網絡安全小論文

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網絡安全小論文范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

網絡安全小論文范文第1篇

關鍵詞：校園網；網絡安全；防范措施；防火墻；VLAN技術

校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件，將校園內計算機和各種終端設備有機地集成在一起，用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然和惡意等因素而遭到破壞、更改、泄密，保障校園網的正常運行。隨著“校校通”工程的深入實施，學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患，建立一套切實可行的校園網絡防范措施，已成為校園網絡建設中面臨和亟待解決的重要問題。

一、校園網絡安全現狀分析

（一）網絡安全設施配備不夠

學校在建立自己的內網時，由于意識薄弱與經費投入不足等方面的原因，比如將原有的單機互聯，使用原有的網絡設施；校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷；機房設計不合理，溫度、濕度不適應以及無抗靜電、抗磁干擾等設施；網絡安全方面的投入嚴重不足，沒有系統的網絡安全設施配備等等；以上情況都使得校園網絡基本處在一個開放的狀態，沒有有效的安全預警手段和防范措施。

（二）學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善

學校師生對網絡安全知識甚少，安全意識淡薄，U盤、移動硬盤、手機等存貯介質隨意使用；學校網絡管理人員缺乏必要的專業知識，不能安全地配置和管理網絡；學校機房的登記管理制度不健全，允許不應進入的人進入機房；學校師生上網身份無法唯一識別，不能有效的規范和約束師生的非法訪問行為；缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統，使學校的網絡管理混亂；缺乏校園師生上網的有效監控和日志；計算機安裝還原卡或使用還原軟件，關機后啟動即恢復到初始狀態，這些導致校園網形成很大的安全漏洞。

（三）學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”

大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品，加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作，在網絡上運行時，這些網絡系統和接口都相應增加網絡的不安全因素。

（四）計算機病毒、網絡病毒泛濫，造成網絡性能急劇下降，重要數據丟失

網絡病毒是指病毒突破網絡的安全性，傳播到網絡服務器，進而在整個網絡上感染，危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況，遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用，使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序，它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的，一旦學校網絡中的一臺電腦感染上病毒，就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡，只要網絡中有幾臺電腦中毒，就會堵塞出口，導致網絡的“拒絕服務”，嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論，列出了下個世紀的國際恐怖活動將采用五種新式武器和手段，計算機病毒名列第二，這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出，網絡病毒的防范任務越來越嚴峻。

綜上所述，學校校園網絡的安全形勢非常嚴峻，在這種情況下，學校如何能夠保證網絡的安全運行，同時又能提供豐富的網絡資源，保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題，文章提出以下校園網絡安全防范措施。

二、校園網絡的主要防范措施

（一）服務器

學校在建校園網絡之時配置一臺服務器，它是校園網和互聯網之間的中介，在服務器上執行服務的軟件應用程序，對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器，服務器會檢查用戶的訪問請求是否符合規定，才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣，既保護內網資源不被外部非授權用戶非法訪問或破壞，也可以阻止內部用戶對外部不良資源的濫用，外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息，整個校園網絡只有服務器是可見的，從而大大增強了校園網絡的安全性。

（二）防火墻

防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品，是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合，通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理，在網絡間建立一個安全網關，對網絡數據進行過濾（允許/拒絕），控制數據包的進出，封堵某些禁止行為，提供網絡使用狀況（網絡數據的實時/事后分析及處理，網絡數據流動情況的監控分析，通過日志分析，獲取時間、地址、協議和流量，網絡是否受到監視和攻擊），對網絡攻擊行為進行檢測和告警等等，最大限度地防止惡意或非法訪問存取，有效的阻止破壞者對計算機系統的破壞，可以最大限度地保證校園網應用服務系統的安全工作。

（三）防治網絡病毒

校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系，建立一整套網絡軟件及硬件的維護制度，定期對各工作站進行維護，對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作，學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段，在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版，對病毒進行定時的掃描檢測及漏洞修復，定時升級文件并查毒殺毒，使整個校園網絡有防病毒能力。

（四）口令加密和訪問控制

校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證，加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護，賦予用戶一定的訪問存取權限、口令字等安全保密措施，用戶只能在其權限內進行操作，合理設置網絡共享文件，對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施，建立嚴格的網絡安全日志和審查系統，建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等，定時對其進行審查分析，及時發現和解決網絡中發生的安全事故，有效地保護網絡安全。

（五）VLAN(虛擬局域網)技術

VLAN(虛擬局域網)技術，是指在交換局域網的基礎上，采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中，將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里，防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接，網絡管理員借助VLAN技術管理整個網絡，通過設置命令，對每個子網進行單獨管理，根據特定需要隔離故障，阻止非法用戶非法訪問，防止網絡病毒、木馬程序，從而在整個網絡環境下，計算機能安全運行。

（六）系統備份和數據備份

雖然有各種防范手段，但仍會有突發事件給網絡系統帶來不可預知的災難，對網絡系統軟件應該有專人管理，定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作，并建立網絡資源表和網絡設備檔案，對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。

