序論：好文章的創(chuàng)作是一個不斷探索和完善的過程，我們?yōu)槟扑]十篇安全網(wǎng)絡建設范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

篇（1）

隨著計算機網(wǎng)絡技術的快速發(fā)展與普及，網(wǎng)絡已深入到各個行業(yè)以及日常生活中并起著關鍵性的作用，也極大的推動了校園網(wǎng)絡的建設，成為了校園重要的基礎設施。校園網(wǎng)絡的建設對教學管理、科研管理等活動帶來方便的同時校園網(wǎng)絡也存在著安全隱患，導致計算機網(wǎng)絡系統(tǒng)的崩潰，嚴重影響了校園網(wǎng)絡的正常運行，為校園管理工作帶來了大量的工作負擔。為了保證校園網(wǎng)絡的保密性與安全性，校園網(wǎng)絡的運行管理與安全措施顯得格外重要，不容忽視。

1 校園網(wǎng)絡存在的安全隱患

1.1 系統(tǒng)自身存在的漏洞

自從微軟推出Windows操作系統(tǒng)到至今的Vista系統(tǒng)的誕生，都存在著不可避免的，一直讓人頭疼的漏洞，而且校園使用的網(wǎng)絡大部分都是Windows系統(tǒng)，系統(tǒng)本身存在著防火墻、服務器、IP協(xié)議等諸多方面的漏洞，隨著用戶的不斷使用導致安全問題產生，為學校管理帶來了諸多麻煩與負擔。

1.2 計算機病毒嚴重入侵

隨著網(wǎng)絡的迅速發(fā)展，給學校帶來方便的同時，也成為了計算機病毒傳播的最快的捷徑。病毒編制者水平的提高以及與黑客軟件的結合，使網(wǎng)絡病毒經常爆發(fā)，嚴重的情況下會破壞計算機的硬件和軟件，致使機密數(shù)據(jù)外泄，使計算機運行緩慢、頻繁死機不能正常運行，整個網(wǎng)絡完全處于癱瘓的狀態(tài)，對校園網(wǎng)絡使用造成了嚴重的威脅。

1.3 自然災害突然襲擊

自然災害帶來的破壞與損失讓人措手不及，防不勝防，主要的災害有：地震、風暴、水災和火災等，還有環(huán)境帶來的影響，如濕度、溫度和污染等破壞。大部分的高校計算機機房都沒有防水、防電、防火、避雷等防范措施，事故不斷發(fā)生，沒有抵御自然災害的能力，設備損壞、數(shù)據(jù)丟失、信息外露的現(xiàn)象屢見不鮮。

1.4 內部與外部的攻擊

攻擊有兩種方式，一個是來自互聯(lián)網(wǎng)外部的攻擊，一個是來自學校內部學生的攻擊。學生是學校網(wǎng)絡的活躍用戶，對網(wǎng)絡充滿了好奇心，不斷嘗試各種玩法，在網(wǎng)上學到的以及自己研究的各種攻擊方法企圖去破解學校的各種信息。

2 校園網(wǎng)絡安全隱患的成因

2.1 網(wǎng)絡安全意識薄弱

學校管理人員以及教師對網(wǎng)絡安全沒有足夠的重視，而大部分校園學生認為校園網(wǎng)絡是集體系統(tǒng)，網(wǎng)絡安全維護不是自己的責任，自然有相關的網(wǎng)絡管理人員進行維護，防范意識淡薄、缺乏責任心。此外，除了計算機專業(yè)的教師與學生對計算機的結構框架有所了解外，大部分用戶都不具備最基本的網(wǎng)絡知識和網(wǎng)絡安全抵御能力與防范意識，導致校園網(wǎng)絡經常性遭受病毒入侵，影響正常運行。

2.2 盜版資源的干擾

互聯(lián)網(wǎng)拓寬了人們的視野，豐富了人們的生活，但是無處不在的盜版成為了社會的隱患，多種網(wǎng)絡資源都存在著盜版現(xiàn)象。盜版資源成為網(wǎng)絡急需解決的問題，校園網(wǎng)絡中的盜版軟件、盜版資源的使用也非常普遍，隨著用戶的不斷使用給系統(tǒng)留下了安全隱患，而且下載盜版軟件時還隱藏著后門、木馬等相關的代碼，對校園系統(tǒng)產生了破壞性的攻擊。

2.3 資金投入不足

高校校園把大部分的資金投入到購買硬件設備上，技術性的投入比例相對較大，而對于校園網(wǎng)絡安全維護的投入相對較小。另外，普遍缺乏防范安全意識，只是簡單安裝設備，保證網(wǎng)絡能夠正常、安全運行就可以了，忽視了網(wǎng)絡安全的維護，缺乏責任心，缺乏抵御外部與內部入侵的能力。因此，要在網(wǎng)絡技術投入與安全措施上做到平衡，加強安全防御，使網(wǎng)絡正常有序的運行。

3 校園網(wǎng)絡安全管理措施

3.1 提高師生網(wǎng)絡安全意識

高校內發(fā)生網(wǎng)絡安全危機，多數(shù)是因為沒有網(wǎng)絡方面的安全知識，導致黑客入侵進行破壞，因此學校要加強網(wǎng)絡安全防御意識，抵御來自校園網(wǎng)內外部的攻擊。學?？梢岳镁W(wǎng)絡優(yōu)勢進行安全常識教育，例如校園廣播，在學生休息或者上放學期間播放有關網(wǎng)絡的一些常識。此外，還應開設網(wǎng)絡安全課程，如《信息安全技術》、《計算機網(wǎng)絡》、《網(wǎng)絡安全與管理技術》等，使學生掌握基本網(wǎng)絡知識，不輕易使用盜版軟件、不隨便瀏覽誠信度低的網(wǎng)站，養(yǎng)成文明上網(wǎng)的好習慣，提高網(wǎng)絡安全意識和辨別能力。

3.2 引進網(wǎng)絡管理人才

高校校園網(wǎng)絡的不斷普及和發(fā)展，校園網(wǎng)上的相關數(shù)據(jù)、信息、資料越來越多，越來越重要，同時校園網(wǎng)絡的攻擊、資源的盜用也越來越嚴重，因此，加強網(wǎng)絡技術人員和網(wǎng)絡用戶對網(wǎng)絡技術與安全使用尤為重要。學校應該引進網(wǎng)絡安全管理的優(yōu)秀人才，形成網(wǎng)絡安全管理隊伍，或者學校也可以派出本校優(yōu)秀的計算機網(wǎng)絡管理人才參加網(wǎng)絡安全管理培訓，或者不定期的聘請專業(yè)的網(wǎng)絡管理專家進入校園講授網(wǎng)絡技術相關知識，通過“引進來和走出去”的方式來提高網(wǎng)絡人員的專業(yè)素質和管理能力。

3.3 加強防火墻技術

防火墻是實現(xiàn)校園網(wǎng)絡安全的一個有效的方法，它使互聯(lián)網(wǎng)與內部網(wǎng)建立了一個安全網(wǎng)關，保護內部網(wǎng)免受非法用戶的強烈入侵。為了防止內部網(wǎng)絡發(fā)起對外攻擊，要在防火墻上建立計算機的IP和MAC地址，如果兩個地址不是一一對應的一律禁止，還要定期查看防火墻的訪問日志以及時發(fā)現(xiàn)是否有攻擊行為，提高防火墻的安全管理性，減少給校園網(wǎng)絡帶來的安全隱患。

4 結語

校園網(wǎng)絡安全與技術管理問題是一個復雜的系統(tǒng)工程，校園網(wǎng)絡對此要進行全方位的防范，因此，提高校園網(wǎng)絡是一個非常迫切和具有挑戰(zhàn)性的任務，要將技術和管理相結合，建立一個安全的校園網(wǎng)。雖然網(wǎng)絡存在著各種安全威脅，但在校園建設中起著靈活、快捷的作用。總而言之，在利用校園網(wǎng)絡的同時，要不斷的加強校園網(wǎng)絡建設，完善校園網(wǎng)絡管理制度，建立堅固的校園網(wǎng)絡安全防線，建立一個安全、綠色的校園網(wǎng)絡環(huán)境。

[參考文獻]

篇（2）

前言

東北財經大學經過不斷發(fā)展、完善的信息化歷程，完成校園網(wǎng)絡廣泛覆蓋和帶寬升級。同時學校數(shù)據(jù)服務區(qū)運行著包括門戶網(wǎng)站、電子郵箱、數(shù)字校園、移動辦公等重要業(yè)務系統(tǒng)，隨著各類應用系統(tǒng)的不斷上線，逐步構成了一個服務于學校師生的重要綜合性校園網(wǎng)絡平臺。但另一方面，承載學校業(yè)務流程的信息系統(tǒng)安全防護與檢測的技術手段卻仍然相對落后。在當前復雜多變的信息安全形勢下，無論是外部黑客入侵、內部惡意使用，還是大多數(shù)情況下內部用戶無意造成的安全隱患，都給學校的網(wǎng)絡安全管理工作帶來較大壓力。而同時，勒索病毒爆發(fā)、信息泄露、上級部門要求、法律法規(guī)監(jiān)管等，都在無形中讓學校的信息安全管理壓力越來越大。筆者根據(jù)《網(wǎng)絡安全法》和網(wǎng)絡安全等級保護2．0標準的要求，在現(xiàn)有的架構下對東北財經大學校園網(wǎng)絡進行了安全加固設計，提升了校園網(wǎng)主動防御、動態(tài)防御、整體防控和精準防護的能力。

1現(xiàn)狀及問題

在互聯(lián)網(wǎng)攻擊逐漸從網(wǎng)絡層轉移到應用層的大背景下，學校各類業(yè)務系統(tǒng)在開發(fā)時難免遺留一些安全漏洞，目前學校安全防護僅在校園網(wǎng)出口部署了網(wǎng)絡層面的安全網(wǎng)關設備，傳統(tǒng)網(wǎng)絡層防火墻在面對層出不窮的應用層安全威脅日漸乏力。黑客利用各種各樣的漏洞發(fā)動緩沖區(qū)溢出，SQL注入、XSS、CSRF等應用層攻擊，并獲得系統(tǒng)管理員權限，從而進行數(shù)據(jù)竊取和破壞，對學校核心業(yè)務數(shù)據(jù)的安全造成了嚴重的威脅。數(shù)據(jù)的重要性不言而喻，尤其對學校的各類學生信息、一卡通等財務數(shù)據(jù)信息更是安全防護的重中之重，如有閃失，在損害學校師生利益的同時也造成很大的不良影響和法律追責問題。東北財經大學出口7Gbps帶寬，由電信、聯(lián)通、移動、教育網(wǎng)等多家運營商組成。隨著學校的網(wǎng)絡規(guī)模擴大以及提速降費的背景，互聯(lián)網(wǎng)出口將會達到15Gbps帶寬以上，原有的帶寬出口網(wǎng)關弊端顯露：具體包括網(wǎng)關性能不足，無法支持大帶寬，老舊設備無法勝任大流量的轉發(fā)工作；IPv6網(wǎng)絡不兼容，無法平滑升級，后續(xù)無法滿足國家政策進行IPv6改造的規(guī)劃；上網(wǎng)審計和流量控制功能不完善，原有網(wǎng)關未集成上網(wǎng)行為審計功能，未能完全滿足網(wǎng)絡安全法，保障合規(guī)上網(wǎng)；不支持基于應用的流量控制，帶寬出口的流量控制效果不佳；對上網(wǎng)行為缺乏有效管理和分析手段，針對學生上網(wǎng)行為沒有好的管理手段和分析方法。同時等級保護2．0也對云安全和虛擬化環(huán)境下的網(wǎng)絡安全問題作了要求。東北財經大學信息化建設起步較早，目前校內數(shù)據(jù)中心的絕大部分已經實現(xiàn)了虛擬化，主要業(yè)務系統(tǒng)均在虛擬機上運行，虛擬化技術極大地提升了硬件資源的利用率和業(yè)務的高可用性，但現(xiàn)有的120余臺虛擬機的安全隔離和虛擬化環(huán)境的東西向流量控制成為安全建設的新問題。為了響應《網(wǎng)絡安全法》以及國家新頒發(fā)的網(wǎng)絡安全等級保護2．0的相關要求，提高東北財經大學數(shù)據(jù)中心的整體安全防護與檢測能力，需要在以下幾個方面進行安全建設：（1）構建安全有效的網(wǎng)絡邊界。主要通過增加學校數(shù)據(jù)中心的邊界隔離防護、入侵防護、Web應用防護、惡意代碼檢測、網(wǎng)頁防篡改等安全防護能力，減少威脅的攻擊面和漏洞暴露時間。（2）加強對網(wǎng)絡風險識別與威脅檢測。針對突破或繞過邊界防御的威脅，需要增強內網(wǎng)的持續(xù)檢測和外部的安全風險監(jiān)測能力，主要技術手段包括：網(wǎng)絡流量威脅檢測、僵尸主機檢測、安全事件感知、橫向攻擊檢測、終端檢測響應、異常行為感知等。（3）形成全網(wǎng)流量與行為可視的能力。優(yōu)化帶寬分配，提升師生上網(wǎng)體驗；過濾不良網(wǎng)站和違法言論，保障學生健康上網(wǎng)和安全上網(wǎng)；全面審計所有網(wǎng)絡行為，滿足《網(wǎng)絡安全法》等法律法規(guī)要求；在網(wǎng)絡行為可視可控的基礎之上，需要進一步形成校園網(wǎng)絡全局態(tài)勢可視的能力。

