网络安全工程范文

网络安全工程范文第1篇

【关键词】事业单位；计算机网络；安全工程

中图分类号：TP39文献标识码A文章编号1006-0278（2015）07-159-01

计算机网络在事业单位的应用，能够有效提高工作效率，实现资源高度共享，为群众提供更好的服务。但是在计算机网络不断发展过程中，也出现了各种各样的网络问题，对人们生产生活产生了严重影响。事业单位计算机网络属于是一个服务型网络，实现了单位内外网的连接，再加上为民众提供相应的服务，因此进一步提高了事业单位计算机网络安全风险发生率，因此必须要构建事业单位计算机网络安全工程，以此提高其网络安全。

一、计算机网络安全现状

我国互联网发展迅速，互联网用户人数全球首位，但是有关互联网安全的法律法规还处于空白状态，用户的网络操作没有限制，网络环境复杂，存在极大的安全隐患。从目前状况来看我国事业单位网络安全状况有以下几个特点：1.网络安全意识淡薄。许多事业单位对网络安全的重视力度有限，没有严格的全面的网络安全管理条例，管理存在漏洞。2.安全防范基础薄弱。硬件方面，很多事业单位没有硬件防护措施，只简单地依靠软件防护；软件方面，国内的防护软件多是面向个人用户的，面向事业单位的不太多，功能有限，不能满足需要。3.专业人才缺乏。我国网络安全管理发展较晚，人才严重缺乏，有些事业单位内部没有专业网络安全管理人才，多由网络承建商参与维护，十分被动。

二、事业单位计算机网络安全工程建设

（一）以预防性维护理论指导事业单位的计算机网络安全维护

随着近年来计算机网络系统应用研究的不断发展，计算机网络系统维护整以预防性维护理论作为主要发展方向，以此实现计算机网络系统的安全，提高计算机网络管理系统的使用效率。在现代事业单位的计算机网络管理系统维护中，网络维护部门应积极引入预防性维护理论。通过提前预防的方式提高系统的稳定性、提高系统的使用效率。根据这一理论，现代事业单位计算机网络管理系统的维护中应注重补丁与杀毒软件的升级，以此实现单机防御能力的提高。同时还应注重对内部网络系统的维护，避免内网IP冲突等造成的问题。针对计算机使用过程中可能发生的问题，网络管理与维护部门还有责任加强对使用人员的培训，以此减少网络系统故障的发生。通过预防性理论的应用避免事业单位计算机网络管理系统故障的发生，实现高效、便捷的网络应用环境建立。

（二）注重网络线路的维护，预防计算机网络管理系统故障

计算机网络系统在使用过程中需要连接很多线路，这些线路直接影响着网络系统的正常使用，所以在现代事业单位计算机网络管理系统维护中，网络线路、双绞线的维护是维护工作的重点。在事业单位计算机网络管理体系统建立过程中，常会由于对后期使用、办公场地移动分析不足，造成计算机网络线路外露。而外露双绞线极易受到多种因素影响而发生断路。例如：卫生清扫中对线路的碰撞、桌椅等碾压线路造成断裂，过多的踩踏等等。因此，在事业单位计算机网络管理系统维护工作中，应针对外露线路进行科学的布线。要尽量减少线路外露的情况，使线路尽量固定在墙壁、墙角等部位，减少磕碰、移动的几率，减少线路故障的发生。这样才能更好的保证计算机网络管理系统的正常运行。

（三）加强访问控制

1.入网访问权限控制

入网访问权限最基本的权限，它决定向哪些用户分配合法的网络访问权限，使该用户能够登录服务器并访问网络资源，控制合法用户访问的时间和访问入口。事业单位可以根据用户的申请和用户实际情况，为用户分配入网访问权限，既能满足用户的生产生活需要，也能保证网络正常运行，信息不会泄露。

2.网络操作权限控制

网络操作权限控制是为了有效限制用户非法操作而采取的一种措施。网络操作权限控制主要是用以指定用户或用户群享有可以操作文件目录和子目录的权限。它允许管理员为用户或用户群分配合法的操作权限，授予网络用户或用户群相应的操作权限和访问的资源权限。

3.目录级安全控制

网络允许合法授权用户对目录、文件、设备的访问。网络管理员可以为不同的用户群指定不同的目录控制权限，如为普通用户授予查看权限，为事业单位内部员工授予修改权限等，以加强网络安全管理。

4.属性安全控制

属性安全控制是将特定的属性与网络服务器的文件、目录和网络设备等对应起来，保护网络服务器的文件、目录和网络设备不被随意更改。当用户使用文件、目录和网络设备时，管理员可用为网络服务器的文件、目录和网络设备指定相应的属性，让用户既能合法使用，又不会损坏网络服务器的文件、目录和网络设备。

三、结语

随着科学技术的快速发展，计算机网络系统在社会的各个行业中都得到了广泛的使用。而事业单位要想跟上时展的步伐就要建立起完善的计算机网络管理系统。但是在建立过程中我们也要重视对系统的维护。综上所述，事业单位计算机网络管理系统是现代行政办公等工作中的重要组成部分。为了减少和避免计算机网络管理系统故障对工作的影响，事业单位计算机网络管理维护应以预防性维护理念开展网络管理系统的维护工作，实现计算机网络管理系统应用的根本目的。这样才能更好的促进事业单位的发展。

参考文献：

[1]符览译.浅析事业单位计算机网络管理系统的维护[J].中国外资，2011（4）：122.

网络安全工程范文第2篇

关键词：网络工程；安全防护技术；防护网；云技术

随着计算机技术、互联网技术的发展，网络已经成为社会经济生活中必不可少的部分。同时，我们也看到网络安全问题成为社会安全问题中的重大隐患。个人隐私、企业商业机密、国家安全信息等等都需要有强大的网络安全防护系统保障信息的安全。近年来发生越来越多的网上银行信息被盗用、资金被盗取的事件，暴露出了国内网络工程的安全防护技术还存在一些问题。重视网络安全技术的研究将是非常必要和有意义的。

1 网络工程的安全现状

网络工程的安全现状不容乐观。重视网络工程中出现的安全问题对做好相关工作有重要作用。

1.1 黑客攻击是网络安全的重大隐患

黑客是网络诞生后诞生的一个新名词。黑客是一群有着专业技术过硬的计算机人才，但这些人却专门利用网络系统的漏洞盗取资料或攻击破坏目标网络。黑客的攻击是网络系统重大的安全隐患。有目的性的进攻可以使整个网络系统瘫痪，破坏计算机系统，盗取重要的机密性资料。黑客攻击是一项高技术性的网络攻击活动，对网络工程安全系统提出了非常高的技术要求。

1.2 病毒入侵是网络安全中的重要隐患之一

病毒入侵是当前非常常见的网络安全隐患。计算机病毒也是伴随计算机软件技术发展的产物。病毒编制者通过编写特定的软件程序，将其植入到指定计算机中，改变计算机原有程序，使计算机执行病毒编写者的操作指令，到达对计算机系统的破坏、信息盗取等目的。计算机病毒破坏性大，而且传播性也较大，一旦一台计算机感染，整个局域网内的计算机都有可能被入侵。例如：木马、震网、火焰等病毒。

1.3 垃圾信息的大量传播

网络技术的发展带动了信息的传播和发展，我们在享受网络技术带来的巨大信息冲浪的同时，大量的垃圾信息也通过网络得以传播，对社会造成了恶劣的影响。除了传统的垃圾邮件的方式传播外，各种社交工具、论坛等也成为了垃圾信息传播的主要场所。一些别有用心的人利用网络造谣生事，宣传负面社会信息，危害青少年成长，影响社会稳定。

