安全網絡論文精品(七篇)

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇安全網絡論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

檔案信息化以計算機技術為基礎，與以往的紙質檔案資料相比，具有以下特征：

1.1設備依賴性。

不同于過往的檔案記載，信息化的檔案資料再也不是一支筆、一份紙記錄的過程，從輸入到輸出都是經由計算機與其輔助設備實現，管理與傳輸也都依賴各種軟件與網絡資源共享，信息處理速度與質量在某些程度上依賴于計算機的性能與軟件的適應性。

1.2易控性和可變性。

信息化的檔案資料一般是以通用的文檔、圖片、視頻、音頻等形式儲存下來，這給信息共享帶來了便利，但也增加了檔案資料的易控性和可變性，對于文檔資料可以通過office工具刪除修改文字、對于圖片資料可以通過photoshop輕易地改變其原有的面貌、對于音頻和視頻資料可以通過adobeaudition和premiere工具的剪輯變成完全不同的模樣，這些都造成了檔案信息易丟失的現象。

1.3復雜性。

檔案信息量不斷增加、信息存儲形式也變得豐富多樣，不僅有前文所述的文檔、圖像、視頻、音頻等形式，不同格式之間的信息資料還可以相互轉換，如視頻與圖片、文字與圖片的轉換等等，進一步增加了檔案信息的復雜性。

2目前網絡環境下檔案信息安全管理存在的問題

2.1網絡環境下檔案信息安全問題的特性。

檔案信息化有其顯著特征，在此基礎上的檔案信息安全問題屬性也發生了較大變化。首先表現在信息共享的無邊界性，發達的網絡技術使得整個世界變成一張巨大的網，上傳的信息即使在大洋彼岸也能及時查看，一旦信息泄露，傳播的范圍廣、造成的危害難以估量。同時，在某種程度上檔案信息化系統也存在著脆弱性問題，計算機病毒可以入侵系統的眾多組成部分，而任何一部分被攻擊都可能造成整個系統的崩潰。此外，網絡安全問題還存在一定的隱蔽性，無需面對面交流，不用對話溝通，只需打開一個網頁或是鼠標輕輕點擊，信息就會在極短時間內被竊取，造成嚴重后果。

2.2網絡環境下檔案信息安全面臨的主要問題。

1）檔案信息化安全意識薄弱。很多情況下，檔案信息被竊取或損壞并不是因為入侵者手段高明，而是檔案信息管理系統自身安全漏洞過多，其本質原因是檔案信息管理安全意識不夠。受傳統檔案管理觀念的桎梏、自身技術水平的限制，很多管理人員并未將檔案信息看作極為重要的資源，對相關資料處理的隨意性大，也無法覺察到潛在的風險，日常操作管理不規范，增加了檔案安全危機發生的可能性。

2）檔案信息化安全資金投入不夠?，F代信息環境復雜多變，數據量急劇增加，信息管理難度也越來越大，對各種硬件、軟件設備的要求也進一步提高，需要企業在檔案信息管理方面投入更多的人力、物力，定期檢查系統漏洞。而就目前情況而言，大部分企業在這方面投入的資源還遠遠達不到要求，檔案信息管理的安全性得不到有效保障。

3）檔案信息化安全技術問題。技術問題首先表現在互聯網自身的開放性特征中，互聯網的基石是TCP/IP協議，以效率和及時溝通性為第一追求目標，必然會導致安全性的犧牲，諸如E-mail口令與文件傳輸等操作很容易被監聽，甚至于不經意間計算機就會被遠程操控，許多服務器都存在可被入侵者獲取最高控制權的致命漏洞。此外，網絡環境資源良莠不齊，許多看似無害的程序中夾雜著計算機病毒代碼片段，隱蔽性強、傳染性強、破壞力大，給檔案信息帶來了嚴重威脅。

3網絡環境下實現檔案信息安全保障原則

3.1檔案信息安全的絕對性與相對性。

檔案信息安全管理工作的重要性是無需置疑的，是任何企業特別是握有核心技術的大型企業必須注重的問題，然而，檔案信息管理并沒有一勞永逸的方法，與傳統檔案一樣，不存在絕對的安全保障，某一時期看起來再完善的系統也會存在不易發現的漏洞，隨著科技的不斷發展，會愈來愈明顯地暴露出來。同時，檔案信息安全維護技術也沒有絕對的優劣之分，根據實際情況的需求，簡單的技術可能性價比更高。

3.2管理過程中的技術與非技術因素。

檔案信息管理工作不是單一的網絡技術維護人員工作，也不是管理人員的獨角戲，而需要技術與管理的有機結合。檔案管理人員可以不具備專業網絡技術人才的知識儲備量，但一定要具備發現安全問題的感知力與責任心，對于一些常見入侵跡象要了然于心，對于工作中出現的自身無法解決的可疑現象應及時通知更專業的技術人員查看?？筛鶕髽I實際情況建立完善的檔案安全管理機制，充分調動各部門員工的力量，以系統性、全面性的理念去組織檔案信息管理工作。

4網絡環境下檔案信息安全管理具體保障方法

4.1建立制度屏障。

完善的制度是任何工作順利進行的前提與基礎，對于復雜網絡環境下的檔案信息安全管理工作來說更是如此。在現今高度發達的信息背景下，檔案管理再不是鎖好一扇門、看好一臺計算機的簡單工作，而是眾多高新技術的集合體，因此，做好檔案信息安全管理工作首先要加強安全意識的宣傳，包括保密意識教育與信息安全基礎教育，加強檔案管理人員特別是技術操作人員的培訓工作。同時，應注重責任制度的落實，詳細規定庫房管理、檔案借閱、鑒定、銷毀等責任分配，詳細記錄檔案管理培訓與考核工作、記錄進出檔案室的人員信息，具體工作落實到人。在實際操作中，應嚴格記錄每一個操作步驟，將檔案接收、借閱、復制等過程完整、有條理地編入類目中，以便日后查閱。

4.2建立技術屏障。

網絡環境下的信息安全技術主要體現在通信安全技術和計算機安全技術兩個方面。

1）通信安全技術。通信安全技術應用于檔案資料的傳輸共享過程中，可分為加密、確認與網絡控制技術等幾大類。其中，信息加密技術是實現檔案信息安全管理的關鍵，通過各種不同的加密算法實現信息的抽象化與無序化，即使被劫持也很難辨認出原有信息，這種技術性價比高，較小的投入便可獲得較高的防護效果。檔案信息確認技術是通過限制共享范圍達到安全性要求，每一個用戶都掌握著識別檔案信息是否真實的方案，而不法接收者難以知曉方案的實際內容，從而預防信息的偽造、篡改行為。

2）計算機安全技術。從計算機安全角度入手，可采用芯片卡識別制度，每一名合法使用者的芯片卡微處理機內記錄特有編號，只有當編號在數據庫范圍內時方可通過認證，防止檔案信息經由計算機存儲器被竊的現象發生。同時，應加強計算機系統的防火墻設計，注意查找系統漏洞。

