導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)內(nèi)容審計，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

一、網(wǎng)絡(luò)會計審計的特點

1．審計的空間拓展。在網(wǎng)絡(luò)會計環(huán)境下，由于會計信息系統(tǒng)的開放性和網(wǎng)絡(luò)化，使得會計信息資源在極大的范圍內(nèi)得以交流和共享；會計信息涉及交易關(guān)聯(lián)方的各個方面，同時能訪問會計信息的用戶可能涉及整個網(wǎng)上用戶。因此，為了防止信息的使用者惡意破壞和更改會計數(shù)據(jù)以及會計數(shù)據(jù)在傳輸過程中被截取和篡改，審計空間范圍必須擴大到交易關(guān)聯(lián)方以及網(wǎng)上有關(guān)信息用戶。

2．審計的時間及時。在時間上，網(wǎng)絡(luò)會計審計可以使審計從事后審計達到實時審計，并從靜態(tài)走向動態(tài)。審計部門通過上網(wǎng)，能隨時、動態(tài)地對企業(yè)進行審查，可以加強對經(jīng)營過程中的各個環(huán)節(jié)的審查和監(jiān)督，及時掌握被審計單位的最新情況。在網(wǎng)絡(luò)環(huán)境下，由于企業(yè)經(jīng)營的網(wǎng)絡(luò)化、虛擬化，使得企業(yè)的經(jīng)營風(fēng)險加劇，廣大投資者、客戶及有關(guān)部門（如工商、銀行、稅務(wù)部門）對會計信息的需求不再滿足于年度報表和季度報表，他們渴望及時獲取相關(guān)會計信息和經(jīng)濟業(yè)務(wù)信息以作出決策。為適應(yīng)這種需求，提供網(wǎng)上及時的鑒證服務(wù)將成為一種趨勢。通過網(wǎng)絡(luò)會計，審計部門可以及時收集會計信息和經(jīng)濟業(yè)務(wù)信息，并及時向有關(guān)各方審計服務(wù)信息，促使信息時效性大大提高。

3．審計的業(yè)務(wù)擴大。在網(wǎng)絡(luò)會計系統(tǒng)中，實現(xiàn)了各業(yè)務(wù)之間的數(shù)據(jù)傳遞和共享。由于會計系統(tǒng)和其他信息系統(tǒng)存在著密切的信息傳遞關(guān)系，這樣便促使審計人員熟悉更多的企業(yè)經(jīng)濟業(yè)務(wù)，以理清各種數(shù)據(jù)的來龍去脈。

4．審計的頻率增加。在網(wǎng)絡(luò)會計系統(tǒng)下，由于各個部門可以隨時將本部門的數(shù)據(jù)輸入并進行處理，因此數(shù)據(jù)更新速度快，如果審計人員不能跟上系統(tǒng)更新的頻率，不能及時調(diào)查和獲取一些中間結(jié)果，就很難作出審計判斷。也就是說，網(wǎng)絡(luò)會計的實時性促使審計工作也具有了“實時”的特點。

5．審計的技術(shù)更先進。網(wǎng)絡(luò)會計處于龐大的網(wǎng)絡(luò)系統(tǒng)中，面臨著許多安全問題。因此，與單機環(huán)境相比較所采取的內(nèi)部控制更為復(fù)雜。審計人員要想了解更多的控制信息和有關(guān)的控制制度，就必須掌握更多更先進的知識和審計技術(shù)手段。

6．審計的效率提高。對網(wǎng)絡(luò)會計的審計，主要是通過上網(wǎng)操作，利用審計接口軟件在獲得必要的授權(quán)后，獲取企業(yè)會計和經(jīng)濟業(yè)務(wù)數(shù)據(jù)進行計算、分析、檢查和核對；還可以通過網(wǎng)絡(luò)進行網(wǎng)上查詢和網(wǎng)上交流等。所有這些將大大減少審計人員的審計工作量和審計成本，從而提高審計效率。

二、網(wǎng)絡(luò)會計審計的內(nèi)容

1．網(wǎng)絡(luò)安全審計。網(wǎng)絡(luò)安全審計是指，對被審計單位計算機網(wǎng)絡(luò)系統(tǒng)的管理和防護、監(jiān)控、恢復(fù)三種技術(shù)能力以及可能帶來的經(jīng)營風(fēng)險等進行評估。在網(wǎng)絡(luò)會計環(huán)境下，一方面提供了會計信息的共享性，提高了會計工作的效率；另一方面，電子形式的會計信息容易受到諸如網(wǎng)絡(luò)故障、計算機病毒、黑客襲擊和非法者的入侵等潛在威脅的影響。這些都會嚴(yán)重威脅會計信息和數(shù)據(jù)的安全。雖然一般的軟件都采用了保障信息安全的措施，但是這些措施是否有效、合理，需要網(wǎng)絡(luò)會計審計來檢驗鑒證，并作出監(jiān)控反饋。

2．網(wǎng)絡(luò)內(nèi)部控制審計。在網(wǎng)絡(luò)會計信息系統(tǒng)中，內(nèi)部控制的重點、方式、內(nèi)容和范圍均發(fā)生了變化，使得網(wǎng)絡(luò)審計不同于傳統(tǒng)審計和計算機桌面審計，呈現(xiàn)出新的特點。網(wǎng)絡(luò)內(nèi)部控制審計可分為一般控制審計和應(yīng)用控制審計。針對網(wǎng)絡(luò)會計信息系統(tǒng)的特征，通過網(wǎng)絡(luò)內(nèi)部控制審計，以評價網(wǎng)絡(luò)會計信息系統(tǒng)的內(nèi)部控制是否健全、有效，提示內(nèi)部控制的弱點。

3．應(yīng)用程序?qū)徲?。在對一個網(wǎng)絡(luò)化會計信息系統(tǒng)進行符合性和實質(zhì)性測試時，由于受到計算機網(wǎng)絡(luò)程序復(fù)雜化和自動化的影響，往往不能僅僅檢驗數(shù)據(jù)本身，還須對網(wǎng)絡(luò)程序的處理和控制進行審計。網(wǎng)絡(luò)審計中對網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用程序的審計目標(biāo)體現(xiàn)在兩個方面：第一，程序處理過程是否與有關(guān)的標(biāo)準(zhǔn)及法規(guī)相符；第二，考查網(wǎng)絡(luò)系統(tǒng)程序?qū)﹀e誤的檢驗和控制情況，如對輸入網(wǎng)絡(luò)信息系統(tǒng)中的數(shù)據(jù)正誤的檢驗，會計證、賬、表的試算平衡措施等。不進行相關(guān)應(yīng)用程序?qū)徲媽o系統(tǒng)的運行留下隱患。超級秘書網(wǎng)

三、網(wǎng)絡(luò)會計審計應(yīng)注意的幾個問題

1．審計的范圍問題。由于會計系統(tǒng)處于網(wǎng)絡(luò)系統(tǒng)中，各業(yè)務(wù)部門執(zhí)行的只是子系統(tǒng)中的一部分功能，任何一個工作站所提供的信息都是日常經(jīng)濟活動中不可缺少的組成部分，同時網(wǎng)絡(luò)會計的支持還需要一些軟硬件的配備。因此，要對計算機網(wǎng)絡(luò)會計整個系統(tǒng)作出正確的評價，審計的范圍將要擴大到服務(wù)器、工作站、傳輸介質(zhì)、計算機網(wǎng)絡(luò)會計軟件等。

篇2

1.1審計的空間拓展。在網(wǎng)絡(luò)會計環(huán)境下,由于會計信息系統(tǒng)的開放性和網(wǎng)絡(luò)化,使得會計信息資源在極大的范圍內(nèi)得以交流和共享;會計信息涉及交易關(guān)聯(lián)方的各個方面,同時能訪問會計信息的用戶可能涉及整個網(wǎng)上用戶。因此,為了防止信息的使用者惡意破壞和更改會計數(shù)據(jù)以及會計數(shù)據(jù)在傳輸過程中被截取和篡改,審計空間范圍必須擴大到交易關(guān)聯(lián)方以及網(wǎng)上有關(guān)信息用戶。

1.2審計的時間及時。在時間上,網(wǎng)絡(luò)會計審計可以使審計從事后審計達到實時審計,并從靜態(tài)走向動態(tài)。審計部門通過上網(wǎng),能隨時、動態(tài)地對企業(yè)進行審查,可以加強對經(jīng)營過程中的各個環(huán)節(jié)的審查和監(jiān)督,及時掌握被審計單位的最新情況。在網(wǎng)絡(luò)環(huán)境下,由于企業(yè)經(jīng)營的網(wǎng)絡(luò)化、虛擬化,使得企業(yè)的經(jīng)營風(fēng)險加劇,廣大投資者、客戶及有關(guān)部門對會計信息的需求不再滿足于年度報表和季度報表,他們渴望及時獲取相關(guān)會計信息和經(jīng)濟業(yè)務(wù)信息以作出決策。為適應(yīng)這種需求,提供網(wǎng)上及時的鑒證服務(wù)將成為一種趨勢。通過網(wǎng)絡(luò)會計,審計部門可以及時收集會計信息和經(jīng)濟業(yè)務(wù)信息,并及時向有關(guān)各方審計服務(wù)信息,促使信息時效性大大提高。

1.3審計的業(yè)務(wù)擴大。在網(wǎng)絡(luò)會計系統(tǒng)中,實現(xiàn)了各業(yè)務(wù)之間的數(shù)據(jù)傳遞和共享。由于會計系統(tǒng)和其他信息系統(tǒng)存在著密切的信息傳遞關(guān)系,這樣便促使審計人員熟悉更多的企業(yè)經(jīng)濟業(yè)務(wù),以理清各種數(shù)據(jù)的來龍去脈。

1.4審計的頻率增加。在網(wǎng)絡(luò)會計系統(tǒng)下,由于各個部門可以隨時將本部門的數(shù)據(jù)輸入并進行處理,因此數(shù)據(jù)更新速度快,如果審計人員不能跟上系統(tǒng)更新的頻率,不能及時調(diào)查和獲取一些中間結(jié)果,就很難作出審計判斷。也就是說,網(wǎng)絡(luò)會計的實時性促使審計工作也具有了“實時”的特點。

1.5審計的技術(shù)更先進。網(wǎng)絡(luò)會計處于龐大的網(wǎng)絡(luò)系統(tǒng)中,面臨著許多安全問題。因此,與單機環(huán)境相比較所采取的內(nèi)部控制更為復(fù)雜。審計人員要想了解更多的控制信息和有關(guān)的控制制度,就必須掌握更多更先進的知識和審計技術(shù)手段。

1.6審計的效率提高。對網(wǎng)絡(luò)會計的審計,主要是通過上網(wǎng)操作,利用審計接口軟件在獲得必要的授權(quán)后,獲取企業(yè)會計和經(jīng)濟業(yè)務(wù)數(shù)據(jù)進行計算、分析、檢查和核對;還可以通過網(wǎng)絡(luò)進行網(wǎng)上查詢和網(wǎng)上交流等。所有這些將大大減少審計人員的審計工作量和審計成本,從而提高審計效率。

2.網(wǎng)絡(luò)會計審計的內(nèi)容

2.1網(wǎng)絡(luò)安全審計。網(wǎng)絡(luò)安全審計是指,對被審計單位計算機網(wǎng)絡(luò)系統(tǒng)的管理和防護、監(jiān)控、恢復(fù)三種技術(shù)能力以及可能帶來的經(jīng)營風(fēng)險等進行評估。在網(wǎng)絡(luò)會計環(huán)境下,一方面提供了會計信息的共享性,提高了會計工作的效率;另一方面,電子形式的會計信息容易受到諸如網(wǎng)絡(luò)故障、計算機病毒、黑客襲擊和非法者的入侵等潛在威脅的影響。這些都會嚴(yán)重威脅會計信息和數(shù)據(jù)的安全。雖然一般的軟件都采用了保障信息安全的措施,但是這些措施是否有效、合理,需要網(wǎng)絡(luò)會計審計來檢驗鑒證,并作出監(jiān)控反饋。

2.2網(wǎng)絡(luò)內(nèi)部控制審計。在網(wǎng)絡(luò)會計信息系統(tǒng)中,內(nèi)部控制的重點、方式、內(nèi)容和范圍均發(fā)生了變化,使得網(wǎng)絡(luò)審計不同于傳統(tǒng)審計和計算機桌面審計,呈現(xiàn)出新的特點。網(wǎng)絡(luò)內(nèi)部控制審計可分為一般控制審計和應(yīng)用控制審計。針對網(wǎng)絡(luò)會計信息系統(tǒng)的特征,通過網(wǎng)絡(luò)內(nèi)部控制審計,以評價網(wǎng)絡(luò)會計信息系統(tǒng)的內(nèi)部控制是否健全、有效,提示內(nèi)部控制的弱點。

