关于防火墙的论文参考文献

具有关统计资料显示，一般企业员工平均每天有三分之一的上班时间是在网上浏览与工作无关的信息；在员工从互联网下载各种信息中，只有25％的下载信息与其所从事的工作有关。缺乏有效的内部用户上网管理措施，将会导致工作效率的下降，这与网络发展的初衷相违背的。互联网是一个没有国界的网络，网络中有许多宣传反动言论、色情和封建迷信的站点。如果没有有效的针对用户身份管理监控手段来对用户的上网进行必要的限制和记录，同时也没有对用户的上网时间进行限制，对于一些非法站点也没有采取有效手段来过滤。一旦出现问题，往往因为没有用户上网的历史记录而法无追查下去，给企业的网络管理带来许多不必要的麻烦。防火墙是位于企业网络边界最常用的网络安全设备，主要用于控制外部网络对内部网络的访问，并决定内部网络可以访问哪些外部资源和目标，同时还可以抵御各类拒绝服务攻击和扫描攻击，保护企业局域网和服务器免受外部非授权的访问和攻击。防火墙产品作为对网络访问进行有效控制的信息安全设备，在对用户的网络访问进行控制的时候，使用有效的用户身份认证技术来区分不同的用户身份，以适应不同访问级别的用户对网络访问的不同权限，弥补传统防火墙仅仅基于IP或MAC访问控制的局限性，有效地实现内部人员上网的行为管理和审计管理。目前在市场上销售的防火墙提供用户身份认证功能的并不多见，即使提供，也多在应用层完成用户的身份认证，具有效率低、适应性差、难以推广应用等诸多不足。中网智能防火墙不仅能够提供基于IP或MAC的过滤和访问控制机制，而且能够提供基于用户身份的认证功能，实现对所有用户进行分组、对用户组进行授权管理。在高安全性的场所，当用户通过防火墙进行访问时，首先需要对其身份进行认证是非常必要的，认证的方式可以通过任何支持认证的网页浏览器，身份认证是基于密码技术的，对管理员用户名和口令在传输时进行加密，并对防火墙和控制端之间传输的所有数据进行加密，有效防范在网络传输过程中数据被窃听、篡改，达到更高可靠性的身份认证。在用户身份认证通过后，确定用户所属的用户组，对该用户组所拥有的授权来进行访问控制，并对用户被授权后所有的访问进行记录、实现审计。这样，就可以避免各种针对IP、MAC等的攻击，将权责落实到具体的用户，不仅极大地增强了防火墙的防御能力、也便于防火墙系统的管理和维护。中网智能防火墙在系统内核层直接支持基于鉴别、授权、审计（AAA）的功能。将AAA直接引入到网络内核，有效的控制了基于假身份的欺、不确定和消耗资源等问题。AAA是Authentication、Authorization和Accounting的简写形式。其中，认证提供对用户的合法性检查（Who is the user）；授权用于规范每个用户的行为（What can be done by the user ）；审计则用于记录每个用户的行为（What is the user doing or has done by the user）。在结合了AAA功能的中网智能防火墙中，一个用户经由防火墙提供服务必须先后经过认证和授权后才能开始所提供的服务，同时要对服务的开始时间、结束时间、传输字节数、传输包数、提供服务的总时间等相关信息进行记录。中网智能防火墙在网络内核采用的AAA用户认证系统，解决了在应用代理一级进行身份认证存在的只能为有限的、个别的应用服务提供认证功能、包处理效率低、流量或时间控制管理不能针对用户身份的局限性。它采用在系统内核实现用户身份认证技术，则可以为任何网络协议、应用服务提供身份认证功能，提供基于用户身份的认证、授权等管理，同时大大提高系统的处理效率。目前，中网智能防火墙的AAA用户身份认证的主要管理功能有：认证规则管理：认证规则就是一系列过滤器，以确定哪些服务、那些应用需要用户身份认证之后，才能够访问，哪些服务不需要用户身份认证就可以直接访问。每条认证规则均包括以下部分信息：用户的网络或主机、要访问的目的网络或主机、哪些用户的网卡的访问需要认证，以及需要认证或不需要认证的控制等。通过对认证规则的管理，即可实现基于用户的访问控制和应用的管理。访问规则管理：访问规则用于对用户访问进行授权，授权包括允许访问和禁止访问，控制用户可以访问或不可以访问的服务。访问规则是通过访问规则组来管理，访问规则组就是由多条访问规则构成的一个组，组中的所有规则不分先后次序，没有优先级，因此同一个组中的所有规则不应有重叠的部分。通过对访问规则的管理，即可实现用户授权的管理。用户身份管理：防火墙系统的用户管理可以用于创建、编辑、删除和查询认证用户身份，并包括显示用户列表、创建新用户、删除用户、修改用户密码和资料、查询用户等操作。中网智能防火墙通过认证规则管理、访问规则管理和用户身份管理，实现AAA身份认证机制，很好的解决了传统防火墙在用户认证应用上的局限性和性能问题，同时极大的丰富了防火墙固有的用户管理和访问控制能力，使中网智能防火墙更好得实现了对网络服务认证与授权的有效监控。 关于此次评测 我们几乎不需要告诉你防火墙是抵御对网络进行非法攻击的重要的第一道防线，你肯定知道这些。但是你不知道的是，同一个网络在为用户访问重要数据提供方便途径的同时，也给任何在同一网络上利用已知的漏洞或者寻找新的弱点进行攻击的人提供了便利、易于访问的特点，还有操作系统（例如unix和nt）声名狼藉的脆弱的安全性，这些加在一起就是一场眼看就要发生的灾难。