網絡安全與經濟安全范文

導語：如何才能寫好一篇網絡安全與經濟安全，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：網絡；檔案；信息安全；對策

中圖分類號：TP368.6 文獻標識碼：A文章編號：1007-9599 (2011) 05-0000-01

File Information Security Measures under Network Environment

Jiang Rui

（Liaoning Broadcasting TV Transmission and Emission Center，Shenyang110016,China）

Abstract:The thesis analyzes the risks in face of archives information safety and the factors which threatens the archives information safety in the network environment and research on methods which can guarantee the archives information safety in the viewpoints of network environemnt build-up and the application of safety technology.

Keywords:Network;File;Information safety;Strategy

目前，隨著各類檔案信息網站的不斷建成，檔案信息資源面臨的風險也越來越大。以遼寧省為例，14個省轄市中已經有11個市建立了檔案信息網站，還有1個市的網站正在建設中。同時，經濟發展相對較好的縣(市、區)，像大連市的所有區(市、縣)也建立了檔案信息網站。這些網站在給人們帶來便利的同時，也給檔案信息安全造成了一定的威脅。

一、網絡環境下檔案信息安全所面臨的嚴峻形勢

首先，由于我國還沒有制定統一的檔案信息管理網站的建設規劃，各地就自行建設其網站，這就造成了各地檔案信息網站的條塊分割，互不相連，檔案網站的綜合防護能力較弱。其次，網站建設是一個系統且復雜的工作，由于經費、技術、人才等現實原因造成了不少檔案網站在最初建設時只注重形式上的完成，而忽略了系統的安全，或多或少留下了一些漏洞，不安分的黑客留下了攻擊的后門。再次，檔案信息系統的安全保護措施在系統初建階段一般相對安全，但隨著軟硬件設施升級調整、網絡環境變化、系統數據量的增大、信息安全要求調整等，檔案信息的安全狀況也會發生變化。

二、網絡環境下保證檔案信息安全的對策

（一）打造檔案信息安全的網絡軟環境

檔案信息安全是一個系統的課題，只有各相關環節緊密地銜接在一起，才能夠保證檔案信息的安全。一方面，各級領導要高度重視檔案信息安全工作，制定出切實可行的規章制度并嚴格落實執行。如針對計算機、網絡、機房、數據交換、網站管理、保密管理、防病毒、維護等方面，加強制度建設，搞好科學規范的管理，保證系統的正常運行。

（二）打造檔案信息安全的硬件環境

檔案信息管理網站的硬件環境是指由檔案信息網絡中的各種物理設備及基礎設施組成的環境。從硬件環境的角度來看，地震、水災、火災等自然災害，電源故障，設備被盜、被毀，電磁干擾，線路截獲等其他因素，時刻威脅著檔案信息系統的安全。只有制定嚴格的網絡安全管理制度，并且加強網絡設備和機房報警裝置的管理，這些風險才可能避免。具體應采取如下的措施。

第一，嚴格落實有關規定，實行內外網分離。不得將計算機及網絡接入互聯網及其他公共信息網絡。對于保存有不宜公開的檔案信息的內部網絡，堅決不允許接入國際互聯網，以防止不該公開的檔案信息通過互聯網泄露出去。

第二，選擇有效的防攻擊安全設施。檔案信息管理系統要選用質量好、信譽度高的硬件產品，同時，要根據網絡的具體類型和要求選擇合適的網絡配置方式。防火墻是硬件的重中之重。選擇防火墻時，一要選擇品牌好的產品。防火墻屬高科技產品，生產這樣的設備不僅需要強大的資金作后盾，而且在技術實力上也需要有強大的保障。質量好的防火墻能夠有效地控制通信，能夠為不同級別、不同需求的用戶提供不同的控制策略。二要選擇安全性高的產品。防火墻本身就是一個用于安全防護的設備，其自身的安全性也顯得非常重要。防火墻的安全性能取決于防火墻是否采用安全的操作系統和是否采用專用的硬件平臺。另外，防火墻除了應包含先進的鑒別措施外，還應采用盡可能多的先進技術，如包過濾、加密、可信的信息、身份識別及驗證、信息的保密性保護、信息的完整性校驗、系統的訪問控制機制、授權管理等技術。這些都是防火墻安全系統所必須考慮的問題。

（三）基于現有技術制定可靠的系統安全和應用策略

第一，選擇正確的網絡配置技術。目前最有效的防攻擊的網絡安全技術是多子網網關技術。就是將內部網絡劃分成若干個安全級別不同的子網，實現內部一個網段與另一個網段的物理隔離。這樣，就能防止某一個網段的安全問題影響到整個網絡的安全。另外，還可采用IP地址綁定技術，就是將所有的MAC地址與客戶端IP地址進行綁定。這樣，既可以防止IP地址被冒用，又大大地方便了日常網絡的IP地址管理，減少無關人員隨意變更網絡設置所造成的危險。

第二，安全為先，打造檔案信息網絡的防毒體系。防毒體系的搭建需要通過相應的防毒軟件來實現。防毒軟件又有單機版和網絡版之分。從全局考慮，應選擇網絡版，因為網絡版在遇到網絡類的蠕蟲病毒、ARP欺騙病毒等傳播能力強的病毒時有較強的查殺能力，而單機版就相形見絀了。同時，網絡版在可管理性、統一查殺、推送安裝、任務更新等方面都有著相當大的優勢。另外，在選擇防毒軟件時，還要考慮到網絡中的可管理節點數、資源占用情況、客戶端與服務器的統一性等問題。最后，還要認真地研究軟件的配置方式，以做到正確配置。

第三，檔案信息數據是檔案信息安全的核心。綜合運用文檔加密、身份認證、數字證書、動態口令等技術手段，保障檔案信息數據的安全。同時，也要做好檔案信息數據的日常備份工作，以防檔案信息網絡遭受攻擊后能夠迅速地恢復數據，保證網絡的正常運行。

篇2

【關鍵詞】局域網 計算機網絡 安全技術 應用管理

【中圖分類號】TP393 【文獻標識碼】A 【文章編號】2095-3089（2013）02-0142-01

（一）前言

如今計算機是每家每戶的必備的電子產品，也是因為計算機的進入市場，促進現在文化、技術多元化的原因所在。但是因為計算機網絡的大量廣泛的應用，相應的在網絡安全問題上也存在越來越多的問題，因為網絡具有開放性、共享性、邊界不確定性和路徑的不確定性加上系統的復雜等等原因導致網絡安全得不到保障，問題也越來越多，網絡很容易受到外界的攻擊，對很多重要的數據信息的保密性得不到保障。

（二）計算機網絡安全的基本概念

對于計算機網絡安全國際標準化組織（ISO）作了這樣的定義，計算機網絡安全是為了保護數據處理系統而采取的技術和管理的安全措施，保護計算機的硬件、軟件以及數據不會因為偶然或者是故意的原因而遭到破壞，被更改或者是泄露。計算機網絡主要是由終端的計算機和通信網絡兩個部分組成，有了作為終端的計算機為前提下，通信網絡是網絡里面各個計算機之間傳輸數據和提供交換的必要的手段和方式。計算機網絡最重要的資源就是它向用戶提供各種服務和提供各類的信息。所謂計算機的安全主要是指各種技術的還有管理上的安全措施，保證網絡服務、網絡信息的可用性以及完整性。從兩個方面上看，一方面要保證網絡系統的安全，另一方面還要保證網絡的信息上的安全。一個完善的安全的計算機網絡應該具有可靠、可用、保密、完整這四個重要的特點。

