、基礎(chǔ)設(shè)施安全、管理安全、災(zāi)難備份及恢復(fù)幾方面考慮。

（1）CDN數(shù)據(jù)內(nèi)容安全

為保障CDN分發(fā)的數(shù)據(jù)內(nèi)容安全，需要確保CDN與源站數(shù)據(jù)內(nèi)容一致，并進行版權(quán)保護，記錄管理員的操作維護并定期審計，一旦發(fā)現(xiàn)不良信息能夠及時清除，同時提供防御來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊并對源站進行保護的能力。

數(shù)據(jù)一致性：CDN企業(yè)提供對內(nèi)容污染的防御能力，識別和丟棄污染的內(nèi)容，保障重要數(shù)據(jù)內(nèi)容的一致性和完整性；保證CDN平臺內(nèi)部傳輸數(shù)據(jù)的一致性；防止分發(fā)的內(nèi)容被非法引用（即防盜鏈）。

版權(quán)保護：按照源站要求提供內(nèi)容鑒權(quán)、用戶鑒權(quán)、IP地址鑒權(quán)、終端鑒別以及組合鑒權(quán)等方式對源站內(nèi)容進行版權(quán)保護。

安全審計：記錄管理員（含源站管理員和CDN系統(tǒng)內(nèi)部管理員）對CDN系統(tǒng)的管理操作，留存日志記錄并定期審計。

不良信息清除：一旦發(fā)現(xiàn)CDN系統(tǒng)內(nèi)部含不良信息，應(yīng)在內(nèi)容源站或主管部門要求時間內(nèi)，完成全網(wǎng)服務(wù)器屏蔽或清除不良信息。

防攻擊和源站保護：引入CDN后不應(yīng)降低內(nèi)容源站的安全水平，同時CDN在一定程度上提供對內(nèi)容源站的抗攻擊保護。

（2）CDN業(yè)務(wù)系統(tǒng)安全

為保障CDN的業(yè)務(wù)系統(tǒng)安全，需要從結(jié)構(gòu)安全、訪問控制、入侵防范等方面進行安全保護，另外鑒于請求路由系統(tǒng)（即DNS系統(tǒng)）在CDN系統(tǒng)中的重要性以及目前DNS系統(tǒng)存在脆弱性，需要保障請求路由系統(tǒng)的安全。

結(jié)構(gòu)安全：CDN企業(yè)在節(jié)點部署時應(yīng)考慮防范安全攻擊，如為服務(wù)器單節(jié)點服務(wù)能力留出足夠的冗余度、配置實時備份節(jié)點等。

訪問控制：對管理員操作維護進行身份認證并進行最小權(quán)限分配，從IP地址等方面限制訪問。

入侵防范：關(guān)閉不必要的端口和服務(wù)，CDN能夠抵御一定的安全攻擊并快速恢復(fù)。

請求路由系統(tǒng)安全：部署多個內(nèi)部DNS節(jié)點進行冗余備份，并對DNS進行安全配置。

（3）CDN基礎(chǔ)設(shè)施安全

保障CDN的基礎(chǔ)設(shè)施安全，可從主機安全、物理環(huán)境安全、網(wǎng)絡(luò)及安全設(shè)備防護等方面進行保護。

主機安全：企業(yè)對CDN的操作系統(tǒng)和數(shù)據(jù)庫的訪問進行訪問控制，記錄操作并定期進行安全審計；操作系統(tǒng)遵循最小授權(quán)原則，及時更新補丁，防止入侵；對服務(wù)器的CPU、硬盤、內(nèi)存等使用情況進行監(jiān)控，及時處置告警信息。

物理環(huán)境安全：機房應(yīng)選擇合適的地理位置，對機房訪問應(yīng)進行控制，防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、防塵、電磁防護等方面均應(yīng)采取一定的防護措施，并確保電力持續(xù)供應(yīng)。

網(wǎng)絡(luò)及安全設(shè)備防護：IP承載網(wǎng)需要從網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)保護與恢復(fù)、網(wǎng)絡(luò)攻擊防范等方面進行保護。

（4）CDN管理安全

規(guī)范有效的管理對于保障信息系統(tǒng)的安全具有重要作用，可從機構(gòu)、人員、制度等方面進行保障，同時應(yīng)將安全管理措施貫穿系統(tǒng)建設(shè)、系統(tǒng)運維全過程。

機構(gòu)：通過加強崗位設(shè)置、人員配備、授權(quán)審批、溝通合作等形成強有力的安全管理機構(gòu)。

人員：在人員錄用、離崗、考核、安全意識教育和培訓(xùn)、外部人員訪問等環(huán)節(jié)加強對人員的管理。

制度：對重要的安全工作制訂管理制度，確保制度貫徹執(zhí)行，根據(jù)安全形勢的變化和管理需要及時修訂完善安全制度。

安全建設(shè)：在系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購、系統(tǒng)研發(fā)、工程實施、測試驗收、系統(tǒng)交付、選擇安全服務(wù)商等環(huán)節(jié)進行安全管理，分析安全需求、落實安全措施。CDN企業(yè)在新建、改建、擴建CDN時，應(yīng)當同步建設(shè)安全保障設(shè)施，并與主體工程同時驗收和投入運行。安全保障設(shè)施的新建、改建、擴建費用，需納入建設(shè)項目概算。

安全運維：在系統(tǒng)運行維護過程中對物理環(huán)境、介質(zhì)、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、安全監(jiān)測、密碼、備份與恢復(fù)等加強安全管理，提高對惡意代碼防范、安全事件處置、應(yīng)急預(yù)案制訂與演練的管理。

（5）災(zāi)難備份及恢復(fù)

可通過配置足夠的冗余系統(tǒng)、設(shè)備及鏈路，備份數(shù)據(jù)，提高人員和技術(shù)支持能力、運行維護管理能力，制訂完善的災(zāi)難恢復(fù)預(yù)案，提高CDN企業(yè)的抗災(zāi)難和有效恢復(fù)CDN的能力。

冗余系統(tǒng)、設(shè)備及鏈路：運營管理系統(tǒng)、請求路由系統(tǒng)等核心系統(tǒng)應(yīng)具備冗余能力，在多個省份備份，發(fā)生故障后能及時切換；CDN設(shè)備的處理能力應(yīng)有足夠的冗余度；核心系統(tǒng)間的鏈路應(yīng)有冗余備份。

備份數(shù)據(jù)：系統(tǒng)配置數(shù)據(jù)、源站托管數(shù)據(jù)等關(guān)鍵數(shù)據(jù)應(yīng)定期同步備份。

人員和技術(shù)支持能力：應(yīng)為用戶提供7×24小時技術(shù)支持，員工應(yīng)經(jīng)過培訓(xùn)并通過考核才能上崗。

運行維護管理能力：運維人員應(yīng)能及時發(fā)現(xiàn)系統(tǒng)異常事件，在規(guī)定事件內(nèi)上報企業(yè)管理人員、客服人員，做好對客戶的解釋工作。

災(zāi)難恢復(fù)預(yù)案：應(yīng)根據(jù)可能發(fā)生的系統(tǒng)故障情況制訂詳細的災(zāi)難恢復(fù)預(yù)案，組織對預(yù)案的教育、培訓(xùn)和演練。

CDN標準展望

2011年制訂的CDN標準還只是一個嘗試，目前《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護檢測要求》僅對作為第三方對外提供互聯(lián)網(wǎng)內(nèi)容分發(fā)服務(wù)的CDN提出安全防護要求和檢測要求，隨著后續(xù)CDN安全防護工作的深入開展、CDN面臨的安全風險不斷變化，CDN安全防護標準還會不斷修訂完善。

篇(4)

關(guān)鍵詞：校園網(wǎng)；防火墻技術(shù)；網(wǎng)絡(luò)安全

中圖分類號：TP309

因特網(wǎng)逐年普及，各類學(xué)校對于網(wǎng)絡(luò)的使用也更是廣泛，校園網(wǎng)的建設(shè)對于教育教學(xué)具有深遠意義，因而保證其信息安全尤為必要。但是，校園網(wǎng)絡(luò)的安全問題卻著實令人堪憂，其突出的安全問題值得研究分析。所以，基于當前現(xiàn)狀，在校園網(wǎng)絡(luò)中對其安全問題實施防火墻技術(shù)是當前最為普遍的建設(shè)性技術(shù)。保護計算機信息安全，結(jié)合當前計算機安全面臨的主要威脅，當仁不讓的核心技術(shù)就是防火墻技術(shù)，同時，對防火墻技術(shù)現(xiàn)狀的分析研究，對其做出未來的發(fā)展設(shè)想也是很必然的。

