毕业论文浅析网络信息安全

(论文)

浅析网络信息安全

系 别：

年 级：

学 号： 姓 名： 专 业： 指导教师：

通信安全系 2011级

二〇一四年五月

摘 要

随着网络的迅速发展，网络的安全性显得非常重要，信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域，存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息，甚至是国家机密，所以难免会吸引来自世界各地的各种人为攻击。使各国的计算机系统特别是网络系统面临着很大的威胁，并成为严重的社会问题之一。

信息科技的高速发展，给人们生活带来极大便利的同时，也给许多部门和单位带来了极大的风险。本文主要探讨了网络信息安全中存在的威胁，并提出了相应的应对措施。从网络信息安全的现状、网络安全的主要技术方面剖析了当前网络信息安全存在的主要问题，希望通过网络安全建设逐步消除网络信息安全的隐患。

关键词：信息安全现状 信息网络 网络安全 应对措施

ABSTRACT

With the rapid development of the network, network security is very important , information networks has become an important guarantee of social development. Information network involving national governments , military, cultural, educational and other fields , a lot of information storage, transmission and processing of the government's macro control policies , business and economic information , bank money transfer , important information in equity securities , energy and resource data , research data, etc. . There is a lot of sensitive information , or even a state secret , so the attack will inevitably attract a variety of people from around the world . Computer systems to enable countries , especially network system is facing a serious threat , and become one of the serious social problems.

The rapid development of information technology has brought great convenience to people's lives , but also to many departments and units brought great risks. This paper discusses the threats that exist in network and information security , and the corresponding countermeasures. From the network information security situation, the main technical aspects of network security analysis of the main problems the current network information security presence , hoping to gradually eliminate the risks of network information security network security through construction.

Key Words: Information Security Status Information Network Security

Measures

目 录

第1章 绪论 ............................................. 1

1.1 本设计(论文)的背景和意义 .................................... 1

1.2 本设计(论文)的主要方法和设计进展 ............................ 1

1.3 本设计(论文)的主要内容 ...................................... 1

1.4 本设计(论文)的结构安排 ...................................... 1

第2章 网络信息安全特征 ................................. 2

2.1 完整性 ...................................................... 2

2.2 保密性 ...................................................... 2

2.3 可用性 ...................................................... 2

2.4 不可否认性 .................................................. 2

2.5 可控性 ...................................................... 2

第3章 模型框架 ......................................... 4

3.1 网络安全模型 ................................................ 4

3.2 信息安全框架 ................................................ 4

3.3 安全拓展 .................................................... 5

第4章 网络信息安全的因素和常见网络技术 ................. 6

4.1 影响计算机通信网络安全的因素分析 ............................ 6

4.1.1 网络资源的共享性 .................................................. 6

4.1.2 信息系统安全机制的缺陷 ............................................ 6

4.1.3 网络的开放性 ...................................................... 8

4.1.4 恶意攻击 .......................................................... 9

4.1.5 影响计算机网络通信安全的主观因素 ................................. 10

4.2 常用的网络安全技术 ......................................... 10

4.2.1 网络加密技术 ..................................................... 10

4.2.2 防火墙技术 ....................................................... 10

4.2.3 操作系统安全内核技术 ............................................. 10

4.2.4 身份验证技术身份验证技术 ......................................... 11

4.2.5 网络防病毒技术 ................................................... 11

4.3 信息安全风险分析 ........................................... 11

4.4 信息安全的对策 ............................................. 12

第5章 关键行业信息安全挑战巨大 采用国产设备意义重大 ... 14

5.1 金融行业 ................................................... 14

5.2 电力行业 ................................................... 15

5.3 政府网络 ................................................... 16

5.4 电信行业 ................................................... 16

结 论 ....................................................................................................... 18

致 谢 ....................................................................................................... 19

参考文献 ................................................................................................... 20

第1章 绪论

1.1 本设计(论文)的背景和意义

网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快越来越重要。网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

1.2 本设计(论文)的主要方法和设计进展

通过了解网络信息安全的基本知识，再来介绍一些网络信息安全的因素和常见网络技术，并介绍一些事例来认识网的络安全。

1.3 本设计(论文)的主要内容

论文首先讲述了网络信息安全一些基本知识如：它的特性，网络安全的模型和框架。然后讲述了常遇到的网络信息安全的因素。再者讲述了一些网络安全的技术。最后用事例来说明网路信息安全的重要性。

1.4 本设计(论文)的结构安排

第一章简要介绍了本文的研究背景和意义，以及论文结构安排。第二章介绍了网络信息安全的特征。第三章讲述了网络安全的模型框架。第四章说明了网络信息安全的因素和常见网络技术。第五章列举关键行业信息安全挑战巨大，采用国产设备意义重大。

