前言：尋找寫作靈感？中文期刊網用心挑選的網絡安全信息建設研究(4篇)，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

第一篇：網絡安全等級保護信息建設方案

摘要：

通過具體闡述信息安全保障體系的建設，論述了安全策略的定義、構成，提出了總體規劃設計信息安全保障體系的架構，結合安全建設需求，提出完整的安全保障體系框架。

關鍵詞：

高校；校園網；等級保護；建設

引言

經過多年的發展，高校業務系統基本到位，在充分挖掘業務系統應用的基礎上，通過對比等級保護基本要求，初步明晰網絡安全存在的差距，基本了解信息系統的風險所在，可以判斷出信息系統的安全需求[1]。在充分參考了等級保護基本要求的基礎上，同時借鑒其他行業建設案例、行業最佳實踐，并在信息化建設安全系統設計的基礎上，根據國家網絡安全等級保護的要求提出了本建設方案。網絡安全規劃遵循以下原則：整體性、合規性、重點保護、針對性、可持續性、可實施性、先進性[2]。

1需求分析

1）在信息化建設時，除滿足業務需求外，對網絡架構設計需要秉持統一性、整體性原則，需要對網絡架構從IP地址規劃、網絡設備命名、網絡架構層次、結構可擴展性、網絡的可靠性進行綜合分析，進行網絡架構的優化。

2）業務系統相對較多，各業務系統之間存在較多的互訪行為，需要針對關鍵業務流程分析，分析關鍵業務涉及的系統和業務軟件、業務邏輯結構、業務模塊通信端口、數據調用過程、數據流向，進而明確安全邊界，合理劃分安全域，為后續安全設備的采購、部署奠定基礎。

3）需要加強對外聯單位的接入控制，并通過部署防火墻、入侵防御系統等加強邊界防護。

4）重點加強核心業務系統服務器區安全防護，嚴格控制業務系統的細粒度的訪問權限。

5）部署漏洞掃描系統，針對全網設備定期掃描，及時發現內網系統存在的漏洞并修復，提升自身安全防護能力。

6）部署數據庫審計系統、配置網絡審計系統，通過實時的網絡數據采集、智能信息處理、審計分析，實時記錄網絡訪問及數據庫訪問行為，并對違規操作進行報警。

7）部署堡壘機系統，實現對全網安全設備、網絡設備、數據庫、服務器的統一運維管理，包括統一賬號管理、統一身份認證、統一授權、統一審計和單點登錄管理。

8）部署日志審計系統，收集全網設備的系統日志，進行歸并存儲，供日后審計需求。

9）部署終端管理系統，實現全網的終端安全管控。

10）建設安全管控平臺，監控、分析和管理信息系統的整體安全態勢，并為整個信息系統的安全運營提供決策服務；安全管控平臺通過多種技術、手段，收集和整合各類安全事件，并運用實時關聯分析技術、智能推理技術和風險管理技術，實現對全網安全事件的深度分析，快速做出智能響應，實現對全網安全風險的統一監控分析和預警處理。

11）建設身份認證與行為審計管理平臺，以PKI/CA技術為核心，與應用系統進行深度整合，實現集中的用戶管理、證書管理、認證管理、授權管理和審計等功能，為多業務系統提供用戶身份、系統資源、權限策略、審計日志等統一、安全、有效的配置和服務。此外，在管理制度的建設方面各高校雖較為完善，基本符合等級保護的要求，但并未形成有效的管理體系，同時缺乏相關指標，以便對管理制度的執行進行有效性測量，需要圍繞現有管理制度進行優化并著手建設信息安全管理體系；流量管理與控制，需要能夠準確識別各種應用及流量，而且對流量可進行精細化的管理；運維工作目前依然依賴于信息中心人員的自主能力以及經驗傳承，缺乏必要的流程、工具，諸如應急響應預案、全網的風險態勢實時監控、事件處理流程等，因此亟需建立運維體系[3]。

2體系模型

信息安全保障體系的建設應當凸顯頂層設計，設計一個良好的信息安全保障體系架構。能夠保證建立一個結構化的安全體系，以結構化的安全體系來應對系統性的安全風險；能夠落實信息安全保障工作的長效機制，打造一支專業化的信息安全保障隊伍；通過實施動靜結合兩條線的安全保障，支撐業務的快速穩定發展。信息安全保障體系架構的設計中參考了如下模型：P2DR動態安全防護體系、IATF信息保障技術框架以及等級保護的標準要求。

