常用網絡安全標準精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的常用網絡安全標準主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：常用網絡安全標準范文

關鍵詞：無線網絡 安全 必要性 安全發(fā)展

中圖分類號：TN925 文獻標識碼：A 文章編號：1003-9082（2015）06-0017-01

一、無線網絡安全的必要性

無線局域網絡在給人們生活帶來便利的同時，也存在一定安全隱患。無線局域網路是通過無線電波進行空中數(shù)據(jù)傳輸?shù)?，不可以使用有線網絡通過保護線路來保護信息安全的方式，因此在無線網絡覆蓋的區(qū)域內任何用戶都可以接觸到數(shù)據(jù)，不可能只是把數(shù)據(jù)信息發(fā)送給一個接受者，此時防護墻也不會起到很大作用，所有人在標準范圍內都可以進行數(shù)據(jù)截獲。因此，無線局域網絡開拓了用戶的自由，具有安裝時間短，更改結構方便、靈活以及可以提供范圍內全功能漫游服務等特點，也給無線網絡的發(fā)展帶來挑戰(zhàn)，其中包括安全性的挑戰(zhàn)。無線局域網絡必須要考慮的安全因素主要有：控制訪問、身份驗證以及保密信息。如果這三大因素都安全的話，那么不僅可以保護移動設備和網絡不受傷害，也可以保證傳輸?shù)男畔⒉皇芪：?。保證安全性的重點就是怎樣找到一種可以滿足三要素的簡單安全方案。依據(jù)國外的研究結果表明，現(xiàn)階段應用比較廣泛的IEEE802.11無線網絡出現(xiàn)越來越多的切聽事件和攻擊事件。因此，需要對無線網絡進行研究，發(fā)現(xiàn)其中的問題與缺陷，找到解決方法，提高無線網絡的安全性。

二、無線網絡安全技術

1.擴頻跳頻技術

擴展跳頻實際上是利用一個相對比較脆弱的功率把信號發(fā)送出去。其方式有很多種，最常用的就是跳頻序列和直接序列。采用不同的頻道數(shù)、跳頻圖案等可以讓離得比較近的局域網一起存在，也不會出現(xiàn)竊聽數(shù)據(jù)和干擾問題，擴頻和跳頻也發(fā)展成無線局域網絡可以抗干擾的主要方式。

2.擴展服務集標識號（ESSID）

每個設備中都有一個內置的擴展服務集標識號，因此對于每一個很可能會接入存儲點的設備來說，應該首先確認接入點是否符合此網絡，并且對適配器的32位擴展服務集標識號進行判斷，看其是否符合實際需求，一旦不符合，就會被服務器拒絕。如果需要移動用戶和以及多個接入點，那么此時的擴展服務集標識號設置應該一致，跳頻應該保持不一樣，這些的控制都需要密鑰。所以想要竊聽跳頻序列和擴展服務集標識號是很困難的。

3.連線對等加密（WEP）

連線對等加密主要是采取對等加密的方式進行計算，如RC4，在解碼以及加密端都是采用共同密鑰。共同密鑰會進入到每個客戶存取點中，并且其中所有的數(shù)據(jù)解碼與傳送都不在存儲端與客戶端，使用共同密鑰進行解碼與加密。連線對等加密也可以給客戶提供認證功能，作為加密功能使用，應該不斷嘗試把客戶端連接在存儲點上，存儲點會給客戶發(fā)送一個測試挑戰(zhàn)值封包，然后需要客戶利用共同密鑰進行加密后把數(shù)據(jù)送回，最后才可以對數(shù)據(jù)資源進行存取。

三、無線網絡安全發(fā)展概況

自從無線網絡IEEE802.11問世之后，快速成為事實標準，但是還是有著一些遺憾，自從問世以來，安全協(xié)議連線對等加密就一直受到各種質疑，美國大學的Wagner以及Borisov Goldberg是最早發(fā)現(xiàn)安全協(xié)議連線對等加密中存在一定失誤，此后大量的安全信息研究人員也發(fā)表了聲明討論安全協(xié)議連線對等加密中的缺陷，并且和相關技術人員進行配合，在試驗中得到安全協(xié)議連線對等加密的傳輸數(shù)據(jù)。目前，可以獲取傳輸數(shù)據(jù)的設備已經可以在市場上買到，可以破解安全協(xié)議連線對等加密的黑客軟件在互聯(lián)網上也能夠進行下載。安全協(xié)議連線對等加密不安全已經逐漸成為大家都知道的事件，因此人們逐漸開始期待連線對等加密能夠有質的變化，很多新的無線網絡技術就開始發(fā)展起來。

自從2001年開始我國就不斷地制定各種無線網絡安全標準，經過不斷的研究與發(fā)展，制定了保密基礎設施WAPI和無線認證，并且發(fā)展成為國家標準，在2003年十二月開始實行。在有可信第三方的條件下，WAPI采用公共密鑰技術，對移動終端和接入點是否符合證書標準進行驗證，從而保障完成雙向認證、生成會話密鑰以及接入控制等，以便于可以達到安全傳輸?shù)哪康?。WAPI主要由接入點、認證服務以及移動終端共同組成，基本與802.11的草案制定結構類似，一般的密碼算法都是不會公開的。雖然WAPI是進行公開的，但是其安全性的論述還沒有正式進行討論。提高安全草案也是歷經許久才制定下來，在此期間基本每月都要展開幾次會議進行探討，從會議記錄可以看出很多問題。在最開始的時候技術組想要使用AES-OCB技術作為無線網絡的安全技術，但是不久以后就換成CCMP，AES-OSB作為缺省，此后又把CCMP作為缺省，此后還把AES-OCB完全取消，只是使用CCMP算法，在這樣的發(fā)展中，我們可以看出無線網絡各方面的安全標準，有利于我們研究無線網絡安全技術。

結束語

現(xiàn)階段，無線網絡的安全越來越受到重視，無線網絡已經逐漸成為人們生活中不可缺少的部分，也更加需要可行的安全措施來保障信息安全性。近年來，已經逐漸提出很多適應環(huán)境的安全技術，從而保障了網絡的安全性，促進了無線網絡進一步發(fā)展。

參考文獻

[1]李浩.無線網絡技術難點分析及安全方法探討[J].技術與市場，2014（7）：200-200.

[2]張超凡，黃宏偉，湯志軍等.無線局域網絡技術在田間秸稈粉碎功耗測試中的應用[J].農業(yè)機械學報，2011，39（4）：125-127.

[3]周小玻楊柱石，陳偉根等.采用ZigBee PRO無線網絡技術的導線舞動多點監(jiān)測系統(tǒng)設計[J].高電壓技術，2011，37（8）：1967-1974.

第2篇：常用網絡安全標準范文

大學具有不同的信息安全課程開設特點。但在信息安全課程的設置上需要考慮如下幾個方面。(1)課程設置要與國際同行接軌；(2)課程設置要分成信息安全和網絡安全兩個模塊；(3)課程設置必須包括實驗和實踐；(4)課程設置不是一成不變，需要與時俱進；(5)課程設置要結合自身學校特點，并建立課程的跟蹤反饋機制。對于信息安全的本科專業(yè)，可以將專業(yè)課程分成三個模塊，即信息安全課程、網絡安全課程，及綜合實驗。信息安全課程包括信息安全體系結構、信息安全標準、信息安全數(shù)學基礎、密碼學原理，和信息隱藏技術。網絡安全課程包括計算機網絡基礎、網絡安全防護、、網絡設計、無線網絡安全、路由與交換技術安全協(xié)議、計算機病毒防護、防火墻技術、應用服務器安全等課程。

二、信息安全實訓

信息安全專業(yè)的實訓課程，可分為兩種類型：一種是部分課程的實驗，以及信息安全綜合實驗和網絡安全綜合實驗。這種類型實驗的目的是讓學生通過實驗理解知識的本質和原理。第二種是單獨開設的實訓課程，目的是培養(yǎng)學生綜合運用所學多種信息安全技能，提高學生的實際能力、創(chuàng)新能力。為畢業(yè)設計、實習、就業(yè)打基礎。

1、信息安全實訓平臺

信息安全實訓課程是建立在課堂教學的基礎上，通過課堂的學習使得學生可以掌握信息安全專業(yè)的相關基礎。并在此基礎上，通過實訓課程完成課堂教學的升華。信息安全實訓需要搭建平臺，包括基礎實驗平臺、綜合實訓平臺，和開放性研究平臺?；A實驗平臺的功能是對學生基本動手能力的訓練，幫助學生理解與掌握課堂所學的基本原理和方法?；A實驗平臺應該包括信息安全體系中常用的密碼機、防火墻、隔離網閘、網絡監(jiān)視與掃描系統(tǒng)、智能卡讀寫器、指紋儀等設備。通過觀察這些設備，可以幫助學生更直觀地理解其工作原理。同時，可以借助一些軟件產品，觀察這些設備的實時處理方式和數(shù)據(jù)。綜合實訓平臺的功能是提高對綜合應用知識的運用能力，使得學生能夠綜合一門或幾門課程的知識點進行設計，從而提高綜合設計的運用能力，培養(yǎng)其解決工程設計中實際問題的能力。

綜合實訓平臺通常包括網絡安全實驗實訓平臺和信息安全綜合實訓平臺。這兩個平臺包括網絡安全和信息安全中最典型的實驗和最常見的工具，通過這兩個平臺的學習和實踐，學生能夠綜合運用所學知識，提高實踐能力。開放性研究平臺的功能是培養(yǎng)學生的創(chuàng)新能力。教師根據(jù)自身的科研課題為學生設計若干個小的項目，讓學生參與到課題組，鍛煉學生的團隊合作能力。同時，學生也可以自己申請一些題目，請教師進行協(xié)助和指導。通過這些方式可以調動學生的學習熱情，使得學生的創(chuàng)新能力得到很大的提高。除此之外，還可以組織學生參加全國、省級別、校級別的各種信息安全大賽。除了學校搭建的信息安全實訓平臺外，可以和校外信息安全企業(yè)展開合作。讓教師和學生參與到真正的安全項目中，了解項目開發(fā)的所有流程，積累經驗，為日后畢業(yè)就業(yè)打下堅實的基礎。

2、信息安全實訓評價系統(tǒng)

