常見的網(wǎng)絡安全防護手段精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的常見的網(wǎng)絡安全防護手段主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：常見的網(wǎng)絡安全防護手段范文

我國企業(yè)計算機網(wǎng)絡安全現(xiàn)狀及其影響因素

從目前實際情況來看，我國計算網(wǎng)絡安全狀況令人擔憂。無論是在計算機硬件、操作系統(tǒng)，還是在網(wǎng)絡環(huán)境及反病毒等方面都存在諸多不足，很容易因遭受外界惡意攻擊而影響網(wǎng)絡安全。

計算機網(wǎng)絡運行環(huán)境為確保計算機網(wǎng)絡機房安全穩(wěn)定運行而提供的適宜的環(huán)境稱之為計算機網(wǎng)絡運行環(huán)境。其中涉及到很多方面，如機房的空氣純凈度以及溫濕度等，并且能夠確保供電可靠性，能有效避免因突然斷電而導致的網(wǎng)絡設備損壞，如果其中任意一項出現(xiàn)問題的話，就很容易對整個網(wǎng)絡的安全運行產(chǎn)生影響[3]。建立健全機房安全保衛(wèi)機制對確保計算機機房安全穩(wěn)定運行有著重要意義，從實際情況來看，未能夠嚴格落實機房管理規(guī)定很容易導致計算機機房出現(xiàn)安全問題，比如由于某些用戶誤碰機房硬件設備而造成的設備連通性問題；或者因網(wǎng)絡設置被人為更改而造成網(wǎng)絡安全程度有所下降。此外，網(wǎng)絡設備和電纜被盜而造成的機房癱瘓事件也不容忽視，基于此，對計算機網(wǎng)絡硬件運行環(huán)境進行必要的維護是確保計算機安全運行的重要舉措。

計算機網(wǎng)絡設備通常情況下，路由器、集線器、服務器中的硬盤陣列以及交換機等硬件設備共同構建了局域網(wǎng)。因此上述各部件能否正常運行直接關系到計算機網(wǎng)絡能否安全運行。第一，必須確保計算機網(wǎng)絡結構科學合理，這樣就能夠采取優(yōu)化網(wǎng)絡結構措施使計算機網(wǎng)絡健壯性進一步增強，同時還能夠?qū)粨Q機和集線器等硬件設備進行科學合理的設置，以便實現(xiàn)網(wǎng)絡安全運行。第二，目前最為常見的網(wǎng)絡電纜非雙絞線莫屬，因此雙絞線水晶頭制作質(zhì)量的高低對計算機網(wǎng)絡能否正常運行有直接影響[4]。第三，電磁干擾也會影響到計算機網(wǎng)絡運行安全，所以在布控網(wǎng)線過程中，應確保同強電線路間保持足夠的安全距離。第四，作為局域網(wǎng)中最為重要的硬件設備之一，服務器上磁盤安全性的高低也會對網(wǎng)絡運行安全產(chǎn)生直接影響。另外，機房設備是否可靠接地對其能否正常運行也起著不可忽視的作用。

計算機軟件存在的安全問題計算機軟件主要有兩部分組成，一部分是計算機操作系統(tǒng)，另一部分為應用軟件。windows、linux和unix是當下常用的三種計算機操作系統(tǒng)，但無論哪種操作系統(tǒng)都存在不同程度的安全漏洞，正是由于這些安全漏洞的存在才為木馬和病毒等形式的非法入侵提供了機會，如果未針對這些漏洞及時采取相應的安保措施，很容易對計算機網(wǎng)絡運行安全帶來致命打擊[5]。windows的PRC漏洞、溢出漏洞等是目前較為常見的幾種漏洞，一些惡意攻擊者經(jīng)常會利用這些漏洞攻擊計算機操作系統(tǒng)，進而使操作系統(tǒng)出現(xiàn)故障。同時，操作系統(tǒng)體系結構所存在的缺陷也是影響網(wǎng)絡安全的主要因素，操作系統(tǒng)內(nèi)部由各個功能不同的模塊所組成，如果其中任意一個模塊出現(xiàn)問題都會導致計算機系統(tǒng)癱瘓。此外，應用軟件以及數(shù)據(jù)庫等方面存在的安全漏洞也會成為非法攻擊者破壞計算機網(wǎng)絡安全的主要途徑，所以加強應用軟件以及數(shù)據(jù)庫的安全維護對計算機網(wǎng)絡安全可靠運行有重要意義。

計算機網(wǎng)絡病毒所謂計算機網(wǎng)絡病毒指的是惡意攻擊者在計算機程序中植入或編制的能夠?qū)τ嬎銠C數(shù)據(jù)和功能產(chǎn)生破壞作用，從而對計算機的正常使用功能產(chǎn)生影響，并具備自我復制功能的一組程序代碼或計算機指令。傳染性、破壞性和復制性是計算機網(wǎng)絡病毒的主要特點。以傳播途徑為依據(jù)可以將計算機網(wǎng)絡病毒分為兩大類，分別為郵件型病毒和漏洞型病毒。網(wǎng)絡電子郵件是郵件類病毒的主要傳播途徑，這類病毒會偽裝成用戶容易點擊的虛假信息隱藏在附件內(nèi)，一旦用戶點擊隱藏病毒的附件，就會使這類病毒趁虛而入。微軟windows操作系統(tǒng)存在的安全漏洞是漏洞型病毒的主要傳播途徑。如果用戶未及時對發(fā)現(xiàn)的windows系統(tǒng)漏洞進行修補，漏洞型病毒很可能會趁此機會非法入侵該用戶的計算機。

計算機網(wǎng)絡安全的防范對策

網(wǎng)絡安全與網(wǎng)絡系統(tǒng)息息相關，要想確保計算機網(wǎng)絡能夠安全穩(wěn)定運行，應從以下幾方面著手。

管理安全對策作為計算機安全運行的重中之重，管理問題尤為重要。人是操作計算機系統(tǒng)的主體，因此人為操作失誤也是影響網(wǎng)絡安全運行的主要因素之一?；诖?，必須建立健全網(wǎng)絡管理機制，只有實現(xiàn)人為操作規(guī)范化管理，才能夠有效避免人為操作失誤安全隱患。此外，還應采取有效措施提高計算機管理人員的安全防護意識，并制定一套行之有效的網(wǎng)絡安全應急防護方案。

計算機系統(tǒng)的安全對策隨著網(wǎng)絡時代的到來，計算機信息技術也得到了飛速發(fā)展，不過隨之而來的是計算機病毒的傳播也呈現(xiàn)出多樣化趨勢，要想確保計算機網(wǎng)絡運行的安全可靠性，不僅僅要進一步提升廣大計算機用戶的安全防護意識，更為重要的是加大對計算機病毒的防護力度。常見的計算機系統(tǒng)安全防護手段主要有以下幾方面：計算機用戶不要隨意打開或進入具有欺騙性的郵件或網(wǎng)站；加強對計算機病毒防護知識的學習，及時發(fā)現(xiàn)并解決計算機異常問題，以便有效預防計算機病毒攻擊，確保計算機系統(tǒng)安全穩(wěn)定運行。另外，對于一旦遭受病毒攻擊就會造成巨大經(jīng)濟損失或其它損失的網(wǎng)絡用戶而言，應及時做好系統(tǒng)備份工作。

計算機實體的物理防護對策計算機物理安全很容易被人們所忽視，事實上，包括計算機硬件以及通信線路等在內(nèi)的一些實體設備的安全防護也會對計算機系統(tǒng)安全運行產(chǎn)生直接影響，如果這些實體設備出現(xiàn)不同程度的故障，很可能會導致網(wǎng)絡安全隱患。為有效預防雷電和強電對網(wǎng)絡系統(tǒng)的干擾，技術人員往往通過增設避雷設備解決該問題，并利用電磁屏蔽技術有效避免電磁泄漏現(xiàn)象的出現(xiàn)，與此同時，還應做好對計算機設備的日常維護工作，確保防火、防震、防靜電以及防塵等措施全部落實到位，為計算機系統(tǒng)安全可靠運行提供有力保障。

網(wǎng)絡控制對策加強對網(wǎng)絡的有效控制是確保網(wǎng)絡安全的主要手段。（1）對網(wǎng)絡設置訪問權限。為有效解決因人為非法操作所造成的網(wǎng)絡安全隱患問題，應對網(wǎng)絡設置訪問權限。加強入網(wǎng)控制是目前較為常見的網(wǎng)絡控制手段，例如用戶實名制登錄、身份驗證、口令驗證等等。另外，還應對用戶以及用戶組的訪問權限進行合理設置。（2）加強網(wǎng)絡防火墻的控制。防火墻技術是保障網(wǎng)絡安全的重要技術手段。該技術主要是通過對內(nèi)網(wǎng)和外網(wǎng)進行有效隔離，并對這兩個網(wǎng)絡通信時的訪問尺度進行有效控制來確保網(wǎng)絡安全。過濾防火墻和防火墻是當前常見的防火墻技術：①過濾防火墻：利用路由器來阻擋外網(wǎng)對內(nèi)網(wǎng)的非法入侵是過濾防火墻的主要作用。②防火墻：服務器技術是防火墻的最核心技術，服務器會對外部網(wǎng)絡向內(nèi)網(wǎng)發(fā)送的數(shù)據(jù)和請求進行過濾，只有符合過濾規(guī)則的數(shù)據(jù)才會被傳遞至真實的服務器，這樣能夠有效預防非法數(shù)據(jù)的傳輸。雖然防火墻技術能夠進一步增強網(wǎng)絡的安全可靠性，但該技術也無法確保網(wǎng)絡的絕對安全，其自身也會面臨被計算機病毒入侵的安全隱患，基于此，我們應將防火墻技術與其它安全防護技術有機結合在一起，從而使計算機網(wǎng)絡安全得到進一步提升。

結語

第2篇：常見的網(wǎng)絡安全防護手段范文

一、新形勢下網(wǎng)絡信息安全威脅分析

政府部門信息系統(tǒng)和構架的特點，決定了其在網(wǎng)絡信息安全性方面存在問題和隱患。目前，網(wǎng)絡攻擊、信息竊取、運維管理等方面的風險尤為突出。網(wǎng)絡攻擊。目前的網(wǎng)絡攻擊，不僅包括利用網(wǎng)絡和系統(tǒng)存在的漏洞和安全缺陷對計算機信息系統(tǒng)實施入侵，破壞和干擾系統(tǒng)正常運行的行為，還包括對其存儲的數(shù)據(jù)進行密取、增加、刪除和修改的行為，具有跨國性、欺騙性、隱匿性的特征。比較常見的網(wǎng)絡攻擊方式有：DDOS（拒絕服務式）攻擊、計算機病毒程序攻擊、數(shù)據(jù)驅(qū)動攻擊以及網(wǎng)絡欺騙攻擊等。以計算機病毒程序攻擊為例，攻擊者通過網(wǎng)頁掛載、郵件附件、軟件捆綁、文件偽裝、動態(tài)鏈接庫和遠程線程插入等方式向目標系統(tǒng)植入計算機病毒程序、木馬程序，以記錄用戶操作痕跡（鍵盤敲擊記錄、網(wǎng)頁瀏覽記錄）或者直接操作計算機系統(tǒng)，并獲取、修改系統(tǒng)重要信息數(shù)據(jù)或干擾計算機系統(tǒng)正常運行。這類攻擊，都可以在一定程度上造成信息系統(tǒng)的故障和癱瘓或?qū)W(wǎng)絡傳輸數(shù)據(jù)和系統(tǒng)內(nèi)存儲處理數(shù)據(jù)的安全性造成威脅。特別是一些部署在互聯(lián)網(wǎng)上，且防護措施比較薄弱的，一級架構的政府部門信息系統(tǒng)以及提供互聯(lián)網(wǎng)服務并進行跨網(wǎng)部署的政府部門信息系統(tǒng)。

信息竊取。對于政府部門的信息系統(tǒng)，主要面臨的信息安全來自于一些國家或境內(nèi)外敵對勢力。為了達到顛覆政權、擾亂政治穩(wěn)定、經(jīng)濟穩(wěn)定和社會穩(wěn)定的不法目的，一些國家或敵對勢力正通過各種密取手段和信息監(jiān)控手段對國家秘密、軍事秘密等涉及國家安全穩(wěn)定的重要信息進行密取和截獲。通過境外的互聯(lián)網(wǎng)內(nèi)容服務商密取信息、通過境外的互聯(lián)網(wǎng)接入服務商截獲信息、利用網(wǎng)絡設備及信息系統(tǒng)設備竊取信息等手段屢見不鮮。通過境外的互聯(lián)網(wǎng)內(nèi)容服務商密取信息，是通過一些在國外注冊并上市的互聯(lián)網(wǎng)內(nèi)容服務商獲取互聯(lián)網(wǎng)信息業(yè)務和增值業(yè)務。這些互聯(lián)網(wǎng)內(nèi)容服務商不僅可以向本國乃至全球用戶提供互聯(lián)網(wǎng)內(nèi)容和應用服務，而且其掌握了大量用戶的數(shù)據(jù)，包括了用戶上網(wǎng)的IP地址、上網(wǎng)設備標示、登陸時間、登陸口令以及相關應用的交互等內(nèi)容，甚至涉及公民隱私及政府國家秘密、企業(yè)業(yè)務秘密的私密數(shù)據(jù)。

用戶在訪問境外網(wǎng)站的過程中，交互數(shù)據(jù)可能經(jīng)過這些向用戶提供互聯(lián)網(wǎng)接入服務的境外服務商的數(shù)據(jù)傳輸設備。而通過境外的互聯(lián)網(wǎng)接入服務商截獲信息利用的就是該特點，當用戶在使用部署于互聯(lián)網(wǎng)的信息系統(tǒng)終端設備進行互聯(lián)網(wǎng)訪問時，信息就會被中途截獲密取。2011年，國外媒體曾報道某知名手機生產(chǎn)商的手機在定位功能關閉后仍在收集用戶位置信息的情況，類似的還有打印機緩存打印數(shù)據(jù)等竊取私密信息的方法。這些設備都有預留或被植入的“后門”，以達到利用網(wǎng)絡設備及信息系統(tǒng)設備竊取信息的目的。通過這樣的方式可以隨時隨地收集使用者的各種信息，甚至控制網(wǎng)絡和信息系統(tǒng)。運維管理的風險。政府部門的信息系統(tǒng)，按照其應用領域和信息安全要求，都有嚴格的密級劃分，對于系統(tǒng)建設和運維管理的單位也有嚴格明確的資質(zhì)規(guī)定和保密要求。然而，與政府部門相比，系統(tǒng)建設和運維廠商的人員管理相對不夠嚴格和規(guī)范，人員的流動性較大，這就可能存在一些風險，例如竊取系統(tǒng)數(shù)據(jù)或在系統(tǒng)中預留后門和漏洞等。

二、基于信息安全等級保護的防護模式

隨著政府部門網(wǎng)絡規(guī)模不斷擴大、各類政府應用不斷擴展、云計算物聯(lián)網(wǎng)移動互聯(lián)網(wǎng)等技術不斷涌現(xiàn)，網(wǎng)絡的脆弱性和面臨的安全威脅日益顯現(xiàn)。同時，隨著網(wǎng)絡安全攻防技術動態(tài)發(fā)展，網(wǎng)絡信息安全不再是傳統(tǒng)意義上的信息截獲、病毒破壞、設施破壞，而是呈現(xiàn)出自動化、智能化和專業(yè)化的特點。因此，為了更好地保障政府信息系統(tǒng)穩(wěn)定、高效運行，在系統(tǒng)整體架構及安全保障模式上應不斷進行創(chuàng)新，針對不同的安全防護需求，采取不同的安全機制或措施，提高安全防護能力。結合信息安全等級保護措施，根據(jù)政府部門安全防護需求，建設安全防護模型，全方位保障新形勢下政府部門信息系統(tǒng)的安全。

