网络暴力的解决方案

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇网络暴力的解决方案范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

网络暴力的解决方案范文第1篇

关键词：负载均衡 流量监控 Websense

随着互联网的不断发展，企业内部的Internet访问量呈不断上升趋势，目前已经具备一条电信出口链路和一条联通出口链路。企业自行摸索建立了一套适用于企业的智能化Internet访问解决方案，方案主要亮点是1、有效利用双ISP链路，合理负载均衡网络出口，同时做到网络出口出现故障时及时翻转流量。2、更好的利用带宽，在更深层次，更小的力度上保证合法访问的流量带宽，同时限制其他非法访问流量。

一、双ISP链路负载均衡解决方案

要做到双ISP负载均衡，不能简单的指定内部不同用户使用不同出口，必须能够找到可行的智能化选路方案，让用户在访问电信网站时使用电信链路，访问联通网站时使用联通链路。

链路负载均衡完美的实现方式是使用一台高端的路由设备，通过ISP的BGP路由器将目前已经获知的所有Internet上25万条聚合路由条目通告给这台路由器，根据不同的路由条目下一条指向， 通还是电信链路。目前市场上的高端流量负载均衡设备也可以做到完美的Internet流量负载均衡。但是这些解决方案的缺点是设备投资高，而且需要Internet运营商支持和配合，可能会产生巨额的费用。

这样做的结果是，如果用户访问网站的域名经DNS解析后落在这259条聚合路由条目的范围内，其访问路径会智能化的从联通接口进入Internet，网站的回复报文自然会从联通链路返回到用户端；当用户访问的IP地址不在联通的聚合路由中时，流量会经由preference值为1的默认路由条目，从电信链路转发；当电信或联通链路有一条中断时，流量会从指向另一条链路的默认路由转发。如此一来便实现了智能化的ISP流量负责分担。

实际应用中可能还涉及到网络地址转换的具体配置，在此不作详述。

二、Internet智能流量监控

Internet流量监控设计方案主要涉及两个方面，一是对流量的深度检测和带宽控制，二是对用户访问的网站进行海量筛查。通过这两个手段在主观上或客观上都能防止网络用户的不良行为导致网络性能和安全性受到负面影响。

传统的防火墙只能针对四层会话信息对报文进行过滤和筛查，如果遇到像Bittorrent这样使用随机端口，且报文头部信息加密的数据报文是无法进行识别的，更谈不上监管和限制了。

我们在网络流量检测和带宽控制方面，应用以色列Allot公司的 NetEnforcer串接在防火墙与核心三层交换机之间。Allot NetEnforcer具备智能化的旁路功能，能够在断电或失效故障的情况下自动旁路，确保了不因为主干链路添加设备而增加故障点。

NetEnforcer的基本策略制定思路是：将系统数据库预定义的和用户自定义的各种数据流分类，然后放入各自的虚拟管道（virtual pipes）中，根据用户指定的策略对各种数据流加以区别，分别分配不同的带宽。同时系统还能够根据这些不同分类方法统计出用户链路上的数据流统计信息。现在流行的BT，edonkey和迅雷等浪费网络带宽的下载都可以得到有效的防范。

三、智能网页过滤解决方案

在网页过滤方面，企业应用Websense内容过滤解决方案和Netscreen防火墙的联动功能，所有外部访问都要经过庞大且完备的Websense数据库的筛查，杜绝了内网用户访问恶意网站的唯一途径。

举例来说，用户在浏览器中输入.cn，站点的域名首先进行DNS解析，获得站点ip地址后发起三次握手过程建立TCP连接，之后会发起一个Get/http动作。这时防火墙会智能化的扫描这个动作，然后在报文中找到“host：.cn/r/n”这个字串，并将这个字串中的url名送至websense进行查找。如果这个域名在放行列表中，则报文被转发；如果用户需要访问网站的url在websense的禁止列表当中（默认的禁止列表囊括了当今数百万条url域名中所有的成人内容、、性、滥用药物、MP3、赌博、游戏、黑客、非法的或有问题的、好战性和极端主义、服务器避免（Proxy Avoidance）、URL翻译网站、Web聊天、未分类的、种族主义和仇恨、不雅观的、暴力和武器类别的网站，同时用户还可以根据自身需求自定义一些禁止访问的网站列表。），Websense服务器会通知防火墙丢弃这个报文，这样用户将无法访问这个站点。用户的非法访问将被重新定向到一个提示网页，告知用户访问非法。

网页过滤的目的在于保护用户访问不良网站，净化网络环境，减少由外往带入的不良信息、恶意软件、以及病毒和木马程序。

四、结束语

通过上文三种手段，企业有效地利用了Internet带宽，平衡了不同ISP的链路流量，同时杜绝了内部用户对于非法外部网站的访问。应用整体Internet 访问解决方案使得企业网络访问速度提升明显，内部病毒和木马程序大为减少，网络环境得到了极大的净化，网络应用水平获得极大的提升。

参考文献：

[1]Juniper Netscreen防火墙说明书，2007.

