信息安全学年论文

跟以前写的题目一样的不难写的

楼上的不是明摆着会被他老师一搜就搜到了吗？穿帮了。需要就Q我。

关于计算机信息安全的论文

计算机信息安全的论文很多

信息安全学报

ccnis2012??哪找论文模版- -b

解放军工程大学学报

信息安全技术学年论文题目

我，们代做的。。

信息安全论文学号：信息安全论文企业信息系统运行与操作安全解决方案姓名：学校：班级：作业时间： 2 010 年 5 月共 10 页第1页信息安全论文学号：摘要本文阐述了企业的信息系统运行与操作中的管理制度的建设，以及在运行维护过程中所遇到的各类信息安全问题，以及所采取的对策。总结了解决企业信息系统安全问题的需采取管理手段和技术手段相结合的综合解决方案。引言信息系统安全是指信息系统包含的所有硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄漏，信息系统连续正常运行。信息系统本身存在着来自人文环境、技术环境和物理自然环境的安全风险，其安全威胁无时无处不在。对于大型企业信息系统的安全问题而言，不可能试图单凭利用一些集成了信息安全技术的安全产品来解决，而必须考虑技术、管理和制度的因素，全方位地、综合解决系统安全问题，建立企业的信息系统安全保障体系。从技术上看，任何新建立的系统都不可能是尽善尽美的，都可能存在着只有在实际运行中才能发现的缺陷。另外，随着企业内部与外部环境的变化，系统也会暴露出不足之处或不相适应之处，这是在系统运行过程中始终存在的必须要予以解决的问题。从管理上看，就是对信息系统的运行进行控制，记录其运行状态，进行必要的修改与补充，以便使信息系统真正符合管理决策的需要，为管理决策服务。信息系统的运行管理工作应该由一个专门的信息管理机构负责，在一套完整的操作规范与管理规范的约束下，靠全体管理与使用信息系统的人员共同来完成。运行管理的目标是使信息系统在一个预期的时间内能正常地发挥其应有的作用，产生其应有的效益。一、企业信息系统运行与维护安全管理制度企业实现管理信息化后，企业的业务流程、工作方法、各职能部门之间以及企业与外部环境之间的相互关系都发生了一定的变化，企业原有的一套管理制度，例如内部控制制度已不在适应新环境下的管理需求，因此需要制定一系列新的管理制度。 1.各类机房安全运行管理制度各类机房安全运行管理制度共 10 页第2页信息安全论文学号：设立机房主要有两个目的，一是给计算机设备创造一个良好的运行环境，保护计算机设备；二是防止各种非法人员进入机房，保护机房内的设备、机内的程序和数据的安全。机房安全运行是通过制定与贯彻执行机房管理制度来实施的。机房管理的主要内容包括：（1）有权进入机房人员的资格审查。一般说来，系统管理员、操作员、录入员、审核员、维护人员以及其他系统管理员批准的有关人员可进入机房，系统维护员不能单独入机房；（2）机房内的各种环境要求。比如机房的卫生要求，防水要求；（3）机房内的各种环境设备的管理要求；（4）机房中禁止的活动或行为，例如，严禁吸烟、喝水等；（5）设备和材料进出机房的管理要求，等等。 2．信息系统的其他管理制度．信息系统的运行制度，还表现为软件、数据、信息等其他要素必须处于监控之中。其他管理制度包括如下：（1）必须有重要的系统软件、应用软件管理制度；（2）必须有数据管理制度，如重要输入数据的审核、输出数据备份保管等制度；（3）必须有权限管理制度，做到密码专管专用，定期更改并在失控后立即报告；（4）必须有网络通信安全管理制度；（5）必须有病毒的防治管理制度，及时检查、清除计算机病毒，并备有检测、清除的记录；（6）必须有人员调离的安全管理制度。人员调离的同时马上收回钥匙、移交工作、更换口令、取消账号，并向被调离的工作人员申明其保密义务，人员的录用调入必须经过人事组织技术部门的考核和接受相应的安全教育。企业信息系统运行文档与记录管理制度二、企业信息系统运行文档与记录管理制度企业信息系统运 1、企业信息系统运行文档管理、管理信息系统的文档是系统开发过程的记录，是系统维护人员的指南，是开发人员与用户交流的工具。规范的文档意味着系统是工程化、规范化开发的，意味着信息系统的质量有了程序上的保障。文档的欠缺、文档的随意性和文档的不规范，极有可能导致原来的系统开发人员流动后，系统难以维护、难以升级，变成一个没有扩展性、没有生命力的系统。所以为了建立一个良好的管理信息系统，不仅要充分利用各种现代化信息技术和正确的系统开发方法，同时还要做好文档的管理工作。系统文档不是一次性形成的，它是在系统开发、设计、实施、维护过程中不断地按阶段依次推进编写、修改、完善与积累而形成的。信息系统开发过程中的主要文档有：系统开发立项报告、可行性研究报告、系统开共 10 页第3页信息安全论文学号：发计划书、系统分析说明书、系统设计说明书、程序设计报告、系统测试计划与测试报告、系统使用与维护手册、系统评价报告、系统开发月报与系统开发总结报告等。文档的重要性决定了文档管理的重要性，文档管理是有序地、规范地开发与运行信息系统所必须做好的重要工作。目前我国信息系统的文档内容与要求基本上已有了较统一的规定。根据不同的性质，可将文档分为技术文档、管理文档及记录文档等若干类。系统文档是相对稳定的，随着系统的运行及情况的变化，它们会有局部的修改与补充，当变化较大时，系统文档将以新的版本提出。系统文档的管理工作主要有： 1．文档管理的制度化、标准化（1）文档标准与格式规范的制定；（2）明确文档的制定、修改和审核的权限；（3）制定文档资料管理制度。