（七）入侵檢測系統（IntrusionDetectionSystem，IDS）

IDS是一種網絡安全系統，是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時，IDS能檢測和發現入侵行為并報警，通知網絡采取措施響應。即使被入侵攻擊，IDS收集入侵攻擊的相關信息，記錄事件，自動阻斷通信連接，重置路由器、防火墻，同時及時發現并提出解決方案，列出可參考的網絡和系統中易被黑客利用的薄弱環節，增強系統的防范能力，避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵，大大提高了網絡的安全性。

（八）增強網絡安全意識、健全學校統一規范管理制度

根據學校實際情況，對師生進行網絡安全防范意識教育，使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度（網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等）。安排專人負責校園網絡的安全保護管理工作，對學校專業技術人員定期進行安全教育和培訓，提高工作人員的網絡安全的警惕性和自覺性，并安排專業技術人員定期對校園網進行維護。

三、結論

校園網的安全問題是一個較為復雜的系統工程，長期以來，從病毒、黑客與防范措施的發展來看，總是“道高一尺，魔高一丈”，沒有絕對安全的網絡系統，只有通過綜合運用多項措施，加強管理，建立一套真正適合校園網絡的安全體系，提高校園網絡的安全防范能力。

參考文獻：

1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.

2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.

3、劉清山.網絡安全措施[M].電子工業出版社,2000.

4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.

5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).

6、李衛.計算機網絡安全與管理[M].清華大學出版社,2004.

網絡安全小論文范文第2篇

校園網作為因特網的重要組成部分，為教學提供了極大的方便。由于管理和使用等因素，校園網面臨著嚴重的安全威脅。其中主要體現為水災、雷擊或者操作人員的操作不當而導致的硬件或者網絡系損壞，另外黑客攻擊是校園網系統的主要安全影響因素。近年來，隨著網絡技術的發達，木馬安裝程序也越來越精密，不但影響公共網絡，也給校園網的安全帶來極大的沖擊。學生作為主要操作者，缺乏專業的技術，因此容易出現操作失誤現象。另外，學生的好奇心會導致系IP被修改，或者進入不安全網頁，導致計算機系統被病毒侵害。另外，校園網系統還面臨著系統應用問題和管理風險。系統應用問題主要體現為操作系統安全隱患和數據庫安全隱患。由于系統自身設計不完善，將導致操作系統存在致命的安全隱患，這需要檢修人員和技術人員及時發現并對其進行處理，以免出現重大安全事故。計算機服務器終端安全風險將導致整個系統的安全系統下降，出現安全漏洞，影響計算機的使用壽命。從這一點上，確保操作系統的信息安全是管理者的重要任務。但在校園網管理上，由于受到高校制度和對網絡教學或者計算機實踐教學重視程度不夠的影響，管理安全隱患十分明顯。目前，校園網安全管理依然是人在管理，管理效率低下的主要原因在于管理人員的綜合素質不高，管理制度不明確。要解決這一問題，就需要對校園網管理制度進行調整。

2校園網絡安全防范設計方案

為了提高校園網的安全系數，應建立可靠的拓撲結構，其中包括備份鏈路、必要的網絡防火墻以及VPN的構建。具體過程如下：

2.1利用備份鏈路優化校園網的容錯能力

備份鏈路的使用可有效提高網絡的容錯能力，降低安全風險。主要應用于路由器同系統核心交換機之間，其作用在于對學生連接的外網進行檢驗和排查，控制非法連接，從而提高被訪問網頁的安全系數。在核心交換機之間同樣可進行雙鏈路連接和端口聚合技術，從而確保鏈路之間的備份，提高交換帶寬。

2.2計算機防火墻的合理應用

計算機防火墻在校園網安全中起著決定性的作用。通過防火墻的建立，可攔截存在安全隱患的網頁。操作人員可在防火墻上預設適當的安全規則ACL，對通過防火墻的數據信息進行檢測，處理存在安全隱患的信息，禁止其通過，這一原理使得防火墻具有安裝方便，效率高等特點。在計算機系統中，防火墻實際上是外網與內網之間連接的唯一出口，實現了二者之間的隔離，是一種典型的拓撲結構。根據校園網自身特點，可對這一拓撲進行調整，將防火墻放置于核心交換機與服務器群中間。其主要原因為：防止內部操作人員對計算機網絡系統發起攻擊；降低了黑客對網絡的影響，同時實現對計算機網絡系統的內部保護和外部保護，使流經防火墻的流量降低，實現其高效性。但是隨著科技的發達，網絡木馬的類型逐漸增多，這要求防火墻技術也要不斷的更新，以發揮其積極作用。將計算機防火墻同木馬入侵檢測緊密結合在一起，一旦入侵檢測系統捕捉到某一惡性攻擊，系統就會自動進行檢測。而這一惡性攻擊設置防火墻阻斷，則入侵檢測系統就會發給防火墻對應的動態阻斷方案。這樣能夠確保防火墻完全按照檢測系統所提供的動態策略來進行系統維護。

2.3VPN的構建

VPN主要針對校園網絡的外用，尤其是針對出差人員，要盡量控制其使用校內網絡資源。如必須使用，則要構建VPN系統，即在構建動態的外部網絡通往校園網的虛擬專用通道，也可建立多個校園網絡區域之間的VPN系統連接，提高安全防護效率。