网络暴力的解决方案范文第2篇

关键词： 新农合； 数据交换； 摆渡交换； 安全防护； 隔离

中图分类号：TP399 文献标志码：A 文章编号：1006-8228（2014）04-15-02

Abstract： How to efficiently increase the security of data exchange between new rural cooperative medical service （NCMS） and hospitals， and how to enhance service capabilities of information system are discussed. A security mechanism managed and controlled by the NCMS is established， with five ways to control， two ways to defend and two ways to isolate， controlling information entirely. Applying the scheme of “gatekeeper + gateway + terminal security system”， network isolation between the NCMS and hospital intranets， and ferry exchange of data are realized. After the new data exchange security scheme between the NCMS and hospitals is realized， the security risk will be reduced efficiently and the service quality of the NCMS and hospital information system will be improved further.

Key words： new rural cooperative medical service （NCMS）； data exchange； ferry exchange； security； isolation

0 引言

随着新型农村合作医疗（以下简称：新农合）逐步推进，新农合病人到医院就诊可以实时结算，新农合网络与医院内部网络之间的数据交换日趋频繁。据调查，大部分新农合网络与医院内部网络有直接或间接相连，却没有采取可靠的安全防护措施。如何确保新农合与医院网络之间数据交换的安全性，已经成为一个重大的课题摆在了新农合与医院信息化建设主管部门的桌面上。

1 新农合网络现状

新农合制度是我国特有的一种医疗保障制度，与人民群众的健康息息相关，新农合正在广泛推行实时结算、异地就医结算。以浙江省桐乡市新农合为例，桐乡的新农合不仅在桐乡市范围内实现实时联网结报，而且还与嘉兴市、杭州市、上海市等大中城市的定点医院实现异地就医实时结算。目前，按照国家信息安全等级保护要求[1]，新农合网络定级为三级，三级网络在网络结构、访问控制、安全审计、边界完整性检查、入侵防范等方面都做了严格要求，如要求在网络边界部署访问控制设备，对进出网络的信息内容进行过滤，对用户访问进行身份认证，对非授权设备私自联到网络的行为进行检查等，以确保网络稳定运行。

2 新农合与医院网络接口

每个县市的新农合系统都是一个大型复杂的计算机网络信息系统，新农合信息中心与当地的医院、社区卫生服务站等单位相连，交换医疗信息数据。为了便于管理和维护，新农合信息中心都会对外提供统一的网络接入和“数据交换接口”。由于各单位情况不同，接入方式包括直连专线接入、拨号专线接入和基于公网的VPN接入等多种形式；“数据交换接口”是一套软件或动态链接库，医院、社区卫生服务站等单位的应用程序统一通过这套接口与新农合中心进行数据交换[2]。

目前，新农合网络与医院内部网络数据交换方式基本上采用前置机模式，即在新农合网络和医院内部网络之间放置一台前置，双方的数据交换通过前置机上的“军事缓冲区（DMZ）”来完成，互相不进入对方的网络，前置机软件由新农合信息中心提供和维护。医院的HIS系统通过调用新农合提供的函数接口与前置机建立连接，将新农合病人的数据传输到前置机上，再由前置机传输到新农合信息中心。如图1所示。

3 安全风险分析

虽然新农合网络被定级为三级网络，不能直接与国际互联网相连，各医院、社区卫生服务站等单位只能通过专线或专网接入新农合网络，但接入单位多，接入网络复杂，网络管理水平参差不齐，而目前大部分医院内部网络通过前置机直接连接新农合网络，存在安全隐患[3]。主要的安全风险可以概括为“三个不可控”。

3.1 网络安全环境不可控

新农合网络是一个异常复杂的网络环境，虽说接入该网络需要新农合管理机构批准，但因为接入机构繁多，所以整个网络可以说并不在新农合的控制和管理之下，与各医疗机构相连存在安全隐患。

