網(wǎng)絡(luò)安全漏洞評估大全11篇

緒論：寫作既是個人情感的抒發(fā)，也是對學(xué)術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇網(wǎng)絡(luò)安全漏洞評估范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

1引言

CTC又名分散自律調(diào)度系統(tǒng)，該系統(tǒng)的功能主要是確保列車安全正常地行駛，調(diào)度生產(chǎn)業(yè)務(wù)系統(tǒng)。這一系統(tǒng)具有2大特點(diǎn)，即獨(dú)立成網(wǎng)及封閉運(yùn)行，并且其主要組件并不強(qiáng)大[1]。客運(yùn)專線的行車安全主要在于系統(tǒng)的保密性、完整性、可用性3點(diǎn)，按照我國等級保護(hù)防御區(qū)劃分原則和信息系統(tǒng)的功能、安全性能等標(biāo)準(zhǔn)，客運(yùn)專線CTC系統(tǒng)必須具備防火墻、入侵檢測、動態(tài)口令、安全漏洞、SAV網(wǎng)絡(luò)病毒防護(hù)5個安全系統(tǒng)。

2防火墻及入侵檢測系統(tǒng)

CTC的安全防御系統(tǒng)中，防火墻和入侵檢測系統(tǒng)屬于基本安全設(shè)施，這對于構(gòu)建安全密實(shí)的網(wǎng)絡(luò)系統(tǒng)十分必要。防火墻的功能是過濾數(shù)據(jù)包，對鏈接狀態(tài)進(jìn)行檢查，并檢查入侵的行為和會話。防火墻按照用戶定義對一些數(shù)據(jù)實(shí)行允許進(jìn)入或阻攔，以確保內(nèi)部網(wǎng)絡(luò)設(shè)備及系統(tǒng)不會遭受非法攻擊，從而影響訪問。此外，可以實(shí)現(xiàn)每個通過防火墻的鏈接都可以快速地建立對應(yīng)的狀態(tài)表。如果鏈接異常，會話遭到威脅或攻擊后，防火墻可以很快地阻斷非法鏈接。通過入侵行為的特點(diǎn)，入侵系統(tǒng)可以及時地對每一個數(shù)據(jù)包進(jìn)行認(rèn)真檢查，如果數(shù)據(jù)包對系統(tǒng)存在攻擊性，入侵檢測系統(tǒng)必須及時斷開這一鏈接，并且由管理人員定義的處理系統(tǒng)會盡快獲取幕后攻擊者的詳細(xì)信息，同時，為要得到處理的事件提供對應(yīng)數(shù)據(jù)。CTC網(wǎng)絡(luò)的結(jié)構(gòu)性質(zhì)為雙通道冗余結(jié)構(gòu)，CTC中心和沿線的各個車站數(shù)量龐大，并且有著海量的數(shù)據(jù)流量，業(yè)務(wù)連接安全性要求很高，CTC中心和沿線車站的各個接口都安置了4臺中心防火墻，每網(wǎng)段安置2臺；CTC中心和其他系統(tǒng)接口各安置2臺防火墻，采用透明模式進(jìn)行接入。客運(yùn)專線CTC系統(tǒng)防火墻詳見圖1。

3安全漏洞評估

安全漏洞的評估系統(tǒng)是一個漏洞及風(fēng)險評估的有效工具，主要用來對網(wǎng)絡(luò)的安全漏洞進(jìn)行發(fā)現(xiàn)、報告以及挖掘，主要作用是對目標(biāo)網(wǎng)絡(luò)設(shè)備安全漏洞實(shí)行檢測，并提出具體檢測報告以及安全可行的漏洞解決方案，使系統(tǒng)管理員可以提前修補(bǔ)可能引發(fā)黑客進(jìn)入的多個網(wǎng)絡(luò)安全漏洞，避免黑客入侵帶來損失。客運(yùn)專線CTC系統(tǒng)中心完整地部署了一整套安全漏洞評估系統(tǒng)，基于全面以及多角度的網(wǎng)絡(luò)關(guān)鍵服務(wù)器漏洞分析的評估基礎(chǔ)，確保CTC以及TDCS等系統(tǒng)安全運(yùn)行。還能對黑客的進(jìn)攻方式進(jìn)行模擬，并提交相應(yīng)的風(fēng)險評估報告，提出對應(yīng)的整改措施。預(yù)防性的安全檢查暴露了目前網(wǎng)絡(luò)系統(tǒng)存在的安全隱患，對此必須實(shí)行相應(yīng)的整改，最大程度地降低網(wǎng)絡(luò)的運(yùn)行風(fēng)險。漏洞評估組需要在網(wǎng)絡(luò)安全集中管理平臺下實(shí)現(xiàn)統(tǒng)一監(jiān)測，并且匯總漏洞威脅時間，結(jié)合實(shí)際情況及設(shè)施制定相應(yīng)的安全策略。當(dāng)前存在的安全漏洞掃描一定要從技術(shù)底層實(shí)現(xiàn)有效劃分，分別對主機(jī)及網(wǎng)絡(luò)漏洞進(jìn)行掃描。主機(jī)漏洞評估EVP，針對文件權(quán)限、屬性、登錄設(shè)置的值和使用者賬號等使用主機(jī)型漏洞評估掃描器進(jìn)行評估。網(wǎng)絡(luò)型漏洞掃描器NSS，在網(wǎng)絡(luò)漏洞基礎(chǔ)上的評估掃描器采用黑客入侵觀點(diǎn)，自動對網(wǎng)上系統(tǒng)和服務(wù)實(shí)行掃描，對一般性的入侵和具體入侵場景實(shí)行真實(shí)模擬，最重要的是測試網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全漏洞，會提供相應(yīng)的修補(bǔ)漏洞意見，掃描圖形視圖的完整顯示過程，掃描相應(yīng)漏洞而且對漏洞的出現(xiàn)原因進(jìn)行查找，提供具有實(shí)際執(zhí)行可行性的管理報告，針對多個系統(tǒng)實(shí)施掃描。

4反病毒網(wǎng)絡(luò)系統(tǒng)

根據(jù)病毒具有的特征以及多層保護(hù)需求，客運(yùn)專線CTC系統(tǒng)必須要統(tǒng)一、集中監(jiān)控、多面防護(hù)，正對整體以及全面反病毒系統(tǒng)實(shí)現(xiàn)積極有效的安排，并融合各層面，覆蓋CTC中心、下屬車站等。并且還要在客運(yùn)專線的中心部署2臺SAV反病毒服務(wù)器，二者相互輔助。對服務(wù)器設(shè)備和車站終端等實(shí)施統(tǒng)一的SAV客戶端，并且對網(wǎng)絡(luò)內(nèi)存的所有病毒實(shí)行統(tǒng)管理、分析，監(jiān)控、查殺[2]。以整體反病毒解決方案為依據(jù)，網(wǎng)絡(luò)反病毒系統(tǒng)的部署具體要從下面幾項開展，多操作系統(tǒng)的服務(wù)器、反病毒軟件、集中監(jiān)管的多個系統(tǒng)。

5動態(tài)口令

身份認(rèn)證屬于安全防御線的第一道保護(hù)。我國的CTC安全建設(shè)在最初的使用中運(yùn)用的是靜態(tài)密碼認(rèn)證，每一系統(tǒng)和設(shè)備都具備自身的專屬密碼，管理很不方便。大量的管理和維護(hù)導(dǎo)致操作人員難以實(shí)現(xiàn)方便快捷的使用，因此，出于使用便利，會將設(shè)備密碼設(shè)置為統(tǒng)一密碼，系統(tǒng)內(nèi)各種網(wǎng)絡(luò)設(shè)備和服務(wù)器的密碼基本上人人都知道；另外，靜態(tài)口令極易被人猜出、截獲、破解，黑客可以通過對密碼的猜測或使用成熟破譯軟件破解用戶口令，導(dǎo)致CTC面臨極大的隱患。在CTC系統(tǒng)網(wǎng)絡(luò)中，對CTC系統(tǒng)中心設(shè)置相應(yīng)的動態(tài)口令，隨后客戶端認(rèn)證請求會自動地分配到認(rèn)證服務(wù)器，該模式充分降低了服務(wù)器的工作負(fù)荷，提升了系統(tǒng)性能。身份證的依據(jù)和訪問控制組能通過網(wǎng)絡(luò)安全集中管理平臺發(fā)揮監(jiān)測、報警等功能。安全策略的集中配備，對安全事件進(jìn)行統(tǒng)一響應(yīng)，并且充分實(shí)現(xiàn)分層、統(tǒng)一用戶管理、訪問認(rèn)證授權(quán)AAA等策略。動態(tài)口令身份認(rèn)證在AAA認(rèn)證中的功能為雙因素認(rèn)證，有效解決了靜態(tài)口令存在的多種問題，提升了系統(tǒng)的安全性。客運(yùn)專線CTC系統(tǒng)運(yùn)用動態(tài)口令后，實(shí)現(xiàn)了對整個網(wǎng)絡(luò)、運(yùn)用和主機(jī)等的統(tǒng)一覆蓋，實(shí)現(xiàn)了安全的身份認(rèn)證控制訪問組件，統(tǒng)一身份認(rèn)證和授權(quán)統(tǒng)一，同時還提供了集中身份認(rèn)證等，通過授權(quán)嚴(yán)格對多個訪問資源權(quán)限實(shí)施限制。

6結(jié)語

目前，客運(yùn)專線CTC中心網(wǎng)絡(luò)運(yùn)用安全，正處于建立知識信息安全系統(tǒng)和確保信息化的重要階段，在這一進(jìn)程的后期階段還要滿足國家等級保護(hù)政策需求，對縱深防護(hù)體系進(jìn)行深入研究，確保鐵路運(yùn)輸生產(chǎn)業(yè)務(wù)順利開展，充分實(shí)現(xiàn)鐵路信息化運(yùn)行，將鐵路運(yùn)行的安全性實(shí)現(xiàn)提升。

【參考文獻(xiàn)】

篇（2）

計算機(jī)網(wǎng)絡(luò)應(yīng)用領(lǐng)域及空間廣闊，已經(jīng)覆蓋全球，為工作創(chuàng)造了諸多便捷，豐富了業(yè)余生活，現(xiàn)代社會中的網(wǎng)上購物、電子商務(wù)等服務(wù)對網(wǎng)絡(luò)的依賴程度極高，民眾生活與網(wǎng)絡(luò)已互相融合。互聯(lián)網(wǎng)涉及數(shù)量龐大的網(wǎng)絡(luò)用戶與計算機(jī)系統(tǒng)，且網(wǎng)絡(luò)本身存在多種缺陷，因此網(wǎng)絡(luò)安全隱患、安全漏洞難以避免。網(wǎng)絡(luò)安全漏洞可增加間諜程序、蠕蟲、木馬、黑客攻擊概率，為病毒隱藏及偽裝、網(wǎng)絡(luò)犯罪提供便利，造成信息泄漏、經(jīng)濟(jì)損失，還會引起網(wǎng)絡(luò)故障。應(yīng)重視防范安全漏洞，加強(qiáng)網(wǎng)絡(luò)監(jiān)管，科學(xué)分配網(wǎng)絡(luò)中的軟件資源、硬件資源，降低安全風(fēng)險、減少惡意攻擊及惡意干擾，提高網(wǎng)絡(luò)保密程度，維持網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)。

