導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全方案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)；安全；病毒；物理

在現(xiàn)代企業(yè)的生存與發(fā)展過程中，企業(yè)網(wǎng)絡(luò)安全威脅與企業(yè)網(wǎng)絡(luò)安全防護(hù)是并行存在的。雖然企業(yè)網(wǎng)絡(luò)安全技術(shù)與以往相比取得了突破性的進(jìn)展，但過去企業(yè)網(wǎng)絡(luò)處于一個(gè)封閉或者是半封閉的狀態(tài)，只需簡單的防護(hù)設(shè)備和防護(hù)方案即可保證其安全性。而當(dāng)今大多數(shù)企業(yè)網(wǎng)絡(luò)幾乎處于全球互聯(lián)的狀態(tài)，這種時(shí)空的無限制性和準(zhǔn)入的開放性間接增加了企業(yè)網(wǎng)絡(luò)安全的影響因素，自然給企業(yè)網(wǎng)絡(luò)安全帶來了更多的威脅。因此，企業(yè)網(wǎng)絡(luò)安全防護(hù)一個(gè)永無止境的過程，對(duì)其進(jìn)行研究無論是對(duì)于網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，還是對(duì)于企業(yè)的持續(xù)發(fā)展，都具有重要的意義。

1企業(yè)網(wǎng)絡(luò)安全問題分析

基于企業(yè)網(wǎng)絡(luò)的構(gòu)成要素以及運(yùn)行維護(hù)條件，目前企業(yè)網(wǎng)絡(luò)典型的安全問題主要表現(xiàn)于以下幾個(gè)方面。

1.1網(wǎng)絡(luò)設(shè)備安全問題

企業(yè)網(wǎng)絡(luò)系統(tǒng)服務(wù)器、網(wǎng)絡(luò)交換機(jī)、個(gè)人電腦、備用電源等硬件設(shè)備，時(shí)常會(huì)發(fā)生安全問題，而這些設(shè)備一旦產(chǎn)生安全事故很有可能會(huì)泄露企業(yè)的機(jī)密信息，進(jìn)而給企業(yè)帶來不可估量經(jīng)濟(jì)損失。以某企業(yè)為例，該企業(yè)網(wǎng)絡(luò)的服務(wù)器及相關(guān)網(wǎng)絡(luò)設(shè)備的運(yùn)行電力由UPS接12V的SOAK蓄電池組提供，該蓄電池組使用年限行、容量低，在長時(shí)間停電的情況下，很容易由于蓄電池的電量耗盡而導(dǎo)致整個(gè)企業(yè)網(wǎng)絡(luò)的停運(yùn)。當(dāng)然，除了電源問題外，服務(wù)器、交換機(jī)也存在諸多安全隱患。

1.2服務(wù)器操作系統(tǒng)安全問題

隨著企業(yè)規(guī)模的壯大以及企業(yè)業(yè)務(wù)的拓展，對(duì)企業(yè)網(wǎng)絡(luò)服務(wù)器的安全需求也有所提高。目前諸多企業(yè)網(wǎng)絡(luò)服務(wù)器采用的是WindowsXP或Windows7操作系統(tǒng)，由于這些操作系統(tǒng)存在安全漏洞，自然會(huì)降低服務(wù)器的安全防御指數(shù)。加上異常端口、未使用端口以及不規(guī)范的高權(quán)限賬號(hào)管理等問題的存在，在不同程度上增加了服務(wù)器的安全威脅。

1.3訪問控制問題

企業(yè)網(wǎng)絡(luò)訪問控制安全問題也是較為常見的，以某企業(yè)為例，該企業(yè)采用Websense管理軟件來監(jiān)控企業(yè)內(nèi)部人員的上網(wǎng)行為，但未限制存在安全隱患的上網(wǎng)活動(dòng)。同時(shí)對(duì)于內(nèi)部上網(wǎng)終端及外來電腦未設(shè)置入網(wǎng)認(rèn)證及無線網(wǎng)絡(luò)訪問節(jié)點(diǎn)安全檢查，任何電腦都可在信號(hào)區(qū)內(nèi)接入到無線網(wǎng)絡(luò)。

2企業(yè)網(wǎng)絡(luò)安全防護(hù)方案

基于上述企業(yè)網(wǎng)絡(luò)普遍性的安全問題，可以針對(duì)性的提出以下綜合性的安全防護(hù)方案來提高企業(yè)網(wǎng)絡(luò)的整體安全性能。

2.1網(wǎng)絡(luò)設(shè)備安全方案

企業(yè)網(wǎng)絡(luò)相關(guān)設(shè)備的安全性能是保證整個(gè)企業(yè)網(wǎng)絡(luò)安全的基本前提，為了提高網(wǎng)絡(luò)設(shè)備的整體安全指數(shù)，可采取以下具體措施。首先，合適傳輸介質(zhì)的選用。盡量選擇抗干擾能力強(qiáng)、傳輸頻帶寬、傳輸誤碼率低的傳輸介質(zhì)，例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業(yè)網(wǎng)絡(luò)相關(guān)主干設(shè)備對(duì)交流電源的生產(chǎn)質(zhì)量、供電連續(xù)性、供電可靠性以及抗干擾性等指標(biāo)提出了更高的要求，這就要求對(duì)企業(yè)網(wǎng)絡(luò)的供電系統(tǒng)進(jìn)行優(yōu)化。以上述某企業(yè)網(wǎng)絡(luò)系統(tǒng)電源供電不足問題為例，為了徹底解決傳統(tǒng)電源供給不足問題，可以更換為大容量的蓄電池組，并安裝固定式發(fā)電機(jī)組，進(jìn)而保證在長時(shí)間停電狀態(tài)下企業(yè)網(wǎng)絡(luò)設(shè)備的可持續(xù)供電，避免因?yàn)閿嚯姸鴮?dǎo)致文件損壞及數(shù)據(jù)丟失等安全問題的發(fā)生。

2.2服務(wù)器系統(tǒng)安全方案

企業(yè)網(wǎng)絡(luò)服務(wù)器系統(tǒng)的安全尤為重要，然而其安全問題的產(chǎn)生又是多方面因素所導(dǎo)致的，需要從多個(gè)層面來構(gòu)建安全防護(hù)方案。

2.2.1操作系統(tǒng)漏洞安全

目前企業(yè)網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)以Windows為主，該系統(tǒng)漏洞的出現(xiàn)成為了諸多攻擊者的重點(diǎn)對(duì)象，除了采取常規(guī)的更新Windows系統(tǒng)、安裝系統(tǒng)補(bǔ)丁外，還應(yīng)針對(duì)企業(yè)網(wǎng)絡(luò)服務(wù)器及個(gè)人電腦的操作系統(tǒng)使用實(shí)際情況，實(shí)施專門的漏洞掃描和檢測(cè)，并根據(jù)掃描結(jié)果做出科學(xué)、客觀、全面的安全評(píng)估，如圖1所示，將證書授權(quán)入侵檢測(cè)系統(tǒng)部署在核心交換機(jī)的監(jiān)控端口，并在不同網(wǎng)段安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(cè)，以此來檢測(cè)和響應(yīng)網(wǎng)絡(luò)入侵威脅。圖1漏洞掃描及檢測(cè)系統(tǒng)

2.2.2Windows端口安全

在Windows系統(tǒng)中，端口是企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)信息服務(wù)主要通道，一般一臺(tái)服務(wù)器會(huì)綁定多個(gè)IP，而這些IP又通過多個(gè)端口來提高企業(yè)網(wǎng)絡(luò)服務(wù)能力，這種多個(gè)端口的對(duì)外開放在一定程度反而增加了安全威脅因素。從目前各種服務(wù)器網(wǎng)絡(luò)攻擊的運(yùn)行路徑來看，大多數(shù)都要通過服務(wù)器TCP/UDP端口，可充分這一點(diǎn)來預(yù)防各種網(wǎng)絡(luò)攻擊，只需通過命令或端口管理軟件來實(shí)現(xiàn)系統(tǒng)端口的控制管理即可。

2.2.3Internet信息服務(wù)安全

Internet信息服務(wù)是以TCP/IP為基礎(chǔ)的，可通過諸多措施來提高Internet信息服務(wù)安全。（1）基于IP地址實(shí)現(xiàn)訪問控制。通過對(duì)IIS配置，可實(shí)現(xiàn)對(duì)來訪IP地址的檢測(cè)，進(jìn)而以訪問權(quán)限的設(shè)置來阻止或允許某些特定計(jì)算機(jī)的訪問站點(diǎn)。（2）在非系統(tǒng)分區(qū)上安裝IIS服務(wù)器。若在系統(tǒng)分區(qū)上安裝IIS，IIS就會(huì)具備非法訪問屬性，給非法用戶侵入系統(tǒng)分區(qū)提供便利，因此，在非系統(tǒng)分區(qū)上安全I(xiàn)IS服務(wù)器較為科學(xué)。（3）NTFS文件系統(tǒng)的應(yīng)用。NTFS文件系統(tǒng)具有文件及目錄管理功能，服務(wù)器Windows2000的安全機(jī)制是基于NTFS文件系統(tǒng)的，因此Windows2000安裝時(shí)選用NTFS文件系統(tǒng)，安全性能更高。（4）服務(wù)端口號(hào)的修改。雖然IIS網(wǎng)絡(luò)服務(wù)默認(rèn)端口的使用為訪問提供了諸多便捷，但會(huì)降低安全性，更容易受到基于端口程序漏洞的服務(wù)器攻擊，因此，通過修改部分服務(wù)器的網(wǎng)絡(luò)服務(wù)端口可提高企業(yè)網(wǎng)絡(luò)服務(wù)器的安全性。

2.3網(wǎng)絡(luò)結(jié)構(gòu)安全方案

2.3.1強(qiáng)化網(wǎng)絡(luò)設(shè)備安全

強(qiáng)化企業(yè)網(wǎng)絡(luò)設(shè)備的自身安全是保障企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)措施，具體包含以下措施。（1）網(wǎng)絡(luò)設(shè)備運(yùn)行安全。對(duì)各設(shè)備、各端口運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控能有效發(fā)現(xiàn)各種異常，進(jìn)而預(yù)防各種安全威脅。一般可通過可視化管理軟件的應(yīng)用來實(shí)現(xiàn)上述目標(biāo)，例如What’supGold能實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)設(shè)備狀態(tài)的監(jiān)控，而SolarWindsNetworkPerformancemonitor可實(shí)現(xiàn)對(duì)各個(gè)端口流量的實(shí)時(shí)監(jiān)控。（2）網(wǎng)絡(luò)設(shè)備登錄安全。為了保證網(wǎng)絡(luò)設(shè)備登錄安全指數(shù)，對(duì)于企業(yè)網(wǎng)絡(luò)中的核心設(shè)備應(yīng)配置專用的localuser用戶名，用戶名級(jí)別設(shè)置的一級(jí)，該級(jí)別用戶只具備讀權(quán)限，一般用于console、遠(yuǎn)程telnet登錄等需求。除此之外，還可設(shè)置一個(gè)單獨(dú)的super密碼，只有擁有super密碼的管理員才有資格對(duì)核心交換機(jī)實(shí)施相關(guān)配置設(shè)置。（3）無線AP安全。一般在企業(yè)內(nèi)部有多個(gè)無線AP設(shè)備，應(yīng)采用較為成熟的加密技術(shù)設(shè)置一個(gè)較為復(fù)雜的高級(jí)秘鑰，從而確保無線接入網(wǎng)的安全性。

2.3.2細(xì)分網(wǎng)絡(luò)安全區(qū)域

目前，廣播式局域的企業(yè)網(wǎng)絡(luò)組網(wǎng)模式存在著一個(gè)嚴(yán)重缺陷就是當(dāng)其中各個(gè)局域網(wǎng)存在ARP病毒時(shí)，未設(shè)置ARP本地綁定或未設(shè)置ARP防火墻的終端則無法有效訪問系統(tǒng)，同時(shí)還可能泄露重要信息。為了解決這種問題，可對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行細(xì)分，即按某種規(guī)則如企業(yè)職能部門將企業(yè)網(wǎng)絡(luò)終端設(shè)備劃分為多個(gè)網(wǎng)段，在每個(gè)網(wǎng)段均有不同的vlan，從而保證安全性。

2.3.3加強(qiáng)通問控制

針對(duì)企業(yè)各個(gè)部門對(duì)網(wǎng)絡(luò)資源的需求，在通問控制時(shí)需要注意以下幾點(diǎn)：對(duì)內(nèi)服務(wù)器應(yīng)根據(jù)提供的業(yè)務(wù)與對(duì)口部門互通；對(duì)內(nèi)服務(wù)器需要與互聯(lián)網(wǎng)隔離；體驗(yàn)區(qū)只能訪問互聯(lián)網(wǎng)，不能訪問辦公網(wǎng)。以上功能的實(shí)現(xiàn)，可在核心路由器和防火墻上共同配合完成。

