网络安全存在问题及整改措施范文

关键词：网络；安全；管理；网络；发展；网络现状

中图分类号：G647文献标志码：A文章编号：1674-9324（2014）28-0011-02

一、绪论――安全管理的发展趋势和现状

1.网络安全现状。计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利，而且正在创造着巨大的财富，以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次不断深入，应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。

与此同时，计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长，网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等，都造成了各种危害，包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出，已经成为影响国家安全、社会稳定和人民生活的大事，发展与现有网络技术相对应的网络安全技术，保障网络安全、有序和有效的运行，是保证互联网高效、有序应用的关键之一。

2.现有网络安全技术。计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合，协议本身和应用都有可能存在问题，网络安全问题包括网络所使用的协议的设计问题，也包括协议和应用的软件实现问题，当然还包括了人为的因素以及系统管理失误等网络安全问题，如下示意说明了这些方面的网络安全问题。

问题类型：问题点，问题描述。

协议设计：安全问题被忽视制定协议之时，通常首先强调功能性，而安全性问题则是到最后一刻甚至不列入考虑范围。

其他基础协议问题：架构在其他不稳固基础协议之上的协议，即使本身再完善也会有很多问题。

流程问题：设计协议时，对各种可能出现的流程问题考虑不够周全，导致发生状况时，系统处理方式不当。

设计错误：协议设计错误，导致系统服务容易失效或遭受攻击。

软件设计：设计错误协议规划正确，但协议设计时发生错误，或设计人员对协议的认知错误，导致各种安全漏洞。

程序错误：程序撰写习惯不良导致很多安全漏洞，包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。

人员操作：操作失误，操作规范严格且完善，但是操作人员未受过良好训练、或未按手册操作，导致各种安全漏洞和安全隐患。

系统维护：默认值不安全软件或操作系统的预设设置不科学，导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛伊木马等的攻击。

未修补系统：软件和操作系统的各种补丁程序没有及时修复。

内部安全问题：对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统，成为不信任领域内系统攻击信任领域的各种跳板。

针对上面所示的各种网络安全问题，全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题，这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等，相继陆续推出了包括防火墙、入侵检测（IDS）、防病毒软件、CA系统、加密算法等在内的各类网络安全软件，这些技术和安全系统（软件）对网络系统提供了一定的安全防范，一定程度上解决了网络安全问题。

二、网络安全面临的主要问题

1.网络建设单位、管理人员和技术人员缺乏安全防范意识，从而就不可能采取主动的安全措施加以防范，完全处于被动挨打的位置。

2.组织和部门的有关人员对网络的安全现状不明确，不知道或不清楚网络存在的安全隐患，从而失去了防御攻击的先机。

3.组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构，其缺陷给攻击者以可乘之机。

4.组织和部门的计算机网络没有建立完善的管理体系，从而导致安全体系和安全控制措施不能充分有效地发挥效能。业务活动中存在安全疏漏，造成不必要的信息泄露，给攻击者以收集敏感信息的机会。

5.网络安全管理人员和技术有员缺乏必要的专业安全知识，不能安全地配置和管理网络，不能及时发现已经存在的和随时可能出现的安全问题，对突发的安全事件不能做出积极、有序和有效的反应。

三、网络安全的解决办法

实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性，才能保证安全控制措施有效地发挥其效能，从而确保实现预期的安全目标。因此，建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构，把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。

1.安全需求分析。“知已知彼，百战不殆”。只有明了自己的安全需求才能有针对性地构建适合自己的安全体系结构，从而有效地保证网络系统的安全。

2.安全风险管理。安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估，以组织和部门可以接受的投资，实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。

3.制定安全策略。根据组织和部门的安全需求和风险评估的结论，制定组织和部门的计算机网络安全策略。

4.定期安全审核。安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次，由于网络安全是一个动态的过程，组织和部门的计算机网络的配置可能经常变化，因此组织和部门对安全的需求也会发生变化，组织的安全策略需要进行相应地调整。为了在发生变化时，安全策略和控制措施能够及时反映这种变化，必须进行定期安全审核。