一、安全漏洞

安全漏洞屬于不可控、無可避免、必然的、非正常情況，漏洞可影響路由器、防火墻、操作系統(tǒng)、應(yīng)用軟件正常運(yùn)行，目前網(wǎng)絡(luò)應(yīng)用軟件中的漏洞數(shù)量增勢明顯，如Mozilla Firefox及微軟IE瀏覽器漏洞等，且發(fā)現(xiàn)漏洞與出現(xiàn)攻擊程序之間的時間不斷縮短，零日攻擊問題頻繁發(fā)生，漏洞修補(bǔ)程序時間落后，導(dǎo)致不能及時修補(bǔ)安全漏洞，增加了網(wǎng)絡(luò)攻擊的可能性。分析安全漏洞時需考慮網(wǎng)絡(luò)系統(tǒng)環(huán)境、具體時間段，常見漏洞包括拒絕服務(wù)、安全繞過、信息泄露、緩沖溢出、權(quán)限升級漏洞、跨站腳本、注入漏洞、跨站偽造請求、代碼執(zhí)行及無授權(quán)訪問等。防火墻與網(wǎng)絡(luò)安全環(huán)境保護(hù)要求不匹配時也會出現(xiàn)安全漏洞，再加上黑客攻擊技術(shù)在不斷改進(jìn)，出現(xiàn)安全漏洞時通常會發(fā)生程序捆綁攻擊行為。編寫網(wǎng)絡(luò)軟件程序時可能遺留安全漏洞及BUG，如FTP漏洞、CGI漏洞、ASP漏洞及PHP漏洞等，黑客通常會檢測出BUG及安全漏洞，利用病毒攻擊網(wǎng)絡(luò)漏洞，讀寫系統(tǒng)結(jié)構(gòu)或服務(wù)目錄，如某些軟件接收異常或超長數(shù)據(jù)時可導(dǎo)致緩沖區(qū)發(fā)生溢出問題。涉及安全漏洞的協(xié)議包括SSH、HTTP、FTP、TELNET、IPSec、TCP、IPv6及DNS等，網(wǎng)絡(luò)協(xié)議主要為TCP/IPf議，協(xié)議本身不能準(zhǔn)確判斷開放性與互聯(lián)性網(wǎng)絡(luò)IP地址實(shí)際來源，網(wǎng)絡(luò)黑客可利用安全漏洞偵聽傳輸線路、檢查或截取網(wǎng)絡(luò)數(shù)據(jù)，推測TCP及改變路由，破壞、覆蓋網(wǎng)絡(luò)數(shù)據(jù)。

二、防范措施

（一）漏洞掃描

使用網(wǎng)絡(luò)時應(yīng)注意定期掃描安全漏洞，包括主機(jī)系統(tǒng)、防火墻、WEB站點(diǎn)、局域網(wǎng)的漏洞，了解是否存在竊聽系統(tǒng)、不良網(wǎng)絡(luò)服務(wù)，查詢TCP/IP端口信息及記錄協(xié)議響應(yīng)情況，及時發(fā)現(xiàn)與修復(fù)漏洞，不斷優(yōu)化網(wǎng)絡(luò)系統(tǒng)及增強(qiáng)安全攻擊抵御能力。掃描漏洞時可采用模擬攻擊測試法或目標(biāo)系統(tǒng)掃描法，模擬攻擊指的是利用DDOS、緩沖溢出、護(hù)欺騙等方法嘗試性攻擊遠(yuǎn)程目標(biāo)，逐項檢查目標(biāo)系統(tǒng)已知漏洞或可能出現(xiàn)的漏洞。掃描目標(biāo)系統(tǒng)指的是連接主機(jī)端口后請求FTP、TELNET等服務(wù)，并記錄主機(jī)應(yīng)答信息，通過分析應(yīng)答過程檢測安全漏洞。掃描網(wǎng)絡(luò)與目標(biāo)主機(jī)時多采用PING技術(shù)，使用工具ping與IP地址即可掃描目標(biāo)主機(jī)，根據(jù)主機(jī)回應(yīng)情況檢測安全漏洞，如主機(jī)中的防火墻自動屏蔽PING掃描，可將錯誤數(shù)據(jù)發(fā)送到目標(biāo)主機(jī)，通過判斷ICMP出錯響應(yīng)情況檢測漏洞，掃描流程。掃描防火墻安全控制規(guī)則中是否存在漏洞時，可采用與Trace-route IP數(shù)據(jù)分析相類似的方法，掃描時可通過探測網(wǎng)絡(luò)開啟端口與特定網(wǎng)關(guān)判斷漏洞情況。探測軟件漏洞時可發(fā)送UDP或ICMP請求報文，對ICMP回應(yīng)進(jìn)行分析，包括Que-SO、NAMP分段響應(yīng)情況，從而判別響應(yīng)信息與漏洞。掃描網(wǎng)絡(luò)協(xié)議端口時可采用TCP SYN掃描、TCP Connect掃描、認(rèn)證掃描及秘密掃描技術(shù)。

（二）構(gòu)建漏洞信息庫

安全漏洞千差萬別、種類繁多，構(gòu)建安全漏洞信息庫可以提高漏洞掃描、檢測效率，準(zhǔn)確驗(yàn)證安全漏洞，標(biāo)記HTTP文件中的相關(guān)內(nèi)容，根據(jù)漏洞信息運(yùn)用追蹤技術(shù)查找網(wǎng)絡(luò)攻擊起源路徑，實(shí)現(xiàn)高效防護(hù)。構(gòu)建信息庫時可為不同的漏洞賦予唯一的特征碼，在檢測或掃描漏洞時可直接利用不同特征碼組成的數(shù)據(jù)包，在數(shù)據(jù)包中準(zhǔn)確提取漏洞特征碼，從而高效分析漏洞及獲取相應(yīng)的安全攻擊信息。注意根據(jù)漏洞掃描與檢測結(jié)果及時更新特征碼，保證信息庫中包含詳細(xì)的安全漏洞信息，包括漏洞特征、狀態(tài)、信息來源、控件信息及端口信息，漏洞編號、類型、名稱、相關(guān)引用、修訂時間、公布日期或報告時間，漏洞風(fēng)險評估與危險級別、相關(guān)建議、補(bǔ)救方案、漏洞軟件與版本、木馬匹配規(guī)則、后門匹配規(guī)則、影響程度與影響平臺、處理方式及攻擊程度等。目前可使用的漏洞信息庫包括NIST實(shí)驗(yàn)室的NVD漏洞庫、Mitre公司的CVE漏洞庫、CERT小組的US-CERT漏洞庫、ISS組織的X-Force漏洞庫，上述信息庫數(shù)據(jù)下載、方式、更新方式各有特點(diǎn)，信息庫結(jié)構(gòu)，漏洞信息構(gòu)成。

（三）完善網(wǎng)絡(luò)配置

為預(yù)防黑客利用漏洞發(fā)起偽造攻擊，可調(diào)整路由器訪問列表，限制路由器數(shù)據(jù)包允許通過地址范圍；關(guān)閉路由器上的源路由，利用No Ip Soure-route命令阻止源路由器發(fā)生安全攻擊；也可以在RPF檢查設(shè)備中設(shè)置No Ip Directed-broadcast命令，利用No Ip Directed-broadcast命令控制通過路由器的數(shù)據(jù)，減少路由攻擊。為確保端口安全，可在交換機(jī)中設(shè)置MAC地址數(shù)允許值，控制允許流量，避免網(wǎng)絡(luò)設(shè)備無定向、徒然處理數(shù)據(jù)包，減少協(xié)議端口單播擴(kuò)散轉(zhuǎn)發(fā)流量，減少安全漏洞與安全攻擊。連接網(wǎng)絡(luò)時應(yīng)盡量關(guān)閉計算機(jī)中的打印共享與文件共享功能，必要時可隱藏IP，避免設(shè)置空連接，將無用網(wǎng)絡(luò)端口及服務(wù)程序關(guān)閉，禁用Guest賬號。確保防火墻或服務(wù)器相匹配，刪除無用軟件程序與缺省路由，安裝病毒查殺與反查殺軟件，結(jié)合殺毒與防毒，組建多層次病毒防衛(wèi)體系，注意更新殺毒軟件、系統(tǒng)補(bǔ)丁，如卡巴斯基、小紅傘、金山毒霸等。設(shè)置復(fù)雜的服務(wù)密碼，完全隱藏重要目錄或文件，禁用Windows服務(wù)器中的Telnet服務(wù)、Remote Registry服務(wù)及Messenger服務(wù)。

篇（3）

網(wǎng)絡(luò)安全掃描系統(tǒng)與防火墻互相配合,共同維護(hù)網(wǎng)絡(luò)安全,在有效提高網(wǎng)絡(luò)的安全性方面,各有分工,他們是增強(qiáng)系統(tǒng)安全性的重要措施。網(wǎng)絡(luò)管理員通過網(wǎng)絡(luò)掃描探測,找到運(yùn)行的應(yīng)用服務(wù),了解其安全配置,能夠發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)的安全漏洞。網(wǎng)絡(luò)掃描更側(cè)重于在網(wǎng)絡(luò)遭到威脅前預(yù)防,其中屬于被動防御手段的是網(wǎng)絡(luò)監(jiān)控系統(tǒng)和防火墻,而網(wǎng)絡(luò)掃描屬于主動防范,做到防患于未然。

1網(wǎng)絡(luò)安全掃描步驟和功能

網(wǎng)絡(luò)安全掃描器是利用安全掃描技術(shù)來設(shè)計的軟件系統(tǒng)。掃描器可以協(xié)助網(wǎng)管人員洞察目標(biāo)主機(jī)的內(nèi)在的弱點(diǎn),它不能直接修復(fù)網(wǎng)絡(luò)漏洞。以下列舉了網(wǎng)絡(luò)安全掃描功能和步驟:(1)首先,能夠找到一個主機(jī)或網(wǎng)絡(luò)是其工作的第一階段。(2)探測何種服務(wù)正運(yùn)行在這臺主機(jī)上是其工作的第二階段,對目標(biāo)信息進(jìn)行進(jìn)一步搜集,服務(wù)軟件的版本、運(yùn)行的服務(wù)、操作系統(tǒng)類型等方面都是其搜索的目標(biāo)。對于網(wǎng)絡(luò)目標(biāo),其網(wǎng)絡(luò)系統(tǒng)、拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備也是其搜索的范圍。(3)最后也是最為重要的階段:根據(jù)線索做出判斷并且進(jìn)一步測試網(wǎng)絡(luò)和主機(jī)系統(tǒng)存在的安全漏洞。通過各個步驟的掃描,搜索網(wǎng)絡(luò)、探測服務(wù)、發(fā)現(xiàn)漏洞,以此為依據(jù),為漏洞提出解決方案。

2網(wǎng)絡(luò)安全掃描技術(shù)的分類

網(wǎng)絡(luò)安全掃描是指通過對計算機(jī)系統(tǒng)進(jìn)行相關(guān)的安全檢測,找出系統(tǒng)安全隱患和漏洞,幫助管理員發(fā)現(xiàn)系統(tǒng)的一些弱點(diǎn)。通過網(wǎng)絡(luò)安全掃描數(shù)據(jù),及時了解系統(tǒng)存在的安全漏洞,客觀評估網(wǎng)絡(luò)風(fēng)險等級。網(wǎng)絡(luò)安全掃描是一種主動的安全防范措施,可以及早發(fā)現(xiàn)系統(tǒng)漏洞并加以修復(fù),有效避免非法入侵行為,做到防患于未然。

2.1漏洞掃描技術(shù)

為了自動檢測遠(yuǎn)程或本地主機(jī)安全漏洞而編寫的程序就是漏洞掃描系統(tǒng),洞察漏洞主要采用網(wǎng)絡(luò)掃描系統(tǒng)的方法:其中實(shí)際應(yīng)用最普遍的是模擬黑客的攻擊手法,如猜想管理員用戶名稱、測試系統(tǒng)弱口令、FTP密碼探測、郵件系統(tǒng)攻擊等方法,如目標(biāo)網(wǎng)絡(luò)系統(tǒng)存在安全漏洞,則模擬攻擊就會成功;另一個方法是利用端口掃描,目標(biāo)主機(jī)端口以及端口上的服務(wù)已知的情況下,利用漏洞掃描系統(tǒng)提供的漏洞庫和掃描發(fā)現(xiàn)的各類信息進(jìn)行比對,如有滿足匹配條件的漏洞存在,就會被發(fā)現(xiàn)。我們可以利用網(wǎng)絡(luò)安全掃描發(fā)現(xiàn)并及時修補(bǔ)系統(tǒng)的漏洞。對于網(wǎng)絡(luò)用戶來說,掃描的速度和漏洞庫的更新速度是漏洞掃描技術(shù)的關(guān)鍵。掃描速度、掃描效率是網(wǎng)絡(luò)安全掃描的重要性能指標(biāo),而漏洞庫可以直接決定網(wǎng)絡(luò)隱患能夠被檢查出的數(shù)量,現(xiàn)在的網(wǎng)絡(luò)掃描系統(tǒng)許多可以及時更新漏洞庫,不斷提升掃描速度,從而適應(yīng)網(wǎng)絡(luò)用戶安全需求,起到令用戶更加滿意的效果。

2.2端口掃描技術(shù)

