前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全解決方案范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全解決方案范文第1篇

關(guān)鍵詞:網(wǎng)絡(luò)安全;醫(yī)院網(wǎng)絡(luò);防火墻

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)26-7364-02

Hospital-based Network Security Solutions

SUN Ping-bo

(Department of Information, Changhai Hospital, Shanghai 200433, China)

Abstract: The hospital network security is to protect the basis of normal medical practice, this paper, the hospital network security solutions design and implementation of safety programs related to the model, firewalls isolation, and health care business data capture. This article is the construction of the hospital network security system to provide a reference for the role.

Key words: network security; the hospital network; firewall

隨著科學(xué)技術(shù)的發(fā)展和信息時(shí)代的來臨,幾乎所有的醫(yī)院都建立了信息網(wǎng)絡(luò),實(shí)現(xiàn)了信息資源的網(wǎng)絡(luò)共享。但在具體建設(shè)這個(gè)醫(yī)院網(wǎng)絡(luò)平臺(tái)時(shí)中,往往都只重視怎樣迅速把平臺(tái)搭建起來和能夠馬上投入使用,而忽視了在醫(yī)院網(wǎng)絡(luò)平臺(tái)建設(shè)過程中信息安全的建設(shè),包括如何保障醫(yī)療業(yè)務(wù)的正常進(jìn)行、患者及醫(yī)生信息的合法訪問,如何使醫(yī)院網(wǎng)絡(luò)平臺(tái)免受黑客、病毒、惡意軟件和其它不良意圖的攻擊已經(jīng)成為急需解決的問題。

1 醫(yī)院網(wǎng)絡(luò)安全解決方案的設(shè)計(jì)

1.1網(wǎng)絡(luò)方案的模型

本文研究的醫(yī)院網(wǎng)絡(luò)安全解決方案是采用基于主動(dòng)策略的醫(yī)院網(wǎng)絡(luò)安全系統(tǒng),它的主導(dǎo)思想是圍繞著P2DR模型思想建立一個(gè)完整的信息安全體系框架。P2DR模型最早是由ISS公司提出的動(dòng)態(tài)安全模型的代表性模型,它主要包含4個(gè)部分:安全策略(Policy)、防護(hù)(Protection)、檢測(Detection)和響應(yīng)(Response)。

安全策略是P2DR安全模型的核心。在整體安全策略的控制和指導(dǎo)下,運(yùn)用防護(hù)工具(防火墻、操作系統(tǒng)身份認(rèn)證、加密等)對(duì)網(wǎng)絡(luò)進(jìn)行安全防護(hù);利用檢測工具(如漏洞掃描、入侵檢測系統(tǒng)等等)了解和評(píng)估系統(tǒng)的安全狀態(tài),檢測針對(duì)系統(tǒng)的攻擊行為;通過適當(dāng)?shù)姆磻?yīng)機(jī)制將系統(tǒng)的安全狀態(tài)提升到最優(yōu)狀態(tài)。這個(gè)過程是一個(gè)動(dòng)態(tài)的、不斷循環(huán)的過程,檢測到的威脅將作為響應(yīng)和加強(qiáng)防護(hù)的依據(jù),防護(hù)加強(qiáng)后,將繼續(xù)進(jìn)行檢測過程,依次循環(huán)下去,從而達(dá)到網(wǎng)絡(luò)安全性不斷增強(qiáng)的目的[1]。

根據(jù)對(duì)網(wǎng)絡(luò)安全的技術(shù)分析和設(shè)計(jì)目標(biāo),醫(yī)院網(wǎng)絡(luò)安全解決方案要解決7個(gè)實(shí)現(xiàn)的技術(shù)問題,分別是:數(shù)據(jù)檢測,入侵行為控制,行為分析,行為記錄,服務(wù)模擬,行為捕獲和數(shù)據(jù)融合。醫(yī)院網(wǎng)絡(luò)安全解決方案以P2DR模型為基礎(chǔ),合理利用主動(dòng)防御技術(shù)和被動(dòng)防御技術(shù)來構(gòu)建動(dòng)態(tài)安全防御體系,根據(jù)現(xiàn)有安全措施和工具,在安全策略的基礎(chǔ)上,提出基于主動(dòng)策略的醫(yī)院網(wǎng)絡(luò)安全方案模型,如圖1所示。

醫(yī)院網(wǎng)絡(luò)安全解決方案模型入侵檢測監(jiān)視網(wǎng)絡(luò)的異常情況,當(dāng)發(fā)現(xiàn)有可疑行為或者入侵行為時(shí),將監(jiān)測結(jié)果通知入侵行為控制,并將可疑行為數(shù)據(jù)傳給服務(wù)模擬;服務(wù)模擬在入侵行為控制的監(jiān)控下向可疑行為提供服務(wù),并調(diào)用行為捕獲對(duì)系統(tǒng)所有活動(dòng)作嚴(yán)格和詳細(xì)的記錄;數(shù)據(jù)融合定期地從行為記錄的不同數(shù)據(jù)源提取數(shù)據(jù),按照統(tǒng)一數(shù)據(jù)格式整理、融合、提煉后,一發(fā)給行為分析,對(duì)可疑行為及入侵行為作進(jìn)一步分析,同時(shí)通知入侵行為控制對(duì)入侵行為進(jìn)行控制,并提取未知攻擊特征通過入侵行為控制對(duì)入侵檢測知識(shí)庫進(jìn)行更新,將新的模式添加進(jìn)去。

1.2 防火墻隔離的設(shè)計(jì)

防火墻技術(shù)是醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)中使用最廣泛的一項(xiàng)網(wǎng)絡(luò)安全技術(shù)。它的作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)入被保護(hù)的內(nèi)部網(wǎng)絡(luò),通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略。在醫(yī)院網(wǎng)絡(luò)中,既有允許被內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)同時(shí)訪問的一些應(yīng)用服務(wù)器(如醫(yī)療費(fèi)用查詢系統(tǒng)、專家號(hào)預(yù)約系統(tǒng)、病情在線咨詢系統(tǒng)等),也有只允許醫(yī)院網(wǎng)絡(luò)內(nèi)部之間進(jìn)行通信,不可以外部網(wǎng)絡(luò)訪問的內(nèi)部網(wǎng)絡(luò)[2]。因此,對(duì)應(yīng)用服務(wù)器和內(nèi)部網(wǎng)絡(luò)應(yīng)該采用不同的安全策略。

本文研究的醫(yī)院網(wǎng)絡(luò)安全解決方案采用的是屏蔽子網(wǎng)結(jié)構(gòu)的防火墻配置。將應(yīng)用服務(wù)器放置在屏蔽子網(wǎng)機(jī)構(gòu)中的DMZ區(qū)域內(nèi),由外部防火墻保護(hù),內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的用戶都可以訪問該區(qū)域。內(nèi)部網(wǎng)絡(luò)除了外部防火墻的保護(hù)外。還采用堡壘主機(jī)(服務(wù)器)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行更加深一些層的保護(hù)。通過核心交換機(jī)的路由功能將想要進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包路由到服務(wù)器中,由包過濾原則。過濾一些內(nèi)部網(wǎng)絡(luò)不應(yīng)看到的網(wǎng)站信息等。內(nèi)部路由器將所有內(nèi)部用戶到因特網(wǎng)的訪問均路由到服務(wù)囂,服務(wù)器進(jìn)行地址翻譯。為這些用戶提供服務(wù).以此屏蔽內(nèi)部網(wǎng)絡(luò)。這種結(jié)構(gòu)使得應(yīng)用服務(wù)器與內(nèi)部網(wǎng)絡(luò)采用不同級(jí)別的安全策略,既實(shí)現(xiàn)醫(yī)院網(wǎng)絡(luò)的需求,也保護(hù)醫(yī)院網(wǎng)絡(luò)的安全。防火墻系統(tǒng)結(jié)構(gòu)設(shè)計(jì)如圖2所示。

