導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全設(shè)計方案總結(jié)，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

如果電力系統(tǒng)中缺少嚴格的驗證機制，或者不同業(yè)務(wù)系統(tǒng)之間缺乏有效的訪問控制，可能導(dǎo)致非法用戶使用到關(guān)鍵業(yè)務(wù)系統(tǒng)，引發(fā)非法侵入的業(yè)務(wù)安全風險。

2電力行業(yè)計算機應(yīng)用網(wǎng)絡(luò)安全結(jié)構(gòu)的內(nèi)容

基于電力行業(yè)所面臨的網(wǎng)絡(luò)安全風險，為保障整個電力系統(tǒng)的安全、穩(wěn)定運行，必須建立一套符合電力行業(yè)自身特點的網(wǎng)絡(luò)安全結(jié)構(gòu)。而所謂電力行業(yè)計算機應(yīng)用網(wǎng)絡(luò)的安全結(jié)構(gòu)，即是應(yīng)用和實施一個基于多層次安全系統(tǒng)的全面網(wǎng)絡(luò)安全策略，在多個層次上部署相關(guān)的安全產(chǎn)品，以實現(xiàn)控制網(wǎng)絡(luò)和主機存取，降低系統(tǒng)被攻擊危險，從而達到安全防護的目的。網(wǎng)絡(luò)安全結(jié)構(gòu)的內(nèi)容主要有以下幾個方面：2.1網(wǎng)絡(luò)安全防護結(jié)構(gòu)體系電力行業(yè)網(wǎng)絡(luò)安全防護的基礎(chǔ)是網(wǎng)絡(luò)安全域的劃分。根據(jù)《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定》的要求，電力系統(tǒng)的網(wǎng)絡(luò)可劃分為四級網(wǎng)。其中，電力調(diào)度生產(chǎn)控制與實時監(jiān)測可作為一、二級網(wǎng)，它與三、四級網(wǎng)絡(luò)是進行物理隔離的。第三級網(wǎng)為DMIS網(wǎng)，第四級網(wǎng)為MIS網(wǎng)，網(wǎng)絡(luò)安全防護的重點也是第三、第四級網(wǎng)絡(luò)。根據(jù)整個電力行業(yè)計算機應(yīng)用網(wǎng)絡(luò)的特點，還可對三、四級網(wǎng)絡(luò)進行進一步安全域的劃分，并劃清網(wǎng)絡(luò)的邊界，綜合采用路由器、防火墻、入侵監(jiān)測等技術(shù)對三、四級網(wǎng)絡(luò)進行綜合防護。2.2安全防護技術(shù)的應(yīng)用電力行業(yè)網(wǎng)絡(luò)安全防護技術(shù)，主要包括了防護墻技術(shù)、漏洞掃描技術(shù)、入侵檢測技術(shù)、病毒防治技術(shù)等，這些安全防護技術(shù)作為網(wǎng)絡(luò)防護結(jié)構(gòu)的基礎(chǔ)組成部分，在統(tǒng)一的安全策略指導(dǎo)下，以保障系統(tǒng)的整體安全。其中，防火墻技術(shù)、入侵檢測技術(shù)和漏洞掃描技術(shù)，主要是針對內(nèi)部信息系統(tǒng)不同安全域進行的安全防護；而病毒防治技術(shù)則主要是面對電力系統(tǒng)內(nèi)的客戶端及各種服務(wù)器提供安全服務(wù)。

3電力行業(yè)計算機應(yīng)用網(wǎng)絡(luò)安全結(jié)構(gòu)的設(shè)計

3.1網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計的原則

（1）安全性原則。是指網(wǎng)絡(luò)安全結(jié)構(gòu)的設(shè)計方案，應(yīng)充分確保電力系統(tǒng)的安全性；所采用的安全技術(shù)產(chǎn)品應(yīng)有著良好的產(chǎn)品質(zhì)量與可靠性，以充分保證系統(tǒng)的安全。

（2）一致性原則。主要是電力行業(yè)網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期同時存在，所制定的安全體系結(jié)構(gòu)也必須與網(wǎng)絡(luò)的安全需求相一致。

（3）易操作性原則。網(wǎng)絡(luò)安全結(jié)構(gòu)的相關(guān)技術(shù)措施需要由人為去完成，如果所采用的技術(shù)措施過于復(fù)雜，對人的要求也過高，這自身就降低了系統(tǒng)的安全性。

（4）分布實施原則。由于電力網(wǎng)絡(luò)系統(tǒng)隨著規(guī)模的擴大和應(yīng)用領(lǐng)域的增加，網(wǎng)絡(luò)受到攻擊的可能性也不斷增加，想一勞永逸的解決電力網(wǎng)絡(luò)安全問題是不現(xiàn)實的，而且網(wǎng)絡(luò)安全措施的實施也需要相當?shù)馁M用支出。因此，網(wǎng)絡(luò)安全結(jié)構(gòu)的建設(shè)可采用分布實施的方式，既可滿足當前網(wǎng)絡(luò)對信息安全的需要，也可為今后系統(tǒng)的擴展與完善奠定良好的基礎(chǔ)。

3.2網(wǎng)絡(luò)安全結(jié)構(gòu)具體設(shè)計方案的應(yīng)用

（1）電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計整個電力行業(yè)計算機應(yīng)用網(wǎng)絡(luò)，不僅會受到外部的攻擊，也同時會受到內(nèi)部攻擊。內(nèi)部網(wǎng)絡(luò)主要是指用于控制電力設(shè)備以及采集運行數(shù)據(jù)的設(shè)備層網(wǎng)絡(luò)系統(tǒng)，如SCADA系統(tǒng)DSC系統(tǒng)等，由于這部分網(wǎng)絡(luò)需和電力控制設(shè)備之間直接進行數(shù)據(jù)間的交換，任何非法入侵的數(shù)據(jù)都可能引發(fā)電力設(shè)備的故障，并可能導(dǎo)致整個電網(wǎng)的安全運行受到影響。為了有效解決內(nèi)網(wǎng)的安全防護問題，可在電站系統(tǒng)的局域網(wǎng)內(nèi)部，使用防火墻技術(shù)對不同的網(wǎng)段進行隔離，并且采用IPS設(shè)備加強對關(guān)鍵應(yīng)用部位的監(jiān)控與保護。如圖1所示，即為電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計。在該設(shè)計方案中：

①使用防火墻集群將內(nèi)部與外部網(wǎng)絡(luò)隔離，保證電力網(wǎng)絡(luò)外部的攻擊與漏洞掃描等，不會影響到內(nèi)網(wǎng)數(shù)據(jù)的正常傳輸與交流；

②再將內(nèi)部網(wǎng)絡(luò)的不同區(qū)域進行隔離，使之能具備不同級別的訪問權(quán)限，以有效保證內(nèi)網(wǎng)數(shù)據(jù)的安全性；

③對電站關(guān)鍵部位的安全防護還可采用IPS裝置，以保證內(nèi)部重要數(shù)據(jù)的可監(jiān)控性、可審計性以及防止惡意流量的攻擊。

（2）省級電力骨干網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計省級電力骨干網(wǎng)絡(luò)的核心中部署有眾多的業(yè)務(wù)，如用電營銷、工程管理、辦公自動化系統(tǒng)、電力生產(chǎn)信息平臺以及GIS系統(tǒng)等，同時還包含了與其它企業(yè)及各種服務(wù)系統(tǒng)的系統(tǒng)。正是由于各種業(yè)務(wù)的流量都需由電力骨干網(wǎng)絡(luò)進行傳輸和匯集，對網(wǎng)絡(luò)的安全性與可靠性也有著極高的要求。因此，對于省級電力骨干網(wǎng)絡(luò)的安全結(jié)構(gòu)設(shè)計，可部署2~4點的防火墻集群作為網(wǎng)絡(luò)系統(tǒng)的省級安全核心，并對系統(tǒng)的多鏈路情況進行負載均衡，以充分滿足省級電力骨干網(wǎng)絡(luò)對安全防護的要求。省級電力骨干網(wǎng)絡(luò)的安全結(jié)構(gòu)建設(shè)，主要包括了兩方面的任務(wù)：

①利用防火墻技術(shù)對外部接口區(qū)域和內(nèi)部服務(wù)器區(qū)域進行劃分，并綜合應(yīng)用病毒防治技術(shù)、漏洞掃描技術(shù)等多種安全防護技術(shù)，從而實現(xiàn)系統(tǒng)在訪問控制、漏洞掃描、病毒防護、入侵檢測、集中安全管理以及日志記錄等多個環(huán)節(jié)的安全防護；

②通過安全結(jié)構(gòu)的建設(shè)以實現(xiàn)系統(tǒng)多鏈路情況下的負載均衡，保證系統(tǒng)具有足夠的收發(fā)速度和響應(yīng)速度，并能有效避免網(wǎng)絡(luò)服務(wù)的中斷。

（3）電力廣域網(wǎng)整體網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計對于整個電力系統(tǒng)的廣域網(wǎng)，為了保證端對端、局對局的安全性，并有效保證整個系統(tǒng)的安全性與可靠性，可對整個電力廣域網(wǎng)采用分布式的安全結(jié)構(gòu)設(shè)計方案。其安全結(jié)構(gòu)的特點是：

①通過分布式架構(gòu)，可以使廣域網(wǎng)的安全結(jié)構(gòu)真正實現(xiàn)多臺防火墻的同時Active技術(shù)，有效保證了網(wǎng)絡(luò)的安全性。

②通過過濾規(guī)則設(shè)置，可以實現(xiàn)對廣域網(wǎng)內(nèi)部資源對外開放程度的有效控制，尤其是電力公司和Internet公共網(wǎng)絡(luò)之間的連接可僅開放某特殊段的IP端口，從而有效避免了病毒攻擊和非法侵入。

③通過客戶端認證規(guī)則的應(yīng)用，可以確保電力廣域網(wǎng)不同的內(nèi)部用戶享受到不同的訪問外部資源的級別。同時還對內(nèi)部用戶嚴格區(qū)分網(wǎng)段，其自動的反地址欺騙有效杜絕了從外網(wǎng)發(fā)起的對于內(nèi)網(wǎng)的訪問，而對于內(nèi)網(wǎng)發(fā)起的對外網(wǎng)的訪問則可以不受到限制。

4總結(jié)

篇2

關(guān)鍵詞：VPN技術(shù)；校園網(wǎng)絡(luò)；安全體系

中圖分類號：TP393.08

目前，各大院校都在進行擴招，不同的院校也在逐漸的擴大規(guī)模，創(chuàng)建出了校區(qū)與校區(qū)之間協(xié)調(diào)發(fā)展的形式。按照我國院校的大體布局來分析，大部分的院校會擁有多個校區(qū)，并且這些校區(qū)可能會分布在不同的地區(qū)或者城市，校園的局域網(wǎng)若過于簡單，是不能夠達成協(xié)調(diào)管理的。那么VPN技術(shù)的應(yīng)用成為了主流模式。

1 在校園網(wǎng)絡(luò)安全體系中應(yīng)用VPN技術(shù)的功能模型

1.1 數(shù)據(jù)轉(zhuǎn)發(fā)模塊。此模塊是網(wǎng)絡(luò)當中的關(guān)鍵模塊，對于數(shù)據(jù)的加密是利用協(xié)商好的加密算法，同時將數(shù)據(jù)傳輸完成。

1.2 身份認證模塊。客戶端認證服務(wù)端，是通過數(shù)字證書；服務(wù)端認證客戶端，是通過兩種不同的方式，其一是對外網(wǎng)的認證，使用的是密碼和用戶名的認證，其二是內(nèi)網(wǎng)的認證，使用的是數(shù)字證書的認證模式。

1.3 后臺管理模塊。此模塊主要負責采集日志，是安全審計前提下的操作日志。并且，可以將使用情況和操作行為充分匯總。

1.4 訪問控制模塊。此模塊具體創(chuàng)建了細致的VPN技術(shù)訪問控制對策，相應(yīng)的決定了訪問的規(guī)則。

2 分析VPN技術(shù)的需求

2.1 對圖書館資源進行遠程訪問。校區(qū)之間需創(chuàng)建統(tǒng)一形式的認證系統(tǒng)以及圖書館管理系統(tǒng)，達成校區(qū)之間的圖書館資源統(tǒng)一認證和聯(lián)動管理。

2.2 解決院校中多個校區(qū)的互相訪問問題。達成校區(qū)與校區(qū)之間的財務(wù)專網(wǎng)以及一卡通整合，構(gòu)成能夠連接校區(qū)與校區(qū)之間的完善網(wǎng)絡(luò)樞紐，確保網(wǎng)絡(luò)數(shù)據(jù)可以通過VPN技術(shù)進行快速、安全的傳輸。

2.3 以遠程的形式訪問校園網(wǎng)絡(luò)熱點，達成校區(qū)與校區(qū)之間的郵件服務(wù)站點以及web站點的整合，實現(xiàn)校區(qū)之間的信息交流、公文流轉(zhuǎn)以及郵件分發(fā)。

3 在校園網(wǎng)絡(luò)安全體系中應(yīng)用VPN技術(shù)的原則

3.1 訪問控制。校園網(wǎng)絡(luò)當中會擁有較多的用戶，不同的用戶擁有著不同的權(quán)限，所以，VPN技術(shù)需要創(chuàng)建安全訪問的控制體系。

3.2 確保多平臺兼容。所謂多平臺兼容指的就是，VPN服務(wù)作用在校園網(wǎng)絡(luò)中，可以給予用戶實時的安全網(wǎng)絡(luò)接入服務(wù)。同時，可以達成較多操作系統(tǒng)的平臺環(huán)境兼容。

3.3 安全保障。在校園網(wǎng)絡(luò)安全體系當中應(yīng)用VPN技術(shù)，最為基本的原則就是能夠合理的保障網(wǎng)絡(luò)安全。將VPN技術(shù)應(yīng)用在校園網(wǎng)絡(luò)中，一般情況下需要擁有數(shù)據(jù)保密、數(shù)據(jù)完整性以及身份認證三個方面的保障體制[1]。

