安全網(wǎng)絡(luò)論文匯總十篇

序論：好文章的創(chuàng)作是一個(gè)不斷探索和完善的過(guò)程，我們?yōu)槟扑]十篇安全網(wǎng)絡(luò)論文范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來(lái)更深刻的閱讀感受。

篇（1）

1.2網(wǎng)絡(luò)通信軟件存在安全隱患由于客戶(hù)在使用網(wǎng)絡(luò)通信軟件時(shí)需要通過(guò)下載補(bǔ)丁等方式讓軟件能夠符合計(jì)算機(jī)終端操作系統(tǒng)的要求，而這些被廣泛應(yīng)用并下載的軟件程序可能由于補(bǔ)丁程序等的引入而成為公開(kāi)化的信息，這種公開(kāi)化的軟件信息一旦被不法分子利用則會(huì)給人們的網(wǎng)絡(luò)通信帶來(lái)嚴(yán)重影響，這種影響甚至?xí)罢麄€(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，造成整個(gè)網(wǎng)絡(luò)的通信安全隱患。

1.3人為的網(wǎng)絡(luò)系統(tǒng)攻擊在利益的驅(qū)使下，部分不法分子企圖通過(guò)不合法的網(wǎng)絡(luò)系統(tǒng)攻擊方式對(duì)網(wǎng)絡(luò)通信進(jìn)行人為的攻擊從而獲取大量的網(wǎng)絡(luò)資源。這些“黑客”的攻擊不僅出現(xiàn)在商業(yè)管理終端等能夠獲取大量經(jīng)濟(jì)利益的領(lǐng)域，甚至還可能出現(xiàn)在個(gè)人的計(jì)算機(jī)中獲取個(gè)體用戶(hù)的信息，給用戶(hù)的信息安全造成重大隱患。應(yīng)該客觀認(rèn)識(shí)的是，我國(guó)網(wǎng)絡(luò)通信在人們生活水平不斷提升及通信方式變革的背景下發(fā)展速度一日千里，但是作為保障的信息安全維護(hù)工作卻與網(wǎng)絡(luò)通信的發(fā)展現(xiàn)狀存在較大差距。再加上網(wǎng)絡(luò)通信管理部門(mén)對(duì)于網(wǎng)絡(luò)通信信息安全認(rèn)識(shí)不足、網(wǎng)絡(luò)通信管理制度不健全等問(wèn)題也加劇了網(wǎng)絡(luò)通信信息安全隱患，甚至給整個(gè)互聯(lián)網(wǎng)通信系統(tǒng)帶來(lái)安全隱患，給不法分子以利用的機(jī)會(huì)。正是基于當(dāng)前我國(guó)網(wǎng)絡(luò)通信中信息安全的嚴(yán)峻現(xiàn)狀及在這一過(guò)程中所出現(xiàn)問(wèn)題的原因，筆者認(rèn)為，不斷加強(qiáng)網(wǎng)絡(luò)通信技術(shù)革新與網(wǎng)絡(luò)通信制度建設(shè)，充分保障網(wǎng)絡(luò)通信信息安全是時(shí)展的必然要求。

2保障網(wǎng)絡(luò)通信信息安全的途徑

2.1充分保障用戶(hù)IP地址由于黑客對(duì)用戶(hù)網(wǎng)絡(luò)通信的侵入與攻擊大都是以獲取用戶(hù)IP地址為目的的，因此，充分保障用戶(hù)的IP地址安全是保護(hù)用戶(hù)網(wǎng)絡(luò)通信安全的重要途徑。用戶(hù)在使用互聯(lián)網(wǎng)時(shí)也要特別注意對(duì)自身IP地址的保護(hù)，通過(guò)對(duì)網(wǎng)絡(luò)交換機(jī)的嚴(yán)格控制，切斷用戶(hù)IP地址通過(guò)交換機(jī)信息樹(shù)狀網(wǎng)絡(luò)結(jié)構(gòu)傳遞被透露的路徑；通過(guò)對(duì)路由器進(jìn)行有效的隔離控制，經(jīng)常關(guān)注路由器中的訪(fǎng)問(wèn)地址，對(duì)非法訪(fǎng)問(wèn)進(jìn)行有效切斷。

2.2完善信息傳遞與儲(chǔ)存的秘密性信息傳遞與信息儲(chǔ)存的兩個(gè)過(guò)程是當(dāng)前給網(wǎng)絡(luò)通信信息安全造成隱患的兩個(gè)主要途徑，在網(wǎng)絡(luò)信息的存儲(chǔ)與傳遞過(guò)程中，黑客可能會(huì)對(duì)信息進(jìn)行監(jiān)聽(tīng)、盜用、惡意篡改、攔截等活動(dòng)以達(dá)到其不可告人目的的需求。這就要求用戶(hù)在使用網(wǎng)絡(luò)通信技術(shù)時(shí)要對(duì)網(wǎng)絡(luò)信息的傳遞與儲(chǔ)存環(huán)節(jié)盡量進(jìn)行加密處理，保證密碼的多元化與復(fù)雜性能夠有效甚至從根本上解決信息在傳遞與儲(chǔ)存環(huán)節(jié)被黑客攻擊利用的威脅。當(dāng)前在網(wǎng)絡(luò)通信過(guò)程中用戶(hù)可以選擇自身合適的加密方式對(duì)自身的信息進(jìn)行加密處理，而網(wǎng)絡(luò)維護(hù)工作者也要根據(jù)實(shí)際情況加強(qiáng)對(duì)信息的加密設(shè)置。

2.3完善用戶(hù)身份驗(yàn)證對(duì)用戶(hù)的身份進(jìn)行有效的驗(yàn)證是保障網(wǎng)絡(luò)通信信息安全的另一條重要途徑。在進(jìn)行網(wǎng)絡(luò)通信之前對(duì)用戶(hù)身份進(jìn)行嚴(yán)格驗(yàn)證，確保是本人操作從而對(duì)用戶(hù)的私人信息進(jìn)行充分有效的保護(hù)。當(dāng)前，用戶(hù)的身份驗(yàn)證主要是通過(guò)用戶(hù)名與密碼的“一對(duì)一”配對(duì)實(shí)現(xiàn)的，只有二者配對(duì)成功才能獲得通信權(quán)限，這種傳統(tǒng)的驗(yàn)證方法能夠滿(mǎn)意一般的通信安全需求，但是在網(wǎng)絡(luò)通信技術(shù)發(fā)展速度不斷加快的背景下，傳統(tǒng)的身份驗(yàn)證方法需要新的變化，諸如借助安全令牌、指紋檢測(cè)、視網(wǎng)膜檢測(cè)等具有較高安全性的方法進(jìn)一步提升網(wǎng)絡(luò)通信信息安全水平。此外，在保障網(wǎng)絡(luò)通信信息安全的過(guò)程中還可以通過(guò)完善防火墻設(shè)置，增強(qiáng)對(duì)數(shù)據(jù)源及訪(fǎng)問(wèn)地址惡意更改的監(jiān)測(cè)與控制，從源頭上屏蔽來(lái)自外部網(wǎng)絡(luò)對(duì)用戶(hù)個(gè)人信息的竊取以及對(duì)計(jì)算機(jī)的攻擊。加強(qiáng)對(duì)殺毒軟件的學(xué)習(xí)與使用，定期對(duì)電腦進(jìn)行安全監(jiān)測(cè)，從而確保用戶(hù)自身的信息安全。

篇（2）

二、訪(fǎng)問(wèn)控制

1．存取控制對(duì)于互聯(lián)網(wǎng)而言，存取控制是其安全理論中較為重要的組成部分。它涵蓋了風(fēng)險(xiǎn)分析、類(lèi)型控制、權(quán)限控制以及數(shù)據(jù)標(biāo)識(shí)和人員限制。它通常是與身份驗(yàn)證一起使用，因?yàn)樯矸蒡?yàn)證可以通過(guò)數(shù)據(jù)標(biāo)識(shí)對(duì)用戶(hù)特性進(jìn)行區(qū)分，這樣才方便確定用戶(hù)的存取權(quán)限。2．身份驗(yàn)證這種訪(fǎng)問(wèn)控制技術(shù)一般是通過(guò)驗(yàn)證一致性，來(lái)確定用戶(hù)是否具有訪(fǎng)問(wèn)權(quán)限。它所需要驗(yàn)證的數(shù)據(jù)又驗(yàn)證依據(jù)和驗(yàn)證系統(tǒng)以及安全要求，這種訪(fǎng)問(wèn)控制技術(shù)被運(yùn)用到計(jì)算機(jī)網(wǎng)絡(luò)中的時(shí)間相當(dāng)早，而且一直沿用至今。

三、常見(jiàn)的攻擊手段和應(yīng)對(duì)方法

（一）常見(jiàn)攻擊手段

1．盜取用戶(hù)口令這種網(wǎng)絡(luò)攻擊手段較為常見(jiàn)，它是通過(guò)一些非法手段盜取用戶(hù)口令，然后接入、登陸用戶(hù)主機(jī)，開(kāi)始一些非法的操作、控制。2．設(shè)置特洛伊木馬程序特洛伊木馬程序是最常見(jiàn)的計(jì)算機(jī)病毒，它經(jīng)常被偽裝成工具程序或者游戲誘引用戶(hù)打開(kāi)該程序，如果用戶(hù)不經(jīng)意間打開(kāi)、運(yùn)行了此類(lèi)程序，被預(yù)先編制好了的病毒就會(huì)不露聲息的潛藏在計(jì)算機(jī)當(dāng)中。當(dāng)該用戶(hù)打開(kāi)電腦后，特洛伊木馬程序就會(huì)通知攻擊者，修改計(jì)算機(jī)程序，竊取信息，通過(guò)這樣的方式來(lái)滿(mǎn)足不良企圖。3．網(wǎng)頁(yè)欺騙當(dāng)前，有些人通過(guò)劫持網(wǎng)頁(yè)鏈接，來(lái)進(jìn)行網(wǎng)頁(yè)欺騙。如果網(wǎng)頁(yè)鏈接被劫持，用戶(hù)在瀏覽自己想訪(fǎng)問(wèn)的網(wǎng)頁(yè)時(shí)，就已經(jīng)踏入了這些人所設(shè)計(jì)的欺騙陷阱。

（二）網(wǎng)絡(luò)攻擊應(yīng)對(duì)策略

1．加強(qiáng)安全意識(shí)對(duì)于發(fā)件人不詳?shù)碾娮余]件，不能隨意打開(kāi)。對(duì)于不了解的程序，避免運(yùn)行。設(shè)置用戶(hù)名和密碼的時(shí)候要盡量做到字母和數(shù)字混合搭配，避免使用生日等常規(guī)信息。這樣不容易被非法用戶(hù)破譯。作為合法用戶(hù)應(yīng)該經(jīng)常下載更新補(bǔ)丁程序和殺毒程序，維護(hù)系統(tǒng)安全。2．使用防毒、防黑等防火墻軟件防火墻是維護(hù)信息安全的屏障，它的功用在于組織黑客非法進(jìn)入某個(gè)機(jī)構(gòu)的內(nèi)部信息網(wǎng)絡(luò)。使用防火墻，只需要在適當(dāng)位置上組建網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)，并用此監(jiān)控系統(tǒng)來(lái)控制內(nèi)外信息交流，保證網(wǎng)絡(luò)信息的安全性。3．隱藏自己的IP地址IP地址非常重要。如果，在用戶(hù)還未察覺(jué)的狀態(tài)下，計(jì)算機(jī)上被安裝的木馬程序。但是如果黑客沒(méi)有該計(jì)算機(jī)的IP地址，那么對(duì)于信息安全的侵犯也是不能實(shí)施的。設(shè)置服務(wù)器是能夠非常有效的對(duì)自身IP起到保護(hù)作用。使用服務(wù)器能夠轉(zhuǎn)接所有來(lái)自外部的訪(fǎng)問(wèn)申請(qǐng)，也可以控制特定用戶(hù)訪(fǎng)問(wèn)特定服務(wù)器。4．定時(shí)升級(jí)更新防毒軟件，把防毒防黑當(dāng)成日常工作。5．及時(shí)備份重要個(gè)人信息和資料。

四、網(wǎng)絡(luò)安全建設(shè)

（一）國(guó)外面對(duì)網(wǎng)絡(luò)威脅采取的主要對(duì)策

篇（3）

（1）個(gè)人信息的泄露。在網(wǎng)絡(luò)工程當(dāng)中，對(duì)于系統(tǒng)硬件、軟件的相關(guān)維護(hù)工作還不夠完善，同時(shí)網(wǎng)絡(luò)通信當(dāng)中的許多登錄系統(tǒng)需要借助遠(yuǎn)程終端來(lái)完成，造成系統(tǒng)遠(yuǎn)程終端和網(wǎng)絡(luò)用戶(hù)在用戶(hù)運(yùn)用互聯(lián)網(wǎng)進(jìn)入對(duì)應(yīng)系統(tǒng)時(shí)存在長(zhǎng)遠(yuǎn)的連接點(diǎn)，當(dāng)信息在進(jìn)行傳輸時(shí)，這些連接點(diǎn)很容易引起黑客對(duì)用戶(hù)的入侵以及攻擊，使得用戶(hù)信息被泄露，個(gè)人信息安全得不到保障。

