安全網絡策略范文

序論：在您撰寫安全網絡策略時，參考他人的優秀作品可以開闊視野，小編為您整理的7篇范文，希望這些建議能夠激發您的創作熱情，引導您走向新的創作高度。

第1篇

【關鍵詞】網絡安全；威脅風險；安全漏洞；防范策略

引言

經濟多元化發展的今天，人們的生活越來越離不開信息網絡世界，對網絡空間的安全也提出了更高的要求。網絡安全問題可以造成的嚴重危害有目共睹，僅以2016年為例，就有OpenSSL新型安全漏洞“水牢”威脅我國十余萬家網站、315晚會上曝光不法分子利用公共WIFI漏洞盜取他人銀行賬戶資產、俄羅斯黑客盜取2.7億郵箱賬號密碼并在黑市交易、山東臨沂準大一新生徐玉玉因電信詐騙死亡、國家電網掌上電力及電e寶等App泄露大量用戶數據等重大網絡安全事件發生。因此，提高全民的網絡安全意識、普及網絡安全威脅防范知識已成為當務之急。只有在全民做好防范應對的前提下，才真正能夠抵御來自于互聯網的絕大部分威脅和風險，營造一個健康和諧、更好地為人類生活服務的網絡社會。

1網絡安全三類威脅

根據國家互聯網應急中心（CNCERT）網絡安全信息與動態監測結果，2016年12月12日至12月18日，我國境內被篡改網站數量達3438個（其中政府網站79個）；境內被植入后門的網站數量達1614個（其中政府網站33個）；針對境內網站的仿冒頁面數量達2486個。境內感染網絡病毒的主機數量達94.8萬，其中包括被木馬或被僵尸程序控制主機72.8萬，感染飛客（conficker）蠕蟲主機22萬；新增信息安全漏洞274個，其中高危漏洞98個。與前一周相比，被篡改網站、仿冒頁面、感染病毒主機、新增信息安全漏洞等數量都在增加[1]?？梢?，互聯網安全威脅普遍、大量存在，而且有不斷增加的趨勢。這些威脅依據安全三要素“人、機、環境”可分類為：人為威脅、計算機威脅和網絡威脅。1.1人為威脅人為威脅[2]即由用戶非正常操作引起的威脅，包括：（1）無意識的操作失誤，如系統管理員安全配置不當、系統登錄口令強度太弱、長時間離開未鎖定計算機、重要賬號隨意轉借他人、下載運行存在安全風險的軟件程序等；（2）有意識的主動攻擊，如通過釣魚郵件、社會工程學等方法竊取重要數據信息，或者利用病毒木馬傳播、惡意代碼植入、拒絕服務攻擊等方式對系統和數據進行篡改甚至破壞。

1.2計算機威脅

計算機威脅主要是由計算機自身部署的軟硬件產生的威脅，包括：（1）因操作系統、數據庫或其他應用系統未及時升級至最新版本導致存在可被利用的漏洞或者“后門”[3]；（2）因需要提供某些特定服務而開啟相應端口，這些服務和端口同時也可能被攻擊者利用；（3）因接入外部設備（如U盤、攝像頭、打印機等）導致敏感信息泄露或計算機被感染等問題。

1.3網絡威脅

網絡威脅是三類威脅中存在最廣泛、危害性最強的?；ヂ摼W上充斥著各種各樣、不計其數的病毒、木馬和惡意代碼，未作任何防護措施的計算機直接接入網絡中的危險不言而喻；網絡通信協議使得具有不同硬件架構和操作系統的計算機能夠互聯互通，但許多早期協議在設計之初并未考慮網絡安全問題，不可避免會存在安全隱患；除此之外，互聯網中還遍布各種具有攻擊能力的網絡工具，攻擊者可以操縱這些工具并結合一些攻擊命令實現各種攻擊目的，輕則竊取重要文件或造成目標計算機運行異常，重則完全控制目標計算機甚至造成物理性嚴重破壞。

2常用網絡安全防范策略

為有效防范上述網絡安全威脅，結合生活生產實際，常用且有效的一些應對策略和措施包括以下方面。

2.1完善用戶賬戶口令安全

包括操作系統（如Windows、Linux/Unix）、數據庫（如SQLServer、Oracle、MySQL）、中間件（如Tomcat、Weblogic、JBoss）、遠程連接和文件共享服務（如Ftp、Telnet、SSH）、網絡設備（如網關、交換機、路由器、攝像頭、打印機）等重要軟硬件資源的管理員口令都應設置為大小寫字母、數字及特殊字符的強組合，且應達到一定長度并定期更換（如8位以上、每3月更換）。研究表明，暴力破解8位強組合口令的時間是8位純數字口令的7.2*107倍，是6位強組合口令的9.2*103倍，長度越長、組合越復雜的口令被破解成功的概率將以指數級減小。對于Windows操作系統，應特別注意禁用Guest來賓賬戶，有為數不少的成功入侵案例就是利用這個賬號存在的漏洞來達到入侵目的。為進一步加強反入侵效果，還可以將系統默認的管理員用戶名administrator修改為其他名稱，同時再創建一個具有極小權限的administrator賬戶，從而對攻擊者造成干擾和迷惑，爭取時間組織有效防御。

2.2禁用不常用的端口

操作系統一般會默認開放一些網絡服務，如果確認不會用到這些服務，就應該禁用服務對應的端口，減少計算機暴露在網絡中的安全風險。對于個人終端計算機，可以禁用的常見端口包括：21（Ftp服務）、23（Telnet服務）、80/8080（Http服務）、139/445（網絡共享服務）、443（Https服務）、3389（遠程連接服務）等，這樣可以阻止相當一部分網絡攻擊。對于部署了數據庫和中間件的服務器計算機，應該更改以下默認端口：1433（SQLServer）、1521（Oracle）、3306（MySQL）、7001（Weblogic）、8080（Tomcat/JBoss）等，達到在網絡中隱藏自身的目的。

