局域網(wǎng)網(wǎng)絡(luò)安全措施

開篇：寫作不僅是一種記錄，更是一種創(chuàng)造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇局域網(wǎng)網(wǎng)絡(luò)安全措施，希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友，陪伴您不斷探索和進步。

第1篇

關(guān)鍵詞：局域網(wǎng)；安全；體系結(jié)構(gòu)；管理制度

中圖分類號：TP393.08 文獻標識碼：A 文章編號：2095-1302（2016）10-00-03

0 引 言

隨著計算機技術(shù)和信息技術(shù)的進步和發(fā)展，特別是近年來移動互聯(lián)網(wǎng)的迅猛發(fā)展，越來越多的單位、企業(yè)和家庭都建立了屬于自己的局域網(wǎng)。局域網(wǎng)為用戶內(nèi)部信息資源共享提供了方便，在人們的工作和生活中發(fā)揮著不可替代的作用。但由于網(wǎng)絡(luò)本身的開放性和共享性，在網(wǎng)絡(luò)為大家?guī)肀憷耐瑫r，網(wǎng)絡(luò)本身存在的不安全因素也給各企業(yè)單位和家庭帶來了信息泄露的風險，為實現(xiàn)社會穩(wěn)定，保證計算機網(wǎng)絡(luò)安全，人們迫切需要解決目前計算機局域網(wǎng)應(yīng)用中存在的安全問題[1，2]。

1 局域網(wǎng)中主要的安全問題

網(wǎng)絡(luò)安全問題主要由網(wǎng)絡(luò)的開放性和共享性造成。網(wǎng)絡(luò)安全問題的實質(zhì)是對網(wǎng)絡(luò)安全缺陷的潛在利用，這些缺陷可能導(dǎo)致網(wǎng)絡(luò)的非法訪問、信息泄露、資源耗盡、資源被盜或者被破壞等；網(wǎng)絡(luò)安全問題產(chǎn)生的根源在于網(wǎng)絡(luò)協(xié)議的不完整性、網(wǎng)絡(luò)操作系統(tǒng)的漏洞缺陷、應(yīng)用程序漏洞、物理設(shè)備損壞及人為因素等。歸納起來，目前局域網(wǎng)安全問題主要來源于物理設(shè)備的安全威脅、來自互聯(lián)網(wǎng)的安全威脅、來自局域網(wǎng)內(nèi)部用戶的安全威脅這三個方面[3-5]。

1.1 物理設(shè)備的安全威脅

來自物理設(shè)備的安全威脅主要有如下幾項：

（1）自然災(zāi)害或非人為故意造成的軟、硬件故障或沖突以及水災(zāi)火災(zāi)等；

（2）人為操作不當（屬意外事件）導(dǎo)致數(shù)據(jù)信息的錯誤、丟失或其它一些硬件故障等。

1.2 來自互聯(lián)網(wǎng)的安全威脅

一般情況下，局域網(wǎng)都與Internet進行了互聯(lián)。由于Internet的開放性、國際性與自由性，來自Internet的世界各地的黑客都可以通過Internet和一些黑客工具來探測和掃描網(wǎng)絡(luò)上存在的各種安全問題，如操作系統(tǒng)的類型及其它是否為弱口令、服務(wù)器開放的各種易于攻擊的端口號及服務(wù)器應(yīng)用程序是否存在開放權(quán)限或存在弱用戶弱口令等，并采取相應(yīng)的攻擊手段進行攻擊。同時還可以通過協(xié)議分析軟件等手段監(jiān)聽并獲得局域網(wǎng)內(nèi)部用戶的用戶名、口令及一些敏感數(shù)據(jù)等信息，從而假冒內(nèi)部的合法用戶進行非法操作，竊取內(nèi)部網(wǎng)絡(luò)中的重要信息。而這些黑客也能通過控制大量肉機向網(wǎng)絡(luò)中的服務(wù)器發(fā)送大量的數(shù)據(jù)包進行DDoS攻擊，使服務(wù)器不能正常工作而拒絕為正常用戶服務(wù)。

1.3 來自局域網(wǎng)內(nèi)部用戶的安全威脅

內(nèi)部的網(wǎng)絡(luò)管理人員有時為了對外進行宣傳，會不經(jīng)意間把內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu)及系統(tǒng)的一些重要信息（如設(shè)備型號、操作系統(tǒng)的類型等）放在網(wǎng)站上，這就致使網(wǎng)絡(luò)內(nèi)部信息嚴重泄露，網(wǎng)絡(luò)上的不法分子可以利用這些包括網(wǎng)絡(luò)拓撲、網(wǎng)絡(luò)設(shè)備信息及應(yīng)用系統(tǒng)信息等內(nèi)部信息，制定有針對性的入侵策略，從而大大增加被攻破的機率，給內(nèi)部局域網(wǎng)造成巨大的安全隱患。由于內(nèi)部網(wǎng)絡(luò)的大多數(shù)用戶對計算機的操作及網(wǎng)絡(luò)運行不熟悉，不知道哪些軟件是安全的，若下載并使用了帶有病毒或木馬的軟件，那么這些病毒或木馬會收集并泄漏內(nèi)部用戶的重要信息，尤其是用戶名及密碼等重要信息，或是對計算機操作不當，誤刪除了重要數(shù)據(jù)等，這些都將給網(wǎng)絡(luò)造成極大的安全威脅。

2 安全體系結(jié)構(gòu)的設(shè)計

2.1 局域網(wǎng)安全總體設(shè)計思路

局域網(wǎng)安全是一項系統(tǒng)工程，需要充分考慮各層次各方面的安全因素。根據(jù)局域網(wǎng)運行所涉及到的層次，建立一個全方位的、可持續(xù)循環(huán)改進的局域網(wǎng)安全解決方案。以網(wǎng)絡(luò)安全技術(shù)為主導(dǎo)，輔以法律法規(guī)和規(guī)章制度的安全管理，設(shè)計一個包含五個層次（物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全）的局域網(wǎng)安全體系結(jié)構(gòu)，如圖1所示。

2.1.1 物理安全

在局域網(wǎng)安全系統(tǒng)中，物理安全是最基本的安全。如果物理安全得不到保證，那么其它一切安全措施都變得毫無意義。如果網(wǎng)絡(luò)設(shè)備遭到破壞或被人非法接觸，將會給局域網(wǎng)造成毀滅性的破壞，若安裝有數(shù)據(jù)庫的服務(wù)器被非法人員或是自然災(zāi)害損壞，就可能致使數(shù)據(jù)丟失且不可恢復(fù)，這同樣是毀滅性的破壞。因此，要確保局域網(wǎng)有一個安全的物理環(huán)境，就應(yīng)對接觸到的網(wǎng)絡(luò)設(shè)備及系統(tǒng)人員有一套完善的技術(shù)控制手段和規(guī)章制度約束，并且還要充分考慮自然災(zāi)害可能對局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備及線路等造成的威脅并加以規(guī)避。

2.1.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要是整個數(shù)據(jù)傳輸網(wǎng)的安全，包括數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層及傳輸層等的安全。

（1）數(shù)據(jù)鏈路安全主要是保障通信鏈路不被非法竊聽并防止借助鏈路的連接進行各種類型的攻擊。

（2）網(wǎng)絡(luò)層的安全主要包括網(wǎng)絡(luò)訪問控制、各種網(wǎng)絡(luò)協(xié)議本身的缺陷和對這些協(xié)議的攻擊等問題。

（3）傳輸層的安全與鏈路層的安全類型涉及的層次不一樣，但也是關(guān)于數(shù)據(jù)被非法竊聽的問題。

2.1.3 系統(tǒng)安全

系統(tǒng)安全主要是操作系統(tǒng)本身的安全問題，體現(xiàn)在系統(tǒng)是否完整堅固，是否存在漏洞，以避免攻擊者通過系統(tǒng)漏洞實施入侵，主要涉及到以下兩個問題：

（1）病毒和木馬對局域網(wǎng)中系統(tǒng)的威脅。

（2）Internet上的黑客入侵了局域網(wǎng)中的系統(tǒng)后通過該系統(tǒng)對其它局域網(wǎng)設(shè)備和系統(tǒng)進行入侵和破壞。

2.1.4 應(yīng)用安全

應(yīng)用安全主要是應(yīng)用平臺和應(yīng)用程序的安全。主要涉及到以下兩方面問題：

（1）應(yīng)用程序?qū)?shù)據(jù)的合法權(quán)限，即應(yīng)用程序?qū)?shù)據(jù)的訪問是否合法。

（2）應(yīng)用程序?qū)τ脩舻暮戏?quán)限，即用戶是否有合法的權(quán)限訪問該應(yīng)用程序。

2.1.5 數(shù)據(jù)安全

數(shù)據(jù)安全是這些安全中最重要的一項，所有采取的措施都以數(shù)據(jù)安全為目標。保證信息資源的機密性、完整性、真實性、不可抵賴性以及可用性是安全防護的最終目標。

2.1.6 安全管理

安全管理包括國家制訂的法律法規(guī)和單位組織制定的管理和技術(shù)操作規(guī)范，從法律和管理層面對人的行為進行規(guī)范。

2.1.7 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計是為局域網(wǎng)設(shè)計的一個高安全性網(wǎng)絡(luò)結(jié)構(gòu)，涉及各種網(wǎng)絡(luò)安全設(shè)備與技術(shù)的有機結(jié)合、綜合應(yīng)用與部署。

2.2 局域網(wǎng)安全方案設(shè)計

2.2.1 各層次技術(shù)解決方案設(shè)計

局域網(wǎng)工作的每個層次都有相應(yīng)的安全措施，每個層次在大技術(shù)層面上常用的安全措施如圖2所示。

2.2.1.1 物理安全技術(shù)與措施

物理安全最重要的就是選擇地理位置安全的場所建設(shè)網(wǎng)絡(luò)機房，應(yīng)盡量遠離生產(chǎn)或儲存易燃、易爆物品和強電磁場場所的周圍及低洼地帶。對于網(wǎng)絡(luò)設(shè)備應(yīng)配備防電磁泄漏機柜或屏蔽機房等；關(guān)鍵設(shè)備要配備UPS電源；機房要配備空調(diào)以保持機房的恒溫恒濕環(huán)境，并配備消防報警和滅火設(shè)施；建立嚴格的機房準入制度等。如果有更高級別的安全需要，需對機房中的網(wǎng)絡(luò)設(shè)備及線路做遠程的冗余備份。

2.2.1.2 網(wǎng)絡(luò)安全技術(shù)與措施

網(wǎng)絡(luò)安全技術(shù)與措施較多，主要涉及網(wǎng)絡(luò)安全設(shè)備和技術(shù)及安全協(xié)議。常用的有各種防火墻設(shè)備和技術(shù)、入侵檢測設(shè)備和技術(shù)、VPN設(shè)備和技術(shù)以及入侵防御設(shè)備和技術(shù)等。

（1）防火墻是常用的網(wǎng)絡(luò)設(shè)備和技術(shù)，根據(jù)策略控制進出網(wǎng)絡(luò)的數(shù)據(jù)權(quán)限，并可強制檢查所有進出網(wǎng)絡(luò)的各種鏈接，以避免局域網(wǎng)遭受外界入侵和破壞。因此，通過建立防火墻安全策略，可在內(nèi)部網(wǎng)（局域網(wǎng)）和外網(wǎng)（Internet）之間，或者在內(nèi)部網(wǎng)的各部分之間（即不同安全域之間）實施安全防護。

（2）入侵檢測系統(tǒng)（IDS）對那些異常的、可能是入侵行為的數(shù)據(jù)進行檢測和報警，實時監(jiān)測局域網(wǎng)的運行狀況，常與防火墻聯(lián)動運作。常用的安全協(xié)議有PPTP，L2TP，IPSec及SSL協(xié)議等。

除此之外，還有其它訪問控制技術(shù)，常用的有VLAN劃分技術(shù)和訪問列表控制（ACL）技術(shù)等。

2.2.1.3 系統(tǒng)安全技術(shù)與措施

系統(tǒng)安全措施主要為系統(tǒng)安裝防病毒和防木馬軟件以及為系統(tǒng)打補丁，加固系統(tǒng)的安全性，設(shè)置用戶的訪問權(quán)限等級和口令，可對系統(tǒng)的訪問進行訪問權(quán)限控制。安裝分布式的網(wǎng)絡(luò)防病毒軟件，對局域網(wǎng)內(nèi)的服務(wù)器和個人計算機進行有效防護，使局域網(wǎng)上的各個節(jié)點都不受病毒的侵害。同時，應(yīng)盡量實時更新系統(tǒng)補丁和殺毒軟件，確保系統(tǒng)和殺毒軟件處于最新狀態(tài)，并定期更換用戶密碼，使用戶口令被破解的可能性降至最低。

2.2.1.4 應(yīng)用安全技術(shù)與措施

應(yīng)用安全包括應(yīng)用平臺和應(yīng)用程序的安全性。可以通過身份認證來判別用戶使用系統(tǒng)的合法性。身份認證一般通過用戶名和口令來驗證。身份認證可以有效防止數(shù)據(jù)被篡改及非法用戶訪問網(wǎng)絡(luò)資源。同時還能通過審計用戶相關(guān)的活動信息進行記錄、存儲和分析，系統(tǒng)通過分析網(wǎng)絡(luò)信息系統(tǒng)的實際使用狀況來對應(yīng)用服務(wù)器的安全事件進行有效監(jiān)控。

2.2.1.5 數(shù)據(jù)安全技術(shù)與措施

采用數(shù)據(jù)安全技術(shù)與措施的最終目的在于確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。為了確保數(shù)據(jù)的安全性，可以采用多種數(shù)據(jù)備份技術(shù)來確保數(shù)據(jù)的可用性和完整性，如磁盤冗余陣列技術(shù)、雙機容錯技術(shù)及SAN技術(shù)等。同時，為了增強數(shù)據(jù)的保密性，可采用加密技術(shù)對數(shù)據(jù)進行加密，如DES加密算法、IDEA加密算法及RSA加密算法等。

2.2.2 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

一個設(shè)計合理的網(wǎng)絡(luò)拓撲結(jié)構(gòu)可以大大增加局域網(wǎng)的安全性，如圖3所示的網(wǎng)絡(luò)拓撲結(jié)構(gòu)綜合運用了多種安全技術(shù)，對局域網(wǎng)起到了很好的保護作用，大大提高了局域網(wǎng)的安全性。

圖3所示為雙路由單防火墻的拓撲設(shè)計，對外網(wǎng)（Internet）進入局域網(wǎng)內(nèi)部的訪問起到了三層過濾的作用，大大增強了局域網(wǎng)的安全性。對于一些常用的對外服務(wù)，設(shè)置一個DMZ區(qū)域，盡量減少外網(wǎng)用戶對內(nèi)網(wǎng)的訪問，這也是增強局域網(wǎng)安全的一種措施。同時，DMZ為了保證服務(wù)器的安全，使用了入侵檢測系統(tǒng)以提高DMZ區(qū)域的安全性。

2.2.3 安全管理規(guī)范

人是局域網(wǎng)安全中最不穩(wěn)定的因素，也是最主要的因素。因此，規(guī)范人的行為對局域網(wǎng)的安全起到了至關(guān)重要的作用。建立健全的法律法規(guī)對入侵網(wǎng)絡(luò)的不法分子有極大的震懾作用，使之不敢輕易破壞網(wǎng)絡(luò)。同時，對于網(wǎng)絡(luò)的管理也要建立規(guī)范的管理制度，嚴格機房管理。可采取如下措施：

（1）建立完整的計算機運行日志、操作記錄及其它與安全有關(guān)的資料；

（2）機房必須有當班值班人員；

（3）嚴禁易燃易爆和強磁物品及其它與機房工作無關(guān)的物品進入機房，重要技術(shù)資料應(yīng)有副本并異地存放等。

3 結(jié) 語

局域網(wǎng)安全是一項系統(tǒng)工程，涉及到網(wǎng)絡(luò)工作的各個層次，任何一個層次都可以通過安全技術(shù)措施來加強局域網(wǎng)的安全，但任何層次也有可能成為局域網(wǎng)的弱點。因此，在綜合應(yīng)用安全措施的同時應(yīng)全面考慮各層次的特點，采用相應(yīng)的安全技術(shù)措施，建立一個較完善合理的安全機制。同時還要運用技術(shù)之外的管理措施，從制度方面確保局域網(wǎng)的安全。

參考文獻

[1]王坤曉.局域網(wǎng)網(wǎng)絡(luò)安全存在的問題及對策探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，15（1）：109.

[2]張梅馨，崔志云.實驗室局域網(wǎng)的安全及防護[J].實驗技術(shù)與管理，2010，27（2）：86-88.

[3]張志國.計算機局域網(wǎng)網(wǎng)絡(luò)安全問題以及相應(yīng)對策探析[J].科技風，2014（15）：197.