雖然防火墻系統(tǒng)能夠?yàn)獒t(yī)院的網(wǎng)絡(luò)提供很多安全方面的保障,但并不能夠解決全部安全問題。因此,醫(yī)院的網(wǎng)絡(luò)安全系統(tǒng)還采取了其他的網(wǎng)絡(luò)安全技術(shù)和手段來確保醫(yī)院網(wǎng)絡(luò)的安全。

1.3 醫(yī)療業(yè)務(wù)數(shù)據(jù)的捕獲

如果本文研究的醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)不能捕獲到任何數(shù)據(jù),那它將是一堆廢物。只有捕獲到數(shù)據(jù),我們才能利用這些數(shù)據(jù)研究攻擊者的技術(shù)、工具和動(dòng)機(jī)。本文設(shè)計(jì)的醫(yī)院安全系統(tǒng)實(shí)現(xiàn)了三層數(shù)據(jù)捕獲,即防火墻日志、嗅探器捕獲的網(wǎng)絡(luò)數(shù)據(jù)包、管理主機(jī)系統(tǒng)日志。

其中,嗅探器記錄各種進(jìn)出醫(yī)院內(nèi)管理網(wǎng)的數(shù)據(jù)包內(nèi)容,嗅探器可以用各種工具,如Ethereal等,我們使用了Tcpdump。記錄的數(shù)據(jù)以Tcpdump日志的格式進(jìn)行存儲(chǔ),這些數(shù)據(jù)不僅以后可用通過Tcpreplay進(jìn)行回放,也可以在無法分析數(shù)據(jù)時(shí),發(fā)送給別的研究人員進(jìn)行分析。

防火墻和嗅探器捕獲的是網(wǎng)絡(luò)數(shù)據(jù),還需要捕獲發(fā)生有管理主機(jī)上的所有系統(tǒng)和用戶活動(dòng)。對(duì)于windows系統(tǒng),可以借助第三方應(yīng)用程序來記錄系統(tǒng)日志信息?，F(xiàn)在大多數(shù)的攻擊者都會(huì)使用加密來與被黑系統(tǒng)進(jìn)行通信。要捕獲擊鍵行為,需要從管理主機(jī)中獲得,如可以通過修改系統(tǒng)庫或者開發(fā)內(nèi)核模塊來修改內(nèi)核從而記錄下攻擊者的行為。

2 醫(yī)院網(wǎng)絡(luò)安全解決方案的實(shí)現(xiàn)

2.1 防火墻系統(tǒng)的布置

本文研究的醫(yī)院防火墻系統(tǒng)采用的是屏蔽子網(wǎng)結(jié)構(gòu),在該結(jié)構(gòu)中,采用Quidway SecPath 1000F硬件防火墻與外部網(wǎng)絡(luò)直接相連,通過核心交換機(jī)Quidway S6506R將屏蔽子網(wǎng)結(jié)構(gòu)中的DMZ區(qū)域和內(nèi)部網(wǎng)絡(luò)連接起來,DMZ區(qū)域中的各種應(yīng)用的服務(wù)器都采用的是IBM xSeries 346,其中一臺(tái)作為堡壘主機(jī)使用。這臺(tái)堡壘主機(jī)起到的就是服務(wù)器的作用。防火墻根據(jù)管理員設(shè)定的安全規(guī)則保護(hù)內(nèi)部網(wǎng)絡(luò),提供完善的安全設(shè)置,通過高性能的醫(yī)院網(wǎng)絡(luò)核心進(jìn)行訪問控制。

2.2 醫(yī)療業(yè)務(wù)數(shù)據(jù)捕獲的實(shí)現(xiàn)

本文研究的數(shù)據(jù)捕獲主要從三層進(jìn)行數(shù)據(jù)捕獲。我們在網(wǎng)橋下運(yùn)行如下命令進(jìn)行捕獲:

TCPDUMP -c 10 Ci eth1 -s 0 Cw /log

為了不讓攻擊者知道我們在監(jiān)視他在主機(jī)上的活動(dòng),我們采用Sebek來實(shí)現(xiàn)我們的目標(biāo)。Sebek是個(gè)隱藏的記錄攻擊者行為的內(nèi)核補(bǔ)丁。一旦在主機(jī)上安裝了Sebek的客戶端,它就在系統(tǒng)的內(nèi)核級(jí)別運(yùn)行,記錄的數(shù)據(jù)并不是記錄在本地硬盤上,而是通過UDP數(shù)據(jù)包發(fā)送到遠(yuǎn)程服務(wù)器上,入侵者很難發(fā)現(xiàn)它的存在。

醫(yī)院的網(wǎng)絡(luò)安全系統(tǒng)數(shù)據(jù)捕獲是由內(nèi)核模塊來完成的,本文研究使用這個(gè)模塊獲得主機(jī)內(nèi)核空間的訪問,從而捕獲所有read()的數(shù)據(jù)。Sebek替換系統(tǒng)調(diào)用表的read()函數(shù)來實(shí)現(xiàn)這個(gè)功能,這個(gè)替換的新函數(shù)只是簡單的調(diào)用老read()函數(shù),并且把內(nèi)容拷貝到一個(gè)數(shù)據(jù)包緩存,然后加上一個(gè)頭,再把這個(gè)數(shù)據(jù)包發(fā)送到服務(wù)端。替換原來的函數(shù)就是改變系統(tǒng)調(diào)用表的函數(shù)指針。

本文通過配置參數(shù)決定了Sebek收集什么樣的信息,發(fā)送信息的目的地。以下就是一個(gè)linux配置文件的實(shí)例:

INTERFACE="eth0" //設(shè)定接口

DESTINATION_IP="172.17.1.2" //設(shè)定遠(yuǎn)程服務(wù)器IP

DESTINATION_MAC="00:0C:29:I5:96:6E" //設(shè)定遠(yuǎn)程服務(wù)器MAC

SOURCE_PORT=1101 //設(shè)定源地址UDP端口

DESTINATION_PORT=1101 //設(shè)定目標(biāo)地址UDP端口

MAGIC_VALUE=XXXXX //如果同一網(wǎng)段有多個(gè)客戶端,則設(shè)定相同的數(shù)值

KEYSTOKE_ONLY=1 //是否只記錄鍵擊記錄

3 結(jié)束語

該文對(duì)醫(yī)院網(wǎng)絡(luò)安全的解決方案進(jìn)行了較深入的研究,但該系統(tǒng)采用的技術(shù)也不能說是完善的,一方面因?yàn)樗鼈円苍诓粩喟l(fā)展中,另一方面是因?yàn)樵O(shè)計(jì)者的水平有局限。比如醫(yī)院網(wǎng)絡(luò)的數(shù)據(jù)捕獲技術(shù),它本身就是一個(gè)十分復(fù)雜的技術(shù)問題,解決的手段也是多樣的。

