序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇網絡安全主動防護范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

關鍵詞：網絡安全；實踐教學；教學方法

中圖分類號：G642文獻標識碼：A文章編號：1009-3044(2012)22-5314-02

Network Security Professional Teaching Method Reform and Discussion

LIN Fei1，ZHANG Qian2，YE Ya-lin2

(1.Jinan Military Region, Jinan 264000,China；2 .Xi’an Communications Institute , Xi’an 710106,China)

Abstract：Network security professional is a theory and practice，closely integrated courses，not only emphasize the mastery of the technical principles of network security, and pay more attention to the improvement of students’practical ability. The paper analyzes the main problems in the existing network security professional teaching; propose a three stages of network security professional teaching method of basic experiment teaching; research, innovative practice teaching; innovative practice teaching. It is very great significance to develop practical high-quality professional telent.

Key words: network security; practice teaching; teaching method

網絡安全專業是一門理論與實踐并重的課程，該文針對目前多數院?，F行網絡安全專業實踐課教學過程中存在的不足，結合多年網絡安全防護專業實踐課教學的體會，提出實踐課教學改革思路。將本課程的教學以“以理論為中心”轉化為“以實踐為中心”，將學生從課堂帶到實驗室，使其在實踐中深入理解、掌握和升華所學到的相關知識，使網絡安全防護專業學生具備較強實踐能力、任職能力和綜合能力，對網絡安全防護專業實踐課教學改革的對策作以探討。

1網絡安全防護專業教學存在的問題

網絡安全防護專業是一門實踐性很強的課程。實踐教學不僅僅是驗證和理解本學科的基本理論，也是培養學生的思維和創新能力。目前，多數院校在網絡安全防護專業教學過程中，實踐課教學環節比較薄弱，使得培養出來的學生實踐能力、創新能力和解決實際問題能力不強。網絡安全防護專業實踐教學普遍存在一些問題。

1.1理論教學為主，實踐教學為輔

現代實踐教學的主要目的是掌握實踐技能，但是很多高校在“理論+實踐”教學過程中，實踐教學環節設置不合理，仍是采用理論教學為主、實踐教學為輔的教學模式。這種模式使得學生學習專業技術知識掌握不好，學生難以全面透徹的理解相關專業知識，而且學生缺乏學習的主動性和積極性。如果教學中只是注重理論教學，那么學生畢業后很難滿足實際工作需求，很難在短時間內勝任網絡安全防護專業相關的工作。

1.2實踐教學內容設置單一，方法陳舊

大部分傳統網絡安全專業課的實驗設置，雖然項目比較繁多，但內容獨立、不同實驗之間缺乏系統性和靈活性。網絡安全專業實驗課不僅要求學生要有理論基礎知識，更要有一定的實踐操作能力。但很多時候都是老師在授課過程中進行相關的實驗演示，以老師為主導，老師是實驗的創作者，是主動施教者，這種方法使得在網絡安全防護專業實踐教學過程中，始終學生是被動者，極大阻礙了開發學生實踐動手能力的創造性和主動性，極大減弱了網絡安全防護專業教學的效果。

1.3實踐課的考核形式不合理

實踐教學考核方式不是很完備，主要表現在考核內容的設置缺乏靈活性，沒有很好的和實際工作中的具體問題結合起來。通過對近幾年各個院校網絡安全防護相關專業的考核方式、結果的分析，以及對相關專業的學生和用人單位的意見反饋的調查，表明目前網絡安全防護相關專業的考核方式仍是以理論考核為主，實踐操作考核比例較少，設置不合理，不能全面體現學員的實踐操作能力。

2網絡安全專業教學改革的思路與方法

實踐教學作為院校教學體系的一個重要教學環節，與理論教學相比則具有直觀性、實踐性、綜合性、啟發性和探索性的特點[1]，不僅能使學生理解網絡安全防護專業的基本理論，還能提高學生分析和解決實際問題的能力。針對網絡安全防護專業學生的實際情況，將學生實踐能力劃分為基本能力、綜合能力和創新自主能力等不同層次。根據不同層次設置基礎實驗教學、綜合、設計性實踐教學和創新實踐教學三個階段，進行網絡安全防護專業實踐能力的培養。

2.1基礎性實驗教學

網絡安全專業實踐教學基本內容為依據，在原有課程實踐的基礎上，結合實踐教學的認知規律，重新整合重組。促進學員對基本原理的理解和基本技能的掌握?？蓜澐譃椴煌慕虒W模塊，并引進相關領域新的實踐技術。網絡安全專業實驗教學內容包括密碼與安全協議、網絡攻擊、網絡安全防護等基礎性實驗。因此，在原有課程實驗的基礎上，將知識體系結構重新整合成圍繞一個專業問題或知識點為一個模塊的設計方式，可以單獨學習其中一個或多個內容，主要以驗證方式進行實驗,采取統一上機統一指導。

2.2綜合性、設計性實踐教學

在學生完成基礎性實踐的基礎上，進行綜合知識的技能訓練，培養學生基本技能的綜合分析能力，重視基本技能的綜合和擴展，網絡安全防護專業實踐教學除了包含基礎性實驗，還包含了綜合案例的方案過程設計、設備的運行和維護、問題的判斷與解決等更高一級的內容。綜合性、設計性實踐教學是基于“任務驅動”的方式采取由淺入深、由簡單到復雜、由小實驗到綜合型實驗的遞進方式設計實驗。

2.3創新性實踐教學

在綜合性、設計性實踐教學的基礎上，以培養學生的創新能力和自主研究能力為目的，借助網絡安全防護相關專業的技術各類競賽平臺，激發網絡安全防護專業學生從被動接受知識變為主動探求知識的學習熱情，設計相應的實踐項目，突出學生獨立設立實踐和獨立進行實踐操作，強化學生“探究式”學習能力和培養科學思維能力[2]。

