常用網絡安全標準精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的常用網絡安全標準主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：常用網絡安全標準范文

關鍵詞：無線網絡 安全 必要性 安全發展

中圖分類號：TN925 文獻標識碼：A 文章編號：1003-9082（2015）06-0017-01

一、無線網絡安全的必要性

無線局域網絡在給人們生活帶來便利的同時，也存在一定安全隱患。無線局域網路是通過無線電波進行空中數據傳輸的，不可以使用有線網絡通過保護線路來保護信息安全的方式，因此在無線網絡覆蓋的區域內任何用戶都可以接觸到數據，不可能只是把數據信息發送給一個接受者，此時防護墻也不會起到很大作用，所有人在標準范圍內都可以進行數據截獲。因此，無線局域網絡開拓了用戶的自由，具有安裝時間短，更改結構方便、靈活以及可以提供范圍內全功能漫游服務等特點，也給無線網絡的發展帶來挑戰，其中包括安全性的挑戰。無線局域網絡必須要考慮的安全因素主要有：控制訪問、身份驗證以及保密信息。如果這三大因素都安全的話，那么不僅可以保護移動設備和網絡不受傷害，也可以保證傳輸的信息不受危害。保證安全性的重點就是怎樣找到一種可以滿足三要素的簡單安全方案。依據國外的研究結果表明，現階段應用比較廣泛的IEEE802.11無線網絡出現越來越多的切聽事件和攻擊事件。因此，需要對無線網絡進行研究，發現其中的問題與缺陷，找到解決方法，提高無線網絡的安全性。

二、無線網絡安全技術

1.擴頻跳頻技術

擴展跳頻實際上是利用一個相對比較脆弱的功率把信號發送出去。其方式有很多種，最常用的就是跳頻序列和直接序列。采用不同的頻道數、跳頻圖案等可以讓離得比較近的局域網一起存在，也不會出現竊聽數據和干擾問題，擴頻和跳頻也發展成無線局域網絡可以抗干擾的主要方式。

2.擴展服務集標識號（ESSID）

每個設備中都有一個內置的擴展服務集標識號，因此對于每一個很可能會接入存儲點的設備來說，應該首先確認接入點是否符合此網絡，并且對適配器的32位擴展服務集標識號進行判斷，看其是否符合實際需求，一旦不符合，就會被服務器拒絕。如果需要移動用戶和以及多個接入點，那么此時的擴展服務集標識號設置應該一致，跳頻應該保持不一樣，這些的控制都需要密鑰。所以想要竊聽跳頻序列和擴展服務集標識號是很困難的。

3.連線對等加密（WEP）

連線對等加密主要是采取對等加密的方式進行計算，如RC4，在解碼以及加密端都是采用共同密鑰。共同密鑰會進入到每個客戶存取點中，并且其中所有的數據解碼與傳送都不在存儲端與客戶端，使用共同密鑰進行解碼與加密。連線對等加密也可以給客戶提供認證功能，作為加密功能使用，應該不斷嘗試把客戶端連接在存儲點上，存儲點會給客戶發送一個測試挑戰值封包，然后需要客戶利用共同密鑰進行加密后把數據送回，最后才可以對數據資源進行存取。

三、無線網絡安全發展概況

自從無線網絡IEEE802.11問世之后，快速成為事實標準，但是還是有著一些遺憾，自從問世以來，安全協議連線對等加密就一直受到各種質疑，美國大學的Wagner以及Borisov Goldberg是最早發現安全協議連線對等加密中存在一定失誤，此后大量的安全信息研究人員也發表了聲明討論安全協議連線對等加密中的缺陷，并且和相關技術人員進行配合，在試驗中得到安全協議連線對等加密的傳輸數據。目前，可以獲取傳輸數據的設備已經可以在市場上買到，可以破解安全協議連線對等加密的黑客軟件在互聯網上也能夠進行下載。安全協議連線對等加密不安全已經逐漸成為大家都知道的事件，因此人們逐漸開始期待連線對等加密能夠有質的變化，很多新的無線網絡技術就開始發展起來。

自從2001年開始我國就不斷地制定各種無線網絡安全標準，經過不斷的研究與發展，制定了保密基礎設施WAPI和無線認證，并且發展成為國家標準，在2003年十二月開始實行。在有可信第三方的條件下，WAPI采用公共密鑰技術，對移動終端和接入點是否符合證書標準進行驗證，從而保障完成雙向認證、生成會話密鑰以及接入控制等，以便于可以達到安全傳輸的目的。WAPI主要由接入點、認證服務以及移動終端共同組成，基本與802.11的草案制定結構類似，一般的密碼算法都是不會公開的。雖然WAPI是進行公開的，但是其安全性的論述還沒有正式進行討論。提高安全草案也是歷經許久才制定下來，在此期間基本每月都要展開幾次會議進行探討，從會議記錄可以看出很多問題。在最開始的時候技術組想要使用AES-OCB技術作為無線網絡的安全技術，但是不久以后就換成CCMP，AES-OSB作為缺省，此后又把CCMP作為缺省，此后還把AES-OCB完全取消，只是使用CCMP算法，在這樣的發展中，我們可以看出無線網絡各方面的安全標準，有利于我們研究無線網絡安全技術。

結束語

現階段，無線網絡的安全越來越受到重視，無線網絡已經逐漸成為人們生活中不可缺少的部分，也更加需要可行的安全措施來保障信息安全性。近年來，已經逐漸提出很多適應環境的安全技術，從而保障了網絡的安全性，促進了無線網絡進一步發展。

參考文獻

[1]李浩.無線網絡技術難點分析及安全方法探討[J].技術與市場，2014（7）：200-200.

[2]張超凡，黃宏偉，湯志軍等.無線局域網絡技術在田間秸稈粉碎功耗測試中的應用[J].農業機械學報，2011，39（4）：125-127.

[3]周小玻楊柱石，陳偉根等.采用ZigBee PRO無線網絡技術的導線舞動多點監測系統設計[J].高電壓技術，2011，37（8）：1967-1974.

第2篇：常用網絡安全標準范文

大學具有不同的信息安全課程開設特點。但在信息安全課程的設置上需要考慮如下幾個方面。(1)課程設置要與國際同行接軌；(2)課程設置要分成信息安全和網絡安全兩個模塊；(3)課程設置必須包括實驗和實踐；(4)課程設置不是一成不變，需要與時俱進；(5)課程設置要結合自身學校特點，并建立課程的跟蹤反饋機制。對于信息安全的本科專業，可以將專業課程分成三個模塊，即信息安全課程、網絡安全課程，及綜合實驗。信息安全課程包括信息安全體系結構、信息安全標準、信息安全數學基礎、密碼學原理，和信息隱藏技術。網絡安全課程包括計算機網絡基礎、網絡安全防護、、網絡設計、無線網絡安全、路由與交換技術安全協議、計算機病毒防護、防火墻技術、應用服務器安全等課程。

二、信息安全實訓

信息安全專業的實訓課程，可分為兩種類型：一種是部分課程的實驗，以及信息安全綜合實驗和網絡安全綜合實驗。這種類型實驗的目的是讓學生通過實驗理解知識的本質和原理。第二種是單獨開設的實訓課程，目的是培養學生綜合運用所學多種信息安全技能，提高學生的實際能力、創新能力。為畢業設計、實習、就業打基礎。

1、信息安全實訓平臺

信息安全實訓課程是建立在課堂教學的基礎上，通過課堂的學習使得學生可以掌握信息安全專業的相關基礎。并在此基礎上，通過實訓課程完成課堂教學的升華。信息安全實訓需要搭建平臺，包括基礎實驗平臺、綜合實訓平臺，和開放性研究平臺。基礎實驗平臺的功能是對學生基本動手能力的訓練，幫助學生理解與掌握課堂所學的基本原理和方法。基礎實驗平臺應該包括信息安全體系中常用的密碼機、防火墻、隔離網閘、網絡監視與掃描系統、智能卡讀寫器、指紋儀等設備。通過觀察這些設備，可以幫助學生更直觀地理解其工作原理。同時，可以借助一些軟件產品，觀察這些設備的實時處理方式和數據。綜合實訓平臺的功能是提高對綜合應用知識的運用能力，使得學生能夠綜合一門或幾門課程的知識點進行設計，從而提高綜合設計的運用能力，培養其解決工程設計中實際問題的能力。

綜合實訓平臺通常包括網絡安全實驗實訓平臺和信息安全綜合實訓平臺。這兩個平臺包括網絡安全和信息安全中最典型的實驗和最常見的工具，通過這兩個平臺的學習和實踐，學生能夠綜合運用所學知識，提高實踐能力。開放性研究平臺的功能是培養學生的創新能力。教師根據自身的科研課題為學生設計若干個小的項目，讓學生參與到課題組，鍛煉學生的團隊合作能力。同時，學生也可以自己申請一些題目，請教師進行協助和指導。通過這些方式可以調動學生的學習熱情，使得學生的創新能力得到很大的提高。除此之外，還可以組織學生參加全國、省級別、校級別的各種信息安全大賽。除了學校搭建的信息安全實訓平臺外，可以和校外信息安全企業展開合作。讓教師和學生參與到真正的安全項目中，了解項目開發的所有流程，積累經驗，為日后畢業就業打下堅實的基礎。