3.2 网络范围不可控

医院、社区卫生服务站、乡镇街道、银行等单位都需要接入新农合网络，接入终端数量多、分布广，难于管理，给病毒、木马传播提供了便利的途径。

3.3 主机安全不可控

放置在新农合网络与医院内部网络之间的前置机，在实际工作中是存放在医院端运行和保管的。因该机器的位置特殊性，并没有部署防火墙、IPS等对其进行保护，所以该机器存在较大的被入侵可能，若将此机器作为跳板，就可以监听/窃取/破坏病人就医资料了。

4 安全解决方案

4.1 实现目标

新农合网络与医院内部网络互联中主要的安全风险在于：没有可控的安全策略，缺乏对网络安全包括信息安全交换方面的主导权。因此，在新农合网络与医院内部网络之间，需要建立一套由新农合管理和控制的安全防护机制[4]，这套机制要求达到如下目标。

⑴ 网络边界的隔离防护。实现边界安全隔离，隔离医院内部网络，禁止医院内部网络未经授权主机就擅自访问新农合网络。

⑵ 严格的授权访问控制。采用强认证技术，防止非授权的医院内部网络终端访问前置机、访问新农合网络。

⑶ 非法外联控制。防止木马程序以医院内部网络为跳板连接新农合前置机，监听、获取重要数据。

⑷ 网络入侵防御。采用网络边界和终端入侵防护技术，保护新农合前置机数据交换过程中不受恶意代码感染、驻留，不被远程主机控制和连接。

⑸ 访问行为强审计。审计所有对新农合数据库的访问请求，对试图访问敏感信息的行为进行阻断和报警。

4.2 设计思路

五控两防两隔离，全面掌握信息控制权。五控：外网到内网的访问控制、内网到外网的访问控制、通信协议及内容控制、通信对象控制、新农合终端访问范围控制；两防：防止外网暴力攻击、防止内网主动泄露；两隔离：新农合网络与医院内部网络安全隔离、新农合终端与医院终端隔离。

4.3 解决方案

采用“网闸+网关+终端安全系统”的解决方案，实现新农合网络与医院内部网络与间的网络隔离断开与数据的摆渡交换。即在医院内部网络与新农合前置机间加装符合安全认证要求的安全隔离与信息交换系统（网闸）和安全网关，并在需访问新农合前置机的医院内部网络终端上安装安全控制软件。网闸、网关与终端安全系统相结合且相互联动，构成动态的防御体系。

4.4 技术先进性

4.4.1 采用隔离网闸实现网络安全隔离和防御外网暴力攻击

隔离网闸采用独特的硬件架构，能够实现新农合网络与医院内部网络与之间TCP/IP的网络断开。当链路断开后，外网无法与医院内部网络任何主机进行网络连接，也就无法攻击主机，从而实现新农合网络与医院内部网络在连接过程中不受来自其他设备的各类网络层、操作系统层网络攻击。如图2所示。

4.4.2 采用多因素身份认证机制实现严格的访问控制

采用三位一体强认证技术实现可信的身份鉴别，能够严格控制医院内部网络与新农合网络之间的访问活动，禁止除新农合前置机外的任何外网节点访问医院内部网络，禁止任何外网主机直接访问医院HIS等核心服务器，禁止医院终端向除新农合前置外的任何其他IP地址发起访问，限制医院能够访问新农合前置机的终端数量。动联身份认证访问机制如图3所示。

对新农合所有数据库访问的内容进行审计数据中心部署数据库审计和数据访问控制系统[5]，对所有数据库访问请求进行事先防范、事中授权、审批和及时通知、事后审计的全面数据保护授权和审计。

5 结束语

本文探讨了通过实施一套新农合与医院网络数据交换的安全防护方案，有效降低了网络安全风险。该方案可以将网络安全环境、网络范围、主机安全的风险掌握在一定的可控范围内，从而进一步提升新农合和医院信息系统的服务水平。

参考文献：

[1] 尚邦治.做好信息安全等级保护工作[J].中国卫生信息管理，2012.9（5）：19-23

[2] 汪永琳，丁一.基于HL7的医疗数据集成及系统设计[J].通讯技术，2009.42（12）：176-177

[3] 倪宁.区域卫生信息平台安全分析[J].中国卫生信息管理，2013.10（3）：244-247

网络暴力的解决方案范文第3篇

1 原因分析

(1)有关联文件在运行。

文件无法删除大多是因为有关联的程序在运行,当然这有可能是电脑病毒引起的,也有可能是有些软件运行文件关联了某些系统文件引起的。例如,无法移除的USB、无法删除的缓存文件、软件的某些文件(尤其是杀毒软件)以及某些系统文件(系统文件大多写保护或者关联其他文件)等。

