構建網絡安全體系范例6篇

前言：中文期刊網精心挑選了構建網絡安全體系范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

構建網絡安全體系范文1

關鍵詞：ACL；IP；計算機網絡安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)29-0336-02

Computer Network Security System Building on ACL

MA Ting

(Jiangsu Union Technical Institute,Lianyungang Vocational Technology Academy of Finance & Economics,Lianyungang 222003,China)

Abstract: Inorder to reinforce and control the data coming from a consumer,we must authorize a consumer to be able to visit the specially appointed network resource by safety tactics.Therefore,fliterating the information of network by ACL under the router become a technology means of structuring network security system.

Key words: ACL; IP; safety of network

1 引言

如今，網絡信息安全越來越受到大家的重視，構建網絡安全系統的技術手段，管理制度等方面都在逐步加強。網絡用戶通過實施ACL技術來控制對局域網內部資源的訪問能力，保障內部資源的安全性，進而可以有效地部署網絡安全。ACL技術是一種基于包過濾的流控制技術，可以對入站接口、出站接口及通過路由器中繼的數據包進行安全檢測。所以，本文就路由器下通過訪問控制列表(ACL)實現計算機網絡安全體系的應用加以分析。

2 ACL訪問控制列表及類型

ACL（access control list）即訪問控制列表，是路由器接口的指令列表,由一系列語句組成，這些語句主要包括匹配條件和采取的動作，即允許或禁止兩個內容。ACL是基于某種協議的，如IP協議等,用戶必須針對路由器所支持的協議定義ACL，從而控制這些協議的數據包。分類：

1) 標準ACL：檢查數據包源地址，允許或拒絕基于網絡、子網或主機的IP地址的所有通信流量通過路由器的出口。這樣就可以允許或阻止來自某一網絡的所有通信流量。

2) 擴展ACL：檢查數據包的源地址和目的地址,還可以檢查數據包的特定協議類型、源端口號、目的端口號等。對同一個地址，擴展訪問控制列表可以允許使用某些協議的通信流量通過，而拒絕使用其他協議的流量通過。

3 ACL的執行過程(見圖1)

ACL通過過濾數據包并且丟棄不允許的數據包來控制與管理流量。一個端口執行哪條ACL，需要按照列表中的條件語句執行順序來判斷。在路由選擇進行以前，應用在接口進入方向的ACL(內向ACL)起作用；在路由選擇決定以后，應用在接口離開方向的ACL(外向ACL)起作用。數據包只有在跟第一個判斷條件不匹配時，它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配，則不管是第一條還是最后一條語句，數據都會立即發送到目的接口。在執行到訪問列表的最后，還沒有與其相匹配的語句，數據包將被隱含的deny語句所丟棄。

4 ACL的配置

4.1 通配符掩碼

ACL中IP地址和通配符掩碼要配合使用，通配符掩碼告訴路由器只允許那些與ACL中設定的地址匹配的地址通過。32位的IP地址與32位的通配符掩碼逐位進行比較，通配符掩碼為0的位要求IP地址的對應位必須匹配，為1的位所對應的IP地址位不必匹配，例如表1所示。

通配符掩碼的兩種特殊形式：通配符掩碼0.0.0.0，只表示一個IP地址，可以用host簡寫形式；而通配符掩碼255.255.255.255，表示所有IP地址，用any簡寫形式。

4.2 訪問列表配置

1) 第一步是在全局配置模式下，使用access-list命令，在實現過程中應給每一條訪問控制列表加上相應的編號，使通過接口的數據包進行匹配，然后決定被通過還是拒絕。

標準ACL的語法為：Router(config)#access-list[access-list-number] [deny|

permit] [source-address][source-wildcard][log]；

擴展ACL的語法為:Router(config)#access-list[access-list-number] [deny|

permit] [protocol] [source-address][destination-ip-address][操作符][protocol-information][log]

其中：access-list-number：為ACL的編號。常用的是標準IP ACL(1～99)或(1300～1999)之間的一個數字。擴展IP ACL(100～199)或(2000～2699)之間的一個數字。

deny|permit：deny表示匹配的數據包將被過濾，permit表示允許匹配的數據包通過；

source-address：源地址；

destination-ip-address：目標地址；

source-wildcard：通配符掩碼；

protocol:協議,如ICMP，TCP,UDP等；

protocol-information：表示協議信息(如端口號、消息類型)；

操作符號：eq(表等于),gt(大于),lt(小于)和neq(非等于)等；

Log：訪問列表日志，如果出現該關鍵字，則對匹配訪問列表中條件的報文作日志。

2) 第二步是在接口配置模式下，使用access-group命令，把配置好的訪問列表應用到某個接口上。語法為：

Router (config-if)# [protocol]access-group[access-list-number][in|out]

其中， in|out表示通過接口進入或離開路由器的報文，缺省為out。

例如：要阻止源主機為192.168.0.24的一臺主機通過Ethernet 0，而允許其他的通信流量通過該端口，可以采用標準IP訪問控制列表。

首先我們在全局配置模式下定義一條拒絕192.168.0.24主機通過的語句，通配符掩碼可以使用0.0.0.0：

Router(config)#access-list 1 deny 192.168.0.24 0.0.0.0

構建網絡安全體系范文2

關鍵詞：網絡安全；保障體系；構建策略

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599?。?012）　19-0000-02

1 網絡安全問題概述

1.1 網絡安全的現狀。2011年，我國境內與互聯網連接的用戶有60%以上的用戶受到境外用戶的攻擊。僅在過去的兩年我國遭到網絡安全攻擊的計算機IP地址就超過了100多萬個，被黑客攻擊的網站將近5萬個；在網絡病毒威脅方面，我國僅被一種網絡病毒感染的計算機數量就超過了1800萬臺，占全球感染主機總量的30％，位列全球第一。近些年關于漏洞多，木馬、病毒猖獗；網絡癱瘓、網站被篡改、系統被入侵；網銀轉款、網上詐騙等網絡安全問題的報道也非常多，網絡安全現狀令人堪憂。

