数据机房方案精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的数据机房方案主题范文，仅供参考，欢迎阅读并收藏。

第1篇：数据机房方案范文

中国建筑技术集团有限公司、厦门科华恒盛股份有限公司、北京时代飞扬科技有限公司、北京嘉华时展有限公司，以及北京邮电大学、北京交通大学等技术和高校代表参加了此次沙龙活动。

北京交通大学信息中心主任贾卓生以《机房与数据安全应急演练》为题，展开演讲。据他介绍，北京交通大学信息化办公室于2016年期末组织了校首次信息系统及数据安全应急演练，旨在摸清学校信息系统数据日常备份情况、检验各单位信息系统数据备份的有效性。随着学校网络规模的不断扩大、网络承载信息的不断增多，信息中心组织并开展了信息系统及数据安全应急演练。通过模拟机房突发火灾，确保系统的异地备份数据可用，不断增强信息系统数据的安全意识和应急处理能力。

信息化办公室于2016年上半年向学校部处各级学院了《关于组织北京交通大学信息系统及数据安全应急演练的通知》，安排部署应急演练的相关事宜。演练假想服务器机房发生火灾，导致服务器及其上的数据无法使用。学校通过购买新设备后，需要利用原有异地备份的数据在新设备上进行系统恢复重建。

在参与演练的信息系统中，数据容量为TB数量级的系统有多个，包括信息中心的邮件系统、教务处的课程平台系统、物流VOC数据采集与监控系统、信息中心的日志系统。所有90多个系统总的数据量接近200TB。

在演练过程中，恢复系统所需时长最长的为教务处的教务系统、毕业论文系统、大创项目系统，因为操作系统出现问题，重新安装系统花费了10多个小时，系统总恢复时长约为30小时。其他系统，如计财处的各系统大约需要12小时，招生就业处的招生资讯网需要3个小时，信息中心的OA系统约需9小时，一卡通相关各系统、邮件系统、Mis系统、科研系统等均需2至3个小时。

贾卓生总结，通过此次演练，摸清了各单位的情况，暴露出一些系统的数据备份机制存在比较大的问题：有些系统没有或很少做数据备份；有些系统只有简单的本机备份，没有异地备份；有些系统有异地备份，但从未检验过备份数据的可用性等等。信息化办公室通过此次演练了解各单位的备份需求，对于今后筹建规范化备份机制打下了工作基础。

目前，北京交通大学已扩容了异地容灾备份的存储空间，同时开通NAS存储，使所有系统管理员（包括部处和学院）都能够自己备份数据到异地容灾系统中；部署数据备份软件，自动备份所有数据和系统；各类系统向云平台迁移，利用云平台本身的镜像备份功能，可快速恢复系统。同时两套云平台互为备份，避免鸡蛋放在一个篮子里的问题。

事实上，高校机房建设、规范、维护及数据安全的问题一直存在，各院校因其信息化水平和实际使用情况不同，表现出了不同的需求。

中国建筑技术集团有限公司高级售前经理赵凯介绍，数据中心基础设施的范围包括：门禁安防系统、消防灭火系统、机房环境监控系统、楼宇自控系统、装饰装修系统。而造成数据中心设施维护风险的原因包括：不当运行维护操作、设备产品自身的故障和不科学的维护管理制度。根据专业机构统计，数据中心设施运行风险中，约70%的基础设施故障是人为失误造成的；仅有30%是由于设备自身造成的。对于数据中心用户而言，通过健康评估和项目整体维保的方式，能够提前发现设施存在的风险，及时采取有针对性的措施加以预防和解决。

数据中心整体维保，是站在整体系统而非设备的层面考虑数据中心的安全运行，由优秀第三方提供7×24小时技术支持与维修，对设备和环境进行调整配合，设备定期维护保养，灾变应急处理等。在整体维保服务中通过响应及时、管理规范、运行安全、资源可用的要求，实现“事前防范，风险前移；事中控制，快速响应；事后改进，持续评估”的持续改进原则。

厦门科华恒盛股份有限公司技术总监杨平以“提升数据机房全生命周期可靠性”为题，分享了国家开放大学、北京回龙观中学、三峡大学智慧校园等案例。其中，科华恒盛微模块数据机房为三峡大学智慧校园机房建设提供了一个集成配电系统、UPS系统、精密空调系统及冷通道系统等系统的整体解决方案，打造高效节能、智能简捷和极具扩展性的绿色数据中心。

第2篇：数据机房方案范文

【关键词】数据中心机房综合监控系统

一、背景综述

在实际的工作中，一旦数据中心机房的设备出现丝毫的故障，就会对计算机系统的运行造成很大的消极影响，鉴于这样情况，我们必须制定一系列的有效措施，既能保证及时的发现问题和解决问题，同时又能够减少工作量，提高工作效率。①机房的设备经常被盗窃，导致计算机系统没有办法正常的工作，另一方面，报警和监控以及记录功能的缺失，也导致了犯罪分子的作案活动更加猖獗；②维修人员在巡检的过程中，并没有良好的进行规范化管理措施，导致很多的工作出现了较大的漏洞；③供电系统有时候没有监控，一旦发生停电或者市电异常的情况，就没有办法及时的掌握数据中心机房的情况，更严重的情况就是，停电后若未及时切换到油机供电，后备电池也会因为过度放电而出现较大的损坏。

二、解决方案

2.1系统组成

从严格的角度来说，数据中心机房的综合监控系统包含两个部分，一个是数据中心机房周围环境和动力监控系统；另一个就是数据中心机房的IT监测系统，这两个系统都具有非常重要的作用，在实际的工作中，绝对不能发生人为加强某一系统，忽略另一个系统的情况。

数据中心机房环境动力监控系统监控的主要内容为：①UPS设备监控，此项设备监控对数据中心机房环境而言，具有决定性的影响；柴油发电机组设备监控，柴油发电机作为设备的核心部分，一旦发生问题，必须得到及时、有效的处理，否则会影响供电，在根本上对数据中心机房环境造成恶劣的影响；②空调设备监控，空调设备能够良好的调节数据中心机房环境的温度，对每一个设备都是非常重要的，在任何一个季节，都需要对温度有一个良好的掌控，否则会影响设备的运行，在硬件方面造成很大的损害，为以后设备的正常运行埋下隐患；③温湿度监测，温湿度是考量数据中心机房环境好坏的重要标准之一，温度和湿度都必须保持在一个合理的范围之内，这样才能保证数据中心机房的稳定性和安全性；

数据中心机房IT监测系统监控的主要内容为：①硬件方面―――网络设备以及服务器的监测，两项设备都是数据中心机房的重要组成部分，对客户具有非常重要的作用；②软件方面―――主要包括数据库的软件以及中间软件等等，在日常的工作中，这些软件能够及时的处理数据，同时提供客户最优质的服务，因此需要得到有效的监测。

2.2系统实现方式

2.2.1数据中心机房环境动力监控系统监控的实施方式

UPS设备监控的实施方法：UPS电源是UPS设备的重要组成部分，在实际的监控当中，需要通过智能协议转换器来进行监控，科研人员经过研究发现，如果用软件的方式和通信数据集中器进行通信，能够达到一个较好的效果，并且能够有效的实现UPS状态的全面诊断以及对UPS各项参数的监视。

