網絡安全體系解決方案范例6篇

前言：中文期刊網精心挑選了網絡安全體系解決方案范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全體系解決方案范文1

【關鍵詞】校園網 網絡安全 解決方案

1 安全現狀

校園網是學校基礎設施，用于教學、科研、管理和對外交流等。校園網的安全情況有學校工作起至關重要的作用，其安全與否直接影響學生工作的質量高低。校園網建設之初，學校對這一塊的重視力度不大，隨著科技發展和教學辦公的信息化，校園網受到的網絡攻擊變多，校園網安全問題也開始多樣，加上學校安全意識和管理方面的原因，校園網的事故不斷發生，安全受到極大的威脅。隨著學校的發展和對網絡管理的重視，科技促使校園網規模擴大，復雜性也在增加，學校網絡用戶對校園網的性能要求在提升，網絡安全已經成為校園網發展建設的關鍵任務。

2 關鍵技術

2.1 防火墻技術

校園網安全問題，需要設置一個高級訪問控制設備，以此組成防火墻系統，將其部署在幾個不同的網絡當中，內外網絡信息必須從這個系統經過，因此可以利用防火墻攔截不安全信息，并對想要進入校園網的信息進行訪問控制，保證校園網絡的安全。

2.2 VPN技術

VPN指虛擬專用網絡，是在建立私有和安全的通道，建立起自身網絡和遠程用戶的安全連接。VPN是W絡不斷擴展中一個完整的組成部分，在網絡元素不斷擴展的時代，VPN技術能夠保證校園網的安全性。利用VPN技術給兩個或多個網絡連接提供一條加密的隧道。這樣，利用校園網這個共有網絡傳輸的通信是隱藏的，保證安全性。

2.3 入侵檢測技術

入侵檢測技術也是一項安全技術，主要是網絡邊界的防護，雖然防火墻在安全方面有著重要作用。它部署在網絡的各個關鍵點，但從安全技術和理論上看，防火墻是不能夠避免入侵行為的。在這種形勢下，利用入侵檢測技術十分必要，檢測防火墻在防護中遺漏的入侵行為，發現網絡出現安全問題的原因，提高校園網的整體安全性。

2.4 設備冗余

校園網是一個比較公開，并且多種類型用戶的網絡系統，系統故障很常見，這時就需要利用冗余設備，以此來減少系統故障時間，保證校園網系統的可靠性。冗余是重要組成部分，和其他安全技術和措施不同，它不能直接緩解網絡攻擊和處理漏洞問題，但如果沒有部署冗余設計，其他的安全技術和措施是不能發揮作用的，不能防范和抵御已知和未知的威脅和攻擊，也不能夠保證系統的安全。因而，在合適的位置部署冗余設計，是校園網安全的重要措施之一。設置冗余設備，保證其他技術的正常工作，使校園網更加安全、可靠和穩定，同時也能夠為保護機制的建立爭取時間。

3 安全措施

校園網安全問題是當前重要的一個問題，采取有效措施進行病毒和不良信息的入侵，能夠保證學校網絡環境的安全。

3.1 虛擬隔離

對于校園網內部環境的安全，應該利用VLAM技術進行虛擬隔離，給不同的區域不同的安全隔離，使不同等級的網絡劃分開，即使病毒進入一個區域，也不能任意妄為，擴散到其他區域，導致全網絡的癱瘓。

3.2 病毒查殺

校園網的安全問題，病毒查殺是重要解決措施，在網絡中安裝防毒軟件，能夠過濾和查殺網絡中可能存在的病毒，保證網絡數據安全，同時也加強互聯網連入業務的監控管理。

4 解決方案

校園使用用戶多，不同用戶需求不同，因而要制定相應措施，緩解網絡攻擊。

4.1 工作人員

校園網使用中，由于用戶很多，所以要對使用者提出要求。本系統和公共系統以及業務處理系統的服務器都可以進行訪問。但設計到部門的資源，特別是安全實施方案，不允許其他部門的用戶進行訪問，所以需要系統服務器、公共系統服務器和業務處理的路由都加入自身網絡。

4.2 內部服務器

對于系統內部服務器要提出要求，允許服務器通用，允許其他部門用戶訪問，但不能夠訪問服務器安全實施方案，部門內部的服務器要由自身管理，在連接校園網后，要加強服務器安全管理，統一給學校網絡中心管理。

4.3 公共服務器網段

公共服務器網段是開放的，將公共服務器的路由分發給允許訪問的用戶，在這個過程中，要注意的是個別部門對公共服務器的攻擊，進而控制公共服務器，達到訪問其他網絡的行為。

5 管理方案

校園網具有自身獨特的特點，以前，“外部網絡是”網絡安全建設的核心，現在轉成了“內部網絡”。其內部建設面臨挑戰，所以加強校園網安全管理十分重要。怎樣應對內部網絡安全威脅，不僅是已知威脅，還有未知威脅，組織攻擊手段在內網中的運行，保證校園網的安全。

5.1 終端管理

校園網的威脅，多來自學生。所以，校園網要利用終端管理是保證網絡安全。利用內網介入控制，對上網行為進行檢測，實現對外接或移動存儲空間的監控，利用身份認證技術，保證檢測到具體個人。

5.2 用戶管理

校園網安全管理中，應該制定管理制度和技術措施等，在制度中明確校園網用過的責任和義務，以此提供他們在使用網絡時的安全意識，這樣也能夠在校園網安全事故發生時，及時有效的做出處理。學生在使用校園網時，可以根據自身情況簽訂入網協議，這樣才能使學生用戶了解學生的網絡安全管理制度，對他們的用網行為起制約作用。另外，還需要對校園網安全管理者進行專業技能培訓，使他們能夠有能力應對校園網安全問題。

6 結語

校園網安全是學校教學和辦公的保證，目前很多學校網絡環境還沒有得到很快完善，在網絡安全上還存在一定缺陷，學校要采取各種措施和安全保護技術，例如病毒隔離技術、防火墻技術和VPN技術等等，從管理和技術上解決校園網安全問題，致力于給學校提供一個良好的網絡環境。

參考文獻

[1]林玉梅.高校校園網絡安全防護方案的設計與實施[D].華僑大學，2015（04）.

