新形勢下網路安全威脅分析與應對

⑴ 應對當前網路安全形勢齊向東是如何作答的

2018年7月10日，由中國互聯網協會主辦的第十七屆中國互聯網大會在北京召開。圍繞「新時代新征程 新動能」的大會主題，360企業安全集團董事長齊向東也以三個「新」作答，給出了應對當前網路安全形勢的三個「葯方」——新技術、新系統和新機制，即第三代網路安全技術、網路安全防護的「三位能力」系統和關鍵信息基礎設施網路安全的三方制衡機制。

齊向東給出的第三個「葯方」是三方制衡機制。他強調，保障關鍵信息基礎設施的網路安全，需要將建設、運營和安全服務三個角色分開，這和建築工程需要建設方、施工方和監理方三方制衡是一個道理。

「現在我國各地都在大力建設雲平台、大數據中心，安全是政務雲的生命線，需要明晰各方的分工和責任，甲方是建設方，要嚴格要求，乙方雲廠商，要提高標准，還需要第三方安全服務查漏補缺，這三方互相制衡，才能從最大程度上杜絕漏洞，長治久安。」齊向東說。

內容來源 新華網

⑵ 網路安全面臨的威脅主要有哪些

病毒 木馬 攻擊 漏洞 加密

1 竊聽 攻擊者通過監視網路數據獲得敏感信息,從而導致信息泄密。主要表現為網路上的信息被竊聽,這種僅竊聽而不破壞網路中傳輸信息的網路侵犯者被稱為消極侵犯者。惡意攻擊者往往以此為基礎,再利用其它工具進行更具破壞性的攻擊。
2 重傳 攻擊者事先獲得部分或全部信息,以後將此信息發送給接收者。
3 篡改 攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入,再將偽造的信息發送給接收者,這就是純粹的信息破壞,這樣的網路侵犯者被稱為積極侵犯者。積極侵犯者截取網上的信息包,並對之進行更改使之失效,或者故意添加一些有利於自己的信息,起到信息誤導的作用。積極侵犯者的破壞作用最大。
4 拒絕服務攻擊 攻擊者通過某種方法使系統響應減慢甚至癱瘓,阻止合法用戶獲得服務。
5 行為否認 通訊實體否認已經發生的行為。
6 電子欺騙 通過假冒合法用戶的身份來進行網路攻擊,從而達到掩蓋攻擊者真實身份,嫁禍他人的目的.
7 非授權訪問 沒有預先經過同意,就使用網路或計算機資源被看作非授權訪問。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。
8 傳播病毒 通過網路傳播計算機病毒,其破壞性非常高,而且用戶很難防範。如眾所周知的CIH病毒、愛蟲病毒、紅色代碼、尼姆達病毒、求職信、歡樂時光病毒等都具有極大的破壞性,嚴重的可使整個網路陷入癱瘓。

⑶ 我們面對網路威脅採取哪些主要對策

網路攻擊應對策略 1．提高安全意識 不要隨意打開來歷不明的電子郵件及文件，不要隨便運行不太了解的人給你的程序；盡量避免從Internet下載不知名的軟體、游戲程序；密碼設置盡可能使用字母數字混排，單純的 英文 或者數字很容易窮舉；及時下載安裝系統補丁程序；不隨便運行黑客程序，不少這類程序運行時會發出你的個人信息。 2．使用防毒、防黑等防火牆軟體 防火牆是一個用以阻止網路中的黑客訪問某個機構網路的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路，以阻檔外部網路的侵入。 3．設置代理伺服器，隱藏自己的IP地址 保護自己的IP地址是很重要的。事實上，即便你的機器上被安裝了木馬程序，若沒有你的IP地址，攻擊者也是沒有辦法的，而保護IP地址的最好方法就是設置代理伺服器。代理伺服器能起到外部網路申請訪問內部網路的中間轉接作用，其功能類似於一個數據轉發器，它主要控制哪些用戶能訪問哪些服務類型。當外部網路向內部網路申請某種網路服務時，代理伺服器接受申請，然後它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內部網路轉發這項請求。 4．將防毒、防黑當成日常例性工作 定時更新防毒組件，將防毒軟體保持在常駐狀態，以徹底防毒。 5．提高警惕 由於黑客經常會針對特定的日期發動攻擊， 計算 機用戶在此期間應特別提高警戒。 6．備份資料 對於重要的個人資料做好嚴密的保護，並養成資料備份的習慣。 參考 文獻 ： 1．《文件加密與數字簽名》 2．《網路常見攻擊技術與防範完全手冊》 3．《企業網路安全建設的一些心得》 4．《現行主要網路安全技術介紹》 5．《網路安全典型產品介紹》 6．《防火牆概念與訪問控制列表》 7．《賽迪網技術應用》 8．《網路攻擊概覽》 9．《加密技術的方方面面》

