网络安全分析

网络安全分析

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇网络安全分析范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

网络安全分析范文第1篇

关键词：网络；安全

中图分类号：TP393.08

四川台现有广播业务网络于2011年建成，涉及广播的所有关键业务，在广播节目制作和管理中发挥着重要的作用。近年来随着广播与新媒体融合，网上应用和移动应用不断融入节目制作播出和信息业务中，网络应用的服务范围较以前传统的、小型的局域网系统逐渐向大型、互联互通方向扩展。随着网络规模的不断扩大、接入点数量增多、内部网络结构复杂化，对自身网络的安全性提出了更高的要求，因此梳理网络系统架构，才能及时查清网络安全状况。

1 网络安全技术分析

在网络的使用中，既需要互联互通，又需要系统安全。网络安全技术不断更新发展，网络安全产品很多，如何合理取舍，在网络中配置安全设备，确保网络业务安全？如果为了安全而过多的配置安全产品，必然拖慢网速，造成网络的不良体验，甚至造成网络业务阻塞。网络安全的关键点在于连通，网络安全产品是对连通业务的安全防护，主要采用的相关技术有以下几种。

1.1 防火墙技术

防火墙就是在内网和外网之间设置一道屏障，来保证内部网络安全，防止外部网对内网的非法入侵。它是一个或一组系统，配置在两个或三个网络的连接处，通过实施侦测，可监测、限制、更改跨越防火墙的数据流，确认其来源及去处，检查数据的格式及内容，并依照用户的规则传送或阻止数据。通过参数配置，可以设定哪些内部服务可已被外界访问，以及哪些外部服务可以被内部人员访问，主要采用数据包过滤、监测型、服务器等技术类型。

1.2 虚拟专用网络（VPN）技术

虚拟专用网（VPN）是实现内部网在因特网等公共网络上的延伸，通过加密在公共网络等外部网上创建一个安全的私有连接，采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。VPN技术主要提供在公网上的安全的双向通讯，可使分布在不同地方的专用网络通过不可信任的公共网络，实现安全通信，将远程用户、分支机构等与内部业务网连接起来，构成一个扩展延伸的内部网络，仿佛公共网络是内部网络的一部分，所有的使用都处于内部网络之中。

1.3 计算机病毒的防范

当前全球计算机网络上流行的计算机网络病毒有4万多种，在各种操作系统中包括Windows、UNIX和Netware系统都有大量能够造成危害的计算机病毒，这就要求安装的防病毒软件有较强的查毒、杀毒能力。能够查杀多种系统环境下的病毒，完善的升级服务，以查杀不断出现的新的网络病毒。

1.4 内外网安全隔离技术

内外网络隔离技术种类很多，大致分类为：网桥、网闸等。

网桥是将两个相似的网络连接起来，并对网络数据的流通进行管理，网桥隔离信息，将同一个网络划分成多个网段，隔离出安全网段，防止其他网段内的用户非法访问。网桥工作于数据链路层，能扩展网络的距离或范围，可提高网络的性能、可靠性和安全性。由于网络的分段，各网段相对独立，一个网段的故障不会影响到另一个网段的运行。

安全隔离网闸采用SU-Gap安全隔离技术，创建一个内、外网物理断开的环境。安全隔离网闸的硬件由三部分组成：外部处理单元（外端机）、内部处理单元（内端机）、仲裁处理单元（仲裁机），各单元之间采用了隔离安全数据交换单元。

2 广播业务网络架构的安全分析

广播业务网络分为主干交换和楼层交换两个层次。主干网采用光纤千兆网，两台核心交换机，交换机采用模块化，双电源和双交换引擎进行热备份。播出服务器和楼层交换机通过光纤同时联接到两台核心交换机，任何一台核心交换机的故障都不影响播出。楼层交换部分（水平布线）采用10/100/1000Base-T的网络，使用5类或超5类双绞线进行联接。

服务器采用双电源配置，两块硬盘镜像作为系统盘，服务器之间两两主备，当其中一台出项故障的时候，另外一台可以很快的接管整个工作。确保任何一块硬盘和电源出现故障的时候，服务器能正常工作。

2.1 存储安全

整个存储系统根据业务需要，组成一个逻辑阵列，由机头和阵列构成。机头采用负载均衡的冗余备份方式，同时对外提供存储服务，当其中一个机头失效后，其它个机头接替失效机头的功能，担负起对外提供服务的任务，同时升级冷备机头接替失效机头继续工作。

存储阵列配置相同，形成冗余备份，每个阵列做成RAID，除了用于构建RAID的磁盘外，还配热备盘，当某块RAID盘失效时，能自动启动热备盘重建程序，替代失效的盘。

2.2 防火墙等审核日志记录

配置安全系统防火墙和上网行为管理，并且所有的服务器都开启管理员审核日志记录功能，来记录系统执行的操作，对每一个操作产生记录。通过对需要审核的网络动作进行配置，可以控制网络操作，限制非法的网络操作。事后通过对日志查询，可以追踪网络中所有的操作，进而修正网络破坏。