1）P2DR模型。策略（Policy）：策略是P2DR模型的核心，所有的防護、檢測、響應都是依據策略。它描述了系統中哪些資源要得到保護，以及如何實現對它們的保護等。防護（Protection）：防護是主動防御的防御部分，系統的安全最終是依靠防護來實現的。防護的對象涵蓋了系統的全部，防護手段也因此多種多樣。檢測（Detection）：檢測是動態響應和加強防護的依據。通過不間斷的檢測網絡和系統，來發現威脅。響應（Response）：響應是主動防御的實現。根據策略以及檢測到的情況動態地調整防護，達到主動防御的目的。信息系統的安全是基于時間特性的，P2DR安全模型的特點就在于動態性和基于時間的特性。

2）IATF信息保障技術框架。當信息安全發展到信息保障階段之后，人們越發認為，構建信息安全保障體系必須從安全的各個方面進行綜合考慮，只有將技術、管理、策略、工程過程等方面緊密結合，安全保障體系才能真正成為指導安全方案設計和建設的有力依據。信息保障技術框架(InformationAs-suranceTechnicalFramework，IATF)就是在這種背景下誕生的。

3）等級保護模型。等級保護工作作為我國信息安全保障工作中的一項基本制度，對提高基礎網絡和重要信息系統安全防護水平有著重要作用，而在《信息系統安全等級保護基本要求》中對信息安全管理和信息安全技術也提出了要求。

3安全策略

安全策略是信息安全保障體系的核心，是信息安全管理工作、技術工作和運維工作的目標和依據。安全策略由總體策略和分項策略組成，具有分層結構的完整體系，包含了從宏觀到微觀，從原則方向到具體措施等多方面的內容。信息安全保障的總體策略應該是：安全保障體系建設與信息系統建設“同步規劃、同步建設、同步運行”；動態和靜態保障相結合（即建設與運維的有效結合）。信息安全保障的分項策略分別對應技術體系、管理體系、運維體系，為網絡與信息系統的安全管理工作提供參照，以支撐安全策略實現，提高信息安全保障水平，確保安全控制措施落實到位，保障網絡通信暢通和業務系統的正常運營。

4體系架構

信息安全保障體系的建設必須站在全局的角度，對信息安全的整體進行完整的構想和實施。通過借鑒信息保障技術框架IATF、國際信息安全縱深防御架構并參照P2DR模型（策略、防護、檢測、響應），以技術與管理同步，動態和靜態保障相結合的思想，總體規劃設計信息安全保障體系架構。

5建設方案

綜合考慮安全建設需求，提出完整的安全保障體系框架，從安全技術體系、管理體系、運維體系三個角度出發，從而構建一套完整的信息安全保障體系，實現信息系統的業務安全保障。

5.1安全技術體系

1）在主機房服務器區域出口處部署防火墻，提供內網各個安全域橫向邊界的訪問控制，實現核心應用系統的安全隔離。在外網互聯網邊界接入區域部署防火墻為互聯網邊界提供訪問控制。

2）在服務器區域旁路部署入侵檢測系統，提供內網中所有對服務器區域訪問行為的入侵行為檢測。

3）在互聯網邊界接入區域部署入侵防護系統，為互聯網邊界提供邊界入侵防護、惡意代碼過濾。

4）在內網核心區域旁路部署網絡審計系統，實現全網行為審計。

5）在外網互聯網邊界部署流量控制系統，實現全員的上網行為管理與控制。

6）在安全運維區域部署主機監控與審計系統以及準入控制系統，能夠有效探測終端的非法外聯、非法內聯行為，實現區域邊界的完整性保護。在外網部分，通過IP\MAC綁定措施，實現外來人員接入外網的行為控制，實現邊界完整性保護。

7）在核心區域旁路部署網絡審計系統，收集、記錄通信網絡的相關安全事件，上報安全管理中心。

8）在外網部署VPN設備，對于移動辦公的遠程訪問行為進行安全加密，提供完整性保護。

9）部署統一身份認證管理系統，實現應用系統的4A（賬號、認證、授權、審計）整合。

10）數據庫審計系統（含網絡審計功能）。

11）在服務器區域旁路部署數據庫審計系統（含網絡審計功能），實現應用區行為審計、實現數據存儲區數據訪問記錄審計。

12）在安全運維區域部署日志審計系統，收集全網計算環境中產生的日志信息，包括服務器的操作系統和應用系統，數據庫服務器以及部分網絡設備和安全設備。

13）在安全運維區域部署漏洞掃描系統實現全網網絡設備、服務器等漏洞掃描，并提供安全建議和改進措施等功能，幫助用戶控制可能發生的安全事件，最大可能消除安全隱患。

14）在安全運維區域部署內控堡壘主機，在系統運維人員和信息系統（網絡、主機、數據庫、應用等）之間搭建一個唯一的入口和統一的交互的界面，針對信息系統中關鍵軟硬件設備運維的行為進行管控及審計。