第2章 网络信息安全特征

2.1 完整性

指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性，即保持信息原样性，使信息能正确生成、存储、传输，这是最基本的安全特征。

2.2 保密性

指信息按给定要求不泄漏给非授权的个人、实体或过程，或提供其利用的特性，即杜绝有用信息泄漏给非授权个人或实体，强调有用信息只被授权对象使用的特征。

2.3 可用性

指网络信息可被授权实体正确访问，并按要求能正常使用或在非正常情况下能恢复使用的特征，即在系统运行时能正确存取所需信息，当系统遭受攻击或破坏时，能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。

2.4 不可否认性

指通信双方在信息交互过程中，确信参与者本身，以及参与者所提供的信息的真实同一性，即所有参与者都不可能否认或抵赖本人的真实身份，以及提供信息的原样性和完成的操作与承诺。

2.5 不可否认性

指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性，即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传播内容监控这种形式外，最典型的如密码的托管政策，当加密

算法交由第三方管理时，必须严格按规定可控执行。

第3章 模型框架

3.1 网络安全模型

通信双方在网络上传输信息，需要先在发收之间建立一条逻辑通道。这就要先确定从发送端到接收端的路由，再选择该路由上使用的通信协议，如TCP/IP。

为了在开放式的网络环境中安全地传输信息，需要对信息提供安全机制和安全服务。信息的安全传输包括两个基本部分：一是对发送的信息进行安全转换，如信息加密以便达到信息的保密性，附加一些特征码以便进行发送者身份验证等；二是发送双方共享的某些秘密信息，如加密密钥，除了对可信任的第三方外，对其他用户是保密的。

为了使信息安全传输，通常需要一个可信任的第三方，其作用是负责向通信双方分发秘密信息，以及在双方发生争议时进行仲裁。

一个安全的网络通信必须考虑以下内容：

·实现与安全相关的信息转换的规则或算法

·用于信息转换算法的密码信息（如密钥）

·秘密信息的分发和共享

·使用信息转换算法和秘密信息获取安全服务所需的协议。

3.2 信息安全框架

网络信息安全可看成是多个安全单元的集合。其中，每个单元都是一个整体，包含了多个特性。一般，人们从三个主要特性——安全特性、安全层次和系统单元去理解安全单元。

1）安全特性

安全特性指的是该安全单元可解决什么安全威胁。信息安全特性包括保密性、完整性、可用性和认证安全性。

保密性安全主要是指保护信息在存储和传输过程中不被未授权的实体识别。比如，网上传输的信用卡账号和密码不被识破。

完整性安全是指信息在存储和传输过程中不被为授权的实体插入、删除、篡改和重发等，信息的内容不被改变。比如，用户发给别人的电子邮件，保证到接收端的内容没有改变。

可用性安全是指不能由于系统受到攻击而使用户无法正常去访问他本来有

权正常访问的资源。比如，保护邮件服务器安全不因其遭到DOS攻击而无法正常工作，是用户能正常收发电子邮件。

认证安全性就是通过某些验证措施和技术，防止无权访问某些资源的实体通过某种特殊手段进入网络而进行访问。

2）系统单元

系统单元是指该安全单元解决什么系统环境的安全问题。对于现代网络，系统单元涉及以下五个不同环境。

物理单元：物理单元是指硬件设备、网络设备等，包含该特性的安全单元解决物理环境安全问题。

网络单元：网络单元是指网络传输，包含该特性的安全单元解决网络协议造成的网络传输安全问题。

系统单元：系统单元是指操作系统，包含该特性的安全单元解决端系统或中间系统的操作系统包含的安全问题。一般是指数据和资源在存储时的安全问题。

应用单元：应用单元是指应用程序，包含该特性的安全单元解决应用程序所包含的安全问题。

管理单元：管理单元是指网络安全管理环境，网络管理系统对网络资源进行安全管理。

3.3 安全拓展

网络信息安全往往是根据系统及计算机方面做安全部署，很容易遗忘人才是这个网络信息安全中的脆弱点，而社会工程学攻击则是这种脆弱点的击破方法。社会工程学是一种利用人性脆弱点、贪婪等等的心理表现进行攻击，是防不胜防的。国内外都有在对此种攻击进行探讨，比较出名的如《黑客社会工程学攻击2》等。