2網(wǎng)絡安全加固技術方案

按原有拓撲，將東北財經大學校園網(wǎng)劃分為校園網(wǎng)出口區(qū)、核心網(wǎng)絡區(qū)域、數(shù)據(jù)業(yè)務區(qū)域、運維管理區(qū)域、校園網(wǎng)接入?yún)^(qū)五個安全區(qū)域，并疊加云端的安全服務。各個區(qū)域通過核心網(wǎng)絡區(qū)域的匯聚交換與核心交換機相互連接；校園網(wǎng)出口區(qū)域有多條外網(wǎng)線路接入，合計帶寬7Gb，為校園網(wǎng)提供互聯(lián)網(wǎng)及教育網(wǎng)資源訪問服務；數(shù)據(jù)業(yè)務區(qū)部署2套VMware虛擬化集群和1套超云虛擬化集群，承載了學校門戶網(wǎng)站、電子郵件、數(shù)字化校園、DNS等各類業(yè)務系統(tǒng)；運維管理區(qū)域主要負責對整體網(wǎng)絡進行統(tǒng)一安全管理和日志收集；校園網(wǎng)接入?yún)^(qū)教學樓、辦公樓、圖書館、宿舍樓等子網(wǎng)，存在大量PC終端供學校師生使用；另外學校的教學樓、辦公樓均已實現(xiàn)了無線網(wǎng)絡的覆蓋。在數(shù)據(jù)業(yè)務區(qū)域與核心網(wǎng)絡區(qū)域邊界部署一臺萬兆高性能下一代防火墻，開啟IPS、WAF、僵尸網(wǎng)絡檢測等安全防護模塊，構建數(shù)據(jù)業(yè)務區(qū)融合安全邊界。通過部署下一代防火墻提供網(wǎng)絡層至應用層的訪問控制能力，能夠實現(xiàn)基于IP地址、源／目的端口、應用／服務、用戶、區(qū)域／地域、時間等元素進行精細化的訪問控制規(guī)則設置；提供專業(yè)的漏洞攻擊檢測與防護能力，支持對服務器、口令暴力破解、惡意軟件等漏洞攻擊防護，同時IPS模塊可結合最新威脅情報對高危漏洞進行預警和自動檢測；提供專業(yè)的Web應用防護能力，針對SQL注入、XSS、系統(tǒng)命令注入等OWASP十大Web安全威脅進行有效防護，同時提供網(wǎng)頁防篡改、黑鏈檢測以及惡意掃描防護能力，全面保障Web業(yè)務安全；提供內網(wǎng)僵尸主機檢測能力，通過雙向流量檢測和熱門威脅特征庫結合，實現(xiàn)對木馬遠控、惡意腳本、勒索病毒、僵尸網(wǎng)絡、挖礦病毒等威脅進行有效識別，快速定位感染主機真實IP地址。在校園網(wǎng)出口區(qū)部署高性能上網(wǎng)行為管理，對校園網(wǎng)出口流量進行全面管控，上網(wǎng)行為管理設備部署在核心交換機和出口路由器之間，所有流量都通過上網(wǎng)行為管理處理，實現(xiàn)對內網(wǎng)用戶上網(wǎng)行為的流量管理、行為控制、日志審計等功能，設備提供IPv4／IPv6雙棧協(xié)議兼容，有效滿足IPv6建設趨勢下網(wǎng)絡的平滑改造。為了有效管控和審計，設備選型必須能夠全面識別各種應用：（1）支持千萬級URL庫、支持基于關鍵字管控、網(wǎng)頁智能分析系統(tǒng)IWAS從容應對互聯(lián)網(wǎng)上數(shù)以萬億的網(wǎng)頁、SSL內容識別技術；（2）擁有強大的應用識別庫；（3）識別并過濾HTTP、FTP、mail方式上傳下載的文件；（4）深度內容檢測：IM聊天、網(wǎng)絡游戲、在線流媒體、P2P應用、Email、常用TCP／IP協(xié)議等；（5）通過P2P智能識別技術，識別出不常見、未來可能出現(xiàn)的P2P行為，進而封堵、流控和審計。通過強大的應用識別技術，無論網(wǎng)頁訪問行為、文件傳輸行為、郵件行為、應用行為等都能有效實現(xiàn)對上網(wǎng)行為的封堵、流控、審計等管理。同時，也要提供網(wǎng)絡流量可視化方案，管理員可以查看出口流量曲線圖、當前流量應用、用戶流量排名、當前網(wǎng)絡異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當前網(wǎng)絡運行狀況。對內網(wǎng)用戶的各種網(wǎng)絡行為流量進行記錄、審計，借助圖形化報表直觀顯示統(tǒng)計結果等，幫助管理員了解流量用戶排名、應用排名等，并自動形成報表文檔，全面掌控用戶網(wǎng)絡行為分布和帶寬資源使用等情況，了解流控策略效果，為帶寬管理的決策提供準確依據(jù)。同時支持多線路復用和智能選路功能，通過多線路復用及帶寬疊加技術，復用多條鏈路形成一條互聯(lián)網(wǎng)總出口，提升整體帶寬水平。再結合多線路智能選路專利技術，將網(wǎng)流量自動匹配最佳出口。具備全面的合規(guī)審計及管控功能，支持對內網(wǎng)用戶的所有上網(wǎng)行為進行審計記錄，滿足《網(wǎng)絡安全法》的要求，能有效防范學生網(wǎng)上不良言論、訪問非法網(wǎng)站等高風險行為，規(guī)避法律風險。在數(shù)據(jù)業(yè)務區(qū)物理服務和3個虛擬化服務器集群上每臺虛擬機安裝EDR客戶端，針對終端維度提供惡意代碼防護、安全基線核查、微隔離、攻擊檢測等安全能力，打通物理服務器、Vmware集群和超云集群，進行統(tǒng)一的主機／虛擬機邏輯安全域劃分，同時實現(xiàn)云內流量可視、可控，滿足等保2．0云計算擴展項要求。通過部署EDR構建立體可視的端點安全能力，實現(xiàn)全網(wǎng)風險可視，展示全網(wǎng)終端狀態(tài)分布，顯示當前安全事件總覽及安全時間分布全網(wǎng)終端安全概覽，支持針對主機參照等級保護標準進行安全基線核查，快速發(fā)現(xiàn)不合規(guī)項。部署于每臺VM上的端點agent，能夠對云內不同VM、不同業(yè)務系統(tǒng)之間的訪問關系、訪問路徑、橫向威脅進行檢測與響應，EDR與虛擬化底層平臺解耦合，解決多虛擬化環(huán)境下的兼容性問題，構建動態(tài)安全邊界。構建多維度漏斗型檢測框架，EDR平臺內置文件信譽檢測引擎、基因特征檢測引擎、人工智能檢測引擎、行為分析檢測引擎、安全云檢測引擎，從多維度全面發(fā)現(xiàn)各類終端威脅。

3結語

通過該方案，提升了威脅防護、風險應對能力。能夠從容應應對勒索病毒、0Day攻擊、APT攻擊、社會工程學、釣魚等新型威脅手段。通過全面的安全可視能力，簡化運維壓力，可以極大降低運維的復雜度，提升安全治理水平，達到了設計要求。

參考文獻

［1］李鍇淞．對于校園網(wǎng)絡建設及網(wǎng)絡安全的探討［J］．數(shù)字通信世界息，2019（8）．

［2］李鍇淞，鄒鵬．高校校園網(wǎng)合作運營探索［J］．網(wǎng)絡安全和信息化，2019（9）．

［3］臧齊圣．淺談校園網(wǎng)絡安全防控［J］．計算機產品與流通，2019（9）．

篇（3）

一、安全教育網(wǎng)絡

安全教育是學校建設和諧校園的重要環(huán)節(jié)。特別是小學生年齡低，生活經驗、社會經驗以及鑒別、判斷能力都不夠豐富和完善。所以，亟須通過豐富多彩的安全教育使他們增強抵制不良信息的能力，鑒別真?zhèn)蔚哪芰?；增強安全防范和遵紀守法，遵守交通規(guī)則的意識。目前，多學校利用板報、畫廊、學生手抄報等宣傳工具進行了交通安全、飲食安全、人身安全以及預防疾病和應對突發(fā)事件等方面的教育和有關知識的宣傳，較好地預防和杜絕了威脅學生安全的事件發(fā)生，使學生能夠在安全和諧的校園內愉快地學習。創(chuàng)設了學生健康成長的環(huán)境。但是要把安全教育繼續(xù)深入下去，使其更加廣泛、全面、持久，更加吸引學生積極地參與，就必須進一步優(yōu)化安全教育的內容、形式、方法和手段。其主要的渠道是依托信息技術建設全方位的安全教育網(wǎng)絡。

學校安全教育網(wǎng)絡由硬件系統(tǒng)和軟件系統(tǒng)構成。并且要依托硬件系統(tǒng)發(fā)揮軟件系統(tǒng)的作用。也可以說，軟件系統(tǒng)通過硬件系統(tǒng)發(fā)揮安全教育的作用。軟件系統(tǒng)是指參與學生安全教育的工作者，是由學校的班主任、團委、大隊輔導員、學校負責安全工作的校長及校外的輔導員、民警、交警、社區(qū)工作人員組成。這些人組成一支關心學生安全，幫助學生提高安全意識，積極查找安全隱患，杜絕意外事故發(fā)生的安全教育組織。硬件系統(tǒng)是指學校的校園網(wǎng)絡，包括學校計算機局域網(wǎng)、學校的校園廣播、學校的板報欄等。

安全教育組織機構要根據(jù)學校的特點，學生安全急需解決的問題選擇以熱愛生命、尊重生命、善待生命為主要內容的安全教育材料，對學生進行積極人生觀、世界觀、價值觀的教育。通過組織豐富多彩的活動，通過硬件系統(tǒng)作用的發(fā)揮積極滲透交通安全教育、消防安全教育、社會治安教育、食品衛(wèi)生及疾病預防教育、預防觸電、溺水、煤氣中毒教育、校內活動安全教育、校外活動安全教育等。例如：通過校園網(wǎng)絡播放有關安全教育的電視片。聘請交警、民警進行電視講座，宣傳交通安全知識、宣傳預防詐騙、拐賣、綁架等安全知識；利用校園廣播在課間時間播放安全常識等。

