通信安全論文大全11篇

緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇通信安全論文范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

即時通信安全狀況令人擔憂，瑞星&searchtype=1‘target=_blank>瑞星、金山、江民等國內著名安全軟件廠商也時刻關注即時通信的安全狀況，在其官方網站上都會發出病毒警報并提出相應解決辦法。針對即時通信安全防護的產品更是名目繁多。

瑞星這幾年一直致力于防黑技術、網絡游戲防盜技術、即時通信安全保護技術等。年初，瑞星公司和即時通信軟件提供商騰訊公司宣布達成戰略合作伙伴關系，雙方將展開多項深度技術合作，致力于為用戶提供一個更加安全的網上交流環境的基礎，同時進行多種商務合作。瑞星公司市場部郝婷在接受記者采訪時表示，即時通信安全防御一直是瑞星在產品研發和業務推廣中重要的組成部分，為QQ、MSN等聊天工具防御病毒推出的幾款新產品如瑞星QQ病毒專殺工具V3．4，其市場反應都很好。瑞星還為用戶提供了免費的“在線查毒”和收費的“在線殺毒”服務。這符合了瑞星一直強調的“整體防御、立體防毒”的初衷。

江民不久前推出的首款系統級殺毒軟件KV2005新增“即時通信監視”功能，可以實時過濾從MSN、QQ等所有即時通信發送的文件病毒，可確保用戶實現無毒聊天。

針對“QQ尾巴”、“QQ木馬”等病毒，金山公司也推出了金山QQ病毒專殺工具。為了給廣大用戶提供方便，金山公司整理十大最熱門病毒專殺工具：JPEG惡意代碼圖片病毒、網銀大盜、震蕩波、沖擊波、QQ病毒等專殺工具及工具說明，用戶可打包下載。

另外，賽門鐵克為有效防止黑客和病毒通過IM工具對用戶電腦進行攻擊，推出了硬件防火墻VelociRaptor即是這種集成的防病毒／防火墻解決方案。國內共享軟件作者喃哥開發的一款專門查殺騰訊QQ自動發消息病毒、木馬及反黃的軟件——QQ病毒專殺工具XP鉆石版Build1012QQKav。

縱觀國內即時通信安全市場，各種防毒、殺毒軟件名目繁多，令人眼花繚亂。那么即時通信安全狀況是否就能令人安枕無憂了呢？

從近年即時通信的安全狀況來看，雖然安全軟件廠商的技術和產品對即時通信安全防護起到了一定的作用，但有時候這些產品和技術對新病毒和一些黑客的襲擊還是束手無策。各種病毒花樣不斷翻新，黑客惡意攻擊更是到了有恃無恐的地步。由于安全軟件防護無力致使用戶遭受了很大的損失。同時，一些廠商并非專門針對即時通信的安全防護開發產品和研發新技術，只是為了市場的需要而在產品中貼上一個標簽而已，其產品并無實質的防御作用。另外，安全軟件和防黑技術更新慢，往往是出現了一種新的病毒廠商才去著手開發新的產品。而如果技術含量不夠高的產品只能使防護工作永遠處于被動的地位。所以，安全軟件廠商在開發新產品和研發新技術時應該具有前瞻性。

隨著網絡技術的發展，即時通信的安全防護更加嚴峻。誰將為即時通信的安全保駕護航？這需要即時通信服務商、安全軟件廠商和用戶共同努力。

首先，對于即時通信服務商來說，最重要的是提高即時通信軟件的安全性能，減少由于產品自身的設計缺陷而造成的安全隱患。即時通信軟件在技術手段沒有質的飛躍的情況下，版本升級是一個必要的手段，特別是對企業用戶來說更加重要，即時通信服務商需要為企業搭建更為獨立、安全的系統平臺，使內網和外網之間的信息交換能得到更好的監控。

篇（2）

可以從不同角度對網絡安全作出不同的解釋。一般意義上，網絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認證、不可否認性、授權和訪問控制。

當今社會，通信網絡的普及和演進讓人們改變了信息溝通的方式，通信網絡作為信息傳遞的一種主要載體，在推進信息化的過程中與多種社會經濟生活有著十分緊密的關聯。這種關聯一方面帶來了巨大的社會價值和經濟價值，另一方面也意味著巨大的潛在危險--一旦通信網絡出現安全事故，就有可能使成千上萬人之間的溝通出現障礙，帶來社會價值和經濟價值的無法預料的損失。

3通信網絡安全現狀

互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間，網絡技術的迅速發展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯網的上述特性，產生了許多安全問題。

計算機系統及網絡固有的開放性、易損性等特點使其受攻擊不可避免。

計算機病毒的層出不窮及其大范圍的惡意傳播，對當今日愈發展的社會網絡通信安全產生威脅。

現在企業單位各部門信息傳輸的的物理媒介，大部分是依靠普通通信線路來完成的，雖然也有一定的防護措施和技術，但還是容易被竊取。

通信系統大量使用的是商用軟件，由于商用軟件的源代碼，源程序完全或部分公開化，使得這些軟件存在安全問題。

4通信網絡安全分析

針對計算機系統及網絡固有的開放性等特點，加強網絡管理人員的安全觀念和技術水平，將固有條件下存在的安全隱患降到最低。安全意識不強，操作技術不熟練，違反安全保密規定和操作規程，如果明密界限不清，密件明發，長期重復使用一種密鑰，將導致密碼被破譯，如果下發口令及密碼后沒有及時收回，致使在口令和密碼到期后仍能通過其進入網絡系統，將造成系統管理的混亂和漏洞。為防止以上所列情況的發生，在網絡管理和使用中，要大力加強管理人員的安全保密意識。