3小結

該文以網絡安全防護專業實踐教學目標為指導，深入分析現有課程存在的不足，積極探索構建適合網絡安全防護專業的實踐課程，設計了包含網絡安全防護專業的基礎實驗教學、綜合性、設計性實踐教學、創新性實踐教學三個環節的實踐教學方法。課程設計以實現學生快速提升解決實際問題的能力、激發學生自主學習熱情為目標，使網絡安全防護專業學生具備為信息網絡提供安全可靠的等級防護、有效防御各類網絡攻擊、快速處置各類網絡安全事件的能力，真正滿足信息系統安全防護能力建設對人才的要求。

參考文獻：

篇(2)

關鍵詞：網絡安全;防御技術;主動防御

計算機網絡的全面應用與發展，切實為人們的生活和工作帶來了便利，同時也拓寬了信息交流渠道，互聯網也逐漸成為人們生產生活中不可獲取的一部分。但網絡實際上也是一把雙刃劍，在其快速發展的背后，往往蘊藏著較大的安全風險，網絡黑客、病毒植入等情況逐漸增多。為確保每一位用戶的網絡安全，需在充分理解當前需求的基礎上，積極研發各類防御技術，通過實踐應用找到其中存在的問題，并采取行之有效的措施加以解決，進而提高網絡安全管理水平，防止安全危害的發生。

一、現代網絡攻擊的特點

1.網絡攻擊趨于自動化。如今，網絡黑客工具層出不窮，非法攻擊的發起人不再是以往具有豐富經驗的計算機頂級操作者，只要具備簡單基礎的人都可借助此類工具或軟件實施非法攻擊，使得網絡非法攻擊的技術門檻大幅降低，直接增加了防護難度，為網絡安全建設帶來了不同程度的風險威脅。

2.攻擊手段逐漸多樣。網絡技術與各類應用的持續發展應用，在某種程度上也使攻擊的方式趨于多樣化，利用系統漏洞實施非法攻擊的例子并不少見，在安全漏洞察覺速度不斷提高的情形下，網絡攻擊手段也在逐漸推陳出新，致使網絡防御一度陷入僵局?，F階段的網絡攻擊手段已不局限于掃描窺探、畸形報文攻擊等傳統方式，通過對近年來幾起較為嚴重的網絡攻擊事件的總結發現，DoS攻擊、IP Spoofing 攻擊、Land攻擊等一系列新型攻擊手段的出現幾率正不斷提高。

二、目前網絡安全防御技術

1.防火墻技術。防火墻是一種充分利用硬軟件而組成的系統，主要控制內部網絡與外部網絡的連接和訪問，從狹義的角度講，防火墻實際上就是一種安裝了相應防護軟件的系統或主機;從廣義的角度講，防火墻除提供必要的防護功能外，還包含了安全策略與行為約束。

防火墻是建立在內網與外網之間的防護屏障，也可以是一個安全網關，主要用于惡意入侵和各類無法預測危害的發生。防火墻的實際功能為：對安全性不佳的用戶與服務進行過濾、管理控制不可信網絡的訪問、對暴露的用戶進行限制、制約非法訪問、攻擊警報等。防火墻是迄今為止最為常用且有效的防御手段，是切實保障網絡安全的主要技術之一。

2.認證技術。認證是一種可有效防止惡意攻擊的防御手段，它可對開放環境中的各類消息系統提供安全防護，實施認證技術的目的在于：

（1）驗證消息的者是否合法;

（2）驗證所的消息是否安全可靠，并保證信息傳輸過程中不會被攻擊者篡改。

當前較為常用的認證技術為：信息認證、身份認證以及數字簽名等。其中，信息認證技術的應用可以很好的解決在通信雙方利益和危害均保持一致的情形下所出現的入侵和破壞防護等問題。此外，數字簽字還可有效防止第三方以他人名義發送或接受信息的行為。

3.取證技術。取證技術主要包含動態和靜態兩種形式。其中靜態取證指的是，在系統遭受侵害時，通過采取各類有效手段的方式，對危害進行取證和分析。在當前情況中，靜態取證的應用范圍較為廣泛，在遭受入侵之后，對信息數據實行確認、抽取與分析，抽出憑證，這一系統過程會涉及數據防護技術、系統磁盤復制技術、數據信息識別技術、數據信息提取技術、數據信息分析技術、加密技術、解密技術等。

動態取證作為計算機取證技術的主要發展方向，是指在計算機中預先安裝，在入侵發生時，可對系統的操作行為生成對應的日志，已達到動態記錄的目的。充分運用文件系統所具有的特性，相關工具加以輔助，從而對損失的文件進行恢復，然后將日志上傳至取證機中進行備份，為入侵行為的發生提供有力的證據，實現網絡安全的綜合防護。在動態取證中，具有一定典型特征的技術有：非法入侵檢測技術、非法入侵取證技術、追蹤技術、數據采集技術、數據過濾技術、信息的動態獲取技術、IP獲取技術等。

三、網絡安全新技術

隨著網絡在人們的生活、工作和學習中越來越普及，網絡安全問題也越來越困擾著人們，除了上述提到的幾種安全技術，一些新的防御手段也逐漸開發出來，應用到網絡中。

1.蜜罐技術。蜜罐是一種近幾年興起的安全防御技術，憑借其獨特的思想和理念逐漸得到了多數人的關注和應用。蜜罐技術由Lance spitzner創作，他給出了該防御技術的定義，即為：蜜罐實際上是一個安全資源，其基本價值主要體現在掃描、攻擊與攻陷，隨后針對各種攻擊活動實施監視、檢測與研究。蜜罐技術的具體防御機制為，短暫容忍入侵行為，同時對攻擊方式、攻擊目的等進行記錄和學習，特別是未知的攻擊信息，進而對網絡做出相應的調整，采取必要的安全措施，提升系統的安全性。此外，該技術還可有效轉移攻擊發起者的注意視線，消耗攻擊者的資源及精力，從而起到間接防護的作用。蜜罐技術可以為使用者提供動態識別各類攻擊的手段，將成功捕獲的重要信息向防護系統中反饋，進而達到動態提升系統防御力的目的。然而由于蜜罐技術是一種新興技術，所以其還處在起始階段，但它所具有的獨特功能和防御能力，正逐漸成為防護體系的重要組成部分，通過不斷的完善和發展，該技術勢必會得到更加廣泛的應用，充分發揮其防御能力，使非法攻擊無從下手。

