云計算網絡安全培訓范文

導語：如何才能寫好一篇云計算網絡安全培訓，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關鍵詞：計算機;網絡;安全;結構;技術;完善

0 引言

網絡安全技術指致力于解決諸如如何有效進行介入控制以及如何保證數據傳輸的安全性的技術手段，在網絡技術高速發展的今天，它關系到小至個人的利益，大至國家的安全。對網絡安全技術的研究意義重大，對網絡安全技術的研究就是為了盡最大的努力為個人、國家創造一個良好的網絡環境，讓網絡安全技術更好地為廣大用戶服務。

1 計算機網絡安全體系結構

計算機網絡安全體系結構是由硬件網絡、通信軟件、防毒殺毒、防火墻以及操作系統構成的，對于一個系統而言，首先要以硬件電路等物理設備為載體，然后才能運行載體上的功能程序。對于小范圍的無線局域網而言，最簡單的防護方式是對無線路由器設置相應的指令來防止非法用戶的入侵，目前廣泛采用WPA2加密協議實現協議加密，通常可以將驅動程序看作為操作系統的一部分，經過注冊表注冊后，相應的網絡通信驅動接口才能被通信應用程序調用。

2 計算機網絡安全技術研究

2.1 安裝防病毒軟件和防火墻 在計算機主機上安裝可靠性高的防病毒軟件和防火墻，及時對主機的各個存儲空間進行安全保護，定時掃描、修補可能出現的技術漏洞，做到及時發現異常，及時處理;防火墻是通過軟、硬件組合，對企業內部網和外部網起到過濾網關的作用，從而嚴格控制外網用戶的非法訪問，并只打開允許的服務，防止外部網絡拓展服務的攻擊。

2.2 安裝入侵檢測系統和網絡誘騙系統 計算機安全防御體系是否完整有效的主要衡量因素為入侵檢測能力的高低，入侵檢測系統由軟件和硬件組成;網絡誘騙系統是通過構建虛假的計算機網絡系統，誘騙入侵者對其進行攻擊，從而起到保護實際網絡系統的目的。

2.3 使用數據加密技術提高系統安全性 傳統的信息加密技術和新興的信息隱藏技術可為計算機信息的存儲及傳輸提供安全保障，用戶在進行絕密或重要信息的傳輸過程中，不僅要做好信息本身的加密，還可以利用隱藏技術對信息發送者、接收者及信息本身進行隱藏。常用的隱藏技術有隱藏術、數字嵌入、數據隱藏、數字水印和指紋技術。

2.4 做好重要信息的備份工作 計算機信息存儲工作要遵循多備份和及時更新的工作原則，數據信息可根據其重要性或數據量進行不同方式的存儲：對于不需修改的重要數據可直接刻錄光盤存儲;需要修改的數據可存儲在U盤或移動硬盤中;不重要的數據可存儲在本地計算機或局域服務器中;較小數據可存儲在郵箱中。

2.5 使用安全路由器 安全路由器的使用可將內部網絡及外部網絡進行安全隔離，互聯，通過阻塞信息及不法地址的傳輸，保護企業內部信息及網絡的安全性。安全路由器是對其芯片進行密碼算法和加/解密技術，通過在路由器主板增加安全加密模件來實現路由器信息和IP包的加密、身份鑒別和數據完整性驗證、分布式密鑰管理等功能。

2.6 重視網絡信息安全人才的培養 加強計算機網絡人員的安全培訓，使網絡人員熟練通過計算機網絡實施正確有效的安全管理，保證計算機網絡信息安全。一方面要注意管理人員及操作人員的安全培訓，在培訓過程中提高專業能力、安全保密觀念、責任心;對內部人員更要加強人事管理，定期組織思想教育和安全業務培訓，不斷提高網絡人員的思想素質、技術素質和職業道德。

3 云計算安全技術的應用

云計算通過集中所需要計算的個體資源，通過需求而獲得企業所需要的資源，并且通過自動化管理與運行，從而將計算的需求傳達給網絡，使網絡能夠處理企業所需要的計算服務。云計算開創了一種資源共享的新模式，能夠改變當前用戶使用計算機的習慣，通過網絡計算，能夠大大節省企業所需要的空間以及實踐，從而節約企業運行成本，提升企業的工作效率。因此在云計算的過程中，必須考慮到信息安全的問題，避免商業機密泄露，給企業帶來重大的損失。

3.1 云計算的應用安全技術性分析 云計算應用安全性需要終端用戶及云服務商雙方共同采取保護措施。一方面，云計算的終端用戶應保證本人或本企業計算機的安全，利用安全軟件降低計算機被不法分子進行技術攻擊的可能。如反惡意軟件、防病毒、個人防火墻以及IPS類型的軟件等，可保護用戶瀏覽器免受攻擊，并能定期完成瀏覽器打補丁和更新工作，以保護云用戶數據信息的安全性。另一方面，用戶可使用客戶端設備訪問各種應用，但不能對云平臺基礎設備進行管理或者控制，因此，選擇云平臺供應商就顯得十分重要。評價供應商主要原則為依據保密協議，要求供應商提供有關安全實踐的信息，如設計、架構、開發、黑盒與白盒應用程序安全測試和管理。

3.2 數據安全技術性分析 云計算服務模式包括軟件即服務（SaaS）、平臺即服務（PaaS）和基礎設施即服務（laaS）三種，這三種服務模式面臨的主要問題是避免數據的丟失或被竊，因此，應在數據傳輸、隔離及殘留方面進行安全保護。

首先，在使用公共云時，傳輸數據應采取加密算法和傳輸協議，以保證數據的安全性和完整性。其次，云計算供應商為實現服務的可擴展性、提高數據計算效率及管理等優勢。在安全技術未發展至可給任意數據進行安全加密的階段下，可采取的措施就是將重要或者敏感的數據與其他數據進行隔離，保障數據信息的安全性。最后，數據殘留是數據安全遭受威脅的另一因素，云計算環境下，數據殘留會無意泄露敏感信息，因此需要服務供應商能提供將用戶信息進行徹底清除的保障。

4 結語

綜上所述，加強計算機網絡安全就需要從多方面建立立體的計算機網絡安全結構體系提高對網絡風險的控制和預防，全面保障計算機網絡安全。

參考文獻：

篇2

［關鍵詞］網絡安全；信息化；數據信息

1企業信息化建設集成的重要性

首先，在企業管理上具有重要現實意義。在企業的經營和發展過程中經營的業務越來越多，區域越來越廣泛，導致企業管理任務越來越復雜和多樣，企業內部的組織結構和流程控制體系越來越完善，這都是因為信息化建設集成發揮了重要作用，其還促進管理服務和觀念朝著信息化的方向發展。其次，企業信息化建設符合時展的潮流。如果想讓集成化效率達到最高水平，就需要對傳統的管理模式進行創新和發展，避免在集成化效率提高的同時帶來一些嚴重的問題和風險，例如：現場安全管理和對管理人員的裁減等，企業必須在網絡信息技術和計算機技術發展飛速的今天，對內部管理體系進行創新和改革，挖掘各組織和員工內在潛能和上升空間，在激烈的市場競爭中提升企業自身的活力與優勢，從而將企業的經濟收益上升到最高峰。第三，信息化建設集成具有自身獨特的優勢。大型公司集團會運用最新的互聯網數據和先進的計算機技術創建一個管理信息平臺，通過這個平臺將在生產和管理方面的數據信息進行共享和聯動，利用相關軟件和系統將公司管理朝著集成化、信息化方向發展，有效地為公司的管理層提供決策理論支持，避免公司集團內部組織結構和人員冗雜，有效提高運營各環節的工作效率，以提供高質量、高效的服務。

2企業信息化建設集成中存在的網絡安全問題

在利用現代網絡信息平臺對企業相關數據進行優化整合時，網絡安全方面還存在一定的問題，企業相關信息和資料很容易受到網絡攻擊，系統很容易被黑客入侵，導致數據和信息被竊取或者丟失，這些問題都不利于企業的現代信息化建設集成和正常的運營發展。從外部環境來看，日益競爭的市場環境是造成網絡安全管理的大環境因素，隨著時代快速的發展和科學技術的進步，一些不法分子會利用黑客技術和網絡病毒竊取企業內部的數據資料，并通過出售來牟取巨額利潤，這種情況若得不到有效控制和整改，會導致企業網絡安全環境日益惡化。其次，從企業的內部因素出發，企業信息化建設集成出現網絡安全問題是因為企業自身沒具備成熟的網絡信息安全理念，沒有采取相關的措施保證自身的網絡信息安全，所以企業相關意識的缺乏使黑客有機可乘，他們簡單操作就能獲得企業內部的數據信息。總之，缺乏一定的網絡信息防護手段和對員工的網絡信息安全培訓，會導致企業在信息化建設集成中受到更大的網絡信息安全威脅。

3保障企業信息化建設集成中網絡安全的措施

3.1創建企業信息安全標準

針對企業信息化建設集成中可能會出現的病毒入侵、非法訪問和信息竊取等問題，筆者提出了一些加強網絡安全的措施。首先，要建設一個信息化安全相關標準。當企業應用現代計算機網絡技術，尤其是計算機集成制造系統時，要創建一個高效、高質量的企業信息化機制和信息安全標準，保證所有信息工作都具備標準流程，例如：我國現已存在的信息安全管理度量機制和測量措施，能夠促使企業在運用網絡信息平臺時，提高自身的信息管理水平，從而保證企業在日常運用中能夠順利、安全地開展相關信息交流和信息傳遞工作。

3.2運用先進的網絡安全技術

要引入現代網絡安全技術，包括防火墻技術、入侵檢測技術信息加密技術、訪問控制技術等。防火墻技術是指將計算機與外部建立一道隔墻，防火墻技術包括網絡級防火墻與應用級防火墻兩種，網絡級能夠有效防止網絡中的非法入侵，應用級防火墻技術是全方位地防護相關應用程序，使用起來比較簡單還能夠有效防止病毒入侵和非法訪問。兩者的防護能力與防護范圍不同，因此在使用過程中需要將兩者融合發揮作用，在動態防護、屏蔽路由和包過濾的基礎上，更好地發揮防火墻防護技術。入侵檢測技術是一種辨別網絡系統的使用是否是惡意行為的技術，其在動態中對網絡進行相關檢測，及時發現非法訪問行為和未授權的活動并反映給計算機用戶，將軟件與硬件融合起來共同對數據進行分析和作用，在瑣碎和繁雜的數據處理方面不再需要人工操作，減少人力和資源的浪費和管理成本。但從整體來看，效果不如防火墻技術，也不能夠完全代替防火墻技術。信息加密技術包括對稱加密與非對成加密兩種，且隨著時代的發展不斷優化升級。該技術主要是為了避免數據被非法竊取，對相關重要的信息資料進行加密處理，降低數據資料丟失和泄露的概率，從而在數據傳遞和資料存儲中保證數據資料的完整性和安全性。訪問控制技術是指通過檢測訪問者的信息在網絡中保證網絡資源的安全，包括高層和底層訪問控制兩種訪問模式，前者是檢測資源種類、用戶權限和用戶口令，后者是指通過通信協議中的信息判斷訪問者是否合法，并作出相關反應。