信息安全實訓評價系統(tǒng)的設計，應該具有如下幾個功能：

(1)通過信息安全實訓評價系統(tǒng)，學生在實際的操作過程中，可以向教師及時反饋實訓過程中存在的問題、意見和建議，便于老師及時掌握學生的學習情況，而不是簡單的完成工作任務，教師根據(jù)學生反饋，及時調整實訓項目內容，提高實訓教學質量。

(2)通過信息安全實訓評價系統(tǒng)，學生在實訓進行過程中，可以查看實訓的狀態(tài)及完成情況，在完成實訓時可以查看自己的實訓結果。并根據(jù)結果來進行判斷實訓的效果。增加了學生的自主學習能力。

(3)通過信息安全實訓評價系統(tǒng)，教師可以查看所有學生的實訓完成情況，全面了解實訓效果。通過學生的反饋結果，教師可以重新制定實訓內容，或者根據(jù)不同學生的狀況來有針對性地進行實訓。

(4)信息安全實訓評價系統(tǒng)應該包括教師評價模塊、學生自評模塊，以及學生間的互評模塊。

三、結論

第3篇：常用網絡安全標準范文

關鍵詞：無線局域網；WIFI；全球定位系統(tǒng)；無縫定位；網絡安全

1 引言

針對無線局域網網絡安全的特點，文中提出了將基于WIFI的無縫定位技術用于網絡安全的解決方案，為企業(yè)級用戶解決無線局域網網絡安全問題提供一條新的技術路線。

2 無線局域網及其安全問題解決方案

2.1 WIFI網絡

隨著“無線城市”概念的提出，許多國家和地區(qū)都提出了WIFI網絡覆蓋計劃，并付諸實施。WIFI網絡覆蓋范圍的擴展也促進了集成WIFI接收模塊的終端的發(fā)展，逐漸成為各種終端如計算機、手機、相機甚至汽車的標配。當前移動通信已進入“3G”時代，移動用戶對于數(shù)據(jù)上傳下載的需求急劇增長，只依靠3G網絡無法承擔日益增長的網絡載荷，而WIFI網絡具有低成本、無線、高速的特點，可以彌補3G網絡的不足，因此WIFI網絡在未來將有更加廣闊的應用前景。

2.2 MESH網絡

無線MESH是一種非常適合于覆蓋大面積開放區(qū)域（包括室外和室內）的無線區(qū)域網絡解決方案.無線MESH網的特點是：由包括一組呈網狀分布的無線AP構成，AP均采用點對點方式通過無線中繼鏈路互聯(lián)，將傳統(tǒng)WLAN中的無線“熱點”擴展為真正大面積覆蓋的無線“熱區(qū)”。終端目前的普及應用為無線MESH的迅速推廣帶來好處。因此，WIFI和無線MESH網絡可以相互補充、相互融合。

2.3 無線局域網安全問題常用解決方案

無線局域網以無線信號作為傳輸媒介，由于無線信道的特殊性及公開性，任何人都能監(jiān)測到信號，甚至使用各種非法手段竊聽及盜取數(shù)據(jù)，給網絡安全帶來了巨大的挑戰(zhàn)。由于WIFI網安全領域存在重大隱患，WIFI網被禁止在國內進行大規(guī)模推廣，可見無線局域網存在安全問題已成為WLAN產業(yè)進一步發(fā)展的最大阻力。

針對無線局域網存在的安全問題，IEEE802.11指定了多個安全機制來加強無線局域網的安全性（圖1是利用WPA方式構建的安全系統(tǒng)結構解決方案），相關安全標準已經進行實際應用并推廣。目前無線局域網的安全機制主要有以下幾種。

（1）WEP安全機制。WEP機制是一種對稱密鑰加密算法，采用了RSA數(shù)據(jù)保密公司的RC4偽隨機數(shù)產生器。在WEP機制中，同一無線網絡的所有用戶和AP都是用相同的密鑰用于加密和解密，網絡中的每一個用戶和AP都存放密鑰。802.11標準沒有定義一種密鑰管理協(xié)議，所以WEP密鑰都必須通過手工來管理。但是WEP加密機制存在缺點，在數(shù)據(jù)機密性、完整性及訪問控制方面并沒有達到預期的安全水平，利用現(xiàn)在的腳本工具就能成功的攻入網絡并發(fā)現(xiàn)WEP密鑰，因此引入更高安全級別、更完善的安全機制成為必然趨勢。

（2）WPA安全機制。針對WEP的設計缺陷，為增強無線局域網安全性，WIFI聯(lián)盟提出了一種新的安全機制：WPA（WIFI聯(lián)盟受限接入）作為無線網絡安全的一個過渡機制。WPA使用臨時密鑰集成協(xié)議TKIP進行數(shù)據(jù)加密，而認證有兩種模式：一種是適用企業(yè)級用戶的802.1X協(xié)議，一種是適用于家庭的預先共享密鑰PSK。WAP有效地解決了WEP中加密算法密鑰過短、靜態(tài)密鑰和密鑰缺乏管理等問題，但是依然存在缺陷：它采用的加密算法還是RC4加密算法，很容易遭到黑客的暴力破解；802.1x也存在不足，對于合法的EAPOL_Start報文AP都會進行處理，攻擊者只要發(fā)送大量EAPOL_Start報文就可以消耗AP的資源，使AP無法響應新的EAPOL請求，達到癱瘓網絡的目的。WPA存在的這些缺陷決定了難以成為一個理想的安全機制。

（3）802.11i安全機制。802.11i是一種新型的無線局域網安全機制，它提出了一個全新的安全體系，采用了公認最為成熟的AES加密算法，定義了而過渡安全網絡TSN，以802.1x作為認證和密鑰管理方式、以TKIP和CCMP作為數(shù)據(jù)加密機制，改進了原有安全機制存在的不足，具有很強的技術優(yōu)勢和應用前景。

除以上三種常用的安全機制，還有其它的安全機制，如WAPI（無線局域網鑒別和保密基礎結構）安全機制、基于VPN（虛擬個人局域網）的安全機制等。雖然無線局域網網絡安全組織推出了各種安全體制來提升WLAN的安全性，但是依然無法滿足企業(yè)級用戶對安全性的要求，需要探索利用其它技術手段來建立新的安全機制。

3 基于WIFI的無縫定位技術

WIFI不僅可以提供無線接入及數(shù)據(jù)傳輸功能，還可以用于定位。WIFI網絡在不增加額外的硬件情況下，通過分析接入點相對于無線網絡設備信號強度或者信噪比來推斷目標物體的位置?？蛻舳耸褂没蜻B接到一個接入點，此接入點提供最強的RSS信號?？蛻舳寺危ㄆ跈z查信號強度，確定最佳的接入點。通過信號測量，可以得到客戶端的位置?；赪IFI的室內定位方法主要有兩種：傳播模型法和位置指紋法。位置指紋法需要大量的訓練，其定位精度與訓練點的個數(shù)有關系。傳播模型法是利用信號在室內的衰減規(guī)律，將接收到的信號強度轉換為距離，再由室內定位算法得出用戶終端的位置。傳播模型法的優(yōu)點是不需要大量的訓練，但其定位的準確度依賴于傳播模型和定位算法?；赪IFI的定位技術具有覆蓋面廣，信息傳輸速度快，成本低特點，成為室內定位的主要技術。

基于WIFI網的定位技術也存在諸多不足，當WIFI網信號不穩(wěn)定，基于WIFI的定位技術精度就會比較低，在室外無WIFI信號或者信號微弱的時候不能提供定位服務，難以保證定位服務的時空連續(xù)性。因此WIFI常用來輔助GPS進行定位與導航，為終端提供GPS無法實現(xiàn)的室內定位功能。

4 無縫定位技術用于無線局域網網絡安全

基于WIFI網的無縫定位技術提供的連續(xù)位置服務功能，在方便用戶進行定位與導航，也為實時監(jiān)測用戶的位置提供了可能性。只要用戶進入WIFI網信號區(qū)域時，并連接到WIFI網絡之后，采用必要的技術手段獲取用戶的位置信息，就可以對用戶的訪問行為進行實時監(jiān)控。如果配以必要的識別技術如RFID識別，在用戶進入WIFI網時進行身份識別。利用身份識別和位置監(jiān)測技術，可以形成一套基于位置信息的網絡安全解決方案，為無線網絡安全的監(jiān)管提供一條新的技術路線。

基于WIFI的無縫定位技術用于無線網絡安全基本思想就是根據(jù)用戶的位置信息限制無線局域網訪問權限，通過在無線局域網有效信號范圍構建起“物理圍欄”以及在用戶周圍構建起虛擬的“地理圍欄”，綜合了傳統(tǒng)的網絡安全和物理安全技術，有效的保護了無線網絡的安全。

4.1 物理圍欄

物理圍欄就是基于訪問用戶的授權建立的，主要應用RFID技術，它可以對訪問用戶的身份進行識別，當用戶的身份符合要求時，就可以突破物理圍欄，獲取無線局域網的訪問權限，這就從源頭上降低了用戶非法訪問無線局域網網絡資源的可能性。

4.2 地理圍欄

用戶在突破物理圍欄進入無線局域網后，還需要對用戶的行為進行實時監(jiān)控，這依賴于在訪問用戶的終端周圍建立起的地理圍欄。

利用WIFI網絡與GPS定位技術的融合，可以獲取用戶的位置信息，并將其訪問行為限定在合法的訪問區(qū)域之內，一旦用戶的訪問行為突破限定的訪問區(qū)域，可以采取斷網或者警告等手段來對用戶訪問進行控制。

基于位置信息的安全技術和用戶移動設備身份識別技術的綜合運用，把網絡的防護和智能辨認功能提升到更高的層次，地理圍欄可以創(chuàng)建一個伴隨每一個移動設備移動的客戶化的無形圍欄，使網絡管理員能夠確保每一個設備僅能訪問網絡上被授權的區(qū)域和資源。

5 結論

基于WIFI的無縫定位技術由于精度還比較低，需要進一步提高定位精度，此時基于WIFI的無縫定位技術用于網絡安全才具有實用性。

基于位置信息的網絡安全技術作為一種新興的跨學科的安全防護技術還處于研究和應用的初級階段，物理圍欄技術只是定位技術與網絡安全技術的簡單結合。隨著研究的深入及無縫定位技術的發(fā)展，基于位置信息的網絡安全技術必將更為成熟和完善，其應用領域也不再局限于無線局域網，將在更加廣泛的安全領域中發(fā)揮積極的作用。

[參考文獻]

[1]陳.定位技術在網絡安全領域中的應用[J].網絡技術，2010，（6）：15-17.