（2）網(wǎng)絡(luò)通信結(jié)構(gòu)不完善。網(wǎng)間網(wǎng)的技術(shù)給網(wǎng)絡(luò)通信提供了技術(shù)基礎(chǔ)，用戶(hù)通過(guò)IP協(xié)議或TCP協(xié)議得到遠(yuǎn)程授權(quán)，登錄相關(guān)互聯(lián)網(wǎng)系統(tǒng)，通過(guò)點(diǎn)與點(diǎn)連接的方式來(lái)進(jìn)行信息的傳輸。然而，網(wǎng)絡(luò)結(jié)構(gòu)間卻是以樹(shù)狀形式進(jìn)行連接的，當(dāng)用戶(hù)受到黑客入侵或攻擊時(shí)，樹(shù)狀結(jié)構(gòu)為黑客竊聽(tīng)用戶(hù)信息提供了便利。

（3）相關(guān)網(wǎng)絡(luò)維護(hù)系統(tǒng)不夠完善。網(wǎng)絡(luò)維護(hù)系統(tǒng)的不完善主要表現(xiàn)軟件系統(tǒng)的安全性不足，我們現(xiàn)在所使用的計(jì)算機(jī)終端主要是依靠主流操作系統(tǒng)，在長(zhǎng)時(shí)間的使用下需下載一些補(bǔ)丁來(lái)對(duì)系統(tǒng)進(jìn)行相關(guān)的維護(hù)，導(dǎo)致了軟件的程序被泄露。

2對(duì)于網(wǎng)絡(luò)通信中存在的信息安全問(wèn)題的應(yīng)對(duì)方案

對(duì)于上述的種種網(wǎng)絡(luò)通信當(dāng)中存在的信息安全問(wèn)題，我們應(yīng)當(dāng)盡快地采取有效的對(duì)策，目前主要可以從以下幾個(gè)方面入手：

（1）用戶(hù)應(yīng)當(dāng)保護(hù)好自己的IP地址。黑客入侵或攻擊互聯(lián)網(wǎng)用戶(hù)的最主要目標(biāo)。在用戶(hù)進(jìn)行網(wǎng)絡(luò)信息傳輸時(shí)，交換機(jī)是進(jìn)行信息傳遞的重要環(huán)節(jié)，因此，用戶(hù)可以利用對(duì)網(wǎng)絡(luò)交換機(jī)安全的嚴(yán)格保護(hù)來(lái)保證信息的安全傳輸。除此之外，對(duì)所使用的路由器進(jìn)行嚴(yán)格的控制與隔離等方式也可以加強(qiáng)用戶(hù)所使用的IP地址的安全。

（2）對(duì)信息進(jìn)行加密。網(wǎng)絡(luò)通信中出現(xiàn)的信息安全問(wèn)題主要包括信息的傳遞以及存儲(chǔ)過(guò)程當(dāng)中的安全問(wèn)題。在這兩個(gè)過(guò)程當(dāng)中，黑客通過(guò)竊聽(tīng)傳輸時(shí)的信息、盜取互聯(lián)網(wǎng)用戶(hù)的相關(guān)資料、對(duì)信息進(jìn)行惡意的篡改、攔截傳輸過(guò)程中的信息等等多種方法來(lái)對(duì)網(wǎng)絡(luò)通信當(dāng)中信息的安全做出威脅?；ヂ?lián)網(wǎng)用戶(hù)如果在進(jìn)行信息傳遞與存儲(chǔ)時(shí)，能夠根據(jù)具體情況選用合理的方法來(lái)對(duì)信息進(jìn)行嚴(yán)格的加密處理，那么便可以有效地防治這些信息安全問(wèn)題的產(chǎn)生。

（3）完善身份驗(yàn)證系統(tǒng)。身份驗(yàn)證是互聯(lián)網(wǎng)用戶(hù)進(jìn)行網(wǎng)絡(luò)通信的首要步驟。在進(jìn)行身份驗(yàn)證時(shí)一般都需要同時(shí)具備用戶(hù)名以及密碼才能完成登錄。在驗(yàn)證過(guò)程當(dāng)中用戶(hù)需要注意的是要盡量將用戶(hù)名、密碼分開(kāi)儲(chǔ)存，可以適當(dāng)?shù)厥褂靡淮涡悦艽a，同時(shí)還可以利用安全口令等方法來(lái)保證身份驗(yàn)證的安全。隨著科技的快速發(fā)展，目前一些指紋驗(yàn)證、視網(wǎng)膜驗(yàn)證等先進(jìn)生物檢測(cè)方法也慢慢得到了運(yùn)用，這給網(wǎng)絡(luò)通信信息安全提供了極大的保障。

篇（4）

任何軟件都有一定的生命周期，防火墻也有一定的生命周期，我們要正確的評(píng)估防火墻的使用效能，一旦防火墻失效，對(duì)網(wǎng)絡(luò)安全造成的后果無(wú)法想象。防火墻使用具有一定的級(jí)別，在被外界病毒等侵入時(shí)候具有一定的防御，我們?cè)谠O(shè)置防火墻的功能時(shí)候要具有一定的科學(xué)性，當(dāng)防火墻受到攻擊時(shí)候，能自動(dòng)啟動(dòng)防御功能，因此，我們?cè)谠O(shè)置防火墻功能時(shí)候，要正確檢測(cè)防火墻是否失效功能要開(kāi)啟，達(dá)到防火墻失效狀態(tài)正常評(píng)估。

1.2正確選擇、科學(xué)配置防火墻

防火墻功能的科學(xué)配置，是對(duì)網(wǎng)絡(luò)安全防御的重要保障，防火墻技術(shù)是網(wǎng)絡(luò)安全技術(shù)基于防火墻網(wǎng)絡(luò)安全技術(shù)的探究文/羅鵬　周哲韞進(jìn)入新世紀(jì)以后，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展迅速，尤其Internet的發(fā)展應(yīng)用，計(jì)算機(jī)網(wǎng)絡(luò)安全越來(lái)越重要，尤其一些政府部門(mén)網(wǎng)絡(luò)，科研等機(jī)構(gòu)網(wǎng)絡(luò)如被黑客或病毒侵入，后果是非常嚴(yán)重的，在許多網(wǎng)絡(luò)安全技術(shù)應(yīng)用中，防火墻技術(shù)室比較成熟的，本論文是從不同層面闡述防火墻網(wǎng)絡(luò)安全技術(shù)的應(yīng)用。摘要中關(guān)鍵技術(shù)之一，在配置防火墻時(shí)候，要正確選擇，科學(xué)配置。防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)人才需要專(zhuān)門(mén)的培訓(xùn)與學(xué)習(xí)，才能進(jìn)行科學(xué)的配置，在配置防火時(shí)候具有一定的技巧，在不同環(huán)境，不同時(shí)期具有一定的應(yīng)用，因此正確科學(xué)的配置防火墻沒(méi)有通式，必須在根據(jù)環(huán)境狀態(tài)下進(jìn)行科學(xué)合理的配置，這樣才能使防火墻技術(shù)成為網(wǎng)絡(luò)安全技術(shù)中最后一道保障。

1.3有賴(lài)于動(dòng)態(tài)維護(hù)

防火墻技術(shù)在網(wǎng)絡(luò)中應(yīng)用，不是把防火墻軟件在計(jì)算機(jī)中安裝以后，進(jìn)行一些配置以后就完事，管理員要對(duì)防火墻實(shí)時(shí)進(jìn)行監(jiān)控，看防火墻是否出現(xiàn)一些異常狀況，管理員還要與廠商經(jīng)常保持密切聯(lián)系，是否有更新，任何在完美事物都有兩面性，要及時(shí)更新，彌補(bǔ)防火墻漏洞，防止計(jì)算機(jī)網(wǎng)絡(luò)被更新，因此防火墻技術(shù)是一種動(dòng)態(tài)實(shí)時(shí)更新技術(shù)。

1.4搞好規(guī)則集的檢測(cè)審計(jì)工作

網(wǎng)絡(luò)安全技術(shù)最大的危險(xiǎn)是自己，網(wǎng)絡(luò)管理員不能出現(xiàn)一點(diǎn)大意，在防火墻技術(shù)的應(yīng)用過(guò)程中，要適時(shí)進(jìn)行更新，彌補(bǔ)漏洞，還要定期進(jìn)行一定的檢測(cè)和審計(jì)工作，用來(lái)評(píng)估網(wǎng)絡(luò)現(xiàn)在的安全性，以及在未來(lái)一段時(shí)間網(wǎng)絡(luò)的安全性，做好正確的評(píng)審工作，是網(wǎng)絡(luò)能長(zhǎng)時(shí)間保持穩(wěn)定的重要條件，實(shí)時(shí)檢測(cè)，實(shí)時(shí)維護(hù)是網(wǎng)絡(luò)安全的基本法則。

2防火墻網(wǎng)絡(luò)安全技術(shù)的實(shí)現(xiàn)方案

2.1設(shè)置內(nèi)部防火墻，編制可靠的安全方案

在網(wǎng)絡(luò)安全防范的過(guò)程中，內(nèi)部局域網(wǎng)一定要重視，當(dāng)局域網(wǎng)中一臺(tái)機(jī)器出現(xiàn)病毒狀況，可能瞬間整個(gè)網(wǎng)絡(luò)出現(xiàn)癱瘓狀態(tài)，因此利用防火墻技術(shù)作為網(wǎng)絡(luò)安全的檢測(cè)，內(nèi)部局域網(wǎng)防火墻要進(jìn)行科學(xué)合理的設(shè)置，制定一個(gè)可行的安全方案，對(duì)整個(gè)局域網(wǎng)的網(wǎng)絡(luò)進(jìn)行一定的保障。內(nèi)部防火墻進(jìn)行一定的分段，每個(gè)主機(jī)要有標(biāo)準(zhǔn)，但有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)時(shí)同樣的，這樣對(duì)網(wǎng)絡(luò)的檢測(cè)等有一定的依據(jù)，增強(qiáng)了網(wǎng)絡(luò)的安全性。

2.2合理設(shè)定外部防火墻，防范外網(wǎng)攻擊

經(jīng)外部防火墻的設(shè)定，把內(nèi)網(wǎng)同外網(wǎng)相分開(kāi)，可防范外網(wǎng)攻擊行為。外部防火墻通過(guò)編制訪(fǎng)問(wèn)策略，僅已被授權(quán)的主機(jī)方能訪(fǎng)問(wèn)內(nèi)網(wǎng)IP，使外網(wǎng)僅能訪(fǎng)問(wèn)內(nèi)網(wǎng)中同業(yè)務(wù)相關(guān)的所需資源。外部防火墻會(huì)變換地址，使外網(wǎng)無(wú)法掌握內(nèi)網(wǎng)結(jié)構(gòu)，阻斷了黑客攻擊的目標(biāo)。外部防火墻的精確設(shè)定范圍要在內(nèi)網(wǎng)和外網(wǎng)之間，防火墻對(duì)獲取的數(shù)據(jù)包加以剖析，把其中合法請(qǐng)求傳導(dǎo)到對(duì)應(yīng)服務(wù)主機(jī)，拒絕非法訪(fǎng)問(wèn)。

3防火墻技術(shù)的未來(lái)發(fā)展趨勢(shì)及前景

防火墻技術(shù)是網(wǎng)絡(luò)安全技術(shù)發(fā)展的必然產(chǎn)物，為不安全的網(wǎng)絡(luò)搭建一個(gè)安全的網(wǎng)絡(luò)平臺(tái)，網(wǎng)絡(luò)安全是不可預(yù)測(cè)的，防火墻技術(shù)也在日新月異的進(jìn)行發(fā)展，防火墻技術(shù)的未來(lái)發(fā)展是廣泛的，能為網(wǎng)絡(luò)安全作出一定的貢獻(xiàn)，下面闡述一下防火墻技術(shù)的未來(lái)發(fā)展趨勢(shì)，引領(lǐng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

3.1智能化

現(xiàn)在計(jì)算機(jī)的未來(lái)發(fā)展是網(wǎng)絡(luò)化、智能化，網(wǎng)絡(luò)安全問(wèn)題的發(fā)展也比較快，對(duì)網(wǎng)絡(luò)安全的軟件要求也是越來(lái)越高，網(wǎng)絡(luò)上的病毒具有不可預(yù)見(jiàn)性，對(duì)防御病毒的軟件提出一個(gè)嶄新的要求，必須具有一定的智能化，就是防火墻自身具有很強(qiáng)的防御功能，不是人為的進(jìn)行控制，智能化是網(wǎng)絡(luò)安全專(zhuān)家對(duì)防火墻技術(shù)的期盼，也是防火墻技術(shù)自身發(fā)展的需要，但防火墻技術(shù)實(shí)現(xiàn)智能化需要一定的時(shí)間，需要網(wǎng)絡(luò)安全專(zhuān)家不停努力的結(jié)果。