第2篇

關(guān)鍵詞：局域網(wǎng)；交換機；維護管理；網(wǎng)絡(luò)安全

1 概述

局域網(wǎng)是指由一臺或多臺計算機組成的計算機組，在指定區(qū)域內(nèi)具有打印共享、辦公軟件應(yīng)用和文件管理等多種功能。局域網(wǎng)的出現(xiàn)和應(yīng)用提高了企業(yè)的生產(chǎn)效率，節(jié)約了成本支出，有利于企業(yè)經(jīng)濟效益的提升；同時局域網(wǎng)在使用過程中也存在一些問題，如使用者安全意識不高，容易被黑客攻擊或被病毒傳染，給企業(yè)生產(chǎn)和管理帶來極大的損失。鑒于此，加強局域網(wǎng)的維護和管理，確保網(wǎng)絡(luò)的安全性就顯得十分必要。

2 局域網(wǎng)的維護和管理

2.1 局域網(wǎng)的維護 局域網(wǎng)維護的主要目的是確保網(wǎng)絡(luò)的穩(wěn)定，避免網(wǎng)絡(luò)故障的發(fā)生，維護工作涉及的主要內(nèi)容有交換機和網(wǎng)絡(luò)鏈路的保護和性能維護，這是整個維護工作的核心內(nèi)容。首先，交換機是局域網(wǎng)的核心，因此也是局域網(wǎng)維護的關(guān)鍵設(shè)備。核心層交換機和匯聚層交換機在局域網(wǎng)中起路由轉(zhuǎn)發(fā)、數(shù)據(jù)交換和網(wǎng)關(guān)的重要作用，因此，交換機的管理工作十分重要，要有專門的網(wǎng)絡(luò)管理人員對交換機進行管理和維護，交換機命令配置好之后要進行數(shù)據(jù)備份，在交換機故障時能夠快速地恢復(fù)數(shù)據(jù)，保證網(wǎng)絡(luò)運行。網(wǎng)管人員對交換機要設(shè)置用戶名和密碼，不允許其他人員對交換機隨意操作。其次，是網(wǎng)絡(luò)鏈路的維護，網(wǎng)絡(luò)鏈路的暢通是網(wǎng)絡(luò)安全平穩(wěn)運行的基礎(chǔ)，網(wǎng)管人員應(yīng)按時對網(wǎng)絡(luò)鏈路進行巡檢。最后，局域網(wǎng)的系統(tǒng)維護應(yīng)通過軟件和硬件兩方面進行。軟件維護是指使用功能強大的信息管理和安全管理軟件，通過專業(yè)的軟件掃描及時查找和排除局域網(wǎng)中軟件或者硬件中的安全隱患，并根據(jù)提示采取合適的解決方案；硬件維護主要是對傳統(tǒng)的傳輸媒介進行改進升級，采用光纖傳輸數(shù)據(jù)，提高信息傳輸質(zhì)量和傳輸效率。

2.2 局域網(wǎng)的管理 局域網(wǎng)的功能能夠正常發(fā)揮主要依靠管理，按照管理內(nèi)容的不同，可將局域網(wǎng)管理分為人員管理和局域網(wǎng)管理兩個方面。人員管理主要是對使用局域網(wǎng)的人員進行管控，要求局域網(wǎng)使用人員不得破壞局域網(wǎng)內(nèi)的計算機硬件及配套軟件，確保硬件和軟件功能的正常性；網(wǎng)絡(luò)管理主要是對局域網(wǎng)結(jié)構(gòu)選擇、功能擴展、網(wǎng)絡(luò)所處環(huán)境的優(yōu)化等內(nèi)容進行管理。局域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)主要是由規(guī)劃功能決定的，企業(yè)可根據(jù)自身需求選擇不同的網(wǎng)絡(luò)拓撲結(jié)構(gòu)；局域網(wǎng)功能會隨著企業(yè)的發(fā)展顯現(xiàn)出一定的不適應(yīng)性，在對功能進行擴展時，應(yīng)對實際需求、經(jīng)濟效益、實現(xiàn)方法等內(nèi)容進行綜合考慮，確保企業(yè)能使用最低的經(jīng)濟投入，獲得最全面的網(wǎng)絡(luò)功能；對局域網(wǎng)所處環(huán)境進行改進時，要考慮網(wǎng)絡(luò)使用人員的技術(shù)水平與局域網(wǎng)性能之間的匹配性，確保網(wǎng)絡(luò)資源得到充分利用。

3 局域網(wǎng)安全

3.1 物理安全措施 物理安全措施是指通過局域網(wǎng)硬件安全保護，提高局域網(wǎng)的安全性。第一，企業(yè)可制定一系列局域網(wǎng)安全防護措施，加強對局域網(wǎng)內(nèi)網(wǎng)絡(luò)設(shè)備的保護，避免設(shè)備受到外界因素的破壞。以交換機的保護為例，企業(yè)可設(shè)置使用權(quán)限，減少無權(quán)限人員使用交換機。第二，提高局域網(wǎng)使用人員的管理，通過制定完善的工作制度，杜絕外來人員使用局域網(wǎng)，禁止外來人員利用局域網(wǎng)安裝非法軟件，拆卸硬件，影響局域網(wǎng)的正常使用。第三，提高局域網(wǎng)使用人員的安全防范意識。企業(yè)應(yīng)組織員工參與專業(yè)的網(wǎng)絡(luò)安全培訓(xùn)，使員工意識到網(wǎng)絡(luò)攻擊的危害，提高員工的網(wǎng)絡(luò)安全防范技巧，做好企業(yè)內(nèi)部局域網(wǎng)安全防范工作。

3.2 加強訪問控制 防止局域網(wǎng)被惡意攻擊、病毒感染的主要手段是加強訪問控制。第一，做好局域網(wǎng)入網(wǎng)訪問控制工作。入網(wǎng)訪問應(yīng)輸入正確的用戶名和密碼，只有二者同時正確時才能進入局域網(wǎng)，獲取自己所需資源，若用戶名或密碼不符，則被拒絕訪問，這樣就能有效避免非法人員訪問。第二，給用戶設(shè)置不同的訪問權(quán)限。用戶登錄到局域網(wǎng)服務(wù)器后，只能對其所擁有權(quán)限內(nèi)的資源進行查閱或使用，無法獲取或使用權(quán)限外的信息資源。將資源按照其重要程度進行等級劃分，使具有查閱權(quán)限的人員可方便使用，同時避免權(quán)限外人員的非法攻擊，保護了信息資源的安全。第三，加強網(wǎng)絡(luò)監(jiān)測。局域網(wǎng)網(wǎng)絡(luò)管理人員應(yīng)利用先進的技術(shù)對網(wǎng)絡(luò)用戶形成全程監(jiān)測，對用戶的訪問記錄進行登記，一旦發(fā)現(xiàn)用戶對局域網(wǎng)網(wǎng)絡(luò)進行攻擊或其他不法行為，就應(yīng)立即采取措施，限制用戶的進一步訪問。第四，加強硬件安全保護工作。企業(yè)可將信息資源進行劃分，根據(jù)不同的保密等級設(shè)置不同的安全防護措施，目前常用的安全防護措施可從數(shù)據(jù)庫層面、應(yīng)用層以及網(wǎng)絡(luò)層設(shè)置防火墻，為企業(yè)重要的信息資源構(gòu)建有效的安全防護保障體系。數(shù)據(jù)庫防火墻主要是對訪問進行控制，一旦發(fā)現(xiàn)能對數(shù)據(jù)庫構(gòu)成威脅的行為時，發(fā)出阻斷指令，另外該技術(shù)還具有對用戶行為進行自動審計的功能，能快速有效地判斷用戶行為是否會對數(shù)據(jù)庫信息構(gòu)成破壞；應(yīng)用層防火墻可以實現(xiàn)對程序所有包的攔截，對防止木馬、蠕蟲病毒的屏蔽效果較好；網(wǎng)絡(luò)層防火墻是以TCP/IP協(xié)議為基礎(chǔ)，根據(jù)協(xié)議規(guī)定對訪問行為進行是否被允許的判斷；協(xié)議規(guī)則主要由管理員設(shè)定，并且規(guī)則內(nèi)容可執(zhí)行修訂、刪除和增加操作。

3.3 加強安全管理 網(wǎng)絡(luò)病毒的危害是巨大的，為避免病毒給局域網(wǎng)造成破壞性損害，管理員可通過以下措施加強網(wǎng)絡(luò)病毒的防范工作。第一，局域網(wǎng)內(nèi)用戶不可擅自下載、安裝可以軟件，不接受不明郵件，切斷隱藏在某文件或某程序中病毒的入口。第二，用戶在使用U盤時，應(yīng)先對其進行病毒掃描，確保無誤后方可插入使用。第三，安裝病毒查殺軟件，并對安裝的軟件進行及時的更新，為病毒的查殺提供技術(shù)保障。第四，安裝入侵檢測系統(tǒng)，利用該系統(tǒng)對網(wǎng)絡(luò)信息資源的傳輸情況進行檢測，一旦發(fā)現(xiàn)可疑文件立即執(zhí)行中斷命令，并發(fā)出警報，保護局域網(wǎng)的安全。

4 結(jié)語

局域網(wǎng)在很多企業(yè)的生產(chǎn)和管理中得到廣泛應(yīng)用，很大程度上提高了企業(yè)的信息化管理水平，為保障企業(yè)生產(chǎn)和管理工作的正常進行，應(yīng)對局域網(wǎng)進行全方位的安全保護，確保網(wǎng)絡(luò)的穩(wěn)定性和安全性，防止不法分子或網(wǎng)絡(luò)病毒的入侵，給企業(yè)帶來不必要的經(jīng)濟損失。

參考文獻：

[1]胡石林.論計算機局域網(wǎng)的維護管理與網(wǎng)絡(luò)安全[J].科技資訊，2011.

[2]馬一楠.淺析計算機局域網(wǎng)的安全保密與管理措施[J].價值工程，2010.

第3篇

關(guān)鍵詞：局域網(wǎng)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)體系結(jié)構(gòu)

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2007)16-30985-02

Shallowly Discusses the Unit Local Area Network Security Sometentative Plans

GONG Lan,WEI Liang-xiu

(SichuanZigong meteorological bureau,Zigong 643000,China)

Abstract:Develops the unceasing application along with the computer network atthe meteorological enterprise, the computer has become themeteorological system processing data and the supervisory workimportant constituent. This article will act according to this unitexisting local area network, will carry on the analysis to itssecurity, and will propose this unit local area network networksecurity solution.

Key words:LAN;network security;Network Architecture

1 引言

Internet的廣泛使用為氣象事業(yè)的發(fā)展帶來了前所未有的高效和快捷，但諸如病毒侵襲、黑客入侵、拒絕服務(wù)、密碼破解、網(wǎng)絡(luò)竊聽、數(shù)據(jù)篡改、垃圾郵件和惡意掃描等大量的非法操作或信息堵塞合法的網(wǎng)絡(luò)通信，導(dǎo)致網(wǎng)絡(luò)崩潰而無法進行辦公乃至威脅到辦公信息的安全，因此必須系統(tǒng)地規(guī)劃和部署本單位的網(wǎng)絡(luò)。本文以單位局域網(wǎng)為例，設(shè)計單位局域網(wǎng)的安全解決方案，該方案的目標是在不影響本單位局域網(wǎng)當前業(yè)務(wù)的前提下，實現(xiàn)對局域網(wǎng)全面的安全管理。

2 單位網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

目前本單位局域網(wǎng)采用的是總線型結(jié)構(gòu)，這種網(wǎng)絡(luò)拓撲結(jié)構(gòu)雖然比較簡單，但是局域網(wǎng)絡(luò)內(nèi)的各工作站和服務(wù)器均掛在一條總線上，各工作站地位平等，無中心節(jié)點控制，因此存在以下問題：

(1)維護難，分支節(jié)點故障查找難；

(2)采用資源共享的訪問機制，經(jīng)常造成網(wǎng)絡(luò)擁塞；

(3)如果總線一斷，則整個網(wǎng)絡(luò)就斷了；

(4)這種網(wǎng)絡(luò)因為各節(jié)點是共用總線帶寬的，所以在傳輸速度上會隨著接入網(wǎng)絡(luò)的用戶的增多而下降；

(5)由于防毒性差等諸多原因，造成了辦公網(wǎng)絡(luò)常為“病毒多發(fā)區(qū)”的現(xiàn)狀。

3 網(wǎng)絡(luò)系統(tǒng)安全要解決的問題

(1)局域網(wǎng)的主服務(wù)器作為信息平臺，它的地位是至關(guān)重要的。所以應(yīng)該將它與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進行隔離。要采取相應(yīng)的安全措施杜絕安全隱患，公開服務(wù)器的安全保護、防止黑客從外部攻擊、入侵檢測與監(jiān)控、病毒防護、數(shù)據(jù)安全保護、數(shù)據(jù)備份與恢復(fù)、網(wǎng)絡(luò)的安全管理等。

(2)在用戶管理方面要把用戶分成不同的用戶組，不同的用戶組擁有不同的權(quán)限級別，以控制可訪問的資源范圍及對資源的存取方式、可訪問的網(wǎng)絡(luò)區(qū)域等，同時應(yīng)考慮到用戶狀態(tài)的動態(tài)性，做到及時更新用戶狀態(tài)及保持各子系統(tǒng)間用戶狀態(tài)的一致性。可將信息資源分成不同組，針對各組資源的特性制定其相應(yīng)的服務(wù)方式、導(dǎo)航與協(xié)調(diào)方式、供各類用戶的存取方式、加密與保護方式等。

(3)要進行網(wǎng)絡(luò)分段，這樣就能將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達到限制用戶非法訪問的目的。

3.1防火墻[1]技術(shù)

防火墻技術(shù)也是針對非法用戶入侵內(nèi)部局域網(wǎng)絡(luò)、對網(wǎng)絡(luò)造成破壞的防御性技術(shù)。它應(yīng)當具有以下幾種功能：

(1) 限制他人進入氣象內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶；

(2)限定無關(guān)用戶訪問特殊的資源；

(3)對發(fā)送和接收的數(shù)據(jù)進行甄別，過濾外方利用特殊手段搭載在數(shù)據(jù)里的病毒或其他非法的信息；

(4)為監(jiān)視整個氣象網(wǎng)絡(luò)的安全提供便利的條件；

(5)實施監(jiān)控氣象內(nèi)部局域網(wǎng)的通信數(shù)據(jù)，嚴防病毒等破壞性數(shù)據(jù)的流通。

3.2防病毒技術(shù)

由于在網(wǎng)絡(luò)環(huán)境下，計算機病毒有不可估量的威脅性和破壞力，計算機病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁地掃描和監(jiān)測、在工作站上用防病毒軟件對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。

3.3加密技術(shù)

與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)，是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破譯所采用的主要技術(shù)手段之一。現(xiàn)在的網(wǎng)絡(luò)用戶大幅度增加，在這些人當中，不乏有網(wǎng)絡(luò)的破壞者或不懷好意的人即所謂的黑客。他們常常會潛進系統(tǒng)，做違規(guī)的操作如篡改消息，盜取數(shù)據(jù)等。所以要對系統(tǒng)內(nèi)的信息進行加密，在信息的傳輸過程防止被篡改或盜取。

3.4易操作性

安全措施需要人為去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。

4 網(wǎng)絡(luò)安全設(shè)計方案

(1)根據(jù)以上對網(wǎng)絡(luò)安全的全面分析了解，按照安全策略的要求，以及對整個網(wǎng)絡(luò)的安全目標，設(shè)計了一個適合氣象部門網(wǎng)絡(luò)特點的安全系統(tǒng)體系。它由物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全、應(yīng)用安全和安全管理等方面組成，見圖1。

(2)考慮設(shè)計本單位的計算機網(wǎng)絡(luò)結(jié)構(gòu)為：總線+星型的混合結(jié)構(gòu)，這樣的拓撲結(jié)構(gòu)更能滿足現(xiàn)有網(wǎng)絡(luò)的拓展和安全維護，見圖2：兩臺IBM專用服務(wù)器,一臺作為主服務(wù)器及一臺作為備份服務(wù)器,由中心交換機連接，一旦主服務(wù)器受到攻擊崩潰，迅速由備份服務(wù)器接入，保證系統(tǒng)網(wǎng)絡(luò)的正常運行。中心交換機支持VLAN，中心交換機通過VPN路由器接入省局局域網(wǎng)，中心交換機通過寬帶路由器接入Internet，各個科室自己組建各自虛擬局域網(wǎng)（VLAN）分別接入二級交換機。二級交換機再和中心交換機連接。每個虛擬局域網(wǎng)用戶擁有不同的管理權(quán)限和訪問權(quán)限，各工作組的用戶既獨立又互相進行數(shù)據(jù)交換，此外局域網(wǎng)可以為用戶提供的功能包括：辦公自動化、電子郵件服務(wù)、文件的管理、對外建立企業(yè)門戶網(wǎng)站等。

圖1 安全體系結(jié)構(gòu)

圖2 單位局域網(wǎng)拓撲結(jié)構(gòu)設(shè)計圖

4.1實現(xiàn)網(wǎng)絡(luò)中內(nèi)網(wǎng)訪問控制[2]

