網絡安全應對策略范例6篇

前言：中文期刊網精心挑選了網絡安全應對策略范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全應對策略范文1

關鍵詞：云計算；網絡安全；應對策略

引言

云計算是由谷歌公司以及IBM公司在校園內部進行推廣，主要功能是通過網絡來進行大規模的數據計算以及研究。當云計算被廣泛應用之后，大量的IT企業注重對云計算的開發與研究。當前云計算已經在IT行業廣泛推廣并且大量使用，其中云計算的使用方法是將互聯網技術與遠程服務器結合來對計算機當中其他的應用程序或者數據進行一定的維護，從而降低系統維護或者軟件硬件購置的成本。

1云計算的部署模式與服務模式

云計算包含四中部署模式，分別為：公有云、私有云、混合云與社區云。其中，公有云的使用最為廣泛，例如網絡的應用，將簡單基礎的服務通過網絡提供給公共用戶，由大眾公用的機構進行建設與日常維護和管理，用戶可以直接通過網絡獲取信息。私有云的使用則是針對某一私人企業或者機構提供服務，企業或者機構在使用私有云之后，非相關人員無法從中獲取資源，私有云的服務器需要企業或者機構自行進行建設、管理與維護?；旌显苿t是通過將多種云計算的特點以及優勢進行混合，在使用的過程中可以集合混合云計算的優點進行使用。社區云則更傾向于社區管理，通過對應的企業或者有關機構進行承擔成本，在所屬的社區內進行共享。云計算的服務模式是由軟件即服務（SaaS）、平臺即服務（PaaS）與基礎設施即服務（LaaS）三類組成。軟件即服務是供應商通過云計算來向用戶提供相關的軟件服務模式，在服務的過程中用戶不需要再次購買相關軟件。平臺即服務則是為用戶提供計算環境或者開發環境的平臺服務。供應商通過云計算將自我開發的系統環境或者系統的開發環境提供給用戶，當用戶在進行系統或軟件開發時不必再次購買服務器。而基礎設施即服務則是為用戶提供儲存工具、計算機硬件等設施。

2云計算的網絡風險

2.1拒絕服務攻擊

當服務器出現停止服務甚至主機死機的情況時，很有可能是由于攻擊者對服務器發送了拒絕服務指令。當服務器頻繁接受到攻擊者的訪問請求時，會造成網絡消耗過大，并導致服務器內部的緩沖空間不足。

2.2端口掃描

端口掃描是網絡攻擊者最常用的攻擊服務器方式，通過服務器當中持續開放的端口應用，對端口傳輸與收入的消息進行掃描，并通過反饋的信息來尋找服務器當中的弱點，進行網絡攻擊。

2.3網絡嗅探

網絡嗅探本身是網絡管理人員對網絡服務器進行維護、管理與監測網絡性能的一種管理型工具。但是，網絡攻擊者可以使用網絡嗅探對服務器進行網絡攻擊，造成網絡服務器崩壞。

2.4SQL注入

網絡攻擊者通過分析網絡服務器中的SQL網絡安全漏洞，通過SQL注入的方式對網絡服務器進行攻擊。攻擊者為了獲得網絡服務器的訪問權，向網絡表格輸入框中輸入SQL代碼，從而操作Web界面的網站使網絡服務器的數據庫運行錯誤代碼，從而獲取攻擊者所需要的信息。

2.5中間人攻擊

中間人攻擊是將正常的網絡通信數據進行攔截，然后對攔截的數據進行篡改或竊取，但是通信的雙方無法發現網絡信息已經被網絡攻擊者竊取，是一種隱秘的網絡攻擊手段。

2.6跨站腳本攻擊

當網站出現漏洞時，網絡攻擊者可以通過跨站腳本攻擊的方式對網絡漏洞進行利用，在用戶瀏覽網頁的過程中，通過篡改或者在網頁鏈接中輸入非法代碼，將網路用戶定向到其他非法頁面當中，從而竊取網絡用戶的信息或者個人資料。

3云計算的安全風險

3.1可擴展標記語言簽名包裝

可擴展標記語言（XML）簽名包裝，是一種攻擊漏洞，屬于Web服務器，XML簽名包裝的原本功能是防止服務器的組件名或者屬性遭受非法訪問，但是由于本身性質特殊，在公文當中無法隱藏自身文職，導致網絡攻擊者可以通過簡單對象訪問協議（SOAP）中攜帶的內容對服務器中的組件進行攻擊。

3.2云惡意軟件注入攻擊

當應用程序或者虛擬機遭受了云惡意軟件注入而被破壞時，攻擊者可以通過惡意軟件強行生成服務命令，并將其放入到云架構當中。當云架構當中進入了惡意軟件時，攻擊者所使用的惡意軟件就成為了系統當中的合法軟件，當攻擊者通過惡意軟件對云架構進行攻擊或者上傳病毒時，云構架也會認為是合法服務，從而對云架構造成威脅。當用戶察覺之后向惡意軟件發送刪除或者其他服務請求時，云平臺會將病毒通過互聯網傳輸給用戶，將用戶的計算機客戶端破壞。

3.3洪流攻擊

云平臺系統使用最大的優勢就是可以為用戶提供大量的資源，用戶在進行訪問的過程中，云平臺的規模也會隨訪問量增大，通過產生新的服務模式來滿足客戶所需要的服務需求。當攻擊者對云平臺系統進行攻擊時，會向云平臺的中央服務器發送大量的無意義服務請求，當云平臺服務器接受了大量服務請求之后，會由于資源使用過量導致不能對正常用戶提供服務。

3.4瀏覽器安全性

當用戶采用Web瀏覽器向云端服務器發送服務請求的過程中，服務器需要通過SSL加密授權來對用戶的身份進行驗證，由于SSL可以通過點對點來進行通信，當用戶在發送服務請求的過程中存在第三者時，可以通過竊取用戶在云端服務器中的信息，從而使用該數據信息的用戶成為合法用戶。

3.5數據保護與刪除

由于云計算當中的最重要的安全問題就是對云計算當中用戶的數據信息進行保護。由于用戶的個人信息或者數據通常是保存在網絡云盤當中，管理人員在對網絡云盤進行日常的維護過程中極易造成用戶信息泄露從而造成損失。當用戶在使用云計算之后需要對自身資料進行刪除時很可能出現刪除不徹底的情況，可能造成個人信息或者數據泄露。