二、安全防范網(wǎng)絡

安全防范網(wǎng)絡是保障學校安全的重要舉措。目前，有關部門要求各級各類學校在學校的重要位置安裝監(jiān)控設備，時刻監(jiān)控學校周邊發(fā)生的事件，為解決突發(fā)事件提供客觀真實的依據(jù)。這是信息技術手段在學校安全方面的充分利用，也是學校信息網(wǎng)絡的組成部分。當然，這項建設需要社會各界的支持，需要資金，需要技術，特別是需要與公安部門網(wǎng)絡的鏈接，監(jiān)控設備拍攝、記錄下來的突發(fā)事件直接在公安部門監(jiān)視器上呈現(xiàn)畫面，可以在最短的時間內得到警力的支持，盡快制止事態(tài)的惡化。這就需要學校與公安部門達成一致，建立警民共建網(wǎng)絡系統(tǒng)，形成一個堅不可摧的安全防范的防線，有情況立即行動，強有力地打擊犯罪，保證學校安全，保證師生安全。這是信息技術安全防范網(wǎng)絡的優(yōu)勢。此外，常規(guī)的防范網(wǎng)絡建設也是不容忽視的。一是制定安全規(guī)章制度，深入貫徹，認真執(zhí)行。二是認真排查安全隱患，并且及時解決。三是加強學校安全管理，設立學校領導帶班的安全協(xié)管員門衛(wèi)執(zhí)勤制度，嚴禁外來人隨便進入校園。四是制定防范措施和應急預案。五是建立責任追究制。使每一所學校在信息技術的支持下，在常規(guī)管理的保障條件下建設成有領導、有計劃、有組織、有預案的安全防范網(wǎng)絡。

篇（4）

中圖分類號：TP393　文獻標識碼：A

1　校園網(wǎng)安全運行現(xiàn)狀與需求

1.1校園網(wǎng)安全建設現(xiàn)狀分析

網(wǎng)絡環(huán)境的復雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡安全威脅的客觀存在。隨著高校的發(fā)展，用網(wǎng)人數(shù)的增加，校園網(wǎng)用戶對信息與網(wǎng)絡安全的要求也越來越高。大部分高校以往的網(wǎng)絡建設，重點是“建設”，強調網(wǎng)絡的覆蓋范圍，出口帶寬，基礎應用等，而對網(wǎng)絡安全的關注度不夠，往往是“想起一個建一個，需要一個建～個”，沒有形成系統(tǒng)、全面、高效的網(wǎng)絡安全體系。隨著高?！靶畔⒒苯ㄔO的呼聲越來越高，網(wǎng)絡安全體系的建設也在逐步受到學校各級領導的重視。

1.2校園網(wǎng)安全體系建設需求

網(wǎng)絡安全建設一直是各高校網(wǎng)絡建設的難點和薄弱環(huán)節(jié)，一方面，技術管理手段的不全面以及管理機制的不完善制約了安全防范的力度；另一方面，校園網(wǎng)用戶甚至是系統(tǒng)管理員的安全意識淡漠，以及學生用戶網(wǎng)絡行為的不確定性成為各高校網(wǎng)絡安全工作的瓶頸。因此，網(wǎng)絡中心需要通過采取一系列的網(wǎng)絡安全措施、制定一系列的網(wǎng)絡安全管理制度，在提高網(wǎng)絡管理技術手段的同時，逐步增強用戶的網(wǎng)絡安全意識，構建穩(wěn)定、安全、綠色的校園網(wǎng)。

2　網(wǎng)絡安全體系建設規(guī)劃

隨著學校網(wǎng)絡與信息化建設的逐步深入，網(wǎng)絡安全問題、信息數(shù)據(jù)安全問題日益突出。建立一套網(wǎng)絡安全體系，是各高校在信息化過程中的重要任務之一。

2.1校園網(wǎng)安全建設規(guī)劃

根據(jù)各高校網(wǎng)絡建設規(guī)劃，結合現(xiàn)有的網(wǎng)絡安全技術手段，應從以下幾個方面做好校園網(wǎng)安全建設工作。

2.1.1加強網(wǎng)絡設施安全建設

網(wǎng)絡設施安全主要指網(wǎng)絡設備、服務器等硬件設備的物理安全。某高校網(wǎng)絡中心曾經發(fā)生過同批次多塊硬盤損壞，機柜門被撬開。學生惡意偷用電源。光纜被挖斷等安全事件，因此。在信息化的建設中，保證設備的物理安全尤為重要。

建立機房、設備間的防火、防盜、監(jiān)控和報警方案：

對一些關鍵設備。系統(tǒng)和鏈路，應設置冗余備份系統(tǒng)，避免網(wǎng)絡設備因天災或人為因素對網(wǎng)絡造成的影響。

2.1.2終端安全防范措施

隨著各高校網(wǎng)絡覆蓋范圍的逐步增加，用網(wǎng)人數(shù)不斷增多(如某高校校園網(wǎng)同時在線用戶已經達到4500人)，用戶終端的安全問題成為校園網(wǎng)內網(wǎng)安全的主要問題之一。由于用網(wǎng)人員的計算機水平參差不齊，以及學生用戶網(wǎng)絡行為的不可控性，給網(wǎng)絡安全帶來了很大的隱患，因此需要從以下幾個方面完善終端安全防范措施：

提供并推廣可供全校師生員工使用的網(wǎng)絡版殺毒軟件，以及校內WSUS服務，逐步建立“沒有殺毒軟件”、“不打系統(tǒng)補丁”不上網(wǎng)的安全意識；

對校內突發(fā)的終端安全事故進行監(jiān)控，及時提供必要的專殺工具、漏洞補?。?/p>

提高技術人員的技術水平，采取相應的檢測手段，利用先進的儀器設備，減少用戶端安全事故的排查和定位時間。

2.1.3應用服務器安全措施

應用服務器是數(shù)字化校園的基礎，是各個業(yè)務系統(tǒng)的載體，所以它的安全是至關重要的，因此，系統(tǒng)管理員的技術手段和安全意識在服務器的安全管理中起到至關重要的作用。

制定相關技術文檔，規(guī)范應用服務器上線前的安全檢查，督促管理員使用正版操作系統(tǒng)、安裝殺毒軟件、防火墻、自動更新等，并且定期掃描系統(tǒng)漏洞，更改系統(tǒng)密碼。保證操作系統(tǒng)安全；

建立完善可靠的容災恢復方案，對關鍵服務器采用雙機熱備方式，并且提供可靠的數(shù)據(jù)備份系統(tǒng)，如采用RAID技術以及利用磁帶備份數(shù)據(jù)，確保事故發(fā)生時業(yè)務數(shù)據(jù)不丟失，系統(tǒng)能夠快速恢復；

建立授權控制體系，對不同管理員設定不同的系統(tǒng)、數(shù)據(jù)庫管理權限：

完善訪問日志分析系統(tǒng)，定期對日志進行整理和分析，制定相應的安全策略。

2.1.4網(wǎng)絡出口及邊界安全

目前高校網(wǎng)絡出口及邊界設備主要分為路由器。防火墻、VPN等三類設備，網(wǎng)絡出口及邊界的安全主要包括配置合理、全面的安全策略，以及如何提高安全響應速度和快速、準確地定位攻擊來源。針對這些方面，需要在出口及邊界設備的管理中做到以下幾點：

建立密碼維護制度。定期更換設備Telnet、SSH登錄密碼以及SNMP共同體名；

>制定詳細的ACL策略，限制登錄設備的IP地址；

采取NAT機制。在保證校內用戶正常上網(wǎng)的同時，繼續(xù)優(yōu)化8812路由器的安全功能；

啟用防火墻的防病毒功能，在源頭阻斷病毒入侵；

合理規(guī)劃SSL VPN的用戶權限；

建立IDS+IPS的聯(lián)動機制。完善網(wǎng)絡監(jiān)控與入侵防范；

建立出入雙向的訪問日志系統(tǒng)。

2.1.5應用分析控制技術的應用

在網(wǎng)絡安全管理中，網(wǎng)絡流量、網(wǎng)絡應用的分析至關重要，網(wǎng)絡管理人員需要明確地知道網(wǎng)絡中有哪些網(wǎng)絡應用，各種應用在網(wǎng)絡中所占的帶寬以及是否存在不良應用，如圖1。

隨著上網(wǎng)人數(shù)的增多，網(wǎng)絡出口不可避免地出現(xiàn)擁堵現(xiàn)象，因此，需要進一步對網(wǎng)絡應用進行分析，并制定有效的控制策略。

實時記錄出口帶寬使用情況，對惡意占用帶寬的應用進行限制，確?；緫玫母咝н\行；

對網(wǎng)絡流量進行監(jiān)控，利用相關協(xié)議分析工具對網(wǎng)絡應用進行深層坎的分析。

2.2信息安全建設規(guī)劃

信息安全指保證系統(tǒng)中的信息不被破壞、不被竊取、不被非法復制和使用等。

2.2.1信息安全保障措施

通過一系列的措施，保證信息在傳輸和存儲時的安全。

建立完善的實名上網(wǎng)制度，并且與各系統(tǒng)的日志配合，建立“上網(wǎng)ID+上網(wǎng)時間+上網(wǎng)IP+上網(wǎng)入”的一一對應關系；

建立合理的文件上傳、審查制度，對關鍵數(shù)據(jù)采取數(shù)字簽名技術，做到誰上傳誰負責，安全事故責任到人；

對論壇、留言板等提供用戶交流的版塊加強監(jiān)管力度。對有害和敏感信息進行監(jiān)控；

數(shù)字校園關鍵服務器問數(shù)據(jù)傳輸采取加密方式，防止網(wǎng)絡竊聽、數(shù)據(jù)泄露等安全事故的發(fā)生；

對病毒郵件、垃圾郵件以及含有敏感信息的郵件進行過濾。

2.2.2數(shù)據(jù)安全建設

隨著高校信息化建設的推進，各部門工作信息化的程度也將越來越高，如何保證數(shù)據(jù)安全，提高管理信息系統(tǒng)(MIS)的安全性是信息化過程中必須考慮的問題。

各部門需要制定MIS的相關管理制度：

制定MIS系統(tǒng)數(shù)據(jù)備份、災難恢復方案；

定期對MIS漏洞進行修補。防止數(shù)據(jù)泄露。

2.3全局安全體系建設

根據(jù)對網(wǎng)絡體系分層的概念，針對不同的層次制定不同的網(wǎng)絡安全措施。做到有的放矢，從技術上實現(xiàn)檢測、上報和控制一體化。例如銳捷公司提出的全局安全網(wǎng)絡(GSN)，如圖2。

整合已建立的安全措施，增加針對上網(wǎng)用戶的準入策略。在用戶連入網(wǎng)絡之前先進行客戶端病毒及漏洞掃描，保證連入網(wǎng)絡的客戶端的安全性，從而最大限度地降低網(wǎng)絡安全風險：

篇（5）

中圖分類號：TN711 文獻標識碼：A 文章編號：

隨著計算機網(wǎng)絡的不斷發(fā)展，信息全球化已成為人類發(fā)展的現(xiàn)實。但由于計算機網(wǎng)絡具有多樣性、開放性、互連性等特點，致使網(wǎng)絡易受攻擊。具體的攻擊是多方面的，有來自黑客的攻擊，也有其他諸如計算機病毒等形式的攻擊。因此，網(wǎng)絡的安全措施就顯得尤為重要，只有針對各種不同的威脅或攻擊采取必要的措施，才能確保網(wǎng)絡信息的保密性、安全性和可靠性。

1威脅計算機網(wǎng)絡安全的因素

計算機網(wǎng)絡安全所面臨的威脅是多方面的，一般認為，目前網(wǎng)絡存在的威脅主要表現(xiàn)在：

1.1非授權訪問

沒有預先經過同意，就使用網(wǎng)絡或計算機資源被看作非授權訪問，如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡系統(tǒng)進行違法操作、合法用戶以未授權方式進行操作等。

