网络安全保障机制方案精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全保障机制方案主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全保障机制方案范文

关键词：电信；网络安全；技术防护

从20世纪90年代至今，我国电信行业取得了跨越式发展，电信固定网和移动网的规模均居世界第一，网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面，和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作，是一项重要的工作。笔者结合工作实际，就电信网络安全及防护工作做了一些思考。

1电信网络安全及其现状

狭义的电信网络安全是指电信网络本身的安全性，按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面；广义的网络安全是包括了网络本身安全这个基本层面，在这个基础上还有信息安全和业务安全的层面，几个层面结合在一起才能够为用户提供一个整体的安全体验。

电信运营商都比较重视网络安全的建设，针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年，原中国电信意识到网络安全的重要性，并专门成立了相关的网络安全管理部门，着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中，包括组织体系、策略体系和保障的机制，依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进，单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此，建立了网络安全基础支撑的平台，也就是SOC平台，形成了手段保障、技术保障和完备的技术管理体系，以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作，来完成对网络安全事件的监控，完成对网络安全工作处理过程中的支撑，还包括垃圾邮件独立处理的支持系统。

然而，网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等，造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中，安全问题更加暴露。从狭义的网络安全层面看，随着攻击技术的发展，网络攻击工具的获得越来越容易，对网络发起攻击变得容易；而运营商网络分布越来越广泛，这种分布式的网络从管理上也容易产生漏洞，容易被攻击。从广义的网络安全层面看，业务欺诈、垃圾邮件、违法违规的SP行为等，也是威胁网络安全的因素。

2电信网络安全面临的形势及问题

2.1互联网与电信网的融合，给电信网带来新的安全威胁

传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送，信令网、网管网等支撑网与业务网隔离，完全由运营商控制，电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统，保障了网络安全。IP电话引入后，需要与传统电信网互联互通，电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上，TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送，一旦出现不法行为，无论是运营商还是执法机关，确认这些用户的身份需要费一番周折，加大了打击难度。

2.2新技术、新业务的引入，给电信网的安全保障带来不确定因素

NGN的引入，彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的，但从网络安全方面看，如果采取的措施不当，NGN的引入可能会增加网络的复杂性和不可控性。此外，3G、WMiAX、IPTV等新技术、新业务的引入，都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及，用户向网络侧发送信息的能力大大增强，每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制，组成僵尸网络群，其拒绝服务攻击的破坏力将可能十分巨大。2.3运营商之间网络规划、建设缺乏协调配合，网络出现重大事故时难以迅速恢复

目前，我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备，电信市场多运营商条件下的监管措施还不配套，给电信网络安全带来了新的威胁。如在网络规划建设方面，原来由行业主管部门对电信网络进行统一规划、统一建设，现在由各运营企业承担各自网络的规划、建设，行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题，不同运营商之间的网络能否互相支援配合就存在问题。

2.4相关法规尚不完善，落实保障措施缺乏力度

当前我国《电信法》还没有出台，《信息安全法》还处于研究过程中，与网络安全相关的法律法规还不完备，且缺乏操作性。在规范电信运营企业安全保障建设方面，也缺乏法律依据。运营企业为了在竞争中占据有利地位，更多地关注网络建设、业务开发、市场份额和投资回报，把经济效益放在首位，网络安全相关的建设、运行维护管理等相对滞后。

3电信网络安全防护的对策思考

强化电信网络安全，应做到主动防护与被动监控、全面防护与重点防护相结合，着重考虑以下几方面。

3.1发散性的技术方案设计思路

在采用电信行业安全解决方案时，首先需要对关键资源进行定位，然后以关键资源为基点，按照发散性的思路进行安全分析和保护，并将方案的目的确定为电信网络系统建立一个统一规范的安全系统，使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。

3.2网络层安全解决方案

网络层安全要基于以下几点考虑：控制不同的访问者对网络和设备的访问；划分并隔离不同安全域；防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域，即关键服务器区域和外部接入网络区域，在这两大区域之间需要进行安全隔离。同时，应结合网络系统的安全防护和监控需要，与实际应用环境、工作业务流程以及机构组织形式进行密切结合，在系统中建立一个完善的安全体系，包括企业级的网络实时监控、入侵检测和防御，系统访问控制，网络入侵行为取证等，形成综合的和全面的端到端安全管理解决方案，从而大大加强系统的总体可控性。

