網絡系統網絡安全8篇

時間：2023-11-22 16:05:16

緒論：在尋找寫作靈感嗎？愛發表網為您精選了8篇網絡系統網絡安全，愿這些內容能夠啟迪您的思維，激發您的創作熱情，歡迎您的閱讀與分享！

篇1

論文摘要：本文對船舶計算機網絡系統的安全現狀和問題原因進行了概括性的敘述，對網絡安全的需求進行了研究分析。從實施船舶計算機網絡系統安全管理的現實條件和實際要求出發，提出了船舶計算機網絡系統安全管理的策略和解決方案，針對不同情況的船舶提出了相應的實施建議。

1引言

進入二十一世紀以來，隨著船舶自動化和信息化程度不斷提高，船舶計算機網絡系統及其應用得到了迅速發展。越來越多的新造船舶采用計算機網絡技術將船舶輪機監控系統、航海駕駛智能化系統、船舶管理信息系統（smis）等應用納入一個統一的網絡系統，實現船岸管控一體化。

在我司近幾年建造的4萬噸級以上的油輪上，普遍安裝了計算機局域網。一方面，計算機網絡用于傳輸船上動力裝置監測系統與船舶航行等實時數據；另一方面，計算機網絡用于船舶管理信息系統（功能包括船舶機務、采購、海務、安全、體系管理與油輪石油公司檢查管理）并通過網絡中船舶通訊計算機實現船岸間的數據交換，實現船岸資源共享，有利于岸基他船舶管理人員對船舶的監控與業務指導。前者屬于實時系統應用，后者屬于船舶日常管理系統應用，在兩種不同類型的網絡應用（子網）之間采用網關進行隔離。目前，船舶計算機網絡系統采用的硬件設備和軟件系統相對簡單，因此，船舶計算機網絡的安全基礎比較薄弱。隨著船齡的不斷增長，船上計算機及網絡設備逐漸老化；并且，船上沒有配備專業的人員負責計算機網絡和設備的運行維護和管理工作，所以船舶計算機及網絡的技術狀況比較差，影響各類系統的正常使用與船岸數據的交換。究其原因，除了網絡設備和網絡線路故障問題之外，大多數問題是因各類病毒與管理不善等原因所引起的。

2船舶計算機網絡架構

目前在船舶上普遍采用工業以太網，船舶局域網大多采用星型結構。

有些船舶已經在所有船員房間布設了局域網網線，而有些船舶只是在高級船員房間布設了計算機局域網網線。圖表1是一艘30萬噸超級油輪（vlcc）的計算機局域網結構圖。

圖表2 是船舶計算機網絡拓撲結構圖。其中，局域網服務器采用hp compaq dx7400（pentium dual e2160/1.8ghz/ddr2 512m/80g）；網關采用industrial computer 610（p4 2.8ghz/ddr333 512m/80g）；交換機采用d-link des-1024d快速以太網交換機（10/100m 自適應，工作在二層應用層級）。

3船舶計算機網絡系統的安全問題

2005年以來，有很多的船舶管理公司推進實施船舶管理信息系統。對于遠洋船舶來說，船上需要安裝使用船舶管理信息系統的船舶版軟件。大多數的船舶版軟件都是采用客戶端/服務器兩層架構，高級船員的辦公計算機作為客戶端，通過聯網使用船舶管理信息系統。船上的船舶管理信息系統通過電子郵件（一般采用amos mail或rydex電子郵件）與岸基的船舶管理信息系統交換數據，實現船、岸船舶數據庫的數據同步。

根據了解，目前船舶計算機網絡最主要的問題（也是最突出的現狀）是安全性和可用性達不到船舶管理信息系統運行使用的基本要求。船舶管理信息系統數據庫服務器與郵件服務器之間，以及船員的辦公計算機與船舶管理信息系統數據庫服務器之間經常無法聯通。經過上船檢查發現，影響船舶計算機網絡系統正常運行的主要原因是計算機病毒。大多數船舶的辦公計算機采用微軟操作系統，一方面沒有打補丁，另一方面尚未采取有效的防病毒措施，比如沒有安裝單機版或網絡版防病毒軟件。有些船舶雖然安裝了防病毒軟件，但是因為不能及時進行防毒軟件升級和病毒庫更新，所以無法查殺新病毒或新的變種病毒等，從而失去防病毒作用。經過調查分析，船上計算機病毒的主要來源是：（1）在局域網中的計算機上使用了帶有病毒的光盤、優盤、移動硬盤等存儲介質；（2）將帶有病毒的筆記本電腦接入了船上的局域網；（3）在局域網中的計算機上安裝有無線上網卡，通過無線上網（沿海航行或停靠港口時）引入了病毒/蠕蟲/木馬/惡意代碼等。

為了解決上述問題，有的企業在船舶辦公計算機上安裝了硬盤保護卡；也有一些企業在船舶辦公計算機上安裝了“一鍵恢復”軟件；另外還有企業開始在船舶計算機網絡系統中安裝部署專業的安全管理系統軟件和網絡版防病毒軟件。

若要從根本上增強船舶計算機網絡系統的安全性和可用性，則需要考慮以下條件的限制：（1）船上的計算機網絡架構在出廠時已經固定，除非船舶正在建造或者進廠修理，否則，凡是處于運營狀態的船舶，不可能立即為船舶管理信息系統專門建設一個物理上獨立的計算機局域網。（2）限于資金投入和船上安裝場所等原因，船上的計算機網絡設備或設施在短期內也不可能無限制按需增加。（3）從技術管理的角度看，在現階段，船舶仍不可能配備具有專業水平的網絡人員對計算機網絡系統進行管理。（4）因衛星通信通道和通信費用等原因，遠洋船舶的辦公計算機操作系統（微軟windows 系列）不可能從因特網下載補丁和打補丁；船舶局域網中的防病毒軟件和病毒庫不可能及時升級和更新。總體上看，解決船舶計算機網絡安全方面的問題，與陸地上確實有許多不同之處。