如圖1所示，安全防護模型在安全防護層面上主要由監(jiān)測預警、區(qū)域隔離、安全防護手段、管理控制四部分構成。監(jiān)測預警。實時把握網(wǎng)絡安全態(tài)勢，對發(fā)生的攻擊、侵入等破壞系統(tǒng)安全的行為及時發(fā)現(xiàn)，并提供警示。區(qū)域隔離。落實接入控制措施，嚴格限制非內(nèi)部網(wǎng)絡段設備與內(nèi)部網(wǎng)絡及系統(tǒng)的鏈接；要做到內(nèi)外網(wǎng)物理隔離和網(wǎng)絡區(qū)域邏輯隔離，對于必須跨網(wǎng)部署的信息系統(tǒng)，應當引入數(shù)據(jù)單向傳輸技術，確保內(nèi)網(wǎng)段系統(tǒng)的數(shù)據(jù)無法被遠程竊取外泄。安全防護。要按照等級保護標準要求，從物理、網(wǎng)絡、應用、數(shù)據(jù)和系統(tǒng)層面根據(jù)防護需求逐步提升安全防護級別。特別對于部屬于互聯(lián)網(wǎng)上用于提供公共服務的信息系統(tǒng)，應做好異常訪問的數(shù)據(jù)監(jiān)測，并配置相應性能的專業(yè)級防火墻，以抵御DDOS攻擊；對于內(nèi)部網(wǎng)絡部分的信息系統(tǒng)，應落實訪問控制策略，做好訪問登陸和系統(tǒng)使用的日志記錄，以備安全審計。管理控制。做好機房及重要系統(tǒng)設備的運維管理，甚至更應建立運維監(jiān)控系統(tǒng)，實時監(jiān)控系統(tǒng)運行狀況及網(wǎng)絡傳輸狀況。同時，落實網(wǎng)絡安全防護和系統(tǒng)容災備份措施，并完善應急響應預案，確保網(wǎng)絡、系統(tǒng)及主機的安全。

第3篇：常見的網(wǎng)絡安全防護手段范文

【關鍵詞】信息系統(tǒng)；安全建設；防護體系

1.企業(yè)信息系統(tǒng)安全防護的價值

隨著企業(yè)信息化水平的提高，企業(yè)對于IT系統(tǒng)的依賴性也越來越高。一方面，“業(yè)務系統(tǒng)流程化”正在成為IT安全建設的驅(qū)動力。企業(yè)的新業(yè)務應用正在逐漸標準化和流程化，各種應用系統(tǒng)如ERP、MES為企業(yè)的生產(chǎn)效率的提高起到了關鍵的作用。有效的管控IT環(huán)境，確保IT業(yè)務系統(tǒng)的持續(xù)穩(wěn)定運行作為企業(yè)競爭力的一部分，已成為IT系統(tǒng)安全防護的主要目標和關鍵驅(qū)動力。另一方面，企業(yè)IT安全的建設也是“法規(guī)遵從”的需要。IT系統(tǒng)作為企業(yè)財務應用系統(tǒng)的重要支撐，必須提供可靠的運行保障和數(shù)據(jù)正確性保證。

2.企業(yè)信息系統(tǒng)安全建設的現(xiàn)狀分析

在企業(yè)信息化建設的過程中，業(yè)務系統(tǒng)的建設一直是關注的重點，但是IT業(yè)務系統(tǒng)的安全保障方面，往往成為整個信息化最薄弱的環(huán)節(jié)，尤其是在信息化水平還較低的情況下，IT系統(tǒng)的安全建設缺乏統(tǒng)一的策略作為指導。歸結起來，企業(yè)在IT系統(tǒng)安全建設的過程中，存在以下幾方面的不足：

2.1 安全危機意識不足，制度和規(guī)范不健全

盡管知道IT安全事故后果比較嚴重，但是企業(yè)的高層領導心中仍然存在著僥幸心理，更多的時候把IT安全建設的預算挪用到其他的領域。企業(yè)在信息安全制度及信息安全緊急事件響應流程等方面缺乏完整的制度和規(guī)范保證，由此帶來的后果是諸如對網(wǎng)絡的任意使用，導致公司的機密文檔被擴散。同時在發(fā)生網(wǎng)絡安全問題的時候，也因為缺乏預先設置的各種應急防護措施，導致安全風險得不到有效控制。

2.2 應用系統(tǒng)和安全建設相分離，忽視數(shù)據(jù)安全存儲建設

在企業(yè)IT應用系統(tǒng)的建設時期，由于所屬的建設職能部門的不同，或者是因為投資預算的限制，導致在應用系統(tǒng)建設階段并沒有充分考慮到安全防護的需要，為后續(xù)的應用系統(tǒng)受到攻擊癱瘓埋下了隱患。數(shù)據(jù)安全的威脅表現(xiàn)在核心數(shù)據(jù)的丟失；各種自然災難、IT系統(tǒng)故障，也對數(shù)據(jù)安全帶來了巨大沖擊。遺憾的是很多企業(yè)在數(shù)據(jù)的安全存儲方面，并沒有意識到同城異地災難備份或遠程災難備份的重要性。

2.3 缺乏整體的安全防護體系，“簡單疊加、七國八制”

對于信息安全系統(tǒng)的建設，“頭痛醫(yī)頭、腳痛醫(yī)腳”的現(xiàn)象比較普遍。大多數(shù)企業(yè)仍然停留在出現(xiàn)一個安全事故后再去解決一個安全隱患的階段，缺乏對信息安全的全盤考慮和統(tǒng)一規(guī)劃，這樣的后果就是網(wǎng)絡上的設備五花八門，設備方案之間各自為戰(zhàn)，缺乏相互關聯(lián)，從而導致了多種問題。

3.企業(yè)信息系統(tǒng)安全建設規(guī)劃的原則

企業(yè)的信息化安全建設的目標是要保證業(yè)務系統(tǒng)的正常運轉(zhuǎn)從而為企業(yè)帶來價值，在設計高水平的安全防護體系時應該遵循以下幾個原則：

（1）統(tǒng)一規(guī)劃設計。信息安全建設，需要遵循“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一設計、統(tǒng)一建設”的原則；應用系統(tǒng)的建設要和信息安全的防護要求統(tǒng)一考慮。

（2）架構先進，突出防護重點。要采用先進的架構，選擇成熟的主流產(chǎn)品和符合技術發(fā)展趨勢的產(chǎn)品；明確信息安全建設的重點，重點保護基礎網(wǎng)絡安全及關鍵應用系統(tǒng)的安全，對不同的安全威脅進行有針對性的方案建設。

（3）技術和管理并重，注重系統(tǒng)間的協(xié)同防護?！叭旨夹g，七分管理”，合理劃分技術和管理的界面，從組織與流程、制度與人員、場地與環(huán)境、網(wǎng)絡與系統(tǒng)、數(shù)據(jù)與應用等多方面著手，在系統(tǒng)設計、建設和運維的多環(huán)節(jié)進行綜合協(xié)同防范。

（4）統(tǒng)一安全管理，考慮合規(guī)性要求。建設集中的安全管理平臺，統(tǒng)一處理各種安全事件，實現(xiàn)安全預警和及時響應；基于安全管理平臺，輸出各種合規(guī)性要求的報告，為企業(yè)的信息安全策略制定提供參考。

（5）高可靠、可擴展的建設原則。這是任何網(wǎng)絡安全建設的必備要求，是業(yè)務連續(xù)性的需要，是滿足企業(yè)發(fā)展擴容的需要。

4.企業(yè)信息系統(tǒng)安全建設的部署建議

以ISO27001等企業(yè)信息安全法規(guī)[1]遵從的原則為基礎，通過分析企業(yè)信息安全面臨的風險和前期的部署實踐，建立企業(yè)信息安全建設模型，如圖1所示。

圖1 企業(yè)信息系統(tǒng)安全建設模型

基于上述企業(yè)信息安全建設模型，在建設終端安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)安全、統(tǒng)一安全管理和滿足法規(guī)遵從的全面安全防護體系時，需要重點關注以下幾個方面的部署建議：

4.1 實施終端安全，關注完整的用戶行為關聯(lián)分析

在企業(yè)關注的安全事件中，信息泄漏是屬于危害比較嚴重的行為。現(xiàn)階段由于企業(yè)對網(wǎng)絡的管控不嚴，員工可以通過很多方式實現(xiàn)信息外泄，常見的方式有通過桌面終端的存儲介質(zhì)進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等。針對這些高危的行為，企業(yè)在建設信息安全防護體系的時候，單純的進行桌面安全控制或者internet上網(wǎng)行為控制都不能完全杜絕這種行為。而在統(tǒng)一規(guī)劃實施的安全防護體系中，系統(tǒng)從用戶接入的那一時刻開始，就對用戶的桌面行為進行監(jiān)控，同時配合internet上網(wǎng)行為審計設備，對該員工的上網(wǎng)行為進行監(jiān)控和審計，真正做到從員工接入網(wǎng)絡開始的各種操作行為及上網(wǎng)行為都在嚴密的監(jiān)控之中，提升企業(yè)的防護水平。

4.2 建設綜合的VPN接入平臺

無論是IPSec、L2TP，還是SSL VPN，都是企業(yè)在VPN建設過程中必然會遇到的需求。當前階段，總部與分支節(jié)點的接入方式有廣域網(wǎng)專線接入和通過internet接入兩種。使用VPN進行加密數(shù)據(jù)傳輸是通用的選擇。對于部分移動用戶接入，也可以考慮部署SSL VPN的接入方式[2]，在這種情況下，如何做好將多種VPN類型客戶的認證方式統(tǒng)一是需要重點考慮的問題。而統(tǒng)一接入認證的方式，如采用USBKEY等，甚至在設備采購時就可以預先要求設備商使用一臺設備同時支持這些需求。這將給管理員的日常維護帶來極大的方便，從而提升企業(yè)整體的VPN接入水平。

4.3 優(yōu)化安全域的隔離和控制，實現(xiàn)L2～L7層的安全防護

在建設安全邊界防護控制過程中，面對企業(yè)的多個業(yè)務部門和分支機構，合理的安全域劃分將是關鍵。按照安全域的劃分原則，企業(yè)網(wǎng)絡包括內(nèi)部園區(qū)網(wǎng)絡、Internet邊界、DMZ、數(shù)據(jù)中心、廣域網(wǎng)分支、網(wǎng)管中心等組成部分，各安全域之間的相互隔離和訪問策略是防止安全風險的重要環(huán)節(jié)。在多樣化安全域劃分的基礎上，深入分析各安全域內(nèi)的業(yè)務單元，根據(jù)企業(yè)持續(xù)性運行的高低優(yōu)先級以及面臨風險的嚴重程度，設定合適的域內(nèi)安全防護策略及安全域之間的訪問控制策略，實現(xiàn)有針對性的安全防護。例如，選擇FW+IPS等設備進行深層次的安全防護，或者提供防垃圾郵件、Web訪問控制等解決方案進行應對，真正實現(xiàn)L2～L7層的安全防護。

4.4 強調(diào)網(wǎng)絡和安全方案之間的耦合聯(lián)動，實現(xiàn)網(wǎng)絡安全由被動防御到主動防御的轉(zhuǎn)變

統(tǒng)一規(guī)劃的技術方案，可以做到方案之間的有效關聯(lián)，實現(xiàn)設備之間的安全聯(lián)動。在實際部署過程中，在接入用戶側(cè)部署端點準入解決方案，實現(xiàn)客戶端點安全接入網(wǎng)絡。同時啟動安全聯(lián)動的特性，一旦安全設備檢測到內(nèi)部網(wǎng)用戶正在對網(wǎng)絡的服務器進行攻擊，可以實現(xiàn)對攻擊者接入位置的有效定位，并采取類似關閉接入交換機端口的動作響應，真正實現(xiàn)從被動防御向主動防御的轉(zhuǎn)變。

4.5 實現(xiàn)統(tǒng)一的安全管理，體現(xiàn)對整個網(wǎng)安全事件的“可視、可控和可管”

統(tǒng)一建設的安全防護系統(tǒng)，還有一個最為重要的優(yōu)勢，就是能實現(xiàn)對全網(wǎng)安全設備及安全事件的統(tǒng)一管理。面對各種安全設備發(fā)出來的大量的安全日志，單純靠管理員的人工操作是無能為力的，而不同廠商之間的安全日志可能還存在較大的差異，難以實現(xiàn)對全網(wǎng)安全事件的統(tǒng)一分析和報警管理。因此在規(guī)劃之初，就需要考慮到各種安全設備之間的日志格式的統(tǒng)一化，需要考慮設定相關安全策略以實現(xiàn)對日志的歸并分析并最終輸出各種合規(guī)性的報表，只有這樣才能做到對全網(wǎng)安全事件的統(tǒng)一可視、安全設備的統(tǒng)一批量配置下發(fā)，以及整網(wǎng)安全設備的防控策略的統(tǒng)一管理，最終實現(xiàn)安全運行中心管控平臺的建設。[3]

4.6 關注數(shù)據(jù)存儲安全，強調(diào)本地數(shù)據(jù)保護和遠程災難備份相結合

在整體數(shù)據(jù)安全防護策略中，可以采用本地數(shù)據(jù)保護和遠程災備相結合的方式?；贑DP的數(shù)據(jù)連續(xù)保護技術可以很好地解決數(shù)據(jù)本地安全防護的問題，與磁帶庫相比，它具有很多的技術優(yōu)勢。在數(shù)據(jù)庫的配合下，通過連續(xù)數(shù)據(jù)快照功能實現(xiàn)了對重要數(shù)據(jù)的連續(xù)數(shù)據(jù)保護，用戶可以選擇在出現(xiàn)災難后恢復到前面保存過的任何時間點的狀態(tài)，同時支持對“漸變式災難”的保護和恢復。在建設異地的災備中心時，可以考慮從數(shù)據(jù)級災備和應用級災備兩個層面進行。生產(chǎn)中心和異地災備中心的網(wǎng)絡連接方式可以靈活選擇，即可采用光纖直連，也可采用足夠帶寬的IP網(wǎng)絡連接。在數(shù)據(jù)同步方式選擇上，生產(chǎn)中心和災備中心采用基于磁盤陣列的異步復制技術，實現(xiàn)數(shù)據(jù)的異地災備。異地災備中心還可以有選擇地部署部分關鍵應用服務器，以提供對關鍵業(yè)務的應用級接管能力，從而實現(xiàn)對數(shù)據(jù)安全的有效防護。

5.結束語

企業(yè)信息安全防護體系的建設是一個長期的持續(xù)的工作，不是一蹴而就的，就像現(xiàn)階段的信息安全威脅也在不斷的發(fā)展和更新，針對這些信息安全威脅的防護手段也需要逐步的更新并應用到企業(yè)的信息安全建設之中，這種動態(tài)的過程將使得企業(yè)的信息安全防護更有生命力和主動性，真正為企業(yè)的業(yè)務永續(xù)運行提供保障。

參考文獻

[1]李納.計算機系統(tǒng)安全與計算機網(wǎng)絡安全淺析[J].科技與企業(yè)，2013.

[2]李群，周相廣，陳剛.中國石油上游信息系統(tǒng)災難備份技術與實踐[J].信息技術與信息化，2010，06.

第4篇：常見的網(wǎng)絡安全防護手段范文

關鍵詞：Linux服務器；安全隱患；攻擊；防護措施

中圖分類號：TP393.0 文獻標識碼：A

Abstract：Linux system as a mainstream network server is facing increasingly serious security problems，various attacks and vulnerabilities impose devastating losses on businesses.In this paper，we analyze and summarize the security risks of the Linux server according to the safety problem，and researching the familiar attack methods in Linux system.Finally，we represent some effective protective measures combining with the practical experience.