[2]吳雨航.WIFI網輔助GPS的無縫定位方法研究[D].北京：北京大學，2010：1-4.

第4篇：常用網絡安全標準范文

計算機通信網絡技術是通信技術與計算機技術相結合的產物。計算機通信網絡是按照網絡協(xié)議，將地球上分散的、獨立的計算機相互連接的集合。計算機通信網絡具有共享硬件、軟件和數(shù)據(jù)資源的功能，具有對共享數(shù)據(jù)資源集中處理及管理和維護的能力，但是計算機的數(shù)據(jù)也會被盜用、暴露或者篡改。通信網絡所具有的廣泛的地域性和協(xié)議開放性決定了網絡通信的易受攻擊性。另外，由于計算機本身的不完善，用戶設備在網上工作時，很可能會受到來自各方面的攻擊。隨著信息技術的飛速發(fā)展，計算機通信網絡的安全問題越來越受到廣大網民的關注。

一、計算機通信網絡的安全問題概述

計算機通信網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。計算機通信網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷。

1988年11月3日，第一個“蠕蟲”出現(xiàn)在互聯(lián)網上。在幾小時之內，數(shù)千臺計算機被傳染，計算機通信網絡陷入癱瘓。“morris蠕蟲”的出現(xiàn)改變了許多人對互聯(lián)網安全性的看法。一個單純的程序能有效地摧毀了數(shù)百臺（或數(shù)千臺）機器，那一天標志著計算機通信安全性研究分析的開始。隨后計算機通信網絡的安全問題就頻繁出現(xiàn)。據(jù)統(tǒng)計，全球約20秒種就有一次計算機入侵事件發(fā)生，互聯(lián)網上的網絡防火墻約1/4被突破，約70%以上的網絡信息主管人員報告因機密信息泄露而受到了損失。

二、計算機通信網絡的不安全性的主要表現(xiàn)形式

（一）信息泄露：第三者可能偷聽到甲乙兩方通信內容，第三者利用本來不是發(fā)給他的信息。

（二）識別：通信雙方不能肯定對方是否是自己想與之通信的對象以至相互猜疑。

（三）假冒：非法用戶想獲得網絡服務，必須有不可偽造的簽名。

（四）篡改：攻擊者更改網絡中傳輸?shù)膱笪囊赃_到某些利益。

（五）惡意程序的攻擊：包括計算機病毒、計算機蠕蟲、邏輯炸彈等。

三、針對計算機的安全性問題采取的措施

（一）訪問控制安全

訪問控制是網絡安全防范和保護的主要本文由收集整理方法，它的主要任務是保證網絡資源不被非法的使用和訪問。它是保證網絡安全最重要的核心策略之一。計算機通信網絡的訪問控制安全主要包括用戶口令鑒別、訪問權限控制、網絡安全監(jiān)視、安全審計、安全問題跟蹤、計算機病毒防治、數(shù)據(jù)加密等。

（二）數(shù)據(jù)傳輸安全

傳輸安全要求保護網絡上被傳輸?shù)男畔?，以防止被動地和主動地侵犯。對?shù)據(jù)傳輸安全可以采取如下措施：

1.加密與數(shù)字簽名。計算機通信網絡的加密即對osi模型中的數(shù)據(jù)鏈路層、傳輸層、應用層這三層進行加密處理。這樣做可以有效減少在傳輸線路上被竊取的危險，使數(shù)據(jù)在網絡傳輸期間保持加密狀態(tài)，同時讓網絡應用程序對數(shù)據(jù)進行加密和解密處理。

數(shù)字簽名是數(shù)據(jù)的接收者用來證實數(shù)據(jù)的發(fā)送者正確無誤的一種方法，它主要通過加密算法和證實協(xié)議而實現(xiàn)。

2.防火墻。防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況， 以此來實現(xiàn)網絡的安全保護。 通俗地說，防火墻就是一種能攔截有害信息的防御系統(tǒng)。

3.user name/password認證。該種認證方式是最常用的一種認證方式，它用于操作系統(tǒng)登錄、telnet（遠程登錄）、rlogin（遠程登錄）等，但此種認證方式過程不加密，即password容易被監(jiān)聽和解密。

4.基于pki的認證。使用pki（公開密鑰體系）進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數(shù)字簽名等技術，很好地將安全性和高效性結合起來。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻認證等領域。該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。

5.虛擬專用網絡（vpn）技術。vpn技術主要提供在公網上的安全的雙向通訊，采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。

第5篇：常用網絡安全標準范文

關鍵詞內部網絡；網絡安全

1引言

目前，在我國的各個行業(yè)系統(tǒng)中，無論是涉及科學研究的大型研究所，還是擁有自主知識產權的發(fā)展中企業(yè)，都有大量的技術和業(yè)務機密存儲在計算機和網絡中，如何有效地保護這些機密數(shù)據(jù)信息，已引起各單位的巨大關注！

防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護手段，我們通常認為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲，因此采取了一系列的防范措施，如建立兩套網絡，一套僅用于內部員工辦公和資源共享，稱之為內部網絡；另一套用于連接互聯(lián)網檢索資料，稱之為外部網絡，同時使內外網物理斷開；另外采用防火墻、入侵檢測設備等。但是，各種計算機網絡、存儲數(shù)據(jù)遭受的攻擊和破壞，80%是內部人員所為！(ComputerWorld，Jan-uary2002)。來自內部的數(shù)據(jù)失竊和破壞，遠遠高于外部黑客的攻擊！事實上，來自內部的攻擊更易奏效！

2內部網絡更易受到攻擊

為什么內部網絡更容易受到攻擊呢?主要原因如下：

(1)信息網絡技術的應用正日益普及，應用層次正在深入，應用領域從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展。網絡已經是許多企業(yè)不可缺少的重要的組成部分，基于Web的應用在內部網正日益普及，典型的應用如財務系統(tǒng)、PDM系統(tǒng)、ERP系統(tǒng)、SCM系統(tǒng)等，這些大規(guī)模系統(tǒng)應用密切依賴于內部網絡的暢通。

(2)在對Internet嚴防死守和物理隔離的措施下，對網絡的破壞，大多數(shù)來自網絡內部的安全空隙。另外也因為目前針對內部網絡安全的重視程度不夠，系統(tǒng)的安裝有大量的漏洞沒有去打上補丁。也由于內部擁有更多的應用和不同的系統(tǒng)平臺，自然有更多的系統(tǒng)漏洞。

(3)黑客工具在Internet上很容易獲得，這些工具對Internet及內部網絡往往具有很大的危害性。這是內部人員(包括對計算機技術不熟悉的人)能夠對內部網絡造成巨大損害的原因之一。

(4)內部網絡更脆弱。由于網絡速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。

(5)為了簡單和易用，在內網傳輸?shù)臄?shù)據(jù)往往是不加密的，這為別有用心者提供了竊取機密數(shù)據(jù)的可能性。

(6)內部網絡的用戶往往直接面對數(shù)據(jù)庫、直接對服務器進行操作，利用內網速度快的特性，對關鍵數(shù)據(jù)進行竊取或者破壞。

(7)眾多的使用者所有不同的權限，管理更困難，系統(tǒng)更容易遭到口令和越權操作的攻擊。服務器對使用者的管理也不是很嚴格，對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。

(8)信息不僅僅限于服務器，同時也分布于各個工作計算機中，目前對個人硬盤上的信息缺乏有效的控制和監(jiān)督管理辦法。

(9)由于人們對口令的不重視，弱口令很容易產生，很多人用諸如生日、姓名等作為口令，在內網中，黑客的口令破解程序更易奏效。

3內部網絡的安全現(xiàn)狀

目前很多企事業(yè)單位都加快了企業(yè)信息化的進程，在網絡平臺上建立了內部網絡和外部網絡，并按照國家有關規(guī)定實行內部網絡和外部網絡的物理隔離；在應用上從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展，典型的應用如財務系統(tǒng)、PDM系統(tǒng)甚至到計算機集成制造(CIMS)或企業(yè)資源計劃(ERP)，逐步實現(xiàn)企業(yè)信息的高度集成，構成完善的企事業(yè)問題解決鏈。

在網絡安全方面系統(tǒng)內大多企業(yè)或是根據(jù)自己對安全的認識，或是根據(jù)國家和系統(tǒng)內部的相關規(guī)定，購置部分網絡安全產品，如防火墻、防病毒、入侵檢測等產品來配置在網絡上，然而這些產品主要是針對外部網絡可能遭受到安全威脅而采取的措施，在內部網絡上的使用雖然針對性強，但往往有很大的局限性。由于內部網絡的高性能、多應用、信息分散的特點，各種分立的安全產品通常只能解決安全威脅的部分問題，而沒有形成多層次的、嚴密的、相互協(xié)同工作的安全體系。同時在安全性和費用問題上形成一個相互對立的局面，如何在其中尋找到一個平衡點，也是眾多企業(yè)中普遍存在的焦點問題。

4保護內部網絡的安全

內部網絡的安全威脅所造成的損失是顯而易見的，如何保護內部網絡，使遭受的損失減少到最低限度是目前網絡安全研究人員不斷探索的目標。筆者根據(jù)多年的網絡系統(tǒng)集成經驗，形成自己對網絡安全的理解，闡述如下。

4.1內部網絡的安全體系

筆者認為比較完整的內部網絡的安全體系包括安全產品、安全技術和策略、安全管理以及安全制度等多個方面，整個體系為分層結構，分為水平層面上的安全產品、安全技術和策略、安全管理，其在使用模式上是支配與被支配的關系。在垂直層面上為安全制度，從上至下地規(guī)定各個水平層面上的安全行為。