4.3建立法律屏障。

篇(2)

【關鍵詞】VPN;遠程教育;遠程教育平臺

【中圖分類號】 G40-057 【文獻標識碼】A【論文編號】1009―8097(2009)12―0130―03

一 引言

遠程教育具有用戶數量多、分布范圍廣、接入方式多樣化的特征,如何保證遠程教育得以順利開展,是構建遠程教育系統時應該考慮的主要問題[1]。隨著Internet的迅速發展,各種寬帶接入方式的出現,虛擬專用網技術(VPN)也應運而生。VPN是利用開放的公眾網絡建立專用數據傳輸通道,將遠程的站點、伙伴、移動辦公人員等連接起來,并且提供安全的端到端的數據通信,是一種虛擬技術。把VPN技術應用于遠程教育系統的構建中,既可以保證數據安全,又可以節省遠程用戶的訪問費用,同時可以在VPN上開展不同形式的遠程教學。本文結合實際,探討高校遠程教育VPN網絡平臺的實現過程[2]。

二 建設目標

總體目標是利用VPN技術建立一個基于Internet的遠程教育系統的私有網絡,實現在該VPN網絡平臺上,遠程教育各個管理應用系統數據的安全傳輸,以及對接入用戶身份的有效認證和方便控制。尤其在對教師、學員等移動用戶的接入身份認證上,需要將VPN系統和高校遠程教育應用系統的身份認證模塊無縫整合,實現VPN接入和應用系統用戶身份的集中管理和統一控制,極大方便系統管理員管理和用戶使用。

三 系統設計

在我校遠程教育系統信息中心,通過千兆光纖連接到互聯網。由于中心網點是整個系統的核心,要確保高可靠性,所以在出口處部署2臺100/1000M自適應級安全網關,實現雙機熱備功能。對于分支機構,根據各分支機構的不同情況,分別部署硬件安全網關設備和軟件網關到各駐外機構。對于老師這類移動用戶,采用“USB KEY”硬件方式進行身份認證,通過配套的安全客戶端軟件實現遠程移動安全接入[3]。對于學員這類移動用戶,采用“用戶名+密碼”純軟件方式進行身份認證(在安全客戶端啟動界面上輸入),結合安全客戶端軟件實現遠程移動安全接入(如圖1)。

圖1 系統網絡拓撲示意圖

1 服務端

在網絡的出口處,部署VPN安全網關(安全網關綜合利用了隧道技術、加密技術、認證技術來保護大學遠程教育系統和下屬市、縣遠程教育系統內網的安全通訊、安全傳輸)[4]。另外,安全網關可以提供高可靠性的雙機熱備功能,可以在主設備發生故障時,備份網關自動快速進行狀態切換,確保系統工作不中斷。安全網關可以實現以下幾方面功能:

(1) 和遠地分支機構網絡邊界部署的VPN安全網關或安全客戶端建立VPN加密隧道,確保數據傳輸安全;并能夠通過VPN通訊策略的靈活設置,根據用戶要求實現對指定網段/范圍/IP地址的PC的應用系統數據傳輸進行加密保護。

(2) 對總部內網的防火墻防護:安全網關具備優良的狀態檢測防火墻功能,可以防御外網對內部主機的端口掃描、各種DoS/DDoS攻擊等惡意攻擊行為,還可以抵御各種常用的應用層攻擊。另外,可以通過VPN安全網關上的訪問控制策略,對內網PC進行嚴格的基于“五元組+時間”的訪問控制[5]。如:為確保安全性,可對允許上網的PC進行IP和MAC綁定,并通過網關中的安全策略設置對這些PC的數據流進行狀態檢測,以確保不能被仿冒;也可以使用網關中的“用戶上網認證”功能,使用戶在使用瀏覽器上網瀏覽時,首先要通過網關的訪問密碼認證;禁止某些URL網址的訪問等[6]。

(3) 安全網關具備八個等級的QoS控制功能,能夠為VOIP和視頻等需要優先的網絡應用保留帶寬和優先處理,這樣當網絡擁擠時,也能夠保障VOIP和視頻的暢通和話音質量。安全網關能夠將訪問控制策略與保留帶寬綁定,并能為這些應用設定優先級,共有8個處理等級可以設置。

2 各地分支機構

可以根據各分支機構的不同情況,分別部署硬件安全網關或安全客戶端系統(配合USB KEY)到各駐外機構。具有子網的各駐外機構采用ADSL或者其他寬帶方式(如Cable Modem、FTTB等)接入Internet。建議在有一定規模的局域網出口處,部署中低端型號的安全網關,如:SGW25A或SGW25B;建議在僅有少數終端的分支機構(如辦事處),在需要聯入遠程教育網的終端上安裝安全客戶端軟件(與USB KEY配合使用),并與上網軟件或NAT軟件配合構成軟件網關,從而和總部聯網實現VPN加密通訊(如圖2)。

圖2 中等規模分支機構網絡示意圖

可根據用戶的網絡接入帶寬和網絡規模,選擇合適的安全網關產品。對于規模較小的網點,可以采用安全客戶端軟件加硬件USB KEY實現和總部的互連(如圖3)。

圖3 小規模分支機構網絡示意圖

3 教師和學員等移動用戶

遠程教育系統的用戶數目龐大,主要包括教師和學員。

對于大數量的用戶,需要有一個很好的組織方式,方便管理和維護,并且和應用系統能夠無縫整合,實現VPN接入身份認證和應用系統身份認證完全實現統一:統一管理、單點登錄[7]。對于教師,由于數量較少,人員比較穩定,而且使用的系統與內部管理關聯緊密,所以需要更高的安全性。建議采用安全客戶端配套USB KEY來解決教師和總部VPN安全網關的互聯互通。

對于學員,由于數量龐大,而且分布在全國各地,不便進行現場支持,而且穩定性相對較差,所以建議采用純軟件版的安全客戶端系統實現和總部VPN安全網關的互聯互通,同時通過“帳戶名+口令”的方式進行VPN接入身份認證;并且通過定制,實現VPN接入的“帳戶名+口令”與應用系統的“帳戶名+口令”完全一致,實現單點登錄。

根據上述方法,一種對用戶(教師和學員)實現統一管理的方法,可采用LDAP目錄來保存用戶信息,所有的用戶信息都保存在LDAP服務器上[8]。

LDAP是Lightweight Directory Access Protocol的縮寫,基于X.500標準,但是簡化了很多并且可以根據需要定義。與X.500不同的是LDAP支持TCP/IP,這是訪問Internet所必須的。通過LDAP可以訪問存儲在LDAP目錄中的信息。LDAP目錄采用樹型層次結構來存儲數據,就象DNS的主機名一樣,LDAP目錄中記錄的的標志名(Distinguished Name)用來讀取單個記錄,并回溯到目錄樹的頂部。