軟硬件設施存在安全隱患。為了方便管理，部分軟硬件系統在設計時留有遠程終端的登錄控制通道，同時在軟件設計時不可避免的也存在著許多不完善的或是未發現的漏洞(bug)，加上商用軟件源程序完全或部分公開化，使得在使用通信網絡的過程中，如果沒有必要的安全等級鑒別和防護措施，攻擊者可以利用上述軟硬件的漏洞直接侵入網絡系統，破壞或竊取通信信息。

傳輸信道上的安全隱患。如果傳輸信道沒有相應的電磁屏蔽措施，那么在信息傳輸過程中將會向外產生電磁輻射，從而使得某些不法分子可以利用專門設備接收竊取機密信息。

另外，在通信網建設和管理上，目前還普遍存在著計劃性差。審批不嚴格，標準不統一，建設質量低，維護管理差，網絡效率不高，人為因素干擾等問題。因此，網絡安全性應引起我們的高度重視。

5通信網絡安全維護措施及技術

當前通信網絡功能越來越強大，在日常生活中占據了越來越重要的地位，我們必須采用有效的措施，把網絡風險降到最低限度。于是，保護通信網絡中的硬件、軟件及其數據不受偶然或惡意原因而遭到破壞、更改、泄露，保障系統連續可靠地運行，網絡服務不中斷，就成為通信網絡安全的主要內容。

為了實現對非法入侵的監測、防偽、審查和追蹤，從通信線路的建立到進行信息傳輸我們可以運用到以下防衛措施：“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網絡系統權限分級，權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽，從而達到網絡分級機制的效果;“網絡授權”通過向終端發放訪問許可證書防止非授權用戶訪問網絡和網絡資源;“數據保護”利用數據加密后的數據包發送與訪問的指向性，即便被截獲也會由于在不同協議層中加入了不同的加密機制，將密碼變得幾乎不可破解;“收發確認”用發送確認信息的方式表示對發送數據和收方接收數據的承認，以避免不承認發送過的數據和不承認接受過數據等而引起的爭執;“保證數據的完整性”，一般是通過數據檢查核對的方式達成的，數據檢查核對方式通常有兩種，一種是邊發送接收邊核對檢查，一種是接收完后進行核對檢查;“業務流分析保護”阻止垃圾信息大量出現造成的擁塞，同時也使得惡意的網絡終端無法從網絡業務流的分析中獲得有關用戶的信息。

為了實現實現上述的種種安全措施，必須有技術做保證，采用多種安全技術，構筑防御系統，主要有：

防火墻技術。在網絡的對外接口采用防火墻技術，在網絡層進行訪問控制。通過鑒別，限制，更改跨越防火墻的數據流，來實現對網絡的安全保護，最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制，防止Internet上的不安全因素蔓延到局域網內部，所以，防火墻是網絡安全的重要一環。

入侵檢測技術。防火墻保護內部網絡不受外部網絡的攻擊，但它對內部網絡的一些非法活動的監控不夠完善，IDS（入侵檢測系統）是防火墻的合理補充，它積極主動地提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵，提高了信息安全性。

網絡加密技術。加密技術的作用就是防止公用或私有化信息在網絡上被攔截和竊取，是網絡安全的核心。采用網絡加密技術，對公網中傳輸的IP包進行加密和封裝實現數據傳輸的保密性、完整性，它可解決網絡在公網上數據傳輸的安全性問題也可解決遠程用戶訪問內網的安全問題。

身份認證技術。提供基于身份的認證，在各種認證機制中可選擇使用。通過身份認證技術可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。

虛擬專用網(VPN)技術。通過一個公用網(一般是因特網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等跟公司的內網連接起來，構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在，仿佛所有的機器都處于一個網絡之中。

篇（3）

根據信息管理的具體應用業務流程，并且結合系統級安全策略，動態對系統中的不同信息和用戶賦予不同的權限。例如，在OA系統中，可以設定系統中的具體文檔、合同的閱讀者和審核者范圍，甚至可以對哪些用戶可以文檔中某一部分的內容進行閱讀或者修改的權限進行設定，采用動態權限機制來保證系統的安全；

（2）操作記錄

將用戶操作進行自動記錄和存檔，同時保存文檔修改之前和之后的版本，從而記錄下文檔的修改軌跡。

2安全技術具體應用案例

2.1信息管理系統安全分析

由于電力市場的特點決定，電力系統參與的各個主體分別代表了不同的利益團體，例如電力公司信息管理系統中的交易熱暖，能夠申報授權范圍內的交易數據，對市場信息進行查詢；結算人員可以對各類交易的執行情況和執行結果進行考核結算。因此，為了防止系統用戶在信息管理系統中進行越權操作，或者操作不當給各方帶來的損失，需要對電力公司的信息管理系統進行安全控制。由于電力公司所涉及的業務廣泛，為此電力公司內部信息管理系統數量眾多，主要包括負責對發電廠、輸配電線、變電站的正常運行和生產進行監控的SCADA/EMS系統，負責電網調度運行、電網通信、繼電保護進行綜合管理的DMIS系統，負責電力企業決策支持的MIS系統，以及負責電力企業辦公自動化的OAS系統等。根據電力行業的特點，要求在電力公司信息管理系統中必須要確保SCADA/EMS系統的安全性，其他信息管理系統安全性要求也較高。

2.2信息管理系統網絡結構設計

目前，為了提高電力公司信息管理系統的安全性，電力公司采取如圖1所示的，包括SPnet（電力信息網）和SPDnet（調度信息網）的專用網絡和Internet公共網絡相結合的網絡結構。通過內網與外網的物理隔離，既滿足了MIS系統、OAS系統的Internet用網需求，同時也保證SCADA/EMS不能夠直接訪問Internet，從而最大程度上的保證系統安全。

2.3信息管理系統安全體系結構設計

信息管理系統的安全體系結構設計。在電力公司信息管理系統安全體系結構中采用了如下的安全策略來保證信息管理系統的安全。

（1）分區安全保護策略

根據電力公司內部各信息管理系統所管理業務的重要性，對信息管理系統的安全級別進行劃分，重點保護網絡內的安全區Ⅰ內的SCADA/EMS實時監控系統，和安全區Ⅱ內的交易系統；