作者:李常福 單位:鄭州市中心醫(yī)院

篇2

關(guān)鍵詞 學(xué)籍管理；信息化；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2013）13-0153-01

學(xué)籍管理制度是一項(xiàng)基本的教育管理制度，學(xué)籍管理是學(xué)校和教育行政部門重要的日常工作。為規(guī)范中小學(xué)學(xué)生學(xué)籍管理，加快推進(jìn)中小學(xué)學(xué)生學(xué)籍管理信息化工作，某省教育廳決定組織建設(shè)省級(jí)中小學(xué)學(xué)籍管理系統(tǒng)平臺(tái)，實(shí)現(xiàn)義務(wù)教育階段、高中教育階段的學(xué)籍管理信息化、網(wǎng)絡(luò)化和規(guī)范化，為教育規(guī)劃、行政決策提供了科學(xué)的依據(jù)，并為省內(nèi)其他教育業(yè)務(wù)管理系統(tǒng)提供所需的基礎(chǔ)數(shù)據(jù)服務(wù)。

1 物理安全

我們認(rèn)為，物理安全是系統(tǒng)安全的第一道關(guān)口，所以，我們采取嚴(yán)格的中心機(jī)房建設(shè)和管理規(guī)范，采取雙回路UPS供電和嚴(yán)格的防火、防盜、防靜電、防雷擊等措施，對(duì)進(jìn)入中心機(jī)房的人員進(jìn)行嚴(yán)格管理。網(wǎng)絡(luò)線路盡可能進(jìn)橋架、管道，注意設(shè)備的安裝環(huán)境，特別是室外設(shè)備的物理安全。

2 接入安全

為了保證內(nèi)部網(wǎng)的安全，防止外部對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，我們?cè)诰W(wǎng)絡(luò)邊界部署一臺(tái)華為USG 3030防火墻，USG 3030華為公司新一代網(wǎng)關(guān)型安全防護(hù)設(shè)備，基于華為專業(yè)的硬件平臺(tái)以及強(qiáng)大的VRP軟件平臺(tái)，不僅具備優(yōu)異的攻擊防范處理能力，而且能夠提供完善的虛擬專網(wǎng)（VPN）功能以及完備的地址轉(zhuǎn)換（NAT）功能，實(shí)現(xiàn)基于安全區(qū)域的隔離和防護(hù)。我們?cè)诜阑饓χ兄贫巳缦乱?guī)則：允許外部網(wǎng)絡(luò)訪問我們DMZ區(qū)的WEB SERVER及 MAIL SERVER，但只能訪問幾個(gè)特定的端口，如80/tcp（http），25/tcp（smtp），110/tcp（pop3）等，允許內(nèi)部網(wǎng)絡(luò)訪問DMZ區(qū)和外部網(wǎng)絡(luò)；拒絕所有的外部IP地址對(duì)內(nèi)部網(wǎng)絡(luò)的訪問，拒絕DMZ區(qū)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問；內(nèi)部網(wǎng)絡(luò)有限制的訪問數(shù)據(jù)庫服務(wù)器和文件服務(wù)器；為出差人員建立了安全、可靠的VPN通道，他們可以通過VPN方式接入到內(nèi)部網(wǎng)絡(luò)。這樣，首先可以保證我們的學(xué)籍管理系統(tǒng)對(duì)外服務(wù)不受影響，同時(shí)可以保證我們內(nèi)部系統(tǒng)的安全。

3 虛擬網(wǎng)絡(luò)（VLAN）劃分

內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)采用一臺(tái)華為S5328C-EI三層交換機(jī)。該交換機(jī)能夠識(shí)別和處理四到七層的應(yīng)用業(yè)務(wù)流，能根據(jù)不同的業(yè)務(wù)流進(jìn)行不同的管理和控制。我們使用華為S5328C-EI三層交換機(jī)將內(nèi)部網(wǎng)劃分為10個(gè)VLAN，VLAN 1-VLAN 8分配給不同的科室和部門，VLAN9分配給信息中心，VLAN10分配給內(nèi)部服務(wù)器組（數(shù)據(jù)庫服務(wù)器和文件服務(wù)器），不同的VLAN之間通過三層交換機(jī)通訊，并根據(jù)實(shí)際需要設(shè)置不同的訪問權(quán)限；通過合理劃分VLAN，隔離了不同VLAN之間的廣播包，提高了網(wǎng)絡(luò)的性能，同時(shí)大大增強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全性

4 防病毒技術(shù)

為實(shí)現(xiàn)病毒的全面防范，我們部署了瑞星殺毒軟件網(wǎng)絡(luò)版 2008。首先，在信息中心建立一個(gè)一級(jí)系統(tǒng)中心，在科室和其他部門分別建立二級(jí)系統(tǒng)中心。上級(jí)中心統(tǒng)一發(fā)送查殺病毒命令、下達(dá)版本升級(jí)提示，并及時(shí)掌握全部系統(tǒng)中心的病毒分布情況等。另外，下級(jí)中心既可以在收到上級(jí)中心的命令后做出響應(yīng)，也可以管理本級(jí)，并主動(dòng)向上級(jí)中心發(fā)送請(qǐng)求和匯報(bào)信息。通過該系統(tǒng)，可實(shí)現(xiàn)反病毒的統(tǒng)一管理和分級(jí)管理。通過部署網(wǎng)絡(luò)版反病毒軟件，整個(gè)單位和省級(jí)數(shù)據(jù)中心的計(jì)算機(jī)受到病毒和惡意軟件破壞的情況得到明顯改善。

5 健全網(wǎng)絡(luò)安全管理機(jī)制

網(wǎng)絡(luò)安全問題不是單純的技術(shù)問題，影響網(wǎng)絡(luò)安全的因素有很多，但其中最重要的因素是人的因素。在省級(jí)數(shù)據(jù)中心建成之后，我們制訂了網(wǎng)絡(luò)安全管理辦法，主要措施如下：多人負(fù)責(zé)原則，每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)，并且一人操作一人復(fù)核；任期有限原則，技術(shù)人員不定期輪崗；職責(zé)分離原則，非本崗人員不得掌握用戶名、密碼等關(guān)鍵信息；及時(shí)升級(jí)系統(tǒng)補(bǔ)丁，關(guān)閉不用的服務(wù)和端口；對(duì)重要的數(shù)據(jù)服務(wù)器，每日必須進(jìn)行數(shù)據(jù)備份；管理員的密碼必須達(dá)到一定的強(qiáng)度并且每周修改一次等等。

目前，省級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)運(yùn)行良好，網(wǎng)絡(luò)安全狀況大大改善，網(wǎng)絡(luò)系統(tǒng)的安全性有很大程度的提高。但還存在不少問題，比如說防止網(wǎng)絡(luò)攻擊方面，盡管使用了防火墻，但是，對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊防范力度有限，我們計(jì)劃在下一步部署入侵檢測(cè)系統(tǒng)，并與防火墻實(shí)現(xiàn)聯(lián)動(dòng)，進(jìn)一步提高防范內(nèi)外網(wǎng)攻擊的能力。網(wǎng)絡(luò)系統(tǒng)的安全是一項(xiàng)長期的工作，需要我們不斷地學(xué)習(xí)新技術(shù)、不斷地積累和借鑒經(jīng)驗(yàn)，并及時(shí)付諸實(shí)施，才能確保省級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)的安全。

參考文獻(xiàn)

[1]劉振華.B/S模式高職學(xué)生管理系統(tǒng)研究與設(shè)計(jì)[D].天津大學(xué)，2006.

篇3

近來較典型的是蠕蟲與木馬，比如說木馬程序它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。近來就出現(xiàn)許多人的網(wǎng)絡(luò)賬戶遭到木馬程序盜取的案例。這些網(wǎng)絡(luò)病毒使人民財(cái)產(chǎn)受到嚴(yán)重侵害，也嚴(yán)重威脅到我們的正常工作與生活。惡意的攻擊和入侵所謂惡意的攻擊和入侵可對(duì)信息的有效性和完整性進(jìn)行有選擇的破壞，也可在不影響網(wǎng)絡(luò)正常工作的情況下，對(duì)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)監(jiān)聽，截獲或捕捉傳播在網(wǎng)絡(luò)中的信息，這是計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅，引發(fā)網(wǎng)絡(luò)安全的問題。

計(jì)算機(jī)網(wǎng)絡(luò)受到威脅后果嚴(yán)重

1.國家安全將遭受到威脅

網(wǎng)絡(luò)黑客攻擊的目標(biāo)常包括銀行、政府及軍事部門，竊取和修改信息。這會(huì)對(duì)社會(huì)和國家安全造成嚴(yán)重威脅，有可能帶來無法挽回的損失。

2.損失巨大

很多網(wǎng)絡(luò)是大型網(wǎng)絡(luò)，像互聯(lián)網(wǎng)是全球性網(wǎng)絡(luò)，這些網(wǎng)絡(luò)上連接著無數(shù)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備，如果攻擊者攻擊入侵連接在網(wǎng)絡(luò)上的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備，會(huì)破壞成千上萬臺(tái)計(jì)算機(jī)，從而給用戶造成巨大經(jīng)濟(jì)損失。

3.手段多樣，手法隱蔽

網(wǎng)絡(luò)攻擊所需設(shè)備簡單，所花時(shí)間短，某些過程只需一臺(tái)連接Internet的PC即可完成。這個(gè)特征決定了攻擊者的方式多樣性和隱蔽性。比如網(wǎng)絡(luò)攻擊者既可以用監(jiān)視網(wǎng)上數(shù)據(jù)來盜取他人的保密信息；可以通過截取他人的帳號(hào)和口令潛入他人的計(jì)算機(jī)系統(tǒng)；可以通過一些方法來繞過或破壞他人安裝的防火墻等等。

網(wǎng)絡(luò)安全防范技術(shù)

1.病毒的防范

計(jì)算機(jī)病毒變得越來越復(fù)雜，對(duì)計(jì)算機(jī)信息系統(tǒng)構(gòu)成極大的威脅。在網(wǎng)絡(luò)環(huán)境中對(duì)計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。它的入侵檢測(cè)技術(shù)包括基于主機(jī)和基于網(wǎng)絡(luò)兩種。單機(jī)防病毒軟件一般安裝在單臺(tái)PC上，即對(duì)本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測(cè)、清除病毒。對(duì)網(wǎng)絡(luò)病毒的防范主要包括預(yù)防病毒、檢測(cè)病毒和殺毒三種技術(shù)。網(wǎng)絡(luò)版防病毒系統(tǒng)包括：（1）系統(tǒng)中心：系統(tǒng)中心實(shí)時(shí)記錄計(jì)算機(jī)的病毒監(jiān)控、檢測(cè)和清除的信息，實(shí)現(xiàn)對(duì)整個(gè)防護(hù)系統(tǒng)的自動(dòng)控制。（2）服務(wù)器端：服務(wù)器端為網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)應(yīng)用而設(shè)計(jì)。（3）客戶端：客戶端對(duì)當(dāng)前工作站上病毒監(jiān)控、檢測(cè)和清除，并在需要時(shí)向系統(tǒng)中心發(fā)送病毒監(jiān)測(cè)報(bào)告。（4）管理控制臺(tái)：管理控制臺(tái)是為了網(wǎng)絡(luò)管理員的應(yīng)用而設(shè)計(jì)的，通過它可以集中管理網(wǎng)絡(luò)上所有已安裝的防病毒系統(tǒng)防護(hù)軟件的計(jì)算機(jī)。

2.防火墻的配置

首先我們了解防火墻所處的位置決定了一些特點(diǎn)包括（1）所有的從外部到內(nèi)部的通信都必須經(jīng)過它（。2）只有有內(nèi)部訪問策略授權(quán)的通信才能被允許通過。（3）系統(tǒng)本身具有很強(qiáng)的高可靠性。所以防火墻是網(wǎng)絡(luò)安全的屏障，配置防火墑是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻是所有安全工具中最重要的一個(gè)組成部分。它在內(nèi)部信任網(wǎng)絡(luò)和其他任何非信任網(wǎng)絡(luò)上提供了不同的規(guī)則進(jìn)行判斷和驗(yàn)證，確定是否允許該類型的信息通過。一個(gè)防火墻策略要符合4個(gè)目標(biāo)，而每個(gè)目標(biāo)通常都不是通過一個(gè)單獨(dú)的設(shè)備或軟件來實(shí)現(xiàn)的。通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證）配置在防火墻上。也可對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時(shí)，也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)有網(wǎng)絡(luò)入侵或攻擊時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。再次，利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響，防止內(nèi)部信息的外泄。

3.數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)