通過發(fā)送探測數(shù)據(jù)對目標(biāo)主機(jī)的端口進(jìn)行掃描,以掃描數(shù)據(jù)為依據(jù),分析目標(biāo)主機(jī)端口是否開放、可用的過程,就是指端口掃描。第一步是與目標(biāo)主機(jī)的端口建立連接,根據(jù)請求服務(wù)來判斷其應(yīng)答,從而收集端口信息,這樣就能夠找到弱點(diǎn)和漏洞,并確定端口所進(jìn)行的服務(wù)類型及詳細(xì)信息。本地主機(jī)的運(yùn)行情況也能夠被監(jiān)視,通過分析探測到的數(shù)據(jù),網(wǎng)絡(luò)管理人員也可以找到目標(biāo)主機(jī)內(nèi)在的缺陷。一個端口就是一個潛在的通信通道,也就是一個入侵通道,我們可以通過端口掃描,發(fā)現(xiàn)系統(tǒng)的安全漏洞。利用端口掃描技術(shù),能夠發(fā)現(xiàn)目標(biāo)計算機(jī)的操作系統(tǒng)類型、發(fā)現(xiàn)正在運(yùn)行的應(yīng)用程序或某個特定服務(wù)的版本號、探測目標(biāo)系統(tǒng)上正在運(yùn)行的TCP和UDP服務(wù),及時了解端口提供的服務(wù)或信息。

2.3木馬掃描技術(shù)

木馬是一種經(jīng)過偽裝的欺騙性程序,木馬程序與一般的病毒不同,它不刻意地感染計算機(jī)存儲的文件,一般不會破壞計算機(jī)系統(tǒng),它的主要作用是為施種木馬者操控種有木馬的計算機(jī)系統(tǒng),使其能夠在用戶毫無知覺的情況下遠(yuǎn)程操控目標(biāo)計算機(jī),從而隨意竊取、破壞、刪除目標(biāo)計算機(jī)的文件。現(xiàn)在出現(xiàn)了很多新的木馬形式,還有一些為完成特定任務(wù)設(shè)計的木馬病毒,但其攻擊原理都是大同小異。木馬設(shè)計基于服務(wù)器和客戶端模式,它有一個開放的端口用來數(shù)據(jù)監(jiān)聽,不同的木馬病毒使用不同的端口號,可以通過掃描特定的木馬端口來發(fā)現(xiàn)主機(jī)是否被木馬入侵。但是,現(xiàn)在某些新型的木馬不開放特定端口,而是秘密捆綁到合法的應(yīng)用程序中,讓網(wǎng)絡(luò)管理者掃描探測變得越來越艱難。

3網(wǎng)絡(luò)安全掃描的應(yīng)用

網(wǎng)絡(luò)安全掃描能夠有效地預(yù)先評測和分析系統(tǒng)中的安全問題,可以增強(qiáng)系統(tǒng)安全性,在黑客攻擊之前起作用的是各類掃描技術(shù),本地或遠(yuǎn)程計算機(jī)的安全漏洞能被自動檢測并及時修復(fù),網(wǎng)絡(luò)中存在的漏洞被及時發(fā)現(xiàn)并解決,對于網(wǎng)絡(luò)安全防護(hù)起到關(guān)鍵作用,防患于未然。提供網(wǎng)絡(luò)服務(wù)的各個領(lǐng)域都可以應(yīng)用網(wǎng)絡(luò)安全掃描系統(tǒng),例如各種行業(yè)的網(wǎng)絡(luò)信息服務(wù),都需要知道所提供的網(wǎng)絡(luò)服務(wù)是否安全。特別是大型的網(wǎng)絡(luò)服務(wù),安全性是至關(guān)重要的。尤其是在互聯(lián)網(wǎng)上許多企事業(yè)單位的網(wǎng)站,網(wǎng)站的維護(hù)也是一項繁重的工作,利用網(wǎng)絡(luò)安全掃描系統(tǒng)可以方便管理。另外,對于個人用戶,網(wǎng)絡(luò)安全掃描系統(tǒng)也是必備的工具,利用它能夠探尋系統(tǒng)的安全性,及時發(fā)現(xiàn),及早解決,避免由于系統(tǒng)漏洞而遭到黑客入侵或被植入木馬病毒。與入侵檢測技術(shù)、防火墻技術(shù)等相比,網(wǎng)絡(luò)安全掃描技術(shù)更加積極,更加注重于防范,與之相適應(yīng)的主機(jī)安全掃描技術(shù)也立足于積極預(yù)防。對于網(wǎng)絡(luò)安全問題的解決,二者都是采用預(yù)防為主的方法。隨著互聯(lián)網(wǎng)應(yīng)用的發(fā)展,網(wǎng)絡(luò)攻擊現(xiàn)象、方法也將不斷涌現(xiàn),網(wǎng)絡(luò)安全問題還需要更加引起人們的重視,網(wǎng)絡(luò)安全掃描技術(shù)不僅需要更進(jìn)一步的發(fā)展和完善,還需要不斷開發(fā)其潛在的功能,從而在網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮巨大的作用。

作者:李文江 單位:公安邊防部隊高等專科學(xué)校基礎(chǔ)部計算機(jī)教研室

篇（4）

通常情況下，計算機(jī)網(wǎng)絡(luò)安全漏洞具有一定長久性、易被攻擊性和威脅性，給計算機(jī)用戶帶來很多煩惱。因此，對計算機(jī)網(wǎng)絡(luò)安全漏洞檢測與攻擊圖構(gòu)建有比較全面的了解，可以更好的防范各種不安全因素，從而為計算機(jī)網(wǎng)絡(luò)安全提供可靠保障。

1計算機(jī)網(wǎng)絡(luò)安全漏洞的表現(xiàn)形式

總的來說，計算機(jī)網(wǎng)絡(luò)正常運(yùn)行過程中，安全漏洞的表現(xiàn)形式主要有如下幾個方面。

1.1應(yīng)用軟件方面

在用戶進(jìn)行正常的計算機(jī)操作時，會通過各種應(yīng)用軟件來完成相關(guān)操作，而在代碼編寫、邏輯設(shè)計等方面會出現(xiàn)各種錯誤，使得安全漏洞成為黑客攻擊的主要途徑。一般不法分子會向計算機(jī)傳輸木馬和各種病毒，使得計算機(jī)整個系統(tǒng)縱，最終造成信息泄露問題。

1.2操作系統(tǒng)方面

在計算機(jī)的正常使用過程中，各種操作系統(tǒng)發(fā)揮著非常重要的作用，因此，操作系統(tǒng)的安全性與應(yīng)用程序的安全性，是保障計算機(jī)信息安全的重要因素，必須對此給以高度重視。但是，在實(shí)際運(yùn)行過程中，各種非法訪問、系統(tǒng)自身的缺陷等都為給計算機(jī)網(wǎng)絡(luò)帶來安全威脅。

1.3電子郵件方面

現(xiàn)展中，電子郵件已經(jīng)成為企業(yè)、個人互相來往的重要溝通方式，在各個領(lǐng)域都有若非常重要的影響。一般在用戶發(fā)送或接受某個郵件的時候，如果遇到惡意攻擊，并且戶不具有較高安全意識的情況下，則會將病毒帶入計算機(jī)，從而破壞計算機(jī)整個系統(tǒng)，最終威脅計算機(jī)網(wǎng)絡(luò)安全。

1.4遠(yuǎn)程登錄方面

隨著計算機(jī)應(yīng)用的不斷推廣遠(yuǎn)程登錄已經(jīng)成為重要的聯(lián)系方式，給人們的生活、工作帶來了很多便利，但同時也給計算機(jī)網(wǎng)絡(luò)帶來很多安全威脅。一般在進(jìn)行遠(yuǎn)程登錄時，需要完成各種輸入口令才能有效登錄，使得各種信息在輸入的過程中受到安全威脅，最終造成各種數(shù)據(jù)信息的泄露。

2計算機(jī)網(wǎng)絡(luò)安全漏洞的檢測方法

2.1文件內(nèi)容、保護(hù)機(jī)制方面

通常情況下，最容易出現(xiàn)各種病毒、最重要被攻擊的部分，是計算機(jī)中的各種命令文件和系統(tǒng)工具，如果出現(xiàn)上述情況，文件的內(nèi)容會被迅速篡改，最終使計算機(jī)系統(tǒng)的整個安全遭到威脅。因此，注重文件內(nèi)容方面的有效檢測，采取有效保護(hù)機(jī)制，才能擁有權(quán)限的用戶可以正常使用各種文件，從而避免各種安全問題出現(xiàn)。在實(shí)踐過程中，對文件內(nèi)容、訪問權(quán)限等進(jìn)行有效檢測，是安全漏洞檢測的重要基礎(chǔ)，對于提高文件的安全性、確保內(nèi)容完整性有著重要影響。

2.2配置文件方面

在計算機(jī)系統(tǒng)的正常運(yùn)行中，各種配置文件都具有極高的復(fù)雜性，如果出現(xiàn)缺省情況，則會引起各種安全漏洞，從而威脅整個計算機(jī)網(wǎng)絡(luò)的安全。根據(jù)相關(guān)分析發(fā)現(xiàn)，目前計算機(jī)網(wǎng)絡(luò)存在的安全漏洞，主要是因?yàn)橛嬎銠C(jī)運(yùn)行環(huán)境不良好引起的，特別是各種配置文件的安全漏洞檢測不及時和不準(zhǔn)確，嚴(yán)重威脅計算機(jī)系統(tǒng)的安全。因此，合理的對配置文件進(jìn)行安全漏洞檢測，可以獲得各種配置信息，從而在對各種配置信息進(jìn)行全面分析的情況下，對計算機(jī)系統(tǒng)可能存在的安全漏洞問題進(jìn)行準(zhǔn)確預(yù)測，最終在各種配置文件問題出現(xiàn)之前，及時消除相關(guān)安全漏洞。由此可見，加強(qiáng)配置文件的安全漏洞檢測，可以有效降低配置文件出錯的可能性，從而提高配置文件的安全性，真正為計算機(jī)系統(tǒng)一個穩(wěn)定、健康的網(wǎng)絡(luò)。

2.3差別檢測方法

在實(shí)際應(yīng)用過程中，如果采用差別檢測方法，則具有一定被動性，以在文件沒有被修改、不注重各種時間和期限等情況下，對文件存在的安全漏洞進(jìn)行檢測。在運(yùn)用差別檢測法時，文件被修改的部分或者是程序發(fā)生改變的部分不能得到還原，但可以對文件是否被修改給以準(zhǔn)確的判定，有著非常顯著的檢測效果，并且，還可以對系統(tǒng)中的特洛木馬進(jìn)行有效檢測。根據(jù)計算機(jī)網(wǎng)絡(luò)的運(yùn)行情況來看，差別檢測方法需要經(jīng)常使用，才能確保檢測結(jié)構(gòu)的準(zhǔn)確性，從而有效防范各種不安全因素帶來的安全威脅。

2.4錯誤修正方面

在計算機(jī)系統(tǒng)出現(xiàn)各種操作錯誤時，網(wǎng)絡(luò)黑客、違法分子會乘機(jī)進(jìn)行網(wǎng)絡(luò)攻擊，從而今日用戶的計算機(jī)系統(tǒng)，致使各種密碼、信息、機(jī)密文件等丟失，嚴(yán)重的還會給計算機(jī)用戶帶來重大經(jīng)濟(jì)損失。目前，在處理上述問題時，一般采用安裝修正錯誤補(bǔ)丁的方式，也可以采用安全殺毒軟件的方式，可以取得很好的防范效果。因此，在實(shí)際應(yīng)用過程中，要事先安裝補(bǔ)丁程序，才能避免計算機(jī)網(wǎng)絡(luò)安全受到威脅。目前，錯誤修正檢測技術(shù)主要包括主動檢測和被動檢測兩種，其中，主動監(jiān)測可以對系統(tǒng)存在的各種安全漏洞進(jìn)行有效檢測，并及時采取各種有效對策，從而防止安全漏洞給計算機(jī)系統(tǒng)帶來影響；而被動檢測主要是指安裝各種糾正補(bǔ)丁程序，以對各種安全漏洞進(jìn)行及時防范。通過合理采用錯誤修正檢測方法，計算機(jī)的檢驗(yàn)程序可以自動完成各種操作，大大節(jié)省了檢測時間，在提高安全漏洞檢測效率的同時，還能種安全漏洞帶來的問題得到有效解決。