（2）橫向隔離

安全區Ⅰ與安全區Ⅱ內部的時監控系統，和交易系統采用防火墻進行邏輯隔離，而安全區Ⅰ、Ⅱ與安全區Ⅲ、Ⅳ之間采用正向和反向專用的安全隔離裝置進行物理隔離；

（3）專網專用

SPDnet調度網提供兩個邏輯隔離的安全隔離裝置與安全區Ⅰ和Ⅱ進行通信，SPnet電力信息網與SPDnet調度網實現物理隔離；

（4）縱向認證與保護

安全區Ⅰ和Ⅱ的邊界都設置了具有加密和認證功能的安全網關，而Ⅲ和Ⅳ的邊界部署了防火墻；

（5）整個網絡只有安全級別最低的安全區Ⅳ通過防火墻直接訪問Internet

從如上的分析可以看出，根據不同信息管理系統的需要，可以靈活應用物理隔離技術、邏輯隔離技術，以及輔以系統安全技術和應用安全技術，來多方位的保證系統中信息管理系統的安全。

篇（4）

隨著移動技術的發展，我國移動大致經歷五個不同的發展階段。第一個階段是以模擬蜂窩通信技術，該技術主要是通過無線組網的方式，通過無線通道，實現終端和網絡的連接。該技術主要盛行在上世界70-80年代；第二階段是以美國CDMA等通信技術為代表的移動網絡，盛行于80年代到21世紀之初。在該階段開始出現漫游、呼叫轉移等業務；第三階段則主要為2G與3G的過渡階段，同時也成為2.5G。第四階段則主要是以現階段的主流通信技術3G技術為代表，該技術其典型的特點在于在傳輸的效率上有著很大的提升。第五階段則主要是4G技術，在3G的基礎上形成以TD-LTE為代表的4G網絡技術。

2移動通信傳輸網絡面臨的安全性風險

2.1網絡自身的風險

在現代網絡中，因為計算機軟件或者是系統自身存在的漏洞，導致計算機病毒和木馬能夠輕易的植入到網絡當中，從而導致計算機當中的一些隱私或秘密被非授權的用戶訪問，給用戶帶來很大的隱私泄露或者是財產的損失。同時，隨著現代wifi等無線網絡的發展，通過無線網絡帶來的非法的截取現象，更是給用戶帶來巨大的損失。在移動通信應用最為廣泛的手機方面，也有很多的不發分子則利用手機的漏洞，或者是安裝不法軟件的方式，導致出現非法的訪問和數據的篡改和刪除。而面對應用最為廣泛的3G網絡通信技術，其不僅將面臨IP網絡問題，同時也面臨IP技術問題。3G系統的IP其不僅包含著承載網絡，同時也包含了業務網絡。而IP的應用其不僅包括因特網、下載、郵件等應用，也有承載IP協議的移動通信系統控制信令和數據。未來針對3G網絡運營商面對的主要的問題則是如何加強對3G網絡的管理，并以此更好的保證3G網絡系統在面臨出現的不同安全問題，都要結合IP網絡和其應用對其出現的問題進行總結，從而制定出更加好的管理措施。

2.2網絡外在的風險

針對移動通信網絡外在的風險包括很多，而網絡詐騙是其中最為常見的影響用戶安全的問題。隨著人們對網絡的熟知，電腦技術也開始成為當前人們應用的主流。但是，網絡給人們帶來方便的同時，卻成為犯罪分子進行詐騙的工具，如現階段出現的支付寶盜竊、網絡電話詐騙等，都給人們對網絡的應用蒙上了很深的陰影。同時，虛假購物網站、網上盜刷信譽同樣讓人們對網絡出現不同的咒罵。因此，如何保障網絡應用的安全，防止各種詐騙等問題的出現，也是移動通信安全性考慮的重點。

3移動通信傳輸網絡安全采取的措施

造成移動通信網絡安全的原因有很多，其主要包括以下的幾種：第一，傳輸組網的結構以及設備不合理造成。通過大量的研究，移動通信在進行安裝的時候，通常會出現一些長鏈型或者是星型，在這些錯綜復雜的網絡結構當中，其安裝古語復雜導致在網絡的傳輸當中出現很大的混亂問題，從而嚴重影響了網絡傳輸的效率。因此，在對移動網絡進行建設的初期，一定要對網絡的整體布局和網線的架構進行全面、合理的規劃，從而避免在網絡傳輸的過程中出現上述的問題，以此更好的保障網絡傳輸的安全性，使得人們對網絡的結構能夠一目了然，提高其便利性和安全性。同時，在設備的選擇方面，只顧及成本而忽視對設備質量的考慮，成為考慮設備使用的重要的因素。在對網絡進行建設的過程中，盡量選擇同樣的生產設備，避免不同的設備出現的不相容等情況的發生，從而給網絡安全帶來影響。第二，環境因素造成的影響。移動通信設備遍布各地，從而使得不同地點都能使用移動網絡。而在一些比較偏遠的地區，因為氣候的影響，給網絡傳輸的效率帶來很大的問題。同時在一些比較特殊的區域，存在不明的干擾信號，導致數據無法有效的傳輸。因此，對設備的保管必須選擇正常的環境。第三，在通過外在的設備管理和組網結構后，還必須在統一的物理網絡接入平臺上構建各種基于業務的邏輯專網。因為在移動網絡中，很多的安全對策還不能夠有效的支撐其各種應用的核心業務。同時如果將安全措施都集中在流量的出口的地方，就會導致安全設備的性能出現很大的瓶頸。因此，針對這種情況，通常采用搭建統一的根絕業務邏輯專網。該網絡設置的地點的IP流“特征五元組（源地址、源端口、目的地址、目的端口、協議）”的基礎上，同時還可以將其設置在接入點名/用戶接入標識/主叫號碼的上面。通過采用這種GTP或GRE的方式來劑型的傳輸，一直要到業務網絡間的網關被解封了才會傳輸到業務網絡。從而通過這種網絡，清晰的知道每個數據其流動的方向和具備的特征。完成不同層次清晰明了的虛擬網路業務。如果完成了這樣的情況就還可以實現：專門的邏輯網絡形成安全的防御系統；在不同的方向和業務上做好網絡安全的預防措施；根據業務擴展的方便靈活度的能力，更好更快地計算出業務流量的量和集中區域。第四，在移動通信網絡中加入“網絡準入控制（NCA）”機制，從而實現對終端用戶的認證。在移動通信網絡當中，3G用戶不僅是保護的對象，同時也是需要進行防范的對象。在面對數以千計的用戶，如何做好保護，其實際是非常脆弱的。對此，為更好的保護3G網絡，通常采用網絡現在的方式，對終端用戶的相關信息進行檢測，包括軟件版本等，以此提高終端預防病毒的能力，如通過對殺毒軟件的在線升級。一旦發現其中有異常，則立即進行隔離。