Keywords：Linux server；security risks；attack；protective measures

1 引言（Introduction）

隨著信息技術的廣泛應用，承載企業(yè)重要資料和信息的服務器扮演著極為重要的角色，很多企業(yè)和單位都搭建了服務器，一旦服務器受到破壞或發(fā)生故障，將會給企業(yè)帶來巨大的經(jīng)濟損失，所以服務器的安全是十分重要的。

目前，由于很多具有攻擊性的程序，如病毒、木馬等大多是針對Windows系統(tǒng)開發(fā)，故Linux系統(tǒng)一直被認為是安全穩(wěn)定的，很多大型的網(wǎng)站和公司都傾向于使用Linux操作系統(tǒng)作為服務器平臺。但是安全總是相對的，目前針對Linux系統(tǒng)的入侵和攻擊手段愈來愈多，Linux服務器本身的漏洞也愈來愈多，Linux服務器的安全風險正在日益增長，如何應對千變?nèi)f化的攻擊并保證Linux服務器的安全，已成為至關重要的課題。

本文將詳細分析常見的Linux服務器安全隱患和攻擊手段，并提出一些具體的防護措施。

2 Linux服務器的安全隱患（The security risks of

Linux server）

我們將Linux服務器的安全隱患總結為以下三點：

（1）Linux系統(tǒng)自身的安全漏洞；

（2）Linux服務的安全隱患；

（3）Linux的網(wǎng)絡安全隱患。

下面詳細分析這三點隱患。

2.1 Linux系統(tǒng)自身的安全漏洞

任何系統(tǒng)都不是絕對完美的，Linux系統(tǒng)也是如此，隨著Linux應用的復雜化和開源化，Linux操作系統(tǒng)自身的漏洞也逐漸增多，我們將其分為以下幾點：

（1）Linux賬號漏洞

Linux賬號漏洞也可以稱為權限提升漏洞，這類漏洞一般都是來自系統(tǒng)自身或程序的缺陷，使得攻擊者可以在遠程登錄時獲得root管理員權限。以RedHat系統(tǒng)為例，其某個版本曾經(jīng)存在賬號漏洞，使得黑客入侵系統(tǒng)時通過執(zhí)行特定的腳本可以輕松獲得root級別的權限。此外，如果普通用戶在重啟系統(tǒng)后通過單用戶模式進入Linux系統(tǒng)，通過修改Passwd賬號文件，也可以獲取root權限。

（2）Linux文件系統(tǒng)漏洞

Linux文件系統(tǒng)的安全保障是靠設置文件權限來實現(xiàn)的。Linux的文件權限包括三個屬性，分別是所有者，用戶組和其他人的權限，權限包括讀、寫、執(zhí)行、允許SUID、允許SGID等。黑客會利用SUID和SGID獲得某些程序的運行權限。另外黑客還可能修改一些可執(zhí)行文件的腳本，讓用戶在登錄時執(zhí)行從而達到破壞系統(tǒng)的目的。

（3）Linux內(nèi)核漏洞

系統(tǒng)內(nèi)核出現(xiàn)漏洞往往是很危險的，Linux的內(nèi)核短小精悍、穩(wěn)定性和擴展性好，但是其內(nèi)核的漏洞卻不少。例如2003年9月份被發(fā)現(xiàn)的do_brk（）邊界檢查不充分漏洞可以使攻擊者可以繞過系統(tǒng)安全防護，直接對內(nèi)核區(qū)域進行操作。再比如Linux內(nèi)核中的整數(shù)溢出漏洞會導致內(nèi)核中的數(shù)據(jù)被破壞，從而使得系統(tǒng)崩潰。

2.2 Linux服務的安全隱患

Linux系統(tǒng)上的服務種類繁多，其中網(wǎng)絡服務最為重要，網(wǎng)絡服務主要用來搭建各種服務器，下面我們就針對不同的網(wǎng)絡服務探討Linux系統(tǒng)的安全隱患。

（1）Apache服務的安全隱患

Apache是最為常見的開源WEB網(wǎng)站服務器程序，如果Apache服務出現(xiàn)漏洞將會對網(wǎng)站造成極大的威脅。目前Apache服務漏洞主要包括拒絕服務攻擊、文件描述符泄露、日志記錄失敗等問題。

一些Apache服務的模塊也可能存在漏洞，例如Apache的線程多處理模塊（MPM）和Apache mod_cache模塊中的cache_util.c可以引發(fā)服務器系統(tǒng)的崩潰。

（2）BIND域名服務的安全隱患

很多Linux域名服務器都采用BIND（Berkeley Internet Name Domain）軟件包，據(jù)統(tǒng)計互聯(lián)網(wǎng)上的DNS服務器有一半以上用的是有漏洞的BIND版本。常見的BIND漏洞有：solinger bug，黑客可以利用其讓BIND服務產(chǎn)生間隔為120秒以上的暫停；fdmax bug，可以造成DNS服務器的崩潰；nxt bug，允許黑客以運行DNS服務的身份（默認為root）進入系統(tǒng)。

（3）SNMP服務的安全隱患

SNMP的全稱是簡單網(wǎng)絡管理協(xié)議，Linux中SNMP服務的作用是管理監(jiān)控整個核心網(wǎng)絡，黑客利用SNMP的漏洞可以控制整片區(qū)域的網(wǎng)絡。常見的SNMP漏洞有：Net-SNMP安全漏洞，黑客通過發(fā)送畸形的SNMP報文使服務器程序發(fā)生溢出，而導致系統(tǒng)崩潰[1]；SNMP口令漏洞，SNMPv1版本使用明文口令，默認情況下系統(tǒng)自動開啟并使用默認口令public，這是很多管理者經(jīng)常忽略的問題[2]。

2.3 Linux的網(wǎng)絡安全隱患

Linux作為網(wǎng)絡操作系統(tǒng)，要頻繁的與網(wǎng)絡交互數(shù)據(jù)包，很多數(shù)據(jù)包經(jīng)過偽裝進入系統(tǒng)內(nèi)部，會給系統(tǒng)帶來破壞。較為常見的Linux網(wǎng)絡安全隱患有：

（1）口令隱患

口令是操作系統(tǒng)的首道屏障，黑客入侵服務器的第一步往往就是破解口令。Linux操作系統(tǒng)的口令以文件的形式保存在系統(tǒng)中，例如RedHat版本中口令保存在/etc/passwd中。如果文件中存在不設口令或者弱口令的賬號，就很容易被黑客破解。

（2）TCP/IP隱患

TCP/IP協(xié)議棧是網(wǎng)絡操作系統(tǒng)內(nèi)核中的重要模塊，從應用層產(chǎn)生的網(wǎng)絡數(shù)據(jù)都要經(jīng)過TCP/IP協(xié)議的逐層封裝才能發(fā)送到網(wǎng)絡中去。當協(xié)議棧收到一些特殊的網(wǎng)絡數(shù)據(jù)時就會發(fā)生異常。例如TCP模塊收到SYN報文后，會回復一個ACK報文并稍帶自己的SYN序號，這時如果黑客再回復一個RST報文，服務器就會重置TCP信息，這樣黑客就可以在不暴露自己信息情況下對服務器進行端口掃描。

還有一些黑客給服務器的某個端口發(fā)送大量的SYN報文，而自己不回復確認，這樣就會消耗服務器的資源而造成其癱瘓[3]。

3 針對Linux服務器的攻擊手段（The means of

attack to Linux server）

在信息安全領域，攻擊是指在未經(jīng)授權的情況下進入信息系統(tǒng)，對系統(tǒng)進行更改、破壞或者竊取信息等行為的總稱。在Linux服務器中，攻擊行為主要可以概括為：

（1）口令入侵：對于一些采用弱口令的賬戶，黑客可以很輕松的通過暴力破解窮舉口令以獲得賬戶的權限。目前有很多口令破解的工具，例如字典破解工具將常見的口令和有意義的詞組錄入到字典庫中，破解的時候優(yōu)先選擇這些常見的口令，可以大大的減少窮舉的時間。另外，隨著計算機處理能力的發(fā)展，口令破解對于普通人來說已經(jīng)不是難事，如果口令長度不長，組合不復雜，破解時間都在可以接受的范圍內(nèi)。

（2）木馬病毒：木馬病毒是指植入到計算機系統(tǒng)中可以破壞或竊據(jù)機密信息的隱藏程序，木馬一般常見于客戶端主機，但也可能潛伏在Linux服務器中，例如Linux.Plupii.C木馬可以通過系統(tǒng)漏洞傳播，打開服務器的UDP端口27015以允許黑客遠程控制服務器。

（3）端口掃描：端口掃描是黑客入侵服務器的第一步，通過端口掃描，黑客可以獲知服務器的相關信息。端口是應用層網(wǎng)絡進程的標識，入侵計算機系統(tǒng)的實質(zhì)是入侵系統(tǒng)中的進程，所以獲知端口是否開啟后才能實施真正的攻擊。端口掃描的原理是利用系統(tǒng)的網(wǎng)絡漏洞，繞過防火墻并獲得服務器的回復，例如常見的S掃描就是利用TCP建立連接時三次握手的漏洞，在最后一次握手時發(fā)給服務器重置命令，在獲得服務器端口信息后讓服務器刪除和自己相關的連接信息。

（4）拒絕服務攻擊：拒絕服務攻擊是指通過某種手段使得服務器無法向客戶端提供服務，拒絕服務攻擊可能是最不容易防護的攻擊手段，因為對于服務器而言向外提供服務的形式是開放的，我們很難判斷請求服務的主機是否為入侵者，當大量的主機發(fā)送請求時，服務器就會因為資源耗光而陷入癱瘓。

（5）緩沖區(qū)溢出：緩沖區(qū)溢出是指經(jīng)過精心設計的程序?qū)⑾到y(tǒng)內(nèi)執(zhí)行程序的緩沖區(qū)占滿而發(fā)生溢出，溢出的數(shù)據(jù)可能會使系統(tǒng)跳轉(zhuǎn)執(zhí)行其他非法程序或造成系統(tǒng)崩潰。緩沖區(qū)溢出的原因是程序員編寫程序時沒有檢查數(shù)據(jù)長度造成的。

（6）僵尸網(wǎng)絡：僵尸網(wǎng)絡是指受黑客控制的大量主機，這些主機可以同時對一個服務器發(fā)起攻擊，而自身卻不知情。這種攻擊手段是很隱秘的，很難查到攻擊者的真實身份。

（7）網(wǎng)絡監(jiān)聽：網(wǎng)絡監(jiān)聽是指通過某種手段截獲主機之間的通信數(shù)據(jù)以獲得口令等重要信息。一些常見網(wǎng)絡監(jiān)聽工具可以解析網(wǎng)段內(nèi)的所有數(shù)據(jù)，此時如果主機之間的通信是明文傳輸?shù)?，黑客就可輕而易舉地讀取包括口令在內(nèi)的所有信息資料。

（8）網(wǎng)絡欺騙：網(wǎng)絡欺騙包括IP地址欺騙、WWW欺騙、DNS欺騙、ARP欺騙等一系列欺騙方法。其主要目的是通過虛假的網(wǎng)絡信息欺騙目的主機，已達到擾亂通信的目的。

4 Linux服務器的防護措施（The protective

measures of Linux server）

針對以上漏洞和攻擊，Linux服務器的防護措施主要可以分為系統(tǒng)安全防護和網(wǎng)絡安全防護兩類，下面逐一介紹：

4.1 Linux系統(tǒng)安全防護措施

（1）系統(tǒng)賬號及口令安全：對于網(wǎng)絡服務器而言，很多賬戶都是不必要的，賬號越多，系統(tǒng)就越易受攻擊。所以應該最大限度的刪除多余賬戶，并對用戶賬號設置安全級別，以保證每個賬號的權限都被限制在被允許的范圍內(nèi)。

另外還要確保每個已有賬戶都設置了復雜度高的口令，口令的復雜度設置可以通過修改/etc/login.defs文件來實現(xiàn)，其中的PASS_MAX_DAYS表示密碼最長的過期天數(shù)，PASS_MIN_DAYS用來設置密碼最小的過期天數(shù)，PASS_MIN_LEN表示密碼最小的長度，PASS_WARN_AGE表示密碼過期后的警告天數(shù)。

口令文件的安全性也至關重要，我們可以通過chattr命令給口令文件加入只讀屬性：chattr+i/etc/passwd，這樣口令文件就不能隨意被修改了。

（2）文件安全設置：Linux的文件系統(tǒng)提供了訪問控制的功能，訪問控制的客體是文件和目錄，主體是用戶，包括文件或目錄的所有者，用戶所在組及其他組。訪問控制的操作包括讀（r）、寫（w）和執(zhí)行（x），管理員根據(jù)不同的權限設置關于主體的能力表以及關于客體的訪問控制列表。

（3）系統(tǒng)日志：Linux服務器的系統(tǒng)日志也是應該被關注的設置，因為日志文件詳細的記錄了系統(tǒng)發(fā)生的各類事件，例如系統(tǒng)的錯誤記錄，每次用戶登錄系統(tǒng)記錄，各種服務的運行記錄以及網(wǎng)絡用戶的訪問記錄等等。如果服務器遭受到攻擊，管理員可以通過日志追蹤到黑客留下的痕跡，另外，當涉及到法律糾紛時，系統(tǒng)日志經(jīng)過專業(yè)人員提取還可以作為電子證據(jù)。

（4）服務安全：Linux服務器中往往開啟了很多服務，首先應該確定的是哪些服務是不必要的，可以通過chkconfig命令關閉系統(tǒng)自啟動的服務。接下來要在必須啟動的服務中找到存在的風險，例如apache服務的目錄瀏覽功能會使訪問者進入網(wǎng)站的根目錄，并能瀏覽其中的所有文件。

（5）安全工具：Linux服務器中帶有很多安全工具方便管理員的使用，例如SSH可以加密傳輸數(shù)據(jù)，Tcpdump可以用來檢查網(wǎng)絡通訊的原始數(shù)據(jù)。

4.2 Linux網(wǎng)絡安全防護措施

Linux網(wǎng)絡服務器也采用了傳統(tǒng)的網(wǎng)絡安全防護手段，即防火墻與入侵檢測系統(tǒng)。防火墻是保護內(nèi)網(wǎng)的屏障，它過濾并分析網(wǎng)絡數(shù)據(jù)包，阻止有威脅的數(shù)據(jù)進入；入侵檢測是內(nèi)網(wǎng)和系統(tǒng)內(nèi)部的監(jiān)控器，它分析異常數(shù)據(jù)并作出報警，有些入侵檢測還會與防火墻聯(lián)動，一同保護服務器的安全。Linux系統(tǒng)中的Iptables和Snort是比較成熟的防火墻和入侵檢測系統(tǒng)，下面我們逐一介紹：

（1）防火墻：Iptables，目前使用的最新版本是Linux 2.4內(nèi)核中的Netfilter/Iptables包過濾機制[4]。Iptables包括三個功能表，分別完成數(shù)據(jù)包過濾、網(wǎng)絡地址轉(zhuǎn)換和數(shù)據(jù)拆分的任務。每個表中有若干規(guī)則連：這五個位置也被稱為五個鉤子函數(shù)（hook functions），也叫五個規(guī)則鏈：PREROUTING（路由前）、INPUT（數(shù)據(jù)包流入鏈）、FORWARD（轉(zhuǎn)發(fā)鏈）、OUTPUT（數(shù)據(jù)包出口鏈）、POSTROUTING（路由后），不同的鏈用于不同位置的數(shù)據(jù)，每個鏈中又可以包含若干條規(guī)則[5]。

（2）入侵檢測：Snort是一個免費的輕量級網(wǎng)絡入侵檢測系統(tǒng)。它能兼容多個不同的操作系統(tǒng)平臺，可以用于監(jiān)視小型網(wǎng)絡或者服務器系統(tǒng)內(nèi)部的服務，在進行網(wǎng)絡監(jiān)控時Snort可以將網(wǎng)絡數(shù)據(jù)與入侵檢測規(guī)則做模式匹配，從而檢測出可能的入侵數(shù)據(jù)，同時Snort也可以使用統(tǒng)計學的方法對網(wǎng)絡數(shù)據(jù)進行異常檢測[6]。

5 結論（Conclusion）

針對Linux的攻擊手段日益增多，Linux服務器的安全隱患也隨之增大，對于企業(yè)而言，總結出一整套有效且規(guī)范的防護措施是極為必要的。本文結合實際工作經(jīng)驗，分析并總結了Linux服務器存在的安全隱患和常見的攻擊手段，提出了一些措施與方法。

參考文獻（References）

[1] 思科系統(tǒng)公司.網(wǎng)絡互聯(lián)故障排除手冊[R].北京：電子工業(yè)出版社，2002：120-125.

