前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全措施范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全措施范文第1篇

關(guān)鍵詞：安全；策略；控制

DOI：10.16640/ki.37-1222/t.2016.14.122

保證校園網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個網(wǎng)絡(luò)安全的前提條件。為了保護設(shè)備免遭環(huán)境事故的影響，我們所采用的設(shè)備必須要安全可靠，可以防止火災(zāi)、水災(zāi)等破壞，也可以避免人為操作的錯誤或失誤，從而更好地保護校園網(wǎng)絡(luò)系統(tǒng)和服務(wù)器。物理安全策略主要包括以下兩個方面：

（1）環(huán)境安全。能夠保護計算機系統(tǒng)的安全，使之工作在相對安全的工作狀態(tài)下，并能更好地創(chuàng)造電磁兼容的環(huán)境。

（2）設(shè)備安全。設(shè)備的防毀、防盜、防電磁信息輻射泄漏、電源保護及抗電磁干擾等，都是設(shè)備安全的主要方面。

1 訪問控制策略

我們所采取的一些訪問控制的措施是為了防止非法用戶對網(wǎng)絡(luò)資源使用和訪問，網(wǎng)絡(luò)安全最重要的策略是訪問控制策略。

（1）網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)的權(quán)限控制可以控制非法操作，保護網(wǎng)絡(luò)安全。系統(tǒng)可以對用戶設(shè)定權(quán)限，也對用戶組限定了一些權(quán)限。只有這樣，才能有效的控制用戶的訪問目錄，控制訪問資源及訪問文件以等，對于一些目錄的操作也對用戶設(shè)定了限制。

（2）入網(wǎng)訪問控制。第一層訪問控制是入網(wǎng)訪問控制，它可以有效的控制不被允許的人登陸到網(wǎng)絡(luò)，從而獲取網(wǎng)絡(luò)資源，還可以控制用戶的登陸時間和登陸網(wǎng)站。

（3）屬性安全控制。如果用到目錄、文件和網(wǎng)絡(luò)設(shè)備時，校園網(wǎng)絡(luò)管理者應(yīng)該給目錄、文件等指定一些訪問屬性。把給定的屬性與目錄、網(wǎng)絡(luò)服務(wù)器的文件和網(wǎng)絡(luò)設(shè)備連接在一起，這是屬性安全控制的任務(wù)。為了能保證更好的安全性，屬性安全是在權(quán)限安全的條件下進行的。

（4）目錄級安全控制。用戶在指定的權(quán)限內(nèi)可以有效的訪問目錄，同時也可以指定子目錄下的一些權(quán)。

（5）網(wǎng)絡(luò)監(jiān)測和鎖定控制。自動鎖定賬戶是在進入網(wǎng)絡(luò)的次數(shù)達到設(shè)定數(shù)值時進行的，這樣可以限定非法訪問用戶的次數(shù)。

（6）網(wǎng)絡(luò)服務(wù)器安全控制。服務(wù)器的控制臺上進行的一系列操作是網(wǎng)絡(luò)允許的。網(wǎng)管應(yīng)該對校園網(wǎng)進行監(jiān)控，用戶對網(wǎng)絡(luò)資源的訪問可以被服務(wù)器記錄下來。服務(wù)器應(yīng)該對非法的網(wǎng)絡(luò)訪問以圖形或聲音或文字等一些方式報警，這樣就可以引起校園網(wǎng)絡(luò)管理者的注意。當非法用戶試圖進入校園網(wǎng)絡(luò)時，對控制臺模塊進行裝載和卸載，非法刪除和安裝軟件等這些操作是會被網(wǎng)絡(luò)服務(wù)器自動記錄下來的。為了防止非法用戶破壞數(shù)據(jù)或刪除、修改重要信息，可以對網(wǎng)絡(luò)服務(wù)器設(shè)定口令鎖定。同時也可以對服務(wù)器進行登錄時間的控制、對非法訪問者也可以進行檢測，關(guān)閉其非法操作，也可以查到相應(yīng)的時間間隔。

2 防火墻控制策略

可以保護校園網(wǎng)絡(luò)安全的技術(shù)措施是防火墻技術(shù)，它是近期發(fā)展起來的一種技術(shù)?？梢宰柚购诳驮L問網(wǎng)絡(luò)機構(gòu)，防火墻位于軟件或者硬件或兩種都有，它是一種可以控制網(wǎng)絡(luò)的系統(tǒng)，可以限制非法用戶訪問網(wǎng)絡(luò)資源，監(jiān)控內(nèi)部和外部網(wǎng)絡(luò)系統(tǒng)，可以防止破壞和偷竊行為的惡意攻擊[1]。