2、信息安全實訓評價系統

信息安全實訓評價系統的設計，應該具有如下幾個功能：

(1)通過信息安全實訓評價系統，學生在實際的操作過程中，可以向教師及時反饋實訓過程中存在的問題、意見和建議，便于老師及時掌握學生的學習情況，而不是簡單的完成工作任務，教師根據學生反饋，及時調整實訓項目內容，提高實訓教學質量。

(2)通過信息安全實訓評價系統，學生在實訓進行過程中，可以查看實訓的狀態及完成情況，在完成實訓時可以查看自己的實訓結果。并根據結果來進行判斷實訓的效果。增加了學生的自主學習能力。

(3)通過信息安全實訓評價系統，教師可以查看所有學生的實訓完成情況，全面了解實訓效果。通過學生的反饋結果，教師可以重新制定實訓內容，或者根據不同學生的狀況來有針對性地進行實訓。

(4)信息安全實訓評價系統應該包括教師評價模塊、學生自評模塊，以及學生間的互評模塊。

三、結論

第3篇：常用網絡安全標準范文

關鍵詞：無線局域網；WIFI；全球定位系統；無縫定位；網絡安全

1 引言

針對無線局域網網絡安全的特點，文中提出了將基于WIFI的無縫定位技術用于網絡安全的解決方案，為企業級用戶解決無線局域網網絡安全問題提供一條新的技術路線。

2 無線局域網及其安全問題解決方案

2.1 WIFI網絡

隨著“無線城市”概念的提出，許多國家和地區都提出了WIFI網絡覆蓋計劃，并付諸實施。WIFI網絡覆蓋范圍的擴展也促進了集成WIFI接收模塊的終端的發展，逐漸成為各種終端如計算機、手機、相機甚至汽車的標配。當前移動通信已進入“3G”時代，移動用戶對于數據上傳下載的需求急劇增長，只依靠3G網絡無法承擔日益增長的網絡載荷，而WIFI網絡具有低成本、無線、高速的特點，可以彌補3G網絡的不足，因此WIFI網絡在未來將有更加廣闊的應用前景。

2.2 MESH網絡

無線MESH是一種非常適合于覆蓋大面積開放區域（包括室外和室內）的無線區域網絡解決方案.無線MESH網的特點是：由包括一組呈網狀分布的無線AP構成，AP均采用點對點方式通過無線中繼鏈路互聯，將傳統WLAN中的無線“熱點”擴展為真正大面積覆蓋的無線“熱區”。終端目前的普及應用為無線MESH的迅速推廣帶來好處。因此，WIFI和無線MESH網絡可以相互補充、相互融合。

2.3 無線局域網安全問題常用解決方案

無線局域網以無線信號作為傳輸媒介，由于無線信道的特殊性及公開性，任何人都能監測到信號，甚至使用各種非法手段竊聽及盜取數據，給網絡安全帶來了巨大的挑戰。由于WIFI網安全領域存在重大隱患，WIFI網被禁止在國內進行大規模推廣，可見無線局域網存在安全問題已成為WLAN產業進一步發展的最大阻力。

針對無線局域網存在的安全問題，IEEE802.11指定了多個安全機制來加強無線局域網的安全性（圖1是利用WPA方式構建的安全系統結構解決方案），相關安全標準已經進行實際應用并推廣。目前無線局域網的安全機制主要有以下幾種。

（1）WEP安全機制。WEP機制是一種對稱密鑰加密算法，采用了RSA數據保密公司的RC4偽隨機數產生器。在WEP機制中，同一無線網絡的所有用戶和AP都是用相同的密鑰用于加密和解密，網絡中的每一個用戶和AP都存放密鑰。802.11標準沒有定義一種密鑰管理協議，所以WEP密鑰都必須通過手工來管理。但是WEP加密機制存在缺點，在數據機密性、完整性及訪問控制方面并沒有達到預期的安全水平，利用現在的腳本工具就能成功的攻入網絡并發現WEP密鑰，因此引入更高安全級別、更完善的安全機制成為必然趨勢。

（2）WPA安全機制。針對WEP的設計缺陷，為增強無線局域網安全性，WIFI聯盟提出了一種新的安全機制：WPA（WIFI聯盟受限接入）作為無線網絡安全的一個過渡機制。WPA使用臨時密鑰集成協議TKIP進行數據加密，而認證有兩種模式：一種是適用企業級用戶的802.1X協議，一種是適用于家庭的預先共享密鑰PSK。WAP有效地解決了WEP中加密算法密鑰過短、靜態密鑰和密鑰缺乏管理等問題，但是依然存在缺陷：它采用的加密算法還是RC4加密算法，很容易遭到黑客的暴力破解；802.1x也存在不足，對于合法的EAPOL_Start報文AP都會進行處理，攻擊者只要發送大量EAPOL_Start報文就可以消耗AP的資源，使AP無法響應新的EAPOL請求，達到癱瘓網絡的目的。WPA存在的這些缺陷決定了難以成為一個理想的安全機制。

（3）802.11i安全機制。802.11i是一種新型的無線局域網安全機制，它提出了一個全新的安全體系，采用了公認最為成熟的AES加密算法，定義了而過渡安全網絡TSN，以802.1x作為認證和密鑰管理方式、以TKIP和CCMP作為數據加密機制，改進了原有安全機制存在的不足，具有很強的技術優勢和應用前景。

除以上三種常用的安全機制，還有其它的安全機制，如WAPI（無線局域網鑒別和保密基礎結構）安全機制、基于VPN（虛擬個人局域網）的安全機制等。雖然無線局域網網絡安全組織推出了各種安全體制來提升WLAN的安全性，但是依然無法滿足企業級用戶對安全性的要求，需要探索利用其它技術手段來建立新的安全機制。

3 基于WIFI的無縫定位技術

WIFI不僅可以提供無線接入及數據傳輸功能，還可以用于定位。WIFI網絡在不增加額外的硬件情況下，通過分析接入點相對于無線網絡設備信號強度或者信噪比來推斷目標物體的位置。客戶端使用或連接到一個接入點，此接入點提供最強的RSS信號。客戶端漫游，定期檢查信號強度，確定最佳的接入點。通過信號測量，可以得到客戶端的位置。基于WIFI的室內定位方法主要有兩種：傳播模型法和位置指紋法。位置指紋法需要大量的訓練，其定位精度與訓練點的個數有關系。傳播模型法是利用信號在室內的衰減規律，將接收到的信號強度轉換為距離，再由室內定位算法得出用戶終端的位置。傳播模型法的優點是不需要大量的訓練，但其定位的準確度依賴于傳播模型和定位算法。基于WIFI的定位技術具有覆蓋面廣，信息傳輸速度快，成本低特點，成為室內定位的主要技術。

基于WIFI網的定位技術也存在諸多不足，當WIFI網信號不穩定，基于WIFI的定位技術精度就會比較低，在室外無WIFI信號或者信號微弱的時候不能提供定位服務，難以保證定位服務的時空連續性。因此WIFI常用來輔助GPS進行定位與導航，為終端提供GPS無法實現的室內定位功能。

4 無縫定位技術用于無線局域網網絡安全

基于WIFI網的無縫定位技術提供的連續位置服務功能，在方便用戶進行定位與導航，也為實時監測用戶的位置提供了可能性。只要用戶進入WIFI網信號區域時，并連接到WIFI網絡之后，采用必要的技術手段獲取用戶的位置信息，就可以對用戶的訪問行為進行實時監控。如果配以必要的識別技術如RFID識別，在用戶進入WIFI網時進行身份識別。利用身份識別和位置監測技術，可以形成一套基于位置信息的網絡安全解決方案，為無線網絡安全的監管提供一條新的技術路線。

基于WIFI的無縫定位技術用于無線網絡安全基本思想就是根據用戶的位置信息限制無線局域網訪問權限，通過在無線局域網有效信號范圍構建起“物理圍欄”以及在用戶周圍構建起虛擬的“地理圍欄”，綜合了傳統的網絡安全和物理安全技術，有效的保護了無線網絡的安全。

4.1 物理圍欄

物理圍欄就是基于訪問用戶的授權建立的，主要應用RFID技術，它可以對訪問用戶的身份進行識別，當用戶的身份符合要求時，就可以突破物理圍欄，獲取無線局域網的訪問權限，這就從源頭上降低了用戶非法訪問無線局域網網絡資源的可能性。