篇（5）

伴隨著科學技術的不斷發展，特別是計算機技術的發展，我國的計算機安全技術獲得大幅度的提升，安全策略也有了很大的發展，基本可以保障電力系統的信息安全，因此，電力系統的各個計算機應用部門就容易掉以輕心，信息安全意識較為薄弱，與信息安全的實際需求相差甚遠，從而導致有關部門不能很好的應對新出現的信息安全問題。

1.2缺乏統一的電力系統信息安全管理規范

缺乏統一的電力系統信息安全管理規范是電力系統信息安全管理中存在的一個較為嚴重的問題，導致電力系統信息安全管理無章可循、無法可依，信息安全管理的工作無法真正落實到位，信息安全管理的效率和質量都較低。

1.3缺乏符合電力行業特點的信息安全體系

隨著電力系統信息化程度的不斷提高，整個電力系統對計算機和網絡的依賴程度越來越高，相應的就要求建立安全系數高的安全體系，只有這樣才能很好的保障電力系統的正常運行，否則電力系統將會面臨很多安全方面的威脅。

1.4信息化程度的提高，使電力系統面臨著巨大的外部安全攻擊

電力系統的信息化程度的提高，有一個重要的表現就是由過去孤立的局域網發展成為廣域網，這樣一來，就增加了電力系統信息安全管理的難度，使電力系統面臨更多的安全攻擊和風險。

2提高電力系統信息安全性的措施

2.1提高安全意識

有關部門應該加強電力系統安全知識的宣傳，提高電力系統各種計算機應用部門人員的安全意識，正確認識信息安全問題，并加強對新出現問題的研究，提高對新出現問題的認識程度，以便制定相應的防范措施。

2.2制定統一的信息安全管理規范

要想提高電力系統信息安全管理的效率和質量，必須要制定一個統一的電力系統信息安全管理規范，這對電力系統的正常運行至關重要。企業在制定信息安全管理規范時，一定要結合電力系統的運行特點，并且還要參考主要的國際安全標準和我們國家的安全標準，努力制定出一套標準的、統一的電力系統信息安全管理規范。

2.3建立健全電力系統信息安全體系結構框架

建立健全電力系統安全體系結構框架，最主要的是要掌握先進的電力系統信息安全技術，只有這樣才能盡快的實現電力系統信息安全示范工程，從而大幅度的提升電力系統信息安全管理的水平。這里所說的先進的信息安全技術主要包括信息加密技術、信息確認和網絡控制技術、防病毒技術、防攻擊技術、數據備份和災難恢復技術等。

2.4采取一切有效的措施，抵擋外部安全攻擊

為抵擋外部安全攻擊，有關部門應該積極采取一切有效的措施來保障電力系統的信息安全。這些有效的措施主要包括以下幾種：注意建立電力系統信息安全身份認證體系、建立完備的網絡信息系統監控中心、建立電力系統信息安全監測中心等。

篇（6）

1、安全監理的合同模式合同是通信工程施工的規范依據，安全監理在合同方面實行法律監管，嚴格要求通信工程的參建單位，保障參建單位簽訂的所有合同均具備法律效應，以免工程企業違反合同規定。安全監理約束通信工程的合同內容，采取強制性的手段，要求參建單位遵守，保護通信工程的建設安全。

2、安全監理的人員模式安全監理將人員作為主體監督對象，采取專業化的人員模式。監理部門要求通信工程的從業人員達到相關的專業標準，降低人員群體安全意識的培養難度。專業的施工人員主動遵循安全要求，不會對通信工程造成安全干擾，安全監理逐步強化人員結構，發揮人員專業模式的優勢，改善通信工程的施工環境。

3、安全監理的制度模式安全監理通過制度約束通信工程的行為，制度模式的構建需以通信市場為主，監理部門調查通信市場的動向，規劃施工制度，借助制度調控通信工程的施工項目，符合現代市場的發展要求。

二、通信工程施工項目中的安全監理

根據通信工程的施工情況，主要在施工初期、中期、通信調試以及后期四個階段，分析安全監理的應用，如下：

1、初期階段的安全監理通信工程的施工初期，涉及多項工程內容，如：工程文件、方案以及資料等等，其中存在較大的安全風險，不利于通信工程的安全建設。監理人員需根據工程實際，規劃初期工程的風險點，提出可行的控制措施。例如：某通信工程在初期階段，主動安排監理人員，分析初期施工的安全措施，該工程將初期監理的重點放在應急預防方面，遵守通信安全建設的相關規定，結合工程施工的設計圖，監理人員提出應急方案，確保安全施工，該工程組織全體人員學習安全制度，加強人員培訓力度，發揮安全監理的作用，提高該工程安全施工的規范性。