3.2擴(kuò)展性能更佳

篇（5）

國(guó)際標(biāo)準(zhǔn)化組織（ISO）將網(wǎng)絡(luò)安全［2］定義為：為數(shù)據(jù)處理系統(tǒng)建立相應(yīng)的安全保護(hù)措施，保護(hù)運(yùn)行在網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)不被黑客更改、破壞或者泄露，從而保證了網(wǎng)絡(luò)服務(wù)不中斷，使得系統(tǒng)可靠安全地運(yùn)行．上述網(wǎng)絡(luò)安全的定義包含兩方面內(nèi)容：物理安全和邏輯安全．其中物理安全是指在構(gòu)建網(wǎng)絡(luò)系統(tǒng)的時(shí)候，保證物理線(xiàn)路能夠防雷、放火、防水、防盜等，能夠保證物理線(xiàn)路連續(xù)的進(jìn)行數(shù)據(jù)傳輸．而邏輯安全通常指的是傳輸在網(wǎng)絡(luò)上數(shù)據(jù)的信息安全，即對(duì)網(wǎng)絡(luò)上傳輸信息的保密性、可用性和完整性的保護(hù)．另一方面，網(wǎng)絡(luò)安全性的涵義也可以理解成是信息安全的一種引申，即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息的保密性、可用性和完整性提供相應(yīng)的保護(hù)．概括的說(shuō)，可以將網(wǎng)絡(luò)安全定義為：為保證目前網(wǎng)絡(luò)中運(yùn)行的系統(tǒng)、信息數(shù)據(jù)、信道傳輸數(shù)據(jù)和信息內(nèi)容的安全而采取相應(yīng)的措施，從而保證網(wǎng)絡(luò)中信息傳輸、交換以及處理的保密性、可用性、可控性、可審查性、完整性．

1．2網(wǎng)絡(luò)安全基本特征

網(wǎng)絡(luò)安全應(yīng)具有保密性、可用性、可控性、可審查性、完整性等五個(gè)方面的特征．保密性：信息未經(jīng)授權(quán)不泄露給任何用戶(hù)，而且信息的特性也具有保密性，其它非授權(quán)用戶(hù)、實(shí)體或過(guò)程無(wú)法利用其特征．可用性：用戶(hù)經(jīng)過(guò)授權(quán)后可按需使用，即授權(quán)用戶(hù)當(dāng)需要該信息時(shí)能否正常存?。W(wǎng)絡(luò)環(huán)境下常見(jiàn)的可用性的攻擊包括拒絕服務(wù)攻擊、破壞網(wǎng)絡(luò)或系統(tǒng)的正常運(yùn)行等．可控性：對(duì)網(wǎng)絡(luò)中傳播的信息及其內(nèi)容具有控制能力．可審查性：當(dāng)網(wǎng)絡(luò)中出現(xiàn)安全問(wèn)題時(shí)可提供相應(yīng)的依據(jù)與手段，便于追蹤攻擊源．完整性：用戶(hù)未經(jīng)授權(quán)不能隨意改變數(shù)據(jù)的特性，即信息在保存或者傳輸?shù)倪^(guò)程中擁有不被修改、破壞或丟失的特性，保證了信息的完整性．

2校園網(wǎng)建設(shè)概述及其安全威脅

隨著互聯(lián)網(wǎng)的快速普及，校園網(wǎng)建設(shè)已經(jīng)成為學(xué)校的基礎(chǔ)建設(shè)之一，教育信息化、數(shù)字化已經(jīng)成為教育發(fā)展的主方向，校園網(wǎng)已成為學(xué)校日常教學(xué)、辦公、科研、管理、生活主要的工具和手段之一，并發(fā)揮著越來(lái)越重要的作用［3］．另一方面，隨著國(guó)家科教興國(guó)戰(zhàn)略的實(shí)施，政府加強(qiáng)了對(duì)學(xué)校的投資，由此也加強(qiáng)了學(xué)校對(duì)校園網(wǎng)的建設(shè)．中國(guó)教育和科研計(jì)算機(jī)網(wǎng)（CER－NET）的成立，標(biāo)志著教育網(wǎng)的形成．CERNET主干網(wǎng)絡(luò)傳輸速率已達(dá)到2．5Gpbs，總?cè)萘窟_(dá)40Gpbs，它吸引超過(guò)1000所高校的鼎力加盟，覆蓋全國(guó)超過(guò)200個(gè)城市．目前，大部分學(xué)校都已建成校園網(wǎng)，實(shí)現(xiàn)了校園網(wǎng)的整體覆蓋，包括辦公樓、教學(xué)樓、宿舍樓等．校園網(wǎng)同時(shí)與Internet對(duì)接，實(shí)現(xiàn)了校園辦公教學(xué)的信息化、自動(dòng)化．如圖1所示，為一個(gè)簡(jiǎn)單的校園網(wǎng)組網(wǎng)模型．隨著CERNET的建設(shè)不斷提高，校園網(wǎng)已經(jīng)成為互聯(lián)網(wǎng)的重要組成部分之一，是學(xué)校信息化、數(shù)字化建設(shè)的基礎(chǔ)設(shè)施，同時(shí)擔(dān)任著科研與教學(xué)的重要任務(wù)．然而，目前國(guó)內(nèi)大多數(shù)學(xué)校都缺乏對(duì)校園網(wǎng)建設(shè)的綜合規(guī)劃、缺乏相應(yīng)的網(wǎng)絡(luò)管理措施、以及對(duì)校園網(wǎng)絡(luò)的認(rèn)識(shí)不足，這些都極大阻礙了校園網(wǎng)的發(fā)展．因此合理地對(duì)校園網(wǎng)絡(luò)升級(jí)，是目前學(xué)校校園網(wǎng)工程的首要目標(biāo)之一［4］．同時(shí)，校園網(wǎng)作為學(xué)校數(shù)字化、信息化的基礎(chǔ)設(shè)施，安全問(wèn)題不容忽視．在互聯(lián)網(wǎng)開(kāi)放程度很高的今天，校園網(wǎng)往往最容易成為黑客攻擊的目標(biāo)．威脅校園網(wǎng)安全的因素有很多，但主要的安全威脅有以下幾類(lèi)．

2．1TCP／IP協(xié)議漏洞造成的威脅

現(xiàn)在互聯(lián)網(wǎng)上使用最多的協(xié)議就是TCP／IP協(xié)議了，這幾乎是所有校園網(wǎng)采用的網(wǎng)絡(luò)傳輸協(xié)議．TCP／IP協(xié)議在設(shè)計(jì)之初，就沒(méi)有考慮安全問(wèn)題，它只考慮如何把信息互相傳輸，因此存在很大的安全威脅．雖然國(guó)際標(biāo)準(zhǔn)化組織提出的OSI七層協(xié)議能夠很好的保證網(wǎng)絡(luò)安全，但是由于TCP／IP協(xié)議的開(kāi)放性和通用性幾乎占用了整個(gè)市場(chǎng)，使得OSI七層協(xié)議無(wú)法推廣．所以，目前網(wǎng)絡(luò)黑客針對(duì)TCP／IP漏洞攻擊有很多，例如：數(shù)據(jù)竊聽(tīng)、源地址欺騙、ARP欺騙等等．

（1）數(shù)據(jù)竊聽(tīng)（PacketSniff）．TCP／IP協(xié)議從設(shè)計(jì)之初，就采取的是數(shù)據(jù)包明碼傳輸，這種傳輸模式使得數(shù)據(jù)包很容易被竊聽(tīng)、修改和偽造．黑客可以利用一系列工具獲取網(wǎng)絡(luò)中正在傳輸?shù)臄?shù)據(jù)包，竊取用戶(hù)有利用價(jià)值的信息，如用戶(hù)賬戶(hù)和密碼等信息．同時(shí)，黑客也能修改和偽造數(shù)據(jù)包，讓用戶(hù)誤入釣魚(yú)網(wǎng)站或者竊取網(wǎng)上銀行信息，給用戶(hù)造成直接經(jīng)濟(jì)損失．特別是在校園網(wǎng)中，數(shù)據(jù)包流通比較集中，一旦獲取了校園網(wǎng)服務(wù)器或管理員賬號(hào)信息，將會(huì)給校園網(wǎng)絡(luò)造成重大損失．

（2）源地址欺騙（SourceAddressSpoofing）．在網(wǎng)絡(luò)安全中，一個(gè)比較重要的安全問(wèn)題就是源地址欺騙．這里的源地址，能夠是IP地址，也能是MAC地址．但是MAC地址隨著路由轉(zhuǎn)發(fā)，信息會(huì)發(fā)生變化，而且在實(shí)際的網(wǎng)絡(luò)系統(tǒng)中，也有一定的限制，改造欺騙難度比較大，所以一般的源地址欺騙是指IP地址偽造欺騙．攻擊者通常偽造被攻擊的主機(jī)IP地址，騙取防火墻信任，從而對(duì)校園網(wǎng)內(nèi)部發(fā)起攻擊．

（3）源路由選擇欺騙（SourceRoutingSpoo－fing）．在一個(gè)完整的IP數(shù)據(jù)包中，通常只包含源地址和目的地址，即路由器可以知道數(shù)據(jù)包從哪個(gè)主機(jī)發(fā)送出來(lái)，將要到達(dá)哪個(gè)主機(jī)．源路由是指數(shù)據(jù)包將會(huì)列出所要經(jīng)過(guò)的路由，路由器將會(huì)根據(jù)這些指定的路由將數(shù)據(jù)包送達(dá)相應(yīng)的主機(jī)，然后根據(jù)其反向路由進(jìn)行應(yīng)答，從而實(shí)現(xiàn)主機(jī)之間的通信．而源路由選擇欺騙，則是攻擊者通過(guò)偽造主機(jī)源路由，讓數(shù)據(jù)包經(jīng)過(guò)該主機(jī)必經(jīng)路由，使受攻擊主機(jī)出現(xiàn)錯(cuò)誤判斷，將某些被保護(hù)的數(shù)據(jù)提供給了攻擊者．另一方面，由于路由器一般對(duì)接收到的路由信息是不經(jīng)過(guò)檢驗(yàn)的，這樣就給攻擊者提供便利，攻擊者可以發(fā)送虛假數(shù)據(jù)包，改變某些重要數(shù)據(jù)包的傳遞路徑，使得數(shù)據(jù)在傳遞到正常主機(jī)前，即可抓取分析，從而也達(dá)到攻擊的目的．

（4）鑒別攻擊（AuthenticationAttacks）．由于TCP／IP協(xié)議還無(wú)法證明網(wǎng)絡(luò)身份的真實(shí)有效性，因此黑客可以偽造他人合法身份入侵到網(wǎng)絡(luò)系統(tǒng)或者獲取密鑰信息，從而達(dá)到攻擊目的．

（5）ARP欺騙（AddressResolutionProtocolSpoofing）．ARP即地址解析協(xié)議，作用是將網(wǎng)絡(luò)中的IP地址轉(zhuǎn)換成MAC物理地址的協(xié)議．因?yàn)樵诰钟蚓W(wǎng)中，尤其是在校園網(wǎng)中，使用最多的往往是MAC地址進(jìn)行傳輸，而不是IP地址進(jìn)行傳輸，所以ARP協(xié)議能夠很快的讓局域網(wǎng)中的兩臺(tái)主機(jī)進(jìn)行通信．而黑客只需在局域網(wǎng)中進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)，獲取到一臺(tái)主機(jī)A的節(jié)點(diǎn)信息（IP地址和MAC地址），就能偽造A的數(shù)據(jù)包，與B進(jìn)行通信，獲取有用信息．另一方面，黑客可以偽造一個(gè)不存在的MAC地址在局域網(wǎng)內(nèi)傳播，形成廣播風(fēng)暴，這樣會(huì)造成網(wǎng)絡(luò)不通，給局域網(wǎng)造成致命打擊．

（6）DoS攻擊（DenialofService）．DoS攻擊，即拒絕服務(wù)攻擊，攻擊者的目的是讓目標(biāo)主機(jī)或網(wǎng)絡(luò)無(wú)法提供正常服務(wù)．因?yàn)門(mén)CP協(xié)議采用三次握手建立一次連接，而任何一次握手失敗，則會(huì)重新發(fā)送．攻擊者正是利用這一個(gè)協(xié)議漏洞，采取不斷建立連接，然后丟棄該連接數(shù)據(jù)包，使得服務(wù)器處于等待狀態(tài)，如果攻擊者一直持續(xù)連接和丟棄的過(guò)程，則服務(wù)器和網(wǎng)絡(luò)所有的資源會(huì)被完全消耗，導(dǎo)致計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法正常工作，從而達(dá)到攻擊目的．