所有的防火墙产品都提供一个集中控制点来控制访问，好的防火墙还能使你在期望的和不期望的数据可访问性之间达到微妙的平衡。像防火墙这样的必需工具并不是解决种种更为复杂的问题的万能神药。例如，一旦你选择了一种防火墙，就要花费大量时间来计算你想通过它提供多少种访问。你还需要处理所有单个系统上操作系统的弱点，因为即使最好的防火墙也必须确定几种不同的访问级别。如果不这样作，就会使防火墙内的一切东西暴露出来而成为笑柄。幸运的是，有几种工具可以帮助你来完成这一艰巨的任务。这次我们的注意力集中在那些适合在企业环境中安装并具有优良的性能和管理功能的防火墙产品上。我们确定了八个我们认为符合标准的厂商，向它们发出邀请，并清楚地描述了我们的测试需求。八个厂商中有七家接受了邀请并向我们设在syracuse大学的real－world实验室提供了产品，这些厂商和它们的产品是：axent 科技 (提供raptor firewall)、 check point 软件科技公司 (firewall－1)、CISCO 系统公司 (pix firewall 520)、cyberguard公司 (firewall)、netguard 公司(guardian)、netscreen科技公司(netscreen－100) 和secure computing公司 (securezone)。只有nai拒绝提供产品，也没有就此说明原因。在研究过这些产品的性能和管理功能及其区分有效和非法网络访问的能力之后，我们感到所有的产品都将为成熟的防火墙市场带来良好的信誉。check point的firewall－1提供了最佳的整体性能以及管理和日志功能，因此获得了我们的编辑选择奖。check point通过单一用户界面来实现最高防火墙策略管理，这个界面广泛使用颜色和图形以简化管理。此外，它的日志功能和监控功能也出类拔萃。axent的raptor和它强劲的代理应用程序也给我们留下了非常深刻的印象。实际上，所有七种产品都非常出色且各有所长，判定这些产品的优劣，将取决于你的具体需求。每个厂商都在它们提供的操作系统和硬件平台上安装了自己的产品。check point、axent和cyberguard都提供unix和nt版本的产品，因此它们必须在二者之间作出选择。由于我们强调性能，所以我们毫不奇怪这三个厂商都选择了unix平台。cyberguard和secure computing公司提交了它们自己的“加固”版本的unix，安装在intel平台上。只有netguard为测试提供了基于nt的产品。cisco的pix在intel硬件平台上运行它自己的专有操作系统，所以它本质上是一个“黑箱”解决方案。另一个黑箱解决方案由netscreen提供，它使用了专用的asic。代理和全状态检查的比较 全状态检查技术通过维护一些状态表来跟踪每个连接的状态，同时控制应用层，进而控制数据流。防火墙在数据被允许接触防火墙操作系统之前要检查这些状态表。如果预先定义的策略允许此次访问，则让来自源连接的报头信息通过防火墙而不对其进行修改。代理技术的支持者们认为代理更安全一些，因为代理应用程序针对特定协议截取通信数据。它只允许进行必需的、安全的和有效的操作。全状态检查阵营则声称它们的技术同样能够达到代理技术所能达到的安全指标，而且可以避免因在防火墙上复制每个应用程序的数据包而带来的性能损失。在我们的测试中，axent的raptor是最好的代理程序，它展示了一些属于全状态检查类型的firewall－1所没有的安全控制特性，但是raptor是以牺牲性能的代价做到这些的。代理技术的另一个缺点是用户要受厂商的控制，需要厂商写代理程序来支持用户要用到的各种应用程序。在我们的测试中，尽管所有的代理厂商都设法提供对不支持协议的访问，但是它们的通用代理并没有因此而增加任何价值，因为它们没有相应的应用程序来检查这些流量，更糟的是，这些通用代理还会因此而影响性能。除check point的firewall－1之外，cisco、 netscreen和netguard的防火墙也采用了全状态检查方法。我们发现这些产品的性能通常要优于axent、cyberguard和secure computing等采用代理技术的产品。事实上，cisco的pix的性能接近了线速。其他资料当使用多协议分析器在代理防火墙两侧排除一些连接故障时，我们注意到追踪数据非常困难，而这对于全状态检查产品来说则很容易。原因是在报头被重写之后，通常用来在多位置情况下识别包的源端口和序列号也随之被改变了，这使得系统很难识别这个数据包。我们被迫在数据层细心查找线索以便识别数据包。如果你曾经试图在网络的多个节点上观察包的状态，你就会知道我们的工作有多么困难和多么复杂了。在采用nat技术时（network address translation，网络地址转换），如果你试图诊断错误，你就会陷入到类似困境中，因为nat也要修改报头。我们没有测试每个厂商的产品保护网络免遭攻击的能力，因为所有的产品都要通过icsa（international computer security association, 国际计算机安全协会，）的鉴定，国际计算机安全协会有专职工作人员和一整套工具来进行此类测试。我们觉得我们不会比他们做得更多。尽管如此也不要麻痹，不要允许任何并非绝对必要的访问，牢记要系统地排除防火墙后面的机器上的所有可能的弱点，以防止某台有弱点的机器成为破坏防火墙完整性的隐患。