3 信息加密策略

保護校園網(wǎng)內(nèi)的文件、數(shù)據(jù)、控制信息和口令，保護網(wǎng)絡(luò)傳送的數(shù)據(jù)是信息加密的主要目的。端點加密、鏈路加密和節(jié)點加密是網(wǎng)絡(luò)加密常采用的三種方法。鏈路加密是指保護校園網(wǎng)絡(luò)節(jié)點與節(jié)點之間的鏈路信息安全。對從起始端用戶到目的端用戶提供數(shù)據(jù)保護是端點加密技術(shù)。對從源節(jié)點到目標節(jié)點的鏈路傳送進行保護是節(jié)點加密技術(shù)。各種加密算法對信息加密過程進行具體實施。在很多情況下，保證信息機密性的唯一方法是信息加密策略[2]。

4 網(wǎng)絡(luò)入侵檢測技術(shù)

試圖破壞信息系統(tǒng)的機密性、完整性、可信性的所有網(wǎng)絡(luò)活動都叫做網(wǎng)絡(luò)入侵。入侵檢測（IntrusionDeteetion）技術(shù)是指：能檢測針對網(wǎng)絡(luò)資源或計算機的惡意行為和企圖，并對這些行為和企圖做出相應(yīng)反應(yīng)的過程。該技術(shù)可以檢測出來自內(nèi)部用戶的未被授權(quán)的活動，也可以查出來自外部的入侵行為。 這個技術(shù)采用了以攻為守的策略，它能提供出合法用戶亂用特權(quán)的數(shù)據(jù)，也有可能提供一些非法用戶入侵網(wǎng)絡(luò)的有效證據(jù)。

5 鏡像和備份技術(shù)

鏡像技術(shù)是指兩個設(shè)備同時運行完全一樣的工作，如果其中一個設(shè)備發(fā)生故障，另一個設(shè)備還可以繼續(xù)工作。為了提高完整性，需要采用鏡像和備份技術(shù)。提高數(shù)據(jù)完整性最常用的措施是備份技術(shù)，對于需要保護的數(shù)據(jù)，在其他地方制作一個備份，如果原件丟失了，還能使用備份數(shù)據(jù)[3]。

6 網(wǎng)絡(luò)安全策略配置

（1）安全接入和配置。在接入網(wǎng)絡(luò)前，為了保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性，要經(jīng)過授權(quán)和認證限制。

（2）謝絕服務(wù)的防止。防止主要是防止出現(xiàn)Smurf攻擊、TCP SYN泛濫攻擊等是校園網(wǎng)絡(luò)的設(shè)備拒絕服務(wù)攻擊的的主要目的。配置網(wǎng)絡(luò)設(shè)備的TCP SYN臨界值，如果多于設(shè)定的臨界值，則丟棄多余的TCP SYN數(shù)據(jù)包是網(wǎng)絡(luò)設(shè)備防止TCP SYN的主要方法。為了避免成為一個Smurf攻擊的受害者和轉(zhuǎn)發(fā)者，應(yīng)該防Smurf攻擊，使得配置網(wǎng)絡(luò)設(shè)備設(shè)置ICMP包臨界值和不轉(zhuǎn)發(fā)ICMP echo請求。

（3）訪問控制。① 開放全部端口并允許內(nèi)網(wǎng)訪問Internet；② 從公網(wǎng)到隔離區(qū)的訪問請求是允許的；③ 關(guān)閉全部端口并禁止公網(wǎng)到內(nèi)部區(qū)的訪問請求；④ 開放全部端口并允許內(nèi)網(wǎng)訪問隔離區(qū)；⑤ 開放全部端口并允許隔離區(qū)訪問Internet；⑥ 關(guān)閉全部端口并禁止隔離區(qū)訪問內(nèi)網(wǎng)。

參考文獻：

[1]王英龍.Ad Hoc網(wǎng)絡(luò)路由協(xié)議安全性分析方法研究[J].山東：山東大學(xué)，2005：17-20.

[2]宋慶大.計算機網(wǎng)絡(luò)安全問題和對策研究[J].現(xiàn)代電子技術(shù)，2009（05）：15.

網(wǎng)絡(luò)安全措施范文第2篇

病毒的發(fā)作給計算機系統(tǒng)造成巨大損失，令人們談“毒”色變。殺毒軟件用于消除電腦病毒、特洛伊木馬和惡意軟件。殺毒軟件通常有集成監(jiān)控識別、病毒掃描清除和自動升級等功能，是計算機防御系統(tǒng)的重要組成部分。對于一般用戶而言，首先要做的就是為電腦安裝一套正版的殺毒軟件。同時設(shè)置殺毒軟件的實時監(jiān)控程序，自動升級所安裝的殺毒軟件，以保證其能夠抵御最新出現(xiàn)的病毒的攻擊。當受到網(wǎng)絡(luò)攻擊時，應(yīng)立刻拔掉網(wǎng)絡(luò)連接端口以斷開網(wǎng)絡(luò)。

2.安裝網(wǎng)絡(luò)防火墻

安裝防火墻（firewall）有助于提高計算機的安全性，可以有效抵御黑客的襲擊，保護本地計算機不被病毒或黑客程序破壞。防火墻是在某個機構(gòu)的內(nèi)部網(wǎng)絡(luò)和不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問，也可以阻止保密信息從受保護的網(wǎng)絡(luò)上非法輸出。防火墻已成為實現(xiàn)安全策略的最有效工具之一，并被廣泛應(yīng)用在Internet上。