15）核心業務數據就是生命線，當故障或災難發生時，能否有一份可用的數據，是決定其存亡的關鍵。因此，必須有異地冗災數據備份和恢復系統，保障數據不丟失。

5.2安全管理體系

在安全運維區域部署安全管理平臺，實現全網重要資源的運行狀態、安全事件相關數據進行集中采集、統一分析、可視化展現，發現異常時可實時告警響應，并可依據保存的歷史數據進行審計等，另外，系統提供了相應的接口，以便與第三方系統實現整合。

5.3安全運維體系

安全運維體系是支撐和保障，建立標準化的運維管理流程，能夠有效提升運行管理能力。明確安全運維崗位職責，通過成熟完善的管理工具輔助運行維護管理，使運行維護工作流程化、標準化、自動化、體系化，建立規范的變更流程；制定日常運維計劃，日常運維管理服務主要通過駐場工程師提供現場安全職守服務。主要實現對信息系統實時監控與分析，并及時處理信息系統運行中存在的安全問題，確保系統的正常運行。包括但不限于：人員駐場服務、安全事件匯總報告、各系統、設備定時巡檢，提供巡檢報告、監控分析報告、對安全事件進行應急響應；定期進行安全評估，完善信息系統的信息安全突發事件應急預案、應急隊伍、應急演練等；全面實現安全事件管理和響應服務，駐場工程師配合完成。服務內容包括但不限于：安全事件響應分析、災難恢復、入侵追蹤和取證、安全應急響應和災難恢復、進行入侵追蹤和犯罪取證工作，對入侵者給予法律的懲罰、處理應急安全事件之后，會依據信息系統的安全性和威脅，提供相應的事后安全分析和可行性安全建議，并進行事后安全加固。最終建立對安全運維工作的考核機制，把運維成果和績效相結合。安全運維防護作為動態安全防護，建設過程中主要以信息安全事件為主線，具體建設內容可以分解為安全監控、態勢分析、響應機制和應急保障四個環節。安全監控是事前防御的重要措施，主要從系統應用、設備狀態和安全事件三個方面進行監控，全面感知網絡和信息系統運行情況。態勢分析是綜合風險隱患、信息安全事件、設備運行狀況和用戶行為等因素進行全面及時研判，是建立主動預警機制的基礎。響應機制是對影響信息系統運行的設備故障、安全事故和安全事件進行分類，制訂處置原則和方法，控制和減少事件影響，預防同類情況反復發生。應急保障是在系統發生故障、事故或事件時能及時相應、及時處置，將影響或損失控制在預知的程度內。包括組建應急隊伍、制訂應急預案和日常應急演練。

6結語

信息安全體系建設包含策劃與準備階段、安全現狀調研階段、差距分析與風險評估階段、方案（體系模型、安全策略、體系架構、技術方案）論證階段、技術體系的建設實施階段、管理體系建立階段、應急體系建立、運維體系建立與運行。本方案作為信息安全等級保護整改方案暨信息安全規劃方案，主要針對建設階段進行詳細的任務分解，對于其他階段不再細述。

作者：李洪民 單位：濱州醫學院網絡信息中心

參考文獻

[1]范紅,邵華,李程遠,等.安全管理中心技術實現方法研究[J].信息安全與技術,2010(6):66-67.

[2]李浩.高校校園網網絡安全分析及對策研究[J].電腦學習,2009(5):87-89.

[3]胡建龍.校園網絡安全問題及防護措施[J].科技信息,2010(23):15-16．

第二篇：醫院信息系統網絡安全管理研究

［摘要］

醫院信息系統的應用，是提升醫院醫療服務質量的有效措施。為了確保醫院信息系統的正常運行，建設與維護是重中之重。隨著信息技術的不斷發展，醫院信息系統與其他多種應用軟件得以有效融合，其功能也得到了一定的擴展，這不僅給醫院信息系統帶來了機遇，也帶來了挑戰。本文以醫院信息系統的網絡安全管理為研究對象，就醫院信息系統網絡安全管理現存的問題、安全需求以及創新對策進行分析，以期提升醫院信息系統的安全性，進而提高醫院的醫療服務質量。

