网络安全应急计划范文

导语：如何才能写好一篇网络安全应急计划，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

一、网络会计信息系统的安全风险主要表现

会计信息系统是一种特殊的信息系统,它除了一般信息系统的安全特征外,还具有自身的一些安全特点。会计信息系统的安全风险是指有人为的或非人为的因素是会计信息系统保护安全的能力的减弱,从而产生系统的信息失真、失窃,使单位的财产遭受损失,系统的硬件、软件无法正常运行等结果发生的可能性。会计信息系统的安全风险主要表现在以下几个方面。

1.会计信息的真实性、可靠性。开放性的网络会计环境下,存在信息失真的风险。尽管信息传递的无纸化可以有效避免一些由于人为原因而导致会计失真的现象,但仍不能排除电子凭证、电子账簿可能被随意修改而不留痕迹的行为。传统的依靠鉴章确保凭证有效性和明确经济责任的手段不复存在。由于缺乏有效的确认标识,信息接受方有理由怀疑所获取财务数据的真实性;同样,作为信息发送方,也有类似的担心,即传递的信息能否被接受方正确识别并下载。

2.企业重要的数据泄密。在信息技术高速发展的今天,信息在企业的经营管理中变得尤为重要,它已经成为企业的一项重要资本,甚至决定了企业的激烈的市场竞争中的成败,企业的财务数据属重大商业机密,在网络传递过程中,有可能被竞争对手非法截取,导致造成不可估量的损失。因此,保证财务数据的安全亦不容忽视。

3.会计信息是否被篡改。会计信息在网上传递过程中,随时可能被网络黑客或竞争对手非法截取并恶意篡改,同时,病毒也会影响信息的安全性和真实性,这些都是亟待解决的问题。

4.网络系统的安全性。网络是一把双刃剑,它使企业在利用lnternet网寻找潜在的贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。这些风险来自于:泄密与恶意攻击。所谓泄密是指未授权人员非法侵入企业信息系统,窃取企业的商业机密,从而侵吞企业财产或卖出商业机密换取钱财。所谓恶意攻击是指网络黑客的蓄意破坏或者病毒的感染,将可能使整个系统陷于瘫痪。

二、网络会计信息系统安全应考虑的一般原则

1.需求、风险、代价平衡分析的原则

任何网络的绝对安全都是难以达到的,也不一定是必要的。对一个网络要进行实际的研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后确定本系统的安全策略。

2.综合性、整体性原则

应运用系统工程的观点、方法、分析网络的安全及具体的措施。安全措施包括:行政法律手段、各种管理制度(人员审查、工作流等)以及专业技术措施。一个较好的安全措施往往是多种方法适当综合的应用结果。总之,不同的安全措施的代价、效果对不同的网络并不完全相同,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。

3.一致性原则

一致性原则是指网络安全问题应存在于整个网络的工作周期,制定的安全体系结构必须与网络的安全需求相一致,安全的网络系统设计及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的初期就应该考虑网络安全对策,比等网络建设好后再考虑安全措施不但较容易,且成本也大大的降低。

三、网络会计信息系统安全的几项措施

通过加强会计信息系统的安全建设与管理,提高会计信息系统安全的防护和反应综合能力,使系统能够抵御各种威胁,有效保护企业资产,提高会计的完整服务。在会计信息系统建设过程中,必须克服“重建设轻安全、重技术轻管理、重使用轻维护”的思想。应逐步建立以“检查与管理、保密与防护、检测与防治、测评与服务”为基本结构的安全管理和技术系统。通过管理和技术两种手段,使会计信息系统的技术风险防范能力不断提高到一个新的水平。为了更好的利用网络会计带来的优势,保证信息数据质量和安全,应从以下几方面入手,以网络技术为基础,结合会计需要,确保网络安全有效的传递信息。

1.系统加密管理。在会计信息系统中,对一些须严格控制操作的环节,设上“双口令”只有“双口令”同时到位才能进行该操作。“双口令”由分管该权限的两个人各自按照规定设置,不得告知他人。对“双口令”进行“并钥”处理后,方可执行相应的操作。这样不仅加强了控制管理,保证了数据安全,而且也保护了相关的人员,便于分清各自的责任。

2.形成网上公证由第三方牵制的安全机制。网络环境下原始凭证用数字方式进行存储,应利用网络所特有的实时传输功能和日益丰富的互联网服务项目,实现原始交易凭证的第三方监控(即网上公证)。

3.建立严格的数据存储措施。为了提高系统数据的安全性和在意外情况下的“自救能力”,应建立双备份,备份后的两份数据应有不同的人员持有,另一份是非加密的,有具体操作人员使用。对一些重要的数据,可采用分布存储。

篇2

【关键词】信息化技术；企业；网络安全；信息管理；影响

1 前言

在信息技术极速发展的形式下，人们的生活、工作、学习得到了迅速的发展。由于计算机网络的便捷性，计算机信息管理和网络应用被广泛地运用在各领域企业的信息管理中。但是，计算机在给我们带了诸多的便利和效益的同时，也给企业网络和企业内部信息安全带来新的挑战。在网络通讯过程中，由于受到来自黑客、病毒的恶意侵害，导致企业商业机密和用户个人隐私安全收到威胁，信息在上传和传输时机密性、完整性、和真实性得不到有效的保护。因此，计算机网络安全不论是对于企业还是用户，都是至关重要的。解决计算机网络安全是一项严峻的、长期的工程。本文基于作者多年工作经验，从企业网络安全管理存在的问题以及如何实施有效的网络安全管理措施进行深入的探讨。

2 目前企业网络安全存在的问题

2.1 管理人员网络安全意识淡薄

由于企业信息化管理是一个新型的管理方式，因此，在发展的过程中，管理人员的认识问题成为了企业网络安全管理首要面对的问题。由于部分网络安全管理人员对网络安全的认识不许，网络安全意识淡薄，不能及时完善相关网络安全管理制度，有效的规范和约束员工的上网行为，导致企业内网络用户安全防范意识淡薄，计算机对病毒的防范能力落后。

2.2 黑客恶意攻击

黑客攻击是企业计算机网络安全面临的最大威胁。恶意黑客通过计算机窃取企业商业机密，攻击企业网络系统，导致企业网络故障瘫痪，商业机密和客户信息的安全受到严重的威胁，给企业带来巨大的经济损失。黑客攻击主要有两种类型，主动攻击和被动攻击。主动攻击指的是黑客通过各种方式有选择性地通过企业网络破坏企业信息的完整性和有效性；被动攻击指的是黑客在不影响企业正常工作的前提下，截获、窃取、破译企业的重要商业机密。这两种攻击方式都会给企业网络安全和信息安全带来极大的危害，导致网络系统瘫痪，机密数据泄露，造成巨大的经济损失。

2.3 网络插件漏洞

没有一个网络软件可以达到百分百的完美，或多或少都会存在这样那样的漏洞和缺陷。正时这些缺陷，给了黑客有机可乘的机会，导致这些缺陷和漏洞往往成了黑客攻击企业网络安全的首选目标。大部分出现的黑客破坏企业网络，攻入企业网络内部的时间都是因为企业网络安全管理措施采取不当导致的。另外，还有一种重要的入侵途径，就是软件的“后门”，“后门”一般是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”被破译，将会造成严重的后果。

2 企业网络安全管理有效措施

在计算机网络中，想要做好计算机网络安全管理工作，主要可以从对网络信息载体和信息处理、传输、存储、访问提供安全保护以及如何防止非法授权的使用或篡改方面着手进行。完善企业计算机网络安全管理，具体可以从技术层面出发，采取控制访问、使用防火墙技术、对网络信息进行物理隔离的措施，提高企业计算机网络安全管理水平。

2.1 访问控制

访问控制指的是按照企业内部计算机网络使用者的身份、所述部门、用户权限的某项定义限制客户对某些无关本质工作的机密信息的访问。访问控制通常被用于计算机网络系统管理员控制用户对服务器、文件、目录等企业网络资源的访问。通过控制访问，可以在企业用户使用范围内允许合法用户访问受保护的网络资源，同时还能有效防止外部非法主体对企业内部受保护信息的访问，提高内部信息的安全性和完整性。

2.2 防火墙

防火墙指的是由计算机硬件和软件组合而成、在广域网和局域网之间、专用网和公用网之间的界面上构成的一个网络安全保护屏障。通过软件和硬件结合，建立一个安全网关，保护内部网络不收非法用户的访问和入侵。防火墙是最重要的计算机网络安全屏障，能够对经过它的网络通信进行安全扫描，过滤恶意攻击，阻挡非法访问。防火墙还能封锁特洛伊木马，禁止特定端口的流出通信，保护用户账号信息安全。因此，防火墙技术也是集安全策略和安全管理的有机结合，在计算机网络安全性能方面起到较强的保护作用。