參考文獻(xiàn):

網(wǎng)絡(luò)安全解決方案范文第2篇

關(guān)鍵詞:無線網(wǎng)絡(luò);網(wǎng)絡(luò)安全;解決方案

中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2012) 13-0000-02

一、無線網(wǎng)絡(luò)概述

無線網(wǎng)絡(luò)(Wireless Local Area Network,WLAN)是以無線電波作為傳輸媒介的無線局域網(wǎng),具有移動(dòng)性、開放性、不穩(wěn)定性等特點(diǎn)。與無線網(wǎng)絡(luò)相比,它利用無線電技術(shù)代替網(wǎng)線,具有以下獨(dú)特的優(yōu)勢:網(wǎng)絡(luò)的擴(kuò)展性好,可迅速便捷地?cái)U(kuò)展網(wǎng)絡(luò);網(wǎng)絡(luò)建設(shè)簡單方便;用戶使用性好,網(wǎng)絡(luò)可移動(dòng)、兼容性好,不受固定的連接限制等。

(一)無線網(wǎng)絡(luò)的加密方式

無線網(wǎng)絡(luò)安全與其相關(guān)加密方式密切相關(guān),無線網(wǎng)絡(luò)的加密方式有:

1.WEP(Wired Equivalent Privacy)加密

該方式通過RC4算法在收發(fā)兩端將數(shù)據(jù)加解密,且具有校驗(yàn)過程以確保數(shù)據(jù)完整安全,然而這種方式只要補(bǔ)集足夠多的數(shù)據(jù)包,就可以推斷出密碼,安全問題逐漸顯現(xiàn)。

2.WPA(Wi-Fi Protected Access)加密

該方式充分研究了WEP的不足,使用了比其更長的IV和密鑰機(jī)制,具有較高的安全性。

3.WPA2加密

該方式使用AES算法,能克服以往的問題,也是當(dāng)前的最高安全標(biāo)準(zhǔn),但其對(duì)硬件要求過高。

(二)無線網(wǎng)絡(luò)的安全特點(diǎn)

另一方面,無線網(wǎng)絡(luò)的安全特點(diǎn)也有別與有線網(wǎng)絡(luò),它主要有以下幾個(gè)特點(diǎn):

1.易受干擾攻擊

無線網(wǎng)絡(luò)具有開放性,它不像有線網(wǎng)絡(luò)具有固定的網(wǎng)絡(luò)連接,更容易受到各種惡意攻擊。

2.安全管理難度大

無線網(wǎng)絡(luò)的移動(dòng)性,使其網(wǎng)絡(luò)終端可在大范圍移動(dòng),這就意味著移動(dòng)節(jié)點(diǎn)缺乏一定的物理保護(hù),倘若從無線網(wǎng)絡(luò)已入侵的節(jié)點(diǎn)開始攻擊,造成的破壞將更大。

3.安全方案實(shí)施困難

無線網(wǎng)絡(luò)具有動(dòng)態(tài)變化的拓?fù)浣Y(jié)構(gòu),這讓安全技術(shù)更復(fù)雜,并且許多方案均是分散的,實(shí)施起來依賴所有節(jié)點(diǎn)。

4.魯棒性問題

無線網(wǎng)絡(luò)信道往往隨著用戶而變化,常常會(huì)受到干擾、衰弱等多分影響,造成網(wǎng)絡(luò)信號(hào)不穩(wěn)定,質(zhì)量波動(dòng)大。

二、無線網(wǎng)絡(luò)面臨的安全威脅

無線網(wǎng)絡(luò)面臨的安全威脅主要是針對(duì)無線網(wǎng)絡(luò)信號(hào)的空間擴(kuò)散特性進(jìn)行的網(wǎng)絡(luò)攻擊。無線網(wǎng)絡(luò)攻擊方式主要有以下幾種:

(1)War Driving。這是最常見的攻擊方式,攻擊者利用黑客軟件檢測出周圍的無線網(wǎng)絡(luò),并且詳細(xì)獲知每個(gè)訪問接入點(diǎn)的詳細(xì)信息,同時(shí)借助GPS繪制出其對(duì)應(yīng)的地理位置。

(2)拒絕服務(wù)攻擊。這種攻擊是通過耗盡網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用程序的有限資源,使得計(jì)算機(jī)無法獲得相應(yīng)的服務(wù)。

(3)中間人攻擊,例如包捕獲、包修改、包植入和連接劫持等。

(4)欺騙攻擊,即是通過偽造來自某個(gè)受信任地址的數(shù)據(jù)包,讓該計(jì)算機(jī)認(rèn)證另一臺(tái)計(jì)算機(jī),包括隱蔽式與非隱蔽式欺騙攻擊,例如為IP欺騙、ARP欺騙、DNS欺騙等。

(5)暴力攻擊,即是使用數(shù)字、字符和字母等的任意組合,猜測用戶名及其口令,反復(fù)地進(jìn)行試探性訪問。

上述的這些攻擊會(huì)威脅信息的完整性、機(jī)密性和可用性,這些安全威脅主要有四類:信息泄露、完整性破壞、拒絕服務(wù)和非法使用,具體來說主要有竊聽、無授權(quán)訪問、篡改、偽裝、重放、重路由、錯(cuò)誤路由、刪除消息、網(wǎng)絡(luò)泛洪等。這些從而導(dǎo)致竊取信息、非授權(quán)使用資源、竊取服務(wù)和拒絕服務(wù)等問題。其具體的網(wǎng)絡(luò)安全問題主要表現(xiàn)為:

(1)未授權(quán)的非法訪問服務(wù)。攻擊者偽裝成合法用戶,未經(jīng)授權(quán)訪問網(wǎng)絡(luò)資源,非法占用無線信道和網(wǎng)絡(luò)帶寬資源,嚴(yán)重影響了合法用戶的服務(wù)質(zhì)量。;

(2)合法用戶的隱私信息外泄。惡意用戶通過竊聽、截取數(shù)據(jù)包,盜取用戶的關(guān)鍵數(shù)據(jù)信息,例如無線鏈路上傳輸?shù)奈幢患用艿臄?shù)據(jù)被攻擊者截獲等。另一方面不適當(dāng)?shù)臄?shù)據(jù)同步導(dǎo)致數(shù)據(jù)不完整,手持設(shè)備的丟失也會(huì)泄露敏感信息,設(shè)備的不恰當(dāng)配置也可能泄露數(shù)據(jù)。

(3)惡意用戶可能通過無線網(wǎng)絡(luò)主動(dòng)攻擊網(wǎng)絡(luò)設(shè)備,獲得對(duì)網(wǎng)絡(luò)的管理控制權(quán)限,并篡改相關(guān)的網(wǎng)絡(luò)配置,降低了網(wǎng)絡(luò)的防護(hù)能力,將造成了惡劣的影響,嚴(yán)重時(shí)將使整個(gè)網(wǎng)絡(luò)癱瘓。

