引論：我們為您整理了13篇網絡安全論文范文，供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源，期望它們能夠激發您的創作靈感，讓您的文章更具深度。

篇1

一、網絡的開放性帶來的安全問題

眾所周知，Internet是開放的，而開放的信息系統必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭仍將繼續。在這樣的斗爭中，安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。然而，即使在使用了現有的安全工具和機制的情況下，網絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點：

（一）每一種安全機制都有一定的應用范圍和應用環境

防火墻是一種有效的安全工具，它可以隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問，防火墻往往是無能為力的。因此，對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為，防火墻是很難發覺和防范的。

（二）安全工具的使用受到人為因素的影響

一個安全工具能不能實現期望的效果，在很大程度上取決于使用者，包括系統管理者和普通用戶，不正當的設置就會產生不安全因素。例如，NT在進行合理的設置后可以達到C2級的安全性，但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面，可以通過靜態掃描工具來檢測系統是否進行了合理的設置，但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較，針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。

（三）系統的后門是傳統安全工具難于考慮到的地方

防火墻很難考慮到這類安全問題，多數情況下這類入侵行為可以堂而皇之經過防火墻而很難被察覺。比如說，眾所周知的ASP源碼問題，這個問題在IIS服務器4.0以前一直存在，它是IIS服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼，從而可以收集系統信息，進而對系統進行攻擊。對于這類入侵行為，防火墻是無法發覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區別是入侵訪問在請求鏈接中多加了一個后綴。

（四）只要有程序，就可能存在BUG

甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來，程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用，而且這種攻擊通常不會產生日志，幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG，現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。

（五）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統安全問題出現

然而安全工具的更新速度太慢，絕大多數情況需要人為的參與才能發現以前未知的安全問題，這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時，其他的安全問題又出現了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

二、網絡安全的主要技術

安全是網絡賴以生存的保障，只有安全得到保障，網絡才能實現自身的價值。網絡安全技術隨著人們網絡實踐的發展而發展，其涉及的技術面非常廣，主要的技術如認證、加密、防火墻及入侵檢測是網絡安全的重要防線。

（一）認證

對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問，使用認證機制還可以防止合法用戶訪問他們無權查看的信息。

（二）數據加密

加密就是通過一種方式使信息變得混亂，從而使未被授權的人看不懂它。主要存在兩種主要的加密類型：私匙加密和公匙加密。

1.私匙加密。私匙加密又稱對稱密匙加密，因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性，它不提供認證，因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快，很容易在硬件和軟件中實現。

2.公匙加密。公匙加密比私匙加密出現得晚，私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密信息。公匙加密系統的缺點是它們通常是計算密集的，因而比私匙加密系統的速度慢得多，不過若將兩者結合起來，就可以得到一個更復雜的系統。

（三）防火墻技術

防火墻是網絡訪問控制設備，用于拒絕除了明確允許通過之外的所有通信數據，它不同于只會確定網絡信息傳輸方向的簡單路由器，而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊，其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和服務器技術，它們的安全級別依次升高，但具體實踐中既要考慮體系的性價比，又要考慮安全兼顧網絡連接能力。此外，現今良好的防火墻還采用了VPN、檢視和入侵檢測技術。

防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內外提供一致的安全策略；而且防火墻只實現了粗粒度的訪問控制，也不能與企業內部使用的其他安全機制（如訪問控制）集成使用；另外，防火墻難于管理和配置，由多個系統（路由器、過濾器、服務器、網關、保壘主機）組成的防火墻，管理上難免有所疏忽。

（四）入侵檢測系統

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全。在校園網絡中采用入侵檢測技術，最好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統，則會構架成一套完整立體的主動防御體系。

（五）虛擬專用網（VPN）技術

VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一，所謂虛擬專用網（VPN）技術就是在公共網絡上建立專用網絡，使數據通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制，這兩種機制為路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全：隧道技術（Tunneling)、加解密技術（Encryption&Decryption)、密匙管理技術（KeyManagement)和使用者與設備身份認證技術（Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務，這些安全服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法，如按接入方式分成專線VPN和撥號VPN；按隧道協議可分為第二層和第三層的；按發起方式可分成客戶發起的和服務器發起的。

（六）其他網絡安全技術

1．智能卡技術，智能卡技術和加密技術相近，其實智能卡就是密匙的一種媒體，由授權用戶持有并由該用戶賦與它一個口令或密碼字，該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯合使用。

2．安全脆弱性掃描技術，它為能針對網絡分析系統當前的設置和防御手段，指出系統存在或潛在的安全漏洞，以改進系統對網絡入侵的防御能力的一種安全技術。

3．網絡數據存儲、備份及容災規劃，它是當系統或設備不幸遇到災難后就可以迅速地恢復數據，使整個系統在最短的時間內重新投入正常運行的一種安全技術方案。

4．IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發出這個IP廣播包的工作站返回一個警告信息。

篇2

1.1.1網絡層的安全性

網絡信息和傳輸是否能得到控制是網絡層安全性的核心問題，網絡用戶通過固定的IP地址進入網絡系統，而網絡則對此IP地址傳輸的數據進行檢查，查看信息內容是否安全，安全則允許傳輸，否則屏蔽。目前網絡安全性提高方法主要由兩種：防火墻產品和VPN（虛擬專用網）。

1.1.2系統的安全性

網絡系統中的安全性主要包括兩個方面：第一是非法黑客對網絡系統的入侵和破壞；第二是傳統病毒對網絡系統的入侵和破壞。病毒是一種可復制性、具有攻擊型可執行文件，這些病毒的源頭是非法程序員通過網絡散布的、破壞正常文件的可執行文件；黑客是通過非法渠道進入網絡系統竊取他人資料；這兩種方式都是破壞系統安全性的渠道。

1.1.3用戶操作安全性

目前，網絡數據主要分為兩種，一種是靜態數據；一種是動態數據；而用戶都是通過靜態數據進行校驗，登錄系統，但往往由于用戶操作失誤或遺失賬號密碼，導致系統出現漏洞，給非法用戶提供了侵入系統接口。

1.1.4應用程序的安全性

應用程序安全性主要涉及兩個方面的問題：一是應用程序對數據的合法權限；二是應用程序對用戶的合法權限。即合法用戶通過應用程序操作合法數據。

1.1.5數據的安全性

數據作為整個架構層次的核心部分，其保存前、中和后都需要進行加密，充分保證數據的安全性，即使在數據被竊后。通過數據加密等措施，即使數據丟失，也可以讓非法入侵者得到的是加密文件，無法了解其信息內容。上述的五層安全體系并非孤立分散。他們是有機的結合體，通過互相的數據共享和聯通，形成整個網絡體系架構，以上便是本文所設計及介紹的五層網絡安全體系。

1.2安全技術分析

從上個世紀網絡盛行時，網絡安全就被世人所關注，針對網絡漏洞和病毒，科學家和研究者制定出各種協議和規則，甚至研究出各種網絡安全技術，下面就幾種成熟的網絡安全技術進行分別介紹。

（1）防火墻技術。

防火墻作為一種網絡數據核查軟件，很好的杜絕了網絡用戶通過非法渠道獲取其他網絡用戶信息，它通過分包和IP地址并行校驗機制，對外來數據進行一一檢查，此種技術很好的保障了內部數據的安全性。目前，防火墻技術主要是分組過濾和服務兩種類型，它們的主要宗旨是保護外來非法數據對本地數據的入侵和破壞，防火墻技術是一種真正保證本地數據的有效工具，它通過固定的網絡協議對往來電子郵件進行過濾，使進出數據都得到了很好的檢驗。

（2）應用網關。

應用網關主要是針對網絡數據傳輸過程中的數據包進行過濾，一般與防火墻技術組合使用，防火墻將數據包送至應用網關，應用網關可以被用來處理電子郵件，遠程登錄，及文件傳輸。

（3）虛擬私人網絡。

虛擬網絡主要是為一些用戶專門訪問而成立的技術，因此可以在Internet上建立自己的虛擬私人網絡是一個安全的策略。通過路由器，虛擬鏈接就形成了。這樣就可以由用戶建立一個專內網絡，進行數據交換，形成內部網絡。由此可見，通過這種手段來保護數據的安全。

（4）數據加密技術。

為防止數據被外部非法用戶所竊取的另外一個重要技術就是數據加密技術，它也是目前最為常用，而且安全性和可靠性非常高，數據加密技術主要包括密鑰機制、數據傳輸、存儲和完整性等。數據傳輸加密技術。數據存儲加密技術。數據完整性鑒別技術。密鑰管理技術。

（5）智能卡技術。

智能卡技術主要是對存儲數據的磁盤進行管理，在存儲空間設置授權機制，非授權數據和非授權的操作用戶都將無法與智能卡進行交互，這種方式充分保障了智能卡總的數據安全性，適合獨立和重要數據保護應用技術之一。