2.3 网络隔离

网络隔离也叫协议隔离，主要是通过指把两个或两个以上可路由的网络通过不可路由的协议进行数据交换，从而对网络病毒进行有效的网络隔离，达到隔离目的。通过网络隔离技术，可以有效解决企业中对机密信息对安全性的突出需求，是企业网络安全体系中不可或缺的环节，有效地防止企业网络系统被非法入侵、阻挡网络攻击，窃取机密信息。网络隔离在企业计算机网络安全和机密信息保护上起着至关重要的作用。但是由于网络隔离技术需要转换不同的协议，技术较为复杂，因此网络隔离技术还没有得到普及。

3 结束语

总而言之，计算机网络管理给企业带来了巨大的便利的同时，也带来了相应的安全隐患。随着计算机网络的普及，企业计算机网络安全形势日益严峻。加大企业计算机网络安全管理建设，是关系到企业利益和形象的重大问题。目前在各个单位中都存储这大量的保密信息、资料，其管理的有效性和完整性都需要靠计算机网络系统完成。一旦企业网络安全出现问题，造成信息丢失、损坏、篡改和切用，都将给企业带来不可弥补的损失。因此，要提高网络安全管理意识，利用现因网络管理技术，加强对企业计算机网络安全管理，提高计算机网络安全性能。

参考文献：

[1] 张雅静.计算机网络安全的影响因素及对策探讨[J].信息与电脑（理论版）.2013（15）.

篇3

关键词：多媒体教学；计算机系统；安全保护；远程教育；技术研究

计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备的安全，运行环境的安全，保障信息的安全.保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。也就是说。我们应在计算机硬件、软件及运行环境等网络的各个环节上，考虑来自网络系统内部和外部两方面的因素，从管理和技术上着手，制订比较完善的网络系统安全保护策略。

一、网络安全现状

据统计，我国现有企业的网络安全现状是不容乐观的，其主要表现在以下几个方面：信息和网络的安全防护能力差；网络安全人才缺乏；企业员工对网络的安全保密意识淡薄，企业领导对网络安全方面不够重视等。一部分企业认为添加了各种安全产品之后，该网络就已经安全了，企业领导基本上就是只注重直接的经济利益回报的投资项目，对网络安全这个看不见实际回馈的资金投入大部分都采取不积极的态度，其中起主导作用的因素还有就是企业缺少专门的技术人员和专业指导，导致我国目前企业的网络安全建设普遍处于不容乐观的状况。

二、网络安全常见威胁

（一）计算机病毒

计算机病毒指在计算机程序中插入的破坏计算机功能和数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。具有寄生性、传染性、隐蔽性等特点。常见的破坏性比较强的病毒经常表现为：蓝屏、机卡、CPU、自动重启使用率高、打不开杀毒软件等，并且在短时间内传播从而导致大量的计算机系统瘫痪，对企业或者个人造成重大的经济损失。

（二）非授权访问

指利用编写和调试计算机程序侵入到他方内部网或专用网，获得非法或未授权的网络或文件访问的行为。如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

（三）木马程序和后门

木马程序和后门是一种可以通过远程控制别人计算机的程序，具有隐蔽性和非授权性的特点。企业的某台计算机被安装了木马程序或后门后，该程序可能会窃取用户信息，包括用户输入的各种密码，并将这些信息发送出去，或者使得黑客可以通过网络远程操控这台计算机，窃取计算机中的用户信息和文件，更为严重的是通过该台计算机操控整个企业的网络系统，使整个网络系统都暴露在黑客间谍的眼前。

三、网络的安全策略

（一）更改系统管理员的账户名

应将系统管理员的账户名由原先的Administrator改为一个无意义的字符串，这样要叠录的非法用户不但要猜准口令。还必须猜出用户名，这种更名功能在域用户管理器的User Properties对话框中并没有设置，用它的User-*-Rename菜单选项就可以实现这一功能。如果用的是NT4.0。可以用Resource Kit中提供的工具封锁联机系统管理员账号，这种封锁仅仅对由网络过来的非法叠录起作用。

（二）关闭不必要的向内TCP/IP端口

非法用户进入系统并得到管理员权限之后。首先要做的，必定设法恢复管理员刻意废止的TCP/IP上的NetBIOS装订，管理员应该使用路由器作为另一道防线。即提供web和FTP之类公共服务的NT服务器，这种情况下，只须保留两条路由器到服务器的向内路径：端日80的H1vrP和端日2l的FTP。

（三）防火墙配置

防火墙是在2个网络间实现访问控制的1个或1组软件或硬件系统，它是外部网络与内部网络之间的第1道安全屏障。本建设方案主要采用硬件防火墙，其主要功能就是屏蔽和允许指定的数据通讯，而这个功能的实现又主要是依靠一套访问控制策略，由访问控制策略来决定通讯的合法性，该控制策略的具体内容由企业的安全管理员和系统管理员共同来制定。

制定的防火墙安全策略主要有：所有从内到外和从外到内的数据包都必须经过防火墙；只有被安全策略允许的数据包才能通过防火墙；服务器本身不能直接访问互联网；防火墙本身要有预防入侵的功能；默认禁止所有服务，除非是必须的服务才允许。而其他一些应用系统需要开放特殊的端口由系统管理员来执行。

（四）VLAN 的划分

VLAN 是为解决以太网的广播问题和安全性而提出的一种协议。它在以太网的基础上增加了VLAN 头，用VLAN ID 把用户划分为更小的工作组，限制不同VLAN 之间的用户不能直接互访，每个VLAN 就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。VLAN 之间的访问需要通过应用系统的授权来进行数据交互。为保护敏感资源和控制广播风暴，在3 层路由交换机的集中式网络环境下，将网络中的所有客户主机和服务器系统分别集中到不同的VLAN 里，在每个VLAN 里不允许任何用户设置IP、用户主机和服务器之间相互PING，不允许用户主机对服务器的数据进行编辑，只允许数据访问，从而较好地保护敏感的主机资源和服务器系统的数据。采用3层交换机，通过VLAN 划分，来实现同一部门在同一个VLAN 中，这样既方便同部门的数据交换，又限制了不同部门之间用户的直接访问。

（五）身份认证

身份认证是提高网络安全的主要措施之一。其主要目的是证实被认证对象是否属实，常被用于通信双方相互确认身份，以保证通信的安全。常用的网络身份认证技术有：静态密码、USB Key 和动态口令、智能卡牌等。其中，最常见的使用是用户名加静态密码的方式。而在本方案中主要采用USB Key的方式。基于USB Key 的身份认证方式采用软硬件相结合，很好地解决了安全性与易用性之间的矛盾，利用USB Key内置的密码算法实现对用户身份的认证。USB Key身份认证系统主要有2种应用模式：一是基于冲击、响应的认证模式；二是基于PKI 体系的认证模式。

（六）制订网络系统的应急计划

为了将由意外事故引起的网络系统损害降低到最小程度，企业应制订应急计划。以防意外事故使网络系统遭受破坏，该应急计划应包括紧急行动方案及软、硬件系统恢复方案等，绝对的安全是没有的，安全标准的追求是以资金和方便为代价的。我们应随时根据网络系统的运行环境而采用相应的安全保护策略。通过对计算机网络系统安全问题的充分认识，以及行政、技术和物质手段的保证。网络系统就能够有足够的安全性来对付各种不安全问题。

篇4

关键词：信息安全；安全防范；黑客；病毒

1 引言

信息就是财富，安全才有价值。企业信息安全决定企业存亡，是市场竞争的利器。企业信息安全涉及到多个方面，如信息网络的硬件、软件及其系统中的数据等。安全防护包括四个方面，如实体安全，是指物理安全，包括环境、设备和介质等企业硬件设施的安全；运行安全，是为保证计算机网络信息系统连续不断地运行所应采取的一系列安全措施，包括风险分析、检测、监控与审计跟踪、应急计划和应急措施、计算机病毒检测与预防等；信息安全，是指对企业信息系统中以各种形式存在的信息提供有效的保护，保证信息的准确性，使其不会因为企业内部或外部的原因而遭到泄露、破坏、删除或篡改；管理安全，主要是指在实现信息安全管理的整个过程中，人应该做什么，如何做，主要是对人的管理。通常把实体安全看作是企业信息安全的基础，把运行安全看作是对企业信息安全强有力的支持，对信息本身的保护则是信息安全的核心和最终目标，而管理安全则是贯穿整个信息安全工作的生命线。

2 企业信息安全问题分析

今天，信息已成为企业的重要资源之一，随着计算机技术应用的普及，各个组织机构的运行越来越依赖和离不开计算机，各种业务的运行架构于现代化的网络环境中。企业信息系统作为信息化程度高、与外界联络广泛的一个特殊系统，其业务也同样越来越依赖于计算机网络，企业信息安全随之面临严峻的考验。

