网络与信息安全大全11篇

绪论：写作既是个人情感的抒发，也是对学术真理的探索，欢迎阅读由发表云整理的11篇网络与信息安全范文，希望它们能为您的写作提供参考和启发。

篇（1）

一、防火墙技术

（1）包封过滤型：封包过滤型的控制方式会检查所有进出防火墙的封包标头内容，如对来源及目地IP、使用协定、TCP或UDP的Port等信息进行控制管理。现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力。（2）封包检验型：封包检验型的控制机制是通过一个检验模组对封包中的各个层次做检验。封包检验型可谓是封包过滤型的加强版，目的是增加封包过滤型的安全性，增加控制“连线”的能力。（3）应用层闸通道型：应用层闸通道型的防火墙采用将连线动作拦截，由一个特殊的程序来处理两端间的连线的方式，并分析其连线内容是否符合应用协定的标准。

二、加密技术

信息交换加密技术分为两类：即对称加密和非对称加密。

1、对称加密技术。在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES（数据加密标准）的一种变形，这种方法使用两个独立的56为密钥对信息进行3次加密，从而使有效密钥长度达到112位。

2、非对称加密/公开密钥加密。在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。

三、PKI技术

PKI（Publie Key Infrastucture）技术就是利用公钥理论和技术建立的提供安全服务的基础设施，PKI技术是电子商务的关键和基础技术。

1、认证机构。CA（Certification Authorty）就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明―证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码学有关系，而且与整个PKI系统的构架和模型有关。

2、注册机构。RA（Registration Authorty）是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。

3、密钥备份和恢复。为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

四、安全技术综合应用研究热点

电子商务的安全性已是当前人们普遍关注的焦点，目前正处于研究和发展阶段，它带动了论证理论、密钥管理等研究，因此网络安全技术在21世纪将成为信息网络发展的关键技术，21世纪人类步入信息社会后，信息这一社会发展的重要战略资源需要网络安全技术的有力保障，才能形成社会发展的推动力。

参考文献

篇（2）

（二）同过去相比网络规模相对来说比较小，用户群的计算机水平普遍来说不高，所以比较容易管理，随着网络信息的发展，医院网络架构也在不断变化。I医院网络信息化从不成熟到不断的加强改进，许多大型的办公自动化系统也得到了成功应用，包括病区里也建立了无限网络的应用。高速网络和高度的信息化网络使医院像一个巨大的工厂在不断的全天运行着。

（三）要从各个方面着手医院的网络信息安全问题，尽可能周全的了解信息安全网络系统，要能够杜绝安全隐患问题的发生。在医院建立常规化，系统化，有效化的系统，防止医院信息的泄露，因为网络系统的建设安全直接关系到患者利益和医院的效率，所以不可小觑。伴随着社会信息化的发展和进步，为了更好的加强对医院的管理，医院的信息化建设对于医院与现代化的进程有着不可忽略的重要作用。

二、医院信息网络安全存在的问题

（一）自然环境的因素

因为考虑到医院环境的湿度及温度等原因的问题，供电电源的不稳定及雷击，静电，都会影响系统的正常运作，以及医院环境的过低或者太高时都会对网络信息安全产生影响，甚至影响电路下降或者绝缘的现象发生。机器原件的损伤和信息数据的丢失，都会给我们的医院和患者带来伤害。

（二）人为因素

人为因素主要分为两个方面而言来说:一个是人为的无意攻击，一个是人为的恶意攻击，计算机的安全系统需要加强对人为因素的一个重视，因为一个数据的丢失和泄露，严重的话会使整个医院系统瘫痪，使医院的系统崩塌。导致无意攻击网络信息系统的一般是医院内部的人员，例如程序设计问题，操作失误的问题等等，安全配置问题的漏洞导致口令的泄露，就会给整个医院网络信息安全问题带来风险。相比人为的无意攻击来讲，人为的恶意攻击带来的危害和影响更为严重和深远。网络上的黑客出于好玩或者挑战的目的，往往通过计算机的病毒或者是计算机的犯罪等行为，对网络信息安全发起人为的挑战，这种方式给医院带来了网络信息安全风险，以及机密数据的篡改和泄露都会带来一定的风险，其后果将会是不堪设想。

（三）网络信息软件的漏洞

在计算机软件以及计算机硬件安全系统上都会或多或少存在一些安全上的漏洞和有机可乘，这些漏洞和有机可乘导致黑客在还没有被授权的情况下侵入系统进行恶意破坏和攻击。尽管我们不能保证任何软件没有百分之一百的漏洞，但是恰恰是我们存在的这些漏洞成了黑客侵入的首选目标，给整个医院带来信息安全上的问题。

三、建立健全的信息管理安全系统

医院这个行业相比其它行业来说它其实还是相对来说是一个比较特殊的一个领域，一旦医院网络信息的安全存在一些隐患，对医院的医疗数据来说会是一个不小的冲击。因为目前医院对医院的网络信息的安全的意识还不是很高，所以相对来说采取的措施也不是相对完善，安全隐患也是随处可见，甚至有些非常严重。所以制定严格的规章制度，从医院的管理层方面把关，让管理人员意识到网络信息的威胁也可能来源于网络内部。切切实实实行规章制度，不要把规章制度成为一纸空文。

四、加大投资完善安全系统

如今的医院的运行离不了完善的安全信息管理系统，医院的主要负责人员也要意识到医院网络信息安全的重要性，加大投入，不断更新医院系统的软件，从而强化其系统的功能。对于硬件设施的配置一定有保障有质量的设备，特别是对于比较重要的硬件设施要有储存备份的功能，具有一定抗病毒和自我修复功能，在一些信息系统发生异常时也能够找回，以免数据的丢失对医院造成一些不可挽回的损失，尽可能从最大的程度上减少信息化管理系统带来的一些客观原因。

时代的发展同时带来的也必定是科技的发展和进步，不论是面对一些网络信息安全内部因素的挑战还是一些外力因素的挑战，对于我们来说网络信息安全问题是一个值得我们去不断思考和反思的课题，医院的受众群体是我们的老百姓，所以不仅是为了医院的利益还有更是为了我们人民群众的个人利益，这不仅是我个人的心声我想也是我们所有患者的心声。也希望时展和进步的时候，我们的网络信息安全问题能够更高更好质量的服务大家。面对未来更加复杂的网络环境和更加海量的信息化，摆在网络安全信息管理员面前的考验将是更加严峻。

作者:白峰 潘永红 单位:安康市人民医院

参考文献

[1]王萍.医院信息系统网络安全问题分析[J].网络安全技术与应用,2016,(01):32-33.

篇（3）

2网络信息安全系统的设计与实现

目前，网络信息安全系统不仅仅涉及互联网系统，同时在很多现代企业中，为了能够满足企业发展的需要而建立内部网络系统，其主要是通过局域网或者广域网（主要为大型企业或者跨区域企业）进行网络链接。在本文研究中我们将以一个企业的广域网的网络拓扑结构为例（如图1），详细阐述现代网络信息安全系统的设计与实现原理。该企业的公司总部及下属分公司分别分布于三个不同的地区，企业总部与分公司通过长途数据专线组成建立了跨区域的局域网。

2.1互联网出口安全分析

在现代企业发展过程中，为了能够满足其自身管理、经营的需要，很多企业都建立起内部计算机网络系统，通过内部网络有效克服了跨区域、长距离对企业管理工作的制约，提升企业内部各种信息资料能够有效、及时的传输和共享效率，促使企业在管理理念和管理方法上获得质的飞跃。从网络信息安全角度来看，企业内部信息系统一般都处于相对封闭状态，即对内不对外。企业建立网络实现内部互联互通时，因需要与外部网络互联而建立互联网出口，企业通过该互联网出口可以方便获取外部信息，实现远程办公及与外部企业合作的信息交流。互联网出口在为工作带来了便利的同时，也成为了威胁信息安全的入口，黑客可通过互联网出口对企业内网发动攻击，进而破坏公司的重要数据信息、窃取公司机密等；除此之外，计算机病毒也可以通过内网与外部信息交流的过程中侵入内网。因此，为了方便企业网络的安全管理，内部网络最好设置一个公共出口，而不适宜过多。

