緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇網絡安全方案范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

1、前言

網絡安全安全方案涉及的內容比較多、比較廣、比較專業和實際。網絡安全方案就像一張施工的圖紙,圖紙的好壞直接影響工程的質量高低。下面討論一下網絡安全設計的注意點和質量。

2、 網絡安全方案設計的注意點

對于網絡安全人員來說,網絡有一個整體性、動態的安全。也就是在整個項目有一種總體的把握能力,不能只關注自己熟悉的某個領域,而要對其他的領域不關心,不理解,那么就寫不出一份好的安全方案。寫出來的方案要針對用戶所遇到的問題,運用技術和產品來解決問題。設計人員就只有對安全技術了解得很深,對產品了解得很深,設計出的方案才能接近用戶的要求。

好的安全方案應該考慮技術、策略和管理,技術是關鍵,策略是核心,管理是保證。在方案中始終要休現出這三個方面的關系。在網絡安全設計時,一定要了解用戶實際網絡系統環境,對可能遇到的安全風險和威脅進行量化和評估,這樣寫出的解決方案才客觀。設計網絡安全方案時,動態安全很重要,隨著環境的變化和時間的推移,系統的安全性也會發生變化,所有在設計時不僅要考慮現在的情況,還要考慮將來的情況,用一種動態的方式來考慮,做到項目實施既考慮到現在的情況,也能很好的適應以后網絡系統的升級,留一個較好的升級接口。

網絡沒有絕對安全,只有相對安全,在網絡安全方案設計時,必須清楚這點,客觀的來寫方案,不夸大也不縮小,寫得實實在在,讓人信服接受。由于時間和空間不斷發生作用,安全是沒有不變的,不管在設計還是在實施的時候,無論是想得多完善,做得多嚴密,都不能達到絕對的安全。所以安全方案中應該告訴用戶只能做到避免風險,清除風險的根源,降低風險所帶來的損失,而不能做到消除風險。

3、 評價網絡安全方案的質量

我們怎樣才能寫出高質量、高水平的的網絡安全方案呢?我們只有抓住重點,理解安全理念和安全過程,那么就基本可以做到了。一份好的安全方案我們需要從下面幾個方面來把握。

對安全技術和安全風險有一個綜合的把握和理解,包括現在的和將來可能出現的情況。

體現唯一性,由于安全的復雜性和特殊性,唯一性是評估安全方案最重要的一個標準。實際中,每一個特定網絡都是唯一的,需要根據實際情況處理。

對用戶的網絡系統可能遇到的安全風險和安全威脅,結合現有的安全技術和安全風險,要有一合適、中肯的評估。

對癥下藥,用相應的安全產品、安全技術和管理手段,降低用戶的網絡系統當前可能遇到的風險和威脅,消除風險和威脅的根源,增強整個網絡系統抵抗風險和威脅的能力,增強系統本身的免疫力。

在設計方案時,要明白網絡系統安全是一個動態的、整體的、專業的工程,不能一步到位解決用戶所有的問題。

方案出來后,要不斷與用戶進行溝通,能夠及時得到他們對網絡系統在安全方面的要求、期望和所遇到的問題。

方案中要體現出對用戶的服務支持,這是很重要的一部分。產品和技術,都將會體現在服務中,服務用來保證質量、提高質量。

方案中所涉及到和產品和技術,都要經得起驗證、推敲、實施,要有理論根據,要有實際基礎。

4、安全風險分析

主要實際安全風險一般從網絡的風險和威脅分析、系統風險和威脅分析、應用的風險和威脅分析、對網絡、系統和應用的風險及威脅的具體實際的詳細的分析。

網絡的風險和威脅分析:詳細分析用戶當前的的網絡結構,找出帶來安全問題的關鍵,并形成圖形化,指出風險和威脅所帶來的危害,對那些如果不消除風險和威脅,會起引什么樣的后果,要有一個中肯、詳細的分析和解決辦法。系統的風險和威脅分析:對用戶所有的系統都要進行一次詳細地評估,分析存在哪些風險和威脅,并根據與業務的關系,指出其中的厲害關系。要運用當前流行系統所面臨的安全風險和威脅,結合用戶的實際系統,給出一個中肯、客觀和實際的分析。應用的分析和威脅分析:應用的安全是企業的關鍵,也是安全方案中最終說服要保護的對象。同時由于應用的復雜性和關聯性,分析時要比較綜合。對網絡、系統和應用的風險及威脅的具體實際的詳細分析:幫助用戶找出其網絡系統中要保護的對象,幫助用戶分析網絡系統,幫助他們發現其網絡系統中存在的問題,以及采用哪些產品和技術來解決。

5、安全產品

常用的安全產品有:防火墻、防病毒、身份認證、傳輸加密和入侵檢測。結合用戶的網絡、系統和應用的實際情況,對安全產品和安全技術作比較和分析,分析要客觀、結果要中肯,幫助用戶選擇最能解決他們所遇到問題的產品,不要求新、求好和求大。

防火墻:對包過濾技術、技術和狀態檢測技術的防火墻,都做一個概括和比較,結合用戶網絡系統的特點,幫助用戶選擇一種安全產品,對于選擇的產品,一定要從中立的角度來說明。

防病毒:針對用戶的系統和應用的特點,對桌面防病毒、服務器防病毒和網關防病毒做一個概括和比較,詳細指出用戶必須如何做,否則就會帶來什么樣的安全威脅,一定要中肯、合適,不要夸大和縮小。

身份認證:從用戶的系統和用戶的認證的情況進行詳細的分析,指出網絡和應用本身的認證方法會出現哪些風險,結合相關的產品和技術,通過部署這些產品和采用相關的安全技術,能夠幫助用戶解決哪些用系統和應用的傳統認證方式所帶來的風險和威脅。

傳輸加密:要用加密技術來分析,指出明文傳輸的巨大危害,通過結合相關的加密產品和技術,能夠指出用戶的現有情況存在哪些危害和風險。

入侵檢測:對入侵檢測技術要有一個詳細的解釋,指出在用戶的網絡和系統部署了相關的產品之后,對現有的安全情況會產生一個怎樣的影響要有一個詳細的分析。結合相關的產品和技術,指出對用戶的系統和網絡會帶來哪些好處,指出為什么必須要這樣做,不這樣做會怎么樣,會帶來什么樣的后果。

結束語

一份好的網絡安全方案要求的是技術面要廣、要綜合,不僅只是技術好?？傊?經過不斷的學習和經驗積

篇（2）

當前網絡技術的快速發展，大部分高校已經建立了學校校園網絡，為學校師生提供了更好的工作及學習環境，有效實現了資源共享，加快了信息的處理，提高了工作效率【1】。然而校園網網絡在使用過程中還存在著安全問題，極易導致學校的網絡系統出現問題，因此，要想保證校園網的安全性，首先要對校園網網絡安全問題深入了解，并提出有效的網絡安全方案設計，合理構建網絡安全體系。本文就對校園網網絡安全方案設計與工程實踐深入探討。

1.校園網網絡安全問題分析

1.1操作系統的漏洞

當前大多數學校的校園網都是采用windows操作系統，這就加大了安全的漏洞，服務器以及個人PC內部都會存在著大量的安全漏洞【2】。隨著時間的推移，會導致這些漏洞被人發現并利用，極大的破壞了網絡系統的運行，給校園網絡的安全帶來不利的影響。

1.2網絡病毒的破壞

網絡病毒是校園網絡安全中最為常見的問題，其能夠使校園網網絡的性能變得較為低下，減慢了上網的速度，使計算機軟件出現安全隱患，對其中的重要數據帶來破壞，嚴重的情況下還會造成計算機的網絡系統癱瘓。

1.3來自外部網絡的入侵和攻擊等惡意破壞行為

校園網只有連接到互聯網上，才能實現與外界的聯系，使校園網發揮出重要的作用。但是，校園網在使用過程中，會遭到外部黑客的入侵和攻擊的危險，給校園互聯網內部的服務器以及數據庫帶來不利的影響，使一些重要的數據遭到破壞，給電腦系統造成極大的危害。

1.4來自校園網內部的攻擊和破壞

由于大多數高校都開設了計算機專業，一些學生在進行實驗操作的時候，由于缺乏專業知識，出于對網絡的興趣，不經意間會使用一些網絡攻擊工具進行測試，這就給校園網絡系統帶來一定的安全威脅。