2.4網絡層其他安全技術

網絡層其他安全技術主要體現為：防網絡病毒和防網絡攻擊。現在網絡病毒對網絡的沖擊影響已經越來越大，如：非常猖狂的紅色代碼、沖擊波等網絡病毒，所以有必要對網絡病毒繼續有效的控制；而網絡中針對交換機的攻擊和必須經過交換機的攻擊有如下幾種：MAC攻擊、DHCP攻擊、ARP攻擊、IP/MAC欺騙攻擊、STP攻擊、IP掃描攻擊和網絡設備管理安全。

3校園網的安全管理方案

計算機管理也是校園網安全的主要控制方案。在促進管理效率提高的過程中，主要可以采取VLAN技術、網絡存儲技術和交換機端口安全性能提高等方案，具體表現為以下幾個方面：

3.1應用VLAN技術提升網絡安全性能

VLAN技術是校園網安全管理中應用的主要技術，這一技術的應用有效的提高了計算機安全管理效率，優化了設備的性能。同時對系統的帶寬和靈活性都具有促進作用。VLAN可以獨立設計，也可以聯動設計，具有靈活性，并且這一技術操作方便有利于資源的優化管理，只要設置必要的訪問權限，便可實現其功能。

3.2利用網絡存儲技術，確保網絡數據信息安全

校園網絡數據信息安全一直是網絡安全管理中的主要任務之一。除了技術層面的防火墻，還要求采用合理的存儲技術，確保數據安全。這樣，不但可以防止數據篡改，還要防止數據丟失。目前，主要的存儲技術包括DAS、RAID和NAS等。

3.3配置交換機端口控制非法網絡接入

交換機端口安全可從限制接入端口的最大連接數、IP地址與接入的MAC地址來實現安全配置。對學生由于好奇而修改IP地址的行為具有控制作用。其原理在于一旦出現不合理操作，將會觸發和該設備連接的交換機端口產生一個違例并對其實施強制關閉。設置管理員權限，降低不合理操作。配置交換機端口可實現將非法接入的設備擋在最低層。

4總結

網絡安全小論文范文第3篇

一、校園網絡安全隱患

1.安全管理有缺陷

主要是由于網絡管理員安全意識淡薄、防盜工作不到位，容易造成信息丟失。例如，管理員在進行信息加密時，除預留原始文件外，還需備份處理，防止文件丟失，但是實際管理員過于信任網絡環境，未對數據信息實行備份，導致原始數據丟失后，無法進行二次copy，大量信息不能被及時還原，導致信息處于不安全的環境中，有可能隨時遭遇篡改、竊取的威脅。

2.網絡的安全漏洞

計算機網絡內，由于存在部分安全漏洞，或者部分軟件含有設計缺陷，導致其成為惡意攻擊和入侵的途徑，此類型的安全漏洞，遭遇攻擊時，不易察覺。例如：TCP/IP，其在認證方面，存在漏洞，部分攻擊者對用戶計算機中的TCP/IP實行軟件解析，快速分析信息傳輸路徑，發起惡意攻擊或攔截，導致計算機拒絕各類服務。

3.網絡的外界攻擊

外界攻擊主要包括：木馬植入、黑客攻擊以及病毒入侵。病毒與木馬是黑客入侵最常用的方式，一般黑客會自行編寫程序，攻擊用戶計算機，有目的地對用戶信息進行復制、監視或破壞，當黑客達到一定目的后，會以木馬、病毒的方式，致使計算機無法進行正常工作，由于病毒隱蔽性高、破壞能力強，最終導致系統癱瘓，降低安全度。

二、造成這些現狀的原因

1.網絡安全維護的投入不足

網絡安全維護的工作量是很大的，并且很困難，需要一定的人力、物力，然而大多數學校在校園網上的設備投入和人員投入很不充足，有限的經費也往往主要用在網絡設備購置上，對于網絡安全建設，普遍沒有比較系統的投入。

2.網絡管理員責任心不強

很多學校的網絡管理員都具有一定的專業水平，基本可以勝任本職工作，但是可能由于學校領導對網絡安全不是很重視，或者因為個人原因，造成工作熱情不高、責任心不強，所以也就不會花很多心思去維護網絡、維護硬件。

3.盜版資源泛濫

由于缺乏版權意識，盜版軟件、影視資源在校園網中普遍使用，這些軟件的傳播一方面占用了大量的網絡帶寬，另一方面也給網絡安全帶來了一定的隱患。

三、對策措施

校園網受到的安全威脅是不可避免的，但是我們可以采取有效的措施確保網絡信息安全。通常情況下，一般采用以下措施來保障校園網的安全性：

1.及時安裝漏洞補丁

軟件和系統具有漏洞是不可避免的，這是因為設計者和程序員不可能考慮到所有方面。但是，黑客會輕易通過漏洞對計算機信息網絡造成嚴重影響。我們普通用戶在使用計算機網絡時，應該及時更新系統最新補丁，這樣黑客就不會有機可乘。同時，我們也可以通過QQ管家或者360安全衛士等更新軟件和下載掃描漏洞。

