安全網絡論文大全11篇

緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇安全網絡論文范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

1.1設備依賴性。

不同于過往的檔案記載，信息化的檔案資料再也不是一支筆、一份紙記錄的過程，從輸入到輸出都是經由計算機與其輔助設備實現，管理與傳輸也都依賴各種軟件與網絡資源共享，信息處理速度與質量在某些程度上依賴于計算機的性能與軟件的適應性。

1.2易控性和可變性。

信息化的檔案資料一般是以通用的文檔、圖片、視頻、音頻等形式儲存下來，這給信息共享帶來了便利，但也增加了檔案資料的易控性和可變性，對于文檔資料可以通過office工具刪除修改文字、對于圖片資料可以通過photoshop輕易地改變其原有的面貌、對于音頻和視頻資料可以通過adobeaudition和premiere工具的剪輯變成完全不同的模樣，這些都造成了檔案信息易丟失的現象。

1.3復雜性。

檔案信息量不斷增加、信息存儲形式也變得豐富多樣，不僅有前文所述的文檔、圖像、視頻、音頻等形式，不同格式之間的信息資料還可以相互轉換，如視頻與圖片、文字與圖片的轉換等等，進一步增加了檔案信息的復雜性。

2目前網絡環境下檔案信息安全管理存在的問題

2.1網絡環境下檔案信息安全問題的特性。

檔案信息化有其顯著特征，在此基礎上的檔案信息安全問題屬性也發生了較大變化。首先表現在信息共享的無邊界性，發達的網絡技術使得整個世界變成一張巨大的網，上傳的信息即使在大洋彼岸也能及時查看，一旦信息泄露，傳播的范圍廣、造成的危害難以估量。同時，在某種程度上檔案信息化系統也存在著脆弱性問題，計算機病毒可以入侵系統的眾多組成部分，而任何一部分被攻擊都可能造成整個系統的崩潰。此外，網絡安全問題還存在一定的隱蔽性，無需面對面交流，不用對話溝通，只需打開一個網頁或是鼠標輕輕點擊，信息就會在極短時間內被竊取，造成嚴重后果。

2.2網絡環境下檔案信息安全面臨的主要問題。

1）檔案信息化安全意識薄弱。很多情況下，檔案信息被竊取或損壞并不是因為入侵者手段高明，而是檔案信息管理系統自身安全漏洞過多，其本質原因是檔案信息管理安全意識不夠。受傳統檔案管理觀念的桎梏、自身技術水平的限制，很多管理人員并未將檔案信息看作極為重要的資源，對相關資料處理的隨意性大，也無法覺察到潛在的風險，日常操作管理不規范，增加了檔案安全危機發生的可能性。

2）檔案信息化安全資金投入不夠。現代信息環境復雜多變，數據量急劇增加，信息管理難度也越來越大，對各種硬件、軟件設備的要求也進一步提高，需要企業在檔案信息管理方面投入更多的人力、物力，定期檢查系統漏洞。而就目前情況而言，大部分企業在這方面投入的資源還遠遠達不到要求，檔案信息管理的安全性得不到有效保障。

3）檔案信息化安全技術問題。技術問題首先表現在互聯網自身的開放性特征中，互聯網的基石是TCP/IP協議，以效率和及時溝通性為第一追求目標，必然會導致安全性的犧牲，諸如E-mail口令與文件傳輸等操作很容易被監聽，甚至于不經意間計算機就會被遠程操控，許多服務器都存在可被入侵者獲取最高控制權的致命漏洞。此外，網絡環境資源良莠不齊，許多看似無害的程序中夾雜著計算機病毒代碼片段，隱蔽性強、傳染性強、破壞力大，給檔案信息帶來了嚴重威脅。

3網絡環境下實現檔案信息安全保障原則

3.1檔案信息安全的絕對性與相對性。

檔案信息安全管理工作的重要性是無需置疑的，是任何企業特別是握有核心技術的大型企業必須注重的問題，然而，檔案信息管理并沒有一勞永逸的方法，與傳統檔案一樣，不存在絕對的安全保障，某一時期看起來再完善的系統也會存在不易發現的漏洞，隨著科技的不斷發展，會愈來愈明顯地暴露出來。同時，檔案信息安全維護技術也沒有絕對的優劣之分，根據實際情況的需求，簡單的技術可能性價比更高。

3.2管理過程中的技術與非技術因素。

檔案信息管理工作不是單一的網絡技術維護人員工作，也不是管理人員的獨角戲，而需要技術與管理的有機結合。檔案管理人員可以不具備專業網絡技術人才的知識儲備量，但一定要具備發現安全問題的感知力與責任心，對于一些常見入侵跡象要了然于心，對于工作中出現的自身無法解決的可疑現象應及時通知更專業的技術人員查看。可根據企業實際情況建立完善的檔案安全管理機制，充分調動各部門員工的力量，以系統性、全面性的理念去組織檔案信息管理工作。

4網絡環境下檔案信息安全管理具體保障方法

4.1建立制度屏障。

完善的制度是任何工作順利進行的前提與基礎，對于復雜網絡環境下的檔案信息安全管理工作來說更是如此。在現今高度發達的信息背景下，檔案管理再不是鎖好一扇門、看好一臺計算機的簡單工作，而是眾多高新技術的集合體，因此，做好檔案信息安全管理工作首先要加強安全意識的宣傳，包括保密意識教育與信息安全基礎教育，加強檔案管理人員特別是技術操作人員的培訓工作。同時，應注重責任制度的落實，詳細規定庫房管理、檔案借閱、鑒定、銷毀等責任分配，詳細記錄檔案管理培訓與考核工作、記錄進出檔案室的人員信息，具體工作落實到人。在實際操作中，應嚴格記錄每一個操作步驟，將檔案接收、借閱、復制等過程完整、有條理地編入類目中，以便日后查閱。

4.2建立技術屏障。

網絡環境下的信息安全技術主要體現在通信安全技術和計算機安全技術兩個方面。

1）通信安全技術。通信安全技術應用于檔案資料的傳輸共享過程中，可分為加密、確認與網絡控制技術等幾大類。其中，信息加密技術是實現檔案信息安全管理的關鍵，通過各種不同的加密算法實現信息的抽象化與無序化，即使被劫持也很難辨認出原有信息，這種技術性價比高，較小的投入便可獲得較高的防護效果。檔案信息確認技術是通過限制共享范圍達到安全性要求，每一個用戶都掌握著識別檔案信息是否真實的方案，而不法接收者難以知曉方案的實際內容，從而預防信息的偽造、篡改行為。

2）計算機安全技術。從計算機安全角度入手，可采用芯片卡識別制度，每一名合法使用者的芯片卡微處理機內記錄特有編號，只有當編號在數據庫范圍內時方可通過認證，防止檔案信息經由計算機存儲器被竊的現象發生。同時，應加強計算機系統的防火墻設計，注意查找系統漏洞。

篇（2）

（1）個人信息的泄露。在網絡工程當中，對于系統硬件、軟件的相關維護工作還不夠完善，同時網絡通信當中的許多登錄系統需要借助遠程終端來完成，造成系統遠程終端和網絡用戶在用戶運用互聯網進入對應系統時存在長遠的連接點，當信息在進行傳輸時，這些連接點很容易引起黑客對用戶的入侵以及攻擊，使得用戶信息被泄露，個人信息安全得不到保障。

（2）網絡通信結構不完善。網間網的技術給網絡通信提供了技術基礎，用戶通過IP協議或TCP協議得到遠程授權，登錄相關互聯網系統，通過點與點連接的方式來進行信息的傳輸。然而，網絡結構間卻是以樹狀形式進行連接的，當用戶受到黑客入侵或攻擊時，樹狀結構為黑客竊聽用戶信息提供了便利。

（3）相關網絡維護系統不夠完善。網絡維護系統的不完善主要表現軟件系統的安全性不足，我們現在所使用的計算機終端主要是依靠主流操作系統，在長時間的使用下需下載一些補丁來對系統進行相關的維護，導致了軟件的程序被泄露。

