安全与防护范文

安全与防护范文（精选12篇）

1 网络安全的基本概念

1)网络安全威胁的类型

网络威胁是对网络安全缺陷的潜在利用,这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全所面临的威胁可以来自很多方面,并且随着时间的变化而变化。网络安全威胁的种类有:窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用等。

2)网络安全机制应具有的功能

采取措施对网络信息加以保护,以使受到攻击的威胁减到最小是必须的。一个网络安全系统应有如下的功能:身份识别、存取权限控制、数字签名、保护数据完整性、审计追踪、密钥管理等。

2 网络信息安全常用技术

通常保障网络信息安全的方法有两大类:以“防火墙”技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。

2.1 防火墙技术

“防火墙”(Firewall)安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构,另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。

实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。

1)网络级防火墙

一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。

先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。

2)应用级网关

应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。

应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。

3)电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。

实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合在一起,如Trust Information Systems公司的Gauntlet Internet Firewall;DEC公司的Alta Vista Firewall等产品。另外,电路级网关还提供一个重要的安全功能:代理服务器(ProxyServer),代理服务器是个防火墙,在其上运行一个叫做“地址转移”的进程,来将所有你公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,因为该网关是在会话层工作的,它就无法检查应用层级的数据包。

4)规则检查防火墙

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。

2.2 数据加密与用户授权访问控制技术

与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。

数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受“密钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为“对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。

2.3 入侵检测技术

入侵检测系统(Intrusion Detection System简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。

2.4 防病毒技术

随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。

2.5 安全管理队伍的建设

在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。

3 对网络信息安全的前景的展望

随着网络的发展,技术的进步,网络安全面临的挑战也在增大。一方面,对网络的攻击方式层出不穷,攻击方式的增加意味着对网络威胁的增大;随着硬件技术和并行技术的发展,计算机的计算能力迅速提高。另一方面,网络应用范围的不断扩大,使人们对网络依赖的程度增大,对网络的破坏造成的损失和混乱会比以往任何时候都大。这些网络信息安全保护提出了更高的要求,也使网络信息安全学科的地位越显得重要,网络信息安全必然随着网络应用的发展而不断发展。

参考文献

[1]陈月波.网络信息安全[M].武汉:武汉理工大学出版社,2005.

[2]钟乐海,王朝斌,李艳梅.网络安全技术[M].北京:电子工业出版社,2003.

[3]张千里.网络安全基础与应用[M].北京:人民邮电出版社,2007.

1网络安全的含义

网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。

2目前网络中存在的主要安全威胁种类

(1)计算机病毒

计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，进而影响计算机使用的一组可复制计算机指令或者程序代码，它具有寄生性、传染性、破坏性、潜伏性和可触发性等特点。(2)特洛伊木马

利用计算机程序漏洞侵入后窃取文件的程序被称为木马。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序，多不会直接对电脑产生危害，而是以控制为主。(3)逻辑炸弹

逻辑炸弹引发时的症状与某些病毒的作用结果相似，并会对社会引发连带性的灾难。与病毒相比，它强调破坏作用本身，而实施破坏的程序不具有传染性。(4)软件漏洞

操作系统和各类软件都是人为编写和调试的，其自身的设计和结构不完善，存在缺陷或者无漏洞，而这些漏洞会被计算机病毒和恶意程序所利用，这就使计算机处于非常危险的境地。

3计算机网络中的安全缺陷及产生的原因

网络安全缺陷产生的原因主要有：第一，TCP/IP的脆弱性。互联网基石是TCP/IP协议。但该协议对于网络的安全性考虑得并不多。第二，网络结构的不安全性。因特网是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。第三，易被窃听。由于因特网上大多数数据流都没有加密，因此人们很容易对网上的电子邮件、口令和传输的文件进行窃听。第四，缺乏安全意识。虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。

4网络攻击和入侵的主要途径

网络入侵是指网络攻击者通过非法的手段（如破译口令、电子欺骗等）获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗。

口令是计算机系统抵御入侵者的一种重要手段，口令入侵是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译。

IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。入侵者可以假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起淹没攻击，使被信任的主机处于瘫痪状态。

域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。DNS协议可以对对称转换或信息性的更新进行身份认证，这使得该协议被人恶意利用。当攻击者危害DNS服务器并明确地更改主机名—IP地址映射表时，DNS欺骗就会发生。

5网络信息与网络安全的防护对策

尽管计算机网络信息安全受到威胁，但是采取恰当的防护措施也能有效的保护网络信息的安全。本文总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全。

技术层面上的安全防护对策(1)升级操作系统补丁

操作系统因为自身的复杂性和对网络需求的适应性，需要及时进行升级和更新，除服务器、工作站等需要操作系统升级外，各种网络设备均需要及时升级并打上最新的系统补丁，严防恶意网络工具和黑客利用漏洞进行入侵。(2)安装杀毒软件

按照正版杀毒软件，并及时通过Internet更新病毒库；强制局域网中已开机的终端及时更新杀毒软件。(3)安装网络防火墙和硬件防火墙

安装防火墙，允许局域网用户访问Internet资源，但是严格限制Internet用户对局域网资源的访问。

(4)数据保密与安装动态口令认证系统

信息安全的核心是数据保密，一般就是我们所说的密码技术，随着计算机网络不断渗透到各个领域，密码学的应用也随之扩大。数字签名、身份鉴别等都是由密码学派生出来新技术和应用。管理体制上的安全防护策略

关键词：WEB；安全；评估；防护

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 (2012) 14-0080-01

服务提供方对减少客户端开发成本和维护成本的一直有着很高的期望，伴随着用户对客户端的便利性的需求，促使更多的应用向B/S（浏览器/ 服务器）结构发展。用户对页面展现效果以及其易用性的需求的逐步提升也推动了WEB 2.0 技术广泛应用，这样暴露出来的越来越多的安全问题就成了WEB应用快速发展产生的负面影响。

一、概述

WEB安全评估针对当前突出的WEB 安全问题分别从外部和内部进行黑盒和白盒安全评估。基于WEB多层面结构的特性，针对每一个特定层面进行综合关联分析和评估，从而找出WEB站点中面临威胁的安全问题与隐患。

二、面临的威胁

（一）跨站脚本

跨站脚本攻击全也称为XSS。此漏洞是由于指攻击者利用网站程序对用户输入过滤不足，使得攻击者精心构造的恶意脚本在普通用户的浏览器中得到执行，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害。在今天WEB 2.0的时代，跨站脚本漏也很有可能在被蠕虫利用的情况下，进行大规模的危害很大的攻击，。

（二）注入攻击

注入攻击中最常见的是SQL 注入，此攻击类型是由于在没有对内容进行严格验证的情况下使用应用程序。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入，并且进行未授权的数据修改，从而对WEB站点造成很大的安全威胁。

（三）越权操作

越权攻击是由于程序员对页面的管理权的审定不完善，从而造成的使攻击者利用潜在漏洞在无需得到用户或管理员的密码的情况下即可访问的漏洞。越权操作可以按获得的权限所在的层级结构分为水平越权和垂直越权。

水平越权：指的是攻击者利用的同样级别的用户权限获得了其它同样权限级别用户的数据，这种越权在同等级权限的情况下，所以称之为水平越权。这种越权往往会导致用户信息泄露，或者被恶意篡改，重要数据丢失。

垂直越权：值得是攻击利用低等级权限的用户获得了高于当前级别的权限，因为这种越权跨越权限等级，所以称之为垂直越权。这种越权因为攻击者获得了很高的权限，甚至网站服务器的管理员权限，其危害不言而喻。

（四）文件上传

文件上传漏洞指：开发人员编写应用程序时，未对用户上传的文件扩展名进行严格检查，从而导致攻击者上传webshell，获取到网站的权限。文件上传大多数是由于开发人员的疏忽或者对安全的理解不深引发的。例如：开发人员只过滤了asp 扩展名的文件，而未asa、cer 扩展名的文件，而asa、cer 扩展名的文件也会被asp.dll 解析，从而导致webshell 被上传。

（五）信息泄露

信息泄漏大致分为两类：一类是由于应用程序编写时对错误处理方式考虑不全面，使得用户提交非法数据时应用程序报错，在错误信息中可能包含大量操作系统版本、WEB 服务器版本、网站在服务器上的绝对路径等敏感信息。此类型漏洞攻击者可能无法直接利用，但和其他漏洞结合起来，就会对成功入侵起到很大的帮助。

（六）第三方应用程序安全性

由于互联网已经发展的很成熟，很多开发人员在开发某些模块时可能会上网搜索一些现成的代码，将其加入到自己的程序中，但由于网络上开发人员的水平层次不齐，很多代码的安全性很差，而开发人员将这些程序嵌入到自己的程序中，会导致安全问题产生，如fckeditor、ewebeditor 等应用程序在历史上就发现过很多漏洞，成为很多攻击者的突破口。

三、评估方式

（一）外部评估

外部评估是指测试人员由外部发起的、针对服务器和应用服务的远程评估工作，主要模拟来自外部的恶意扫描等行为，以此发现暴露于网络上的安全问题。

（二）内部评估

内部评估是指从内部发起针对服务器配置、策略及代码本身的安全检查。相对外部安全的黑盒测试方式来讲，内部评估更近似于白盒测试，注重功能性及安全性的检查，从根源上发现所存在的隐患。

四、防护策略

WEB网站的安全防护相较于信息系统的安全防护相类似，也涉及到多个层面：通用软件、一般服务组件如数据库、常用软件、系统层面、网络层面等、特定应用，相较于前三类防护手段是类似的。

因此，对WEB 应用程序的防护并不能单单考虑被动的、通用的防护方式，而需要以更为主动的方式进行，如在程序的设计过程中功能安全性的考虑，在开发过程中的安全测试及上线前的代码审计等工作。通过这样一系列工作将安全渗透到每一个环节中，增加安全的主动性，以此达到应用程序的安全、稳定。

参考文献：

[1]刘壮业,姚郑.面向服务架构若干关键问题研究[J].计算机工程与设计,2009,(03).