2.3應(yīng)用程序?qū)徲?。在對一個網(wǎng)絡(luò)化會計信息系統(tǒng)進行符合性和實質(zhì)性測試時,由于受到計算機網(wǎng)絡(luò)程序復(fù)雜化和自動化的影響,往往不能僅僅檢驗數(shù)據(jù)本身,還須對網(wǎng)絡(luò)程序的處理和控制進行審計。網(wǎng)絡(luò)審計中對網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用程序的審計目標(biāo)體現(xiàn)在兩個方面:第一,程序處理過程是否與有關(guān)的標(biāo)準(zhǔn)及法規(guī)相符;第二,考查網(wǎng)絡(luò)系統(tǒng)程序?qū)﹀e誤的檢驗和控制情況,如對輸入網(wǎng)絡(luò)信息系統(tǒng)中的數(shù)據(jù)正誤的檢驗,會計證、賬、表的試算平衡措施等。不進行相關(guān)應(yīng)用程序?qū)徲媽o系統(tǒng)的運行留下隱患。

3.網(wǎng)絡(luò)會計審計應(yīng)注意的幾個問題

3.1審計的范圍問題。由于會計系統(tǒng)處于網(wǎng)絡(luò)系統(tǒng)中,各業(yè)務(wù)部門執(zhí)行的只是子系統(tǒng)中的一部分功能,任何一個工作站所提供的信息都是日常經(jīng)濟活動中不可缺少的組成部分,同時網(wǎng)絡(luò)會計的支持還需要一些軟硬件的配備。因此,要對計算機網(wǎng)絡(luò)會計整個系統(tǒng)作出正確的評價,審計的范圍將要擴大到服務(wù)器、工作站、傳輸介質(zhì)、計算機網(wǎng)絡(luò)會計軟件等。

篇3

摘要

人工智能時代，網(wǎng)絡(luò)空間安全威脅全面泛化，如何利用人工智能思想和技術(shù)應(yīng)對各類安全威脅，是國內(nèi)外產(chǎn)業(yè)界共同努力的方向。本報告從風(fēng)險演進和技術(shù)邏輯的角度，將網(wǎng)絡(luò)空間安全分為網(wǎng)絡(luò)系統(tǒng)安全、網(wǎng)絡(luò)內(nèi)容安全和物理網(wǎng)絡(luò)系統(tǒng)安全三大領(lǐng)域；在此基礎(chǔ)上，本報告借鑒 Gartner 公司的 ASA 自適應(yīng)安全架構(gòu)模型，從預(yù)測、防御、檢測、響應(yīng)四個維度，提出人工智能技術(shù)在網(wǎng)絡(luò)空間安全領(lǐng)域的具體應(yīng)用模式。與此同時，本報告結(jié)合國內(nèi)外企業(yè)最佳實踐，詳細(xì)闡釋人工智能賦能網(wǎng)絡(luò)空間安全（AI+安全）的最新進展。最后，本報告提出，人工智能安全將成為人工智能產(chǎn)業(yè)發(fā)展最大藍海，人工智能的本體安全決定安全應(yīng)用的發(fā)展進程，「人工+「智能將長期主導(dǎo)安全實踐，人工智能技術(shù)路線豐富將改善安全困境，網(wǎng)絡(luò)空間安全將驅(qū)動人工智能國際合作。

目 錄

第一章 人工智能技術(shù)的發(fā)展沿革

(一) 人工智能技術(shù)的關(guān)鍵階段

(二) 人工智能技術(shù)的驅(qū)動因素

(三) 人工智能技術(shù)的典型代表

(四) 人工智能技術(shù)的廣泛應(yīng)用

第二章 網(wǎng)絡(luò)空間安全的內(nèi)涵與態(tài)勢

(一) 網(wǎng)絡(luò)空間安全的內(nèi)涵

(二) 人工智能時代網(wǎng)絡(luò)空間安全發(fā)展態(tài)勢

1、網(wǎng)絡(luò)空間安全威脅趨向智能2、網(wǎng)絡(luò)空間安全邊界開放擴張3、網(wǎng)絡(luò)空間安全人力面臨不足4、網(wǎng)絡(luò)空間安全防御趨向主動

第三章 人工智能在網(wǎng)絡(luò)空間安全領(lǐng)域的應(yīng)用模式

(一) AI+安全的應(yīng)用優(yōu)勢

(二) AI+安全的產(chǎn)業(yè)格局

(三) AI+安全的實現(xiàn)模式

1、人工智能應(yīng)用于網(wǎng)絡(luò)系統(tǒng)安全2、人工智能應(yīng)用于網(wǎng)絡(luò)內(nèi)容安全3、人工智能應(yīng)用于物理網(wǎng)絡(luò)系統(tǒng)安全

第四章 人工智能在網(wǎng)絡(luò)空間安全領(lǐng)域的應(yīng)用案例

網(wǎng)絡(luò)系統(tǒng)安全篇

（一）病毒及惡意代碼檢測與防御

（二）網(wǎng)絡(luò)入侵檢測與防御

第三章 人工智能在網(wǎng)絡(luò)空間安全領(lǐng)域的應(yīng)用模式

人工智能技術(shù)日趨成熟，人工智能在網(wǎng)絡(luò)空間安全領(lǐng)域的應(yīng)用（簡稱 AI+安全）不僅能夠全面提高網(wǎng)絡(luò)空間各類威脅的響應(yīng)和應(yīng)對速度，而且能夠全面提高風(fēng)險防范的預(yù)見性和準(zhǔn)確性。因此，人工智能技術(shù)已經(jīng)被全面應(yīng)用于網(wǎng)絡(luò)空間安全領(lǐng)域，在應(yīng)對智能時代人類各類安全難題中發(fā)揮著巨大潛力。

（一）AI+安全的應(yīng)用優(yōu)勢

人們應(yīng)對和解決安全威脅，從感知和意識到不安全的狀態(tài)開始，通過經(jīng)驗知識加以分析，針對威脅形態(tài)做出決策，選擇最優(yōu)的行動脫離不安全狀態(tài)。類人的人工智能，正是令機器學(xué)會從認(rèn)識物理世界到自主決策的過程，其內(nèi)在邏輯是通過數(shù)據(jù)輸入理解世界，或通過傳感器感知環(huán)境，然后運用模式識別實現(xiàn)數(shù)據(jù)的分類、聚類、回歸等分析，并據(jù)此做出最優(yōu)的決策推薦。

當(dāng)人工智能運用到安全領(lǐng)域，機器自動化和機器學(xué)習(xí)技術(shù)能有效且高效地幫助人類預(yù)測、感知和識別安全風(fēng)險，快速檢測定位危險來源，分析安全問題產(chǎn)生的原因和危害方式，綜合智慧大腦的知識庫判斷并選擇最優(yōu)策略，采取緩解措施或抵抗威脅，甚至提供進一步緩解和修復(fù)的建議。這個過程不僅將人們從繁重、耗時、復(fù)雜的任務(wù)中解放出來，且面對不斷變化的風(fēng)險環(huán)境、異常的攻擊威脅形態(tài)比人更快、更準(zhǔn)確，綜合分析的靈活性和效率也更高。

因此，人工智能的「思考和行動邏輯與安全防護的邏輯從本質(zhì)上是自洽的，網(wǎng)絡(luò)空間安全天然是人工智能技術(shù)大顯身手的領(lǐng)域。

（1）基于大數(shù)據(jù)分析的高效威脅識別：大數(shù)據(jù)為機器學(xué)習(xí)和深度學(xué)習(xí)算法提供源源動能，使人工智能保持良好的自我學(xué)習(xí)能力，升級的安全分析引擎，具有動態(tài)適應(yīng)各種不確定環(huán)境的能力，有助于更好地針對大量模糊、非線性、異構(gòu)數(shù)據(jù)做出因地制宜的聚合、分類、序列化等分析處理，甚至實現(xiàn)了對行為及動因的分析，大幅提升檢測、識別已知和未知網(wǎng)絡(luò)空間安全威脅的效率，升級精準(zhǔn)度和自動化程度。

（2）基于深度學(xué)習(xí)的精準(zhǔn)關(guān)聯(lián)分析：人工智能的深度學(xué)習(xí)算法在發(fā)掘海量數(shù)據(jù)中的復(fù)雜關(guān)聯(lián)方面表現(xiàn)突出，擅長綜合定量分析相關(guān)安全性，有助于全面感知內(nèi)外部安全威脅。人工智能技術(shù)對各種網(wǎng)絡(luò)安全要素和百千級維度的安全風(fēng)險數(shù)據(jù)進行歸并融合、關(guān)聯(lián)分析，再經(jīng)過深度學(xué)習(xí)的綜合理解、評估后對安全威脅的發(fā)展趨勢做出預(yù)測，還能夠自主設(shè)立安全基線達到精細(xì)度量網(wǎng)絡(luò)安全性的效果，從而構(gòu)建立體、動態(tài)、精準(zhǔn)和自適應(yīng)的網(wǎng)絡(luò)安全威脅態(tài)勢感知體系。

（3）基于自主優(yōu)化的快速應(yīng)急響應(yīng)：人工智能展現(xiàn)出強大的學(xué)習(xí)、思考和進化能力，能夠從容應(yīng)對未知、變化、激增的攻擊行為，并結(jié)合當(dāng)前威脅情報和現(xiàn)有安全策略形成適應(yīng)性極高的安全智慧，主動快速選擇調(diào)整安全防護策略，并付諸實施，最終幫助構(gòu)建全面感知、適應(yīng)協(xié)同、智能防護、優(yōu)化演進的主動安全防御體系。

（4）基于進化賦能的良善廣域治理：隨著網(wǎng)絡(luò)空間內(nèi)涵外延的不斷擴展，人類面臨的安全威脅無論從數(shù)量、來源、形態(tài)、程度和修復(fù)性上都在超出原本行之有效的分工和應(yīng)對能力，有可能處于失控邊緣，人工智能對人的最高智慧的極限探索，也將拓展網(wǎng)絡(luò)治理的理念和方式，實現(xiàn)安全治理的突破性創(chuàng)新。人工智能不僅能解決當(dāng)下的安全難題，而通過在安全場景的深化應(yīng)用和檢驗，發(fā)現(xiàn)人工智能的缺陷和不足，為下一階段的人工智能發(fā)展和應(yīng)用奠定基礎(chǔ)，指明方向，推動人工智能技術(shù)的持續(xù)變革及其更廣域的賦能。

（二）AI+安全的產(chǎn)業(yè)格局

人工智能以其獨特的優(yōu)勢正在各類安全場景中形成多種多樣的解決方案。從可觀察的市場指標(biāo)來看，近幾年來人工智能安全市場迅速成長， 公司在 2018 年的研究表明，在網(wǎng)絡(luò)安全中人工智能應(yīng)用場景增多，同時地域覆蓋范圍擴大，將進一步擴大技術(shù)在安全領(lǐng)域的應(yīng)用，因此人工智能技術(shù)在安全市場內(nèi)將快速發(fā)展，預(yù)計到 2024 年，可用在安全中的人工智能技術(shù)市場規(guī)模將超過 350 億美元，在 2017-2024 年之間年復(fù)合增長率（CAGR）可達 31%。

MarketsandMarkets 公司在 2018 年 1 月的《安全市場中人工智能》報告則認(rèn)為，2016 年 AI 安全市場規(guī)模就已達 29.9 億美元、2017 年更是達到 39.2 億美元，預(yù)測在 2025 年將達到 348.1 億美元，年復(fù)合增長率為 31.38%。而愛爾蘭的 Research and Markets 公司在 2018 年 4 月份了專門的市場研究報告，認(rèn)為到 2023 年人工智能在安全領(lǐng)域應(yīng)用的市場規(guī)模將達 182 億美元，年復(fù)合增長率為 34.5%。由于機器學(xué)習(xí)對付網(wǎng)絡(luò)犯罪較為有效，因此機器學(xué)習(xí)作為單一技術(shù)將占領(lǐng)最大的一塊市場，到 2023 年其市場規(guī)模預(yù)計可達 60 億美元。

除了傳統(tǒng)安全公司致力于人工智能安全，大型互聯(lián)網(wǎng)企業(yè)也在積極開展人工智能安全實踐，如 Google、Facebook、Amazon、騰訊、阿里巴巴等均在圍繞自身業(yè)務(wù)積極布局人工智能安全應(yīng)用。

（三）AI+安全的實現(xiàn)模式

人工智能是以計算機科學(xué)為基礎(chǔ)的綜合交叉學(xué)科，涉及技術(shù)領(lǐng)域眾多、應(yīng)用范疇廣泛，其知識、技術(shù)體系實際與整個科學(xué)體系的演化和發(fā)展密切相關(guān)。因此，如何根據(jù)各類場景安全需求的變化，進行 AI 技術(shù)的系統(tǒng)化配置尤為關(guān)鍵。