[2] 胡冠宇，陳滿林，王維.SNMP網(wǎng)絡管理安全性研究與應用[J].哈爾濱師范大學自然科學學報，2010，26（3）：95-98.

[3] 劉曉萍.Linux2.4內(nèi)核TCP/IP協(xié)議棧安全性研究[D].中國人民信息工程大學，2004：10-11.

[4] 董劍安，王永剛，吳秋峰.iptables防火墻的研究與實現(xiàn)[J].計算機工程與應用，2003，39（17）：161-163.

[5] 王波.Linux網(wǎng)絡技術[M].北京：機械工業(yè)出版社，2007.

[6] 郭兆豐，徐興元，刑靜宇.Snort在入侵檢測系統(tǒng)中的應用[J].大眾科技，2007（2）：69-71.

作者簡介：

第5篇：常見的網(wǎng)絡安全防護手段范文

1.計算機網(wǎng)絡信息安全概述

計算機網(wǎng)絡信息安全是指在網(wǎng)絡環(huán)境中使用網(wǎng)絡控制技術保障網(wǎng)絡數(shù)據(jù)的完整性進、實用性和安全性。通常情況下，人們所講的計算機網(wǎng)絡信息安全主要有兩方面的內(nèi)容：第一，邏輯上的安全，這點指的是網(wǎng)絡環(huán)境中能保護好網(wǎng)絡信息數(shù)據(jù)[1]。第二，物理上的安全，主要是防止人為丟失或損壞計算機網(wǎng)絡設備。影響計算機網(wǎng)絡信息安全的因素較多，有一些是偶然因素，但更多的都是人為因素，且一般人為因素的危害性會更大一些，比如黑客，就是利用計算機網(wǎng)絡中的漏洞進行攻擊，經(jīng)過非法途徑獲取網(wǎng)絡數(shù)據(jù)，甚至有時候黑客還制造一些破壞性很大的病毒程序，對計算機進行惡意攻擊，導致嚴重后果。為此，做好計算機網(wǎng)絡信息的安全防護工作非常重要。

2.安全威脅問題在計算機網(wǎng)絡中的表現(xiàn)

第一，從自然災害系統(tǒng)安全性的影響情況看。計算機信息系統(tǒng)運行中，外界環(huán)境因素對其影響極為明顯，如常見的環(huán)境沖擊、環(huán)境振動、環(huán)境濕度以及環(huán)境溫度等。若計算機應用中，其所處空間未設置相應的防護手段如抗電磁干擾、防雷、防水、防火與防地震等，這樣一旦有意外性事故或自然災害出現(xiàn)時，計算機系統(tǒng)將不具備較強的防御能力，安全性自然受到影響。

第二，從計算機網(wǎng)絡脆弱性特征方面分析。盡管 Internet 技術應用下，表現(xiàn)出明顯的實用性、開放性等優(yōu)勢，但其帶來的安全性問題也極為突出，整個網(wǎng)絡易受到惡意攻擊。同時，網(wǎng)絡技術的實現(xiàn)要求以 TCP/IP 協(xié)議作為依托，這樣協(xié)議方面安全性的缺失，也為安全威脅的入侵提供便利[2]。如當前常見的惡意篡改、數(shù)據(jù)截取或惡意攻擊等，多通過協(xié)議入侵到用戶計算機系統(tǒng)中。

第三，惡意破壞行為的存在?，F(xiàn)行網(wǎng)絡攻擊的手段具有多樣性特征，較多不法分子會利用相應的軟件或病毒對他人電腦進行訪問，以此達到利益獲取目標。病毒入侵與惡意攻擊是最要的表現(xiàn)形式。以計算機病毒為例，其一般多被存儲于具體文件、數(shù)據(jù)或程序中，假定這些數(shù)據(jù)或程序被觸發(fā)，病毒便會發(fā)揮的其破壞性、傳染性特點，輕則影響系統(tǒng)運行效率，嚴重情況下將對計算機硬件帶來損傷，且較多重要數(shù)據(jù)文件都會丟失。而對于惡意攻擊，其又可細化為主動、被動攻擊方式，前者側(cè)重于對網(wǎng)絡信息有選擇性的進行破壞，而后者多不會對計算機網(wǎng)路運行帶來影響，直接完成破譯、竊取與截獲信息過程。此外，也有不法分子會通過電子郵件發(fā)送形式，強迫對方接受文件，盡管這種垃圾郵件不會對計算機系統(tǒng)產(chǎn)生破壞，但其采取的廣告宣傳形式或?qū)τ脩粜畔⑦M行竊取。

第四，計算機軟件漏洞與人員操作失誤。計算機軟件設計中，本身有較多不足之處，需在實際使用中不斷更新升級，這些不足之處將為黑客的入侵提供可能。同時，部分用于在利用計算機網(wǎng)絡中也不具備較強的安全意識，即使引入相關的安全口令，但因過于簡單而被他人破譯，由此便導致網(wǎng)絡易被惡意攻擊。或部分用戶在操作中，對非法網(wǎng)站訪問、下載不安全軟件等，這些行為容易為網(wǎng)絡安全帶來威脅。

3.計算機網(wǎng)絡信息安全的防護策略

3.1 完善賬號安全管理

在現(xiàn)代的計算機網(wǎng)絡信息系統(tǒng)中，賬號涉及的范圍非常廣，常見的就是網(wǎng)絡登錄賬號、QQ賬號、郵箱賬號以及網(wǎng)絡銀行賬號等。在當前的非法攻擊中最主要的對象就是賬號和賬號的登錄密碼獲取。為防止此類安全事故的出現(xiàn)，要把握以下兩個基本要點：第一，提高賬號安全管理意識，在賬號的密碼設置中盡量設置復雜度高一些的密碼，最重要的是一定不能泄露密碼；第二，密碼設置時應用特殊符號，以防出現(xiàn)設置過于簡單或者出現(xiàn)密碼雷同情況，必要時應該定期更改密碼。

3.2 應用防病毒軟件

為滿足社會高速發(fā)展的要求，計算機網(wǎng)絡技術一直在持續(xù)發(fā)展，與此同時衍生的病毒復雜程度也在提高，進而嚴重影響了計算機的網(wǎng)絡信息安全，因此應用合適的防病毒軟件就很有必要，常見的防病毒軟件主要是適合單機的和適合聯(lián)網(wǎng)的，應用于單機的防病毒軟件安裝在單臺PC端，經(jīng)過本地工作站遠程掃描進行計算機的病毒掃描和清理；聯(lián)網(wǎng)的比較復雜，聯(lián)網(wǎng)的防病毒軟件，一旦病毒入侵計算機，防病毒軟件就能立即檢測并進行刪除，以防傳播給其他計算機。

3.3 應用防火墻技術

隨著計算機網(wǎng)絡信息安全問題復雜性的升高，防火墻技術也相應的提升，并研制了新型防火墻技術。這種新型防火墻把多種防火墻的優(yōu)點綜合在一起，新型防火墻技術的應用有效地提高了網(wǎng)絡信息數(shù)據(jù)的安全性，提高了攔截病毒技術水平，目前常見的就是智能型和分布式防火墻這兩種新技術。

3.4 應用漏洞補丁程序

網(wǎng)絡系統(tǒng)如果存在漏洞就會成為被攻擊的弱點，系統(tǒng)的漏洞包含的方面也很多，有硬件上的，也有軟件上的以及程序上的，有時候網(wǎng)絡配置不合適或者是網(wǎng)絡設計不當也會造成網(wǎng)絡漏洞問題。為解決上述問題，很多軟件廠商了補丁程序。在因程序問題造成的漏洞中使用漏洞補丁程序是非常有效的。此外，做好漏洞的檢測也是很重要的，常用的檢測程序主要有COPS軟件和tiger軟件。

3.5 建立完善的網(wǎng)絡入侵檢測系統(tǒng)

網(wǎng)絡入侵檢測系統(tǒng)其實可以看成是對防火墻技術的進一步補充。網(wǎng)絡入侵檢測系統(tǒng)主要進行的是計算機的實時網(wǎng)絡流量和網(wǎng)絡行為的檢測，對那些違反安全防護策略的流量和行為及時報警。網(wǎng)絡入侵檢測系統(tǒng)是一種從警告到防護、取證的技術方式。網(wǎng)絡入侵檢測系統(tǒng)的最主要作用就是進行關鍵信息的實時監(jiān)控，比如現(xiàn)在常用的平安城市、平安校園中的視頻監(jiān)控系統(tǒng)都屬于網(wǎng)絡入侵檢測系統(tǒng)，通過該系統(tǒng)能隨時監(jiān)視周圍情況，以此保障網(wǎng)絡系統(tǒng)的安全。網(wǎng)絡入侵檢測系統(tǒng)還有很好的嗅覺，使用旁路形式偵聽數(shù)據(jù)流，再經(jīng)過實時檢測分析發(fā)現(xiàn)異常行為同時作出反饋。網(wǎng)絡入侵檢測系統(tǒng)還能對暴力猜測、蠕蟲病毒等進行實時檢測，然后和防火墻聯(lián)動運行動態(tài)防御。

第6篇：常見的網(wǎng)絡安全防護手段范文

關鍵詞:計算機無線網(wǎng)絡;穩(wěn)定性;網(wǎng)絡安全維護

自我國網(wǎng)絡建設以來網(wǎng)絡安全問題就一直存在，此類問題對網(wǎng)絡用戶網(wǎng)絡應用質(zhì)量存在直接影響，且某些問題帶有非法性目的，可能造成網(wǎng)絡信息安全風險，因此在任何網(wǎng)絡環(huán)境中都要注重網(wǎng)絡安全維護。但計算機無線網(wǎng)絡與傳統(tǒng)有線網(wǎng)絡存在較大區(qū)別，其中影響網(wǎng)絡穩(wěn)定性的因素、方式等也存在差異，這時就不能使用有線網(wǎng)絡安全維護手段對無線網(wǎng)絡穩(wěn)定性進行維護，需要采用針對性的方法，對此進行研究具有一定現(xiàn)實意義。

1 計算機無線網(wǎng)絡穩(wěn)定性影響

計算機無線網(wǎng)絡穩(wěn)定性具有兩個表現(xiàn)形式，其一無線網(wǎng)絡通信質(zhì)量方面的穩(wěn)定性，其二無線網(wǎng)絡安全防護方面的穩(wěn)定性，這兩點在無線網(wǎng)絡用戶角度上都非常重要，任意一方出現(xiàn)問題都會對用戶造成負面影響［1 －2 ］。首先在無線網(wǎng)絡通信質(zhì)量穩(wěn)定性上，因為無線網(wǎng)絡是依靠信號發(fā)射端與接收端之間的信號通信來實現(xiàn)網(wǎng)絡連接的，所以當兩端之間的信號通信渠道受到干擾時就會導致通信質(zhì)量問題，說明通信穩(wěn)定性不足，具體表現(xiàn)為頻繁瞬時斷網(wǎng)、網(wǎng)傳速率波幅大、長時間斷網(wǎng)但又會自己恢復等，這些現(xiàn)象對于網(wǎng)絡用戶而言會導致用戶網(wǎng)絡體驗極差，難以利用網(wǎng)絡來完成一系列的通信操作，這即為無線網(wǎng)絡通信質(zhì)量穩(wěn)定性不足的影響。其次在無線網(wǎng)絡安全防護穩(wěn)定性上，與傳統(tǒng)有線網(wǎng)絡一樣，計算機無線網(wǎng)絡同樣可能被惡意入侵，而一旦網(wǎng)絡被入侵就會導致用戶在網(wǎng)絡環(huán)境中遇到干擾，網(wǎng)絡無法為用戶提供正常服務，轉(zhuǎn)而為入侵者提供服務，且大概率造成用戶信息損失，這即為無線網(wǎng)絡通信質(zhì)量穩(wěn)定性不足的表現(xiàn)與影響。值得注意的是，兩個計算機無線網(wǎng)絡穩(wěn)定性表現(xiàn)形式中，無線網(wǎng)絡通信質(zhì)量穩(wěn)定性在正常情況下往往是因為入侵手段而出現(xiàn)穩(wěn)定的，說明通過網(wǎng)絡安全維護，可以同時保障無線網(wǎng)絡通信質(zhì)量及網(wǎng)絡安全穩(wěn)定性。由此可見，對計算機無線網(wǎng)絡進行安全維護是必要舉措，相關人員應當針對無線網(wǎng)絡正確選擇維護方法，“對癥下藥”的保障無線網(wǎng)絡穩(wěn)定性。總體而言，如何在計算機無線網(wǎng)絡中選擇正確的安全維護方法，是保障網(wǎng)絡穩(wěn)定的主要途徑，而要確保方法正確就必須先了解無線網(wǎng)絡中的穩(wěn)定性影響因素，明確維護方向與計劃，這是計算機無線網(wǎng)絡安全維護的要點，相關人員應當引起重視。

2 常見影響計算機無線網(wǎng)絡穩(wěn)定性的因素

2 ．1 無線竊聽

無線竊聽是指竊聽者在有意為之的情況下，利用網(wǎng)絡竊聽設備對網(wǎng)絡通信渠道進行入侵，這樣既可獲取或截取渠道內(nèi)的信息，隨之又可以根據(jù)自己的目的對這些信息進行惡意操作，是典型的威脅計算機無線網(wǎng)絡安全穩(wěn)定性的因素［3 ］。無線竊聽在現(xiàn)代無線網(wǎng)絡環(huán)境中非常常見，尤其在公用無線網(wǎng)絡等具有一定公開性的無線網(wǎng)絡環(huán)境中更加突出，其原因就在于此類網(wǎng)絡的公開性使得任何人都可以進入無線網(wǎng)絡環(huán)境，其中的通信渠道是對外開放的，因此使得竊聽者的竊聽行為開展更加方便，代表無線網(wǎng)絡的出現(xiàn)給予了竊聽便利，最終對無線網(wǎng)絡安全穩(wěn)定性造成了負面影響。此外值得注意的是，無線竊聽因素的影響雖然在公開性無線網(wǎng)絡中比較突出，但不代表其對一些私用網(wǎng)絡就沒有威脅，在某些特殊情況下，竊聽者可以采用同樣的方式來進行竊聽，而因為私用網(wǎng)絡的私密性，用戶往往會將隱私信息存放在該網(wǎng)絡中，所以一旦私用無線網(wǎng)絡被竊聽，往往會造成比公用網(wǎng)絡無線竊聽更嚴重的后果，因此在網(wǎng)絡安全維護中必須對無線竊聽進行防護。