4.2 地理圍欄

用戶在突破物理圍欄進入無線局域網后，還需要對用戶的行為進行實時監控，這依賴于在訪問用戶的終端周圍建立起的地理圍欄。

利用WIFI網絡與GPS定位技術的融合，可以獲取用戶的位置信息，并將其訪問行為限定在合法的訪問區域之內，一旦用戶的訪問行為突破限定的訪問區域，可以采取斷網或者警告等手段來對用戶訪問進行控制。

基于位置信息的安全技術和用戶移動設備身份識別技術的綜合運用，把網絡的防護和智能辨認功能提升到更高的層次，地理圍欄可以創建一個伴隨每一個移動設備移動的客戶化的無形圍欄，使網絡管理員能夠確保每一個設備僅能訪問網絡上被授權的區域和資源。

5 結論

基于WIFI的無縫定位技術由于精度還比較低，需要進一步提高定位精度，此時基于WIFI的無縫定位技術用于網絡安全才具有實用性。

基于位置信息的網絡安全技術作為一種新興的跨學科的安全防護技術還處于研究和應用的初級階段，物理圍欄技術只是定位技術與網絡安全技術的簡單結合。隨著研究的深入及無縫定位技術的發展，基于位置信息的網絡安全技術必將更為成熟和完善，其應用領域也不再局限于無線局域網，將在更加廣泛的安全領域中發揮積極的作用。

[參考文獻]

[1]陳.定位技術在網絡安全領域中的應用[J].網絡技術，2010，（6）：15-17.

[2]吳雨航.WIFI網輔助GPS的無縫定位方法研究[D].北京：北京大學，2010：1-4.

第4篇：常用網絡安全標準范文

計算機通信網絡技術是通信技術與計算機技術相結合的產物。計算機通信網絡是按照網絡協議，將地球上分散的、獨立的計算機相互連接的集合。計算機通信網絡具有共享硬件、軟件和數據資源的功能，具有對共享數據資源集中處理及管理和維護的能力，但是計算機的數據也會被盜用、暴露或者篡改。通信網絡所具有的廣泛的地域性和協議開放性決定了網絡通信的易受攻擊性。另外，由于計算機本身的不完善，用戶設備在網上工作時，很可能會受到來自各方面的攻擊。隨著信息技術的飛速發展，計算機通信網絡的安全問題越來越受到廣大網民的關注。

一、計算機通信網絡的安全問題概述

計算機通信網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。計算機通信網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。

1988年11月3日，第一個“蠕蟲”出現在互聯網上。在幾小時之內，數千臺計算機被傳染，計算機通信網絡陷入癱瘓。“morris蠕蟲”的出現改變了許多人對互聯網安全性的看法。一個單純的程序能有效地摧毀了數百臺（或數千臺）機器，那一天標志著計算機通信安全性研究分析的開始。隨后計算機通信網絡的安全問題就頻繁出現。據統計，全球約20秒種就有一次計算機入侵事件發生，互聯網上的網絡防火墻約1/4被突破，約70%以上的網絡信息主管人員報告因機密信息泄露而受到了損失。

二、計算機通信網絡的不安全性的主要表現形式

（一）信息泄露：第三者可能偷聽到甲乙兩方通信內容，第三者利用本來不是發給他的信息。

（二）識別：通信雙方不能肯定對方是否是自己想與之通信的對象以至相互猜疑。

（三）假冒：非法用戶想獲得網絡服務，必須有不可偽造的簽名。

（四）篡改：攻擊者更改網絡中傳輸的報文以達到某些利益。

（五）惡意程序的攻擊：包括計算機病毒、計算機蠕蟲、邏輯炸彈等。

三、針對計算機的安全性問題采取的措施

（一）訪問控制安全

訪問控制是網絡安全防范和保護的主要本文由收集整理方法，它的主要任務是保證網絡資源不被非法的使用和訪問。它是保證網絡安全最重要的核心策略之一。計算機通信網絡的訪問控制安全主要包括用戶口令鑒別、訪問權限控制、網絡安全監視、安全審計、安全問題跟蹤、計算機病毒防治、數據加密等。

（二）數據傳輸安全

傳輸安全要求保護網絡上被傳輸的信息，以防止被動地和主動地侵犯。對數據傳輸安全可以采取如下措施：

1.加密與數字簽名。計算機通信網絡的加密即對osi模型中的數據鏈路層、傳輸層、應用層這三層進行加密處理。這樣做可以有效減少在傳輸線路上被竊取的危險，使數據在網絡傳輸期間保持加密狀態，同時讓網絡應用程序對數據進行加密和解密處理。

數字簽名是數據的接收者用來證實數據的發送者正確無誤的一種方法，它主要通過加密算法和證實協議而實現。

2.防火墻。防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。它可通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況， 以此來實現網絡的安全保護。 通俗地說，防火墻就是一種能攔截有害信息的防御系統。

3.user name/password認證。該種認證方式是最常用的一種認證方式，它用于操作系統登錄、telnet（遠程登錄）、rlogin（遠程登錄）等，但此種認證方式過程不加密，即password容易被監聽和解密。

4.基于pki的認證。使用pki（公開密鑰體系）進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數字簽名等技術，很好地將安全性和高效性結合起來。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻認證等領域。該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。

5.虛擬專用網絡（vpn）技術。vpn技術主要提供在公網上的安全的雙向通訊，采用透明的加密方案以保證數據的完整性和保密性。

第5篇：常用網絡安全標準范文

關鍵詞內部網絡；網絡安全

1引言

目前，在我國的各個行業系統中，無論是涉及科學研究的大型研究所，還是擁有自主知識產權的發展中企業，都有大量的技術和業務機密存儲在計算機和網絡中，如何有效地保護這些機密數據信息，已引起各單位的巨大關注！

防病毒、防黑客、數據備份是目前常用的數據保護手段，我們通常認為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲，因此采取了一系列的防范措施，如建立兩套網絡，一套僅用于內部員工辦公和資源共享，稱之為內部網絡；另一套用于連接互聯網檢索資料，稱之為外部網絡，同時使內外網物理斷開；另外采用防火墻、入侵檢測設備等。但是，各種計算機網絡、存儲數據遭受的攻擊和破壞，80%是內部人員所為！(ComputerWorld，Jan-uary2002)。來自內部的數據失竊和破壞，遠遠高于外部黑客的攻擊！事實上，來自內部的攻擊更易奏效！

2內部網絡更易受到攻擊

為什么內部網絡更容易受到攻擊呢?主要原因如下：

(1)信息網絡技術的應用正日益普及，應用層次正在深入，應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。網絡已經是許多企業不可缺少的重要的組成部分，基于Web的應用在內部網正日益普及，典型的應用如財務系統、PDM系統、ERP系統、SCM系統等，這些大規模系統應用密切依賴于內部網絡的暢通。

(2)在對Internet嚴防死守和物理隔離的措施下，對網絡的破壞，大多數來自網絡內部的安全空隙。另外也因為目前針對內部網絡安全的重視程度不夠，系統的安裝有大量的漏洞沒有去打上補丁。也由于內部擁有更多的應用和不同的系統平臺，自然有更多的系統漏洞。

(3)黑客工具在Internet上很容易獲得，這些工具對Internet及內部網絡往往具有很大的危害性。這是內部人員(包括對計算機技術不熟悉的人)能夠對內部網絡造成巨大損害的原因之一。

(4)內部網絡更脆弱。由于網絡速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。

(5)為了簡單和易用，在內網傳輸的數據往往是不加密的，這為別有用心者提供了竊取機密數據的可能性。

(6)內部網絡的用戶往往直接面對數據庫、直接對服務器進行操作，利用內網速度快的特性，對關鍵數據進行竊取或者破壞。

(7)眾多的使用者所有不同的權限，管理更困難，系統更容易遭到口令和越權操作的攻擊。服務器對使用者的管理也不是很嚴格，對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。

(8)信息不僅僅限于服務器，同時也分布于各個工作計算機中，目前對個人硬盤上的信息缺乏有效的控制和監督管理辦法。

(9)由于人們對口令的不重視，弱口令很容易產生，很多人用諸如生日、姓名等作為口令，在內網中，黑客的口令破解程序更易奏效。

3內部網絡的安全現狀

目前很多企事業單位都加快了企業信息化的進程，在網絡平臺上建立了內部網絡和外部網絡，并按照國家有關規定實行內部網絡和外部網絡的物理隔離；在應用上從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展，典型的應用如財務系統、PDM系統甚至到計算機集成制造(CIMS)或企業資源計劃(ERP)，逐步實現企業信息的高度集成，構成完善的企事業問題解決鏈。

在網絡安全方面系統內大多企業或是根據自己對安全的認識，或是根據國家和系統內部的相關規定，購置部分網絡安全產品，如防火墻、防病毒、入侵檢測等產品來配置在網絡上，然而這些產品主要是針對外部網絡可能遭受到安全威脅而采取的措施，在內部網絡上的使用雖然針對性強，但往往有很大的局限性。由于內部網絡的高性能、多應用、信息分散的特點，各種分立的安全產品通常只能解決安全威脅的部分問題，而沒有形成多層次的、嚴密的、相互協同工作的安全體系。同時在安全性和費用問題上形成一個相互對立的局面，如何在其中尋找到一個平衡點，也是眾多企業中普遍存在的焦點問題。