4.2安全產品

安全產品是各種安全策略和安全制度的執(zhí)行載體。雖然有了安全制度，但在心理上既不能把制度理想化，也不能把人理想化，因此還必須有好的安全工具把安全管理的措施具體化。目前市場上的網絡安全產品林林總總，功能也千差萬別，通常一個廠家的產品只在某個方面占據(jù)領先的地位，各個廠家的安全產品在遵守安全標準的同時，會利用廠家聯(lián)盟內部的協(xié)議提供附加的功能。這些附加功能的實現(xiàn)是建立在全面使用同一廠家聯(lián)盟的產品基礎之上的。那么在選擇產品的時候會面臨這樣一個問題，即是選擇所需要的每個方面的頂尖產品呢，還是同一廠家聯(lián)盟的產品?筆者認為選擇每個方面的頂尖產品在價格上會居高不下，而且在性能上并不能達到l+1等于2甚至大于2的效果。這是因為這些產品不存在內部之間的協(xié)同工作，不能形成聯(lián)動的、動態(tài)的安全保護層，一方面使得這些網絡安全產品本身所具有的強大功效遠沒有得到充分的發(fā)揮，另一方面，這些安全產品在技術實現(xiàn)上，有許多重復工作，這也影響了應用的效率。因此網絡安全產品的選擇應該是建立在相關安全產品能夠相互通信并協(xié)同工作的基礎上，即實現(xiàn)防火墻、IDS、病毒防護系統(tǒng)、信息審計系統(tǒng)等的互通與聯(lián)動，以實現(xiàn)最大程度和最快效果的安全保證。目前在國內外都存在這樣的網絡安全聯(lián)盟實現(xiàn)產品之間的互聯(lián)互動，達到動態(tài)反應的安全效果。

4.3網絡安全技術和策略

內部網絡的安全具體來說包括攻擊檢測、攻擊防范、攻擊后的恢復這三個大方向，那么安全技術和策略的實現(xiàn)也應從這三個方面來考慮。

積極主動的安全策略把入侵檢測概念提升到了更有效、更合理的入侵者檢測(甚至是內部入侵者)層面。內部安全漏洞在于人，而不是技術。因此，應重點由發(fā)現(xiàn)問題并填補漏洞迅速轉向查出誰是破壞者、采取彌補措施并消除事件再發(fā)的可能性。如果不知道破壞者是誰，就無法解決問題。真正的安全策略的最佳工具應包括實時審查目錄和服務器的功能，具體包括：不斷地自動監(jiān)視目錄，檢查用戶權限和用戶組帳戶有無變更；警惕地監(jiān)視服務器，檢查有無可疑的文件活動。無論未授權用戶企圖訪問敏感信息還是員工使用下載的工具蓄意破壞，真正的安全管理工具會通知相應管理員，并自動采取預定行動。

在積極查詢的同時，也應該采用必要的攻擊防范手段。網絡中使用的一些應用層協(xié)議，如HTTP、Telnet，其中的用戶名和密碼的傳遞采用的是明文傳遞的方式，極易被竊聽和獲取。因此對于數(shù)據(jù)的安全保護，理想的辦法是在內部網絡中采用基于密碼技術的數(shù)字身份認證和高強度的加密數(shù)據(jù)傳輸技術，同時采用安全的密鑰分發(fā)技術，這樣既防止用戶對業(yè)務的否認和抵賴，同時又防止數(shù)據(jù)遭到竊聽后被破解，保證了數(shù)據(jù)在網上傳輸?shù)目煽啃?。攻擊后恢復首先是?shù)據(jù)的安全存儲和備份，在發(fā)現(xiàn)遭受攻擊后可以利用備份的數(shù)據(jù)快速的恢復；針對WWW服務器網頁安全問題，實施對Web文件內容的實時監(jiān)控，一旦發(fā)現(xiàn)被非法篡改，可及時報警并自動恢復，同時形成監(jiān)控和恢復日志，并提供友好的用戶界面以便用戶查看、使用，有效地保證了Web文件的完整性和真實性。

4.4安全管理

安全管理主要是指安全管理人員。有了好的安全工具和策略，還必須有好的安全管理人員來有效的使用工具和實現(xiàn)策略。經過培訓的安全管理員能夠隨時掌握網絡安全的最新動態(tài)，實時監(jiān)控網絡上的用戶行為，保障網絡設備自身和網上信息的安全，并對可能存在的網絡威脅有一定的預見能力和采取相應的應對措施，同時對已經發(fā)生的網絡破壞行為在最短的時間內做出響應，使企業(yè)的損失減少到最低限度。

企業(yè)領導在認識到網絡安全的重要性的同時，應當投入相當?shù)慕涃M用于網絡安全管理人員的培訓，或者聘請安全服務提供商來維護內部網絡的安全。

4.5網絡安全制度

網絡安全的威脅來自人對網絡的使用，因此好的網絡安全管理首先是對人的約束，企業(yè)并不缺乏對人的管理辦法，但在網絡安全方面常常忽視對網絡使用者的控制。要從網絡安全的角度來實施對人的管理，企業(yè)的領導必須首先認識到網絡安全的重要性，惟有領導重視了，員工才會普遍重視，在此基礎上制定相應的政策法規(guī)，使網絡安全的相關問題做到有法可依、有據(jù)可查、有功必獎、有過必懲，最大限度地提高員工的安全意識和安全技能，并在一定程度上造成對蓄意破壞分子的心理震懾。

目前許多企業(yè)已認識到網絡安全的重要性，已采取了一些措施并購買了相應的設備，但在網絡安全法規(guī)上還沒有清醒的認識，或者是沒有較為系統(tǒng)和完善的制度，這樣在企業(yè)上下往往會造成對網絡安全的忽視，給不法分子以可乘之機。國際上，以ISO17799/BSI7799為基礎的信息安全管理體系已經確立，并已被廣泛采用，企業(yè)可以此為標準開展安全制度的建立工作。具體應當明確企業(yè)領導、安全管理員、財物人員、采購人員、銷售人員和其它辦公人員等各自的安全職責。安全組織應當有企業(yè)高層掛帥，由專職的安全管理員負責安全設備的管理與維護，監(jiān)督其它人員設備安全配置的執(zhí)行情況。單位還應形成定期的安全評審機制。只有通過以上手段加強安全管理，才能保證由安全產品和安全技術組成的安全防護體系能夠被有效地使用。

5結論

要想保證內部網絡的安全，在做好邊界防護的同時，更要做好內部網絡的管理。所以，目前在安全業(yè)界，安全重在管理的觀念已被廣泛接受。沒有好的管理思想，嚴格的管理制度，負責的管理人員和實施到位的管理程序，就沒有真正的安全。在有了“法治”的同時，還要有“人治”，即經驗豐富的安全管理人員和先進的網絡安全工具，有了這兩方面的治理，才能得到一個真正安全的網絡。

參考文獻

[1]楊義先、鈕心忻，網絡安全理論與技術[M.人民郵電出版社，2003

第6篇：常用網絡安全標準范文

關鍵詞：計算機；網絡 ；信息安全； 安全防護

1. 概述

現(xiàn)在計算機通信技術和計算機信息化的迅速發(fā)展，使得數(shù)據(jù)信息資源急劇膨脹，計算機網絡的運用是通信變得方便快捷，但是計算機網絡技術的飛速發(fā)展，計算機網絡在給人們工作和生活提供方便的同時，也對人們構成了日益嚴重的網絡安全威脅。數(shù)據(jù)竊取、黑客侵襲、病毒感染、內部泄密等網絡攻擊問題無時不刻不在困擾著用戶的正常使用下面將對計算機網絡信息安全問題進行分析，提出有效的網絡安全防范策略。

2. 計算機網絡面臨的威脅

計算機網絡所面臨的威脅大體可分為對網絡中信息的威脅和對網絡中設備的威脅兩種。影響計算機網絡安全的因素很多，歸結起來，網絡安全的威脅主要有以下幾點：

（1） 網絡的寬泛性。 網絡所具有的開放性、 共享性和廣泛分布應用的特點對網絡安全來講是主要的安全隱患： 一是網絡的開放性， 使得網絡所面臨的攻擊無法預測，或是來自物理傳輸?shù)母`取和來自對網絡通信協(xié)議的修改， 以及對網絡控制中軟件、 硬件的漏洞實施破壞。 二是網絡的全球利用性，對網絡的攻擊不僅是來自于本地網絡用戶， 還可以是網絡中任何其他的非法用戶。 三是互聯(lián)網的自由性， 網絡對用戶的使用沒有技術上的要求， 用戶可以自由上網， 和獲取各類信息。

（2）防火墻的局限性。 防火墻能對網絡的安全起到保障作用， 但不能完全保證網絡的絕對安全， 很難防范來自網絡內部的攻擊和病毒的威脅，這也是防火墻安全防護的局限性。網絡軟件因素。網絡的利用和有需要多方軟件與系統(tǒng)支持，信息的存儲和轉發(fā)均由它們進行調制。由于軟件的復雜性 ，保證網絡軟件系統(tǒng)的安全十分有限，所以，軟件存在漏洞，這些軟件缺陷給黑客提供了方便 ，隱匿的 網絡威脅也隨之產生。由于網絡安全存在的普遍性，網絡安全技術己經得到了廣泛的關注。其中關于網絡安全技術的應用也隨之產生和發(fā)展。

（3） 人為原因的惡意攻擊：主動攻擊是以各種方式有選擇地破壞信息的有效性和完整性，這兩種攻擊皆可對計算機網絡造成極大危害并導致機密數(shù)據(jù)的泄漏。

3. 網絡安全技術

安全技術也需要不斷地發(fā)展和改進，各式各樣的網絡安全技術的廣泛應用也在一定程度上改善了計算機網絡的安全問題。

（1）防火墻技術

防火墻是由軟件和硬件設備組合而成的，在內網和外網之間、專用網與公共網之間的信息保證技術。它建立一個安全網關 ，保護內部網絡免受非法用戶的修改。防火墻基本的功能是控制網絡中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如萬維網是不可信任的區(qū)域，而局域網網是信任的區(qū)域。

（2）虛擬專用網技術

虛擬專用網（VPN）是通過一個公用網絡建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全的通道。虛擬網技術是對企業(yè)局域網的擴展。虛擬網可以幫助遠程用戶、公司分支機構內部網建立安全連接 ，并保證信息的安全發(fā)送。虛擬網可用于不斷增長的移動用戶的全球因特網接入 ，以實現(xiàn)安全連接。

（3）安全掃描技術

網絡安全掃描技術的目的是讓系統(tǒng)員可以及時了解存在的安全漏洞問題，采取安全防范，降低網絡的安全隱患。利用安全掃描技術，可以對局域網、Web網、操作系統(tǒng)、通信服務以及防火墻的安全漏洞進行掃描，員可以觀察到網絡系統(tǒng)中存在的潛在威脅，在網絡系統(tǒng)上存在的可能遭受緩沖區(qū)溢出攻擊或者拒絕服務攻擊的漏洞問題。