3.3提高企業網絡安全管理水平

現代化企業集團在發展信息化建設集成過程中還存在很多網絡安全隱患，但是傳統管理模式已經明顯不適用于目前的發展情況，網絡安全受到了更大的威脅，造成的經濟損失也較多，所以必須提高企業的網絡安全管理水平。首先，要提高企業網絡信息化系統管理水平和管理效率，要讓企業內部包括員工和管理層都建立起網絡安全管理的觀念，創建一個成熟、完善的網絡安全管理平臺，樹立現代化的網絡安全管理意識，從而能夠及時解決企業運營和發展過程中存在的問題，將企業發展中重要的資料信息利用網絡技術實行集中性存儲。另外，要對所有員工進行網絡安全培訓和再教育，提高員工的綜合素質水平，以規范員工對信息化系統的具體操作，將企業重要數據信息進行加密處理和備份處理，企業要營造一個安全、穩定的網絡安全環境，防止網絡病毒和黑客的入侵。其次，企業要使用有效、實用的安全防護軟件，例如，目前市場上的金山毒霸、360殺毒軟件都得到了廣泛運用，企業要根據自身具體情況選擇一個有效的防護軟件抵制外部非法入侵，設置好相關的安全管理權限，創建一個完善、嚴密、分層的安全管理權限體系，在用戶登錄和用戶訪問環節都要設置權限和密碼，從而保證企業的信息安全。最后，要對企業信息化建設集成中的防火墻系統和訪問控制模式進行完善的配置，安排一個較為專業的訪問控制模式，避免網絡環境中出現各種意外或者病毒入侵的情況，保證企業內部局域網絡信息的安全，選擇信息隱藏模式提高網絡信息安全性。這種信息隱藏模式一般是運用高效的編碼將數據修改方法嵌入，包括擴頻嵌入和矩陣編碼，將編碼過程變得更加專業和復雜，網絡黑客一般破譯不了，有利于企業抵御網絡黑客入侵和系統漏洞，保證企業信息化建設集成的健康發展，提高企業的經濟收益。

4運用虛擬化的云計算平臺創建相關安全機制

在運用虛擬化的云計算平臺時，要具備更加安全和穩定的機制和系統，如行為約束機制、CHAOS系統和Shepherd系統，及時監控計算機中的相關進程、避免用戶錯誤操作，防止非法進程對云計算平臺的破壞，將異常進程進行數據安全隔離，從而保證企業信息化建設集成中的網絡安全。

主要參考文獻

［1］王然.企業信息化建設集成與網絡安全措施探究［J］.數字技術與應用,2017(1).

篇3

計算機網絡技術已經逐漸發展成為廣泛應用于人們日常生產生活的重要技術，而在實際的使用過程中，卻難免要遇到安全隱患，例如黑客的入侵、安全漏洞和病毒傳播等。在計算機網絡安全的評價體系中，神經網絡的應用以其能夠形成非線性自適應動態系統的特點，迅速適應網絡環境，進而實現對信息的運算、識別和控制功能，提高了計算機的工作效率和安全性。

2計算機網絡安全的概念

計算機的網絡安全，主要指的是針對網絡信息瀏覽和操作等過程中的安全管理，以達到提高網絡信息保密性、安全性的目的，維護使用者的合法權益，最終實現整個網絡的順利運行。我國當前的計算機網絡安全問題通常涉及到信息安全、計算機網絡技術等多個方面，而伴隨計算機網絡的日益普及，其網絡信息的安全問題更加為人們所重視。例如，對于企業而言，其日常經營活動中往往會運用到計算機網絡，因此要求網絡必須具備核心技術，對企業信息實施保護和保密，維護重要內部信息的安全性，從而維護企業利益。即便是個人在使用計算機網絡時，也同樣需要網絡對個人信息實施控制與保護，防止泄漏或被不法分子盜取，損害人民的權益和實際利益。

3神經網絡概述

3.1概念

所謂神經網絡，其模型建立的基礎，是人體腦部的信息處理模式作為參考，然后運用數學模型，模擬生物的神經元、腦細胞結構，以及其生理特征，最終模擬獲得該神經網絡模型。此后，計算機專家則以此模型為基礎，添加入編制好的學習機制，然后將其應用到實際工程中，最終開發出了感知器神經網絡模型。該模型具備了聲納波的識別功能，可用于探測潛艇位置等實踐中。經過進一步的深入研究，相關研究人員在其中運用了映射拓撲性質，在計算機的基礎之上建立了映射自組織網絡模型;繼而通過分析研究生物自組織神經網絡，確定神經網絡模的實質，獲得一組微分非線性方程，然后將神經網絡應用于實際，最終形成了神經網絡的系統性科學研究，例如具有一定代表性的BP神經網絡。

3.2神經網絡的優越性

神經網絡建立的基礎是生物大腦結構和工作原理，因而屬于人工智能系統，該系統基于計算機網絡內部大量節點的關系分析，發揮出方面優越的應用性能，主要包括以下方面：

3.2.1自學功能

神經網絡系統能夠進行自我學習，通過自動識別正在輸入的信息，自行為操作者總結相關的規律，進而形成聯想的模式。其優勢即在于這種對于信息的識別能力，使系統能夠在之后的工作中，進行獨立自動運作，從而縮短操作人員的工作時間。現有計算機神經網絡系統，甚至能夠實現高于聯想模式的預測功能，應用于證券市場中，系統可以基于對當前股市證券、市場經濟和企業現狀的研究分析，預測其未來的效益，從而企業未來的良性發展，提供了有力的智能支持。

3.2.2優化系統

神經網絡同時還具備了自我優化的能力，可以自行提高計算機運轉能力，同時幫助操作用戶，針對某些問題提出解決方案。基于此，神經網絡系統被建議應用于計算機的網絡安全評價中，以發揮其自身的優越性能。

4計算機網絡安全評價中神經網絡的應用

4.1計算機網絡安全評價體系的構建

4.1.1構建神經網絡體系的必要性

基于神經網絡的計算機網絡安全評價保護是多元化的，由于其對于環境的適應力較強，因而能夠迅速適應周圍狀況，并對自身進行調整，以降低誤差。另外，神經網絡的自我訓練使其能夠在計算機網絡安全評價的體系中，實現自我總結和完善。此外，神經網絡還具備了良好的容錯性，對于一些不完整信息、噪聲等并不敏感，因而在網絡節點出現問題時，不會對神經網絡的整體保護產生影響。且神經網絡在進行自我訓練之后，能夠將正常的工作效率提升至常規的4～5倍。加上神經網絡對于結果的獲取高效快捷，因此更加便于使用，其各方面的設置也更加人性化。

4.1.2安全評價體系構成指標

計算機網絡安全的一級評價，其中的指標通常包括：管理安全、物理安全以及邏輯安全，具體如下：①管理安全評價指標時二級指標，分別為安全組織體系、安全管理制度、人員安全培訓以及應急響應機制;②物理安全評價指標為二級指標，包括防電磁泄漏措施、供電線路、網絡機房、容錯冗余以及設備安全;③邏輯安全評價指標同樣是二級指標，包括數據的備份、恢復，訪問的控制、軟件安全、防病毒措施、系統審計、數字簽名、數據加密以及入侵防范。

4.2實現評價指標的標準化

不同的評價指標集，對于影響因素的描述也存在差異，因此需要在實施定量、定性評價時有所側重。此外，應當合理運用科學的方法，對計算機的網絡安全情況作出反應，因而一定程度上影響了指標的客觀對比。因此，必須保持客觀的態度，對評價指標的取值規則進行調整，以實現指標的標準化。在定量指標評價時，相關工作人員應當結合計算機網絡系統的實際運行狀況，對其進行客觀評價與取值，進行科學的分析。此外，對于不同的評價指標，應當使用不同的衡量單位，有所側重地進行標準化處理，將取值固定到一定范圍內，通常在0～1之間。而為了實現定性指標評價，則通常會采用打分的方式來客觀評價計算機的網絡系統機型，定性指標評價標準化。

4.3基于神經網絡的計算機網絡安全評價構建

4.3.1服務器維護機制規范化構建

構建計算機網絡安全評價體系，其首要的任務和硬件維護的關鍵，即在于服務器維護。在構建服務器維護機制規范化的過程中，應當注意避免不當服務器所可能造成的傷害，要求操作人員時刻警醒，保證及時清除網卡冗余，調整服務器的荷載，以維持服務器的平衡與穩定。

4.3.2云主機的建立

以神經網絡為基礎建立的計算機網絡安全評價體系，需要快速打造安全云主機，用以集成包括了云鎖服務安全軟件的所有安全防護體系，從而達到突破傳統服務器安防理念，實現對于用戶的實時安全服務效果。因此，構建過程中需要在云主機中使用很多快捷自動安裝軟件，如MYSQL、PHP、ASP等。這些軟件的共同點在于均適用于對網站數據庫的實時管控、對于站點信息的實時監控，以及對于計算機各種軟件溫度進行的調節，和WebShell病毒查殺功能。如今的計算機網絡安全系統已經首創了以C/S的神經網絡架構為基礎的應用體系，實現了計算機端和服務器之間的遠程訪問與控制功能，從而提升了計算機網絡對于木馬、病毒和惡意代碼、惡意攻擊等危害的防御能力，起到保護計算機服務器與網站安全的作用。

4.3.3安全管理和服務體系的建立

基于神經網絡建立起來的計算機網絡安全評價體系，其作用即在于在進行安全評價時，管理人員能夠提供與評價標準判定相對應的具體內容、實施范圍等信息，然后針對計算機安全狀況、信息技術的關鍵點，實施研究與分析，運用評價方法測算其安全等級。計算機網絡的安全級別評價，可以按照以下公式生成評價因子，基于神經網絡的計算機網絡安全評價級別公式如下：f=(x1，x2，x3……，xi……xm)式中：xi-計算機網絡安全評價中最主要的評價因子;f-計算機網絡安全評價模型主體。管理人員應當結合實際，為計算機系統選取正確的評價模型主體與安全等級，進而依據系統要求，對神經網絡安全管理體系采取必要的優化措施，以做到有備無患。

4.4建立并完善評價結果評語集

基于計算機網絡安全評價指標特征，可建立評價結果評語集，按照網絡安全等級差異，將該評語集劃分為四個集合：①第一等集合設置為“安全”;②第二等集合設置為“較為安全”;③第三等集合設置為“不安全”;④最后一個等集合則設置為“很不安全”。此外，還可以對這些集合附以說明，從而有效地位計算機使用者提供便捷的方式，來了解計算機網絡安全狀況，提供良。

5結語

神經網絡技術在計算機網絡安全評價中的應用，實現了評價體系的自動抽提功能，體現出了外推性、容錯性、適應性等優勢，滿足了計算機網絡的在線實用性要求，在有效提高計算機網絡評價客觀性、正確性的同時，為用戶提供了安全的使用環境，確保用戶能夠通過網絡獲得可靠、有效的數據信息。

參考文獻

[1]王強.基于神經網絡的計算機網絡故障診斷[J].信息與電腦：理論版，2015(10)：157~158.