2009年以来，我国对发生网络安全事件的调查得出以下数据：从可能的攻击来源来看，来自外部的攻击约占40.2%，来自内部的攻击约占6.6%，内外均有的攻击约占24.8%，还有28.3%的攻击来历不明。[1]可见，过半的攻击来自企业外部，企业信息安全建设重点应放在外部攻击的防御上，同时也应加强企业内部信息安全管理以及对其他因素进行控制。

威胁企业信息安全的外部因素很多，包括黑客攻击、病毒传播、技术缺陷及突发事件如停电、自然灾害等不可抗因素。

在常见的内部安全威胁中，一些是由工作人员不慎造成的，如安全配置不当造成安全漏洞，以及员工某些不经意行为对企业信息资产造成破坏而引起安全问题；另一些信息安全问题是由于被授权人员为了某种利益，将企业信息泄露给非授权人或企业争竞对手。

造成企业内部信息安全问题的因素，主要包括：员工缺乏安全意识，企业管理人员对信息安全的认知和管理决策水平不高；缺乏一套完善的安全管理制度，更缺乏对安全制度执行的严格管理；缺乏既懂技术又精通信息安全的专业人才，也缺乏合适的信息安全防护设施；企业对信息安全领域的资金和人员投入不够。

3 企业信息安全问题的防范

3.1 技术防范

2009年公安部的调查结果显示，在网络安全产品的使用上，防火墙约占30.8%，防病毒约占28.5%，入侵检测和漏洞扫描约占18.2%，信息内容和垃圾邮件约占9.2%，安全审计约占7.4%，其他约占6.0%。综合运用这些手段，防范效果更佳。

(1) 防火墙技术

防火墙技术是通过对网络拓扑结构和服务类型上的隔离来加强网络安全的一种手段。它所保护的对象是网络中有明确闭合边界的一个网块，而它所防范的对象是来自被保护网块外部的安全威胁。目前，防火墙产品主要有如下几种：

包过滤防火墙：通常安装在路由器上，根据网络管理员设定的访问控制清单对流经防火墙信息包的IP源地址、IP目标地址、封装协议(如TCP/IP等)和端口号等进行筛选。

服务器防火墙：包过滤技术可以通过对IP地址的封锁来禁止未经授权者的访问。服务器通常由服务端程序和客户端程序两部分构成，客户端程序与中间节点(Proxy Server)连接，这样，从外部网络就只能看到服务器而看不到任何的内部资源。

状态监视防火墙：通过检测模块(一个能够在网关上执行网络安全策略的软件引擎)对相关数据的监测后，从中抽取部分数据(即状态信息)，并将其动态地保存起来作为以后制定安全决策的参考。采用状态监视器技术后，当用户的访问到达网关操作系统之前，状态监视器要对访问请求抽取有关数据结合网络配置和安全规定进行分析，以做出接纳、拒绝鉴定或给该通信加密等的决定。一旦某个访问违反了上述安全规定，安全报警器就会拒绝该访问，并向系统管理器报告网络状态。

(2) 病毒防范技术

计算机病毒实际上是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。互联网已经得到广泛应用的今天，一个新型的病毒能通过网络迅速传遍世界。为有效保护企业的信息资源，要求杀毒软件能支持所有企业可能用到的互联网协议及邮件系统，能适应并及时跟上瞬息万变的时代步伐。

(3) 加密型技术

以数据加密为基础的网络安全系统的特征是：通过对网络数据的可靠加密来保护网络系统中(包括用户数据在内)的所有数据流，从而在不对网络环境作任何特殊要求的前提下，从根本上解决了网络安全的两大要求(即网络服务的可用性和信息的完整性)。加密技术按加密密钥与解密密钥的对称性可分为对称型加密、不对称型加密、不可逆加密。在网络传输中，加密技术是一种效率高而又灵活的安全手段。

(4) 入侵检测技术

入侵检测技术主要分成异常和误用两大类型。

篇5

关键词：计算机网络；安全威胁；维护策略；预防措施

计算机的系统安全性历来都是人们讨论的主要话题之一。在计算机网络日益扩展和普及的今天，计算机系统安全的要求更高，涉及面更广。不但要求防治病毒，还要提高系统抵抗外来非法黑客入侵的能力，还要提高对远程数据传输的保密性，避免在传输途中遭受非法窃取。

一、主要威胁

计算机网络系统被攻击的原因来自多方面的因素，可以分为以下若干类型：黑客入侵、来自内部的攻击、计算机病毒的侵入、秘密信息的泄漏和修改网络的关键数据等，这些都可以造成损失等等。目前，计算机信息系统的安全威胁主要来自于以下几类：

（一）计算机病毒

病毒是对软件、计算机和网络系统的最大威胁之一。所谓病毒，是指一段可执行的程序代码，通过对其他程序进行修改，可以感染这些程序，使他们成为含有该病毒程序的一个拷贝。计算机病毒技术在快速地发展变化之中，而且在一定程度上走在了计算机网络安全技术的前面。专家指出，从木马病毒的编写、传播到出售，整个病毒产业链已经完全互联网化。计算机感染上病毒后，轻则使系统工作效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失。甚至造成计算机主板等部件的损坏，导致硬件系统完全瘫痪。

（二）黑客的威胁和攻击

计算机信息网络上的黑客攻击事件越演越烈，据(2008瑞星中国大陆地区互联网安全报告》披露，以牟利为目的的黑客产业链已经形成并成为新的暴利产业。在2006的五一“中美黑客大战”中，中美各有上千的网站被涂改。attrition.org曾专门跟踪网站的攻破后的页面，最后由于这种事件太多，有时一天会接到上百个网站被涂改的报告。

（三）其他

其他威胁因素还包括来自内部的攻击、网络犯罪、系统漏洞以及秘密信息的泄漏和修改网络的关键数据等。

二、系统安全维护策略

（一）计算机病毒的防御

巧用主动防御技术防范病毒入侵，用户一般都是使用杀毒软件来防御病毒的侵入，但现在年增加千万个未知病毒新病毒，病毒库已经落后了。因此，靠主动防御对付未知病毒新病毒是必然的。实际上，不管什么样的病毒，当其侵入系统后，总是使用各种手段对系统进行渗透和破坏操作。所以对病毒的行为进行准确判断，并抢在其行为发生之前就对其进行拦截。

很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中，最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止用户越权访问数据和使用网络资源。操作员应定期变一次口令；不得写下口令或在电子邮件中传送口令。

当计算机病毒对网上资源的应用程序进行攻击时，这样的病毒存在于信息共享的网络介质上，因此就要在网关上设防，在网络前端进行杀毒。基于网络的病毒特点，应该着眼于网络整体来设计防范手段。在计算机硬件和软件，LAN服务器，服务器上的网关，Inter层层设防，对每种病毒都实行隔离、过滤，而且完全在后台操作。例如：某一终端机如果通过软盘感染了计算机病毒，势必会在LAN上蔓延，而服务器具有了防毒功能，病毒在由终端机向服务器转移的进程中就会被杀掉。为了引起普觉，当在网络中任何一台工作站或服务器上发现病毒时，它都会立即报警通知网络管理员。

（二）对黑客攻击的防御

黑客攻击等威胁行为为什么能经常得逞呢？主要原因在于计算机网络系统内在安全的脆弱性；其次是人们思想麻痹，没有正视黑客入侵所造成的严重后果，因而舍不得投入必要的人力、财力和物力来加强计算机网络的安全性，没有采取有效的安全策略和安全机制。

首先要加强系统本身的防御能力，完善防护设备，如防火墙构成了系统对外防御的第一道防线。防火墙作为网络的第一道防线并不能完全保护内部网络，必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高，分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全；同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。

堵住系统漏洞要比与安全相关的其它任何策略更有助于确保网络安全。及时地安装补丁程序是很好的维护网络安全的方法。对于系统本身的漏洞，可以安装软件补丁；另外网络管理员还需要做好漏洞防护工作，保护好管理员账户，只有做到这两个基本点才能让我们的网络更加安全。

三、预防措施

从实际应用上看，即使采用了种种安全防御手段，也不能说就万无一失或绝对安全，因此还需要有一些预防措施，以保证当系统出现故障时，能以最快的速度恢复正常，将损失程度降到最底。这类措施应有：

对日常可能出现的紧急情况要制定相应的应急计划和措施，发生运行故障时，要能快速抢修恢复。

将操作系统 CD 盘留副本保存。由于有一个或者多个备份集，因此可以减少原版CD丢失（损坏）所造成的损失。

当网络管理员或系统管理员调动以后立即修改所有的系统管理员口令。

坚持数据的日常备份制度，系统配置每次修改后及时备份，对于邮件服务器等实时更新的服务器应坚持每日多次备份（至少每小时一次）。

四、结语

网络系统安全作为一项动态工程，它的安全程度会随着时间的变化而发生变化。在信息技术日新月异的今天，需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略。