2．數據加密

2.1數據加密技術

加密技術是保證某些信息只有目標接收人才能讀懂其含義的一種方法。所有的加密技術都要使用算法，算法是一種復雜的數字規則，被設計用來攪亂信息，以防止第三者對信息的截獲。密碼體制技術是研究通信安全保密的學科，它由密碼編碼學和密碼分析學兩部分組成。密碼編碼學是研究對信息進行變換，以保護信息在傳送過程中不被第三方竊取、解讀和利用的方法，它涉及對數據的保護、控制和標識。密碼分析學研究如何分析和破譯密碼，二者既相互對立，又相互促進。加密算法的抗攻擊能力可用加密強度來衡量，加密強度由三個因素組成：算法強度、密鑰的保密性、密鑰長度。加密技術是信息安全系統中常用的一種數據保護工具，而這種加密技術可用在交易過程中使用，加密體制無外乎分為兩種，一種是對稱加密，另一種是非對稱加密體制。除了這兩種加密體制外，還包括了哈希技術和數字簽名技術。這些加密技術都在五層體系架構中發揮著重要的作用。

（1）對稱加密/對稱密鑰加密/專用密鑰加密體制。

如果使用對稱加密方式，相同的密鑰被使用在信息加密和解密的過程中，加密算法可以通過使用對稱加密方法將其簡化，每個貿易方都采用相同的加密算法并只交換共享的專用密鑰，而不必彼此研究和交換專用的加密算法。

（2）非對稱加密/公開密鑰加密。

非對稱加密和公開密鑰加密同屬一個意思。即在這種加密體制中，密鑰被分解為一個加密密鑰和一個專用的解密密鑰。非對稱加密算法中最著名的就是RSA算法，它的優點是加密復雜度高，不易破解，但他的缺點是運行速度慢。因此在實際加密過程中基本不采用此種加密算法。對應加密量大的應用，公開密鑰加密算法通常用于對稱加密方法密鑰的加密。

2.2密鑰安全分析

密鑰是數據加密技術中的核心算法點，本文所討論的五層架構體系中所有的數據傳輸和存儲及訪問，都基于數據加密技術的支持，隨著技術的發展，加密技術不斷完善，但完成安全的數據通訊，僅僅有加密和解密算法還是不夠的，還需要有安全的密鑰分配協議的支持。在網絡數據傳輸過程中，采用公鑰密碼系統有較好的安全性，但加密解密的速度慢，而私鑰雖然速度快，但不安全，因此密鑰分配協議（簡稱KDP）是一種增強加密和解密的安全性。目前，世界存在的密鑰分配協議有兩種，一種是基于單一網絡的密鑰分配協議；一種是基于網絡時鐘同步的網絡密鑰分配協議；還有一種是基于層次的KDP。但這三種協議由于種種原因（必要前提、不可修補等）而不能長時間應用與數據加密技術中。

2.3可修補密鑰分配協議

本文基于數據加密技術和網絡安全的五層體系架構考慮，設計一種可替補的密鑰分配協議方法，通過此協議，增加數據加密密鑰的合理性和減小密鑰丟失的風險性，提高網絡安全性能。所謂密鑰可修補分配協議的重點在于當一個密鑰由于病毒、黑客或用戶誤操作而導致的系統漏洞，因此系統就出現各種被惡意破壞的可能存在，目前部分密鑰分配協議中采用新密鑰代替被泄露的密鑰，但也無法保證沒有了安全漏洞。而本文所設計的密鑰分配協議不僅能取代泄露的密鑰，而且可使系統恢復至初始，此種協議被稱為可替補協議。

篇3

2監聽技術的原理

網絡協議采用的工作方式是把要發送的信息數據包發往連接在一起的所有主機，在數據包頭中指定要接收該數據包的主機的地址，按協議規定，只有數據包頭中的地址與主機地址完全對應上后該主機才能接收數據包，但當某臺主機工作的監聽狀態下，就跳過檢測地址這一環節，這臺主機就可以接收所有數據包了，并全部傳遞到上一個協議層，當數據包的信息以明文的形式傳播的時候，所有的信息都將毫不設防地展現在接收者面前，遺憾的是，部分局域網上的數據信息大多都是以明文的方式傳播的。當某連鎖企業將數據信息發往另一臺主機的時候，如果正好有一個黑客或網絡不法分子承監聽，那么就不難理解為什么會出現客戶食宿信息泄漏的問題了。

3監聽的實現方法

實現網絡監聽的最基本要求就是對網卡進行設置，使其工作在混雜模式下，普通模式下的網卡必須檢測數據包攜帶的地址，只有完全相同，本臺機器才能接收這個數據包，但工作在混雜模式下的網卡，直接跳過檢測這個環節，對所有經過的數據包來者不拒，全部接收。所以，這要設置網卡的工作模式就可以實現網絡監聽。下面介紹三種設置網絡工作模式的方法。(1)使用原始套接字(rowsocket)方法：首先創建原始套接字，然后使用setsockopt()函數進行IP頭操作選項的處理，再使用bind()函數對主機網卡和原始套接字進行駁接綁定，最后，為了讓原始套接字能夠最大限度地接收經過本網絡卡的數據包，再使用ioctlsocket()函數處理，此時，該主機就可以進行網絡監聽了。這種方法相對容易，但功能也相對較弱，只能對運行在較高層次上的數據包進行接收和處理。(2)使用NDIS庫函數，NDIS庫函數有22種近300個函數，比如MiniportWanSend，表示如果驅動程序控制著WANNIC，通過網絡接口卡發送一個包到網絡上。這種方法比較復雜，功能比較強大，但是相對來講風險較大，一不小心，可能導致系統崩潰和網絡癱瘓。(3)使用中間層驅動程序，這種中間層程序可以是自行編寫的，也可以使用微軟提供的win2000DDK。(4)使用第三方捕獲組件或者庫，比如Wnpcap。

二監聽的檢測(Monitordetection)

網絡監聽是一種被動的接收，很難發現，就像你將聲音發出后，不能確定誰在聽，誰沒有聽，也不能確定誰聽取了什么內容，接收信息的機器都是被動接收同，沒有信息交換，沒有修改傳輸，所以識別監聽相對比較困難，這里討論幾種常規的檢測方法。(1)發送大量無地址或錯地址的數據包，然后比較發送前后某臺機器的運行狀況，如果該機器綜合性能明顯降低，該臺機器很可能運行機制了監聽程序，因為監聽程序要接收并處理數據包的海量信息，這樣會占用機器的資源，所以綜合性能就會下降。(2)用錯誤的IP地址ping，如果某臺機器對于錯誤的地址也有響應，則可以判定這臺機器運行了監聽程序，這是因為正常的機器不接收錯誤的物理地址，處于監聽狀態的機器能接收。(3)使用第三方檢測工具，比如Antisniffer就是一個常用的安全監視工具，用來監測網絡內的主機的網卡是否處于混雜模式，以此來判斷該機器是否在運行監聽程序。

三監聽的防范(Monitoringprevention)

1網絡分段

網絡分段是一種比較簡單的經濟的防范方式。它的基本原理是將一個大的物理范圍網絡劃分為多個邏輯范圍子網絡。網絡分段目的是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法監聽。一個網段就是一個小的局域網，監聽的機器只能在在屬于自己的小網段內監聽，不會聽到別的網段內的信息，減少安全隱患。這就像會議的分組討論，一個“間諜”只有在一個小組內部監聽，不能監聽到別的小組，而不同小組討論的信息內容是不一樣的，這樣減少信息被盜取的范圍和程度。

2“以交代共”

這里的“交”指的是交換式集線器，“共”指的是共享式集線器。交換式集線器也叫交換機，它通過對信息進行重新生成，并經過內部處理后轉發至指定端口，也就是說使用了交換機后可以直接將信息唯一性地發住目標機器，這樣監聽機器就不能聽到傳播的信息，從而對監聽進行有效的防范。就像點對點的電話通訊，發送者和接收者通過單線聯系，別人聽不到自己在說什么，從而保證信息的安全。

3建立虛擬局域網虛

擬局域網(VLAN)，是指網絡中的站點不拘泥于所處的物理位置，而可以根據需要靈活地加入不同的邏輯子網中的一種網絡技術。建立了虛擬局域網后，各虛擬網之間不能直接進行通訊，而必須通過路由器轉發，為高級的安全控制提供了可能，增強了網絡的安全性。可以防止大部分基于網絡監聽的入侵。這樣即使有某一臺機器在執行監聽功能，但其可能不確定在某個邏輯子網，從而監聽不到特定的數據信息，并且高層次的安全控制手段再落實到位，可能不論在哪個邏輯子網都無法監聽到信息。

4信息加密信息加密技術

日益成熟，人們的安全意識也日漸增加，所以信息加密在目前年看來是一種簡單可行的方法，我們只要在網絡上傳輸信息就一定要加密，經過加密的數據即使被監聽者捕獲到，但得到的信息都是亂碼，從而變成一堆無用的垃圾。如果監聽者要對捕獲的加密信息進行解密，那又將大大加重監聽者的成本，特別是現在先進的加密技術下，監聽到的數據信息有用的可用的將越來越少。

篇4

1.1網絡安全的概念

國際標準化組織（ISO）將“計算機安全”定義為：“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網絡安全性的含義是信息安全的引申，即網絡安全是對網絡信息保密性、完整性和可用性的保護。

1.2網絡安全的現狀

目前歐州各國的小型企業每年因計算機病毒導致的經濟損失高達220億歐元，而這些病毒主要是通過電子郵件進行傳播的。據反病毒廠商趨勢公司稱，像Sobig、Slammer等網絡病毒和蠕蟲造成的網絡大塞車，去年就給企業造成了550億美元的損失。而包括從身份竊賊到間諜在內的其他網絡危險造成的損失則很難量化，網絡安全問題帶來的損失由此可見一斑。