大多數的LDAP服務器都為讀密集型的操作進行專門的優化。因此,當從LDAP服務器中讀取數據的時候會比從關系型數據庫中讀取數據快一個數量級。也是因為專門為讀的性能進行優化,大多數的LDAP目錄服務器并不適合存儲需要經常改變的數據。對于學員組織結構這樣需要經常查詢,但是很少修改的信息,非常適合存儲在LDAP目錄中。

LDAP允許根據需要使用ACL(訪問控制列表)來控制對數據的讀寫權限,指定不同的用戶可以擁有不同的操作權限,實現用戶信息的分級管理。

針對我校遠程教育網的情況,LDAP目錄用來存儲學院的學員信息,LDAP目錄可以根據學院的組織結構來組織。LDAP目錄以學院為根目錄,以不同的系為下一級目錄,如果有需要,每個系可形成再下一級的目錄,最后的記錄項保存學員的相關信息。同時,通過使用LDAP的ACL,允許學院的管理員對所有用戶信息有讀寫權限,而系管理員只對本系的用戶信息有完全的讀寫權限。

采用LDAP目錄來存儲用戶信息,可以根據學院組織結構來組織用戶,方便地實現用戶的分級管理,減少管理員的工作量。當用戶通過VPN客戶端請求連接到安全網關時,先以SSL方式連接到SGW25C安全網關,并上傳“帳戶名和密碼”,安全網關從LDAP服務器獲取用戶的相關信息,并校驗用戶身份。如果用戶身份校驗通過,安全客戶端將和安全網關通過IKE協商建立VPN隧道,通過隧道訪問內網應用服務器。LDAP服務器由應用系統管理員進行管理。

四 結束語

遠程教育平臺的發展日新月異,新技術在遠程教育中的應用更是層出不窮,如何選擇最佳的技術和開發方案,并遵循合理的開發規范來設計現代遠程教育平臺,一直是業界研究的熱點。VPN具有較高的安全性,良好的擴展性,靈活的控制策略,強大的管理功能等優勢,隨著技術的進一步發展,VPN還能夠提供QoS服務質量保證,支持各種多媒體業務,因此,VPN在遠程教育中將會得到更廣泛的應用[9]。

――――――――

參考文獻

[1] 姜慶.MPLSVPN在現代遠程教育中的應用[J].軟件導刊(教育技術),2008,(7):62-64.

[2] 高海英等.VPN技術[M].北京:機械工業出版社.2004.

[3] 肖曉梅.利用VPN實現高校校園網的遠程訪問[J].中國教育信息化,2008,(9):34-35.

[4] 梁炳超.VPN技術在高校圖書館遠程訪問中的應用[J].現代情報,2008,(4):82-84.

[5] 劉衛國.VPN技術在高校圖書館的應用[J].圖書館工作與研究,2007,(6):39-41.

[6] 朱偉珠.利用VPN技術實現高校圖書館資源共享[J].情報科學,2007,(7):1058-1061.

[7] 王春海,張曉莉,田浩編著.VPN網絡組建案例實錄[J].北京:科學出版社,2008.

篇(3)

【關鍵詞】隧道技術，應用，研究

中圖分類號：U45文獻標識碼： A

一、前言

由于網絡的發展和完善以及速度的不斷提高，越來越多的公司逐步進行運用隧道技能。大規模的組建VPN網絡已經成為一種趨勢，這種技術越來越多地遭到用戶的廣泛重視。

二、VPN的隧道技術

VPN技術比較復雜，它涉及到通信技術、密碼技術和現代認證技術，是一項交叉科學。具體來講，目前VPN主要采用下列四項技術來保證其安全，這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密鑰管理技術、使用者與設備身份認證技術(Authentication)。隧道技術是VPN的基本技術，類似于點對點連接技術，它在公用網中建立一條數據通道(隧道)，讓數據包通過這條隧道傳輸。隧道技術的基本工作原理是在源局域網與公網的接口處將數據作為負載封裝在一種可以在公網上傳輸的數據格式之中，在目的局域網與公網的接口處將數據解封裝，取出負載。被封裝的數據包在互聯網上傳遞時所經過的邏輯路徑被稱為“隧道”。

三、隧道技術

1、第二層隧道協議

第二層隧道協議是先把各種網絡協議封裝到PPP中，再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。創建隧道的過程類似于在雙方之間建立會話；隧道的兩個端點必須同意創建隧道并協商隧道各種配置變量，如地址分配，加密或壓縮等參數。第二層隧道協議有L2F、PPTP、L2TP等。

（一）、點對點隧道協議(PPTP)

PPTP將PPP數據楨封裝在IP數據報內通過IP網絡，如Internet傳送。PPTP還可用于專用局域網絡之間的連接。PPTP使用一個TCP連接對隧道進行維護，使用通用路由封裝(GRE)技術把數據封裝成PPP數據楨通過隧道傳送?？梢詫Ψ庋bPPP楨中的負載數據進行加密或壓縮。

（二）、第2層轉發(L2F)

L2F是Cisco公司提出的隧道技術，作為一種傳輸協議L2F支持撥號接入服務器將撥號數據流封裝在PPP楨內通過廣域網鏈路傳送到L2F服務器(路由器)。L2F服務器把數據包解包之后重新注入(inject)網絡。與PPTP和L2TP不同，L2F沒有確定的客戶方。應當注意L2F只在強制隧道中有效。

（三）、第2層隧道協議(L2TP)

L2TP結合了PPTP和L2F協議。設計者希望L2TP能夠綜合PPTP和L2F的優勢。L2TP是一種網絡層協議，支持封裝的PPP楨在IP，X.25，楨中繼或ATM等的網絡上進行傳送。當使用IP作為L2TP的數據報傳輸協議時，可以使用L2TP作為Internet網絡上的隧道協議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。

2、第三層隧道協議

IPSec是指IETF(因特網工程任務組)以RFC形式公布的一組安全IP協議集，是為IP及其以上協議(TCP和UDP等)提供安全保護的安全協議標準。其目標是把安全機制引入IP協議，通過使用密碼學方法支持機密性和認證服務等安全服務。IPSec通過在IP協議中增加兩個基于密碼的安全機制―認證頭(AH)和封裝安全載荷(ESP)來支持IP數據報的認證、完整性和機密性。IPSec協議族包括:IP安全架構、認證頭AH、封閉安全載荷ESP和Internet密鑰交換(IKE)等協議。IP安全架構協議指定了IPSec的整個框架，是IP層安全的標準協議。AH協議定義了數據源認證和完整性驗證的應用方法。ESP為IP數據報文提供數據源驗證、數據完整性校驗、抗重播和數據加密服務。IKE為AH和ESP提供密鑰交換機制，在實際進行IP通信