2.3及時更新最新升級補丁

任何軟件系統都不可能是絕對安全的，總會被有意者發現新的安全問題，因此開發商需要不斷升級補丁和重大版本更新來修復和封堵漏洞，保持系統的安全性和穩定性。如果不及時更新至最新的版本，就很容易被攻擊者利用已知漏洞獲得系統控制權限或致使系統癱瘓。因此，應定期檢要的軟件系統如操作系統、數據庫、中間件、辦公軟件、開發環境（如Java、PHP）等是否存在重要升級補丁或重大版本更新，及時選擇合適的時機完成升級更新，封堵來自于軟件本身的威脅。

2.4部署安裝必要的安全軟、硬件

要保證計算機安全接入互聯網，以下安全軟件和硬件是必須部署安裝的：（1）防火墻/安全網關，用于實現對網絡的訪問控制，過濾不安全的流量數據包，禁用指定端口的通信和來自特定ip地址的訪問等[4]；（2）防病毒軟件，用于防范、攔截、查殺、隔離計算機病毒、木馬和惡意代碼；（3）加密U盤，用于防止他人在未通過身份鑒別的情況下直接獲取U盤中的文件數據。企業級用戶還應部署如下系統以達到更高的安全防護級別：（1）入侵檢測系統/入侵防御系統，用于自動檢測和防御來自外部網絡的可能的攻擊行為，并為網絡安全管理人員提供日志審計以追溯攻擊來源、識別較隱蔽的攻擊行為等；（2）漏洞掃描系統，通過掃描等方式檢測本地或遠程計算機系統存在的安全脆弱性，發現可被利用的安全漏洞隱患并提供相應的修復和加固建議；（3）災備系統，用于對信息系統進行數據、軟件和硬件備份，使得在災難發生導致系統損毀時，能夠迅速、可靠地恢復到正常運行狀態。

2.5應用加密技術存儲、傳輸文件

對于具有密級級別的文件資料，如國家、商業、企業的絕密、機密和秘密文件，應當進行加密存儲，防止攻擊者在成功入侵獲得文件后輕易解讀。目前的加密存儲方式可分為硬件加密、軟件加密和智能加密三類，其中使用最廣泛、最便捷的是軟件加密方式，常見如壓縮軟件WinRAR提供的加密壓縮包功能，以及一些專業加密軟件如“超級加密3000”、“文件夾超級加密大師”、“隱身俠”等。密級很高的文件不建議使用軟件加密，應選擇安全性更高的硬件和智能加密方式。重要文件和信息在網絡中的傳輸也應該進行加密。一些早期的網絡傳輸協議如ftp、telnet等均以明文方式傳輸信息，只要傳輸的網絡數據包被截獲，所有信息都將徹底暴露，毫無安全性可言，也正因如此，ftp和telnet服務已經逐漸被相對安全得多的ssh服務所代替。除了信息傳輸方式應設置為密文外，被傳輸的文件本身也應當加密，以防傳輸通道被劫持或中間節點服務器被控制導致文件被他人獲得后可無限制訪問。

3結語

第2篇

1.影響網絡信息安全的主要因素

1.1 導致互聯網脆弱性的原因。

（1）網絡的開放性，網絡的技術是全開放的，使得網絡所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊，或是來自對網絡通信協議的攻擊，以及對計算機軟件、硬件的漏洞實施攻擊。

（2）網絡的自由性，大多數的網絡對用戶的使用沒有技術上的約束，用戶可以自由的上網，和獲取各類信息。

1.2 安全管理困難性。

雖然安全事件通常是不分國界的，但是安全管理卻受國家等多種因素的限制。安全管理也非常復雜，經常出現人力投入不足、安全政策不明等現象。擴大到不同國家之間，跨國界的安全事件的追蹤就非常困難。

2.網絡安全的主要技術

2.1 防火墻技術。防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入。

2.1.1 網絡安全的屏障。

防火墻可通過過濾不安全的服務而減低風險，極大地提高內部網絡的安全性。由于只有經過選擇并授權允許的應用協議才能通過防火墻，所以網絡環境變得更安全。防火墻可以禁止諸如不安全的NFS協議進出受保護的網絡，使攻擊者不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向路徑。防火墻能夠拒絕所有以上類型攻擊的報文，并將情況及時通知防火墻管理員。

2.1.2 強化網絡安全策略。通過以防火墻為中心的安全方案配置。能將所有安全軟件（如口令、加密、身份認證等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如，在網絡訪問時，一次一密口令系統和其他的身份認證系統完全可以不必分散在各個主機上而集中在防火墻。

2.2 數據加密技術。

2.2.1 常用的數據加密技術。

目前最常用的加密技術有對稱加密技術和非對稱加密技術。

2.2.2 數據加密技術的含義。

所謂數據加密（Data Encryption）技術是指將一個信息（或稱明文，plain text）經過加密鑰匙（Encryption key）及加密函數轉換，變成無意義的密文（cipher text），而接收方則將此密文經過解密函數、解密鑰匙（Decryption key）還原成明文。加密技術是網絡安全技術的基石。

3.網絡安全具有的功能

3.1 身份識別。

身份識別是安全系統應具備的基本功能，身份識別主要是通過標識和鑒別用戶的身份，防止攻擊者假冒合法用戶獲取訪問權限。對于一般的計算機網絡而言，主要考慮主機和節點的身份認證，至于用戶的身份認證可以由應用系統來實現。

3.2 存取控制。

存取控制規定何種主體對何種客體具有何種操作權力。存取控制是網絡安全理論的重要方面，主要包括人員限制、數據標識、權限控制、類型控制和風險分析。存取控制也是最早采用的安全技術之一，它一般與身份驗證技術一起使用，賦予不同身份的用戶以不同的操作權限，以實現不同安全級別的信息分級管理。