2.3 网桥防护

广播业务网是一个相对独立的网络，这样可以有效防止病毒的传染和黑客的入侵。但是考虑到广播制播网和综合业务网之间需要进行数据交换，因此在广播业务网与外网之间建立安全连接网桥，通过安全连接网桥来传递允许通过的数据，从而保证广播业务网的安全。安全连接网桥建立在非通用协议基础上的，并且只能允许音频文件等被授权的数据，具备文件格式检测，能够识别伪装成音频文件的可执行文件等，防止木马程序进入系统内部。

3 适应业务网络架构的安全运维

在网络安全设备运转的基础上，加强技术维护，进行网络防护操作，通过封应用端口协议，来实现防护堵漏洞，防止外来的攻击，防止内部链接危险站点。对于相关操作系统打系统补丁，定期更新防火墙、上网行为管理等系统的补丁，定期检查路由器和交换机的更新及设置，保证安全设备运行效果。

配置网管软件记录收集网络日志，将服务器、交换机、防火墙、主机等的各项指标信息收集集中，以报表形式呈现，通过技术巡查，及早发现问题。

4 结束语

广播业务网络采用网络设备冗余，防火墙等内外网隔离连通技术，确保内部网络业务安全畅通，实现对网络操作审核日志记录，可追溯网络操作。这样通过网络安全设备合理配置，以及技术运维管理，达到确保网络安全畅通。

参考文献：

[1]龚敏斌，潘理，钱宏.网络系统策略完整性安全机制[J].信息安全与通信保密，2013（08）：73-75.

[2]王宇，陆松年.Web应用防火墙的设计与实现[J].信息安全与通信保密，2011（05）：104-106.

网络安全分析范文第2篇

物联网技术主要是为人和人、物和物以及人和物之间建立一个信息共享相互联系的网络，这样就可能存在数据安全和个人隐私被泄露问题。物联网作为一个新型信息共享网络平台，它的发展和建设都要涉及到海量的隐私信息和数据保护，然而当前还是缺乏认可的统一的技术的手段以及基于安全隐私保护监管法规，导致对物联网应用缺乏信心和安全感。只有在隐私信息受到安全保护，在提供完善的信息数据安全保护措施以及完善的安全管理策略保障的前提下，物联网才能被广大用户接受和使用。因此互联网安全问题已经成为制约物联网发展的关键问题，对信息的处理主要包括信息采集、汇聚、融合以及传输和控制等进程，这其中每个环节都决定了物联网安全的特性与要求。[2]（1）信息采集传输中的安全。信息数据在传输过程中很可能对数据不能进行有效的加密保护，导致在广播或多播等方式的传输过程别无线模式下，传输的信息可能会遭到诸如恶意节点中断、中途拦截、篡改路由协议以及伪造虚假的路由信息等方式对网络中传输的信息进行窃取和破坏。另外，网络中节点多源异构性、多样性，网络节点中电池的续航能力，耐高温、高寒的能力以及道路导航的自动控制能力，数据传输和消息的及时性和准确性等也关系到网络安全。这些对物联网的发展的安全保护体系建设提出了更高的要求。（2）物联网业务安全。物联网运行中存在着不同的与业务相关的安全平台，像云计算、海量信息处理以及分布式计算系统等，这些支撑物联网业务平台必须为它们相应的上层服务管理以及相应的大规模应用建立一个可靠、高效的安全系统，这些都会对安全技术提出更高的要求。（3）物联网中隐私信息的安全性。物联网在应用中使用了数量庞大的电子标签和无人值守设备，让隐私信息受到安全威胁，比如设备劫持等是用户的信息甚至关系国家安全的信息遭到泄露，导致用户被恶意跟踪或隐私信息被利用做一些不法勾当。因此物联网的安全的机密性、完整性以及使用的灵活性对于隐私信息的保护至关重要，直接体现物联网的安全可靠性问题。[3]（4）物联网的稳定、可靠性关系到隐私安全。信息的完整性、可用性在整个物联网应用中贯穿整个数据流，如果由于网络攻击、拒绝服务攻击、路由攻击等都会使物联网的数据流不完整、遭到破坏，物联网业务不能完成，其中一些敏感的隐私信息就有可能被窃取。并且在物联网的应用中需要和大量的其他应用领域的物理设备相关联，因此物联网必须要稳定可靠地运行，保证在数据传输过程中信息完整性，可用性以及安全性。

