前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網絡安全體系解決方案范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網絡安全體系解決方案范文第1篇

關鍵詞：校園網 網絡安全問題 對策解決

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2014）07（b）-0188-01

伴隨著我國各個高校的教育信息量不斷的增加，這個時候校園網就需要提供更多的服務與網絡應用，這個時候網絡上的安全問題也會應運而生。

1 校園網網絡特點

在高校當中的校園網絡給學生的師生們提供了諸多的便利。因此，在某種的程度上學校只有把校園網絡當中的特點掌握清楚，這樣才有利于其管理與維護，確保校園網絡的安全性。

1.1 使用速度大、規(guī)模大

網絡使用的時候其速度是極為重要的，尤其是在學校的網絡當中，在學校中使用的人群是非常廣泛的，同時信息流量是及其大與重要。一般情況下，在各個高校中都是采用的是太網技術，這種網的網絡速度快，適合在學校中使用，但是不可否認的是這種網絡中存在著大量的問題，會給學校在進行管理的時候帶來諸多的不便利。

1.2 使用的群體較多較活躍

在各個高校中一般使用的群體是廣大學生，同時廣大學生也是學校當中使用網絡的積極份子。處于學生時代，由于他們對計算機的好奇，這樣他們就會常常去利用網絡娛樂與學習。在學生利用網絡進行學習與娛樂的時候就會常常受到來自不同程度上的攻擊，這樣在一定的程度上就會導致其安全性能降低。在我國的一些高校中，會利用網絡處理學校內的各種事宜，這樣在處理事物的時候就會使網絡上各種問題應運產生。

1.3 校園網絡處于開放的環(huán)境

各個高校的網絡主要就是為廣大學生提供更多的資源，因此，在校園網絡的使用，最為突出的就是其具有強大的開放性。一般情況下來說，學校在進行教學的研究時候就要求其網絡環(huán)境是開放的，這樣在一定程度上對于學生的學習是非常便利的。因為，在某種意義上來說，只有在校園網絡處于一定的開放性的環(huán)境中，這樣才有利于學生獲得更多的知識，有利于學生們之間的交流。正是因為這樣，校園網絡當中目前有著各種各樣的安全性問題。

2 校園網網絡安全問題

2.1 網絡設備對校園網絡安全威脅

在校園網絡當中，有著一定的安全問題，其中就包括網絡操作人員與網絡設施帶來的問題。在高校中很多的學生都會私自的安裝路由器，這樣在一定的程度上就會導致校園網絡速度變得緩慢，同時也會給其他同學的計算機帶來一定的危險性。另一方面，則是操作人員帶來的安全問題，在學校中的網絡通信設備機房是極為重要的，若是發(fā)生火災等情況，這樣在一定的程度上就會威脅網絡的安全問題。

2.2 校園網絡外部問題對校園網絡安全威脅

一般情況下，我們都會知道互聯(lián)網上病毒會影響著校園網絡的安全，這里主要就是指黑客。校園網絡在各個高校中的網絡接口，在一個意義上來說都是容易導致病毒侵入，若是沒有一定的安全措施，必定會造成一定的損失。

2.3 校園網絡內部問題對網絡安全問題威脅

在目前的很多高校校園網絡中，依然停留在是個人的安全管理當中，這樣在一般情況下是不能夠進行統(tǒng)一安裝病毒預防口令，這樣就會導致其安全策略沒有發(fā)揮其應有的作用。因此，就會導致在出現(xiàn)問題的時候就會沒有辦法找到負責人。

2.4 校園網絡缺少一定的統(tǒng)一管理

在很多高校當中他們的硬件設施的安全性是非常高的，但是他們沒有很好的進行網路安全的管理。這樣在一定的程度上就會導致校園網絡的安全性及其低，同時也不能夠對校園網絡產生的安全問題進行評估，這樣就會嚴重的影響該校校園網絡的安全性。