2.2互联网出口常规安全防护措施

2.2.1设置硬件防火墙

目前，对于内部网络的互联网出口安全防护最重要的屏障就是设置硬件防火墙。硬件防火墙主要在网络通信的过程中实施网络安全访问控制，允许安全信息通过防火墙进入企业内部网络，同时将不安全的信息拒之门外。并根据不同的安全防护目标来设置不同的访问控制策略。

2.2.2配置网络入侵检测系统

入侵检测技术是一种新型的入侵检测方法，其可以及时发现并报告系统中存在异常现象或未授权的技术。配置网络入侵检测系统主要是为保证计算机网络系统的安全而设计和配置的，它能够有效检测出计算机网络中违反安全策略的技术，通过用审计记录能够识别出不应有的任何活动并加以限制，从而起到保护系统安全的作用。

2.3企业网络信息安全系统改善建议

2.3.1安装防火墙软件

防火墙是从信息安全技术与网络通信技术的基础上发展起来的，通常情况下，独立的计算机都需要运用防火墙技术，具有对隐藏有病毒或者木马的危险信息实施拦截的功能，能有效避免计算机受到病毒攻击。

2.3.2安装安全桌面管理系统

保障网络安全需实施防范及相关的保护措施，而入网访问控制可对计算机联网进行有效的控制，避免网络资源通过非法途径被利用。入网访问控制在网络访问的控制中属于第一层，在登陆服务器的过程中，一般需要用户密码，主要是对网络资源的使用人员进行筛选，但对密码的设定要求也比较严格，在密码输入正确的情况下才能许可进入，若连续输入几次密码都错误时，该计算机会强制断开网络连接。桌面管理系统除了控制和管理联网对象外，它还决定了用户入网服务器、用户联网时间及网络持续时间，并且不同用户的访问权限也不同，主要设置是针对用户可以访问哪些目录及哪些网站。

2.3.3加强IP地址的管理

当前，局域网内很多IP地址并没有被严格锁定，除了合法用户申请的IP地址外，还有很多IP地址是空闲的，可被非法用户随意使用，使IP闲置成为病毒传播的一个很好的途径，因此，加强IP地址的管理，采取无空闲IP地址策略，防止IP地址被非法使用，可以避免病毒传播和用户信息被窃取的现象发生。

2.3.4强制安装杀毒软件

杀毒软件能有效保护计算机不被病毒攻击，但实际上，很多用户缺少对计算机安全保护意识，或是由于轻视病毒对计算机造成的危害，并没有安装杀毒软件。因此，针对这种情况采取的措施之一就是检测局域网内所有用户，对没有安装杀毒软件的用户强制要求安装杀毒软件，否则，阻断其连接网络。

篇（4）

1近年来网络威胁发展趋势

由于黑客发动攻击的目的和组织化的转变，近年发生大规模的网络安全事件的可能性比较小，以僵尸网络、间谍软件、身份窃取为代表的恶意代码，以及网络仿冒网址嫁接／劫持类安全事件将会继续增加，对新流行的网络应用的安全事件将会发生，这些问题将导致事件数量整体仍呈上升趋势，同时也提醒网络安全管理员尽可能的保护好企业的内部数据。

常见的危害安全有：外部攻击；内部威胁；网络儒虫；垃圾邮件；w eb服务器；僵死网络l网络钓鱼；arp欺骗。薄弱的信息安全意识可能造成重大的经济损失或严重的法律后果。网络飞速的发展，网络安全往往很容易忽视。但是带来网络安全的原因有很多。

2网络安全概述

2．1网络安全的定义

网络安全的具体含义会随着“角度”的变化而变化。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。总之，几是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。

2．2行系统安全

行系统安全：即保证信息处理和传输系统的安全。

它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失，避免由于电磁泄漏，产生信息泄露，干扰他人，受他人干扰。网络上系统信息的安全：包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计，安全问题跟踪，计算机病毒防治，数据加密。

2．3网络中的安全缺陷及产生的原因

(1)tcp／ip的脆弱性。因特网的基石是tcp／ip协议。该协议对于网络的安全性考虑得并不多，并且由于tcp／ip协议是公布于众的，如果人们对tcp／ip~e熟悉，就可以利用它的安全缺陷来实施网络攻击。

(2)络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。

(3)易被窃听。由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。

(4)缺乏安全意识。虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙服务器的额外认证，进行直接的ppp连接从而避开了防火墙的保护。

3网络攻击和入侵的主要途径

网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、ip欺骗和dns欺骗。口令是计算机系统抵御人侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。

4网络安全的防范措施

4．1防火墙技术

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。

防火墙系统是由两个基本部件包过滤路由器(packetfilteringr0uter)、应用层网关(application gateway)构成的，防火墙处于5层网络安全体系中的最底层，作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

4．2数据加密技术

数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。加密技术通常分为两大类：“对称式”和“非对称式”。对称式加密就是加密和解密使用同一个密钥，通常称之为“sessionkey”这种加密技术目前被广泛采用，如美国政府所采用的des]jij密标准就是-一种典型的“对称式”加密法，它的session key长度为56bits。而非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个必需配对使用，否则不能打开加密文件。

4．3身份的验证

身份的验证指使用网络资源时需要提交一一定的信息，表示申请者具备的身份。验证有很多种方式，人们最熟悉的就是用户名加密码的方式了，虽然在实践中，密码方式并不是一种非常安全的身份验证方式。

4．4授权

授权和身份验证不同，身份验证控制能否访问网络。而授权则是控制能够访问那些资源和可以如何访问这些资源。授权包括两种，一种是行为的授权。另外一种是范围的授权。

4．5审核

通过审核，网络管理员可以了解攻击着的主攻方向，了解所不知道的网络薄弱环节，攻击者通常是从网络的薄弱环节攻入的。

4．6公共密匙加密和数字签名

在数据加密中，密匙非常重要，但加密解密的双方又需要同样的密匙，密匙就需要采用某种传送方式，这样密匙就变成了网络安全的主要攻击目标。

4．7数据包过滤

篇（5）

随着社会经济的飞速发展和现代科学技术的快速进步，网络技术、信息技术在人们的生产生活中被越来越广泛地应用，整个社会逐渐步入了信息时代。以网络为核心的信息技术和各类服务正在促进整个社会的转型和质变，信息网络已经超越传统的一些通信媒体，成为了现代社会最重要的传播媒介，信息网络在日常生活中应用范围逐渐变广，对维护个人自身权利、促进产业发展和保障国家安全都具有重要意义。随着网络信息应用程度的逐步提高，对于保障网络安全的工作也成为网络信息维护工作者的重要任务。信息安全、网络安全以及网络空间安全，都对社会各行各业的发展具有重要意义，想要保证生产生活中各个方面都能够有相对安全的环境，就需要不断加强信息安全、网络安全以及网络空间安全管理工作[1]。

1信息安全、网络安全以及网络空间安全的内涵

1.1信息安全

信息时代的来临，让越来越多人开始注意到对于信息的安全保护。信息安全即是指保证信息的真实性、完整性和安全性。在网络环境下想要保证信息安全，关键是要把信息安全体系的重要作用发挥好。网络安全体系包含着计算机安全操作系统、各种安全协议和安全机制，对于保障信息网络环境下的各类信息安全都有着重要影响。保障信息安全，有利于各项活动的顺利开展，对于人身、社会安全都起到一定的保障作用[2]。

1.2网络安全

随着网络技术的不断发展，人们的日常生活中已经不能离开网络技术的参与，而想要更好发挥网络技术的作用，就需要保障其安全。网络安全主要是指保护网络系统的各种硬件、软件以及其中系统内部的各种数据，保证这些系统和数据不会因为一些恶意软件的侵害而遭到破坏和泄露，达到确保网络服务连续不断地进行工作、网络系统正常可靠地运行的目标。网络安全是需要不断对其进行维护工作的，主要通过采取各种技术和保障措施，保证网络系统中信息数据的完整机密[3]。