4保護內部網絡的安全

內部網絡的安全威脅所造成的損失是顯而易見的，如何保護內部網絡，使遭受的損失減少到最低限度是目前網絡安全研究人員不斷探索的目標。筆者根據多年的網絡系統集成經驗，形成自己對網絡安全的理解，闡述如下。

4.1內部網絡的安全體系

筆者認為比較完整的內部網絡的安全體系包括安全產品、安全技術和策略、安全管理以及安全制度等多個方面，整個體系為分層結構，分為水平層面上的安全產品、安全技術和策略、安全管理，其在使用模式上是支配與被支配的關系。在垂直層面上為安全制度，從上至下地規定各個水平層面上的安全行為。

4.2安全產品

安全產品是各種安全策略和安全制度的執行載體。雖然有了安全制度，但在心理上既不能把制度理想化，也不能把人理想化，因此還必須有好的安全工具把安全管理的措施具體化目前市場上的網絡安全產品林林總總，功能也千差萬別，通常一個廠家的產品只在某個方面占據領先的地位，各個廠家的安全產品在遵守安全標準的同時，會利用廠家聯盟內部的協議提供附加的功能。這些附加功能的實現是建立在全面使用同一廠家聯盟的產品基礎之上的。那么在選擇產品的時候會面臨這樣一個問題，即是選擇所需要的每個方面的頂尖產品呢，還是同一廠家聯盟的產品?筆者認為選擇每個方面的頂尖產品在價格上會居高不下，而且在性能上并不能達到l+1等于2甚至大于2的效果。這是因為這些產品不存在內部之間的協同工作，不能形成聯動的、動態的安全保護層，一方面使得這些網絡安全產品本身所具有的強大功效遠沒有得到充分的發揮，另一方面，這些安全產品在技術實現上，有許多重復工作，這也影響了應用的效率。因此網絡安全產品的選擇應該是建立在相關安全產品能夠相互通信并協同工作的基礎上，即實現防火墻、IDS、病毒防護系統、信息審計系統等的互通與聯動，以實現最大程度和最快效果的安全保證。目前在國內外都存在這樣的網絡安全聯盟實現產品之間的互聯互動，達到動態反應的安全效果。

4.3網絡安全技術和策略

內部網絡的安全具體來說包括攻擊檢測、攻擊防范、攻擊后的恢復這三個大方向，那么安全技術和策略的實現也應從這三個方面來考慮。

積極主動的安全策略把入侵檢測概念提升到了更有效、更合理的入侵者檢測(甚至是內部入侵者)層面。內部安全漏洞在于人，而不是技術。因此，應重點由發現問題并填補漏洞迅速轉向查出誰是破壞者、采取彌補措施并消除事件再發的可能性。如果不知道破壞者是誰，就無法解決問題。真正的安全策略的最佳工具應包括實時審查目錄和服務器的功能，具體包括：不斷地自動監視目錄，檢查用戶權限和用戶組帳戶有無變更；警惕地監視服務器，檢查有無可疑的文件活動。無論未授權用戶企圖訪問敏感信息還是員工使用下載的工具蓄意破壞，真正的安全管理工具會通知相應管理員，并自動采取預定行動。

在積極查詢的同時，也應該采用必要的攻擊防范手段。網絡中使用的一些應用層協議，如HTTP、Telnet，其中的用戶名和密碼的傳遞采用的是明文傳遞的方式，極易被竊聽和獲取。因此對于數據的安全保護，理想的辦法是在內部網絡中采用基于密碼技術的數字身份認證和高強度的加密數據傳輸技術，同時采用安全的密鑰分發技術，這樣既防止用戶對業務的否認和抵賴，同時又防止數據遭到竊聽后被破解，保證了數據在網上傳輸的可靠性。攻擊后恢復首先是數據的安全存儲和備份，在發現遭受攻擊后可以利用備份的數據快速的恢復；針對WWW服務器網頁安全問題，實施對Web文件內容的實時監控，一旦發現被非法篡改，可及時報警并自動恢復，同時形成監控和恢復日志，并提供友好的用戶界面以便用戶查看、使用，有效地保證了Web文件的完整性和真實性。

4.4安全管理

安全管理主要是指安全管理人員。有了好的安全工具和策略，還必須有好的安全管理人員來有效的使用工具和實現策略。經過培訓的安全管理員能夠隨時掌握網絡安全的最新動態，實時監控網絡上的用戶行為，保障網絡設備自身和網上信息的安全，并對可能存在的網絡威脅有一定的預見能力和采取相應的應對措施，同時對已經發生的網絡破壞行為在最短的時間內做出響應，使企業的損失減少到最低限度。

企業領導在認識到網絡安全的重要性的同時，應當投入相當的經費用于網絡安全管理人員的培訓，或者聘請安全服務提供商來維護內部網絡的安全。

4.5網絡安全制度

網絡安全的威脅來自人對網絡的使用，因此好的網絡安全管理首先是對人的約束，企業并不缺乏對人的管理辦法，但在網絡安全方面常常忽視對網絡使用者的控制。要從網絡安全的角度來實施對人的管理，企業的領導必須首先認識到網絡安全的重要性，惟有領導重視了，員工才會普遍重視，在此基礎上制定相應的政策法規，使網絡安全的相關問題做到有法可依、有據可查、有功必獎、有過必懲，最大限度地提高員工的安全意識和安全技能，并在一定程度上造成對蓄意破壞分子的心理震懾。

目前許多企業已認識到網絡安全的重要性，已采取了一些措施并購買了相應的設備，但在網絡安全法規上還沒有清醒的認識，或者是沒有較為系統和完善的制度，這樣在企業上下往往會造成對網絡安全的忽視，給不法分子以可乘之機。國際上，以ISO17799/BSI7799為基礎的信息安全管理體系已經確立，并已被廣泛采用，企業可以此為標準開展安全制度的建立工作。具體應當明確企業領導、安全管理員、財物人員、采購人員、銷售人員和其它辦公人員等各自的安全職責。安全組織應當有企業高層掛帥，由專職的安全管理員負責安全設備的管理與維護，監督其它人員設備安全配置的執行情況。單位還應形成定期的安全評審機制。只有通過以上手段加強安全管理，才能保證由安全產品和安全技術組成的安全防護體系能夠被有效地使用。

5結論

要想保證內部網絡的安全，在做好邊界防護的同時，更要做好內部網絡的管理。所以，目前在安全業界，安全重在管理的觀念已被廣泛接受。沒有好的管理思想，嚴格的管理制度，負責的管理人員和實施到位的管理程序，就沒有真正的安全。在有了“法治”的同時，還要有“人治”，即經驗豐富的安全管理人員和先進的網絡安全工具，有了這兩方面的治理，才能得到一個真正安全的網絡。

參考文獻

[1]楊義先、鈕心忻，網絡安全理論與技術[M.人民郵電出版社，2003

第6篇：常用網絡安全標準范文

關鍵詞：計算機；網絡 ；信息安全； 安全防護

1. 概述

現在計算機通信技術和計算機信息化的迅速發展，使得數據信息資源急劇膨脹，計算機網絡的運用是通信變得方便快捷，但是計算機網絡技術的飛速發展，計算機網絡在給人們工作和生活提供方便的同時，也對人們構成了日益嚴重的網絡安全威脅。數據竊取、黑客侵襲、病毒感染、內部泄密等網絡攻擊問題無時不刻不在困擾著用戶的正常使用下面將對計算機網絡信息安全問題進行分析，提出有效的網絡安全防范策略。

2. 計算機網絡面臨的威脅

計算機網絡所面臨的威脅大體可分為對網絡中信息的威脅和對網絡中設備的威脅兩種。影響計算機網絡安全的因素很多，歸結起來，網絡安全的威脅主要有以下幾點：

（1） 網絡的寬泛性。 網絡所具有的開放性、 共享性和廣泛分布應用的特點對網絡安全來講是主要的安全隱患： 一是網絡的開放性， 使得網絡所面臨的攻擊無法預測，或是來自物理傳輸的竊取和來自對網絡通信協議的修改， 以及對網絡控制中軟件、 硬件的漏洞實施破壞。 二是網絡的全球利用性，對網絡的攻擊不僅是來自于本地網絡用戶， 還可以是網絡中任何其他的非法用戶。 三是互聯網的自由性， 網絡對用戶的使用沒有技術上的要求， 用戶可以自由上網， 和獲取各類信息。