例如文档的收存、保管与借用手续的办理等。 2．维护文档的一致性信息系统开发建设过程是一个不断变化的动态过程，一旦需要对某一文档进行修改，要及时、准确地修改与之相关的文档；否则将会引起系统开发工作的混乱。而这一过程又必须有相应的制度来保证。 3．维护文档的可追踪性为保持文档的一致性与可追踪性，所有文档都要收全，集中统一保管。 2、企业信息系统日常记录管理。、企业信息系统日常记录管理。信息系统的日常运行管理是为了保证系统能长期有效地正常运转而进行的活动，具体有系统运行情况的记录、系统运行的日常维护及系统的适应性维护等工作。 1．系统运行情况的记录从每天工作站点计算机的打开、应用系统的进入、功能项的选择与执行，到下班前的数据备份、存档、关机等，按严格要求来说都要就系统软硬件及数据等的运作情况作记录。运行情况有正常、不正常与无法运行等，后两种情况应将所见的现象、发生的时间及可能的原因作尽量详细的记录。为了避免记录工作流于形式，通常的做法是在系统中设置自动记录功能。另一方面，作为一种责任与制度，一些重要的运行情况及所遇到的问题，例如多人共用或涉及敏感信息的计算机及功能项的使用等仍应作书面记录。系统运行情况的记录应事先制定尽可能详尽的规章制度，具体工作主要由使用人员完成。系统运行情况无论是自动记录还是由人工记录，都应作为基本的系统文档作长期保管，以备系统维护时参考。 2．系统运行的日常维护共 10 页第4页信息安全论文学号：系统的维护包括硬件维护与软件维护两部分。软件维护主要包括正确性维护、适应性维护、完善性维护三种。正确性维护是指诊断和修正错误的过程；适应性维护是指当企业的外部环境、业务流程发生变化时，为了与之适应而进行的系统修改活动；完善性维护是指为了满足用户在功能或改进已有功能的需求而进行的系统修改活动。软件维护还可分为操作性维护与程序维护两种。操作性维护主要是利用软件的各种自定义功能来修改软件，以适应企业变化；操作性维护实质上是一种适应性维护。程序维护主要是指需要修改程序的各项维护工作。维护是系统整个生命周期中，最重要、最费时的工作，其应贯穿于系统的整个生命周期，不断重复出现，直至系统过时和报废为止。现有统计资料表明：软件系统生命周期各部分的工作量中，软件维护的工作量一般占 70％以上，因此，各单位应加强维护工作的管理，以保证软件的故障及时得到排除，软件及时满足企业管理工作的需要。加强维护管理是系统安全、有效、正常运行的保证之一。在硬件维护工作中，较大的维护工作一般是由销售厂家进行的。使用单位一般只进行一些小的维护工作，一般通过程序命令或各种软件工具即可满足要求。使用单位一般可不配备专职的硬件维护员。硬件维护员可由软件维护员担任，即通常所说的系统维护员。对于使用商品化软件的单位，程序维护工作是由销售厂家负责，单位负责操作维护。单位可不配备专职维护员，而由指定的系统操作员兼任。对于自行开发软件的单位一般应配备专职的系统维护员，系统维护员负责系统的硬件设备和软件的维护工作，及时排除故障，确保系统诉正常运行，负责日常的各类代码、标准摘要、数据及源程序的改正性维护、适应性维护工作，有时还负责完善性的维护。在数据或信息方面，须日常加以维护的有备份、存档、整理及初始化等。大部分的日常维护应该由专门的软件来处理，但处理功能的选择与控制一般还是由使用人员或专业人员来完成。为安全考虑，每天操作完毕后，都要对更动过的或新增加的数据作备份。一般讲，工作站点上的或独享的数据由使用人员备份，服务器上的或多项功能共享的数据由专业人员备份。除正本数据外，至少要求有两个以上的备份，并以单双方式轮流制作，以防刚被损坏的正本数据冲掉上次的备份。数据正本与备份应分别存于不同的磁盘上或其他存储介质上。数据存档或归档是当工作数据积累到一定数量或经过一定时间间隔后转入档案数据库的处理，作为档案存储的数据成为历史数据。为防万一，档案数据也应有两份以上。数据的整理是关于数据文件或数据表的索引、记录顺序的调整等，数据整理可使数据的查询与引用更为快捷与方便，对数据的完整性与正确性也很有好处。在系统正常运行后数据的初始化主要是指以月度或年度为时间企业的数据文件或数据表的切换与结转数等的预置。维护的管理工作主要是通过制定维护管理制度和组织实施来实现的。维护管理制度主要包括以下内容：系统维护的任务、维护工作的承担人员、软件维护的内容、硬件维护的内容、系统维护的操作权限、软件修改的手续。共 10 页第5页信息安全论文学号： 3．系统的适应性维护企业是社会环境的子系统，企业为适应环境，为求生存与发展，也必然要作相应的变革。作为支持企业实现战略目标的企业信息系统自然地也要作不断的改进与提高。从技术角度看，一个信息系统不可避免地会存在一些缺陷与错误，它们会在运行过程中逐渐暴露出来，为使系统能始终正常运行，所暴露出的问题必须及时地予以解决。为适应环境的变化及克服本身存在的不足对系统作调整、修改与扩充即为系统的适应性维护。实践已证明系统维护与系统运行始终并存，系统维护所付出的代价往往要超过系统开发的代价，系统维护的好坏将显著地影响系统的运行质量、系统的适应性及系统的生命期。我国许多企业的信息系统开发好后，不能很好地投入运行或难以维持运行，在很大程度上就是重开发轻维护所造成的。系统的适应性维护是一项长期的有计划的工作，并以系统运行情况记录与日常维护记录为基础，其内容有：（1）系统发展规划的研究、制定与调整；（2）系统缺陷的记录、分析与解决方案的设计；（3）系统结构的调整、更新与扩充；（4）系统功能的增设、修改；（5）系统数据结构的调整与扩充；（6）各工作站点应用系统的功能重组；（7）系统硬件的维修、更新与添置；（8）系统维护的记录及维护手册的修订等。