2.攻擊吸收及轉移技術。在特殊環境下，若在發現攻擊時對當前的連接進行迅速切斷，雖然可以有效避免后續危害，但這樣一來就無法對攻擊者的行為進行觀察，不利于類似攻擊方式的防范。攻擊吸收及轉移技術是近幾年興起的防御技術，該技術的全面運用可以極短的時間內將攻擊包吸收至相應的誘騙系統當中，不僅可以對和攻擊者之間的連接進行快速切斷，還可有效保護主機，此外還能對攻擊行為和方式進行分析，為類似攻擊的防范提供基礎支持。

在未來的網絡安全中，將會面臨著更加嚴峻的考驗，不僅攻擊方式豐富，且危害性也在不斷提高。為此，相關人員必須充分理解防御技術應用與發展必要性，綜合分析網絡安全現狀，結合自身實踐經驗，積極研發各類殺毒軟件，并對服務器的安全進行加強，及時更新軟件與補丁，切實做好網絡安全管理。另外，人們還需轉變傳統觀念，網絡安全不單單是安裝各種殺毒軟件這么簡單，而是需要將系統應用、服務器等進行有效的結合，進而形成一個完善、健全的防御體系，以有效防止所有類型的入侵和攻擊。

參考文獻：

[1]應向榮.網絡攻擊新趨勢下主動防御系統的重要性.[J].計算機安全.2003.

[2]黃家林，張征帆.主動防御系統及應用研究.[J].網絡安全技術與應用.2007.

篇(3)

本文闡述了國內煙草企業面對的網絡信息安全的主要威脅，分析其網絡安全防護體系建設的應用現狀，指出其中存在的問題，之后，從科學設定防護目標原則、合理確定網絡安全區域、大力推行動態防護措施、構建專業防護人才隊伍、提升員工安全防護意識等方面，提出加強煙草企業網絡安全防護體系建設的策略，希望對相關工作有所幫助。

關鍵詞：

煙草企業；網絡安全防護；體系建設

隨著信息化的逐步發展，國內煙草企業也愈加重視利用網絡提高生產管理銷售水平，打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時，也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此，越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。

1威脅煙草企業網絡信息體系安全的因素

受各種因素影響，煙草企業網絡信息體系正遭受到各種各樣的威脅。

1.1人為因素

人為的無意失誤，如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊，這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一種是被動攻擊，他是在不影響網絡正常工作的情況下，進行截獲、竊取與破譯等行為獲得重要機密信息。

1.2軟硬件因素

網絡安全設備投資方面，行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位，但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的，如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件，其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，一旦被破解，其造成的后果將不堪設想。另外，各種新型病毒發展迅速，超出防火墻屏蔽能力等，都使企業安全防護網絡遭受嚴重威脅。

1.3結構性因素

煙草企業現有的網絡安全防護體系結構，多數采用的是混合型結構，星形和總線型結構重疊并存，相互之間極易產生干擾。利用系統存在的漏洞和“后門”，黑客就可以利用病毒等入侵開展攻擊，或者，網絡使用者因系統過于復雜而導致錯誤操作，都可能造成網絡安全問題。

2煙草企業網絡安全防護體系建設現狀

煙草企業網絡安全防護體系建設，仍然存在著很多不容忽視的問題，亟待引起高度關注。

2.1業務應用集成整合不足

不少煙草企業防護系統在建設上過于單一化、條線化，影響了其縱向管控上的集成性和橫向供應鏈上的協同性，安全防護信息沒有實現跨部門、跨單位、跨層級上的交流，相互之間不健全的信息共享機制，滯后的信息資源服務決策，影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計，致使信息化建設未能形成整體合力。

2.2信息化建設特征不夠明顯

網絡安全防護體系建設是現代煙草企業的重要標志，但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合，對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標，缺乏宏觀角度上的溝通協調，致使在信息化建設中，業務、管理、技術“三位一體”的要求并未落到實處，影響了網絡安全防護的效果。

2.3安全運維保障能力不足

缺乏對運維保障工作的正確認識，其尚未完全融入企業信息化建設的各個環節，加上企業信息化治理模式構建不成熟等原因，制約了企業安全綜合防范能力與運維保障體系建設的整體效能，導致在網絡威脅的防護上較為被動，未能做到主動化、智能化分析，導致遭受病毒、木馬、釣魚網站等反復侵襲。

3加強煙草企業網絡安全防護體系建設的策略

煙草企業應以實現一體化數字煙草作為建設目標，秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則，始終堅持兩級主體、協同建設和項目帶動的模式，按照統一架構、安全同步、統一平臺的技術規范，才能持續推動產業發展同信息化建設和諧共生。

3.1遵循網絡防護基本原則

煙草企業在建設安全防護網絡時，應明白建設安全防護網絡的目標與原則，清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分，不同區域的防御體系應具有針對性，相互之間邏輯清楚、調用清晰，從而使網絡邊界更為明確，相互之間更為信任。要對已出現的安全問題進行認真分析，并歸類統計，大的問題盡量拆解細分，類似的問題歸類統一，從而將復雜問題具體化，降低網絡防護工作的難度。對企業內部網絡來說，應以功能為界限來劃分，以劃分區域為安全防護區域。同時，要不斷地完善安全防護體系建設標準，打破不同企業之間網絡安全防護體系的壁壘，實現信息資源更大程度上的互聯互通，從而有效地提升自身對網絡威脅的抵御力。

3.2合理確定網絡安全區域

煙草企業在使用網絡過程中，不同的區域所擔負的角色是不同的。為此，內部網絡，在設計之初，應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時，對生產、監管、流通、銷售等各個環節，要根據其業務特點強化對應的網絡使用管理制度，既能實現網絡安全更好防護，也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時，不能以偏概全、一蹴而就，應本著實事求是的態度，根據企業實際情況，以現有的網絡安全防護為基礎，有針對性地進行合理的劃分，才能取得更好的防護效果。