1.3网络空间安全

全球的网络信息用户将各种信息设施、信息系统和智能终端设备等相互联结，形成一个巨大的信息空间，这就是网络信息空间。而想要在这个空间之内良好地维护自身权益，就需要做好这个网络空间的安全保护工作。网络空间安全已经超越了现有的技术范畴，成为了国家战略布局的一个重要方面。

2信息安全、网络安全以及网络空间安全之间的联系与区别

信息在现代社会中起着极其重要的作用，任何行业想要进行发展，都需要有自身的信息，同时需要积极做好保障工作。对于个人来讲，这些信息通常使我们区别于一般其他人，我们需要保护好自己的信息，不被其他人恶意利用；对于企业来讲，企业的信息相当于企业安身立命的根本，企业的内部信息通常是这个企业拥有竞争力、获得经济效益和社会效益的重要砝码；对于国家来讲，每个国家都需要将自身内部的各种经济、政治、军事、文化信息予以严格保密，严防泄露。信息安全、网络安全以及网络空间安全都是以信息网络技术的不断发展为重要前提的，都是为了保障人们日常生活中的安全，都是以保障各种信息为基础的。信息安全、网络安全以及网络空间安全都是聚焦于信息安全的，换句话说，三者都是以保障信息安全为重要内容的，都是为了保障信息的安全性能和可靠性能，不同之处只是在于三者保护信息的程度和侧重点有所不同而已，网络安全和网络空间安全所保障的信息安全的程度更高，尤其是网络空间安全，它将使用网络信息进行交流的各个用户，包括个人、单位、国家，都看做是一个整体，对整个空间内部的信息都进行保护。同时，这三者之间还是可以相互使用、进行相互协同配合的，信息安全使用的范围最广，它包含了各个方面使用的信息数据，能够为网络安全和网络空间安全的保障工作做好前提准备。

3总结

现代社会的快速发展，为网络信息技术的进步提供了前提条件，同时网络信息技术的不断发展又便利了人们的生产生活。信息在人们的生活中所起的作用无疑是极其巨大的，对于个人安全、企业发展、国家兴盛都具有重要意义。因而在信息网络逐渐盛行的今天，保障信息安全、网络安全、网络空间安全就显得尤为必要。

参考文献

[1]王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报，2015，41（2）：72~84.

篇（6）

关键词：校园网 信息安全网络管理

一、引言

随着校园网络建设的不断发展，学院在教学、管理、科研以及对外信息交流等多方面对校园网的依赖性日渐增强，以网络的方式来获取信息、存储信息和交流信息成为学院教师和学生使用信息的重要手段之一。然而，就目前的网络运行状况来看，校园网信息安全问题日益突出，网络的稳定性依然较差，因此，加强校园网的管理，确保校园网安全、稳定、高效地运行，使之发挥其应有的作用已成为当前校园网应用中一个亟待解决的课题。

二、校园网信息安全的研究思路

校园网是一个直接连接互联网的开放式网络，校园网用户的层次差异较大，校园网的信息安全与用户的安全意识和技能紧密相关，校园网的校园网的信息安全从总体结构上可分为，校园网主干网设备和应用的安全和校园网用户的安全应用两个部分。对具体的信息安全问题的研究，能有效的解决校园网中的信息安全隐患，从而确保校园网安全，稳定、高效地运行。

(一)校园网边界安全

校园网边界安全就是确保校园网与外界网络的信息交换安全，既能保证校园网与互联网进行正常的信息通讯，又能有效地阻止来自网络的恶意攻击，如端口扫描、非授权访问行为、病毒、不良网站等。

(二)系统漏洞的修补

校园网的网络运行环境较为复杂性是一个由多用户、多系统、多协议、多应用的网络，校园网中的网络设备、操作系统、数据库、应用软件都存在难以避免的安全漏洞。不及时修补这些安全漏洞，就会给病毒、木马和黑客的入侵提供方便。

(三)校园网计算机与存储设备的安全

校园网计算机和存储设备中存储了大量的信息，如学生档案，教学课件、考试题库、学生作业、网站数据、办公文件等。由于设备配置、应用和管理上的问题存在较大的信息安全隐患。如设备无分级管理、使用公共帐户和密码、操作人员无信息安全常识等。

(四)校园网计算机病毒控制

计算机病毒是校园网安全隐患之一。必须做到有效控制。选择适合的杀毒手段和相应软件可以对服务器、接入计算机、网关等所有计算机设备进行保护，杀毒软件可以对邮件、FTP文件、网页、U盘、光盘等所有可能带来病毒的信息源进行监控、查杀和拦截。计算机病毒控制要防杀结合以防为主。

(五)校园网维护管理

校园网的硬件环境建设完毕后，一项重要的工作就是做好校园网的维护工作。校园网的安全运维需要有一个校园网安全运营中心，通过强化安全管理工作，对校园网不同教学场所设备、不同计算机系统中的安全事件进行监控，汇总和关联分析，提供可视化校园网安全状况展示。针对不同类型安全事件提供紧急应对措施。实现校园网络集中安全管控，保护校园网络数字资产安全。

三、确保校园网信息安全的具体蕾理措施

(一)优化结构，合理配置，加强监管

使用硬件放火墙，防火墙可在校园网与外界网络之间建立一道安全屏障，是目前非常有效的网络安全模型，它提供了一整套的安全控制策略，包括访问控制、数据包过滤和应用网关等功能。使用放火墙可以将外界网络(风险区)与校园网(安全区)的连接进行逻辑隔离，在安全策略的控制下进行内外网的信息交换，有效地限制外网对内网的非法访问、恶意攻击和入侵。

安装入侵检测系统，入侵检测系统是放火墙的合理补充，能够在放火墙的内部检测非法行为，具有识别攻击和入侵手段，监控网络异常通信，分析漏洞和后门等功能。

使用VLAN技术优化内部网络结构，增强了网络的灵活性，有效的控制了网络风暴，并将不同区域和应用划分为不同的网段进行隔离来控制相互间的访问，达到限制用户非法访问的目的。

使用静态I P配置。检测网络中I P应用状况，并将I P+MAC地址进行绑定，防止特殊IP地址被盗用。对计算机特别是服务器的访问必须进行安全身份认证，非认证用户无法进行访问。

使用网络管理软件，扫描和绘制网络拓扑结构，显示路由器与子网、交换机与交换机、交换机与主机之间的连接关系，显示交换机各端口、使用情况和流量信息，定期对客户端流量、分支网络带宽流量进行分析，并进行数据包规则检测，防止非法入侵、非法滥用网络资源。加强接入管理，保证可信设备接入。对新增设备、移动设备和移动式存储工具要做到先检测后接入，做好网络设备的物理信息的登记管理，如设备的名称、设备楼层房间号、使用部门、使用人、联系电话等。做到遇故障能及时准确地定位和排查。

(二)提高认识，规范行为，强化应用

网络安全涉及到法律、道德、知识、管理、技术、策略等多方面的因素，是一个有机的结合体。因此，在做好技术防护和网络管理的同时，要把树立信息安全意识提高到一个新的高度。并从环境、自身、产品和意识等方面出发，逐个解决存在的问题，把可能的危险排除在发生之前。对于校园网用户来说，要进一步提高网络信息安全意识，加强关于计算机信息安法律知识的学习，自觉规范操作行为，同时掌握一些有关信息安全技术和技能。来强化我们的应用能力。具体可从以下几个方面入手。

建议在系统安装时选择最小化，而多数用户采用默认安装，实际上不少系统功能模块不是必需的，要保证系统安全，需遵循最小化原则，可减少安全隐患。

及时对系统进行漏洞扫描、安装补丁程序。为提高补丁程序的下载速度，可在校园网中部署微软自动更新服务器来提供客户端补丁自动分发。在安装补丁程序前一定要仔细阅读安装说明书，做好数据备份等预防工作，以免导致系统无法启动或破坏等情况。

操作系统安装完成后，要对系统的安全策略进行必要的设置。如登录用户名和密码。用户权限的分配，共享目录的开放与否、磁盘空间的限制、注册表的安全配置、浏览器的安全等级等，使用系统默认的配置安全性较差。