⑷ 對當前網路安全的認識和對策

最近幾年裡，網路攻擊技術和攻擊工具有了新的發展趨勢，使藉助Internet運行業務的機構面臨著前所未有的風險，本文將對網路攻擊的新動向進行分析，使讀者能夠認識、評估，並減小這些風險。

趨勢一：自動化程度和攻擊速度提高

攻擊工具的自動化水平不斷提高。自動攻擊一般涉及四個階段，在每個階段都出現了新變化。

掃描可能的受害者。自1997年起，廣泛的掃描變得司空見慣。目前，掃描工具利用更先進的掃描模式來改善掃描效果和提高掃描速度。

損害脆弱的系統。以前，安全漏洞只在廣泛的掃描完成後才被加以利用。而現在攻擊工具利用這些安全漏洞作為掃描活動的一部分，從而加快了攻擊的傳播速度。

傳播攻擊。在2000年之前，攻擊工具需要人來發動新一輪攻擊。目前，攻擊工具可以自己發動新一輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播，在不到18個小時內就達到全球飽和點。

攻擊工具的協調管理。隨著分布式攻擊工具的出現，攻擊者可以管理和協調分布在許多Internet系統上的大量已部署的攻擊工具。目前，分布式攻擊工具能夠更有效地發動拒絕服務攻擊，掃描潛在的受害者，危害存在安全隱患的系統。

趨勢二：攻擊工具越來越復雜

攻擊工具開發者正在利用更先進的技術武裝攻擊工具。與以前相比，攻擊工具的特徵更難發現，更難利用特徵進行檢測。攻擊工具具有三個特點：反偵破，攻擊者採用隱蔽攻擊工具特性的技術，這使安全專家分析新攻擊工具和了解新攻擊行為所耗費的時間增多；動態行為，早期的攻擊工具是以單一確定的順序執行攻擊步驟，今天的自動攻擊工具可以根據隨機選擇、預先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為；攻擊工具的成熟性，與早期的攻擊工具不同，目前攻擊工具可以通過升級或更換工具的一部分迅速變化，發動迅速變化的攻擊，且在每一次攻擊中會出現多種不同形態的攻擊工具。此外，攻擊工具越來越普遍地被開發為可在多種操作系統平台上執行。許多常見攻擊工具使用IRC或HTTP(超文本傳輸協議)等協議，從入侵者那裡向受攻擊的計算機發送數據或命令，使得人們將攻擊特性與正常、合法的網路傳輸流區別開變得越來越困難。

趨勢三：發現安全漏洞越來越快

新發現的安全漏洞每年都要增加一倍，管理人員不斷用最新的補丁修補這些漏洞，而且每年都會發現安全漏洞的新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標。

趨勢四：越來越高的防火牆滲透率

防火牆是人們用來防範入侵者的主要保護措施。但是越來越多的攻擊技術可以繞過防火牆，例如，IPP(Internet列印協議)和WebDAV(基於Web的分布式創作與翻譯)都可以被攻擊者利用來繞過防火牆。

趨勢五：越來越不對稱的威脅

Internet上的安全是相互依賴的。每個Internet系統遭受攻擊的可能性取決於連接到全球Internet上其他系統的安全狀態。由於攻擊技術的進步，一個攻擊者可以比較容易地利用分布式系統，對一個受害者發動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅的不對稱性將繼續增加。

趨勢六：對基礎設施將形成越來越大的威脅

基礎設施攻擊是大面積影響Internet關鍵組成部分的攻擊。由於用戶越來越多地依賴Internet完成日常業務，基礎設施攻擊引起人們越來越大的擔心。基礎設施面臨分布式拒絕服務攻擊、蠕蟲病毒、對Internet域名系統(DNS)的攻擊和對路由器攻擊或利用路由器的攻擊。