（三）計算機網絡安全技術簡介

計算機網絡安全技術有三種PKI技術、數據加密技術、防火墻技術，其中PKI技術主要是作用在網絡進行的電子事務、電子政務和電子商務等這方面的活動中，然而PKI技術實際上就是指的是公鑰技術在理論的構建下提供的安全服務的基礎性設施，所以在電子方面的活動中極其需要用PKI技術對信任關系進行驗證，PKI技術隊電子商務中的存取控制，數據的完整、機密、真實性都有一定的保障，對客戶資料的安全提供必要的保護。其次就是數據的加密技術，它和其他的技術相比要更加的靈活。在開放的網絡環境中更加的適用，因為它在動態的信息保護方面應用比較廣泛，在動態信息數據的攻擊方面一般是分為兩種，即被動和主動性攻擊，在被動攻擊中很難進行有效的檢測，只能加強技術進行避免，這個技術的實現就是對數據進行加密。這種加密的方式也是分為兩種，一種是對稱性的加密另一種是非對稱的加密方式，第一種對稱性的加密方式是根據口令為基礎進行的常規性技術，加密和解密的密碼都是一樣的，只需要知道其中一個，另一個也就知道了。第二種的非對稱的加密方式能夠幫助互通信息的雙方在沒有進行密鑰的交換下通過對安全通信來建立起的，它主要是用于數字簽名和身份認證上等這一系列的信息交換領域當中。最后是防火墻的技術，防火墻是網絡安全中最不可缺少的屏障，防火墻的配置是網絡安全最基本、最有效和最經濟的一個安全防護措施，當網絡連接上互聯網的時候，系統的安全除了系統本身的健壯性以及計算機的一系列病毒進行防護之外，還應該對一些非法入侵的用戶進行嚴格的防護，對一切安全問題作好提前準備。這類型的防范主要就是要借助于防火墻的技術進行完善。

（四）局域網的安全對策

在局域網中存在有五種安全威脅，即物理安全、邏輯安全、局域網內部的安全、系統安全、應用程序上的安全。這五種安全威脅對數據的保密性、完整性、可靠性都有一定程度上的破壞。針對這五種安全威脅作出的局域網的安全對策：

在物理安全中無疑是保護計算機的網絡設備、設施和相關的一些媒體不被自然環境事故或者是人為操作不當，計算機犯罪等行為破壞，物理安全即是要保護環境的安全和設備的安全，在系統所處的環境要進行區域和災難性的保護，在設備安全上要進行防盜、防電磁信息輻射、線路截獲、電磁干擾等保護措施。

在邏輯安全中需要注意對操作系統的安全控制以及防范。盡量使用一些安全性能比較高的網絡操作系統并且配置一些必要的安全設備，關閉不經常使用但是卻存在一定安全隱患的應用程序，對能夠保存用戶信息和口令的關鍵性文件對訪問上采取使用權限上的嚴格控制，對口令字的充分加強，增加其口令的復雜性，給操作系統及時進行補丁安裝，對系統的內部調用不可對外公開。對系統的安全進行及時掃描，對里面的安全漏洞及時升級和重新配置。

建立嚴格的管理制度，進行有效的隔離和訪問上的控制，對管理權限和口令保密上采取分級的管理。對內部的自動化的網絡依據不同用戶的安全級別進行不同的虛擬子網的劃分，沒有專門的配置的狀況下，不同的子網之間不能進行交叉式訪問，對虛擬子網的有效劃分可以實現初步的在訪問上的控制。

配備合適的防火墻，防火墻技術是局域網和外部網絡之間的安全屏障，是通過在局域網和外部網絡的接口，局域網中、網管中心和各分支上單位進行防火墻的安裝，保證其不受外部網絡的入侵。對防火墻的選擇上要注意防火墻的安全性、可擴充性。

保證其通信保密，網絡的利用無非就是信息的傳輸，因為在傳輸的過程中沒有具體固定的路徑，在節點上很難進行查證，很容易發現攔截、讀取、破壞以及篡改的現象，對于傳輸上的安全我們可以采取兩種加密方式：通信鏈路層的加密和網絡層加密。

在局域網中網絡安全對策中除了之前所介紹，還包括有入侵的檢測，漏洞掃描，病毒防護和安全管理等，都是對局域網網絡安全有一定保護作用的措施。

（五）結束語

計算機網絡的安全不僅僅是指技術上的問題，還有管理上的問題，網絡的安全技術主要是實現網絡系統安全的一個工具，沒有絕對性的保障，所以要解決網絡系統的安全問題就必須制定出一套綜合性的解決方案，最好是將各個措施充分結合起來，加強技術手段進行防御。

參考文獻：

[1]精英科技.企業級網絡建設實物.中國電力出版社.2010.

篇3

關鍵詞：網絡環境；計算機信息；安全防護；措施

計算機技術被廣泛的應用于各個領域，甚至于很多的企事業單位組建了自己的局域網，同時也伴有互聯網，實現了兩者之間的互聯?；ヂ摼W系統覆蓋的范圍較廣、覆蓋面較大，因此內部局域網會面臨著嚴重的安全威脅，網絡節點也隨時會被黑客攻擊。在網絡環境下，辦公系統的服務器和其他主機上的信息都可能會泄密，如果內部網絡中的計算機受到了攻擊，可能會被其他病毒感染，這樣便會影響到其他的主機信息安全。網絡環境的開放性、分散性等特點，為信息的交流共享創造了理想空間，與之相關的網絡技術取得了更快發展，為社會進步與發展增添了活力。

1 網絡環境下計算機信息安全面臨的威脅

（一）缺乏安全意識

計算機技術最大的優勢就是實現資源的共享，同時在端口開放的條件下實現文件的傳輸，相對于網絡環境中的其他用戶信息是透明的。某些機關、企業對服務器的保護意識不足，根據相關的統計分析，存在80%的公共網站沒有采取任何的防護措施，還有些企業網站在受到惡意攻擊之后，并沒有引起足夠的重視，殊不知企業內部的重要文件早已泄密，引發經濟上的重大損失。

（二）網絡技術影響

計算機信息就是以互聯網為重要依托，構建起一個無行政管理的世界性網絡，在沒有監護措施與防護措施的前提下，安全性能相對較差，因此網絡犯罪具有跨區域、跨國界等特點，會給行政執法帶來巨大困難，如網絡木馬、黑客病毒、信息間諜等成為威脅計算機信息安全的重要因素。

（三）存儲潛在風險

計算機信息需要利用多種硬件介質加以存儲，但是介質屬于電子類產品，經過長時間的存放，往往會出現無法讀取的情況。這種問題的產生主要是受到介質壽命的影響，由于硬件載體不可能永久可用，也會受到環境、磁場等影響，很容易出現變質情況，證明存儲設備擁有一定的使用年限。伴隨著科學技術的發展，網絡環境下的信息載體技術也發生了改變，當更換讀取設備時，存取的文件將無法正常讀取出來。

（四）人為因素影響

新世紀面臨新挑戰，其中涉及到信息的競爭、人才的競爭，主要原因是對網絡安全的重視程度不足，同時缺乏技術型人才的培養。很多企業中，網絡維護人員并不是專業技術型人才，因此只關注對網站信息的定時更新，如配置的網絡設備仍然存在著諸多漏洞，極易被非法人員利用。

2 網絡環境下計算機信息安全防護措施

（一）建立健全網絡管理制度

企事業單位應該建立健全網絡管理制度，并且將計算機信息安全視為頭等大事，在法律法規基礎上，根據企業的實際情況，將計算機信息的安全工作責任具體到個人。安全維護人員需要制定可行性保障，強化對全體人員的信息安全維護意識，同時加強監管監控，對運行網絡的安全施以全方位管理，針對其中的薄弱環節采取適當的改進措施，不斷完善企業的信息保護規章制度，對企業內部員工的賬號及密碼實行合理監管，若存在非法登錄情況，應該及時進行維護，特別是管理人員及重要部門人員的口令與密碼，特定時間內加以更換。

（二）合理維護備份文件安全

計算機硬件與網絡若是遭遇了安全威脅，或發生不可抵抗的損壞時，其內部的所有文件也隨之出現損壞情況，由此可見備份文件十分重要。文件的備份需要采取全方位、多層次的措施，注重軟件及硬件的相互結合。硬件備份能夠讓系統逐漸恢復運行，軟件備份可以保證重要的信息及時恢復，在對系統進行全方位多級防護的過程中，確保網絡環境下計算機信息的安全可靠。