[2]沈祥,方振宇.面向服务架构的研究[J].计算机技术与发展,2009,(02).

[3]寻大勇.基于面向服务架构(SOA)的电子政务[J].中国管理信息化,2009,(09).

[4]李晓飞,袁立群,张平.跨地域分布式面向web安全性控制系统架构研究[J].财经界(学术版),2009,(12).

1 企业信息安全面临的威胁及其原因

在信息技术快速发展的时代,企业通过设立信息化机构,配备适应现代企业管理、运营要求的自动化、高技术软硬件设施,建立包括网络、数据库和各类信息管理系统在内的工作平台,并投入了大量的人力、物力和财力。随着信息化建设的深入,信息安全所面临的威胁也随之而来。

威胁企业信息安全的因素可分为外部因素和内部因素。外部因素有很多,根据威胁可能发起攻击的途径,将威胁分为物理接近、网络接入、系统问题、恶意代码和自然灾害等。而内部因素主要是指一些由计算机操作人员失误所造成的安全问题,比如安全策略配置不当造成安全漏洞,某些普通员工某些不经意行为造成破坏而引起的安全问题;一些信息安全问题是由于具有特殊权限的人员,为了某种利益,通过各种手段将企业信息泄漏给其他人;某些企业缺乏相对完善的信息安全保密制度,对安全制度执行能力的管理不强,缺少相应的信息安全拿业人员,也缺少信息安全设备等。

2 企业信息安全问题的防范

2.1 技术防范

针对物理安全问题,计算机机房要加强防火、防水和防雷击的措施,配备大功率的UPS后备电源,机房进行接地防护,计算机终端的网线要和其他设备的线路分开。在系统安全方面,要尽量使用大、小写字母,数字和特殊符号组合的密码,并牢记,最好不要使用空口令或空格,以免被别有用心的人识破。另外,可以在屏保、重要的应用程序和文件上添加密码,以确保其安全。要及时对系统补丁进行更新,大多数病毒和木马程序都是通过系统漏洞进入的,这不仅会给本机带来影响,严重的还会造成整个企业网络信息系统瘫痪。应把那些不需要的服务关闭,例如关闭TELNET协议,Guest账号等;安装防病毒软件,定期查杀,对出现的病毒进行彻底清除。同时,防火墙是确保信息安全的设备,是防御黑客攻击的最好手段,它位于企业内部网与外部之间,能够对所有企图进入内部网络的流量进行监控,会按照设定的访问规则,允许或限制传输数据通过。不论是基于硬件还是软件的防火墙都能识别、记录并阻塞非法入侵的活动。在实践中,密码技术也是确保网络安全最有效的技术之一。一个加密网络不但可以有效防止非授权用户窃听和入网,而且也是对付恶意软件的方法之一。一般的数据加密可分为链路加密、节点加密和端到端加密。

针对当前网络安全的威胁,主要使用入侵检测技术和网络安全扫描技术。入侵检测是防火墙的合理补充,它能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全度。入侵检测技术作为一种主动安全防护技术,能够对收集到的信息进行分析,可以阻拦内部攻击、外部攻击和误操作等行为,并在网络系统受到危害之前实行拦截,并作出响应,比如报警、阻断网络、记录事件等。网络安全扫描技术主要包含端口扫描和漏洞扫描技术。端口扫描技术是连接到目标主机上的传输控制协议(TCP)和用户数据报协议(UDP)端口,向目标主机发送数据包,并记录目标系统的响应。通过分析响应来判断该端口是打开还是关闭,这样就可以通过该端口提供的服务或信息发现目标主机的漏洞。漏洞扫描是对计算机信息系统或其他网络设备进行相关的安全检测,找出安全隐患和可被攻击者利用的漏洞信息,将这些信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在,使系统管理员及时发现漏洞并予以修复,降低系统的安全风险,确保信息安全。

除了以上介绍的多种技术防范之外,还有一些被广泛应用的安全技术,比如数据容灾备份、安全审计系统、数字签名、身份认证和风险评估等。

2.2 管理防范措施

技术要与管理相结合,技术与管理不是孤立存在的。对一个企业来说,信息安全不仅是一个技术问题,也是一个管理问题,只有两手都要抓,才能提高企业的信息安全。

2.2.1 制度保障

建立健全并落实符合企业实际情况的信息安全管理制度体系,以制度为保障,能有效保护企业信息安全。

建立系统建设管理制度,规范信息系统工程的建设和安全管理工作,提升信息系统建设和管理水平,保障信息系统工程建设的安全,明确相应的流程和管理内容。

建立系统运维管理制度,可以保障信息安全,提高运维能力,使运维安全体系得以安全运行。明确制订存储介质的安全使用策略、病毒和恶意代码的防范策略、备份与恢复策略、应急预案等内容。

建立信息安全责任制,明确信息安全工作的主管领导、责任部门、人员和有关岗位的信息安全责任。

2.2.2 检查落实

建立并落实监督检查机制,定期对各项制度的落实情况进行自查和监督检査。坚持“谁管理,谁负责”的原则,实现层层落实责任。不断加强和完善计算机信息安全管理,大力加强信息安全技术的建设,强化使用人员和管理人员的安全防范意识,只有通过共同的努力,才能保障计算机网络的安全和信息安全。

3 结束语

随着计算机网络技术的不断发展,信息安全问题日益突出,信息安全对于企业的健康发展是至关重要的,企业必须高度重视,未雨绸缪,防患于未然。保障企业信息安全,要以信息安全技术和企业安全管理制度为基础,以信息安全技术为支撑,加强企业内部管理,对企业信息安全进行实时管理和监控,提高信息系统的安全管理水平,为企业未来的发展服务。

参考文献

[1]雷震甲.网络工程师教程[M].北京:清华大学出版社.2006.

根据《放射性同位素与射线装置安全和防护条例》（国务院令第449号）和《放射性同位素与射线装置安全许可管理办法》（国家环境保护总局令第31号）的规定，结合我院辐射工作实际，制定本制度。

第一章 操作规程

1、每天上岗前做好辐射设备保洁工作，保持机器良好的工作环境

2、开机后应注意电源电压是否正常，并检查其他功能键是否选择正确

3、操作机器时应该小心仔细，尤其注意电源电压，不得超过标识的标准电压

4、对于随时出现的液体应立即清理，防止流入仪器设备内部

5、严格按照使用说明书进行操作，杜绝一切非法操作

6、根据人体大小，检查部位，合理选择参数

7、随时观察设备工作质量，出现异常应检查设备是否正常，如果异常应立即报告维修人员

8、工作结束后应关闭辐射设备并将电源关闭

第二章 岗位职责

1、使用射线装置工作人员必须经过岗前体检，并经过辐射安全防护

培训，持证上岗。

2、要正确使用射线装置，作到专人专管专用

3、工作时，每一名工作人员必须佩带个人剂量仪和个人剂量报警仪。

4、从事射线装置岗位人员，要严格按照操作规程和规章制度，杜绝非法操作。

5、发生辐射事故，立即上报有关部门，采取有效措施，不得拖延或者隐瞒不报。

第三章 辐射防护制度

1、使用射线装置工作人员必须经过岗前体检，并经过辐射安全防护培训，持证上岗。

2、从事辐射工作人员应该配备个人剂量仪，建立个人剂量档案，并定期进行身体检查

3、射线装置应设有专门工作室，工作室设立专人管理，非相关人员不得入内

4作好辐射安全防护工作，设立辐射标志、声光报警等防止无关人员意外照射

5严格检查铅玻璃完好情况，使门窗经常处于关闭状态

第四章 台帐管理制度

1、建立射线装置台帐管理制度，设有仪器名称、型号、管电压、输出电流、用途等

2、严格射线装置进出管理，坚决杜绝外借现象发生

3、对退役的射线装置和放射源，应该选择有资质单位或厂家回收，杜绝私自销毁或处于无人管理状态

第五章 设备检修维护制度

1、辐射安全领导小组坚持每月召开一次安全会议，具体工作人员坚持每周检查一次辐射装置，加强卫生清洁和管理，使辐射装置处于良好的运行状态

2、严格检修注意事项，对设备出现故障要及时上报并立即防止使用

3、设备出现事故应请专业人员或设备生产厂家进行维修、建立设备检修及维修记录，并专人专管

第六章 人员培训制度

1、本制度目的是加强辐射工作人员及辐射管理人员的安全防护专业知识、法律法规的认识，杜绝辐射事故的发生。范围适用于本院所有直接从事辐射工作的人员及辐射管理人员。

2、建立辐射工作人员及辐射管理人员的安全防护专业知识以及相关的法律法规培训计划细则，并负责联系到环保部门认可的单位参加辐射安全和防护专业知识及相关法律法规培训。

3、辐射工作人员及辐射管理人员必须服从医院统一安排，到环保部门认可的单位参加辐射安全和防护专业知识及相关法律法规培训，并取得合格证书，培训及交通、住宿等费用由医院统一负责（未取得合格证书费用自负）。

4、为了不影响医院正常的辐射工作，有关科室必须于每年12月将下一个培训时间报到科教科，科教科会同辐射管理领导小组根据国家环保部门统一安排，必须在一个培训周期内全部培训完毕，下一个周期再轮流培训，新分员工从事辐射工作的，到岗位前必须优先安排培训，否则相关科室不予接收。

5、医院辐射安全与防护管理领导小组负责监督辐射工作人员及辐射管理人员的安全防护专业知识以及相关的法律法规培训情况的落实，每年进行4次检查，对未取得培训合格证上岗人员按照医院管理规定扣除当月劳务费，直到取得合格证书为止。