目前，氣象網(wǎng)絡(luò)的局域網(wǎng)大多采用以交換機為中心、路由器為邊界的網(wǎng)絡(luò)格局，應(yīng)重點設(shè)置中心交換機的訪問控制功能和三層交換功能，綜合應(yīng)用物理分段與邏輯分段兩種方法來實現(xiàn)對氣象局域網(wǎng)的安全控制。

局域網(wǎng)的訪問控制技術(shù)的安全部署，可以有效的防御來自于內(nèi)部破壞分子的攻擊和數(shù)據(jù)篡改等威脅。采用訪問控制技術(shù)，建立安全合理的訪問列表，可以通過對數(shù)據(jù)通訊的源地址、目的地址以及應(yīng)用類型的分類，控制流入網(wǎng)絡(luò)的數(shù)據(jù)流，保證內(nèi)、外網(wǎng)用戶訪問的安全性。虛擬局域網(wǎng)(VLAN)可以不考慮用戶的地理位置，根據(jù)功能、應(yīng)用等因素將網(wǎng)絡(luò)從邏輯上劃分為一個個功能相對獨立的工作組。如果附加上VLAN間的訪問控制技術(shù)可以使一個個功能相對獨立的工作組變成不同的安全區(qū)，互不影響，一個工作組里出現(xiàn)病毒、掉線等問題，不會影響整個局域網(wǎng)絡(luò)的運行。使核心主服務(wù)器和重要部門（如氣象臺、財務(wù)科）的安全得到充分的保障。

4.2構(gòu)建局域網(wǎng)安全監(jiān)控中心

為了確保局域網(wǎng)的正常運行，及時發(fā)現(xiàn)和處理網(wǎng)絡(luò)異常事件，需要在局域網(wǎng)中構(gòu)建局域網(wǎng)安全監(jiān)控中心。它的主要任務(wù)是針對網(wǎng)絡(luò)資源、網(wǎng)絡(luò)性能和密鑰進行管理，對網(wǎng)絡(luò)進行監(jiān)視和訪問控制。這個監(jiān)控中心可以在主服務(wù)器上通過安裝網(wǎng)絡(luò)版殺毒軟件來實現(xiàn)，主要負責網(wǎng)內(nèi)所有工作站的可視化管理和控制，及時發(fā)現(xiàn)并處理網(wǎng)絡(luò)攻擊和異常行為。

4.3信息傳輸?shù)陌踩胧?/p>

數(shù)據(jù)信息的安全是整個系統(tǒng)正常運行的保障，因此把數(shù)據(jù)信息的安全放到首要的位置來進行保護，由于網(wǎng)絡(luò)的開放型和TCP/IP的不安全性，不法人員完全有可能通過一些技術(shù)手段竊取，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成信息泄漏或者做一些修改來破壞數(shù)據(jù)的完整性，對網(wǎng)絡(luò)信息的傳輸構(gòu)成威脅。VPN技術(shù)也被稱為網(wǎng)絡(luò)加密機，己經(jīng)被證明是一種成熟的網(wǎng)絡(luò)安全互聯(lián)技術(shù)，可以有效地保證信息傳輸?shù)陌踩＿@個技術(shù)已經(jīng)運用到市局和省局，市局和縣局的數(shù)據(jù)信息傳送上，取得很好的效果。如果再綜合利用防火墻的訪問控制技術(shù)、VPN的隧道技術(shù)、完整性保護和加密技術(shù)，不僅可以實現(xiàn)虛擬專網(wǎng)內(nèi)的信息安全傳輸，同時可以在專網(wǎng)上進行更為嚴格的訪問控制，從而構(gòu)建起基于VPN的網(wǎng)絡(luò)安全通信平臺，實現(xiàn)完整的網(wǎng)絡(luò)通信平臺安全解決方案。

4.4安全的管理制度

安全的管理制度是氣象網(wǎng)絡(luò)安全問題得以實現(xiàn)的重要保證，也是防止內(nèi)部攻擊最有效的方法，我認為應(yīng)該包含以下內(nèi)容:

(1)建立嚴格的安全監(jiān)督機制，網(wǎng)絡(luò)管理員和操作員都要受到監(jiān)督和制約；

(2)根據(jù)數(shù)據(jù)的安全性要求對用戶權(quán)限進行嚴格劃分，用戶的操作應(yīng)有詳細的操作明細記錄；定期檢查安全報警信息, 監(jiān)視網(wǎng)絡(luò)運行狀態(tài)；

(3)完善日志記錄，安全策略的建立或修改、設(shè)備或系統(tǒng)配置文件建立或修改必須記錄文檔并保存，完整的數(shù)據(jù)備份制度；

(4)提高氣象員工的業(yè)務(wù)素質(zhì)，增強防范意識和防攻擊的能力；加強氣象員工的思想道德教育，從根源上杜絕內(nèi)部攻擊行為。

5 小結(jié)

造成網(wǎng)絡(luò)不安全的因素很多，歸結(jié)不外乎管理和技術(shù)兩個方面上的問題。我們要做到管理上的標準化，同時讓管理安全策略強化到系統(tǒng)之中，尋求相應(yīng)的技術(shù)支持，由計算機幫助去強制執(zhí)行。

參考文獻：

[1]楊永增.談防火墻技術(shù)的發(fā)展趨勢[J].電腦學習,2007(2),15-16.

第4篇

關(guān)鍵詞：局域網(wǎng)安全防止策略

一、引言

隨著信息化的不斷擴展,各類網(wǎng)絡(luò)版應(yīng)用軟件推廣應(yīng)用,計算機網(wǎng)絡(luò)在提高數(shù)據(jù)傳輸效率,實現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用,網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)已逐步成為各項工作的重要基礎(chǔ)設(shè)施。為了確保各項工作的安全高效運行,計算機網(wǎng)絡(luò)和系統(tǒng)的安全與管理工作就顯得尤為重要。

二、局域網(wǎng)安全的威脅分析

局域網(wǎng)主機間大多以局域網(wǎng)的方式進行互連，這些主機形成以物理互連，邏輯隔離的方式共存，但為實現(xiàn)主機間的資料共享及數(shù)據(jù)通信需求，又不得讓其之間建立各種互信關(guān)系，因此某臺主機的有意或無意的誤操作都會對整網(wǎng)主機的安全性造成威脅。局域網(wǎng)安全威脅主要分為以下幾類：

（一）缺乏有效身份認證機制

內(nèi)部主機使用者缺乏特定的身份識別機制，只需一根網(wǎng)線或者在局域網(wǎng)AP信號覆蓋的范圍之內(nèi)，即可連入內(nèi)部網(wǎng)絡(luò)獲取機密文件資料。局域網(wǎng)猶如一座空門大宅，任何人都可以隨意進入。

（二）缺乏訪問權(quán)限控制機制

企業(yè)或政府單位網(wǎng)絡(luò)大體上可以分為兩大區(qū)域：其一是辦公或生產(chǎn)區(qū)域，其二是服務(wù)資源共享區(qū)域，目前上述兩大邏輯網(wǎng)絡(luò)物理上共存，并且尚未做明確的邏輯上的隔離。辦公區(qū)域的人員可隨意對服務(wù)資源共享區(qū)域的資源進行訪問，另外需要的注意的是，來賓用戶在默認情況下，只要其接入內(nèi)部網(wǎng)絡(luò)并開通其網(wǎng)絡(luò)訪問權(quán)限，相應(yīng)的內(nèi)部服務(wù)資源的訪問權(quán)限也將一并開通，局域網(wǎng)機密文件資源此時將暴露于外部。

（三）局域網(wǎng)主機漏洞

現(xiàn)有企業(yè)中大多采用微軟系列的產(chǎn)品，而微軟系列產(chǎn)品的特點就是補丁特別多，包括IE補丁、office辦公軟件、以及操作系統(tǒng)等。如果這些補丁不及時打上的話，一旦被黑客所利用，將會作為進一步攻擊局域網(wǎng)其他主機的跳板，引發(fā)更大的局域網(wǎng)安全事故，如近年來爆發(fā)的各種蠕蟲病毒大都是利用這種攻擊方式。

三、局域網(wǎng)安全策略控制與管理

（一）網(wǎng)絡(luò)系統(tǒng)的安全控制

為保護網(wǎng)絡(luò)的安全,必須對訪問系統(tǒng)及其數(shù)據(jù)的人進行識別,并檢查其合法身份,對進入網(wǎng)絡(luò)系統(tǒng)進行控制。訪問控制首先要把用戶和數(shù)據(jù)進行分類,然后根據(jù)需要把二者匹配起來,把數(shù)據(jù)的不同訪問權(quán)限授予用戶,只有被授權(quán)的用戶才能訪問相應(yīng)的數(shù)據(jù)。通過用戶識別和驗證、用戶口令識別和驗證以及用戶賬號的默認限制檢查進入系統(tǒng),選擇性訪問控制是基于主體或者主體所在組的身份,這種訪問控制是可選擇性的,如果一個主體具有某種訪問權(quán),則它可以直接或簡接地把這種控制權(quán)傳遞給別的主體。選擇性訪問控制被內(nèi)置于許多操作系統(tǒng)當中,是任何安全措施的重要組成部分。文件擁有著可以授予一個用戶或一組用戶訪問權(quán)。

（二）網(wǎng)絡(luò)互連設(shè)備的安全管理

網(wǎng)絡(luò)中的互連設(shè)備包括集線器、交換機、路由器等設(shè)備,這些設(shè)備在網(wǎng)絡(luò)中起著非常重要的鏈接作用,因此,這些設(shè)備的安全性更是關(guān)系到整個網(wǎng)絡(luò)的關(guān)鍵命脈。實際中,一定對網(wǎng)絡(luò)中這些設(shè)備的登錄有嚴格的控制管理,登錄方式只能掌握在網(wǎng)絡(luò)的管理人員手中,網(wǎng)絡(luò)的管理人言要正確配置設(shè)備的參數(shù),運行過程中,能夠順利連接局域網(wǎng)中的各個環(huán)節(jié),使整個網(wǎng)絡(luò)運行順暢。

四、病毒防治策略

防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的,主要從以下幾個方面制定有針對性的防病毒策略:

（一）提高安全意識和安全知識,對工作人員定期培訓(xùn)

如果技術(shù)人員對網(wǎng)絡(luò)安全產(chǎn)品一只半解,就不能正確配置,甚至根本配置錯誤,不但安全得不到保護,而且還帶來虛假的安全,因此,在網(wǎng)絡(luò)中,首先對技術(shù)人員進行專業(yè)的培訓(xùn)。只有真正掌握安全管理各方面的知識,才能使整套的安全策略得到充分的執(zhí)行和實施。

（二）小心使用移動存儲設(shè)備

日常工作過程中,數(shù)據(jù)的傳輸、備份,難免使用移動存儲設(shè)備,那么,在局域網(wǎng)中使用這些設(shè)備時,注意的問題有:使用是保證存儲設(shè)備的安全性,在使用移動存儲設(shè)備時,要做到不把病毒帶到網(wǎng)絡(luò)中,以防發(fā)生網(wǎng)絡(luò)故障,同時,也注意網(wǎng)絡(luò)中某臺計算機上的病毒感染移動存儲設(shè)備,防止數(shù)據(jù)的丟失。

（三）挑選網(wǎng)絡(luò)版殺毒軟件

我們在選擇殺毒軟件時需要注意到以下幾個方面:首先,殺毒軟件對客戶端設(shè)備的要求不是很高,能夠保證網(wǎng)絡(luò)中層次不齊的客戶端都能安裝該軟件,并且運行起來順暢。其次,殺毒軟件病毒庫升級比較方便,在出現(xiàn)新的病毒時,病毒庫能夠第一時間更新,確保客戶端不被侵犯。最后,殺毒軟件使用比較靈活,網(wǎng)絡(luò)中的客戶端都安裝殺毒軟件,但如果依靠人為手動進行查殺,運行起來比較麻煩,選擇殺毒軟件,一定能夠設(shè)置某時間點進行自動查殺。

五、信息化安全管理制度

局域網(wǎng)網(wǎng)絡(luò)的安全管理制度是網(wǎng)絡(luò)的安全運行的保障,在制定安全管理制度中,最重要的是關(guān)于網(wǎng)絡(luò)各種文檔的制定。其中有網(wǎng)絡(luò)建設(shè)方案文檔、機房管理制度文檔、各類人員職責分工、安全保密文檔、網(wǎng)絡(luò)安全方案、安全策略文檔、口令管理制度、安全防護記錄、應(yīng)急響應(yīng)方案等等制度。實際中,通過以上各種文檔,在網(wǎng)絡(luò)運行過程中,隨時可以用到,只有健全的管理制度,才能確保更快地處理遇到的各類問題。

六、結(jié)語

要想保證計算機局域網(wǎng)的安全，在做好邊界防護的同時，更要做好內(nèi)部網(wǎng)絡(luò)的管理。所以，目前在安全業(yè)界，安全重在管理的觀念已被廣泛接受。沒有好的管理思想，嚴格的管理制度，負責的管理人員和實施到位的管理程序，就沒有真正的安全。在有了“法治”的同時，還要有“人治”，即經(jīng)驗豐富的安全管理人員和先進的網(wǎng)絡(luò)安全工具，有了這兩方面的治理，才能得到一個真正安全的網(wǎng)絡(luò)。

參考文獻：

第5篇

關(guān)鍵詞：局域網(wǎng)；網(wǎng)絡(luò)安全；防治策略

Abstract: With the expansion of information, promotion and application of Internet application software, computer network to improve the efficiency of data transmission, is playing an increasingly important role to realize data integrity, data sharing aspects, the construction of network and information system has gradually become an important infrastructure of the work. In order to ensure the safe and efficient operation of the work, work safety and management of computer systems and network is particularly important. This paper first analyses the security threat, secondly analyzes the control and management of network security strategy.

Key words: LAN; network security; prevention strategy

中圖分類號：TP393.1

一、局域網(wǎng)安全的威脅分析

局域網(wǎng)是指在小范圍內(nèi)由服務(wù)器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。由于通過交換機和服務(wù)器連接網(wǎng)內(nèi)每一臺電腦,因此局域網(wǎng)內(nèi)信息的傳輸速率比較高,同時局域網(wǎng)采用的技術(shù)比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。一般的情況下,局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類:

1.核心設(shè)備自身的安全威脅

軟交換網(wǎng)絡(luò)采用呼叫與承載控制相分離的技術(shù),網(wǎng)絡(luò)設(shè)備的處理能力有了很大的提高。可以處理更多的話務(wù)和承載更多的業(yè)務(wù)負荷,但隨之而來是安全問題。對于采用板卡方式設(shè)計的網(wǎng)絡(luò)設(shè)備,一塊單板在正常情況下能夠承載更多的話務(wù)和負荷,那么在發(fā)生故障時就有可能造成更大范圍的業(yè)務(wù)中斷。

目前,軟交換設(shè)備安全完全依賴廠商的軟硬件的安全設(shè)計,主要通過主備、1+1、N+1備份和自動倒換以及軟硬件模塊化設(shè)計等方式實現(xiàn)故障情況下的切換和隔離。但備份和倒換的可靠性無法保障:關(guān)鍵設(shè)備的倒換(特別是一些關(guān)鍵接口板)一般會影響業(yè)務(wù)或者設(shè)備運行,倒換的成功率目前無法保障,可能在緊急情況下無法順利進行倒換。

2.網(wǎng)絡(luò)層面的安全威脅

雖然單個或者區(qū)域核心節(jié)點的安全可以通過負荷分擔或者備份來保證,但是從網(wǎng)絡(luò)層面來看仍然存在安全隱患。在現(xiàn)有的軟交換網(wǎng)絡(luò)中,各種平臺類設(shè)備很多,而且往往都是以單點的形式存在,這些節(jié)點一旦失效,將嚴重影響網(wǎng)絡(luò)業(yè)務(wù)。目前網(wǎng)絡(luò)層面的威脅主要是重要業(yè)務(wù)節(jié)點癱瘓造成的業(yè)務(wù)中斷、擁塞和溢出,其中SHLR、通用號碼轉(zhuǎn)換(一號通平臺)等關(guān)鍵平臺的影響最大。因此,應(yīng)該重視突發(fā)話務(wù)沖擊導(dǎo)致話務(wù)資源耗盡等現(xiàn)象。

3.承載網(wǎng)的安全威脅

軟交換系統(tǒng)的承載網(wǎng)絡(luò)采用的是IP分組網(wǎng)絡(luò),通信協(xié)議和媒體信息主要以IP數(shù)據(jù)包的形式進行傳送。承載網(wǎng)面臨的安全威脅主要有網(wǎng)絡(luò)風暴、病毒(蠕蟲病毒)泛濫和黑客攻擊。黑客攻擊網(wǎng)絡(luò)中的關(guān)鍵設(shè)備,篡改其路由和用戶等數(shù)據(jù),導(dǎo)致路由異常,網(wǎng)絡(luò)無法訪問等。從實際運行情況來看,承載網(wǎng)對軟交換網(wǎng)絡(luò)的影響目前是最大的,主要是IP網(wǎng)絡(luò)質(zhì)量不穩(wěn)定引起的。