1.2信息泄漏或丟失

指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括：信息在傳輸中丟失或泄漏(如"黑客"利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推出有用信息，如用戶口令、賬號等重要信息)、信息在存儲介質中丟失或泄漏、通過建立隱蔽隧道等竊取敏感信息等。 1.3破壞數(shù)據(jù)完整性

以非法手段竊得對數(shù)據(jù)的使用權，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應；惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。

1.4拒絕服務攻擊

它不斷對網(wǎng)絡服務系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關程序使系統(tǒng)響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網(wǎng)絡系統(tǒng)或不能得到相應的服務。

1.5利用網(wǎng)絡傳播病毒

通過網(wǎng)絡傳播計算機病毒，其破壞性大大高于單機系統(tǒng)，而且用戶很難防范。

2網(wǎng)絡安全建設方法與技術

網(wǎng)絡具有訪問方式多樣、用戶群龐大、網(wǎng)絡行為突發(fā)性較高的特點。網(wǎng)絡安全問題要從網(wǎng)絡規(guī)劃階段制定各種策略，并在實際運行中加強管理。為保障網(wǎng)絡系統(tǒng)的正常運行和網(wǎng)絡信息的安全，需要從多個方面采取對策。攻擊隨時可能發(fā)生，系統(tǒng)隨時可能被攻破，對網(wǎng)絡的安全采取防范措施是很有必要的。常用的防范措施有以下幾種。

2.1計算機病毒防治

大多數(shù)計算機都裝有殺毒軟件，如果該軟件被及時更新并正確維護，它就可以抵御大多數(shù)病毒攻擊。定期地升級軟件是很重要的。在病毒入侵系統(tǒng)時，對于病毒庫中已知的病毒或可疑程序、可疑代碼，殺毒軟件可以及時地發(fā)現(xiàn)，并向系統(tǒng)發(fā)出警報，準確地查找出病毒的來源。大多數(shù)病毒能夠被清除或隔離。再有，對于不明來歷的軟件、程序及陌生郵件，不要輕易打開或執(zhí)行。感染病毒后要及時修補系統(tǒng)漏洞，并進行病毒檢測和清除。 2.2防火墻技術

防火墻是控制兩個網(wǎng)絡間互相訪問的一個系統(tǒng)。它通過軟件和硬件相結合，能在內部網(wǎng)絡與外部網(wǎng)絡之間構造起一個"保護層"，網(wǎng)絡內外的所有通信都必須經過此保護層進行檢查與連接，只有授權允許的通信才能獲準通過保護層。防火墻可以阻止外界對內部網(wǎng)絡資源的非法訪問，也可以控制內部對外部特殊站點的訪問，提供監(jiān)視Internet安全和預警的方便端點。當然，防火墻并不是萬能的，即使是經過精心配置的防火墻也抵擋不住隱藏在看似正常數(shù)據(jù)下的通道程序。根據(jù)需要合理的配置防火墻，盡量少開端口，采用過濾嚴格的WEB程序以及加密的HTTP協(xié)議，管理好內部網(wǎng)絡用戶，經常升級，這樣可以更好地利用防火墻保護網(wǎng)絡的安全。

2.3入侵檢測

攻擊者進行網(wǎng)絡攻擊和入侵的原因，在于計算機網(wǎng)絡中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置，比如操作系統(tǒng)、網(wǎng)絡服務、TCP／IP協(xié)議、應用程序、網(wǎng)絡設備等幾個方面。如果網(wǎng)絡系統(tǒng)缺少預警防護機制，那么即使攻擊者已經侵入到內部網(wǎng)絡，侵入到關鍵的主機，并從事非法的操作，我們的網(wǎng)管人員也很難察覺到。這樣，攻擊者就有足夠的時間來做他們想做的任何事情。

基于網(wǎng)絡的IDS，即入侵檢測系統(tǒng)，可以提供全天候的網(wǎng)絡監(jiān)控，幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡攻擊事件，提高信息安全基礎結構的完整性。IDS可以分析網(wǎng)絡中的分組數(shù)據(jù)流，當檢測到未經授權的活動時，IDS可以向管理控制臺發(fā)送警告，其中含有詳細的活動信息，還可以要求其他系統(tǒng)(例如路由器)中斷未經授權的進程。IDS被認為是防火墻之后的第二道安全閘門，它能在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行監(jiān)聽，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

2.4安全漏洞掃描技術

安全漏洞掃描技術可以自動檢測遠程或本地主機安全性上的弱點，讓網(wǎng)絡管理人員能在入侵者發(fā)現(xiàn)安全漏洞之前，找到并修補這些安全漏洞。安全漏洞掃描軟件有主機漏洞掃描，網(wǎng)絡漏洞掃描，以及專門針對數(shù)據(jù)庫作安全漏洞檢查的掃描器。各類安全漏洞掃描器都要注意安全資料庫的更新，操作系統(tǒng)的漏洞隨時都在，只有及時更新才能完全的掃描出系統(tǒng)的漏洞，阻止黑客的入侵。

2.5數(shù)據(jù)加密技術

數(shù)據(jù)加密技術是最基本的網(wǎng)絡安全技術，被譽為信息安全的核心，最初主要用于保證數(shù)據(jù)在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文，然后再進行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。

2.6安全隔離技術

面對新型網(wǎng)絡攻擊手段的不斷出現(xiàn)和高安全網(wǎng)絡的特殊需求，全新安全防護理念"安全隔離技術"應運而生。它的目標是，在確保把有害攻擊隔離在可信網(wǎng)絡之外，并保證可信網(wǎng)絡內部信息不外泄的前提下，完成網(wǎng)絡間信息的安全交換。隔離概念的出現(xiàn)是為了保護高安全度網(wǎng)絡環(huán)境。

2.7黑客誘騙技術

篇（6）

中圖分類號：TP393.08

隨著網(wǎng)絡閱讀形式的普及，高校作為文化與技術資源的匯聚地，圖書館的運作逐漸走向網(wǎng)絡化和數(shù)字化。高校圖書館的數(shù)據(jù)庫系統(tǒng)具有資源覆蓋范圍廣、學科與技術種類豐富、數(shù)字資源量大等特點，能夠為廣大的高校教師與學生提供全面的學術研究信息服務。然而同時高校圖書館也將面臨著網(wǎng)絡安全的問題。圖書館資源網(wǎng)絡化是將圖書館資源面向更加廣泛的受眾用戶群，而網(wǎng)絡中存在著木馬、病毒、黑客等安全隱患，同時環(huán)境因素、認為因素等也威脅著高校圖書館網(wǎng)絡的安全，因此，在高校圖書館網(wǎng)絡安全建設上采用完善的安全防護設計和制定相應的安全防護制度對于高校圖書館網(wǎng)絡安全都具有非常重要的意義。

1 高校圖書館網(wǎng)絡面臨的安全威脅

1.1 運行環(huán)境安全威脅

計算機與聯(lián)網(wǎng)設備屬于高精度電子設備，其運行環(huán)境對于溫度、濕度、供電穩(wěn)定性、電磁干擾等具有一定的要求，而在這方面大多數(shù)高校圖書館并沒有在機房建設時充分考慮到這些方面的因素，因此，對圖書館服務器、計算機設備的穩(wěn)定性和安全性帶來一定的隱患。同時，數(shù)字圖書館的建設要考慮到一些自然環(huán)境因素對圖書館網(wǎng)絡安全的影響，譬如：雷電、火災、地震、腐蝕性物質等，對于圖書館的網(wǎng)絡安全都具有一定的威脅性。

1.2 硬件環(huán)境安全威脅

高校圖書館擁有強大的服務器和交換機，能夠為近千臺終端計算機提供服務，圖書館服務器的穩(wěn)定是圖書館網(wǎng)絡應用的關鍵。由于目前所使用的操作系統(tǒng)，無論是Windows、Linux還是UNIX都存在一定的系統(tǒng)漏洞，因此，在網(wǎng)絡攻擊上，對于圖書館服務器的攻擊形式非常的多，譬如：DOS攻擊、ARP入侵、SQL注入、木馬植入等。此外，為了更好的服務于高校師生，大多數(shù)高校圖書館網(wǎng)絡TCP/IP協(xié)議采用的是系統(tǒng)默認設置，方便多用戶接入，但是這給圖書館服務器安全帶來了較大的威脅。

1.3 軟件環(huán)境安全威脅

數(shù)字圖書館的建設需要大量的軟件應用，而目前很多病毒都集成在應用軟件中，用戶下載軟件、安裝軟件過程中容易攜帶對圖書館服務器造成破壞的惡意程序，尤其是當圖書館與互聯(lián)網(wǎng)相接入后，各種具有隱藏性、觸發(fā)性、植入性、寄生性的病毒隱藏在互聯(lián)網(wǎng)應用中，而高校圖書館網(wǎng)絡互連很容易相互傳染，最終導致整體癱瘓。

1.4 網(wǎng)絡系統(tǒng)安全威脅

高校圖書館網(wǎng)絡與互聯(lián)網(wǎng)連接，給黑客攻擊創(chuàng)造了條件，他們利用網(wǎng)路漏洞掃描、嗅探、欺騙、后門、口令破譯等手段直接進入高校網(wǎng)絡圖書館后臺服務器管理系統(tǒng)中，刪除重要文獻資料、篡改信息、盜用資源等，給高校數(shù)字圖書館造成了嚴重的威脅。

2 高校圖書館網(wǎng)絡安全建設的設計與實現(xiàn)

2.1 高校圖書館網(wǎng)絡安全運行環(huán)境設計與實現(xiàn)

高校圖書館系統(tǒng)運行的安全是數(shù)字圖書館建設的首要環(huán)節(jié)，在建設運行環(huán)境方面要對圖書館服務器主機房的選址和環(huán)境布置進行科學的規(guī)劃，并采用多種安全防護系統(tǒng)加以保護，譬如：建設穩(wěn)定的供電系統(tǒng)、防火系統(tǒng)、通風系統(tǒng)和安保系統(tǒng)。

高校數(shù)字圖書館用電量大，對電壓的穩(wěn)定性要求高，因此，在供電系統(tǒng)設計上要采用具有功率大、耐用時間長、防雷電等性能的雙機并聯(lián)UPS系統(tǒng)。

高校圖書館服務器機房防火系統(tǒng)建設可以采用針對計算機等大用電量的電子設備專用滅火系統(tǒng)，譬如：采用七氟丙烷氣體自動滅火系統(tǒng)，具有較好的清潔、絕緣、高效能等特點，同時該系統(tǒng)要具備自動火災探測預警系統(tǒng)和火災環(huán)境超標自動滅火機制。

高校圖書館主機房由于設備散熱量較大，應配備24小時運轉的機房專用空調，機房專用空調具有上送、下回送風功能，能夠保證高校圖書館主機房各個方向的溫度均衡。同時，機房專用空調具有溫度自動探測功能和溫度超標預警功能，條件允許的狀況下，可配置雙空調系統(tǒng)，為出現(xiàn)故障時可備用。

由于高校圖書館主機房設備具有很高的價值，因此，對于防盜監(jiān)控應專門設計安保系統(tǒng)。安保系統(tǒng)應具備機房各個角落全方位監(jiān)控功能，并具備紅外預警裝置，當發(fā)生偷盜設備時，可及時發(fā)出警告，并通過校園網(wǎng)直接連入校園保安室。在管理上可采用專人專管，設置門禁系統(tǒng)。

2.2 高校圖書館網(wǎng)絡安全硬件系統(tǒng)設計與實現(xiàn)

高校圖書館硬件配置要首先具備雙機熱備系統(tǒng)，可確保圖書館服務器安全運轉。其次，要具備數(shù)字圖書館資源獨立存儲系統(tǒng)和獨立應用系統(tǒng)，圖書資源存放在存儲系統(tǒng)中，不附加應用軟件，降低被惡意攻擊的威脅，應用系統(tǒng)在調用存儲系統(tǒng)中資源時需要提供正確的密鑰，確保資源調出安全。第三，數(shù)字圖書館與校園網(wǎng)絡相連接要建立安全防護機制，譬如建立防火墻等。第四，硬件選擇要具備國家認可的相關合格證明，同時設備要具備后續(xù)改造升級的能力，設備接口采用標準化接入，具有良好的兼容性，以降低升級改造費用。