2 做好网络工程安全防护技术的策略

面对网络工程中暴露出的越来越多的安全问题，积极重要应对措施是非常必要的。网络工程中的安全防护技术是网络系统的天然屏障，只有不断提高网络安全防护技术的水平才能有效实现网络的安全运行。

2.1 重视基础网络安全系统的建立

由于缺乏对网络安全问题的认识和重视，一些单位和企业在网络安全方面的投入非常少，没有建立完善的基础网络安全系统，为网络安全埋下巨大隐患。基础网络安全系统包括：防火墙、病毒入侵检测、杀毒软件、邮件过滤、数据加密等等。基础网络网络系统的建立就是网络工程一道有效的盾牌，可以有效预防黑客攻击、病毒入侵、垃圾邮件传播以及重要信息被盗取。重视基础网络安全系统建设的投入，积极推动基础网络系统的建立。由于网络安全隐患是在随时发展和变化的，对于已经建立了基础网络安全系统的计算机，重视安全系统的升级和日常维护是非常重要的措施。

2.2 重视网络安全重要性的宣传，引起社会大众对网络安全问题的重视

国内社会使用电脑办公的人越来越多，但对网络安全有足够认识的人并不多。由于缺乏对网络安全的重视，许多的个人电脑成为病毒传播的重要途径。重视网络安全工程的宣传，通过科技短片的形式帮助广大群众认识到网络安全的主要隐患，重视个人信息保密，在个人电脑上安装杀毒软件和防火墙，预防可疑软件在电脑中运行。人是网络技术的创造者，相信人也是网络安全工程中最重要的参与者。发挥网民对网络安全的举报作用，及时及早的发现网络中存在的安全隐患，还可以及时发现网络中一些非法信息传播的网站，及时予以取缔，保障网络世界的信息澄明。

2.3 大力发展云计算机网络安全技术

云计算机技术是近几年发展的新技术，在信息传播处理方面发挥了重要作用。云计算机技术弥补了用户在网络安全技术方面的薄弱，通过强大的云技术用户能有效识别访问信息的安全性，还能有效保障个人数据的安全。大力发展云计算机技术是非常有效的网络安全防护技术。通过云技术实现网络数据访问权限控制、网络信息存储的保密性控制、数据网络传输的保密性控制。云计算机技术的发展对提高整个网络系统的安全性有非常重要的意义。

3 结束语

网络工程安全将在社会中扮演越来越重要的角色，重视相关技术的发展和知识普及对提高整个社会的网络安全意识是非常有用的。保障网络工程安全就是保障信息安全、保障社会活动安全有序进行。网络安全工程不仅仅是网络安全工程师的责任，也是我们每个网络系统使用者的责任。

[参考文献]

[1]毕妍.关于网络工程中的安全防护技术的思考[J].电脑知识与技术，2013.

[2]宁丽莎.浅谈计算机机房的确管理与维护[J].信息科技，2008.

网络安全工程范文第3篇

前几天，记者出去吃饭的时候，偶遇了传说中的“共享充电宝”。这也是继共享单车、共享汽车、共享篮球、共享雨伞、共享KTV之后，“共享”家族的又一新成员 。

最近几天，手机朋友圈里也有不少人在讨论这个“共享”家族新成员，它像共享单车一样，用户通过手机支付，便可定点获取一_充电宝。然而，最近有记者在跟朋友聊天时却发现，这东西的安全性实在难以保障。

“加料”充电宝接管手机

早在出现共享充电宝之前，很多网友已经在担心使用借来的充电宝，数据是否会泄露、账户是否安全等问题。

据一位业内技术人员表示，这是完全可能的，当充电的时候，木马程序就可能已经进入手机后台，即便拔掉充电宝，手机仍然处于被接管状态。

曾有网络安全工程师做过一个试验：先将一部安卓手机和一台“加料”充电宝连接起来。这时，通过电脑就可以控制这部手机进行操作了。包括直接进入支付宝付款二维码的页面，即使不知道用户的密码，也能够把里面的钱“偷”走。

此外，不论是短信、通讯录还是通话记录，网络安全工程师都能够通过电脑随意打开，甚至可以遥控手机拨打电话。哪怕此时断开手机和充电宝的连接，劫持也不会中断。因为在手机插上充电宝的一瞬间，劫持就已经完成了。

微型芯片藏身充电宝

这个“加料”的充电宝，里面究竟有什么呢？

正常充电宝中没有的“树莓派”微型芯片，就是劫持手机的关键。当手机连接上“加料”充电宝的瞬间，也意味着连接上了“树莓派”，通过小小的“树莓派”，手机就可以被远程操控了。

据了解，“树莓派”是一种常见的微型电脑芯片，在网络购物平台搜索“树莓派”，发现大量出售“树莓派”的网店，价格在从10～500元不等。一家名为“树莓派全国总代店”的网店客服说，买家需自主开发编程，将“树莓派”植入充电宝中，就能实现对手机远程控制。

网络安全工程师指出，不法分子可以在共享充电宝中植入类似芯片，通过技术手段很轻易就能“偷”走手机里的钱。

安全漏洞风险高应提高警惕

网络安全工程师说，安卓系统的手机在打开接口时，都有“开启开发者选项”的提示，手机用户千万不能点击确定。有时，黑客还能用技术手段将该提示进行伪装，例如“点击确认充电”或者“点击确认软件更新”等等，此时用户更加应该提高警惕。

《中国质量万里行》提醒广大手机用户：手机在使用充电宝时，如屏幕出现要求用户点击“同意”、“确定”、“接受”等弹框，就说明该充电宝可能有问题，切勿点击带有允许描述的按钮，一定要点击“拒绝”、“取消”等选项。

网络安全工程范文第4篇

目前，许多企事业单位的业务依赖于信息系统安全运行，信息安全重要性日益凸显。信息已经成为各企事业单位中的重要资源，也是一种重要的“无形财富”，分析当前的信息安全问题，有十五个典型的信息安全问题急需解决。

1 网络共享与恶意代码防控

网络共享方便了不同用户、不同部门、不同单位等之间的信息交换，但是，恶意代码利用信息共享、网络环境扩散等漏洞，影响越来越大。如果对恶意信息交换不加限制，将导致网络的QoS下降，甚至系统瘫痪不可用。

2 信息化建设超速与安全规范不协调

网络安全建设缺乏规范操作，常常采取“亡羊补牢”之策，导致信息安全共享难度递增，也留下安全隐患。

3 信息产品国外引进与安全自主控制

国内信息化技术严重依赖国外，从硬件到软件都不同程度地受制于人。目前, 国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中,但是这些软件或多或少存在一些安全漏洞，使得恶意攻击者有机可乘。目前，我们国家的大型网络信息系统许多关键信息产品长期依赖于国外，一旦出现特殊情况，后果就不堪设想。

4 IT产品单一性和大规模攻击问题

信息系统中软硬件产品单一性，如同一版本的操作系统、同一版本的数据库软件等，这样一来攻击者可以通过软件编程，实现攻击过程的自动化，从而常导致大规模网络安全事件的发生，例如网络蠕虫、计算机病毒、“零日”攻击等安全事件。

5 IT产品类型繁多和安全管理滞后矛盾

目前，信息系统部署了众多的IT产品，包括操作系统、数据库平台、应用系统。但是不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之间安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。

6 IT系统复杂性和漏洞管理

多协议、多系统、多应用、多用户组成的网络环境，复杂性高，存在难以避免的安全漏洞。据SecurityFocus公司的漏洞统计数据表明，绝大部分操作系统存在安全漏洞。由于管理、软件工程难度等问题，新的漏洞不断地引入到网络环境中，所有这些漏洞都将可能成为攻击切入点，攻击者可以利用这些漏洞入侵系统，窃取信息。1998年2月份，黑客利用Solar Sunrise漏洞入侵美国国防部网络，受害的计算机数超过500台，而攻击者只是采用了中等复杂工具。当前安全漏洞时刻威胁着网络信息系统的安全。