[2]李春曉.校園網網絡技術安全技術及解決方案分析[J].電子測試，2013（09）.

[3]張俊芳.高校校園網升級改造方案的設計與實現[D].華南理工大學，2014（06）.

網絡安全體系解決方案范文2

關鍵詞： 網絡安全；解決方案；建議

中圖分類號：P231 文獻標識碼：A 文章編號：1671－7597（2012）0610171－02

0 引言

隨著科學技術的發展，信息技術已經成為人們工作生活中必不可少的一個部分，而這種必要性使得計算機網絡更呈現突飛猛進的發展趨勢。而網絡的發展以及其伴隨而來的網絡安全問題越來越受到人們的關注，由于網絡安全所造成的嚴重損失已經有目共睹，所以如何在推廣網絡應用的同時提高網絡的安全性打造安全網絡成為廣大計算機網絡用戶關心的話題，這不但關系著網絡應用領域是否會受限，同時也關系著網絡是否能夠保持正常速度發展，以及是否能夠在現代化建設中發揮應有的作用。

1 網絡安全威脅概述

1）安全威脅的產生

主要是由于因特網的全球性、開放性、無縫連通性、共享性、動態性發展，使得網絡安全威脅從網絡誕生就一直伴隨著成長起來，而且隨著網絡發展速度不斷加快，網絡安全威脅問題也日益嚴重。而且隨著互聯網的應用領域日益廣泛，如金融、政府部門以及電子商務的盛行，使得網絡數據的安全重要性日益突出，如果網絡安全無法保障，則互聯網應用推廣必將遇到致命的瓶頸問題。如果從安全威脅的來源來看，可以將安全威脅主要分為自然威脅和人為威脅，自然威脅如天氣、環境、設備等；人為威脅如人為攻擊，通過尋找系統的弱點，以便破壞、欺騙、竊取數據等。

2）網絡安全面臨的威脅

網絡安全面臨的主要威脅可分為四個方面：即中斷、竊聽、篡改和偽造。中斷是對系統的可用性進行攻擊，如破壞計算機硬件、線路和文件管理系統等；竊聽是對系統的保密性進行攻擊，如搭線竊聽、對文件或程序的非法拷貝，包括獲取消息的內容，進行業務流分析，獲得消息的格式、通信雙方的位置和身份、通信的次數和消息的長度等；篡改是對系統的完整性進行攻擊，如修改數據文件中的數據，替換某一程序使其執行不同的功能、修改網絡中傳送的消息內容等，通常包括假冒合法實體通過防線、截獲合法數據后進行拷貝或重新發送、通信數據在傳輸過程中被改變、刪除或替代、業務拒絕即對通信設備的使用和管理被無條件的拒絕；偽造是對系統的真實性進行攻擊，如在網絡中插入偽造的消息或在文件中插入偽造的記錄等。以上所劃分的網絡安全威脅的四個方面，其實可以從一個更加通俗地角度來說明，中斷就是故意破壞對方之間的通信，而自己不需要獲取這些信息，其目的就是讓第三方也無法正確獲得這些信息；而竊聽就是不影響對方接收信息，但是希望獲知對方的通信內容，所以對于竊聽而言要講究隱蔽性，即最好的情況就是第三方之間的通信絲毫沒有覺察到他們之間的通信內容被己方所接收；篡改則更進一步，不但要竊聽到對方的通信內容，而且需要將這些信息根據己方利益最大化的原則進行修改。

3）安全業務——安全防護措施

保密業務：保護數據以防被動攻擊，保密業務流；加密機制，按照密鑰的類型不同，對稱密鑰算法和非對稱密鑰算法兩種，按照密碼體制的不同，分為序列密碼算法和分組密碼算法兩種；認證業務：保證通信的真實性，確保發送方或接收方的身份；完整性業務：防止對消息（流）的篡改和業務拒絕；不可否認業務：防止通信某一方對傳輸的否認；訪問控制：防止對網絡資源的非授權訪問，使用認證。

2 網絡安全解決方案建議

1）整體安全體系構建的幾個方面

網絡本身就是一個體系，是一個系統性的概念，在網絡通信中也涉及到多個實體或者協議，所以網絡安全涉及到多個方面，為了打造安全的網絡，就需要構建網絡安全的整體保護體系，只有這樣才能夠有效保護網絡的安全性。一般來說，網絡安全體系的構建可以從如下幾個方面加以考慮，也就是保護、檢測、響應、恢復，這四者構成了一個完整的體系，如果每一部分都能夠做好，則打造一個安全的計算機網絡不再是一句空話。保護是通過使用加解密技術、訪問控制技術、數字簽名技術，以及可驗證的信息交換過程等到方面對數據及其網上操作加以保護，保護也可以理解為對故意中斷網絡或者破壞數據的一種防護措施。檢測是對信息傳輸的內容的可控性的檢測，對信息平臺訪問過程的甄別檢測，對違規與惡意攻擊的檢測，對系統與網絡弱點與漏洞的檢測等等，如果有對網絡通信的惡意竊聽發生也需要及時檢測到。及時響應是網絡的一個重要指標，響應是在復雜的信息環境中，保證在任何時候信息平臺能高效正常運行，要求安全體系提供強有力的響應機制。無論防護措施多么嚴密，網絡安全技術如何卓越，我們都無法承諾網絡永遠不會受到破壞，所以此時有效的恢復就顯得尤為重要，恢復是指災難恢復，在系統受到攻擊的時候，評估系統受到的危害與損失，按緊急響應預案進行數據與系統恢復，啟動備份系統恢復工作等。

2）保障物理安全

物理安全是最基本的，如果硬件發生故障或者被破壞，其他一切網絡安全保護措施都成為無源之水，所以網絡的物理安全保障是整個網絡安全保障體系的基石。物理安全是用來保護計算機硬件和存儲介質的裝置和工作程序，物理安全防護包括防盜、防火、防靜電、防雷擊和防電磁泄漏等內容。屏蔽是防電磁泄漏的有效措施，屏蔽主要有電屏蔽、磁屏蔽和電磁蔽三種類型。