（2）防火墻的局限性。 防火墻能對網絡的安全起到保障作用， 但不能完全保證網絡的絕對安全， 很難防范來自網絡內部的攻擊和病毒的威脅，這也是防火墻安全防護的局限性。網絡軟件因素。網絡的利用和有需要多方軟件與系統支持，信息的存儲和轉發均由它們進行調制。由于軟件的復雜性 ，保證網絡軟件系統的安全十分有限，所以，軟件存在漏洞，這些軟件缺陷給黑客提供了方便 ，隱匿的 網絡威脅也隨之產生。由于網絡安全存在的普遍性，網絡安全技術己經得到了廣泛的關注。其中關于網絡安全技術的應用也隨之產生和發展。

（3） 人為原因的惡意攻擊：主動攻擊是以各種方式有選擇地破壞信息的有效性和完整性，這兩種攻擊皆可對計算機網絡造成極大危害并導致機密數據的泄漏。

3. 網絡安全技術

安全技術也需要不斷地發展和改進，各式各樣的網絡安全技術的廣泛應用也在一定程度上改善了計算機網絡的安全問題。

（1）防火墻技術

防火墻是由軟件和硬件設備組合而成的，在內網和外網之間、專用網與公共網之間的信息保證技術。它建立一個安全網關 ，保護內部網絡免受非法用戶的修改。防火墻基本的功能是控制網絡中，不同信任程度區域間傳送的數據流。例如萬維網是不可信任的區域，而局域網網是信任的區域。

（2）虛擬專用網技術

虛擬專用網（VPN）是通過一個公用網絡建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全的通道。虛擬網技術是對企業局域網的擴展。虛擬網可以幫助遠程用戶、公司分支機構內部網建立安全連接 ，并保證信息的安全發送。虛擬網可用于不斷增長的移動用戶的全球因特網接入 ，以實現安全連接。

（3）安全掃描技術

網絡安全掃描技術的目的是讓系統員可以及時了解存在的安全漏洞問題，采取安全防范，降低網絡的安全隱患。利用安全掃描技術，可以對局域網、Web網、操作系統、通信服務以及防火墻的安全漏洞進行掃描，員可以觀察到網絡系統中存在的潛在威脅，在網絡系統上存在的可能遭受緩沖區溢出攻擊或者拒絕服務攻擊的漏洞問題。

4. 網絡安全的防范措施

雖然近年來黑客活動越來越為猖獗，攻擊事件越來越多，但采取完善的防護措施，依然能有效的保護網絡信息安全，目前常用的具體策略包括以下幾類：

4.1入侵檢測技術

入侵檢測系統( Intrusion Detection System 簡稱 IDS) 是對網絡入侵行為進行安全檢測的監控系統，監控網絡的運行狀態，及時發現來自網絡的攻擊，對網絡攻擊行為或者攻擊結果做出報警或做出相應的響應機制，保證網絡系統資源的完整性。入侵檢測基本原理主要由主體(subjeets)、對象(Objeets)、審計記錄(AuditsReoords)、活動簡檔(profiles)、異常記錄(AnomalyRecords)和活動規則(ActivityRules)六個部分組成，目前的入侵檢測系統都是在此模型的基礎上產生的，它也揭示了入侵檢測基本原理。在入侵檢測中，隨著網絡數據的不斷增加，檢測數據中不斷的暴露出問題，目前網絡安全監控系統的數據傳輸端運行速度較低，監控數據查詢時出現超時錯誤比以往更頻繁，運行情況較差，已經影響到前臺入侵檢測網絡監控的處理。有效的安全策略在于將正常監控的入侵檢測使用的監控數據庫監控數據進行分離，保留系統監控必須的基礎監控數據和近期的網絡監控數據，保證系統正常監控。同時將歷史監控數據剝離出來，導入備份監控數據庫中，然后在備份監控數據庫上重新架設網絡安全監控分析系統。由入侵檢測數據分離策略包括網絡監控數據表分析、網絡監控數據轉換遷移、網絡分離檢索、網絡監控策略包括網絡綜合查詢、網絡用戶綜合查詢、網絡監控數據、信息變更查詢、網絡監控綜合查詢、網絡安全監控量統計反饋、信息統計、網絡安全監控數據分析統計查詢、日志核對單查詢、網絡屏幕監控、移動網絡安全、、歷史監控數據記錄查詢、網絡監控流程查詢、網絡信息查詢、網絡維護、安檢流程查詢及統計、電話報警查詢主要的功能比較簡單，主要為網絡安全監控警員提供網絡安全監控系統的歷史監控數據的查詢、分析、統計功能，不需要進行大量的監控數據分析網絡安全中的異常數據信息，采用入侵檢測方法是提高網絡安全中行之有效的方法

4.2 隱藏IP地址防范IP地址欺騙攻擊

在大多數網絡安全案例中，黑客都會對被攻擊者主機信息進行偵測，等于攻擊者明確了被攻擊者的精確位置，可以利用這個IP地址對被攻擊者計算機發動各種精確的攻擊，網絡傳輸中的完整性、可利用性與網絡布局和介質傳輸有關的技術和 通信應用的有機集合。總的來講，網絡安全主要包括了網絡中所存儲和傳送的信息的安全應用。網絡安全的要求就是要在網絡通信的基礎上保證信息的隱秘性、完整性、應用性、真實性。

5. 網絡安全的防御

網絡信息安全以網絡信息制度為依據，基于工作流程的概念，使系統使用人員方便快捷地共享信息，高效地協同工作；改變過去復雜、低效的手工辦公方式，網絡信息安全建立在信息技術基礎上，以系統化的思想，將企業所有資源進行全面一體化的信息系統，有效地促進現有企業的現代化、科學化。

網絡信息安全實現了業務的流程化，對所有業務的工作流程和操作規范都制定了較為嚴格的要求，力求使所有業務數據都達到數據實時錄入、業務資料準確的要求。通過網絡信息安全設計，各崗位人員都能夠及時掌握各項業務流程的具體信息和業務進度，班組長根據各個網絡業務實施情況和完成情況對業務和人員進行合理調配，對各項業務的進展情況進行實時監控，提高了網絡部門的效率和服務水平，從而實現精細化、人性化。

網絡信息安全需要系統提供了多樣化的數據查詢功能和詳盡的統計功能，替代了以往人工查找、計算煩瑣的工作方式，提高了信息安全標準，保證了數據的準確性。

目前網絡信息安全，隨著業務數據的不斷增加，系統不斷的暴露出問題，目前網絡信息安全客戶端運行速度已經降到歷史最低點，數據查詢時出現超時錯誤比以往更頻繁，運行情況較差，已經影響到網絡業務的辦理。盡早制定一個合理的實施方案并予以實行，改善以上種種問題，已經迫在眉睫。綜合系統各方面因素，可以對網絡信息系統數據進行數據分離，建立一個移動網絡信息系統移動網絡信息分析系統。主要操作為：將正常網絡信息數據使用的數據庫數據進行分離，保留系統運營必須的基礎數據和近期的業務數據，保證系統正常運營。同時將歷史數據剝離出來，導入備份數據庫中，然后在備份數據庫上重新架設移動網絡信息分析系統。在企業中使用的網絡安全中基于入侵檢測和數據分離的業務處理形勢可以有效保證網絡安全的同時，提高網絡的利用率和有效性。

網絡安全包含的內容較為廣泛，在網絡安全信息應用等相關軟件系統的研究過程中，必須對其通用性和實用性予以保證，在安全分析階段對網絡安全的整個業務過程要作全面而系統的有效分析，從業務的角度對相關業務過程的輸入數據、輸出數據和數據處理細節進行適當的分析。因業務處理的繁瑣性，就必須結合有關的情況，及業務處理過程的具體算法、參數等因素，對其業務流程進行相應規范。對于網絡安全力求發現問題并將其作相應整理。

6. 結語：

計算機網絡的產生和發展不僅影響人們的日常生活工作，并將對整個人類社會的科技發展和文明進步產生重大的推動作用。網絡所具有的開放性、 共享性和廣泛分布應用的特點對網絡安全來講是主要的安全隱患。在網絡安全中的入侵檢測技術對網絡的安全起到保障作用，難防范來自網絡內部的攻擊和病毒的威脅，網絡入侵檢測的利用和有需要多方軟件與系統支持，信息的存儲和轉發均由它們進行檢測處理，保證了網絡的安全通信。 

[1] 羅琳，《網絡工程技術》，科學出版社，2011.7

[2] 簡明，《計算機網絡信息安全及其防護策略的研究》，科技資訊，2009.28

第7篇：常用網絡安全標準范文

[關鍵詞]下一代防火墻；安全特征；發展趨勢

中圖分類號：TM215 文獻標識碼：A 文章編號：1009-914X（2017）12-0311-01

前言：在信息化潮流的引導下，互聯網的飛速發展給人們的生活帶來便捷，人們對互聯網的依賴程度加大。但是，近年來計算機網絡面臨的威脅越來越多的人為攻擊事件，數量劇烈上升趨勢。人們的利益受到威脅，對互聯網的放火墻安全性能產生不信任。所以，下一代防火墻的安全性值得我們探究和思考，爭取解決下一代互聯網的安全威脅。