所有七种产品都采用nat技术。nat通过把防火墙内所有设备的源地址转换成防火墙外部地址的方法将这些设备对外发起连接的地址屏蔽掉。如果你换了家isp而且你没有自己的地址空间，或者你使用未经注册的地址空间，或者你只是想简单地访问internet而不想暴露内部网的细节，那么就有必要进行地址转换。如果你想允许外部世界访问你内部网络的服务器，你可以提供额外的外部地址，并把这个地址直接映射到相应的内部地址上就行了。防火墙显然是设置vpn的地方，除了netscreen－100，我们测试的所有防火墙都有这个功能。netguard是唯一不支持ipsec（ip安全协议）的产品。只有raptor和firewall－1从icsa拿到了实现ipsec的证书。pix、cyberguard和firewall－1都提供卸载选项，即把cpu处理加密的工作改由一块单独的插卡来完成。如何定制企业防火墙安全机制前言: 随着互联网发展日渐蓬勃，由于黑客的非法入侵时及病毒摧毁计算机所造成的威胁有越来越严重的趋势，企业对于功能更强大的防火墙的需求也越来越迫切。许多的企业也因为之前没有对网络架构作好网络防护措施，付出了惨痛而昂贵的代价。在使用防火墙产品以防止黑客的非法入侵时，除了产品的安全性与执行效能外，另外善解人意的GUI接口、完整的服务功能、厂商技术支持能力等，缺一不可。在享受丰盛的Internet/Intranet各种建置及所带来的效率与成本回收的成果之时，如果企业没有一个良好的安全防范机制，企业内部网络资源将不堪一击，这不是在危言耸听。 1、防火墙来是怎样防止非法者的入侵 防火墙是Internet上公认网络存取控制最佳的安全解决方案，网络公司正式将防火墙列入信息安全机制；防火墙是软硬件的结合体，架设在网络之间以确保安全的连接。因此它可以当做Internet、Intranet或Extranet的网关器，以定义一个规则组合或安全政策，来控制网络间的通讯。并可有效率的记录各种Internet应用服务的存取信息、隐藏企业内部资源、减少企业网络曝露的危机等。所以正确安全的防火墙架构必须让所有外部到内部或内部到外部的封包都必须通过防火墙，且唯有符合安全政策定义的封包，才能通过防火墙；既然防火墙是Internet/Intranet相关技术服务进出的唯一信道，要正确的使用防火墙就必须先了解防火墙的技术为何？安全性是否符合各种应用服务的需求？认证方式有哪些及网络传输资料的加解/密功能（VPN）方式？最重要的是厂商能否提供完整且长期的服务与技术支持能力？ 2、目前防火墙的技术 防火墙的安全性与研发的技术息息相关，现在市场上的防火墙主要的技术可分为封包过滤（Packet Filter）、代理应用闸信道（Application Gateway/Proxy）及多阶层状态检查（Multilayer Stateful Inspection）等，说明如下： （1）封包过滤 就如同Router的技术,在网络层具备良好的效能和延伸能力，但只能提供Ip地址的过滤功能；封包过滤可知道每一个Ip的来源地址，但不知道使用者为何人?同样的,它会检测网络层的封包，而不会去管是什么应用程序，所以封包过滤是防火墙中功能最不安全的，因为他们不会监测到应用程序，无法知道封包传送内容，很容易被非经授权的使用者侵入。 （2）代理应用闸信道 此为最传统的防火墙技术，任何进出Internet的应用服务都必须经过防火墙的代理后，再转送到目的地；藉由代理的过程中，来检测各阶层的应用服务，但是这样做却破坏主从架构模式。此外，此种技术只支持有限制的应用程序，每一个服务或应用程序都须要专属的Proxy，因此有新的Internet服务时，使用者必须等待厂商开发新的代理应用程序才能使用；由于每一种代理（Proxy）需要不同的应用程序或daemon来执行，会因为过多的资料复制和内容交换会造成执行效能不佳。 （3）多阶层状态检查 这是一种新的防火墙专利技术，结合了封包过滤网络层的执行效能及代理应用闸信道的安全性。任何的封包会都在网络层中被拦劫，然后防火墙会从全部的应用层级中萃取出跟状态有关的数据，而且放在动态状态表来判续后续的封包；提供了应用层的资料内容安全检测，而且不会破坏主从架构模式，可以在资料保全和流量间作智能的控制，具有最大的扩展及延伸能力。3、定制安全机制 （1）存取控制 - 定义安全政策 存取控制可定义使用者或应用服务的对象进/出企业网络，以保护企业内部资源；例如：一个企业组织只可决定于上班时间限制存取Internet特定的网站，只允许于午餐时间存取，或当系统在执行备援时，禁止存取重要的服务者等。 执行存取控制参数必须是简单且直接的，以一个明确的图形使用者接口（GUI）操作，最好全部的组件都是使用对象导向的方式来定义。而每一个规则能包含任何网络对象、服务、动作和追踪机置，并可判断规则的冲突性。防火墙除必须提供安全的存取控制外，还必须抵挡恶意的攻击。例如IP Spoofing、Denial of Service、Ping of Death等等。 （2）认证机制 防火墙认证的应用为当使用者与目的主机联机时，在通讯被允许进行之前，认证的机制服务可安全的确认他们身份的有效性，且不需要修改服务器或客户端应用软件。认证服务是可完全的被整合到企业整体的安全政策内，并能经由防火墙图形使用者接口集中管理。所有的认证会期也都能经由防火墙日志浏览器来监视和追踪。 