2物联网安全保障技术

物联网应用的广泛性、普及性和决定性的因素就是物联网安全问题特别是某些关键信息的保护的程度。现在物联网应用领域广泛，其安全性研究牵扯到各个行业，研究难度广。（1）密钥系统是物联网安全的技术基础。包括非对称和对称密钥系统，一种方式是通过互联网密钥分配中心对密钥系统进行管理和分配。二种方式是通过各个网络中心进行分布式管理，通过各自的网络结构对各个网络节点的通信节点间的密钥协商来管理。密钥算法生成的密钥的安全强度与网络攻击破解之间的代价大小来保障数据包传输过程的机密性，尽量缩短密钥周期性，让先前截获的密钥破解后无法再生成有效的的密钥继续进行非法勾当。[4]（2）数据处理中隐私信息的处理。物联网在信息采集、传输过程中都关系着隐私信息的安全保护，在可靠、可信的网络安全技术下保证信息在传输中不被篡改或被非法窃取。特别是在物联网应用中基于位置信息的服务是最基本的服务，定位、电子地图或者基于手机信号的位置定位、无线传感网的定位和隐私信息查询等安全保护面临严峻挑战，目前多采用空间加密、位置伪装和时空匿名等方式加以保护。（3）网络中的路由安全协议。物联网平台跨越了许多不同类型的平台，每个平台都有各自的路由协议和算法，比如基于IP地址的路由协议、移动通信和传感网的路由协议，因此需要解决多网融合中间统一的抗攻击的路由安全算法，尽量防止虚假路由、选择性转发攻击、虫洞攻击以及确认攻击等通过路由的安全漏洞进行攻击的模式。目前比较有效的路由技术是根据路由算法实现进行相关的划分，比如以数据为中心的层次式路由、根据位置信息的路由建立的地理路由。[5]（4）认证和访问控制技术。物联网的使用者需要通过通信确认对方的身份的真实性并交换会话密钥，其中及时性和保密性是其基础。另外还包括消息认证，通过给对方发送确认消息来确认对方的真实性。物联网的认证机制主要包含公钥认证技术、预共享密钥认证技术、随机密钥预分布技术以及其他辅助认证技术等相结合来对用户进行合法认证和控制。（5）入侵检测以及容错技术。在有恶意入侵时网络要具有容错性，防止由于恶意入侵导致网络的停止或崩溃，提高网络的抗干扰性。主要表现在网络拓扑中的容错、网络覆盖中的容错以及数据检测中的容错机制等，保证在网络出现断裂、部分节点、链路失效和恶劣环境下特定事件发生时网络、通信正常，数据传输无误。[5]

3物联网安全面临的挑战

网络安全分析范文第3篇

关键词：IPTV；组播；安全风险；DHCP；安全加固

1 背景

当前，电信运营商大都采用原有IP城域网作为IPTV业务承载网来开展IPTV业务，大致架构如下：采用PIM-SM作为三层组播路由协议；网内部署2个以上RP，这些RP间建立MSDP协议邻居关系形成anycast RP，提供RP的负载分担和冗余；IPTV客户端设备采用IPoE方式接入网络，集中部署DHCP server。整个承载网按照网络层次划分可分成三个层面：城域骨干层（含核心、汇聚路由器）；业务控制层（SR）；二层接入汇聚层（星型/环网交换机、OLT等）。

随着IPTV业务的部署及用户的快速增长，引入了新的安全风险。作为IPTV承载网维护部门应该就这些风险部署相应的防范措施。

2 风险总体分析

按照风险类型，大致分以下四种。

组播协议风险：设备间建立组播邻接关系的安全性，另外组播协议在安全上没有提供可靠的保证，用户可以随意加入一个组播组，该IGMP Join报文被SR终结后依靠组播路由协议PIM-SM加入到组播分发树中，这种行为直接影响到城域网接入/汇聚/核心设备。

组播源安全风险：在路由层面上RP没有对组播源做限定，存在非法组播源及非法频道的接入隐患。同样在二层汇聚交换机层面上，任意任何用户都可以作为组播源发送组播流量，缺乏组播源可靠的控制，若用户伪造IGMP查询报文，可能导致正常业务中断，同样也存在非法组播源传播的问题。

用户异常行为风险：传统IP城域网SR设备与用户采用3层隔离的方式，用户端的2层异常行为不会影响SR，而IPTV业务使得SR设备与用户间采用2层连接方式，SR设备自身直接面临传统2层环境所带来的安全问题，比如ARP攻击。同时，由于采用2层以太接入网，用户异常行为除了影响直连接入设备外，还能影响所在接入网的业务稳定性。

DHCP server安全风险： DHCP server面临诸如DHCP DOS攻击等攻击等问题。

对应到承载网，每个层面设备所面临的风险又各有不同，具体分析如下：

城域核心层： 这个层面中，由于核心层设备处于网络的中心位置，通常连接IPTV组播源所在网络，同时多台核心设备间运行MSDP协议形成作为anycast-RP。这个层面设备风险主来自PIM协议安全性、MSDP协议安全性、组播源及组播频道的安全性。