1.研究防火墻安全特征

1.1 互聯網面對的安全威脅

自莫里斯蠕蟲病毒出現以來，病毒的數量呈爆炸式增長，安全漏洞數量增長較快，系統或軟件的嚴重級別漏洞增多。同時，黑客等網絡不法分子通過網絡技術，攻破用戶防火墻，帶來安全威脅。對于銀行系統、商業系統、政府和軍事領域而言，這些比較敏感的系統和部門對公共通信網絡中存儲與傳輸的數據安全問題尤為關注。目前，最常見的安全問題是網絡協議和軟件的安全缺陷、計算機病毒、身份信息竊取、網絡釣魚詐騙及分布式拒絕服務。其中計算機病毒并不獨立存在，而是寄生在其他程序之中，所以，它具有隱蔽性、潛伏性、傳染性和極大的破壞性。身份信息的竊取也是值得我們注意的。隨著互聯網金融的發展，人們的身份信息與銀行資產很容易被黑客侵入，個人和企業的信息輕而易舉被竊取，造成巨大損失。以上種種安全問題都需要下一代防火墻提高安全特性。

1.2 目前防火墻的安全技術標準

在2005、2006年，防火墻標準進行了重新編制，只針對包過濾和應用級防火墻技術，其中服務器要求和并列到應用級防火墻技術中進行描述。先后形成了《GB/T20010―2005信息安全技術包過濾防火墻評估準則》。GB/T20281―2006標準則吸收了原來國家標準的所有重要內容。該標準將防火墻通用技術要求分為功能、性能、安全和保證四大。其中，功能要求是對防火墻產品應具備的安全功能提出具體的要求，包括包過濾、應用、內容過濾、安全審計和安全管理等；安全要求是對防火墻自身安全和防護能力提出具體的要求；保證要求則針對防火墻開發者和防火墻自身提出具體的要求。性能要求是對防火墻產品應達到的性能指標做出規定。同時，將防火墻產品進行安全等級劃分。安全等級分為三個級別，逐級提高，功能強弱、安全強度和保證要求的高低是等級劃分的具體依據，功能、安全為該標準的安全功能要求內容。這是我國信息安全標準中第一次將性能值進行量化的標準。

1.3 采用防火墻系統的必要性

隨著越來越多重要的信息應用以互聯網作為運行基礎，信息安全問題已經成為威脅民生、社會、甚至國家安全的重要問題。從計算機網絡安全技術的角度來看，防火墻是指強加于兩個網絡之間邊界處，以保護內部網絡免遭外部網絡威脅的系統或者系統組合。防火墻技術作為保護計算機網絡安全的最常用技術之一，當前全球約有三分之一的計算機是處于防火墻的保護之下。防火墻在不危機內部網絡數據和其他資源的前提下，允許本地用戶使用外部網絡資源，并將外部未授權的用戶屏蔽在內部網絡之外，從而解決了因連接外部網絡所帶來的安全問題。

2.分析下一代防火墻的發展趨勢

2.1 防火墻發展的新技術趨勢

就目前國內形勢而言，下一代防火墻發展的新技術趨勢有四方面。隨著運行商、金融、大型企業的數據中心等用戶對安全的關注，對防火墻高吞吐量、高性能連接處理能力的要求越來越迫切。傳統的硬件構架已經無法滿足用戶的需求，因此多核處理，ASIC加速芯片處理等技術紛紛登場，高性能成為新的技術趨勢。雖然IPv6在目前推廣和普及的力度較大，但新的安全問題也逐漸產生。在純IPv6網絡中，IPv6端與端的IPSec以及最終拜托NAT的發展構架對防火墻產品的沖擊影響較大，但在IPv4/6共存階段，針對不同過渡協議混雜的背景，防火墻產品還是有著技術發展和實現的需求，所以使防火墻適用于IPv4/6也是重要技術趨勢之一。基于防火墻用戶的配置策略，應用深層控制技術開始越來越多的被提及。同時，隨著云時代的到來，各類云服務逐漸進入普通大眾的生活。防火墻的安全性能也伴隨著云技術的發展開發出云服務虛擬化技術。

2.2 下一代互聯網高性能防火墻標準

據國家標準化管理委員會2013年下達的國家標準制修訂計劃，對原有《GB/T20281-2006信息安全技術防火墻技術要求和測試評價方法》進行修訂，由于下一代互聯網的特性是防火墻功能屬性，所以維持原有標準名稱。該標準與GB/T20281-2006的主要差異是增加了高性能防火墻的描述，增加了防火墻的功能分類，加強了防火墻的應用層控制能力，增加了下一代互聯網協議支持能力的要求，級別統一劃分為基本級和增強級。該標準安全功能主要對產品實現的功能進行了要求。主要包括網絡層控制、應用層控制和安全運維管理三部分，其中網絡層控制主要包括包過濾、NAT、狀態檢測、策略路由等方面。這些安全功能新標準要求將大大提高下一代防火墻的安全特性。在環境適應性要求方面，該標準對下一代防火墻產品的部署模式及下一代互聯網環境的適應性支持進行了要求。同時，該標準的性能要求對下一代防火墻的吞吐量、延遲、最大并發連接數、最大連接速率和最大事務等性能指標進行了要求。

2.3 網絡安全的實現

網絡安全的實現是多方面的。訪問控制是網絡安全防御和保護的主要策略。進行訪問控制的目的是保護網絡資源不被非法使用和非法訪問。控制用戶可以訪問網絡資源的范圍，為網絡訪問提供限制，只允許訪問權限的用戶訪問網絡資源。且隨著當前通信技術的快速發展，用戶對信息的安全處理、安全存儲、安全傳輸的需要也越來越迫切，并受到了廣泛關注。信息在網絡傳輸的安全威脅是由于TPC/IP協議所固有的，因此數據加密技術成為實現計算機網絡安全技術的必然選擇。病毒防護主要包括計算機病毒的預防、檢測與清除。最理想的防止病毒攻擊的方法就是預防，在第一時間內阻止病毒進入系統。攻擊防御對網絡及網絡設備的傳輸行為進行實時監視，在惡意行為被發動時及時進行阻止，攻擊防御可以針對特征分析及分析做出判斷。同時，網絡安全建設“三分技術，七分管理”。因此，除了運用各種安全技術之外，還要建立一系列安全管理制度。使下一代防火墻真正的起到安全作用。

結語

總而言之，事物的發展過程是曲折的，前途是光明的。隨著人類在經濟、工業、軍事領域方面越來越多地依賴信息化管理和處理，由于信息網絡在設計上對安全問題的忽視，以及爆發性應用背后存在的使用和管理上的脫節，使互聯網中信息的安全性逐漸受到嚴重威脅，實用和安全矛盾逐漸顯現。而下一代防火墻的安全特性隨著互聯網的發展是不斷改進，進行高性能技術的研究，已有所成果。所以，關于下一代防火墻的安全特性我們要抱有積極的態度。

參考文獻

第8篇：常用網絡安全標準范文

關鍵詞：計算機網絡，防護技術，研究

 

隨著高新技術的不斷發展，計算機網絡已經成為我們生活中所不可缺少的概念，然而隨之而來的問題----網絡安全也毫無保留地呈現在我們的面前，不論是在軍事中還是在日常的生活中，網絡的安全問題都是我們所不得不考慮的，只有有了對網絡攻防技術的深入了解，采用有效的網絡防護技術，才能保證網絡的安全、暢通，保護網絡信息在存儲和傳輸的過程中的保密性、完整性、可用性、真實性和可控性，才能使我們面對網絡而不致盲從，真正發揮出網絡的作用。

一、計算機網絡防護技術構成

（一）被動防護技術

其主要采用一系列技術措施（如信息加密、身份認證、訪問控制、防火墻等）對系統自身進行加固和防護，不讓非法用戶進入網絡內部，從而達到保護網絡信息安全的目的。這些措施一般是在網絡建設和使用的過程中進行規劃設置，并逐步完善。因其只能保護網絡的入口，無法動態實時地檢測發生在網絡內部的破壞和攻擊的行為，所以存在很大的局限性。

( 1 )信息保密技術

密碼技術是網絡安全最有效的技術之一, 信息加密過程是由形形的加密算法來具體實施，它以很小的代價提供很大的安全保護。它通過信息的變換或編碼，將敏感信息變成難以讀懂的亂碼型信息，以此來保護敏感信息的安全。在多數情況下，信息加密是保證信息機密性的惟一方法。信息加密的主要目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。

