网络安全策略研究论文

摘要：随着社会发展，云计算的出现，是人们对电子计算机技术的一项重要突破，给生活带来了更多的便利，同时如何在计算机网络运行中，保障人们信息的安全也成为了研究的重点。本文对于云计算环境下，如何保护计算机网络安全进行了探讨研究。以下是小编精心整理的《网络安全策略研究论文(精选3篇)》，欢迎大家借鉴与参考，希望对大家有所帮助！

网络安全策略研究论文 篇1：

高校数字档案信息系统的网络安全策略研究

摘 要：高校档案在高校建设中发挥重要的作用，具有较高的价值。随着网络信息技术以及数字校园建设的快速发展，高校档案逐步实现数字化与网络化，一方面给档案管理和利用提供了极大的便利；另一方面也加大了安全风险。本文针对当前高校数字档案信息系统安全现状，设计一套符合高校数字化建设的安全增强方案，保障高校数字档案信息系统的网络安全。

关键词：高校档案 信息管理 网络安全

1 高校数字档案信息系统概述

1.1 基于B/S模式的應用系统结构

随着信息技术的快速发展，高校数字校园建设日趋完善，档案馆逐步实现了数字化管理，建立了新的管理信息系统。高校数字档案馆的信息管理系统多采用B/S模式为平台，具备互动界面友好、开发费用低、跨平台服务便捷、技术成熟等特点。基于B/S模式的系统采用三层结构：客户端浏览器—Web服务器—数据库服务器，后台数据库采用目前较为流行的SQL Server 2000作为网络数据库的平台，Web服务器的测试与运行采用IIS，客户端浏览器则采用IE浏览器。

1.2 数据库安全理论基础

当前数据库安全策略主要有：（1）数据备份与恢复策略，即定期对数据库进行数据备份，进而使数据库遭受破坏后能够及时恢复数据；（2）存储访问控制策略，即通过定义主体对客体访问规则集合，限制主体访问客体时必要权限；（3）最小特权策略，即主体执行授权任务时授予他完成任务所需最小特权；（4）安全管理策略，包括分布式控制与集中控制。

在对数据库进行安全管理时，现需要设定SQL Server的安全级别，SQL Server在工作时，用户需要身份验证与授权，并在权限允许下进行操作。在数据库安全管理的机制中，通过隔离控制技术，将用户与存取对象隔离控制，从而保证数据的完整性与安全性。对数据的保护还常用到密码技术，根据密钥类型不同，密码技术包括对称加密算法、不对称加密算法、不可逆加密算法、数字签名技术等。

2 数字档案系统数据库安全分析

2.1 安全需求与安全隐患

在高校数字档案信息管理系统中，基于B/S的数据库将Internet与数据库紧密结合起来，因此其主要安全影响因素有多用户多要求、数据库量大且文件多、数据更新频繁、分布式数据库引发的安全问题等。基于以上因素，在保证客户端服务器安全的前提下，数据库安全则集中在系统软件安全性上，因此需要满足以下几个方面的安全需求，即数据库的完整性、数据库的保密性、数据库的可用性以及数据库的可控性。

基于B/S模式的数字档案信息管理系统的安全隐患可分为三类：（1）物理安全隐患，包括各种外界因素引起的物理设备的故障，比如电源故障、设备不正常停机等；（2）系统安全隐患，比如：操作系统安全隐患、网络系统安全隐患等；（3）数据库安全隐患，比如非授权的恶意攻击、病毒或木马入侵等。

2.2 平台安全与数据库攻击

针对高校数字档案信息化管理系统的Windows NT平台，在安全方面突出“支持多种安全协议”的特点，提供一个普适性的安全框架，采用Kerberos Version 5.0身份验证协议，安全策略遵循适应性、动态性、简单性、系统性等原则。在平台安全上，突出特殊网络安全服务，访问控制可分为四类：（1）一般访问安全设置，包括访问控制强制性登陆、账户锁定、安全性标示符、用户口令管理；（2）文件与资源访问控制，包括NTFS文件系统、资源访问控制；（3）安全审计，审计对象包括安全日志审计、安全性事件审计、文件及目录审计等；（4）RSA安全性访问。常见的SQL Server数据库攻击有SQL injection供给以及MSSQL扩展存储后门等。

