身份認證技術論文

時間：2022-09-29 22:34:26

開篇：寫作不僅是一種記錄，更是一種創造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇身份認證技術論文，希望這些內容能成為您創作過程中的良師益友，陪伴您不斷探索和進步。

身份認證技術論文

第1篇

論文摘要：隨著高校信息化建設的發展，統一身份認證平臺在數字化校園中發揮越來越重要的作用，改變了高校信息系統各自為政、一個用戶N多個帳號或需要重復登錄的狀況，實現單點登錄，有限的提高了整個信息系統的安全性和用戶的工作效率。而基于LDAP的統一身份認證讓實際開發變的更加輕松、可行性更高。

一、目前高校信息化建設現狀

隨著信息技術的發展，各個高校都高度重視信息化建設工作，“數字校園”即是將信息技術運用于教育改革過程形成的最新研究成果。在數字校園中，學校針對各種需求建設應用系統，力圖通過信息化來整合機構內的各種資源。但在實際信息化建設過程中，由于前期缺少統一規劃，并且高校系統軟件很少有做的很全或很專業的公司，基本上是學校各個部門各自為政，各自購買建設自己的信息系統。如教務處購買自己的教學管理系統，學生處購買單獨的學生綜合管理系統，圖書館有自己的借還書管理系統。

在多系統并存的情況下，校園網內每個用戶擁有多個密碼，用戶需要逐一登錄自己所要使用的應用系統，這給用戶造成了很大的不便，安全性存在嚴重隱患。同時，用戶的信息分散存儲于各個應用系統中，這不僅為用戶的正常使用也為應用系統的管理和維護增加了很大的麻煩，工作效率重復低下。為了解決這些問題，需要在多應用系統并存的情況下，實現應用系統間的用戶統一認證和信息共享。

二、統一身份認證在高校信息化建設中的重要作用

網絡信息系統的統一認證技術已經相當成熟，從門戶網站（如新浪）到企業內部網（如平安保險公司）都對原有的系統進行改造升級，使得不同歷史時期購進的信息系統能夠整合起來，進行統一認證，降低了管理成本同時又提高了信息系統的安全性，對用戶來說也解決了多賬戶多密碼難于記憶的問題。

目前，各大高校也在整合自己的網上資源，把各個獨立信息系統的認證統一起來，實現統一身份認證，通過統一規劃整合認證后的校園信息系統最大限度的減少用戶的帳號數，簡化登錄過程，實現一次登錄多點使用，實行統一管理，方便用戶的同時也極大的提高了信息系統的安全性。校園網內用戶只要登錄一次就可以訪問其它的網絡資源?？梢哉f隨著高校信息化建設的發展，統一身份認證是重中之重，信息建設部門應做好統一規劃，后期的軟件開發應用必須和統一身份認證平臺對接。

三、基于LDAP的統一身份認證的建設與特點

統一身份認證平臺的目的是要解決不同的應用系統用戶名和口令不統一的問題，通過提供統一的授權機制及一套方便、安全的口令認證方法，讓用戶只要一套用戶名和口令就可以使用校園網絡上有權使用的所有應用系統。保證用戶通過網絡單點登錄或手機登錄方式進入系統。目前使用最多的是采用目錄訪問進行身份認證，此技術基于LDAP（輕量型目錄訪問協議），具有高效的查詢速度。利用LDAP 服務特性及WEB相關技術，實現了對數字校園中用戶及網絡應用資源的統一開發管理。

統一身份認證平臺的開發功能如下：

1、目錄服務：目錄服務與現有系統集成在一起，充當一個集中化的身份信息庫，用于將學生、教師和其他人員的信息集中存儲。

2、統一認證：認證服務提供了平臺的核心基礎服務，用于對學生、教師和其他人員的數字化身份的認證。　 3、身份管理：提供基本的組、用戶、用戶屬性、用戶類型、口令的維護功能

4、管理控制臺：承擔整個統一身份認證平臺的身份數據管理、系統服務管理、平臺運行管理工作，是整個平臺的集中管理控制中心。

基于目錄訪問協議的身份認證基于Linux系統下OPenLDAP設計，能夠批量導入加密后的用戶信息，打印明碼條發給用戶。然后圍繞認證數據庫進行各種應用程序設計，包括：基于瀏覽器界面的統一認證Web應用程序、基于窗口界面的登錄界面設計（用于桌面應用軟件等）、基于瀏覽器界面的統一認證后臺管理Web應用程序等等。

基于目錄訪問協議的身份認證優點很多，主要有：采用開源解決方案，不需另外購買商業軟件，可以在源碼的基礎上進行二次開發，能夠最大程度減少IT信息建設投入；采用OpenLDAP進行系統認證，一定程度上防止SQL注入攻擊，有效保護后臺數據安全；LDAP具有很高的查詢速度，保證認證查詢速度；采用Linux作為認證平臺，安全、穩定。

四、結束語

當然，統一身份認證在實際的建設過程中可能會遇到各種難點，主要是接口問題，如很多以前實施的應用系統現在開發商都聯系不到（這種情況各個高校都有），整合到認證系統中可能花的代價比重新開發或購買的成本還要高。所以在后期規劃中，要求系統供應商必須提供或開發和身份認證平臺統一的接口。

目前，經過統一規劃和投資，身份認證系統在蘇州大學已經基本完成，整合集成了教務、學工、人事、行政等各種信息服務，是數字化校園的信息集中展示平臺，也是校內重要業務系統的統一入口。經實際使用證明，它不僅提高了數字校園中各種應用系統的安全性、可靠性，也給用戶提供了極大的方便，同時方便了數字校園的用戶管理，具有很好的社會效益和經濟效益。

參考文獻

[1]openldap.org openldap官方網站

[2]宮恩輝，朱巧明，李培峰，史鑫.LDAP和Kerberos在統一身份認證中的應用[J].蘇州大學學報(自然科學版).2006年02期

[3]張輝，楊岳湘，汪詩林.數字校園中基于LDAP的統一用戶身份管理技術研究[J].計算機工程與科學.2005年第27卷第1期

第2篇

關鍵詞：醫學院校，數字化校園，信息平臺，整合

現代高校的發展離不開信息技術，特別是隨著各高校學生人數急劇增加，新教學樓、新教室的不斷擴建，教學方式的多樣化等一系列因素使學校對多媒體、網絡教學、辦公應用系統等信息化技術依賴越來越大，數字化校園建設已經成為各高校信息化建設的重要任務之一。醫學院校在發展過程中也面臨著同樣的問題，需要對學校的教學、科研、管理等信息資源進行全面的整合，以實現統一的管理。

一、數字化校園的涵義及意義

在傳統觀念中數字化校園一直被認為只是由一個一卡通系統和多個應用系統組成，例如各種辦公系統、多媒體教學系統、人事系統和財務系統等。但由于各個系統中的信息，數據保存格式以及操作人員的權限設置都不一致，并且各系統由于開發商的不同很難做到統一的接口，系統間通訊困難，對于整個校園來講只是一個個“信息孤島”，造成大量冗余、錯誤的信息，因此這樣的“數字化校園”只是一個狹義的概念，并不能完全發揮信息化的優勢。而數字化校園真正的涵義是指以校園網絡為基礎，利用計算機、各種通訊手段對學校里各種辦公系統、多媒體教學系統進行統一的信息化管理，包括統一的身份認證、權限控制、教學資源管理以及對人事、財務、后勤等信息系統的統一管理等。數字化校園在時間和空間上都超越傳統意義上的校園，它是一個基于先進的信息化技術的虛擬校園，使現實的校園環境得到延伸[1]。

數字化校園的建設對于高校的管理和發展具有重要意義。首先，數字化校園是一個虛擬化的校園，它超越了時間和空間上的局限，使學校的跨地域業務得到有效開展，對學校建立創新型的教學模式，開放式的教育環境，多層次的管理方法都具有相當重要的意義。其次，數字化校園以網絡通訊為基礎，通過計算機處理大量的信息，使學校教工把一些查詢、統計、計算等工作交給計算機來完成，大大降低了工作量，提高了工作效率。再者，數字化校園成功解決了學校“信息孤島”的問題。數字化校園的成功實施，能把學校里各個分散的系統整合，實現數據的統一管理，避免出現數據的重復檢索、錄入。例如圖書館的圖書借閱系統，里面的人員信息不需要重新錄入，可以直接從人事處數據庫中調用，有效解決了數據的不一致問題。

二、國內外相關課題的研究現狀

“數字化”這個概念最先是由美國前副總統戈爾于1998年在美國加利福尼亞科學中心發表的題為《數字地球---21世紀認識地球的方式》（The Digital Earth:Understanding in our planet in the 21st Century）的報告中首次提到的，他提出了數字化地球的概念，此后，“數字化”名詞在全球流行開來，各行各業如數字化城市、數字化校園、數字化圖書館等名詞接二連三被提出。

近年來，校園數字化建設已經成為世界各國高校重點研究的課題之一。

在國外，英國信息教育技術走在前列。1998年1月英國啟動了全國學習網，利用網絡的高速優勢把學校、科研機構、圖書館等網站連為一體，為網絡教育開辟了途徑。2002年，英國全國學習網的網絡連接所有家庭、社區、學校、醫院、社會服務以及大眾媒體轉播系統、單位，基本能滿足學校教育、家庭教育、職業教育、終身教育和社會經濟發展的需求。

國內大學信息化基礎建設方面，在90年代初，建成校園網并通過CERNET建設與國際互聯網連接的大學總數不過10所左右。到1999年，已經有500余所大學建設了結構先進、功能完備的校園網絡。2002年，北京大學和香港大學共同啟動了亞洲地區第一個國際性的高等教育信息化研究項目，對亞洲地區各國高校信息化建設、發展的最新動態和信息，進行研究。

現階段醫學院校信息化建設所面臨的主要問題有：一是學校以醫學專業為主，信息化意識不強，缺乏專業的信息化建設人才隊伍；二是信息化建設各自為政，存在重復建設現象；三是信息化建設進程緩慢，沒有建立網上自動辦公系統和智能化決策支持系統。

三、數字化校園建設目標

醫學院校數字化建設的總體目標是建成一個適合學校校情的數字化校園模型，即“統一平臺+統一門戶+多應用系統”的建設模式，從而實現校內教學、管理、科研的全面信息化、網絡化。免費論文，整合。

1.統一平臺是指一個高性能的、負載均衡的、可擴展易維護的、高安全的應用軟件、硬件以及數據庫平臺。其中包括統一信息門戶平臺、統一身份認證平臺和統一公共數據平臺三大基礎平臺。

2.統一門戶是指要建成一個統一的、開放的、能提供信息共享并能提供多種應用服務的高效穩定的門戶中心。

3.多應用系統指為滿足各種教學、管理、科研等日常業務的需要而提供的各種信息化軟件、工具等，如教務系統、人事管理系統、財務系統、科研管理系統、學生管理系統等，這些系統從統一的數據庫平臺調用數據，共享規范標準格式的數據，提供統一的接口程序。

通過數字化校園的標準建設，集成現有的應用系統，在新需求下開發新的應用系統，從而實現校園的信息共享和傳遞，最終構建一個集教學、科研、管理、活動為一體的信息化環境，實現學校教育過程的全面信息化，從根本上提高教學質量、科研水平和管理水平。免費論文，整合。