2.校園網網絡安全的設計思路

2.1根據安全需求劃分相關區域

當前高校校園網都沒有重視到安全的問題，一般都是根據網絡互通需要為中心進行設計的。以安全為中心的設計思路能夠更好的實現校園網的安全性。將校園網絡分為不同的安全區域，并對各個區域進行安全設置。其中可以對高校校園網網絡安全的互聯網服務區、廣域網分區、遠程接入區、數據中心區等進行不同的安全區域。

2.2用防火墻隔離各安全區域

通過防火墻設備對各安全區域進行隔離，同時防火墻作為不同網絡或網絡安全區域之間信息的出入口，配置不同的安全策略監督和控制出入網絡的數據流，防火墻本身具有一定的抗攻擊能力。防火墻把網絡隔離成兩個區域，分別為受信任的區域和不被信任的區域，其中對信任的區域將對其進行安全策略的保護，設置有效的安全保護措施，防火墻在接入的網絡間實現接入訪問控制。

3.校園網網絡安全方案設計

3.1主干網設計主干網可采用三層網絡構架，將原本較為復雜的網絡設計分為三個層次，分別為接入層、匯聚層、核心層。每個層次注重特有的功能，這樣就將大問題簡化成多個小問題。

3.2安全技術的應用3.2.1VLAN技術的應用。虛擬網是一項廣泛使用的基礎，將其應用于校園網絡當中，能夠有效的實現虛擬網的劃分，形成一個邏輯網絡。使用這些技術，能夠優化校園網網絡的設計、管理以及維護。

3.2.2ACL技術的應用。這項技術不僅具有合理配置的功能，而且還有交換機支持的訪問控制列表功能。應用于校園網絡當中，能夠合理的限制網絡非法流量，從而實現訪問控制。

3.3防火墻的使用防火墻是建立在兩個不同網絡的基礎之間，首先對其設置安全規則，決定網絡中傳輸的數據包是否允許通過，并對網絡運行狀態進行監視，使得內部的結構與運行狀況都對外屏蔽，從而達到內部網絡的安全防護【3】。如圖一所示。防火墻的作用主要有這幾個方面：一是防火墻能夠把內、外網絡、對外服務器網絡實行分區域隔離，從而達到與外網相互隔離。二是防火墻能夠將對外服務器、網絡上的主機隔離在一個區域內，并對其進行安全防護，以此提升網絡系統的安全性。三是防火墻能夠限制用戶的訪問權限，有效杜絕非法用戶的訪問。四是防火墻能夠實現對訪問服務器的請求控制，一旦發現不良的行為將及時阻止。五是防火墻在各個服務器上具有審計記錄，有助于完善審計體系。

4.結語

總而言之，校園網絡的安全是各大院校所關注的問題，當前校園網網絡安全的主要問題有操作系統的漏洞、網絡病毒的破壞、來自外部網絡的入侵和攻擊等惡意破壞行為、來自校園網內部的攻擊和破壞等【4】。要想保障校園網網絡的安全性，在校園網網絡安全的設計方面，應當根據安全需求劃分相關區域，用防火墻隔離各安全區域。設計一個安全的校園網絡方案，將重點放在主干網設計、安全技術的應用以及防火墻的使用上，不斷更新與改進校園網絡安全技術，從而提升校園網的安全性。

作者:金茂 單位:杭州技師學院

參考文獻：

[1]余思東,黃欣.校園網網絡安全方案設計[J]軟件導刊,2012,06:138-139

篇（3）

具體來說，P1提供了WAN和LAN 2個網絡接口，在使用時，我們要做的就是分別將它們連接到所住酒店的寬帶網絡接口和筆記本電腦有線網口上，然后打開電源。多數情況下，酒店寬帶都是基于端口的認證服務。這時，P1默認可以從當地網絡中自動獲得一個IP地址和與之配套的網關、DNS信息，并自動根據P1內置的VPN參數進行企業VPN管道連接。一旦連接成功，你會看到P1的VPN指示燈變綠。整個過程，完全無需用戶任何干預，像在公司內部一樣。

如果你所住的酒店使用IE窗口認證模式，則你還需要在VPN連接成功前先開啟IE窗口，隨便輸入一個網址，系統會自動彈出相應的酒店寬帶網絡登錄窗口，你也只要按照酒店上網說明，輸入你房間的寬帶口令，即可激活Internet服務。接下來，P1仍然會自動配置好網管事先設定好的VPN連接，將你接入公司的網絡安全體系中。

其實，P1這樣的個人硬件安防解決方案最大的好處還是在于企業安全的統一管理和部署。

在完全沒有用戶干預的情況下，網管能通過ZyXEL的Vantage CNM中央網管系統遠程強制分發統一的企業安防策略。確保身處異地的員工電腦一樣可以在遠程連入企業網絡前，都確實執行最新的企業網絡安全規范，既。節省了網管逐一為大家升級防火墻的麻煩，也避免了百密一疏的危險。真正做到貼身的安防服務。

三心二意玩電腦

隨著電腦更新速度的日益提升，誰家還沒有個把淘汰下來的舊電腦，或者被筆記本電腦替換下來的臺式機。這些電腦大都已成食之無味、棄之可惜的雞肋。怎樣利用這些電腦，幫你做更多的事情呢?這里，我們給你再支一招：用多電腦切換器(KVM Switch)實現多機并用互不干擾。

這里我們拿Aten(宏正自動科技)的雙機USB切換器CS-173ZA為例給大家做一示范。它具備2套主機接口，包括VGA、音頻(MIC、音箱)和USB總共4個接口，可以滿足2臺主機共享同一套顯示器、鍵鼠以及USB打印機等外設。這樣，你就可以將家中空閑的主機也架起來完成一些簡單的后臺工作，比如進行BT下載。或者更方便地將筆記本電腦連到家里臺式機的大屏幕液晶顯示器和高保真音箱上，用標準鍵鼠更舒適地進行操控，而不必受制于筆記本電腦的配置。

多電腦切換器的連接也很簡單，你只要將隨機附帶的2條主數據線，分別連接到電腦主機和KVM后的CPU1/2接口上(注意連接方向：數據線包括VGA、音頻和USB接頭的一端接在主機對應接口上，數據線的另一端接到KVM上)，然后將顯示器、USB鍵鼠(PS/2鍵鼠可以通過附帶USB-2-PS/2轉接線轉換連接)和音響系統的MIc／音箱接入到KVM對應端口上，一切就算ok了!KVM的使用也非常容易。在開機2臺電腦后，你可以直接通過KVM正面的1、2主機對應按鈕，進行雙機操控、顯示、聲音系統的快速切換。即要顯示、操控1號機的信息，就按下1號機切換鍵，然后就跟原來一樣，直接使用1號電腦。待需要使用2號主機時，就簡單地按下2號機切換鍵，顯示屏和鍵鼠就都連接到2號電腦上，你即可以開始操作2號電腦。

篇（4）

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)29-0340-02

The Project Design of Honeypot Deployment Based on Network Security

SHI Ze-quan

(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)

Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.

Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware

計算機及其網絡技術的應用已深入各行各業，特別是企事業單位的日常管理工作更是緊密依賴網絡資源?；诖?，保證網絡的正常運行就顯得尤為重要。目前，廣泛采用的安全措施是在企業局域網里布設網絡防火墻、病毒防火墻、入侵檢測系統，同時在局域網內設置服務器備份與數據備份系統等方案。而這些安全網絡防火墻、入侵檢測系統真能有效地保證系統的安全嗎？做到了這一切系統管理員就能高枕無憂了嗎？

1 問題的提出

圖1為現實中常用的二層網絡拓撲結構圖。從圖中可以看出，網絡防火墻與入侵檢測系統（IDS）均部署在網絡入口處，即防火墻與入侵檢測系統所阻擋是外網用戶對系統的入侵，但是對于內網用戶來說，內部網絡是公開的，所有的安全依賴于操作系統本身的安全保障措施提供。對一般的用戶來講，內網通常是安全的，即是說這種設計的對于內網的用戶應該是可信賴的。然而對于諸如校園網的網絡系統，由于操作者基本上都是充滿強烈好奇心而又具探索精神的學生，同時還要面對那些極少數有逆反心理、強烈報復心的學生，這種只有操作系統安全性作為唯一一道防線的網絡系統的可信賴程度將大打折扣。

另一方面，有經驗的網絡管理員都知道，網絡中設置了防火墻與入侵檢測系統并不能從根本上解決網絡的安全問題（最安全的方法只能是把網絡的網線撥了），只能對網絡攻擊者形成一定的阻礙并延長其侵入時間。操作者只要有足夠的耐心并掌握一定的攻擊技術，這些安全設施終有倒塌的可能。