信息系统的维护不仅为系统的正常运行所必须．也是使系统始终能适应系统环境，支持并推动企业战略目标实现的重要保证。系统适应性维护应由企业信息管理机构领导负责，指定专人落实。为强调该项工作的重要性，在工作条件的配备上及工作业绩的评定上与系统的开发同等看待。三、系统的安全监控管理系统的安全监控管理现代信息系统是以计算机和网络为基础的共享资源，随着计算机和网络技术的加速普及，以开放性和共享性为特征的网络技术给信息系统所带来的安全性问题就日益突出起来。企业信息系统是企业投入了大量的人力与财力资源建立起来的，系统的各种软硬件设备是企业的重要资产。信息系统所处理和存储的信息是企业的重要资源，它们既有日常业务处理信息、技术信息，也有涉及企业高层的计划、决策信息，其中有相当部分信息是企业极为重要的并有保密要求的，这些信息几乎反映了企业所有方面的过去、现在与未来。如果信息系统软硬件的损坏或信息的泄漏就会给企业带来不可估量的经济损失，甚至危及企业的生存与发展。因此信息系统的安全与保密是一项必不可少的、极其重要的信息系统管理工作。一方面是信息安全与保密的重要性，另一方面，信息系统普及和应用使得信息系统深入到企业管理的不同层面，互联网技术在企业信息化建设中的应用又使得企业与外界的信息交往日益广泛与频繁。近年来世界范围共 10 页第6页信息安全论文学号：内的计算机犯罪、计算机病毒泛滥等问题，使信息系统安全上的脆弱性表现得越来越明显。所以信息系统安全的问题显得越发重要。信息系统的安全与保密是两个不同的概念，信息系统的安全是为防止有意或无意的破坏系统软硬件及信息资源行为的发生，避免企业遭受损失所采取的措施；信息系统的保密是为防止有意窃取信息资源行为的发生，使企业免受损失而采取的措施。 1．影响信息系统安全性的因素信息系统的安全性问题主要由以下几方面原因所造成：（1）自然现象或电源不正常引起的软硬件损坏与数据破坏了，例如地震、火灾、存储系统、数据通信等；（2）操作失误导致的数据破坏；（3）病毒侵扰导致的软件与数据的破坏；（4）人为对系统软硬件及数据所作的破坏。 2．维护措施为了维护信息系统的安全性与保密性，我们应该重点地采取措施，做好以下工作：（1）依照国家法规及企业的具体情况，制定严密的信息系统安全与保密制度，作深入的宣传与教育，提高每一位涉及信息系统的人员的安全与保密意识。（2）制定信息系统损害恢复规程，明确在信息系统遇到自然的或人为的破坏而遭受损害时应采取的各种恢复方案与具体步骤。（3）配备齐全的安全设备，如稳压电源、电源保护装置、空调器等。（4）设置切实可靠的系统访问控制机制，包括系统功能的选用与数据读写的权限、用户身份的确认等。（5）完整地制作系统软件和应用软件的备份，并结合系统的日常运行管理与系统维护，做好数据的备份及备份的保管工作。（6）敏感数据尽可能以隔离方式存放，由专人保管。上述措施必须完整地严格地贯彻，尤其是人的安全保密意识，必须强调自觉、认真的参与，承担各自的责任。只有这样才可能从根本上解决信息系统的安全保密问题。四、企业信息安全事故报告与处置管理安全事故就是能导致资产丢失与损害的任何事件，为把安全事故的损害降到最低的程度，追踪并从事件中吸取教训，组织应明确有关事故、故障和薄弱点的部门，并根据安全事故与故障的反应过程建立一个报告、反应、评价和惩戒的机制。 1、控制目标－报告安全事故和脆弱性、控制目标－共 10 页第7页信息安全论文学号：目标：确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施应该准备好正常的事件报告和分类程序，这类程序用来报告可能对机构的财产安全造成影响的不同种类的事件和弱点，所有的员工、合同方和第三方用户都应该知晓这套报告程序。他们需要尽可能快地将信息安全事件和弱点报告给指定的联系方。控制措施－安全事故报告，组织应明确信息安全事故报告的方式、报告的内容、报告的受理部门，即安全事件应在被发现之后尽快由适当的受理途径进行通报。应当尽可能快速地通过适当管理渠道报告安全事故。组织的普通员工通常是安全事件的最早发现者，如果安全事件能及时发现并报告相应的主管部门，做出及时的处理，能使组织的经济损失及声誉损失降到最低。为及时发现安全事件，组织应建立正式的报告程序，分别对安全事故的报告做出明确规定。应当让所有员工和第三方的签约人都了解报告程序并鼓励他们在安全事件发生的第一时间就尽快报告。还应当建立起事故反应机制，以便在接到事故报告时，有关部门能及时采取的措施。应当建立适当的反馈机制，确保在处理完事故之后，使员工能够知道所报告事故的处理结果。同时可以用这些事故来提高用户的安全意识，使他们了解发生了什么情况、对这种情况怎样做出反应并且将来如何避免这些事故。针对不同的类型的安全事件，做出相应的应急计划，规定事件处理步骤，基于以下因素区分操作的优先次序：①保护人员的生命与安全②保护敏感资料③保护重要的数据资源④防止系统被破坏将信息系统遭受的损失降至最低对非法入侵进行司法取证系统恢复运行。控制措施－安全弱点报告，应当要求信息服务的使用者记下并报告任何观察到的或可疑的有关系统或服务方面的安全弱点或受到的威胁。应当要求信息服务的用户注意并报告任何观察到或者预测到的系统或者服务中存在的弱点、或者是受到的威胁。用户应当尽快向管理层或者服务供应商报告此类事件。