如果机房的网络设备出现了异常的情况，那么监测系统可以实现以下几种管理功能，有效的控制异常情况：①能够对告警事件进行详细的记录，同时由管理人员根据不同的需求，对每一种事件进行详细的分类，良好的实现对事件的过滤，这样做的好处是能够及时的找到事件的原因，制定处理办法的时候也具有一定的针对性；②能够通过不同的定义，比方说事件的来源或者类型等等，实现对事件的分析，在实际的工作中按照实践的关联设置功能，自动、高效的区分重复事件，如此一来，就能大幅度的减少系统负载，提升系统的性能。

2.2.2服务器监测的实施方法以及服务器监测应该包括以下的内容

（1）监测服务器能否有效的运行，监测的系统需要广泛一些，虽然现阶段应用windows系统较多，但仍然需要对UNIX一类的主流系统进行有效的监测；（2）监测主流系统的平台上运行的相关进程以及服务的运行状况，这样有助于系统上的各种进程减少冲突，提高性能。

三、结束语

综上所述，完善的数据中心机房综合监控系统应该具备三大特点：能够实现从设备运行情况到机柜微环境，再到机房整体环境的多层次监控；有丰富的阈值设置以便监测出危机的存在，且有丰富的预警方式和预警流程以保证相关人员能够收到警讯。

参考文献

第3篇：数据机房方案范文

关键词：数据存储；计算机；安全广泛

中图分类号：TP309

随着计算机网路信息技术的不断发展，为了便于实现人与企业之间的信息交流，网络之技术已经深入到企业发展的过程之中，所以网络安全问题已经成为信息安全领域的关键问题。本文通过相关参考文献的阅读分析，对计算机数据存储安全技术进行了比较深入的研究，有助于人们对数据存储安全的认识，对于计算机网络数据的维护具有一定的指导作用。

1 影响计算机数据存储安全的软件与硬件因素

1.1 硬件因素分析。影响计算机数据存储的物理因素主要包括以下几个方面：（1）自然因素，随着现代信息技术的不断发展，计算机网络已经成为人们日常生活不可缺少的一部分。对于计算机而言硬盘中存储着很多人们日常生活所需要的数据信息。在计算机网络运营的过程中，会因为可能的各种自然灾害导致了数据传输线路的中断，将会造成各种数据的丢失。（2）网络硬件方面，随着计算机网络硬件技术的不断更新换代，，但是数据的增长量却会呈现出爆发性的增长，结果导致了目前的数据存储硬件无法满足实际的存储需要。所以要对存储数据的硬件技术进行优化升级，能够满足对数据存储的需求。在过去的网路传输中由于设备的老化，导致了数据传输的速度较慢，网络数据传输的延迟时间较长，导致了数据传输的崩溃，造成了数据的丢失。（3）数据的操作失误，数据管理人员无论在进行怎样的软件操作时，都有可能会出现数据管理操作失误的情况，有一些不良的操作会导致数据系统的安全性受到很大的冲击。

1.2 影响计算机数据安全的软件因素。影响计算机数据安全技术的软件技术主要有以下三个方面：（1）电磁波的辐射，在计算机存储的各种数据在一定程度上会被电磁波带出，非法分子通过使用一些无线数据接收器，就能获得相应的数据信息；（2）网络安全因素：计算机网路使得各个电脑硬盘内存储的数据实现了共享，在用户与主机之间以及用户和用户之间将会出现大量的漏洞，使得计算机存储的数据遭到了黑客的攻击；（3）现代计算机网路在运营的过程中虽然有防火墙的作用，但是防火墙目前由于存在狠毒偶的漏洞遭到了很多计算机病毒的入侵。这些病毒程序是可以通过网上下载以及电子邮件和盗版光盘的形式潜入计算机网络。

2 计算机数据存储安全防范技术

2.1 数据存储安全的物理防范措施。目前比较常用的物理防范措施主要体现在以下几个方面：（1）数据备份，原始数据一旦丢失以后，那么应该按照原始的副本进行原始数据的维护。当前比较经常使用的数据本分技术有快照技术、数据镜像技术、Raid技术以及云共享技术。一旦遇到自然灾害或者是人为的破坏数据，可以通过上述方法实现数据的恢复。（2）数据安全删除技术，随着最近几年数据恢复技术的不断发展，在计算机上通过操作系统对文件进行删除已经变的不再可靠，如何实现有效的对信息进行清除对计算机的数据安全威胁，去除计算机上有用的信息，正在成为当今信息安全领域的新的研究热点。所谓的数据安全删除就是指对删除数据的恢复过程进行破坏，使得比较重要的数据一旦删除以后，就无法进行恢复。尤其是对于企业的发展而言，一些比较敏感数据的删除是十分必要的。众所周知高级格式化无法对数据内的数据信息进行覆盖处理，因此也不能叫做安全处理。

2.2 软件安全对策分析。计算机操作系统安全识别的策略主要体现在以下几个方面。首先尽量使用安全性比较高的网络操作系统，关闭一些不经常使用以及存在安全隐患的应用程序。对于一些有用的信息进行加密处理，在文档的打开以及读写设施方面应该有口令登录设置。在网络应用系统的安全设置方面应该尽量不要开放陌生的网络端口。在上网建设方面，加强身份登录口令的认证，确保用户上网的合法性。充分维护系统上网的日志功能，对用户的网络信息访问进行信息记录，为日后的审查作为依据。

2.3 数据传输安全策略分析。数据的传输安全因素通常包括两个方面，数据的发出端A，数据的接收端B，数据的传输通道。在数据传输的过程中通常会有两种情况导致传输数据的丢失。一种是非法用户对数据的发送端和接收端进行更改，获得需要的数据；另外一种就是非法用户在数据传输道路上进行数据的截取。

针对网络数据传输中的安全问题，可以采用以下两个方面的安全策略，首先使用数据加密技术对数据进行加密，为数据的传输提供一个安全的通道；其次利用公共密钥和数据证书对用户段和服务器进行身份验证。现在比较常用的数据加密技术主要有对称密钥加密、非对称密钥加密以及hash加密三种。网路数据的存储的实现过程主要是通过服务器中的数据备份来实现的。为了结局数据安全的可靠性问题，可以将风险分散到两个服务器上，从而保证整个网络数据系统的安全性。

3 计算机数据存储技术安全防范技术发展趋势

3.1 未来数据的存储介质发展的趋势。随着数据存储技术的不断发展，人类已经进入了大数据时代。谷歌公司每天要处理数据的量达到了20000TB。为了保证这些信息的安全性，分别存储在4800个硬板之中。目前很多科学家开始研究新的存储介质。2007年日本科学家发现了细菌DNA存储技术，存储的数据时间可以达到上千年。这种存储介质的主要优点为存储密度比较大，一个DN段里含有无数个碱基对；其次是DNA存储数据的体积比较小，一个碱基序列只有原子的大小。研究发现，1克DNA能够存储的数据达到700TB，DNA存储介质的体积只有一滴水珠的大小。

3.2 未来计算机数据存储的安全技术。在目前的学术界数据的安全存储技术已经引起了广大学者的注意。具体的研究方向主要分文数据的机密性、完整性以及可用性三个方面进行展开。比如可以通过在客户端安装数据加密技术使得客户有一定的访问权限来直接提取客户端的数据。另外虚拟专用网络技术也是目前比较常用的数据安全技术。这种技术的特点就是把数据传输的通道进行加密，然后将这种数据通道从公共网络中分离出来，从而使得数据信息能够得到有效的保护。也就是路由器数据过滤技术和隧道技术，路由器数据过滤技术就是将流出的IP数据包使用路由器进行动态监控。

4 结束语

本文从实际应用的角度阐述了计算机数据存储安全隐患及其防范及技术。首先结合相关参考文献，分析了影响计算机数据存储的物理硬件因素与逻辑软件因素；其次从数据物理存储安全、软件防范以及数据传输三个角度对数据存储安全技术进行了深入的分析，最后探讨了未来计算机数据存储介质和安全防范技术的发展方向。因此只有采取多种技术手段，从系统的角度进行分析，才能从根本上维护计算机数据安全与网络稳定。

参考文献：

[1]伍锦群.防火墙技术的探讨[J].长春理工大学学报，2008（02）：56-57.