（三）病毒引擎防護措施

結合當前的網絡環境分析，計算機信息安全防護情況不容樂觀，因此需要采取病毒引擎防護措施，為計算機信息提供安全保障。智能化安全防護引擎可以實現對不同病毒特征碼的準確掃描，同時也能實行靶向控制。利用智能化病毒引擎防護，能夠對未知病毒進行嚴格的檢查，采取針對性舉措防護病毒，突破傳統病毒掃描技術的限制，把高新技術手段及措施有機結合到一起，通過對存在病毒的系統防護，可以增強計算機信息對病毒的免疫力。當病毒攻擊計算機時，智能化病毒引擎防護可以準確快速的進行查殺，雖然能夠起到良好的病毒防護效果，但是很多時候此項舉措還是顯得較為被動，現階段，實踐中常用的病毒軟件有Outlook、Net Ant等。

（四）安裝系統漏洞補丁程序

在計算機系統設計的過程中，為了計算機信息的安全，需要軟件開發商補丁程度，從而及時糾正漏洞問題。伴隨著計算機系統的應用，需要定時更新網絡補丁程序，同時對其進行安裝，為網絡系統的實際運行創造優質的安全環境。如COPS軟件的應用，就是專門用來掃描漏洞的設備。

3 結語

在科學技術飛速發展的今天，計算機信息安全風險逐漸增大，從實踐過程分析，需要綜合各方努力，為計算機信息安全提供可靠保障。在當前的時代背景下，網絡成為了一種特色標志，象征著時代的進步與發展，計算機信息安全防護工作的重要性日益體現出來，與之相關的安全維護難度也隨之增大?，F階段的技術條件下，計算機信息安全防護問題只能在避免的過程中不斷強化具體措施，但是卻無法根除，只能結合技術優選組合，保障計算機信息的安全。

參考文獻

[1]陸俊，侯雅莉. 淺析計算機信息安全防護措施[J]. 赤峰學院學報（自然科學版），2016，（12）：10-12.

[2]張康榮. 計算機網絡信息安全及其防護對策分析[J]. 網絡安全技術與應用，2015，（02）：92+94.

[3]張嘉. 網絡環境下計算機信息安全防護措施[J]. 計算機光盤軟件與應用，2014，（03）：189+191.

[4]朱亮. 計算機網絡信息管理及其安全防護策略[J]. 電腦知識與技術，2012，（18）：4389-4390+4395.

篇4

關鍵詞： 武警；局域網；比較；安全技術

中圖分類號：TN919 文獻標識碼：A 文章編號：1671－7597（2012）0310095－01

武警部隊近年來信息化發展迅速，三級網絡已經建成，極大提高了部隊工作效率。隨之而來的是安全保密形勢越來越嚴峻，主要是涉及到與公安警務網互聯、與地方民政部門數據交換、與協同作戰等的保密問題。為此，筆者對網絡隔離下幾種數據交換技術進行了比較研究。

1 網絡隔離的原因

1）的網絡與低密級的網絡互聯是不安全的，尤其來自不可控制網絡上的入侵與攻擊是無法定位管理的?；ヂ摼W是世界級的網絡，也是安全上難以控制的網絡，又要連通提供公共業務服務，又要防護各種攻擊與病毒。要有隔離，還要數據交換是各企業、政府等網絡建設的首先面對的問。

2）安全防護技術永遠落后于攻擊技術，先有了矛，可以刺傷敵人，才有了盾，可以防護被敵人刺傷。攻擊技術不斷變化升級，門檻降低、漏洞出現周期變短、病毒傳播技術成了木馬的運載工具，而防護技術好象總是打不完的補丁，目前互聯網上的“黑客”已經產業化，有些象網絡上的“黑社會”，雖然有時也做些殺富濟貧的“義舉”，但為了生存，不斷專研新型攻擊技術也是必然的。在一種新型的攻擊出現后，防護技術要遲后一段時間才有應對的辦法，這也是網絡安全界的目前現狀。

因此網絡隔離就是先把網絡與非安全區域劃開，當然最好的方式就是在城市周圍挖的護城河，然后再建幾個可以控制的“吊橋”，保持與城外的互通。數據交換技術的發展就是研究“橋”上的防護技術。

關于隔離與數據交換，總結起來有下面幾種安全策略：

修橋策略：業務協議直接通過，數據不重組，對速度影響小，安全性弱；

防火墻FW：網絡層的過濾；

多重安全網關：從網絡層到應用層的過濾，多重關卡策略；

渡船策略：業務協議不直接通過，數據要重組，安全性好；

網閘：協議落地，安全檢測依賴于現有的安全技術；

交換網絡：建立交換緩沖區，采用防護、監控與審計多方位的安全防護；

人工策略：不做物理連接，人工用移動介質交換數據，安全性最好。[1]

2 數據交換技術

2.1 防火墻

防火墻是最常用的網絡隔離手段，主要是通過網絡的路由控制，也就是訪問控制列表（ACL）技術，網絡是一種包交換技術，數據包是通過路由交換到達目的地的，所以控制了路由，就能控制通訊的線路，控制了數據包的流向，早期的網絡安全控制方面基本上是防火墻。國內影響較大的廠商有天融信、啟明星辰、聯想網御等。

但是，防火墻有一個很顯著的缺點：就是防火墻只能做網絡四層以下的控制，對于應用層內的病毒、蠕蟲都沒有辦法。對于安全要求初級的隔離是可以的，但對于需要深層次的網絡隔離就顯得不足了。

值得一提的是防火墻中的NAT技術，地址翻譯可以隱藏內網的IP地址，很多人把它當作一種安全的防護，認為沒有路由就是足夠安全的。地址翻譯其實是服務器技術的一種，不讓業務訪問直接通過是在安全上前進了一步，但目前應用層的繞過NAT技術很普遍，隱藏地址只是相對的。目前很多攻擊技術是針對防火墻的，尤其防火墻對于應用層沒有控制，方便了木馬的進入，進入到內網的木馬看到的是內網地址，直接報告給外網的攻擊者，NAT的安全作用就不大了。

2.2 多重安全網關（也稱新一代防火墻）[2]

防火墻是在“橋”上架設的一道關卡，只能做到類似“護照”的檢查，多重安全網關的方法就是架設多道關卡，有檢查行李的、有檢查人的。多重安全網關也有一個統一的名字：UTM（統一威脅管理）。設計成一個設備，還是多個設備只是設備本身處理能力的不同，重要的是進行從網絡層到應用層的全面檢查。國內推出UTM的廠家很多，如天融信、啟明星辰等。

多重安全網關的檢查分幾個層次：

FW：網絡層的ACL；

IPS：防入侵行為；

Av：防病毒入侵；

可擴充功能：自身防DOS攻擊、內容過濾、流量整形。

防火墻與多重安全網關都是“架橋”的策略，主要是采用安全檢查的方式，對應用的協議不做更改，所以速度快，流量大，可以過“汽車”業務，從客戶應用上來看，沒有不同。

2.3 網閘[3]

網閘的設計是“+擺渡”。不在河上架橋，可以設擺渡船，擺渡船不直接連接兩岸，安全性當然要比橋好，即使是攻擊，也不可能一下就進入，在船上總要受到管理者的各種控制。另外，網閘的功能有，這個不只是協議，而是數據的“拆卸”，把數據還原成原始的面貌，拆除各種通訊協議添加的“包頭包尾”，很多攻擊是通過對數據的拆裝來隱藏自己的，沒有了這些“通訊外衣”，攻擊者就很難藏身了。

網閘的安全理念是[4]：

網絡隔離-“過河用船不用橋”：用“擺渡方式”來隔離網絡。

協議隔離-“禁止采用集裝箱運輸”：通訊協議落地，用專用協議或存儲等方式阻斷通訊協議的連接，用方式支持上層業務。

按國家安全要求是需要網絡與非網絡互聯的時候，要采用網閘隔離，若非網絡與互聯網連通時，采用單向網閘，若非網絡與互聯網不連通時，采用雙向網閘。

2.4 交換網絡[5]

交換網絡的模型來源于銀行系統的Clark-Wilson模型，主要是通過業務與雙人審計的思路保護數據的完整性。交換網絡是在兩個隔離的網絡之間建立一個數據交換區域，負責業務數據交換（單向或雙向）。交換網絡的兩端可以采用多重網關，也可以采用網閘。在交換網絡內部采用監控、審計等安全技術，整體上形成一個立體的交換網安全防護體系。

交換網絡的核心也是業務，客戶業務要經過接入緩沖區的申請，到業務緩沖區的業務，才能進入生產網絡。

網閘與交換網絡技術都是采用渡船策略，延長數據通訊“里程”，增加安全保障措施。

3 數據交換技術的比較

不同的業務網絡根據自己的安全需求，選擇不同的數據交換技術，主要是看數據交換的量大小、實時性要求、業務服務方式的要求。

參考文獻：

[1]周碧英，淺析計算機網絡安全技術[J].甘肅科技，2008，24（3）：18-19.