3 校園網網絡安全問題對策

3.1 防范網絡系統(tǒng)上安全漏洞

（1）在針對網絡上的各種漏洞應該進行及時的安裝各種補丁程序，這樣在一定的程度上才增加安全性。（2）加強防火墻的建設，這樣才能加強校網網絡的防御系統(tǒng)，保護其不受到外部的攻擊。（3）進行數據備份，主要就針對核心設備，核心配置等進行備份，這樣就會在很大程度上避免了若是出現(xiàn)故障之后不能夠恢復的問題。

3.2 防范網絡上病毒

對于計算機上的病毒進行防御可以算得上是在學校的網絡安全問題管理中的重要一方面，因此，學校應該建立起病毒防范的體系，比如說在網絡訪問的限制帳號設置等的監(jiān)控。同時還需要殺毒軟件，這樣在一定程度上就會防范病毒的侵入。

3.3 進行統(tǒng)一管理

各個高校應該針對本學校的發(fā)展不同特點進行制定管理方案，高校除了要增加其技術上的完善，一般情況也是需要制定一系列的管理制度，比如說可以建立一個有關的管理部門，之后在校網中應該要讓學生對網絡安全問題有著一定了解，將網絡知識發(fā)到網絡上，這樣在才能使校園網絡的安全性有著一定的保障。

4 結語

校園網絡安全這個問題在某種程度上來說是極其復雜，因材對其安全問題進行管理應該從全方位來進行考慮，只有這樣，能夠建立起來有利于校園網絡安全的防線。

參考文獻

[1] 楊宇紅.校園網絡的安全問題分析與對策[J].信息安全與技術，2011（4）：30-32.

[2] 陳軍.校園網絡安全問題及對策研究[J].數字技術與應用，2012（9）：175.

[3] 關啟云.校園網絡安全問題分析及對策探討[J].網絡安全技術與應用，2013（11）：88-89.

網絡安全體系解決方案范文第2篇

1.1部署入侵網絡檢測系統(tǒng)入侵網絡檢測系統(tǒng)是通過對計算機網絡或計算機系統(tǒng)的關鍵點信息進行收集與分析，從而發(fā)現(xiàn)是否有被攻擊或違反安全策略的跡象，協(xié)助系統(tǒng)管理員進行安全管理或對系統(tǒng)所收到的攻擊采取相應的對策。

1.2漏洞掃描系統(tǒng)的建立對服務器、工作站以及交換機等關鍵網絡設備的檢查其必須要采用當前最為先進的漏洞掃描系統(tǒng)，同時定期對上述關鍵網絡設備進行檢查，并對檢測的報告進行分析，從而為網絡的安全提供保障。

1.3培養(yǎng)網絡安全人才網絡安全人才的培養(yǎng)是一個很重要的問題。在我國，專門從事網絡安全問題的部門、單位比較少，技術人員十分缺乏，并且網絡人員以及網絡管理人員網絡安全意識比較淡薄，缺乏必備的安全知識。所以，我國急切需要培養(yǎng)大量的網絡安全人才，并提高他們的網絡安全意識和學習必備的安全知識。只有這樣，我國才能在網絡安全領域的研發(fā)、產業(yè)發(fā)展、人才培養(yǎng)等方面更快發(fā)展，縮小和國外的，是我國的網絡更加的安全，國家更加的安全。

1.4大力發(fā)展自主性網絡安全產業(yè)大力開發(fā)有自主知識產權的網絡安全產品可以有效提高網絡安全性能，是徹底擺脫進口設備的有效途徑，自己掌握關鍵技術是大力發(fā)展自主性網絡安全產業(yè)的關鍵。通過加大對網絡安全技術網絡安全技術研究開發(fā)與研究的投人，可以使網絡安全技術水平得到進一步的提高。