篇4

【關鍵詞】 醫院管理信息系統 安全管理 防范措施

醫院管理信息系統是指醫院在日常運營管理中應用的信息管理、聯機操作的計算機應用系統，其幾乎包括了醫院內部所有的業務及活動項目，醫院管理信息系統是提高醫院信息化水平的重要手段。

一、醫院管理信息系統的不安全因素

具體而言，醫院管理信息系統的不安全因素包括以下幾個方面：首先，系統漏洞問題。醫療機構廣泛應用的網絡操作系統包括Windows、Unix、Linux等，無論哪種操作系統均不可避免的存在漏洞，如果操作系統更新不及時、漏洞修補機制不完善，就會為病毒的入侵提供可乘之機，導致計算機反復感染病毒，降低系統的安全性。其次，病毒入侵。病毒會對計算機系統軟件、文件、網絡資源等產生直接影響，局域網體現出復雜性的特點，是計算機病毒感染的高危地帶，嚴重者可能導致醫院局域網的癱瘓，直接影響到醫院的日常業務。再次，黑客攻擊。醫院局域網內存在大量的學術信息、患者的個人隱私信息等，因此成為網絡黑客的攻擊目標。黑客入侵也會導致醫院局域網受到嚴重影響，甚至數據庫中的數據信息都有可能遭到篡改，從而影響到醫院的信息管理。最后，網絡應用者安全意識薄弱。計算機信息技術的發展日新月異，網絡普及速度也越來越迅速，醫院的日常辦公網絡化建設日益完善，網絡端口、上網人數也越來越多，但是很多醫院內部都缺乏一套可操作性強的、完善的網絡安全管理制度，網絡操作人員安全意識薄弱，導致醫院內部網絡擴張速度遠遠大于網絡安全管理的普及度，為醫院管理信息系統埋下了安全隱患。

二、加強醫院管理信息系統安全管理的策略

2.1加強硬件管理

一方面要為計算機系統的運行提供良好的機房環境，比如機房溫度不超過25度、不低于20度，保持相對濕度在50%-65%；日常運行中要求無人員流動、無塵，安裝必要的避雷裝置及抗磁場干擾裝置等。機房要采用兩路供電系統，配有不間斷電源持續供電，以保證機房供電的穩定性及連續性，同樣要設置抗磁場干擾等裝置。

另一方面要加強網絡硬件設備的維護。網絡硬件設備主要包括路由器、交換機、集線器、光纖收發器等，要對上述設備的運行狀態進行實時監測，做好設備的除塵保養，檢查插頭是否有松動等，注意防水。

2.2合理應用網絡安全管理技術

醫院管理信息系統安全管理中常用的安全技術包括以下幾種：

首先，備份技術。所謂備份技術是指在最惡劣的情況下一旦醫院信息系統出問題，可以通過備份技術使數據庫在最短的時間內恢復運行，保證數據安全。備份技術需要硬件設備與軟件系統的配合應用，要根據醫院的實際情況制訂備份頻率、備份時間、恢復時間等備份策略，常用的備份策略包括三種，即只備份數據庫、備份數據庫及事務日志、增量備份等。

其次，冗余技術。冗余技術是指網絡在質量惡化的狀態下不會造成系統停機及數據庫丟失的保障性技術，冗余技術除了可應用于網絡技術中外，還可應用于電源、處理器及相關設備、模塊、鏈路、以太網等等。

再次，防火墻技術。防火墻主要設置于風險區域與內部網絡之間，對訪客進行管理，形成內部網與外部網之間的隔離保護層，可有效防止黑客入侵及破壞行為，保障系統安全。

最后，加密信息技術。加密技術包括對稱加密技術與非對稱加密技術兩種，其中對稱加密技術是指信息的加密與解密使用同一密鑰，通過加密工作的簡化實現了信息交換雙方無需使用專用的加密算法即可讀取信息；非對稱加密技術則是將密鑰分為公開密鑰與私有密鑰兩種，其中加密密鑰可作為公開密鑰公開，而解密密鑰則作為私有密鑰保存起來。

2.3增強系統操作人員的安全意識

要采取必要的措施降低人為因素導致的網絡故障率，針對技術人員的培訓主要包括安全技術、安全策略和風險防范等，操作安全培訓由信息科技術人員負責，使操作人員了解計算機管理的必要性和管理流程，對相關人員進行新業務模式和流程教育，對操作人員進行技術培訓，要求準確、熟練等。

三、結語

計算機信息技術的應用大大推動了醫院信息化發展的進程，但是網絡環境的復雜性增加了醫院管理信息系統的風險性及不確定性，因此日常工作中要結合醫院的實際情況，具體問題具體分析，通過技術、管理等各方面強化信息系統的網絡安全性，保證管理信息系統的可靠性及穩定性。

參 考 文 獻

[1] 王利輝 . 淺析新醫改背景下醫院信息系統建設 [J]. 企業改革與管理 .2014（24）：45.

篇5

關鍵詞：棱鏡門 去IOE 國產化替代 云安全

一、IT架構國產化成趨勢

（一）信息安全市場規模加速發展，市場發展空間較大

據統計，2014年全球信息安全市場規模總共達到670多億美元，全球的年復合增長率是8.7%，預計2016年，市場總規模將達到960億美元。

我國的信息安全建設起步較晚，意識形態在逐步提升，從行業分析的數據來看，國內信息安全市場規模的平均增幅達到17%，遠遠超過國外的增速。我們認為國內信息安全市場規模的增長速度還會提升，預期會達到20%左右。主要原因有以下兩點：一是中國的人口和企業基數多，信息化程度提升后帶來的邊際效應特別快，特別是移動互聯網的到來，中國的移動用戶終端數量達到5.5億，基礎的安全建設將隨之有較大比例的提升；二是目前互聯網建設過程中信息安全投資的比例低，據公開信息，2010年我國信息安全產業與軟件和信息服務業相比不足1.5%，遠低于國外的安全投入比例。

（二）棱鏡門是信息安全可控的助推器

從國家層面來看，十八屆三中全會公報指出將設立國家安全委員會，完善國家安全體制和國家安全戰略，確保國家安全。2014年2月27日，中央網絡安全和信息化領導小組召開第一次會議。指出，網絡安全和信息化對一個國家很多領域都是非常重要，要認清面臨的形勢和任務，充分認識做好工作的緊迫性和重要性，因勢而謀，順勢而為。網絡安全和信息化是一體兩翼、雙輪驅動，必須統一部署、統一謀劃、統一推進、統一實施。做好網絡信息化安全工作，要處理好安全和發展的關系，做到協調一致、齊頭并進，以安全保發展、以發展促安全，努力建久安之勢、成長治之業。

棱鏡門事件的爆發，使人們發現美國國家安全局可以接觸到大量個人聊天日志、存儲的數據、語音通信、文件傳輸、個人社交網絡數據。最重要的是通過對本國公司的合作，達到監控他國政府的目的，另外這個名為“棱鏡”的項目還可以使情報人員通過“后門”進入9家主要科技公司的服務器，包括微軟、雅虎、谷歌、Facebook、PalTalk、美國在線、Skype、YouTube、蘋果。

當代社會已經進入數字社會，互聯網開始連接一切，構成互聯網時代的基礎則是各種通信設備和系統應用軟件，信息安全是國家安全的重中之重，保障互聯網安全，保障IT信息產業安全將是重頭戲。在互聯網的時代，IT產業國產化的進程不可逆轉。

（三）國家意志下，IT架構國產化的必然性

雖然要求“去IOE”的呼聲在國內喊了很久，此前實際上并沒有實質進展。但2014年9月銀監會的39號文，讓“去IOE”真正落實成“白紙黑字”的文件。

根據39號文件要求，從2015年起，各銀行業金融機構對安全可控信息技術的應用以不低于15%的比例逐年增加，直至2019年達到不低于75%的總體占比。2015年起，銀行業金融機構應安排不低于5%的年度信息化預算，專門用于支持本機構圍繞安全可控信息系統開展前瞻性、創新性和規劃性研究，支持本機構掌握信息化核心知識和技能。同時，銀監會還要求，2015年銀行業至少完成一個信息系統的遷移，至少實現一個數據級災備系統主要部件采用國產設備或軟件，并明確表示不建議再采購大型機設備。

在2015年的銀行采購中，某行已經要求采購國產IT產品，最新采購的服務器主要來自聯想集團、浪潮信息等國內知名IT企業。

二、云安全成為新的熱點

（一）云計算的發展推動行業新一輪成長

據Gartner公司統計，2014年全球云計算市場總規模已達1500億美金，而整個全球IT投入是3.6億美金，云計算占其中不足4%的份額。據Gartner公司日前的調查結果顯示，2013年全球公共云市場規模將從2012年的1110億美元增至1310億美元，私有云服務及混合云服務發展勢頭也十分迅猛。工信部云計算研究中心主任楊東日日前也透露，包括中國電信、中國聯通、中國移動在內蒙古的云計算投入將達到200億元。微軟亞太研發集團主席張亞勤曾預測，云計算未來幾年在全球范圍可創造1300萬份工作機會，未來五年年化符合增速將達到30%。

隨著越來越多的企業部署SaaS和BYOD，Gartner預計企業云安全服務的接受度和依賴性將逐漸增加，而未來幾年云安全市場將進入高速發展期。近日，Gartner報告“2014年全球云安全服務市場趨勢”預測：隨著越來越多的企業，尤其是中小企業采用云安全服務，云安全服務市場，包括安全郵件/web網關、身份和訪問管理IAM、遠程漏洞評估、安全信息和事件管理將迎來高速發展時期，2017年該市場規模將高達41.3億美元。