2 ．2 非法接入

非法接入就是某人在未經(jīng)許可的情況下連接上了無線網(wǎng)絡信號，由此進入了無線網(wǎng)絡環(huán)境，并可以正常使用網(wǎng)絡功能，而通過這種方式接入計算機無線網(wǎng)絡的都是“黑客”一類的人，一旦此類人員接入無線網(wǎng)絡，就可能在其中種植病毒、木馬程序等，隨之可能導致整個無線網(wǎng)絡陷入癱瘓，并威脅到用戶隱私安全。在計算機無線網(wǎng)絡環(huán)境中，非法接入的難度要遠低于有線網(wǎng)絡，如比較常見的非法接入方式有:(1)利用無線網(wǎng)絡的自動信息查找功能，可以搜索到無線網(wǎng)絡的相關信息，最終實現(xiàn)非法接入。(2)在接入者有AP的情況下，接入者可以隨意地進入無線網(wǎng)絡環(huán)境，而AP獲取又相對簡單，因此大概率會對用戶造成損失。非法接入的影響同樣非常嚴重，且這種方式的操作更加便捷，對計算機無線網(wǎng)絡安全穩(wěn)定性的影響很大，如果不加以防范，容易造成嚴重后果，因此必須對此類因素進行防護，做好網(wǎng)絡安全維護工作［4 －5 ］。

2 ．3 信息篡改

信息篡改是一種誘導性的影響因素，具有兩種表現(xiàn)形式，即自動型與人工型，其中前者往往會對計算機無線網(wǎng)絡通信質(zhì)量穩(wěn)定性造成影響，而后者主要威脅無線網(wǎng)絡安全穩(wěn)定性。首先在自動型信息篡改中，某些“黑客”會設計一個類似蠕蟲病毒的程序，該程序會在互聯(lián)網(wǎng)中搜尋相關信息，隨之根據(jù)“黑客”所設計的功能，病毒程序會對搜集到的信息進行篡改，利用篡改后的錯誤―92 ―無線互聯(lián)科技WirelessInternetTechnology信息欺騙用戶，誘導其進入具有風險的無線網(wǎng)絡環(huán)境中，而這種方式因為功能有限，所以往往只能用于破壞網(wǎng)絡通信連接，對無線網(wǎng)絡通信質(zhì)量穩(wěn)定性造成影響。其次在人工型信息篡改中，其基本運作原理與自動型一樣，但區(qū)別在于只要用戶進入了風險環(huán)節(jié)，人工就可以通過自己的操作去進一步的實現(xiàn)非法目的，如盜取隱私信息、發(fā)送木馬程序等。

2 ．4 重傳攻擊

重傳攻擊是一種綜合性較強的影響因素，其包含了無線竊聽與信息篡改誘導性的特征。在重傳攻擊機制上，首先“黑客”一類人員要通過相關方法對無線網(wǎng)絡進行竊聽，此舉同時也代表此類人員進入了無線網(wǎng)絡環(huán)境，其次通過信息篡改的誘導性吸引用戶也進入風險網(wǎng)絡環(huán)境，再向他們不斷地發(fā)送引導信息，只要用戶點擊了相關程序就會導致病毒、木馬等程序進入計算機，是計算機無線網(wǎng)絡安全穩(wěn)定性受到負面影響。例如某人利用以上方式對某個無線網(wǎng)絡進行了竊聽，當有用戶連接該無線網(wǎng)絡，進入網(wǎng)絡環(huán)境后，向其發(fā)送了“該網(wǎng)絡需認證后才可使用”的誘導信息(誘導信息來源于信息篡改)，這樣用戶為了能使用網(wǎng)絡大概率會前往竊聽人員提供的認證窗口填寫相關信息，包括姓名、聯(lián)系方式、身份證號碼等隱私信息，這些信息一旦填寫完畢就會被竊聽人員獲取，帶來了隱私信息泄露風險，影響了計算機無線網(wǎng)絡的安全穩(wěn)定性。

3 計算機無線網(wǎng)絡安全維護策略

為了保障計算機無線網(wǎng)絡穩(wěn)定性及通信質(zhì)量穩(wěn)定性，相關人員應當采用正確策略開展無線網(wǎng)絡安全維護工作。對此下文將提出相關維護策略，分別為身份認證機制應用、默認設置更改、信息監(jiān)督維護，各策略如下。

3 ．1 身份認證機制應用

面對以上四類計算機無線網(wǎng)絡穩(wěn)定性影響因素，在計算機無線網(wǎng)絡安全維護中能夠應用身份認證機制能夠有效對這些因素進行防護。身份認證機制就是要求用戶在連接網(wǎng)絡時填寫認證信息，再根據(jù)填寫信息進行驗證，如果驗證通過才可以使用網(wǎng)絡的一種機制，這種機制在以上“重傳攻擊”舉例中已有描述，但區(qū)別在于當該機制被網(wǎng)絡安全維護所用，其功能就不再是誘導用戶，而是真實的核查用戶身份，如果用戶對無線網(wǎng)絡存在惡意，便不可能用自身真實信息進行認證，否則一旦出現(xiàn)問題將會被追查，但當填寫信息不真實，又無法通過認證機制，不能實現(xiàn)網(wǎng)絡入侵，后續(xù)的竊聽、接入、篡改、重傳都不可能實現(xiàn)，說明利用該機制能夠?qū)τ嬎銠C無線網(wǎng)絡安全穩(wěn)定性進行保障，也間接保護了無線網(wǎng)絡通信質(zhì)量。

3 ．2 默認設置更改

默認設置更改是很多計算機無線網(wǎng)絡安全維護中被忽略的一項策略，即很多網(wǎng)絡安全維護人員認為默認設置已經(jīng)考慮到了無線網(wǎng)絡安全［6 ］，沒有必要進行更改，而事實上默認設置來源于計算機生產(chǎn)廠家，他們在默認設置設計時更重視計算機網(wǎng)絡應用的便捷性，因此并不會過多考慮無線網(wǎng)絡安全問題，這時如果不對默認設置更改，計算機很容易在無線網(wǎng)絡環(huán)境中遭到攻擊，網(wǎng)絡安全穩(wěn)定性受到影響。針對這一點，建議相關人員對計算機默認設置進行更改，在其中使用MAC地址過濾、安全口令等安全防護設置來保護計算機無線網(wǎng)絡安全，提高其穩(wěn)定性。

3 ．3 信息監(jiān)督維護

現(xiàn)實角度上，計算機無線網(wǎng)絡安全穩(wěn)定性影響因素是無法被完全防護的，“黑客”總是能通過各種方法來實現(xiàn)竊聽等操作，這時就需要網(wǎng)絡安全維護相關人員做好信息監(jiān)督維護工作。如果發(fā)現(xiàn)無線網(wǎng)絡環(huán)境中存在異常信息，就必須對此類信息進行修正，若短時間內(nèi)無法處理異常信息，則有必要對信息所代表的程序、代碼等進行限制，甚至暫停無線網(wǎng)絡使用，由此可保障計算機無線網(wǎng)絡安全穩(wěn)定性。

4 結語

綜上，本文對計算機無線網(wǎng)絡的穩(wěn)定性與網(wǎng)絡安全維護進行了分析，闡述了計算機無線網(wǎng)絡穩(wěn)定性的影響、常見影響因素，最后提出了網(wǎng)絡安全維護策略。通過文中策略，能夠有效對常見影響因素進行防護，起到直接保障計算機無線網(wǎng)絡安全穩(wěn)定性、間接提高網(wǎng)絡通信質(zhì)量穩(wěn)定性的作用。

參考文獻

［1 ］李陽陽．論述計算機網(wǎng)絡安全構建及防護［J］．計算機產(chǎn)品與流通，2019(8):68 ．

［2 ］陳晗．淺析計算機網(wǎng)絡安全的影響因素與防范措施［J］．計算機與網(wǎng)絡，2019(6):59 ．

［3 ］閔勝利．影響計算機網(wǎng)絡安全的因素及應對策略［J］．現(xiàn)代工業(yè)經(jīng)濟和信息化，2016(8):88 －89 ．

［4 ］李林，呂俊虎，趙鑫．探究影響計算機網(wǎng)絡安全的因素及應對措施［J］．數(shù)碼世界，2019(7):252 ．

第7篇：常見的網(wǎng)絡安全防護手段范文

關鍵詞：網(wǎng)絡安全；入侵；策略

每年夏天在拉斯維加斯有一個秘密的黑客大會（DEFCON）舉行。這些人致力于獲取和進入別人一直試圖竭力保護的信息和信息系統(tǒng)。2007年，焦點更多地集中在ID（身份或口令）竊取和數(shù)據(jù)操作，因為識別出ID后，可以通過許多的網(wǎng)絡技術防御措施。2008年，充分運用公開的軟件和網(wǎng)絡，作為收集信息、竊取ID和根據(jù)用戶特點準備集中攻擊。談論的焦點還包括：破壞物理鎖，危害電子投票，破壞網(wǎng)絡數(shù)據(jù)的完整性和硬件，運用特洛伊木馬等。從而借助不受注意的紅外線、無線電頻譜或光學信號等，通過少量的成本運用“安全”的路由傳輸數(shù)據(jù)。

我國在94年的計算機信息系統(tǒng)安全保護條例中就指出：計算機信息系統(tǒng)的安全保護應當保障計算機及其相關的和配套的設備的安全，運行環(huán)境的安全，保障信息的安全。保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行。也就是說我們應在硬件、軟件及運行環(huán)境等網(wǎng)絡的各個環(huán)節(jié)上，考慮來自網(wǎng)絡系統(tǒng)內(nèi)部和外部兩大方面的因素，從管理和技術上著手，制訂比較完善的網(wǎng)絡系統(tǒng)安全保護策略。

一、網(wǎng)絡安全現(xiàn)狀分析

截至去年6月底，中國手機網(wǎng)民規(guī)模首次超越臺式電腦用戶，達到3.88億。整個行業(yè)已經(jīng)注意到，消費者采購移動設備的速度比采用任何其他技術的速度都快。雖然人們大量使用無線設備（如WiFi），但卻不大注意它的安全問題，因而大大增加了黑客的攻擊范圍。據(jù)調(diào)查，2012年網(wǎng)絡安全事件主要有如下幾個方面：1.源代碼被盜事件；2.重大黑客攻擊事件；3.惡意軟件肆虐事件；4.信息泄密事件；5.重大漏洞事件；6.操作系統(tǒng)安全事件。

不少人認為計算機網(wǎng)絡攻擊，是網(wǎng)絡間諜活動是政府的事，認識局限在攻擊那些高度機密的內(nèi)容范疇內(nèi)。其實任何人都能在因特網(wǎng)上找到一些相當成熟的網(wǎng)絡入侵工具，從而滲透到網(wǎng)絡上的電腦里，這些惡意的網(wǎng)站，教育人們包括了黑客活動的方方面面（從任何人通過鼠標隨意點擊到經(jīng)驗豐富的黑客使用功能強大的工具都可入侵）。

據(jù)統(tǒng)計，我國當前計算機的網(wǎng)絡安全現(xiàn)狀普遍處于不容樂觀的狀況，主要表現(xiàn)在以下幾個方面：信息和網(wǎng)絡的安全防護能力差；網(wǎng)絡安全人才缺乏；使用人員對網(wǎng)絡的安全保密意識淡薄，領導對網(wǎng)絡安全方面不夠重視等。一部分人認為添加了各種安全產(chǎn)品之后，該網(wǎng)絡就已經(jīng)安全了，領導基本上就是只注重直接的經(jīng)濟利益回報的投資項目，對網(wǎng)絡安全這個看不見實際回饋的資金投入大部分都采取不積極的態(tài)度，其中起主導作用的因素還有就是缺少專門的技術人員和專業(yè)指導。

二、常見威脅分析

目前對內(nèi)外安全的解決方案，還停留在防火墻、入侵檢測、網(wǎng)絡防病毒等被動防護手段上。在過去的一年，全球98.2%的用戶使用殺毒軟件，90.7%設有防火墻，75.1%使用反間諜程序軟件，但卻有83.7%的用戶遭遇過至少一次病毒、蠕蟲或者木馬的攻擊，79.5%遭遇過至少一次間諜程序攻擊事件。另國家計算機信息安全測評中心數(shù)據(jù)顯示，由于內(nèi)部重要機密數(shù)據(jù)通過網(wǎng)絡泄露而造成經(jīng)濟損失的單位中，重要資料被黑客竊取和被內(nèi)部員工泄露的比例為1：99。

常見的威脅：1.計算機病毒。常見的破壞性比較強的病毒經(jīng)常表現(xiàn)為：藍屏、機卡、CPU、自動重啟使用率高、打不開殺毒軟件等，并且在短時間內(nèi)傳播從而導致大量的計算機系統(tǒng)癱瘓，造成重大的經(jīng)濟損失。2.非授權訪問。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡系統(tǒng)進行違法操作、合法用戶以未授權方式進行操作等。3.木馬程序和后門。是一種可以通過遠程控制別人計算機的程序，具有隱蔽性和非授權性的特點。

三、網(wǎng)絡安全策略及發(fā)展

1.更改默認系統(tǒng)管理員賬戶名。將Administrator的賬戶名改為一個無意義的字符串。2.配置防火墻。3.禁用不必要的TCP/IP端口。只保留路由器到服務器的向內(nèi)路徑：80端口的HTTP和2l端口的FTP。4.劃分VLAN。把用戶劃分為更小的工作組，限制不同VLAN 之間的用戶不能直接互訪。5.身份認證。其主要目的是證實被認證對象是否屬實，常被用于通信雙方相互確認身份，以保證通信的安全。常用的網(wǎng)絡身份認證技術有：靜態(tài)密碼、USB Key和動態(tài)口令、智能卡牌等。

如今自帶設備辦公BYOD（Bring Your Own Device）已漸漸進入了我們的實際工作。能夠使用隨身的iPad和智能手機辦公，對我們而言無疑是一件非常便捷的事情，對企業(yè)來說可以大幅降低設備的購置升級和維護投入。但這看似雙贏卻埋藏著巨大的隱患。有看過今年315央視晚會的應該很清楚，手機上所使用的Android系統(tǒng)是一個開放式開發(fā)平臺，很容易受到攻擊。過去的信息安全是建立在設備可控的基礎上，傳統(tǒng)的網(wǎng)絡安全提供商迎來了跨時代的挑戰(zhàn)，他們需要在整個組織內(nèi)實施統(tǒng)一的安全策略、為各種用戶提供優(yōu)化的經(jīng)管體驗，支持多種設備并符合安全和業(yè)務要求。需要確保用戶對資源的安全訪問，并提供針對任何移動設備的高性能網(wǎng)絡連接。下一代防火墻NGFW、Web應用防護系統(tǒng)WAF、數(shù)據(jù)泄密（泄露）防護（Data leakage prevention， DLP）等或許將慢慢出現(xiàn)在我們的眼前。

結語

在這個信息大爆炸的時代，如何確保網(wǎng)絡信息的安全是每一個網(wǎng)絡系統(tǒng)的設計者和管理者都極為關心的熱點，當然也是企業(yè)關心的重點。企業(yè)不但要依靠強有力的網(wǎng)絡安全技術產(chǎn)品，而且還要加強企業(yè)管理，培養(yǎng)用戶足夠的安全意識和知識亦是勢在必行！一個全方位的安全方案是非常難以實現(xiàn)的，對于網(wǎng)絡來說，自由與安全本就是一個矛與盾的關系，而眼下還沒有找到可以調(diào)和的良方。人們?nèi)耘f面臨嚴峻的安全威脅，仍舊需要時刻關注網(wǎng)絡安全世界的變化。

第8篇：常見的網(wǎng)絡安全防護手段范文

關鍵詞:內(nèi)部網(wǎng)絡;安全威脅;防護技術;技術策略;防范制度

Internal Networks Security and Prevention

TENG Yong-heng LI Xi-zhou

( Tianshui Huatian Technology Co. , Ltd)

Abstract:We should have a clear viewpoint on internal networks threats. Because it has something with the security and prevention measures. Before making the internal networks security measures, we must find the factors which threaten the networks security. So long as we find the factors which threaten the networks security. So long as we find the threats, we will adopt the appropriate measures. The necessary prevention means is the precondition to guarantee the information security. The article not only presents networks security technology, but also gives the strategy or networks-security measures and the system of prevention as the networks security complementary. Only comprehensively use the system establishing and security technology, the internal networks security can be effectively maintained.