2.采購配備必要軟件

校園網絡安全軟件主要有：防火墻、殺毒軟件、存取控制、身份認證、加密措施、數據的完整性控制和安全協議等內容。但針對中小學校園網特點，以下軟件是必須配備的。（1）過濾器和防火墻軟件。由于校園網主要面對學生和教職工，因此對一些涉及黃賭毒、暴力、等不良網站必須嚴加防范，而過濾器軟件可以有效屏蔽這些不良網站；防火墻軟件主要包含了用戶認證、動態的封包過濾、預警模聲、應用服務、IP防假冒、網絡地址轉接等方面內容，可以將校園網與外網十分有效地隔離開來，切實保障校園網絡不受未經授權的外部侵入。（2）使用殺毒軟件。殺毒軟件有個人版和網絡版，選擇合適的網絡殺毒軟件可以有效地防止病毒在校園網上傳播。網絡版殺毒軟件有如下優點：A.集中式管理、分布式殺毒效率高；B.采用數據庫技術、LDAP技術；C.多引擎支持，殺毒速度更快；D.從入口處攔截病毒；E.全面解決方案；F.擴展性比較高；G.可以進行遠程安裝或分發安裝。國內外比較知名的網絡版殺毒軟件有卡巴斯基、諾頓、江民、瑞星等廠商，根據校園的實際需要，選擇合適的廠商。

3.更換管理員賬戶

管理員賬戶是計算機用戶中擁有最大權限的用戶，能夠對計算機的所有重要信息做出更改或設置。如果黑客在入侵的過程中獲取了管理員賬戶的密碼，那么計算機中所有用戶的信息都會受到威脅。為了防止黑客輕易竊取管理員賬戶，管理員的密碼應該復雜，而且要不定期予以更換。

校園網的安全問題是一個較為復雜的系統工程，需要全方位防范。防范不能一味地被動，更要主動進行。除了要有相關的硬件和技術保障外，還需要相關的制度保障和校方的重視。當然，關于校園網更多的信息安全應用技術的開發和應用，還有待于廣大網絡信息安全工作人員的共同努力，才能最終實現校園網信息的安全防護應用。

網絡安全小論文范文第4篇

目前，許多學校的校園網都以WINDOWSNT做為系統平臺，由IIS（InternetInformationServer）提供WEB等等服務。下面本人結合自己對WINDOWSNT網絡管理的一點經驗與體會，就技術方面談談自己對校園網安全的一些看法。

一、密碼的安全

眾所周知，用密碼保護系統和數據的安全是最經常采用也是最初采用的方法之一。目前發現的大多數安全問題，是由于密碼管理不嚴，使"入侵者"得以趁虛而入。因此密碼口令的有效管理是非常基本的，也是非常重要的。

在密碼的設置安全上，首先絕對杜絕不設口令的帳號存在，尤其是超級用戶帳號。一些網絡管理人員，為了圖方便，認為服務服務器只由自己一個人管理使用，常常對系統不設置密碼。這樣，"入侵者"就能通過網絡輕而易舉的進入系統。筆者曾經就發現并進入多個這樣的系統。另外，對于系統的一些權限，如果設置不當，對用戶不進行密碼驗證，也可能為"入侵者"留下后門。比如，對WEB網頁的修改權限設置，在WINDOWSNT4.0+IIS4.0版系統中，就常常將網站的修改權限設定為任何用戶都能修改（可能是IIS默認安裝造成的），這樣，任何一個用戶，通過互聯網連上站點后，都可以對主頁進行修改刪除等操作。

其次，在密碼口令的設置上要避免使用弱密碼，就是容易被人猜出字符作為密碼。筆者就猜過幾個這樣的站點，他們的共同特點就是利用自己名字的縮寫或6位相同的數字進行密碼設置。

密碼的長度也是設置者所要考慮的一個問題。在WINDOWSNT系統中，有一個sam文件，它是windowsNT的用戶帳戶數據庫，所有NT用戶的登錄名及口令等相關信息都會保存在這個文件中。如果"入侵者"通過系統或網絡的漏洞得到了這個文件，就能通過一定的程序（如L0phtCrack）對它進行解碼分析。在用L0phtCrack破解時，如果使用"暴力破解"方式對所有字符組合進行破解，那么對于5位以下的密碼它最多只要用十幾分鐘就完成，對于6位字符的密碼它也只要用十幾小時，但是對于7位或以上它至少耗時一個月左右，所以說，在密碼設置時一定要有足夠的長度。總之在密碼設置上，最好使用一個不常見、有一定長度的但是你又容易記得的密碼。另外，適當的交叉使用大小寫字母也是增加被破解難度的好辦法。

二、系統的安全

最近流行于網絡上的"紅色代碼"、"藍色代碼"及"尼姆達"病毒都利用系統的漏洞進行傳播。從目前來看，各種系統或多或少都存在著各種的漏洞，系統漏洞的存在就成網絡安全的首要問題，發現并及時修補漏洞是每個網絡管理人員主要任務。當然，從系統中找到發現漏洞不是我們一般網絡管理人員所能做的，但是及早地發現有報告的漏洞，并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法，就是經常登錄各有關網絡安全網站，對于我們有使用的軟件和服務，應該密切關注其程序的最新版本和安全信息，一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。比如上面提及引起"紅色代碼"、"藍色代碼"及"尼姆達"病毒的傳播流行的Unicode解碼漏洞，早在去年的10月就被發現，且沒隔多久就有了解決方案和補丁，但是許多的網絡管理員并沒有知道及時的發現和補丁，以至于過了將近一年，還能掃描到許多機器存在該漏洞。