2、中期階段的安全監理通信工程中期階段的安全監理實踐性較強，增加安全監理的工作負擔。工程單位結合中期階段的施工情況，提出幾點安全監理的執行措施。首先根據通信工程的安全需求，劃分監理人員，以小組為單位，監督現場施工，以免出現安全事故，監理人員偏重于監控危險系數高的施工項目，如：消防作業、高空施工等；然后監理人員執行到位的現場巡檢，實質檢查施工人員的作業情況，明確施工中期的安全建設，落實各項安全措施，提倡安全施工，營造安全的施工環境；最后監理人員主動維護中期施工中的風險項目，要求施工人員按照安全標準執行工程維護，防止遺漏風險項目，引發連貫性的安全事故。

3、調試階段的安全監理調試屬于通信工程施工的核心項目，關系到通信工程的建設質量。安全監理在調試階段發揮重要的作用，確保通信調試的質量。安全監理在調試階段的主要目標是通信設備，以某通信工程為例，分析其在調試階段的安全監理。該工程的安全監理貫穿于整個調試階段，首先監理人員監督通信設備的采購與運輸，維護此階段的設備安全，防止設備出現性能問題；然后該工程按照通信設備的實質要求，執行連接與安裝，嚴格按照規范要求，同時監理人員檢測設備安裝的質量，及時提出整改措施；最后監理人員對已安裝好的通信設備，進行試驗調試，得出設備調試的數據，分析數據表達的調試內容，得出通信設備的試驗狀態，判斷調試是否正常，其中軟件調試的安全監理比較繁瑣，必須以整體通信環境為背景，才能正確執行調試。

4、后期階段的安全監理后期監理集中在驗收階段，保障通信工程驗收的安全性。監理人員在驗收階段，需規避施工中的威脅項目，針對特殊的通信工程，執行電氣試驗，評價施工性能，杜絕出現不符合安全標準的施工項目。后期階段通信工程的整體性較強，監理人員利用科學的保護措施，嚴格進行監理工作，解決通信工程中的項目問題，發揮安全監理的作用。

三、安全監理在通信工程中的應用

效益安全監理不僅為通信工程提供優質的施工環境，而且有利于通信工程的安全建設，產生一定程度的應用效益。分析安全監理對通信工程的效益價值，如：

(1)合理監督通信工程的施工，降低工程風險，推進通信工程的持續發展，監理部門積極解決通信工程中的安全問題，為其創建穩定的發展空間，最大化的降低施工成本；

(2)安全監理提高通信工程的社會地位，體現工程建設中安全與質量的價值，獲取社會的高度認可，而且安全監理提升通信工程的整體社會效益，構成效益發展的環境；

(3)安全監理穩定通信工程的經濟效益，經濟效益是工程施工的標準因素，通過監督與管理，約束工程建設，完善通信工程的效益結構，體現真實的工程效益。

篇（7）

二、4G無線通信系統所存在的安全問題

4G無線通信系統當中所存在的安全問題集中體現在移動終端、無線網絡、無線業務三個方面，具體如下：

2.1移動終端方面

①移動終端的硬件平臺不具備完整而全面的驗證保護機制，各個模塊遭受攻擊者隨意篡改的風險非常高，再加上移動終端內部的各個通行接口沒有機密性的保護措施，用戶所傳遞的信息容易被竊聽，訪問控制機制有待完善。②移動終端的操作系統多種多樣，各種操作系統多存在不同程度的安全隱患，在使用的過程當中，其所存在的安全漏洞會被無限放大。③伴隨病毒種類的不斷增加與更新，傳統的防病毒軟件的體積也在隨之增大。但是，移動終端的計算能力、電池容量、數據儲存能力均是有限的，難以長時間地支撐起大體積的防病毒軟件的運行需求，兩者的矛盾性非常明顯。④移動終端所支持的無線應用非常多，包括電子郵件、電子商務等，其均是通過無線網絡而實現的。大部分的無線應用其自身均存在固有的安全隱患，再加上相應的程序的安全漏洞，嚴重威脅著無線終端的網絡安全。此外，木馬、蠕蟲等移動終端比較常見的感染性病毒也可通過這些無線應用而進入到移動終端當中，損壞或是竊取數據資源。

2.2無線網絡方面

①無線網絡的具體結構不同，非常容易導致相應的差錯，所以要求無線網絡必須要具備良好的容錯性。②不同的無線網絡，其安全機制、安全體系、安全協議也必定不同，導致4G無線通信系統容易受到來自各個方面的安全威脅。③一般而言，4G無線通信系統必須要與異構形式的非IP網絡進行連接，同時依靠QoS實現高速網絡速率傳遞。但是，在實際的操作過程當中，4G無線通信系統與異構形式的非IP網絡連接，同樣存在安全威脅。④無線網絡用戶習慣在各個不同的系統當中隨意切換與漫游，這就對4G無線通信系統的移動性管理性能提出可更高的要求。但是，目前我國的4G無線通信系統尚不具備良好的移動性管理性能，容易出現各種安全問題。

2.3無線業務方面

①無線業務與衍生的增值業務均以電子商務為主，整體呈現持續增長的趨勢。但是，目前的4G無線通信系統的安全機制很難適應高級別的安全需求。②目前的無線通信市場，利益爭端因為多計費系統的參與而愈演愈烈，運營商欺詐以及用戶抵賴等現象不乏存在。但是，目前的4G無線通信系統的安全方案無法出示絕對肯定性質的相關憑證。③4G無線通信業務支持用戶的全球移動性，這是其優點，也是其安全隱患之一。因為一次無線業務無可避免會涉及到多個業務提供商以及網絡運營商，容易出現安全問題。