4船舶計算機網絡系統的安全需求分析

為提高船舶計算機網絡系統的可用性，即船舶計算機網絡系統任何一個組件發生故障，不管它是不是硬件，都不會導致網絡、系統、應用乃至整個網絡系統癱瘓,為此需要增強船舶計算機網絡系統的可靠性、可恢復性和可維護性。其中:（1）可靠性是指針對船舶上的溫度、濕度、有害氣體等環境，提高網絡設備和線路的技術要求，有關的設計方案在船舶建造和船舶修理時進行實施和實現。（2）可恢復性，是指船舶計算機網絡中任一設備或網段發生故障而不能正常工作時，依靠事先的設計，網絡系統自動將故障進行隔離。（3）可維護性，是指通過對船舶計算機網絡系統和網絡的在線管理，及時發現異常情況，使問題或故障能夠得到及時處理。

研究解決船舶計算機網絡系統安全管理問題，必須考慮現實的條件和實現的成本。總的原則是：方案簡潔、技術成熟；經濟性好、實用性強；易于實施、便于維護。因此，在盡量利用現有設備和設施、擴充或提高計算機及網絡配置、增加必要的安全管理系統軟件、嚴格控制增加設備的前提下，通過采用邏輯域劃分、病毒防殺、補丁管理、網絡準入、外設接口管理、終端應用軟件管理和移動存儲介質管理等手段，以解決船舶計算機網絡系統最主要的安全問題。

在對船舶計算機網絡采取安全防護技術措施的同時，還需要制定船舶計算機網絡系統安全管理制度；定制船舶計算機網絡系統安全策略和安全管理框架；對船員進行計算機及網絡系統安全知識教育，增強船員遵守公司制定的計算機網絡安全管理規定的意識和自覺性。

（1）加強船舶計算機病毒的防護，建立全面的多層次的防病毒體系，防止病毒的攻擊；

（2）采用專用的設備和設施實現船舶安全策略的強制執行，配合防毒軟件的部署與應用;

（3）加強船舶計算機網絡管理，通過桌面管理工具實現船舶計算機網絡運行的有效控制;

（4）制定相關的網絡安全防護策略，以及網絡安全事件應急響應與恢復策略，在正常預防網絡安全事件的同時，做好應對網絡安全事件的準備。

5船舶計算機網絡系統安全管理要求

5.1確定船舶網絡系統安全管理目標

基于以上對船舶計算機網絡系統安全問題和可用性需求的分析，我們認為解決網絡系統安全問題的最終目標是：

通過船舶計算機網絡系統安全管理制度的制定，安全策略和安全管理框架的開發，定制開發和部署適合船舶計算機網絡系統特點的安全管理系統，確保船舶計算機網絡系統安全可靠的運行和受控合法的使用，滿足船舶管理信息系統正常運行、業務運營和日常管理的需要。

通過實施船舶計算機網絡系統安全技術措施，達到保護網絡系統的可用性，保護網絡系統服務的連續性，防范網絡資源的非法訪問及非授權訪問，防范人為的有意或無意的攻擊與破壞，保護船上的各類信息通過局域網傳輸過程中的安全性、完整性、及時性，防范計算機病毒的侵害，實現系統快速恢復，確保船舶計算機網絡的安全運行和有效管理。總體上從五方面考慮：

（1）針對管理級安全，建立一套完整可行的船舶計算機網絡系統安全管理制度，通過有效的貫徹實施和檢查考核，實現網絡系統的安全運行管理與維護；

（2）針對應用級安全，加強船舶計算機網絡防病毒、防攻擊、漏洞管理、數據備份、數據加密、身份認證等，采用適合的安全軟硬件，建設安全防護體系；

（3）針對系統級安全，加強對服務器、操作系統、數據庫的運行監測，加強系統補丁的管理，通過雙機（或兩套系統）的形式保證核心系統運行，當發生故障時，能及時提供備用系統和恢復；

（4）針對網絡級安全，保證船舶計算機網絡設備、網絡線路的運行穩定，對核心層的網絡設備和線路提供雙路的冗余；

（5）針對物理級安全，保證船舶計算機網絡系統數據的安全和系統及時恢復，加強信息和數據的備份和各類軟件介質的管理。

5.2網絡系統安全配置原則

船舶計算機網絡系統是一套移動的計算機網絡系統，沒有專業的安全管理人員，缺乏專業的安全管理能力；船舶數量多，船舶計算機網絡系統規模小和相對比較簡潔，因此，不能按照企業網絡的安全管理體系來構建船舶計算機網絡系統的安全管理體系，必須制定經濟實用的網絡安全設計原則。

需求、風險、代價平衡的原則

對船舶計算機網絡系統進行切合實際的分析與設計，對系統可能面臨的威脅或可能承擔的風險提出定性、定量的分析意見，并制定相應的規范和措施，確定系統的安全策略。

綜合性、整體性、系統性原則

船舶計算機網絡系統安全是一個比較復雜的系統工程，從網絡系統的各層次、安全防范的各階段全面地進行考慮，既注重技術的實現，又要加大管理的力度，制定具體措施。安全措施主要包括：行政法律手段、各種管理制度以及專業技術措施。

易于操作、管理和維護性原則

在現階段，船舶上不可能配備專業的計算機系統安全管理員，采用的安全措施和系統應保證易于安裝、實施、操作、管理和維護，并盡可能不降低對船舶計算機網絡系統功能和性能的影響。

可擴展性、適應性及靈活性原則

船舶計算機網絡安全管理系統必須組件化或模塊化，便于部署；安全策略配置靈活，具有較強的適應性，能夠適應各種船舶的計算機網絡系統復雜多樣的現狀；安全管理系統必須具有較好的可擴展性，便于未來進行安全功能的擴展。

標準化、分步實施、保護投資原則

依照計算機系統安全方面的有關法規與行業標準和企業內部的標準及規定，使安全技術體系的建設達到標準化、規范化的要求，為拓展、升級和集中統一打好基礎。限于計算機系統安全理論與技術發展的歷史原因和企業自身的資金能力，對不同情況的船舶要分期、分批建設一些整體的或區域的安全技術系統，配置相應的設施。因此，依據保護系統安全投資效益的基本原則，在合理規劃、建設新的網絡安全系統或投入新的網絡安全設施的同時，對現有網絡安全系統應采取完善、整合的辦法，使其納入總體的網絡安全技術體系，發揮更好的效能，而不是排斥或拋棄。