4云計算網絡安全威脅的應對措施

4.1惡意軟件注入與洪流攻擊問題

當云計算服務遭到惡意軟件注入之后，由于當前技術沒有有效的防御對策，只能通過用戶對計算機接受到的信息真實性進行認真審查，及時發現并處理疑似惡意軟件，避免攻擊者對云計算進行攻擊。當發生攻擊者對云端服務器進行洪流攻擊時，可以通過入侵監測系統過濾惡意請求，再啟動防火墻防御攻擊者的洪流攻擊，從而保護云計算服務。

4.2XML簽名包裝與瀏覽器安全性問題

當云計算服務出現XML簽名包裝問題時，可以通過帶有第三方授權的數字安全證書來拒絕帶有惡意客戶端的信息，從而保證云計算的安全。而關于瀏覽器的安全性問題同樣可以借助第三方授權的數字安全證書來解決，由于有第三方數字安全證書的支持，XML在經過SOAP多次加密之后可以自行解決有關瀏覽器安全性的問題。

4.3數據存儲與刪除失敗問題

通過加強管理人員綜合素質與相關管理制度來解決與數據儲存有關的安全問題是不夠的。應當在日常的管理維護當中，采用加密技術對云計算用戶的信息數據進行加密處理，避免數據被網絡攻擊者竊取，在用戶個人信息無法被查看之后避免了工作人員“監守自盜”的情況。在對用戶信息進行保存的過程中，需要采用私有網絡進行虛擬化的保存，當數據被用戶自己刪除之后，需要通過特殊的查詢工具來檢查用戶信息是否被徹底刪除。當數據設備存在丟失風險的時候，用戶需要通過改變管理工具，盡量采用以應用程序為主的相關服務，避免云計算服務器出現系統崩潰時對自身造成過大的損失。

5結束語

網絡安全應對策略范文2

關鍵詞：　計算機網絡安全；攻擊；安全策略

0　前言

截至2012年6月我國互聯網網民數量已達5.38億，2011年我國互聯網產業產值高達2660億元，可見互聯已經深入到國民生活和國家社會的每一個領域。隨著互聯網的發展網絡安全問題日益凸顯，成為制約網絡發展，威脅社會公共安全和私人財產安全的重大問題亟待解決。網絡安全是指網絡系統的硬件、軟件及其中數據受到保護，不受偶然的或者惡意的破壞、更改、泄露，保證系統連續可靠地運行，網絡服務不中斷的措施。目前網絡安全面臨的問題可以分成四個方面：管理制度問題、網絡結構問題、黑客攻擊問題和計算機病毒問題。本文分兩部分闡述：第一部分，目前網絡面臨的問題及相應對策；第二部分，對網絡安全問題及應對策略的總結和展望。

1　管理制度

管理制度造成的網絡安全問題可以分為兩種：人為有意泄密和管理漏洞泄密。主要需要加強對工作的制度培訓和技能培訓。

1）對網絡中心機房硬件設施的保護。非機房工作人員不可輕易進入機房，注意機房的防火放水和防靜電問題。

2）對移動存儲設備的管控。U盤、光盤和移動硬盤等移動存儲設備方便數據的移動，但不便于管理，刪除的信息可由專業人員恢復因此應加強對移動存儲設備的管控。

3）口令管理。管理人員的口令應定時更換不可使用有規律、有意義、易猜測的口令。

4）機密數據加密處理。目前常見的加密方式有兩種：對稱加密技術和非對稱加密技術。對稱機密技術是指加密密鑰和解密密鑰是相同的，算法簡單速度快，但安全性相對較低；非對稱加密技術的加密和解密密鑰成對出現并不相同，算法復雜，但較適合網絡傳輸使用。

威脅網絡安全的事件多由內部人員有意行為或管理制度不完善造成，因此應加強內部的管理培訓和工作人員的技能培訓，降低網絡運行風險。

2　網絡結構

網絡本身是一個開放性的平臺，因此其本身存在一定的安全隱患?；ヂ摼W信息在網絡上公開傳輸，極易竊取，對于敏感數據需要進行加密處理。

網絡協議本身同樣存在安全漏洞。TCP/IP協議是IPv4版本網絡的網絡協議的基礎。TCP/IP協議在諸多協議層存在著安全漏洞。在數據鏈路層CSMA/CD協議忽略不屬于自己的數據幀，因此對數據幀做設置修改，可以使以太網接口接收不屬于它的數據幀。可通過網絡分段、利用交換器，動態集線器和橋等設備對數據流進行限制、加密（采用一次性口令技術）和禁用雜錯接點等方式解決該漏洞。ARP協議工作在將目的IP地址轉換成目的MAC地址的過程。當主機的IP地址映像到另一主機的ARP高速緩存中后，它就會被當作是可信任的計算機。該主機并不檢驗IP地址到MAC地址對應表真實性，因此大多數主機保存了映射但不檢查其真實性、有效性，也不維護一致性，因此以ARP協議可能把幾個IP地址映射到同一物理地址上，這就是ARP協議的安全隱患?？赏ㄟ^使用靜態IP-MAC解析機制，ARP服務或使用高層交互方式解決該漏洞。

系統軟件存在后門。軟件提供商在提供的軟件中經常留有后門，這些后門可能被黑客利用攻擊系統，因此要經常更新系統中的軟件、修補漏洞。

3　黑客攻擊

3.1　黑客攻擊的主要方法和技術

黑客攻擊的基本過程可以大致分成：踩點，掃描，差點，成功訪問，特權提升，偷竊，掩蹤滅跡，創建后門和拒絕服務攻擊等。如圖1所示。

黑客進行踩點是進行攻擊的第一步，目標地址范圍的確定、名字空間查詢和信息攫取是核心任務其關鍵在于漏掉任何細節。進行踩點的主要技術有：打開源查詢、DNS區域傳送和whois等。主要使用的工具有：USENet、搜索引擎和Edgar等。