在校園網中服務器，為用戶提供著各種的服務，但是服務提供的越多，系統就存在更多的漏洞，也就有更多的危險。因些從安全角度考慮，應將不必要的服務關閉，只向公眾提供了他們所需的基本的服務。最典型的是，我們在校園網服務器中對公眾通常只提供WEB服務功能，而沒有必要向公眾提供FTP功能，這樣，在服務器的服務配置中，我們只開放WEB服務，而將FTP服務禁止。如果要開放FTP功能，就一定只能向可能信賴的用戶開放，因為通過FTP用戶可以上傳文件內容，如果用戶目錄又給了可執行權限，那么，通過運行上傳某些程序，就可能使服務器受到攻擊。所以，信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。

在WINDOWSNT使用的IIS，是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，為了加大安全性，在安裝配置時可以注意以下幾個方面：

首先，不要將IIS安裝在默認目錄里（默認目錄為C:\Inetpub），可以在其它邏輯盤中重新建一個目錄，并在IIS管理器中將主目錄指向新建的目錄。

其次，IIS在安裝后，會在目錄中產生如scripts等默認虛擬目錄，而該目錄有執行程序的權限，這對系統的安全影響較大，許多漏洞的利用都是通過它進行的。因此，在安裝后，應將所有不用的虛擬目錄都刪除掉。

第三，在安裝IIS后，要對應用程序進行配置，在IIS管理器中刪除必須之外的任何無用映射，只保留確實需要用到的文件類型。對于各目錄的權限設置一定要慎重，盡量不要給可執行權限。

三、目錄共享的安全

在校園網絡中，利用在對等網中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法。但在設置過程中，要充分認識到當一個目錄共享后，就不光是校園網內的用戶可以訪問到，而是連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的一個隱患。筆者曾搜索過外地機器的一個C類IP網段，發現共享的機器就有十幾臺，而且許多機器是將整個C盤、D盤進行共享，并且在共享時將屬性設置為完全共享，且不進行密碼保護，這樣只要將其映射成一個網絡硬盤，就能對上面的資料、文檔進行查看、修改、刪除。所以，為了防止資料的外泄，在設置共享時一定要設定訪問密碼。只有這樣，才能保證共享目錄資料的安全。

四、木馬的防范

相信木馬對于大多數人來說不算陌生。它是一種遠程控制工具，以簡便、易行、有效而深受廣大黑客青睞。一臺電腦一旦中上木馬，它就變成了一臺傀儡機，對方可以在你的電腦上上傳下載文件，偷窺你的私人文件，偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前，隱私？不復存在！木馬，應該說是網絡安全的大敵。并且在進行的各種入侵攻擊行為中，木馬都起到了開路先鋒的作用。

木馬感染通常是執行了一些帶毒的程序，而駐留在你的計算機當中，在以后的計算機啟動后，木馬就在機器中打開一個服務，通過這個服務將你計算機的信息、資料向外傳遞，在各種木馬中，較常見的是"冰河"，筆者也曾用冰河掃描過網絡上的計算機。發現每個C類IP網段中（個人用戶），偶爾都會發現一、二個感染冰河的機器。由此可見，個人用戶中感染木馬的可能性還是比較高的。如果是服務器感染了木馬，危害更是可怕。

網絡安全小論文范文第5篇

本文針對新疆電力營銷系統的現狀，給出了一種多層次的安全防護方案，對保障營銷系統網絡穩定運行，保護用戶信息安全，傳輸安全、存儲安全和有效安全管理方面給出了建設意見。

2新疆營銷網絡系統現狀

新疆電力營銷業務應用經過了多年的建設，目前大部分地區在業擴報裝、電費計算、客戶服務等方面的營銷信息化都基本達到實用化程度，在客戶服務層、業務處理層、管理監控層三個層次上實現了相應的基本功能。結合新疆電力公司的實際情況，主要分析了管理現狀和網絡現狀。

2.1管理現狀

根據公司總部提出的“集團化運作、集約化發展、精細化管理”的工作思路，從管理的需求上來說，數據越集中，管理的力度越細，越能夠達到精細化的管理的要求。但由于目前各地市公司的管理水平現狀、IT現狀、人員現狀等制約因素的限制，不可能使各地市公司的管理都能夠一步到位，尤其是邊遠地區。因此，營銷業務應用管理在基于現狀的基礎上逐步推進。根據對當前各地市公司的營銷管理現狀和管理目標需求的分析，管理現狀可分為如下三類：實時化、精細化管理；準實時、可控的管理；非實時、粗放式管理。目前大部分管理集中在第二類和第三類。