Key Words: internal networks; security threat; prevention measures; technology strategy; prevention system.

1引言

目前人們對網(wǎng)絡安全普遍都有一個不全面的認識,即認為對企業(yè)內(nèi)部網(wǎng)絡(Intranet)的威脅主要來自于企業(yè)外部。因此,網(wǎng)絡安全部門、網(wǎng)絡設備用戶和網(wǎng)絡產(chǎn)品開發(fā)者都將主要精力放在了研究如何防止網(wǎng)絡遭受來自于企業(yè)外部的攻擊,而忽視了來自于企業(yè)內(nèi)部的網(wǎng)絡安全威脅。

由于互聯(lián)網(wǎng)的快速發(fā)展,公司各種商務活動和信息共享的需要,企業(yè)內(nèi)部網(wǎng)絡需要24×7與互聯(lián)網(wǎng)(Internet)相連接,以便于異地分支機構、合作伙伴、用戶的各種訪問或服務共享,這在極大地方便了企業(yè)商務活動的同時,也使企業(yè)網(wǎng)完全暴露在病毒、黑客等非法入侵的威脅之下。幾乎所有企業(yè)對于網(wǎng)絡安全的重視程度一下子提高了,紛紛采購防火墻等設備堵住了來自Internet的不安全因素。然而,Intranet內(nèi)部的攻擊和入侵卻依然猖狂。事實證明,公司內(nèi)部的不安全因素遠比外部的危害更恐怖。

但是對國內(nèi)大多數(shù)企業(yè)來說,對網(wǎng)絡安全的認識還僅僅停留在購買殺毒軟件和防火墻來抵御外來入侵的層面上,但是對于來自公司內(nèi)部的安全問題,不是靠單純安裝殺毒軟件或防火墻就能解決的。實際上內(nèi)網(wǎng)是網(wǎng)絡應用中的一個主要組成部分,其安全性也受到越來越多的重視。據(jù)不完全統(tǒng)計,國外在建設內(nèi)網(wǎng)時,投資額的15%是用于加強內(nèi)網(wǎng)的網(wǎng)絡安全。因此,公司對內(nèi)部網(wǎng)絡安全威脅的認識,直接關系到所采取的安全防范策略措施。

2內(nèi)部網(wǎng)絡存在的安全威脅

內(nèi)部網(wǎng)絡存在的安全威脅有一部分是安全系統(tǒng)的部署缺陷,而更多的是終端用戶的不良操作習慣導致的。

2.1網(wǎng)絡交換機的安全威脅

在實際網(wǎng)絡環(huán)境中,隨著計算機性能的不斷提升,針對網(wǎng)絡中的交換機、路由器或其他設備的攻擊趨勢越來越嚴重,帶來的影響越來越劇烈。隨著局域網(wǎng)的廣泛互連,加上TCP/IP協(xié)議本身的開放性,網(wǎng)絡安全已成為一個突出問題,而交換機作為網(wǎng)絡環(huán)境中重要的轉(zhuǎn)發(fā)設備,其普通安全特性已經(jīng)無法滿足現(xiàn)在的安全需求,因此交換機需要增加安全防范措施來應對出現(xiàn)的安全威脅。針對網(wǎng)絡交換機的常見攻擊有:針對VLAN中繼攻擊;生成樹協(xié)議攻擊;MAC表洪水攻擊;ARP攻擊;VTP協(xié)議攻擊等。

2.2過時的微軟服務包

運行未安裝最新更新程序的Windows是另一個嚴重問題。及時更新軟件是一條安全基本常識,每家公司都在設法做到這點,但大多數(shù)公司是借助于自動更新。

然而,為公司的每個臺式機打上補丁已經(jīng)是一項艱巨任務,更不用說還要顧及連接到網(wǎng)絡上的筆記本電腦、個人數(shù)字助理和手機了,總會有漏網(wǎng)之魚;同樣道理,只要有一個端點存在已知安全漏洞,就足以危及整個網(wǎng)絡系統(tǒng)。

2.3用戶和用戶組權限分配不合理

讓適當?shù)挠脩艚M做適當?shù)氖虑?盡量不分配多余的權限,避免用戶和用戶組權限分配不合理。

2.4 反病毒問題

由于惡意軟件編寫者使用的一種感染手法就是,在盡可能短的時間內(nèi)感染盡可能多的計算機。因此,各大反病毒軟件廠商每周都在不斷的更新程序,所以讓保護機制處于最新版本對網(wǎng)絡安全十分重要。

2.5 USB設備的不規(guī)范使用

內(nèi)部網(wǎng)絡最大的威脅是未加登記或未加保護的USB設備。感染的來源未必是內(nèi)部員工。來訪者(不管有沒有受到邀請)訪問公司的計算機后,就能輕易插入USB存儲設備。很多木馬和病毒正是借助這個途徑來大肆傳播和產(chǎn)生危害的。

Windows下的USB設備保護機制相當有限。你基本上只能啟用或禁用系統(tǒng)上的USB。由于USB是Windows的默認外設連接,所以這帶來了極大的限制。

2.6賬號及口令管理不嚴及設置不合理

賬號及口令管理不嚴格,導致外來者很容易得到。設置賬號和密碼常常較簡單,與使用者的生日及一些個人信息相關,或者使用常見的詞匯做為密碼,使得用來保護計算機的安全屏障形同虛設。

2.7未經(jīng)授權的遠程控制軟件

遠程控制軟件對診斷軟硬件方面的故障大有幫助。但這類軟件對不法分子來說同樣大有幫助,因為它為進入計算機提供了一條便道。

在某些情況下,遠程控制軟件由需要能夠從其他地方訪問臺式機的用戶來安裝。在另一些情況下,卻是有人未經(jīng)授權擅自安裝上去的,這些安裝或改動的軟件旨在用戶渾然不知或未經(jīng)同意的情況下,允許第三方使用系統(tǒng)。

2.8無線連接

如今的筆記本電腦當中約有95%隨機配備了內(nèi)置的無線訪問功能。無線連接缺乏有線網(wǎng)絡的安全性。

推薦的策略一般是控制威脅,而不是試圖完全消除威脅。雖然端點安全面臨的有些威脅(比如未經(jīng)授權的對等文件共享)能夠從公司網(wǎng)絡上加以消除,但另一些威脅還不能完全消除(比如無線連接和USB設備,對現(xiàn)代公司的IT部門來說相當必要)。

2.9用戶操作失誤

用戶操作失誤,可能會損壞網(wǎng)絡設備如主機硬件等,誤刪除文件和數(shù)據(jù)、誤格式化硬盤等。

3常用防范手段

鑒于以上種種的安全隱患和風險,我們有必要采取一定的手段來進行見招拆招的防范。

3.1對網(wǎng)絡安全的要求

(1)物理安全。物理安全主要包括環(huán)境安全、設備安全、媒體安全等方面。處理秘密信息的系統(tǒng)中心機房應采用有效的技術防范措施,重要的系統(tǒng)還應配備警衛(wèi)人員進行區(qū)域保護。

(2)運行安全。運行安全主要包括備份與恢復、病毒的檢測與消除、電磁兼容等。系統(tǒng)的主要設備、軟件、數(shù)據(jù)、電源等應有備份,并具有在較短時間內(nèi)恢復系統(tǒng)運行的能力。應采用國家有關主管部門批準的查毒殺毒軟件適時查毒殺毒,包括服務器和客戶端的查毒殺毒。

(3)信息安全。確保信息的保密性、完整性、可用性和抗抵賴性是信息安全保密的中心任務。

3.2各種防護手段

3.2.1通過在網(wǎng)絡周邊設置防火墻、在客戶端PC上安裝防病毒軟件保護網(wǎng)絡。

不幸的是,網(wǎng)絡仍然易于遭受更高級的安全威脅(例如病毒和蠕蟲),因為大部分防火墻不能深入檢測病毒特征碼,更無法通過網(wǎng)絡行為異常檢測(NBAD)尋找具有攻擊性的網(wǎng)絡行為。同樣,PC防病毒軟件不能做到防范時時的病毒攻擊,更不用說有許多客戶允許那些未更新防病毒文件的終端用戶訪問網(wǎng)絡。

3.2.2認證技術和訪問控制

認證是防止惡意攻擊的重要技術,它對開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用。認證的主要目的有兩個:(1)驗證消息的發(fā)送者是否合法 ;(2)驗證消息的完整性,保證信息在傳送過程中未被篡改、重放或者延遲等。目前有關認證的主要技術有:消息認證,身份認證和數(shù)字簽名。消息認證和身份認證解決了通訊雙方利害一致條件下防止第三者偽裝和破壞的問題。數(shù)字簽名能夠防止他人冒名進行信息發(fā)送和接收,以及防止本人事后否認已進行過的發(fā)送和接收活動。

訪問控制是網(wǎng)絡安全防范和保護的主要策略,主要任務是保證網(wǎng)絡資源不被非法使用和非法訪問,也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段,是保證網(wǎng)絡安全最重要的核心策略之一。訪問控制技術主要包括入網(wǎng)訪問控制、網(wǎng)絡的權限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡服務器安全控制、網(wǎng)絡監(jiān)測和鎖定控制、網(wǎng)絡端口和節(jié)點的安全控制等。根據(jù)網(wǎng)絡安全的等級、網(wǎng)絡空間的環(huán)境不同,可靈活地設置訪問控制的種類和數(shù)量。

3.2.3入侵防護技術(IPS)

作為一種主動式的防范技術,入侵防護能夠彌補防火墻等反應式技術的不足,幫助人們扭轉(zhuǎn)被動防范局面。

入侵防護技術是近兩年出現(xiàn)的主動防范技術。它能夠?qū)崟r檢查和阻止入侵。如果有攻擊者利用漏洞發(fā)起攻擊,入侵防護設備能夠從數(shù)據(jù)流中檢查出攻擊并且加以阻止。傳統(tǒng)的防火墻只能對網(wǎng)絡層進行檢查,不能檢測應用層的內(nèi)容,因而也就無法發(fā)現(xiàn)針對應用層的攻擊,而入侵防護可以深入應用層檢查數(shù)據(jù)包。所有的數(shù)據(jù)包在經(jīng)過入侵防護設備時,通過檢查的數(shù)據(jù)包可以繼續(xù)前進,包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄,被懷疑的數(shù)據(jù)包需要接受進一步的檢查。

3.2.4蜜罐和蜜網(wǎng)技術,

蜜罐是一種安全資源,其價值在于被掃描、攻擊和攻陷。這個定義表明蜜罐并無其他實際作用,因此所有流入/流出蜜罐的網(wǎng)絡流量都可能預示了掃描、攻擊和攻陷。而蜜罐的核心價值就在于對這些攻擊活動進行監(jiān)視、檢測和分析。

蜜網(wǎng)是在蜜罐技術上逐步發(fā)展起來的一個新的概念,又稱為誘捕網(wǎng)絡,在誘捕網(wǎng)絡架構中,包含一個或多個蜜罐,同時又保證了網(wǎng)絡的高度可控性,以及提供多種數(shù)據(jù)捕獲和數(shù)據(jù)分析工具,以方便對攻擊信息的采集和分析。

3.2.5計算機取證技術

計算機取證又稱為數(shù)字取證或電子取證,是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為利用計算機軟硬件技術,按照符合法律規(guī)范的方式進行證據(jù)獲取、保存、分析和出示的過程。從技術上,計算機取證是一個對受侵計算機系統(tǒng)進行掃描和破解,并對入侵事件進行重建的過程。

主要技術有:(1)數(shù)據(jù)保護技術,(2)磁盤鏡像拷貝技術,(3)數(shù)據(jù)恢復技術,(4)數(shù)據(jù)分析技術,(5)入侵檢測取證技術,(6)陷阱網(wǎng)絡取證技術。

取證技術的相關法律不斷趨于完善。我國有關計算機取證的研究與實踐尚在起步階段,只有一些法律法規(guī)涉及到了部分計算機證據(jù),目前在法律界對電子證據(jù)作為訴訟證據(jù)也存在一定的爭議。取證技術的法律完善是一個亟待解決的問題。

4內(nèi)部網(wǎng)絡安全防范措施

在制定單位內(nèi)部網(wǎng)絡安全防范措施時,要因地制宜,應分析單位內(nèi)部網(wǎng)絡與信息安全的威脅因素,對網(wǎng)絡安全防范實行周密部署:(1)通過有效的隔離措施保障各網(wǎng)絡系統(tǒng)的數(shù)據(jù)安全,如單位內(nèi)部網(wǎng)絡與互聯(lián)網(wǎng)的邏輯隔離、單位內(nèi)部各業(yè)務部門的邏輯隔離;(2)合理配置網(wǎng)絡設備,保障網(wǎng)絡系統(tǒng)在異常情況受到網(wǎng)絡攻擊時的穩(wěn)定性、安全性;(3)嚴格內(nèi)部網(wǎng)絡的接入控制機制,防止內(nèi)部信息的外泄;(4)使用高性能的殺毒軟件進行全方位的計算機病毒防范;(5)變被動防范為主動防范;將制度防范與技術防范有機結合;(6)重視提高網(wǎng)絡安全管理員的素質(zhì);(7)重視建立網(wǎng)絡安全日志及審查制度。

4.1主要技術策略和措施

4.1.1網(wǎng)絡交換機的安全威脅防范

作為整個網(wǎng)絡的核心,交換機最重要的作用就是轉(zhuǎn)發(fā)數(shù)據(jù)。在攻擊者攻擊和病毒侵擾下,交換機要能夠繼續(xù)保持其高效的數(shù)據(jù)轉(zhuǎn)發(fā)速率,不受到攻擊的干擾,這是交換機所需要的基本的安全功能。通過對現(xiàn)有交換機的安全配置或安全升級,實現(xiàn)局域網(wǎng)交換機的安全防護。

(1)針對VLAN中繼攻擊的防范

對交換機進行安全設置就可以防止VLAN中繼攻擊。首先是所有中繼端口上都要使用專門的VLAN ID,同時也要禁用所有使用不到的交換機端口并將它們安排在使用不到的VLAN中。其次是通過明確的設置,關閉掉所有用戶端口上的DTP,這樣就可以將所有端口設置成非中繼模式。另外對交換機設置IP/MAC地址綁定功能,限制用戶的非授權網(wǎng)絡訪問。

(2)生成樹協(xié)議攻擊的防范

要防止操縱生成樹協(xié)議的攻擊,需要使用根目錄保護和網(wǎng)橋協(xié)議數(shù)據(jù)單元(BPDU)保護加強命令來保持網(wǎng)絡中主網(wǎng)橋的位置不發(fā)生改變,同時也可以強化生成樹協(xié)議的域邊界。為了解決生成樹協(xié)議收斂速度慢的問題,可以在交換機上配置使用快速生成樹協(xié)議(RSTP),避免在網(wǎng)絡重新收斂過程中的網(wǎng)絡回路的產(chǎn)生。

(3)MAC表洪水攻擊的防范

通過設置端口上最大可以學習的MAC地址數(shù)量、MAC地址老化時問,來抑制MAC攻擊。通過設置以太網(wǎng)端口最多學習到的MAC地址數(shù),用戶可以控制以太網(wǎng)交換機維護的MAC地址表的表項數(shù)量。設置合適的老化時間可以有效實現(xiàn)MAC地址老化的功能。

在交換機上配置端口安全選項可以防止MAC表淹沒攻擊。該選擇項可以提供特定交換機端口的MAC地址說明,也可以提供一個交換機端口可以學習的MAC地址的數(shù)目方面的說明。當無效的MAC地址在該端口被檢測出來之后,該交換機要么可以阻止所提供的MAC地址,要么可以關閉該端口。