参考文献：

[1]钱蓉.黑客行为与网络安全,电力机车技术,2002,1,25

[2]关义章，戴宗坤.信息系统安全工程学.四川大学信息安全研究所,2002,12,10

[3]文卫东,李旭晖,朱骁峰,吕慧,余辰,何炎祥.Internet的安全威胁与对策[J].计算机应用.2001年07期

篇6

关键词：电子智能机房；设计；维护

中图分类号：TP308 文献标识码：A 文章编号：1007—9599 （2012） 14—0000—02

一、电子智能机房的设计思路与实践经验

（一）坚持绿色节能环保与实用原则，设计规范化机房系统

1.详尽分析需求的基础上在总体设计时切实注重实用性可靠性与安全性，充分考虑前瞻性

根据国家规范，机房室内装饰应选用气密性好、不起尘、易清洁，在温湿度变化作用下变形小、燃烧等级为A级的材料。吊顶上做防尘处理。采用抗静电活动地板，承载能力满足《抗静电活动地板规范》要求，集中负荷3000N时地板变形≤0.2mm，极限负荷>6000N，分布负荷为12500N/m2。机房专用空调区域地板下采用橡塑保温板做保温处理，厚度为13mm，地板下所有墙、柱面均刷防尘漆。空调电源室和主机房区域的原外窗窗体采用玻璃胶密封可以确保永久不漏雨水。各区域采用标准防火玻璃密闭门；防火玻璃门（宽1500mm，高2100mm），以便于大型设备的进出。

2.按实际需要整个电子机房设计下列必备体系

排风及排气系统、新（送）风系统、空调气流组织形式、坡道及踏步、接地系统、防雷系统、门禁系统、防静电设计，抗干扰设计，防尘设计，防水设计，防腐设计，保温、隔热、隔音设计采取消声与减振措施。考虑色彩设计、文化墙（Lg墙）。气体消防及消防联动系统设计。照明设计须充分考虑机柜设备维修时采光角度及位置

3.机房工程对土建工程的要求与衔

电源室区域楼板承载必须在45平米内全部达到1000公斤/平米要求。机房整体区域地面进行水泥砂浆找平处理。

机房用电量额度测算分析与施工。按未来五至八年的设备扩展情况测算最大额度的用电量，既不能太少会导致未来设备增加而电量不能满足，也不能有太多冗余，因多余的用电额度供电部门会收取较高的费用导致浪费。机房整体区域配电由土建总包负责提供两路供电电缆送至UPS室的指定AT柜位置并预留长度。土建将小于1欧的接地体按指定位置安装。

土建总包在机房区域的走廊吊顶高度应充分考虑各种管线的走向及留有足够的空间等因素。考虑其它需要衔接的事项及入场条件。

4.计算机系统供配电量测算分析

机房总用电量=UPS用电+精密空调用电+照明和维修用电+现有设备用电量+设备扩容10%冗余。

5.机房综合布线系统设计

机柜内信息点设计依据：按照设备最大安装数量+每设备双口+每设备KVM口+临时组网调机因素+冗余。选择质优的六类非屏蔽布线产品。考虑所有楼层弱电间接入层交换机总台数信息点。

6.机房内布线设计须注意几点

按所有机柜及设备总数计算出光纤信息点数，考虑语音信息点；机房内使用的宽带和专线由供应商直接送入机房上配线架入柜或从本层语音端子排跳接；机房合适位置布置一个电话点便于设备维修；预留的机柜将网线盘在地板下作防尘处理，后续扩展使用时自行取出安装至配线架并捆扎线缆即可。

（二）智能化原则，建立运维管理智能平台

设计环境动力集中监控（KVM）系统和主机集中监控维护平台。KVM系统实现对机房环境与动力设备实时运行参数的采集与处理，主要包括：精密空调监测、配电监测、UPS监测、空调漏水监测、温湿度监测、有害气体监测、新风机组监测、排风机组监测。主要监控对象有：配电系统、UPS、专用空调、定位式漏水检测系统、机房内温湿度、有害气体、新风及排风系统监测。而主机集中监控维护平台主要是针对机房内所有网络安全设备及各种主机应用系统内的深层次状态的监管与预警。

（三）标准化与实用性原则

按国家标准结合实际应用将机房区域划分为专用空调间、主机区域、通信机房、备品备件间、UPS电源室，有必要的话可以考虑设置监控室。各分区用防火玻璃做不完全隔断，既美观省空间又便于查看设备状态。机柜数量及其布局设计要经过精准的测算并留有冗余。所有设备及线路标签统一规范。

其中通讯机房独立设计是考虑专设用于大楼的语音布线及宽带和对外联网专线，采用防火玻璃部分隔断，即与主机间线路地下相连又有独立的门进出供通讯部门日常维修之便。机房内使用的宽带和专线由通信供应商直接送入机房上配线架入柜或从本层语音端子排跳接。

二、电子机房搬迁切重要点总结

（一）有前瞻性的规划各机柜设备布局

按网络、应用分开的大原则，在此基础上再分别按内、外网络分开的小原则规划设备区域和定位，同时各区域均留有冗余。考虑各设备间线路连接的便捷性、易操作性、美观度等因素，以财税局机房设备部署为例设计的机柜与设备定位对应图表如下，据此按步骤操作则完全保障设备上架与线路连接的准确和便捷。机柜规划与定位部署图示

（二）制定机房搬迁实施计划表

按时间（精确到几日几时）、须完成事项、责任人、配合部门等列项制订出详细的计划表，并提前招集相关人员进行多次演练。

（三）召开各通信部门联席会议确定光纤电话等线路的迁移事宜

提前一个月组织电信、移动、联通、网通等通信单位负责人讨论确定光纤等线路迁移细节，将计划表给各单位，取得他们的大力支持和协助，以确保外线在规定时间内完成迁移，保证网络畅通。

（四）组织搬迁团队分工协作

事先请后勤做好路线演习，充分考虑堵车等路况问题。成立两个团队分工协作：第一团队分3个组在旧机房，1组提前半天做所有主机网络设备的数据备份最好两份，2组按网络安全主机机柜顺序开始拆缷设备并贴好标签，同时3组打包装车并做好防雨装备。第二团队分成四个组在新机房，1组负责把运到的设备抬到机房门外，在机房外拆包避免造成新机房内灰尘污染，2组按照“机柜规划与定位部署图”及设备标签负责上架安装，3组负责按标准对所有设备与连线打制标签，4组负责对已装好的设备进行开机调试、网络测通、主机应用软件测试等工作并反馈问题到其它组员，共同排查故障与问题直到所有网络畅通，所有应用正常工作。

机房搬迁是个有计划有组织非常严密且时间集中的项目，对所有外联单位都须事先做好沟通，在单位门户网站、电视、报纸等媒体上进行停机公告，事先告知所有的办事单位将影响降到最低。

三、电子智能机房运维管理经验探讨

（一）建立一套切实好用的智能化IT设备管理平台

有两个机房管理系统可以为机房及设备的日常维护与管理提供较好的预警与帮助。一个是KVM即机房环境集中监控系统如上所述。另一个是IT设备集中监控运维管理平台，构建机房各种设备深层次的集中监控、管理、流程、服务、展示系统，及时准确全面反映与掌握设备及信息系统的运行状态。能够将各类主机、网络安全设备、数据库、中间件、存储设备等实现统一管理，主动及时发现问题，并智能调度资源解决问题，形成IT运维管理主动服务的新局面。可实现如下目标：强化主动监控实现集中管理、定位故障快速恢复系统运行、掌握设备运行质量与效率并合理利用硬件网络资源、规范运行管理有序开展维护、共享设备运维经验完善运管知识库、具有设备网络管理统计分析和决策支持。

（二）培养一个高素质的专业化管理团队，制定可行的管理制度并不断完善

合理设置岗位如硬件设备及网络安全、系统维护与管理、数据库管理、前台运管等。建立专业人员系统年度培训与学习机制、工作问责与监管机制、年度考核制。

（三）制定应急预案定期演练并不断完善

制定应急计划与流程图，此外核心设备如核心交换机关键主机等需要备件，这也是应急机制要考虑的方面。

（四）选择高水平专家团队提供疑难支持为必要手段

选择业内在机房环控及主机网络安全设备方面有经验的高水平专业公司作为技术支撑是保障机房设备及网络安全的必要手段，同时可通过每年培训学习等方式提升本单位团队的实力。

篇7

1 厦门港集装箱智慧物流平台概述

厦门港集装箱智慧物流平台是厦门港务控股集团有限公司为适应港口物流业转型升级的需要，利用移动互联网、物联网等技术，以打造港口物流数字化、智能化生态系统，实现物流信息的高效、便捷共享为目的所建立的集装箱物流信息服务平台。该平台以一次录入、全流程共享为特色，集合全港集装箱进出口流程，涵盖货代、船代、堆场、集卡、码头以及“一关三检”等各节点的有效数据，实现集装箱设备交接的电子化、智能化，并支持集卡运输企业对集卡的指挥、调度功能。