3.3大力推行動態防護措施

根據網絡入侵事件可知，較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此，煙草企業在構建網絡安全防護體系時，應根據不同的威脅形式確定相應的防護技術，且系統要能夠隨時升級換代，從而提升總體防護力。同時，要定期對煙草企業所遭受的網絡威脅進行分析，確定系統存在哪些漏洞、留有什么隱患，實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制，在系統遭受重大網絡威脅而癱瘓時，確保在最短的時間內恢復系統的基本功能，為后期確定問題原因與及時恢復系統留下時間，并且確保企業業務的開展不被中斷，不會為企業帶來很大的經濟損失。另外，還應大力提倡煙草企業同專業信息防護企業合作，構建病毒防護戰略聯盟，為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。

3.4構建專業防護人才隊伍

人才是網絡安全防護體系的首要資源，缺少專業性人才的支撐，再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強，既要熟知信息安全防護技術，也要對煙草企業生產全過程了然于胸，并熟知國家政策法規等制度。因此，煙草企業要大力構建專業的網絡信息安全防護人才隊伍，要采取定期選送、校企聯訓、崗位培訓等方式，充分挖掘內部人力資源，提升企業現有信息安全防護人員的能力素質，也要積極同病毒防護企業、專業院校和科研院所合作，引進高素質專業技術人才，從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。

3.5提升員工安全防護意識

技術防護手段效果再好，員工信息安全防護意識不佳，系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心，統一對企業網絡安全防護系統進行管理培訓，各部門、各環節也要設立相應崗位，負責本崗位的網絡使用情況。賬號使用、信息、權限確定等，都要置于信息管理培訓中心的制約監督下，都要在網絡使用制度的規則框架中，杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育，提升其網絡安全防護意識，使其認識到安全防護體系的重要性，從而使每個人都能依法依規地使用信息網絡。

4結語

煙草企業管理者必須清醒認識到，利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨，絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰，以實事求是的態度，大力依托信息網絡安全技術，構建更為安全的防護體系，為企業做大做強奠定堅實的基礎。

參考文獻：

［1］楊波.基于安全域的煙草工業公司網絡安全防護體系研究［J］.計算機與信息技術,2012(5).

［2］賴如勤,郭翔飛,于閩.地市煙草信息安全防護模型的構建與應用［J］.中國煙草學報,2016(4).

篇(4)

網絡安全是指通過有效手段來保護網絡內的所有軟硬件以及存儲的數據,避免被偶然的、惡意的原因破壞、更改或泄露,保證網絡能夠穩定的提供服務,系統也能夠正常的運行。從廣義來說,任何網絡中數據安全保密的屬性都是網絡安全研究的領域。網絡安全的本質就是網絡中的數據和信息的安全。網絡安全管理是一種依托網絡管理、網絡安全、人工智能、安全防范等多領域的技術支持,對計算機網絡進行統一監控和協調管理的技術。主要解決在網絡環境和計算機應用體系中的安全技術和產品的統一管理和協調問題,從整體上提高網絡防御入侵、抵抗攻擊的能力,確保網絡和系統的完整性、可靠性和可用性。計算機網絡安全管理包括對安全服務、機制和安全相關信息的管理以及管理自身的安全性兩個方面,其過程通常由管理、操作和評估三個階段組成,它涉及的因素很多,如人員、硬件、軟件、數據、文檔、法律法規,它在整個網絡安全保護工作中起著十分重要的作用,在整個網絡安全系統中網絡安全技術都必須在正確的管理技術下得到實施。據有關分析報告指出,在整個網絡安全工作中管理要素占份量高達60％,實體安全要素占20％,法律要素占10％,技術要素占10％。安全管理不完善是網絡安全的重要隱患,例如一些單位或企業對于網絡安全往往只注重對外部入侵者的防范,而對內部管理重視不足。在實際網絡系統的應用中,既要重視對計算機網絡安全技術的應用,又要注重對計算機網絡系統的安全管理,它們之間相互補充,缺一不可,技術主要側重于防范外部非法用戶的攻擊,管理則側重于內部人為因素的管理。

2公共部門網絡安全管理中的問題

(1)重建設、輕管理,安全管理制度落實不到位

目前公共部門在信息化建設中存在一些不良弊端,往往重視計算機網絡系統設備的選購和建設的過程,然而當網絡系統完成建設后卻不能及時的按照上級相關網絡管理制度,來對設備進行管理維護,缺乏一套有效的、適合本單位的網絡管理制度。

(2)網絡安全管理人才不足

當前計算機技術飛速發展,對操作和使用計算機設備的人的要求也是越來越高。然而,在計算機網絡體系的建設過程中,相關的專業人才較少,相關的內部業務培訓也無法滿足當前信息發展的要求,在各單位普遍存在網絡管理人員專業能力不強、素質不高、安全意識薄弱等問題。目前,加強網絡安全管理人才的培養已成為當前計算機網絡體系建設中急需解決的問題之一。

(3)公共部門人員網絡知識水平參差不齊

網絡安全意識淡薄。當下,隨著計算機網絡的普及,越來越多的單位都將本單位的計算機連入了網絡。但是大部分用戶對計算機網絡安全知識不熟悉,對網絡及各種系統大多停留在如何使用的基礎上,對網絡安全防護意識不強。例如,在無保護措施的情況下,隨意共享、傳遞重要文件,甚至少數人在無意識的情況下將帶有保密信息的計算機、存儲介質連入Internet。