(2)管理权限不足。

在Windows系统中,比如Vista、Windows7或者其他服务器版软件,对于文件的操作权限要求很高――这样有利于系统安全,所以很多与系统相关的文件没有一定权限是无法删除的。

(3)磁盘损坏。

磁盘损坏这种情况比较少见,用户可以尝试运行磁盘扫描,之后再进行删除。

2 解决方案

(1)系统调节方案。

对于提示没有权限的删除操作,解决方案是选择更高的管理员账号进行操作。

其他类型文件删除方法如下:

重启系统进行删除操作;

重启系统进入系统安全模式进行删除操作;

XP系统下若提示“访问被拒绝请确定磁盘未被写满或未被保护”,请尝试结束Explorer.exe进程,之后再次运行Explorer.exe,再次尝试删除文件,或移除USB;

磁盘损坏这种情况比较少见,用户可以尝试运行磁盘扫描,之后再进行删除;

有些杀毒软件或者防火墙进行监控的时候会挂起某些软件的文件导致无法删除,用户可以尝试停止杀毒监控之后再进行删除;

有些文件不能删除是由于某些软件非正常关闭所导致,可以尝试重启程序再进行删除。

(2)软件解决方案。

某些软件,比如压缩软件WinRar或者Winzip在对文件进行操作的时候提供删除操作“压缩后删除”,用户可以尝试进行删除。

下面笔者推荐几个目前网络上比较常用的删除辅助工具如下:

①Unlocker

Unlocker是一个免费的右键扩充工具,使用者在安装后,它能整合于鼠标右键的操作当中,当使用者发现有某个文件或目录无法删除时,只要按下鼠标右键中的“Unlocker”,那么程序马上就会显示出是哪一些程序占用了该目录或文件,接着只要按下弹出窗口中的“Unlock”就能够为你的文件解套。

Unlocker不同于其它解锁软件之处在于它并非强制关闭那些占用文件的程序,而是以解除文件与程序关连性的方式来解锁,因此不会像其它解锁程序一样因为强制关闭程序而造成使用者数据遗失。

②File Pulverizer(文件粉碎机有很多类似的软件,手机中文件删除常用Winhex)

目前彻底删除文件的工具有很多,功能基本大同小异,删除文件的效果也没得说。实际上,这类软件的发展问题不再是删除文件技术,而是使用方便。文件粉碎机和操作系统密切结合,支持在资源管理器中右键菜单直接选择文件或者文件夹进行删除,支持将文件、文件夹直接拖曳到主界面,甚至不用启动它就可以方便的删除文件和文件夹,和用Windows的删除命令一样方便。

很多杀毒软件或者木马清理软件都提供了一些删除文件的功能,如:金山毒霸自带的文件粉碎器、超级巡警文件暴力删除工具、360安全卫士(文件粉碎机)和超级兔子内置删除功能等。

③Freeraser――桌面焚化炉(请慎用)

网络暴力的解决方案范文第4篇

作为国内领先的通信研发企业，普天信息技术研究院一直致力于自主知识产权及自有品牌产品的设计与开发，取得多项专利技术，拥有先进的核心技术。为推动移动多媒体广播的普及和发展，为2008年奥运会提供技术保障条件，普天肩负了移动多媒体广播领域中条件接收系统的研究与开发。

2008年3月21日至23日，在第十六届中国国际广播电视信息网络(CCBN)展览会上，由普天研究院自主研发的Pusca业务保护系统――基于智能存储卡的移动多媒体条件接收应用一经亮相备受业界关注，被誉为“数字电视运营商的管家”，标志着普天智能存储卡及其配套系统产品应用于数字电视的条件接收系统已步入商用化。

完整的端到端解决方案

普天Pusca业务保护系统是一个完整的端到端的数字电视业务保护解决方案，由局端设备和终端设备构成，局端设备包括独立加扰机、条件接收系统(CAS)、用户管理系统(发卡系统)；终端设备包括条件接收Lib库和条件接收(CA)卡。

