常見(jiàn)的網(wǎng)絡(luò)安全防護(hù)手段

開(kāi)篇：寫(xiě)作不僅是一種記錄，更是一種創(chuàng)造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇常見(jiàn)的網(wǎng)絡(luò)安全防護(hù)手段，希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友，陪伴您不斷探索和進(jìn)步。

第1篇

醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全存在技術(shù)因素與人為因素的干擾，需要針對(duì)各醫(yī)院實(shí)際情況做管理制度的完善健全，提升技術(shù)手段，規(guī)范管理細(xì)節(jié)措施，提升全體人員對(duì)網(wǎng)絡(luò)安全維護(hù)的意識(shí)與能力，從而有效的保證醫(yī)院信息化建設(shè)的高效化、安全化，有序化。

關(guān)鍵詞：

醫(yī)院；信息化建設(shè)；網(wǎng)絡(luò)安全；防護(hù)

醫(yī)院信息化建設(shè)不斷加快與成熟，促使整體的醫(yī)療診治水平提升，保證了診療工作的準(zhǔn)確與效率。但是隨著信息化的普遍性，相關(guān)網(wǎng)絡(luò)管理工作也日益復(fù)雜，尤其是我國(guó)惡意軟件與不良網(wǎng)絡(luò)攻擊情況嚴(yán)重，導(dǎo)致醫(yī)院網(wǎng)絡(luò)安全管理存在較大的威脅。網(wǎng)絡(luò)安全是醫(yī)院信息化建設(shè)中的重要工作，是保證信息化工作開(kāi)展的基本保障。

1醫(yī)院信息化建設(shè)中的常見(jiàn)安全隱患

1.1技術(shù)因素

醫(yī)院信息化建設(shè)中，會(huì)廣泛的涉及到服務(wù)器、客戶端、鏈路、軟件系統(tǒng)、存儲(chǔ)與網(wǎng)絡(luò)設(shè)備等多種構(gòu)成元素。醫(yī)院信息化建設(shè)有效的提升了整體的診療水平，提高工作效率與便捷性，但是網(wǎng)絡(luò)安全問(wèn)題也日益突出，相關(guān)信息資源的泄露或者系統(tǒng)攻擊都極大的威脅了信息化建設(shè)的有序開(kāi)展。在安全管理中，物理性環(huán)境安全、操作系統(tǒng)安全、數(shù)據(jù)備份安全等都是網(wǎng)絡(luò)系統(tǒng)建設(shè)的常見(jiàn)安全問(wèn)題。而常規(guī)性的運(yùn)用防火墻以及其他防病毒操作都無(wú)法有效的保證信息化平臺(tái)的安全性，容易引發(fā)數(shù)據(jù)泄露、損壞與丟失，進(jìn)而干擾了醫(yī)院正常工作運(yùn)轉(zhuǎn)，甚至也對(duì)患者個(gè)人信息構(gòu)成泄露，急需要通過(guò)更強(qiáng)的防護(hù)技術(shù)來(lái)做保障。對(duì)于部分醫(yī)院而言，會(huì)簡(jiǎn)單的認(rèn)為設(shè)置一定安全防火墻就可以保障系統(tǒng)的安全性，甚至認(rèn)為不需要其他安全防護(hù)來(lái)做安全保障，這主要是安全防護(hù)工作中缺乏與時(shí)俱進(jìn)的先進(jìn)意識(shí)，認(rèn)識(shí)誤區(qū)較為明顯。而防火墻只是防護(hù)手段中的一種，能夠防御性的安全問(wèn)題較為局限，對(duì)網(wǎng)絡(luò)內(nèi)部與旁路攻擊都無(wú)法達(dá)到理想的防護(hù)效果，同時(shí)針對(duì)內(nèi)容攻擊的問(wèn)題也無(wú)法處理。部分設(shè)備中只是對(duì)攻擊行為進(jìn)行警告，但是并不具備攻擊行為的防控能力。在數(shù)據(jù)庫(kù)升級(jí)中，可以到數(shù)據(jù)庫(kù)做用戶操作登錄記錄，可以達(dá)到操作源IP地址的定位，但是缺乏無(wú)法阻止其做惡性操作，例如對(duì)數(shù)據(jù)信息做惡意的竊取與篡改，甚至無(wú)法認(rèn)定操作人員最終責(zé)任，因?yàn)橘~戶登錄只需要賬戶與密碼就可以進(jìn)行，但是這種登錄操作任何掌握信息的人都可以進(jìn)行，無(wú)法達(dá)到全面的管控。此外，安全防護(hù)措施工作量大，操作復(fù)雜。在做IP與MAC地址綁定中，需要管理人員針對(duì)每臺(tái)交換機(jī)做操作，對(duì)綁定信息做逐條的輸入，工作負(fù)荷相對(duì)更大，操作缺乏高效便捷性。其次，如果有人懂得相關(guān)網(wǎng)絡(luò)基礎(chǔ)技術(shù)，可以輕易的做到IP與MAC地址的變更，從而引發(fā)綁定操作失效。此外，醫(yī)院主機(jī)裝備了殺毒軟件，然而由于數(shù)量較多，不能有效的對(duì)每個(gè)主機(jī)做殺毒軟件的統(tǒng)一性管控，對(duì)于病毒庫(kù)的更新以及軟件的開(kāi)啟等情況都無(wú)法做有效確定，相應(yīng)的系統(tǒng)補(bǔ)丁也不能及時(shí)有效更新，進(jìn)而導(dǎo)致安全防護(hù)效果不能確定。雖然醫(yī)院投入大量的財(cái)力與人力做好安全防護(hù)措施處理，但是實(shí)際上缺乏可執(zhí)行性，同時(shí)由于各設(shè)備間缺乏關(guān)聯(lián)性，從而對(duì)于實(shí)際效果無(wú)法做有效評(píng)估與管控，安全防護(hù)措施與手段的運(yùn)用則流于形式。

1.2人為因素

醫(yī)院信息化建設(shè)更多的操作需要人為進(jìn)行，因此人為因素是網(wǎng)絡(luò)安全管理的重要因素。醫(yī)院沒(méi)有將網(wǎng)絡(luò)安全明確到人，缺乏責(zé)任制管理，無(wú)論是安全管理人員還是普通工作人員，缺乏足夠的安全管理意識(shí)。沒(méi)有形成規(guī)范合理的信息系統(tǒng)建設(shè)制度規(guī)范，導(dǎo)致實(shí)際操作無(wú)章可循。沒(méi)有強(qiáng)效的安全檢查與監(jiān)督機(jī)制，同時(shí)也沒(méi)有專業(yè)的第三方機(jī)構(gòu)做安全性介入管理。相關(guān)工作人員缺乏專業(yè)資質(zhì)認(rèn)定，對(duì)于網(wǎng)絡(luò)安全沒(méi)有展開(kāi)合宜的宣傳教育，同時(shí)也缺乏對(duì)應(yīng)工作與行為考核，導(dǎo)致工作人員缺乏應(yīng)有的安全責(zé)任觀念。因?yàn)楣ぷ魅藛T缺乏安全意識(shí)與專業(yè)的安全能力，會(huì)出現(xiàn)將個(gè)人電腦接入醫(yī)院內(nèi)部網(wǎng)絡(luò)，從而導(dǎo)致病毒攜帶入網(wǎng)，導(dǎo)致相關(guān)信息化系統(tǒng)運(yùn)行故障。或則將醫(yī)療業(yè)務(wù)網(wǎng)絡(luò)電腦與互聯(lián)網(wǎng)、外網(wǎng)連通，導(dǎo)致相關(guān)網(wǎng)絡(luò)中的病毒、木馬程序進(jìn)入到醫(yī)院的內(nèi)部網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)病毒蔓延。工作人員會(huì)因?yàn)橛新殑?wù)的便利性，會(huì)訪問(wèn)醫(yī)院有關(guān)數(shù)據(jù)庫(kù)，從而得到數(shù)據(jù)資料的竊取與篡改，進(jìn)而導(dǎo)致相關(guān)經(jīng)濟(jì)損失。同時(shí)黑客會(huì)通過(guò)技術(shù)手段接入到醫(yī)院內(nèi)部網(wǎng)絡(luò)中，進(jìn)行直接性的網(wǎng)絡(luò)攻擊，醫(yī)院與醫(yī)保網(wǎng)絡(luò)系統(tǒng)處于連通數(shù)據(jù)驗(yàn)證操作所需，如果被攻擊則容易導(dǎo)致嚴(yán)重后果。

2醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全防護(hù)

2.1完善管理制度

醫(yī)院網(wǎng)絡(luò)運(yùn)行保持安全性效果的基礎(chǔ)在于完善健全的制度管理，可以通過(guò)對(duì)醫(yī)院實(shí)際情況的了解，設(shè)置針對(duì)性安全管理操作制度、監(jiān)督制度、用人制度、激勵(lì)制度等多種內(nèi)容。確保所有有關(guān)工作的開(kāi)展有章可循，提升操作的標(biāo)準(zhǔn)性、可執(zhí)行性。要不斷的強(qiáng)化制度的權(quán)威性，讓工作人員對(duì)此保持謹(jǐn)慎態(tài)度，避免安全疏忽。

2.2安全管理細(xì)節(jié)措施

醫(yī)院網(wǎng)絡(luò)管理需要多方面的細(xì)節(jié)措施來(lái)保證。例如為了保證服務(wù)器能夠可靠穩(wěn)定的持續(xù)工作，需要運(yùn)用雙機(jī)容錯(cuò)與雙機(jī)熱備對(duì)應(yīng)方案，對(duì)于關(guān)鍵性設(shè)備需要運(yùn)用UPS來(lái)達(dá)到對(duì)主備機(jī)系統(tǒng)的有效供電，確保供電電壓持續(xù)穩(wěn)定供應(yīng)，同時(shí)避免突發(fā)事件。網(wǎng)絡(luò)架構(gòu)方面，需要將主干網(wǎng)絡(luò)鏈路采用冗余模式，這樣如果出現(xiàn)部分線路故障，其余的冗余線路可以有效繼續(xù)支持整個(gè)網(wǎng)絡(luò)的運(yùn)轉(zhuǎn)。需要運(yùn)用物理隔離處理來(lái)對(duì)相關(guān)信息數(shù)據(jù)傳輸設(shè)備保持一定的安全防護(hù)，避免其他非專業(yè)人員或者惡意破壞人員對(duì)設(shè)備進(jìn)行破壞，需要做好業(yè)務(wù)內(nèi)網(wǎng)與外網(wǎng)連通的隔離，避免網(wǎng)絡(luò)混合后導(dǎo)致的攻擊影響或者信息泄露。對(duì)于醫(yī)院內(nèi)部的信息內(nèi)容，需要做好數(shù)據(jù)與系統(tǒng)信息的備份容災(zāi)體系構(gòu)建，這樣可以有效的在機(jī)房失火或者系統(tǒng)運(yùn)行受到破壞時(shí)快速的恢復(fù)系統(tǒng)運(yùn)行。要展開(kāi)網(wǎng)絡(luò)系統(tǒng)的權(quán)限設(shè)置，避免違規(guī)越權(quán)操作導(dǎo)致系統(tǒng)信息數(shù)據(jù)的修改有著竊取，要做好數(shù)據(jù)庫(kù)審計(jì)日志，對(duì)于相關(guān)數(shù)據(jù)做動(dòng)態(tài)性的跟蹤觀察與預(yù)警。

2.3技術(shù)手段升級(jí)

在網(wǎng)絡(luò)安全防護(hù)措施上需要保持多樣化與多層次的防護(hù)管理，積極主動(dòng)的尋找管理漏洞，有效及時(shí)的修補(bǔ)管理不足。對(duì)網(wǎng)絡(luò)設(shè)備做好殺毒軟件的有效管控，建立內(nèi)外網(wǎng)間的防火墻，限制網(wǎng)絡(luò)訪問(wèn)權(quán)限，做好網(wǎng)絡(luò)攻擊預(yù)警與防護(hù)處理。對(duì)于網(wǎng)絡(luò)系統(tǒng)各操作做有效記錄跟蹤，最安全漏洞做到及時(shí)發(fā)現(xiàn)并修復(fù)。要投入足夠人力與財(cái)力，優(yōu)化工作人員技術(shù)水平，從而有效的保證技術(shù)手段的專業(yè)完善性。

結(jié)束語(yǔ)

醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全需要醫(yī)院所有人員的配合，提升安全意識(shí)，規(guī)范安全管理制度與行為，確保網(wǎng)絡(luò)安全的有序進(jìn)行。

作者：梁子 單位：廣州市番禺區(qū)中心醫(yī)院

參考文獻(xiàn)

[1]李騫.醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全與防護(hù)措施探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(9):43,45.

第2篇

關(guān)鍵詞：網(wǎng)絡(luò)工程；安全防護(hù)；防護(hù)技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）21- 4790-02

隨著我國(guó)社會(huì)經(jīng)濟(jì)的發(fā)展，信息化建設(shè)也發(fā)展較快，現(xiàn)代通信技術(shù)日新月異。通信網(wǎng)絡(luò)的推廣和普及使人們改變了信息交流的方式，逐漸成為人們?nèi)粘Ｉ钚畔@取和交流的主要途徑。近年來(lái)，我國(guó)互聯(lián)網(wǎng)行業(yè)的飛速發(fā)展帶來(lái)了兩個(gè)方面的影響，一方面方便了人們的工作和生活，另一方面由于計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性、互聯(lián)性以及分散性等特點(diǎn)，使得網(wǎng)絡(luò)工程中還不同程度地存在著一些安全隱患，威脅著網(wǎng)絡(luò)工程的通信網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)安全防護(hù)是一種網(wǎng)絡(luò)安全技術(shù)，加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)，有利于保障通信網(wǎng)絡(luò)安全暢通。因此，研究網(wǎng)絡(luò)工程中的安全防護(hù)技術(shù)具有十分重要的現(xiàn)實(shí)意義。鑒于此，筆者對(duì)網(wǎng)絡(luò)工程中的安全防護(hù)技術(shù)進(jìn)行了初步探討。

1 網(wǎng)絡(luò)工程安全存在的問(wèn)題分析

當(dāng)前，網(wǎng)絡(luò)工程安全現(xiàn)狀不容樂(lè)觀，還存在著諸多亟待解決的問(wèn)題，這些問(wèn)題主要表現(xiàn)在黑客的威脅攻擊、計(jì)算機(jī)病毒入侵、IP地址被盜用、垃圾郵件的泛濫和計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)五個(gè)方面，其具體內(nèi)容如下：

1.1 黑客的威脅攻擊

黑客的威脅攻擊是網(wǎng)絡(luò)工程安全中存在的問(wèn)題之一。黑客最早源自英文hacker，從黑客的定義上來(lái)看，黑客是指利用系統(tǒng)安全漏洞對(duì)網(wǎng)絡(luò)進(jìn)行攻擊破壞或竊取資料的人。一般來(lái)說(shuō)，黑客在對(duì)網(wǎng)絡(luò)工程進(jìn)行攻擊時(shí)，按黑客攻擊的方式分類主要有兩種攻擊方式，即非破壞性攻擊和破壞性攻擊。非破壞性攻擊通常為了擾亂系統(tǒng)的運(yùn)行，將阻礙系統(tǒng)正常運(yùn)行作為目的， 并不盜竊系統(tǒng)資料，用拒絕服務(wù)和信息炸彈對(duì)系統(tǒng)進(jìn)行攻擊；破壞性攻擊以侵入電腦系統(tǒng)、盜竊系統(tǒng)保密信息為目的，黑客會(huì)破壞電腦系統(tǒng)。

1.2 計(jì)算機(jī)病毒入侵

計(jì)算機(jī)病毒入侵在一定程度上制約著網(wǎng)絡(luò)工程安全的發(fā)展。計(jì)算機(jī)病毒具有破壞性，復(fù)制性和傳染性等特點(diǎn)，計(jì)算機(jī)病毒不是天然存在的，是編制者將指令、程序代碼植入到計(jì)算機(jī)系統(tǒng)中。所謂的病毒是人為造成的，通過(guò)影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行，造成對(duì)其他用戶的危害。計(jì)算機(jī)病毒破壞力強(qiáng)、傳播迅速且不易被察覺(jué)，尤其是像木馬、震網(wǎng)、火焰這些通過(guò)網(wǎng)絡(luò)作為途徑傳播的病毒，一旦感染其他程序，將會(huì)對(duì)計(jì)算機(jī)資源進(jìn)行破壞。不難看出，提高系統(tǒng)的安全性是確保網(wǎng)絡(luò)工程安全的過(guò)程中迫切需要解決的問(wèn)題。

1.3 IP地址被盜用

IP地址被盜用也是網(wǎng)絡(luò)工程安全的瓶頸。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)而言，被盜用IP地址的計(jì)算機(jī)不能正常使用網(wǎng)絡(luò)，致使用戶無(wú)法進(jìn)行正常的網(wǎng)絡(luò)連接。區(qū)域網(wǎng)絡(luò)中常有l(wèi)P被盜的情況，這種情況下用戶被告知lP地址已被占用，致使用戶無(wú)法進(jìn)行正常的網(wǎng)絡(luò)連接。這些lP地址權(quán)限通常較高，竊取lP者一般會(huì)以不知名的身份來(lái)擾亂用戶的正常網(wǎng)絡(luò)使用，這會(huì)給用戶帶來(lái)很大的影響，使用戶的自身權(quán)益受到侵犯，也嚴(yán)重威脅網(wǎng)絡(luò)的安全性。

1.4 垃圾郵件的泛濫

垃圾郵件的泛濫，使得網(wǎng)絡(luò)工程安全陷入困境。垃圾郵件是指那些并非用戶自愿卻無(wú)法阻止收取的郵件。長(zhǎng)期以來(lái)，垃圾郵件損害了郵件使用者的利益， 垃圾郵件的的日益嚴(yán)重讓網(wǎng)絡(luò)重負(fù)逐漸加大，對(duì)效率和安全性造成嚴(yán)重的威脅，一方面大量消耗網(wǎng)絡(luò)資源，減緩了系統(tǒng)運(yùn)行效率；另一方面，數(shù)量繁多的垃圾郵件還侵害整個(gè)網(wǎng)絡(luò)工程的安全。

1.5 計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)

計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)也影響著網(wǎng)絡(luò)工程安全。在計(jì)算機(jī)網(wǎng)絡(luò)工程中，管理機(jī)構(gòu)的體制不健全，各崗位分工不明確，對(duì)密碼及權(quán)限的管理不夠，這些因素使網(wǎng)絡(luò)安全日益受到外來(lái)的破壞且用戶自身安全防衛(wèi)意識(shí)薄弱，無(wú)法有效地規(guī)避信息系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)， 導(dǎo)致計(jì)算機(jī)系統(tǒng)的風(fēng)險(xiǎn)逐步嚴(yán)重，計(jì)算機(jī)系統(tǒng)不能正常工作，最終威脅到計(jì)算機(jī)網(wǎng)絡(luò)的安全。因此，加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)勢(shì)在必行。

2 加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的策略

2.1 設(shè)置防火墻過(guò)濾信息

最直接的黑客防治辦法是運(yùn)用防火墻技術(shù)，設(shè)置防火墻過(guò)濾信息是加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的關(guān)鍵。網(wǎng)絡(luò)工程中最有效的防護(hù)手段就是在外部網(wǎng)絡(luò)和局域網(wǎng)之間架設(shè)防火墻，網(wǎng)絡(luò)防火墻作為一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件，可以將局域網(wǎng)與外部網(wǎng)的地址分割開(kāi)，計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻，經(jīng)過(guò)防火墻的過(guò)濾，能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行，增加內(nèi)部網(wǎng)絡(luò)的安全性。另外，防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。

2.2 加強(qiáng)病毒的防護(hù)措施

加強(qiáng)病毒的防護(hù)措施也是加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的重要組成部分。病毒防護(hù)是計(jì)算機(jī)系統(tǒng)日常維護(hù)與安全管理的重要內(nèi)容，當(dāng)前計(jì)算機(jī)病毒在形式上越來(lái)越難以辨別，計(jì)算機(jī)網(wǎng)絡(luò)病毒的防治，單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來(lái)，提高人們的防范意識(shí)，才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。常見(jiàn)的殺毒軟件有：360安全衛(wèi)士，卡巴斯基，金山毒霸等。網(wǎng)絡(luò)工程在加強(qiáng)病毒的防護(hù)措施方面，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)工程人員而言，相關(guān)人員都應(yīng)該掌握使用殺毒軟件、防病毒卡等措施，一般情況下，要定期對(duì)計(jì)算進(jìn)行病毒檢測(cè)與查殺，一旦發(fā)現(xiàn)病毒時(shí)應(yīng)詢問(wèn)后再處理，不僅如此，對(duì)計(jì)算機(jī)系統(tǒng)的重要文件還要進(jìn)行備份，防止由于病毒對(duì)系統(tǒng)造成的破壞導(dǎo)致數(shù)據(jù)的丟失。