2網絡安全的發(fā)展趨勢

隨著我國當前網絡技術的飛速發(fā)展，原來的采用單點疊加方式的網絡防護手段已經不能抵御當前混合型的網絡威脅。因此，構建考慮局部安全、智能安全和全局安全的一個安全體系，以此為廣大的網絡用戶提供更為全方位和多層次的立體防護體系，是當前做好網絡安全建設的一個重要的理念，同時也是網絡安全未來發(fā)展趨勢。

2.1網絡安全技術的融合發(fā)展在網絡普及率不斷提高的情況下，網絡所面臨的威脅也日益加劇。傳統(tǒng)的以單一防護的方式已經成為過去。因此，只有通過技術的融合，建立更加智能化、集中化的管理體系，成為未來網絡安全的必然。未來網絡的規(guī)模會越來越龐大和復雜，網絡層的安全和暢通已經不能僅僅依靠傳統(tǒng)的網絡安全設備來保證，因此整體的安全解決方案開始融合以終端準入解決方案為代表的網絡管理軟件。終端準入解決方案為網絡安全提供了有效保障，幫助用戶實現(xiàn)了更加主動的安全防護，實現(xiàn)了更加高效、便捷地網絡管理目標，全面推動了網絡整體安全體系建設的進程。

2.2網絡主動防御的發(fā)展網絡主動防御的理念已經被提出來很多年了，但是和其他理論一樣，在其發(fā)展的時候遇到了很多阻礙。所謂的網絡主動防御，其實質就是通過對指定程序或者是線程方面的行為，并按照事先設定的規(guī)則，從而判斷該行為是否是屬于病毒或者是比較危險的程序，以此對其進行清除。通過主動防御可有效的提高系統(tǒng)整體的安全策略，并推進整個互聯(lián)網絡的智能化的建設。該產品在現(xiàn)階段的發(fā)展中還不夠成熟，但是未來隨著技術的進步，該技術會更為完善，從而成為未來互聯(lián)網的發(fā)展趨勢。

3結語

網絡安全體系解決方案范文第3篇

現(xiàn)今，無論是網吧、企業(yè)、學?；蛘咂渌袠I(yè)，對網絡的安全已成為關注的焦點，各科基于防火墻、安全網關等設備的防毒、防攻擊技術層出不窮。然而，在各方面利益的驅使下，病毒和黑客的進步更加迅猛。逐漸呈現(xiàn)出病毒智能化、變種、繁殖化及黑客工具“傻瓜”化等發(fā)展趨勢。使得傳統(tǒng)的網絡安全體系防不勝防，網絡隨時面臨癱瘓的危險。

面臨的問題

在傳統(tǒng)的網絡架構中，由防火墻、安全網關等各自為政的安全產品所打造的防線，面對不斷更新的病毒和網絡攻擊，已變得不堪一擊。

建設綠色健康、安全穩(wěn)定的網絡需要解決以下問題：

1網關常常被欺騙信息“迷惑”；

2各類應用搶占帶寬資源；

3惡意信息和網絡攻擊肆虐；

4關鍵業(yè)務無法得到保障；

5內網充斥著海量的垃圾信息；

6設備性能和網絡資源被惡意訪問消耗殆盡。

切斷傳染途徑

內網不安全，大多數來自對帶有病毒或木馬網站的訪問和文件下載，導致電腦中毒，從而出現(xiàn)上網緩慢、掉線等異?，F(xiàn)象。為防止電腦中毒，在飛魚星VE上網行為管理路由器中提供了網址分類管理、WEB安全、防火墻設置等功能，可防止用戶訪問高危的網站和帶有病毒或者木馬的各種文件，切斷病毒和木馬入侵電腦的途徑，有效保護電腦的安全。