1 校園網(wǎng)絡(luò)安全

1.1 校園網(wǎng)絡(luò)的安全需求

校園網(wǎng)對于網(wǎng)絡(luò)安全的需求是很高的，是全面的，通常表現(xiàn)形式為：網(wǎng)絡(luò)安全隔離，網(wǎng)絡(luò)安全漏洞；有害信息過濾等多種多樣。校園網(wǎng)絡(luò)對于其網(wǎng)絡(luò)安全正常可靠運行的需求是很大的，總之，校園中整個網(wǎng)絡(luò)的全面性運行的前提是需要一套科學(xué)合理的方案做支持，方案制定之后繼而合理的實施在網(wǎng)絡(luò)安全上面，這對于分析和研究校園網(wǎng)絡(luò)的安全尤其有必要。與學(xué)校而言，制定一套安全管理方案和設(shè)備配備方案是最科學(xué)的，以此來保證校園整個網(wǎng)絡(luò)的全面安全可靠運行。

1.2 校園網(wǎng)絡(luò)面對的安全威脅

針對校園網(wǎng)絡(luò)的安全威脅，總結(jié)來說，包括冒充合法用戶，病毒與惡意攻擊，非授權(quán)進行信息訪問，或是干擾系統(tǒng)正常運行等。另一方面，對校園網(wǎng)絡(luò)安全性構(gòu)成威脅的還有因特網(wǎng)自身的因素，類似網(wǎng)絡(luò)資源的性質(zhì)，其資源信息良莠不齊，各式各樣，一旦沒有進行過濾篩選就放到網(wǎng)絡(luò)上，一定會造成校園網(wǎng)絡(luò)安全威脅，其中包含的大量流量資源，造成了網(wǎng)絡(luò)堵塞，緩慢不運行的上網(wǎng)速度，大量的非法內(nèi)容出入，并且對于校園生活中的青少年的身心健康造成了極大危害。

2 防火墻技術(shù)概述

2.1 包過濾類型防火墻

防火墻技術(shù)總體來講就是一系列功能不一的軟硬件組合，其功能通常包括存取，控制等，它工作的原理就是在校園網(wǎng)以及因特網(wǎng)之間進行訪問控制策略的設(shè)置，從而決定哪些內(nèi)容可被讀取，哪些內(nèi)容被控制在瀏覽頁之外，如此一來，就保護了校園網(wǎng)絡(luò)內(nèi)部非法用戶非法內(nèi)容的入侵。防火墻技術(shù)的主要目的在于對數(shù)據(jù)組進行控制，只對合法的內(nèi)容加以釋放，過濾掉網(wǎng)絡(luò)雜質(zhì)。

包過濾類型的防火墻技術(shù)工作原理是直接通過轉(zhuǎn)發(fā)報文，工作領(lǐng)域是IP層，這是網(wǎng)絡(luò)的底層，在合適的位置對網(wǎng)絡(luò)數(shù)據(jù)進行有選擇的過濾，有一個形象的稱號稱呼這一防火墻技術(shù)即為“通信警察”。包過濾防火墻對每一個傳入保的基本信息進行瀏覽，進行過濾，一般查詢內(nèi)容都包括源地址、協(xié)議狀態(tài)等，這些基本信息一般性情況下都能對其內(nèi)容做出大致統(tǒng)籌，然后與系統(tǒng)源設(shè)定的信息規(guī)則進行比照，指引可行性信息，攔截網(wǎng)絡(luò)垃圾。

包過濾類型的防火墻其優(yōu)點顯而易見，其選擇性過濾的功效著實對于校園網(wǎng)絡(luò)安全做出了保障，并且，這一類型的防火墻技術(shù)產(chǎn)品通常是廉價的，有效的，安全的，現(xiàn)在學(xué)校一般比較通用，這一手段的運行過程完全透明，并且其運行效率，工作性能也是很高，總體來講，就是指其性價比很是驚人。然而，其必然伴隨著不少的缺陷，尚未達到很完美的境地，類似于包過濾類型的防火墻技術(shù)不能保證絕對的安全性，對于其網(wǎng)絡(luò)欺騙行為不能進行徹底的制止，而且有些協(xié)議的數(shù)據(jù)包壓根不適合被過濾，譬如“RPC”、“X-WINDOW”等。

2.2 服務(wù)器類型防火墻

防火墻技術(shù)的主要特征就是在網(wǎng)絡(luò)周邊建立相關(guān)的監(jiān)控系統(tǒng)，以此來保障網(wǎng)絡(luò)安全，達到網(wǎng)絡(luò)可靠運行的目的，它的工作原理是通過建立一套完整的規(guī)則和系統(tǒng)策略來進行網(wǎng)絡(luò)安全檢測，繼而改變穿過防火墻的數(shù)據(jù)流，來達到保護內(nèi)部網(wǎng)絡(luò)安全的目的。由于校園網(wǎng)絡(luò)與防火墻的工作環(huán)境特別兼容，因而，學(xué)校網(wǎng)絡(luò)實現(xiàn)信息安全的一大重要保障就應(yīng)當是采用實施防火墻技術(shù)。

服務(wù)器類型的防火墻就是基于服務(wù)器，服務(wù)器是一種程序，其主要形式就是客戶處理在服務(wù)器的連接請求。當服務(wù)器接收到客戶的連接意圖時，它將對此請求進行網(wǎng)絡(luò)核實，然后將處理完成的信息進行實質(zhì)性傳遞，呈現(xiàn)在真實的服務(wù)器上，最后對發(fā)出請求的客戶做出應(yīng)答。

基于服務(wù)器類型的防火墻，雖然其安全性能很高，但是它對于用戶而言是封閉的，不透明的，工作時有很大的工作量，對于真實服務(wù)器的要求較高，另外，服務(wù)器通常是需要身份驗證或者是注冊的，這樣一來，就必然會影響到期工作的速度。所以，針對這一缺陷，基于服務(wù)器類型的防火墻不太適合于高速下的網(wǎng)絡(luò)監(jiān)控。總之，防火墻對于網(wǎng)絡(luò)安全性是有很大的提高作用的，并不能絕對的根除網(wǎng)絡(luò)安全問題，除此以外，對于網(wǎng)絡(luò)內(nèi)部自身攻擊或是病毒很難防御。要想保證網(wǎng)絡(luò)徹底安全，防火墻技術(shù)是核心，且需要輔以其他精準措施。

3 校園網(wǎng)絡(luò)安全方案及優(yōu)缺點

3.1 專用的硬件防火墻設(shè)備

專用的硬件防火墻設(shè)備是以最先進的網(wǎng)絡(luò)技術(shù)和安全技術(shù)為基礎(chǔ)的，這一類型的防火墻速度極快，將校園內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)做出了極其有效的隔離。通過網(wǎng)絡(luò)控制，校園內(nèi)部網(wǎng)絡(luò)被允許上網(wǎng)，而校園外的網(wǎng)絡(luò)用戶就被隔離，不能直接進行網(wǎng)絡(luò)訪問，當然，也會有其他的網(wǎng)絡(luò)瀏覽方式，類似加密然后授權(quán)等，這必然有效的保護了校園網(wǎng)絡(luò)的安全性。這一方案的防火墻，其特點就是基于硬件，并與路由器做“合體”技術(shù)，路由器購置中，便自動植入了防火墻設(shè)備，以此在很大程度上保證了網(wǎng)絡(luò)安全。但是，盡管這一設(shè)備安全，快速，但是如此專業(yè)的軟硬件一體設(shè)備，其價格自然可想而知，非常昂貴。

3.2 服務(wù)器及相關(guān)防火墻軟件

服務(wù)器及相關(guān)的防火墻軟件也能夠?qū)崿F(xiàn)硬件防火墻的基本功能。采用“UNIX系統(tǒng)”以及該系統(tǒng)內(nèi)部內(nèi)核自帶的IP地址，當然也包括其中的防火墻軟件，能夠很好的實現(xiàn)硬件防火墻的基本功能。由于當下Windows 2000或是其他的操作系統(tǒng)自身存在著很多的漏洞，致使其對于IP地址的支持能力極為有限，存在著很大的局限性，對于病毒感染，或是漏洞頻出的現(xiàn)象不能很好的避免，所以對于這一安全方案，在服務(wù)器的選擇上盡量避免Windows 2000。服務(wù)器常年運行，若要保證校園網(wǎng)絡(luò)安全，其所有的出口流量等全都需要經(jīng)過這一服務(wù)器，所以方案設(shè)備配置時，一個性能高的，經(jīng)久耐用的專用服務(wù)器就顯得尤為重要了，以此加強其工作穩(wěn)定性。這一配備的投資較為節(jié)省，而且性能很好，很大程度上保證了園網(wǎng)絡(luò)安全。因而，針對以上兩種方案，學(xué)校對投資校園網(wǎng)絡(luò)建設(shè)時，結(jié)合財力，性能，需求等多種因素進行防火墻方案選擇。

4 結(jié)束語

因特網(wǎng)的迅猛發(fā)展，必然伴隨著網(wǎng)絡(luò)攻擊手段的不斷跟進，保護其安全就顯得尤為迫切，防火墻技術(shù)已經(jīng)基本能夠滿足計算機使用者對于其信息安全的需求，但是防火墻技術(shù)作為網(wǎng)絡(luò)信息安全的核心技術(shù)，它值得深入研究的課題以及項目還是很多，譬如如何對防火墻技術(shù)進行危險系數(shù)的評估等技術(shù)尚需得到研究開發(fā)，總之，防火墻技術(shù)為計算機尤其是校園網(wǎng)絡(luò)技術(shù)做出了巨大貢獻。

參考文獻：

[1]李欣.高校校園網(wǎng)絡(luò)安全探索[J].中國現(xiàn)代教育裝備，2012（10）：45-46.