3.漏洞掃描及修補

目前，許多新型計算機病毒都是利用操作系統(tǒng)的漏洞進行傳染的。因此，解決網(wǎng)絡(luò)層安全問題,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患和薄弱點。一般用戶需要借助第三方產(chǎn)品（如:360安全衛(wèi)士漏洞掃描系統(tǒng)等）的幫助,才能及時發(fā)現(xiàn)安全隱患。安全掃描工具能夠利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

4.禁止文件共享

在局域網(wǎng)為了方便資源共享，有時會把某些文件共享。如果上互聯(lián)網(wǎng)，共享文件是不安全的，在共享文件的同時，其他人可自由地訪問你的共享文件，并可能被別有用心之人利用和攻擊。因而在共享文件時應(yīng)該設(shè)置密碼，不共享時立即關(guān)閉共享。如果確需共享文件夾,一定要將文件夾設(shè)為只讀，共享類型不要選擇完全選項，確保文件安全。同時，不要將整個硬盤設(shè)定為共享。例如，某一訪問者將系統(tǒng)文件刪除，會導(dǎo)致計算機系統(tǒng)全面崩潰，無法啟動。

5.盡可能復(fù)雜地設(shè)置密碼

不要使用簡單的密碼，在不同場合使用不同的密碼，網(wǎng)上需要設(shè)置密碼的地方有很多，設(shè)置密碼時盡量避免使用有意義的英文單詞、姓名縮寫以及生日、電話號碼等容易泄露的字符作為密碼，密碼的長度至少要8個字符以上，設(shè)置的密碼采用字符與數(shù)字混合的方式。同時，定期修改自己的上網(wǎng)密碼，確保即使原密碼泄露，也可將損失降到最小。

6.防范間諜軟件

間諜軟件是一種能夠在用戶不知情的情況下偷偷進行安裝，并悄悄把截獲的信息發(fā)送給第三者的軟件。能夠附著在共享文件、可執(zhí)行圖像以及各種免費軟件當中，并趁機潛入用戶的系統(tǒng)，而用戶對此毫不知情。我們可以用下面三條途徑來防范：第一，不要輕易安裝共享軟件或免費軟件，這些軟件里往往含有廣告程序、間諜軟件等不良軟件，可能帶來安全風(fēng)險。第二，有些間諜軟件通過網(wǎng)站安裝，所以，不要瀏覽不良網(wǎng)站。第三，采用安全性比較好的網(wǎng)絡(luò)瀏覽器，并及時更新系統(tǒng)。

7.警惕“網(wǎng)絡(luò)釣魚”

目前，網(wǎng)上一些黑客利用“網(wǎng)絡(luò)釣魚”手法進行詐騙，如建立假冒網(wǎng)站或發(fā)送含有欺詐信息的電子郵件，盜取網(wǎng)上銀行、網(wǎng)上證券或其他電子商務(wù)用戶的賬戶密碼，從而竊取用戶資金的違法犯罪活動不斷增多。我們該如何防范呢？提高警惕，不登錄不熟悉的網(wǎng)站，鍵入網(wǎng)站地址的時候要校對，以防輸入錯誤；登錄銀行網(wǎng)站前，要留意瀏覽器地址欄，如果發(fā)現(xiàn)網(wǎng)頁地址不能修改，最小化IE窗口后仍可看到浮在桌面上的網(wǎng)頁地址等現(xiàn)象，請立即關(guān)閉IE窗口，以免賬號密碼被盜。

8.盡量從專業(yè)網(wǎng)站下載軟件

網(wǎng)上能夠下載軟件的網(wǎng)站很多，但有不少網(wǎng)站的軟件被病毒感染，如：天空軟件站、華軍軟件園等地方下載的軟件一般是安全的，確保下載的軟件安全無憂，對下載的軟件在使用前最好用殺毒軟件查殺病毒。

9.不打開來歷不明的郵件及附件

不要打開來歷不明的電子郵件及其附件，以避免遭受病毒郵件的侵害，如果收到不明郵件，一定不要隨便點擊其中的鏈接，互聯(lián)網(wǎng)上的許多病毒就是通過電子郵件來傳播的，這些病毒郵件通常都會以帶有絕美的標題來吸引你打開其附件，如果下載或運行其附件，將會損失慘重，所以對于來歷不明的郵件應(yīng)該將其拒之門外。

10.不要瀏覽黑客網(wǎng)站、

許多病毒、木馬和間諜軟件都來自于黑客網(wǎng)站和，如果你上了這些網(wǎng)站，而此時你的電腦又沒有相應(yīng)的防范措施，那么電腦準會中招，造成不必要的麻煩和損失。

11.定期備份電腦中的重要數(shù)據(jù)