3.4 管理平臺的有效性。VPN技術(shù)服務(wù)器需要給予一定的服務(wù)器和客戶端配置工具，便于使用操作。還需要提供采集日志的功能，可以安全性審計日志記錄。

4 校園網(wǎng)絡(luò)安全體系當中有效的選擇VPN技術(shù)的應(yīng)用方案

4.1 Extranet VPN。Extranet VPN方案能夠利用專門的共享連接網(wǎng)絡(luò)設(shè)施，在校園網(wǎng)絡(luò)中連接外部網(wǎng)，適合用在B2B的安全訪問過程中。

4.2 Access VPN。Access VPN方案的選擇與遠程或者移動辦公的要求相符，對于校園內(nèi)與校園外的遠程網(wǎng)絡(luò)連接能夠充分實現(xiàn)。Access VPN具體適合用在現(xiàn)階段較多的接入方法中，例如：ISDN、移動網(wǎng)絡(luò)、PPPoE撥號、xDSL等，提供給移動辦公用戶較為安全的私有連接。

4.3 Intranet VPN。Intranet VPN方案擁有著獨特的共享網(wǎng)絡(luò)設(shè)施，此共享網(wǎng)絡(luò)設(shè)施是Intranet VPN方案的堅實基礎(chǔ)，對Internet的合理利用能夠?qū)崿F(xiàn)，在院校中各個校區(qū)的網(wǎng)絡(luò)互聯(lián)。Intranet VPN有效的通過了加密、VPN隧道等技術(shù)，確保了在傳輸過程中，信息的安全性。

根據(jù)這三種應(yīng)用方案的細致探究，可以體現(xiàn)出不同的方案會適合應(yīng)用在不同的訪問服務(wù)當中。按照需求分析能夠體現(xiàn)出，校園網(wǎng)一方面需要將校區(qū)與校區(qū)之間的網(wǎng)絡(luò)互聯(lián)實現(xiàn)，另一方面還需要將遠程用戶訪問校園網(wǎng)絡(luò)資源的指令實現(xiàn)。所以，需要選取Intranet VPN和Access VPN這兩種方案當做校園網(wǎng)絡(luò)安全體制中的具體構(gòu)架方案[2]。

5 校園網(wǎng)絡(luò)安全體系中應(yīng)用VPN技術(shù)的設(shè)計方案

5.1 Access VPN遠程形式下的VPN服務(wù)器訪問。在用戶對校園網(wǎng)絡(luò)資源的訪問過程中，并利用遠程協(xié)助的方式開展時，需要通過Access VPN技術(shù)將其實現(xiàn)。VPN技術(shù)會創(chuàng)設(shè)在校園網(wǎng)絡(luò)的內(nèi)部，對于創(chuàng)設(shè)基礎(chǔ)環(huán)境的選擇，則需要選取Linux操作平臺，Linux操作平臺一方面擁有著免費、容易擴展的特點，另一方面還擁有著較高的性能，可以與Windows Server平臺相提并論[3]。

在校園網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)想要確保其安全性，需要應(yīng)用NAT技術(shù)以及防火墻，因為在傳輸層中是SSL VPN在工作，可以涉及到全部的NAT設(shè)備與防火墻，確保了VPN技術(shù)用戶能夠?qū)崟r的對校園網(wǎng)絡(luò)進行連接。并且，遠程的VPN用戶在對校園網(wǎng)絡(luò)進行訪問的時候，要設(shè)置內(nèi)網(wǎng)的IP地址，所以DHCP的架設(shè)是必不可少的，該服務(wù)器能夠?qū)P地址的分配任務(wù)合理達成。針對外部網(wǎng)絡(luò)的用戶必須要與VPN服務(wù)器相連，并創(chuàng)建DNS域名服務(wù)器才能夠進入到校園網(wǎng)絡(luò)。這種方式的采用，能夠?qū)⑵帘涡@網(wǎng)絡(luò)結(jié)構(gòu)的目的實現(xiàn)，確保了校園網(wǎng)絡(luò)的安全性[4]。

5.2 校區(qū)之間的網(wǎng)絡(luò)互聯(lián)能夠運用Intranet VPN來實現(xiàn)。首先需要在每一校區(qū)中接入網(wǎng)絡(luò)連接，將網(wǎng)絡(luò)出口定制在一個校區(qū)中，同時所有的校區(qū)之間所開展的信息化系統(tǒng)管理，要利用此網(wǎng)絡(luò)連接將信息互通完成，包含：教務(wù)、人事、財務(wù)、一卡通等管理系統(tǒng)。想要確保傳輸數(shù)據(jù)的安全性，需要通過IPSec VPN技術(shù)，加密應(yīng)用系統(tǒng)中的相關(guān)數(shù)據(jù)，保證傳輸數(shù)據(jù)時的安全性與可靠性。一些用戶對信息安全方面有著較高的要求，例如：后勤、財務(wù)部門的用戶，需要通過二層隔離的方式進行校園網(wǎng)的接入，然后需要利用二層OSPF協(xié)議安全的傳輸?shù)胶诵男徒粨Q機，達成校區(qū)與校區(qū)之間的加密信息傳輸。針對普通的用戶在訪問的過程中，因為具備較低的安全級別，需要將安全要求降低，以此有效的提高VPN服務(wù)器的性能[5]。

6 總結(jié)

根據(jù)以上的論述，各大院校紛紛應(yīng)用了VPN技術(shù)，本文主要設(shè)計和規(guī)劃了VPN技術(shù)的應(yīng)用方案，為的是將校園網(wǎng)絡(luò)中的安全體系能夠體現(xiàn)出可靠性的特點，從而實現(xiàn)校園內(nèi)部協(xié)調(diào)管理的模式。

參考文獻：

[1]邱建新.基于IPSec的VPN技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用研究[J].浙江交通職業(yè)技術(shù)學院學報，2013，12（09）：124-126.

[2]陳恒法，曾碧卿.虛擬專網(wǎng)（VPN）技術(shù)在校區(qū)網(wǎng)絡(luò)互聯(lián)中的應(yīng)用[J].科技咨詢導(dǎo)報，2013，11（07）：126-127.

[3]劉巨濤.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)絡(luò)建設(shè)中的應(yīng)用研究[J].內(nèi)蒙古農(nóng)業(yè)大學學報：社會科學版，2013，10（02）：168-170.

[4]鄒，劉婷，范志勤.校園網(wǎng)絡(luò)安全體系的設(shè)計與應(yīng)用分析[J].長沙民政職業(yè)技術(shù)學院學報，2013，5（04）：187-188.

[5]何來坤.VPN技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用[J].杭州師范學院學報：自然科學版，2013，14（06）：156-159.

篇3

先進視訊: 城市視頻監(jiān)控報警聯(lián)網(wǎng)系統(tǒng)

優(yōu) 點

該方案對城市視頻監(jiān)控報警聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)平臺、信息存儲和信息管理闡述得較為詳細。

方案利用當?shù)仉娦胚\營商完善的網(wǎng)絡(luò)覆蓋，采用先進的VPN網(wǎng)絡(luò)技術(shù)構(gòu)建了虛擬專網(wǎng)的數(shù)字化城市監(jiān)控報警聯(lián)網(wǎng)系統(tǒng)，具有擴展靈活、維護方便、分布式多中心的特點。

另外，該方案采用IP-SAN網(wǎng)絡(luò)存儲技術(shù)，可以實現(xiàn)分布式海量網(wǎng)絡(luò)存儲; 而其信息管理方面分成了信息分級管理、信息傳輸方式、接入安全管理、數(shù)據(jù)共享功能、數(shù)據(jù)分析方法和數(shù)據(jù)搜索方法等多個方面，是監(jiān)控報警網(wǎng)絡(luò)管理軟件功能的延伸。

不 足

該方案無論從工程設(shè)計還是從應(yīng)用角度來看，仍然需要完善和改進。

從工程設(shè)計角度來說，該方案給出了專用網(wǎng)絡(luò)的拓撲結(jié)構(gòu)和實現(xiàn)技術(shù)，需要對網(wǎng)絡(luò)流量的需求和設(shè)計給出計算方法; 方案在接入方式和終端控制、顯示系統(tǒng)等部分的設(shè)計內(nèi)容需要給出更為具體的信息，對設(shè)備選型和工程性價比等內(nèi)容需要加強。

從應(yīng)用設(shè)計角度看，該方案應(yīng)對三級公安管理中心的應(yīng)用需求和管理方式方面應(yīng)有更詳細的描述，對采用VPN技術(shù)的網(wǎng)絡(luò)安全和采用運營商管理數(shù)據(jù)安全等方面也應(yīng)有更詳細的描述，特別是VPN專網(wǎng)與公網(wǎng)、VPN與公安專網(wǎng)的關(guān)系需要加強，否則無法給出安全性的判斷。

華為3Com:H3C iVS IP智能監(jiān)控系統(tǒng)

優(yōu) 點

該方案對現(xiàn)有的應(yīng)用分析比較深入，同時在設(shè)計上比較獨特，整個方案都是基于IP網(wǎng)，充分利用了IP網(wǎng)的優(yōu)勢，并把這些優(yōu)勢充分應(yīng)用到監(jiān)控系統(tǒng)中。同時引入了IP組播的概念，有一定的前瞻性，符合視頻監(jiān)控應(yīng)用的特點，在一些情況下能提高QoS(服務(wù)質(zhì)量)。該設(shè)計方案應(yīng)用了最新的網(wǎng)絡(luò)傳輸與存儲技術(shù)，特別適合于建設(shè)大型、超大型視頻監(jiān)控主干網(wǎng)絡(luò)。與傳統(tǒng)的模擬視頻架構(gòu)不同，與用DVR(Digital Video Recorder)框架模式（模擬和數(shù)字結(jié)合）也不同，該方案的體系架構(gòu)比較先進，設(shè)計獨到。

方案的編碼方式支持MPEG2/MPEG4/H.264編碼格式，編碼帶寬最高可達8Mpbs(編碼壓縮為高帶寬4Mpbs以上),可提供FULL D1高清晰圖紙分辨率，這一點有其獨到之處。

設(shè)計上采用了IP網(wǎng)中的分布式概念來實現(xiàn)IP監(jiān)控的控制和管理，利用VM(Video Manager)和DM(Data Manager)來實現(xiàn)對各種終端的統(tǒng)一管理和調(diào)度，而視頻流則可以不經(jīng)過VM單獨傳輸。把VM作為整個系統(tǒng)的控制和管理核心，所有監(jiān)控的控制流都由VM處理，這樣能在一定程度上提高圖像信息的安全性。

系統(tǒng)設(shè)計上采用了IP-SAN這項新技術(shù)，結(jié)合iSCSI技術(shù)實現(xiàn)對視頻數(shù)據(jù)流的存儲。能向PC客戶端提供實際的VOD點播視頻流、數(shù)據(jù)流和視頻數(shù)據(jù)下載等服務(wù)，滿足現(xiàn)實應(yīng)用的要求，且具有一定的先進性。

IP-SAN存儲可以達到大容量的海量存儲，也能達到集中管理，縮短緊急情況下的圖像回放響應(yīng)時間。傳輸采用IP網(wǎng)絡(luò)同時完成視頻流的傳送及交換功能，代替了傳統(tǒng)的光端機傳輸，并可在同一根光纖上傳送各種視頻圖像。

不 足

從目前系統(tǒng)的設(shè)計方案來看，要建設(shè)中小型監(jiān)控系統(tǒng)，資金投入可能會有問題。而且在網(wǎng)絡(luò)條件不太理想的應(yīng)用環(huán)境中，方案對于一些低碼流的前端應(yīng)用適應(yīng)性方面未作詳細描述，方案中的傳輸設(shè)備需要用本公司產(chǎn)品才能實現(xiàn)。安全方面也只是提到采取簡單的注冊，沒有涉及具體的安全策略和方法。

對于如何實現(xiàn)QoS方面的設(shè)計方案，提及相對簡單。在實施中還需對該方案進一步進行細化設(shè)計，詳細闡述相關(guān)內(nèi)容。

就拿北京來說，其架構(gòu)（管理模式是DB/Z384）由住宅小區(qū)或社會重要單位建立平臺連到各街道和派出所，逐級上傳到區(qū)政府和公安分局，再上傳到市政府和市公安局。各級都有管理職能要求，所以基本模式應(yīng)符合分級、分層、分權(quán)的實用要求。

而將所有信息（包括視頻，語音及報警）都傳送到IP-SAN一級海量存儲，像北京這樣大的城市必然會需要巨大容量的存儲空間，其安全性令人擔憂。而且其設(shè)備投資太大，從當前使用角度來看很難達到。

該方案與目前各級已建立起來的視頻系統(tǒng)是否兼容，并且其可靠性、安全性等多方面還尚待檢驗。

中盛益華: CSVision城市治安視頻監(jiān)控系統(tǒng)

優(yōu) 點

該方案對現(xiàn)有視頻監(jiān)控的應(yīng)用需求的分析比較全面，在設(shè)計上采用了分級管理。用戶可根據(jù)實際需要，在各服務(wù)器間構(gòu)建多叉樹的拓撲結(jié)構(gòu)，實現(xiàn)了分級和分層管理。

該方案在設(shè)計上所采用的分布式存儲能較好地解決網(wǎng)絡(luò)帶寬和存儲問題，分擔系統(tǒng)的壓力。該方案充分利用現(xiàn)有的網(wǎng)絡(luò)，可接受多種接入方式，使建設(shè)成本降低。系統(tǒng)所應(yīng)用的生命周期管理、設(shè)備心跳管理、實時監(jiān)控、管理編解碼設(shè)備以及系統(tǒng)具備的自愈自恢復(fù)功能等對于一個成熟的大型視頻監(jiān)控系統(tǒng)來講是很重要的。

網(wǎng)絡(luò)視頻服務(wù)器可以支持不同的網(wǎng)絡(luò)接入和多級聯(lián)網(wǎng)，該系統(tǒng)設(shè)計方案適合于中、大型視頻監(jiān)控系統(tǒng)建設(shè)。是較為廣泛的采用方式，比較符合現(xiàn)實應(yīng)用需求。