3 高校数字档案信息系统的网络安全策略

3.1 物理安全与软件安全管理

高校数字档案信息管理系统的物理设备主要包括计算机、路由器、交换机以及各种网络服务器等，物理安全的策略则主要针对物理设备进行，包括环境安全管理与设备安全管理。环境安全策略通常包括恒温恒湿、防水防火、防雷防磁、防静电等。设备安全策略一方面制定完善的管理规章制度，确保安全管理的质量；另一方面则建立完善硬件防护体系，比如备用电源、安装防电磁辐射产品等。

软件安全管理包括操作系统安全管理、应用软件安全管理与数据库安全管理，操作系统安全管理策略包括对系统进行定期升级、合理配置，安装必要的补丁，以及特殊设置，比如标准操作系统安装，设定最高安全级别，禁止非授权操作，安装防病毒软件，保留日志等。对数据库进行合理的安全配置，设置合适的身份验证模式，给登陆设置一个合适的安全口令等。在软件的安全管理策略中，需特别注重浏览器的安全设置以及选择成熟安全的浏览器。

3.2 身份认证与访问控制

身份认证是安全系统防止非法用户侵入的第一道安全防线，是通过验证人或事的真实性、有效性来达到验证目的。身份认证通常采用“用户名+密码”的方式，但这种方式在当前网络环境下存在诸多问题，比如网络数据流窃听、认证信息截取/重放、字典攻击、穷举尝试等。针对高校数字档案信息管理系统的特点，在身份认证方面主要针对两类人员进行分类设计。对档案管理人员的身份认证，采用结合口令认证和数字签名认证两种方式对用户身份进行双重认证，加密算法采用RSA算法；对档案利用人员的身份认证采用Hash签名认证。

访问控制的目的是确保用户对档案数据库只能进行经过授权的有关操作，常用访问控制策略包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器的安全控制、网络监测和锁定控制、网络端口和节点的安全控制、防火墙控制等。针对高校数字档案信息系统而言，还可采用强制访问控制来实现基于角色的访问控制，以及利用SQL Server的隔离控制技术增强访问控制等。

3.3 档案信息数据库加密

对于高校数字档案信息系统而言，数据库是重要组成部分，数据库数据安全直接决定了系统安全水平，档案信息数据库加密的策略需要结合数字档案的自身特征进行。针对数字档案数据库，对其中的敏感数据进行单独加密处理，使数据库的备份内容成为密文。由于并非对所有数据库数据进行单独加密，只对关键字段加密，并且所有用户的口令均用不可逆算法MD5加密后存储。对密钥的管理方面，由于高校数字档案的使用者具有较大的不固定性特征，因此，可采取用户的口令对用户私钥进行加密保护，用户公钥对数据密钥进行加密保护，最终用数据密钥对数据进行加密保护，进而实现安全易用的密钥管理。

3.4 数据库的备份

对数据库进行数据备份也是保障数据库安全的重要策略，在SQL Server系统中备份方法主要包括完整备份、增量备份、事物日志备份、文件/文件组备份等。数据库的备份应注意定期备份，每次大量数据录入、修改、删除等工作之后及时备份，保存两份以上的备份数据，并定期检查备份文件。

参考文献

[1] 刘雁鸣.网络环境下高校数字档案的信息安全威胁与对策[J].安徽科技学院学报，2013，27（3）：64-66.

[2] 高斌升.高等学校档案信息系统安全保护的对策及措施[J].中国管理信息化，2015，18（23）：169-170.

[3] 林林.论数字档案馆安全保护技术体系的构建[J].档案学研究，2015（3）：105-110.

[4] 田淑萍.基于B/S模式的数字化档案管理系统设计[J].无线互联科技，2017（23）：54-55.

