网络安全个人建议范文

当前，全球范围内的计算机安全形势日渐严峻，黑客、病毒肆虐网络，也给计算机通信网络的安全带来了严峻的考验。计算机通信网络安全技术也随之兴起，并迅速的发展。计算机通信网络安全技术就是利用专业的技术和手段，对计算机通信网络中的硬件设备、系统软件和应用软件以及数据信息等进行保护，限制未授权用户窃取信息。简单的说就是为了防止计算机通信网络受到威胁，保证其正常运行而采取的一些的技术措施。

1计算机通信网络安全产生问题的原因

1.1系统自身原因

1.1.1网络的开放性。计算机通信网络是一个开放性很强的广域系统，一方面方便了各种信息的交流共享，但是，另一方面也使得数据的泄露变得相对比较容易，数据保密工作面临着极大的挑战，此外，网络复杂的布线的方式以及通信质量引起的安全事故也是十分的普遍。

1.1.2软件的漏洞。通信系统自身的一些软件在设计上存在缺陷以及通信协议的漏洞，这些都给计算机通信网络的安全问题埋下了隐患。tcp/ip协议是构成整个互联网大厦的基石，但其本身在设计的时候过分重视失效而在安全性方面却是十分脆弱，留下了很多的漏洞，这样就导致基于该协议的很多应用在一开始就存在很多的安全问题，如万维网服务、电子邮件系统以及文件传输协议服务等。这些固有的缺陷和漏洞十分容易被黑客所利用，对计算机通信网络的安全造成危害。

1.2人为因素

1.2.1内部人员泄密。很多计算机通信网络部门的工作人员自身缺乏相应的安全意识，没有责任心以及职业道德，经常有意识或者无意的情况下泄露相关的秘密信息，还有一些工作人员处于自身利益的目的，利用所具有的权限在网络内部窃取信息，设置木马病毒。

1.2.2网络黑客。黑客人员往往都具备很高的计算机专业知识，有着很强的动手能力，他们处于各种目的对计算机通信网络进行入侵，窃取机密文件或者是恶意篡改数据等，还有一些黑客只是处于自我炫耀或者恶作剧的心理对计算机通信网络大肆破坏，加大的损害了网络的正常运行。很多黑客编写计算机病毒释放到网络上，并迅速的传播，极大的损害了互联网的安全。

1.3其他原因

当前我国的互联网安全的相关的法律法规不够建全，尚存在不少的漏洞以及法律真空地带；计算机通信网络安全技术的相对落后；由不可抗力造成的自然灾害以及各种突发事故等都加剧了国内计算机通信网络安全的严峻形势。

2网络安全关键技术

2.1数据加密技术。为了防止敏感数据在传输的过程中以及储存设备中被泄露，就需要对数据在传输的过程中以及储存时进行加密处理，这是数据安全防护十分常见的措施。加密过程实际上就是将数据由，明码状态转化成密码状态，而解密过程则是一个逆向的将密码转化为明码的过程，这一切都是基于密钥进行的。

2.2用户识别技术。为了防止重要数据被没有经过授权的用户查看、复制或者转移，这就需要对用户进行识别。常见的用户识别技术有：口令、唯一标识符、标记识别等。其中最为常见的用户识别技术是口令，它由计算机随机产生，需要用户进行记忆，并作为对数据进行操作的唯一识别码。由于口令是由计算机系统随机产生，且大多具有一定的时效性，这给口令的暴力破解带来了很大的困难，安全性相对较高，但是随机产生的口令没有规律，同样给用户的记忆带来困难。

唯一标识符适用于高度安全网络系统，对存取控制和网络管理实行精确而唯一地标识用户。每个用户的唯一标识符是由网络系统在用户建立时生成的一个数字，而且该数字在系统周期内不会被别的用户再度使用。

标记识别是一种包括一个随机精确码卡片（如磁卡等）的识别方式，一个标记是一个口令的物理实现，用它来代替系统打入一个口令。一个用户必须具有一个卡片，但可用于多个口令的使用，以提高其安全性。

2.3入侵检测技术。入侵检测技术又称为ids，作用在于：识别针对网络的入侵行为，并及时给出报警或采取安全措施以御敌于国门之外。它在计算机网络中是非常有效的安全技术，然而目前尚没有在通信网络上的成熟应用，这是由于目前计算机网络大都是基于单一的tcp/ip协议，其入侵行为的模式有一定规律可循，而通信网络本身就具有不同的种类，有完全不同的内部管理和信令协议，因此不可能有放之四海皆