应当告知用户，一旦发现安全弱点，就会及时报告，而不要试图去证实弱点存在，因为测试系统缺陷的行为可能会被安全管理人员或安全监控设施看作是对系统的攻击。 2、控制目标－信息安全事故管理和改进、控制目标－目标：确保使用持续有效的方法管理信息安全事故一旦信息安全事件和弱点报告上来，应该立即明确责任，按照规程进行有效处理。应该应用一个连续性的改进过程对信息安全事故进行响应、监视、评估和总体管理。如果需要证据的话，则应该搜集证据以满足法律的要求。职责和程序：应建立管理职责和程序，以快速、有效和有序的响应信息安全事故，除了对信息安全事件和弱点进行报告外，还应该利用系统的监视、报警和发现脆弱性的功能来检测信息安全事故。在建立信息安全事故管理目标时，要与管理层达成一致意见，应该确保负责信息安全事故的管理人员理解在组织中处理信息安全事故时，事故处理优先权的规则。控制措施－从事故中吸取教训，应当有相应的机制来量化并监测信息安全事故的类型、大小和造成的损失。共 10 页第8页信息安全论文学号：安全事件发生后，安全主管部门应对事故的类型、严重程度、发生的原因、性质、频率、产生的损失、责任人进行调查确认，形成事故或故障评价资料。已发生的信息安全事件可以作为信息安全教育与培训的案例，以便组织内相关的人员从事故中学习，以避免再次出现；如果安全事件再次发生，能够更迅速有效地进行处理。控制措施－收集证据当安全事故发生后需要对个人或组织采取法律行动（无论是民事诉讼还是刑事诉讼）时，都应当以符合法律规定的形式收集、保留并提交证据。当组织需要实施惩戒行动时，应该制定和遵循组织内部收集和提交证据的规范程序。证据规则包括：证据的可用性：证据能被法律部门采纳，可在法庭上出示；证据的有效性：证据的质量和完整性。为了确保证据的可用性，组织应该保证自己的信息系统在采集证据过程中，符合有关标准和规范的要求。为保证证据的有效性，组织应当采取必要的控制措施来保证证据的质量和完整性控制要求，在从证据被发现到存储和处理的整个过程中，都应当建立较强的审计轨迹。任何司法取证工作都只允许在原始证据材料的拷贝上进行，以确保所有证据材料的完整性都得到了妥善保护。证据材料的拷贝应该在可信赖人员的监督下进行，什么时候在什么地方进行的拷贝，谁进行的拷贝，使用了什么工具和程序进行的拷贝，这些都应该记录在日志中。五、企业信息系统操作安全管理 1、操作权限：、操作权限：为了企业信息系统正常运行，参照公安部的有关规定和要求，根据企业的实际情况制定系统操作权限管理制度。如： (1). 网络服务器、备份服务器，网络设备、备份设备必须由专人专管不得随意使用。所有设备必须设置不同权限的密码。系统管理员、操作员、数据库管理员、数据库操作员严格区分。明确权限范围，不得越权操作。 ⑵ . 系统操作权限管理和管理人员岗位工作职责制度应明确各计算机岗位职责、权限,严禁串岗、替岗。 ⑶. 每个管理员和不同管理权限岗位的工作人员不对外泄密码，因密码外泄造成网络遭受损失的，将按我中心有关制度严肃处理。 ⑷ . 每个管理人员必须定期变更设备密码，严禁设置弱密码，密码一经设置和更改，管理人员必须负责做好密码备份，并报分管副主任和网络管理科备份。 2、操作规范、可根据企业的实际情况制定系统操作权限管理制度。如：共 10 页第9页信息安全论文学号：系统使用管理 ⑴ .保证信息系统的安全可靠运行，必须对系统的操作使用做出严格的控制⑼ ⑵ .在信息系统投入运行前，由信息主管根据单位主管的要求确定本系统的合法有权使用、人员及其操作权限，并报单位主管审核批准后地系统内授权其使用权，运行中需按同样手续办理。 ⑶ .对各使用人员明确划分使用操作权限，形成适当的分工牵制，健全内部控制制度。 ⑷ .为每个操作人员都设置不同操作密码，谢绝无并人员用机器做其他工作。 ⑸ .设立“计算机使用登记簿”，任何人均须登记方可用机。 ⑹ .任何人员不得直接打开数据库文件进行操作，不允许随意增删改数据、原程序和数据库文件结构。 ⑺ .操作人员不允许进行系统性操作。 ⑻ .操作人员应按规定范围内对系统进行操作，负责数据的输入、运算、记帐和打印有关帐表。 ⑼ .档案管理员负责应对存档数据、软盘、帐表和文档资料进行统一复制、核对和保管。 ⑽ ．系统管理员应做好日常检查监督工作，发现不规范应及时制止，并采取措施避免同样情况再次发生。用户上机操作规程用户上机操作规程 (1).上机人员必须是会计有权使用人员，经过培训合格并经财务主管正式认可后，才能上机操作。 (2).操作人员上机操作前后，应进行上机操作登记，填写真实姓名、上机时间、操作内容，供系统管理员检查核实。 (3).操作人员上机前应做好各项准备工作，尽量减少占用机器时间，提高工作效率。 (4).操作人员的操作密码应注意保密，不能随意泄露，密码要不定期变更。 (5).操作人员必须严格按操作权限操作，不得越权或擅自上机操作。 (6).操作人员应严格按照凭证输入数据，不得擅自修改凭证数据。 (7).每次上机工作完毕后都要作好工作备份，以防意外事故。 (8).在系统运行过程中，操作人员如要离开工作现场，必须在离开前退出系统，以防止其他人越权操作。总结：信息系统安全管理必须综合考虑各方面的安全问题，全面分析整个系统，并对系统中各子系统的交界面给予特别的强调，在系统寿命周期的早期阶段应用系统安全管理，会得到最大的效益。系统安全管理主要在给定条件下，最大程度地减少事件损失，并且尽可能地减少因安全问题对运行中系统进行的修改。系统安全管理通过制定并实施系统安全程序计划进行记录，交流和完成管理部门确定的任务，以达到预定的安全目标。共 10 页第 10 页