四、數字化校園建設內容

數字化校園的建設是在現有網絡基礎設施的基礎上對校內所有信息化資源（包括各種應用系統、數據庫資源、認證系統等）進行全面整合的過程。數字化校園建設的各個環節必須互相緊扣，有計劃、有步驟地實施，確保各個環節協調發展。醫學院校的數字化校園建設可以結合自身特點，發展幾項特色項目，如虛擬實驗室、虛擬醫院、虛擬手術臺等。

數字化校園的總體架構設計包括基礎設施建設、統一身份認證平臺、應用系統建設

1、基礎設施建設

基礎設施建設包括基礎網絡平臺、弱電系統和IDC數據中心建設，是建設好數字化校園的基本保證，為數字校園提供最底層的網絡、硬件支持。

（1）基礎網絡平臺、弱電系統

（2）IDC數據中心

IDC數據中心是由一系列的硬件、軟件、相關網絡組成的整體，它作為全校數據流轉與交換的中心，主要包括主機系統、存儲系統、網絡系統、安全系統等硬件設備和數據庫系統、應用服務器、目錄服務器數據匯聚設備。

2、統一身份認證平臺

在數字化校園中，各個系統之間經常需要相互協作才能完成一項任務。但對于同一個用戶來說，如果不同的系統都要不同的登錄信息，并且要重復登錄，這就給用戶帶來極大的不便，也給系統加重了負擔。而所謂的統一身份認證就是對校內各個不同的應用系統采用統一的身份認證系統，為各應用系統的集成奠定基礎。

目前高校身份認證管理存在以下問題：

（1）由于目前校內各個系統都是分散管理，因此就難以統一管理用戶的賬號，這就難免會對一些賬號信息進行重復管理，增加管理成本。免費論文，整合。

（2）賬號的使用沒有落實到實名，一個賬號存在多人使用的現象，在出現安全事故時難以明確責任，因此在安全管理上存在漏洞。免費論文，整合。

（3）不同應用系統之間的認證模式和規范不同，安全等級劃分標準也不同，不便于全校的安全管理。免費論文，整合。

（4）一個用戶如要使用多個應用系統，就必須記憶多套賬號信息，并需重復登錄，給用戶的操作帶來極大的不變[2]。免費論文，整合。

3、應用系統建設

應用系統主要有一卡通系統、數字圖書館、教學系統、學工系統、人事系統、財務系統、精品課程等。

（1）一卡通系統

一卡通是數字化校園建設的重要內容，是校內各系統連接的樞紐。校園一卡通以校園網為基礎，集成各種計算機網絡設備、數據終端，以IC卡為載體實現校園管理的信息化。系統建成以后，將取代以前校內的各種卡證（如借書證、飯卡、工作證、學生證等），真正實現校內工作、學習、生活的“一卡通”。

（2）數字圖書館

數字圖書館是數字化校園的重要組成部分，它是指運用數字技術和信息技術把處于不同地理位置的信息資源進行整合存儲，并通過網絡向廣大讀者提供多媒體信息資源的虛擬化圖書館。數字圖書館不受地域空間的限制，能最大限度地共享各地信息資源。

（3）教學系統

教學系統主要有教務管理系統，它管理的對象主要有學生信息、教師信息、管理人員信息以及教學資源信息（如教室、多媒體等）。而它主要實現的功能有：排課、選課、考試安排、教學測評等[3]。

五．結束語

數字化校園已經成為建設現代化高校必須面臨的課題。數字化校園建成后，將很大程度上改變學校的教學、管理、科研等工作模式，更方便了校內的信息傳遞、共享。但國內醫學院校的數字化校園建設還有很長的一段路要走，必須在初期做好整體規劃，以學校的中心工作為出發點有計劃地實施。

參考文獻

[1]傅霖，張凡，江魁.高校數字校園探索與信息標準化建設[J].中國教育信息化，2007

[2]張應祥，吳健，孟彤.數字校園統一身份認證系統及管理平臺設計，2010

[3]胡艷梅，羊牧.醫學院校數字化校園系統結構設計[J]. 中國現代教育裝備，2007

第3篇

【關鍵詞】數字化校園三大平臺

高校各個部門相對獨立分散的業務系統通過數字化校園三大平臺進行統一整合和有效的集成，對集成數據制定統一的標準，實時更新各種數據信息，確保信息的一致性和提高信息的準確性，從而提升領導的決策水平和高校整體管理水平。數字化校園三大平臺不僅可以解決高校信息孤島的問題，規范業務流程，還能為高校師生提供“一站式”服務，提高工作效率。

1 信息化標準建設與公共數據平臺建設

現如今，高校各部門各司其職，根據需求建立各自的管理系統，缺乏數據統一標準和資源共享的意識。如果高校沒有建立統一的信息化標準，往往會導致數據資源的浪費。建設數字化校園三大平臺的主要目的是實現資源和數據共享以及將多個不關聯的系統統一成一個系統，實現各部門之間數據交互，方便信息管理，提高工作效率。所謂信息化標準，是指信息在產生、傳輸、交換和處理時采用統一的概念、傳輸和表達格式、術語以及規則。

公共數據平臺是建設信息門戶平臺和統一身份認證平臺的基礎，是數字化校園建設的重要組成部分。通過公共數據平臺，可以對學校各個部門的數據信息進行收集、管理和利用，可以有效解決“數據共享難、信息孤島”問題。公共數據庫是統一管理數字化校園中的各種結構化數據的平臺，具有建立和劃分面向具體業務的數據庫功能，可確保數據的一致性、完整性和安全性。通過數據集成平臺可以將教務處、財務處、學工處、人事處、科研處、圖書館等應用系統的數據庫集中到公共數據庫里，并保持所有應用數據的統一。

2 統一身份認證平臺建設

隨著教育信息化的發展，學校需求的應用系統越來越多，不利于網絡管理工作的開展。尤其是不同的應用系統其身份認證方式也不同，用戶人員需要掌握大量的登錄信息，經常會出現混淆登錄信息以及忘記登錄密碼的問題，降低了用戶的工作效率，同時也給網絡中心工作人員增加了不少的任務量。高?，F有的業務系統大部分都是單獨授權、單獨認證和單獨的賬號管理的模式，這種模式已經不能滿足信息化快速發展的需求。因此，建設一個統一的、安全可靠的、集中式的身份認證和管理平臺是一項相當重要的任務。

統一身份認證平臺屬于信息門戶平臺的身份認證方面，可以支持多個業務系統間單點登錄（SSO），為各學校各個部門的業務系統提供集中式管理和安全認證機制，使得各種業務系統有效的整合和集成在一起。為了更好的使用系統和降低信息中心運維人員的工作負擔，統一身份認證平臺提供了自助密碼找回功能。

3 信息門戶平臺建設

信息門戶平臺是直接展現給用戶面前的，不僅可以及時的新聞通知，還可以提供管理、學習、生活等多方面的服務，增強了用戶體驗感，給全校師生帶來了便捷性。

在該平臺中，通過微博聚合方式將學校官方微博中的新聞、通知等信息推送到門敉站中。另外，學校目前擁有的業務系統如教務系統、財務系統、人事系統、科研系統、郵件系統、OA系統、校園一卡通、就業系統、迎新系統、離校系統等模塊也會集成到門戶網站中，并抽取OA待辦事項、圖書借閱情況、校園卡余額、教師的本月工資和公積金發送情況、站內信息未讀提醒等服務模塊。信息門戶管理平臺根據學校領導、普通教師以及學生需求的不同將信息門戶頁面展現的內容劃分成三種，例如，以學生身份作為用戶登錄進去，頁面中會增加成績查詢和已修學分信息，方便學生掌握自己的已修課程成績和學分情況。此外，用戶可以根據本身的愛好需求將一些應用模塊添加到首頁，對界面進行美化，增強用戶體驗感。

4 結束語

數字化校園三大平臺建設在計算機和網絡技術基礎之上將高校內部各個相對獨立分散的業務系統有效的集成在一起，有效的解決了信息孤島的問題，實現了數據共享，提高了高校整體管理水平和綜合實力，有助于學模式和觀念的轉變，更好的輔助學校領導決策。

參考文獻

[1]張應祥.高校數字校園信息標準設計研究[J].中國教育信息化，2010（05）：22-24.

[2]殷娜.數字化校園統一身份認證平臺的構建[J].計算機技術與發展，2014（08）.

[3]任婕.統一認證在校園門戶網站上的應用[J].江蘇教育學院學報：自然科學版，2010，26（12）：63-67.

[4]劉夏，高榮芳，王學龍，任長林.數字化校園三大平臺建設研究[J].軟件導刊，2016（05）.

第4篇

關鍵詞：身份管理；身份認證； RSA模塊；安全性

中圖分類號： TN99?34 文獻標識碼： A 文章編號： 1004?373X（2016）24?0022?04

Optimization improvement of key technology of cloud electronic identity management and authentication system

WANG Pengcheng， XIE Kunpeng

（Henan Institute of Finance， Zhengzhou 450000， China）

Abstract： There are high risk， low efficiency of database storage， high authentication error rate in the current identity management authentication technology. Therefore， a cloud electronic authentication management system is proposed. This system is mainly composed of authentication server， system server and cloud access server. The control agent module in the authentication server intercepts the data information that the user requests for authentication by resource server， and sends the data information to the certification service module. When the user enters into the information database， the files required by the user are encrypted and decrypted by the RSA system server module. The identity authentication relies on the user′s private key and authentication token. The data information is uploaded to the cloud access server for storage and transmission to complete the entire cloud electronic identity management and authentication. Partial functions， flow charts of file encryption and decryption in RSA module， as well as the power operation process of large numbers multiplication and large mathematical model in the verification process of RSA module are given in this paper. The experimental results shows that proposed identity management and authentication system has low energy consumption， high efficiency and high precision of data processing.