4. 網絡安全的防范措施

雖然近年來黑客活動越來越為猖獗，攻擊事件越來越多，但采取完善的防護措施，依然能有效的保護網絡信息安全，目前常用的具體策略包括以下幾類：

4.1入侵檢測技術

入侵檢測系統(tǒng)( Intrusion Detection System 簡稱 IDS) 是對網絡入侵行為進行安全檢測的監(jiān)控系統(tǒng)，監(jiān)控網絡的運行狀態(tài)，及時發(fā)現(xiàn)來自網絡的攻擊，對網絡攻擊行為或者攻擊結果做出報警或做出相應的響應機制，保證網絡系統(tǒng)資源的完整性。入侵檢測基本原理主要由主體(subjeets)、對象(Objeets)、審計記錄(AuditsReoords)、活動簡檔(profiles)、異常記錄(AnomalyRecords)和活動規(guī)則(ActivityRules)六個部分組成，目前的入侵檢測系統(tǒng)都是在此模型的基礎上產生的，它也揭示了入侵檢測基本原理。在入侵檢測中，隨著網絡數(shù)據(jù)的不斷增加，檢測數(shù)據(jù)中不斷的暴露出問題，目前網絡安全監(jiān)控系統(tǒng)的數(shù)據(jù)傳輸端運行速度較低，監(jiān)控數(shù)據(jù)查詢時出現(xiàn)超時錯誤比以往更頻繁，運行情況較差，已經影響到前臺入侵檢測網絡監(jiān)控的處理。有效的安全策略在于將正常監(jiān)控的入侵檢測使用的監(jiān)控數(shù)據(jù)庫監(jiān)控數(shù)據(jù)進行分離，保留系統(tǒng)監(jiān)控必須的基礎監(jiān)控數(shù)據(jù)和近期的網絡監(jiān)控數(shù)據(jù)，保證系統(tǒng)正常監(jiān)控。同時將歷史監(jiān)控數(shù)據(jù)剝離出來，導入備份監(jiān)控數(shù)據(jù)庫中，然后在備份監(jiān)控數(shù)據(jù)庫上重新架設網絡安全監(jiān)控分析系統(tǒng)。由入侵檢測數(shù)據(jù)分離策略包括網絡監(jiān)控數(shù)據(jù)表分析、網絡監(jiān)控數(shù)據(jù)轉換遷移、網絡分離檢索、網絡監(jiān)控策略包括網絡綜合查詢、網絡用戶綜合查詢、網絡監(jiān)控數(shù)據(jù)、信息變更查詢、網絡監(jiān)控綜合查詢、網絡安全監(jiān)控量統(tǒng)計反饋、信息統(tǒng)計、網絡安全監(jiān)控數(shù)據(jù)分析統(tǒng)計查詢、日志核對單查詢、網絡屏幕監(jiān)控、移動網絡安全、、歷史監(jiān)控數(shù)據(jù)記錄查詢、網絡監(jiān)控流程查詢、網絡信息查詢、網絡維護、安檢流程查詢及統(tǒng)計、電話報警查詢主要的功能比較簡單，主要為網絡安全監(jiān)控警員提供網絡安全監(jiān)控系統(tǒng)的歷史監(jiān)控數(shù)據(jù)的查詢、分析、統(tǒng)計功能，不需要進行大量的監(jiān)控數(shù)據(jù)分析網絡安全中的異常數(shù)據(jù)信息，采用入侵檢測方法是提高網絡安全中行之有效的方法

4.2 隱藏IP地址防范IP地址欺騙攻擊

在大多數(shù)網絡安全案例中，黑客都會對被攻擊者主機信息進行偵測，等于攻擊者明確了被攻擊者的精確位置，可以利用這個IP地址對被攻擊者計算機發(fā)動各種精確的攻擊，網絡傳輸中的完整性、可利用性與網絡布局和介質傳輸有關的技術和 通信應用的有機集合?？偟膩碇v，網絡安全主要包括了網絡中所存儲和傳送的信息的安全應用。網絡安全的要求就是要在網絡通信的基礎上保證信息的隱秘性、完整性、應用性、真實性。

5. 網絡安全的防御

網絡信息安全以網絡信息制度為依據(jù)，基于工作流程的概念，使系統(tǒng)使用人員方便快捷地共享信息，高效地協(xié)同工作；改變過去復雜、低效的手工辦公方式，網絡信息安全建立在信息技術基礎上，以系統(tǒng)化的思想，將企業(yè)所有資源進行全面一體化的信息系統(tǒng)，有效地促進現(xiàn)有企業(yè)的現(xiàn)代化、科學化。

網絡信息安全實現(xiàn)了業(yè)務的流程化，對所有業(yè)務的工作流程和操作規(guī)范都制定了較為嚴格的要求，力求使所有業(yè)務數(shù)據(jù)都達到數(shù)據(jù)實時錄入、業(yè)務資料準確的要求。通過網絡信息安全設計，各崗位人員都能夠及時掌握各項業(yè)務流程的具體信息和業(yè)務進度，班組長根據(jù)各個網絡業(yè)務實施情況和完成情況對業(yè)務和人員進行合理調配，對各項業(yè)務的進展情況進行實時監(jiān)控，提高了網絡部門的效率和服務水平，從而實現(xiàn)精細化、人性化。

網絡信息安全需要系統(tǒng)提供了多樣化的數(shù)據(jù)查詢功能和詳盡的統(tǒng)計功能，替代了以往人工查找、計算煩瑣的工作方式，提高了信息安全標準，保證了數(shù)據(jù)的準確性。

目前網絡信息安全，隨著業(yè)務數(shù)據(jù)的不斷增加，系統(tǒng)不斷的暴露出問題，目前網絡信息安全客戶端運行速度已經降到歷史最低點，數(shù)據(jù)查詢時出現(xiàn)超時錯誤比以往更頻繁，運行情況較差，已經影響到網絡業(yè)務的辦理。盡早制定一個合理的實施方案并予以實行，改善以上種種問題，已經迫在眉睫。綜合系統(tǒng)各方面因素，可以對網絡信息系統(tǒng)數(shù)據(jù)進行數(shù)據(jù)分離，建立一個移動網絡信息系統(tǒng)移動網絡信息分析系統(tǒng)。主要操作為：將正常網絡信息數(shù)據(jù)使用的數(shù)據(jù)庫數(shù)據(jù)進行分離，保留系統(tǒng)運營必須的基礎數(shù)據(jù)和近期的業(yè)務數(shù)據(jù)，保證系統(tǒng)正常運營。同時將歷史數(shù)據(jù)剝離出來，導入備份數(shù)據(jù)庫中，然后在備份數(shù)據(jù)庫上重新架設移動網絡信息分析系統(tǒng)。在企業(yè)中使用的網絡安全中基于入侵檢測和數(shù)據(jù)分離的業(yè)務處理形勢可以有效保證網絡安全的同時，提高網絡的利用率和有效性。

網絡安全包含的內容較為廣泛，在網絡安全信息應用等相關軟件系統(tǒng)的研究過程中，必須對其通用性和實用性予以保證，在安全分析階段對網絡安全的整個業(yè)務過程要作全面而系統(tǒng)的有效分析，從業(yè)務的角度對相關業(yè)務過程的輸入數(shù)據(jù)、輸出數(shù)據(jù)和數(shù)據(jù)處理細節(jié)進行適當?shù)姆治觥Ｒ驑I(yè)務處理的繁瑣性，就必須結合有關的情況，及業(yè)務處理過程的具體算法、參數(shù)等因素，對其業(yè)務流程進行相應規(guī)范。對于網絡安全力求發(fā)現(xiàn)問題并將其作相應整理。

6. 結語：

計算機網絡的產生和發(fā)展不僅影響人們的日常生活工作，并將對整個人類社會的科技發(fā)展和文明進步產生重大的推動作用。網絡所具有的開放性、 共享性和廣泛分布應用的特點對網絡安全來講是主要的安全隱患。在網絡安全中的入侵檢測技術對網絡的安全起到保障作用，難防范來自網絡內部的攻擊和病毒的威脅，網絡入侵檢測的利用和有需要多方軟件與系統(tǒng)支持，信息的存儲和轉發(fā)均由它們進行檢測處理，保證了網絡的安全通信。 

[1] 羅琳，《網絡工程技術》，科學出版社，2011.7

[2] 簡明，《計算機網絡信息安全及其防護策略的研究》，科技資訊，2009.28

第7篇：常用網絡安全標準范文

[關鍵詞]下一代防火墻；安全特征；發(fā)展趨勢

中圖分類號：TM215 文獻標識碼：A 文章編號：1009-914X（2017）12-0311-01

前言：在信息化潮流的引導下，互聯(lián)網的飛速發(fā)展給人們的生活帶來便捷，人們對互聯(lián)網的依賴程度加大。但是，近年來計算機網絡面臨的威脅越來越多的人為攻擊事件，數(shù)量劇烈上升趨勢。人們的利益受到威脅，對互聯(lián)網的放火墻安全性能產生不信任。所以，下一代防火墻的安全性值得我們探究和思考，爭取解決下一代互聯(lián)網的安全威脅。

1.研究防火墻安全特征

1.1 互聯(lián)網面對的安全威脅

自莫里斯蠕蟲病毒出現(xiàn)以來，病毒的數(shù)量呈爆炸式增長，安全漏洞數(shù)量增長較快，系統(tǒng)或軟件的嚴重級別漏洞增多。同時，黑客等網絡不法分子通過網絡技術，攻破用戶防火墻，帶來安全威脅。對于銀行系統(tǒng)、商業(yè)系統(tǒng)、政府和軍事領域而言，這些比較敏感的系統(tǒng)和部門對公共通信網絡中存儲與傳輸?shù)臄?shù)據(jù)安全問題尤為關注。目前，最常見的安全問題是網絡協(xié)議和軟件的安全缺陷、計算機病毒、身份信息竊取、網絡釣魚詐騙及分布式拒絕服務。其中計算機病毒并不獨立存在，而是寄生在其他程序之中，所以，它具有隱蔽性、潛伏性、傳染性和極大的破壞性。身份信息的竊取也是值得我們注意的。隨著互聯(lián)網金融的發(fā)展，人們的身份信息與銀行資產很容易被黑客侵入，個人和企業(yè)的信息輕而易舉被竊取，造成巨大損失。以上種種安全問題都需要下一代防火墻提高安全特性。