厦门港集装箱智慧物流平台的主要功能如下：（1）报文平台功能，连接船代、车队、堆场、码头各方，实现集装箱设备交接单数据的实时共享；（2）接口平台功能，向堆场、车队、码头提供统一的数据接口，对接信息化管理下的堆场、车队和码头，实现各环节物流信息的实时更新；（3）互联网平台功能，实现车队、集卡、司机信息备案管理，为车队提供调度派单功能，为堆场提供数据更新功能，为码头提供数据查询、统计分析等功能；（4）移动应用平台功能，开发支持Android和iOS系统的手机应用程序，为车队提供手机派单、查询追踪等功能，为司机提供手机接单、预约等功能，为堆场提供拍照验箱功能，并为用户提供数据查询服务。

2 厦门港集装箱智慧物流平台安全策略

规划

（1）管理安全 管理安全是安全策略中十分重要的环节。管理安全策略涉及安全组织机构、安全管理制度、安全培训、安全意识教育等，以实现对维护人员、技术支持人员、管理人员、开发人员的权限控制、口令保密、审计跟踪等安全管控为目标。

（2）物理安全 物理安全涉及基础设施、环境、设备、电磁屏蔽等方面的安全控制，为平台部署提供防灾、防震、防干扰、防辐射等物理安全保障以及双机热备、链路冗余等安全策略规划。

（3）网络安全 网络安全包括内外网区域隔离、不同网段应用访问控制或隔离、虚拟专用网络登录、链路均衡负载、防火墙、防篡改等网络安全策略。

（4）系统安全 保障操作系统和数据库安全，定期扫描发现并修复漏洞和隐患，关闭不必要的服务、端口、协议等。

（5）应用安全 确保集装箱智慧物流平台的各项应用功能连续、可靠运行，支持功能模块扩展、用户扩容需要，使平台升级更新不影响正常业务运行。

（6）运营安全 对集装箱智慧物流平台实施动态保护，并在系统运行中实现信息和数据的恢复；采用上网行为控制、网络管理、防病毒、入侵防护、抗拒绝服务等手段监控网络运行及流量；制订应急计划和策略，实现突发事件的异地备份和恢复。

（7）密钥安全 密钥管理处理密钥自产生到最终销毁整个过程中的所有问题，包括系统初始化以及密钥的产生、存储、备份（或装入）、分配、保护、更新、控制、丢失、吊销和销毁等。通过制定密钥管理制度，对密钥实施完整而周密的管理。

（8）数据和信息安全 通过数据库审计等手段对数据的访问活动进行跟踪记录，确保数据的完整性、保密性、可用性和不可否认性，涉及数据加密、完整性校验、数据备份、数字签名等。

3 厦门港集装箱智慧物流平台安全策略的

实施情况

3.1 建设互为灾备的高可靠性绿色节能双机房

在厦门岛内和岛外分别选址建设B类标准整体机房（见图1），实现区域中心机房的互为灾备和恢复。主机房采用先进、节能、高效、集约的密封冷通道模块化架构设计，部署安防监控、泄露检测、消防报警、自动灭火和场地监控等系统，保证机房的温度、湿度、洁净度、照度、防静电、防干扰、防震动、防雷电、实时监控等，以确保计算机设备安全、可靠运行，延长计算机系统使用寿命。

3.2 部署安全防护体系

如图2所示：分别接入电信、联通、移动等运营商宽带，通过负载均衡设备实现链路冗余；部署防篡改、抗拒绝服务、防病毒、防火墙、入侵防护等安全防护系统；通过上网行为控制设备规范上网行为，由网络管理软件监控设备运行状况，由堡垒机监控技术人员操作行为，由数据库审计保障数据安全，形成强大的安全防护堡垒。

3.3 制定安全管理制度

安全管理制度涉及中心机房管理制度、网络管理制度、信息系统建设管理办法、信息系统运维管理办法、信息安全处理预案等。在制定安全管理制度的基础上，严格按照制度定期检查、落整改和定期演练，并及时跟踪机房运行状况，每月编制运行报告。

3.4 开展信息安全等级保护工作

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查等内容。一般情况下，委托有资质的第三方机构确定信息安全保护等级。根据平台的业务信息和系统服务描述、系统服务受到破坏时所侵害客体以及系统服务受到破坏后对侵害客体的侵害程度，按照GB 17859D1999《计算机信息系统安全保护等级划分准则》和GB/T 22240D2008《信息安全技术信息系统安全等级保护定级指南》等，确定厦门港集装箱智慧物流平台的业务信息安全等级和系统服务安全等级均为第二级，最终确定其安全保护等级为第二级。确定保护等级后，按照规定，向公安机关备案。在等级测评过程中，对测评发现的问题及时加以整改，确保信息平台安全防护满足要求。

4 结束语

篇8

关键词 校园网；网络安全；虚拟局域网

中图分类号：TP393.08 文献标识码：B 文章编号：1671-489X（2013）06-0047-03

随着Internet的飞速发展，因特网上丰富的资源吸引着越来越多的用户接入Internet，随之而来的校园网的网络安全问题也日益显得突出，各种各样的安全问题威胁着校园网的正常运行，给学校教学、科研、管理和对外交流带来重大影响。因此，校园网安全问题已经成为当前各高校网络建设中不可忽视的问题。本文就影响校园网网络安全的主要因素及防御措施进行探讨。

1 校园网络安全存在的问题

目前校园网面临的安全问题主要有硬件设备的安全、操作系统存在的漏洞、病毒侵害、黑客攻击、垃圾邮件、网络管理方面、用户安全意识薄弱等。

1.1 硬件设备的安全问题

硬件设备是整个校园网络系统的物质基础，保证计算机信息系统各种设备的安全是保障整个校园网络系统安全的前提。由于现在很多学校受人力、物力、财力、技术水平等因素的限制，不少校园网没有采取必要的防护措施，抵御自然灾害和意外事故的能力较差，造成的网络设备损坏、数据丢失的现象屡见不鲜。

1.2 操作系统存在的漏洞

普遍存在的计算机系统的漏洞，对信息安全、系统的使用、网络的运行构成严重的威胁。网络系统的安全性能完全依赖主机安装的操作系统的安全。目前，被广泛使用的操作系统主要有Unix、Windows和Linux等，这些操作系统都存在大量已知和未知的漏洞，众多的计算机病毒就是利用操作系统的漏洞进行攻击与传染。

1.3 病毒侵害

校园网的特点是用户量大、上网时间长、在线用户比例高，在这种高速、大容量的局域网中，各种计算机病毒和蠕虫都容易通过用户的不小心或有漏洞的系统迅速传播扩散，由于它是在网络上传播的，加快了病毒的传播速度，造成网络阻塞甚至瘫痪，给网络带来灾难性后果。如ARP病毒，病毒发作时表现为计算机网络连接正常，能Ping通局域网内机器却无法Ping通网关，用户频繁断网，IE浏览器频繁出错；或由于ARP欺骗的木马程序发作时发出大量的欺骗性广播包，导致局域网内用户上网不稳定，极大地影响用户的正常使用，给整个校园网的安全带来严重的隐患。

1.4 黑客攻击

黑客攻击是窃取信息、破坏网络、制造干扰等为目的的攻击行为。攻击的方式大致分为：

1）欺骗，在网络中，一台主机假冒另一台实体的攻击；

2）中间人攻击，攻击者往往利用一些网上监听工具，截取两台通信主机没有加密的信息；

3）拒绝服务攻击，在短时内提交大量针对某个网站的交易，该网站就可能因为不能及时处理这些交易而拒绝新的访问；

4）口令破解，它可能使黑客猜测到系统中重要用户的口令而破坏系统；

5）系统漏洞，黑客利用软件或硬件设计的缺陷来实施对目标的破坏。

1.5 垃圾邮件

随着计算机网络的普及，电子邮件已经成为人们现实生活工作中必不可少的信息交流手段，但是同时又是最容易受非法信息污染的环节。垃圾邮件的出现严重干扰了人们的日常工作与生活，特别是病毒类的垃圾邮件，已经严重威胁到用户信息的安全。有些学校虽然使用的是内部的邮件系统，但是没有任何反垃圾邮件、病毒邮件的监管措施，使得邮件系统成为大部分学校局域网内的安全隐患。