转贴于

准的通信网络入侵检测技术。但是通信网络的入侵检测又是非常必要的，完全有理由针对特定技术体制的通信网设计专用的入侵检测系统。

可以借鉴计算机网络入侵检测系统的思想，设计基于节点的入侵检测系统或设计基于网络的入侵检测系统。前者基于节点的工作日志或网管系统的状态搜集、安全审计数据来发现入侵行为，而后者是在网络关键点设置数据采集构件，对网络数据包进行过滤、解释、分析、判断，实时地发现入侵行为。异常入侵检测原理和误用入侵检测原理都可以用于通信网入侵检测，但一定是针对特定通信网协议的。

2.4通信网络内部协议安全。通信网络中的链路层协议、路由协议、信令协议等各个控制协议维系着网络互联、路由选择控制、连接的建立和释放、资源的分配和使用等基本的网络运行功能，它们相当于通信网络的神经系统。而恶意攻击者往往选择通过对通信网内部协议的攻击，来达到控制网络的目的，这是通信网络安全防护所需注意的特点之一。

攻击网络协议的方式主要是通过对协议数据的截获、破译、分析获得网络相关资源信息，并通过重放截获的协议数据、假冒合法用户发起协议过程、直接修改或破坏协议数据等方式扰乱网络正常协议的运行，造成非法入侵、用户相互否认、服务中断、拒绝服务等恶果。通信网络内部协议的安全性主要应通过数据的认证和完整性鉴别技术实现协议的安全变异和重构。其中公钥密码算法和哈希函数是设计中的基本工具，它们用来实现对协议数据的源发起点的实体认证和抗重放的协议完整性鉴别。在安全协议的设计过程中，如果能够做到对于一个完整的信令过程一次加密，则安全性能够得到保证。

网络安全个人建议范文篇2

关键词：DCGSM安全网络

一、网络安全现状与需求

随着网络信息化建设的不断发展，使得各行各业的网络建设日趋完善，基础网络架构建设的完成，各种业务、应用的上线使得病毒、木马、网络攻击和破坏也日益增多，网络安全问题表现的越来越突出，网络安全建设在网络建设中地位也越来越重要。提到网络安全建设，很多企事业单位，在网络建设过程中，购买防火墙，防病毒软件等对其网络安全进行管理与维护，但这些软硬件的部署主要都是用来抵御外部攻击的，却往往忽视对于内网安全的防护和控制。

应用先进的“3D-SMP”动态分布式防御安全管理策略，构建高度自动化响应的“DCGSM”智能网络全局安全管理体系。更进一步有效解决了外网和内网的系统安全兼顾问题，全方位、深层次的构建了一个“内外兼固”的安全网络，从而降低了总体拥有成本TCO，加强网络系统的长期可服务性，降低人为维护工作量。

二、设计思路及参考模型

整个系统以“P2DR”为参考模型，是在整体的安全策略的控制和指导下，在综合运用网络安全工具（如高性能硬件防火墙、网络入侵检测、接入认证系统、安全客户端、安全接入交换机、安全接入管理器、上网行为记录系统、流量整形网关、等设备）的同时，应用“SAOP”（Securityassociateoperationprotocol）安全联动协议，把这些独立的网络安全设备进行统一管理、实现相互之间的自动化响应，实现网络整体安全和立体安全。

“P2DR”参考模型包含4个主要部分：Policy（安全策略）、Protection（防护）、Detection（检测）和Response（响应）。规划好全局安全策略，应用防护、检测和响应组成了一个完整的、动态的安全循环。“3D-SMP”全局安全联动的核心是动态防范的机制，从接入认证、行为检测到阻断攻击，每个环节都实时工作，无须用户过多干预，自动进行安全控制。防范的核心是基于对入侵行为、非授权行为的检测、发现及响应，检测机制和联动机制是本安全体系方案的核心，“SAOP”就是这个核心中实现相互联动的协议集。“SOAP”安全联动协议集包括了防火墙和入侵检测系统的联动协议、入侵检测系统和安全接入认证系统（安全接入交换机、安全认证客户端、接入管理器、认证服务器）的联动协议、上网行为记录系统和认证服务器的联动协议等众多协议，是实现内外网全局安全体系的关键。