［關鍵詞］

醫院；信息系統；網絡安全；管理；醫療

醫院信息系統（HospitalInformationSystem，HIS）是指運用計算機技術、網絡技術等現代化技術，對醫院的人流、物流、財流等進行綜合性管理，以將醫院各項醫療行為所產生的數據加工成各種信息，進而為醫院的整體運作提供現代化管理的信息系統。醫院信息系統作為現代化醫院建設中不可或缺的組成部分，其應用有助于提升醫院的業務水平、提高醫療服務質量。但是隨著我國醫院信息系統的不斷推廣與應用，其安全隱患問題也逐漸暴露出來，這給醫院的信息安全帶來了極大的威脅。從信息安全管理層面入手，醫院信息系統存在網絡安全隱患的主要原因在于缺少行之有效的信息安全策略，使系統的網絡通信與數據備份等操作的安全性無法獲得根本的保障。

1醫院信息系統網絡安全管理現存的問題

1.1殺毒軟件、系統補丁更新不及時

當前，諸多醫院在應用醫院信息系統時，通常都會在業務主機中安裝殺毒軟件，但因為主機數量較大，維護難度也較大，導致計算機維護人員很難保證所有主機的殺毒軟件、系統補丁都是最新版本，使醫院信息系統的應用存在網絡安全管理問題。

1.2IP、MAC地址綁定無現實意義

個別醫院為了避免外來者隨意連接院內網絡，通常都會選擇在接入層的交換機上將IP地址、MAC地址與端口綁定。但是此操作存在兩大安全隱患：第一，IP地址、MAC地址的綁定必須逐臺電腦進行設置操作，工作量非常大，也很不方便；第二，略懂計算機技術的人能輕松修改IP地址、MAC地址，進而使其綁定失去現實意義。

1.3IDS入侵檢測系統作用失效

當前，大多數醫院在應用醫院信息系統時都安裝了IDS入侵檢測系統，但該系統只能在出現異常時發出預警提示，而無法實現其他功能，因此導致入侵檢測的功能難以見效。

1.4數據庫安全審計系統難以定位到人

在應用信息系統時，大多數醫院為了有效避免數據被修改或盜取，通常會選擇對登錄者進行訪問權限設置，但此操作依然不能有效預防惡意者的不法行為。數據庫安全審計系統能夠詳細記錄數據庫的各項操作，并準確定位到IP地址，但卻難以與IP地址所在的人員一一綁定，因此導致無法將責任追究到個人。

2醫院信息系統網絡安全管理的需求

2.1身份驗證與訪問控制需求

按照角色級別與用戶類型以及對醫院信息操作的重要性，判斷是否進行身份驗證，另外應對不同的用戶采用不同的方式驗證。訪問控制管理必須有明確的條件約束，以確保用戶能夠在權限范圍內登錄醫院信息系統。

2.2信息資產的安全管理需求

對醫院信息資產的安全管理應從硬件與軟件兩個層面來分析。在硬件上，應保證信息資產處于絕對安全的環境中，以保證信息資產的安全性；同時要保證醫院信息系統中各核心設備的合理冗余。在軟件上，應保證操作系統與應用軟件的安全性，保證入網用戶端設備外連接口啟動、后臺服務等運行的安全性。

2.3網絡通信的安全管理需求

醫院信息系統要能對網絡數據流進行實時控制，同時能夠屏蔽危險網絡行為，自行檢測并處理安全事件，以及時對系統故障進行處理，進而避免網絡風險事故的發生，保證網絡通信操作行為的安全性。

3醫院信息系統網絡安全管理的創新對策

3.1物理安全管理對策

醫院信息系統的物流安全是指各種硬件信息資產的物理保護，以防遭到破壞，其保護對象包括中心機房、服務器、工作站與硬件接口設備等。中心機房是醫院信息系統的核心設備，對其進行網絡安全管理的過程中，①應按其設備需求，對室內溫度、濕度進行嚴格把控；②應啟動門禁制度，以控制人員流動；③應實施多路供電，以確保電源不中斷；④應采取避雷措施。服務器在醫院信息系統的運作中占據了舉足輕重的地位，服務器一旦發生故障，則會造成整個系統的癱瘓，因此必須確保服務器24小時正常運行，還應進行冗余設置，可采用多機容錯、多機熱備份方案，或采用雙服務器；同時要給服務器配置高質量的UPS電源，并進行冗余設置。工作站是醫院臨床醫師與護理人員的終端PC設備，可作為醫院信息系統的獨立模塊，對其進行網絡安全管理時，應確保其工作環境的安全性，同時對軟盤、光盤的使用進行明確規定，并用軟件對用戶的行為進行監控。硬件接口設備包括路由器、集線器等，管理時應制定嚴格的制度，做好傳輸電纜端口的記錄。