为了解决来自漏洞的攻击，一般通过打补丁的方式来增强系统安全。但是，由于系统运行不可间断性及漏洞修补风险不可确定性，即使发现网络系统存在安全漏洞，系统管理员也不敢轻易地安装补丁。特别是，大型的信息系统，漏洞修补是一件极为困难的事。因为漏洞既要做到修补，又要能够保证在线系统正常运行。

7 网络攻击突发性和防范响应滞后

网络攻击者常常掌握主动权，而防守者被动应付。攻击者处于暗处，而攻击目标则处于明处。以漏洞的传播及利用为例，攻击者往往先发现系统中存在的漏洞，然后开发出漏洞攻击工具，最后才是防守者提出漏洞安全对策。

8 口令安全设置和口令易记性难题

在一个网络系统中,每个网络服务或系统都要求不同的认证方式，用户需要记忆多个口令，据估算，用户平均至少需要四个口令，特别是系统管理员，需要记住的口令就更多，例如开机口令、系统进入口令、数据库口令、邮件口令、Telnet口令、FTP口令、路由器口令、交换机口令等。按照安全原则，口令设置既要求复杂，而且口令长度要足够长，但是口令复杂则记不住，因此，用户选择口令只好用简单的、重复使用的口令，以便于保管，这样一来攻击者只要猜测到某个用户的口令，就极有可能引发系列口令泄露事件。

9 远程移动办公和内网安全

随着网络普及，移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络，安全程度难以得到保证，如果内部网络直接允许远程访问，则必然带来许多安全问题，而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网，又要保证内部网络的安全。”就成了一个许多单位都面临的问题。

10 内外网络隔离安全和数据交换方便性

由于网络攻击技术不断增强，恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统，窃取数据或恶意破坏数据。同时，内部网的用户因为安全意识薄弱，可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全，有的安全专家建议，“内外网及上网计算机实现物理隔离，以求减少来自外网的威胁。”但是，从目前网络应用来说，许多企业或机构都需要从外网采集数据，同时内网的数据也需要到外网上。因此，要想完全隔离开内外网并不太现实，网络安全必须既要解决内外网数据交换需求，又要能防止安全事件出现。

11 业务快速发展与安全建设滞后

在信息化建设过程中，由于业务急需要开通，做法常常是“业务优先，安全靠边”，使得安全建设缺乏规划和整体设计，留下安全隐患。安全建设只能是“亡羊补牢”,出了安全事件后才去做。这种情况，在企业中表现得更为突出，市场环境的动态变化，使得业务需要不断地更新，业务变化超过了现有安全保障能力。

12 网络资源健康应用与管理手段提升

复杂的网络世界，充斥着各种不良信息内容，常见的就是垃圾邮件。在一些企业单位中，网络的带宽资源被员工用来在线聊天，浏览新闻娱乐、股票行情、，这些网络活动严重消耗了带宽资源，导致正常业务得不到应有的资源保障。但是，传统管理手段难以适应虚拟世界，网络资源管理手段必须改进，要求能做到 “可信、可靠、可视、可控”。

13 信息系统用户安全意识差和安全整体提高困难

目前，普遍存在“重产品、轻服务，重技术、轻管理，重业务、轻安全”的思想，“安全就是安装防火墙，安全就是安装杀毒软件”，人员整体信息安全意识不平衡，导致一些安全制度或安全流程流于形式。典型的事例如下:

■ 用户选取弱口令，使得攻击者可以从远程直接控制主机;

■ 用户开放过多网络服务，例如,网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接“ping”内部网主机，允许建立空连接;

■ 用户随意安装有漏洞的软件包;

■ 用户直接利用厂家缺省配置;

■ 用户泄漏网络安全敏感信息，如DNS服务配置信息。

14 安全岗位设置和安全管理策略实施难题

根据安全原则，一个系统应该设置多个人员来共同负责管理，但是受成本、技术等限制，一个管理员既要负责系统的配置，又要负责安全管理，安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中，一旦管理员的权限被人控制，极易导致安全失控。

15 信息安全成本投入和经济效益回报可见性

由于网络攻击手段不断变化，原有的防范机制需要随着网络系统环境和攻击适时而变，因而需要不断地进行信息安全建设资金投入。但是，一些信息安全事件又不同于物理安全事件，信息安全事件所产生的经济效益往往是间接的，不容易让人清楚明白，从而造成企业领导人的误判，进而造成信息安全建设资金投入困难。这样一来，信息安全建设投入往往是“事后”进行，即当安全事件产生影响后，企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划，基本上是“头痛医头，脚痛医脚”，信息网络工作人员整天疲于奔命工作，成了“救火队员”。

主要作者简介

蒋建春

博士，中国科学院软件研究所副研究员、全国信息技术水平考试教材编委会委员、信息产业部电子教育与考试中心“网络信息安全工程师高级职业教育(Network Security Advanced Career Education)”项目组长。

主要研究方向: 信息安全对抗、信息系统安全风险评估与可信管理、基础软件安全体系与可信平台。作为项目负责人和主要研制者，参加十多项科研项目，包括中科院应用研究与发展重大项目、中科院知识创新工程重大项目、973、863、中科院软件所青年创新项目、重点行业横向项目等。

链接:信息安全建设8步骤

信息安全建设是一个循序渐进、逐步完善提升的过程，信息安全建设大致来说要经历三个阶段：基本阶段、规范阶段、改进完善阶段。每个阶段在信息安全组织、信息安全管理、信息安全措施上都有所侧重，主要在安全组织健全程度、安全管理规范性、安全技术措施严密性等方面表现出来。

信息安全建设是一个复杂的系统工程 ，一般来说，信息安全工程包含八个基本环节和步骤。

第一步，分析信息网络系统所承载的业务和基本安全目标。

第二步，在所管辖的信息网络范围内，进行信息网络安全风险评估，建立信息网络资产清单，识别信息网络资产的威胁和脆弱性，确定信息网络资产的风险类型和保护等级。

第三步，根据信息网络资产的风险类型和保护等级，制定合适的安全策略和安全防护体系。

第四步，根据信息网络的安全策略，设计安全防范机制，选择风险控制的目标，实现风险控制管理。

第五步，将信息安全建设工作分解为若干个信息安全工程项目。典型项目有漏洞扫描和安全风险评估项目、用户统一认证和授权管理项目、网络防病毒项目、桌面机集中安全管理项目、服务器安全增强项目、网络安全监控项目、网络边界防护项目、远程安全通信项目、网络内容管理项目、补丁管理项目、系统和数据容灾备份项目。

第六步，根据信息安全工程项目要求，制定实施计划，调整信息网络结构和重新安全配置，部署选购合适的安全产品；制定相应信息网络安全管理制度、操作规程以及法律声明。

第七步，对信息安全工程项目进行验收，检查信息网络的安全风险是否已经得到有效控制; 检查信息网络的安全保障能力是否达到业务安全要求。

网络安全工程范文第5篇

关键词：网络安全；设计；工程；课程开发；高职教育

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）20-4665-04

1 《网络安全》中的“设计+工程”

高职《网络安全》课程是一门综合性较强、内容涵盖较广、对网络技术技能要求极高的专业课程。在实际教学过程中，要将“教、学、做”融为一体，强化学生动手能力和应用能力的培养，理论教学的比重逐渐下降，实践教学的比重逐渐上升，理论教学过程成为实践教学的起点而非最终目标。