第七章 监测方案

在日常工作中，医院必须加强辐射工作人员的个人剂量监测，定期或不定期进行放射防护和设备性能检测，每年委托有资质的监测部门，对全院各辐射场所至少监督监测一次，并出具纸质检测报告

1、请有资质的检测单位对射线装置的性能进行定期的检测（每年一次）以确保装置性能的稳定，不对受检者造成不必要的辐射伤害。

2、请有资质的监测单位对射线装置的使用场所进行定期的防护监测（每年一次）以确保装置使用场所防护屏蔽的安全性，不对工作人员造成不必要的辐射伤害。

3、请有资质的监测单位对射线装置的使用场所和外部环境进行监测，（每年一次）以确保装置使用场所周围的外部环境辐射安全，不对公众造成不必要的辐射伤害。

4、对辐射工作人员进入工作场所佩戴个人剂量监测计，在有效周期内交予有资质的监测单位监测，以确保辐射工作人员在工作时如造成辐射剂量超标，能及时得知，并尽快采取补救措施避免造成更大的伤害。

5、定期对辐射工作人员进行专门的体检，严密监测辐射工作人员的健康状态。（每两年一次）。避免辐射伤害产生疾病的发生

第八章 辐射事故预防措施及应急处理预案

为提高我院对突发辐射事故的处理能力，最大程度地预防和减少突发辐射事故的损害，保护环境，保障工作人员和公众的生命财产安全，维护社会稳定，特制定本预案。

一、辐射事故分级

根据辐射事故的性质、严重程度、可控性和影响范围等因素，从重到轻将辐射事故分为特别重大辐射事故、重大辐射事故、较大辐射事故和一般辐射事故四个等级。

1、特别重大辐射事故，是指Ⅰ类、Ⅱ类放射源丢失、被盗、失控造成大范围严重辐射污染后果，或者放射性同位素和射线装置失控导致3人以上（含3人）急性死亡。

2、重大辐射事故，是指Ⅰ类、Ⅱ类放射源丢失、被盗、失控，或者放射性同位素和射线装置失控导致2人以下（含2人）急性死亡或者

10人以上（含10人）急性重度放射病、局部器官残疾。

3、较大辐射事故，是指Ⅲ类放射源丢失、被盗、失控，或者放射性同位素和射线装置失控导致9人以下（含9人）急性重度放射病、局部器官残疾。

4、一般辐射事故，是指Ⅳ类、Ⅴ类放射源丢失、被盗、失控，或者放射性同位素和射线装置失控导致人员受到超过年剂量限值的照射。

二、本预案适应范围

凡医院内发生的放射源丢失、被盗、失控或人员超剂量照射等所致辐射事故均适用本应急预案。

二、辐射事故的预防

辐射事故多数是人为因素造成的责任事故，严格辐射安全与防护管理，做好预防工作，是防止辐射事故发生的关键环节。

(一)健全放射防护管理体制和规章制度，放射源使用和保管落实到人，纪律要严肃，奖惩要分明。

(二)组织放射防护知识培训，不准无证上岗，严格操作规程。(三)定期检查放射防护设施，发现问题，及时检修。

四、组织机构及职能

1、辐射事故应急处理领导小组 组长：王海蛟

成员：崔红领 卢众志 吕文生 张工化 宋太民 林运智 崔庆周 卫元元 闫超

2、技术专家组

组长：谭占国 副组长：冯亚民

成员：李艳辉 王瑞 王明科 李红伟 王增民

3、应急处理领导小组职责

（1）组织制定医院辐射事故应急处理预案；（2）负责组织协调辐射事故应急处理工作。

4、应急办公室（设在医学装备部）的职责

（1）按照辐射事故应急处理预案的要求，落实应急处理的各项日常工作；

（2）组织辐射事故应急人员的培训；

（3）负责与技术专家组、现场处置组的联络工作；

（4）负责与行政主管部门、环保、公安、卫生等相关部门的联络、报告应急处理工作；

（5）负责辐射事故应急处理期间的后勤保障工作；（6）完成应急处理领导小组交办的其它工作； 应急值班电话：0395-3356576 0395-3356120

五、辐射事故的报告

发生或者发现辐射事故的科室和个人，必须立即向医学装备部（或总值班）报告。医学装备部（或总值班）应立即向主管领导汇报，并及时收集整理相关处理情况向市环保局（环保热线电话：12369）、卫生局（电话：0395-3134319）及公安机关（电话：110）报告，最迟不得超过2小时；同时，耗材科需在24小时内报出《辐射事故报

告卡》。重大辐射事故应当在24小时内逐级上报到环保部、公安部、卫生部。

六、辐射事故的处理

1．立即撤离有关工作人员，封锁现场，控制事故源，切断一切可能扩大污染范围的环节，防止事故扩大和蔓延。放射源丢失，要全力追回，对放射源脱出，要将源迅速转移至容器内。

2．对可能受放射性核素污染或者损伤的人员，立即采取暂时隔离和应急救援措施，在采取有效个人防护措施的情况下组织人员彻底清除污染并根据需要实施医学检查和医学处理。3．对受照人员要及时估算受照剂量。

4．污染现场未达到安全水平之前，不得解除封锁，将事故的后果和影响控制在最低限度。

第九章 放射源安全管理制度

一、放射源辐射防护符合国家电离辐射防护与辐射源安全基本标准

二、在购置新源时，应与放射源生产单位（或原出口国或废源集中贮存设施）签订废弃放射源贮存和处置协议。新购放射源必须有国家统一编号

三、新建、扩建、改建的放射源建设项目，严格按照“三同时”规定，在试运行三个月内，经验收合格后方可使用。

四、配备必要的检查或监测设备。受辐射剂量较高的技术和操作维修人员要配备带报警装置的个人辐射剂量计。

五、对运行中含放射源的装置和场所，要配置剂量监测和报警装置，并定期检验，确保辐射防护设施完好与含源装置性能的稳定。放射源的使用场所应有相应的辐射屏蔽，安装带报警的剂量测量仪器。

六、建立放辐射安全管理机构，实行“一把手”负责制。

七、放射源实行专人保管，实行管理、使用分离的原则，杜绝“以使带管”现象，防止放射源失控现象发生。建立放射源使用登记制度，贮存、领取、使用、归还放射源时应当进行登记、检查，做到账物相符。

八、制定放射源使用操作程序，责任到人，并在工作场所悬挂。

九、放射源场所设置放射性警示标志。附近不得放置易燃、易爆、腐蚀性物品。

十、辐照设备或辐照装置应有必要的安全联锁、报警装置或者工作信号。

十一、放射源的包装容器上应当设置明显的放射性标志并配有中文警告文字。

【关键词】电焊作业；身体健康；危害因素；防护措施；安全操作

概述

近年来，在矿山企业生产施工中，电焊作业应用不断扩大。电焊作业中产生弧光辐射、高频电磁场、金属蒸汽、粉尘、噪声及射线等有害物质，对自身和他人的健康、安全造成很大危害。如同时电气设备本身存在缺陷或者操作人员存在违章作业，就可能引起灼伤、火灾、爆炸、触电、中毒等事故。危害电焊作业人员和其他施工人员的生命安全和身体健康。

一、电焊的作业原理

电焊机大体分为直流电焊机、交流电焊机、埋弧自动半自动焊机、对焊机、点焊机等。电焊利用电能转换为热能对金属进行加热焊接，它利用电弧热将焊条前段和工件局部融化，形成焊缝连接。电弧的产生来源于电焊机。电弧放电时，电流可达几百安培以上，但电压并不高只有几十伏特。电弧产生大量热量，温度高达8000℃，并且发出可见光及紫外线，红外线等辐射线。

二、电焊作业中的危害因素

1.爆炸因素。

电焊作业周围有易燃易爆物品时，由于电火花和火星飞溅极易引起爆炸。另外电焊作业过程中所使用的氧气瓶及乙炔等也存在爆炸的危险。

2.有毒气体。

空气在弧光的作用下会产生大量有害烟尘或微粒粉尘。比如在电弧高温下会产生蒸发、凝结和气化等化学反应，伴随着产生大量有害烟尘和臭氧、氮氢化物等有毒气体。在没有良好的通风环境下，对人体危害极大。

3.灼伤因素。

高温电弧使金属融化、飞溅，很容易使人受到灼烫伤害。焊接中为去处药渣而敲击焊缝时，未全部冷却的药渣很容易击伤眼睛；

4.火灾事故。

①电弧焊过程中电火花和火星飞溅②电焊机接触不良，电阻热高或者未按规定及时断电③作业过程中产生的电弧、火焰温度很高，辐射热比较强④作业人员违反操作规定在禁止动火的地方作业⑤焊接作业中产生的电火花、溶渣等极易使工作服或者手套引燃

5.辐射危害因素。

在电焊作业过程中会产生电弧光，伴随着的紫外线、红外线、高频磁场等辐射对人的身体有一定的伤害。如果防护不到位，就会对作业人员和周围人员眼睛和皮肤等部位造成伤害。长期处于高频磁场还会对人的神经系统造成危害。

6.触电因素。

电焊作业中经常接触到电源，如接触焊枪、汉奸、焊钳、调节电流、更换焊条等都是带电性质作业。若劳保用品不合格、忘记穿戴劳保用品、电气发生故障或违犯操作规程者将有可能造成触电事故。尤其是在管道或者容器内操作时触电的危险性更大

三、矿山施工电焊安全操作和防护措施

1.电焊作业人员必须经专业安全技术培训，考试合格，持有《特种作业操作证》方准上岗独立操作，必须佩戴符合国家或行业标准的劳动防护用品才能进行焊接作业。

2.实施作业前，认真检查焊机和导线路的安全技术状况。使用合格电焊钳。能牢固地夹紧焊条，与电缆线连接可靠，发现问题立即整改，必须做好焊接的所有安全工作后方可进行作业。