Keywords： identity management； identity authentication； RSA module； security

0 引言

隨著電子信息技術的不斷發展，公共網絡服務、事務查詢等功能越來越多地出現在電子信息系統上。它可以為跨互聯網的用戶們提供安全快速的身份認證服務。電子信息系統給人們的生活帶來便捷，但隨之也存在電子信息技術安全性方面的問題[1?3]。其中的重要部分便是身份安全問題。構建一個安全性優良的電子身份信息管理和認證系統是目前相關專業人員的重點研究方向[4?6]。

目前的身份驗證方法都存在一些不足。如文獻[7]提出了OPEN ID身份信息處理系統，具體過程為讓用戶事先在網站上注冊個人信息，并且任何網站都可以使用OPEN ID進行登錄，對用戶身份進行認證。因為網站質量參差不齊，導致OPEN ID技術不穩定，安全風險也很大。文獻[8]提出單點登錄法，當用戶訪問任意的服務器，只要登錄過一次，通過其中的安全認證，那么下次用戶再訪問其他資源的時候則無需再次認證登錄。其缺點為安全性能太低，中央數據庫的管理代價較高。還會產生第三方服務器跨域問題。文獻[9]采用了OITF聯合身份管理系統，這種管理系統可以為多個應用系統進行身份認證，實現了跨域的單點登錄與身份管理。但由于身份安全級別的不同，安全認證的需求也不同，在多個應用系統中，要想使用統一的認證體系需要大量的開銷，極大地提高了成本。為了解決以上方法中存在的問題，本文設計了一種云電子身份管理認證系統。

1 云電子身份管理與認證系統設計

1.1 系統結構

云電子身份管理認證系統主要將數據庫中的用戶個人信息與各個應用系統的數據通過身份認證系統，來進行統一的管理、認證。首先，認證服務器將會對用戶的身份進行確認，認證服務器中的控制模塊截取用戶對資源服務器請求認證的數據信息，并將數據信息發送到認證服務模塊進行用戶身份認證。用戶進入到信息數據庫中后，需要通過系統服務器中的核心模塊，也就是RSA模塊對用戶所需文件進行加密解密處理，最終將數據信息上傳到云訪問服務器中，以完成整個電子身份認證管理過程。云電子身份管理與認證系統結構如圖1所示。

（1）認證服務器。認證服務器含有控制模塊與認證服務模塊。其中，控制模塊截取用戶對資源服務器請求認證的數據信息，并將數據信息發送到認證服務模塊進行身份認證。認證服務器為身份認證系統與認證服務模塊之間必不可少的一環。為了在服務器交換數據信息時，用戶數據和認證服務器保持完全分離，需要使用控制模塊，它可以保護用戶個人信息的安全。而認證服務器在客戶端完成相應的身份信息認證工作。在后臺的信息數據庫里存儲了大量的用戶個人信息數據。為了保護用戶的個人信息安全，用戶與認證服務器各擁有一個RSA密鑰，RSA密鑰可以實現用戶與客戶端的互相驗證，用戶可以根據認證服務器的公鑰信息判斷驗證服務器身份是否合法。

（2）認證客戶端。在每個公共網絡與內部網絡的未認證的用戶主機里都有一個認證客戶端，其是身份驗證系統的操作界面。

（3）認證令牌。認證令牌是在進行身份認證時隨機生成的動態數字，經過函數計算能夠得到動態口令。身份驗證系統會將得到的動態口令與用戶的ID信息進行對比查詢，提交到認證模塊的服務器中，以此來驗證用戶的身份。在身份驗證系統中，每一位用戶都會得到一個認證令牌。

1.2 系統服務器結構設計

認證模塊、系統管理模塊、用戶模塊、RSA管理模塊以及數據庫管理模塊組成了完整的系統服務器。系統服務器依靠模塊化的部件，確保身份認證系統更具有擴展性、安全性。系統服務器構造如圖2所示。

整個系統服務器的基礎模塊為RSA模塊，其可進行RSA加密或解密，實現大數運算，根據其他模塊的需要來進行計劃調度。同樣可以進行計劃調度的還有數據庫管理模塊，它對用戶數據進行處理。用戶進入到信息數據庫中后，通過系統服務器中的RSA模塊，對用戶所需文件進行加密解密處理，依靠用戶私鑰和認證令牌實現身份認證，將數據信息上傳到云訪問服務器中進行存儲和傳遞。系統管理模塊為身份認證系統的核心，可對其他模塊進行協調并加載服務。

1.3 云訪問服務器

云訪問服務器給用戶提供存儲和共享數據信息，并進行數據傳輸功能。云訪問服務器的工作效率對于身份管理與認證系統有著很大的影響。云訪問服務器的結構圖如圖3所示。

由圖3可見，云訪問服務器分為用戶注冊、用戶登錄、添加刪除好友、文件上傳、文件下載和文件共享6個模塊。依靠云系統的龐大容量來滿足身份認證系統的擴展需求。數據庫中的數據進行加密后即可儲存在云系統中，進行過加密處理的文件除了用戶本人以外，無法被讀取，從而保證了整個身份認證系統的保密性、安全性。

2 身份管理與認證系統的軟件設計

2.1 RSA模塊功能設計

RSA模塊是云電子身份管理認證系統的核心模塊之一，其可以運算RSA算法，還可以對文件進行加密解密處理。RSA的性能影響著系統的性能，因為在身份驗證系統中，基本上所有的函數運算都需要RSA模塊來完成。下面為RSA模塊中的部分功能函數：

Clargent函數的功能為可以將大數進行計算，比如基本的加減乘除、模冪與位移的運算等。內存中大數的構造即為Clargent函數：

enum LIMIT{LENGTH = 0xFF}；

unsigned long _len；

unsigned long _data[LENGTH]；

其中：len是大數的總長度，大數的最大長度即為len×32=8 192 b，Data為總長度中每一位的具體數值。進行運算設計時，將2×32作為基底，以左邊代表低位，右邊代表高位。

下列函數都與大素數相關：

InitSmallPrimes代表素數測試模塊所用的初始化小素數表；

SmallPrimeTest代表對產生的大數p進行的小素數檢驗，檢驗通過后再對大數p進行RabinMiller測試；

RabinMillerTest代表對產生的大數p進行RabinMiller測試，若測試通過則認為大數p為素數；

下列是與密匙相關的一些函數：

GetCommonDivisor代表獲取到兩個大數的最大公約數；GetE代表生成私匙（n，e）；GetD代表生成公匙（n，d）；RSAEncrypt代表將數據進行RSA加密處理；RSADecrypt代表將數據進行RSA解密處理。

為了讓文件與數據的相互轉換變得更加簡單，RSA模塊在文件加密處理時將文件作為大數來運算。一般文件的大小基本都比理論上大數的總長度大，所以在進行文件轉換時需將文件分段處理，對文件進行分段加密處理，最后再連接成一個完整的文件。解密過程同加密過程完全相反。

下面是文件的解密流程，如圖4所示。由圖4可知，需進行加密解密處理的文件共兩個，其中，Encode text代表將對文件進行加密處理；Decode text代表將對文件進行解密處理。

2.2 RSA模塊進行大數乘法過程

為了實現大數和unsigned long類型的乘法，RSA模塊需要先列出一個函數式，然后依據函數式來反復調用這一模塊。設A為位數是m的大數，設B為unsigned long類型數，則最后大數A*B的運算過程為：

（1）設C0=0，i=0

（2）則可得Ri=Ai*B+Ci

（3）如果 Ri>0xFFFFFFFF，Ci+1=Ri/0xFFFFFFFF，Ri=Ri&0xFFFFFFFF

（4）如果Ri

（5）如果i≥m，則結束

（6） i=i+1，重復步驟2

2.3 RSA模塊進行大數模冪運算過程

在RSA模塊進行電子身份認證運算過程中，私鑰與公鑰的值確定后，若想完成身份驗證并簽名，無論再進行發送還是接收都只需再運算一次，這種運算的過程稱之為模冪運算。構成模冪運算的為模乘運算，因為在RSA模塊中，大數位通常大于512 b，大數模冪的運算量則會很大。若想提高運算速度，需要簡化模冪算法，如下為簡化的大數模冪運算過程：

為了求得D=C15%N，因為a*b%n=（a%n）*（b% n）%n，那么可以得出：

C1=C*C%N=C2%N

C2=C1*C%N=C3%N

C3=C2*C2%N=C6%N

C4=C3*C%N=C7%N

C5=C4*C4%N=C14%N

C6=C5*C%N=C15%N

故可以將模冪運算e=15分解為6個模乘運算。通過分析上述函數式的規律可以得出e為任意值時，使用函數算法計算出D=Ce%N：

D=1

While e≥0

If （e非偶數）

D=D*C%N

D=D*D%N

e=e-1

If （e非奇數）

D=D*D%N

e=e/2

最終回到D

根據結果進行分析得知，D乘C的具體時間通過檢驗e的二進制各位數得出，并且在檢驗過程中，由左至右的檢測比較簡單，如下：

D=1

For i=n to 0

D=D*D%N

If e[i]=1

D=D*C%N

最終回到D

3 實驗分析

作為客戶端與服務器之間重要的數據傳輸設備，身份認證系統需要向用戶提供訪問服務。用戶是否能安全地登錄客戶端，對身份驗證系統有很高的要求，實驗對本文設計的云電子身份管理認證系統進行測試，驗證其性能。

3.1 測試準備

在實驗中本文采用了Avalanche 測試工具，其可模擬出大量的用戶對本文設計的身份管理與認證系統進行訪問，進而得出具體的實驗結果。為了避免客戶端和身份認證服務器在實驗身份認證過程中讀取的數據不同，采用Ethereal 抓包工具來抓取動態數據包，再對數據包進行解析。

3.2 測試結果

為了驗證本文提出方法的有效性，在各種不同條件下進行了多次測試，測試的結果如表1所示。通過表1可以得知：當最大并發數達到2 000，2 500，3 000時，本文設計的身份管理和認證系統CPU 消耗的最大值并未超過系統合理運行所要求的最大限度，當并發數達到很大的數值時，系統依舊可以正常運作；本文的身份管理和認證系統對于用戶要求響應的時間在220 ms左右，具有較高的認證效率；在測試過程中，當并發數值達到很大時，本文身份管理和認證系統對于數據處理的正確率也在99%以上。在身份認證系統中，由于系統軟件部分的運算速度有限，所以在對文件進行讀取和加密解密的過程中，對于函數式的運算性能要求十分苛刻。下面對本文提出的身份認證系統的文件加密解密運算執行時間進行性能檢測，結果如表2所示。

由圖5可知，對不同大小的文件分別進行加密和解密測試后的驗證結果顯示出文件的大小與文件加密解密的時間成正比，并且文件加密解密的所用時間都是ms級，非常微小。故本文提出的身份認證系統可以滿足用戶進行高效率身份認證的需求。

4 結論

本文提出一種云電子身份管理認證系統，系統主要由認證服務器、系統服務器與云訪問服務器組成。實驗結果表明，提出身份管理和認證系統耗能低、認證效率高，具有較高的數據處理精度。

參考文獻

[1] 王群，李馥娟，錢煥延.云計算身份認證模型研究[J].電子技術應用，2015，41（2）：135?138.

[2] 朱莉蓉，陳寧江，何佩聰，等.基于動態信任管理的云用戶行為認證服務系統[J].廣西大學學報（自然科學版），2015，40（6）：1485?1493.

[3] 王文清，柴麗娜，陳萍，等.Shibboleth與CALIS統一認證云服務中心的跨域認證集成模式[J].國家圖書館學刊，2015，24（4）：45?50.

[4] 李丙戌，吳禮發，周振吉，等.基于信任的云計算身份管理模型設計與實現[J].計算機科學，2014，41（10）：144?148.

[5] 王雷，王平建，向繼.云存儲環境中的統一認證技術[J].中國科學院大學學報，2015，32（5）：682?688.

[6] 葉丹.云智能生活中的身份安全[J].五金科技，2014，42（5）：82?85.

[7] 王崇霞，丁顏，劉倩，等.云計算環境的聯盟身份認證方案設計[J].應用科學學報，2015，33（2）：215?222.