2網絡安全的主要技術

安全是網絡賴以生存的保障，只有安全得到保障，網絡才能實現自身的價值。網絡安全技術隨著人們網絡實踐的發展而發展，其涉及的技術面非常廣，主要的技術如認證、加密、防火墻及入侵檢測是網絡安全的重要防線。

2.1認證

對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問，使用認證機制還可以防止合法用戶訪問他們無權查看的信息。現列舉幾種如下：

2.1.1身份認證

當系統的用戶要訪問系統資源時要求確認是否是合法的用戶，這就是身份認證。常采用用戶名和口令等最簡易方法進行用戶身份的認證識別。

2.1.2報文認證

主要是通信雙方對通信的內容進行驗證，以保證報文由確認的發送方產生、報文傳到了要發給的接受方、傳送中報文沒被修改過。

2.1.3訪問授權

主要是確認用戶對某資源的訪問權限。

2.1.4數字簽名

數字簽名是一種使用加密認證電子信息的方法，其安全性和有用性主要取決于用戶私匙的保護和安全的哈希函數。數字簽名技術是基于加密技術的，可用對稱加密算法、非對稱加密算法或混合加密算法來實現。

2.2數據加密

加密就是通過一種方式使信息變得混亂，從而使未被授權的人看不懂它。主要存在兩種主要的加密類型：私匙加密和公匙加密。

2.2.1私匙加密

私匙加密又稱對稱密匙加密，因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性，它不提供認證，因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快，很容易在硬件和軟件件中實現。

2.2.2公匙加密

公匙加密比私匙加密出現得晚，私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密信息。公匙加密系統的缺點是它們通常是計算密集的，因而比私匙加密系統的速度慢得多，不過若將兩者結合起來，就可以得到一個更復雜的系統。

2.3防火墻技術

防火墻是網絡訪問控制設備，用于拒絕除了明確允許通過之外的所有通信數據，它不同于只會確定網絡信息傳輸方向的簡單路由器，而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊，其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和服務器技術，它們的安全級別依次升高，但具體實踐中既要考慮體系的性價比，又要考慮安全兼顧網絡連接能力。此外，現今良好的防火墻還采用了VPN、檢視和入侵檢測技術。

防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內外提供一致的安全策略；而且防火墻只實現了粗粒度的訪問控制，也不能與企業內部使用的其他安全機制（如訪問控制）集成使用；另外，防火墻難于管理和配置，由多個系統（路由器、過濾器、服務器、網關、保壘主機）組成的防火墻，管理上難免有所疏忽。

2.4入侵檢測系統

入侵檢測技術是網絡安全研究的一個熱點，是一種積極主動的安全防護技術，提供了對內部入侵、外部入侵和誤操作的實時保護，在網絡系統受到危害之前攔截相應入侵。隨著時代的發展，入侵檢測技術將朝著三個方向發展：分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。

入侵檢測系統（InstusionDetectionSystem，簡稱IDS）是進行入侵檢測的軟件與硬件的組合，其主要功能是檢測，除此之外還有檢測部分阻止不了的入侵；檢測入侵的前兆，從而加以處理，如阻止、封閉等；入侵事件的歸檔，從而提供法律依據；網絡遭受威脅程度的評估和入侵事件的恢復等功能。.5虛擬專用網（VPN）技術

VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一，所謂虛擬專用網（VPN）技術就是在公共網絡上建立專用網絡，使數據通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制，這兩種機制為路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全：隧道技術（Tunneling)、加解密技術（Encryption&Decryption)、密匙管理技術（KeyManagement)和使用者與設備身份認證技術（Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務，這些安全服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法，如按接入方式分成專線VPN和撥號VPN；按隧道協議可分為第二層和第三層的；按發起方式可分成客戶發起的和服務器發起的。

2.6其他網絡安全技術

（1）智能卡技術，智能卡技術和加密技術相近，其實智能卡就是密匙的一種媒體，由授權用戶持有并由該用戶賦與它一個口令或密碼字，該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯合使用。

（2）安全脆弱性掃描技術，它為能針對網絡分析系統當前的設置和防御手段，指出系統存在或潛在的安全漏洞，以改進系統對網絡入侵的防御能力的一種安全技術。

（3）網絡數據存儲、備份及容災規劃，它是當系統或設備不幸遇到災難后就可以迅速地恢復數據，使整個系統在最短的時間內重新投入正常運行的一種安全技術方案。

其他網絡安全技術還有我們較熟悉的各種網絡防殺病毒技術等等。

3網絡安全問題的由來

網絡設計之初僅考慮到信息交流的便利和開放，而對于保障信息安全方面的規劃則非常有限，這樣，伴隨計算機與通信技術的迅猛發展，網絡攻擊與防御技術循環遞升，原來網絡固有優越性的開放性和互聯性變成信息的安全患之便利橋梁。網絡安全已變成越來越棘手的問題，只要是接入到因特網中的主機都有可能被攻擊或入侵了，而遭受安全問題的困擾。

目前所運用的TCP/IP協議在設計時，對安全問題的忽視造成網絡自身的一些特點，而所有的應用安全協議都架設在TCP/IP之上，TCP/IP協議本身的安全問題，極大地影響了上層應用的安全。網絡的普及和應用還是近10年的事，而操作系統的產生和應用要遠早于此，故而操作系統、軟件系統的不完善性也造成安全漏洞；在安全體系結構的設計和實現方面，即使再完美的體系結構，也可能一個小小的編程缺陷，帶來巨大的安全隱患；而且，安全體系中的各種構件間缺乏緊密的通信和合作，容易導致整個系統被各個擊破。

4網絡安全問題對策的思考

網絡安全建設是一個系統工程、是一個社會工程，網絡安全問題的對策可從下面4個方面著手。

網絡安全的保障從技術角度看。首先，要樹立正確的思想準備。網絡安全的特性決定了這是一個不斷變化、快速更新的領域，況且我國在信息安全領域技術方面和國外發達國家還有較大的差距，這都意味著技術上的“持久戰”，也意味著人們對于網絡安全領域的投資是長期的行為。其次，建立高素質的人才隊伍。目前在我國，網絡信息安全存在的突出問題是人才稀缺、人才流失，尤其是拔尖人才，同時網絡安全人才培養方面的投入還有較大缺欠。最后，在具體完成網絡安全保障的需求時，要根據實際情況，結合各種要求（如性價比等），需要多種技術的合理綜合運用。

網絡安全的保障從管理角度看。考察一個內部網是否安全，不僅要看其技術手段，而更重要的是看對該網絡所采取的綜合措施，不光看重物理的防范因素，更要看重人員的素質等“軟”因素，這主要是重在管理，“安全源于管理，向管理要安全”。再好的技術、設備，而沒有高質量的管理，也只是一堆廢鐵。

網絡安全的保障從組織體系角度看。要盡快建立完善的網絡安全組織體系，明確各級的責任。建立科學的認證認可組織管理體系、技術體系的組織體系，和認證認可各級結構，保證信息安全技術、信息安全工程、信息安全產品，信息安全管理工作的組織體系。

最后，在盡快加強網絡立法和執法力度的同時，不斷提高全民的文明道德水準，倡導健康的“網絡道德”，增強每個網絡用戶的安全意識，只有這樣才能從根本上解決網絡安全問題。

參考文獻

1張千里，陳光英.網絡安全新技術[M].北京：人民郵電出版社，2003

篇5

2通信網絡安全現狀

互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間，網絡技術的迅速發展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯網的上述特性，產生了許多安全問題。

計算機系統及網絡固有的開放性、易損性等特點使其受攻擊不可避免。

計算機病毒的層出不窮及其大范圍的惡意傳播，對當今日愈發展的社會網絡通信安全產生威脅。

現在企業單位各部門信息傳輸的的物理媒介，大部分是依靠普通通信線路來完成的，雖然也有一定的防護措施和技術，但還是容易被竊取。

通信系統大量使用的是商用軟件，由于商用軟件的源代碼，源程序完全或部分公開化，使得這些軟件存在安全問題。

3通信網絡安全分析

針對計算機系統及網絡固有的開放性等特點，加強網絡管理人員的安全觀念和技術水平，將固有條件下存在的安全隱患降到最低。安全意識不強，操作技術不熟練，違反安全保密規定和操作規程，如果明密界限不清，密件明發，長期重復使用一種密鑰，將導致密碼被破譯，如果下發口令及密碼后沒有及時收回，致使在口令和密碼到期后仍能通過其進入網絡系統，將造成系統管理的混亂和漏洞。為防止以上所列情況的發生，在網絡管理和使用中，要大力加強管理人員的安全保密意識。

軟硬件設施存在安全隱患。為了方便管理，部分軟硬件系統在設計時留有遠程終端的登錄控制通道，同時在軟件設計時不可避免的也存在著許多不完善的或是未發現的漏洞(bug)，加上商用軟件源程序完全或部分公開化，使得在使用通信網絡的過程中，如果沒有必要的安全等級鑒別和防護措施，攻擊者可以利用上述軟硬件的漏洞直接侵入網絡系統，破壞或竊取通信信息。