(4)病毒主機(jī)直接接入無線網(wǎng)絡(luò),嚴(yán)重影響信息系統(tǒng)的安全可靠性。

三、無線網(wǎng)絡(luò)安全的解決方案

針對(duì)上述的網(wǎng)絡(luò)安全問題,無線網(wǎng)絡(luò)安全的解決方案往往有以下幾個(gè)方面:

(一)訪問控制

即是按照用戶身份及其所歸屬的某項(xiàng)定義組來限制用戶訪問某些信息項(xiàng),或限制其使用某些控制功能。一般來說,訪問控制有利用MAC地址和服務(wù)區(qū)域認(rèn)證ID技術(shù)兩種方式來控制無線設(shè)備的非法入侵。啟用MAC地址過濾的策略就是無線路由器只允許部分MAC地址的網(wǎng)絡(luò)設(shè)備進(jìn)行通訊。由于MAC地址在每個(gè)無線工作站的網(wǎng)卡出廠時(shí)就已設(shè)定,所以用戶可以利用其唯一性設(shè)置訪問點(diǎn),實(shí)現(xiàn)物理地址過濾。然而,這個(gè)方案存在MAC地址欺騙的缺陷,即是MAC地址可以進(jìn)行偽造,而且也無法實(shí)現(xiàn)機(jī)器在不同AP間的漫游。這種方式是較低級(jí)的授權(quán)認(rèn)證,但它是阻止惡意用戶訪問無線網(wǎng)絡(luò)的一種理想方式,一定程度上可以保護(hù)網(wǎng)絡(luò)安全。服務(wù)區(qū)域認(rèn)證ID技術(shù)(SSID)是根據(jù)每一個(gè)AP內(nèi)設(shè)置的對(duì)應(yīng)服務(wù)區(qū)域認(rèn)證ID,當(dāng)無線終端設(shè)備需連接AP時(shí),AP就會(huì)檢查其SSID是否與自己的ID保持一致,AP才接受相應(yīng)的訪問并給予網(wǎng)絡(luò)服務(wù)。該技術(shù)的缺陷同樣也是容易被竊取,網(wǎng)絡(luò)安全性較為一般。

網(wǎng)絡(luò)安全解決方案范文第3篇

關(guān)鍵詞：企業(yè)信息化；網(wǎng)絡(luò)安全；系統(tǒng)安全；安全解決方案

中圖分類號(hào)：TP393

1 項(xiàng)目來源

重鋼集團(tuán)公司按照國家“管住增量、調(diào)整存量、上大壓小、扶優(yōu)汰劣”的原則，將重慶市淘汰落后產(chǎn)能、節(jié)能減排與重鋼環(huán)保搬遷改造工程結(jié)合起來。隨著重慶市經(jīng)濟(jì)和城市化快速發(fā)展，重慶鋼鐵（集團(tuán)）有限責(zé)任公司擬退出主城區(qū)，進(jìn)行環(huán)保搬遷。重鋼環(huán)保搬遷新廠區(qū)位于長壽區(qū)江南鎮(zhèn)，主要生產(chǎn)設(shè)施包括碼頭、原料場、焦化、燒結(jié)、高爐、煉鋼、連鑄、寬厚板軋機(jī)、熱連軋機(jī)和各工藝配套設(shè)施以及全廠的公輔設(shè)施等，生產(chǎn)規(guī)模為630萬噸。

2 系統(tǒng)目標(biāo)

重鋼股份公司在搬遷的長壽區(qū)建立了全新的信息化機(jī)房，結(jié)合自身實(shí)際，決定部署一套符合自身需要的信息化平臺(tái)。整個(gè)平臺(tái)包含：財(cái)務(wù)系統(tǒng)、人力資源管理系統(tǒng)、門戶.OA系統(tǒng)、各產(chǎn)線的MES系統(tǒng)、以及企業(yè)的原料，物流系統(tǒng)等。

3 系統(tǒng)實(shí)現(xiàn)

重鋼信息系統(tǒng)全由公司自主研發(fā)，服務(wù)器端采用：中間服務(wù)器操作系統(tǒng)win2003server+Oracle Developer6i Runtimes，數(shù)據(jù)庫服務(wù)器：Unix Ware+ORACLE 10g。開發(fā)端：Windows 9x/2000/XP+ Oracle Developer 2000 Release。根據(jù)業(yè)務(wù)需求，公司統(tǒng)一按國家標(biāo)準(zhǔn)部署了裝修一個(gè)中心機(jī)房，選擇了核心數(shù)據(jù)庫服務(wù)器小型機(jī)、其他小型機(jī)服務(wù)器、FC-SAN存儲(chǔ)柜、SAN交換機(jī)，磁帶庫、PC服務(wù)器、網(wǎng)絡(luò)安全管理設(shè)備，機(jī)柜、應(yīng)用服務(wù)器軟件、數(shù)據(jù)備份管理軟件、UPS電源。等硬件基礎(chǔ)設(shè)施對(duì)此系統(tǒng)項(xiàng)目進(jìn)行集成。在信息化建設(shè)實(shí)施過程中，本人主要參與了整個(gè)系統(tǒng)項(xiàng)目集成方案設(shè)計(jì)和實(shí)施。

4 項(xiàng)目特點(diǎn)

4.1 網(wǎng)絡(luò)設(shè)計(jì)

中心機(jī)房通過防火墻等網(wǎng)絡(luò)設(shè)備提供網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)監(jiān)測、流量控制、帶寬保證、防入侵檢測等技術(shù)，抗擊各種非法攻擊和干擾，保證網(wǎng)絡(luò)安全可靠。同時(shí)網(wǎng)絡(luò)建設(shè)選擇了骨干線路采用16芯單模光纖，接入層線路采用8芯單模光纖，桌面線路采用六類非屏蔽網(wǎng)絡(luò)線；光纖骨干線部分采用萬兆+千兆光纖雙鏈路連接，接入層光纖采用千兆鏈路接口至桌面。整個(gè)網(wǎng)絡(luò)體系滿足千兆以上數(shù)據(jù)傳輸及交換要求。

4.2 系統(tǒng)設(shè)計(jì)

本系統(tǒng)采用業(yè)界流行的三層架構(gòu)，客戶端，應(yīng)用服務(wù)器層，后臺(tái)數(shù)據(jù)庫層。

4.2.1 應(yīng)用層設(shè)計(jì)特點(diǎn)