“设计”是指实践教学中的案例设计教学，这是一种通过案例来展示操作过程的教学方法，该方法以“实践教学为主线、理论教学为实践”为指导，引导学生灵活运用知识、提高动手能力。“工程”是指实践教学中的项目任务教学，这是一种情境浸入式的教学方法，即将真实工作场景、真实工作模式导入对学生的培养中，有利于开发创新思维、提升职业素养。“设计”为知识巩固和积累，“工程”为技能应用和提升，“工程+设计”的教学理念强调的是循序渐进、层层深入。

2 以“设计+工程”为核心的课程体系

围绕“培养学生职业技能”的主线设计《网络安全》课程的结构、内容和形式，同时要符合高职学生的认知规律和学习特点。

课程的学习起点和根基是网络安全理论基础，关键内容有安全网络的设计方法和过程、网络攻击及防御技术的概念和原理、应用层协议的安全应用、常见网络安全软硬件的配置和管理方法等。在课程体系结构上合理安排理论基础知识和实践知识的比例，适当加大实践知识的比例，强调专业技术应用能力的训练。

以理论知识为基础，将实践知识分为“单一实验”、“设计”、“工程”。“单一实验”由教师上课演示或学生操作练习完成，有全部参考答案；“设计（实践案例）”由学生操作练习为主，教师讲解为辅，有部分参考答案；“工程（项目任务）”完全由学生完成，教师根据完成情况给予技术指导和点评，或由学生自己讨论、总结，无参考答案。以此建立一个由“单一实验”阶段初步浸入、“设计”阶段中度浸入和“工程”阶段深度浸入的模块化高职《网络安全》课程的教学体系，如图1。

3 “设计”——实践案例研究开发

3.1 实践案例开发思路

高职《网络安全》课程教学需要学生具有扎实的计算机网络等相关理论知识和应用技能作为基础，并且强调学生动手操作能力和应用能力的训练和培养。开发实践案例要体现出高职教育的特点，体现工学结合、项目驱动的实践教学的方法和理念，案例内容要先进、实用、通用，通过大量的案例来加深学生对网络安全知识的理解。所以，实践案例的开发需要考虑贴近网络安全技术发展方向，具有实际应用价值，有助于学生巩固理论基础，并能触类旁通举一反三。

3.2 实践案例研究开发

在实践教学环节中，教学内容要循序渐进、组织严谨，体现实践导向的思想，突出实际应用和知识拓展，具有可操作性，能提高学生的学习兴趣。表1为实践案例开发具体内容。

7.证书颁发机构的配置与管理；

8.数字证书的颁发和管理；

9.通讯协议的安全性分析；

2.TCP协议的三次握手分析；

3.UDP协议的基础分析；

2.漏洞扫描设备的配置与部署；

3.防火墙的配置与部署；

4.IDS、IPS配置与部署；

5.内网安全监控和审计系统的配置与部署；

2.缓冲区溢出攻击原理与防御；

3.系统安全漏洞的攻击原理与防御；

4.欺骗攻击原理与防御；

5.网络隐身攻击原理及防御；

6.脚本攻击原理与防御；

7.后门账号攻击原理与防御；

8.诱骗性攻击原理与防御；

算机系统账号和密码的安全措施；

2.文件系统的加密和访问控制；

3.注册表的安全防护和检测；

4.系统异常行为的审核追踪功能；

5.Web服务器漏洞评估和分析；

6.Web应用程序漏洞扫描和评估；

2.基于Windows平台的弱密钥渗透分析；

3.渗透基于MAC地址过滤的技术；

4 “工程”——项目任务研究开发

4.1 项目任务开发思路

项目任务开发应基于工程教育方法，建立扎实的理论基础，以职业能力培养为中心，以企业真实工作项目为载体，始终以企业需求为导向，构建“工学结合”理念的课程模块，突出实施典型工作任务的能力。根据实际岗位的知识和关键技能的要求改革和调整，将企业实际的工作情境导入网络安全课程教学中，开发与行业标准相匹配的、与真实工作情境一致的、具有推广价值的教学情境，使学生在校内完成了从学生到企业员工的角色转变，并把书本知识转变成实际生产力，培养学生的职业素养，完成了企业人才培养的最后阶段，确保毕业生具备专业人才的知识、能力和素质结构。

4.2 项目任务研究开发

项目任务的开发应强调创新，设计出符合岗位应用能力和职业发展能力情境浸入式项目任务。表2为项目任务开发具体内容。

5 课程考核评价标准

“设计+工程”课程考核注重考查学生完成过程和结果的综合情况。

“设计”考核评价标准：教师指导，学生独立或分组获取信息，分析“设计”任务，占20%；能采用合适的技术，制定设计方案，占20%；按照合理的步骤完成案例场景的安全配置，占50%；学生独立思考总结实验结果，占10%。

“工程”考核评价标准：学生自由分组根据任务要求，进行需求分析，明确系统功能和任务要求，占15%；能完善网络拓扑，占5%；能按照任务设计文档的描述，使用虚拟仿真实验平台（虚拟机、相关软件）或真实硬件设备完成各项任务的设计任务，操作规范，占60%；提交各子系统的设计说明，占10%；团队协作，占5%；自我评价，占5%。

“工程”以“设计”为基础，“设计”以“工程”为目的，让学生通过“设计”阶段逐步巩固理论知识、学会实践操作，到“工程”阶段时能够灵活应用知识技术、工具软件解决问题，提升学生网络安全工程应用能力，最终使学生具备网络安全工程设计、规划、部署、实施及管理的职业能力和职业素质。

参考文献：

[1] 鲁立，任琦，等.计算机网络安全[M].北京：机械工业出版社，2011： 49-59，94-97，89-95，204-209.

[2] 周绯菲，何文等.计算机网络安全技术实验教程[M].北京：北京邮电大学出版社，2009：3-5，24-25.

网络安全工程范文第6篇

【关键词】电子政务；安全工程；关键技术；重要性

1前言

电子政务随着计算机技术的高度发展已逐渐成熟起来，电子政务迅速广泛应用到各国政府机构办公中，但电子政务建设的同时却一直被病毒、黑客等负面因素所困扰。且近些年来电子政务安全问题日益突出，甚至已严重威胁到国家信息安全。电子政务安全工程是保障政府机构政务信息数据安全的主要手段，只有做好电子政务安全工程，才能避免电子政务系统遭到破坏以及导致数据信息丢失、泄漏、被篡改。当前威胁电子政务系统安全的主要攻击手段有：口令攻击、窃听和数据截获攻击、IP欺骗攻击等等。

2电子政务安全工程建设的重要性

自从计算机诞生以来就开始出现各式各样的计算机病毒和攻击手段，对计算机数据进行窃取和破坏，甚至还有一些不法之徒利用计算机病毒，入侵他人计算机盗取账号密码、银行卡信息、隐私信息及财产的现象[1]。对企业而言，信息数据的丢失和泄漏，很有可能导致企业商业机密泄漏，给企业带来经济损失。对个人而言，就是个人隐私的侵害。对国家而言，信息泄漏就可能是国家机密的泄漏，给国家安全带来威胁。一些信息外泄极有可能引起不良社会反应，给社会稳定及和谐带来危害，给国家带来不可预期的后果。电子政务系统中的信息就是如此，政府部门担负着管理国家事务的重任，电子政务信息资源中包含大量国家机密及公众隐私信息。电子政务安全直接涉及到国家信息安全问题，其安全性是国家安全及社会稳定的基础。我党对电子政务安全问题一直以来都十分重视，党的十六届五中全会中重点强调了电子政务安全的重要性，要求各级政府相关部门强化网络信息安全保障体系，提高对电子政务安全的重视。