網(wǎng)絡(luò)安全措施范文第3篇

【關(guān)鍵詞】信息化網(wǎng)絡(luò)安全管理

上海市公安局交通警察總隊作為這樣的一個承擔(dān)著服務(wù)、管理、監(jiān)管等一系列職能的部門在推動機動車和駕駛證業(yè)務(wù)管理創(chuàng)新上面臨著巨大的挑戰(zhàn)。正式在這樣的氛圍中，上海市公安局交通警察總隊在2009年下半年起調(diào)整業(yè)務(wù)管理模式將部分業(yè)務(wù)項目由公安網(wǎng)業(yè)務(wù)系統(tǒng)延伸至其它網(wǎng)絡(luò)的業(yè)務(wù)管理系統(tǒng)，逐步向社會其它管理部門開放各項業(yè)務(wù)管理和業(yè)務(wù)監(jiān)管，包括在互聯(lián)網(wǎng)上向普通辦事群眾開放業(yè)務(wù)辦理。經(jīng)這幾年的努力，已逐步打造出一個較為完整的信息化平臺，該信息化平臺包括了多類型的網(wǎng)絡(luò)和多類型的業(yè)務(wù)系統(tǒng)，因此對于上海交通車管信息安全防范工作除了各個網(wǎng)絡(luò)的安全，還包括各個網(wǎng)絡(luò)的系統(tǒng)的信息交互的安全。

一、網(wǎng)絡(luò)存在的安全威脅分析

1、網(wǎng)絡(luò)威脅的種類

目前，網(wǎng)絡(luò)上的威脅多種多樣，屢禁不止，且難以清除；網(wǎng)絡(luò)上的威脅具有傳播廣和傳播快的特性。從威脅的來源可以分為這四類：漏洞利用、Web應(yīng)用、病毒、終端內(nèi)容。

2、網(wǎng)絡(luò)威脅的分析

（1）漏洞利用類威脅：各種通過操作系統(tǒng)、應(yīng)用系統(tǒng)、協(xié)議異常等漏洞，進行傳播的蠕蟲、木馬、后門、間諜軟件，進行攻擊和入侵的DoS/DDoS攻擊、緩沖區(qū)溢出攻擊、協(xié)議異常攻擊、藍屏攻擊、權(quán)限提取等。

（2）Web應(yīng)用類威脅：專門針對Web應(yīng)用面臨的各種最新的威脅提供額外的安全防護，包括SQL注入、XSS攻擊、OS命令注入、CSRF攻擊、口令爆破、弱口令探測、應(yīng)用信息探測、非法上傳威脅文件等，從根源上解決了Web系統(tǒng)被入侵、數(shù)據(jù)被篡改的可能性。

（3）病毒類威脅：除了傳統(tǒng)的HTTP、FTP、SMTP、POP3等協(xié)議，還可以針對商務(wù)應(yīng)用（文件共享等）傳輸?shù)奈募M行精確的木馬、病毒、蠕蟲查殺。

（4）終端內(nèi)容威脅：為了避免終端訪問Web應(yīng)用內(nèi)容而被竊取隱私等信息或被用作肉雞，需要有效過濾惡意網(wǎng)站、惡意文件、惡意控件、惡意腳本等內(nèi)容威脅的訪問。

二、網(wǎng)絡(luò)安全的主要內(nèi)容

網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)系統(tǒng)的安全和網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)系統(tǒng)的安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷；凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性.那么信息安全怎么理解呢，信息安全是整體的、發(fā)展的、非傳統(tǒng)的安全。

三、網(wǎng)絡(luò)安全新技術(shù)的發(fā)展

1、硬件方面：新一代7層防火墻是目前較為成熟且使用較為廣泛的硬件產(chǎn)品。

實現(xiàn)內(nèi)核級聯(lián)動，是一個“2-7層完整的安全防護產(chǎn)品”。這也是Gartner定義的”額外的防火墻智能”實現(xiàn)的前提，做到真正的內(nèi)核級聯(lián)動，才能為用戶的業(yè)務(wù)系統(tǒng)提供一個安全防護的“銅墻鐵壁”。

2、安全策略：盡管計算機網(wǎng)絡(luò)信息安全受到威脅，但是采取恰當?shù)姆雷o措施也能有效的保護網(wǎng)絡(luò)信息的安全。以下幾種方法基本可以確保在策略上保護網(wǎng)絡(luò)信息的安全：

（1）隱藏IP地址、關(guān)閉不必要的端口。入侵者經(jīng)常利用一些網(wǎng)絡(luò)探測技術(shù)來查看我們的主機信息，主要目的就是得到網(wǎng)絡(luò)中主機的IP地址和端口。IP地址在網(wǎng)絡(luò)安全上是一個很重要的概念，如果攻擊者知道了你的IP地址，等于為他的攻擊準備好了目標，他可以向這個IP發(fā)動各種進攻，如DoS（拒絕服務(wù)）攻擊、Floop溢出攻擊等。將業(yè)務(wù)應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器部署在防火墻和應(yīng)用負載均衡后面，可以有效的將真實的服務(wù)器IP地址和端口隱藏起來，不被入侵者查獲。