一般防火墙所提供的认证机制与方法多寡不一，以Check Point FireWall-1为例，提供使用者的认证：针对FTP、TELNET、HTTP和RLOGIN提供透通的使用者认证；客户端认证：可针对特定IP地址的使用者授予存取的权限；透通的会期认证：提供以会期为基础的任何一种应用服务的认证等.认证的机制包括固定的密码，如OS及防火墙的密码；以及动态的One Time Password的密码，如S/key、SectrID、RADIUS等。如要使用固定的密码认证，建议使用防火墙的密码较安全，但是固定密码还是容易被监听，最好是使用One Time Password的方式，以防止被窃取。 （3）内容的安全性 防火墙所提供的内容安全能力，可达到最高层次的应用服务协议检测，以保护使用者企业资源。以Check Point FireWall-1而言，包含计算机病毒和恶意Java与ActiveX Applets的内容安全性检查，经由图形的接口可集中管理。另外提供开放平台的安全企业连接（OPSEC）架构的API，可整合第三者厂商内容过滤的应用。主要的应用如下： A、 URL过滤 可维护公司宝贵的网络频宽和增加网络另一层次的控制，允许网络管理者存取Internet特定网页，并可确保员工只能下传和存取的网页信息。 B、 电子邮件的支持 通过SMTP的连接提供高度的控制以保护网络。可在一个标准的应用程序地址之后，隐藏一个外出的邮件地址，或可隐藏内部的网络结构与真正的内部的使用者，或丢弃超过所给与邮件信息的容量等。 C、 FTP的支持 FTP指令（如PUT/GET）的内容安全性，可限制文件名称和档案反病毒检查等。 （4）网络地址转译 网络地址转译对Internet而言，可隐藏内部的网络地址，克服了IP地址数量的限制，可维护一个企业的内部地址的完整性，对映内部非注过册IP地址以一个合法有效的IP对外，可完整存取Internet。防火墙提供两种操作模式： A、 动态的模式 当维持已注册IP地址给予使用者存取Internet的时候和隐藏内部实际IP地址的网络资源，可使用动态的模式达到地址转译。动态的模式可将内部所有IP地址的连接，经过防火墙与单一个合法的IP地址对外。 B、静态的模式 可应用在一个网络IP地址很早就被分派使用和你需要提供「真正的」地址，以便人们在Internet能存取他们，静态模式的地址转译可解决上述问题。静态的模式提供一个对一个的对映在对外公开IP地址和内部真正的IP地址之间。 （5）加密（虚拟私人网络） 私人的网络利用一些公用网络的设施称为虚拟私人网络或者VPN。一个VPN与一个专属的私人的网络相比较，优点显然是是减少昂贵的费用与更多的弹性。在公开的网络环境中，公司的信息可能在网际网络传输过程中遭受窃听与篡改，可利用加密功能在Internet上建立安全的通讯频道，可确保在公司内部的资源具备完整的隐私性、真实性与资料完整性。 由于每一家的防火墙加密机制大都不同，在标准IPSec的加密未完全产品化之前， 彼此之间的整合性还是有问题。而加密软件的出口至今还是受美国的限制，一般商业的使用维持40Bits，金融项目申请可达56Bits。VPN可应用在远程使用者与防火墙之间及防火墙与防火墙之间的加解密。 （6）产品的后续支持及厂商的技术能力 Internet有新的安全产品出现，就有人会研究新的破解方法，所以一个好的防火墙提供者就必须要有一个庞大的组织作为使用者安全的后盾，也应该要有众多的使用者所建立的口碑为防火墙作见证。现今国内防火墙产品大部分是代理国外的软件，搭配硬件出售，很多防火墙的代理商都是销售单一防火墙产品，无法提供完整的安全解决方案，因企业内部有Intranet、Database等软件，如厂商无法提供整体的技术与安全政策，将会带给使用者更多的梦魇。所以在选购防火墙产品，你最好参考一下业界的评语、实际的安装经验或实地测试。 （7）内部人员考核与训练 这部分的安全政策属于人员安全的管理，主要目的在降低人员使用信息或操作信息设备时所可能发生的错误，如滥用、窃取、欺、遗失等问题。要避免前述的情况发生，首先应该从人员背景的调查与考核作起，尤其针对一些较敏感的信息之使用，应慎选适当人员来负责。其次，企业制定的安全政策为的就是希望让企业内部所有人员熟悉与了解。因此，最佳的方法，便是赋予人员应有的信息安全责任，并通过日常的信息安全教育训练来达到此一目的。除了以各种方式公布安全政策外，企业可以部门为单位，实施信息安全养成教育，由负责信息安全事宜的同仁来担任，解释企业信息安全政策的内容，告诉使用平时应该注意哪些细节，了解怎么做、什么事可以做、什么事不可以做。举例来说，有关计算机帐号的管理政策中明定，员工计算机中毒时，应该实时通知信息部门人员协助处理，并作详细的回报与记录，以避免计算机病毒扩散，造成企业内部更严重的损失。像这样的政策，如果只是公布，而没有对员工作适当的教育训练，一旦真的发生中毒的事件，必定是手忙脚乱，无法顺利排解问题，相反的，只会造成更多的问题。 小结： 需要特别说明的是，一个良好的防火墙安全机制如果不能有效地实施，那么一切还是形同虚设。一个专业知识有限的黑客，有时甚至是通过一次电话拨号连接，就能轻易地侵入和攻击一个企业的电脑网络，使企业直接损失上百万。如果严格执行了，那么，黑客渗透进来的成本就更高，他们就需要更多的资源，而这些都是大多数潜在的黑客做不到的。所以人还是最关键的因素。