（二）國外云安全趨勢的最新動態

2014年8月，IBM收購了云安全服務提供商Lighthouse Security Group，是繼7月下旬收購意大利云安全廠商CrossIdeas后，再次進行的另一安全業務并購。該收購顯示IBM在身份和訪問管理安全服務領域將持續發力。

（三）國內企業逐漸布局云安全

啟明星辰緊跟云計算、虛擬化和SDN技術發展，結合公司在信息安全領域深厚的技術、產品、經驗積累，推出了“啟明星辰智慧流安全平臺”，深入詮釋和實踐了公司SDS（Software Defined Security，軟件定義安全）的理念，實現了安全按需使用、安全個性化編排、安全資源高彈性、切實抵御未知威脅等功能，助力SDN網絡及云數據中心安全。目前，“啟明星辰智慧流安全平臺”已經成功完成了與華為SDN網絡的聯合對接測試，并于“2015華為網絡大會”上。

三、信息安全行業發展的海外映射

（一）國外信息安全行業發展歷程

近年來，全球網絡威脅持續增長，各類網絡攻擊和網絡犯罪現象日益突出，并呈現出：攻擊工具專業化、目的趨于商業化、行為趨于組織化、手段趨于多樣化等特點。許多漏洞和攻擊工具被網絡犯罪組織商品化，使網絡威脅的范圍加速擴散。隨著網絡犯罪背后的黑色產業鏈獲利能力的大幅提高，互聯網的無國界性使得網絡威脅對全球各國用戶造成的損失隨著范圍的擴散而迅速增長。

國外信息安全領域龍頭企業逐漸從內生性成長向外延并購擴張。

（二）美國信息安全龍頭的成長之路

賽門鐵克營業收入從1989年上市的7400萬美元增長到2010年的61.9億美元，凈利潤從800萬美元增長到6億美元，是全球收入規模最大的信息安全產商。

賽門鐵克向全球的企業及服務供應商提供包括：入侵檢測、互聯網內容及電子郵件過濾、病毒防護、防火墻、VPN、風險管理、遠程管理技術及安全服務等。公司旗下的諾頓品牌是個人安全產品全球零售市場的領導者。

安全需求從單一產品逐漸轉向信息安全整體解決方案及服務；信息安全發展迅速，新需求層出不窮；通過收購來擴充自己的產品線和贏得客戶。從2000年2月到2006年2月，其收購了不下25家公司。而其也在收購之路上屢試不爽，成功率頗高。

（三）信息安全國產化替代百億空間

由于信息安全在互聯網時代的重要性，我國政府采購信息安全產品有著很高的要求，都要求采購“自主可控的國產安全產品”，具有完全自主創新特點的安全產品成為我國國家戰略部門采購時的首選產品，在政策上也受到政府的大力鼓勵。我國國家保密局、公安部、國務院信息化工作辦公室聯合制定《信息安全等級保護管理辦法》指出，我國第三級以上信息系統選擇使用的安全產品，其產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內具有獨立的法人資格。同時要求，產品的核心技術、關鍵部件具有我國自主知識產權。

截至2014年底，國內信息安全市場規模110億，信息安全占IT支出比例為1%，而歐美是8%-12%；政府、軍隊將被劃入第三級以上的信息安全等級保護，如果未來信息安全支出可以達到企業級IT支出比例的2%-3%，則每年將會有80-120億的市場。

四、信息安全產業的發展趨勢展望

隨著信息技術的快速發展和廣泛應用，基礎信息網絡和重要信息系統安全、信息資源安全以及個人信息安全等問題與日俱增，應用安全日益受到關注，主動防御技術成為信息安全技術發展的重點，信息安全產品與服務演化為多技術、多產品、多功能的融合。作為信息安全領域的領軍品牌，清華同方電腦總工程師劉峰認為目前信息安全產業呈現兩大新趨勢，將引領信息安全產業的發展。

篇6

關鍵詞：公鑰基礎設施（PKI）；數字認證（CA）；礦區管理；信息安全；密碼服務器

0引言

當前我國礦山企業安全生產形勢依然嚴峻，安全生產基礎相對薄弱，事故總量還是很大，煤礦、金礦等高危行業結構不合理，應急處置以及救援搶險能力相對不足，部分企業違規違章現象依然存在，給安全生產帶來一定的安全隱患［1］。隨著計算機通信和網絡技術的快速發展，礦山企業安全生產的信息化管理成為衡量企業現代化建設的重要指標，也是促進企業安全生產、提升效益的重要方式。礦區安全生產管理平臺在部署時，采用開放式架構，兼容主流信息技術，在．NET平臺的基礎上，為了滿足多種信息源服務終端的需求，平臺采用了多種基礎數據庫模型技術，保證安全管理平臺的系統整合能力。平臺采用面向服務的架構（SOA）設計，并基于分層和分類結合的混合模式，數據交換模式采用標準的XML等技術，應用統一規范的數據交換接口及應用程序接口，安全機制相對可靠［2］。平臺基于J2EE技術架構，支持HTML和DHTML等Web瀏覽器標準，設計原則遵循高內聚、低耦合的原則，降低系統各個功能模塊間的耦合度，降低操作難度，提高系統的通用性。根據礦山企業礦區分散、不聚集的特點，為保證礦山生產網和辦公信息網之間以及與外網之間的信息交換暢通，確保信息在產生、存儲、傳輸和處理過程中的安全性，需要建立全網統一的認證與授權機制、時間服務和密碼服務。目前，在各種技術，基于PKI／CA的信息安全技術能合理的作用于礦區安全生產信息化管理平臺，從而保證安全策略得以完整準確的實現，該技術是解決數據加密、保護信息安全最有效的方案［3］。

1基于PKI技術的安全生產管理平臺體系研究

1．1安全生產管理平臺的需求分析

礦區安全生產管理平臺為解決礦山企業安全統一管理應運而生，以安全生產風險管控為核心的風險管理平臺是目前各個礦山企業信息化建設的新趨勢。以安全生產管理為核心的平臺建設可以實現對危險隱患的合理分析，形成事前管理、事中風險預控、事后應急救援在內貫穿安全生產管理全過程的監督管理，從而達到提升安全管理水平的目的。

1．2安全生產管理平臺的系統功能設計

以礦區實際情況為前提，以信息資源規劃和開發利用為主線，以安全法律法規為支撐，根據功能需求，在成熟的軟件開發方法論的指導下，礦山企業安全生產信息化管理系統的主要功能框架如圖1所示，其子系統設計如下：包括風險管理子系統、事故管理子系統、安全隱患管理子系統、應急救援子系統、安全培訓子系統、監督檢查子系統、質量標準化子系統等7大部分。其中風險管理子系統主要負責礦區風險評估，衡量事故發生的可能性并對其可能造成的相關損失進行評估，根據風險評估結果，制定相應的管理標準及措施；事故管理子系統主要負責對已發生的事故進行統計，形成事故報告、事故月報、事故數據庫等，方便查詢，根據需求進行事故通報和責任追究；安全隱患管理子系統主要進行安全隱患追蹤、及時對隱患信息進行登記、上報、匯總等，形成隱患整改通知單，及時開展追蹤和銷號管理等；應急救援子系統主要針對突發緊急事件進行預防、救援、恢復等管理，以應急救援案例庫為依托，類比實際案例，推送相關匹配度最高的案例輔助應急救援決策，此外該模塊涵蓋救援隊伍、救援機構等詳細信息；安全培訓子系統主要負責相關人員安全的培訓信息統計，及時對持證人員進行過期預警提示，服務于公司的安全培訓管理等制度；監督檢查子系統主要進行安全活動制定、、總結等，下設安全檢查、整改落實、經驗總結等三個子模塊，為安全監督管理機構安全檢查發現的問題、形成原因、改進措施、整改建議等；質量標準化子系統主要為管理人員提供標準庫查詢、檢查數據匯總等服務，方便現場檢查及質量便準化考核等。

1．3安全生產管理平臺的PKI／CA技術分析

1．3．1PKI技術體系簡介

隨著當前信息系統建設的快速發展和數字網絡化的應用的普及，不同部門之間、跨部門的信息共享和綜合分析的需求也在日益增加，與此同時當前信息網絡應用中也面臨著信息量大、數據種類繁多，不同數據訪問要求不同等現狀，因此包括信息保密性、身份認證、訪問權限管理等在內的信息安全問題急需解決。公鑰基礎設施（publickeyinfrastructure）簡稱PKI，為解決大型信息網絡面臨的安全問題應運而生。PKI是當前信息化安全建設的基礎和重要保證。PKI是一種具有安全性和透明性的密鑰管理系統，通過為用戶提供密鑰和證書管理服務，提供安全策略，從而建立安全有效的網絡環境，保證數據信息在安全傳輸的過程中不被非法偷看以及非授權者篡改等，從而達到保護用戶信息機密、完整的目的［4－6］。通常來說，一個完整的PKI系統包含認證中心數CA（certificateauthority）、證書庫、密鑰備份及恢復系統，證書作廢處理系統，客戶端證書處理系統等五大部分，其中CA是PKI的核心執行機構，證書庫是存放公鑰和用戶證書的信息庫［5－7］。

1．3．2基于PKI體系的礦山安全生產信息化管理體系結構

PKI作為一種安全技術，已經深入到常規網絡的各個層面，使用戶可以在多種應用環境中使用加密及數據簽名技術，是當前網絡信息安全問題的綜合解決方案，為企業的信息安全保駕護航。對于本文分析的礦山企業安全生產管理平臺，PKI技術將重點解決用戶訪問權限、信息傳輸、數據共享等問題，如準確驗證登錄用戶身份、保證跨部門之間的信息保密與共享、防止信息竊取保證信息安全傳輸等等。礦山安全生產信息化管理平臺的PKI安全服務體系主要包括證書簽發管理和PKI安全服務兩部分，如圖2的方框所示。其中PKI的主體是證書機構CA、注冊機構RA（registrationauthority）、密鑰管理KM（keymanagement），其中核心組成CA是數字證書的頒發機構，數字證書就是網絡用戶的身份證，CA審核用戶身份等信息并與公鑰結合形成數字證書，從而確保其真實有效性，使得PKI能夠為網絡用戶提供較好的安全服務［7］。RA在整個體系中起承上啟下的銜接作用，是連接用戶和CA之間的橋梁，既向CA轉發證書請求，也向安全服務器轉發CA簽發的證書等。KM主要負責密鑰的備份、恢復、保存等管理服務，三個系統完成了證書簽發、管理等功能。公共安全接口具有一套通用、抽象的系統函數，實現語言較多，具體的密碼算法不會影響到該接口，設計者可以根據自己對于系統的需求對安全接口進行開發，該接口根據工作環節及性能分為初始化部分、安全操作部分、解編部分、通信部分等。