（7）DDoS攻擊（DistributedDenialofServ－ice）．DDoS攻擊，即分布式拒絕服務(wù)攻擊，它是指攻擊者借助一系列工具或手段，聯(lián)合多個(gè)計(jì)算機(jī)組成攻擊平臺(tái)，對(duì)一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊．最基本的DoS是利用合法的服務(wù)請(qǐng)求，占用攻擊目標(biāo)主機(jī)大量服務(wù)資源，使得正常用戶(hù)無(wú)法訪(fǎng)問(wèn)．然而DoS服務(wù)需要占用大量帶寬，單個(gè)計(jì)算機(jī)攻擊肯定無(wú)法達(dá)到攻擊者想要的目標(biāo)．因此網(wǎng)絡(luò)黑客會(huì)抓取網(wǎng)絡(luò)“肉雞”，集合大量網(wǎng)絡(luò)帶寬，組成龐大的攻擊平臺(tái)，可以在瞬間讓被攻擊目標(biāo)處于癱瘓狀態(tài)．

（8）TCP序列號(hào)欺騙和攻擊（TCPSequenceNumberSpoofingandAttack）．黑客利用一系列工具可以偽造TCP序列號(hào)，形成一個(gè)TCP封包，對(duì)網(wǎng)絡(luò)中可信節(jié)點(diǎn)進(jìn)行攻擊．而且最重要的是，黑客可能利用偽造的TCP封包發(fā)動(dòng)SYN攻擊，讓服務(wù)器無(wú)法完成三次握手，造成服務(wù)器開(kāi)放大量等待端口，影響正常網(wǎng)絡(luò)訪(fǎng)問(wèn)，嚴(yán)重時(shí)，可直接造成服務(wù)器死機(jī)，如果該服務(wù)器是WEB服務(wù)器或者DNS服務(wù)器，那么可能導(dǎo)致網(wǎng)站主頁(yè)無(wú)法鏈接或者校園網(wǎng)內(nèi)部用戶(hù)無(wú)法訪(fǎng)問(wèn)外部網(wǎng)絡(luò)．

（9）ICMP攻擊（InternetControlMessageProtocolAttacks）．ICMP協(xié)議是Internet控制報(bào)文協(xié)議，它屬于TCP／IP協(xié)議下的一個(gè)子協(xié)議，用于在IP主機(jī)和路由器之間傳遞控制消息．其中控制消息是指網(wǎng)絡(luò)是否暢通、主機(jī)是否可連接、路由是否可用等一系列消息，它對(duì)數(shù)據(jù)傳輸有很重要的作用．而ICMP攻擊是指利用操作系統(tǒng)ICMP的尺寸大小不得超過(guò)64KB這一規(guī)定，發(fā)動(dòng)“PingofDeath”攻擊，當(dāng)主機(jī)ICMP數(shù)據(jù)包尺寸超過(guò)64KB時(shí)，主機(jī)會(huì)發(fā)生內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP／IP堆棧崩潰，使得目標(biāo)主機(jī)死機(jī)．雖然操作系統(tǒng)通過(guò)取消ICMP數(shù)據(jù)包大小限制來(lái)解決該漏洞，但是向目標(biāo)主機(jī)發(fā)動(dòng)持續(xù)、大規(guī)模的ICMP攻擊，會(huì)消耗主機(jī)CPU、內(nèi)存等資源，嚴(yán)重時(shí)也會(huì)導(dǎo)致目標(biāo)主機(jī)癱瘓，無(wú)法提供正常服務(wù)．

2．2漏洞威脅

軟件和操作系統(tǒng)是由程序員編寫(xiě)的，而在開(kāi)發(fā)的過(guò)程中，多多少少會(huì)存在各種各樣的漏洞問(wèn)題，這些漏洞如果不能及時(shí)修復(fù)，將會(huì)對(duì)主機(jī)造成重大安全威脅．一旦該主機(jī)被攻破，同時(shí)也會(huì)給該主機(jī)處在的局域網(wǎng)中的其它機(jī)器造成威脅，情況嚴(yán)重時(shí)，甚至?xí)斐烧麄€(gè)網(wǎng)絡(luò)癱瘓．近幾年來(lái)，無(wú)論是Windows操作系統(tǒng)，還是Linux操作系統(tǒng)，的補(bǔ)丁數(shù)目一直持續(xù)增加．特別是Windows操作系統(tǒng)，在校園網(wǎng)內(nèi)擁有的用戶(hù)眾多，如果沒(méi)能及時(shí)修復(fù)各種漏洞，勢(shì)必會(huì)影響整個(gè)校園網(wǎng)安全．

2．3病毒、木馬威脅

近些年來(lái)，隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)上各種各樣的開(kāi)源軟件繁多，有些開(kāi)源軟件打著免費(fèi)的旗號(hào)，暗留后門(mén)或者對(duì)操作系統(tǒng)植入木馬，稍不注意，就會(huì)對(duì)整個(gè)系統(tǒng)造成重大影響．同時(shí)，網(wǎng)絡(luò)上黑客也會(huì)主動(dòng)攻擊，種植木馬，抓取網(wǎng)絡(luò)肉雞，作為自己攻擊的跳板，對(duì)互聯(lián)網(wǎng)上其它的計(jì)算機(jī)造成嚴(yán)重威脅．

2．4初級(jí)黑客攻擊

校園網(wǎng)因?yàn)樽陨砭窒扌?，其網(wǎng)絡(luò)管理水平無(wú)法與企業(yè)相比，因此很容易受到網(wǎng)絡(luò)上初級(jí)黑客的攻擊，作為他們?cè)囀值哪繕?biāo)．另外一方面，互聯(lián)網(wǎng)出現(xiàn)的一系列黑客教程、黑客工具，這些教程和工具可以自由查閱和下載，加上很多黑客工具屬于使用簡(jiǎn)單，這讓許多初級(jí)黑客也能在一段時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)造成嚴(yán)重的攻擊．且根據(jù)心理學(xué)研究分析，很多普通攻擊者往往有炫耀心理，即把校園網(wǎng)作為自己攻擊的目標(biāo)，以獲取所謂的成功感，這讓校園網(wǎng)增加更多的威脅．

3目前校園網(wǎng)網(wǎng)絡(luò)建設(shè)中存在的主要安全問(wèn)題

目前在校園網(wǎng)網(wǎng)絡(luò)建設(shè)中主要存在的安全問(wèn)題分為人為因素導(dǎo)致的安全問(wèn)題和非人為因素導(dǎo)致的安全問(wèn)題．

3．1人為因素導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題

3．1．1校園網(wǎng)用戶(hù)數(shù)量龐大

校園網(wǎng)內(nèi)用戶(hù)量眾多且處在同一個(gè)局域網(wǎng)中，同時(shí)，校園網(wǎng)內(nèi)服務(wù)器數(shù)量也是別的局域網(wǎng)不能比擬的．用戶(hù)量加上數(shù)目可觀、功能強(qiáng)大的服務(wù)器，這些條件也吸引著互聯(lián)網(wǎng)上眾多黑客的攻擊，因此存在著很大的安全隱患．

3．1．2校園網(wǎng)用戶(hù)安全意識(shí)低

根據(jù)調(diào)查研究發(fā)現(xiàn)，校園網(wǎng)的用戶(hù)大部分都安全意識(shí)不強(qiáng)，用戶(hù)計(jì)算機(jī)整體水平偏低，有一部分校園網(wǎng)用戶(hù)基本上不安裝殺毒軟件，也沒(méi)能及時(shí)給系統(tǒng)打補(bǔ)丁，系統(tǒng)處于“裸奔”狀態(tài)．這對(duì)于當(dāng)今如此開(kāi)放的互聯(lián)網(wǎng)，將直接為黑客提供攻擊目標(biāo)．而且校園網(wǎng)用戶(hù)極少學(xué)習(xí)相應(yīng)的安全防范知識(shí)，在下載和使用軟件時(shí)，基本上不考慮其風(fēng)險(xiǎn)性，這些都將會(huì)給黑客制造攻擊機(jī)會(huì)，影響整個(gè)校園網(wǎng)安全［5］．

3．1．3信息泄密

信息泄密是指將信息透漏給非授權(quán)用戶(hù)，它在一定程度上破壞了計(jì)算機(jī)系統(tǒng)的保密性．目前，常見(jiàn)的信息泄密有：操作系統(tǒng)漏洞、流氓軟件、網(wǎng)絡(luò)監(jiān)聽(tīng)、病毒、木馬、業(yè)務(wù)流分析、網(wǎng)絡(luò)釣魚(yú)、電磁、物理入侵、射頻截獲、非法授權(quán)、計(jì)算機(jī)后門(mén)程序．

3．1．4拒絕服務(wù)攻擊（DoS）

攻擊者使用一切辦法讓被攻擊計(jì)算機(jī)停止提供服務(wù)，讓合法的信息或資源訪(fǎng)問(wèn)被拒絕或者嚴(yán)重推遲．常見(jiàn)的DoS攻擊有：SYNFlood、IP欺騙、UDP洪水攻擊、Ping洪流攻擊等．

3．1．5完整性破壞

攻擊者通過(guò)系統(tǒng)漏洞、病毒、木馬、后門(mén)程序等方式破壞信息的完整性，使得信息亂碼．

3．1．6網(wǎng)絡(luò)濫用

由于授權(quán)的用戶(hù)因操作或行為不當(dāng)，導(dǎo)致網(wǎng)絡(luò)濫用，從而導(dǎo)致網(wǎng)絡(luò)安全威脅，例如非法外聯(lián)、非法內(nèi)聯(lián)、設(shè)備濫用、業(yè)務(wù)濫用、移動(dòng)風(fēng)險(xiǎn)等等．

3．2非人為因素導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題

網(wǎng)絡(luò)安全除去人為因素外，很大一部分安全威脅來(lái)自安全工具和操作系統(tǒng)自身的局限性．其具體特征為：每一種安全工具（如：殺毒軟件）都有其自身的應(yīng)用范圍和環(huán)境，同時(shí)安全工具受到人為因素、系統(tǒng)漏洞、程序BUG的影響，這些因素反而給攻擊者帶來(lái)了一定的便利．對(duì)于操作系統(tǒng)而言，沒(méi)有絕對(duì)安全的操作系統(tǒng)，無(wú)論是微軟的Windows系列操作系統(tǒng)，還是開(kāi)源的Linux操作系統(tǒng)，都有存在后門(mén)或漏洞的可能．世界上沒(méi)有絕對(duì)安全的操作系統(tǒng)，因此在搭建校園網(wǎng)時(shí)，要選擇安全性盡可能高的操作系統(tǒng)，而且要隨時(shí)提供校園網(wǎng)用戶(hù)漏洞補(bǔ)丁下載，以及殺毒軟件，保證用戶(hù)系統(tǒng)安全性始終最高．由上所述，我們可以說(shuō)網(wǎng)絡(luò)安全問(wèn)題絕大部分是由人為因素引起的．現(xiàn)在，國(guó)家也制定了相應(yīng)的法律來(lái)保護(hù)網(wǎng)絡(luò)安全，打擊相應(yīng)的網(wǎng)絡(luò)犯罪活動(dòng)．但是校園網(wǎng)作為一個(gè)龐大的用戶(hù)群，如何防范這些網(wǎng)絡(luò)犯罪活動(dòng)顯得尤為重要．我們不能等著整個(gè)網(wǎng)絡(luò)被攻擊導(dǎo)致癱瘓后再想著去防范，而是要在攻擊之前做好準(zhǔn)備工作，讓校園網(wǎng)在安全中運(yùn)行．

4加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)的對(duì)策和建議

加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)主要從以下幾個(gè)方面來(lái)進(jìn)行．

4．1應(yīng)重視校園網(wǎng)網(wǎng)絡(luò)的安全搭建

在校園網(wǎng)工程的建設(shè)中，網(wǎng)絡(luò)系統(tǒng)的搭建是屬于弱電工程，它的耐壓值比較低．由此，在校園網(wǎng)工程的設(shè)計(jì)和建設(shè)中，一定要首先考慮人以及網(wǎng)絡(luò)中物理設(shè)備的防火、防電以及防雷等安全問(wèn)題；考慮網(wǎng)絡(luò)中布線(xiàn)系統(tǒng)與通信線(xiàn)路、照明線(xiàn)路、動(dòng)力線(xiàn)路、空氣對(duì)流管道以及暖氣管道之間的距離；考慮網(wǎng)絡(luò)中物理電路的接地安全；考慮建設(shè)合理的防雷系統(tǒng)，保證建筑物、計(jì)算機(jī)以及其它物理設(shè)備的防雷［6］．

4．2應(yīng)加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)的安全維護(hù)技術(shù)