对上网有一定影响，如果用交换机或者路由联机游戏，还得关了，特别碍事，建议把它关了。

随着计算机 网络技术 的快速发展，其已经在各个领域得到了广泛的应用，取得了较好的成果。下面是我为大家整理的计算机网络安全与防范论文，供大家参考。

浅析计算机网络安全与防范

摘要：伴随着我国科技技术的不断进步，计算机技术也随之得到了长足的进步，计算机网络技术的应用在广度和深度上均在不断突破。然而，计算机网络在给人们生活带来便利的同时，其应用的安全性的风险也在逐渐扩大。 文章 首先分析了我国计算机网路技术的应用现状，重点阐述了计算机网路安全性的影响因素，并提出了若干应对计算机网络安全风险的防范 措施 。

关键词：计算机网络;网路安全;防范措施;计算机病毒

近年来，计算机网路已经逐渐成为人们生活的重要组成部分，然而，人们在享受计算机网路带来的便捷的同时，对计算机网路安全却往往重视不够，计算机网路安全隐患带来的事故也时有发生。因此，研究计算机网路安全的影响因素和防范措施是十分必要的。基于此目的，笔者就计算机网路安全和防范进行了深入探讨。

1我国计算机网络安全的现状

所谓计算机网络安全，即指利用网络管理控制和技术措施，确保数据信息在一个网络环境里的完整性、可使用性和保密性能够受到保护。计算机网络安全主要包含如下两个方面“’：第一，逻辑安全，即指信息的可用性、保密性和完整性等方面的安全;第二，物理安全，即指系统设备及其相关的设施能够受到物理保护，不受破坏。当前，已进入了信息化时代，计算机网路得到了飞速的发展，但是计算机网路安全隐患也同时出现了阶梯式增长的态势。我国计算机网路技术起步较慢，但是发展速度惊人，网路监管不力、计算机病毒入侵等原因导致了我国计算机网路安全面临着极为严峻的考验。计算机网路安全出现故障，病毒入侵个人网路之后，会导致整个计算机网路出现崩溃，个人隐私的泄露将导致个人安全出现潜在风险。尤其需要指出的是，政府机关的计算机网路一旦被入侵后，国家机密文件将有可能被泄露和篡改，这给国家安全带来了极为恶劣的安全隐患。

2计算机网路安全的影响因素

2.1黑客入侵

黑客入侵是当前我国计算机网路安全中威胁性最大的影响因素。计算机网路黑客发现计算机网路本身存在的漏洞后，机会迅速入侵至计算机网路系统中，使得计算机网路系统的数据资料被泄露甚至篡改。通常情况下，计算机黑客均带有较强的入侵目的性，以在不破坏计算机网路系统的前提下窃取所需的计算机数据信息，在黑客入侵计算机网路系统时，均会对其网路漏洞进行综合分析，并采取有针对性和目的性的手段入侵计算机数据库。黑客入侵过程主要分为以下两种：第一，听过破译计算机网路数据，非常篡改计算机相关数据，严重时会破坏计算机网路从而导致整个计算机网路瘫痪无法运行，造成极为恶劣的影响;第二针对计算机网路存在的漏洞采取入侵设备或者搭线等手段，窃取所需的计算机的机密数据和文件信息。

2.2垃圾邮件

垃圾邮件是当前我国计算机网路存在安全隐患的一个重要因素，尤其以原始轰炸式邮件对计算机网路造成的安全影响更为明显。相比于计算机病毒，垃圾邮件不具备其蔓延性特点，而相比于黑客入侵，则不具备其潜在性的显著特征。邮件具有公开性的特点，这为垃圾邮件存在的运行提供了极为便利的土壤，垃圾邮件大多是在公开邮件中掺入垃圾邮件并将其发送至目的计算机网络中。通常而言，垃圾邮件具有较大的发送量，且具有可持续发送的特点，使得计算机用户被动接收，而当计算机用户接收并打开这些邮件后，其计算机网路系统则迅速面临着潜在威胁，导致计算机控制和运行受到入侵者的控制，最终导致个人机密数据和信息的泄露，给计算机使用者的个人安全和隐私带来了严重威胁。

2.3病毒入侵

病毒入侵是当前我国最普通一种的计算机网路安全影响因素。其运行原理为：通过以恶意程序为入侵载体，并利用代码表示进行迅速扩散，对整个计算机系统造成恶意破坏，严重时甚至会导致整个计算机系统出现崩溃。病毒入侵虽然表面上的威胁性较小，但是软件安装之后会影响计算机网络的整体程序代码，从而给其他软件的安全性带来潜在威胁。计算机病毒具有非常高的潜伏性，彻底清除极难实现，黑蜘蛛就是我们熟知的计算机网路病毒的典型代表。

3计算机网路安全的有效防范措施

为有效应对我国计算机普遍存在的安全隐患，应及时采取有效措施进行防范，笔者通过查阅国内外的计算机网路安全实例，可知当前网路安全的防范措施主要有以下几种。

3.1安装网络防火墙

防火墙技术工作原理主要是基于计算机网络IP地址而开展的。其通过对计算机软件和硬件系统分别进行有效设置，使得计算机可以对信息进行有效的拦截和过滤，这是计算机网路安全中的基础保护措施。因此，为应对计算机网路安全带来的各种潜在威胁，使用者应在安全的计算机软件配置基础上，安装高级网路防火墙，减少计算机功能出现的漏洞，从而尽可能的提高计算机网路的安全可靠性，此外，为实现网路防火墙对信息的有效过滤，防火墙应对由不安全访问导致的网路异常运行迅速进行拦截，从而确保整个计算机网路的安全性。