2.3 入侵檢測(cè)技術(shù)的植入

入侵檢測(cè)系統(tǒng)作為一種主動(dòng)的安全防護(hù)技術(shù)，對(duì)于加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)至關(guān)重要。對(duì)網(wǎng)絡(luò)工程而言，入侵檢測(cè)技術(shù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)資源及信息中隱藏或包含的惡意攻擊行為有效的識(shí)別，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，可以利用網(wǎng)絡(luò)安全入侵檢測(cè)采取相應(yīng)的網(wǎng)絡(luò)安全防護(hù)措施。入侵檢測(cè)系統(tǒng)能夠從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)提供安全服務(wù)，從而有效的降低了來(lái)自網(wǎng)絡(luò)的威脅和破壞，必將進(jìn)一步受到人們的高度重視。

2.4 拒絕垃圾郵件的收取

凡是未經(jīng)用戶許可就強(qiáng)行發(fā)送到用戶的郵箱中的電子郵件，都被成為垃圾郵件。垃圾郵件一般具有批量發(fā)送的特征。垃圾郵件現(xiàn)在慢慢發(fā)展成為計(jì)算機(jī)網(wǎng)絡(luò)安全的又一公害。拒絕垃圾郵件的收取也是加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的重要環(huán)節(jié)，拒絕垃圾郵件的收取，要從保護(hù)自己的郵件地址做起，不要隨意的使用郵箱地址作為登記信息，避免垃圾郵件的擾亂。還可以使用outlookExPress和Faxmail中的郵件管理，將垃圾文件過(guò)濾處理，拒絕垃圾文件的收取。

2.5 加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范

加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范對(duì)于加強(qiáng)網(wǎng)絡(luò)工程安全也不容忽視。在網(wǎng)絡(luò)工程風(fēng)險(xiǎn)防范的過(guò)程中，利用數(shù)據(jù)加密技術(shù)是行之有效的途徑。數(shù)據(jù)加密技術(shù)是加密技術(shù)是最常用的安全保密手段，也是有效防范網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)最直接，最為有效的方式。數(shù)據(jù)加密是一種限制對(duì)網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問(wèn)權(quán)的技術(shù)，具體說(shuō)來(lái)，它是通過(guò)引導(dǎo)用戶對(duì)網(wǎng)絡(luò)傳輸中出現(xiàn)的、比較重要的數(shù)據(jù)進(jìn)行設(shè)置密碼的過(guò)程。從網(wǎng)絡(luò)工程中數(shù)據(jù)加密的方式上來(lái)看，數(shù)據(jù)加密技術(shù)主要包括線路加密、端與端加密等等，各種方法都有各自的有點(diǎn)，線路加密主要是針對(duì)需要保密的信息進(jìn)行的，在加密時(shí)使用加密密鑰來(lái)對(duì)信息進(jìn)行保護(hù)。端與端加密主要是針對(duì)網(wǎng)絡(luò)信息的發(fā)出方，當(dāng)網(wǎng)絡(luò)信息數(shù)據(jù)到達(dá)tcp/ip之后就利用數(shù)據(jù)包進(jìn)行回封操作，以此對(duì)重要數(shù)據(jù)進(jìn)行安全保護(hù)。

3 結(jié)束語(yǔ)

總之，網(wǎng)絡(luò)工程中的安全防護(hù)是一項(xiàng)綜合的系統(tǒng)工程，具有長(zhǎng)期性和復(fù)雜性。網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)，應(yīng)設(shè)置防火墻過(guò)濾信息、加強(qiáng)病毒的防護(hù)措施、入侵檢測(cè)技術(shù)的植入、拒絕垃圾郵件的收取、加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范，不斷探索加強(qiáng)網(wǎng)絡(luò)工程中安全防護(hù)技術(shù)的策略，只有這樣，才能不斷提高網(wǎng)絡(luò)工程的安全管理水平，進(jìn)而確保計(jì)算機(jī)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)：

[1] 李巍巍.計(jì)算機(jī)網(wǎng)絡(luò)安全的數(shù)據(jù)備份和容災(zāi)系統(tǒng)[J].黑龍江科技信息，2010（33）.

[2] 王薪凱，姚衡，王亨，常晶晶，喻星晨.計(jì)算機(jī)網(wǎng)絡(luò)信息安全與防范[J].硅谷，2011（4）.

[3] 金金.2011年信息安全十大熱點(diǎn)預(yù)測(cè)[J].信息安全與通信保密，2011（3）.

[4] 趙章界，李晨旸，劉海峰.信息安全策略開(kāi)發(fā)的關(guān)鍵問(wèn)題研究[J].信息網(wǎng)絡(luò)安全，2011（3）.

[5] 陸文紅，蒙勁.小議通信網(wǎng)絡(luò)安全問(wèn)題分析及維護(hù)措施[J].中小企業(yè)管理與科技（下旬刊），2010（10）.

[6] 余斌.論計(jì)算機(jī)互聯(lián)網(wǎng)與通信網(wǎng)絡(luò)建設(shè)的安全性[J].科技經(jīng)濟(jì)市場(chǎng)，2010（5）.

第3篇

【關(guān)鍵詞】 家庭寬帶 網(wǎng)絡(luò)安全 技術(shù)防范

家庭寬帶網(wǎng)絡(luò)在應(yīng)用中容易產(chǎn)生安全隱患，輕則會(huì)致使文件損壞，系統(tǒng)崩潰，嚴(yán)重會(huì)致使網(wǎng)絡(luò)使用者產(chǎn)生相應(yīng)的經(jīng)濟(jì)損失與隱私泄露等。下文將對(duì)家庭寬帶網(wǎng)絡(luò)的一些常見(jiàn)的安全問(wèn)題進(jìn)行闡述，在分析問(wèn)題的基礎(chǔ)之上，明確加強(qiáng)家庭寬帶網(wǎng)絡(luò)安全保護(hù)的重要意義，從而進(jìn)一步提出加強(qiáng)家庭寬帶網(wǎng)絡(luò)安全保護(hù)的具體措施。

一、家庭寬帶網(wǎng)絡(luò)主要存在的安全問(wèn)題

首先就是網(wǎng)絡(luò)開(kāi)放性的問(wèn)題，網(wǎng)絡(luò)要想實(shí)現(xiàn)有效的訪問(wèn)就需要使得網(wǎng)絡(luò)開(kāi)放于互聯(lián)網(wǎng)之中，不同的計(jì)算機(jī)設(shè)備能夠通過(guò)相應(yīng)的硬件設(shè)備而實(shí)現(xiàn)通信，促進(jìn)網(wǎng)絡(luò)與信息技術(shù)的緊密聯(lián)系。

根據(jù)目前我國(guó)的研究調(diào)查顯示，家庭寬帶網(wǎng)絡(luò)安裝已經(jīng)實(shí)現(xiàn)了一半以上的覆蓋率，而使用寬帶上網(wǎng)的人數(shù)已經(jīng)超過(guò)一億多。但是對(duì)于家庭寬帶的網(wǎng)絡(luò)安全問(wèn)題，并不是所有的人都能夠樹(shù)立正確意識(shí)的，仍然缺乏安全防護(hù)措施，比如防火墻等，很多信息會(huì)在不經(jīng)意之間實(shí)現(xiàn)私人信息的共享，另外也會(huì)因?yàn)榫W(wǎng)絡(luò)安全管理不當(dāng)而致使私人信息的泄露。面臨的兩種主要威脅，一是電腦系統(tǒng)會(huì)遭遇非法入侵者，致使信息泄露的同時(shí)，也會(huì)造成一定的經(jīng)濟(jì)損失等，二是病毒的入侵[1]，主要利用計(jì)算機(jī)以及網(wǎng)絡(luò)中的實(shí)際漏洞，以編制好的程序和代碼進(jìn)行擾亂，以此實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的崩潰以及電腦系統(tǒng)的崩潰。另外計(jì)算機(jī)病毒的種類成千上萬(wàn)，并且每年還會(huì)有全新的病毒產(chǎn)生，影響電腦系統(tǒng)運(yùn)行以及網(wǎng)絡(luò)安全，所以越來(lái)越多不能夠正確認(rèn)識(shí)保護(hù)家庭寬帶網(wǎng)絡(luò)安全的網(wǎng)民成為了網(wǎng)絡(luò)安全難以維持的薄弱的群體。只有正確認(rèn)識(shí)了家庭寬帶網(wǎng)絡(luò)中所存在的主要問(wèn)題，才能夠針對(duì)問(wèn)題進(jìn)行家庭寬帶網(wǎng)絡(luò)安全的相應(yīng)完善，從而實(shí)現(xiàn)對(duì)于家庭寬帶網(wǎng)絡(luò)安全的保護(hù)。

二、加強(qiáng)對(duì)于家庭寬帶網(wǎng)絡(luò)安全的保護(hù)

2.1提升網(wǎng)絡(luò)安全保護(hù)意識(shí)

想要加強(qiáng)對(duì)于家庭寬帶網(wǎng)絡(luò)安全的保護(hù)，最根本的還是需要提升安全保護(hù)的意識(shí)，意識(shí)到家庭寬帶網(wǎng)絡(luò)可能存在著信息安全隱患，隱私信息存在著泄露的風(fēng)險(xiǎn)。一些具有風(fēng)險(xiǎn)的網(wǎng)站不予瀏覽和點(diǎn)擊，不隨意下載網(wǎng)站上的沒(méi)有可信證明來(lái)源的文件，裝載相應(yīng)的防火墻以及殺毒程序，正確理解網(wǎng)絡(luò)安全保護(hù)與網(wǎng)絡(luò)開(kāi)放性與交互性之間的內(nèi)在聯(lián)系[2]。只有從意識(shí)上進(jìn)行轉(zhuǎn)變，才能夠有效促進(jìn)對(duì)于家庭寬帶網(wǎng)絡(luò)安全的進(jìn)一步保護(hù)。

2.2采取網(wǎng)絡(luò)安全保護(hù)手段

一般網(wǎng)絡(luò)安全的保護(hù)手段體現(xiàn)在對(duì)于相應(yīng)軟件的裝載上，比如殺毒軟件以及防火墻的安裝。殺毒軟件往往家庭用戶偏向于免費(fèi)的殺毒軟件，但無(wú)論是免費(fèi)殺毒軟件還是收費(fèi)的殺毒軟件，都能夠在一定程度上起到安全查殺病毒的實(shí)際作用。

另外一些軟件助手里還會(huì)存在著安全防護(hù)的功能，所以可以通過(guò)屏蔽不良的代碼編制的方式，促進(jìn)系統(tǒng)增強(qiáng)免疫熊，避免系統(tǒng)收到侵?jǐn)_。另外也可以將網(wǎng)絡(luò)瀏覽安全級(jí)別設(shè)置為最高，將Active中的空間與插件的設(shè)置，變成禁用的模式。這樣才能夠在一定程度上，避免在使用IE瀏覽器進(jìn)行網(wǎng)頁(yè)瀏覽的過(guò)程中，被惡意網(wǎng)站中的病毒或者非法入侵者進(jìn)行相應(yīng)的攻擊。

這里還要著重介紹一下補(bǔ)丁安裝，以微軟的UPDATE程序?yàn)槔齕3]，這個(gè)程序是所有微軟體系中所包括的重要系統(tǒng)內(nèi)容，但是往往人們對(duì)于UPDATE沒(méi)能夠樹(shù)立正確的理解。UPDATE會(huì)實(shí)時(shí)更新關(guān)于系統(tǒng)的補(bǔ)丁，通過(guò)下載補(bǔ)丁的方式，強(qiáng)化系統(tǒng)安全。比如Windows XP安全更新程序這一補(bǔ)丁包，能夠防止攻擊者利用已存在的問(wèn)題進(jìn)行計(jì)算機(jī)的控制獲取，防止攻擊者在系統(tǒng)上執(zhí)行黑代碼威脅到計(jì)算機(jī)的實(shí)際安全。另外家庭寬帶網(wǎng)絡(luò)使用者也需要做兩手準(zhǔn)備，對(duì)于系統(tǒng)上所存在的重要信息及數(shù)據(jù)，要進(jìn)行及時(shí)的備份，利用完全備份與追加備份有機(jī)結(jié)合的方式去進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)安全的提升。最為基礎(chǔ)的就是設(shè)置開(kāi)關(guān)機(jī)密碼等，關(guān)鍵文件設(shè)置隱藏，避免文件被人為查看。

從技術(shù)角度進(jìn)行考慮，可以在上網(wǎng)的過(guò)程之中實(shí)現(xiàn)IP地址的隱藏，這樣不僅僅能夠避免人為的技g攻擊與電腦入侵，同時(shí)也能夠提升上網(wǎng)速度，促進(jìn)系統(tǒng)安全性的增強(qiáng)。那么隱藏IP也可以通過(guò)以下幾個(gè)方式，比如更換管理員賬號(hào)等，運(yùn)用相對(duì)較多的、難度系數(shù)高的密碼賬號(hào)，取消對(duì)于文件夾隱藏共享行為，關(guān)閉一些沒(méi)有用處的計(jì)算機(jī)端口，避免非法入侵者去掃描計(jì)算機(jī)端口。很多非法用戶使用家庭寬帶的無(wú)線網(wǎng)絡(luò)的時(shí)候，恰恰是利用了IP地址的合理分配方式，所以可以關(guān)閉DHCP服務(wù)器[4]，手動(dòng)設(shè)置無(wú)線網(wǎng)卡的IP地址，開(kāi)啟MAC地址過(guò)濾。

無(wú)線網(wǎng)絡(luò)也要實(shí)現(xiàn)加密，雖然WEP加密方式、WPA加密方式以及WPA2加密方式是比較常用的，但是第一種加密方式更具有可破解性，所以不建議使用。另外，就是去修改SSID名稱也能夠?qū)崿F(xiàn)無(wú)線網(wǎng)絡(luò)安全的提升。

2.3明確網(wǎng)絡(luò)接入方式，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)

針對(duì)目前家庭寬帶網(wǎng)絡(luò)可能存在的問(wèn)題，可以通過(guò)明確網(wǎng)絡(luò)接入方式，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。類似家庭寬帶接入網(wǎng)技術(shù)存在著多樣性，這里包括了數(shù)字用戶線接入、光纖接入、無(wú)源光網(wǎng)絡(luò)接入、WiMax接入方式等，這些都由相應(yīng)的網(wǎng)絡(luò)架構(gòu)組成。首先就是用戶自組網(wǎng)絡(luò)[5]，這種網(wǎng)絡(luò)形式是以家庭為核心的實(shí)際局部的網(wǎng)絡(luò)，網(wǎng)絡(luò)屬于用戶個(gè)人，并且應(yīng)用較為廣泛。

想要實(shí)現(xiàn)高密度多形式的有效的網(wǎng)絡(luò)接入，提升安全防護(hù)的能力，可以采取接入節(jié)點(diǎn)的方式。運(yùn)營(yíng)商針對(duì)家庭寬帶網(wǎng)絡(luò)安全問(wèn)題，也了寬帶網(wǎng)絡(luò)網(wǎng)關(guān)、以太匯聚網(wǎng)絡(luò)等，但是一旦出現(xiàn)非法數(shù)據(jù)的傳送以及非法用戶接入等，從運(yùn)營(yíng)商的角度考慮，會(huì)直接造成收益的下降。所以在優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)中，為了阻止這一現(xiàn)象的產(chǎn)生，還需要提出多種用戶線路的識(shí)別方案，比如DHCP option82協(xié)議、PPoE+協(xié)議等。這些協(xié)議可以通過(guò)剝離字段信息、或是插入相應(yīng)的端口信息的方式，來(lái)對(duì)目前的網(wǎng)絡(luò)使用以及用戶識(shí)別提出相應(yīng)的規(guī)范[6]。虛擬的局域網(wǎng)棧以及虛擬MAC同樣也是利用雙標(biāo)簽和內(nèi)層網(wǎng)絡(luò)來(lái)唯一標(biāo)示端口信息，以及從MAC地址信息中直接獲取端口信息等。這些方式都能夠?qū)崿F(xiàn)用戶身份驗(yàn)證，在避免非法應(yīng)用的同時(shí)，保護(hù)了用戶的安全以及運(yùn)營(yíng)商的利益，從而促進(jìn)了網(wǎng)絡(luò)接入方式的明確與網(wǎng)絡(luò)結(jié)構(gòu)的實(shí)際優(yōu)化。

三、結(jié)語(yǔ)

在家庭寬帶網(wǎng)絡(luò)廣泛應(yīng)用的同時(shí)，也需要注重家庭寬帶網(wǎng)絡(luò)的應(yīng)用安全，通過(guò)優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，應(yīng)用安全防護(hù)措施以及提升安全防護(hù)觀念等辦法，進(jìn)一步實(shí)現(xiàn)家庭寬帶網(wǎng)絡(luò)的安全保護(hù)，實(shí)現(xiàn)家庭寬帶網(wǎng)絡(luò)安全防護(hù)效果的有效提升。

參 考 文 獻(xiàn)

[1]崔騰濤，張劍. OTN系統(tǒng)波道錯(cuò)連預(yù)防及管理一體化解決方案[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化，2016，（11）：20-23.

[2]強(qiáng)浩，陳常梅，萬(wàn)昕. 傳送網(wǎng)與數(shù)據(jù)網(wǎng)協(xié)同部署情況下的家庭寬帶方案研究[J]. 郵電設(shè)計(jì)技術(shù)，2015，（05）：65-68.

[3]房立，張?chǎng)稑?shù)凱. 家庭寬帶業(yè)務(wù)分場(chǎng)景探究[J]. 山東通信技術(shù)，2015，（01）：25-27+30.

[4]夏雪玲，夏鵬志，廖振松，劉建功. 一種基于大數(shù)據(jù)的家庭寬帶售后服務(wù)保障系統(tǒng)[J]. 信息通信，2014，（07）：26-27.

第4篇

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防范措施

中圖分類號(hào)：TP271文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)20-4806-02

Inspiration and Thinking of the Computer Network Security

LIU Dan

(Chongqing College of Electronic Engineering, Chongqing 401331, China)

Abstract: Computer network security can not be ignored under the complex information technology surroundings, which has been much concerned and taken seriously. This paper analyzed the current network security situation and explored the measures to prevent computer network security threats. Improving network security should be seriously thought.

Key words: computer network; network security; precautionary measure

據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急協(xié)調(diào)中心網(wǎng)絡(luò)安全報(bào)告，基礎(chǔ)設(shè)施和重要信息系統(tǒng)整體上運(yùn)行基本正常，未出現(xiàn)造成影響嚴(yán)重的網(wǎng)絡(luò)安全事故，但是網(wǎng)絡(luò)攻擊的次數(shù)、頻率和復(fù)雜度均比往年大幅度增加，遭入侵和受控計(jì)算機(jī)數(shù)量巨大，潛在威脅繼續(xù)增加，信息數(shù)據(jù)安全問(wèn)題日益突出，計(jì)算機(jī)網(wǎng)絡(luò)的安全形勢(shì)依舊十分嚴(yán)峻。主要表現(xiàn)在，一是政府網(wǎng)頁(yè)被篡改事件大幅度增加。據(jù)統(tǒng)計(jì)顯示，我國(guó)大陸地區(qū)被篡改網(wǎng)站總數(shù)比往年同期增長(zhǎng)41%，占被篡改網(wǎng)站總數(shù)的比例達(dá)7%，而域名僅占cn域名總數(shù)的2.3%。二是感染木馬和僵尸網(wǎng)絡(luò)的主機(jī)數(shù)量巨大。國(guó)家互聯(lián)網(wǎng)應(yīng)急協(xié)調(diào)中心抽樣檢測(cè)，境內(nèi)外控制者利用木馬控制端對(duì)主機(jī)進(jìn)行的控制事件中，木馬控制端IP網(wǎng)絡(luò)地址總數(shù)、被控制端IP地址總數(shù)均高舉不下。中國(guó)大陸地區(qū)有2百多萬(wàn)個(gè)IP地址的主機(jī)被植入僵尸程序，有2270個(gè)境外控制服務(wù)器對(duì)大陸地區(qū)的主機(jī)進(jìn)行了僵尸網(wǎng)絡(luò)控制。三是惡意代碼的肆虐傳播是造成木馬和僵尸網(wǎng)絡(luò)產(chǎn)生和擴(kuò)大的一大途徑。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心通過(guò)技術(shù)平臺(tái)共捕獲惡意代碼約90萬(wàn)個(gè)，比上年同期增長(zhǎng)62.5%，其中有新的惡意代碼樣本，有通過(guò)國(guó)內(nèi)外合作渠道接收到的惡意代碼。這些惡意代碼中，以惡意代碼下載器、灰鴿子家族系列，以及與網(wǎng)絡(luò)游戲有關(guān)的惡意程序居多，對(duì)終端用戶的威脅也最為突出。

1理性分析，網(wǎng)絡(luò)安全道路依然漫長(zhǎng)

1）應(yīng)用軟件漏洞是各種安全威脅的主要根源。在軟件系統(tǒng)漏洞的防護(hù)上，人們往往重視操作系統(tǒng)漏洞的查找和補(bǔ)丁升級(jí)。實(shí)際上，近年來(lái)，應(yīng)用軟件安全漏洞的威脅越來(lái)越大，已經(jīng)超過(guò)了操作系統(tǒng)漏洞。從目前所掌握的安全漏洞情況分析來(lái)看，有部分漏洞直接威脅到互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的運(yùn)行安全，更多的漏洞則嚴(yán)重威脅到廣大互聯(lián)網(wǎng)用戶的信息系統(tǒng)。如，Realplay播放器軟件漏洞、聯(lián)眾世界軟件漏洞等。同時(shí)，針對(duì)漏洞出現(xiàn)的攻擊程序、代碼也呈目的性強(qiáng)、時(shí)效性高的趨勢(shì)。