5.3網絡安全管理的演進過程

建立、健全船舶計算機網絡系統安全管理體系，首先要建立一個合理的管理框架，要從整體和全局的視角，從信息系統的管理層面進行整體安全建設，并從信息系統本身出發，通過對船上信息資產的分析、風險分析評估、網絡安全需求分析、安全策略開發、安全體系設計、標準規范制定、選擇安全控制措施等步驟，從整個網絡安全管理體系上來提出安全解決方案。

船舶計算機網絡系統安全管理體系的建設須按適當的程序進行，首先應根據自身的業務性質、組織特征、資產狀況和技術條件定義isms的總體方針和范圍，然后在風險分析的基礎上進行安全評估，同時確定信息安全風險管理制度，選擇控制目標，準備適用性聲明。船舶計算機網絡系統安全管理體系的建立應遵循pdca的過程方法，必須循序漸進，不斷完善，持續改進。

6建立健全船舶計算機網絡安全管理制度

針對船舶計算機及網絡系統的安全，需要制定相關法規，結合技術手段實現網絡系統安全管理。制度和流程制定主要包括以下幾個方面：

制定船舶計算機及網絡系統安全工作的總體方針、政策性文件和安全策略等，說明機構安全工作的總體目標、范圍、方針、原則、責任等；

對安全管理活動中的各類管理內容建立安全管理制度，以規范安全管理活動，約束人員的行為方式；

對要求管理人員或操作人員執行的日常管理操作，建立操作規程，以規范操作行為，防止操作失誤；

形成由安全政策、安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系；

由安全管理團隊定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。

7 總結

對于船舶計算機網絡安全按作者的經驗可以針對不同類型、不同情況的具體船舶，可以結合實際需要和具體條件采取以下解決方案：

1.對于正在建造的船舶和準備進廠修理的船舶，建議按照較高級別的計算機網絡安全方案進行實施，全面加固船舶計算機及網絡的可靠性、可恢復性和可維護性，包括配置冗余的網絡設備和建設備用的網絡線路。

2.對于正在營運的、比較新的船舶，建議按照中等級別的計算機網絡安全方案進行實施，若條件允許，則可以增加專用的安全管理服務器設備，更新或擴充升級原有的路由器或交換機。

3.對于其它具備計算機局域網、船齡比較長的船舶，建議按照較低級別的計算機網絡安全方案進行實施，不增加專用的安全管理服務器設備，主要目標解決計算機網絡防病毒問題。

4.對于不具備計算機局域網的老舊船舶，可以進一步簡化安全問題解決方案，著重解決船舶管理信息系統服務器或單機的防病毒問題，以確保服務器或單機上的系統能夠正常運行使用。

參考文獻：

篇2

1引言

進入二十一世紀以來，隨著船舶自動化和信息化程度不斷提高，船舶計算機網絡系統及其應用得到了迅速發展。越來越多的新造船舶采用計算機網絡技術將船舶輪機監控系統、航海駕駛智能化系統、船舶管理信息系統（SMIS）等應用納入一個統一的網絡系統，實現船岸管控一體化。

2船舶計算機網絡架構

目前在船舶上普遍采用工業以太網，船舶局域網大多采用星型結構。

有些船舶已經在所有船員房間布設了局域網網線，而有些船舶只是在高級船員房間布設了計算機局域網網線。圖表1是一艘30萬噸超級油輪（VLCC）的計算機局域網結構圖。

圖表2 是船舶計算機網絡拓撲結構圖。其中，局域網服務器采用HP COMPAQ DX7400（PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G）；網關采用INDUSTRIAL COMPUTER 610（P4 2.8GHZ/DDR333 512M/80G）；交換機采用D-LINK DES-1024D快速以太網交換機（10/100M 自適應，工作在二層應用層級）。

3船舶計算機網絡系統的安全問題

2005年以來，有很多的船舶管理公司推進實施船舶管理信息系統。對于遠洋船舶來說，船上需要安裝使用船舶管理信息系統的船舶版軟件。大多數的船舶版軟件都是采用客戶端/服務器兩層架構，高級船員的辦公計算機作為客戶端，通過聯網使用船舶管理信息系統。船上的船舶管理信息系統通過電子郵件（一般采用AMOS MAIL或Rydex電子郵件）與岸基的船舶管理信息系統交換數據，實現船、岸船舶數據庫的數據同步。

若要從根本上增強船舶計算機網絡系統的安全性和可用性，則需要考慮以下條件的限制：（1）船上的計算機網絡架構在出廠時已經固定，除非船舶正在建造或者進廠修理，否則，凡是處于運營狀態的船舶，不可能立即為船舶管理信息系統專門建設一個物理上獨立的計算機局域網。（2）限于資金投入和船上安裝場所等原因，船上的計算機網絡設備或設施在短期內也不可能無限制按需增加。（3）從技術管理的角度看，在現階段，船舶仍不可能配備具有專業水平的網絡人員對計算機網絡系統進行管理。（4）因衛星通信通道和通信費用等原因，遠洋船舶的辦公計算機操作系統（微軟Windows 系列）不可能從因特網下載補丁和打補丁；船舶局域網中的防病毒軟件和病毒庫不可能及時升級和更新。總體上看，解決船舶計算機網絡安全方面的問題，與陸地上確實有許多不同之處。

4船舶計算機網絡系統的安全需求分析

為提高船舶計算機網絡系統的可用性，即船舶計算機網絡系統任何一個組件發生故障，不管它是不是硬件，都不會導致網絡、系統、應用乃至整個網絡系統癱瘓，為此需要增強船舶計算機網絡系統的可靠性、可恢復性和可維護性。其中:（1）可靠性是指針對船舶上的溫度、濕度、有害氣體等環境，提高網絡設備和線路的技術要求，有關的設計方案在船舶建造和船舶修理時進行實施和實現。（2）可恢復性，是指船舶計算機網絡中任一設備或網段發生故障而不能正常工作時，依靠事先的設計，網絡系統自動將故障進行隔離。（3）可維護性，是指通過對船舶計算機網絡系統和網絡的在線管理，及時發現異常情況，使問題或故障能夠得到及時處理。轉貼于