3.施焊过程中不得带负荷拉闸、合闸。更换焊条时，应戴皮手套，身体切忌靠在焊件上，以防触电。

4.电焊机安装时应做好防雨措施，以免受潮。一次线长度不应超过5m，二次线应不大于30m，一二次接线柱处应加防护罩。严禁利用建筑物的金属结构、管道、轨道或其它金属物体搭接起来形成焊接回路。

5.为防止焊接灼烫，应穿好工作服、工作鞋、戴好工作帽。工作服应选用纯棉且质地较厚，防烫效果好的。注意脚面保护，不穿易溶的化纤袜子。

6.在易燃易爆气体或液体扩散区域内、承压状态的压力容器及管道、带电设备、装有易燃易爆物品的容器内以及受力构件上严禁焊接或切割。严禁在已喷涂过的油漆和塑料的容器内焊接

7.作业时应穿戴防护服、绝缘鞋、电焊手套、防护面罩、护目镜等防护用品，高处作业时须系好安全带。

8.作业前应检查焊机、线路、焊机外壳保护接零等，确认安全后方可作业。电焊作业现场周围10m范围内不得堆放易燃易爆物品。

9.焊接不允许超载。

电焊机使用过程中不允许超载，否则将会因过热而烧毁电焊机或造成火灾，以及超载造成绝缘损坏，还可能引起漏电而发生触电事故；

10.焊接前，应先检查焊机设备和工具是否安全，如焊机接地及各接线点接触是否良好，焊接电缆绝缘外套有无破损等。

11.电焊机必须设置单独的电源开关。电焊机的配电系统开关、漏电保护装置等必须灵敏有效，开关箱内必须装设二次空载降压保护器，导线绝缘必须良好。电焊机的绝缘检查、接线、装设开关必须由电工完成。

12.进行电焊作业前，应检查作业环境，清除危险因素和设置监护人员。电焊作业现场周围10m范围内不得堆放易燃易爆物品。

13.施焊地点潮湿时，焊工应站在干燥的绝缘板或胶垫上作业，配合人员应穿绝缘鞋或站在绝缘板上。绝缘鞋的绝缘情况应定期检查。

14.在金属容器内金属结构上及其他狭小工作场所焊接时，触电的危险性最大，必须采取专门的防护措施。如采用橡皮垫、戴皮手套、穿绝缘鞋等，以保证焊工身体与焊件间的绝缘。禁止使用简易无绝缘外壳的电焊钳。

15.改变焊机接头、更换焊件需要改接二次回路时，或转移工作地点，焊机检修暂停工作或下班时，必须切断电源后方可进行操作。

16.严禁用拖拉电缆的方法移动焊机，移动焊机时必须切断电源。焊接中途突然停电，必须立即切断电源。

17.交流弧焊机一次侧电源线必须绝缘良好，不得随地拖拉，长度应不大于5米，进线处必须设置防护罩。

18.焊机二次接线宜采用YHS型橡皮护套铜芯多股软电缆，电缆的长度应不大于30米。

19.当清除焊缝焊渣时，应戴防护眼镜，头部应避开敲击焊渣飞溅方向。

20.高空焊接或切割时，必须系好安全带，焊接周围和下方应采取防火措施，并应设专人监护。

21.电焊机安放在通风良好、干燥、无腐蚀介质、远离高温高湿和多粉尘的地方，露天使用的焊机应设防雨棚。

四、结束语

1. WWW技术简介。

World Wide Web称为万维网, 简称Web。分成服务器端、客户接收机及通讯协议三个部分。 (1) 服务器 (Web服务器) 。服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。Web服务器的作用就是管理这些文档, 按用户的要求返回信息。 (2) 客户接收机 (Web浏览器) 。客户机系统称为Web浏览器, 用于向服务器发送资源索取请求, 并将接收到的信息进行解码和显示。Web浏览器是客户端软件, 它从Web服务器上下载和获取文件, 翻译下载文件中的HTML代码, 进行格式化, 根据HTML中的内容在屏幕上显示信息。 (3) 通讯协议 (HTTP协议) 。Web浏览器与服务器之间遵循HTTP协议进行通讯传输。HTTP是分布式的Web应用的核心技术协议, 在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送索取Web页面请求的格式, 以及Web页面在Internet上的传输方式。

2.服务器安全威胁。

对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞, 恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑:Web服务器操作系统本身存在一些漏洞, 能被黑客利用侵入到系统, 破坏一些重要文件, 甚至造成系统瘫痪。Web数据库中安全配置不完整, 存在弱口令或被数据库注入等安全漏洞, 导致数据丢失或服务中断。Web服务器上的数据存储结构不合理, 没有划分安全区域或重要数据没有存放在安全区域, 导致被侵入。Web服务器上运行的程序存在安全漏洞, 或应用程序所需要的权限过高没有优化, 容易被黑客侵入。

3.客户端安全威胁。

现在网页中的活动内容已被广泛应用, 活动内容的不安全性是造成客户端的主要威胁。主要用到Java applet、ActiveX、Cookie等技术都存在不同的安全隐患。

4.数据传输中的安全威胁。

Internet是连接Web客户机和服务器通信的信道, 是不安全的。未经授权的用户可以改变信道中的信息流传输内容, 造成对信息完整性的安全威胁。此外, 还有发送大量的IP数据包来阻塞通信信道, 使网络的速度变的缓慢。

二、WEB安全保护的原则

1.实用的原则。

针对网站架构, 网站安全问题主要分为以下四个方面:服务器安全、边界安全、Internet和Extranet上的安全, 在攻击行为发生前, 做到防患于未然是预防措施的关键。

2.积极预防的原则。

对WEB系统进行安全评估, 权衡考虑各类安全资源的价值和对它们实施保护所需要的费用, 通过评估, 确定不安全情况发生的几率, 采用必要的软硬件产品, 加强网站日常安全监控。

3.及时补救的原则。

在攻击事件发生后尽快恢复系统的正常运行, 并找出发生攻击事件问题的原因, 将损失降至最低, 并研究攻击发生后应对措施。

三、建立安全的Web网站

1.合理配置主机系统。

(1) 仅提供必要的服务:默认安装的操作系统都有一系列常用的服务。例如UNIX系统将提供Finger、Sendmail、FTP、NFS、IP转发等, Windows NT系统将提供RPC、IP转发、FTP、SMTP等。而且, 系统在缺省的情况下自动启用这些服务, 或提供简单易用的配置向导。为此, 在安装操作系统时, 应该只选择安装必要的协议和服务;对于UNIX系统, 应检查/etc/rc.d/目录下的各个目录中的文件, 删除不必要的文件;对于Windows系统, 应删除没有用到的网络协议, 不要安装不必要的应用软件。一般情况下, 应关闭Web服务器的IP转发功能。对于专门提供Web信息服务 (含提供虚拟服务器) 的网站, 最好由专门的主机 (或主机群) 作Web服务器系统, 对外只提供Web服务, 没有其他任务。这样, 可以保证①使系统最好地为Web服务提供支持;②管理人员单一, 避免发生管理员之间的合作不调而出现安全漏洞的现象;③用户访问单一, 便于控制;④日志文件较少, 减轻系统负担。对于必须提供其他服务, 则必须仔细设置目录、文件的访问权限, 确保远程用户无法通过Web服务获得操作权限。 (2) 使用必要的辅助工具, 简化安全管理。启用系统的日志 (系统帐户日志和Web服务器日志) 记录功能。监视并记录访问企图是主机安全的一个重要机制, 以利于提高主机的一致性以及其数据保密性。

2.合理配置Web服务器。

(1) 设置Web服务器访问控制。通过IP地址控制、子网域名来控制, 未被允许的IP地址、IP子网域发来的请求将被拒绝; (2) 通过用户名和口令限制。只有当远程用户输入正确的用户名和口令的时候, 访问才能被正确响应; (3) 用公用密钥加密方法。对文件的访问请求和文件本身都将加密, 以便只有预计的用户才能读取文件内容。

3.设置Web服务器有关目录的权限。

为了安全起见, 管理员应对“文档根目录”和“服务器根目录”做严格的访问权限控制。 服务器根目录下存放日志文件、配置文件等敏感信息, 它们对系统的安全至关重要, 不能让用户随意读取或删改。服务器根目录下存放CGI脚本程序, 用户对这些程序有执行权限, 恶意用户有可能利用其中的漏洞进行越权操作。

4.安全管理Web服务器。

1 web应用安全风险与防护目标

1.1 针对web应用的安全风险

web应用所面临的安全风险与其所处的网络环境、系统运行环境和web应用自身有很大的关系, 主要表现在以下几个方面。

1.1.1 网络环境

网络自身存在的配置问题、协议缺陷等, 很容易被入侵者利用从而攻击web系统。常见的网络监听、木马攻击和DDOS攻击就属于此类安全风险。

1.1.2 操作系统

操作系统配置不当、管理不善会导致服务器存在安全隐患, 如果被攻击者利用, 就会对服务器的安全性造成极大的威胁, 黑客、病毒可以利用这些缺陷对web服务器进行攻击。

1.1.3 web支持软件

目前用得较多的web支持软件主要有IIS、Apache等, 这些web服务器软件自身存在很多安全漏洞或缺口, 如IIS的Null.ht w、MDAC、ISM.dll、Webhits.dll、Unicode解析错误漏洞等多种漏洞给入侵者可乘之机。

1.1.4 web应用程序

在web代码编写过程中, 如果程序员未充分考虑各种安全因素, 就会导致代码中存在安全漏洞, 使得入侵者能够利用这些漏洞发起web攻击。常见的代码导致的安全漏洞有SQL注入、跨站脚本攻击、越权操作、文件上传组件漏洞、下载漏洞等。

1.2 web应用安全防护目标

Web应用安全防护的目标是通过安全产品和安全技术对web进行管理和控制, 保障web站点免受网络攻击和恶意代码的影响, 维护系统的可靠性、服务的可用性、信息的保密性、数据的完整性、用户的可控性。