拒絕服務攻擊利用多個系統攻擊一個或多個受害系統，使受攻擊系統拒絕向其合法用戶提供服務。攻擊工具的自動化程度使得一個攻擊者可以安裝他們的工具並控制幾萬個受損害的系統發動攻擊。入侵者經常搜索已知包含大量具有高速連接的易受攻擊系統的地址塊，電纜數據機、DSL和大學地址塊越來越成為計劃安裝攻擊工具的入侵者的目標。由於Internet是由有限而可消耗的資源組成，並且Internet的安全性是高度相互依賴的，因此拒絕服務攻擊十分有效。

蠕蟲病毒是一種自我繁殖的惡意代碼。與需要用戶做某種事才能繼續繁殖的病毒不同，蠕蟲病毒可以自我繁殖。再加上它們可以利用大量安全漏洞，會使大量的系統在幾個小時內受到攻擊。一些蠕蟲病毒包括內置的拒絕服務攻擊載荷或Web站點損毀載荷，另一些蠕蟲病毒則具有動態配置功能。但是，這些蠕蟲病毒的最大影響力是，由於它們傳播時生成海量的掃描傳輸流，它們的傳播實際上在Internet上生成了拒絕攻擊，造成大量間接的破壞(這樣的例子包括：DSL路由器癱瘓；並非掃描本身造成的而是掃描引發的基礎網路管理(ARP)傳輸流激增造成的電纜調制解制器ISP網路全面超載)。

DNS是一種將名字翻譯為數字IP地址的分布式分級全球目錄。這種目錄結構最上面的兩層對於Internet運行至關重要。在頂層中有13個「根」名伺服器。下一層為頂級域名(TLD)伺服器，這些伺服器負責管理「.com」、「.net」等域名以及國家代碼頂級域名。DNS面臨的威脅包括：緩存區中毒，如果使DNS緩存偽造信息的話，攻擊者可以改變發向合法站點的傳輸流方向，使它傳送到攻擊者控制的站點上；破壞數據，攻擊者攻擊脆弱的DNS伺服器，獲得修改提供給用戶的數據的能力；拒絕服務，對某些TLD域名伺服器的大規模拒絕服務攻擊會造成Internet速度普遍下降或停止運行；域劫持，通過利用客戶升級自己的域注冊信息所使用的不安全機制，攻擊者可以接管域注冊過程來控制合法的域。

路由器是一種指揮Internet上傳輸流方向的專用計算機。路由器面臨的威脅有：將路由器作為攻擊平台，入侵者利用不安全的路由器作為生成對其他站點的掃描或偵察的平台；拒絕服務，盡管路由器在設計上可以傳送大量的傳輸流，但是它常常不能處理傳送給它的同樣數量的傳輸流，入侵者利用這種特性攻擊連接到網路上的路由器，而不是直接攻擊網路上的系統；利用路由器之間的信賴關系，路由器若要完成任務，就必須知道向哪裡發送接收到的傳輸流，路由器通過共享它們之間的路由信息來做到這點，而這要求路由器信賴其收到的來自其他路由器的信息，因此攻擊者可以比較容易地修改、刪除全球Internet路由表或將路由輸入到全球Internet路由表中，將發送到一個網路的傳輸流改向傳送到另一個網路，從而造成對兩個網路的拒絕服務攻擊。盡管路由器保護技術早已可供廣泛使用，但是許多用戶沒有利用路由器提供的加密和認證特性來保護自己的安全。

⑸ 目前計算機網路狀況以及有哪些威脅及解決辦法

1無線網路存在的安全威脅

無線網路一般受到的攻擊可分為兩類：一類是關於網路訪問控制、數據機密性保護和數據完整性保護而進行的攻擊；另一類是基於無線通信網路設計、部署和維護的獨特方式而進行的攻擊。對於第一類攻擊在有線網路的環境下也會發生。可見，無線網路的安全性是在傳統有線網路的基礎上增加了新的安全性威脅。