所以，如何最大可能地延長入侵者攻擊網絡的時間？如何在入侵雖已發生但尚未造成損失時及時發現入侵？避開現有入侵檢測系統可以偵測的入侵方式而采用新的入侵方式進行入侵時，管理者又如何發現？如何保留入侵者的證據并將其提交有關部門？這些問題都是網絡管理者在安全方面需要經常思考的問題。正是因為上述原因，蜜罐技術應運而生。

2 蜜罐技術簡介

蜜罐技術的研究起源于上世紀九十年代初。蜜罐技術專家L．Spitzner對蜜罐是這樣定義的：蜜罐是一個安全系統，其價值在于被掃描、攻擊或者攻陷。即意味著蜜罐是一個包含漏洞的誘騙系統。它是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統的人設計的。它通過模擬一個或多個有漏洞的易受攻擊的主機，給攻擊者提供十分容易受攻擊的目標。

如圖2所示，蜜罐與正常的服務器一樣接入核心交換機，并安裝相應的操作系統和數據庫管理系統，配置相應的網絡服務，故意存放“有用的”但已過時的或可以公開的數據。甚至可以將蜜罐服務器配置成接入網絡即組成一臺真正能提供應用的服務器，只是注意將蜜罐操作系統的安全性配置成低于正常的應用服務器的安全性，或者故意留出一個或幾個最新發現的漏洞，以便達到“誘騙”的目的。

正常配置的蜜罐技術一旦使用，便可發揮其特殊功能。

1) 由于蜜罐并沒有向外界提供真正有價值的服務，正常情況下蜜罐系統不被訪問，因此所有對其鏈接的嘗試都將被視為可疑的，這樣蜜罐對網絡常見掃描、入侵的反應靈敏度大大提高，有利于對入侵的檢測。

2) 蜜罐的另一個用途是拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。如圖二， 正常提供服務的服務器有4個，加入4個蜜罐，在攻擊者看來，服務器有8個，其掃描與攻擊的對象也增加為8個，所以大大減少了正常服務器受攻擊的可能性。同時，由于蜜罐的漏洞多于正常服務器，必將更加容易吸引攻擊者注意，讓其首先將時間花在攻擊蜜罐服務器上。蜜罐服務器靈敏的檢測并及時報警，這樣可以使網絡管理員及時發現有攻擊者入侵并及時采取措施，從而使最初可能受攻擊的目標得到了保護，真正有價值的內容沒有受到侵犯。

3) 由于蜜罐服務器上安裝了入侵檢測系統，因此它可以及時記錄攻擊者對服務器的訪問，從而能準確地為追蹤攻擊者提供有用的線索，為攻擊者搜集有效的證據。從這個意義上說，蜜罐就是“誘捕”攻擊者的一個陷阱。

經過多年的發展，蜜罐技術已成為保護網絡安全的切實有效的手段之一。對企事關單位業務數據處理，均可以通過部署蜜罐來達到提高其安全性的目的。

3 蜜罐與蜜網技術

蜜罐最初應用是真正的主機與易受攻擊的系統，以獲取黑客入侵證據、方便管理員提前采取措施與研究黑客入侵手段。1998年開始，蜜罐技術開始吸引了一些安全研究人員的注意，并開發出一些專門用于欺騙黑客的開放性源代碼工具，如Fred Cohen所開發的DTK（欺騙工具包）、Niels Provos開發的Honeyd等，同時也出現了像KFSensor、Specter等一些商業蜜罐產品。

這一階段的蜜罐可以稱為是虛擬蜜罐，即開發的這些蜜罐工具能夠模擬成虛擬的操作系統和網絡服務并對黑客的攻擊行為做出回應，從而欺騙黑客。虛擬蜜罐工具的出現也使得部署蜜罐變得比較方便。但是由于虛擬蜜罐工具存在著交互程度低、較容易被黑客識別等問題。從2000年之后，安全研究人員更傾向于使用真實的主機、操作系統和應用程序搭建蜜罐，與之前不同的是，融入了更強大的數據捕獲、數據分析和數據控制的工具，并且將蜜罐納入到一個完整的蜜網體系中．使得研究人員能夠更方便地追蹤侵入到蜜網中的黑客并對他們的攻擊行為進行分析。

蜜網技術的模型如圖3所示。由圖中可以看出，蜜網與蜜罐最大的差別在于系統中多布置了一個蜜網網關（honeywall）與日志服務器。其中蜜網網關僅僅作為兩個網絡的連接設備，因此沒有MAC地址，也不對任何的數據包進行路由及對TTL計數遞減。蜜網網關的這種行為使得攻擊者幾乎不可能能覺察到它的存在。任何發送到蜜網內的機器的數據包都會經由Honeywall網關，從而確保管理員能捕捉和控制網絡活動。而日志服務器則記錄了攻擊者在蜜罐機上的所有的行為以便于對攻擊者的行為進行分析，并對蜜罐機上的日志進行備份以保留證據。這樣攻擊者并不會意識到網絡管理員正在監視著他，捕獲的行為也使管理員掌握了攻擊者使用的工具、策略和動機。

4 蜜罐部署

由前述內容可以看出，蜜罐服務器布置得越多，應用服務器被掃描與攻擊的風險則越小，但同時系統成本將大幅度提高，管理難度也加大。正因為如此，實際中蜜罐的部署是通過虛擬計算系統來完成的。

當前在Windows平臺上流行的虛擬計算機系統主要有微軟的Virtual Pc與Vmware。以Vmware為例，物理主機配置兩個網卡，采用Windows2000或Windows XP操作系統，并安裝VMwar。建立一臺虛擬機作為蜜網網關，此虛擬機設置三個虛擬網卡（其虛擬網卡類型見圖4），分別連接系統工作網、虛擬服務器網與監控服務器。虛擬服務器網根據物理主機內存及磁盤空間大小可虛擬多個服務器并安裝相應的操作系統及應用軟件，以此誘惑黑客攻擊。蜜網服務器用于收集黑客攻擊信息并保留證據。系統拓撲結構如圖4所示。

系統部署基本過程如下：

4.1 主機硬件需求

CPU：Pentium 4 以上CPU，雙核更佳。

硬盤：80G以上，視虛擬操作系統數量而定。

內存：1G以上，其中蜜網軟件Honeywall至少需要256M以上。其它視虛擬操作系統數量而定。（下轉第346頁）

（上接第341頁）

網卡：兩個，其中一個作為主網絡接入，另一個作為監控使用。

其它設備：視需要而定

4.2 所需軟件

操作系統安裝光盤：Windows 2000或Windows 2003；

虛擬機軟件：VMware Workstation for Win32；

蜜網網關軟件：Roo Honeywall CDROM v1.2，可從蜜網項目組網站（一個非贏利國際組織，研究蜜網技術，網址為）下載安裝光盤。

4.3 安裝過程

1）安裝主機操作系統。

2) 安裝虛擬機軟件。

3) 構建虛擬網絡系統。其中蜜網網關虛擬類型為Linux，內存分配為256M以上，最好為512M，硬盤空間為4G以上，最好為10G。網卡三個，分別設為VMnet0、VMnet1和VMnet2，如圖4所示。

4) 在蜜網網關機上安裝honeywall，配置IP信息、管理信息等。

5) 在蜜網網關機上配置Sebek服務器端，以利用蜜網網關收集信息。

6) 安裝虛擬服務器組，并布設相應的應用系統。注意虛擬服務器組均配置為VMnet1，以使其接入蜜網網關機后。

7) 在虛擬服務器組上安裝并配置sebek客戶端。

8) 通過監控機的瀏覽器測試蜜網網關數據。

總之，虛擬蜜網系統旨在利用蜜網網關的數據控制、數據捕獲和數據分析等功能，通過對蜜網防火墻的日志記錄、eth1上的嗅探器記錄的網絡流和Sebek 捕獲的系統活動，達到分析網絡入侵手段與方法的目的，以利于延緩網絡攻擊、改進網絡安全性的目的。

參考文獻：

[1] 王連忠.蜜罐技術原理探究[J].中國科技信息,2005(5):28.

[2] 牛少彰,張 瑋. 蜜罐與蜜網技術[J].通信市場,2006(12):64-65.

[3] 殷聯甫.主動防護網絡入侵的蜜罐(Honeypot)技術[J].計算機應用,2004(7):29-31.