3威胁电子政务安全的主要攻击手段

3.1口令攻击

口令攻击是当前黑客较为常用的攻击方式，黑客在选定攻击目标后，便会试图利用口令入侵目标计算机系统，获取想要得到的信息。口令攻击基于穷举法来实现，利用"字典"尝试口令直到验证成功，口令验证的全过程可利用计算机软件自动完成。口令攻击多被用于UNIX系统入侵，UNIX验证失败不会封锁用户，可无限尝试口令，成功入侵后不会提示系统管理员，而后就可以利用Telnet、FTP等工具，对加密文件进行破译，最终得到他们想要的信息。

3.2数据劫持攻击

这种攻击方式危害最大的，可直接威胁电子政务安全。计算机使用互联网进行数据传输时，需要与服务器建立连接后才能完成传输。数据劫持攻击可截获被攻击目标的数据包，并利用破译工具破解截获数据包，来获取目标信息及口令，在对目标计算机系统进行攻击。

3.3IP欺骗攻击

当前较为常见的主要攻击方式是IP欺骗攻击，这种攻击方式多被用来入侵目标计算机的攻击行为中[3]。在目标计算机进行IP协议传送报文时黑客可利用IP欺骗攻击为自己提供假认证，来复制主机TCP/IP地址，伪装网络主机，获取返回报文，返回报文被解密后黑客就可以获得到想要的数据。

4电子政务安全工程的关键技术

通过分析不难看出，黑客攻击的手段五花八门，可谓是防不胜防，影响电子政务系统安全的因素多样复杂。必须通过电子政务安全工程，来保护电子政务系统的安全，为其构建起一个有效的保护屏障，来避免非法入侵，保障政府信息安全，国家安全。下面通过几点来分析电子政务安全工程的关键技术：

4.1包过滤防技术

包过滤防技术是保障电子政务系统网络安全的主要手段之一，这种安全技术在路由器上实现，该技术会自动对用户定义内容进行过滤，控制非法数据包和病毒数据包的安全，以保障电子政务系统整体网络安全，避免病毒入侵。包过滤技术的原理是：在网络层对数据包进行检查，确认安全后，在把数据包下载到物理层，包过滤技术保障了电子政务系统数据包安全性。但该技术尚未成熟，被过滤的数据包，还是有被攻击的可能性，所以仍有待完善。

4.2应用网关检查技术

应用网关检测技术是通过检查应用层数据包，并将检查的内容放入决策过程中，从而提高信息安全性的一种安全技术。这种技术有效性较高，防御效果较好。但该技术效率较低，且缺乏灵活性，过于繁琐，涉及到防火墙和服务器。并且系统中新应用程序使用，需添加针对此程序的服务，否则无法正常使用，所以该技术具有一定的局限性，暂时无法大面积推广。

4.3状态检测技术

状态检测技术与其他安全技术相比具有较好的性能，操作也相对简单，对电子政务系统安全性的提高效果也十分显著，对新应用程序也有着较好兼容性，状态检测技术继承了包过滤防技术的优点改进了缺点，该技术能够检测网络层和传输层的行为，通过建立状态链接表对数据进行安全检测。

4.4复合型防火墙技术

复合型防火墙技术是当前效果最好的安全防御技术，该技术是状态检测技术和透明技术基础上改良的新型安全技术。该技术能够有效屏蔽大量常规非法攻击和病毒攻击。能够实现对电子政务系统进行实时监控，在发生入侵时便会第一时间发出警报。另外，该技术还实际了入侵检测、安全评估等多项功能，能够有效保障电子政务系统安全。

5结语

电子政务安全工程关系着电子政务的持续发展和未来建成以及国家信息安全，提高电子政务系统安全性具有重要意义，安全是电子政务发展的基础。

参考文献：

[1]周墨菁.电子政务发展现状与未来发展趋势研究[J].湖北师范学院，2012，13(11):119-124.

[2]李志搏.电子政务安全技术发展的分析与研究[J].浙江理工大学，2011，11(14):132-136.

[3]王慧灵.浅淡计算机网络中信息安全技术的应用[J].武汉信息技术学院，2011，12(04):119-124.

网络安全工程范文第7篇

关键词：计算机信息安全 网络 计算机系统安全 网络安全 防范与防治

1 网络信息安全的特性

伴随着计算机网络技术在我国的普及，利用它进行犯罪的案子不断增多，并且已经开始渗透到了各个领域，给个人以及集体带来巨大的经济损失和危害。笔者所在单位的绝大多数机器都在一个局域网内，同时又担负着与外部网络进行数据交换的重任，因此，加强计算机网络安全以及防范技术是十分重要的。

网络信息安全特征保证信息安全，最根本的就是保证信息安全的基本特征发挥作用。因此，下面先介绍信息安全的5大特征。

1.1 完整性。是指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性，即保持信息原样性，使信息能正确生成、存储、传输，这是最基本的安全特征。

1.2 保密性。是指信息按给定要求不泄漏给非授权的个人、实体或过程，或提供其利用的特性，即杜绝有用信息泄漏给非授权个人或实体，强调有用信息只被授权对象使用的特征。

1.3 可用性。是指网络信息可被授权实体正确访问，并按要求能正常使用或在非正常情况下能恢复使用的特征，即在系统运行时能正确存取所需信息，当系统遭受攻击或破坏时，能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。

1.4 不可否认性。是指通信双方在信息交互过程中，确信参与者本身，以及参与者所提供的信息的真实同一性，即所有参与者都不可能否认或抵赖本人的真实身份，以及提供信息的原样性和完成的操作与承诺。

1.5 可控性。是指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性，即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传播内容监控这种形式外，最典型的如密码的托管政策，当加密算法交由第三方管理时，必须严格按规定可控执行。

2 计算机网络信息安全的威胁

网络安全是指以电磁信号为主要形式的，在计算机网络系统中进行获取、分析、转储、传输和应用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，位于动态和静态过程中的隐秘性、完整性、可利用性与网络布局和介质传输有关的管理技术和通信应用的有机集合。总的来讲，网络安全主要包括了网络中所存储和传送的信息的安全应用。网络安全的要求就是要在网络通信的基础上保证信息的隐秘性、完整性、应用性、真实性。

影响网络安全的主要因素：①网络的宽泛性。网络所具有的开放性、共享性和广泛分布应用的特点对网络安全来讲是主要的安全隐患：一是网络的开放性，使得网络所面临的攻击无法预测，或是来自物理传输的窃取和来自对网络通信协议的修改，以及对网络控制中软件、硬件的漏洞实施破坏。二是网络的全球利用性，对网络的攻击不仅是来自于本地网络用户，还可以是网络中任何其他的非法用户。三是互联网的自由性，网络对用户的使用没有技术上的要求，用户可以自由上网，和获取各类信息。②防火墙的局限性。防火墙能对网络的安全起到保障作用，但不能完全保证网络的绝对安全，很难防范来自网络内部的攻击和病毒的威胁，这也是防火墙安全防护的局限性。③网络软件因素。网络的利用和管理有需要多方软件与系统支持，信息的存储和转发均由它们进行调制。由于软件的复杂性，保证网络软件系统的安全十分有限，所以，软件存在漏洞，这些软件缺陷给黑客提供了方便，隐匿的网络威胁也随之产生。④信息泄露。人员将保护的信息被泄露或透露给某个非授权的实体。⑤窃听。用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听，或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。⑥业务流分析。通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。⑦授权侵犯。被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击”。⑧计算机病毒。这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序，行为类似病毒，故称作计算机病毒。⑨信息安全法律法规不完善。由于当前约束操作信息行为的法律法规还很不完善，存在很多漏洞，很多人打法律的球，这就给信息窃取、信息破坏者以可趁之机。