业务控制层： 作为IPTV业务的控制接入点，地位至关重要，对下二层汇聚网络端口启用IGMP协议，启用DHCP relay功能，SR设备自身除了面临PIM协议安全性及IGMP协议安全性带来的控制平面风险外，由于设备直接通过二层网络连接大量客户终端设备，在转发平面上还需要面临传统二层网络对带来的大量安全风险如广播风暴、ARP攻击等；作为DHCP RELAY设备，还需面对client端设备的异常DHCP行为所带来的安全风险。

接入汇聚层： 对于IPTV业务会面临DHCP server仿冒、IGMP ROUTER仿冒、非法组播源等业务安全风险；另外，默认情况下，当组播报文由IP层转发到数据链路层时，组播报文在数据链路层采用的是广播方式，IPTV业务VLAN内的组播组成员和非组播组成员都能收到组播数据报文，浪费网络带宽的同时使非鉴权用户也能收看节目。

3 安全加固建议

结合上述IPTV业务引入的主要安全风险，需要考虑如何来控制这些风险。由于安全风险涉及承载网各个层面，所以防御措施的部署也应当贯穿整个网络，在最佳的位置配置最佳的防御策略。下面讨论承载IPTV业务后承载网各个层面设备需要重点部署的安全策略。

3.1 城域骨干层

（1）严格控制组播域范围，只在必要端口下启用PIM路由协议。

（2）在设备全局下部署pim join过滤策略，限定合法源地址范围和组地址范围；部署pim register过滤策略，防止非法注册报文攻击，保证信息安全性。

（3）对于MSDP，静态指定peer建立邻接关系并配置MSDP MD5或Key-Chain认证，提高MSDP对等体之间建立TCP连接的安全性。

（4）调整设备CPU防护策略，将组播相关协议（pim、msdp）加入白名单，保证设备间组播协议邻接关系的正常建立和保持。

3.2 业务控制层

（1）严格控制组播域范围，只在必要端口下启用PIM路由协议及IGMP协议。

（2）部署pim source过滤策略，保证信息安全性。

（3）调整设备自身CPU防护策略，将组播相关协议（pim、igmp）加入白名单，保证设备间组播协议邻接关系的正常建立和保持。

（4）在下联二层接入汇聚网络端口单播子接口上部署 ARP协议相关安全策略。常态化策略可以部署ARP泛洪防御策略，设置允许通过的ARP报文的速率，防止来自接入网络的arp异常报文对SR设备DDOS攻击；对非法ARP报文、免费ARP报文和目的MAC地址非空的ARP请求报文进行过滤。

（5）在下联二层接入汇聚网络端口组播子接口上部署IGMP组播组的过滤器，限制主机能够加入的组播组范围。

（6）启用SR设备的DHCP安全特性，配置基于DHCP Snooping的 DHCP安全特性，过滤不信任的DHCP消息。SR设备作为DHCP RELAY设备，需将到达DHCP SERVER的端口设为信任端口。DHCP RELAY端口在收到dhcp、ip、arp报文时，依照初次上线时生成的dhcp snooping binding table进行合法性检查。

3.3 接入汇聚层

（1）在汇聚层LSW组播VLAN内启用IGMP Snooping，通过侦听路由器和主机之间发送的组播协议报文来维护组播报文的出端口信息，从而管理和控制组播数据报文的转发，实现二层组播，既可节约网络带宽又可提高信息安全性。

（2）启用组播vlan内组播组策略，对主机加入的组播组及组播组数量进行限制。

（3）在汇聚层LSW组播VLAN内禁用IGMP路由器端口动态学习功能，改为静态指定路由器端口。必须抑制从非路由器端口发送的未经授权的组播报文，防止非法组播源；另需配置IGMP报文抑制功能，降低SR路由器的处理压力。

（4）在OLT设备上启用IGMP Proxy功能，OLT响应SR路由器的查询报文并将用户主机加入、离开组播组的信息汇总处理后通告路由器，对大量用户主机频繁加入、离开组播组时发送的IGMP协议报文起到抑制作用，从而减轻SR路由器的处理压力及安全风险。

（5）基于vlan或端口设置最大MAC地址学习数量，当MAC地址数量达到限制后，对超过MAC地址学习限制的报文采取直接丢弃的动作，可防止针对DHCP SERVER的攻击。