3計算機(jī)網(wǎng)絡(luò)攻擊圖構(gòu)建相關(guān)分析

3.1計算機(jī)網(wǎng)絡(luò)攻擊邏輯圖

在計算機(jī)系統(tǒng)的正常運(yùn)行中，各種安全漏洞會給計算機(jī)運(yùn)行帶來極大安全威脅，使得相關(guān)數(shù)據(jù)、信息出現(xiàn)丟失情況。因此，計算機(jī)網(wǎng)絡(luò)攻擊圖的有效構(gòu)建，是在對各種網(wǎng)絡(luò)攻擊進(jìn)行全面分析的基礎(chǔ)上，對計算機(jī)網(wǎng)絡(luò)存在的問題進(jìn)行合理預(yù)測，以制定合適的安全防范措施和彌補(bǔ)措施，最終確保計算機(jī)網(wǎng)絡(luò)安全。由于計算機(jī)網(wǎng)絡(luò)所遭受的安全攻擊類型比較多，使得攻擊圖的構(gòu)建方式也有很多種，如邏輯攻擊類型，需要對邏輯攻擊圖進(jìn)行推導(dǎo)、制定相關(guān)規(guī)則，才能真正起到防范作用。在進(jìn)行推導(dǎo)的時候，必須對攻擊產(chǎn)生的原因、經(jīng)過、和會產(chǎn)生的后果進(jìn)行全面預(yù)測，才能避免邏輯類型的攻擊給計算機(jī)系統(tǒng)的安全帶來嚴(yán)重影響。

3.2計算機(jī)安全攻擊圖分析

篇（5）

進(jìn)行計算機(jī)網(wǎng)絡(luò)安全的檢測，根據(jù)檢測技術(shù)的執(zhí)行主體進(jìn)行劃分可分為主機(jī)和網(wǎng)絡(luò)兩種。一般通過計算機(jī)的遠(yuǎn)程安全掃描技術(shù)、防火墻的掃描技術(shù)進(jìn)行計算機(jī)網(wǎng)絡(luò)安全漏洞的掃描，對計算機(jī)的網(wǎng)絡(luò)安全進(jìn)行實(shí)時的監(jiān)控。

2計算機(jī)網(wǎng)絡(luò)安全掃描技術(shù)

計算機(jī)的網(wǎng)絡(luò)安全掃描技術(shù)是計算機(jī)進(jìn)行網(wǎng)絡(luò)安全主動防御的基礎(chǔ)，在計算機(jī)的主動防御中對計算機(jī)的網(wǎng)絡(luò)安全進(jìn)行掃描，對計算機(jī)可能存在的風(fēng)險進(jìn)行掃描。將掃描中獲得的各種參數(shù)反饋給系統(tǒng)的管理員，管理員通過對數(shù)據(jù)的分析，對可能存在的漏洞提出科學(xué)合理的解決方案。在計算機(jī)的運(yùn)行中進(jìn)行實(shí)時的監(jiān)控，將運(yùn)行中的風(fēng)險站點(diǎn)對管理員進(jìn)行提示，保障操作系統(tǒng)的安全性和可靠性。計算機(jī)網(wǎng)絡(luò)安全掃描技術(shù)能夠?qū)τ嬎銠C(jī)存在的漏洞及時的發(fā)現(xiàn)，及時的處理，保障了計算機(jī)的系統(tǒng)安全。

2.1計算機(jī)網(wǎng)絡(luò)遠(yuǎn)程掃描技術(shù)

計算機(jī)網(wǎng)絡(luò)安全掃描技術(shù)的應(yīng)用，使計算機(jī)在外界惡意攻擊下的防御能力和反擊能力大大提高。但是計算機(jī)網(wǎng)絡(luò)遠(yuǎn)程掃描技術(shù)在應(yīng)用中也一度成為計算機(jī)網(wǎng)絡(luò)安全的弊病，黑客進(jìn)行黑客活動是常常使用計算機(jī)網(wǎng)絡(luò)遠(yuǎn)程掃描技術(shù)對入侵電腦進(jìn)行遠(yuǎn)程的掃描，發(fā)現(xiàn)其系統(tǒng)存在的漏洞，針對這些漏洞對目標(biāo)主機(jī)實(shí)施入侵。從另一個角度進(jìn)行分析，計算機(jī)網(wǎng)絡(luò)遠(yuǎn)程掃描技術(shù)對實(shí)現(xiàn)計算機(jī)的網(wǎng)絡(luò)安全也有著其特殊的意義，管理員可以利用計算機(jī)網(wǎng)絡(luò)安全掃描技術(shù)對計算機(jī)進(jìn)行掃描，及時的發(fā)現(xiàn)計算機(jī)中存在的漏洞并予以修復(fù)。

2.2合理配置系統(tǒng)的防火墻系統(tǒng)

計算機(jī)網(wǎng)絡(luò)安全目標(biāo)的實(shí)現(xiàn)是通過防火墻系統(tǒng)的合理配置來實(shí)現(xiàn)的。計算機(jī)防火墻系統(tǒng)的合理配置是計算機(jī)網(wǎng)絡(luò)安全的重要的組成部分。其配置合理性直接關(guān)系到計算機(jī)的計算機(jī)網(wǎng)絡(luò)安全檢測技術(shù)安全性和有效性。由于計算機(jī)防火墻的配置是一項比較復(fù)雜的系統(tǒng)性工程，進(jìn)行配置是需要考慮各個方面的因素。相關(guān)的從業(yè)人員在進(jìn)行配置時因?yàn)榉阑饓Φ膹?fù)雜性，常常會在配置上出現(xiàn)一些微小的錯誤，這些需哦唔的產(chǎn)生極可能成為計算機(jī)網(wǎng)絡(luò)安全的隱患。計算機(jī)的防火墻系統(tǒng)在特定的情況下才能運(yùn)行，當(dāng)計算機(jī)的操作系統(tǒng)出現(xiàn)運(yùn)行的異常時，防火系統(tǒng)安全掃描系統(tǒng)會對計算機(jī)進(jìn)行掃描，判定其運(yùn)行環(huán)境是否符合。

2.3系統(tǒng)安全掃描技術(shù)

在計算機(jī)網(wǎng)絡(luò)安全檢測技術(shù)的建設(shè)時，計算機(jī)系統(tǒng)安全掃描是其不可或缺的部分。在計算機(jī)系統(tǒng)安全掃描中將目標(biāo)計算機(jī)的操作系統(tǒng)進(jìn)行全方位的檢測，將檢測后的參數(shù)發(fā)送給系統(tǒng)的管理員，管理員通過對相關(guān)參數(shù)的分析，對系統(tǒng)中可能存在的漏洞進(jìn)行修改。系統(tǒng)的安全掃描技術(shù)為計算機(jī)的操作系統(tǒng)的安全性和穩(wěn)定性提供了保障。

3網(wǎng)絡(luò)安全實(shí)時監(jiān)控技術(shù)

計算機(jī)的網(wǎng)絡(luò)安全監(jiān)測技術(shù)對計算機(jī)的防護(hù)離不開對計算機(jī)運(yùn)行的實(shí)時監(jiān)控。計算機(jī)的實(shí)時監(jiān)控技術(shù)是在網(wǎng)絡(luò)正常的情況下對計算機(jī)進(jìn)行網(wǎng)絡(luò)流量的監(jiān)控，在實(shí)時的監(jiān)控中能夠?qū)τ嬎銠C(jī)所受到的惡意攻擊進(jìn)行及時的處理，將有攻擊企圖的是舉報進(jìn)行過濾。在計算機(jī)網(wǎng)絡(luò)的實(shí)時監(jiān)控中將計算機(jī)的網(wǎng)卡設(shè)置成為廣播的狀態(tài)，在次狀態(tài)下進(jìn)行數(shù)據(jù)包的監(jiān)控和分析。將可疑操作的特征碼放入到計算機(jī)網(wǎng)絡(luò)入侵特征庫中進(jìn)行比對，及時的發(fā)現(xiàn)入侵行為。

4計算機(jī)網(wǎng)絡(luò)安全檢測技術(shù)的現(xiàn)實(shí)意義

4.1對防火墻安全構(gòu)架的補(bǔ)充

在時代的發(fā)展中，計算機(jī)的防火墻系統(tǒng)不足以承擔(dān)起計算機(jī)的網(wǎng)絡(luò)安全的重任。計算機(jī)網(wǎng)絡(luò)安全監(jiān)測技術(shù)是對防火墻系統(tǒng)的補(bǔ)充，二者協(xié)同作用，共同完成計算機(jī)網(wǎng)絡(luò)安全的維護(hù)。在計算機(jī)的安全維護(hù)中，一旦惡意攻擊活動避開了防火墻的監(jiān)控，可能會對計算機(jī)的操作系統(tǒng)等軟硬件造成危害。計算機(jī)網(wǎng)絡(luò)安全監(jiān)測技術(shù)在計算機(jī)的運(yùn)行中國能夠及時的發(fā)現(xiàn)計算機(jī)的網(wǎng)絡(luò)弱點(diǎn)，并對這些弱點(diǎn)進(jìn)行針對性的處理。二者的協(xié)同作用最大限度的保障了計算機(jī)運(yùn)行的安全性和可靠性。

4.2實(shí)現(xiàn)有效的網(wǎng)絡(luò)安全評估體系

計算機(jī)的網(wǎng)絡(luò)安全監(jiān)測技術(shù)的應(yīng)用，為網(wǎng)絡(luò)安全的評估機(jī)制提供了新的手段。在一些公司和事業(yè)單位進(jìn)行內(nèi)部網(wǎng)絡(luò)的建設(shè)時，可以通過計算機(jī)網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)對簡稱的內(nèi)部網(wǎng)絡(luò)監(jiān)測系統(tǒng)進(jìn)行檢測，檢測的數(shù)據(jù)提交給管理人員進(jìn)行分析，對建成網(wǎng)絡(luò)的安全性和可靠性進(jìn)行評估，并根據(jù)評估的結(jié)果對網(wǎng)絡(luò)系統(tǒng)存在的問題進(jìn)行合理的整改。

5結(jié)語

在社會的進(jìn)步和科技的發(fā)展之中，進(jìn)入數(shù)字時代的人們利用計算機(jī)完成各項生產(chǎn)活動和科研活動，極大的解放了生產(chǎn)力，創(chuàng)造了極大的經(jīng)濟(jì)效益和社會效益。在數(shù)字時代的背景下人們對計算機(jī)的網(wǎng)絡(luò)安全提出了新的要求，在計算機(jī)網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)的建設(shè)時，相關(guān)的從業(yè)人員一定要結(jié)合計算機(jī)網(wǎng)絡(luò)安全的實(shí)際情況對系統(tǒng)進(jìn)行合理的設(shè)計。利用計算機(jī)網(wǎng)絡(luò)檢測技術(shù)的實(shí)時監(jiān)測功能，發(fā)揮防火墻和計算機(jī)網(wǎng)絡(luò)安全監(jiān)測技術(shù)的協(xié)同作用，將計算機(jī)的安全工作落到實(shí)處。我相信通過相關(guān)從業(yè)人員的不斷努力，我國計算機(jī)的網(wǎng)絡(luò)安全工作一定會取得新的成就。

參考文獻(xiàn)

[1]葉忠杰.計算機(jī)網(wǎng)絡(luò)安全技術(shù).科學(xué)出版社，2003.

[2]龍冬陽.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].華南理工大學(xué)出版社，2006.