傳輸信道上的安全隱患。如果傳輸信道沒有相應的電磁屏蔽措施，那么在信息傳輸過程中將會向外產生電磁輻射，從而使得某些不法分子可以利用專門設備接收竊取機密信息。

另外，在通信網建設和管理上，目前還普遍存在著計劃性差。審批不嚴格，標準不統一，建設質量低，維護管理差，網絡效率不高，人為因素干擾等問題。因此，網絡安全性應引起我們的高度重視。

4通信網絡安全維護措施及技術

當前通信網絡功能越來越強大，在日常生活中占據了越來越重要的地位，我們必須采用有效的措施，把網絡風險降到最低限度。于是，保護通信網絡中的硬件、軟件及其數據不受偶然或惡意原因而遭到破壞、更改、泄露，保障系統連續可靠地運行，網絡服務不中斷，就成為通信網絡安全的主要內容。

為了實現對非法入侵的監測、防偽、審查和追蹤，從通信線路的建立到進行信息傳輸我們可以運用到以下防衛措施：“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網絡系統權限分級，權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽，從而達到網絡分級機制的效果;“網絡授權”通過向終端發放訪問許可證書防止非授權用戶訪問網絡和網絡資源;“數據保護”利用數據加密后的數據包發送與訪問的指向性，即便被截獲也會由于在不同協議層中加入了不同的加密機制，將密碼變得幾乎不可破解;“收發確認”用發送確認信息的方式表示對發送數據和收方接收數據的承認，以避免不承認發送過的數據和不承認接受過數據等而引起的爭執;“保證數據的完整性”，一般是通過數據檢查核對的方式達成的，數據檢查核對方式通常有兩種，一種是邊發送接收邊核對檢查，一種是接收完后進行核對檢查;“業務流分析保護”阻止垃圾信息大量出現造成的擁塞，同時也使得惡意的網絡終端無法從網絡業務流的分析中獲得有關用戶的信息。

為了實現實現上述的種種安全措施，必須有技術做保證，采用多種安全技術，構筑防御系統，主要有：

防火墻技術。在網絡的對外接口采用防火墻技術，在網絡層進行訪問控制。通過鑒別，限制，更改跨越防火墻的數據流，來實現對網絡的安全保護，最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制，防止Internet上的不安全因素蔓延到局域網內部，所以，防火墻是網絡安全的重要一環。

入侵檢測技術。防火墻保護內部網絡不受外部網絡的攻擊，但它對內部網絡的一些非法活動的監控不夠完善，IDS（入侵檢測系統）是防火墻的合理補充，它積極主動地提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵，提高了信息安全性。

網絡加密技術。加密技術的作用就是防止公用或私有化信息在網絡上被攔截和竊取，是網絡安全的核心。采用網絡加密技術，對公網中傳輸的IP包進行加密和封裝實現數據傳輸的保密性、完整性，它可解決網絡在公網上數據傳輸的安全性問題也可解決遠程用戶訪問內網的安全問題。

身份認證技術。提供基于身份的認證，在各種認證機制中可選擇使用。通過身份認證技術可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。

虛擬專用網(VPN)技術。通過一個公用網(一般是因特網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等跟公司的內網連接起來，構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在，仿佛所有的機器都處于一個網絡之中。

漏洞掃描技術。面對網絡的復雜性和不斷變化的情況，僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估，顯然是不夠的，我們必須通過網絡安全掃描工具，利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網絡模擬攻擊從而暴露出網絡的漏洞。

結束語

目前解決網絡安全問題的大部分技術是存在的，但是隨著社會的發展，人們對網絡功能的要求愈加苛刻，這就決定了通信網絡安全維護是一個長遠持久的課題。我們必須適應社會，不斷提高技術水平，以保證網絡安全維護的順利進行。

參考文獻

[1]張詠梅.計算機通信網絡安全概述.中國科技信息，2006.

[2]楊華.網絡安全技術的研究與應用.計算機與網絡，2008

[3]馮苗苗.網絡安全技術的探討.科技信息，2008.

[4]姜濱，于湛.通信網絡安全與防護.甘肅科技，2006.

[5]艾抗，李建華，唐華.網絡安全技術及應用.濟南職業學院學報，2005.

[6]羅綿輝，郭鑫.通信網絡安全的分層及關鍵技術.信息技術，2007.

篇6

1.1選題來源

隨著信息時代的高速發展，以校園網絡為平臺的應用也越來越廣泛，例如校園一卡通服務、辦公自動化應用(OA)、教務管理、圖書管理、電子郵件服務、校校通服務、網上學習等。然而在開放式網絡環境下，校園網絡的使用過程中面臨著各種各樣的安全隱患，一方面，由于使用校園網絡最多的是學生和教師，學生對于網絡這樣的新鮮事物非常感興趣，可能會下載一些黑客軟件或帶有病毒的軟件，從而破壞校園網絡系統，加之學生不懂得愛惜，對于暴露在外界的網絡設備造成一定破壞，據統計，80%的校園網絡的攻擊都來自于校園網內部[1]；另一方面，來自外部的網絡用戶對IP地址的盜用、黑客攻擊、病毒攻擊、系統漏洞、信息泄露等方面的隱患也會對校園網絡造成破壞。綜上所述，校園網絡的安全問題既有內部因素，也有外部攻擊。因此，如何在現有條件下，充分應用各種安全技術，有效的加強、鞏固校園網絡安全問題非常重要。通過筆者在昌吉市一中網絡中心實習的經歷，發現昌吉市一中校園網絡原有方案只是簡單地采用防火墻等有限措施來保護網絡安全。防火墻是屬于靜態安全技術范疇的外圍保護，需要人工實施和維護，不能主動跟蹤入侵者。而管理員無法了解網絡的漏洞和可能發生的攻擊，嚴重的影響的正常的教學工作。因此針對中學校園網絡安全的防護更不容輕視。[2-3]

1.2選題意義

校園網絡的安全建設極其重要，源于校園網一方面為各個學校提供各種本地網絡基礎性應用，另一方面它也是溝通學校校園網絡內部和外部網絡的一座橋梁。校園網絡應用遍及學校的各個角落，為師生提供了大量的數據資源，方便了師生網上教學、交流、專題討論等活動，為教學和科研提供了很好的平臺，因此存在安全隱患的校園網絡對學校的教學、科研和辦公管理都會造成嚴重的影響。根據學校的不同性質，保證網絡穩定、安全和高效運行是校園網絡建設的首要任務。因此做好校園網絡安全的防護及相應對策至關重要，即本論文選題意義。[4]

2、國內外研究狀況

2.1國外網絡安全現狀

由于筆者查閱文獻資料的有限性，沒有查到國外校園網絡安全現狀的資料，因此針對國外所采取的網絡安全措施進行如下概述：

(1)法律法規的制定。近年來，世界各國紛紛意識到網絡安全與信息安全的重要性，并制定相關的法律法規規范廣大網絡用戶的行為。美國、俄羅斯、英國、日本、法國等其他許多國家都相繼成立國家級信息安全機構，完善網絡防護管理體制，采取國家行為強化信息安全建設。

(2)網絡防護應急反應機制的建立。面對網絡反恐、黑客、信息的泄露、網絡入侵、計算機病毒及各類蠕蟲木馬病毒等一系列網絡危機，世界各國通過建立網絡防護應急反應機制。分別從防火墻技術、入侵檢測系統、漏洞掃描、防查殺技術等傳統的安全產品方面入手，防止各種安全風險，并加快網絡安全關鍵技術的發展和更新.動態提升網絡安全技術水平。

綜上所述，網絡安全的問題將隨著技術的不斷發展越來越受到重視。然而，網絡技術不斷發展的今天，網絡安全問題只能相對防御，卻無法真正的達到制止。[5-7]

2.2國內網絡安全現狀

由于我國在網絡安全技術方面起步比其他信息發達國家晚，發展時間較短，技術不夠純熟，面對各種網絡安全問題有些應接不暇，主要是由于自主的計算機網絡核心技術和軟件缺乏，信息安全的意識較為淺薄，不少事企單位沒有建立相應的網絡安全防范機制以及網絡安全管理的人才嚴重缺乏，無法跟上網絡的飛速發展。面對這一系列的問題，我國通過制定政策法規，如GB/T18336一2001(《信息技術安全性評估準則》)、GJB2646一96(《軍用計算機安全評估準則》等來規范網絡用戶的使用，還通過技術方面的措施進行防護，如加密認證、數字簽名、訪問控制列表、數據完整性、業務流填充等措施進行網絡安全的維護。然而通過技術措施進行網絡維護的過程中，網絡管理員對技術的偏好和運營意識的不足，普遍都存在“重技術、輕安全、輕管理”的傾向，致使在管理、維護網絡安全方面還有很大的漏洞。[5]國內網絡安全整體的現狀如上所述，通過大量文獻的閱讀，發現數據信息危害和網絡設備危害是校園網絡安全現在主要面臨的兩大問題，主要威脅有病毒的傳播與攻擊、黑客的入侵、信息的篡改等一系列安全隱患，通過采取加密認證、訪問控制技術、防火墻、漏洞掃描等措施進行防護。[3]中學校園網絡管理者如何保證校園網絡能正常的運行不受各種網絡黑客的侵害就成為各個中學校園不可回避的問題，并且逐漸引起了各方面的重視。[8-10]