3）整體部署

網絡安全解決方案涉及安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術、認證和數字簽名技術、VPN技術等多方面的安全技術。在整個體系中的每一個部分，都是具有特定的功能需求，都是針對某一種安全需要而采取的安全措施。下面以一個實際的安全解決方案為例，建立網絡安全防護體系。

在網關位置配置多接口防火墻，根據功能作用不同，將整個網絡劃分為外部網絡、內部網絡、DMZ區等多個安全區域，由于工作主機在整個網絡中處于核心地位，而且主機如果發生安全問題將產生重要影響，所以將工作主機放置于內部網絡區域可以更有效地保護主機的安全，將Web服務器、數據庫服務器等服務器放置在DMZ區域，其他區域對服務器區的訪問必須經過防火墻模塊的檢查，這就相當于在服務器區提供了加固的安全作用。在中心交換機上配置基于網絡的IDS系統，監控整個網絡內的網絡流量，這是由于網絡流量的異常也是網絡是否安全是否受到攻擊的一個重要特征。在DMZ區內的重要服務器上安裝基于主機的IDS系統，對所有對上述服務器的訪問進行監控，并對相應的操作進行記錄和審計，這可以對故障診斷提供有效的輔助。

4）具體部署

下面對上一步中整個網絡安全體系中各個部分的具體配置進行介紹。防火墻設備，防火墻是用來連接兩個網絡并控制兩個網絡之間相互訪問的系統。包括用于網絡連接的軟件和硬件以及控制訪問的方案。這類防范措施可以只用路由器實現，可以用主機、子網、專用硬件來實現。所有在內部網絡和外部網絡之間傳輸的數據必須通過防火墻；只有被授權的合法數據即防火墻系統中安全策略允許的數據可以通過防火墻；防火墻本身不受各種攻擊的影響。在本方案中選用的防火墻設備是CheckPoint FireWall-1防火墻。FireWall-1功能特點有對應用程序的廣泛支持；集中管理下的分布式客戶機/服務器結構；遠程網絡訪問的安全保障（FireWall-1 SecuRemote）。

防病毒設備。在本方案中防病毒設備選用的是趨勢科技的整體防病毒產品和解決方案，包括中央管理控制、服務器防病毒和客戶機防病毒三部分，這對于抵擋當前已知的絕大部分病毒已經非常有效，而且由于防病毒產品的更新服務，所以只要在實際應用中時刻保持病毒庫版本為最新就可以保證系統的安全。

入侵監測設備就是為了當有入侵行為發生時系統可以及時獲悉，在本方案中入侵監測設備采用的是NFR入侵監測設備，包括NFR NID和NFR HID。NFR把基于網絡的入侵檢測技術NID和基于主機的入侵檢測技術HID完美地結合起來，構成了一個完整的，一致的實時入侵監控體系。

SAP身份認證設備對于任何系統的安全都是必不可少的，也是保障系統安全的基本措施。本方案采用的身份認證設備是Secure Computing的SafeWord。SafeWord具備分散式運作及無限制的可擴充特性。

3 結論

網絡安全是一個常說常新的話題，隨著攻防不斷升級，網絡攻擊入侵手段和網絡安全保護技術手段都更加先進，所以網絡的安全防護是一場沒有終點的戰役，只有時刻保持對網絡安全的高度重視，采用先進的網絡安全防護技術才有可能打造一個安全的網絡，本文對于網絡安全保障的一些措施希望能夠為網絡安全防護提供一些借鑒。

參考文獻：

[1]陳丹丹，網絡釣魚與網絡安全初探，消費電子，2012年，第5期.

[2]王志剛，淺談計算機網絡安全現狀及對策，今日財富（金融發展與監管），2012年，第4期.

[3]王麗云，初中校園網絡安全分析和策略，今日財富（金融發展與監管），2012年，第3期.

網絡安全體系解決方案范文3

關鍵詞：網絡安全；網絡管理；醫院信息化

中圖分類號：TP393 文獻標識碼：A文章編號：1009-3044(2011)11-2505-02

The Solution of Secure Network Platform of Digital Hospital

CAO Mao-cheng, HE Ji-fu

(Shenzhen Bao'an People's Hospital, Shenzhen 518101, China)

Abstract: Based on current domestic construction of network of large hospital of the status as the background, it make a specific analysis of the people's hospital of Bao An Shen Zhen. In accordance with the problems existed in hospital at present, it put forward a multi-service solution of digital hospital, explain in detail the key technology of the outpatient clinic network platform, INC and NBP.

Key words: network security; network management; hospital information

隨著信息技術的快速發展，越來越多的中國醫院正在加速實施基于基礎信息化網絡平臺、HIS等業務平臺的整體建設，以提高醫院的服務水平和核心競爭力，從最初的“以財務為中心”的醫院信息系統向“以病人為中心”的醫院信息系統轉變，醫院信息化建設已經取得了顯著成效。信息化不僅提升了醫生的工作效率，使醫生有更多的時間為患者服務，也提高了患者滿意度，而且無形之中還樹立起醫院的科技形象品牌，醫院信息化正越來越成為強化醫院活力與競爭力的關鍵行為，醫療業務應用與基礎網絡平臺的逐步融合正成為中國醫院，尤其是大中型醫院業務發展前進的新的驅動力。與此同時，醫療體系架構[1]的網絡安全和數據可用性也變得越來越重要。任何的網絡不可達或數據丟失輕則降低患者的滿意度，影響醫院的信譽，重則引起醫患糾紛、法律問題或社會問題。和其它行業的信息系統一樣，醫療信息系統在日常運行中面臨著各種安全風險帶來的安全應用事故。如何創建一個靈活、高效、安全的網絡整體解決方案正成為當前醫療領域迫切需要解決的問題之一。

本文在綜合分析目前國內醫院網絡安全研究現狀的基礎上，結合我院實際情況，提出并設計了數字化醫院網絡安全體系架構。文章首先介紹了我院目前網絡系統現狀及存在問題，然后提出了數字化醫院網絡平臺設計方案，然后詳細說明了新門診大樓、內網、邊網的安全解決方案。