時，可以根據實際安全需求，同時使用AH和ESP協議，或選擇使用其中的一種。

3、新興的隧道協議

SSL是Netscape公司設計的主要用于web的安全傳輸協議。SSL被設計為使TCP提供一個可靠的端到端的安全服務，它不是一個單一的協議，而是由多個協議組成記錄協議定義了要傳輸數據的格式，它位于可靠的傳輸協議TCP之上，用于各種更高層協議的封裝。記錄協議主要完成分組和組合，壓縮和解壓縮，以及消息認證和加密等功能。所有傳輸數據包括握手消息和應用數據都被封裝在記錄中。握手協議允許服務器與客戶機在應用程序傳輸和接收數據之前互相認證、協商加密算法和密鑰。通信雙方首先通過SSL握手協議建立客戶端與服務器之間的安全通道，SSL記錄協議通過分段、壓縮、添加MAC以及加密等操作步驟把應用數據封裝成多條記錄，最后再進行傳輸。

四、隧道技術的應用模型

1、端到端安全應用

IPSec存在于一個主機或終端系統時，每一個離開和進入的PI數據包都可得到安全保護。PI包的安全保護可以從數據源一直到數據被接收。制定相應的安全策略，一對獨立的SA可以保護兩個端點之間的全部通信―Tenlet、SMTP、WEB和FTP等。或者，根據兩個端點之間通信的協議的不同(TCP和UDP)和端口的不同，分別用不同的SA保護兩個端點之間的不同的通信。在這種模式下，通信的端點同時也是PISec的端點。所以，端到端安全可以在傳送模式下，

利用PISec來完成；也可以在隧道模式下，利用額外IP頭的新增來提供端到端的安全保護。

2、虛擬專用網

IPSec存在于路山器等網絡互連設備時，司一以構建虛擬專用網VPN。VPN是“虛擬的”，因為它不是一個物理的、明顯存在的網絡。兩個不同的物理網絡通過一條穿越公共網絡的安全隧道連接起來，形成一個新的網絡VPN。VPN是“專川的”，因為被加密的隧道可以提供數據的機密性。而今，人們從傳統的專線網絡轉移到利用公共網絡的網絡，逐漸意識到節省費用的VPN重耍性。通過在路山器上配置PISec，就可以構建一個VPN。在路山器的一端，連接著一個受保護的私有網絡，對這個網絡的訪問要受到嚴格的擰制。在另一端連技的是一個不安全的網絡帳Internet。在兩個路山器之間的公共網絡上建立一條安全隧道，通信就可以從一個受保護的本地子網安全地傳送到另一個受保護的遠程子網。這就是VPN，在VPN中，母一個具有IPSec的路由器都是一個網絡聚合點。在兩個PISec的路山器之間通常使用隧道模式，可以采用多種安全策略，建立一對或多對SA，試圖對VPN進布J屯通信分析將是非常困難的。如果在一個本地私有網絡中的數據包的目的地是VPN的遠程網絡―它是從一個路由器發送到另一個路山器的、加密的數據包。

3、移動IP

在端到端安IP全中，數據包由產生和l或接收通信的那個主機進行加密和解密.在VPN中，

網絡中的一個路由器對一個受安全保護的網絡中的主機(或多個)的數據包進行加密和解密。這兩個組合一般稱為移動IP。移動IP一般是獨立的，它要求計問受安全保護的網絡，它是一個移動的客戶，不停留在某個固定的地方。他必須通過旅店、或任何一個可以進行internetPOP的地方，安全地訪問公司資源。在移動IP的方案中，移動主機和路由器都支持PISec，它們之間可以建立一條安個隧道。它們能夠在外出數據包抵達通信線路之前對它進行安全保護:能夠在對進入包進行IP處理之前，驗證它們的安全保護。具有PISec的路山器保護的是移動主機想要訪問的那個網絡，它也可以是支持V戶N的路山器，允許其它的移動主機進行安全的遠程訪問。在這種方案中，一方是移動主機，它既是通信方。另一方將PISec當作一項服務提供給另一個網絡實體。

4、嵌套式隧道

有時，需要支持多級網絡安全保護。比如下面一個例子:一個企業有一個安全網關，以防止其網絡受到競爭者或黑客的侵犯和攻擊，而企業內部另有一個安全網關，防止某些內部員工進入敏感的子網。比如銀行系統的企業網。這種情況下，如果某人希望對網絡內部的保護子網進行訪問，就必須使用嵌套式隧道。

5、鏈式隧道

一種常見的網絡安全配置是Hub-and-spoke。從一個網絡橫過Hub-and-spoke網絡，到達另一個網絡的數據包都由一個安全網關加密，由中心路由器解密，再加密，并由保護遠程網絡的另一個安全網關解密。

6、隧道交換模型

如果從交換的角度來看，它也可以稱為隧道交換模型。在中心路由器所連接的四個網絡可以是不同類型的網絡，隧道的實現方式也可以不同，但是，不同網絡的兩個節點在進行數據傳輸時，并不關心隧道的實現媒體，隧道可以接力的方式進行數據的傳遞。從安全的角度，假設每一個隧道是安全的，且中心路由器也是安全的，那么任何兩個節點之間的通信也應該是安全的。假設隧道間彼此不能信任，那么可以只將隧道的連接看作是一條數據的傳輸通道，再使用前面所論述的隧道模型實現安全保護，如點到點的隧道安全模式。

五、結束語

由于Internet基礎設施的完善，隧道技能必將將在網建等各范疇，發揮著越來越重要的效果。實現隧道技能的多種多樣，它們各有各的優勢，如今，市場上大多數都在使用VPN這類技能。

參考文獻

[1]毛小兵，VPN演進之隧道交換.《計算機世界》2000

[2]沈鑫剡.IP交換網原理、技術及實現[M].北京:人民郵電出版社，2003.

篇(4)

本文結合工作實際的維護工作介紹防火墻技術的部分應用，對如何保護各類網絡和應用的安全，如何保護信息安全成為了本文探討的重點。

關鍵詞：bss網、mss網、防火墻

正文

1、 防火墻 簡介

通過防火墻的運用，將那些危險的連接和攻擊行為隔絕在外。從而降低網絡的整體風險。。

1.1防火墻功能

防火墻的基本功能是對網絡通信進行篩選屏蔽以防止未授權的訪問進出計算

機網絡，簡單的概括就是，對網絡進行訪問控制。

防火墻是一種計算機硬件和軟件的結合，使不同網絡之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成。

1.2防火墻基本原理

防火墻是指一種將內部網和公眾訪問網(如Internet)分開的方法，實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡

2、 防火墻種類

從實現原理上分，防火墻的技術包括四大類：網絡級防火墻（也叫包過濾

型防火墻）、應用級網關、電路級網關和規則檢查防火墻。

2.1網絡級防火墻

一般是基于源地址和目的地址、應用、協議以及每個IP包的端口來作出通過與否的判斷。

2.2應用級網關

應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。

2.3電路級網關

電路級網關用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話（Session）是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火墻要高二層。電路級網關還提供一個重要的安全功能：服務器（Proxy Server）。