[2]张新刚，刘妍.防火墙技术及其在校园网络安全中的应用[J].网络安全技术与应用，2006（05）：34-35.

[3]姬玉.浅谈计算机网络系统安全及防御[J].商业经济，2010（10）：115-116.

[4]白雪.计算机网络安全应用及防御措施的探讨[J].计算机光盘软件与应用，2012（01）：56-57.

[5]张昱.对计算机网络技术安全与网络防御的分析[J].广东科技，2011（05）：51-52.

[6]顾红波.浅谈计算机网络安全防御策略[J].林业资源管理，2004（05）：78-80.

第4篇：数据机房方案范文

关键词：数据库安全；数字水印；触发器；SQL Server

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2014）19-4375-03

Research and Comparison of Two Database Security Defense Techniques

WU Ke-ming1，LIN Yi-fan2

（1.College of Electronics Eng. Naval Univ. of Engineening， Wuhan 430033，China；2.Shanghai Military Representative Office of NED ，Shanghai 200000，China）

Abstract： On based of the security of the database are described， researched these two methods，that based on the digital watermarking and based on database triggers in detail， and compared the two methods in four aspects those the application， implementation difficulty， common extent and technology.then found that Trigger-based techniques in the SQL Server database performance advantages are obvious， but protection technique based on digital watermarking is applicable to all relational databases with a wide range of applications.

Key words： database security； fragile watermark； trigger； SQL Server

随着我国经济社会不断发展，以计算机技术为代表的信息技术在我国各行业领域应用愈发广泛和深入，特别是以数据库技术为核心的管理信息系统普遍应用于辅助管理。然而，由于数据库中的设计、管理中存在的问题和漏洞，不法分子容易进行非法侵入并进行数据库攻击。因此如何保护数据库信息安全，特别是研究核心数据安全防护技术，如何及时发现入侵，避免数据篡改具有重要意义。

文章主要对数据库的数据安全防护基本方法进行介绍，针对数据库的数据安全采用数据库数字水印技术和基于触发器的数据保护技术进行研究，并对两种方法进行比较，发现针对不同的应用需求，两种数据库安全防护技术在不同防护侧面各有优点。

1 数据库安全防护技术

数据库安全防护技术是防护数据库不受侵入的技术，主要分为动态入侵行为检测和静态安全特性检测两种类型防护技术[1]。其中动态安全防护技术，即动态入侵行为检测是针对客户端对数据库的访问请求的通信信息进行识别分析，发现其中具有危险侵入可能的通信指令，从而保证数据库安全。静态安全防护也称数据库安全特性检测防护，则是对数据库设计中存在的可能漏洞进行分析测试，发现其中的安全策略或设置的问题。该文主要研究的是数据库的静态安全防护，通过检测数据库管理系统的安全配置来发现安全隐患，为数据库安全策略的实施和改进，以及数据库用户的行为检测提供可靠信息[2]。

数据库安全特性分析以及其检测工具的设计是数据库安全技术的重要研究领域，西方国家自上世纪八十年代开始对数据库登录管理进行认证研究，以便保证数据库管理系统（Database Management System，DBMS）安全有效运行[3]。商业关系数据库的安全主要依赖生产厂家提供的最佳安全策略进行保障实施，然而自上世纪末科学家发现稳定性安全性在业内很高的Oracle数据库也存在巨大安全漏洞，作为管理信息系统的核心DBMS的未知安全特性风险，特别是数据库中的高危漏洞的评估和识别，逐步成为人们关注焦点，同时也更加深入认识到DBMS安全级别认证和安全风险评估的差异。因此数据库安全研究人员从本世纪初开始了数据库漏洞扫描及利用等数据库管理系统安全特性的漏洞检测和风险评估研究。

2 两种数据库安全防护技术

数据库的安全即包括硬件也包括软件，即包括用户角色也包括数据安全，其中最重要的就是核心数据安全。这里研究两种数据库中保护核心数据安全的防护技术，一种基于数据库数字水印技术，一种则是基于SQL Server数据库触发器技术。SQL Server系列数据库是微软公司推出的一款关系数据库开发系统，在大型企业信息系统中作为DBMS有着广泛应用[4]。

2.1 基于水印技术的安全防护技术

关系数据库数字水印是将数字水印技术应用于数据库安全技术中，在确保数据库正常运行基础上，通过对数据库的冗余空间中嵌入水印信息，从而实现保护关系数据库版权或确保数据库安全的目标。

关系数据库水印嵌入技术和水印提取和检测技术[5]是关系数据库水印技术研究的两个重要方面。水印嵌入的关系数据库设定为[R=M，A1，A2，…An]，其中M是数据库中的主键，是数据表示对象的不变属性，其信息领域包含信息和属性意义最大，也叫最大意义属性MSA[6]，Ai（0

[W=βP，Ai（Ai为水印构造调用属性）]

研究的数据库安全防护技术主要采用数据库脆弱水印方法，其水印构造算法基本思想是通过决策树算法对关系数据库的非主键属性Ai进行分组，对分组的MSA的数学P结合密钥η，根据需要构建的水印W位数K，进行哈希变换hash（η，K，P）进行重新排序，最后将水印序列W的K位信息嵌入到排序后的各元组数学Ai中。其水印构造嵌入的具体步骤为：

第一步：

对数据库中非MSA属性Ai进行决策树分化，构建Ai：{（a1，a2），（a3，a4），…}子树划分形成分组，根据属性数据类型的不同采用不同划分方法：

1） 连续性数值数据利用决策树方法分划，设定最大阀值分组为离散组列[7]；

2） 文本数据利用length（）等函数转变为连续的数值数据，再按连续数据分组处理；

3） 离散型数据可以直接按照较多离散点进行划分。

第二步：

对Ai划分的n个分组采用hash（η，K，P）函数，构建新的分组排序，并按哈希冲突处理嵌入“0”或“1”，结合水印W的K位序列进行元组排序，并按此重新排序主键属性P。

第三步：

元组数据的水印序列嵌入方法：

针对文本型数据，需要嵌入位为0时，对文本数据不作改变；当需要嵌入位为1时，在该文本数据的结尾加入一个空格符。进行水印检测或提取时，研究比较文本长度和空格位置，一致时取0，不一致时取1。