4.常見網絡攻擊方法

4.1 網絡中的安全漏洞無處不在。即便舊的安全漏洞補上了，新的安全漏洞又將不斷涌現。網絡攻擊正是利用這些存在的漏洞和安全缺陷對系統和資源進行攻擊。

第一：搜索

第二：掃描

第三：獲得權限

第四：保持連接

第五：消除痕跡

4.2 網絡攻擊的常見方法。

（1）口令入侵

（2）電子郵件攻擊

（3）木馬程序

（4）漏洞攻擊

5.網絡安全應對策略

（1）使用防火墻軟件

（2）提高網絡安全意識

（3）隱藏自己的IP地址

（4）備份資料

（5）提高警惕

我國面對網絡威脅采取的主要策略：

5.1 完善管理機制。

一個完善的計算機網絡信息系統安全方案至少應該包括以下幾個方面：訪問控制、檢查安全漏洞、攻擊監控、加密、備份和恢復、多層防御、建立必要的管理機制。隨著計算機技術和通信技術的發展，計算機網絡將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。因此，認清網絡的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網絡的安全性顯得十分重要。同時，計算機網絡技術目前正處于蓬勃發展的階段，新技術層出不窮，其中也不可避免地存在一些漏洞，因此，進行網絡防范要不斷追蹤新技術的應用情況，及時升級、完善自身的防御措施。

5.2 逐步消除網絡安全隱患。

（1）每個人必須對其網絡行為承擔法律和道德責任是規范網絡秩序的一個重要準則。

第3篇

關鍵詞：網絡拓撲；防火墻；路由器；交換機；LAN；網絡安全策略

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)24-5855-03

On the Hospital Network Security Policy

HUANG Shao-e

(Information Department of Songgang Hospital, Shenzhen 518105, China)

Abstract: Analysis on the main problem of network security before transformation of the system that we are facing and after transformation network security policy of our hospital. Information on network security system reform is necessary, the importance of its security system has become increasingly prominent, and computer information network technology is increasingly popular, all the insecurity of the network, such as:continuous spreading of computer viruses, hackers, hacking, data has been illegal manipulation, jeopardize network security, security system, hospital information strategy has become the process of building should not be ignored.

Key words: network topology; firewal; router; switch; VLAN; network security policy

隨著醫院業務的不斷發展，其網絡系統[1]也經歷了多年的不斷建設。在業務水平、網絡規模不斷提升的同時，網絡也變得越來越復雜，而這種復雜對其安全性的挑戰也是越來越嚴峻。OA業務系統對信息系統的依賴程度也越來越高，信息安全的問題也越來越突出。醫院計算機管理人員充分認識到了安全保證對于業務系統的重要性，采取了相應的安全措施，部署了一些安全設備發揮了積極的作用。但是安全的動態性、系統性的屬性決定了安全是一個逐步完善的整體性系統工程，需要管理、組織和技術各方面的配合。安全源于未雨綢繆，隨著安全信息建設的逐步深入，醫院立足于當前系統環境，考慮到未來業務發展的趨勢決定對系統進行安全體系建設。在2009年初計劃投入建設我院信息安全保障體系[1-2]，以增強我院的外網信息安全風險防范能力。

下面就我院網絡改造前后安全問題進行淺談。

1 我院網絡未改造前現狀系統安全風險分析

未改造前我院外部網絡所面臨的主要問題：所面臨的主要問題可以細化為：① 員工有少數人上網進行BT下載，嚴重占用帶寬，影響其他人的正常的互聯網訪問。② 內網機器感染了病毒，沒有有效監控措施快速找到感染病毒的機器。③ 內網網絡沒有做安全隔離，服務器和客戶端沒有有效的隔離。④ 服務器區沒有任何的安全防護措施，容易受到攻擊。⑤ OA院內辦公系統、數字多媒體圖書館等系統直接暴露于互聯網，沒有任何安全防護措施，很容易造成隱私信息的泄漏。

未改造前的網絡狀況拓撲結構如圖1所示。

本單位辦公樓層分布：十層樓門診部（門診辦公+行政辦公）、十層樓住院部、小樓層其他業務科室辦公樓；

2 我院改造后的網絡系統安全策略[2-3]

通過以VLAN（Virtual Local Area Network）方式的配置管理技術，在交換式以太網中，利用VLAN技術將由交換機連接成的物理網絡劃分成多個VLAN邏輯子網，實現不同網段邏輯隔離，按照樓層與科室類別和安全等級對計算機網絡段實現分類管理，有利于網絡的管理[4]和提高網絡利用率。

2.1 硬件改造架設

在文中重點解說USG防火墻防御能力[5]的網絡安全策略。此次改造增加的設備有：H3C S1526交換機、Cisco2800路由器和USG-600C防火墻。

2.1.1 USG防火墻的冗余措施

USG-600C防火墻作為網絡接入的冗余措施[6]，對數據流進行精細的控制。USG安全網關具有如下特點：1）完善的訪問控制手段：IP地址過濾、MAC地址過濾、IP＋MAC綁定、用戶認證、流量整形、連接數控制等；2）IPS-堅固的防御體系；3）完善的攻擊特征庫：包括50多類，超過1800項的入侵攻擊特征；4）漏洞機理分析技術，精確抵御黑客攻擊、蠕蟲、木馬、后門；5）應用還原重組技術：抑制間諜軟件、灰色軟件、網絡釣魚的泛濫；6）網絡異常分析技術：全面防止拒絕服務攻擊；7）業界領先的網絡防病毒技術：文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件；8）實用的流量監控系統NetFlow：歷史帶寬使用趨勢分析、帶寬應用分布、帶寬使用實時統計、IP流量排名等；9）多種手段全面清除垃圾郵件：黑名單、白名單、可追查性檢查、病毒掃描、附件類型和附件大小過濾、關鍵字過濾等；10）精確的抗DoS攻擊能力：采用特征控制和異?？刂葡嘟Y合的手段，有效保障抗拒絕服務攻擊的準確性和全面性，阻斷絕大多數的DoS攻擊行為；11）完善的P2P、IM、流媒體、網絡游戲和股票軟件控制能力；12）強大的日志報表功能：可對防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發送日志、關鍵資產訪問日志、用戶登錄日志等進行記錄。