1.2 網絡面臨的問題與挑戰。隨著計算機網絡通信技術的高速發展，人們的工作和生活越來越離不開計算機網絡信息通信系統，近些年，新涌現出來的網絡信息安全問題已成為全球廣泛關注的焦點問題，人們在在網絡信息安全方面面臨著各種各樣的問題，來自網絡安全的各種挑戰非常嚴峻。

首先，計算機網絡信息系統不斷從傳統的專有系統想當前的通用操作系統轉變，也就是說，當前的網絡信息系統越來越開放，再加上，絕大多數網絡通信系統采用的是TCP/IP網絡傳輸協議來進行網絡通信服務的，而TCP/IP網絡傳輸協議由于自身安全性不足，給網絡信息系統的安全就帶來了一定的挑戰；其次，隨著國際互聯網網絡這一大環境的不斷改變，針對網絡信息系統的安全威脅不斷表現出多樣化和多源化的特點，針對網絡系統的安全威脅的多樣化和多源化，需要構建一個縱深的、立體的、全方位的網絡安全解決方案，這就為網絡安全防御系統的復雜性和可控性問題提出了挑戰；最后，在過去的幾年中，有很多組織機構部門對自身的網絡信息系統的安全建設進行了大量的人力和資金投入，并花費了大量的資金用來進行網絡系統安全設備的采購，以采集大量的網絡通信日志及網絡安全攻擊報警信息，但問題是，所采集的這些信息并沒有被得到充分的利用，以至于許多未被明確的網絡安全風險，依然保留在網絡信息系統中，從而對網絡信息系統的安全構成威脅。

2 認識網絡安全保障體系

2.1 網絡安全保障體系的提出。隨著信息化的發展，政府或企業對信息資源的依賴程度越來越大，沒有各種信息系統的支持，很多政府或企業其核心的業務和職能幾乎無法正常運行。這無疑說明信息系統比傳統的實物資產更加脆弱，更容易受到損害，更應該加以妥善保護。而目前，隨著互聯網和網絡技術的發展，對于政府或企業的信息系統來講，更是面臨著更大的風險和挑戰。這就使得更多的用戶、廠商和標準化組織都在尋求一種完善的體系，來有效的保障信息系統的全面安全。于是，網絡安全保障體系應運而生，其主要目的是通過信息安全管理體系、信息安全技術體系以及信息安全運維體系的綜合有效的建設，讓政府或企業的網絡系統面臨的風險能夠達到一個可以控制的標準，進一步保障網絡信息系統的安全穩定運行。

網絡安全保障體系是針對傳統網絡安全管理體系的一種重大變革。它依托安全知識庫和工作流程驅動將包括主機、網絡設備和安全設備等在內的不同資產和存放在不同位置中的大量的安全信息進行范式化、匯總、過濾和關聯分析，形成基于資產/域的統一等級的威脅與風險管理，并對威脅與風險進行響應和處理，該系統可以極大地提高網絡信息安全的可控性。

2.2 網絡安全保障體系的作用。網絡安全保障體系在網絡信息安全管理中具有十分重要的作用，主要體現在如下三個方面：首先，網絡安全保障體系可以對整個網絡系統中不同的安全設備進行有效的管理，而且可以對重要的網絡通信設備資產實施完善的管理和等級保護；其次，網絡安全保障體系可以有效幫助網絡安全管理人員準確分析現有網絡信息系統所面臨的安全威脅，從而可以幫助管理人員制定合理的網絡安全應急響應流程；最后，網絡安全保障體系可以通過過對網絡風險進行量化，實現對網絡風險的有效監控和管理。

3 網絡安全保障體系的構建策略

3.1 確定網絡安全保障體系構建的具體目標。網絡安全保障體系建設是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。它包括信息安全組織和策略體系兩大部分，通過信息安全治理來達到具體的建設目標。其中，信息安全的組織體系是指為了在某個組織內部為了完成信息安全的方針和目標而組成的特定的組織結構，主要包括決策、管理、執行和監管機構四部分組成；信息安全的策略體系是指信息安全總體方針框架、規范和信息安全管理規范、流程、制度的總和。

3.2 確定適合的網絡安全保障體系構建的方法。（1）網絡安全管理基礎理論。網絡安全保障體系的安全管理方法就是通過建立一套基于有效的應用控制機制的安全保障體系，實現網絡應用系統與安全管理系統的有效融合，確保網絡信息系統的安全可靠性。（2）建立有效的網絡安全保障體系。一是網絡信息安全組織保障體系作為網絡信息安全組織、運作、技術體系標準化、制度化后形成的一整套對信息安全的管理規定，建立的網絡安全保障體系可以在完善信息安全管理與控制的流程上發揮重要作用；二是網絡信息安全技術保障體系作為網絡安全保障體系的重要支撐，有效利用訪問控制、身份鑒別、數據完整性、數據保密性等安全機制，是實現網絡安全防護的重要技術手段；三是網絡信息安全運維保障體系可以通過對網絡信息系統的安全運行管理，實現整個網絡信息系統安全監控、運行管理、事件處理的規范化，充分保障網絡信息系統的穩定可靠運行。