3.3网络层方案配置

在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品，将工作站直接连接到主干交换机的监控端口(SPANPort)，用以监控局域网内各网段间的数据包，并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。

3.4主机、操作系统、数据库配置方案

由于电信行业的网络系统基于Intranet体系结构，兼呈局域网和广域网的特性，是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络，它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范，并在中央安全管理平台上部署中央管理控制台，对全部的核心防护产品进行中央管理。

3.5系统、数据库漏洞扫描

系统和数据库的漏洞扫描对电信行业这样的大型网络而言，具有重要的意义。充分利用已有的扫描工具完成这方面的工作，可免去专门购买其他的系统/数据库漏洞扫描工具。

参考文献

第2篇：网络安全保障机制方案范文

[关键词] 电子商务 信息安全 网络安全 交易安全 技术保障

电子商务是利用互联网络进行的商务活动。电子商务有多种定义，但内涵大致相同，即电子商务是利用电子数据交换、电子邮件、电子资金转账等方式及互联网的主要技术在个人、企业和国家之间进行的网上广告及交易活动，内容包括商品及其订购信息、资金及其支付信息、安全及其认证信息等方面。信息安全是指利用网络管理控制和技术措施,防止网络本身及网上传输的信息财产被故意的或偶然的非授权泄漏、更改、破坏,或使网上传输的信息被非法系统辨认、控制。电子商务信息安全的具体表现有:窃取商业机密；泄漏商业机密；篡改交易信息，破坏信息的真实性和完整性；接收或发送虚假信息，破坏交易、盗取交易成果;伪造交易信息；非法删除交易信息；交易信息丢失；病毒破坏;黑客入侵等。随着互联网的快速扩张和电子商务的迅猛发展，电子商务系统的安全性已受到计算机病毒、网络黑客、计算机系统自身防御性脆弱等方面的严峻挑战。

一、我国电子商务发展及其信息安全现状

我国电子商务始于20上世纪90年代，政府主导相继实施的“金桥”、“金卡”、“金关”、“金税”工程大大加快了我国电子商务的发展步伐。目前，我国电子商务的广度和深度空前扩展，已经深入国民经济和日常生活的各个方面。艾瑞市场咨询公司最新的调查数据显示：截至2006年底，中国网络购物市场总用户数达到 4310万人，B2C和C2C总交易额分别为82亿元和230亿元。然而，据中国互联网络信息中心（CNNIC）的一份最新调研显示，只有约15%的网民平时有网上购物的习惯，而不选择网络购物的原因主要由于对网站不信任、怕受骗，担心商品质量问题和售后服务，质疑其安全性等。

电子商务自从诞生之日起，安全问题就像幽灵一样如影随形而至，成为制约其进一步发展的重要瓶颈。电子商务系统的安全是与计算机安全尤其是计算机网络安全密切相关的，综合当前电子商务所面临的网络安全现状不容乐观。公安部公布了2006 年全国信息网络安全调查结果，结果显示，半数以上的被调查单位发生过信息网络安全事件，病毒或木马程序感染率达84%，目前，全国已有8成左右的单位安装了防火墙和病毒查杀系统。对数据统计分析，2005年5月至2006年5月间，有54％的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和木马程序为84%，遭到端口扫描或网络攻击的占36%，垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因，占发生安全事件总数的73%。

二、电子商务安全威胁的主要方面

电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此，从整体而言，电子商务安全有计算机网络安全和商务交易安全两个方面。计算机网络安全是商务交易安全的基础；商务交易安全是电子商务安全的主要内容。