1.2.1 可靠性

可靠性是web应用系统能够在规定条件下和规定时间内实现规定功能的特性。可靠性是系统安全的最基本要求之一, 是所有web应用系统的建设和运行目标。

1.2.2 可用性

可用性是web服务可被授权实体访问并按需求使用的特性。可用性应满足身份识别与确认、访问控制、业务流控制、路由选择控制、审计跟踪等要求。

1.2.3 保密性

保密性是web应用信息不被泄露给非授权的用户、实体或过程的特性。保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现.它是在可靠性和可用性的基础之上, 保障信息安全的重要手段。

1.2.4 完整性

完整性是网络信息未经授权不能进行改变的特性, 即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入的特性。完整性是一种面向信息的安全性.它要求保持信息的原样, 即信息的正确生成、存储和传输。

1.2.5 可控性

可控性是对网络信息的传播及内容具有控制能力的特性。保障系统依据授权提供服务.使系统在任何时候都不被非授权人使用, 对黑客入侵、口令攻击、用户权限非法提升、资源非法使用等采取防范措施。

2 web安全防护体系

web安全防护体系可以有效降低web面临的风险, 确保web防护目标的实现。狭义的安全防护体系仅仅指的是安全防护平台, 而从实际工作和需求来看, 安全防护体系应该由三个方面组成:完善的管理制度、有效的防护平台、健全的响应机制, 三者相辅相成、缺一不可。

2.1 完善的管理制度

制度是对行为的指导和约束, 管理制度是web安全防护体系中重要的组成部分, 是web应用安全运行的保障。制度的制定要全面、细致, 制度的实施要可行、有效。

web安全防护管理制度应从人员管理、行为规范、技术设施三方面制定。具体来讲, 涉及到值班员、管理员、信息发布员、培训与考核、硬件管理、软件管理、信息更新、数据备份、密码管理、日志管理等。而且, 随着技术和需求的发展, 制度还要不断的更新完善。

2.2 有效的防护平台

从网络协议分层的角度来讲, web的安全防护主要涉及网络层和应用层, 鉴于应用层的安全防护相对比较复杂, 本文将应用层分为为操作系统层、一般服务组件 (web服务器、数据库软件、常用软件、通用组件等) 层和特定web应用层后与网络层并行进行分析 (如图1) 。

与安全防护有关的技术和产品比较多, 但是从应用范围来讲可将其分为通用和不通用两种。对于网络层采用通用的防护技术或产品即可达到较好的效果。在网络层一般需要安装防火墙、入侵检测系统、异常流量检测和过滤等通用设备。防火墙可以有效的保护web应用边界。入侵检测系统则是对防火墙的有益补充, 它可以对针对网络的内部攻击、外部攻击和误操作进行实时监控, 提供动态保护以大幅提高网络的安全性。异常流量检测和过滤设备针对网络入口的流量进行实时监控, 及时检测诸如DDOS等攻击的类型和来源, 当发现攻击发生时, 异常流量检测设备会及时通知异常流量过滤设备对可疑流量和异常流量进行过滤和清除。

但是, 这些安全防护设备无法有效处理应用层协议数据, 更无法结合具体的web应用程序深入分析请求内容, 因而无法防御针对web应用的攻击。

因此, 在操作系统层和一般组件层, 需要安装针对web的安全防护设备:web漏洞扫描系统、web应用防火墙、web防篡改系统和内容安全审计系统。web漏洞扫描系统通过主动扫描可以发现web存在的缺陷和漏洞并对其进行修复和加固, 以实现防患于未然的目的。web应用防火墙以完全代理的工作方式, 作为web客户端和服务器端的中间人, 过滤和处理交互的业务数据流, 从应用角度上避免了web服务器直接暴露于网络上。web防篡改系统则对用户可访问的网页内容进行保护, 确保网页不能被篡改或者在篡改后进行及时恢复。内容安全审计系统对网络通信、网络行为进行实时监测、报警、记录, 发现和捕获各种敏感或不良信息、违规行为, 实时报警响应, 实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位, 为整体网络安全策略的制定提供权威可靠的支持。这种针对操作系统层和一般组件层的安全防护产品可以有效的防御针对web应用的攻击行为, 确保web应用程序的正常运行以及内网数据安全。

但是, 在图1中处于最高层的“用户特定web应用层”中, 由于web应用程序本身复杂化、个性化的特点, 没有某种特定的安全技术能够完全解决这些特殊应用系统的安全问题。因此, 对该层的防护并不能单单考虑被动的、通用的防护方式, 而需要以更为主动的方式进行, 如建立针对第三方软件, 特定功能的木马防护、病毒防治和攻击;此外, 在应用程序的开发、设计过程中要防止安全漏洞出现, 在应用程序正式启用前进行安全测试和代码审计等工作, 也增加web应用自身安全和稳定。

2.3 健全的安全响应机制

网络及其应用的复杂性注定了安全防护不可能做到100%的可靠, 健全的安全响应机制可以将安全损失降低到最小, 并避免类似不安全事件的再次出现。

安全响应机制由三部分构成:事前预警、事后处理和追踪取证。

事前预警的主要作用是在安全事故发生前通过获取的情报信息, 进行相应安全提示和处置预案, 在安全事件发生前将其扼杀。常见的预警有计算机病毒预警、安全漏洞预报。

当安全事故发生后, 根据相应的安全响应要求, 通过技术手段尽快恢复系统或网络的正常运转, 在此过程中需要多方面收集和积累准确的数据资料, 获取和管理有关证据, 并在过程中注意记录和保留有关的原始数据资料。

追踪取证是根据事故处理过程中获取搜集的数据和信息, 分析事故出现的原因和以后的预防措施, 如果属于人为因素, 还需要追踪事故的责任人。

3 web安全评估

web安全防护系统是否有效, 不能简单的依靠日常运行中网络和系统自身的安全状况来判断, 而是采用web安全评估手段进行判断。web安全评估针对目前流行的web安全问题, 利用行业经验和技术, 对web安全防护系统进行全面的评估。

3.1 web安全评估流程

web安全评估主要在客户端web平台上, 分别从外部和内部对web服务进行黑盒和白盒安全测试, 测试完成后形成一个评估报告, 对其中存在的安全漏洞、安全风险进行汇总, 最终提交一个详细风险说明及其用对策略的报告。具体流程如图2所示。

3.2 安全评估方式

web安全评估中最关键的安全评估方式及其评估内容, 从安全安全评估的概念和流程中可以看出, 安全评估主要有外部评估和内部评估两种方式, 而且在评估过程中这两种方式缺一不可。

3.2.1 外部评估

外部评估是在已知web服务所应具有的功能后, 由测试人员在外部发起的、针对web服务的远程评估工作, 模拟主要来自外部的恶意扫描等行为, 以此发现可能存在的安全问题。外部评估主要针对操作系统、应用服务和web服务的安全性。

操作系统及应用服务的安全性测试包含了常见的安全问题, 如远程缓冲区溢出漏洞、远程拒绝服务漏洞、远程信息泄漏漏洞、远程身份验证漏洞等。web服务安全性测试包括常见的web安全问题, 如跨站脚本漏洞、文件包含漏洞、命令执行漏洞、目录遍历漏洞、信息泄漏漏洞、暴力破解漏洞。

由于网站上页面数量和连接数量较多, 使用自动化工具可以明显提高工作效率, 防止遗漏。除了使用web安全评估产品外, 还需要人工进行辅助分析, 一方面需要确认自动化工具扫描结果的准确性, 是否误报;另一方面需要对一些工具无法检查的地方进行补充, 最大化的发现web应用存在的安全问题。

3.2.2 内部评估

内部评估是指从内部发起针对服务器配置、策略及代码本身的安全检查。相对外部安全测试方式来讲, 内部评估注重功能性及安全性的检查, 从根源上发现安全隐患。内部评估主要针对操作系统配置、web配置、数据库权限、代码的安全测试。

针对操作系统层面, 主要检测用户管理、口令策略、网络服务、共享连接、文件系统、网络配置、访问控制、审计设置等方面设置是否安全。

web服务配置检查主要检查web组件、身份认证、权限设置、日志控制、加密传输、ACL设置和目录遍历功能的设置等。

对数据库权限进行检测, 是为了查看数据库中权限是否得到了正确的设置, 一方面保护数据库中数据的安全, 防止未授权用户访问。另一方面防止数据库出现安全问题后, 进一步影响数据库服务器操作系统的安全。

代码安全性检查主要进行挂马检测、WebShell检测和代码审计。代码审计在安全开发中是很重要的一个环节, 进行一次成功的代码审计不仅可以发现应用程序编写时产生的安全漏洞及不规范的代码, 督促开发人员及时修正。同时也能提高开发人员的素质, 从而提升应用程序的质量。

4 结语

web应用安全防护以安全制度为指导、安全平台为手段、安全响应为辅助, 可以有效的降低web面临的风险, 确保web防护目标的实现。随着web承载的业务和信息量的不断增多, 通过定期的web站点安全评估, 能够及时发现、消除web站点中存在的安全隐患和新出现的安全漏洞, 有效增强web站点对各种网络安全威胁和突发性安全事件的抵御能力。

摘要：文章介绍了web应用目前面临的主要安全风险和web安全防护目标, 给出一种基于管理制度、安全平台和响应机制为一体的安全防护体系, 并提出了针对这种安全防护体系的安全评估手段, 进一步保障了安全防护体系的有效性和强壮性。

关键词：web应用,安全防护,安全评估

参考文献

[1]龙娟.Web站点安全评估研究[J].通信技术, 2011.8.

[2]蔡琳, 龚雷.典型网站系统安全保护平台研究[J].电子设计工程, 2012.1.

[3]石火财, 孟绘, 郝贤云, 杜强.网站的安全问题及对策[J].计算机安全技术, 2011.20.

[4]徐竹冰.网站应用层安全防护体系[J].计算机系统应用, 2012.1.