3.2身份驗證管理對策

當前，大多數醫院所選用的醫院信息系統都是基于“B/S”結構與“用戶名+密碼”的方式驗證身份，這種方式較為單一，難以滿足醫院信息系統的升級需求。建議在“用戶名+密碼”身份驗證方式的基礎上，由醫院信息系統網管人員統一設置，靈活綁定用戶名相關信息，再統一下發至接入層交換機，以加強對用戶身份的驗證與管理。也可采取安裝網絡安全管理軟件的方式，評測主機的接入是否符合要求，不符合要求則拒絕登錄，以此確保用戶身份的合法性。

3.3訪問控制管理對策

隨著醫院信息系統的不斷推廣與應用，過去基于角色的訪問控制方法與靜態授權方式已然不適用。角色訪問控制模型——TLRBAC是一種基于時間與空間環境制約因素的訪問控制模式，能夠滿足醫院信息系統的安全管理需求。角色訪問控制模型的工作原理是：用戶用特定角色身份登錄醫院信息系統，在其登錄前需受時間和空間屬性的訪問控制權限的限制，以此實現對用戶訪問行為的有效管理。角色訪問控制模型是訪問控制對策主要從用戶驗證、聯網訪問控制以及操作權限限定3方面來實現。

3.4授權管理對策

在我國醫院信息系統不斷發展的過程中，醫院的信息化管理水平逐漸提升，傳統的集中式授權模式顯然已經不適用。為了確保醫院信息系統的正常運行，必須建立一種更合理的用戶授權管理體系。可以采用分布式授權方式或層次化授權方式，分布式授權方式能夠實現醫院信息系統管理者的多方式分配，確保醫院信息系統登錄者身份的合法性；層次化授權方式是由各部分進行分層授權，要求醫院建設最高授權管理部門，實現信息資產的自動識別，并制定最高的權限管理策略。

4結語

在醫院信息系統的安全保護上，當前并無完全單一且有絕對安全保障的管理對策，因此，必須在合理的立體化安全機制下運用各種對策給予預防，且應不斷對其功能進行完善，提高安全防治意識，以確保醫院各項操作的安全性。

作者：凌科峰 單位：湖南省兒童醫院數據管理部

主要參考文獻

［1］張桂華,羅平,郭劍峰.醫院信息系統的網絡安全管理思路［J］.中國醫藥科學,2011(12).

［2］陳卓明.醫院信息系統的網絡安全管理探究［J］.通訊世界,2016(5).

［3］歐偉雄.探究醫院信息系統網絡安全維護及管理［J］.網絡安全技術與應用,2015(5).

［4］李艷萍.淺談醫院信息系統的維護和網絡安全管理［J］.計算機光盤軟件與應用,2012(1).

第三篇：檔案信息網絡安全管理與防護

【摘要】

檔案信息網絡化能夠讓檔案信息及時、快速和準確的為用戶所使用，但是和傳統的紙質檔案相比，存在著較大的安全防護和管理隱患。筆者對檔案信息網絡的安全防護和管理進行了探究，并提出了相應解決策略。

【關鍵詞】

檔案信息網絡；安全管理與防護

前言

檔案管理工作需要通過不斷的革新來適應當前的形勢發展，通過對檔案自動化的管理，來利用網絡和計算機為用戶提供優質的檔案管理服務，充分發揮檔案的作用。檔案信息網絡安全管理和防護工作中，需要嚴格遵守安全管理機制，仔細的排查隱患和漏洞，從而確保檔案內容的萬無一失。

1做好應對網關病毒的防御措施

互聯網是病毒的主要傳播方式，所以，需要做好防御網關病毒的入侵的工作，從而做到未雨綢繆。首先做好防御，而出現病毒入侵時就可以做后續的殺毒工作。其過程為：①攔截企圖進入內部網絡的互聯網病毒，對進出系統的信息進行全面的殺毒；②攔截企圖進入或破壞系統的黑客；③攔截企圖入侵終端操作系統的互聯網病毒，防止病毒在局域網中進行傳播[1]。