2.4規則檢查防火墻

該防火墻結合了包過濾防火墻、電路級網關和應用級網關的特點。

3、防火墻實際應用

在實際工作中，按照承載業務的不同，某運營商的網絡大致可以分為兩類。

一是BSS網絡，用于承載運營商的計費業務；二是MSS網絡，用于滿足日常辦公的需要；

3.1 網絡結構

3.2網絡說明

如圖3-1所示，BSS網絡承載主用IP承載網，一條ATM可以承載辦公網，N*2M電路作為MSS網絡備用電路，達到了熱備和擴容的目的。而且出口的擁塞不會影響MSS網絡的使用，保證日常辦公正常。

3.3安全域的劃分

安全域的劃分根據設備的用途、存儲數據的重要性等因素，分為五個層級。從0-4安全等級依次遞減。劃分設備安全等級的原則包括以下幾個要點：

存儲私密數據，除系統工程師外不允許其他人隨意訪問的設備安全等級最高；

需要存取數據，又要提供對外接口的設備，安全等級次之；

有互聯網出口的網絡安全等級更低，如：辦公網設備；

公網或VPN接入的設備可信度最低，所以安全等級最低。

3.4核心安全區域劃分

3.4.1 核心安全網絡圖3-3

3.4.2

如圖3-3所示，以兩對防火墻作為分割線。PIX525以內的主機屬于第0級；PIX525和NetScreen 500F之間的主機屬于第1級；NetScreen 500F以外BSS網絡設備，沒有互聯網出口，屬于第2級；辦公網設備屬于第3級；通過互聯網由VPN接入的設備等級最低，統一歸屬于第4安全等級。

以兩對防火墻作為分割線。PIX525以內的主機屬于第0級；PIX525和NetScreen 500F之間的主機屬于第1級；NetScreen 500F以外BSS網絡設備，沒有互聯網出口，屬于第2級；辦公網設備屬于第3級；通過互聯網由VPN接入的設備等級最低，統一歸屬于第4安全等級。

3.5地市網絡安全域的劃分

地市網絡可以分為兩級，純生產終端劃入高安全區域，辦公終端劃入低安全區域，中間增加安全隔離設備。注意到這里BSS網絡和MSS網絡的概念已經被淡化了，我們只是根據重要程度的不同把所有設備置入了不同的安全區域里，再根據業務需要定制訪問控制列表。

3.6訪問控制列表

參照圖3-3所示，我們把最重要的設備至于0級，并為其分配獨立的IP地址空間。在安全設備上啟用NAT功能（地址映射），對1-4級設備隱藏其真實地址，即0級設備從表象上看是不存在的。并制訂嚴格的訪問策略，僅允許指定主機訪問特定主機的特定協議端口。默認拒絕一切網絡連接請求。

1級設備的訪問控制列表是雙向的，對內允許特定服務器對特定主機數據庫端口的訪問；對外允許特定的客戶群訪問特定的協議端口。

2級設備是指重要性較低的生產設備。此級設備可根據業務需求設定訪問控制策略。

3-4級就是辦公終端了，因為其能與互聯網互通，或者通過互聯網接入，所以較易感染病毒或受到攻擊。一般僅開放最小的系統訪問權限，給預最為嚴格的認證，和路由控制。

為了更好的保護0-1級設備，我們在接口處設置了入侵檢測系統，并對進入0-1級區域的操作進行了審計。審計系統還可以關聯系統帳戶和訪問進程，限制合法的用戶只能通過合法的程序操作授權范圍內的數據。

4、.部分配置

4.1限制客戶端物理位置和設備的功能（即要求軟件、硬件VPN產品在使用過程中只能是公司指定的地點、機器和人員）通過訪問控制列表來實現。

又比如通過MAC訪問列表，限制只有特定物理地址的主機才能接入：

4.2控制訪問時間的功能（包括按小時、按天的控制）

篇(5)

論文摘要：文章主要針對在電子商務應用中所經常使用到的幾種信息安全技術作了系統的闡述，分析了各種技術在應用中的側重點，強調了在電子商務應用中信息安全技術所具有的重要作用。

21世紀是知識經濟時代，網絡化、信息化是現代社會的一個重要特征。隨著網絡的不斷普及，電子商務這種商務活動新模式已經逐漸改變了人們的經濟、工作和生活方式，可是，電子商務的安全問題依然是制約人們進行電子商務交易的最大問題，因此，安全問題是電子商務的核心問題，是實現和保證電子商務順利進行的關鍵所在。

信息安全技術在電子商務應用中，最主要的是防止信息的完整性、保密性與可用性遭到破壞；主要使用到的有密碼技術、信息認證和訪問控制技術、防火墻技術等。

1密碼技術

密碼是信息安全的基礎，現代密碼學不僅用于解決信息的保密性，而且也用于解決信息的保密性、完整性和不可抵賴性等，密碼技術是保護信息傳輸的最有效的手段。密碼技術分類有多種標準，若以密鑰為分類標準，可將密碼系統分為對稱密碼體制(私鑰密碼體制)和非對稱密碼體制(公鑰密碼體制)，他們的區別在于密鑰的類型不同。

在對稱密碼體制下，加密密鑰與解密密鑰是相同的密鑰在傳輸過程中需經過安全的密鑰通道，由發送方傳輸到接收方。比較著名的對稱密鑰系統有美國的DES，歐洲的IDEA，Et本的RC4，RC5等。在非對稱密碼體制下加密密鑰與解密密鑰不同，加密密鑰公開而解密密鑰保密，并且幾乎不可能由加密密鑰導出解密密鑰，也無須安全信道傳輸密鑰，只需利用本地密鑰的發生器產生解密密鑰。比較著名的公鑰密鑰系統有RSA密碼系統、橢圓曲線密碼系統ECC等。

數字簽名是一項專門的技術，也是實現電子交易安全的核心技術之一，在實現身份認證、數據完整性、不可抵賴性等方面有重要的作用。尤其在電子銀行、電子證券、電子商務等領域有重要的應用價值。數字簽名的實現基礎是加密技術，它使用的是公鑰加密算法與散列函數一個數字簽名的方案一般有兩部分組成：數字簽名算法和驗證算法。數字簽名主要的功能是保證信息傳輸的完整性、發送者身份的驗證、防止交易中抵賴的發生。

2信息認證和訪問控制技術

信息認證技術是網絡信息安全技術的一個重要方面，用于保證通信雙方的不可抵賴性和信息的完整性。在網絡銀行、電子商務應用中，交易雙方應當能夠確認是對方發送或接收了這些信息，同時接收方還能確認接收的信息是完整的，即在通信過程中沒有被修改或替換。