與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對(duì)靜態(tài)信息的保護(hù)，需要系統(tǒng)級(jí)別的支持，一般在操作系統(tǒng)中實(shí)現(xiàn)。數(shù)據(jù)加密包括傳輸過程中的數(shù)據(jù)加密和存儲(chǔ)數(shù)據(jù)加密，對(duì)于傳輸加密，一般有硬件加密和軟件加密兩種方法實(shí)現(xiàn)。網(wǎng)絡(luò)中的數(shù)據(jù)加密，要選擇加密算法和密鑰，可以將這些加密算法分為對(duì)稱密鑰算法和公鑰密鑰算法兩種。對(duì)稱密鑰算法中，收發(fā)雙方使用相同的密鑰。比較著名的對(duì)稱密鑰算法有：美國的DES、歐洲的IDEA等。

4.應(yīng)用入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。入侵檢測(cè)系統(tǒng)的功能包括：監(jiān)控和分析系統(tǒng)、用戶的行為；評(píng)估系統(tǒng)文件與數(shù)據(jù)文件的完整性，檢查系統(tǒng)漏洞；對(duì)系統(tǒng)的異常行為進(jìn)行分析和識(shí)別，及時(shí)向網(wǎng)絡(luò)管理人員報(bào)警；跟蹤管理操作系統(tǒng)，識(shí)別無授僅用戶活動(dòng)。具體應(yīng)用就是指對(duì)那些面向系統(tǒng)資源和網(wǎng)絡(luò)資源的未經(jīng)授權(quán)的行為進(jìn)行識(shí)別和響應(yīng)。入侵檢測(cè)通過監(jiān)控系統(tǒng)的使用情況，來檢測(cè)系統(tǒng)用戶的越權(quán)使用以及系統(tǒng)外部的人侵者利用系統(tǒng)的安全缺陷對(duì)系統(tǒng)進(jìn)行入侵的企圖。目前主要有兩類入侵檢測(cè)系統(tǒng)基于主機(jī)的和基于網(wǎng)絡(luò)的。前者檢查某臺(tái)主機(jī)系統(tǒng)日志中記錄的未經(jīng)授權(quán)的可疑行為，并及時(shí)做出響應(yīng)。后者是在連接過程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流，查找每一數(shù)據(jù)包內(nèi)隱藏的惡意入侵，并對(duì)發(fā)現(xiàn)的人侵做出及時(shí)的響應(yīng)。

5.規(guī)范安全管理行為

單單在網(wǎng)絡(luò)安全技術(shù)上提高也是不夠的，因?yàn)榫W(wǎng)絡(luò)人員也可能是造成網(wǎng)絡(luò)安全的因素，所以安全管理行為的規(guī)范是必須的。一要內(nèi)部有完善的安全管理規(guī)范，二要建立基于安全策略的搞笑網(wǎng)絡(luò)管理平臺(tái)。兩方面統(tǒng)籌規(guī)劃部署，達(dá)到提高整體安全性的效果。

篇4

[關(guān)鍵詞]網(wǎng)絡(luò)安全技術(shù) 公安網(wǎng)絡(luò) 系統(tǒng)安全 維護(hù)方案

一、公安網(wǎng)絡(luò)系統(tǒng)中存在的安全問題

1、公安系統(tǒng)存在問題的特征。1）系統(tǒng)安全問題具有動(dòng)態(tài)性。隨著信息技術(shù)的飛速發(fā)展，不同時(shí)期有不同的安全問題，安全問題不斷地被解決，但也不斷地出現(xiàn)新的安全問題。例如線路竊聽劫持事件會(huì)因?yàn)榧用軈f(xié)議層的使用而減少。安全問題具有動(dòng)態(tài)性特點(diǎn)，造成系統(tǒng)安全問題不可能擁有一勞永逸的解決措施。2）系統(tǒng)安全問題來自于管理層、邏輯層和物理層，并不是單一的。管理層的安全主要包括安全政策及人員組織管理指標(biāo)方面的內(nèi)容。邏輯層的安全主要涉及到信息保密性，也就是在授權(quán)情況下，高密級(jí)信息向低密級(jí)的主體及客體傳遞，確保信息雙方的完整性，信息不會(huì)被隨意篡改，可以保證信息的一致性。一旦雙方完成信息交易，任何一方均不可單方面否認(rèn)這筆交易。物理層的安全涉及的內(nèi)容是多個(gè)關(guān)鍵設(shè)備、信息存放地點(diǎn)等，如計(jì)算機(jī)主機(jī)、網(wǎng)絡(luò)等，防止信息丟失和破壞。

2、公安網(wǎng)絡(luò)系統(tǒng)中存在的安全問題。1）一機(jī)兩用的現(xiàn)象比較普遍。部分公安值班人員在公安網(wǎng)絡(luò)中接入自己的私人電腦，同時(shí)還包括一些無線上網(wǎng)設(shè)備等。外接上網(wǎng)設(shè)備通常安裝了無線網(wǎng)卡，外界侵入公安網(wǎng)絡(luò)的可能性增大，公安網(wǎng)絡(luò)的安全隱患擴(kuò)大。此外，公安系統(tǒng)中的計(jì)算機(jī)出現(xiàn)故障，需要檢查維修時(shí)，沒有事先格式化計(jì)算機(jī)，導(dǎo)致系統(tǒng)計(jì)算機(jī)中的資料泄露，甚至出現(xiàn)“一機(jī)兩用”的情況，可以將病毒引入系統(tǒng)中引起信息泄露。

3、安全意識(shí)淡薄。公安網(wǎng)絡(luò)中的計(jì)算機(jī)存在濫用的情況，非在編的基層人員在未經(jīng)允許、教育培訓(xùn)的情況私自使用公安網(wǎng)絡(luò)，從而出現(xiàn)信息泄露的情況，給網(wǎng)絡(luò)帶來嚴(yán)重的安全隱患。此外，公安部門人員缺乏安全意識(shí)，辦公室計(jì)算機(jī)的保密性不強(qiáng)，安全等級(jí)不高，重要軟件、文件等均沒有進(jìn)行必要的加密處理，很多人員可以隨意訪問公安網(wǎng)絡(luò)，降低了公安網(wǎng)絡(luò)中計(jì)算機(jī)及其信息的安全性。

二、網(wǎng)絡(luò)安全技術(shù)與公安網(wǎng)絡(luò)系統(tǒng)的維護(hù)方案

1、積極建設(shè)網(wǎng)絡(luò)信息安全管理隊(duì)伍。網(wǎng)絡(luò)安全管理隊(duì)伍對(duì)管理公安網(wǎng)絡(luò)具有重要作用。為提升公安網(wǎng)絡(luò)的安全性與穩(wěn)定性，可以定期組織信息安全管理人員進(jìn)行培訓(xùn)，強(qiáng)化技術(shù)教育與培訓(xùn)，增強(qiáng)網(wǎng)絡(luò)安全管理人員的責(zé)任意識(shí)，改善管理效率，提升管理水平。

2、充分運(yùn)用網(wǎng)絡(luò)安全技術(shù)。1）防毒技術(shù)。隨著病毒的傳播速度、頻率、范圍的不斷擴(kuò)大，公安網(wǎng)絡(luò)系統(tǒng)中也需要建立全方位、立體化的防御體系，運(yùn)用全平臺(tái)反病毒技術(shù)、自動(dòng)解壓縮技術(shù)與實(shí)時(shí)監(jiān)視技術(shù)等完善病毒防御方案。為了實(shí)現(xiàn)系統(tǒng)低層和反病毒軟件之間的相互配合，達(dá)到殺除病毒的目的，公安網(wǎng)絡(luò)中的計(jì)算機(jī)應(yīng)運(yùn)用全平臺(tái)反病毒技術(shù)。利用光盤、網(wǎng)絡(luò)等媒介所傳播的軟件通常是以壓縮狀態(tài)存在的，反病毒軟件要對(duì)系統(tǒng)內(nèi)部所有的壓縮文件進(jìn)行解壓縮，清除壓縮包內(nèi)的病毒，若不運(yùn)用自動(dòng)解壓技術(shù)，存在于文件中的病毒會(huì)隨意傳播。

3、提高系統(tǒng)的可靠性。安網(wǎng)絡(luò)系統(tǒng)中一般是以敏感性資料、社會(huì)安全資料為主，這些資料被泄漏或者損壞均會(huì)產(chǎn)生嚴(yán)重后果。為了提升信息資料的安全性，必須定期備份，同時(shí)還應(yīng)增強(qiáng)系統(tǒng)的可靠性。此外，還應(yīng)明確系統(tǒng)災(zāi)難的原因，如雷電、地震等環(huán)境因素，資源共享中，人為入侵等，針對(duì)可能出現(xiàn)的系統(tǒng)災(zāi)難，可以建立起對(duì)應(yīng)的災(zāi)難備份系統(tǒng)。災(zāi)難恢復(fù)指的是計(jì)算機(jī)系統(tǒng)遭遇災(zāi)難之后，重組各種資源并恢復(fù)系統(tǒng)運(yùn)行。

三、公安網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)安全技術(shù)體系

篇5

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；防范措施；防火墻；VLAN技術(shù)

校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議以及各類系統(tǒng)管理軟件和應(yīng)用軟件，將校園內(nèi)計(jì)算機(jī)和各種終端設(shè)備有機(jī)地集成在一起，用于教學(xué)、科研、管理、資源共享等方面的局域網(wǎng)絡(luò)系統(tǒng)。校園網(wǎng)絡(luò)安全是指學(xué)校網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然和惡意等因素而遭到破壞、更改、泄密，保障校園網(wǎng)的正常運(yùn)行。隨著“校校通”工程的深入實(shí)施，學(xué)校教育信息化、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時(shí)代的教育的發(fā)展方向。目前校園網(wǎng)絡(luò)內(nèi)存在很大的安全隱患，建立一套切實(shí)可行的校園網(wǎng)絡(luò)防范措施，已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問題。

一、校園網(wǎng)絡(luò)安全現(xiàn)狀分析

（一）網(wǎng)絡(luò)安全設(shè)施配備不夠

學(xué)校在建立自己的內(nèi)網(wǎng)時(shí)，由于意識(shí)薄弱與經(jīng)費(fèi)投入不足等方面的原因，比如將原有的單機(jī)互聯(lián)，使用原有的網(wǎng)絡(luò)設(shè)施；校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤等都有可能因?yàn)樽匀灰蛩氐膿p害而導(dǎo)致數(shù)據(jù)的丟失、泄露或網(wǎng)絡(luò)中斷；機(jī)房設(shè)計(jì)不合理，溫度、濕度不適應(yīng)以及無抗靜電、抗磁干擾等設(shè)施；網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足，沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等；以上情況都使得校園網(wǎng)絡(luò)基本處在一個(gè)開放的狀態(tài)，沒有有效的安全預(yù)警手段和防范措施。

（二）學(xué)校校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識(shí)淡薄、管理制度不完善

學(xué)校師生對(duì)網(wǎng)絡(luò)安全知識(shí)甚少，安全意識(shí)淡薄，U盤、移動(dòng)硬盤、手機(jī)等存貯介質(zhì)隨意使用；學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專業(yè)知識(shí)，不能安全地配置和管理網(wǎng)絡(luò)；學(xué)校機(jī)房的登記管理制度不健全，允許不應(yīng)進(jìn)入的人進(jìn)入機(jī)房；學(xué)校師生上網(wǎng)身份無法唯一識(shí)別，不能有效的規(guī)范和約束師生的非法訪問行為；缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，使學(xué)校的網(wǎng)絡(luò)管理混亂；缺乏校園師生上網(wǎng)的有效監(jiān)控和日志；計(jì)算機(jī)安裝還原卡或使用還原軟件，關(guān)機(jī)后啟動(dòng)即恢復(fù)到初始狀態(tài)，這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞。

（三）學(xué)校校園網(wǎng)中各主機(jī)和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門”

大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門”所造成的。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來品，加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時(shí)可能存在各種不合理操作，在網(wǎng)絡(luò)上運(yùn)行時(shí)，這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素。

（四）計(jì)算機(jī)病毒、網(wǎng)絡(luò)病毒泛濫，造成網(wǎng)絡(luò)性能急劇下降，重要數(shù)據(jù)丟失

網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性，傳播到網(wǎng)絡(luò)服務(wù)器，進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染，危害極大。感染計(jì)算機(jī)病毒、蠕蟲和木馬程序是最突出的網(wǎng)絡(luò)安全情況，遭到端口掃描、黑客攻擊、網(wǎng)頁篡改或垃圾郵件次之。校園網(wǎng)中教師和學(xué)生對(duì)文件下載、電子郵件、QQ聊天的廣泛使用，使得校園網(wǎng)內(nèi)病毒泛濫。計(jì)算機(jī)病毒是一種人為編制的程序，它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點(diǎn)。它的破壞性是巨大的，一旦學(xué)校網(wǎng)絡(luò)中的一臺(tái)電腦感染上病毒，就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個(gè)校園網(wǎng)絡(luò)，只要網(wǎng)絡(luò)中有幾臺(tái)電腦中毒，就會(huì)堵塞出口，導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”，嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓?！秴⒖枷ⅰ?989年8月2日刊登的一則評(píng)論，列出了下個(gè)世紀(jì)的國際恐怖活動(dòng)將采用五種新式武器和手段，計(jì)算機(jī)病毒名列第二，這給未來的信息系統(tǒng)投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出，網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴(yán)峻。

