如何构建网络安全防护系统

网络化时代已经不可逆转，几乎各行各业都与之联系，借因特网来运营、宣传、发展，不和网络挂钩的企业终究会被大趋势所淘汰。当我们庆幸因特网给我们带来的巨大利润与盈利的同时，各种各样的网络安全问题也给我们以当头棒喝。现阶段,中国企业种类繁多,经营范围广泛,业务类型不尽相同,因而各自所面临的网络安全威胁也参差不齐,但它们都或多或少的受到黑客攻击、恶意代码、数据泄漏和内部滥用等安全隐患,企业网络环境不容乐观。不仅是企业深受其害,广大网民们也日益成为被攻击对象,隐私与资金安全得不到保障,频频遭受信息泄露和资金被盗等网络安全事件的迫害。不可否认，网络是把双刃剑。因此我们必须重视网络安全问题，重点是构建网络安全防护体系。通过大半个学期的网络安全技术的学习，我对网络安全有了以下认识：

一.网络安全所面临的各种威胁。

1.恶意代码

恶意代码包括传统的计算机病毒、木马、蠕虫、逻辑炸弹、脚本病毒、用户级RootKit、核心级RootKit等。

2.系统漏洞

目前的操作系统存在安全漏洞，尤其是Windows的普遍性和可操作性，使它成为最不安全的服务器操作系统，还有Office的漏洞、浏览器漏洞、ⅡS漏洞、SQL注人漏洞、代码漏洞及其他各种应用系统漏洞对网络安全构成重大威胁。系统漏洞是计算机软件系统存在的结构缺陷，对待系统漏洞，除了要既是进行漏洞修补之外，还要从计算机软件系统的设计人手，尽量减少系统漏洞的数量。

3、垃圾邮件与非法访问

内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及垃圾邮件和非法邮件链接导致的点击和误击事件时有发生。目前网络中的垃圾邮件普遍带有计算机病毒及木马程序，如果对垃圾邮件进行传播，并对非法链接进行访问，很容易造成计算机感染病毒，引起计算机系统瘫痪。

二．一些常见的安全服务机制。

1.加密机制

这种机制提供数据或信息流的保密，并可作为对其他安全机制的补充。加密算法分为两种类型：

（1）对称密钥密码体制，加密和解密使用相同的秘密密钥；

（2）非对称密钥密码体制，加密使用公开密钥，解密使用私人密钥。网络条件下的数据加密必然使用密钥管理机制。

2.数字签名机制

数字签名是附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种数据或变换允许数据单元的接收方确认数据单元来源或数据单元的完整性，并保护数据，防止被人伪造。数字签名机制确定包括两个过程，对数据单元签名、验证签过名的数据单元。

3.访问控制机制

访问控制机制使用已鉴别的实体身份、实体的有关信息或实体的能力来确定并实施该实体的访问权限。

4.数据完整性机制

数据完整性包括两个方面：一是单个数据单元或字段的完整性，二是数据单元或字段序列的完整性。

5.鉴别交换机制

鉴别交换机通过互换信息的方式来确定实体身份的机制。这种机制可使用如下技术：发送方实体提供鉴别信息（如通行字），由接收方实体验证；加密技术；实体的特征和属性等。

6.通信业务填充机制

通信业务填充机制可用来提供各种不同级别的保护，对抗通信业务分析。这种机制产生伪造的信息流并填充协议数据单元以达到固定长度，有限的防止流量分析。只有当信息流加密保护时，本机制才有效。

7.路由选择机制

路由能动态的预定的选取，以便只使用物理上安全的子网络、中继站或链路；在检测到持续的操作攻击时，端系统可以指示网络服务的提供者经不同的路由建立连接；带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继站或链路。

8.公证机制

这种机制确证两个或多个实体之间的数据通信的特征:数据的完整性、源点、终点及收发时间。这种保证由通信实体信赖的第三方——公证员提供。在可检测方式下，公证员掌握用以确证的必要信息。公证机制提供服务还使用到数字签名、加密和完整性服务。