1.6 管理方面存在的问题

严格的管理是校园网安全的重要措施。很多学校在建设校园网的时候，大多是重建设、轻管理，对网络安全保护不够重视，缺乏完善的网络安全管理制度，网络安全管理意识淡薄；人力、财力、物力投入不够，并且在执行安全管理制度的时候往往并不到位；对于重要的资源，没有采用安全访问控制策略，非授权用户能够非法访问重要资源。这样会造成信息丢失、数据损坏、系统瘫痪等严重后果。

2 加强校园网网络安全的主要措施

校园网网络安全一旦出现问题，势必给校园网造成危害，因此，一定要采取措施，确保校园网的安全。

2.1 优化硬件，加强设备的管理与保护

校园网建设投资巨大，为了保障校园网硬件设备的正常运行，首先要保证硬件系统的物理安全，采取适当措施加强网络设备的管理与保护。因此，许多高校建设了高标准的IDC（Internet Data Center）机房，主要包括配置精密空调系统、机房环境监控系统、UPS系统、门禁系统、气体灭火系统、防雷与接地系统等，构建安全、稳定的网络运行环境。将主要网络设备集中在IDC（Internet Data Center）机房放置管理，共享机房资源，进行统一监管，提高网络运行的可靠性和安全性。

2.2 加强漏洞扫描，及时打上补丁

利用网络安全扫描工具，查找网络安全漏洞，评估风险并提出修改建议。采用漏洞扫描系统定期对工作站、服务器进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，建议建立校园网操作系统补丁服务器，对全校所有办公用计算机的操作系统随时提供补丁的升级更新、下载、安装服务，发现问题及时处理。最大可能地弥补最新的安全漏洞和消除安全隐患，否则计算机即使安装了防毒软件，也会反复感染，影响整个网络。

2.3 安装杀毒软件，及时升级

对于计算机病毒的防范，必须安装防病毒软件。防病毒软件分为网络版和单机版，单机版是安装在单台计算机上，只能保护单台计算机；网络版安装在网络服务器上，管理着整个网络。如果只安装单机版，网络上个别计算机感染上病毒，有时也会影响整个网段的正常工作，如某台计算机感染震荡波病毒，整个网段就会堵塞甚至瘫痪。作为校园网最好是安装网络版杀毒软件，这样才能保证整个网络的安全和稳定。杀毒软件要做到及时升级，只有及时升级才能保证防御新出现的病毒。

2.4 采用防火墙，防止受攻击

防火墙是一种隔离控制技术，是一个用以阻止网络中的黑客访问某个机构网络的屏障。通过防火墙把内、外网进行隔离，外网口与Internet连接，内网口连接核心交换机，DMZ接口连接对外访问的服务器。利用防火墙在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、偷窃或破坏网络上的重要信息。

防火墙有硬件防火墙和软件防火墙，硬件防火墙是安装在校园网的入口处，以减少外部对校园网的攻击；软件防火墙一般安装在主机上，它既可以防止来自外网，也可以防止来自局域网内部的攻击。

2.5 邮件过滤，完善电子邮件系统

在垃圾邮件控制和防范方面，可利用邮件过滤技术，如采用eyou公司的网关系统。网关采用从TCP链接到内容识别等多层有先进技术的过滤，可有效对抗最新的垃圾邮件发送手段。网关在邮件传输中的多个阶段设置了多层过滤引擎，通过采用改进的贝叶斯算法和庞大的垃圾邮件知识库以及智能垃圾邮件识别引擎，实现对垃圾邮件、有害信息、病毒邮件的有效过滤，可有效识别多种语言的垃圾邮件，抗干扰力强，识别率超过95%，同时保持了极低的误判率，还提供了详尽的日志信息和统计功能，方便信息查询。

邮件过滤网关能有效地过滤垃圾邮件和病毒邮件，防范不良信息，保证校园网用户的信息安全。

2.6 规范制度，加强管理

在计算机网络系统中，绝对的安全是不存在的，制定健全的安全管理体制是计算机网络安全的重要保证。首先，制订一系列完善的规章制度（如《校园计算机网络管理办法》《校园网IP地址管理暂行规定》《校园信息及保密管理暂行规定》等），以确保校园计算机网络正常运行。其次，要不断加强计算机信息网络的安全规范化管理力度，大力加强安全技术建设，强化使用人员和管理人员的安全防范意识，使他们自觉遵守和执行安全制度、安全操作规程和安全技术规范，尽可能地把不安全的因素降到最低。学校还应当成立信息安全领导小组，并明确其职责和工作制度，制订安全事故处理程序、应急计划等。

2.7 建立入侵检测系统

入侵检测系统，顾名思义是对入侵行为的检测。入侵检测技术是一种主动保护自己免受攻击的网络安全技术，作为防火墙的合理补充。入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基层结构的完整性。入侵监测系统的主要功能有：监测并分析用户和系统的活动；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；操作系统日志管理，并且识别违反安全隐患策略的用户活动。如NetWatch网络监控与入侵检测系统软件，该软件具有对网络进行实时监控、自动或手动切断网络连接、孤立堵塞网络主机、防止ARP欺骗、入侵检测等功能，支持防火墙的互动，具有灵活的过滤规则制定方式。

2.8 采用VLAN技术

VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。VLAN技术的实现原理是通过交换机的控制，某一VLAN成员发出的数据包只发给同一VLAN的其他成员，而不会发给该VLAN成员以外的计算机。运用VLAN技术将校园网按功能划分成几个不同的网段，各网段子网之间彼此隔离，杜绝病毒和木马在整个网络上传播，是一个加强校园网络管理的有效手段。VLAN可以改善网络的通信效率，避免广播风暴，使网络的组织更具灵活性，网络管理简单直观，提高网络的整体安全性。

2.9 网络数据备份和恢复

校园网网络系统的安全所围绕的中心是其中的数据，因此，加强数据的保护是网络安全的重中之重。设备可以替换，但数据被破坏或丢失，其损失无法计量。必须认真对待文件备份、数据冗余等问题，对重要数据及数据库系统进行定期备份，并注意备份数据的安全有效，一旦系统出现故障、网络遭到破坏时，能够在最短的时间恢复数据，保证网络系统的正常运行。核心设备的备份主要包括核心交换机、核心路由器、重要服务器等。数据信息备份包括对网络设备的配置信息、服务器数据等的备份。

3 结语

数据是整个校园网信息安全的核心，设计一套完整的数据备份和恢复系统也是校园网迫切需要的。它要考虑多方面因素，如备份/恢复数据量大小、应用数据中心和备援数据中心之间的距离及数据传输方式、灾难发生时所要求的恢复速度、备援中心的管理及投入资金等。

参考文献

[1]姜贵平，武装，姜贵君，等.局域网组建与管理实训教程[M].北京：清华大学出版社，2007.

[2]吴企渊.计算机网络[M].2版.北京：清华大学出版社，2004.

[3]福建星网锐捷网络有限公司网络大学.实用网络技术配置指南进阶篇[M].北京：北京希望电子出版社，2005.

[4]Cisco Networking Academy Program. Cisco Networking Academy Program CCNA 3 and 4[M].天津大学，电子科技大学，中山大学，译.北京：人民邮电出版社，2005.

[5]李庆.校园网信息安全与防范[J].辽宁师专学报，2005，7（1）：29-30.

[6]陈斌.校园网络安全问题分析与防范策略研究[J].信息与电脑，2010（8）：3-4.

篇9

关键词：档案 信息 网络化

档案信息网络化是在档案数字化的基础上，逐步向网络化方向发展。通过网络更好地开发利用已开发的档案资源，使之最大限度地为社会发展服务。档案信息网络化建设是档案工作在网络时代的必由之路,是深化档案社会化服务的必然要求。

档案信息网络化实现了资源共享。档案管理的计算机系统网络化之后，任何一个终端都可以使用其他计算机系统中存储的档案数据。这样，档案信息将走出档案室，面向更广泛的领域，这样就为档案资源更好地发挥作用提供了机会。

档案信息网络化节约了大量资金。档案信息网络化后，相当于增加了计算机的存储容量，实现了资源的共享，这样可以在一定程度上减少在软件研制上的重复劳动，只要有相应的数据就可以得到需要的结果，这样就节约了大量资金。

一、档案信息网络化的必要性

作为档案信息化,我认为就是在国家档案行政管理部门的统一规划组织下,在档案管理活动中全面应用现代信息、网络技术,对档案信息资源进行处置、管理、开发和提供利用服务的过程。据报道,保存大量珍贵档案文献的美国国会图书馆将馆藏的“大事材料”转换成了便于下载保存的图像、文本等形式,通过现代网络技术进行传递与交流,以满足社会利用者的多样化需求。而在我国,利用网络技术环境开展的档案信息服务方式仍然主要以馆藏介绍、目录查询等为主;馆藏档案的全息上网、档案信息的网络利用在国内较为鲜见。同国外一些国家相比,差距显得尤为突出,这说明我国目前档案信息服务的可获得性水平还有待于提高。因此,《全国档案事业发展“十五”计划》明确提出将档案信息化建设作为今后较长时间内档案事业发展的战略重点之一。