在應(yīng)用層選擇上，重鋼選擇了citrix軟件來實(shí)現(xiàn)企業(yè)的虛擬化云平臺(tái)，原先安裝在客戶端的應(yīng)用程序客戶端程序安裝在Citrix服務(wù)器上，客戶端不再需要安裝原有的Client端軟件，Client端設(shè)備只需通過IE就可以進(jìn)行訪問。這樣就把原先的C/S的應(yīng)用立刻轉(zhuǎn)化為B/S的訪問形式，而且無需進(jìn)行任何的開發(fā)和修改源代碼的工作。同時(shí)使用Citrix的“Data Collector”負(fù)載均衡調(diào)度服務(wù)器負(fù)責(zé)收集每一臺(tái)服務(wù)器里面的一些動(dòng)態(tài)信息，并與之進(jìn)行交流；當(dāng)有應(yīng)用請(qǐng)求時(shí)，自動(dòng)將請(qǐng)求轉(zhuǎn)到負(fù)載最輕的服務(wù)器上運(yùn)行。Citrix是通過自己的專利技術(shù)，把軟件的計(jì)算邏輯和顯示邏輯分開，這樣客戶端只需上傳一些鼠標(biāo)、鍵盤的命令，服務(wù)器接到命令之后進(jìn)行計(jì)算，將計(jì)算完的結(jié)果傳送給客戶端，注意：Citrix所傳送的不是數(shù)據(jù)流，而是將圖像的變化部分經(jīng)過壓縮傳給客戶端，只有在客戶端和服務(wù)器端才可以看到真實(shí)的數(shù)據(jù)，而中間層傳輸?shù)闹皇谴a，并且Citrix還對(duì)這些代碼進(jìn)行了加密。對(duì)于網(wǎng)絡(luò)的需求，只需要10K～20K的帶寬就可以滿足需要，尤其是在ERP中收發(fā)郵件，經(jīng)常遇到較大郵件，通常在窄帶、無線網(wǎng)絡(luò)條件下基本無法訪問，但通過Citrix就可以很快打開郵件，進(jìn)行文件的及時(shí)處理。

4.2.2 數(shù)據(jù)庫層技術(shù)特點(diǎn)

在數(shù)據(jù)庫層的選擇上，重鋼選擇了oracle軟件。利用oracle軟件本身的技術(shù)特點(diǎn)，我們設(shè)計(jì)系統(tǒng)采用ORACLE RAC+DATAGUARD的部署方式。RAC技術(shù)是通過CPU共享和存儲(chǔ)設(shè)備共享來實(shí)現(xiàn)多節(jié)點(diǎn)之間的無縫集群，用戶提交的每一項(xiàng)任務(wù)被自動(dòng)分配給集群中的多臺(tái)機(jī)器執(zhí)行，用戶不必通過冗余的硬件來滿足高可靠性要求。

RAC的優(yōu)勢在于：在Cluster、MPP體系結(jié)構(gòu)中，實(shí)現(xiàn)一個(gè)共享數(shù)據(jù)庫，支持并行處理，均分負(fù)載，保證故障時(shí)數(shù)據(jù)庫的不間斷運(yùn)行；支持Shared Disk和Shared Nothing類型的體系結(jié)構(gòu)；多個(gè)節(jié)點(diǎn)同時(shí)工作；節(jié)點(diǎn)均分負(fù)載。當(dāng)RAC群組的一個(gè)A節(jié)點(diǎn)失效時(shí)，所有的用戶會(huì)被重新鏈接到B節(jié)點(diǎn)，這一切對(duì)來說用戶是完全透明的，從而實(shí)現(xiàn)數(shù)據(jù)庫的高可用性。

Data Guard是Oracle公司提出的數(shù)據(jù)庫容災(zāi)技術(shù)，它提供了一種管理、監(jiān)測和自動(dòng)運(yùn)行的體系結(jié)構(gòu)，用于創(chuàng)建和維護(hù)一個(gè)或多個(gè)備份數(shù)據(jù)庫。與遠(yuǎn)程磁盤鏡像技術(shù)的根本區(qū)別在于，Data Guard是在邏輯級(jí)，通過傳輸和運(yùn)行數(shù)據(jù)庫日志文件，來保持生產(chǎn)和備份數(shù)據(jù)庫的數(shù)據(jù)一致性。一旦數(shù)據(jù)庫因某種情況而不可用時(shí)，備份數(shù)據(jù)庫將正常切換或故障切換為新的生產(chǎn)數(shù)據(jù)庫，以達(dá)到無數(shù)據(jù)損失或最小化數(shù)據(jù)損失的目的，為業(yè)務(wù)系統(tǒng)提供持續(xù)的數(shù)據(jù)服務(wù)能力。

4.2.3 數(shù)據(jù)備份保護(hù)特點(diǎn)

備份軟件采用HP Data Protector軟件。HP Data Protector軟件能夠?qū)崿F(xiàn)自動(dòng)化的高性能備份與恢復(fù)，支持通過磁盤和磁帶進(jìn)行備份和恢復(fù)，并且沒有距離限制，從而可實(shí)現(xiàn)24x7全天候業(yè)務(wù)連續(xù)性，并提高IT資源利用率。Data Protector軟件的采購和部署成本比競爭對(duì)手低30-70%，能夠幫助客戶降低IT成本，提升運(yùn)營效率。許可模式簡單易懂，有助于降低復(fù)雜性。廣泛的可擴(kuò)展性和各種特性可以實(shí)現(xiàn)連續(xù)的備份和恢復(fù)，使您憑借一款產(chǎn)品即可支持業(yè)務(wù)增長。此外，該軟件還能夠與領(lǐng)先的HP StorageWorks磁盤和磁帶產(chǎn)品系列以及其它異構(gòu)存儲(chǔ)基礎(chǔ)設(shè)施完美集成。作為增長迅猛的惠普軟件產(chǎn)品組合（包括存儲(chǔ)資源管理、歸檔、復(fù)制和設(shè)備管理軟件）的重要組成部分，Data Protector軟件還能與HP BTO管理解決方案全面集成，使客戶能夠?qū)?shù)據(jù)保護(hù)作為整個(gè)IT服務(wù)的重要環(huán)節(jié)進(jìn)行管理。該解決方案將軟硬件和屢獲殊榮的支持服務(wù)集于一身，借助快速安裝、日常任務(wù)自動(dòng)化以及易于使用等特性，Data Protector軟件能夠大大簡化復(fù)雜的備份和恢復(fù)流程。借助集中的多站點(diǎn)管理，可以輕松實(shí)施多站點(diǎn)變更，實(shí)時(shí)適應(yīng)不斷變化的業(yè)務(wù)需求。

5 結(jié)束語

企業(yè)信息化平臺(tái)系統(tǒng)集成不是簡單的機(jī)器設(shè)備堆疊，需要根據(jù)企業(yè)自身使用軟件特點(diǎn)，企業(yè)使用方式，選擇合適的操作系統(tǒng)，應(yīng)用軟件作為企業(yè)生產(chǎn)軟件部署的基礎(chǔ)，另外要合理利用各軟件提供的技術(shù)方式，對(duì)系統(tǒng)的穩(wěn)定性，安全性，冗余性進(jìn)行部署，從而達(dá)到高可用和可擴(kuò)展的整體系統(tǒng)平臺(tái)。

參考文獻(xiàn)：

[1]肖建國.《信息化規(guī)劃方法論》.

[2]雷萬云.信息化與信息管理實(shí)踐之道[M].北京：清華大學(xué)出版社，2012（04）.

[3]《Pattern of Enterprise Application Architecture》.Martin Foeler

[4]周金銀.《企業(yè)架構(gòu)》.