计算机网络安全的内容主要包括：计算机网络设备安全、计算机网络系统安全。网络设备安全是指保护计算机主机硬件和物理线路的安全， 保证其自身的可靠性和为系统提供基本安全前提；设备安全风险来自硬件器件与部件失效、老化、损害，自然雷击、静电、电磁场干扰等多方面，有人为因素还有自然灾害所引起的故障。例如，2006年12月26日，我国台湾附近海域发生强烈地震，造成中美海缆等6条国际海底通信光缆发生中断，使附近国家和地区的国际和地区性通信受到严重影响，给有关企业和个人造成巨大影响和严重经济损失。网络系统安全是指保护用户计算机、网络服务器等网络资源上的软件系统能正常工作，网络通信及其网络操作能安全、正常完成。网络系统安全风险来自系统的结构设计缺陷、网络安全配置缺陷、系统存在的安全漏洞、恶意的网络攻击和病毒侵入等多方面。网络系统安全是计算机网络安全的主要方面。计算机网络安全的特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。

商务交易安全是指商务活动在公开网络上进行时的安全，其实质是在计算机网络安全的基础上，保障商务过程顺利进行，即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性，核心内容是电子商务信息的安全。一般情况下，我们可以把电子商务安全归结为电子商务信息的安全。目前，电子商务主要存在的安全威胁有：

1.身份仿冒

攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，进行信息欺诈与信息破坏，从而获得非法利益。主要表现有：冒充他人身份、冒充他人消费、栽赃、冒充主机欺骗合法主机及合法用户、使用欺诈邮件和虚假网页设计设骗。近年来随着电子商务、网上结算、网上银行等业务在日常生活中的普及，网络仿冒已经成为电子商务应用的主要威胁之一。

2.未经授权的访问

未经授权而不能接入系统的人通过一定手段对认证性进行攻击， 假冒合法人接入系统，实现对文件进行篡改、窃取机密信息、非法使用资源等。一般采取伪 装或利用系统的薄弱环节（如绕过检测控制）、收集情报（如口令）等方式实现。

3.服务拒绝

攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯，扰乱正常的资讯通道。包括：虚开网站和商店、伪造用户，对特定计算机大规模访问等，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应。

4.恶意程序侵入

任何系统都可能是有漏洞的，漏洞的存在给恶意程序侵入提供了可乘之机。恶意程序是所有含有特殊目的、非法进入计算机系统、并待机运行，能给系统或者网络带来严重干扰和破坏的程序的总称。一般可以分为独立运行类(细菌和蠕虫)和需要宿主类(病毒和特洛依木马)。恶意程序是网络安全的重要天敌，具有防不胜防的重大破坏性。例如：网络蠕虫是一种可以不断复制自己并在网络中传播的程序，蠕虫的不断蜕变并在网络上的传播，可能导致网络阻塞，致使网络瘫痪，使各种基于网络的电子商务等应用系统失效。

5.交易抵赖和修改

有些用户企图对自己在网络上发出的有效交易信息刻意抵赖，安全的电子商务系统应该有措施避免交易抵赖。为保证交易双方的商业利益、维护交易的严肃和公正，电子商务的交易文件也应该是不可修改的。

6．其他安全威胁

电子商务安全威胁种类繁多、来自各种可能的潜在方面，有蓄意而为的，也有无意造成的，例如电子交易衍生了一系列法律问题：网络交易纠纷的仲裁、网络交易契约等问题，急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。

三、电子商务安全的技术保障机制

电子商务安全包括网络安全和交易安全。因此，电子商务安全技术主要有计算机网络安全技术和商务交易安全技术两方面的保障机制。

1.计算机网络安全技术

网络安全技术伴随着网络的诞生就出现，如今已出现了日新月异的变化。VPN安全隧道、防火墙和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。目前，主要的网络安全保障技术有：

(1)VPN安全隧道，VPN即虚拟专用网(Virtual Private Network)，是一条穿过混乱的公用网络的安全、稳定的隧道。 VPN架构中采用了多种安全机制,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

(2)防火墙技术,防火墙是企业内部网络和外网之间的一套安全屏障。防火墙能根据企业的安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

(3)病毒防护和入侵检测技术, 病毒防护技术可降低病毒和恶意代码攻击风险，并防止有害软件通过服务器或网络执行和传播。入侵检测系统则能够帮助网络系统快速发现攻击的发生，扩展系统管理员的安全管理能力，从而提高信息安全基础结构的完整性。

2.商务交易安全技术

商务交易安全是为了实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。它是电子商务交易过程中最核心和最关键的安全问题。目前，主要的商务交易安全保障技术有：