保護易感染電腦

而在飛魚星VS安全聯(lián)動交換機系列中，內嵌的飛魚星安全系統(tǒng)和硬件防火墻，能徹底防御ARP病毒、蠕蟲病毒和DDOS攻擊；過濾非法網絡流量，避免路由器遭受各種異常流量攻擊，減輕路由器負擔。同時，交換機的每一個端口可自動診斷出中毒電腦的異常情況(如：流量過大)，并主動識別其電腦異常情況，自動隔離中毒電腦，抑制病毒的蔓延，從而保護未中毒電腦的安全性和可使用性。

整體安全解決方案

VE(上網行為管理路由器)+VS(安全聯(lián)動交換機)所組成的飛魚星安全聯(lián)動系統(tǒng)(ASN)是一套即時、互動和統(tǒng)一的網絡安全新架構，能有效解決內網的安全問題，重建和優(yōu)化內網秩序。它通過路由器和安全交換機的聯(lián)動協(xié)作，共同構成一套完整的網絡安全體系。安全策略和QoS策略都被部署到交換機的每個接入端口，極大增強網絡的主動防御能力，為用戶創(chuàng)建一個內外兼“固”的安全環(huán)境。整個網絡類似井然有序的機場，安檢嚴格，層層把關；調度有序，進出港快速穩(wěn)定；內網關鍵業(yè)務和重要應用優(yōu)先級得到保障，猶如機場的VIP通道。

此套方案中，路由器和交換機不再各自為政，雙劍出擊，保證網絡安全。且交換機不僅是數據交換的核心。還具備專業(yè)安全產品的性能。通過安全交換機串聯(lián)服務器、安全網關、終端電腦，組成貫穿整個網絡的安全防護體系。

同時，在綠色節(jié)能方面，交換機將自動偵測端口狀態(tài)，在某端口空閑、沒有連接其它網絡設備或沒有數據交換時。該端口將自動轉為“睡眠模式”，降低端口的電量從而節(jié)省能源；同時，能夠對線纜長度進行偵測，精確劃分該條網絡線路正常工作所需的電量，再予以供給。可以使能源耗費量大幅度地降低。

網絡安全體系解決方案范文第4篇

關鍵詞 信息安全；PKI；CA；VPN

1 引言

隨著計算機網絡的出現(xiàn)和互聯(lián)網的飛速發(fā)展，企業(yè)基于網絡的計算機應用也在迅速增加，基于網絡信息系統(tǒng)給企業(yè)的經營管理帶來了更大的經濟效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術的飛速發(fā)展，許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場，企業(yè)就面臨著如何提高自身核心競爭力的問題，而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業(yè)采用PKI技術來解決這些問題已經成為當前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進行說明。

2 信息系統(tǒng)現(xiàn)狀

2.1 信息化整體狀況

1)計算機網絡

某公司現(xiàn)有計算機500余臺，通過內部網相互連接，根據公司統(tǒng)一規(guī)劃，通過防火墻與外網互聯(lián)。在內部網絡中，各計算機在同一網段，通過交換機連接。

2)應用系統(tǒng)

經過多年的積累，某公司的計算機應用已基本覆蓋了經營管理的各個環(huán)節(jié)，包括各種應用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網絡的進一步完善，計算機應用也由數據分散的應用模式轉變?yōu)閿祿找婕械哪Ｊ健?/p>

2.2 信息安全現(xiàn)狀

為保障計算機網絡的安全，某公司實施了計算機網絡安全項目，基于當時對信息安全的認識和安全產品的狀況，信息安全的主要內容是網絡安全，部署了防火墻、防病毒服務器等網絡安全產品，極大地提升了公司計算機網絡的安全性，這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發(fā)揮了很大的作用。

3 風險與需求分析

3.1 風險分析

通過對我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結論：

(1)經營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網絡的依賴性增強。計算機網絡規(guī)模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統(tǒng)的正常運行對網絡安全提出了更高的要求。

(2)計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數據，這些數據大多集中在公司總部數據中心，因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證，加強對數據的備份，并運用技術手段，提高數據的機密性、完整性和可用性。