本報告采用 Gartner 公司 2014 年提出的自適應(yīng)安全架構(gòu)（ASA，Adaptive SecurityArchitecture）來分析安全場景中人工智能技術(shù)的應(yīng)用需求，此架構(gòu)重在持續(xù)監(jiān)控和行為分析，統(tǒng)合安全中預(yù)測、防御、檢測、響應(yīng)四層面，直觀的采用四象限圖來進行安全建模。其中「預(yù)測指檢測安全威脅行動的能力；「防御表示現(xiàn)有預(yù)防攻擊的產(chǎn)品和流程；「檢測用以發(fā)現(xiàn)、監(jiān)測、確認(rèn)及遏制攻擊行為的手段；「響應(yīng)用來描述調(diào)查、修復(fù)問題的能力。

本報告將 AI+安全的實現(xiàn)模式按照階段進行分類和總結(jié)，識別各領(lǐng)域的外在和潛在的安全需求，采用 ASA 分析應(yīng)用場景的安全需求及技術(shù)要求，結(jié)合算法和模型的多維度分析， 尋找 AI+安全實現(xiàn)模式與適應(yīng)條件，揭示技術(shù)如何響應(yīng)和滿足安全需求，促進業(yè)務(wù)系統(tǒng)實現(xiàn)持續(xù)的自我進化、自我調(diào)整，最終動態(tài)適應(yīng)網(wǎng)絡(luò)空間不斷變化的各類安全威脅。

1、人工智能應(yīng)用于網(wǎng)絡(luò)系統(tǒng)安全

人工智能技術(shù)較早應(yīng)用于網(wǎng)絡(luò)系統(tǒng)安全領(lǐng)域，從機器學(xué)習(xí)、專家系統(tǒng)以及過程自動化等到如今的深度學(xué)習(xí)，越來越多的人工智能技術(shù)被證實能有效增強網(wǎng)絡(luò)系統(tǒng)安全防御：

機器學(xué)習(xí) (ML， Machine Learning):在安全中使用機器學(xué)習(xí)技術(shù)可增強系統(tǒng)的預(yù)測能力，動態(tài)防御攻擊，提升安全事件響應(yīng)能力。專家系統(tǒng)（ES， Expert System）：可用于安全事件發(fā)生時為人提供決策輔助或部分自主決策。過程自動化 (AT， Automation )：在安全領(lǐng)域中應(yīng)用較為普遍，代替或協(xié)助人類進行檢測或修復(fù)，尤其是安全事件的審計、取證，有不可替代的作用。深度學(xué)習(xí)（DL， Deep Learning）：在安全領(lǐng)域中應(yīng)用非常廣泛，如探測與防御、威脅情報感知，結(jié)合其他技術(shù)的發(fā)展取得極高的成就。

如圖 3 所示，通過分析人工智能技術(shù)應(yīng)用于網(wǎng)絡(luò)系統(tǒng)安全，在四個層面均可有效提升安全效能：

預(yù)測：基于無監(jiān)督學(xué)習(xí)、可持續(xù)訓(xùn)練的機器學(xué)習(xí)技術(shù)，可以提前研判網(wǎng)絡(luò)威脅，用專家系統(tǒng)、機器學(xué)習(xí)和過程自動化技術(shù)來進行風(fēng)險評估并建立安全基線，可以讓系統(tǒng)固若金湯。

防御：發(fā)現(xiàn)系統(tǒng)潛在風(fēng)險或漏洞后，可采用過程自動化技術(shù)進行加固。安全事件發(fā)生時，機器學(xué)習(xí)還能通過模擬來誘導(dǎo)攻擊者，保護更有價值的數(shù)字資產(chǎn)，避免系統(tǒng)遭受攻擊。

檢測：組合機器學(xué)習(xí)、專家系統(tǒng)等工具連續(xù)監(jiān)控流量，可以識別攻擊模式，實現(xiàn)實時、無人參與的網(wǎng)絡(luò)分析，洞察系統(tǒng)的安全態(tài)勢，動態(tài)靈活調(diào)整系統(tǒng)安全策略，讓系統(tǒng)適應(yīng)不斷變化的安全環(huán)境。

響應(yīng)：系統(tǒng)可及時將威脅分析和分類，實現(xiàn)自動或有人介入響應(yīng)，為后續(xù)恢復(fù)正常并審計事件提供幫助和指引。

因此人工智能技術(shù)應(yīng)用于網(wǎng)絡(luò)系統(tǒng)安全，正在改變當(dāng)前安全態(tài)勢，可讓系統(tǒng)彈性應(yīng)對日益細(xì)化的網(wǎng)絡(luò)攻擊。在安全領(lǐng)域使用人工智能技術(shù)也會帶來一些新問題，不僅有人工智能技術(shù)用于網(wǎng)絡(luò)攻擊等伴生問題，還有如隱私保護等道德倫理問題，因此還需要多種措施保證其合理應(yīng)用?？偠灾?，利用機器的智慧和力量來支持和保障網(wǎng)絡(luò)系統(tǒng)安全行之有效。

2、人工智能應(yīng)用于網(wǎng)絡(luò)內(nèi)容安全

人工智能技術(shù)可被應(yīng)用于網(wǎng)絡(luò)內(nèi)容安全領(lǐng)域，參與網(wǎng)絡(luò)文本內(nèi)容檢測與分類、視頻和圖片內(nèi)容識別、語音內(nèi)容檢測等事務(wù)，切實高效地協(xié)助人類進行內(nèi)容分類和管理。面對包括視頻、圖片、文字等實時海量的信息內(nèi)容，人工方式開展網(wǎng)絡(luò)內(nèi)容治理已經(jīng)捉襟見肘，人工智能技術(shù)在網(wǎng)絡(luò)內(nèi)容治理層面已然不可替代。

在網(wǎng)絡(luò)內(nèi)容安全領(lǐng)域所應(yīng)用的人工智能技術(shù)如下：

自然語言處理（NLP， Natural Language Processing）：可用于理解文字、語音等人類創(chuàng)造的內(nèi)容，在內(nèi)容安全領(lǐng)域不可或缺。圖像處理（IP， Image Processing）：對圖像進行分析，進行內(nèi)容的識別和分類，在內(nèi)容安全中常用于不良信息處理。視頻分析技術(shù) (VA， Video Analysis)：對目標(biāo)行為的視頻進行分析，識別出視頻中活動的目標(biāo)及相應(yīng)的內(nèi)涵，用于不良信息識別。

如圖 4 所示，通過分析人工智能技術(shù)應(yīng)用于網(wǎng)絡(luò)內(nèi)容安全，在四個層面均可有效提升安全效能：

預(yù)防階段：內(nèi)容安全最重要的是合規(guī)性，由于各領(lǐng)域的監(jiān)管法律/政策的側(cè)重點不同而有所區(qū)別且動態(tài)變化。在預(yù)防階段，可使用深度學(xué)習(xí)和自然語言處理進行相關(guān)法律法規(guī)條文的理解和解讀，并設(shè)定內(nèi)容安全基線，再由深度學(xué)習(xí)工具進行場景預(yù)測和風(fēng)險評估，并及時將結(jié)果向網(wǎng)絡(luò)內(nèi)容管理人員報告。

防御階段：應(yīng)用深度學(xué)習(xí)等工具可完善系統(tǒng)，防范潛在安全事件的發(fā)生。

檢測階段：自然語言、圖像、視頻分析等智能工具能快速識別內(nèi)容，動態(tài)比對安全基線，及時將分析結(jié)果交付給人類伙伴進行后續(xù)處置，除此之外，基于內(nèi)容分析的情感人工智能也已逐步應(yīng)用于輿情預(yù)警，取得不俗成果。

響應(yīng)階段：在后續(xù)調(diào)查或留存審計資料階段，過程自動化同樣不可或缺。

3、人工智能應(yīng)用于物理網(wǎng)絡(luò)系統(tǒng)安全

隨著物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、5G 等技術(shù)的成熟，網(wǎng)絡(luò)空間發(fā)生深刻變化，人、物、物理空間通過各類系統(tǒng)實現(xiàn)無縫連接，由于涉及的領(lǐng)域眾多同時接入的設(shè)備數(shù)量巨大，傳感器網(wǎng)絡(luò)所產(chǎn)生的數(shù)據(jù)可能是高頻低密度數(shù)據(jù)，人工已經(jīng)難以應(yīng)對，采用人工智能勢在必行。但由于應(yīng)用場景極為復(fù)雜多樣，可供應(yīng)用的人工智能技術(shù)將更加廣泛，并會驅(qū)動人工智能技術(shù)自身新發(fā)展。

情緒識別（ER， Emotion Recognition）：不僅可用圖像處理或音頻數(shù)據(jù)獲得人類的情緒狀態(tài)，還可以通過文本分析、心率、腦電波等方式感知人類的情緒狀態(tài)，在物理網(wǎng)絡(luò)中將應(yīng)用較為普遍，通過識別人類的情緒狀態(tài)從而可與周邊環(huán)境的互動更為安全。AI 建模（DT， Digital Twin/AI Modeling）：通過軟件來溝通物理系統(tǒng)與數(shù)字世界。生物特征識別 (BO， Biometrics)：可通過獲取和分析人體的生理和行為特征來實現(xiàn)人類唯一身份的智能和自動鑒別，包括人臉識別、虹膜識別、指紋識別、掌紋識別等技術(shù)。虛擬 (VA， Virtual Agents)：這類具有人類行為和思考特征的智能程序，協(xié)助人類識別安全風(fēng)險因素，讓人類在物理網(wǎng)絡(luò)世界中更安全。

篇4

關(guān)鍵詞：網(wǎng)絡(luò)環(huán)境；內(nèi)部控制；財務(wù)管理

內(nèi)部控制是公司治理的重要組成部分和前提，先進的內(nèi)部控制造就先進的企業(yè)，先進的企業(yè)必須要有先進的內(nèi)部控制作保障，而企業(yè)內(nèi)部財務(wù)控制又是內(nèi)部控制的重要組成部分，是大中型企業(yè)集團管理的重要內(nèi)容，是保證企業(yè)集團財產(chǎn)安全的基礎(chǔ)。隨著網(wǎng)絡(luò)經(jīng)濟時代的到來，以信息產(chǎn)業(yè)為主導(dǎo)產(chǎn)業(yè)的全球經(jīng)濟逐漸形成，因特網(wǎng)迅速發(fā)展，改變了企業(yè)經(jīng)營模式和生存方式，使經(jīng)營、管理和服務(wù)變得及時而迅速，這對原有的企業(yè)內(nèi)部財務(wù)控制既是挑戰(zhàn)也是不斷發(fā)展和完善的機遇。

一、網(wǎng)絡(luò)環(huán)境下企業(yè)內(nèi)部財務(wù)控制的新問題

隨著網(wǎng)絡(luò)技術(shù)的推廣使用以及信息化建設(shè)的不斷發(fā)展，以提供財務(wù)信息為主的會計，正由傳統(tǒng)的手工會計系統(tǒng)向電算化會計系統(tǒng)、網(wǎng)絡(luò)會計系統(tǒng)方向發(fā)展，這無疑是企業(yè)管理手段的巨大進步，極大地促進了會計工作效率的提高，但同時也給企業(yè)內(nèi)部財務(wù)控制帶來了新的問題和挑戰(zhàn)，具體表現(xiàn)在：

1.憑證電子化使得會計信息易于被篡改或偽造。在網(wǎng)絡(luò)財務(wù)中，計算機是在程序的控制之下對輸入的數(shù)據(jù)進行加工處理的，財務(wù)數(shù)據(jù)是存儲于磁性介質(zhì)上的，所以，一旦數(shù)據(jù)在審核時出現(xiàn)疏漏，或是在輸入中發(fā)生錯誤，計算機就無法識別。因此，在保證會計信息質(zhì)量真實性、完整性和準(zhǔn)確性等方面，加大了風(fēng)險性。

2.操作人員的權(quán)限變化和計算機操作的便捷性帶來的安全問題。網(wǎng)絡(luò)財務(wù)管理將由核算型財務(wù)向管理型財務(wù)轉(zhuǎn)化，財務(wù)人員在職能劃分和業(yè)務(wù)權(quán)限上也將發(fā)生很大的變化。利用計算機進行舞弊比手工操作下隱蔽性高、防范困難，因而在這種情況下如果控制措施不完善，就有可能使操作人員輕易地、不留痕跡地對所使用的程序和數(shù)據(jù)進行修改，操縱會計運算的結(jié)果。