2對于網絡通信中存在的信息安全問題的應對方案

對于上述的種種網絡通信當中存在的信息安全問題，我們應當盡快地采取有效的對策，目前主要可以從以下幾個方面入手：

（1）用戶應當保護好自己的IP地址。黑客入侵或攻擊互聯網用戶的最主要目標。在用戶進行網絡信息傳輸時，交換機是進行信息傳遞的重要環節，因此，用戶可以利用對網絡交換機安全的嚴格保護來保證信息的安全傳輸。除此之外，對所使用的路由器進行嚴格的控制與隔離等方式也可以加強用戶所使用的IP地址的安全。

（2）對信息進行加密。網絡通信中出現的信息安全問題主要包括信息的傳遞以及存儲過程當中的安全問題。在這兩個過程當中，黑客通過竊聽傳輸時的信息、盜取互聯網用戶的相關資料、對信息進行惡意的篡改、攔截傳輸過程中的信息等等多種方法來對網絡通信當中信息的安全做出威脅。互聯網用戶如果在進行信息傳遞與存儲時，能夠根據具體情況選用合理的方法來對信息進行嚴格的加密處理，那么便可以有效地防治這些信息安全問題的產生。

（3）完善身份驗證系統。身份驗證是互聯網用戶進行網絡通信的首要步驟。在進行身份驗證時一般都需要同時具備用戶名以及密碼才能完成登錄。在驗證過程當中用戶需要注意的是要盡量將用戶名、密碼分開儲存，可以適當地使用一次性密碼，同時還可以利用安全口令等方法來保證身份驗證的安全。隨著科技的快速發展，目前一些指紋驗證、視網膜驗證等先進生物檢測方法也慢慢得到了運用，這給網絡通信信息安全提供了極大的保障。

篇（3）

這方面的威脅主要和計算機網絡關口安全設置以及內部系統漏洞的修復有著直接的關系。就目前而言，我們使用的很多計算機軟件本身都是具有安全漏洞的，這些漏洞的存在會遭到黑客的攻擊。如果網絡設備本身不夠規范也會給計算機的安全造成嚴重的威脅，特別是進行內部局域網端口設置的時候，必須重視權限方面的設置，不斷的提高用戶本身的安全意識。新形式下的網絡管理安全技術分析文/劉瑛隨著科技和計算機技術的不斷發展，在我們的生活和工作中，網絡已經成為了非常重要的組成部分，但是計算機的安全問題也與之俱來。在我們進行計算機管理的時候，各種安全隱患也層出不窮。本文主要對計算機網絡管理中存在的安全問題進行分析，并根據問題的癥結找到了一些措施，希望能夠提高計算機網絡管理的安全性。摘要

1.2第三方網絡攻擊

此處的第三方網絡攻擊，一般指的是計算機病毒、木馬植入以及黑客的攻擊等等。不法分子利用木馬能夠侵入計算機系統中去，破壞計算機內部的程序，而用戶卻很難察覺到。計算機病毒的生命力非常的頑強，并且隨著計算機的進步和發展，病毒也在不斷的更新。此外，計算機病毒有著隱蔽性、傳播性以及破壞性的特征，都給計算機造成了非常大的威脅。

2計算機網絡管理以及安全技術

在人們應用計算機網絡的時候，安全問題是不得不考慮的一個重要問題，只有做好網絡安全管理，才能夠保證人們在使用計算機網絡的時候，信息是相對安全的，而做好計算機網絡安全管理，也是計算機專業人才的一個重要責任。

2.1對網絡安全保障措施進行完善，確保其是完整的

計算機網絡本身并不是獨立存在的，其是一個完整的系統，所以在采取措施進行計算機網絡安全維護的時候必須考慮到計算機系統本身的整體性，采取措施確保網絡安全保障本身是完整的，這就需要做好各個環節的安全維護工作，比如說系統內部、應用程序、網絡端口、文件管理以及內網和外網的過渡帶等一些地方，都必須采取措施保證安全防范的嚴密性，這樣才能夠更好地保證安全技術本身的整體性能。

2.2網絡管理以及通信安全方面的技術

一般情況下，網絡管理指的便是全面監控計算機內部網絡的實際使用情況，比如說對計算機上網的流量進行監控、進行故障檢測報警、管理計算機網關。在進行工作的時候，網絡管理系統會職能自動化的檢測計算機的實際網絡情況，這樣能夠更好的提高計算機網絡本身的可信度和可靠性。

2.3計算機加密方面的技術

計算機加密技術主要是對計算機的一些內部信息進行一定的維護，從而確保計算機以及網絡信息本身是安全的。就目前而言，現在的加密技術已經有了一定的進步，結構不再像以往加密技術一樣的單一，并形成了計算機加密系統，新的系統已經將保密性、完整性、真實性以及可控性結合在了一起，這對計算機信息安全起到了重要的保護作用。

2.4計算機防火墻方面的技術

防火墻技術能夠更好的防止計算機網絡訪問非法的情況，其類型也比較多，比如說過濾型防火墻、網絡地址轉換型防火墻、型防火墻、監測型防火墻。雖然這些防火墻本身的類型有一定的區別，但是都可以對網絡訪問控制進行加強，在一定程度上避免外部網絡用戶非法侵入的出現，維護了用戶的網絡使用安全。

2.5計算機網絡防病毒的相關技術

一般情況下，網絡防病毒技術指的便是利用一些專門的技術或者手段來對計算機病毒造成的系統破壞進行一定的預防。目前的計算機防病毒技術一般包含了病毒的預防以及病毒的清理兩個重要方面，計算機病毒預防是和病毒檢測技術的實際發展情況有著直接聯系的，系統應該根據最新發現的病毒及時的進行病毒庫的更新。在計算機病毒檢測結束之后，就必須根據實際的情況進行計算機病毒的清理，由此我們也能夠發現計算機病毒清理的被動性比較的明顯。

篇（4）

中圖分類號：TP393.08

文獻標識碼：A

文章編號：1672-3198(2009)13-0245-02

1　網絡攻擊和入侵的主要途徑

網絡入侵是指網絡攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權限，并通過使用這些非法的權限使網絡攻擊者能對被攻擊的主機進行非授權的操作。網絡入侵的主要途徑有：破譯口令、IP欺騙和DNS欺騙。

口令是計算機系統抵御入侵者的一種重要手段，所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機，然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號，然后再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多，如：利用目標主機的Finger功能：當用Finger命令查詢時，主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上；利用目標主機的X.500服務：有些主機沒有關閉X.500的目錄查詢服務，也給攻擊者提供了獲得信息的一條簡易途徑；從電子郵件地址中收集：有些用戶電子郵件地址常會透露其在目標主機上的帳號；查看主機是否有習慣性的帳號；有經驗的用戶都知道，很多系統會使用一些習慣性的帳號，造成帳號的泄露。

IP欺騙是指攻擊者偽造別人的IP地址，讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網絡協議的脆弱性。在TCP的三次握手過程中。入侵者假冒被入侵主機的信任主機與被入侵主機進行連接，并對被入侵主機所信任的主機發起淹沒攻擊，使被信任的主機處于癱瘓狀態。當主機正在進行遠程服務時，網絡入侵者最容易獲得目標網絡的信任關系，從而進行IP欺騙。IP欺騙是建立在對目標網絡的信任關系基礎之上的。同一網絡的計算機彼此都知道對方的地址，它們之間互相信任。由于這種信任關系，這些計算機彼此可以不進行地址的認證而執行遠程操作。

域名系統(DNS)是一種用于TCP/IP應用程序的分布式數據庫，它提供主機名字和IP地址之間的轉換信息。通常，網絡用戶通過UDP協議和DNS服務器進行通信，而服務器在特定的53端口監聽。并返回用戶所需的相關信息。DNS協議不對轉換或信息性的更新進行身份認證，這使得該協議被人以一些不同的方式加以利用。當攻擊者危害DNS服務器并明確地更改主機名―IP地址映射表時，DNS欺騙就會發生。這些改變被寫入DNS服務器上的轉換表。因而，當一個客戶機請求查詢時，用戶只能得到這個偽造的地址，該地址是一個完全處于攻擊者控制下的機器的IP地址。因為網絡上的主機都信任DNS服務器，所以一個被破壞的DNS服務器可以將客戶引導到非法的服務器。也可以欺騙服務器相信一個IP地址確實屬于一個被信任客戶。