三、全局安全联动

全局安全联动是一个联动的体系，是网络设备、网络安全设备之间根据检测到的可疑行为危害等级智能判断、动态响应与防御的过程：

假如来自外网的某互联网节点利用木马程序或系统漏洞等手段突破边界网关进入内网。传统情况下，边界防火墙对这样的入侵行为可能会出现被攻破的情况，但是实时监测防火墙流量的入侵监测系统可以检测到来自外网流量的入侵或攻击，并通过联动协议向网络出口防火墙发出阻断指令，防火墙会在第一时间响应，从而阻止了外来入侵或攻击对内网的进一步威胁。

假如有内网终端对服务器等设备发起DDos等攻击行为，由于网络所有流量都在核心交换机上被镜像到入侵监测系统的监控端口并并实时监测，所以入侵检测系统可及时检测到来自内网流量的攻击，并通过联动协议向安全接入交换机以及认证服务器发出阻断指令，安全接入交换机会响应并采取过滤攻击计算机的IP和MAC或关闭其所连接端口等阻断动作，认证服务器同样也会响应并强制其认证客户端下线。

由于联动信息比较关键，为了保证不被监听、窜改，联动信息附有加密与验证信息。通过DES加密联动报文，并通过MD5进行散列摘要，以保证关键联动数据的保密性和完整性。在上面的过程中，联动请求由入侵检测系统向防火墙或认证服务器发起，认证服务器处理之后要向入侵检测系统发送应答，告知处理结果。接收到数据之后防火墙或认证服务器会进行解密、MD5摘要检查，匹配之后提取出联动协议中包含的需要阻断的源IP、源端口、阻断时长等数据，然后采取相应的阻断动作。

在阻断时间未结束之前，防火墙会一直对外网入侵IP进行阻断，交换机会一直对内网入侵IP或MAC进行过滤或一直关闭其端口，认证服务器会不允许被阻断的用户上线。当阻断时间结束之后，防火墙或交换机或认证服务器会恢复被阻断节点的连接，入侵检测系统重新检测其流量，如若再次发现有入侵或攻击行为，那么重复以上联动过程。以上整个过程无需人工安全，实现了快速预警，快速响应。

在这个体系中，安全接入认证系统是非常重要的组成部分。安全认证客户端可以和防病毒软件实现联动，当安全认证客户端检测到客户端计算机系统没有安装瑞星防病毒软件，或防病毒软件的病毒库版本低于我们在认证服务器上设置的版本号，或其系统的安全等级（由防病毒软件检测并反馈给客户端）低于我们在认证服务器上设置的最低安全等级，那么认证将无法通过，但允许不经认证来下载安装防病毒软件或升级病毒库、下载操作系统补丁来提高系统安全等级，从而达到认证的安全要求。

安全认证客户端还可以实时监测客户端计算机的网络流量，发现异常时实时上报至认证服务器，如果流量异常达到阈值那么认证服务器将会强制其认证客户端下线，来避免由于计算机异常流量造成网络受到影响。

上网行为记录系统与认证服务器以及安全接入管理器联动，使上网行为记录可直接映射到上网者的用户帐号，而不只是简单的记录到上网者源IP，从而可以根据用户上网帐号更加准确地定位到上网行为的责任人，而不再是根据用户的源IP来确定上网行为的责任人，做到了真正的有据可依。

在本体系的组成部件中，还有流量整形系统来对网络出口应用流量的精细化分配和控制、对“非授权”应用的控制、保证关键应用的安全可靠，加上其强大的统计、监控和分析功能，不但提高了整个网络的可控性、规范用户的上网行为，还为网络的用途和下一步的规划提供科学依据。

四、总结

全局安全解决方案通过软硬件的联动、计算机层面与网络层面的结合，从身份、主机、网络等多个角度对网络安全进行监控、检测、防御和处理，构建一个身份合法、主机健康、网络安全、行为规范的全局安全网络。同时通过分布式部署、集中管理的部署模式，对拥有众多分支机构更好地实现了策略的统一，以一套完整的组合构建了一个相当严密的网络安全体系。