網絡加密常用的方法有：鏈路加密、端點加密和節點加密3種。密碼體制主要有分組密碼體制和序列密碼體制。論文參考網。

( 2 ) 信息認證技術

認證技術是網絡安全的一個重要方面，屬于網絡安全的第一道防線。其認證機制是接收者接收信息的同時還要驗證信息是否來自合法的發送者，以及該信息是否被篡改過，計算機系統是基于收到的識別信息識別用戶。認證涉及多個步驟：收集認證信息、安全地傳輸認證信息、確定使用計算機的人（就是發送認證信息的人）。其主要目的是用來防止非授權用戶或進程侵入計算機系統，保護系統和數據的安全

其主要技術手段有：用戶名/密碼方式；智能卡認證方式；動態口令；USB Key認證；生物識別技術。

( 3 ) 訪問控制技術

訪問控制是保證網絡安全最重要的核心策略之一，是一種基于主機的防護技術。訪問控制技術通過控制與檢查進出關鍵服務器中的訪問，保護服務器中的關鍵數據，其利用用戶身份認證功能，資源訪問權限控制功能和審計功能來識別與確認訪問系統的用戶，決定用戶對系統資源的訪問權限，并記錄系統資源被訪問的時間和訪問者信息。其主要目的是保證網絡資源不被非法使用和訪問。

其主要方式有：自主訪問控制、強行訪問控制和信息流控制。

( 4 ) 防火墻技術

防火墻是一種網絡之間的訪問控制機制，它的主要目的是保護內部網絡免受來自外部網絡非授權訪問，保護內部網絡的安全。

其主要機制是在受保護的內部網和不被信任的外部網絡之間設立一個安全屏障，通過監測、限制、更改、抑制通過防火墻的數據流，盡可能地對外部網絡屏蔽內部網絡的信息和結構，防止外部網絡的未授權訪問，實現內部網與外部網的可控性隔離，保護內部網絡的安全。

防火墻的分類主要有：數據包過濾型防火墻、應用層網關型防火墻和狀態檢測型防火墻。

（二）主動防護技術

主動防護技術主要采取技術的手段如入侵取證、網絡陷阱、入侵檢測、自動恢復等，能及時地發現網絡攻擊行為并及時地采取應對措施，如跟蹤和反攻擊、設置網絡陷阱、切斷網絡連接或恢復系統正常工作。實現實時動態地監視網絡狀態，并采取保護措施，以提供對內、外部攻擊和誤操作的實時保護。

( 1 )入侵取證技術

入侵取證技術是指利用計算機軟硬件技術，按照符合法律規范的方式，對計算機網絡入侵、破壞、欺詐、攻擊等犯罪行為進行識別、保存、分析和提交數字證據的過程。

入侵取證的主要目的是對網絡或系統中發生的攻擊過程及攻擊行為進行記錄和分析，并確保記錄信息的真實性與完整性（以滿足電子證據的要求），據此找出入侵者或入侵的機器，并解釋入侵的過程，從而確定責任人，并在必要時，采取法律手段維護自己的利益。

入侵取證技術主要包括：網絡入侵取證技術（網絡入侵證據的識別、獲取、保存、安全傳輸及分析和提交技術等）、現場取證技術（內存快照、現場保存、數據快速拷貝與分析技術等）、磁盤恢復取證技術、數據還原取證技術（對網上傳輸的信息內容，尤其是那些加密數據的獲取與還原技術）、電子郵件調查取證技術及源代碼取證技術等。

( 2 ) 網絡陷阱技術

網絡陷阱技術是一種欺騙技術，網絡安全防御者根據網絡系統中存在的安全弱點，采取適當技術，偽造虛假或設置不重要的信息資源，使入侵者相信網絡系統中上述信息資源具有較高價值，并具有可攻擊、竊取的安全防范漏洞，然后將入侵者引向這些資源。同時，還可獲得攻擊者手法和動機等相關信息。這些信息日后可用來強化現有的安全措施，例如防火墻規則和IDS配置等。

其主要目的是造成敵方的信息誤導、紊亂和恐慌，從而使指揮決策能力喪失和軍事效能降低。論文參考網。靈活的使用網絡陷阱技術可以拖延攻擊者，同時能給防御者提供足夠的信息來了解敵人，將攻擊造成的損失降至最低。

網絡陷阱技術主要包括：偽裝技術（系統偽裝、服務偽裝等）、誘騙技術、引入技術、信息控制技術（防止攻擊者通過陷阱實現跳轉攻擊）、數據捕獲技術（用于獲取并記錄相關攻擊信息）及數據統計和分析技術等。

( 3 ) 入侵檢測技術

入侵檢測的基本原理是從各種各樣的系統和網絡資源中采集信息（系統運行狀態、網絡流經的信息等），對這些信息進行分析和判斷，及時發現入侵和異常的信號，為做出響應贏得寶貴時間，必要時還可直接對攻擊行為做出響應，將攻擊行為帶來的破壞和影響降至最低。它是一種主動的入侵發現機制，能夠彌補防火墻和其他安全產品的不足，為網絡安全提供實時的監控及對入侵采取相應的防護手段，擴展了系統管理員的安全管理能力，提高了信息安全基礎結構的完整性。入侵檢測系統已經被認為是維護網絡安全的第二道閘門。

其主要目的是動態地檢測網絡系統中發生的攻擊行為或異常行為，及時發現攻擊或異常行為并進行阻斷、記錄、報警等響應，彌補被動防御的不足之處。

入侵檢測技術主要包括：數據收集技術、攻擊檢測技術、響應技術。

( 4 ) 自動恢復技術

任何一個網絡安全防護系統都無法確保萬無一失，所以，在網絡系統被入侵或破壞后，如何盡快恢復就顯得非常關鍵了。這其中的一個關鍵技術就是自動恢復技術，他針對服務器上的關鍵文件和信息進行實時地一致性檢查，一旦發現文件或信息的內容、屬主、時間等被非法修改就及時報警，并在極短的時間內進行恢復。論文參考網。其性能的關鍵是資源占有量、正確性和實時性。

其主要目的是在計算機系統和數據受到攻擊的時候，能夠在極短的時間內恢復系統和數據，保障系統的正常運行和數據的安全。

自動恢復技術主要包括：備份技術、冗余技術、恢復技術、遠程控制技術、文件掃描與一致性檢查技術等。

二、計算機網絡防護過程模型

針對日益嚴重的網絡安全問題和愈來愈突出的安全需求，人們在研究防黑技術的同時，認識到網絡安全防護不是一個靜態過程，而是一個包含多個環節的動態過程，并相應地提出了反映網絡安全防護支柱過程的P2DR模型，其過程模型如圖1所示。

圖1　P2DR模型體系結構圖

其過程如下所述：

1．進行系統安全需求和安全風險分析，確定系統的安全目標，設計相應的安全策略。

2．應根據確定的安全策略，采用相應的網絡安全技術如身份認證技術、訪問控制、網絡技術，選擇符合安全標準和通過安全認證的安全技術和產品，構建系統的安全防線，把好系統的入口。

3．應建立一套網絡案例實時檢測系統，主動、及時地檢測網絡系統的安全漏洞、用戶行為和網絡狀態；當網絡出現漏洞、發現用戶行為或網絡狀態異常時及時報警。

4．當出現報警時應及時分析原因，采取應急響應和處理，如斷開網絡連接，修復漏洞或被破壞的系統。

隨著網絡技術的不斷發展，我們的生活中越來越離不開網絡，然而網絡安全問題也日趨嚴重，做好網絡防護已經是我們所不得不做的事情，只有采取合理有效的網絡防護手段才能保證我們網絡的安全、保證信息的安全，使我們真正能夠用好網絡，使網絡為我們的生活添光添彩。

第9篇：常用網絡安全標準范文

關鍵詞：安全；防范

中圖分類號：TP391文獻標識碼：A文章編號：1009-3044(2011)23-5590-02

數據庫是計算機重要的一個應用領域，隨著計算機技術的飛速發展，數據庫已廣泛地深入到了各個領域，數據庫技術在生產、生活、工作、學習等方面給人們帶來了巨大的便利，但隨之而來的數據安全問題也越來越凸顯出來。數據庫由于其儲存大量重要的信息而成為某些人攻擊的重點，數據庫數據的丟失以及數據庫被非法用戶的侵入使得數據庫安全性越來越重要，對計算機數據庫安全技術進行探討有助于我們加深對相關數據庫知識的了解[1]，如何保障數據的私有性或保密性和安全性是一個十分重要的課題，有助于提高數據庫安全防范意識，從而有助于實現數據庫本身的安全。

1 數據庫及其安全

數據庫是當前計算機存儲和操作數據的通常形式，也是目前數據存儲和操作的最高形式，計算機數據庫安全技術是伴隨著計算機安全技術與數據庫技術的發展而不斷發展和提升的。數據庫的安全就是保證數據庫信息的保密性、完整性、一致性和可用性，數據庫的安全是數據庫系統的生命，當前，數據庫系統經歷了網狀數據模型、層次數據模型和關系模型三個發展階段，無論在哪個發展階段，數據庫的安全始終是我們所關注的重點。尤其是資源共享的今天，各種應用系統的數據庫中大量數據的安全問題及敏感數據的防竊取和防篡改問題，越來越引起人們的高度重視[2]。