（1）加強船舶計算機病毒的防護，建立全面的多層次的防病毒體系，防止病毒的攻擊；

（2）采用專用的設備和設施實現船舶安全策略的強制執行，配合防毒軟件的部署與應用;

（3）加強船舶計算機網絡管理，通過桌面管理工具實現船舶計算機網絡運行的有效控制;

（4）制定相關的網絡安全防護策略，以及網絡安全事件應急響應與恢復策略，在正常預防網絡安全事件的同時，做好應對網絡安全事件的準備。

5船舶計算機網絡系統安全管理要求

5.1確定船舶網絡系統安全管理目標

基于以上對船舶計算機網絡系統安全問題和可用性需求的分析，我們認為解決網絡系統安全問題的最終目標是：

（4）針對網絡級安全，保證船舶計算機網絡設備、網絡線路的運行穩定，對核心層的網絡設備和線路提供雙路的冗余；

（5）針對物理級安全，保證船舶計算機網絡系統數據的安全和系統及時恢復，加強信息和數據的備份和各類軟件介質的管理。

5.2網絡系統安全配置原則

需求、風險、代價平衡的原則

綜合性、整體性、系統性原則

易于操作、管理和維護性原則

可擴展性、適應性及靈活性原則

標準化、分步實施、保護投資原則

5.3網絡安全管理的演進過程

船舶計算機網絡系統安全管理體系的建設須按適當的程序進行，首先應根據自身的業務性質、組織特征、資產狀況和技術條件定義ISMS的總體方針和范圍，然后在風險分析的基礎上進行安全評估，同時確定信息安全風險管理制度，選擇控制目標，準備適用性聲明。船舶計算機網絡系統安全管理體系的建立應遵循PDCA的過程方法，必須循序漸進，不斷完善，持續改進。

6建立健全船舶計算機網絡安全管理制度

針對船舶計算機及網絡系統的安全，需要制定相關法規，結合技術手段實現網絡系統安全管理。制度和流程制定主要包括以下幾個方面：

制定船舶計算機及網絡系統安全工作的總體方針、政策性文件和安全策略等，說明機構安全工作的總體目標、范圍、方針、原則、責任等；

對安全管理活動中的各類管理內容建立安全管理制度，以規范安全管理活動，約束人員的行為方式；

對要求管理人員或操作人員執行的日常管理操作，建立操作規程，以規范操作行為，防止操作失誤；

形成由安全政策、安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系；

由安全管理團隊定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。

7 總結

對于船舶計算機網絡安全按作者的經驗可以針對不同類型、不同情況的具體船舶，可以結合實際需要和具體條件采取以下解決方案：

參考文獻：

篇3

摘要：本文對船舶計算機網絡系統的安全現狀和問題原因進行了概括性的敘述，對網絡安全的需求進行了研究分析。從實施船舶計算機網絡系統安全管理的現實條件和實際要求出發，提出了船舶計算機網絡系統安全管理的策略和解決方案，針對不同情況的船舶提出了相應的實施建議。

關鍵詞：船舶計算機　網絡系統　網絡安全管理

1引言

2船舶計算機網絡架構

目前在船舶上普遍采用工業以太網，船舶局域網大多采用星型結構。

3船舶計算機網絡系統的安全問題

篇4

1.1系統安全維護探測

進行系統安全維護的過程中，相關人員要對系統內部安全漏洞進行探測，從根本上解決存在的安全隱患，探測的主要方式為：自編程序探測：自編程序探測主要指在進行探測的過程中，相關人員可以對互聯網上的安全漏洞進行監測，觀察用戶在使用過程中是否存在漏洞問題。要對系統漏洞補丁中的自編程度進行監測，對黑客編寫的程序進行檢查，防止計算機網絡系統安全受到破壞。慢速掃描：慢速掃描主要是通過對某個時間的監測實現對系統數據的控制和檢查。該操作一般由掃描偵測儀完成，由特定主機發起的連接數目決定掃描的范圍。掃描過程中要適當降低掃描的速度，提高掃描質量。體系結構探測：黑客與病毒會通過一定的特殊數據包對計算機網絡系統安全造成破壞，導致計算機主機運行異常，造成系統出現損壞。在該過程中，每種操作系統都具有不同的響應時間和相應方式。對體系結構主體的異常相應時間和相應方式進行探測，可以輕而易舉判斷出可能存在的安全隱患，及時進行安全控制。

1.2防火墻技術

防火墻技術主要指在進行網絡訪問的過程中對網絡訪問地點、人員等進行控制，降低出現的非法人員訪問風險。這種方法可以在很大程度上改善網絡資源的整體管理效果，降低可能夠出現的網絡安全問題，對我國當前的計算機網絡發展具有非常好的促進效果。實施計算機防火墻技術主要包括對計算機中的源地址、目標地址、原始端口、目標端口等及逆行那個監測，對可能出現的問題及時進行控制。在防火墻技術操作過程中，通常首先設定控制規則，然后對數據進行對比，當數據符合控制規則要求后數據才可以通過，完成操作。當不符合數據控制規則時，數據即會被丟棄。防火墻無法實現對計算機內部的控制，只能對外部網絡進行保護。

1.3計算機網絡安全加密技術

在進行計算機網絡安全處理的過程中，相關人員要對計算機網絡系統中的數據進行加密，保證信息數據的安全性、可靠性、穩定性。數據加密主要指在進行設計的過程中依據一定的指令實現對原有數據的轉換，將數據轉換為一定格式或一定規律的加密文件，進行貯存、傳輸工作。接收系統要通過相關的秘鑰才能夠對文件進行解密，達到對文件原文的翻譯，實現數據加密的保障。在加密操作過程中，如何提高加密算法質量和秘鑰管理質量是加密技術的關鍵。常見的加密算法主要包括對稱加密算法和非對稱加密算法。對稱加密算法指在進行操作的過程中加密算法與秘鑰一致，而后者恰恰相反。在當前的計算機網絡系統安全維護過程中常選取非對稱加密算法，這種算法的保密效果較高，安全性較強。