不 足

該方案在設(shè)計上也還存在一些缺陷，如對在不同級別、不同層次間的信息共享以及系統(tǒng)的安全性考慮比較少，信息的采集、傳輸及所采取的C/S訪問方式等都存在著潛在的安全隱患。

系統(tǒng)雖然支持多種接入方式，但對編解碼的標準沒有做出明確的方案，是否適合這些接入方式？怎樣保證圖像的質(zhì)量？以及需要什么樣的網(wǎng)絡(luò)帶寬等問題在方案中沒有描述清楚。

天地偉業(yè): 城市監(jiān)控報警聯(lián)網(wǎng)系統(tǒng)

優(yōu) 點

該方案從需求分析、方案設(shè)計、運營/管理，主要產(chǎn)品介紹等方面作了敘述，內(nèi)容清晰、構(gòu)思清楚。該方案在需求分析、社會資源的接入方式、存儲方法等方面有較好的參考價值。

方案從城市監(jiān)控報警聯(lián)網(wǎng)系統(tǒng)建設(shè)的應(yīng)用需求分析入手，總結(jié)出系統(tǒng)建設(shè)功能需求，對公安系統(tǒng)自建信息資源和現(xiàn)有社會信息資源接入系統(tǒng)的方式進行了較為詳細的敘述。對公安局監(jiān)控中心建設(shè)給出了規(guī)劃方案和實現(xiàn)功能，針對網(wǎng)絡(luò)傳輸?shù)奶攸c，采用了兩級信息存儲方案，給出了該方案核心設(shè)備的選型和設(shè)備參數(shù)指標。

結(jié)合實際的應(yīng)用要求，能和現(xiàn)有監(jiān)控資源兼容，采用標準接口; 可以依據(jù)不同需求，選擇不同類型的監(jiān)控設(shè)備，方案靈活; 擴容簡單，可以逐步完善; 技術(shù)相對成熟，實施容易，既能保證傳統(tǒng)的模擬系統(tǒng)質(zhì)量，又可采用先進的數(shù)字技術(shù); 城市監(jiān)控聯(lián)網(wǎng)系統(tǒng)結(jié)合了分級、分層、分權(quán)的管理機制。

不 足

方案對前端的接入方式?jīng)]有描述，應(yīng)給出詳細的前端接入方式說明。

方案的基層控制中心建設(shè)過于簡單，應(yīng)推薦給出模擬、數(shù)字和模數(shù)結(jié)合三種不同的實現(xiàn)結(jié)構(gòu)框圖，并詳述各自不同的優(yōu)缺點，供具體實現(xiàn)者參考。

在功能需求方面雖然提出了安全性要求，但在方案設(shè)計中沒有體現(xiàn)出安全性的保障措施; 特別是方案提到了能利用電信運營商的通信網(wǎng)絡(luò)解決城市監(jiān)控網(wǎng)絡(luò)的覆蓋面問題，但如何解決通信網(wǎng)絡(luò)與公安專網(wǎng)的銜接方面沒有給出具體方法，安全性很難判斷。

在如何確保圖像的傳輸質(zhì)量（特別是數(shù)字傳輸）方面，缺乏技術(shù)措施。在產(chǎn)品介紹上應(yīng)更多說明其接口對不同系統(tǒng)設(shè)備的兼容，因為各地平安城市監(jiān)控系統(tǒng)不可能都用該方案產(chǎn)品。在監(jiān)控系統(tǒng)使用的控制權(quán)限上如何達到相互調(diào)用，從技術(shù)方案上要有措施。

松下電器: 銀行網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)

優(yōu) 點

該方案是銀行建設(shè)的全數(shù)字化網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)方案，采用星型網(wǎng)絡(luò)拓撲結(jié)構(gòu)，并采用了網(wǎng)絡(luò)供電方式，提高了系統(tǒng)的靈活性和可擴展性，降低了施工及布線成本; 前端攝像機采用網(wǎng)絡(luò)監(jiān)控攝像機，通過網(wǎng)絡(luò)交換機將圖像及數(shù)據(jù)接入監(jiān)控中心，由中心內(nèi)配置的網(wǎng)絡(luò)硬盤錄像機對前端圖像進行記錄。該方案根據(jù)不同監(jiān)控點的實際應(yīng)用需求，采用了不同分辨率的網(wǎng)絡(luò)攝像機――百萬像素網(wǎng)絡(luò)彩色攝像機，拍攝的圖像清晰、鮮明。每臺網(wǎng)絡(luò)攝像機配置1GB的SD卡以備網(wǎng)絡(luò)故障時圖像記錄，提高了圖像記錄的可靠性; 該方案的最大特點是采用雙編碼格式，形成M-JPEG 和MPEG-4兩種視頻媒體流，MPEG-4利于實時動態(tài)觀看，M-JPEG利于高清晰圖像的記錄。

該實時監(jiān)控錄像系統(tǒng)的使用可減少銀行柜員制業(yè)務(wù)中出現(xiàn)的錯誤和糾紛，切實保障銀行和儲戶的權(quán)益，有效防范金融詐騙等犯罪活動。

不 足

該方案給出的系統(tǒng)結(jié)構(gòu)框圖僅僅是一個營業(yè)部門的監(jiān)控系統(tǒng)圖，沒有給出銀行的各營業(yè)部門的監(jiān)控系統(tǒng)是否聯(lián)網(wǎng)，以及如何聯(lián)網(wǎng)等相關(guān)問題的解決方案。

對網(wǎng)絡(luò)體系結(jié)構(gòu)介紹較為簡單，沒有給出網(wǎng)絡(luò)流量的需求和保障措施，對網(wǎng)絡(luò)安全沒有論述; 該方案僅在系統(tǒng)框圖中畫出了城市安防中心，但沒有給出監(jiān)控系統(tǒng)與城市安防中心的接口和傳輸方式的說明，同時監(jiān)控中心沒有建設(shè)多屏顯示，不利于值守人員工作; 作為一個銀行監(jiān)控系統(tǒng)，方案中對報警系統(tǒng)沒有描述，對報警系統(tǒng)與監(jiān)控系統(tǒng)聯(lián)動的敘述過于簡單。

藍色星際: ATM視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)

優(yōu) 點

該方案專門針對金融行業(yè)中通過聯(lián)網(wǎng)的方式實現(xiàn)對所有ATM網(wǎng)點的集中統(tǒng)一監(jiān)控和管理，核心設(shè)備均采用嵌入式操作系統(tǒng)，具有任務(wù)單一、響應(yīng)實時的特點，避免了Windows等PC操作系統(tǒng)啟動緩慢、安裝配置復(fù)雜、不易維護、不能長時間穩(wěn)定工作的弊病。嵌入式操作系統(tǒng)完全避免了病毒及其他非法手段的入侵，大大地提高了系統(tǒng)的安全性。

方案采用模塊化結(jié)構(gòu)設(shè)計，可以提供靈活的系統(tǒng)組合，用戶可以根據(jù)需要靈活配置硬件數(shù)量。在盡量不改動原有現(xiàn)場監(jiān)控系統(tǒng)的條件下，可將該系統(tǒng)作為一個功能模塊嵌入在原有系統(tǒng)之中，保證新的系統(tǒng)不影響原有系統(tǒng)的穩(wěn)定性并有效保護用戶以前的投資。

方案將ATM作為網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的網(wǎng)點，并從設(shè)計原則、設(shè)計依據(jù)和應(yīng)用技術(shù)特點、產(chǎn)品主要功能等方面做了詳細說明。

不 足

篇4

校園網(wǎng)作為因特網(wǎng)的重要組成部分，為教學提供了極大的方便。由于管理和使用等因素，校園網(wǎng)面臨著嚴重的安全威脅。其中主要體現(xiàn)為水災(zāi)、雷擊或者操作人員的操作不當而導(dǎo)致的硬件或者網(wǎng)絡(luò)系損壞，另外黑客攻擊是校園網(wǎng)系統(tǒng)的主要安全影響因素。近年來，隨著網(wǎng)絡(luò)技術(shù)的發(fā)達，木馬安裝程序也越來越精密，不但影響公共網(wǎng)絡(luò)，也給校園網(wǎng)的安全帶來極大的沖擊。學生作為主要操作者，缺乏專業(yè)的技術(shù)，因此容易出現(xiàn)操作失誤現(xiàn)象。另外，學生的好奇心會導(dǎo)致系IP被修改，或者進入不安全網(wǎng)頁，導(dǎo)致計算機系統(tǒng)被病毒侵害。另外，校園網(wǎng)系統(tǒng)還面臨著系統(tǒng)應(yīng)用問題和管理風險。系統(tǒng)應(yīng)用問題主要體現(xiàn)為操作系統(tǒng)安全隱患和數(shù)據(jù)庫安全隱患。由于系統(tǒng)自身設(shè)計不完善，將導(dǎo)致操作系統(tǒng)存在致命的安全隱患，這需要檢修人員和技術(shù)人員及時發(fā)現(xiàn)并對其進行處理，以免出現(xiàn)重大安全事故。計算機服務(wù)器終端安全風險將導(dǎo)致整個系統(tǒng)的安全系統(tǒng)下降，出現(xiàn)安全漏洞，影響計算機的使用壽命。從這一點上，確保操作系統(tǒng)的信息安全是管理者的重要任務(wù)。但在校園網(wǎng)管理上，由于受到高校制度和對網(wǎng)絡(luò)教學或者計算機實踐教學重視程度不夠的影響，管理安全隱患十分明顯。目前，校園網(wǎng)安全管理依然是人在管理，管理效率低下的主要原因在于管理人員的綜合素質(zhì)不高，管理制度不明確。要解決這一問題，就需要對校園網(wǎng)管理制度進行調(diào)整。

2校園網(wǎng)絡(luò)安全防范設(shè)計方案

為了提高校園網(wǎng)的安全系數(shù)，應(yīng)建立可靠的拓撲結(jié)構(gòu)，其中包括備份鏈路、必要的網(wǎng)絡(luò)防火墻以及VPN的構(gòu)建。具體過程如下：

2.1利用備份鏈路優(yōu)化校園網(wǎng)的容錯能力

備份鏈路的使用可有效提高網(wǎng)絡(luò)的容錯能力，降低安全風險。主要應(yīng)用于路由器同系統(tǒng)核心交換機之間，其作用在于對學生連接的外網(wǎng)進行檢驗和排查，控制非法連接，從而提高被訪問網(wǎng)頁的安全系數(shù)。在核心交換機之間同樣可進行雙鏈路連接和端口聚合技術(shù)，從而確保鏈路之間的備份，提高交換帶寬。

2.2計算機防火墻的合理應(yīng)用

計算機防火墻在校園網(wǎng)安全中起著決定性的作用。通過防火墻的建立，可攔截存在安全隱患的網(wǎng)頁。操作人員可在防火墻上預(yù)設(shè)適當?shù)陌踩?guī)則ACL，對通過防火墻的數(shù)據(jù)信息進行檢測，處理存在安全隱患的信息，禁止其通過，這一原理使得防火墻具有安裝方便，效率高等特點。在計算機系統(tǒng)中，防火墻實際上是外網(wǎng)與內(nèi)網(wǎng)之間連接的唯一出口，實現(xiàn)了二者之間的隔離，是一種典型的拓撲結(jié)構(gòu)。根據(jù)校園網(wǎng)自身特點，可對這一拓撲進行調(diào)整，將防火墻放置于核心交換機與服務(wù)器群中間。其主要原因為：防止內(nèi)部操作人員對計算機網(wǎng)絡(luò)系統(tǒng)發(fā)起攻擊；降低了黑客對網(wǎng)絡(luò)的影響，同時實現(xiàn)對計算機網(wǎng)絡(luò)系統(tǒng)的內(nèi)部保護和外部保護，使流經(jīng)防火墻的流量降低，實現(xiàn)其高效性。但是隨著科技的發(fā)達，網(wǎng)絡(luò)木馬的類型逐漸增多，這要求防火墻技術(shù)也要不斷的更新，以發(fā)揮其積極作用。將計算機防火墻同木馬入侵檢測緊密結(jié)合在一起，一旦入侵檢測系統(tǒng)捕捉到某一惡性攻擊，系統(tǒng)就會自動進行檢測。而這一惡性攻擊設(shè)置防火墻阻斷，則入侵檢測系統(tǒng)就會發(fā)給防火墻對應(yīng)的動態(tài)阻斷方案。這樣能夠確保防火墻完全按照檢測系統(tǒng)所提供的動態(tài)策略來進行系統(tǒng)維護。

2.3VPN的構(gòu)建

VPN主要針對校園網(wǎng)絡(luò)的外用，尤其是針對出差人員，要盡量控制其使用校內(nèi)網(wǎng)絡(luò)資源。如必須使用，則要構(gòu)建VPN系統(tǒng)，即在構(gòu)建動態(tài)的外部網(wǎng)絡(luò)通往校園網(wǎng)的虛擬專用通道，也可建立多個校園網(wǎng)絡(luò)區(qū)域之間的VPN系統(tǒng)連接，提高安全防護效率。

2.4網(wǎng)絡(luò)層其他安全技術(shù)

網(wǎng)絡(luò)層其他安全技術(shù)主要體現(xiàn)為：防網(wǎng)絡(luò)病毒和防網(wǎng)絡(luò)攻擊?，F(xiàn)在網(wǎng)絡(luò)病毒對網(wǎng)絡(luò)的沖擊影響已經(jīng)越來越大，如：非常猖狂的紅色代碼、沖擊波等網(wǎng)絡(luò)病毒，所以有必要對網(wǎng)絡(luò)病毒繼續(xù)有效的控制；而網(wǎng)絡(luò)中針對交換機的攻擊和必須經(jīng)過交換機的攻擊有如下幾種：MAC攻擊、DHCP攻擊、ARP攻擊、IP/MAC欺騙攻擊、STP攻擊、IP掃描攻擊和網(wǎng)絡(luò)設(shè)備管理安全。

3校園網(wǎng)的安全管理方案

計算機管理也是校園網(wǎng)安全的主要控制方案。在促進管理效率提高的過程中，主要可以采取VLAN技術(shù)、網(wǎng)絡(luò)存儲技術(shù)和交換機端口安全性能提高等方案，具體表現(xiàn)為以下幾個方面：