3.財務(wù)檔案無紙化和電腦操作無形化帶來的風(fēng)險。傳統(tǒng)財務(wù)中的原始憑證因筆跡各異具有可辨認(rèn)性，因多聯(lián)復(fù)寫具有相互牽制性，難以非法修改。而網(wǎng)絡(luò)財務(wù)將實現(xiàn)“無紙化”辦公，電磁化的財務(wù)信息代替了紙質(zhì)憑證、帳簿和報表，這些磁性介質(zhì)上的信息不再是肉眼所能直接識別的，對電子數(shù)據(jù)的修改可以不留任何痕跡，使會計軌跡更加模糊、隱蔽，給審計帶來困難。

4.網(wǎng)絡(luò)環(huán)境的開放性加劇了會計信息失真的風(fēng)險。網(wǎng)絡(luò)環(huán)境具有開放性的特點，這就給會計信息系統(tǒng)的內(nèi)部控制帶來了許多新問題。如在網(wǎng)絡(luò)環(huán)境下，信息來源的多樣性，有可能導(dǎo)致審計線索紊亂，大量會計信息通過網(wǎng)絡(luò)通訊線路傳輸，有可能被非法攔截、竊取甚至篡改，等等。

5.網(wǎng)絡(luò)財務(wù)帶來了企業(yè)組織結(jié)構(gòu)的不適應(yīng)。當(dāng)前的企業(yè)組織主要采用的是“金字塔”式的結(jié)構(gòu)，是高層決策、中層管理、下層執(zhí)行的模式，這符合了管理幅度理論。然而，在網(wǎng)絡(luò)財務(wù)下，由于信息技術(shù)等高科技的采用大大提高了信息的共享性和傳遞的及時性，從而可實現(xiàn)財務(wù)管理的“縱向到底，橫向到邊”，導(dǎo)致了當(dāng)前的企業(yè)組織結(jié)構(gòu)與網(wǎng)絡(luò)財務(wù)需要的環(huán)境不相適應(yīng)。

二、網(wǎng)絡(luò)環(huán)境下企業(yè)內(nèi)部財務(wù)控制中的應(yīng)用

1.整合財務(wù)資源，實現(xiàn)集中式財務(wù)控制模式。企業(yè)集團按照傳統(tǒng)的財務(wù)控制模式，會計信息的收取只能由基層單位編制財務(wù)報表，然后層層匯總上報，最后由集團公司總機構(gòu)對匯總報表進行分析，根據(jù)分析結(jié)果作出決策。這種金字塔式的財務(wù)控制模式，必然導(dǎo)致會計信息滯后，信息的有用性大打折扣，而市場的瞬息萬變，客觀上需要企業(yè)集團必須快速反應(yīng)、及時決策，網(wǎng)絡(luò)財務(wù)的出現(xiàn)使實現(xiàn)集中式財務(wù)控制管理成為現(xiàn)實。

2.執(zhí)行財務(wù)預(yù)算，強化企業(yè)內(nèi)部控制。財務(wù)預(yù)算是財務(wù)控制中目標(biāo)管理的有效手段。財務(wù)預(yù)算的編制采用自上到下和自下到上相結(jié)合的方式，企業(yè)集團通過建立遠程計算機網(wǎng)絡(luò)，將下屬子分公司及項目部的資金流轉(zhuǎn)和預(yù)算執(zhí)行情況都集中在計算機網(wǎng)絡(luò)上，集團公司可以隨時調(diào)用、查詢子分公司的財務(wù)狀況，全面控制各單位的經(jīng)營生產(chǎn)情況，及時發(fā)現(xiàn)存在的問題和偏差，減少經(jīng)營風(fēng)險和制止資產(chǎn)流失。

三、加強網(wǎng)絡(luò)內(nèi)部財務(wù)控制的措施

先進網(wǎng)絡(luò)技術(shù)在企業(yè)信息系統(tǒng)中的運用，給企業(yè)內(nèi)部財務(wù)控制帶來了很大的安全風(fēng)險，但同時，網(wǎng)絡(luò)技術(shù)與業(yè)務(wù)流程的結(jié)合，業(yè)務(wù)和財務(wù)的一體化，資源的高度共享，也給企業(yè)帶來了控制風(fēng)險的機會與工具。加強網(wǎng)絡(luò)內(nèi)部財務(wù)控制，完善企業(yè)內(nèi)部財務(wù)控制體系，實施行之有效的網(wǎng)絡(luò)內(nèi)部財務(wù)控制措施，可以降低風(fēng)險，減少損失，增強企業(yè)實力和競爭力，提高企業(yè)經(jīng)濟效益。

1.實施網(wǎng)上公證制度。就是利用網(wǎng)絡(luò)的實時傳輸功能和日益豐富的互聯(lián)網(wǎng)服務(wù)項目，實現(xiàn)原始交易憑證的第三方監(jiān)控，因而很難偽造或篡改交易憑證。

2.加強組織與管理控制。一方面要探索改革能適合網(wǎng)絡(luò)財務(wù)的企業(yè)組織結(jié)構(gòu)和財務(wù)管理模式。另一方面應(yīng)加強一個財務(wù)部門內(nèi)部的組織與管理挖掘。

3.盡力杜絕企業(yè)現(xiàn)金交易，采用銀行交易。筆者認(rèn)為在當(dāng)今網(wǎng)絡(luò)技術(shù)和交易環(huán)境下，已可以實現(xiàn)完全的銀行交易。不論是對企業(yè)或個人，都可使用銀行票據(jù)或網(wǎng)絡(luò)銀行來進行支付。網(wǎng)上銀行、手機銀行、無線網(wǎng)卡、掌上電腦等等技術(shù)的發(fā)展，已完全可以讓企業(yè)在任何時間、任何地點進行銀行交易。銀行交易會使交易雙方、交易金額、交易方向、交易帳戶信息，清晰明了可追溯，防止了偽造或篡改現(xiàn)象的發(fā)生，加強了網(wǎng)絡(luò)內(nèi)部財務(wù)控制。

參考文獻：

篇5

近年來，由于黑客攻擊而造成全球網(wǎng)絡(luò)大范圍感染病毒或癱瘓的事件時有發(fā)生，產(chǎn)生了巨大的社會影響，也引起了人們極大的關(guān)注，因此防火墻、入侵檢測等防外部攻擊的網(wǎng)絡(luò)安全產(chǎn)品獲得了巨大的發(fā)展機會。

但據(jù)權(quán)威市場調(diào)查機構(gòu)Gartner Group的調(diào)查，在全球損失金額在5萬美元以上的攻擊中，70%都涉及網(wǎng)絡(luò)內(nèi)部攻擊者。一些單位的內(nèi)部人員以合法的身份、合法的訪問權(quán)限，因為誤操作或故意偷竊內(nèi)部數(shù)據(jù)而給單位造成巨大的損失。

外部攻擊影響巨大，但內(nèi)部攻擊危害巨大，為了解決內(nèi)網(wǎng)安全問題，就出現(xiàn)了強審計產(chǎn)品。

強審計最重要的作用是“威懾”，有了強審計系統(tǒng)，犯罪或過失行為都會被記錄下來，原來心存僥幸心理的往往不得不收斂，這也是許多信息系統(tǒng)安裝了強審計系統(tǒng)之后，內(nèi)部上網(wǎng)行為規(guī)范了許多，犯罪行為極大降低的主要原因。

2 強審計的概念

簡單來說，所謂強審計，就是利用日志對網(wǎng)絡(luò)上的行為、蹤跡進行監(jiān)控，并能事后取證的技術(shù)。但是，與傳統(tǒng)的計算機日志相比，強審計的日志是不能隨便刪除、修改的。

強審計技術(shù)應(yīng)該包括5個方面的內(nèi)容：

(1) 網(wǎng)絡(luò)審計，防止非法內(nèi)連和外連；

(2) 數(shù)據(jù)庫審計，以更加細(xì)的粒度對數(shù)據(jù)庫的讀取行為進行跟蹤；

(3) 應(yīng)用系統(tǒng)審計，例如公文流轉(zhuǎn)經(jīng)過幾個環(huán)節(jié)，必須要有清晰的記錄；

(4) 主機審計，包括對終端系統(tǒng)安裝了哪些不安全軟件的審計，并設(shè)置終端系統(tǒng)的權(quán)限等等；

(5) 介質(zhì)審計，包括光介質(zhì)、磁介質(zhì)和紙介質(zhì)的審計，防止機密信息通過移動U盤、非法打印或者照相等多個環(huán)節(jié)從信息系統(tǒng)中泄密。

本文將從網(wǎng)絡(luò)審計、應(yīng)用系統(tǒng)審計、主機審計、介質(zhì)審計四個方面入手，介紹一種內(nèi)網(wǎng)安全管理系統(tǒng)模型。

3 系統(tǒng)組成與部署

系統(tǒng)由中心服務(wù)器、網(wǎng)絡(luò)探測器和終端安全三個部分組成。

網(wǎng)絡(luò)探測器的硬件為Intel兼容的多網(wǎng)口專用硬件，操作系統(tǒng)為經(jīng)過系統(tǒng)裁減和安全增強的Linux，運行網(wǎng)絡(luò)探測、數(shù)據(jù)截獲及數(shù)據(jù)流分析程序，實現(xiàn)接入審計、流量分析、阻斷等功能。

終端安全安裝并運行于x86架構(gòu)的Windows操作系統(tǒng)上，負(fù)責(zé)搜集終端主機的基本信息和安全事件，并根據(jù)策略對外部設(shè)備進行相應(yīng)控制，同時將審計、告警信息發(fā)送到中心服務(wù)器。

中心服務(wù)器是內(nèi)網(wǎng)安全管理系統(tǒng)的核心，其硬件平臺為Intel服務(wù)器架構(gòu)，有兩個以太網(wǎng)絡(luò)接口，運行經(jīng)過裁減和安全增強的Linux核心。負(fù)責(zé)對網(wǎng)內(nèi)所有的網(wǎng)絡(luò)探測器進行配置和管理，各種安全策略的集中配置和分發(fā)，管理上傳的所有審計日志和告警信息，提供簡便靈活的日志管理工具。

系統(tǒng)部署如圖所示。

圖中上方連接中心服務(wù)器和網(wǎng)絡(luò)探測器的為系統(tǒng)內(nèi)部通信管理網(wǎng)絡(luò)，承擔(dān)系統(tǒng)部件間的主要通信和管理，通過交叉線直接連接或者內(nèi)部通信交換機連接；圖的下半部分為用戶單位的工作網(wǎng)絡(luò)，各設(shè)備和工作主機通過交換機連接。

4 系統(tǒng)功能

4.1 網(wǎng)絡(luò)層審計

網(wǎng)絡(luò)層審計主要實現(xiàn)了網(wǎng)絡(luò)探測、非法接入監(jiān)控、數(shù)據(jù)截獲、流量統(tǒng)計和網(wǎng)絡(luò)行為審計。這些功能都由網(wǎng)絡(luò)探測器來實現(xiàn)，并將相關(guān)數(shù)據(jù)通過內(nèi)部通信管理網(wǎng)絡(luò)發(fā)送到中心服務(wù)器。

(1) 網(wǎng)絡(luò)地址的探測

網(wǎng)絡(luò)地址的發(fā)現(xiàn)通過接入子網(wǎng)內(nèi)部的網(wǎng)絡(luò)探測器主動掃描和被動監(jiān)聽arp包實現(xiàn)，能發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)所有主機的IP和MAC地址，有利于管理員從宏觀上掌握整個網(wǎng)絡(luò)的具體情況。

(2) 非法接入的發(fā)現(xiàn)和阻斷

對于非法接入的主機，系統(tǒng)提供人工干預(yù)方式和托管方式。在人工方式下，對非法主機接入行為進行告警，由管理員確定是否需要阻斷。在托管方式下，對非法接入主機通過一定的策略自動對其進行阻斷。

(3) 網(wǎng)絡(luò)數(shù)據(jù)的截獲

對于需要監(jiān)聽的子網(wǎng)，在交換機上配置相應(yīng)的鏡像口，同時將網(wǎng)絡(luò)探測器的一個網(wǎng)口連到該鏡像口上，啟動網(wǎng)絡(luò)監(jiān)聽程序以旁路方式截獲內(nèi)外網(wǎng)的通信數(shù)據(jù)。

(4) 流量的統(tǒng)計

網(wǎng)絡(luò)探測器根據(jù)監(jiān)聽到的內(nèi)外網(wǎng)通信的IP數(shù)據(jù)報文分析內(nèi)網(wǎng)中主機的網(wǎng)絡(luò)行為。流量審計記載的信息有內(nèi)網(wǎng)IP和端口、協(xié)議、外網(wǎng)IP和端口，以及發(fā)送和接收的字節(jié)數(shù)等?？赏ㄟ^直觀的圖表方式反映網(wǎng)絡(luò)行為的變化和趨勢。