作者：张雁翔

网络安全策略研究论文 篇2：

云计算环境下的计算机网络安全策略研究

摘 要：随着社会发展，云计算的出现，是人们对电子计算机技术的一项重要突破，给生活带来了更多的便利，同时如何在计算机网络运行中，保障人们信息的安全也成为了研究的重点。本文对于云计算环境下，如何保护计算机网络安全进行了探讨研究。

关键词：云计算环境；计算机网络安全；策略研究

云计算依托互联网而存在，可以在虚拟的网络环境下，给人们提供更多的信息存储空间以及更丰富的信息资源。随着计算机在整个社会中的普及，应用计算机进行信息传输和存储，已经成为了几乎所有人以及所有行业的首选，所以如何保障计算机所存储的大量信息安全，也成为了重中之重。

1 云计算的含义及其特征

1.1 云计算的含义

云计算是依托互联网而存在的服务模式，以互联网为基础，进行虚拟信息的存储，给人们提供更丰富的信息资料，也更加的方便信息的共享，提高了信息利用率，避免了用户在管理信息上花费大量精力，在很大程度上减少了信息成本。

1.2 云计算的特征

1.2.1 超级大规模性。云计算具有运算速度快，运算水平高的特性，所以可以支持大规模的服务器一起运行。

1.2.2 可靠性更高。云计算的计算模式相较于其他更加复杂，所以在进行运算的时候可以保证运算结果更加可靠。

1.2.3 通用性更好。云计算具有更好的包容性，可以适用于各种不同种类、不同需求的运算，可以构造出不同模式以供使用。

1.2.4 扩展性更高。云计算超大型的计算模式，保证了其可伸缩的动态性质，使其可以满足不同类型、不同区域用户的需求。

1.2.5 虚拟性更强。在进行云计算的时候，用户只要利用IP就可以实现网络的访问和使用。

1.2.6 成本更低。自动化集中进行管理的模式，保证了用户可以用极小的成本获取高速、优质的信息资源。

2 云计算环境下的计算机网络安全相关问题

2.1 云计算环境下计算机网络安全现状

云计算环境下的计算机网络虽然已经在很多方面得到了保护，但是由于互联网是开放的、自由的，所以其信息在很大程度上并不具备隐蔽性，这就降低了原有的技术安全防护措施效果，如果收到人为攻击，很可能会导致计算机网络安全失控，导致信息泄露。现阶段主要影响计算机网络安全的原因主要有两种，分别如下：

2.1.1 被动地位。在云计算进行服务的时候，主要是通过服务商和用户间进行配合的过程，所以导致用户收到了服务商服务条款的制约，如果服务商网站技术出现问题，很可能导致服务终止，这就导致了用户的被动地位，很容易受到服务商影响。并且现阶段的网络中存在着大量的虚假网络地址，很容易导致用户上当，造成安全隐患。

2.1.2 黑客。随着计算机技术的普及，很多人开始对于计算机进行分析、学习，造就了大批计算机人才的出现，但是其中也存在着一些违法的黑客分子，他们会运用其优秀的计算机技术对他人信息进行窃取，云计算中蕴含的庞大信息对于这些不法分子来讲具有很大吸引力，所以这些认为的攻击很可能会造成信息失窃。

2.2 云计算环境下基础设施安全问题

云计算的基础设施安全指的是互联网和计算机的安全。互联网公用的信息资源收费低并且规模很大，由于其公开性，很难保证其隐私性，并且由于公开信息的节点太多，安全保护机制并不能确保覆盖每一个节点。计算机网络中的私有信息，虽然收费相较于公有信息高，但是其节点相对减少，更有利于安全保护。基础设施的安全是保证整个计算机网络安全的基础核心，只有保障了主机安全，才能更好地进行运行维护。

2.3 云计算环境下数据安全问题

云计算的数据安全应具备隐秘性、完整性和可用性。服务商的安全保障需同时满足这三个特质，无论哪一点都不可或缺。

2.3.1 数据隐秘性。用户的个人信息属于个人隐私，在无本人的同意下，绝不可被窥窃。服务商应提供强力有效的安全屏障来维护用户的隐私。

2.3.2 數据完整性。用户上传并存储的数据须保持从始至终的完整性，即在无用户自身的修改等操作时数据不应出现任何变动。一方面，服务商要提供完善的网络防火墙以防黑客对数据进行篡改和破坏；另一方面，服务商也要定期更新和维修自身的总服务器，确保不因服务器出现的问题而破坏数据的完整性。