①基于私鑰密碼體制的認證。假設通信雙方為A和B。A，B共享的密鑰為KAB，M為A發送給B的信息。為防止信息M在傳輸信道被竊聽，A將M加密后再傳送，如圖1所示

由于KAB為用戶A和B的共享密鑰，所以用戶B可以確定信息M是由用戶A所發出的，這種方法可以對信息來源進行認證，它在認證的同時對信息M也進行了加密，但是缺點是不能提供信息完整性的鑒別。通過引入單向HASH函數，可以解決信息完整性的鑒別問題，如圖2所示

在圖2中，用戶A首先對信息M求HASH值H(M)，之后將H(M)加密成為m，然后將m。和M一起發送給B，用戶B通過解密ml并對附于信息M之后的HASH值進行比較，比較兩者是否一致。圖2給出的信息認證方案可以實現信息來源和完整性的認證?；谒借€的信息認證的機制的優點是速度較快，缺點是通信雙方A和B需要事先約定共享密鑰KAB。

②基于公鑰體制的信息認證?；诠€體制的信息認證技術主要利用數字簽名和哈希函數來實現。假設用戶A對信息M的HASH值H(M)的簽名為SA(dA，H(m)，其中dA為用戶A的私鑰)，用戶A將M／／SA發送給用戶B，用戶B通過A的公鑰在確認信息是否由A發出，并通過計算HSAH值來對信息M進行完整性鑒別。如果傳輸的信息需要報名，則用戶A和B可通過密鑰分配中心獲得一個共享密鑰KAB，A將信息簽名和加密后再傳送給B，如圖3所示。由圖3可知，只有用戶A和B擁有共享密鑰KAB，B才能確信信息來源的可靠性和完整性。

訪問控制是通過一個參考監視器來進行的，當用戶

對系統內目標進行訪問時，參考監視器邊查看授權數據庫，以確定準備進行操作的用戶是否確實得到了可進行此項操作的許可。而數據庫的授權則是一個安全管理器負責管理和維護的，管理器以阻止的安全策略為基準來設置這些授權。

③防火墻技術。防火墻是目前用得最廣泛的一種安全技術，是一種由計算機硬件和軟件的組合。它使互聯網與內部網之間建立起一個安全網關，可以過濾進出網絡的數據包、管理進出網絡的訪問行為、對某些禁止的訪問行為、記錄通過防火墻的信息內容和活動及對網絡攻擊進行檢測和告警等。防火墻的應用可以有效的減少黑客的入侵及攻擊，它限制外部對系統資源的非授權訪問，也限制內部對外部的非授權訪問，同時還限制內部系統之間，特別是安全級別低的系統對安全級別高的系統的非授權訪問，為電子商務的施展提供一個相對更安全的平臺，具體表現如下：

①防火墻可以強化網絡安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火墻身上。

②對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。

③防止內部信息的外泄。通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。

防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣臺主機的域名和IP地址就不會被外界所了解。

④網絡安全協議。網絡協議是網絡上所有設備之間通信規則的集合。在網絡的各層中存在著許多協議，網絡安全協議就是在協議中采用了加密技術、認證技術等保證信息安全交換的安全網絡協議。目前，Intemet上對七層網絡模型的每一層都已提出了相應的加密協議，在所有的這些協議中，會話層的SSL和應用層的SET與電子商務的應用關系最為密切。

①ssL協議(SecureSocketsLayer)安全套接層協議。SSL使用對稱加密來保證通信保密性，使用消息認證碼(MAC)來保證數據完整性。SSL主要使用PKI在建立連接時對通信雙方進行身份認證。SSL協議主要是使用公開密鑰體制和X．509數字證書技術保護信息傳輸的機密性和完整性。它主要適用于點對點之間的信息傳輸，提供基于客戶／服務器模式的安全標準，它在傳輸層和應用層之間嵌入一個子層，在建立連接過程中采用公開密鑰，在會話過程中使用私人密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。

SSL安全協議是國際上最早應用于電子商務的一種網絡安全協議，至今仍然有很多網上商店使用。在傳統的郵購活動中，客戶首先尋找商品信息，然后匯款給商家，商家將商品寄給客戶。這里，商家是可以信賴的，所以客戶先付款給商家。在電子商務的開始階段，商家也是擔心客戶購買后不付款，或使用過期的信用卡，因而希望銀行給予認證。SSL安全協議正是在這種背景下產生的。所以，它運行的基點是商家對客戶信息保密的承諾。顯然，SSL協議無法完全協調各方間的安全傳輸和信任關系。

②SET協議SecureElectronicTransaction)安全電子交易。為了克服SSL安全協議的缺點，實現更加完善的即時電子支付，SET協議應運而生。

篇(6)

1 移動互聯網的安全現狀

自由開放的移動網絡帶來巨大信息量的同時，也給運營商帶來了業務運營成本的增加，給信息的監管帶來了沉重的壓力。同時使用戶面臨著經濟損失、隱私泄露的威脅和通信方面的障礙。移動互聯網由于智能終端的多樣性，用戶的上網模式和使用習慣與固網時代很不相同，使得移動網絡的安全跟傳統固網安全存在很大的差別，移動互聯網的安全威脅要遠甚于傳統的互聯網。

⑴移動互聯網業務豐富多樣，部分業務還可以由第三方的終端用戶直接運營，特別是移動互聯網引入了眾多手機銀行、移動辦公、移動定位和視頻監控等業務，雖然豐富了手機應用，同時也帶來更多安全隱患。應用威脅包括非法訪問系統、非法訪問數據、拒絕服務攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露、內容版權盜用和不合理的使用等問題。

⑵移動互聯網是扁平網絡，其核心是IP化，由于IP網絡本身存在安全漏洞，IP自身帶來的安全威脅也滲透到了移動專業提供論文寫作和寫作論文的服務，歡迎光臨dylw.net互聯網。在網絡層面，存在進行非法接入網絡，對數據進行機密性破壞、完整性破壞；進行拒絕服務攻擊，利用各種手段產生數據包造成網絡負荷過重等等，還可以利用嗅探工具、系統漏洞、程序漏洞等各種方式進行攻擊。

⑶隨著通信技術的進步，終端也越來越智能化，內存和芯片處理能力也逐漸增強，終端上也出現了操作系統并逐步開放。隨著智能終端的出現，也給我們帶來了潛在的威脅：非法篡改信息，非法訪問，或者通過操作系統修改終端中存在的信息，產生病毒和惡意代碼進行破壞。

綜上所述，移動互聯網面臨來自三部分安全威脅：業務應用的安全威脅、網絡的安全威脅和移動終端的安全威脅。

2 移動互聯網安全應對策略

2010年1月工業和信息化部了《通信網絡安全防護管理辦法》第11號政府令，對網絡安全管理工作的規范化和制度化提出了明確的要求?？蛻粜枨蠛驼邔虺蔀榱艘苿踊ヂ摼W安全問題的新挑戰，運營商需要緊緊圍繞“業務”中心，全方位多層次地部署安全策略，并有針對性地進行安全加固，才能打造出綠色、安全、和諧的移動互聯網世界。