第5篇

論文關鍵詞：CA認證體系；信息安全；數字證書；公鑰

一、CA概述

CA是CeritficateAuthoirty的縮寫，通常翻譯成認證權威或者認證中心，是負責發放和管理數字證書的權威機構，并承擔電子商務公鑰體系中公鑰的合法性檢驗的責任。

CA認證系統是一個大的網絡環境，從功能上基本可以劃分為CA、RA和WP。核心系統和CA放在一個單獨的封閉空間中，為了保證運行的絕對安全，其人員及制度都應有嚴格的規定，并且系統設計為離線網絡。CA的功能是在收到來自RA的證書請求時頒發證書。一般的個人證書發放過程都是自動進行，無須人工干預。

二、對外經濟貿易大學CA認證體系的規劃和建設

(一)背景

對外經濟貿易大學是教育部直屬的全國重點大學，國家“211工程”首批重點建設高校，大學校園網始建于1997年，經歷了建設、調整和完善的階段。截止目前為止校內所有建筑物全部光纖接入到網絡與教育技術中心，網絡設備400余臺，信息點數近17000個，實現了所有辦公樓及宿舍樓的上網需求。各部門相關業務系統也在逐漸完善，信息系統在日常工作中的使用頻率在迅速提升，與此同時，學校全面實施信息化校園(一期)建設，搭建了統一數據庫平臺、建立統一身份認證系統并建立了統一信息平臺門戶，基本實現各系統的信息共享。對外經濟貿易大學的校園網建設成已基本形成了運行比較穩定、速度比較快捷、應用比較廣泛、相對安全可靠的網絡，為全校的教學和科研活動提供了堅實的保障。

然而，單純的用戶名／口令身份認證方式已經不足以保證用戶登陸系統的身份安全性，在學校信息化建設相對穩定成熟的基礎上，我們考慮在校園網中建立一套完整的CA數字證書認證系統，通CA認證，把用戶的公鑰和用戶的其他標識信息捆綁在一起，其中包括用戶名個人信息以及電子郵件地址等，以實現在網絡上驗證用戶的真實身份。在開放網絡上實現密鑰的自動管理，保證網上數據的安全傳輸。并制定有針對性的相關運維策略，按照學校實際情況，頒發給校園內用戶標識個人身份的數字證書，使用戶利用數字證書登錄業務系統，替代原有的用戶名／口令登錄方式。真正做到既簡便了用戶的登陸操作，又進一步提升了業務系統的安全性。

(二)建設原則

結合學校各業務系統自身應用的現實情況，在相關國際標準的指導下，對外經貿大學CA認證系統建設項目的總體設計和實施都將依據國家有關信息安全政策法規，根據項目的實際需要和高校信息化建設的實際情況，依靠科學技術，依靠科學管理的思想進行設計；將長遠規劃和當前建設相結合，安全可行和方便適用相結合。因此，項目的研究和實施遵循以下原則：符合國家有關規定的原則、堅持繼承、發展、創新的原則、堅持以人為本、方便適用的原則、需求、風險、成本折衷原則、堅持統一標準、規范建設的原則、技術與管理相結合原則和保護已有投資、易于擴展的原則。

(三)建設內容

考慮CA身份認證系統在國內建設的相關情況以及結合對外經貿大學各業務系統的應用現實情況，對外經貿大學CA認證系統建設項目的建設內容如下：

1．制訂標準規范

制定符合對外經貿大學自身特色的標準規范，指導對外經貿CA安全認證體系的建設、推廣、使用，保證系統的高效管理和使用，保證系統之問的互聯互通。

2．建設對外經貿大學的CA安全認證體系

所建立的CA認證系統面向全校8000余名在校學生及1500名教職員工提供全面證書安全認證服務，認證系統將具備萬張級別的數字證書簽發管理能力，使整個校園信息化體系得到進一步完善，從安全性方面保證數字化校園網絡的高效、可靠運行，為對外經貿大學涉及的多套教學及辦公業務系統提供完善的數字證書服務。

3．數字證書與業務系統的結合

①與公文系統的結合

建設一套電子簽章平臺，來管理發放相關人員的電子印章，可以實現在OA審批流轉系統中對審批電子文檔的蓋章確認，包括對簽章人的身份確認，對審批文檔的防篡改，以及蓋章行為的不可抵賴。由于具備了真實性、完整性及可追溯性的安全機制，極大的推動了信息化系統中無紙化辦公的可靠性。

②與其他業務系統的結合

另外一種情況是業務系統不是流轉公文，而是流轉各種業務數據，比如合同、申報數據、審批表格等應用系統。由于業務系統情況千差萬別，不能用一個蓋章、簽字軟件與其結合，因此需要具體業務具體分析，學校將對于簽章、簽名系統提供二次開發接口，系統調用這些接口，實現電子簽章、電子簽名的應用。

4．其他拓展功能建設

作為安全基礎設施的CA認證系統，在建成后其頒發的數字證書不僅使用于對系統的安全登錄，同時還包括一系列拓展功能。包括身份認證、數字簽名／驗簽、數據加／解密、安全傳輸、應用支撐、安全審計等等。隨著校園網整個信息化系統的功能完善，信息安全體系建設的跟進就顯得尤為必要。

三、結論

第6篇

關鍵詞：公寓管理，風險分析信息安全

1.概述

高校學生公寓管理是高校后勤管理中的重要組成部分，隨著高校辦學規模的擴大，學生人數的急劇增長，傳統公寓管理方式受到挑戰。傳統方式完全依靠人工效率低、耗費大量人力、物力與財力。針對上述問題，設計并實現了學生公寓管理系統。分析了系統存在的安全風險，提出了合理的安全方案。解決了傳統開發方法中信息安全的疑難問題。

2.學生公寓管理系統的實現

2.1　系統功能分析

高校宿舍管理看似簡單的工作實際涉及到的部門和管理內容很多，比如學生、教職工的住宿安排；長期、短期以及臨時人員的入住記錄；宿舍固定資產的登記；宿舍常規設備的維修；宿舍水、電以及網絡費用的管理；學生宿舍的衛生評比等。原始手工記錄的方法顯然已經不能適用于目前學生人數激增所帶來的繁重的工作。因此，進行學生公寓管理信息系統的開發勢在必行。

通過調查用戶的要求，進行需求分析，確立高校宿舍管理信息系統的部分功能如下：

（1）學生、教職工或外來人員通過公寓系統管理員查詢住宿情況，同時可以查詢各種住宿標準；

（2）各宿舍固定資產情況及使用信息進行管理；

（3）普通用戶通過公寓管理系統向超級用戶提出宿舍設備的維修申請，超級用戶響應要求，并做好相關維修的信息記錄；

（4）建立相關數據庫的支持，合理安排住宿人員的住宿。對水、電和網絡的費用信息進行管理；

（5）超級用戶對各宿舍的衛生狀況做好及時的檢查和登記，為后續的評比工作打下基礎；

（6）各數據庫的數據信息允許進行統計匯總、保存和打印。

根據以上分析，設計高校公寓管理信息系統功能結構框圖如圖所示。

2.2　公寓管理信息系統數據庫設計

根據公寓管理信息系統的功能結構特點，本系統的數據庫設計采用SQL Server2000作為后臺數據庫。數據庫中包含房間信息、住宿管理信息、費用管理信息、資產登記信息、維修管理信息等多個數據表。根據管理需要公寓管理信息系統設計三種不同權限級別的用戶。分別是系統管理員、寢室管理員和普通用戶。不同的權限用戶對數據庫的訪問或修改享有不同的權利。

3.學生公寓管理系統的風險性分析

學生公寓管理系統的信息安全涉及數據通信、計算機系統軟件、網絡物理環境、數據庫存儲以及系統管理人員安全等多方面的要素。

就目前學校網絡現狀來看，公寓管理信息系統的應用雖然已經采取了一定的安全措施，但現有的公寓管理系統遇到的安全問題[1]主要有以下幾點：

（1）校園網與internet的互聯。由于校園網的監控措施有限，各種來自internet的計算機病毒、惡意代碼、網絡入侵會對校園網內使用的各種管理信息系統造成破壞。

圖系統功能結構圖

（2）公寓管理信息系統管理員操作失誤或用戶權限盜用、轉讓造成的危害。

（3）目前校園網的訪問控制采用的是防火墻與單機版殺毒軟件的方式，并沒有完善的防毒、殺毒策略。

（4）公寓管理信息系統的身份認證系統存在隱患。同時，校園網應用層提供WWW服務、E-MAIL服務、OA服務等相關管理信息系統的服務。多個信息系統的身份認證[2]給管理上帶來了很大的困難，在安全方面也埋下了重大的隱患。

（5）基于B/S架構的公寓管理信息系統，數據信息的發放是按照TCP/IP協議進行傳輸的。這種發送方式，在數據包的傳輸過程中存在著被竊聽和篡改的安全隱患。

（6）校園網網絡物理層相對而言設備比較陳舊，網絡設備廣泛使用路由器。而路由器自身技術及性能方面的不完善使由其連接的網絡安全性較差。存在網絡意外故障的安全風險。論文大全。

（7）公寓管理系統網絡的安全與系統管理人員的管理水平密不可分。改善公寓管理信息系統的安全現狀，有必要從管理角度降低風險。

4.學生公寓管理系統的安全方案設計

4.1網絡安全

由于校園網內部的網絡基于TCP/IP協議。網絡層存在大量的面向IP的安全隱患和危險。論文大全。在公寓管理信息系統中，為維護網絡的正常運行，根據訪問者 IP控制其訪問權限。

（1）物理安全

大量使用的路由器通過合理設計拓撲結構，使用加密模塊，恰當配置路由器訪問列表的方法適當提高系統運行安全的服務。定時分析網絡中的數據包，發現異常及時響應。

（2）網絡隔離

為防范由于校園網與Internet互聯造成的威脅，采用防火墻子網段進行隔離。這樣，可使敏感信息與網絡共享資源相互隔離，保證公寓管理信息系統的安全性。既有利有網絡功能的后續擴展，也便于進行網絡安全管理。

（3）網絡入侵檢測

網絡入侵檢測系統通過監視計算機網絡或信息系統的運行，一旦發現有違反安全策略的行為和被攻擊的跡象，報警并采取相應的處理措施。網絡入侵檢測系統配置于服務器和網絡的中心交換機節點。定義相應的安全保護策略。如果有非法數據包入侵，立即通訊防火墻阻斷該IP對網絡的訪問。

（4）網絡評估

利用漏洞掃描器對網絡設備進行安全漏洞檢測、分析和評估，執行預定的或事件驅動的網絡探測，檢測包括網絡通信服務、操作系統、路由器、電子郵件、防火墻和應用程序，掃描各種設備來發現并識別網絡的漏洞，防止入侵者的非法進入。

4.2系統安全

（1）系統安全機制

公寓管理信息系統設計了多級用戶權限，提供多級密碼口令或硬件密鑰等保護措施，識別用戶權限和訪問控制。論文大全。

（2）數據庫系統安全

數據庫數據的完整性包括數據的正確性和準確性。采取的安全措施主要有定期進行字段檢查，實行強身份認證[3]，采用PKI技術加強數據庫操作的保密性。做好防范的同時，還要進行必要的數據備份和數據恢復。

校園網是純交換的網絡系統，應用服務器和數據庫服務器都位于同一網段中。數據庫客戶端軟件是基于B/S，C/S或者中間件結構，用戶通過校園網絡訪問數據庫服務器。因此可以配備一臺服務器建立數據審計記錄庫，監視對數據庫的各種操作訪問，實現數據庫審計系統的管理工作。

4.3應用安全

在保證物理安全、網絡運行安全的基礎上，加強信息安全應用，確保信息在產生、存儲、傳輸和處理過程中的保密、完整和可用性。

校園網各信息管理系統可以通過單點登錄SSO（SingleSign On）構筑統一認證管理平臺，實現對身份、授權、密鑰、證書的統一管理。

4.4安全管理

在信息、系統安全中，除了采用較先進的安全技術措施之外，加強系統的安全管理，制定有關規章制度，對于確保系統安全、可靠地運行，將起到十分有效的作用。

5.小結

基于B/S架構的公寓信息管理系統成功解決了傳統方式效率低下的問題。公寓管理系統存在多種安全弱點，會面臨多種威脅，必須從管理和技術兩個方面出發，涉及網絡邊界、本地計算環境、網絡和主機系統基礎設施，SSO支撐的安全保障體系。解決系統安全問題。

今后可以根據信息化建設的實際需求，進一步在統一身份認證特別是單點登錄中進一步進行研究和應用。為多信息系統建立信息安全制。

參考文獻：

[1]闕喜戎，孫銳，龔向陽，王純.信息安全原理及應用[M].北京：清華出版社.2003年.