第4章 网络信息安全的因素和常见网络技术

4.1 影响计算机通信网络安全的因素分析

计算机通信网络的安全涉及到多种学科，包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等十数种，这些技术各司其职，保护网络系统的硬件、软件以及系统中的数据免遭各种因素的破坏、更改、泄露，保证系统连续可靠正常运行。

4.1.1 网络资源的共享性

计算机网络最主要的一个功能就是“资源共享”。无论你是在天涯海角，还是远在天边，只要有网络，就能找到你所需要的信息。所以，资源共享的确为我们提供了很大的便利，但这为系统安全的攻击者利用共享的资源进行破坏也提供了机会。计算机网络安全系统的脆弱性是伴随计算机网络而同时产生的。因此，安全系统脆弱是计算机网络与生俱来的致命弱点。互联网是对全世界都开放的网络，任何单位或个人都可以在网上方便地传输和获取各种信息，互联网这种具有开放性、共享性、国际性的特点对计算机网络安全提出了挑战。因此，可以说世界上任何一个计算机网络都不是绝对安全的。

4.1.2 信息系统安全机制的缺陷

4.1.2.1 操作系统缺陷分析

操作系统是计算机和用户之间的接口，是管理网络资源的核心系统，它负责向通信设备发送信息，管理存储空间和将信息装入内存。网络操作系统一般采用管理文件目录的管理方法，并且利用口令字标志存取控制权限，用加密和其它一些手段来提高文件的安全性。在一个网络系统中，使用者均通过一个操作系统来进入网络，因此，操作系统的安全性对于信息系统的安全起着至关重要的作用，但遗憾的是，现行的几种主要网络操作系统在安全机制上均存在着不同程度的缺陷。

(1)UNIX操作系统的缺陷

(a)特权用户权力过大

UNIX通过特权系统解决安全问题，该特权系统中的特权由系统管理员控制。

特权用户或称超级用户在系统安全体系中具有至高无上的权限，它可以更改系统中所有数据，而对特权用户的确认仅仅是脆弱的口令保护，这是UNIX操作系统的致命弱点。

(b)口令与帐户容易被盗取

UNIX操作系统通常把加密的口令保存在一个静态的文件内，而普通用户即可读取该文件，一旦口令文件被闯入者得到，他们就可以使用解密程序获知口令。

安装UNIX时，有一些系统在缺省状态下，会自动建立一些帐户，由于这种帐户一般都有一个约定俗成的口令，因此，如果系统管理员没有注意到它的存在，那么，任何人都可以随意进入主机。

(c)登录次数不受限制

UNIX在用户口令管理上相当薄弱，登录口令可以试无数次。假如口令的长度不够，就可能被破译。虽然说UNIX的口令是通过一个单向函数生成的，但黑客们利用口令猜测软件，经过长时间的组合就能够比较容易地猜出口令。

(2)Windows NT操作系统的缺陷

一般认为Windows NT与Windows 3.X/9X相比，安全机制要好些。其安全特点在于：安全登录设施；自由选定的访问控制，其资源的属主可以任意决定其他人的访问权限；审计、检测并记录重要的与安全相关的事件；存储保护，防止任何人读出某人释放给操作系统在内存块中的信息。安全引用监控所起的作用就是保护系统的资源，执行的对象是保护和审计。Windows NT虽然具备了相当强的单机安全性，但在分布式安全体系中，它的集中实体认证和数据加密功能则较弱。另外，Windows NT也不能限制对系统管理员帐号不成功登录的次数。

以上两种主要的网络操作系统，由于在设计阶段网络安全问题尚不突出，黑客也不像现在这样猖獗，因此，只偏重于考虑系统使用的方便性，而很少顾及安全性，导致系统的安全机制不健全，存在许多安全上的漏洞，给攻击者以可乘之机。由于操作系统是网络的门户，是网络攻击者进入信息系统的咽喉之道，因此，其安全性对于信息系统的安全起着至关重要的作用。

4.1.2.2 数据库系统缺陷分析

数据库系统是信息系统的重要组成部分，是许多人长期辛劳的结晶，难以用价格来衡量的最宝贵资源，可以认为，一切信息系统安全措施的最终目的，都是为了保障用户数据信息的安全运转。

系统开放，资源共享，虽然使广大的网络用户尝到了甜头，但也是威胁数据库安全的重要因素。网络中数据库信息的价值，远远不是分散信息价值的代数叠加；因此，当公用或专用数据库遭到侵害时，其恶果将成倍增大。计算机网络分