3.1應(yīng)用VLAN技術(shù)提升網(wǎng)絡(luò)安全性能

VLAN技術(shù)是校園網(wǎng)安全管理中應(yīng)用的主要技術(shù)，這一技術(shù)的應(yīng)用有效的提高了計算機安全管理效率，優(yōu)化了設(shè)備的性能。同時對系統(tǒng)的帶寬和靈活性都具有促進作用。VLAN可以獨立設(shè)計，也可以聯(lián)動設(shè)計，具有靈活性，并且這一技術(shù)操作方便有利于資源的優(yōu)化管理，只要設(shè)置必要的訪問權(quán)限，便可實現(xiàn)其功能。

3.2利用網(wǎng)絡(luò)存儲技術(shù)，確保網(wǎng)絡(luò)數(shù)據(jù)信息安全

校園網(wǎng)絡(luò)數(shù)據(jù)信息安全一直是網(wǎng)絡(luò)安全管理中的主要任務(wù)之一。除了技術(shù)層面的防火墻，還要求采用合理的存儲技術(shù)，確保數(shù)據(jù)安全。這樣，不但可以防止數(shù)據(jù)篡改，還要防止數(shù)據(jù)丟失。目前，主要的存儲技術(shù)包括DAS、RAID和NAS等。

3.3配置交換機端口控制非法網(wǎng)絡(luò)接入

交換機端口安全可從限制接入端口的最大連接數(shù)、IP地址與接入的MAC地址來實現(xiàn)安全配置。對學生由于好奇而修改IP地址的行為具有控制作用。其原理在于一旦出現(xiàn)不合理操作，將會觸發(fā)和該設(shè)備連接的交換機端口產(chǎn)生一個違例并對其實施強制關(guān)閉。設(shè)置管理員權(quán)限，降低不合理操作。配置交換機端口可實現(xiàn)將非法接入的設(shè)備擋在最低層。

4總結(jié)

篇5

關(guān)鍵詞：企業(yè)發(fā)展；計算機局域網(wǎng)；設(shè)計方案

Abstract: the enterprise computer network is an internal use Internet technology to build enterprise agency liaison network. It is unified and convenient information exchange platform. On the one hand, in recent years, with the rapid development of computer network equipment in China, to benefit from the network equipment industry production technology continues to improve and expand the market of computer technology, to promote the development of computer local area network design in the domestic and international enterprises, on the market. On the other hand, as the level of scientific management of enterprises continuously improve enterprise management informatization, more and more enterprises management attention. Aiming at the design of local network business computer, through various investigation, summing up experience, put forward to make the enterprise computer network design scheme is proposed, so as to promote the further development of enterprises.

Keywords: enterprise development; computer network; design

中圖分類號：TP393.1 文獻標識碼：A文章編號：2095-2104（2013）

局域網(wǎng)是在一個局部的地理范圍內(nèi)比如：一個學校、工廠和機關(guān)內(nèi)），一般是方圓幾千米以內(nèi)，將各種計算機，外部設(shè)備和數(shù)據(jù)庫等互相聯(lián)接起來組成的計算機通信網(wǎng)。它可以通過數(shù)據(jù)通信網(wǎng)或?qū)Ｓ脭?shù)據(jù)電路，與遠方的局域網(wǎng)、數(shù)據(jù)庫或處理中心相連接，構(gòu)成一個較大范圍的信息處理系統(tǒng)。局域網(wǎng)可以實現(xiàn)文件管理、應(yīng)用軟件共享、打印機共享、掃描儀共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。計算機局域網(wǎng)嚴格意義上是封閉型的，它可以由辦公室內(nèi)幾臺甚至上千上萬臺計算機組成。決定計算機局域網(wǎng)的主要技術(shù)要素為：網(wǎng)絡(luò)拓撲，傳輸介質(zhì)與介質(zhì)訪問控制方法。局域網(wǎng)的名字本身就隱含了這種網(wǎng)絡(luò)地理范圍的局域性。由于較小的地理范圍的局限性，企業(yè)計算機的局域網(wǎng)通常要比廣域網(wǎng)具有高的多的傳輸速率，例如，計算機局域網(wǎng)的傳輸速率為10Mb/s，F(xiàn)DDI的傳輸速率為100Mb/s，而廣域網(wǎng)的主干線速率國內(nèi)僅為64kbps或2.048Mbps，最終用戶的上線速率通常為14.4kbps。計算機局域網(wǎng)的拓撲結(jié)構(gòu)常用的是總線型和環(huán)行，這是由于有限地理范圍決定的，這兩種結(jié)構(gòu)很少在廣域網(wǎng)環(huán)境下使用。另外企業(yè)運用計算機局域網(wǎng)還有諸如高可靠性、易擴縮和易于管理及安全等多種特性。

一、我國企業(yè)計算機局域網(wǎng)設(shè)計方案

為了提高企業(yè)的工作效率，從而進一步提高企業(yè)的經(jīng)濟效益，很多企業(yè)都購置了可供需要的大量計算機。隨著經(jīng)濟的不斷發(fā)展，社會生產(chǎn)力不斷地提高，我國計算機技術(shù)水平不斷地提升，企業(yè)的計算機也不在是以前孤立的個體，慢慢的經(jīng)過科學技術(shù)革新、研究形成了企業(yè)根據(jù)自身情況所建立的“企業(yè)計算機局域網(wǎng)”。使企業(yè)內(nèi)部形成的資源高度的共享、企業(yè)各部門有機協(xié)調(diào)的計算機網(wǎng)絡(luò)，既方便了企業(yè)員工之間的工作，也同時方便了企業(yè)管理層對員工的監(jiān)督。就目前，我國各企業(yè)大都建立了自己的計算機網(wǎng)絡(luò)，網(wǎng)絡(luò)應(yīng)用也逐漸頗具規(guī)模，特別在數(shù)值計算、信息管理、辦公事務(wù)、工程(產(chǎn)品)設(shè)計、加工制造等方面基本實現(xiàn)了計算機應(yīng)用，計算機、網(wǎng)絡(luò)和數(shù)據(jù)庫正在成為企業(yè)日常運行的基石。那么我國企業(yè)計算機局域網(wǎng)主要有以下幾種設(shè)計方案和遵循標準：

1、企業(yè)內(nèi)部計算機局域網(wǎng)建設(shè)

企業(yè)內(nèi)部計算機局域網(wǎng)：是企業(yè)內(nèi)部日常運作的重要保證。通過企業(yè)內(nèi)部計算機局域網(wǎng)建設(shè)可實現(xiàn)企業(yè)內(nèi)部辦公自動化，財務(wù)電算化，數(shù)據(jù)共享，上網(wǎng)鏈路共享，打印共享，內(nèi)部電子郵件傳輸?shù)纫幌盗泄δ?。但設(shè)計這樣的企業(yè)內(nèi)部局域網(wǎng)需要遵循以下幾點原則：

(1)根據(jù)企業(yè)具體實際情況，設(shè)計網(wǎng)絡(luò)模型

根據(jù)企業(yè)的具體實際情況，建議整個網(wǎng)絡(luò)系統(tǒng)采用多服務(wù)器的“主干—星型”混合拓撲結(jié)構(gòu)。采用光纖和5類雙絞線連接UTP加上百兆交換機，從而實現(xiàn)真正的百兆連接到桌面。其中服務(wù)器和交換機放置在專用計算機房，并配置網(wǎng)絡(luò)UPS。這種企業(yè)內(nèi)部局域網(wǎng)絡(luò)設(shè)計結(jié)構(gòu)的優(yōu)勢在于非常靈活，網(wǎng)絡(luò)中任何一臺機器出現(xiàn)故障，對企業(yè)網(wǎng)絡(luò)整體都不會構(gòu)成很大影響。另外由于財務(wù)系統(tǒng)具有封閉性，可以在企業(yè)內(nèi)部局域網(wǎng)絡(luò)中建立分支結(jié)構(gòu)，既便于財務(wù)人員從主干獲取信息，也保證企業(yè)內(nèi)部財務(wù)信息的安全。

(2)工程布線標準

企業(yè)計算機局域網(wǎng)絡(luò)系統(tǒng)布線工程標準參照 EIA/TIA 568A、EIA/TIA 569 、EIA/TIA 、TSB36/40工業(yè)、國際商務(wù)建筑布線標準及相應(yīng)國家電信通信標準。

(3)網(wǎng)絡(luò)的保修：要定期對企業(yè)內(nèi)部的計算機局域網(wǎng)進行維修檢查，以防止故障的產(chǎn)生，影響企業(yè)工作的流程安排。

(4)企業(yè)內(nèi)部要建立自己本企業(yè)的網(wǎng)站

企業(yè)計算機局域網(wǎng)與傳統(tǒng)的企業(yè)內(nèi)部辦公網(wǎng)絡(luò)的主要區(qū)別在于，在先進的網(wǎng)絡(luò)設(shè)備和接入帶寬的保證下，有一套運行在企業(yè)內(nèi)部局域網(wǎng)上的，與企業(yè)內(nèi)部局域網(wǎng)網(wǎng)站相關(guān)連又有所區(qū)別的企業(yè)內(nèi)部網(wǎng)站?？晒┢髽I(yè)員工分享資料，查看企業(yè)的最新動態(tài)。

2、企業(yè)計算機局域網(wǎng)上網(wǎng)共享的實現(xiàn)

通過企業(yè)計算機局域網(wǎng)，可使全體員工共享上網(wǎng)資源。根據(jù)人員情況和上網(wǎng)需求量的大小，還可采用以下三種方式對上網(wǎng)進行分類：

(1)ADSL上網(wǎng)

非對稱數(shù)字用戶環(huán)路，可以在普通的電話銅纜上提供1.5～8mbit/s的下行和10～64kbit/s的上行傳輸，可進行視頻會議和影視節(jié)目傳輸，非常適合中、小企業(yè)。

(2)ISDN上網(wǎng)

目前在國內(nèi)迅速普及，價格大幅度下降，有的地方甚至是免初裝費用。兩個信道128kbit/s的速率，快速的連接以及比較可靠的線路，可以滿足中小型企業(yè)瀏覽以及收發(fā)電子郵件的需求。而且還可以通過ISDN和Internet組建企業(yè)VPN。這種方法的性能價格比很高，在國內(nèi)大多數(shù)的城市都有ISDN接入服務(wù)。

(3)DDN專線上網(wǎng)

這種方式適合對帶寬要求比較高的應(yīng)用，如企業(yè)網(wǎng)站。它的特點也是速率比較高，范圍從64kbit/s～2Mbit/s。但是，由于整個鏈路被企業(yè)獨占，所以費用很高，其優(yōu)勢在于速度極快，在滿足內(nèi)部上網(wǎng)需求的同時可以用于網(wǎng)站。這樣就節(jié)省了網(wǎng)站所須的線路費用。

二、企業(yè)計算機局域網(wǎng)設(shè)計的發(fā)展趨勢

隨著我國企業(yè)科學管理水平的提高。企業(yè)管理科技化、信息化越來越受到企業(yè)的重視。對于企業(yè)計算機局域網(wǎng)設(shè)計發(fā)展趨勢應(yīng)越趨于網(wǎng)絡(luò)速度的快速化、網(wǎng)絡(luò)信息的安全化、企業(yè)計算機局域網(wǎng)絡(luò)的穩(wěn)定化。其中，企業(yè)局域網(wǎng)的信息安全化逐漸成為企業(yè)設(shè)計計算機局域網(wǎng)的著重點。因為企業(yè)的計算機局域網(wǎng)與國際互聯(lián)網(wǎng)相聯(lián)接，形成一個內(nèi)、外部信息共享的網(wǎng)絡(luò)平臺。這種連接方式使得企業(yè)內(nèi)部的計算機局域網(wǎng)在給內(nèi)部用戶帶來工作便利的同時，也面臨著外部環(huán)境——國際互聯(lián)網(wǎng)的多重危險。如病毒，黑客、垃圾郵件、而已侵襲軟件等給企業(yè)內(nèi)部網(wǎng)的安全和性能造成極大地沖擊，甚至會造成企業(yè)內(nèi)部的經(jīng)濟損失。那么如何更有效地保護企業(yè)重要的信息數(shù)據(jù)、提高企業(yè)局域網(wǎng)系統(tǒng)的安全性已經(jīng)成為當前企業(yè)設(shè)計計算機局域網(wǎng)必須解決的一個重要問題。

為了更好的解決企業(yè)信息安全的問題，確保網(wǎng)絡(luò)信息的安全，企業(yè)應(yīng)建立完善的計算機安全保障體系。該體系應(yīng)包括網(wǎng)絡(luò)安全科學技術(shù)的防護和企業(yè)網(wǎng)絡(luò)信息安全管理兩方面。對于網(wǎng)絡(luò)安全技術(shù)的防護主要側(cè)重于防范外部非法用戶的攻擊和企業(yè)重要內(nèi)部數(shù)據(jù)信息的安全。而企業(yè)網(wǎng)絡(luò)信息安全管理則側(cè)重于對內(nèi)部人員操作使用的管理，也要防止內(nèi)部人員的泄漏。并在采用新的科學技術(shù)建立網(wǎng)絡(luò)安全防御體系的同時，加強企業(yè)信息網(wǎng)絡(luò)的安全管理這兩方面相互補充，缺一不可。這個安全防御體系其中包括入侵檢測系統(tǒng)、安全訪問控制、漏洞掃描、病毒防護、防火墻、接入認證、電子文檔保護和網(wǎng)絡(luò)行為監(jiān)控，在這些安全防御體系中入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)和病毒防護系統(tǒng)比較重要。總之，對于企業(yè)計算機局域網(wǎng)的設(shè)計發(fā)展，企業(yè)應(yīng)從多方面考量，從整體著眼，促進企業(yè)的長遠發(fā)展。