5.外部支持。计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持，将使网络安全体系更加完善，并可以得到更新的安全资讯，为计算机网络安全提供安全预警。

6.计算机网络安全管理。安全管理是计算机网络安全的重要环节，也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动，规范组织的各项业务活动，使网络有序地进行，是获取安全的重要条件。

网络安全存在问题及整改措施范文

关键词：局域网；安全；体系结构；管理制度

中图分类号：TP393.08文献标识码：A文章编号：2095-1302（2016）10-00-03

0引言

随着计算机技术和信息技术的进步和发展，特别是近年来移动互联网的迅猛发展，越来越多的单位、企业和家庭都建立了属于自己的局域网。局域网为用户内部信息资源共享提供了方便，在人们的工作和生活中发挥着不可替代的作用。但由于网络本身的开放性和共享性，在网络为大家带来便利的同时，网络本身存在的不安全因素也给各企业单位和家庭带来了信息泄露的风险，为实现社会稳定，保证计算机网络安全，人们迫切需要解决目前计算机局域网应用中存在的安全问题[1，2]。

1局域网中主要的安全问题

网络安全问题主要由网络的开放性和共享性造成。网络安全问题的实质是对网络安全缺陷的潜在利用，这些缺陷可能导致网络的非法访问、信息泄露、资源耗尽、资源被盗或者被破坏等；网络安全问题产生的根源在于网络协议的不完整性、网络操作系统的漏洞缺陷、应用程序漏洞、物理设备损坏及人为因素等。归纳起来，目前局域网安全问题主要来源于物理设备的安全威胁、来自互联网的安全威胁、来自局域网内部用户的安全威胁这三个方面[3-5]。

1.1物理设备的安全威胁

来自物理设备的安全威胁主要有如下几项：

（1）自然灾害或非人为故意造成的软、硬件故障或冲突以及水灾火灾等；

（2）人为操作不当（属意外事件）导致数据信息的错误、丢失或其它一些硬件故障等。

1.2来自互联网的安全威胁

一般情况下，局域网都与Internet进行了互联。由于Internet的开放性、国际性与自由性，来自Internet的世界各地的黑客都可以通过Internet和一些黑客工具来探测和扫描网络上存在的各种安全问题，如操作系统的类型及其它是否为弱口令、服务器开放的各种易于攻击的端口号及服务器应用程序是否存在开放权限或存在弱用户弱口令等，并采取相应的攻击手段进行攻击。同时还可以通过协议分析软件等手段监听并获得局域网内部用户的用户名、口令及一些敏感数据等信息，从而假冒内部的合法用户进行非法操作，窃取内部网络中的重要信息。而这些黑客也能通过控制大量肉机向网络中的服务器发送大量的数据包进行DDoS攻击，使服务器不能正常工作而拒绝为正常用户服务。

1.3来自局域网内部用户的安全威胁

内部的网络管理人员有时为了对外进行宣传，会不经意间把内部网络拓扑结构及系统的一些重要信息（如设备型号、操作系统的类型等）放在网站上，这就致使网络内部信息严重泄露，网络上的不法分子可以利用这些包括网络拓扑、网络设备信息及应用系统信息等内部信息，制定有针对性的入侵策略，从而大大增加被攻破的机率，给内部局域网造成巨大的安全隐患。由于内部网络的大多数用户对计算机的操作及网络运行不熟悉，不知道哪些软件是安全的，若下载并使用了带有病毒或木马的软件，那么这些病毒或木马会收集并泄漏内部用户的重要信息，尤其是用户名及密码等重要信息，或是对计算机操作不当，误删除了重要数据等，这些都将给网络造成极大的安全威胁。