從技術(shù)層面來(lái)說(shuō)，網(wǎng)絡(luò)安全主要是由防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、病毒監(jiān)測(cè)系統(tǒng)等多個(gè)安全組件組成，單獨(dú)的一個(gè)組件是無(wú)法保證當(dāng)前網(wǎng)絡(luò)信息安全的．最早的網(wǎng)絡(luò)安全技術(shù)是采用邊界閾值控制法，即通過(guò)對(duì)網(wǎng)絡(luò)邊界的數(shù)據(jù)包進(jìn)行監(jiān)測(cè)，符合規(guī)定的數(shù)據(jù)包可通過(guò)，不符合規(guī)定的數(shù)據(jù)包就拋棄，這種方式在一定程度上能阻止對(duì)網(wǎng)絡(luò)的入侵和攻擊，但是不能有效防止網(wǎng)絡(luò)攻擊．目前，應(yīng)用比較廣泛的網(wǎng)絡(luò)安全基本技術(shù)有：防火墻技術(shù)、防病毒技術(shù)、數(shù)據(jù)加密技術(shù)等．防火墻［7］指的是一個(gè)由硬件和軟件混合組成的設(shè)備，用于將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離起來(lái)，建立一層安全保護(hù)屏障，它是一種隔離控制技術(shù)．常見(jiàn)的防火墻有包過(guò)濾技術(shù)、技術(shù)、狀態(tài)監(jiān)測(cè)技術(shù)等．相對(duì)于防火墻來(lái)說(shuō)，防病毒技術(shù)將是從計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部進(jìn)行防控，主要預(yù)防病毒程序、后門(mén)程序、網(wǎng)絡(luò)監(jiān)聽(tīng)等．目前采取比較多的防病毒手段是對(duì)系統(tǒng)進(jìn)行監(jiān)聽(tīng)，阻止不合規(guī)定進(jìn)程．而且防病毒技術(shù)永遠(yuǎn)是滯后性的，即防病毒工具一直在病毒出現(xiàn)后才能組織．現(xiàn)在的防病毒技術(shù)和云平臺(tái)技術(shù)結(jié)合，已經(jīng)對(duì)病毒起到了一定的控制作用．相對(duì)前面兩種技術(shù)來(lái)說(shuō)，數(shù)據(jù)加密技術(shù)就比較靈活了．可以將用戶(hù)的信息經(jīng)過(guò)加密后，再在網(wǎng)絡(luò)上傳輸，及時(shí)數(shù)據(jù)被黑客截獲，沒(méi)有有效的密鑰，數(shù)據(jù)對(duì)黑客來(lái)說(shuō)也只是一堆無(wú)效數(shù)據(jù)而已．在開(kāi)放的互聯(lián)網(wǎng)平臺(tái)，數(shù)據(jù)加密能夠有效的保證了用戶(hù)的隱私以及數(shù)據(jù)的安全［8］．

4．3應(yīng)建立科學(xué)的校園網(wǎng)網(wǎng)絡(luò)管理人員崗位職責(zé)

計(jì)算機(jī)網(wǎng)絡(luò)安全絕大部分是人為因素引起的．因此在校園網(wǎng)搭建過(guò)程中，關(guān)于對(duì)計(jì)算機(jī)系統(tǒng)管理員的培訓(xùn)及管理，是校園網(wǎng)網(wǎng)絡(luò)安全中最重要的一部分．一個(gè)不合理的操作，很有可能讓整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓，因此必須建立健全管理規(guī)范，明確管理員責(zé)任和權(quán)利．同時(shí)，要記錄管理員操作信息，當(dāng)發(fā)現(xiàn)不合規(guī)定的記錄時(shí)，可以及時(shí)分析，如果發(fā)現(xiàn)黑客入侵，則及時(shí)采取必要措施杜絕黑客進(jìn)一步入侵，必要時(shí)需向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)案，減少學(xué)校損失．另外一方面，建立健全的管理制度以及嚴(yán)格的管理模式，可以保證校園網(wǎng)的正常、安全運(yùn)行．總而言之，網(wǎng)絡(luò)安全涉及的領(lǐng)域很多，是一個(gè)綜合性的問(wèn)題．只有合理的運(yùn)用相關(guān)技術(shù)以及人員培訓(xùn)，才能盡最大可能的把安全威脅降到最低．

篇（6）

計(jì)算機(jī)系統(tǒng)的正常運(yùn)行以計(jì)算機(jī)操作系統(tǒng)程序?yàn)橹饕罁?jù)，與之相關(guān)的各類(lèi)程序也必須以此為標(biāo)準(zhǔn)，操作系統(tǒng)理所當(dāng)然地成為了計(jì)算機(jī)系統(tǒng)中的基本程序。計(jì)算機(jī)操作系統(tǒng)具有較強(qiáng)的拓展性，開(kāi)發(fā)商很容易完成計(jì)算機(jī)系統(tǒng)的開(kāi)發(fā)工作。但是，在優(yōu)化和升級(jí)計(jì)算機(jī)系統(tǒng)的過(guò)程中，相關(guān)操作技術(shù)仍存在較大問(wèn)題，這是計(jì)算機(jī)技術(shù)快速發(fā)展的難點(diǎn)，也是黑客入侵計(jì)算機(jī)系統(tǒng)的主要切入點(diǎn)。

1.2計(jì)算機(jī)病毒安全問(wèn)題

計(jì)算機(jī)一旦受到病毒的入侵，將會(huì)出現(xiàn)嚴(yán)重的運(yùn)行問(wèn)題，如系統(tǒng)癱瘓、傳輸數(shù)據(jù)失真以及數(shù)據(jù)庫(kù)信息丟失等。計(jì)算機(jī)病毒具有典型的潛伏性、傳染性、隱蔽性和破環(huán)性，目前，計(jì)算機(jī)病毒種類(lèi)主要有以下四種：第一，木馬病毒。該類(lèi)病毒的主要目的是竊取計(jì)算機(jī)上的數(shù)據(jù)信息，具有典型的誘騙性；第二，蠕蟲(chóng)病毒。熊貓燒香是該類(lèi)病毒的典型代表，以用戶(hù)計(jì)算機(jī)上出現(xiàn)的漏洞為切入點(diǎn)，綜合使用攻擊計(jì)算機(jī)終端的方式控制計(jì)算機(jī)系統(tǒng)，該病毒具有較強(qiáng)的傳播性和變異性；第三，腳本病毒。該病毒主要發(fā)生在互聯(lián)網(wǎng)網(wǎng)頁(yè)位置；第四，間諜病毒。要想提升某網(wǎng)頁(yè)的訪(fǎng)問(wèn)量，強(qiáng)制要求計(jì)算機(jī)用戶(hù)主頁(yè)預(yù)期鏈接。伴隨著科技的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用范圍不斷擴(kuò)大，各種類(lèi)型病毒的破壞性也隨之增加。

1.3黑客

通過(guò)網(wǎng)絡(luò)攻擊計(jì)算機(jī)目前，我國(guó)仍存在著大量非法人員對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊等行為，這類(lèi)人員大都掌握著扎實(shí)的計(jì)算機(jī)和計(jì)算機(jī)安全漏洞技術(shù)，對(duì)計(jì)算機(jī)用戶(hù)終端與網(wǎng)絡(luò)做出強(qiáng)有力的破壞行為是他們的主要目的。黑客攻擊計(jì)算機(jī)網(wǎng)絡(luò)的主要形式有三種：第一，利用虛假的信息攻擊網(wǎng)絡(luò)；第二，利用木馬或者病毒程序?qū)τ?jì)算機(jī)用戶(hù)的電腦進(jìn)行控制；第三，結(jié)合計(jì)算機(jī)用戶(hù)瀏覽網(wǎng)頁(yè)的腳本漏洞對(duì)其進(jìn)行攻擊。

2計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中的應(yīng)用

2.1防火墻技術(shù)

防護(hù)墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的主要表現(xiàn)形式之一。防火墻技術(shù)的應(yīng)用能夠從根本上解決計(jì)算機(jī)病毒安全問(wèn)題，在實(shí)際應(yīng)用過(guò)程中，計(jì)算機(jī)網(wǎng)絡(luò)安全中心的防火墻技術(shù)被分為應(yīng)用級(jí)防火墻和包過(guò)濾防火墻兩種形式。其中應(yīng)用型防護(hù)墻的主要目的是保護(hù)服務(wù)器的安全，在掃描終端服務(wù)器的數(shù)據(jù)后，如果發(fā)現(xiàn)有意或者不合常理等攻擊行為，系統(tǒng)應(yīng)該及時(shí)切斷服務(wù)器與內(nèi)網(wǎng)服務(wù)器之間的交流，采用終端病毒傳播的方式保護(hù)企業(yè)網(wǎng)的安全。包過(guò)濾防火墻的主要工作任務(wù)是及時(shí)過(guò)濾路由器傳輸給計(jì)算機(jī)的數(shù)據(jù)信息，這種過(guò)濾手段可以阻擋病毒信息入侵計(jì)算機(jī)系統(tǒng)，并第一時(shí)間內(nèi)通知用戶(hù)攔截病毒信息，為提高企業(yè)網(wǎng)的安全性提供技術(shù)保障。下圖1是企業(yè)網(wǎng)防護(hù)墻配置示意圖。Intranet周邊網(wǎng)絡(luò)InternetInternet防火墻周邊防火墻內(nèi)部網(wǎng)絡(luò)服外部網(wǎng)絡(luò)務(wù)器服務(wù)器圖1防火墻配置

2.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的另一種表現(xiàn)形式。在企業(yè)發(fā)展建設(shè)過(guò)程中，要想提高企業(yè)發(fā)展信息的安全性和可靠性，企業(yè)必須在實(shí)際運(yùn)行的計(jì)算機(jī)網(wǎng)絡(luò)中綜合使用數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)要求將企業(yè)網(wǎng)內(nèi)的相關(guān)數(shù)據(jù)進(jìn)行加密處理，在傳輸和接收數(shù)據(jù)信息的過(guò)程中必須輸入正確的密碼才能打開(kāi)相關(guān)文件，這為提高企業(yè)信息的安全性提供了技術(shù)保障。加密算法的常用形式有對(duì)稱(chēng)加密算法和非對(duì)稱(chēng)加密算法兩種，其中對(duì)稱(chēng)加密算法中使用的加密和加密信息保持一致，非對(duì)稱(chēng)加密算法中加密方法和解密方法存在較大的差異，通常很難被黑客破解，這兩種加密形式在企業(yè)網(wǎng)中均得到了廣泛應(yīng)用。

2.3病毒查殺技術(shù)

病毒查殺技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的表現(xiàn)形式之一。病毒對(duì)計(jì)算機(jī)安全有極大的威脅，該技術(shù)要求企業(yè)技術(shù)對(duì)計(jì)算機(jī)操作系統(tǒng)進(jìn)行檢測(cè)和更新，減少系統(tǒng)出現(xiàn)漏洞的頻率；杜絕用戶(hù)在不經(jīng)允許的情況下私自下載不正規(guī)的軟件；安裝正版病毒查殺軟件的過(guò)程中還應(yīng)該及時(shí)清理病毒數(shù)據(jù)庫(kù)；控制用戶(hù)瀏覽不文明的網(wǎng)頁(yè)；在下載不明郵件或者軟件后立即對(duì)不良文件進(jìn)行病毒查殺處理，確定文件的安全性后才能投入使用。

2.4入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)在企業(yè)網(wǎng)安全運(yùn)行中發(fā)揮著至關(guān)重要的作用，其作用主要表現(xiàn)在以下幾方面：第一，收集計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及相關(guān)應(yīng)用程序中存在的信息數(shù)據(jù)；第二，找尋計(jì)算機(jī)系統(tǒng)中可能存在的侵害行為；第三，自動(dòng)發(fā)出病毒侵害報(bào)警信號(hào)；第四，切斷入侵途徑；第五，攔截入侵。入侵檢測(cè)技術(shù)在企業(yè)網(wǎng)中的應(yīng)用具有較強(qiáng)的安全性特征，該技術(shù)的主要任務(wù)是負(fù)責(zé)監(jiān)視企業(yè)網(wǎng)絡(luò)運(yùn)行狀況，對(duì)網(wǎng)絡(luò)的正常運(yùn)行不會(huì)產(chǎn)生任何影響。入侵檢測(cè)技術(shù)使用的網(wǎng)絡(luò)系統(tǒng)以基于主機(jī)系統(tǒng)和基于網(wǎng)絡(luò)的入侵系統(tǒng)為主?；谥鳈C(jī)系統(tǒng)的入侵檢測(cè)技術(shù)主要針對(duì)企業(yè)網(wǎng)的主機(jī)系統(tǒng)、歷史審計(jì)數(shù)據(jù)和用戶(hù)的系統(tǒng)日志等，該檢測(cè)技術(shù)具有極高的準(zhǔn)確性，但是，實(shí)際檢測(cè)過(guò)程中很容易引發(fā)各種問(wèn)題，如數(shù)據(jù)失真和檢測(cè)漏洞等；基于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)以其自身存在的特點(diǎn)為依據(jù)，以網(wǎng)絡(luò)收集的相關(guān)數(shù)據(jù)信息為手段，在第一時(shí)間將入侵分析模塊里做出的測(cè)定結(jié)果發(fā)送給網(wǎng)絡(luò)管理人，該技術(shù)具有較強(qiáng)的抗攻擊能力、能在短時(shí)間內(nèi)做出有效的檢測(cè)，但是，由于該技術(shù)能對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的變化狀況進(jìn)行監(jiān)控，在實(shí)際過(guò)程中會(huì)給加密技術(shù)帶來(lái)一定程度影響。入侵檢測(cè)技術(shù)在企業(yè)網(wǎng)的應(yīng)用過(guò)程中通常表現(xiàn)為誤用檢測(cè)和異常檢測(cè)兩種形式。誤用檢測(cè)通常以已經(jīng)確定的入侵模式為主，在實(shí)際檢測(cè)過(guò)程中，該檢測(cè)方法具有響應(yīng)速度快和誤警率低等特點(diǎn)，但是，該檢測(cè)技術(shù)需要較長(zhǎng)的檢測(cè)時(shí)間為支撐，實(shí)際耗費(fèi)的工作量比較大。異常檢測(cè)的主要對(duì)象是計(jì)算機(jī)資源中用戶(hù)和系統(tǒng)非正常行為和正常行為情況，該檢測(cè)法誤警率較高，在實(shí)際檢測(cè)過(guò)程中必須對(duì)整個(gè)計(jì)算機(jī)系統(tǒng)進(jìn)行全盤(pán)掃描，因此，必須有大量的檢測(cè)時(shí)間作支撐。