其中，普天条件接收系统是数字电视加密控制的核心技术保证，为数字电视的运营提供了必要的技术手段，使拥有授权的用户合法的使用某一项业务，而未经授权的用户不能使用这一业务。独立加扰机采用DVB同密接口标准，在条件接收系统的控制下对节目流进行加密处理，并完成加密密钥与加密的节目之间的同步关系。

普天用户管理系统包括用户管理系统(SMS)接口和发卡系统，完成对用户信息和业务信息进行记录和处理，形成用户数据库，并通过CA接口(EMMG)发送用户授权管理信息，据此对用户进行精确的授权控制；同时对用户的条件接收卡通过广播、Internet等方式进行CA信息的相关设置。

普天终端条件接收Lib库在条件接收卡的配合下实现终端(包括手机、PMP、PC等)上播放经过加扰的节目流。

普天条件接收卡是一个集大容量存储、智能、安全、条件接收功能于一体的存储设备，支持当前主流的SD/7816/USB/MMC等通用接口。在普天的条件接收卡上实现权限控制、文件管理、密钥管理、业务密钥生成和控制字生成等功能，最终由普天条件接收卡完成收费功能。

高安全性的核心技术

Pusca业务保护系统采用普天多项先进的信息安全技术，保证整个系统的高安全性、可靠性和可控性。其中，条件接收系统采用多层密钥循环加密体系，运用多种加密算法确保业务密钥、加扰控制字的安全性，同时采用加密强度更高，更加适用于低带宽条件下传输的椭圆曲线加密/签名算法(ECC192)。

加扰机支持多种加密算法，从DVB的通用加扰算法到DAB/TDMB普遍采用AES。加扰控制字和业务密钥可随时进行更新，确保整个系统的安全可控性。终端的条件接收Lib库不进行任何与CA相关信息的处理，单纯只完成CA信息的转发和管理功能。

终端条件接收Lib库与条件接收卡之间采用AES加密算法，防止任何黑客通过侦测接口的信息破解CA，阻止当前流行的共享盒破解技术。条件接收卡则采用普天研发的金融级安全的智能卡技术，可以有效防止盗版卡的出现，保证运营商和用户的利益不受侵犯。同时条件接收卡内部采用多传感器技术，一旦侦测到暴力破解卡时，将对重要的数据进行毁坏，阻止黑客的任何非善意的企图。

强大、领先的局端系统

Pusca局端系统具备完全自主知识产权，遵循DABConditionalaccess标准(ETSITS102367)、DVBSimulCrypt(ETSITS103197)标准和CMMB标准，支持单向广播网络和双向通信网络，兼容DVB-C/DVB-H/DVB-S/DVB-T、S-DMB/T-DMB/DMB-T/DAB以及CMMB标准。

普天条件接收系统是安全和高效的，适用于大规模的数字电视、手机电视、多媒体广播、IPTV等运营环境。条件接收系统支持按频道、节目、基础流方式的加扰控制，方便运营商灵活的配置和部署系统；支持按照多频道打包、多节目打包的访问条件和授权控制，方便运营商和用户的节目控制和收费策略；支持多种授权方式，完善的密钥管理体系和发卡系统，保证系统的高安全性；支持多密/同密接口；支持区域控制和漫游，方便多个城市和多级运营商形成统一的市场，积聚更多的用户需求，利于整个产业的成熟。

普天自主研发的用户管理系统包括用户管理系统(SMS)接口和发卡系统，完成对用户信息和业务信息进行记录和处理，形成用户数据库，并通过CA接口(EMMG)发送用户授权管理信息，据此对用户进行精确的授权控制；同时对用户的条件接收卡通过广播、Internet等方式进行CA信息的相关设置。

高效、灵活的终端解决方案

由于受国家标准、产业大环境等因素影响，移动多媒体市场化进程任重而道远。目前，各标准试点项目进展如火如荼。从市场反映来看，普天基于SD接口的条件接收卡在移动多媒体广播行业获得终端厂商广泛青睐，在实网适应性、设备兼容性以及功能扩展性等几个方面具备竞争优势。

由于普天Pusca业务保护系统的终端解决方案采用通用接口的条件接收卡，并且所有的与CA信息相关的处理都是在卡内完成的，因此终端无需进行任何的硬件改动，完全可以在现有的成熟终端移植普天的条件接收Lib库，加快终端厂商的集成速度，降低终端厂商的研发成本，增强运营商整合产业链的能力。