1.2 目前防火墻的安全技術標準

在2005、2006年，防火墻標準進行了重新編制，只針對包過濾和應用級防火墻技術，其中服務器要求和并列到應用級防火墻技術中進行描述。先后形成了《GB/T20010―2005信息安全技術包過濾防火墻評估準則》。GB/T20281―2006標準則吸收了原來國家標準的所有重要內容。該標準將防火墻通用技術要求分為功能、性能、安全和保證四大。其中，功能要求是對防火墻產品應具備的安全功能提出具體的要求，包括包過濾、應用、內容過濾、安全審計和安全管理等；安全要求是對防火墻自身安全和防護能力提出具體的要求；保證要求則針對防火墻開發(fā)者和防火墻自身提出具體的要求。性能要求是對防火墻產品應達到的性能指標做出規(guī)定。同時，將防火墻產品進行安全等級劃分。安全等級分為三個級別，逐級提高，功能強弱、安全強度和保證要求的高低是等級劃分的具體依據(jù)，功能、安全為該標準的安全功能要求內容。這是我國信息安全標準中第一次將性能值進行量化的標準。

1.3 采用防火墻系統(tǒng)的必要性

隨著越來越多重要的信息應用以互聯(lián)網作為運行基礎，信息安全問題已經成為威脅民生、社會、甚至國家安全的重要問題。從計算機網絡安全技術的角度來看，防火墻是指強加于兩個網絡之間邊界處，以保護內部網絡免遭外部網絡威脅的系統(tǒng)或者系統(tǒng)組合。防火墻技術作為保護計算機網絡安全的最常用技術之一，當前全球約有三分之一的計算機是處于防火墻的保護之下。防火墻在不危機內部網絡數(shù)據(jù)和其他資源的前提下，允許本地用戶使用外部網絡資源，并將外部未授權的用戶屏蔽在內部網絡之外，從而解決了因連接外部網絡所帶來的安全問題。

2.分析下一代防火墻的發(fā)展趨勢

2.1 防火墻發(fā)展的新技術趨勢

就目前國內形勢而言，下一代防火墻發(fā)展的新技術趨勢有四方面。隨著運行商、金融、大型企業(yè)的數(shù)據(jù)中心等用戶對安全的關注，對防火墻高吞吐量、高性能連接處理能力的要求越來越迫切。傳統(tǒng)的硬件構架已經無法滿足用戶的需求，因此多核處理，ASIC加速芯片處理等技術紛紛登場，高性能成為新的技術趨勢。雖然IPv6在目前推廣和普及的力度較大，但新的安全問題也逐漸產生。在純IPv6網絡中，IPv6端與端的IPSec以及最終拜托NAT的發(fā)展構架對防火墻產品的沖擊影響較大，但在IPv4/6共存階段，針對不同過渡協(xié)議混雜的背景，防火墻產品還是有著技術發(fā)展和實現(xiàn)的需求，所以使防火墻適用于IPv4/6也是重要技術趨勢之一?；诜阑饓τ脩舻呐渲貌呗?，應用深層控制技術開始越來越多的被提及。同時，隨著云時代的到來，各類云服務逐漸進入普通大眾的生活。防火墻的安全性能也伴隨著云技術的發(fā)展開發(fā)出云服務虛擬化技術。

2.2 下一代互聯(lián)網高性能防火墻標準

據(jù)國家標準化管理委員會2013年下達的國家標準制修訂計劃，對原有《GB/T20281-2006信息安全技術防火墻技術要求和測試評價方法》進行修訂，由于下一代互聯(lián)網的特性是防火墻功能屬性，所以維持原有標準名稱。該標準與GB/T20281-2006的主要差異是增加了高性能防火墻的描述，增加了防火墻的功能分類，加強了防火墻的應用層控制能力，增加了下一代互聯(lián)網協(xié)議支持能力的要求，級別統(tǒng)一劃分為基本級和增強級。該標準安全功能主要對產品實現(xiàn)的功能進行了要求。主要包括網絡層控制、應用層控制和安全運維管理三部分，其中網絡層控制主要包括包過濾、NAT、狀態(tài)檢測、策略路由等方面。這些安全功能新標準要求將大大提高下一代防火墻的安全特性。在環(huán)境適應性要求方面，該標準對下一代防火墻產品的部署模式及下一代互聯(lián)網環(huán)境的適應性支持進行了要求。同時，該標準的性能要求對下一代防火墻的吞吐量、延遲、最大并發(fā)連接數(shù)、最大連接速率和最大事務等性能指標進行了要求。

2.3 網絡安全的實現(xiàn)

網絡安全的實現(xiàn)是多方面的。訪問控制是網絡安全防御和保護的主要策略。進行訪問控制的目的是保護網絡資源不被非法使用和非法訪問?？刂朴脩艨梢栽L問網絡資源的范圍，為網絡訪問提供限制，只允許訪問權限的用戶訪問網絡資源。且隨著當前通信技術的快速發(fā)展，用戶對信息的安全處理、安全存儲、安全傳輸?shù)男枰苍絹碓狡惹?，并受到了廣泛關注。信息在網絡傳輸?shù)陌踩{是由于TPC/IP協(xié)議所固有的，因此數(shù)據(jù)加密技術成為實現(xiàn)計算機網絡安全技術的必然選擇。病毒防護主要包括計算機病毒的預防、檢測與清除。最理想的防止病毒攻擊的方法就是預防，在第一時間內阻止病毒進入系統(tǒng)。攻擊防御對網絡及網絡設備的傳輸行為進行實時監(jiān)視，在惡意行為被發(fā)動時及時進行阻止，攻擊防御可以針對特征分析及分析做出判斷。同時，網絡安全建設“三分技術，七分管理”。因此，除了運用各種安全技術之外，還要建立一系列安全管理制度。使下一代防火墻真正的起到安全作用。

結語

總而言之，事物的發(fā)展過程是曲折的，前途是光明的。隨著人類在經濟、工業(yè)、軍事領域方面越來越多地依賴信息化管理和處理，由于信息網絡在設計上對安全問題的忽視，以及爆發(fā)性應用背后存在的使用和管理上的脫節(jié)，使互聯(lián)網中信息的安全性逐漸受到嚴重威脅，實用和安全矛盾逐漸顯現(xiàn)。而下一代防火墻的安全特性隨著互聯(lián)網的發(fā)展是不斷改進，進行高性能技術的研究，已有所成果。所以，關于下一代防火墻的安全特性我們要抱有積極的態(tài)度。

參考文獻

第8篇：常用網絡安全標準范文

關鍵詞：計算機網絡，防護技術，研究

 

隨著高新技術的不斷發(fā)展，計算機網絡已經成為我們生活中所不可缺少的概念，然而隨之而來的問題----網絡安全也毫無保留地呈現(xiàn)在我們的面前，不論是在軍事中還是在日常的生活中，網絡的安全問題都是我們所不得不考慮的，只有有了對網絡攻防技術的深入了解，采用有效的網絡防護技術，才能保證網絡的安全、暢通，保護網絡信息在存儲和傳輸?shù)倪^程中的保密性、完整性、可用性、真實性和可控性，才能使我們面對網絡而不致盲從，真正發(fā)揮出網絡的作用。

一、計算機網絡防護技術構成

（一）被動防護技術

其主要采用一系列技術措施（如信息加密、身份認證、訪問控制、防火墻等）對系統(tǒng)自身進行加固和防護，不讓非法用戶進入網絡內部，從而達到保護網絡信息安全的目的。這些措施一般是在網絡建設和使用的過程中進行規(guī)劃設置，并逐步完善。因其只能保護網絡的入口，無法動態(tài)實時地檢測發(fā)生在網絡內部的破壞和攻擊的行為，所以存在很大的局限性。

( 1 )信息保密技術

密碼技術是網絡安全最有效的技術之一, 信息加密過程是由形形的加密算法來具體實施，它以很小的代價提供很大的安全保護。它通過信息的變換或編碼，將敏感信息變成難以讀懂的亂碼型信息，以此來保護敏感信息的安全。在多數(shù)情況下，信息加密是保證信息機密性的惟一方法。信息加密的主要目的是保護網內的數(shù)據(jù)、文件、口令和控制信息，保護網上傳輸?shù)臄?shù)據(jù)。

網絡加密常用的方法有：鏈路加密、端點加密和節(jié)點加密3種。密碼體制主要有分組密碼體制和序列密碼體制。論文參考網。

( 2 ) 信息認證技術

認證技術是網絡安全的一個重要方面，屬于網絡安全的第一道防線。其認證機制是接收者接收信息的同時還要驗證信息是否來自合法的發(fā)送者，以及該信息是否被篡改過，計算機系統(tǒng)是基于收到的識別信息識別用戶。認證涉及多個步驟：收集認證信息、安全地傳輸認證信息、確定使用計算機的人（就是發(fā)送認證信息的人）。其主要目的是用來防止非授權用戶或進程侵入計算機系統(tǒng)，保護系統(tǒng)和數(shù)據(jù)的安全

其主要技術手段有：用戶名/密碼方式；智能卡認證方式；動態(tài)口令；USB Key認證；生物識別技術。

( 3 ) 訪問控制技術

訪問控制是保證網絡安全最重要的核心策略之一，是一種基于主機的防護技術。訪問控制技術通過控制與檢查進出關鍵服務器中的訪問，保護服務器中的關鍵數(shù)據(jù)，其利用用戶身份認證功能，資源訪問權限控制功能和審計功能來識別與確認訪問系統(tǒng)的用戶，決定用戶對系統(tǒng)資源的訪問權限，并記錄系統(tǒng)資源被訪問的時間和訪問者信息。其主要目的是保證網絡資源不被非法使用和訪問。

其主要方式有：自主訪問控制、強行訪問控制和信息流控制。

( 4 ) 防火墻技術

防火墻是一種網絡之間的訪問控制機制，它的主要目的是保護內部網絡免受來自外部網絡非授權訪問，保護內部網絡的安全。

其主要機制是在受保護的內部網和不被信任的外部網絡之間設立一個安全屏障，通過監(jiān)測、限制、更改、抑制通過防火墻的數(shù)據(jù)流，盡可能地對外部網絡屏蔽內部網絡的信息和結構，防止外部網絡的未授權訪問，實現(xiàn)內部網與外部網的可控性隔離，保護內部網絡的安全。