[2]鄭少鵬.統一身份認證系統[D]廣東工業大學，計算機應用技術專業，2003年.

[3]丁德勝，許建真，沈麗珍等.基于強身份認證的網絡應用單點登錄系統研究.計算機工程，2006，32(7):163-165.

第7篇

關鍵詞：VPN，管理，管理技術

一、VPN服務及其應用

VPN，即Virtual Private Network，是建立于公共網絡基礎之上的虛擬私有網絡，如利用Internet連接企業總部及其分支。VPN能夠給企業提供和私有網絡一樣的安全性、可靠性和可管理性等，并且能夠將通過公共網絡傳輸的數據加密。利用VPN，企業能夠以較低的成本提供分支機構、出差人員的內網接入服務。

如果訪問企業內部網絡資源，使用者需要接入本地ISP的接入服務提供點，即接入Internet，然后可以連接企業邊界的VPN服務器。如果利用傳統的WAN技術，使用者和企業內網之間需要有一根專線，而這非常不利于外出辦公人員的接入。而利用VPN，出差人員只需要接入本地網絡。論文寫作，管理。如果企業內網的身份認證服務器支持漫游的話，甚至可以不必接入本地ISP，并且使用VPN服務所使用的設備只是在企業內部網絡邊界的VPN服務器。

二、VPN管理

VPN能夠使企業將其內部網絡管理功能從企業網絡無縫延伸到公共網絡，甚至可以是企業客戶。這其中涉及到企業網絡的網絡管理任務，可以在組建網絡的初期交給運營商去完成，但企業自身還要完成許多網絡管理的任務。所以，一個功能完整的VPN管理系統是必需的。

通過VPN管理系統，可以實現以下目的：

1、降低成本：保證VPN可管理的同時不會過多增加操作和維護成本。

2、可擴展性：VPN管理需要對日益增加的企業客戶作出快速的反應，包括網絡軟件和硬件的平滑升級、安全策略維護、網絡質量保證QOS等。論文寫作，管理。

3、減少風險：從傳統的WAN網絡擴展到公共網絡，VPN面臨著安全與監控的風險。網絡管理要求做到允許公司分部、客戶通過VPN訪問企業內網的同時，還要確保企業資源的完整性。

4、可靠性：VPN構建于公共網絡之上，其可控性降低，所有必須采取VPN管理提高其可靠性。

三、VPN管理技術

1、第二層通道協議

第二層通道協議主要有兩種，PPTP和L2TP，其中L2TP協議將密鑰進行加密，其可靠性更強。

L2TP提高了VPN的管理性，表現在以下方面：

（1）安全的身份驗證

L2TP可以對隧道終點進行驗證。不使用明文的驗證，而是使用類似PPPCHAP的驗證方式。論文寫作，管理。

（2）內部地址分配

用戶接入VPN服務器后，可以獲取到企業內部網絡的地址，從而方便的加入企業內網，訪問網絡資源。地址的獲取可以使用動態分配的管理方法，由于獲取的是企業內部的私有地址，方便了地址管理并增加安全性。論文寫作，管理。

（3）網絡計費

L2TP能夠進行用戶接口處的數據流量統計，方便計費。

（4）統一網絡管理

L2TP協議已成為標準的協議，相關的MIB也已制定完成，可以采用統一SNMP管理方案進行網絡維護和管理。

2、IKE協議

IKE協議，即Internet Key Exchange，用于通信雙方協商和交換密鑰。IKE的特點是利用安全算法，不直接在網絡上傳輸密鑰，而是通過幾次數據的交換，利用數學算法計算出公共的密鑰。數據在網絡中被截取也不能計算出密鑰。使用的算法是Diffie Hellman，逆向分析出密鑰幾乎是不可能的。

在身份驗證方面，IKE提供了公鑰加密驗證、數字簽名、共享驗證字方法。并可以利用企業或獨立CA頒發證書實現身份認證。

IKE解決了在不安全的網絡中安全可靠地建立或更新共享密鑰的問題，是一種通用的協議，不僅能夠為Ipsec進行安全協商，還可以可以為OSPFv2 、RIPv2、SNMPv3等要求安全保密的協議協商安全參數。

3、配置管理

可以使VPN服務器支持MIB，利用SNMP的遠程配置和查詢功能對VPN網絡進行安全的管理。

（1）WEB方式的管理

利用瀏覽器訪問VPN服務器，利用服務器上設置的賬戶登錄，然后將Applet下載到瀏覽器上，就可以對服務器進行配置。論文寫作，管理。用戶登錄后，服務器會只授權登錄的IP地址和登錄客戶權限，從而避免偽造的IP地址和客戶操作。而且利用這種方式，還解決了普通SNMP協議只有查詢沒有配置功能的缺點。

（2）分級統一管理

如果企業網絡規模擴大，可以對VPN服務器進行統一配置管理，三級網絡中心負責數據的收集與統計，然后向上層匯總。收集的數據包括VPN用戶數量、VPN用戶的數據流量等。通過分級管理，一級網絡中心就能夠獲取全部VPN用戶的數量、流量并進行統計，分析出各地情況，從而使用合適的方案。

4、IPSec策略

IPSec是一組協議的總稱，IPsec被設計用來提供入口對入口通信安全分組通信的安全性由單個結點提供給多臺機器或者是局域網，也可以提供端到端通信安全，由作為端點的計算機完成安全操作。上述兩種模式都可以用來構VPN，這是IPsec最主要的用途。

IPSec策略包括一系列規則和過濾器，以便提供不同程度的安全級別。論文寫作，管理。在IPSec策略的實現中，有多種預置策略供用戶選擇，用戶也可以根據企業安全需求自行創建策略。IPSec策略的實施有兩種基本的方法，一是在本地計算機上指定策略，二是使用組策略對象，由其來實施策略。并且利用多種認證方式提升VPN的安全管理性。

利用上述VPN管理技術，可以大大提高企業網絡資源的安全性、完整性，并能夠實現資源的分布式服務。以后還將結合更多的技術，實現VPN網絡靈活的使用和安全方便的管理。其使用的領域也會越來越廣泛。

參考文獻：

[1]帕勒萬等著劉劍譯.無線網絡通信原理與應用[M].清華大學出版社，2002.11

[2]朱坤華，李長江.企業無線局域網的設計及組建研究[J].河南科技學院學報2008.2:120-123

[3]潘愛民.計算機網絡（第四版）[M].清華大學出版社2004.8

第8篇

摘要：目前我國國內高職院校的校園網的建設已經基本完成，學生校園管理數字化系統的建設實施也已經逐步展開，校園一卡通電子證件的發放標志著我們高職院校的學生管理正從紙質化向數字化轉變，這種變化既方便了學生的學習生活，同時有效地提高了學校學生管理的效率。

關鍵詞：一卡通；校園網；管理數字化；教育信息化

一張張兼具身份識別、校內消費、校務管理等多種功能的電子證件已經陸續出現在高職院校學生的手中，這張IC卡能實現學生證、出入證、醫療證、考試證、借閱證、飯卡、電話卡、上機卡、儲蓄卡等多種功能，實現了學生校內生活一卡通，首批使用這種電子證件實現學生校園數字化管理一卡通的高職院校已經出現。

1學生校園管理數字化

高職院校學生校園管理數字化系統是以現代化計算機技術與通信技術為手段，依托于學校校園網為載體進行建設，是集身份識別、校內消費、校務管理、金融服務為一體的新型數字化校園核心應用項目，常稱為校園一卡通建設項目，校園一卡通最關鍵的功能就是可以實現學生的校園管理數字化，包括學籍管理與考勤管理電子化、教學考試及成績查詢網絡化等。

2校園一卡通證件的功能和用途

校園一卡通證件正面均印有學生所在學校的名稱、學生姓名、學號等信息，內有芯片儲存著學生的基本信息、學籍信息、財務信息、獎懲信息等。校園一卡通證件的功能和用途主要體現在校園消費、管理和金融應用等方面。

消費：作為現代化的電子支付工具可直接支付在校內的各種費用，如食堂就餐、校內購物、校車乘坐、上機上網、醫院診療、資料復印、文件傳真、洗衣、洗澡、理發、體育活動等等。

管理：本證件可以作為學生的校內個人身份的證明，可用于身份識別、圖書借閱、自行車存放、門禁出入、考勤考績、教學實習、學籍學分、醫療信息等管理工作。

金融應用：將校園一卡通項目系統與合作銀行連通后，實現校園一卡通證件與銀行卡在物理上分離，邏輯上一體。校園卡具有校內消費、管理功能，銀行卡具有金融應用功能，由合作銀行發行的銀行卡可在國內該合作銀行各營業網點、柜臺、ATM機進行存/取款，也可在設有該合作銀行POS的商業、飲食、娛樂場所消費、購物。

3校園一卡通項目建設

校園一卡通項目是高職院校數字化校園的基礎工程，是高職院校數字化校園系統的重要的有機組成部分。校園一卡通項目的設計要架構在校園網上，不僅具備消費功能，而且還要具備身份識別和校務管理功能。校園一卡通項目的建設必須滿足數字化校園的整體規劃設計，要考慮與其它數字化校園建設項目如數字圖書館、校園無線網、構建遠程教育平臺、教育資源庫等系統建設的實施關系，要有步驟分階段的逐步實施建設。

校園一卡通建設應該按以下五個步驟實施：物理網絡的搭建；系統平臺的建設；基礎應用信息系統建設；一卡通系統對接建設；人員培訓。物理網絡的搭建又包括四個方面：結構化布線、網絡連通（網絡設備的選擇）、服務器的選擇、終端的選擇。系統平臺的建設主要包括：網絡操作系統、桌面平臺、數據庫、防火墻等的選擇?；A應用信息系統建設指根據學校的需求購買一些適用于學校日常工作和管理的基礎應用軟件，或對本學校的具體的特殊的需求自行進行二次軟件開發，如學院的數據中心建設和統一身份認證系統建立，即建設一個為全校服務的數據中心，保證數據實時更新和高度一致，建立統一的身份認證中心，集中進行身份認證，保證用戶電子身份的唯一性、真實性與權威性，提高數字化校園應用系統的安全性，基礎應用信息系統見表1，各高職院?？筛鶕髯缘牟煌瑮l件有選擇的分期完成。一卡通系統對接建設是指正確處理一卡通與已有基礎應用信息系統，如圖書管理系統、財務管理系統、教務管理系統的對接和系統數據共享和應用集成等問題，實現學生一卡在手，走遍校園，一卡通用，一卡多用。如果能夠實現各系統的無縫連接，例如一卡通系統與學校課表聯動，自動通過課表設置智能IC卡鑰匙，能夠打開將要使用的多媒體教室的電子鎖，并可用于實驗實訓設備的開啟。校園一卡通電子證件可以作為學生證、考試證、借閱證、飯卡、電話卡、上機卡、就餐卡、醫療收費卡、儲蓄卡、洗澡卡、購物卡、門禁卡、存車卡、乘車卡等多種功能，要分期完成，逐步擴充各項功能。培訓從人員角度，培訓可分為四級：院長的培訓、校園網管理員與終端操作員的培訓、青年骨干教師的培訓、全院教工的培訓，初期首先進行校園網管理員與終端操作員的培訓。

高職院校學生校園管理數字化的一卡通建設不僅是高職院校數字化校園系統的重要的有機組成部分之一，是高職院校數字化校園的基礎工程，是教育信息化建設的基礎支撐點之一，也是高職院校數字化校園建設的切入點，校園一卡通系統完成后將會使各高職院校形成一個跨平臺、跨數據庫的可自我發展的數字化校園信息平臺，逐步將我國高職院校建設成一個以計算機輔助教學，校園管理信息系統，辦公自動化系統為核心，以形成具有鮮明特色的計算機校園文化為目標的數字化校園系統。

參考文獻

[1]吳應良.教育信息化與管理信息系統的需求及支持關系[J].管理信息系統，2001，1.