网络安全分析范文第4篇

关键词：校园网络；网络安全；安全防护策略

目前，全球信息化大潮正推动着高校的信息化进程，各高校积极拓宽网络范围。网络范围不断扩展，加之多校区教学模式越来越多地出现在各大高校，在这种网络用户急速增加、校区之间通信要求越来越高的情况下，网络安全隐患逐渐摆在了各高校网络工作者的面前，面对如此严峻的网络形式，如何最大程度地减小网络安全隐患也是网络工作者所需考虑的问题，那么究竟如何来完善高校多校区的网络安全呢？本文将从校园网络功能出发，逐渐提出一套全面的网络管理策略。

一、高校网络安全功能

校园网的功能架构大致可以分为对内部分、对外部分和网络管理部分。对内部分主要是指校园Internet，包括多媒体教室、办公室、电子图书馆的建设，服务于学校的教学和管理；对外部分包括与Internet的连接与其他兄弟院校以及上级主管单位的连接，提供宽带的接人服务等；而网络管理则是这两部分的桥梁和核心，担负着整个网络系统的管理和安全工作。一个安全状态下的校园网，应该能够通过与广域网的连接，实现远程教育，为学校的教学、管理、日常办公、内外交流等方面提供全面、实用的支持。

二、校园网络面临的侵害

作为一种丰富的学习资源，信息化为教育所做的贡献是毋庸质疑的，但是同时，网络社会与生俱来的不安全因素也无时无刻不在威胁教育网络的健康发展，成为教育信息化建设中不可忽视的问题。

校园网面临的威胁大体可分为对网络中数据信息的威胁和对网络设备的威胁。具体来说，危害网络安全的主要威胁有：侵害网络物理安全，非授权访问，冒充合法用户，破坏数据的完整性，干扰系统正常运行，减慢系统的响应时间，利用病毒恶意攻击、线路窃听等。

三、多校区网络安全隐患

随着高校的发展，越来越多的学校开辟了多个校区共同教学这一模式。由于各校区网络建设不平衡，采用的技术有差异，合并组建的多校区的校园网络存在较多的安全隐患，主要有：

1.多出口问题。原来各个校区有独立的到互联网络的出口，现在一个校区就有几个出口，这就增加了网络安全设备的投入和管理的难度。

2.物理安全问题。由于物理设备的放置不合适、规范措施不健全、防范措施不得力，使网络资源遭受自然灾害、意外事故或人为破坏，从而造成校园网不能正常运行。

3.网络安全漏洞。许多校园网络拥有WWW、邮件、数据库等服务器，还有重要的教学服务器，对于非专业人员来说，无法确切了解和解决每个服务器系统和整个网络的安全缺陷及安全漏洞。

4.网络中的病毒。在网络中，病毒己从存储介质的感染发展为网络通讯和电子邮件的感染上来，其传播速度极快，破坏力更强，校园网上因主机与众多用户相连且用户水平参差不齐，计算机病毒易爆发大规模感染且清除困难。

5.网络安全等级差异问题。开辟了新校区的高校会根据新的规划对学校各个部门进行重组和地理位置的迁移，那么势必会影响到信息安全要求的重新调整，进而带来网络安全防范措施的调整，也带来硬件和软件的重新调整与配置。

6.安全制度问题。缺乏完整统一的安全策略，缺乏完善的、切实可行的管理和技术规范以及规章制度。

四、多校区网络安全策略

随着Internet的飞速发展，网络安全技术也在与网络攻击的对抗中不断发展完善，主要有：数字加密与数字签名、身份认证、存取控制、堵漏、检测、审核等，了解了高校网络的安全隐患，可以依据网络安全的需求，在实际网络系统的安全实施中，配合使用各种安全技术来实现一个完整的网络安全解决方案。

1．安全目标

①保证整个网络的正常运行，尤其在遭受黑客攻击的情况下；②保证信息数据的完整性和保密性，在网络传输时数据不被修改和不被窃取；③具有科学的安全风险评估；④保证网络的稳定性，安全措施不形成网络的负担而且提供全天候满意服务和应用。

2．安全策略

针对校园网的安全隐患，结合校园网的主要功能，分析网络安全的主要目标后，可以根据网络的层次结构模型，系统地架构各层的安全措施，实施一系列安全策略。

4.2.1采用一系列物理安全技术

建设校园网时，设备的选用在校园网中占据举足轻重的作用，硬件系统安全因素主要有：

1）提高服务器性能

在校园网中服务器起着主导作用，其性能的优劣直接影响着校园网的运行安全性以及网络服务的质量。在服务器选用上，要求该服务器具有较高的可用性、可靠性、可扩展性，支持对称多处理器。(下转第51页)

（上接第26页）

2）采用多层交换技术

随着网络交换技术的发展，三层交换机或更多层交换机业已应运而生，规划校园网时，中心交换机应考虑采用三层交换技术。三层交换技术可以完成常规交换机的网络连接功能，又可以解决局域网网段划分问题，解决了传统路由器低速、复杂所造成的网络瓶颈问题。