[2]唐震.校園網(wǎng)絡(luò)安全管理技術(shù)研究[J].硅谷，2013（08）：33-34.

篇(5)

實現(xiàn)系統(tǒng)安全風險的全面識別，才能采取有效安全防范策略?；谶@種認識，本文對層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法進行了分析，以期為關(guān)注網(wǎng)絡(luò)安全評估話題的人們提供參考。

【關(guān)鍵詞】

層次化網(wǎng)絡(luò)；安全威脅態(tài)勢；量化評估方法

引言

從服務(wù)和主機重要性角度出發(fā)對網(wǎng)絡(luò)安全態(tài)勢展開量化評估，將能提供直觀安全威脅態(tài)勢分析圖，從而在降低網(wǎng)絡(luò)安全管理人員的工作量的同時，為管理人員制定有針對性的安全策略提供科學(xué)依據(jù)。因此，相關(guān)人員還應(yīng)該加強該種網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法的研究，以便更好的開展相關(guān)工作。

1網(wǎng)絡(luò)安全威脅態(tài)勢量化評估研究

所謂的網(wǎng)絡(luò)態(tài)勢，其實就是各種網(wǎng)絡(luò)裝備的運行狀況，是整個網(wǎng)絡(luò)當前狀態(tài)和變化趨勢。在用戶行為和網(wǎng)絡(luò)行為發(fā)生變化的情況下，網(wǎng)絡(luò)態(tài)勢則會隨之變化。而網(wǎng)絡(luò)安全態(tài)勢則是網(wǎng)絡(luò)安全狀態(tài)的變化趨勢，對其展開評估需要通過大范圍網(wǎng)絡(luò)監(jiān)控完成大量網(wǎng)絡(luò)安全信息的收集。自計算機出現(xiàn)以來，網(wǎng)絡(luò)安全問題就一直存在，不僅將威脅個人權(quán)益，還將威脅國家安全。對網(wǎng)絡(luò)安全進行評估，則有利于加強網(wǎng)絡(luò)安全管理。目前，國內(nèi)在網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方面使用的指標比較片面，獲得信息的途徑也較為單一，很難滿足實際需求。在網(wǎng)絡(luò)空間狀態(tài)意識框架建立上，未能完成圓形系統(tǒng)構(gòu)建，以至于較難實現(xiàn)有效評估網(wǎng)絡(luò)空間安全性的目標。得到廣泛使用的評估方法則為SSARE，可以檢測計算機攻擊狀態(tài)及呈現(xiàn)出的態(tài)勢[1]。而利用IDS日志庫開展取樣分析工作，則能加深對主機了解，從而完成層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估體系的建立，繼而從網(wǎng)絡(luò)、主機和服務(wù)多方面完成評估。

2網(wǎng)絡(luò)安全威脅態(tài)勢量化的評估方法

2.1評估模型

按照網(wǎng)絡(luò)拓撲結(jié)構(gòu)和規(guī)模，可以將網(wǎng)絡(luò)系統(tǒng)劃分為網(wǎng)絡(luò)、主機和服務(wù)三個層次，而網(wǎng)絡(luò)攻擊多針對主機提供的特定服務(wù)。根據(jù)這一特點，可以采取“自下而上”、“先局部后整體”和“橫向關(guān)聯(lián)”的策略開展網(wǎng)絡(luò)安全威脅態(tài)勢量化評估工作。采取該策略建立評估模型，可以IDS報警和漏洞掃描結(jié)果為原始數(shù)據(jù)，然后在服務(wù)層完成單次攻擊對信息安全造成的威脅的評估。通過對威脅的嚴重程度進行評估，則能夠完成量化分析。而DoS類攻擊主要會在主機層造成危害，該層別態(tài)勢由攻擊對信息和服務(wù)造成的威脅嚴重程度，需要分別結(jié)合單臺主機上攻擊路徑和給服務(wù)可用性造成的影響展開評估。完成各主機層態(tài)勢量化評估后，則可以通過計算態(tài)勢指數(shù)加權(quán)和完成網(wǎng)絡(luò)層態(tài)勢指數(shù)的計算。在這一過程中，需要對每個主機服務(wù)潛在的威脅展開全面分析，并對威脅攻擊的損失程度、網(wǎng)絡(luò)寬帶占用的數(shù)據(jù)和可能發(fā)起的攻擊次數(shù)等內(nèi)容展開分析，以便完成主機系統(tǒng)安全性的綜合評定。

2.2定量分析

對于層次化網(wǎng)絡(luò)來講，網(wǎng)絡(luò)服務(wù)造成的威脅將成為影響網(wǎng)絡(luò)的重要因素。其中，威脅程度、嚴重后果和服務(wù)訪問量都會對網(wǎng)絡(luò)服務(wù)構(gòu)成威脅。因為，受攻擊時間的影響，服務(wù)訪問量會產(chǎn)生一定差異性。所以在計算時，需要對時間窗口進行分析，并對具體某個時刻的服務(wù)威脅指數(shù)進行計算。在計算過程中，需完成時間段劃分。具體來講，就是將網(wǎng)絡(luò)時間劃分為晚上12點到8點、上午8點到6點、下午6點到晚上12點三個時間段，然后以各時間段的訪問量平均值為依據(jù)對正常訪問量向量進行賦值，即利用1、2、3、4、5分別代表超低級、低級、中級、高級、超高級這四個級別的訪問量。對原始數(shù)據(jù)進行歸一化處理后，則能夠得到正常訪問量向量值[2]。在此基礎(chǔ)上，需要按照攻擊事件嚴重程度開展一系列調(diào)查，以確定威脅指數(shù)的有效性，確保評估結(jié)果符合合理性標準。從有關(guān)研究來看，嚴重程度分別為1和2的分別發(fā)生100次和10次攻擊，可以獲得一致的威脅指數(shù)。所以在計算威脅指數(shù)時，應(yīng)增加攻擊嚴重程度，以免威脅指數(shù)計算結(jié)果因特殊狀態(tài)而與現(xiàn)實之間出現(xiàn)偏差。

2.3參數(shù)確定

在對各層次的威脅指數(shù)進行計算時，需要對各層次的威脅程度指數(shù)、重要性權(quán)重和網(wǎng)絡(luò)寬帶占有率進行確定。確定威脅程度指數(shù)，可以將報警日志中的無效攻擊嘗試排除在外，從而使評估更加準確。因為，考慮無效攻擊嘗試，將導(dǎo)致成功攻擊次數(shù)減少，從而導(dǎo)致攻擊威脅指數(shù)減小。對網(wǎng)絡(luò)寬帶占有量進行測定，則可以為攻擊次數(shù)的威脅分析提供依據(jù)，因為有效攻擊將通過消耗網(wǎng)絡(luò)寬帶導(dǎo)致網(wǎng)絡(luò)拒絕服務(wù)[3]。此外，還要通過評估服務(wù)器上數(shù)據(jù)動態(tài)、量變和人為因素進行服務(wù)和主機重要性權(quán)重的確定。

3結(jié)論

使用層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法，可以從多個層次直觀反映網(wǎng)絡(luò)安全威脅態(tài)勢，所以能夠幫助網(wǎng)絡(luò)管理人員更好掌握網(wǎng)絡(luò)安全動態(tài)，并制定有針對性的安全策略。

作者：李智勇 單位：吉林省人力資源和社會保障信息管理中心

參考文獻

[1]陳鋒，劉德輝，張怡，等.基于威脅傳播模型的層次化網(wǎng)絡(luò)安全評估方法[J].計算機研究與發(fā)展，2011，06：945~954.