[2]李圣良，王成華.建設高職院校數字化校園的探討[J].教育技術，2005，3.

[3]劉鋒，吳華光.數字校園統一身份認證系統的研究[J].南工科技，2005，4.

第9篇

論文摘要：隨著通訊技術、光纖技術的不斷發展,計算機網絡技術也同時不斷進步，計算機網絡的安全也成為計算機網絡設計師與客戶重視的焦點。本文主要對計算機網絡安全面臨的威脅和安全體系的建立與計算機網絡管理進行了探討。

一．引言

近年來，在計算機網絡技術應用的深入發展中，網絡安全問題已經逐漸成為網絡建設中的核心問題。網絡系統是一個由眾多計算機和網絡設備，以及網絡系統軟件構成的一個復雜的集成系統。在因特網絡上，互聯網本身沒有時空和地域的限制，每當有一種新的攻擊手段產生，就能在很短時間內傳遍全世界，這些攻擊手段利用網絡和系統漏洞進行攻擊從而造成計算機系統及網絡癱瘓。因此,計算機網絡的安全與管理越來越受到人們的關注,成為一個研究的新課題。

二．計算機網絡安全威脅分析

（1）計算機網絡面臨的安全性威脅

①非法授權訪問。威脅源成功地破壞訪問控制服務, 如修改訪問控制文件的內容, 實現了越權訪問。②非法連接。威脅源以非法手段形成合法的身份, 在網絡實體與網絡源之間建立非法連接。③拒絕服務。阻止合法的網絡用戶或其他合法權限的執行者使用某項服務。④信息泄露。未經授權的實體獲取到傳輸中或存放著的信息, 造成泄密。⑤無效的信息流。對正確的通信信息序列進行非法修改、刪除或重復, 使之變成無效信息。⑥偽裝。威脅源泉成功地假扮成另一個實體,隨后濫用這個實體的權利。

（2）計算機網絡面臨的安全攻擊

安全攻擊的形式: 計算機網絡的主要功能之一是通信,信息在網絡中的流動過程有可能受到中斷、截取、修改或捏造形式的安全攻擊。

①中斷。中斷是指破壞采取物理或邏輯方法中斷通信雙方的正常通信, 如切斷通信線路、禁用文件管理系統等。②截取。截取是指未授權者非法獲得訪問權,截獲通信雙方的通信內容。③修改。修改是指未授權者非法截獲通信雙方的通信內容后, 進行惡意篡改。如病毒可能會感染大量的計算機系統，占用網絡帶寬，阻塞正常流量，發送垃圾郵件，從而影響計算機網絡的正常運行。④捏造。捏造是指未授權者向系統中插入仿造的對象, 傳輸欺騙性消息。

三．計算機網絡安全體系的建立

建立開放系統互聯標準的安全體系結構框架,為網絡安全的研究奠定了基礎。

(1)身份認證。身份認證是訪問控制的基礎,是針對主動攻擊的重要防御措施。身份認證必須做到準確無誤地將對方辨別出來,同時還應該提供雙向認證,即互相證明自己的身份。網絡環境下的身份認證更加復雜,因為驗證身份一般通過網絡進行而非直接參交互,常規驗證身份的方式(如指紋)在網絡上已不適用;再有,大量黑客隨時隨地都可能嘗試向網絡滲透,截獲合法用戶口令,并冒名頂替以合法身份入網,所以需要采用高強度的密碼技術來進行身份認證。目前安全性較高的是USBKEY認證方法，這種方法采用軟硬件相結合，很好地解決了安全性與易用性之間的矛盾。USBKEY是一種USB接口的硬件設備，用戶的密鑰或數字證書無需存于內存，也無需通過網絡傳播。因此，大大增強了用戶使用信息的安全性。

(2)訪問控制。訪問控制的目的是控制不同用戶對信息資源的訪問權限,是針對越權使用資源的防御措施。訪問控制可分為自主訪問控制和強制訪問控制兩類。實現機制可以是基于訪問控制的屬性的訪問控制表(或訪問控制矩陣), 也可以是基于安全標簽、用戶分類及資源分檔的多級控制。

(3)數據保密。數據保密是針對信息泄露的防御措施。數據加密是常用的保證通信安全的手段,但由于計算機技術的發展,使得傳統的加密算法不斷地被破譯,不得不研究更高強度的加密算法,如目前的DES算法,公開密鑰算法等。

(4)數據完整性。數據完整性是針對非法篡改信息、文件及業務流而設置的防范措施。也就是說網上所傳輸的數據防止被修改、刪除、插入、替換或重發,從而保護合法用戶接收和使用該數據的真實性。

(5)加密機機制。加密技術的出現為全球電子商務提供了保證,從而使基于因特上的電子交易系統成為了可能，因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道。

(6)路由控制機制。一套完整的防火墻系統通常是由屏蔽路由器和服務器組成。屏蔽路由器是一個多端口的IP路由器,它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息，例如協議號、收發報文的IP地址和端口號、連接標志以至另外一些IP選項，對IP包進行過濾。服務器是防火墻中的一個服務器進程，它能夠代替網絡用戶完成特定的TCP/TP功能。一個服務器本質上是一個應用層的網關一個為特定網絡應用而連接兩個網絡的網關。用戶就一項TCP/TP應用,比如Telnet或者FTP，同服務器打交道，服務器要求用戶提供其要訪問的遠程主機名。當用戶答復并提供了正確的用戶身份及認證信息后，服務器連通遠程主機，為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。

(7)入侵檢測技術。隨著網絡安全風險系數不斷提高,作為對防火墻及其有益的補充,IDS（入侵檢測系統）能夠幫助網絡系統快速發現攻擊的發生,它擴展了系統管理員的安全管理能力，提高了信息安全基礎結構的完整性。入侵檢測系統是一種對網絡活動進行實時監測的專用系統，該系統處于防火墻之后,可以和防火墻及路由器配合工作,用來檢查一個LAN網段上網段上的所有通信,記錄和禁止網絡活動,可以通過重新配置來禁止從防火墻外部進入的惡意流量。入侵檢測系統能夠對網絡上的信息進行快速分析或在主機上對用戶進行審計分析，通過集中控制臺來管理和檢測。

(8)備份系統。備份系統可以全盤恢復運行計算機系統所需的數據和系統信息。對系統設備的備份。備份不僅在網絡系統硬件故障或人為失誤時起到保護作用,也在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用。

四．計算機網絡管理

(1)計算機網絡管理概述

計算機網絡管理分為兩類。第一類是計算機網絡應用程序、用戶帳號(例如文件的使用)和存取權限(許可)的管理,屬于與軟件有關的計算機網絡管理問題。第二類是對構成計算機網絡的硬件管理, 包括對工作站、服務器、網卡、路由器、網橋和集線器等的管理。通常情況下這些設備都分散在網絡中,當設備有問題發生時網絡管理員希望可以自動地被告通知,為了解決這個問題,在一些設備中已經具有網絡功能,可以遠程地詢問它們的狀態,使它們在有某種特定類型的事件發生時能夠發出警告。這種設備通常被稱為“智能”設備。網絡管理應遵循以下的原則: 由于管理信息而帶來的通信量不應明顯的增加網絡的通信量。被管理設

備上的協議不應明顯的增加系統處理的額外開銷,以致于削弱該設備的主要功能。

(2)計算機網絡管理的功能

國際標準化組織ISO定義了網絡管理的五個功能域,分別是: 故障管理、配置管理、計費管理、性能管理和安全管理。

①故障管理。故障管理是對網絡中的問題或故障進行檢測、隔離和糾正。使用故障管理技術,網絡管理者可以盡快地定位問題或故障點,排除問題故障。故障管理的過程包括3個步驟。a.發現問題;b.分離問題,找出故障的原因;c.如果可能, 盡量排除故障。

②配置管理。配置管理是發現和設置網絡設備的過程。配置管理提供的主要功能是通過對設備的配置數據提供快速的訪問,增強網絡管理人員對網絡的控制;可以將正在使用的配置數據與存儲在系統中的數據進行比較,而發現問題;可以根據需要方便地修改配置。配置管理主要是包括下面三個方面的內容:a.獲得關于當前網絡配置的信息;b.提供遠程修改設備配置的手段;C.存儲數據、維護最新的設備清單并根據數據產生報告。

③安全管理。安全管理是控制對計算機網絡中的信息的訪問的過程。提供的主要功能是正確操作網絡管理和保護管理對象等安全方面的功能。具體包括:

a.支持身份鑒別, 規定身份鑒別過程;b.控制和維護授權設施;c.控制和維護訪問權限;d.支持密鑰管理;f.維護和檢查安全日志。

計算機網絡的規模越來越大、復雜程度越來越高,為了保證計算機網絡良好的性能,確保向用戶提供滿意的服務,必須使用計算機網絡管理系統對計算機網絡進行自動化的管理。計算機網絡管理系統的功能是管理、監視和控制計算機網絡, 即對計算機網絡進行了配置, 獲取信息、監視網絡性能、管理故障以及進行安全控制。計算機網絡管理系統對計算機網絡的正常運行起著極其重要的作用。

五．結束語

計算機網絡信息安全工作貫穿于計算機網絡建設、發展的始終,需要我們時刻重視,不斷學習。只有加強網絡與信息安全管理,增強安全意識,不斷改進和發展網絡安全保密技術,才能防范于未然,確保計算機網絡的安全、可靠地運行。

參考文獻:

第10篇

關鍵詞：安全隱患；全網動態安全體系模型；信息安全化；安全防御

中圖分類號：TP393 文獻標志碼：A 文章編號：1006-8228（2016）12-46-03

Abstract： This paper studies the modern campus network information security， the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model （APPDRR）， through the research of the mainstream network information security technology of the modern campus network， puts forward the solution of each layer of the modern campus network security， and applies it to all aspects of the modern campus network， to build a modern campus network of the overall security defense system.