進行踩點后開始掃描，目的是對目標系統所提供的監聽服務評估、分析和確定，使攻擊者將注意力集中在最有希望的途徑上。此時使用的主要技術有Ping　sweep，OS檢測和TCP/UDP端口掃描等，使用的主要工具有fping，icmpenum，WS_Ping　ProPack，fscan等。

從系統中抽取有效賬號或導出資源名的過程稱為查點。查點的方法有很多比如列出用戶賬號，列出共享文件和確定各種應用等。主要查點方式有“空會話”、NAT、NetBIOS線纜等。

當經過以上三步獲得了足夠的數據后，攻擊者開始嘗試訪問目標，即攻擊的第四步成功訪問。在次階段攻擊住主要使用的手段有密碼竊聽，共享文件的蠻力攻擊，攫取密碼文件和緩沖區溢出等；可以使用的攻擊有tcpdump，LOptcrack　readsmb和frtp等。

如果上述步驟只獲得了用戶級的訪問權限，攻擊者就回尋求對系統的完全控制，即特權提升。進行特權提升主要的方法有密碼破解、利用已知漏洞或脆弱點；可以利用的工具有john，lc_messages和sechole等。

偷竊，在此進行信息攫取以確定可信系統的入侵機制和途徑。主要使用的方法有搜索明文密碼；主要使用的信息有用戶數據，配置文件和注冊表等。

當目標系統已經全部控制之后，為了防止系統管理員發覺便應該進行掩蹤滅跡?？梢越柚鷕ootkits，zap等工具進行清除日志記錄等操作來消除操作痕跡。

在系統的不同部分均布置陷阱和后門，方便攻擊者需要時可以容易的獲得攻擊對象的特權訪問權限。創建系統后門的方法很多如創建“無賴”賬號，安排批處理作業，感染初啟文件，安裝監控機制和植置遠程控制服務等，主要手段和使用攻擊有remote.exe，VNC和BO2K等。

如果攻擊著侵入不成功，那么攻擊者可能會使用漏洞代碼來使目標系統癱瘓這就是拒絕服務攻擊。拒絕服務攻擊主要應用的發放和技術有SYN　flood，ICMP技術，同一Src/dst　SYN請求和bugs。

3.2　應對黑客攻擊的策略

應對黑客攻擊確保網絡安全，目前比較成有的網絡安全技術有：防火墻技術、數據簽名技術、入侵檢測技術和虛擬專用網VPN技術等。

3.2.1　防火墻技術。防火墻是在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。防火墻可以分為軟件防火墻和硬件防火墻。防火墻主要有服務訪問規則、驗證工具、包過濾和應用網關四部分組成。防火墻通過檢測每個信息包判斷是否接受該信息來限制網絡外的訪問，同時也可以限制內部網絡未授權的訪問。防火墻同時具備服務器的功能和包過濾器功能。防火墻在網絡層的NAT技術將私有地址轉化成合法的IP地址，隱藏了網絡的內部機構。

3.2.2　數據簽名技術。數字簽名技術主要是基于公鑰密碼體制。對數據進行簽名的用戶通過自己的私鑰進行加密，收到數據的一方通過對方的公開的公鑰進行解密，如果可以得到明文則說明數據的真實性。數據簽名具有抗抵賴性；在報文中加入時戳或流水號使具有防重放攻擊性；在原文中加摘要可以實現數據的防篡改性和身份認證等特性。

3.2.3　入侵檢測技術。入侵檢測技術是一種動態的安全技術，提供了對內部攻擊、外部攻擊和誤操作的實施保護。當攻擊繞過防火墻進入內部時入侵檢測技術可以看成防火墻技術的補充。入侵檢測通過監視和分析用戶、系統活動；審計系統構造和弱點；識別進攻活動模式并報警；統計分析異常的行為模式；評估系統數據完整性和審計跟蹤管理系統并是被用戶違反安全策略的行為來保護系統。

3.2.4　虛擬專用網VPN技術。VPN技術是利用公共網絡實現類似私有專用網的數據傳輸功能的技術。VPN系統的關鍵技術有：隧道技術，一般分為兩大類第二層隧道協議PPTP、L2F和L2TP等，第三層隧道協議GRE和IPSec；加密認證技術，為保證數據安全箱，在數據以密文形式傳輸；密鑰管理技術，在網絡環境中安全的傳遞密鑰；訪問控制技術，由VPN服務的提供者和最終網絡信息資源的提供者決定特定用戶對特定資源的訪問權限。

4　計算機病毒

計算機病毒具有傳染性、隱蔽性、潛伏性、破壞性、針對性、衍生性、寄生性和不可預見性。常見的計算機病毒可以分成以下幾種：系統病毒，感染windows操作系統的.exe和.dll文件；蠕蟲病毒，通過網絡或系統漏洞傳播；木馬病毒，隱藏在系統內并向外界泄露用戶信息；黑客病毒，可對用戶系統進行遠程控制；腳本病毒，是指利用腳本語言編寫并通過網頁傳播的病毒；還有宏病毒、后門病毒、玩笑病毒、破壞性程序病毒和病毒種植程序病毒等。

計算機病毒的防范是一個整體的防范體系和制度，可以分為病毒的防范、病毒的檢測、病毒的清除。

計算機防范和檢測的基本技術有：特征代碼技術是一種較簡單的方法，通過分析病毒的病毒碼，建立病毒的特征庫，對現有數據進行掃描若匹配則認為改數據被感染；校驗和法技術，計算計算機內數據的校驗和并保存，使用數據前進行校驗和對比，若不一致則認為數據感染病毒；行為檢測技術，分析病毒共，運行系統時進行監視若發現病毒行為則認為有數據感染病毒和軟件模擬技術等。

病毒的清除方法可以分為兩種：簡單工具治療如Debug等工具和專用工具治療。

5　計算機網絡安全問題總結和展望

由于攻擊手段和危害計算機網絡安全行為的多樣性，計算機信息和網絡的安全需要整體的防護，不可能由單一的防護措施完成。計算機網絡正融入人們生活，與人們的生活緊密的結合在一起，隨之而來的是越來越多網絡犯罪，通過竊取用戶信息，妨礙網絡正常服務，仿造用戶信息等行為危害國家、社會和個人的利益。因此，維護計算機網絡安全的技術將面臨更多的挑戰。需要投入更多的人力、物力發展計算機網絡安全技術。

參考文獻：

[1]曾琪，江西省萍鄉市住房公積金管理中心，計算機網絡安全維護策略，科技創新與應用，2012，10：68.