3.2使用计算机网络加密技术

当前，计算机网路加密技术给整个计算机网路系统提供了有效的隔离屏障，使得计算机用户的数据和信息能够得到有效保护。网路加密技术的主要工作原理为：利用技术手段把重要的数据变为乱码加密传送，到达目的地后在采用一定的手段进行解密。网络加密技术针对入侵者可以建立有效的预警机制，即计算机网路一旦收到被恶意入侵的信号时，网路加密系统即会迅速对这些恶意攻击者进行驱除，从而确保计算机网路的安全。当前常用的计算机网路安全加密技术主要分为两种：第一，私钥加密，即在原有的密匙基础上增加私人密匙，其不会受到地点等因素的限制，在计算机系统中的硬件和软件系统中均交易实现;第二，公钥加密，主要用于计算机网路使用较为密集的场所，运行速度相对较慢，主要包括加密密匙和解密密匙两种。

3.3安装防病毒软件

计算机网路防病毒技术主要指的是针对计算机病毒的入侵，采用单机防病毒软件或者网络防病毒软件等形式进行计算机网路病毒的有效防护。其中，单机防病毒软件或者网络防病毒软件各有其侧重点，前者主要是分析不处于本地工作的两台计算机网路系统之间的信息传送，对可能存在的病毒进行全面检查，清楚入侵的恶意病毒，而后者主要是针对网络访问中存在的网络自身病毒。当计算机网路处于访问环节时，网络病毒出现后，防毒软件一旦检测到之后，会即刻对其进行清除。实践 经验 表明，通过安装有效的防毒软件，并和其他防范措施进行结合，可很大程度上提高计算机网路的保护效果。例如，甲和乙进行加密通信方式进行通信，甲采用加密密钥将信息进行加密后发送至B，而为确保信息在网路传输中的安全性，即可采取网路加密技术，对传输的信息进行加密保护，使得传统的数字签名也能在网络传输中得到应用。

3.4使用正版软件

众所周知，正版软件价格较为昂贵，但是相较于盗版软件，其在使用过程中具有较高的软件性能，对病毒的防御能力也较高。从根本上说，盗版软件是对正版软件的知识产权的损害，是显而易见的违法行为，因此，为提高计算机网路安全，计算机用户应尽可能的使用正版软件。

3.5建立计算机网路法制管理机制

为提高计算机网路安全，建立完善的计算机网路法制管理机制是十分必要的。通过相关网路法律法规的制定和不断完善，形成具有公众监督、行业自律和行政监管等多种功能为一体的网路管理机制，不断加强计算机网路的通信安全，规范网路信息传播行为，尽可能的减少不符合相关法律法规的信息传播。与此同时，通过采取不同形式为计算机使用者普及网路安全的基础知识，增强网路安全防范意识。

3.6强化计算机网路安全管理

为加强计算机网路安全管理，应积极构建安全有效的计算机网路安全管理。首先，应不断完善管理制度，制度切实可行的责任机制。其次，针对重要信息，务必做好有效的防火措施，并与计算机软件和硬件系统相结合，建立完善的计算机网路信息管理系统，确保计算机网路的安全运行。

4结语

计算机网路在人们日常生活中的应用范围和深度均得到了长足的发展，然而，计算机网路的发展带来的安全问题也极大的困扰着计算机客户。因此，不断研究计算机网路安全影响因素，通过采取安装网络防火墙、使用计算机网络加密技术、安装防病毒软件、使用正版软件、建立计算机网路法制管理机制和强化计算机网路安全管理等有效措施，最大限度上确保计算机网路的安全高效运行。

计算机网络安全与防范技术

随着网络的发展,人们越来越多地体会到了网络的便捷实用,尤其是因特网(Internet)已成为全球规模最大、信息资源最丰富的计算机网络,它所具有的开放性、全球性、低成本和高效率的特点使我们从中受益。然而,我们也越来越多地感受到网络所对我们造成的破坏,对我们的信息所造成的威胁,计算机网络安全已成为了一个严肃的、不容忽视的问题。如何使计算机网络系统的硬件、软件,以及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露,确保系统能连续、可靠、正常地运行,网络服务不中断?本文从计算机安全的概念,网络安全的现状,以及防范的技术手段等方面进行探讨。

一、计算机网络安全的概念

“计算机安全”在国际标准化组织(ISO)中的定义是:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。”

这个定义包含物理安全、逻辑安全、 操作系统 安全、网络传输安全四个方面的内容。其中物理安全是指用来保护计算机硬件和存储介质的装置和工作程序。物理安全包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。逻辑安全可理解为信息安全,是指信息的保密、完整和可用。操作 系统安全 指操作系统能区分用户,防止他们相互干扰,不允许一个用户修改由另一个账户产生的数据。网络传输安全则指用来保护计算机和联网资源不被非授权使用来认证数据的保密性和完整性,以及各通信的可信赖性。如基于互联网的电子商务就依赖并广泛采用通信安全服务。

二、计算机网络安全现状

计算机网络技术所具有的复杂性和多样性的特点,使得计算机网络安全成为一个需要不断更新、提高的课题。

1.网络安全面临的威胁。

主要有物理威胁、系统漏洞、身份鉴别威胁、线缆连接威胁和有害程序威胁等几类。物理威胁如偷窃、废物搜寻、间谍行为、身份识别错误等;系统漏洞如不安全服务、配置被更改、初始化不一致、乘虚而入等。身份鉴别威胁如算法考虑不周、内部泄漏口令、口令解除和口令圈套等;线缆连接威胁则有拨号进入、冒名顶替、窃听等;有害程序则主要是病毒、特洛伊木马、代码炸弹、错误的更新或下载。