篇(6)

【關(guān)鍵詞】校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防范體系

【中圖分類號】G40-057　【文獻標識碼】B　【論文編號】1009―8097(2011)11―0066－05

引言

隨著國內(nèi)高校新一輪信息化建設(shè)的不斷深入，高校校園網(wǎng)規(guī)模越來越大，承載的應(yīng)用系統(tǒng)越來越多，校園網(wǎng)絡(luò)的結(jié)構(gòu)也變得越來越龐大和復(fù)雜。隨著人才培養(yǎng)、科學(xué)研究等各項工作對校園網(wǎng)的依賴性不斷增加，校園網(wǎng)及各類應(yīng)用系統(tǒng)的服務(wù)質(zhì)量也應(yīng)不斷提高標準和要求，作為一個使用成熟技術(shù)和成熟設(shè)備的園區(qū)網(wǎng)絡(luò)，網(wǎng)絡(luò)安全是影響網(wǎng)絡(luò)服務(wù)質(zhì)量的重要因素。

但目前各高校的校園網(wǎng)“重建設(shè)，輕管理”的現(xiàn)象仍然十分普遍。在社會信息化發(fā)展的大潮中，各高校都已清楚地認識到校園網(wǎng)在學(xué)校各項工作中的基礎(chǔ)地位，因此在校園網(wǎng)硬軟件系統(tǒng)建設(shè)上進行了大量的投入，而正是硬件和軟件系統(tǒng)的大規(guī)模快速增長，使得對網(wǎng)絡(luò)的管理難以跟上建設(shè)的步伐，而網(wǎng)絡(luò)管理是軟性的工作，是不能夠通過統(tǒng)計報表看得出問題或成績的，因此網(wǎng)絡(luò)管理工作很難引起學(xué)校領(lǐng)導(dǎo)的重視。但在實際工作中，相對滯后的網(wǎng)絡(luò)管理會導(dǎo)致網(wǎng)絡(luò)安全問題的頻頻發(fā)生，反言之，網(wǎng)絡(luò)安全防范也是網(wǎng)絡(luò)管理的重要內(nèi)容。

本文根據(jù)目前高校校園網(wǎng)絡(luò)存在的安全隱患來分析其成因，并在實際工作經(jīng)驗的基礎(chǔ)上提出構(gòu)建一套基于分層控制的“IAAPNS”網(wǎng)絡(luò)安全防范體系，自底向上、由內(nèi)到外、從技術(shù)到管理層面排查高校校園網(wǎng)絡(luò)中潛在的安全威脅并給出防護建議。

一　高校校園網(wǎng)絡(luò)的安全隱患及成因

目前高校校園網(wǎng)絡(luò)的主干網(wǎng)都是基于TCP／IP協(xié)議的以太網(wǎng)，與其他類型的Intranet網(wǎng)絡(luò)相比有其自身的特點，相應(yīng)的安全隱患也就有其特定的成因。目前國內(nèi)高校校園網(wǎng)絡(luò)普遍存在的安全隱患和漏洞主要來自以下幾個方面：

1　校園面積廣闊，網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理困難

經(jīng)過兼并和擴張，高校的校區(qū)面積動輒上千畝、幾千畝，許多高校還有地域上獨立的新老校區(qū)，作為樓宇間連線的光纖布線遍布校區(qū)各處，而且往往跟其他強電或弱電線纜共用走線溝槽。對這些光纖的管理要涉及基建、后勤等多個部門，需要協(xié)調(diào)的工作也很繁雜，如果缺少一個明確的安全管理體系，就不容易分清工作界限，在出現(xiàn)突發(fā)故障后往往互相推諉，導(dǎo)致難以在短時間內(nèi)恢復(fù)網(wǎng)絡(luò)暢通。

另外一方面，校園內(nèi)樓宇繁多，樓字里每幾層都會有樓層網(wǎng)絡(luò)設(shè)備間放置匯聚層或接入層網(wǎng)絡(luò)設(shè)備，這些設(shè)備間的數(shù)量眾多，但往往安全防范措施簡易，門鎖形同虛設(shè)，甚至有些設(shè)備間連門都沒有，極易出現(xiàn)人為破壞或私拉亂接網(wǎng)線的情況，嚴重影響網(wǎng)絡(luò)的運行安全。除此以外，雷擊等外界原因也容易造成對網(wǎng)絡(luò)設(shè)備的破壞。

2　網(wǎng)絡(luò)設(shè)備種類繁多，不利于統(tǒng)一管理

校園網(wǎng)的建設(shè)一般是分批建設(shè)，不同批次、不同層次的網(wǎng)絡(luò)設(shè)備使用的規(guī)格、品牌往往不盡相同，而這些網(wǎng)絡(luò)設(shè)備的管理軟件大多都是基于私有MIB庫進行開發(fā)，這就造成了很難有一套統(tǒng)一的全網(wǎng)管理軟件。病毒或黑客對網(wǎng)絡(luò)設(shè)備進行攻擊時，就很難在第一時間發(fā)現(xiàn)和應(yīng)對，常常是在設(shè)備癱瘓之后才意識到出現(xiàn)了問題、進行緊急恢復(fù)。

3　網(wǎng)絡(luò)終端數(shù)量眾多，安全措施薄弱

一般高校的學(xué)生人數(shù)都是以萬計，教師以干計，密集的用戶群意味著網(wǎng)絡(luò)終端的數(shù)量巨大，絕大多數(shù)網(wǎng)絡(luò)終端以計算機為主，隨著無線的普及，智能手機和平板電腦也成為重要的網(wǎng)絡(luò)終端設(shè)備。數(shù)量眾多的用戶使用計算機或手機的技術(shù)水平差異很大，尤其是文科專業(yè)的師生對計算機的使用掌握得并不熟練，未裝防火墻和殺毒軟件的計算機比比皆是。而高校校園網(wǎng)只要一處出現(xiàn)漏洞，整個網(wǎng)絡(luò)就無安全可言。近年來智能手機上也出現(xiàn)了不少的病毒和木馬程序，智能手機的系統(tǒng)安全問題正變得日益嚴重。

4　系統(tǒng)軟件本身并不安全

在目前的校園網(wǎng)環(huán)境中，個人終端裝機占有率最高的仍然是Windows操作系統(tǒng)，由于使用面廣，研究其漏洞的人也就更多，不少黑客都是利用其系統(tǒng)漏洞侵入用戶的計算機，再以這些被控制的計算機作為跳板，攻擊整個網(wǎng)絡(luò)。

與個人計算機相比，服務(wù)器操作系統(tǒng)漏洞更具有災(zāi)難性。服務(wù)器的操作系統(tǒng)種類較多，除Windows之外還有Linux、Solaris等Unix系列的操作系統(tǒng)，而高校網(wǎng)絡(luò)管理人才隊伍中，對此類操作系統(tǒng)熟悉的人員比例不高，包括打補丁、差錯、優(yōu)化在內(nèi)的各種操作系統(tǒng)管理手段很難周全到位。除了操作系統(tǒng)本身，其上所運行的各類服務(wù)軟件(如IIS、Tomc~等)也存在安全漏洞問題，需要管理人員投入大量的精力進行研究和學(xué)習(xí)。

5　應(yīng)用系統(tǒng)的安全漏洞

由于建設(shè)成本的考慮，高校的網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供商的層次差異很大，有些就是自行組織教師或?qū)W生進行開發(fā)，缺少軟件開發(fā)過程中各個層次的安全規(guī)劃設(shè)計與實現(xiàn)，使得應(yīng)用系統(tǒng)層面的漏洞層出不窮，這些漏洞很容易成為黑客攻擊最直接的目標。還有些高校在建立Web網(wǎng)站時使用了開源程序，這類系統(tǒng)的漏洞更是容易被利用，甚至不懂黑客原理的用戶經(jīng)過幾分鐘的學(xué)習(xí)便可以掌握攻擊方法。

二　高校校園網(wǎng)絡(luò)的安全防范體系

由此可見，形成高校校園網(wǎng)絡(luò)安全隱患的原因是多層次的，也是相互關(guān)聯(lián)的，但目前各高校的網(wǎng)絡(luò)管理部門往往采用的是“頭痛醫(yī)頭、腳痛醫(yī)腳”的“救火式”解決辦法，只從某個方面或某個層次來應(yīng)對。網(wǎng)絡(luò)管理人員每天都在疲于解決各種突發(fā)性的網(wǎng)絡(luò)安全事故，但問題還是與日俱增，網(wǎng)絡(luò)服務(wù)質(zhì)量和用戶滿意度仍然處于較低的水平，這種“費力不討好”的現(xiàn)象迫使我們?nèi)ニ伎几玫慕鉀Q方案。