（2）帳戶管理。Administrator帳戶擁有最高的系統(tǒng)權(quán)限，一旦該帳戶被人利用，后果不堪設(shè)想。入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。首先是為Administrator帳戶設(shè)置一個強大復(fù)雜的密碼，然后我們重命名Administrator帳戶，再創(chuàng)建一個沒有管理員權(quán)限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險性。

Guest帳戶即所謂的來賓帳戶，它可以訪問計算機，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門！禁用或徹底刪除Guest帳戶是最好的辦法，做好IE的安全設(shè)置。

3、及時給系統(tǒng)打補丁：應(yīng)及時更新操作系統(tǒng)對應(yīng)的補丁程序，不斷推出的系統(tǒng)補丁程序盡管讓人厭煩，但卻是我們系統(tǒng)安全的基礎(chǔ)。

四、多網(wǎng)絡(luò)多業(yè)務(wù)系統(tǒng)安全的技術(shù)應(yīng)對措施

上海交通車管的多網(wǎng)絡(luò)多業(yè)務(wù)系統(tǒng)的信息化平臺實際上是一個整體應(yīng)用平臺，采用怎樣的防范措施才能避免網(wǎng)絡(luò)威脅進攻，保護系統(tǒng)運行的整體安全，成了我們管理者需要考慮的首要問題。整體的應(yīng)用需要整體布局，軟件和硬件都要有所考慮，要做到全面覆蓋業(yè)務(wù)應(yīng)用系統(tǒng)的各個層次，針對網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用、數(shù)據(jù)、系統(tǒng)等做全面的防范。

1、增加必要的硬件投入

目前，新一代防火墻獨創(chuàng)的應(yīng)用可視化引擎，可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用的識別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過去只能通過IP地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。新一代防火墻的應(yīng)用可視化引擎不但可以識別724多種的應(yīng)用及其應(yīng)用動作，還可以與多種認證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3、SMTP等）無縫對接，自動識別出網(wǎng)絡(luò)當中IP地址對應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時還可以滿足各局域網(wǎng)數(shù)據(jù)。

（1）多核并行處理架構(gòu)：現(xiàn)在CPU核越來越多，從雙核到4核，再從4核到8核，16核，現(xiàn)在還有128核的CPU了。這樣來看，如果1個核能夠做到1個G，那么16個核不就能夠超過10個G了嗎？但是通常設(shè)備性能并不能夠根據(jù)核的增加而迅速增加。因為雖然各個核物理上是獨立的，但是有很多資源是共享的，包括CPU的Cache，內(nèi)存，這些核在訪問共享資源的時候是要等其他核釋放資源的，因此很多工作只能串行完成。

（2）單次解析引擎：要進行應(yīng)用層威脅過濾，就必須將數(shù)據(jù)報文重組才能檢測，而報文重組、特征檢測都會極大地消耗內(nèi)存和CPU，因而UTM的多引擎，多次解析架構(gòu)工作效率低下。因此，新一代防火墻所采用的單次解析引擎通過統(tǒng)一威脅特征、統(tǒng)一匹配引擎，針對每個數(shù)據(jù)包做到了只有一次報文重組和特征匹配，消除了重復(fù)性工作對內(nèi)存和資源的占用，從而系統(tǒng)的工作效率提高了70%-80%。但這種技術(shù)的一個關(guān)鍵要素就是要統(tǒng)一特征庫，這項技術(shù)的難度在于需要找到一種全新的“特征語言”將病毒、漏洞、Web入侵、惡意代碼等威脅進行統(tǒng)一描述。

2、科學(xué)合理的配置軟件和硬件策略

（1）劃分網(wǎng)絡(luò)安全域

我們認為首先從網(wǎng)絡(luò)管理做起，將整個信息化所涉及的業(yè)務(wù)系統(tǒng)劃分為四個網(wǎng)絡(luò)安全域：數(shù)據(jù)中心安全域、廣域網(wǎng)邊界安全域、互聯(lián)網(wǎng)接入安全域、內(nèi)網(wǎng)辦公安全域。

①數(shù)據(jù)中心安全域：包括各種應(yīng)用系統(tǒng)和服務(wù)器，由于是整個衍生業(yè)務(wù)系統(tǒng)的核心，安全級別最高；②廣域網(wǎng)邊界安全域：各個下屬分支機構(gòu)（如二手車市場、檢測線、4S店上牌點、駕駛員考試點等）通過專網(wǎng)接入企業(yè)專網(wǎng)，訪問各種衍生業(yè)務(wù)應(yīng)用系統(tǒng)，主要包括專網(wǎng)的核心路由器、分支路由器等；③互聯(lián)網(wǎng)接入安全域：由于內(nèi)部終端、對外業(yè)務(wù)系統(tǒng)（如網(wǎng)上查詢系統(tǒng)）都需要與互聯(lián)網(wǎng)相連，訪問互聯(lián)網(wǎng)資源或者對外提供業(yè)務(wù)。此區(qū)域安全風(fēng)險最高，需要重點隔離與控制；④公安網(wǎng)辦公安全域：包括總部公安網(wǎng)的業(yè)務(wù)終端，為不同的業(yè)務(wù)部門和服務(wù)器等提供高速、穩(wěn)定的網(wǎng)絡(luò)接入。