管理調度單元銜接公共安全接口與密碼服務單元，公共安全初始化部分通過管理調度單元選擇密碼服務單元，而管理調度單元向負載最小的密碼服務單元進行申請密碼服務，從而使得服務器負載均衡。當系統調度單元出現故障時，系統會隨機分配一個密碼服務單元，保證應用系統的正常運行，在保證系統負載均衡的同時，也保證數據的冗余備份，從而為應用系統提供及時安全的密碼服務。密碼服務單元是PKI密碼服務的核心部分，負責提供相關密碼算法及密鑰管理功能。密碼服務器根據配置需求及應用情況包含多個密碼服務單元，當一個單元出現故障時，可以通過管理調度單元進行分配，從而保證應用系統的正常運行。密碼算法根據功能特性主要分為三類：非對稱密碼算法（公鑰密碼）、對稱密碼算法（傳統密碼）和安全Hash算法［9－10］。非對稱密碼算法計算速度相對較慢，但其電子簽名和密鑰交換功能有更廣闊的應用范圍；對稱密碼算法運算速度較快，適用于大數據高流速的數據加密／解密功能，但是難以實現用戶身份識別等功能；安全Hash算法可以用來實現數據完整性驗證和輔助電子簽名等功能。密鑰管理主要包括密鑰的產生、更新、泄露處理、有效期管理、存儲、銷毀等功能，從而保證密鑰的安全有效運行。實時監控單元對密碼服務器中的單元狀態進行實時監控，及時找到密碼服務的相關故障，此外實時監控單元的日志功能可以記載密碼服務器出現問題的詳細信息。以PKI技術為核心的信息安全架構體系可以有效的作用于礦山安全生產信息化管理平臺的正常設計和應用中，尤其是多層次的網絡系統中，從而保證安全策略順利實施，從而保證整個平臺系統的信息安全和應用安全。

2PKI／CA相關技術在礦山企業安全生產管理建設中的應用效果

以密碼技術為核心的PKI／CA技術，提高了網絡的安全性與可靠性，較好地解決了信息共享開放與信息保密隱私的關系、網絡互聯性與局部網絡隔離的關系，保證礦山企業安全生產管理建設的信息安全性，為企業內部用戶提供了安全信賴的網絡環境，保證了企業不受信息安全威脅，為礦山的安全生產、信息管理提供了技術保障，在數據安全管理、業務協調以及實時智能指揮等領域取得了一定的應用效果。

2．1在數據安全管理領域的應用效果

2．1．1身份認證和訪問控制方面

安全生產管理平臺用戶角色眾多，有企業監管人員，公眾訪問人員，平臺內部測試管理人員等，一人多賬戶多角色多權限，容易帶來極大的安全隱患問題，因此具有支持多種認證方式同時具有統一認證訪問控制的安全機制及用戶權限管理方案變的非常重要。安全生產管理平臺基于PKI技術將證書策略應用于用戶的訪問控制中，不同級別的登錄人員可以設置不同的訪問權限，通過網上進行信息傳遞的身份證明，為用戶和數據之間建立起可信任的橋梁，有效的保證了平臺信息的安全服務。

2．1．2安全傳輸方面

礦山安全生產信息化管理會產生大量的數據，數據規模大、種類繁多，隨之而來的是數據安全管理和通訊安全的問題，安全的信息通訊是解決信息安全威脅的重要手段之一。安全生產管理平臺采用的PKI相關技術，可以使用不同系統間的跨域共享和靈活授權，可以提供不同系統訪問的授權管理、密鑰管理、身份認證、責任認定，使得系統傳輸的數據信息具有較高的安全性、完整性、并在消息傳遞過程中完成信息的加密和數字簽名，大大提高了平臺通訊的安全性。

2．2在業務協調、實時智能指揮領域的應用效果

安全生產管理平臺以安全生產風險管控為核心，在成熟的軟件開發方法論的指導下，將風險管理、事故管理、安全隱患排查、應急救援、安全培訓、監督檢查等內容整合到統一平臺。PKI相關技術保證了各個系統之間的數據共享和安全通信，通過登陸人員訪問權限和各模塊之間協調管理，為公司的安全生產提供了技術保證，從而對生產過程中的風險進行有效管理，提升安全管理效率，降低安全生產事故。PKI技術保證了系統通訊的正常安全運轉，實現各個系統之間的資源共享，消除各個系統之間的信息孤島，實現各個子系統的協調調度，使得各類用戶可以方便快捷的訪問、管理平臺，將各類信息安全的聯系起來，同時借助系統對監控數據進行智能分析和決策支持，使得事故實時智能指揮成為可能，并逐步實現了事故管理由事后應急響應到事前預警提示，對于提高礦區防災能力，實現礦區安全高效生產、提高安全管理水平具有重要的引領作用。

3結語

PKI技術體系通過管理數字證書和密鑰的方式，為用戶搭建安全可靠的網絡平臺，使得用戶可以在多種用戶環境中方便的進行加密和數字簽名，保證了礦區安全生產管理平臺身份識別、信息傳遞、訪問權限等的安全實施，依托數字證書、密鑰管理等技術，可以有效的生成、保存、更新管理密鑰，解決了網絡身份認證、信息完整性和抗依賴性等安全難題，為解決礦山安全生產信息化管理中存在的信息安全等因素提供了強大的技術支撐。考慮到PKI技術本身缺點以及礦山企業的行業特性，該技術仍有一定的缺陷。在實際中，PKI技術構建和運行成本高昂，此外用戶認識水平、相關法律政策等因素的制約，都不利于PKI技術應用發展。因此，需要解決多個獨立PKI系統之間的交叉認證與互操作性等，以及證書過期、撤銷、丟失帶來的密鑰托管和證書安全等問題［11］。盡管如此，PKI技術的前景仍然是廣闊的，隨著相關技術的快速發展，PKI相關技術仍然是礦山安全管理信息化建設中解決通訊安全問題的必然選擇。

參考文獻

［1］劉星魁，謝金亮，LIUXing－kui，等．煤礦安全生產現狀及對策探討［J］．煤炭技術，2008，27（1）：139－141．

［2］史科蕾，石秋發．基于PKI／CA技術在礦區服務平臺中安全管理的設計與實現［J］．煤炭技術，2013（6）：280－281．

［3］熊萬安，龔耀寰．基于公開密鑰基礎結構（PKI）的信息安全技術［J］．電子科技大學學報：社會科學版，2001，3（1）：4－6．

［4］張慧．PKI技術研究［J］．湖北第二師范學院學報，2007，24（8）：42－44．

［5］李彥，王柯柯．基于PKI技術的認證中心研究［J］．計算機科學，2006，33（2）：110－112．

［6］謝冬青，冷健．PKI原理與技術［M］．北京：清華大學出版社，2004．

［7］黃蘭英．PKI技術和網絡安全模型研究［J］．孝感學院學報，2007，27（6）：62－64．

［8］陳雨婕．基于PKI的礦山企業網絡信息安全研究［J］．礦山測量，2011（3）：46－47．

［9］秦志光．密碼算法的現狀和發展研究［J］．計算機應用，2004，24（2）：1－4．

［10］張曉豐，樊啟華，程紅斌．密碼算法研究［J］．計算機技術與發展，2006，16（2）：179－180．

篇7

1 智慧城市的概念

智慧城市是新一代信息技術支撐、知識社會下一代創新（創新2.0）環境下的城市形態。[3]智慧城市基于物聯網、云計算等新一代信息技術以及維基、社交網絡、Fab Lab、Living Lab、綜合集成法等工具和方法的應用，營造有利于創新涌現的生態，實現全面透徹的感知、寬帶泛在的互聯、智能融合的應用以及以用戶創新、開放創新、大眾創新、協同創新為特征的可持續創新。“智慧城市”的四大特征：全面透徹的感知、寬帶泛在的互聯、智能融合的應用以及以人為本的可持續創新。

智慧城市建設將改變我們的生存環境，也是轉變城市發展方式、提升城市發展質量的客觀要求。通過建設智慧城市，及時傳遞、整合、交流、使用城市經濟、文化、公共資源、管理服務、市民生活、生態環境等各類信息，提高物與物、物與人、人與人的互聯互通、全面感知和利用信息能力，極大提高政府管理和服務能力，提升人民群眾物質和文化生活水平。

2 智慧城市建設中，檔案部門的角色定位

智慧城市的總體架構（參見圖1）自下向上分為“感、傳、支、用”四個層，即感知層、傳輸層、支撐層、應用層，同時建設安全保障體系、標準規范體系、運營管理體系作為支撐。筆者認為，智慧城市建設本質上就是以網絡為基礎，運用信息和通信技術手段感測、分析、整合各項關鍵信息，更好地服務大家。其中，最重要的就是數據的互聯、共享和安全。

圖1：智慧城市總體架構

2.1 是智慧城市建設的管理者和參與者。可能有人要問為什么這些工作都要檔案部門來參與呢？首先，檔案部門是政府機構建立的基礎，是智慧城市建設的重要的管理者和參與者。2007年《中華人民共和國政府信息公開條例》（國務院第492號）規定了檔案館作為政府信息公開查閱的場所，[4]各省轄市根據其精神，檔案館統一掛“×××政府信息公開查閱中心”的牌子，設置政府信息公開查閱場所，檔案是智慧城市建設不可缺少的重要的公共信息資源。另外，作為政府信息公開的管理者和參與者，在規劃智慧城市建設中所形成的數據分析、初步可行性研究、階段性報告、可行性報告等，應由檔案部門統一收集整理并歸檔保存，為日后向決策層領導、各部門管理人員提供決策支持。

2.2 是智慧城市建設的基礎部門。在智慧城市的建設中，政府部門起到了決定性的作用。檔案信息資源是一個政府借以完成其工作的基本行政工具，是政府機構賴以建立的基礎，是智慧城市建設不可缺少的重要的公共信息資源之一。搭建智慧城市的公共服務平臺必須整合政府傳統組織內部的數據，還要整合政府跨部門之間的數據，特別是對各政府內部公文、檔案、圖表、數據信息化的改造，是智慧城市建設必不可少的一步。由于大部分檔案應用系統是基于局域網或政務內網的，因此，檔案部門的作用就是把分散在各系統中的原始的信息資源進行集中整合，形成統一的信息資源體系，“九九歸一”，建成一個統一的大數據庫。并對大數據進行收集、存儲和科學管理，使數據高度集中和融合，建立數據中心和共享平臺，使數據具有“智能”的技術能力，才能為信息共享提供條件，服務傳統行業。其核心就是要構建統一權威的公共信息服務體系和平臺，實現一站式信息服務。只有保障了基礎數據在“前端”的真實性和安全性，才能為之后智慧城市建設提供基本保證。