2.3 高校圖書館網(wǎng)絡安全軟件系統(tǒng)設計與實現(xiàn)

高校圖書館網(wǎng)絡安全軟件系統(tǒng)包括系統(tǒng)軟件和應用軟件。在系統(tǒng)軟件設計上采用穩(wěn)定性、安全性高的操作系統(tǒng)，通常在UNIX系統(tǒng)環(huán)境下的操作系統(tǒng)抗威脅能力較Windows和Linux更強，尤其是UNIX所衍生出的針對于圖書館應用的操作系統(tǒng)，如：AIX、Solaris等。在操作系統(tǒng)安裝過程中，選擇自定義安裝，根據(jù)需要設置較為安全的權限管理，同時為操作系統(tǒng)安裝最新的安全補丁、殺毒軟件、防火墻等。停止使用Guest用戶登陸，設計較為復雜的管理員用戶名及密碼，將IIS訪問權限設為高級。

在應用軟件應用上，在應用系統(tǒng)中安裝正版的應用軟件，并根據(jù)用戶級別設置數(shù)據(jù)庫的訪問權限，加強應用軟件安裝的安全檢測能力，如檢測到用戶安裝的應用軟件攜帶病毒或者木馬則強行停止安裝。

2.4 高校圖書館網(wǎng)絡安全網(wǎng)絡系統(tǒng)設計與實現(xiàn)

目前，高校圖書館面向社會化開放，這就導致來自互聯(lián)網(wǎng)的威脅給高校圖書館網(wǎng)絡安全性面臨著嚴峻的考驗。高校圖書館與外部網(wǎng)絡連接需要通過高端的防火墻和完善的用戶認證，阻止外部用戶直接訪問高校圖書館數(shù)據(jù)庫，并且對外隱藏IP、網(wǎng)關等信息。在高校圖書館內部網(wǎng)絡建設上要建立獨立的局域網(wǎng)絡，采用VLAN技術對不同圖書館資源利用區(qū)域進行劃分管理，設置自動軟件升級、防火墻升級和定期殺毒。

3 高校圖書館網(wǎng)絡安全防護對策

建設高校圖書館網(wǎng)絡安全防護體系，需要對高校圖書館網(wǎng)絡構建成為多層次、多方面監(jiān)管的安全防護網(wǎng)絡，在安全防護對策上應遵循以下幾方面原則，確保高校圖書館網(wǎng)絡安全運轉。

3.1 安全防護的全面性

在構建高校圖書館網(wǎng)絡安全體系時，要從軟、硬件、環(huán)境等方面進行物理性安全防護，還要不斷的提高安全技術能力和監(jiān)管力度，確保圖書館機房的安全運轉。同時，要做好突發(fā)問題應急處理機制，當出現(xiàn)故障時能夠將損失降到最低。

3.2 安全防護的最小權限性

構建高校圖書館網(wǎng)絡安全等級權限分類，以可提供最少服務權限為原則，建立最大安全防護措施，權限等級要分明，嚴格執(zhí)行權限管理制度。將數(shù)據(jù)庫系統(tǒng)與應用系統(tǒng)區(qū)分管理，數(shù)據(jù)庫管理權限設置管理人數(shù)越少越好，盡量避免用戶瀏覽非圖書館允許類網(wǎng)站，將惡意網(wǎng)站登記到應用數(shù)據(jù)庫中，禁止訪問。

3.3 安全防護的集中管理性

高校圖書館網(wǎng)絡安全集中管理是將多種安全防護措施進行統(tǒng)一管理，由專業(yè)的網(wǎng)絡安全管理專家進行監(jiān)控。在管理上不僅要從技術上進行研究，而且需要在制度上進行嚴格管理，譬如：建立安全責任制度、日常維護制度、數(shù)字圖書館應用制度、資料備份制度、保密制度等。對于各項制度的落實要進行統(tǒng)一集中的管理，方便制度的執(zhí)行與落實。

3.4安全防護的長期性

網(wǎng)絡環(huán)境更新速度快，惡意攻擊、病毒類型等不斷演變，新型的攻擊手段和木馬病毒不斷涌現(xiàn)，這就要求高校圖書館網(wǎng)絡安全建設要具有可升級、可擴建能力，不僅要及時更近防火墻、殺毒軟件，在硬件設備上要具備可擴展性，能夠提高硬件安全，建立長期的安全防護機制，做到實時監(jiān)管、實時控制。

4 結束語

高校圖書館是高校文化與技術資源聚集融匯的地方，在面對數(shù)字化圖書館的需求方面，高校圖書館不僅要建立豐富的資源網(wǎng)絡，而且要確保高校數(shù)字圖書館的應用安全。在高校圖書館網(wǎng)絡安全建設上，環(huán)境、設備、軟件、管理要統(tǒng)一目標，科學建設、加強監(jiān)管，利用先進的網(wǎng)絡安全技術和完善的管理制度實現(xiàn)高校圖書館數(shù)字化安全運轉。

參考文獻：

[1]馬敏，劉芳蘭，寧嬌麗.高校數(shù)字圖書館網(wǎng)絡安全風險分析與策略[J].中國安全科學學報，2010（04）：130-135.

[2]高琦.數(shù)字圖書館網(wǎng)絡信息安全分析及對策研究[J].圖書館學刊，2012（06）：132-133.

[3]王元.高校數(shù)字圖書館信息安全保障研究[J].圖書情報工作（增刊），2010（02）：327-331.

[4]顏昌茂，周吟劍，.高校圖書館網(wǎng)絡安全系統(tǒng)的構建[J].情報探索，2014（01）108-111.

篇（7）

2 中小型企業(yè)網(wǎng)絡現(xiàn)狀及需求

國有大中型企業(yè)是我國的經濟支柱，中小企業(yè)是我國經濟組成的重要組成部分，我國中小型企業(yè)眾多，對計算機網(wǎng)絡技術應用比較簡單，沒有很好的利用Internet的優(yōu)勢，實現(xiàn)企業(yè)經濟的騰飛及壯大。中小型企業(yè)網(wǎng)絡主要應用是日常辦公，數(shù)據(jù)處理，屬于“單機版”類型，或者企業(yè)分支機構與總部就是簡單通過電子郵件，或者qq進行企業(yè)數(shù)據(jù)信息傳輸，這樣安全保密性太差。主要原因是：

1） 中小型企業(yè)資金比較貧乏，沒有更多的資金來購買成熟網(wǎng)絡安全產品，而且成熟的網(wǎng)絡安全產品價格一般比較昂貴，主要面向大型企業(yè)。中小型企業(yè)分布廣，業(yè)務靈活，經濟實惠的遠程數(shù)據(jù)安全傳輸解決方案甚少，而且技術復雜，維護較難，不能滿足中小企業(yè)的需要。

2） 中小型企業(yè)技術力量薄弱，沒有專業(yè)的網(wǎng)絡技術人員，一般是企業(yè)年輕的懂點計算機的員工兼職網(wǎng)絡管理，與專業(yè)網(wǎng)絡管理員還有一定的差距。

3） 中小型企業(yè)網(wǎng)絡基本屬于一個“信息孤島”，與外界進行數(shù)據(jù)通信不能做到安全可靠傳輸，不能確保數(shù)據(jù)信息不泄露、不丟失、不被篡改等，影響企業(yè)的快速發(fā)展。

3） 中小型企業(yè)領導重視網(wǎng)絡建設還不夠，網(wǎng)絡建設相對比較簡單，根據(jù)中小型企業(yè)目前對網(wǎng)絡的需要及依賴，進行簡單網(wǎng)絡建設，沒有長遠的網(wǎng)絡建設規(guī)劃，致使企業(yè)在壯大的過程中，網(wǎng)絡建設不能快步跟上，往往被忽視。中小企業(yè)網(wǎng)絡由于資金貧乏，技術力量不足等原因，在建設的初期就還可能留下許多漏洞與不足，這樣更容易被黑客攻擊。

4） 中小型企業(yè)用戶不能進行遠程數(shù)據(jù)信息的安全可靠傳輸，企業(yè)員工，或者領導外地出差，或者分支機構的網(wǎng)絡，就不能訪問企業(yè)網(wǎng)絡，不能遠程進行辦公，遠程快速的進行事務處理。

5） 中小型企業(yè)與合作伙伴之間沒有利用互聯(lián)網(wǎng)的優(yōu)勢，在它們之間沒有建立一個企業(yè)擴展網(wǎng)絡，導致數(shù)據(jù)信息的安全交流和企業(yè)的密切合作收到影響。

在復雜的網(wǎng)絡環(huán)境下，解決中小型企業(yè)的遠程數(shù)據(jù)信息安全可靠的傳輸就變得越來越重要了，還需考慮方案的經濟實用，維護簡單容易。對于中小企業(yè)網(wǎng)絡中傳輸?shù)闹匾獢?shù)據(jù)信息，如財務報表等，必須保證數(shù)據(jù)信息完整性、可用性和機密性。完整性是數(shù)據(jù)信息在傳輸或存儲過程中保證沒有被修改，沒有被破壞，沒有被丟失等；可用性是數(shù)據(jù)信息可被授權實體訪問，并按需求使用的特性，即指定用戶訪問指定數(shù)據(jù)資源；機密性是保證數(shù)據(jù)信息網(wǎng)絡傳輸保密性和數(shù)據(jù)存儲的保密性，數(shù)據(jù)信息不會泄露給非授權的用戶、實體或過程。確保只有授權用戶才可以訪問指定數(shù)據(jù)資源，其他人限制對數(shù)據(jù)信息的讀寫等操作。

3 經濟實用安全方案

從中小型企業(yè)網(wǎng)絡現(xiàn)狀及需求，利用VPN技術跨越Internet組建中小企業(yè)擴展網(wǎng)絡，保證遠程移動用戶、企業(yè)分支機構和企業(yè)合作伙伴之間安全可靠的進行遠程數(shù)據(jù)信息傳輸。通過實踐實驗，研究出經濟實用，安全可靠，配置和維護比較容易的中小型企業(yè)網(wǎng)絡安全性解決方案，如圖1所示。VPN服務器也稱為VPN網(wǎng)關，可以使用高性能的計算機來擔當，并且安裝兩塊網(wǎng)絡適配器，一塊網(wǎng)絡適配器用于連接中小型企業(yè)內部網(wǎng)絡，分配內網(wǎng)IP地址，另一塊網(wǎng)絡適配器連接外部網(wǎng)絡，分配外網(wǎng)IP地址。VPN服務器是內網(wǎng)和外網(wǎng)連接的必經之路，服務于內外兩個網(wǎng)絡，也是內網(wǎng)的安全屏障，相當于中小型企業(yè)的防火墻，它可以完成對訪問企業(yè)網(wǎng)絡的用戶進行身份認證、數(shù)據(jù)進行加密解密處理、密鑰交換等。VPN服務器安裝Windows Server 2003操作系統(tǒng)，充分利用公共網(wǎng)絡Internet的資源，通過VPN技術，實現(xiàn)中小企業(yè)遠程數(shù)據(jù)信息傳輸?shù)陌踩?、完整性，可用性和保密性?/p>

3.1 IPSec VPN保證數(shù)據(jù)信息遠程安全傳輸

1） VPN技術

VPN又稱虛擬專用網(wǎng)，是在公共網(wǎng)絡中建立專用網(wǎng)絡，數(shù)據(jù)信息通過建立的虛擬加密“安全隧道”在公共網(wǎng)絡上進行傳輸，即充分利用公共網(wǎng)絡如Internet的資源，達到公網(wǎng)“私用”的效果。中小企業(yè)只需接入Internet，就可以實現(xiàn)全國各地分支機構，甚至全世界各地的分支機構，都可以隨時隨地的訪問企業(yè)網(wǎng)絡，實現(xiàn)遠程數(shù)據(jù)信息的安全可靠傳輸。而且VPN具有節(jié)省成本、配置相對簡單、提供遠程訪問、擴展性較強、便于管理維護、實現(xiàn)全面控制等好處，是企業(yè)網(wǎng)絡發(fā)展的趨勢。