USG-600C防火墻支持IP與MAC地址綁定功能并提供了多種綁定手段[7]，包括手動綁定，自動單主機綁定以及自動多主機綁定能力。其IP與MAC地址綁定功能值得一提，因ARP欺騙可以造成內部網絡的混亂，讓某些被欺騙的計算機無法正常訪問外網，讓網關無法和客戶端正常通信。分析其原理如下：假設這樣一個網絡，一個Hub或交換機連接了3臺機器，依次是計算機A，B，C。

A的地址為：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

B的地址為：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

C的地址為：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

正常情況下在A計算機上運行ARP -A查詢ARP緩存表應該出現如下信息。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

在計算機B上運行ARP欺騙程序，來發送ARP欺騙包。

B向A發送一個自己偽造的ARP應答，而這個應答中的數據為發送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存（A可不知道被偽造了）。而且A不知道其實是從B發送過來的，A這里只有192.168.10.3（C的IP地址）和無效的DD-DD-DD-DD-DD-DD mac地址。

欺騙完畢我們在A計算機上運行ARP -A來查詢ARP緩存信息。你會發現原來正確的信息現在已經出現了錯誤。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

從上面的介紹我們可以清楚的明白原來網絡中傳輸數據包最后都是要根據MAC地址信息的，也就是說雖然我們日常通訊都是通過IP地址，但是最后還是需要通過ARP協議進行地址轉換，將IP地址變為MAC地址。而上面例子中在計算機A上的關于計算機C的MAC地址已經錯誤了，所以即使以后從A計算機訪問C計算機這個192.168.1.3這個地址也會被ARP協議錯誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。

解決ARP欺騙的辦法就是進行IP與MAC地址綁定，由于每塊網卡的MAC地址都是固定的，經過地址綁定后，IP地址就與計算機或用戶（若每臺計算機的用戶固定）的對應關系就固定了。也就是說，只有特定的主機才能使用特定的IP地址，這就可以保證IP地址不被盜用，同時也加強了內部網絡IP不被隨便人為修改的計算機管理。

2.1.2 網絡主干設置

核心H3C S1526交換機為網絡的主負載，樓層中心交換機為輔，利用H3C S1526交換機來進行VLAN端口劃分，劃分了三個網絡區間。這三個區間分別為VLAN 1、VLAN 2和兩個VLAN的和集。第一區間為VLAN 1,連接DDN專線出口, 包含門診部和住院部及其它樓層的獨立網絡段；第二個為VLAN 2,連接ADSL出口，該區間包含9樓行政辦公的獨立網段；第三個區間是前兩個區間的和集，包含兩個網絡段，再細劃分兩個共享端口作為OA服務器端口。

下面來看一下C1526交換機上VLAN的三大網段劃分如圖2所示。

2.1.3 Cisco2800路由器設置

利用Console端口進行配置，其 Cisco2800路由器端口設置如下：

Building configuration...

Current configuration : 2355 bytes

version 12.3

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

hostname Router

boot-start-marker

boot-end-marker

logging buffered 51200 warnings

enable password ********

username cisco privilege 15 secret 5 $1$sSWy$k0lsLJFTmyqdIf0xToY05/

no network-clock-participate aim 0

no network-clock-participate aim 1

no aaa new-model

ip subnet-zero

ip cef

ip domain name

no ftp-server write-enable

interface GigabitEthernet0/0

ip address 192.168.1.1 255.255.255.0

ip nat inside

duplex auto

speed auto

interface GigabitEthernet0/1

ip address 10.1.1.1 255.255.255.0

duplex auto

speed auto

interface Serial0/1/0

ip address 102.105.101.102 255.255.255.240

ip nat outside

encapsulation ppp

ip classless

ip route 0.0.0.0 0.0.0.0 102.105.101.101

ip http server

ip http authentication local

ip nat pool NATOUT 102.105.101.102 102.105.101.102 netmask 255.255.255.240

ip nat inside source list 1 pool NATOUT overload

ip nat inside source static tcp 192.168.2.10 80 102.105.101.102 8080 extendable

access-list 1 permit 192.168.0.0 0.0.255.255

control-plane

banner login ^C

以上端口設置主要是完成OA服務器端口映射的功能，到此步就完成了整個網絡硬件布置。下面就改造后的網絡安全體系進行圖解。

2.2 新規劃改造后的網絡安全體系拓撲

新規則的網絡拓撲圖如圖3所示。

3 結束語

綜上，網絡安全是必須關注的問題，但如何在網絡建設中對投入設備的選購是需要慎重考慮的。網絡擴展包括設備交換容量的擴展能力、端口密度的擴展能力、主干帶寬的擴展以及網絡規劃的擴展能力，非專業防火墻是萬萬不能選購，路由器和交換機也是要考慮其品牌和使用功能，作為一個規模經營醫療單位的信息管理員更是不能在選購硬件上少花功夫，既要保證最大的安全性，也要讓網絡在有限的條件下實施，從而做到資源上不浪費，技術上也不落后。

參考文獻：

[1] 劉旭旭.醫院計算機系統與網絡的設備部署[J].現代計算機(專業版),2011,(Z1):106-108.

[2] 王穎,劉書恩.新醫改下醫院信息網絡的建設[J].醫學信息(中旬刊),2010(6):1581.

[3] 苗秋瑾.數字化醫院的網絡安全隱患與防[J].數字技術與應用,2009 (9):158-159.

[4] 朱彥斌.醫院信息化網絡建設與維護[J].醫療設備,2008(2):87-88.

[5] 沈永新.關于防火墻技術的研究與探討[J].福建電腦,2011,(1).

[6] 孫興文.個人防火墻系統架構設計與實現[J].電腦知識與技術,2009,(33).