2.2網絡現狀

網絡建設水平將直接影響營銷業務應用的系統架構部署，目前新疆公司信息網已經形成，實現了公司總部到網省公司、網省公司本部到下屬地市公司的信息網絡互連互通，但是各地市公司在地市公司到下屬基層供電單位的之間的信息網絡建設情況差別較大，部分地市公司已經全部建成光纖網絡，并且有相應的備用通道，能夠滿足實時通信的要求，部分地市公司通過租用專線方式等實現連接，還有一些地市公司由于受地域條件的限制，尚存在一些信息網絡無法到達的地方，對大批量、實時的數據傳輸要求無法有效保證，通道的可靠性相對較差。

2.3需求分析

營銷業務系統通常部署在國家電網公司內部信息網絡的核心機房，為國家電網公司內部信息網絡和國家電網公司外部信息網絡的用戶提供相關業務支持。該網絡涉及業務工作和業務應用環境復雜，與外部/內部單位之間存在大量敏感數據交換，使用人員涵蓋國家電網公司內部人員，外部廠商人員，公網用戶等。因此，在網絡身份認證、數據存儲、網絡邊界防護與管理等層面上都有很高的安全需求。[2]

3關鍵技術和架構

3.1安全防護體系架構

營銷網絡系統安全防護體系的總體目標是保障營銷系統安全有序的運行，規范國家電網公司內部信息網員工和外部信息網用戶的行為，對違規行為進行報警和處理。營銷網絡系統安全防護體系由3個系統（3維度）接入終端安全、數據傳輸安全和應用系統安全三個方面內容，以及其多個子系統組成。

3.2接入終端安全

接入營銷網的智能終端形式多樣，包括PC終端、智能電表和移動售電終端等。面臨協議不統一，更新換代快，網絡攻擊日新月異，黑客利用安全漏洞的速度越來越快，形式越來越隱蔽等安全問題。傳統的基于特征碼被動防護的反病毒軟件遠遠不能滿足需求。需要加強終端的安全改造和監管，建立完善的認證、準入和監管機制，對違規行為及時報警、處理和備案，減小終端接入給系統帶來的安全隱患。

3.3數據傳輸安全

傳統的數據傳輸未采取加密和完整性校驗等保護措施，電力營銷數據涉及國家電網公司和用戶信息，安全等級較高，需要更有效的手段消除數據泄露、非法篡改信息等風險。市場上常見的安全網關、防火墻、漏洞檢測設備等，都具有數據加密傳輸的功能，能夠有效保證數據傳輸的安全性。但僅僅依靠安全設備來保證數據通道的安全也是不夠的。一旦設備被穿透，將可能造成營銷系統數據和用戶信息的泄露。除此之外，還需要采用更加安全可靠的協議和通信通道保證數據通信的安全。

3.4應用系統安全

目前營銷系統已經具有針對應用層的基于對象權限和用戶角色概念的認證和授權機制，但是這種機制還不能在網絡層及以下層對接入用戶進行細粒度的身份認證和訪問控制，營銷系統仍然面臨著安全風險。增強網絡層及以下層，比如接入層、鏈路層等的細粒度訪問控制，從而提高應用系統的安全性。

4安全建設

營銷系統安全建設涉及安全網絡安全、主機操作系統安全、數據庫安全、應用安全以及終端安全幾個層面的安全防護方案，用以解決營銷系統網絡安全目前存在的主要問題。

4.1終端安全加固

終端作為營銷系統使用操作的發起設備，其安全性直接關系到數據傳輸的安全，乃至內網應用系統的安全。終端不僅是創建和存放重要數據的源頭，而且是攻擊事件、數據泄密和病毒感染的源頭。這需要加強終端自身的安全防護策略的制定，定期檢測被攻擊的風險，對安全漏洞甚至病毒及時處理。對終端設備進行完善的身份認證和權限管理，限制和阻止非授權訪問、濫用、破壞行為。目前公司主要的接入終端有PC、PDA、無線表計、配變檢測設備、應急指揮車等。由于不同終端采用的操作系統不同，安全防護要求和措施也不同，甚至需要根據不同的終端定制相應的安全模塊和安全策略，主要包括：針對不同終端（定制）的操作系統底層改造加固；終端接入前下載安裝可信任插件；采用兩種以上認證技術驗證用戶身份；嚴格按權限限制用戶的訪問；安裝安全通信模塊，保障加密通訊及連接；安裝監控系統，監控終端操作行為；安裝加密卡/認證卡，如USBKEY/PCMCIA/TF卡等。

4.2網絡環境安全

網絡環境安全防護是針對網絡的軟硬件環境、網絡內的信息傳輸情況以及網絡自身邊界的安全狀況進行安全防護。確保軟硬件設備整體在營銷網絡系統中安全有效工作。

4.2.1網絡設備安全

網絡設備安全包括國家電網公司信息內、外網營銷管理系統域中的網絡基礎設施的安全防護。主要防護措施包括，對網絡設備進行加固，及時安裝殺毒軟件和補丁，定期更新弱點掃描系統，并對掃描出的弱點及時進行處理。采用身份認證、IP、MAC地址控制外來設備的接入安全，采用較為安全的SSH、HTTPS等進行遠程管理。對網絡設備配置文件進行備份。對網絡設備安全事件進行定期或實時審計。采用硬件雙機、冗余備份等方式保證關鍵網絡及設備正常安全工作，保證營銷管理系統域中的關鍵網絡鏈路冗余。