3 檔案部門在智慧城市建設中存在的問題

3.1 統一標準缺失。單從檔案部門內部來看，全國各個檔案部門雖然已經建設了規模大小不等的數據庫，但都各自為政，缺乏統一性和整體性，而且標準化程度低。更不要說不同行業、不同機構之間的信息化建設了，都各有計劃。在其他應用終端上，從政府到行業再到企業，各自也都有自己的標準，相互間的兼容性差，這樣就造成宏觀上把握不清，信息孤島與重復建設現象嚴重，相關資源不能整合應用，檔案數據無規范化控制，存在安全隱患。

3.2 相關法規制度建設存在著嚴重的滯后性。主要表現在信息立法和檔案法律法規沒有有機的整合。在上世紀90年代中期，隨著大量CAD文件的面世，國家質量技術監督局推出了《CAD電子文件光盤存儲、歸檔與檔案管理要求》。1999年，為規范電子文檔的歸檔與管理中的問題，國家檔案局又頒布了《電子文件歸檔與電子檔案管理辦法》，2000年，為了解決計算機在輔助檔案管理中存在的問題，國家檔案局又頒布了《歸檔文件整理規則》。2002年，針對公務活動中電子文件的形成、積累、保管、利用等方面存在的問題，國家檔案局對《電子文件歸檔與電子檔案管理辦法》進行了修正，在此基礎上，又分別在2003 年和2005年出臺了第三部和第四部檔案信息化部門規章。[5]但有關電子文件采集的元數據標準、電子文件鑒定保存的技術規范依然空白。數字檔案長期保存工作往往是在國家檔案機構系統內部進行，企業、高校、研究機構、政府其他部門的參與有限，跨部門、跨領域的長期保存合作機制尚未建。

3.3 安全管理的滯后性。主要表現在很多檔案信息網絡管理人員、應用人員缺乏安全意識，有些檔案工作者沒有受過正規的網絡安全培訓，對信息網絡的安全重視不夠，使檔案信息安全管理缺乏針對性和執行力。同時，缺乏既懂檔案工作又掌握智慧城市專業知識，又對信息安全領域熟悉的人才。從專業結構看，檔案從業人員主要來自文史學科為基礎的相關專業，致使在技術層面上無法提供有力的安全支撐，在信息環境的發展中，標準化管理、計算機輔助管理、規章制度管理明顯滯后于檔案信息化發展的步伐。

4 改進措施

4.1 技術層面

4.1.1 加強對計算機檔案管理系統的管理，確保系統安全。智慧城市建設的關鍵是信息的整合和共享，就是通過計算機和網絡把所有數據都放在一個敞開的公共信息資源平臺上，大家按需應用。因此，只有平臺安全才能保證數據安全，一旦平臺被惡意破壞，數據就面臨流出的風險。所以，必須提高數據的安全保障，檔案信息作為政府的基本行政工具，檔案部門應從“源頭”抓起，保障數據安全。進一步完善安全防范措施，除采用身份識別、數據備份、訪問控制、防火墻技術外，還需采取專用核心密碼加密系統進行數據加密，多種安全防范措施并用。及時發現和消除隱患，確保計算機和檔案的安全，在有安全保障的前提下才能使有密級的信息在網上安全傳輸和共享。其次，提高檔案管理計算機網絡的安全性。檔案管理計算機網絡必須采取強有力安全措施，以克服網絡面臨的威脅。這些安全措施分為技術措施（如權限設置、個人身份鑒別、防火墻、建立數據備份系統等）和管理措施（如建立健全網絡管理體制、建立完善網絡管理規章制度、加強網絡運行進程中的監控與管理等）。

4.1.2 采用“云計算”。云計算是一種網絡服務方式，用戶可以通過網絡租用或免費獲取所需服務，而這些服務經過云計算技術的不斷發展將涵蓋全部可能的IT應用。[6]提供服務的網絡即被稱為“云”，“云”中的使用者可任意擴展并隨需獲取當中的資源，用戶可以通過這種特性，像用水和用電一樣按需購買和使用IT服務。

篇8

關鍵詞：計算機實驗；網絡教學；構建與管理

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）04-0117-02

二十一世紀是經濟全球化、信息全球化的社會，因此，計算機技術在當今全球信息化發展中具有十分重要的作用，而且在世界科學技術發展中擔任著越來越重要的功能，并且社會生產活動都無法離開計算機技術而發展。科學技術的不斷發展，對人的技能水平要求也不斷提高，特別是計算機技能水平已經作為職場普遍要求的一種能力。作為培養人才的地方，高校在計算機能力培養方面肩負著義不容辭的責任。高校應注重計算機實驗課程的改革與創新，使計算機實驗教學能適應社會飛速發展的需求，使學生所學的計算機技能夠適應社會職場的需求，培B出高素質人才、同時持續提高高校自身的教學水平。計算機實驗室完善的安全管理制度極為重要，教師、學生、實驗室管理人員應有章可循，在安全管理制度下，實現實驗室安全。下面就學校計算機網絡實驗教學平臺的構建、實驗室安全管理進行深入探討。

1 計算機實驗室網絡構建

計算機實驗室網絡構建起來的平臺是以校園網絡為基礎的，運用這種校園網與局域網的網絡相結合的網絡結構，實現校園網與局域網的網絡化分層管理。為了不同專業計算機實驗，設有實驗室局域網絡系統以及獨立的分部實驗室。首先是能夠按照運用不一樣的網絡管理模式對各個實驗室的實驗具體情況進行適時管理；甚至對每位學生上機操作適時查看。使管理效率更高，管理更加簡化。當然帶來網絡維護任務更加艱巨、且網絡安全運行更加重要，對實驗室技術人員要求更高[1]。

1.1計算機實驗室的網絡信息化

計算機實驗教學是在理論課的基礎上培養學生對計算機的愛好與興趣，激發學生對計算機進行探索的熱情，有利于培養學生動手能力，促進學生的探索精神，為提高學生創新實踐能力提供了良好平臺。采取先進的網絡化等教課方法，在網上可以自主選擇課題，使學生能夠在學習書本知識外，更多接觸到計算機行業發展與現狀，從而畢業后適應信息化社會發展，更快地融入日新月異的社會。

全自動管理與監控課程信息，記錄學生使用計算機的數據和實驗成績，詳細記錄、分析、統計、存檔，有效做到按制度、規章辦事，避免人為因素，實現智能化科學管理，建立科學的實驗中心網絡監控系統。計算機實驗教學需要一個良好學習、操作環境，而網絡智能化的管理必將成為一種發展趨勢，建立局域網，采用直連等方式，達到遠程監控的目的[2]。

1.2計算機實驗室的網絡安全

在校園網與實驗室教學局域網兩套系統并行中，在教學時，學生只能夠使用實驗室局域網絡服務，這樣學生上課過程中注意力就不會被分散。在開放的時段，開放系統啟動，確保網絡教學能夠規范和靈活地開展。計算機中心局域網絡，需要擁有中心服務器。對資源實現共享，管理者可以對各級服務器進行運用。采取對數據庫進行備份的方式，保證網絡的安全性[3]。

要重視計算機實驗室局域網建設和維護工作。因此計算機實驗室要重視局域網的安全性和穩定性，計算機使用者可以利用網絡教學和電子資源共享；計算機實驗室應該定期檢查IP地址是否存在沖突和錯誤等問題，再者，減少由于網絡共享帶來的黑客的網絡惡意攻擊等問題。保證實驗室網絡的安全運行。

2計算機實驗室的安全與管理

2.1組建不同專業實驗室項目管理模式

在高校進行不同專業計算機實驗課程的過程中，還要對每個學期的所實施的基本項目進行全面性管理，要對于每個學期完成不同實驗項目的結果進行全面性科學分析與總結。同時通過教學軟件可以實現系統性的檢測模式管理實驗課程進行的相關內容。從而，為整個教學內容的進展提供跟蹤性的服務，從根本上實現網絡化管理的最終安全目標[4]。

2.2制定出一套完善的安全管理模式與安全管理制度

要高度重視并認清高校計算機實驗室安全管理工作中存在的關鍵問題，要想盡辦法做好安全管理工作，減少并降低其安全管理中問題的發生，并且要制定出一套正確、科學的安全管理模式，形成安全適用的計算機實驗室安全管理體系與安全管理制度，大大提升計算機實驗室的利用率，為廣大師生提供更好的教學實踐服務。

計算機實驗室的完善的安全管理制度極為重要，安全管理制度的實施可以規范廣大師生使用計算機及安全管理人員的行為，按照安全管理制度要求、師生在上機的過程中以及安全管理人員在日常的工作中要按制度來進行操作，師生、工作人員有章可循，在安全管理制度下，實現實驗室安全[5]。

2.3 注重建立實驗室安全規范

通過制定實驗室安全規范，可以有效地提高防范災害與快速應對災害能力。例如，每個實驗室必須配備兩個以上的防火器，并且要定期更換；防鼠、防盜、自然耗損等意外災害產生時要保證有序、有效的應對；在規定周期內，實驗員要參加各級各類安全培訓，并且制定相應的事故處罰條例，以杜絕安全隱患[6]。

要根據實驗室各專業教學實際要求和實驗室建設目標，逐個學期不斷修訂完善實驗室管理制度，達到科學化、規范化、制度化和標準化的實驗室管理；同時落實好各層級實驗室管理責任；責任具體到人，各級人人把關，形成一張責任安全大網，讓隱患無處可逃。檢查各項規章制度的執行情況，各級管理部門應作為一項嚴肅的日常工作，執行各項規章制度的過程中，責任人要有記錄、有檔案，在實驗室日常不間斷檢查評價過程中，才能有效保障各項規章制度嚴格、有序圓滿執行[7]。

3結束語

計算機實驗教學是我國高校教學中的一個重要組成的部分，對于激發學生的求知欲望，提高學生的探索精神，適應當今高速發展的信息化社會對人才的需求，都有著十分巨大的意義與作用。在構建和管理實驗教學平臺的過程中，要能夠做到因地制宜，根據本校的實際情況，發揮特色，構建好、管好和用好計算機實驗室，更好地服務于高校教育。在高校的教育發展中，高校領導和廣大師生要一起努力，把計算機實驗室的安全管理工作做得更加完善，提高工作效率以及計算機實驗室的利用率。

參考文獻：

[1]景濤.計算機實驗教學平臺的構建與管理分析[J]. 云計，2005（6）：106.

[2]張銘.教學與教育信息化計算機實驗教學的多方位改革方案[J]. 信息與電腦2016（4）：220-221.

[3]趙愛玲，崔朝軍. 構建計算機實驗教學平臺的探索與實踐[J]. 中國高校科學技術，2012（5）：39-40.