2） IPSec協(xié)議

IPSec是一個開放的應用范圍廣泛的網(wǎng)絡層VPN協(xié)議標準，是一套安全系統(tǒng)，包括安全協(xié)議選擇、安全算法、確定服務所使用的密鑰等服務，在網(wǎng)絡層為IP協(xié)議提供安全的保障，即IPSec可有效保護IP數(shù)據(jù)報的安全，如數(shù)據(jù)源驗證、完整性校驗、數(shù)據(jù)內容加密解密和防重演保護等。保證企業(yè)網(wǎng)絡用戶的身份驗證，保證經過網(wǎng)絡傳輸過程中數(shù)據(jù)信息完整性檢查，加密IP地址及數(shù)據(jù)信息保證其私有性和安全性。

3） 基于IPSec的VPN技術

基于IPSec的VPN技術解決了在Internet復雜的公網(wǎng)上所面臨的開放性及不安全因素的威脅，實現(xiàn)在不信任公共網(wǎng)絡中，通過虛擬“安全隧道”進行數(shù)據(jù)信息的安全傳輸。IPSec協(xié)議應用于OSI參考模型的第三層網(wǎng)絡層，基于TCP/IP的所有應用都要通過IP層，將數(shù)據(jù)封裝成一個IP數(shù)據(jù)包后再進行傳輸，所有要實現(xiàn)對上層網(wǎng)絡應用軟件的全透明控制，即同時對上層多種應用提供安全網(wǎng)絡服務，只需要在網(wǎng)絡層上采用VPN技術，基于IPSec的VPN技術提供了5種安全機制，即隧道技術、加密解密技術、密鑰管理技術、身份驗證技術和防重演保護技術，通過基于IPSe c的VPN技術，來保證傳輸數(shù)據(jù)的安全性、可用性、完整性和保密性[1]。

（1）隧道技術，隧道也可稱為通道，是在公用網(wǎng)中建立一條虛擬加密通道，讓數(shù)據(jù)包或者數(shù)據(jù)幀通過這條隧道安全傳輸。使用虛擬“安全隧道”傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或數(shù)據(jù)包。“隧道”協(xié)議分為二、三層隧道協(xié)議，第二層隧道協(xié)議先把各種網(wǎng)絡協(xié)議封裝到PPP中，再把整個數(shù)據(jù)幀裝入到隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)幀依靠第二層協(xié)議來傳輸，第二層協(xié)議包括PPTP、L2TP等。第三層隧道協(xié)議是把各種網(wǎng)絡協(xié)議直接裝入到隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層協(xié)議有GRE、IPSec等。這里使用IPSec中的ESP（Encapsulated Security Payload）和AH（Authentication Header）子協(xié)議保護IP數(shù)據(jù)包和IP數(shù)據(jù)首部不被第三方侵入，在兩個網(wǎng)絡之間建立一個虛擬“安全隧道” 用于數(shù)據(jù)信息的安全傳輸。授權用戶，通過IPSec安全策略的配置實現(xiàn)對網(wǎng)絡安全通信的保護意圖，其安全策略包括什么時候什么地方對AH和ESP保護，保護什么樣的通信數(shù)據(jù)，什么時候什么地方進行密鑰及保護強度的協(xié)商。IPSec通過認證和鑰匙交換機制確保中小型網(wǎng)絡與其分支機構網(wǎng)絡或合作伙伴進行既安全又保密的信息傳輸。在計算機上裝有IPSec的終端用戶可以通過撥入ISP的方式獲得對公司網(wǎng)絡的安全訪問。

（2）加密解密技術，是為了保障虛擬“安全隧道”的安全可靠性，提供了非常成熟的加密算法和解密算法，如3DES、DES、AES等，抵抗不法分子修改或截取數(shù)據(jù)信息的能力，同時保證必須使偷聽者不能破解或解密攔截到的的數(shù)據(jù)信息，但是授權用戶可以通過解密技術，完整的訪問數(shù)據(jù)資源。

（3）身份認證技術是通過對企業(yè)分支用戶或遠程用戶進行身份進行驗證，提供安全防護措施與訪問控制，包括對VPN“安全隧道”訪問控制的功能，有效的抵抗黑客通過VPN通道攻擊中小型企業(yè)網(wǎng)絡的能力。通過VPN服務器對授權用戶的身份及權限的驗證，嚴格控制授權的用戶訪問資源的權限。在每個VPN服務器上為遠端用戶的身份驗證憑據(jù)添加用戶信息，包括用戶名及密碼，并且配置了用戶名與呼叫用戶所使用的用戶名稱相同的請求撥號接口。

（4）密鑰交換技術，為了防止密鑰在Internet復雜的公網(wǎng)上傳輸過程中而不被竊取。提供密鑰中心管理服務器，現(xiàn)行的密鑰管理技術分為SKIP和ISAKMP/OAKLEY兩種。VPN技術能夠生成并更新客戶端和服務器的加密密鑰和密鑰的分發(fā)，實現(xiàn)動態(tài)密鑰管理。如果采用L2TP/IPSec模式的站點到站點VPN連接，還需要在每個VPN服務器上同時安裝客戶端身份驗證證書和服務器身份驗證證書；如果不安裝證書，則需要配置預共享的IPSec密鑰。

（5）防重演保護。具備防止數(shù)據(jù)重演的功能，而且保證通道不能被重演。確保每個IP包的合法性和惟一性，保證信息萬一被截取復制后，或者攻擊者截取破譯信息后，再用相同的信息包獲取非法訪問權，確保數(shù)據(jù)信息不會被重新利用、重新傳回目標網(wǎng)絡，

3.2其他輔助安全措施

對VPN服務器，還可以啟動軟件防火墻功能，如安全訪問策略、日志監(jiān)控等功能，還可以安裝殺毒軟件，為內網(wǎng)提供安全屏障，再次增加網(wǎng)絡安全可靠性能。軟件防火墻通過設置的包過濾規(guī)則，分析IP數(shù)據(jù)報、TCP報文段、UDP報文段等，決定數(shù)據(jù)包是被阻止，還是繼續(xù)轉發(fā)，從網(wǎng)絡層和傳輸層上再次給予安全控制，提供了多層次安全保障體系。還可以增加應用層的過濾規(guī)則配置，再次提升VPN服務器安全性。

4 實踐應用分析

通過實踐應用，跨越Internet的中小型企業(yè)網(wǎng)絡安全解決方案分別從網(wǎng)絡層、傳輸層和應用層三個層次上給予安全保障，該方案充分利用VPN的“公網(wǎng)專用”的特點，允許中小型企業(yè)擁有一個世界范圍的專用網(wǎng)絡，在公用網(wǎng)中開辟虛擬“安全隧道”來保證遠程數(shù)據(jù)信息傳輸?shù)目煽啃院桶踩裕煌ㄟ^輔助的防火墻功能，進一步增加其安全。該方案使用高性能的PC充當VPN服務器，并配以Windows Server 2003操作系統(tǒng)，無需額外的復雜硬件設備與高昂的系統(tǒng)軟件，成本低、經濟實用、容易實現(xiàn)、維護簡單，是中小型企業(yè)網(wǎng)絡擴展不錯的選擇方案。VPN服務器不但具備VPN技術的功能外，還是一個中小企業(yè)的防火墻，安全配置、安全策略容易實現(xiàn)，一旦出現(xiàn)較大安全威脅，便于快速隔離網(wǎng)絡。

當然此方案也存在一些缺陷，主要是有依賴操作系統(tǒng)的安全性，操作系統(tǒng)本身的漏洞可能會造成安全隱患；VPN服務器是集多種服務于一體，需要較高高性能的計算機；VPN服務器故障會導致網(wǎng)絡連接失效；由軟件實現(xiàn)數(shù)據(jù)加密與解密、包過濾等，一定程度會占用系統(tǒng)資源，也會使通信效率略有降低；同時重注企業(yè)內部員工的安全培訓，有效地抑制社會學的攻擊，對來自企業(yè)內部員工的攻擊顯得無能為力。

5 結束語

跨越Internet的中小型企業(yè)網(wǎng)絡安全技術方案比較經濟、實用、安全、配置簡單，為中小企業(yè)打造一個世界范圍的網(wǎng)絡提供了較有力的技術支持，使得中小企業(yè)網(wǎng)絡也融入到互聯(lián)網(wǎng)這個“大家庭”中，不僅提高了中小型企業(yè)的工作效率，而且增強了其競爭力，將推動中小型企業(yè)電子商務，電子貿易，網(wǎng)絡營銷走向繁榮，加快了中小企業(yè)網(wǎng)絡信息化和經濟快速發(fā)展的步伐。

參考文獻：

[1] 郝春雷， 鄭陽平.中小型企業(yè)敏感分支網(wǎng)絡安全解決方案[J].商業(yè)時代，2007，（21）：45.

[2] 阿楠. VPN虛擬專用網(wǎng)的安全[J].互聯(lián)網(wǎng)天地，2007，（7）：46-47.

[3] 李春泉，周德儉，吳兆華. VPN技術及其在企業(yè)網(wǎng)絡安全技術中的應用[J]. 桂林工學院學報，2004，3：365-368.

篇（8）

對于計算機的網(wǎng)絡病毒來講，其每一天都在不斷的進行變化，類別多種多樣，傳播的范圍相對較廣，傳播的速率較快，破壞性相對較強。大多數(shù)網(wǎng)絡病毒都是利用電子郵件或者網(wǎng)頁共享等形式傳播的。其作為一項攻擊性較強的程序，能夠長時間的隱藏在網(wǎng)絡軟件系統(tǒng)中，也能夠快速的攻擊計算機網(wǎng)絡，令其處于癱瘓，通過軟件系統(tǒng)的程序運轉及數(shù)據(jù)共享實施傳播。其不僅能夠對計算機的網(wǎng)速造成影響，同時還會損壞計算機內的重要資源與程序，嚴重的甚至使計算機的硬件設備出現(xiàn)損壞。

1.2非法侵入的危害

對于非法侵入來講，其存在很多形式，對信息的高效性及完成性造成選擇性的損壞，從而使部分數(shù)據(jù)丟失或外泄，非法占有系統(tǒng)資源。非法侵入能夠在不危害網(wǎng)絡的前提下截取重要的信息、數(shù)據(jù)，也能夠使服務系統(tǒng)崩潰。較為著名的“蠕蟲病毒”就是非法侵入的一種。

2維護計算機網(wǎng)絡安全的具體措施

2.1對計算機的網(wǎng)絡進行安全維護

想要保證計算機網(wǎng)絡環(huán)境的安全，可以從以下幾方面入手：其一，實行密碼的方法。當用戶通過網(wǎng)絡互相通信器件，最主要的威脅就在于信息的竊取。而利用一些復雜的密碼，并且每隔一段時間進行更換的方法就能夠高效的預防信息竊取的情況出現(xiàn)；其二，實行防火墻的方法。將計算機內部的防火墻打開，能夠良好的預防來自互聯(lián)網(wǎng)的攻擊。對于防火墻來激昂，其能夠在計算機同外部網(wǎng)絡環(huán)境之間建立一層防護。一般防火墻有個人計算機防火墻及硬件防火墻兩種類別；其三，定期對計算機及網(wǎng)絡系統(tǒng)的情況進行檢查。通過這種方法能夠及時發(fā)現(xiàn)系統(tǒng)故障，從而減少危害。同時，需要對計算機網(wǎng)絡的設備及主服務器進行細致檢查，如遇問題，盡快修復，從而確保計算機始終處在最佳的運行狀態(tài)下。