篇（5）

前言

電力調度數據網絡在電力系統的運行中起到不可忽視的重要作用，良好的電力調度數據網絡環境有效保證電網經濟、安全、可靠、穩定的運行，為電力系統中的電力生產、燃料調度、水庫調度以及電網調度自動化、繼電保護等提供了便捷的通信條件，它為電力企業的生產與管理提供了良好保障。為了滿足基于虛擬專用網的電力調度數據網絡的安全性需求，相關技術人員要不斷在實際工作中總結經驗，設計出合理、科學的安全方案，以保證電力調度數據網絡更好地服務于企業，為企業帶來更多的經濟效益。

1電力調度數據網絡建設的必要性

隨著經濟社會的快速發展，各種現代化管理方式應運而生，電網管理方式的創新與管理水平的提高，帶動了電力調度業務的發展，良好的電力調度數據網絡能夠有效保障電網系統的安全性與經濟性，確保電網運行的穩定性。目前我國電力調度數據業務還局限在傳統模式上，運用的是傳統的數字專線模式，這種傳統電力調度數據模式使信息共享受到阻礙，造成了通信資源的浪費，隨著各種高科技產品的生產，各種電力調度業務不斷上線，對電網通道資源與數據共享的需求也逐漸增高。只有建設良好的電力調度數據網絡，才能保證電力系統的經濟性與安全性。

1.1電力調度數據網絡建設是自動化系統發展的需要

人們在經營各種生產生活等的活動中，都離不開電網的支持，為了更好地適應電網的發展需求，調度自動化系統在其功能上得到不斷的改進和完善，除了安全自動裝置、繼電保護以及傳統的調度自動化系統之外，一些現代化的系統諸如配網自動化系統、電能量計量系統、無人值班變電站監控設備等逐漸應用到電網系統中，這些新型系統設備的有效運用，使得信息傳輸容量得到了很大的提高。由于信息傳輸容量的增加，各個調度系統之間要進行更多的信息共享與數據轉換，這就對通信網絡的要求越來越高，傳統的通信網絡在傳統實時數據時其數量和質量都受到了很大的局限，不能夠再適應現代電網自動化應用系統的需求。建立安全的基于VPN的電力調度數據網絡，在一些地區已經得到運用，其運行情況很好，對信息數據的傳輸速率與質量都有了明顯的提高，有效保證了自動化應用系統的發展需求。建立一個基于VPN的電力調度數據安全網絡，能夠有效提高電網運行的信息共享程度、傳輸速率，滿足電網自動化系統發展的需求。

1.2電力調度數據網絡建設是提高實時數據傳輸可靠性的需要

目前我國一些電力系統變電站的實時監控信息采用的是模擬和數字專線通道與地調調度自動化系統相結合的通信方式，每臺終端設備和地調之間要獨自單用一條或者是兩條專用的數據通道。這種采用模擬和數字專線通道與地調調度自動化系統進行通信的模式在通信傳輸時速率普遍較低，傳輸的信號會受到通道較大的干擾，傳輸的數據不穩定，也沒有網絡層間的保護系統，如果數據通道出現故障，那么數據信息就會立即丟失并且不能夠進行數據的恢復，這種點對點的傳輸方式需要在主站端設置較多的接口設備，由于操作配置的復雜性，使其在后期維護時工作量增大。建立電力調度數據網，能夠實現調度生產應用系統的網絡性模式，通過直接上網的方式來進行數據交換，有效的提高了信息傳輸的可靠性?；赩PN的電力調度數據網絡的建設，能夠保證信息數據傳輸的可靠性，不會因為通道出現故障而導致數據丟失的情況，主站端不必要設置大量的終端設備，方便了工作人員進行設備維護。

2基于VPN的電力調度數據網絡安全方案

基于VPN的電力調度數據網絡安全方案在設計時要遵循經濟性、流量優化、擴展性、節點可靠性以及拓撲可靠性等的原則。設計電力調度數據網絡安全方案時，在充分確保電力調度數據網絡的暢通性和可靠性的前提下，最大限度的減少網絡電路的數量、網絡電路的總里程以及寬帶，以此來盡量減小網絡的運行費用，為企業帶來更多的經濟效益。根據電力調度數據網絡的流量以及流向，在設置電路和寬帶時要保證其合理性配置，均勻的將網絡流量分布開來，保證各個電路寬帶均能充分的利用網絡流量，避免使網絡帶寬達到瓶頸，影響電力調度數據網絡的安全性。進行主干網絡的拓撲設計時，要充分遵循N-1的設備可靠性和電路可靠性原則，增加、修改或者減少網絡電路和節點時，要保證網絡的總體拓撲不受到影響。在設置網絡中各個骨干、核心的節點時，要采用雙設備配置，根據實際情況需求，進行設備的風扇、引擎以及電源燈冗余設計，注意電力調度數據網絡節點的熱插撥等特性。

在網絡設計中包括電力調度數據網絡的核心層、匯聚層以及接入層三層的設計。在核心層中進行核心路由器和核心層交換機的聯通性時，要注意保證核心層交換機的業務服務器在傳輸數據時具有不間斷性，順暢地發送到核心層路由器，再由核心層路由器再次轉發數據。核心層交換機要具備全局的地址，能夠保證網管服務器的正常訪問。核心層與匯聚層進行具體網絡的聯通時，要注意核心層交換機下聯的網絡管理服務器可以正常的對匯聚層的設備進行訪問，下聯的業務服務器能夠順利的連接匯聚層的業務地址并進行正常訪問。即使發生部分線路中斷的情況，匯聚層的各個業務地址仍然可以在冗余的網絡拓撲結構中進行數據的傳輸，或者是通過高可靠性的路由協議來完成數據的上傳，保證業務或者網管服務器正常接收數據。此外還應當注意匯聚層的不同站點業務地址不需要進行互通。電力調度數據網的核心層和骨干層的數據處理能力較強，因此在設計方案中將仿真分析集中于接入層。對于電力調度數據網絡安全方案的接入層設計，應當保證接入層中的業務流量可以進行不間斷的數據發送，接入層中的業務終端可以與核心層的業務服務器進行正?；ネ?，接入層的網絡設備可以與核心層的網絡管理服務器進行正常的互通，只有同時達到這三個要求，才能保證接入層的網絡連通性。接入層采用的是低端網絡的嵌入式遠動監控設備，在安全方案設計中將基于IPSec的VPN內核進一步裁剪，在裁剪后的VPN安全框架中融入新的身份認證和密鑰協商算法，這樣能夠有利于新設計安全方案的實現，同時可以大幅度降低接入層設備在安全數據處理中的費用，減少電力調度數據網絡安全方案的設計投入。

3結語

總而言之，在電力系統的生產管理工作中，電力調度數據網絡起到對其的直接控制作用，電力調度數據網的重要性不容忽視。電力企業一定要重視電力調度數據網的安全性和實時性，不斷借鑒國外先進的技術，在實際運行工作中，注意總結和歸納，設計出一種合理的基于VPN的身份認證與密鑰協商相互融合的安全方案，消除電力調度數據網絡中實時性與安全性兩者之間的矛盾，使其為企業帶來更多的應用價值。

篇（6）

中圖分類號 G271 文獻標識碼 A 文章編號 1673-9671-（2012）111-0142-01

計算機網絡的安全運行，是關系到一個企業發展的重要問題，如何能使得企業網絡更為安全，如今已經成為了一個熱議的話題。影響網絡安全的因素有很多種，保護網絡安全的手段、技術也很多。對于網絡安全的保護我們一般都是通過防火墻、加密系統、防病毒系統、身份認證等等方面來保護網絡的安全。為了保護網絡系統的安全，我們必須要結合網絡的具體需求，把多種安全措施進行總結，建立一個立體的、全面的、多層次網絡安全防御系統。

1 影響網絡安全的因素

網絡信息的安全問題日益嚴重，這不僅會使企業遭受到巨大的經濟損失，也影響到國家的安全。

如何避免網絡安全問題的產生，我們必須要清楚因法網絡安全問題的因素有哪些。我們主要把網絡安全問題歸納為以下幾個方面：

1.1 人為失誤

人為失去指的是在在無意識的情況下造成的失誤，進而引發網絡安全問題。如“非法操作、口令的丟失、資源訪問時控制不合理、管理人員疏忽大意等，這些都會對企業網絡系統造成很大的破壞，引發網絡安全問題。