4.接入網(wǎng)的安全威脅

軟交換網(wǎng)絡(luò)提供了靈活、多樣的網(wǎng)絡(luò)接入手段,任何可以接入IP網(wǎng)絡(luò)的地點均可以接入終端。這種特性在為用戶提供方便的同時帶來了安全隱患,一些用戶利用非法終端或設(shè)備訪問網(wǎng)絡(luò),占用網(wǎng)絡(luò)資源,非法使用業(yè)務(wù)和服務(wù),甚至向網(wǎng)絡(luò)發(fā)起攻擊。另外,接入與地點的無關(guān)性,使得安全事件發(fā)生后很難定位發(fā)起安全攻擊的確切地點,無法追查責任人。

正是由于局域網(wǎng)內(nèi)在應(yīng)用上存在這些獨特的特點,造成局域網(wǎng)內(nèi)的病毒快速傳遞,數(shù)據(jù)安全性低,網(wǎng)內(nèi)電腦相互感染,病毒屢殺不盡,數(shù)據(jù)經(jīng)常丟失。根據(jù)這些存在的安全隱患,在局域網(wǎng)中采取如何策略進行防范呢？

二、局域網(wǎng)安全策略控制與管理

（1）網(wǎng)絡(luò)系統(tǒng)的安全控制

為保護網(wǎng)絡(luò)的安全,必須對訪問系統(tǒng)及其數(shù)據(jù)的人進行識別,并檢查其合法身份,對進入網(wǎng)絡(luò)系統(tǒng)進行控制。訪問控制首先要把用戶和數(shù)據(jù)進行分類,然后根據(jù)需要把二者匹配起來,把數(shù)據(jù)的不同訪問權(quán)限授予用戶,只有被授權(quán)的用戶才能訪問相應(yīng)的數(shù)據(jù)。通過用戶識別和驗證、用戶口令識別和驗證以及用戶賬號的默認限制檢查進入系統(tǒng),選擇性訪問控制是基于主體或者主體所在組的身份,這種訪問控制是可選擇性的,如果一個主體具有某種訪問權(quán),則它可以直接或簡接地把這種控制權(quán)傳遞給別的主體。選擇性訪問控制被內(nèi)置于許多操作系統(tǒng)當中,是任何安全措施的重要組成部分。文件擁有著可以授予一個用戶或一組用戶訪問權(quán)。

（2）網(wǎng)絡(luò)互連設(shè)備的安全管理

網(wǎng)絡(luò)中的互連設(shè)備包括集線器、交換機、路由器等設(shè)備,這些設(shè)備在網(wǎng)絡(luò)中起著非常重要的鏈接作用,因此,這些設(shè)備的安全性更是關(guān)系到整個網(wǎng)絡(luò)的關(guān)鍵命脈。實際中,一定對網(wǎng)絡(luò)中這些設(shè)備的登錄有嚴格的控制管理,登錄方式只能掌握在網(wǎng)絡(luò)的管理人員手中,網(wǎng)絡(luò)的管理人言要正確配置設(shè)備的參數(shù),運行過程中,能夠順利連接局域網(wǎng)中的各個環(huán)節(jié),使整個網(wǎng)絡(luò)運行順暢。

三、病毒防治策略

防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的,主要從以下幾個方面制定有針對性的防病毒策略:

(1)增加安全意識和安全知識,對工作人員定期培訓(xùn)。如果技術(shù)人員對網(wǎng)絡(luò)安全產(chǎn)品一只半解,就不能正確配置,甚至根本配置錯誤,不但安全得不到保護,而且還帶來虛假的安全,因此,在網(wǎng)絡(luò)中,首先對技術(shù)人員進行專業(yè)的培訓(xùn)。只有真正掌握安全管理各方面的知識,才能使整套的安全策略得到充分的執(zhí)行和實施。

(2)小心使用移動存儲設(shè)備。日常工作過程中,數(shù)據(jù)的傳輸、備份,難免使用移動存儲設(shè)備,那么,在局域網(wǎng)中使用這些設(shè)備時,注意的問題有:使用是保證存儲設(shè)備的安全性,在使用移動存儲設(shè)備時,要做到不把病毒帶到網(wǎng)絡(luò)中,以防發(fā)生網(wǎng)絡(luò)故障,同時,也注意網(wǎng)絡(luò)中某臺計算機上的病毒感染移動存儲設(shè)備,防止數(shù)據(jù)的丟失。

(3)挑選網(wǎng)絡(luò)版殺毒軟件。目前市面上殺毒軟件比較多,但任何一個殺毒軟件都不能對所有病毒都起作用,我們在選擇殺毒軟件時需要注意到以下幾個方面:首先,殺毒軟件對客戶端設(shè)備的要求不是很高,能夠保證網(wǎng)絡(luò)中層次不齊的客戶端都能安裝該軟件,并且運行起來順暢。其次,殺毒軟件病毒庫升級比較方便,在出現(xiàn)新的病毒時,病毒庫能夠第一時間更新,確保客戶端不被侵犯。最后,殺毒軟件使用比較靈活,網(wǎng)絡(luò)中的客戶端都安裝殺毒軟件,但如果依靠人為手動進行查殺,運行起來比較麻煩,選擇殺毒軟件,一定能夠設(shè)置某時間點進行自動查殺。

通過以上策略的設(shè)置,能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)運行中存在的問題,快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲等網(wǎng)絡(luò)安全威脅的切入點,及時、準確的切斷安全事件發(fā)生點和網(wǎng)絡(luò)。

四、信息化安全管理制度

局域網(wǎng)網(wǎng)絡(luò)的安全管理制度是網(wǎng)絡(luò)的安全運行的保障,在制定安全管理制度中,最重要的是關(guān)于網(wǎng)絡(luò)各種文檔的制定。其中有網(wǎng)絡(luò)建設(shè)方案文檔、機房管理制度文檔、各類人員職責分工、安全保密文檔、網(wǎng)絡(luò)安全方案、安全策略文檔、口令管理制度、安全防護記錄、應(yīng)急響應(yīng)方案等等制度。實際中,通過以上各種文檔,在網(wǎng)絡(luò)運行過程中,隨時可以用到,只有健全的管理制度,才能確保更快地處理遇到的各類問題。

五、結(jié)束語

局域網(wǎng)安全控制與病毒防治是一項長期而艱巨的任務(wù)，需要不斷的研究和探索。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展計算機病毒形式及傳播途徑日趨多樣化，安全問題日益復(fù)雜化，網(wǎng)絡(luò)安全建設(shè)已不再像單臺計算安全防護那樣簡單。計算機網(wǎng)絡(luò)安全需要建立多層次的、立體的防護體系， 要具備完善的管理系統(tǒng)來設(shè)置和維護對安全的防護策略。

參考文獻：

第6篇

關(guān)鍵詞：無線局域網(wǎng)；網(wǎng)絡(luò)安全；入侵檢測；分布式系統(tǒng)

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2007)05-11247-02

1 引言

無線局域網(wǎng)(WLAN)是指以無線信道作為傳輸媒介的計算機局域網(wǎng)絡(luò)，是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。它無需線纜介質(zhì)，利用電磁波在空氣中發(fā)送和接收數(shù)據(jù)，提供傳統(tǒng)有線局域網(wǎng)的功能，能夠使用戶真正實現(xiàn)隨時、隨地、隨意的寬帶網(wǎng)絡(luò)接入。它是對有線聯(lián)網(wǎng)方式的一種補充和擴展，使網(wǎng)上的計算機具有可移動性，使傳統(tǒng)的計算機網(wǎng)絡(luò)由有線走向無線，由固定走向移動，達到“信息隨身化、便利走天下”的理想境界。

雖然無線網(wǎng)絡(luò)正成為市場的熱點，在企事業(yè)單位等得到了廣泛的應(yīng)用，但是，由于無線網(wǎng)絡(luò)的特殊性，使WLAN的安全問題顯得尤為如出。安全問題始終是無線局域網(wǎng)的軟肋，一直制約著無線局域網(wǎng)技術(shù)的進一步推廣

2 無線局域網(wǎng)的網(wǎng)絡(luò)現(xiàn)狀、所面臨的安全問題

2.1 無線局域網(wǎng)的基本架構(gòu)

無線局域網(wǎng)由無線網(wǎng)卡(NetworkI nterfaceC ard，NI C)、無線接入點(Access Point， AP)、無線終端和其他相關(guān)設(shè)備組成。

無線局域網(wǎng)按照其拓撲結(jié)構(gòu)可以劃分為兩種：對等網(wǎng)絡(luò)和結(jié)構(gòu)化網(wǎng)絡(luò)。通常主要采用第二種組網(wǎng)方式。

2.2無線局域網(wǎng)的安全技術(shù)

訪問控制和數(shù)據(jù)加密是兩種常用的無線局域網(wǎng)安全技術(shù)。訪問控制保證系統(tǒng)資源只能由授權(quán)用戶進行訪問，而數(shù)據(jù)加密則保證被發(fā)送數(shù)據(jù)的安全性和保密性，使得該數(shù)據(jù)只能被期望的用戶接收和理解。無線網(wǎng)絡(luò)的數(shù)據(jù)傳輸利用紅外線或者無線電波在空氣中進行傳播，因此只要在網(wǎng)絡(luò)的覆蓋范圍內(nèi)，所有的無線終端都可以接收到無線信號，AP無法將無線信號定向到一個特定的接收設(shè)備，因此無線的安全保密問題就顯得尤為突出。

為了提高無線網(wǎng)絡(luò)的安全性，IEEE802.11b協(xié)議中包含了一些基本的安全措施，包括無線網(wǎng)絡(luò)設(shè)備的服務(wù)區(qū)域認證ID (ESSID)， MAC地址訪問控制以及WEP加密等技術(shù)。IEEE802.l1b利用設(shè)置無線終端的ESSID來限制非法接入。利用ESSID，可以很好地進行用戶群體分組，避免任意漫游帶來的安全問題。

另一種限制訪問的方法就是限制接入終端的MAC地址以確保只有經(jīng)過注冊的設(shè)備才可以接入無線網(wǎng)絡(luò)。由于每一塊無線網(wǎng)卡擁有唯一的MAC地址，在AP內(nèi)部可以建立一張“MAC地址控制表”，只有在表中列出的MAC才是合法可以連接的無線網(wǎng)卡，否則將會被拒絕接入。MAC地址控制可以有效地防止未經(jīng)過授權(quán)的用戶侵入無線網(wǎng)絡(luò)。

無線網(wǎng)絡(luò)安全的另一重要方面數(shù)據(jù)加密可以通過WEP(Wired Equivalent Privacy)協(xié)議來進行，WEP是IEEE802.11 b協(xié)議中最基本的無線安全加密措施，其主要用途是：提供接入控制，防止未授權(quán)用戶訪問網(wǎng)絡(luò);應(yīng)用加密算法對數(shù)據(jù)進行加密，防止數(shù)據(jù)被攻擊者竊聽、中途惡意纂改或偽造。

2.4無線局域網(wǎng)的安全問題

雖然無線局域網(wǎng)的應(yīng)用擴展了網(wǎng)絡(luò)用戶的自由，但是自由也同時帶來了安全性的挑戰(zhàn)，無線局域網(wǎng)存在著比有線局域網(wǎng)更復(fù)雜的安全威脅：

(1)傳統(tǒng)有線局域網(wǎng)存在的安全威脅和隱患

由于無線局域網(wǎng)只是傳輸方式上和有線網(wǎng)絡(luò)有差異，因此，常規(guī)威脅：病毒、木馬、漏洞利用、掃描攻擊及拒絕服務(wù)等都是存在的

(2)無線網(wǎng)絡(luò)信息傳輸在空氣中的擴散性意味著傳統(tǒng)的防火墻等手段阻止無線電波的網(wǎng)絡(luò)通訊都是徒勞的。

(3)非授權(quán)訪問威脅：從理論上講無線網(wǎng)絡(luò)采用服務(wù)區(qū)域認證ID 、WAC地址訪問控制等技術(shù)為無線網(wǎng)絡(luò)提供了相當?shù)陌踩裕?然而事實并非如此，攻擊者通過嗅探竊取到授權(quán)客戶的MAC 地址， 并將其網(wǎng)卡的MAC 地址進行修改， 偽裝成授權(quán)的客戶， 通過訪問控制。另外還存在欺騙AP攻擊。

(4)安全威脅，網(wǎng)絡(luò)竊聽、密碼破解

由于無線網(wǎng)絡(luò)在通訊區(qū)域中傳輸信息可以被竊聽，并且很多用戶對自己的網(wǎng)絡(luò)系統(tǒng)采用的默認配置和弱配置，導(dǎo)致黑客很容易就可以進行網(wǎng)絡(luò)欺騙和破解，對無線網(wǎng)絡(luò)信息進行竄改和插入等。

(5)無線環(huán)境拒絕服務(wù)攻擊

基于802.11標準的網(wǎng)絡(luò)還有可能遭到拒絕服務(wù)攻擊(DoS)的威脅，從而使得無線局域網(wǎng)難于正常工作。另外，黑客還能通過上文提到的欺騙WAP發(fā)送非法請求來干擾正常用戶使用無線局域網(wǎng)。

從上面對無線局域網(wǎng)安全問題的分析來看，采用入侵檢測系統(tǒng)來加強WLAN的安全性將是一種很好的選擇。

3 無線入侵檢測系統(tǒng)的設(shè)計和實現(xiàn)

3.1入侵檢測技術(shù)

入侵是指有關(guān)試圖破壞資源完整性、機密性和可用性的活動。

入侵檢測是指發(fā)現(xiàn)非授權(quán)用戶使用計算機系統(tǒng)或企圖使用計算機系統(tǒng)的行為一級發(fā)現(xiàn)合法用戶濫用其特權(quán)行為的過程，是用來防范各種入侵的一種安全措施。

入侵檢測根據(jù)數(shù)據(jù)分析方法的不同分為誤用入侵檢測和異常入侵檢測。誤用入侵檢測也稱基于知識或基于特征的入侵檢測，是收集非正常操作即入侵行為的特征，建立相關(guān)特征庫，之后運用該特征庫對收集到的數(shù)據(jù)進行比較，根據(jù)比較的結(jié)果得出是否入侵的結(jié)論；異常入侵檢測也稱基于知識或基于行為的入侵檢測，是對正常操作特征進行總結(jié)，得出正常操作的模型后，對后續(xù)的操作進行監(jiān)視，一旦發(fā)現(xiàn)偏離統(tǒng)計學意義上的操作模式，即認為該操作是入侵行為。完成入侵檢測的計算機系統(tǒng)稱為入侵檢測系統(tǒng)IDS（Intrusion Detection System）。

3.2入侵檢測系統(tǒng)模型

目前無線局域網(wǎng)大多采用結(jié)構(gòu)化網(wǎng)絡(luò)（基礎(chǔ)結(jié)構(gòu)模式網(wǎng)絡(luò)）組網(wǎng)方式，針對其無線網(wǎng)絡(luò)的特點，本文提出了一個分布式無線入侵檢測系統(tǒng)，對來自無線網(wǎng)絡(luò)的攻擊進行檢測，系統(tǒng)架構(gòu)如圖1所示，系統(tǒng)總體分為兩個部分：中心控制臺和檢測。

圖1 系統(tǒng)整體架構(gòu)

圖2系統(tǒng)邏輯結(jié)構(gòu)圖

中央控制臺對檢測單元進行配置，并對檢測結(jié)果進行綜合決策分析；檢測單元由信息收集模塊、分析檢測模塊、通信模塊組成。信息收集模塊捕獲相應(yīng)數(shù)據(jù)后，傳給分析檢測模塊后，首先進行協(xié)議解碼，然后對協(xié)議解碼后的數(shù)據(jù)進行檢測，若發(fā)現(xiàn)入侵，將產(chǎn)生報警，記錄攻擊特征，并通過安全的通道，將報警信息發(fā)給中央控制臺，中央控制臺根據(jù)各檢測單元上報的報警信息進行綜合分析，判斷入侵情況，進行相應(yīng)處理。

3.3入侵檢測系統(tǒng)實現(xiàn)

(1)信息收集模塊擁有較高的權(quán)限，可以網(wǎng)絡(luò)數(shù)據(jù)包進行收集和過濾并將收集到的信息交給檢測模塊進行分析。

根據(jù)網(wǎng)絡(luò)布線與否，可以采用兩種模式：一種是使用1張無線網(wǎng)卡再加一張以太網(wǎng)卡，無線網(wǎng)卡設(shè)置為“雜湊”模式，監(jiān)聽所有無線數(shù)據(jù)包，以太網(wǎng)卡則用于與中心控制臺通信；另一種模式是使用2張無線網(wǎng)卡，其中一張網(wǎng)卡設(shè)置成“雜湊”模式，另一張則與中心控制臺通信。