2）電子郵件成為達(dá)成精確控制的常用手段。對(duì)于電子郵件的安全威脅，人們通常只注意到盡量不打開(kāi)陌生人發(fā)送過(guò)來(lái)的電子郵件，特別是不打開(kāi)郵件中的附件，這的確是一種好的安全防范習(xí)慣。但據(jù)了解，目前互聯(lián)網(wǎng)上流行的電子郵件系統(tǒng)，其郵件用戶設(shè)置的復(fù)雜密碼無(wú)一例外地可以被專業(yè)人員破解，而用戶密碼一旦被他人獲得，即使是由熟悉人員所發(fā)送過(guò)來(lái)的郵件中，也可能在原有的郵件中被他人注入了木馬和病毒程序。利用電子郵件對(duì)待定目標(biāo)主機(jī)實(shí)施遠(yuǎn)程控制是當(dāng)前最常見(jiàn)、最精確的滲透控制手段之一。

3）擺渡型攻擊技術(shù)逐漸成熟并廣泛應(yīng)用于針對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊。擺渡型攻擊以移動(dòng)存儲(chǔ)設(shè)備、光盤(pán)、電子文檔等為主要途徑，借助木馬、蠕蟲(chóng)、病毒等惡意代碼，在與互聯(lián)網(wǎng)物理隔離的內(nèi)網(wǎng)中交換數(shù)據(jù)、傳播病毒，進(jìn)行破壞和癱瘓目標(biāo)網(wǎng)絡(luò)。根據(jù)最新的網(wǎng)絡(luò)攻擊理論和實(shí)踐，所有的網(wǎng)絡(luò)都會(huì)與外部進(jìn)行數(shù)據(jù)交換，已不存在絕對(duì)封閉的內(nèi)部網(wǎng)絡(luò)。不論什么網(wǎng)絡(luò)，總要進(jìn)行系統(tǒng)和應(yīng)用軟件的更新，或進(jìn)行防病毒系統(tǒng)補(bǔ)丁的更新，此時(shí)就相當(dāng)于建立了對(duì)外連接的通道。就算是全封閉的物理隔離網(wǎng)絡(luò)，由于不能及時(shí)修補(bǔ)各種安全漏洞，一旦解決了進(jìn)入問(wèn)題，實(shí)施攻擊將更容易達(dá)成目的。因此，物理隔離固然重要，但未必能確保網(wǎng)絡(luò)的絕對(duì)安全。實(shí)際上，采用物理隔離的內(nèi)部網(wǎng)絡(luò)中所出現(xiàn)的計(jì)算機(jī)病毒程序，基本上都是由移動(dòng)存儲(chǔ)介質(zhì)從外界帶入的。以往那種認(rèn)為網(wǎng)絡(luò)只要物理隔離就可高枕無(wú)憂的想法是不正確的。需強(qiáng)調(diào)的是，即使是利用光盤(pán)進(jìn)行內(nèi)外網(wǎng)數(shù)據(jù)交換，病毒和木馬后門(mén)程序照樣可以通過(guò)OFFICE電子文檔、圖片文件等進(jìn)行傳播。

4）分布式拒絕服務(wù)攻擊成為大規(guī)模網(wǎng)絡(luò)癱瘓攻擊的主要手段。所謂分布式拒絕服務(wù)攻擊就是在特定時(shí)刻由控制者向事先控制的、分布在不同地域的眾多網(wǎng)絡(luò)主機(jī)發(fā)出攻擊指令，受控主機(jī)收到攻擊指令后，會(huì)同時(shí)向指定的目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)或服務(wù)器發(fā)送類似于正常用戶訪問(wèn)的數(shù)據(jù)包，使得目標(biāo)網(wǎng)絡(luò)主機(jī)來(lái)不及響應(yīng)處理，或致使目標(biāo)網(wǎng)絡(luò)信道擁塞，進(jìn)而造成目標(biāo)網(wǎng)絡(luò)或主機(jī)無(wú)法（拒絕）提供正常服務(wù)。如發(fā)生在2007年4、5月間的俄羅斯對(duì)愛(ài)沙尼亞的大規(guī)模分布式拒絕服務(wù)攻擊，導(dǎo)致了愛(ài)沙尼亞由先期的政府、媒體網(wǎng)絡(luò)迅速蔓延到通信、銀行等各公共服務(wù)網(wǎng)絡(luò)，大量網(wǎng)站被迫關(guān)閉，就連其總統(tǒng)府網(wǎng)站也未能幸免。

2啟示思考，我國(guó)網(wǎng)絡(luò)安全防護(hù)任重道遠(yuǎn)

對(duì)于復(fù)雜的因特網(wǎng)來(lái)說(shuō)，事實(shí)上，有“網(wǎng)”必有“洞”，有“洞”就能鉆，我們必須居安思危，嚴(yán)密防范。

1）要強(qiáng)化安全憂患意識(shí)，堅(jiān)持動(dòng)態(tài)防御和體系保障理念。信息安全保障是一個(gè)復(fù)雜的系統(tǒng)工程，要從安全策略、隔離控制、密碼保護(hù)、授權(quán)認(rèn)證、實(shí)體安全、檢測(cè)預(yù)警、響應(yīng)恢復(fù)和安全管理等多個(gè)方面實(shí)行整體性防御。要破除密碼全能觀念，不能以為安裝了核心密碼設(shè)備的網(wǎng)絡(luò)就一定可以高枕無(wú)憂了。實(shí)際上，密碼只能解決數(shù)據(jù)交互過(guò)程中的保密問(wèn)題，不能解決網(wǎng)絡(luò)安全所以問(wèn)題；密碼僅對(duì)局外人員有效，用戶之間的信息交換只是在數(shù)據(jù)傳遞和存儲(chǔ)過(guò)程中的加密，而末端應(yīng)用時(shí)是經(jīng)過(guò)解密過(guò)的數(shù)據(jù)；病毒、木馬后門(mén)等攻擊程序通常是合法數(shù)據(jù)包裹在一起的。網(wǎng)絡(luò)安全必須從采集、加工、傳遞、存儲(chǔ)、應(yīng)用的全過(guò)程，按照同一密級(jí)要求實(shí)行全程管理。

信息安全保障還是一種持續(xù)的動(dòng)態(tài)發(fā)展過(guò)程，通常要通過(guò)策略、防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)構(gòu)成一個(gè)完整的、動(dòng)態(tài)螺旋式的循環(huán)上升鏈，進(jìn)而不斷改進(jìn)和完善。安全防范應(yīng)貫穿于信息系統(tǒng)整個(gè)生命周期，只要信息系統(tǒng)存在，安全隱患也就永遠(yuǎn)存在，安全防范就不能停止。

2）要注重系統(tǒng)頂層設(shè)計(jì)，重視應(yīng)用軟件的安全性測(cè)試。網(wǎng)絡(luò)構(gòu)建通常伴隨著重要的網(wǎng)絡(luò)應(yīng)用，要通過(guò)頂層設(shè)計(jì)統(tǒng)籌考慮網(wǎng)絡(luò)應(yīng)用與網(wǎng)絡(luò)防護(hù)的關(guān)系。在處理應(yīng)用系統(tǒng)與安全防護(hù)系統(tǒng)可能存在的沖突時(shí)，要優(yōu)先考慮安全問(wèn)題，要在確保安全性的前提下實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的功能；在加強(qiáng)自研軟件安全性測(cè)試的同時(shí)，要加強(qiáng)對(duì)外協(xié)和外購(gòu)軟件的安全測(cè)試，努力防止業(yè)務(wù)系統(tǒng)集成過(guò)程中出現(xiàn)安全漏洞。

3）要正視安全的相對(duì)性，積極應(yīng)付各種可能復(fù)雜情況。網(wǎng)絡(luò)安全永遠(yuǎn)是相對(duì)的，要有入侵容忍的思想，不應(yīng)過(guò)分強(qiáng)調(diào)嚴(yán)防死守，因?yàn)榉雷o(hù)手段永遠(yuǎn)比進(jìn)攻手段落后半拍；從費(fèi)效比和網(wǎng)絡(luò)應(yīng)用角度看，過(guò)度的防護(hù)也不可取。因此，要有防線一旦被攻破的思想準(zhǔn)備，要通過(guò)響應(yīng)、恢復(fù)、補(bǔ)救方案和措施，將損失降低到最小程度。

4）要采取主動(dòng)防御戰(zhàn)略，注意加強(qiáng)攻擊溯源技術(shù)研究。保障網(wǎng)絡(luò)系統(tǒng)安全，不僅要查找自身的薄弱點(diǎn)，及時(shí)修補(bǔ)漏洞；同時(shí)，還應(yīng)具備攻擊源速度定位能力。只有找到了攻擊的源頭，才能更有效地采取應(yīng)對(duì)措施，更好地把握網(wǎng)絡(luò)防御的主動(dòng)權(quán)。近幾次發(fā)生在因特網(wǎng)上的大規(guī)模網(wǎng)絡(luò)攻擊事件，都呈現(xiàn)出網(wǎng)絡(luò)攻擊手段多樣、手法隱蔽、源頭難以追溯等特點(diǎn)，即使是內(nèi)部網(wǎng)絡(luò)中發(fā)生的病毒傳播現(xiàn)象，也很少有單位能夠鎖定到確切的傳播源，這些事件和現(xiàn)象突出反映了主動(dòng)防御對(duì)保障網(wǎng)絡(luò)安全的重要性和緊迫性。加強(qiáng)對(duì)網(wǎng)絡(luò)攻擊溯源技術(shù)和手段的研究，迅速定位攻擊源頭，及時(shí)獲得并分析病毒、木馬等攻擊代碼程序樣本，研究反制措施，已成為網(wǎng)絡(luò)安全防護(hù)體系中不可或缺的重要組成部分。

5）要樹(shù)立人才第一觀念，高度重視核心骨干人才培養(yǎng)。網(wǎng)絡(luò)攻防拼的是技術(shù)、靠的是人才，要的是機(jī)制。事實(shí)上，網(wǎng)絡(luò)防御對(duì)抗時(shí)技術(shù)的較量、人才的博弈，沒(méi)有骨干人才就沒(méi)有良好的安全保障。安全防護(hù)不適安全產(chǎn)品的簡(jiǎn)單堆砌，要運(yùn)用綜合集成思想，將各種檢測(cè)、防護(hù)、響應(yīng)手段圍繞安全策略的具體需求有序地組織，相互之間要形成協(xié)調(diào)、聯(lián)動(dòng)的關(guān)系；要針對(duì)應(yīng)用中發(fā)現(xiàn)的問(wèn)題，根據(jù)實(shí)際需求或應(yīng)用變化的情況，不斷地加以改進(jìn)和完善；網(wǎng)絡(luò)安全絕不是單純一次性地購(gòu)出來(lái)、建出來(lái)的，而是通過(guò)人配出來(lái)、改出來(lái)、管出來(lái)的，這就決定了人才是網(wǎng)絡(luò)安全的核心要素。

參考文獻(xiàn):

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社,2003.

[2] Andraw S,Tanenbaum.計(jì)算機(jī)網(wǎng)絡(luò)[M].3版.熊桂喜,王小虎,譯.北京:清華大學(xué)出版社,1998.

[3]劉占全.網(wǎng)絡(luò)管理與防火墻技術(shù)[M].北京:人民郵電出版社,2005.

[4]肖軍模.網(wǎng)絡(luò)信安全與對(duì)抗[M].北京:出版社,1999.

第5篇

關(guān)鍵詞：惡意軟件；計(jì)算機(jī)；安全防護(hù)

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712 （2014） 02-0000-01

惡意軟件是一種以盜取用戶信息或破壞用戶操作軟件為目的的網(wǎng)絡(luò)，若不采用適當(dāng)?shù)姆雷o(hù)手段對(duì)其進(jìn)行檢測(cè)和處理，會(huì)對(duì)個(gè)人、企業(yè)等帶來(lái)嚴(yán)重的安全威脅和經(jīng)濟(jì)損失。特別是隨著互聯(lián)網(wǎng)應(yīng)用日趨廣泛，用戶資源共享越來(lái)越普遍，惡意軟件入侵用戶系統(tǒng)，竊取、泄露用戶數(shù)據(jù)的行為日發(fā)猖獗，因此對(duì)計(jì)算機(jī)惡意軟件進(jìn)行分析，制定安靠可靠的防護(hù)策略具有十分重要的意義。

一、惡意軟件分類及其特點(diǎn)

惡意軟件按照其行為特點(diǎn)進(jìn)行分類可以分為瀏覽器劫持類、信息竊取類、行為記錄類、廣告捆綁類等。

針對(duì)瀏覽器的惡意軟件可以通過(guò)隱蔽或非法的方式添加插件、BHO、LSP等對(duì)瀏覽器的配置進(jìn)行篡改，獲取用戶端瀏覽器的控制權(quán)，進(jìn)而利用瀏覽器劫持用戶網(wǎng)絡(luò)訪問(wèn)行為。當(dāng)用戶使用瀏覽器時(shí)會(huì)被靜默安裝不易卸載的插件或被引導(dǎo)訪問(wèn)特定網(wǎng)站，影響用戶的網(wǎng)絡(luò)體驗(yàn)。

針對(duì)用戶信息的惡意軟件會(huì)繞過(guò)用戶管理權(quán)限或誘騙用戶授權(quán)安裝某些軟件。這些軟件可以竊取用戶的私密信息并上傳到網(wǎng)絡(luò)中幫助入侵者非法獲利，常見(jiàn)的用戶私密資料有賬號(hào)、密碼、數(shù)據(jù)等。顯然這類惡意軟件會(huì)給用戶帶來(lái)非常嚴(yán)重的經(jīng)濟(jì)損失。

針對(duì)行為記錄的惡意軟件會(huì)對(duì)用戶的計(jì)算機(jī)使用習(xí)慣和行為進(jìn)行記錄，所記錄的數(shù)據(jù)可被用于分析用戶行為，針對(duì)用戶喜好采用誘騙、陷阱等方式引導(dǎo)用后安裝或注冊(cè)，收集用戶的隱私數(shù)據(jù)，或者達(dá)到推廣安裝的目的。

針對(duì)廣告銷售的惡意軟件則會(huì)在用戶未允許的情況下以彈窗的方式向用戶投放廣告，謀取商業(yè)利益。這類軟件通常具有強(qiáng)制安裝、難以卸載、彈窗頻繁、資源占用率高等特點(diǎn)，嚴(yán)重影響用戶計(jì)算機(jī)使用體驗(yàn)。

從行為和影響等方面綜合考慮可以發(fā)現(xiàn)，惡意軟件具有兩方面特點(diǎn)：一是編寫(xiě)方式病毒化，即以Rootkit技術(shù)等對(duì)自身進(jìn)行保護(hù)或隱藏，防止殺毒軟件發(fā)現(xiàn)或者殺除。二是傳播方式病毒化，即利用計(jì)算機(jī)網(wǎng)絡(luò)資源共享和數(shù)據(jù)傳輸?shù)忍攸c(diǎn)進(jìn)行惡意推廣或傳播，短時(shí)間內(nèi)實(shí)現(xiàn)軟件的大范圍擴(kuò)散。

二、計(jì)算機(jī)惡意軟件安全防范技術(shù)

（一）部署惡意軟件防護(hù)軟件

雖然惡意軟件與病毒程序等存在一定的差別，但是考慮到惡意軟件對(duì)用戶造成的影響越來(lái)越嚴(yán)重，現(xiàn)有的反病毒軟件或工具都會(huì)集成反惡意軟件功能模塊，這些模塊會(huì)對(duì)惡意行為、特征、類型等進(jìn)行描述與總結(jié)，一旦發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)中存在符合條件的行為或操作，反病毒軟件就會(huì)對(duì)行為對(duì)象進(jìn)行阻止、隔離或者清除。實(shí)際應(yīng)用過(guò)程中，由于這類工具軟件所采用的是行為判別法，故其能夠很好的適應(yīng)新種類的惡意軟件，還能夠?qū)π路N類的惡意軟件進(jìn)行采集與比較，形成新的安全防御策略，為用戶提供安全有效的軟件防護(hù)。

（二）完善系統(tǒng)安全設(shè)置

惡意軟件的安全防護(hù)最主要的還是從計(jì)算機(jī)系統(tǒng)入手，做好系統(tǒng)漏洞修復(fù)和安全更新，最大程度的減少計(jì)算機(jī)系統(tǒng)中存在的安全漏洞，提升系統(tǒng)安全等級(jí)，控制系統(tǒng)訪問(wèn)與管理權(quán)限。具體來(lái)說(shuō)，完善系統(tǒng)的安全設(shè)置可以從身份驗(yàn)證、漏洞修復(fù)、端口與服務(wù)監(jiān)控等方面著手。

在身份驗(yàn)證方面，常用的計(jì)算機(jī)安全驗(yàn)證方式大多過(guò)于單一，且容易被記錄，因而在安全設(shè)置中可以采用多重身份認(rèn)證、定期更改驗(yàn)證方式、驗(yàn)證密碼等方式提升系統(tǒng)安全性能。

在漏洞修復(fù)方面，用戶應(yīng)該盡量采用正版系統(tǒng)和軟件，避免從不受信任的資源共享網(wǎng)站下載或共享資料，及時(shí)更新軟件或安裝修復(fù)補(bǔ)丁，減少計(jì)算機(jī)中存在的安全漏洞，維持系統(tǒng)處于最佳狀態(tài)。

在端口與服務(wù)監(jiān)控方面，用戶可以依照安全軟件建議關(guān)閉存在安全隱患的服務(wù)和不必要的通信端口。

（三）提升用戶安防意識(shí)

計(jì)算機(jī)安全防護(hù)離不開(kāi)用戶的自我意識(shí)和管理方式的提升，做好計(jì)算機(jī)惡意軟件的防護(hù)就必須從人的角度出發(fā)，增強(qiáng)用戶的專業(yè)知識(shí)儲(chǔ)備和技能儲(chǔ)備，為有效的管理奠定良好的基礎(chǔ)。首先，用戶應(yīng)該養(yǎng)成良好的網(wǎng)絡(luò)行為習(xí)慣，避免訪問(wèn)不信任網(wǎng)站，不隨意從資源共享網(wǎng)站下載軟件或資料，樹(shù)立良好的安全防護(hù)意識(shí)，做到意識(shí)先行。再次，要不斷學(xué)習(xí)計(jì)算機(jī)安全防范技術(shù)，通過(guò)接受培訓(xùn)、交流的方式熟悉和掌握惡意軟件行為特征和處理方式。最后，要分層部署安全防護(hù)軟件并制定適當(dāng)?shù)陌踩雷o(hù)策略，綜合利用多種手段來(lái)建立計(jì)算機(jī)安全防護(hù)體系。

三、結(jié)束語(yǔ)

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和普及，惡意軟件對(duì)用戶的影響越來(lái)越大，甚至直接影響到用戶的經(jīng)濟(jì)利益，為保護(hù)用戶數(shù)據(jù)安全，避免用戶所使用的軟件受到非法篡改，用戶必須在管理、監(jiān)控、處理等層面建立完善的安全管理機(jī)制，避免惡意軟件入侵計(jì)算機(jī)系統(tǒng)，為用戶帶來(lái)?yè)p失。

參考文獻(xiàn)：

[1]韓桂杰.對(duì)計(jì)算機(jī)惡意軟件分析及防范技術(shù)研究[J].中國(guó)新技術(shù)新產(chǎn)品，2011（22）：48-48

[2]張浩.計(jì)算機(jī)惡意軟件的分析及防御探討[J].電子技術(shù)與軟件工程，2013（13）：99-99.