【參考文獻】

1、于玥.《網(wǎng)絡(luò)信息管理及其安全》.[J]．計算機光盤軟件與應(yīng)用.2010

篇6

作為高校教育信息化的一項重要基礎(chǔ)設(shè)施建設(shè)，無線校園網(wǎng)在我國的發(fā)展已經(jīng)將近二十年。與有線校園網(wǎng)相比，無線校園網(wǎng)可以讓人們在校園里隨時隨地地訪問網(wǎng)絡(luò)資源，不再受到地域的限制。隨著手持無線終端設(shè)備的普及，無線網(wǎng)絡(luò)已被人們接受，大有取代有限網(wǎng)絡(luò)的趨勢。相伴而來的問題是由于采用了無線傳輸，用戶在使用時面臨越來越嚴重的安全問題，因此無線校園網(wǎng)的發(fā)展急需解決自身安全問題。目前，無線校園網(wǎng)正朝著高速率、大規(guī)模、集中管理的方向快速發(fā)展。伴隨著無線網(wǎng)絡(luò)架構(gòu)的發(fā)展，無線網(wǎng)絡(luò)從分散安全管理發(fā)展到集中安全管理，從與有線接入融合式的安全管理發(fā)展到無線接入專網(wǎng)的安全管理，有必要確定一種安全架構(gòu)體系滿足無線校園網(wǎng)的安全需求。本文著重討論了應(yīng)如何搭建無線校園網(wǎng)安全架構(gòu)，并提出了相應(yīng)的安全實施方案。本文重點闡述了目前面臨的無線網(wǎng)絡(luò)安全問題，根據(jù)這些問題并結(jié)合中等規(guī)模校園的無線校園網(wǎng)絡(luò)安全需求，詳細闡述基于三層架構(gòu)的獨立成網(wǎng)的無線校園網(wǎng)的安全部署和安全措施，最后提出了一個適合中等規(guī)模高校的無線校園網(wǎng)安全架構(gòu)設(shè)計方案，供作參考。

【關(guān)鍵詞】無線校園網(wǎng)絡(luò) WLAN安全

進入21世紀，隨著無線技術(shù)及其應(yīng)用的迅猛發(fā)展，人們的生活也因此而正在發(fā)生巨大的改變。近年來，全球的信息化與網(wǎng)絡(luò)化無線技術(shù)與應(yīng)用日益走向融合，網(wǎng)絡(luò)時代正在無線技術(shù)的強力推動下悄然走進我們的生活。但與此同時，當無線網(wǎng)絡(luò)技術(shù)滲透到社會方方面面的時候，技術(shù)本身的安全性就會成為了人們關(guān)注的重點。于是，一個有效的、安全的、強健的無線網(wǎng)絡(luò)是越來越多人的期盼。

作為無線局域網(wǎng)最典型的應(yīng)用場景之一，無線校園網(wǎng)的建設(shè)越來越得到人們的關(guān)注。隨著高校規(guī)模的不斷擴大，校園無線用戶的數(shù)量飛速增加，傳統(tǒng)思路下的無線校園網(wǎng)已滿足不了現(xiàn)實的需要。當前，無線校園網(wǎng)在接入規(guī)模上要求滿足大規(guī)模的移動智能終端接入；在接入速率上要求提供不遜色于有線LAN的傳輸速度；在信號覆蓋上，更是要求既能彌補有線網(wǎng)絡(luò)覆蓋的不足，還要能同時覆蓋有線網(wǎng)本身的區(qū)域；在服務(wù)支持上，無線校園網(wǎng)正在向?qū)崿F(xiàn)全網(wǎng)移動漫游的方向發(fā)展。伴隨著無線校園網(wǎng)的快速發(fā)展，無線校園網(wǎng)的安全問題也日趨凸顯。亟需在無線網(wǎng)絡(luò)性能高速提升的情況下，改善和增強其網(wǎng)絡(luò)自身的安全性。但安全問題是一個動態(tài)的體系問題，不是靠哪一項安全技術(shù)的出現(xiàn)就可以徹底地解決，一味地強調(diào)安全會進入安全的誤區(qū)。不存在絕對安全的網(wǎng)絡(luò)，只存在相對安全的網(wǎng)絡(luò)。于是研究在當前的技術(shù)條件下高校無線校園網(wǎng)的安全架構(gòu)就十分具有現(xiàn)實意義。

1 校園WLAN的發(fā)展

一般而言，凡是采用無線傳輸?shù)挠嬎銠C局域網(wǎng)都可稱為無線局域網(wǎng)WLAN。目前，市場上采用的WLAN的技術(shù)很多，比較典型的有IEEE802.11系列技術(shù)、藍牙、紅外技術(shù)等。在這些技術(shù)之中，又以IEEE802.11系列技術(shù)最為突出。它憑著自身優(yōu)異的技術(shù)性能和成熟的標準體系實際上已成為WLAN技術(shù)的代言人。我國的無線校園網(wǎng)起步較晚，直到2002年北京大學才建成了我國第一個校園無線網(wǎng)絡(luò)。從已走過的十多個年頭來看，我國校園網(wǎng)絡(luò)建設(shè)發(fā)展經(jīng)歷了從簡單有線LAN的接入端加上無線AP（Access Point）、引入AC設(shè)備集中管理AP到建設(shè)獨立無線校園網(wǎng)的過程。由于獨立的無線校園網(wǎng)絡(luò)結(jié)構(gòu)簡單，既解決了帶寬不足的問題，又能輕松實現(xiàn)全網(wǎng)AP的統(tǒng)一管理，目前己成為新建高校建設(shè)無線校園網(wǎng)主要方式。

2 校園網(wǎng)絡(luò)安全問題及原因

與有線局域網(wǎng)相比，無線局域網(wǎng)（WLAN）具有易于擴展、便捷靈活、經(jīng)濟實用等優(yōu)點，但是由于WLAN開放的傳輸信道，使其更容易受到這種攻擊。

一般來說，攻擊者的攻擊方式有以下幾種：

2.1 竊聽

竊聽是被動式的攻擊方法，也是最常見和最容易的。由于WLAN的無線信號的特征，理論上只要是無線電波可以到達的地方都可以被攻擊者竊聽到。若用戶的重要數(shù)據(jù)無線傳送過程未進行復(fù)雜的加密措施，則信號傳輸過程中被竊聽的概率相當之高，用戶將遭受意外損失。另外，由于無線信號的區(qū)域覆蓋性，攻擊者無法被有效定位，因此其身份很難被察覺。隱蔽和隨機的攻擊，使網(wǎng)絡(luò)的監(jiān)控措施有很大的難度。

2.2 非法登陸

非法登陸是指某個非法用戶使用非法技術(shù)手段通過AP連接上了一個WLAN的行為。一般來說非法登陸導(dǎo)致的后果通常都比較嚴重，因為它本身具備了主動攻擊的能力，并可能借此為跳板對其它網(wǎng)絡(luò)進行攻擊。

2.3 攻擊干擾

大部分的攻擊干擾的目的純粹只是為了破壞網(wǎng)絡(luò)使其徹底癱瘓，使網(wǎng)絡(luò)失去自身的作用。但還有一種行為被稱為中間人攻擊。攻擊者把自己偽裝成AP，使得用戶在不知情的情況下就接入了攻擊者偽裝的AP，攻擊者就可以輕松竊取用戶發(fā)送的敏感信息。

2.4 DoS（拒絕服務(wù)）攻擊

相比有線局域網(wǎng)，無線局域網(wǎng)面臨著更多的在無線環(huán)境下特有的DoS攻擊。攻擊者通過不斷的發(fā)出無效信息來干擾無線網(wǎng)絡(luò)的正常運行。最常見的DoS攻擊是通過向AP發(fā)送大量垃圾信息來消耗AP的資源，使其無法提供其他用戶的接入，最終導(dǎo)致網(wǎng)絡(luò)癱瘓。

2.5 重放攻擊

重放攻擊是指攻擊者通過截獲無線用戶發(fā)送的認證憑據(jù)，重復(fù)向認證服務(wù)器發(fā)送騙取認證服務(wù)器的信任，以達到侵入網(wǎng)絡(luò)的目的。

除了以上五種主要的安全問題外，WLAN還面臨著很多形形的安全威脅，例如針對破解加密算法的攻擊、地址欺騙攻擊、重路由攻擊等等。

針對WLAN中存在的這些安全問題，我們可以從研究WLAN的通信規(guī)格和相關(guān)的網(wǎng)絡(luò)協(xié)議出發(fā)，系統(tǒng)分析WLAN安全問題的特點，通過構(gòu)建一個較完善的WLAN安全架構(gòu)來確保WLAN的安全。

3 無線校園網(wǎng)的安全需求

學校教學、科研水平的提高和使用人數(shù)的增多要求無線校園網(wǎng)承載更多的業(yè)務(wù)應(yīng)用，因此對無線校園網(wǎng)的安全需求也越來越高。

常見的無線校園網(wǎng)的安全需求有八個方面：（1）高可用性的冗余設(shè)計；

（2）安全的準入準出機制；

（3）支持BYOD接入功能；

（4）完備的訪問控制機制；

（5）安全威脅的監(jiān)視與追蹤；

（6）迅速的安全響應(yīng)機制；

（7）出口安全控制；

（8）AP的負載均衡。

要滿足無線校園網(wǎng)的安全性需求，有必要在建設(shè)之初通盤考慮網(wǎng)絡(luò)架構(gòu)設(shè)計，使其滿足無線校園網(wǎng)各層次用戶的實際需求。

4 無線校園網(wǎng)的安全設(shè)計

無線校園網(wǎng)的安全體系架構(gòu)設(shè)計可分為七個部分：網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計、安全接入功能的設(shè)計、統(tǒng)一認證和準入準出的設(shè)計、出口的安全功能設(shè)計、SSID和VLAN劃分設(shè)計、IP地址規(guī)劃設(shè)計、網(wǎng)絡(luò)管理安全系統(tǒng)的功能設(shè)計。

4.1 網(wǎng)絡(luò)結(jié)構(gòu)安全設(shè)計

一般來說，校園無線網(wǎng)絡(luò)在設(shè)計采用了“瘦”AP+AC的單核心三層架構(gòu)方案。在核心交換機上設(shè)計部署超大規(guī)模的智能AC設(shè)備對全網(wǎng)所有AP進行集中式管理。為了確保無線網(wǎng)絡(luò)的高可用性，防止AC出現(xiàn)問題導(dǎo)致網(wǎng)絡(luò)癱瘓，通常采用雙AC冗余方式來保證網(wǎng)絡(luò)結(jié)構(gòu)的安全。雙AC冗余設(shè)計采用AC的1+1快速熱備份。采用兩臺AC設(shè)備分別與核心交換機連接互聯(lián)，分別設(shè)置為一主一備兩個控制器。網(wǎng)絡(luò)里所有AP同時與兩臺AC建立CAPWAP隧道。

4.2 安全接入功能設(shè)計

安全接入功能設(shè)計一般分為兩塊內(nèi)容，分別為WIDS功能設(shè)計和支持先進加密算法和用戶訪問控制。

在AC上部署WIDS模塊主要是為了實現(xiàn)對無線網(wǎng)絡(luò)的入侵攻擊行為的檢測和隔離，當AC的WIDS模塊檢查到無線接入網(wǎng)發(fā)生了諸如非法登陸等行為時，AC能自動監(jiān)測發(fā)生問題的AP和客戶端，并將其從網(wǎng)絡(luò)里剔除。由于WIDS只能檢測出離基于二層網(wǎng)絡(luò)的攻擊行為，因此還需要AC設(shè)備可以支持與高層的IDS設(shè)備聯(lián)動。

為保證無線網(wǎng)絡(luò)部分的安全，設(shè)計要求AP/AC必須支持多種加密和認證技術(shù)統(tǒng)一實施。

4.3 統(tǒng)一認證和準入準出的設(shè)計

基于保證用戶使用的便捷性，校園無線網(wǎng)絡(luò)一般采用統(tǒng)一身份認證和統(tǒng)一準入準出的設(shè)計方案。常見的web portal和802.1x兩種認證方式能夠滿足不同區(qū)域的不同業(yè)務(wù)訪問需求。

4.4 出口安全功能設(shè)計

一般來說網(wǎng)絡(luò)具有獨立的網(wǎng)絡(luò)出口，作為連接內(nèi)外網(wǎng)設(shè)備的出口網(wǎng)關(guān)需擁有強大的路由功能，支持多種路由協(xié)議。當用戶訪問互聯(lián)網(wǎng)時，網(wǎng)關(guān)設(shè)備要自動校準DNS解析，在多種路由協(xié)議的支持下用戶選擇最快的路徑訪問互聯(lián)網(wǎng)。另外，出口網(wǎng)關(guān)還需支持NAT的地址轉(zhuǎn)換，實現(xiàn)內(nèi)外網(wǎng)地址分離，節(jié)省公網(wǎng)IP地址資源。為保證內(nèi)網(wǎng)能夠抵御外網(wǎng)的攻擊，出口設(shè)備需要有完善的安全措施，確保無線校園網(wǎng)的安全平穩(wěn)運行。從節(jié)約建設(shè)資金的角度考慮，一般在安全功能上要求采用一體化的安全網(wǎng)關(guān)設(shè)備來綜合實現(xiàn)安全功能，避免購買大量安全設(shè)備。

4.5 SSID和VLAN劃分設(shè)計

一般來說無線校園網(wǎng)里至少需要規(guī)劃五種VLAN，分別是：無線用戶的業(yè)務(wù)VLAN、無線用戶VLAN、AP的管理VLAN、AC的管理VLAN和交換機的管理VLAN。其中AP的管理VLAN用于AP到AC的通信，之所以將AP和無線用戶的VLAN分開劃分，是保護AP和AC通信的安全，增強其穩(wěn)健性。AC的管理VLAN用于外網(wǎng)遠程登錄AC。交換機的管理VLAN用于交換機的遠程管理。無線用戶VLAN和無線用戶的業(yè)務(wù)VLAN要根據(jù)實際情況靈活分配。

網(wǎng)絡(luò)設(shè)備可分配的VLAN數(shù)量很大，一般來說支持數(shù)量達到4096個，完全可以滿足中等規(guī)模無線校園網(wǎng)的業(yè)務(wù)需求。根據(jù)業(yè)務(wù)實行全網(wǎng)單一SSID的設(shè)計在無線校園網(wǎng)建設(shè)中比較常見。唯一SSID的設(shè)計簡化了管理難度，用戶在使用時也較易實現(xiàn)全網(wǎng)的無縫漫游。