為了能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)進行實時分析，必須實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。Winpcap是windows平臺下一個免費，公共的網(wǎng)絡(luò)訪問系統(tǒng)。開發(fā)Winpcap這個項目的目的在于為win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。

它提供了以下的各項功能：捕獲原始數(shù)據(jù)包；設(shè)定數(shù)據(jù)包的過濾規(guī)則；發(fā)送原始數(shù)據(jù)包；收集網(wǎng)絡(luò)通信過程中的統(tǒng)計信息等。

使用pcap捕獲數(shù)據(jù)包的流程分為幾個階段：選擇網(wǎng)絡(luò)監(jiān)聽接口、建立監(jiān)聽會話、編譯過濾器、設(shè)置過濾器和捕獲符合要求的數(shù)據(jù)包

(2)分析檢測模塊，是模型的基本檢測單元，包含一個入侵檢測模型，分布在網(wǎng)絡(luò)的關(guān)鍵節(jié)點，負責利用信息收集模塊提供的網(wǎng)絡(luò)數(shù)據(jù)進行入侵檢測，它是系統(tǒng)實施業(yè)務(wù)功能核心，執(zhí)行主要的業(yè)務(wù)邏輯。各檢測模塊的行為模式是很相似的，一般都經(jīng)過一下幾個步驟：

a.對捕獲的數(shù)據(jù)進行檢測，確定是否為入侵；b.若為入侵，調(diào)用響應(yīng)單元，執(zhí)行相應(yīng)措施；c.若無法判斷為入侵，將可疑事件交給通信模塊送中央控制臺進行處理；d.記錄信息，存入臨時事件庫。

信息捕獲完成后，信息收集模塊將信息送至檢測引擎進行檢測，目前最常用的實時檢測技術(shù)手段是模式匹配和統(tǒng)計分析。

模式匹配：模式匹配就是將收集到的信息與一致的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。該方法的一大優(yōu)點是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負擔，且技術(shù)已相當成熟。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。

入侵規(guī)則數(shù)據(jù)庫的建立：制定一套完善的入侵檢測策略是建立黑的規(guī)則數(shù)據(jù)庫的前提。策略初步制定如下：

a.是否出現(xiàn)新增無線設(shè)備；b.網(wǎng)絡(luò)設(shè)備所在的位置；c.入侵數(shù)據(jù)包的特征值；d.入侵行為的統(tǒng)計特性；e.網(wǎng)絡(luò)中AP是否安全；f.數(shù)據(jù)量是否異常增多。

統(tǒng)計分析：統(tǒng)計分析發(fā)放首先對系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用過的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。在比較這一點上與模式匹配有些相象支出。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍外時，就認為有入侵發(fā)生。例如，本來都默認用GUEST帳號登陸時，突然用ADMIN帳號登陸。這樣做的優(yōu)點是可以檢測到未知的入侵和更為復(fù)雜的入侵，缺點是誤報、漏報率高，且不適應(yīng)用戶正常行為的突然改變。

在系統(tǒng)中，考慮到兩者的互補性，兩種分析方式結(jié)合使用。

模式匹配檢測算法技術(shù)：為了提高檢測效率及系統(tǒng)性能，本系統(tǒng)采Aho_Crasick自動機匹配算法，此算法是多模式匹配算法中最著名的算法之一，和其他模式匹配算法相比檢測速度比較快。

統(tǒng)計分析檢測算法技術(shù)：在統(tǒng)計模型中常用的測量參數(shù)包括審計事件的數(shù)量、間隔時間、資源消耗情況等。目前提出了可用于入侵檢測的5種統(tǒng)計模型包括：

a.操作模型：該模型假設(shè)異常可通過測量結(jié)果與一些固定指標相比較得到，固定指標可以根據(jù)經(jīng)驗值或一段時間內(nèi)的統(tǒng)計平均得到，舉例來說，在短時間內(nèi)的多次失敗的登錄很可能是口令嘗試攻擊。

b.方差：計算參數(shù)的方差，設(shè)定其置信區(qū)間，當測量值超過置信區(qū)間的范圍時表明有可能是異常。

c.多元模型：操作模型的擴展，通過同時分析多個參數(shù)實現(xiàn)檢測。

d.馬爾柯夫過程模型：將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化，若對應(yīng)于發(fā)生事件的狀態(tài)矩陣中轉(zhuǎn)移概率較小，則該事件可能是異常事件。

e.時間序列分析：將事件計數(shù)與資源耗用根據(jù)時間排成序列，如果一個新事件在該時間發(fā)生的概率較低，則該事件可能是入侵。

通常發(fā)現(xiàn)入侵之后，監(jiān)測會記錄攻擊特征，根據(jù)入侵檢測之后反映字段做出的“通過”“報警”“審計”“聯(lián)動”等措施，并通過安全通道（采用一定強度的加密算法加密，無線網(wǎng)絡(luò)通常采用無線加密協(xié)議（WEP））將告警信息發(fā)給中心控制臺進行顯示和進一步關(guān)聯(lián)分析等

(3)中央控制臺由決策響應(yīng)模塊和管理模塊組成

a.決策模塊：決策對收到的信息進行融合及態(tài)勢分析，把整個分析系統(tǒng)聯(lián)合分析，進一步進行態(tài)勢評估，從而得出整個網(wǎng)絡(luò)區(qū)域的安全情況以及評價。決策模塊功能如下：

1)對檢測上報的可以入侵信息進行進一步分析，降低系統(tǒng)誤報率。決策內(nèi)部實現(xiàn)了一個投票機，對于同一數(shù)據(jù)只有當大多數(shù)檢測都判定其為入侵時，才認為它是真正的入侵，之后，決策發(fā)送確認消息給各個檢測；

2)執(zhí)行響應(yīng)功能，對入侵進行物理定位；

3)提供與管理模塊的通信接口，通過該接口，管理模塊可以對檢測的行為和狀態(tài)進行控制。管理員界面的信息也是通過決策模塊提供的通信接口來發(fā)送和接收。

b.管理模塊：進行人機對話，控制管理，入侵信息的數(shù)據(jù)庫更新等。

本系統(tǒng)是在Windows 操作系統(tǒng)下實現(xiàn)的一個無線網(wǎng)絡(luò)入侵檢測系統(tǒng)，采用多模式匹配的AC 自動機匹配算法和統(tǒng)計分析技術(shù)， 能快速檢測出目前針對無線網(wǎng)絡(luò)的經(jīng)常的一些入侵行為，具有低誤報率和實時處理的特點，對無線局域網(wǎng)的安全提供基本的保障。但隨著無線網(wǎng)絡(luò)技術(shù)的普及和提高，對于無線網(wǎng)絡(luò)的攻擊行為也會越來越多，采用的攻擊技術(shù)也會越來越先進，本系統(tǒng)需要不斷更新特征庫才能檢測新的攻擊。下一步需要深入研究的是：怎樣解決好無線加密環(huán)境中有效入侵檢測和怎樣有效融合分析結(jié)果的問題

參考文獻：

[1]李慶超，紹志清，無線網(wǎng)絡(luò)的安全架構(gòu)于入侵檢測的研究[M].計算機工程，2005.405-412.

[2]蔣見春，馮登國，網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京：國防工業(yè)出版社，2001.200-302.

[3]王斌，孔璐譯.HoldenG.防火墻與網(wǎng)絡(luò)安全入侵檢測和VPNs[M].清華大學出版社,2004:106-214.

[4]唐謙，張大方，入侵檢測中模式匹配算法的性能分析[J].計算機工程與應(yīng)用,2005:136-137.

[5]柴平u，龔向陽，程時端，分布式入侵檢測技術(shù)的研究[J].北京郵電大學學報,2002.

[6]張濤，網(wǎng)絡(luò)安全管理技術(shù)專家門診[M].清華大學出版社，2005.50-64.

[7]夏春和，張欣，網(wǎng)絡(luò)入侵檢測系統(tǒng)RIDS的研究[J].北京郵電大學學報，2002.200-255.

[8]唐正軍網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)[M].北京：電子工業(yè)出版社，2002.

[9]韓東海，王超，李群，入侵監(jiān)測系統(tǒng)實例剖析[M].清華大學出版社，2002.

第7篇

[關(guān)鍵詞]VPN技術(shù)無線局域網(wǎng)SSL VPN

[中圖分類號]TP3[文獻標識碼]A[文章編號]1007-9416(2010)03-0091-02

隨著信息產(chǎn)業(yè)的飛速發(fā)展,通信技術(shù)和計算機技術(shù)的融合越來越快。無線通信已經(jīng)成為我們生活不可缺少的一部分。但由于其無線通信設(shè)備采用的是無線信號的空中傳輸,使得在無線鏈路中傳輸?shù)男畔⒑苋菀妆桓`聽,存在很不安全的因素。嚴重的話甚至導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。為此在一個企業(yè)當中建立一個無線局域網(wǎng),安全性應(yīng)是頭號要解決的問題。VPN是無線網(wǎng)絡(luò)建設(shè)當中解決無線通信安全問題的一個很好的方案。本文試圖就VPN技術(shù)在無線局域網(wǎng)中的應(yīng)用做出一定的探討。

1 VPN技術(shù)概述

VPN (Virtual Private Network,虛擬專用網(wǎng))是專用網(wǎng)絡(luò)在公共網(wǎng)絡(luò)如Internet上的擴展。VPN通過隧道技術(shù)在公共網(wǎng)絡(luò)上仿真一條點到點的專線,從而達到安全的數(shù)據(jù)傳輸目的,基于Internet的VPN也稱為IP-VPN。所以從本質(zhì)上說,虛擬專用網(wǎng)(VPN)是一種能夠通過公用網(wǎng)絡(luò)安全地對內(nèi)部專用網(wǎng)進行遠程訪問的技術(shù)。其要點是在遠程用戶和VPN服務(wù)器之間建立一條加密隧道,將原始數(shù)據(jù)包加密,并在外面封裝新的協(xié)議包頭。這樣只有知道密鑰的通信雙方能夠解開數(shù)據(jù)包,保證了數(shù)據(jù)包在公共媒質(zhì)上傳送的時候,不會被非VPN 用戶截取。

2 VPN技術(shù)在無線局域網(wǎng)中的應(yīng)用分析

無線局域網(wǎng)因其傳輸介質(zhì)、訪問方式等原因,使得其很容易受到攻擊。無線局域網(wǎng)常用的安全方式,如MAC地址過濾、服務(wù)區(qū)標識符(SSID)匹配等存在很多明顯的弊端。利用VPN技術(shù)可以為無線局域網(wǎng)提供更可靠的安全解決方案。但是從目前現(xiàn)狀來看,VPN在無線局域網(wǎng)中應(yīng)用實現(xiàn)方式主要有兩種,一種是基于IPSec 的無線VPN設(shè)計,另外一種是基于SSL的無線VPN設(shè)計。但是IPSec 的無線VPN設(shè)計是較早時期VPN在無線局域網(wǎng)中的實現(xiàn)方式,隨著近年來無線局域網(wǎng)以及VPN技術(shù)的逐漸成熟,基于SSL的無線局域網(wǎng)實現(xiàn)技術(shù)已經(jīng)成為主流,本文將重點探討基于SSL的VPN技術(shù)在無線局域網(wǎng)中的應(yīng)用。

2.1 SSL VPN在無線局域網(wǎng)中應(yīng)用原理及功能特點

SSL(Secure Socket Layer,安全套接層)是一種在兩臺機器間提供安全通道的協(xié)議,它具有保護傳輸數(shù)據(jù)以及識別通信機器的功能。SSL VPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。SSL VPN使用SSL協(xié)議和為終端用戶提供基于HTTP, C/S和共享文件資源的認證和安全訪問。與復(fù)雜的IPSec VPN相比,SSL通過簡單易用的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VPN,這是因為SSL內(nèi)嵌在瀏覽器中,它不需要象傳統(tǒng)IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件。SSL VPN的工作原理如圖1所示:

SSL VPN的功能特點主要體現(xiàn)在以下幾個方面:一是無需安裝客戶端軟件。大多數(shù)執(zhí)行基于SSL協(xié)議的遠程訪問不需要在遠程客戶端設(shè)備上安裝軟件,只需使用標準Web瀏覽器即可訪問到企業(yè)內(nèi)部的網(wǎng)絡(luò)資源。這樣無論是從軟件協(xié)議購買成本上,還是從維護、管理成本上都可以節(jié)省一大筆資金,從而大幅降低VPN網(wǎng)絡(luò)的實施成本。二是適用于大多數(shù)設(shè)備及系統(tǒng)。由于Web方式的開放性,支持標準瀏覽器的任何設(shè)備都可以使用SSLVPN進行遠程訪問,包括非傳統(tǒng)設(shè)備,如PDA等。三是適用于大多數(shù)操作系統(tǒng)。任何支持標準Web瀏覽器的操作系統(tǒng)都可以作為S SL VPN的客戶端進行遠程訪問。不管用戶使用的操作系統(tǒng)是Windows、Macintosh、UNIX還是Linux。都可以非常容易地訪問到企業(yè)內(nèi)部網(wǎng)站的資源。

2.2 SSL VPN在無線局域網(wǎng)中的具體應(yīng)用

通過圖1的示意圖可以看出,SSL VPN在無線局域網(wǎng)網(wǎng)中應(yīng)用的整個系統(tǒng)由SSL網(wǎng)關(guān)和Web服務(wù)器以及AP組成,其中最重要的是SSL網(wǎng)關(guān)。網(wǎng)關(guān)由多個服務(wù)器組成,LDAP服務(wù)器負責證書以及證書吊銷列表的保存,RADIUS服務(wù)器負責訪問控制策略,DHCP服務(wù)器負責為接入網(wǎng)關(guān)的局域網(wǎng)計算機分配IP地址,AD是證書驗證服務(wù)器。

對于SSL VPN來說,要保證通信的安全,必須要做到保密性、消息完整性和端點的認證。保密性是指傳輸?shù)臄?shù)據(jù)必須經(jīng)過加密,消息完整性是指傳輸?shù)臄?shù)據(jù)能夠確認是沒有被黑客或攻擊者篡改過,端點認證是指客戶端或者服務(wù)器端能夠?qū)α硪环酱_認是否是正確的通信者。SSL協(xié)議通過SSL握手來確定密鑰并用該對稱密鑰來對通信的數(shù)據(jù)進行加密。在握手期間通過公鑰技術(shù)對雙方進行認證,并用密鑰交換技術(shù)交換通信使用的對稱密鑰,然后使用對稱密鑰加密通信數(shù)據(jù)。SSL的安全依賴于所使用的加密套件,每個加密套件使用四種算法,即:數(shù)字簽名算法,消息摘要算法,密鑰確立算法以及數(shù)據(jù)加密算法。

SSL VPN在無線局域網(wǎng)中具體應(yīng)用需要重點解決以下幾個方面的問題:一是客戶端安全接入問題。對于SSL VPN服務(wù)器來說,有效地保證自身的安全和對客戶端接入的控制是最重要的。應(yīng)該具備一個專門的子系統(tǒng)來負責對客戶端的認證,它的功能是針對不同的客戶端選擇相應(yīng)的策略進行認證;二是有效的訪問控制策略。當用戶通過了系統(tǒng)的認證之后,如何有效而靈活控制客戶的訪問權(quán)限,是非常重要的問題,同時也是SSL VPN系統(tǒng)最具特色的特點之一。如何實施用戶的集中化管理,通過SSL VPN控制臺進行管理,更加有效的監(jiān)控用戶使用權(quán)限,如何做到能夠基于內(nèi)容的訪問控制策略等等都需要更多的關(guān)注。三是傳輸性能問題。對于一個SSL VPN服務(wù)器來說,傳輸在整個SSL VPN系統(tǒng)中是一個性能的瓶頸點。

總之,隨著我國網(wǎng)絡(luò)用戶的快速增長,無線網(wǎng)絡(luò)作為有效網(wǎng)絡(luò)的有效補充,在人們的網(wǎng)絡(luò)生活中將會占據(jù)更加重要的地位。而VPN技術(shù)作為無線局域網(wǎng)的一種有效安全措施,在無線局域網(wǎng)中具有非常廣泛的應(yīng)用。

[參考文獻]

[1] 劉乃安.無線局域網(wǎng)(WLAN)――原理、技術(shù)與應(yīng)用[M].西安:電子科技大學出版社,2004.

[2] 周明.SSL VPN體系結(jié)構(gòu)在無線局域網(wǎng)中的應(yīng)用與設(shè)計[J].電子科技大學.2006(4).