三．构建网络安全防护体系政策建议。

1.建立防火墙

防火墙是一种有效的防御工具，一方面它使得本地系统和网络免于受到网络安全方面的威胁，另一方面提供了通过广域网和Internet对外界进行访问的有效方式。网络防火墙隔离了内部网络和外部网络，在企业内部和外部网（Internet）之间访问控制策略，以防止发生不可预测的、外界对内部网资源的非法访问或潜在破坏性侵入。

防火墙被设计成只运行专门用于访问控制软件的设备，而没有其他设备，具有相对较少的缺陷和安全漏洞；此外，防火墙改进了登录和监测功能，可以进行专门的管理；而且，对整个内部网的主机的安全管理就变成了对防火墙的安全管理，使得安全管理更方便、易于控制。它是目前实现网络安全策略最有效的工具之一，也是控制外部用户访问内部网的第一道关口，因此构建网络安全防护体系首先应加强和完善防火墙。

2.安装必要的杀毒软件

良好的安全防护体系不仅要在事前进行保护、检测,而且要在病毒感染后能有效消除。防火墙可以有效阻止病毒入侵,但不能彻底消灭病毒,当计算机中毒时就需要专门的杀毒软件进行清除,因而有必要在计算机上安装多种杀毒软件。杀毒软件一般都具有广谱杀毒能力，能够查杀90％以上的病毒、小乌、蠕虫和后门，可以查找并消除相应的电脑病毒、恶意软件和特洛伊木马等,它具备多个功能,如实时监控计算机、扫描与清除病毒、自动更新病毒库等。在计算机上安装杀毒软件,对于保护好网络信息安全有着非常重要的作用。基于这一认识，在计箅机软件系统中应积极应用网络杀毒软件，实现对计算机病毒的快速查杀。

3.坚决抵制使用计算机盗版软件或硬件

由于当前正版软件和硬件价格较高,一般的网民和中小型企业为了节约成本通常选择购买盗版软件和硬件,因而设备本身就属于易攻击对象,即使采用了高水平的安全防护技术,仍然容易受到黑客攻击或者病毒入侵。购买盗版软件或硬件不仅使得用户的计算机处于高危状态,严重的甚至触犯了我国的版权保护法,而某些商家为了降低计算机价格吸引客户,通常在用户不知情的情况下私自安 装盗版软件。面对这一系列的侵权行为,相关部门应积极监督,制定有效的法律法规,加大制裁和惩罚力度。对于用户自身,也应增强抵制盗版的意识,不因小失大,不要过于贪图便宜而购买不正规的计算机和软件,确保在使用计算机的初始阶段是处于安全健康的状态,如此将大大降低病毒的入侵、黑客攻击的几率。

4.养成时时备份信息、资料的好习惯

当你的电脑中了病毒，都会影响系统的正常运行，甚至造成这个系统完全瘫痪。备份的任务与意义就在于，当灾难发生后，通过数据备份快速、简单、可靠地恢复一个立即可用的系统。情况往往是这样，我们不心疼一台电脑的损失，我们心痛于里面的资料，这里面的资料可能是无法再重蹈得来的，可能是我们花了好几年的心血，是我们珍贵的记忆。想要重新还原这样的一份资料所付出的的人力，物力，财力，大到是我们崩溃、绝望。而备份却能是我们只要换一台安全的主机就能恢复破坏之前的样子，这样能使损失降到最小。

5.提高网络安全管理体系

面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强对网络的安全管理。网络安全管理体系由法律管理、制度管理和培训管理三部分组成。

法律管理具有对信息系统主体行为的强制性约束，并且有明确的管理层次性；制度管理是法律管理的形式化、具体化，是法律、法规和管理对象的接口；培训管理是确保信息系统安全的前提。

最后，我想说的是网络安全和每个人都息息相关，我们每个人都要参与到建设网络安全的环境中去。平时要注意抵制不良信息的诱惑，不浏览恶意网页，不下载恶意软件，监督网络信息安全性，对不法信息及时进行举报；同时也要学会一些简单的防护措施，比如备份、安装杀毒软件，及时杀毒；另外，以破坏他人网络安全为耻，即便有这个技术，也应该利用在合适、积极的地方，而不是心存侥幸，认为做个黑客是个值得炫耀的事情，殊不知我们已经走上违法的路上了。我们作为一名程序员，更应该有自己的原则，自觉维护好网络安全，为大家营造一个健康向上的网络环境。