(1)数据加密技术, 加密一般是利用密码算法把可懂的信息变成不可懂的信息。利用各种复杂的加密算法，通过对网络中传输的信息进行数据加密，用很小的代价即可为信息提供相当大的安全保护。

(2)数字签名技术,数字签名是通过密码算法对数据进行加、解密变换实现的。应用广泛的数字签名方法主要有三种，即：RSA签名、DSS签名和Hash签名。这三种算法可单独使用，也可综合在一起使用。在电子商务安全服务中的源鉴别、完整、不可否认服务中，都要用到数字签名技术。

(3)安全协议技术,使用SET和SSI等安全协议能有效地保障交易安全。SET即安全电子交易（Secure Electronic Transaction）的简称，SET 提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，已成为目前公认的信用卡/借记卡的网上交易的国际安全标准。SSL即安全套接层（Secure Sockets Layer）协议的简称，主要用于提高应用程序之间数据的安全系数。

四、结束语

电子商务的安全威胁既有来自恶意攻击、防范疏漏，还可能来自管理松散、操作疏忽等方面。因此，保障电子商务安全是一项综合工程。除了主要从技术上提高防范和保障机制外，还需要单位完善网络系统管理体制，人员加强信息安全意识。另外，电子商务实践要求有透明、和谐的交易秩序和环境保障，为此还需要政府建立和完善相应的法律体系。

参考文献:

[1]王云峰:信息安全技术及策略 [J].广东广播电视大学学报，2006,(1):101-104

[2]殷凤琴赵喜清王新钢:我国电子商务安全问题的表现来源和对策[J].商场现代化,2007年6月（上旬刊）总第505期：90-91

[3]刘明珍:电子商务中的信息安全技术[J]．湖南人文科技学院学报，2006,(6):89-93

[4]肖质红:电子商务的安全问题和系统建设[J]．集团经济研究，2006年9下旬刊（总第207期）：250

第3篇：网络安全保障机制方案范文

关键词:跨区IP专用网络;网络安全防范;网络安全防范方案

中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01

Cross-IP Specific Network Security System

Zheng Haoyu

(School of Computer,Electronic and Information,Guangxi University,Nanning530004,China)

Abstract:The Internet's open communications protocol with security holes,combined with data storage and access of its distribution and processing characteristics of the network environment,the network is vulnerable to security attacks,the attacker only attacks that may result in network transmission of data information disclosure or destruction.

Shows that a single network security products or security technology and a variety of security products sufficient to ensure network security.

And build cross-IP private network security system,network system will be able to find out all the unsafe part of security vulnerabilities,and take corresponding measures to control,effectively ensure the security of network information and the system running.

Keywords:Cross-IP private network;Network security;Network security program

跨区IP专用网络是内部管理及对外交流的重要平台。但在进行信息资源共享的同时,跨区IP专用网络系统却也处于被病毒攻击侵害的威胁,随时都可能出现信息丢失、数据损坏、系统瘫痪的局面。所以,我们要对跨区IP专用网络的安全的框架体系、安全防范的层次结构进行细致的分析研究,合理的设计设置,提高跨区网络安全防范水平,减少系统与数据的安全风险。

一、跨区IP专用网络安全存在的问题

(一)网络缺陷

IP专用网络不可或缺的TCP/IP协议,没有相应的安全保障机制,而且最初设计因特网时考虑的是局部故障不会影响信息的传输,几乎没有意识到安全问题。因此,在安全可靠性及服务质量等方面它存在不适应性。

(二)系统漏洞

网络系统安全性取决于网络各主机系统的安全性,而各主机系统的安全性又是由操作系统的安全性所决定的。这也是网络容易被人为破坏的不安全因素。

(三)病毒传播

大多数病毒具有传播快,扩散广,难以防范,难于清除彻底等特点。令人防不胜防。

(四)黑客入侵

黑客借助挖掘逻辑漏洞,采用欺骗手段进行信息搜集,寻找薄弱环节和介入机会,迅速窃取到网络用户的身份信息,进而实施对整个网络的入侵和攻击,致使内部信息被盗,甚至机密泄露。