使用个人防火墙，个人防火墙足抵御各类网络攻击最有效的手段之一，它能够在一定程度上保护操作系统信息不对外泄漏，也能监控个人电脑正在进行的网络连接，把有害的数据拒绝于门外。

篇（7）

1 引言

信息技术当前在各行各业都发挥着重要作用，尤其是随着电力系统的逐步市场化，建立庞大的数据调度网和综合信息网络服务于电网管理成为了必然要求。虽然信息技术有着多种优势，但是同时也带来了安全方面的一系列问题，比如威胁电力生产、传输与运营的各个领域，所以加强网络与信息安全管理，建立完善的安全机制服务于电网运营成为了关键。

2 网络与信息安全影响分析

电力系统因自身的特殊性质在信息技术应用方面十分复杂，所涵盖的信息源十分庞大，因此无论是操作系统还是应用软件需求都较高，致使风险漏洞隐患较多。网络与信息安全对电力系统的最大影响来自于安全方面，安全措施不到位会带来诸多负面影响，比如病毒的传播、木马恶意入侵、网页破坏和代码控制隐患等，带来诸多弊端。

计算机本身防御能力较差，作为通信设备其存在着严重潜在恶意入侵可能性，这对于系统安全和信息安全而言都十分不利，尤其是现在系统网络中存在着大量的保密数据，一旦发生恶意入侵现象，可能会造成信息丢失、盗窃或者破坏等，威胁电网运营管理。

网络和信息安全的一个典型特征就是来自于网络病毒的安全威胁，不仅对软硬件造成破坏，甚至还通过自我复制导致系统崩溃，引发危机连锁反应。信息网络的开放性和共享性使得电力系统内各种各样的信息都可能流入到网络世界，不少违法分子通过故意编写恶意程度木马植入浏览器漏洞形成网页病毒，轻者造成崩溃严重者导致格式化，致使信息丢失或者被盗窃。

对于电力部门而言，其办公所使用的众多系统和服务器，商业性质较为突出，源代码不公开意味着自身不能对软件源代码进行独立控制，无形中就给自身的信息安全带来了众多隐患。电力系统作为自成一系的系统，一般只有内部员工使用或者访问，在权限管理不严格的情况下有时会因为操作失误、缺乏保密意识等因素带来网络安全威胁，针对内部管理和访问情况，做好授权等级授予工作，将是保护网络内部信息安全的硬性举措。

3 网络信息安全机制建设探讨

对当前电力企业网络安全建设而言，安全措施不到位，安全机制建设不完善，已经成为了信息安全的最大问题。面对这些安全隐患和问题，通过加强安全机制建设防范信息犯罪，消除安全隐患，全面走上信息化建设的道路，促使电力系统完成转型是关键。

加强对电力系统内部职工的网络安全信息教育，从客观上根本深化信息安全意识是电力企业内部建设的首要举措。促使员工从自身做起，自觉维护企业网络安全和信息安全，定期举行学习培训，加强技术锻炼学习，提高安全技术水平，可有效为安全机制的完善建设和贯彻实践提供保障。完善网络信息安全管理制度建设是促使信息安全到位的有效措施，从制度建设上予以完善，做到权责明晰，对需保密的信息进行登记审批实施地址绑定策略，对信息访问、应用做出严格管理，将会从制度领域为信息安全保驾护航。

对电力系统而言，对自身网络和信息安全面临风险做出正确评估确保安全机制完善并落实的必要举措。面对这么一个技术要求高、内容庞大复杂的系统，以多种手段来消弭脆弱性造成的隐患，是把风险控制在最低限度的必然要求，所以，加强风险分析和评估，分析系统面临的多种风险，将其降低到可控的程度，是迫切要求和客观需要。

网络信息安全的防护技术举措有多种，但是主要要从防火墙技术、入侵检测技术、数据库安全建设三方面入手，建立信息安全中心和技术联合服务中心，构建多层次的安全防护体系。防火墙技术要以防御为核心构建多技术层次体系，以提高自身的综合防护能力，在顺利为电力系统服务的同时规避来自网络的各种攻击。入侵检测技术的具体工作原理是ITDB（Integrated Testing DataBase，综合测试数据库）通过命令的形式通过管理系统实现对可疑行为的隔离，并且对疑似攻击的行为进行自我判定收集信息以配置相应部件来规避误操作和攻击命令对系统所产生的负面影响。TDB在数据库的防护中发挥着重要作用，它能对有可能造成破坏的可疑命令或恶意行为进行发现并隔离，通过对攻击行为进行容忍来保障运行的安全。防火墙逻辑位置示意图见图1。除此之外，电力企业本身也要积极加强技术升级改造，做好自主研发和技术创新，掌握核心科技，让系统全方位为自己服务，保证电力系统的信息安全和健康发展。

4 结束语

总之，电力企业想要健康发展，网络与信息安全的保障必不可少，针对自身存在的安全隐患，做好风险分析和评估，从各个方面入手完善安全机制建设，解决存在的隐患与问题，是为电力企业信息安全保驾护航的关键举措，也是促使其良性发展的关键。

参考文献

[1] 周伟.计算机网络安全技术的影响因素与防范措施[J].网友世界，2012（1）.

[2] 余志荣.浅析电力企业网络安全[J].福建电脑，2011（7）.

[3] 张鹏宇.电力行业网络安全技术研究[J].信息与电脑（理论版），2011（1）.

篇（8）

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 (2012) 11-0000-02

目前，全国各级税务机关已形成以计算机网络为依托的征管格局，随着税务信息化建设的不断蓬勃发展，网络与信息安全的风险也逐渐显露。随着电子信息技术的飞速发展，网络与信息安全面临越来越严峻和复杂的形势，各种安全事件层出不穷，病毒破坏和黑客入侵等安全隐患会使我们丢失数据，会造成机密数据泄漏，会使我们的业务瘫痪，危害极大。无论是外部有意的攻击，还是内部无意的误操作，任何安全问题都可能导致安全事故，由此所带来的损失与严重后果都将无法估量。因此，加强税务系统网络与信息系统安全显得尤为重要。

一、税务系统网络与信息安全风险分析

随着我国各行业信息化程度的不断提高，利用计算机系统进行各类犯罪活动的案件每年以较大的速度递增，在税务系统也出现了利用税收管理系统进行犯罪的案件。例如，2003年原国税局干部吴芝刚虚开增值税专用发票的“京城第一税案”，就是吴芝刚利用操作员安全意识不强，盗用其密码进入系统篡改发票发售权限，将增值税专用发票非法卖给犯罪团伙。尽管目前在税务系统计算机犯罪案件发生率很小，但不能因此放松警惕，防微杜渐做好网络与信息安全工作至关重要。根据对税务系统网络和信息安全的研究分析，威胁税务系统网络信息安全的因素主要有以下方面：

（一）网络与信息安全意识淡薄

目前税务系统相当部分工作人员缺乏网络信息安全意识。很多人以为自己计算机上安装有杀毒软件，就不会存在安全问题，总觉得信息安全工作离自己很遥远，和自己没关系。缺乏网络信息安全知识，如不按规定使用移动存储介质甚至内外网混用等等，都可能导致计算机病毒入侵或“黑客”攻击，对网络与信息安全构成威胁。

（二）计算机病毒的危害

计算机病毒是对税务系统网络信息安全最为常见、影响最为广泛的威胁。几乎没有计算机没有感染过病毒，计算机病毒通常通过移动存储介质等感染计算机，并能通过网络迅速传播。税务系统一台计算机感染病毒，就可能造成病毒在整个办公内网计算机中迅速传播，轻则堵塞网络，影响税务信息系统的正常运行，重则破坏系统，造成无法估量的直接和间接损失。

（三）计算机犯罪的危害

计算机犯罪对网络和信息安全的威胁显而易见，危害极大。常见的计算机犯罪有内部人员泄露信息、窃取他人密码、越权访问和外部“黑客”攻击等。比如“黑客”通过某种方式侵入税务系统办公内网，就可能破坏税务信息系统或窃取机密数据，造成极大的危害。