针对数值型数据，利用数值型数据的最低有效位（LSB）进行嵌入，根据数值型数据的字段长度和最低有效位数的差值多少来确定嵌入信息量。

第四步：

对关系数据库R中的其他属性Ai，按照步骤二、三的方法对各属性元组进行水印嵌入。

脆弱水印数据库的数字水印检测和提取技术是嵌入算法的反过程，主要对各元组数据按照哈希函数进行重新排序，对各元组数据按反过程进行水印提取，对n组序列提取后，按照大数选举方法同水印W按位比较，发现不符位从而确定篡改的元组和属性。

2.2 基于触发器的安全防护技术

触发器是关系数据库中响应数据定义语言（DML）事件或数据操作语言（DML）事件而自动执行的特殊类型存储过程[8]，当数据库发现操作或定义行为时自动运行。

根据定义，SQL Server据对数据库进行操作行为的不同将触发器DDL触发器和DML触发器两大类，其具体定义为：

1） DML触发器，DML触发器[9]在CREATE、ALTER、DROP以及其他数据表定义语言的进行执行管理任务，可以强制影响数据库的业务规则，即可以应用于数据库或服务器中某一类型操作命令，也可用于审核和控制数据库操作等管理任务。

2） DDL触发器，DDL触发器[10]在INSERT、UPDATE和DELETE等数据操作语句上操作，完成表或视图的数据操作时的强制业务规则，并扩展数据完整性。DML触发器可定义于表或视图上，也可查询其他表。

DML触发器可以按照触发时机分为INSTEAD OF触发器和AFTER触发器。其中INSTEAD OF触发器在执行DML语句操作成功之前执行，AFTER触发器在执行DML语句操作成功之后执行。

DML触发器按照触发操作行为可分为INSERT， UPDATE和DELETE触发器，分别针对数据库的表或视图的插入、更新和删除，主要利用到系统提供的inserted和deleted两个系统表。其中Inserted表用于存储INSERT和UPDATE操作时，语句所影响到的数据行的复制。当数据库执行插入或更新操作时，添加的新数据行或更新的数据行副本将添加inserted表中。deleted表用于存储DELETE和UPDATE语句所影响的行的复制。当数据库表或视图执行删除或更新操作，涉及行从触发器执行表中删除，同时在Deleted表中备份存储。根据inserted和deleted两个系统表特点发现，当数据库中数据表或视图执行UPDATE操作语句时，更新事务等同于在该数据行先删除后插入，删除旧行并复制到deleted表中，然后插入新行到触发器表并复制到inserted表中。

根据触发器特点，构建基于触发器的数据库安全防护系统，其基本结构如图1。

如图1，利用数据库触发器的特性，当用户登录数据库信息系统后，数据库的监控模块将记录用户信息同时登记到用户认证的登录审计表中。当用户操作数据库时，根据用户操作行为的不同引发不同类型的触发器，将数据库表或视图的操作相关信息写入到用户操作信息审计表中，同时设计触发器执行当操作数据库定义操作时，则备份数据库；当操作是数据库基本操作时，则更新原数据记录到副表。

当管理员登录系统可审查用户操作信息审查表，对于审查发现的非法用户或非授权用户操作的，则还原数据库到备份点，具体方法为当进行数据表操作，则从基表副表中通过逆操作恢复此数据，视图操作则恢复到基本表中，其他数据表的定义操作则直接还原数据库。通过触发器最终实现对核心数据的禁止修改和写入等操作，对其他数据实现修改记录并提供可恢复技术。

3 两种防护技术比较

基于数字水印技术和基于触发器的两种SQL Server数据库安全防护技术，在实现对数据库核心数据安全保护中都能发挥防护作用，但两种防护技术仍存在区别，具体分析如下：

1） 应用范围不同。基于数字水印的防护技术主要通过对关系数据库中嵌入水印实现核心数据防护；基于触发器的防护技术则是主要针对SQL Server数据库。

2） 算法难度不同。基于数字水印的防护技术的嵌入和提取水印算法较为复杂；基于触发器的防护技术则主要在数据库中进行修改、添加相应数据表，设置触发器即可实现。

3） 通用程度不同。基于数字水印的防护技术对于不同的数据库数据和水印信息要重新设计算法，通用性不高；基于触发器则只需对相应数据表格作简单调整即可在不同数据库中通用。

4） 保护技术差别。基于数字水印的防护技术主要通过发现数据库中核心数据的篡改并定位，来保护核心数据；基于触发器则通过对核心数据设定禁写触发器来保护，对其他数据的修改则进行记录，并提供恢复技术来保护数据安全。

两种数据库安全防护技术的差别汇总如表1。

表1

[防护技术＼&应用范围＼&实现难度＼&通用程度＼&技术差别＼&基于数字水印＼&关系数据库＼&较难＼&不高＼&对篡改数据定位＼&基于触发器＼&SQL Server系列数据库＼&较易＼&较好＼&核心数据禁写，其他记录修改，并提供恢复技术＼&]

可以发现，对于SQL server数据库，基于触发器的安全防护技术实现较容易，较好的通用性，既能发现数据修改还能提供数据恢复技术，基于数字水印的防护技术则对于所有的关系数据库均能应用，应用范围广。

4 结论

本文对数据库的安全防护进行介绍，着重对基于数字水印和基于触发器这两种数据库防护技术进行详细研究，并对两种方法在应用范围、实现难度、通用程度和技术差别进行比较，发现基于触发器技术在SQL Server数据库中性能优势明显，而基于数字水印的防护技术适用所有关系数据库，有广泛的应用范围。

参考文献：

[1] José Fonseca，Marco Vieira，Henrique Madeira.Integrated Intrusion Detectionin Databases[M].A.Bondavalli，F.Brasileiro，and S.Rajsbaum（Eds.）：LADC 2007，LNCS 4746.2007：198-211.

[2] 焦岩.关于数据库系统安全现状的研究[J].计算机安全，2010（5）：15-25.

[3] 李瑞林.计算机数据库安全管理研究[J]制造业自动化，2012（3）：112-116.

[4] 孙明丽，王斌，刘莹.SQL Server 2005 数据库系统开发完全手册[M].北京：人民邮电出版社，2007：10-15.

[5] 牛夏牧，赵亮，黄文军，等.利用数字水印技术实现数据库的版权保护[J].电子学报，2003，31（12A）：2050-2054.

[6] 顾力平，聂元铭.基于决策树的数据库脆弱水印算法研究[J].舰船电子工程，2013（04）：57-61.

[7] Quinlan J R.C4.5：Programs for machine learning[M].San Mateo：Morgan Kaufmann Publishers Inc，1993：17-42.

[8] 郭晖，周钢.基于触发器的考核管理信息系统监控模块的设计与实现[J].计算机安全，2011（9）：47-52.