1.4設置安全策略

1.4.1物理安全策略。物理安全策略主要指對計算機以及計算機網絡的使用環境進行檢測，加強計算機硬件、網絡設施的防護力度，將人為、自然對其的損害降到最低的物理保護策略。在該策略使用的過程中，相關人員要對使用用戶進行身份驗證以及用戶權限設置，避免一些不法用戶越權操作。要對IP地址進行隱藏。在進行IP地址的隱藏時可以選擇使用服務器，就能夠很好的保障計算機用戶IP地址的安全性，提高計算機網絡的安全。建立健全網絡設備管理監察力度，避免非法進入網絡管理區域從而對其造成偷竊、破壞等行為。

1.4.2訪問控制策略。黑客對局域網進行攻擊入侵，首先要控制內部的一臺服務器，以此為基地來進行攻擊，因此，計算機內部是網絡安全威脅的主要因素。在內部網絡應該加強防護措施，建立訪問控制策略，對可能出現的入侵進行控制。通過對訪問進行安全控制，對入網訪問、操作權限、目錄安全、屬性安全、網絡服務器安全、網絡監測以及防火墻這七個領域實現安全監測，提高控制效果。

2總結

篇5

關鍵詞：計算機網絡；安全維護

一、計算機網絡安全概述

計算機網絡安全是指利用網絡管理控制和技術措施，保證在一個網絡環境中，數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面，即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的安全性、保密性、完整性。參照ISO給出的計算機安全定義，認為計算機網絡安全是指：“保護計算機網絡系統中的硬件，軟件和數據資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網絡系統連續可靠性地正常運行，網絡服務正常有序。”

二、計算機網絡系統安全維護策略

（一）計算機病毒的防御

防御計算機病毒應該從兩個方面著手，首先應該加強內部管理人員及使用人員的安全意識，使他們能養成正確上網、安全上網的好習慣。再者，應該加強技術上的防范措施，比如使用高技術防火墻、使用防病毒工具等。具體做法如下。

1.權限分級設置，口令控制

很多計算機系統常用口令來控制對系統資源的訪問，這是防病毒進程中，最容易和最經濟的方法之一。網絡管理員和終端操作員根據自己的職責權限，選擇不同的口令，對應用程序數據進行合法操作，防止用戶越權訪問數據和使用網絡資源。在選擇口令應往意，必須選擇超過6個字符并且由字母和數字共同組成的口令；操作員應定期變一次口令；不得寫下口令或在電子郵件中傳送口令。通常簡單的口令就能取得很好的控制效果，因為系統本身不會把口令泄露出去。但在網絡系統中，由于認證信息要通過網遞，口令很容易被攻擊者從網絡傳輸線路上竊取，所以網絡環境中，使用口令控制并不是很安全的方法。

2.簡易安裝，集中管理

在網絡上，軟件的安裝和管理方式是十分關鍵的，它不僅關系到網絡維護管理的效率和質量，而且涉及到網絡的安全性。好的殺毒軟件能在幾分鐘內輕松地安裝到組織里的每一個NT服務器上，并可下載和散布到所有的目的機器上，由網絡管理員集中設置和管理，它會與操作系統及其它安全措施緊密地結合在一起，成為網絡安全管理的一部分，并且自動提供最佳的網絡病毒防御措施。

3實時殺毒，報警隔離

當計算機病毒對網上資源的應用程序進行攻擊時，這樣的病毒存在于信息共享的網絡介質上，因此就要在網關上設防，在網絡前端進行殺毒。基于網絡的病毒特點，應該著眼于網絡整體來設計防范手段。在計算機硬件和軟件，LAN服務器，服務器上的網關，Internet層層設防，對每種病毒都實行隔離、過濾，而且完全在后臺操作。

（二）對黑客攻擊的防御

對黑客的防御策略應該是對整個網絡系統實施的分層次、多級別的包括檢測、告警和修復等應急功能的實時系統策略，方法如下：

1.包過濾技術

包過濾是最早使用的一種防火墻技術，它的第一代模型是靜態包過濾，使用包過濾技術的防火墻通常工作在OSI模型的網絡層上，后來發展更新的動態包過濾增加了傳輸層，包過濾技術工作的地方為各種基于TCP/IP協議的數據報文進出的通道，它把這兩層作為數據監控的對象，對每個數據包的頭部、協議、地址、端口、類型等信息進行分析，并與預先設定好的防火墻過濾規則進行核對，一旦發現某個包的某個或多個部分與過濾規則匹配并且條件為阻止的時候，這個包就會被丟棄。動態包過濾功能在保持著原有靜態包過濾技術和過濾規則的基礎上，對已經成功與計算機連接的報文傳輸進行跟蹤，并且判斷該連接發送的數據包是否會對系統構成威脅，一旦觸發其判斷機制，防火墻就會自動產生新的臨時過濾規則或者把已經存在的過濾規則進行修改，從而阻止該有害數據的繼續傳輸。

2.應用技術

應用協議分析技術工作在OSI模型的最高層—應用層上，在這一層里能接觸到的所有數據都是最終形式，可以實現更高級的數據檢測過程。整個防火墻把自身映射為一條透明線路，當外界數據進行防火墻的客戶端時，應用協議分析模塊便根據應用層協議處理這個數據，通過預置的處理規則查詢這個數據是否帶有危害，由于這一層面對的已經不再是組合有限的報文協議，所以防火墻不僅能根據數據層提供的信息判斷數據，更能像管理員分析服務器日志那樣分辨危害。由于型防火墻基于技術，以犧牲速度為代價換取了比包過濾防火墻更高的安全性能，在數據交換頻繁的時刻，防火墻就成了整個網絡的瓶頸，所以防火墻的應用范圍還遠遠不及包過濾防火墻。

3.狀態監視技術

篇6

關鍵詞：通信網絡；安全；維護

隨著信息技術的不斷發展，通信網絡的迅速發展使人們的信息溝通方式也得以改變，通信網絡作為信息傳遞的一種主要載體，在推進信息化的過程中與多種社會經濟生活有著十分緊密的關聯。自改革開這幾十年來，通信網絡取得了前所未有的發展，在基礎性和全局性地位日益突出的同時，也不斷面臨著日益多樣化的安全威脅和越來越復雜的網絡安全環境。通信網絡安全通常包括承載網與業務網安全，網絡服務安全以及信息傳遞安全。通信網絡安全不涉及意識形態安全。