[2]潘號良，面向基礎設施的網絡安全措施探討[J].軟件導刊，2008（3）：74-75.

[3]劉愛國、李志梅，電子商務中的網絡安全管理[J].商場現代化，2007（499）：76-77.

篇5

1計算機網絡安全問題

計算機網絡安全問題主要表現在計算機遭受惡意病毒攻擊、IP地址被非法盜用、計算機被非法訪問以及操作系統或者應用軟件本身的安全漏洞等。

1.1計算機病毒和惡意程序的存在

計算機病毒是本質是一種常見的侵害網絡安全的一種代碼，這種代碼具有語言無關性（C、C++或者其他語言編寫的計算機程序）。其主要通過附著在其他程序代碼上進行傳播，傳播速度較快，并且可以進行自我復制和隱藏，危害性較大。隨著網絡的發展，計算機病毒不可能被殺毒軟件徹底的清除，我們只能做好防治工作。就現實來看，導致網絡存在安全隱患，主要表現在以下兩個方面：

（1）人為因素。病毒來源于人，因為人是計算機病毒的編寫者，當然，人也是計算機病毒的防護者，很多計算機病毒的傳播都是由于人為的安全意識淡薄所致，等到網絡安全受到威脅時才進行技術防護，采取被動式的網絡安全防護策略，這種方式不能進行有效的網絡安全防護。

（2）技術問題。計算機病毒防護是一門學問，做計算機安全維護問題的工作人員，首先需要了解病毒（要求高的地方，需要能寫病毒），只有了解了病毒才能防止，而了解病毒就需要我們去學習計算機技術，計算機原理，甚至是操作系統的計算機專業技術。

1.2非法訪問網絡

對于一個企業而言，其網絡結構一般可分為內網和外網結構。一般外網是企業的門戶網站，或者商務交流平臺，其到達內網需要通過多層數據訪問。而網絡受到攻擊，可以分為來自企業內部的內網攻擊以及來自企業外部的外網攻擊。對于企業級的非法訪問網絡，主要目的就是下載用戶商務數據其過程主要為搜集信息作為企業數據目標選擇，實施網絡訪問攻擊，下載需要的企業數據[1]。

1.3操作系統安全問題

隨著信息技術的發展，操作系統存在安全隱患因素越來越低，但是不可否認，其還是存在一定的安全風險。

第一，操作系統支持的文件中隱含不安全因素。操作系統是傳送所有類型文件的一個通道平臺，為不安全因素的隱藏提供了有利條件。在絕大多的安裝程序中都會包含可執行文件，這些可執行文件容易出現漏洞，這主要是因為這些文件基本上都是人為編程實現的二進制代碼，了解了程序邏輯結構后，完全可以在可執行文件中，添加必要的可執行病毒代碼段，而這些漏洞會導致整個系統癱瘓。一般而言，系統安全問題很容易在程序安裝和加載中產生，因此，為了確保網絡安全性，在程序安裝和加載時需謹慎。

第二，守護進程的好與壞。一般而言，在系統引導裝入時守護進程被啟動，在系統關閉時守護進程被終止。守護進程有好有壞，如防病毒軟件就說明守護進程是好的，但是進程本身就是一種病毒，其也具有一定的危害性。

第三，遠程調用。進行遠程調用的程序基本上都存在于大型服務器中，雖然遠程調用這項功能，操作系統本身就有，但是在遠程調用過程中，非法者也能夠進行非法活動，進而給操作系統帶了威脅。第四，操作系統的漏洞。漏洞無時無刻存在于操作系統中，一般解決這些漏洞的方式就是對軟件進行升級，但是如果此時你的操作系統已經升級到最高級別，還有漏洞存在，那么操作系統就會因為這個漏洞的存在而崩潰。

2計算機網絡安全防范策略

2.1計算機病毒安全防范策略

針對目前多種形式的計算機病毒，如果僅僅采取一種方法對其進行防范，那么無法保證網絡安全性，因此需要配合一些全方位的防病毒產品來徹底清除計算機病毒[2]。如，在清除內網計算機病毒時，需要的防病毒軟件必須具有服務器操作系統平臺的功能以及必須具有針對性（主要針對各種桌面操作系統）；在清除外網的計算機病毒時，需要防病毒軟件的支持以及確保聯網所有計算機的安全。另外，提高網絡安全意識非常重要，不用盜版軟件，病毒在盜版軟件的傳播速度非?？欤幌螺d資料時必須先進行病毒掃描，在無病毒的環境下進行下載等等，這些都是防范計算機病毒的有效管理策略。

2.2身份認證技術

身份認證顧名思義就是對訪問網絡的合法用戶進行鑒別，確保合法用戶能夠正常使用網絡，防止非法用戶攻擊網絡，總之保證網絡的安全性。隨著用戶密碼被非法用戶截獲案件越來越多。合法用戶的相關信息被竊的事件也越來越多，合法用戶的安全受到越來越多的威脅，用戶已經充分認識到身份認證的重要性[3]。

合法用戶一般都具有兩種身份，一種是物理身份和數字身份，身份認證就是對這兩種身份是否一致進行鑒別。身份認證系統最重要的技術指標就是看合法用戶被他人冒充的難易度。合法用戶身份如果被非法用戶所冒充，那么將會直接損害合法用戶利益，并且會對整個系統造成威脅。由此可見，身份認證不僅是權限管理的基礎，而且它更是網絡安全的一種基礎策略。

2.3入侵檢測技術

入侵檢測是檢測非法入侵網絡的行為，這些非法行為都會威脅到網絡安全。入侵檢測技術一般屬于事前措施，將威脅網絡安全的非法行為扼殺在搖籃中，這種網絡安全技術屬于一種主動策略。一般而言，誤用檢測技術和異常監測技術是入侵檢測所采用的技術。

（1）誤用檢測技術。這種技術的前提條件是假設所有的入侵行為都能認為是一種特征，分析已知的入侵行為，根據分析結果構建相應特征模型，此時對入侵行為的檢測就轉換成搜索與之匹配的特征模型，結果匹配，即表示是非法行為。誤用檢測技術在對已知入侵檢測方面準確性較高，但是對于一些未知入侵檢測效率不高；

（2）異常檢測技術。這種技術的前提條件就是假設所有的入侵行為與正?；顒硬煌?，對正常用戶活動進行分析，根據分析結果構建相應的模型，統計與正常用戶活動不同的數量，如果此行為與統計出來的規律不符，則證明是入侵行為。對于誤用檢測技術不能檢測到未知入侵這一不足之處，通常采用異常檢測技術來進行補充。由此可見，誤用檢測技術與異常檢測技術是目前入侵檢測的兩種主要技術。入侵檢測在構建模型時有一種通用入侵檢測模型，如圖1所示。另外，除了上述兩種技術支持外，入侵檢測還需要入侵檢測系統的支持。入侵檢測系統是以一種安全設備的形式來進行入侵檢測，它主要通過發出警報等形式來檢測網絡，它是一種積極主動的安全防護設備。