2安全体系结构的设计

2.1局域网安全总体设计思路

局域网安全是一项系统工程，需要充分考虑各层次各方面的安全因素。根据局域网运行所涉及到的层次，建立一个全方位的、可持续循环改进的局域网安全解决方案。以网络安全技术为主导，辅以法律法规和规章制度的安全管理，设计一个包含五个层次（物理安全、网络安全、系统安全、应用安全、数据安全）的局域网安全体系结构，如图1所示。

2.1.1物理安全

在局域网安全系统中，物理安全是最基本的安全。如果物理安全得不到保证，那么其它一切安全措施都变得毫无意义。如果网络设备遭到破坏或被人非法接触，将会给局域网造成毁灭性的破坏，若安装有数据库的服务器被非法人员或是自然灾害损坏，就可能致使数据丢失且不可恢复，这同样是毁灭性的破坏。因此，要确保局域网有一个安全的物理环境，就应对接触到的网络设备及系统人员有一套完善的技术控制手段和规章制度约束，并且还要充分考虑自然灾害可能对局域网中的网络设备及线路等造成的威胁并加以规避。

2.1.2网络安全

网络安全主要是整个数据传输网的安全，包括数据链路层、网络层及传输层等的安全。

（1）数据链路安全主要是保障通信链路不被非法窃听并防止借助链路的连接进行各种类型的攻击。

（2）网络层的安全主要包括网络访问控制、各种网络协议本身的缺陷和对这些协议的攻击等问题。

（3）传输层的安全与链路层的安全类型涉及的层次不一样，但也是关于数据被非法窃听的问题。

2.1.3系统安全

系统安全主要是操作系统本身的安全问题，体现在系统是否完整坚固，是否存在漏洞，以避免攻击者通过系统漏洞实施入侵，主要涉及到以下两个问题：

（1）病毒和木马对局域网中系统的威胁。

（2）Internet上的黑客入侵了局域网中的系统后通过该系统对其它局域网设备和系统进行入侵和破坏。

2.1.4应用安全

应用安全主要是应用平台和应用程序的安全。主要涉及到以下两方面问题：

（1）应用程序对数据的合法权限，即应用程序对数据的访问是否合法。

（2）应用程序对用户的合法权限，即用户是否有合法的权限访问该应用程序。

2.1.5数据安全

数据安全是这些安全中最重要的一项，所有采取的措施都以数据安全为目标。保证信息资源的机密性、完整性、真实性、不可抵赖性以及可用性是安全防护的最终目标。

2.1.6安全管理

安全管理包括国家制订的法律法规和单位组织制定的管理和技术操作规范，从法律和管理层面对人的行为进行规范。

2.1.7网络结构设计

网络结构设计是为局域网设计的一个高安全性网络结构，涉及各种网络安全设备与技术的有机结合、综合应用与部署。

2.2局域网安全方案设计

2.2.1各层次技术解决方案设计

局域网工作的每个层次都有相应的安全措施，每个层次在大技术层面上常用的安全措施如图2所示。

2.2.1.1物理安全技术与措施

物理安全最重要的就是选择地理位置安全的场所建设网络机房，应尽量远离生产或储存易燃、易爆物品和强电磁场场所的周围及低洼地带。对于网络设备应配备防电磁泄漏机柜或屏蔽机房等；关键设备要配备UPS电源；机房要配备空调以保持机房的恒温恒湿环境，并配备消防报警和灭火设施；建立严格的机房准入制度等。如果有更高级别的安全需要，需对机房中的网络设备及线路做远程的冗余备份。

2.2.1.2网络安全技术与措施

网络安全技术与措施较多，主要涉及网络安全设备和技术及安全协议。常用的有各种防火墙设备和技术、入侵检测设备和技术、VPN设备和技术以及入侵防御设备和技术等。

（1）防火墙是常用的网络设备和技术，根据策略控制进出网络的数据权限，并可强制检查所有进出网络的各种链接，以避免局域网遭受外界入侵和破坏。因此，通过建立防火墙安全策略，可在内部网（局域网）和外网（Internet）之间，或者在内部网的各部分之间（即不同安全域之间）实施安全防护。