1. 通信網絡安全現狀

由于互聯網具有開放性、全球性、虛擬性、身份的不確定性、非中心化與平等性等特征，使得人們的某些需求得以滿足。也正是由于互聯網的這些特征，同時又產生了許多安全問題。

“去年，通信網絡安全與非傳統安全問題突出，網絡而已行為的趨利化特征日益明顯，黑客個體、地下產業鏈等對通信網絡安全提出了嚴峻挑戰，網絡安全整體形勢日趨嚴峻。”中國通信企業協會會長劉立清在致辭中指出。

在中國互聯網絡信息中心(CNNIC)和國家互聯網應急中心(CNCERT)近日聯合的調查報告顯示，在2009年，我國52%的網民曾遭遇過網絡安全事件，網民處理安全事件所支付的相關服務費用共計153億元人民幣。據報告中顯示，在遭遇網絡安全事件的網民中，77.5%是因為在網絡下載或瀏覽時遭遇病毒或木馬的攻擊。其中，網絡安全事件給21.2%的網民帶來直接經濟損失，包括網絡游戲、即時通信等賬號被盜造成的虛擬財產損失，網銀密碼、賬號被盜造成的財產損失等。

正是因為計算機系統和網絡的開放性、虛擬性等特點，使計算機系統和網絡受攻擊是不可避免的。計算機病毒的“不斷推新”及其大范圍的惡意傳播，對當今日發展的社會通信網絡安全產生威脅。現在企業單位各部門信息傳輸的物理媒介，大部分是依靠普通通信線路來完成的，雖然也有一定的防護措施和技術，但還是容易被竊取。由于商用軟件的源代碼以及源程序完全或部分公開，顯然這些軟件存在著安全隱患，而通信系統大部分都是使用這種商業軟件，通信網絡安全性必然也存在問題。

2. 通信網絡安全分析

工信部通信保障局網絡安全管理處處長閆宏強在論壇上分析了當前我國通信網絡安全防護領域所面臨的問題，他指出當前信息安全問題已經不僅是針對個人及企業用戶，通過今年發生的5.19和6.25兩起攻擊事件可以看出，我國通信基礎設施現在也正在遭受嚴重的威脅和影響。

針對計算機系統和網絡的那些特點，必須加強網絡管理員的技術水平和安全意識，盡全力使其安全隱患降到最低。如果技術水平不強和安全意識弱，違反安全保密制度，明密界限不清楚，密件明發，并且總是使用同一種密鑰，密碼被破譯的可能性極大，這將會造成系統混亂。可見加強網絡管理員的安全保密意識是非常有必要的。

軟硬件設施存在安全隱患。由于有些軟硬件系統在設計過程中設計了遠程終端的登錄控制通道，所以在軟件設計時也存在著不多bug，又加上商用軟件源程序的公開性，使得在使用通信網絡的過程中，不法分子可以直覺入侵到網絡系統中，達到竊取通信信息的目的。還有就是傳輸信道上的安全隱患，不發分子可以利用專門的設備在傳輸信道上竊取機密信息。

另外，目前，在通信網建設和管理上，審批不嚴格，標準不統一，建設質量低，維護管理差，網絡效率不高，人為因素干擾等問題。

3.通信網絡安全維護措施

CCSA TC8副主席舒敏在論壇上匯報了CCSA TC8網絡與信息安全標準化工作進展情況。她指出，協會已經完成103項網絡信息安全標準的制定，涵蓋了網絡設備、終端設備、電信業務、短信業務、垃圾郵件等方面，有效的保護了用戶利益，為政府在信息安全技術標準領域提供了有力的支撐。

為了實現通信網絡安全性，必須實施安全技術來防御系統。其安全技術主要有：防火墻技術。防火墻技術，最初是針對網絡不安全因素所采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。因此，防火墻是網絡安全的重要技術之一；入侵檢測技術。入侵檢測技術是防火墻的一個補充，它對網絡系統內外部的攻擊進行實時保護，在網絡受到威脅之前進行攔截，二樣提高了安全性；網絡加密技術。由于采用網絡加密技術，公網數據傳輸的安全性和遠程用戶訪問內網的安全性都得以解決；身份認證技術。通過身份認證技術可以保障信息的機密性、完整性、不可否認性及可控性等功能特性；虛擬專用網(VPN)技術。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接；漏洞掃描技術。因為光依靠網絡管理員尋找安全漏洞是不夠的，所以要借助網絡安全掃面工具來優化系統配置，找出漏洞。

4.總結

通信網絡安全問題不是一朝一夕就能夠完全解決的。解決通信網絡安全問題的難度很大，需要繼續進行理論上的研究和在試驗環境下進行實際測試來驗證，才能在一定程度上解決網絡的安全問題。進一步加強通信網絡安全政策研究制定，完善網絡安全防護體系，切實作好網絡安全關鍵技術研發及相關標準化工作。

參考文獻：

[1]范忠禮,《系統構建網絡安全體系》,通信世界網,2004年12月13日.

篇7

關鍵詞：3G；網絡安全；安全體系

中圖分類號：TN929.5

隨著現代通訊技術的快速發展，通訊行業已經跨入3G（第三代移動通訊技術）時代。2009年1月，工信部為我國三大通信公司發放了3G牌照，隨后中國聯通公司迅速開通了WCDMA網絡3G服務。中國聯通通過宣傳“沃”品牌，主攻家庭用戶，特別是美國蘋果公司和中國聯通達成三年的合作協議，為中國聯通吸引了許多手機高端用戶，使中國聯通的3G用戶呈爆炸式增長。新技術帶來新機遇的同時，也提出了新的安全性挑戰。3G系統除了提供傳統的語音通信業務外，還能夠處理圖像、音樂、視頻流等多種媒體形式，還提供包括網頁瀏覽、電話會議、電子商務、電子貿易等多種信息服務，同時，移動網絡的IP化、終端趨智能化、帶寬變大，使得手機功能越來越接近電腦的功能，這就將傳統的計算機網絡諸如病毒攻擊、垃圾郵件、隱私泄露等安全隱患引入到移動通信網絡中來，這就使得3G系統的安全問題更加復雜化。目前對于移動通信安全方面的討論逐漸成為熱點，國內外研究人員從各個方面進行了研究與探討，例如安全目標、安全評價、威脅防范、認證技術、加密算法、密鑰管理等，并取得了一系列重要成果。