網(wǎng)絡(luò)安全解決方案范文第4篇

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理；防護(hù)；防火墻

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2011)14-3302-02

隨著企業(yè)信息化進(jìn)程的不斷發(fā)展，網(wǎng)絡(luò)已成為提高企業(yè)生產(chǎn)效率和企業(yè)競爭力的有力手段。目前，石化企業(yè)網(wǎng)絡(luò)各類系統(tǒng)諸如ERP系統(tǒng)、原油管理信息系統(tǒng) 、電子郵件系統(tǒng) 以及OA協(xié)同辦公系統(tǒng)等都相繼上線運(yùn)行，信息化的發(fā)展極大地改變了企業(yè)傳統(tǒng)的管理模式，實(shí)現(xiàn)了企業(yè)內(nèi)的資源共享。與此同時(shí)，網(wǎng)絡(luò)安全問題日益突出，各種針對(duì)網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊層出不窮，病毒威脅無處不在。

因此，了解網(wǎng)絡(luò)安全，做好防范措施，保證系統(tǒng)安全可靠地運(yùn)行已成為企業(yè)網(wǎng)絡(luò)系統(tǒng)的基本職能，也是企業(yè)本質(zhì)安全的重要一環(huán)。

1 石化企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

石化企業(yè)局域網(wǎng)一般包含Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)，通過內(nèi)部網(wǎng)相互連接，經(jīng)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)處在同一網(wǎng)段或通過Vlan（虛擬網(wǎng)絡(luò)）技術(shù)把企業(yè)不同業(yè)務(wù)部門相互隔離。

2 企業(yè)網(wǎng)絡(luò)安全概述

企業(yè)網(wǎng)絡(luò)安全隱患的來源有內(nèi)、外網(wǎng)之分，網(wǎng)絡(luò)安全系統(tǒng)所要防范的不僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問。企業(yè)網(wǎng)絡(luò)安全隱患主要如下：

1) 操作系統(tǒng)本身存在的安全問題

2) 病毒、木馬和惡意軟件的入侵

3) 網(wǎng)絡(luò)黑客的攻擊

4) 管理及操作人員安全知識(shí)缺乏

5) 備份數(shù)據(jù)和存儲(chǔ)媒體的損壞

針對(duì)上述安全隱患，可采取安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時(shí)加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理；配置好防火墻過濾策略，及時(shí)安裝系統(tǒng)安全補(bǔ)?。辉趦?nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、入侵檢測系統(tǒng)，配置網(wǎng)絡(luò)安全隔離系統(tǒng)等。

3 網(wǎng)絡(luò)安全解決方案

一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包含許多方面，主要為物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等。

3.1 物理安全

物理安全主要指環(huán)境、場地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計(jì)劃等，包括機(jī)房環(huán)境安全、通信線路安全、設(shè)備安全、電源安全。

主要考慮：自然災(zāi)害、物理損壞和設(shè)備故障；選用合適的傳輸介質(zhì)；供電安全可靠及網(wǎng)絡(luò)防雷等。

3.2 網(wǎng)絡(luò)安全

石化企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等，并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)及Internet互連。

3.2.1 VLAN技術(shù)

VLAN即虛擬局域網(wǎng)。是通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。

借助VLAN技術(shù)，可將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境 ，就像使用本地LAN一樣方便。一般分為：基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。

3.2.2 防火墻技術(shù)

1) 防火墻體系結(jié)構(gòu)

① 雙重宿主主機(jī)體系結(jié)構(gòu)

防火墻的雙重宿主主機(jī)體系結(jié)構(gòu)是指一臺(tái)雙重宿主主機(jī)作為防火墻系統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的任務(wù)。

② 被屏蔽主機(jī)體系結(jié)構(gòu)

被屏蔽主機(jī)體系結(jié)構(gòu)是指通過一個(gè)單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻，強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連，而不讓其與內(nèi)部主機(jī)相連。

③ 被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為使用兩個(gè)屏蔽路由器，位于堡壘主機(jī)的兩端，一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)。為了入侵這種類型的體系結(jié)構(gòu)，入侵者必須穿透兩個(gè)屏蔽路由器。

2) 企業(yè)防火墻應(yīng)用

① 企業(yè)網(wǎng)絡(luò)體系中的三個(gè)區(qū)域

邊界網(wǎng)絡(luò)。此網(wǎng)絡(luò)通過路由器直接面向Internet，通過防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)。

網(wǎng)絡(luò)。即DMZ，將用戶連接到Web服務(wù)器或其他服務(wù)器，Web服務(wù)器通過內(nèi)部防火墻連接到內(nèi)部網(wǎng)絡(luò)。

內(nèi)部網(wǎng)絡(luò)。連接各個(gè)內(nèi)部服務(wù)器（如企業(yè)OA服務(wù)器，ERP服務(wù)器等）和內(nèi)部用戶。

② 防火墻及其功能

在企業(yè)網(wǎng)絡(luò)中，常常有兩個(gè)不同的防火墻:防火墻和內(nèi)部防火墻。雖然任務(wù)相似，但側(cè)重點(diǎn)不同，防火墻主要提供對(duì)不受信任的外部用戶的限制，而內(nèi)部防火墻主要防止外部用戶訪問內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶非授權(quán)的操作。

在以上3個(gè)區(qū)域中，雖然內(nèi)部網(wǎng)絡(luò)和DMZ都屬于企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分，但他們的安全級(jí)別不同，對(duì)于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò)，一般禁止所有來自Internet用戶的訪問；而企業(yè)DMZ區(qū)，限制則沒有那么嚴(yán)格。

3.2.3 VPN技術(shù)

VPN(Virtual Private Network)虛擬專用網(wǎng)絡(luò)，一種通過公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間就好像架設(shè)了一條專線，但它并不需要真正地去鋪設(shè)光纜之類的物理線路。

企業(yè)用戶采用VPN技術(shù)來構(gòu)建其跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，與Internet進(jìn)行隔離，控制內(nèi)網(wǎng)與Internet的相互訪問。VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，將對(duì)外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對(duì)外訪問。

3.3 應(yīng)用系統(tǒng)安全

企業(yè)應(yīng)用系統(tǒng)安全包括兩方面。一方面涉及用戶進(jìn)入系統(tǒng)的身份鑒別與控制，對(duì)安全相關(guān)操作進(jìn)行審核等。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、Web、FTP服務(wù)、E-MAIL等

病毒防護(hù)是企業(yè)應(yīng)用系統(tǒng)安全的重要組成部分，企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí)，應(yīng)全方位地布置企業(yè)防毒產(chǎn)品。

在網(wǎng)絡(luò)骨干接入處，安裝防毒墻，對(duì)主要網(wǎng)絡(luò)協(xié)議（SMTP、FTP、HTTP）進(jìn)行殺毒處理；在服務(wù)器上安裝單獨(dú)的服務(wù)器殺毒產(chǎn)品，各用戶安裝網(wǎng)絡(luò)版殺毒軟件客戶端；對(duì)郵件系統(tǒng)，可采取安裝專用郵件殺毒產(chǎn)品。

4 結(jié)束語

該文從網(wǎng)絡(luò)安全及其建設(shè)原則進(jìn)行了論述，對(duì)企業(yè)網(wǎng)絡(luò)安全建設(shè)的解決方案進(jìn)行了探討和總結(jié)。石化企業(yè)日新月異，網(wǎng)絡(luò)安全管理任重道遠(yuǎn)，網(wǎng)絡(luò)安全已成為企業(yè)安全的重要組成部分、甚而成為企業(yè)的本質(zhì)安全。加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，確保網(wǎng)絡(luò)安全運(yùn)行勢在必行。