第5篇：数据机房方案范文

关键词：数据管理数据安全技术手段

1数字经济时代企业数据安全面临多重挑战

当前，云计算、大数据、区块链、人工智能等技术创新和应用创新不断赋能经济社会各领域，新产品、新业态、新模式不断涌现，数字经济的内涵和外延不断丰富。数字经济发展的同时，也带动了数据的产生、流通和应用更加普遍和密集，使企业数据安全防护面临新的挑战。

1.1新设施带来的安全挑战

网络基础设施是国家、企业和个人核心数据的载体，是数据安全保护的重要基础性环节。从网络基础设施的传统界定范畴来看，主要包括存储设备、运算设备和其他基础软件等。然而，随着新技术新业务的发展与创新，数据基础设施的范畴不断扩展，数据中心(IDC)和移动终端等集成了存储、运算以及基础软件的功能，成为日益重要的数据基础设施，也开始面临越来越多的挑战。一方面，攻击者更多的将注意力集中到存储海量数据的云计算数据中心，其遭遇DDoS攻击的占比达到70%。另一方面，信息泄露事件频发，数据泄露和丢失已成为数据中心面临的巨大安全风险。根据RiskBasedSecurity公布的数据，2019年已经发现超过3800多起数据泄露事件攻击了企业或者机构，并且在过去的四年里增加了超过50%。

1.2新技术带来的安全挑战

分布式计算存储、数据深度挖掘及数据管理可视化等新技术能够大大提升数据资源的规模存储和处理能力，但也给企业数据的防护带来了新的挑战，云计算和多业务融合是其中显著的代表。首先，云计算的主要特点是采用了分布式的存储和计算，该方式能够有效防止个人数据在本地出现大规模泄露，但目前黑客已经可通过分析信息分片的方式，对被分割的原始数据进行复原。其次，随着多项信息通信技术的融合，新型业务的复杂度进一步提高，也带来了更加复杂的应用安全风险，使得原有的安全防护技术和体系难以应对。对于单一的技术而言，通常已经形成了比较完善的安全解决方案，而随着多项技术的交叉融合，针对单一技术的解决方案可能不再有效。例如，英特尔处理器在2018年5月初，又被曝出发现8个新的“幽灵式”硬件漏洞，攻击者可以窃取运行在同一个物理内核的另外一个进程的隐私数据，显示出云主机系统与虚拟机之间的兼容问题。

1.3新应用带来的安全挑战

数字经济时代的新应用主要体现在信息通信技术与交通、金融、医疗等领域融合所产生的新的互联网应用、平台和场景，如自动驾驶、网络约租车、智能投顾等。计算机信息技术对大数据的收集、储存、归类、处理及分享创造了更加方便和灵活的方式，许多企业决策、问题分析、模型构建等问题都要借助大数据分析来实现，大数据在各个领域的广泛应用，不仅有助于提升各个领域的工作效率，同时也对计算机网络信息安全的防护和管理带来挑战。首先，垂直行业线下管理机制自成体系，不同部门各司其职，在互联网引入后，部门间的监管职责边界较为模糊，已有线下管理职责发生交叉，目前尚未形成广泛认可的监管体制框架，给新业务的安全管理带来挑战，网约车平台监管就是明显的例子。其次，数字化生活、智慧城市、工业大数据等新技术、新业务、新领域创造出纷繁多样的数据应用场景，使得数据安全保护具体情境更为复杂。最后，企业隐私保护的安全责任更加突出，近年来各类隐私泄露事件层出不穷。据英国科技研究机构报道，Facebook公司于2019年12月再次出现数据泄露问题，超过2.67亿用户数据被泄露，任何人都可以直接访问该数据库。这反映出了互联网平台企业在确保数据多渠道流通的同时，需要更加注重保证数据的机密性、完整性和可用性。

1.4企业自身安全防护基础和意识不足

数字经济时代，虽然企业不断完善信息化相关手段和举措，但在利用新技术进行数据安全防护方面仍然比较被动。在基础安全防护方面，我国在芯片、系统中央处理器(CPU)、核心元器件等硬件方面仍然主要依靠进口，且尚未形成安全自主可控的软件系统生态，企业信息化建设在底部就面临安全威胁。在安全意识方面，企业重技术、重业务、轻安全的思想还普遍存在，过度重视信息化设备和技术，对于数据安全防护紧迫性的认识不够，影响了相关投入。根据相关数据统计，在企业信息化建设工作中，有超过50%的企业依然未设置防火墙，45.4%的企业未设置安全审计系统，超过60%的企业没有设置网络入侵监视系统。

2数字经济时代完善企业数据防护体系的总体思路

2.1明确企业层面的防护目标

对企业而言，最为关键的防护目标是平衡好国家安全、企业商业秘密、业务正常运行和客户合法利益这四方面。一是应满足国家相关法律法规对于个人信息保护、重要数据安全等方面的制度性要求，履行企业自身的合规义务。二是还应确保企业自身数据和用户数据的安全性、机密性、完整性、可用性。

2.2构建以数据为中心的安全防护体系

数据安全防护建设需要以“数据为中心”。具体而言，需要进一步明细数据来源、数据质量、数据生命周期、数据应用场景。基于此，构建起由数据安全制度规程、管理机制、技术手段组成的全面覆盖的数据安全防护体系，形成闭环管理链条。(1)数据安全制度是企业数据安全实践的指导。党的十八届四中全会提出有关全面推进依法治国的重要论断，要求坚持法治国家、法治政府、法治社会一体建设，实现科学立法、严格执法、公正司法、全民守法，促进国家治理体系和治理能力现代化。因此，企业数据安全制度和规程应建立在国家整体对于企业商业秘密、国家重要数据、个人隐私保护制度的基础之上，进一步根据企业自身业务流程，明确具体场景下的数据收集、处理、存储、使用、转移的规则和责任主体。(2)数据安全管理统筹是落实企业数据安全实践的关键。随着企业IT系统和环境的不断完善，运维服务、系统集成、数据存储的规模不断扩大，信息和数据安全对于企业而言愈发重要。在这种态势下，企业应着眼全局、把握细节，成立专门的数据安全管理机制，自上而下建立起相应的组织架构，确保企业数据安全的全生命周期管理的战略、制度能够有效实施。(3)数据安全技术手段是企业弥补数据制度不足的重要保障。技术的变化永远超前于制度的构建，新的信息技术不仅会带来新的安全风险，也是数据安全管理的重要辅助手段，为落实企业数据安全管理制度的总体目标提供技术支持。例如，云端技术将定义新的网络安全导向，近年来厂商积极研发新技术，未来将有更多企业和用户选择虚拟机间安全问题的解决方案；可视化工具能够有效洞察每台虚拟机的独立行动和互动，采用流量监控、应用识别及用户识别等技术，帮助用户鉴别是否存在攻击和非正常行为。

3企业开展数据安全防护实践的措施建议

数字经济时代，企业应进一步加强技术研发，同步完善各项管理措施，实现“技管”与“人管”的有机结合，实现企业数据安全管理的目标。

3.1技术防护措施建议

企业应按照数据收集、存储、传输、使用、共享、销毁这一全生命周期加强数据安全的技术防护。(1)在数据的收集环节，企业重点工作为对于数据进行分类、对于数据类型和安全等级进行达标。同时，企业还应将相应功能内嵌入运维管理系统，保证各类数据安全制度有效地落地实施。(2)在数据的存储环节，企业可以采取数据加密、硬盘加密等多种技术方式保障数据物理存储的安全性。对于企业在云端数据的安全，则应按照数据中心或云计算安全评估技术标准要求，严格根据数据类型进行对应的技术手段。(3)在数据的传输环节，企业重点工作包括采用加密或匿名化等手段对于数据进行处理。一方面，应通过非对称加密算法等不同技术手段对于数据传输链路或直接对于数据进行加密。另一方面，由于个人信息的收集、传输、处理标准较高，数据泄露风险日益严峻，企业还可通过算法等技术手段对于个人信息进行匿名化处理，再将相关数据用于流通领域。(4)在数据的使用环节，企业既可以沿用配置防火墙、数据加密等传统网络安全防护措施，也可以采用数据安全域、数据日志管理和审计等、数据流量异常监控等新的数据安全技术措施。(5)在数据共享环节，企业可加强对于共享第三方主体的背景审查，并且将共享和披露数据的具体场景与具体的数据安全域技术进行结合。此外，还可以构建统一的数据共享平台，采用许可或授权的方式对数据离开平台进行管理。(6)在数据的销毁环节，企业需要采用硬件或软件方式，实现磁盘中数据的永久删除和不可恢复，包括硬盘粉碎机、硬盘折弯机等硬件处理方式，以及多次填充垃圾信息等软件数据处理方式。