2　計算機網絡中的安全缺陷及產生的原因

(1)網絡安全天生脆弱。

計算機網絡安全系統的脆弱性是伴隨計算機網絡一同產生的，換句話說，安全系統脆弱是計算機網絡與生俱來的致命弱點。在網絡建設中，網絡特性決定了不可能無條件、無限制的提高其安全性能。要使網絡更方便快捷，又要保證網絡安全，這是一個非常棘手的“兩難選擇”，而網絡安全只能在“兩難選擇”所允許的范圍中尋找支撐點。可以說世界上任何一個計算機網絡都不是絕對安全的。

(2)黑客攻擊后果嚴重。

近幾年，黑客猖狂肆虐，四面出擊，使交通通訊網絡中斷，軍事指揮系統失靈，電力供水系統癱瘓，銀行金融系統混亂……危及國家的政治、軍事、經濟的安全與穩定，在世界各國造成了難以估量的損失。

(3)網絡殺手集團化。

目前，網絡殺手除了一般的黑客外，還有一批具有高精尖技術的“專業殺手”，更令人擔憂的是出現了具有集團性質的“網絡”甚至政府出面組織的“網絡戰”、“黑客戰”，其規模化、專業性和破壞程度都使其他黑客望塵莫及。可以說，由政府組織的“網絡戰”、“黑客戰”是當前網絡安全的最大隱患。目前，美國正開展用無線電方式、衛星輻射式注入方式、網絡方式把病毒植入敵方計算機主機或各類傳感器、網橋中的研究以伺機破壞敵方的武器系統、指揮控制系統、通信系統等高敏感的網絡系統。另外，為達到預定目的，對出售給潛在敵手的計算機芯片進行暗中修改，在CPU中設置“芯片陷阱”，可使美國通過因特網指令讓敵方電腦停止工作，以起到“定時炸彈”的作用。

(4)破壞手段多元化。

目前，“網絡”除了制造、傳播病毒軟件、設置“郵箱炸彈”，更多的是采取借助工具軟件對網絡發動襲擊，令其癱瘓或者盜用一些大型研究機構的服務器，使用“拒絕服務”程序，如TFN和與之相近的程序等，指揮它們向目標網站傳輸遠遠超出其帶寬容量的垃圾數據，從而使其運行中斷。多名黑客甚至可以借助同樣的軟件在不同的地點“集中火力”對一個或者多個網絡發起攻擊。而且，黑客們還可以把這些軟件神不知鬼不覺地通過互聯網安裝到別人的電腦上，然后，在電腦主人根本不知道的情況下“借刀殺人”。

3　安全防范措施

(1)提高思想認識。

近年來，中國的網絡發展非常迅速，同時，中國的網絡安全也越來越引起人們的關注，國家權威部門曾對國內網站的安全系統進行測試，發現不少單位的計算機系統都存在安全漏洞，有些單位還非常嚴重，隨時可能被黑客入侵。當前，世界各國對信息戰十分重視，假如我們的網絡安全無法保證，這勢必影響到國家政治、經濟的安全。因此，從思想上提高對計算機網絡安全重要性的認識，是我們當前的首要任務。

(2)加強管理制度。

任何網站都不是絕對安全的，值得一提的是，當前一些單位在急忙趕搭“網絡快車”時，只管好用，不管安全，這種短視必然帶來嚴重的惡果，與“網絡”的較量是一場“看不見硝煙的戰爭”，是高科技的較量，是“硬碰硬”的較量。根據這一情況，當前工作的重點，一是要狠抓日常管理制度的落實，要把安全管理制度落實到第一個環節中；二是要加強計算機從業人員的行業歸口管理，對這些人員要強化安全教育和法制教育，建立人員管理檔案并進行定期的檢查和培訓；三是要建立一支反黑客的“快速反應部隊”，同時加快加緊培養高水平的網絡系統管理員，并盡快掌握那些關鍵技術和管理知識。

(3)強化防范措施。

一般來說，影響計算機網絡安全的因素很多，但目前最主要的因素是接受電子郵件和下載軟件兩種。下面就這兩種方式談談基本的防范措施：切實保護電子郵件的安全：做好郵件帳戶的選擇。現在互聯網上提供的E-MAIL帳戶

主要都是免費帳戶，這些免費的服務不提供任何有效的安全保障而且有的免費郵件服務器常常會導致郵件受損。所以，單位用戶應該選擇收費郵件帳戶。做好郵件帳戶的安全防范。一定要保護好郵箱的密碼。在WEB方式中，不要使用IB的自動完成功能，不要使用保存密碼功能以圖省事，入網帳號與口令應該是需要保護的重中之重，密碼要取得有技巧、有難度，密碼最好能有8位數，且數字字母相間，中間還代“*”號之類的允許怪符號。

防止郵件炸彈。下面介紹幾種對付電子郵件炸彈(E-MAIL BOMB)的方法：

①過濾電子郵件。凡可疑的E-MAIL盡量不要開啟：如果懷疑信箱有炸彈，可以用郵件程序的遠程郵箱管理功能來過濾信件，如國產的郵件程序Foxmail。在進行郵箱的遠程管理時，仔細檢查郵件頭信息，如果發現有來歷可疑的信件或符合郵件炸彈特征的信件，可以直接把它從郵件服務器上刪除。

②使用殺毒軟件。一是郵件有附件的話，不管是誰發過來的，也不管其內容是什么(即使是文檔，也往往能成為病毒的潛伏場所，像著名的Melissa)，都不要立即執行，而是先存盤，然后用殺毒軟件檢查一番，以確保安全。二是注意目前網上有一些別有用心的人以網站的名義，讓你接受他們通過郵件附件推給你的軟件，并以種種借口要求你立即執行。對此，凡是發過來的任何程序、甚至文檔都應用殺毒軟件檢查一番。

③使用轉信功能。用戶一般都有幾個E-mail地址。最好申請一個容量較大的郵箱作為收信信箱，如777信箱(mail.省略)速度也很快。對于其它各種信箱，最好支持轉信功能的，并設置轉信到大信箱。所有其它郵件地址的信件都會自動轉寄到大信箱內，可以很好地起到保護信箱的作用。

④申請郵件數字簽證。現在國內的首都在線(省略)提供了郵件數字簽證的服務。數字簽證不但能夠保護郵件的信息安全，而且通過它可以確認信件的發送者。最后要注意對本地的已收發郵件進行相應的刪除處理。切實保障下載軟件的安全。對于網絡軟件，需要指出的是，我們對下載軟件和接受的E-MAIL決不可大意。在下載軟件時應該注意：下載軟件應盡量選擇客流大的專業站點。大型的專業站點，資金雄厚，技術成熟，水平較高，信譽較佳，大都有專人維護，安全性能好，提供的軟件問題較少。

篇（5）

2）局域網的管理。局域網管理是影響局域網功能能否充分發揮的重要因素。依據對象的不同可將管理內容分為人的管理與局域網的管理，其中對人的管理主要體現在：要求局域網使用人員嚴格按照制定的規章制度使用局域網，要求其不人為破壞局域網的軟、硬件，以及其他重要設施。而對局域網的管理則包括局域網結構的選擇、局域網功能的擴展以及局域網所處環境的優化等內容，一方面根據局域網的規劃功能選擇合理的局域網拓撲結構。另一方面擴展局域網功能時應綜合考慮經濟投入，實現目標等內容，要求在實現局域網相關功能的基礎上最大限度的降低經濟投入。另外，優化局域網環境時應重點考慮人員配備與局域網性能的匹配，以確保局域網資源的充分利用。

2局域網網絡安全研究

局域網網絡安全是業內人士討論的經典話題，而且隨著互聯網攻擊的日益頻繁，以及病毒種類的不斷增加與衍生，使人們不得不對局域網安全問題進行重新審視。采取何種防范手段確保局域網安全仍是人們關注的重點。那么為確保局域網網絡安全究竟該采取何種措施呢？接下來從物理安全與訪問控制兩方面進行探討。