1.1有線等價保密機制的弱點
IEEE(，電氣與電子工程師學會)制定的802.11標准中，引入WEP(WiredEquivalentPrivacy，有線保密)機制，目的是提供與有線網路中功能等效的安全措施，防止出現無線網路用戶偶然竊聽的情況出現。然而，WEP最終還是被發現了存在許多的弱點。
(1)加密演算法過於簡單。WEP中的IV(InitializationVector，初始化向量)由於位數太短和初始化復位設計，常常出現重復使用現象，易於被他人破解密鑰。而對用於進行流加密的RC4演算法，在其頭256個位元組數據中的密鑰存在弱點，容易被黑客攻破。此外，用於對明文進行完整性校驗的CRC(CyclicRendancyCheck，循環冗餘校驗)只能確保數據正確傳輸，並不能保證其是否被修改，因而也不是安全的校驗碼。
(2)密鑰管理復雜。802.11標准指出，WEP使用的密鑰需要接受一個外部密鑰管理系統的控制。網路的部署者可以通過外部管理系統控制方式減少IV的沖突數量，使無線網路難以被攻破。但由於這種方式的過程非常復雜，且需要手工進行操作，所以很多網路的部署者為了方便，使用預設的WEP密鑰，從而使黑客對破解密鑰的難度大大減少。
(3)用戶安全意識不強。許多用戶安全意識淡薄，沒有改變預設的配置選項，而預設的加密設置都是比較簡單或脆弱的，經不起黑客的攻擊。

1.2進行搜索攻擊
進行搜索也是攻擊無線網路的一種方法，現在有很多針對無線網路識別與攻擊的技術和軟體。NetStumbler軟體是第一個被廣泛用來發現無線網路的軟體。很多無線網路是不使用加密功能的，或即使加密功能是處於活動狀態，如果沒有關閉AP(wirelessAccessPoint，無線基站)廣播信息功能，AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息，如網路名稱、SSID(SecureSetIdentifier，安全集標識符)等可給黑客提供入侵的條件。

1.3信息泄露威脅
泄露威脅包括竊聽、截取和監聽。竊聽是指偷聽流經網路的計算機通信的電子形式，它是以被動和無法覺察的方式入侵檢測設備的。即使網路不對外廣播網路信息，只要能夠發現任何明文信息，攻擊者仍然可以使用一些網路工具，如AiroPeek和TCPDump來監聽和分析通信量，從而識別出可以破解的信息。

1.4無線網路身份驗證欺騙
欺騙這種攻擊手段是通過騙過網路設備，使得它們錯誤地認為來自它們的連接是網路中一個合法的和經過同意的機器發出的。達到欺騙的目的，最簡單的方法是重新定義無線網路或網卡的MAC地址。
由於TCP/IP(TransmissionControlProtocol/InternetProtocol，傳輸控制協議/網際協議)的設計原因，幾乎無法防止MAC/IP地址欺騙。只有通過靜態定義MAC地址表才能防止這種類型的攻擊。但是，因為巨大的管理負擔，這種方案很少被採用。只有通過智能事件記錄和監控日誌才可以對付已經出現過的欺騙。當試圖連接到網路上的時候，簡單地通過讓另外一個節點重新向AP提交身份驗證請求就可以很容易地欺騙無線網身份驗證。

1.5網路接管與篡改
同樣因為TCP/IP設計的原因，某些欺騙技術可供攻擊者接管為無線網上其他資源建立的網路連接。如果攻擊者接管了某個AP，那麼所有來自無線網的通信量都會傳到攻擊者的機器上，包括其他用戶試圖訪問合法網路主機時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網或無線網進行遠程訪問，而且這種攻擊通常不會引起用戶的懷疑，用戶通常是在毫無防範的情況下輸人自己的身份驗證信息，甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之後，仍像是看待自己機器上的錯誤一樣看待它們，這讓攻擊者可以繼續接管連接，而不容易被別人發現。