通過對現(xiàn)有的信息安全體系的分析，也可以看出：隨著計算機技術的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強，安全防護僅限于網絡安全，系統(tǒng)、應用和數據的安全存在較大的風險。

目前實施的安全方案是基于當時的認識進行的，主要工作集中于網絡安全，對于系統(tǒng)和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證，對服務器、網絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數據備份缺乏整體方案和制度規(guī)范，容易造成重要數據的丟失和泄露。

當時的網絡安全的基本是一種外部網絡安全的概念，是基于這樣一種信任模型的，即網絡內部的用戶都是可信的。在這種信任模型下，假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統(tǒng)的。

針對外部網絡安全，人們提出了內部網絡安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內部人員可以直接對重要的服務器進行操控從而破壞信息，或者從內部網絡訪問服務器，下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現(xiàn)實的狀況。

美國聯(lián)邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點：超過80%的信息安全隱患是來自組織內部，這些隱患直接導致了信息被內部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個動態(tài)過程，某公司缺乏相關的規(guī)章制度、技術規(guī)范，也沒有選用有關的安全服務。不能充分發(fā)揮安全產品的效能。

(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢，存在一定的網絡安全隱患，產品亟待升級。

已購買的網絡安全產品中，有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性，擬對系統(tǒng)的互聯(lián)網出口進行嚴格限制，原有的防火墻將成為企業(yè)內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網絡信息系統(tǒng)的安全建設建立在風險評估的基礎上，這是信息化建設的內在要求，系統(tǒng)主管部門和運營、應用單位都必須做好本系統(tǒng)的信息安全風險評估工作。只有在建設的初期，在規(guī)劃的過程中，就運用風險評估、風險管理的手段，用戶才可以避免重復建設和投資的浪費。

3.2 需求分析

如前所述，某公司信息系統(tǒng)存在較大的風險，信息安全的需求主要體現(xiàn)在如下幾點：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網絡，也需要做好系統(tǒng)、應用、數據各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

(2)網絡規(guī)模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計算機網絡安全面臨更大的挑戰(zhàn)，原有的產品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術規(guī)范的建設，使安全防范的各項工作都能夠有序、規(guī)范地進行。

(4)信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4 設計原則

安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。

4.1 標準化原則

本方案參照信息安全方面的國家法規(guī)與標準和公司內部已經執(zhí)行或正在起草標準及規(guī)定，使安全技術體系的建設達到標準化、規(guī)范化的要求，為拓展、升級和集中統(tǒng)一打好基礎。

4.2 系統(tǒng)化原則

信息安全是一個復雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮，既注重技術的實現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3 規(guī)避風險原則

安全技術體系的建設涉及網絡、系統(tǒng)、應用等方方面面，任何改造、添加甚至移動，都可能影響現(xiàn)有網絡的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行，這是安全技術體系建設必須面對的最大風險。本規(guī)劃特別考慮規(guī)避運行風險問題，在規(guī)劃與應用系統(tǒng)銜接的基礎安全措施時，優(yōu)先保證透明化，從提供通用安全基礎服務的要求出發(fā)，設計并實現(xiàn)安全系統(tǒng)與應用系統(tǒng)的平滑連接。

4.4 保護投資原則

由于信息安全理論與技術發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設了一些整體的或區(qū)域的安全技術系統(tǒng)，配置了相應的設施。因此，本方案依據保護信息安全投資效益的基本原則，在合理規(guī)劃、建設新的安全子系統(tǒng)或投入新的安全設施的同時，對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5 多重保護原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

4.6 分步實施原則

由于某公司應用擴展范圍廣闊，隨著網絡規(guī)模的擴大及應用的增加，系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性，尋求安全、風險、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費用開支。

5 設計思路及安全產品的選擇和部署

信息安全防范應做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網絡、系統(tǒng)、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終，如圖2所示。

網絡與信息安全防范體系模型

信息安全又是相對的，需要在風險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現(xiàn)狀的分析，對現(xiàn)有的信息安全產品和解決方案的調查，通過與計算機專業(yè)公司接觸，初步確定了本次安全項目的內容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。