防火墻的分類主要有：數(shù)據(jù)包過濾型防火墻、應用層網關型防火墻和狀態(tài)檢測型防火墻。

（二）主動防護技術

主動防護技術主要采取技術的手段如入侵取證、網絡陷阱、入侵檢測、自動恢復等，能及時地發(fā)現(xiàn)網絡攻擊行為并及時地采取應對措施，如跟蹤和反攻擊、設置網絡陷阱、切斷網絡連接或恢復系統(tǒng)正常工作。實現(xiàn)實時動態(tài)地監(jiān)視網絡狀態(tài)，并采取保護措施，以提供對內、外部攻擊和誤操作的實時保護。

( 1 )入侵取證技術

入侵取證技術是指利用計算機軟硬件技術，按照符合法律規(guī)范的方式，對計算機網絡入侵、破壞、欺詐、攻擊等犯罪行為進行識別、保存、分析和提交數(shù)字證據(jù)的過程。

入侵取證的主要目的是對網絡或系統(tǒng)中發(fā)生的攻擊過程及攻擊行為進行記錄和分析，并確保記錄信息的真實性與完整性（以滿足電子證據(jù)的要求），據(jù)此找出入侵者或入侵的機器，并解釋入侵的過程，從而確定責任人，并在必要時，采取法律手段維護自己的利益。

入侵取證技術主要包括：網絡入侵取證技術（網絡入侵證據(jù)的識別、獲取、保存、安全傳輸及分析和提交技術等）、現(xiàn)場取證技術（內存快照、現(xiàn)場保存、數(shù)據(jù)快速拷貝與分析技術等）、磁盤恢復取證技術、數(shù)據(jù)還原取證技術（對網上傳輸?shù)男畔热荩绕涫悄切┘用軘?shù)據(jù)的獲取與還原技術）、電子郵件調查取證技術及源代碼取證技術等。

( 2 ) 網絡陷阱技術

網絡陷阱技術是一種欺騙技術，網絡安全防御者根據(jù)網絡系統(tǒng)中存在的安全弱點，采取適當技術，偽造虛假或設置不重要的信息資源，使入侵者相信網絡系統(tǒng)中上述信息資源具有較高價值，并具有可攻擊、竊取的安全防范漏洞，然后將入侵者引向這些資源。同時，還可獲得攻擊者手法和動機等相關信息。這些信息日后可用來強化現(xiàn)有的安全措施，例如防火墻規(guī)則和IDS配置等。

其主要目的是造成敵方的信息誤導、紊亂和恐慌，從而使指揮決策能力喪失和軍事效能降低。論文參考網。靈活的使用網絡陷阱技術可以拖延攻擊者，同時能給防御者提供足夠的信息來了解敵人，將攻擊造成的損失降至最低。

網絡陷阱技術主要包括：偽裝技術（系統(tǒng)偽裝、服務偽裝等）、誘騙技術、引入技術、信息控制技術（防止攻擊者通過陷阱實現(xiàn)跳轉攻擊）、數(shù)據(jù)捕獲技術（用于獲取并記錄相關攻擊信息）及數(shù)據(jù)統(tǒng)計和分析技術等。

( 3 ) 入侵檢測技術

入侵檢測的基本原理是從各種各樣的系統(tǒng)和網絡資源中采集信息（系統(tǒng)運行狀態(tài)、網絡流經的信息等），對這些信息進行分析和判斷，及時發(fā)現(xiàn)入侵和異常的信號，為做出響應贏得寶貴時間，必要時還可直接對攻擊行為做出響應，將攻擊行為帶來的破壞和影響降至最低。它是一種主動的入侵發(fā)現(xiàn)機制，能夠彌補防火墻和其他安全產品的不足，為網絡安全提供實時的監(jiān)控及對入侵采取相應的防護手段，擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎結構的完整性。入侵檢測系統(tǒng)已經被認為是維護網絡安全的第二道閘門。

其主要目的是動態(tài)地檢測網絡系統(tǒng)中發(fā)生的攻擊行為或異常行為，及時發(fā)現(xiàn)攻擊或異常行為并進行阻斷、記錄、報警等響應，彌補被動防御的不足之處。

入侵檢測技術主要包括：數(shù)據(jù)收集技術、攻擊檢測技術、響應技術。

( 4 ) 自動恢復技術

任何一個網絡安全防護系統(tǒng)都無法確保萬無一失，所以，在網絡系統(tǒng)被入侵或破壞后，如何盡快恢復就顯得非常關鍵了。這其中的一個關鍵技術就是自動恢復技術，他針對服務器上的關鍵文件和信息進行實時地一致性檢查，一旦發(fā)現(xiàn)文件或信息的內容、屬主、時間等被非法修改就及時報警，并在極短的時間內進行恢復。論文參考網。其性能的關鍵是資源占有量、正確性和實時性。

其主要目的是在計算機系統(tǒng)和數(shù)據(jù)受到攻擊的時候，能夠在極短的時間內恢復系統(tǒng)和數(shù)據(jù)，保障系統(tǒng)的正常運行和數(shù)據(jù)的安全。

自動恢復技術主要包括：備份技術、冗余技術、恢復技術、遠程控制技術、文件掃描與一致性檢查技術等。

二、計算機網絡防護過程模型

針對日益嚴重的網絡安全問題和愈來愈突出的安全需求，人們在研究防黑技術的同時，認識到網絡安全防護不是一個靜態(tài)過程，而是一個包含多個環(huán)節(jié)的動態(tài)過程，并相應地提出了反映網絡安全防護支柱過程的P2DR模型，其過程模型如圖1所示。

圖1　P2DR模型體系結構圖

其過程如下所述：

1．進行系統(tǒng)安全需求和安全風險分析，確定系統(tǒng)的安全目標，設計相應的安全策略。

2．應根據(jù)確定的安全策略，采用相應的網絡安全技術如身份認證技術、訪問控制、網絡技術，選擇符合安全標準和通過安全認證的安全技術和產品，構建系統(tǒng)的安全防線，把好系統(tǒng)的入口。

3．應建立一套網絡案例實時檢測系統(tǒng)，主動、及時地檢測網絡系統(tǒng)的安全漏洞、用戶行為和網絡狀態(tài)；當網絡出現(xiàn)漏洞、發(fā)現(xiàn)用戶行為或網絡狀態(tài)異常時及時報警。

4．當出現(xiàn)報警時應及時分析原因，采取應急響應和處理，如斷開網絡連接，修復漏洞或被破壞的系統(tǒng)。

隨著網絡技術的不斷發(fā)展，我們的生活中越來越離不開網絡，然而網絡安全問題也日趨嚴重，做好網絡防護已經是我們所不得不做的事情，只有采取合理有效的網絡防護手段才能保證我們網絡的安全、保證信息的安全，使我們真正能夠用好網絡，使網絡為我們的生活添光添彩。

第9篇：常用網絡安全標準范文

關鍵詞：安全；防范

中圖分類號：TP391文獻標識碼：A文章編號：1009-3044(2011)23-5590-02

數(shù)據(jù)庫是計算機重要的一個應用領域，隨著計算機技術的飛速發(fā)展，數(shù)據(jù)庫已廣泛地深入到了各個領域，數(shù)據(jù)庫技術在生產、生活、工作、學習等方面給人們帶來了巨大的便利，但隨之而來的數(shù)據(jù)安全問題也越來越凸顯出來。數(shù)據(jù)庫由于其儲存大量重要的信息而成為某些人攻擊的重點，數(shù)據(jù)庫數(shù)據(jù)的丟失以及數(shù)據(jù)庫被非法用戶的侵入使得數(shù)據(jù)庫安全性越來越重要，對計算機數(shù)據(jù)庫安全技術進行探討有助于我們加深對相關數(shù)據(jù)庫知識的了解[1]，如何保障數(shù)據(jù)的私有性或保密性和安全性是一個十分重要的課題，有助于提高數(shù)據(jù)庫安全防范意識，從而有助于實現(xiàn)數(shù)據(jù)庫本身的安全。

1 數(shù)據(jù)庫及其安全

數(shù)據(jù)庫是當前計算機存儲和操作數(shù)據(jù)的通常形式，也是目前數(shù)據(jù)存儲和操作的最高形式，計算機數(shù)據(jù)庫安全技術是伴隨著計算機安全技術與數(shù)據(jù)庫技術的發(fā)展而不斷發(fā)展和提升的。數(shù)據(jù)庫的安全就是保證數(shù)據(jù)庫信息的保密性、完整性、一致性和可用性，數(shù)據(jù)庫的安全是數(shù)據(jù)庫系統(tǒng)的生命，當前，數(shù)據(jù)庫系統(tǒng)經歷了網狀數(shù)據(jù)模型、層次數(shù)據(jù)模型和關系模型三個發(fā)展階段，無論在哪個發(fā)展階段，數(shù)據(jù)庫的安全始終是我們所關注的重點。尤其是資源共享的今天，各種應用系統(tǒng)的數(shù)據(jù)庫中大量數(shù)據(jù)的安全問題及敏感數(shù)據(jù)的防竊取和防篡改問題，越來越引起人們的高度重視[2]。

另外在互聯(lián)網飛速發(fā)展的今天，數(shù)據(jù)庫系統(tǒng)作為數(shù)據(jù)信息的存儲，在網絡服務中發(fā)揮巨大作用，同時我們還要注重數(shù)據(jù)庫系統(tǒng)的網絡安全性。主要指數(shù)據(jù)庫系統(tǒng)自身安全性以及數(shù)據(jù)庫所處的網絡環(huán)境面臨的安全風險。如病毒入侵和黑客攻擊、網絡操作系統(tǒng)、應用系統(tǒng)的安全，表現(xiàn)在開發(fā)商的后門以及系統(tǒng)本身的漏洞上。

2 計算機數(shù)據(jù)庫安全技術

伴隨著數(shù)據(jù)庫的安全問題，數(shù)據(jù)庫安全技術也隨之發(fā)展起來，在數(shù)據(jù)庫開放的環(huán)境下，數(shù)據(jù)的讀取、共享暴露在外，通常我們采取訪問控制和存取管理技術、安全審計、數(shù)據(jù)庫加密等技術來解決這些問題，再者，數(shù)據(jù)庫系統(tǒng)的應用也加強了數(shù)據(jù)庫的安全，數(shù)據(jù)庫系統(tǒng)作為信息的聚集體，是計算機信息系統(tǒng)的核心部件，其安全性至關重要。