1.6拒絕服務攻擊
無線信號傳輸的特性和專門使用擴頻技術，使得無線網路特別容易受到DoS(DenialofService，拒絕服務)攻擊的威脅。拒絕服務是指攻擊者惡意佔用主機或網路幾乎所有的資源，使得合法用戶無法獲得這些資源。黑客要造成這類的攻擊：①通過讓不同的設備使用相同的頻率，從而造成無線頻譜內出現沖突；②攻擊者發送大量非法(或合法)的身份驗證請求；③如果攻擊者接管AP，並且不把通信量傳遞到恰當的目的地，那麼所有的網路用戶都將無法使用網路。無線攻擊者可以利用高性能的方向性天線，從很遠的地方攻擊無線網。已經獲得有線網訪問權的攻擊者，可以通過發送多達無線AP無法處理的通信量進行攻擊。

1.7用戶設備安全威脅
由於IEEE802.11標准規定WEP加密給用戶分配是一個靜態密鑰，因此只要得到了一塊無線網網卡，攻擊者就可以擁有一個無線網使用的合法MAC地址。也就是說，如果終端用戶的筆記本電腦被盜或丟失，其丟失的不僅僅是電腦本身，還包括設備上的身份驗證信息，如網路的SSID及密鑰。

2無線網路採用的安全技術

採用安全技術是消除無線網路安全威脅的一種有效對策。無線網路的安全技術主要有七種。

2.1擴展頻譜技術
擴頻技術是用來進行數據保密傳輸，提供通訊安全的一種技術。擴展頻譜發送器用一個非常弱的功率信號在一個很寬的頻率范圍內發射出去，與窄帶射頻相反，它將所有的能量集中到一個單一的頻點。
一些無線區域網產品在ISM波段為2.4～2.483GHz范圍內傳輸信號，在這個范圍內可以得到79個隔離的不同通道，無線信號被發送到成為隨機序列排列的每一個通道上(例如通道1、18、47、22……)。無線電波每秒鍾變換頻率許多次，將無線信號按順序發送到每一個通道上，並在每一通道上停留固定的時間，在轉換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案，系統外的站點要接收和解碼數據幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數量可以使相鄰的不相交的幾個無線網路之間沒有相互干擾，因而不用擔心網路上的數據被其他用戶截獲。

2.2用戶密碼驗證
為了安全，用戶可以在無線網路的適配器端使用網路密碼控制。這與WindowsNT提供的密碼管理功能類似。由於無線網路支持使用筆記本或其他移動設備的漫遊用戶，所以嚴格的密碼策略等於增加一個安全級別，這有助於確保工作站只被授權用戶使用。

2.3數據加密
數據加密技術的核心是藉助於硬體或軟體，在數據包被發送之前就加密，只有擁有正確密鑰的工作站才能解密並讀出數據。此技術常用在對數據的安全性要求較高的系統中，例如商業用或軍用的網路，能有效地起到保密作用。
此外，如果要求整體的安全保障，比較好的解決辦法也是加密。這種解決方案通常包括在有線網路操作系統中或無線區域網設備的硬體或軟體的可選件中，由製造商提供，另外還可選擇低價格的第三方產品，為用戶提供最好的性能、服務質量和技術支持。

2.4WEP配置
WEP是IEEE802.11b協議中最基本的無線安全加密措施，其主要用途包括提供接入控制及防止未授權用戶訪問網路；對數據進行加密，防止數據被攻擊者竊聽；防止數據被攻擊者中途惡意篡改或偽造。此外，WEP還提供認證功能。