為此，針對目前高校校園網(wǎng)絡(luò)的安全現(xiàn)狀和威脅，結(jié)合實際工作經(jīng)驗，我們運用系統(tǒng)論的分析方法，提出構(gòu)建一套名為“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security，網(wǎng)絡(luò)安全集成關(guān)聯(lián)架構(gòu)策略，同時也是體系中六個層次的英語詞組首字母組合)的網(wǎng)絡(luò)安全防范體系，為高校校園網(wǎng)絡(luò)安全提供一套完整的解決方案，以求由點到面、由“標”到“本”地系統(tǒng)地解決校園網(wǎng)絡(luò)的安全問題。該體系從六個層次和角度來闡述網(wǎng)絡(luò)安全的內(nèi)容，并分析每個層次可能存在的隱患以及相應(yīng)的應(yīng)對策略，其中自底向上的五個層次分別是物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和信息安全，管理安全則融合、穿插于這五個層次之中。整個安全體系的示意圖如圖l所示。

該體系將現(xiàn)行的高校校園網(wǎng)絡(luò)安全性劃分為5個橫向?qū)哟魏?個縱向?qū)哟?，?個橫向?qū)哟沃校畹讓拥奈锢戆踩腔A(chǔ)，網(wǎng)絡(luò)安全是關(guān)鍵，系統(tǒng)安全、應(yīng)用安全、信息安全是重點，管理安全是保障。下面分別對六個層次的內(nèi)容、隱患來源以及應(yīng)對措施進行詳細闡述。

1　物理安全(Physical Security)

物理安全，主要工作是防止物理通路的損壞、竊聽和對物理通路的攻擊(干擾等)。保證高校校園網(wǎng)絡(luò)和信息系統(tǒng)各種設(shè)備的物理安全是網(wǎng)絡(luò)整體安全的前提，通常包括環(huán)境安全(系統(tǒng)所在環(huán)境的安全保護)、設(shè)備安全和媒體安全三個部分?？垢蓴_、防竊聽是物理安全措施制定的重點。目前，物理實體的安全管理已有大量標準和規(guī)范，如GB9361-88《計算機場地安全要求》、GFB2887-88《計算機場地技術(shù)條件》、GB50173-93《電子計算機機房設(shè)計規(guī)范》等。

這一層次的安全威脅主要包括自然威脅和人為破壞等方面。自然威脅可能來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無目的離散事件有時會直接或間接地威脅網(wǎng)絡(luò)的安全，影響信息的存儲和交換。人為破壞則主要來自于高校校園網(wǎng)周邊內(nèi)外的人為性的損壞，這些損壞有時是主觀故意的(如學(xué)生發(fā)泄對網(wǎng)絡(luò)服務(wù)質(zhì)量的不滿而對網(wǎng)絡(luò)設(shè)備或線路進行故意損壞)，有時是客觀意外的(如園區(qū)周邊建筑施工導(dǎo)致挖斷網(wǎng)絡(luò)線路)。

面對以上威脅，為保證網(wǎng)絡(luò)的正常運行，在物理安全層次上應(yīng)重點考慮兩個方面：

(1)校園網(wǎng)規(guī)劃、設(shè)計、建設(shè)時將物理安全作為重點工作對待，適當提高安全標準，為網(wǎng)絡(luò)設(shè)備或線路搭建防護設(shè)施、建立安全控制區(qū)域，盡量降低自然威脅可能帶來的風險。

(2)加強巡查，將重點網(wǎng)絡(luò)設(shè)備或線路所在地定為安全巡邏必到點，定期安排保衛(wèi)人員在巡邏時查看網(wǎng)絡(luò)設(shè)備或線路的外觀和運行狀態(tài)(如各種狀態(tài)指示燈是否正常等)，降低人為破壞的幾率。

2　網(wǎng)絡(luò)安全(Network Security)

網(wǎng)絡(luò)安全主要包括鏈路安全、傳輸安全和網(wǎng)絡(luò)訪問安全三個部分。鏈路安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽，主要針對共用信道的傳輸安全；傳輸安全需要保證信息的完整性、機密性、不可抵賴性和可用性等；網(wǎng)絡(luò)訪問安全需要保證網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)訪問控制、漏洞掃描、網(wǎng)絡(luò)監(jiān)控與入侵檢測等。

這一層次的安全威脅主要包括：

(1)通信鏈路上的竊聽、篡改、重放、流量分析等攻擊。

(2)網(wǎng)絡(luò)架構(gòu)設(shè)計問題、錯誤的路由配置、網(wǎng)絡(luò)設(shè)備與主機的漏洞、病毒等。

相應(yīng)地應(yīng)對措施主要有：

(1)在局域網(wǎng)內(nèi)可以采用劃分VLAN(虛擬局域網(wǎng))來對物理和邏輯網(wǎng)段進行有效的分割和隔離，消除不同安全級別邏輯網(wǎng)段間的竊聽可能；若是遠程網(wǎng)，可以采用鏈路加密等手段。

(2)加強網(wǎng)絡(luò)邊界的訪問控制。對于有明顯安全等級差別的網(wǎng)絡(luò)區(qū)域盡量增加防火墻設(shè)備進行隔離。如在校園內(nèi)網(wǎng)、服務(wù)器區(qū)域之間設(shè)置防火墻；校園網(wǎng)出口處、與Intemet之間設(shè)置防火墻。

(3)在交換機上啟用DHCP-Snooping技術(shù)，使任何接入校園網(wǎng)的計算機只能動態(tài)獲得IP地址，同時杜絕未經(jīng)批準建立的網(wǎng)站通過私自手工設(shè)置靜態(tài)IP地址來架設(shè)服務(wù)器。

(4)使用IDS(入侵檢測系統(tǒng))。入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實時入侵檢測能力之所以重要首先它能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠阻止攻擊者的入侵。當檢測到有網(wǎng)絡(luò)攻擊或入侵時，可以實時發(fā)出報警，并詳細保存相關(guān)證據(jù)，以便用于追查或系統(tǒng)恢復(fù)。

(5)對網(wǎng)絡(luò)安全進行定期檢測，以實現(xiàn)安全的持續(xù)性?？梢岳寐┒磼呙桀惖墓ぞ哕浖ㄆ趯ο到y(tǒng)進行掃描，根據(jù)掃描結(jié)果進行安全性評估，通過評估報告指出系統(tǒng)存在的安全漏洞，組織專家討論后給出補救措施和安全策略。

(6)建立網(wǎng)絡(luò)防病毒系統(tǒng)。在校園網(wǎng)中部署網(wǎng)絡(luò)版的防病毒系統(tǒng)，統(tǒng)一管理服務(wù)器和各類網(wǎng)絡(luò)終端的防毒軟件，定時自動升級與維護，以保護全網(wǎng)不被病毒侵害。通過對網(wǎng)絡(luò)中的病毒掃描集中控制，建立各種定時任務(wù)，統(tǒng)一集中觸發(fā)，然后由各被管理機器運行，同時可對日志文件的各種格式進行控制。在管理服務(wù)器上建立了集中的病毒分發(fā)報告、各被管機器的病毒掃描報告、所安裝軟件的版本等報告，所有病毒掃描狀態(tài)信息都可由控制臺得到。

3　系統(tǒng)安全(System Security)

系統(tǒng)安全即運行在網(wǎng)絡(luò)上的服務(wù)器、交換機、路由器、客戶端主機等具有完整網(wǎng)絡(luò)操作系統(tǒng)的設(shè)備的操作系統(tǒng)的安全。這一層次的安全威脅主要來自因操作系統(tǒng)本身的設(shè)計缺陷被攻擊者利用從而引發(fā)的后果。對于高校校園網(wǎng)絡(luò)而言，半數(shù)以上的攻擊往往屬于這一層次。這一層次的主要應(yīng)對措施主要有：

(1)更新操作系統(tǒng)、安裝補丁程序。任何操作系統(tǒng)都有漏洞，因此，系統(tǒng)管理員的主要工作內(nèi)容之一就是監(jiān)控運行在網(wǎng)絡(luò)上的各類設(shè)備的狀態(tài)，發(fā)現(xiàn)異常應(yīng)當及時解決、排除故障。對于交換機、路由器等設(shè)備而言，主要是更新操作系統(tǒng)的版本，這一類設(shè)備主要用于數(shù)據(jù)交換，因此其內(nèi)置固化的操作系統(tǒng)往往功能簡單、體積很小，廠商的常規(guī)做法是新版本的系統(tǒng)，因此只需直接刷新即可。對于服務(wù)器、客戶端主機等設(shè)備，因其主要是用于數(shù)據(jù)處理，操作系統(tǒng)功能復(fù)雜、體積龐大，廠商通常是一些補丁程序來進行更新，因此直接安裝即可。