很多设计希望能帮你

专科还是本科

网络安全信息安全论文

论电子商务中网络隐私安全的保护 [摘要] 随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题,对网络隐私数据(网络隐私权)安全的有效保护,成为电子商务顺利发展的重要市场环境条件。网络信息安全技术、信息安全协议、P2P技术成为网络隐私安全保护的有效手段。 [关键词] 电子商务;网络隐私权;信息安全技术;安全协议;P2P技术;安全对策随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题。在利益驱使下,有些商家在网络应用者不知情或不情愿的情况下,采取各种技术手段取得和利用其信息,侵犯了上网者的隐私权。对网络隐私权的有效保护,成为电子商务顺利发展的重要市场环境条件。一、网络隐私权侵权现象 1.个人的侵权行为。个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。 2.商业组织的侵权行为。专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息,利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料,建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以谋利,或是用于其他商业目的。根据纽约时报报道,、Toysmart和等网站,都曾将客户姓名、住址、电子邮件甚至信用卡号码等统计分析结果标价出售,以换取更多的资金。 3.部分软硬件设备供应商的蓄意侵权行为。某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该处理器的计算机能在网络中被识别,生产厂商可以轻易地收到用户接、发的信息,并跟踪计算机用户活动,大量复制、存储用户信息。 4.网络提供商的侵权行为 (1)互联网服务提供商(ISP Internet Service Provider)的侵权行为:①ISP具有主观故意(直接故意或间接故意),直接侵害用户的隐私权。例:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。②ISP对他人在网站上发表侵权信息应承担责任。 (2)互联网内容提供商(ICP Internet Content Provider)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散,ICP构成侵害用户隐私权,应当承担过错责任。 5.网络所有者或管理者的监视及窃听。对于局域网内的电脑使用者,某些网络的所有者或管理者会通过网络中心监视使用者的活动,窃听个人信息,尤其是监控使用人的电子邮件,这种行为严重地侵犯了用户的隐私权。二、网络隐私权问题产生的原因网络隐私权遭受侵犯主要是由于互联网固有的结构特性和电子商务发展导致的利益驱动这两个方面的原因。 1.互联网的开放性。从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。由于互联网成员的多样和位置的分散,其安全性并不好。互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。 2.网络小甜饼cookie。某些Web站点会在用户的硬盘上用文本文件存储一些信息,这些文件被称为Cookie,包含的信息与用户和用户的爱好有关。现在的许多网站在每个访客进入网站时将cookie放入访客电脑,不仅能知道用户在网站上买了些什么,还能掌握该用户在网站上看过哪些内容,总共逗留了多长时间等,以便了解网站的流量和页面浏览数量。另外,网络广告商也经常用cookie来统计广告条幅的点击率和点击量,从而分析访客的上网习惯,并由此调整广告策略。一些广告公司还进一步将所收集到的这类信息与用户在其他许多网站的浏览活动联系起来。这显然侵犯了他人的隐私。 3.网络服务提供商(ISP)在网络隐私权保护中的责任。ISP对电子商务中隐私权保护的责任,包括:在用户申请或开始使用服务时告知使用因特网可能带来的对个人权利的危害;告知用户可以合法使用的降低风险的技术方法;采取适当的步骤和技术保护个人的权利,特别是保证数据的统一性和秘密性,以及网络和基于网络提供的服务的物理和逻辑上的安全;告知用户匿名访问因特网及参加一些活动的权利;不为促销目的而使用数据,除非得到用户的许可;对适当使用数据负有责任,必须向用户明确个人权利保护措施;在用户开始使用服务或访问ISP站点时告知其所采集、处理、存储的信息内容、方式、目的和使用期限;在网上公布数据应谨慎。目前,网上的许多服务都是免费的,如免费电子邮箱、免费下载软件、免费登录为用户或会员以接收一些信息以及一些免费的咨询服务等,然而人们发现在接受这些免费服务时,必经的一道程序就是登录个人的一些资料,如姓名、地址、工作、兴趣爱好等,服务提供商会声称这是为了方便管理,但是,也存在着服务商将这些信息挪作他用甚至出卖的可能。三、安全技术对网络隐私权保护 1.电子商务中的信息安全技术电子商务的信息安全在很大程度上依赖于安全技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。 (1)防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。 (2)加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。 (3)数字签名技术。数字签名(Digital??Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。 (4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Time-stamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。 2.电子商务信息安全协议 (1)安全套接层协议(Secure Sockets Layer,SSL)。SSL是由Netscape Communication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。 (2)安全电子交易公告(Secure Electronic Transactions,SET)。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。 (3)安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。 (4)安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。 (5)UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。技术与网络信息安全。P2P(Peer-to-Peer,即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络,最根本的思想,同时它与C/S最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。 (1)隐私安全性 ①目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征,获得IP地址。甚至可以使用一些跟踪软件直接从IP地址追踪到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容,但是这些机制并不能隐藏是谁发送了这些信息。而在P2P中,系统要求每个匿名用户同时也是服务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次通信都可能包含许多潜在的用户。 ②目前解决Internet隐私问题主要采用中继转发的技术方法,从而将通信的参与者隐藏在众多的网络实体之中。而在P2P中,所有参与者都可以提供中继转发的功能,因而大大提高了匿名通讯的灵活性和可靠性,能够为用户提供更好的隐私保护。 (2)对等诚信为使得P2P技术在更多的电子商务中发挥作用,必须考虑到网络节点之间的信任问题。实际上,对等诚信由于具有灵活性、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任管理的必然选择。对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度模型中,买卖双方在每次交易以后可以相互提升信誉度,一名用户的总的信誉度为过去6个月中这些信誉度的总和。eBay依靠一个中心来管理和存储信誉度。同样,在一个分布式系统中,对等点也可以在每次交易以后相互提升信誉度,就象在eBay中一样。例如,对等点i每次从j下载文件时,它的信誉度就提升(+1)或降低(-1)。如果被下载的文件是不可信的,或是被篡改过的,或者下载被中断等,则对等点i会把本次交易的信誉度记为负值(-1)。就象在eBay中一样,我们可以把局部信誉度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。每个对等点i可以存贮它自身与对等点j的满意的交易数,以及不满意的交易数,则可定义为: Sij=sat(i,j)-unsat(i,j) 四、电子商务中的隐私安全对策 1.加强网络隐私安全管理。我国网络隐私安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。 2.加快网络隐私安全专业人才的培养。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。 3.开展网络隐私安全立法和执法。加快立法进程,健全法律体系。结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。 4.抓紧网络隐私安全基础设施建设。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。 5.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。 6.强化网络技术创新,重点研究关键芯片与内核编程技术和安全基础理论。统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。 7.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。目前,国际上出现许多关于网络隐私安全的技术规范、技术标准,目的就是要在统一的网络环境中保证隐私信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。参考文献: [1]屈云波.电子商务[M].北京:企业管理出版社,1999. [2]赵立平.电子商务概论[M].上海:复旦大学出版社,2000. [3]赵战生.我国信息安全及其技术研究[J].中国信息导报,1999,(8). [4]曹亦萍.社会信息化与隐私权保护[J].政法论坛,1998,(1).

以下是我为大家带来的网络安全相关的论文三篇，希望大家满意。欢迎阅读!!!

浅谈网络安全论文一：

一、网络安全概述

网络安全是指网络上的信息和资源不被非授权用户使用。网络安全设计内容众多,如合理的安全策略和安全机制。网络安全技术包括访问控制和口令、加密、数字签名、包过滤以及防火墙。网络安全,特别是信息安全,强调的是网络中信息或数据的完整性、可用性及保密性。完整性是指保护信息不被非授权用户修改或破坏。可用性是指避免拒绝授权访问或拒绝服务。保密性是指保护信息不被泄漏给非授权用户。

网络安全产品有以下特点:一是网络安全来源于安全策略与技术的多样化;二是网络的安全机制与技术要不断地变化;三是建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。

二、网络安全存在的威胁因素

目前网络存在的威胁主要有以下方面:

第一,非授权访问,即没有预先经过同意,就使用网络或计算机资源。

第二,信息遗漏或丢失,即敏感数据在有意或无意中被泄漏出去或丢失。

第三,破坏数据完整性,即以非法方式窃得对数据得使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者得响应;恶意添加,修改数据,以干扰用户得正常使用。

三、网络安全技术

(一)防火墙

网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。根据防火墙所采用的技术不同,我们可以将它分为3种基本类型:包过滤型、网络地址转换-NAT、代理型。