2應用防火墻技術

防火墻是一種良好網絡安全措施，能夠有效的隔離局域網（安全區域）和危險網絡（風險區域）的連接，從而避免非法入侵。防火墻具有多種形式，既有路由器中的固件形式，也用在個人計算機中運行的軟件形式。其主要類型分為：服務器、狀態監視器和過濾防火墻。當用戶向服務器發出請求后，服務器會首先檢查這個請求是否符合設定要求。如果符合要求，那么就會從目標站點取回相關信息，而后回轉給用戶。服務器通過高速緩存，來交接用戶的站點訪問內容。如果用戶再一次訪問同一站點，服務器就可以省去取回訪問內容這一環節，這不僅節省了用戶的時間也節約了網絡資源。狀態監視器應用了一個檢測模塊，可以在不影響正常網絡工作的情況下，通過檢測網絡中的相關數據，并對數據抽樣保存，并當作制定安全策略的參考信息。安全報警裝置可以在訪問者違反安全規定的時候，拒絕其訪問[2]。

3培養檔案管理人員的互聯網安全意識和專業素質

檔案管理人員的安全意識和專業素質在很大程度上決定了檔案信息管理的安全程度。所以，除了對計算機硬件進行安全管理，還需要提升管理人員的安全意識并加強對系統的保護措施。相關人員在管理工作中，嚴禁用內部檔案管理專用計算機來訪問互聯網，不可以在檔案管理專用計算機中安裝其他軟件，盡量避免用U盤來傳輸檔案信息，如果迫不得已必須必須使用閃存盤，那么就需要對其徹底殺毒處理。此外，互聯網中的文件多多少少都帶有一定的病毒，而且其中很多文件是病毒和黑客入侵系統的一種媒介，所以對于網絡中來路不明的文件，千萬不能隨意打開，對于陌生人的文件必須嚴格防范，才能時刻防護系統不被病毒或者黑客所入侵。

4設置安全口令

安全口令就像是網絡大門的一把鎖頭。如果想進入大門，必須有對應的鑰匙。對與安全口令的設置，需要遵守以下幾條規則：①口令需要同時包括數字和字母，如果有控制符，口令則更為安全，至少設置八位的口令。②為了便于口令的記憶，需要使用一些具有某種意義又難以猜到的詞語。③經常更改口令，以90d為一個周期更改口令。④在系統中去掉所有的缺省口令。

5定期給計算機做安全維護

為了保護檔案信息網絡的數據安全，檔案管理人員需要定期整理計算機系統，及時升級殺毒軟件，安全漏洞補丁，定期維護計算機的硬件設施，通過規范的技術性措施來確保計算機硬件的安全系數。應用通用的計算機安全防護軟件，從而提升技術防護水平，以此來保證計算機網絡的數據安全[3]。

6定期備份重要數據

即使應采用了大量的安全防護措施，還是會有病毒或黑客的入侵現象。所以，管理人員要對重要的數據進行定期備份。利用檔案數字化、縮微和復制的技術手段，輸出依附不同種載體的備份。就算系統遭到了攻擊，也能在短短幾十分鐘內完全恢復。

7結論

綜上所訴，想要做好檔案信息網絡安全管理和防護工作，必須建立可靠的網絡系統防御措施，建立穩固的防護保障和安全管理體系，為檔案管理工作提供可靠的安全環境，同時相關檔案信息管理人員也需要具備過硬的專業技術和網絡安全知識儲備，只有這樣才能保障檔案信息的萬無一失。

作者：楊利濤 胡杰 李昆菊 單位：解放軍裝甲兵工程學院

參考文獻

[1]劉麗娜.新形勢下檔案網絡安全管理的發展探究[J].時代報告：學術版，2012（1）：68.

[2]劉建峰.網絡環境下高校檔案信息安全技術方法初探[J].科技情報開發與經濟，2016（6）：47~48.

[3]劉芳.檔案計算機網絡化管理安全問題的思考[J].黑龍江教育，2016（2）：12.

第四篇：郵政綜合信息網無線網絡安全策略

摘要：

隨著郵政信息化的發展，無線網絡安全成為人們日益關注的問題。文章介紹了無線網絡存在的安全隱患，分析了郵政企業面臨的無線網絡威脅，探討了郵政企業構建安全無線網絡的策略。

關鍵詞：

信息網；無線網絡；安全；加密；無線路由器；防火墻

隨著信息技術的升級以及互聯網的爆破式發展，郵政傳統函件等業務被嚴重分流。在此形勢下，郵政信息化建設快速向縱深方向發展，不斷推動郵政企業運營模式的變革。在計算機網絡互連日益普及的今天，不可預料的潛在破壞將對網絡造成較大影響，系統和數據安全將受到威脅。因此，郵政信息化中的無線網絡安全成為人們最為關注的核心問題。