Key words： hidden danger； APPDRR； information security； security defense

0 引言

隨著現代校園網接入互聯網以及各種應用急劇增加，在享受高速互聯網帶來無限方便的同時，我們也被各種層次的安全問題困擾著?，F代校園網絡安全是一個整體系統工程，必須要對現代校園網進行全方位多層次安全分析，綜合運用先進的安全技術和產品，制定相應的安全策略，建立一套深度防御體系[1]，以自動適應現代校園網的動態安全需求。

1 現代校園網絡的安全隱患分析

現代校園網作為信息交換平臺重要的基礎設施，承擔著教學、科研、辦公等各種應用，信息安全隱患重重，面臨的安全威脅可以分為以下幾個層面。

⑴ 物理層的安全分析：物理層安全指的是網絡設備設施、通信線路等遭受自然災害、意外或人為破壞，造成現代校園網不能正常運行。在考慮現代校園網安全時，首先要考慮到物理安全風險，它是整個網絡系統安全的前提保障。

⑵ 網絡層的安全分析：網絡層處于網絡體系結構中物理層和傳輸層之間，是網絡入侵者進入信息系統的渠道和通路，網絡核心協議TCP/IP并非專為安全通信而設計，所以網絡系統存在大量安全隱患和威脅。

⑶ 系統層的安全分析：現代校園網中采用的各類操作系統都不可避免地存在著安全脆弱性，并且當今漏洞被發現與漏洞被利用之間的時間差越來越小，這就使得所有操作系統本身的安全性給整個現代校園網系統帶來巨大的安全風險。

⑷ 數據層的安全分析：數據審計平臺的原始數據來源各種應用系統及設備，采集引擎實現對網絡設備、安全設備、操作系統、應用服務等事件收集，采用多種方式和被收集設備進行數據交互，主要面臨著基于應用層數據的攻擊。

⑸ 應用層的安全分析[2]：為滿足學校教學、科研、辦公等需要，在現代校園網中提供了各層次的網絡應用，用戶提交的業務信息被監聽或篡改等存在很多的信息安全隱患，主機系統上運行的應用軟件系統采購自第三方，直接使用造成諸多安全要素。

⑹ 管理層的安全分析：人員有各種層次，對人員的管理和安全制度的制訂是否有效，影響由這一層次所引發的安全問題。

⑺ 非法入侵后果風險分析：非法入侵者一旦獲得對資源的控制權，就可以隨意對數據和文件進行刪除和修改，主要有篡改或刪除信息、公布信息、盜取信息、盜用服務、拒絕服務等。

2 現代校園網安全APPDRR模型提出

全網動態安全體系模型[3]（APPDRR）從建立全網自適應的、動態安全體系的角度出發，充分考慮了涉及網絡安全技術的六方面，如風險分析（Analysis）、安全策略（Policy）、安全防護（Protection）、安全檢測（Detection）、實時響應（Response）、數據恢復（Recovery）等，并強調各個方面的動態聯系與關聯程度。現代校園網安全模型如圖1所示，該模型緊緊圍繞安全策略構建了五道防線：第一道防線是風險分析，這是整體安全的前提和基礎；第二道防線是安全防護，阻止對現代校園網的入侵和破壞；第三道防線是安全監測，及時跟蹤發現；第四道防線是實時響應，保證現代校園網的可用性和可靠性；第五道防線是數據恢復，保證有用的數據在系統被入侵后能迅速恢復，并把災難降到最低程度。

3 現代校園網主流網絡信息安全化的技術研究

為了保護現代校園網的信息安全，結合福建農業職業技術學院網絡的實際需求，現代校園網信息中心將多種安全措施進行整合，建立一個立體的、完善的、多層次的現代校園網安全防御體系，主要技術有加解密技術、防火墻技術、防病毒系統、虛擬專用網、入侵防護技術、身份認證系統、數據備份系統和預警防控系統等，如圖2所示。

3.1 加解密技術

現代校園網中將部署各種應用系統，許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開信息。為確保特殊信息在各校區和部門之間交換過程中的保密性、完整性、可用性、真實性和可控性，需運用先進的對稱密碼算法、公鑰密碼算法、數字簽名技術、數字摘要技術和密鑰管理分發等加解密技術。

3.2 防火墻技術

防火墻技術是網絡基礎設施必要的不可分割的組成元素，是構成現代校園網信息安全化不可缺少的關鍵部分。它按照預先設定的一系列規則，對進出內外網之間的信息數據流進行監測、限制和過濾，只允許匹配規則的數據通過，并能夠記錄相關的訪問連接信息、通信服務量以及試圖入侵事件，以便管理員分析檢測、迅速響應和反饋調整。

3.3 防病毒系統

抗病毒技術可以及時發現內外網病毒的入侵和破壞，并通過以下兩種有效的手段進行相應地控制：一是有效阻止網絡病毒的廣泛傳播，采用蜜罐技術、隔離技術等；二是殺毒技術，使用網絡型防病毒系統進行預防、實時檢測和殺毒技術，讓現代校園網系統免受其危害。

3.4 虛擬專用網

虛擬專用網（全稱為Virtual Private NetWork，簡稱VPN）指的是通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對現代校園網內部網的擴展，由若干個不同的站點組成的集合，一個站點可以屬于不同的VPN，站點具有IP連通性，VPN間可以實現防問控制[4]。使用VPN的學校不僅提升了效率，而且學校各校區間的連接更加靈活。只要能夠上網，各校區均可以安全訪問到主校區網。使用VPN數據加密傳輸，保證信息在公網中傳輸的私密性和安全性。VPN按OSI參考模型分層來分類有：①數據鏈路層有PPTP、L2F和L2TP；②網絡層有GRE、IPSEC、 MPLS和DMVPN；③應用層有SSL。

3.5 入侵防護技術

入侵防護技術包含入侵檢測系統（IDS）和入侵防御系統（IPS）。IDS可以識別針對現代校園網資源或計算機的惡意企圖和不良行為，并能對此及時作出防控。IDS不僅能夠檢測未授權對象（人或程序）針對系統的入侵企圖或行為，同時能監控授權對象對系統資源的非法操作，提高了現代校園網的動態安全保護。IPS幫助系統應對現代校園網的有效攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和及時響應），提高現代校園網基礎結構的完整性。

3.6 身份認證系統

現代校園網殊部門（如檔案、財務、招生等）要建設成系統。要采用身份認證系統[5]，應建立相應的身份認證基礎平臺，加強用戶的身份認證，防止對網絡資源的非授權訪問以及越權操作，加強口令的管理。

3.7 數據備份系統

在現代校園網系統中建立安全可靠的數據備份系統是保證現代校園網系統數據安全和整體網絡可靠運行的必要手段，可保證在災難突發時，系統及業務有效恢復。現代校園網的數據備份系統平臺能實時對整個校園網的數據及系統進行集中統一備份，備份策略采用完全備份與增量備份相結合的方式。

3.8 預警防控系統

現代校園網絡安全管理人員必須對整個校園網體系的安全防御策略及時地進行檢測、修復和升級，嚴格履行國家標準的信息安全管理制度，構建現代校園網統一的安全管理與監控機制，能實行現代校園網統一安全配置，調控多層面分布式的安全問題，提高現代校園網的安全預警能力，加強對現代校園網應急事件的處理能力，切實建立起一個方便快捷、安全高效的現代校園網預警防控系統，實現現代校園網信息安全化的可控性。

4 現代校園網絡安全問題的解決方案

通過對現代校園網主流網絡信息安全化技術的深入研究，針對現代校園網的安全隱患，提出現代校園網絡安全問題的各層解決方案。

⑴ 物理層安全：主要指物理設備的安全，機房的安全等，包括物理層的軟硬件設備安全性、設備的備份、防災害能力、防干擾能力、設備的運行環境和不間斷電源保障等。相關環境建設和硬件產品必須按照我國相關國家標準執行。

⑵ 網絡層安全：針對現代校園網內部不同的業務部門及應用系統安全需求進行安全域劃分，并按照這些安全功能需求設計和實現相應的安全隔離與保護措施[6]，采用核心交換機的訪問控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實現信息安全化。

⑶ 系統層安全：現代校園網管理平臺的主機選擇安全可靠的操作系統，采取以下技術手段進行安全防護：補丁分發技術、系統掃描技術、主機加固技術、網絡防病毒系統。

⑷ 數據層安全：主要使用數據庫審計系統進行監控管理，對審計記錄結果進行保存，檢索和查詢，按需審計；同時還能夠對危險行為進行報警及阻斷，并提供對數據庫訪問的統計和分析，實現分析結果的可視化，能夠針對數據庫性能進行改進提供參考依據。

⑸ 應用層安全：應用層安全的安全性策略包括用戶和服務器間的雙向身份認證、信息和服務資源的訪問控制和訪問資源的加密，并通過審計和記錄機制，確保服務請求和資源訪問的防抵賴。

⑹ 管理層安全：現代校園網應依法來制訂安全管理制度，提供數據審計平臺。一方面，對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。另一方面，當事故發生后，提供黑客攻擊行為的追蹤線索及破案依據，實現對網絡的可控性與可審查性。

5 構筑現代校園網的整體安全防御體系

現代校園網絡安全問題的各層解決方案綜合應用到實際工作環境中，在配套安全管理制度規范下[7]，現代校園網可實現全方位多層次的信息安全化管理，配有一整套完備的現代校園網安全總需求分析、校園網風險分析、風險控制及安全風險評估、安全策略和布署處置、預警防控系統、安全實時監控系統、數據審計平臺、數據存儲備份與恢復等動態自適應的防御體系，可有效防范、阻止和切斷各種入侵者，構筑現代校園網的整體安全屏障。

6 結束語

信息安全化是現代校園網實施安全的有效舉措，并建立一套切實可行的現代校園網絡安全保護措施，提高現代校園網信息和應急處置能力，發揮現代校園網服務教學、科研和辦公管理的作用?，F代網絡的高速發展同時伴隨著種種不確定的安全因素，時時威脅現代校園網的健康發展，要至始至終保持與時俱進的思想，適時調整相應的網絡安全設備。

參考文獻（Reference）：

[1] [美]Sean Convery著，王迎春，謝琳，江魁譯.網絡安全體系結

構[M].人民郵電出版社，2005.

[2] Cbris McNab著，王景新譯.網絡安全評估[M].中國電力出版

社，2006.

[3] 陳杰新.校園網絡安全技術研究與應用[J].吉林大學碩士學

位論文，2010.

[4] Teare D.著，袁國忠譯.Cisco CCNP Route學習指南[M].北京

人民郵電出版社.2011.

[5] 張彬.高校數字化校園安全防護與管理系統設計與實現[D].

電子科技大學碩士學位論文，2015.5.

[6] 彭勝偉.高校校園計算機網絡設計與實現[J].無線互聯技術，

2012.11.