3.3 建立網絡安全保障體系組織架構。網絡安全組織體系是網絡信息安全管理工作的保障，以保證在實際工作中有相關的管理崗位對相應的控制點進行控制。因此，需要根據該組織的網絡信息安全總體框架結合實際情況，確定該網絡組織信息安全管理組織架構。其中，網絡安全保障體系組織架構主要包括如下內容：一是網絡信息安全組織架構。針對該組織內部負責開展信息安全決策、管理、執行和監控等工作的各部門進行結構化、系統化的結果；二是信息安全角色和職責，主要是針對信息安全組織中的個體在信息安全工作中扮演的各種角色進行定義、劃分和明確職責；三是安全教育與培訓。主要包括對安全意識與認知，安全技能培訓，安全專業教育等幾個方面的要求；四是合作與溝通。與上級監管部門，同級兄弟單位，本單位內部，供應商，安全業界專家等各方的溝通與合作。

3.4 建立網絡安全保障體系管理體系。（1）網絡訪問控制。用戶訪問管理規范及對應表單、網絡訪問控制規范與對應表單、操作系統訪問控制規范及對應表單、應用及信息訪問規范及對應表單、移動計算及遠程訪問規范及對應表單。（2）網絡通信與操作管理。網絡安全管理規范與對應表單、Internet服務使用安全管理規范及對應表單、惡意代碼防范規范、存儲及移動介質安全管理規范與對應表單。（3）網絡信息系統的獲取與維護。網絡信息系統的獲取與維護即要求明確網絡信息安全項目立項管理規范及對應表單、軟件安全開發管理規范及對應表單和相關的軟件系統。

參考文獻：

[1]劉明偉.網絡安全保障體系構建及其實現策略研究[J].科技資訊，2010，13.

構建網絡安全體系范文3

關鍵詞：局域網；誘因；辦法

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2013） 02-0000-02

隨著社會前進的步伐，計算機網絡誕生了。它的誕生徹底改變了人們的生活，也把社會推向了一個新的。并且現在它在人們生活中占據了越來越重要的位置。但同時它的存在也給社會帶來了更大的挑戰。尤其是在局域網絡中出現的不安全因子倍受關注。而怎樣讓這些不安全因子不再成為障礙物就成了眾人不斷探索的問題。

1 概述局域網

所謂局域網（Local Area Network，LAN）是指在一個局部的地理范圍內（如一個學校、工廠和機關內），一般是方圓幾千米以內，將各種計算機、外部設備和數據庫等互相聯接起來組成的計算機通信網[1]。一般來說，只有無線局域網與有線局域網是它的分集。局域網通常是利用專門的數據電路或者是通信網，同其它的局域網或者處理中心等等進行銜接，從而形成一個覆蓋面較寬的系統。通常情況下，它是由本系統內眾多的計算機組合而成的非開放性的網絡。在局域網內，進行文件管理、掃描儀的共享、日程安排、電子郵件等等操作不是難題。而網絡拓撲、介質訪問的控制方法以及傳輸介質是局域網絡的非常重要的技術決定要素。之所以局域網受到大眾的喜愛，不僅僅是因為它價格便宜，能夠活躍在較小的地理范圍中，關鍵是它對數據的傳輸率很高，傳輸時延誤的時間小，并且誤碼率很低，對各大企業來說，是個很好的選擇。

2 致使局域網絡存在安全隱患的誘因

造成網絡存在安全隱患的內因與外因，只要人們稍微不注意便會如雨后般春筍似的出現。

2.1 內部局域網絡相關機制不完善

曾有一份關于利用計算機進行犯罪的調查報告稱，網絡安全的犯罪有83%的是由于內部的人員勾結外面的人所犯下的，并且這數值一直呈居高不下的趨勢[2]。在內部局域網絡中，由于相關的管理機制的缺乏，再加上網絡管理人員對網絡的安全管理的嚴重忽視，操作極不規范，甚至其他人員的非法進入等等，從而引起失密等事件的發生。

2.2 網絡設備及運行環境的好壞對網絡是否安全也產生很大的影響

往常，很少有人能夠注意到網絡設備、自然環境等對網絡的影響。就因為這樣才會造成許多不必要的浪費與損失。更為嚴重的是，這種破壞極有可能導致網絡系統成為一攤爛泥。再有就是因為被放置在開放性的位置的某些通信的設備等沒有得到較好的保護，致使泄密事件發生的可能性得到大幅提高，從而也讓網絡安全系數無法保持在較高的位置。

2.3 快速更新的各種網絡系統成了引起網絡安全系數低的又一誘因

隨著快節奏的生活，各種網絡系統的更新速度也是相當的驚人。而越新的產品，它的功能性就強，客戶們也會覺得更加好上手。操作系統、軟件等無法避免地讓安全漏洞存活于其中。只要漏洞不顯現，人們就會任其存在。只有待其如刺猬般扎人，大家才會醒悟，然后想辦法去彌補，去修復。而往往到了那個時候，網絡早已受到了或輕或重的不可挽回的損傷。

3 采用良好辦法，成就安全網絡防護體系的構建

要構建強大的安全網絡防護系統并非易事，還需從導致其產生不安全隱患的誘因來著手解決。

3.1 加強局域網絡管理

局域網絡管理存在重大缺陷，對此我們必須做出相應的調整。

（1）要有相應的法律來提高人們的意識。有法律的約束，就可盡量避免人為因素帶來的影響。（2）對于單位內的員工，讓其提高意識。必須加大對安全網絡管理的宣傳力度，并且對員工進行必要的培訓，以使員工掌握正確的操作方法，減少不規范操作。（3）加大對服務器等各大網絡設備的管理與監測。應該明文規定對于網絡中的重要物件，如磁帶等等物件，其他人不可接觸，只能由專門人士保管或銷毀。只有確立安全負責制，對設備的監管到位，才能降低安全隱患的存在。（4）對于重要物件，實行加密。對物件進行加密，比如路由器等，可以減少數據泄露的可能，降低危險度。（5）建立工作檔案。采用工作記錄制，對所有行為人都進行詳細的記錄并且經常性給予抽查，這樣做可達到遇到問題能找得人的目的。