(5) 文件傳輸及郵件審計

分析網(wǎng)絡(luò)中的pop3、smtp、ftp、http等協(xié)議數(shù)據(jù)流，從而還原出內(nèi)網(wǎng)主機上傳下載文件和收發(fā)郵件的行為。

4.2 應(yīng)用層審計

應(yīng)用層審計主要實現(xiàn)了受控終端安全事件的審計。這些審計信息都由終端安全來收集，并定時發(fā)送到中心服務(wù)器上。

(1) URL歷史審計

URL歷史審計記錄終端用戶IE瀏覽的歷史信息。審計的同時將瀏覽信息分類為http瀏覽、https瀏覽、ftp瀏覽和最近打開的文檔。

(2) 應(yīng)用程序?qū)徲?/p>

為了讓管理員掌握內(nèi)網(wǎng)中各個終端的應(yīng)用情況，終端安全通過獲取終端進程信息定時審計本終端正在運行哪些程序。該審計對系統(tǒng)運轉(zhuǎn)必須的一些進程進行了過濾，并且根據(jù)一般經(jīng)驗將終端運行的應(yīng)用程序分為三類：安全相關(guān)的應(yīng)用、工作相關(guān)的應(yīng)用和其它應(yīng)用。

(3) 文件操作審計

文件操作審計通過遠程注入相關(guān)進程并攔截執(zhí)行文件操作的函數(shù)，實時記錄終端用戶通過命令行方式或GUI方式創(chuàng)建、拷貝、移動（重命名）、刪除文件的操作。審計過程中對臨時目錄文件、回收站文件進行過濾，避免了過量審計。

(4) 系統(tǒng)共享審計

“共享”作為一種開放資源，為終端用戶提供方便的同時也給惡意程序以可乘之機。系統(tǒng)共享審計通過創(chuàng)建異步事件通知接收器捕獲創(chuàng)建、取消系統(tǒng)共享的操作事件及時間，再通過獲取事件實例屬性審計其共享名和共享路徑名，幫助管理員了解內(nèi)網(wǎng)某臺終端當(dāng)前開啟了哪些共享以及共享開啟/關(guān)閉的歷史情況。

(5) 系統(tǒng)服務(wù)修改審計

Windows服務(wù)能夠創(chuàng)建在它們自己的Windows會話中長時間運行的可執(zhí)行應(yīng)用程序，一些惡意程序常以服務(wù)的形式創(chuàng)建和運行。系統(tǒng)服務(wù)修改審計通過創(chuàng)建異步事件通知接收器捕獲系統(tǒng)服務(wù)修改事件，再通過獲取事件實例屬性審計服務(wù)的名稱、服務(wù)描述、啟動屬性、運行狀態(tài)，幫助管理員了解是否有可疑的服務(wù)修改動作。

(6) 注冊表審計

注冊表中存儲了系統(tǒng)的大量重要信息，在很大程度上“指揮”電腦怎樣工作，而一些惡意程序也通過修改注冊表來達到其目的。通過審計注冊表的修改，可以捕捉到這些惡意程序的蛛絲馬跡。注冊表修改的審計是通過在系統(tǒng)內(nèi)核中實時截獲系統(tǒng)服務(wù)實現(xiàn)的，通過該方法可以截獲到通過手工或軟件實現(xiàn)的注冊表修改操作。將截獲到的操作進行過濾，只記錄其中與安全密切相關(guān)的部分操作的信息。

(7) 安全軟件執(zhí)行審計

為了防止內(nèi)網(wǎng)主機繞過邊界防護從外界感染病毒或木馬，隨后又成為向內(nèi)網(wǎng)傳播病毒、木馬的源頭，終端的安全防護十分必要，終端安全防護的強度和普及率從整體上反映了內(nèi)網(wǎng)安全的一個重要方面。終端安全定時審計各個終端防病毒軟件、防火墻軟件的運行情況，為管理員掌握內(nèi)網(wǎng)安全軟件執(zhí)行情況提供信息。

(8) 非法外連的控制和審計

一般政府部門的內(nèi)網(wǎng)是不允許隨意連入互聯(lián)網(wǎng)的，但總有一些人有意或無意進行違規(guī)操作，給內(nèi)網(wǎng)造成威脅。終端安全中加入了非法外連控制模塊，一旦檢測到主機能連上互聯(lián)網(wǎng)，就立刻切斷它與互聯(lián)網(wǎng)的連接，并對外連行為進行記錄。

4.3 主機系統(tǒng)審計

主機系統(tǒng)審計搜集的信息主要包括CPU類型、內(nèi)存大小、磁盤分區(qū)、網(wǎng)絡(luò)接口、操作系統(tǒng)類型、已安裝的應(yīng)用軟件和系統(tǒng)升級補丁的相關(guān)信息。其中，CPU類型、內(nèi)存大小、磁盤分區(qū)、網(wǎng)絡(luò)接口、操作系統(tǒng)類型等信息是通過調(diào)用相應(yīng)的WIN32 API獲得的；而已安裝的應(yīng)用軟件和系統(tǒng)升級補丁等信息則是通過查詢注冊表獲得的。

4.4 介質(zhì)審計和控制

這里的介質(zhì)主要包括光盤、U盤、移動硬盤、網(wǎng)絡(luò)驅(qū)動器，這些設(shè)備的使用方便了數(shù)據(jù)的移動，但任意使用的同時也給管理帶來了問題。介質(zhì)審計通過獲取“設(shè)備接入”或“設(shè)備撤銷”的系統(tǒng)消息，實時獲知移動存儲設(shè)備的啟用和撤銷，隨后獲取接入設(shè)備類型和所分配到的盤符，為分析移動存儲設(shè)備上的數(shù)據(jù)流動提供必要信息。

介質(zhì)控制是根據(jù)策略對光驅(qū)、軟盤、USB移動存儲盤、串口、并口、紅外、1394、PCMCIA卡、調(diào)制解調(diào)器、藍牙等設(shè)備進行禁用，從而避免了內(nèi)網(wǎng)數(shù)據(jù)被有意或者無意泄漏出去。對接入主機的USB存儲介質(zhì)可以進行單向控制，管理員根據(jù)需要設(shè)定存儲設(shè)備的使用權(quán)限（只讀或者讀寫），既保留了移動設(shè)備的方便性，又堵截了移動存儲設(shè)備可能帶來的安全隱患。

5 系統(tǒng)特點

(1) 全面的系統(tǒng)自身安全防護體系

系統(tǒng)使用精簡系統(tǒng)、身份認(rèn)證、加密通信、操作系統(tǒng)安全性增強和隔離等多種技術(shù)和管理手段保證自身安全。系統(tǒng)通過對Linux核心的精簡和安全加固，首先確保硬件平臺操作系統(tǒng)的安全性；系統(tǒng)所有設(shè)備的通信口單獨組成管理網(wǎng)絡(luò)，從架構(gòu)上保證系統(tǒng)的安全性；基于軟、硬件的身份認(rèn)證，從管理上維護系統(tǒng)的安全性。

終端安全從注冊表保護、文件保護、進程保護、防卸載四個方面完成對自身的保護。

(2) 科學(xué)的內(nèi)部安全策略管理機制

支持內(nèi)部網(wǎng)絡(luò)的組群工作模式，能夠?qū)⒂嬎銠C根據(jù)安全策略的不同分成安全組進行管理，對相同的組采用系統(tǒng)定制的策略模板或自定義策略模板進行集中的管理和審計，極大地提高了管理效率。

(3) 強大的終端控制功能

根據(jù)監(jiān)察與審計管理中心的策略配置，可以對非法接入網(wǎng)絡(luò)的主機進行網(wǎng)絡(luò)阻斷；為了防止信息外泄，可以禁用主機的串口、并口、1394、紅外、USB、藍牙等外部設(shè)備，可以對USB存儲設(shè)備進行讀寫控制；為了杜絕內(nèi)部網(wǎng)與Internet網(wǎng)的連接，所有安裝終端安全的主機的非法外連將被切斷。

6 結(jié)束語

本系統(tǒng)對內(nèi)網(wǎng)的管理具有策略靈活和高效的特點，能夠?qū)⒏鲉挝坏慕^大多數(shù)基于Windows架構(gòu)的個人桌面系統(tǒng)納入管理的范疇。通過本系統(tǒng)的應(yīng)用，能夠增強內(nèi)部網(wǎng)絡(luò)整體的安全性能，提供安全、方便的內(nèi)網(wǎng)安全管理，解決目前內(nèi)網(wǎng)中亟待解決的安全隱患，并且形成防范與威懾力量，防止內(nèi)部人員的違規(guī)操作。

作者簡介

篇6

網(wǎng)絡(luò)系統(tǒng)構(gòu)建之前，首選需要弄清楚的就是網(wǎng)絡(luò)安全運行需求，這是后期制定安全運行方案的基礎(chǔ)和前提。一般情況下，校園網(wǎng)絡(luò)安全需求主要涉及到以下幾個方面內(nèi)容：其一，在網(wǎng)絡(luò)互聯(lián)的基礎(chǔ)上保證通訊處于安全狀態(tài)，這是最基本的要求；其二，服務(wù)器系統(tǒng)安全檢測，評估效能的發(fā)揮，能夠?qū)τ诓话踩袨檫M行阻擋，以保證系統(tǒng)的安全運行；其三，應(yīng)用系統(tǒng)的安全性需求，也就是說關(guān)鍵應(yīng)用系統(tǒng)能夠在認(rèn)證管理下，形成防病毒體系，保證各個入口的安全連接；其四，業(yè)務(wù)系統(tǒng)的安全需求，避免網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)對于業(yè)務(wù)系統(tǒng)造成危害；其五，健全的校園網(wǎng)絡(luò)安全管理規(guī)章，保證校園網(wǎng)的安全運行。

2校園網(wǎng)絡(luò)安全總體設(shè)計思路

針對于校園網(wǎng)網(wǎng)絡(luò)運行的基本需求，對于校園網(wǎng)絡(luò)安全進行規(guī)劃設(shè)計，并且在此基礎(chǔ)上構(gòu)建完善的校園安全體系結(jié)構(gòu)，是保證校園網(wǎng)安全性的關(guān)鍵一步。在此過程中不僅僅需要滿足上述的安全需求，還要對于可能出現(xiàn)的安全問題進行預(yù)警，以保證設(shè)計體系的合理性和科學(xué)性。具體來講，其主要設(shè)計到以下內(nèi)容：其一，以獨立的VLAN，MAC地址綁定和ACL訪問控制列表來進行VPN網(wǎng)絡(luò)子系統(tǒng)的安全控制和管理，可以保證數(shù)據(jù)傳輸?shù)陌踩燃夁_到最佳水平；其二，以網(wǎng)絡(luò)安全檢測子系統(tǒng)的構(gòu)建，并在校園網(wǎng)中WWW服務(wù)器和Email服務(wù)器進行應(yīng)用，在此基礎(chǔ)上對于網(wǎng)絡(luò)傳輸內(nèi)容進行監(jiān)督和管理，并且形成相應(yīng)的數(shù)據(jù)庫，避免非法內(nèi)容進入校園網(wǎng)；其三，針對于安全需求，設(shè)置相應(yīng)的安全防火墻，以雙機設(shè)備方式去運行，實現(xiàn)防火墻子系統(tǒng)的構(gòu)建；其三，基于控制中西和探測引擎技術(shù)構(gòu)建入侵檢測子系統(tǒng)體系，對于入侵行為進行監(jiān)督和管理，并且將其屏蔽在網(wǎng)絡(luò)安全范圍之外；其四，全面升級網(wǎng)絡(luò)系統(tǒng)的防毒系統(tǒng)，實現(xiàn)對于客戶端PC機器的安全控制，形成統(tǒng)一的防毒服務(wù)器；其五，建立有效的漏洞掃描系統(tǒng)，實現(xiàn)自動修復(fù)和檢查漏洞，保證補丁工作的全面開展；其六，針對于校園內(nèi)部的侵襲行為，可以以建立內(nèi)部子網(wǎng)審計功能的方式去實現(xiàn)內(nèi)部網(wǎng)絡(luò)運行質(zhì)量的提高；其七，建立健全完善的校園網(wǎng)安全運行管理制度體系，為開展一切安全管理工作打下基礎(chǔ)。

3整體構(gòu)建校園網(wǎng)絡(luò)安全體系的實現(xiàn)途徑

校園網(wǎng)絡(luò)安全體系涉及到多方面的內(nèi)容，一般情況下會將其歸結(jié)為物理層，鏈路層，網(wǎng)絡(luò)層，應(yīng)用層等幾個方面。