[2]馬軍、王巖，洛陽大學，ARP協議攻擊及其解決方案，微計算機信息，2006.

網絡安全應對策略范文3

【關鍵詞】通信網絡安全技術

通常所講的計算機通信網絡安全，是指利用當前網絡安全科技和預防措施，防止計算機通信網絡當中的硬件設施、操作系統、系列軟件和傳輸數據受到破壞，防范非法取得服務。

一、網絡安全出現的原因

（1）系統自身的缺點。為了計算機用戶能夠簡單、方便的操作計算機，在進行網絡軟件和硬件開發時總會有一些漏洞，這些漏洞給不非程序的入侵提供了方便和可乘之機，這些都是因為系統存在缺點而造成的安全問題。

（2）網絡傳輸信道上設計不規范。網絡在傳輸數據過程中，傳輸信道上設計缺乏完整性，不存在屏蔽能力，從而使得數據在傳輸時會受到威脅，是由于傳輸信道上沒有屏蔽能力，數據在傳輸過程中能夠對外發出電磁輻射，如果對方有專用設施就能夠接收。

（3）人的原因。一是沒有安全思想和安全防范措施的內部工作人員，運用自己的特殊身份進入網絡；二是專門具有破壞行為的人員、利用各種非法程序侵入他人電腦的網絡黑客，專業的網上犯罪分子等都會給網絡通信帶來巨大的安全隱患。

二、網絡安全問題的解決辦法

（1）運用密碼技術。密碼技術的工作原理是轉換信息顯示形式，密碼科技由四部分組成：明文、算法、密文和密鑰。這當中的密鑰部分最為重要，涉及應用范圍非常廣泛，這種科技手段關系到密鑰的出現、驗證、分配、傳輸、存儲、運用和消鑰等。密碼的種類基本上有三種形式：移位、代替和乘積密碼。在日常應用時，都不會只運用一種方法，而是三種密碼類型綜合運用形成新的密碼。

（2）運用用戶識別技術。為了保證網絡的安全性能，在用戶使用網絡時，使網絡能夠判斷用戶是否具有處理數據的權力，防止各種不安全因素的出現，網絡這時要運用識別技術，通常使用較多的識別辦法有口令、唯一標識符和標記識別等。唯一標識符在一般情況下用于安全需求較高的網絡系統，只允許一個用戶進行數據處理和網絡管理，這種唯一標識符是用戶在建立網絡時形成的一個字符，并且這個字符在一定時期內不會再被其他用戶使用。標記識別是運用一個精確碼卡片的識別形式，每個用戶一定要有一個卡片，卡片能夠隨時生成口令，供用戶輸入計算機，每張卡片可以多次應用，安全性能較高。

（3）防范入侵技術。防范入侵技術又叫做IDS，它的功能主要是：準確識別非法入侵行為，馬上發出警報并運用各種安全辦法防御非法者的入侵，這種技術在網絡安全中得到廣泛應用?，F在的計算機網絡基本上都運用網絡安全協議，非法入侵者侵入的手法存在一定的規律，現在存在多種多樣的通信網絡，各自具有不同的內部管理協議和通信協議，所以這種技術有著一定的針對性，能夠運用這一特征，開發出非法入侵檢測系統或者存在于網絡當中的入侵檢測系統，利用計算機的工作日志、安全審查數據和網絡數據包進行篩選、處理、辨別入侵行為。

（4）運用通信網絡內部協議安全。非法入侵者常常利用各種協議來侵入網絡，實施破壞行為，這一非法入侵方式應該得到人們的高度重視。破壞網絡安全協議的辦法就是利用獲取協議數據，運用各種方法獲得協議信息，再把這種協議重新放回網絡當中，冒充真正用戶使用網絡通信功能，也有對網絡協議直接破壞或者改變的行為，從而使得網絡通信不能正常運轉，形成非法入侵行為，用戶之間互相猜疑，各種網絡服務無法進行，甚至斷開服務等惡劣后果。要想使得網絡安全協議落實安全變異和重新組建，就要利用數據的認證和數據的完整性鑒定科技手段，這種手段的運用工具是公鑰密碼算法和哈希函數，用這兩種辦法來完成協議數據的實體認證和鑒定數據的完整性。在開發安全協議過程中，假如可以一次加密每個完整信令，就能夠有效提高協議的安全性。

總之，網絡安全工作不是短時間內就能夠得以解決的，它需要專家學者長期的不懈努力，是一個在網絡形成初期就應該重點思考的問題，網絡安全技術必將隨著科技的不斷進步，獲得實質性的發展。

參考文獻

[1]馮登國.計算機通信網絡安全[M]，清華大學出版社. 2001.

網絡安全應對策略范文4

關鍵詞：校園網絡安全；網絡管理；跟蹤監測；端口管理

在信息化社會到來的今天，許多中學都建立了不同規模的校園網絡，并以各種方式接入了Internet。網絡的普及，彌補了傳統教學的很多不足，促進了現代化教學手段的使用，但隨之而來的校園網絡安全也成了廣大校園網絡管理者比較頭疼的問題。學校服務器被攻擊，網站被篡改，教學數據被刪除，甚至網絡癱瘓等事件時有發生。所以，必須加強校園網絡的安全維護，確保校園網安全、穩定、高效地運轉。

要管理好所承擔的網絡管理工作，必須先了解目前中學網絡拓撲圖。

■

學校網絡拓撲解析：校園網絡的外接網路有兩條，其一是電信百M光纖，另一條是地區教育城域網光纖，兩條線路均通過防火墻過濾，所有網絡中的外網訪問由路由指向電信線路，教育網相關應用由路由指向教育城域網。

拓撲圖危險等級分析：（1）A1，A2，A3處危險均來自校園網外部，尤其是A1處危險等級最高，因為黑客有可能以校園網WEB服務器為跳板，直接進入到學校內部網絡進行破壞。（2）B處危險來自學校內部網絡，相對容易監控。