綜上所述，學(xué)校校園網(wǎng)絡(luò)的安全形勢(shì)非常嚴(yán)峻，在這種情況下，學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行，同時(shí)又能提供豐富的網(wǎng)絡(luò)資源，保障辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個(gè)難題。根據(jù)校園網(wǎng)絡(luò)面臨的安全問題，文章提出以下校園網(wǎng)絡(luò)安全防范措施。

二、校園網(wǎng)絡(luò)的主要防范措施

（一）服務(wù)器

學(xué)校在建校園網(wǎng)絡(luò)之時(shí)配置一臺(tái)服務(wù)器，它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介，在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序，對(duì)服務(wù)器進(jìn)行一些必要的設(shè)置。校園網(wǎng)內(nèi)用戶訪問Internet都是通過服務(wù)器，服務(wù)器會(huì)檢查用戶的訪問請(qǐng)求是否符合規(guī)定，才會(huì)到被用戶訪問的站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給用戶。這樣，既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用，外部網(wǎng)絡(luò)只能看到該服務(wù)器而無法獲知內(nèi)部網(wǎng)絡(luò)上的任何計(jì)算機(jī)信息，整個(gè)校園網(wǎng)絡(luò)只有服務(wù)器是可見的，從而大大增強(qiáng)了校園網(wǎng)絡(luò)的安全性。

（二）防火墻

防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品，是一種使用較早的、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一。它是軟件或硬件設(shè)備的組合，通常被用來進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù)。防火墻通過控制和檢測(cè)網(wǎng)絡(luò)之中的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理，在網(wǎng)絡(luò)間建立一個(gè)安全網(wǎng)關(guān)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾（允許/拒絕），控制數(shù)據(jù)包的進(jìn)出，封堵某些禁止行為，提供網(wǎng)絡(luò)使用狀況（網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)/事后分析及處理，網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)情況的監(jiān)控分析，通過日志分析，獲取時(shí)間、地址、協(xié)議和流量，網(wǎng)絡(luò)是否受到監(jiān)視和攻擊），對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和告警等等，最大限度地防止惡意或非法訪問存取，有效的阻止破壞者對(duì)計(jì)算機(jī)系統(tǒng)的破壞，可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作。

（三）防治網(wǎng)絡(luò)病毒

校園網(wǎng)絡(luò)的安全必須在整個(gè)校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系，建立一整套網(wǎng)絡(luò)軟件及硬件的維護(hù)制度，定期對(duì)各工作站進(jìn)行維護(hù)，對(duì)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施。為了實(shí)現(xiàn)在整個(gè)內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作，學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段，在服務(wù)器和各辦公室、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版，對(duì)病毒進(jìn)行定時(shí)的掃描檢測(cè)及漏洞修復(fù)，定時(shí)升級(jí)文件并查毒殺毒，使整個(gè)校園網(wǎng)絡(luò)有防病毒能力。

（四）口令加密和訪問控制

校園網(wǎng)絡(luò)管理員通過對(duì)校園師生用戶設(shè)置用戶名和口令加密驗(yàn)證，加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控以及對(duì)用戶的管理。網(wǎng)管理員要對(duì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器、交換機(jī)、防火墻、服務(wù)器的配置均設(shè)有口令加密保護(hù)，賦予用戶一定的訪問存取權(quán)限、口令字等安全保密措施，用戶只能在其權(quán)限內(nèi)進(jìn)行操作，合理設(shè)置網(wǎng)絡(luò)共享文件，對(duì)各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含、只讀等加密措施，建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng)，建立詳細(xì)的用戶信息數(shù)據(jù)庫、網(wǎng)絡(luò)主機(jī)登錄日志、交換機(jī)及路由器日志、網(wǎng)絡(luò)服務(wù)器日志、內(nèi)部用戶非法活動(dòng)日志等，定時(shí)對(duì)其進(jìn)行審查分析，及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故，有效地保護(hù)網(wǎng)絡(luò)安全。

（五）VLAN(虛擬局域網(wǎng))技術(shù)

VLAN(虛擬局域網(wǎng))技術(shù)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。根據(jù)實(shí)際需要?jiǎng)澐殖龆鄠€(gè)安全等級(jí)不同的網(wǎng)絡(luò)分段。學(xué)校要將不同類型的用戶劃分在不同的VLAN中，將校園網(wǎng)絡(luò)劃分成幾個(gè)子網(wǎng)。將用戶限制在其所在的VLAN里，防止各用戶之間隨意訪問資源。各個(gè)子網(wǎng)間通過路由器、交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，網(wǎng)絡(luò)管理員借助VLAN技術(shù)管理整個(gè)網(wǎng)絡(luò)，通過設(shè)置命令，對(duì)每個(gè)子網(wǎng)進(jìn)行單獨(dú)管理，根據(jù)特定需要隔離故障，阻止非法用戶非法訪問，防止網(wǎng)絡(luò)病毒、木馬程序，從而在整個(gè)網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)能安全運(yùn)行。

（六）系統(tǒng)備份和數(shù)據(jù)備份

雖然有各種防范手段，但仍會(huì)有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來不可預(yù)知的災(zāi)難，對(duì)網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專人管理，定期做好服務(wù)器系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作，并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案，對(duì)網(wǎng)上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要手段。

（七）入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）

IDS是一種網(wǎng)絡(luò)安全系統(tǒng)，是對(duì)防火墻有益的補(bǔ)充。當(dāng)有敵人或者惡意用戶試圖通過Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí)，IDS能檢測(cè)和發(fā)現(xiàn)入侵行為并報(bào)警，通知網(wǎng)絡(luò)采取措施響應(yīng)。即使被入侵攻擊，IDS收集入侵攻擊的相關(guān)信息，記錄事件，自動(dòng)阻斷通信連接，重置路由器、防火墻，同時(shí)及時(shí)發(fā)現(xiàn)并提出解決方案，列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，大大提高了網(wǎng)絡(luò)的安全性。

（八）增強(qiáng)網(wǎng)絡(luò)安全意識(shí)、健全學(xué)校統(tǒng)一規(guī)范管理制度

根據(jù)學(xué)校實(shí)際情況，對(duì)師生進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)教育，使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。制定相關(guān)的網(wǎng)絡(luò)安全管理制度（網(wǎng)絡(luò)操作使用規(guī)程、人員出入機(jī)房管理制度、工作人員操作規(guī)程和保密制度等）。安排專人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護(hù)管理工作，對(duì)學(xué)校專業(yè)技術(shù)人員定期進(jìn)行安全教育和培訓(xùn)，提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺性，并安排專業(yè)技術(shù)人員定期對(duì)校園網(wǎng)進(jìn)行維護(hù)。

三、結(jié)論

校園網(wǎng)的安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程，長期以來，從病毒、黑客與防范措施的發(fā)展來看，總是“道高一尺，魔高一丈”，沒有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，只有通過綜合運(yùn)用多項(xiàng)措施，加強(qiáng)管理，建立一套真正適合校園網(wǎng)絡(luò)的安全體系，提高校園網(wǎng)絡(luò)的安全防范能力。

參考文獻(xiàn)：

1、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2006.

2、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社,2004.

3、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.

4、謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連理工大學(xué)出版社,2000.

5、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財(cái)經(jīng)高等專科學(xué)校學(xué)報(bào),2002(8).

6、李衛(wèi).計(jì)算機(jī)網(wǎng)絡(luò)安全與管理[M].清華大學(xué)出版社,2004.

篇6

關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)安全；解決方案

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)05-1065-02

1概述

對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全產(chǎn)生威脅的因素成千上萬，因此針對(duì)這些因素來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的手段也是錯(cuò)綜復(fù)雜。一般來講，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全起保護(hù)作用的技術(shù)主要有入侵檢測(cè)技術(shù)、防火墻技術(shù)、防病毒技術(shù)、加密技術(shù)、安全評(píng)估技術(shù)以及身份認(rèn)證技術(shù)等。為了充分保障網(wǎng)絡(luò)完全，就必須要結(jié)合網(wǎng)絡(luò)的實(shí)際情況以及實(shí)際需要，將各種措施進(jìn)行有效地整合以建立起一個(gè)完善的、立體的以及多層次的維護(hù)網(wǎng)絡(luò)安全的防御體系。有一個(gè)全方位多面的網(wǎng)絡(luò)完全解決方法才能從各個(gè)方面來保障計(jì)算機(jī)網(wǎng)絡(luò)的各種安全問題。

在網(wǎng)絡(luò)系統(tǒng)中，依據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及對(duì)各種風(fēng)險(xiǎn)進(jìn)行的分析，通常采取以下措施來全方位地保障計(jì)算機(jī)網(wǎng)絡(luò)完全：

1）身份鑒定：對(duì)具有合法身份的用戶進(jìn)行鑒定。

2）病毒防護(hù)：進(jìn)行殺毒以防止病毒入侵。

3）安全審計(jì)：實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)上的異常動(dòng)態(tài)，忠實(shí)地記錄網(wǎng)絡(luò)所發(fā)生的違規(guī)行為或是網(wǎng)絡(luò)入侵行為以為日后提供證據(jù)。

4）信息加密：對(duì)信息進(jìn)行加密以防止傳輸信息線路上的泄漏、竊聽、破壞以及篡改。

5）入侵檢測(cè)：通過利用各種方式來對(duì)計(jì)算機(jī)系統(tǒng)或是網(wǎng)絡(luò)的信息數(shù)據(jù)進(jìn)行收集由此來發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)或是網(wǎng)絡(luò)中是否存在威脅安全的行為或是被攻擊的痕跡。一旦發(fā)現(xiàn)異常情況的存在就回去自動(dòng)地發(fā)出警報(bào)并提示采取相應(yīng)的解決方式。與此同時(shí)，自動(dòng)記錄了受攻擊的過程，為計(jì)算機(jī)系統(tǒng)或是網(wǎng)絡(luò)的恢復(fù)以及追查來源提供依據(jù)。

6）訪問控制：對(duì)操作用戶的文件或是數(shù)據(jù)的權(quán)限進(jìn)行控制或是限制，以避免其他用戶越權(quán)訪問。

7）安全保密管理措施：這是維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的重要組成部分。及時(shí)對(duì)已經(jīng)有較全面的安全保密措施，仍然需要充分的管理力度以防止出現(xiàn)安全隱患。

8）漏洞掃描：進(jìn)行漏洞掃描來對(duì)計(jì)算機(jī)網(wǎng)絡(luò)所存在的安全隱患進(jìn)行全面地檢查，協(xié)助管理員發(fā)現(xiàn)安全漏洞。

2計(jì)算機(jī)網(wǎng)絡(luò)安全解決方案

2.1動(dòng)態(tài)口令式身份認(rèn)證方案

動(dòng)態(tài)口令來進(jìn)行身份認(rèn)證具備動(dòng)態(tài)性、隨機(jī)性、不可逆性以及一次性的特點(diǎn)。這種方式不僅保留了原有靜態(tài)式方法的方便性特點(diǎn)，同時(shí)也很好地對(duì)靜態(tài)式口令方式的各種缺陷進(jìn)行了彌補(bǔ)。動(dòng)態(tài)口令方式在國際公開密碼的算法基礎(chǔ)上衍生動(dòng)態(tài)口令，并經(jīng)過幾十次的非線性式的迭代運(yùn)算完成了密鑰與時(shí)間參數(shù)的充分混合與擴(kuò)散。在這個(gè)基礎(chǔ)上，利用解密流程以及先進(jìn)的身份認(rèn)證與密鑰管理方法來從整體上保障計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。

2.1.1動(dòng)態(tài)口令式系統(tǒng)的抗實(shí)物解剖力

動(dòng)態(tài)口令方式采用了加密式的數(shù)據(jù)處理器，對(duì)企圖利用結(jié)算法程序從網(wǎng)絡(luò)中讀出的行為能進(jìn)行有效地防止，具備較高的抗實(shí)物解剖能力。除此之外，在初始化中隨時(shí)生成的每個(gè)用戶的密鑰也是不相同的，密鑰與口令生成有關(guān)的信息同時(shí)存儲(chǔ)在動(dòng)態(tài)RAM中。一旦有人對(duì)其進(jìn)行分析處理，處理過程一旦掉電，密鑰就會(huì)消失。就算有人破解了其中的程序也因不知道客戶的密鑰而無法計(jì)算出客戶的實(shí)時(shí)口令。

2.1.2動(dòng)態(tài)口令式的抗截獲能力

在動(dòng)態(tài)口令系統(tǒng)中，每個(gè)正確的口令都只能使用一次。因此客戶不用擔(dān)心口令會(huì)在認(rèn)證期間被第三方知道。所以正確的口令一旦在認(rèn)證服務(wù)器上被認(rèn)證后就會(huì)在數(shù)據(jù)庫中留下記錄。