（2）加強數(shù)據(jù)中心服務(wù)器保護

加強數(shù)據(jù)中心服務(wù)器的全面保護，是應(yīng)用系統(tǒng)的信息安全的基礎(chǔ)，通過監(jiān)控訪問、交換、數(shù)據(jù)流等措施來實現(xiàn)。

①面向用戶、應(yīng)用的安全訪問：將訪問控制權(quán)限精確到用戶與業(yè)務(wù)系統(tǒng)，有效解決了傳統(tǒng)防火墻IP/端口的策略無法精確管理的問題。讓業(yè)務(wù)開放對象更為明了、管理更方便、策略更易懂。②可視化安全風(fēng)險評估：提供服務(wù)器風(fēng)險和終端風(fēng)險報告以及應(yīng)用流量報表，使全網(wǎng)的安全風(fēng)險一目了然，幫助管理員分析安全狀況管理數(shù)據(jù)中心。

（3）廣域網(wǎng)邊界安全隔離與防護

①互聯(lián)網(wǎng)出口邊界防護：將網(wǎng)上查詢等業(yè)務(wù)系統(tǒng)部署在DMZ區(qū)，可以實現(xiàn)對內(nèi)網(wǎng)終端和對外業(yè)務(wù)系統(tǒng)的雙重防護，權(quán)限控制和管理是主要方法。

防止黑客入侵，獲取權(quán)限，竊取數(shù)據(jù)，保證服務(wù)器穩(wěn)定運行；

②內(nèi)部終端安全防護：全面防護，標本兼治，防止業(yè)務(wù)終端訪問威脅網(wǎng)站和應(yīng)用，通過漏洞防護、病毒防護、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術(shù)手段。

五、加強系統(tǒng)使用者的管理可以確保技術(shù)手段的有效運用

1、建立網(wǎng)絡(luò)接入安全的規(guī)章制度。建立從物理安全保密策略，系統(tǒng)或網(wǎng)絡(luò)的訪問控制策略，信息的加密策略，系統(tǒng)及網(wǎng)絡(luò)的安全管理策略，人員安全管理策略，內(nèi)容監(jiān)管策略等一系列的規(guī)章制度；從制度上約束系統(tǒng)使用者的使用行為。

2、加強網(wǎng)絡(luò)安全知識的培訓(xùn)，提供防范意識。不斷加強網(wǎng)絡(luò)安全的宣傳和培訓(xùn)，強化使用人員和管理人員的安全防范意識。只有通過網(wǎng)絡(luò)管理人員、系統(tǒng)數(shù)據(jù)庫管理人員、業(yè)務(wù)系統(tǒng)維護人員與使用人員的共同努力，才可能地把不安全的因素降到最低。

網(wǎng)絡(luò)安全措施范文第4篇

關(guān)鍵詞：無線網(wǎng)絡(luò)安全防范措施

隨著信息化技術(shù)的飛速發(fā)展,很多網(wǎng)絡(luò)都開始實現(xiàn)無線網(wǎng)絡(luò)的覆蓋以此來實現(xiàn)信息電子化交換和資源共享。無線網(wǎng)絡(luò)和無線局域網(wǎng)的出現(xiàn)大大提升了信息交換的速度和質(zhì)量,為很多的用戶提供了便捷和子偶的網(wǎng)絡(luò)服務(wù),但同時也由于無線網(wǎng)絡(luò)本身的特點造成了安全上的隱患。具體的說來,就是無線介質(zhì)信號由于其傳播的開放性設(shè)計,使得其在傳輸?shù)倪^程中很難對傳輸介質(zhì)實施有效的保護從而造成傳輸信號有可能被他人截獲,被不法之徒利用其漏洞來攻擊網(wǎng)絡(luò)。因此,如何在組網(wǎng)和網(wǎng)絡(luò)設(shè)計的時候為無線網(wǎng)絡(luò)信號和無線局域網(wǎng)實施有效的安全保護機制就成為了當前無線網(wǎng)絡(luò)面臨的重大課題。

一、無線網(wǎng)絡(luò)的安全隱患分析

無線局域網(wǎng)的基本原理就是在企業(yè)或者組織內(nèi)部通過無線通訊技術(shù)來連接單個的計算機終端,以此來組成可以相互連接和通訊的資源共享系統(tǒng)。無線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實施信息傳輸和聯(lián)系。對比傳統(tǒng)的有線局域網(wǎng),無線網(wǎng)絡(luò)的構(gòu)建增強了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸?shù)男?但同時,也正是由于無線局域網(wǎng)的特性,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡(luò)安全機制來保護信息傳輸?shù)陌踩?換句話無線網(wǎng)絡(luò)的安全保護措施難度原因大于有線網(wǎng)絡(luò)。