布的广域性，密集信息资源的共享性，通信信道的公用性等，都为信息的窃取、盗用、非法增删修改以及各种扰乱破坏，造成了极为方便且难以控制的可乘之机。

窃用数据库系统，是大多数恶性计算机危害案件的基本作案形式。其基本手段是，非法编制诈骗程序，篡改数据，输入假数据等；非法获取数据和信息，窃取机密，获取非法利益。

1994年底，英国电信公司的一名电脑操作员，借助于公司职员提供的密码，闯入了公司内部的数据库，窃取了许多机密电话号码，如英国情报机构、军事指挥部及控制中心、首相及军事指挥官的住址和电话；他还通过Internet，将这些机密电话号码传给了苏格兰的某新闻记者，造成了轰动英国的一起严重泄密事件。

在我国，近年来也发生了多起计算机犯罪分子利用网络和数据库系统的缺陷非法闯入金融系统数据库，窃取他人帐号和财产的犯罪事件。

对数据库系统的危害，主要来自以下几个方面：

(a)未经授权的非法访问，可能产生篡改、泄漏或者破坏的危害性效果。 (b)不正确的共享、访问操作，可能产生数据信息的错误或者毁坏。

(c)各类终端或传输的电磁泄漏，为各种电磁侦窃提供了方便。

以上种种危害，会导致数据信息的完整性、正确性和保密性受到损害，以致于影响到数据信息的可用性。

4.1.3 网络的开放性

开放性是因特网最根本的特性，整个因特网就是建立在自由开放的基础之上的。 最初， 美国军方在建立因特网的前身arpanet的时候，为了能使其经受住苏联的核打击， 没有采用传统的中央控制式网络体系，而是建成了分布式的网络体系。同时放弃了传统的线路交换式的信息传递方式，采用了全新的包切换技术。分布式使得因特网上的各个计算机之间没有从属关系，每台计算机都只是网络的一个节点，它们之间都是平等的。同时，包切换使得人们无法阻止网上信息的传递，除非把因特网全部摧毁，否则就是无法阻止仍然连在网上的计算机之间互相传递信息。后来，为了在不同的计算机之间实现信息的交流和资源的共享，又采用了tcp／ip协议，这使得不同类型、 不同操作系统的计算机都能通过网络交流信息和共享资源。1991年，伯纳斯．李又发明了超文本标识语言，将网上的信息以全新的方式联系起来，使得任何一个文件在任何操作系统、任何浏览器上都具有可读性。

这样，分布式体系以及包切换的信息传递方式为互联网设立了总的开放框架，tcp／ip 协议和超文本标识语言又为其开放性提供了软件保障，使因特网发

展为现在的样子。互联网的开放性不仅仅是技术层面上的，它还有更深的底蕴。开放性意味着任何人都能够得到发表在网络上的任何事物，意味着任何个人、任何组织包括国家和政府，都不能完全控制互联网。这实质上意味着个体权利和能力的扩张及其对传统的金字塔模式的社会政治经济结构和体制的消解。任何一个国家都是一个封闭程度不一的实体，它垄断着信息，孤立的个人在强大的垄断组织面前是弱小无依的，根本没有力量同国家对抗。而开放网络的出现在很大程度上削弱了国家对信息的控制，为个体对国家和社会的基于实力平等的挑战提供了可能。

犯罪实质上就是一种典型的个体反社会、反国家的行为，而网络的开放性一方面大大提高和扩展了犯罪人的个体力量，另一方面又削弱了国家和政府的力量，使国家和政府在获取和控制信息方面不再有任何优势可言，这就使得国家难以有效地威慑和控制犯罪，从而导致犯罪率的上升。

4.1.4 恶意攻击

恶意攻击就是人们常见的黑客攻击及网络病毒．是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也越来越多，影响越来越大。无论是DOS 攻击还是DDOS 攻击，简单的看，都只是一种破坏网络服务的黑客方式，虽然具体的实现方式千变万化，但都有一个共同点，就是其根本目的是使受害主机或网络无法及时接收并处理外界请求，或无法及时回应外界请求。美国网络安全公司赛门铁克一名专家日称，网络黑客正在不断变换手法向电脑用户 发动恶意攻击，由于这些方法更具隐蔽性，所以防范难度越来越大。

根据赛门铁克软件安全部门经理约翰·哈里森的观点，目前网络恶意攻击呈现出以下新特点：

一、过去电脑用户只有在登录色情、赌博等不良网站时或使用盗版软件时才容易遭到恶意攻击，但现在不少旅游、购物和游戏等网站也成为黑客用来发动恶意攻击的平台。

二、过去的恶意攻击没有组织性，大多由不谙世事的年轻人所为，但现在的网络攻击不仅组织性高，而且专业性强，由不同的软件开发小组操控。

三、过去网络黑客往往通过传递邮件的方式发动恶意攻击，这种方式比较容易识别，但目前黑客是趁用户下载某些软件之际悄悄发动攻击，令用户难以识别。

四、黑客利用第三方的广告将恶意软件侵入用户系统，比如黑客会利用某个广告提醒用户，其系统已感染病毒，当用户根据广告提示去链接某个据说能杀病毒的网站时，这时“潜伏”在这个网站的恶意软件便会侵入用户系统。