（四）移动存储介质使用的风险

目前光盘、优盘、移动硬盘等移动存储介质使用非常普遍，大量内部信息通过移动介质存储传播。一方面移动介质如果不受控，会形成泄密隐患；另一方面纳税人报送涉税信息带来的移动存储介质需要接入办公内网，如果疏忽了病毒和木马的查杀，就存在着将计算机病毒和木马等恶意程序传入办公内网的安全风险。

（五）网络技术本身的缺陷

网络技术本身存在的技术缺陷，使网络容易成为受攻击的目标，从而对税务系统网络信息安全形成威胁。目前各级税务机关组建广域网通常租用电信或联通的网络线路，不法分子就可能通过公共网侵入税务系统网络或者通过公共网对税务系统网络进行窃听、攻击。

（六）自然灾害袭击

例如火灾、地震、雷击等自然灾害都可能使计算机及网络设备遭到破坏，影响系统正常运行。

（七）人为无意失误

工作人员防范意识不强，工作中“图方便”，如操作员安全配置不当，不按要求设置口令，随意把自己的用户给他人使用等等问题，虽然不是主观故意，但可能造成较大危害，对网络与信息安全带来威胁。

二、税务系统网络与信息安全风险的防范对策

网络与信息安全风险，需要从人、管理、技术等以下几个方面进行防范：

（一）必须加强信息安全教育

“人是网络信息安全系统的重要组成部分”，要保障网络与信息系统的安全，需要全体税务干部的参与。通过在税务机关全体工作人员中开展信息安全普及教育，对信息化专业人员加强信息安全专业培训，提高各级人员的信息安全意识，共同防范网络与信息安全风险。

（二）强化安全管理

要加强税务机关内部控制，改进网络信息安全管理中的薄弱环节，防范内部人员有意犯罪或无意失误造成的网络信息安全风险。各级税务机关要建立健全网络与信息安全组织机构，逐步建立健全各种网络与信息安全制度，明确岗位责任与分工，把各项工作及责任落实到人。要把强化管理与技术手段相结合来防止内部人员有意犯罪和无意失误，从内部严防各类安全事件的发生。

（三）强化安全技术

1.科学使用计算机防病毒软件防范计算机病毒

各级税务机关的计算机设备，要使用统一的正版计算机防病毒软件，指派专人进行计算机防病毒监控，及时处理计算机病毒威胁。其中，移动存储介质管理是计算机病毒防范的重点和难点。光盘、优盘、移动硬盘等移动存储介质是病毒和木马的重要传播途径，不管好移动存储介质,就不可能做到病毒和木马的有效防控。必须加强管理，对所有的外来软件或盘片，必须先查杀病毒、木马，才能接入办公内网进行安装和使用。

篇（9）

2保障网络通信信息安全的途径

2.1充分保障用户IP地址

由于黑客对用户网络通信的侵入与攻击大都是以获取用户IP地址为目的的，因此，充分保障用户的IP地址安全是保护用户网络通信安全的重要途径。用户在使用互联网时也要特别注意对自身IP地址的保护，通过对网络交换机的严格控制，切断用户IP地址通过交换机信息树状网络结构传递被透露的路径；通过对路由器进行有效的隔离控制，经常关注路由器中的访问地址，对非法访问进行有效切断。

2.2完善信息传递与储存的秘密性

信息传递与信息储存的两个过程是当前给网络通信信息安全造成隐患的两个主要途径，在网络信息的存储与传递过程中，黑客可能会对信息进行监听、盗用、恶意篡改、拦截等活动以达到其不可告人目的的需求。这就要求用户在使用网络通信技术时要对网络信息的传递与储存环节尽量进行加密处理，保证密码的多元化与复杂性能够有效甚至从根本上解决信息在传递与储存环节被黑客攻击利用的威胁。当前在网络通信过程中用户可以选择自身合适的加密方式对自身的信息进行加密处理，而网络维护工作者也要根据实际情况加强对信息的加密设置。

2.3完善用户身份验证

对用户的身份进行有效的验证是保障网络通信信息安全的另一条重要途径。在进行网络通信之前对用户身份进行严格验证，确保是本人操作从而对用户的私人信息进行充分有效的保护。当前，用户的身份验证主要是通过用户名与密码的“一对一”配对实现的，只有二者配对成功才能获得通信权限，这种传统的验证方法能够满意一般的通信安全需求，但是在网络通信技术发展速度不断加快的背景下，传统的身份验证方法需要新的变化，诸如借助安全令牌、指纹检测、视网膜检测等具有较高安全性的方法进一步提升网络通信信息安全水平。此外，在保障网络通信信息安全的过程中还可以通过完善防火墙设置，增强对数据源及访问地址恶意更改的监测与控制，从源头上屏蔽来自外部网络对用户个人信息的窃取以及对计算机的攻击。加强对杀毒软件的学习与使用，定期对电脑进行安全监测，从而确保用户自身的信息安全。

篇（10）

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）23-0026-02

随着网络技术在各大高校中的广泛应用，高校网络与信息安全的重要地位也愈发凸显。只有保障高校网络与信息的安全，才能保证网络技术能够为各大高校较好的服务，避免因网络瘫痪或信息泄露而带来的严重后果。

1 网络与信息安全的定义

所谓网络与信息安全，是指在计算机、数学、应用通讯等诸多领域，保证信息的保密性，只有通过授权的用户，才能够获取与处理信息，在信息的保护与处理过程中，保证信息的准确性和完整性，在授权使用人需要信息的情况下，能够及时地获取信息，使用相关的资产。

无论是信息，还是在信息使用过程中利用的信息网络，都属于重要的资产。随着科学技术的不断发展，各种计算机诈骗、盗取商业机密、对网络系统的恶意破坏等问题都严重威胁着网络与信息的安全，对网络与信息安全的保护任务变得日益重要与艰巨。

2 保护高校网络与信息安全过程中面临的问题

1） 网络入侵者的攻击

在保护高校网络与信息安全过程中，经常会遇到各种试图从外部非法访问内部网络的用户。用户中既有像黑客、破坏者之类对校园网络进行信息轰炸从而导致服务中断，或恶意篡改与删除数据致使网络瘫痪，也有完全是基于对校园网络内容的好奇心的学生。而高校网络由于要适应学校的教学与科研，通常管理较为宽松，存在一定的开放性和脆弱性，因此容易遭受外来的攻击。无论是基于何种目的，网络入侵者都将对校园网络与信息安全造成威胁，不利于对安全的保护。

2） 网络病毒的攻击

随着网络的不断发展，网络病毒日益成为威胁网络信息安全的重要因素。网络病毒通常利用U盘、硬盘等传输工具，在复制与传送文件、运行程序的过程中对网络系统进行破坏。在对程序和数据造成破坏的同时，对网络效率也会造成严重影响，部分网络病毒甚至对设备也能造成严重的破坏。学生的信息与成绩记录等数据一旦被丢失，将会对学校造成严重的后果。而诸如特洛伊木马之类的有害代码，也会对网络的操作系统以及应用软件造成破坏，从而导致网络系统的瘫痪。

3） 教职工人员与学生的误用

部分教职工人员在使用校园网络与信息的过程中，由于存在一系列的操作失误，或者为了一己的好奇或泄愤，造成对校园网络关键信息的泄露。部分学生在使用校园网络的过程中，为了满足自身的好奇心，或为了炫耀自己的能力，利用自己所学的网络技术，刻意地去攻击校园网络或获取机密信息，而校园网络的IP地址在学校内部是暴露的，在学生针对校园网络进行诸如IP碎片攻击、WinNuke等攻击的情况下，将会对校园网络与信息安全带来极大的威胁[1]。

4） 网络系统自身的漏洞

由于网络技术的高速发展，部分高校的网络难以适应网络技术的发展形势，仍使用传统的Windows NT和Windows2000 Serwer，造成一定的技术落后。传统的系统在使用的过程中通常存在一定的安全漏洞，虽然部分高校推出了相应的补丁程序，但仍然不可避免地遭受病毒或人为的破坏，从而给学校造成难以挽回的损失。此外，部分高校在软件和硬件配置的过程中存在配置不当的问题，也容易造成一定的安全漏洞，从而对高校网络与信息安全的保护带来严重的问题。