3相關對策

(1)加強思想教育

從思想上構筑網絡安全的防火墻。提高網絡安全防護能力,首先要加強用戶的網絡安全意識,通過在公共部門中宣講學習上級關于網絡安全防護的有關指示精神、政策法規和一些網絡安全防護知識的教材,引導用戶充分認識到網絡安全防護工作的重要性,學習如何加強網絡安全防護能力的基礎知識,要讓每名工作人員知道在網絡防護工作中自己應該做什么和怎么做。以近些年發生的網絡安全事件為案例,講述發生網絡失泄密對部門和個人造成的危害性,進一步增強全體工作人員的遵紀守法、安全保密意識,堅決杜絕危害計算機網絡系統的思想行為。

(2)采取多種技術手段

為信息安全防護提供強有力的技術保障。在網絡安全建設中,要在網絡物理隔離的基礎上,運用防火墻技術、入侵檢測技術、身份認證技術、數據加密技術、漏洞掃描技術和防病毒技術及其相應的專業設備,從技術層面上提升網絡防護能力。對已建設好的各類網絡系統,要積極研究和開發適合的網絡安全管理系統,對網絡運行狀態進行實時監控,能夠及時發現和修復系統存在的漏洞,主動抵御黑客和病毒的侵襲,監測網絡中發生的各種異常情況并進行告警。還要嚴格控制各類接觸網絡人員的訪問權限,備份重要數據,以便一旦出事,可以迅速恢復。通過對各種網絡防護技術的運用,科學的構建計算機網絡安全防護體系。

(3)注重高科技人才的培養

建立一支具有強大戰斗力的網絡安全防護隊伍。在未來可能遭遇的網絡攻擊中,要避免被侵害,先進的技術和設備是一個因素,但是最終決定結果的因素是人在其中所發揮的作用。新時期新階段,信息化人才隊伍的建設有了更高的要求,高素質人才是信息建設現代化的關鍵。

(4)加強網絡安全制度建設

使網絡安全防護工作有法可依、有章可循。嚴格按照規章制度辦事是提升網絡安全防護能力的基礎,在計算機網絡系統建設和使用過程中,把各項規章制度落實到位,還要具體問題具體分析,結合自己單位實際建立可行的網絡安全管理辦法。尤其是在制度實施過程中,一定要嚴格遵守,一套再科學有效的制度如果無法執行,那么就無法對網絡安全建設產生作用。要建立合理的分層管理和責任管理的制度,將具體責任層層明確到具體人身上,對違反了規定的人要給予嚴厲的處罰,提高違法成本,對心存僥幸的人在心理上起到震懾,杜絕違規違法操作。同時,隨著信息技術的快速發展,在制度制定時,要不斷科學的創新、完善和更新現有制度,真正在制度上保障計算機網絡系統的安全。

4總結與展望

篇(5)

關鍵詞：煤炭企業；網絡信息安全；問題；對策

引言：當前煤炭企業對網絡安全威脅很難開展有效的監測，無法實現主動防御，只能處于一種被動防護狀態，這無疑將會給煤炭企業引入極大的網絡安全風險。煤炭企業上到領導下到普通職員，均對網絡信息安全問題抱有僥幸的心理，覺得一般不會出大的問題，從而缺少積極的防范措施，使得煤炭企業當前在應對實際的網絡安全威脅時不能有效的進行監測和防護。

一、關于煤炭企業當前面臨的網絡信息安全問題的分析

（1）煤炭企業員工的網絡信息安全意識比較淡薄

當前很多煤炭企業對自身所處的網絡信息安全現狀依然缺少正確、完整的認識，他們企業管理者覺得煤炭企業信息化的水平不高，接入互聯網的終端和用戶比較少，因此企業的網絡信息安全問題并不會給煤炭企業造成一定的威脅。另外，煤炭企業的管理層缺少對企業網絡信息安全的有效支持，使得實際投入到企業網絡和信息安全建設中的資金遠遠達不到應有的要求。

（2）煤炭企業內部網絡信息系統的防護能力比較薄弱

從目前看來，依然存在一些煤炭企業缺少復雜的網絡信息系統部署結構，已有的設備性能和配置也比較落后。在實際的網絡系統部署中缺少有效的安全防護技術和手段，不能有效監測到網絡安全的威脅，只能一直處于被動防護的狀態。由于煤炭企業內部大多使用的還是比較老舊的操作系統，這些舊的終端設備本身就存在著大量的系統漏洞，很容易遭到黑客的攻擊。當各個系統或軟件廠商在網上修補漏洞的補丁時，很多煤炭企業員工和用戶由于對這些網絡安全問題缺少正確的認識，無法意識到這些系統和軟件漏洞會給煤炭企業本身帶來的安全威脅，使得企業內部網絡終端設備很難全部完成漏洞的修補。

（3）煤炭企業缺乏有效的網絡安全防范體系

調查發現，當前很多煤炭企業的網絡信息安全管理較為混亂，沒有形成一套科學完整的網絡安全防范體系和機制。煤炭企業雖然制定了一些有關于網絡信息安全的管理制度和工作方法，但是依然缺乏有效的網絡安全威脅監測和應對方法，對于已有的網絡安全管理辦法也很難嚴格的去執行，不能達到預期的網絡安全防護效果。另外，對于煤炭企業員工本身缺少有效的約束管理辦法，大多數時候只能依靠員工本身的自律能力，沒能從企業網絡安全管理制度和辦法上建立起一種行之有效的防范措施。

二、煤炭企業防范網絡信息安全的對策

（1）加強企業內部網絡信息安全管理

煤炭企業要想提高企業本身的網絡安全防護能力，首先必須改變企業當前固有的網絡安全管理方法，各個部門都需要制定出適合自己部門業務系統的網絡安全防護管理機制和體系。煤炭企業必須加強企業內部自身的管理，為企業制定一套完整的網絡安全審計體系，能夠及時的發現潛在的安全威脅，并有效的追蹤到問題責任人。煤炭企業的網絡安全防護能力的強弱還需要根據企業員工網絡安全意識的強弱來判斷，因此在煤炭企業實際的運營當中，必須加大對企業網絡安全技術培訓和教育的投入。在煤炭企業中，網絡信息安全相關知識的培訓、教育以及宣傳非常重要，尤其要加強企業員工對網絡安全意識的培養，認識到網絡安全對企業發展的重要性。要想讓煤炭企業能夠具備足夠的網絡安全知識和應急響應能力，就必須對企業員工開展定期的網絡安全知識培訓，從而不斷維持煤炭企業較高的網絡信息安全水平。