1.2 病毒感染

病毒一直以來，都是能夠對計算機安全夠成直接威脅的因素，而網絡更能夠為病毒提供迅速快捷的傳播途徑，病毒很容易通過服務器以軟件的方式下載、郵件等方式進入網絡，然后對計算機網絡進行攻擊、破壞，進而會造成很大的經濟損失。

1.3 來自企業網絡外部的攻擊

企業網絡外部的攻擊主要是企業局域網外部的惡意攻擊，比如：偽裝合法用戶進入企業網絡，并占用修改資源；有選擇的來破壞企業網絡信息的完整性和有效性；修改企業網站數據、破譯企業機密、竊取企業情報、破壞企業網絡軟件；利用中間網線來讀取或者攔截企業絕密信息等。

1.4 來自網絡內部的攻擊

在企業局域網內部，一些非法人員冒用合法的口令，登陸企業計算機網絡，產看企業機密信息，修改企業信息內容，破壞企業網絡系統的正常運行。

1.5 企業網絡系統漏洞

企業的網絡系統不可能是毫無破綻的，而企業網絡中的漏洞，總是設計者預先留下的，為網絡黑客和工業間諜提供最薄弱的攻擊部位。

2 企業計算機網絡安全方案的設計與實現

影響計算機網絡完全因素很多，而相應的保護手段也很多。

2.1 動態口令身份認證的設計與實現

動態口令身份認證具有動態性、不可逆性、一次性、隨機性等特點，跟傳統靜態口令相比，增加了計算機網絡的安全性。傳統的靜態口令進行身份驗證的時候，很容易導致企業計算機網絡數據遭到竊取、攻擊、認證信息的截取等諸多問題。而動態口令的使用不僅保留了靜態口令的優點，又采用了先進的身份認證以及解密流程，而每一個動態口令只能使用一次，并且對認證的結果進行記錄，防止同一個口令多次登錄。

2.2 企業日志管理與備份的設計與實現

企業要想保證計算機網絡的安全，對于計算機網絡進行日志管理和備份是不可缺少的內容，日志管理和備份數據系統是計算機運行的基礎。計算機在運行過程中難保不會出現故障，而計算機中的數據和資料的一個企業的血液，如果數據和資料丟失，會給企業今后的發展帶來巨大的不便，為了避免數據資料的丟失，我們就應當對計算機網絡做好數據備份以及數據歸檔的保護措施。這些都是維護企業網絡安全的最基本的措施與工作。

2.3 病毒防護設計與實現

計算機病毒每年都在呈上漲的趨勢，我國每年遭受計算機入侵的網絡，占到了相當高的比例。計算機病毒會使計算機運行緩慢，對計算機網絡進行有目的的破壞行為。目前Internet在飛速的發展，讓病毒在網上出現之后，會很快的通過網絡進行傳播。對于企業計算機網絡，應當時刻進行監控以及判斷系統中是否有病毒的存在，要加大對于病毒的檢測。處理、免疫及對抗的能力。而企業使用防病毒系統，可以有效的防止病毒入侵帶來的損失。為了使企業的網絡更加安全，要建立起一個完善的防病毒系統，制定相應的措施和病毒入侵時的緊急應急措施，同時也要加大工作人員的安全意識。

病毒會隨著時間的推移變的隨時都有可能出現，所以企業中計算機網絡安全人員，要隨時加強對于防毒系統的升級、更新、漏洞修復，找出多種不同的防毒方法，提高企業計算機網絡防病毒的能力。

2.4 防火墻技術設計與實現

Internet使用過程中，要通過內網。外網的連接來實現訪問，這些就給網絡黑客們提供了良好的空間與環境。目前，企業計算機網絡系統，采用防火墻技術，能有效的保證企業的機密不會受到網絡黑客以及工業間諜的入侵，這種方法也是維護企業計算機網絡最有效、最經濟的方法，因為防火墻系統是企業計算機網絡安全的最前面屏障，能有效的組織入侵情況的發生。所以企業計算機網絡第一個安全措施就是安裝以及應用防火墻。防火墻一般是安裝在內部網絡出口處，在內網與外網之間。

防火墻最大的特點是所有的信息傳遞都要經過它，這樣就能有效的避免企業網絡遭到非法入侵，防火本身的具有很高的可靠性，它可以加強對企業網絡的監督，防止外部入侵和黑客攻擊造成的信息泄露，

2.5 網絡安全設計的實現

在企業網絡運行中，與用戶和各個系統之間，存在著信息交換的過程，這些信息包括信息代碼、電子文稿、文檔等，所以總會有各種網絡安全的問題出現。為了保障網絡的安全性和客戶使用的合法性，就要去嚴格的限制登錄者的操作權限，增加口令的復雜程度。當工作人員離職要對于網絡口令認證做出相應的調整，以避免帶來的不便。

3 總結

現今網絡在現代生活中發展迅速，然而網絡安全的系統也日益突出。作為一個企業如何的保證自己網絡的安全性，使自身能夠更快更好的發展，面對著網絡入侵的行為要進行如何的防御，已經是一個越來越迫切的問題。我們只有從實際出發，去構建一個完整的安全的網絡防御系統，才能保證企業網絡的安全。

參考文獻

篇（7）

【關鍵詞】網絡安全技術 解決方案 企業網絡安全

網絡由于其系統方面漏洞導致的安全問題是企業的一大困擾，如何消除辦企業網絡的安全隱患成為企業管理中的的一大難題。各種網絡安全技術的出現為企業的網絡信息安全帶來重要保障，為企業的發展奠定堅實的基礎。

1 網絡安全技術

1.1 防火墻技術

防火墻技術主要作用是實現了網絡之間訪問的有效控制，對外部不明身份的對象采取隔離的方式禁止其進入企業內部網絡，從而實現對企業信息的保護。

如果將公司比作人，公司防盜系統就如同人的皮膚一樣，是阻擋外部異物的第一道屏障，其他一切防盜系統都是建立在防火墻的基礎上?，F在最常用也最管用的防盜系統就是防火墻，防火墻又可以細分為服務防火墻和包過濾技術防火墻。服務防火墻的作用一般是在雙方進行電子商務交易時，作為中間人的角色，履行監督職責。包過濾技術防火墻就像是一個篩子，會選擇性的讓數據信息通過或隔離。

1.2 加密技術

加密技術是企業常用保護數據信息的一種便捷技術，主要是利用一些加密程序對企業一些重要的數據進行保護，避免被不法分子盜取利用。常用的加密方法主要有數據加密方法以及基于公鑰的加密算法。數據加密方法主要是對重要的數據通過一定的規律進行變換，改變其原有特征，讓外部人員無法直接觀察其本質含義，這種加密技術具有簡便性和有效性，但是存在一定的風險，一旦加密規律被別人知道后就很容易將其破解?；诠€的加密算法指的是由對應的一對唯一性密鑰（即公開密鑰和私有密鑰）組成的加密方法。這種加密方法具有較強的隱蔽性，外部人員如果想得到數據信息只有得到相關的只有得到唯一的私有密匙，因此具有較強的保密性。

1.3 身份鑒定技術

身份鑒定技術就是根據具體的特征對個人進行識別，根據識別的結果來判斷識別對象是否符合具體條件，再由系統判斷是否對來人開放權限。這種方式對于冒名頂替者十分有效，比如指紋或者后虹膜， 一般情況下只有本人才有權限進行某些專屬操作，也難以被模擬，安全性能比較可靠。這樣的技術一般應用在企業高度機密信息的保密過程中，具有較強的實用性。

2 企業網絡安全體系解決方案

2.1 控制網絡訪問

對網絡訪問的控制是保障企業網絡安全的重要手段，通過設置各種權限避免企業信息外流，保證企業在激烈的市場競爭中具有一定的競爭力。企業的網絡設置按照面向對象的方式進行設置，針對個體對象按照網絡協議進行訪問權限設置，將網絡進行細分，根據不同的功能對企業內部的工作人員進行權限管理。企業辦公人員需要使用到的功能給予開通，其他與其工作不相關的內容即取消其訪問權限。另外對于一些重要信息設置寫保護或讀保護，從根本上保障企業機密信息的安全。另外對網絡的訪問控制可以分時段進行，例如某文件只可以在相應日期的一段時間內打開。

企業網絡設計過程中應該考慮到網絡安全問題，因此在實際設計過程中應該對各種網絡設備、網絡系統等進行安全管理，例如對各種設備的接口以及設備間的信息傳送方式進行科學管理，在保證其基本功能的基礎上消除其他功能，利用當前安全性較高的網絡系統，消除網絡安全的脆弱性。