1 3G系統的安全分析

1.1 信息泄露，個人私密信息存在泄露風險。3G終端的智能化，使得用戶通過手機可以進行原來在電腦上進行的應用操作，因此智能手機上可存儲用戶個人的大量秘密信息，如銀行賬戶信息、交易記錄、個人資料等私密信息，當用戶通過智能手機接入3G網絡時，這些信息存在著被黑客進行竊取的危險。

1.2 病毒泛濫。隨著3G智能手機的普及，針對手機的病毒與惡意軟件也日益增多，而用戶對于手機病毒的防范意識卻還很薄弱，同時因功能限制，智能手機的病毒防護措施也未能像電腦那樣完善，這就給了不法分子提供了可乘之機。

1.3 服務攻擊。通過物理手段或協議干擾用戶的數據，令用戶數據無法在鏈路上正確傳輸，或通過使網絡服務過載耗盡網絡資源，達到使合法用戶無法訪問的目的。

1.4 不良信息傳播。通過3G智能手機進行黃色信息等非法信息的傳播，造成了惡劣的社會影響。

2 3G系統安全體系結構

針對上述安全威脅，建立3G通信網絡的安全體系結構，從傳輸層、服務層、應用層進行安全防范。

在3G系統的安全體系中，定義了5個安全特征組，網絡接入安全、網絡域安全、用戶域安全、應用域安全、安全的可知性和可配置性等，涉及傳輸層、服務層和應用層，同時也涉及移動用戶、服務網和歸屬環境。每一安全特征組用以對抗某些威脅和攻擊，實現3G系統的某些安全目標，具體如下：傳輸層主要是網絡的接入安全，保護用戶安全的接入3G通信網絡，防止來自無線鏈路的攻擊。對移動用戶的身份進行保密，包括無法竊聽用戶身份、無法獲取用戶位置、無法偵測用戶數據等，網絡接入安全是安全應用3G通信網絡的關鍵。服務層主要對用戶安全與網絡安全提供保護。用戶安全保證用戶在接入3G網絡時，USIM與用戶間進行認證，經授權后才可以接入網絡，這就保證了合法用戶進入通信網絡。網絡安全進行網絡實體間的消息認證，并通過密鑰分配，實現對數據的加密及數據源的認證，確保核心網絡實體間能夠安全的交換數據。應用層主要對USIM程序和用戶的安全信息進行保護，通過檢測確認、身份認證、數據完整性保護等，確保3G通信網絡信息傳輸的安全性。另外，3G網絡的安全配置能力定義了用戶可知的網絡安全特性，并可判斷服務是否已安全服務作為基礎，接受或拒絕服務。

3 3G系統的安全策略

3.1 技術層面。對設備層的安全加固。當今移動互聯網的設備層有：數據庫、操作系統、網元設備等，其中網元設備指移動互聯網中交換機、路由器、防火墻等其他的內容層設備，對這些設備自身進行安全加固的加固準則是ACL保護、4 A設置等；對操作系統宜進行補丁管理、最小化安裝和安裝防病毒軟件等安全加固對策；數據庫的安全加固，現在大多是利用眾多的安全備份原則，進而確保數據庫的安全可靠。

加強移動互聯網安全技術標準制定。在目前國內移動互聯網當中，還有如下不足：安全機制缺失、網絡域對病毒等異常流量的監控不足或者缺乏終端安全機制和網絡設備安全機制等。因此，有必要結合我國密碼管理辦法規定和已有密碼算法，制定相關安全標準，并相應地引入移動互聯網安全機制，包括AKA認證和空口加密等機制。同時，引入網絡域安全機制。安全域邊緣特別是接外網的節點應綜合部署具有入侵檢測、用戶認證、數據加密的安全網關，以起到安全隔離作用。另外，我國目前缺乏移動互聯網內容安全方面的技術標準，需要加大對移動互聯網內容安全方面的標準制定。

增強和改進3G系統繼承于2G系統的安全元素。3G的安全將建立在第二代系統的安全之上，在GSM和其他第二代系統內已經證明是必要的和加強的安全元素應當被3G的安全所采納；3G的安全要確定和校正第二代系統中的實時的和已認識到的缺點；3G的安全要提供新的安全特征，并保護3G提供的新的業務。這些改進包括對身份驗證系統改進、認證方法的改進、數據保密性的改進、數據完整性的改進等。

3.2 管理層面。首先是建立健全通訊網絡管理機制，將責任問責制度推廣到其中來，對網站的運營商和服務供應商做好登記和備案。完善相關法律法規，增強網絡安全問題的管理。其次是建立3G高速通訊系統的安全模型：OSI模型和TCP/IP模型是主要適用于計算機網絡的模型，而通訊系統有其自身的特點和發展方向。因此，大力推廣IP技術和Adhoc技術才是實現3G網絡高效、安全的主要方式。還有就是完善3G安全運行的保障體系，包括地面服務器，網絡服務器，服務協議硬件配置，網絡覆蓋，結構規劃等都能夠有序的運作。

4 結束語

3G通信業務已成為目前通信行業發展的主流，它給通訊行業帶來新的商機，為人們提供了更好的通訊體驗，但同時，也帶來了巨大的安全隱患，進行3G通信系統的安全性研究，保證其快速、安全的發展，具有十分重要的現實意義。

參考文獻：

[1]張帆.某省聯通公司3G競爭戰略研究[D].華北電力大學，2010（04）.

[2]王慧敏.淺談3G通信網絡的安全問題[J].科技信息，2010（25）.

[3]張海清.淺述移動互聯網的安全問題及其對策[J].信息通信，2012（02）.

[4]孔祥浩.關于3G通信網絡安全問題的探討[J].電腦與電信，2010（01）.

[5]張海清.淺述移動互聯網的安全問題及其對策[J].信息通信，2012（02）.