3）采用电源保护技术

采取良好的屏蔽及避雷措施，防止雷电干扰；防盗技术，安装报警器和各种监视系统及安全门锁；环境保护，按计算机安全场地要求采取防火、防水、防震、防静电技术措施；磁兼容性，采取电磁屏蔽及良好的接地手段，使系统中的设备不与周围其他设备互相影响；抑制和防止电磁漏洞，为防止电磁泄露，需采取低辐射的设备和电磁屏蔽等措施；合理配置系统，限制普通用户登录，校园网主机的操作系统尽量采用UNIX。

4.2.2广域网和局域网之间的访问控制

对特定的网段、服务，建立有效的访问控制体系，使大多数攻击到达之前就能进行阻止。通过路由器上的防火墙来实现广域网和校园网之间的访问控制，应选用包过滤型防火墙，包过滤安装在路由器上，对IP源地址、IP目的地址、封装协议、端口号等进行筛选，以达到限制非法网络访问的目的。

4.2.3局域网的安全访问控制

内部网络安全控制的指导思想是将非法用户和网络资源之间相隔离。不同系统的用户能够访问其他系统这是安全的隐患，采用技术手段控制内部网络的访问是必要的。

4.2.4对集中访问者的鉴别在建立全网通信的身份识别系统后可实现用户的统一管理，统一授权，防止未经授权的用户非法使用系统资源。

4.2.5网络病毒的防范

计算机病毒的威胁力和破坏力不可估量。在校园网系统中，应建立多层次的病毒防卫体系，以保证信息的安全和系统的正常运行，预防病毒、检测病毒技术、消除病毒技术也应在网络防毒工作中全面采用。

4.2.6备份

备份包括网络通信运行系统的备份和网络设备、通信线路的备份。网络通信参数、配置的备份应根据网络的重要性制订详细的备份计划，确保故障发生后可快速地恢复运行数据。设备和线路的备份可根据网络运行的故障率准备一定冗余，在网络某部分发生故障时，其他部分可自行启用或迅速切换。

4.2.7信息过滤

在网络中采用镜像侦听方式对侦听端口的所有数据进行收集，收集的信息包括各种协议的网络传输数据，根据关键字对有害信息进行过滤。

4.2.8建立完善的管理制度

首先，建立机房管理制度，它包括机房值班、机房安全级划分和工作人员进出机房与用机登记；其次建立责任分工制度，明确职责，各司其职；制定权限管理制度，规定上机人员不能越权操作；最后制定安全监督管理制度，用专人对系统使用情况实行监控，防止非法操作，对发现的异常情况，要采取有效措施加以控制。

五、结束语

在高校多校区共同教学这一前提下，网络安全应贯穿于校园网规范、设计、建设、运行、管理等各个环节，只有全面了解各校区的网络状况，及网络安全中存在的软、硬件差异，了解网络安全隐患，才能因地制宜地制订安全策略，落实安全管理制度，并加强对上网用户的安全知识及相关安全法规的培训。

【参考文献】

[1]方向明.高校网络信息安全与管理，《安徽工业大学学报》，2003，(20).

[2]俞承抗．特殊校园网安全解决方案工程，硕士专业学位论文，四川大学，2003.

网络安全分析范文第5篇

关键词：网络安全；医院信息系统；分析与防范

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）16-3696-02

网络安全即指以保障计算机系统及其网络在不受破坏与影响的情况下不间断运行为前提，以计算机技术与网络技术为手段，以计算机科学、IT安全技术、网络技术、密码验证技术、数学等为支撑的一门综合了多学科知识与技能的新兴的交叉学科。网络安全不仅涉及了计算机的软硬件技术，而且涉及到了网络高级技术，比如复杂网络、拓扑、网络存取权限与验证、网络议协安全等。还涉及到了数据库技术、防病毒技术、防入侵技术等诸多领域及内容。对于医疗机构而言，网络安全尤为重要，因为网络安全涉及到病患的人身安危问题，哪怕只是数秒钟的网络中断对于医院也是无法想象的。医院信息系统在正常运行以后，通过医院的门诊进入医院中的病患就会源源不断，这些病患在医院中的所有部门中都要进行信息交换，一旦医院信息系统中断则所有的信息交换都会被中断，医院就会陷于“停业”状态。

1 医院信息系统网络安全影响因素分析

1.1 医院内部因素分析

1.1.1 网络设备影响因素分析

网络设备是医院信息系统的信息交换通道，对于整个医院信息系统至关重要，网络设备的带宽、工作效率、质量对于网络安全有着巨大的影响。网络交换设备既包括网络路由设备、交换设备，亦包括网络线路。我国的许多医院都存在着卡机或反应迟钝的现象，这种情况其实与网络设备的关系较大，由于目前智能大厦的理念已经深入人心，医院的基础设施建设在建筑施工阶段即告完成，但是，我国目前的智能大厦中敷设的线路普遍达不到设计标准，降类降等的现象普遍存在，另外，目前网络交换市场良莠不齐，某些耳熟能详的品牌，比如tip-link等生产的网络设备质量较差，这些因素都极大地影响了整个医院信息系统的网络安全。