另外在互聯網飛速發展的今天，數據庫系統作為數據信息的存儲，在網絡服務中發揮巨大作用，同時我們還要注重數據庫系統的網絡安全性。主要指數據庫系統自身安全性以及數據庫所處的網絡環境面臨的安全風險。如病毒入侵和黑客攻擊、網絡操作系統、應用系統的安全，表現在開發商的后門以及系統本身的漏洞上。

2 計算機數據庫安全技術

伴隨著數據庫的安全問題，數據庫安全技術也隨之發展起來，在數據庫開放的環境下，數據的讀取、共享暴露在外，通常我們采取訪問控制和存取管理技術、安全審計、數據庫加密等技術來解決這些問題，再者，數據庫系統的應用也加強了數據庫的安全，數據庫系統作為信息的聚集體，是計算機信息系統的核心部件，其安全性至關重要。

2.1 訪問控制和存取管理技術

計算機系統的活動主要是在主體進程、用戶和客體資源、數據之間進行的。計算機安全的核心問題是保證主體對客體訪問的合法性，即通過對數據、程序讀出、寫入、修改、刪除和執行等的管理，確保主體對客體的訪問是授權的，并拒絕非授權的訪問，以保證信息的機密性、完整性和可用性。

系統通過比較客體和主體的安全屬性來決定主體是否可以訪問客體。存取管理技術是一套防止未授權用戶使用和訪問數據庫的方法、機制和過程，通過正在運行的程序來控制數據的存取和防止非授權用戶對共享數據庫的訪問。包括用戶認證技術和存取控制技術。

2.2 安全審計

安全審計即是對安全方案中的功能提供持續的評估。安全審計應為審計管理員提供一組可進行分析的管理數據，以發現在何處發生了違反安全方案的事件。審計功能在系統運行時，自動將數據庫的所有操作記錄在審計日志中，攻擊檢測系統則是根據審計數據分析檢測內部和外部攻擊者的攻擊企圖，再現導致系統現狀的事件，分析發現系統安全弱點，追查相關責任者利用安全審計結果，可調整安全政策，堵住出現的漏洞，為此，安全審計應具備記錄關鍵事件、提供可集中處理審計日志的數據形式、提供易于使用的軟件工具、實時安全報警等功能。

2.3 數據庫加密

數據庫加密是防止數據庫中數據泄露的有效手段，通過加密，可以保證用戶信息的安全，減少因備份介質失竊或丟失而造成的損失。數據加密就是把數據信息即明文轉換為不可辨識的形式即密文的過程，目的是使不應了解該數據信息的人不能夠知道和識別。將密文轉變為明文的過程就是解密。加密和解密過程形成加密系統。明文與密文統稱為報文。任何加密系統通常都包括如下幾個部分：

1) 需要加密的報文，也稱為明文P。

2) 加密以后形成的報文，也稱為密文Y。

3) 加密(解密)算法E(D)。

4) 用于加密和解密的鑰匙，稱為密鑰K。

使用數據庫安全保密中間件對數據庫進行加密是最簡便直接的方法。主要是通過系統中加密、DBMS內核層(服務器端)加密和DBMS外層(客戶端)加密。

2.4 數據安全傳輸常用協議

在對數據庫中儲存的數據進行安全保護外，在數據的傳輸中我們也要確保數據的完整性與安全性，所以就有了以下這兒種安全傳輸協議。

SSL協議：SSL協議(Secure socket layer)現已成為網絡用來鑒別網站和網頁瀏覽者身份，以及在瀏覽器使用者及網頁服務器之間進行加密通訊的全球化標準，SSL技術已建立到所有主要的瀏覽器和Web服務器程序中，因此儀需安裝數字證書或服務器證書就可以激活服務器功能。

IPSec協議：IPSec(Internet Protocol Security)是由IETF定義的安全標準框架，用以提供公用和專用網絡的端對端加密和驗證服務。它指定了各種可選網絡安全服務，而各組織可以根據自己的安全策略綜合和匹配這些服務，可以在IPSec框架之上構建安全性解決方法，用以提高發送數據的機密性、完整性和可靠性。

HTTPS協議：HTTPS(Secure Hypertext Transfer Protoc01)安全超文本傳輸協議，它是由Netscape開發并內置于其瀏覽器中，用于對數據進行壓縮和解壓操作，并返回網絡下傳送網的結果。

另外，安全管理技術、信息流控制、推理控制、數據備份與恢復等技術都是數據庫安全常用技術，它們也確實解決了不少數據庫安全的問題。無論數據庫應用哪種安全技術，多多少少都會有些漏洞，數據庫系統的應用可加強數據庫的安全，數據庫系統作為信息的聚集體，其安全性毋庸置疑，所以數據庫系統的安全防范便顯得尤為重要。

3 數據庫系統安全防范策略

3.1 物理安全防護策略

物理安全保證重要數據免受破壞或受到災難性破壞時及時得到恢復，防止系統信息在空間的擴散。在物理安全方面應主要采取如F措施網絡安全設計方案符合有關網絡安全方面的規定。安全設計應根據不同網絡、系統和信息要求分別采用不同的安全防護措施。建立良好的電磁兼容環境，安裝防電磁輻射產品，對重要設備和系統設置備份系統數據庫系統運行的服務器、網絡設備、安全設備的安全防范，主要包括防水、防火、防靜電等。

3.2 網絡安全防護策略

總的來講，數據庫的安全首先依賴于網絡系統。可以說網絡系統是數據庫應用的外部環境和基礎，數據庫系統要發揮其強大作用離不開網絡系統的支持，數據庫系統的用戶如異地用戶、分布式用戶也要通過網絡才能訪問數據庫的數據。網絡系統的安全是數據庫安全的第一道屏障，入侵首先就是從入侵網絡系統開始的，所以此時數據庫系統的安全防范變成了網絡系統的安全防范。我們就從網絡系統的安全防范說起。

1）防火墻技術

防火墻是應用最廣的一種防范技術，作為數據庫系統的第一道防線，其主要作用是監控可信任網絡和不可信任網絡之間的訪問通道，可在內部與外部網絡之間形成一道防護屏障，攔截來自外部的非法訪問并阻止內部信息的外泄，但它無法阻攔來自網絡內部的非法操作。它根據事先設定的規則來確定是否攔截信息流的進出，但無法動態識別或自適應地調整規則，因而其智能化程度很有限。

防火墻技術主要有三種數據包過濾器、和狀態分析。現代防火墻產品通常混合使用這幾種技術。事實上，在線的網站中，超過三分之一的網站都是由某種形式的防火墻加以保護，這是對黑客防范最嚴，安全性較強的一種方式，任何關鍵性的服務器，都建議放在防火墻之后。防火墻同時也是目前用得最廣泛的一種安全技術。

2）網絡防病毒技術

對于復雜的系統，其錯誤和漏洞是難以避免的，病毒就是利用系統中的漏洞，進行網絡攻擊或信息竊取，構成對網絡安全的巨大威脅。因此，我們必須嚴防計算機病毒對網絡的侵襲。管理上加強對工作站和服務器操作的要求，防止病毒從工作站侵人技術上可以采取無盤T作站、帶防病毒芯片的網卡、網絡防病毒軟件，設立網絡防毒系統和配備專用病毒免疫程序來進行預防。采用多重技術互為補充。

3）入侵檢測

入侵檢測(IDS)作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。入侵檢測系統是近年發展起來的一種防范技術，綜合采用了統計技術、規則方法、網絡通信技術、人工智能、密碼學、推理等技術和方法，其作用是監控網絡和計算機系統是否出現被入侵或濫用。1987年Derothy Denning首次提出了入侵檢測的思想，經過不斷發展和完善，作為監控和識別攻擊的標準解決方案，IDS系統已經成為安全防御系統的重要組成部分。IDS包括基于網絡和基于主機的入侵監測系統、基于特征的和基于非正常的入侵監測系統、實時和非實時的入侵監測系統等。在網絡中同時采用基于網絡和基于主機的入侵檢測系統，則會構架成一套完整立體的主動防御體系。

3.3 管理安全防護策略

網絡的使用與維護，數據庫系統的安全運行，歸根結底都離不開人，所以要時刻加強對操作人員的管理與培訓。

4 結束語

隨著數據庫系統的發展，對數據庫系統的攻擊方式也在不斷改變，數據庫系統的安全和維護工作，也應該根據自身需求，跟隨技術和管理的發展而合理升級、更新。計算機數據庫安全是當前數據庫技術研究的重點，加強數據庫安全相關技術研究有助于保障計算機數據庫的安全性，有助于保證數據庫系統中信息的有效性。因此，針對數據庫系統運行中不安全因素，應該時刻關注安全技術的發展，對安全防范系統進行必要升級，保障數據庫系統運行安全。

參考文獻：