[5]张琳, 袁捷, 李欣, 张冬晨.Web应用的安全防护[J].电信工程技术与标准化, 2010.2.

[6]姚伟.web安全评估与防护[EB/OL].2012-7-20.http://tech.ccidnet.com/art/3089/20090902/1875689_1.html

1 网络信息安全面临的不安全因素

对计算机网络构成不安全的因素很多, 其中包括人为因素、自然因素和各种偶发因素。其中人为因素是利用计算机网络存在的漏洞非法入侵计算机系统, 盗用计算机系统资源, 非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对网络信息安全威胁最大的因素。自然因素是指计算机网络硬件和各种通讯设施极易遭受各种自然环境因素影响, 如地震、火灾、泥石流灾害等。偶发因素是指电源故障, 设备状态失常, 软件开发过程中留下的某些漏洞等对网络正常运行构成的严重威胁。

网络安全面临的威胁是多方面的, 既包括对网络中信息的威胁, 也包括对网络硬件设备的威胁。总起来说可归结如下几点:一是人为疏忽, 如操作员配置不当造成安全漏洞, 例如防火墙配置不当, 导致防火墙失效, 给外来攻击提供机会, 用户安全意识不强, 口令选择不慎, 或者不及时更新安防系统都会构成对网络安全的威胁。二是人为恶意攻击, 这是对网络构成的最大威胁, 此类攻击可分为两种, 一种是主动攻击, 它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击, 它是在不影响网络正常工作的情况下, 进行截获、窃取、破译以获得重要机密信息。主动攻击比较容易被发现, 而被动攻击则很难被发现。三是操作系统及软件漏洞, 网络中使用的服务器及终端电脑一般采用windows操作系统居多, 而众所周知, windows操作系统是存在漏洞的, 这就使其很容易成为黑客攻击的对象, 绝大多数网络入侵事件都是由于安全措施不完善, 没有及时补上系统漏洞造成的。此外软件开发人员为了便于维护而设置的软件后门, 也可能成为网络安全的很大隐患。四是计算机病毒, 计算机病毒程序有着巨大的破坏性, 其危害性早已被人们所认识。单机病毒就已经让人们“谈毒色变”了, 而通过网络传播的病毒, 无论是在传播速度、破坏性, 还是在传播范围等方面都是单机病毒所不能比拟的。计算机病毒是数据安全的头号敌人, 具有寄生性、隐蔽性、触发性、传染性、破坏性等特点, 提高对病毒防范是一个刻不容缓的问题。五是管理不当, 规章制度不健全、安全管理水平低, 操作失误等因素对网络信息安全造成威胁。

2 针对网络信息安全隐患的对策措施

2.1 从思想上提高防范意识

计算机网络系统是一个人机系统, 安全保护的对象是计算机, 而安全保护的主体则是人, 应注重树立人的计算机安全意识, 才可能防微杜渐。把可能出现的损失降低到最低点。因此首先要加强对维护和使用人员的计算机安全防范意识教育, 通过对维护和使用人员网络安全教育, 提高网络管理人员素质, 使其充分认识网络安全重要性, 提高他们的思想觉悟和安全意识, 从而在人员素质上避免出现安全问题, 了解并掌握一定的网络安全防范措施。

2.2 从制度上加强对计算机网络使用的安全管控

为保障网络信息安全, 必须确定专职领导人员, 协调全网的安全事宜, 负责监督各项安全制度和措施的落实, 负责并领导经常性的网络安全管理工作。根据网络安防实际情况, 建立和健全各种安全管理制度, 例如:机房安全管理制度、病毒防范制度、安全操作规程和工作守则、保密设备安全管理制度、维护和维修管理制度、安全考核制度等。严格遵守操作规程。禁止使用来源不可靠的存储介质, 以防止计算机病毒的侵入。值班员每日记录好安防工作日志, 以进行有效的追踪、监督和审计。网络管理员和终端操作员根据自己的职责权限, 选择不同的口令, 对应用程序数据进行合法操作, 防止用户越权访问数据和使用网络资源。

2.3 从技术手段上提高网络信息安全防护水平

⑴有效使用防火墙技术。防火墙技术是一种用来加强网络之间访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络, 访问内部网络资源, 保护内部网络操作环境的特殊网络互联设备。防火墙技术实质上是一种隔离技术, 是安全网络 (被保护的内网) 与非安全网络 (外部网络) 之间的一道屏障, 以预防发生不可预测的、潜在的网络入侵。它对两个或多个网络之间传输的数据包, 如链接方式按照一定的安全策略来实施检查, 以决定网络之间的通信是否被允许, 并监视网络运行状态。防火墙一般分为包过滤型防火墙、应用代理型防火墙、基于状态检测的包过滤防火墙。防火墙是目前保护网络免遭黑客袭击的有效手段, 但也有明显不足, 如无法防范来自网络内部的网络攻击, 它只提供了网络边缘的防护;其次, 防火墙也不能阻止未知的恶意代码的攻击, 如病毒、特洛伊木马等。

⑵使用网络版杀毒软件。在网络环境下, 病毒传播扩散速度极快, 仅用单机版防病毒软件已经很难彻底清除网络病毒, 因此必须选择适合于局域网的全方位安全防护软件。网络版杀毒软件可以有效阻止病毒的传播, 保护用户进行网络访问。具有最新功能和数据库的杀毒软件还能够对已知病毒进行查杀, 对未知病毒进行隔离和检测, 保护用户使用网络中的数据信息安全。使用网络杀毒软件, 还可以有效对网络中的计算机终端进行监控, 定时查杀, 对终端计算机病毒库及时更新, 可以通过服务器端管理控制台软件对整个网络服务器及终端进行防杀病毒操作, 可以使病毒库的升级, 全网同步进行, 使每台终端防病毒能力处于相同水平, 只要控制中心升级了, 全网病毒软件也会同步升级。使用网络杀毒软件还可以对安全态势进行监视, 对病毒的种类, 发作次数通过管理日志文件进行分析, 并有针对性的采取相应解决方案。对于病毒高发的计算机终端, 实施可实施断网、隔离, 使用专杀工具进行彻底查杀。

⑶入侵检测技术。除了安装防护软件外, 为系统配备以入侵检测为主的安全技术也是提高网络安全防护水平的有效手段。该技术包括入侵检测、入侵防御、漏洞扫描等。入侵检测和入侵防御技术是防火墙技术的有效补充, 它可以主动对恶意行为进行识别和处理。而漏洞扫描技术则是对现有主机系统进行漏洞检测, 以确定系统是否可靠, 对于存在漏洞的系统按照预定规则进行修复。

⑷信息加密与用户授权访问控制技术。与防火墙相比, 信息加密与用户授权访问控制技术更加适用于提高网络节点间的数据传输的安全性。信息加密的目的是保护网内数据、文件口令等信息保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密目的是对源端用户到目的端用户数据提供保护;节点加密是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由各种加密算法来具体实现的。用户授权访问控制主要用于对静态信息的保护, 利用访问控制策略, 用户可以对入网访问权限进行控制。通过设定不同的访问规则可以有效预防网络非法用户对网络和信息的访问。当用户对网络信息进行访问时需要进行身份和访问权限认证, 只有通过认证的用户才能对网络进行操作。这种访问控制策略可以有效保障网络信息的机密性、完整性和可控性。

⑸确保与最新的软件补丁和升级同步。网络和操作系统本身所具有的各种安全漏洞和错误 (bug) , 都为非法入侵者提供了便利, 所以需要网络维护人员不断的修复网络、操作系统和应用软件的错误和漏洞, 消除其bug, 这就是我们俗称的打补丁, 通过下载安装最新的操作系统补丁, 可以有效消除常见漏洞, 提高网络安全性和稳定性。

此外, 还需从物理手段上提高网络防护水平, 如在机房建设上, 采用抗静电地板, 机柜接地, 电源防雷方面要考虑信号和电源防雷标准, 在配电、空调、门禁和防火设施和机房电磁屏蔽等方面都要给予充分考虑。

总之, 网络安全的问题, 不仅仅是技术层面的问题, 更是安全管理方面的问题。我们必须综合考虑各方面因素, 制定相应的目标和技术规范, 同时加强对人员的安全教育和管控, 只要这样才能构建一个安全的网络环境, 降低网络安全事故风险, 保证网络信息安全。

摘要：本文将对目前网络信息安全存在的主要问题进行剖析, 并提出相应的安全防范措施。

就计算机技术层面上看, 网络是硬件和软件的综合体, 就当前网络应用的状况上看, 每一个网络当中都存在一些自主研发的软件, 因为这些软件自身的不完备或开发工具的不成熟性, 导致应用软件在运行的过程中造成网络服务瘫痪或是不正常的情况。同时网络中设备及协议较为复杂, 因此系统的复杂性决定了必然存在一定的漏洞与缺陷。此外, 网络具有地域性, 安全管理无法覆盖到所有的角落, 所以网络并非绝对安全的。

出现计算机信息安全问题存在多种原因, 比如战争、操作失误、故障、自然灾害、违法犯罪等, 所以需要有针对性的采取必要措施才可以确保计算机信息的安全性[1]。针对战争、操作失误、故障、自然灾害等能够运用可靠性等多种技术手段有效解决存在的问题, 而针对违法犯罪行为则需要通过相关的法律手段、安全防卫工作加以解决和维护。

因为计算机网络信息系统的诸多缺乏, 使得信息安全工作有一定的难度。首先在技术层面上, 缺乏普遍有效的技术手段确保网络信息的绝对安全;其次从社会环境上来讲, 缺乏必要的保障措施。当前随着网络应用日益普及, 计算机的信息安全问题已经成为了信息时代下亟待解决的重要问题。

二、计算机信息安全的内容及病毒传播途径

(一) 主要内容。所谓计算机信息安全, 主要指的就是严密保护计算机系统中的软件、硬件以及各类数据, 从而确保其不会受到偶然或是恶意的更改、泄露或是破坏, 从而确保计算机信息系统的正常工作及运行。具体体现在下面几点:

实体安全:这种安全主要指的是计算机系统当中的所有硬件和各类附属设备。这其中同时涵盖了计算机机房的建设要求, 例如区域位置、建筑结构以及防盗防火设备等。而软件方面的安全, 则是有效方式非法复制、修改及执行软件。

数据安全:即指防止非法读出、更改、删除数据。

运行安全:即指当计算机系统正常使用后, 相关的管理人员需要对系统进行维护和正常的使用, 确保系统安全有序运行。

(二) 病毒传播途径。

1.非移动介质。主要是在一些计算机的硬件设备中传播, 这类的设备通过不可移动, 安装在计算机的硬盘以及芯片当中。即便是新购买的计算机, 也有可能在生产的过程当中在芯片组中或是在销售的过程中在硬盘中侵入病毒。

2.可移动介质。病毒能够在可移动的存储设备中进行传播, 这一类的存储设备主要有光盘、软盘、移动硬盘、U盘等。在一些文件的拷贝过程中, 病毒寄存在移动硬盘或是U盘当中, 一旦连接到新的计算机设备, 迅速进行传播, 给信息安全造成巨大的威胁。

3.计算机网络。计算机网络在日常工作生活中必不可少, 在文件及电子邮件的传递过程中, 给了病毒可乘之机, 附着在文件或是邮件中进行传播。

三、计算机信息安全的防护措施

(一) 计算机病毒的预防。对计算机病毒进行预防, 即在病毒没有入侵或是刚刚侵入到计算机中时, 就采取必要的措施对其进行拦截和狙击, 并进行报警。主要的预防措施有以下几个方面:1.安装杀毒软件进行实时的监控, 并对病毒库进行定期的更新;2.及时安装系统补丁;3.进行防火墙的安装, 并对访问规则进行设置, 从而将一些不安全站点访问及时的过滤掉;4.对于一些来历不明的邮件或是附件, 不能够随意打开;5.对于各种插件程序的安装需要斟酌再三, 确保其绝对安全性[2]。

(二) 计算机病毒的清除。计算机存在异常的情况, 就需要确定系统是否受到了病毒的攻击, 假如存在病毒就需要采取措施清除。主要使用下面的方法清除计算机病毒。

1.使用杀毒软件。使用正规的杀毒软件检测并清除病毒, 只需要依照提示就能够完成相应的操作, 方便易用。杀毒软件能够进行实时的监控, 对所有的文件、附件以及邮件进行监控, 一旦检测到病毒存在, 马上发出警报。针对压缩文件, 在不需要解压缩的情况下就能进行病毒的查杀;即便是潜藏在内存当中的病毒同样能够查杀清除。针对一些病毒, 杀毒软件尚不能够清除, 就会将病毒进行隔离, 待升级更新技术之后再进行病毒的查杀。

2.使用专杀工具。当前越来越多的杀毒软件公司开始提供病毒的专杀工具, 用户能够进行免费的下载, 从而对一些顽固的病毒进行查杀。

摘要：任何计算机系统都并非绝对安全, 存在着各种各样的安全问题。计算机自身存在脆弱性, 同时极易受到恶意攻击, 同时受到来自于自然灾害的巨大影响, 安全问题日益凸显。因此, 怎样安全的展开计算机使用, 维护计算机的信息安全, 做好信息安全防护工作, 是尤为急迫的重任。

关键词：计算机,信息安全,防护

参考文献

[1]刘羽.公安计算机信息安全风险与防范研究[J].信息与电脑 (理论版) , 2016 (07) .

关键词：校园网络；无线网络；网络安全

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2013) 05-0000-02

1引言

在信息技术高速发展的今天，全国各大院校都十分重视校园网的建设，纷纷建立起以有线局域网（LAN）技术为依托的校园网络平台，从而满足自身教学、科研和管理的需要。然而这种组网技术灵活机动性不强，通信范围容易受环境条件的限制，组网配置和维护工作较为复杂，从而在一定程度上限制了校园网的发展。同时随着各种移动性终端设备，如笔记本电脑、平板电脑、智能手机等在校园中日益普及，原有的校园线网络已经不能满足广大师生随时随地接入网络的需求，于是许多学校在原有的有线网络上，进行无线网络扩充。让师生们可以随时随地、无拘束的连接到校园网，教职工可以依托无线网络完成各项教学办公事务，外来来宾可以顺畅的访问校内和校外网络资源，使学校的教学和科研工作更加便捷和高效。现在，校园无线网已经成为全国各大院校提升教学环境品质，提高教育资源利用率，增加教育灵活性和交流性的重要方式，从而将教育信息化建设带入一个崭新的天地。

2校园无线网络存在的安全隱患

无线网络安全的最大问题在于无线传输的特殊性，其主要的安全隐患在于以下两个方面。

2.1非授权用户接入

在校园办公网络中，通常会有很多重要的共享资源，如学生信息、科研成果、学术论文、考试试卷等重要文件。如果非法用户成功连接到校园无线网后，就可以随意窃取或使用这些资源，并可能在访问网络时携带病毒或其他恶意程序，还可能删除服务器系统文件和数据，从而给校园网带来巨大的安全威胁和隐患。

2.2网络攻击

当非法用户登陆到校园无线网后，可以对目标系统发起大规模的攻击，使得服务器不可访问，网内的合法用户不能及时得到应有的服务或系统资源。例如攻击者可以通过伪造IP地址和MAC地址实现ARP欺骗，从而在网络中产生大量的ARP通信量使网络阻塞。此外，攻击者还可以向网络中发送木马、病毒等，这些行为都会严重威胁合法用户的安全。

3无线网络防护措施

3.1MAC地址过滤

MAC地址就如同我们身份证上的身份证号一样，具有全球唯一性，我们可以启用无线AP的MAC地址过滤功能，对无线网络中的合法用户进行MAC地址登记，限制未经授权的无线客户端接入校园网，从而提高网络的安全性。但是，这种方法比较适用于无线设备单一固定的小型无线局域网，对人员变化较快的学校来说就有些繁琐了，需要统计在校师生的所有无线终端的MAC地址，同时随着新生的加入和毕业生的离校，每年都要对无线AP的MAC地址列表进行更新，这是个不小的工作量。此外，由于MAC地址具有可修改性，入侵者如果获取了合法的MAC地址，就可以通过更改MAC地址伪造身份，从而接入无线网络。所以，单纯地依靠MAC地址过滤来阻止无线攻击者是不可靠的，这种方法应该和其他方法混用以提高安全度。

3.2Web portal认证

可靠的身份认证是保护网络系统非常重要的一步。目前在公共场合也有很多的WIFI热点，WIFI本身不加密，但是当用户访问网络的时候，会要求用户输入用户名和密码，认证成功后就可以上网了。Web认证的特点显而易见，用户不需要特殊的客户端，有浏览器就可以了，所以手机也可以方便地使用。当用户连接到无线网络时，首先会通过DHCP服务器获取到IP地址，当用户打开浏览器时，Portal server会向用户提供认证页面，在该页面输入用户名和密码，它们会被WEB客户端应用程序传给Portal Server，从而实现用户认证。同时Portal Server在获得用户的用户名和密码外，还会得到用户的IP地址，并以它为索引来标识用户。

3.3802.1x认证

802.1x认证起源于802.11协议，后者是IEEE最初制定的一个无线局域网标准，802.1x协议提出的主要目的是通过认证和加密来防止无线网络中的非法接入，其基本思想是基于端口的接入控制，对于无线局域网来说，一个端口就是一个信道，即通过控制确定一个端口是否可用，从而使得只有网络系统允许并授权的用户才能访问网络系统内的各种资源。IEEE 802.1X提供自动用户身份识别，集中进行鉴权、密钥管理和局域网连接配置。

4校园无线网络安全措施

全国各大中高职院校既是培养各种技能型人才的地方，也是进行学术研究的科研圣地，因此校园网内往往会存储大量重要而又珍贵的资料，如科研成果、学术论文、学生信息、试卷题库等。而校园网对系统内部的用户又是极信任的，因此防御系统也相对薄弱，所以在进行校园无线网络建设时，我们更加需要仔细考虑任何有可能造成网络安全危险的隐患，只有全面地结合多种安全技术对无线局域网进行部署，才能构建安全的无线校园网。

4.1接入认证控制方案

学校可以利用无线网络的身份验证功能，针对不同的用户开设不同的认证方式，例如可以对功能单一且无法实现Web认证和802.1x认证模式的无线网络设备进行MAC地址认证；而针对流动性较大威胁较高的校外来访用户，则可以采用Web Portal认证方式，使用户只能访问特定的IP地址，当用户登录到Portal Server后，可以浏览上面的相关内容，从而将校园网中的重要资源进行隔离。而对于信任度较高的固定用户（如学校的教职员工）可以选用Web认证或安全性较高的802.1x认证。通过多种认证模式的结合使用，既可以满足校内学生、教职员工的认证权限问题，还可以对校外来访用户提供单独的认证权限。

4.2基于角色的访问控制

访问控制是保证只有被授权的用户才能访问网络和利用资源，其基本原理是检查用户标识及口令，根据授予的权限限制其对资源利用的范围和程度。对于学校来说，由于用户流动性较大，人员较为复杂多变，基于角色的访问控制模型最为适用。通过给用户分配合适的角色，不同的角色具有不同的权限，从而让用户与访问权限相关联。例如，一个学校可以有校领导、教师、学生、后勤管理人员等角色，不同的角色访问权限也不相同，这样既能既满足针对不同用户的访问网络的安全需求，又可以针对高需求用户（例如校领导、教师）赋予单独的隔离访问，从而进一步提高校园无线网络的安全性。

4.3安全技术与管理机制相结合

校园无线网络安全是一个复杂的系统工程，如果单靠技术是不可能实现的，因此，必须提高全体教职员工的网络安全意识，加强安全教育安全培训，全面将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

5结束语

作为校园网络的一部分，无线局域网的安全关系到整个校园网络的安全。确保无线局域网安全可以说是“三分靠技术，七分靠策略”。在部署校园无线局域网时，只有结合自身的网络安全实际需求，合理选择无线局域网的安全策略，提供足够的网络安全防护，才能安心的享受无线接入的便捷，同时也能保证重要数据的安全。

参考文献：

[1]李文胜.无线校园网络安全分析及方案设计[J].现代计算机(专业版),2009(6):199.