五、黑客会设计用户信任的银行等网站的标识，当用户放松警惕登录这一网

站时，便会遭到恶意软件的攻击。

哈里森还说，有迹象表明，今后黑客有可能会利用社交网站，向用户发送看似来自朋友或亲人的带病毒的邮件。

4.1.5 影响计算机网络通信安全的主观因素

主要是计算机系统网络管理人员缺乏安全观念和必备技术，如安全意识、防范意识等。

4.2 常用的网络安全技术

由于网络所带来的诸多不安全因素，使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。如今，快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯，网络安全的基本技术主要包括网络加密技术、防火墙技术、操作系统安全内核技术、身份验证技术、网络防病毒技术。

4.2.1 网络加密技术

网络加密技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。信息加密过程是由形形色色的加密算法来具体实施的，它以很小的代价提供很牢靠的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。

4.2.2 防火墙技术

防火墙技术是设置在被保护网络和外界之间的一道屏障，是通过计算机硬件和软件的组合来建立起一个安全网关，从而保护内部网络免受非法用户的入侵，它可以通过鉴别、限制，更改跨越防火墙的数据流，来实何保证通信网络的安全对今后计算机通信网络的发展尤为重要。现对网络的安全保护。防火墙的组成可以表示为：防火墙= 过滤器+ 安全策略+ 网关，它是一种非常有效的网络安全技术。在Internet 上，通过它来隔离风险区域与安全区域的连接，但不防碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据，从而完成仅让安全、核准的信息进入，同时又抵制对企业构成威胁的数据进入的任务。

4.2.3 操作系统安全内核技术

操作系统安全内核技术除了在传统网络安全技术上着手，人们开始在操作系统的层次上考虑网络安全性，尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去，从而使系统更安全。操作系统平台的安全措施包括：采用安全性较高的操作系统；对操作系统的安全配置；利用安全扫描系统检查操作系统的漏洞等。

4.2.4 身份验证技术身份验证技术

身份验证技术身份验证技术是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节，人们常把这两项工作统称为身份验证。它的安全机制在于首先对发出请求的用户进行身份验证，确认其是否为合法的用户，如是合法用户，再审核该用户是否有权对他所请求的服务或主机进行访问，以此来防止一些非法入侵人员的侵入。

4.2.5 网络防病毒技术

在网络环境下，计算机病毒具有不可估量的威胁性和破坏力。CIH 病毒及爱虫病毒就足以证明如果不重视计算机网络防病毒，那可能给社会造成灾难性的后果，因此计算机病毒的防范也是网络安全技术中重要的一环。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测，工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑，从方便管理人员的能，在夜间对全网的客户机进行扫描，检查病毒情况；利用在线报警功能，网络上每一台机器出现故障、病毒侵入时，网络管理人员都能及时知道，从而从管理中心处予以解决。

4.3 信息安全风险分析

1.计算机病毒的威胁

随着Intemet技术的发展、企业网络环境的日趋成熟和企业网络应用的增多。病毒感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽，尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。

2.黑客攻击

黑客攻击已经成为近年来经常出现的问题。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷，采用后门程序、信息炸弹、拒绝服务、网络监听、

密码破解等手段侵入计算机系统，盗窃系统保密信息，进行信息破坏或占用系统资源。

3.信息传递的安全风险

企业和外部单位， 以及国外有关公司有着广泛的工作联系，许多日常信息、数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险，例如：①被非法用户截取从而泄露企业机密；②被非法篡改，造成数据混乱、信息错误从而造成工作失误；③非法用户假冒合法身份，发送虚假信息，给正常的生产经营秩序带来混乱， 造成破坏和损失。因此，信息传递的安全性日益成为企业信息安全中重要的一环。

4.身份认证和访问控制存在的问题

企业中的信息系统一般供特定范围的用户使用，信息系统中包含的信息和数据也只对一定范围的用户开放，没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能，在系统中建立用户、设置权限、管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。如部分应用系统的用户权限管理功能过于简单，不能灵活实现更详细的权限控制；各应用系统没有一个统一的用户管理，使用起来非常不方便，不能确保账号的有效管理和使用安全。