⑹ 企業級網路安全威脅分析及安安全策略制定

企業級網路安全威脅分析及安安全策略制定 近年來，互聯網技術飛速發展，極大的方便了人們的溝通交流。但是黑客、病毒的存在也給企業網路安全敲響警鍾。本文對企業級網路安全的威脅源頭進行分析，並針對各個源頭提出對應的應對策略。
一、企業的網路安全現狀 據統計，我國現有企業的網路安全現狀是不容樂觀的，其主要表現在以下幾個方面： 信息和網路的安全防護能力差； 網路安全人才缺乏； 企業員工對網路的安全保密意識淡薄，企業領導對網路安全方面不夠重視等。一部分企業認為添加了各種安全產品之後，該網路就已經安全了，企業領導基本上就是只注重直接的經濟利益回報的投資項目，對網路安全這個看不見實際回饋的資金投入大部分都採取不積極的態度，其中起主導作用的因素還有就是企業缺少專門的技術人員和專業指導，導致我國目前企業的網路安全建設普遍處於不容樂觀的狀況。
二、網路安全常見威脅
1、計算機病毒 計算機病毒指在計算機程序中插入的破壞計算機功能和數據、影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼。具有寄生性、傳染性、隱蔽性等特點。常見的破壞性比較強的病毒經常表現為：藍屏、機卡、CPU、自動重啟使用率高、打不開殺毒軟體等，並且在短時間內傳播從而導致大量的計算機系統癱瘓，對企業或者個人造成重大的經濟損失。
2、非授權訪問 指利用編寫和調試計算機程序侵入到他方內部網或專用網，獲得非法或未授權的網路或文件訪問的行為。如有意避開系統訪問控制機制，對網路設備及資源進行非正常使用，或擅自擴大許可權，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。
3、木馬程序和後門 木馬程序和後門是一種可以通過遠程式控制制別人計算機的程序，具有隱蔽性和非授權性的特點。企業的某台計算機被安裝了木馬程序或後門後，該程序可能會竊取用戶信息，包括用戶輸入的各種密碼，並將這些信息發送出去，或者使得黑客可以通過網路遠程操控這台計算機，竊取計算機中的用戶信息和文件，更為嚴重的是通過該台計算機操控整個企業的網路系統，使整個網路系統都暴露在黑客間諜的眼前。
三、網路的安全策略
1、更改系統管理員的賬戶名 應將系統管理員的賬戶名由原先的Administrator改為一個無意義的字元串.這樣要疊錄的非法用戶不但要猜准口令。還必須猜出用戶名.這種更名功能在域用戶管理器的User Properties對話框中並沒有設置.用它的User-*-Rename菜單選項就可以實現這一功能.如果用的是NT
4.0.可以用Resource Kit中提供的工具封鎖聯機系統管理員賬號.這種封鎖僅僅對由網路過來的非法疊錄起作用.
2、關閉不必要的向內TCP/IP埠 非法用戶進入系統並得到管理員許可權之後.首先要做的，必定設法恢復管理員刻意廢止的TCP/IP上的NetBIOS裝訂.管理員應該使用路由器作為另一道防線。即提供web和FTP之類公共服務的NT伺服器.這種情況下，只須保留兩條路由器到伺服器的向內路徑：端日80的H1vrP和端日2l的FTP.
3、防火牆配置 防火牆是在2個網路間實現訪問控制的1個或1組軟體或硬體系統，它是外部網路與內部網路之間的第1道安全屏障。本建設方案主要採用硬體防火牆，其主要功能就是屏蔽和允許指定的數據通訊，而這個功能的實現又主要是依靠一套訪問控制策略，由訪問控制策略來決定通訊的合法性，該控制策略的具體內容由企業的安全管理員和系統管理員共同來制定。 制定的防火牆安全策略主要有： 所有從內到外和從外到內的數據包都必須經過防火牆； 只有被安全策略允許的數據包才能通過防火牆； 伺服器本身不能直接訪問互聯網； 防火牆本身要有預防入侵的功能； 默認禁止所有服務，除非是必須的服務才允許。而其他一些應用系統需要開放特殊的埠由系統管理員來執行。
4、VLAN 的劃分 VLAN 是為解決乙太網的廣播問題和安全性而提出的一種協議。VLAN 之間的訪問需要通過應用系統的授權來進行數據交互。為保護敏感資源和控制廣播風暴，在3 層路由交換機的集中式網路環境下，將網路中的所有客戶主機和伺服器系統分別集中到不同的VLAN 里，在每個VLAN 里不允許任何用戶設置IP、用戶主機和伺服器之間相互PING，不允許用戶主機對伺服器的數據進行編_，只允許數據訪問，從而較好地保護敏感的主機資源和伺服器系統的數據。採用3 層交換機，通過VLAN 劃分，來實現同一部門在同一個VLAN 中，這樣既方便同部門的數據交換，又限制了不同部門之間用戶的直接訪問。
5、身份認證 身份認證是提高網路安全的主要措施之一。其主要目的是證實被認證對象是否屬實，常被用於通信雙方相互確認身份，以保證通信的安全。常用的網路身份認證技術有： 靜態密碼、USB Key 和動態口令、智能卡牌等。其中，最常見的使用是用戶名加靜態密碼的方式。而在本方案中主要採用USB Key的方式。基於USB Key 的身份認證方式採用軟硬體相結合，很好地解決了安全性與易用性之間的矛盾，利用USB Key 內置的密碼演算法實現對用戶身份的認證。USB Key 身份認證系統主要有2 種應用模式： 一是基於沖擊、響應的認證模式； 二是基於PKI 體系的認證模式。
6、制訂網路系統的應急計劃 為了將由意外事故引起的網路系統損害降低到最小程度，企業應制訂應急計劃.以防意外事故使網路系統遭受破壞.該應急計劃應包括緊急行動方案及軟、硬體系統恢復方案等.絕對的安全是沒有的，安全標準的追求是以資金和方便為代價的.我們應隨時根據網路系統的運行環境而採用相應的安全保護策略.通過對計算機網路系統安全問題的充分認識.以及行政、技術和物質手段的保證。網路系統就能夠有足夠的安全性來對付各種不安全問題. 結語 如何確保計算機網路信息的安全是每一個網路系統的設計者和管理者都極為關心的熱點，當然，也是企業關心的重點。一個全方位的安全方案是非常難以實現的，只有在企業領導的支持下，在技術人員和管理人員的努力下，結合企業的實際情況，制定出相應的解決措施，才是符合本企業的安全方案。本文主要討論了計算機網路的安全的幾種不同的威脅，給出了相應安全策略以及相應的安全產品，提出了計算機網路系統實施建設的基本方案。
來源：時代財富