3 网络信息安全措施

网络的广泛应用，是今日信息安全应用的重要推动者，但网络的应用仍停留在系统安全及密码保护的阶段，并未真正地使用很多信息安全的技术来保护网络传输的资料。网络的兴起和发展对于整个社会产生极大的影响，在正面的意义上它提供了便利、迅速的信息流通，但在负面上也衍生出许多以前传统社会未有的问题。目前电子化的资料在网络上流通中，只要有一种特殊设备和软件，就可以随意截取上面的信息，更甚者可以伪冒他人、传递错误的信息。由于这些网络安全问题，使得一些应用无法直接顺利推动，所以必须利用信息安全技术加以保护，以确保资料流通的信息安全。下面就从几点来进行具体分析。

3.1 信息加密技术 信息加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，以密文传送，到达目的地后使其只能在输入相应的密钥之后才能还原出本来内容，通过这样的途径达到保护文件或数据不被人非法窃取、修改的目的。该过程的逆过程为解密，即将该编码信息转化为其原来信息的过程。信息加密技术主要分为信息传输加密和信息存储加密。信息传输加密技术主要是对传输中的信息流进行加密，有链路加密、节点加密和端到端加密方式。

3.2 网络信息安全具有过程性或生命周期性 一般来说一个完整的安全过程至少应包括安全目标与原则的确定、风险分析、需求分析、安全策略研究、安全体系结构的研究、安全实施领域的确定、安全技术与产品的测试与选型、安全工程的实施、安全工程的实施监理、安全工程的测试与运行、安全意识的教育与技术培训、安全稽核与检查、应急响应等，这一个过程是一个完整的信息安全工程的生命周期，经过安全稽核与检查后，又形成新一轮的生命周期，是一个不断往复的不断上升的螺旋式安全模型。信息技术在发展，黑客水平也在提高，安全策略、安全体系、安全技术也必须动态地调整，在最大程度上使安全系统能够跟上实际情况的变化发挥效用，使整个安全系统处于不断更新、不断完善、不断进步的动态过程中。

3.3 信息加密算法 信息加密是由各种密码算法实现的，密码算法不是信息安全的全部，但绝对是信息安全的重要基础之一，没有安全的密码算法，就绝不会有信息安全。传统的加密系统是以密钥为基础的，是一种对称加密，即用户使用同一个密钥加密和解密，对称加密算法包括DES算法、IDEA加密算法、AES下一代对称密钥系统。而公开密钥则是一种非对称加密方法，加密者和解密者各自拥有不同的密钥，非对称加密算法包括RSA公开密钥密码技术、DSA数字签名技术和单向杂凑函数密码等。目前在信息通信中使用最普遍的算法有DES算法、RSA公开密钥密码技术算法和PGP混合加密算法等。

同时计算机病毒在形式上越来越难以辨别,造成的危害也日益严重,已就要求网络防毒产品在技术上更先进,功能上更全面。　安全措施应该与保护的信息与网络系统的价值相称。因此，实施信息安全工程要充分权衡风险威胁与防御措施的利弊与得失，在安全级别与投资代价之间取得一个企业能够接受的平衡点。这样实施的安全才是真正的安全。

参考文献：

[1]陈彦学.信息安全理论与实务[M].中国铁道出版社，2001.

[2]卿斯汉.密码学与计算机网络安全[M].广西科学技术出版社，2001.

[3]汤惟.密码学与网络安全技术基础[M].机械工业出版社，2004.

[4]唐礼勇.“网络与信息安全”研究生讲义 安全程序设计1、2.

[5]姚家奕主编.管理信息系统[M].首都经济贸易大学出版社，2003.

网络安全工程范文第8篇

【关键词】网络；安全；方案

【中图分类号】G412.65 【文章标识码】B 【文章编号】1326-3587（2012）11-0091-02

一、前言

近来，随着信息化的发展和普及，危害网络安全的事情时常发生。例如，越权访问、病毒泛滥、网上随意信息，甚至发表不良言论。这些问题需要我们引起足够的重视，规划并建设一个方便、高效、安全、可控的信息系统成为当前系统建设的重要工作。

信息系统安全建设项目，应该严格按照网络和信息安全工程学的理论来实施；严格按照信息安全工程的规律办事，做到“安全规划前瞻、行业需求明确、技术手段先进、工程实施规范、管理措施得力、系统效率明显”，因此，将按照信息安全工程学的理论指导实施用户信息网络系统安全项目的建设，从政策法规、组织体系、技术标准、体系架构、管理流程等方面入手，按照科学规律与方法论，从理论到实践、从文档到工程实施等方面，着手进行研究、开发与实施。

信息系统安全建设是一项需要进行长期投入、综合研究、从整体上进行运筹的工程。该工程学主要从下列几个方面入手来构造系统安全：

1、对整个信息系统进行全面的风险分析与评估，充分了解安全现状；

2、根据评估分析报告，结合国家及行业标准，进行安全需求分析；

3、根据需求分析结果，制定统一的安全系统建设策略及解决方案；

4、根据解决方案选择相应的产品、技术及服务商，实施安全建设工程；

5、在安全建设工程实施后期，还要进行严格的稽核与检查。

二、安全系统设计要点

有些用户对网络安全的认识存在一些误区：认为网络运行正常，业务可以正常使用，就认为网络是安全的，是可以一直使用的；网络安全几乎全部依赖于所安装的防火墙系统和防病毒软件，认为只要安装了这些设备，网络就安全了；他们没有认识到网络安全是动态的、变化的，不可能仅靠单一安全产品就能实现。所以，我们必须从网络安全可能存在的危机入手，分析并提出整体的网络安全解决方案。

1、建设目标。

通过辽宁地区网络及应用安全项目的建设目标来看，构建一个安全、高效的网络及应用安全防护体系，充分保障业务系统稳定可靠地运行势在必行。

2、设计思想。

一个专业的网络及应用安全解决方案必须有包含对网络及应用安全的整体理解。它包括理论模型和众多项目案例实施的验证。该方案模型应是参照国际、国内标准，集多年的研发成果及无数项目实施经验提炼出来的，同时方案需要根据这个理论模型及众多的专业经验帮助客户完善对其业务系统安全的认识，最终部署安全产品和实施安全服务以保证客户系统的安全。

为什么要实施安全体系？

内因，也就是根本原因，是因为其信息有价值，网络健康高效的运行需求迫切。客户的信息资产值越来越大，信息越来越电子化、网络化，越来越容易泄漏、篡改和丢失，为了保护信息资产不减值，网络行为正常、稳定，必须要适当的保护，因此要有安全投入。

其次才是我们耳熟能详的外因，如遭受攻击。当前在网络信息领域中，入侵的门槛已经越来越低（攻击条件：简单化；攻击方式：工具化；攻击形式：多样化；攻击后果：严重化；攻击范围：内部化；攻击动机：目的化；攻击人群：低龄化和低层次化），因此当入侵者采用技术方式攻击，客户必须采用安全技术防范。随着我国安全技术的逐步深入研究，已经把各种抽象的安全技术通过具体的安全产品和安全服务体现了出来。

时间和空间是事物的两个根本特性，即一经一纬构成了一个立体的整体概念，安全系统的设计也可以这么理解。

从时间角度部署安全系统，如图一，基于时间的防御模型。

该模型的核心思想是从时间方面考虑，以入侵者成功入侵一个系统的完整步骤为主线，安全方案的设计处处与入侵者争夺时间，赶在入侵者前面对所保护的系统进行安全处理。在入侵前，对入侵的每一个时间阶段，即下一个入侵环节进行预防处理。也就是说，与入侵者赛跑，始终领先一步。

从空间角度部署安全系统，如图二，基于空间的防御模型。

一个具体的网络系统可以根据保护对象的重要程度（信息资产值的大小）及防护范围，把整个保护对象从网络空间角度划分成若干层次，不同层次采用具有不同特点的安全技术，其突出的特点是对保护对象“层层设防、重点保护”。