企業經營過程中由于業務需求常需要通過遠端連線設備連接企業內部網絡，遠程連接過程中脆弱的網絡系統極容易成為別人攻擊的對象，因此在企業網絡系統中應該加入安全性能較高的遠程訪問設備，提高遠程網絡訪問的安全性。同時對網絡系統重新設置，對登入身份信息進行加密處理，保證企業內部人員在操作過程中信息不被外人竊取，在數據傳輸過程中通過相應的網絡技術對傳輸的數據審核，避免信息通過其他渠道外泄，提高信息傳輸的安全性。

2.2 網絡的安全傳輸

電子商務時代的供應鏈建立在網絡技術的基礎上，供應鏈的各種信息都在企業內部網絡以及與供應商之間的網絡上進行傳遞，信息在傳遞過程中容易被不法分子盜取，給企業造成重大經濟損失。為了避免信息被竊取，企業可以建設完善的網絡系統，通過防火墻技術將身份無法識別的隔離在企業網絡之外，保證企業信息在安全的網絡環境下進行傳輸。另外可以通過相應的加密技術對傳輸的信息進行加密處理，技術一些黑客破解企業的防火墻，竊取到的信息也是難以理解的加密數據，加密過后的信息常常以亂碼的形式存在。從理論上而言，加密的信息仍舊有被破解的可能性，但現行的數據加密方式都是利用復雜的密匙處理過的，即使是最先進的密碼破解技術也要花費相當長的時間，等到數據被破解后該信息已經失去其時效性，成為一條無用的信息，對企業而言沒有任何影響。

2.3 網絡攻擊檢測

一些黑客通常會利用一些惡意程序攻擊企業網絡，并從中找到漏洞進入企業內部網絡，對企業信息進行竊取或更改。為避免惡意網絡攻擊，企業可以引進入侵檢測系統，并將其與控制網絡訪問結合起來，對企業信息實行雙重保護。根據企業的網絡結構，將入侵檢測系統滲入到企業網絡內部的各個環節，尤其是重要部門的機密信息需要重點監控。利用防火墻技術實現企業網絡的第一道保護屏障，再配以檢測技術以及相關加密技術，防火記錄用戶的身份信息，遇到無法識別的身份信息即將數據傳輸給管理員。后續的入侵檢測技術將徹底阻擋黑客的攻擊，并對黑客身份信息進行分析。即使黑客通過這些屏障得到的也是經過加密的數據，難以從中得到有效信息。通過這些網絡安全技術的配合，全方位消除來自網絡黑客的攻擊，保障企業網絡安全。

3 結束語

隨著電子商務時代的到來，網絡技術將會在未來一段時間內在企業的運轉中發揮難以取代的作用，企業網絡安全也將長期伴隨企業經營管理，因此必須對企業網絡實行動態管理，保證網絡安全的先進性，為企業的發展建立安全的網絡環境。

參考文獻

[1]周觀民，李榮會.計算機網絡信息安全及對策研究[J].信息安全與技術，2011.

篇（8）

從20世紀90年代至今，我國電信行業取得了跨越式發展，電信固定網和移動網的規模均居世界第一，網絡的技術水平也居世界前列。電信已經深入到人類生活的方方面面，和日常生活的結合越來越緊密。電信網的安全狀況直接影響這些基礎設施的正常運行。加強電信網絡的安全防護工作，是一項重要的工作。筆者結合工作實際，就電信網絡安全及防護工作做了一些思考。

1 電信網絡安全及其現狀

狹義的電信網絡安全是指電信網絡本身的安全性，按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面；廣義的網絡安全是包括了網絡本身安全這個基本層面，在這個基礎上還有信息安全和業務安全的層面，幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網絡安全的建設，針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年，原中國電信意識到網絡安全的重要性，并專門成立了相關的網絡安全管理部門，著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中，包括組織體系、策略體系和保障的機制，依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進，單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此，建立了網絡安全基礎支撐的平臺，也就是SOC平臺，形成了手段保障、技術保障和完備的技術管理體系，以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作，來完成對網絡安全事件的監控，完成對網絡安全工作處理過程中的支撐，還包括垃圾郵件獨立處理的支持系統。

然而，網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等，造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中，安全問題更加暴露。從狹義的網絡安全層面看，隨著攻擊技術的發展，網絡攻擊工具的獲得越來越容易，對網絡發起攻擊變得容易；而運營商網絡分布越來越廣泛，這種分布式的網絡從管理上也容易產生漏洞，容易被攻擊。從廣義的網絡安全層面看，業務欺詐、垃圾郵件、違法違規的SP行為等，也是威脅網絡安全的因素。

2 電信網絡安全面臨的形勢及問題

2.1 互聯網與電信網的融合，給電信網帶來新的安全威脅

傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送，信令網、網管網等支撐網與業務網隔離，完全由運營商控制，電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統，保障了網絡安全。IP電話引入后，需要與傳統電信網互聯互通，電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上，TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送，一旦出現不法行為，無論是運營商還是執法機關，確認這些用戶的身份需要費一番周折，加大了打擊難度。

2.2 新技術、新業務的引入，給電信網的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的，但從網絡安全方面看，如果采取的措施不當，NGN的引入可能會增加網絡的復雜性和不可控性。此外，3G、WMiAX、IPTV等新技術、新業務的引入，都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網絡側發送信息的能力大大增強，每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制，組成僵尸網絡群，其拒絕服務攻擊的破壞力將可能十分巨大。

2.3 運營商之間網絡規劃、建設缺乏協調配合，網絡出現重大事故時難以迅速恢復

目前，我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運營商條件下的監管措施還不配套，給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面，原來由行業主管部門對電信網絡進行統一規劃、統一建設，現在由各運營企業承擔各自網絡的規劃、建設，行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題，不同運營商之間的網絡能否互相支援配合就存在問題。

2.4 相關法規尚不完善，落實保障措施缺乏力度

當前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中，與網絡安全相關的法律法規還不完備，且缺乏操作性。在規范電信運營企業安全保障建設方面，也缺乏法律依據。運營企業為了在競爭中占據有利地位，更多地關注網絡建設、業務開發、市場份額和投資回報，把經濟效益放在首位，網絡安全相關的建設、運行維護管理等相對滯后。

3 電信網絡安全防護的對策思考

強化電信網絡安全，應做到主動防護與被動監控、全面防護與重點防護相結合，著重考慮以下幾方面。

3.1 發散性的技術方案設計思路

在采用電信行業安全解決方案時，首先需要對關鍵資源進行定位，然后以關鍵資源為基點，按照發散性的思路進行安全分析和保護，并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統，使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。

3.2 網絡層安全解決方案

網絡層安全要基于以下幾點考慮：控制不同的訪問者對網絡和設備的訪問；劃分并隔離不同安全域；防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域，即關鍵服務器區域和外部接入網絡區域，在這兩大區域之間需要進行安全隔離。同時，應結合網絡系統的安全防護和監控需要，與實際應用環境、工作業務流程以及機構組織形式進行密切結合，在系統中建立一個完善的安全體系，包括企業級的網絡實時監控、入侵檢測和防御，系統訪問控制，網絡入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強系統的總體可控性。

3.3 網絡層方案配置

在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品，將工作站直接連接到主干交換機的監控端口(SPANPort)，用以監控局域網內各網段間的數據包，并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。

3.4 主機、操作系統、數據庫配置方案

由于電信行業的網絡系統基于Intranet體系結構，兼呈局域網和廣域網的特性，是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡，它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范，并在中央安全管理平臺上部署中央管理控制臺，對全部的核心防護產品進行中央管理。

3.5 系統、數據庫漏洞掃描

系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門購買其他的系統/數據庫漏洞掃描工具。

篇（9）

隨著廣播電視數字化、網絡化的迅速發展，廣播電視監測工作由過去靠人工的傳統落后手段轉變為網絡化、自動化的方式，監測網的建成使監測工作發生了飛躍式的變化，提高了信息反饋速度，豐富了監測信息內容，拓展了監測業務類型，擴大了監測地理范圍，大大提高了廣播電視監測的綜合監測能力。但是，隨著網絡規模的擴大，監測網的復雜性和風險性也在不斷增加。業務的發展對網絡性能的要求也在不斷提高，如何運用先進技術方案保障監測網絡安全而高效地運轉已經成為我們面臨的重要工作。