⑺ 如何應對網路安全的挑戰

以電子商務為重點的互聯網經濟正在受到網路安全的嚴重挑戰。
由於互聯網的普及，以及電子商務的高速發展，用戶的消費習慣漸漸從線下轉移到線上，網路購物、網上支付等已經成為很多網友生活中不可或缺的部分。
伴隨而來的網路安全等問題也日益凸顯，在2012年3·15投訴量排行榜中網路購物投訴最多。一系列釣魚網站、網購木馬、手機病毒等泛濫，網路信息安全問題成為互聯網的重災區。
網路身份安全形勢嚴峻
互聯網在中國的發展，已成爆發之勢，網站和網民數量都呈現幾何數增長。其它應用如電子商務方面也異軍突起，僅支付寶在今年「光棍節」一天交易額就達到191億元。
但與此同時，網路空間的安全形勢也日益嚴峻。一方面，伴隨著電子商務的快速發展，仿冒金融機構、大型購物網站的網路釣魚猛增；另一方面，網站被掛馬、被篡改和被入侵等事件頻繁發生。有數據顯示，截至2012年11月中國反釣魚網站聯盟認定的釣魚網站達到2.4萬多個，我國商業類、政府類網站被掛馬和被篡改數量也非常多。這些違法犯罪活動造成的損失也非常嚴重。
公開數據顯示，過去一年，網路犯罪使全球個人用戶蒙受直接經濟損失1100億美元，在中國過去一年中，估計網路犯罪的受害人數超過2.57億人，直接經濟損失2890億元。
據奇虎360副總裁石曉虹透露，根據360安全中心發布的《2012上半年中國互聯網安全報告》顯示，2012年上半年，360安全中心共截獲新增釣魚網站350149家，已經達到去年全年截獲新增釣魚網站總量的75%，攔截釣魚網站訪問量更是高達21.7億次，比去年全年攔截量還高2000萬。從2012年各月的統計數據看，釣魚網站已經超過掛馬網站，其中身份欺詐是釣魚網站最突出的特徵。
網路犯罪的招數也在不斷升級。
國務院發展研究中心國際技術經濟研究院陳寶國博士指出，由於跨境黑客攻擊和新產品、新技術、新應用的出現，我國信息安全正面臨著新的挑戰和威脅。
他認為，在當前階段互聯網的威脅特徵主要有四個：一、釣魚網站取代木馬，成為主要手段。釣魚網站仿造銀行網站、搜索網站等獲取用戶關注，從而獲取用戶信息；二、網購木馬呈現增長趨勢。隨著電子商務數量的增長，網購木馬也增多，有的木馬甚至會仿造網上銀行的安全控制項的形式要求用戶安裝從而盜取用戶銀行賬戶的資金；三、電腦病毒製造者向智能手機安卓系統平台轉移。安卓平台是開放的平台，安卓手機用戶可以在網路上任意下載，也由於手機存在大量用戶隱私信息，更容易成為病毒製造者的目標；四、社會化媒體成為詐騙傳播新寵。社交媒體如SNS網站等由於是真實身份交友網站，方便網路詐騙者向熟人開刀。
網路信息安全難以治理
有業內人士認為，網路信息安全問題是互聯網時代的一塊頑疾，也是影響互聯網經濟進一步發展的重要障礙。在治理上出現的新挑戰不斷涌現，行政監管難、法律體系不完備等硬傷非常明顯。而且在以智能手機為代表的智能終端更加普及、我國互聯網經濟短期大發展的背景下，網路信息安全形勢更加嚴峻。