3、本選題的研究目標及內容創新點：

3.1研究目標：

本文在對當前校園網絡面臨的各類安全問題進行詳細分析的基礎上，深入、系統的探討了目前常用的各種網絡安全技術的功能以及優缺點，并以昌吉市一中等中學校園網絡為研究對象，分別從中學校園網絡的物理因素、技術因素、管理因素等角度分析威脅校園網絡安全的因素，并結合昌吉市一中校園網絡現有的條件，分別從設備管理、技術提供、管理人員意識等方面充分應用各種安全技術，有效加強、鞏固校園網絡安全，提出解決網絡安全問題的策略及防范措施。從而綜合利用各種網絡安全技術保障本校的校園網絡的安全、穩定、高效運行。

3.2內容創新點：

(1)通過對昌吉市一中的校園網絡進行分析，并結合文獻資料參考其他中學校園網絡安全的問題，總結出中學校園網絡安全存在常見的安全隱患，并制定出針對中學校園網絡隱患所采取的防范措施。

(2)將制定出的網絡安全防范措施運用于昌吉市一中校園網絡，制定出真正合理的、恰當的、適合現有條件的網絡安全防范措施，并對昌吉市一中的校園網絡進行展望，使得校園網絡可持續發展。

參考文獻

[1]段海新.CERNET校園網安全問題分析與對策[J].中國教育網絡，2005.03

[2]袁修春.校園網安全防范體系.[D].西北師范大學.計算機應用技術.2005，5

[3]鐘平.校園網安全技術防范研究[D].廣東.廣東工業大學.2007，4：3

[4]蔡新春.校園網安全防范技術的研究與實現[D].軟件工程2009，4

[5]董鈺.基于校園網的網絡安全體系結構研究與設計[D].山東.計算機軟件與理論.2005，5：11-12

[6]王先國.校園網絡安全系統的研究與設計.[D].南京.計算機技術.2009.12

[7]定吉安.常用網絡安全技術在校園網中的應用研究[D].山東.計算機軟件與理論.2011，4

[8]顧潤龍.影響校園網絡安全的主要因素及防范措施.[J].咸寧學院學報.2012，9(32)：155-156

[9]張伯江.國外信息安全發展動向[J].信息安全動態，2002，8(7)：36-38

[10]譚耀遠.新世紀中國信息安全問題研究.[D].大連.大連海事大學.2011，6

一、采用的研究方法及手段(1、內容包括：選題的研究方法、手段及實驗方案的可行性分析和已具備的實驗條件等。2、撰寫要求：宋體、小四號。)

1、文獻研究法：查找文獻資料時借助圖書館及網絡，搜集、鑒別、整理文獻。從前人的研究中得出對我們的研究有價值的觀點與例證。本研究采用文獻研究法的目的：

(1)查取大量校園網絡安全問題常見的問題，結合昌吉市一中的校園網絡現狀進行分析。

(2)對國內外的網絡安全防范措施進行分析，選擇適合昌吉市一中校園網絡安全所應對的策略。

2.訪談法：通過與昌吉市一中網絡信息中心的教師交流探討，以訪談的形式了解昌吉市一中校園網絡的現狀。

論文的框架結構(宋體、小四號)

第一章：緒論

第二章：影響中學校園網絡安全的因素

第三章：常用的校園網絡安全技術

第四章：校園網絡安全建設

-----以昌吉市一中校園網絡安全體系需求分析及設計

第五章：總結和展望。

論文寫作的階段計劃(宋體、小四號)

第一階段：20xx.10.1—20xx.11.20選定論文題目，學習論文寫作方法及注意項；

第二階段：20xx.11.20—20xx.12.25與孫老師見面，在孫教師的指導下，搜集材料閱讀有關文獻資料，按照開題報告的格式和要求完成《昌吉學院本科畢業論文(設計)開題報告》的撰寫；

第三階段：20xx.12.26—20xx.1.3寫出開題報告，并與指導教師充分溝通，做好開題報告答辯準備；

第四階段：20xx.1.5—20xx.1.13開題報告論證答辯；

第五階段：20xx.1.17—20xx.3.25在指導教師指導下，開始畢業論文的寫作，至3月25日完成初稿交指導教師；

第六階段：20xx.3.25—20xx.3.31寫出中期報告書，接受中期檢查。并根據指導教師建議完成初稿的修改；

第七階段：20xx.4.1—20xx.4.10根據指導教師建議完成二稿的修改；

第八階段：20xx.4.11—20xx.4.20根據指導教師建議完成三稿的修改；

篇7

1.2計算機病毒安全問題

計算機一旦受到病毒的入侵，將會出現嚴重的運行問題，如系統癱瘓、傳輸數據失真以及數據庫信息丟失等。計算機病毒具有典型的潛伏性、傳染性、隱蔽性和破環性，目前，計算機病毒種類主要有以下四種：第一，木馬病毒。該類病毒的主要目的是竊取計算機上的數據信息，具有典型的誘騙性；第二，蠕蟲病毒。熊貓燒香是該類病毒的典型代表，以用戶計算機上出現的漏洞為切入點，綜合使用攻擊計算機終端的方式控制計算機系統，該病毒具有較強的傳播性和變異性；第三，腳本病毒。該病毒主要發生在互聯網網頁位置；第四，間諜病毒。要想提升某網頁的訪問量，強制要求計算機用戶主頁預期鏈接。伴隨著科技的發展，計算機網絡應用范圍不斷擴大，各種類型病毒的破壞性也隨之增加。

1.3黑客

通過網絡攻擊計算機目前，我國仍存在著大量非法人員對計算機系統進行攻擊等行為，這類人員大都掌握著扎實的計算機和計算機安全漏洞技術，對計算機用戶終端與網絡做出強有力的破壞行為是他們的主要目的。黑客攻擊計算機網絡的主要形式有三種：第一，利用虛假的信息攻擊網絡；第二，利用木馬或者病毒程序對計算機用戶的電腦進行控制；第三，結合計算機用戶瀏覽網頁的腳本漏洞對其進行攻擊。

2計算機網絡安全技術在企業網中的應用

2.1防火墻技術

防護墻技術是計算機網絡安全技術在企業網中應用的主要表現形式之一。防火墻技術的應用能夠從根本上解決計算機病毒安全問題，在實際應用過程中，計算機網絡安全中心的防火墻技術被分為應用級防火墻和包過濾防火墻兩種形式。其中應用型防護墻的主要目的是保護服務器的安全，在掃描終端服務器的數據后，如果發現有意或者不合常理等攻擊行為，系統應該及時切斷服務器與內網服務器之間的交流，采用終端病毒傳播的方式保護企業網的安全。包過濾防火墻的主要工作任務是及時過濾路由器傳輸給計算機的數據信息，這種過濾手段可以阻擋病毒信息入侵計算機系統，并第一時間內通知用戶攔截病毒信息，為提高企業網的安全性提供技術保障。下圖1是企業網防護墻配置示意圖。Intranet周邊網絡InternetInternet防火墻周邊防火墻內部網絡服外部網絡務器服務器圖1防火墻配置

2.2數據加密技術

數據加密技術是計算機網絡安全技術在企業網中應用的另一種表現形式。在企業發展建設過程中，要想提高企業發展信息的安全性和可靠性，企業必須在實際運行的計算機網絡中綜合使用數據加密技術。數據加密技術要求將企業網內的相關數據進行加密處理，在傳輸和接收數據信息的過程中必須輸入正確的密碼才能打開相關文件，這為提高企業信息的安全性提供了技術保障。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種，其中對稱加密算法中使用的加密和加密信息保持一致，非對稱加密算法中加密方法和解密方法存在較大的差異，通常很難被黑客破解，這兩種加密形式在企業網中均得到了廣泛應用。

2.3病毒查殺技術

病毒查殺技術是計算機網絡安全技術在企業網中應用的表現形式之一。病毒對計算機安全有極大的威脅，該技術要求企業技術對計算機操作系統進行檢測和更新，減少系統出現漏洞的頻率；杜絕用戶在不經允許的情況下私自下載不正規的軟件；安裝正版病毒查殺軟件的過程中還應該及時清理病毒數據庫；控制用戶瀏覽不文明的網頁；在下載不明郵件或者軟件后立即對不良文件進行病毒查殺處理，確定文件的安全性后才能投入使用。

2.4入侵檢測技術

入侵檢測技術在企業網安全運行中發揮著至關重要的作用，其作用主要表現在以下幾方面：第一，收集計算機操作系統、網絡數據及相關應用程序中存在的信息數據；第二，找尋計算機系統中可能存在的侵害行為；第三，自動發出病毒侵害報警信號；第四，切斷入侵途徑；第五，攔截入侵。入侵檢測技術在企業網中的應用具有較強的安全性特征，該技術的主要任務是負責監視企業網絡運行狀況，對網絡的正常運行不會產生任何影響。入侵檢測技術使用的網絡系統以基于主機系統和基于網絡的入侵系統為主。基于主機系統的入侵檢測技術主要針對企業網的主機系統、歷史審計數據和用戶的系統日志等，該檢測技術具有極高的準確性，但是，實際檢測過程中很容易引發各種問題，如數據失真和檢測漏洞等；基于網絡入侵檢測技術以其自身存在的特點為依據，以網絡收集的相關數據信息為手段，在第一時間將入侵分析模塊里做出的測定結果發送給網絡管理人，該技術具有較強的抗攻擊能力、能在短時間內做出有效的檢測，但是，由于該技術能對網絡數據包的變化狀況進行監控，在實際過程中會給加密技術帶來一定程度影響。入侵檢測技術在企業網的應用過程中通常表現為誤用檢測和異常檢測兩種形式。誤用檢測通常以已經確定的入侵模式為主，在實際檢測過程中，該檢測方法具有響應速度快和誤警率低等特點，但是，該檢測技術需要較長的檢測時間為支撐，實際耗費的工作量比較大。異常檢測的主要對象是計算機資源中用戶和系統非正常行為和正常行為情況，該檢測法誤警率較高，在實際檢測過程中必須對整個計算機系統進行全盤掃描，因此，必須有大量的檢測時間作支撐。