(2)優(yōu)化系統(tǒng)?，F(xiàn)代操作系統(tǒng)往往是多功能、多模塊、多組件的，可能一項系統(tǒng)設(shè)置可能會影響多個功能，也可能多個選項來共同作用于一個功能。因此，對操作系統(tǒng)進行優(yōu)化是一項非常必要的工作，甚至個別系統(tǒng)的個別選項如果不加以優(yōu)化可能會被攻擊者利用，從而產(chǎn)生威脅。實際當中包括關(guān)閉不需要的服務(wù)和端口并建立監(jiān)測日志等。

(3)實行“最小授權(quán)”原則，分配正確和合適的權(quán)限。僅僅保持系統(tǒng)的版本最新、并做了優(yōu)化是不夠的，試想如果網(wǎng)絡(luò)上的設(shè)備被設(shè)置了“123456”這樣的密碼，而且使用這個密碼登錄后還是最高權(quán)限的系統(tǒng)用戶帳號，那么整套網(wǎng)絡(luò)和信息系統(tǒng)的危險可想而知。實行“最小授權(quán)”原則(網(wǎng)絡(luò)中的帳號設(shè)置、服務(wù)配置、主機間信任關(guān)系配置等為網(wǎng)絡(luò)正常運行所需的最小限度)，關(guān)閉網(wǎng)絡(luò)安全策略中沒有定義的網(wǎng)絡(luò)服務(wù)并將用戶的權(quán)限配置為策略定義的最小限度、及時刪除不必要的帳號等措施可以將系統(tǒng)的危險大大降低。例如，根據(jù)需要設(shè)置帳號和權(quán)限，并為帳號設(shè)置強密碼策略是必須完成的工作，如至少應(yīng)該在8位以上，而且不要設(shè)置成容易猜測的密碼，并強制用戶每個月更改一次密碼等等。

(4)及時查殺服務(wù)器系統(tǒng)中的病毒、木馬和后門程序。

4　應(yīng)用安全(Application Security)

應(yīng)用安全主要是針對網(wǎng)絡(luò)中提供的各種功能和服務(wù)而提出的，例如Web服務(wù)：E-Mail服務(wù)、數(shù)據(jù)庫服務(wù)、各種業(yè)務(wù)系統(tǒng)、各種信息系統(tǒng)等等。應(yīng)用安全的威脅主要有：應(yīng)用系統(tǒng)缺陷、非法入侵等。這一層次的主要應(yīng)對措施有：

(1)及時升級和更新各應(yīng)用軟件和信息系統(tǒng)，降低因軟件設(shè)計缺陷引起的風險。若應(yīng)用軟件或業(yè)務(wù)系統(tǒng)是高校自行開發(fā)，系統(tǒng)的使用部門(往往是業(yè)務(wù)部門)應(yīng)聯(lián)系開發(fā)人員及時跟進，發(fā)現(xiàn)漏洞及時修補。

(2)對應(yīng)用軟件和信息系統(tǒng)實行身份認證和安全審計。

與系統(tǒng)安全類似，應(yīng)用軟件和信息系統(tǒng)也應(yīng)對使用者進行分類、分配權(quán)限、認證身份并審計各種操作。例如可以按照需要在高校校園網(wǎng)內(nèi)部建立基于PKI的身份認證體系(有條件還可以建立基于PMI的授權(quán)管理體系)，實現(xiàn)增強型身份認證，并為實現(xiàn)內(nèi)容完整性和不可抵賴性提供支持。在身份認證機制上還可以考慮采用IC卡、USB-Key、一次性口令、指紋識別器、虹膜識別器等輔助硬件實現(xiàn)雙因子或多因子的身份認證功能。同時，還應(yīng)特別注意對移動用戶撥入的身份認證和授權(quán)訪問控制。

5　信息安全(Information Security)

信息安全注重的是網(wǎng)絡(luò)上各類數(shù)據(jù)、信息的內(nèi)容安全。這一層次可能的威脅和相應(yīng)的應(yīng)對措施有：

(1)植入惡意代碼或其他有害信息。一部分攻擊者經(jīng)常采用的攻擊方法是掃描網(wǎng)段找到有漏洞的主機，接著使用黑客軟件或攻擊程序進行刺探，在獲得系統(tǒng)權(quán)限后將惡意代碼植入到在該主機上運行的各應(yīng)用軟件或信息系統(tǒng)中，待其他用戶正常使用時發(fā)作，或修改頁面的內(nèi)容造成不良影響。針對這種情況，可以部署網(wǎng)頁防篡改系統(tǒng)，減少Web站點的內(nèi)容被惡意更改植入惡意代碼或其他有害信息。

(2)垃圾郵件和病毒的傳播。目前，電子郵件已經(jīng)成為垃圾信息和病毒的主要傳播途徑之一，采用垃圾郵件網(wǎng)關(guān)并部署電子郵件反病毒模塊能夠在一定程度上減輕危害，缺點是垃圾郵件識別模塊和反病毒模塊需要經(jīng)常性升級，在查殺和攔截上有一定的滯后性。

(3)負面輿論導(dǎo)向。高校歷來是思想碰撞的場所，網(wǎng)絡(luò)作為新興載體己經(jīng)發(fā)揮著越來越大的作用，因此，輿情監(jiān)督和正面輿論導(dǎo)向?qū)⒅饾u成為高校信息安全的重點工作內(nèi)容。除了采取技術(shù)手段進行監(jiān)督管理外，高校的信息化管理部門還應(yīng)與宣傳部門一道培養(yǎng)輿論導(dǎo)向的專業(yè)人員或?qū)W生，主動將信息安全的風險降到最低。

6　管理安全(Administration Security)

目前，部分高校的網(wǎng)絡(luò)管理人員及其用戶的安全意識總的來說較為淡薄，且大多數(shù)高校的網(wǎng)絡(luò)管理制度不完善、管理技術(shù)落后、管理機構(gòu)不健全。上述因素不僅使得校園網(wǎng)絡(luò)性能下降、運行成本提高，而且還會造成大量非正常訪問，導(dǎo)致整個網(wǎng)絡(luò)資源浪費，帶來極大的安全隱患，使得網(wǎng)絡(luò)受到攻擊的概率大幅提高。

管理安全是整個防范體系的主線和基礎(chǔ)，貫穿于整個體系的始終。如果僅有安全技術(shù)方面的防范，而無配套的安全管理體系，也難以保障網(wǎng)絡(luò)安全的。必須制訂相應(yīng)的安全管理制度，對安全技術(shù)的實施落實到具體的執(zhí)行者和執(zhí)行程度。

網(wǎng)絡(luò)安全工作可以說是一項群體性的工作，網(wǎng)絡(luò)用戶的安全意識是網(wǎng)絡(luò)安全的決定因素，對校園網(wǎng)絡(luò)用戶安全意識的教育是安全防范體系中至關(guān)重要的環(huán)節(jié)，是形成高校校園網(wǎng)絡(luò)安全體系的基礎(chǔ)。尤其是在病毒泛濫的大環(huán)境下，需要通過定期培訓(xùn)、及時通過各種手段病毒預(yù)警通知、監(jiān)督和促使用戶盡快打補丁等方法，達到增強師生用戶的安全意識，提高必要的安全防范技能的目的。

以上便是我們提出的網(wǎng)絡(luò)安全防護體系的六個層次，除管理安全層次外，其余五層與TCP／IP協(xié)議的層次類似，上一層的安全是建立在其下一層的安全基礎(chǔ)之上，下一層的安全是上一層安全的重要保障，層次之間環(huán)環(huán)相扣，不留安全死角。

本體系中的六個層次也基本涵蓋了高校網(wǎng)絡(luò)管理工作的方方面面，將網(wǎng)絡(luò)安全工作的思路分層次清晰化，具有極強的實用價值和指導(dǎo)作用。

三　應(yīng)用效果

重慶理工大學(xué)從2001年開始大規(guī)模建設(shè)校園網(wǎng)絡(luò)，2003年開始建設(shè)數(shù)字化校園系統(tǒng)。校園網(wǎng)按照核心層、匯聚層和接入層三個層次進行規(guī)劃設(shè)計，共有各類網(wǎng)絡(luò)設(shè)備600多臺，接入信息點18000個，活躍用戶大約2萬人，各類服務(wù)器40多臺，安裝有Windows、Linux和Solaris等操作系統(tǒng)，數(shù)據(jù)庫以O(shè)racle和SQL Server為主。數(shù)字化校園系統(tǒng)覆蓋辦公、教務(wù)、學(xué)工、人事、財務(wù)、后勤等各個方面的工作，共計有各類系統(tǒng)模塊80余個。在大規(guī)模的硬件和軟件系統(tǒng)建設(shè)前期，缺乏對網(wǎng)絡(luò)安全的系統(tǒng)認識，在遭遇網(wǎng)絡(luò)安全事故時，常常只能采取臨時性的應(yīng)對措施。隨著網(wǎng)絡(luò)和系統(tǒng)規(guī)模的不斷擴大，網(wǎng)絡(luò)安全已經(jīng)成為影響網(wǎng)絡(luò)服務(wù)質(zhì)量的重要根源，網(wǎng)絡(luò)信息中心的員工幾乎天天都在疲于應(yīng)對各類突發(fā)性的網(wǎng)絡(luò)安全事件。