（2）入侵检测系统（IDS）对那些异常的、可能是入侵行为的数据进行检测和报警，实时监测局域网的运行状况，常与防火墙联动运作。常用的安全协议有PPTP，L2TP，IPSec及SSL协议等。

除此之外，还有其它访问控制技术，常用的有VLAN划分技术和访问列表控制（ACL）技术等。

2.2.1.3系统安全技术与措施

系统安全措施主要为系统安装防病毒和防木马软件以及为系统打补丁，加固系统的安全性，设置用户的访问权限等级和口令，可对系统的访问进行访问权限控制。安装分布式的网络防病毒软件，对局域网内的服务器和个人计算机进行有效防护，使局域网上的各个节点都不受病毒的侵害。同时，应尽量实时更新系统补丁和杀毒软件，确保系统和杀毒软件处于最新状态，并定期更换用户密码，使用户口令被破解的可能性降至最低。

2.2.1.4应用安全技术与措施

应用安全包括应用平台和应用程序的安全性。可以通过身份认证来判别用户使用系统的合法性。身份认证一般通过用户名和口令来验证。身份认证可以有效防止数据被篡改及非法用户访问网络资源。同时还能通过审计用户相关的活动信息进行记录、存储和分析，系统通过分析网络信息系统的实际使用状况来对应用服务器的安全事件进行有效监控。

2.2.1.5数据安全技术与措施

采用数据安全技术与措施的最终目的在于确保网络数据的可用性、完整性和保密性。为了确保数据的安全性，可以采用多种数据备份技术来确保数据的可用性和完整性，如磁盘冗余阵列技术、双机容错技术及SAN技术等。同时，为了增强数据的保密性，可采用加密技术对数据进行加密，如DES加密算法、IDEA加密算法及RSA加密算法等。

2.2.2网络结构设计

一个设计合理的网络拓扑结构可以大大增加局域网的安全性，如图3所示的网络拓扑结构综合运用了多种安全技术，对局域网起到了很好的保护作用，大大提高了局域网的安全性。

图3所示为双路由单防火墙的拓扑设计，对外网（Internet）进入局域网内部的访问起到了三层过滤的作用，大大增强了局域网的安全性。对于一些常用的对外服务，设置一个DMZ区域，尽量减少外网用户对内网的访问，这也是增强局域网安全的一种措施。同时，DMZ为了保证服务器的安全，使用了入侵检测系统以提高DMZ区域的安全性。

2.2.3安全管理规范

人是局域网安全中最不稳定的因素，也是最主要的因素。因此，规范人的行为对局域网的安全起到了至关重要的作用。建立健全的法律法规对入侵网络的不法分子有极大的震慑作用，使之不敢轻易破坏网络。同时，对于网络的管理也要建立规范的管理制度，严格机房管理。可采取如下措施：

（1）建立完整的计算机运行日志、操作记录及其它与安全有关的资料；

（2）机房必须有当班值班人员；

（3）严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房，重要技术资料应有副本并异地存放等。

3结语

局域网安全是一项系统工程，涉及到网络工作的各个层次，任何一个层次都可以通过安全技术措施来加强局域网的安全，但任何层次也有可能成为局域网的弱点。因此，在综合应用安全措施的同时应全面考虑各层次的特点，采用相应的安全技术措施，建立一个较完善合理的安全机制。同时还要运用技术之外的管理措施，从制度方面确保局域网的安全。

参考文献

[1]王坤晓.局域网网络安全存在的问题及对策探讨[J].网络安全技术与应用，2015，15（1）：109.

[2]张梅馨，崔志云.实验室局域网的安全及防护[J].实验技术与管理，2010，27（2）：86-88.

[3]张志国.计算机局域网网络安全问题以及相应对策探析[J].科技风，2014（15）：197.