1 我院網絡平臺現狀及存在問題

深圳市寶安人民醫院是一所集醫療、預防、保健、康復、科研、教學為一體的現代化醫院，全國百佳醫院、深圳市西部最大的綜合性醫院。早在1993年，我院就實現了門診電腦收費，1997年對醫院信息化進行了改造，初步實現了門診收費系統、住院收費系統、B超管理系統、藥房管理等一系列管理系統，是國內較早引入數字化醫院管理模式的醫院之一。近年來，隨著信息化技術的不斷發展，原有系統已不能適應醫院新的管理模式的需求，主要存在以下問題：

1）原有網絡結構、網絡性能均難以承載現有的豐富業務，并存在嚴重的安全隱患。

2）原有的二層網絡結構，不能對醫院網絡進行VLAN劃分，沒有對各區域業務進行隔離，在發生病毒、攻擊事件時、大量非法數據涌入核心網絡，易造成整個網絡癱瘓。

3）缺少網絡管理平臺[2]，醫院目前的網絡管理全靠工程師的工作經驗、插拔線等手段管理維護網絡，整個網絡不具備可控性、可維護性，不能及時發現、定位、排除網絡故障。

2 數字化醫院多業務解決方案

2004年，我院正式啟動新一輪數字化興院工程，總投資3800萬用于醫院的信息化建設，開始全面建設門診、住院信息系統、電子病歷、醫生/護士工作站、PACS等系統。在制定解決方案時，我院選擇了與杭州華三通信股份公司合作，共同改造我院網絡系統。

數字化醫院多業務平臺針對傳統網絡可控制低、網絡資源自動適應性差、網絡缺乏立體安全等，提出以醫院業務應用為主體、不斷發展完善的智能網絡技術、安全技術和靈活的資源調度為基礎、為醫院用戶提供端到端品質保證的融合數據、語音、視頻等多業務的網絡實體。我院數字化平臺組網框架示意圖如圖1所示。

數字化醫院多業務解決方案針對門診、住院、影像檢查系統等業務的不同需求，結合了WLAN[3]技術、IRF智能擴展技術、EAD[4]端點準入、IPS[5-6]、IP存儲等多種技術、以為用戶提供安全可靠、多業務承載、易擴展、易管理的網絡平臺為最終目標。網絡核心層采用兩臺H3C S9512,配置最新的交換引擎，主要是考慮未來幾年信息系統發展的需要和設備的性價比，同時支持IPV6；匯聚層采用了兩臺H3C S5500，支持三層交換，通過光纖雙鏈路上鏈到兩臺核心交換機S9512，構成冗余主干，同時利用交換機強大的虛網管理功能，對網絡進行VLAN劃分。

2.1 IRF技術構建高可靠門診網絡平臺

門診是醫院業務最繁忙、最關鍵的部門之一，眾多的患者包括急重癥病人都在門診等待醫生的及時診斷，患者從進入醫院掛號到診斷、檢查、取藥離開醫院涉及醫院多個業務系統的相互配合。門診眾多系統中任何一個環節出現問題，都會直接導致醫院大規模的癱瘓，不僅給醫院造成直接經濟損失，更有可能耽誤對患者的最佳診療時機，對病人生命造成威脅。門診業務系統的可靠性要求高、并發性、實時性和突發性強等特點對門診的網絡也提出了電信級的高可靠要求。圖2是我院新門診大樓網絡解決方案。

新門診大樓網絡設計中，各個樓層的接入交換機通過堆疊技術變成邏輯上的一臺設備，將傳統的跨設備雙千兆鏈路的主備工作模式轉變為跨設備雙千兆鏈路捆綁模式，不僅提高了網絡的接入帶寬，也提高了網絡可靠性。H3C的IRF智能性框架技術能在提高網絡性能、可靠性的同時，還能降低網絡建設成本和維護成本，為將來的平滑擴展墓定了良好基礎。

2.2 醫院內網控制（INC）解決方案

醫院內網控制（INC）解決方案由安全管理平臺、安全防護設備和終端軟件組成。通過終端軟件接入并有安全管理平臺進行身份認證和終端安全狀態評估，確保每一個接入端點的安全、預防內網病毒、蠕蟲的泛濫；安全防護設備則對發現的內網攻擊進行阻斷，同時上報安全管理平臺；安全管理平臺分析后與網絡和安全設備聯動，控制攻擊來源，避免威脅的再次發生，并為用戶提供整網安全審計報告。通過點(接入端點控制)、線(安全事件聯動)、面（統一安全管理）相結合的立體防護，為醫院用戶提供最可靠、最有效的內網安全解決方案。圖3為內網控制解決方案示意圖。

醫院用戶在接入網絡之前，必須要通過身份認證，要求用戶輸入用戶名、密碼信息，身份認證通過后，EAD客戶端還會檢查用戶計算機的安全狀態，包括計算機操作系統補丁安裝是否合格、病毒庫定義是否合格、是否啟動防病毒軟件、是否安裝了非法軟件、是否只啟用符合其身份的應用軟件等等，只有通過安全認證，計算機才能正常接入到網絡中開始工作，安全狀態檢查只要有一條不能滿足要求，該計算機將被安全隔離到隔離區，并在隔離區內自動安裝系統補丁、防病毒軟件、卸載非法軟件等。

除了提供用戶安全認證，EAD解決方案還可實現基于用戶的權限管理，不同用戶能訪問的應用服務器各不相同，并可根據內網、外網劃分為兩大類用戶，實現內網用戶禁止訪問Internet，而外網用戶可以訪問Internet，但不能訪問HIS等業務系統，部分用戶，如院長、信息中心人員則同時具有內網、外網訪問權限。

2.3 IPS醫院邊界防護（NBP）解決方案

由于業務的需要，醫院網絡有多個外部網絡連接，例如Internet 連接、衛生專網連接、社保系統連接等，醫院網絡與這些外部網絡之間存在復雜的數據交換的需求，需要對這些不同網絡之間的通信進行嚴格的檢測、控制和隔離，保證網絡數據流動的安全。

醫院網絡劃分安全區域后，在不同信任級別的安全區域之間形成了網絡邊界?？邕吔绲墓舴N類繁多、破壞力強，雖然采用了防火墻、IDS等傳統的安全防護手段，但是安全威脅依然存在。針對傳統安全設備的不足，我院網絡邊界防護采用了H3C的網絡邊界(NBP)解決方案，有效保障院內外網數據交互安全。圖4是網絡邊界防護解決方案示意圖。