2.1.3系統(tǒng)的安全數(shù)據(jù)庫加密與密鑰管理

用戶的信息以及用戶密鑰都存在安全數(shù)據(jù)庫。安全數(shù)據(jù)庫的信息一旦被泄漏，將會(huì)使得第三者有合法的身份進(jìn)行操作，因此 這里的數(shù)據(jù)是要求絕對(duì)保密的。通常我們隊(duì)安全數(shù)據(jù)庫進(jìn)行加密后在放在服務(wù)器上，不能以明碼的形式出現(xiàn)。安全數(shù)據(jù)庫的主密鑰存儲(chǔ)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)維護(hù)員的IC卡上，因此只有掌握了系統(tǒng)維護(hù)員IC卡的人才能對(duì)安全數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行操作。。如果沒有數(shù)據(jù)安全庫的密鑰，即使接觸到了服務(wù)器，也不能獲得用戶的密鑰。

2.1.4動(dòng)態(tài)口令式的抗窮舉攻擊力

破解口令的常用的攻擊手段是窮舉攻擊。窮舉攻擊手段能夠大量地頻繁地對(duì)每一個(gè)用戶的口令進(jìn)行反復(fù)的認(rèn)證。正對(duì)這一攻擊手段，動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)在每個(gè)用戶每個(gè)時(shí)段的認(rèn)證結(jié)構(gòu)都進(jìn)行日志記錄。一旦發(fā)現(xiàn)用戶的認(rèn)證信息多次驗(yàn)證失敗時(shí)系統(tǒng)就會(huì)自動(dòng)鎖住該用戶的認(rèn)證行為。這樣就能很好地防止窮舉攻擊的攻擊可能性。

2.2信息加密方案

加密手段是維護(hù)網(wǎng)絡(luò)安全的一個(gè)極其重要的手段。它的設(shè)計(jì)理念就是網(wǎng)絡(luò)既然本身就是不安全的，那么就應(yīng)該對(duì)所有重要的信息進(jìn)行加密處理。對(duì)信息進(jìn)行加密是為了達(dá)到保護(hù)網(wǎng)絡(luò)內(nèi)的文件、數(shù)據(jù)、口令以及控制信息的目的，以保證網(wǎng)絡(luò)安全的全面性與完整性。

網(wǎng)絡(luò)加密可以在應(yīng)用級(jí)、鏈路級(jí)以及網(wǎng)絡(luò)級(jí)等進(jìn)行。對(duì)信息加密要通過各式各樣的加密算法來進(jìn)行。據(jù)初步統(tǒng)計(jì)，到目前為止，已開發(fā)出來的加密算有已經(jīng)有幾百種了。通常加密算法可以分為不對(duì)稱即公鑰密碼算法與對(duì)稱即私鑰密碼算法。

網(wǎng)絡(luò)密碼機(jī)是在VPN技術(shù)的基礎(chǔ)上所出現(xiàn)的一種網(wǎng)絡(luò)安全設(shè)施。VPN即虛擬專用網(wǎng)是指以公用網(wǎng)絡(luò)作為傳輸媒體，通過驗(yàn)證網(wǎng)絡(luò)流量以及加密的方式來保證公用網(wǎng)絡(luò)上所傳輸?shù)男畔⒌陌踩?，保證私人信息不被篡改與竊取。網(wǎng)絡(luò)密碼機(jī)采用專門的的硬件來加密與保護(hù)局域網(wǎng)數(shù)據(jù)的安全性。所以具有極高的網(wǎng)絡(luò)性能與安全強(qiáng)度。

2.3防火墻系統(tǒng)對(duì)訪問的控制能力

目前最為廣泛使用與流行的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)是防火墻技術(shù)。它的中心思想是就算是在安全性較低的網(wǎng)絡(luò)環(huán)境中也要構(gòu)建出安全性相對(duì)較高的子網(wǎng)環(huán)境出來。防火墻技術(shù)用于執(zhí)行兩個(gè)網(wǎng)絡(luò)中的訪問控制，它能夠?qū)ΡＷo(hù)對(duì)象的網(wǎng)絡(luò)與互聯(lián)網(wǎng)或是其它網(wǎng)絡(luò)之間的傳遞操作、信息存取進(jìn)行限制。它是一種隔離式的控制技術(shù)，可以用作網(wǎng)絡(luò)安全域或是不同網(wǎng)絡(luò)之間的信息出入口，能依據(jù)企業(yè)的安全方法對(duì)進(jìn)出網(wǎng)絡(luò)的信息數(shù)據(jù)進(jìn)行控制。防火墻本身就具有強(qiáng)大的抗攻擊能力。

防火墻技術(shù)包括：服務(wù)器型、包過濾型以及全狀態(tài)包過濾型。防火墻的使用范圍非常靈活，可以在以太網(wǎng)上的任何部位進(jìn)行分割，以構(gòu)建出安全網(wǎng)絡(luò)單位，也可以在單位的內(nèi)網(wǎng)與外界的廣域網(wǎng)從出口上進(jìn)行劃分，以保護(hù)單位內(nèi)網(wǎng)，構(gòu)建局部的安全網(wǎng)絡(luò)范圍。

利用防火墻設(shè)置安全策略來加強(qiáng)保護(hù)服務(wù)器，必要時(shí)還要啟用防火墻的NAT功能來隱藏網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，利用日志記錄來監(jiān)控非法訪問。采用防火墻和入侵檢測(cè)聯(lián)合功能來形成動(dòng)態(tài)的相適應(yīng)的安全保護(hù)平臺(tái)。

防火墻依據(jù)系統(tǒng)管理者的設(shè)置安全選項(xiàng)來保護(hù)內(nèi)部網(wǎng)絡(luò)，通過高效能的網(wǎng)絡(luò)核心來進(jìn)行訪問控制，與此同時(shí)，提供信息過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換、內(nèi)容過濾、帶寬管理、服務(wù)、用戶身份認(rèn)證、流量控制等功能。

3結(jié)束語

隨著現(xiàn)代網(wǎng)絡(luò)信息技術(shù)的不斷普及以及在各個(gè)領(lǐng)域的廣泛使用，計(jì)算機(jī)網(wǎng)絡(luò)安全也成為了影響網(wǎng)絡(luò)效能的重要因素。人們對(duì)計(jì)算機(jī)的使用程度也使得網(wǎng)絡(luò)安全問題變得格外重要。面對(duì)目前所存在的大量網(wǎng)絡(luò)安全問題，為了廣大用戶的隱私保護(hù)與安全著想。我們有必要加強(qiáng)對(duì)網(wǎng)絡(luò)安全措施的研究。

參考文獻(xiàn)：

[1]林廷劈.網(wǎng)絡(luò)安全策略[J].三明高等專科學(xué)校學(xué)報(bào),2002,15(4).

[2]劉遠(yuǎn)生.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2006.

[3]仇劍鋒,蔡自興.信息網(wǎng)絡(luò)安全設(shè)計(jì)策略[J].中國科技,2003,16(8).

篇7

關(guān)鍵詞：網(wǎng)絡(luò)安全評(píng)估；漏洞掃描；系統(tǒng)脆弱性；TCP/IP

中圖分類號(hào)：TP393.08

安全檢測(cè)和評(píng)估技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)信息安全保障體系的重要組成部分，是網(wǎng)絡(luò)系統(tǒng)安全防御的前提和基礎(chǔ)條件。它既可以在攻擊者對(duì)網(wǎng)絡(luò)系統(tǒng)形成真正的危害之前確定網(wǎng)絡(luò)系統(tǒng)內(nèi)部存在的安全隱患，提供切實(shí)可行的安全性增強(qiáng)策略，也可以在攻擊者對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)際的攻擊行為之后實(shí)施追蹤，快速定位影響系統(tǒng)安全性的主機(jī)漏洞，并提供補(bǔ)丁進(jìn)行修補(bǔ)，從而保證了網(wǎng)絡(luò)系統(tǒng)的安全特性。脆弱性評(píng)估作為安全檢測(cè)和評(píng)估技術(shù)的重要一環(huán)，是在網(wǎng)絡(luò)系統(tǒng)攻擊事件發(fā)生之前發(fā)現(xiàn)系統(tǒng)脆弱性和薄弱環(huán)節(jié)的有效手段，同時(shí)也是降低網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)等級(jí)的有效途徑[1-2]。對(duì)網(wǎng)絡(luò)系統(tǒng)中的計(jì)算機(jī)以及由若干主機(jī)組成的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)定期進(jìn)行脆弱性評(píng)估對(duì)于保障系統(tǒng)安全非常重要，已經(jīng)成為信息、安全領(lǐng)域的迫切需求。

目前，國內(nèi)外的許多研究機(jī)構(gòu)都在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)脆弱性評(píng)估技術(shù)的相關(guān)研究，并已經(jīng)提出了多種評(píng)估模型，開發(fā)了多個(gè)評(píng)估系統(tǒng)[3-4]。但是，這些模型或系統(tǒng)或多或少存在著一些不足，或者考慮的因素不夠全面，或者缺乏對(duì)結(jié)果信息的深度分析，或者可操作性不強(qiáng)，使得其對(duì)于提高網(wǎng)絡(luò)系統(tǒng)安全等級(jí)的指導(dǎo)意義不夠明確。

網(wǎng)絡(luò)安全性評(píng)估一般從信息的機(jī)密性、完整性和可用性等方面來衡量。實(shí)際應(yīng)用中，這些內(nèi)容并不是一成不變的，不同的組織可能會(huì)側(cè)重于不同安全屬性的需求，例如，軍隊(duì)和政府機(jī)構(gòu)比較側(cè)重于機(jī)密性，銀行部門更側(cè)重于完整性，學(xué)校和普通的企業(yè)更側(cè)重于可用性。從涉及的范圍看，信息系統(tǒng)的安全度量包括技術(shù)性安全度量、組織性安全度量、操作性安全度量以及物理安全性度量[5-6]。

1 系統(tǒng)漏洞分析

1.1 漏洞機(jī)理

漏洞使硬件或軟件在面臨攻擊時(shí)表現(xiàn)出某種脆弱性，使攻擊者可以利用這個(gè)缺陷在系統(tǒng)未授權(quán)的情況下訪問系統(tǒng)或者破壞系統(tǒng)的正常使用。這些缺陷所能影響到的網(wǎng)絡(luò)范圍是很大的，其中包括路由器、客戶和服務(wù)器程序、操作系統(tǒng)、防火墻等，對(duì)系統(tǒng)的安全穩(wěn)定帶來嚴(yán)重威脅。

漏洞產(chǎn)生的因素主要有以下四個(gè)[7-8]：

（1）網(wǎng)絡(luò)系統(tǒng)包括網(wǎng)絡(luò)設(shè)備、防火墻和計(jì)算機(jī)等，其操作系統(tǒng)或系統(tǒng)軟件都可能存在各種設(shè)計(jì)缺陷。在不同的設(shè)備中，不同的系統(tǒng)和不同的設(shè)置都會(huì)存在不同的安全漏洞，這是漏洞的主要根源；

（2）種類繁多、不斷發(fā)展中的網(wǎng)絡(luò)應(yīng)用程序?yàn)榫W(wǎng)絡(luò)系統(tǒng)增添了許多安全隱患；

（3）由于歷史的原因，Internet的發(fā)展是建立在相互信任的互聯(lián)機(jī)制上， IPv4是Internet中所使用的互連網(wǎng)層（InternetLayer）協(xié)議，該協(xié)議面臨著信息認(rèn)證、完整性控制、保密和拒認(rèn)等諸多安全方面的問題，TCP/IP協(xié)議族固有的安全缺陷為網(wǎng)絡(luò)攻擊打開了方便之門，由于大量重要的應(yīng)用程序都以TCP作為它們的傳輸層協(xié)議，因此TCP的安全性問題會(huì)給網(wǎng)絡(luò)帶來嚴(yán)重的后果。如TCP/IP協(xié)議允許系統(tǒng)權(quán)限用戶構(gòu)造原始IP數(shù)據(jù)包，可以制造許多RFC未定義的網(wǎng)絡(luò)狀態(tài)，進(jìn)行網(wǎng)絡(luò)欺騙、拒絕服務(wù)（DOS）、數(shù)據(jù)偵聽等攻擊；

（4）缺少必要的安全防范、管理不當(dāng)也是產(chǎn)生安全漏洞的一個(gè)重要原因。

1.2 典型漏洞探測(cè)策略

這類漏洞掃描軟件對(duì)于每個(gè)漏洞都有一個(gè)相應(yīng)的探測(cè)程序，以插件形式來調(diào)用實(shí)施對(duì)目標(biāo)系統(tǒng)的掃描。用戶一般可以根據(jù)需要掃描的漏洞來調(diào)度相應(yīng)的探測(cè)程序，如通過參數(shù)配置選擇漏洞的類別，由程序調(diào)用該類的所有漏洞探測(cè)程序?qū)嵤┨綔y(cè)。軟件實(shí)施的探測(cè)方法如圖1所示。