篇8

1.2完整性

網絡系統的完整性是指網絡信息在傳輸過程中不能因為任何原因，發生網絡信摻入、重放、偽造、修改、刪除等破壞現象[1]，影響網絡信息的完整性。通過信息攻擊、網絡病毒、人為攻擊、誤碼、設備故障等原因都會造成網絡信息完整性的破壞。

1.3保密性

網絡系統的保密性是指網絡系統要保證用戶信息不能發生泄露，主要體現在網絡系統的可用性和可靠性，是網絡系統安全的重要指標。保密性不同于完整性，完整性強調的是網絡信息不能被破壞，保密性是指防止網絡信息的發生泄露[2]。

1.4真實性

網絡系統的真實性是指網絡用戶對網絡系統操作的不可抵賴性，任何用戶都不能抵賴或者否定曾經對網絡系統的承諾和操作。

1.5可靠性

網絡系統的可靠性是指系統的安全穩定運行，網絡系統要在一定的時間和條件下穩定的完成網絡用戶指定的任務和功能，網絡系統的可靠性是網絡安全最基本的要求。

1.6可控性

網絡系統的可控性是指網絡系統可以控制和調整網絡信息傳播方式和傳播內容的能力，為了保障國家和廣大人民的利益，為正常的社會管理秩序，網絡系統管理者有必要對網絡信息進行適當的監督和控制，避免外地侵犯和社會犯罪，維護網絡安全。

2網絡安全技術在校園網中的應用

2.1防火墻

防火墻是指管理校園網和外界互聯網之間用戶訪問權限的軟件和硬件的組合設備[3]，防火墻處于校園網和外界互聯網之間的通道中，能夠有效地阻斷來自外界的病毒和非法訪問，能夠有效地提高校園網的網絡安全。防火墻可以有效攔截來自外界的不安全的訪問服務，同時還可以對防火墻進行設置，屏蔽有危害、不健康的網絡網站，降低校園網的安全危害。另外防火墻還可以有效地監控用戶對校園網的訪問，記錄用戶的訪問記錄，保存到網絡數據庫中，可以快速統計校園網的使用情況，在分析用戶訪問記錄如果發現用戶的操作存在安全問題，防火墻可以及時發出報警信號，提醒用戶的這個非法操作，防止校園網內部信息的泄露、另外，防火墻可以和NAT技術高效地結合起來，用于隱藏校園網的網絡結構信息，提高校園網的安全系數，同時防火墻和NAT技術的高效結合很好地解決了校園網IP不足的情況，提高了校園網的運行效率。防火墻在校園網中的應用，完善了校園網內部的網絡隔斷，即使校園網發生安全問題，也可以在短時間內控制問題擴散的速度和范圍。防火墻在校園網中發揮著重要的作用，能夠有效地阻斷來自外界互聯網的安全侵害，但是防火墻不能阻止校園網內部的安全問題，不能拒絕和控制校園網內部的感染病毒。

2.2VPN技術

VPN技術在校園網的應用，通過VPN設備將校內局域網和外部的互聯網連接起來，可以提高校園網的數據安全。VPN服務器經過設置后，只有符合相應條件的用戶經過連接VPN服務器才能獲得訪問特定網絡信息的權限，拒絕校園網內用戶的危險操作。VPN技術可以實現用戶驗證，通過驗證校內網用戶的身份，只有符合條件的授權用戶才能連接到VPN服務器，進行相關訪問。其次實現校園網數據加密，VPN技術可以將通過互聯網通道傳輸的數據進行加密，只有經過授權的用戶才能訪問這些信息。再次實現校園網密鑰管理，通過生成校園網和互聯網的基本協議，提高校園網的可靠性。并且VPN技術在校園網中的應用不需要安裝VPN的客戶端設備，降低了校園網安全管理的成本。通過VPN技術，校園網絡管理員可以對校園網內用戶的操作進行實時監控，及時發現校園網絡故障點，進行遠程維護，提高校園網維護管理能力。

2.3入侵檢測技術

入侵檢測技術在校園網中的應用，可以檢測校園網絡中一些不安全的網絡操作行為，一旦檢測到網絡系統中的一些異常現象和未授權的網絡操作，就會發出網絡報警信號。入侵檢測技術可以自動分析校園網絡的用戶活動，檢測出校園網中授權用戶的非法使用和未授權用戶的越權使用[4]。入侵檢測技術還可以監控校園網絡系統的配置情況，檢測出系統安全漏洞，提醒校園網絡管理人員及時進行維護。另外，入侵檢測技術在識別網絡攻擊和網絡威脅方面具有重要的作用，可以及時發出報警信號，并且拒絕和處理網絡攻擊入侵行為，結合發現的網絡攻擊模式，檢測校園網系統結構是否存在安全漏洞，提高校園網的數據完整性，進行系統評估。

2.4訪問控制技術

訪問控制技術主要是用來控制校園網用戶的非法訪問和非法操作，用戶想要進入校園網，首先要通過訪問控制，經過驗證識別用用戶口令、戶名、密碼等，確定該用戶是否具有訪問校園網的權限，當用戶進入校園網后，就會賦予用戶訪問操作權限，使校園網絡資源不會被未授權用戶非法使用和非法訪問。

2.5網絡數據恢復和備份技術

校園網中的網絡數據恢復和備份技術，可以防止校園網信息數據丟失，保護校園網重要信息資源。網絡數據恢復和備份技術可以實現集中式的網絡信息資源管理，對整個校園網系統中的信息資源進行備份管理，可以極大地提高校園網管理員的工作效率，實現網絡資源的統一管理，利用網絡備份設備實時監控校園網絡中的備份作業，結合校園網的運行情況，及時修改網絡備份策略[5]，提高系統備份效率。校園網管理員可以利用網絡數據恢復和備份技術，定時對網絡數據庫中的數據進行備份，這是網絡管理重要環節。校園網的備份系統可以在用戶進行校園網訪問時，建立在線網絡索引，當用戶需要恢復網絡信息時，通過在線網絡索引中的備份系統就可以自動恢復網絡數據文件。網絡數據恢復和備份技術實現了校園網絡的歸檔管理，通過時間定期和項目管理對網絡信息數據進行歸檔管理，在網絡環境建立統一的數據備份和儲存格式，使所有網絡信息數據在統一格式中完成長時間的保存[6]。

2.6災難恢復技術

校園網中的災難恢復主要包括兩類：個別數據文件的恢復和所有信息數據的恢復。當校園網中的個別數據文件恢復可以利用網絡中備份系統完成個別受損數據文件的恢復，校園網絡管理員可以瀏覽目錄或者數據庫，觸動受損數據文件的恢復功能，系統會自動加載存儲軟件，恢復受損文件。所有信息數據的恢復主要應用在當發生意外災難時導致整個校園網系統重組、系統升級、系統崩潰和信息數據丟失等情況。

篇9

1.2計算機軟件漏洞

在長久的軟件應用過程中，發現了許多漏洞，使得軟件在使用過程中的安全性降低。這些缺陷是在軟件開發編程時經過無數次的修改測試，仍然無法解決的問題。軟件帶著這些無法解決的遺留問題流入市場，被大家廣泛應用，在享受這些軟件帶給大家生活樂趣的同時，有一些黑客會懷著惡意破壞的心里，利用這些漏洞，對網絡進行破壞。有的也可能因為軟件本身的漏洞太大，而直接自身成為計算機的一種安全威脅。

1.3計算機的配置不當

在普遍利用網絡工作和生活的今天，有很多人，因為對于網絡的認識只是表面的皮層認知，致使在使用過程中，給計算機配置不當的網絡安全設置，例如有的防火墻就是不能很好的起到防護的作用是形同虛設的，這樣就會在無意識中加大計算機的危險性，可能會引起不必要的安全性問題。

1.4使用者的安全意識薄弱

網絡安全問題除了上述一些客觀因素和主管專業性不強之外，還有一個很重要的因素是使用者沒有相應的網絡安全意識，不懂得網絡和實際的生活一樣，同樣是需要大家提高警惕，在網絡上與他人分享私人的信息，還有應用軟件時輸入一些信息口令，在大家無意識的做這些事情的同時，可能一些非法人事已經盜取了我們的信息，致使我們不必要的財產損失。

2網絡的安全技術

既然網絡上有諸多的安全問題，相對應的就會有解決的辦法，下面就一一談談上述問題的安全技術解決方案。

2.1入侵技術檢測

入侵檢測是指，通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖。是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。就像一個監控器一樣對不安全因素有實時監控的作用，可以快速及時的預防不安全因素對網絡產生的破壞。