3 网络与信息安全治理定义

网络信息安全治理，是指通过一定的管理程序、技术，以及相关的保证措施，使管理者增强信任度，能够抵抗各种蓄意攻击和不正当的操作，从而确保信息技术服务的正常进行，以及在遭受故障时能够恢复，建立良好信息安全治理机制，确保信息及信息系统的安全运行。在当前的科技时代大潮中，信息日益成为一个国家最重要的资源之一，网络与信息的安全，逐渐成为保障一个国家保持自身竞争力、组织再造和国防战备的重要保证。根据当前各种媒体关于信息系统安全事故的报道，目前关于因信息安全被破坏而导致的各种灾难性事件正在逐年增长。因此，关于网络与信息安全治理的重要性也就愈发凸显[2]。

4 高校网络与信息安全治理的策略

1） 网络系统防御攻击的策略

网络系统针对网络控制，通常会利用防火墙防止外部用户非法进入内部网络，从而保证内部网络设备的安全，保证内部网络的核心信息不被窃取。虽然防火墙不能完全的防止外部网络对内部网络的攻击，但可以有效地避免和阻止部分的攻击。高校在自身网络建设的过程中，通过配置高性能的防火墙，并及时制定相应的安全策略，从而有效的避免外部网络的入侵，保证校园内部网络服务的正常进行。

在高校网络系统保护过程中，可以在网络的出口处安装入侵防御系统，在遇到攻击的情况下，能够自动的将攻击源切断。此外，在应用程序与网络传输遇到异常的情况时，如用户违反条例使用网络、应用程序的漏洞被利用等，入侵防御系统能够做到辅助识别入侵与攻击，从而更好地保护校园网络与信息的安全[3]。此外，针对校园网络与信息的安全治理，还可以利用漏洞扫描的技术，在本地主机安全性较为脆弱的情况下，对系统中诸多不合理的设置，以及与安全规则不符合的现象进行排查。或通过对系统进行模拟攻击的行为，从而找出系统中存在的漏洞。在漏洞扫描的同时，对系统进行合理的配置，将系统服务中很难用到的服务与端口关掉，将不需要的协议与服务删除，从而规范了网络系统的使用操作，对黑客利用网络中默认的服务进行的网络攻击做到有效地防御。

2） 对访问进行控制的策略

设置入口访问控制，通过对用户名、用户口令和用户账号的识别与验证，设置三道关卡来控制用户能否利用校园网络，以及利用校园网络能够获取的资源。在校园网的服务器中设置某些客户组可以访问某些信息资源，并针对用户与口令做到一一识别，从而减少管理漏洞，减少网络安全的隐患[4]。

在用户访问校园网络的过程中设置一定的访问权限，部分用户和用户组被赋予权限，从而能够访问某些信息资源，从而执行某些操作。而没有被赋予权限的人则不能访问相关的信息资源并进行相应操作，从而保证某些核心信息的安全使用。

在校园网络系统中设置目录级安全控制，控制用户对目录、文件等的访问，从而做到对教师和学生设置适当的访问权限，控制着教师与学生对校园网络的访问。教师为了方便学生的学习，可以设置相应的目录级访问权限，允许学生访问属于自己的本机资源。

网络管理员在用户访问校园网络的过程中实行网络监控，针对用户的违反条例的操作，服务器利用图像或声音的形式进行报警，从而提醒网络管理员注意，阻止用户的继续操作。此外，网络管理员还可以对不法用户进行锁定控制，在不法用户每次企图进入网络之时，服务器都会自动予以记录，当记录次数达到一定数值时，该用户的账户就会被自动锁定。网络管理员密切关注网络动态，及时调整安全设置，修复系统漏洞，就能有效地保证网络与信息的安全[5]。另外，可以在网络端口和节点对网络进行安全控制，当用户需要访问校园网络时，通过利用智能卡、磁卡等验证器证实用户的身份。利用自动回呼设备以及静默调制解调器来保护服务器端口，从而有效地防范假冒用户对校园网络进行攻击，保护高校网络与信息的安全。

3） 积极防范病毒的策略

为了防止病毒的感染与传播，高校应当在校园网络内所有可能感染和传播病毒的地方采取相关的防毒措施，在校园网络服务器和各办公室的电脑上安装强大的杀毒软件，定时对网络校园服务器进行病毒扫描，及时扫除网络病毒，修复系统漏洞。定期关注病毒的新动态，及时升级杀毒软件。在选择杀毒软件的过程中，要认识到各种杀毒软件的优劣，根据自身电脑的特性，选择合适的杀毒软件。定期备份数据库数据，在系统遭到破坏时能够恢复数据，从而避免难以挽回的损失。此外，定期的更新系统，将传统的Windows NT和Windows2000 Serwer加以更新，从而有效的提升网络的安全性能，减少系统漏洞，更好地防范病毒的攻击[6]。

网络病毒通常是通过U盘、硬盘、网络等方式进行传播，因此在校园网络的防毒过程中，针对用户所用的U盘、硬盘等移动设备，做到及时的杀毒，防止病毒通过移动设备在校园网络大肆传播，导致网络系统瘫痪。针对网络上的一些不健康信息，应及时利用内容过滤器和防火墙加以过滤，防止学生在浏览的过程中点击此类信息，造成病毒的感染与传播

4） 基于VLAN的安全部署

校园VLAN时校园网的虚拟子网，通过自身的功能将分布在校园各处的用户进行划分，成为相对独立的工作组。通过对同一个VLAN的交换机端口进行连接，用户实现对广播的共享，从而形成一定的广播域，VLAN可以在控制流量、提供网络安全性、更加迅捷的改变和移动网络设备等方面给用户提供帮助。VLAN可分为两种形式，一种为物理分段，利用物理层和相关的数据段连接层，对网络进行若干段划分，各网段之间难以互相通信。另一种为逻辑分段，在网络层面对整个网络系统进行分段。在实际运用过程中，利用物理分段和逻辑分段相结合的方式，将教师和学生的网段分开，通过网关的形式，过滤出有效的信息，使中心机房始终处于一种较为安全与过滤型的网络状态，从而提高网络的安全性[7]。

5 结束语

在高校网络和信息安全的保护与治理过程中，针对高校网络和信息安全所面临的诸如网络入侵者和网络病毒的攻击、教职人员和学生误用以及网络系统自身存在漏洞等问题，各高校应做到积极地治理，制定网络系统防御攻击的策略、对访问进行控制的策略、积极防范病毒的策略、基于VLAN的安全部署等一系列措施，不断提高相关人员的安全意识，建立健全的安全组织机构，从而做到有效地治理校园网络和信息的安全，保证校园网络的正常运行。

参考文献：

[1] 谭振S，许敏.浅析高校网络安全问题及其应对策略[J].电脑知识与技术，2009，12（12）：3079-3080.

[2] 朱大欢.浅析高校网络安全及其应对策略[J].信息与电脑：理论版，2011，3（3）：27.

[3] 李英杰.浅析高校图书馆的网络信息安全[J].才智，2010，5（27）：222.

[4] 万君.浅析高校网络的安全运营及其管理[J].江西广播电视大学学报，2008，9（4）：114-115.

篇（11）

Abstract:As network developed rapidly and widely used， while it brings people big wealth and convenience， it also brings serious network information security problem. Network information security problem mainly is un-authorization access， masquerading legal user， damaging data integrity， interfering system normal operation， spreading virus trojan through network， line monitoring and so on. This article analysing network information security circumstance， it expounds information security problems from holes and introduces the future research direction of network information security skill.