5.1網絡安全基礎設施

證書認證系統(tǒng)無論是企業(yè)內部的信息網絡還是外部的網絡平臺，都必須建立在一個安全可信的網絡之上。目前，解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure，公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系，它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題，為網絡應用提供可靠的安全保障，向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統(tǒng)，建立一個完善的網絡安全認證平臺，能夠通過這個安全平臺實現(xiàn)以下目標：

身份認證(Authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數字證書來確認對方的身份。

數據的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數字證書加密來完成。

數據的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數和數字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數字簽名來完成，數字簽名可作為法律證據。

5.2 邊界防護和網絡的隔離

VPN(VirtualPrivateNetwork)虛擬專用網，是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統(tǒng)的物理方式相比，具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體，通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數據，用以代替專線方式，實現(xiàn)移動用戶、遠程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術，可以對多種網絡對象進行有效地訪問監(jiān)控，為網絡提供高效、穩(wěn)定地安全保護。

集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。

5.3 安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應用之一。隨著網絡的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協(xié)議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的。首先，它的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織(根證書)之間相互認證，整個信任關系基本是樹狀的。其次，S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。

5.4 桌面安全防護

對企業(yè)信息安全的威脅不僅來自企業(yè)網絡外部，大量的安全威脅來自企業(yè)內部。很早之前安全界就有數據顯示，近80%的網絡安全事件，是來自于企業(yè)內部。同時，由于是內部人員所為，這樣的安全犯罪往往目的明確，如針對企業(yè)機密和專利信息的竊取、財務欺騙等，因此，對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網絡登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統(tǒng)

文件加密應用系統(tǒng)保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法，從而保證了存儲數據的安全性。

5.5 身份認證

身份認證是指計算機及網絡系統(tǒng)確認操作者身份的過程?；赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USBKey內置的密碼算法實現(xiàn)對用戶身份的認證。

基于PKI的USBKey的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構成的綜合性安全技術體系，從而實現(xiàn)上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。

6 方案的組織與實施方式

網絡與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程，也為本方案的實施提供了借鑒。

因此在本方案的組織和實施中，除了工程的實施外，還應重視以下各項工作：

(1)在初步進行風險分析基礎上，方案實施方應進行進一步的風險評估，明確需求所在，務求有的放矢，確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分，必要時可借助專業(yè)公司的安全服務，提高應對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據實際情況，可采取分地區(qū)、分階段實施的方式。

(4)在方案實施的同時，加強規(guī)章制度、技術規(guī)范的建設，使信息安全的日常工作進一步制度化、規(guī)范化。

7 結論

網絡安全體系解決方案范文第5篇

關鍵詞 WMN網絡；安全體系；入侵檢測

中圖分類號 TP 文獻標識碼 A 文章編號 1673-9671-(2012)031-0113-01

因為無線接入協(xié)議的完善、電子產品的改良，WLAN的技術越來越成熟，在100 m范圍內的無線上網可以通過WI-FI技術成熟解決，AP通過有線鏈路接入局域網，STA通過一跳無線鏈路接入AP。無線設備如果要在很大的范圍內移動，就需要很多AP接入互聯(lián)網，這樣就會帶來一系列的問題，如信號干擾、成本提高，為解決這些問題，就提出了WMN網絡，它是通過無線網絡連接AP和骨干網絡，用多個無線中繼連接有線網絡，這樣就組建了一個很大覆蓋范圍的無線網絡，并且網絡信號良好。