探測(cè)的具體方法是：由用戶進(jìn)行參數(shù)配置，根據(jù)需要選定要掃描的漏洞類別集{類別A，類別B，......，類別X}，然后由軟件調(diào)用逐個(gè)類別所含的每個(gè)漏洞探測(cè)插件{插件SX1，插件SX2，......，插件SXn}進(jìn)行探測(cè)。

系統(tǒng)的性能主要決定于漏洞庫的完整性和漏洞探測(cè)插件程序的編寫質(zhì)量。這種方法的好處是能保證漏洞探測(cè)的完整性，漏洞探測(cè)程序不受目標(biāo)系統(tǒng)開放端口信息的影響，只要是所選取的漏洞掃描插件，都會(huì)被執(zhí)行一遍，即使應(yīng)用程序或系統(tǒng)更改了默認(rèn)定義的端口，漏洞掃描軟件仍然可以根據(jù)漏洞特征代碼對(duì)其進(jìn)行探測(cè)，可以逐個(gè)識(shí)別目標(biāo)系統(tǒng)隱藏的網(wǎng)絡(luò)服務(wù)。

不過，這種設(shè)計(jì)方法忽視漏洞與目標(biāo)系統(tǒng)信息的聯(lián)系，在某種程度上降低了探測(cè)的準(zhǔn)確性和掃描效率。如果探測(cè)程序的探測(cè)程度不夠深，目標(biāo)系統(tǒng)運(yùn)行了端口定義為21的某種網(wǎng)絡(luò)應(yīng)用服務(wù)，探測(cè)軟件可能誤以為是FTP類的服務(wù)，判定目標(biāo)系統(tǒng)具有匿名FTP服務(wù)的某些脆弱性，就發(fā)生漏洞誤報(bào)。另外忽略目標(biāo)系統(tǒng)的整體信息，也會(huì)導(dǎo)致漏洞報(bào)告的不準(zhǔn)確，例如用Nessus軟件掃描一個(gè)操作系統(tǒng)類型為Windows2003的目標(biāo)機(jī)器，得到下面的漏洞警告：

2 系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

本文設(shè)計(jì)的安全評(píng)估系統(tǒng)是基于C-S模式的體系結(jié)構(gòu)，其體系結(jié)構(gòu)如圖2所示，該體系結(jié)構(gòu)主要由客戶端和服務(wù)器端組成，其中客戶端主要由掃描配置模塊、評(píng)估模塊、掃描結(jié)果數(shù)據(jù)庫模塊與結(jié)果輸出模塊等組成，服務(wù)器端則主要由掃描引擎、漏洞庫、規(guī)則庫、結(jié)果庫與插件庫等組成。這種模式由客戶端的掃描配置模塊進(jìn)行掃描配置，將掃描請(qǐng)求文件發(fā)送到服務(wù)器端，服務(wù)器端的掃描引擎根據(jù)掃描配置文件調(diào)用相應(yīng)的插件對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行掃描，將從目標(biāo)網(wǎng)絡(luò)返回的結(jié)果與漏洞庫中的信息進(jìn)行匹配以確定是否存在相應(yīng)漏洞，然后將掃描結(jié)果返回給客戶端，客戶端由評(píng)估模塊對(duì)返回的掃描結(jié)果進(jìn)行分析，完成對(duì)被掃描網(wǎng)絡(luò)的安全評(píng)估工作，最后由結(jié)果輸出模塊對(duì)掃描結(jié)果進(jìn)行處理。

3 結(jié)束語

隨著互聯(lián)網(wǎng)的迅速發(fā)展，政治、經(jīng)濟(jì)、社會(huì)、文化等各方面都越來越依賴于網(wǎng)絡(luò)。而利用安全脆弱性危害網(wǎng)絡(luò)安全的攻擊事件每年以幾何級(jí)數(shù)在增長，隨著經(jīng)濟(jì)的發(fā)展，危害事件造成的損失也越來越大。因此無論是網(wǎng)絡(luò)服務(wù)商、網(wǎng)絡(luò)管理部門，還是網(wǎng)絡(luò)應(yīng)用部門，都將網(wǎng)絡(luò)安全和系統(tǒng)安全放在非常重要的地位上，對(duì)此提出更高、更迫切的需求。

深入研究和開發(fā)網(wǎng)絡(luò)安全評(píng)估系統(tǒng)，可以大大推進(jìn)網(wǎng)絡(luò)安全科研工作，拓展安全檢測(cè)的新研究方向，具有極大的社會(huì)、經(jīng)濟(jì)效益。系統(tǒng)可以采用靈活多樣的方式提供服務(wù)，如出售軟件系統(tǒng)、遠(yuǎn)程檢測(cè)、定制開發(fā)、系統(tǒng)安全維護(hù)、安全方案設(shè)計(jì)等，商業(yè)前景十分誘人。

本文系統(tǒng)地研究了網(wǎng)絡(luò)安全評(píng)估系統(tǒng)，闡明了相關(guān)的關(guān)鍵技術(shù)和系統(tǒng)設(shè)計(jì)的技術(shù)方案，針對(duì)提高漏洞分析的準(zhǔn)確性、漏洞探測(cè)的全面性和系統(tǒng)的高效性，提出了可行的技術(shù)策略，并加強(qiáng)隱藏信息服務(wù)的分析，提高了系統(tǒng)的適應(yīng)能力，并利用實(shí)驗(yàn)室的局域網(wǎng)資源，進(jìn)行了網(wǎng)絡(luò)安全評(píng)估的模擬實(shí)驗(yàn)，取得了較理想的效果，為深入開發(fā)網(wǎng)絡(luò)安全評(píng)估系統(tǒng)奠定了基礎(chǔ)。

參考文獻(xiàn)：

[1]National Institute of Standards and Technology.SPecial Publications，Risk Management Guide for Information Technology Systems[M].July，2002：4-6.

[2]Peltier T R.Information Security Risk Analysis[J].Taylor & Francis，Inc.April，2005：23-35.

[3]邢栩嘉，林闖，蔣屹新.計(jì)算機(jī)系統(tǒng)脆弱性評(píng)估研究[J].計(jì)算機(jī)學(xué)報(bào)，2004（0l）：4-6.

[4]Common Criteria for Information Technology Security Evaluation.September，2006：28-32.

[5]Steven N，Michael J. MultiPle Coordinated Views for Network Attaek Graphs[J]，Workshop on Visualization for ComPuter Security，October 26，Minneapolis，MN，USA，2005：IEEE：99-106.

[6]汪淵，蔣凡，陳國梁.基于圖論的網(wǎng)絡(luò)安全分析方法研究與應(yīng)用[J]，小型微型計(jì)算機(jī)系統(tǒng)，2003（10）：1865-1869.

[7]MCNAB C.王景新譯.網(wǎng)絡(luò)安全評(píng)估[M].北京：中國電力出版社，2005：21-22.

[8]OURSTON D， MATZNER S，STUMP W. Applications of Hidden Markov Models to Detecting Multi-stage Network Attacks[C].Proceedings of the 36th Hawaii International Conference on System Sciences（HICSS），Applied Research Laboratories University of Texas at Austin，2003：26-28.

篇8

關(guān)鍵詞：電子印章；PKI；數(shù)字水印；身份認(rèn)證

中圖分類號(hào)：TP319 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：16727800（2013）002008902

0 引言

隨著網(wǎng)絡(luò)的迅速發(fā)展，電子公文得到了越來越廣泛的使用。但是電子公文的易備份性使得電子公文在傳輸中的安全性、合法性、有效性得不到有力保證。因此如何保證文件的安全性、規(guī)范性是電子公文在傳輸中的一個(gè)重要問題。針對(duì)電子公文在網(wǎng)絡(luò)中傳輸?shù)奶攸c(diǎn)，本文提出了一種基于網(wǎng)絡(luò)的電子印章服務(wù)平臺(tái)架構(gòu)，該架構(gòu)可以將簽章后的電子公文通過網(wǎng)絡(luò)安全快捷地傳送給接收方。

1 電子印章服務(wù)平臺(tái)

電子印章服務(wù)平臺(tái)邏輯上主要分為：印章服務(wù)器/權(quán)限中心、印章制作中心、公文流轉(zhuǎn)中心3部分。其總體結(jié)構(gòu)描述如圖1所示。

印章服務(wù)器/權(quán)限設(shè)置中心：主要負(fù)責(zé)與后臺(tái)數(shù)據(jù)庫通信，管理各個(gè)客戶端用戶的權(quán)限授予，接受并執(zhí)行客戶端發(fā)送的請(qǐng)求，并將用戶操作記錄形成日志。

印章制作中心：主要負(fù)責(zé)印章的制作、檢索、查看、撤銷工作，是進(jìn)行公文流轉(zhuǎn)的前期工作。

公文流轉(zhuǎn)中心：是電子印章系統(tǒng)的核心部分，該中心嵌入到Word、Excel等應(yīng)用軟件中，主要負(fù)責(zé)文檔審閱、簽章、簽名認(rèn)證、打印控制、文檔作廢等工作。

2 關(guān)鍵技術(shù)

2.1 PKI技術(shù)

PKI（Public Key Infrastructure），即公鑰基礎(chǔ)設(shè)施。它是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全，并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種體系。PKI主要由認(rèn)證機(jī)構(gòu)CA中心、證書及相關(guān)業(yè)務(wù)受理審核中心、密鑰管理中心、證書庫等部分組成。其中CA中心是PKI系統(tǒng)的核心，是數(shù)字證書的簽發(fā)機(jī)構(gòu)。它通過對(duì)實(shí)體身份信息和相應(yīng)公鑰數(shù)據(jù)的數(shù)字簽名，來捆綁該實(shí)體的公鑰和身份，以證明各實(shí)體在網(wǎng)上身份的真實(shí)性。

電子印章服務(wù)平臺(tái)就是利用PKI技術(shù)建立的一項(xiàng)提供安全簽章服務(wù)的設(shè)施平臺(tái)。PKI技術(shù)是電子印章服務(wù)平臺(tái)信息安全的核心技術(shù)。

2.2 數(shù)字簽名技術(shù)

數(shù)字簽名就是信息發(fā)送方用自己的私鑰對(duì)傳輸文檔中提取的數(shù)字摘要進(jìn)行加密操作并傳給接收方，接收方用發(fā)送方的公鑰解開數(shù)據(jù)后，就可以確定消息來自于誰。數(shù)字簽名可以用來保證網(wǎng)絡(luò)信息在傳輸過程中的完整性、信息發(fā)送方的身份不可抵賴性和可認(rèn)證性，可以解決否認(rèn)、偽造、篡改、冒充等問題，是保證網(wǎng)絡(luò)中傳輸數(shù)據(jù)沒有被非法篡改的重要手段。

2.3 數(shù)字水印技術(shù)

數(shù)字水印技術(shù)是一種信息隱藏技術(shù)。它是通過一定的算法將一些標(biāo)志性信息直接嵌入多媒體內(nèi)容中，而不影響原內(nèi)容的價(jià)值和使用，并且不能被人的知覺系統(tǒng)感知。目前大多數(shù)水印制作方案都采用密碼學(xué)中的加密體系來加強(qiáng)，在水印嵌入、提取時(shí)采用一種密鑰。嵌入多媒體作品中的數(shù)字水印應(yīng)當(dāng)滿足安全性、隱蔽性、穩(wěn)健性、水印容量足夠大這幾個(gè)方面的要求。

2.4 USB KEY技術(shù)

USB KEY技術(shù)以智能卡技術(shù)為基礎(chǔ)，在硬件設(shè)備中內(nèi)置單片機(jī)或者智能卡芯片，具備一定存儲(chǔ)空間，可以存儲(chǔ)用戶的私鑰以及數(shù)字證書，利用USB KEY內(nèi)置的公鑰算法可以實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

3 平臺(tái)安全性設(shè)計(jì)

3.1 安全需求

（1）電子印章加密硬件的安全性。作為存儲(chǔ)數(shù)字證書和用戶私鑰的智能密碼鑰匙（USB KEY），其自身的安全性是非常重要的。智能密碼鑰匙的安全性主要由兩方面決定：一方面是加密算法的自身強(qiáng)度，一方面是密鑰的保密強(qiáng)度和質(zhì)量。

（2）電子印章服務(wù)平臺(tái)自身的安全性。電子印章服務(wù)平臺(tái)中電子印章制作、公文流轉(zhuǎn)等過程都涉及到用戶身份的認(rèn)證、印章制作、印章存儲(chǔ)、傳輸、使用權(quán)限的控制等一系列安全問題。這些問題如果解決不好，都會(huì)使系統(tǒng)的安全性無法得到保障。