2.1 訪問控制和存取管理技術

計算機系統(tǒng)的活動主要是在主體進程、用戶和客體資源、數(shù)據(jù)之間進行的。計算機安全的核心問題是保證主體對客體訪問的合法性，即通過對數(shù)據(jù)、程序讀出、寫入、修改、刪除和執(zhí)行等的管理，確保主體對客體的訪問是授權的，并拒絕非授權的訪問，以保證信息的機密性、完整性和可用性。

系統(tǒng)通過比較客體和主體的安全屬性來決定主體是否可以訪問客體。存取管理技術是一套防止未授權用戶使用和訪問數(shù)據(jù)庫的方法、機制和過程，通過正在運行的程序來控制數(shù)據(jù)的存取和防止非授權用戶對共享數(shù)據(jù)庫的訪問。包括用戶認證技術和存取控制技術。

2.2 安全審計

安全審計即是對安全方案中的功能提供持續(xù)的評估。安全審計應為審計管理員提供一組可進行分析的管理數(shù)據(jù)，以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。審計功能在系統(tǒng)運行時，自動將數(shù)據(jù)庫的所有操作記錄在審計日志中，攻擊檢測系統(tǒng)則是根據(jù)審計數(shù)據(jù)分析檢測內部和外部攻擊者的攻擊企圖，再現(xiàn)導致系統(tǒng)現(xiàn)狀的事件，分析發(fā)現(xiàn)系統(tǒng)安全弱點，追查相關責任者利用安全審計結果，可調整安全政策，堵住出現(xiàn)的漏洞，為此，安全審計應具備記錄關鍵事件、提供可集中處理審計日志的數(shù)據(jù)形式、提供易于使用的軟件工具、實時安全報警等功能。

2.3 數(shù)據(jù)庫加密

數(shù)據(jù)庫加密是防止數(shù)據(jù)庫中數(shù)據(jù)泄露的有效手段，通過加密，可以保證用戶信息的安全，減少因備份介質失竊或丟失而造成的損失。數(shù)據(jù)加密就是把數(shù)據(jù)信息即明文轉換為不可辨識的形式即密文的過程，目的是使不應了解該數(shù)據(jù)信息的人不能夠知道和識別。將密文轉變?yōu)槊魑牡倪^程就是解密。加密和解密過程形成加密系統(tǒng)。明文與密文統(tǒng)稱為報文。任何加密系統(tǒng)通常都包括如下幾個部分：

1) 需要加密的報文，也稱為明文P。

2) 加密以后形成的報文，也稱為密文Y。

3) 加密(解密)算法E(D)。

4) 用于加密和解密的鑰匙，稱為密鑰K。

使用數(shù)據(jù)庫安全保密中間件對數(shù)據(jù)庫進行加密是最簡便直接的方法。主要是通過系統(tǒng)中加密、DBMS內核層(服務器端)加密和DBMS外層(客戶端)加密。

2.4 數(shù)據(jù)安全傳輸常用協(xié)議

在對數(shù)據(jù)庫中儲存的數(shù)據(jù)進行安全保護外，在數(shù)據(jù)的傳輸中我們也要確保數(shù)據(jù)的完整性與安全性，所以就有了以下這兒種安全傳輸協(xié)議。

SSL協(xié)議：SSL協(xié)議(Secure socket layer)現(xiàn)已成為網絡用來鑒別網站和網頁瀏覽者身份，以及在瀏覽器使用者及網頁服務器之間進行加密通訊的全球化標準，SSL技術已建立到所有主要的瀏覽器和Web服務器程序中，因此儀需安裝數(shù)字證書或服務器證書就可以激活服務器功能。

IPSec協(xié)議：IPSec(Internet Protocol Security)是由IETF定義的安全標準框架，用以提供公用和專用網絡的端對端加密和驗證服務。它指定了各種可選網絡安全服務，而各組織可以根據(jù)自己的安全策略綜合和匹配這些服務，可以在IPSec框架之上構建安全性解決方法，用以提高發(fā)送數(shù)據(jù)的機密性、完整性和可靠性。

HTTPS協(xié)議：HTTPS(Secure Hypertext Transfer Protoc01)安全超文本傳輸協(xié)議，它是由Netscape開發(fā)并內置于其瀏覽器中，用于對數(shù)據(jù)進行壓縮和解壓操作，并返回網絡下傳送網的結果。

另外，安全管理技術、信息流控制、推理控制、數(shù)據(jù)備份與恢復等技術都是數(shù)據(jù)庫安全常用技術，它們也確實解決了不少數(shù)據(jù)庫安全的問題。無論數(shù)據(jù)庫應用哪種安全技術，多多少少都會有些漏洞，數(shù)據(jù)庫系統(tǒng)的應用可加強數(shù)據(jù)庫的安全，數(shù)據(jù)庫系統(tǒng)作為信息的聚集體，其安全性毋庸置疑，所以數(shù)據(jù)庫系統(tǒng)的安全防范便顯得尤為重要。

3 數(shù)據(jù)庫系統(tǒng)安全防范策略

3.1 物理安全防護策略

物理安全保證重要數(shù)據(jù)免受破壞或受到災難性破壞時及時得到恢復，防止系統(tǒng)信息在空間的擴散。在物理安全方面應主要采取如F措施網絡安全設計方案符合有關網絡安全方面的規(guī)定。安全設計應根據(jù)不同網絡、系統(tǒng)和信息要求分別采用不同的安全防護措施。建立良好的電磁兼容環(huán)境，安裝防電磁輻射產品，對重要設備和系統(tǒng)設置備份系統(tǒng)數(shù)據(jù)庫系統(tǒng)運行的服務器、網絡設備、安全設備的安全防范，主要包括防水、防火、防靜電等。

3.2 網絡安全防護策略

總的來講，數(shù)據(jù)庫的安全首先依賴于網絡系統(tǒng)?？梢哉f網絡系統(tǒng)是數(shù)據(jù)庫應用的外部環(huán)境和基礎，數(shù)據(jù)庫系統(tǒng)要發(fā)揮其強大作用離不開網絡系統(tǒng)的支持，數(shù)據(jù)庫系統(tǒng)的用戶如異地用戶、分布式用戶也要通過網絡才能訪問數(shù)據(jù)庫的數(shù)據(jù)。網絡系統(tǒng)的安全是數(shù)據(jù)庫安全的第一道屏障，入侵首先就是從入侵網絡系統(tǒng)開始的，所以此時數(shù)據(jù)庫系統(tǒng)的安全防范變成了網絡系統(tǒng)的安全防范。我們就從網絡系統(tǒng)的安全防范說起。

1）防火墻技術

防火墻是應用最廣的一種防范技術，作為數(shù)據(jù)庫系統(tǒng)的第一道防線，其主要作用是監(jiān)控可信任網絡和不可信任網絡之間的訪問通道，可在內部與外部網絡之間形成一道防護屏障，攔截來自外部的非法訪問并阻止內部信息的外泄，但它無法阻攔來自網絡內部的非法操作。它根據(jù)事先設定的規(guī)則來確定是否攔截信息流的進出，但無法動態(tài)識別或自適應地調整規(guī)則，因而其智能化程度很有限。

防火墻技術主要有三種數(shù)據(jù)包過濾器、和狀態(tài)分析?，F(xiàn)代防火墻產品通?；旌鲜褂眠@幾種技術。事實上，在線的網站中，超過三分之一的網站都是由某種形式的防火墻加以保護，這是對黑客防范最嚴，安全性較強的一種方式，任何關鍵性的服務器，都建議放在防火墻之后。防火墻同時也是目前用得最廣泛的一種安全技術。

2）網絡防病毒技術

對于復雜的系統(tǒng)，其錯誤和漏洞是難以避免的，病毒就是利用系統(tǒng)中的漏洞，進行網絡攻擊或信息竊取，構成對網絡安全的巨大威脅。因此，我們必須嚴防計算機病毒對網絡的侵襲。管理上加強對工作站和服務器操作的要求，防止病毒從工作站侵人技術上可以采取無盤T作站、帶防病毒芯片的網卡、網絡防病毒軟件，設立網絡防毒系統(tǒng)和配備專用病毒免疫程序來進行預防。采用多重技術互為補充。

3）入侵檢測

入侵檢測(IDS)作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵。入侵檢測系統(tǒng)是近年發(fā)展起來的一種防范技術，綜合采用了統(tǒng)計技術、規(guī)則方法、網絡通信技術、人工智能、密碼學、推理等技術和方法，其作用是監(jiān)控網絡和計算機系統(tǒng)是否出現(xiàn)被入侵或濫用。1987年Derothy Denning首次提出了入侵檢測的思想，經過不斷發(fā)展和完善，作為監(jiān)控和識別攻擊的標準解決方案，IDS系統(tǒng)已經成為安全防御系統(tǒng)的重要組成部分。IDS包括基于網絡和基于主機的入侵監(jiān)測系統(tǒng)、基于特征的和基于非正常的入侵監(jiān)測系統(tǒng)、實時和非實時的入侵監(jiān)測系統(tǒng)等。在網絡中同時采用基于網絡和基于主機的入侵檢測系統(tǒng)，則會構架成一套完整立體的主動防御體系。

3.3 管理安全防護策略

網絡的使用與維護，數(shù)據(jù)庫系統(tǒng)的安全運行，歸根結底都離不開人，所以要時刻加強對操作人員的管理與培訓。

4 結束語

隨著數(shù)據(jù)庫系統(tǒng)的發(fā)展，對數(shù)據(jù)庫系統(tǒng)的攻擊方式也在不斷改變，數(shù)據(jù)庫系統(tǒng)的安全和維護工作，也應該根據(jù)自身需求，跟隨技術和管理的發(fā)展而合理升級、更新。計算機數(shù)據(jù)庫安全是當前數(shù)據(jù)庫技術研究的重點，加強數(shù)據(jù)庫安全相關技術研究有助于保障計算機數(shù)據(jù)庫的安全性，有助于保證數(shù)據(jù)庫系統(tǒng)中信息的有效性。因此，針對數(shù)據(jù)庫系統(tǒng)運行中不安全因素，應該時刻關注安全技術的發(fā)展，對安全防范系統(tǒng)進行必要升級，保障數(shù)據(jù)庫系統(tǒng)運行安全。

參考文獻：