篇（6）

如今信息化系統(tǒng)建設(shè)迅速發(fā)展，開放的網(wǎng)絡(luò)帶來了優(yōu)勢，同時開放性的存在也導(dǎo)致了許多安全方面的漏洞，諸如信息竊取、黑客攻擊、網(wǎng)絡(luò)惡意行為等，維護(hù)網(wǎng)絡(luò)安全的壓力越來越大。

一、信息化系統(tǒng)網(wǎng)絡(luò)安全標(biāo)志

（一）系統(tǒng)正常運(yùn)行。系統(tǒng)正常運(yùn)行是指信息化系統(tǒng)能夠安全運(yùn)行，避免出現(xiàn)系統(tǒng)損壞或崩潰而導(dǎo)致系統(tǒng)中需要傳輸、處理以及儲存的信息出現(xiàn)損失或破壞。（二）系統(tǒng)信息安全。系統(tǒng)信息安全包含數(shù)據(jù)加密、病毒防治、安全問題跟蹤、安全審計、方式控制、數(shù)據(jù)存取權(quán)限、用戶存取限制以及用戶的口令鑒別等內(nèi)容。（三）網(wǎng)絡(luò)信息安全。網(wǎng)絡(luò)信息安全是指信息的保密性、完整性、可用性、可控性，防止攻擊者利用系統(tǒng)安全漏洞對合法用戶的信息進(jìn)行詐騙、冒充以及竊聽等。（四）傳播途徑安全。傳播途徑安全是指采取信息過濾，對有害和非法的信息進(jìn)行控制及制止，防止在公用網(wǎng)絡(luò)上出現(xiàn)大量失控的自由信息傳輸。

二、信息化系統(tǒng)網(wǎng)絡(luò)安全威脅

（一）網(wǎng)絡(luò)軟件存在安全漏洞。系統(tǒng)的很多軟件使用一段時間后，不可避免地會出現(xiàn)缺陷，需要及時補(bǔ)丁來進(jìn)行漏洞彌補(bǔ)；系統(tǒng)使用的一些商用軟件，源程序會逐漸變得公開或者半公開化，存在漏洞容易被攻擊；管理員為方便維護(hù)管理，設(shè)置遠(yuǎn)程終端登錄，加大了病毒或者黑客攻擊的可能性，給網(wǎng)絡(luò)系統(tǒng)造成了很大的安全漏洞。（二）網(wǎng)絡(luò)協(xié)議存在安全缺陷。系統(tǒng)使用的基本協(xié)議TCP／IP存在著較多安全缺陷，主要包括:應(yīng)用層協(xié)議中的SMT、FTP等協(xié)議缺乏保密以及認(rèn)證措施；以軟件所配置的IP地址為基礎(chǔ)，形成地址欺騙以及地址假冒；現(xiàn)有的IP地址可以支持源路由方式，在一定程度上為原路由的攻擊提供了條件。（三）產(chǎn)品技術(shù)不能完全國產(chǎn)。目前，任何一個國家的信息技術(shù)發(fā)展不可能盡善盡美，完全依賴自主研發(fā)，我國也不例外。有調(diào)查數(shù)據(jù)顯示，我國有67%左右的信息產(chǎn)品與技術(shù)都是從國外進(jìn)口的。因此，信息化系統(tǒng)建設(shè)不可能達(dá)到完全國產(chǎn)化，硬件設(shè)施和操作系統(tǒng)難免會使用國外產(chǎn)品，這就可能存在安全陷阱，使網(wǎng)絡(luò)安全管理受制于人。

三、信息化系統(tǒng)網(wǎng)絡(luò)安全防護(hù)

（一）防火墻技術(shù)。在信息化系統(tǒng)中使用防火墻技術(shù)可以使數(shù)據(jù)、信息等在進(jìn)行網(wǎng)絡(luò)層訪問時產(chǎn)生一定的控制。經(jīng)過鑒別限制或者更改越過防火墻的各種數(shù)據(jù)流，可以實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)，極大限度地對網(wǎng)絡(luò)中出現(xiàn)的黑客進(jìn)行阻止，在一定層面上可以防止黑客惡意更改、隨意移動網(wǎng)絡(luò)重要信息。（二）安全檢查技術(shù)。安全檢查技術(shù)主要用于對用戶的合法性進(jìn)行鑒別，在鑒別過程中，通常需要用戶輸入口令，由于口令本身較容易被猜到以及失竊，可能增加黑客入侵的幾率。為了提高其安全性，用戶可使用更為可靠、穩(wěn)妥的認(rèn)證方案，經(jīng)過身份認(rèn)證的技術(shù)可以在一定范圍內(nèi)保證信息的完整性機(jī)密性。（三）數(shù)字簽名技術(shù)。所謂簽名就是驗(yàn)證用戶真實(shí)身份的一種獨(dú)有信息，數(shù)字簽名技術(shù)在使用過程中，通常采用解密、加密的方式對報文的數(shù)字簽名進(jìn)行實(shí)現(xiàn)。決定其安全性的主要因素就是密碼體制的安全程度，隨著密碼體制的不斷改進(jìn)，其安全性也會隨之提高。（四）入侵檢測技術(shù)。防火墻只是保護(hù)內(nèi)部的網(wǎng)絡(luò)不被外部攻擊，對于內(nèi)部網(wǎng)絡(luò)存在的非法活動監(jiān)控程度還不夠，入侵系統(tǒng)就是為了彌補(bǔ)這一點(diǎn)而存在，它可以對內(nèi)部、外部攻擊積極地進(jìn)行實(shí)時保護(hù)，在網(wǎng)絡(luò)受到攻擊前就可以將信息攔截，提高信息的安全性。（五）漏洞掃描技術(shù)。如今網(wǎng)絡(luò)不斷復(fù)雜且變幻莫測，僅僅依靠網(wǎng)絡(luò)管理員進(jìn)行安全漏洞以及風(fēng)險評估顯然不行，只有依靠網(wǎng)絡(luò)的安全掃描工具才可以在優(yōu)化的系統(tǒng)配置下將安全漏洞以及安全隱患消除掉。在某些安全程度較低的狀況下可以使用黑客工具進(jìn)行網(wǎng)絡(luò)的模擬攻擊，這樣可以一定層面地將網(wǎng)絡(luò)漏洞暴露出來。

（六）密碼技術(shù)。密碼技術(shù)就是使用密碼機(jī)對明文信息進(jìn)行組合、交換，產(chǎn)生密文，然后將加密的信息在網(wǎng)絡(luò)上傳播。惡意者若將密文截獲，必須進(jìn)行正確的解碼才能獲取有用信息，否則也是徒勞無獲，這就在一定程度上避免了信息的泄漏。（七）偵聽監(jiān)測技術(shù)。使用配置分析軟件來對網(wǎng)絡(luò)進(jìn)行掃描，一旦發(fā)現(xiàn)原有的設(shè)置參數(shù)出現(xiàn)了改動，就必須采取相應(yīng)的措施來對其進(jìn)行處理。對內(nèi)部網(wǎng)絡(luò)中的違規(guī)操作行為進(jìn)行實(shí)時監(jiān)控。其響應(yīng)對策主要有發(fā)送警告信息，拒絕存儲。

作者:王艷 單位:93897部隊

篇（7）

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 17-0000-02

1 網(wǎng)絡(luò)安全評估分析系統(tǒng)

1.1 網(wǎng)絡(luò)安全評估分析系統(tǒng)的必要性

面對用戶網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險評估，制定符合用戶網(wǎng)絡(luò)應(yīng)用的安全策略顯然是不現(xiàn)實(shí)的。解決的方案是，尋找一種能尋找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全分析評估系統(tǒng)。

檢測現(xiàn)有網(wǎng)絡(luò)中的邊界設(shè)備（如路由器交換機(jī)）、網(wǎng)絡(luò)安全設(shè)備（防火墻、入侵檢測系統(tǒng)）、服務(wù)器（包括內(nèi)部網(wǎng)絡(luò)系統(tǒng)的各種應(yīng)用服務(wù)器）、主機(jī)、數(shù)據(jù)庫等進(jìn)行掃描，預(yù)先查找出存在的漏洞，從而進(jìn)行及時的修補(bǔ)，對網(wǎng)絡(luò)設(shè)備等存在的不安全配置重新進(jìn)行安全配置。

目前大多數(shù)的病毒都已經(jīng)不是簡單的復(fù)制和占據(jù)資源的概念，其已經(jīng)演變?yōu)橥ㄟ^利用系統(tǒng)漏洞和脆弱性，破壞和盜取信息為目的軟件。所以，通過安全評估分析系統(tǒng)，在網(wǎng)絡(luò)受到感染以前，及時地修補(bǔ)系統(tǒng)漏洞，從而更有效的保護(hù)局域網(wǎng)。

1.2 網(wǎng)絡(luò)安全評估分析系統(tǒng)選型

安全評估系統(tǒng)（掃描對象包括網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫系統(tǒng)）使用戶有機(jī)會在故障出現(xiàn)之前將其修復(fù)，而不是對一項已經(jīng)進(jìn)行的入侵或誤用情況做出反應(yīng)。漏洞掃描可以讓用戶首先防止入侵。漏洞掃描也許對那些沒有很好的事件響應(yīng)能力的用戶會有幫助。

在用戶網(wǎng)絡(luò)系統(tǒng)中，部署一臺百兆硬件網(wǎng)絡(luò)安全評估分析系統(tǒng)，它通過對網(wǎng)絡(luò)安全弱點(diǎn)全面和自主地檢測與分析，能夠迅速找到并修復(fù)安全漏洞。能同時對網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)、防火墻等）、小型機(jī)、PC SERVER和PC機(jī)操作系統(tǒng)（如Windows）和應(yīng)用程序（如IIS）由于各種原因存在一些漏洞（包括系統(tǒng)漏洞、脆弱口令等），將風(fēng)險分為高，中，低三個等級并且生成大范圍的有意義的報表，從以管理者角度來分析的報告到為消除風(fēng)險而給出的詳盡的逐步指導(dǎo)方案均可以體現(xiàn)在報表中。

（1）全面的產(chǎn)品資質(zhì)認(rèn)定

網(wǎng)絡(luò)安全評估系統(tǒng)具有如下的產(chǎn)品資質(zhì)認(rèn)證，為用戶提供滿意的產(chǎn)品：

公安部《計算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》

國家保密局《科學(xué)技術(shù)成果鑒定證書》

國家信息安全測評認(rèn)證中心《國家信息安全產(chǎn)品認(rèn)證產(chǎn)品型號證書》

（2）易用性

網(wǎng)絡(luò)安全評估分析系統(tǒng)應(yīng)該充分考慮了中國人的使用習(xí)慣，具有良好的易用性。安裝和使用界面全中文化，操作使用符合標(biāo)準(zhǔn)的WINDOWS風(fēng)格，用戶大部分只要通過電擊鼠標(biāo)就可以達(dá)到目的。管理工作更加方便，其輸出也更加有價值。

（3）產(chǎn)品擴(kuò)展性

網(wǎng)絡(luò)安全評估分析系統(tǒng)的測試方法庫采用插件方式，升級極為容易，添加新的插件就可以使軟件增加新的功能，掃描更多漏洞。同時這種技術(shù)使軟件的升級維護(hù)都變得相對簡單，并具有非常強(qiáng)的擴(kuò)展性。

1.3 網(wǎng)絡(luò)安全評估分析系統(tǒng)部署

網(wǎng)絡(luò)安全評估分析系統(tǒng)可以定期連入管理中心網(wǎng)絡(luò)的網(wǎng)管交換機(jī)或者中心交換機(jī)上，對網(wǎng)絡(luò)設(shè)備進(jìn)行網(wǎng)絡(luò)安全評估，比如小型機(jī)、PC SERVER、網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器等）、安全設(shè)備（如防火墻）及內(nèi)網(wǎng)各工作站系統(tǒng)，進(jìn)行周期性的安全評估，得出安全評估分析報告，然后進(jìn)行相應(yīng)的漏洞修補(bǔ)或重新設(shè)計安全策略，以達(dá)到網(wǎng)絡(luò)中硬件設(shè)備系統(tǒng)和應(yīng)用平臺的安全化。

1.4 網(wǎng)絡(luò)安全評估分析系統(tǒng)部署后作用

（1）安全評估是本系統(tǒng)的主要功能，也稱為“脆弱性分析”或者“網(wǎng)絡(luò)安全掃描”，通過本網(wǎng)絡(luò)安全評估分析系統(tǒng)的部署，可以對網(wǎng)絡(luò)內(nèi)計算機(jī)系統(tǒng)或者網(wǎng)絡(luò)設(shè)備進(jìn)行安全測試與評估，獲得相關(guān)安全信息，找出安全隱患和可被黑客利用的漏洞。

（2）設(shè)備可以結(jié)合CVSS（通用脆弱性評級體系）和等級保護(hù)方法的理論，科學(xué)的給出相應(yīng)的安全分析和可操作的修補(bǔ)處理建議，為網(wǎng)絡(luò)管理人員提供修補(bǔ)漏洞的方法，使得管理可以及時修補(bǔ)網(wǎng)絡(luò)隱患，做到防患于未然。

（3）自評估部分還可以協(xié)助管理員對設(shè)備進(jìn)行問題的自動修補(bǔ)。

2 應(yīng)用防護(hù)