參考文獻(xiàn)：

[1] 王達(dá). 路由器配置與管理完全手冊――H3C篇[M]. 武漢:華中科技大學(xué)出版社,2010．

[2] 王文壽. 網(wǎng)管員必備寶典――網(wǎng)絡(luò)安全[M]. 北京:清華大學(xué)出版社,2007．

網(wǎng)絡(luò)安全解決方案范文第5篇

由于計(jì)算機(jī)硬件、軟件、以及網(wǎng)絡(luò)的迅速發(fā)展，信息系統(tǒng)在學(xué)校公共事務(wù)管理的過程中承擔(dān)著越來越多的功能，在校園網(wǎng)絡(luò)中根據(jù)學(xué)校自身的需求和應(yīng)用，一般主要有以下一些信息管理服務(wù)系統(tǒng)。

1.1Web信息服務(wù)高職學(xué)校需要對(duì)外宣傳自己的單位形象，學(xué)院新聞、招生政策以及各類需要的公告信息，在校園網(wǎng)中，Web服務(wù)器是網(wǎng)上信息瀏覽的服務(wù)器，是不可缺少的信息系統(tǒng)服務(wù)項(xiàng)目，也是許多校園管理系統(tǒng)的集成的接口，其他的信息系統(tǒng)可以通過Web服務(wù)的主頁進(jìn)行集成。

1.2網(wǎng)上辦公系統(tǒng)（OA）網(wǎng)上辦公系統(tǒng)可以實(shí)現(xiàn)校園內(nèi)部各處、系、部之間信息交流和共享，公共資源的統(tǒng)一安排，以及和外部相關(guān)部門之間進(jìn)行信息的傳播、收集處理、資源的共享存儲(chǔ)、實(shí)現(xiàn)科學(xué)化決策信息管理系統(tǒng)。各部門之間通過辦公系統(tǒng)的使用使得信息的溝通更加的順暢，資源的利用更加充分，并且能夠節(jié)約時(shí)間和成本。

1.3教務(wù)管理系統(tǒng)學(xué)校的主要功能是教育、管理服務(wù)的對(duì)象是學(xué)生，如何最大化實(shí)現(xiàn)對(duì)各種教學(xué)資源的充分利用，提供高效的管理功能，這就需要使用教務(wù)管理把各種資源高效利用，通過使用教務(wù)管理系統(tǒng)，實(shí)現(xiàn)對(duì)學(xué)生、教師、課程、教室等教學(xué)資源的科學(xué)管理，提高上述資源的利用效，減輕教務(wù)管理人員工作的難度。

1.4文件服務(wù)器在日常的管理中，有許多文件或信息是需要大家相互交流共享，譬如一些公共表格，或者教師的備課材料和視頻等。學(xué)生可以隨時(shí)隨地通過視頻服務(wù)器找到自己課程的視頻來進(jìn)行學(xué)習(xí)，教師也可以上傳自己授課的視頻提供給學(xué)生在課后學(xué)習(xí)或?qū)υ撻T課程感興趣的學(xué)生自學(xué)。此外在校園網(wǎng)絡(luò)中還有精品課程系統(tǒng)、財(cái)務(wù)系統(tǒng)等，這些信息系統(tǒng)的存在，增加了網(wǎng)絡(luò)管理的難度。同時(shí)也增加了受到威脅、攻擊的概率。

2校園網(wǎng)絡(luò)面臨的主要威脅

通過對(duì)校園網(wǎng)絡(luò)安全威脅現(xiàn)狀及發(fā)展趨勢進(jìn)行分析，這對(duì)研究網(wǎng)絡(luò)安全技術(shù)的必要性和重要性有很高的現(xiàn)實(shí)意義，找出相應(yīng)的解決方案措施。通過對(duì)畢節(jié)職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)一年來的記錄和觀察，校園網(wǎng)絡(luò)面臨的主要安全威脅來自于以下兩個(gè)方面：來自外部的主要威脅是黑客的攻擊，校園網(wǎng)絡(luò)一般沒有特別機(jī)密的文件，但校園網(wǎng)絡(luò)的用戶眾多，難免一部份用戶會(huì)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，在校園內(nèi)部，一般都搭建有Web服務(wù)器和教務(wù)系統(tǒng)服務(wù)以及辦公OA系統(tǒng)，黑客主要對(duì)Web服務(wù)器和教務(wù)系統(tǒng)感興趣，他們主要目的就是在Web網(wǎng)頁上面掛馬或攻擊教務(wù)服務(wù)器，獲取訪問用戶的賬戶和密碼、權(quán)限等。以下是常見的黑客攻擊的技術(shù)：

2.1端口掃描端口掃描是利用端口掃描程序?qū)Ψ?wù)器的TCP端口進(jìn)行掃描，并記錄反饋信息，通過對(duì)反饋信息進(jìn)行分析，檢查目標(biāo)主機(jī)在哪些端口可以建立連接，如果能夠建立連接，則說明主機(jī)在那個(gè)端口被監(jiān)聽。常用的掃描工具有Superscan端口掃描工具、Satan網(wǎng)絡(luò)分析工具。常用的掃描方法有

（1）TCPConnect掃描使用這種方法可以檢測到目標(biāo)主機(jī)上開放了哪些端口，但這種掃描也容易被目標(biāo)系統(tǒng)檢測到。

（2）TCPSYN掃描這種掃描也稱為“半”掃描，因?yàn)樗槐睾湍繕?biāo)主機(jī)通過三次握手建立TCP連接。

（3）TCPFIN一些防火墻和包過濾程序能監(jiān)測到SYN分組訪問未經(jīng)許可的端口，TCPSYN掃描的原理是向目標(biāo)端口發(fā)送一個(gè)FIN分組，所有關(guān)閉著的端口會(huì)返回一個(gè)RST端口，而打開的端口會(huì)忽略這些請(qǐng)求，從而獲知哪些端口是打開的。

2.2網(wǎng)絡(luò)網(wǎng)絡(luò)監(jiān)聽主要是利用網(wǎng)絡(luò)監(jiān)聽工具對(duì)計(jì)算機(jī)網(wǎng)絡(luò)接口截獲其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具，通過監(jiān)聽，可能捕獲到用戶用明文傳送的賬戶和密碼。

2.3密碼破解通過一些專用的密碼破解工具來猜測和獲取用戶的帳戶和密碼，從而獲取用戶的權(quán)限對(duì)網(wǎng)絡(luò)或資源進(jìn)行破壞，常用的方法有密碼字典等。

2.4特洛伊木馬特洛伊木馬指隱藏在計(jì)算機(jī)正常程序代碼中的一段具有特殊功能程序的惡意代碼，具有破壞、刪除文件、發(fā)送賬戶密碼和記錄鍵盤和攻擊功能的后門程序。通常情況偽裝成實(shí)用工具或游戲程序，引誘用戶點(diǎn)擊將其安裝在用戶計(jì)算機(jī)上，實(shí)現(xiàn)黑客遠(yuǎn)程控制用戶計(jì)算機(jī)的手段。

2.5緩沖區(qū)溢出緩沖區(qū)溢出攻擊是指黑客利用操作系統(tǒng)或軟件的漏洞，通過程序往緩沖區(qū)中寫入超過其長度的程序指令，造成緩沖區(qū)溢出，從而改變程序正常執(zhí)行的順序改變?yōu)楣粽甙才诺牧硪环N順序，以達(dá)到黑客攻擊的目的。