就拓撲圖分析該網絡存在的安全隱患：（1）網絡病毒；（2）黑客惡意攻擊；（3）不良信息；（4）設備安全；（5）web服務器和數據庫服務器的安全漏洞；（6）系統服務器的安全漏洞。

一、從技術手段上提高網絡安全性

針對以上拓撲結構，結合實際操作經驗就技術實現手段來談談如何改進中學校園網絡安全維護。

（一）網絡病毒防治

通過網絡途徑，病毒的傳播速度快得驚人，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于局域網的全方位防病毒產品。對于學生機房里的電腦，可以采用安裝硬件或軟件還原系統來防止病毒的入侵。對于教師的辦公電腦，要及時安裝殺毒軟件并及時更新，現在的免費殺毒軟件很多，例如金山毒霸、360殺毒軟件等。同時，辦公區電腦的補丁安裝也不能馬虎。

現在校園網絡中常見的病毒主要是“ARP木馬”類的病毒。它發作時，中毒的機器會偽造某臺電腦的MAC地址，如果偽造地址為網關服務器的地址，那么對整個網絡就會造成影響，表現為用戶上網時電腦不斷彈出網絡地址沖突的提示。對于此類病毒，在清除以后，可以采用在交換機內進行IP地址與MAC地址的雙向綁定，也可以采用安裝一些ARP防火墻軟件的方來解決，如Anti ARP Sniffer和360安全衛士。筆者目前給學校的辦公電腦做了個啟動文件，來靜態綁定網關IP，防止ARP欺騙，讀者可以借鑒arpd、arps、 網關地址、網關MAC地址等。

（二）惡意攻擊防御

惡意攻擊，主要來自外網和內網。

1.外網的攻擊。首先是路由器，它屬于接入設備，必然要暴露在互聯網黑客攻擊的視野之中，因此需要采取嚴格的安全管理措施，比如口令加密、加載嚴格的訪問列表，關閉無關的服務端口。如果廠家推出了新的軟件升級包，要及時更新版本，盡量減少漏洞。

其次是服務器，服務器安全分為硬件方面和軟件方面。硬件方面，要求該服務器具有較高的可用性、可靠性、可擴展性，最好還要有不間斷電源UPS來供電，硬盤防護要采用軟件或者硬件RAID（磁盤陣列），這樣才能很好的保存我們放置在服務器里的文件數據。對于重要數據還要養成定時備份，存放到不同的服務器里或者進行刻錄保存的習慣。軟件方面，現在大部分中學的服務器安裝的都是Windows 2003/2008，對于操作系統的安全補丁一定要及時更新，做好防范措施。同時，還要根據自已的實際，對操作系統進行安全配置，關閉不需要的服務。

2.校園網內部也存在很大的安全隱患。由于內部用戶對網絡的結構和應用模式都比較了解，因此來自內部的威脅將會更大一些。

首先，現在黑客攻擊工具在網上泛濫成災，而中學生的心理特點也決定著他們對此類工具充滿好奇，極想嘗試，所以不能忽視，必須防范。具體做法是在每個學生機中安裝一個網絡監控的客戶端，教師就可在服務端隨時監控學生機的流量，發現異常及時處理。同時，在平時也要在這方面多加強學生的教育，使他們明確“網絡道德”、“網絡犯罪”等概念。各辦公室的計算機共享目錄的設置也要注意，我們常利用共享目錄進行傳文件，一定要養成使用后把共享關閉的習慣，防止非法訪問者對上面的資料、文檔進行查看、修改、刪除。網上就有這樣一個例子，某中學教務處不注意把期末考試題放到了一個共享目錄中，結果被上機的同學通過網上鄰居發現了，造成了試題泄露的嚴重后果。所以，應加強目錄共享安全意識。

其次，BT、電驢等P2P軟件的普及使用，應引起廣大網絡管理員重視。這類軟件的下載方式是以搶占帶寬來達到下載目的，對于這一類軟件的防范，可以通過防火墻功能，采用IP限速或者關閉服務實現。

最后，控制廣播風暴的最好方式是劃分VLAN。它除了能控制廣播風暴，還能夠幫助控制流量，提供更高的安全性。

（三）不良信息過濾

網絡猶如打開的房門窗，在和煦的春風吹進來的同時，也會有討厭的蒼蠅飛進來。我們在帶領學生接受網絡信息的同時要做好對不良信息的防范?？梢圆捎冒惭b網絡過濾器來過濾不良信息，或通過防火墻設置禁止訪問網址列表，這樣就能實現學生的綠色上網了。

（四）網絡設備安全

網絡設備設置安全是指對路由器、服務器、交換機等設備的安全配置，現在很多學校網絡管理員會在路由器和服務器上加密碼，但很容易忽略另外一種設備――可網管的交換機，一旦這種設備被人取得控制權，那就很容易造成網絡癱瘓的嚴重后果。

（五）Web服務器和數據庫服務器的安全漏洞的安全防范

1.Web服務器的安全防范。目前很多學校的校園網Web服務器均采用了微軟的IIS服務器，我也就此做一些安全配置建議：（1）不使用默認的Web站點，如果使用也要將將IIS目錄與系統磁盤分開。（2）刪除IIS默認創建的Inetpub目錄（在安裝系統的盤上）。（3）刪除系統盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。（4）刪除不必要的IIS擴展名映射。右鍵單擊“默認Web站點屬性主目錄配置”，打開應用程序窗口，去掉不必要的應用程序映射。主要為.shtml，.shtm，.stm。（5）更改IIS日志的路徑。右鍵單擊“默認Web站點屬性網站”在啟用日志記錄下點擊屬性。（6）使用UrlScan。UrlScan是一個ISAPI篩選器，它對傳入的HTTP數據包進行分析，可以拒絕任何可疑的通信量。目前最新的版本是2.5，如果是2000 Server需要先安裝1.0或2.0的版本。如果沒有特殊的要求，采用UrlScan默認配置就可以了。但是，如果要在服務器運行程序，并進行調試，需打開要%WINDIR%＼System32＼Inetsrv＼URLscan，文件夾中的URLScan.ini文件，然后在UserAllowVerbs節添加debug謂詞，注意此節是區分大小寫的。如果網頁是.asp網頁，需要在DenyExtensions刪除.asp相關的內容。如果網頁使用了非ASCII代碼，就需要在Option節中將Allow HighBit Characters的值設為1。在對URLScan.ini文件做了更改后，需要重啟IIS服務器才能生效，快速方法是在運行中輸入iisreset。