一个基本的网络系统按防护范围可以分为边界防护、区域防护、节点防护、核心防护四个层次。

边界防护是指在一个系统的边界设立一定的安全防护措施，具体到系统中边界一般是两个不同逻辑或物理的网络之间，常见的边界防护产品有防火墙等。

区域防护相较于边界是一个更小的范围，指在一个重要区域设立的安全防护措施，常见的区域防护产品有网络入侵检测系统等。

节点防护范围更小，一般具体到一台服务器或主机的防护措施，它主要是保护系统的健壮性，消除系统的漏洞，常见的节点防护产品主机监控与审计系统。

核心防护的作用范围最小但最重要，它架构在其它网络安全体系之上，能够保障最核心的信息系统安全，常见的核心防护产品有身份认证系统、数据加密、数据备份系统等。

3、设计原则。

1） 实用性。

以实际业务系统需求为基础，充分考虑未来几年的发展需要来确定系统规模。以平台化、系统化来构造安全防护体系，各安全功能模块以组件方式扩展。

2） 标准化。

安全体系设计、部署符合国家 相关标准，各安全产品之间实现无缝连接，确实不能实现的必需采用其他技术手段予以解决，并与内部的网络平台兼容，使安全体系的设备能够方便的接入到现有网络系统中。

3） 可靠性。

网络安全工程范文第9篇

IT业是知识更新十分快的行业，对吃技术饭的IT人士来说，不断强化技能，及时掌握最新科技，才能不被淘汰出局。从目前的情况看，参加IT认证是提升专业能力最有效的途径之一。

国际注册信息安全专家（CISSP）认证

主办机构：国际信息系统安全认证联盟（ISC）。

适用人群：针对电信业、银行证券业、系统集成与服务供应商、电子商务和电子政务及企业的信息系统安全专业人员。

报考条件：具备4年工作经验或本科毕业3年者；如经验不够者，通过考试后需工作时间满4年，才能申请CISSP资质。

考试内容：共250道全英文单选题，内容覆盖信息安全公共知识体系的10个专业范畴，着重考核考生的实际专业能力和经验。

CIW网络安全专家认证

主办机构：国际Webmaster协会（IWA）、互联网专家协会（AIP）、国际互联网证书机构（ICII）。

适用人群：适合于已熟练掌握互联网管理技能并希望有效提高网络安全技能的专业人士，如网络服务器管理员、防火墙管理员、系统管理员、应用开发人员及IT安全管理人员。

报考条件：已参加CIW基础培训，或有MCSE、CCNA基础证书者。

考试内容：涉及网络安全与防火墙，Windows和Linux/Unix系统安全，安全审核、攻击与威胁分析等内容，考试时间为90分钟，共60题，以选择题为主。

安全工程师（CCSE）认证

主办机构：Check Point公司，是全球网络安全领域的主流厂商，产品的市场占有率高达68%。

适用人群：从事VPN-1/Firewall-1基本安装及配置的系统管理员、安全管理员及网络工程师。

报考条件：报考者需掌握Windows NT或UNIX的操作知识，熟悉TCP/IP协议原理，并具有一定的TCP/IP与Internet知识和实际经验。

考试内容：共安排两次考试，分别为CCSA认证考和CCSE认证考，均为英文试题，内容涉及配置Internet防火墙、网络拓扑结构、TCP/IP协议、DNS和DHCP等。

哪些证书门槛较高

CISSP

在信息安全认证考试中，CISSP的考试难度最大。CISSP采用全英文试题，需要考生具有扎实的英语基础和丰富的专业英语词汇。此外，考试时间较长，为6个小时，对考生的体力和耐力是一大考验。

CIW

CIW的考试难度和思科考试差不多，难度偏高，而且都偏重实践经验。对考生来说，要想通过考试，多做实验非常重要。

CCSE

总体来看，CCSE考试不太难，但需要考生熟悉Check Point的操作系统，并需要有一定的实践经验。

“十大热门认证”

信息化安全占据三席

2004北美地区十大最热门认证排行榜，仅关于信息化安全的认证就占据了其中三席：第一名：微软MCSE：Security，第三名：美国计算机协会Security＋认证，第七名：CISSP（Certified Information System Security Professional，信息系统安全认证专业人员）。可见，在北美地区安全类认证受到追捧。

第一名：MCSE：Security

2003年6月微软该项认证时，大家都很看好这个由企业的专门的安全认证。它属于升级考试，只需要在MCSE课程中多选2门安全升级课程，就可以得到MCSE：security。通过此认证，可以掌握微软平台的系统与安全知识，得到MCSE的title，开始网络安全的职业生涯。基于每年众多的MCSE认证应考者，2004年，MCSE：Security的大热想必是肯定的。

不过也有人觉得这项认证的含金量不高，对于应考者的资质要求也太低，与其他安全认证相比，企业在选择安全人员的时候，很少会选择只有一年经验的候选人即便是拥有MCSE: Security的title。

不过对于网络安全知识的渴望，仍旧激发了大量网友的热情，相比CISSP，MCSE: Security可以给你更多的实际的基础知识。

第三名：美国计算机协会Security＋认证

Security＋是由全美计算机协会CompTIA颁发的证书，类似国内信息产业部的NCSE，也正是由于这个原因，所以在美国很多人都选择这项带有官方标准的安全认证，但是Security＋的知识涵盖面很广，不是普通的入门考试，需要有一定的网络知识，CCNA或者MCSE的基础准备。

第七名：CISSP

安全认证持续走红，CISSP作为权威的安全认证，入选这个排行实至名归。由于是非厂商跨平台的第三方认证，所以使得CISSP在企业市场越加受到欢迎。当然比起其他安全认证CISSP的要求也是最高的，一定程度上影响了人气排名，否则这个认证的热门程度也至少前五。

特别提醒

信息安全职业行情看涨，导致专业认证需求水涨船高，越来越多的人想通过认证跻身热门人才行列。参加信息安全认证，需注意以下两点：

一、入门门槛较高。信息安全认证对报考者的学历、工作经验、技术能力等均有较高要求，甚至需要一定的管理经验。

网络安全工程范文第10篇

关键词：企业；网络安全；管理；部署

中图分类号：F224.33文献标识码：A文章编号：1672-3198（2008）03-0128-02

1 引言

随着信息化进程的提速，越来越多地企业信息被披露于企业内外部网络环境中，如何保护企业机密，保障企业信息安全，成为企业信息化发展过程中必然需要面临和解决的问题。

对于企业信息网络安全管理需要部署的内容，首先要明确企业的哪些资产需要保护，确定关键数据和相关业务支持技术资产的价值，然后在此基础上，制定并实施安全策略，完成安全策略的责任分配，设立安全标准。

2 企业网络信息安全需求分析

对企业网络信息安全的网络调查显示：有超过85%的安全威胁来自企业内部；有16%来自内部未授权的访问；有11%资料或网络的破坏。可以看出：来自于企业内部的安全威胁比来自于外部的威胁要大得多，必要的安全措施对企业是非常重要的。安全风险分析通常包括对系统资源的价值属性的分析、资源面临的威胁分析、系统的安全缺陷分析等等。分析的目标就是确定安全系统的建设环境，建立信息系统安全的基本策略。