學(xué)校從2008年開始總結(jié)網(wǎng)絡(luò)安全工作的經(jīng)驗與教訓(xùn)，運用系統(tǒng)工程的分析方法，從整體和系統(tǒng)的角度提出網(wǎng)絡(luò)安全防范方案，形成了“IAAPNS”網(wǎng)絡(luò)安全防范體系，并應(yīng)用到校園網(wǎng)的建設(shè)與維護工作中，經(jīng)過三年多的運行，學(xué)校校園網(wǎng)絡(luò)安全工作進得了明顯的成績(如圖2所示)：

對網(wǎng)絡(luò)設(shè)備攻擊(包括病毒)而導(dǎo)致網(wǎng)絡(luò)故障的次數(shù)由2008年的334次降到2010年的65次，2011年上半年為19次；利用操作系統(tǒng)漏洞(包括Web服務(wù)器漏洞)攻擊成功次數(shù)由2008年的46次降到2010年的6次，2011年上半年為2次；利用應(yīng)用軟件的安全漏洞攻擊成功次數(shù)由2008年的125次降到2010年的43次，2011年上半年為15次。

隨著網(wǎng)絡(luò)安全防范工作的加強，網(wǎng)絡(luò)服務(wù)質(zhì)量明顯提升，如圖3所示，用戶滿意度從2008年61％提升到2010年的73％，2011年上半年為78％。

篇(7)

一、從網(wǎng)絡(luò)用戶增長看待網(wǎng)絡(luò)安全的意義

據(jù)統(tǒng)計，截止2014年，我國網(wǎng)絡(luò)用戶總規(guī)模達到了6.49億，互聯(lián)網(wǎng)普及率達到了47.9%，相比2005年，十年間，普及率上漲了五倍。通過增長曲線可以看出，互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的發(fā)展帶動了我國網(wǎng)絡(luò)使用率的增長。同時移動互聯(lián)網(wǎng)的使用量已經(jīng)超過了傳統(tǒng)互聯(lián)網(wǎng)，使用人數(shù)達到了5.57億，占據(jù)整體網(wǎng)絡(luò)使用的85.8%，這說明隨著互聯(lián)網(wǎng)的使用場景的轉(zhuǎn)變，帶來了人們生活習(xí)慣的改變。碎片化的時間管理和信息獲取已經(jīng)逐漸成為了人們生活的常態(tài)。而通過每周上網(wǎng)時間的統(tǒng)計，可以發(fā)現(xiàn)平均周上網(wǎng)時長大約在26小時左右，也就是說互聯(lián)網(wǎng)也成為了人們主要的娛樂方式和休閑方式。與此同時中國的網(wǎng)站數(shù)量達到了335萬個，網(wǎng)絡(luò)資源十分豐富。

正是由于規(guī)模大、使用人數(shù)多、普及率高和應(yīng)用廣泛，網(wǎng)絡(luò)安全尤其引起廣大網(wǎng)民的重視。在隨著互聯(lián)網(wǎng)經(jīng)濟的發(fā)展和移動支付的普及率增高之后，網(wǎng)絡(luò)安全的意義就不再只停留于網(wǎng)絡(luò)使用層面，更加上升到個人隱私和經(jīng)濟安全層面，一旦網(wǎng)絡(luò)安全無法得到保障，其造成的后果不堪設(shè)想。因此，構(gòu)建網(wǎng)絡(luò)安全的意義和價值除了是時展的需要之外，更是現(xiàn)實的需要。在構(gòu)建網(wǎng)絡(luò)安全當中，需要時刻考慮網(wǎng)絡(luò)安全的保密、完整、可控、可用、可審查的特性，通過技術(shù)手段，從根本上避免網(wǎng)絡(luò)安全遭受侵害，從而使因網(wǎng)絡(luò)安全威脅所造成的損失降到最低。

二、信息技術(shù)發(fā)展中網(wǎng)絡(luò)安全受到的威脅和挑戰(zhàn)

想要構(gòu)建起網(wǎng)絡(luò)安全的管理和維護，就首先需要了解信息技術(shù)發(fā)展的過程中容易對網(wǎng)絡(luò)安全造成威脅和挑戰(zhàn)的來源。

（一）互聯(lián)網(wǎng)隱私泄露

在互聯(lián)網(wǎng)使用的過程當中，因互聯(lián)網(wǎng)使用過程中的緩存和歷史記錄，都會留下使用痕跡，而這些痕跡所帶有的隱私內(nèi)容可以被別有用心者通過系統(tǒng)裝入的cookies進行竊取。例如互聯(lián)網(wǎng)使用過程中用戶通過航空公司的官網(wǎng)訂購機票，其填寫的密碼和個人信息都會留下痕跡，如果沒有及時進行處理，很有可能會被竊取，從而造成隱私的泄露。

（二）黑客惡意攻擊

黑客是指一些利用網(wǎng)絡(luò)技術(shù)在不暴露自己身份的情況下供給計算機或者服務(wù)器的人，他們具有非常高端的計算機技術(shù)，熟悉編程，能夠搜集網(wǎng)絡(luò)信息、同時探測到網(wǎng)絡(luò)漏洞并將漏洞加以利用，通過模擬環(huán)境的建立進行模擬攻擊。在面對網(wǎng)絡(luò)犯罪尚缺乏針對性的反擊和跟蹤手段時，黑客們的隱蔽性非常強，同時也具有極高的“殺傷力”，同樣對網(wǎng)絡(luò)安全構(gòu)成威脅。

（三）軟件設(shè)計漏洞和惡意陷阱

隨著發(fā)展，軟件設(shè)計和軟件系統(tǒng)的規(guī)模也在逐漸擴大，隨著新的軟件不斷產(chǎn)生，系統(tǒng)當中的安全漏洞和軟件設(shè)計漏洞對網(wǎng)絡(luò)安全造成的威脅也就隨之增大。在操作系統(tǒng)當中無論是Windows還是UNIX都或多或少地存在系統(tǒng)漏洞，而各類服務(wù)器、瀏覽器、桌面軟件其中的安全隱患也時有發(fā)現(xiàn)。面對這些漏洞，一些釣魚攻擊可以通過各種渠道實現(xiàn)傳播和對網(wǎng)絡(luò)用戶進行攻擊。例如前不久發(fā)生的wannacry勒索病毒的爆發(fā)，就是利用網(wǎng)絡(luò)渠道實現(xiàn)釣魚攻擊，致使全球20萬臺電腦遭受到嚴重損害。病毒利用對用戶電腦的控制提出勒索贖金的要求，在未能收到贖金時，病毒便會將用戶電腦所有文件進行刪除。在網(wǎng)絡(luò)安全影響的諸多因素當中，網(wǎng)絡(luò)病毒對網(wǎng)絡(luò)的侵害力度最大，影響也最為廣泛。而想要終止病毒傳播只能通過病毒制造者提供源代碼來完成。

三、計算機信息管理技術(shù)在網(wǎng)絡(luò)安全維護中存在的問題

在面對網(wǎng)絡(luò)安全受到多方面的威脅時，計算機信息管理技術(shù)是維護網(wǎng)絡(luò)安全的一道重要屏障。然而在現(xiàn)實情況當中，計算機信息管理技術(shù)卻并沒有發(fā)揮出其應(yīng)該具有的效力。其主要原因很存在問題有以下幾個方面。

（一）安全監(jiān)測功能缺乏實效

計算機信息管理技術(shù)最主要的技術(shù)在于對外來信息的內(nèi)容進行檢測和安全分析，從而從源頭防止惡意攻擊對網(wǎng)絡(luò)安全造成影響，同時通過有效檢測手段可以做到實時發(fā)現(xiàn)網(wǎng)絡(luò)應(yīng)用的過程中存在不安定和隱患因素，及時采取補救措施加以解決。然而，隨著網(wǎng)絡(luò)環(huán)境的發(fā)展，環(huán)境當中不安全因素逐漸增多，同時變得更加復(fù)雜，計算機信息管理技術(shù)如果不能夠進行及時更新，就會造成檢測手段無法適應(yīng)發(fā)展而相對落后，對某些突發(fā)狀況、新型安全問題無法起到檢測作用，從而無法完成檢測的效用，無法從根源上防止網(wǎng)絡(luò)安全遭受侵害，而通過檢測來實現(xiàn)的網(wǎng)絡(luò)安全維護也不再具有意義。