[4]張小林.高校計算機實驗室管理的探討[J]. 實驗室科學，2009（4）：99-101.

[5]張志成.高校計算機實驗室的安全管理[J]. 黑龍江科學，2015（6）：102-103

篇9

關鍵詞：檔案；管理；信息化；建設；攻關

1 高校檔案管理信息化的內容及意義

高校檔案管理涉及多個相關學科，諸如計算機、網絡、管理以及信息等。高校檔案管理信息化建設的主要內容包括基礎設施建設、應用系統開發、檔案信息資源整合、標準規范以及安保體系等四個方面的建設。

1.1 基礎設施建設和應用系統開發

檔案管理信息化建設的基礎設施涉及硬件和軟件兩個方面。其中，應用系統的開發作為軟件支持存在，其基本要求是軟件操作簡便，易于廣泛推廣，具備組卷、分卷、維護以及查詢等多種功能；管理界面友好；軟件可及時更新，修補漏洞；較高的兼容性。

硬件建設需要同時考慮以下三個問題。首先，數字化校園與數字檔案和數字檔案館的建設同步，其次，將存儲和備份電子文件的相關硬件設備作為內部局域網建設的重點，第三，提高本地備份及存儲電子文件的硬件配置，建設異地備份設備及網絡。

1.2 檔案信息資源整合

高校檔案信息資源的整合需要注意以下幾個方面的問題。第一，高校各單位檔案部門收集并歸檔已有的電子文件，及時錄入信息數據庫，避免資源的流失；第二，對將要接收的電子文檔提前做好準備工作，包括組織、技術和人員上的準備，建立數據中心，統一接收和管理高校各單位信息資源，開通檢索服務；第三，建設檔案網站或者數字檔案館，成立數字化服務中心，為各單位提交信息提供高效服務。

1.3 標準和規范的制定

高校檔案管理工作的重要職能之一是制定和完善標準、規范，其依據為《檔案法》、《電子公文歸檔管理暫行辦法》 等相關政策法規。建立的規范和標準需要滿足實際需求，能夠科學的指導高校檔案管理信息化建設的全過程，確保信息化建設、管理和運作過程有章可循，保證規范化、標準化以及制度化的檔案管理信息化建設大方向不變。其主要職責為高校電子文件信息采集、管理、存儲格式標準、執行細則等標準與制度的建立；制定電子文件歸檔、整理、公布、利用的格式要求和工作規范； 建立和完善電子文件保管、存儲及安全利用的制度等。

1.4 安保系統的建設

信息安全是檔案管理工作首先需要確保的重點之一。安保體系的建設主要包括計算機網絡等硬件安全系統的建設，同時還包括內外網隔離、網絡防火墻、文檔加密、訪問控制、用戶訪問認證以及網絡密鑰的管理，雙管齊下，確保數字檔案系統信息傳遞的安全。

2 高校檔案管理信息化建設的現狀及問題

2.1 高校檔案管理信息化建設的現狀

2.1.1基礎設施薄弱，管理手段老化

目前國內許多高校在信息化基礎設施建設上投入力度不夠，用普通計算機代替專業服務器，在管理方式和方法上也一直沿用傳統的管理手段，效率低下，缺漏較多。雖然在一定程度上利用了計算機存儲和網絡技術，但是并未形成一體化的系統。生成與接收電子文檔，是高校檔案管理系統的基礎功用，但是目前的現狀是高校檔案管理的軟件與配套程序建設速度慢，管理不科學，制約了信息化建設的步伐。

2.1.2檔案管理方式落后、檔案結構不合理

從目前的檔案管理方式來看，從業人員缺少科學化管理的培訓，多數從業者并非檔案專業，專業知識匱乏，沒有系統、科學的檔案管理知識，對已有管理系統掌握不夠深入。

從檔案結構來看，目前多數高校關注的檔案類別多為紙質，而對視頻、音頻以及其他實物檔案的關注不夠。而且從檔案涉及的方面來說，多為教學、會議以及其他文字記錄的檔案，而對設備、基建檔案，以及高校日常工作中的檔案記錄較為缺乏。此外，檔案收集工作滯后，不夠全面，導致了檔案可復用性差，利用價值較低。

2.1.3高校檔案管理開發利用率較低

目前，高校檔案管理仍舊受到傳統檔案管理理念的影響，重保管輕利用，已經收錄的檔案資料無法惠及教職工與學生，利用效率低下，檔案因此失去了應有的參考價值，導致高校檔案資源的極大浪費，長此以往將會形成惡性循環，極大的影響檔案管理工作的可持續發展。此外，檔案利用的壟斷局面仍舊存在，高校檔案多數被行政人員利用，同時還有一部分科研人員，雖然目前各大高校已經致力于擴大檔案利用人群，但是力度仍舊不夠，同時宣傳乏力，沒有對宣傳形成有效的縱深，因此收效甚微。如何打破傳統的檔案管理模式，改變落后的管理理念，推廣先進、科學的管理方法，是檔案從業人員需要認真考慮的問題。

2.2 高校檔案管理信息化建設進程出現的問題

2.2.1 投資規模大與資金來源少的矛盾

檔案信息化建設需要大量的資金作為后盾，其建設速度受到資金來源及穩定性的制約。信息化建設中基礎設備的投資包括服務器、交換機、掃描儀、微縮設備等，這類設備需要大量的資金來購置。此外，內部局域網的建設，光纖接入以及購買帶寬，購置、維護軟件以及進行安全防護等，都需要資金支持。電子產品高速的升級換代和較短的生命周期也導致了大量資金的投入。但是由于資金來源較少，籌措困難，兩者的矛盾日益激化，影響信息化建設的發展。

2.2.2 建設任務重，進程緩慢

高校檔案信息化建設的任務中，第一，需要對現存的檔案資源進行處理，利用掃描、微縮等手段，將之數字化；第二，對數字化的文檔按照檔案管理標準進行分類整理，并錄入數據庫，便于檢索和利用；第三，建設網絡應用平臺，給用戶提供遠程服務；第四，采用隔離技術，應用數據備份和加密對檔案進行保護，防止來自網絡的惡意訪問，避免由于工作人員誤操作而導致的刪除、修改等，確保檔案信息的安全以及可用；第五，不斷升級管理系統的同時，要對現存電子文檔進行升級轉換，確保其可用，避免電子檔案資源的損毀；第六，由于檔案管理信息化建設進程的繁重任務導致其不可能在短時間內完成，因此對于檔案管理人員來說，除進行數據化處理與維護外，還要對現存的紙質文檔進行妥善的保管和處理，工作量較大，任務繁重。在檔案管理信息化建設完全完成，并納入檔案工作運行管理體制之前，如果文檔復制、掃描等技術沒有較大發展，財政投入沒有較大突破的前提下，這個過程將持續數年時間。

2.2.3 隊伍建設要求高與人才缺乏的矛盾

檔案信息化管理人員需要具備新的思想觀念，扎實的專業知識和技能，較高的寫作水平以及綜合素質。需要的人才類型是有熟練的計算機技能、網絡安全技能、獲取以及運用情報信息的能力、檔案專業知識豐富的復合型人才。檔案信息化人才引進的主要阻力首先是體制問題，難以引進有效的競爭手段，其次是冗余人員多，導致工資待遇普遍較低，難以吸引高層次人才。老面孔，老方法，效率低下，進展緩慢，是目前檔案部門工作的現狀。

2.2.4 應對環境變化能力差，服務方式轉變困難

由于長期以來的檔案管理模式與管理理念影響，當前高校檔案管理普遍表現出思想陳舊、不思進取的現狀，抵御外來風險能力較差，缺乏核心競爭力。這種檔案管理模式在信息化背景下已經不再適用，信息化背景下的檔案管理以用戶的需求作為主要目標，需要從業人員真正更新、轉變服務理念，拓展檔案管理的服務業務，提高服務質量。

3 加快檔案管理信息化建設的策略

3.1 加快統一標準建立，統一管理

建立統一標準，有利于不同高校系統之間資源的共享與整合，同時也有利于對整個集成系統進行安全保護。系統可以按照標準進行相應的操作，提高系統可操作性，同時避免由于標準不一致而導致的系統內部漏洞等安全問題。該標準的制定由信息化部門進行安排、實施，保證接口以及底層設備和數據格式等的一致性，避免數據冗余和資金浪費現象。

3.2 應用現有系統，整合信息資源

各高校應當以現有的應用系統作為基礎，對校內各二級單位施行統一標準管理，以實現數據一次采集，長久利用的目的，節省人力物力和財力。第一，規劃建設校級信息數據中心，整合各單位分散的資源，統一數據采集格式；第二，提高硬件水平，統一底層數據庫以及相關接口，實現數據共享，加大應用系統投入。這樣可以有效避免硬件的重復建設等問題的發生。

3.3 加強安全保護體系的建設

信息安全問題包括兩個方面，從技術層面來講，各高校應當建立有效的用戶認證機制，訪問準入機制以及安全加密機制，應用各種硬件保護和軟件保護技術對系統實現安全保護；從管理角度來考慮，首先應當健全管理制度，提高管理人員實施、監督等方面的警覺性，定期巡檢、實時監控，明確各部門職責和相關負責人，定期進行安全培訓，提高工作人員解決問題的能力；另外還應當建立應急反應體系，在發生網絡安全事件時，能夠及時、有效的進行處理，從問題的發現、處理以及事后補救等多個方面進行全方位考慮。

3.4 變革組織機構，健全人才引進機制

變革現有的比較陳舊和落后的組織機構，對于加快檔案管理信息化建設具有重要作用。新的組織機構和人才引進機制應當具有以下幾個方面的優勢。首先，能夠充分調動基層工作人員的工作熱情，使其能夠將創造性的想法實施，增加部門工作活力；其次，分工明確，責任到人，各部門各司其職，提高系統整體的工作效率；第三，有利于人才的引進以及留用，組織機構的變革能夠為部門發展帶來新的活力，能夠吸引高端人才的留用，有利于壯大人才隊伍。

4 結語

高校檔案管理信息化程度是高校教學質量、學術水平以及管理水平的體現，也是構建數字校園的關鍵所在，是信息化社會給高校檔案管理工作提出的必然要求。各高校應當積極建設統一標準，整合校內資源，加快建設信息化的檔案管理系統，變革陳舊的思想觀念與組織機構，提高競爭力，適應新環境下的變化，努力實現其標準化、制度化、科學化、現代化的高校檔案管理信息化建設目標。

參考文獻

[1]劉曉云.高校檔案管理體系信息化建設研究. 計算機光盤軟件與應用. 2013（15）.

[2]馬靜.高校檔案管理信息化建設. 辦公室業務. 2013（17）.