第6篇

關(guān)鍵詞：互聯(lián)網(wǎng)；校園網(wǎng)；網(wǎng)絡(luò)安全；數(shù)據(jù)加解密技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，信息化技術(shù)的成熟，人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的使用能力也越來(lái)越強(qiáng)，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用范圍也越來(lái)越廣。作為信息化交流的平臺(tái)，它的傳輸手段愈多，伴隨的信息安全隱患也愈多，數(shù)據(jù)的保護(hù)逐漸成為人們關(guān)注的焦點(diǎn)，而數(shù)據(jù)加解密技術(shù)是網(wǎng)絡(luò)安全問(wèn)題的關(guān)鍵技術(shù)。計(jì)算機(jī)機(jī)房作為網(wǎng)絡(luò)管理的中心是整個(gè)校園網(wǎng)的中樞，一方面需要進(jìn)行教學(xué)設(shè)備的日常管理，包括維護(hù)和恢復(fù)等；另一方面也要進(jìn)行網(wǎng)路安全規(guī)范和管理。網(wǎng)絡(luò)建設(shè)作為學(xué)校科研以及教學(xué)實(shí)訓(xùn)的關(guān)鍵一環(huán)，在功能上可能考慮得較為全面，但是安全問(wèn)題考慮的尚少。尤其是隨著高職院校承擔(dān)越來(lái)越多的外來(lái)人員進(jìn)行各種技能培訓(xùn)和考核，使得進(jìn)入機(jī)房的操作人員具有流動(dòng)性大的特點(diǎn)，并隨外部攜帶的存儲(chǔ)設(shè)備如USB等進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)中，帶來(lái)計(jì)算機(jī)病毒感染，外部黑客攻擊的危險(xiǎn)，輕則導(dǎo)致系統(tǒng)文件的丟失，軟件的損壞，重則導(dǎo)致網(wǎng)絡(luò)犯罪，竊取帳號(hào)，入侵服務(wù)器等行為發(fā)生。因此，針對(duì)當(dāng)前高職院校機(jī)房計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)的特點(diǎn)和現(xiàn)狀，結(jié)合數(shù)據(jù)加解密技術(shù)，建設(shè)有效的院校網(wǎng)絡(luò)資源管理的安全防護(hù)體系，以此來(lái)確保學(xué)校網(wǎng)絡(luò)安全和使用。

1數(shù)據(jù)加密技術(shù)簡(jiǎn)介

數(shù)據(jù)加解密又稱密碼學(xué)，它以偽裝信息為基本思路，通過(guò)對(duì)數(shù)據(jù)施加可逆數(shù)學(xué)變換進(jìn)行信息隱藏和混淆。數(shù)據(jù)變換前的信息稱為明文，數(shù)據(jù)變化后的信息稱為密文。數(shù)據(jù)變換既包括加密技術(shù)又包括解密技術(shù)。密鑰作為因子參與加解密運(yùn)算。加解密的目的是將數(shù)據(jù)以密文的方式存儲(chǔ)在計(jì)算機(jī)的文件中或者通過(guò)網(wǎng)絡(luò)設(shè)備進(jìn)行傳輸，只有合理分配密鑰的用戶才能訪問(wèn)資源。這樣一來(lái)，經(jīng)非法密鑰不能逆向構(gòu)造出正確的明文，從而達(dá)到確保數(shù)據(jù)真實(shí)性的目的。加解密技術(shù)分為對(duì)稱加解密和非對(duì)稱加解密。對(duì)稱加解密包括像DES、AES等傳統(tǒng)的加解密技術(shù)，而非對(duì)稱加解密包括像RSA、SMS4等算法。DES是一種分組密碼，包含了代數(shù)、置換、代替等多種密碼技術(shù)，密鑰長(zhǎng)度為64位。其中明文、密文分組長(zhǎng)度也是64位。DES是面向二進(jìn)制的。密碼算法、因而能夠加解密任何形式的計(jì)算機(jī)數(shù)據(jù)。DES是對(duì)稱算法，因而加密和解密共用一套算法。RSA算法是1978年美國(guó)麻省理工學(xué)院的三名密碼學(xué)者R．L．Rivest，A．Shamir和L．Adleman提出了一種基于大合樹(shù)因子分解困難性的公開(kāi)密鑰算法，簡(jiǎn)稱RSA算法。RSA算法既可以做加密處理，又可以用于數(shù)字簽名，使用范圍更加廣。

2校園網(wǎng)網(wǎng)絡(luò)安全分析

目前伴隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，提供的資源和服務(wù)也越來(lái)越多，相應(yīng)的校園網(wǎng)絡(luò)應(yīng)用的范圍也在不斷擴(kuò)大，通過(guò)校園網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)和信息量也越來(lái)越多，伴隨的網(wǎng)絡(luò)欺詐和攻擊也越來(lái)越多，這直接影響到校園網(wǎng)絡(luò)的正常運(yùn)行。計(jì)算機(jī)網(wǎng)絡(luò)管理中心作為計(jì)算機(jī)網(wǎng)絡(luò)的入口點(diǎn)之一，安全問(wèn)題也越來(lái)越突顯，比如網(wǎng)絡(luò)資源濫用、安全審計(jì)不全、網(wǎng)絡(luò)維護(hù)管理困難，這些都是當(dāng)前導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題的關(guān)鍵。

2．1高職院校網(wǎng)絡(luò)機(jī)房現(xiàn)狀

（1）服務(wù)類型不斷增加。隨著當(dāng)前計(jì)算機(jī)機(jī)房所承擔(dān)的角色不斷增多，它不僅僅是傳統(tǒng)的網(wǎng)絡(luò)教學(xué)，而且包括教職工或校外人員的職能培訓(xùn)。學(xué)院需要通過(guò)網(wǎng)絡(luò)設(shè)施開(kāi)展各種類型的培訓(xùn)班，而參與者的計(jì)算機(jī)技能水平參差不齊，可能造成計(jì)算機(jī)中的軟件和硬件資源使用不恰當(dāng)導(dǎo)致的損壞或者丟失。（2）安全性欠考慮。機(jī)房作為科研教學(xué)的場(chǎng)所，需要完成各類教學(xué)與科研任務(wù)，包括實(shí)訓(xùn)，考核、檢索、查閱資料、大型計(jì)算等，大多只注意網(wǎng)絡(luò)的功能性和流暢性，而安全性缺乏考慮。

2．2校園網(wǎng)網(wǎng)絡(luò)安全起因

2．2．1操作人員缺乏規(guī)范意識(shí)

在進(jìn)行網(wǎng)絡(luò)教學(xué)中，很多學(xué)生不能正確地使用教學(xué)資源，而是利用網(wǎng)絡(luò)進(jìn)行一些游戲或者娛樂(lè)，比如瀏覽新聞，打撲克等等。而在缺乏安全意識(shí)的情況下，經(jīng)常會(huì)下載來(lái)歷不明的文件或者打開(kāi)惡意鏈接。這些操作可能會(huì)修改一些系統(tǒng)設(shè)置和感染木馬病毒等。

2．2．2人員管理不善，導(dǎo)致維護(hù)困難

一方面，由于缺乏合理的上機(jī)審計(jì)管理，操作者在使用計(jì)算機(jī)的過(guò)程時(shí)，經(jīng)常使用不當(dāng)，通過(guò)攜帶的USB設(shè)備，使計(jì)算機(jī)感染病毒，進(jìn)而得到傳播。另一方面上機(jī)的頻繁使用導(dǎo)致處理不及時(shí)，進(jìn)而使計(jì)算機(jī)的維護(hù)困難。

2．2．3黑客的攻擊

一般而言，黑客的攻擊分為破壞性和非破壞性。破壞性攻擊，主要目的是入侵電腦，盜取他人帳號(hào)信息，破壞重要文件等，比如中間人攻擊。而非破壞性攻擊，一般是針對(duì)大型機(jī)器，比如服務(wù)器，達(dá)到干擾系統(tǒng)正常運(yùn)行的目的，常見(jiàn)的比如DDOS拒絕服務(wù)。

2．2．4軟硬件更新管理不妥

硬件方面，由于機(jī)房開(kāi)放的時(shí)間一般較長(zhǎng)，使用較為頻繁，經(jīng)常使用不妥會(huì)導(dǎo)致硬件出現(xiàn)故障。加之常年運(yùn)行，設(shè)備會(huì)出現(xiàn)老化現(xiàn)象。軟件方面，由于教學(xué)軟件眾多，需要頻繁的應(yīng)用升級(jí)，操作系統(tǒng)打補(bǔ)丁，或者殺毒軟件更新病毒庫(kù)等。如果操作不當(dāng)，也會(huì)導(dǎo)致系統(tǒng)出現(xiàn)問(wèn)題。這些都會(huì)給軟硬件的更新或者維護(hù)帶來(lái)了相應(yīng)的困難。

3數(shù)據(jù)加密技術(shù)的應(yīng)用

3．1鏈路加密技術(shù)

關(guān)于網(wǎng)絡(luò)安全建設(shè)的關(guān)鍵就是路由管理，通過(guò)拓?fù)浒l(fā)現(xiàn)，掌握網(wǎng)絡(luò)設(shè)備之間的連接狀況，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)信息之前的數(shù)據(jù)交流路徑。這些網(wǎng)路連接狀況能夠很好地幫助管理人員確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，當(dāng)出現(xiàn)網(wǎng)絡(luò)狀況或者安全問(wèn)題的時(shí)候，能夠及時(shí)準(zhǔn)確地發(fā)現(xiàn)子網(wǎng)網(wǎng)絡(luò)，進(jìn)行管理。清晰地對(duì)各個(gè)區(qū)段的計(jì)算機(jī)采用信息加密技術(shù)，保證資源不被越界。數(shù)據(jù)在不同鏈路傳輸?shù)穆窂街卸际且圆煌拿荑€記性傳輸，確保信息不被獲取和篡改。

3．2身份認(rèn)證技術(shù)

通過(guò)判斷計(jì)算機(jī)網(wǎng)絡(luò)使用者的身份信息，保證合理使用資源。只有通過(guò)了網(wǎng)絡(luò)安全身份認(rèn)證系統(tǒng)的判斷，合法用戶才能進(jìn)入當(dāng)前的網(wǎng)絡(luò)環(huán)境。目前比較有名的銳捷軟件，就是對(duì)網(wǎng)絡(luò)管理的身份認(rèn)證系統(tǒng)，它是訪問(wèn)網(wǎng)絡(luò)資源的關(guān)鍵節(jié)點(diǎn)，避免網(wǎng)絡(luò)的惡意進(jìn)入。另外通過(guò)密碼學(xué)技術(shù)通過(guò)非對(duì)稱加密，對(duì)用戶的身份進(jìn)行證書(shū)管理，只有數(shù)字證書(shū)驗(yàn)證通過(guò)才能訪問(wèn)當(dāng)前的網(wǎng)絡(luò)資源。

3．3數(shù)據(jù)庫(kù)管理技術(shù)

通過(guò)對(duì)當(dāng)前網(wǎng)絡(luò)登錄的帳號(hào)信息進(jìn)行管理，內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的所有網(wǎng)絡(luò)行為僅通過(guò)帳號(hào)登錄在當(dāng)前的網(wǎng)絡(luò)環(huán)境中進(jìn)行，而帳號(hào)信息不被外部獲取。安全管理人員通過(guò)分發(fā)帳號(hào)，管理網(wǎng)絡(luò)運(yùn)行狀況以及信息的傳輸流向，并通過(guò)監(jiān)控技術(shù)，定位網(wǎng)絡(luò)入侵或者惡意操作的非法人員，解決相應(yīng)的安全隱患。利用這些技術(shù)，在硬件建設(shè)方面，也需要做出相應(yīng)的措施。網(wǎng)絡(luò)防護(hù)方面，可以對(duì)計(jì)算機(jī)機(jī)房的關(guān)鍵信息進(jìn)行數(shù)據(jù)備份，并保證這些數(shù)據(jù)的恢復(fù)操作是在合理的操作下進(jìn)行，備份數(shù)據(jù)要在加密存儲(chǔ)下在數(shù)據(jù)庫(kù)中進(jìn)行統(tǒng)一管理，當(dāng)確認(rèn)恢復(fù)的信息后，通過(guò)密文傳輸?shù)侥康闹鳈C(jī)后對(duì)數(shù)據(jù)進(jìn)行解密并做恢復(fù)處理。另外，傳統(tǒng)的防火墻、網(wǎng)絡(luò)數(shù)據(jù)加密等方式，對(duì)數(shù)據(jù)的傳輸和訪問(wèn)做出管理和限制。加密技術(shù)能夠保障黑客無(wú)法通過(guò)中間人攻擊篡改網(wǎng)絡(luò)訪問(wèn)信息和資源。高職院校的網(wǎng)絡(luò)機(jī)房建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程。一方面需要結(jié)合計(jì)算機(jī)網(wǎng)路的特點(diǎn)，保障功能的完善性，另一方面需要結(jié)合當(dāng)前的網(wǎng)絡(luò)資源環(huán)境，建立合理安全的防護(hù)體系。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)由于是靜態(tài)的和被動(dòng)的，因此防護(hù)手段已經(jīng)無(wú)法適應(yīng)今天的網(wǎng)絡(luò)環(huán)境。所以建立一套動(dòng)態(tài)的、主動(dòng)的安全防護(hù)體系非常重要，它不僅需要保障網(wǎng)絡(luò)環(huán)境的流暢合理，還要保障數(shù)據(jù)傳輸安全可靠。數(shù)據(jù)加密技術(shù)是加強(qiáng)網(wǎng)絡(luò)安全的一種有效形式。

作者:劉麗楊 單位:常州旅游商貿(mào)高等職業(yè)技術(shù)學(xué)校

參考文獻(xiàn)：

［1］劉宇平．?dāng)?shù)據(jù)加密技術(shù)在計(jì)算機(jī)安全中的應(yīng)用分析［J］．信息通信，2012，（02）．

第7篇

【關(guān)鍵詞】大學(xué)生；網(wǎng)絡(luò)素養(yǎng)；網(wǎng)絡(luò)安全

本文基于網(wǎng)絡(luò)素養(yǎng)視角下探究大學(xué)生網(wǎng)絡(luò)安全教育引導(dǎo)來(lái)源于2016年影響較為廣泛的“徐某某”電信詐騙事件。2016年8月，某省高考錄取新生徐某某的考生信息被犯罪分子通過(guò)網(wǎng)絡(luò)技術(shù)手段竊取，并假扮教育局、財(cái)政局工作人員以發(fā)放助學(xué)金名義騙取徐某某上大學(xué)的費(fèi)用9900元。在得知被騙后，徐某某郁結(jié)于心，最終導(dǎo)致心臟驟停不幸離世。該事件發(fā)生后，立即引起了社會(huì)各界廣泛關(guān)注，大學(xué)生網(wǎng)絡(luò)安全又被推向輿論的浪尖。因此，如何開(kāi)展大學(xué)生網(wǎng)絡(luò)安全教育引導(dǎo)，提高大學(xué)生的網(wǎng)絡(luò)安全防范意識(shí)是我們值得深思的問(wèn)題。

一、網(wǎng)絡(luò)素養(yǎng)與網(wǎng)絡(luò)安全的關(guān)系

網(wǎng)絡(luò)素養(yǎng)主要由五個(gè)部分構(gòu)成：信息接收、信息解讀、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)利用、網(wǎng)絡(luò)倫理道德1。網(wǎng)絡(luò)安全與網(wǎng)絡(luò)素養(yǎng)的關(guān)系是包含、融合和發(fā)展的關(guān)系。網(wǎng)絡(luò)安全是構(gòu)成網(wǎng)絡(luò)素養(yǎng)的重要部分之一，網(wǎng)絡(luò)安全進(jìn)一步發(fā)展了網(wǎng)絡(luò)素養(yǎng)的內(nèi)涵和外延；網(wǎng)絡(luò)素養(yǎng)包含了網(wǎng)絡(luò)安全，缺乏網(wǎng)絡(luò)安全的網(wǎng)絡(luò)素養(yǎng)注定是不完整的、不全面的，因此兩者相輔相成，相互影響，缺一不可。

二、大學(xué)生網(wǎng)絡(luò)安全意識(shí)缺失的表現(xiàn)

1.信息辨別能力不強(qiáng)

網(wǎng)絡(luò)信息浩如煙海，對(duì)信息判斷能力相對(duì)較弱的大學(xué)生而言一旦遇到虛假信息就有可能造成不可估計(jì)的后果。如網(wǎng)絡(luò)兼職，利用課余時(shí)間做兼職是在校大學(xué)生接觸社會(huì)鍛煉自己的一個(gè)很好途徑，而電腦、手機(jī)和網(wǎng)絡(luò)的普及，促使很多大學(xué)生不再局限于傳統(tǒng)的兼職手段，而是涌現(xiàn)了部分網(wǎng)絡(luò)兼職群體，也出現(xiàn)了很多網(wǎng)絡(luò)兼職網(wǎng)站。雖然網(wǎng)絡(luò)兼職具有不受地域限制、信息流通更快捷等優(yōu)點(diǎn)，但遇到的不確定性因素卻增多，如個(gè)人信息被盜，騙取押金、冒充親人騙取錢(qián)財(cái)?shù)取Ｍ瑫r(shí)，大學(xué)生對(duì)二維碼風(fēng)險(xiǎn)、公共wifi、偽基站風(fēng)險(xiǎn)的認(rèn)識(shí)還需要進(jìn)一步加強(qiáng)。

2.網(wǎng)絡(luò)成癮

包括“游戲癮”、“購(gòu)物癮”、“社交癮”等網(wǎng)絡(luò)成癮問(wèn)題。長(zhǎng)期處于網(wǎng)絡(luò)成癮會(huì)導(dǎo)致大學(xué)生學(xué)業(yè)荒廢、與家人朋友關(guān)系疏遠(yuǎn)、身心受損等嚴(yán)重后果。如網(wǎng)絡(luò)購(gòu)物，雖然突破了傳統(tǒng)商務(wù)模式的障礙，無(wú)論對(duì)消費(fèi)者、市場(chǎng)都有著巨大的吸引力和影響力，網(wǎng)上商品的物美價(jià)廉和便捷性也極大吸引了大學(xué)生消費(fèi)群體。但是網(wǎng)購(gòu)是把雙刃劍，具有兩面性。雖然現(xiàn)在網(wǎng)絡(luò)支付手段和環(huán)境相對(duì)安全，但也難免有不法分子投機(jī)取巧，利用不法手段竊取用戶支付信息導(dǎo)致財(cái)產(chǎn)損失2。此外長(zhǎng)期沉迷網(wǎng)絡(luò)購(gòu)物、網(wǎng)絡(luò)游戲等，會(huì)造成大學(xué)生超前消費(fèi)，意志消沉，從而構(gòu)成網(wǎng)絡(luò)犯罪。

3.網(wǎng)絡(luò)犯罪

網(wǎng)絡(luò)犯罪也是大學(xué)生常見(jiàn)的網(wǎng)絡(luò)安全問(wèn)題之一。在刷微博、朋友圈和其他APP上獲取資訊時(shí)候，“三觀”尚未成熟且理性思維尚缺的大學(xué)生容易產(chǎn)生從眾心理和嘗新心理，導(dǎo)致錯(cuò)誤的信息判斷，網(wǎng)絡(luò)輿論暴力、網(wǎng)絡(luò)涉黃、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)涉謠等現(xiàn)象出現(xiàn)。但是部分大學(xué)生不能合理規(guī)劃個(gè)人消費(fèi)，盲目攀比，或者部分大學(xué)生需要資金支持個(gè)人創(chuàng)業(yè)，如果遇到不正規(guī)不合法的網(wǎng)貸渠道，風(fēng)險(xiǎn)意識(shí)較弱的大學(xué)生必定成為弱勢(shì)群體，倘若大學(xué)生欠下債務(wù)而無(wú)力償還就有可能走向犯罪。

三、開(kāi)展大學(xué)生網(wǎng)絡(luò)安全教育引導(dǎo)

1.建立網(wǎng)絡(luò)安全防護(hù)

在國(guó)家政策的指導(dǎo)和保障下，要建立網(wǎng)絡(luò)安全產(chǎn)業(yè)鏈，構(gòu)筑網(wǎng)絡(luò)安全壁壘。一是從法律保障和安全監(jiān)管角度出發(fā)，與時(shí)俱進(jìn)地推動(dòng)和完善與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)、技術(shù)標(biāo)準(zhǔn)，做好法律保障；加強(qiáng)網(wǎng)絡(luò)安全監(jiān)管和綜合治理能力，提升網(wǎng)絡(luò)安全事件應(yīng)急力和打擊力度。基于此，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的推出為保障網(wǎng)絡(luò)安全，為信息化健康運(yùn)行奠定了有法可依的基礎(chǔ)。二是從社會(huì)監(jiān)督角度出發(fā)，充分發(fā)揮行業(yè)組織和專業(yè)機(jī)構(gòu)的作用，建立健全網(wǎng)絡(luò)安全社會(huì)監(jiān)督舉報(bào)機(jī)制，形成行業(yè)監(jiān)管氛圍；三是從運(yùn)營(yíng)商的角度出發(fā)，無(wú)論是個(gè)體企業(yè)還是企業(yè)之間都要加強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)，并嚴(yán)格自律。由此肅清網(wǎng)絡(luò)環(huán)境的不良行為，對(duì)凈化網(wǎng)絡(luò)環(huán)境，為互聯(lián)網(wǎng)良性健康發(fā)展保駕護(hù)航。

2.拓展高校網(wǎng)絡(luò)安全教育引導(dǎo)

將網(wǎng)絡(luò)安全教育引導(dǎo)與日常思想政治教育工作結(jié)合起來(lái)，充分發(fā)揮高校輔導(dǎo)員隊(duì)伍的作用。再次，網(wǎng)絡(luò)安全教育引導(dǎo)要貫穿于第一課堂和第二課堂，在課堂教育、教材融入和科研課題研究基礎(chǔ)上，在大學(xué)生之間廣泛開(kāi)展網(wǎng)絡(luò)安全實(shí)踐教育，通過(guò)正反案例分析、情景再現(xiàn)互動(dòng)、技能知識(shí)競(jìng)賽等形式培養(yǎng)大學(xué)生網(wǎng)絡(luò)安全意識(shí)。大學(xué)生自我提升網(wǎng)絡(luò)安全意識(shí)雖然大學(xué)生的文化知識(shí)水平較高，但是由于尚未完全踏入社會(huì)，社會(huì)經(jīng)驗(yàn)不足，容易缺乏安全防范意識(shí)，加之法律觀念淡薄，從而導(dǎo)致一些不良事件發(fā)生。因此，大學(xué)生自我網(wǎng)絡(luò)安全意識(shí)培養(yǎng)是現(xiàn)實(shí)需要。首先，學(xué)習(xí)計(jì)算機(jī)使用知識(shí)。大學(xué)生要學(xué)會(huì)如何使用計(jì)算機(jī)、如何利用計(jì)算機(jī)為個(gè)人發(fā)展服務(wù)。在使用過(guò)程中能夠正確辨別那些是有害信息、有害軟件，通過(guò)知識(shí)的學(xué)習(xí)鑄造一道網(wǎng)絡(luò)安全心理防線。其次，加強(qiáng)自身法制觀念。因?yàn)楸匾姆烧J(rèn)知對(duì)于個(gè)人來(lái)說(shuō)是一種約束，但也更是一種保護(hù)手段。再次，要提高社會(huì)實(shí)踐防范能力。大學(xué)生面臨著從學(xué)校過(guò)渡到社會(huì)人的關(guān)鍵階段，社會(huì)實(shí)踐作為大學(xué)生踴躍參加的活動(dòng)之一，年齡的增長(zhǎng)并不意味著思想的成熟，對(duì)危險(xiǎn)預(yù)判的缺乏往往導(dǎo)致安全事故的發(fā)生。

四、結(jié)語(yǔ)

網(wǎng)絡(luò)的發(fā)展帶來(lái)的大學(xué)生網(wǎng)絡(luò)安全問(wèn)題是現(xiàn)實(shí)問(wèn)題，是一項(xiàng)緊迫且必需完成的任務(wù)。網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)素養(yǎng)的重要組成部分之一，加強(qiáng)網(wǎng)絡(luò)安全引導(dǎo)是我們實(shí)施網(wǎng)絡(luò)素養(yǎng)教育的重要措施之一，關(guān)注和研究這一領(lǐng)域，將開(kāi)辟網(wǎng)絡(luò)素養(yǎng)教育更多途徑，豐富網(wǎng)絡(luò)素養(yǎng)教育內(nèi)容。

參考文獻(xiàn)

[1]中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心.《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，2017.