1、包过滤型。包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,过包过滤型防火墙。

2、网络地址转化-NAT。网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。

3、代理型。代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

(二)加密技术

与防火墙配合使用的还有数据加密技术。目前各国除了从法律上、管理上加强数据的安全保护之外,从技术上分别在软件和硬件两方面采取措施推动数据加密技术和物理防范技术不断发展。按作用不同,数据加密技术分为数据传输、数据存储、数据完整性的鉴别和密钥管理技术4种。数据传输加密技术是对传输中的数据流加密,常用的方法有线路加密和端一端加密两种;数据存储加密技术目的是防止存储环节上的数据失密,可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者则是对用户资格、格限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。数据完整性鉴别技术目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,一般包括口令、密钥、身份、数据等项的鉴别,系统通过对本验证对象输入的特征值是否符合预先设定的参数。实现对数据的安全保护。密钥管理技术是为了数据使用的方便,往往是保密和窃密的主要对象。密钥的媒体有磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节的保密措施。

(三)PKI技术

PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。

1、认证机构。CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明-证书,任何相信该CA的人,按照第3方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。

2、注册机构。RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。

3、策略管理。在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。

4、密钥备份和恢复。为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

5、证书管理与撤消系统。证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。

(四)网络防病毒技术

在网络环境下,计算机病毒有不可估量的威胁性和破坏力,一次计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒三种技术。

预防病毒技术,即通过自身的常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有加密可执行程序、引导区保护、系统监控和读写控制。

检测病毒技术,即通过对计算机病毒的特征进行判断的技术,如自身校验、关键字、文件长度的变化等。

消毒技术,即通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文的软件。

网络反病毒技术的具体实现方法包括对网路服务器中的文件进行频繁的扫描和监测;在工作站上用防毒芯片和对网络目录及文件设置访问权限等。

四、安全技术的研究现状和动向

我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。对我国而言,网络安全的发展趋势将是逐步具备自主研制网络设备的能力,自发研制关键芯片,采用自己的操作系统和数据库,以及使用国产的网管软件。我国计算机安全的关键在于要有自主的知识产权和关键技术,从根本上摆脱对国外技术的依赖。

网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。

浅谈网络安全论文二：

网络做为一个传播信息的媒介，是为人们提供方便，快捷的共享资源而设立的，由于要使人们轻松的使用网络，它的复杂程度，不能太高，所以在网络上对安全的考虑就不能太多，因此网络自产生以来黑客等许多问题一直存在得不到有效解决。网络之所以容易被入侵，是由于网络自身的性质所决定的，而如果不重视网络的安全性，轻者个人的信息泄露，电脑使用不便，重者会给公司或个人造成很大的损失。非法侵入，造成保密资料泄露，财务报表，各种资料被任意地修改，使所在单位和公司蒙受重大的损失。黑客恶意攻击，使网络瘫痪，数据失效，使整个网络处于停顿，所造成的损失比侵入帐户的损失还大。所以作为网络使用者有必要了解一下网络入侵者的攻击手段以保护自己电脑的安全。

网络入侵者的攻击手段可大致分为以下几种：

(1)社会攻击。这是最简单，最阴险，也是最让人容易忽视的方法，入侵者在用户无意识的情况下将密码窃得，以正当身份进入网络系统。

(2)拒绝服务。目的是阻止你的用户使用系统，而为侵入提供机会。

(3)物理攻击。使用各种手段进入系统的物理接口或修改你的机器网络。

(4)强制攻击。入侵者，对口令一次次的精测重测试。

(5)预测攻击。根据所掌握的系统和用户的资料辅助进行攻击。

(6)利用操作系统和软件瑕疵进行攻击。

针对以上入侵者行为，电脑软件的开发者们采取了一些解决方法，如：

(1)帐户管理和登陆：根据用户的不同情况，将相同的帐户分成同组，按最小权限原则，确定组的权限，而不用单个帐户进行管理。使用配置文件脚本文件等，设置用户的工作环境。根据用户的工作环境，尽量将用户固定在固定的位置上进行登录，并用其它的硬件设置进行验证机器。防止非法用户从其他地方入侵，并可设置登录脚本对用户身份进行多重验证，确定登录次数。对传输的信息进行加密，防止帐户被截获，破译。

(2)存取控制：确保唯有正确的用户才能存取特定的数据，其他人虽然是合法用户但由于权限限制不能存取。将共享资源和敏感资源放在不同的服务器上，之间用防火墙分开，并施以不同的权限，让不同的用户访问不同的资源。

(3)连接完善：维护用户的正确连接，防止不正确的用户连接，通过电缆和所有有关的硬件安全保密事况。使用登录日志，对登录的情况进行记录以使查询，检查非法入侵者，对入侵者情况进行总结通报。

(4)备份和恢复：定期对资源进行普通，副本，差异，增量等备份，防止数据意外丢失。

当然，以上方法是为广大的电脑用户共同设置的，并不能完全将入侵者挡在门外。对于每一个使用电脑的普通个体来说应该大体了解自己电脑上的这些功能，使用这些功能来保护自己的电脑。比如当我们登陆网站使用邮箱、下载资料、QQ视频聊天时，必须要输入自己的账号和密码，为防止被盗，我们不要怕麻烦养成定期更改的习惯，尽量不使用自己的名字或生日、多使用些特殊词，最好随机产生(电脑会显示安全性强度帮助你比较)。对于不同的网站，要使用不同口令，以防止被黑客破译。只要涉及输入账户和密码，尽量在单位和家里上网不要去网吧;浏览正规网站，不要轻易安装和运行从那些不知名的网站(特别是不可靠的FTP站点)下载的软件和来历不明的软件。有些程序可能是木马程序，如果你一旦安装了这些程序，它们就会在你不知情的情况下更改你的系统或者连接到远程的服务器。这样，黑客就可以很容易进入你的电脑。不要轻易打开电子邮件中的附件，更不要轻易打开你不熟悉不认识的陌生人发来的邮件，要时刻保持警惕性，不要轻易相信熟人发来的E-mail就一定没有黑客程序，不要在网络上随意公布或者留下您的电子邮件地址，去转信站申请一个转信信箱，因为只有它是不怕炸的，对于邮件附件要先用防病毒软件和专业清除木马的工具进行扫描后方可使用。在使用聊天软件的时候，最好设置为隐藏用户，以免别有用心者使用一些专用软件查看到你的IP地址，尽量不和陌生人交谈。使用移动硬盘，U盘等经常备份防止数据丢失;买正版杀毒软件，定期电脑杀毒等。很多常用的程序和操作系统的内核都会发现漏洞，某些漏洞会让入侵者很容易进入到你的系统，这些漏洞会以很快的速度在黑客中传开。因此，用户一定要小心防范。软件的开发商会把补丁公布，以便用户补救这些漏洞。总之，注意电脑安全就是保护我们自己。