H3C的基于交換機的Sec Blade防火墻/IPS模塊和Sec Path防火墻/IPS設備可以根據用戶的實際情況提供不同的動態解決方案。Sec Path/Sec Blade產品集成了包過濾和狀態檢測技術，對不同信任級別的安全區域制定相應的安全策略，防止非授權訪問。Sec Path/Sec Blade IPS 能夠精確實時識別并防御蠕蟲、木馬、DDOS等網絡攻擊，細粒度的控制P2P/IM造成的帶寬濫用。

3 總結與展望

醫院信息化、數字化建設依賴安全可靠的網絡系統，如何保證數據安全也是一個非常重要的方面。我院通過采用多樣化的安全策略和技術，采用不斷變化的安全機制和技術，有效加強管理體系，建立了一個有特色的網絡安全體系，保障了醫院信息化建設的正常運行。

數字化醫院的發展面臨著業務流程復雜、缺乏統一標準等諸多問題，任重而道遠。面對數字化、集成化、智能化、區域化的發展趨勢，我們將立志于為醫院建設一個多業務融合、智能可控、安全可靠、資源動態可控的高品質網絡，為醫療業務的不斷發展提供安全可靠的平臺。

參考文獻：

[1] 張真真.大型醫院網絡安全防護體系的架構[J].現代醫院管理,2008,6(27):63-65.

[2] 張震江.我院網絡管理平臺架構淺析[J].中華醫院管理雜志,2006,8(22):564-566.

[3] 楊新宇,徐慶飛,等.WLAN環境下EAP-TLS認證機制的分析與實現[J].計算機應用,2008,6(28):43-45.

[4] 支林仙,朱新宇.端點準入防御(EAD)解決方案簡析[J].福建電腦,2007(4):73-76.

網絡安全體系解決方案范文4

關鍵詞信息安全；PKI；CA；VPN

1引言

隨著計算機網絡的出現和互聯網的飛速發展，企業基于網絡的計算機應用也在迅速增加，基于網絡信息系統給企業的經營管理帶來了更大的經濟效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。

隨著信息化技術的飛速發展，許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力，使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場，企業就面臨著如何提高自身核心競爭力的問題，而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進行說明。

2信息系統現狀

2.1信息化整體狀況

1)計算機網絡

某公司現有計算機500余臺，通過內部網相互連接，根據公司統一規劃，通過防火墻與外網互聯。在內部網絡中，各計算機在同一網段，通過交換機連接。

圖1

2)應用系統

經過多年的積累，某公司的計算機應用已基本覆蓋了經營管理的各個環節，包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善，計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。

2.2信息安全現狀

為保障計算機網絡的安全，某公司實施了計算機網絡安全項目，基于當時對信息安全的認識和安全產品的狀況，信息安全的主要內容是網絡安全，部署了防火墻、防病毒服務器等網絡安全產品，極大地提升了公司計算機網絡的安全性，這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。

3風險與需求分析

3.1風險分析

通過對我們信息系統現狀的分析，可得出如下結論：

(1)經營管理對計算機應用系統的依賴性增強，計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。

(2)計算機應用系統涉及越來越多的企業關鍵數據，這些數據大多集中在公司總部數據中心，因此有必要加強各計算機應用系統的用戶管理和身份的認證，加強對數據的備份，并運用技術手段，提高數據的機密性、完整性和可用性。

通過對現有的信息安全體系的分析，也可以看出：隨著計算機技術的發展、安全威脅種類的增加，某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷，具體表現在：

(1)系統性不強，安全防護僅限于網絡安全，系統、應用和數據的安全存在較大的風險。

目前實施的安全方案是基于當時的認識進行的，主要工作集中于網絡安全，對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證，對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數據備份缺乏整體方案和制度規范，容易造成重要數據的丟失和泄露。

當時的網絡安全的基本是一種外部網絡安全的概念，是基于這樣一種信任模型的，即網絡內部的用戶都是可信的。在這種信任模型下，假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。

針對外部網絡安全，人們提出了內部網絡安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內部人員可以直接對重要的服務器進行操控從而破壞信息，或者從內部網絡訪問服務器，下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。

美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點：超過80%的信息安全隱患是來自組織內部，這些隱患直接導致了信息被內部人員所竊取和破壞。

信息系統的安全防范是一個動態過程，某公司缺乏相關的規章制度、技術規范，也沒有選用有關的安全服務。不能充分發揮安全產品的效能。

(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢，存在一定的網絡安全隱患，產品亟待升級。

已購買的網絡安全產品中，有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性，擬對系統的互聯網出口進行嚴格限制，原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現有的防火墻不具備這些功能。

網絡信息系統的安全建設建立在風險評估的基礎上，這是信息化建設的內在要求，系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期，在規劃的過程中，就運用風險評估、風險管理的手段，用戶才可以避免重復建設和投資的浪費。

3.2需求分析

如前所述，某公司信息系統存在較大的風險，信息安全的需求主要體現在如下幾點：

(1)某公司信息系統不僅需要安全可靠的計算機網絡，也需要做好系統、應用、數據各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

(2)網絡規模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現，使某公司計算機網絡安全面臨更大的挑戰，原有的產品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要加快規章制度和技術規范的建設，使安全防范的各項工作都能夠有序、規范地進行。

(4)信息安全防范是一個動態循環的過程，如何利用專業公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現的各種安全威脅，也是某公司面臨的重要課題。

4設計原則

安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。

4.1標準化原則

本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定，使安全技術體系的建設達到標準化、規范化的要求，為拓展、升級和集中統一打好基礎。

4.2系統化原則

信息安全是一個復雜的系統工程，從信息系統的各層次、安全防范的各階段全面地進行考慮，既注重技術的實現，又要加大管理的力度，以形成系統化的解決方案。

4.3規避風險原則

安全技術體系的建設涉及網絡、系統、應用等方方面面，任何改造、添加甚至移動，都可能影響現有網絡的暢通或在用系統的連續、穩定運行，這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題，在規劃與應用系統銜接的基礎安全措施時，優先保證透明化，從提供通用安全基礎服務的要求出發，設計并實現安全系統與應用系統的平滑連接。