篇（7）

計(jì)算機(jī)網(wǎng)絡(luò)工程是由通信線(xiàn)路、通信設(shè)備、計(jì)算機(jī)相互連接而構(gòu)成的具有遠(yuǎn)程通信與遠(yuǎn)程數(shù)據(jù)傳輸?shù)裙δ艿臄?shù)據(jù)通信和資源共享系統(tǒng)。計(jì)算機(jī)網(wǎng)絡(luò)工程中無(wú)論是局域網(wǎng)、廣域網(wǎng)、城域網(wǎng)或者是互聯(lián)網(wǎng)都與網(wǎng)絡(luò)工程硬件設(shè)備密不可分，其網(wǎng)絡(luò)連計(jì)算機(jī)網(wǎng)絡(luò)工程物理硬件設(shè)備安全問(wèn)題涉及到兩個(gè)方面，一方面是硬件功能是否正常工作方面的安全問(wèn)題，另一方面是物理攻擊方便的問(wèn)題。在計(jì)算機(jī)網(wǎng)絡(luò)完成數(shù)據(jù)通信和資源共享時(shí)，由于自然因素或者是人為因素造成硬件設(shè)備出現(xiàn)故障所導(dǎo)致不能正常應(yīng)用的問(wèn)題。物理攻擊是黑客通過(guò)計(jì)算機(jī)硬件漏洞進(jìn)行攻擊，通過(guò)網(wǎng)絡(luò)TCP/IP等硬件接口漏洞控制計(jì)算機(jī)BIOS以至于導(dǎo)致計(jì)算機(jī)出現(xiàn)死機(jī)、藍(lán)屏、黑屏等問(wèn)題。

1.2計(jì)算機(jī)網(wǎng)絡(luò)工程系統(tǒng)安全問(wèn)題

目前，計(jì)算機(jī)系統(tǒng)并不安全，常見(jiàn)的計(jì)算機(jī)系統(tǒng)漏洞主要包括：RDP漏洞、VM漏洞和UPNP服務(wù)漏洞等，并且計(jì)算機(jī)系統(tǒng)漏洞不斷的被挖掘，這導(dǎo)致我們計(jì)算機(jī)應(yīng)用安全面臨著嚴(yán)重的威脅。

1.3網(wǎng)絡(luò)病毒安全問(wèn)題

計(jì)算機(jī)病毒是由編程人員在軟件中或者是數(shù)據(jù)中插入破壞計(jì)算機(jī)系統(tǒng)及數(shù)據(jù)的代碼，這類(lèi)代碼具有寄生性、隱藏性、傳染性和潛伏性，常見(jiàn)的計(jì)算機(jī)病毒包括引導(dǎo)區(qū)病毒、文件寄生病毒、宏病毒、腳本病毒、蠕蟲(chóng)病毒、特洛伊木馬等。

1.4黑客攻擊安全問(wèn)題

目前有一類(lèi)專(zhuān)門(mén)針對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊的犯罪人員，這類(lèi)人可以分為兩種，一種是以攻擊和破壞他人網(wǎng)絡(luò)系統(tǒng)和計(jì)算機(jī)，竊取他人機(jī)密數(shù)據(jù)為盈利目的，另一種是以破壞網(wǎng)絡(luò)系統(tǒng)為樂(lè)趣，證明自身破壞能力，這兩種人被統(tǒng)稱(chēng)為“黑客”。

2計(jì)算機(jī)網(wǎng)絡(luò)工程安全對(duì)策

以技術(shù)手段進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)工程安全防范，首先需要建立計(jì)算機(jī)網(wǎng)絡(luò)工程安全評(píng)估機(jī)制，利用系統(tǒng)工具對(duì)計(jì)算機(jī)網(wǎng)絡(luò)工程漏洞進(jìn)行掃描，計(jì)算機(jī)漏洞掃描一方面挖掘計(jì)算機(jī)網(wǎng)絡(luò)工程可能存在的漏洞，另一方面可發(fā)現(xiàn)系統(tǒng)中的薄弱環(huán)節(jié)。計(jì)算機(jī)網(wǎng)絡(luò)工程安全評(píng)估需要定期進(jìn)行的，因?yàn)殡S著計(jì)算機(jī)應(yīng)用的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)工程漏洞隨時(shí)會(huì)增加，一次安全評(píng)估只能代表某一時(shí)刻的評(píng)估結(jié)果，也許下一秒就會(huì)出現(xiàn)新的漏洞。計(jì)算機(jī)網(wǎng)絡(luò)工程安全評(píng)估機(jī)制建立。計(jì)算機(jī)網(wǎng)絡(luò)工程安全評(píng)估可以依據(jù)已經(jīng)發(fā)現(xiàn)的網(wǎng)絡(luò)漏洞建立數(shù)據(jù)庫(kù)進(jìn)行比對(duì)掃描分析，漏洞數(shù)據(jù)庫(kù)中包含了最新的已經(jīng)發(fā)現(xiàn)的計(jì)算機(jī)網(wǎng)絡(luò)工程漏洞，并且能夠通過(guò)漏洞的關(guān)聯(lián)性挖掘可能存在薄弱的環(huán)節(jié)，通過(guò)對(duì)漏洞的分析，作出相應(yīng)的修補(bǔ)方案，并通過(guò)反復(fù)的試驗(yàn)最終修補(bǔ)漏洞，并重新做安全評(píng)估。于計(jì)算機(jī)用戶(hù)疏于安全應(yīng)用防范意識(shí)，導(dǎo)致個(gè)人信息被竊取或者是財(cái)產(chǎn)受到損失的事件時(shí)有發(fā)生，這主要是因?yàn)橛?jì)算機(jī)用戶(hù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的使用不夠了解，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)漏洞認(rèn)知度不夠，一些用戶(hù)認(rèn)為計(jì)算機(jī)中安裝了殺毒軟件和防火墻就可以完全安全上網(wǎng)，對(duì)網(wǎng)絡(luò)上的資源不認(rèn)真辨別就進(jìn)行下載，甚至認(rèn)為如果遇到病毒殺毒軟件和防火墻一定會(huì)替他攔截的，但是，一些高危的病毒和木馬往往偽裝成應(yīng)用程序或者是依附于下載資源，殺毒軟件和防火墻很難甄別，這就導(dǎo)致不法分子利用計(jì)算機(jī)的漏洞獲取到用戶(hù)的信息資源。因此，提高計(jì)算機(jī)用戶(hù)自我防范意識(shí)是計(jì)算機(jī)漏洞處置措施中的重要環(huán)節(jié)，用戶(hù)在下載或者安裝軟件過(guò)程中，要時(shí)刻警惕，安裝軟件過(guò)程中，一些選擇性安裝的插件如不需要無(wú)需勾選，如安裝軟件過(guò)程中發(fā)現(xiàn)問(wèn)題，立即停止安裝。在網(wǎng)絡(luò)上下載資源時(shí)要到正規(guī)網(wǎng)站下載，如有提示“風(fēng)險(xiǎn)”謹(jǐn)慎下載。

篇（8）

學(xué)校在建立自己的內(nèi)網(wǎng)時(shí)，由于意識(shí)薄弱與經(jīng)費(fèi)投入不足等方面的原因，比如將原有的單機(jī)互聯(lián)，使用原有的網(wǎng)絡(luò)設(shè)施；校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤(pán)等都有可能因?yàn)樽匀灰蛩氐膿p害而導(dǎo)致數(shù)據(jù)的丟失、泄露或網(wǎng)絡(luò)中斷；機(jī)房設(shè)計(jì)不合理，溫度、濕度不適應(yīng)以及無(wú)抗靜電、抗磁干擾等設(shè)施；網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足，沒(méi)有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等；以上情況都使得校園網(wǎng)絡(luò)基本處在一個(gè)開(kāi)放的狀態(tài)，沒(méi)有有效的安全預(yù)警手段和防范措施。

（二）學(xué)校校園網(wǎng)絡(luò)上的用戶(hù)網(wǎng)絡(luò)信息安全意識(shí)淡薄、管理制度不完善

學(xué)校師生對(duì)網(wǎng)絡(luò)安全知識(shí)甚少，安全意識(shí)淡薄，U盤(pán)、移動(dòng)硬盤(pán)、手機(jī)等存貯介質(zhì)隨意使用；學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專(zhuān)業(yè)知識(shí)，不能安全地配置和管理網(wǎng)絡(luò)；學(xué)校機(jī)房的登記管理制度不健全，允許不應(yīng)進(jìn)入的人進(jìn)入機(jī)房；學(xué)校師生上網(wǎng)身份無(wú)法唯一識(shí)別，不能有效的規(guī)范和約束師生的非法訪(fǎng)問(wèn)行為；缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，使學(xué)校的網(wǎng)絡(luò)管理混亂；缺乏校園師生上網(wǎng)的有效監(jiān)控和日志；計(jì)算機(jī)安裝還原卡或使用還原軟件，關(guān)機(jī)后啟動(dòng)即恢復(fù)到初始狀態(tài)，這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞。

（三）學(xué)校校園網(wǎng)中各主機(jī)和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門(mén)”

大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門(mén)”所造成的。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來(lái)品，加上系統(tǒng)管理員以及終端用戶(hù)在系統(tǒng)設(shè)置時(shí)可能存在各種不合理操作，在網(wǎng)絡(luò)上運(yùn)行時(shí)，這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素。

（四）計(jì)算機(jī)病毒、網(wǎng)絡(luò)病毒泛濫，造成網(wǎng)絡(luò)性能急劇下降，重要數(shù)據(jù)丟失

網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性，傳播到網(wǎng)絡(luò)服務(wù)器，進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染，危害極大。感染計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序是最突出的網(wǎng)絡(luò)安全情況，遭到端口掃描、黑客攻擊、網(wǎng)頁(yè)篡改或垃圾郵件次之。校園網(wǎng)中教師和學(xué)生對(duì)文件下載、電子郵件、QQ聊天的廣泛使用，使得校園網(wǎng)內(nèi)病毒泛濫。計(jì)算機(jī)病毒是一種人為編制的程序，它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點(diǎn)。它的破壞性是巨大的，一旦學(xué)校網(wǎng)絡(luò)中的一臺(tái)電腦感染上病毒，就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個(gè)校園網(wǎng)絡(luò)，只要網(wǎng)絡(luò)中有幾臺(tái)電腦中毒，就會(huì)堵塞出口，導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”，嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓?！秴⒖枷ⅰ?989年8月2日刊登的一則評(píng)論，列出了下個(gè)世紀(jì)的國(guó)際恐怖活動(dòng)將采用五種新式武器和手段，計(jì)算機(jī)病毒名列第二，這給未來(lái)的信息系統(tǒng)投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出，網(wǎng)絡(luò)病毒的防范任務(wù)越來(lái)越嚴(yán)峻。

綜上所述，學(xué)校校園網(wǎng)絡(luò)的安全形勢(shì)非常嚴(yán)峻，在這種情況下，學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行，同時(shí)又能提供豐富的網(wǎng)絡(luò)資源，保障辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個(gè)難題。根據(jù)校園網(wǎng)絡(luò)面臨的安全問(wèn)題，文章提出以下校園網(wǎng)絡(luò)安全防范措施。

二、校園網(wǎng)絡(luò)的主要防范措施

（一）服務(wù)器

學(xué)校在建校園網(wǎng)絡(luò)之時(shí)配置一臺(tái)服務(wù)器，它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介，在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序，對(duì)服務(wù)器進(jìn)行一些必要的設(shè)置。校園網(wǎng)內(nèi)用戶(hù)訪(fǎng)問(wèn)Internet都是通過(guò)服務(wù)器，服務(wù)器會(huì)檢查用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求是否符合規(guī)定，才會(huì)到被用戶(hù)訪(fǎng)問(wèn)的站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給用戶(hù)。這樣，既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶(hù)非法訪(fǎng)問(wèn)或破壞，也可以阻止內(nèi)部用戶(hù)對(duì)外部不良資源的濫用，外部網(wǎng)絡(luò)只能看到該服務(wù)器而無(wú)法獲知內(nèi)部網(wǎng)絡(luò)上的任何計(jì)算機(jī)信息，整個(gè)校園網(wǎng)絡(luò)只有服務(wù)器是可見(jiàn)的，從而大大增強(qiáng)了校園網(wǎng)絡(luò)的安全性。（二）防火墻