1無線網絡存在的安全隱患

1．1無線網絡不設防

由于很多郵政企業對無線網絡并不了解，缺乏網絡安全意識，在部署無線網絡時，很多網絡管理人員未對無線網絡進行相應的安全設置，使無線網絡一直保持出廠時的默認設置。無線路由器的地址、用戶名和密碼都是默認的，使得企業的無線網絡處在不設防狀態。在信息發達的互聯網中，稍微具備一點網絡知識的人就可以輕松查找到各品牌無線路由器廠商的默認設置。用戶在無線網絡覆蓋范圍內可以接入企業的無線網絡，入侵者可以掌握該企業全面的網絡信息。

1．2無線網絡設置漏洞

無線網絡接入與有線網絡接入最大的不同是，無線網絡接入無需在企業的交換機或路由器等網絡設備插入網線。無線路由器的設置口令、DHCP服務器、無線網絡的SSID號碼，都是無線網絡存在的安全漏洞，入侵者通過這一系列信息可以輕松進入企業網絡。此外，一些企業的無線網絡未進行數據加密，這是企業無線網絡的另一漏洞。另外，無線網絡設備本身也存在一些安全漏洞，這些都是為入侵者提供了可乘之機。

2郵政企業面臨的無線網絡威脅

2．1插入攻擊

插入攻擊以部署非授權的設備或創建新的無線網絡為基礎，這種部署或創建往往未經過安全檢查。郵政企業可對接入點進行配置，要求客戶端接入時輸入口令。如果沒有口令，入侵者便會通過啟用無線客戶端與接入點通信，從而連接到內部網絡。但有些接入點要求所有客戶端的訪問口令竟然完全相同，十分危險。

2．2漫游攻擊

漫游攻擊的入侵者沒有必要在物理上位于企業建筑物內部，他們可以使用網絡掃描器，在移動的交通工具上用筆記本電腦或其他移動設備嗅探出無線網絡，這種活動稱為“駕駛攻擊”。

2．3欺詐性接入點

欺詐性接入點是指在未獲得無線網絡所有者許可或知曉的情況下，設置或存在的接入點。一些人員有時安裝欺詐性接入點，其目的是為了避開公司已安裝的安全手段，創建隱蔽的無線網絡。這種秘密網絡雖然基本上無害，但它卻可以構造出一個無保護措施的網絡，并充當入侵者進入郵政企業網絡的開放門戶。

2．4“雙面惡魔”攻擊

“雙面惡魔”也被稱為“無線釣魚”，是一個以鄰近網絡名稱隱藏起來的欺詐性接入點。“雙面惡魔”等待一些盲目信任的用戶進入錯誤的接入點，然后竊取個別網絡的數據或攻擊計算機。

2．5竊取網絡資源

有些不速之客會利用這種連接在公司范圍內發送郵件，或下載盜版內容，進而產生一些法律問題。

2．6劫持和監視無線通信

通過無線網絡劫持和監視企業的網絡通信有兩種情況：一是無線數據包分析。攻擊者利用類似有線網絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分，這些數據一般包含用戶名和口令。然后，攻擊者會利用捕獲的信息冒稱合法用戶，并劫持用戶會話或執行一些非授權的命令等。二是廣播包監視。這種監視依賴于集線器，較為少見。另外，還有其他一些威脅，如客戶端對客戶端的攻擊（包括拒絕服務攻擊）、干擾、對加密系統的攻擊、錯誤配置等，都屬于對無線網絡的安全威脅。

3郵政企業構建安全無線網絡的策略

3．1給無線網絡設備加把鎖

根據谷安天下的《2012年度中國企業員工信息安全意識調查報告》顯示，受訪者在物理安全、數據備份、系統安全、移動介質、郵件安全、信息安全責任意識等方面做得相對較好；而口令密碼安全、計算機終端安全、社會工程學、無線網絡安全、信息防泄漏等相關安全意識方面相對較差。要保障郵政企業無線網絡的安全，必須更改無線路由器或無線接入點等網絡設備的默認密碼，對于支持更改用戶名的網絡設備，建議更改設備默認的用戶名。在設置無線網絡設備密碼時，最好使用字母和數字相混合的密碼，并且定期更換密碼。遠程攻擊者通常通過后門獲得對網絡的訪問權。郵政企業可以做一個端到端的加密，并對所有資源采用獨立的身份驗證，禁止對公眾開放。