3.1物理層安全體系實現(xiàn)途徑物理層的安全性能主要針對于線路的破壞，線路的竊聽，物理通路的干擾等安全缺陷問題。對此，需要做好以下工作：其一，采用雙網(wǎng)結(jié)構(gòu)作為拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)方式，內(nèi)外網(wǎng)使用不同的服務(wù)器，實現(xiàn)不同信道的運行，使得信息處于不同的高度路上運轉(zhuǎn)，不僅僅可以營造安全的運行狀態(tài)，還可以使得系統(tǒng)運行壓力降低；其二，以雙網(wǎng)物理隔離的方式去實現(xiàn)內(nèi)外網(wǎng)布線系統(tǒng)的構(gòu)建，從根本上杜絕了黑客入侵的可能性，同時還合理設(shè)置，避免出現(xiàn)內(nèi)外網(wǎng)同時使用的情況。

3.2鏈路層安全體系實現(xiàn)途徑鏈路層安全體系構(gòu)建是保證網(wǎng)絡(luò)鏈路傳送數(shù)據(jù)安全性為根本性目的，主要使用的技術(shù)手段有局域網(wǎng)和加密通訊手段。具體來講，其一，在交換機配置端口安全選項中，盡量將CAM表進行淹沒；其二，在中繼端口實現(xiàn)VLANID的專業(yè)化設(shè)置，保證端口設(shè)置成為非中繼模式；其三，進行MAC地址綁定設(shè)置，避免出現(xiàn)IP地址被盜用。

3.3網(wǎng)絡(luò)層安全體系實現(xiàn)途徑網(wǎng)絡(luò)層安全體系構(gòu)建，主要是保證網(wǎng)絡(luò)時能給授予權(quán)限的客戶使用，避免出現(xiàn)攔截或者監(jiān)聽的情況。為了實現(xiàn)這樣的目標(biāo)，應(yīng)該從以下幾個角度入手：其一，設(shè)置硬件防火墻，運行訪問控制技術(shù)程序，一旦遇到安全問題，使得其處于隔離狀態(tài)；其二，網(wǎng)絡(luò)入侵檢測系統(tǒng)IDS的使用，能夠?qū)τ诰W(wǎng)絡(luò)入侵行為進行監(jiān)督，由此構(gòu)建起來第二道安全閘門；其三，在路由交換設(shè)備上進行安全技術(shù)應(yīng)用，如VPN技術(shù)，加密機制及時，審計和監(jiān)控技術(shù)等，都是其重要內(nèi)容。

3.4應(yīng)用層安全體系的實現(xiàn)途徑對于應(yīng)用層來講，其安全體系的構(gòu)建需要做到以下幾點：其一，建立網(wǎng)絡(luò)病毒防火墻，避免內(nèi)外病毒對于網(wǎng)絡(luò)文件系統(tǒng)的破壞；其二，設(shè)置服務(wù)器，盡可能的保護自己的IP地址；其三，構(gòu)建操作系統(tǒng)補丁自動分發(fā)系統(tǒng)，保證能夠及時的進行安全漏洞的修復(fù)；其四，積極開展認(rèn)證和授權(quán)管理工作，對于多重身份認(rèn)證和用戶角色授權(quán)進行審計，以保證系統(tǒng)的安全性。

4結(jié)束語

篇7

關(guān)鍵詞:計算機網(wǎng)絡(luò);安全;因素;對策

中圖分類號:TP393.08文獻標(biāo)識碼:A 文章編號:1673-0992(2010)05A-0051-01

21世紀(jì)的重要特征是數(shù)字化、網(wǎng)絡(luò)化和信息化,計算機網(wǎng)絡(luò)的飛速發(fā)展給人類社會的科學(xué)與技術(shù)帶來了巨大的推動與沖擊,同時也產(chǎn)生了網(wǎng)絡(luò)信息與安全的問題。鑒于信息網(wǎng)絡(luò)的巨大作用和廣泛而深刻的影響,網(wǎng)絡(luò)安全問題受到了社會高度的關(guān)注。近年來,由于計算機網(wǎng)絡(luò)連接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素,再加上人類計算機技術(shù)的普遍提高,致使計算機網(wǎng)絡(luò)遭受病毒、黑客、惡意軟件和其他不軌行為的攻擊越演愈烈。為確保信息的安全與網(wǎng)絡(luò)暢通,研究計算機網(wǎng)絡(luò)的安全與防護措施已迫在眉睫。

一、計算機安全的定義

計算機網(wǎng)絡(luò)安全包涵“網(wǎng)絡(luò)安全”和“信息安全”兩個部分。網(wǎng)絡(luò)安全和信息安全是確保網(wǎng)絡(luò)上的硬件資源、軟件資源和信息資源不被非法用戶破壞和使用。國際標(biāo)準(zhǔn)化組織(ISO)將“計算機安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護,保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網(wǎng)絡(luò)安全性的含義是信息安全的引申,即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護。

二、影響計算機網(wǎng)絡(luò)安全的主要因素

1.網(wǎng)絡(luò)系統(tǒng)本身的問題。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞,如UNIX、MSNT和Windows。黑客往往就是利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)的。具體包括以下幾個方面:①穩(wěn)定性和可擴充性方面,由于設(shè)計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮,因而使其受到影響;②網(wǎng)絡(luò)硬件的配置不協(xié)調(diào):一是文件服務(wù)器,它是網(wǎng)絡(luò)的中樞,其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。二是網(wǎng)卡選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定,缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權(quán)限,忽視了這些權(quán)限可能會被其他人員濫用。

2.軟件漏洞。每一個操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地,一旦連接人網(wǎng),將成為眾矢之的。

3.病毒的威脅。目前數(shù)據(jù)安全的頭號大敵是計算機病毒,它是編制或者在計算機程序中插入的破壞計算機功能或數(shù)據(jù),影響計算機軟件、硬件的正常運行并且能夠自我復(fù)制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性幾大特點。

4.來自內(nèi)部網(wǎng)用戶的安全威脅。來自內(nèi)部用戶的安全威脅遠大于外部網(wǎng)用戶的安全威脅,使用者缺乏安全意識,許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮較少,如果系統(tǒng)設(shè)置錯誤,很容易造成損失,并且管理制度不健全,網(wǎng)絡(luò)維護沒有在一個安全設(shè)計充分的網(wǎng)絡(luò)中,人為因素造成的安全漏洞無疑是整個網(wǎng)絡(luò)安全性的最大隱患。

5.缺乏有效的手段監(jiān)視、硬件設(shè)備的正確使用及評估網(wǎng)絡(luò)系統(tǒng)的安全性。完整準(zhǔn)確的安全評估是黑客入侵防范體系的基礎(chǔ)。它對現(xiàn)有或?qū)⒁獦?gòu)建的整個網(wǎng)絡(luò)的安全防護性能作出科學(xué)、準(zhǔn)確的分析評估,并保障將要實施的安全策略技術(shù)上的可實現(xiàn)性、經(jīng)濟上的可行性和組織上的可執(zhí)行性。網(wǎng)絡(luò)安全評估分析就是對網(wǎng)絡(luò)進行檢查,查找其中是否有可被黑客利用的漏洞,對系統(tǒng)安全狀況進行評估、分析,并對發(fā)現(xiàn)的問題提出建議從而提高網(wǎng)絡(luò)系統(tǒng)安全性能的過程。評估分析技術(shù)是一種非常行之有效的安全技術(shù)。

三、維護計算機網(wǎng)絡(luò)安全的對策

1.依據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》和《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》建立健全各種安全機制、各種網(wǎng)絡(luò)安全制度,加強網(wǎng)絡(luò)安全教育和培訓(xùn)。

2.加強網(wǎng)絡(luò)病毒的防范。在網(wǎng)絡(luò)環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品,加強上網(wǎng)計算機的安全。

3.配置防火墻。利用防火墻,在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡(luò),同時將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),防止他們的侵襲、破壞。

4.采用入侵檢測系統(tǒng)。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而限制這些活動,以保護系統(tǒng)的安全。

5.漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)層安全問題,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估,顯然是不現(xiàn)實的。解決的方案是,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具。

6.利用網(wǎng)絡(luò)監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決,對于網(wǎng)絡(luò)內(nèi)部的侵襲,可以采用對各個子網(wǎng)做一個具有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序,長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機間相互聯(lián)系的情況,為系統(tǒng)中各個服務(wù)器的審計文件提供備份。

網(wǎng)絡(luò)安全與網(wǎng)絡(luò)發(fā)展息息相關(guān),也與社會生產(chǎn)和生活關(guān)聯(lián)密切、影響重大,加強計算機網(wǎng)絡(luò)安全監(jiān)管、維護網(wǎng)絡(luò)安全,建立一個良好的計算機網(wǎng)絡(luò)安全系統(tǒng)是對社會發(fā)展事業(yè)做出的一項重大貢獻。只有多管齊下,內(nèi)外兼治,才能生成一個高效、安全的網(wǎng)絡(luò)系統(tǒng)。⑤①

參考文獻:

[1]吳鈺鋒、劉泉、李方敏.網(wǎng)絡(luò)安全中的密碼技術(shù)研究及其應(yīng)用[J].真空電子技術(shù),2004

篇8

關(guān)鍵詞：網(wǎng)絡(luò)；安全漏洞；主機的探測；網(wǎng)絡(luò)的探測

中圖分類號：TP393 文獻標(biāo)識碼：A文章編號：1009-3044(2007)17-31288-03

Detection Network Vulnerability Analysis

BAI Bin

(Corps Party School,Wujiaqu 831300,China)

Abstract: Apply along with the network of further thorough, the network safety a problem for day outstanding.In this paper, we first analyzed techniques for vulnerability finding, including theories as well as methods, and then illustrated in detail the network based vulnerability scanning system developed by us.

Key words:Internet;vulnerability finding;host-based vulnerability finding;network-based vulnerability finding

1 概述

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全變的越來越重要，然而龐大而復(fù)雜的網(wǎng)絡(luò)體系也存在很多漏洞，檢查這些漏洞也變的非常的不容易。通過研究漏洞探測技術(shù)開發(fā)漏洞掃描軟件不僅減輕了管理者的工作，而且縮短了檢測時間，因而成為網(wǎng)管的重要工具。漏洞探測技術(shù)是檢測遠程或本地主機安全脆弱性的技術(shù)，它通過獲取主機信息或者與主機TCP/IP端口建立連接并請求服務(wù)，記錄目標(biāo)主機的應(yīng)答，從而發(fā)現(xiàn)主機或網(wǎng)絡(luò)內(nèi)在的安全弱點。由于它把煩瑣的安全檢測過程通過程序自動完成。目前，國際國內(nèi)市場上存在著許多漏洞探測類產(chǎn)品，盡管從外觀和界面上看千差萬別，但其功能和實現(xiàn)原理都類似。

2 漏洞探測技術(shù)的分類

漏洞探測技術(shù)有2種主要的分類方法。根據(jù)探測方法，可以將漏洞探測分為靜態(tài)檢查和動態(tài)測試法：

(1)靜態(tài)檢查：根據(jù)安全脆弱點數(shù)據(jù)庫，建立特定于具體網(wǎng)絡(luò)環(huán)境和系統(tǒng)的檢測表，表中存放了關(guān)于己知的脆弱點和配置錯誤的內(nèi)容，檢查程序逐項檢查表中的每一項并和系統(tǒng)進行對比。如果系統(tǒng)與之相符，則該項通過了檢測。若不相符，則報告并建議修復(fù)措施。例如：對管理員賬號：限制以管理員注冊的用戶個數(shù)：限制通過網(wǎng)絡(luò)的管理員登錄等。

(2)動態(tài)測試：應(yīng)用特定的腳本或程序，去檢查或試探主機或網(wǎng)絡(luò)是否具有某種脆弱點。

根據(jù)探測的目標(biāo)，探測技術(shù)可以分為基于主機的探測和基于網(wǎng)絡(luò)的探測：①基于主機的探測：探測程序運行在所探測的主機上，檢測本主機的安全情況。由于它是從系統(tǒng)內(nèi)部發(fā)起的，因而又叫內(nèi)部掃描。運行者必須擁有一定的權(quán)限。②基于網(wǎng)絡(luò)的探測：探測器處于本地網(wǎng)絡(luò)或遠程的某個網(wǎng)絡(luò)，通過發(fā)送和接收網(wǎng)絡(luò)數(shù)據(jù)來分析網(wǎng)絡(luò)上主機的安全漏洞，也叫外部掃描。實際上，外部掃描器就是模擬黑客的入侵過程，它不需要擁有目標(biāo)系統(tǒng)的帳號。本文主要討論基于網(wǎng)絡(luò)的探測技術(shù)。

3 基于網(wǎng)絡(luò)的探測技術(shù)原理和技術(shù)