2.3.3 数据可用性。服务商应提供稳定的网络运行系统，使用户能够随时对数据进行有效操作。

3 加强计算机网络安全防范的具体措施

3.1 建立“云计算”数据中心

在基础设施方面，“云计算”数据中心和传统数据中心同样需要旁挂核心或交换机来保证数据的分区部署；在特性方面，两者的数据部署都具备完整性、规范性和条理性；在功能方面，相同的是两者都需满足资源的最大化利用，不同的是，“云计算”数据中心比传统数据中心更快捷、更实用、更具体。

3.1.1 模式扩大。网络用户数量的急剧增加和网络应用程序开发速度的大幅增快，都对网络数据中心提出了更高的要求。“云计算”数据中心较之传统的数据中心拥有更大的规模。不仅是网络内外的传输，还是网络内部之间服务器的传输，都在最大程度上提高了供应量和存储量。数据中心还需确保每个节点之间、节点和服务器之间以及每个服务器之间的传输都能畅通无阻。

3.1.2 虚拟化。将云计算中的数据进行虚拟化不仅可以节约网络存储空间，还能够加快网络的运行速度，对于整体而言则是降低了网络运营的成本投人。因此，虚拟化是网络发展的必然趋势。计算机网络服务器和存储器已有了先进的虚拟化技术，但防火墙等重要计算机网络安全设备的虚拟化还有待加强。

3.2 加强防火墙的部署

在计算机网络安全防护设备中，防火墙无疑是最佳的选择。它不仅能够单向地抵挡病毒、木马等恶意攻击，还能将其安全防护性能扩展到其他插卡中以完成多方位的安全保障。

3.2.1 通用化。防火墙的通用化是指暂不升级防火墙的虚拟功能，只以其基础的安全屏障进行计算机网络安全的保护。但与一般的安全软件不同，服务商需针对不同的应用类型和需求提供不同的防火墙区域保护，做到因“域”制宜。

3.2.2 虚拟化。将防火墙虚拟化，即由一台防火墙设备投射到多个用户的网络系统中。这种方法实现了资源利用的最大化，同时也可满足对不同业务的共同控制。

3.2.3 多元化和独立化。这种既交叉又独立的管理方式和配置原则可确保每个设备都拥有可选择的基本版和加强版的计算机网络安全防护配置。

4 结论

网络的发展，云计算的出现，给经济发展带来了新的机遇，也给计算机网络带来了新的挑战。网络安全问题已经成为所有人需要重视的问题，只有所有人共同进行努力才能更好地打击黑客，只有更好的提高网络安全技术，才能有效地做好网络安全防护工作。也只有建立一个安全的网络环境，才能使云计算放心的发挥其优势，更好的为人们所服务。

参考文献

[1]冯登国，张敏，张妍，等.云计算安全研究[J].软件学报，2011（1）.

[2]刘建波.“云计算”环境中的网络安全策略分析[J].中国科技投资，2012（21）.

作者：栾兰

网络安全策略研究论文 篇3：

检察机关统一业务应用系统的网络安全策略研究

【摘要】随着检察机关工作模式由传统的纸张方式到信息化方式的转变，检察业务中的电子文书面临被篡改的危险，可信计算技术可以有效解决这一问题。将可信计算技术应用于检察业务系统中，能够提高工作效率，并有效保障检察业务文档的安全性。

【关键词】网络安全策略;检察机关;统一业务应用系统;可信计算

1.绪论

目前信息化技术在各个行业都得到了广泛的应用，检察机关也不例外。检察机关借助计算机和网络技术，积极推进检察业务的信息化，促使检察业务由传统的纸张办公方式向网络统一业务应用系统转变。与此同时，信息安全问题成为检察机关统一业务应用系统中面临的重要问题。