第6篇：数据机房方案范文

本文中某数字城市的建设主要基于4D数据，无法满足城市现势性发展的需要，2009年国家测绘局［1］了可量测实景影像行业技术文件，为数字城市数据采集开辟了一个全新的技术途径［2］。可量测实景影像是采用移动测量技术采集具有内、外方位元素和时间参数的地面实景影像以及应用接口的统称［3］，可量测实景影像可以作为数字城市中基础地理信息数据的一部分;360°全景影像是指水平视角360°，垂直视角180°的图像，是一种对周围景象以某种几何关系进行映射生成的平面图片，只有通过全景播放器的矫正处理才能成为三维全景，360°全景影像可以作为数字城市中基础地理信息数据的一个补充。本项目包括某市主城区约100km的道路，测区内地势平坦，建筑物密集，配套设施完善，交通便利。项目影像数据采集采用了具有GPS定位、INS惯性导航、CCD视频以及自动控制等多种先进技术的车载移动数据采集系统，以车载遥感的方式，实地快速采集街道、道路带有定位信息的可量测立体影像和采用专业相机采集单点全景影像360°全景影像两种方法，所采集的数据具有更新简单快捷、效率高、信息量丰富等优点，本文主要介绍这两种数据采集的设计方案。

1实景影像数据采集及建库方案设计

1．1可量测实景影像数据采集及建库方案设计

1．1．1作业依据《可量测实景影像》(CH/Z1002－2009)。1．1．2作业流程框图可量测实景影像是采用移动测量技术采集数据，主要包括内、外业两大部分，数据采集及处理流程如图1所示。1．1．3影像采集准备在影像采集车进行数据采集之前，提前30min在已知坐标点上架设基站GPS接收机，并量测天线高度，保证与车载移动GPS接收机有同步观测的差分数据，以利于内业的GPS差分处理。1．1．4影像数据外业采集1)架设基站30min后，影像采集车沿指定的路线进行数据采集，车上各传感器数据在统一的GPS时间基准下同步采集数据。2)采集的数据包括:车载移动GPS的定位数据、车载惯性导航系统(INS)的姿态数据、车辆行驶路线前方及两侧的连续序列CCD影像数据、记录相机拍照时间的同步时间数据。3)相邻可量测实景影像成像间隔应在12m以内，每一个成像位置的可量测实景影像至少有4个，即前视两个、左视一个、右视一个，前视影像与中心线夹角应小于15°，左视、右视影像与中心线夹角应为20°～45°。4)采集的各种数据自动记录在车载电脑中，并以系统开始采集数据的时间作为文件保存的工作目录名。其中，移动GPS接收机的定位数据记录在工作目录下的GPSINS子目录下的Rover文件夹中，INS的姿态数据记录在工作目录下的GPSINS子目录下的INS文件夹中;同步时间数据以文本文件的格式记录在工作目录下;各个相机拍摄的影像数据保存在工作目录下的相应Camera子目录下的Pic文件夹中，如Camera01表示1号相机拍摄影像的存放目录，并在每个Camera目录下自动创建Pic0000，Pic0001，Pic0002等文件夹，一个文件夹下可以存放1000张图像，放满后自动创建下一个文件夹;而且影像文件的名称是以该影像的拍摄时间来命名的，命名规则为:CC－TTTTTTTTTT－NNNNNNN－SSSSSSSSSS．JPEG，其中C为相机标识，T为同步时间标识，N为影像的序列号，S为同位连续标识，如01－1500370267－0000003－0001306687．JPEG，02－1500370267－0000003－0001307078．JPEG等。1．1．5影像数据内业处理外业采集完指定区域的数据后，在内业完成后续的影像定位等工作。1)利用加拿大Waypoint公司的InertialExplorer8．00软件，对基站的GPS静态观测数据、车载移动GPS的动态观测数据、车载INS数据进行联合差分处理，以得到外业数据采集时车辆的定位信息(x，y，z)和姿态角信息(roll，pitch，heading)。2)利用数据采集时记录的同步时间数据，从GPS/INS联合处理的结果文件中，提取每张影像对应的定位和定姿数据，这样即将影像数据与位置信息关联起来，并将影像的信息存储在数据库中，可以实现任意位置影像的浏览、查询、检索。3)利用针对车载移动测量系统开发的基于立体影像的几何量测软件，将每张影像对应的定位和定姿数据转换成影像的外方位元素，从而在立体影像上进行地物的几何信息(坐标、长度、面积等)的量测工作，并以专题图层的形式存储在ArcGIS的Geodatabase数据库中。

1．2全景影像数据采集及建库方案设计

本次作业采用带有GPS定位功能的360°全景摄影车或便携式360°全景摄影设备，实地获取兴趣点的360°单点全景影像和主要街道的360°连续全景影像。本次影像不包含对涉及个人隐私和安全保密内容的影像进行脱密处理。1．2．1拟订采集计划1)根据业主要求，确定需要进行360°影像拍摄的街道和景点，对拍摄区域进行实地踏勘，拟订拍摄方案和实施计划，以便于影像拍摄工作能够有条不紊的实施。2)为了保证影像清晰并尽量减少流动物体(如人、车)遮挡被拍摄的场景影像，影像数据采集应尽量选择天气晴朗的中午进行。1．2．2影像采集准备为了保证影像定位精度，采用GPS差分定位的方法确定每个360°全景影像中心点的空间坐标。在影像采集车进行数据采集之前，提前30min在已知坐标点上架设基站GPS接收机，并量测天线高度，保证与车载移动GPS接收机有同步观测的差分数据，以利于内业的GPS差分处理。1．2．3原始影像采集采用带有GPS定位功能的360°全景摄影车或便携式360°全景摄影设备，实地采集街道、景点在不同方向上的连续的原始影像，获取制作360°全景影像的图像素材。1．2．4影像拼合采用专用的影像拼合软件对同一时刻、同一点上获取的不同方向上的多张影像进行调色、拼接处理，形成带有方位和空间坐标信息的单个全景影像。1．2．5影像位置信息处理采用GPS差分定位技术，对每个全景影像的定位信息进行处理，获取更高精度的全景影像定位信息。1．2．6建立全景影像库按照统一的文件命名规则对拼合好的全景影像进行命名，建立每个全景影像的坐标文件和元数据文件，并提供索引目录，建立全景影像库。元数据文件的主要内容包括产品名称、生产日期、坐标系统、传感器、数据源、数据分辨率、数据格式、影像采样间隔、影像方位、影像基准点的空间坐标等。