4.2.2網絡傳輸安全

營銷系統數據經由網絡傳輸時可能會被截獲、篡改、刪除，因此應當建立安全的通信傳輸網絡以保證網絡信息的安全傳輸。在非邊遠地方建立專用的電力通信網絡方便營銷系統的用戶安全使用、在邊遠的沒有覆蓋電力局和供電營業所的地方，采用建立GPRS、GSM，3G專線或租用運營商ADSL、ISDN網絡專網專用的方式，保障電力通信安全。電力營銷技術系統與各個銀行網上銀行、郵政儲蓄網點、電費代繳機構進行合作繳費，極大方便電力客戶繳費。為了提高通道的安全性，形成了營銷系統信息內網、銀行郵政等儲蓄系統、internet公網、供電中心網絡的一個封閉環路，利用專網或VPN、加密隧道等技術提高數據傳輸的安全性和可靠性。在數據傳輸之前需要進行設備間的身份認證，在認證過程中網絡傳輸的口令信息禁止明文傳送，可通過哈希（HASH）單向運算、SSL加密、SecureShel（lSSH）加密、公鑰基礎設施（PublicKeyInfrastructure簡稱PKI）等方式實現。此外，為保證所傳輸數據的完整性需要對傳輸數據加密處理。系統可采用校驗碼等技術以檢測和管理數據、鑒別數據在傳輸過程中完整性是否受到破壞。在檢測到數據完整性被破壞時，采取有效的恢復措施。

4.2.3網絡邊界防護

網絡邊界防護主要基于根據不同安全等級網絡的要求劃分安全區域的安全防護思想。營銷系統安全域邊界，分為同一安全域內部各個子系統之間的內部邊界，和跨不同安全域之間的網絡外部邊界兩類。依據安全防護等級、邊界防護和深度防護標準，具有相同安全保護需求的網絡或系統，相互信任，具有相同的訪問和控制策略，安全等級相同，被劃分在同一安全域內[3]，采用相同的安全防護措施。加強外部網絡邊界安全，可以采用部署堡壘機、入侵檢測、審計管理系統等硬件加強邊界防護，同時規范系統操作行為，分區域分級別加強系統保護，減少系統漏洞，提高系統內部的安全等級，從根本上提高系統的抗攻擊性。跨安全域傳輸的數據傳輸需要進行加密處理。實現數據加密，啟動系統的加密功能或增加相應模塊實現數據加密，也可采用第三方VPN等措施實現數據加密。

4.3主機安全

從增強主機安全的層面來增強營銷系統安全，采用虛擬專用網絡（VirtualPrivateNetwork簡稱VPN）等技術，在用戶網頁（WEB）瀏覽器和服務器之間進行安全數據通信，提高主機自身安全性，監管主機行，減小用戶錯誤操作對系統的影響。首先，掃描主機操作系統評估出配置錯誤項，按照系統廠商或安全組織提供的加固列表對操作系統進行安全加固，以達到相關系統安全標準。安裝第三方安全組件加強主機系統安全防護。采用主機防火墻系統、入侵檢測/防御系統（IDS/IPS）、監控軟件等。在服務器和客戶端上部署專用版或網絡版防病毒軟件系統或病毒防護系統等。此外，還需要制定用戶安全策略，系統用戶管理策略，定義用戶口令管理策略[4]。根據管理用戶角色分配用戶權限，限制管理員使用權限，實現不同管理用戶的權限分離。對資源訪問進行權限控制。依據安全策略對敏感信息資源設置敏感標記，制定訪問控制策略嚴格管理用戶對敏感信息資源的訪問和操作。

4.4數據庫安全

數據庫安全首要是數據存儲安全，包括敏感口令數據非明文存儲，對關鍵敏感業務數據加密存儲，本地數據備份與恢復，關鍵數據定期備份，備份介質場外存放和異地備份。當環境發生變更時，定期進行備份恢復測試，以保證所備份數據安全可靠。數據安全管理用于數據庫管理用戶的身份認證，制定用戶安全策略，數據庫系統用戶管理策略，口令管理的相關安全策略，用戶管理策略、用戶訪問控制策略，合理分配用戶權限。數據庫安全審計采用數據庫內部審計機制或第三方數據庫審計系統進行安全審計，并定期對審計結果進行分析處理。對較敏感的存儲過程加以管理，限制對敏感存儲過程的使用。及時更新數據庫程序補丁。經過安全測試后加載數據庫系統補丁，提升數據庫安全。數據庫安全控制、在數據庫安裝前，必須創建數據庫的管理員組，服務器進行訪問限制，制定監控方案的具體步驟。工具配置參數，實現同遠程數據庫之間的連接[5]。數據庫安全恢復，在數據庫導入時，和數據庫發生故障時，數據庫數據冷備份恢復和數據庫熱備份恢復。

4.5應用安全

應用安全是用戶對營銷系統應用的安全問題。包括應用系統安全和系統的用戶接口和數據接口的安全防護。

4.5.1應用系統安全防護

應用系統安全防護首先要對應用系統進行安全測評、安全加固，提供系統資源控制功能以保證業務正常運行。定期對應用程序軟件進行弱點掃描，掃描之前應更新掃描器特征代碼；弱點掃描應在非核心業務時段進行，并制定回退計劃。依據掃描結果，及時修復所發現的漏洞，確保系統安全運行。