第4篇

【關鍵詞】網絡信息安全；設計；管理策略

企業在發展的過程中，必然存在各種信息，有些信息可以對外公開公布，社會公眾可以透過這些信息了解到企業的經營狀況；有些信息則屬于企業的機密，只有授權范圍之內的少數人才能夠了解，因為它關系著企業的生死存亡。隨著計算機技術、網絡技術、通訊技術的飛速發展，使信息的處理與傳遞以前所未有的速度進行。企業想要在利用計算機網絡化提高自身管理水平的同時，保證信息安全，就必須對企業的網絡信息安全系統進行設計與規劃，科學構建安全訪問系統，以此來提高網絡信息安全。

一、威脅網絡信息安全的因素

隨著計算機網絡技術的不斷提高，非法訪問、密碼竊取以及惡意攻擊等安全威脅的手段也在不斷升級。這也在客觀上需要企業提高網絡信息安全設計水平，VPN、殺毒軟件、數據加密、身份認證以及防火墻技術在企業中得到推廣使用，在網絡信息安全系統構建上起到了一定的效果，但是這些產品的功能相對分散，相互的關聯性并不高，整體效益并不是十分理想。

（一）計算機病毒

計算機病毒是指編程人員在計算程序中插入一些能夠破壞計算機功能的數據，它能夠使計算機無法進行正常使用，并且能夠進行自我復制的計算程序代碼或者計算機指令。計算機病毒不能夠獨立存在，它只能夠寄生于其他程序里面，具有傳染性、隱蔽性、破壞性的特點。隨著計算機網絡技術的飛速發展，病毒種類在不斷升級。當今世界上的計算機活體病毒的各類，已經達到了14萬之多，傳播途徑主要有硬盤、電子郵件以及依附于各種下載軟件之中。攜帶病毒的計算機只要運行時，滿足了病毒制造者預設的條件，那么計算病毒就會爆發，輕者文件丟失、運行速度減慢，重者則導致系統癱瘓、硬件損壞。比如圖一，為CIH病毒發作時的情況。

（二）黑客攻擊

提起黑客，我們都不陌生，他們是一些熱衷于研究、編寫程序的專才。其中有些人利用掌握的知識推動計算機網絡技術的發展，但是也有一些人則利用這些技術罪犯，獲取不正當利益，比如進入2002年，網絡犯罪分子開始采用DDOS的手法對服務系統進行攻擊，干擾在線商務。在寬帶網絡環境下，常見的攻擊方式主要有以下兩種：一是黑客發動的，針對網絡設備與網絡服務的DDOS攻擊；二是利用蠕蟲病毒進行攻擊，從而造成網絡流量迅速增加，最終導致計算機網絡設備徹底崩潰。DDOS的攻擊對象主要有域名服務器、網頁服務器以及郵件服務器，一旦受到DDOS的攻擊，服務器則會被來自四面八方的海量信息所淹沒。網絡黑客的目的就是用大量的垃圾信息來阻礙服務器的正常對信息的處理，然后借機切斷攻擊目標的對外連線。黑客經常把網絡與“僵尸電腦”相連，然后將大量的查詢要求傳送到開放的DNS服務器中，這些查詢信息則會偽裝成被海量信息攻擊的目標傳出，所以DNS服務器會把回應信息傳到相應的網址上去。傳統的身份認證，外來攻擊者只是憑借獲取有關用戶身份憑證，就能夠以任何一臺設備而進入網絡。就算是最嚴密的認證系統也很難對網絡信息安全進行保護。除此以外，企事業單位的員工能夠通過任意一臺沒有經過確認設備，以有效身份憑證進入網絡系統，導致木馬程序、間諜軟件等惡意程序入侵系統，對網絡信息安全系統產生了嚴重威脅。

（三）協議設計上存在著缺陷

互聯網是建立在TCP/IP協議上的，這一協議在設計之初更偏重于效率，而忽略了安全因素，因此TCP/IP在設計之初，就存在一定的缺陷。

1.安全策略不嚴謹。很多站點在防火墻的配置上增加了訪問的權限，沒有考慮到這些權限可能被人利用，比如內部員工濫用權限，無意中為黑客留下了線索，一旦黑客入侵，網絡維護人員往往毫無察覺。

2.信息容易被人竊取。多數企業互聯網上的流量都是沒有經過加密的，這就使文件在傳送的過程中很容易被人竊取。而且基于TCP/IP協議的很多應用服務都不同程度的存在一些安全問題，很容易被人利用。

3.配置過于復雜。訪問控制的配置通常是十分復雜的，這就非常容易造成配置上的錯誤，而形成了安全隱患。目前，銀行之間在數據傳輸的過程中，所采用的協議均是保密的，這就提高了安全性，防止網絡黑客的入侵。當然，現階段我們還不能將TCP/IP與其實現代碼進行保密處理，因為這將不利于TCP/IP網絡的發展，但是銀行的這種處理方式可以為我們網絡信息安全系統的設計拓寬一些思路。

二、網絡信息安全設計及管理策略

（一）網絡與系統安全的設計

網絡與系統安全的設計可以采用NetScreen-208防火墻設備，這種設備是當前國內市場上功能較為齊全的防火墻產品，它包括了8個自適應10/100M以太網端口，這些端口能夠把網絡劃分成為多個區域，從而把需要保護的區域與潛在的相分離，在與網絡設備進行連接時，這個設備的端口1與內部網的主交換機相連接，而端口2則與DMZ區相連接，端口3與因特網的路由器相連接。

殺毒軟件可以采用瑞星網絡版軟件，這一軟件具有網絡管理功能，它主要是通過一個控制中心在整個網絡的內部實現遠程報警、智能升級以及遠程管理等功能，有效的監管病毒入口如圖二。

（二）服務系統的設計

企業的內部網站與數據庫服務系統，依據信息的秘密等級，主要分成應用與非應用兩種，同樣它們所依賴的服務器也可發分成與非兩類。正如筆者描述的，服務器主要處理的是信息，而非服務器主要處理的是非信息。從安全等級考慮，服務系統應該是企業的重點保護對象。因此，我們可以在服務器前配置相應的安全網關，其設計如圖三。

用戶在訪問頻密信息時，主要是基于HTTP協議，用戶在通過安全網關認證之后，依據使用權限的不同，訪問的內容也有所區別。用戶在訪問非信息時，同樣是基于HTTP協議，但是能夠直接進入非服務器而獲取信息。