2.1 Web應(yīng)用防護(hù)系統(tǒng)的必要性

隨著越來越多的應(yīng)用系統(tǒng)以WEB的方式被部署，這些系統(tǒng)的敏感數(shù)據(jù)如用戶信息等被黑客盜竊和篡改的潛在風(fēng)險也越來越高。回顧當(dāng)今成功的系統(tǒng)攻擊，很多都是利用了WEB應(yīng)用漏洞。實(shí)施這些攻擊的人，既有來自外部的黑客，也有來自內(nèi)部的不懷好意的用戶。

因?yàn)榛赪EB的應(yīng)用系統(tǒng)可以通過任意瀏覽器進(jìn)行訪問，用戶往往更容易訪問到這些系統(tǒng)，從而在一定程度上可以通過這些系統(tǒng)繞過內(nèi)部的安全控制。

對大多數(shù)公司來說，WEB應(yīng)用系統(tǒng)已經(jīng)成為安全的邊界。使用WEB安全網(wǎng)關(guān)是確保這些系統(tǒng)安全的唯一途徑。然而，考慮到WEB應(yīng)用的多樣性，WEB安全網(wǎng)關(guān)往往只有在針對具體的應(yīng)用精心配置后才能有效地承擔(dān)起應(yīng)用保護(hù)的角色。沒有正確部署的WEB安全網(wǎng)關(guān)往往會阻斷合法用戶對系統(tǒng)的正常訪問，甚至沒能起到應(yīng)有的左右而讓黑客長驅(qū)直入。

WEB安全網(wǎng)關(guān)是一種新型的可以保護(hù)WEB系統(tǒng)免遭攻擊的網(wǎng)絡(luò)及應(yīng)用安全設(shè)備。它通過執(zhí)行非常細(xì)粒度的安全策略來保證WEB應(yīng)用系統(tǒng)自身以及系統(tǒng)數(shù)據(jù)免遭各種攻擊。得益于WEB安全網(wǎng)關(guān)所使用的突破性技術(shù)，這些安全策略能夠非常容易地適應(yīng)各種WEB應(yīng)用系統(tǒng)，從而滿足所有的安全需要。

WEB 安全網(wǎng)關(guān)為WEB應(yīng)用提供了全面的應(yīng)用層保護(hù)，它不但能抵御目前已知的攻擊及其變種，還能抵御未知的攻擊。

需要特別指出的是，WEB安全網(wǎng)關(guān)通過自己獨(dú)特的WEB對象混淆技術(shù)，大大提高了攻擊者的技術(shù)門檻，甚至能使大部分的普通攻擊者無從下手；獨(dú)創(chuàng)的安全令牌技術(shù)則能徹底防止WEB應(yīng)用對象被篡改和偽造。由于攻擊者無法篡改和偽造WEB請求數(shù)據(jù)，攻擊便無法實(shí)施。此外，通過與WEB應(yīng)用緊密相連的安全策略的配合，WEB安全網(wǎng)關(guān)能嚴(yán)格限制合法用戶的行為，避免了對系統(tǒng)受限資源非法的訪問。

融合可靠的應(yīng)用層過濾技術(shù)和先進(jìn)的數(shù)據(jù)加密技術(shù)， WEB安全網(wǎng)關(guān)完全能為企業(yè)級的WEB應(yīng)用提供完整的安全解決方案。

2.2 Web安全網(wǎng)關(guān)的選型

根據(jù)用戶網(wǎng)絡(luò)的應(yīng)用需求，推薦使用Web安全網(wǎng)關(guān)產(chǎn)品可以滿足了網(wǎng)絡(luò)需求，很好的解決了對Web服務(wù)器的防護(hù)和管理功能。

具體功能如下：

2.2.1 基于黑名單的攻擊過濾器能阻斷目前大部分的常見攻擊

（1）SQL注入

（2）跨站腳本攻擊

（3）已知的蠕蟲和系統(tǒng)漏洞

（4）對敏感資源和數(shù)據(jù)的非法訪問

（5）其他系統(tǒng)溢出攻擊

2.2.2 基于白名單的防御引擎能阻斷任何非法的攻擊

（1）偽造用戶輸入數(shù)據(jù)

（2）非法的應(yīng)用訪問流程

（3）Cookie濫用

（4）HTTP請求劫持

2.2.3 完備的網(wǎng)絡(luò)層安全和服務(wù)提供整體防御

（1）狀態(tài)檢測防火墻

（2）IP/端口過濾

（3）應(yīng)用層DDOS防護(hù)

（4）SSL 加速

2.2.4 靈活多變的偽裝技術(shù)使系統(tǒng)逃避探測和攻擊

（1）防止對服務(wù)器操作系統(tǒng)和WEB服務(wù)器的指紋探測

（2）自定義錯誤頁面防止敏感信息泄露

（3）刪除網(wǎng)頁開發(fā)工具信息以及代碼注釋，使黑客無法獲取重要的信息

（4）防止服務(wù)器端代碼泄露

2.2.5 豐富的日志提供強(qiáng)大的報表和審計功能

（1）詳細(xì)的系統(tǒng)日志和訪問控制日志

（2）豐富的WEB資源訪問統(tǒng)計報表

（3）詳細(xì)的攻擊統(tǒng)計報表

（4）支持標(biāo)準(zhǔn)的syslog日志服務(wù)器

（5）基于XML的日志數(shù)據(jù)便于與外部系統(tǒng)集成

2.3 Web安全網(wǎng)關(guān)的部署

WEB安全網(wǎng)關(guān)能根據(jù)用戶的需要采用多種部署方式。標(biāo)準(zhǔn)的設(shè)備部署在Web服務(wù)器前面，配置過程可以在幾個小時內(nèi)完成，WEB安全網(wǎng)關(guān)可以抵抗絕大部分常見的攻擊。通過在標(biāo)準(zhǔn)部署基礎(chǔ)上進(jìn)行高級的安全策略調(diào)整，可以根據(jù)需要提供最高級別的安全，徹底杜絕攻擊發(fā)生的可能。

2.4 Web安全網(wǎng)關(guān)的作用

2.4.1 最大可能地減少針對WEB的攻擊

隨著越來越多的基于WEB的應(yīng)用系統(tǒng)投入使用，越來越多的敏感數(shù)據(jù)被暴露在當(dāng)前的系統(tǒng)無法解決的安全威脅之下。一旦攻擊得逞，損失便大的無法接受。使用WEB安全網(wǎng)關(guān)能最大可能地減少針對WEB應(yīng)用的攻擊。

2.4.2 避免敏感信息被盜，符合行業(yè)安全規(guī)范

當(dāng)今很多行業(yè)如銀行和電子商務(wù)等行業(yè)都有自己的安全規(guī)范，符合這些安全規(guī)范是業(yè)務(wù)正常開展的基礎(chǔ)。目前WEB應(yīng)用系統(tǒng)是黑客們?yōu)榱双@取諸如客戶信息等敏感數(shù)據(jù)而尋找的最主要的攻擊目標(biāo)，每年因?yàn)獒槍?yīng)用層的攻擊而導(dǎo)致的損失都高達(dá)己億美元。WEB安全網(wǎng)關(guān)是解決敏感數(shù)據(jù)經(jīng)由WEB系統(tǒng)被盜竊這一棘手的安全問題的最重要也是最有效的途徑。

2.4.3 無須安全補(bǔ)丁，保護(hù)已有投資

因?yàn)橹缿?yīng)用系統(tǒng)容易遭受各種攻擊，IT部門需要不間斷地監(jiān)控各站點(diǎn)并且安裝各種最新的補(bǔ)丁。因?yàn)槿缜八觯琖EB安全網(wǎng)關(guān)能阻止各種針對WEB應(yīng)用和WEB服務(wù)器的攻擊，從而大大降低了系統(tǒng)對補(bǔ)丁的依賴性。此外，對于存在安全漏洞但是因?yàn)槠渌驘o法進(jìn)行升級的舊有系統(tǒng)，WEB安全網(wǎng)關(guān)也能保證系統(tǒng)能安全地運(yùn)行，從而保護(hù)了客戶的投資。

2.4.4 安全便捷，使用簡單

篇（8）

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 (2011) 23-0000-01

Computer Network Security Vulnerabilities and Countermeasures

Liao Ying

(Guangxi Institute of Science and Technical,Chongzuo 532200,China)

Abstract:As the network technology and the spread of information technology,computer network security problems will become increasingly prominent.The impact of attacks increasing,the frequency of occurrence is increasing.This paper analyzes the vulnerability against the importance of computer network security,and secondly,on how to prevent computer network security vulnerabilities in-depth discussion,with some reference value.

Keywords:Computer;Network;Security vulnerabilities

隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的普及，計算機(jī)網(wǎng)絡(luò)安全問題也就顯得越來越突出。攻擊事件造成的影響日益嚴(yán)重，發(fā)生的頻率也日益增加。眾所周知，計算機(jī)網(wǎng)絡(luò)具備信道共用性、分布廣域性、資源共享性、體系結(jié)構(gòu)開放性的特點(diǎn)，因此，也不可避免地會存在著系統(tǒng)的脆弱性，使其面臨嚴(yán)重的安全問題，而幾乎所有的攻擊者都是利用現(xiàn)有計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的安全漏洞來進(jìn)行活動。

一、防范計算機(jī)網(wǎng)絡(luò)安全漏洞的重要性

計算機(jī)網(wǎng)絡(luò)面臨的威脅是多方面的，既包括對網(wǎng)絡(luò)中設(shè)備的威脅，又包括對網(wǎng)絡(luò)中信息的威脅。計算機(jī)安全一般包含信息安全和物理安全兩方面，信息安全也就是網(wǎng)絡(luò)安全，能夠有效保護(hù)網(wǎng)絡(luò)信息的可用性、完整性和保密性。因此，加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全保護(hù)尤為重要。只有針對這些網(wǎng)絡(luò)威脅采取必要的保護(hù)措施，才能確保計算機(jī)網(wǎng)絡(luò)信息的可靠性、安全性和保密性。根據(jù)美國FBI（美國聯(lián)邦調(diào)查局）的調(diào)查，美國每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過170億美元，75%的公司報告財政損失是由于計算機(jī)系統(tǒng)的安全問題造成的，平均每天會有1.5萬個網(wǎng)頁受到病毒感染或者遭受黑客攻擊。也就是說，每5秒鐘就會有一個網(wǎng)頁成為黑客們的“盤中餐”。在中國國內(nèi)，互聯(lián)網(wǎng)的安全問題形勢也非常嚴(yán)重。據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心2007年的評估數(shù)據(jù)顯示，在全球的620萬臺“僵尸”電腦中，約有360萬臺在中國，占58%以上。同時，感染了“特洛伊”病毒的電腦數(shù)量仍在穩(wěn)步上升。

二、如何有效防止計算機(jī)網(wǎng)絡(luò)的安全漏洞

（一）完善防火墻技術(shù)。防火墻的英文名為“Fire Wall”，它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專業(yè)角度講，防火墻是位于兩個（或多個）網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件集合。從防火墻的防護(hù)實(shí)現(xiàn)中，主要應(yīng)用以下技術(shù)：

1.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）。目前網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)現(xiàn)在已成為了防火墻的主要技術(shù)之一。通過NAT技術(shù)能夠很好地保護(hù)內(nèi)部網(wǎng)絡(luò)用戶，屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址。NAT又分DNAT和SNAT兩種。DNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的目的地址，當(dāng)內(nèi)部網(wǎng)絡(luò)主機(jī)收到了外部網(wǎng)絡(luò)主機(jī)發(fā)出的通訊連接之后，防火墻首先把數(shù)據(jù)包的目的地址轉(zhuǎn)換成為自己的地址，然后再轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)的通信連接，這樣就較為有效地保護(hù)了內(nèi)部主機(jī)的信息安全，因?yàn)閷?shí)際上就將內(nèi)部網(wǎng)絡(luò)主機(jī)與外部網(wǎng)絡(luò)主機(jī)的通信轉(zhuǎn)變成為了內(nèi)部網(wǎng)絡(luò)主機(jī)和防火墻的通信。而SNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的源地址，對外部網(wǎng)絡(luò)是屏蔽的，只是對內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，這樣一來，外部非法用戶對內(nèi)部主機(jī)的攻擊就更加困難。