第8篇

【關(guān)鍵詞】醫(yī)院；網(wǎng)絡(luò)信息；安全因素；防護

【中圖分類號】R197.324【文獻標識碼】A【文章編號】1006-4222（2016）01-0048-01

引言

在我國，信息化建設(shè)起步較晚，這無疑就造成了我國計算機網(wǎng)絡(luò)信息安全技術(shù)的相對落后，安全措施方面的局限性也是暴漏無疑。好在隨著全球化網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，我國的網(wǎng)絡(luò)安全技術(shù)也隨之得到一定的提高，再加上新的醫(yī)改方案的落實實施，更是使醫(yī)院的信息化管理得到了巨大的發(fā)展，這不僅在很大程度上提高了廣大醫(yī)護人員的工作效率，也在一定程度上給醫(yī)院的管理帶來了極大的方便，更是使醫(yī)院的各項工作順以有序的進行。現(xiàn)階段醫(yī)院的各項工作都依賴于網(wǎng)絡(luò)信息系統(tǒng)的正常運轉(zhuǎn)，其安全性在很大程度上直接關(guān)系到醫(yī)院工作的正常運行，因此確保醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全工作勢在必行。

1網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全是指系統(tǒng)中的數(shù)據(jù)受到保護，不論是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件還是其系統(tǒng)中的數(shù)據(jù)都不因任何原因被惡意更改，也不因偶然的原因而遭受到重大的破壞，甚至泄露；網(wǎng)絡(luò)安全還要求網(wǎng)絡(luò)系統(tǒng)能夠連續(xù)可靠的正常運行，不出現(xiàn)網(wǎng)絡(luò)服務(wù)中斷的現(xiàn)象。網(wǎng)絡(luò)安全顧名思義究其本質(zhì)上來講就是指網(wǎng)絡(luò)上的信息安全。但從廣義來說，任何涉及到網(wǎng)絡(luò)上信息的保密性，或是其完整性和可用性，亦或是其真實性和可控性的相關(guān)技術(shù)及其理論都在網(wǎng)絡(luò)安全的研究范疇。

2醫(yī)院網(wǎng)絡(luò)信息的不安全因素

2.1管理因素

管理在網(wǎng)絡(luò)安全中扮演著至關(guān)重要的角色，其地位不容動搖。安全管理中的責權(quán)不明，會給安全管理工作帶來混亂的局面，當然不健全的安全管理制度以及缺乏可操作性的管理制度都可能在不同程度上引起管理安全的風險。

2.2硬件因素

硬件安全是網(wǎng)絡(luò)信息安全工作中的重要組成部分，其主要是指信息系統(tǒng)中的硬件設(shè)備的相關(guān)性能，如果其硬件性能不能夠穩(wěn)定的工作或者存在這樣那樣的故障問題：①就會使醫(yī)院的各項工作受到不同程度的影響；②還會使整個網(wǎng)絡(luò)信息系統(tǒng)的服務(wù)器出現(xiàn)問題，緊接著交換機等設(shè)備也會相繼出現(xiàn)這樣那樣的問題，嚴重時導(dǎo)致醫(yī)院整個網(wǎng)絡(luò)處于癱瘓狀態(tài)也是不無可能。

2.3軟件因素

軟件安全也是網(wǎng)絡(luò)安全中不可或缺的因素。其主要是指計算機病毒或是黑客的侵入。在過去一段時間，醫(yī)院的網(wǎng)絡(luò)信息系統(tǒng)大多都采用封閉式的局域網(wǎng)，這樣雖然避免了外來病毒以及黑客的侵入，但是就醫(yī)院整體而言在很大程度上還是有局限性。現(xiàn)如今，現(xiàn)代醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)不再使用以前封閉式的局域網(wǎng)，而是采用開放式的互聯(lián)網(wǎng)網(wǎng)絡(luò)，這樣一來雖然醫(yī)院的工作效率得到了明顯提高，但是很容易受到外來病毒或者是黑客的侵入，致使醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的不安全性大大提高。

3醫(yī)院網(wǎng)絡(luò)信息的有效防護措施

3.1安全管理制度

不斷完善醫(yī)院網(wǎng)絡(luò)安全管理制度是確保醫(yī)院網(wǎng)絡(luò)信息安全的有效措施之一。在執(zhí)行安全策略時要制度化，確保信息化設(shè)備及系統(tǒng)各項工作過程中的相關(guān)管理制度的落實，并嚴格實施與執(zhí)行。

3.2硬件安全措施

在硬件安全方面，服務(wù)器是醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的中心，所以加強服務(wù)器的安全管理工作十分重要。為進一步確保服務(wù)器的安全運行，需要在服務(wù)器以及安全性要求較高的設(shè)備上安裝入侵檢測系統(tǒng)，這樣就能在很大程度上避免病毒的侵入。此外，外在環(huán)境也能在一定程度上對醫(yī)院網(wǎng)絡(luò)信息的安全造成一定的影響，因此就要求我們控制好設(shè)備運行的環(huán)境、濕度、溫度等外在環(huán)境，從而達到確保醫(yī)院網(wǎng)絡(luò)系統(tǒng)安全運行的目的。

3.3軟件安全措施

在軟件安全方面，數(shù)據(jù)庫在安全管理工作中扮演著核心角色，因此對于數(shù)據(jù)庫的選擇也是至關(guān)重要，目前現(xiàn)有醫(yī)院計算機網(wǎng)絡(luò)系統(tǒng)中常見的數(shù)據(jù)庫有SQLSERVER、ORACLE數(shù)據(jù)庫。在數(shù)據(jù)庫的管理工作中嚴格操作以及規(guī)范管理是最基本的要求，對數(shù)據(jù)庫進行及時的備份才是數(shù)據(jù)庫管理工作的重中之重，備份能夠有效的預(yù)防數(shù)據(jù)的丟失，確保數(shù)據(jù)庫的整體完整。目前在醫(yī)院中常用的數(shù)據(jù)備份方法有以下幾種；雙機熱備、異地備份和磁帶備份。雙機熱備是指書庫從主服務(wù)器備份到備份服務(wù)器上，能夠?qū)崟r有效的進行，另外其每天進行三次將數(shù)據(jù)分別備份在主服務(wù)器和備份服務(wù)器上，這樣一來即使其中的一臺服務(wù)器出現(xiàn)了故障，啟動另一臺服務(wù)器就能保證系統(tǒng)的正常運轉(zhuǎn)，數(shù)據(jù)的完整性也不會遭到破壞。磁帶備份也是較常用的備份方式，高容量、易攜帶以及易保存是其較為顯著的特點，在數(shù)據(jù)的異地保存中工作中具有很大的靈活性和可靠性，能夠有效的預(yù)防醫(yī)院中心機房發(fā)生災(zāi)難性的事故，使丟失的恢復(fù)完整。

4結(jié)語

綜上所述，為了確保醫(yī)院各項工作順利有序的進行，提高醫(yī)院各項工作的工作效率，就要做好醫(yī)院網(wǎng)絡(luò)信息安全的防護工作，提高醫(yī)院網(wǎng)絡(luò)信息的安全性及穩(wěn)定性。

參考文獻

[1]王淑梅，朱芮穎.電子文件管理中的不安全因素及防護措施[J].黑龍江檔案，2002，06：47.

[2]宋穎杰，于明臻.醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理與維護[J].中國現(xiàn)代醫(yī)生，2007，17：104+110.

第9篇

（一）網(wǎng)絡(luò)安全設(shè)施配備不夠

學校在建立自己的內(nèi)網(wǎng)時，由于意識薄弱與經(jīng)費投入不足等方面的原因，比如將原有的單機互聯(lián)，使用原有的網(wǎng)絡(luò)設(shè)施；校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤等都有可能因為自然因素的損害而導(dǎo)致數(shù)據(jù)的丟失、泄露或網(wǎng)絡(luò)中斷；機房設(shè)計不合理，溫度、濕度不適應(yīng)以及無抗靜電、抗磁干擾等設(shè)施；網(wǎng)絡(luò)安全方面的投入嚴重不足，沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等；以上情況都使得校園網(wǎng)絡(luò)基本處在一個開放的狀態(tài)，沒有有效的安全預(yù)警手段和防范措施。

（二）學校校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識淡薄、管理制度不完善

學校師生對網(wǎng)絡(luò)安全知識甚少，安全意識淡薄，U盤、移動硬盤、手機等存貯介質(zhì)隨意使用；學校網(wǎng)絡(luò)管理人員缺乏必要的專業(yè)知識，不能安全地配置和管理網(wǎng)絡(luò)；學校機房的登記管理制度不健全，允許不應(yīng)進入的人進入機房；學校師生上網(wǎng)身份無法唯一識別，不能有效的規(guī)范和約束師生的非法訪問行為；缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，使學校的網(wǎng)絡(luò)管理混亂；缺乏校園師生上網(wǎng)的有效監(jiān)控和日志；計算機安裝還原卡或使用還原軟件，關(guān)機后啟動即恢復(fù)到初始狀態(tài)，這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞。

（三）學校校園網(wǎng)中各主機和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門”

大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門”所造成的。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來品，加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時可能存在各種不合理操作，在網(wǎng)絡(luò)上運行時，這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素。

（四）計算機病毒、網(wǎng)絡(luò)病毒泛濫，造成網(wǎng)絡(luò)性能急劇下降，重要數(shù)據(jù)丟失

網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性，傳播到網(wǎng)絡(luò)服務(wù)器，進而在整個網(wǎng)絡(luò)上感染，危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網(wǎng)絡(luò)安全情況，遭到端口掃描、黑客攻擊、網(wǎng)頁篡改或垃圾郵件次之。校園網(wǎng)中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用，使得校園網(wǎng)內(nèi)病毒泛濫。計算機病毒是一種人為編制的程序，它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點。它的破壞性是巨大的，一旦學校網(wǎng)絡(luò)中的一臺電腦感染上病毒，就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個校園網(wǎng)絡(luò)，只要網(wǎng)絡(luò)中有幾臺電腦中毒，就會堵塞出口，導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”，嚴重時會造成網(wǎng)絡(luò)癱瘓。《參考消息》1989年8月2日刊登的一則評論，列出了下個世紀的國際恐怖活動將采用五種新式武器和手段，計算機病毒名列第二，這給未來的信息系統(tǒng)投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出，網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴峻。

綜上所述，學校校園網(wǎng)絡(luò)的安全形勢非常嚴峻，在這種情況下，學校如何能夠保證網(wǎng)絡(luò)的安全運行，同時又能提供豐富的網(wǎng)絡(luò)資源，保障辦公、教學以及學生上網(wǎng)的多種需求成為了一個難題。根據(jù)校園網(wǎng)絡(luò)面臨的安全問題，文章提出以下校園網(wǎng)絡(luò)安全防范措施。

二、校園網(wǎng)絡(luò)的主要防范措施

（一）服務(wù)器

學校在建校園網(wǎng)絡(luò)之時配置一臺服務(wù)器，它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介，在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序，對服務(wù)器進行一些必要的設(shè)置。校園網(wǎng)內(nèi)用戶訪問Internet都是通過服務(wù)器，服務(wù)器會檢查用戶的訪問請求是否符合規(guī)定，才會到被用戶訪問的站點取回所需信息再轉(zhuǎn)發(fā)給用戶。這樣，既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對外部不良資源的濫用，外部網(wǎng)絡(luò)只能看到該服務(wù)器而無法獲知內(nèi)部網(wǎng)絡(luò)上的任何計算機信息，整個校園網(wǎng)絡(luò)只有服務(wù)器是可見的，從而大大增強了校園網(wǎng)絡(luò)的安全性。（二）防火墻

防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品，是一種使用較早的、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一。它是軟件或硬件設(shè)備的組合，通常被用來進行網(wǎng)絡(luò)安全邊界的防護。防火墻通過控制和檢測網(wǎng)絡(luò)之中的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理，在網(wǎng)絡(luò)間建立一個安全網(wǎng)關(guān)，對網(wǎng)絡(luò)數(shù)據(jù)進行過濾（允許/拒絕），控制數(shù)據(jù)包的進出，封堵某些禁止行為，提供網(wǎng)絡(luò)使用狀況（網(wǎng)絡(luò)數(shù)據(jù)的實時/事后分析及處理，網(wǎng)絡(luò)數(shù)據(jù)流動情況的監(jiān)控分析，通過日志分析，獲取時間、地址、協(xié)議和流量，網(wǎng)絡(luò)是否受到監(jiān)視和攻擊），對網(wǎng)絡(luò)攻擊行為進行檢測和告警等等，最大限度地防止惡意或非法訪問存取，有效的阻止破壞者對計算機系統(tǒng)的破壞，可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作。（三）防治網(wǎng)絡(luò)病毒

校園網(wǎng)絡(luò)的安全必須在整個校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系，建立一整套網(wǎng)絡(luò)軟件及硬件的維護制度，定期對各工作站進行維護，對操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施。為了實現(xiàn)在整個內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作，學校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段，在服務(wù)器和各辦公室、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版，對病毒進行定時的掃描檢測及漏洞修復(fù)，定時升級文件并查毒殺毒，使整個校園網(wǎng)絡(luò)有防病毒能力。

（四）口令加密和訪問控制

校園網(wǎng)絡(luò)管理員通過對校園師生用戶設(shè)置用戶名和口令加密驗證，加強對網(wǎng)絡(luò)的監(jiān)控以及對用戶的管理。網(wǎng)管理員要對校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器、交換機、防火墻、服務(wù)器的配置均設(shè)有口令加密保護，賦予用戶一定的訪問存取權(quán)限、口令字等安全保密措施，用戶只能在其權(quán)限內(nèi)進行操作，合理設(shè)置網(wǎng)絡(luò)共享文件，對各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含、只讀等加密措施，建立嚴格的網(wǎng)絡(luò)安全日志和審查系統(tǒng)，建立詳細的用戶信息數(shù)據(jù)庫、網(wǎng)絡(luò)主機登錄日志、交換機及路由器日志、網(wǎng)絡(luò)服務(wù)器日志、內(nèi)部用戶非法活動日志等，定時對其進行審查分析，及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故，有效地保護網(wǎng)絡(luò)安全。

（五）VLAN(虛擬局域網(wǎng))技術(shù)

VLAN(虛擬局域網(wǎng))技術(shù)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。根據(jù)實際需要劃分出多個安全等級不同的網(wǎng)絡(luò)分段。學校要將不同類型的用戶劃分在不同的VLAN中，將校園網(wǎng)絡(luò)劃分成幾個子網(wǎng)。將用戶限制在其所在的VLAN里，防止各用戶之間隨意訪問資源。各個子網(wǎng)間通過路由器、交換機、網(wǎng)關(guān)或防火墻等設(shè)備進行連接，網(wǎng)絡(luò)管理員借助VLAN技

術(shù)管理整個網(wǎng)絡(luò)，通過設(shè)置命令，對每個子網(wǎng)進行單獨管理，根據(jù)特定需要隔離故障，阻止非法用戶非法訪問，防止網(wǎng)絡(luò)病毒、木馬程序，從而在整個網(wǎng)絡(luò)環(huán)境下，計算機能安全運行。

（六）系統(tǒng)備份和數(shù)據(jù)備份

雖然有各種防范手段，但仍會有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來不可預(yù)知的災(zāi)難，對網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專人管理，定期做好服務(wù)器系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作，并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案，對網(wǎng)上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運行的重要手段。

（七）入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）

IDS是一種網(wǎng)絡(luò)安全系統(tǒng)，是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網(wǎng)絡(luò)甚至計算機系統(tǒng)時，IDS能檢測和發(fā)現(xiàn)入侵行為并報警，通知網(wǎng)絡(luò)采取措施響應(yīng)。即使被入侵攻擊，IDS收集入侵攻擊的相關(guān)信息，記錄事件，自動阻斷通信連接，重置路由器、防火墻，同時及時發(fā)現(xiàn)并提出解決方案，列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。入侵檢測系統(tǒng)作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，大大提高了網(wǎng)絡(luò)的安全性。

（八）增強網(wǎng)絡(luò)安全意識、健全學校統(tǒng)一規(guī)范管理制度

根據(jù)學校實際情況，對師生進行網(wǎng)絡(luò)安全防范意識教育，使他們具備基本的網(wǎng)絡(luò)安全知識。制定相關(guān)的網(wǎng)絡(luò)安全管理制度（網(wǎng)絡(luò)操作使用規(guī)程、人員出入機房管理制度、工作人員操作規(guī)程和保密制度等）。安排專人負責校園網(wǎng)絡(luò)的安全保護管理工作，對學校專業(yè)技術(shù)人員定期進行安全教育和培訓(xùn)，提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺性，并安排專業(yè)技術(shù)人員定期對校園網(wǎng)進行維護。

三、結(jié)論

校園網(wǎng)的安全問題是一個較為復(fù)雜的系統(tǒng)工程，長期以來，從病毒、黑客與防范措施的發(fā)展來看，總是“道高一尺，魔高一丈”，沒有絕對安全的網(wǎng)絡(luò)系統(tǒng)，只有通過綜合運用多項措施，加強管理，建立一套真正適合校園網(wǎng)絡(luò)的安全體系，提高校園網(wǎng)絡(luò)的安全防范能力。

摘要：隨著“校校通”工程的深入實施，校園網(wǎng)作為學校重要的基礎(chǔ)設(shè)施，擔負著學校教學、教研、管理和對外交流等許多重要任務(wù)。校園網(wǎng)的安全問題，直接影響著學校的教學活動。文章結(jié)合十幾年來校園網(wǎng)絡(luò)使用安全及防范措施等方面的經(jīng)驗，對如何加強校園網(wǎng)絡(luò)安全作了分析和探討。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；防范措施；防火墻；VLAN技術(shù)

校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議以及各類系統(tǒng)管理軟件和應(yīng)用軟件，將校園內(nèi)計算機和各種終端設(shè)備有機地集成在一起，用于教學、科研、管理、資源共享等方面的局域網(wǎng)絡(luò)系統(tǒng)。校園網(wǎng)絡(luò)安全是指學校網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然和惡意等因素而遭到破壞、更改、泄密，保障校園網(wǎng)的正常運行。隨著“校校通”工程的深入實施，學校教育信息化、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時代的教育的發(fā)展方向。目前校園網(wǎng)絡(luò)內(nèi)存在很大的安全隱患，建立一套切實可行的校園網(wǎng)絡(luò)防范措施，已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問題。

參考文獻：

1、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡(luò)安全[M].清華大學出版社,2006.