3.2 解決方案

電子印章的安全方案設(shè)計(jì)主要體現(xiàn)在用戶登錄認(rèn)證、印章制作、文檔簽章、簽章文檔的驗(yàn)證、公文流轉(zhuǎn)等應(yīng)用流程中。

（1）基于用戶身份的訪問控制。用戶必須通過持有獲得第三方認(rèn)證機(jī)構(gòu)簽發(fā)數(shù)字證書的USB KEY并提供正確的PIN碼才能夠登錄系統(tǒng)。用戶在第一次登錄前還必須獲得管理員的授權(quán)，該部分在服務(wù)器/權(quán)限中心完成。管理員可以對(duì)用戶進(jìn)行制章、持章、日志審核、公文流轉(zhuǎn)設(shè)置4個(gè)角色的授權(quán)。

（2）基于數(shù)字證書和數(shù)字水印的制章簽名。為了保證電子印章的真實(shí)性、不可復(fù)制、不可刪除性，將印章信息以雙水印形式嵌入印章圖片中。第一層水印信息包括印章ID、制章者證書、持章者證書。使用制章者私鑰加密，利用DCT算法在頻域中實(shí)現(xiàn)。主要用于驗(yàn)證印章的真實(shí)性和有效性。第二層水印信息包括印章制作單位、印章有效期等需要公開的信息，無需加密。利用LSB算法直接嵌入印章圖片中。方便用戶查看印章基本信息。

（3）基于數(shù)字證書和數(shù)字水印的簽章文檔簽名及驗(yàn)證。簽章時(shí)，將電子公文的數(shù)據(jù)進(jìn)行散列運(yùn)算后利用印章持有者私鑰簽名，將簽名后的信息以水印形式嵌入電子印章圖片，和原電子公文整合到一起形成一個(gè)新的簽章文檔，實(shí)現(xiàn)印章和文檔的一對(duì)一關(guān)系。

驗(yàn)證簽名時(shí)，對(duì)簽章文檔的印章進(jìn)行拆分。將簽章時(shí)嵌入的水印即電子公文的數(shù)字簽名信息提取出來，并用印章持有者公鑰解密，得到結(jié)果M1。同時(shí)對(duì)被簽名的原始數(shù)據(jù)做散列運(yùn)算，得到結(jié)果M2，將兩結(jié)果進(jìn)行比較，若一致表示文檔信息真實(shí)可靠。其簽名驗(yàn)證過程如圖2所示。

4 結(jié)語

本文提出的基于網(wǎng)絡(luò)的電子印章服務(wù)平臺(tái)集成了PKI技術(shù)、數(shù)字簽名技術(shù)、數(shù)字水印技術(shù)、USB KEY技術(shù)。與以前的安全方案比較有以下改進(jìn)：一是運(yùn)用了多層數(shù)字水印技術(shù)。利用電子印章對(duì)文檔進(jìn)行多重保護(hù)，將文檔數(shù)字簽名以水印形式嵌入印章圖片中，真正實(shí)現(xiàn)印章與電子公文一一對(duì)應(yīng)的關(guān)系，從而保證了電子公文的真實(shí)性、可靠性和不可篡改性；二是利用PKI進(jìn)行身份認(rèn)證和數(shù)字簽名，為電子公文進(jìn)行網(wǎng)絡(luò)流轉(zhuǎn)提供了有效保障，從而提高電子公文在網(wǎng)絡(luò)流轉(zhuǎn)過程中的安全性和可靠性。

參考文獻(xiàn)：

＼[1＼] 寧子嵐.基于數(shù)字簽名和數(shù)字水印技術(shù)的電子印章系統(tǒng)＼[D＼].長沙：長沙理工大學(xué)，2007.

＼[2＼] 許盛偉，李彥兵.一種基于PKI的電子印章系統(tǒng)安全應(yīng)用方案＼[J＼].計(jì)算機(jī)應(yīng)用軟件，2008（10）.

＼[3＼] 寧子嵐，向元平.基于PKI和數(shù)字水印的電子簽章系統(tǒng)＼[J＼].計(jì)算機(jī)時(shí)代，2009（12）.

篇9

關(guān)鍵詞：信息安全，安全政策，安全體系，安全設(shè)施

中圖分類號(hào)：TN915.08文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)：

武漢職業(yè)技術(shù)學(xué)院是國家教育部批準(zhǔn)獨(dú)立設(shè)置、湖北省人民政府主辦、湖北省教育廳直屬的全日制普通高等學(xué)校。學(xué)校坐擁“武漢·中國光谷”的中心地利，搶占了高職教育發(fā)展的戰(zhàn)略高地，開創(chuàng)了區(qū)域化、國際化、現(xiàn)代化高職辦學(xué)的成功范例。學(xué)校整體辦學(xué)條件、辦學(xué)實(shí)力、辦學(xué)水平躍居湖北省高職院校前列，成為湖北高職教育的著名品牌、中部高職教育的改革先鋒，并作為國家重點(diǎn)示范性院校在全國高職教育領(lǐng)域產(chǎn)生了重要影響。

1. 武漢職業(yè)技術(shù)學(xué)院電子政務(wù)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

高校電子政務(wù)系統(tǒng)的應(yīng)用和主要服務(wù)對(duì)象是老師與學(xué)生，師生擁有電腦的比例以及使用電腦的頻率比較大，上網(wǎng)瀏覽存在安全隱患的網(wǎng)站，接收陌生文件等網(wǎng)絡(luò)應(yīng)用會(huì)導(dǎo)致校園網(wǎng)內(nèi)病毒泛濫；觀看網(wǎng)絡(luò)視頻，嚴(yán)重占據(jù)網(wǎng)絡(luò)速度與流量，甚至阻塞網(wǎng)絡(luò)運(yùn)行；同時(shí)師生人數(shù)較多，每個(gè)用戶對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)也不盡相同。經(jīng)過調(diào)查、分析、研究，該校電子政務(wù)系統(tǒng)存在以下的安全隱患：

1. 校園網(wǎng)直接與因特網(wǎng)相連，校園網(wǎng)內(nèi)、外部網(wǎng)絡(luò)攻擊情況嚴(yán)重；

2. 用戶數(shù)量大，使用頻率高：該校大部分教學(xué)工作、科研工作及日常行政辦公等都是以網(wǎng)絡(luò)為應(yīng)用平臺(tái)。如果在節(jié)點(diǎn)沒有采取一定的防護(hù)措施，隨時(shí)有可能造成病毒泛濫、信息丟失與損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果；

3. 缺乏統(tǒng)一管理：前期的網(wǎng)絡(luò)建設(shè)投資很大，隨著學(xué)校的逐步發(fā)展以及校園環(huán)境的變遷，使得網(wǎng)絡(luò)統(tǒng)一管理的問題越發(fā)突出；

4. 網(wǎng)管中心負(fù)荷量大：大部分的網(wǎng)絡(luò)管理工作都是由網(wǎng)絡(luò)中心來完成的，由于人員少，校園網(wǎng)絡(luò)的維護(hù)與運(yùn)營、使用網(wǎng)絡(luò)的規(guī)章制度以及相關(guān)費(fèi)用的收取等等工作進(jìn)行比較緩慢。

所以，一個(gè)科學(xué)的網(wǎng)絡(luò)安全系統(tǒng)對(duì)校園網(wǎng)的正常運(yùn)行起著至關(guān)重要的作用。

2. 武漢職業(yè)技術(shù)學(xué)院電子政務(wù)系統(tǒng)安全實(shí)施

2.1 防火墻的實(shí)施

根據(jù)武漢職業(yè)技術(shù)學(xué)院的具體校園網(wǎng)網(wǎng)絡(luò)背景，防火墻設(shè)備選用兩臺(tái)千兆防火墻：EX-520。選用的防火墻產(chǎn)品具有2個(gè)千兆光纖端口，2個(gè)百兆端口。

對(duì)于防火墻的部署，是基于以下幾點(diǎn)來考慮和設(shè)計(jì)的：

1、兩個(gè)千兆光纖端口分別接：DMZ區(qū)（DMZ區(qū)一般是對(duì)外提供WWW、DNS、Email、FTP、BBS等服務(wù)的特殊小型網(wǎng)絡(luò)）；武漢職業(yè)技術(shù)學(xué)院內(nèi)部校園網(wǎng)。

2、一個(gè)百兆網(wǎng)口，用于連接整個(gè)校園網(wǎng)或者電子政務(wù)系統(tǒng)的上級(jí)信息網(wǎng)。剩余的其他端口，可根據(jù)具體網(wǎng)絡(luò)應(yīng)用需要連接其他網(wǎng)段或局域網(wǎng)子網(wǎng)。

3、防火墻設(shè)備的安全策略配置與實(shí)施：

解決網(wǎng)絡(luò)邊界點(diǎn)安全，保護(hù)內(nèi)部網(wǎng)絡(luò)；根據(jù)IP地址、協(xié)議類型、端口等實(shí)現(xiàn)數(shù)據(jù)包過濾功能以及地址轉(zhuǎn)換；

保證內(nèi)部安全服務(wù)器網(wǎng)絡(luò)（DMZ區(qū)）的安全；

實(shí)現(xiàn)IP與MAC地址綁定，避免出現(xiàn)IP地址欺騙或者亂用網(wǎng)絡(luò)資源；

開啟黑白名單功能，實(shí)現(xiàn)URL過濾，過濾不健康網(wǎng)站；

具有自身保護(hù)能力，可防范對(duì)防火墻的常見攻擊；

啟動(dòng)入侵檢測(cè)及告警功能；

學(xué)生訪問不良信息網(wǎng)站后的日志記錄，做到有據(jù)可查；

多種應(yīng)用協(xié)議的支持。

防火墻部署示意圖

2.2 網(wǎng)絡(luò)分段技術(shù)在學(xué)院網(wǎng)絡(luò)安全方案中的應(yīng)用

為了確保不同部門、不同職權(quán)等級(jí)的人員相對(duì)的信息安全，將網(wǎng)絡(luò)劃分為若干個(gè)子網(wǎng)是很有必要的，它是對(duì)內(nèi)部局域網(wǎng)采取的重要安全措施。

網(wǎng)絡(luò)分段的目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，網(wǎng)絡(luò)分段可分為物理分段與邏輯分段兩種方式，也可以綜合應(yīng)用物理分段與邏輯分段兩種方法來實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制。

1. 以交換式集線器代替共享式集線器

對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺(tái)機(jī)器之間的數(shù)據(jù)包(通常成為單播數(shù)據(jù)包)還是會(huì)被同一臺(tái)集線器上的其他用戶所偵聽。

因此，應(yīng)該以交換式集線器代替共享式集線器，使單播數(shù)據(jù)包(Unicast Packet)僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法偵聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包。但是一般情況下廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。

2. 虛擬網(wǎng)VLAN的劃分

虛擬局域網(wǎng)技術(shù)（VLAN）將地理位置不同的、同屬一個(gè)單位的幾個(gè)局域網(wǎng)劃分成一個(gè)虛擬網(wǎng)段，以便單位內(nèi)部的數(shù)據(jù)共享和管理。

校園的主干部分（及核心層與匯聚層之間）運(yùn)行動(dòng)態(tài)路由協(xié)議，每個(gè)匯聚層交換機(jī)作為第三層設(shè)備將會(huì)成為廣播流量的邊界，從而也中斷了VLAN跨過主干網(wǎng)絡(luò)，可以說每個(gè)匯聚點(diǎn)都是一個(gè)VLAN管理的域，不同的VLAN 管理域之間的VLAN從命名上或VLAN ID號(hào)的分配上都沒有任何關(guān)系。而在每個(gè)VTP域中，VLAN1專門用于交換機(jī)之間控制面板流量的傳輸，而不承載用戶數(shù)據(jù)，也不作為管理VLAN，并在Trunk上清除了VLAN1的用戶流量以減小VLAN1生成樹的直徑。

篇10

關(guān)鍵詞： 公安；邊防部隊(duì)；網(wǎng)絡(luò)信息；安全管理；問題；對(duì)策

網(wǎng)絡(luò)信息技術(shù)在經(jīng)濟(jì)的激烈發(fā)展中變得日益先進(jìn)化，設(shè)計(jì)到國家發(fā)展的各個(gè)領(lǐng)域，是國家經(jīng)濟(jì)發(fā)展的重要力量，但是網(wǎng)絡(luò)信息技術(shù)作為一種無形的技術(shù)很容易受到威脅，在長期的使用中會(huì)出現(xiàn)一些不良的網(wǎng)絡(luò)信息、干擾網(wǎng)絡(luò)系統(tǒng)的病毒以及機(jī)密被竊取的現(xiàn)象。公安邊防部隊(duì)作為守衛(wèi)國家安全的重要組織，在網(wǎng)絡(luò)信息的安全管理上更是要引起重視，要查找在安全管理中所存在的威脅因素，例如：信息傳遞以及網(wǎng)絡(luò)結(jié)構(gòu)管理所面臨的問題；網(wǎng)絡(luò)設(shè)備的利用性不高；網(wǎng)絡(luò)體系中出現(xiàn)惡意的程序；網(wǎng)絡(luò)信息操作的安全性低。進(jìn)而根據(jù)這些問題找出相應(yīng)方案去除這些威脅，進(jìn)而維護(hù)好國家的發(fā)展與居民的安定。