WMN網絡可以分為三種結構的形式：一種是基于客戶的網絡，該種類型的網絡不需要MR的參與，用戶間是通過P2P連接，MC承擔了所有的路由、配置、終端管理任務，因而需要MC的功能相當強大，也注定這種網絡的移動性相當好，魯棒性就差了許多；一種是基于基礎設施的網絡，這種網絡主要由MR作為中堅力量組成MESH骨干網，用戶直接或者通過AP接入MESH骨干網絡，MESH骨干網絡通過有線接入互聯(lián)網絡，這種網絡層次清晰、路由算法簡單，能提供高效的網絡服務，不足之處是MR承擔了所有任務，MC沒有充分發(fā)揮作用，不能起到接力的作用，需要的MR數目太多；還有一種是混合類型的網絡，這種網絡結合了上兩種的優(yōu)勢，MC可以直接接入MR，也可以通過別的MC接入，真正做到了完全無縫覆蓋效果，也支持異構網絡。

WMN網絡具有網絡拓撲結構靈活，網絡拓撲擴展性良好，魯棒性好，路由算法先進，可以自動迂回路由等一般網絡無法比擬的優(yōu)越性，部署一個WMN網絡最少只需要一個有線網絡的接口，其它的AP都可以通過無線鏈路彼此相連，當某些節(jié)點的數據量突然擁塞時候，這些節(jié)點可以智能的選擇別的節(jié)點，均衡流量，每個AP都與幾個和它相鄰的AP具有連接性，當某個AP失效，它就自動路由到別的有效的AP上，保障網絡的健壯性，要擴大無線網絡的覆蓋范圍時候，就只要在無線網絡的邊緣增加AP即可，增加的AP就會連接原有的AP，從而擴大無線網絡的范圍，從而使系統(tǒng)始終都在高效率運轉。WMN網絡可以與其他無線網絡兼容并可以互操作，WMN網絡具有很強的自我修復、自我形成、自我組織的能力，它整合了包括無線和有線的各種異構網絡，能被無線基礎設施方便的支持移動性，形成了一種無線骨干網絡的多跳網絡，它應用了許多WLAN網絡和Ad hoc網絡的成熟技術，融合了兩種網絡的優(yōu)勢，可以提供大容量，高速度，寬覆蓋的無線網絡接入技術，解決了無線網絡布線的終端移動性的重要問題，適應在學校、醫(yī)院、辦公場所等人口密集區(qū)應用。

1 WMN 的安全問題

WMN的STA和MAP之間的鏈路使用的是WLAN連接，MP，MAP，MPP之間使用的是Ad Hoc網絡連接，WMN吸收了WLAN網絡和Ad Hoc網絡的優(yōu)勢，是兩者的集大成。WMN網絡的安全體系主要存在如下幾種網絡安全問題：第一個大的安全問題就是網絡是否可用的可用性問題。這個問題分為如下三種情況：第一種情況是惡意節(jié)點占據無線鏈路信道，長時間不歸還，使得其他合法節(jié)點無法正常獲得發(fā)送數據的權利，從而造成信號阻塞，致使該節(jié)點報廢，網絡不可用。第二種情況是通過惡意節(jié)點和被其控制的節(jié)點向正常的節(jié)點無休止的發(fā)送數據或者路由信息，搞得正常節(jié)點無法正常工作，進行Dos攻擊，最后讓整個網絡癱瘓，不可用。第三種情況是攻擊者使用各種各樣的辦法耗盡被攻擊者的各種資源，如電源、CPU、帶寬等有限資源，最后迫使網絡不可用；第二個大的安全問題是怎么樣保護合法節(jié)點不被俘獲或者假冒，因為WMN網絡的MP經常安裝在室外，這樣保護的就不夠好，經常很容易就被攻擊者接近，獲得對稱密鑰，認證信息等這些節(jié)點的內部保密信息，并利用這些信息假冒為合法節(jié)點，進而變更鄰居節(jié)點的信息，達到變更相關的路由信息，它通過惡意廣播非法路由，使網絡阻塞，甚至于癱瘓，整個網絡不可用；第三個大的安全問題就是信息的完整性問題，因為WMN網絡是多跳網絡，信息從發(fā)出點到接受點，中間要經過多跳無線鏈路MC，還要經過多個MR，中間中轉環(huán)節(jié)很多，破壞者可以在無線鏈路中間截獲信息，對信息進行篡改，然后再以合法身份發(fā)出去，迷惑接受者，破壞信息的完整性，達到篡改信息的目的；第四個大的安全問題就是信息的機密性問題，因為WMN主要是通過無線鏈路傳輸信息，這樣信息破壞者就可以在信息在STA到AP，或者MP之間傳輸時進行竊聽，把竊聽到得信息進行解密，然后加以利用，這樣就破壞了信息的機密性；第五個大的安全問題就是無線路由安全問題，由于WMN網絡中的無線路由是動態(tài)的，當被攻擊時就比固定路由難以檢測，非法用戶容易偽裝成合法用戶發(fā)出路由信息，造成網絡擁塞，嚴重的時候還使網絡癱瘓。第六個大的安全問題就是STA的身份認證問題。