1 監測網網絡結構特點

網絡規模大、系統復雜、專業性強，通常由一個或多個局域網系統及數個地理位置分散的遠程無人值守遙控站點組成分布式廣域網系統。

多種通信方式并存，監測網系統的通信建立倚賴于當地的通信條件，造成系統具有多種接入方式。

軟件開發基于J2EE平臺，軟件體系多采用C/S架構。

2 風險性分析

目前，廣播電視監測網主要面臨以下問題：

2.1缺乏完整的安全體系

廣播電視監測網建設是根據總體規劃，分步實施的，系統往往邊運行邊擴展規模。這種情況造成監測網系統建設之初，對系統安全很難進行全面規劃。隨著網絡規模的擴大及應用范圍的擴展，網絡的脆弱性不斷增加，同時，系統配置的更改，軟件的升級也造成系統的安全需求不斷變化，現有的安全手段將很難勝任。

2.2系統分布方式帶來安全的復雜性

監測網系統具有節點分布廣，地理位置分散等特點，使得對網絡安全狀況的集中控制變得困難，帶來數據安全的復雜性。不同的環節將需要不同手段的安全方案。

2.3網絡本身的安全漏洞

監測系統是一個基于IP的網絡系統，采用TCP/IP協議軟件，本身在應用、傳輸時存在較多不安全因素。

3 安全技術方案

鑒于對以上幾種風險性因素的分析，根據系統的實際情況，結合考慮需求、風險、成本等因素，在總體規劃的基礎上制訂了既可滿足網絡系統及信息安全的基本需求，又不造成浪費的解決方案。

3.1網絡資源總體規劃

實踐證明，合理、統一的網絡規劃對網絡維護及安全運行都有極大的好處，有利于保障監測網系統在不斷擴展中的可持續性，因此，在監測網建立之初統一進行網絡資源的設計，制定合理的IP規劃、網絡拓撲規劃，對各種資源進行統一編碼是保障網絡安全的第一步。

3.2設備安全配置

對于重要安全設備如交換機、路由器等，需要制定良好的配置管理方案，關閉不必要的設備服務，設置口令、密碼，加強設備訪問的認證與授權，升級BIOS，限制訪問、限制數據包類型等。

3.3操作系統安全方案

操作系統大部分的安全問題歸根結底是由于系統管理不善所導致的。解決方案是正確更新使用密碼設置、權限設置，正確進行服務器配置。建立健全操作系統安全升級制度，及時下載并安裝補丁。

3.4備份方案

為保證監測網的安全穩定運行，對于監測網的核心局域網系統硬件可采用雙機熱備方案，磁盤陣列、交換機、防火墻等硬件采用雙機并行，負載均衡的方式運行，應用服務器、數據庫服務器還可互為備份，從而保證不會因某一點出現故障而影響整個系統的正常使用。

3.5病毒防護

監測網系統覆蓋的點多面廣，防毒系統應采用集中控制多層防護的方案，在監測系統各個網絡都分級部署防病毒軟件，中心網絡對下一級系統進行實時集中病毒監測，定時升級。制定和采用統一的防病毒策略，使得網絡中的所有服務器和客戶端都能得到相同的防病毒保護。

3.6防火墻系統

監測網系統由于其分布特性往往由多個安全域組成，應加裝防火墻，以實現系統內各級網絡之間的隔離和訪問控制；實現對服務器的安全保護及對遠程用戶的安全認證與訪問權限控制，并實現對專線資源的流量管理控制和防攻擊。

3.7應用安全

可采用多種手段保障應用層安全。如：系統日志審核、服務器賬戶管理、用戶登錄權限管理、數據定期備份等。

3.8數據傳輸安全

監測網作為一個廣域網主要利用廣電光纜或電信線路進行通信，為保證安全性，數據的傳輸須采取加密措施。具體方案可針對不同通信方式及數據安全級別制定。

4 結束語

網絡是一個多樣、復雜、動態的系統，單一的安全產品和技術不能夠滿足網絡安全的所有要求，只有各個安全部件相互關聯、各種安全措施相互補充，網絡安全才能得到保障。同時，任何一個網絡的安全目標都不是僅依靠技術手段就能實現的，還應采取措施加強操作人員素質管理，提高值班員責任心。做到管理規范，才能確保監測網安全、高效運行。

篇（10）

Abstract ： The paper mainly discusses the network information security.

1.網絡安全的含義

1.1含義 網絡安全是指：為保護網絡免受侵害而采取的措施的總和。當正確的采用網絡安全措施時，能使網絡得到保護，正常運行。

它具有三方面內容：①保密性：指網絡能夠阻止未經授權的用戶讀取保密信息。②完整性：包括資料的完整性和軟件的完整性。資料的完整性指在未經許可的情況下確保資料不被刪除或修改。軟件的完整性是確保軟件程序不會被錯誤、被懷有而已的用戶或病毒修改。③可用性：指網絡在遭受攻擊時可以確保合法擁護對系統的授權訪問正常進行。

1.2特征 網絡安全根據其本質的界定，應具有以下基本特征：①機密性：是指信息不泄露給非授權的個人、實體和過程，或供其使用的特性。②完整性：是指信息未經授權不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性。③可用性：是指授權的用戶能夠正常的按照順序使用的特征，也就是能夠保證授權使用者在需要的時候可以訪問并查詢資料。

2.網絡安全現狀

網絡目前的發展已經與當初設計網絡的初衷大相徑庭，安全問題已經擺在了非常重要的位置上，安全問題如果不能解決，會嚴重地影響到網絡的應用。網絡信息具有很多不利于網絡安全的特性，例如網絡的互聯性，共享性，開放性等，現在越來越多的惡性攻擊事件的發生說明目前網絡安全形勢嚴峻，不法分子的手段越來越先進，系統的安全漏洞往往給他們可趁之機，因此網絡安全的防范措施要能夠應付不同的威脅，保障網絡信息的保密性、完整性和可用性。

3.網絡安全解決方案

要解決網絡安全，首先要明確實現目標：①身份真實性：對通信實體身份的真實性進行識別。②信息機密性：保證機密信息不會泄露給非授權的人或實體。③信息完整性：保證數據的一致性，防止非授權用戶或實體對數據進行任何破壞。④服務可用性：防止合法擁護對信息和資源的使用被不當的拒絕。⑤不可否認性：建立有效的責任機智，防止實體否認其行為。⑥系統可控性：能夠控制使用資源的人或實體的使用方式。⑦系統易用性：在滿足安全要求的條件下，系統應該操作簡單、維護方便。⑧可審查性：對出現問題的網絡安全問題提供調查的依據和手段。

4.如何保障網絡信息安全

網絡安全有安全的操作系統、應用系統、防病毒、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成，一個單獨的組件是無法確保信息網絡的安全性。從實際操作的角度出發網絡安全應關注以下技術：

4.1防病毒技術。病毒因網絡而猖獗，對計算機系統安全威脅也最大，做好防護至關重要。應采取全方位的企業防毒產品，實施層層設防、集中控制、以防為主、防殺結合的策略。

4.2防火墻技術。通常是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合（包括硬件和軟件）。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

4.3入侵檢測技術。入侵檢測幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力，提高信息安全基礎結構的完整性。它在不影響網絡性能的情況下對網絡進行監控，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。具體的任務是監視、分析用戶及系統活動；系統構造和弱點審計；識別反映已進攻的活動規模并報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。

4.4安全掃描技術。這是又一類重要的網絡安全技術。安全掃描技術與防火墻、入侵檢測系統三者相互配合，對網絡安全的提高非常有效。通過對系統以及網絡的掃描，能夠對自身系統和網絡環境有一個整體的評價，并得出網絡安全風險級別，還能夠及時的發現系統內的安全漏洞，并自動修補。如果說防火墻和網絡監控系統是被動的防御手段，那么安全掃描就是一種主動的防范措施，做到防患于未然。

4.5網絡安全緊急響應體系。網絡安全作為一項動態工程，意味著它的安全程度會隨著時間的變化而發生變化。隨著時間和網絡環境的變化或技術的發展而不斷調整自身的安全策略，并及時組建網絡安全緊急響應體系，專人負責，防范安全突發事件。