[2]吳澤鵬.大學(xué)生自身網(wǎng)絡(luò)安全問(wèn)題研究,西安工業(yè)大學(xué)碩士學(xué)位論文,2016.

[3]中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心.《2015年中國(guó)手機(jī)網(wǎng)民網(wǎng)絡(luò)安全狀況報(bào)告》,2015.

注釋

第8篇

[關(guān)鍵詞]網(wǎng)絡(luò) 安全隱患 防護(hù)策略

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2016）05-0369-01

近幾年，我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展突飛猛進(jìn)，在諸多領(lǐng)域有了長(zhǎng)足進(jìn)步，但由于起步較晚、基礎(chǔ)薄弱，與西方發(fā)達(dá)國(guó)家相比，仍有很多不足，特別是在網(wǎng)絡(luò)安全管理方面更是如此，無(wú)論是安全意識(shí)和防護(hù)能力都有較大差距。如何確保網(wǎng)絡(luò)與信息安全，把網(wǎng)絡(luò)信息安全管理工作抓到實(shí)處、抓出成效，已經(jīng)成為當(dāng)前網(wǎng)絡(luò)信息安全管理人員面臨的一個(gè)重要課題。

一、網(wǎng)絡(luò)的安全隱患

（一）人為破壞。一方面是來(lái)自于網(wǎng)絡(luò)外部的攻擊。互聯(lián)網(wǎng)為外部攻擊提供了便利條件，當(dāng)內(nèi)部網(wǎng)的對(duì)外接口沒(méi)有采取嚴(yán)格的安全管控措施時(shí)，網(wǎng)絡(luò)攻擊者就能夠很容易進(jìn)入內(nèi)部從事破壞活動(dòng)。另一方面是來(lái)自于網(wǎng)絡(luò)內(nèi)部的攻擊。當(dāng)內(nèi)部網(wǎng)規(guī)模較大時(shí)，用戶數(shù)量增多，如果安全管理不嚴(yán)格，就有可能遭到內(nèi)部用戶的攻擊。由于內(nèi)部用戶分別具有相應(yīng)級(jí)別的使用權(quán)限，因此造成的破壞程度往往也最嚴(yán)重。

（二）管理失誤。一是分工不明確。少數(shù)管理者權(quán)限過(guò)大，從而造成行政管理權(quán)與網(wǎng)絡(luò)使用權(quán)不匹配，增大了安全隱患。二是職責(zé)不清楚。操作人員一般未經(jīng)過(guò)系統(tǒng)的、全面的、專業(yè)的培訓(xùn)，保密意識(shí)比較淡薄，管理員賬號(hào)及口令管理不嚴(yán)，致使網(wǎng)絡(luò)存在較大的安全威脅。三是制度不落實(shí)。安全教育、預(yù)測(cè)分析、定期排查等基本安全制度落實(shí)不力，缺乏有效監(jiān)督，造成網(wǎng)絡(luò)安全性大大降低。

（三）技術(shù)漏洞。一是網(wǎng)絡(luò)服務(wù)隱患。操作系統(tǒng)都會(huì)提供各類服務(wù)供用戶使用，如遠(yuǎn)程接入服務(wù)，當(dāng)服務(wù)器對(duì)遠(yuǎn)程用戶缺乏有效認(rèn)證時(shí)，將無(wú)法監(jiān)督其操作行為，造成的網(wǎng)絡(luò)威脅較大。二是操作系統(tǒng)隱患。不同的操作系統(tǒng)均存在一定程度的安全漏洞，特別是操作系統(tǒng)為開(kāi)發(fā)人員提供的無(wú)口令入口，在帶來(lái)便捷的同時(shí)，也給網(wǎng)絡(luò)攻擊者留下了可乘之機(jī)。三是網(wǎng)絡(luò)協(xié)議隱患。現(xiàn)有網(wǎng)絡(luò)中TCP/IP協(xié)議使用最為廣泛，該協(xié)議在設(shè)計(jì)之初確立的目標(biāo)不是安全，而是互連互通互操作，這種公開(kāi)性為其實(shí)際應(yīng)用埋下了安全隱患。

二、網(wǎng)絡(luò)的安全防護(hù)策略

（一）嚴(yán)格安全管理。網(wǎng)絡(luò)安全事故往往是由管理失誤引起的。建立完善和嚴(yán)格執(zhí)行人員、機(jī)房、軟件及操作等安全制度，加大用戶管理力度，著力提升網(wǎng)絡(luò)安全性能，同時(shí)建立實(shí)時(shí)的監(jiān)控系統(tǒng)，組織定期的安全培訓(xùn)，能夠最大限度地降低安全風(fēng)險(xiǎn)，防止各類問(wèn)題發(fā)生。

（二）構(gòu)筑防火墻。防火墻處于本地網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，可以對(duì)經(jīng)過(guò)的網(wǎng)絡(luò)通信進(jìn)行掃描，只有符合特定條件的用戶或數(shù)據(jù)才被允許通過(guò)，從而過(guò)濾掉大量攻擊。除此之外，防火墻還能夠關(guān)閉不使用的端口及特定的端口，禁止來(lái)自于特殊站點(diǎn)的訪問(wèn)，防止“不速之客”非法訪問(wèn)網(wǎng)絡(luò)。

（三）加密與認(rèn)證。加密與認(rèn)證是網(wǎng)絡(luò)安全技術(shù)的核心。加密是隱藏信息的過(guò)程，它能夠以較小的代價(jià)，對(duì)傳輸信息提供強(qiáng)有力的安全保護(hù)。借助加密手段，信息即使被截取或泄露，未被授權(quán)者也不能理解其真正含義。認(rèn)證是檢驗(yàn)用戶和數(shù)據(jù)正確性的過(guò)程，主要包括消息完整性認(rèn)證、身份認(rèn)證，以及消息序號(hào)和操作時(shí)間等認(rèn)證。只有通過(guò)了認(rèn)證，才可以上網(wǎng)訪問(wèn)，這樣能夠有效阻止入侵者對(duì)信息系統(tǒng)進(jìn)行主動(dòng)攻擊。

（四）安全漏洞掃描。漏洞掃瞄技術(shù)是一種主動(dòng)的防御措施，能夠有效阻止黑客的攻擊行為，做到防患于未然。通過(guò)網(wǎng)絡(luò)安全漏洞掃描，系統(tǒng)管理員能夠全面了解網(wǎng)絡(luò)設(shè)置參數(shù)和服務(wù)運(yùn)行狀態(tài)，客觀評(píng)估系統(tǒng)風(fēng)險(xiǎn)等級(jí)，及時(shí)發(fā)現(xiàn)和堵塞安全漏洞，從而在入侵者攻擊前做好防范。

（五）訪問(wèn)控制。通常用于系統(tǒng)管理員控制用戶對(duì)服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問(wèn)。如果沒(méi)有訪問(wèn)控制，那么用戶只要接入網(wǎng)絡(luò)，就可以隨意訪問(wèn)網(wǎng)絡(luò)上的任何資源，這是非常危險(xiǎn)的。在網(wǎng)絡(luò)入口處實(shí)施訪問(wèn)控制，既可以保證合法用戶訪問(wèn)授權(quán)保護(hù)的網(wǎng)絡(luò)資源，又可以防止非法主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問(wèn)。

（六）最小授權(quán)。關(guān)停安全策略中那些沒(méi)有經(jīng)過(guò)定義的網(wǎng)絡(luò)服務(wù)，為用戶設(shè)置滿足需要的最小權(quán)限，并及時(shí)注銷非必要賬號(hào)，可以在相當(dāng)大程度上減小網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)。目前最為常見(jiàn)的攻擊手段有主機(jī)掃描、用戶掃描、端口掃描以及破解用戶口令等等，最小授權(quán)原則可以極低的代價(jià)大幅提高網(wǎng)絡(luò)安全性。

（七）入侵檢測(cè)。能夠有效彌補(bǔ)防火墻技術(shù)在某些功能上的不足，是防火墻之后的第二道安全屏障。入侵檢測(cè)系統(tǒng)在幾乎不影響網(wǎng)絡(luò)性能的情況下實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)，自動(dòng)檢測(cè)可疑的網(wǎng)絡(luò)活動(dòng)，一旦發(fā)現(xiàn)有違反安全策略的行為和被攻擊的跡象將及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。

（八）主機(jī)加固。網(wǎng)絡(luò)上的一切操作行為都是在操作系統(tǒng)的基礎(chǔ)上完成的，因此操作系統(tǒng)的安全性能直接決定了網(wǎng)絡(luò)的安全性能。現(xiàn)有的各種操作系統(tǒng)，如Windows等，在安全性方面都存在先天的不足。采取禁止一些非必要的服務(wù)等方式，并及時(shí)了解網(wǎng)絡(luò)安全方面的消息，下載系統(tǒng)安全補(bǔ)丁，可以把操作系統(tǒng)和應(yīng)用平臺(tái)的安全隱患大大降低。

（九）病毒防范。計(jì)算機(jī)病毒借助網(wǎng)絡(luò)或移動(dòng)存儲(chǔ)介質(zhì)傳播，利用駐留內(nèi)存、截取中斷向量等方式進(jìn)行傳染和破壞，所造成的后果難以估計(jì)。為了降低病毒危害，必須建立合理的病毒防護(hù)體系和制度，及時(shí)更新病毒庫(kù)；當(dāng)發(fā)現(xiàn)病毒侵入時(shí)，應(yīng)立即采取有效手段阻止病毒進(jìn)一步的破壞行為，并恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。

（十）網(wǎng)絡(luò)隔離。按照數(shù)據(jù)的保密、功能等各項(xiàng)要求，通過(guò)使用專用的物理硬件和不同的安全協(xié)議在網(wǎng)絡(luò)之間架設(shè)安全隔離網(wǎng)墻，實(shí)現(xiàn)多個(gè)系統(tǒng)既在空間上物理隔離，又能過(guò)濾數(shù)據(jù)交換過(guò)程中的病毒、惡意代碼等內(nèi)容，保證數(shù)據(jù)信息在可信的網(wǎng)絡(luò)環(huán)境中進(jìn)行交換。網(wǎng)絡(luò)隔離技術(shù)具有高度的安全性，在理論與實(shí)踐上都要比防火墻高一個(gè)安全級(jí)別。

參考文獻(xiàn)

[1] 張輝.數(shù)據(jù)通信與網(wǎng)絡(luò)[M].北京：北京郵電大學(xué)出版社，2010.

[2] 網(wǎng)絡(luò)測(cè)試與故障診斷試驗(yàn)教程[M].北京：清華大學(xué)出版社，2011.

第9篇

關(guān)鍵詞：指紋系統(tǒng)，安全防范，防御機(jī)制

 

一、概述

指紋信息系統(tǒng)作為一種公安工作的局域網(wǎng)，有其特定含義和應(yīng)用范疇，它積累信息為偵察破案提供線索，概括起來(lái)有四個(gè)方面的典型應(yīng)用：第一，指紋系統(tǒng)是為公安工作服務(wù)的，是一種刑事偵察的工具，它是各地、市之間指紋交流工具，也是指紋信息資源的提供者。第二，指紋系統(tǒng)是為偵察破案提供線索，為案件進(jìn)展提供便利服務(wù)的。第三，指紋系統(tǒng)積累犯罪嫌疑人信息，如嫌疑人的指紋管理、前科管理、基本信息管理等，為串、并案件提供可靠依據(jù)。第四，指紋系統(tǒng)是溝通與其他公安工作的窗口，利用它既可以獲取各種信息，也可以向其他公安工作相關(guān)信息。

二、指紋信息系統(tǒng)安全的主要問(wèn)題

隨著網(wǎng)絡(luò)在公安工作各個(gè)方面的延伸，進(jìn)入指紋系統(tǒng)的手段也越來(lái)越多，因此，指紋信息安全是目前指紋工作中面臨的一個(gè)重要問(wèn)題。

1、物理安全問(wèn)題

指紋信息系統(tǒng)安全首先要保障系統(tǒng)上指紋數(shù)據(jù)的物理安全。物理安全是指在物理介質(zhì)層次上對(duì)存貯和傳輸?shù)闹讣y數(shù)據(jù)安全保護(hù)。目前常見(jiàn)的不安全因素（安全威脅或安全風(fēng)險(xiǎn)）包括兩大類：第一類是自然災(zāi)害（如雷電、地震、火災(zāi)、水災(zāi)等），物理?yè)p壞（如硬盤(pán)損壞、設(shè)備使用壽命到期、外力破損等），設(shè)備故障（如停電、斷電、電磁干擾等），意外事故。第二類是操作失誤（如刪除文件、格式化硬盤(pán)、線路拆除等），意外疏漏（如系統(tǒng)掉電、“死機(jī)”等）。

2、指紋操作系統(tǒng)及應(yīng)用服務(wù)的安全問(wèn)題

現(xiàn)在應(yīng)用的主流操作系統(tǒng)為Windows 操作系統(tǒng)，該系統(tǒng)存在很多安全隱患。操作系統(tǒng)不安全也是系統(tǒng)不安全的重要原因。

3、非法用戶的攻擊

幾乎每天都可能聽(tīng)到在公安網(wǎng)上眾多的非法攻擊事件，這些事件一再提醒我們，必須高度重視系統(tǒng)的安全問(wèn)題。非法用戶攻擊的主要方法有：口令攻擊、網(wǎng)絡(luò)監(jiān)聽(tīng)、緩沖區(qū)溢出、郵件攻擊和其他攻擊方法。

4、計(jì)算機(jī)病毒威脅

計(jì)算機(jī)病毒將導(dǎo)致指紋系統(tǒng)癱瘓，系統(tǒng)程序和指紋數(shù)據(jù)嚴(yán)重破壞，使系統(tǒng)的效率和作用大大降低，系統(tǒng)的許多功能無(wú)法使用或不敢使用。雖然，至今還沒(méi)過(guò)出現(xiàn)災(zāi)難性的后果，但層出不窮的各種各樣的計(jì)算機(jī)病毒活躍在公安網(wǎng)的各個(gè)角落，令人堪憂。計(jì)算機(jī)病毒是指人為制造的干擾和破壞計(jì)算機(jī)系統(tǒng)的程序,它具有傳染性、隱蔽性、潛伏性、破壞性等特點(diǎn)。通常,我們將計(jì)算機(jī)的病毒分為“良性”和“惡性”兩類。所謂良性病毒是指不對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞,但會(huì)造成計(jì)算機(jī)工作異常、變慢等。 惡性病毒往往沒(méi)有直觀表現(xiàn),但會(huì)對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞,有的甚至?xí)茐挠?jì)算機(jī)的硬件,造成整個(gè)計(jì)算機(jī)癱瘓。前段時(shí)間流行的沖擊波、震蕩波、狙擊波病毒，它們根據(jù) Windows漏洞進(jìn)行攻擊，電腦中毒后1分鐘重起。在重新啟動(dòng)之前，沖擊波和震蕩波允許用戶操作，而狙擊波不允許用戶操作。病毒是十分狡猾的敵人,它隨時(shí)隨地在尋找入侵電腦的機(jī)會(huì),因此,預(yù)防和清除計(jì)算機(jī)病毒是非常重要的，我們應(yīng)提高對(duì)計(jì)算機(jī)病毒的防范意識(shí),不給病毒以可乘之機(jī)。

三、指紋系統(tǒng)的安全防范措施

指紋信息系統(tǒng)是一個(gè)人機(jī)系統(tǒng)，需要多人參與工作，而系統(tǒng)操作人員是系統(tǒng)安全的責(zé)任主體，因此，要重視對(duì)各級(jí)系統(tǒng)操作人員進(jìn)行系統(tǒng)安全的教育，做到專機(jī)專用，嚴(yán)禁操作人員進(jìn)行工作以外的操作；下面就本人在實(shí)際工作中總結(jié)的一些經(jīng)驗(yàn),談一 談對(duì)指紋信息系統(tǒng)的維護(hù)與病毒的預(yù)防。

1、 對(duì)指紋系統(tǒng)硬件設(shè)備和系統(tǒng)設(shè)施進(jìn)行安全防護(hù)

（1）系統(tǒng)服務(wù)器安全：服務(wù)器是指紋系統(tǒng)的大腦和神經(jīng)中樞，一旦服務(wù)器或硬盤(pán)有故障，輕者將導(dǎo)致系統(tǒng)的中斷，重者可能導(dǎo)致系統(tǒng)癱瘓或指紋數(shù)據(jù)丟失，因此在服務(wù)器端，可以采用雙機(jī)熱備份＋異機(jī)備份方案。論文大全。在主服務(wù)器發(fā)生故障的情況下，備份服務(wù)器自動(dòng)在 30 秒 內(nèi)將所有服務(wù)接管過(guò)來(lái)，從而保證整個(gè)指紋系統(tǒng)不會(huì)因?yàn)榉?wù)器發(fā)生故障而影響到系統(tǒng)的正常運(yùn)行，確保系統(tǒng) 24小時(shí)不間斷運(yùn)行。在磁盤(pán)陣列柜，我們可安裝多塊服務(wù)器硬盤(pán)， 用其中一塊硬盤(pán)做備份，這樣可保證在其它硬盤(pán)發(fā)生故障時(shí)，直接用備份硬盤(pán)進(jìn)行替換。

（2）異機(jī)數(shù)據(jù)備份：為防止單點(diǎn)故障（如磁盤(pán)陣列柜故障）的出現(xiàn)，可以另設(shè)一個(gè)備份服務(wù)器為，并給它的服務(wù)設(shè)置一個(gè)定時(shí)任務(wù)，在定置任務(wù)時(shí)，設(shè)定保存兩天的備份數(shù)據(jù)，這樣可保證當(dāng)某天指紋數(shù)據(jù)備份過(guò)程中出現(xiàn)故障時(shí)也能進(jìn)行指紋數(shù)據(jù)的安全恢復(fù)。通過(guò)異機(jī)備份，即使出現(xiàn)不可抗拒、意外事件或人為破壞等毀滅性災(zāi)難時(shí)，也不會(huì)導(dǎo)致指紋信息的丟失，并可保證在1小時(shí)內(nèi)將指紋數(shù)據(jù)恢復(fù)到最近狀態(tài)下，使損失降到最低。

（3）電路供應(yīng)：中心機(jī)房電源盡量做到專線專供，同時(shí)采用UPS（不間斷電源），部分非窗口計(jì)算機(jī)采用300 W 延時(shí)20分鐘的 UPS進(jìn)行備用，這樣可保證主服務(wù)器和各服務(wù)窗口工作站不會(huì)因電源故障而造成指紋信息的丟失或系統(tǒng)的癱瘓。

（4）避雷系統(tǒng)：由于通信設(shè)備尤其是裸露于墻體外的線路，易受雷擊等強(qiáng)電磁波影響而導(dǎo)致接口燒壞，為對(duì)整個(gè)系統(tǒng)進(jìn)行防雷保護(hù)，分別對(duì)中心機(jī)房、主交換機(jī)、各分交換機(jī)和各工作站進(jìn)行了分層次的防護(hù)。

（5）主機(jī)房的防盜、防火、防塵：主機(jī)房是系統(tǒng)中心，一旦遭到破壞將帶來(lái)不可估量的損失，可以安裝防盜門(mén)，或安排工作人員24小時(shí)值班。同時(shí)，由于服務(wù)器、交換機(jī)均屬于高精密儀器，對(duì)防塵要求很高，所以對(duì)主機(jī)房進(jìn)行裝修時(shí)應(yīng)鋪上防靜電地板，準(zhǔn)備好（電火）滅火器，安裝上空調(diào)， 以保證機(jī)房的恒溫，并派專人對(duì)主機(jī)房的衛(wèi)生、防塵等具體負(fù)責(zé)。論文大全。