1.1.2医院信息系统软件影响因素分析

任何信息系统不仅需要硬件设备支撑其运行，还必须为硬件设备赋予“灵魂”——软件才能完美地实现信息交换。由于我国目前尚未形成强制性的软件系统国家级标准，因此，各类软件制作公司甚至小到数人的公司比比皆是，软件的制作水平差别较大。某些软件本身就存在着极为危险的漏洞，比如，某些软件公司为了开发方便，在开发时数据库、网络通通不使用密码，这样，在交付给用户使用时，软件的安全漏洞就给整个信息系统埋下了安全隐患。此外，我国百分之九十以上的医院采用的是微软公司的windows桌面系统，这种桌面系统自其诞生之日起即漏洞百出，安全事故不断，非常容易受到来自网络的病毒、人为因素、甚至其系统本身的损害。

1.1.3操作因素影响分析

虽然软件系统与操作系统的安全性越来越好，但是，操作的安全性问题依然较为严重，并将长期存在下去。误操作主要是由于管理人员或操作人员的安全意识淡漠造成的。通常医院信息系统的用户名与密码都设置的较为简单，许多操作者疏于保护自己的密码，甚至好多人共用一个操作帐号，这就给系统的整体网络安全性带来了严重问题，有时出现数据不一致，数据误删、误改，但是却无法确定具体的责任人。这不但是管理人员管理不到位，而且也是具体的操作者的责任意识、严谨性较差所致。操作引起的网络安全因素在很大程度上是可以避免的，而且也是应该避免的。此外，某些医院信息系统的软件设计的不完善也给由操作因素引发不安全因素带来了方便，比如，机房的系统管理员可以打开任何数据库系统表，当然也就可以打开用户名与密码表，这样就造成了用户名与密码的泄露。

1.2 外部因素

1.2.1 网络设备工作环境影响因素分析

一方面医院的业务要求信息系统必须7X24不间断地运行，一方面网络设备本身却对工作环境有着较为严苛的要求，尤其是对于电源的工作电压要求较高，同时环境的温、湿度以及洁净度都会对网络设备产生影响。此外，自然因素，比如雷电、强磁、频繁的静电、鼠害等也会对网络设备造成严重的影响。因此，在网络建设的过程中必须对这些因素的危害性予以高度的重视。

1.2.2计算机病毒的影响因素分析

与计算机相伴而生的计算机病毒，在初期只是一些技术人员对计算机性能的测试或对某些功能的探索性尝试，但是，发展到后来，计算机病毒就变成了可以使得计算机或整个网络瘫痪的真正意义上的“病毒”。在互联网这样的所有网络之间都可以自由联通的“大局域网”中，任何一种病毒都可以无障碍地到达任何一个没有保护的计算机系统或计算机网络之中，计算机网络受到威胁与感染的机率大增。而且病毒“寄居”的方式也由“传统式”地寄居或bound于可执行程序转变为“披上了”各种形式的伪装，有的伪装成图片文件，有的伪装成文件名特别吸引人的压缩文件，有的甚至“寄居”于word等文本文件中以“宏”的形式存在。这些文件可以在用户打开不安全的网页链接、接收电子邮件、下载程序、复制资料等过程中进行传播，其中危害较大的就是网络的传播方式与U盘的传播方式，U盘的传播方式会在被感染的U盘中生成自启动文件，只要U盘插入任何一台计算机，病毒都会优先启动并对该机算机进行感染，以后任何U盘只要插入该算机即被感染，传播极为迅速，这样的U盘只要插入医院的信息网络，那么医院的整个网络都将被感染。而且最为可怕的是随着网络速度的越来越快，病毒的网络安装与更新也更为方便，一旦被感染也更难以清除，目前的所有杀毒防毒软件公司都没有较好的“主动式”解决方案，只能是发现了一种病毒以后，“被动地”研究解决方案予以“查杀”，且查杀的基础是建立庞大的“已知病毒信息库”。

1.2.3 黑客入侵

相对于病毒的“自动化”入侵系统，黑客的“纯手工式”人工的方法入侵系统的破坏程度就要严重得多，因为黑客知道他们想要什么，他们会在系统中获取可资利用的对他们有用的或可以牟利的信息，当他们获取了足够的信息之后还要对系统进行他们“喜欢的方式”的某些改动，使得系统变得不正常，轻则影响工作，重则整个网络系统完全瘫痪。任何操作系统都存在着漏洞，就好比任何发动机都存在着缺陷一样，尤其是我国许多医院在使用的windows系统漏洞更是数千计，网络系统管理人员的随便一个小小的疏忽对于黑客而言都是“大大的漏洞”。黑客们会抓住计算机系统、网络系统、软件本身的漏洞对系统进行入侵或发起攻击。方法形形，手段不一而足。