2.1 業務安全

移動互聯網業務可以分為3類：第一類是傳統互聯網業務在移動互聯網上的復制；第二類是移動通信業務在移動互聯網上的移植，第三類是移動通信網與互聯網相互結合，適配移動互聯網終端的創新業務。主要采用如下措施保證業務應用安全：

⑴提升認證授權能力。業務系統應可實現對業務資源的統一管理和權限分配，能夠實現用戶賬號的分級管理和分級授權。針對業務安全要求較高的應用，應提供業務層的安全認證方式，如雙因素身份認證，通過動態口令和靜態口令結合等方式提升網絡資源的安全等級，防止機密數據、核心資源被非法訪問。

⑵健全安全審計能力。業務系統應部署安全審計模塊，對相關業務管理、網絡傳輸、數據庫操作等處理行為進行分析和記錄，實施安全設計策略，并提供事后行為回放和多種審計統計報表。

⑶加強漏洞掃描能力。在業務系統中部署漏洞掃描和防病毒系統，定期對主機、服務器、操作系統、應用控件進行漏洞掃描和安全評估，確保攔截來自各方的攻擊，保證業務系統可靠運行。

⑷增強對于新業務的檢查和控制，尤其是針對于“移動商店”這種運營模式，應盡可能讓新業務與安全規劃同步，通過SDK和業務上線要求等將安全因素植入。

2.2 網絡安全

移動互聯網的網絡架構包括兩部分：接入網和互聯網。前者即移動通信網，由終端設備、基站、移動通信網絡和網關組成；后者主要涉及路由器、交換機和接入服務器等設備以及相關鏈路。網絡安全也應從以上兩方面考慮。

⑴接入網的網絡安全。移動互聯網的接入方式可分為移動通信網絡接入和Wi-Fi接入兩種。針對移動通信接入網安全，3G以及未來LTE技術的安全保護機制有比較全面的考慮，3G網絡的無線空口接入采用雙向認證鑒權，無線空口采用加強型加密機制，增加抵抗惡意攻擊的安全特性等機制，大大增強了移動互聯網的接入安全能力。針對Wi-Fi接入安全，Wi-Fi的標準化組織IEEE使用安全機制更完善的802.11i標準，用AES算法替專業提供論文寫作和寫作論文的服務，歡迎光臨dylw.net代了原來的RC4，提高了加密魯棒性，彌補了原有用戶認證協議的安全缺陷。針對需重點防護的用戶，可以采用VPDN、SSLVPN的方式構建安全網絡，實現內網的安全接入。

⑵承載網網絡及邊界網絡安全。1）實施分域安全管理，根據風險級別和業務差異劃分安全域，在不同的安全邊界，通過實施和部署不同的安全策略和安防系統來完成相應的安全加固。移動互聯網的安全區域可分為Gi域、Gp域、Gn域、Om域等。2）在關鍵安全域內部署人侵檢測和防御系統，監視和記錄用戶出入網絡的相關操作，判別非法進入網絡和破壞系統運行的惡意行為，提供主動化的信息安全保障。在發現違規模式和未授權訪問等惡意操作時，系統會及時作出響應，包括斷開網絡連接、記錄用戶標識和報警等。3）通過協議識別，做好流量監測。依據控制策略控制流量，進行深度檢測識別配合連接模式識別，把客戶流量信息捆綁在安全防護系統上，進行數據篩選過濾之后把沒有病毒的信息再傳輸給用戶。攔截各種威脅流量，可以防止異常大流量沖擊導致網絡設備癱瘓。4）加強網絡和設備管理，在各網絡節點安裝防火墻和殺毒系統實現更嚴格的訪問控制，以防止非法侵人，針對關鍵設備和關鍵路由采用設置4A鑒權、ACL保護等加固措施。

2.3 終端安全

移動互聯網的終端安全包括傳統的終端防護手段、移動終端的保密管理、終端的準入控制等。

⑴加強移動智能終端進網管理。移動通信終端生產企業在申請入網許可時，要對預裝應用軟件及提供者 進行說明，而且生產企業不得在移動終端中預置含有惡意代碼和未經用戶同意擅自收集和修改用戶個人信息的軟件，也不得預置未經用戶同意擅自調動終端通信功能、造成流量耗費、費用損失和信息泄露的軟件。

⑵不斷提高移動互聯網惡意程序的樣本捕獲和監測處置能力，建設完善相關技術平臺。移動通信運營企業應具備覆蓋本企業網內的監測處置能力。

⑶安裝安全客戶端軟件，屏蔽垃圾短信和騷擾電話，監控異常流量。根據軟件提供的備份、刪除功能，將重要數據備份到遠程專用服務器，當用戶的手機丟失時可通過發送短信或其他手段遠程鎖定手機或者遠程刪除通信錄、手機內存卡文件等資料，從而最大限度避免手機用戶的隱私泄露。

⑷借鑒目前定期PC操作系統漏洞的做法，由指定研究機構跟蹤國內外的智能終端操作系統漏洞信息，定期官方的智能終端漏洞信息，建設官方智能終端漏洞庫。向用戶宣傳智能終端安全相關知識，鼓勵安裝移動智能終端安全軟件，在終端廠商的指導下及時升級操作系統、進行安全配置。

3 從產業鏈角度保障移動互聯網安全

對于移動互聯網的安全保障，需要從整體產業鏈的角度來看待，需要立法機關、政府相關監管部門、通信運營商、設備商、軟件提供商、系統集成商等價值鏈各方共同努力來實現。

⑴立法機關要緊跟移動互聯網的發展趨勢，加快立法調研工作，在基于實踐和借鑒他國優秀經驗的基礎上，盡快出臺國家層面的移動互聯網信息安全法律。在法律層面明確界定移動互聯網使用者、接入服務商、業務提供者、監管者的權利和義務，明確規范信息數據的采集、保存和利用行為。同時，要加大執法力度，嚴專業提供論文寫作和寫作論文的服務，歡迎光臨dylw.net厲打擊移動互聯網信息安全違法犯罪行為，保護這一新興產業持續健康發展。

⑵進一步加大移動互聯網信息安全監管力度和處置力度。在國家層面建立一個強有力的移動互聯網監管專門機構，統籌規劃，綜合治理，形成“事前綜合防范、事中有效監測、事后及時溯源”的綜合監管和應急處置工作體系；要在國家層面建立移動互聯網安全認證和準入制度，形成常態化的信息安全評估機制，進行統一規范的信息安全評估、審核和認證；要建立網絡運營商、終端生產商、應用服務商的信息安全保證金制度，以經濟手段促進其改善和彌補網絡運營模式、終端安全模式、業務應用模式等存在的安全性漏洞。