2.數據庫服務器的安全防范。以下防范主要針對使用范圍很廣的SQL數據庫服務器：（1）System Administrators角色最好不要超過兩個。（2）如果是在本機，最好將身份驗證配置為Win登陸。（3）不要使用Sa賬戶，為其配置一個超級復雜的密碼。（4）刪除以下的擴展存儲過程格式為use master；sp_dropextendedproc“擴展存儲過程名”；xp_cmdshell是進入操作系統的最佳捷徑，刪除；訪問注冊表的存儲過程，刪除Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring；OLE自動存儲過程，不需要刪除Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop。（5）隱藏 SQL Server，更改默認的1433端口。右擊實例選屬性常規，在網絡配置中選擇TCP/IP協議的屬性，選擇隱藏 SQL Server 實例，并改原默認的1433端口。

（六）對系統服務器安全漏洞的安全配置

目前主流的系統服務器是Windows Server 2003或者Windows Server2008，以下也是針對此類服務器的安全配置建議：

1.隱藏重要文件/目錄?？梢孕薷淖员韺崿F完全隱藏：“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼ Current-Version＼Explorer＼Advanced＼Folder＼Hi-dden＼SHOWALL”，鼠標右擊“CheckedValue”，選擇修改，把數值由1改為0。

2.啟動系統自帶的Internet連接防火墻，在設置服務選項中勾選Web服務器。

3.防止SYN洪水攻擊：HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters新建DWORD值，名為SynAttackProtect，值為2。

4.禁止響應ICMP路由通告報文。HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters＼Interfaces＼interface新建DWORD值，名為PerformRouterDiscovery，值為0。

二、提高網絡安全性的重要支撐――網管工作建議

1.定期更改系統服務器的密碼，并使他夠復雜，做好相關服務器的例行檢查，確保服務器的運行狀態正常，例如數據庫服務器能否正常按計劃備份。保持服務器的正常及時升級，及時打好補丁。

2.如有條件可以給網絡用戶進行不定期培訓，培養用戶正確安全使用網絡終端設備的習慣。

3.去一些著名的殺毒軟件網站看看，了解最新的系統漏洞、病毒資訊。利用黑客工具掃描網絡，例如流光、sql注入掃描工具等。

4.做好網絡終端行為的日志記錄尤為重要，這里推薦一款免費的網絡工具――“科來網絡分析系統”，它對網絡中所有傳輸的數據進行檢測、分析、診斷，幫助用戶排除網絡事故，規避安全風險，提高網絡性能，增大網絡可用性價（上接第199頁）值。

網絡安全已經分化為一門獨立的課程，安全技術和黑客技術就像是盾和矛，總在互相促進發展。網絡沒有絕對的安全，只有不斷加強網絡管理者的安全意識和自我學習的理念，才能把網絡提高到一個相對安全的層次。

中學校園網絡的安全維護是一個系統性工程，由于網絡本身具有開放性、脆弱性等特點，加上校園網絡前期的設計和后期的投入等諸多原因，都將會形成對校園網絡安全的威脅。所以，校園網絡的安全問題不能僅僅依靠相關設備和網絡安全技術來維護，而是需要整體考慮系統的安全需求，建立相應的維護制度，將各種安全技術的維護手段結合在一起，才能生成一個高效、通用、安全的校園網絡，才能更好地促進教育教學活動的開展。

參考文獻：

網絡安全應對策略范文5

關健詞:局域網絡信息資源數據加密

信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對于人類具有特別重要的意義。網絡環境下的信息安全體系是保證信息安全的關鍵，包括計算機安全操作系統、各種安全協議、安全機制，直至安全系統，其中任何一個安全漏洞便可以威脅全局安全。信息安全服務至少應該包括支持信息網絡安全服務的基本理論，以及基于新一代信息網絡體系結構的網絡安全服務體系結構。

一、網絡信息安全的孟要性

網絡信息安全涉及到信息的機密性、完整性、可用性、可控性。它為數據處理系統而采取的技術的和管理的安全保護，保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。信息保障依賴于人和技術實現組織的任務運作，針對技術信息基礎設施的管理活動同樣依賴于這三個因素，穩健的信息保障狀態意味著信息保障和政策、步驟、技術和機制在整個組織的信息基礎設施的所有層面上均能得到實施。

目前，除有線通信外，短波、超短波、微波、衛星等無線電通信也正在越來越廣泛地應用。與此同時，國外敵對勢力為了竊取我國的政治、軍事、經濟、科學技術等方面的秘密信息，運用偵察臺、偵察船、衛星等手段，形成固定與移動、遠距離與近距離、空中與地面相結合的立體偵察網，截取我通信傳輸中的信息。單一的保密措施己很難保證通信和信息的安全，必須綜合應用各種保密措施。

二、局域網內病毒防治問題

局域網病毒來源主要有以下幾種方式:①從網站下載的軟件帶有病毒:瀏覽網站的時候ActiveX控件帶來的病毒;②安裝程序附帶的流氓軟件:不明郵件帶來的病毒;③移動存儲設備存儲數據傳染病毒等等方式。使用者日常使用時應盡量從正規網站下載軟件、少瀏覽不正當網站、不明郵件應該盡量不打開等。處理方法主要有以下幾類。

首先:在網關上的網絡層時常進行病毒檢測和掃描，及時清除明顯的病毒封包，對病毒源客戶機進行阻塞與隔離，大規模爆發網絡病毒時也能夠有效的隔離病毒疫區。

其次:監測每臺計算機的殺毒軟件安裝情況和病毒庫更新情況，以及操作系統或者其它應用軟件的補丁安裝情況，若發現客戶機或者服務器存在嚴重的高危險性安全缺陷或者漏洞的話就應該將其暫時斷開網絡，拒絕其接入單位網絡，直至缺陷或漏洞修復完畢，補丁安裝完畢后再將其接入網絡內。