检察机关的统一业务应用系统在管理上还存在一定的安全滞后性，还停留在物理隔离、基本防毒等基本的安全保护阶段。因此，网络安全问题已经成为检察机关统一业务应用系统亟待解决的问题，加强对检察机关统一业务应用系统的网络安全策略研究已经成为一件刻不容缓的事情。

2.检察业务的安全体系

自从最高检提出“科技强检”的口号后，各级检察机关开始逐渐推进检察机关科技信息系统的建设，从最开始的文件处理、信息共享，到目前的综合业务办公系统，最终建成了网络技术为基础、检察业务为核心、网络安全为保障的检察机关统一业务应用系统。经过两年来的建设和应用，检察机关的统一业务应用系统取得了很大的成效，与此同时也存在一定的问题[1]：（1）检察信息化还缺乏深入的研究，其管理体制和工作机制还不是很完善;（2）检察机关的相应设备升级滞后，给统一业务应用系统带来一定的网络安全隐患;（3）网络安全策略规划匮乏，缺少统一的网络安全管理策略。

新形势下检察机关办案工作机制要求公诉、侦查监督以及办案等检察业务必须借助信息化技术，所以在推进检察机关业务的信息化进程中有必要建立良好的检察机关应用系统网络安全体系。检察机关网络安全体系包括管理体系和技术体系两大部分：管理体系主要包括检察机关网络安全机制建设，技术体系指的是从网络技术和业务系统的层面构建安全系统。

技术体系可以从技术上为检察机关的统一业务应用系统提供安全保障，其安全防范体系主要包括四层次的安全：物理层、系统层、网络层以及应用层。物理层安全可以保障硬件设备免受恶意的人為损害;对于检察机关内部的涉密网络而言，应该断开其物理设备与互联网的连接，从物理上进行安全防护。系统层安全关注的是操作系统安全，不仅要正确配置操作系统本身的安全级别和安全策略，而且还应该注意操作系统内部是否存在漏洞和病毒。网络层安全是检察机关业务系统最应注意的，业务数据在网络中传输时需要考虑诸多因素，包括数据传输的保密性和完整性、病毒防护、漏洞扫描等。

管理体系是构建安全的检察机关统一业务应用系统的核心，网络安全问题不仅仅是技术问题，同时也是管理问题。管理体系在构建安全的检察机关业务系统中主要包括[2]：（1）明确安全组织架构，建立完善的网络安全管理制度;否则权责不明、混乱的安全管理制度很可能会产生网络安全隐患。（2）提高检察人员的安全防护意识，加强网络管理人员的安全防范意识和网络安全技术。（3）制定应急灾难恢复机制，当发生网络安全事件时，尽快而又有效地恢复检察业务数据，尽可能减少损失。

3.可信计算技术

综合考虑检察机关信息化过程中存在的问题，以及构建检察业务安全体系的需求，可以考虑使用可信计算技术。

可信指的是计算机网络中的一个实体在实现其目标时，其行为总是和预期相同。实体指的是业务应用系统上的服务或应用，可信计算平台上的实体总是可以被本地或远程的实体所信任：对使用者的信任表现在用户身份认证上，对应用程序的可信表现在其运行的合法性上。建设一个可信平台的基本思路是：从物理安全上建立一个可以认为是绝对安全的信任根，然后以此为出发点建立一条信任链，在这条信任链上从信任根到物理硬件，再到操作系统和上层应用，每一级别都在认证后信任下一级别，这样的一种信任关系可以扩展到整个平台环境，这被称为信任的传递机制。

一般而言，可信计算平台都具备如下功能[3]：数据保护、身份证明以及完整性的策略、存储和报告。数据保护功能通过建立业务平台的屏蔽保护区域，实现敏感数据的访问授权，从而控制外部实体对这些敏感数据的访问。身份证明包括TPM（Trusted Platform Module）可信性证明、系统身份证明以及系统可信状态证明三个层次：TPM可信性证明是TPM对其已知的数据提供证据的过程。这个过程通过使用AIK对TPM内部的明确数据进行数字签名来实现;系统身份证明是指提供证据证明业务系统是可以被信任的，即被证明的系统的完整性测量过程是可信的;完整性测量的过程是：对影响平台完整性（可信度）的平台部件进行测量，获得测量值，并将测量值的信息摘要记入PCR。测量的开始点称为可信测量根，静态的可信测量根开始于对机器的起始状态进行的测量，如上电自检状态，动态的可信测量根是以一个不被信任的状态变为可信状态的测量作为起始点。