2.面临威胁的主要原因。

网络安全管理缺少认证,容易被其他人员滥用,人为造成网络安全隐患。

现有操作系统中设计的网络系统不规范、不合理、缺乏安全考虑,均在不同程度上存在网络漏洞,黑客很容易利用漏洞侵入系统,影响用户。

由于技术上的可实现性、经济上的可行性和操作上的可执行性,缺少对整个网络的安全防护性能作出科学、准确的分析评估与保障实施的安全策略。

计算机病毒会导致计算机系统瘫痪、信息严重破坏甚至被盗取,降低网络效率。越来越多的计算机病毒活跃在计算机网络上,给我们的正常工作造成威胁。

黑客的攻击种类繁多,且许多攻击是致命的,攻击源集中,攻击手段灵活。尤其是黑客手段和计算机病毒技术结合日渐紧密,用病毒进入黑客无法到达的私有网络空间盗取机密信息或为黑客安装后门,攻击后果更为严重。

三、计算机网络安全的防范措施

1.加强内部网络管理,提高防范意识。

在网络上管理方式是十分关键的,不仅关系到网络维护管理的效率和质量,而且涉及网络的安全性。安装好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及 其它 安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。在网络前端进行杀毒,可保证整个网络的安全畅通。

2.网络防火墙技术。

防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。防火墙对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙是目前保护网络免遭黑客袭击的有效手段。

将防火墙技术和数据加密传输技术结合使用并发展,进行多方位的扫描监控、对后门 渠道 的管理、防止受病毒感染的软件和文件的传输等许多问题将得到妥善解决。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全五者综合应用。在产品及其功能上,将摆脱目前 对子 网或内部网管理方式的依赖,向远程上网集中管理方式发展,并逐渐具备强大的病毒扫除功能;适应IP加密的需求,开发新型安全协议,建立专用网();推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具,特别是可疑活动的日志分析工具,这是新一代防火墙在编程技术上的革新。

3.安全加密技术。

安全加密技术由完善的对称加密和非对称加密技术组成,在网络安全中发挥重要的作用。

对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。

不对称加密,即“公开密钥密码体制”,其中加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,称为“公开密钥”,解密密钥只有解密人自己知道,称为“秘密密钥”。

4.生物识别技术。

生物识别技术是一种集光学、传感技术、超声波扫描和计算机技术于一身的第三代身份验证技术,是一种更加便捷、先进的信息安全技术。

生物识别技术是依靠人体的身体特征如指纹、声音、面孔、视网膜、掌纹、骨架等来进行身份验证的一种解决方案,由于人体具有不可复制的特性,这一技术的安全系数较传统意义上的身份验证机制有很大的提高。尤其是指纹识别技术凭借其无可比拟的唯一性、稳定性、再生性而发展迅速。

自动指纹识别系统(AFIS)诞生于20世纪60年代,是一套成功的身份鉴别系统,也是未来生物识别技术的主流之一。它通过相应设备获取指纹的数字图像存贮到计算机系统中,再通过滤波、图像二值化、细化手段对数字图像提取特征,最后使用复杂的匹配算法对指纹特征进行匹配。时下,有关指纹自动识别的研究已进入了成熟的阶段。随着指纹识别产品的不断开发和生产,未来该项技术的应用将进入民用市场,服务大众。

网络安全涉及技术、管理、使用等方方面面,不但包括信息系统本身的安全,而且有物理的和逻辑的技术措施。而且,随着网络的发展,新的不安全威胁会不断出现,安全的技术也因此不断更新,只要有明晰的安全策略和完善的防范技术,必能完好、实时地保证信息的完整性和确证性,确保网络安全。

参考文献:

[1]顾巧论,贾春福.计算机网络安全[M].北京清华大学出版社,2008.

[2]吴诗豪.计算机网络安全性研究[J].管理观察,2009.

试论计算机网络安全与防范

摘要：随着计算机技术的发展以及网络的普及，计算机已经成为人们工作和生活中比较重要的产品，计算机在给人们带来便捷的同时，网络安全问题也越来越引起人们的重视，网络安全问题日趋严峻，如网络数据窃密、病毒攻击、黑客侵袭等网络安全隐患影响着人们安全使用电脑，因此，加强网络安全防范，完善安全防护策略，已经成为计算机网络信息管理者与使用者都必须重视的一个问题，本文简要介绍了加强网络安全的重要性，同时分析了网络安全面临的一些问题，并提出了相应的防范措施。

关键词：计算机网络 网络安全 防范措施

中图分类号：TP393 文献标识码：A 文章编号：1007-9416(2013)01-0164-01

计算机网络不仅方便了人们的工作和学习，也丰富了人们的业余生活，随着计算机网络的发展以及网络体系日渐强大，计算机已经影响着人们工作和生活的方方面面，因此，来自互联网的网络安全威胁也给人们的工作和生活带来了许多的不安全因素，不管是在广域网中还是在局域网中，网络的安全问题都必须高度重视，诸多的安全因素威胁着人们的网络，网络犯罪、黑客攻击、病毒侵袭等自然和人为的影响因素近年来迅速增长，网络安全问题日趋严峻。所以，加强安全防范，确保网络安全是必须重视和解决的一个问题。

1 网络安全的重要性

随着信息技术的发展，计算机网络已的经被广泛应用，但是，网络安全问题日趋严峻，计算机用户上网不同程度的攻击和破坏计算机数据问题经常发生，现如今，我国许多的金融机构也经常遇到网络安全问题，由于网络安全问题带来的经济损失高达数亿元，网络安全问题也威胁着许多的企业和个人的经济利益，造成企业重要数据的丢失和重要文件的丢失，给企业或者个人带来不可估量的经济损失。因此，无论是企业还是个人，都必须高度重视计算机网络安全问题，要采取有效地安全防范措施，以确保网络信息安全。