浅谈网络安全论文三：

如今社会效率极高之重要原因是使用了计算机网络，而享受高效率的同时也越发对网络存在着依赖性。这也就使得我们对网络安全性的要求越来越高。

国际标准化组织将“计算机网络安全”定义为：为数据处理系统建立和采取的技术和管理的安全保护。保护计算机硬件、软件数据不因偶然和人为恶意等原因而遭到破环、更改和泄漏。也就是所谓的物理安全和逻辑安全。如果计算机在网络中不能正常运作，很可能是出现了安全漏洞。鉴于出现漏洞原因的不同，下面就做以简单讨论。

笼统来讲，计算机安全隐患分为人为和非人为两大类。例如操作系统自身具有的安全隐患即属于非人为因素。虽然非人为因素的安全隐患我们避免不了，可人为因素有时候可能会给我们带来更大的威胁。“黑客”就是阐述由于人为因素造成网络安全问题的最典型的名词。

下面就几种常见的网络安全问题及应对策略和相关技术做以简单讨论：

(一)网络安全问题方面

网络环境中，由于网络系统的快速度、大规模以及用户群体的集中活跃和网络系统本身在稳定性和可扩展性方面的局限性等原因都可能激起安全问题的爆发。同时还会遇到因为通讯协议而产生的安全问题。目前，局域网中最常用的通信协议主要是TCP/IP协议。

1、TCP/IP协议的安全问题

在广泛采用TCP/IP协议的网络环境中异种网络之间的相互通信造就了其开放性。这也意味着TCP/IP协议本身存在着安全风险。由于TCP作为大量重要应用程序的传输层协议，因此它的安全性问题会给网络带来严重的后果。

2、路由器等网络设备的安全问题

网络内外部之间的通信必须依赖路由器这个关键设备，因为所有的网络攻击也都经过此设备。有时攻击是利用路由器本身的设计缺陷进行的，而有时就通过对路由器设置的篡改直接展开了。

3、网络结构的安全问题

一般用户在进行网络通信时采用的是网间网技术支持，而属于不同网络之间的主机进行通信时都有网络风暴的问题，相互传送的数据都会经过多台机器的重重转发。在这种“开放性”的环境中，“黑客”可对通信网络中任意节点进行侦测，截取相应未加密的数据包。例如常见的有对网络电子邮件的破解等。

(二)网络安全应对策略问题

1、建立入网访问模块和网络的权限控制模块，为网络提供第一层访问控制并针对网络非法操作提出安全保护措施。

2、实行档案信息加密制度并建立网络智能型日志系统，做好数据的__，使日志系统具备综合性数据记录功能和自动份类检索能力。

3、建立备份和恢复机制，避免因一些硬件设备的损坏或操作系统出现异常等原因而引起麻烦或损失。

4、建立网络安全管理制度，加强网络的安全管理，指定有关规章制度。

5、对网络进行分段并划分VLAN，使非法用户和敏感的网络资源相互隔离，并克服以太网广播问题。

(三)网络安全相关技术

网络安全技术是一个十分复杂的系统工程。网络安全的保障来源于安全策略和技术的多样化及其快速的更新。从技术上来说，网络安全由安全的操作系统、安全的应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件无法确保信息网络的安全性。目前成熟的网络安全技术主要有：防火墙技术、防病毒技术、数据加密技术等。

1、防火墙技术

所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统。它是内部网路与外部网络之间的第一道安全屏障。在选择防火墙时，虽然无法考量其设计的合理性，但我们可以选择一个通过多加权威认证机构测试的产品来保证其安全性。目前的防火墙产品有包过滤路由器、应用层网关(代理服务器)、屏蔽主机防火墙等。最常用的要数代理服务器了。

2、防病毒技术

目前数据安全的头号大敌就是计算机病毒。它具有传播性、隐蔽性、破坏性和潜伏性等共性。我们常用的杀毒软件有驱逐舰网络版杀毒软件、趋势网络版杀毒软件、卡巴斯基网络版杀毒软件等。网络防病毒软件主要注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源感染，网络防病毒软件会立刻检测到并加以删除。

3、访问控制和数据加密技术

访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限等。

数据加密：加密是保护数据安全的重要手段。加密技术可分为对称密钥密码体制和非对称密钥密码体制。非对称密钥密码技术的应用比较广泛，可以进行数据加密、身份鉴别、访问控制、数字签名、数据完整性验证、版权保护等。

除此之外，我们也要自我建立网上行为管理系统，控制P2P，BT等下载，防范恶意代码，间谍软件;控制管理及时通讯工具的使用及其附件管理;防范网站或品牌被钓鱼或恶意代码攻击并发出警告;提供网页服务器的安全漏洞和风险分析，提供数据库及时的更新等。

总之，网络安全是一个综合性的课题，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施。所以计算机网络安全不是仅有很好的网络安全设计方案就能解决一切问题，还必须由很好的网络安全的组织机构和管理制度来保证。我们只有依靠杀毒软件、防火墙和漏洞检测等设备保护的同时注重树立人的安全意识，并在安全管理人员的帮助下才能真正享受到网络带来的便利。

信息安全论文参考文献近五年

中国期刊全文数据库共找到 3 条[1]高文涛. 国内外信息安全管理体系研究[J]. 计算机安全, 2008,(12) . [2]沈俊,吴佩达. 校园网网络安全隐患及其对策[J]. 湖州职业技术学院学报, 2008,(03) . [3]吕述望. 浅谈信息安全等级保护与信息安全管理[J]. 数码世界, 2007,(12) . 中国期刊全文数据库共找到 1 条[1]赵文娟. 信息技术在局域网中的应用研究[J]. 科技情报开发与经济, 2010,(01) . [1] 谢芳,杨翠萍,靳平. 信息技术安全策略的分析和研究[J]. 现代电子技术, 2009,(14) . [2] 熊俊伟. 电子政务网络信息安全探讨[J]. 科协论坛(下半月), 2009,(08) . [3] 张鑫. 信息透明与信息安全——由“校内网”事件所引发的思考[J]. 科技情报开发与经济, 2009,(23) . [4] 陈铁明,Samuel ,刘多,蔡家楣. 神经密码协议模型研究[J]. 计算机研究与发展, 2009,(08) . [5] 吴婷. 网络入侵检测系统的研究现状与发展趋势[J]. 中共郑州市委党校学报, 2006,(04) . [6] 赵晓桃. 浅谈电子商务的安全策略与安全技术[J]. 职业, 2009,(18) . [7] 王雷. B2B电子商务安全技术简析[J]. 淮北职业技术学院学报, 2009,(03) . [8] 孙博. 企业信息安全及相关技术概述[J]. 科技创新导报, 2009,(04) . [9] 姚培荣. 论电子商务对运输、物流及供应链的影响[J]. 中外企业家, 2009,(08) . [10] 梅培. 信息安全工程的经济分析模型[J]. 中南财经政法大学研究生学报, 2007,(04) .