篇6

網絡會計信息系統的安全風險，是指由于人為或非人為的因素使會計信息系統保護安全的能力減弱，從而產生系統的信息失真、失竊，使單位的財產遭受損失，系統的硬件，軟件無法正常運行等。具體表現在以下幾個方面：一是重要會計信息被篡改。開放性的網絡會計環境下，存在信息失真的風險。盡管信息傳遞的無紙化可以有效避免一些由于人為原因而導致會計失真的現象，但仍不能排除電子憑證、電子賬簿可能被惡意修改的可能。由于缺乏有效的確認標識，信息接受方有理由懷疑所獲取財務數據的真實性。同樣，作為信息發送方，也會存在傳遞的信息未被接受方正確識別并下載。另外，會計信息在網上傳遞過程中，隨時可能被網絡黑客或競爭對手非法截取并惡意篡改，同時，病毒也會影響信息的安全性和真實性。二是重要的財會數據泄密。財務數據屬重大機密，在網絡傳遞過程中，有可能被非法截取，從而造成不可估量的損失。同時，目前大多數會計軟件對更改的會計事項沒有提供完整的、真正意義上的痕跡記錄。這樣就使得會計做假、造假和經濟違法犯罪變得更加隱蔽，給會計、審計監督工作和防范違法犯罪增加了技術難度。三是計算機硬件受到損害。網絡會計主要依靠自動數據處理功能，而這種功能又很集中，自然或人為的微小差錯和干擾，都會造成嚴重后果：然因素。如灰塵、老鼠等對計算機硬件造成損壞，嚴重的會造成系統故障；理因素。安全管理不力，使得計算機被盜，或光盤、磁盤等磁介質載體丟失，造成信息泄露等。四是會計信息系統的生命周期縮短。在會計信息系統的開發過程中，軟件供應商與會計人員之間在業務技術存在差異，溝通比較困難，在開發時不能完全了解企業的用途和目的，致使會計信息系統軟件在實際應用的過程中不能很好的處理和解決企業的現實情況，容易出現差錯。此外，會計信息系統提供的一些操作與現行的企業會計制度相悖，會不同程度地使會計信息系統的生命周期逐漸縮短。

二、網絡環境下會計信息系統安全體系構建的基本思路

通過對網絡環境下會計信息系統面臨的風險分析，可知建立科學的會計信息系統安全體系的重要性。同時，會計信息系統和其他類型的管理信息系統相比，具有自身的特點，其中最重要的特點是系統對安全性與可靠性的要求是比較高的。因此，在會計信息系統安全體系構建的過程當中，必須遵循正確和合理的工作原則，明確實際工作和實施的主要思路。一是加強會計系統與企業其他系統的密切聯系。相關性是系統的一個重要屬性。網絡會計信息系統不是與企業其它管理信息系統獨立的子系統，而是融入企業內聯網與其它業務及管理信息系統高度融合的產物。保證網絡會計信息系統安全實質上也包含了對企業整個信息系統服務質量的要求。因此，安全系統的建設與維護應當與網絡會計信息系統及企業內聯網絡的建設和維護保持一致，遵循系統工程的方法，應用系統工程建設和維護網絡會計信息系統及企業管理信息系統的安全系統。二是注意應用各相關學科知識。綜合性是系統的另一個重要屬性。網絡會計信息系統信息安全保障問題的解決既不能只依靠純粹的技術，也不能靠簡單的安全產品的堆砌，他要依賴于復雜的系統工程，采用工程的概念、原理、技術和方法，來研究、開發、實施與維護信息系統安全。此外，在會計信息系統安全體系的設計過程中，也可以有針對性地運用信息系統開發、計算機網絡、信息系統安全工程等相關基本理論。

三、網絡環境下會計信息系統安全體系的建設過程

一是網絡會計信息系統的安全系統就是該網絡信息系統的信息安全服務系統，它由安全控制系統、安全控制管理系統和安全控制認證系統組成。信息系統的安全系統是信息系統安全技術型保障，這些技術保障是根據信息系統的具體安全需求建立的。安全系統的建設、維護和應用都應建立在信息系統環境中。目前，信息安全理論界普遍提倡采用信息系統安全工程過程(ISSE)來進行信息系統安全系統的建設、維護和應用。二是信息系統安全工程過程(ISSE)主要告知人們如何根據系統工程的原則構建安全信息系統的方法、步驟與任務。包括進行信息安全需求分析、定義系統功能、進行系統設計、獲得系統實現以及ISSE過程的同步進行。ISSE強調系統工程要與被建設的系統特性緊密結合，其工程環節要與系統的生命周期保持同步。網絡會計信息系統同一般的信息系統一樣都是有生命周期的，該周期包括了系統規劃、設計、建設、驗收、運行、改造和報廢等，其信息安全服務系統的生命周期也是如此。所以，本文對網絡會計信息安全系統設計的思路是：根據ISSE的描述，將網絡會計信息安全系統的建設納入到工程過程，該過程包含6個工程環節：安全需求分析、安全系統設計、安全系統集成、安全系統認任務。如圖1所示：

四、網絡環境下會計信息系統安全模型設計

篇7

關鍵詞：聚類分析；網絡文化安全預警；文化算法

中圖分類號：TP309 文獻標識碼：A文章編號：1007-9599 (2011) 14-0000-02

Internet Culture Security Warning Model on Cultural Algorithms

Chen Ting

(University of Science&Technology Beijing,Beijing100083,China)

Abstract:In this paper the early-warning model based on the Cultural Algorithms of the cyber-cultural evolution process is designed and proposed.Simulation results show that the approach produces more competitive result at relatively computational cost compared with some other better constraint-handling algorithms.

Keywords:Cluster analysis;Internet culture security warning;Cultural algorithms

一、文化算法

通過聚類分析與文化算法的結合，完成文化安全“粒子”數據的聚類分析。該方法可以很好的提高速度和準確率。文化算法是演化算法的一種，算法的靈感來自于文化進化論的研究者對文化進化過程的描述。模仿這個過程，得到的新的方法。

文化算法設計原則包括以下三個部分：

（一）種群空間設計：種群空間設計主要是對研究對象的確定。之后即就是研究對象的表示。種群空間的對象可以是簡單的個體信息，同時也可以是關系信息。根據具體問題分析而定。相對于信念空間的抽象化信息的表示和演化的模型，簡單的說，種群空間就是對實物，具體存在信息的表示和演化模型。種群空間個體的表示種群空間個體在不同應用過程中表示方法不同。常見的是通過一系列屬性編碼表示個體。其中有二進制表示、實值表示等。

（二）信念空間（believe space）：不同的符號化表示方法能夠用于描述信念空間。包括語義網、邏輯和集合論等?？梢哉f，信念空間一定是對實體的抽象。信念空間的表示方法：文化算法同PSO算法的不同是由于CA算法在問題求解過程中利用了五種基本的知識類型，而不僅僅是利用一個或兩個簡單的本地間傳輸的值（two locally transmitted value）。在認知科學（cognitive science）領域研究證明，上述五種知識類型都在不同的動物種群中找到證據，并且認為人類社會的知識系統至少有這五種類型知識。這五種知識包括：形勢知識（Situational Knowledge）、標準化知識（Normative Knowledge）、領域知識（Domain Knowledge）、歷史知識（History Knowledge）、地形知識（Topographic Knowledge）

（三）信念空間的演化和更新。對于不同的表示方法會進行不同的演化?；谀Ｊ降男问奖硎局R的話，其演化過程主要是指不同的Schemata完成：模式分離（Segmentation）過程，如圖1.1所示：

圖1.1：Schemata分離演化過程圖

基于粒子群優化的文化算法基本步驟如下：1.初始化一群隨機粒子（隨機解）。2.每次迭代中，粒子通過跟蹤兩個極值更新自己：（1）－粒子本身找到的歷史最好解（個體極值點pbest）；（2）－整個種群目前找到的最好解（全局極值點gbest）。3.需要計算粒子的適應值，以判斷粒子位置距最優點的距離。4每次迭代中，根據適應度值更新pbest和gbest。5迭代中止條件：設置最大迭代次數或全局最優位置滿足預定最小適應閾值。