3.2 針對存有安全漏洞的網絡系統必須采取有效的方法來規避

網絡系統的漏洞無所不在，要想盡量讓它不帶來麻煩，就必須做些工作。

（1）安裝良好的殺毒軟件。網絡病毒幾乎每天都有出新。它能夠經過多種途徑來襲，就像瘟疫一樣來得快，常讓人措手不及?？梢运臍τ卸啻?。為了減少它引起的麻煩，通常我們都是安裝一個較好的殺毒軟件，并且開啟實時的監控功能，讓病毒無懈可擊。但是在Windows下單一運行的殺毒軟件無法在被破壞了的系統中運行。因此，最好使用在同一操作系統中能進行雙模式殺毒的跨平臺雙模式殺毒[3]。（2）相關軟件不能滯后，要隨時進行更新?，F在我們都知道無論是操作系統，亦或是服務器，每天都被那些不安全的因素包圍著，隨時它們都有被侵襲的危險。因此，倘若我們不時刻關注與其相關的軟件，并隨時進行更新、升級，那么它們被安全漏洞惡意利用的命運就無法擺脫。（3）對網絡的安全問題進行檢測。擁有良好的檢測系統對保證網絡的安全會起到有效的作用。通常我們把這種系統叫做入侵檢測系統，它是一種能對計算機進行主動防御的軟件，能夠回應各種網絡訪問，對那些應用系統如財物軟件等起到不錯的保護作用。它通常是通過對計算機網絡系統的檢測來發現系統中所存在的各種對網絡安全構成威脅的漏洞，然后提出相關的拯救辦法，減少黑客對數據的侵襲。（4）在進行數據的傳輸過程中，要保證其封閉性。一般情況下，我們都是使用很明顯的傳送方式來傳輸數據，再加上對其的驗證陣容不夠強大，這就為那些有所企圖的黑客提供了方便。為了保證數據的安全性，我們需要對傳輸數據進行適當的加密，加強其驗證功能，這樣就可以較好地處于一種完全地帶，同時也可以讓傳輸速度得到提高。

3.3 應用防火墻技術等來加強網絡安全性

眾所周知，應用訪問控制等技術能更好地保障局域網絡的安全系數。

（1）充分利用虛擬局域網（VLAN）手段。這種手段能夠得到很好發展，是因為它能夠使網絡流量得到良好控制。而且一個子網的攻破并不能讓所有的子網都受到影響，能有效地控制黑客對子網的訪問。（2）設立防火墻。防火墻的利用現在是非常普遍的事情，它的作用相等同于網絡系統的入口的門衛，因為它能夠有效地建立監控系統，對各種非法的訪問進行阻斷，從而形成一個有效的屏障，同時防火墻還可有效地過濾出現在網絡中的各種數據包，對網絡中的訪問行為進行有效的管理，還可有效地堵截網絡中的一些訪問行為，對通過了防火墻的信息進行詳細記錄，對網絡中的攻擊行為發出警告與定期的檢查[4]。從而對外部的侵入與內部重要信息的泄露起到防控作用。對防火墻的使用，我們都要遵循一個基本的守則：通常情況下實行禁止，除非它已明確允許操作。（3）實行身份驗證制，保證網絡安全。為了控制訪問權限，減少不必要的浪費與損失，對內部使用用戶都必須進行身份驗證，這樣才能更好地降低網絡安全危險系數，讓非法分子沒有可乘之機。

4 總結

局域網的安全問題越來越受到廣大人們的關注。對我們來說，保障它的足夠安全是件不。并且無論我們做什么，只是要為了提高局域網絡的安全，降低它的危險度，那都必須得讓網絡效率成為犧牲品，還要以加大各種投入作為代價。在如今的形勢下，我們只有從人員管理與各種技術管理及技術的應用方面等來進行綜合考衡，以求能夠有效地構建一個良好的局域網絡防護體系，創造一個和諧的網絡環境。

參考文獻：

[1]胡道元.計算機局域網[M].北京：清華大學出版社，2010，11.

[2]宋瑩瑩.構建安全的局域網策略[J].電腦知識與技術，2009（16）：49.

[3]譚再峰，劉彩玉.企業級局域網網絡安全技術探討[J].黑龍江科技信息.2010（30）：95.

構建網絡安全體系范文4

關鍵詞：無線網絡；軍隊；安全；物理層安全；可見光通信

中圖分類號：TN 929.3

文獻標識碼：A

DOI： 10.3969/j.issn.1003-6970.2015.08.004

0 引言

進入二十一世紀的第二個十年以來，信息已經成為人類社會文明進步的要素資源，成為現代社會持續發展的基本條件。信息網絡空間已經成為繼陸、海、空、天之后的第五大國家疆域，成為世界各國戰略競爭的重要領域。信息安全已成為與國防安全、能源安全、糧食安全并列的四大國家安全領域之一。