4.4保護投資原則

由于信息安全理論與技術發展的歷史原因和自身的資金能力，某公司分期、分批建設了一些整體的或區域的安全技術系統，配置了相應的設施。因此，本方案依據保護信息安全投資效益的基本原則，在合理規劃、建設新的安全子系統或投入新的安全設施的同時，對現有安全系統采取了完善、整合的辦法，以使其納入總體安全技術體系，發揮更好的效能，而不是排斥或拋棄。

4.5多重保護原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

4.6分步實施原則

由于某公司應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性，尋求安全、風險、開銷的平衡，采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節省費用開支。

5設計思路及安全產品的選擇和部署

信息安全防范應做整體的考慮，全面覆蓋信息系統的各層次，針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終，如圖2所示。

圖2網絡與信息安全防范體系模型

信息安全又是相對的，需要在風險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現狀的分析，對現有的信息安全產品和解決方案的調查，通過與計算機專業公司接觸，初步確定了本次安全項目的內容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。

5.1網絡安全基礎設施

證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺，都必須建立在一個安全可信的網絡之上。目前，解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure，公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系，它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題，為網絡應用提供可靠的安全保障，向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統，建立一個完善的網絡安全認證平臺，能夠通過這個安全平臺實現以下目標：

身份認證(Authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數字證書來確認對方的身份。

數據的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數字證書加密來完成。

數據的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數和數字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數字簽名來完成，數字簽名可作為法律證據。

5.2邊界防護和網絡的隔離

VPN(VirtualPrivateNetwork)虛擬專用網，是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比，具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。

通過安裝部署VPN系統，可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體，通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道，使得合法的用戶可以安全的訪問企業的私有數據，用以代替專線方式，實現移動用戶、遠程LAN的安全連接。

集成的防火墻功能模塊采用了狀態檢測的包過濾技術，可以對多種網絡對象進行有效地訪問監控，為網絡提供高效、穩定地安全保護。

集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先，它的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織(根證書)之間相互認證，整個信任關系基本是樹狀的。其次，S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。

5.4桌面安全防護

對企業信息安全的威脅不僅來自企業網絡外部，大量的安全威脅來自企業內部。很早之前安全界就有數據顯示，近80%的網絡安全事件，是來自于企業內部。同時，由于是內部人員所為，這樣的安全犯罪往往目的明確，如針對企業機密和專利信息的竊取、財務欺騙等，因此，對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。

桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術，可以無縫嵌入OFFICE系統，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統

安全登錄系統提供了對系統和網絡登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統

文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法，從而保證了存儲數據的安全性。

5.5身份認證

身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USBKey內置的密碼算法實現對用戶身份的認證。

基于PKI的USBKey的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系，從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。

6方案的組織與實施方式

網絡與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程，也為本方案的實施提供了借鑒。

圖3

因此在本方案的組織和實施中，除了工程的實施外，還應重視以下各項工作：

(1)在初步進行風險分析基礎上，方案實施方應進行進一步的風險評估，明確需求所在，務求有的放矢，確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分，必要時可借助專業公司的安全服務，提高應對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據實際情況，可采取分地區、分階段實施的方式。

(4)在方案實施的同時，加強規章制度、技術規范的建設，使信息安全的日常工作進一步制度化、規范化。

7結論

本文以某公司為例，分析了網絡安全現狀，指出目前存在的風險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術手段的改進，到規章制度的完善；從單機系統的安全加固，到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署，為眾多行業提供了網絡安全解決手段。

也希望通過本方案的實施，可以建立較完善的信息安全體系，有效地防范信息系統來自各方面的攻擊和威脅，把風險降到最低水平。

網絡安全體系解決方案范文5

【關鍵詞】安全缺陷 TCP/IP終端安全多級備份 入侵檢測 加密 解密

近年來‘1.21 DNS事件’和‘棱鏡門事件’等網絡安全事件層出不窮，使得網絡安全監控管理理論和機制的研究受到高度的重視，而各類網絡安全技術的創新已是網絡安全研究的主導方向。但是，網絡安全體系一定要以網為本，從網絡系統的角度重新設計網絡的安全體系。下面就對網絡安全技術應用的綜合性及系統性進行剖析。

一、網絡面臨的安全問題

網絡環境下的信息和數據面臨諸多風險，即使是在使用了現有的安全機制情況下，由于每一種安全機制都有一定的應用范圍和應用環境，網絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點：

（一）網絡的自身的安全缺陷是導致網絡安全問題的根本原因。

TCP/IP協議是網絡中使用的基本通信協議，設計之初沒有充分考慮安全威脅，許多的網絡協議和應用沒有提供必要的安全服務。確切的說，TCP/IP除了最常用的TCP和IP協議外，還包含許多工具性協議、管理協議及應用協議。TCP/IP協議共分為應用層、傳輸層、網際層、網絡接口層。其中，應用層向用戶提供訪問Internet的TELNET、FTP、DNS等一些高層協議。傳輸層提供應用程序端到端通信服務的TCP和UDP協議。網際層負責相鄰主機之間的通信的IP和ICMP等協議。網絡接口層主要負責數據幀的發送和接收。而這些協議基本上都存安全設計缺陷或漏洞。

（二）網絡系統的維護和管理方面的困難性也是網絡安全問題主要原因。

木桶理論：傳統理論描述的是一個木桶其價值在于盛水量的多少，但決定盛水量的關鍵是最短的木板。新理論認為，木桶的長久盛水量，取決于各木板之間配合的緊密性。相對于傳統理論，新理論更強調系統中各個部件之間的關聯。

根據權威部門統計，超過80%的網絡安全問題源于用戶終端，業界也推出了大量的軟硬件安全產品。但這些產品并沒有真正解決終端安全問題，究其原因是它們只著眼于自己的領域，相互沒有配合。

（三）用戶的安全和防范意識薄弱是造成網絡安全問題的最重要原因。

二、網絡安全的防護

現階段為了解決網絡環境下所面臨的安全問題，必須強化網絡安全意識，創新網絡安全策略，積極落實安全防范措施。但由于網絡安全威脅的多樣性和復雜性，從而導致了對網絡安全防護的綜合性和系統性。