篇8

【關鍵詞】郵政網絡網絡安全加密

1 郵政系統的基本原理

郵政綜合計算機網絡系統是一個三級四層的全國性的網絡系統，其中三級為省際網、省內網和郵區網，四層為國家郵政信息中心、省郵政信息中心、郵區郵政信息中心和基礎接入節點。

郵政綜合計算機網廣域網的網絡結構如下圖所示，網絡互連方式包括郵政綜合計算機網絡系統內部三級四層之間的互連、郵政綜合計算機網二級機構接入、郵政綜合計算機網絡系統與外部網絡的互連。網絡上使用的通信協議為TCP/IP。

2 現有系統的基本原理

通過建立郵政行業內通用的綜合安全保密管理技術架構和管理中心平臺，從而為郵政系統建立健全的安全組織、完善的安全管理機制和集成統一的安全策略提供必要的技術基礎。該管理中心平臺在結構上和郵政系統現有管理體制和網絡結構相適應，并在密碼設備管理、密碼服務調用接口、密鑰管理、安全日志管理等方面建立統一的標準和要求，此外，該平臺應具有較強的開放性，能容納未來的安全保密設備。

以目前比較成熟的PKI體系為基礎，針對不同應用模式構建統一的安全服務平臺，為郵政業務系統提供一個公共的安全服務平臺，為郵政生產、業務、服務和管理應用提供一系列標準的、切合郵政安全需求的安全服務接口，使得各個應用系統的開發在一個高安全性的服務環境下順利實施。

綜合運用數據包封裝技術、密碼技術和網絡訪問控制技術，構建建立能涵蓋郵政終端節點->城市中心->省中心->國家中心各部門（人員）的中國郵政虛擬專用網絡系統（VPN）。

3 現有系統的組成結構

現有系統共包含五個組成部分：綜合安全管理中心、應用安全服務平臺、低端網絡IP密碼服務包、網絡IP加密機和終端線路加密器。以下分別介紹各個部件的功能：

3.1 綜合安全管理中心

綜合安全管理中心實現對全網絡密碼設備的分級集中管理，包括對密碼設備所需數字證書的管理、密碼設備遠程配置、密碼設備運行狀態監控及密碼設備安全審計日志的集中存放、動態分析和報告生成等功能。此外，該中心還可包含對其它安全設備，如防火墻、入侵檢測等的集中管理。

3.2 應用安全中間件

應用安全中間件是一個由五個安全組件構成的安全服務套件，可以為基于不同平臺的各類業務系統提供統一、標準的安全服務，它為用戶提供了實現數據機密性、完整性、不可抵賴性以及身份認證功能等的統一的途徑和方法。安全中間件的每一組件所完成的安全層次各異、互為補充，構成了一個面向用戶信息應用系統的較為完整的安全服務體系。該套件的所有組件均集成了國密辦審批的本項目專用密碼算法和密碼模塊，其功能基本覆蓋了郵政系統各類業務系統的安全服務需求。

3.3 基于網絡的IP加密機

基于網絡的IP加密機通過在網絡層實施密碼技術和網絡訪問控制技術，實現郵政系統各級機構間通過公網的安全互聯。IP加密機為一獨立的網絡安全設備，可透明地接入（嵌入）郵政系統現有網絡架構，并采用統一的方式，由綜合安全管理中心集中管理。

3.4 基于主機的低端網絡IP密碼服務包

基于主機的網絡IP密碼服務包的應用對象為郵政系統中大量存在的柜員微機工作站和儲蓄網點PC，是一個能嵌入到現有客戶端系統中的IP安全保密墊片程序模塊，該模塊處于網絡驅動程序和IP協議棧之間，對出入主機的數據包實施加解密處理和訪問控制，實現和基于網絡的IP加密機的互通，并采用統一的方式，由綜合安全管理中心集中管理。

3.5終端線路加密器

終端線路加密器是一個能完成終端柜員身份認證功能及線路加密功能的設備，其應用對象為郵政系統中大量存在的郵政儲蓄和電子匯兌柜員終端。該設備能透明地接入郵政儲蓄柜員終端業務系統和其它“終端-主機”結構的網絡系統中，解決（啞）終端用戶的強身份認證和線路加密功能，并采用統一的方式，由綜合安全管理中心集中管理。

4網絡安全的重要性

在信息社會中，信息具有和能源、物源同等的價值，在某些時候甚至具有更高的價值。具有價值的信息必然存在安全性的問題，對于企業更是如此。例如：在競爭激烈的市場經濟驅動下，每個企業對于原料配額、生產技術、經營決策等信息，在特定的地點和業務范圍內都具有保密的要求，一旦這些機密被泄漏，不僅會給企業，甚至也會給國家造成嚴重的經濟損失。經濟社會的發展要求各用戶之間的通信和資源共享，需要將一批計算機連成網絡，這樣就隱含著很大的風險，包含了極大的脆弱性和復雜性，特別是對當今最大的網絡――國際互聯網，很容易遭到別有用心者的惡意攻擊和破壞。隨著國民經濟的信息化程度的提高，有關的大量情報和商務信息都高度集中地存放在計算機中，隨著網絡應用范圍的擴大，信息的泄露問題也變得日益嚴重，因此，計算機網絡的安全性問題就越來越重要。

5 結論

隨著互聯網的迅速發展，網絡攻擊也在迅速增多，病毒郵件攻擊的影響日益激烈，病毒、蠕蟲和毫無必要的大量垃圾電子郵件利用互聯網資源來傳播，使企業網絡的傳輸速度緩慢甚至癱瘓。本文提出的企業網絡安全解決方案能夠為企業提供安全的網絡保護，并縮減了企業在網絡安全方面的投資。解決了企業的安全隱患，使能夠合理利用網絡并從網絡中獲取豐厚的效益，提高了企業的競爭力。

參考文獻

[1]張千里，陳光英 .網絡安全新技術[M].北京：人民郵電出版社，2003（01）.

[2]董玉格等.網絡攻擊與防護-網絡安全與實用防護技術[M].北京：人民郵電出版社，2002（08）.

[3]顧巧論等編著.計算機網絡安全[M].北京：科學出版社，2003（01）.

推薦范文