前言：想要寫出一篇引人入勝的文章？我們特意為您整理了談計算機網絡信息安全及防護策略范文，希望能給你帶來靈感和參考，敬請閱讀。

隨著計算機網絡技術的迅猛發展，社會信息化程度的不斷加深，網絡化業務系統得到了大力的推廣和普及，信息安全問題也隨之愈發嚴重。與傳統企業不同，大多數科研院所都采取了網絡相對隔離的內部局域網架構，因此在計算機網絡信息安全管控措施以及防護策略上具有一定的特殊性，對其防護途徑進行適當的研究、分析，有利于規避常見的風險隱患，充分保障科研院所計算機網絡信息安全。隨著信息化的發展和網絡科技的進步，科研院所為了提高科研效率、降低研發成本，在日常運營中相繼引入OA系統、PLM系統、ERP系統、CAPP系統、CRM系統等智能化業務系統。業務系統中存儲著大量的科研項目數據以及各類創新成果等。一旦信息被竊取、丟失或篡改都會帶來不可估量的損失。因此針對性的制定防護策略顯得尤為重要。科研院所計算機信息網絡安全面臨的威脅來自很多方面。既有來自其計算機網絡系統內部的安全漏洞、管理因素，也有來自外部的黑客攻擊、間諜竊取以及自然災害等因素。

1科研院所計算機網絡系統面臨的主要風險源

1.1軟件自身開發漏洞

計算機從操作系統到工具軟件都是由各自廠商編寫的軟件代碼。而軟件的源代碼漏洞是所有信息安全威脅中最大的隱患。根據公開的軟件開發質量測試結果顯示，軟件公司的缺陷率（千行代碼）：普通軟件開發公司的缺陷密度為4-40個缺陷，高水平的軟件公司的缺陷密度為2-4個缺陷。這也是微軟在XP系統誕生到停服的13年里不斷的開發補丁、彌補漏洞的原因。科研院所由于其專業的特殊性，在軟件平臺的使用中，大量的引入定制、開發的應用系統，由于自身缺少專業的軟件檢測和運維團隊，相應的軟件漏洞往往得不到及時的檢測和修復。

1.2網絡傳輸協議存在安全問題

網絡協議在最初被設計時，主要考慮的是如何實現網絡連接，并沒有充分考慮到網絡的安全問題，TCP/IP、ARP、ICMP等等協議都是完全公開的。這樣入侵者就可以輕而易舉的利用協議漏洞進行攻擊。常見的IP欺騙、ARP攻擊、SYNFlood、UDPFlood、Teardrop攻擊等等都是基于網絡協議中的漏洞進行的。

1.3黑客及黑客軟件的威脅和攻擊

黑客具有較強的計算機網絡系統知識，能熟練使用各種計算機技術和軟件工具。善于發現并利用計算機網絡系統中存在的系統漏洞，對網絡系統的安全構成了非常大的威脅。科研院所內部計算機信息系統由于與互聯網系統相對隔離，因此遇到黑客攻擊的風險較低，但往往來自內部的入侵行為，很容易被忽視，從而造成更大的危害。

1.4計算機病毒種類、數量的日益增多

計算機病毒是計算機網絡系統重大的威脅之一，具有傳播速度快、范圍廣等特點。一旦計算機感染上病毒后，輕則降低系統性能，重則造成系統死機或毀壞，使重要文件或者科研數據丟失，甚至造成計算機系統硬件設備的損壞。科研院所內部計算機信息系統病毒更新往往有所滯后，存在無法查殺新型病毒的風險。某軍工科研院所曾因內網殺毒軟件更新不及時，用戶在數據導入時未使用最新殺毒軟件查殺，從而造成部分終端計算機感染蠕蟲病毒。

1.5間諜軟件的威脅和隱患

由于科研院所承擔國家重大的科研項目，往往會引來敵對分子的窺探，與計算機病毒不同，間諜的主要目的不在于對系統進行破壞，而是竊取計算機信息網絡系統存儲的各種數據信息。往往通過后臺搜索關鍵字、拷貝敏感商業資料等等，再通過擺渡或入侵的方式破換網絡隔離，給單位造成重大的損失。

1.6人為因素

人為因素是影響計算機系統內信息安全的主要因素之一，通常體現在兩個方面。一方面是由于人員管理疏忽，導致安全意識薄弱，對計算機網絡信息系統的風險因素沒有正確的認識，從而無意識引入病毒、間諜等惡意程序的行為。另一方面是指人員主動、故意泄密，威脅單位內部的信息安全。由于科研院所計算機信息系統中存儲大量核心業務數據以及重大項目資料，一旦人員管理、教育不到位，在經濟利益的驅使下和誘惑下，個別人員會主動的向外提供內部敏感文件、資料，造成無法彌補的損失。