再次:使用U盤、移動硬盤等移動存儲設備傳遞各類數據，已經成為各類病毒傳播的主要途徑之一。由于U盤和移動硬盤使用方便，很多計算機用戶都選擇使用它來進行數據文件的存儲和拷貝，無形中使得U盤和移動硬盤成為這些病毒和惡意木馬程序傳播的媒體，給計算機用戶的數據安全和系統的正常使用帶來很大危害。鑒于通過U盤和移動硬盤傳播的計算機病毒在互聯網絡上的傳播日趨增多，辦公網絡內用戶可以按照以下幾點，正確安全地使用U盤和移動硬盤進行數據文件的存儲和拷貝。

最后:根據實際情況可進行數據加密，VPN系統VPN(虛擬專用網)可以通過一個公用網絡(通常是互聯網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展，可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。它可用于不斷增長的移動用戶的全球互聯網接入，以實現安全連接;也可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

三、實現網絡信息安全的策略

明確等級保護措施。合理劃分安全域，確定各安全域的物理邊界和邏輯邊界，明確不同安全域之間的信任關系。在安全域的網絡邊界建立有效的訪問控制措施。通過安全區域最大限度地實施數據源隱藏，結構化和縱深化區域防御，防止和抵御各種網絡攻擊，保證信息系統各個網絡系統的持續、穩定、可靠運行。

1.系統安全策略

對操作系統、數據庫及服務系統進行漏洞修補和安全加固，對關鍵業務的服務器建立嚴格的審核機制。最大限度解決由操作系統、數據庫系統、服務系統、網絡協議漏洞帶來的安全問題，解決黑客入侵、非法訪問、系統缺陷、病毒等安全隱患。:

2安全管理策略

針對企業信息系統安全管理需求，在安全管理上需要在完善人員管理、資產管理、站點維護管理、災難管理、應急響應、安全服務、人才管理等方面機制、制度的同時，與管理技術緊密結合，形成一套比較完備的企業信息系統安全管理保障體系。

網絡安全應對策略范文6

關鍵詞：維護系統；漏洞；安全性；防火墻

中圖分類號：TP393.18文獻標識碼：A文章編號：1007-9599 (2012) 05-0000-02

現階段，計算機網絡已經逐步信息化，正慢慢滲透進各經濟范圍中，融入到人類的生活、工作、學習環境中。短短幾年時間之內，各類利用計算機進行網絡犯罪的案件層出不窮，尤其是那些有著行業專業技能的犯罪，通常是針對金融、財務部門等，這些部門的損失是極其慘烈的。由此可知，對計算機網絡信息存在的安全隱患加以分析是必須的，并要及時提出防范解決的策略。

一、現階段，計算機網絡信息中存在的一系列安全隱患

由于計算機網絡本身開放、自由的特點，引起越來越多重要的信息資源受到入侵，并被破壞或惡意丟失，一般來講，計算機網絡存在下面幾大安全隱患：

（一）網絡運行系統相對脆弱。一般網絡運行系統都會發生集成、擴散，而整個服務過程里都要求持續不斷地變更遠程的網絡節點，還要求可以定期的對軟件進行升級，對漏洞進行補丁。可事實卻是，大多數網絡系統管理工作者常常為了便捷，就留下很多這樣那樣的隱患，使得黑客可以抓到漏洞，侵入網絡系統深層的核心地帶，摧毀整個操作系統程序，進而使得系統癱瘓、報廢。

（二）計算機存在病毒入侵現象。通常病毒都是可以不斷蔓延、復制的，它可以對計算機內部數據進行破壞。而且計算機病毒還有著傳播速度快、涉及范圍廣、引起損失嚴重等一系列的不利特性。一般情況下，計算機病毒都是從一部分網絡程序慢慢延續到整個計算機系統，其威脅性很高。換句話講，只要計算機染上某種病毒，整個系統就不能正常運作，內部文件有可能會丟失或被破壞，嚴重的會引起電腦死機或直接報廢。

（三）黑客襲擊網絡用戶。在所有計算機網絡存在的安全威脅里，黑客攻擊引起的破壞是最慘重的。黑客一般是隱蔽性的、可傳染的以及破壞性大的。計算機網絡系統存在的漏洞一般就會被黑客給利用。通常是應用各式各樣的破譯方法來獲取用戶的加密數據，有目標性地損毀用戶信息，帶給國家或個人不可估量的損失。

（四）網絡軟件存在眾多漏洞。由（三）可知，黑客都是利用網絡軟件中存在的漏洞進行攻擊的。所以只要計算機服務器沒有對漏洞進行補丁的話，就會導致被黑客侵入、襲擊，通常后果是不堪設想的。

（五）網絡垃圾郵件眾多。大多數人都是利用網絡電子郵件地址通常的公開特性，將自己編輯的電子郵件突破“防守”發到別人使用的電子郵箱里，硬性逼迫別人郵箱里存在這種垃圾郵件。還有一些人利用專門的間諜軟件去偷竊合法用戶的信息資源，然后將原先的系統設置進行修改，這樣的做法，不單單危害到了網絡用戶的隱私安全，還威脅到了整個計算機系統的正常運作。

（六）網絡監管力度欠缺。部分網絡站點都會潛移默化地將防火墻設立的訪問權限給擴寬，進而使得那些攻擊者可以趁虛而入，在一定程度上濫用了網絡資源，使得整個計算機安全系統性能偏低，從而導致安全隱患的增多。

二、分析計算機網絡信息存在安全隱患的主要原因

通常情況下，引起計算機網絡存在安全隱患的常見原因是很多的，主要原因如下：

（一）網絡環境構造不可靠

計算機因特網基本都是無數個地方局域網組合而成的。在使用一臺主機跟其它地方局域網使用的主機進行通信的時候，在兩個主機之間傳送的數據一般都要經由無數地方局域網主機進行轉發、傳遞才可以到達最終目的地的。這樣的話，只要對一臺正在傳送用戶數據信息的主機攻擊成功的話，那攻擊人就能輕而易舉地取得網絡用戶的數據信息。