（二）無法對網(wǎng)絡(luò)訪問進行控制

在過往的計算機信息管理技術(shù)當中，除了對外來信息內(nèi)容進行檢測的手段之外，還有一種通過限制訪問權(quán)限和訪問量的方法來實現(xiàn)網(wǎng)絡(luò)安全維護。這種“一刀切”的做法在現(xiàn)實運行過程當中并沒有起到網(wǎng)絡(luò)安全維護的效用，很多訪問限制缺乏針對性，對正常訪問造成不必要的麻煩和影響，而部分情況下設(shè)置失誤除了增加訪問程序的繁瑣性之外，并沒有對網(wǎng)絡(luò)安全威脅起到限制作用，得不償失。

（三）缺乏應(yīng)變能力

計算機信息管理技術(shù)對于網(wǎng)絡(luò)病毒的防范方法是通過病毒數(shù)據(jù)庫的建立，再將疑似網(wǎng)絡(luò)病毒的信息內(nèi)容與已知病毒庫數(shù)據(jù)中相似病毒進行比較，以此來判斷信息內(nèi)容的安全性。而數(shù)據(jù)庫的建立則是對已知病毒源代碼進行搜集。一旦病毒數(shù)據(jù)庫的建立過程中存在缺乏實效、技術(shù)處理能力不足以及應(yīng)變能力差等現(xiàn)象，在應(yīng)用的過程中就無法完成病毒信息內(nèi)容的比對，無法做到對網(wǎng)絡(luò)安全進行維護。現(xiàn)階段一般的計算機信息管理技術(shù)中管理方法還停留在一些常規(guī)性問題的處理，對突發(fā)問題尚缺乏完善的處理方案實施，是計算機信息管理技術(shù)應(yīng)用于網(wǎng)絡(luò)安全時存在的重大問題。

四、計算機信息管理實現(xiàn)網(wǎng)絡(luò)安全維護的應(yīng)用

面對在網(wǎng)絡(luò)安全中計算機信息管理技術(shù)存在的諸多問題，筆者認為可以從以下幾個方面進行處理。

（一）風險評估優(yōu)先進行，加強網(wǎng)絡(luò)管理

網(wǎng)絡(luò)安全的維護實現(xiàn)需要計算機信息管理技術(shù)擁有完善的評估機制，通過機制運行，對網(wǎng)絡(luò)安全問題分時段進行評估，充分實現(xiàn)在網(wǎng)絡(luò)安全問題發(fā)生前、發(fā)生過程中、發(fā)生之后對其原因、傳播途徑、安全影響即處理效果等方面進行全面的評價和分析，從而實現(xiàn)網(wǎng)絡(luò)管理的加強化。在今后的網(wǎng)絡(luò)安全維護過程中，一旦出現(xiàn)了類似的安全問題，計算機風險評估系統(tǒng)可以率先啟動，根據(jù)事例對比、造成危害和危害發(fā)展趨勢分析，給出相應(yīng)的處理手段和決策參考，同時對危險種類進行評級劃分，做好報警，幫助管理者追蹤至威脅目標所在地。在平時，風險評估還能夠?qū)^往威脅處理的過程內(nèi)容及時進行反饋，在保障網(wǎng)絡(luò)運行的基礎(chǔ)上做出根據(jù)實際情況的安全設(shè)施調(diào)整，防患于未然。

（二）網(wǎng)絡(luò)犯罪審查和凈網(wǎng)聯(lián)盟建立

國家和各級政府需要認識到影響網(wǎng)絡(luò)安全所帶來的危害，并對惡意攻擊網(wǎng)絡(luò)的行為嚴肅對待?？梢灾贫ㄏ嚓P(guān)的法律法規(guī)，來明確網(wǎng)絡(luò)危害責任，以及危害網(wǎng)絡(luò)安全所要承擔的后果；此外還可以在各個地區(qū)有組織地建立起諸如“反黑客聯(lián)盟”、“網(wǎng)絡(luò)安全公益聯(lián)盟”、“反病毒聯(lián)盟”等公益性的社團組織，用于宣傳網(wǎng)絡(luò)安全，防止網(wǎng)絡(luò)侵害。面對社會公眾，要開展積極的網(wǎng)絡(luò)公益安全教育，使廣大的網(wǎng)絡(luò)用戶樹立起網(wǎng)絡(luò)安全相關(guān)意識，并敦促他們在網(wǎng)絡(luò)使用過程中時刻謹記網(wǎng)絡(luò)安全的相關(guān)規(guī)則，不訪問陌生網(wǎng)站、不打開陌生郵件等。在聯(lián)盟中還應(yīng)該開展惡意代碼樣本、惡意程序的傳播鏈接內(nèi)容的分享，利用聯(lián)盟內(nèi)或者聯(lián)盟之間的交流共享，依靠互聯(lián)網(wǎng)行業(yè)的自律體制和監(jiān)督體制，推動防治、治理互聯(lián)網(wǎng)病毒工作的發(fā)展，凈化網(wǎng)絡(luò)空間，維護公共互聯(lián)網(wǎng)安全。

（三）加強技術(shù)研發(fā)水平

計算機信息管理技術(shù)的運行機制的建立和發(fā)展需要依托于科學(xué)技術(shù)研發(fā)和實踐，面對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，科技水平需要不斷更新，研發(fā)方向需要面向最新情況和未來發(fā)展。一個依托于科技水平進步網(wǎng)絡(luò)安全運行機制需要構(gòu)建網(wǎng)絡(luò)安全信息管理系統(tǒng)，創(chuàng)造完善的信息技術(shù)模型，從而實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全。在目前市場當中已經(jīng)出現(xiàn)了專業(yè)企業(yè)和廠家在網(wǎng)絡(luò)安全技術(shù)研發(fā)方面所生產(chǎn)的相應(yīng)產(chǎn)品，并在保障網(wǎng)絡(luò)安全方面得到了國家的認可。同時計算機信息管理技術(shù)最主要的面向在于信息控制，通過技術(shù)實現(xiàn)信息內(nèi)容的區(qū)分和限定，是未來計算機信息管理技術(shù)應(yīng)用于網(wǎng)絡(luò)安全維護的主要發(fā)展道路。

（四）確立網(wǎng)絡(luò)審計等相關(guān)制度

為了保障網(wǎng)絡(luò)環(huán)境的純凈和安全，網(wǎng)絡(luò)審計也需要加入到計算機信息管理技術(shù)當中。通過互聯(lián)網(wǎng)使用者在網(wǎng)絡(luò)使用過程中的使用信息記錄，依照實際情況進行審查和管理，這對于網(wǎng)絡(luò)管理者和使用者來說有著更高的要求。通過網(wǎng)絡(luò)審計，可以對網(wǎng)絡(luò)當中存在的潛在危險者和攻擊者進行及時發(fā)現(xiàn)，并對網(wǎng)絡(luò)安全問題進行追蹤，查找出危險源，做到根本性的維護。此外，還應(yīng)該加強網(wǎng)絡(luò)入侵的檢測系統(tǒng)構(gòu)建和使用，將其作為計算機信息管理技術(shù)當中最為重要的技術(shù)之一進行研發(fā)和發(fā)展。通過系統(tǒng)檢測和數(shù)據(jù)統(tǒng)計為網(wǎng)絡(luò)安全問題提供可供參考的資料。

五、結(jié)論

綜上所述，在網(wǎng)絡(luò)使用頻率和網(wǎng)絡(luò)覆蓋范圍逐漸擴大的今天，網(wǎng)絡(luò)安全所存在的隱患和威脅也始終困擾著網(wǎng)絡(luò)使用者和網(wǎng)絡(luò)工作者。面對多種多樣的網(wǎng)絡(luò)病毒、黑客入侵以及系統(tǒng)漏洞，如何利用計算機信息管理技術(shù)將危險和損失降到最低，是每一個網(wǎng)絡(luò)工作者所必須面對的。隨著科技的不斷進步，計算機信息管理技術(shù)也將不斷完善，通過技術(shù)手段可以實現(xiàn)網(wǎng)絡(luò)安全的維護。

參考文獻：

[1]楊曙光.計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，（4）.

[2]葛曉凡.計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用，2015，（5）.

[3]侯英杰.計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用分析[J].中國新通信，2016，（1）.

[4]趙志鵬.淺論計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].電子世界，2016，（7）.