4.6 IP地址規(guī)劃設(shè)計

無線校園網(wǎng)里的IP地址規(guī)劃，通常要考慮終端STA的IP地址、AP的管理IP地址、AC的IP地址和不同業(yè)務(wù)的網(wǎng)關(guān)IP地址。STA用戶的IP地址和AP的管理IP地址都要求通過DHCP Server自動獲得，不需要手工配置。DHCP Server的位置通常都在核心層，可集成在某個設(shè)備模塊上。常見手法是獨立采用ZHICHI DHCP reply功能的核心交換機。通過在出口網(wǎng)關(guān)上利用NAT地址轉(zhuǎn)換，STA和AP分配到的私網(wǎng)地址就訪問互聯(lián)網(wǎng)。這樣的IP地址規(guī)劃，有利于節(jié)約公網(wǎng)地址資源。

4.7 網(wǎng)絡(luò)管理安全系統(tǒng)的功能設(shè)計

面對像中等校園規(guī)模的網(wǎng)絡(luò)實現(xiàn)統(tǒng)一的安全管理非常重要。由于網(wǎng)絡(luò)規(guī)模很大，因此安全策略的制定需要從全網(wǎng)的角度來出發(fā)設(shè)計，完全有必要建立一套相應(yīng)的、完善的安全管理系統(tǒng)來掌握全網(wǎng)的安全動向。設(shè)備方面，盡量采用同一個廠商的主要設(shè)備，那樣可以很好的實現(xiàn)設(shè)備的兼容性。另外，新建立的網(wǎng)管系統(tǒng)在技術(shù)上必須滿足包括支持大規(guī)模無線設(shè)備的配置和管理，支持B/S的架構(gòu)，支持網(wǎng)絡(luò)拓撲自動發(fā)現(xiàn)，支持無線AP和AC以及有線設(shè)備的統(tǒng)一管理，支持接收告警信息，能夠準確定位故障點，可以分析映射表發(fā)現(xiàn)IP和MAC地址異常等。

5 無線校園網(wǎng)絡(luò)的安全功能測試

要驗證無線校園網(wǎng)方案的安全功能能不能達到高校安全的要求，還需要進行一系列的安全功能測試。比如：非法AP的檢測和抑制功能測試、網(wǎng)管系統(tǒng)發(fā)現(xiàn)AP故障并處理的功能測試、網(wǎng)管系統(tǒng)定位合法和非法終端的功能測試等。如測試結(jié)果良好，則說明無線校園網(wǎng)的安全功能達到了設(shè)計要求。

6 總結(jié)與展望

通過對當今常見的無線校園網(wǎng)架構(gòu)進行研究，本文著重討論了應(yīng)如何搭建無線校園網(wǎng)安全架構(gòu)，并提出了相應(yīng)的安全實施方案。本文重點闡述了目前面臨的無線網(wǎng)絡(luò)安全問題，根據(jù)這些問題并結(jié)合中等規(guī)模校園的無線校園網(wǎng)絡(luò)安全需求，詳細闡述基于三層架構(gòu)的獨立成網(wǎng)的無線校園網(wǎng)的安全部署和安全措施。

隨著手持智能終端的迅速普及，無線網(wǎng)絡(luò)在未來的發(fā)展中占據(jù)著特別重要的角色。雖然當前無線網(wǎng)絡(luò)還存在著各種各樣的安全漏洞和隱患，但隨著各項網(wǎng)絡(luò)技術(shù)和系統(tǒng)技術(shù)的發(fā)展，我相信在不久的將來這些問題都能得到很好地解決。展望未來，信息時代即將到來。

參考文獻

[1]錢進.無線局域網(wǎng)技術(shù)與應(yīng)用[M].北京：電子工業(yè)出版社，2004.

[2]段水福，歷曉華，段煉.無線局域網(wǎng)設(shè)計與實現(xiàn)[M].杭州：浙江大學出版社，2007（11）.

[3]孫言強，王曉東，周興銘.無線網(wǎng)絡(luò)中的干擾攻擊[J].軟件學報，2012，34（05）：1207-1221.

[4]馬建峰.無線局域網(wǎng)安全體系結(jié)構(gòu)[M].北京：高等教育出版社，2008（05）.

[5]王隆娟，杜文才，姚孝明.淺談無線網(wǎng)絡(luò)安全問題[J].信息安全與技術(shù)，2010（08）：87-93.

篇7

面對一個龐大、復(fù)雜的內(nèi)網(wǎng)及相關(guān)的信息系統(tǒng)，單獨對每項信息資產(chǎn)確定保護方法是非常復(fù)雜的工作，應(yīng)該采用信息安全等級保護的策略。邊界防護作為網(wǎng)絡(luò)安全等級保護的重要機制之一，將劃分整個系統(tǒng)的邊界，制定安全域規(guī)則，將各類信息系統(tǒng)歸入不同安全域中，對進出該等級網(wǎng)絡(luò)的數(shù)據(jù)進行有效的控制與監(jiān)視。每個安全域內(nèi)部都有著基本相同的安全特性，在同一安全域內(nèi)實施統(tǒng)一的保護，從而大大地降低了安全防護的難度。

西安交通大學醫(yī)學院第一附屬醫(yī)院（以下簡稱“交大一附院”）擁有內(nèi)外兩套相互物理隔離的網(wǎng)絡(luò)系統(tǒng)，內(nèi)網(wǎng)主要應(yīng)用于醫(yī)療業(yè)務(wù)系統(tǒng)，外網(wǎng)主要應(yīng)用于辦公及互聯(lián)網(wǎng)業(yè)務(wù)，內(nèi)外網(wǎng)之間基本沒有通信，數(shù)據(jù)交換也采用原始的導(dǎo)入導(dǎo)出方式。傳統(tǒng)的物理隔離方式雖然較為安全，但是違背了等級保護為不同等級數(shù)據(jù)提供通信的初衷，并且隨著SDR（Software Designed Radio）在各個領(lǐng)域中的應(yīng)用，物理隔離已經(jīng)越來越難以實現(xiàn)。

醫(yī)院信息系統(tǒng)安全域劃分

安全域劃分作為邊界安全防護的首要步驟，并不等同于傳統(tǒng)意義上的物理隔離，它是在綜合分析各套信息系統(tǒng)的安全需求及所面臨的安全威脅的基礎(chǔ)上，充分兼顧系統(tǒng)之間正常數(shù)據(jù)傳輸?shù)耐ㄐ判枨螅瑢ο到y(tǒng)內(nèi)不同安全區(qū)域進行的層次化安全策略防控。

醫(yī)院信息系統(tǒng)在進行安全域劃分設(shè)計時應(yīng)遵循以下基本原則：（1）從醫(yī)院信息系統(tǒng)的業(yè)務(wù)特殊性等方面考慮總體性要求，合理劃分網(wǎng)絡(luò)安全域，保證信息系統(tǒng)的整體安全防護能力；（2）根據(jù)各信息系統(tǒng)與醫(yī)院醫(yī)療相關(guān)程度進行層次化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計，形成網(wǎng)絡(luò)縱深防護體系，與醫(yī)療業(yè)務(wù)直接相關(guān)系統(tǒng)應(yīng)位于縱深結(jié)構(gòu)內(nèi)部；（3）安全域內(nèi)根據(jù)業(yè)務(wù)類型、業(yè)務(wù)重要性、物理位置等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；（4）同一安全域內(nèi)重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；（5）建立多重保護系統(tǒng)，避免將整套系統(tǒng)安全寄托在單一安全措施或安全產(chǎn)品上；（6）安全域劃分的目的是充分發(fā)揮安全產(chǎn)品的整體效能，并不是對原有系統(tǒng)整體結(jié)構(gòu)的徹底顛覆，因此在對網(wǎng)絡(luò)結(jié)構(gòu)改造的同時，需要考慮保護已有投資，避免重復(fù)建設(shè)。

醫(yī)院信息系統(tǒng)邊界劃分

結(jié)合醫(yī)院醫(yī)療業(yè)務(wù)需求和網(wǎng)絡(luò)安全需求，首先從總體架構(gòu)上將該醫(yī)院信息網(wǎng)劃分為醫(yī)療業(yè)務(wù)網(wǎng)（內(nèi)網(wǎng)）、辦公互聯(lián)網(wǎng)（外網(wǎng)）兩個基本的信息系統(tǒng)。再針對各信息系統(tǒng)所承載的業(yè)務(wù)、應(yīng)用等不同特點，在各信息系統(tǒng)內(nèi)部繼續(xù)劃分安全域。各信息系統(tǒng)內(nèi)部安全域及網(wǎng)絡(luò)邊界的詳細劃分情況見圖1。

1.內(nèi)網(wǎng)（醫(yī)療業(yè)務(wù)系統(tǒng)）

醫(yī)療業(yè)務(wù)系統(tǒng)主要承載著醫(yī)院醫(yī)療業(yè)務(wù)中的收費、電子醫(yī)囑、電子病歷、醫(yī)學影像、檢驗等信息系統(tǒng)，其安全域可劃分為：

醫(yī)療業(yè)務(wù)終端區(qū)：主要指醫(yī)務(wù)人員使用的業(yè)務(wù)終端，位于醫(yī)療業(yè)務(wù)系統(tǒng)。與互聯(lián)網(wǎng)、辦公網(wǎng)等外部網(wǎng)絡(luò)域物理隔離；

內(nèi)網(wǎng)開發(fā)維護區(qū)：主要指信息維護及軟件開發(fā)業(yè)務(wù)終端；

內(nèi)網(wǎng)服務(wù)器區(qū)：主要指為醫(yī)療業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)及應(yīng)用服務(wù)；

內(nèi)外網(wǎng)數(shù)據(jù)交換區(qū)：主要指醫(yī)療業(yè)務(wù)系統(tǒng)與辦公互聯(lián)網(wǎng)系統(tǒng)的內(nèi)外數(shù)據(jù)交換區(qū)域。

2.外網(wǎng)（辦公互聯(lián)網(wǎng)系統(tǒng)）

辦公終端區(qū)：醫(yī)院辦公業(yè)務(wù)如OA、郵件等業(yè)務(wù)終端；

外網(wǎng)服務(wù)器區(qū)：醫(yī)院門戶網(wǎng)站、預(yù)約網(wǎng)站及辦公系統(tǒng)服務(wù)；

互聯(lián)網(wǎng)接入?yún)^(qū)：醫(yī)院局域網(wǎng)絡(luò)與互聯(lián)網(wǎng)接入?yún)^(qū)。

3.相關(guān)邊界描述

根據(jù)醫(yī)院業(yè)務(wù)特點，醫(yī)療業(yè)務(wù)系統(tǒng)承載著醫(yī)院業(yè)務(wù)運轉(zhuǎn)，其安全性關(guān)系到每位患者的切身利益，下面以該院內(nèi)網(wǎng)區(qū)域為主，按照安全域劃分的具體情況，對照分析各安全域之間的業(yè)務(wù)關(guān)系，各邊界及相關(guān)接口定義描述如下：

邊界1：內(nèi)網(wǎng)與外網(wǎng)的互聯(lián)邊界，用于實現(xiàn)醫(yī)療業(yè)務(wù)系統(tǒng)與辦公互聯(lián)網(wǎng)的數(shù)據(jù)交互及分級防護；

邊界2：業(yè)務(wù)終端邊界，用于實現(xiàn)業(yè)務(wù)系統(tǒng)與醫(yī)護人員的人機交互業(yè)務(wù)；

邊界3：維護開發(fā)終端邊界，內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)與軟件開發(fā)的互聯(lián)邊界，用于軟件開發(fā)、更新、系統(tǒng)維護等等業(yè)務(wù)；

邊界4：服務(wù)器區(qū)邊界，門戶網(wǎng)站、診療預(yù)約網(wǎng)站與公眾訪問的邊界。

醫(yī)療業(yè)務(wù)網(wǎng)邊界防護方案設(shè)計

邊界保護主要考慮的問題是如何使某個安全等級的網(wǎng)絡(luò)內(nèi)部不受來自外部的攻擊，根據(jù)邊界劃分結(jié)果，主要防護的區(qū)域有：內(nèi)外網(wǎng)交換區(qū)、服務(wù)器區(qū)、業(yè)務(wù)終端區(qū)、維護開發(fā)終端區(qū)。邊界防護的主要機制有以下幾種。

1.網(wǎng)絡(luò)邊界隔離措施（防火墻、網(wǎng)閘）

防火墻、網(wǎng)閘是常規(guī)的網(wǎng)絡(luò)邊界防護技術(shù)，便于對網(wǎng)絡(luò)邊界進行安全控制，但是傳統(tǒng)防火墻無法對病毒、蠕蟲及其引起的惡意流量進行控制。防火墻技術(shù)利用邏輯層訪問控制策略，對雙向數(shù)據(jù)進行定義，物理層屬于聯(lián)通狀態(tài)，實時交互性高，安全性高。網(wǎng)閘由于采用數(shù)據(jù)“擺渡”原理，在數(shù)據(jù)傳遞過程中網(wǎng)絡(luò)之間屬于物理隔離狀態(tài)，實時交互性較差，安全性最高。

交大一附院在使用網(wǎng)絡(luò)過程中發(fā)現(xiàn)，網(wǎng)閘安全性高，但維護難度較高，配置較為復(fù)雜，如果廠商的支持力度不足將大大影響醫(yī)院外聯(lián)業(yè)務(wù)的開展，而防火墻雖然安全性較網(wǎng)閘差，但是配置簡單。因此，可以針對不同業(yè)務(wù)對安全性的要求及數(shù)據(jù)交互的實時性要求，采用不同的網(wǎng)絡(luò)邊界防護措施。