2结束语

第7篇：数据机房方案范文

【关键词】Relay，非视距传输，非传统传输方案，快速建站，补盲。

1. 前言

TD-LTE的覆盖能力相对相对于2G/3G频段较弱，在网络实际建设过程中，相同覆盖区域内站址规模要远大于2G/3G网络规模，而面对日益严重的建设环境和严峻的行业压力，如何快速地实现站址开通是网络建设的重要问题。在实际建网时，按照已有机房、站点进行规划，室外覆盖的盲区、弱区是一个需要解决的关键问题。

传统基站建设过程，站址选址完成并建设后，需要进行传输接入，而现有方式主要为光纤接入和微波接入；其中光纤接入需要工程建设难度大，协调困难投资大；微波接入需要视距环境；而面对现有的城市发展速度及复杂环境，传统方式已不能快速的解决全部情况。

2. Relay关键技术

Relay系统包含宿主基站Donor eNodeB（DeNB）和中继站Relay Node（RN）两个逻辑节点。

3. 案例分析

4. 性能分析

1） Relay（回传基站）覆盖测试

单测宿主站（阿道网络）1小区前台测试下载速率50.2M（14：04：25-14：05：50）后台监控（阿道网络）1小区实时平均用户数：38。平均吞吐量：50M。

单测宿主站（阿道网络）1小区前台测试上传速率7.0M（14：07：18-14：08：22）后台监控（阿道网络）1小区实时平均用户数：37。平均吞吐量：7.0M。

2） 测试宿主宏站及LTE被回传站定点吞吐量

宿主基站：CCCC_铁通创业_HLH_F17，回传基站：CCCC_阿道网络_HLH_D17在满足单验标准达标且定点测试位置为好点（RSRP>=-75dbm，SINR>=25db）的情况下同时做下载上传业务。

宿主站与被回传站同测（铁通创业）1小区前台测试下载速率32.2M（13：46：57-13：48：12）（铁通创业）1小区实时平均用户数：43。平均吞吐量：32M。

宿主站与被回传站同测（阿道网络）1小区前台测试下载速率19.9M（13：46：57-13：48：12）（阿道网络）1小区实时平均用户数：6。平均吞吐量：20.5M。

宿主站与被回传站同测（铁通创业）1小区前台测试上传速率2.8M（13：50：53-13：52：40）（铁通创业）1小区实时平均用户数：43。平均吞吐量：2.8M。

宿主站与被回传站同测（阿道网络）1小区前台测试上传速率4.0M（13：50：53-13：52：40）（阿道网络）1小区实时平均用户数：7。平均吞吐量：4.2M。

3） 宿主宏站、被回传relay站单用户切换测试

终端入网并做下行或上行的满buffer FTP业务，由DeNB向ReNB方向移动，切换到ReNB之后折回往DeNB方向移动，测试过程中查看DeNB和ReNB切换是否正常，同时开始记录log。

5. 结论及后续研究

通过Relay的部署实施及验证，经验及问题总结如下：

1） 通过观察relay开启前后指标对比，relay开启后，对周边站点无影响。

第8篇：数据机房方案范文

紧紧围绕整顿和规范防水卷材市场经济秩序，从源头抓质量，全面落实打假治劣责任制。强化协作，各负其责，有效打击无证生产防水卷材的违法行为，进一步加大打假治劣力度，提高打假工作的有效性，铁腕抓质量，重拳打假冒，再掀打假活动，为我市经济健康发展再做新贡献。

二、工作目标和重点

根据国家法律、法规规定，对全市生产防水卷材的企业进行摸底排查，严厉查处在未取得生产许可证的情况下擅自生产防水卷材产品的生产企业、假冒防水卷材等违法行为以及生产不符合国家强制性标准的生产企业，切实维护广大消费者的利益。

整治目标：未取得生产许可证企业一律停产整顿，未取证前一律不得组织生产防水卷材，经申请获证后方可生产；已获得受理通知书企业，严格按照规定批批产品检验合格加贴试制品字样方可出厂销售；已获证企业签订保证书，保证不得生产假冒伪劣及不合格防水卷材。

三、责任分工

1、各基层所对本辖区内防水卷材企业进行全面排查，排查情况及时上报执法督查科。

2、稽查队各中队在各自责任区内开展查处工作，相关责任区基层所给予配合。

3、根据专项整治工作需要，检测中心配合做好抽样工作。

4、政策法规科做好法律咨询及案件的审理工作。

四、工作步骤

1、普查摸底：组织人员进行摸底调查。

2、集中查处：组织执法人员集中开展查处。

采取普查摸底与查处相结合，同步进行，发现一个查处一个；对发现存在违法行为的企业，要依法对其进行处理；同时向市政府、整顿办上报区域性质量报告书，在市政府的统一组织、协调下，与相关部门配合对无证生产防水卷材企业予以取缔。

五、工作要求

（一）提高认识，加强领导。深入开展防水卷材专项治理整顿活动是依法整顿和规范市场秩序的迫切要求，也是当前形势下践行科学发展观，贯彻落实企业服务年活动的需要，同时也是树立质量技术监督科学、理性、规范的行业形象的有效手段，各部门负责人要高度重视，密切配合，切实加强对专项治理整顿活动的领导，认真组织，迅速在全市范围内掀起防水卷材专项治理整顿活动。

（二）严格落实打假责任制。稽查队各中队长、各基层所长是本辖区内打假工作第一责任人，严格落实打假责任追究制度，对干扰和阻挠执法的要一查到底，依法惩处，决不姑息。对打击不力，敷衍塞责，致使无证生产、制假售假违法行为屡禁不止的，要严厉追究有关责任人的责任。

（三）突出重点，各负其责。稽查队各中队要与各基层所密切配合，全面掌握辖区内防水卷材生产加工企业状况，采取白天明查、晚上暗访、突击检查等多种方式，严厉打击各种违法行为，对无证生产的要依法坚决查封，各中队要在各司其责的基础上相互配合，进一步加大执法力度，力争查处一批大案要案。

（四）狠抓从源头打假工作。打假工作要与监督抽查工作密切配合，认真组织好每一次行动和各阶段工作，务求取得实效。要从生产、加工、仓储等环节入手，坚决没收制假工具、设备、原辅材料和包装物，务求根除制假窝点；对查处的案件，要切实做到举一反三，彻底查清案中案。

第9篇：数据机房方案范文

【关键词】局域网；安全；防范

【中图分类号】TP393.08【文献标识码】A【文章编号】1672-5158（2013）02-0136-02

全球化时代的到来，信息技术的日新月异，这已是人类社会不可回避的现实，计算机网络正是在这个背景下应运而生。伴随着计算机网络的发展，其具有开放性、自由性、互联性特点的同时，也容易遭受病毒、黑客等形式的攻击。因此，计算机网络的安全与否已成为了一个亟待解决的重要问题。

不论是企事业的内部局域网或者广域网，都会存在人为的和网络本身的安全隐患。随着越来越多的内部局域网投入运行和接入Internet， 内部局域网的安全管理问题越来越突出。作为开放网络的组成部分，它也面临着病毒泛滥、非法攻击、未授权访问、盗用网络资源、内部信息非法窃取等一系列安全问题。本文结合笔者几年来在网络管理上的实践和经验， 针对内部局域网网面临的安全威胁以及应对的手段进行了探讨。