防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品，是一種使用較早的、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一。它是軟件或硬件設(shè)備的組合，通常被用來(lái)進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù)。防火墻通過(guò)控制和檢測(cè)網(wǎng)絡(luò)之中的信息交換和訪(fǎng)問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理，在網(wǎng)絡(luò)間建立一個(gè)安全網(wǎng)關(guān)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過(guò)濾（允許/拒絕），控制數(shù)據(jù)包的進(jìn)出，封堵某些禁止行為，提供網(wǎng)絡(luò)使用狀況（網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)/事后分析及處理，網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)情況的監(jiān)控分析，通過(guò)日志分析，獲取時(shí)間、地址、協(xié)議和流量，網(wǎng)絡(luò)是否受到監(jiān)視和攻擊），對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和告警等等，最大限度地防止惡意或非法訪(fǎng)問(wèn)存取，有效的阻止破壞者對(duì)計(jì)算機(jī)系統(tǒng)的破壞，可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作。（三）防治網(wǎng)絡(luò)病毒

校園網(wǎng)絡(luò)的安全必須在整個(gè)校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系，建立一整套網(wǎng)絡(luò)軟件及硬件的維護(hù)制度，定期對(duì)各工作站進(jìn)行維護(hù)，對(duì)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施。為了實(shí)現(xiàn)在整個(gè)內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作，學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段，在服務(wù)器和各辦公室、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版，對(duì)病毒進(jìn)行定時(shí)的掃描檢測(cè)及漏洞修復(fù)，定時(shí)升級(jí)文件并查毒殺毒，使整個(gè)校園網(wǎng)絡(luò)有防病毒能力。

（四）口令加密和訪(fǎng)問(wèn)控制

校園網(wǎng)絡(luò)管理員通過(guò)對(duì)校園師生用戶(hù)設(shè)置用戶(hù)名和口令加密驗(yàn)證，加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控以及對(duì)用戶(hù)的管理。網(wǎng)管理員要對(duì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器、交換機(jī)、防火墻、服務(wù)器的配置均設(shè)有口令加密保護(hù)，賦予用戶(hù)一定的訪(fǎng)問(wèn)存取權(quán)限、口令字等安全保密措施，用戶(hù)只能在其權(quán)限內(nèi)進(jìn)行操作，合理設(shè)置網(wǎng)絡(luò)共享文件，對(duì)各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含、只讀等加密措施，建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng)，建立詳細(xì)的用戶(hù)信息數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)主機(jī)登錄日志、交換機(jī)及路由器日志、網(wǎng)絡(luò)服務(wù)器日志、內(nèi)部用戶(hù)非法活動(dòng)日志等，定時(shí)對(duì)其進(jìn)行審查分析，及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故，有效地保護(hù)網(wǎng)絡(luò)安全。

（五）VLAN(虛擬局域網(wǎng))技術(shù)

VLAN(虛擬局域網(wǎng))技術(shù)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。根據(jù)實(shí)際需要?jiǎng)澐殖龆鄠€(gè)安全等級(jí)不同的網(wǎng)絡(luò)分段。學(xué)校要將不同類(lèi)型的用戶(hù)劃分在不同的VLAN中，將校園網(wǎng)絡(luò)劃分成幾個(gè)子網(wǎng)。將用戶(hù)限制在其所在的VLAN里，防止各用戶(hù)之間隨意訪(fǎng)問(wèn)資源。各個(gè)子網(wǎng)間通過(guò)路由器、交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，網(wǎng)絡(luò)管理員借助VLAN技

術(shù)管理整個(gè)網(wǎng)絡(luò)，通過(guò)設(shè)置命令，對(duì)每個(gè)子網(wǎng)進(jìn)行單獨(dú)管理，根據(jù)特定需要隔離故障，阻止非法用戶(hù)非法訪(fǎng)問(wèn)，防止網(wǎng)絡(luò)病毒、木馬程序，從而在整個(gè)網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)能安全運(yùn)行。

（六）系統(tǒng)備份和數(shù)據(jù)備份

雖然有各種防范手段，但仍會(huì)有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來(lái)不可預(yù)知的災(zāi)難，對(duì)網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專(zhuān)人管理，定期做好服務(wù)器系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作，并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案，對(duì)網(wǎng)上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要手段。

（七）入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）

IDS是一種網(wǎng)絡(luò)安全系統(tǒng)，是對(duì)防火墻有益的補(bǔ)充。當(dāng)有敵人或者惡意用戶(hù)試圖通過(guò)Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí)，IDS能檢測(cè)和發(fā)現(xiàn)入侵行為并報(bào)警，通知網(wǎng)絡(luò)采取措施響應(yīng)。即使被入侵攻擊，IDS收集入侵攻擊的相關(guān)信息，記錄事件，自動(dòng)阻斷通信連接，重置路由器、防火墻，同時(shí)及時(shí)發(fā)現(xiàn)并提出解決方案，列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，大大提高了網(wǎng)絡(luò)的安全性。

（八）增強(qiáng)網(wǎng)絡(luò)安全意識(shí)、健全學(xué)校統(tǒng)一規(guī)范管理制度

根據(jù)學(xué)校實(shí)際情況，對(duì)師生進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)教育，使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。制定相關(guān)的網(wǎng)絡(luò)安全管理制度（網(wǎng)絡(luò)操作使用規(guī)程、人員出入機(jī)房管理制度、工作人員操作規(guī)程和保密制度等）。安排專(zhuān)人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護(hù)管理工作，對(duì)學(xué)校專(zhuān)業(yè)技術(shù)人員定期進(jìn)行安全教育和培訓(xùn)，提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺(jué)性，并安排專(zhuān)業(yè)技術(shù)人員定期對(duì)校園網(wǎng)進(jìn)行維護(hù)。

三、結(jié)論

校園網(wǎng)的安全問(wèn)題是一個(gè)較為復(fù)雜的系統(tǒng)工程，長(zhǎng)期以來(lái)，從病毒、黑客與防范措施的發(fā)展來(lái)看，總是“道高一尺，魔高一丈”，沒(méi)有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，只有通過(guò)綜合運(yùn)用多項(xiàng)措施，加強(qiáng)管理，建立一套真正適合校園網(wǎng)絡(luò)的安全體系，提高校園網(wǎng)絡(luò)的安全防范能力。

摘要：隨著“校校通”工程的深入實(shí)施，校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施，擔(dān)負(fù)著學(xué)校教學(xué)、教研、管理和對(duì)外交流等許多重要任務(wù)。校園網(wǎng)的安全問(wèn)題，直接影響著學(xué)校的教學(xué)活動(dòng)。文章結(jié)合十幾年來(lái)校園網(wǎng)絡(luò)使用安全及防范措施等方面的經(jīng)驗(yàn)，對(duì)如何加強(qiáng)校園網(wǎng)絡(luò)安全作了分析和探討。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；防范措施；防火墻；VLAN技術(shù)

校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議以及各類(lèi)系統(tǒng)管理軟件和應(yīng)用軟件，將校園內(nèi)計(jì)算機(jī)和各種終端設(shè)備有機(jī)地集成在一起，用于教學(xué)、科研、管理、資源共享等方面的局域網(wǎng)絡(luò)系統(tǒng)。校園網(wǎng)絡(luò)安全是指學(xué)校網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然和惡意等因素而遭到破壞、更改、泄密，保障校園網(wǎng)的正常運(yùn)行。隨著“校校通”工程的深入實(shí)施，學(xué)校教育信息化、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時(shí)代的教育的發(fā)展方向。目前校園網(wǎng)絡(luò)內(nèi)存在很大的安全隱患，建立一套切實(shí)可行的校園網(wǎng)絡(luò)防范措施，已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問(wèn)題。

參考文獻(xiàn)：

1、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2006.

2、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社,2004.

3、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.

4、謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連理工大學(xué)出版社,2000.

5、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財(cái)經(jīng)高等專(zhuān)科學(xué)校學(xué)報(bào),2002(8).

篇（9）

一、無(wú)線(xiàn)網(wǎng)絡(luò)安全問(wèn)題的表現(xiàn)

1.1插入攻擊插入攻擊以部署非授權(quán)的設(shè)備或創(chuàng)建新的無(wú)線(xiàn)網(wǎng)絡(luò)為基礎(chǔ)，這種部署或創(chuàng)建往往沒(méi)有經(jīng)過(guò)安全過(guò)程或安全檢查。可對(duì)接入點(diǎn)進(jìn)行配置，要求客戶(hù)端接入時(shí)輸入口令。如果沒(méi)有口令，入侵者就可以通過(guò)啟用一個(gè)無(wú)線(xiàn)客戶(hù)端與接入點(diǎn)通信，從而連接到內(nèi)部網(wǎng)絡(luò)。但有些接入點(diǎn)要求的所有客戶(hù)端的訪(fǎng)問(wèn)口令竟然完全相同。這是很危險(xiǎn)的。

1.2漫游攻擊者攻擊者沒(méi)有必要在物理上位于企業(yè)建筑物內(nèi)部，他們可以使用網(wǎng)絡(luò)掃描器，如Netstumbler等工具?？梢栽谝苿?dòng)的交通工具上用筆記本電腦或其它移動(dòng)設(shè)備嗅探出無(wú)線(xiàn)網(wǎng)絡(luò)，這種活動(dòng)稱(chēng)為“wardriving”；走在大街上或通過(guò)企業(yè)網(wǎng)站執(zhí)行同樣的任務(wù)，這稱(chēng)為“warwalking”。

1.3欺詐性接入點(diǎn)所謂欺詐性接入點(diǎn)是指在未獲得無(wú)線(xiàn)網(wǎng)絡(luò)所有者的許可或知曉的情況下，就設(shè)置或存在的接入點(diǎn)。一些雇員有時(shí)安裝欺詐性接入點(diǎn)，其目的是為了避開(kāi)已安裝的安全手段，創(chuàng)建隱蔽的無(wú)線(xiàn)網(wǎng)絡(luò)。這種秘密網(wǎng)絡(luò)雖然基本上無(wú)害，但它卻可以構(gòu)造出一個(gè)無(wú)保護(hù)措施的網(wǎng)絡(luò)，并進(jìn)而充當(dāng)了入侵者進(jìn)入企業(yè)網(wǎng)絡(luò)的開(kāi)放門(mén)戶(hù)。

1.4雙面惡魔攻擊這種攻擊有時(shí)也被稱(chēng)為“無(wú)線(xiàn)釣魚(yú)”，雙面惡魔其實(shí)就是一個(gè)以鄰近的網(wǎng)絡(luò)名稱(chēng)隱藏起來(lái)的欺詐性接入點(diǎn)。雙面惡魔等待著一些盲目信任的用戶(hù)進(jìn)入錯(cuò)誤的接入點(diǎn)，然后竊取個(gè)別網(wǎng)絡(luò)的數(shù)據(jù)或攻擊計(jì)算機(jī)。

1.5竊取網(wǎng)絡(luò)資源有些用戶(hù)喜歡從鄰近的無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)互聯(lián)網(wǎng)，即使他們沒(méi)有什么惡意企圖，但仍會(huì)占用大量的網(wǎng)絡(luò)帶寬，嚴(yán)重影響網(wǎng)絡(luò)性能。而更多的不速之客會(huì)利用這種連接從公司范圍內(nèi)發(fā)送郵件，或下載盜版內(nèi)容，這會(huì)產(chǎn)生一些法律問(wèn)題。

1.6對(duì)無(wú)線(xiàn)通信的劫持和監(jiān)視正如在有線(xiàn)網(wǎng)絡(luò)中一樣，劫持和監(jiān)視通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)的網(wǎng)絡(luò)通信是完全可能的。它包括兩種情況，一是無(wú)線(xiàn)數(shù)據(jù)包分析，即熟練的攻擊者用類(lèi)似于有線(xiàn)網(wǎng)絡(luò)的技術(shù)捕獲無(wú)線(xiàn)通信。其中有許多工具可以捕獲連接會(huì)話(huà)的最初部分，而其數(shù)據(jù)一般會(huì)包含用戶(hù)名和口令。攻擊者然后就可以用所捕獲的信息來(lái)冒稱(chēng)一個(gè)合法用戶(hù)，并劫持用戶(hù)會(huì)話(huà)和執(zhí)行一些非授權(quán)的命令等。第二種情況是廣播包監(jiān)視，這種監(jiān)視依賴(lài)于集線(xiàn)器，所以很少見(jiàn)。