二十一世纪,是一个网络的时代。但随着科学技术的迅猛发展,档案工作始终还处于从属的地位。究其原因,主要有如下三方面:一是档案信息形式多样、年代跨越大、内容宽广,很难把握,同时从事档案工作的人员少、事情杂、整天忙于简单的琐碎的工作之中。而对所藏档案价值也不完全了解,更不可能去研究,所以就无法超前地为社会开发提供服务,利用率就不高;二是档案面对的利用者,是一群要求各异又是及其复杂的需求者。档案人员很难预见利用者的利用意图,显然就不能按需主动提前编辑提供利用,也就只能是被动的要什么找什么的服务方式。就主动而言,也只是简化查阅手续、熟练查阅工具的一种初级形式,而不能象计算机网络那样真正实现档案查阅快捷、准确、高效化;三是档案传统利用方式决定了档案的从属性。档案的价值是早已在经济效益和社会效益中体现出来,但是不被人们所重视,故而人们在档案发展上投入不足,造成人为的制约档案工作的发展。

信息网络时代能够改变这一现状。打开计算机,网上浏览一圈,就知天下事。这是信息网络时代的突出特点。人们在小小的电脑前,可以快捷、准确、高效,远距离地实现自己的愿望,真是方便又明了。这就是信息网络时代对档案利用者带来的优越,也是档案工作的一种变革,更是一种挑战。随着科学技术的迅猛发展,信息网络的连通,档案工作者只有随时代的发展而提高自己,实现网上办公、网上用档,才能准确、高效地为利用者服务,才能让档案信息体现出真正的有效价值。

二、实现档案信息网络化的对策

随着网上办公、网上用档的普及,档案部门还有许多工作要做,针对网上用档的条件,我们还必须做好以下几方面工作,为档案实现信息网络化奠定坚实的基础。

1.加强网上用档管理理论研究。为了更好地开展网上工作,保证提供系统、完整、真实的电子文件信息给利用者,我们必须加强归档电子文件的理论研究,其探讨的理论主要包括:(1)用文字处理技术形成的电子文件,归档时应有文字存储格式、属性和文字处理平台的说明材料。(2)用扫描仪等设备获得的图像电子文件,用计算机辅助设计或绘图等获得的图形电子文件等如何归档的理论研究。(3)档案信息上网后信息如何管理、利用的理论研究。(4)档案信息源如何系统编辑上网的理论研究等等。

2.加强档案部门网上办公先进设备的配置。现阶段档案部门设备十分落后,现代化程度不高。因此,我们要加强宣传,争取社会的支持,争取政府加大对档案事业的投入。再就是要把档案事业推向市场,让档案体现其经济价值,把档案信息作为一种特殊商品经营,增加社会对档案事业的投入。总之,要采取多种方式来解决档案资金的不足,以便档案界配置先进的管理设备。

3.加强档案管理人才的培养。人才确定事业成败,档案事业发展与否,关键在人才。网络时代,档案管理人才必须重新更新自己的知识,争做档案信息网络管理软件的编辑开发人才,争做网络档案信息管理人才,争做网络档案信息源组织编研人才和其它载体形式的管理人才。

4.加强网上用档的法律、制度的制定。必须加强风上用档工作立法和制度的建设,用法律和制度来保障档案资源的齐全完整。为此,需要从以下几方面进行规范: (1)加强网上用档的立法规定,对那些非授权访问,冒充合法用户破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等形式的犯罪分子,要以法律为武器进行坚决的打击。(2)制定应急计划,进行安全检查和审计,撰写安全情况汇报的规定;(3)严格进行权限管理,包括授予完成工作所需最小特权、回收特权的规定。(4)网上查阅档案信息目录的规定。(5)定期进行安全评估,不断改进、优化系统的规定。

篇10

[关键词]电子商务；技术风险；风险管理

电子商务（ElectronicCommerce，EC）是指通过网络（尤其是Internet）所进行的买卖交易以及相关服务或其他的组织管理活动。交易的安全性能否得到保障是电子商务的核心问题。近几年来，我国的电子商务发展较快，但各种风险也日趋突出。一般来说，电子商务中常见的风险可分为经济风险、管理风险、制度风险、技术风险和信息风险。IT技术是实现电子商务的基础，分析研究其技术风险是保障电子商务安全的重要研究课题。

为了促进电子商务的健康发展，研究电子商务中可能存在的风险及相应的控制策略是十分必要的。本文分析了电子商务中存在的技术风险及其产生的原因，并在此基础上提出了降低电子商务技术风险的相关安全策略及措施。

1.电子商务中存在的技术风险

由于网络的开放性、共享性和动态性，使得任何人都可以自由地接入Internet，导致以Internet为主要平台的电子商务的发展面临严峻的安全问题。其主要技术风险包括：

1.1网络环境风险

网络服务器常遭受到黑客的袭击，个别网络中的信息系统受到攻击后无法恢复正常运行；网络软件常常被人篡改或破坏；网络中存储或传递的数据常常被未经授权者篡改、增删、复制或使用。

1.2数据存取风险

由于数据存取不当所造成的风险。这种风险主要来自于企业内部。一是未经授权的人员进入系统的数据库修改、删除数据；二是企业工作人员操作失误，受其错误数据的影响而带来的风险，其结果必然是使企业效益受到损失，或者是使顾客利益受到损失。

1.3网上支付风险

网上支付一直被认为是制约中国电子商务发展的最大瓶颈，许多企业和个人担心交易的安全性而不愿使用网上支付。

2.电子商务风险管理

电子商务安全的风险管理（RiskManagement）是对电子商务系统的安全风险进行识别、衡量、分析，并在此基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。其本质就是防患于未然：事前加以消减和控制，事后积极响应和处理，为响应和处理所做的准备就是制订应急计划。

了解了电子商务存在的风险之后，需要对这些风险进行管理和控制，具体包括风险识别、风险分析、风险应对和风险监控4个过程。

2.1风险识别

对电子商务系统的安全而言，风险识别的目标主要是对电子商务系统的网络环境风险、数据存取风险和网上支付风险进行识别。识别风险的方法有很多，主要有：试验数据和结果、专家调查法、事件树分析法。电子商务风险识别最常用的一种方法就是收集各种曾经发生过的电子商务攻击事件（不仅局限于本企业），经过分析提取出若干特征，将其存储到“风险”库，作为识别潜在风险的参考。

2.2风险分析

风险分析的目的是确定每种风险对企业影响的大小，一般是对已经识别出来的电子商务风险进行量化估计。这里量化的概念主要指风险影响指标，风险概率以及风险值。技术安全是电子商务实现的基础，其重要性不言而喻，因此在该项目规划、计划阶段就应充分考虑。

2.3风险应对（风险控制）

根据风险性质和企业对风险的承受能力制订相应的防范计划，即风险应对。确定风险的应对策略后，就可编制风险应对计划。电子商务的技术风险控制主要是针对网络环境风险、数据存取风险和网上支付风险制订风险应对策略，从硬件、软件两方面加强IT基础设施建设。

2.险监控

制定规划，实施保护措施，在保护措施实施的每一个阶段都要进行监控和跟踪。风险贯穿于电子商务项目的整个生命周期中，因而风险管理是个动态的、连续的过程。因此制订了风险防范计划后，还需要时刻监督风险的发展与变化情况。

3.电子商务技术风险控制

针对电子商务中潜在的各类技术风险，笔者提出利用以下技术手段建立一套完整的风险控制体系，将电子商务的风险减少到最小。

3.1网络安全技术

网络安全是电子商务安全的基础，一个完整的电子商务应该建立在安全的网络基础之上。网络安全技术涉及面较广，主要包括操作系统安全、防火墙技术、虚拟专用网技术（VPN）、漏洞识别与检测技术。

3.1.1操作系统安全

操作系统的安全机制主要有：过滤保护、安全检测保护以及隔离保护。

（1）过滤保护分析所有针对受保护对象的访问，过滤恶意攻击以及可能带来不安全因素的非法访问。

（2）安全检测保护对所有用户的操作进行分析，阻止那些超越权限的用户操作以及可能给操作系统带来不安全因素的用户操作。

（3）离保护在支持多进程和多线程的操作系统中，必须保证同时运行的多个进程和线程之间是相互隔离的，即各个进程和线程分别调用不同的系统资源，且每一个进程和线程都无法判断是否还有其他的进程或线程在同时运行。一般的隔离保护措施有以下4种：①物理隔离不同的进程和线程调用的系统资源在物理上是隔离的；