2、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學出版社,2004.

3、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.

4、謝希仁.計算機網(wǎng)絡(luò)[M].大連理工大學出版社,2000.

5、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財經(jīng)高等專科學校學報,2002(8).

6、李衛(wèi).計算機網(wǎng)絡(luò)安全與管理[M].清華大學出版社,2004.

第10篇

關(guān)鍵詞：校園網(wǎng)安全；端口綁定；端口隔離；最大連接數(shù)

中圖分類號：TP39 文獻識別碼：A 文章編號：1001-828X（2015）024-0000-01

一、引言

隨著國家網(wǎng)絡(luò)信息化建設(shè)的飛速發(fā)展，網(wǎng)絡(luò)已成為人們生活中不可或缺的工具并享受著更便捷的生活方式，隨著數(shù)字化校園建設(shè)的不斷推進，越來越多的學校利用自己的校園網(wǎng)絡(luò)進行教學和管理，通過Internet的形式來實現(xiàn)遠程教育教學，教育不再受地域、學校、學科的限制，學習者也能夠充分享受教育的多樣性、多面性提高學習者的趣味性、選擇性。鑒于校園網(wǎng)特殊的使用群體，日常師生較多訪問量校園網(wǎng)，因此安全問題已為各類學校所關(guān)注，校園網(wǎng)安全狀況直接影響著學校學習、教學的方方面面，作為局域網(wǎng)中不可或缺的交換設(shè)備-“交換機”就成為安全防范的著眼點。

為了保證網(wǎng)絡(luò)的安全，一般我們需要在網(wǎng)絡(luò)的邊緣――接入層進行安全控制。在接入層所能的實施安全措施主要包括以下幾個方面：Mac-ip地址綁定技術(shù)、端口接入認證技術(shù)、端口隔離技術(shù) 報文過濾技術(shù)。

二、 MAC-IP地址綁定技術(shù)

首先談一下MAC地址與端口綁定，進行綁定操作后，只有指定MAC地址和IP地址的計算機發(fā)出的報文才能通過指定端口轉(zhuǎn)發(fā)，提高了系統(tǒng)的安全性，增強了對網(wǎng)絡(luò)安全的監(jiān)控，同時也防止內(nèi)部人員進行非法IP盜用，以H3C交換機為例（網(wǎng)絡(luò)拓撲如圖所示）：

參數(shù)配置命令：

[JX]interface ethernet1/0/2

[JX-Ethernet1/0/2] user-bind ip-address 10.1.1.1 mac-address 0001-0201-2123

[JX]interface ethernet1/0/3

[JX-Ethernet1/0/3] user-bind ip-address 10.2.1.1 mac-address 0001-0401-2126

[JX]interface ethernet1/0/4

[JX-Ethernet1/0/4] user-bind ip-address 10.3.1.1 mac-address 0002-0261-2562

三、端口隔離技術(shù)概述

所謂端口隔離技術(shù)是指在客戶端的端口間實現(xiàn)足夠的隔離度從而確保一個客戶端不會收到另外客戶端的流量的技術(shù)。所實現(xiàn)的方法為用戶將受控端口加入到某個隔離組中，進而達到實現(xiàn)組中的端口間二層、三層的數(shù)據(jù)隔離，進一步增加網(wǎng)絡(luò)的靈活性和安全性。使用該技術(shù)后單播、廣播和組播便不會在隔離端口間產(chǎn)生，ARP 病毒也就不會在被隔離計算機之間傳播。（參照網(wǎng)絡(luò)拓撲如上圖）。

配置參數(shù)命令：

[JX]interface ethernet1/0/2

[JX-Ethernet1/0/2] port-isolate enable

[JX]interface ethernet1/0/3

[JX-Ethernet1/0/3] port-isolate enable

[JX]interface ethernet1/0/4

[JX-Ethernet1/0/4] port-isolate enable

[JX]interface ethernet1/0/1

[JX-Ethernet1/0/1] port-isolate uplink-port

四、端口接入認證技術(shù)802.1x

802.1X身份驗證協(xié)議由最初的無線網(wǎng)絡(luò)應(yīng)用，后來擴展到在二層交換機和路由器等網(wǎng)絡(luò)設(shè)備上使用。它對用戶身份進行認證可基于端口來完成，也就是說當用戶的數(shù)據(jù)流量試圖通過配置過802.1X協(xié)議的端口時，必須要進行身份的驗證，只有合法則允許其訪問網(wǎng)絡(luò)。這樣的做的有點可以對內(nèi)網(wǎng)用戶進行認證，并且配置簡化，在一定的程度上可以取代Windows的AD。

802.1X身份驗證協(xié)議的配置，首先必須要全局啟用aaa認證，這與在邊界網(wǎng)絡(luò)上使用aaa認證沒有過多的區(qū)別，只不過認證的協(xié)議是802.1X；其次則需要在相應(yīng)的接口上啟用802.1X身份驗證。（建議在所有的端口上啟用802.1X身份驗證協(xié)議，并使用radius服務(wù)器來管理用戶名和密碼）

下面的配置aaa認證，所使用的為本地用戶名和密碼。

3560#config

3560（config）#aaa new-model /啟用aaa認證。

3560（config）#aaa authentication dot1x default local /啟用802.1X協(xié)議認證，并使用本地用戶名與密碼。

3560（config）# interface range fastethernet 0/1-24

3560（config-if-range）#dot1x port-control auto /在所有接口上啟用802.1X身份驗證。

五、結(jié)束語

綜上所述，在校園網(wǎng)環(huán)境中，為能夠?qū)崿F(xiàn)用戶穩(wěn)定、安全、高效的上網(wǎng)，更好地服務(wù)于教育教學，網(wǎng)絡(luò)管理人員都應(yīng)當采用多元化的管理模式，對地址綁定技術(shù)、端口接入認證技術(shù)、端口隔離技術(shù) 報文過濾技術(shù)的分析，明確了交換機端口管理技術(shù)的特點，結(jié)合自己工作實際和我校的網(wǎng)絡(luò)應(yīng)用現(xiàn)狀，選擇合理的模式來管理交換機的端口。為校園網(wǎng)絡(luò)的安全管理和有效實踐奠定了良好的基礎(chǔ)。

參考文獻：

[1]陳程，歐陽昌華.互聯(lián)網(wǎng)網(wǎng)絡(luò)安全性及其對策[J].企業(yè)技術(shù)開發(fā)，2007（09）.

第11篇

關(guān)鍵詞 醫(yī)院；計算機；網(wǎng)絡(luò)；病毒攻擊

中圖分類號：V355.1 文獻標識碼：A 文章編號：1671-7597（2013）11-0000-00

隨著社會信息化水平的不斷提高，信息化已經(jīng)逐漸滲透到各行各業(yè)，人們變得更加的依賴計算機網(wǎng)絡(luò)帶來的信息化服務(wù)，計算機網(wǎng)絡(luò)的成熟與發(fā)展引起了醫(yī)療行業(yè)的高度關(guān)注[1]，經(jīng)過多年的不斷發(fā)展，大部分的醫(yī)院基本上實現(xiàn)了網(wǎng)絡(luò)化的全面普及，醫(yī)院所有的數(shù)據(jù)信息都存儲在自身的計算機網(wǎng)絡(luò)環(huán)境中，計算機網(wǎng)絡(luò)給予人民帶來方便的同時，也使得計算機網(wǎng)絡(luò)的正常運行時刻遭受著各種因素的威脅，因此必須總結(jié)出一套足以保障醫(yī)院計算機網(wǎng)絡(luò)安全的措施以及方法，才能使得醫(yī)院的計算機網(wǎng)絡(luò)環(huán)境更加安全、更加高效。

1 醫(yī)院計算機網(wǎng)絡(luò)存在的安全隱患

1.1 計算機病毒感染

計算機病毒（Computer Virus）是造成計算機網(wǎng)絡(luò)中大量信息資源泄漏的主要途徑，醫(yī)院內(nèi)部的所有計算機都存在著感染到計算機病毒的可能性，計算機病毒與醫(yī)學中的病毒完全不同，計算機病毒具體指的是制造者在計算機應(yīng)用程序中植入的具備破壞數(shù)據(jù)信息資源或者計算機功能的程序，該計算機程序能夠?qū)τ嬎銠C產(chǎn)生一定的影響，通常具備自我復(fù)制性、極大的破壞性以及極強的傳染性。

計算機病毒隱蔽性非常強，通常隱蔽在文件、網(wǎng)上下載的程序、不健康的網(wǎng)頁等，這種形式再借助互聯(lián)網(wǎng)網(wǎng)絡(luò)、移動存儲介質(zhì)、電子郵件等傳播媒介進行復(fù)制傳播。一旦計算機遭受到病毒的攻擊，輕的情況下會影響到計算機系統(tǒng)的運行效率、占用被攻擊計算機的存儲空間等，重的情況下則會造成重要數(shù)據(jù)信息資源的丟失，用戶帳號以及密碼等信息的丟失則會直接造成用戶財產(chǎn)的不安全性，此外，計算機病毒還能夠刪除以及篡改計算機內(nèi)部的數(shù)據(jù)信息，造成信息數(shù)據(jù)的丟失以及不準確性，醫(yī)院的局域網(wǎng)由于具備較多的客戶端機器，因此在安全維護上存在著諸多問題，當計算機遭受到類似蠕蟲一樣的計算機病毒的時候，則會造成整個醫(yī)院計算機服務(wù)器以及網(wǎng)絡(luò)出現(xiàn)癱瘓的嚴重現(xiàn)象。

1.2 黑客攻擊

黑客攻擊通常采取的攻擊技術(shù)手段便是非法入侵以及拒絕服務(wù)（DOS，DENIAL-OF-SERVICE）攻擊，非法入侵攻擊手段的主要措施便是對攻擊的計算機中的數(shù)據(jù)進行刪除、篡改以及復(fù)制等[3]，有的醫(yī)療工作人員借助黑客軟件或者其他的一些非法措施竊取到數(shù)據(jù)庫訪問密碼以及帳號，并通過該帳號以及密碼對醫(yī)院的核心數(shù)據(jù)庫進行修改，給醫(yī)院的數(shù)據(jù)信息的安全帶來極大的隱患。拒絕服務(wù)攻擊也是黑客攻擊最為常用的攻擊手段，具體指的是攻擊者通過各種技術(shù)措施使得目標計算機停止提供服務(wù)，進而造成被攻擊目標出現(xiàn)癱瘓的現(xiàn)象，或者使得整個醫(yī)院的網(wǎng)絡(luò)出現(xiàn)癱瘓。

1.3 軟件自身漏洞

計算機系統(tǒng)的組成通常離不開軟件以及硬件，其中不完善的軟件系統(tǒng)通常會存在著巨大的安全隱患，攻擊者針對軟件系統(tǒng)的漏洞能夠迅速的找到攻擊策略，進而成功對計算機進行攻擊。

1.4 計算機網(wǎng)絡(luò)物理硬件安全

硬件物理設(shè)備的安全是整個醫(yī)院計算機網(wǎng)絡(luò)安全的基礎(chǔ)，物理安全的最終目標是確保計算機網(wǎng)絡(luò)設(shè)備不會遭受到環(huán)境事故或人為操作失誤以及犯罪等行為而導(dǎo)致的物理破壞。

2 醫(yī)院計算機網(wǎng)絡(luò)安全保障措施以及方法研究

醫(yī)院計算機網(wǎng)絡(luò)安全的保障措施非常多，本文針對前面提到的幾點安全隱患給出了對應(yīng)的安全防范措施以及方法。

2.1 計算機病毒防治方法

計算機病毒是目前醫(yī)院計算機網(wǎng)絡(luò)中防護的重點對象，計算機病毒的不定時攻擊對醫(yī)院的計算機網(wǎng)絡(luò)帶來了極大的安全隱患，針對此種現(xiàn)象，本文提出統(tǒng)一管理、統(tǒng)一防護以及統(tǒng)一升級的防范措施，統(tǒng)一管理具體指的是對醫(yī)院的所有計算機進行統(tǒng)一全面管理，統(tǒng)一防護指的是采用同樣的防治策略能夠確保醫(yī)院網(wǎng)絡(luò)中的計算機都能夠得到防護，統(tǒng)一升級指的是對于計算機病毒庫的升級同樣采取統(tǒng)一策略，并且病毒庫的升級盡量避免人為因素的干擾，可以采取自動下載升級的策略更新病毒庫系統(tǒng)[4]。除此之外計算機病毒防護還需要軟件以及硬件相結(jié)合的防治策略，硬件指的是在整個醫(yī)院計算機網(wǎng)絡(luò)拓撲中添加防火墻、三層交換機等設(shè)備，從物理角度防范病毒軟件的植入等安全攻擊，軟件系統(tǒng)指的是則可以借助現(xiàn)有的比較流行的安全防護軟件系統(tǒng)對計算機進行安全保護，定時掃描計算機。時刻監(jiān)控計算機是否遭受到計算機病毒的攻擊。

2.2 數(shù)據(jù)信息資源備份

醫(yī)院計算機網(wǎng)絡(luò)中的數(shù)據(jù)信息資源量比較大，可以對醫(yī)院的數(shù)據(jù)庫服務(wù)器數(shù)據(jù)采用雙機熱備份措施，本文建議對于醫(yī)院的數(shù)據(jù)可以采取每五個小時進行一次差異備份，數(shù)據(jù)完全備份的時間間隔建議在一天以內(nèi)，在數(shù)據(jù)完全備份的同時將數(shù)據(jù)轉(zhuǎn)存到數(shù)據(jù)庫備份服務(wù)器上，如果醫(yī)院條件允許，則建議將備份數(shù)據(jù)進行異地存儲。

2.3 安裝網(wǎng)絡(luò)實時監(jiān)控軟件系統(tǒng)

實時監(jiān)控軟件系統(tǒng)的部署能夠有效的幫助醫(yī)院計算機管理工作人員實時監(jiān)控所有的操作，能夠第一時間發(fā)現(xiàn)用戶的非法操作，并且能夠?qū)⒂脩舴欠ú僮鞯漠嬅孢M行截圖存儲到控制臺中，畫面可以作為證據(jù)，此外還能夠發(fā)送警告等指令提醒用戶正在進行非法操作。通過實時監(jiān)控軟件系統(tǒng)能夠很大程度上降低用戶非法操作所產(chǎn)生的安全隱患。此外，還可以對整個醫(yī)院網(wǎng)絡(luò)進行信息偵聽，借助信息偵聽軟件能夠迅速的捕獲非授權(quán)的違規(guī)訪問以及網(wǎng)絡(luò)嘗試訪問，進而第一時間偵聽到系統(tǒng)所遭受到的攻擊危害。信息偵聽技術(shù)是現(xiàn)階段防范黑客攻擊效果最好的技術(shù)措施。

2.4 計算機網(wǎng)絡(luò)物理隔離

物理隔離指的是對于醫(yī)院中的計算機網(wǎng)絡(luò)則采用三層交換機、防火墻以及虛擬網(wǎng)絡(luò)技術(shù)等措施進行隔離，通過虛擬網(wǎng)絡(luò)的分割劃分能夠有效的實現(xiàn)子網(wǎng)段的物理隔離，這樣某個網(wǎng)段的安全隱患則不會滲透到整個網(wǎng)段。

2.5 數(shù)據(jù)信息加密以及訪問控制

數(shù)據(jù)信息資源以及網(wǎng)絡(luò)資源是醫(yī)院計算機網(wǎng)絡(luò)中最為珍貴的資源，因此可以對數(shù)據(jù)信息采取加密的措施，與此同時，還必須對數(shù)據(jù)信息資源的訪問進行安全控制，對于所有的非授權(quán)訪問全部拒絕。

2.6 建立完善的計算機網(wǎng)絡(luò)安全管理制度

醫(yī)院的計算機網(wǎng)絡(luò)的安全防護必須建立在一套完善的計算機網(wǎng)絡(luò)安全管理規(guī)章制度上，制度與技術(shù)的結(jié)合才能夠有效的保障醫(yī)院計算機網(wǎng)絡(luò)信息系統(tǒng)的安全，才能夠確保醫(yī)院的計算機網(wǎng)絡(luò)安全、穩(wěn)定、高效的運行。

3 總結(jié)

隨著計算機網(wǎng)絡(luò)技術(shù)的不斷進步，以全球互聯(lián)網(wǎng)網(wǎng)絡(luò)作為代表的互聯(lián)網(wǎng)技術(shù)瞬間滲透到了世界的每個角落，這同時也給計算機網(wǎng)絡(luò)帶來了潛在的安全隱患。醫(yī)院的計算機網(wǎng)絡(luò)安全防護是一個巨大而艱巨的工程，需要依賴于一個全面的、整體的技術(shù)保障，與此同時也是一個動態(tài)以及長期的防護過程，醫(yī)院計算機網(wǎng)絡(luò)安全措施的研究需要緊密的將醫(yī)院實際情況以及技術(shù)結(jié)合起來，并制定有效的保證措施以及規(guī)章制度才能逐步提升醫(yī)院計算機網(wǎng)絡(luò)系統(tǒng)的安全。

參考文獻

[1]周薇.醫(yī)院網(wǎng)絡(luò)系統(tǒng)中病毒防范策略研究[J].中國醫(yī)療設(shè)備，2009（02）.