2.2殺毒軟件應用

既然計算機病毒的出現，就有殺毒軟件的應運而生。殺毒軟件在大多數網絡用戶的計算機上都屬于常用軟件，人們使用起來都是比較方便快捷操作簡單的，但正因如此，其殺毒的功能有限，只能針對于一些小型用戶的普通病毒進行查殺，并不能很好的解決網絡安全的問題，尤其是在電子商務飛速發展的今天，殺毒軟件并不能很好的對網絡起到保護性的作用。這就要求軟件開發者不斷的技術革新，研發出更適合現代網絡的殺毒軟件。

2.3防火墻安全技術

防火墻技術，最初是針對網絡不安全因素采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。對于個人來說使用軟件防火墻，就可以很有效的解決平時遇到的網絡安全相關問題。防火墻可以對黑客起到很好的防護作用，但也并不是完全的抵御，要想實現真正的良好的環境，還應有其他的防護措施來保護網絡的安全。

2.4數據加密安全技術

數據加密技術是指通過特定的網絡密鑰才能解開計算機，從而獲得計算機的數據。通俗意義上說，就是給我們比較重要的數據加個私人密碼，讓外人在非指定的機器，沒有密碼的前提下無法獲得我們的信息，從而對我們的數據起到一個保護的作用。而高級的密碼也可以抵御黑客和病毒的入侵，使得我們的計算機網絡處于一個相對安全的環境下，保證我們的良好網絡環境。

篇10

1.3虛擬網絡技術在遠程員工和企業網之間的應用虛擬網絡技術把企業總部當做是虛擬專用網的中心連接點，在企業的內部設置具有網絡虛擬功能的防火墻，該防火墻被當做是企業的計算機網絡的出口的網關。這樣，移動的業務網點和辦公用戶要想進入防火墻設備中，就必須通過虛擬網絡客戶端進行登陸。通過這種方式，就大大提高了計算機網絡的安全。由于這種方式是通過讓采購人員和企業銷售人員一起在企業系統中傳入信息來實現遠程員工和其他企業間的信息和資源共享。所以，這種虛擬網絡技術的應用又被稱為遠程訪問式虛擬網絡技術。它在具有相當高的安全性的同時還具有低成本的優勢。

1.4虛擬網絡技術在計算機網絡信息中的應用隨著我國經濟和企業的快速發展，當前傳統的計算機安全管理模式已經不能滿足企業的發展需求。所以，在計算機網絡安全的管理中，要精簡細化企業的信息化管理，將企業各部門的信息管理系統達到有機地連接，打破傳統的企業信息化掛忙碌的空間限制，使企業管路信息同步化的目標得到實現。通過對虛擬網絡技術的應用，使得信息通路更加寬廣，打破了傳統空間的約束，企業的信息化管理也能夠更加有效。安全地進行。

2虛擬網絡技術的應用效果和發展前景

在計算機網絡安全中，虛擬網絡技術通過對企業信息化和寬帶技術的結合，使得企業的信息和資源的安全得到了最大程度上的保證，也使得虛擬網絡技術在計算機網絡的安全中發揮了巨大的作用。隨著寬帶技術和企業信息化的不斷發展，虛擬網絡技術憑借著自身的優點也擁有了相當大的發展空間。隨著虛擬網絡技術的不斷發展和成熟，虛擬網絡技術的安全性、穩定性和可靠性也不斷得到提升。在計算機網絡安全中，虛擬網絡技術已經不可獲缺，并且隨著我國電信行業的低迷，虛擬網絡技術已經成為了新興產業的亮點。現如今，虛擬網絡技術在市場上所占據的市場份額不斷上升。虛擬網絡技術的產品不斷匯集，在各種虛擬網絡技術的產品中，有效結合防火墻的軟件虛擬網絡產品和復合型的虛擬網絡設備逐步成為計算機網絡中的熱點。所以，在相當長的時間內，虛擬網絡技術會被廣泛運用到計算機網絡安全中，并且會成為計算機網絡安全中的一個新的熱點。

篇11

2使用者自身信息安全意識不強

由于醫務工作者自身因素，并沒有經過網絡安全理論知識與技術的專業培訓，網絡安全意識相對較薄弱。在醫院局域網內，工作站計算機未配置光驅并禁止USB端口，極個別員工將自己的光驅連接到計算機上，安裝并傳輸一些未經檢測并可能攜帶病毒的文件。網絡中其他客戶端計算機可以通過網絡共享下載使用該文件，從而導致計算機網絡安全事件的發生。與此同時，使用人員存在一定的僥幸依賴心理，認為出現問題也有專人來解決與維護，忽視計算機網絡安全問題，使得對網絡的監管、檢查、維護困難重重。

3計算機病毒的威脅日益嚴重

隨著網絡資源的不斷發展而來的是日漸繁多的網絡病毒，隨著計算機病毒的不斷擴散，對醫院計算機網絡安全工作的進行帶來很大的阻擾。由于對網絡安全管理及維護的投入較小，網絡安全管理技術的相對滯后等原因，導致無法對新型病毒采取相應的有效的預防及應對措施，結果輕者導致占用存儲空間，影響系統效率，重者破壞數據完整性，甚至導致整個系統癱瘓。

二加強計算機網絡安全保護的相關建議

1完善計算機網絡安全管理制度

網絡安全管理依賴于安全有效的技術措施的同時，也需要有嚴格的制度保障其實現。在日常工作中需要不斷建立及完善網絡安全管理制度、操作規程及職責，明確計算機網絡管理員及操作人員的工作規范及職責，各工作站的操作規范，建立合適的獎懲機制，做到計算機網絡安全制度化管理，認真做好落實和監督工作。

2保障做好崗前培訓工作

專業技術人員需制定詳細的崗前培訓工作計劃，對醫務工作人員進行規范化培訓，使其能明確掌握計算機軟硬件基礎知識及操作技能、醫療工作中的操作規范及流程，了解計算機網絡安全知識。培訓人員可以由各科室進行推薦，先組織較年輕，接受力、理解力較強的工作人員先進行培訓，以起到示范帶教作用，之后再分批次對各科室人員進行整體培訓，以達到各部門全科室普及的效果。隨著醫院規模的不斷發展和擴大，醫院網絡功能應用的不斷增加，人員的不斷變化，對操作人員的培訓是一個需要長期堅持不間斷的過程，需要專業技術人員提前規劃，落實工作。

3計算機網絡硬件管理

對于醫院計算機網絡而言，服務器的安全在網絡安全中處于最核心地位。因此，應當遵循對于機房環境建設的國家規范，建立良好的機房環境，同時也應有嚴格保障的UPS電源，避免因斷電而造成的數據丟失。同時也應對網絡各組成硬件，如網線、路由器、集線器、交換機等連接設備制定詳細的日常維護計劃，并做好工作日志記錄，做好值班記錄，做到維護管理程序化、規范化，保障醫院網絡的正常運轉。

4提高網絡安全軟件技術水平

若從資金的角度考慮，在未能投入大量網絡安全硬件輔助設備的前提下，加強網絡安全軟件的技術水平不失為一種行之有效的手段。可以采取的措施有：加強防火墻控制。防火墻技術是防范外部網絡攻擊的有效途徑，在日常工作中，加強防火墻控制，提高醫院計算機網絡網絡防火墻的技術水平，是避免外部非法入侵的有效手段。但因其不能防范來自網絡內部的攻擊，作為輔助手段，可以適當采用入侵檢測手段，加強對系統運行安全的監控。防毒墻（網絡版）的使用。防毒墻（網絡版）可以對文件系統進行實時掃描，以保護終端客戶機和網絡服務器不受病毒/惡意軟件、間諜軟件/灰色軟件等威脅攻擊的危害，而基于Web的管理控制臺可以輕松的在每臺終端機和服務器上設置協同的安全策略和部署自動更新。

5網絡隔離措施

在有條件的情況下，可以采取將內網與外網獨立設置的策略，從物理層面上將醫院內部網絡與外部網絡進行隔離，避免來自外部網絡的攻擊，同時對連接外網的計算機進行嚴格控制，以保障醫療信息的安全。內網可通過交換機劃分VLAN將整個網絡分為若干不同的廣播域，實現網絡中不同網段的物理隔離，防止影響一個網段的問題對整個網絡造成影響。

6訪問控制

訪問控制是網絡安全防范和保護的最主要策略，要嚴格控制工作站子系統使用人員的授權，在保障日常工作正常運行的前提下，盡量減少其授權。對于工作中確實需要授予特權的情況下，盡量控制授權人數，如科主任和護士長，便于管理，有利于出現問題時查找責任。同時做好用戶登錄口令管理，杜絕共有、共知用戶口令的現象，確保發生問題時可以順利查找責任人。

7數據庫備份與恢復

為防止因意外而導致的信息丟失和網絡癱瘓，數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作。

篇12

1.2風險威脅與安全防護相適應原則商業銀行面對的是極其復雜的金融環境，要面臨多種風險和威脅，然而商業銀行計算機網絡不容易實現完全的安全。需要對網絡及所處層次的機密性及被攻擊的風險性程度開展評估和研究，制定與之匹配的安全解決方式。