安全網關是服務器的關口，同時也是用戶網絡身份認證的中心，用戶和服務器之間并沒有直接的相連，這就有效避免了黑客對服務器的進攻，保證了信息的安全。

（三）訪問權限管理

在網絡信息安全系統中設置用戶角色、用戶等級、用戶權限等字段，加強訪問權限的管理與控制，并將數據信息根據企業的實際需要，劃分為不同的等級階段；根據實際用戶的崗位設置劃分為不同的角色，網絡信息管理人員授予不同操作權限，劃分到不同的虛擬局域網之內，形成不同的安全區域。

用戶則通過網絡查詢系統的有關信息，使用HTTP協議與安全網關相連接，經過身份認證之后，再與服務器相連接，最后進行應用系統。用戶在獲取信息時，由應用系統依據用戶的角色、權限進行相應的限制。

（四）對傳遞的數據進行加密

企業使用安全網關以后，與SSL建立通道，在這一安全通道上對用戶與服務器之間傳輸的數據信息進行加密，保證機密信息不會被泄露。加密的算法可以由用戶自己進行選擇，這就增加了系統的靈活性，可以滿足不同權限等級用戶的需要。

三、總結

綜上所述，隨著我國市場經濟的快速發展以及計算機網絡技術的普及，信息充斥著社會的每一個角落，不但真假難辨，其中還隱藏著某種威脅?，F階段，影響我國網絡信息安全的因素有很多，比如計算機病毒；黑客攻擊；協議設計上存在著缺陷等等，而實現信息安全的設計也有很多，企業需要根據自身的發展的現狀，選擇相應的信息安全設計方案，相信通過我們的共同努力，網絡信息安全的管理與設計必將會翻開嶄新的一頁。

參考文獻

[1]蘇玉召,趙妍.計算機網絡信息安全及其防護策略的研究[J].計算機與信息技術,2006(05).

[2]戴啟艷.影響信息系統安全的主要因素及主要防范技術[J].中國科技信息,2010(06).

[3]林柏鋼.網絡與信息安全現狀分析與策略控制[J].信息安全與通信保密,2005(07).

[4]南溯.淺議計算機網絡維修和管理[J].電腦編程技巧與維護,2010(04).

[5]張東生.計算機網絡安全技術與防范策略探析[J].電腦編程技巧與維護,2011(02).

[6]朱燕.虛擬機技術在計算機網絡安全教學中的應用[J].電腦知識與技術(學術交流),

第5篇

【關鍵詞】計算機網絡；信息安全；控制技術；防護策略

隨著互聯網的誕生以及計算機技術的逐漸成熟，信息網絡已經成為社會發展的重要保證。信息網絡涉及國家的政治、軍事以及文教等各個領域，傳輸、處理和存儲著許多重要信息，難免吸引各國各地各種的人為攻擊，所以，計算機系統的網絡信息安全就顯得尤為重要。

一、網絡信息安全概述

網絡信息安全分為兩個層面，即網絡安全和信息安全。其中，網絡安全包括諸如硬件平臺、操作系統及應用軟件的系統安全以及運行服務安全，即保證服務的連續性以及高效性。信息安全主要是指數據方面的安全，包括數據加密、備份、程序等。網絡信息安全具體包含如下：

首先保證硬件安全，是指網絡硬件和存儲媒體的安全。要保護硬件設施不受損害，能夠正常工作。其次是軟件安全，是指計算機及其網絡中的各類軟件不被篡改和破壞，不被非法操作或者誤操作，功能不會失效，不被非法復制。第三是運行服務安全，是指保證信息處理和傳輸系統的安全。即網絡中的各個信息系統能夠正常運行并能夠正常的通過網絡交流信息。通過對網絡系統中的各種設備的運行狀況監測，發現不安全的因素能夠及時報警，保持網絡系統正常運行。最后是存儲以及流通數據的安全，即數據安全。要保護網絡中的數據不被篡改，不允許進行非法增刪、解密、顯示、使用復制等操作。它側重于防止和控制非法、有害的信息進行傳播后的后果。避免公用網絡上大量自由傳輸的信息失控。

二、網絡信息安全控制技術

第一，生物識別技術。人的指紋、聲音、容貌、視網膜、掌紋等等，這些都是人的生物特征，是很難進行復制操作的。尤其是指紋的唯一性、穩定性和再生性都讓人們對用其來作為信息安全的驗證方式有著極大的興趣?，F在，人們對于視網膜等生物特征在信息安全方面的技術也有了很大的進步。生物識別技術相比原先傳統的身份驗證方法再可復制性方面有了很大程度的提高。

第二，防火墻技術。所謂防火墻就是運用綜合的網絡技術來在被保護的網絡和外網之間形成一道技術上的屏障，將私人的網絡和外部的網絡分開了，以保護私人信息的不被竊取，對于預防難以預測的、具有潛在破壞性的不軌信息入侵有著極好的防護作用。

第三，數據加密技術。所謂數據加密技術就是按照已經確定好的密碼進行運算，將不希望被別人知道的數據信息轉變成為不知道密碼的人難以識別的密文再進行傳輸，而收到信息的人也只有知道密碼算法的人才能夠將密文再一次的轉變成為明文從而得知該數據中所包含的信息。

第四，入侵檢測技術。入侵檢測技術的出現就是為了能夠保證計算機系統中信息的安全，能夠及時的發現并且報告使用者計算機系統中出現的一些未授權或者異常的現象的一種信息技術，是用來檢測互聯網中是否出現了違反信息安全的行為的一種技術。

第五，安全漏洞掃描技術。對系統漏洞的檢測和系統安全方面的風險評估技術，因為它能夠預先知道系統中可能存在風險的地方和這些地方繼續存在下去會對系統可能造成的危害這一特殊的功能而為幾乎所有的計算機用戶所青睞。

第六，安全審計技術。安全審計技術就是使用一種或者集中不同的安全檢測工具，也就是掃描器，預先掃描出系統中存在漏洞的地方，對系統存在安全漏洞的地方進行檢查，將系統的薄弱環節給出報告，并且提供相對應的解決方法來增強計算機系統的安全方面的措施。