4.5.2用戶接口安全防護

對于用戶訪問應用系統的用戶接口需采取必要的安全控制措施，包括對同一用戶采用兩種以上的鑒別技術鑒別用戶身份，如采用用戶名/口令、動態口令、物理識別設備、生物識別技術、數字證書身份鑒別技術等的組合使用。對于用戶認證登陸采用包括認證錯誤及超時鎖定、認證時間超出強制退出、認證情況記錄日志等安全控制措施。采用用戶名/口令認證時，應當對口令長度、復雜度、生存周期進行強制要求。同時，為保證用戶訪問重要業務數據過程的安全保密，用戶通過客戶端或WEB方式訪問應用系統重要數據應當考慮進行加密傳輸，如網上營業廳等通過Internet等外部公共網絡進行業務系統訪問必須采用SSL等方式對業務數據進行加密傳輸。杜絕經網絡傳輸的用戶名、口令等認證信息應當明文傳輸和用戶口令在應用系統中明文存儲。

4.5.3數據接口安全防護

數據接口的安全防護分為安全域內數據接口的安全防護和安全域間數據接口的安全防護。安全域內數據接口在同一安全域內部不同應用系統之間，需要通過網絡交換或共享數據而設置的數據接口；安全域間數據接口是跨不同安全域的不同應用系統間，需要交互或共享數據而設置的數據接口。

5安全管理

安全管理是安全建設的各項技術和措施得以實現不可缺少的保障，從制度和組織機構到安全運行、安全服務和應急安全管理，是一套標準化系統的流程規范，主要包括以下方面。

5.1安全組織機構

建立營銷業務應用安全防護的組織機構，并將安全防護的責任落實到人，安全防護組織機構可以由專職人員負責，也可由運維人員兼職。

5.2安全規章制度

建立安全規章制度，加強安全防護策略管理，軟件系統安全生命周期的管理，系統安全運維管理，安全審計與安全監控管理，以及口令管理、權限管理等。確保安全規章制度能夠有效落實執行。

5.3安全運行管理

在系統上線運行過程中，遵守國家電網公司的安全管理規定，嚴格遵守業務數據安全保密、網絡資源使用、辦公環境等的安全規定。首先，系統正式上線前應進行專門的系統安全防護測試，應確認軟件系統安全配置項目準確，以使得已經設計、開發的安全防護功能正常工作。在上線運行維護階段，應定期對系統運行情況進行全面審計，包括網絡審計、主機審計、數據庫審計，業務應用審計等。每次審計應記入審計報告，發現問題應進入問題處理流程。建立集中日志服務器對營銷交易安全域中網絡及安全設備日志進行集中收集存儲和管理。軟件升級改造可能會對原來的系統做出調整或更改，此時也應從需求、分析、設計、實施上線等的整個生命周期對運行執行新的安全管理。

5.4安全服務

安全服務的目的是保障系統建設過程中的各個階段的有效執行，問題、變更和偏差有效反饋，及時解決和糾正。從項目層面進行推進和監控系統建設的進展，確保項目建設質量和實現各項指標。從項目立項、調研、開發到實施、驗收、運維等各個不同階段，可以階段性開展不同的安全服務，包括安全管理、安全評審、安全運維、安全訪談、安全培訓、安全測試、安全認證等安全服務。

5.5安全評估

安全評估是對營銷系統潛在的風險進行評估（RiskAssessment），在風險尚未發生或產生嚴重后果之前對其造成后果的危險程度進行分析，制定相應的策略減少或杜絕風險的發生概率。營銷系統的安全評估主要是針對第三方使用人員，評估內容涵蓋，終端安全和接入網絡安全。根據國家電網公司安全等級標準，對核心業務系統接入網絡安全等級進行測評，并給出測評報告和定期加固改造辦法，如安裝終端加固軟件/硬件，安裝監控軟件、增加網絡安全設備、增加安全策略，包括禁止違規操作、禁止越權操作等。

5.6應急管理

為了營銷系統7×24小時安全運行，必須建立健全快速保障體系，在系統出現突發事件時，有效處理和解決問題，最大限度減小不良影響和損失，制定合理可行的應急預案，主要內容包括：明確目標或要求，設立具有專門的部門或工作小組對突發事件能夠及時反應和處理。加強規范的應急流程管理，明確應急處理的期限和責任人。對于一定安全等級的事件，要及時或上報。

6實施部署

營銷系統為多級部署系統。根據國家電網信息網絡分區域安全防護的指導思想原則，結合新疆多地市不同安全級別需求的實際情況，營銷系統網絡整體安全部署如圖2所示。在營銷系統部署中，對安全需求不同的地市子網劃分不同的安全域，網省管控平臺部署在網省信息內網，負責對所有安全防護措施的管控和策略的下發，它是不同安全級別地市子系統信息的管理控制中心，也是聯接總部展示平臺的橋梁，向國網總公司提交營銷系統安全運行的數據和報表等信息。

7結束語