近些年來，以美國為代表的信息技術強國利用自身所壟斷的全球信息技術優勢，加緊構建信息安全保障和攻擊體系，以進一步鞏固其在網絡空間的統治地位。在美國現有的國家信息安全體系中，政府、IT企業和社會團體分工協作，相互配合，共同推進美國國家和軍隊的信息安全體系建設。當前，美國政府部門作為信息安全戰略制定、網絡和信息安全項目策劃、網絡情報偵查、網絡防御以及網絡進攻的主導者，引領了整個美國信息安全領域的發展和規劃。其主要部門包括國土安全部、國防部、美軍網電司令部、商務部、聯邦調查局以及中央情報局；美國的IT企業則是網絡攻防的具體實施機構和重要支撐單位，是美國政府和軍隊海量情報數據的來源，同時也是實施網絡作戰的實施主體；而美國及其盟國中一些非營利性團體和學術組織則為美國政府和軍隊提供了輿論和技術層面的支持，同時進行了人才的輸出，以支撐日益強大的美國信息作戰部隊。

隨著無線與移動通信技術的高速發展，拋開有線束縛的無線通信技術為國家和軍隊的指揮和作戰帶來了極大的便利性，然而也埋下了極大的安全隱患。截至2014年年底，美國情報和軍隊相關部門在無線網絡中偵收和攻擊獲得的情報已經占到美國情報總量的約57.6%，凸顯了當前國家和軍隊無線網絡安全的嚴峻態勢。美軍網電司令部2015年戰略規劃指南顯示，未來美軍網電部隊將把無線領域作為網絡攻防作戰的重點，這對我國國防和軍隊網絡安全體系和技術提出了新的考驗。本論文從歷史出發，對交換技術進行了簡要的回顧，指出了當前交換網絡發展的瓶頸以及問題，并基于前沿的下一代智能網絡以及大數據交換網絡提出了展望和設想。

1 軍隊無線網絡安全現狀

我國的互聯網、電信網、廣電網和各類專網（包含軍網）組成的國家基礎網絡是國家和軍隊信息安全防護的重要對象，但是這些基礎社會建設過程中普遍存在著重建輕防，甚至只建不防的問題，造成網絡信息安全體系構建的極大障礙。

當前，我軍無線網絡通信手段主要包含戰場衛星通信、短波電臺通信、水下潛艇長波通信等戰時通信手段，以及軍隊日常辦公所使用的蜂窩網移動手機通信、單位無線局域網（Wi-Fi）以及家庭使用的寬帶及家庭無線局域網等非戰時通信手段。由于戰時通信技術具有較強的應用層加密以及物理層跳頻和擴頻保障，傳統的竊密和攻擊手段并不能很快奏效，反而是和平時期工作用無線局域網、個人手機、家庭Wi-Fi等上網和通話極易被偵聽和竊密，導致無意識泄密。據不完全統計，2014年以來軍隊、軍工企業等軍事相關單位因手機、家庭寬帶/Wi-Fi等被攻擊及竊聽的事件約470起，造成不可估量的軍事、經濟以及國家核心技術損失。

美國憑借其在信息領域的絕對優勢，不斷將其技術和設備輸出到中國，而國產化設備的低性能、高價格等不足進一步導致了黨政軍系統中日常無線網絡通信設備國產化程度極低，使得日常無線網絡的安全防線處于近乎失靈的狀態。在美國IT跨國公司和美國網絡部隊等諸如“棱鏡”項目面前，我軍的基礎網絡和重要信息系統幾乎完全處于不設防狀態。諸如思科、微軟、英特爾、IBM等IT企業幾乎完全控制了我國高端IT產品的生產及應用。據Gartner數據顯示，Windows系列操作系統在我國市場占有率超過9成，英特爾在微處理器市場上占有率也超過8成，谷歌的安卓操作系統在我國市場占有率達到8成。即使是國產的聯想、酷派等手機，其核心芯片和操作系統也多是國外生產，使得我國無法從技術層面根除安全隱患。

2 解決方案：物理層安全技術和可見光通信技術

針對目前日常軍隊無線網絡安全性的問題，本文提出了兩種可行的改進方案，能夠在現有技術的基礎上，從防止無線信號被偵收和泄漏的角度實現日常狀態下部隊營區無線通信的安全保密。

在現有的通信系統中，通信的保密性主要依賴于基于計算密碼學的加密體制，早在20世紀初就已有人提出將傳輸的信息與密鑰取異或的方法來增強信息傳遞的安全性。這種基于密鑰的加密方法首次由Shannon于1949年給出了數學的理論分析。假設發送者希望把信息M秘密地發送給接收者，稱M為明文信息。則加密的過程為，在發送端，發送者通過密鑰K以及加密算法f對所要傳輸的明文M進行加密，得到密文S。在接收端，接收者通過密鑰K以及與加密算法相應的解密算法，我們用f-1標記，來進行解密，從而得到明文M。通過對加解密過程的觀察，可以得知，有兩個方法防止竊聽者從竊聽到的S中獲取明文M： 一個是竊聽者不知道密鑰K，另外一個是解密算法非常困難，竊聽者難以在有限的時間用有限的資源進行解密?；谶@兩個方法，延伸出了現代通信系統中非常常見的兩種加密形式，一個是對稱密鑰加密，一個是非對稱密鑰加密。

現代密碼學的加密體制主要是在物理層之上的幾層來實現的，譬如MAC層、網絡層、應用層等等，故有時也稱基于現代密碼學的安全為上層安全。物理層對于現代密碼學加密體制來說是透明的，即物理層安全與上層安全是獨立的。下面分別介紹物理層安全的兩個基礎知識，分別是：竊聽信道模型和安全傳輸速率。竊聽信道模型是物理層安全所研究的基本信道模型，安全傳輸速率是衡量物理層安全系統性能的重要指標。