1）物理安全策略。物理安全策略側重在局域網硬件以及使用人員方面對局域網進行保護。首先，采取針對性措施，加強對局域網中服務器、通信鏈路的保護，尤其避免人為因素帶來的破壞。例如，保護服務器時可設置使用權限，避免無權限的人員使用服務器，導致服務器信息泄露；其次，加強局域網使用人員的管理。通過制定完善的工作制度，避免外來人員使用局域網，尤其禁止使用局域網時隨意安裝相關軟件，拆卸局域網硬件設備；最后，提高工作人員局域網安全防范意識。通過專業培訓普及局域網安全技術知識，使局域網使用者掌握有效的安全防范技巧與方法，從內部入手做好局域網安全防范工作。

2）加強訪問控制。訪問控制是防止局域網被惡意攻擊、病毒傳染的有效手段，因此，為進一步提高局域網安全性，應加強訪問控制。具體應從以下幾方面入手實現訪問控制。首先，做好入網訪問控制工作。當用戶試圖登錄服務器訪問相關資源時，應加強用戶名、密碼的檢查，有效避免非法人員訪問服務器；其次，給用戶設置不同的訪問權限。當用戶登錄到服務器后，為防止無關人員獲取服務器重要信息，應給予設置對應的權限，即只允許用戶在權限范圍內進行相關操作，訪問相關子目錄、文件夾中的文件等，避免其給局域網帶來安全威脅；再次，加強局域網的監測。網絡管理員應密切監視用戶行為，詳細記錄其所訪問的資源，一旦發現用戶有不法行為應對其進行鎖定，限制其訪問；最后，從硬件方面入手提高網絡的安全性。例如，可根據保護信息的重要程度，分別設置數據庫防火墻、應用層防火墻以及網絡層防火墻。其中數據庫防火墻可對訪問進行控制，一旦發現給數據庫構成威脅的行為可及時阻斷。同時，其還具備審計用戶行為的功能，判斷中哪些行為可能給數據庫信息構成破壞等。應用層防火墻可實現某程序所有程序包的攔截，可有效防止木馬、蠕蟲等病毒的侵入。網絡層防火墻工作在底層TCP/IP協議堆棧上，依據制定的規則對訪問行為進行是否允許訪問的判斷。而訪問規則由管理員結合實際進行設定。

3）加強安全管理。網絡病毒由來已久而且具有較大破壞性，因此，為避免其給網絡造成破壞，管理員應加強管理做好病毒防范工作。一方面要求用戶拒絕接受可疑郵件，不擅自下載、安裝可疑軟件。另一方面，在使用U盤、軟盤時應先進行病毒查殺。另外，安裝專門的殺毒軟件，如卡巴斯基、360殺毒等并及時更新病毒庫，定期對系統進行掃描，以及時發現病毒將其殺滅。另外，安裝入侵檢測系統。該系統可即時監視網絡傳輸情況，一旦發現可疑文件傳輸時就會發出警報或直接采用相關措施，保護網絡安全。依據方法可將其分為誤用入侵檢測與異常入侵檢測，其中異常檢測又被細分為多種檢測方法，以實現入侵行為檢測，而誤用入侵檢測包括基于狀態轉移分析的檢測法、專家系統法以及模式匹配法等。其中模式匹配法指將收集的信息與存在于數據路中的網絡入侵信息進行對比，以及時發現入侵行為。

篇（6）

（二）網絡安全具有一些鮮明的特征，其不同于其他技術，計算機網絡是一個虛擬的世界，其特征也是具有多樣性的特點。

1.保密性：計算機網絡技術應將信息嚴格保密，未經許可不能向非授權用戶及實體進行泄露，也絕對不允許非授權用戶使用。

2.完整性：當在網絡上進行存儲時要具有存儲過程中未經授權不能改變和破壞丟失數據的特點。

3.可用性：指的是可以在授權實體的要求下進行使用的特點，通俗的說也就是能夠隨時存取所需要的信息。網絡環境下破壞服務、拒絕服務的系統正常運行就屬于針對可用性這一特性的攻擊。

4.可控性：可以針對信息的傳播進行有效的控制。

5.可審查性：針對安全問題的發生提供有力的手段和依據。

二、購物網站安全現狀分析

當前的購物網站安全問題是商業網站發展中的突出問題，隨著網絡技術的普及和互聯網技術的迅速發展，購物網站的規模和復雜性也越來越大，其存在的安全漏洞也越來越多。而且目前的網絡攻擊現象也不斷增多，針對購物網站的漏洞進行惡意攻擊的現象不斷發生，也構成了購物網站的多種不安全因素。當前的網絡攻擊行為多種方法混合使用，復雜情況越來越多，隱蔽性也非常強，針對其的防范也越來越困難。黑客攻擊購物網站是為了獲取實際的經濟利益，木馬程序、惡意網站等危害網絡安全的手段越來越多，日趨泛濫；而且隨著人們手中的互聯網設備發展越來越迅速，手機等無線掌上終端的處理能力和功能通用性不斷提高，針對這些個人無線終端的網絡攻擊也開始出現，而且呈發展趨勢。當前的購物網站通常采用資金通過第三方支付或者網上銀行支付的方式來進行支付，這雖然增強了網上購物的支付快捷性，但是其交易的安全性還存在一定的風險。這一類的支付形式，通常很難保障消費者網上消費的安全，一旦在數據的傳輸過程遭到攻擊，消費者的銀行信息資料可能被黑客盜取，并為此遭受經濟或者隱私損失。隨著互聯網技術的發展，還有許多惡意程序攻擊用戶計算機來達到一些不法分子別用用心的目的，可能有計算機用戶在進行網上消費時落入惡意程序的陷阱，從而使得黑客通過用戶的網上銀行進入銀行數據庫盜取用戶信息，給用戶造成經濟損失。所以，網絡安全問題是一個高技術含量的復雜問題，而且越來越變得錯綜復雜，其造成的惡劣影響也是不斷擴大，短期內無法取得成效。因此在網絡安全日益嚴重的今天，必須重視對網絡安全的防范，只有做到防范到位，才能保障網絡應用的順利進行。購物網站根據網絡安全的防范要求，通常采取一些措施加以防范，保障用戶網絡安全，主要有以下幾點：第一，身份真實性的識別：保障通信實體具有真實的身份；第二，信息機密性：保證機密信息不會泄露給非授權實體；第三，信息的完整性：保證數據的完整性，防止非授權用戶對信息的破壞和使用；第四：服務可用性：防止合法用戶使用信息被非法拒絕；第五：不可否認性：有效地責任機制可以防止實體否認其行為；第六：系統可控性：可以控制使用資源的實體的使用方式；第七：系統易用性：安全要求滿足的情況下，系統的操作要盡量簡單；第八：可審查性：可以為出問題的網絡安全問題提供調查依據和手段。

三、保障網絡工作順暢的措施

當前階段，網絡工作要保障順暢，要采取以下措施加以保障：

（一）針對網絡病毒進行有效防范

網絡病毒是一種危害網絡安全的主要方式，其具有傳播快，擴散面廣、傳播載體多樣的特點，對于網絡病毒的清除也非常困難，其遺留的破壞力也相對較大。而且網絡病毒可以郵件附件、服務器、文件共享及郵件等方式進行傳播。針對網絡病毒要注意幾點進行防范，對于不明附件和文件擴展名不打開，不盲目運行程序也不盲目轉發不明郵件，在進行系統漏洞及其他操作時從正規的網站下載軟件，經常進行病毒的查殺，盡可能使用最新版本的殺毒軟件定期進行病毒查殺。

（二）積極采用入侵檢測系統

入侵檢測技術是一項有效防范網絡攻擊的手段。其通過對各種網絡資源和系統資源信息的采集，并對信息進行有效地判斷和分析，來檢測其是否具有攻擊性和異常行為，通過入侵檢測系統的檢測可以有效地將有害信息進行剔除，防止其進入網絡系統形成實際破壞和網絡隱私泄露情況發生。而且，入侵檢測系統還可以及時的將用戶信息及系統行為進行分析，針對系統漏洞進行檢測，及時將有害信息和攻擊行為及時通報和響應。