（一）針對以上三大隱患我們需要進行有針對性的防范：

1.網絡自身的安全缺陷導致的網絡安全問題

對于網絡自身的安全問題是不可避免，長期存在的。由于網絡和相關軟件越來越復雜，安全漏洞也會越來越多，這些漏洞往往成為網絡攻擊的重要目標或渠道。因此我們在與相應的軟件硬件廠商保持實時信息交流的同時，時刻關注網絡安全的最新消息，有針對性地更新解決方案和應用策略。

2.網絡維護和管理方面的困難性導致的網絡安全問題

網絡安全需要網絡管理者和建設者主動思考，通過安全聯動技術將整個網絡系統中的各類資源進行整合，這樣才能真正實現全面防護、統一管理、降低成本、強制安全等目標。

3.用戶安全和防范意識薄弱造成的網絡安全問題

首先要通過管理制度和普及相應的法律法規來全面的提升用戶的安全和防范意識，使用戶主動做好終端的管理和防護；其次，需要抓住網絡準入這一關鍵點來管理終端，確保終端安全制度嚴格實施。同時融入其它的安全和管理技術，建立主動防御的安全體系，并在實踐中不斷完善。

（二）網絡安全防護還需通過以下方式手段進行完善：

1.部署防火墻

防火墻的基本功能是對網絡進行訪問控制。絕大部分的防火墻都是放置在可信任網絡（內部網）和不可信任網絡（Internet）之間。在實際的應用中可結合實際需求情況進行部署。

2.在網絡內部和日常管理過程中建立多級備份機制

數據和信息安全工作是網絡安全的重中之重。對于重要數據資料采取必要的容災備份機制，以保證不丟失或被破壞，即使遭到破壞在最短時間內可以恢復。

3.加強對惡意代碼程序的防護

在網絡預防方面：由于現有的防控軟件和硬件大多數都屬于被動的防治，因此對于惡意代碼程序的防護應該通過管理和制度上從根本進行預防。

在終端預防方面：由于惡意代碼程序都是基于軟件運行的。對其防治在于完善軟件的安全機制。因此我們首先要嚴格管理制度，對網絡中的終端使用行為和各類軟件從嚴進行管理與檢測。

①加強系統中軟硬件的漏洞檢測和更新

就目前網絡系統的安全狀況而言，系統中的軟件和硬件都可能存在漏洞。因此必需與設備廠商建立長久的更新預防機制。

②采用加解密技術

網絡是一個開放式系統，加密和解密技術不能公應用于email等應用，對于其它的網絡通信也很重要。

③部署入侵檢測系統

入侵檢測系統可以檢查網絡或系統中是否存在違反即定安全策略的行為和被攻擊的跡象，通過采取相應的聯動手段達到限制這些活動，以保護網絡和信息系統的安全。

三、結束語

網絡安全技術的應用是一個綜合性的課題，涉及到技術、管理、使用等諸多方面，既包含信息系統本身的安全問題，也有物理和邏輯的技術措施，需要通過精心調研網絡信息系統的安全需求，確定切實可行的網絡信息安全解決方案。只有通過在建設和應用過程中不斷地分析問題、不斷地創新解決方案，同時嚴格的執行相關的管理制度和操作規程、明確清晰的制定安全策略，以及建立高素質的網絡管理人才隊伍。才能完好、實時地保證信息的安全性、完整性和準確性，為網絡信息提供最大化的安全服務。

參考文獻：

[1]杭州華三通信技術有限公司.新一代網絡建設理論與實踐[M].電子工業出版社，2001.

網絡安全體系解決方案范文6

高校在建設的時候，網絡規劃、網絡安全設計等都是根據當時的實際情況再預計未來一段時間的擴展性來設計，許多網絡系統、設備等到目前為止已經開始落后。網絡數據的井噴與網絡應用的飛速發展，更是進一步考驗高校現有網絡的安全性、可靠性和穩定性。雖然，許多高校隨著時代的不斷發展，也在不斷地更新換代新的設備，但是更換新一代的設備只是性能上的進一步提升，對于數據處理、轉發是跟得上時代的發展，不過對于網絡安全來說卻遠遠不足。

關鍵詞：

網絡安全；校園網；策略

1校園網絡基礎網絡架構

早期大部分高等院校校園建設的時候，信息化規劃跟不上學校教育的擴展，許多高等院校的基礎網絡架構都是簡單的層次化網絡結構（見圖1）：接入層、匯聚層、核心層級聯，再通過防火墻出口外部網絡，同時保證外部網絡對內部網絡的威脅被阻止，相對高級一些的設計還可能包括IDS（入侵檢測系統），隨著學校的不斷發展，一步步在原有的基礎網絡上添加新設備來豐富網絡組成，并提供更多的網絡服務。

2傳統網絡攻擊過程

在從前，主要的網絡安全威脅來自基于各種漏洞而進行的網絡攻擊和下載帶病毒的軟件包而導致的系統病毒感染。而這些傳統的網絡攻擊手段之后，才是在被攻破的系統中留下木馬、后門，或者破壞、竊取數據。這些傳統的攻擊手段是層層遞進式的（見圖2），從攻擊的開始到結束以遞進的形式進行，如果前面的步驟無法實現，則整個網絡攻擊過程將會中斷。這些傳統的網絡攻擊包括諸如DoS攻擊、DDoS攻擊、系統入侵、網絡滲透等。不斷重復這樣的一個網絡攻擊過程，當累積到一定的量后所組成的網絡僵尸大軍將對整個網絡造成非常嚴重的影響。