第11篇

關鍵詞：高校電子閱覽室網絡安全安全威脅應對措施

中圖分類號：TP399 文獻標識碼：A 文章編號：1007-9416(2012)02-0219-01

高校電子閱覽室是高校數字化校園的重要組成部分，我們可以通過電子閱覽室便捷地獲取到各種期刊學術論文和電子書籍及其他學習資料。一般的高校電子閱覽室都是面向學校的全體師生提供超星數據庫、中國知網數據庫、萬方數據庫、維普資訊等各類學術期刊論文和學習資料的光盤檢索與閱覽。由于各高校在電子閱覽室建設上的投入不一樣，以及建設思路存在差異，因此電子閱覽室的安全問題也是不盡相同。

1、高校電子閱覽室安全問題的來源

從當前的運用實踐來看，電子閱覽室常見的網絡安全問題包括以下幾種：

(1)非法訪問：這是典型網絡安全威脅來源。它是指非正常使用或越權使用來獲取信息資源、網絡資源等。通常是借助各種假冒或欺詐的手段以獲取到合法用戶的使用權限，實現其對合法用戶資源的占用。(2)隨意安裝、使用可移動的存儲設備：在電子閱覽室中，用戶如果通過U盤、移動硬盤等移動存儲介質來和外網進行數據交換，那么往往容易給病毒的傳入提供了機會，也就給電子閱覽室的敏感機密數據的泄密與外流。(3)破壞數據的完整：在電子閱覽室中，如果用戶使用非法手段，對使用中的一些重要信息資源進行側除、修改，那么就會給干擾用戶的正常使用，給電子閱覽室帶來威脅。(4)病毒與惡意攻擊：當電子閱覽室網絡受到外來惡意攻擊或者感染病毒時，就會容易使網絡陷入癱瘓。一般這種病毒是通過客戶機傳播，或發送大量垃圾數據包等。(5)惡意或非惡意地更改IP地址：在電子閱覽室的用戶當中，如果某些用戶出于一種非法目的而進行非法活動之前，通常會對其機器IP地址或機器名進行更改，以隱蔽其行為。這種非法操作這一方面影響了其它用戶的正常使用，同時也導致了網絡設備運行異?；蛞恍┍O控記錄不準，給電子閱覽室的安全管理帶來了威脅與隱患。(6)安裝、使用非法軟件或黑客軟件：主要是指有的教師或學生在電子閱覽室的計算機上安裝和使用非法、盜版的軟件，這既給計算機的正常運行帶來了威脅，而且有時用戶不知不覺安裝了黑客軟件，這對電子閱覽室而言，無疑是構成了重大的安全威脅。

基于以上歸納與總結，筆者認為，安全威脅是存在的，但只要采取有效的措施，這種威脅也是可以進行防御的。因此，高校電子閱覽室對安全威脅可以采取以下幾方面的應對措施。

2、高校電子閱覽室安全威脅的應對措施

2.1 劃分虛擬局域網VLAN

由于VLAN能使二層或者三層交換機上實現有限的廣播域，把網絡分成一個個獨立的區域，因而能實現這些區域是否可以通信進行控制。VLAN與其物理位置無關，可以跨越一個或多個交換機，設備之間就如同在同一個網絡間通信（見表1）。因此借助VLAN有助于控制廣播風暴的產生，提高整個網絡的整體性能，從而為安全威脅的防范提供了保障。

2.2 防火墻

防火墻是一種計算機硬件和軟件的結合，是網絡安全的屏障，能有效地保護內部網免受非法用戶的侵入。從而防止內部信息的泄露。防火墻可以減少外部入侵者突破電子閱覽室網絡系統的可能性，也能阻止電子閱覽室的內部用戶發送未加密的數據，從而達到保護網絡安全的目的。電子閱覽室的防火墻示意圖如圖1所示。

2.3 進行身份論證技術操作

對圖書館電子閱覽室安全管理系統來說，網上身份的識別和相互確認是確保數據信息在網上安全傳輸最為有效的手段。從某些角度來看，該項技術實際上充當網絡系統守門人的角色，它能夠在網絡和信息資源周圍構筑一個安全屏障，確保只有授權用戶才能進入。一般的身份認證技術有用戶名/口令、模式、指紋識別、數字簽名和硬件身份認證令牌等。內置智能卡芯片和USB接口硬件身份認證令牌在我國應用比較多，由于其具有硬件級的安全存貯性能、便于隨身攜帶、與計算機直接相連接口的特點，所以得到了廣泛應用。

2.4 加強數據保護

數據是電子閱覽室的重要構成部分，是其維持穩定運行的核心要素。因此，網絡系統內數據安全對電子閱覽室而言有著十分重要的意義。我們可以根據數據量的多少采用軟盤、磁帶、光盤、硬盤等多種拷貝方式，做好每天服務器中數據的備份。另外，要注意機器和設備的備份。加強了數據的保護與備份，本質上就是防止了電子閱覽室的崩潰與癱瘓。因此，無論從服務器的購買，還是平時硬盤數據的保護，都有必要進行備份，以防萬一因電源故障或者其他意外因素引起數據丟失。

3、結語

網絡安全成為互聯網時代的一項值得研究的重要課題。高校電子閱覽室作為數字圖書館的一部分，同樣面臨著安全威脅。如何進行有效地預防與應對，這是一項極其復雜煩瑣的工作，需要計算機專業的技術和手段。這就要求我們廣大師生在使用電子閱覽室資源時提高安全意識，同時要求我們的網絡管理者不斷提高業務素質，針對電子閱覽室安全系統中存在的安全隱患采取有效的安全預防策略、添加相應的網絡安全產品，給電子閱覽室的網絡安全提供強有力的保障，從而更好地為廣大師生服務。

參考文獻

第12篇

關鍵詞：電子政務，信息安全，網絡安全，安全模型，信息安全體系結構

一、電子政務安全體系概述網絡安全遵循“木桶原理”，即一個木桶的容積決定于它最短的一塊木板，一個系統的安全強度等于它最薄弱環節的安全強度。因此，電子政務必須建立在一個完整的多層次的安全體系之上，任何環節的薄弱都將導致整個安全體系的崩潰。同時，由于電子政務的特殊性，也要求電子政務安全環境中重要的加密/密鑰交換算法等安全核心技術必須采用具有自主知識產權或原碼開放的產品。

一個完整的電子政務安全體系可由四部分構成，即：基礎安全設施、安全技術平臺、容災與恢復系統和安全管理，如圖：

基礎安全設施是一個為整個安全體系提供安全服務的基礎性平臺，為應用系統和網絡系統提供包括數據完整性、真實性、可用性、不可抵賴性、機密性在內的安全服務。有了這一基礎設施，整個電子政務的安全策略便有了實現的保證。這一平臺的實現主要包括CA/PKI。

網絡系統安全是一個組合現有安全產品和技術實現網絡安全策略的平臺。網絡系統安全的優劣取決與安全策略的合理性，電子政務的網絡安全策略是：劃分網絡安全域建立多層次的動態防御體系。

電子政務系統用戶類型復雜，劃分網絡安全域將具有相似權限的用戶劃分成獨立的管理域，管理域之間通過物理隔離與認證/加密技術實現有限可控的互連互通，有利于降低整個系統訪問權限控制的復雜性，降低系統性風險。

基于多層次的防御體系在各個層次上部署相關的網絡安全產品以增加攻擊都侵入時所需花費的時間、成本和資源，從而有效地降低被攻擊的危險，達到安全防護的目標。如訪問控制可部署在網絡層的接入路由器/VLAN交換機和應用層的身份認證系統兩層之上。

網絡信息安全具有動態性的特點：網絡和應用程序的未知漏洞具有動態產生的特點；電子政務的應用也會動態變化、網絡升級優化將導致系統配置動態更新。這些都要求我們的防御系統必須具有動態適應能力，包括建立入侵監測（IDS）系統，漏洞掃描系統和安全配置審計系統，并將它們與防火墻等設備結合成連動系統，以適應網絡環境的變化。

災難恢復系統在發生重大自然及人為災難時能迅速恢復數據資料，保證系統的正常運行并保護了政務歷史資料。電子政務的容災與恢復系統應該采用磁帶靜態備份與磁盤同步備份相結合的方式。磁帶靜態方式用于離線保存歷史記錄，保證了歷史信息的完整，而磁盤同步方式則用于災難數據恢復，保護了當前系統的所有數據。

安全管理也是電子政務安全體系的重要組成部分。網絡安全的核心實際上是管理，安全技術實際上只是實現管理的一種手段，再好的技術手段都必須配合合理的制度才能發揮作用。需要制定的制度包括：日常系統操作及維護制度、審計制度、文檔管理制度、應急響應制度等。

二、電子政務安全體系的設計電子政務系統是一個復雜的多層次應用系統，根據不同的應用環境和安全要求一般可分為三個不同的網段：內網、專網、外網。免費論文。

內網包括內網的數據層、內網的業務層；內網數據層是政府信息的集中存儲與處理的域，該域必須具有極其嚴格的安全控制策略，信息必須通過中間處理才能獲得。內網的業務層是政府內部的電子辦公環境，該區域內的信息只能在內部流動。

專網連接政府不同的部門和不同部門的上下級部門。它把部分需要各部門交換的信息進行交換。該區域負責將信息從一個內網傳送到另一個內網區域，它不與外網域有任何信息交換。免費論文。

外網是政府部門的公共信息的場所，它實現政府與公眾的互操作。該域應與內網和專網隔離。

不同的網絡連接示意圖如下：

根據不同網絡的不同安全需求，設計了如下一個電子政務的安全模型：

三、電子政務安全體系的部署

電子政務安全體系的部署應遵循確定安全需求、安全狀態評估、安全策略制定（含管理制度）、安全方案設計、安全方案實施、安全制度培訓的順序進行。免費論文。前期的確定安全需求和安全狀態評估是整個安全體系部署中最重要的兩個步驟，它們是后續制定安全策略和方案設計的依據，決定了整個安全體系的可靠性。

全面的安全需求調查包括兩個方面：系統安全的功能需求和安全置信度需求。系統安全的功能需求包括安全審計需求、安全連接需求、身份認證、信息機密需求、數據保護需求以及安全管理需求。安全置信度需求包括安全保護輪廓評估（PP）、安全目標（ST）評估、系統配置維護管理、用戶手冊規范、產品生命周期支持以及測試等內容。

安全狀態評估通常采用五種方式來了解安全漏洞：1) 對現有安全策略和制度進行分析；2) 參照一些通用的安全基線來考察系統安全狀態；3) 利用安全掃描工具來發現一些技術性的常見漏洞；4) 允許一些有經驗的人在監管之下對特定的機密信息和區域做模擬入侵系統，以確定特定區域和信息的安全等級；5) 對該系統的安全管理人員和使用者進行訪談，以確定安全管理制度的執行情況和漏洞。

同時應注意的是，安全體系的部署并非一勞永逸的事情，隨著系統安全狀態的動態變化，應定期對系統進行安全評估和審計，搜尋潛在的安全漏洞并修正錯誤安全配置。

總之，電子政務的安全系統是個容復雜組織和先進IT技術于一體的復合體，必須從管理和技術兩方面來加強安全性，以動態的眼光來管理安全，在嚴謹的安全需求分析和安全評估的基礎上運用合理的安全技術來實現電子政務的整體安全。

·參考文獻：

1．電子政務總體設計與技術實現《北京:電子工業出版社》國家信息安全工程技術研究中心 2003

2．《國家信息化領導小組關于推進國家電子政務網絡建設的意見》國信辦 2006

3．電子政務安全解決方案要解決的主要問題《信息安全與通信保密》譚興烈 2004

4．電子政務安全體系《信息安全與通信保密》鄔賀銓 2003

相關期刊