3．2關閉無線路由器的SSID廣播

SSID，用來區分不同的網絡，最多可以有32個字符，無線網卡設置不同的SSID就可以進入不同網絡，SSID通常由無線路由器廣播出來，通過系統自帶的掃描功能可以查看當前區域內的SSID。簡單來說，SSID就是一個局域網的名稱，只有設置為名稱相同SSID值的電腦才能互相通信。只要知道企業無線網絡的SSID號，入侵者就可以輕松接入企業的無線網絡。在默認情況下，無線路由器的SSID是路由器的品牌名稱，這無疑為入侵者提供了最佳機會。因此，必須更改無線路由器默認的SSID號。為確保安全，建議用戶關閉無線路由器的SSID廣播。為保障郵政企業無線網絡的安全，建議定期更改無線路由器的SSID號。

3．3禁用無線路由器的DHCP服務

從表面看，DHCP服務與企業無線網絡的安全無關，但是DHCP服務會暴露企業網絡的一些信息，這將威脅郵政企業無線網絡的運行。從用戶接入企業無線網絡的過程不難發現，用戶使用無線網絡上網時，無線路由器會自動分配一個IP地址給無線網絡客戶端，這樣，客戶端就會從無線路由器獲得IP地址、子網掩碼、DNS及網關等信息。獲得IP地址等一系列信息后，無線路由器無疑將暴露于公眾之下，入侵者輕易就可以使用無線路由器的資源。為此，要想保障郵政企業無線網絡的安全，必須禁用無線路由器的DHCP服務。

3．4開啟無線上網高級加密和身份驗證

目前，無線網絡設備提供的無線上網加密設置，通常有WEP、WPA／WPA2和WPA－PSK／WPA2－PSK幾種模式。在上述加密模式中，最早的安全標準WEP已經被證明極端不安全，并易于受到安全攻擊。而更新的規范，如WPA、WPA2及IEEE802．11i是更加強健的安全工具。建議有條件的企業采用安全級別相對較高的加密模式。WPA、WPA2及IEEE802．11i支持內置的高級加密和身份驗證技術。WPA2和IEEE802．11i都提供了對高級加密標準的支持，這項規范已被許多單位采用。經過無線上網加密之后，入侵者將無法搜索到加密的無線網絡信號，可以大大增強企業無線網絡的安全性。

3．5善用漏洞掃描工具發現漏洞

許多攻擊者利用網絡掃描器不斷發送探查鄰近接入點的消息，如探查其SSID、MAC等信息。而企業也可以利用同樣的方法找出自身無線網絡中可能被攻擊者利用的漏洞，如找出一些不安全的接入點，然后進行加固。

3．6善用無線路由器的安全設置

每臺機器都擁有一個唯一的MAC地址，在一些品牌的無線路由器中，諸如硬件防火墻及高級安全設置已經是基本組件。一個強健的防火墻可以有效阻止入侵者通過無線設備進入郵政企業信息網絡的企圖。通過硬件防火墻，可以對IP地址及MAC地址進行限制，防止非法用戶入侵。企業網絡管理人員可以允許本企業的MAC地址使用無線網絡，使入侵者很難再入侵企業網絡。

3．7無線路由器的MAC地址綁定

關于封閉網絡，如一些單位的網絡，最常見的方法是在網絡接入中配置接入限制。這種限制可包括加密和對MAC地址的檢查。一些高檔品牌的無線路由器在產品的安全設置中，提供了MAC地址綁定功能，綁定MAC地址后，其他MAC地址的機器無法使用該無線網絡。除此之外，無線路由器還擁有更多的安全設置，網絡管理人員可以根據企業自身需求進行相關設置，打造一個安全的企業無線網絡應用環境。目前，即便是最低端的無線網絡設備，都提供了軟件升級功能，為了讓企業的無線網絡更加安全，用戶可以定期升級無線網絡設備的軟件。

3．8降低無線路由器的發射功率

一些無線路由器和接入點準許用戶降低發射器的功率，從而減少設備的覆蓋范圍。這是一個限制非法用戶訪問的實用方法。同時，仔細調整天線位置也可有效防止信號落于入侵者之手。

3．9提高員工安全意識

郵政企業要教育員工正確使用無線設備，要求員工及時報告其檢測到或發現的任何不正常或可疑活動。在日常應用中，郵政企業的無線網絡安全涉及多方面設置，而且非常復雜。為此，郵政企業網絡管理人員必須周密防范，守好郵政企業無線網絡的大門。

作者：孫青華 尹鳳祥 張少芳 單振芳 單位：石家莊郵電職業技術學院 上海電子信息職業技術學院