假設有相互競爭的N個粒子；第 個主體的綜合生態位寬度

粒子 的生態位置： ，將 代入適應函數

求適應值；

粒子 速度：

粒子 個體極值點位置：

種群的全局極值點位置：

粒子 的第m維速度和位置更新公式：

c1，c2―學習因子，經驗值取c1=c2=2，調節學習最大步長

r1，r2―兩個隨機數，取值范圍（0，1），以增加搜索隨機性

w―慣性因子，非負數，調節對解空間的搜索范圍。

二、基于文化算法的預警模型設計

（一）總體設計。該模型分為以下三個部分，前臺訪問模塊，用于對外接口，模型主體包括：警情分析模塊，基本的統計查詢模塊，內容規則添加與查詢，用于計算信息生態位的最優解。最后一部分數據庫。

如圖2.1所示：

圖2.1：網絡文化安全預警模型結構圖

（二）信息人個體的統計模塊。信息人個體統計模塊的任務是完成對單個個體信息人的基礎數據的統計，這個統計是為了計算單個個體生態位寬度，信息生態位寬度是指信息人在不同的信息生態維度上對多個信息環境因子適應、占有和利用的范圍與數量。信息生態位寬度表示信息人具有信息功能和利用信息資源多樣化的程度，也反映了信息人對信息資源的利用能力和競爭水平。

該模塊主要是利用基本的統計分析方法，按照信息人個體進行統計。并對其每個個體計算信息人生態位寬度。生態位維度的值用 表示：

式中， ； ； ； 表示第 個維度中第j個分指標的值； 表示該指數在該層次中的權重。

式子， ； 為第n個主體在第 個維度上的值。

（三）分類處理模塊設計。由于網絡文化的分類標準還沒有相關研究成果，對其進行聚類分析是必要的。輸入數據為經過基礎統計分析計算得到的一個個體信息人的所有數據：分為三個大的部分：個體占用時間度、個體占用空間度、個體占用資源維度。個體占用時間度包括個體數據的時間總跨度，個體占用空間度包括即個體所在版面的個數，個體占用資源維度包括個體所發貼的總和。

設待聚類分析的對象全體為 其中 為 維模式向量，聚類分析就是要找到 的一個劃分 ，滿足：

，其中 ，且，并且使得類之間的誤差平方和 最小。其中 表示第 類中樣本 與第 類的聚類中心 之間的歐式距離，即 。

信念空間的更新函數 ，

信念空間 的 函數：文中僅取當前最優個體 來更新信仰空間中的形勢知識

其中，

本文中，規劃化知識的更新規則如下：

其中第t代變量的下限 和上限 所對應的適應值。

影響函數設計：

使用規范知識調整變量變化步長，形式知識調整其變化方向。定義如下：

其中 為服從正態分布的隨機數， 為信仰空間中變量 可調整區間的長度， 為步長收縮因子，這是對文獻算法的改進。這里 ， 。

步驟1、初始化的種群空間：是從所有樣本中隨機抽取K個樣本作為聚類中心。并進行編碼，這樣就產生了一個一個個體。重復以上步驟p次，產生種群空間為P的初始種群空間；

步驟2、通過適應度函數 ，對種群空間中的個體進行評價；

步驟3、根據樣本集和初始種群空間中的候選集，按照信念空間結構，生成初始信仰空間；

步驟4、根據影響函數計算，對種群空間中的每個父個體進行變異，生成P個相應子個體；

步驟5、對于由于子個體和父個體共同生成的規模為2p的種群空間中的每個個體，從該種群空間中隨機選取c個個體與它進行比較。如果該個體優于其它，則稱該個體取得一次勝利，并記錄勝利的次數；

步驟6、選擇前P個具有最多勝利次數的個體作為下一代父個體；

步驟7、設定接受函數 ，并按照更新函數，更新該信仰空間；

步驟8、不滿足終止條件，則重復步驟4），反之，則結束。

三、總結

本文依據文化算法的設計策略，應用粒子群優化文化算法，設計完成了基于文化算法的預警模型，本文重點為互聯網信息提供一種估算預警值模型以便于對互聯網文化的審查。本文提出了一種預警模式，為以后的進一步實現打下為了基礎。

參考文獻：

[1]周平紅,張峰.從網絡文化安全的視角談青少年媒介素養教育[J].教育技術導刊,2007,3:10-11

[2]賀善侃.網絡時代:社會發展的新紀元[M].上海:上海辭書出版社,2004

[3]張長全.中國金融開放與發展中的安全預警問題研究[M].北京:經濟科學出版社,2008

篇8

關鍵詞 信息化；醫院；網絡安全；病毒傳播

中圖分類號：TP316 文獻標識碼：A 文章編號：1671-7597（2013）20-0157-01

現代化醫院運營的必備技術支撐環境和基礎設施，是醫院信息系統，簡稱HIS。醫院只有具備良好的信息管理、信息處理系統，才能實現高效的現代化管理。網絡管理的安全、高效，是醫院網絡信息保持較高保密性、可用性、完整性，大規模信息系統的安全運作，醫院各項工作的高效運轉的根本性保障。

1 醫院當前的信息系統管理存在的不安全因素

1.1 惡劣天氣帶來的安全隱患

在實際的信息系統管理中，創建的自然環境危害因素主要有：周圍環境中存在的電磁輻射、不穩定的靜電、雷擊、供電電源以及不相適宜的溫度和濕度等。盡管計算機技術發展迅速，然而其工作也深受溫度的影響，在環境溫度太低或者太高的情況下，網絡系統無法開展正常的工作。濕度也是影響計算機能否正常工作的重要因素，過干的環境下，很容易產生較大電壓的靜電，損害計算機中的電子器件；過濕的環境下，會降低電路的絕緣能力，損害用于存儲信息的媒體。在處于雷電的天氣下，網絡系統中的主交換機，可能遭受徹底的損壞。

1.2 黑客病毒等攻擊的人為安全隱患

無意識失誤的人為因素和惡意攻擊的人為因素，是威脅信息系統網絡安全的兩種主要因素。影響計算機網絡系統安全的人為因素是多方面的，因此，信息系統網絡管理者應高度重視各種人為威脅因素。人為因素對醫院信息系統的危害，重則徹底摧毀整個醫院信息系統，網絡系統會因此而處于癱瘓狀態；輕者直接影響網絡系統數據的準確性，或是出錯、或者丟失、或者外泄。一般情況下，主要有用戶口令選擇不慎、用戶安全意識較差、操作員安全配置不當、程序設計錯誤、內部醫院人員操作失誤等人為的無意失誤行為。

人為因素的惡意攻擊，主要體現在“黑客”、間諜、計算機犯罪分子的破壞。隨著計算機科學技術的飛速發展，滋生了不少電腦高手、能手，如“黑客”、網絡間諜等，他們往往蓄意碰壞網絡系統，非法復制軟件，竊取網絡信息，是網絡系統的人為惡意攻擊威脅因素。當前，人為的惡意攻擊，是計算機網絡面臨的最大威脅，造成的損失也是不可估量的。

1.3 醫院計算機軟件管理漏洞

計算機協議、硬件以及軟件等系統安全策略、實現形式上存在的缺陷，即網絡軟件漏洞。通過這些網絡軟件漏洞，無需獲得管理員的授權，惡意攻擊者便可以直接訪問并攻擊醫院網絡信息系統。盡管計算機科學技術的發展，已到了一定的高度，然而目前仍然沒有一款百分之百完美無缺的網絡軟件，甚至有不少商業軟件在應用之初，便存在大量的漏洞。黑客的攻擊行為，重點突破口便是這些漏洞和缺陷，也正是由于這些漏洞的存在，才會發生一系列黑客攻入網絡系統內部區的案件。除此之外，部分軟件工作的程序設計人員，在設計編程的過程中，為了方便管理，往往會設計不為人知的軟件“后門”，假若這些軟件“后門”被不法分子獲知，將會直接威脅到軟件的安全。