[2]張真真.大型醫(yī)院網(wǎng)絡(luò)安全防護體系的架構(gòu)[J].現(xiàn)代醫(yī)院管理，2008（06）.

[3]劉莉.醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的安全維護[J].中國醫(yī)療設(shè)備，2008（12）.

[4]毛曄沁.醫(yī)院網(wǎng)絡(luò)安全的技術(shù)實現(xiàn)與改進[J].信息安全與技術(shù)，2011（06）.

第12篇

關(guān)鍵詞 校園網(wǎng)；網(wǎng)絡(luò)信息；安全措施；分析

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2013）97-0230-02

1校園網(wǎng)安全特性分析

通常來講，信息安全重點關(guān)注的是信息資源、通信資源以及計算機資源等被一些惡意的行為破壞，出現(xiàn)了信息泄露、被篡改、濫用的現(xiàn)象。信息網(wǎng)絡(luò)的安全特性主要有完整性、可用性、保密性以及未授權(quán)使用資源的安全威脅，這些安全特性也是校園網(wǎng)的安全特性。

目前，不少學校的校園網(wǎng)中使用的網(wǎng)絡(luò)沒有設(shè)置防護系統(tǒng)，也沒有內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的區(qū)別，可以說安全策略和安全措施的設(shè)置絲毫沒有受到學校的重視。

主要表現(xiàn)在網(wǎng)絡(luò)的應(yīng)用管理系統(tǒng)較為分散、沒有設(shè)置完善的防毒策略、沒有采取數(shù)據(jù)備份措施以及尚未建立集中的身份驗證系統(tǒng)等等。

在教育信息化速度日益加快的今天，學校中的很多工作都需要通過網(wǎng)絡(luò)來完成，例如管理、科研方面的工作，除此之外，校內(nèi)的諸多業(yè)務(wù)系統(tǒng)都需要通過校園網(wǎng)來建立，如教務(wù)系統(tǒng)、人事系統(tǒng)、辦公系統(tǒng)以及財務(wù)系統(tǒng)等。如果校園網(wǎng)網(wǎng)絡(luò)信息的安全問題再得不到足夠的重視，將會給校園網(wǎng)埋下嚴重的安全隱患。

2校園網(wǎng)網(wǎng)絡(luò)信息安全風險分析

校園網(wǎng)具有網(wǎng)絡(luò)連接形式復(fù)雜、設(shè)備種類數(shù)量多以及操作系統(tǒng)平臺不一致的特點，這就給校園網(wǎng)的網(wǎng)絡(luò)信息的安全帶來了很多威脅，風險主要來自一些幾個方面。

2.1互聯(lián)網(wǎng)導(dǎo)致的風險

校園網(wǎng)絡(luò)的構(gòu)建幾乎都需要用到Internet技術(shù)，并且還需要連接到互聯(lián)網(wǎng)上。網(wǎng)絡(luò)用戶可以直接訪問互聯(lián)網(wǎng)的資源，同樣任何能上互聯(lián)網(wǎng)的用戶也可以直接訪問校園網(wǎng)的資源。

這樣的網(wǎng)絡(luò)構(gòu)建方式對于提高學校的知名度、擴大學校的影響力具有十分重要的作用。然而互聯(lián)網(wǎng)具有網(wǎng)絡(luò)信息的開放性和共享性，這就導(dǎo)致了網(wǎng)絡(luò)信息存在一定的安全隱患，學校在獲得知名度的同時，也會出現(xiàn)一些安全問題。

互聯(lián)網(wǎng)上的信息都不能完全信任，因為網(wǎng)絡(luò)信息的安全性無法保證，是否會出現(xiàn)網(wǎng)絡(luò)攻擊更難以預(yù)料，這就需要學校在使用校園網(wǎng)時切實做好安全防范工作，預(yù)防和化解存在的安全風險。

2.2內(nèi)部導(dǎo)致的風險

據(jù)相關(guān)統(tǒng)計顯示，有將近75%的網(wǎng)絡(luò)信息安全事件都是源于內(nèi)部。可見，內(nèi)部網(wǎng)絡(luò)存在的安全風險十分嚴重。

因為內(nèi)部人員比其他人員更熟悉內(nèi)部網(wǎng)絡(luò)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)，這就容易出現(xiàn)網(wǎng)絡(luò)內(nèi)部人員攻擊內(nèi)部網(wǎng)絡(luò)的事件，或者內(nèi)部人員與外部人員聯(lián)手攻擊網(wǎng)絡(luò)，亦或是內(nèi)部人員將網(wǎng)絡(luò)信息隨意泄露出去的行為，這都可能會給校園網(wǎng)的網(wǎng)絡(luò)系統(tǒng)帶來破壞性的打擊。

特別是近年來校園網(wǎng)絡(luò)的迅速發(fā)展，并且和一般性的局域網(wǎng)絡(luò)不同，校園網(wǎng)使用的用戶中網(wǎng)絡(luò)高手較多，更需要切實做好校園網(wǎng)的安全預(yù)防工作。

2.3病毒導(dǎo)致的安全風險

病毒是一種非法程序，它是為了達到某種企圖而秘密編寫的，它的復(fù)制能力非常強。病毒能夠給計算機網(wǎng)絡(luò)帶來毀滅性的破壞。

尤其是目前互聯(lián)網(wǎng)的發(fā)展速度日新月異，使用電子郵件系統(tǒng)的用戶變得越來越多，致使網(wǎng)絡(luò)成為了病毒擴散的重要載體，并且能夠借助計算機這一載體將病毒肆意地傳播開來。由此可見，校園網(wǎng)的網(wǎng)絡(luò)信息在病毒肆意蔓延的環(huán)境下存在著諸多安全隱患。

2.4管理導(dǎo)致的安全風險

在網(wǎng)絡(luò)安全中，管理占據(jù)著十分重要的地位。不少學校都將學校的建設(shè)放在重要的位置，而不太重視學校的管理工作，尤其是網(wǎng)絡(luò)安全管理。

可見，出現(xiàn)網(wǎng)絡(luò)安全的一個重要原因就是學校沒有制定完善的安全管理制度。

如，校園網(wǎng)的網(wǎng)絡(luò)用戶沒有樹立較強的安全意識，校園網(wǎng)缺乏完善的管理制度，校園網(wǎng)絡(luò)管理員設(shè)置不合理以及用戶口令設(shè)置不恰當?shù)鹊龋@些都給校園網(wǎng)帶來了嚴重的安全隱患。

2.5系統(tǒng)導(dǎo)致的安全風險

由系統(tǒng)導(dǎo)致的安全風險主要來自于數(shù)據(jù)庫系統(tǒng)、操作系統(tǒng)以及各種應(yīng)用系統(tǒng)。大多數(shù)校園網(wǎng)一般使用三種系列的操作系統(tǒng)，它們是Linux、Unix以及Windows，使用程度最高的系列是最后一種。

不言而喻，每一種操作系統(tǒng)都不可能是完美的，或多或少都會存在一些未知和已知的安全問題，并且國家安全組織也對系統(tǒng)中存在的大量漏洞給予了披露。系統(tǒng)中存在的有些漏洞能夠使攻擊者暢通無阻地進入到管理員的網(wǎng)絡(luò)系統(tǒng)中，進而破壞網(wǎng)絡(luò)系統(tǒng)，還有些漏洞能夠為病毒的入侵提供便利的條件等等。

總之，系統(tǒng)中存在的風險也嚴重威脅著校園網(wǎng)的網(wǎng)絡(luò)信息的安全。

3保護校園網(wǎng)信息安全的對策

3.1重視網(wǎng)絡(luò)安全規(guī)劃

注重對校園網(wǎng)實施安全規(guī)劃的目標是為了從系統(tǒng)性的角度對網(wǎng)絡(luò)中的安全問題進行全面性的思考。網(wǎng)絡(luò)安全規(guī)劃的內(nèi)容比較多，主要有病毒防御、加密技術(shù)、訪問攔截、認證技術(shù)以及攻擊檢測技術(shù)等安全預(yù)防措施；安全服務(wù)；安全管理制度，如工作流程、網(wǎng)絡(luò)工作人員以及維護保障制度等；安全防范策略；應(yīng)用服務(wù)器、應(yīng)用系統(tǒng)的分布情況、數(shù)據(jù)庫系統(tǒng)設(shè)置的位置；內(nèi)部網(wǎng)絡(luò)的邏輯劃分以及外部網(wǎng)絡(luò)的邏輯劃分；安全評估、數(shù)據(jù)備份與恢復(fù)措施、減災(zāi)措施以及實施計劃等。

在校園網(wǎng)建設(shè)規(guī)劃的同時，要同時做好校園網(wǎng)的信息規(guī)劃工作，并將其列入到校園網(wǎng)建設(shè)規(guī)劃中的重要事項當中。

3.2對網(wǎng)絡(luò)區(qū)域進行科學合理地劃分

站在安全的角度考慮，校園網(wǎng)對網(wǎng)絡(luò)區(qū)域進行科學合理地劃分是十分有必要的。在對網(wǎng)絡(luò)區(qū)域進行劃分時，需要充分考慮整體的安全規(guī)劃以及信息安全密級，運用邏輯思維對內(nèi)網(wǎng)和外網(wǎng)進行劃分，劃分出安全區(qū)域（內(nèi)網(wǎng)區(qū)域）、不安全區(qū)域以及非軍事區(qū)（DMZ），然后還要考慮到學校對網(wǎng)絡(luò)的需求情況，對虛擬專用網(wǎng)（VLAN）進行合理地劃分，如圖1所示。

圖1網(wǎng)絡(luò)區(qū)域的劃分

校園網(wǎng)的內(nèi)部網(wǎng)絡(luò)區(qū)域?qū)儆诎踩珔^(qū)域，這個區(qū)域是不允許外部用戶進行訪問的，因為其擁有較高的安全等級。

該區(qū)域運行的系統(tǒng)主要有OA系統(tǒng)以及各種應(yīng)用系統(tǒng)，而這個區(qū)域應(yīng)該存放的服務(wù)器主要有數(shù)據(jù)庫服務(wù)器以及不同種類的內(nèi)部服務(wù)器。

內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用戶都可以對非軍事區(qū)進行訪問。這個區(qū)域能夠為外界提供Ftp服務(wù)、Web服務(wù)以及Email服務(wù)等多種服務(wù)。

因此，也需要為這個區(qū)域制定一些安全防護措施。校園網(wǎng)防火墻以外的網(wǎng)路接口處外部的區(qū)域被規(guī)定為了不安全區(qū)域。在認真分析了校園網(wǎng)用戶的特征之后，總結(jié)出該結(jié)構(gòu)具有的特征如下：

1）通過校園網(wǎng)的入侵檢測系統(tǒng)和防火墻，校園網(wǎng)用戶都能對互聯(lián)網(wǎng)進行訪問，使廣大校園網(wǎng)的用戶能夠方便地使用網(wǎng)絡(luò)；

2）DMZ（demilitarized zone）與外部區(qū)間之間設(shè)有防火墻，能夠為校園網(wǎng)提供信息過濾以及訪問控制等防護措施。非軍事區(qū)域內(nèi)提供的所有網(wǎng)絡(luò)服務(wù)，內(nèi)部網(wǎng)絡(luò)用戶和外部網(wǎng)絡(luò)用戶都能夠享受，即都能夠?qū)υ搮^(qū)域進行訪問。

因此，需要在分析非軍事區(qū)域的特點，為其制定出行之有效的安全防護措施。在這些安全措施制定期間，要對內(nèi)部網(wǎng)絡(luò)用戶和外部網(wǎng)絡(luò)用戶做出一些規(guī)定，對開放服務(wù)不設(shè)置權(quán)限，但是對內(nèi)網(wǎng)的各種服務(wù)需要暫時設(shè)置一些權(quán)限，不能允許內(nèi)外網(wǎng)用戶進行訪問；

3）內(nèi)網(wǎng)區(qū)域具有較高的安全級別，在對其進行設(shè)置安全防護措施時，可以同時利用入侵檢測系統(tǒng)和防火墻，使二者進行相互配合，建立健全安全防御體系。

3.3運用行之有效的網(wǎng)絡(luò)安全防御技術(shù)

3.3.1防火墻安全技術(shù)

防火墻這種網(wǎng)絡(luò)設(shè)備能夠?qū)W(wǎng)絡(luò)之間的訪問起到一定的控制作用，它主要是通過攔截認證資格的用戶進入內(nèi)部網(wǎng)絡(luò)、篩選不安全信息的方式，以達到保護內(nèi)部網(wǎng)絡(luò)的目的，實質(zhì)上防火墻是一種位于內(nèi)外網(wǎng)之間的安全防御系統(tǒng)。然而防火墻這種安全技術(shù)無法控制內(nèi)部出現(xiàn)的沒有認證授權(quán)

就進行訪問的狀況。所以比較適合應(yīng)用于相對較為獨立的內(nèi)部網(wǎng)絡(luò)，并且和外網(wǎng)的連接的途徑受到一定的限制、網(wǎng)路服務(wù)種類比較集中的網(wǎng)絡(luò)。

在對外界入侵者進行防御時，防火墻應(yīng)用的技術(shù)主要有應(yīng)用網(wǎng)關(guān)、數(shù)據(jù)包過濾以及服務(wù)等，以達到維護校園網(wǎng)絡(luò)安全的目的。

3.3.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)可以提高網(wǎng)絡(luò)數(shù)據(jù)的安全系數(shù)，避免出現(xiàn)重要數(shù)據(jù)信息被濫用、篡改以及泄露的現(xiàn)象，從而為網(wǎng)絡(luò)的安全運行提供一個良好的環(huán)境。

而那些沒有運用加密技術(shù)的網(wǎng)絡(luò)數(shù)據(jù)容易在運行時受到外界的阻攔，給信息使用者帶來極大的經(jīng)濟損失。數(shù)據(jù)加密技術(shù)主要有三大類：對稱型加密技術(shù)、不可逆加密技術(shù)以及不對稱型加密技術(shù)。

總之，在網(wǎng)絡(luò)上應(yīng)用這三大類加密技術(shù)可以為網(wǎng)絡(luò)運行創(chuàng)造出一種安全可靠的環(huán)境。

3.3.3網(wǎng)絡(luò)入侵檢測技術(shù)

網(wǎng)絡(luò)入侵是指通過不合法的手段企圖使信息系統(tǒng)的完整性、機密性以及可信性受到嚴重破壞的任何網(wǎng)絡(luò)活動，對網(wǎng)絡(luò)環(huán)境的安全性造成了嚴重的威脅。

而入侵檢測（Intrusion Detection）技術(shù)能夠?qū)W(wǎng)絡(luò)的外部環(huán)境進行檢測，而且還能對網(wǎng)絡(luò)內(nèi)部用戶的未授權(quán)活動進行檢測，極大程度上提高了其安全性。網(wǎng)絡(luò)入侵技術(shù)通過利用新型的攻守結(jié)合戰(zhàn)略來對相關(guān)數(shù)據(jù)進行檢測，并及時驗證其是否具有合法利用特權(quán)，并且還能搜集相關(guān)證據(jù)，借此來追究入侵者的非法行為。

IDS是入侵檢測技術(shù)中常用的一種能夠為管理者提供安全可靠信息的檢測系統(tǒng)，它能夠及時地檢測到網(wǎng)絡(luò)運行中出現(xiàn)的可疑或不安全因素，然后將其真實地告訴網(wǎng)絡(luò)管理者，以便于采取有效的措施進行防御。

市場上比較常見的IDS產(chǎn)品綜合采

用三個基本方法來檢測網(wǎng)絡(luò)入侵：即為追蹤分析、網(wǎng)包分析及實時活動監(jiān)控。

參考文獻

[1]鄧長春.淺談網(wǎng)絡(luò)信息安全面臨的問題和對策[J].電腦與電信，2007（3）.

[2]陳文冠，曹亮，陳興華.高校校園網(wǎng)信息安全的研究[J].科技管理研究，2007（2）.