基于網(wǎng)絡(luò)的漏洞探測目的是探測指定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、交換機、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，模擬攻擊，以測試系統(tǒng)的防御能力，找出可能的修補方法，從而使系統(tǒng)更加安全可靠?！爸褐?、百戰(zhàn)不殆”，利用基于網(wǎng)絡(luò)的探測器，不僅可以知道自身潛在的缺陷，而且，能及時發(fā)現(xiàn)對方的弱點，是現(xiàn)代信息的關(guān)鍵一步。在現(xiàn)代信息社會，基于網(wǎng)絡(luò)的探測工具，不僅是網(wǎng)絡(luò)管理員用于發(fā)現(xiàn)潛在漏洞的利器，也經(jīng)常被黑客用來掃描網(wǎng)絡(luò)上的目標(biāo)和受害者 無論目的如何，網(wǎng)絡(luò)探測器的原理都類似：它們向目標(biāo)發(fā)送特殊制作的數(shù)據(jù)包，通過檢查目標(biāo)的反應(yīng)，以及分析目標(biāo)應(yīng)答的內(nèi)容和形式，判定目標(biāo)是否存在某個已知的脆弱點。為了提高發(fā)現(xiàn)脆弱點的效率，探測系統(tǒng)不僅把探測的過程自動化，而且一般把相關(guān)的多個漏洞探測集成，例如，如果發(fā)現(xiàn)目標(biāo)開放FTP服務(wù)，則探測是否能匿名登錄，如果能匿名登錄，則看是否可以向根目錄寫，如果可以，則目標(biāo)可能被黑客攻擊。目前，市場上存在著許多安全漏洞探測產(chǎn)品，它們的原理類似，區(qū)別在于實現(xiàn)的方法不同。有純軟件產(chǎn)品，有軟硬一體化產(chǎn)品，有windows下的實現(xiàn)，有Unix系列操作系統(tǒng)上的實現(xiàn);探測的脆弱點的種類不同，一般都能探測出國際上的主要漏洞信息:效率不同，用戶接口不同，一般分為圖形用戶界面或命令行形式。下面簡要介紹幾個流行的自由軟件。

(1)Nmap是一個優(yōu)秀的信息收集和掃描的工具。它能掃描整個網(wǎng)絡(luò)或一臺主機上的開放端口，還能使用TCP/IP指紋來識別遠程主機的操作系統(tǒng)類型。

(2)Satan是最早出現(xiàn)的安全審計工具。它包括一個關(guān)于網(wǎng)絡(luò)安全問題的檢測表，通過網(wǎng)絡(luò)檢查特定系統(tǒng)或者子網(wǎng)中具有的弱點，并報告它的發(fā)現(xiàn)。它能檢查的弱點包括:NFS的導(dǎo)出權(quán)限、NIS的口令文件、 Sendmail的各種弱點、FTP、wu-ftpd和TFTP的配置問題、遠程Shell的訪問權(quán)限、windows是否提供無限制訪問等。

(3)Nessus不僅是安全審計工具，也是公認(rèn)的目前最好的漏洞探測軟件。由J.Forristal等組織的脆弱性分析產(chǎn)品性能測試中，Nessus比NetRecon,HackShield,Retina,Inter-netScanner,CyberCop Scanner等著名的產(chǎn)品發(fā)現(xiàn)漏洞的準(zhǔn)確性還高，在參加測試的產(chǎn)品中位居第一。國內(nèi)許多安全探測系統(tǒng)都采納了它的結(jié)構(gòu)以及現(xiàn)有的成果。Nessus系統(tǒng)由客戶和服務(wù)器2部分組成?？蛻舳藶楣芾韱T提供基于TCPIIP協(xié)議的遠程GUI管理界面或命令行界面，允許管理員對掃描目標(biāo)、掃描的種類、掃描的方式進行定制。服務(wù)器負(fù)責(zé)根據(jù)管理者的配置啟動/停止相應(yīng)的掃描部件，此外它還提供了用戶管理、客戶服務(wù)器間的認(rèn)證以及加密數(shù)據(jù)傳輸?shù)取?/p>

4 基于網(wǎng)絡(luò)的安全漏洞探測系統(tǒng)

4.1 系統(tǒng)介紹

我們以Nessus為基礎(chǔ)，采用插件結(jié)構(gòu)，研制了面向網(wǎng)絡(luò)的漏洞探測工具，并把它與脆弱性數(shù)據(jù)庫建立聯(lián)系，以展示探測的完備性。系統(tǒng)整體結(jié)構(gòu)如圖1所示。

篇9

【關(guān)鍵詞】數(shù)字化；校園網(wǎng)；安全隱患；安全機制

數(shù)字化校園網(wǎng)以計算機技術(shù)和數(shù)字化技術(shù)為基礎(chǔ)，采用先進的信息工具和手段，實現(xiàn)教育、科研、管理等學(xué)校信息資源的采集、處理、應(yīng)用等的數(shù)字化管理，從而創(chuàng)造一個良好的網(wǎng)絡(luò)教育環(huán)境。

一、學(xué)校數(shù)字化校園網(wǎng)存在安全隱患

隨著計算機信息技術(shù)的發(fā)展，網(wǎng)絡(luò)廣泛應(yīng)用于信息媒體交換的各個領(lǐng)域。隨著學(xué)校信息化的建設(shè)，校園網(wǎng)具有開放性、互聯(lián)性以及多樣連接的特點，有利于充分利用教學(xué)資源，進行信息交流，但是由于網(wǎng)絡(luò)自身的技術(shù)隱患以及人為隱患，校園網(wǎng)的安全問題至關(guān)重要。

校園網(wǎng)數(shù)據(jù)的破壞，會影響教育教學(xué)的成效，比如非法更改考試成績，學(xué)生信息等，甚至還可能盜取學(xué)校的機密文件以及學(xué)校的招生政策等，從而給學(xué)校造成巨大的損失。另外，校園網(wǎng)用戶接入點的數(shù)量非常大，使用率非常高，而大部分管理功能都是由網(wǎng)絡(luò)中心完成的，所以網(wǎng)絡(luò)中心的負(fù)荷量非常大，包括網(wǎng)站的維護、網(wǎng)絡(luò)相關(guān)費用。

學(xué)校校園網(wǎng)的主要服務(wù)對象是學(xué)生。學(xué)生處于玩耍時期，經(jīng)常玩游戲、下載電影，會嚴(yán)重影響網(wǎng)絡(luò)速度，阻塞網(wǎng)絡(luò)的正常運行。有些學(xué)生安全隱患意識差，經(jīng)常瀏覽未知網(wǎng)頁，接收陌生人發(fā)來的郵件或者未知文件，點擊存在安全隱患的網(wǎng)站，這些行為都可能使校園網(wǎng)遭受黑客的攻擊，導(dǎo)致校園網(wǎng)病毒泛濫，數(shù)據(jù)信息丟失，造成網(wǎng)絡(luò)癱瘓。

二、實施學(xué)校數(shù)字化校園網(wǎng)安全機制

建立一個高效運行、科學(xué)合理的安全機制的數(shù)字化校園網(wǎng)，具有非常重要的意義。為了解決校園網(wǎng)存在的安全隱患，必須采用多種安全防范技術(shù)，保證數(shù)字化校園網(wǎng)的正常運行。解決網(wǎng)絡(luò)安全問題，僅僅依靠網(wǎng)絡(luò)管理員的經(jīng)驗和技術(shù)是不夠的，面對極其復(fù)雜和不斷變化的網(wǎng)絡(luò)環(huán)境，必須找出存在的安全隱患以及安全漏洞，進行科學(xué)合理的風(fēng)險評估，采用先進防范技術(shù)，優(yōu)化網(wǎng)絡(luò)配置，消除安全隱患。

1 采取防火墻技術(shù)和入侵檢測技術(shù)

防火墻可以保護網(wǎng)絡(luò)內(nèi)部操作環(huán)境。防火墻通過數(shù)據(jù)信息的源地址、目的地址以及網(wǎng)絡(luò)協(xié)議，監(jiān)測、控制以及更改跨越防火墻的數(shù)據(jù)流，決定站點是否允許訪問，從而避免非法用戶的入侵。防火墻就像一個隔離器，監(jiān)控內(nèi)部網(wǎng)和外界網(wǎng)絡(luò)之間的活動，有效地對外隔離，實現(xiàn)網(wǎng)絡(luò)的安全。防火墻技術(shù)是防止外部非授權(quán)訪問以及黑客攻擊的重要途徑，也是實現(xiàn)網(wǎng)絡(luò)安全的有效策略。

根據(jù)數(shù)字化校園網(wǎng)的實際環(huán)境，可以合理設(shè)置防火墻安全策略：內(nèi)外網(wǎng)絡(luò)可以使用兩套IP地址，實現(xiàn)地址轉(zhuǎn)換的功能；通過IP地址，綁定MAC地址，防止IP的欺騙和盜用，導(dǎo)致亂用資源；通過應(yīng)用服務(wù)，隔離內(nèi)部校園網(wǎng)以及外界網(wǎng)絡(luò)；支持安全服務(wù)器網(wǎng)絡(luò)，內(nèi)部校園網(wǎng)可以訪問外界網(wǎng)絡(luò)，但是禁止外界網(wǎng)絡(luò)訪問校園網(wǎng)，從而防止外部攻擊，保護內(nèi)部網(wǎng)絡(luò)安全；開啟黑白名單功能，根據(jù)IP地址，協(xié)議類型，查看學(xué)生訪問的不良記錄，過濾不健康網(wǎng)站；啟動網(wǎng)絡(luò)入侵檢測以及報警功能，有效預(yù)防網(wǎng)絡(luò)隱患。

入侵檢測技術(shù)可以通過審計記錄，檢測計算機網(wǎng)絡(luò)中違反網(wǎng)絡(luò)安全的行為并報告，保護計算機網(wǎng)絡(luò)的安全。在校園網(wǎng)絡(luò)中，可以使用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異?，F(xiàn)象，限制這些非法活動，從而構(gòu)成完整的安全防御體系。

2 實施安全隔離網(wǎng)閘

安全隔離網(wǎng)閘可以切斷網(wǎng)絡(luò)之間的鏈路層連接，并在網(wǎng)絡(luò)之間對應(yīng)用數(shù)據(jù)進行安全調(diào)度。安全隔離網(wǎng)閘可以保證校園網(wǎng)的安全，還可以使用戶正常瀏覽網(wǎng)站網(wǎng)頁、收發(fā)電子郵件、交換不同網(wǎng)絡(luò)之間的數(shù)據(jù)庫數(shù)據(jù)，交換網(wǎng)絡(luò)之間的定制文件。

根據(jù)數(shù)字化校園網(wǎng)的實際運行環(huán)境，可以合理設(shè)置安全隔離網(wǎng)閘的安全策略：隔離網(wǎng)絡(luò)內(nèi)部和外界用于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)腡CP/IP協(xié)議以及其他應(yīng)用層協(xié)議，以免造成漏洞，危害網(wǎng)絡(luò)安全；阻斷網(wǎng)絡(luò)內(nèi)部和外界網(wǎng)絡(luò)之間的物理連接，防止外界網(wǎng)絡(luò)攻擊，保護內(nèi)部校園網(wǎng)；內(nèi)部校園網(wǎng)和外界網(wǎng)絡(luò)采用一套IP地址，從而實現(xiàn)指定協(xié)議通訊功能；允許外網(wǎng)指定機器訪問內(nèi)部網(wǎng)絡(luò)的特定應(yīng)用，比如FILE，DB；允許內(nèi)部校園網(wǎng)訪問外網(wǎng)特定服務(wù)和應(yīng)用，比如HTTP，F(xiàn)ILE；具有自身保護能力，可以防范常見的DoS攻擊和DDoS攻擊。

3 防范計算機病毒

計算機病毒可以在各個網(wǎng)絡(luò)系統(tǒng)之間進行傳播，而且傳播速度非?？欤瑥亩斐呻y以承受的危害。校園網(wǎng)屬于內(nèi)部局域網(wǎng)，必須根據(jù)服務(wù)器操作系統(tǒng)，安裝防病毒軟件，隔離計算機病毒，及時查殺計算機病毒，避免網(wǎng)絡(luò)之間計算機病毒的泛濫，保證網(wǎng)絡(luò)數(shù)據(jù)的安全。

根據(jù)計算機網(wǎng)絡(luò)以及計算機病毒的特征，合理設(shè)置安全防范策略：在兩個或者多個網(wǎng)絡(luò)邊界之間以及網(wǎng)關(guān)處，安裝防病毒軟件，攔截計算機病毒，不但攔截效率高，而且耗費的資源少；在郵件系統(tǒng)和文件服務(wù)器上安裝防病毒體系，識別郵件、文件以及附件中的病毒，防止病毒郵件以及病毒文件的傳播；針對計算機網(wǎng)絡(luò)可能的病毒攻擊點，設(shè)置病毒防范體系，全方位、多層次地進行防毒控制，保護網(wǎng)絡(luò)安全；通過監(jiān)控中心管理和維護整個計算機網(wǎng)絡(luò)系統(tǒng)的防毒情況。降低維護成本以及工作量，提高防病毒系統(tǒng)的升級與更新。