（三）進行防火墻的配置

防火墻是計算機網絡安全技術的重要方面。通過防火墻的設置，可以根據計算機系統的要求針對信息進行篩選，允許和限制數據傳輸的通過。防火墻是一項有效的保護措施。侵入計算機的黑客必須要先通過防火墻的安全警戒，才能到達計算機系統內部。防火墻還可以分成多個級別，形成多重保護。高級別的保護可以根據用戶自身要求來對信息進行針對性的保護，這樣可以有效保護用戶的個人隱私信息。

篇（7）

當今許多的企業都廣泛的使用信息技術，特別是網絡技術的應用越來越多，而寬帶接入已經成為企業內部計算機網絡接入國際互聯網的主要方式。而與此同時，因為計算機網絡特有的開放性，企業的網絡安全問題也隨之而來，由于安全問題給企業造成了相當大的損失。因此，預防和檢測網絡設計的安全問題和來自國際互聯網的黑客攻擊以及病毒入侵成為網絡管理員一個重要課題。

一、網絡安全問題

在實際應用過程中，遇到了不少網絡安全方面的問題。網絡安全是一個十分復雜的問題，它的劃分大體上可以分為內網和外網。如下表所示：

由上表可以看出，外部網的安全問題主要集中在入侵方面，主要的體現在：未授權的訪問，破壞數據的完整性，拒絕服務攻擊和利用網絡、網頁瀏覽和電子郵件夾帶傳播病毒。但是網絡安全不僅要防范外部網，同時更防范內部網。因為內部網安全措施對網絡安全的意義更大。據調查，在已知的網絡安全事件中,約70%的攻擊是來自內部網。內部網的安全問題主要體現在：物理層的安全，資源共享的訪問控制策略，網內病毒侵害，合法用戶非授權訪問，假冒合法用戶非法授權訪問和數據災難性破壞。

二、安全管理措施

綜合以上對于網絡安全問題的初步認識，有線中心采取如下的措施：

（一）針對與外網的一些安全問題

對于外網造成的安全問題，使用防火墻技術來實現二者的隔離和訪問控制。

防火墻是實現網絡安全最基本、最經濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制（允許、禁止、報警）。

防火墻可以監視、控制和更改在內部和外部網絡之間流動的網絡通信；用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，從而保護內部網絡操作環境。所以，安裝防火墻對于網絡安全來說具有很多優點：（1）集中的網絡安全；（2）可作為中心“扼制點”；（3）產生安全報警；（4）監視并記錄Internet的使用；（5）NAT的位置；（6）WWW和FTP服務器的理想位置。

但防火墻不可能完全防止有些新的攻擊或那些不經過防火墻的其它攻擊。為此，中心選用了RealSecureSystemAgent和NetworkEngine。其中，RealSecureSystemAgent是一種基于主機的實時入侵檢測產品，一旦發現對主機的入侵，RealSecure可以中斷用戶進程和掛起用戶賬號來阻止進一步入侵，同時它還會發出警報、記錄事件等以及執行用戶自定義動作。RealSecureSystemAgent還具有偽裝功能，可以將服務器不開放的端口進行偽裝，進一步迷惑可能的入侵者，提高系統的防護時間。Re?鄄alSecureNetworkEngin是基于網絡的實時入侵檢測產品，在網絡中分析可疑的數據而不會影響數據在網絡上的傳輸。網絡入侵檢測RealSecureNetworkEngine在檢測到網絡入侵后，除了可以及時切斷攻擊行為之外，還可以動態地調整防火墻的防護策略，使得防火墻成為一個動態的、智能的防護體系。

通過部署入侵檢測系統，我們實現了以下功能：

對于WWW服務器，配置主頁的自動恢復功能，即如果WWW服務器被攻破、主頁被纂改，系統能夠自動識別并把它恢復至事先設定的頁面。

入侵檢測系統與防火墻進行“互動”，即當入侵檢測系統檢測到網絡攻擊后，通知防火墻，由防火墻對攻擊進行阻斷。

（二）針對網絡物理層的穩定

網絡物理層的穩定主要包括設備的電源保護，抗電磁干擾和防雷擊。

本中心采用二路供電的措施，并且在配電箱后面接上穩壓器和不間斷電源。所有的網絡設備都放在機箱中，所有的機箱都必須有接地的設計，在機房安裝的時候必須按照接地的規定做工程；對于供電設備，也必須做好接地的工作。這樣就可以防止靜電對設備的破壞，保證了網內硬件的安全。

（三）針對病毒感染的問題

病毒程序可以通過電子郵件、使用盜版光盤等傳播途徑潛入內部網。網絡中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時間內迅速擴散，傳播到網絡上的所有主機，可能造成信息泄漏、文件丟失、機器死機等不安全因素。防病毒解決方案體系結構中用于降低或消除惡意代碼；廣告軟件和間諜軟件帶來的風險的相關技術。中心使用企業網絡版殺毒軟件，（例如：SymantecAntivirus等）并控制寫入服務器的客戶端，網管可以隨時升級并殺毒，保證寫入數據的安全性，服務器的安全性，以及在客戶端安裝由奇虎安全衛士之類來防止廣告軟件和間諜軟件。

（四）針對應用系統的安全

應用系統的安全主要面對的是服務器的安全，對于服務器來說，安全的配置是首要的。對于本中心來說主要需要2個方面的配置：服務器的操作系統（Windows2003）的安

全配置和數據庫（SQLServer2000）的安全配置。1．操作系統（Windows2003）的安全配置

（1）系統升級、打操作系統補丁，尤其是IIS6.0補丁。

（2）禁止默認共享。

（3）打開管理工具-本地安全策略，在本地策略-安全選項中，開啟不顯示上次的登錄用戶名。

（4）禁用TCP/IP上的NetBIOS。

（5）停掉Guest帳號，并給guest加一個異常復雜的密碼。

（6）關閉不必要的端口。

（7）啟用WIN2003的自身帶的網絡防火墻，并進行端口的改變。

（8）打開審核策略，這個也非常重要，必須開啟。

2．數據庫（SQLServer2000）的安全配置

（1）安裝完SQLServer2000數據庫上微軟網站打最新的SP4補丁。

（2）使用安全的密碼策略

。設置復雜的sa密碼。

（3）在IPSec過濾拒絕掉1434端口的UDP通訊，可以盡可能地隱藏你的SQLServer。

（4）使用操作系統自己的IPSec可以實現IP數據包的安全性。

（五）管理員的工具

除了以上的一些安全措施以外，作為網絡管理員還要準備一些針對網絡監控的管理工具，通過這些工具來加強對網絡安全的管理。

Ping、Ipconfig/winipcfg、Netstat：

Ping，TCP/IP協議的探測工具。

Ipconfig/winipcfg，查看和修改網絡中的TCP/IP協議的有關配置，

Netstat，利用該工具可以顯示有關統計信息和當前TCP/IP網絡連接的情況，用戶或網絡管理人員可以得到非常詳盡的統計結果。

SolarWindsEngineer''''sEditionToolset

另外本中心還采用SolarWindsEngineer''''sEditionToolset。它的用途十分廣泛，涵蓋了從簡單、變化的ping監控器及子網計算器（Subnetcalculators）到更為復雜的性能監控器何地址管理功能。”

SolarWindsEngineer''''sEditionToolset的介紹：

SolarWindsEngineer’sEdition是一套非常全面的網絡工具庫，包括了網絡恢復、錯誤監控、性能監控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外，Engineer’sEdition還增加了新的SwitchPortMapper工具，它可以在您的switch上自動執行Layer2和Layer3恢復。工程師版包含了SolarwindsMIB瀏覽器和網絡性能監控器（NetworkPerformanceMonitor），以及其他附加網絡管理工具。

SnifferPro能夠了解本機網絡的使用情況，它使用流量顯示和圖表繪制功能在眾多網管軟件中最為強大最為靈活；它能在于混雜模式下的監聽，也就是說它可以監聽到來自于其他計算機發往另外計算機的數據，當然很多混雜模式下的監聽是以一定的設置為基礎的，只有了解了對本機流量的監聽設置才能夠進行高級混雜模式監聽。