2.2預防病毒入侵

因為病毒侵染造成計算機不能順利工作的情況經常出現(xiàn)，一般計算機在感染病毒以后會發(fā)生藍屏、死機、無法啟動等情況。當計算機應用一定時間以后，系統(tǒng)速率會變慢，甚至發(fā)生數(shù)據(jù)丟失的問題?，F(xiàn)今，網(wǎng)絡是傳遞病毒的重要途徑，想要保證計算機可以正常應用，高效預防病毒入侵，就需要從以下幾方面入手進行預防：其一，為計算機加裝正版的殺毒軟件，例如：瑞星、360等，同時確保殺毒軟件始終處在自動更新的情況，每個一段時間需要對軟件的殺毒及更新情況進行檢查；其二，在下載并安裝一些軟件前需要慎重，安裝前先通過殺毒軟件進行檢查，然后才能夠進行安裝操作。部分壓縮包得軟件能夠自行安裝，所以，不可以隨意打開，而需要先將其解壓，殺毒后方可進行安裝；其三，每個一段時間需要對計算機實施全面、整體的殺毒操作，同時經常關注新聞，了解是否存在新型的病毒；其四，每隔一段時間下載同時安裝系統(tǒng)的安全補丁。現(xiàn)今，大多數(shù)軟件公司都會及時的其產品的補丁。如果程序存在漏洞，很容易讓人有可乘之機，通過定期檢查并安裝補丁能夠保證計算機安全工作。

2.3保證數(shù)據(jù)信息的安全

在計算機內，有很多重要的數(shù)據(jù)信息，如果丟失，很容易造成個人或集體的利益受到傷害，所以，需要保證數(shù)據(jù)信息的安全。對數(shù)據(jù)信息進行加密處理能夠高效增強計算機及數(shù)據(jù)的安全性與保密性，并且預防出現(xiàn)外部損壞及丟失等情況。利用各種加密的方法確保數(shù)據(jù)各個過程處在安全狀態(tài)，就算被他人獲取，也無法進行識別。盡管數(shù)據(jù)加密的方法較為被動，然而其安全性能相對較高，是不可缺少的網(wǎng)絡安全維護措施之一。

篇（9）

引言

伴隨醫(yī)院信息化建設腳步的不斷推進，眾多醫(yī)院掛號、門診、住院等各個流程產生的數(shù)據(jù)均實現(xiàn)了網(wǎng)絡傳輸，網(wǎng)絡安全在全面醫(yī)院信息系統(tǒng)安全中扮演著越來越重要的角色。引入一系列先進技術強化對網(wǎng)絡的管理、促進網(wǎng)絡結構優(yōu)化，是保證網(wǎng)絡安全的一大保障。虛擬局域網(wǎng)作為可靠、高效的信息網(wǎng)絡管理系統(tǒng)，其可為醫(yī)院網(wǎng)絡安全建設打下有力基礎，在醫(yī)院網(wǎng)絡安全建設中可發(fā)揮至關重要的作用。虛擬局域網(wǎng)技術的推廣極大水平上推動了醫(yī)院工作的開展，然而在發(fā)展過程中如何解決安全保障問題是當前的一大關鍵，醫(yī)院唯有在更可靠、更安全的網(wǎng)絡建設中，方可有序高水平的開展工作，這同樣是醫(yī)院網(wǎng)絡安全有序發(fā)展的前提。由此可見，對虛擬局域網(wǎng)下醫(yī)院網(wǎng)絡安全建設開展研究，有著十分重要的現(xiàn)實意義。

1虛擬局域網(wǎng)技術概述

虛擬局域網(wǎng)指的是經由將局域網(wǎng)內的設備邏輯地而并非物理地劃分為各個網(wǎng)段，進一步實現(xiàn)虛擬工作組的技術。換言之，虛擬局域網(wǎng)是網(wǎng)絡設備上連接的不受物理位移影響的用戶的1個邏輯組?？蓪⒏鱾€邏輯組概括為1個特定的廣播域；各個虛擬局域網(wǎng)均涵蓋了1組有著一致需求的計算機終端，以物理上形成的局域網(wǎng)有著一致的屬性。通常而言，虛擬局域網(wǎng)在交換機上實現(xiàn)方法，主要包括四種劃分策略，即分別為以端口為前提劃分的虛擬局域網(wǎng)、以MAC地址為前提劃分的虛擬局域網(wǎng)、以網(wǎng)絡層協(xié)議為前提劃分的虛擬局域網(wǎng)以及以IP組播為前提劃分的虛擬局域網(wǎng)。其中，以端口為前提劃分的虛擬局域網(wǎng)指的是結合交換機上的物理端口開展的劃分，其優(yōu)點在于可直接定義，劃分便捷，易于實現(xiàn)，技術完善；不足之處則是用戶物理位置發(fā)生變化時，要求重新進行定義，缺乏靈活性；其通常適用于各種規(guī)模的網(wǎng)絡。以MAC地址為前提劃分的虛擬局域網(wǎng)指的是結合用戶主機MAC地址開展的劃分，其優(yōu)點在于用戶移動時，虛擬局域網(wǎng)無需重新定義；不足之處則是設備初始化，要求對每一位用戶進行定義；其通常適用于小型局域網(wǎng)。以網(wǎng)絡層協(xié)議為前提劃分的虛擬局域網(wǎng)指的是結合IP、Banyan、DECnet等網(wǎng)絡層協(xié)議開展的劃分，其優(yōu)點在于可依據(jù)協(xié)議不同類型對虛擬局域網(wǎng)進行劃分，且廣播域可實現(xiàn)對不同虛擬局域網(wǎng)的跨越；不足之處則是效率偏低，技術不完善；其通常適用于同時運行多協(xié)議的網(wǎng)絡[1]。以IP組播為前提劃分的虛擬局域網(wǎng)指的是一個IP組播即為一個虛擬局域網(wǎng)，其優(yōu)點在于靈活性高，易于經由路由器實現(xiàn)擴展；不足之處則是設置難度大，效率偏低，技術不完善，通常適用于處在不同地理范圍的用戶組成的網(wǎng)絡。

2醫(yī)院網(wǎng)絡安全建設面臨的主要困境

2.1對網(wǎng)絡安全建設缺乏有效認識

伴隨信息時代的飛速發(fā)展，網(wǎng)絡安全建設越來越為諸多行業(yè)領域所關注，醫(yī)院同樣如此。然而現(xiàn)階段，醫(yī)院網(wǎng)絡安全建設依舊處在初級發(fā)展階段，網(wǎng)絡安全建設還存在各式各樣的問題，人們并未對網(wǎng)絡安全建設形成有效認識，因為認識不足使得在網(wǎng)絡設備引入后其作用難以得到有效發(fā)揮，造成各項設備未能切實為醫(yī)院醫(yī)療服務工作創(chuàng)造便利，因而應當提高對網(wǎng)絡安全建設的有效認識，方可讓網(wǎng)絡安全建設切實為醫(yī)院所用。

2.2缺乏健全的網(wǎng)絡安全保障

在醫(yī)院網(wǎng)絡安全建設中，諸多安全問題往往會被忽略，而網(wǎng)絡安全顯然是網(wǎng)絡安全建設中的重要內容。一些醫(yī)院在網(wǎng)絡信息管理中表現(xiàn)出安全意識不足，缺少計算機相關人力、物力的投入，對網(wǎng)絡設備管理維護缺乏足夠重視，往往會在應用過程中出現(xiàn)因故障而無法使用的情況。近年來，醫(yī)院面對龐大的醫(yī)療數(shù)據(jù)、信息，對網(wǎng)絡信息系統(tǒng)變得更加依賴。而由于缺乏健全的網(wǎng)絡安全保障，使得信息數(shù)據(jù)難以得到有效備份，一旦遭受病毒或者不法分子的攻擊，使得醫(yī)院信息數(shù)據(jù)被篡改、盜取等，必然會對醫(yī)院帶來極大的損失。

2.3缺乏完善的網(wǎng)絡系統(tǒng)管理

醫(yī)院網(wǎng)絡系統(tǒng)管理缺乏一個切實完善的制度標準。首先，在設備維護方面，系統(tǒng)管理人員對設備保護認識不足，未能開展定期清理，長此以往，對設備使用性能造成不利影響。其次，一些系統(tǒng)管理人員對工作管理制度缺乏足夠重視，應用網(wǎng)絡設備做與工作不相干的事情，對設備運行速度造成不利影響，因而這些均屬于醫(yī)院網(wǎng)絡系統(tǒng)管理中亟待解決的問題。

3虛擬局域網(wǎng)下醫(yī)院網(wǎng)絡安全建設策略

虛擬局域網(wǎng)技術的推廣極大水平上推動了醫(yī)院工作的開展，然而在發(fā)展過程中如何解決安全保障問題是當前的一大關鍵，醫(yī)院唯有在更可靠、更安全的網(wǎng)絡建設中，方可有序高水平的開展工作，這同樣是醫(yī)院網(wǎng)絡安全有序發(fā)展的前提。在信息時代背景下，全面醫(yī)院應當緊緊跟隨時代前進步伐，不斷開展改革創(chuàng)新，強化對先進發(fā)展理念的學習借鑒，切實推動醫(yī)院網(wǎng)絡的安全有序運行。如何進一步強化虛擬局域網(wǎng)下醫(yī)院網(wǎng)絡安全建設可以將下述內容作為切入點：

3.1虛擬局域網(wǎng)在醫(yī)院網(wǎng)絡安全建設中應用優(yōu)勢

醫(yī)院網(wǎng)絡安全建設中應用虛擬局域網(wǎng)技術具備一系列優(yōu)勢，主要包括有：（1）阻止廣播風暴，提升網(wǎng)絡整體性能。在局域網(wǎng)中各個工作站均會發(fā)送出廣播信號并獲取大量的響應，極易引發(fā)局域網(wǎng)中的廣播風暴現(xiàn)象，因而在虛擬局域網(wǎng)組中，將局域網(wǎng)中各項業(yè)務工作依據(jù)內容不同開展劃分，以實現(xiàn)廣播信號之間的有效隔離，進而切實解決由于廣播信號泛濫而引發(fā)的網(wǎng)絡阻塞問題[2]。與此同時，依托虛擬局域網(wǎng)技術可將網(wǎng)絡的諸多資源配置給需要的部分使用，一方面確保不同部門相互間網(wǎng)絡資源需求的最大化，一方面盡可能提升醫(yī)院網(wǎng)絡使用效率，提升醫(yī)院網(wǎng)絡整體性能。（2）促進網(wǎng)絡的安全有序運行。傳統(tǒng)局域網(wǎng)中傳輸?shù)臄?shù)據(jù)報極易受到相同網(wǎng)絡中任一設備操作截取，進而對醫(yī)院信息安全帶來極大威脅。虛擬局域網(wǎng)劃分完畢后，均需要經由路由來轉發(fā)局域網(wǎng)相互間的數(shù)據(jù)，沒有路由的局域網(wǎng)則會轉變?yōu)橐粋€獨立的局域網(wǎng)，其對應的安全性能同樣可得到有效提升。（3）為網(wǎng)絡管理、維護創(chuàng)造極大便利。將各項工作依據(jù)業(yè)務內容差異劃分至各個虛擬局域網(wǎng)中，有利于系統(tǒng)管理員開展集中管理，無需再移動工作站便可靈活地將工作由一個局域網(wǎng)轉入至另一個局域網(wǎng)，針對移動的辦公用戶，局域網(wǎng)還對這一移動設備的接入點進行自動識別，其性能與在本單位的局域網(wǎng)中無明顯差異，倘若某一局域網(wǎng)中引發(fā)故障并不會對其他網(wǎng)絡設備運行造成影響，進而為系統(tǒng)管理員在開展故障排除時提供有效便利[3]。