4 對學(xué)生宿舍區(qū)域采用標(biāo)準(zhǔn)化認(rèn)證

對于學(xué)生宿舍區(qū)域的認(rèn)證，可以采用分布式認(rèn)證方式分散網(wǎng)絡(luò)用戶的認(rèn)證，如果某一區(qū)域發(fā)生網(wǎng)絡(luò)故障，不會影響到整個網(wǎng)絡(luò)的用戶。由于學(xué)生宿合區(qū)域用戶數(shù)量大、網(wǎng)絡(luò)流量大，所以采用的認(rèn)證方式應(yīng)該具有很高的效率，保證用戶及時通過認(rèn)證，而且保證網(wǎng)絡(luò)在用戶多、流量大的情況下可以高效、穩(wěn)定地運行；另外，有些用戶由于好奇心的驅(qū)使，可能會使用一些病毒軟件或者黑客軟件，從而對網(wǎng)絡(luò)造成危害，因此認(rèn)證方式必須具有比較高的安全性，具有防止惡意攻擊的功能。

5 優(yōu)化數(shù)據(jù)存儲方案

數(shù)字化校園網(wǎng)涉及的內(nèi)容相當(dāng)廣泛，包括信息資料數(shù)字化、全方位查詢檢索以及數(shù)據(jù)存儲和管理等，另外，數(shù)字化校園網(wǎng)還提供視頻資料、音頻聲像以及電子圖書等煤體資料。隨著數(shù)字信息的迅猛增長以及越來越大的存儲容量需求，實施高容量、可擴充的數(shù)據(jù)存儲方案是網(wǎng)絡(luò)安全的重點。NAS存儲和SAN存儲等可以滿足用戶的需求，并且具有可擴充性，幫助用戶解決海量的數(shù)據(jù)存儲問題。

篇10

[關(guān)鍵詞]企業(yè)電子商務(wù)；網(wǎng)絡(luò)安全體系；防火墻

[DOI]10.13939/ki.zgsc.2015.41.073

1 概 述

隨著IT技術(shù)的飛速發(fā)展，企業(yè)對網(wǎng)絡(luò)越來越依賴，企業(yè)的運營方式、組織形式、商品交易的支付手段等正快速走向數(shù)字化。當(dāng)企業(yè)的商業(yè)化應(yīng)用與互聯(lián)網(wǎng)結(jié)合就形成了如今的電子商務(wù)形式。由于企業(yè)進行商品交易的活動是在互聯(lián)網(wǎng)上運行的，其業(yè)務(wù)的平臺或基礎(chǔ)是建立在互聯(lián)網(wǎng)上的網(wǎng)站，商業(yè)活動產(chǎn)生的數(shù)據(jù)需要通過互聯(lián)網(wǎng)進行傳輸，企業(yè)電子商務(wù)網(wǎng)站為客戶提供的商務(wù)服務(wù)、企業(yè)形象展示、品牌推介、產(chǎn)品交易、數(shù)據(jù)庫內(nèi)容及客戶賬號信息等數(shù)據(jù)均需要在相應(yīng)網(wǎng)站上進行存儲，網(wǎng)站運行在完全開放的網(wǎng)絡(luò)上必然會出現(xiàn)安全問題，如病毒入侵、黑客攻擊等，因此網(wǎng)絡(luò)安全問題也成了企業(yè)商務(wù)活動十分關(guān)注的問題。

2 企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)安全風(fēng)險

2.1 黑客攻擊

目前黑客對企業(yè)電子商務(wù)網(wǎng)站的攻擊方式主要有拒絕服務(wù)攻擊、網(wǎng)站后門攻擊、惡意腳本攻擊、跨站腳本攻擊、網(wǎng)頁篡改、信息炸彈、密碼破解等。這些攻擊的主要目的是獲取網(wǎng)站服務(wù)器的控制權(quán)，竊取系統(tǒng)中的數(shù)據(jù)和密碼，竊取用戶資金，破壞企業(yè)電子商務(wù)網(wǎng)站系統(tǒng)。

2.2 病毒入侵

目前全球已知病毒已近2億種，新病毒或病毒變體每天都在發(fā)現(xiàn)，病毒造成的危害越來越大，病毒入侵造成的破壞已成為企業(yè)電子商務(wù)活動的重大威脅，目前主要的病毒危害有“木馬病毒”、“網(wǎng)頁病毒”、“蠕蟲病毒”等。

2.3 系統(tǒng)或軟件漏洞

當(dāng)系統(tǒng)或軟件存在邏輯設(shè)計上的錯誤或設(shè)計者對安全的忽略時，系統(tǒng)或軟件就會存在安全漏洞。在企業(yè)電子商務(wù)網(wǎng)站上系統(tǒng)或軟件漏洞因各種原因是可能存在的，這對企業(yè)電子商務(wù)活動將造成非常大的危害，可能被不法分子惡意攻擊，他們可能輕易進入網(wǎng)站服務(wù)器系統(tǒng)，隨意修改和竊取用戶信息。

2.4 缺乏IT管理

企業(yè)對其電子商務(wù)網(wǎng)站或系統(tǒng)缺乏嚴(yán)格的管理，導(dǎo)致遭受攻擊和破壞。

3 企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)安全需求

3.1 網(wǎng)絡(luò)互聯(lián)和通信安全需求

提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段。

3.2 服務(wù)器系統(tǒng)安全需求

對網(wǎng)絡(luò)和主機設(shè)備實行主動的漏洞檢測和安全評估，及時發(fā)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)中存在的安全漏洞；對關(guān)鍵的服務(wù)器操作系統(tǒng)進行安全加固，通過嚴(yán)格的用戶認(rèn)證、訪問控制和審計，防止黑客利用系統(tǒng)安全管理功能的不足進行非法訪問，同時避免內(nèi)部用戶的濫用。

3.3 應(yīng)用系統(tǒng)安全需求

建立好CA認(rèn)證系統(tǒng)，加強對關(guān)鍵應(yīng)用系統(tǒng)的用戶認(rèn)證和管理；建立企業(yè)級網(wǎng)絡(luò)防病毒措施，對病毒傳播的所有可能的入口進行嚴(yán)格控制，尤其防范病毒通過互聯(lián)網(wǎng)連接侵入內(nèi)部網(wǎng)絡(luò)。

3.4 業(yè)務(wù)系統(tǒng)的安全需求

訪問控調(diào)、數(shù)據(jù)安全、入侵檢測、來自網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)的破壞。

3.5 安全管理需求

校園網(wǎng)絡(luò)需要建立完善的安全管理制度，加強對工作人員的安全知識和安全操作培訓(xùn)。

4 企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)安全體系總體結(jié)構(gòu)設(shè)計

4.1 VPN網(wǎng)絡(luò)子系統(tǒng)

VPN網(wǎng)絡(luò)是在電信公司提供的城域網(wǎng)上實現(xiàn)的。企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)采用獨立的VLAN。為了保障各用戶點不同的業(yè)務(wù)，可采用VLAN、MAC地址綁定、ACL訪問控制列表來實現(xiàn)安全控制。采用IPSEC組建VPN虛擬專用網(wǎng)，IPSecVPN技術(shù)建立從網(wǎng)點路由器到中心路由器的VPN隧道，該VPN隧道里主要傳輸?shù)氖瞧髽I(yè)電子商務(wù)網(wǎng)站中心主業(yè)務(wù)系統(tǒng)的數(shù)據(jù)。VPN網(wǎng)絡(luò)子系統(tǒng)實現(xiàn)各用戶點到中心多業(yè)務(wù)數(shù)據(jù)的安全可靠傳輸。

4.2 安全檢測子系統(tǒng)

在網(wǎng)絡(luò)的WWW服務(wù)器、Email服務(wù)器等各種服務(wù)器中使用網(wǎng)絡(luò)安全檢測子系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲互聯(lián)網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的WWW、Email、FTP、Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時向上級安全網(wǎng)絡(luò)中心報告，采取措施。利用專門的日志分析工具對保存在數(shù)據(jù)庫中的訪問日志進行統(tǒng)計并繪制統(tǒng)計圖，可以對訪問地址和流量進行分析，對于明顯的攻擊便可一目了然。

4.3 防火墻子系統(tǒng)

防火墻是一種網(wǎng)絡(luò)隔離控制技術(shù)，在企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)上安裝防火墻可將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行隔離，同時對傳輸信息進行過濾。防火墻可按照網(wǎng)絡(luò)管理者設(shè)定的過濾規(guī)則允許或限制內(nèi)外網(wǎng)之間、計算機與網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸，只有經(jīng)授權(quán)的通信才能通過防火墻。

防火墻是企業(yè)電子商務(wù)網(wǎng)站整個安全系統(tǒng)的基礎(chǔ)和基本防護措施，通過防火墻的部署，解決全網(wǎng)的安全基礎(chǔ)問題。核心防火墻采用雙機設(shè)備方式工作。

4.4 入侵檢測子系統(tǒng)

入侵監(jiān)測子系統(tǒng)解決各個安全區(qū)域的“安全守衛(wèi)”工作。在企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，從基于網(wǎng)絡(luò)的入侵檢測和基于主機的入侵檢測兩方面著手。

4.5 網(wǎng)絡(luò)防毒子系統(tǒng)

采用多層次的立體防護體系，對客戶端計算機、服務(wù)器、網(wǎng)關(guān)等均安裝相對應(yīng)的防病毒系統(tǒng)。在網(wǎng)站中心部署一臺防病毒服務(wù)器，設(shè)置集中控制系統(tǒng)。實現(xiàn)全網(wǎng)各個不同安全區(qū)域防病毒，做到統(tǒng)一升級，集中監(jiān)控查殺病毒以及客戶端PC機器的安全控制。采用“集中管控、層層防護、防殺結(jié)合”的策略。

4.6 漏洞掃描子系統(tǒng)

解決網(wǎng)絡(luò)安全問題，首先要清楚網(wǎng)絡(luò)中存在什么安全隱患。漏洞掃描技術(shù)可自動掃描遠端或本地主機的安全薄弱點，并將掃描得到的信息以統(tǒng)計方式輸出，為網(wǎng)絡(luò)管理員提供分析和參考。漏洞掃描還可以確認(rèn)各種配置的正確性，避免網(wǎng)站遭受不必要的攻擊。

4.7 WSUS子系統(tǒng)

在內(nèi)網(wǎng)配置一臺WSUS服務(wù)器，用來做內(nèi)網(wǎng)的升級服務(wù)器和控制臺。在獨立的外網(wǎng)的WSUS服務(wù)器升級后，導(dǎo)出升級數(shù)據(jù)，將數(shù)據(jù)文件通過存儲介質(zhì)導(dǎo)入內(nèi)網(wǎng)的WSUS服務(wù)器上完成服務(wù)器的升級。

4.8 監(jiān)聽維護子系統(tǒng)

對網(wǎng)絡(luò)內(nèi)部的侵襲，可采用為網(wǎng)絡(luò)內(nèi)部的各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析內(nèi)部網(wǎng)絡(luò)的運作狀態(tài)提供依據(jù)。

4.9 管理制度子系統(tǒng)

為保證各項安全措施的實施并真正發(fā)揮作用，針對每個安全層次，分別制訂相應(yīng)的可實施的規(guī)章制度。

4.10 備份恢復(fù)子系統(tǒng)

建立網(wǎng)絡(luò)系統(tǒng)良好的備份和恢復(fù)機制，可在設(shè)備出現(xiàn)故障或是網(wǎng)絡(luò)遭受攻擊時，能盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。數(shù)據(jù)容災(zāi)系統(tǒng)使用兩個存儲器，一個放置在本地，另一個放置在異地，在兩個存儲器之間建立復(fù)制關(guān)系。異地存儲器實時復(fù)制本地存儲器的關(guān)鍵數(shù)據(jù)。

4.11 數(shù)據(jù)加密技術(shù)

對內(nèi)外網(wǎng)之間交互的信息采用加密技術(shù)。

5 結(jié) 論

通過整體構(gòu)建、分層設(shè)計的方法，實現(xiàn)了企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)安全體系的設(shè)計。通過種種安全技術(shù)手段，為網(wǎng)絡(luò)提供了一個完整的網(wǎng)絡(luò)安全防御體系的解決方案；與此同時，還應(yīng)加強網(wǎng)絡(luò)的管理，建立有效、健全的管理體系，最終達到保護網(wǎng)絡(luò)信息系統(tǒng)安全性的目的。

參考文獻：