②暂时隔离在特殊需要的时间段内，对某一个或某些进程或线程实施隔离，该时间段结束后解除隔离；

③软件隔离在软件层面上对各个进程的访问权限实行控制和限制，以达到隔离的效果；

④加密隔离采用加密算法对相应的对象进行加密。

3.1.2防火墙技术

防火墙是将专用网络与公共网络隔离开来的网络节点，由硬件和软件组成，其主要功能是通过建立网络通信的过滤机制，控制和鉴别出入站点的各种访问，进而有效地提高交易的安全性。目前的防火墙技术主要包括两种类型，第一类是包过滤技术，其运作方式是监视通过它的数据流，根据防火墙管理事先制定的系统安全政策，选择性地决定是否让这些数据通行；第二类是网关技术，其运作方式是所有要向服务器索取的数据，都通过服务器来索取。目前，防火墙技术的最新发展趋势是分布式和智能化防火墙技术。分布式防火墙是嵌入到操作系统内核中，对所有的信息流进行过滤与限制；智能化防火墙利用了统计、记忆、概率和决策等智能技术，对网络执行访问控制。

3.1.3VPN

虚拟专用网（VPN）是依靠Internet服务提供商（ISP）和其他网络服务提供商（NSP），在公用网络中建立专用数据通信网络的技术。VPN实现技术主要有：隧道技术、虚电路技术和基于MPLS（Multi-ProtocolLabelSwitching，多协议标签交换协议）技术。基于MPLS技术的VPN通过改善和加速数据包处理提高VPN效率，集隧道技术和路由技术优点于一身，组网具有极好的灵活性和扩展性。用户只需一条线路接入VPN网，便可以实现任何节点之间的直接通信。不过基于MPLS技术的VPN技术本身还有一个成熟的过程，但是它代表了VPN的发展方向。

3.1.4漏洞识别与检测系统

大部分管理员采用安全漏洞扫描工具对整个系统进行扫描，了解系统的安全状况，如MicrosoftBaselineSecurityAnalyze.许多国产杀毒软件也提供安全测试程序：将存在的漏洞标示出来，并提供相应的解决方法来指导用户进行修补。扫描方式的漏洞检测工具往往无法得到目标系统的准确信息，因此无法准确判断目标系统的安全状况。模拟攻击测试是解决这一问题的有效方法，可以准确判断目标系统是否存在测试的漏洞。但是由于漏洞的多样性和复杂性，现有的模拟攻击测试系统发展缓慢。

3.2数据加密技术

在网络中，计算机的数据以数据包的形式传输。为了防止信息被窃取，应当对发送的全部信息进行加密。加密传输形式是一种将传送的内容变成一些不规则的数据，只有通过正确的密钥才可以恢复原文的面貌。根据密钥的特点，加密算法分为对称密钥加密算法（私钥密码体制）和非对称密钥加密算法（公钥密码体制）。目前常用的对称密钥加密算法有DES（DataEncryptionStandard）算法和IDEA（InternationalDataEncryptionAlgorithm）算法。常用的非对称密钥加密算法有RSA算法和EIGamal算法。非对称密钥加密算法在实际应用中包括以下几种安全技术方式：数字摘要技术，即单向哈希函数技术、数字签名技术、数字证书技术等。

非数学的加密理论与技术近年来也发展非常迅速，成为继传统加密方式后的一种新的选择：

（1）信息隐藏（InformationHiding）即信息伪装，也称数据隐藏（DataHiding）、数字水印（DigitalWatermarking），是将秘密信息秘密地隐藏于另一非机密文件之中，利用数字化声像信号对于人们的视觉、听觉的冗余，进行各种时空域和变换域的信息隐藏，从而实现隐藏通信。主要以灰度/彩色图像、音频和视频信息以及文本作为信息隐藏的载体，代表算法有LSB算法和DCT变换域算法。

（2）量子密码（QuantumCryptography）是以Heisenberg测不准原理和EPR（EinsteinPodolskyRosen）效应为物理基础发展起来的一种密码技术，真正实现一次一密码，构成理论上不可破译的密码体制。量子密码的研究进展顺利，虽然还有很多问题需要解决，但某些方面尤其是子密钥分发已经逐步趋于实用。

3.3身份认证技术

网络的虚拟性使得要保证每个参与者都能被无误地识别，就必须使用身份认证技术。在计算机网络中，现有的用户身份认证技术基本上可以分为3类：

（1）基于口令的认证方式

基于口令的认证方式是最基本的认证方式，但是存在严重安全隐患。安全性完全依赖于口令，一旦口令泄漏，用户即被冒充；而且用户选择的口令比较简单，容易被猜测。

（2）基于安全物品的认证方式

主要有电子签名和认证卡两种方式。电子签名是电子形式的数据，是与数据电文（电子文件、电子信息）相联系的用于识别签名人的身份和表明签名人认可该数据电文内容的数据。目前广泛应用于电子商务实践的电子签名即数字签名，是通过向第三方的签名认证机构提出申请，由机构进行审查，颁发数字证书来取得自己的数字签名。用户在发送信息时使用自己的私有密钥对信息进行数字签名，再使用接受方的公共密钥将信息进行加密传输，接收方使用自己的私有密钥解密信息，同时使用发送方的公开签名密钥核实信息的数字签名。智能卡认证方式具有硬件加密功能，因而具有较高的安全性。进行认证时，用户输入个人身份识别码（PIN），智能卡认证PIN成功后，即可读出卡中的秘密信息，与验证服务器之间进行认证。

（3）基于生物特征的认证方式

以人体唯一的、可靠的、稳定的生物特征（如指纹、虹膜、人脸、掌纹、耳郭、声音）为依据，利用图像处理与模式识别技术进行认证。基于密码的认证技术存在密码难以记忆，容易被黑客破译的缺点。而基于生物特征的认证方式具有很好的安全性、可靠性和有效性，正逐渐成为一种新的身份认证方式，特别是近几年来，全球生物识别技术的飞速发展为生物认证提供了广泛的技术支持。其中，基于人脸识别的认证技术已经成为当前的研究热点，主要方法有基于几何特征的人脸识别方法与基于统计的人脸识别方法，并且已有产品投入网络安全领域，如TrueFaceCyberWatch.

3.4数据库安全机制

数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限，同时令所有未被授权的人员无法接近数据，这主要通过数据库系统的存取控制机制实现。存取控制机制主要包括两部分：

（1）定义用户权限，并将用户权限登记到数据字典中。

（2）合法权限检查，每当用户发出存取数据库的操作请求后，DBMS查找数据字典，根据安全规则进行合法权限检查。若用户的操作请求超出了定义的权限，系统将拒绝执行此操作。

一旦数据遭到破坏，就必须采取补救措施。建立严格的数据备份与恢复管理机制是保障数据库系统安全的有效手段。数据备份可以分为2个层次：硬件级和软件级。硬件级的备份是指用冗余的硬件来保证系统的连续运行。软件级的备份指的是将系统数据保存到其他介质上，当出现错误时可以将系统恢复到备份时的状态，这种方法可以完全防止逻辑损坏。

3.5第三方认证CA

与采用其他交易方式相比，采用电子商务交易模式的各方还有更多的风险，这些在电子商务中所特有的风险有：卖方在网站上对产品进行不实宣传，欺诈行为的风险；买方发出恶意订单的风险；交易一方对电子合同否认的风险；交易信息传送风险，如信息被窃、被修改等风险。这些风险的存在，需要设立第三方认证技术中心，为在网上交易各方交易资料的传递进行加密、验证和对交易过程进行监察。CA认证技术中心是一个确保信任的权威实体，它的主要职责是颁发证书，验证用户身份的真实性。任何相信CA的人，按照第三方信任原则，也都应该相信持有证明的用户。CA发放的证书有SSL和SET两种。SSL（SecureSocketsLayer）

安全协议又叫“安全套接层协议”，主要用于提高应用程序之间数据的安全系数，一般服务于银行对企业或企业对企业的电子商务。SET协议（SecureElectronicTransaction）

位于应用层，用来保证互联网上银行卡支付交易安全性，一般服务于持卡消费、网上购物等。

4.结论

电子商务的开展以信息技术为基础，如何解决电子商务中存在的安全问题已成为一个迫在眉睫的课题。电子商务风险是不可能完全消除的，因为它是与电子商务共生的，是电子商务的必然产物，但是，可以将风险限制在影响最小的范围之内。只有了解风险，才能规避风险。本文从安全风险管理的角度出发，分析了电子商务中可能存在的技术风险，论述了这些风险的控制策略，希望对企业开展电子商务活动起到一定的积极作用。

主要参考文献

[1]阮新新。电子商务技术风险管理的探讨[J].经济问题探索，2004，（4）：96-97.

[2]ThomasFinne.InformationSystemsRiskManagement：KeyConceptsandBusinessProcess[J].ComputerandSecurity，2000，（19）：234-242.

[3]刘伟江，王勇。电子商务风险及控制策略[J].东北师范大学学报：哲学社会科学版，2005，（11）。