3傳統校園網絡安全防范體系

根據傳統的網絡攻擊過程，在許多的院校的基礎網絡中都會加入相應的網絡安全防范措施，這些網絡安全防范措施就構成了常見的校園網絡安全防范體系。而在傳統的高校校園網絡安全防范體系中，將網絡安全防御定義為外部網絡、內部網絡和用戶3個層次，而每個層次中有針對該層次的網絡安全設備和措施。對于外部網絡這一個層面，直接面對的是防火墻，很多的院校網絡都采用防火墻作網絡出口，承擔著網關與防火墻的雙重功能。采用防火墻作為外部網絡與內部網絡的邊界，可以有效地阻止大部分來自于外部網絡的惡意攻擊，保證內部網絡的穩定。在防火墻之后部署一臺入侵防御系統，可以進一步檢測可能避過防火墻的安全檢測而進入網絡的惡意流量。在內部網絡這個層面，傳統的網絡安全體系中一般沒有什么網絡安全設備，在這個層次主要采用的是基于策略的網絡安全措施，也就是所謂的軟設備。通過網絡設備中進行軟件層面的安全策略設計，保證內部網絡流量的正常穩定的轉發。例如，采用訪問控制列表來對網絡進行一些控制，不允許學生訪問教師網絡資源；使用QoS功能保證數據的高效轉發，設置安全端口，MAC與IP地址的綁定，甚至更高級的基于802.1x的認證。到了用戶層面，主要確保的是操作系統的安全，因為很多惡意的攻擊軟件、病毒、木馬或入侵軟件都是基于操作系統漏洞進行滲透破壞的，所以在用戶這個層面，針對操作系統要打好操作系統的補丁、安裝功能強大的殺毒軟件，開啟操作系統自帶的軟件防火墻或者殺毒軟件的防火墻，進一步，加強用戶層面的安全性。即使用有瞞過防火墻，混過入侵防護系統的漏網之魚，也可以在用戶層面進行補救。采用這種傳統的網絡安全體系進行網絡安全的設計部署，在以前的網絡時代還是有很好的效果的，但是，現今進入了網絡時代2.0，新的技術、新的威脅層出不窮，此時舊的網絡安全體系在網絡安全防護上表現得就有些捉襟見肘了。校園網絡需要推陳出新，結合現在的校園網絡及互聯網絡的發展趨勢，設計更合適更合理的網絡安全解決方案。

4傳統網絡安全策略應用分析

傳統校園網絡安全解決方案使用的網絡安全策略應用是基于不同層面進行區分的，針對不同層面分別部署相對應的網絡安全設備或網絡安全策略。這種網絡安全策略應用主要是針對從外部網絡進入內部網絡的流量進行檢測控制，正如防火墻功能一樣，定義了外部非安全區域、內部安全區域和DMZ區域，然后給這些區域定義安全等級和默認策略。這種安全體系的設計對于以前的網絡攻擊過程（見圖4）來說是可以滿足校園網絡安全的需求的。在以前的網絡環境中，攻擊主要來自外部，內部的安全等級是可信的，所以外部的攻擊流量經過防火墻后，基本上已經抵御了，再經過IPS或IDS設備后，到達用戶層面時還要經過操作系統或殺毒軟件防火墻后，可以成功攻擊目標的惡意行為已經降到了可接受層面范圍。所以，從前的校園網絡安全情況比現在相對要好一些。如圖4的攻擊過程示意所示，基于原有的網絡安全策略應用對于起源自外部網絡的攻擊可以做到有效防范，但是正如前文提到的，現在越來越多的現象是，內部用戶通過其他途徑感染了自動下載代碼或木馬端等惡意源后，從內部發起攻擊或者自動下載各式各樣病毒木馬直接破壞用戶操作系統，并以此為跳板，從內部網絡感染、攻擊其他用戶主機、學校服務器等設備，導致學校網絡受到嚴重影響進一步影響學校的正常教學秩序。原有的校園網絡安全策略應用基于單向防護、由3個獨立層面以遞進的方式構建的校園網絡防御系統，其性能已經無法適應現時復雜多樣化的校園網絡環境。因此，針對這個舊的網絡安全策略應用的不足，需要一個更合適更優秀的校園網絡安全策略。

5傳統網絡安全策略架構分析

在院校用的舊的校園網絡解決方案中，采用的基礎架構簡單實用，在從前的網絡時代，無論是外部網絡還是內部網絡的數據流量都不并是很大，而且那時候無論是師生的日常生活還是教學活動中，對網絡的依賴程度也不高。不過，隨著人們對網絡的依賴性的不斷加強，以及信息化教學的廣泛推廣，校園網絡中產生了越來越多的數據，并且日常教學也有絕大部分是基于網絡的。這個時候，傳統的網絡架構就存在不足，主要體現在網絡單點故障現象導致的網絡中斷而影響師生的生活學習和學校的教學秩序。現在新規劃的校園網絡中，校園網絡基礎架構相對復雜，但是性能和安全性都有所提升?，F有校園網絡基本上都是基于雙網絡核心熱備以提高網絡的安全性和可靠性的設計，根據學校的需求，可以選擇在關鍵節點部署雙機熱備提供安全可靠性，避免了原有基礎網絡架構的不足。

6網絡安全策略應用技術分析

經過調查了解，現在校園網絡中采用的技術有很多都不符合標準，例如密碼的復雜性，這個最基本的一條都做不到。另外，學校管理中使用的技術不足，如管理網絡設備使用telnet協議而不是采用ssh，對管理流量與數據流量沒有區分控制，無線網絡的加密算法采用容易破解的算法等等。這些技術細節上的不足，也會導致校園網絡安全受到威脅。因此，在新的網絡安全策略應用中，應該注意相關網絡安全技術的使用是否符合安全等級的要求。

7傳統高校校園網絡安全策略應用的優點

對于傳統的高校校園網絡安全解決辦法來說，好處就是學校的信息化建設方案相對簡單，管理相對便捷，在數據量以及網絡依賴性不高的院校，或資金不足的院校具有一定的參考作用。

8傳統高校校園網絡安全策略應用的缺點

對于傳統的高校校園網絡安全解決辦法來說，弊端就是學校校園網絡安全受到嚴重威脅，來自校園網絡外部、內部、系統自身產生的安全威脅匯集起來使用整個校園網絡的復雜性、不穩定性大大增加，最后導致網絡安全性大大降低。

作者：周怡燕 單位：南華工商學院

[參考文獻]

[1]鄒縣芳，孫道德.高校校園網絡安全問題及策略研究[J].阜陽師范學院學報：自然科學版，2010（27）：87-90.

[2]杜蕓.高校校園網網絡安全隱患與解決策略探析[J].信息安全與技術，2015（6）：13-15.

[3]王超，林峰.高校校園網絡安全管理策略[J].科技資訊，2007（7）：160-161.