（二）TCP/IP計算機協議不完整

計算機因特網系統正常運作的基礎就是 TCP/IP 這一協議，可惜對于這個協議來說，不管是什么組織，或者個人都能直接查閱得到，使得整個協議變得完全透明，換句話說，計算機間各種信息數據都是完全公開化的。由此可知，一些不良居心的攻擊人就會很容易地利用這些漏洞來進攻網絡用戶的計算機。

（三）網絡信息安全系數不高

計算機網絡上有很多沒加密的數據流資源，人們可以直接利用網上的探測工具去搜索網站用戶所使用的電子郵件地址、口令密鑰以及各類傳輸的重要文件等。使得網絡信息安全系數整體偏低。

（四）網絡信息技術系統不夠穩定

不合規、不科學、缺乏安全穩定性的計算機網絡系統程序編制，使得計算機肯定會受到不同程度的影響、破壞。

三、針對上述隱患，提出應對的安全防范措施

（一）防火墻計算機信息技術

防火墻計算機信息技術一般是用來強化網絡信息間訪問掌控力度的，避免外網用戶利用一些非法的渠道進入內網，濫用內網信息數據，在一定程度上可以保護內網系統可以正常操作的一種網絡互聯技術。它一般對兩個或兩個以上的網絡間傳遞的數據包遵循特定的安全技術措施進行鏈接式的檢查工作，進而決定整個網絡的通信是否允許正常進行，同時還對整個網絡系統的運作狀況進行有效地監控。這里介紹的“防火墻系統”通常是由過濾路由器跟應用層網關這兩個基本部件組織形成的，防火墻在五層安全網絡結構里處于最底一層，是內網跟外網中間最重要的一道保障。因此，防火墻始終都受到大眾的關注，是最安全的網絡產品之一。換句話來講，即使防火墻是在整個網絡安全系統中的最底層，僅僅負責各網絡間有關安全棉麻方面的認證與信息的輸送，可是由于社會對網絡安全技術標準的不斷提高，網絡應用也在不斷更新，使得防火墻技術慢慢地成為最基礎的一道安全技術，突破了單調的網絡層次，不單單要完成過濾目的，還要提供給各網絡應用合理、科學的安全服務條件。另一方面，大多數防火墻產品目前正在發展數據信息安全跟網絡用戶認證以及阻擋病毒侵入等方面的安全技術。

（二）數據信息加密安全技術

對數據信息進行加密的安全技術是整個網絡系統里最基本安全的管理技術，是信息資源安全的核心保證，剛開始的時候是用來嚴密保護存儲、傳遞數據的。它將那些需要保護的信息數據轉化成密文加以存儲并傳遞，那樣，就算加密的信息資源在存儲傳遞的過程里不小心被非授權的工作者獲取的話，也能確保流失的信息不被人知曉，進一步保護了信息資源的安全性。

在使用對稱加密安全技術時，數據加密所使用的密碼跟解密的密碼一般都是相同的，換句話講，其安全性全部都依賴于網絡用戶所持有的系統密鑰的安全性這一方面。應用對稱加密這一算法最重要的優勢就是加密跟解密都很迅速，加密的強度值很高，而且整個算法都是公開、透明的。

而在使用非對稱型的加密算法時，數據加密所使用的密碼跟解密的密碼都不盡相同，并且需要加密的嘻嘻資源必須要經由正確的解密密鑰才可以破解、使用，最主要的就是解密這一環節是非常復雜的。在實際的使用過程里，網絡用戶一般會將加密的密鑰公開使用，可是會保留解密的密鑰。通常情況下，公鑰體系在一定程度上方便了網絡用戶認證其身。也就是網絡用戶在傳遞信息之前，就先用私鑰加密信息，而信息的接收人在收到傳遞的信息后，就用網絡用戶對外公開的公鑰加以解密，只要可以解開，就表示信息資源確實是從網絡用戶那里傳遞過來的，在一定程度上就鑒別了信息發送者的確切身份。

（三）強化每一位網絡工作管理者的整體素養，增強其網絡安全責任意識

對每一位網絡工作者的管理素養水平應有所要求，應該定期對工作者進行計算機軟、硬件以及數據系統等方面的培訓，增強他們的安全責任意識，并強化整個網絡業務的培訓力度，提高實際操作動手能力，重點強調網絡系統安全的知識，盡可能避免發生人為操作失誤?，F階段我國對于網絡研究的步伐還是比較緩慢的，整個安全技術都是處于發展、更新階段的。另一方面，如果要保證整個網絡可以正常、安全地運作，就必須要設立完善、嚴謹的管理規章，制定穩定、科學的管理方針，提高每一位網絡用戶對安全技術的認知意識，進一步改善個人、社會對計算機網絡的犯罪法律態度。

（四）訪問跟監控

授權掌控各不相同網絡用戶對數據資源的訪問限制，也就是說，哪些網絡用戶可以利用哪些資源，并且規定這些可訪問的網絡用戶必須要具備怎樣的權限標準?？偠灾瑢W絡信息的訪問跟監控加以技術方面的處理在一定程度上可以維護系統正常、穩定的運行，可以保護系統資源不被破壞。

（五）注重備份與恢復工作

備份管理工作通常是全面的、層次化的。最開始要做的就是用硬件網絡設備來避免硬件發生故障；因為假如軟件發生故障或者人為失誤引起數據資源的邏輯行為破壞，就會影響軟件、手工各方面的恢復系統程序。軟硬件跟人為相結合的模式在一定程度上使得系統能夠形成防護，不單單可以避免物理行為損害，還可以徹底杜絕邏輯性地損害。高質量的備份與恢復工作機制，在一定程度上能將網絡損失降到最低，因為它在網絡被損害的同時就已經在自身維護網絡數據漏洞了。

四、結語

現在社會正逐漸趨向網絡信息化，計算機正不斷推動世界經濟的發展，促進社會現代化的更新換代。同時，計算機網絡存在的安全性問題也是綜合性強的復雜難解的一大隱患。它不單單只要靠某些先進的網絡技術去解決，更要綜合其它各類制度、管理工作對隱患加以防范，盡可能的避免安全隱患的發生。

參考文獻：

[1]楊盈.計算機網絡安全隱患與防范策略探討[J].科技致富向導,2010,(17)