2 信息環境下做好醫院信息安全的保障對策及建議

2.1 注重保護計算機硬件設施

做好計算機的物理安全工作，能夠很好的預防自然災害、人為破壞、搭線攻擊等因素，確保計算機系統、網絡服務器、掃描儀等硬件設施、通信鏈路。物理安全策略，是構建一個良好的電磁兼容計算機工作環境的重要措施。借助于一些技術手段，最大限度的減少自然環境因素對計算機的危害。比如在機房屋頂和交換設備網點安裝避雷針、接地裝置等防雷措施，以減少雷電對網絡系統的危害；在干燥或潮濕的地方購置加濕或者去濕的設備，根據機房面積安裝相適宜的空調，控制網絡環境的濕度和溫度；安裝標準地線、鋪設活動抗靜電地板，減少靜電對計算機網絡系統的危害。

2.2 通過數據加密技術保護網絡系統

為了保護數據、口令、文件和控制信息的安全性，常采用數據加密的計算機網絡安全主動防御策略。數據加密技術的運用，不僅能夠有效的保障信息的機密性，還能夠有效的保護數據的網上傳輸。在加密的情況下，只有獲得授權，用戶才能訪問、使用存儲、傳輸的數據。在維護網絡系統安全的過程中，常采用鏈路加密、節點加密、“端—端加密”等網絡加密方法，保護網絡數據信息不被未獲得訪問權限的侵入者識別、使用、破壞。網絡加密中的鏈路加密法，主要是用來保護網絡各節點之間的鏈路信息；節點加密法，主要是用來保護源節點和目的節點之間的傳輸鏈路；“端—端加密”法，主要是用來保護“源端用戶”和“目的端用戶”之間的數據。用戶，可以根據具體需求，而選擇不同的網絡加密方式。運用RSA算法和DES算法等加密算法，實施對信息的加密，能夠以最小的代價保護網絡數據的安全。

2.3 完善醫院網絡防火墻的安全管控

防火墻，包括一切預防、抵御外界侵犯，保護網絡信息系統安全的各種應對、防范措施。防火墻，實際上是一項訪問控制技術，在內外部網絡之間設置一道隔離墻，控制兩個或多個網絡之間的訪問，以保護內部網絡中的機密數據不被篡改或偷竊，監測流入內部網絡的所有信息和流出內部網絡的而所有信息。防火墻，不僅有效的屏蔽了需要屏蔽的信息，“阻止”了該阻止的信息，同時也能夠允許信息的流通。防火墻的隔離設備，是一組能夠提供網絡安全的硬件、軟件系統。

2.4 從規章制度上來完善網絡信息安全

醫院必須正確認識并認真對待醫院信息管理系統網絡安全問題。采用上述技術措施保障網絡安全，還不夠完整。因此，醫院應在內部構建完整的網絡安全管理規章制度。網絡安全管理策略具體包括應急措施和數據質量分析評價制度、管理人員登記制度、管理員網絡操作使用規程、網絡技術管理規則和人員培訓制度等。

3 結束語

醫院醫療業務的正常開展，有賴于正常運行的信息系統，而醫院信息系統安全管理工作也是一項長期、艱苦的工作。為此，醫院網絡管理人員應認真學習、細心搜集，不斷更新知識、累計經驗，全方位、多角度的考察網絡安全漏洞，力爭準確把控乃至消滅各種網絡不安全因素，確保醫院信息系統的安全、健康、持續運行。

參考文獻

[1]王強.醫院網絡安全現狀研究[J].醫學信息（中旬刊），2010（05）.

[2]張震江.醫院網絡安全現狀分析及研究[J].計算機系統應用，2006（07）.

[3]姚征.醫院網絡建設的一些誤區分析[J].科技資訊，2007（29）.

篇9

【關鍵詞】員工安全等級；粗糙集理論；人工神經網絡

1.引言

電力行業是國民經濟的基礎產業，它直接關系到經濟發展和社會穩定。然而，電力企業員工在生產過程中，由于知識、能力與經驗的不足或者心理因素等原因，為了追求某些利益，從而導致人身事故、電網事故、設備事故和火災事故等人因事故[1]。據統計60%-70%電力生產事故是由人的失誤造成的，所以減少人因失誤是有效控制電力生產事故發生的關鍵[2-3]。

目前專門針對電力企業生產中人因失誤的研究成果還不是很豐富，對電力企業生產中人的不安全行只分析了其對電力系統的影響，提出了防范不安全行為的措施，并沒有對不安全行為的嚴重程度進行劃分。另外，一些地區已經開始著手進行了員工等級的鑒定工作，但標準和方法不一致且過于簡單造成了結果的不具有可比性，并且存在著評價周期長、缺乏準確性等諸多弊端。所以，需要構建統一的電力企業員工安全等級評價模型。

2.電力企業員工安全等級評價模型的設計

電力企業中現行的管理經驗和方法缺乏系統性和前瞻性，管理還比較粗放，特別是員工的習慣性違章仍屢禁不止，為了從根本上提高電力企業員工的安全意識，減少人因事故的發生，本文在充分研究電企中人因失誤問題的基礎上，基于粗糙集與BP神經網絡設計了電力企業員工安全等級評價模型，模型框架如圖1所示。

評價前，首先要確定寬泛的評價屬性集，然后收集數據，界定屬性值語義，并對每個屬性界定屬性值，最后構建出屬性約簡決策表。構建員工屬性決策表是進行員工安全等級評價的首要問題，決策表是一類特殊而重要的知識表達系統，多數決策問題都可以用決策表形式來表達。

評價中，將粗糙集作為人工神經網絡的前置系統，以減少神經網絡的復雜性。

評價后，為了進一步檢驗評價模型的性能，評價結束后要對評價結果進行仿真分析。利用相關函數對網絡進行仿真，并計算輸出結果和目標輸出之間的誤差，從而作為網絡訓練結果優劣的判別依據。

3.評價核心要素的提取方法

在評價過程中，為了解決人工神經網絡當輸入的信息空間維數較大時，網絡結構復雜和訓練時間長的問題，所以在這里使用粗糙集作為神經網絡的前置系統[4]。

3.2 屬性約簡算法

粗糙集的屬性約簡就是指在保持原始決策表條件屬性和決策屬性之間的依賴關系不發生變化的前提下刪除冗余的屬性和屬性值[5]。粗糙集的屬性約簡算法有很多種，本文使用的是基于區分矩陣的約簡算法。算法具體如下：

(1)計算區分矩陣，將區分矩陣的核賦給約簡后的集合；

(2)找出不含和指標的指標組合；

(3)將不包含和指標的指標集表示為合取范式；

(4)將合取范式轉換為析取范式的形式；

(5)根據需要選擇合理的指標組合。

4.BP神經網絡的實現

6.結論

筆者在綜合分析國內外相關研究基礎上，提出了電力企業員工安全等級的概念，并基于粗糙集與人工神經網絡設計了電力企業生產中員工安全等級評價模型，模型將粗糙集作為神經網絡的前置系統，用以縮減神經網絡學習時的訓練樣本，可達到簡化神經網絡結構、提高評價模型工作效率的目的，同時BP神經網絡能夠有效減少噪聲對粗糙集評價過程的影響。最后，通過實例對模型進行應用，仿真結果說明，該網絡能夠較好地對電力企業員工安全等級進行評估。

參考文獻

[1]袁周.電力生產事故人因分析與預防簡明問答[M].北京:中國電力出版社,2007.

[2]馬京源,李哲,何宏明,鐘定珠.電氣誤操作事故人因因素分析與控制[J].中國電力,2010(5):72-76.

[3]林杰.安全行為科學理論在電力生產中的應用研究[D].貴州:貴州大學碩士論文,2006.