[3]初慶華.淺談高校檔案管理信息化模式研究. 華章. 2013（04）.

篇10

關鍵詞：OWASP；Web應用漏洞；安全攻防；實訓平臺；SQL注入

一、引言

隨著計算機與互聯網的快速發展，Web應用已經深入各個領域當中。但是由于 Web 開發人員能力的良莠不齊，致使大量的站點存在著 Web應用安全漏洞，這就給攻擊者打開方便之門。世界上權威的Web安全與數據庫安全研究組織OWASP（Open Web Application Security Project）提供的OWASP TOP10 WEB安全報告，總結了Web應用程序最可能、最常見、最危險的十大安全威脅，包括SQL注入漏洞；跨站腳本（XSS）；直接引用安全漏洞；跨站請求偽造（CSRF）；配置安全缺陷；加密存儲威脅；未檢驗重定向等。Trust Wave公司在其2012 Global Security Report的十大Web應用安全威脅包括SQL注入漏洞；邏輯缺陷；跨站腳本；授權旁路；會話處理缺陷；旁路認證；跨站請求偽造；源代碼泄露；詳細的錯誤信息；脆弱的第三方軟件等。

Web應用安全受到越來越多的攻擊者的關注，一方面是由于傳統的C/S架構方式逐漸在往“瘦客戶端”的B/S架構上遷移，而且其應用與數據庫系統的結合也更加緊密，使得存在安全漏洞的環節增多；另一方面是由于防火墻和IDS/IPS可以關閉不必要暴露的端口，但是對于Web應用常用的80端口都是對外開放的，這樣使得攻擊者可以方便地借助于這個通道進行攻擊或者執行惡意的操作。

二、系統框架設計

基于B/S架構的Web應用安全攻防實訓平臺允許用戶使用瀏覽器與站點進行交互操作，并且可以通過應用來訪問后臺數據庫系統，其架構主要包括以下方向。

1.Web應用系統。采用標準HTML代碼進行編寫用于顯示數據和接收用戶輸入的數據，在Net Framework框架基礎上采用C#進行編寫代碼接受用戶端傳遞過來的參數，負責處理業務邏輯和數據庫訪問等功能。

2.Web應用服務器。用來支持Web應用和用戶瀏覽器之間的正常通信，負責處理HTTP請求/響應消息等操作，采用Windows自帶的IIS程序，根據實際需要可以擴展到Apache、Lighttpd等Web應用服務器。

3.操作系統和數據庫系統。操作系統默認采用Windows Sever系列，后臺數據庫默認采用SQL Server作為后臺數據庫系統，根據實際需要可以進行相應擴展My SQL、Access、Oracle等等。

攻防實訓平臺的硬件部分包括Web應用服務器、數據庫服務器、防火墻、教師端和學生端等，其系統拓撲圖如圖1所示。學生端分為校內學生端和校外學生端兩組，其中校外學生端通過防火墻進行訪問、分析和處理。

圖1 系統拓撲圖

三、安全漏洞設計和利用

在OWASP和TrustWave的報告中，SQL注入漏洞都被列為最危險的攻擊形式之一，因此，提取SQL注入漏洞作為分析和測試用例。

1.SQL注入漏洞分析。其原理是通過把SQL命令插入到Web表單遞交、或輸入域名或頁面請求的查詢字符串中，最終達到欺騙服務器執行惡意的SQL命令，通過構造巧妙的遞交參數構造巧妙的SQL語句，從而成功獲取想要的數據。其嚴重后果會使得攻擊者得到在數據庫服務器上執行命令的權限，并且甚至可以獲得管理員的權限進行更為危險的操作。

2.SQL注入漏洞構造。為了利用SQL注入漏洞，攻擊者必須找到一個參數傳遞數據，然后這個參數傳送到操作數據庫的SQL語句中，Web應用程序使用該語句操作數據庫，可能導致信息泄漏、數據丟失、記錄篡改等危害。

在Web應用安全攻防平臺的顯示頁面（view.aspx）的部分代碼編寫如下。

SqlCommand Cmd=new SqlCommand（"select*from NewView where id =" +Request.QueryString["id"]， Conn）；

SqlDataReader Dr = Cmd.ExecuteReader（）；

其傳遞過來的參數id，沒有做任何的限制和處理就傳遞給操作數據庫的SQL語句，那么該語句就產生了SQL注入漏洞。

3.模擬攻擊過程。在構造完SQL注入漏洞以后，使用經典的參數后面附帶單引號（’）、and 1=1、and 1=2和分號（；）測試數據，分析其返回結果。對于SQL Server的數據庫可以采用錯誤的安全配置和猜解管理員數據表及其內容的方式進行模擬攻擊。

（1）SA用戶權限利用。如果Web應用采用了SA用戶進行數據連接，那么可以構造特殊的SQL Server命令來提交到查詢字符串中，利用SQL Server自帶的xp_cmdshell操作系統外殼命令來執行相應的系統命令，提交的頁面字符串（Web應用地址：192.168.2.5）為：

http：//192.168.2.5/view.aspx？id=28；exec master.dbo.xp_cmdshell "net user test test /add"

對于SQL Server阻止了對xp_cmdshell的訪問情況，可以使用sp_configure來恢復和啟用xp_cmdshell，提交的頁面字符串為：

http：//192.168.2.5/view.aspx？id=28；EXEC sp_configure 'show advanced options'，1 RECONFIGURE；EXEC sp_configure 'xp_cmdshell'，1 RECONFIGURE

再次執行xp_cmdshell操作系統外殼命令，如果執行成功即可添加一個系統用戶。

（2）數據表的猜解。對于非SQL Server數據庫的情況，比如，Access和MySQL數據庫類型或者Web應用沒有使用SA用戶進行數據庫連接，那么可以通過SQL注入來完成數據表的猜解，其過程可以分為：猜解表名和記錄數；猜解字段名稱；猜解字段長度；猜解字段字符等步驟。

猜解表名提交的頁面字符串為：

http：//192.168.2.5/View.aspx？id=28 and exists（select * from admin）

猜解記錄數提交的頁面字符串為：

http：//192.168.2.5/View.aspx？id=28 and 5

其余提交的頁面字符串都可以通過手工構造SQL命令或者使用SQL注入工具來自動完成。

4.獲得服務器管理權限。在獲得Web應用管理權限之后，可以進入其管理后臺利用其Web編輯器的上傳功能將準備好的Web Shell上傳到Web服務器上。根據其Web應用服務器類型的不同，可以上傳ASP（.NET）、PHP和JSP等類型的Web Shell，以獲得服務器的管理控制權。

綜上所述，其攻擊過程如圖2所示。

圖2漏洞攻擊過程

四、SQL注入攻擊防范設計

SQL注入攻擊防范首先需要對Web應用和數據庫系統進行安全合理的配置，包括以下幾點。

1.不使用管理員（SA）權限的數據庫連接，為每個應用分配權限有限的數據庫連接。

2.使用參數化的SQL或者直接使用存儲過程進行數據查詢存取。

3.應用的異常信息應該給出盡可能少的提示，最好使用自定義的錯誤頁面提示。

對于用戶提交的客戶端信息，使用SQL注入檢測模塊進行必要的檢測，其步驟主要包括。

1.對客戶端提交的信息進行URL解碼，防止用戶以URL編碼的方式構造SQL命令用來欺騙SQL注入檢測模塊。

2.使用正則表達式來驗證提交信息中是否包含單引號（’）、分號（；）、結束符（--）等特殊字符，如果存在則轉至異常處理模塊。

3.檢測提交信息中是否包含select、insert、update、from、user、exec等特殊命令，如果存在則轉至異常處理模塊。

4.檢測提交參數信息的長度是否超過預設的閾值，如果超過則轉至異常處理模塊。

SQL注入檢測步驟流程如圖3所示。

圖3 SQL注入檢測防御模塊設計

五、結束語

緊密結合OWASP和Trust Wave提供的相關安全報告，采用積極主動的辦法來訓練用戶對于SQL注入漏洞的處理，分析漏洞原因、構造和設計漏洞、模擬攻擊平臺，并對結果進行分析，確定問題所在，給出改進建議和防護措施。在平臺上，一方面可以實現Web應用攻防技術、過程、方法的演示再現甚至對抗性的攻防演練；另一方面，將教學和實驗操作中產生的Web應用攻擊行為限制在一定的范圍內，防止對互聯網的實際網絡和服務造成干擾和破壞。

Web應用程序的安全攻防是信息（網絡）系統安全中具有挑戰性的部分，對于滿足信息安全人才的培養，實現網絡安全專業方向實驗教學，滿足教育、政府信息化和企業Web應用安全培訓需求是一項十分有意義的工作。

參考文獻：

1.OWASP.The Ten Most Critical Web ApplicationSecurityRisks[R]，http：///images/0/0f/OWASPT10 2010 rc1.pdf.2012-10

2.TrustWave.2012 Global Security Report[R]，http：//.cn/OWASP Training/Trustwave WP Global Security Report 2012.pdf.2012-10

3.范淵，《Web應用風險掃描的研究與應用》[J]，《電信網技術》，2012.3：13-17

4.章建國，《利用WEB應用漏洞構筑WEB安全檢測系統》[J]，《廣東公安科技》，2006.2：36-39

5.尹中旭、朱俊虎、魏強等，《網絡攻防演練平臺的設計與實現》[J]，《計算機教育》，2011.2：108-112

6.徐川、唐建、唐紅，《網絡攻防對抗虛擬實驗系統的設計與實現》[J]，《計算機工程設計》，2011.32（4）：1268-1271

7.王云、郭外萍、陳承歡，《Web 項目中的 SQL 注入問題研究與防范方法》[J]，《計算機工程與設計》，2010.31（5）：976-978

8.李揚、朱曉民、李煒，《網站安全漏洞解析》[J]，《四川兵工學報》，2012.33（1）：97-99

9.余靜、高豐、徐良華，《基于 SQL 注入的滲透性測試技術研究》[J]，《計算機工程與設計》2007.28（15）：3577-3578

10.朱輝、周亞建、鈕心忻，《數據庫SQL注入攻擊與防御研究》[A]，《2011年通信與信息技術新進展——第八屆中國通信學會學術年會論文集》，2011，580-583

11.熊婧、曹忠升、朱虹等，《基于構造路徑的存儲過程SQL注入檢測》[J]，《計算機研究與發展》，2008.45：125-129

12.王偉平、李昌、段桂華，《基于正則表示的SQL注入過濾模塊設計》[J]，《計算機工程》，2011.37（5）：158-160

基金項目：河北省高等學校科學研究計劃項目（課題編號：Z2012087），石家莊市哲學社會科學規劃研究項目（課題編號：WH1217）