[2]薛庆水,朱元忠.计算机网络安全技术[M].大连理工大学出版社,2008:122-125.

[3]韩最蛟,李伟.网络维护与安全技术教程与实训[M].北京大学出版社,2008:125.

[4]邵丹.无线局域网安全标准的比较和分析[J].长春大学学报,2009(12):61-64.

不仅如此, 当前企业员工远程登录进入企业内网的需求越来越多, 移动互联网的成熟让商务人士利用手机等移动终端进行收发邮件等商务工作更加频繁, 在这些过程中, 都难免会涉及到公司的敏感和机密数据, 如果没有完善的安全措施和恰当的操作规则, 都有可能造成公司数据的泄露, 从而造成巨大的损失。

移动安全需求渐热

World at Work 2009的调查报告显示, 在2288名美国雇主接受的调查中, 2008年允许员工进行远程办公的雇主比率只有30%, 而到2009年, 这一比率上升到了42%。从这个数据可以看出, 越来越多的工作人员需要通过远程或者移动的方式访问企业资源, 这包括公司遍布各地的分公司需要访问总部的资源, 出差的员工也需要通过PC或手机等终端及时访问到公司内部网络。在这个过程中, 不法分子会利用网络漏洞窃取数据, 公司外部终端的不规范使用和遗失也会导致数据的丢失。此外, 公司聘请的服务外包人员或者是合作伙伴也需要访问敏感的信息, 而这更容易导致公司信息的泄露。Ponemom Institute称, 2009年由第三方失误导致的数据丢失事件占所有丢失事件的44%。

因此, 企业在对移动办公提出越来越高要求的同时, 安全性则是保证移动办公顺利开展的重要因素。而且由于移动办公的特性, 企业更需要一种方便部署和携带的移动安全方案, 让员工、外包服务人员及合作伙伴不需要经过复杂学习, 不需要进行繁琐地设置, 即可快速便捷地进入安全的网络环境。此外, 目前企业对IT预算的控制越来越严格, 如果移动安全解决方案能在降低管理成本、减少IT投资的条件下提高生产力, 一定会得到企业的更大青睐。

安全到每一环节

远程办公早在几年前就成为企业信息化的主要方式, 利用VPN技术, 员工可以方便地对企业内部信息进行访问。但是不管是IPsec VPN还是SSL VPN, 都只是给远程用户和企业建立了一个安全的连接。而目前员工移动办公的多样性和灵活性日益增强, 除了传统的台式机和笔记本, 上网本、智能手机等都成为了新的接入终端, 并且利用3G移动网络与企业内部网络连接, 这给移动安全带来了新的挑战, 移动办公安全需要保障的是整个用户接入流程中每一环节的安全。

在整个移动办公的流程中, 涉及到端点、传输、边界、服务器及后端系统等多个环节。终端可能存在各种病毒、间谍软件、木马程序, 并存在数据窃取的风险;在传输过程中, 存在数据截取、会话劫持、连接复位等风险;在网络边界处, 会遭到SSL会话劫持、HTTP恶意代码、蒙蔽SSL、开放端口等恶意行为;服务器的漏洞、蠕虫、病毒和拒绝服务以及后端系统的注入SQL和命令、窃取数据等风险同样影响到移动安全。

为此, 瞻博网络最近推出了全新移动技术框架, 通过通用边界路由器和SRX系列服务网关, 结合Junos Pulse移动安全软件, 构建全面的移动安全平台, Junos Pulse是业内首款可下载的客户端软件, 可使不同的移动设备安全地接入大量企业应用。而Check Point将移动安全的客户端软件集成化和硬件化, 推出的Abra U盘方案使得移动办公更加便捷。

类似的方案比比皆是, 但是除了移动安全解决方案之外, 企业和服务提供商的安全管理和制度建设同样重要。国家计算机网络与信息安全管理中心副总工杜跃进就认为:“防范安全就是风险管理, 仅靠技术方式永远不可能解决安全问题。”企业应该做好信息安全管理和审查, 比如设定所有桌面PC、笔记本、智能终端和U盘的安全政策, 对员工进行用户验证、受控制的端口访问及应用限制等一系列措施让移动办公远离安全威胁。

小U盘解决移动安全大问题

在2010 Check Point中国区合作伙伴峰会上, Abra的推出成为一大亮点, 受到了合作伙伴的广泛关注。Abra是一款移动安全的解决整合了多种技术的SanDisk的U盘, 可随时随地、安全地进行移动办公。Check Point软件技术有限公司安全顾问吴航介绍道:“该产品最大的特点是无论在线还是离线, 用户均可通过虚拟专用网 (VPN) 连接来访问公司电子邮件、文件和应用程序, 并且利用介质加密保护U盘内的数据安全。”

通过Check Point的演示, 记者看到, 用户可将Abra插入到任何一台Windows系统电脑的USB接口中, 通过简单的操作, 这台电脑的桌面即可“摇身一变”成为自己公司电脑的桌面, 用户可随意地在这个虚拟的办公环境里工作, 而不用担心移动数据和应用程序的安全性。用户可以在虚拟的桌面上访问Abra U盘内的解密的文件, 访问允许的web站点, 使用允许的应用程序, 访问公司的VPN客户端, 用户还可以方便地进行安全桌面和主机界面之间的切换, 在权限允许的情况下, 进行主机与U盘的数据导入和导出操作。吴航表示:“虚拟桌面可以看做是主机上运行的一个应用程序, 但是这个虚拟桌面和主机之间是完全隔离的状态, 不用担心通过主机对虚拟桌面进行攻击。同时, Abra U盘经过严格的加密, 无需担心遗失后导致数据丢失。而权限管理功能可以给公司不同级别和性质的员工设定访问权限和功能权限。”

桌面快车让i Phone安全访问企业应用

近年来iPhone日益流行, 并在商务办公中得到越来越广泛地使用, 但是由此带来的企业应用风险也越来越大, 如何保证iPhone等移动终端的高效办公效率和安全接入是企业亟需解决的问题。Array Networks日前发布的第一款支持iPhone远程访问企业应用的桌面快车新模块DesktopDirect iPhone Client为员工提供了安全访问办公室桌面应用的新方式。

打开桌面快车iPhone客户端后, 员工可通过iPhone远程访问办公室内的Windows应用, 安全访问企业内部数据或核心应用。Array Networks总裁兼CEO赵耀介绍说:“企业员工安全访问企业内部数据或核心应用, 而不要担心数据泄漏的风险, 这是因为在iPhone手机屏幕上出现的只是应用程序的一个‘投影’, 数据并没有储存在iPhone上, 而是传到了公司内部的PC机桌面上。”

同时, 桌面快车iPhone客户端模块还提供强大的加密技术, 即使iPhone丢失或被盗窃, 也能防止关键数据信息泄漏。此外, 企业的应用程序需要部署在公司网络环境下, 并且要求在一定的局域网网速下才能运行, 但是iPhone桌面快车只需要很低的网络带宽即可, 大概只需要30kbit/s, 能在有限的网络条件下提供卓越的性能表现。

Array Networks DesktopDirect系列运行在其SPX系列硬件平台上, 使员工无论是通过家里的PC机、笔记本电脑, 还是通过公共场所的计算机, 或是合作伙伴、分支机构的计算机都可以非常方便地远程登陆操作桌面电脑, 这些都是通过SSL VPN来进行保护的。

Watch Guard:全系列多功能安全平台保护企业网络

在今年的电子数据安全技术大会 (RSA) 和CeBIT上同步发布XTM 5系列产品后, WatchGuard完成了多功能安全防火墙平台的全覆盖, 可以为大、中、小型企业提供网关防火墙、入侵检测系统/入侵防御系统、网络屏蔽、URL过滤、内容检测等众多功能。此外, 借助SSL VPN功能, WatchGuard还可以为需要向员工提供远程访问和手机访问的企业提供移动安全接入。近日, WatchGuard将XTM 5系列产品引进到中国市场, WatchGuard大中华区总经理孙纬表示:“Watchguard期望在中国有一个很快速、很稳健的一个增长。”

WatchGuard XTM 5系列通过了优化实战测试和企业认证的英特尔基础架构, 可提供2.3Gbit/s的防火墙吞吐量, 当安全功能全部激活时, 仍有高达800Mbit/s的吞吐量。对于传统UTM打开多项功能后会造成整个设备性能整体下降的瓶颈时, WatchGuard科技负责世界 (亚太/欧洲/中东/非洲) 销售的副总裁Terry Hass自信地说:“这样的问题不会在Watchguard产品中出现, Watchguard的第一款产品就是UTM, 在产品的性能和功能上有一个很好的平衡, Watchguard在产品能够实现很高性能的前提下, 会更多的重视产品的功能。”

除高性能外, XTM 5系列配有“纵深防御”保护, 结合深层数据包检测、数据包状态检测和代理技术, 提供全面的应用层内容检测和保护。Watchguard对内容安全的防护主要基于“信誉系统”, 目前Watchguard使用的是领先的第三代信誉系统, 通过判定内容发送来源, 帮助用户准确地识别非法信息。

在移动安全方面, XTM 5系列的整合式虚拟专用网 (VPN) 技术可以提供高达750Mbit/s的吞吐量, 有效地保证了工作效率和安全。