3.2虛擬局域網(wǎng)在醫(yī)院網(wǎng)絡安全建設中應用實例

以端口為前提與以IP組播為前提相結合劃分的虛擬局域網(wǎng)，其沿用了最常規(guī)的虛擬局域網(wǎng)成員定義方法，操作簡單，易于推廣應用。醫(yī)院網(wǎng)絡有著節(jié)點多、分布范圍廣等特征，因而可推行核心層、匯聚層以及接入層的層次化設計模式，真正意義上確保網(wǎng)絡的可擴展性。于Extream核心交換機上依據(jù)端口劃分成VLAN2、VLAN3等多個虛擬局域網(wǎng)，同時逐一對應醫(yī)院內部的多個不同部門。通過對三層交換機的統(tǒng)一應用，核心層、匯聚層可實現(xiàn)有序轉發(fā)；同時，核心層、匯聚層采取光纖技術接入，獲得千兆級帶寬。依據(jù)各個業(yè)務層，將匯聚層交換機端口劃分成各個虛擬局域網(wǎng)，虛擬局域網(wǎng)劃分相應的IP地址，某一虛擬局域網(wǎng)中計算機便以其地址為網(wǎng)關，其他虛擬局域網(wǎng)則不可與這一虛擬局域網(wǎng)處在同一子網(wǎng)。相同虛擬局域網(wǎng)的不同交換機端口的相互訪問，可依托IEEE國際標準VLANTrunk得以實現(xiàn)?？蓪膳_交換機級聯(lián)端口調節(jié)成Trunk端口，如此一來，在交換機將數(shù)據(jù)包由級聯(lián)口傳輸出去過程中，會于數(shù)據(jù)包中做一標記，以便于其他交換機識別這一數(shù)據(jù)包屬于哪個虛擬局域網(wǎng)，然后，其他交換機接收到該數(shù)據(jù)包后，便會將這一數(shù)據(jù)包傳輸至對應指定的虛擬局域網(wǎng)，進一步實現(xiàn)跨越交換機的虛擬局域網(wǎng)內部數(shù)據(jù)傳輸接收[4]。虛擬局域網(wǎng)技術在醫(yī)院網(wǎng)絡安全建設中的應用，可極大水平減少醫(yī)院信息網(wǎng)絡數(shù)據(jù)包的傳輸，提升網(wǎng)絡傳輸效率。與此同時，因為各個虛擬局域網(wǎng)必須要通過路由器轉發(fā)方可完成通訊，由此為高級安全控制創(chuàng)造了可能，進一步極大水平提升了醫(yī)院信息系統(tǒng)管理人員的管理效能及網(wǎng)絡安全性。

4結束語

總而言之，當前時代背景下，醫(yī)院網(wǎng)絡安全有序運行與否，很大程度上影響著醫(yī)院醫(yī)療工作的有序運行。鑒于此，醫(yī)院相關人員務必要不斷鉆研研究、總結經驗，提高對虛擬局域網(wǎng)技術內涵特征的有效認識，強化對醫(yī)院網(wǎng)絡安全建設面臨主要困境的深入分析，強化對虛擬局域網(wǎng)技術的科學合理應用，積極促進醫(yī)院網(wǎng)絡的安全有序運行。

參考文獻：

[1]張劍，張巖．虛擬局域網(wǎng)技術在醫(yī)院網(wǎng)絡建設中的應用[J]．解放軍醫(yī)藥雜志，2010，22（06）：563－565．

[2]呂曉娟，王瑞，郭甲，等．運用虛擬局域網(wǎng)技術加強醫(yī)院網(wǎng)絡安全建設[J]．醫(yī)學信息（中旬刊），2011，24（07）：3130－3131．

篇（10）

智能建筑區(qū)域數(shù)據(jù)庫中的數(shù)據(jù)必須具有以下特殊性：首先是獨立性，包括物理數(shù)據(jù)獨立性，即改變內部模式時無需改變概念或外部模式，數(shù)據(jù)庫物理存儲的變動還會影響訪向數(shù)據(jù)的應用程序；邏輯數(shù)據(jù)獨立性，即修改概念模式時無需修改外部模式；其次是共享性，數(shù)據(jù)庫中的數(shù)據(jù)應可被幾個用戶和應用程序共享；最后是持續(xù)性，即數(shù)據(jù)在整個設定有效期內穩(wěn)定保持。

數(shù)據(jù)庫有三個主要組成部分：數(shù)據(jù)、聯(lián)系、約束和模式。數(shù)據(jù)庫管理系統(tǒng)則是為數(shù)據(jù)庫訪問服務的軟件，它應為支持應用程序和操作庫中的數(shù)據(jù)提供下列服務：事務處理、并發(fā)控制、恢復、語言接口、容錯性、數(shù)據(jù)目錄、存儲管理。

智能建筑中的數(shù)據(jù)庫系統(tǒng)（含子數(shù)據(jù)庫系統(tǒng)）與某些商業(yè)系統(tǒng)相比，雖然規(guī)模不大，但功能復雜、性質迥異，因而主數(shù)據(jù)庫與各子系統(tǒng)數(shù)據(jù)庫的集成有著很高的技術難度，可以說是現(xiàn)有各種數(shù)據(jù)庫技術的集成。理想的智能建筑數(shù)據(jù)庫系統(tǒng)應具有以下特性：開放性面向對象，關系型，實時性、多媒體性、互操作性、分布性、異構性等。所以一個理想的智能建筑（集成）數(shù)據(jù)庫體系應該是開放的，面向對象的、關系型的、實時的，分布式的或操作的多媒體異約數(shù)據(jù)庫體系。這一體系的安全保障：

首先是安全性，即數(shù)據(jù)庫在數(shù)據(jù)不得被非法更改或外泄。同時，智能建筑數(shù)據(jù)庫中的數(shù)據(jù)也具有其他一般特性，如一致性等。其次是安全保障，智能建筑中各子系統(tǒng)數(shù)據(jù)庫必須能免受非授權的泄露導致更改和破壞，每個用戶（也包括各子系統(tǒng)）和應用程序都應只擁有特定的數(shù)據(jù)訪問權，以防非法訪問與操作。這一功能在FAS、SAS及某些OSA系統(tǒng)中是必不可少的。

因特網(wǎng)的數(shù)據(jù)庫訪問技術和遠程監(jiān)控的框架及房地產信息網(wǎng)絡的安全措施

首先，因特網(wǎng)的數(shù)據(jù)庫技術相結合的Web數(shù)據(jù)庫的應用，實現(xiàn)了信息從靜態(tài)向動態(tài)的轉變，而其中遠程數(shù)據(jù)服務是核心。

目前比較流行的Browser/Server模型是采用三層模式結構：表示（Browser），提供可視界面，用戶通過可視界面觀察信息和數(shù)據(jù)，并向中間層發(fā)出服務請求；中間層（WebServer）實現(xiàn)正式的進程和邏輯規(guī)則，響應用戶服務請求，是用戶服務和數(shù)據(jù)服務的邏輯橋梁；數(shù)據(jù)庫服務層（DBServer），實現(xiàn)所有的典型數(shù)據(jù)處理活動，包括數(shù)據(jù)的獲取、修改、更新及相關服務。

Browser端一般沒有應用程序，借助于Javaapplet、Actives、javascript、vabscvipt等技術可以處理一些簡單的客戶端處理邏輯，顯示用戶界面和WebServer端的運行結果。中間層負責接受遠程或本地的數(shù)據(jù)查詢請求，然后運用服務器腳本，借助于中間部件把數(shù)據(jù)請求通過數(shù)據(jù)庫驅動程序發(fā)送到DBServer上以獲取相關數(shù)據(jù)再把結果數(shù)據(jù)轉化成HTML及各種腳本傳回客戶的Browser、DBServer端負責管理數(shù)據(jù)庫，處理數(shù)據(jù)更新及完成查詢要求，運行存儲過程，可以是集成式的也可以是分布式的。在三層結構中，數(shù)據(jù)計算與數(shù)據(jù)處理集中在中間層，即功能層。由于中間層的服務器的性能容易提升，所以在Internet下的三層結構可以滿足用戶的需求。

其次，遠程監(jiān)控的框架。

基于因特網(wǎng)的樓宇設備運程監(jiān)控結構，這個結構是基于NT的平臺上。對于市場上的BA系統(tǒng)，如江森和霍尼維爾等，他們系統(tǒng)內置有專用的數(shù)據(jù)庫，并提供有接口可以轉化為標準的數(shù)據(jù)庫，通過前面提供的方法，用戶可以從遠程通過調用數(shù)據(jù)庫來了解整個BA系統(tǒng)的情況。如果他想獲得BA系統(tǒng)的實時狀況和實時控制BA系統(tǒng)可以直接通過相應的CGI程序監(jiān)控BA系統(tǒng)。

通過這樣的結構，授權的用戶可以在遠程獲得建筑設備每一個部件的相關數(shù)據(jù)，除了數(shù)據(jù)監(jiān)測和報警功能之外，還有比如數(shù)據(jù)記錄趨向預測、基本維護等功能?，F(xiàn)代的BAS系統(tǒng)包括數(shù)以千計的外部點，所以傳輸?shù)臄?shù)據(jù)必須經過優(yōu)化僅僅是關鍵數(shù)據(jù)才應該在BAS和遠程使用者間傳輸。而在房地產建筑設備中，

HVAC系統(tǒng)和照明系統(tǒng)最耗能的，在開率控制系統(tǒng)的功能時，用戶的滿意程度是主要的參考因素，所以目前建筑設備的控制和足夠通風量；照明系統(tǒng)，為房客和公用區(qū)提供足夠照明；報警系統(tǒng)有，對煙、火警的探測和處理；傳送系統(tǒng)有升降機，傳送帶，運輸帶和自動門，電力供應系統(tǒng)等。

在大多數(shù)BAS系統(tǒng)中，主要是四類信號：模擬輸入、模擬輸出、數(shù)字輸出、數(shù)字輸入。對于一個具體的BAS系統(tǒng)而言，它的輸入輸出包括煙感探頭狀態(tài)，空氣混合室、中過濾器狀態(tài)，識別空調房間情況的傳感器等；二進制輸出包括回風機、送風機、VAV控制盒、照明、報警等；模擬量的輸入包括回風和室外新風的溫濕度；送風壓力，VAV控制盒的空氣流動速度，送回溫度、房間溫度、回風溫度等；模擬量輸出包括送風、回風的風速，冷水的流動速度等。所以可將需要遠程傳輸?shù)男盘柨梢苑譃槲孱愡M行傳輸狀態(tài)類、感受器類、報警器類、趨勢類和控制類。版權所有

在現(xiàn)代化的房地產建筑中智能建筑建設與網(wǎng)絡營銷的原則為：業(yè)務為導向，市場為支力，網(wǎng)絡為基礎，技術為支撐，效益為根本，服務為保障

智能建筑設備給人們帶來方便的同時，也給自己帶來了一個個不速之客——黑客、信息網(wǎng)絡及網(wǎng)絡炸彈和因之而來利用網(wǎng)絡犯罪分子，在方便自己的同時，也為那些離智能的犯罪分子帶來了一個靠近自己便捷的通道。毫無疑問在HTML語言規(guī)劃制定和Vbscript及javascript文件操作功能被現(xiàn)代建筑設備中廣泛應用的同時，房地產信息網(wǎng)絡安全不由自主地成為我們首當其沖的問題。

如前邊所述，在利用數(shù)據(jù)庫和因特網(wǎng)技術監(jiān)控的同時，房地產信息網(wǎng)絡的安全問題的措施也應運而生。

而網(wǎng)絡“營銷”需要兩個條件：一是采取傳統(tǒng)的市場營銷手段；二是在網(wǎng)上提供價格有吸引力的商品。應該說至少到目前為止，傳統(tǒng)營銷與網(wǎng)絡營銷實質上是房地產整體營銷策略的兩個有機組成部分。傳統(tǒng)營銷的對象是房地產網(wǎng)站本身和房地產企業(yè)品牌，而網(wǎng)絡營銷的對象是有關企業(yè)的大量信息，這兩部分是缺一不可的，只有整合才能使其發(fā)揮最大的功效。