4.4 信息安全的对策

1.安全技术

为了保障信息的机密性、完整性、可用性和可控性，必须采用相关的技术手段。这些技术手段是信息安全体系中直观的部分，任何一方面薄弱都会产生巨大的危险。因此，应该合理部署、互相联动，使其成为一个有机的整体。具体的技术介绍如下：

(1)加解密技术。在传输过程或存储过程中进行信息数据的加解密，典型的加密体制可采用对称加密和非对称加密。

(2)VPN技术。VPN即虚拟专用网，通过一个公用网络(通常是因特网)建立一个临时的、安全的连接．是一条穿过混乱的公用网络的安全、稳定的隧道。通常VPN是对企业内部网的扩展，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

(3)防火墙技术。防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍， 防止外界对内部资源的非法访问，以及内部对外部的不安全访问(4)入侵检测技术。人侵检测技术IDS是防火墙的

合理补充，帮助系统防御网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。人侵检测技术从计算机网络系统中的若干关键点收集信息，并进行分析，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。

(5)安全审计技术。包含日志审计和行为审计。

日志审计协助管理员在受到攻击后察看网络日志，从而评估网络配置的合理性和安全策略的有效性，追溯、分析安全攻击轨迹。并能为实时防御提供手段。

通过对员工或用户的网络行为审计，可确认行为的规范性，确保管理的安全。

2.安全管理

只有建立完善的安全管理制度。将信息安全管理自始至终贯彻落实于信息系统管理的方方面面，企业信息安全才能真正得以实现。具体技术包括以下几方面：

(1)开展信息安全教育，提高安全意识。员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。据不完全统计，信息安全的威胁除了外部的(占20％)， 主要还是内部的(占8O％)。在企业中，可以采用多种形式对员工开展信息安全教育，例如：① 可以通过培训、宣传等形式，采用适当的奖惩措施，强化技术人员对信息安全的重视，提升使用人员的安全观念；②有针对性地开展安全意识宣传教育，同时对在安全方面存在问题的用户进行提醒并督促改进，逐渐提高用户的安全意识。

(2)建立完善的组织管理体系。完整的企业信息系统安全管理体系首先要建立完善的组织体系，即建立由行政领导、IT技术主管、信息安全主管、系统用户代表和安全顾问等组成的安全决策机构，完成制定并发布信息安全管理规范和建立信息安全管理组织等工作，从管理层面和执行层面上统一协调项目实施进程。克服实施过程中人为因素的干扰，保障信息安全措施的落实以及信息安全体系自身的不断完善。

(3)及时备份重要数据。在实际的运行环境中，数据备份与恢复是十分重要的。即使从预防、防护、加密、检测等方面加强了安全措施，但也无法保证系统不会出现安全故障，应该对重要数据进行备份，以保障数据的完整性。企业最好采用统一的备份系统和备份软件，将所有需要备份的数据按照备份策略进行增量和完全备份。要有专人负责和专人检查，保障数据备份的严格进行及可靠、完整性，并定期安排数据恢复测试，检验其可用性，及时调整数据备份和恢复策略。目前，虚拟存储技术已日趋成熟，可在异地安装一套存储设备进行异地备份，不具备该条件的，则必须保证备份介质异地存放，所有的备份介质必须有专人保管。

第5章 关键行业信息安全挑战巨大 采用国产设备意义重

大

通信世界网消息(CWW) 当前，中国互联网已覆盖到所有城市和超过99%的乡镇，各类网民数以亿计，多种业务在线人数都达千万级，许多行业的营销服务体系在全国范围中成为一个整体，交流与交易不再因距离而分割。

与此同时，金融、电力、政府等行业对互联网和通信业务依赖度越来越高，包括电信业自身，无论是服务或交易环节都存在多种安全隐患，从终端到系统，从传输到内容，从政治、军事、经济到个人信息，另类力量在全方位地进行隐慝博奕和对抗。

5.1 金融行业

金融行业的信息安全主要体现在入侵、假冒和信息泄露，三者之间又有关联。 我国金融行业的网络基础设施、电脑设备、芯片、数据库、操作系统、业务系统等几乎都被外国垄断，服务外包高度依赖国外厂商，导致极大风险，服务提供商可能越俎代庖，信息泄漏如履薄冰。

银行系统停机容忍时限是30分钟，证券交易系统允许的数量级为“秒”，在营业时间没有碰到过“系统故障关闭”的客户似乎不多。灾备体系多有不足，设置的行、所级别低，甚至缺失灾备设备，从事业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面技术力量与投入明显不足。