（2）引入先進的安全防護技術

除了剛剛提到的煤炭企業要加強企業內部網絡信息安全管理之外，最為重要的就是煤炭企業必須要引入先進的網絡安全防護技術。如果企業沒有這些先進的安全防護技術，那么煤炭企業的網絡信息安全管理做的再好也沒有用，因為攻擊者將能夠直接不費吹之力拿下企業的整個網絡系統，令企業面臨巨大的經濟或聲譽損失。當前隨著攻擊者的攻擊手段不斷提高，網絡安全防護技術也在不斷地取得發展，因此煤炭企業必須要選擇先進的安全防護技術來保護企業系統免受侵害。

首先，煤炭企業必須要給企業內部所有的辦公終端安裝網絡版的防病毒軟件，如此一來煤炭企業便可以實現對企業辦公終端的集中式管理，使得企業的系統管理員能夠及時的了解到當前網絡環境中每個節點的網絡安全狀態，從而可以實現對企業辦公終端的有效監管。此外，煤炭企業必須要在系統網絡之間部署防火墻，避免攻擊者通過非法的技術手段訪問企業內部網絡，從而有效保護企業內部網絡的安全。防火墻技術能夠實現煤炭企業內部網絡和外部網絡的有效隔離，所有來自煤炭企業外部網絡的訪問都需要經過防火墻的檢查，從而提高企業內部網絡的安全性。除此之外，煤炭企業還必須引入數據加密技術，來有效提高企業內部系統和數據的保密性，避免企業內部的機密數據被攻擊者竊取或遭內部員工的泄露。機密數據在發送之前會被發送者使用密鑰進行加密處理得到密文，然后密文會通過傳輸介質傳送給接收者，接收者在拿到密文之后，需要利用密鑰對密文進行解密處理得到原始的機密數據。這樣一來便保證了數據信息的機密性，從而避免機密數據被黑客竊取給煤炭企業帶來經濟損失。

篇(6)

關鍵詞：計算機；網絡安全；計算機病毒；防護

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2012) 10-0000-02

Internet技術在近些年來發展迅速，在計算機網絡迅速普及的過程中，人們的生產、生活方式也在不斷地發生改變。但是在計算機網絡普及的過程中，計算機的安全隱患也逐漸地顯現出來，計算機網絡的安全急需強有力的措施加以保證。本文主要對計算機網絡安全技術進行分析探討。

一、網絡與網絡安全

網絡，從校園中的局域網到遍及全球的互聯網，逐漸顯示其開放、互聯與共享的特點，但是在發展的過程中暴露出更多的網絡安全問題。用戶對網絡安全的要求很高，安全管理是網絡系統的薄弱環節，安全管理需要網絡管理者對潛在的安全威脅，有提前預見性。及時針對出現的安全隱患采取相應的防范措施，將安全威脅減少到最低，使公司企業網絡內部信息與外部數據的危險系數降到最低化。利用網絡管理控制和技術措施能夠保證計算機網絡的安全性能，保證保密性數據在安全的網絡環境中，能夠得到完整地運行和正常的使用。計算機網絡安全技術，涉及到防病毒軟件技術，防火墻技術，以及相關的安全組件的組合，確保網絡信息的安全。如，防火墻技術、PKI技術、數據加密技術，可以確保網絡正常、高效、安全地運行。

網站的建設和管理，需要隨時發現網絡的安全問題，及時研究制訂網絡管理措施控制和技術。網絡安全包括的基本要素有：①確保信息不暴露給未授權實體進程的機密性；②只有被許可人能修改數據，辨別數據可用與否的完整可用性③信息能被控制授權范圍內流向的可控性④網絡安全問題具有針對性調查依據的可審查性。

二、威脅計算機網絡安全的幾大因素

（一）人為竊密和破壞因素。威脅計算機網絡安全的人為因素之一，就是內部竊密和破壞。內部人員由于故意或過失對信息進行泄露和對記錄的更改，造成對信息系統的威脅。內還有一些機關和單位由于管理上的疏忽，造成非授權人員的進入沒有被阻止，而造成的機密信息有意無意地被泄露。內部人員不按照要求對網絡配置與信息記錄的私自更改，從而破壞網絡信息系統，出現嚴重的安全隱患。

（二）黑客的非法訪問。未經授權的使用者進入網絡資源。如，黑客進入系統進行破壞性的網絡操作，當然，合法用戶在未授權下也屬于非法訪問操作。黑客工具BO(Back Orfice2000) 是運行環境為Win98的，較常見的木馬程序，Bogui . exe是它的宿主端程序，Bogui . exe程序為客戶端?？杀O控在TCP/ IP協議下任何上網的計算機。服務器端程序通過注冊表自動運行。

（三）信息完整性被破壞。信息完整性被攻擊的形象如，打亂信息流序，信息的一些關鍵性內容被更改，使得信息不再完整，還有的是在信息中加入與之無關的內容，讓接受信息的一方不能順利接收，或者接到了信息不發識別，出現亂碼。如，“茅山下”網站郵件病毒，通過“I LOVEYOU”(愛蟲) 病毒自我復制和傳播。收件人通過OutlookRS 打開染病毒郵件，病毒被自動激活，發送帶有病毒附件的郵件,類似于蠕蟲一樣“蠕動”,從一臺機器感染到多臺機器。

（四）搭線、截收機密信息。這種方式是安全分子通過搭線截收方式，改變信息流向，對通信頻度和長度參數的更改，來截獲信息。這種與前一種的不同之處是，具有很強的隱蔽性，因為這種方式不對傳輸信息的內容造成破壞。攻擊者截獲并錄制信息后，定時重發或循環發送。