2.主機邊界入侵防御系統(tǒng)（IDS、IPS、UTM）

入侵防御系統(tǒng)，在攻擊檢測、安全審計和監(jiān)控方面都發(fā)揮了重要作用，通常架設(shè)在網(wǎng)絡(luò)間的通信路徑中間。IDS以旁路方式接入網(wǎng)絡(luò)，對不產(chǎn)生網(wǎng)絡(luò)負載，以檢測報警功能為主。IPS不僅能夠?qū)崿F(xiàn)對攻擊的檢測報警，還能對攻擊進行阻攔和防范，但是必須串聯(lián)接入網(wǎng)絡(luò)，在系統(tǒng)防護的同時勢必對網(wǎng)絡(luò)流量造成影響。

UTM是集合IDS、IPS、防病毒、防火墻等功能于一身的防護措施，所以也被稱為“統(tǒng)一威脅管理平臺”，主要應(yīng)用于網(wǎng)絡(luò)邊界，如局域與廣域之間、內(nèi)網(wǎng)與外網(wǎng)之間，UTM使得網(wǎng)絡(luò)邊界的防護整體化、平臺化，它的處理能力、吞吐量和自身對抗攻擊的能力是影響性能的關(guān)鍵因素。但是，作為其他環(huán)節(jié)的防護措施而言，過于集中的功能與我們按照等級或按照安全域進行分級防護的思路有所偏差。

根據(jù)醫(yī)院業(yè)務(wù)特色，醫(yī)院業(yè)務(wù)高峰相對集中，同時在網(wǎng)絡(luò)邊界已經(jīng)采用了防火墻及網(wǎng)閘技術(shù)，過度的防御反而會對業(yè)務(wù)系統(tǒng)的性能造成影響，容易形成網(wǎng)絡(luò)瓶頸，因此我們采用了旁路方式將IDS接入核心網(wǎng)絡(luò)區(qū)域，實現(xiàn)內(nèi)部與外部入侵的綜合檢測，根據(jù)報警及時采取相應(yīng)措施。

3.終端邊界安全防護

據(jù)調(diào)查醫(yī)院內(nèi)部網(wǎng)絡(luò)中95%以上的病毒，源自終端設(shè)備違規(guī)使用外接設(shè)備交換數(shù)據(jù)，因此對終端設(shè)備的端口控制與病毒防護尤為重要。部分防病毒系統(tǒng)已經(jīng)具備防病毒與端口管理等多種功能，也可以通過桌面管理實現(xiàn)對終端的資產(chǎn)管理、遠程維護、端口管理、組策略管理等更多功能。同時，采取措施對終端的U盤啟動功能進行屏蔽或管理達到有效防護，對于非法接入的終端設(shè)備，則需要采取終端準入認證機制。

而針對維護開發(fā)終端，使用人員多為計算機專業(yè)人員，且有大量外包公司人員，流動性大，系統(tǒng)權(quán)限較高，為了便于系統(tǒng)開發(fā)及維護，開發(fā)人員往往需要直接訪問主機、數(shù)據(jù)庫、外界支持，如遠程支持、外部數(shù)據(jù)接入，外部文件拷貝等，降低了桌面及防病毒的防護等級。對系統(tǒng)安全的威脅性更高，開發(fā)終端病毒感染數(shù)遠遠高于業(yè)務(wù)終端，同時還有集中在信息科的文件服務(wù)器也是病毒高發(fā)區(qū)。

防病毒網(wǎng)關(guān)作為一種網(wǎng)絡(luò)病毒防護機制，需要對經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)包都進行數(shù)據(jù)過濾，經(jīng)過測試，防病毒網(wǎng)關(guān)對部分應(yīng)用會造成效率影響，因此較為適合作為區(qū)域性網(wǎng)絡(luò)防病毒措施，不建議將單臺設(shè)備用于全網(wǎng)防病毒。

考慮到各種措施的防護能力，我們將終端防護的重點放在了開發(fā)維護終端區(qū)，在防病毒及桌面管理的基礎(chǔ)上，采用防病毒網(wǎng)關(guān)及主機訪問網(wǎng)關(guān)（堡壘機），控制開發(fā)維護區(qū)域的病毒影響和開發(fā)人員對主機的訪問控制。

4.安全審計技術(shù)

在可追究性方面，從安全事件發(fā)生概率來說，內(nèi)部問題遠遠大于來自系統(tǒng)外部的攻擊，安全審計已經(jīng)成為信息安全體系中的重要環(huán)節(jié)。對于內(nèi)部人員非授權(quán)訪問、數(shù)據(jù)竊取等違規(guī)操作，可以通過加強審計進行及時發(fā)現(xiàn)和有效制止，在國家信息安全等級保護建設(shè)中針對醫(yī)療行業(yè)的特殊要求中防“統(tǒng)方”被作為重點審計的一個環(huán)節(jié)。

因此在安全審計方面，可以采用以數(shù)據(jù)端口鏡像方式旁路接入網(wǎng)絡(luò)的帶有“統(tǒng)方”審計的數(shù)據(jù)庫審計措施和針對主機及網(wǎng)絡(luò)的審計措施。在數(shù)據(jù)庫審計實施時由于大部分數(shù)據(jù)庫審計產(chǎn)品廠商對醫(yī)療衛(wèi)生行業(yè)不了解，需要進行詳細的需求調(diào)研和系統(tǒng)設(shè)置。

5.其他安全保護措施

除以上述主要的邊界安全措施外，還需采用以下安全保護技術(shù)，以保證各安全域內(nèi)服務(wù)的完整性、可用性，以及信息的完整性、機密性、可用性：

（1）在各安全域的核心交換機上進行VLAN劃分，不同業(yè)務(wù)部署在不同VLAN上，并啟用訪問控制列表（AcL）功能，只允許合法的數(shù)據(jù)流通過，實現(xiàn)不同業(yè)務(wù)之問的隔離。安全策略應(yīng)細化到IP地址和端口。

（2）在各安全域的核心交換機上部署漏洞掃描系統(tǒng)，搜索安全域內(nèi)關(guān)鍵網(wǎng)絡(luò)設(shè)備、各監(jiān)務(wù)子系統(tǒng)和關(guān)鍵服務(wù)器等的漏洞信息，并在不會對業(yè)務(wù)系統(tǒng)的正常運行造成影響的前提下進行相應(yīng)安全加固。

（3）對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶，采用動態(tài)口令認證系統(tǒng)實現(xiàn)核心服務(wù)器身份認證。

（4）在核心服務(wù)器上部署防病毒軟件，進行惡意代碼防護，實時監(jiān)控主機的工作狀態(tài)和網(wǎng)絡(luò)訪問情況。

6.邊界防護方案拓撲

綜上所述，交大一附院確定了最終網(wǎng)絡(luò)邊界防護方案見圖2。

7.方案的設(shè)計總結(jié)

篇8

關(guān)鍵詞：醫(yī)院 信息網(wǎng)絡(luò)系統(tǒng) 風險控制

當今社會，人們獲取信息的重要途徑就是計算機網(wǎng)絡(luò)，在計算機網(wǎng)絡(luò)發(fā)展的同時也存在一些安全隱患，它不會通過安全的體系設(shè)計方案進行解決，比如非法訪問用戶賬戶、干擾計算機網(wǎng)絡(luò)的正常運行、破壞數(shù)據(jù)的完整性，傳播網(wǎng)絡(luò)病毒，進行數(shù)據(jù)盜取等。醫(yī)院要想計算機網(wǎng)絡(luò)消除安全方面的隱患，需要先對影響計算機安全的因素有個大體的了解。下面就講解了影響醫(yī)院計算機信息網(wǎng)絡(luò)系統(tǒng)安全的因素。

一、影響醫(yī)院信息系統(tǒng)安全的因素

1．自身系統(tǒng)及軟硬件的不穩(wěn)定

醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)不可避免的會出現(xiàn)安全漏洞。信息網(wǎng)絡(luò)系統(tǒng)最容易出現(xiàn)漏洞的方面有調(diào)用RPC漏洞，緩沖區(qū)溢出漏洞。信息網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)庫也比較容易受到攻擊。信息網(wǎng)絡(luò)系統(tǒng)出現(xiàn)的漏洞被利用后，可能會遭受遠程攻擊。應(yīng)用軟件具有一定的軟件缺陷，這種缺陷可以存在于小程序中，也可以存在于大型的軟件系統(tǒng)中。軟件的缺陷導(dǎo)致了醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的安全風險。網(wǎng)絡(luò)硬盤設(shè)備方面也存著在缺陷，網(wǎng)絡(luò)硬盤作為信息傳遞中重要的硬件設(shè)備，在被人們使用的同時也存在著安全隱患，它包含的電磁信息泄露是主要的安全隱患。網(wǎng)絡(luò)硬盤與計算機信息網(wǎng)絡(luò)系統(tǒng)組成的不牢固也能造出計算機信息網(wǎng)絡(luò)系統(tǒng)安全隱患。

2．網(wǎng)絡(luò)病毒的惡意傳播

現(xiàn)在網(wǎng)絡(luò)病毒從類型上來分有木馬病毒和蠕蟲病毒。木馬病毒采用的是后門啟動程序，它往往會隱藏在醫(yī)院計算機的操作系統(tǒng)中，對用戶資料進行竊取。而蠕蟲病毒比木馬病毒更高級一些，它的傳播可以通過操作系統(tǒng)以及軟件程序的漏洞進行主動攻擊，傳播途徑非常廣泛，每一個蠕蟲病毒都帶有檢查計算機電腦是否有系統(tǒng)及軟件漏洞的模塊，如果發(fā)現(xiàn)電腦含有漏洞，立刻啟動傳播程序傳播出去，它的這一特點，使危害性比木馬病毒大的多，在一臺電腦感染了蠕蟲病毒后，通過這個電腦迅速的傳播到、該電腦所在網(wǎng)絡(luò)的其他電腦中，電腦被感染蠕蟲病毒后，會接受蠕蟲病毒發(fā)送的數(shù)據(jù)包，被感染的電腦由于過多的無關(guān)數(shù)據(jù)降低了自己的運行速度，或者造成CPU內(nèi)存占用率過高而死機。漏洞型病毒傳播方法主要通過微軟windows操作系統(tǒng)。由于windows操作系統(tǒng)漏洞很多或者用戶沒有及時的進行windows系統(tǒng)的自身更新，造成了漏洞型病毒趁虛而入，攻占醫(yī)院的計算機電腦。計算機技術(shù)在更新?lián)Q代，病毒技術(shù)也在發(fā)展變化，現(xiàn)在的網(wǎng)絡(luò)病毒不像以前的計算機病毒，現(xiàn)在的病毒有的可以通過多種途徑共同傳播，比如集木馬型病毒、漏洞型病毒于一體的新病毒混合體。該病毒對網(wǎng)絡(luò)的危害性更大，處理查殺起來也比較困難。

3．人為惡意攻擊

人為的惡意攻擊是醫(yī)院計算機信息網(wǎng)絡(luò)系統(tǒng)面臨的最大安全風險，人為的惡意攻擊可以分為主動攻擊和被動攻擊，主動攻擊是有選擇的通過各種形式破壞信息網(wǎng)絡(luò)系統(tǒng)的完整性和有效性；被動攻擊是在不影響醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)正常運行的情況下，進行數(shù)據(jù)信息的竊取、截獲以及尋找重要的機密文件。它們都對醫(yī)院的信息網(wǎng)絡(luò)系統(tǒng)造成了巨大的危害。

二、保護醫(yī)院信息系統(tǒng)安全的措施

1．建立防火墻防御技術(shù)

防火墻設(shè)計的理念是防止計算機網(wǎng)絡(luò)信息泄露，它通過既定的網(wǎng)絡(luò)安全策略，對網(wǎng)內(nèi)外通信實施強制性的訪問控制，借此來保護計算機網(wǎng)絡(luò)安全。它對網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)包進行安全檢查，監(jiān)視計算機網(wǎng)絡(luò)的運行狀態(tài)。一個完整的防火墻保護體系可以很好的阻止威脅計算機的用戶及其數(shù)據(jù)，阻止黑客通過病毒程序訪問自己的電腦網(wǎng)絡(luò)，防止不安全因素擴散到電腦所在的局域網(wǎng)絡(luò)。通過將用戶電腦的使用賬戶密碼設(shè)置的高級些，，禁用或者刪除無用的賬號，不定期進行賬號密碼的修改都可以很好的防止病毒侵入。由于網(wǎng)絡(luò)入侵者的實時性、動態(tài)性，所以在計算機網(wǎng)絡(luò)中防火墻軟件要做到實時監(jiān)控的要求。防火墻的實時監(jiān)控技術(shù)通過過濾在調(diào)用前的所以程序，發(fā)現(xiàn)含有破壞網(wǎng)絡(luò)安全的程序文件，并發(fā)出警報，對可疑程序進行查殺，將網(wǎng)絡(luò)入侵者阻攔，使計算機免受其害。

2.采用特征碼技術(shù)

目前的查殺病毒采用方法主流是通過結(jié)合特征碼查毒和人工解毒。當搜查病毒時采用特征碼技術(shù)查毒，在殺除清理的時候采用人工編制解毒技術(shù)。特征碼查毒技術(shù)體現(xiàn)了人工識別病毒的基本方法，它是人工查毒的簡單描述，按照“病毒中某一類代碼相同”的原則進行查殺病毒。當病毒的種類和變形病毒有相關(guān)同一性時，可以使用這種特性進行程序代碼比較，然后查找出病毒。但是描述特征碼不能用于所有的病毒，許多的病毒很難被特征碼進行描述或者根本描述不出來。在使用特征碼技術(shù)時，一些補充功能需要一同使用，比如壓縮包和壓縮可執(zhí)行性文件的自動查殺技術(shù)。