二、保障無(wú)線(xiàn)網(wǎng)絡(luò)安全的技術(shù)方法

2.1隱藏SSIDSSID，即ServiceSetIdentifier的簡(jiǎn)稱(chēng)，讓無(wú)線(xiàn)客戶(hù)端對(duì)不同無(wú)線(xiàn)網(wǎng)絡(luò)的識(shí)別，類(lèi)似我們的手機(jī)識(shí)別不同的移動(dòng)運(yùn)營(yíng)商的機(jī)制。參數(shù)在設(shè)備缺省設(shè)定中是被AP無(wú)線(xiàn)接入點(diǎn)廣播出去的，客戶(hù)端只有收到這個(gè)參數(shù)或者手動(dòng)設(shè)定與AP相同的SSID才能連接到無(wú)線(xiàn)網(wǎng)絡(luò)。而我們?nèi)绻堰@個(gè)廣播禁止，一般的漫游用戶(hù)在無(wú)法找到SSID的情況下是無(wú)法連接到網(wǎng)絡(luò)的。需要注意的是，如果黑客利用其他手段獲取相應(yīng)參數(shù)，仍可接入目標(biāo)網(wǎng)絡(luò)，因此，隱藏SSID適用于一般SOHO環(huán)境當(dāng)作簡(jiǎn)單口令安全方式。

2.2MAC地址過(guò)濾顧名思義，這種方式就是通過(guò)對(duì)AP的設(shè)定，將指定的無(wú)線(xiàn)網(wǎng)卡的物理地址（MAC地址）輸入到AP中。而AP對(duì)收到的每個(gè)數(shù)據(jù)包都會(huì)做出判斷，只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā)，否則將會(huì)被丟棄。這種方式比較麻煩，而且不能支持大量的移動(dòng)客戶(hù)端。另外，如果黑客盜取合法的MAC地址信息，仍可以通過(guò)各種方法適用假冒的MAC地址登陸網(wǎng)絡(luò)，一般SOHO，小型企業(yè)工作室可以采用該安全手段。

2.3WEP加密WEP是WiredEquivalentPrivacy的簡(jiǎn)稱(chēng)，所有經(jīng)過(guò)WIFI認(rèn)證的設(shè)備都支持該安全協(xié)定。采用64位或128位加密密鑰的RC4加密算法，保證傳輸數(shù)據(jù)不會(huì)以明文方式被截獲。該方法需要在每套移動(dòng)設(shè)備和AP上配置密碼，部署比較麻煩；使用靜態(tài)非交換式密鑰，安全性也受到了業(yè)界的質(zhì)疑，但是它仍然可以阻擋一般的數(shù)據(jù)截獲攻擊，一般用于SOHO、中小型企業(yè)的安全加密。

2.4AP隔離類(lèi)似于有線(xiàn)網(wǎng)絡(luò)的VLAN，將所有的無(wú)線(xiàn)客戶(hù)端設(shè)備完全隔離，使之只能訪(fǎng)問(wèn)AP連接的固定網(wǎng)絡(luò)。該方法用于對(duì)酒店和機(jī)場(chǎng)等公共熱點(diǎn)HotSpot的架設(shè)，讓接入的無(wú)線(xiàn)客戶(hù)端保持隔離，提供安全的Internet接入。

2.5802.1x協(xié)議802.1x協(xié)議由IEEE定義，用于以太網(wǎng)和無(wú)線(xiàn)局域網(wǎng)中的端口訪(fǎng)問(wèn)與控制。802.1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。作為擴(kuò)展認(rèn)證協(xié)議，EAP可以采用MD5，一次性口令，智能卡，公共密鑰等等更多的認(rèn)證機(jī)制，從而提供更高級(jí)別的安全。

2.6WPAWPA即Wi-Fiprotectedaccess的簡(jiǎn)稱(chēng)，下一代無(wú)線(xiàn)規(guī)格802.11i之前的過(guò)渡方案，也是該標(biāo)準(zhǔn)內(nèi)的一小部分。WPA率先使用802.11i中的加密技術(shù)-TKIP（TemporalKeyIntegrityProtocol），這項(xiàng)技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問(wèn)題。很多客戶(hù)端和AP并不支持WPA協(xié)議，而且TKIP加密仍不能滿(mǎn)足高端企業(yè)和政府的加密需求，該方法多用于企業(yè)無(wú)線(xiàn)網(wǎng)絡(luò)部署。

2.7WPA2WPA2與WPA后向兼容，支持更高級(jí)的AES加密，能夠更好地解決無(wú)線(xiàn)網(wǎng)絡(luò)的安全問(wèn)題。由于部分AP和大多數(shù)移動(dòng)客戶(hù)端不支持此協(xié)議，盡管微軟已經(jīng)提供最新的WPA2補(bǔ)丁，但是仍需要對(duì)客戶(hù)端逐一部署。該方法適用于企業(yè)、政府及SOHO用戶(hù)。

篇（10）

數(shù)據(jù)安全和隱私數(shù)據(jù)是用戶(hù)考慮是否采用云計(jì)算模式的一個(gè)重要因素。安全保護(hù)框架方面，最常見(jiàn)的數(shù)據(jù)安全保護(hù)體系是DSLC(DataSecurityLifeCycle)，通過(guò)為數(shù)據(jù)安全生命周期建立安全保護(hù)體制，確保數(shù)據(jù)在創(chuàng)建、存儲(chǔ)、使用、共享、歸檔和銷(xiāo)毀等六個(gè)生命周期的安全。Roy等人提出了一種基于MapReduce平臺(tái)的隱私保護(hù)系統(tǒng)Airavat，該平臺(tái)通過(guò)強(qiáng)化訪(fǎng)問(wèn)控制和區(qū)分隱私技術(shù)，為處理關(guān)鍵數(shù)據(jù)提供安全和隱私保護(hù)。靜態(tài)存儲(chǔ)數(shù)據(jù)保護(hù)方面，Muntes-Mulero等人對(duì)K匿名、圖匿名以及數(shù)據(jù)預(yù)處理等現(xiàn)有的隱理技術(shù)進(jìn)行了討論和總結(jié)，提出了一些可行的解決方案。動(dòng)態(tài)存儲(chǔ)數(shù)據(jù)保護(hù)方面，基于沙箱模型原理，采用Linux自帶的chroot命令創(chuàng)建一個(gè)獨(dú)立的軟件系統(tǒng)的虛擬拷貝，保護(hù)進(jìn)程不受到其他進(jìn)程影響。

1.2虛擬化云安全技術(shù)

虛擬化技術(shù)是構(gòu)建云計(jì)算環(huán)境的關(guān)鍵。在云網(wǎng)絡(luò)中，終端用戶(hù)包括潛在的攻擊者都可以通過(guò)開(kāi)放式的遠(yuǎn)程訪(fǎng)問(wèn)模式直接訪(fǎng)問(wèn)云服務(wù)，虛擬機(jī)系統(tǒng)作為云的基礎(chǔ)設(shè)施平臺(tái)自然成為這些攻擊的主要目標(biāo)。虛擬機(jī)安全管理方面：Garfinkel等人提出在Hypervisor和虛擬系統(tǒng)之間構(gòu)建虛擬層，用以實(shí)現(xiàn)對(duì)虛擬機(jī)器的安全管理。訪(fǎng)問(wèn)控制方面：劉謙提出了Virt-BLP模型，這一模型實(shí)現(xiàn)了虛擬機(jī)間的強(qiáng)制訪(fǎng)問(wèn)控制，并滿(mǎn)足了此場(chǎng)景下多級(jí)安全的需求。Revirt利用虛擬機(jī)監(jiān)控器進(jìn)行入侵分析，它能收集虛擬機(jī)的信息并將其記錄在虛擬機(jī)監(jiān)控器中，實(shí)時(shí)監(jiān)控方面LKIM利用上下文檢查來(lái)進(jìn)行內(nèi)核完整性檢驗(yàn)。

1.3云安全用戶(hù)認(rèn)證與信任研究

云網(wǎng)絡(luò)中存在云服務(wù)提供商對(duì)個(gè)人身份信息的介入管理、服務(wù)端無(wú)法解決身份認(rèn)證的誤判，以及合法的惡意用戶(hù)對(duì)云的破壞等問(wèn)題，身份認(rèn)證機(jī)制在云網(wǎng)絡(luò)下面臨著諸多挑戰(zhàn)。Bertino提出了基于隱私保護(hù)的多因素身份屬性認(rèn)證協(xié)議，采用零知識(shí)證明協(xié)議認(rèn)證用戶(hù)且不向認(rèn)證者泄露用戶(hù)的身份信息。陳亞睿等人用隨機(jī)Petri網(wǎng)對(duì)用戶(hù)行為認(rèn)證進(jìn)行建模分析，通過(guò)建立嚴(yán)格的終端用戶(hù)的認(rèn)證機(jī)制以及分析不同認(rèn)證子集對(duì)認(rèn)證效果的影響，降低了系統(tǒng)對(duì)不可信行為的漏報(bào)率。林闖、田立勤等針對(duì)用戶(hù)行為可信進(jìn)行了一系列深入的研究和分析，將用戶(hù)行為的信任分解成三層，在此基礎(chǔ)上進(jìn)行用戶(hù)行為信任的評(píng)估、利用貝葉斯網(wǎng)絡(luò)對(duì)用戶(hù)的行為信任進(jìn)行預(yù)測(cè)、基于行為信任預(yù)測(cè)的博弈控制等。

1.4安全態(tài)勢(shì)感知技術(shù)

自態(tài)勢(shì)感知研究鼻祖Endsley最早提出將態(tài)勢(shì)感知的信息出路過(guò)程劃分為察覺(jué)、理解、預(yù)測(cè)三個(gè)階段后，許多的研究學(xué)者和機(jī)構(gòu)在此基礎(chǔ)上開(kāi)始進(jìn)行網(wǎng)絡(luò)安全臺(tái)式感知，其中最著名的是TimBass提出的基于數(shù)據(jù)融合的入侵檢測(cè)模型，一共分為六層，包括數(shù)據(jù)預(yù)處理、對(duì)象提取、狀態(tài)提取、威脅提取、傳感控制、認(rèn)知和干預(yù)，全面的將安全信息的處理的階段進(jìn)行了歸納。網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架模型方面：趙文濤等人針對(duì)大規(guī)模網(wǎng)絡(luò)環(huán)境提出用IDS設(shè)備和系統(tǒng)狀態(tài)監(jiān)測(cè)設(shè)備代替網(wǎng)絡(luò)安全態(tài)勢(shì)感知中的傳感器，用于收集網(wǎng)絡(luò)安全信息，并從設(shè)備告警和日志信息中還原攻擊手段和攻擊路徑，同時(shí)利用圖論基礎(chǔ)建立的認(rèn)知模型。網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估方面：陳秀真利用系統(tǒng)分解技術(shù)將網(wǎng)絡(luò)系統(tǒng)分解為網(wǎng)絡(luò)系統(tǒng)、主機(jī)、服務(wù)、脆弱點(diǎn)等四個(gè)層次，利用層次間的相關(guān)安全信息，建立層次化網(wǎng)絡(luò)系統(tǒng)安全威脅態(tài)勢(shì)評(píng)估模型，綜合分析網(wǎng)絡(luò)安全威脅態(tài)勢(shì)。之后該架構(gòu)做出了改進(jìn)，量化了攻擊所造成的風(fēng)險(xiǎn)，同時(shí)考慮了弱點(diǎn)評(píng)估和安全服務(wù)評(píng)估兩種因素，加入了網(wǎng)絡(luò)復(fù)雜度的影響因素，該框架更加體現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)真實(shí)情況。

2研究現(xiàn)狀中存在的不足

以上這些研究對(duì)全面推動(dòng)云安全技術(shù)的迅猛發(fā)展具有重要的作用。但是目前的研究，對(duì)幾個(gè)領(lǐng)域還存在不足：（1）云網(wǎng)絡(luò)中虛擬機(jī)間因關(guān)聯(lián)而引起的安全威脅較為忽視；（2）云網(wǎng)絡(luò)中可信計(jì)算與虛擬化的結(jié)合研究不足；（3）云網(wǎng)絡(luò)環(huán)境下云/端動(dòng)態(tài)博弈狀態(tài)下安全方案和策略研究較少；（4）云網(wǎng)絡(luò)下安全態(tài)勢(shì)感知鮮有研究。我們須知云網(wǎng)絡(luò)最大的安全問(wèn)題在于不可信用戶(hù)利用云平臺(tái)強(qiáng)大的計(jì)算能力及其脆弱性發(fā)動(dòng)極具破壞力的組合式或滲透式攻擊，而這種攻擊要比在局域網(wǎng)上的危害大得多，因此在這方面需要投入更多的關(guān)注，即：立足于某個(gè)特定的“云網(wǎng)絡(luò)”系統(tǒng)，剖析不可信用戶(hù)和網(wǎng)絡(luò)自身脆弱性所帶來(lái)的風(fēng)險(xiǎn)，時(shí)刻預(yù)測(cè)網(wǎng)絡(luò)上的風(fēng)險(xiǎn)動(dòng)向。要做到這一點(diǎn)，就要對(duì)云網(wǎng)絡(luò)中終端用戶(hù)的訪(fǎng)問(wèn)行為和云網(wǎng)絡(luò)的服務(wù)行為進(jìn)行實(shí)時(shí)觀測(cè)，實(shí)時(shí)評(píng)估。