(4)ARP攻擊的防范

在交換網(wǎng)絡中,可以在交換機端口上通過綁定每臺設備的IP和MAC地址,同時限制該交換機端口能夠?qū)W習的MAC地址最大數(shù)目來解決ARP欺騙或攻擊的行為。實施IP和MAC地址綁定和限制最大MAC地址數(shù)目后,該交換機端口就不再接收并記錄新的MAC地址,對不符合記錄的數(shù)據(jù)包不轉(zhuǎn)發(fā)。

(5)VTP協(xié)議攻擊的防范

為了保證VTP域的安全,VTP域可以設置密碼,域中所有交換機必須要設置成同樣的密碼。在VTP域中的交換機配置了同樣的密碼后,VTP才能正常工作。而不知道密碼或密碼錯誤的交換機將無法獲知VLAN的消息。

4.1.2對USB存儲設備的管理

企業(yè)局域網(wǎng)如何管理USB存儲設備(U盤、移動硬盤等),一般可以采用的方法包括:

方法1:封掉USB口,有些單位通過焊死或者封死USB口的方法來達到目的;

方法2:采用專業(yè)的軟件管理,主要實現(xiàn)的功能如:介質(zhì)注冊、介質(zhì)授權、訪問控制、數(shù)據(jù)保護、安全數(shù)據(jù)交換、日志審計等;

方法3:采用一些內(nèi)網(wǎng)安全系統(tǒng),一般的內(nèi)網(wǎng)安全軟件均帶有控制硬件設備和接口的功能。

4.1.3用戶操作失誤

加強計算機用戶的培訓和管理,杜絕用戶操作的失誤。

4.1.4限制VPN的訪問

虛擬專用網(wǎng)(VPN)用戶的訪問對內(nèi)網(wǎng)的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統(tǒng)置于企業(yè)防火墻的防護之外。很明顯,VPN用戶是可以訪問企業(yè)內(nèi)網(wǎng)的。因此要避免給每一位VPN用戶訪問內(nèi)網(wǎng)的全部權限。這樣可以利用登錄控制權限列表來限制VPN用戶的登錄權限的級別,即只需賦予他們所需要的訪問權限級別即可,如訪問郵件服務器或其他可選擇的網(wǎng)絡資源的權限。

4.1.5為合作企業(yè)網(wǎng)建立內(nèi)網(wǎng)型的邊界防護

合作企業(yè)網(wǎng)也是造成內(nèi)網(wǎng)安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來加固防火墻,保護MS-SQL,但是一些蠕蟲仍能侵入內(nèi)網(wǎng),這就是因為企業(yè)給了他們的合作伙伴進入內(nèi)部資源的訪問權限。由此,既然不能控制合作者的網(wǎng)絡安全策略和活動,那么就應該為每一個合作企業(yè)創(chuàng)建一個“隔離區(qū)”,并將他們所需要訪問的資源放置在相應的“隔離區(qū)”中,不允許他們對內(nèi)網(wǎng)其他資源的訪問。

4.1.6建立可靠的無線訪問

審查網(wǎng)絡,為實現(xiàn)無線訪問建立基礎。排除無意義的無線訪問點,確保無線網(wǎng)絡訪問的強制性和可利用性,并提供安全的無線訪問接口。將訪問點置于邊界防火墻之外,并允許用戶通過VPN技術進行訪問。

4.1.7創(chuàng)建虛擬邊界防護

主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊,還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內(nèi)網(wǎng)方面努力。于是必須解決企業(yè)網(wǎng)絡的使用和在企業(yè)經(jīng)營范圍建立虛擬邊界防護這個問題。這樣,如果一個銷售部用戶的客戶機被侵入了,攻擊者也不會由此而進入到公司的研發(fā)部門。因此要實現(xiàn)公司研發(fā)部門與銷售部之間的訪問權限控制。大家都知道怎樣建立互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間的邊界防火墻防護,現(xiàn)在也應該意識到建立網(wǎng)上不同商業(yè)用戶群之間的邊界防護。

4.1.8及時升級微軟服務包;

國內(nèi)許多公司和組織都在使用微軟的產(chǎn)品,由于用戶不斷發(fā)現(xiàn)其產(chǎn)品存在的各種漏洞和缺陷,微軟升級服務包也跟著不斷的更新,因此能否及時進行微軟升級服務包的更新,從某種程度上影響了網(wǎng)絡使用設備的安全。

4.1.9購買并安裝正版的殺毒軟件

購買市場上比較流行的高性能的正版殺毒軟件,實時升級病毒庫樣本,就能很大程度上減少一些常見病毒和木馬對網(wǎng)絡用戶的危害。

4.2必要的制度防范

不論網(wǎng)絡系統(tǒng)配置的如何安全,做為執(zhí)行者的操作人員,始終都是網(wǎng)絡安全的最后一道屏障。制定必要的制度,做到了分級管理、責任到人,對計算機管理員及計算機用戶進行必要的約束,才能最大限度地保證內(nèi)網(wǎng)的安全。

(1)建立和完善各種安全操作、管理制度,明確安全職責;建立對突發(fā)事件的應對預案。

(2)加強對網(wǎng)絡使用人員、網(wǎng)絡管理人員的安全教育,樹立安全觀念,提高安全防范意識,減少潛在的安全隱患。

(3)建立一支高水平的網(wǎng)絡管理、信息安全管理隊伍,定期進行安全風險評估和策略優(yōu)化。

5結束語

在網(wǎng)絡安全防范中,應根據(jù)單位的特殊性制定網(wǎng)絡安全防范策略,在加強對單位用戶的安全制度教育的同時,采用先進的網(wǎng)絡安全防范技術,制度防范和技術防范互為補充,才能保障內(nèi)網(wǎng)的安全。

參考文獻

[1]宋宜昌.網(wǎng)絡安全防御技術淺析.網(wǎng)絡安全與技術應用.2010

[2]高曉飛.申普兵.網(wǎng)絡安全主動防御技術.計算機安全.2008

[3]于波.涂敏.計算機取證分析.計算機與現(xiàn)代化.2008

[4]趙洪彪.信息安全與策略.清華大學出版社.2006

作者簡介

第9篇：常見的網(wǎng)絡安全防護手段范文

【關鍵詞】防火墻技術 計算機安全 構建 策略

隨著網(wǎng)絡信息技術的不斷發(fā)展，計算機網(wǎng)絡已廣泛應用于現(xiàn)代生產(chǎn)生活之中。但在開放的互聯(lián)網(wǎng)環(huán)境之下，網(wǎng)絡信息安全問題日益成為制約網(wǎng)絡信息技術發(fā)展，影響計算機網(wǎng)絡有效應用的重要因素。從實際來看，計算機系統(tǒng)設計缺陷、應用軟件漏洞、計算機病毒、人為惡意攻擊等，都是當前計算機面臨的主要安全威脅。如何在快速發(fā)展的互聯(lián)網(wǎng)時代，構建完備的安全防御體系，既是計算機自身安全的內(nèi)部需求，也是強化計算機發(fā)展的重要舉措。特別是多樣化的外部威脅源，對計算機的網(wǎng)絡信息安全構成了極大地安全隱患，惡意攻擊行為的發(fā)生、計算機病毒感染，輕則造成計算機系統(tǒng)運行效率下降，重則重要數(shù)據(jù)丟失、被截獲，甚至出現(xiàn)系統(tǒng)癱瘓等問題。防火墻技術是當前廣泛應用與計算機安全構建中的安全技術之一，隨著防火墻技術的不斷發(fā)展與成熟，其在計算機安全構建中的作用日益凸顯。通過“防火墻+入侵檢測”的互動構建，提高了計算機安全防御系統(tǒng)的整體性能，也優(yōu)化了防火墻的防御性能，特別是對于難響應等問題的解決，提高了防火墻的現(xiàn)實應用價值。

1 防火墻概述

在互聯(lián)網(wǎng)快速發(fā)展的當前，開放的互聯(lián)網(wǎng)推動力現(xiàn)代社會的發(fā)展，但在發(fā)展的同時也伴隨著諸多的新問題，特別是計算機網(wǎng)絡信息安全問題的日益嚴峻，強調(diào)構建計算機安全防護體系的必要性與緊迫性。防火墻技術是現(xiàn)代計算機安全構建中重要技術之一，對于網(wǎng)絡信息安全起到重要的作用。如圖1所示，是防火墻的防火作用的體系圖，從中可以知道，防火墻就是在本地網(wǎng)絡與外地網(wǎng)絡之間構建了防御系統(tǒng)，進而起到安全防護的作用。

因此，防火墻防護作用的體現(xiàn)，主要在于防止未經(jīng)授權或不希望的通信進入被其保護的網(wǎng)絡。一般而言，防火墻的作用體現(xiàn)在以下幾點：

（1）對Internet的外部進入行為，防火墻可以進行過濾非法用戶或不安全服務，進而起到安全防護作用；

（2）在開放的互聯(lián)網(wǎng)環(huán)境下，存在諸多不安全站點，防火墻可以限制人們對特殊站點的訪問，進而起到安全防御作用；

（3）防火墻的監(jiān)視作用也十分有效，通過對Internet的安全監(jiān)視，進而確保內(nèi)部網(wǎng)絡行為安全。

但是，從防火墻技術本身而言，其實質(zhì)上是一種被動技術，難以對內(nèi)部的非法訪問起到有效防護的作用。這就決定，防火墻適合用于相對獨立的網(wǎng)絡環(huán)境，起到網(wǎng)絡防護屏障的效果。一方面，防火墻作為網(wǎng)絡安全的屏障，對于存在的惡意攻擊、不安全服務，可以進行過濾，降低網(wǎng)絡安全風險；另一方面，防火墻對于一些精心選擇的應用協(xié)議可能難以防御，但就目前的網(wǎng)絡安全構建而言，防火墻在凈化網(wǎng)絡安全環(huán)境上仍具有重要的現(xiàn)實作用，可以同時保護網(wǎng)絡免受基于路由的不安全攻擊。因此，從實際而言，防火墻在諸多計算機網(wǎng)絡安全上，可以起到實際性的安全防護作用。

（1）實現(xiàn)對“脆弱服務”的有效保護；

（2）實現(xiàn)對系統(tǒng)安全訪問的切實控制；

（3）確保計算機的集中安全管理，并在保密性上進一步強化；

（4）通過對不法使用數(shù)據(jù)等的記錄與統(tǒng)計，強化對網(wǎng)絡不安全行為的監(jiān)控。

2 防火墻的分類及工作原理

當前，防火墻已廣泛應用于計算機安全領域，并不同類型的防火墻，在網(wǎng)絡安全構建中的功能不同。強化對各類防火墻的認識，對于其在計算機網(wǎng)絡安全中的應用，具有十分重要的現(xiàn)實意義。具體而言，防火墻主要分為服務型防火墻；包過濾防火墻、復合型防火墻。

2.1 包過濾防火墻

一般而言，包過濾防火墻安置于路由器，以IP信息包作為基礎，實現(xiàn)對目標地址、IP源地址等進行帥選，進而在過濾中確保計算機安全。如圖2所示，是基于包過濾技術的防火墻設計。其中，網(wǎng)絡層是包過濾防火墻的工作點，在Intranet與Internet中，對于傳輸?shù)腎P數(shù)據(jù)包進行檢查與過濾。因此，包過濾防火墻有著顯著的優(yōu)越性：

（1）具有靈活有效性。

（2）簡單易行性。

但是，包過濾防火墻由于防火墻機制的固有缺陷，存在以下幾點缺陷：

（1）對于“假冒”難以實現(xiàn)有效防控。

（2）只能在網(wǎng)絡層與傳輸層實現(xiàn)防御作用。

（3）對于網(wǎng)絡內(nèi)部的攻擊威脅不能起到防御作用。因此，在基于包過濾防火墻下的計算機安全構建，在很大程度上提高了計算機的運行環(huán)境的安全性，但也存在一些不足，應針對實際的安全構建需求，進行科學合理的安全加固，確保計算機網(wǎng)絡安全。

2.2 服務型防火墻

一般而言，服務型防火墻主要有客戶程序段、服務器端程序等構成。具體如圖3所示，是服務型防火墻體系。服務型防火墻的中間節(jié)點與客戶端程序處于相連狀態(tài)，并且，在中間節(jié)點上，又與外部服務器進行連接也就是說，當客戶端將瀏覽器配置成使用功能時，防火墻就將客戶端瀏覽器的請求轉(zhuǎn)給互聯(lián)網(wǎng)；當互聯(lián)網(wǎng)返回響應時，服務器再把它轉(zhuǎn)給你的瀏覽器。因此，相比于過濾型防火墻，在服務型防火墻中并不存在內(nèi)外網(wǎng)之間的直接連接，并且服務型防火墻在功能上，也提供審計、日記等服務功能。

2.3 復合型防火墻

復合型防火墻作為新一代的防火墻技術，集和了智能IP識別技術，實現(xiàn)了對應用、協(xié)議等的高效分組識別，也進一步強化了對應用的訪問控制。在智能IP識別技術中，實現(xiàn)了創(chuàng)新性的發(fā)展，在摒棄傳統(tǒng)復合型防火墻技術的同時，創(chuàng)新性的采用了諸多新技術，如特有快速搜索算法、零拷貝流分析等，在構建計算機安全上，日益發(fā)揮重要的作用。下圖4所示，是復合型防火墻工作原理圖。在計算機安全構建中，復合型防護墻實現(xiàn)了內(nèi)容過濾、病毒防御的整合。常規(guī)防火墻難以對隱蔽的網(wǎng)絡信息安全實現(xiàn)有效防控，復合型防火墻體現(xiàn)了網(wǎng)絡信息安全的新思路，在網(wǎng)絡界面對應用層進行掃描。正如圖4所示，網(wǎng)絡邊界實施OSI第七層的內(nèi)容掃描，實現(xiàn)了實時在網(wǎng)絡邊緣布署病毒防護、內(nèi)容過濾等應用層服務措施。

因此，在計算機安全構建中，針對安全體系之需求，選擇相應的防火墻，以全方位確保計算的運行安全。當前，計算機安全因素日益多樣化，防火墻在計算機安全中的作用日益顯現(xiàn)，這也強調(diào)防火墻在今后的發(fā)展中，應不斷地創(chuàng)新，以更好地滿足計算機安全需求。

3 計算機安全問題

3.1 計算機系統(tǒng)設計缺陷

從Windows XP到Windows7、Windows8，再到現(xiàn)在的Windows10，操作系統(tǒng)的不斷發(fā)展，帶給了計算機快速發(fā)展的重要前提。但是，由于系統(tǒng)設計的缺陷也是計算機陷入安全危機的重要原因。一方面，系統(tǒng)補丁的不斷出現(xiàn)，用戶通補丁的及時下載，以確保計算機的安全性；另一方面，系統(tǒng)越來越完善、越來越完善，設計上的缺陷難以避免，這些缺陷的存在，是計算機安全的最大隱患之一，值得微軟、殺毒軟件商、客戶的重視。

3.2 應用軟件漏洞

計算機的普及與應用，推動了現(xiàn)代社會的發(fā)展，特別是各類應用軟件的研發(fā)與應用，極大地提高并豐富了計算機的用途。在計算機應用軟件的設計過程中，設計者往往會在軟件中設置“后門”，以便于設計公司“防盜版”。但是，設計中所設置的“后門”，卻極易成為病毒或黑客攻擊，進而造成計算機安全。當然，計算機應用軟件“后門”存在的同時，很多應用軟件也存在自身的安全隱患。從實際來看，計算機應用軟件的常見安全漏洞主要有以下幾個方面：