⑶運營商、網絡安全供應商、手機制造商等廠商，要從移動互聯網整體建設的各個層面出發，分析存在的各種安全風險，聯合建立一個科學的、全局的、可擴展的網絡安全體系和框架。綜合利用各種安全防護措施，保護各類軟硬件系統安全、數據安全和內容安全，并對安全產品進行統一的管理，包括配置各相關安全產品的安全策略、維護相關安全產品的系統配置、檢查并調整相關安全產品的系統狀態等。建立安全應急系統，做到防患于未然。移動互聯網的相關設備廠商要加強設備安全性能研究，利用集成防火墻或其他技術保障設備安全。

⑷內容提供商要與運營商合作，為用戶提供加密級業務，并把好內容安全之源，采用多種技術對不合法內容和垃圾信息進行過濾。軟件提供商要根據用戶的需求變化，提供整合的安全技術產品，要提高軟件技術研發水平，由單一功能的產品防護向集中統一管理的產品類型過渡，不斷提高安全防御技術。

⑸普通用戶要提高安全防范意識和技能，加裝手機防護軟件并定期更新，對敏感數據采取防護隔離措施和相關備份策略，不訪問問題站點、不下載不健康內容。

4 結束語

解決移動互聯網安全問題是一個復雜的系統工程，在不斷提高軟、硬件技術水平的同時，應當加快互聯網相關標準、法規建設步伐，加大對互聯網運營監管力度，全社會共同參與進行綜合防范，移動互聯網的安全才會有所保障。

[參考文獻]

篇(7)

關鍵詞：網絡；安全；技術；機制

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 19-0000-01

Analysis of Computer Network Security Technology and Mechanisms

Zhou Wanhong

(Panzhihua Iron and Steel Group,Panzhihua Steel and Vanadium Co.,Ltd.Department of Transportation,Panzhihua617000,China)

Abstract:With the development of computer networks,more in-depth computer applications,computer systems and network security issues become increasingly prominent and complex,this paper describes the current computer network security threats facing some of the key,and the current major network security technology to take some of the and mechanisms.

Keywords:Metwork;Security;Technology;Mechanism

一、網絡安全概述

隨著計算機網絡的發展，尤其是Internet的廣泛應用，使得計算機的應用更加廣泛深入，同時計算機系統和網絡的安全問題日益突出和復雜。一方面，網絡系統提供了資源的共享性；另一方面，也正因為這些特點，增加了網絡系統的脆弱性和網絡安全的復雜性，資源共享增加了網絡受威脅和攻擊的可能性。隨著資源共享的加強，網絡安全問題日益突出。

影響網絡安全的因素很多，這些因素可宏觀地分為人為因素和自然因素，重點是人為因素。主要的網絡安全威脅有以下幾種：（1）自然災害、意外事故；（2）計算機犯罪；（3）人為失誤，如使用不當，安全意識差等；（4）“黑客”行為，由于黑客的入侵或侵擾，如非法訪問、非法連接等；（5）內部與外部泄密；（6）信息丟失等等。

網絡安全從其本質上來講就是網絡上的信息安全，是指網絡系統中的硬件、軟件及其數據收到保護，不受偶然的或惡意的原因而遭到破壞、更改、泄漏，網絡系統連續可靠正常地運行，網絡服務不中斷。網絡安全內容既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。

二、網絡安全技術

（一）防火墻技術

“防火墻”是一種由計算機硬件和軟件的組合，使互聯網與內部網之間建立起一個安全網關，把互聯網和內部網隔開，有效地控制互聯網對內部網的訪問，阻擋外部網絡的侵入。

防火墻可分為：

1.包過濾防火墻：原理是將收到的包（即分組）與規則表進行匹配，對符合規則的數據包進行處理，不符合規則的就丟棄。這種技術既缺乏效率又容易產生安全漏洞。

2.狀態檢測防火墻：原理是將屬于同一連接的所有包作為一個整體的數據流看待，通過規則表與連接狀態的共同配合，大大提高了系統的傳輸效率和安全性。

（二）入侵檢測技術

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測過程分為三部分：信息收集、信息分析、信息處理。

信息收集：由放置在不同網段的傳感器或不同主機的來收集信息，包括系統和網絡日志文件、網絡流量、非正常的目錄和文件改變、非正常的程序執行。

信息分析：收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息，被送到檢測引擎，當檢測到某種誤用模式時，產生一個告警并發送給控制臺。

結果處理：控制臺按照告警產生預先定義的響應采取相應措施。

（三）漏洞檢測技術

漏洞檢測技術是對網絡系統進行檢查，發現其中存在的薄弱環節和所具有的攻擊性特征。通常采取兩種策略，被動式策略和主動式策略。被動式策略基于主機檢測，對系統中不合適的設置、口令以及其他同安全規則相背的對象進行檢查；主動式策略基于網絡檢測，通過執行一些腳本文件對系統進行攻擊，并記錄它的反應，從而發現其中的漏洞。

（四）數據加密技術

數據加密技術是指將一個信息經過加密鑰匙及加密函數轉換，變成無意義的密文，而接收方則將此密文經過解密函數、解密鑰匙還原成明文。是為了提高信息系統及數據的安全性和保密性，防止數據被外部偵聽破析所采用的重要手段之一，是網絡安全技術的基石。

三、網絡安全機制

（一）加密機制

加密是提供數據保密的最常用方法。用加密的方法與其它技術相結合，可以提供數據的保密性和完整性。分為對稱加密機制和非對稱加密機制。

1.對稱加密機制：使用相同的秘鑰對數據進行加密和解密，發送者和接收者使用相同的密鑰。

2.非對稱加密機制：運用某種數學方法使得加密過程成為一個不可逆過程，即用公鑰加密的信息只能用與該公鑰配對的私鑰才能解密。特點是發送者和接收者使用不同密鑰。

（二）數據完整性機制

數據完整性包括兩種形式：一是數據單元的完整性，另一種是數據單元序列的完整性。數據單元完整性包括兩個過程，一個過程發生在發送實體，另一個過程發生在接收實體。保證數據完整性的一般方法是：發送實體在一個數據單元上加一個標記，這個標記是數據本身的函數，如一個分組校驗，或密碼校驗函數，它本身是經過加密的。接收實體是一個對應的標記，并將所產生的標記與接收的標記相比較，以確定在傳輸過程中數據是否被修改過。

數據單元序列的完整性要求數據標號的連續性和時間標記的正確性，以防止假冒、丟失、重發、插入或修改數據。

（三）業務流量填充機制

這種機制主要是對抗非法者在線路上監聽數據并對其進行流量和流向分析。采用的方法一般由保密裝置在無信息傳輸時，連續發出偽隨機序列，使得非法者不知道哪些是有用信息，哪些是無用信息。

（四）路由控制機制

在一個大型網絡中，從源點到目的節點可能有多條線路，有些線路可能是安全的，而另一些線路是不安全的。路由控制機制可使發信者選擇特殊的路由，以保證數據安全。

參考文獻：

[1]飛思科技產品研發中心.縱橫四海――局域網組建與管理[M].北京:電子工業出版社,2002