IT技術(shù)人員在規(guī)劃和建設(shè)無線網(wǎng)絡(luò)中面臨兩大問題:首先,市面上的標準與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?在有線網(wǎng)絡(luò)階段,技術(shù)人員可以通過部署防火墻硬件安全設(shè)備來構(gòu)建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內(nèi)部被攻破”。由于無線網(wǎng)絡(luò)具有接入方便的特點,使得我們原先耗資部署的有線網(wǎng)絡(luò)防范設(shè)備輕易地就被繞過,成為形同虛設(shè)的“馬奇諾防線”。

針對無線網(wǎng)絡(luò)的主要安全威脅有如下一些:

1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡(luò)傳輸可導(dǎo)致機密敏感數(shù)據(jù)泄漏、未加保護的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗的入侵者手機有關(guān)用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進行社會工程學(xué)攻擊的一系列商信息。

2.截取和篡改傳輸數(shù)據(jù)。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò),則他可以使用惡意計算機通過偽造網(wǎng)關(guān)等途徑來截獲甚至修改兩個合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。

二、常見的無線網(wǎng)絡(luò)安全措施

綜合上述針對無線網(wǎng)絡(luò)的各種安全威脅,我們不難發(fā)現(xiàn),把好“接入關(guān)”是我們保障企業(yè)無線網(wǎng)絡(luò)安全性的最直接的舉措。目前的無線網(wǎng)絡(luò)安全措施基本都是在接入關(guān)對入侵者設(shè)防,常見的安全措施有以下各種。

1.MAC地址過濾

MAC地址過濾在有線網(wǎng)絡(luò)安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設(shè)置。

2.隱藏SSID

SSID(ServiceSetIdentifier,服務(wù)標識符)是用來區(qū)分不同的網(wǎng)絡(luò),其作用類似于有線網(wǎng)絡(luò)中的VLAN,計算機接入某一個SSID的網(wǎng)絡(luò)后就不能直接與另一個SSID的網(wǎng)絡(luò)進行通信了,SSID經(jīng)常被用來作為不同網(wǎng)絡(luò)服務(wù)的標識。一個SSID最多有32個字符構(gòu)成,無線終端接入無線網(wǎng)路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò),例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡(luò)的SSID羅列出來。因此,出于安全考慮,可以設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個實際存在的無線網(wǎng)絡(luò),即便他知道有一個無線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無法接入到這個網(wǎng)絡(luò)中去的。

三、無線網(wǎng)絡(luò)安全措施的選擇

應(yīng)用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網(wǎng)絡(luò)的應(yīng)用中,我們不能不考慮應(yīng)用的方便性。因此,我們在對無線網(wǎng)路安全措施的選擇中應(yīng)該均衡考慮方便性和安全性。

在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。

使用強制Portal+802.1x這兩種認證方式相結(jié)合的方法能有效地解決無線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實意義。來訪用戶所關(guān)心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網(wǎng)。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。

此外,如果在資金可以保證的前提下,在無線網(wǎng)絡(luò)中使用無線網(wǎng)絡(luò)入侵檢測設(shè)備進行主動防御,也是進一步加強無線網(wǎng)絡(luò)安全性的有效手段。

最后,任何的網(wǎng)絡(luò)安全技術(shù)都是在人的使用下發(fā)揮作用的,因此,最后一道防線就是使用者,只有每一個使用者加強無線網(wǎng)絡(luò)安全意識,才能真正實現(xiàn)無線網(wǎng)絡(luò)的安全。否則,黑客或攻擊者的一次簡單的社會工程學(xué)攻擊就可以在2分鐘內(nèi)使網(wǎng)絡(luò)管理人員配置的各種安全措施變得形同虛設(shè)。

現(xiàn)在,不少企業(yè)和組織都已經(jīng)實現(xiàn)了整個的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時,因為對無線網(wǎng)絡(luò)的安全不夠重視,對局域網(wǎng)無線網(wǎng)絡(luò)的安全考慮不及時,也造成了一定的影響和破壞。做好無線網(wǎng)絡(luò)的安全管理工作,并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗證,是當前組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對接,確保無線網(wǎng)絡(luò)的高安全性,提高企業(yè)的信息化的水平。

參考文獻:

[1]譚潤芳.無線網(wǎng)絡(luò)安全性探討[J].信息科技,2008,37(6):24-26.