（6）對(duì)移動(dòng)存儲(chǔ)器，借出時(shí)要寫(xiě)保護(hù)，借入時(shí)要先殺毒；

（7）不使用盜版或來(lái)歷不明的軟件，做到專機(jī)專用，在公安內(nèi)網(wǎng)的機(jī)器不準(zhǔn)聯(lián)到互聯(lián)網(wǎng)上使用；

2 、 全方位的系統(tǒng)防御機(jī)制

我們常說(shuō)“病從口入”所以要做到防患于未然,必須切斷計(jì)算機(jī)病毒的傳播途徑,具體的預(yù)防措施如下:

（1）利用防病毒技術(shù)來(lái)阻止病毒的傳播與發(fā)作。

為了使系統(tǒng)免受病毒所造成的損失，采用多層的病毒防衛(wèi)體系。在每臺(tái)PC機(jī)上安裝單機(jī)版反病毒軟件，在服務(wù)器上安裝基于服務(wù)器的反病毒軟件，并在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件。因?yàn)榉乐共《镜墓羰敲總€(gè)工作人員的責(zé)任，人人都要做到自己使用的臺(tái)式機(jī)上不受病毒的感染，從而保證整個(gè)指紋系統(tǒng)不受病毒的感染。

（2）應(yīng)用防火墻技術(shù)來(lái)控制訪問(wèn)權(quán)限。

作為指紋系統(tǒng)內(nèi)部網(wǎng)絡(luò)與外部公安網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著公安網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和公安工作中網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。 在系統(tǒng)出口處安裝防火墻后，系統(tǒng)內(nèi)部與外部網(wǎng)絡(luò)進(jìn)行了有效的隔離，所有來(lái)自外部的訪問(wèn)請(qǐng)求都要通過(guò)防火墻的檢查，這樣系統(tǒng)的安全有了很大的提高。論文大全。防火墻可以通過(guò)源地址過(guò)濾，拒絕非法IP 地址，有效避免公安網(wǎng)上與指紋工作無(wú)關(guān)的主機(jī)的越權(quán)訪問(wèn)；防火墻可以只保留有用的服務(wù)，將其他不需要的服務(wù)關(guān)閉，這樣做可以將系統(tǒng)受攻擊的可能性降低到最小限度，使非法用戶無(wú)機(jī)可乘；防火墻可以制定訪問(wèn)策略，只有被授權(quán)的外部主機(jī)才可以訪問(wèn)系統(tǒng)的有限IP地址，保證其它用戶只能訪問(wèn)系統(tǒng)的必要資源，與指紋工作無(wú)關(guān)的操作將被拒絕；由于所有訪問(wèn)都要經(jīng)過(guò)防火墻，所以防火墻可以全面監(jiān)視對(duì)系統(tǒng)的訪問(wèn)活動(dòng)，并進(jìn)行詳細(xì)的記錄，通過(guò)分析可以發(fā)現(xiàn)可疑的攻擊行為；防火墻可以進(jìn)行地址轉(zhuǎn)換工作，使外部用戶不能看到系統(tǒng)內(nèi)部的結(jié)構(gòu)，使攻擊失去目標(biāo)。

（3）應(yīng)用入侵檢測(cè)技術(shù)及時(shí)發(fā)現(xiàn)攻擊苗頭。

入侵檢測(cè)系統(tǒng)是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等。實(shí)時(shí)入侵檢測(cè)能力之所以重要是因?yàn)樗軌驅(qū)Ω秮?lái)自系統(tǒng)內(nèi)外的攻擊，縮短入侵的時(shí)間。

（4）應(yīng)用安全掃描技術(shù)主動(dòng)探測(cè)系統(tǒng)安全漏洞，進(jìn)行系統(tǒng)安全評(píng)估與安全加固。安全掃描技術(shù)與防火墻、入侵檢測(cè)系統(tǒng)互相配合，能夠有效提高指紋系統(tǒng)的安全性。通過(guò)對(duì)系統(tǒng)的掃描，系統(tǒng)管理員可以了解系統(tǒng)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估系統(tǒng)風(fēng)險(xiǎn)等級(jí)。系統(tǒng)管理員也可以根據(jù)掃描的結(jié)果及時(shí)消除系統(tǒng)安全漏洞和更正系統(tǒng)中的錯(cuò)誤配置，在非法用戶攻擊前進(jìn)行防范。

（5）應(yīng)用系統(tǒng)安全緊急響應(yīng)體系，防范安全突發(fā)事件。

指紋系統(tǒng)安全作為一項(xiàng)動(dòng)態(tài)工程，意味著它的安全程度會(huì)隨著時(shí)間的變化而發(fā)生改變。 在信息技術(shù)日新月異的今天，即使昔日固若金湯的系統(tǒng)安全策略，也難免會(huì)隨著時(shí)間和環(huán)境的變化，變得不堪一擊。因此，我們需要隨時(shí)間和系統(tǒng)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略，并及時(shí)組建系統(tǒng)安全緊急響應(yīng)體系，專人負(fù)責(zé)，防范安全突發(fā)事件。

參考文獻(xiàn)：

[1]　JonathanPBowen,Kirill Bogdanov,et al.FORTEST: formal methods andtesting.In:26thInternational Computer Software and Applications Conference(COMPSAC 2002).Prolonging Software Life: Development and Redevelopment,England:Oxford,August 2002.91~104

[2]　J Dick, AFaivre.Automating the generation and sequencing of test cases frommodel-basedspecifications.In:Proceedings of FME’93, Industrial-StrengthFormal Methods,Odense Denmark, Springer-Verlag.Lecture Notes in ComputerScience,1993,670:268~284

[3]　張　敏,徐　震,馮登國(guó).基于安全策略模型的安全功能測(cè)試用例生成方法,軟件學(xué)報(bào)(已投稿),2006

[4]　何永忠.DBMS安全策略模型的研究:[博士學(xué)位論文],北京市石景山區(qū)玉泉路19號(hào)(甲):中國(guó)科學(xué)院研究生院,2005

[5] National Computer Security Center,A guide to understanding security models intrusted Systems,NCSC-TG-010,1992

[6]蔣平．計(jì)算機(jī)犯罪問(wèn)題研究［M］．北京：電子工業(yè)出版社，2002．

[7]高銘喧．新編中國(guó)刑法學(xué)［M］．北京：中國(guó)科學(xué)技術(shù)出版社，2000．

[8]朱廣艷． 信息技術(shù)與課程整合的發(fā)展與實(shí)踐［J］． 中國(guó)電化教育，2003（194）：8－ 10．

[9]黃叔武 劉建新 計(jì)算機(jī)網(wǎng)絡(luò)教程 清華大學(xué)出版社 2004年11 月

[10]戴紅 王海泉 黃堅(jiān) 計(jì)算機(jī)網(wǎng)絡(luò)安全 電子工業(yè)出版社2004.9.8

[11]丁志芳, 徐夢(mèng)春. 評(píng)說(shuō)防火墻和入侵檢測(cè)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2004,(4):37- 41.

[12]周國(guó)民. 黑客蘇南與用戶防御[J].計(jì)算機(jī)安全, 2005,(7):72-74.

[13]周筱連. 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)[J].電腦知識(shí)與技術(shù)( 學(xué)術(shù)交流) ,2007,(1).

[14]阿星. 網(wǎng)絡(luò)安全不容忽視[J]. 電腦采購(gòu)周刊, 2002,(32).

[15]網(wǎng)絡(luò)安全新概念[J].計(jì)算機(jī)與網(wǎng)絡(luò), 2004,(7).

[16]王銳. 影響網(wǎng)絡(luò)安全的因素及需要考慮的問(wèn)題[J]. 計(jì)算機(jī)教育, 2005,(1).

第10篇

1計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀

近年來(lái)，我國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到了快速的發(fā)展，在人們的生活、工作和學(xué)習(xí)中的應(yīng)用都非常廣泛，為人們帶來(lái)了很大的便捷，人們?cè)谌粘Ｉ钪卸枷矚g采用計(jì)算機(jī)網(wǎng)絡(luò)來(lái)完成相關(guān)的工作和操作，可以提升工作的效率和質(zhì)量，搜集相關(guān)的信息非常方便。計(jì)算機(jī)網(wǎng)絡(luò)有很強(qiáng)的便利性和開(kāi)放性，人們不僅可以利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)工作，還可以利用其完成網(wǎng)絡(luò)購(gòu)物和娛樂(lè)，豐富了人們的生活。但是與此同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)也帶來(lái)了一定的威脅和風(fēng)險(xiǎn)。人們?cè)谑褂糜?jì)算機(jī)網(wǎng)絡(luò)時(shí)，常常需要留下自己的一些個(gè)人信息，如果這些信息沒(méi)有被保護(hù)好，一旦泄露出去將會(huì)對(duì)人們的財(cái)產(chǎn)安全和隱私安全造成重大的影響，例如存款被盜等。不僅如此，在使用計(jì)算機(jī)網(wǎng)絡(luò)的同時(shí)，如果收到計(jì)算機(jī)網(wǎng)絡(luò)病毒的入侵，就會(huì)破壞電腦程序，導(dǎo)致電腦系統(tǒng)癱瘓，不僅影響人們對(duì)計(jì)算機(jī)正常使用，甚至還會(huì)帶來(lái)很多麻煩。一些惡意的軟件也會(huì)導(dǎo)致計(jì)算機(jī)內(nèi)部系統(tǒng)不能正常運(yùn)行。從現(xiàn)在的情況來(lái)看，我國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)存在著很多安全問(wèn)題，已經(jīng)嚴(yán)重影響了人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的正常使用，帶來(lái)了很多的不良影響。

2計(jì)算機(jī)安全漏洞掃描技術(shù)

計(jì)算機(jī)安全漏洞掃描技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)的一種重要防護(hù)手段，可以對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備和終端系統(tǒng)進(jìn)行檢測(cè)，如果設(shè)備和系統(tǒng)中存在著一定的漏洞和安全問(wèn)題，就可以及時(shí)找出來(lái)，此時(shí)管理人員就可以結(jié)合具體的漏洞類型和缺陷情況采取有效的方式來(lái)進(jìn)行修復(fù)，避免系統(tǒng)漏洞造成嚴(yán)重的損害和威脅，從而實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的安全使用，提升其安全性能。從現(xiàn)在的情況來(lái)看，我國(guó)的安全漏洞掃描技術(shù)分為兩種，分別為被動(dòng)式掃描技術(shù)和主動(dòng)式掃描技術(shù)。其中被動(dòng)式漏洞掃描技術(shù)可以使計(jì)算機(jī)網(wǎng)絡(luò)中的很多項(xiàng)內(nèi)容都進(jìn)行檢測(cè)和掃描，它是以服務(wù)器為基礎(chǔ)進(jìn)行掃描和檢測(cè)的，并且檢測(cè)之后會(huì)形成檢測(cè)報(bào)告，網(wǎng)絡(luò)管理人員就可以通過(guò)對(duì)報(bào)告的分析和研究來(lái)了解計(jì)算機(jī)設(shè)備和系統(tǒng)存在的安全漏洞，并采取有效的方法來(lái)處理。主動(dòng)式漏洞掃描技術(shù)體現(xiàn)在檢測(cè)的自動(dòng)化，是一種更為先進(jìn)的檢測(cè)技術(shù)，只要有網(wǎng)絡(luò)就可以實(shí)現(xiàn)自動(dòng)化漏洞檢測(cè)，在自動(dòng)檢測(cè)過(guò)程中，通過(guò)主機(jī)的響應(yīng)來(lái)了解主機(jī)的操作系統(tǒng)、程序和服務(wù)器等是否存在著漏洞是需要修復(fù)的，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)漏洞的檢測(cè)。

3計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞掃描技術(shù)的運(yùn)用

3.1基于暴力的用戶口令破解法應(yīng)用。基于暴力的用戶口令破解法也是計(jì)算機(jī)安全漏洞掃描的重要方法。從現(xiàn)在的情況來(lái)看，很多計(jì)算機(jī)網(wǎng)絡(luò)都會(huì)設(shè)置用戶名和登陸密碼，從而將網(wǎng)絡(luò)的操作權(quán)限分給不同的用戶，如果人們將用戶名破解，就可以獲得網(wǎng)絡(luò)的訪問(wèn)權(quán)限，使網(wǎng)絡(luò)安全難以保障。針對(duì)這種情況，就可以采用基于暴力的用戶口令破解法。例如采用POP3弱口令漏洞掃描，通過(guò)用戶名和密碼來(lái)發(fā)送和接收郵件。在掃描漏洞時(shí)，建立用戶標(biāo)識(shí)和密碼文檔，在文檔中儲(chǔ)存登陸密碼和用戶標(biāo)識(shí)，可以實(shí)現(xiàn)及時(shí)更新。在漏洞掃描時(shí)，將目標(biāo)端口連接，判斷這個(gè)協(xié)議是否為認(rèn)證狀態(tài)，如果由失敗或者錯(cuò)誤的信息，就說(shuō)明這個(gè)標(biāo)識(shí)是不可用的，如果所有的結(jié)果都是有用信息，則說(shuō)明身份認(rèn)證通過(guò)。根據(jù)這個(gè)指令來(lái)做出判斷，從而保障系統(tǒng)安全。此外，F(xiàn)TP弱口令漏洞掃描也是一種基于暴力的用戶口令破解法，其是一種文件傳輸協(xié)議，其原理和POP3弱口令漏洞掃描非常相似，只是其是通過(guò)SOCKET連接來(lái)掃描漏洞的。3.2基于端口掃描的漏洞分析法的應(yīng)用。基于端口掃描的漏洞分析法是一種常見(jiàn)的計(jì)算機(jī)網(wǎng)絡(luò)漏洞檢測(cè)方法，當(dāng)網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)一些安全入侵行為之后，就可以對(duì)目標(biāo)主機(jī)的一些端口進(jìn)行掃描，就可以將端口的安全漏洞檢測(cè)出來(lái)。因此，在實(shí)際使用基于端口掃描的漏洞分析法時(shí)，對(duì)漏洞進(jìn)行掃描時(shí)需要向網(wǎng)絡(luò)通向目標(biāo)主機(jī)的一些端口發(fā)送特定的信息，就可以獲得關(guān)于這些端口的信息。此時(shí)，還需要對(duì)目標(biāo)主機(jī)中存在的漏洞進(jìn)行分析和判斷，根據(jù)已經(jīng)掌握的信息來(lái)實(shí)現(xiàn)。例如，在實(shí)際的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中，F(xiàn)inger服務(wù)和UNIX系統(tǒng)其允許入侵者獲得一些公共的信息，此時(shí)計(jì)算機(jī)網(wǎng)絡(luò)將會(huì)面臨著安全風(fēng)險(xiǎn)，利用基于端口掃描的漏洞分析法對(duì)服務(wù)和系統(tǒng)進(jìn)行掃描，就可以判斷目標(biāo)主機(jī)的Finger服務(wù)是開(kāi)放還是關(guān)閉的，得出結(jié)果之后就可以采取一定的措施來(lái)對(duì)漏洞進(jìn)行修復(fù)。

4結(jié)語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)安全引起了人們的高度重視，為了保障計(jì)算機(jī)的網(wǎng)絡(luò)安全，可以通過(guò)安全漏洞掃描技術(shù)的應(yīng)用來(lái)實(shí)現(xiàn)，在使用計(jì)算機(jī)網(wǎng)絡(luò)時(shí)通過(guò)基于端口掃描的漏洞分析法和基于暴力的用戶口令破解法的運(yùn)用，就可以提升計(jì)算機(jī)網(wǎng)絡(luò)的安全性能。

作者:易永紅 單位:綿陽(yáng)職業(yè)技術(shù)學(xué)院計(jì)算機(jī)科學(xué)系

參考文獻(xiàn)

[1]王勇.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全與漏洞掃描技術(shù)的分析探討[J].數(shù)字技術(shù)與應(yīng)用,2016,21(04):211-211.

第11篇

【 關(guān)鍵詞 】 虛擬化； 安全問(wèn)題；計(jì)算機(jī)網(wǎng)絡(luò)；虛擬存儲(chǔ)

1 引言

虛擬化技術(shù)早在上世紀(jì)60年代由IBM提出。隨著互聯(lián)網(wǎng)發(fā)展和云計(jì)算的概念提出，在過(guò)去幾年內(nèi)，虛擬化普及的速度迅速提高。據(jù)EMC公司CEO Joe Tucci稱，大部分VMware客戶已經(jīng)計(jì)劃在未來(lái)3年內(nèi)實(shí)現(xiàn)其50%的IT基礎(chǔ)設(shè)施的虛擬化。

虛擬化技術(shù)可以擴(kuò)大硬件的容量，簡(jiǎn)化軟件的重新配置過(guò)程，允許一個(gè)平臺(tái)同時(shí)運(yùn)行多個(gè)操作系統(tǒng)，并且應(yīng)用程序都可以在相互獨(dú)立的空間內(nèi)運(yùn)行而互不影響，從而顯著提高計(jì)算機(jī)的工作效率。虛擬化的好處是可以為多個(gè)項(xiàng)目和環(huán)境提供更快的速度和靈活性，但不利的方面主要是虛擬機(jī)和環(huán)境的安全一般并未被考慮，并不是因?yàn)檫@些實(shí)施項(xiàng)目的安全性有技術(shù)難度，而是因?yàn)榘踩珕?wèn)題是實(shí)施大范圍虛擬化的人員所未知的領(lǐng)域。換句話說(shuō)，實(shí)施虛擬化時(shí)一般沒(méi)有考慮它所帶來(lái)的新安全風(fēng)險(xiǎn)。

2 虛擬化及虛擬化數(shù)據(jù)中心

2.1 虛擬化及其特點(diǎn)

虛擬化的含義非常廣泛， 一種比較通俗的定義就是： 虛擬化就是淡化用戶對(duì)于物理計(jì)算資源， 如處理器、內(nèi)存、I/O 設(shè)備的直接訪問(wèn)， 取而代之的是用戶訪問(wèn)邏輯的資源， 而后臺(tái)的物理連接則由虛擬化技術(shù)來(lái)實(shí)現(xiàn)和管理。這個(gè)定義形象地說(shuō)明了虛擬化的基本作用， 其實(shí)就是要屏蔽掉傳統(tǒng)方式下， 用戶部署應(yīng)用時(shí)需要考慮的物理硬件資源屬性， 而是更著重于應(yīng)用真正使用到的邏輯資源。虛擬化是分區(qū)組合， 因此在一個(gè)物理平臺(tái)上多個(gè)虛擬機(jī)可以同時(shí)運(yùn)行， 每個(gè)虛擬機(jī)之間互不影響。

虛擬化的主要特點(diǎn)。

（1）封閉。虛擬單元的所有的環(huán)境被存放在一個(gè)單獨(dú)的文件中； 為應(yīng)用展現(xiàn)的是標(biāo)準(zhǔn)化的虛擬硬件， 保證兼容性； 整個(gè)磁盤(pán)分區(qū)被存儲(chǔ)為一個(gè)文件，易于備份， 轉(zhuǎn)移和拷貝。

（2）隔離。虛擬化能夠提供理想化的物理機(jī)，每個(gè)虛擬機(jī)互相隔離； 數(shù)據(jù)不會(huì)在虛擬機(jī)之間泄露；應(yīng)用只能在配置好的網(wǎng)絡(luò)連接上進(jìn)行通訊。

（3）分區(qū)。大型的、擴(kuò)展能力強(qiáng)的硬件能夠被用來(lái)作為多立的服務(wù)器使用； 在一個(gè)單獨(dú)的物理系統(tǒng)上可以運(yùn)行多個(gè)操作系統(tǒng)和應(yīng)用； 計(jì)算資源可以被放置在資源池中， 并能夠被有效地控制。

2.2 虛擬化數(shù)據(jù)中心及其特點(diǎn)

虛擬化數(shù)據(jù)中心是指采用虛擬化技術(shù)構(gòu)建的基礎(chǔ)設(shè)施資源池化的數(shù)據(jù)中心，虛擬化后的數(shù)據(jù)中心將整個(gè)數(shù)據(jù)中心的計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)等基礎(chǔ)資源當(dāng)作可按需分割的資源供集中調(diào)配。

虛擬化數(shù)據(jù)中心的關(guān)鍵是服務(wù)器虛擬化。邏輯分割一臺(tái)X86服務(wù)器的CPU、內(nèi)存、磁盤(pán)、I/O等硬件，構(gòu)造多個(gè)虛擬機(jī)（VM）的技術(shù)發(fā)展迅猛，并大量部署在數(shù)據(jù)中心。服務(wù)器的虛擬化提供了計(jì)算資源按需調(diào)配的手段，而虛擬化的數(shù)據(jù)中心是計(jì)算與網(wǎng)絡(luò)、存儲(chǔ)等深度融合而成，因此，要使服務(wù)器虛擬化的優(yōu)勢(shì)能順利實(shí)現(xiàn)，必須有合適的網(wǎng)絡(luò)、存儲(chǔ)與之匹配，并在一定層面還要制定虛擬化的管理策略。