（五）通過冒充左右網絡資源。網絡信息的攻擊者，通過冒充領導，來發號施令調閱文件。通過對主機的冒充，使得合法用戶被欺騙。通過對控制程序的冒充，來套改網絡使用的權限口令信息，使網絡設備和資源被非法使用，使得合法用戶系統被欺騙，不能正常地來對網絡資源進行有效的訪問，合法資源被非法占用。在服務和訪問的時間上受到嚴重影響，嚴重的系統會被摧毀。

（六）消息發出后的否認。某條消息的內容被發信者發送后，但事后否認發送行為，或否認曾經接收過相關的消息。此外，計算機病毒、電磁泄漏、各種災害、操作失誤等也會對網絡系統造成威脅。

三、計算機網絡安全防護技術

計算機網絡安全系統工程較復雜，需要從技術設備與制度管理多方面進行整體把握防護。綜合網絡信息系統安全技術，制定安全方案。通過綜合安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術，構建一套完整的網絡安全防護體系，使管理與技術并重并相結合，加強網絡立法與執法力度打擊計算機犯罪。建立備份恢復機制，制定相應的安全標準，不給計算機病毒可乘之機。

（一）防火墻技術。由軟件、硬件在網絡群體計算機與外界通道間，構成防火墻，對外界用戶在內部網絡訪問上加以限制和約束。對于內部用戶，管理外界網絡的訪問權限。防火墻是實現網絡安全最基本、最有效的一道高效的屏障。

篇(7)

關鍵詞：P2DR模型主動防御技術SCADA調度自動化

隨著農網改造的進行，各電力部門的調度自動化系統得到了飛快的發展，除完成SCADA功能外，基本實現了高級的分析功能，如網絡拓撲分析、狀態估計、潮流計算、安全分析、經濟調度等，使電網調度自動化的水平有了很大的提高。調度自動化的應用提高了電網運行的效率，改善了調度運行人員的工作條件，加快了變電站實現無人值守的步伐。目前，電網調度自動化系統已經成為電力企業的"心臟"[1]。正因如此，調度自動化系統對防范病毒和黑客攻擊提出了更高的要求，《電網和電廠計算機監控系統及調度數據網絡安全防護規定》（中華人民共和國國家經濟貿易委員會第30號令）[9]中規定電力監控系統的安全等級高于電力管理信息系統及辦公自動化系統。各電力監控系統必須具備可靠性高的自身安全防護設施，不得與安全等級低的系統直接相聯。而從目前的調度自動化安全防護技術應用調查結果來看，不少電力部門雖然在調度自動化系統網絡中部署了一些網絡安全產品，但這些產品沒有形成體系，有的只是購買了防病毒軟件和防火墻，保障安全的技術單一，尚有許多薄弱環節沒有覆蓋到，對調度自動化網絡安全沒有統一長遠的規劃，網絡中有許多安全隱患，個別地方甚至沒有考慮到安全防護問題，如調度自動化和配網自動化之間，調度自動化系統和MIS系統之間數據傳輸的安全性問題等，如何保證調度自動化系統安全穩定運行，防止病毒侵入，已經顯得越來越重要。

從電力系統采用的現有安全防護技術方法方面，大部分電力企業的調度自動化系統采用的是被動防御技術，有防火墻技術和入侵檢測技術等，而隨著網絡技術的發展，逐漸暴露出其缺陷。防火墻在保障網絡安全方面，對病毒、訪問限制、后門威脅和對于內部的黑客攻擊等都無法起到作用。入侵檢測則有很高的漏報率和誤報率[4]。這些都必須要求有更高的技術手段來防范黑客攻擊與病毒入侵，本文基于傳統安全技術和主動防御技術相結合，依據動態信息安全P2DR模型，考慮到調度自動化系統的實際情況設計了一套安全防護模型，對于提高調度自動化系統防病毒和黑客攻擊水平有很好的參考價值。

1威脅調度自動化系統網絡安全的技術因素

目前的調度自動化系統網絡如iES-500系統[10]、OPEN2000系統等大都是以Windows為操作系統平臺，同時又與Internet相連，Internet網絡的共享性和開放性使網上信息安全存在先天不足，因為其賴以生存的TCP/IP協議缺乏相應的安全機制，而且Internet最初設計沒有考慮安全問題，因此它在安全可靠、服務質量和方便性等方面存在不適應性[3]。此外，隨著調度自動化和辦公自動化等系統數據交流的不斷增大，系統中的安全漏洞或"后門"也不可避免的存在，電力企業內部各系統間的互聯互通等需求的發展，使病毒、外界和內部的攻擊越來越多，從技術角度進一步加強調度自動化系統的安全防護日顯突出。

2基于主動防御新技術的安全防護設計

2.1調度自動化系統與其他系統的接口

由于調度自動化系統自身工作的性質和特點，它主要需要和辦公自動化（MIS）系統[6]、配網自動化系統實現信息共享。為了保證電網運行的透明度，企業內部的生產、檢修、運行等各部門都必須能夠從辦公自動化系統中了解電網運行情況，因此調度自動化系統自身設有Web服務器，以實現數據共享。調度自動化系統和配網自動化系統之間由于涉及到需要同時控制變電站的10kV出線開關，兩者之間需要進行信息交換，而配網自動化系統運行情況需要通過其Web服務器公布于眾[5]，同時由于配網自動化系統本身的安全性要求，考慮到投資問題，可以把它的安全防護和調度自動化一起考慮進行設計。

2.2主動防御技術類型

目前主動防御新技術有兩種。一種是陷阱技術，它包括蜜罐技術（Honeypot）和蜜網技術(Honeynet)。蜜罐技術是設置一個包含漏洞的誘騙系統，通過模擬一個或多個易受攻擊的主機，給攻擊者提供一個容易攻擊的目標[2]。蜜罐的作用是為外界提供虛假的服務，拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。蜜罐根據設計目的分為產品型和研究型。目前已有許多商用的蜜罐產品，如BOF是由MarcusRanum和NFR公司開發的一種用來監控BackOffice的工具。Specter是一種商業化的低交互蜜罐，類似于BOF，不過它可以模擬的服務和功能范圍更加廣泛。蜜網技術是最為著名的公開蜜罐項目[7],它是一個專門設計來讓人"攻陷"的網絡，主要用來分析入侵者的一切信息、使用的工具、策略及目的等。