除了上面說的五個措施以外，還有不少其他的措施加強了安全問題的管理：

制訂相應的機房管理制度；

制訂相應的軟件管理制度；

制訂嚴格的操作管理規程；

篇（8）

一、無線網絡安全問題的表現

1.1插入攻擊插入攻擊以部署非授權的設備或創建新的無線網絡為基礎，這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置，要求客戶端接入時輸入口令。如果沒有口令，入侵者就可以通過啟用一個無線客戶端與接入點通信，從而連接到內部網絡。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。

1.2漫游攻擊者攻擊者沒有必要在物理上位于企業建筑物內部，他們可以使用網絡掃描器，如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網絡，這種活動稱為“wardriving”；走在大街上或通過企業網站執行同樣的任務，這稱為“warwalking”。

1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網絡所有者的許可或知曉的情況下，就設置或存在的接入點。一些雇員有時安裝欺詐性接入點，其目的是為了避開已安裝的安全手段，創建隱蔽的無線網絡。這種秘密網絡雖然基本上無害，但它卻可以構造出一個無保護措施的網絡，并進而充當了入侵者進入企業網絡的開放門戶。

1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”，雙面惡魔其實就是一個以鄰近的網絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點，然后竊取個別網絡的數據或攻擊計算機。

1.5竊取網絡資源有些用戶喜歡從鄰近的無線網絡訪問互聯網，即使他們沒有什么惡意企圖，但仍會占用大量的網絡帶寬，嚴重影響網絡性能。而更多的不速之客會利用這種連接從公司范圍內發送郵件，或下載盜版內容，這會產生一些法律問題。

1.6對無線通信的劫持和監視正如在有線網絡中一樣，劫持和監視通過無線網絡的網絡通信是完全可能的。它包括兩種情況，一是無線數據包分析，即熟練的攻擊者用類似于有線網絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分，而其數據一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶，并劫持用戶會話和執行一些非授權的命令等。第二種情況是廣播包監視，這種監視依賴于集線器，所以很少見。

二、保障無線網絡安全的技術方法

2.1隱藏SSIDSSID，即ServiceSetIdentifier的簡稱，讓無線客戶端對不同無線網絡的識別，類似我們的手機識別不同的移動運營商的機制。參數在設備缺省設定中是被AP無線接入點廣播出去的，客戶端只有收到這個參數或者手動設定與AP相同的SSID才能連接到無線網絡。而我們如果把這個廣播禁止，一般的漫游用戶在無法找到SSID的情況下是無法連接到網絡的。需要注意的是，如果黑客利用其他手段獲取相應參數，仍可接入目標網絡，因此，隱藏SSID適用于一般SOHO環境當作簡單口令安全方式。

2.2MAC地址過濾顧名思義，這種方式就是通過對AP的設定，將指定的無線網卡的物理地址（MAC地址）輸入到AP中。而AP對收到的每個數據包都會做出判斷，只有符合設定標準的才能被轉發，否則將會被丟棄。這種方式比較麻煩，而且不能支持大量的移動客戶端。另外，如果黑客盜取合法的MAC地址信息，仍可以通過各種方法適用假冒的MAC地址登陸網絡，一般SOHO，小型企業工作室可以采用該安全手段。

2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱，所有經過WIFI認證的設備都支持該安全協定。采用64位或128位加密密鑰的RC4加密算法，保證傳輸數據不會以明文方式被截獲。該方法需要在每套移動設備和AP上配置密碼，部署比較麻煩；使用靜態非交換式密鑰，安全性也受到了業界的質疑，但是它仍然可以阻擋一般的數據截獲攻擊，一般用于SOHO、中小型企業的安全加密。

2.4AP隔離類似于有線網絡的VLAN，將所有的無線客戶端設備完全隔離，使之只能訪問AP連接的固定網絡。該方法用于對酒店和機場等公共熱點HotSpot的架設，讓接入的無線客戶端保持隔離，提供安全的Internet接入。

2.5802.1x協議802.1x協議由IEEE定義，用于以太網和無線局域網中的端口訪問與控制。802.1x引入了PPP協議定義的擴展認證協議EAP。作為擴展認證協議，EAP可以采用MD5，一次性口令，智能卡，公共密鑰等等更多的認證機制，從而提供更高級別的安全。

2.6WPAWPA即Wi-Fiprotectedaccess的簡稱，下一代無線規格802.11i之前的過渡方案，也是該標準內的一小部分。WPA率先使用802.11i中的加密技術-TKIP（TemporalKeyIntegrityProtocol），這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協議，而且TKIP加密仍不能滿足高端企業和政府的加密需求，該方法多用于企業無線網絡部署。

2.7WPA2WPA2與WPA后向兼容，支持更高級的AES加密，能夠更好地解決無線網絡的安全問題。由于部分AP和大多數移動客戶端不支持此協議，盡管微軟已經提供最新的WPA2補丁，但是仍需要對客戶端逐一部署。該方法適用于企業、政府及SOHO用戶。

篇（9）

1.1醫院網絡內部管理

(1)建立網絡安全管理規章制度加強醫院網絡安全管理的重要措施之一就是建立健全網絡安全管理規章制度，提高醫院全員認識到醫院網絡安全管理重要性，設立以院領導為核心的信息安全領導小組，明確領導小組相應責任并落實信息管理人員責任，加大投入資金，對網絡安全管理軟硬件設備進行更新升級，對網絡安全管理專業隊伍需要加強建設，信息網絡人員必須要有責任心及熟練的網絡應用技術，同時要堅持管理創新及技術創新，根據本院信息網絡的運行情況，制定應對網絡危機的預案。(2)網絡安全教育網絡安全工作的主體是人，醫院的各級領導、組織和部門工作人員從思想和行動上都要重視醫院信息系統網絡安全，提高全員安全意識，樹立安全人人有責，由于醫院的內部網絡涉及臨床科室、醫技科室、職能科室等部門，計算機操作水平參差不齊，因此，必須定期培訓計算機網絡客戶端的使用人員，使他們具有一些計算機方面的專業知識，盡量減輕醫院計算機網絡信息系統管理人員的工作壓力，當其客戶端出現問題之后能得到及時的解決，減少人為的差錯及故障發生。(3)網絡設備管理網絡設備是整個信息網絡安全的基礎，整個網絡中的關鍵設備包括服務器、數據儲存、中心交換機、二級交換機、光纜等，因此這些設備的性能直接影響到整個信息系統的安全運行，從可靠性、穩定及容易升級等方面對網絡設備進行選擇，對重要設備最好采用雙機熱備份的方式實現系統集群，還要配備兩套UPS電源，避免突然斷電造成服務器數據流失，提高系統可用性，服務器以主從或互備方式工作，當一旦某臺設備發生故障，另外一臺設備可以立即自動接管，變成工作主機，將系統中斷影響降到最低；此外，使用物理隔離設備將外部互聯網和內部信息系統進行隔離，確保重要數據不外泄。(4)實時監控用戶上網行為應用主機安全監控系統，實現對用戶上網行為的實時監控，從而讓網管及時了解和控制局域網用戶的的上網行為，在加強安全防護的同時也可以提高工作效率。主機安全監控系統可以對內部人員上網行為日志、客戶端訪問行為、終端行為日志、醫院IT開發運維人員訪問行為等信息進行監控、記錄、審計能力，結合日志數據挖掘技術和關聯分析功能，實現對非法行為的實時告警，輸出符合醫院紀委監察部門要求的完整的事件報告，既能夠及時發現并阻斷非法行為，也可以監控某些人員利用其特權對敏感數據進行非法復制。(5)數據備份為了防止信息系統中的數據丟失，可以采用雙機備份方式。兩臺服務器采用相同的配置，安裝相同的系統和數據庫系統，實時將主服務器上數據庫備份到備用服務器上，當主服務器無法正常工作時，啟用備用服務器項替工作，同時信息系統管理部門可以采用一些有關的備份軟件對其醫院計算機網絡信息系統的數據進行及時的監測，當這些數據出現安全方面的問題時，及時對其數據進行備份；此外，也可采用實時備份數據庫，采用數據鏡像增量備份方式。(6)定期進行安全分析，對新發現的安全隱患進行整改運用技術手段定期進行安全分析，及時發現安全隱患并快速清除是完善醫院網絡安全管理的重要措施。定期進行安全分析是研究信息系統是否存在的漏洞缺陷，是否存在風險與威脅，針對發現的安全隱患，制定出相應的控制策略，主要是從軟件設置、物理環境、電源配送、權限分配、網絡管理、防火、防水、防盜、服務器交換機管理、溫度濕度粉塵、人員培訓及安全教育等各方面進行分析，尋找出當前的安全隱患，針對這些隱患提出有針對性的解決方案。