网络安全存在问题及整改措施范文篇3

关键词：计算机网络；安全；因特网；建设

一、网络安全问题的现状

因特网是从20世纪60年展起来的计算机网络应用技术，以因特网为代表的网络，现在已发展为全球共享的信息网络，并成为人们生活中的一部分。网络不仅改变了人们的生产、生活和学习方式，也影响了人们的思维方式。但是在近20年里，大范围、高密级的计算机网络不断遭到攻击，网络黑客已成为各国计算机专家的头号劲敌。

二、网络安全问题的根源

以因特网为代表的计算机网络存在安全隐患问题是由来己久，造成这种安全隐患的原因是多方面的,归纳起来主要有以下几个方面的原因。

第一,网络最初的设计思路有缺陷。计算机网络最初的设计思想是要求网络的可靠性高于网络安全性的。在指挥系统中某些部分被摧毁后，其剩余部分仍能正常工作，并能保证信息的传输。在这种思想指导下，因特网早期是作为研究人员使用的信息共享载体，所以几乎所有协议都没有充分考虑安全防范。

第二,网络复杂性加深危机。各类网络产品都是在基础网络协议上发展起来的，或多或少都存在有安全隐患，由于网络的关联性导致只需攻击网络链条中最薄弱的一个环节就可以使整个安全体系崩溃，这使得网络设备、主机、操作系统的多样性和拓扑结构的复杂性，造成网络安全管理工作异常艰难。加上网络规模的不断膨胀，也给网络安全带来了巨大压力。

第三,网络开放性引发更多攻击。网络不安全的另一个原因是网络开放性，因特网实现信息开放与共享，这给黑客的入侵提供了可乘之机。网络用户可以获得相关核心技术资料，包括网络自身技术规范，以及其开放源代码的应用程序。

三、建立网络安全体系结构

为了尽可能地减少入侵行为发生的机会，内部主机实行严格的访问控制，其安全规则结合了网络特性和操作系统特性，设定不同用户在不同时间、地点对资源拥有不同的访问权限。主机利用入侵检测技术及时发现网络攻击和入侵行为并迅速做出响应，如主动切断该户连接。客户机和其他主机在使用资源时，主机要进行身份认证，解决了使用传统的口令认证方式只能进行单向认证的问题。为了保证主机与外界安全地进行数据交换，防止传输的信息被截取或监听，在主机与其他主机、主机与客户机之间利用加密技术建立起安全的数据传输通道，这样就形成了一个完整的内部网络安全体系。

四、网络安全体系的建设

安全体系设计原则。需求、风险、代价平衡分析的原则：对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡。综合性、整体性原则：运用系统工程的

观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节，它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。一致性原则：这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。易操作性原则：安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。适应性、灵活性原则：安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。多重保护原则：任何安全保护措施都不是绝对安全的，都可能被攻破。

五、网络安全风险分析

网络安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础依据。安全保障不能完全基于思想教育或信任。而应基于“最低权限”和“相互监督”的法则，减少保密信息的介入范围，尽力消除使用者为使用资源不得不信任他人或被他人信任的问题，建立起完整的安全控制体系和保证体系。

网络安全策略安全策略分安全管理策略和安全技术实施策略两个方面：首先管理策略安全系统需要人来执行，即使是最好的、最

值得信赖的系统安全措施，也不能完全由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。其次技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。

六、安全管理原则

计算机信息系统的安全管理主要基于三个原则，即多人负责原则、任期有限原则、职责分离原则。制定系统安全策略、安装网络安

全系统只是实施网络系统安全性的第一步，只有当各级组织机构均严格执行网络安全的各项规定，认真维护各自负责的分系统的网络安全性，才能保证整个系统网络的整体安全性。

七、安全产品选型原则

在进行网络安全方案的产品选型时，要求安全产品至少应包含以下功能：访问控制：通过对特定网段、服务建立的访问控制体系，

将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。认证：良好的认证体系可防止攻击者假冒合法用户。备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息：使攻击者不能了解系统内的基本情况。设立安全监控中心：为信息系统提供安全体系管理、监控，保护及紧急情况服务。

参考文献：