1.3系統性原則商業銀行計算機網絡的安全防御必須合理使用系統工程的理論進而全面分析網絡的安全及必須使用的具體方法。第一，系統性原則表現在各類管理制度的制定、落實和補充和專業方法的落實。第二，要充分為綜合性能、安全性和影響等考慮。第三，關注每個鏈路和節點的安全性，建立系統安防體系。

2計算機網絡安全采取的措施

商業銀行需要依據銀監會的《銀行業金融機構信息系統風險管理指引》，引進系統審計專家進行評估，結合計算機網絡系統安全的解決原則，建立綜合計算機網絡防護措施。

2.1加強外部安全管理網絡管理人員需要認真思考各類外部進攻的形式，研究貼近實際情況的網絡安全方法，防止黑客發起的攻擊行為，特別是針對于金融安全的商業銀行網絡系統。通過防火墻、入侵檢測系統，組成多層次網絡安全系統，確保金融網絡安全。入侵檢測技術是網絡安全技術和信息技術結合的新方法。通過入侵檢測技術能夠實時監視網絡系統的相關方位，當這些位置受到進攻時，可以馬上檢測和立即響應。構建入侵檢測系統，可以馬上發現商業銀行金融網絡的非法入侵和對信息系統的進攻，可以實時監控、自動識別網絡違規行為并馬上自動響應，實現對網絡上敏感數據的保護。

2.2加強內部安全管理內部安全管理可以利用802.1X準入控制技術、內部訪問控制技術、內部漏洞掃描技術相結合，構建多層次的內部網絡安全體系。基于802.1x協議的準入控制設計強調了對于交換機端口的接入控制。在內部用戶使用客戶端接入局域網時，客戶端會先向接入交換機設備發送接入請求，并將相關身份認證信息發送給接入交換機，接入交換機將客戶端身份認證信息轉發給認證服務器，如果認證成功該客戶端將被允許接入局域網內。如認證失敗客戶端將被禁止接入局域網或被限制在隔離VLAN中。[4]內部訪問控制技術可以使用防火墻將核心服務器區域與內部客戶端區域隔離，保證服務器區域不被非法訪問。同時結合訪問控制列表（ACL）方式，限制內部客戶端允許訪問的區域或應用，保證重要服務器或應用不被串訪。同時結合內部漏洞掃描技術，通過在內部網絡搭建漏洞掃描服務器，通過對計算機網絡設備進行相關安全掃描收集收集網絡系統信息，查找安全隱患和可能被攻擊者利用的漏洞，并針對發現的漏洞加以防范。

2.3加強鏈路安全管理對于數據鏈路的安全管理目前常用方法是對傳輸中的數據流進行加密。對于有特殊安全要求的敏感數據需要在傳輸過程中進行必要的加密處理。常用的加密方式有針對線路的加密和服務器端對端的加密兩種。前者側重在線路上而不考慮信源與信宿，通過在線路兩端設置加密機，通過加密算法對線路上傳輸的所有數據進行加密和解密。后者則指交易數據在服務器端通過調用加密軟件，采用加密算法對所發送的信息進行加密，把相應的敏感信息加密成密文，然后再在局域網或專線上傳輸，當這些信息一旦到達目的地，將由對端服務器調用相應的解密算法解密數據信息。隨著加密技術的不斷運用，針對加密數據的破解也越來越猖獗，對數據加密算法的要求也越來越高，目前根據國家規定越來越多的商業銀行開始使用國密算法。

篇13

(1)建立網絡安全管理規章制度加強醫院網絡安全管理的重要措施之一就是建立健全網絡安全管理規章制度，提高醫院全員認識到醫院網絡安全管理重要性，設立以院領導為核心的信息安全領導小組，明確領導小組相應責任并落實信息管理人員責任，加大投入資金，對網絡安全管理軟硬件設備進行更新升級，對網絡安全管理專業隊伍需要加強建設，信息網絡人員必須要有責任心及熟練的網絡應用技術，同時要堅持管理創新及技術創新，根據本院信息網絡的運行情況，制定應對網絡危機的預案。(2)網絡安全教育網絡安全工作的主體是人，醫院的各級領導、組織和部門工作人員從思想和行動上都要重視醫院信息系統網絡安全，提高全員安全意識，樹立安全人人有責，由于醫院的內部網絡涉及臨床科室、醫技科室、職能科室等部門，計算機操作水平參差不齊，因此，必須定期培訓計算機網絡客戶端的使用人員，使他們具有一些計算機方面的專業知識，盡量減輕醫院計算機網絡信息系統管理人員的工作壓力，當其客戶端出現問題之后能得到及時的解決，減少人為的差錯及故障發生。(3)網絡設備管理網絡設備是整個信息網絡安全的基礎，整個網絡中的關鍵設備包括服務器、數據儲存、中心交換機、二級交換機、光纜等，因此這些設備的性能直接影響到整個信息系統的安全運行，從可靠性、穩定及容易升級等方面對網絡設備進行選擇，對重要設備最好采用雙機熱備份的方式實現系統集群，還要配備兩套UPS電源，避免突然斷電造成服務器數據流失，提高系統可用性，服務器以主從或互備方式工作，當一旦某臺設備發生故障，另外一臺設備可以立即自動接管，變成工作主機，將系統中斷影響降到最低；此外，使用物理隔離設備將外部互聯網和內部信息系統進行隔離，確保重要數據不外泄。(4)實時監控用戶上網行為應用主機安全監控系統，實現對用戶上網行為的實時監控，從而讓網管及時了解和控制局域網用戶的的上網行為，在加強安全防護的同時也可以提高工作效率。主機安全監控系統可以對內部人員上網行為日志、客戶端訪問行為、終端行為日志、醫院IT開發運維人員訪問行為等信息進行監控、記錄、審計能力，結合日志數據挖掘技術和關聯分析功能，實現對非法行為的實時告警，輸出符合醫院紀委監察部門要求的完整的事件報告，既能夠及時發現并阻斷非法行為，也可以監控某些人員利用其特權對敏感數據進行非法復制。(5)數據備份為了防止信息系統中的數據丟失，可以采用雙機備份方式。兩臺服務器采用相同的配置，安裝相同的系統和數據庫系統，實時將主服務器上數據庫備份到備用服務器上，當主服務器無法正常工作時，啟用備用服務器項替工作，同時信息系統管理部門可以采用一些有關的備份軟件對其醫院計算機網絡信息系統的數據進行及時的監測，當這些數據出現安全方面的問題時，及時對其數據進行備份；此外，也可采用實時備份數據庫，采用數據鏡像增量備份方式。(6)定期進行安全分析，對新發現的安全隱患進行整改運用技術手段定期進行安全分析，及時發現安全隱患并快速清除是完善醫院網絡安全管理的重要措施。定期進行安全分析是研究信息系統是否存在的漏洞缺陷，是否存在風險與威脅，針對發現的安全隱患，制定出相應的控制策略，主要是從軟件設置、物理環境、電源配送、權限分配、網絡管理、防火、防水、防盜、服務器交換機管理、溫度濕度粉塵、人員培訓及安全教育等各方面進行分析，尋找出當前的安全隱患，針對這些隱患提出有針對性的解決方案。

1.2防止外來入侵

(1)中心機房管理作為醫院信息系統的“神經中樞”及數據存儲中心的機房安全是整個信息系統安全的前提，中心機房的安全應注意機房用電安全技術、防火、計算機設備及場地的防雷和計算機機房的場地環境的要求等問題，為了避免人為或自然破壞設備，應盡可能保證各通信設備及相關設施的物理安全，使系統和設備處于良好的工作環境，對于信息網絡的可靠性，可以通過冗余技術實現，包括設備冗余、處理器冗余、鏈路冗余、模塊冗余、電源冗余等技術來實現。(2)計算機病毒防護杜絕病毒傳染源是防范病毒最有效的辦法，除特殊科室需要外，將所有網絡工作站的外部輸入設備(如光驅、軟驅等)撤除，所有內網的計算機不準接U盤，在服務器及每個工作站點采用多層的病毒防衛體系，此外，還可以使用桌面管理軟件來自動從系統廠商下載補丁，自動檢查客戶端需要安裝的補丁、已經安裝的補丁和未安裝的補丁，以及限制或禁止移動存儲介質的接入，減少病毒傳播的途徑，從而減少醫院網絡受到病毒的威脅。(3)防止黑客入侵防止黑客入侵是醫院網絡安全工作的重點，可以采用防火墻技術、身份認證與授權技術等技術防止黑客入侵。其中，防火墻技術是在醫院內部網和醫院外部網之間的界面上構造一個保護層，對出入醫院網絡的訪問和服務進行審計和控制；在防火墻基礎上，建立黑客入侵檢測系統，對黑客入侵、非法登錄、DDOS攻擊、病毒感染與傳播、非法外連等進行監控，對網絡設備、網絡通訊通道等進行監控，詳細掌控各類網絡設備的運行狀態，實時監督分析通道質量狀況，對各類終端用戶的補丁安裝、軟件安裝、外接設備(U盤)等操作進行實時監控管理，發現有違規行為及時報警，也可以自動啟動阻止機制來控制非法行為；在醫院信息系統中，采用數字簽名技術實現系統信息內容安全性，完整性和不可抵賴性等方面的要求，特別是通過采用安全審計或時間戳等技術手段解決傳統紙質病歷無法解決的信息可靠性問題，此外，還采用信息加密技術可以有效的保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。