3 虛擬化軟件自身的安全問(wèn)題

從表面上講，虛擬化的BSD客戶端與真正的單個(gè)設(shè)備具有同樣的安全威脅和問(wèn)題，這一點(diǎn)毋庸置疑。然而，主要的區(qū)別還在于額外的管理層：Hypervisor。Hypervisor實(shí)際上是另一個(gè)操作系統(tǒng)，它管理主機(jī)OC和客戶端OS之間的通信。管理員不用擔(dān)心單個(gè)設(shè)備上的單個(gè)BSD，而是必須關(guān)注第三個(gè)操作系統(tǒng)的安全。

在安全方面，我們不能對(duì)虛擬化想當(dāng)然，而且應(yīng)該比物理和專用操作系統(tǒng)及設(shè)備的日常威脅更加警惕。筆者認(rèn)為虛擬軟件安全的現(xiàn)實(shí)影響主要有幾個(gè)方面。

3.1 攻擊管理接口

一般情況下，VMM/hypervisor采用非仿真硬件接入的通信模式管理主機(jī)和客戶端之間的用戶交互，例如控制鼠標(biāo)在管理GUI中的虛擬事例上的移動(dòng)。

我們看一個(gè)例子，從主機(jī)向客戶端上的虛擬CD加載ISO文件的情況。首先，主機(jī)上的VMware進(jìn)程必須能夠接入ISO文件。這一般不是問(wèn)題，因?yàn)閂Mware進(jìn)程作為一個(gè)高級(jí)用戶運(yùn)行，具有較高的權(quán)限。接下來(lái)，客戶端上必須有一個(gè)進(jìn)程知道如何與主機(jī)上的進(jìn)程通信。這要求在客戶端上安裝軟件，通過(guò)Hypervisor進(jìn)行命令調(diào)用而與主機(jī)VMM通信。客戶端管理子系統(tǒng)向主機(jī)發(fā)起呼叫，一般通過(guò)指定的管道發(fā)起，要求主機(jī)代替客戶端啟動(dòng)硬件調(diào)用，“欺騙”客戶端認(rèn)為它正在通過(guò)物理驅(qū)動(dòng)器接入物理CD。這是VMware從主機(jī)向客戶端加載CD的基本例子。

這個(gè)過(guò)程很簡(jiǎn)單，但對(duì)安全性極為重要，因?yàn)槲覀儎?chuàng)建了一個(gè)在主機(jī)和客戶端上作為超級(jí)用戶運(yùn)行的未檢查的系統(tǒng)，可以被惡意攻擊者操縱和利用。這種延遲接入使惡意攻擊者能夠在客戶端上實(shí)施破壞性報(bào)復(fù)行動(dòng)，最初簡(jiǎn)單的數(shù)據(jù)攔截攻擊可能很快演變?yōu)閷?duì)整個(gè)虛擬化數(shù)據(jù)基礎(chǔ)設(shè)施的全面攻擊。

3.2 避開(kāi)虛擬機(jī)

要避開(kāi)虛擬機(jī)，需要依次迂回進(jìn)入硬件和操作系統(tǒng)設(shè)計(jì)。在基于X86的CPU，ring 0（通常指內(nèi)核模式）是CPU的一部分，在這里管理內(nèi)核級(jí)進(jìn)程。同樣，ring 3（或用戶模式）是對(duì)用戶級(jí)進(jìn)程分配處理空間的地方。虛擬化操作系統(tǒng)要求ring 0接入CPU，就如同真正的本地安裝的操作系統(tǒng)。物理和虛擬操作系統(tǒng)都需要一定數(shù)量的內(nèi)核代碼（例如中斷表格和視圖）在ring 0中運(yùn)行，并且始終知道這些代碼在RAM中位于何處。

與物理操作系統(tǒng)不同的是，虛擬客戶端不可能像獨(dú)立的機(jī)器那樣，將中斷表格放置在RAM中的同一個(gè)位置，主機(jī)的中斷表格已經(jīng)占用了內(nèi)存中的該位置。因此，盡管客戶端認(rèn)為其中斷表格可能位于其虛擬RAM中的0x0000ffff處（表格始終存儲(chǔ)在這個(gè)特定操作系統(tǒng)中），但主機(jī)實(shí)際上已經(jīng)通過(guò)透明的Hypervisor將這個(gè)位置映射到物理RAM中的0x1234abcd位置，對(duì)虛擬系統(tǒng)隱藏了實(shí)際位置。然而，這是一個(gè)內(nèi)核級(jí)空間，即使主機(jī)Hypervisor已經(jīng)針對(duì)客戶端處理了中斷表格的實(shí)際位置，虛擬表格仍必須從實(shí)際CPU上有權(quán)限的ring0運(yùn)行（并駐留在其中）。

一般用戶也無(wú)法知道在虛擬ring 0中發(fā)生了什么，但是VMM翻譯該呼叫，并通過(guò)IPC將該呼叫交付給運(yùn)行在主機(jī)上的超級(jí)用戶，如果攻擊者找到利用虛擬微代碼的方式，則他們可能會(huì)操縱主機(jī)內(nèi)核和CPU。這叫做虛擬機(jī)躲避：跳出虛擬環(huán)境的限制，并進(jìn)入物理環(huán)境。

3.3 虛擬機(jī)檢測(cè)

在攻擊者發(fā)起對(duì)虛擬環(huán)境的攻擊之前，攻擊者必須知道虛擬機(jī)在何處，以及他目前是否在一個(gè)虛擬機(jī)上。如果可以從本地接入平臺(tái)，例如通過(guò)SSH接入控制終端，就會(huì)有信號(hào)指出機(jī)器已被虛擬化。MAC地址、進(jìn)程列表、機(jī)器上安裝的文件、驅(qū)動(dòng)程序等容易檢測(cè)到的項(xiàng)目，只需敲擊幾下鍵盤(pán)即可訪問(wèn)。然而，除了這些基本項(xiàng)目之外，有許多攻擊可幫助攻擊者檢測(cè)機(jī)器是否運(yùn)行在虛擬環(huán)境中，有時(shí)甚至返回關(guān)鍵信息，例如客戶端的中斷表格的當(dāng)前位置。

綜上，攻擊者只需花時(shí)間攻擊一臺(tái)虛擬機(jī)，這樣就可以破壞一個(gè)閉合網(wǎng)絡(luò)中的其它虛擬機(jī)，并最終避開(kāi)虛擬VMM環(huán)境，接入主機(jī)。如果攻擊者的目的是攻擊盡可能多的機(jī)器，而且攻擊者知道某個(gè)系統(tǒng)組全是虛擬系統(tǒng)，則基于Hypervisor的攻擊將提供最有利的攻擊池。這種多個(gè)虛擬內(nèi)核之間受保護(hù)的接入共享可能為所有類型的攻擊打開(kāi)了方便之門(mén)。如果攻擊者可以操縱并控制多平臺(tái)虛擬化主機(jī)上的Hypervisor，則攻擊者就可以控制每個(gè)接入Hypervisor的客戶端的所有軟硬件命令。這種攻擊相當(dāng)于擁有了數(shù)據(jù)中心內(nèi)的每一臺(tái)服務(wù)器，可深入到CPU和總線級(jí)別。

4 虛擬化環(huán)境下的網(wǎng)絡(luò)安全問(wèn)題

盡管Hypervisor是虛擬化的“主控制器程序”，但它不是具有安全風(fēng)險(xiǎn)的唯一虛擬化抽象層。對(duì)于任何虛擬化系統(tǒng)，另一個(gè)關(guān)鍵方面是網(wǎng)絡(luò)層。由于虛擬化的數(shù)據(jù)中心是計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)三種資源深度融合而成，因此主機(jī)虛擬化技術(shù)能夠順利實(shí)現(xiàn)必須由合適的網(wǎng)絡(luò)安全策略與之匹配，否則一切都無(wú)從談起。

4.1 網(wǎng)絡(luò)安全挑戰(zhàn)

傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全包含縱向安全策略和橫向安全策略，無(wú)論是哪種策略，傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全都只關(guān)注業(yè)務(wù)流量的訪問(wèn)控制，將流量安全控制作為唯一的規(guī)劃考慮因素。而虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)安全模型則需要由二維平面轉(zhuǎn)變?yōu)槿S空間，即網(wǎng)絡(luò)安全策略能夠滿足動(dòng)態(tài)遷移到其它物理服務(wù)器，并且實(shí)現(xiàn)海量用戶、多業(yè)務(wù)的隔離。

4.2 網(wǎng)絡(luò)安全策略

4.2.1 VLAN擴(kuò)展

虛擬化數(shù)據(jù)中心作為集中資源對(duì)外服務(wù)，面對(duì)的是成倍增長(zhǎng)的用戶，承載的服務(wù)是海量的，尤其是面向公眾用戶的運(yùn)營(yíng)云平臺(tái)。數(shù)據(jù)中心管理人員不但要考慮虛擬機(jī)或者物理機(jī)的安全，還需要考慮在大量用戶、不同業(yè)務(wù)之間的安全識(shí)別與隔離。

要實(shí)現(xiàn)海量用戶的識(shí)別與安全隔離，需要為虛擬化數(shù)據(jù)中心的每一個(gè)用戶提供一個(gè)唯一的標(biāo)識(shí)。目前看VLAN是最好的選擇，但由于VLAN數(shù)最多只能達(dá)到4096，無(wú)法滿足虛擬化數(shù)據(jù)中心業(yè)務(wù)開(kāi)展，因此需要對(duì)VLAN進(jìn)行擴(kuò)展。

4.2.2 隔離手段與網(wǎng)關(guān)選擇

虛擬化數(shù)據(jù)中心關(guān)注的重點(diǎn)是實(shí)現(xiàn)整體資源的靈活調(diào)配，因此在考慮網(wǎng)絡(luò)安全控制時(shí)必須考慮網(wǎng)絡(luò)安全能支撐計(jì)算資源調(diào)配的靈活性，只有將二者結(jié)合才能實(shí)現(xiàn)虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)安全的最佳配置。當(dāng)主機(jī)資源在同一個(gè)二層網(wǎng)絡(luò)內(nèi)被調(diào)配時(shí)，多數(shù)應(yīng)用才能保持連續(xù)性。為滿足計(jì)算資源的靈活調(diào)配，應(yīng)該構(gòu)建二層網(wǎng)絡(luò)，否則一旦跨網(wǎng)段將導(dǎo)致應(yīng)用中斷或長(zhǎng)時(shí)間的業(yè)務(wù)影響。

基于上述思想，網(wǎng)絡(luò)安全控制點(diǎn)盡量上移，并且服務(wù)器網(wǎng)關(guān)盡量不設(shè)在防火墻上。因?yàn)榉阑饓儆趶?qiáng)控制設(shè)施，網(wǎng)關(guān)一旦在防火墻上靈活性將大大地受到限制。

4.2.3 安全策略動(dòng)態(tài)遷移

虛擬化數(shù)據(jù)中新帶來(lái)的最大挑戰(zhàn)就是網(wǎng)絡(luò)安全策略要跟隨虛擬機(jī)自動(dòng)遷移。在創(chuàng)建虛擬機(jī)或虛擬機(jī)遷移時(shí)，虛擬機(jī)主機(jī)需要能夠正常運(yùn)行，除了在服務(wù)器上的資源合理調(diào)度，其網(wǎng)絡(luò)連接的合理調(diào)度也是必須的。

例如，虛擬機(jī)1從pSrv1上遷移到pSrv2上，其網(wǎng)絡(luò)連接從原來(lái)的由pSRV1上vSwitchA的某個(gè)端口組接入到邊界Switch1，變成由pSRV2上vSwitchB的某個(gè)端口組接入到邊界 Switch2。若遷移后對(duì)應(yīng)的邊界 Switch的網(wǎng)絡(luò)安全配置不合適，會(huì)造成虛擬機(jī)1遷移后不能正常使用。尤其是原先對(duì)虛擬機(jī)1的訪問(wèn)設(shè)置了安全隔離ACL，以屏蔽非法訪問(wèn)保障虛擬機(jī)1上業(yè)務(wù)運(yùn)行服務(wù)質(zhì)量。因此在發(fā)生虛擬機(jī)創(chuàng)建或遷移時(shí)，需要同步調(diào)整相關(guān)的網(wǎng)絡(luò)安全配置。為了保證虛擬機(jī)的業(yè)務(wù)連續(xù)性，除了虛擬化軟件能保證虛擬機(jī)在服務(wù)器上的快速遷移，相應(yīng)的網(wǎng)絡(luò)連接配置遷移也需要實(shí)時(shí)完成。

5 存儲(chǔ)虛擬化的安全保護(hù)問(wèn)題

存儲(chǔ)虛擬化允許同一個(gè)虛擬池上存儲(chǔ)設(shè)備的簡(jiǎn)單數(shù)據(jù)遷移以及異構(gòu)磁盤(pán)子系統(tǒng)的復(fù)制，因此，關(guān)鍵數(shù)據(jù)的第二份拷貝就必須有和第一份數(shù)據(jù)同樣的安全級(jí)別。舉個(gè)很簡(jiǎn)單的例子，針對(duì)災(zāi)難恢復(fù)的企業(yè)重要數(shù)據(jù)的第二份拷貝就需要和第一份數(shù)據(jù)同樣嚴(yán)格的安全級(jí)別，需要控制它的訪問(wèn)級(jí)別和安全保護(hù)。

在存儲(chǔ)虛擬化后，虛擬化管理軟件應(yīng)能全面管理IP SAN、FC SAN、NAS 等不同虛擬對(duì)象，通過(guò)上層應(yīng)用封裝對(duì)用戶提供一致的管理界面，屏蔽底層對(duì)象的差異性。在存儲(chǔ)虛擬化環(huán)境中，針對(duì)不同的、異構(gòu)的虛擬存儲(chǔ)對(duì)象，應(yīng)根據(jù)各自存儲(chǔ)設(shè)備的特點(diǎn)，綜合運(yùn)用不同存儲(chǔ)設(shè)備之間的安全防護(hù)機(jī)制構(gòu)建全方位的安全防護(hù)體系。

5.1 資源隔離和訪問(wèn)控制

在存儲(chǔ)虛擬化之后，應(yīng)用不需要關(guān)心數(shù)據(jù)實(shí)際存儲(chǔ)的位置，只需要將數(shù)據(jù)提交給虛擬卷或虛擬磁盤(pán)，由虛擬化管理軟件將數(shù)據(jù)分配在不同的物理介質(zhì)。這就可能導(dǎo)致不同保密要求的資源存在于同一個(gè)物理存儲(chǔ)介質(zhì)上，安全保密需求低的應(yīng)用/主機(jī)有可能越權(quán)訪問(wèn)敏感資源或者高安全保密應(yīng)用/主機(jī)的信息，為了避免這種情況的發(fā)生，虛擬化管理軟件應(yīng)采用多種訪問(wèn)控制管理手段對(duì)存儲(chǔ)資源進(jìn)行隔離和訪問(wèn)控制，保證只有授權(quán)的主機(jī)/應(yīng)用能訪問(wèn)授權(quán)的資源，未經(jīng)授權(quán)的主機(jī)/應(yīng)用不能訪問(wèn)，甚至不能看到其他存儲(chǔ)資源的存在。

5.2 數(shù)據(jù)加密保護(hù)

在各類安全技術(shù)中，加密技術(shù)是最常見(jiàn)也是最基礎(chǔ)的安全防護(hù)手段，在存儲(chǔ)虛擬化后，數(shù)據(jù)的加密保護(hù)仍然是數(shù)據(jù)保護(hù)的最后一道防線。在存儲(chǔ)虛擬化實(shí)踐中，對(duì)數(shù)據(jù)的加密存在于數(shù)據(jù)的傳輸過(guò)程中和存儲(chǔ)過(guò)程中。對(duì)數(shù)據(jù)傳輸過(guò)程中的加密保護(hù)能保護(hù)數(shù)據(jù)的完整性、機(jī)密性和可用性，防止數(shù)據(jù)被非法截獲、篡改和丟失。對(duì)數(shù)據(jù)存儲(chǔ)的加密能實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性，完整性和可用性，還能防止數(shù)據(jù)所在存儲(chǔ)介質(zhì)意外丟失或者不可控的情況下數(shù)據(jù)自身的安全。

5.3 基于存儲(chǔ)的分布式入侵檢測(cè)系統(tǒng)

基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)嵌入在存儲(chǔ)系統(tǒng)中，能對(duì)存儲(chǔ)設(shè)備的所有讀寫(xiě)操作進(jìn)行抓取、統(tǒng)計(jì)和分析，對(duì)可疑行為進(jìn)行報(bào)警。由于基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)是運(yùn)行在存儲(chǔ)系統(tǒng)之上，擁有獨(dú)立的硬件和獨(dú)立的操作系統(tǒng)，與主機(jī)獨(dú)立，能夠在主機(jī)被入侵后繼續(xù)對(duì)存儲(chǔ)介質(zhì)上的信息提供保護(hù)。在存儲(chǔ)虛擬化網(wǎng)絡(luò)中，應(yīng)在系統(tǒng)的關(guān)鍵路徑上部署基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)，建立全網(wǎng)統(tǒng)一的管理中心，統(tǒng)一管理入侵檢測(cè)策略，實(shí)現(xiàn)特征庫(kù)的實(shí)時(shí)更新和報(bào)警事件及時(shí)響應(yīng)。

6 虛擬化數(shù)據(jù)中心的安全管理問(wèn)題

虛擬化數(shù)據(jù)中心需要新類型的管理員，系統(tǒng)、網(wǎng)絡(luò)和安全管理員應(yīng)進(jìn)一步擴(kuò)展他們所掌握的知識(shí)，了解虛擬化帶來(lái)的新概念。在虛擬世界中，不僅所有這些概念從硬件轉(zhuǎn)向軟件（許多情況下是從軟件內(nèi)核領(lǐng)域向用戶領(lǐng)域轉(zhuǎn)移），而且這些概念一直處于混亂和“封閉狀態(tài)”，不適用于傳統(tǒng)接入方法。管理員不能走近虛擬交換機(jī)，插入筆記本電腦，添加一個(gè)網(wǎng)絡(luò)分路器，可靠地對(duì)一個(gè)端口進(jìn)行映射，或者查看虛擬設(shè)備的統(tǒng)計(jì)信息。所有這些能力和知識(shí)已經(jīng)超出專業(yè)管理員的能力范圍，而且對(duì)軟件控制器、管理GUI、專用內(nèi)核模塊和二進(jìn)制系統(tǒng)隱藏，已經(jīng)進(jìn)入了只有設(shè)計(jì)人員和開(kāi)發(fā)人員知道如何真正管理設(shè)備的時(shí)代。

為此，虛擬化數(shù)據(jù)中心要制定可行的管理策略，并建議包括幾方面內(nèi)容：1） 制定虛擬機(jī)管理制度，明確管理責(zé)任；2） 制定專門(mén)的虛擬機(jī)審核、追蹤流程，防止虛擬機(jī)蔓延而導(dǎo)致的管理受控；3） 所有物理機(jī)、管理程序、虛擬機(jī)的配置和數(shù)量都建在固定模板中，確保配置可控、可管，并將虛擬機(jī)管理放入安全策略；4） 利用虛擬化監(jiān)控工具，檢測(cè)出未授權(quán)的拷貝和“克隆”虛擬機(jī)的行為，確保敏感信息在正確的管控中。

7 結(jié)束語(yǔ)

隨著企業(yè)級(jí)虛擬化軟件在市場(chǎng)上流行，企業(yè)IT部門(mén)用一臺(tái)容納20個(gè)獨(dú)立操作系統(tǒng)的4U機(jī)器全面取代容納單個(gè)操作系統(tǒng)的專用1U機(jī)器的現(xiàn)象非常普遍。虛擬操作環(huán)境與物理操作環(huán)境同樣安全的概念可能是代價(jià)極為高昂而且極具破壞性的謬論。虛擬化范例的變化引出了一套新的安全問(wèn)題和風(fēng)險(xiǎn)。虛擬基礎(chǔ)設(shè)施管理員需要了解并且準(zhǔn)備應(yīng)對(duì)這些安全問(wèn)題和風(fēng)險(xiǎn)，需要保證比威脅先行一步。

參考文獻(xiàn)

[1] 張志國(guó).服務(wù)器虛擬化安全風(fēng)險(xiǎn)及其對(duì)策研究[J].晉中學(xué)院學(xué)報(bào)， 2010（3）： 83-85.

[2] 計(jì)算機(jī)世界. 虛擬化改變網(wǎng)絡(luò)結(jié)構(gòu)[N].計(jì)算機(jī)世界，2008-10-20.

[3] 杭州華三通信技術(shù)有限公司. 新一代網(wǎng)絡(luò)建設(shè)理論與實(shí)踐[M].北京： 電子工業(yè)出版社，53-393.

[4] 王彭.網(wǎng)絡(luò)存儲(chǔ)虛擬化的研究[D]. 西安科技大學(xué)，2004.

[5] 姚昌偉.基于網(wǎng)絡(luò)的存儲(chǔ)虛擬化技術(shù)的研究[D]. 電子科技大學(xué)，2010.