3．其他網(wǎng)絡(luò)安全保護對策

加密技術(shù)通過將醫(yī)院計算機信息網(wǎng)絡(luò)系統(tǒng)的可讀信息變?yōu)槊芪膩肀Ｗo網(wǎng)絡(luò)安全。IP地址影響著用戶的計算機網(wǎng)絡(luò)安全，網(wǎng)絡(luò)黑客通過特殊的網(wǎng)絡(luò)探測手段抓取用戶IP，然后對此發(fā)送網(wǎng)絡(luò)攻擊。對IP進行隱藏是指通過用戶服務(wù)器上網(wǎng)，防止了網(wǎng)絡(luò)黑客獲取自己的IP。關(guān)閉電腦中不必要的端口也可以有效防范黑客的入侵，還能提高系統(tǒng)的資源利用率。對自己的賬號密碼進行定期、不定期的更改，然后設(shè)置賬號密碼保護問題，可以在第一道防線阻止網(wǎng)絡(luò)黑客的入侵。及時更新計算機操作系統(tǒng)和應(yīng)用軟件可以有效避免漏洞病毒的侵入。安裝知名的保護網(wǎng)絡(luò)安全軟件，對保護網(wǎng)絡(luò)安全的軟件進行及時更新。

總結(jié)

醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的安全與醫(yī)院的經(jīng)濟效益息息相關(guān)。影響醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全的因素是多方面的，網(wǎng)絡(luò)病毒也在不斷發(fā)展進化，面對這種嚴峻的形勢，我們不能只采用單一的防范措施，而是采用多種保護醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全的措施，相互協(xié)調(diào)，發(fā)揮優(yōu)勢，揚長避短，保證醫(yī)院的信息網(wǎng)絡(luò)系統(tǒng)在防范風險方面取得較好的效果。

參考文獻：

[1]王鑫.關(guān)于醫(yī)院網(wǎng)絡(luò)環(huán)境下計算機安全的防范技術(shù)[J].計算機與數(shù)字工程，2009

[2]鄧立新.加強醫(yī)院中信息網(wǎng)絡(luò)系統(tǒng)安全的思考[J].科技資訊,2008(26)

篇9

ICS的網(wǎng)絡(luò)威脅與脆弱性

ICS系統(tǒng)的網(wǎng)絡(luò)威脅工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)架構(gòu)朝著工業(yè)以太網(wǎng)的方向發(fā)展，其開放性逐漸增強，基于TCP/IP以太網(wǎng)通訊的OPC(OLEforProcessControl，用于過程控制的一個工業(yè)標準)技術(shù)在該領(lǐng)域得到廣泛應(yīng)用。從工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)現(xiàn)狀分析，ICS網(wǎng)絡(luò)面臨兩類安全威脅：1)開放性引入的安全風險。例如TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議的漏洞很容易遭到來自外部或內(nèi)部網(wǎng)絡(luò)的攻擊。2)連接性引入的安全風險。早期，工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)是物理隔離的，但近年來為了管理與生產(chǎn)的方便，兩個網(wǎng)絡(luò)系統(tǒng)間以邏輯隔離的方式存在，因此ICS系統(tǒng)也面臨來自企業(yè)網(wǎng)絡(luò)和Internet的威脅。表2總結(jié)了ICS系統(tǒng)存在的幾種網(wǎng)絡(luò)威脅[1]。

ICS系統(tǒng)的脆弱性工業(yè)控制系統(tǒng)的漏洞存在多個方面，如物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等，其中可以造成網(wǎng)絡(luò)入侵攻擊的漏洞主要包括以下一些問題[1，5]。

工業(yè)控制系統(tǒng)安全防護設(shè)計

近些年，業(yè)內(nèi)提出了深度防御策略[1，6-7]來對一個典型的ICS系統(tǒng)進行網(wǎng)絡(luò)安全防護，主要包括以下內(nèi)容：1)為ICS系統(tǒng)實現(xiàn)多層的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，在最安全和可靠的層執(zhí)行最嚴格的通信。2)在企業(yè)網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)間提供邏輯隔離(即在兩個網(wǎng)絡(luò)間配置狀態(tài)檢測防火墻)。3)配置DMZ網(wǎng)絡(luò)結(jié)構(gòu)(即阻止企業(yè)網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)的直接通信)。4)確保關(guān)鍵的部件是冗余的，并且部署在冗余網(wǎng)絡(luò)上。5)在經(jīng)過測試能夠確保不影響ICS操作的情況下，禁止ICS設(shè)備未使用的端口和服務(wù)。6)嚴格限制物理設(shè)備接入ICS網(wǎng)絡(luò)。7)建立基于角色的訪問控制規(guī)則，根據(jù)最小化特權(quán)的原則配置每個角色的權(quán)力。8)考慮對ICS網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)的用戶采用獨立的鑒權(quán)機制。9)在技術(shù)可行的情況下實現(xiàn)安全控制，如防病毒軟件、文件完整性檢查軟件，以阻止、發(fā)現(xiàn)和減少惡意軟件的進入和傳播。10)在ICS數(shù)據(jù)的存儲和通信中，應(yīng)用加密等安全技術(shù)。11)在現(xiàn)場環(huán)境中，必須在測試系統(tǒng)上測試所有的補丁，然后再安裝到ICS系統(tǒng)并配置安全的補丁。12)在ICS的重要區(qū)域跟蹤和監(jiān)控審計日志。這里認為在ICS的3層網(wǎng)絡(luò)體系中，應(yīng)進行多層-多級安全防護。在各層邊界部署防火墻以進行有效隔離。其中信息管理層部署商業(yè)防火墻，商用IDS、IPS，以過濾、監(jiān)控、聯(lián)動處理2-7層網(wǎng)絡(luò)的攻擊；在生產(chǎn)管理層部署面向生產(chǎn)過程控制的工業(yè)防火墻，同時對信息管理層的外部用戶、第三方的連接需求采用專用VPN設(shè)備，在生產(chǎn)管理層部署具有物理隔離功能的單向網(wǎng)閘，通過其單向的數(shù)據(jù)導(dǎo)入和物理隔離能力保證工業(yè)過程的信息流嚴格可控。此外，在接入?yún)^(qū)部署防病毒服務(wù)器及終端管理系統(tǒng)，并對商用數(shù)據(jù)庫部署審計系統(tǒng)，滿足數(shù)據(jù)管理要求；在管理運維客戶端部署運維操作審計系統(tǒng)，滿足配置管理要求，強化口令及權(quán)限管理；針對PC/服務(wù)器的操作系統(tǒng)級漏洞實現(xiàn)有效管理，部署商用漏洞掃描產(chǎn)品；針對采用無線連接的系統(tǒng)，部署無線安全產(chǎn)品。通過上述的多層-多級防護，可以基本滿足《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號)的要求。

結(jié)語

篇10

關(guān)鍵詞：vlan；校園網(wǎng)設(shè)計

中圖分類號：TP393.18

在90年代末期，我國高校逐步建立了校園網(wǎng)。起初，許多院?；旧喜捎梅?wù)器的上網(wǎng)方式，其只能滿足規(guī)模小的網(wǎng)絡(luò)，并且不便于管理，極容易導(dǎo)致IP沖突以及廣播風爆。雖然交換技術(shù)的不斷發(fā)展，高校又逐漸實現(xiàn)基于VLAN上網(wǎng)方式。它可以有效隔離廣播風爆，提高個人用戶安全性，又方便用戶人員變動，更好的滿足用戶的需求。這種上網(wǎng)方式也逐步受到高校網(wǎng)絡(luò)管理人員的親睞。為了強化網(wǎng)絡(luò)管理，管理者首先需要對其進行詳盡的設(shè)計。

1 Vlan技術(shù)

VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。VLAN是一種通過局域網(wǎng)內(nèi)的設(shè)備從邏輯地劃分成一個個網(wǎng)段，以軟件方式實現(xiàn)邏輯工作組的劃分與管理的技術(shù)。這些網(wǎng)段內(nèi)的機器有著共同的需求，而與物理位置無關(guān)。VLAN的作用是使得同一VLAN中的成員間能夠互相通信，而不同VLAN之間則是相互隔離的，不同的VLAN間的如果要通信就要通過必要的路由設(shè)備；通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，可以強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。網(wǎng)絡(luò)管理員可以通過配置VLAN之間的路由來全面管理企業(yè)內(nèi)部不同管理單元之間的 信息互訪。交換機是根據(jù)交換機的端口來劃分VLAN的。所以，用戶可以自由的在企業(yè)網(wǎng)絡(luò)中移動辦公，不論他在何處接入交換網(wǎng)絡(luò)，他都可以與VLAN內(nèi)其他用戶自如通訊。

2 校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

為了減少網(wǎng)絡(luò)中各部分的相關(guān)性，便于網(wǎng)絡(luò)的實施及管理，在網(wǎng)絡(luò)的構(gòu)建中，從整體上可以將網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層等三個層次。采用了分層結(jié)構(gòu)的校園網(wǎng)解決方案在性能、可靠性、擴展性等方面有無可比擬的優(yōu)勢，在投資保護方面，使得整個網(wǎng)絡(luò)的性能價格比最優(yōu)。整個網(wǎng)絡(luò)的設(shè)計，采用vlan技術(shù)，邏輯地將物理網(wǎng)絡(luò)進行劃分和管理。而其整體規(guī)劃、設(shè)計需要體現(xiàn)在路由、交換設(shè)備上詳盡的配置。管理者可通過telnet或web的方式遠程可以對網(wǎng)絡(luò)進行調(diào)整，具有較強的靈活性。由于目前思科公司設(shè)備的價格不菲，很多高校都采用了價格低廉的華為、中興交換機接入校園網(wǎng)，來減少經(jīng)費。以某高校為例，其路由、交換設(shè)備多采用華為、H3C，其網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

2.1 核心層網(wǎng)絡(luò)設(shè)計。核心層的主要功能是實現(xiàn)數(shù)據(jù)包高速交換。核心層是所有流量的最終匯聚點和處理點，它的結(jié)構(gòu)應(yīng)相對簡單，但其性能要求較高，核心交換機一般采用高性能的多層模塊化交換機，還要保證高速率的幀轉(zhuǎn)發(fā)。在設(shè)計策略上一般采用設(shè)備冗余和鏈路冗余設(shè)計，以保證網(wǎng)絡(luò)的QoS和可靠性。避免網(wǎng)絡(luò)配置的復(fù)雜度，因為一旦執(zhí)行策略出錯，將導(dǎo)致整個網(wǎng)絡(luò)癱瘓。

該校的核心層交換機啟用三層功能，對VLAN進行規(guī)劃，在端口中使用Trunk技術(shù)，起到隔離作用，部份VLAN的配置信息如下：

#

interface Vlanif2 //網(wǎng)通出口

description connect-cnc

undo shutdown

ip address 202.102.235.54 255.255.255.252

#

interface Vlanif3 //連接校內(nèi)服務(wù)器組

description server-group

undo shutdown

ip address 202.102.240.80 255.255.255.0

ip address 218.28.87.17 255.255.255.240 sub

#

interface Vlanif99 //管理VLAN

undo shutdown

description guanli

ip address 192.168.100.1 255.255.255.0

#

2.2 匯聚層網(wǎng)絡(luò)設(shè)計。匯聚層的主要功能是匯聚網(wǎng)絡(luò)流量，屏蔽接入層變化對核心層的影響。對網(wǎng)絡(luò)主干鏈路進行流量控制、負載均衡和QoS保證。不同vlan之間的計算機需要通信時，應(yīng)當在匯聚層進行路由處理。

在該高校校園網(wǎng)中匯聚層交換機采用S6506，匯聚層交換機到每一幢樓采用光纖連接，在該高校校園網(wǎng)拓樸規(guī)劃中，采用24芯光纜到每一幢樓，每一幢樓的每一層各使用一對光纖到匯聚層的交換機，在匯聚層的交換機端口設(shè)置不同的VLAN，給每一個VLAN配置上IP地址，再進行路由，交換機之間的連接采用TRUNK技術(shù)，每一層相互之間隔離，不允許相互間訪問，匯聚層交換機VLAN的部份配置：

#

vlan 12

description to-8016-g4/0/2

#

vlan 99

description guanli

#

vlan 301

description to-3cun1#

#

interface Vlan-interface301

description to-3cun1#

ip address 59.69.129.1 255.255.255.224

#

interface Ethernet3/0/1

description to 3cun1#

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 99 301

port trunk pvid vlan 301

broadcast-suppression 10

#

2.3 接入層網(wǎng)絡(luò)設(shè)計。接入層處理網(wǎng)絡(luò)邊緣，接入節(jié)點一般距離網(wǎng)絡(luò)管理中心較遠，而且節(jié)點分散，數(shù)量眾多，接入設(shè)備良好的可管理性將大大降低網(wǎng)絡(luò)運營成本，必須選用可網(wǎng)管的交換機，交換機應(yīng)提供Web 、Telnet等多種管理方式。如果交換機具有遠程監(jiān)控功能，就可實時進行網(wǎng)絡(luò)信息收集，有效進行故障定位。

在該高校的接入層采用華為2403H/E026/E126交換機，接入層交換機到匯聚層交換機之間采用TRUNK連接，為了方便管理，給每個交換機配置管理VLAN，可以進行遠程管理，接入層交換機VLAN的配置信息如下所示：

#

vlan 99

description guanli

#

vlan 515

#

management-vlan 99

#

interface Vlan-interface99

ip address 192.168.100.119 255.255.255.0

description guanli

#

interface Ethernet1/0/2

broadcast-suppression 10

port access vlan 515

#

3 總結(jié)

基于vlan技術(shù)的網(wǎng)絡(luò)設(shè)計在分層結(jié)構(gòu)下，層次分明，便于擴展、移動，具有較強的靈活性。實踐證明，設(shè)計方案是有可行的，強化了網(wǎng)絡(luò)管理，有效控制網(wǎng)絡(luò)流量，抑止廣播風爆，提高了網(wǎng)絡(luò)的安全性。

參考文獻：

[1]易建勛，姜臘林，史長瓊.計算機網(wǎng)絡(luò)設(shè)計[M].北京：人民郵電出版社，2011.

[2]楚書來，劉若華.vlan技術(shù)在校園網(wǎng)建設(shè)中的應(yīng)用研究[J].電腦知識與技術(shù)，2011（2）.

[3]陳凱，胡鵬.vlan技術(shù)在校園網(wǎng)維護管理中的應(yīng)用[J].電腦知識與技術(shù)，2009（4）.

[4]王魏.交換機在劃分校園vlan中的應(yīng)用[J].北京工業(yè)職業(yè)技術(shù)學院，2005（7）.