1 公安邊防部隊(duì)網(wǎng)絡(luò)信息安全管理面臨的問題

在公安邊防部隊(duì)的網(wǎng)絡(luò)信息使用中，由于一些威脅性因素的存在嚴(yán)重威懾著部隊(duì)對(duì)網(wǎng)絡(luò)信息的安全管理，下面筆者就和大家共同分析一下，在公安邊防部隊(duì)網(wǎng)絡(luò)信息安全管理中所面臨的為威脅性因素：

1.1 光纖通信網(wǎng)絡(luò)的安全隱患

在光纖通信網(wǎng)絡(luò)信息傳遞的過程中由于缺乏安全的管理，致主要是物理鏈路方面。使很多病毒以及惡意的軟件在中途植入，導(dǎo)致信息大量的丟失，一些不法的想竊取公安邊防部隊(duì)的機(jī)密的人員，使用一些高端的技術(shù)掃描公安邊防部隊(duì)網(wǎng)絡(luò)體系所存在的漏洞。進(jìn)而找出突破口，竊取機(jī)密。由于在網(wǎng)絡(luò)結(jié)構(gòu)的創(chuàng)建過程中，會(huì)用到很多的網(wǎng)絡(luò)設(shè)備，在這些網(wǎng)絡(luò)設(shè)備的使用中也會(huì)出現(xiàn)泄漏信息的狀況，究其原因，主要是由于公安邊防部隊(duì)在信息傳遞以及網(wǎng)絡(luò)結(jié)構(gòu)的創(chuàng)建中缺乏安全的管理。

1.2 網(wǎng)絡(luò)設(shè)備的利用性不高

在網(wǎng)絡(luò)信息的使用中，由于設(shè)備的管理與監(jiān)督力度不夠，最終致使設(shè)備被竊??；很多網(wǎng)絡(luò)設(shè)備被修理的次數(shù)非常的多，導(dǎo)致設(shè)備斷電等在使用中會(huì)出現(xiàn)很多故障以及意外，最終致使公安邊防部隊(duì)的信息以及機(jī)密被外泄；還有的情況是因?yàn)椴僮魅藛T技術(shù)性能不強(qiáng)進(jìn)而使用不當(dāng)致使網(wǎng)絡(luò)設(shè)備破損；由于地區(qū)的局限性，所用的設(shè)備過于落后，不能夠跟得上信息技術(shù)的發(fā)展與變化，致使信息不靈通，網(wǎng)絡(luò)設(shè)備的利用性不高。

1.3 機(jī)房信息接入點(diǎn)的安全隱患，網(wǎng)絡(luò)體系中出現(xiàn)惡意的程序

網(wǎng)絡(luò)技術(shù)的日益發(fā)展使得網(wǎng)絡(luò)體系也逐漸的日益先進(jìn)，但是與此同時(shí)，相應(yīng)的竊取機(jī)密以及信息的不法科技也在快速的發(fā)展。很多肆意竊取公安邊防部隊(duì)信息機(jī)密的不法分子，通過高端的科學(xué)網(wǎng)絡(luò)技術(shù)，將惡意的程序例如：病毒、木馬等植入到網(wǎng)絡(luò)信息的各種軟件之中，公安邊防部隊(duì)的工作人員在使用的過程中，在毫不知情的情況下，系統(tǒng)就會(huì)出現(xiàn)安全威脅，進(jìn)而信息就會(huì)被他人竊取。

1.4 網(wǎng)絡(luò)信息操作安全性能低，違規(guī)使用的安全隱患

在網(wǎng)絡(luò)信息的管理中由于相關(guān)管理人員缺乏有效的管理，致使網(wǎng)絡(luò)信息操作的安全性降低，信息被大量的盜取的現(xiàn)象頻頻上演，除此之外，由于網(wǎng)絡(luò)機(jī)器設(shè)備在使用中，由于各種原因，故障以及意外的高發(fā)性也致使網(wǎng)絡(luò)信息操作的安全性能降低；由于在公安邊防部隊(duì)目前所用的網(wǎng)絡(luò)信息體系中一些防范技術(shù)很少被使用，導(dǎo)致病毒以及木馬的入侵，所以最終致使網(wǎng)絡(luò)信息操作的安全性能降低，信息被盜取。

2 解決公安邊防部隊(duì)網(wǎng)絡(luò)信息安全管理問題的對(duì)策

2.1 強(qiáng)化網(wǎng)絡(luò)信息人才培養(yǎng)，完善網(wǎng)絡(luò)安全防護(hù)技術(shù)

要想提升公安邊防部隊(duì)網(wǎng)絡(luò)信息的安全管理首要措施一定是從相關(guān)的管理人員做起，提升相關(guān)的管理人員的綜合性修養(yǎng)，進(jìn)而提升管理的有效性。在提升相關(guān)的管理人員的綜合性修養(yǎng)的過程中，公安邊防部隊(duì)要?jiǎng)?chuàng)建一套合理的、全面的管理制度。在目前的網(wǎng)絡(luò)信息管理中缺乏有效的制度，既使有也不符合當(dāng)下網(wǎng)絡(luò)信息管理的要求。這樣使得網(wǎng)絡(luò)信息泄密的狀況有法規(guī)以及法律的約束。在管理的過程中，要多汲取先進(jìn)的管理經(jīng)驗(yàn)，結(jié)合自身的問題，制度相應(yīng)的管理制度，為了保證管理的高效性，可以制度相應(yīng)的獎(jiǎng)懲條例。進(jìn)而在網(wǎng)絡(luò)信息的管理中，相關(guān)的工作要做好分工，責(zé)任要有明確的劃分，創(chuàng)建一定的責(zé)任體系，將公安邊防部隊(duì)的網(wǎng)絡(luò)信息管理責(zé)任規(guī)劃到專人身上，遏制信息泄露狀況的發(fā)生。對(duì)于一些不是公安邊防部隊(duì)的工作人員，要加強(qiáng)管理以及防范工作，可以錄指紋；簽訂協(xié)議等，以防不法人員渾水摸魚，偷盜機(jī)密。相關(guān)的管理人員還要對(duì)工作中所用到的手機(jī)、電腦以及相機(jī)等移動(dòng)的存儲(chǔ)物體加強(qiáng)管理，要做好相應(yīng)的使用登記。還要加強(qiáng)對(duì)相關(guān)管理人員的技能強(qiáng)化，保證其在工作中能夠有足夠的能力去應(yīng)對(duì)相關(guān)的問題。

2.2 要進(jìn)一步完善網(wǎng)絡(luò)安全保密工作

要想確保公安邊防部隊(duì)的網(wǎng)絡(luò)信息管理的安全性，一定要注重對(duì)網(wǎng)絡(luò)信息安全的防范工作，進(jìn)而創(chuàng)建防范病毒以及各種威脅因素的檢測(cè)體系，保證網(wǎng)絡(luò)信息體系可以在全天中得到檢測(cè)，進(jìn)而能夠有效的發(fā)現(xiàn)系統(tǒng)中所出現(xiàn)的漏洞，并做出相應(yīng)的彌補(bǔ)和防范，找出問題的根源，將不法的竊取機(jī)密的科技以及人員一網(wǎng)打盡，為創(chuàng)建安全的網(wǎng)路信息體系提供可行的條件。要研制出相應(yīng)的防火墻技能，進(jìn)而提升對(duì)網(wǎng)絡(luò)信息體系的管理與監(jiān)督。防火墻雖然對(duì)增強(qiáng)網(wǎng)絡(luò)信息安全方面的作用很重要，但是隨著盜竊機(jī)密的技術(shù)的快速發(fā)展，防火墻的保護(hù)功能在日漸衰退，所以要想建立保護(hù)網(wǎng)絡(luò)信息體系的防火墻一定要采用高端的科學(xué)技術(shù)，研發(fā)出高端技能的防火墻，進(jìn)而能夠?qū)W(wǎng)絡(luò)信息體系中的病毒、木馬以及惡意的軟件做出有效的控制，相關(guān)的管理人員要對(duì)文件以及機(jī)密的加密技術(shù)進(jìn)行研究，使得加密技術(shù)能夠更加的合理化、先進(jìn)化、安全化。所以要想促進(jìn)公安邊防部隊(duì)網(wǎng)絡(luò)信息管理的安全化，要注重網(wǎng)絡(luò)信息安全的防范工作，進(jìn)而促進(jìn)邊防工作人員的信息技術(shù)的合理化、安全化。

2.3 要建立網(wǎng)絡(luò)安全防護(hù)機(jī)制，制定合理的網(wǎng)絡(luò)控制措施

公安邊防部隊(duì)可以號(hào)召國家的一些重點(diǎn)部門以及單位合理規(guī)劃自身所用的網(wǎng)絡(luò)信息體系，站在國家的角度，將所用的網(wǎng)絡(luò)信息體系融入國家的網(wǎng)絡(luò)信息建設(shè)的規(guī)劃中，進(jìn)而擴(kuò)大網(wǎng)絡(luò)控制的范圍，包括網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)安全應(yīng)急演練等，增強(qiáng)網(wǎng)絡(luò)控制的力度。公安邊防部隊(duì)可以在網(wǎng)絡(luò)控制中發(fā)揮自身的主導(dǎo)作用，積極的協(xié)調(diào)、規(guī)劃好網(wǎng)絡(luò)信息系統(tǒng)管理的安全工作，并將其落實(shí)到位，號(hào)召各單位以及部門積極的配合好公安邊防部隊(duì)的網(wǎng)絡(luò)信息管理的安全工作，進(jìn)而將有效的管理落到實(shí)處。隨著工作的信息化，很多部門在工作中都實(shí)現(xiàn)了網(wǎng)絡(luò)化的發(fā)展，公安邊防部隊(duì)在網(wǎng)絡(luò)化工作的過程中，要將報(bào)警技術(shù)植入到各網(wǎng)絡(luò)體系的使用中，進(jìn)而通過報(bào)警提示來考核網(wǎng)絡(luò)信息體系的安全性，若出現(xiàn)問題報(bào)警體系就會(huì)有提示，然后工作人員可以及時(shí)的查找問題的所在位置，并做出相應(yīng)的防范措施，進(jìn)而消除病毒、木馬、惡意軟件等安全威脅。

3 總結(jié)

網(wǎng)絡(luò)信息技術(shù)在各個(gè)領(lǐng)域的廣泛應(yīng)用帶動(dòng)了我國的經(jīng)濟(jì)發(fā)展，但是在長期的使用中也出現(xiàn)了各種威脅網(wǎng)絡(luò)信息安全的因素，尤其公安邊防部門這種威脅的威懾性非常的嚴(yán)重，它影響著國家的經(jīng)濟(jì)發(fā)展以及居民生活的安定，所以一定要找出公安邊防部隊(duì)網(wǎng)絡(luò)信息安全管理面臨的問題，信息傳遞以及網(wǎng)絡(luò)結(jié)構(gòu)缺乏安全管理的問題，網(wǎng)絡(luò)設(shè)備的利用性不高，網(wǎng)絡(luò)體系中出現(xiàn)惡意的程序，網(wǎng)絡(luò)信息操作安全性能低。針對(duì)這些問題，公安邊防部隊(duì)要提升相關(guān)管理人員的綜合化的修養(yǎng)，并注重網(wǎng)絡(luò)信息安全的防范工作，制定合理的網(wǎng)絡(luò)信息控制措施，為公安邊防部隊(duì)的工作人員提供一個(gè)穩(wěn)定的守衛(wèi)環(huán)境以及可靠的信息利用系統(tǒng)。

參考文獻(xiàn)：

[1]任志安、錢士俠，論公安機(jī)關(guān)在群體性治安事件中的法律定位[J].長白學(xué)刊，2011（03）.

[2]郭會(huì)茹、孫靜靜，公安網(wǎng)絡(luò)信息安全及其防范措施的研究[J].赤峰學(xué)院學(xué)報(bào)（自然科學(xué)版），2011（09）.

[3]鐘婧，群體性治安事件處置原則新探究[J].法制與社會(huì)，2010（21） .

[4]蘇偉，論社會(huì)轉(zhuǎn)型期公安工作中的媒體應(yīng)對(duì)[J].吉林公安高等?？茖W(xué)校學(xué)報(bào)，2010（01）.

[5]許發(fā)見，從“維基解密”事件看公安網(wǎng)絡(luò)安全管理重要性[J].信息網(wǎng)絡(luò)安全，2011（02）.

[6]翁楊華，淺談公安信息網(wǎng)絡(luò)安全問題及解決對(duì)策[J].福建電腦，2010（04）.