物理層安全主要是利用特殊的信道編碼和無線信道的隨機特性使得秘密通信得以進行，它與現代密碼學不同之處在于，其安全程度并不依賴于Eve的計算強度，而是依賴無線信道環境的隨機特性。但是，從保密環節上來說，物理層安全與傳統的計算密碼學的安全卻有著本質的相似之處。如圖1所示。物理層安全中的編碼調制環節和信道的隨機性是安全通信的必要條件，正如現代密碼學體制中的加密算法和密鑰。編碼調制環節是指Alice根據Alice-Bob和Alice-Eve信道的信道條件，通過獨特的信道編碼來保證Alice與Bob之間安全又可靠的通信。從安全的角度來說，編碼調制環境可以被看作現代密碼學中的加密過程，信息加密后生成的密文記為Xn。密文經過無線信道和解調譯碼可以等同為現代密碼學中的解密環節，其中信道信息{h，g}可以看作公共密鑰，而Bob接收端的噪聲可以看作Bob的私鑰，Eve是沒有辦法獲得的。因此密文通過Bob的無線信道和解調譯碼，可以被Bob正確地譯碼解密；而此密文通過Eve的無線信道和解調譯碼，Eve是不能獲得任何信息的。由此可見，雖然物理層安全與傳統的基于現代密碼學的加密原理是完全不同的，但是它們在實現框架上卻也能夠找到共同點。物理層安全可以看作是以調制編碼等發送端的技術為“加密算法”，充分利用Alice-Bob和Alice-Eve之間無線信道的差異性，把無線信道看作“加密密鑰”，從而使得Alice與Bob之間形成了安全可靠的通信。

物理層安全技術由于可以獨立于上層而單獨實現秘密通信，因此在無線通信系統中，可以在保證現有上層安全措施不變的情況下，補充物理層傳輸的安全。這使得通信系統的安全性能得到額外一層的保護。另一方面，將物理層安全用來傳輸現代密碼學中的密鑰，也是增強系統的安全性的一種方法。

從實現的角度講，當前傳統的無線路由器等均使用了全向天線進行傳輸，有可能導致無線信號泄漏至營區外部造成泄密。由于物理層安全技術方案的存在，除了進行傳統的上層密碼和傳輸加密以外，考慮利用物理層定向天線和波束賦形技術使得無線信號定向的向營區內部輻射，使得竊聽者獲取的信息量近乎為0，從而進一步降低失泄密的風險，這是物理層安全技術在現有無線網絡中的應用改進。

根據香農公式，假設發射端信號表示為：y=hx+z，那么正常接收者bob收到的信號可以表示為：

此時人造噪聲設計對Bob沒有產生干擾的方向上均勻分布，從而實現了對目標用戶的正常信號發送，但是使得竊聽用戶獲得的干擾最大化，可用信息最小。

可見光通信（Visible Light Communications）是指利用可見光波段的光作為信息載體，不使用光纖等有線信道的傳輸介質，而在空氣中直接傳輸光信號的通信方式，簡稱“VLC”。

普通的燈具如白熾燈、熒光燈（節能燈）不適合當作光通信的光源，而LED燈非常適合做可見光通信的光源?？梢姽馔ㄐ偶夹g可以通過LED燈在完成照明功能的同時，實現數據網絡的覆蓋，用戶可以方便地使用自己的手機、平板電腦等移動智能終端接收這些燈光發送的信息。該技術可廣泛用于導航定位、安全通信與支付、智能交通管控、智能家居、超市導購、燈箱廣告等領域，特別是在不希望或不可能使用無線電傳輸網絡的場合比如飛機上、醫院里更能發揮它的作用?？梢姽馔ㄐ偶骖櫿彰髋c通信，具有傳輸數據率高、安全性強、無電磁干擾、節能、無需頻譜認證等優點，帶寬是Wi-Fi的1萬倍、第四代移動通信技術的100倍，是理想的室內高速無線接人方案之一。

據美國DAPRA報道，美軍已經生產出軍用可見光網絡及相關設備，用于國防部等軍事機關和設施的高速無線網絡通信。由于可見光室內傳輸光源直接指向用戶且傳輸距離遠小于傳統的微波無線通信，在不考慮人為主動泄密的情況下，可見光通信信號是無法截獲的，從技術上為通信的有效性和可靠性提供了強有力的支撐。

圖2給出了微波無線通信和可見光通信之間的比較。對于手機、Wi-Fi等微波無線通信手段，除了目標用戶能夠接收到無線信號以外，由于無線電波是全向發射的，竊聽者完全可以收到相同的信號，從而進行破譯或者攻擊，帶來安全隱患；而可見光通信依賴于室內的LED燈具，通常燈具會直接部署在工位上方，而照明具有定向發射的特點，因此位于營區外部的竊聽者無法收到任何信號，不能進行竊聽。從實現上講，可見光通信可以方便的利用LED臺燈、屋頂燈等照明燈具，通過加裝調制解調模塊即可使得燈具具有高速數據傳輸功能，可供營區內臺式機、筆記本電腦、平板電腦等高速無線上網，滿足高清視頻會議等高帶寬需求。

目前，關于可見光通信在室內外各種復雜環境下的信道測量與建模的工作還很欠缺，只有少量的研究結果。尤其是在有強光干擾、煙霧和灰塵遮擋的環境下的信道干擾模型，更是需要亟待解決的問題。

3 結論

軍隊作為國家的武裝力量，其信息安全問題尤為重要。在和平時期，如何從技術手段保證軍隊手機、Wi-Fi等無線通信安全，防止和平時期敵對勢力進行的無線網絡信號偵收和網絡攻擊，是當前要重點關注的問題。