一、对内部局域网网络安全的威胁因素

目前， 对内部局域网络安全构成威胁的因素很多， 归结起来，主要有以下几点。

1、病毒危害

一旦计算机感染上病毒之后，一般都会造成系统速度变慢，如蠕虫病毒和木马程序等，会使计算机的运行速度大幅降低。而有些严重的病毒甚至会造成系统的崩溃，导致存储在计算机内的部分重要文件丢失，更严重的是可能还会导致计算机的硬件损坏。病毒已经成为了计算机网络安全的最大隐患。病毒是程序编制人员在计算机网络程序中所插入的一些具有破坏功能的程序，它可以使计算机网络丧失部分功能和数据，并影响计算机网络的运行。病毒具有自我繁殖性，它可以复制程序的代码和指令，通过更改这些代码和指令达到破坏计算机网络的目的。病毒如果不依靠反病毒软件或防火墙是很难发现的，它具有隐秘性、传染性、破坏性等特点。所以，采取有力措施防止其危害，对于计算机网络的安全有着极其重要的作用。

2、窃取和干扰网络传输媒介上承载的信号

这种威胁主要是以窃听和干扰正常通信为目的， 主要表现方式有：局域网内一些恶意用户在网内接入非法终端或在传输线路上非法安装接收/转发设备， 对网络传输媒介上的电磁信号进行截收、窃听和分析， 对其传播进行人为干扰。

3、网络协议安全漏洞

网络协议的漏洞分为两种：一是自身协议的漏洞；二是协议服务上的漏洞。网络协议分为数据链路层、网络层、传输层和应用层四个层次结构。攻击者会寻找这四个层次的漏洞进行攻击。在数据链路层中，网络中的计算机，每一台机器都处于一个网络节点上，它们所发送的数据包都占用同一个通信通道，攻击者可以通过对信道的修改，把错误的数据包发往信道中的每个节点。数据包在发送的过程中，攻击者可以替换原来的数据包，先伪装起来看似和平常的数据包没有区别，没有立刻进行破坏活动，而是隐藏了起来。攻击者通过匿名的方式，耗用系统中的资源，通过电子邮件服务的方式，传播病毒，在TFTP 服务中，盗用用户名和口令，对计算机进行各种破坏活动；攻击者还可以通过防火墙的漏洞或者在它关闭时，对系统进行破坏。

4、网络管理员的技术水平和防范意识不高

现在许多网络管理员并没有进过正规的教育，他们的职责感和技术水平都没有达到一个合格网络管理员所应具备的素质，这往往表现在实际的工作中，会出现许多不合理的人为管理失误。如有的管理员不能及时对潜在的安全隐患加以预防和限制，对于网络用户给予了过大的权限，这些做法都极易给计算机网络带来巨大的危害。还有一些网络管理员他们不对网络系统进行调试和检测，缺乏实时的监控机制，即使在已运行多年的网络系统中，也经常会出现各种低级的错误，导致网络系统漏洞百出，极易受到攻击。

二、针对内部局域网安全威胁的防范技术措施

内部局域网网络安全风险来源于内部脆弱性和外部威胁。针对内部脆弱性风险的防范属于主动控制范畴， 针对外部威胁的防范属于被动控制范畴， 因此， 必须全方位解析网络的脆弱性和威胁， 才能构建网络的安全防范措施， 保证内网的安全。

1、防火墙系统

防范来自外部网络攻击最常用的方法是在网络的入口部署防火墙。防火墙是指设置在不同网络 （ 如可信任的移动客户自动服务系统内部网和不可信的公共网） 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口， 能根据移动客户自动服务系统网络的安全政策控制（ 允许、拒绝、监测） 出入网络的信息流， 防火墙可以确定哪些内部服务允许外部访问， 哪些外人被许可访问所允许的内部服务， 哪些外部服务可由内部人员访问。并且防火墙本身具有较强的抗攻击能力。它是提供信息安全服务， 实现网络和信息安全的基础设施。

2、入侵检测系统部署

据统计大部分的攻击事件来自网络内部， 也就是说内部人员作案，而这恰恰是防火墙的盲区。入侵检测系统（ IDS） 可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段， 如记录证据用于跟踪、恢复、断开网络连接等。

3、建立集中式网络防病毒系统

早期的内部网用户习惯于使用单机版防病毒系统， 但是随着计算机网络的发展， 病毒的危害和传播已经脱离了单机的模式， 原有的单机版防病毒系统已经不能适应新的要求， 最突出的表现就是， 即便被证明是有效的单机版防病毒系统也仅能对本机进行防杀， 而无法阻止病毒在网络上的传播， 一旦本机防病毒系统出现问题， 将不能避免病毒的侵害。

目前， 集中式防病毒系统是有效防杀内部网病毒的最有效措施之一， 其具有防护范围广、病毒库更新及时、系统稳定、投资效益高等特点。在内部网中建立病毒防杀中心， 既可以对网内的联网计算机进行管理，进行统一的病毒扫描和清除，而且可以对终端进行自动更新和病毒库升级， 及时对病毒防杀信息进行公告， 还可以对位于网外的特定联网用户提供在线杀毒功能， 更重要的是， 集中式防病毒系统可以提供电子邮件病毒网关， 与电子邮件系统相结合， 对邮件实施病毒过滤。

4、加强内部网的监控和对用户的管理

在内部网出口处采用高性能硬件防火墙， 可以有效地阻止大部分来自外网的网络攻击，然而，在网内部，虽然在各节点仍有各种防火墙产品安装，并采用VPN技术，但来自内网的攻击仍有可能对内网的正常工作造成极大的威胁。来自内网的攻击主要表现为网络病毒和一些恶意用户使用非法手段窃取用户信息， 实施危害活动， 前者可以通过建立内部网集中式网络防病毒系统加以解决，后者除使用防火墙技术以外， 还需管理员加强对网络的监控以及对用户的管理。

内部网管理员可以通过使用网络管理系统对网内部进行安全管理、安全检测、安全控制，需要建立严格的网络安全日志和审查系统， 建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等， 并定时对其进行审查分析， 一方面可以及时发现和解决网络中发生的安全事故， 另一方面可以便于查找网络安全事故的原因及事故的责任人。

三、加强校园网网络安全建设的建议

如何建设一个高速高效、资源丰富、应用广泛的内部网是一个非常复杂的问题， 需要综合考虑各方面的因素。

首先， 在规划过程中， 需要从实际需求出发， 制定功能实现目标，根据所制定目标在拓扑结构、主干技术、网络施工、软硬件平台选型等方面进行周密的前期设计；

第二， 在建设过程中，一方面，要根据前期设计严格施工， 另一方面， 针对新出现的新情况灵活进行调整， 但必须根据规划过程中拟定的安全原则， 确保网络的整体安全性；

第三， 在管理过程中， 需要建立强力有效的多层次网络管理机构， 制定详细科学的网络管理规范， 实施严格的网络管理。

[1] 胡世昌.计算机安全隐患分析与防范措施探讨[J].信息与电脑，2010，（10）

[2] 雷峥嵘，吴为春.校园网的安全问题及策略[J].广州大学学报（社会科学版），2001，11