2.6拒絕服務(wù)攻擊拒絕服務(wù)攻擊指黑客利用Internet網(wǎng)絡(luò)中的服務(wù)器不停的向目標(biāo)主機(jī)發(fā)送請(qǐng)求和信息，強(qiáng)迫目標(biāo)主機(jī)不停回復(fù)這些無用的請(qǐng)求和信息，消耗目標(biāo)主機(jī)的網(wǎng)絡(luò)帶寬和系統(tǒng)硬件資源，最終導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓而停止服務(wù)的網(wǎng)絡(luò)攻擊方式。另外其他的攻擊有網(wǎng)絡(luò)釣魚、電子郵件攻擊、即時(shí)通信的攻擊等。內(nèi)部的網(wǎng)絡(luò)安全主要是計(jì)算機(jī)病毒和木馬感染，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》定義，計(jì)算機(jī)病毒是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)、影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或都程序代碼。校園網(wǎng)絡(luò)由于大量公共計(jì)算機(jī)的存在，公共機(jī)房的計(jì)算機(jī)用戶不固定，學(xué)生使用U盤或網(wǎng)上下載軟件，容易使電腦感染病毒和木馬，只要有一臺(tái)計(jì)算機(jī)感染，很快會(huì)擴(kuò)散到其他的計(jì)算機(jī)，因此，防治計(jì)算機(jī)病毒是校園機(jī)房管理的一個(gè)難點(diǎn)。當(dāng)然，除了上述兩個(gè)重要的安全因素以外，設(shè)備老化、設(shè)計(jì)缺陷、自然災(zāi)害、人為的破壞也是網(wǎng)絡(luò)安全威脅因素，那么，怎樣才能減少校園網(wǎng)絡(luò)安全威脅呢？構(gòu)建一個(gè)安全的校園網(wǎng)絡(luò)體系結(jié)構(gòu)，最大限度減少網(wǎng)絡(luò)受到攻擊。

3網(wǎng)絡(luò)安全體系結(jié)構(gòu)的構(gòu)建

世界上絕對(duì)安全的技術(shù)是不存在的，任何安全技術(shù)的所謂“安全”都是相對(duì)的，因此，在構(gòu)建校園網(wǎng)絡(luò)安全體系結(jié)構(gòu)的時(shí)候，除了技術(shù)以外，重要的是日常網(wǎng)絡(luò)的管理與維護(hù)，人們常說“三分技術(shù)，七分管理”，再完美的安全技術(shù)，只要管理不當(dāng)，也會(huì)出現(xiàn)漏洞。那么如何構(gòu)建安全的校園網(wǎng)絡(luò)體系結(jié)構(gòu)呢？

3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)的構(gòu)建方法

（1）制定安全管理規(guī)章制度，嚴(yán)格按照規(guī)定操作，避免出現(xiàn)人為的失誤，責(zé)任到人。嚴(yán)格按照安全技術(shù)評(píng)估標(biāo)準(zhǔn)對(duì)校園網(wǎng)絡(luò)進(jìn)行評(píng)估，找出漏洞，及時(shí)封堵。

（2）安裝防火干墻，在校園網(wǎng)絡(luò)與Internet的接口安裝硬件防火墻或網(wǎng)關(guān)，防范來自外部網(wǎng)絡(luò)的攻擊。

（3）在連接外網(wǎng)的路由器上做訪問控制列表，控制對(duì)關(guān)鍵信息和區(qū)域的訪問。

（4）在核交換機(jī)上劃分VLAN，避免發(fā)生網(wǎng)絡(luò)廣播風(fēng)暴和減少不同網(wǎng)絡(luò)網(wǎng)段之間的互訪，增加網(wǎng)絡(luò)的安全性。

（5）安裝網(wǎng)絡(luò)版殺毒軟件，及時(shí)對(duì)內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行病毒掃描，清出計(jì)算機(jī)中殘留的病毒，對(duì)于公共使用的計(jì)算機(jī)安全立即還原軟件，減少被交叉感染的機(jī)會(huì)。

（6）安裝入侵檢測系統(tǒng)，入侵檢測系統(tǒng)能夠檢測闖入、冒充其他用戶或合法用戶對(duì)系統(tǒng)進(jìn)行破壞或惡意使用的安全行為。

3.2針對(duì)網(wǎng)絡(luò)面臨的威脅，我校制定以下安全措施；

（1）提高安全防范意識(shí)，按照安全防范要求不要隨便從網(wǎng)上下載文件、不要打開運(yùn)行來歷不明的軟件、不要打開來歷不明的郵件，預(yù)防病毒感染。

（2）設(shè)置口令時(shí)嚴(yán)格按照復(fù)雜口令來設(shè)置，要有字母、數(shù)字和控制符號(hào)，長度一定足夠長，對(duì)于具有管理權(quán)限的賬戶，要經(jīng)常變換更改密碼。

（3）及時(shí)更新操作系統(tǒng)或軟件，封堵系統(tǒng)中的安全漏洞。

（4）定期分析系統(tǒng)日志，分析系統(tǒng)是否遭到黑客攻擊，一般黑客在攻擊之前都會(huì)對(duì)目標(biāo)主機(jī)進(jìn)行掃描，系統(tǒng)日志會(huì)記錄對(duì)主機(jī)的操作記錄，做好對(duì)應(yīng)準(zhǔn)備，從而預(yù)防黑客攻擊。

（5）進(jìn)行動(dòng)態(tài)監(jiān)控，建立完善的訪問控制制度，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)遭到攻擊的情況并加以防范，減少網(wǎng)絡(luò)攻擊的損失

（6）安全檢測，運(yùn)用專業(yè)的攻擊檢測軟件對(duì)系統(tǒng)進(jìn)

行掃描，及時(shí)發(fā)現(xiàn)系統(tǒng)中的安全漏洞并預(yù)防。

（7）數(shù)據(jù)備份，數(shù)據(jù)備份是網(wǎng)絡(luò)管理中重要的一環(huán)，當(dāng)系統(tǒng)遭到攻擊或者是各種自然災(zāi)難時(shí)，有了完整的數(shù)據(jù)備份，可以盡快的恢復(fù)數(shù)據(jù)系統(tǒng)。

（8）安裝硬件防火墻或網(wǎng)關(guān)，防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離的技術(shù)，它根據(jù)訪問控制策略來控制內(nèi)外網(wǎng)的數(shù)據(jù)通信，最大限度地阻止網(wǎng)絡(luò)中黑客的入侵。

（9）安裝網(wǎng)絡(luò)殺毒軟件，校園網(wǎng)絡(luò)中，感染病毒是最常見的，一般感染以后就是能及時(shí)處理，不要讓病毒進(jìn)行擴(kuò)散。我們一般在公共機(jī)房安裝殺毒軟件，學(xué)生上機(jī)使用的U盤在使用時(shí)都會(huì)對(duì)其進(jìn)行掃描，避免病毒交叉感染，另外我們在電腦上安裝還原系統(tǒng)，只要電腦重新啟動(dòng)以后，所有的數(shù)據(jù)進(jìn)行恢復(fù)。避免病毒存留在計(jì)算機(jī)上，最大限度減少電腦和用戶U盤上的病毒進(jìn)行擴(kuò)散。

4總結(jié)