構建網絡安全體系范文5

關鍵詞： 會計信息系統；系統安全體系；金融會計

一、網絡金融會計信息系統的含義

網絡金融會計信息系統是指建立在網絡環境基礎上的會計信息系統網絡環境,包括兩部分：一是金融企業內部網絡環境，即內網，通過組建金融企業內部網絡結構實現內部各部門之間的信息交流和共享；二是國際網絡環境，即通過互聯網使金融企業同外部進行信息交流與共享,基于互聯網的會計信息系統，也可以說是基于內聯網的會計信息系統,即金融企業的內聯網和互聯網連接，為金融企業內各部門之間，金融企業與客戶、稅務、審計等部門之間建立開放、分布、實時的雙向多媒體信息交流環境創造了條件，也使金融企業會計與業務一體化處理和實時監管成為現實，原來封閉的局域網會計信息系統被推上開放的互聯網世界后，一方面給金融企業帶來了前所未有的會計與業務一體化處理和實時監管的優越性，另一方面由于互聯網系統的分布式、開放性等特點，其與原有集中封閉的會計信息系統比較，系統在安全上的問題也更加突出，互聯網會計信息系統的風險性更大。

二、當前網絡金融會計信息系統存在安全隱患

(一)金融會計信息安全組織管理體系不完善

目前，金融企業尚未建立起一套完整的計算機安全管理組織體系，金融會計信息系統的建設在安全設計方面缺乏總體考慮和統一規劃部署，各系統根據自己的理解進行規劃建設，技術要求不規范，技術標準各異，技術體制混亂。國家標準制定嚴重滯后，法律法規不能滿足金融會計信息系統的安全需求，現行計算機安全法律法規不能為金融會計信息系統安全管理提供完整配套的法律依據，在一定程度上存在法律漏洞、死角和非一致性。

(二)網絡金融會計信息數據不安全

網絡金融會計數據是記錄在各種單、證、賬、表原始記錄或初步加工后的會計資料，它反映企業的經營情況和經營成果，對外具有較高的保密性，連接互連網后，會計數據能迅速傳播，其安全性降低，風險因素大大增加，網絡金融會計的信息工作平臺是互聯網,在其運作過程中，正確性、有效性會受到技術障礙的限制和網絡與應用軟件接口的限制，如網絡軟件選配不合適，網絡操作系統和應用軟件沒有及時升級，或安全配置參數不規則，網絡線路故障導致工作站癱瘓、操作失誤等，系統間數據的大量流動還可能使金融企業機密數據無形中向外開放，數據通過線路傳輸，某個環節出現微小的干擾或差錯，都會導致嚴重的后果，互連網結構的會計信息系統，由于其分布式、開放性、遠程實時處理的特點，系統的一致性、可控性降低，一旦出現故障，影響面更廣，數據在國際線路上傳輸，數據的一致性保障更難，系統恢復處理的成本更高。

(三) 網絡金融信息泄露導致金融會計信息失真

在信息技術高速發展的今天，信息己經成為金融企業的一項重要資本，甚至決定了金融企業在激烈的市場競爭中的成敗。而金融會計信息的真實、完整、準確是對金融會計信息處理的基本要求。由于金融會計信息是金融企業生產經營活動的綜合、全面的反映。金融會計信息的質量不僅僅關系到金融會計信息系統，還影響到金融企業管理的其他系統，目前利用高技術手段竊取金融企業機密是當今計算機犯罪的主要目的之一，也是構成金融會計信息系統安全風險的重要形式。其主要原因：一是電信網絡本身安全級別低，設備可控性差，且多采用開放式操作系統，很難抵御黑客攻擊；二是由于電信網絡不負責對金融企業應用系統提供安全訪問控制，通信系統己成為信息安全的嚴重漏洞，但許多金融企業對此未加以足夠重視而采取有效的防護措施。由于這些原因導致了金融會計信息系統的安全受到侵害，造成了信息的泄露，使金融會計信息失真。

構建網絡安全體系范文6

關鍵詞：校園計算機；網絡安全；安全防護

中圖分類號：TP393.08

二十一世紀的今天，信息技術在不斷地發展進步。為適應信息化潮流，教育也開始向信息化的方向發展，校園網絡也隨之建設發展起來。許多學校在教學管理活動中充分運用計算機網絡通信的便利作用，久而久之，學校對計算機網絡的依懶性也越來越高。如果不能保證校園網絡的安全，校園的各種重要信息將會被泄露，學校教學管理活動也將不能正常進行。因此，構建校園計算機網絡安全防護體系顯得至關重要。

1 校園計算機網絡的不安全因素

校園計算機網絡存在很多不安全因素，這些不安全因素來自以下三個方面：人為因素、偶發因素和自然因素。人為因素是指，一些不法之徒利用計算機網絡存在的漏洞，或者潛入計算機房，盜用計算機系統資源，非法獲取重要數據、篡改系統數據、破壞硬件設備、編制計算機病毒。自然因素是指，各種自然災害對計算機系統構成嚴重的威脅。偶發因素是指，電源故障、設備的功能失常及軟件開發過程中留下的漏洞或邏輯錯誤等。其中，人為因素是最大的不安全因素，主要原因在于以下幾個方面。

1.1 網絡自身的不安全性

網絡的最大特點是共享，這個特點也決定了網絡的開放性，各種網絡技術都是對外開放的。開放的網絡技術增加了網絡攻擊的多樣性。有些攻擊專門針對物理傳輸線路，還有一些攻擊是針對網絡通信協議的，最常見的攻擊主要針對計算機軟件的漏洞。網絡系統并不局限于校園這種小范圍地區，它是國際性的，因此，計算機網絡系統不僅僅受本地用戶的攻擊，它受世界各地黑客的威脅，即使是校園網絡也可能被別的地區的黑客攻擊。我們目前的計算機網絡系統是很自由的，即使是沒有技術的人員也可以不受約束的使用，用戶可以在網絡上獲得各種信息。網絡的這些特性增加了系統的不安全性。