三、網絡信息安全的防護策略

第一，物理安全策略。物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊。對于計算機操作系統、數據庫以及服務系統也要進行相應的查缺補漏，然后再對這些系統進行進一步的安全加固，尤其是對有著關鍵業務的服務器更加應該要建立起嚴格的、有效的審核機制，最大限度的保證相關部分的信息安全。如果對計算機中的操作系統、服務系統、數據庫系統、網絡協議等部分存在的漏洞不及時的發現并且補救，所帶來的安全問題則會是像黑客入侵、系統缺陷、非法訪問、病毒等等一系列的安全方面的隱患。

第二，訪問控制策略。訪問控制是網絡安全防范和保護的主要策略。它首要的任務是保證網絡資源不被非法使用和非常規訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種網絡安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。

第三，加密防御策略。對于互聯網中所可能存在的不良操作的入侵的檢測系統是包含在信息安全系統中的，其中防火墻就相當于是計算機系統入口的保安，能夠按照我們預先的設定進行有效的判斷，將合乎規則的操作指令給予放行，而那些惡意的、帶有病毒等等的危害性數據或操作阻擋在計算機系統之外，保護計算機的信息安全。

第四，網絡安全管理策略。網絡安全管理策略包括：制定有關網絡操作使用規程和人員出入機房管理制度，制定網絡系統的維護制度和應急措施；確定安全管理等級和安全管理范圍等。利用身份認證和用戶權限劃分手段作為單位安全網內網計算機信息系統安全保密管理的技術支撐平臺，結合單位安全網內網系統對其中所涉及的各類用戶的實際權限劃分，以及對網絡系統的系統管理設計規劃，在技術支撐平臺的基礎上來分析單位安全網內網系統對網絡基礎、安全信息的安全管理需求，制定完善的安全保密管理制度和管理策略信息系統的安全管理部門應根據管理

總之，計算機網絡中的信息安全問題對于國計民生都是十分重要的一個部分，這就需要我們在了解了互聯網的信息安全安全的控制技術和特征的基礎上，加強計算機網絡安全設施建設，提高網絡安全技術等防護措施，最大限度的保證互聯網的信息安全。

參考文獻：

[1]梁毅，莫彬，李云祥，韋燕萍.網絡環境下農業科技信息安全與對策研究[J].農業網絡信息，2008，（12）

第6篇

關鍵詞:安全策略;企業網絡;訪問控制

中圖分類號:TN915.08文獻標識碼:A文章編號:1007-9599 (2010) 06-0000-00

Enterprise Network Design Based on Security Policy

Yang Haojun

(CNPC International(Sudan)Khartoum Refinery Co.Lts.,Beijing100101,China)

Abstract:The security and the function are pair of contradictory relations,security threat from the network is the actual existence,the network security is the question which must first solve.This article discuss enterprise network design method of security policy angle,by time well distributed security and opening relations,thus realizes“safely as far as possible”enterprise network.

Keywords:Security policy;Enterprise network;Access control

一、企業安全網絡體系

企業安全網絡體系應包含:

(1)訪問控制,通過對特定網段、服務建立的訪問控制體系,將絕大多數攻擊阻止在到達攻擊目標之前。

(2)檢查安全漏洞,通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標,也可使絕大多數攻擊無效。

(3)攻擊監控,通過對特定網段、服務建立的攻擊監控體系,可實時檢測出絕大多數攻擊,并采取相應的行動。

(4)加密通訊,主動的加密通訊,可使攻擊者不能了解、修改敏感信息。

(5)認證,良好的認證體系可防止攻擊者假冒合法用戶。

(6)備份和恢復,良好的備份和恢復機制,可在攻擊造成損失時,盡快地恢復數據和系統服務。

(7)多層防御,攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標。

(8)隱藏內部信息,使攻擊者不能了解系統內的基本情況。

(9)設立安全監控中心,為信息系統提供安全體系管理、監控,維護及緊急情況服務。

二、企業安全網絡設計

(一)鏈路層安全設計

鏈路的安全通過網絡加密機實現,保證數據在鏈路上安全傳輸。加密機為易受攻擊的公共和私有網絡連接提供數據私密性和訪問控制的硬件設備。它使用國際認可的DES或3DES算法,可以靈活地選擇接口模塊部署在各網絡中。加密機進行集中控制和管理,加密機在運行時對安全環境中的網絡和終端用戶來說是完全透明的,使用加密機后,加密的用戶數據和任何其他未加密的數據一樣在網絡中傳輸。

(二)網絡層安全設計

(1)防火墻安全設計

考慮到防火墻對帶寬的影響,采用較為先進的流過濾防火墻,能夠減少帶寬的損失。流過濾防火墻顧名思義檢測的是一個信息流,針對的是二層的對象。在檢測過程中就減少一層拆包的時間,這樣就減少了帶寬的占用率。防火墻的安全保護是通過對端口實施安全策略,使得網絡安全得到安全保護。

(2)安全域設計

根據國家等級保護的區域劃分要求,企業網絡系統根據業務特性和安全要求劃分成不同的區域,并確定安全保護等級。如:

外部互聯域:為實現與政府機關、業務合作伙伴進行安全有效的信息交換,連接政府機關網、業務合作伙伴網的出口路由設備所在區域。

系統管理域:包括網絡管理子域和安全管理子域。網絡管理子域為保護網絡設備的安全運行而提供的集中的安全服務。安全管理子域為整個信息系統提供集中的安全服務。

系統維護域:包括第三方現場維護子域、本地維護子域和第三方隔離服務子域。第三方現場維護子域用于第三方維護單位的現場維護而設置的特定接入區域。

(3)IPS安全設計

IPS作為一種積極主動安全的防護技術,它試圖發現入侵者或識別出對計算機的非法訪問行為,并對其進行隔離。IPS提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。

(4)服務器設計

隨著企業信息化的進展,員工越來越多的訪問互聯網,也會帶來一些安全隱患。這些問題會對企業網造成一定影響,降低工作效率,引發嚴重的安全事故。建議采用在每個區域網絡中心部署服務器,來提高互聯網訪問速度和解決安全控制問題。