鉴于经济市场的活跃，网络上的新型金融金融不时涌现，但是一方面是急于开办的业务并非已经完善，业务的技术支撑欠缺完整，从业人员的业务不成熟都可能造成投资者信息泄露及平台的运营失常。

十分活跃的第三方支付机构的系统难以核实客户真实身份，多次发生过从不知情的用户账户上划走巨额资金的案例，风险不言而喻。

任何一个领域的客户信息泄露，都会将危机转移到金融客户，并且“兑现”为资金损失。泄露来源多种多样，如电信运营商雇员，跨银行网上金融服务产品“超级网银”的授权漏洞，酒店WiFi管理，QQ群的关系数据，甚至12306网站也会泄露乘客数据，客户的登录名、账户与密码，邮箱、姓名、身份证以及电话，出行时间、去向、快捷酒店的开房记录，开房日期和房间号等，QQ号、年龄、从业经历、通信录等各类个人隐私都有可能公之于众。

在银行开通新业务和系统升级之时，就是诈骗分子寻机出动的时机，对那些不了解情况的客户制造混乱，以便他们乘火打劫。

对金融新业务技术内情最为关心的反而是有意诈骗的另类团伙或个人，连续“蹲守”总能及时发现漏洞并得破解，这是他们梦寐以求的“阿里巴巴”。应当支持业界成立专业的“安全探查企业”，及时发现新业务中的漏洞。

5.2 电力行业

电力信息化可以分为发电系统和调度系统，贯穿发电、输电、供电、用电四个环节，“安全分区、网络专用、横向隔离、纵向加密”这十六个字成为总体安全防护策略的核心。

数据传输设备频受外界人为攻击，重要数据丢失，国内外多次出现由于电力信息系统或传输链路的安全问题导致的重大事故，有统计说70%的安全问题来自内部，非法下载信恶意攻击内网、窃取密级文件等。

安全隐患还要面对自然灾害，电力调度控制中心要日夜不停地自动监控变电站，监视上网电厂与客户变电站。电网遭遇暴雪、暴雨、台风侵袭都要及时应对，自动化系统的信息报送功能、事故跳闸语音功能、实时信息浏览功能，调度令下达等都要保持绝对的稳定工作状态。

电网公司的营业厅实施“大营销”改造，所有营业厅“都能漫游”办理业务，联网在各处银行交纳费用，电力决策部门可根据需求调整电力生产计划。但是，“大营销”的开放环境，也使数据丢失和受到远程攻击的可能性上升。

智能电网条件下的新能源：包括电动汽车、太阳能、家庭太阳能、智慧城市、智慧城市架构等，电网架构更加复杂，节点更多，应对信息安全更加复杂。

需要重点防范的倒是“二次灾害”，防止损害连锁产生。

电力领域和相关的轨道交通、民航、冶金等大功率能源用户，提升了自动化水平，日常检测与维护都纳入了信息系统，但国内外都多次发生工作状态和检测维护状态切换失误的事故，造成设备和人员伤亡。

民航飞机在进入起飞“零时”状态下更换配件，操作失误造成候机坪上的待命飞机突然收取起落架的事故，这可是起飞后在空中才能执行的状态。

地铁运营系统因事故停电之后，恢复列车运行时，因为软件和通讯指挥系统的缺欠，造成后车出发冲撞还在等候出发命令的前车的事故。

轨道交通供电系统的大系统与子系统的匹配也出现过安全问题，体现在局部运行时所采集、显示的工作状态数据没有同步切换，一旦进入多线运行状态，调度系统依旧显示局部运行参数，列车相撞就难避免。

5.3 政府网络

政府网站要严密防范的还是资源泄露和被攻击和内容被篡改。

由于历史原因，国家基础通信网络设施、党政军机关等重要信息系统大多基于国外的关键基础软硬件，被入侵、被渗透、被控制的安全风险严峻。

多家政府网站受过黑客攻击，有的网站经过若干时间才能恢复，中国互联网络咨询中心（CNNIC）被攻击并超过13个小时无法访问，多家企业蒙受影响。

政府网络要采用物理层面的“技术隔离”，内部电脑严防接到外网。

据海外媒体报道，美国国家安全局持续入侵和监视中国内地和香港的电脑网络，最感兴趣的是海底光纤电缆网络，对网络干线服务器和海底通信电缆的控制，通吃互联网上的电邮、电话、信息传输。更有甚者，海外机构曾派出间谍进入内地机关楼宇，不留痕迹地在电脑上安装间谍软件，在电话上安装窃听器，甚至攻击数据交换中心、拷贝文件和硬盘。