1.2 操作系統存在安全問題

計算機網絡系統的正常運行需要操作系統提供一個穩定的環境，只有在這種穩定的環境中計算機的運用系統才能正常運行。所以操作系統的安全性對計算機網絡系統的安全起著至關重要的作用。操作系統主要負責對系統的軟件資源和硬件資源進行管理，由于開發人員的技術問題在操作系統方面造成的不安全性增加了計算機網絡的危險性。

計算機的操作系統結構體系也不夠完善，還存在著一些缺陷。操作系統對計算機內部進行著多處管理，每一處管理都會涉及到一系列的程序，這些程序哪怕出現很小的問題都會使計算機系統受到巨大的影響。外部網絡一旦接入出現問題的部分，有可能引起計算機系統的徹底崩潰，這將會使校園的教學管理系統毀壞，教學活動隨之受到巨大影響。

操作系統具有網絡傳輸功能，這個功能也增加了網絡的不安全因素，一些病毒可能會在接受文件的時候攻擊計算機系統。創建進程是操作系統的一大特色，它可以使進程進行遠程創建和激活，被創建的進程可以繼續進行創建，有些黑客會利用操作系統的這一特性擺脫操作系統的監視，進而對系統進行破壞。

目前的計算機操作系統依然存在后門和漏洞。通過避開安全控制的方式對系統進行訪問的程序被稱為后門程序。這些后門程序是程序員們在軟件開發階段所編制的，編制這些程序是為了完善程序設計中的不足之處。有些后門程序在軟件刪除之后并沒有被刪掉，這就使得一些黑客乘虛而入，對系統進行破壞。

2 構建安全的校園計算機網絡防護體系

2.1 技術層面的對策

校園計算機網絡系統在技術層面需要提高，實時掃描技術、防火墻、完整性檢驗保護技術是目前存在的計算機網絡系統技術。所以在加強技術方面，我們可以采取以下幾種對策。

2.1.1 建立安全的校園計算機網絡管理制度

加強校園網絡用戶的道德修養，提高系統管理員的技術。對系統進行定期檢查，同時要對重要的數據進行備份。學校還要控制網絡訪問，盡量減小網絡訪問量?？刂凭W絡的訪問量對于保護網絡安全是很重要的一種方式，校園網絡的資源可以通過這種方式得以保護。控制網絡訪問是目前保護系統的主要策略。訪問控制要從多個方面進行，同時也涉及了多方面的技術，入網訪問控制、網絡權限控制、目錄級控制都在控制訪問之列。同時還要注意對數據庫及時進行備份和恢復。數據庫管理員對數據進行管理的時候重要的操作就是對數據進行備份和恢復，其中的備份是最能防治系統發生意外的方式，恢復則是在數據受到破壞后減小損失的最主要方式。另外還要提高校園計算機網絡系統的應用密碼技術。信息安全核心技術就是密碼技術，通過密碼技術可以保證信息安全。當前保證信息完整性方法就是密碼的數字簽名和身份認證。

2.1.2 提高校園計算機網絡反病毒技術

病毒對計算機網絡具有很大的破壞作用，所以提高反病毒技術對于建立安全防護系統非常重要。學?？梢园才殴芾砣藛T安裝病毒防火墻，對帶有病毒進的文件行過濾。防火墻會對網絡服務器中的文件進行掃描檢測，一旦發現可疑文件將采取相應措施進行控制。此外，還要完善操作系統，加大操作系統對病毒的檢測力度，堅決不讓病毒鉆空子，保證系統的安全。

2.2 管理層面的對策

計算機網絡的安全管理包括很多個方面，它不僅僅只是建立安全管理機構，它還包括了提高計算機網絡用戶網絡的安全意識。校園網絡的用戶多數為在校師生，所以學?？梢蚤_設有關的課程，讓網絡用戶明白自己該干什么不該干什么，提高學生在網絡使用方面的法律意識。這樣將會使校園網絡的威脅減少，對于那些試圖攻破網絡系統的人員要采取法律手段對他們進行懲罰。加大網絡安全方面的宣傳，讓校園用戶明確自己的權利和義務。同時學校還要調動網絡用戶的責任心，如果發現對網絡系統做破壞的人要及時舉報，堅決維護校園計算機網絡的安全，還要建立相應的制度，包括資料管理制度、機房保衛管理制度、嚴格分工等管理制度。

3 結束語

計算機網絡已經成為校園發展中不可缺少的一部分，保證校園計算機網絡的安全性問題也成了很重要的問題。校園網絡的不安全因素來自多個方面，所以在建立安全防護體系的時候也要考慮到多方面因素。校園計算機網絡在不斷地發展變化，網絡的安全問題也不是一成不變的，所以網絡安全防護體系也要根據新的安全問題及時更新變化，要保證校園網絡安全防護系統的有效性和先進性。

參考文獻：

[1]羅森林.高平.信息系統安全與對抗技術實驗教程[M].哈爾濱：黑龍江大學出版社，2012（49）：50.

[2]潘瑜.計算機網絡安全技術[M].北京：中國鐵道出版社科學出版社，2010（23）：214.

[3]華師傅資訊.黑客攻防疑難解析與技巧[M].北京：北京理工大學出版社，2012：24.

[4]郭俊珍.淺析計算機網絡安全[J].武漢大學報，2011.