3.2.1 SQL注入

SQL注入是指，將SQL命令插入至Web表單的輸入域的查詢字符串，進而欺騙服務器執(zhí)行惡意的SQL命令。如圖5所示，就是典型的惡意SQL注入，對于計算機的安全構成了較大的安全隱患，導致用戶端的信息安全。

3.2.2 緩沖區(qū)溢出

在軟件安全中，緩沖區(qū)溢出已成為重要的安全威脅。在實際當中，計算機諸多安全問題與緩沖區(qū)溢出有關。如，設計空間的轉(zhuǎn)換規(guī)則的校驗問題；局部測試空間與設計空間不足。這些問題的出現(xiàn)，就是因為緩沖區(qū)溢出所致，影響計算機的安全運行與操作。

3.2.3 加密弱點

加密是確保計算機安全的有效措施，也是構建安全體系的重要方法。但是由于不安全加密算法的使用；身份驗證算法有缺陷；未對加密數(shù)據(jù)進行簽名等，都在很大程度上造成了加密弱點，進而影響到計算機的網(wǎng)絡信息安全。

3.3 人為惡意攻擊

開放的互聯(lián)網(wǎng)環(huán)境之下，人為惡意攻擊成為計算機網(wǎng)絡的最大安全問題之一，對用戶的信息安全造成嚴重的威脅。當前，人為惡意攻擊主要分為兩種：一種是主動攻擊；另一種是被動攻擊。其中，主動攻擊是指利用各種攻擊手段，有選擇性或針對性的破壞信息的完整性，進而造成網(wǎng)絡信息安全問題；而被動攻擊則是在不影響網(wǎng)絡正常工作的前提之下，對相關機密信息進行截獲或破譯。因此，無論是主動的人為惡意攻擊，還是被動的人為惡意攻擊，都對計算機安全造成極大的安全威脅。輕者影響正常運行；重則導致系統(tǒng)癱瘓、數(shù)據(jù)丟失。

3.4 計算機病毒

談“毒”“色”變的網(wǎng)絡信息時代，病毒已成為計算機安全的重要威脅源。計算機病毒具有隱蔽性、傳播性和可存儲性，這是病毒之所有如此大破壞性的原因。首先，計算機病毒隱藏于數(shù)據(jù)文件或可持續(xù)的程序之中，強大的隱蔽性導致難以發(fā)現(xiàn)。一旦病毒入侵、觸發(fā)，對計算機系統(tǒng)安全直接構成威脅。；其次，計算機病毒主要通過程序運行、文件傳輸（復制）等方式進行傳播，可傳染性是病毒對計算機安全構成安全威脅的重要因素。從實際來看，計算機病毒運行之后，對計算機安全的危害輕則系統(tǒng)運行效率降低，重則出現(xiàn)系統(tǒng)癱瘓，重要文件、數(shù)據(jù)發(fā)生丟失。近年來，計算機病毒隨著信息技術的不斷發(fā)展，不斷出“新”，諸多惡性病毒基于網(wǎng)絡形成了較大范圍內(nèi)的計算機安全問題。例如，威震一時的“熊貓燒香病毒”、“CH病毒”等，在網(wǎng)絡傳播之下，形成了嚴重的計算機網(wǎng)絡安全，造成巨大損失。

3.5 用戶安全意識淡薄

網(wǎng)絡時代的到來，讓計算機網(wǎng)絡成為現(xiàn)代社會生產(chǎn)生活的不可獲取的重要產(chǎn)物。目前，我國網(wǎng)民數(shù)量已超6億人，其中有近90%的網(wǎng)民遭遇過計算機安全問題，但這些網(wǎng)民對計算機安全問題比較忽視，在思想上缺乏安全意識。如，。據(jù)不完全統(tǒng)計，我國有近83%的計算機用戶有過病毒感染的經(jīng)歷。其中，16%的用戶在計算機病毒的入侵下，出現(xiàn)全部數(shù)據(jù)遭到破壞；58%的用戶是部分數(shù)據(jù)遭到破壞。一方面，計算機病毒所造的網(wǎng)絡信息安全威脅是巨大的，輕則造成用戶數(shù)據(jù)出現(xiàn)部分丟失或損壞，重則導致系統(tǒng)癱瘓，直接給用戶造成致命的安全威脅；另一方面，我國廣大的計算機用戶缺乏良好的安全意識，上網(wǎng)行為不規(guī)范、進入非法網(wǎng)站等行為，都會對計算機安全造成較大影響。

3.6 拒絕服務攻擊

當前，在惡意人為進攻中，拒絕服務攻擊的網(wǎng)絡安全問題尤為突出。通過利用操作系統(tǒng)漏洞、TCP/IP漏洞，對網(wǎng)絡設備實施惡意攻擊，進而造成不同程度的網(wǎng)絡信息安全問題。一般情況之下，攻擊者通過對網(wǎng)絡服務系統(tǒng)進行惡意干擾，進而造成服務系統(tǒng)流程發(fā)生改變，一些無關的惡意程序被執(zhí)行，以至于操作系統(tǒng)運行減慢，甚至出現(xiàn)系統(tǒng)癱瘓。而對于合法的用戶，被惡意程序排斥無法進入網(wǎng)絡服務系統(tǒng)。從實際來看，電子郵件炸彈等網(wǎng)絡安全事例，就是拒絕服務攻擊所帶來的網(wǎng)絡信息安全問題。

3.7 黑客入侵

黑客是網(wǎng)絡信息安全的重要威脅源，通過破譯密碼、放置木馬程序等方法，對網(wǎng)絡系統(tǒng)實施攻擊。近年來，黑客入侵的網(wǎng)絡安全事件頻發(fā)，逐步成為全球網(wǎng)絡信息安全的重要防范領域。特別是在金融證券、軍事等領域，黑客入侵事件尤為頻繁。當前計算機的所使用的操作系統(tǒng)易win7為主，但由于系統(tǒng)存在安全漏洞，且漏洞補丁未能及時開發(fā)。這樣一來，黑客利用系統(tǒng)漏洞，實施黑客入侵，對計算機用戶造成威脅。一旦計算機被黑客入侵，黑客可以對用戶的數(shù)據(jù)庫進行任意的修改、刪除，進而對用戶的網(wǎng)絡信息安全帶來極大的安全隱患。

4 基于計算機安全下防火墻入侵檢測

當前，防火墻技術已廣泛應用于計算機網(wǎng)絡信息安全的構建之中，發(fā)揮著保護層的重要作用。首先，防火墻可以有效地對外部網(wǎng)訪問進行限制，進而為內(nèi)部網(wǎng)構建了保護層，確保內(nèi)部網(wǎng)絡的安全訪問；其次，防火墻通過對網(wǎng)絡訪問進行統(tǒng)計記錄，對惡意行為或可以動作進行報警，以確保外部可疑動作及時有效地進行監(jiān)視；再次，防火墻的安全體現(xiàn)，主要在于防范技術體系的建立。如，通過分組過濾技術、服務技術，構建計算機安全防范技術體系，為網(wǎng)絡信息安全構建安全可靠的網(wǎng)絡安全防范體系。

在計算機安全隱患日益多樣化、互聯(lián)網(wǎng)開放化的當前，防火墻技術的應用，一方面是計算機安全構建的內(nèi)部需求，在確保計算機安全上起到重要作用；另一方面，防火墻技術不斷發(fā)展與日益完善，相對成熟的技術狀態(tài)，為防火墻技術廣泛應用于計算機安全構建，創(chuàng)造了良好的內(nèi)外條件。因此，強化防火墻技術在計算機安全構建中的應用，特別是防火墻的入侵檢測，符合計算機安全構建的要求，也是充分發(fā)揮防火墻防御作用的集中體現(xiàn)。

4.1 入侵檢測

隨著計算機安全問題的日益突出，如何強化威脅入侵檢測，已成為構建計算機安全的重要基礎。實質(zhì)而言，入侵檢測就是指對網(wǎng)絡資源、計算機上的“惡意”行為進行有效的識別，并及時響應。因此，入侵檢測一方面對來源于外部的攻擊進行有效檢測，進而確保計算機網(wǎng)絡安全；另一方面，對于未被授權的活動進行檢測，對可能存在的入侵行為進行防御。這就說明，入侵檢測為計算機構建了完備的安全體系，并強化了計算機防御惡意入侵的能力。

4.2 入侵檢測技術（IDS）

隨著計算機安全技術的不斷發(fā)展，入侵檢測技術作為新一代安全防范技術，已廣泛應用于計算機的安全構建之中，并取得良好的應用效果。入侵檢測系統(tǒng)通過對計算機系統(tǒng)和計算機網(wǎng)絡中的關鍵點的若干信息進行收集，并進行全面的分析，以便于發(fā)現(xiàn)是否有被攻擊或違反安全策略的惡意攻擊行為。因此，入侵檢測系統(tǒng)實現(xiàn)了檢測、記錄及報警響應于一體的動態(tài)安全防御體系，不僅能夠?qū)ν獠咳肭中袨檫M行有效監(jiān)測，而且對于計算機網(wǎng)絡內(nèi)部行為進行監(jiān)督，是否存在未授權活動的用戶。IDS對計算機內(nèi)部的數(shù)據(jù)通訊信息進行全面的分析，而且對網(wǎng)絡外部的不良入侵企圖進行分辨，確保計算機系統(tǒng)在受到危險攻擊之前，能夠及時作出報警。當然，入侵檢測系統(tǒng)只是起到預防報警響應等作用，但是自身無法進行阻止和處理。IPS是用于計算機安全構建中的入侵防御系統(tǒng)，如表1所示，是IDS與IPS的比較分析。從中可以知道，IPS在安全構建中，其諸多性能優(yōu)于IDS，特別是多重檢測機制，提高檢測性能與精準度。但是，IDS部署簡單，具有良好的適應性和可操作性。在安全構建中起到一定的響應報警，對于計算機安全防御體系十分重要。

4.3 “防火墻+入侵檢測技術”，構建安全防護體系

在計算機的安全構建中，完備的安全防御體系應具備是三個部分：一是防護；二是檢測；三是響應。從一定層面而言，任何一部分的缺失，都可能造成計算機安全防御體系的功能缺失，進而影響正常的防御能力。首先，防御體系中的三個部分，其之間的關系體現(xiàn)，主要在于實現(xiàn)基于時間的簡單關系，即P>R+D。其中，D代表檢測入侵行為所需時間；R為事件響應設施產(chǎn)生效力所需的時間；P為防御體系防護手段所需的支持時間。因此，從這一簡單的關系式，我們可以清楚地知道，但惡意入侵行為尚未突破計算機的安全防御系統(tǒng)，入侵檢測系統(tǒng)已發(fā)現(xiàn)這一惡意行為，進而及時報警效應。也就是說，對于計算機安全防御體系，雖然難以實現(xiàn)百分百的安全防御，但是快速有效的檢測響應機制，是確保計算機安全的重要前提，在接受到報警響應之后，防火墻的防護作用發(fā)揮重要作用?！胺阑饓?入侵檢測技術”的防御體系構建，對于提高安全防御能力，具有十分重要的現(xiàn)實意義。兩者結合實現(xiàn)的有效互動，一方面實現(xiàn)了更加完備的安全防御體系，在很大程度上解決了傳統(tǒng)計算機網(wǎng)絡信息安全技術單一的不足；另一方面，解決了防火墻防御難響應的現(xiàn)實問題，進而提高了防火墻在計算機安全構建中的應用價值，滿足計算機的安全需求。

總而言之，“防火墻+入侵檢測”的互動結合，實現(xiàn)了防火墻通過IDS發(fā)現(xiàn)策略之外的惡意攻擊行為，并且對源于外部的網(wǎng)絡攻擊進行有效阻斷。正如圖6所示的互動邏輯，互動關系的建立極大地提高了防火墻的整體防護性能，進一步滿足了當前計算機安全構建的現(xiàn)實需求。

4.4 “防火墻+入侵檢測”的接口互動方式

從實際而言，“防火墻+入侵檢測”的接口互動方式主要有兩種：

（1）將入侵檢測技術嵌入防火墻之中，實現(xiàn)兩者緊密結合。在這種互動方式之下，流經(jīng)防火墻的數(shù)據(jù)源進入入侵檢測系統(tǒng)，而非數(shù)據(jù)包。這就說明，所有需要通過的數(shù)據(jù)包，一方面要接受防火墻的驗證，另一方面也要判斷其是否具有攻擊性，進而確保防御體系性能的充分發(fā)揮。

（2）兩者的互動通過開發(fā)接口實現(xiàn)。也就是說，入侵檢測系統(tǒng)或防火墻開放一個接口，用于另一方的接入。這種互動方式，需要雙方按照固定的協(xié)議進行通信，進而完成網(wǎng)絡安全事件的傳輸。相比而言，第二種接入方式的靈活性更大，且在很大程度上不會對防火墻的防護性能造成影響。

5 結語

總而言之，構建安全的網(wǎng)絡信息環(huán)境，是網(wǎng)絡信息技術發(fā)展的必然要求，也是網(wǎng)絡信息技術更好服務社會發(fā)展的重要基礎。在網(wǎng)絡信息安全的防范中，一方面要構建安全防范體系，對計算機病毒等實施有效的攔截；另一方面，逐步完善防火墻與其他技術的整合，進一步強化防火墻的防御性能。當前，計算機安全問題突出，在很大程度上影響了計算機的發(fā)展，同時也影響了其在日常生產(chǎn)生活中的應用價值。因此，在實現(xiàn)安全構建的過程中，一方面充分認識到當前計算機安全所面臨的主要安全問題，特別是對于計算機病毒、人為惡意攻擊等安全問題，直接影響了計算機的安全運行。防火墻技術在近年的發(fā)展中，技術不斷完備與成熟，

在計算機安全構建中的作用日益凸顯，通過“防火墻+入侵檢測”的互動結合，一方面提高了安全構建中的安全防御能力；另一方面也改善了防火墻的防御性能，強化了其在計算機安全構建中的應用價值。

參考文獻

[1]張曉雙.淺析計算機網(wǎng)絡安全的主要隱患及管理措施[J].電子制作，2015（03）.

[2]盛洪.分析就死算計網(wǎng)絡通信安全問題與防范策略探究[J].電子測試，2015（05）.

[3]劉濤.淺析計算機網(wǎng)絡安全技術[J].電子制作，2015（05）.

[4]鄭偉.基于防火墻的網(wǎng)絡安全技術的研究[D].吉林大學，2012.

[5]林國慶.淺析計算機網(wǎng)絡安全與防火墻技術[J].恩施職業(yè)技術學院學報，2010（07）.

[6]易前旭.網(wǎng)絡安全中的防火墻使用技術[J].電子技術與軟件工程，2014（08）.

[7]王蕾.企業(yè)計算機網(wǎng)絡的安全管理探討[J].中國新技術新產(chǎn)品，2014（12）.

[8]賴月芳.LINUX環(huán)境下的防火墻網(wǎng)絡安全設計與實現(xiàn)[D].華南理工大學，2013.

[9]溫愛華.計算機網(wǎng)絡安全與防火墻技術[J].產(chǎn)業(yè)與科技論壇，2011（10）.

[10]沈國平.試析計算機安全與防火墻技術[J].黑龍江科技信息，2012（05）.

[11]Wan.perp.The application of firewall technology in campus network security [J].information and computer，2011 （01）.

[12]z-lfreid.The system configuration and the selection of computer firewall to implement the technology [J]. value engineering，2011（03）.

[13]Li Chunlin.Research and application of database technology [J]. information technology，2010（04）.

[14]major.Internet firewall technology development of [J].microcomputer world，2008（12）.

[15]Lin Guoqing.Analysis of computer network security and firewall technology [J].Journal of Enshi Technical College，2010（07）.

作者簡介

郭志強（1971-），男，廣東省廣州市番禺區(qū)人。碩士學位?，F(xiàn)為廣州市番禺區(qū)教育裝備中心教師（中學一級）。