如果说上述“走进来”匪夷所思，那么不止一个单位的出国人员，在“走出去”之时，所携带的笔记本电脑内部，会“不动声色”地增添了传感器，回国之后，电脑的工作内容会自行向外传播。

其实，非法在宾馆、办公室设置相对简单“摄像头”的案例已经多见，随着技术与设备不断升级，“窃听”电脑、打印机和网络上的数据，也非难事。

此外，我国通用顶级根域名服务器解析出现异常，近半年曾遭遇二次大面积“瘫痪”，影响全国2/3的网站访问。

5.4 电信行业

电信、金融等的本地营业单元承受着远程服务的压力，客户银行卡、身份证的丢失，个人资料频繁泄露，单纯依靠“对话式”的密码验证，接入防御极容易被攻破，客户和金融机构多次受到重大损失。

多家厂商的路由器产品存在后门，黑客攻击者可取得部分路由器的完全控制权，发起DNS(域名系统)劫持、窃取信息、网络钓鱼等攻击，威胁用户网上交易和数据存储安全。任何一种先进、不先进的产品，涉及的安全问题，都将影响成千上万的用户。

据《纽约时报》报道，从2007年开始，美国国家安全局（NSA）早在几年前通过自己提前设置的“后门”，侵入了电信设备制造商华为的总部服务器，并且获得敏感的数据信息，还长期监控华为高管的通讯数据。

有的智能手机之间会下载并安装一个包含病毒的应用程序，该病毒程序能读

取用户手机通信录上的所有联系人，并向他们群发上述短信。

所有淘汰手机和终端里的数据都有可能轻易得到恢复，特别是其中的个人身份信息和财务资料是不会同时淘汰的。

由于片面突出信息企业的竞争和缺少社会责任，相近企业在网络上下相互拦截、攻击，使得原本顺畅的网络联接与应用业务，在某些场合支离破碎，浏览器频遭拥堵，电子邮件变成有去无回的单行，交易费用不能支付，正常业务不能通行，对网民的信息安全造成隐患。

此外，所有行业的信息领域都面对一个人员流动的问题，由于安全责任和法制观念淡薄，企业的业务数据常被流动个人携带离开，造成严重的安全问题。客观来看，确立安全责任制度、系统及时调控都是不可疏忽的例行工作，当然增强机构、企业对员工的凝聚力是一个重要的举措。

我国网络整体安全形势严峻，特别是以金融、电力、政府、通信为代表的重要行业，安全问题尤为突出。目前，金融、电力、政府等关键行业较多使用了专网来传送关键业务，但是其大量信息依然是通过公网（如国家骨干网）来传输的，因此保证关键行业的信息安全，重中之重是保证骨干网络的安全，我们相信采用国产设备对于确保网络信息安全具有重要意义。我们只有提高安全意识，健全安全体系，培育高素质的安全团队，特别是通过自主创新提升安全能力，才能从根本上保障重要行业的信息安全。

结 论

计算机网络安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，所以制定安全解决方案需要从整体上进行把握。我们不仅要依靠杀毒软件、防火墙、漏洞检测等硬件设备的防护，还要意识到计算机网络系统是一个人机系统，安全保护的对象是计算机，而安全保护的主体则是人。所以，应重视对计算机网络安全的硬件产品开发及软件研制及建立一个好的计算机网络安全系统，同时还要注重树立人的计算机安全意识，才能生成一个高效、通用、安全的网络。

致 谢

惠于合肥信息技术职业学院的浓厚学习、创新氛围，熔融其中三年使我成为一名有理想、有知识的复合型人才。我的论文得到顺利的完成特别感谢张银老师的悉心指导。在撰写论文期间，还是从论题的选择到论文的最终完成，指导老师多次的具体指导，对资料耐心的分析，其谆谆教导帮助我开拓思路，给予我支持与鼓励，在此谨向指导老师表示诚挚的感谢。没有指导老师给予我多次的机会，我不能这样完成论文，是他让我有动力和压力去做好我的毕业论文，为以后步入社会作好铺垫,更好地走向社会的道路。

2014年5月

参考文献

[1]作者，武新华.《黑客攻防实用技巧108招》.中国铁道出版社,2010.

[2]作者，李晓航，王宏霞，张文芳.《认证理论及应用》.清华大学出版社,2009.

[3]作者，李世明.《应对网络威胁：个人隐私泄露防护》.人民邮电出版社,2009.

[4]作者，程煜，余燕雄.《信息系统攻防技术》.清华大学出版社,2009.

[5]作者，何大可.《网络工程师必读——网络安全系统设计》.电子工业出版社,2009.