参考文献

[1]徐亚凤.解析校园网络的安全及管理.牡丹江大学学报.2008，17（8）

[2]郑春.软硬件结合的校园网安全策略.软件导刊.2008，7（8）

网络安全个人建议范文

[关键词]网络安全协议防范技术

随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。近几年来，互联网渐渐走进了老百姓的生活，人们的生活已离不开网络；同时网络给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、恶意软件和其他不轨等的攻击，所以网络信息的安全和保密是一个至关重要的问题。为了确保信息的安全与畅通，研究计算机网络的安全以及防范措施已迫在眉睫。本文结合实际工作经验，谈谈网络安全防范技术。

一、网络的不安全因素

现今的网络，存在不少的不安全因素，主要有：

1.网络协议的弱点。TCP/IP协议是如今最流行的网络协议，它最初是在封闭的环境下使用，并且它的用户都是可靠的科研工作者，因而它的设计本身并没有较多地考虑安全方面的需求，导致TCP/IP协议存在各种弱点，这些弱点带来许多直接的安全威胁。

2.网络操作系统的漏洞。操作系统是网络协议和服务得以实现的最终载体之一，它不仅负责网络硬件设备的接口封装，同时还提供网络通信所需要的各种协议和服务的程序实现。一般情况，操作系统规模都很大，其中的网络协议实现尤其复杂，这点已经决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞，而某些商用操作系统的源代码封闭性更是加剧了这一现象，从而成为网络所面临的重要安全威胁之一。

3.应用系统设计的漏洞。与操作系统情况类似，应用程序的设计过程中也会带来很多由于人的局限性所导致的缺陷或漏洞。软件和硬件设计都存在这种问题，而其中软件的问题为我们所直接面对。由于在硬件设计方面，特别是芯片技术还比较落后，所以这方面的漏洞我们还很难具体化，这实际上说明，硬件的设计与漏洞是我们网络所面临的最为深刻的威胁之一。

4.网络系统设计的缺陷。网络设计专指某个地区、系统或者一个单位的内联网或外联网的设计，包括拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患，由这些设备组建一个应用系统的过程也可能带来安全隐患。合理的网络设计在节约资源的情况下，还可以提供较好的安全性，不合理的网络设计则成为网络的安全威胁。

5.恶意攻击，就是人们常见的黑客攻击及网络病毒，是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也是越来越多，影响也是越来越大。

6.来自合法用户的攻击。这是最容易被管理者忽视的安全威胁之一。事实上，80%的网络安全事件与内部人员的参与相关。网络管理的漏洞往往是导致这种威胁的直接原因。

7.互联网的开放性。事实上，以上所列的网络安全威胁多数都是由于互联网是一个完全开放的网络环境，其中通信几乎都是不受到任何制约，互联网的开放性是导致网络安全威胁最根本的原因。

8.就是物理威胁，如电磁干扰、电磁泄漏等。

还有就是管理方面的安全了，如制度的制定是否全理有效，制度的执行是否到位等。

二、网络安全防范理论

要做到网络安全，必要的防范措施是不可少的。当前的一些网络安全所依赖的技术主要有以下几种：

1.密码技术，它是密码认证、数字签名和其他各种密码协议的统称。数据加密算法标准的提出和应用、公钥加密思想的提出是密码技术发展的重要标志，认证、数字签名和各种密码协议则从不同的需求角度将密码技术进行延伸。认证技术包括消息认证和身份鉴别。数字签名技术可以理解为手写签名在信息电子化的替代技术，主要用以保证数据的完整性、有效性和不可抵赖性等。

2.访问控制。访问控制是网络安全防范和保护的主要技术，它的主要目的是保证网络资源不被非法使用和访问。访问控制技术规定何种主体对何种客体具有何种操作权力。访问控制是网络安全理论的重要方面，主要包括人员限制、数据标识、权限控制、类型控制和风险分析。访问控制技术一般与身份验证技术一起使用，赋予不同身份的用户以不同的操作权限，以实现不同安全级别的信息分级管理。