隨著移動3G網路的發展和普及，平板手機和平板電腦技術的不斷改善，網路終端開始由單一的PC終端向手機終端和平板終端轉移。用戶可以隨時隨地上網，這種趨勢不僅拓展了用戶使用網路的空間，還增加了用戶使用網路的時間。
在陳寶國看來，智能終端的發展也伴隨著一系列問題的產生，比如行動電話竊聽、移動應用攜帶惡意廣告等。網路安全問題不僅僅存在於電腦，也延伸到手機方面。
據統計，我國網站數量超過250萬個，網民數量已經達到5.38億。除了數量龐大，還因為互聯網的樹狀信息傳播模式，海量的信息在網路上任意傳播，互聯網領域也涉及到金融、海關、能源等方面，行政監管無法深入到網路的每個角落，也無法做到有效遏制計算機病毒、網路攻擊、垃圾郵件、系統漏洞、網路竊密、虛假有害信息和網路違法犯罪等問題。
中國電子商務調解中心主任梅敏認為，我國的互聯網發展只有幾十年的歷史，新興犯罪技巧和犯罪方法不斷涌現，在治理互聯網犯罪方面法律還存在著較大空白。當用戶權利受到侵害時，由於網上交易的虛擬性，沒有實質性的證據和證人，給公安機關的立案和司法機關的審判都帶來了很大的難度。用戶權利雖然受到侵害，苦於沒有清晰的法律界定和充足的證據，也只能不了了之。
維護網路安全要多措並舉
為了有效杜絕一些網路欺詐問題，12月20日，中國電子認證服務產業聯盟工作年會暨網站可信任服務試點啟動。工信部信息安全協調司副司長歐陽武表示，組織認證產業聯盟，著手網站可信驗證准備，旨在打造統一權威的網站可信標識，通過必要的技術手段防止網站可信標識的冒用。
網站認證是指第三方權威機構如CA機構對互聯網網站進行的網站身份及相關信息認證。根據認證內容及認證方式的不同，網站認證分為官網認證、安全認證、資質認證、行業認證等等，認證目標為向最終用戶展示網站經過權威機構認證，具有相應認證資質，以提高用戶對網站的信用感。
據工業和信息化部信息安全協調司副司長歐陽武介紹，目前已經有多家機構開展了可信網站、誠信網站等認證活動，覆蓋了全國約13%的網站。但是總體來講，網站可信認證服務市場還比較混亂，認證方法沒有統一的標准和規范，有些認證服務無法保證其認證結果的可靠性，如郭美美的紅十字會的身份，網民面對各式各樣的認證標識無所適從。因此，需要有國家權威部門站出來，統一組織協調網路可信認證相關工作。
不過，一些業內人士強調，實行網站權威認證僅是一個措施，正像產品質量認證一樣，有認證，並不能解決市場上的假冒偽劣，還需要法律的完備、監管的科學到位及處罰力度的加大等等。對於網路安全也一樣，國家和相關部門必須制定和完善相應法律法規，採取更加嚴厲的措施打擊網路違法犯罪行為，這樣才能更好地保護我國網民的信息和我國互聯網經濟的發展。

⑻ 新形勢下我國網路安全面臨的挑戰有哪些

一是個人數據及企業數據的泄露。
二是基礎設施面臨的安全挑戰。
三是信息服務部門可能會遭受網路攻擊。
四是網路話語權的博弈也是挑戰。
另外，人們意識的不足，核心技術的缺失等，也是很大的挑戰。