知网有很多，不知道让贴不 [1]张戈. 云安全找回渠道价值[N]. 电脑商报,2010-03-08(027). [2]本报记者那罡. Web风险让用户重新思考终端安全[N]. 中国计算机报,2009-08-03(040). [3]张戈周雪. 云安全改变商业模式[N]. 电脑商报,2008-09-15(033). [4]瑞星系统架构师钟伟. 云安全——巨大的互联网软件[N]. 中国计算机报,2008-11-24(C03). [5]本报记者那罡. 从云安全到安全云[N]. 中国计算机报,2010-08-02(036). [6]小谢. 云安全和安全云[N]. 电脑报,2010-09-27(I01). [7]电脑商报记者张戈. “云安全”是趋势[N]. 电脑商报,2009-03-16(027). [8]本报记者胡英. 博弈还在继续[N]. 计算机世界,2009-09-28(049). [9]电脑商报记者张戈. 云安全降低终端压力[N]. 电脑商报,2010-03-15(026). [10]王春雁. 云计算首获安全防护,“安全云”横空出世——趋势科技正式发布云安全[J]. 中国教育信息化,2010,(15). [11]李铁军. 云安全网民能得到什么金山毒霸2009云安全试用[J]. 电脑迷,2009,(3). [12]善用佳软. IT风“云”录云计算、云安全、云道德[J]. 新电脑,2008,(9). [13]网御星云安全专家畅谈网络安全之一:说说网络安全中“最熟悉的陌生人”[J]. 信息安全与通信保密,2011,(5). [14]说说网络安全中“最熟悉的陌生人”——网御星云安全专家畅谈网络安全之一[J]. 计算机安全,2011,(5). [15]孙泠. 云的安全和云安全[J]. IT经理世界,2010,(7). [16]褚诚云. 云安全:云计算的安全风险、模型和策略[J]. 程序员,2010,(5). [17]趋势“云安全”为电力用户提供从内到外的安全——趋势科技全方位、多层次的防护方案使网络更加稳定、更加安全[J]. 电力信息化,2009,(3). [18] 如何保障“企业私有云“系统? 云管理与云安全[N]. 计算机世界,2011-07-25(014). [19]电脑商报记者张戈. 从云安全到安全云[N]. 电脑商报,2011-02-28(026). [20]小谢. 云系统、云平台和云安全是焦点[N]. 电脑报,2010-01-11(001). [21] 如何保障“企业私有云”系统?云管理与云安全[N]. 计算机世界,2011-07-25(014). [22]本报记者邹大斌. 建立立体的安全防护网[N]. 计算机世界,2009-12-07(B26). [23]本报记者郑燃. 从云安全到安全云[N]. 政府采购信息报,2010-08-09(008). [24]王汝林. 发展“云计算”必须高度重视“云安全”[J]. 中国信息界,2011,(1). [25]阿呆. 广东电信:云安全保障网络安全[J]. 通讯世界,2011,(1). [26]马晓亭,陈臣. 云安全技术体系下数字图书馆信息资源安全威胁与对策研究[J]. 现代情报,2011,(3). [27]祝国辉. 云安全:从“杀毒”向“安全防御”转型[J]. 中国制造业信息化,2010,(24). [28]王汝林:发展云计算必须高度重视“云安全”[J]. 信息系统工程,2011,(3). [29]袁伟伟. “云安全”为数字化校园网络信息安全保驾护航[J]. 信息与电脑(理论版),2011,(3). [30]徐刚. 云计算与云安全[J]. 信息安全与技术,2011,(Z1). [31]知己知彼,固网御安——网御星云安全专家畅谈网络安全之二[J]. 计算机安全,2011,(6). [32]网御星云安全专家畅谈网络安全之二:知己知彼,固网御安[J]. 信息安全与通信保密,2011,(6). [33]聂利颖,孙胜耀,王芳. 将BP神经用于云安全客户端安全评定[J]. 福建电脑,2011,(5). [34]瑞星建立国内首个“云安全网站联盟”为百万网站提供安全预警[J]. 计算机与网络,2009,(17). [35]“云安全”推动安全行业改变[J]. 计算机与网络,2009,(14). [36]李新苗. 大云计划即将推出新版云安全仍是最大落地障碍[J]. 通信世界,2010,(14). [37]陈运红. 软件与服务行业:云安全,无处不在的信息安全[J]. 股市动态分析,2010,(16). [38]张春红,王军,肖庆,赵庆明. 云安全对图书馆网络信息系统安全的影响[J]. 四川图书馆学报,2010,(3). [39]张艾斌. 云计算模式与云安全问题研究[J]. 科协论坛(下半月),2010,(6). [40]黄海峰. 云安全两方面保障企业内网安全[J]. 通信世界,2010,(31). [41]江民打造“云安全”+“沙盒”双重安全保障体系[J]. 电脑编程技巧与维护,2009,(1). [42]李伟,李成坤. 透过“云安全”看公安信息网安全管理[J]. 硅谷,2009,(3). [43]从云计算到云安全[J]. 信息系统工程,2009,(1). [44]“云安全”真的安全吗[J]. 中国传媒科技,2009,(2). [45]王盘岗. 互联网安全危机下的云安全[J]. 社科纵横(新理论版),2009,(2). [46]李祥明. 云安全不一定安全[J]. 信息安全与通信保密,2009,(5). [47]瑞星“云安全”系统成功运行一周年,推动安全行业改变[J]. 计算机安全,2009,(8). [48]游向峰. 打造安全的网络环境之“云安全”[J]. 电脑编程技巧与维护,2009,(16). [49]李雪. 重新思考你的终端安全——趋势科技云安全正式发布[J]. 信息安全与通信保密,2009,(9). [50]马宁. “云安全”推动安全行业变革[J]. 中国金融电脑,2009,(9).