3.PKI技术。PKI是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键技术。

三、常用主流网络安全防范技术

现在的网络根据用途可分为主流网络和专用网络，针对这两种不同的网络，网络安全措施又分为主流网络安全措施和专业网络安全措施。下面针对主流网络安全做一个简单的介绍：

1.防火墙技术是将内部网络与外部网之间的访问进行全面控制的一种机制，一般可能包括路由器、计算机等硬件，也可能包含有软件，或者同时包含硬件和软件。这些设备在物理上或逻辑上将内部网和外部网隔离开来，使得外网和内网的所有网络通信必须经过防火墙，从而可以进行各种的灵活的网络访问控制，对内部网进行尽可能的安全保障，提高内部网的安全性和健壮性，防火墙技术是当前市场上最为流行的网络安全技术，它已成为网络建设的一个基本配置。

2.VPN技术是利用不可信的公网资源建立可信的虚拟专用网，是保证局域网间通信安全的少数可行的方案之一。VPN既可在TCP/IP协议族的链路层实现（比如L2F、PPTP等安全协议），也可在网络层实现（IPSec），其中更多情况下在网络层实现。作为最近几年才兴起的网络安全技术，VPN在国内的应用也就是最近几年的事情，但随着企业网络用户的迅速增加，VPN技术有着广阔的应用前景。

3.入侵检测技术是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。它从计算机系统或者网络中收集、分析信息，检测任何企图破坏计算机资源的完整性、机密性和可用性的行为，即查看是否有违反安全策略的行为和遭到攻击的迹象，并做出相应的反应。

4.反病毒技术是查找和清除计算机病毒的主要技术，其原理就是在杀毒扫描程序中嵌入病毒特征码引擎，然后根据病毒特征码数据库来进行对比式查杀。这种方法简单、有效，但只适用于已知病毒，并且病毒特征库需要不断升级。

5.网络隔离技术通过特殊硬件实现链路层的断开，使得各种网络攻击与入侵失去了物理通路的基础，从而避免了内部网络遭受外部攻击的可能性。

四、常用专用网络安全防范技术

专用网络由于要求更高的安全性，其防范也必更加重视，现就其主要的防范技术介绍如下：

1.系统和网络的扫描和评估。通过扫描和评估，可预知主体受攻击的可能性、将要发生的行为和产生的后果，因而这种方法受到网络安全业界的重视。这一技术的应用可帮助识别检测对象的系统资源，分析这一资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。一些非常重要的专业应用网络，例如，银行，不能承受一次入侵带来的损失，对扫描和评估技术有强烈的需求。

2.监控和审计。监控和审计是与网络管理直接挂钩的技术。监控和审计是通过对网络通信过程中可疑、有害信息或行为进行记录以为事后处理提供依据，从而对计算机网络犯罪人员形成一个强有力的威慑，最终达到提高网络整体安全性的目的。局域网监控系统是网络监控系统中的一大类。局域网监控能够提供一套较好的内部网行为监控的机制，可以有效阻止来自内网的安全威胁。

3.全套接层协议（SSL，SecureSocketLayer）。这是由Netscape公司1994年设计开发的安全协议，主要在传输层提高应用程序之间的数据安全性。SSL采用了公开密钥和对称密钥两种加密：在建立连接过程中采用公开密钥；在会话过程中使用对称密钥。加密的类型和强度则在两端之间建立连接的过程中协商决定，保证了客户和服务器间事务的安全性。

4.HTTPS协议,SHTTP协议及SMIME协议等。HTTPS协议是建立于SSL上的HTTP安全协议，它利用SSL协议来加强HTTP协议的安全性，已经成功应用于电子商务。SHTTP（安全超文本传输协议）是一种结合HTTP而设计的消息的安全通信协议。SHTTP的设计基于与HTTP信息样板共存并易于与HTTP应用程序相整合。SHTTP协议为HTTP客户机和服务器提供了多种安全机制，这些安全服务选项是适用于万维网上各类用户的。SHTTP还为客户机和服务器提供了对称能力（及时处理请求和恢复，及两者的参数选择），同时维持HTTP的通信模型和实施特征。SMIME(Secure/MultipurposeInternetMailExtensions)是MIME的安全版本，设计用来支持邮件的加密。基于MIME标准，SMIME为电子消息应用程序提供如下加密安全服务：认证、完整性保护、鉴定及数据保密等。传统的邮件用户（MUA）可以使用SMIME来加密发送邮件及解密接收邮件。然而，SMIME并不仅限于邮件的使用，它也能应用于任何可以传送MIME数据的传输机制，例如HTTP。同样，SMIME利用MIME的面向对象特征允许在混合传输系统中交换安全消息。