2 网络安全面临的一些问题

2.1 病毒的侵袭

计算机病毒是指病毒编制者在计算机程序中人为编制并插入破坏计算机功能的破坏数据，导致计算机受病毒感染后，影响其使用功能，并造成网络瘫痪计算机病毒具有隐蔽性、传染性、寄生性、潜伏性、破坏性的特点。同时，计算机病毒又像生物病毒一样有独特的复制能力，病毒危害计算机的现象最为普遍，它是网络安全的头号大敌。它传播速度快，危害性大，并且计算机病毒种类繁多，特别是网络传播的病毒，对计算机网络破坏性更强，计算机病毒在网络上传播后，不但会直接导致计算机使用者网络瘫痪，而且可以破坏计算机主板、硬盘、 显示器 等，是计算机使用者面临最头痛的问题之一，所以，提高对计算机病毒的防范，确保网络安全刻不容缓。

2.2 网络黑客攻击

网络黑客攻击主要是指在未经许可的情况下，攻击者通过Internet网络，运用特殊技术非法访问计算机用户，登录到他人的网络服务器，破坏和攻击用户网络，在网络上，黑客的攻击动机决定其危害性;黑客的攻击手段有许多种，其中包括在Cookie中 种植 病毒、夹杂黑客代码、隐藏指令、制造缓冲区溢出、取得网站的控制权等，其中，黑客最常用的攻击手段是特洛伊木马程序技术。有些黑客攻击计算机用户只是出于好奇，目的是窥探用户的秘密，对计算机用户系统不进行破坏，有些黑客非法侵入计算机用户之后，恶意纂改用户目标网页和内容，想法设法攻击、报复计算机用户，迫使计算机用户网络瘫痪。还有一些黑客攻击计算机用户主要是为了窃取计算机系统中重要数据，或者毁坏、删除、纂改用户数据。这种黑客直接威胁到国家、集体以及个人的计算机数据安全，损害集体和个人利益，如窃取国家机密、企业重要经济数据以及个人重要的信息，从事恶意攻击和破坏，进行网络勒索和，非法盗用他人银行账号密码，进而将他人网上银行存款提取。由此可见，网络黑客攻击破坏后果严重，会带来不堪设想的后果。

3 防范计算机网络安全的有效措施

3.1 加强病毒防护以及移动存储介质的安全管理

计算病毒传播速度快，危害性大，可以说无孔不入，预防计算机病毒是首要解决的一个问题。首先：计算机使用单位中心机房服务器要部署全方位、多层次的防毒、杀毒软件，并且要做好定期或不定期的自动在线升级，以避免计算机网络受病毒的侵袭;访问内、外网客户端要严格区分，做好机房设备的检查以及网络维护工作，对于各项重要数据要定期做好备份以及异地储存工作。在接受网络传输、邮件附件以及其他文件的时候，要在接受之前进行病毒扫描，扫描病毒可以使用常见的杀毒软件如：卡巴斯基，瑞星杀毒、360杀毒等。其次，加强移动存储介质的管理，企事业单位要制定严格的《移动存储介质管理制度》，登记所有的移动存储介质，严格控制外来病毒的入侵以及内部利用网络发生泄密事件。计算机要设置密码长度不得少于8位的开机密码，并加强密码保护和管理。

3.2 防黑客技术

随着互联网的广泛应用，网络黑客攻击案例越来越多，黑客的攻击给国家、企业和个人带来了不同程度上危害和损失，其影响极其恶劣。因此，为了有效的预防黑客的攻击，人们采取了不同的预防措施和 方法 。首先，采用防火墙技术，控制网络的访问权限，通过限制访问和对网络隔离有效避免黑客的攻击。其次，还可以采用数据加密技术，加密系统中所有数据，使之成为密文，结合权限管理，采用智能卡、生物特征识别认证技术、智能密码钥匙等，只有被授权者才能够了解其内容，即使攻击者截获数据，数据的内容也无法了解，这样可以有效保证系统信息资源的安全。防范信息被窃取，数据加密技术作用非常重大。还有，要注意对电脑进行全方位的漏洞扫描及修复，定期检查系统是否有漏洞，否则黑客借助于电脑漏洞就可能远程控制电脑，漏洞扫描对于计算机网络安全，抵御外部网络黑客入侵也是非常必要的。

4 结语

综上所述，网络安全与防范是一个系统化工程，我们要根据系统的安全需求制定有效的安全防范措施，要结合各种安全技术解决这些安全问题，定期对网络系统进行维护，经常查杀病毒，严防黑客侵入计算机网络，以保障网络安全有效运行。

参考文献

[1]鲁立，龚涛.计算机网络安全.ISBN：9787111335054，机械工业出版社，2011.4.1.

[2]张炜，许研.计算机网络技术.(高职高专“十二五”规划教材)ISBN：9787505893054，经济科学出版社，2010.5.

[3]满昌勇，计算机网络基础.ISBN：9787302216834，清华大学出版社，2010年02月.

有关计算机网络安全与防范论文推荐：

1. 计算机网络安全隐患及防范的论文

2. 计算机网络安全防范的论文

3. 关于计算机网络安全与防范论文摘要

4. 关于计算机网络安全与防范论文

5. 计算机网络安全毕业论文范文

6. 浅谈基于计算机网络安全及防范策略

7. 计算机网络安全毕业论文范文