2 医院信息系统网络安全防范

2.1网络安全防范首先要关注网络系统的内部管理

网络内部的安全管理工作可以消除百分之九十以上的安全风险，任何一个网络系统都是较为复杂的系统化工程，这个系统中的任何一方面的问题都会给整个系统带来不可预知的安全风险，比如网络的硬件设备必须稳定、可靠、高效，可以远程升级，但是，我国的许多医院都会过于注重投资的额度，而在网络设备上压缩投资使用一些虽然市面上较为常见但是品质却较为低劣的产品。这就给整个网络系统带来了隐患。正确的做法是网络安全防范的管理工作要从网络的基础硬件设施抓起，认真研究、详细设计，必须选择最为稳定、可靠的网络产品，对于业务不容间断的医疗机构而言，这一点尤为重要。核心服务器也必须选择集群式，即一整个集群提供一种服务，其中的任何一台计算机出现问题没有关系，其他的计算机会继续为客户机或终端提供不间断的服务。为避免整个集群的“集体失效”必须为整个服务器集群提供全套的双线输入、双电源提电等安全措施以保服务器的万全。如果使用windows系统则系统管理员必须及时关注最新消息，及时为医院内的所有计算机打好最新补丁以封堵住可能的被入侵的漏洞。内部操作人员必须做到一人一个用户名，一人一个不同的密码，这样才能做到责任分明，还可以防止别有用心的人用别人的用户名与密码对系统造成伤害。

2.2网络安全防范必须禁绝外来入侵、攻击与威胁

在关注内部安全的同时还必须打开视野对外来的入侵与威胁充分考虑全面防治。首先，整个系统如果需要对外开放，则系统的最前端必须设置软件防火墙与硬件防火墙，建立双防火机制，硬件防火墙的好处是可以在攻击未到达系统网络之前drop掉绝大多数的DoS、ICMP-FLOOD、UDP-FLOOD、TCP-SYN-FLOOD攻击以及来自互联网的ping与端口探测等。软件防火墙则可以更进一步地根据入侵的重要部位与重要端口加在保护。一个防止外来入侵的基本原则就是不但要进行IP地址过滤而且同时还要进行域名过滤与MAC地过滤，在建立过滤规则时可以先全部过滤，然后一条一条放开规则，这样才能打造出最安全的防火墙。而不是一下子就全部开放，然后发现一个可疑IP再进行封禁。双重的防火墙设计还不足以将全部黑客拒之门外，还要在防火墙的内侧靠近内部网络的位置设立DMZ将黑客的攻击引至这台虚拟的主机之中以保护其后侧的真正的网络与网络主机的安全，同时还可以将黑客的攻击信息予以捕获。目前的软硬件双重防火墙基本可以抵御几乎全部的来自于网络的攻击，但是对于那些掌控了互联网上数以百计服务器与数是千兆带宽的黑客，这样的防火墙不堪一击，因此，最好的防火墙就是仅对熟悉的网络IP、MAC地址、域名开放一步一步有限开放，这样就可以将绝大多数攻击挡在防火墙之外。黑客的入侵都必须通过某一开放的系统端口进行连接，因此，为防范黑客的入侵就必须实行动态端口机制，即平时默认不开放任何不必要的端口，远程端口只在必要时通过系统内部的程序进行开放，在远程管理之后随时关闭。这样就可以杜绝大部分的基于端口的入侵。消除来自外网的威胁的最好的防范措施则是在开放时打开对外的通道，在连接结束以后立即实现物理上的不连，物理不连接才是彻底防范黑客入侵的最后的杀手锏。

3 总结

任何网络系统都不是百分百的安全，因此，做为像医院这样对网络安全要求较高的单位必须选择能够为了万分之一的漏洞尽百分百努力的网络安全员与系统管理员。并且医院的高层必须把网络安全当成一件大事狠抓不懈，只要有百分之一的漏洞都可能造成百分百的网络安全事故。网络安全是一项动态的、艰苦的、长期的、系统的工作，网络系统安全员与网络系统管理员们亦应根据国际网络安全形势的变化及时更新防范思路，建立安全应急机制，快速响应、快速反应、快速处置以保证系统的绝对安全。

参考文献：

[1] 苗元青，刘鲲，辛海燕. 医院信息化网络工作站的安全管理[J] .中国医疗设备， 2008 （23） .

[2] 王珂琦.医院信息网络系统的安全措施[J] .中国科技信息， 2008 （13） .