普天终端解决方案采用自主知识产权的海量用户快速授权机制。在用户规模数较大或者个性化定制差别明显时，业务密钥必须针对每个用户单独进行分发，占用带宽资源严重。普天的终端解决方案采用新的密钥加密体系，使得业务密钥分发量与用户的规模数无关，而只是与业务的数量相关，因此极大节省了网络的传输负载。

支持更加丰富的增值业务

普天Pusca业务保护系统应用范围包括移动多媒体广播(包括地面和卫星)、手机电视、IPTV、高清晰/标准数字电视、数字内容出版和发行、流媒体服务、VOD、远程教育以及移动近场及网络电子支付，支持千万级用户规模的运营。

由于条件接收卡集智能安全、大容量存储和条件接收于一体，支持多种通用接口，并支持金融级智能卡技术，实现高安全强度的认证、加密、签名等功能，可以方便地增加各种增值业务。

普天条件接收卡可以和银联移动支付进行无缝连接，方便运营商和用户之间定购/收费关系的建立。运营商可以播放电视广告，用户可以方便地进行定购和支付；推送股票信息，用户可以随时随地地进行在线股票交易等。

普天条件接收卡大容量存储的实现，可方便用户随时随地录制喜爱的节目，便于以后欣赏。同时，为保证内容提供商的利益，条件接收卡具有版权保护功能，通过移动支付为内容提供商进行收费提供便利。

网络暴力的解决方案范文第5篇

关键词：校园网；网络安全；网络管理

中图分类号：TP393 文献标识码：A文章编号：1009-3044(2007)06-11545-02

1 引言

随着“校校通”工程、教育城域网的深入开展，许多学校都建立了校园网络并投入使用，这无疑对丰富教学形式，实现资源共享，加快信息处理，提高工作效率都起到无法估量的作用。校园网络在学校的信息化建设中扮演了至关重要的角色，但在网络建设的过程中，由于对技术的偏好和网络安全意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害成为各个学校不可回避的一个紧迫问题，解决网络安全问题刻不容缓。

2 目前校园网络中普遍存在的安全问题

2.1 网络安全方面的投入不足，没有系统的网络安全设施配备

大多数学校网络建设经费不足，所以就将有限的经费投在关键设备上，对于网络安全建设没有比较系统的投入，使得校园网处在一个开放的状态，没有有效的安全预警手段和防范措施。

2.2 缺少专业的网络管理员

网络出口、网络监控、日志系统等缺乏有效的管理，上网用户的身份无法唯一识别，存在极大的安全隐患。

2.3 电子邮件系统极不完善，缺乏安全管理和监控的手段

电子邮件既是互联网必不可少的一个应用之一，同时也是病毒和垃圾的重要传播手段。目前绝大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统，不能提供自身完善的安全防护，更没有提供任何针对用户来往信件过滤、监控和管理的手段，完全不符合国家对安全邮件系统的要求，出现问题时也无法及时有效的解决

2.4 网络病毒泛滥，造成网络性能急剧下降，很多重要数据丢失，损失不可估量。

网络病毒的肆虐传播，极大的消耗了网络资源；造成网络性能下降，单纯单机杀毒软件已经不能满足用户的需求，迫切需要集中管理、统一升级、统一监控的针对网络的防病毒体系。

2.5 网络安全意识淡薄，没有指定完善的网络安全管理制度

校园网络上的用户安全意识淡薄，大量的非正常访问导致网络资源的浪费，同时也为网络的安全带来了极大的安全隐患。

综上所述，校园网络安全的形势非常严峻，目前，许多学校的校园网都以WINDOWS NT做为系统平台，由IIS（Internet Information Server）提供WEB等等服务。下面本人结合自己校园网络管理的一点经验与体会，提几个基本的、关键的解决方案。

3 校园网络安全解决方案

3.1 配备完整的、系统的网络安全设备，规范出口的管理

校园网出口配备了双冗余的Cisco PIX535防火墙，把校园网络分成三个隔离网段：校园内部各功能网、DMZ区、Internet。通过防火墙的隔离，防止了跨网攻击、网络间干扰等安全隐患，同时病毒的感染范围也可以得到有效的控制，使各网段的安全性大大提高。