作者簡(jiǎn)介：

第12篇

通過(guò)對(duì)數(shù)字化校園建設(shè)中的網(wǎng)絡(luò)信息安全隱患，以及影響校園網(wǎng)絡(luò)安全因素進(jìn)分析，針對(duì)校園網(wǎng)安全需求，制定相應(yīng)的安全策略、產(chǎn)品選擇及部署方案，保障在數(shù)字化校園實(shí)施過(guò)程中的網(wǎng)絡(luò)信息安全。

【關(guān)鍵詞】

數(shù)字化校園；網(wǎng)絡(luò)；信息安全

數(shù)字化校園[1]建設(shè)是高校信息化建設(shè)的重要內(nèi)容，數(shù)字化校園以網(wǎng)絡(luò)和數(shù)字化信息為基礎(chǔ)，在校園網(wǎng)絡(luò)的基礎(chǔ)上建立起來(lái)的對(duì)教學(xué)、管理、科研、技術(shù)服務(wù)等校園網(wǎng)信息的集合、處理、存儲(chǔ)、傳輸和應(yīng)用，使得各種數(shù)字化的資源能夠通過(guò)信息平臺(tái)充分利用，實(shí)現(xiàn)學(xué)校教學(xué)管理的數(shù)字化，打破傳統(tǒng)的校園網(wǎng)絡(luò)概念，多維度拓展校園網(wǎng)的應(yīng)用空間，提升校園網(wǎng)的運(yùn)行效率，從而達(dá)到提高管理水平和效率的目的[2]。隨著數(shù)字校園建設(shè)的不斷深入發(fā)展，各大高校逐漸建立起了龐大的網(wǎng)絡(luò)系統(tǒng)與信息系統(tǒng)，如何在此基礎(chǔ)上構(gòu)建一個(gè)安全的網(wǎng)絡(luò)信息環(huán)境，抵御各種潛在的風(fēng)險(xiǎn)，保障整個(gè)系統(tǒng)安全可靠的運(yùn)轉(zhuǎn)，是數(shù)字化校園建設(shè)是最為重要的課題。

1.數(shù)字化校園網(wǎng)絡(luò)信息安全隱患

數(shù)字化校園相對(duì)來(lái)說(shuō)是一個(gè)封閉的內(nèi)部運(yùn)行環(huán)境，它的應(yīng)用主要來(lái)至于內(nèi)部教職員工和學(xué)生，但同時(shí)也是一個(gè)開(kāi)放的環(huán)境，其應(yīng)用打破了時(shí)間和空間的限制，對(duì)于使用者來(lái)說(shuō)隨時(shí)隨地都可以對(duì)系統(tǒng)進(jìn)行訪問(wèn)，所以其安全隱患既可來(lái)至學(xué)校內(nèi)部也可以來(lái)至外部。通過(guò)分析數(shù)字化校園建設(shè)的安全隱患主要包括以下幾個(gè)方面：（1）外部闖入闖入是一種最常見(jiàn)的攻擊方式，不法分子為了達(dá)到某種不可告人的目的，闖入校園內(nèi)部的計(jì)算機(jī)里，如普通合法用戶一樣使用學(xué)校內(nèi)部的電腦，進(jìn)行各種非法操作，如果闖進(jìn)各種應(yīng)用服務(wù)器里，其后果就不堪設(shè)想。（2）導(dǎo)致拒絕服務(wù)網(wǎng)絡(luò)攻擊者為了破壞學(xué)校各重要系統(tǒng)正常的運(yùn)行，通過(guò)拒絕服務(wù)的方式攻擊系統(tǒng)，使系統(tǒng)無(wú)法正常運(yùn)行。拒絕服務(wù)的攻擊方式原理就是攻擊者利用大量的數(shù)據(jù)包“淹沒(méi)”目標(biāo)主機(jī)，耗盡可用的資源至系統(tǒng)崩潰，而無(wú)法對(duì)合法用戶作出響應(yīng)[5]。如：往某遠(yuǎn)程主機(jī)發(fā)大量數(shù)據(jù)或占用遠(yuǎn)程主機(jī)資源，從而導(dǎo)致遠(yuǎn)程主機(jī)癱瘓、重啟、死機(jī)或藍(lán)屏。（3）信息竊取攻擊者通過(guò)病毒程序、木馬程序、網(wǎng)絡(luò)工具，竊取校園網(wǎng)重要的數(shù)據(jù)信息。比如使用網(wǎng)絡(luò)嗅查器(Sniffer)監(jiān)聽(tīng)系統(tǒng)中傳輸?shù)娜缬脩裘⒖诹睢⒒蜚y行賬號(hào)等重要信息等。在校園網(wǎng)絡(luò)中通過(guò)信息竊取獲得學(xué)校關(guān)鍵的數(shù)據(jù)，對(duì)數(shù)據(jù)的安全造成不可估量的損失。（4）內(nèi)部泄密最危險(xiǎn)的敵人潛伏在身邊，數(shù)字化校園建設(shè)的推進(jìn)的過(guò)程中，內(nèi)部泄密已經(jīng)成為校園信息安全最直接的威脅。經(jīng)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)發(fā)現(xiàn)：來(lái)自企業(yè)內(nèi)部安全威脅有超過(guò)85%；來(lái)自內(nèi)部未授權(quán)的訪問(wèn)占16%；中國(guó)國(guó)內(nèi)存網(wǎng)站存在安全隱患占到80％，其中20％的以上網(wǎng)站安全問(wèn)題特別突出。

2.校園網(wǎng)安全考慮因素分析

通過(guò)對(duì)數(shù)字化校園的安全隱患的分析，結(jié)合現(xiàn)有網(wǎng)絡(luò)的安全狀況，在數(shù)字化校園建設(shè)過(guò)程中應(yīng)主要從如下幾個(gè)方面入手來(lái)考慮安全因素及防范措施：

2.1從物理安全方面考慮

校園網(wǎng)中物理硬件包括：各種服務(wù)器、工作站、交換機(jī)、路由器、存儲(chǔ)器、通信設(shè)備、電源等，物理安全主要考慮的是避免這些設(shè)備人為的、自然環(huán)境的破壞。要保證校園網(wǎng)絡(luò)的物理安全應(yīng)從機(jī)房的安全管理措施及安全環(huán)境等入手來(lái)加以考慮。

2.2分段隔離技術(shù)

根據(jù)校園網(wǎng)的各個(gè)部門(mén)功能、安全、保密等不同水平，要求將校園網(wǎng)絡(luò)進(jìn)行差異分段隔離，通過(guò)安全隔離將攻擊和入侵造成的威脅限制在較小的子網(wǎng)范圍內(nèi)，提高數(shù)字化校園網(wǎng)絡(luò)的整體安全水平。校園網(wǎng)絡(luò)可通過(guò)路由器、虛擬局域網(wǎng)VLAN、防火墻等技術(shù)分段來(lái)實(shí)現(xiàn)。

2.3信息加密認(rèn)證

為了保證校園網(wǎng)內(nèi)的數(shù)據(jù)、密碼、文件、網(wǎng)絡(luò)會(huì)話和控制信息等的完整性，信息加密的是必不可缺少的安全防護(hù)手段。通過(guò)各種認(rèn)證與加密技術(shù)對(duì)數(shù)字化校園網(wǎng)絡(luò)重要的數(shù)據(jù)信息訪問(wèn)請(qǐng)求進(jìn)行認(rèn)證加密，以防止重要信息的泄漏。

2.4安全漏洞掃描

安全漏洞掃描是校園網(wǎng)絡(luò)安全防御中常用的手段，就是采用模擬攻擊的方式對(duì)工作站、服務(wù)器、路由器、交換機(jī)、數(shù)據(jù)庫(kù)等各種目標(biāo)對(duì)象，可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查。根據(jù)漏洞掃描結(jié)果提交安全性分析報(bào)告，供網(wǎng)絡(luò)管理員參考，為提高整體網(wǎng)絡(luò)安全水平提供依據(jù)。

2.5網(wǎng)絡(luò)反病毒

隨著新技術(shù)的進(jìn)步，網(wǎng)絡(luò)病毒向綜合性方向發(fā)展，許多網(wǎng)絡(luò)病毒兼具文件感染、木馬、蠕蟲(chóng)、黑客攻擊等功能，同時(shí)傳播途徑向多樣化方向發(fā)展，可通過(guò)電子郵件、共享目錄、瀏覽網(wǎng)頁(yè)、網(wǎng)絡(luò)漏洞進(jìn)行傳播，甚至有些網(wǎng)絡(luò)病毒能夠跨平臺(tái)，可感染多種不同類型的操作系統(tǒng)。通過(guò)統(tǒng)計(jì)來(lái)看現(xiàn)在許多網(wǎng)絡(luò)安全事件都是由網(wǎng)絡(luò)病毒引起的，因此在數(shù)字化校園的建設(shè)中，可針對(duì)性的采用防毒軟件，實(shí)時(shí)掃描監(jiān)控、查殺病毒來(lái)保護(hù)校園網(wǎng)系統(tǒng)的安全。

2.6網(wǎng)絡(luò)入侵檢測(cè)

校園網(wǎng)絡(luò)入侵檢是通過(guò)一定的監(jiān)測(cè)手段，對(duì)網(wǎng)絡(luò)上發(fā)生的入侵行為進(jìn)行監(jiān)測(cè)，通過(guò)收集和分析網(wǎng)絡(luò)行為、審計(jì)數(shù)據(jù)、日志及其它網(wǎng)絡(luò)信息，檢測(cè)系統(tǒng)是否存在有違反安全策略的行為和被攻擊的對(duì)象，如果發(fā)現(xiàn)有攻擊或其它不正常現(xiàn)象就截?cái)嗑W(wǎng)絡(luò)連接、記錄事件和報(bào)警。在校園網(wǎng)建設(shè)過(guò)程中網(wǎng)絡(luò)入侵檢測(cè)應(yīng)結(jié)合防火墻、反病毒軟件聯(lián)動(dòng)，有效的阻斷黑客與病毒對(duì)系統(tǒng)的攻擊。

2.7網(wǎng)絡(luò)最小化原則

從網(wǎng)絡(luò)安全的角度考慮問(wèn)題，打開(kāi)的服務(wù)越多，可能出現(xiàn)的安全問(wèn)題就會(huì)越多，所以校園網(wǎng)安全應(yīng)遵從“最小化原則”對(duì)服務(wù)器進(jìn)行配置：首先在服務(wù)器上安裝系統(tǒng)要最小化，一些可有可無(wú)的應(yīng)用程序不要安裝；在服務(wù)器部署單一的服務(wù)應(yīng)用程序，這樣可把服務(wù)器的風(fēng)險(xiǎn)降低到最小范圍；在配置服務(wù)器使用權(quán)限時(shí)，有針對(duì)性的開(kāi)放只需要的權(quán)限，從而限制用戶的操作行為在最小的范圍之內(nèi)，不需要的賬號(hào)要及時(shí)刪除等。

3數(shù)字化校園安全策略

通過(guò)對(duì)數(shù)字化校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析，可知校園網(wǎng)構(gòu)成了一個(gè)Intranet系統(tǒng)，學(xué)校本部的主干網(wǎng)絡(luò)通過(guò)網(wǎng)絡(luò)運(yùn)營(yíng)商DDN專線與外網(wǎng)相連，在其中運(yùn)行有學(xué)校網(wǎng)站服務(wù)器系統(tǒng)，各部門(mén)的網(wǎng)站服務(wù)系統(tǒng)，教務(wù)管理系統(tǒng)，招生就業(yè)系統(tǒng)，OA辦公自動(dòng)化系統(tǒng)等及內(nèi)部服務(wù)器系統(tǒng)。而學(xué)校本部的網(wǎng)絡(luò)系統(tǒng)和分校的子網(wǎng)絡(luò)系統(tǒng)的通過(guò)Internet公網(wǎng)來(lái)完成連接通信。

3.1校園網(wǎng)安全需求分析

通過(guò)對(duì)校園網(wǎng)絡(luò)安全因素及數(shù)字化校園體系結(jié)構(gòu)分析，要保證校園網(wǎng)各重要服務(wù)器或部門(mén)子系統(tǒng)的安全，有如下安全需求：（1）保證服務(wù)器系統(tǒng)的安全。學(xué)校的服務(wù)器主要包括學(xué)校網(wǎng)站服務(wù)器、部門(mén)網(wǎng)站服務(wù)器、部門(mén)應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、內(nèi)部服務(wù)器等。這些服務(wù)器上運(yùn)行有重要的應(yīng)用系統(tǒng)，如學(xué)院的OA系統(tǒng)、教務(wù)管理系統(tǒng)、招生就業(yè)管理系統(tǒng)、財(cái)務(wù)系統(tǒng)、科研管理系統(tǒng)，所有這些系統(tǒng)的安全防護(hù)對(duì)學(xué)校正常的工作運(yùn)轉(zhuǎn)起著關(guān)鍵作用。（2）學(xué)校總部和分部的內(nèi)部網(wǎng)絡(luò)安全。學(xué)校內(nèi)部的網(wǎng)絡(luò)會(huì)不時(shí)遭到黑客攻擊，還有各種木馬病毒的攻擊，內(nèi)部網(wǎng)絡(luò)安全是數(shù)字系統(tǒng)能夠正常運(yùn)行基本保證；（3）網(wǎng)絡(luò)用戶身份識(shí)別與認(rèn)定。學(xué)校用戶量大，包括學(xué)校教職員工、學(xué)生、外訪客，要求必須有一套完整統(tǒng)一的身份認(rèn)證與識(shí)別系統(tǒng)，保證合法用戶對(duì)系統(tǒng)的訪問(wèn)；（4）重要數(shù)據(jù)傳輸安全問(wèn)題。在學(xué)校總部與分部之間、內(nèi)部用戶到服務(wù)器、應(yīng)用服務(wù)器到數(shù)據(jù)庫(kù)服務(wù)器之間，要求傳輸數(shù)據(jù)的安全性與完整性，不受第三方截取、破壞。（5）保護(hù)學(xué)校重要部門(mén)。如財(cái)務(wù)部門(mén)、教務(wù)部門(mén)、招生就業(yè)部門(mén)等重要應(yīng)用系統(tǒng)及資料文件，如果這些部門(mén)系統(tǒng)遭到破壞造成數(shù)據(jù)丟失，會(huì)造成不可估量的損失。

3.2安全策略制定

根據(jù)學(xué)校數(shù)字化校園安全需求分析制定如下安全策略：（1）校園網(wǎng)物理安全策略：包括學(xué)校服務(wù)器機(jī)房環(huán)境保護(hù)措施、出入管理制度的制定、安全責(zé)任制度、災(zāi)難備份與恢復(fù)方案、應(yīng)急電源啟用，突況預(yù)警等；通信線路、路由器、交換機(jī)，無(wú)線通信設(shè)備安全策略。（2）內(nèi)外訪問(wèn)控制策略：為學(xué)校本部與分部之間，學(xué)校內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間、外部網(wǎng)絡(luò)用戶與校園網(wǎng)絡(luò)之間的實(shí)際需要制定訪問(wèn)控制規(guī)則，保證相互通信的安全，禁止非法訪問(wèn)；（3）安全配置及管理策略：對(duì)各服務(wù)器管理系統(tǒng)、安全產(chǎn)品、部署的應(yīng)用服務(wù)系統(tǒng)，設(shè)置各級(jí)權(quán)限及信任關(guān)系，防止越權(quán)操作破壞系統(tǒng)；檢測(cè)漏洞及修補(bǔ)、設(shè)置安全規(guī)則、安全審計(jì)及日志分析等。（4）認(rèn)證安全策略：建立統(tǒng)一身份認(rèn)證系統(tǒng)，并制定密碼復(fù)雜規(guī)則，信息傳輸認(rèn)證加密等規(guī)則；（5）突發(fā)事件應(yīng)急策略：針對(duì)黑客攻擊入侵、各網(wǎng)絡(luò)病毒的破壞、自然災(zāi)難導(dǎo)致的結(jié)果制定應(yīng)急處理法和恢復(fù)計(jì)劃。

3.3選擇安全產(chǎn)品及部署

針對(duì)校園網(wǎng)的安全需求及相應(yīng)的安全策略，選擇成熟有效的安全產(chǎn)品，把校園網(wǎng)的安全管理與安全產(chǎn)品有機(jī)的結(jié)合，解決數(shù)字化校園的網(wǎng)絡(luò)安全，使網(wǎng)絡(luò)的風(fēng)險(xiǎn)降到最低的限度。（1）交換機(jī)選擇：根據(jù)交換機(jī)傳輸率及品質(zhì)選擇穩(wěn)定可靠的交換機(jī)，部署在各個(gè)子網(wǎng)接點(diǎn)上，進(jìn)行VLAN劃分使各個(gè)子網(wǎng)隔離、抵抗各種病毒與工具軟件的攻擊，盡量把風(fēng)險(xiǎn)控制在各個(gè)子網(wǎng)中。（2）防火墻選擇：防火墻是一種軟件與硬件的結(jié)合體，通過(guò)訪問(wèn)規(guī)則控制內(nèi)外網(wǎng)絡(luò)之間的信息交換，把不符合訪問(wèn)規(guī)則的請(qǐng)求拒之于門(mén)外，從而保護(hù)系統(tǒng)的安全。在構(gòu)建數(shù)字化校園的時(shí)，應(yīng)選擇功能強(qiáng)大的防火墻部署在校園網(wǎng)與外網(wǎng)之間，重要部門(mén)的子網(wǎng)與內(nèi)部網(wǎng)之間，或安裝個(gè)人防火墻于客戶端，從而阻斷各網(wǎng)絡(luò)之間的非法訪問(wèn)，保障系統(tǒng)的最大安全。（3）建立虛擬私有網(wǎng)：在特殊情況下可以建立虛擬私有網(wǎng)（VPN）在兩點(diǎn)之間建立可靠的安全連接，保證數(shù)據(jù)安全傳輸。（4）網(wǎng)絡(luò)身份認(rèn)證：網(wǎng)絡(luò)認(rèn)證包括靜態(tài)密碼、智能卡、短信密碼、動(dòng)態(tài)口令、生物識(shí)別等方式進(jìn)行認(rèn)證，可根據(jù)實(shí)際情況選擇相應(yīng)的產(chǎn)品，部署在專用認(rèn)證服務(wù)器或需要認(rèn)證的服務(wù)器系統(tǒng)中。（5）反病毒軟件部署：包括金山、瑞星、360、卡巴斯基等防毒軟件能夠查殺大部分的各種流行病毒，可部署在校園網(wǎng)各應(yīng)用服務(wù)器中及客戶端個(gè)人計(jì)算機(jī)中，防范各種病毒對(duì)系統(tǒng)的破壞，從而保證系統(tǒng)的安全。（6）入侵檢測(cè)系統(tǒng)：入侵檢測(cè)系統(tǒng)是對(duì)網(wǎng)絡(luò)安全攻擊的一種主動(dòng)防御設(shè)備，可對(duì)網(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)可疑的入侵采取主動(dòng)反應(yīng)措施或發(fā)出警報(bào)，主要部署在需要重點(diǎn)保護(hù)的服務(wù)器主機(jī)和子網(wǎng)中。

3.4安全教育與培訓(xùn)

在數(shù)字化校園安全方案里面，需要對(duì)學(xué)校的全體教職員工，特別是網(wǎng)絡(luò)管理人員及部門(mén)負(fù)責(zé)人進(jìn)行安全教育，掌握基本的安全知識(shí)，能夠熟練的掌握和應(yīng)用安全產(chǎn)品，從思想上提高安全意識(shí)，阻止或避免可能發(fā)生的安全事故。培訓(xùn)內(nèi)容應(yīng)包括以下知識(shí)：網(wǎng)絡(luò)基本知識(shí)掌握；各種計(jì)算機(jī)網(wǎng)絡(luò)病毒診斷與防治；掌握各種網(wǎng)絡(luò)入侵手段，分析解決應(yīng)對(duì)辦法；各操作系統(tǒng)、應(yīng)用服務(wù)器、安全產(chǎn)品的安裝和安全配置；校園網(wǎng)絡(luò)系統(tǒng)的安全管理和維護(hù)及重要數(shù)據(jù)備份與恢復(fù)。

4結(jié)束語(yǔ)

綜上所述，數(shù)字化校園建設(shè)是利用現(xiàn)代網(wǎng)絡(luò)科技手段實(shí)現(xiàn)學(xué)院信息化、管理科學(xué)化的重要手段，它是一個(gè)開(kāi)放的過(guò)程，不斷發(fā)展變化逐漸完善的過(guò)程，在這個(gè)過(guò)程中，對(duì)于信息安全因素的分析及安全策略的制定與實(shí)施，具有非常重要的意義與價(jià)值，制定合理的安全策略是整個(gè)信息化建設(shè)中是必不可少的環(huán)節(jié)。

作者：唐權(quán) 周蓉 單位：四川職業(yè)技術(shù)學(xué)院

參考文獻(xiàn)：

［1］張新剛，田燕.數(shù)字化校園信息安全立體防御體系的探索與研究［J］.實(shí)驗(yàn)技術(shù)與管理,2012-10

［2］王楠，喬愛(ài)玲.高校數(shù)字化校園規(guī)劃體系結(jié)構(gòu)與流程［J］.中國(guó)電話教育,2008-1

［3］彭琣，高琣.計(jì)算機(jī)網(wǎng)絡(luò)安全及防護(hù)策略研究［J］.計(jì)算機(jī)與數(shù)字工程,2011-1