2科研院所計算機網絡信息安全的防護策略

科研院所計算機網絡信息安全防護是一個綜合性問題，涉及到諸多方面的內容，主要包括網絡安全防護技術、加密技術、制度體系建設等。下面分別就相關的防護策略進行描述。

2.1重視并加強內部網絡中的漏洞掃描及修復

漏洞掃描技術是指通過對計算機網絡、信息系統、軟件平臺或者其他網絡設備進行安全檢測，提前找出潛藏的安全隱患以及軟、硬件漏洞。并在黑客利用之前進行處理和修復，從而保障系統內的信息安全。目前絕大多數網絡攻擊行為，利用的都是已修復補丁的安全漏洞。因此漏洞掃描技術的使用，是保證科研院所計算機系統和網絡安全必不可少的措施之一。

2.2邊界區域配置防火墻，加強訪問控制

防火墻作為網絡安全的第一道防線，通常部署在網絡邊界，通過監測、限制、更改跨越防火墻的數據流，盡可能地屏蔽內部網絡的信息、結構和運行狀況，以此來實現信息安全。即使在科研院所相對安全的局域網內，配置防火墻也是實現網絡安全最有效的安全措施之一。防火墻通過隔離服務器區域與終端計算機之間的通道，阻止非授權用戶對服務器內信息資源的訪問，從而降低網絡風險。

2.3核心、重要數據加密存儲

數據加密實質上是對數據進行移位和置換的變換算法，這種變換是通過“密鑰”來控制的。加密存儲最大的優點在于即使數據丟失或泄漏，其包含的重要信息仍處于相對安全的狀態，不會被他人輕易獲取。科研院所通過加密存儲的方式，可以有效的保障內部核心、重要數據的安全，并可以通過對“密鑰”復雜度的設置，加大破譯的難度，從而有效的降低信息泄露風險。

2.4網絡配置入侵檢測系統

入侵檢測系統是為了充分保證計算機網絡安全，而配置的一種能夠及時發現并報告系統中未授權或異常現象的設備。它能在入侵攻擊對系統發生危害前，檢測到入侵攻擊并及時提醒管理人員采取防護措施。通常情況下入侵檢測系統可以與防火墻產生聯動，一旦檢測到入侵行為，直接關閉對應攻擊源所使用的網絡地址及端口。

2.5病毒防護技術及策略

當前隨著計算機病毒種類的日益增多，危害程度不斷增大，對計算機信息網絡安全構成極大的威脅。科研院所的內部網絡大部分與互聯網物理隔離，在病毒更新方面往往存在滯后現象。科研院所在病毒防護策略制定方面，一方面需要盡量縮短內網殺毒軟件滯后更新的時間。另一方面需要建立并完善中間機管理制度，做好中間機病毒庫的實時更新，當信息輸入內部網絡之前，需在中間機上進行查殺，確認未感染病毒后方可導入內網網絡。

2.6采取數字證書，完善身份認證

利用數字證書的方式進行身份認證，可以對信源的完整性和真實性進行保護和鑒別，滿足用戶的安全需求，防止和抵御各種安全威脅和攻擊手段。在一定程度上彌補和完善現有操作系統和網絡信息系統的安全漏洞。科研院所的內網系統中通過建立PKI體系，實現用戶身份的唯一性和可控性。采取PKI/CA數字證書系統為應用系統提供身份認證、數據保密、數據完全、行為抗抵賴以及權威性的身份管理等安全服務。針對不同的安全級別要求，信息系統采用不同的身份認證方式，如數字證書認證方式，域認證方式等。

2.7完善內部信息安全管理體系

科研院所通過制定信息安全管理制度，加強計算機網絡信息安全的規范化管理，不斷的引入新型的安全保密技術，強化使用人員和管理人員的安全防范意識，逐步建成完善的內部信息安全管理體系，才能保障計算機網絡安全的長治久安。

結束語：

伴隨著信息技術的飛速發展，計算機網絡系統面臨的安全問題愈發嚴重。我們圍繞科研院所計算機網絡信息安全的現狀，對存在的安全隱患進行逐項分析，并針對性的制定了防護策略，對做好科研院所計算機網絡信息安全有著重要的參考意義。

作者：薛松 單位：中國電子科技集團公司第十六研究所