1.2防止外來入侵

(1)中心機房管理作為醫院信息系統的“神經中樞”及數據存儲中心的機房安全是整個信息系統安全的前提，中心機房的安全應注意機房用電安全技術、防火、計算機設備及場地的防雷和計算機機房的場地環境的要求等問題，為了避免人為或自然破壞設備，應盡可能保證各通信設備及相關設施的物理安全，使系統和設備處于良好的工作環境，對于信息網絡的可靠性，可以通過冗余技術實現，包括設備冗余、處理器冗余、鏈路冗余、模塊冗余、電源冗余等技術來實現。(2)計算機病毒防護杜絕病毒傳染源是防范病毒最有效的辦法，除特殊科室需要外，將所有網絡工作站的外部輸入設備(如光驅、軟驅等)撤除，所有內網的計算機不準接U盤，在服務器及每個工作站點采用多層的病毒防衛體系，此外，還可以使用桌面管理軟件來自動從系統廠商下載補丁，自動檢查客戶端需要安裝的補丁、已經安裝的補丁和未安裝的補丁，以及限制或禁止移動存儲介質的接入，減少病毒傳播的途徑，從而減少醫院網絡受到病毒的威脅。(3)防止黑客入侵防止黑客入侵是醫院網絡安全工作的重點，可以采用防火墻技術、身份認證與授權技術等技術防止黑客入侵。其中，防火墻技術是在醫院內部網和醫院外部網之間的界面上構造一個保護層，對出入醫院網絡的訪問和服務進行審計和控制；在防火墻基礎上，建立黑客入侵檢測系統，對黑客入侵、非法登錄、DDOS攻擊、病毒感染與傳播、非法外連等進行監控，對網絡設備、網絡通訊通道等進行監控，詳細掌控各類網絡設備的運行狀態，實時監督分析通道質量狀況，對各類終端用戶的補丁安裝、軟件安裝、外接設備(U盤)等操作進行實時監控管理，發現有違規行為及時報警，也可以自動啟動阻止機制來控制非法行為；在醫院信息系統中，采用數字簽名技術實現系統信息內容安全性，完整性和不可抵賴性等方面的要求，特別是通過采用安全審計或時間戳等技術手段解決傳統紙質病歷無法解決的信息可靠性問題，此外，還采用信息加密技術可以有效的保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。

篇（10）

1.2目前醫院計算機和網絡的隱患正因為它的不可或缺，所以計算機網絡的良性安全運行更加重要。在新形勢下，醫院計算機及網絡確實在操作和運行上存在著巨大的隱患，一旦出現問題，輕則計算機系統崩潰，重則影響到醫院的正常運行。

（1）硬件損壞。主要是不能及時維修、清洗計算機，或是維護計算機的時候方法不得當，導致計算機硬件造成損害。

（2）系統不及時升級。系統不能及時升級可以造成系統的運行不暢或資料無法編輯，醫院有很多重要數據就是因為系統存在的瑕疵而癱瘓。

（3）計算機病毒。自從計算機網絡誕生那一天起，計算機病毒就伺機侵害電腦系統，監控不力或是惡意入侵，都會造成病毒透過計算機漏洞侵入。它會造成電腦屏幕異常，網絡傳遞缺失，死機，整個系統崩潰等惡劣后果。

（4）信息泄密。醫院自身具有隱私性的，病人的資料和信息是保密的，而有關專業領域的知識也是的。當計算機遭到外網侵入，自然會造成信息的泄密，從而導致醫院的損失和信用度下降。因此，安全管理網絡變得愈發重要。

（5）人為維護意思淡薄。主要是醫院工作人員的責任心和安全意識缺乏，對計算機的硬件和軟件隨意進行破壞。

二、醫院計算機的維護手段醫療領域的信息的存儲、運行和交互都需要計算機，那么在發現如此多的隱患時，關于計算機的維護就變得尤為重要。

（1）計算機的保養。任何物品要想延長使用壽命都要小心呵護，計算機也不例外，對于計算機的保養，應當及時擦拭，用專用的刷子沁入清潔劑進行硬件的維護。經常對屏幕進行保養，還有就是室內的線路、環境及時整理和清潔，保證計算機處于一個穩定舒適的狀態下。

（2）軟件的防護。主要是應對計算機上的系統、程序和數據進行定期的維護和升級，對于重要數據應當妥善處理并且加以備份，保證它們不會被遺忘和丟失。

（3）計算機知識的普及。既然是信息化的醫院，那么工作人員對于電腦知識的學習是必要的。應該號召全醫院進行計算機的學習，從人為角度維護計算機的性能、工作和安全。

三、安全管理計算機網絡如果沒有網絡，計算機只是一臺笨拙的大型筆記本，網絡決定著醫院信息和數據的交互和探討，所以如何管理網絡是決定整個醫院正常運行的關鍵所在。

3.1加強網絡安全網絡安全與否體現著醫院價值。一旦網絡遭到入侵或是變更，那么醫院的價值會受到貶損，權威性和安全性都會下降。網絡安全的加強，需要的是高監控的管理和數據加密，高監控主要是網絡防火墻的使用和病毒查殺軟件的安裝，首先得保證這些軟件本身的安全性，能抵御外網的入侵和黑客的攻擊；而數據加密則是通過對計算機網絡的數據和有關信息重新編輯，利用信息隱藏功能讓非法用戶獲取不到醫院信息的內容，這一技術可以有效地防止醫院機密數據的泄露，保障醫院網絡的安全運行。

3.2網絡制度和規章的建立應該規定醫院系統的網絡登錄必須設置登錄賬號，配合身份權限才能登陸，避免非法分子竊取相關信息，避免外部端口的接入防止不良信息侵害系統內部，影響網絡安全。科學合理的落實各項制度和規章建設，并且應當做好防控和布控工作，避免網絡出現非常情況下的失聯或是混亂。醫院有醫療規章，更需要有計算機網絡安全防護規章，從制度加強網絡安全就是從根本上消除醫院網絡的潛在危險性。

3.3計算機維護小組和專業技術人員的設立在加強整個醫院的計算機及網絡安全維護意識的同時，更應該聘請專家團隊，組成計算機維護中心，讓有這方面專長的人員隨時為計算機網絡出現的問題作出檢測和解決方案，同時可以負責日常的計算機保養和維護。例如：可以讓專業技術人員加強相關網絡設備使用人員的安全防范意識，并教他們正確的使用方法，通過技術維護和管理防范的結合對整個醫院計算機網絡進行有效的維護。

篇（11）

由于計算機網絡的設計初衷是資源共享、分散控制、分組交換，這決定了互聯網具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進入各級網絡，并將破壞行為迅速地在網絡中傳播。同時，計算機網絡還有著自然社會中所不具有的隱蔽性：無法有效識別網絡用戶的真實身份；由于互聯網上信息以二進制數碼，即數字化的形式存在，所以操作者能比較容易地在數據傳播過程中改變信息內容。計算機網絡的傳輸協議及操作系統也存在設計上的缺陷和漏洞，從而導致各種被攻擊的潛在危險層出不窮，這使網絡安全問題與傳統的各種安全問題相比面臨著更加嚴峻的挑戰，黑客們也正是利用這樣的特征研發出了各種各樣的攻擊和入侵方法：