4.6安全加密技術。加密技術的出現為全球電子商務提供了保證，從而使基于Internet上的電子交易系統成為了可能，因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規的以口令為基礎的技術，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。⑦網絡主機的操作系統安全和物理安全措施。防火墻作為網絡的第一道防線并不能完全保護內部網絡，必須結合其他措施才能提高系統的安全水平。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施。按照級別從低到高，分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全；同時主機安全檢查和漏洞修補以及系統備份安全作為輔助安全措施。這些構成整個網絡系統的第二道安全防線，主要防范部分突破防火墻以及從內部發起的攻擊。系統備份是網絡系統的最后防線，用來遭受攻擊之后進行系統恢復。在防火墻和主機安全措施之后，是全局性的由系統安全審計、入侵檢測和應急處理機構成的整體安全檢查和反應措施。它從網絡系統中的防火墻、網絡主機甚至直接從網絡鏈路層上提取網絡狀態信息，作為輸人提供給入侵檢測子系統。入侵檢測子系統根據一定的規則判斷是否有入侵事件發生，如果有入侵發生，則啟動應急處理措施，并產生警告信息。而且，系統的安全審計還可以作為以后對攻擊行為和后果進行處理、對系統安全策略進行改進的信息來源。

篇（11）

AbstractWith the rapid development of computer information technology，computer network has penetrated into every corner of social life， and all trades and professions would be cannot exchange information without it. Since we enjoyed the high speed it brought us， we encountered the network security at the same time.Therefore，clear understanding of network security， network vulnerabilities and its potential threats，taking strong security strategy and precautionary measures are of great importance.

Keywordscomputer；network security；precautionary measure

一、網絡安全的定義及內涵

1、定義。網絡安全從其本質上來講就是計算機網絡上的信息安全。從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。網絡安全措施是指為保護網絡免受侵害而采取的措施的總和。

2、內涵。網絡安全根據其本質的界定，應具有以下三個方面的特征：①保密性：是指信息不泄露給非授權的個人、實體和過程，或供其使用的特性。在網絡系統的每一個層次都存在著不同的保密性，因此也需要有相應的網絡安全防范措施。在物理層，要保護系統實體的信息不外露，在運行層面，保證能夠為授權使用者正常的使用，并對非授權的人禁止使用，并有防范黑客，病毒等的惡性攻擊能力。②完整性：是指信息未經授權不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性。③可用性：是指授權的用戶能夠正常的按照順序使用的特征，也就是能夠保證授權使用者在需要的時候可以訪問并查詢資料。在物理層，要提高系統在惡劣環境下的工作能力。在運行層面，要保證系統時刻能為授權人提供服務，保證系統的可用性，使得者無法否認所的信息內容，接受者無法否認所接收的信息內容。

二、網絡自身特性及網絡安全發展現狀

網絡信息自身具有很多不利于網絡安全的特性，例如網絡的互聯性，共享性，開放性，網絡操作系統的漏洞及自身設計缺陷等，網絡目前的發展已經與當初設計網絡的初衷大相徑庭，安全問題已經擺在了非常重要的位置上，安全問題如果不能解決，會嚴重地影響到網絡的應用。現在越來越多的惡性攻擊事件的發生說明當前網絡安全形勢嚴峻，不法分子的手段越來越先進，因此網絡安全的防范措施要能夠應付不同的威脅，保障網絡信息的保密性、完整性和可用性。目前我國的網絡系統和協議還存在很多問題，還不夠健全不夠完善不夠安全。計算機和網絡技術具有的復雜性和多樣性，使得計算機和網絡安全成為一個需要持續更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的。

三、網絡安全解決方案及實例分析

要解決網絡安全，首先要明確我們的網絡需要實現的目標，一般需要達到以下目標：①身份真實性：對通信實體身份的真實性進行識別。②信息保密性：保證密級信息不會泄露給非授權的人或實體。③信息完整性：保證數據的一致性，防止非授權用戶或實體對數據進行任何破壞。④服務可用性：防止合法用戶對信息和資源的使用被不當的拒絕。⑤不可否認性：建立有效的責任機制，防止實體否認其行為。⑥系統可控性：能夠控制使用資源的人或實體的使用方式。⑦系統易用性：在滿足安全要求的條件下，系統應該操作簡單、維護方便。⑧可審查性：對出現問題的網絡安全問題提供調查的依據和手段。

為了最大程度的保證網絡安全，目前的方法有：安全的操作系統及應用系統、防火墻、防病毒、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成，一個單獨的組件往往是無法確保信息網絡的安全的。圖1是某一網絡實例的安防拓撲簡圖，日常常見的安防技術在里面都得到了運用：

1、防火墻技術。包括硬件防火墻和軟件防火墻。圖中的是硬件防火墻，一般設置在不同網絡或網絡安全域之間，它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。防火墻是目前保護網絡免遭黑客襲擊的有效手段，市場上的防火墻種類繁多，它們大都可通過IE瀏覽器控制，可視化好，易于操作，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，無法防范數據驅動型的攻擊。

2、防病毒技術。病毒因網絡而猖獗，對計算機系統安全威脅也最大，做好防護至關重要。應采取全方位的企業防病毒產品，實施層層設防、集中控制、以防為主、防殺結合的策略。一般公司內部大都采用網絡版殺毒軟件，病毒庫聯網升級，管理員可通過系統中心制定統一的防病毒策略并應用至下級系統中心及本級系統中心的各臺終端，可實施實時監控，主動防御，定時殺毒等功能。但實踐證明，僅依靠一款殺毒軟件，一種策略，并不能完整的清除所有病毒，有時需要制訂不同的安全策略或與另外一款殺毒軟件同時使用方可，此時需要具體情況具體分析。

3、入侵檢測技術。入侵檢測幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力，提高信息安全基礎結構的完整性。它在不影響網絡性能的情況下對網絡進行監控，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。具體的任務是監視、分析用戶及系統活動；系統構造和弱點審計；識別反映已進攻的活動規模并報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。

4、安全掃描技術。這是又一類重要的網絡安全技術。安全掃描技術與防火墻、入侵檢測系統三者相互配合，對網絡安全的提高非常有效。通過對系統以及網絡的掃描，能夠對自身系統和網絡環境有一個整體的評價，并得出網絡安全風險級別，還能夠及時的發現系統內的安全漏洞，并自動修補。如果說防火墻和網絡監控系統是被動的防御手段，那么安全掃描就是一種主動的防范措施，做到防患于未然。

5、網絡主機的操作系統安全和物理安全措施。操作系統種類繁多，而Windows因其諸多優點被普遍采用，但Windows存在諸多漏洞，易于被攻擊，因此需要定期進行更新。北信源補丁分發系統通過定時探測各終端的補丁數，自動給各終端打上補丁，較大程度的避免了因系統漏洞導致的信息安全問題。安全系數要求高的網絡，有必要對其進行物理隔絕，采用專用軟件控制各終端的外設，對各終端操作人員進行身份驗證等等。

6、安全加密技術。分為對稱加密技術和不對稱加密技術。前者是常規的以口令為基礎的技術，加密運算與解密運算使用同樣的密鑰；不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。加密方式有硬件加密及軟件加密，其中硬件加密又有信道機密和主機終端加密等。

7、網絡安全應急響應體系。網絡安全作為一項動態工程，意味著它的安全程度會隨著時間的變化而發生變化。應該隨著時間和網絡環境的變化或技術的發展而不斷調整自身的安全策略，并及時組建網絡安全應急響應體系，專人負責，防范安全事件的突然發生。

總之，網絡的第一道防線防火墻并不能完全保護內部網絡，必須結合其它措施才能提高系統的安全水平。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施，按照級別從低到高，分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全；同時主機安全檢查和漏洞修補以及系統備份安全作為輔助安全措施。這些構成整個網絡系統的第二道安全防線，主要防范部分突破防火墻以及從內部發起的攻擊。在防火墻和主機安全措施之后，是全局性的由系統安全審計、入侵檢測和應急處理機制構成的整體安全檢查和反應措施。

四、小結

網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，單一的技術是不能解決網絡的安全防護問題的。隨著信息技術的不斷發展，各行各業信息化建設的腳步也越來越快，計算機技術和網絡技術已深入應用到人們生產生活的各個領域，各種活動對計算機網絡的依賴程度也越來越高。增強人這一主體的安全意識，普及計算機網絡安全教育，提高計算機網絡安全技術水平，改善其安全現狀，才是最有效的防范措施。

參考文獻

[1]胡道元，閔京華.網絡安全（2版）.北京：清華大學出版社. 2008（10）

[2]黃怡強等.淺談軟件開發需求分析階段的主要任務.中山大學學報論叢，2002（01）

[3]胡道元.計算機局域網[M].北京：清華大學出版社，2001