篇10

中圖分類號：TN711 文獻標識碼：A文章編號：41-1413（2012）01-0000-01

摘 要：網絡帶給人們的便利之一就是信息資源共享，然而，與之俱來的是來自各方的網絡安全問題。網絡安全預警系統針對大規模的網絡進行預警，但傳統的系統存在對未知的攻擊缺乏有效的檢測方法、對安全問題的檢測通常處于被動階段.本文主要介紹NAT技術的特點及網絡安全預警系統中穿越防火墻/NAT技術的實現方法，使網絡信息傳遞更安全、更快速、更準確。

關鍵詞：網絡安全預警NAT防火墻/NAT的穿越

0 網絡安全預警系統

0.1 功能及體系結構

網絡安全預警系統主要具有評估不同攻擊者造成的信息戰威脅、提供信息戰攻擊的指示和報警、預測攻擊者的行為路徑等功能。

目前的網絡安全預警系統通常采用多層式結構，以入侵檢測系統作為中心，對受保護的網絡進行安全預警。該類系統通常由嗅探器模塊、安全管理中心、遠程管理系統服務器、遠程終端管理器組成。嗅探器模塊按一定策略檢測網絡流量，對非法的流量進行記錄以便審計，并按照安全策略進行響應；安全管理中心管理嗅探器運行，并生成及加載嗅探器需要的安全策略，接受嗅探器的檢測信息，生成審計結果；遠程管理系統服務器負責監聽控制信息，接收控制信息傳遞給安全管理中心，為實現遠程管理實現條件；遠程終端管理器為用戶提供遠程管理界面。

0.2 局限性

但是隨著目前網絡安全形勢的日漸嚴峻，傳統的網絡安全預警系統逐漸顯示出以下幾方面的不足：

(1)目前的網絡安全預警系統主要以入侵檢測系統的檢測結果作為預警信息的主要來源。由于入侵檢測系統檢測的被動性，使得預警自身就存在被動性，無法積極對受保護的網絡實施預警。另外對于所保護系統產生威脅的根源―受保護系統自身的漏洞重視不夠，從而當面對新的攻擊時往往束手無策，處于極度被動的局面。

(2)新的攻擊手段層出不窮，而作為中心的入侵檢測系統在新的攻擊面前顯得力不從心。雖然目前也出現了一些啟發式的檢測方法，但是由于誤報率或者漏報率比較高，在實際使用時也不太理想。

(3)預警信息傳送的時效性。目前令人可喜的是用戶己經注意到了安全問題，所以采用了一些安全部件如防火墻、入侵檢測系統等對網絡進行保護，但是同時也為預警信息的傳送帶了問題，即如何穿越防火墻/NAT進行信息的實時、有效傳送就是一個關鍵的問題。

(4)傳統的網絡預警系統中著重在預警，相應的響應很少或者沒有。

1 NAT技術

1.1 概念

NAT，即Networ Address Translation，可譯為網絡地址轉換或網絡地址翻譯。它是一個IETF標準，允許一個機構以一個地址出現在Internet上。NAT將每個局域網節點的地址轉換成一個IP地址，反之亦然。它也可以應用到防火墻技術里，把個別IP地址隱藏起來不被外界發現，使外界無法直接訪問內部網絡設備。同時，它還幫助網絡可以超越地址的限制，合理地安排網絡中的公有Internet地址和私有IP地址的使用。

1.2 分類

1.2.1 靜態NAT（Static NAT）

即靜態轉換靜態轉換是指將內部網絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。私有地址和公有地址的對應關系由管理員手工指定。借助于靜態轉換，可以實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問，并使該設備在外部用戶看來變得“不透明”。

1.2.2 動態地址NAT（Pooled NAT）

即動態轉換動態轉換是指將內部網絡的私有IP地址轉換為公用IP地址時，IP地址對并不是一一對應的，而是隨機的。所有被管理員授權訪問外網的私有IP地址可隨機轉換為任何指定的公有IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態轉換。每個地址的租用時間都有限制。這樣，當ISP提供的合法IP地址略少于網絡內部的計算機數量時，可以采用動態轉換的方式。

1.2.3 網絡地址端口轉換NAPT（Port－Level NAT）

即端口多路復用通過使用端口多路復用，可以達到一個公網地址對應多個私有地址的一對多轉換。在這種工作方式下，內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，來自不同內部主機的流量用不同的隨機端口進行標示，從而可以最大限度地節約IP地址資源。同時，又可隱藏網絡內部的所有主機，有效避免來自Internet的攻擊。因此，目前網絡中應用最多的就是端口多路復用方式。

1.3 常用穿越技術

由于NAT的種類不同，所以具體對于NAT的穿越技術也有所不同。目前比較典型的穿越技術是協議隧道傳輸和反彈木馬穿透。前者，采用直接從外網往內網連接的方式，利用防火墻通常允許通過的協議（如HTTP協議），將數據包按協議進行封裝，從而實現從外網向內網進行數據傳輸，但是如果數據在通過防火墻時經過了NAT轉換，就會失效；后者是采用由內向外的連接方式，通常防火墻會允許由內向外的連接通過，但是沒有真正解決防火墻的穿越問題，無法解決對于由外向內的對實時性要求較高的數據傳輸，并且對于應用型防火墻，穿越時也比較困難。

2 網絡安全預警系統中防火墻/NAT的穿越

2.1 應用型防火墻檢測及信息注冊模塊

本模塊主要用于驗證發送方和接收方的報文是否能通過自身所在網絡的防火墻，尤其是穿越應用服務器的注冊相關信息，并獲取必要的信息。

當發送方或接收方存在應用型防火墻時，可由發送方或接收方連接服務器，從而建立映射關系。由于發送方或接收方采用TCP連接方式連接服務器，所以映射關系可以一直保持。所以當服務器與主機連接時只需要知道相應的服務器地址、端口即可，而這些信息又可以從全局預警中心的注冊信息中獲得，從而解決了穿越應用型防火墻的問題。

2.2 陣雨NAT及包過濾、狀態檢測型防火墻檢測模塊

本模塊主要用于檢測接收方所在網絡是否存在NAT以及是否存在類型為包過濾和狀態檢測類型的防火墻。在NAT檢測報文中包含接收方的IP地址和端口，當到達發送方或者全局預警中心時，通過檢查NAT檢測報文的來源IP及端口，再比較報文中的IP地址和端口，若相同，則未經過NAT，否則經過了NAT。單從訪問控制來說，包過濾和狀態檢測類型的防火墻可能會阻止由外網到內網的連接，但是，它不會改變連接的目的地址以及端口，所以通過向指定測試端口發送連接請求可看出是否有此類型的防火墻阻隔。

2.3 NAT映射維持模塊

本模塊主要根據NAT及包過濾、狀態檢測型防火墻檢測模塊的檢測結果，反映出不同的映射維持。

當接收方所在網絡存在NAT時，經過映射維持，使得在接收方所在網絡的NAT處始終保持了一條接收方外網地址與內網地址的映射關系，從而使得發送方只要根據接收方的外網地址和端口即可與接收方直接通信，從而解決了外網與內網直接通信的問題。

當接收方所在的網絡不存在NAT，但存在狀態檢測、包過濾類型的防火墻時，由于不斷發送的NAT維持報文的存在，相應地在防火墻處開放了相應的端口，使得發送方可以從外到內通過此端口進行信息傳送。

2.4 信息傳送模塊

防火墻的問題。對于一般類型的包過濾、狀態檢測防火墻，因為通信內容已封裝成HTTPS協議的格式，所以對于從防火墻內部向外部的連接可穿越此類型的防火墻。對于從防火墻外部到內部的連接， NAT映射維持模塊中NAT映射報文的存在也巧妙的解決了信息傳送的問題。

3 結束語

本文采用HTTPS封裝實際傳輸數據，可以使得數據安全傳送，保證了信息可以穿越防火墻/NAT進行。但也存在著增加硬件額外開銷、NAT映射相對維持報文較頻繁等缺點，這些有待在進一步的研究中予以解決。

參考文獻：

[1]肖楓濤.網絡安全主動預警系統關鍵技術研究與實現 [D].長沙:國防科學技術大學.2009.

[2]張險峰等.網絡安全分布式預警體系結構研究[J].計算機應用.2011.05.