(三)物理層安全設計

物理層的安全既包括對設備的保護,比如防雷擊,防潮等,也包括防止人為的無意或惡意的破壞。因此,在硬件上要有符合應對各種自然災害的標準的專業機房,在軟件上要有高可靠的門禁系統等安全措施來進行認證,在制度上要制定詳細的安全章程,提高相關人員的安全意識,責任落實到人,這三者相輔相成,環環相扣,缺一不可。

(四)路由器級安全控制

在保證數據信息的安全性的同時,必須考慮到路由器自身的安全性。如果路由器本身失去安全保護,那么前面所做的一切都是徒勞的,安全措施如下:

(1)修補操作系統自身的漏洞。同PC機的操作系統一樣,網絡設備的操作系統也存在著各種漏洞,成為潛在的威脅,需要及時對其升級。

(2)符合安全規則的密碼。進行口令保護,用戶登錄路由器必須經過口令的認證;其次,利用口令授權,將不同的權限等級與不同的口令進行關聯,對用戶進行等級的劃分,通過減少超級用戶來減少不安定因素;再次,對口令進行加密,以避免口令在網上以明碼的方式進行傳輸,同時避免配置文件以明碼的方式顯示口令。

(3)系統缺省服務的威脅。網絡設備的操作系統也存在著為不少的缺省服務,這些服務存在著潛在的威脅,應根據企業需要,關閉不必要的服務,將安全風險盡可能降低。

(4)審計功能的缺乏。良好的系統日志和審計功能是安全中重要的一環,通過日志可以了解入侵的手段等寶貴資料,對于運維與安全防范來講是必不可少的。

三、結束語

基于安全策略的網絡設計是安全設計和網絡設計的有機結合,是安全、管理、技術和產品的相互支撐,只有設計好安全策略才會有良好的企業網絡。但安全與開放是一對矛盾,如何協調矛盾則需要深入研究企業特點和網絡技術的發展。

參考文獻:

[1]武駿,程秀權.網絡安全防范體系及設計原則.中國電信網,2008

第7篇

關鍵詞：計算機；網絡安全；安全策略

中圖分類號：G632 文獻標識碼：B 文章編號：1002-7661（2014）11-335-01

一、計算機網絡面臨的風險

算機網絡風險，這些威脅可以歸結為3大類，一是對網絡設備的威脅，二是在網絡中對業務處理過程的威脅，三是對網絡中數據的威脅。因為計算機網絡與人們的現實經濟生活關系日益密切，影響計算機網絡的因素也很多，有些因素可能是有意的，也可能是無意的；可能是人為的，可能是非人為的，這些威脅，或早或晚、或大或小，都會轉化為對人們現實經濟生活的威脅。

二、常用的網絡安全技術防護措施

L、防火墻技術

防火墻技術構建安全網絡體系的基本組件，通過計算機硬件和軟件的組合來建立起一個安全網關，實現了被保護對象和外部系統之間的邏輯隔離，從而保護內部網絡免受非法用戶的入侵。防火墻的組成可以表示為：防火墻=過濾器+安全策略+網關，它是一種非常有效的網絡安全技術之一。在. Internet上，通過它來隔離風險區域與安全區域的連接，但不防礙人們對風險區域的訪問。防火墻可以監控進出網絡的通信數據，從而完成僅讓安全、核準的信息進入，同時又抵制對企業構成威脅的數據進入的任務。

2、網絡加密技術

網絡加密技術是網絡安全最有效的技術之一。一個加密網絡，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法之一。網絡信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密，端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全；端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。用戶可根據網絡情況選擇上述三種加密方式

3、身份驗證技術身份驗證技術

身份驗證技術身份驗證技術是用戶向系統出示自己身份證明的過程。用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續驗證用戶輸入的口令，否則，用戶將被拒之網絡之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少于6個字符，口令字符最好是數字、字母和其他字符的混合，用戶口令必須經過加密，加密的方法很多，其中最常見的方法有：基于單向函數的口令加密，基于測試模式的口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項式共享的口令加密，基于數字簽名方案的口令加密等。經過上述方法加密的口令，即使是系統管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。

網絡管理員應該可以控制和限制普通用戶的帳號使用、訪問網絡的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網絡所必須提交的“證件”、用戶可以修改自己的口令，但系統管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網的寬限次數。

用戶名和口令驗證有效之后，再進一步履行用戶帳號的缺省限制檢查。網絡應能控制用戶登錄入網的站點、限制用戶入網的時問、限制用戶入網的工作站數量。當用戶對交費網絡的訪問“資費”用盡時，網絡還應能對用戶的帳號加以限制，用戶此時應無法進入網絡訪問網絡資源。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。

4、網絡監控技術

網絡管理員對計算機網絡實施監控，服務器記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器以圖形或文字或聲音等形式報警，以引起網絡管理員的注意。如果不法之徒試圖進入網絡，網絡服務器應會自動記錄企圖嘗試進入網絡的次數，如非法訪問的次數達到設定數值，那該帳戶將被自動鎖定。

5、網絡病毒防治技術

在網絡環境下，計算機病毒具有不可估量的威脅性和破壞力。CIH病毒及愛蟲病毒就足以證明如果不重視計算機網絡防病毒，那可能給社會造成災難性的后果，因此計算機病毒的防范也是網絡安全技術中重要的一環。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測，工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。防病毒必須從網絡整體考慮，從方便管理人員的能，在夜間對全網的客戶機進行掃描，檢查病毒情況；利用在線報警功能，網絡上每一臺機器出現故障、病毒侵入時，網絡管理人員都能及時知道，從而從管理中心處予以解決。

三、網絡安全管理策略

在計算機網絡安全中，除了上述物理安策略和網絡技術安全防護措施外，加強計算機網絡的安全管理，制定有關規章制度，對于確保網絡的安全、可靠地運行也是至關重要的。

計算機網絡安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關網絡操作使用規程和人員出入機房管理制度；制定網絡系統的維護制度和應急措施等。

參考文獻：

[1] 田園.網絡安全教程[M]．北京：人民郵電出版社，2009.