三、提升4G無線通信系統網絡安全性能的策略

提升4G無線通信系統網絡安全性能，主要在于安全策略、效率策略、以及其他的一些策略，具體如下：

3.1安全策略

①加固操作系統。建議所采用的操作系統必須要滿足TMP的實際需求。確保混合式訪問控制、域隔離、遠程驗證等具備良好的兼容性能，以提高4G無線通信系統網絡的安全性能。②加固硬件平臺。應用“可信移動”的方案，添加可信啟動的程序，對移動終端的數據儲存實現有效的保護，提高檢驗機制的完整性。③加固應用程序。在進行應用程序下載的過程當中，必須要進行合法性與安全性檢驗才能進行安裝，避免其受到攻擊者的惡意篡改，同時降低可供用戶選擇的不安全配置選項的比例。④防護硬件物理。有針對性地提高移動平臺硬件的集成程度，對遭受攻擊的硬件接口的電壓與電流，避免再次遭受物理性質的攻擊。在必要的時候，允許將USIN以及TPM當中所儲存的數據自動進行銷毀，銷毀的程度視安全級別而定。

3.2效率策略

①盡可能減少安全協議當中所要求的交互性消息的數量，同時盡量縮短單條消息的長度，要求簡潔明了。②在進行預計算以及預認證的過程當中，要求在移動終端處于空閑狀態之下進行，以期充分利用移動終端的空閑時間。③針對在較短的時間之內無法進行實質獲取的無線業務，一般而言，可延緩提供服務的時間，采取滯后認證的措施，如果其可以順利地通過認證，便向其按時提供服務，否則中止服務。④對稱性是移動終端計算的必備特征，針對比較龐大的計算負擔而言，建議促使其在服務網絡端完成，以起到緩解移動終端負擔的作用，同時注意密碼算法的選用，在選用密碼算法之時，需要遵循資源少、效率高兩大基本原則，摒棄臨時身份機制以及緩存機制的使用。

3.3其他策略

①多策略機制。為不同的場景提供具有針對性的安全策略，以先驗知識節約開銷，保證效率，確保切換認證的效率高于接入認證。②多安全級別策略。使用場合以及使用需求的不同，其安全級別也是不同的，因此需要實施多安全級別策略，在電子商務以及普通通話之間劃分鮮明的安全級別界限。此外，無線網絡切換也需要賦予其不同的安全級別，例如4G用戶切換至3G網絡，那么安全級別也應當隨之下調，并不是固定不變的。

篇（8）

2信息系統管理中信息安全風險評估方法

2.1信息安全風險評估內容

信息安全風險評估的主要內容包括評估資產的威脅性和脆弱性,對已有安全措施進行風險評估分析。信息資產是指對信息資源產生一定利用價值的總稱,是信息安全評估中的重點保護對象,主要分為人員、數據、軟件和硬件等資源,根據各種資源的完整性、保密性以及可用性進行等級劃分,評估組織系統中資產的威脅性,包括直接威脅和間接威脅等,根本目的在于對安全風險需求的分析,建立風險防范措施,有效降低信息安全的威脅性因素。

2.2風險評估方法

信息系統管理中的信息安全風險評估方法較多,本文主要從人工評估法和定性評估法兩方面進行分析。人工評估法。又稱為手工評估法,是指在整個風險評估的過程中,運用人工作業的形式進行信息安全風險評估,通過對資產、投資成本的風險的安全需求、威脅性、脆弱性以及安全措施等,進行有效評估,根據其風險效益制定出與之相對應的決策。定性評估法。定性評估法是根據專業機構以及專家等對風險的判斷分析,屬于一種相對主觀的評估方法,該評估方法偏向于關注風險帶來的損失,忽略了風險的發生頻率。其他評估方法包括工具輔助評估和定量評估等方法。

2.3層次分析方法

通過運用層次分析法對信息安全的評價體系進行構建,進而對風險進行綜合性評價。通過運用層次分析法對信息安全的風險作出評估,評價信息安全風險所涉及到的各個要素間的相對重要的權數,根據各個要素的排序,作出橫向比較分析,為信息安全的風險評估提供可靠依據。對信息安全的風險評估中,通過運用層次分析法進行有效評估,進而增強風險評估的有效性。通過分析資產、威脅性、脆弱性以及安全措施的四個評價指標體系,對安全風險進行合理性的分析評估,降低安全風險系數。

篇（9）

1.1PKI/CA基礎設施

以數字證書為核心的PKI/CA技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，從而保證：信息除發送方和接收方外不被其他人竊取；信息在傳輸過程中不被篡改；接收方能夠通過數字證書來確認發送方的身份；發送方對于自己的信息不能抵賴。

1.2與內部系統接口

一方面主要負責將業務系統中存儲的業務數據、電子印章等按照預先確定的規范組成相應的xml電子報文，再傳入電子憑證庫系統；另一方面，從電子憑證庫系統中接收對方傳入的xml格式報文，解密后傳入內部系統。此外，還可實現直接與收發系統連接，實現不需要安全保障機制的普通查詢等業務，以提高數據交換效率。

1.3電子憑證庫系統

電子憑證庫系統可形象描述為現實中存放文件的“鐵皮柜”，是整個集成框架的核心部分。包括電子憑證模板管理、傳輸隊列路由管理、安全管理、憑證管理等4大功能。憑證模板管理模塊按照雙方的約定，設計傳輸憑證的樣式以及具體的簽章個數及位置；傳輸隊列路由管理模塊用來記錄憑證傳出的去向和接收的來源；安全管理模塊用來控制使用電子憑證庫系統的范圍，避免未經允許的用戶使用電子憑證庫，此外還包括預留印鑒的校對、詳細記錄各種日志信息，實現對憑證操作的可追溯等功能；憑證管理模塊用來實現電子憑證收發、作廢、恢復、查詢、打印、狀態監控、歸檔等功能。

1.4電子印章系統

電子印章系統可形象描述為現實中存放大紅印章的保險柜。其功能包括公章管理、私章管理及印章備案管理。在實現上，將CA證書與電子印章圖片進行綁定，從而保證某個印章圖片與具體的CA證書有關。