2.多級的過濾技術(shù)。防火墻技術(shù)主要采用三級過濾措施來實(shí)現(xiàn)它的功能，分別是電路網(wǎng)關(guān)、應(yīng)用網(wǎng)關(guān)和分組。分組過濾一級可以有效過濾掉所有假冒的IP源地址和假冒的源路由分組；在應(yīng)用網(wǎng)關(guān)一級可以監(jiān)測和控制Internet提供的所有通用服務(wù)，它采用的是SMTP等各種網(wǎng)關(guān)；而在電路網(wǎng)關(guān)一級，嚴(yán)格控制服務(wù)的執(zhí)行，實(shí)現(xiàn)外部站點(diǎn)和內(nèi)部主機(jī)的透明連接。

（二）防病毒技術(shù)。隨著互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的不斷發(fā)展，計算機(jī)病毒對計算機(jī)系統(tǒng)構(gòu)成了極大的威脅，同時，病毒也變得越來越高級、越來越復(fù)雜。目前市面上普遍使用的防病毒軟件一般可以分為單機(jī)防病毒軟件和網(wǎng)絡(luò)防病毒軟件兩大類。單機(jī)防病毒軟件一般是分析掃描本地和本地工作站鏈接的資源，通過快速檢測來達(dá)到清除計算機(jī)病毒的目的。而網(wǎng)絡(luò)防病毒軟件則不是側(cè)重于單臺電腦的防病毒處理，而是主要注重于網(wǎng)絡(luò)防病毒，一旦病毒從網(wǎng)絡(luò)向其它資源傳染，那么該軟件就會歷盡檢測，并及時加以刪除。例如金山毒霸網(wǎng)絡(luò)版V7.0具備提前被系統(tǒng)加載特性，可以在病毒模塊還沒有加載或被保護(hù)的時候刪除被保護(hù)的病毒文件或攔截禁止病毒的保護(hù)模塊；精確打擊，定點(diǎn)清除頑固惡意軟件和木馬，解決能查不能殺的難題從而完成正常殺毒任務(wù)。金山毒霸網(wǎng)絡(luò)版V7.0實(shí)現(xiàn)了集中式配置、部署、策略管理和報告，并支持管理員對網(wǎng)絡(luò)安全進(jìn)行實(shí)時審核，以確定哪些節(jié)點(diǎn)易于受到病毒的攻擊，以及在出現(xiàn)緊急病毒情況時采取何種應(yīng)急處理措施。網(wǎng)絡(luò)管理員可以通過邏輯分組的方式管理客戶端和服務(wù)器的反病毒相關(guān)工作，并可以創(chuàng)建、部署和鎖定安全策略和設(shè)置，從而使得網(wǎng)絡(luò)系統(tǒng)保持最新狀態(tài)和良好的配置。金山毒霸網(wǎng)絡(luò)版V7.0采用分布式的漏洞掃描及修復(fù)技術(shù)。管理員通過管理節(jié)點(diǎn)獲取客戶機(jī)主動智能上報的漏洞信息，再精確部署漏洞修復(fù)程序；其通過Proxy（）下載修復(fù)程序的方式，極大地降低了網(wǎng)絡(luò)對外帶寬的占用。全網(wǎng)漏洞掃描及修復(fù)過程無需人工參與，且能夠在客戶機(jī)用戶未登錄或以受限用戶登錄情況下進(jìn)行。

（三）加密技術(shù)。加密技術(shù)一般分為非對稱加密和對稱加密兩大類。在對稱加密技術(shù)中，都使用相同的鑰匙來對信息的解密和加密，這種加密的方法能夠有效地簡化加密處理過程。而對于非對稱加密體系而言，密鑰被分解為一對不同的密鑰（即私有密鑰和公開密鑰）。這對密鑰中可以把任何一把作為加密密鑰（公開密鑰），通過公開的方式向他人公開，而另一把則作為解密密鑰（私有密鑰）加以保存。私有密鑰用于解密，公開密鑰用于加密。

參考文獻(xiàn)：

[1]郝玉潔,.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京:電子科技大學(xué)學(xué)報社科版,2002,1(4):24-28

篇（9）

一、引言

“互聯(lián)網(wǎng)+”指的是互聯(lián)網(wǎng)與各個傳統(tǒng)行業(yè)之間的結(jié)合，將互聯(lián)網(wǎng)技術(shù)融合入社會各領(lǐng)域中。[1]為了緊緊把握現(xiàn)代化創(chuàng)新發(fā)展的趨勢，在“互聯(lián)網(wǎng)+”這個新型背景下，校園網(wǎng)絡(luò)逐漸在高校中興起。校園網(wǎng)絡(luò)促使高校的教學(xué)模式進(jìn)行了一次變革，信息技術(shù)的運(yùn)用使高校內(nèi)部資源共享的目標(biāo)得以實(shí)現(xiàn)。學(xué)生們可以運(yùn)用校園網(wǎng)絡(luò)進(jìn)行自主創(chuàng)新學(xué)習(xí)，并能夠通過校園網(wǎng)絡(luò)查閱一些資料，從而在一定程度上豐富自己的知識。但校園網(wǎng)絡(luò)正受到一定的沖擊，其遭遇的安全威脅也在不斷增多，這些不利因素將有害于校網(wǎng)網(wǎng)絡(luò)的使用，亟待相關(guān)人員采取科學(xué)合理的措施來消除這些影響。

二、高校校園網(wǎng)絡(luò)的安全問題分析

1網(wǎng)絡(luò)自身存在著安全漏洞

互聯(lián)網(wǎng)最先出現(xiàn)在人們的生活中時，其用戶規(guī)模非常小，這致使設(shè)計人員在規(guī)劃時沒有在意網(wǎng)絡(luò)安全方面的問題，使得互聯(lián)網(wǎng)中含有比較多的安全漏洞。各種相關(guān)的硬件設(shè)備在出廠前可能沒有按照要求進(jìn)行檢測就被運(yùn)用于網(wǎng)絡(luò)體系中，這不可避免會對校園網(wǎng)絡(luò)造成無法挽回的損失。雖然部分系統(tǒng)內(nèi)部里面設(shè)置有安全防護(hù)機(jī)制，但是由于相關(guān)操作人員的能力有限，對互聯(lián)網(wǎng)技術(shù)的理解還不夠透徹，致使這些機(jī)制無法得到有效運(yùn)用，最終會對網(wǎng)絡(luò)體系造成一定干擾。

2內(nèi)部使用者的威脅

高校校園網(wǎng)絡(luò)因?yàn)橹饕枪﹥?nèi)部人員們進(jìn)行使用，故對外界人員設(shè)置了比較多的限制手段，而輕忽了內(nèi)部管理方面的防護(hù)工作，使得校園網(wǎng)絡(luò)內(nèi)部的安全屏障非常薄弱，易受到內(nèi)部人員的攻擊而導(dǎo)致網(wǎng)絡(luò)出現(xiàn)故障。同時，學(xué)生們對網(wǎng)絡(luò)的了解不夠到位，他們往往忽略了病毒可能帶來的危害，沒有及時開展清理工作，最終將病毒傳入校園網(wǎng)絡(luò)之中，許多主要數(shù)據(jù)也會因此被損毀，校園網(wǎng)絡(luò)體系也將受到各種類型病毒的沖擊。

3管理制度不完善和安全意識淡薄

高校內(nèi)部網(wǎng)絡(luò)維護(hù)工作人員沒有嚴(yán)格按照規(guī)定要求定期對網(wǎng)絡(luò)進(jìn)行檢查，使得網(wǎng)絡(luò)內(nèi)部的問題不能及時發(fā)現(xiàn)，故無法采取有效措施來解決這些安全漏洞。部分高校在建立校園網(wǎng)絡(luò)時沒能徹底落實(shí)監(jiān)控管理制度，部分維護(hù)人員抱著僥幸心理，在進(jìn)行維護(hù)工作時非常隨意并常常謊報數(shù)據(jù)，長期以后，校園網(wǎng)絡(luò)的問題會越積越多。

由于一些老師和學(xué)生沒有經(jīng)過有關(guān)校園網(wǎng)安全的教育，使得他們的安全意識不夠強(qiáng)烈，因而會為校園網(wǎng)絡(luò)引入一系列不良成分。

4軟件的漏洞

一般來說，軟件的復(fù)雜程度與其漏洞的多少之間具有密不可分的聯(lián)系，如果該軟件的內(nèi)部規(guī)模越龐大且非常煩瑣，則其不可避免會遭受更多的安全威脅，系統(tǒng)內(nèi)部的破綻相對來說也會愈加偏多。高校校園網(wǎng)絡(luò)作為一種區(qū)域性的網(wǎng)絡(luò)，所包含的數(shù)據(jù)非常龐大，涉及的軟件種類繁多，故其內(nèi)部不可避免會存在著一系列安全漏洞。這種現(xiàn)象致使校園網(wǎng)絡(luò)更易受到各種不良沖擊，通過大量的數(shù)據(jù)分析可知，聊天、視頻、游戲和辦公等相關(guān)軟件因其良好的適應(yīng)性而被大家廣泛運(yùn)用，由于使用過于頻繁使得這些軟件的安全隱患數(shù)目較多，更易被不法分子利用起來對校園網(wǎng)絡(luò)發(fā)起攻擊。同時，操作系統(tǒng)在設(shè)計完成后仍隱含著一些安全隱患，導(dǎo)致操作系統(tǒng)經(jīng)常被各種有害因素干擾，這也嚴(yán)重影響了網(wǎng)絡(luò)的安全。

三、高校校園網(wǎng)絡(luò)安全的對策

針對上述高校校園網(wǎng)絡(luò)中存在的問題，高校網(wǎng)絡(luò)管理人員要盡可能采取一系列措施來進(jìn)行改善，以免對校園網(wǎng)絡(luò)造成破壞性影響。

1強(qiáng)化網(wǎng)絡(luò)安全管理制度建設(shè)

要想確保校園網(wǎng)絡(luò)能夠安全運(yùn)行，各個學(xué)校有必要結(jié)合自身的實(shí)際狀況來展開一系列優(yōu)化完善工作。學(xué)校在運(yùn)用校園網(wǎng)絡(luò)的同時也需擬定相關(guān)安全管理體系，以此來推動校園網(wǎng)絡(luò)平穩(wěn)運(yùn)行。為防止高校內(nèi)部人員可能帶來的安全威脅，學(xué)校可以有針對性地制訂一系列處罰章程以及相關(guān)行為規(guī)范要求，從而在一定程度上緩解高校校園網(wǎng)絡(luò)的安全壓力，并盡最大可能地減少網(wǎng)絡(luò)中所存在的安全漏洞。在規(guī)劃嚴(yán)格的制度的同時也不能忽視相關(guān)物理防護(hù)基礎(chǔ)設(shè)備的安置工作，因?yàn)檫@些物理防護(hù)工程對安全管理制度的落實(shí)起著較佳的輔助效果。

2加強(qiáng)對用戶的教育和培訓(xùn)，提升管理人員的技術(shù)水平

高水平的網(wǎng)絡(luò)管理人員往往會通過設(shè)置權(quán)限與口令以及相關(guān)安全設(shè)備來保障校園網(wǎng)的安全。[2]校園網(wǎng)的安全不僅需要管理人員的維護(hù)處理，還要求其內(nèi)部使用人員能夠合理地運(yùn)用網(wǎng)絡(luò)。故非常有必要對這些使用者展開一系列培訓(xùn)活動，通過這種模式來不斷提高他們的安全意識，使他們能夠按照安全要求來使用校園網(wǎng)。管理人員的技術(shù)水平高低對校園網(wǎng)的安全管理有著很大的影響，高水平管理人員往往會提前做好重要數(shù)據(jù)的備份工作，以防止數(shù)據(jù)在校園網(wǎng)遭遇威脅時被消除，且他們的工作效率普遍較高，在發(fā)現(xiàn)問題時能夠迅速進(jìn)行維護(hù)修復(fù)，故學(xué)校要努力爭取讓管理人員不斷提高其技術(shù)水平。

3加強(qiáng)系統(tǒng)檢測，及時修復(fù)漏洞

校園網(wǎng)監(jiān)控站要定期對整個體系進(jìn)行掃描檢測，以便能夠及時發(fā)現(xiàn)潛在的威脅，從而及時采取一系列措施來完善。各高校網(wǎng)絡(luò)中心建立操作系統(tǒng)補(bǔ)丁服務(wù)器，提供用戶補(bǔ)丁的下載、升級更新服務(wù)，使他們可以及時修復(fù)漏洞。