1.通過偽裝發動攻擊

利用軟件偽造IP包，把自己偽裝成被信任主機的地址，與目標主機進行會話，一旦攻擊者冒充成功，就可以在目標主機并不知曉的情況下成功實施欺騙或入侵；或者，通過偽造IP地址、路由條目、DNS解析地址，使受攻擊服務器無法辨別這些請求或無法正常響應這些請求，從而造成緩沖區阻塞或死機；或者，通過將局域網中的某臺機器IP地址設置為網關地址，導致網絡中數據包無法正常轉發而使某一網段癱瘓。

2.利用開放端口漏洞發動攻擊

利用操作系統中某些服務開放的端口發動緩沖區溢出攻擊。這主要是由于軟件中邊界條件、函數指針等方面設計不當或缺乏限制，因而造成地址空間錯誤的一種漏洞。利用軟件系統中對某種特定類型的報文或請求沒有處理，導致軟件遇到這種類型的報文時運行出現異常，從而導致軟件崩潰甚至系統崩潰。

3.通過木馬程序進行入侵或發動攻擊

木馬是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點，一旦被成功植入到目標主機中，計算機就成為黑客控制的傀儡主機，黑客成了超級用戶。木馬程序可以被用來收集系統中的重要信息，如口令、賬號、密碼等。此外，黑客可以遠程控制傀儡主機對別的主機發動攻擊，如DDoS攻擊就是大量傀儡主機接到攻擊命令后，同時向被攻擊目標發送大量的服務請求數據包。

4.嗅探器和掃描攻擊

嗅探器是利用計算機的網絡接口截獲目的地為其他計算機的數據報文的一種技術。網絡嗅探器通過被動地監聽網絡通信、分析數據來非法獲得用戶名、口令等重要信息，它對網絡安全的威脅來自其被動性和非干擾性，使得網絡嗅探具有很強的隱蔽性，往往讓網絡信息泄密變得不容易被發現。掃描，是指針對系統漏洞，對系統和網絡的遍歷搜尋行為。由于漏洞普遍存在，掃描手段往往會被惡意使用和隱蔽使用，探測他人主機的有用信息，作為實施下一步攻擊的前奏。

為了應對不斷更新的網絡攻擊手段，網絡安全技術也經歷了從被動防護到主動檢測的發展過程。主要的網絡安全技術包括：防火墻、VPN、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動防護技術，入侵檢測、入侵防

御和漏洞掃描屬主動檢測技術，這些技術領域的研究成果已經成為眾多信息安全產品的基礎。

二、網絡的安全策略分析

早期的網絡防護技術的出發點是首先劃分出明確的網絡邊界，然后通過在網絡邊界處對流經的信息利用各種控制方法進行檢查，只有符合規定的信息才可以通過網絡邊界，從而達到阻止對網絡攻擊、入侵的目的。主要的網絡防護技術包括：

1.防火墻

防火墻是一種隔離控制技術，通過預定義的安全策略，對內外網通信強制實施訪問控制，常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過，依據系統事先設定好的過濾邏輯，檢查數據據流中的每個數據包，根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過；狀態檢測技術采用的是一種基于連接的狀態檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別，與傳統包過濾防火墻的靜態過濾規則表相比，它具有更好的靈活性和安全性；應用網關技術在應用層實現，它使用一個運行特殊的“通信數據安全檢查”軟件的工作站來連接被保護網絡和其他網絡，其目的在于隱蔽被保護網絡的具體細節，保護其中的主機及其數據。

2.VPN

VPN（VirtualPrivateNetwork）即虛擬專用網絡，它是將物理分布在不同地點的網絡通過公用骨干網連接而成的邏輯上的虛擬子網。它可以幫助異地用戶、公司分支機構、商業伙伴及供應商與內部網建立可信的安全連接，并保證數據的安全傳輸。為了保障信息的安全，VPN技術采用了鑒別、訪問控制、保密性和完整性等措施，以防止信息被泄露、篡改和復制。VPN技術可以在不同的傳輸協議層實現，如在應用層有SSL協議，它廣泛應用于Web瀏覽程序和Web服務器程序，提供對等的身份認證和應用數據的加密；在會話層有Socks協議，在該協議中，客戶程序通過Socks客戶端的1080端口透過防火墻發起連接，建立到Socks服務器的VPN隧道；在網絡層有IPSec協議，它是一種由IETF設計的端到端的確保IP層通信安全的機制，對IP包進行的IPSec處理有AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）兩種方式。

3.防毒墻

防毒墻是指位于網絡入口處，用于對網絡傳輸中的病毒進行過濾的網絡安全設備。防火墻能夠對網絡數據流連接的合法性進行分析，但它對從允許連接的電腦上發送過來的病毒數據流卻是無能為力的，因為它無法識別合法數據包中是否存在病毒這一情況；防毒墻則是為了解決防火墻這種防毒缺陷而產生的一種安全設備。防毒墻使用簽名技術在網關處進行查毒工作，阻止網絡蠕蟲(Worm)和僵尸網絡(BOT)的擴散。此外，管理人員能夠定義分組的安全策略，以過濾網絡流量并阻止特定文件傳輸、文件類型擴展名、即時通信信道、批量或單獨的IP/MAC地址，以及TCP/UDP端口和協議。

三、網絡檢測技術分析

人們意識到僅僅依靠防護技術是無法擋住所有攻擊，于是以檢測為主要標志的安全技術應運而生。這類技術的基本思想是通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統，或者更廣泛意義上的信息系統的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探，以及內部合法用戶的超越使用權限的非法活動。主要的網絡安全檢測技術有：

1.入侵檢測

入侵檢測系統（IntrusionDetectionSystem,IDS）是用于檢測任何損害或企圖損害系統的保密性、完整性或可用的一種網絡安全技術。它通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統，包括檢測外界非法入侵者的惡意攻擊或試探，以及內部合法用戶的超越使用權限的非法活動。作為防火墻的有效補充，入侵檢測技術能夠幫助系統對付已知和未知網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、攻擊識別和響應），提高了信息安全基礎結構的完整性。

2.入侵防御

入侵防御系統（IntrusionPreventionSystem,IPS）則是一種主動的、積極的入侵防范、阻止系統。IPS是基于IDS的、建立在IDS發展的基礎上的新生網絡安全技術，IPS的檢測功能類似于IDS，防御功能類似于防火墻。IDS是一種并聯在網絡上的設備，它只能被動地檢測網絡遭到了何種攻擊，它的阻斷攻擊能力非常有限；而IPS部署在網絡的進出口處，當它檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。可以認為IPS就是防火墻加上入侵檢測系統，但并不是說IPS可以代替防火墻或入侵檢測系統。防火墻是粒度比較粗的訪問控制產品，它在基于TCP/IP協議的過濾方面表現出色，同時具備網絡地址轉換、服務、流量統計、VPN等功能。

3.漏洞掃描

漏洞掃描技術是一項重要的主動防范安全技術，它主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務，將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標主機系統存在安全漏洞。發現系統漏洞的一種重要技術是蜜罐(Honeypot)系統，它是故意讓人攻擊的目標，引誘黑客前來攻擊。通過對蜜罐系統記錄的攻擊行為進行分析，來發現攻擊者的攻擊方法及系統存在的漏洞。

四、結語

盡管傳統的安全技術在保障網絡安全方面發揮了重要作用，但在一個巨大、開放、動態和復雜的互聯網中技術都存在著各種各樣的局限性。安全廠商在疲于奔命的升級產品的檢測數據庫，系統廠商在疲于奔命的修補產品漏洞，而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統的防病毒軟件只能用于防范計算機病毒，防火墻只能對非法訪問通信進行過濾，而入侵檢測系統只能被用來識別特定的惡意攻擊行為。在一個沒有得到全面防護的計算機設施中，安全問題的炸彈隨時都有爆炸的可能。用戶必須針對每種安全威脅部署相應的防御手段，這樣使信息安全工作的復雜度和風險性都難以下降。為了有效地解決日益突出的網絡安全問題，網絡安全研究人員和網絡安全企業也不斷推出新的網絡安全技術和安全產品。

參考文獻:

[1]周碧英:淺析計算機網絡安全技術[J].甘肅科技,2008,24(3):18～19

[2]潘號良:面向基礎設施的網絡安全措施探討[J].軟件導刊,2008,(3):74～75