Key words:network information security;holes;network information security skill;trusted computing

网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件;运行服务安全，即保证服务的连续性、高效率;信息安全则是指对信息的精确性、真实性、机密性、完整性、可用性和效用性的保护。网络信息安全是网络赖以生存的根基，只有安全得到保障，网络才能充分发挥自身的价值。

然而，随着互联网的迅速发展和广泛应用，计算机病毒、木马数量也在呈现爆炸式增长。据金山毒霸“云安全”中心监测数据显示，2008年，金山毒霸共截获新增病毒、木马13 899 717个，与2007年相比增长48倍，全国共有69 738 785台计算机感染病毒，与07年相比增长了40%。在新增的病毒、木马中，新增木马数达7 801 911个，占全年新增病毒、木马总数的56.13%;黑客后门类占全年新增病毒、木马总数的21.97%;而网页脚本所占比例从去年的0.8%跃升至5.96%，成为增长速度最快的一类病毒。该中心统计数据还显示，90%的病毒依附网页感染用户，这说明，人类在尽情享受网络信息带来的巨大财富和便捷的同时，也被日益严峻的网络信息安全问题所困扰。

1病毒木马数量呈几何级数增长，互联网进入木马病毒经济时代

造成病毒木马数量呈几何级数增长的原因，经济利益的驱使首当其冲，木马比病毒危害更大，因为病毒或许只是开发者为了满足自己的某种心理，而木马背后却隐藏着巨大的经济利益，木马病毒不再安于破坏系统，销毁数据，而是更加关注财产和隐私。电子商务便成为了攻击热点，针对网络银行的攻击也更加明显，木马病毒紧盯在线交易环节，从虚拟价值盗窃转向直接金融犯罪。

财富的诱惑，使得黑客袭击不再是一种个人兴趣，而是越来越多的变成一种有组织的、利益驱使的职业犯罪。其主要方式有:网上教授病毒、木马制作技术和各种网络攻击技术;网上交换、贩卖和出租病毒、木马、僵尸网络;网上定制病毒、木马;网上盗号(游戏账号、银行账号、QQ号等)、卖号;网上诈骗、敲诈;通过网络交易平台洗钱获利等。攻击者需要的技术水平逐渐降低、手段更加灵活，联合攻击急剧增多。木马病毒、病毒木马编写者、专业盗号人员、销售渠道、专业玩家已经形成完整的灰色产业链。

借助互联网的普及，木马病毒进入了经济时代。艾瑞的一项调查显示，央视“315”晚会曝光木马通过“肉鸡”盗取用户钱财后，超过八成潜在用户选择推迟使用网上银行和网上支付等相关服务。木马产业链背后的巨大经济利益，加上传统杀毒软件的不作为、银行对安全的不重视、刑法的漏洞等都是病毒木马日益猖獗的根源。

另一方面，病毒木马的机械化生产加速了新变种的产生，大量出现的系统及第三方应用程序漏洞为病毒木马传播提供了更广泛的途径。病毒制造的模块化、专业化，以及病毒“运营”模式的互联网化已成为当前中国计算机病毒发展的三大显著特征。

2由漏洞引发的网络信息安全问题

漏洞也叫脆弱性(Vulnerability)，是计算机系统在硬件、软件、协议的具体实现或系统安全策略设计和规划时存在的缺陷和不足，从而使攻击者能够在未被合法授权的情况下，访问系统资源或者破坏系统的完整性与稳定性。漏洞除了系统(硬件、软件)本身固有的缺陷之外，还包括用户的不正当配置、管理、制度上的风险，或者其它非技术性因素造成的系统的不安全性。

2.1漏洞的特征

2.1.1漏洞的时间局限性

任何系统自之日起，系统存在的漏洞会不断地暴露出来。虽然这些漏洞会不断被系统供应商的补丁软件所修补，或者在新版系统中得以纠正。但是，在纠正了旧版漏洞的同时，也会引入一些新的漏洞和错误。随着时间的推移，旧的漏洞会消失，但新的漏洞也将不断出现，所以漏洞问题也会长期存在。因此，只能针对目标系统的系统版本、其上运行的软件版本，以及服务运行设置等实际环境，来具体谈论其中可能存在的漏洞及其可行的解决办法。

2.1.2漏洞的广泛性

漏洞会影响到很大范围的软、硬件设备，包括操作系统本身及其支撑软件平台、网络客户和服务器软件、网络路由器和安全防火墙等。

2.1.3漏洞的隐蔽性

安全漏洞是在对安全协议的具体实现中发生的错误，是意外出现的非正常情况。在实际应用的系统中，都会不同程度地存在各种潜在安全性错误，安全漏洞问题是独立于系统本身的理论安全级别而存在的。

2.1.4漏洞的被发现性

系统本身并不会发现漏洞，而是由用户在实际使用、或由安全人员和黑客在研究中发现的。攻击者往往是安全漏洞的发现者和使用者。由于攻击的存在，才使存在漏洞的可能会被发现，从某种意义上讲，是攻击者使系统变得越来越安全。

2.2漏洞的生命周期

漏洞生命周期，是指漏洞从客观存在到被发现、利用，到大规模危害和逐渐消失的周期。漏洞所造成的安全问题具备一定的时效性，每一个漏洞都存在一个和产品类似的生命周期概念。只有对漏洞生命周期进行研究并且分析出一定的规律，才能达到真正解决漏洞危害的目的。随着系统漏洞、软件漏洞、网络漏洞发现加快，攻击爆发时间变短，在所有新攻击方法中，64%的攻击针对一年之内发现的漏洞，最短的大规模攻击距相应漏洞被公布的时间仅仅28天。

2.3漏洞的攻击手段

黑客入侵的一般过程:首先，攻击者随机或者有针对性地利用扫描器去发现互联网上那些有漏洞的机器。然后，选择作为攻击目标利用系统漏洞、各种攻击手段发现突破口，获取超级用户权限、提升用户权限。最后，放置后门程序，擦除入侵痕迹，清理日志，新建账号，获取或修改信息、网络监听(sniffer)、攻击其他主机或者进行其他非法活动。漏洞威胁网络信息安全的主要方式有:

2.3.1IP欺骗技术

突破防火墙系统最常用的方法是IP地址欺骗，它同时也是其它一系列攻击方法的基础。即使主机系统本身没有任何漏洞，仍然可以使用这种手段来达到攻击的目的，这种欺骗纯属技术性的，一般都是利用TCP/IP协议本身存在的一些缺陷。攻击者利用伪造的IP发送地址产生虚假的数据分组，乔装成来自内部站点的分组过滤器，系统发现发送的地址在其定义的范围之内，就将该分组按内部通信对待并让其通过，这种类型的攻击是比较危险的。

2.3.2拒绝服务攻击(DDoS)

当黑客占领了一台控制机，除了留后门擦除入侵痕迹基本工作之外，他会把DDoS攻击用的程序下载，然后操作控制机占领更多的攻击机器。开始发动攻击时，黑客先登录到做为控制台的傀儡机，向所有的攻击机发出命令。这时候攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致受害主机死机或是无法响应正常的请求。有经验的攻击者还会在攻击的同时用各种工具来监视攻击的效果，随时进行调整。由于黑客不直接控制攻击傀儡机，这就导致了DDoS攻击往往难以追查。

2.3.3利用缓冲区溢出攻击

缓冲区溢出攻击是互联网上最普通，也是危害最大的一种网络攻击手段。缓冲区溢出攻击是一种利用目标程序的漏洞，通过往目标程序的缓冲区写入超过其长度的内容，造成缓冲区的溢出，破坏程序的堆栈，使程序转而执行指定代码，从而获取权限或进行攻击。

2.3.4特洛伊木马

木马实质上只是一个网络客户/服务程序，是一种基于远程控制的黑客工具，不需要服务端用户的允许就能获得系统的使用权。木马程序体积比较小，执行时不会占用太多的资源，很难停止它的运行，并且不会在系统中显示出来，而且在每次系统的启动中都能自动运行。木马程序一次执行后会自动更换文件名、自动复制到其他的文件夹中，实现服务端用户无法显示执行的动作，让人难以察觉，一旦被木马控制，你的电脑将毫无秘密可言。