2 WMN 的安全解決方案

目前WMN網絡針對以上提出的安全問題，有針對性的提出了如下的幾個網絡安全解決方案。

1）嚴格控制節(jié)點的身份認證機制，嚴格杜絕未授權節(jié)點在在WMN網絡中的內部路由和外部路由中信息，阻止非法的MESH網絡服務，每個新加入的節(jié)點都要得到鄰近節(jié)點的認證才可加入，新節(jié)點是認證的申請者，鄰近節(jié)點是認證的審批者，認證方式可以是分布式和集中式兩者的結合。

2）對路由信息進行加密，利用選舉方式定期更換路由表，避免被俘獲的路由信息，確保路由信息的完整性。分為針對內部攻擊的安全路由協(xié)議和針對外部攻擊的安全路由協(xié)議，其中針對外部攻擊的安全路由協(xié)議又有基于非對稱加密的安全路由、基于對稱加密的安全路由、基于混合加密的安全路由，針對內部攻擊的安全路由協(xié)議解決方案主要是要加強內部檢測，一個是對整個網絡范圍的惡意行為檢測，另一個就是對相鄰節(jié)點的惡意行為檢測，完善路由機制，確保路由安全。

3）建立完善的密鑰生產，分發(fā)，保管體系，使節(jié)點認證，數據加密等安全操作時使用的密鑰能具有高度的安全性和保密性。第三個解決方案就是利用入侵檢測技術防止從WMN網絡內部進行入侵操作，采用了三種入侵檢測技術，分別是獨立入侵檢測技術，分布式入侵檢測技術，層次式入侵檢測技術。

4）利用數字簽名和信息加密來進行身份認證和數據完整性的保證。對身份的認證使用了證書系統(tǒng)，由申請者，認證者，認證服務器三者組成，申請者發(fā)出認證請求，認證者把申請者的認證申請和認證信息發(fā)送給認證服務器，認證服務器把認證結果發(fā)給認證者，認證者再把認證結果發(fā)給申請者。

3 結束語

WMN 是無中心節(jié)點的多跳網絡，它具有其他無線局域網無可比擬的優(yōu)勢，本文主要在對WMN網絡從網絡體系結構、功能優(yōu)勢的方面進行了概述，提出了WMN網絡的網絡的可用性問題、保護合法節(jié)點不被俘獲或者假冒問題、 信息的完整性問題、信息的機密性問題、 無線路由安全問題、STA的身份認證問題等網絡安全體系問題，并相應的給出了對應的安全解決方案，對目前無線網狀網（WMN）的安全體系研究進行了一個較好的綜述。如何在大規(guī)模實際WMN中進行應用，是未來進一步研究的新課題。

基金項目：湖南省教育廳科學研究項目《無線網狀網（WMN）的入侵檢測模型研究》，項目編號10C0087。

參考文獻

[1]陳琳琳,劉乃安.無線 Mesh 網絡與 IEEE802 系列標準.2008.