另一種技術是取證技術，它包括靜態取證技術和動態取證技術。靜態取證技術是在已經遭受入侵的情況下，運用各種技術手段進行分析取證工作。現在普遍采用的正是這種靜態取證方法，在入侵后對數據進行確認、提取、分析，抽取出有效證據，基于此思想的工具有數據克隆工具、數據分析工具和數據恢復工具。目前已經有專門用于靜態取證的工具，如GuidanceSoftware的Encase,它運行時能建立一個獨立的硬盤鏡像，而它的FastBloc工具則能從物理層組織操作系統向硬盤寫數據。動態取證技術是計算機取證的發展趨勢，它是在受保護的計算機上事先安裝上，當攻擊者入侵時，對系統的操作及文件的修改、刪除、復制、傳送等行為，系統和會產生相應的日志文件加以記錄。利用文件系統的特征，結合相關工具，盡可能真實的恢復這些文件信息，這些日志文件傳到取證機上加以備份保存用以作為入侵證據。目前的動態取證產品國外開發研制的較多，價格昂貴，國內部分企業也開發了一些類似產品。

2.3調度自動化系統安全模型

調度自動化安全系統防護的主導思想是圍繞著P2DR模型思想建立一個完整的信息安全體系框架，P2DR模型最早是由ISS公司提出的動態安全模型的代表性模型，它主要包含4個部分：安全策略（Policy）、防護（Protection）、檢測（Detection）和響應（Response）[8]。模型體系框架如圖1所示。

在P2DR模型中，策略是模型的核心，它意味著網絡安全需要達到的目標，是針對網絡的實際情況，在網絡管理的整個過程中具體對各種網絡安全措施進行取舍，是在一定條件下對成本和效率的平衡[3]。防護通常采用傳統的靜態安全技術及方法來實現，主要有防火墻、加密和認證等方法。檢測是動態響應的依據，通過不斷的檢測和監控，發現新的威脅和弱點。響應是在安全系統中解決安全潛在性的最有效的方法，它在安全系統中占有最重要的地位。

2.4調度自動化系統的安全防御系統設計

調度自動化以P2DR模型為基礎，合理利用主動防御技術和被動防御技術來構建動態安全防御體系，結合調度自動化系統的實際運行情況，其安全防御體系模型的物理架構如圖2所示。

防護是調度自動化系統安全防護的前沿，主要由傳統的靜態安全技術防火墻和陷阱機實現。在調度自動化系統、配網自動化系統和公司信息網絡之間安置防火墻監視限制進出網絡的數據包，防范對內及內對外的非法訪問。陷阱機隱藏在防火墻后面，制造一個被入侵的網絡環境誘導入侵，引開黑客對調度自動化Web服務器的攻擊，從而提高網絡的防護能力。

檢測是調度自動化安全防護系統主動防御的核心，主要由IDS、漏洞掃描系統、陷阱機和取證系統共同實現，包括異常檢測、模式發現和漏洞發現。IDS對來自外界的流量進行檢測，主要用于模式發現及告警。漏洞掃描系統對調度自動化系統、配網自動化主機端口的已知漏洞進行掃描，找出漏洞或沒有打補丁的主機，以便做出相應的補救措施。陷阱機是設置的蜜罐系統，其日志記錄了網絡入侵行為，因此不但充當了防護系統，實際上又起到了第二重檢測作用。取證分析系統通過事后分析可以檢測并發現病毒和新的黑客攻擊方法和工具以及新的系統漏洞。響應包括兩個方面，其一是取證機完整記錄了網絡數據和日志數據，為攻擊發生系統遭破壞后提出訴訟提供了證據支持。另一方面是根據檢測結果利用各種安全措施及時修補調度自動化系統的漏洞和系統升級。

綜上所述，基于P2DR模型設計的調度自動化安全防護系統有以下特點和優越性：

·在整個調度自動化系統的運行過程中進行主動防御，具有雙重防護與多重檢測響應功能；

·企業內部和外部兼防，可以以法律武器來威懾入侵行為，并追究經濟責任。

·形成了以調度自動化網絡安全策略為核心的防護、檢測和響應相互促進以及循環遞進的、動態的安全防御體系。

3結論

調度自動化系統的安全防護是一個動態發展的過程，本次設計的安全防護模型是采用主動防御技術和被動防御技術相結合，在P2DR模型基礎上進行的設計，使調度自動化系統安全防御在遭受攻擊的時候進行主動防御，增強了系統安全性。但調度自動化系統安全防護并不是純粹的技術，僅依賴安全產品的堆積來應對迅速發展變化的攻擊手段是不能持續有效的。調度自動化系統安全防護的主動防御技術不能完全取代其他安全機制，尤其是管理規章制度的嚴格執行等必須長抓不懈。

參考文獻：

[1]梁國文.縣級電網調度自動化系統實現的功能.農村電氣化,2004,(12):33~34.

[2]丁杰,高會生,俞曉雯.主動防御新技術及其在電力信息網絡安全中的應用.電力系統通信,2004,(8):42~45.

[3]趙陽.電力企業網的安全及對策.電力信息化,2004,(12):26~28.

[4]阮曉迅,等.計算機病毒的通用防護技術.電氣自動化,1998,(2):53~54.

[5]郝印濤,等.配網管理與調度間的信息交換.農村電氣化,2004,(10):13~14.

[6]韓蘭波.縣級供電企業管理信息系統(MIS)的應用.農村電氣化,2004,(12):33~34.

[7]HoneyntProject.KnowYourEnemy:Hnoeynet[DB/OL]..

[8]戴云,范平志.入侵檢測系統研究綜述[J].計算機工程與應用,2002,38(4):17~19.