1.5時間戳系統

時間戳系統基于PKI技術，對外提供精確可信的時間戳服務。它采用精確的時間源、高強度高標準的安全機制，以確認系統處理數據在某一時間的存在性和相關操作的相對時間順序，為信息系統中的時間防抵賴提供基礎服務。

1.6直達通道用于實時性強的數據傳輸處理。例如某些查詢服務，可通過明文進行系統間數據傳輸。

1.7基于消息中間件的收發系統

充分利用消息中間件高效可靠的消息傳遞機制進行平臺無關的數據交流，并基于數據通信來進行分布式系統的集成。通過提供消息傳遞和消息排隊模型，實現跨行業系統間電子憑證信息的發送和接收，發送者將消息發送給消息服務器，消息服務器將消息存放在若干隊列中，在合適的時候再將消息轉發給接收者。消息中間件能在不同平臺之間通信，它常被用來屏蔽掉各種平臺及協議之間的特性，實現應用程序之間的協同操作。

2基于PKI/CA技術的集成框架實現

在集成多個異構系統時，首先需要各方商定交換憑證的格式，即交換報文規范。其次，要規范電子憑證格式、電子印章格式，可以互聯互通。第三，要規范電子憑證庫系統、電子印章系統等軟件服務系統的服務接口，為各方異構系統提供交換服務。第四，各方要改造已有系統，使其與集成框架進行對接。下面就最重要的報文規范和各方系統改造方案進行說明。

2.1規范交換報文

雙方之間數據交換標準需要進行嚴格的約定，需要制定標準報文規范以實現雙方或多方系統互聯互通。報文分報文頭和報文體兩部分：報文頭是交換各方進行數據交換的相關信息，主要是為電子憑證在消息中間件上按照消息傳輸時增加的頭信息；報文體包括電子憑證數量和電子憑證信息兩個部分。電子憑證數量用于描述報文中所包含的電子憑證的筆數，電子憑證信息可包括一筆或多筆電子憑證，每筆憑證由憑證狀態、附加信息、業務憑證原文、簽名信息以及簽章信息5個部分組成。

2.2實現步驟

業務系統產生憑證，加蓋印章之后，需要存放入憑證庫，并通過收發通道發送給接收方，具體實現步驟如下：

（1）甲方業務系統調用內部系統服務接口生成憑證原文，憑證格式參照2.1小節。

（2）甲方業務系統通過內部服務接口調用電子憑證服務系統接口對憑證進行簽章。

（3）甲方電子憑證庫系統調用電子印章系統接口加蓋電子印章。首先對憑證已經存在的簽章進行校驗，如果存在原文纂改，則直接返回錯誤；校驗通過后，再對憑證進行簽章。其原理本地取出已燒入UsbKey的印章圖片的Hash摘要送入電子印章系統驗章，驗章通過后調用時間戳服務系統接口加蓋時間戳，然后將憑證原文的Hash摘要和帶時間戳的電子印章Hash摘要送入UsbKey中進行私鑰簽名。

（4）甲方內部服務接口通過電子憑證庫系統調用收發通道的發送接口，利用數字信封技術發送到接收方（乙方）。

（5）乙方系統進行接收、解開數字信封、驗章、校驗業務數據一系列操作后將憑證回單，回單時也要進行電子簽章等一系列操作。

（6）甲方電子憑證庫系統定時從收發通道中讀取數據，并進行打開數字信封、解密、驗章等操作，通過驗證之后，放入甲方的電子憑證庫中。

（7）甲方業務系統接口定期從憑證庫中查詢憑證回單，通過一些業務邏輯驗證之后，存放入甲方業務系統的數據庫中。

（8）甲方業務系統客戶端調用刷新界面來查看已回單的業務數據，并調用電子憑證系統接口打印電子憑證。

3實例和應用效果

本研究成果已應用于河北省預算單位、財政廳、河北省內絕大多數商業銀行和中國人民銀行石家莊中心支行系統間的銜接，實現預算審批、資金申請、電子支付、清算等事項。財政廳使用的政府財政管理信息系統主要用于預算填制、審批。人行使用的Tips系統主要用于資金清算。商業銀行系統主要用于資金的支付。由于所屬不同的責任主體，各方系統不可能重新開發為一套業務系統，原來采用信息流輔助業務控制的辦法進行信息系統整合，即信息可通過一定辦法進行交換，業務上通過紙質憑證加蓋公章，再由人工傳遞到相關單位進行紙質憑證核對。通過引入基于PKI基礎設施的系統集成模型，將三方系統從預算審批到資金支付，再到資金清算的全鏈條貫通，完全實現了信息流、業務流的自動化運轉，大大提高了業務辦公安全性、資金支付效率，壓縮了行政辦公成本。僅省本級財政部門本身就可節約紙張100萬張/年，并減少了公車傳遞紙質憑證、人工蓋章、驗章所需時間，更重要的是由于引入了電子簽名技術，杜絕了“蘿卜章”，資金支付的安全性得到了有效保障。

篇（10）

2交換機常見的攻擊類型

2.1MAC表洪水攻擊

交換機基本運行形勢為：當幀經過交換機的過程會記下MAC源地址，該地址同幀經過的端口存在某種聯系，此后向該地址發送的信息流只會經過該端口，這樣有助于節約帶寬資源。通常情況下，MAC地址主要儲存于能夠追蹤和查詢的CAM中，以方便快捷查找。假如黑客通過往CAM傳輸大量的數據包，則會促使交換機往不同的連接方向輸送大量的數據流，最終導致該交換機處在防止服務攻擊環節時因過度負載而崩潰.