可信的业务平台应该具备远程完整性报告功能，业务系统本地在验证远程终端发送来的电子文档时，一般只能判断此文档的可信性，而无法判断具体是哪一个远程实体或远程终端发送来，这样可能会导致中间人伪造攻击。具备远程完整性报告功能的业务应用系统可以加强远程认证，对实现业务应用系统的网络安全有重要的防护作用。

4.可信计算技术在检察机关业务系统的应用

可信计算技术在检察机关中具有广泛的应用前景，通过辨别并确认使用统一业务应用系统的人员的身份，可信计算技术可以为检察机关统一业务应用系统提供高强度的安全保护功能。概括而言，可信计算技术在检察机关业务系统中的应用可以包括如下方面[4]：（1）日常电子公文处理。检察机关统一业务应用系统的一个主要功能就是处理日常电子文档，其中有很多不可随意更改的具有司法权威的法律性文件。可信计算技术可以用于防止网络上的其他人员随意对这些文件进行修改，确认这些电子公文的发送方，防止被篡改或伪造。（2）建立不同机关间业务联系的共享机制。检察机关和公安机关、法院等单位存在经常性的业务联系，可信计算技术适用于各种平台下的电子文档传输和存储，而且可以形成一个跨部门、跨平台的统一安全标准，有利于公检法机关间的横向联系。（3）可靠的信息源。检察机关有些业务需要对公众公开，而所有可以在网络上公开的检察机关业务信息需要有一个可靠的信息来源，以免不可靠信息对公众产生误导。可信计算技术可以认证检务公开信息，以进行检查业务的信息依赖保护。

一般而言，将可信计算技术应用于基层检察机关统一业务应用系统时，需要达到如下目的：首先，统一业务应用系统要能够确认各个环节的文档变化内容，从而保证电子业务公文的完整性、防篡改性以及防抵赖性;同时还应该能够保证一份电子公文可以允许多人进行签名。其次，统一业务应用系统中的每个使用人员都应该有一个权威机构颁发的数字证书，以确保没有虚假身份信息的存在。最后，统一业务应用系统还应该集中管理电子签章，并保证所有电子签字行为都可以保存日志信息。

设计可信计算需要实现的网络安全策略功能应该包括：电子公文经过电子签章后，任何对其进行的修改都应认为要么是无效的，要么要将修改体现在电子签章上;可信计算要能够被追踪可查，一变进行签名核对;每次签名在何时由谁发出，由谁鉴定核对以及签名被谁销毁都应该可以全程跟踪。结合上述分析可知，一个可信的业务应用系统必须能够确保信息传输、处理以及存储的机密性、真实性、完整性，并体现传输内容的可信、主体行为和身份的可信，如图1所示：

图1 可信统一业务应用系统

检察机关统一业务应用系统中使用了具备上述功能的可信计算技术后，可以有效对业务系统用户的行为进行确认，不仅实现身份认证及数据加密传输的功能，而且可以保证网络行为的不可否认性，可以为今后检察机关信息安全体系的建设提供一定的经验参考，确保已经投入运行的统一业务应用系统能够安全、稳定运行。

参考文献

[1]杨剑川.检察机关统一业务应用系统信息化建设的思考[J].中国检察官.2014（09）：5-7.

[2]张庆.检察机关网络舆情信息预警系统的设计与实现[D].天津：天津大学，2012.

[3]赵进延.全国检察机关网络安全总体设计[D].成都：四川大学，2013.

[4]姚远.检察机关电子取证系统的设计与实现[D].西安：西安电子科技大学，2010.

作者简介：杨鑫炜（1979—），男，研究方向：信息技术安全。

作者：杨鑫炜 邢雪丽