2.3.5数据库系统的攻击

通过非授权访问数据库信息、恶意破坏、修改数据库、攻击其它通过网络访问数据库的用户、对数据库不正确的访问导致数据库数据错误等方式对数据库进行攻击。主要手法有:口令漏洞攻击、SQL Server扩展存储过程攻击、SQL注入(SQL Injection)、窃取备份等。

2.3.6网页挂马

通过获取系统权限、利用应用系统漏洞，对脚本程序发帖和提交信息的过滤不严格，从而可以将一些HTML或者脚本代码段作为文本提交，但是却能被作为脚本解析或者通过ARP欺骗，不改动任何目标主机的页面或者是配置，在网络传输的过程中直接插入挂马的语句，利用被黑网站的流量将自己的网页木马进行传播，以达到无人察觉的目的。常见方式有:框架挂马、js文件挂马、js变形加密、body挂马、css挂马、隐蔽挂马、Java挂马、图片伪装、伪装调用、高级欺骗等。

2.3.7无线网络、移动手机成为新的安全重灾区

在无线网络中被传输的信息没有加密或者加密很弱，很容易被窃取、修改和插入，存在较严重的安全漏洞。随着3G时代的到来，智能手机和移动互联网越来越为普及，一部强大的智能手机的功能，并不逊于一部小型电脑。随着手机的处理能力日益强大，互联网连接带宽越来越高，手机病毒开始泛滥，病毒所带来的危害也会越来越大。手机病毒利用普通短信、彩信、上网浏览、下载软件与铃声等方式传播，还将攻击范围扩大到移动网关、WAP服务器或其它的网络设备。

2.3.8内部网络并不代表安全

随着经济的快速发展和企业对网络应用依赖程度的逐步提升，内部网络已经成为企业改善经营和管理的重要技术支撑。企业内部网络系统与外界的联系越来越紧密，而且数据的价值也越来越高，内部网络不安全已经成为影响企业进一步发展的重要威胁。常见的安全威胁有:内外勾结。内部人员向外泄露重要机密信息，外部人员攻击系统监听、篡改信息，内部人员越权访问资源，内部人员误操作或者恶意破坏系统等。

有关部门的调查数据显示，2004-2006年，内部攻击的比例在8%左右，2007年这个比例是5%，而到了2008年已经上升到23%。企业内部网络安全问题十分突出，存在较为严重的隐患，成为制约企业网发展与应用的重要因素。

3可信计算概述

在IT产业迅速发展、互联网广泛应用和渗透的今天，各种各样的威胁模式也不断涌现。信息领域犯罪的隐蔽性、跨域性、快速变化性和爆发性给信息安全带来了严峻的挑战。面对信息化领域中计算核心的脆弱性，如体系结构的不健全、行为可信度差、认证力度弱等，信息安全的防护正在由边界防控向源头与信任链的防控转移，这正是可信计算出台的背景。

可信计算(Trusted Computing，TC)是指在PC硬件平台引入安全芯片架构，通过其提供的安全特性来提高终端系统的安全性，从而在根本上实现了对各种不安全因素的主动防御。简单地说，可信计算的核心就是建立一种信任机制，用户信任计算机，计算机信任用户，用户在操作计算机时需要证明自己的身份，计算机在为用户服务时也要验证用户的身份。这样的一种理念来自于我们所处的社会。我们的社会之所以能够正常运行，就得益于人与人之间的信任机制，如:商人与合作伙伴之间的信任;学生与教师之间的信任;夫妻之间的信任等等。只有人与人之间建立了信任关系，社会才能和谐地正常运转。可信计算充分吸收了这种理念，并将其运用到计算机世界当中。

由于信息安全风险评估不足，导致安全事件不断发生。因此，现在的大部分信息安全产品以及采取的安全措施都不是从根本上解决问题，都是在修补漏洞，效果可想而知。可信计算则是从本源上解决信息安全问题，就是要发放“通行证”。并且，“通行证”可以从技术上保证不会被复制，可以随时验证真实性。可信计算因此成为信息安全的主要发展趋势之一，也是IT产业发展的主要方向。

3.1可信平台模块

把可信作为一种期望，在这种期望下设备按照特定的目的以特定的方式运转。并以平台形式制订出了一系列完整的规范，包括个人电脑、服务器、移动电话、通信网络、软件等等。这些规范所定义的可信平台模块(Trusted Platform Module，TPM)通常以硬件的形式被嵌入到各种计算终端，在整个计算设施中建立起一个验证体系，通过确保每个终端的安全性，提升整个计算体系的安全性。从广义的角度上，可信计算平台为网络用户提供了一个更为宽广的安全环境，它从安全体系的角度来描述安全问题，确保用户的安全执行环境，突破被动防御漏洞打补丁方式。可信平台模块实现目的包括两个层面的内容:一方面，保护指定的数据存储区，防止敌手实施特定类型的物理访问。另一方面，赋予所有在计算平台上执行的代码，

以证明它在一个未被篡改环境中运行的能力。

3.2可信计算的关键技术

与社会关系所不同的是，建立信任的具体途径，社会之中的信任是通过亲情、友情、爱情等纽带建立起来的，但是在计算机世界里，一切信息都以比特串的形式存在，建立可信计算信任机制，就必须使用以密码技术为核心的关键技术。可信计算包括以下5个关键技术概念:

3.2.1Endorsement key 签注密钥

签注密钥是一个2048位的RSA公共和私有密钥对，它在芯片出厂时随机生成并且不能改变。这个私有密钥永远在芯片里，而公共密钥用来认证及加密发送到该芯片的敏感数据。

3.2.2Secure input and output 安全输入输出

安全输入输出是指电脑用户和他们认为与之交互的软件间受保护的路径。当前，电脑系统上恶意软件有许多方式来拦截用户和软件进程间传送的数据。例如键盘监听和截屏。

3.2.3Memory curtaining 储存器屏蔽

储存器屏蔽拓展了一般的储存保护技术，提供了完全独立的储存区域。例如，包含密钥的位置。即使操作系统自身也没有被屏蔽储存的完全访问权限，所以入侵者即便控制了操作系统信息也是安全的。

3.2.4Sealed storage 密封储存

密封存储通过把私有信息和使用的软硬件平台配置信息捆绑在一起来保护私有信息。意味着该数据只能在相同的软硬件组合环境下读取。例如，某个用户在他们的电脑上保存一首歌曲，而他们的电脑没有播放这首歌的许可证，他们就不能播放这首歌。

3.2.5Remote attestation 远程认证

远程认证准许用户电脑上的改变被授权方感知。例如，软件公司可以避免用户干扰他们的软件以规避技术保护措施。它通过让硬件生成当前软件的证明书。随后电脑将这个证明书传送给远程被授权方来显示该软件公司的软件尚未扰。

3.3可信计算的应用现状

在国际上，可信计算架构技术发展很快，一些国家(如美国、日本等)在政府采购中强制性规定要采购可信计算机。中国的可信计算还属于起步阶段，但正在向更高水平发展。据了解，现在市场上已经销售了数十万带有可信计算芯片的电脑，这些电脑已经广泛应用于包括政府、金融、公共事业、教育、邮电、制造，以及广大中、小企业在内的各行各业中。而且，不少政府部门已经认可产品，并将带有可信计算芯片的产品采购写入标书。但是，无论是国内还是国外，可信技术从应用角度讲都还仅仅处于起步阶段。可信计算还停留在终端(客户端)领域，还要进一步向服务器端(两端要互相认证)，中间件、数据库，网络等领域发展，建立可信计算平台和信任链。当前，可信计算的应用领域主要有:数字版权管理、身份盗用保护、防止在线游戏防作弊、保护系统不受病毒和间谍软件危害、保护生物识别身份验证数据、核查远程网格计算的计算结果等。应用环境的局限性也是可信计算产业发展的一大障碍，目前的应用还处于很有限的环境中，应用的广泛性还得依靠人们对于可信计算、网络信息安全在认识和意识上的提高。

参考文献

1 刘晓辉主编.网络安全管理实践(网管天下)[M].北京:电子工业出版社，2007.3

2 [美]DavidChallener、RyanCatherman等.可信计算(Apractical

GuidetoTrustedComputing)[M].北京:机械工业出版社，2009