2.2ARP攻擊

這是在會話劫持攻擊環節頻發的手段之一，它是獲取物理地址的一個TCP/IP協議。某節點的IP地址的ARP請求被廣播到網絡上后，這個節點會收到確認其物理地址的應答，這樣的數據包才能被傳送出去。黑客可通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，ARP欺騙過程如圖1所示。

2.3VTP攻擊

以VTP角度看，探究的是交換機被視為VTP客戶端或者是VTP服務器時的情況。當用戶對某個在VTP服務器模式下工作的交換機的配置實施操作時，VTP上所配置的版本號均會增多1，當用戶觀察到所配置的版本號明顯高于當前的版本號時，則可判斷和VTP服務器實現同步。當黑客想要入侵用戶的電腦時，那他就可以利用VTP為自己服務。黑客只要成功與交換機進行連接，然后再本臺計算機與其構建一條有效的中繼通道，然后就能夠利用VTP。當黑客將VTP信息發送至配置的版本號較高且高于目前的VTP服務器，那么就會致使全部的交換機同黑客那臺計算機實現同步，最終將全部除非默認的VLAN移出VLAN數據庫的范圍。

3安全防范VLAN攻擊的對策

3.1保障TRUNK接口的穩定與安全

通常情況下，交換機所有的端口大致呈現出Access狀態以及Turnk狀態這兩種，前者是指用戶接入設備時必備的端口狀態，后置是指在跨交換時一致性的VLAN-ID兩者間的通訊。對Turnk進行配置時，能夠避免開展任何的命令式操作行為，也同樣能夠實現于跨交換狀態下一致性的VLAN-ID兩者間的通訊。正是設備接口的配置處于自適應的自然狀態，為各項攻擊的發生埋下隱患，可通過如下的方式防止安全隱患的發生。首先，把交換機設備上全部的接口狀態認為設置成Access狀態，這樣設置的目的是為了防止黑客將自己設備的接口設置成Desibarle狀態后，不管以怎樣的方式進行協商其最終結果均是Accese狀態，致使黑客難以將交換機設備上的空閑接口作為攻擊突破口，并欺騙為Turnk端口以實現在局域網的攻擊。其次是把交換機設備上全部的接口狀態認為設置成Turnk狀態。不管黑客企圖通過設置什么樣的端口狀態進行攻擊，這邊的接口狀態始終為Turnk狀態，這樣有助于顯著提高設備的可控性。最后對Turnk端口中關于能夠允許進出的VLAN命令進行有效配置，對出入Turnk端口的VLAN報文給予有效控制。只有經過允許的系類VLAN報文才能出入Turnk端口，這樣就能夠有效抑制黑客企圖通過發送錯誤報文而進行攻擊，保障數據傳送的安全性。

3.2保障VTP協議的有效性與安全性

VTP（VLANTrunkProtocol，VLAN干道協議）是用來使VLAN配置信息在交換網內其它交換機上進行動態注冊的一種二層協議，它主要用于管理在同一個域的網絡范圍內VLANs的建立、刪除以及重命名。在一臺VTPServer上配置一個新的VLAN時，該VLAN的配置信息將自動傳播到本域內的其他所有交換機，這些交換機會自動地接收這些配置信息，使其VLAN的配置與VTPServer保持一致，從而減少在多臺設備上配置同一個VLAN信息的工作量，而且保持了VLAN配置的統一性。處于VTP模式下，黑客容易通過VTP實現初步入侵和攻擊，并通過獲取相應的權限，以隨意更改入侵的局域網絡內部架構，導致網絡阻塞和混亂。所以對VTP協議進行操作時，僅保存一臺設置為VTP的服務器模式，其余為VTP的客戶端模式。最后基于保障VTP域的穩定與安全的目的，應將VTP域全部的交換機設置為相同的密碼，以保證只有符合密碼相同的情況才能正常運作VTP，保障網絡的安全。

篇（11）

2保障網絡通信信息安全的途徑

2.1充分保障用戶IP地址

由于黑客對用戶網絡通信的侵入與攻擊大都是以獲取用戶IP地址為目的的，因此，充分保障用戶的IP地址安全是保護用戶網絡通信安全的重要途徑。用戶在使用互聯網時也要特別注意對自身IP地址的保護，通過對網絡交換機的嚴格控制，切斷用戶IP地址通過交換機信息樹狀網絡結構傳遞被透露的路徑；通過對路由器進行有效的隔離控制，經常關注路由器中的訪問地址，對非法訪問進行有效切斷。

2.2完善信息傳遞與儲存的秘密性

信息傳遞與信息儲存的兩個過程是當前給網絡通信信息安全造成隱患的兩個主要途徑，在網絡信息的存儲與傳遞過程中，黑客可能會對信息進行監聽、盜用、惡意篡改、攔截等活動以達到其不可告人目的的需求。這就要求用戶在使用網絡通信技術時要對網絡信息的傳遞與儲存環節盡量進行加密處理，保證密碼的多元化與復雜性能夠有效甚至從根本上解決信息在傳遞與儲存環節被黑客攻擊利用的威脅。當前在網絡通信過程中用戶可以選擇自身合適的加密方式對自身的信息進行加密處理，而網絡維護工作者也要根據實際情況加強對信息的加密設置。

2.3完善用戶身份驗證

對用戶的身份進行有效的驗證是保障網絡通信信息安全的另一條重要途徑。在進行網絡通信之前對用戶身份進行嚴格驗證，確保是本人操作從而對用戶的私人信息進行充分有效的保護。當前，用戶的身份驗證主要是通過用戶名與密碼的“一對一”配對實現的，只有二者配對成功才能獲得通信權限，這種傳統的驗證方法能夠滿意一般的通信安全需求，但是在網絡通信技術發展速度不斷加快的背景下，傳統的身份驗證方法需要新的變化，諸如借助安全令牌、指紋檢測、視網膜檢測等具有較高安全性的方法進一步提升網絡通信信息安全水平。此外，在保障網絡通信信息安全的過程中還可以通過完善防火墻設置，增強對數據源及訪問地址惡意更改的監測與控制，從源頭上屏蔽來自外部網絡對用戶個人信息的竊取以及對計算機的攻擊。加強對殺毒軟件的學習與使用，定期對電腦進行安全監測，從而確保用戶自身的信息安全。