我校校园网采用了包括路由器、防火墙和交换机在内的三层立体集成化安全防御。第一层防护由边界路由器实现。边界路由器提供Internet与校园网的连接，为防止外部用户对服务器进行非法操作，对服务器的内容进行删除、修改等破坏，必须对外部访问的操作进行严格控制。利用Cisco路由器所具有的防火墙功能，可防止各服务器受到来自外部的破坏。第二层防护由PIX防火墙保障。PIX防火墙将校园内部网和外部完全分开，PIX是内部各网络子系统对外的惟一出口，通过使用PIX防火墙隔离内、外网络，更进一步保障了内部网络的安全。第三层防护由交换机提供。网络管理员在核心交换机部署防火墙模块，这是抵御外部攻击的第三道屏障，也是防止内部攻击的有利手段。

3.2 服务器安全措施

3.2.1 密码的设置

众所周知，用密码保护系统和数据的安全是最基本、最常用的方法。但目前发生的大多数安全问题，还是由于密码管理不严造成的，因此密码口令的有效管理是非常基本的，也是非常重要的。首先，绝对杜绝不设口令的帐号存在，尤其是超级用户帐号。一些网络管理人员，为了图方便，认为服务服务器只由自己一个人管理使用，常常对系统不设置密码。这样，“入侵者”就能通过网络轻而易举的进入系统，另外，对于系统的一些权限，如果设置不当，对用户不进行密码验证，也可能为“入侵者”留下后门。其次，在密码口令的设置上要避免使用弱密码，就是容易被人猜出的字符作为密码，例如常有人将自己名字的缩写或6位相同的数字进行密码设置。密码的长度也是设置者所要考虑的一个问题。在WINDOWS NT系统中，有一个sam文件，它是windows NT的用户帐户数据库，所有NT用户的登录名及口令等相关信息都会保存在这个文件中。如果“入侵者”通过系统或网络的漏洞得到了这个文件，就能通过一定的程序（如L0phtCrack）对它进行解码分析。在用L0phtCrack破解时，如果使用"暴力破解" 方式对所有字符组合进行破解，那么对于5位以下的密码它最多只要用十几分钟就完成，对于6位字符的密码它也只要用十几小时，但是对于7位或以上它至少耗时一个月左右，所以说，在密码设置时一定要有足够的长度。总之在密码设置上，最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外，适当的交叉使用大小写字母也是增加被破解难度的好办法。

3.2.2 及时为系统打补丁

对于Windows操作系统的服务器，采用Windows自动更新服务预防操作系统的漏洞。对于UNIX操作系统，网络管理人员时刻关心相关厂商的网站上的补丁列表，及时为系统打上相应的补丁。

3.2.3 用户终端IP地址配置

我校选用支持DHCP Snooping功能的接入交换机，用户的IP地址只能由网络中心分配，而不能来自非法的IP地址提供者。对于学校的职能部门，因为存在一些专用服务器，为了防止用户将IP地址手动设置成服务器的地址而造成冲突，职能部门的接入交换机全部采用支持IP SourceGuard的交换机，用户必须从DCHP服务器取得IP地址才可进行通信，私自设定IP地址将会自动被交换机禁止。

3.2.4 进行有效的监控和管理

上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证这个记录的法律性和准确性。

4 用户终端系统安全措施

用户终端的安全包含两个方面：一个是操作系统的安全性，一个是应用程序的安全性。 针对操作系统的安全性，我校的校园网内安装了Windows更新服务器，每天凌晨定时从微软网站同步下载补丁程序，并及时下发给终端机，使终端机能及时获得更新的操作系统补丁。 应用程序的安全性主要在于防止机器中病毒以及恶意程序的影响，针对病毒影响，我们采用了两层安全模式：一是在校园网内安装了网络版的瑞星杀毒软件；二是我们在校园网出口以及各个汇聚节点放置基于集群的病毒网关，一旦发现下联的客户机有中毒的症状，则主动切断用户的连接，并将用户的链接定向到瑞星杀毒软件进行查杀病毒，并通过自行编写的ActiveX控件更改客户端的注册表，使Windows客户端的自动更新自动指向校内更新服务器。为了防止恶意程序的影响，要求校内终端用户安装Windows Defender。

5 完善电子邮件系统，提供安全监控和管理功能

针对目前邮件系统存在的安全隐患，我校的邮件系统采用Eyou的产品，我们在Eyou系统中内嵌了杀毒软件，对用户的邮件直接进行病毒的查杀。对于出入学校的邮件，进行垃圾邮件检查、病毒检查。

6 配备专业的网络安全管理员，严格管理制度