網(wǎng)絡(luò)安全措施范文第5篇

關(guān)鍵詞： 網(wǎng)絡(luò)安全　安全需求　措施

1 校園網(wǎng)的概念

簡單地說，校園網(wǎng)絡(luò)是“校校通”項目的基礎(chǔ)，是為學(xué)院教師和學(xué)生提供教學(xué)，科研等綜合信息服務(wù)的寬帶多媒體。根據(jù)上述要求，校園網(wǎng)必須是一個寬帶，互動功能和高度專業(yè)化的局域網(wǎng)絡(luò)。

2 校園網(wǎng)的特點

校園網(wǎng)的設(shè)計應(yīng)具備以下特點：

1）提供高速網(wǎng)絡(luò)連接；2）滿足復(fù)雜的信息結(jié)構(gòu)；3）強大的可靠性和安全性保證；4）操作方便，易管理；5）提供可運營的特性；6）經(jīng)濟實用。

3 校園網(wǎng)絡(luò)系統(tǒng)信息安全需求

3.1 用戶安全

用戶安全分成兩個層次即管理員用戶安全和業(yè)務(wù)用戶安全。

1）管理員用戶擁有校園網(wǎng)的最高執(zhí)行權(quán)限，因此對信息系統(tǒng)的安全負有最大的執(zhí)行責(zé)任。應(yīng)該制定相應(yīng)的管理制度，例如對管理員的政治素質(zhì)和網(wǎng)絡(luò)信息安全技術(shù)管理的業(yè)務(wù)素質(zhì)，對于涉及到某大學(xué)的網(wǎng)絡(luò)安全策略配置、調(diào)整、審計信息調(diào)閱等重要操作，應(yīng)實行多人參與措施等等。

2）業(yè)務(wù)用戶必須在管理員分配的權(quán)限內(nèi)使用校園網(wǎng)資源和進行操作，嚴禁超越權(quán)限使用資源和泄露、轉(zhuǎn)讓合法權(quán)限，需要對業(yè)務(wù)人員進行崗前安全培訓(xùn)。

3.2 網(wǎng)絡(luò)硬環(huán)境安全

通過調(diào)研分析，初步定為有以下需求：

1）校園網(wǎng)與教育網(wǎng)的網(wǎng)絡(luò)連接安全二需要在連接處，對進/出的數(shù)據(jù)包進行訪問控制與隔離，重點對源地址為教育網(wǎng)，而目的地址為某大學(xué)的數(shù)據(jù)包進行嚴格的控制。2）校園網(wǎng)中，教師/學(xué)生宿舍網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接的網(wǎng)絡(luò)安全。3）校園網(wǎng)中，教學(xué)單位網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。4）校園網(wǎng)中，行政辦公網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。5）校園網(wǎng)中，網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。6）校園網(wǎng)中，公眾服務(wù)器所在的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。7）各個專用的業(yè)務(wù)子網(wǎng)的安全，即按信息的敏感程度，將各教學(xué)單位的網(wǎng)絡(luò)和行政辦公網(wǎng)絡(luò)劃分為多個子網(wǎng)，例如：專用業(yè)務(wù)子網(wǎng)（財務(wù)處、教務(wù)處、人事部等）和普通子網(wǎng)，對這些專用業(yè)務(wù)子網(wǎng)提供網(wǎng)絡(luò)連接控制。

3.3 網(wǎng)絡(luò)軟環(huán)境安全

網(wǎng)絡(luò)軟環(huán)境安全即校園網(wǎng)的應(yīng)用環(huán)境安全。對于一些涉及到有敏感信息的業(yè)務(wù)專用網(wǎng)，如：財務(wù)處、教務(wù)處、人事處等等，必須確保這些子網(wǎng)的信息安全，包括：防病毒、數(shù)據(jù)備份與災(zāi)難恢復(fù)、規(guī)范網(wǎng)絡(luò)通信秩序、對保存有敏感信息的重要服務(wù)器軟/硬件資源進行層次化監(jiān)控，防止敏感信息被竊取。

3.4 傳輸安全

數(shù)據(jù)的傳輸安全，主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。

4 校園網(wǎng)絡(luò)系統(tǒng)控制安全措施

4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離

訪問控制體現(xiàn)在如下幾個方面：

1）要制訂嚴格的規(guī)章管理制度：可制定的相應(yīng)：《用戶授權(quán)實施細則》、《口令字及賬戶管理規(guī)范》、《權(quán)限管埋制度》。例如在內(nèi)網(wǎng)辦公系統(tǒng)中使用的用戶登錄及管理模塊就是基于這些制度創(chuàng)建。

2）要配備相應(yīng)的軟硬件安全設(shè)備：在內(nèi)部網(wǎng)與外部網(wǎng)之間，在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口設(shè)置防火墻。設(shè)置防火墻就是實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制，保護內(nèi)部網(wǎng)安全的最主要、同時也是最快捷、最節(jié)省的措施之一。防火墻一般具有以下五大基本功能：過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的檢測和報警。防火墻主要類型有包過濾型，包過濾防火墻就是利用IP和TCP包的頭信息對進出被保護網(wǎng)絡(luò)的IP包信息進行過濾，能依據(jù)我們制定安全防范策略來控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，也可實現(xiàn)網(wǎng)絡(luò)IP地址轉(zhuǎn)換（NAT）、審記與實時告警等功能。因為防火墻安裝在被保護網(wǎng)絡(luò)與路由器之間的通道上，所有也對被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)起到隔離作用。