2.1 企业信息网络安全需求

企业对信息网络安全方面的需求主要包含：

（1）业务系统与其它信息系统充分隔离。

（2）企业局域网与互联的其它网络充分隔离。

（3）全面的病毒防御体系，恢复已被病毒感染的设备及数据。

（4）关键业务数据必须进行备份，具有完善的灾难恢复功能。

（5）管理员必须对企业信息网络系统的安全状况和安全漏洞进行周期性评估，并根据评估结果采用相应措施。

（6）关键业务数据和敏感数据在公网上的传输必须加密，防止非法获取和篡改。

（7）加强内部人员操作的技术监控，采用强有力的认证系统，代替一些不安全的用户名/口令系统授权模式。

（8）建立完善的入侵审计和监控措施，监视和记录外部或者内部人员可能发起的攻击。

（9）对整个信息系统进行安全审计，可预见管理和总拥有成本控制。

2.2 企业信息网络安全内容

从企业整体考虑，它的信息网络安全包括以下六个方面：

（1）企业信息网络安全策略建设，它是安全系统执行的安全策略建设的依据。

（2）企业信息网络管理体系建设，它是安全系统的安全控制策略和安全系统体系结构建设的依据。

（3）企业信息网络资源管理体系建设，它是安全系统体系结构规划的依据。

（4）企业信息网络人员管理建设，它是保障安全系统可靠建设、维护和应用的前提。

（5）企业信息网络工程管理体系建设，信息安全系统工程必须与它统一规划和管理。

（6）企业信息网络事务持续性保障规划，它是信息安全事件处理和安全恢复系统建设的依据。

3 企业信息网络安全架构

3.1 企业信息网络安全系统设计

安全系统设计是在信息系统安全策略的基础上，从安全策略的分析中抽象出安全系统及其服务。安全系统的设计如图1所示。安全系统设计的目标是设计出系统安全防御体系，设计和部署体系中各种安全机制从而形成自动的安全防御、监察和反应体系，忠实地贯彻系统安全策略。

3.2 企业信息网络安全系统组建

安全系统设计关心的是抽象定义的系统。具体系统组建是建立在设计基础上的实现。通常系统功能组件的实现方式是软件、硬件和固体等。安全系统组建的另一项重要内容是配制安全系统，并将安全系统与整个信息系统形成一体。

4 企业信息网络安全工程的部署

信息系统安全是信息系统服务质量的要求，网络安全系统应当融于信息网络服务系统之中，其建设与维护应当与信息网络系统的建设和维护保持一致，遵循系统工程的方法。网络安全工程就是应用系统工程建设和维护网络安全系统。

4.1 工程环节

系统工程总是与被建设的系统特性紧密结合，工程环节与系统生命周期保持同步。安全系统的生命周期也是基本如此，因而安全系统工程典型的基本环节包括信息系统安全需求分析、安全系统设计、安全系统组建、安全系统认证、系统安全运行维护和安全系统改造等，如图2所示。

（1）安全的互联网接入。

企业内部网络的每位员工要随时登录互联网，因此Internet接入平台的安全是该企业信息系统安全的关键部分，可采用外部边缘防火墙，其内部用户登录互联网时经过内部防火墙，再由外部边缘防火墙映射到互联网。外部边缘防火墙与内部防火墙之间形成了DMZ区。

（2）防火墙访问控制。

外部边缘防火墙提供PAT服务，配置IPSec加密协议实现VPN拨号连接以及端到端VPN连接，并通过扩展ACL对进出防火墙的流量进行严格的端口服务控制。

内部防火墙处于内部网络与DMZ区之间，它允许内网所有主机能够访问DMZ区，但DMZ区进入内网的流量则进行严格的过滤。

（3）用户认证系统。

用户认证系统主要用于解决拨号和VPN接入的安全问题，它是从完善系统用户认证、访问控制和使用审计方面的功能来增强系统的安全性。

拨号用户和VPN用户身份认证在主域服务器上进行，用户账号集中在主域服务器上开设。系统中设置严格的用户访问策略和口令策略，强制用户定期更改口令。同时配置VPN日志服务器，记录所有VPN用户的访问，作为系统审计的依据。

（4）入侵检测系统。

企业可在互联网流量汇聚的交换机处部署入侵检测系统，它可实时监控内网中发生的安全事件，使得管理员及时做出反应，并可记录内部用户对Internet的访问，管理者可审计Internet接入平台是否被滥用。

（5）网络防病毒系统。

企业应全面地布置防病毒系统，包括客户机、文件服务器、邮件服务器和OA服务器。

（6）VPN加密系统。

企业可建立虚拟专网VPN，主要为企业移动办公的员工提供通过互联网访问企业内网OA系统，同时为企业内网用户访问公司的SAP系统提供VPN加密连接。

需要注意的是，由于VPN机制需要执行加密和解密过程，其传输效率将降低30％～40％，因此对于关键业务，如果有条件应该尽可能采用数据专线方式。

（7）网络设备及服务器加固。

企业网络管理员应定期对各种网络设备和主机进行安全性扫描和渗透测试，及时发现漏洞并采取补救措施。安全性扫描主要是利用一些扫描工具，模拟黑客的方法和手段，以匿名身份接入网络，对网络设备和主机进行扫描并进行分析，目的是发现系统存在的各种漏洞。

根据安全扫描和渗透测试的结果，网络管理员即可有针对性地进行系统加固，具体加固措施包括：关闭不必要的网络端口；视网络应用情况禁用ICMP、SNMP等协议；安装最新系统安全补丁；采用SSH而不是Telnet进行远程登录；调整本地安全策略，禁用不需要的系统缺省服务；启用系统安全审计日志。

（8）办公电脑安全管理系统。

企业应加强对桌面电脑的安全管理。主要有：

①补丁管理：主要用于修复桌面电脑系统漏洞，避免蠕虫病毒、黑客攻击和木马程序等。

②间谍软件检测：能够自动检测和清除来自间谍软件、广告软件、键盘记录程序、特洛伊木马和其他恶意程序的已知威胁。

③安全威胁分析：能够自动检测桌面电脑的配置风险，包括共享、口令、浏览器等安全问题，并自动进行修补或提出修改建议。

④应用程序阻止：用户随意安装的游戏等应用程序可能导致系统紊乱、冲突，影响正常办公。管理员可以通过远程执行指令，阻止有关应用程序的运行。

⑤设备访问控制：对用户电脑的硬件采用适当的访问控制策略，防止关键数据丢失和未授权访问。

（9）数据备份系统。

企业应制定备份策略，定期对一些重要数据进行备份。

4.2 持续性计划

（1）架构评估。

企业网络信息安全管理架构的评估应由IT部门、相关责任部门以及终端用户代表来共同参与，确保所有的部门都能纳入安全框架中。

（2）系统安全运行管理。

要保障信息系统安全，就必须维护安全系统充分发挥作用的环境。这种环境包括安全系统的配置、系统人员的安全职责分工与培训。

（3）安全系统改造。

信息系统安全的对抗性必然导致信息安全系统不断改造。导致安全系统改造的因素可以归结为4个方面：技术发展因素；系统环境因素；系统需求因素；安全事件因素。

（4）网络安全制度建设及人员安全意识教育。

企业应当采取积极防御措施，主动防止非授权访问操作，从客户端操作平台实施高等级防范，使不安全因素在源头被控制。这对工作流程相对固定的重要信息系统显得更为重要而可行。

需开展计算机安全意识教育和培训，加强计算机安全检查，以此提高最终用户对计算机安全的重视程度。为各级机构的系统管理员提供信息系统安全方面的专业培训，提高处理计算机系统安全问题的能力。

参考文献

［1］赵迪,赵望达,刘静.基于B/S架构的安全生产监督管理信息系统［J］,中国公共安全(学术版),2006,(04).［2］周敏文,谭海文.浅析我国安全生产信息化建设的现状与对策［J］,露天采矿技术,2005,(06).

［3］［美］Harold F.Tipton，Micki Krause著,张文,邓芳玲,程向莉,吴娟等译.信息安全管理手册（卷III）（第四版）［M］,北京:电子工业出版社,2004年6月,237-264.

［4］邢戈, 张玉清, 冯登国. 网络安全管理平台研究［J］,计算机工程, 2004,(10).