篇（10）

操作系統(tǒng)是計算機(jī)運(yùn)行的支撐軟件，它為用戶提供了一個能夠使得程序或其他的應(yīng)用系統(tǒng)能在計算機(jī)正常運(yùn)行的平臺。有些安裝程序經(jīng)常會附帶一些可執(zhí)行文件，一旦某個部分有漏洞，可能導(dǎo)致整個操作系統(tǒng)的崩潰；同時操作系統(tǒng)還具備一些遠(yuǎn)程調(diào)用作用，能夠提交程序?yàn)檫h(yuǎn)程服務(wù)器服務(wù)。遠(yuǎn)程調(diào)用必然需要通過眾多的通訊環(huán)節(jié)，在中間環(huán)節(jié)有可能會出現(xiàn)被人監(jiān)控等安全的隱患。

1.2網(wǎng)絡(luò)的開放性

就網(wǎng)絡(luò)的開放性而言，因?yàn)榫W(wǎng)絡(luò)技術(shù)是全開放的，導(dǎo)致其所面臨的網(wǎng)絡(luò)攻擊來源幾步確定：可能來源于物理層對傳輸線路的攻擊，也可能來源于來網(wǎng)絡(luò)層對通信協(xié)議的攻擊，還可能來源于應(yīng)用層對計算機(jī)軟件與硬件的漏洞進(jìn)行的攻擊；就網(wǎng)絡(luò)的自由性而言，大部分的網(wǎng)絡(luò)對用戶的使用來說，通常并沒有技術(shù)上的限制，同時也容易造成信息泄露。

2網(wǎng)絡(luò)安全技術(shù)應(yīng)用中的完善措施

2.1防火墻

常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過，是一種隔離控制技術(shù)，通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制，狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性；其目的在于隱蔽被保護(hù)網(wǎng)絡(luò)的具體細(xì)節(jié)，保護(hù)其中的主機(jī)及其數(shù)據(jù)。

2.2數(shù)據(jù)加密

數(shù)據(jù)加密主要用于對動態(tài)信息的保護(hù)。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊，雖無法避免，但卻可以有效地檢測；而對于被動攻擊，雖無法檢測，但卻可以避免，實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實(shí)質(zhì)上是對以符號為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和置換的變換算法。與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護(hù)，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實(shí)現(xiàn)。

2.3健全的管理

在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中，絕對的安全是不存在的，制定健全的安全管理體制是計算機(jī)網(wǎng)絡(luò)安全的重要保證，要不斷地加強(qiáng)計算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強(qiáng)安全技術(shù)建設(shè)，強(qiáng)化使用人員和管理人員的安全防范意識。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進(jìn)行安全管理工作，應(yīng)該對本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴(yán)肅處理。只有共同努力，才能使計算機(jī)網(wǎng)絡(luò)的安全可靠得到保障，從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。

2.4漏洞掃描系統(tǒng)

解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn)，面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞做出風(fēng)險評估顯然是不現(xiàn)實(shí)的。解決的方案是尋找一種能查找網(wǎng)絡(luò)安全漏洞，評估并提出修改建議的網(wǎng)絡(luò)，安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。

篇（11）

2人為的惡意攻擊：

這是計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對計算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。

3網(wǎng)絡(luò)軟件的漏洞和“后門”：

網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因?yàn)榘踩胧┎煌晟扑兄碌目喙Ａ硗猓浖摹昂箝T”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設(shè)想。

下面，我們就從不同的方面來構(gòu)建一個安全的金融網(wǎng)絡(luò)體系：

1平臺安全

平臺安全泛指操作系統(tǒng)和通用基礎(chǔ)服務(wù)安全，主要用于防范黑客攻擊手段。目前市場上大多數(shù)安全產(chǎn)品均限于解決平臺安全，該行以信息安全評估準(zhǔn)則為依據(jù)，確定平臺安全實(shí)施過程包括以下內(nèi)容：操作系統(tǒng)漏洞檢測與修復(fù);Unix系統(tǒng)、Windows系統(tǒng)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)基礎(chǔ)設(shè)施漏洞檢測與修復(fù);路由器、交換機(jī)、防火墻、通用基礎(chǔ)應(yīng)用程序漏洞檢測與修復(fù);數(shù)據(jù)庫、Web/Ftp/Mail/DNS等其他各種系統(tǒng)守護(hù)進(jìn)程、網(wǎng)絡(luò)安全產(chǎn)品部署。平臺安全實(shí)施需要用到市場上常見的網(wǎng)絡(luò)安全產(chǎn)品，主要包括防火墻、入侵檢測、脆弱性掃描和防病毒產(chǎn)品、整體網(wǎng)絡(luò)系統(tǒng)平臺安全綜合測試/模擬入侵與安全優(yōu)化。

2應(yīng)用安全

應(yīng)用安全可保障相關(guān)業(yè)務(wù)在計算機(jī)網(wǎng)絡(luò)系統(tǒng)上安全運(yùn)行，它的脆弱性可能給信息化系統(tǒng)帶來致命威脅。該行以業(yè)務(wù)運(yùn)行實(shí)際面臨的威脅為依據(jù)，為應(yīng)用安全提供的評估措施有：業(yè)務(wù)軟件的程序安全性測試(Bug分析)、業(yè)務(wù)交往的防抵賴測試、業(yè)務(wù)資源的訪問控制驗(yàn)證測試、業(yè)務(wù)實(shí)體的身份鑒別檢測、業(yè)務(wù)現(xiàn)場的備份與恢復(fù)機(jī)制檢查、業(yè)務(wù)數(shù)據(jù)的惟一性/一致性/防沖突檢測、業(yè)務(wù)數(shù)據(jù)的保密性測試、業(yè)務(wù)系統(tǒng)的可*性測試、業(yè)務(wù)系統(tǒng)的可用性測試。

測試實(shí)施后，可有針對性地為業(yè)務(wù)系統(tǒng)提供安全建議、修復(fù)方法、安全策略和安全管理規(guī)范。

3通訊安全

為防止系統(tǒng)之間通信的安全脆弱性威脅，該行以網(wǎng)絡(luò)通信面臨的實(shí)際威脅為依據(jù)，為保障系統(tǒng)之間通信的安全采取的措施有：通信線路和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性測試與優(yōu)化、安裝網(wǎng)絡(luò)加密設(shè)施、設(shè)置通信加密軟件、設(shè)置身份鑒別機(jī)制、設(shè)置并測試安全通道、測試各項網(wǎng)絡(luò)協(xié)議運(yùn)行漏洞。

其中訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。主要包括入網(wǎng)訪問控制，網(wǎng)絡(luò)的權(quán)限控制，目錄級安全控制，屬性安全控制，網(wǎng)絡(luò)服務(wù)器安全控制，網(wǎng)絡(luò)監(jiān)測和鎖定控制等。

4運(yùn)行安全

運(yùn)行安全可保障系統(tǒng)的穩(wěn)定性，較長時間內(nèi)將網(wǎng)絡(luò)系統(tǒng)的安全控制在一定范圍內(nèi)。該行為運(yùn)行安全提供的實(shí)施措施有：應(yīng)急處置機(jī)制和配套服務(wù)、網(wǎng)絡(luò)系統(tǒng)安全性監(jiān)測、網(wǎng)絡(luò)安全產(chǎn)品運(yùn)行監(jiān)測、定期檢查和評估、系統(tǒng)升級和補(bǔ)丁提供、跟蹤最新安全漏洞、災(zāi)難恢復(fù)機(jī)制與預(yù)防、系統(tǒng)改造管理、網(wǎng)絡(luò)安全專業(yè)技術(shù)咨詢服務(wù)。運(yùn)行安全是一項長期的服務(wù)，包含在網(wǎng)絡(luò)安全系統(tǒng)工程的售后服務(wù)內(nèi)。

網(wǎng)絡(luò)安全審計的目的就是要了解網(wǎng)絡(luò)的弱點(diǎn)位置和嚴(yán)重程度,以便如何糾正。提前注意到問題的存在,就能防止這些問題在被忽視的情況下變得非常嚴(yán)重。審計是每天都要完成的任務(wù),網(wǎng)絡(luò)安全工作是一個持續(xù)的過程。基本的審計工作包括:記錄用戶使用網(wǎng)絡(luò)系統(tǒng)的過程并對這些記錄檢查審計、分析例外事件和違規(guī)操作,對網(wǎng)絡(luò)的安全和使用作出評估。

5管理安全

管理安全對以上各個層次的安全性提供管理機(jī)制，以網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)、實(shí)際條件和管理要求為依據(jù)，利用各種安全管理機(jī)制，為用戶綜合控制風(fēng)險、降低損失和消耗，促進(jìn)安全生產(chǎn)效益。銀行的各種重大數(shù)據(jù)都集中在服務(wù)器，從而也成為黑客們攻擊的主要對象。因此，服務(wù)器的安全是銀行系統(tǒng)安全的重中之重。一旦服務(wù)器上存放的數(shù)據(jù)被竊取、篡改、破壞、刪除，其后果非常嚴(yán)重。

要保障銀行安全，除了要部署目前已經(jīng)得到廣泛應(yīng)用的防火墻和防病毒產(chǎn)品外，入侵檢測、主機(jī)保護(hù)等產(chǎn)品或工具也是必不可少的。

設(shè)置安全檢測和攻擊預(yù)警系統(tǒng)的目的是：運(yùn)用成熟的攻擊、反攻擊技術(shù)，分析已知的系統(tǒng)安全漏洞和薄弱環(huán)節(jié)。安全檢測可以在不安全因素被誘發(fā)之前，消除系統(tǒng)可能的安全隱患。攻擊預(yù)警系統(tǒng)可以實(shí)時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，阻撓不安全用戶進(jìn)入系統(tǒng)。

入侵檢測的主要安全需求是：根據(jù)網(wǎng)絡(luò)攻擊的特征，在被保護(hù)網(wǎng)絡(luò)的入口處進(jìn)行實(shí)時監(jiān)測。發(fā)現(xiàn)攻擊時，向管理員報警并阻斷、記錄攻擊的來源；針對系統(tǒng)掃描以及實(shí)時監(jiān)測發(fā)現(xiàn)的系統(tǒng)漏洞，及時采取措施，實(shí)施動態(tài)的安全防衛(wèi)策略；

6人為因素引發(fā)的安全策略

在建立網(wǎng)絡(luò)管理體系時,人為因素對網(wǎng)絡(luò)安全的影響非常重要,即使制定了相當(dāng)完善的安全制度,如果操作員不認(rèn)真履行操作規(guī)程或越權(quán)執(zhí)行,都將對網(wǎng)絡(luò)造成不安全因素。操作人員、網(wǎng)絡(luò)管理人員、安全管理人員,應(yīng)堅持多人負(fù)責(zé)、職責(zé)分離、任期有限的原則。對于有些工作:如程序的操作和開發(fā)、機(jī)密資料的接受和發(fā)送、安全管理和網(wǎng)絡(luò)系統(tǒng)管理、密碼的管理和使用、操作和媒介管理等,必須分工管理;重要操作如證件發(fā)放、處理機(jī)密信息、軟硬件維護(hù)、程序刪除和修改、數(shù)據(jù)刪除和修改等,必須堅持多人監(jiān)督。安全管理工作人員,應(yīng)該有任期時限,不能成為專有和永久性的,應(yīng)強(qiáng)制休假或培訓(xùn),以提高網(wǎng)絡(luò)安全性和安全管理效率。

結(jié)語

根據(jù)上述安全管理策略,結(jié)合從事金融行業(yè)網(wǎng)絡(luò)建設(shè)多年的經(jīng)驗(yàn),作者認(rèn)為一套完善、高效、集中的金融網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該達(dá)到如下目標(biāo):

(1)面向運(yùn)維:系統(tǒng)應(yīng)作為全行網(wǎng)絡(luò)的性能預(yù)警器,對異常和非趨勢現(xiàn)象向相關(guān)運(yùn)維單元通告。系統(tǒng)應(yīng)是一套適合全行網(wǎng)絡(luò)發(fā)展的完整的網(wǎng)絡(luò)性能分析方案,它由一些不同的功能模塊所組成,性能管理、配置管理、報表管理等,這些功能模塊建立在通用的數(shù)據(jù)平臺上,通過自動化的工作流程緊密連接,形成一個有機(jī)的整體。