二、跨区IP专用网络安全防范体系设计思路

安全服务、系统单元、结构层次的分项交叉的三维立体的框架结构设计,能使网络安全防范体系更具备科学性和可行性。

(一)体系框架设计思路

框架结构中每个系统单元都要与某个协议层次相对应,并采取多种安全服务以保证其系统单元的安全性;网络平台要有网络节点之间的认证和访问控制;应用平台要有针对用户的认证和访问控制;数据传输要保证完整性和保密性;应用系统要保证可用性和可靠性;要有抗抵赖及审计功能。这样一个在各个系统单元都有对应的安全措施满足其安全需求的信息网络系统,应该是安全的。

(二)体系层次设计思路

作为整体的、全方位的网络安全防范体系,不仅要对横向系统单元进行防范设计,还需对其纵向进行分层次考量。针对不同层次所反映的不同安全问题,根据网络应用现状情况及网络结构,可将安全防范体系的层次划分为物理环境的安全性、操作系统的安全性、网络的安全性、应用的安全性、管理的安全性等。

三、构建跨区IP专用网络安全防范体系方案

(一)安全组件

1.路由器:通过在路由器上安装必要的过滤,滤掉被屏蔽的IP地址与服务协议,并屏蔽存在安全隐患的协议。

2.入侵监测系统:监测网络上的所有包,捕捉有恶意或危险的目标,及时发出警告。

3.防火墙:可以防止“黑客”入侵网络防御体系,限制外部用户进入内部网,并过滤掉可能危及网络的不安全服务,拒绝非法用户进入。

4.物理隔离与信息交换系统:具有比防火墙和入侵检测技术更强的安全性能。对内部网络和不可信网络实行物理隔断,阻止各种已知与未知网络层及操作系统层的攻击。

5.交换机:利用访问控制列表,实现用户以不同要求进行的对数据包源和目的地址和协议以及源和目的端口各项的筛选与过滤。

6.应用系统的认证和授权支持:实行在输入级、对话路径级与事务处理三级无漏洞。使集成的系统具有良好恢复能力,避免系统因受攻击而瘫痪、数据被破坏或丢失。

(二)安全设计

可有效利用和发挥系统平台自身的安全环节,保证系统及数据库的使用安全。

1.身份标识和鉴别:计算机初始时,系统首先会对用户标识的身份及提供的证明依据进行鉴别。

2.访问控制:分“自主访问控制”与“强制访问控制”两种。“自主访问控制”Unix及Windows NT操作系统都使用DAC。“强制访问控制”能防范特洛伊木马,阻止用户滥用权限,具备更高的安全性。

3.审计:安全系统使用审计把包括主题与对象标识、日期和时间、访问权限请求、参考请求结果等活动信息记录下来。

(三)安全机制

采用有针对性的技术,提高系统的安全可控性,以建立高度安全的信息系统。

1.安全审核:通过完善系统基本安全设计,包括安全机制的实现和使用,增强了系统安全性,如设置网络扫描器,对系统运行周期性安全问题进行统计分析,研判针对性方案节省防护投入提高使用功效。

2.信息加密:增设可信系统内部加密存储、跨越不可信系统在可信系统间传输受控信息等机制。考虑建设环境和经费预算控制,结合使用自建CA与第三方CA对专用网络通道进行加密认证,常应用信息加密技术和基于加密与通道技术上的VPN系统。

3.灾难恢复:对重要数据定期进行备份,保证重要数据在系统出现故障时仍能准确无误。

四、结束语

保证跨区IP专用网络安全,需要在采用相应的技术措施的基础上,加强网络安全管理;制定相关的规章制度、使用规程以及应急措施,在提高工作人员的业务能力的同时,增强网络安全防范意识、保密观念与责任心,使网络安全防范体系有效发挥作用;引入安全风险评估体系,定期进行风险评估和检查,对内外部环境变化产生的新安全问题进行快速评估以改进完善安全设计方案,建立专用网络安全的长效机制。

参考文献:

[1]贾金岭.构建跨区IP专用网络安全防范体系的探讨[J].网络与信息.2010,5

[2]徐涛.网络安全防范体系及设计原则分析[J].电脑知识与技术,2009,9

第4篇：网络安全保障机制方案范文

>> 关于移动自组织网络浅析 移动自组织网络服务质量控制机制综述 移动自组织网络中内部丢包的检测模型 移动自组织网络跨层QoS保证机制研究 移动自组织网络通信模块的设计与实现 移动自组织网络下的基本蚁群路由算法 移动自组织网络中的MAC协议分析比较 车载自组织网络路由协议研究 智能交通系统的车辆自组织网络中的探讨 基于复杂网络的车载自组织网络抗毁性分析 自组织网络中的自优化技术与方法 TD—LTE自组织网络SON技术分析和建议 LTE自组织网络的覆盖和容量自优化 无线自组织网络RGG模型聚类系数研究 车载自组织网络路由协议及研究进展 基于自组织网络的基站自优化节能技术研究 异构自组织网络中的干扰管理机制研究 用于无线自组织网络的属性加密算法 E―UTRAN自组织网络关键技术研究 IMT―Advanced系统自组织网络方案研究 常见问题解答 当前所在位置：中国 > 艺术 > 移动自组织网络访问控制初步探讨 移动自组织网络访问控制初步探讨 杂志之家、写作服务和杂志订阅支持对公帐户付款！安全又可靠！ document.write("作者： 代东序 程体武 林晓莉")

申明:本网站内容仅用于学术交流，如有侵犯您的权益，请及时告知我们，本站将立即删除有关内容。 摘要： 访问控制是移动自组织网络信息安全保障机制的核心内容，本文从移动自组织网络自身特点出发，着重对其访问控制的特点进行了分析，并提出了建立访问控制时需注意的几个问题，为实现自组织网络访问控制提供了可行条件。

Abstract: Access control is the core of the mobile ad hoc network information security mechanism, from the characteristics of mobile ad hoc network itself, the paper analyzed the characteristics of their access control, and proposed several question must be noted when establishing access control, to provides a viable condition for the realization of self-organizing network access control.

关键词： 移动自组织网络；访问控制

Key words: mobile ad hoc networks；access control

中图分类号：TP39 文献标识码：A文章编号：1006-4311（2011）17-0152-01

0引言

移动自组织（Ad Hoc）网络是一种多跳的临时性自治系统，它的原型是美国早在1968年建立的ALOHA网络和之后于1973提出的PR（Packet Radio）网络。它是一种新型分布式无线网络，是由一组带有无线收发装置的移动终端组成的多跳临时性自治系统，具有良好的移动性和组网的灵活性，因而成为目前网络研究的热点。由于在搭建时不需要任何基础设施的支持，移动自组织网络能应用于战时通信指挥和灾害救援联络等紧急情况，同时它具有无中心、自组织等许多不同于传统无线网络的优点，使其在军事及民用领域具有广阔的应用前景。

1移动自组织网络特点

①网络拓扑结构动态变化。在移动自组织网络中，由于用户终端的随机移动、节点的随时开机和关机、无线发信装置发送功率的变化、无线信道间的相互干扰以及地形等综合因素的影响，移动终端间通过无线信道形成的网络拓扑结构随时可能发生变化，而且变化的方式和速度都是不可预测的。②自组织无中心网络。移动自组织网络没有严格的控制中心，所有节点的地位是平等的，是一种对等式网络。节点能够随时加入和离开网络，任何节点的故障都不会影响整个网络的运行，具有很强的抗毁性。③多跳网络。由于移动终端的发射功率和覆盖范围有限，当终端要与覆盖范围之外的终端进行通信时，需要利用中间节点进行转发。值得注意的是，与一般网络中的多跳不同，无线自组网中的多跳路由是由普通节点共同协作完成的，而不是由专门的路由设备完成的。④无线传输带宽有限。无线信道本身的物理特性决定了移动自组织网络的带宽比有线信道要低很多，而竞争共享无线信道产生的碰撞、信号衰减、噪音干扰及信道干扰等因素使得移动终端的实际带宽远远小于理论值。⑤移动终端的局限性。自组织网络中的移动终端（如笔记本电脑、手机等）具有灵巧、轻便、移动性好等优点，但同时其电源有限、内存小、CPU性能低等限制。

2移动自组网访问控制的特点

访问控制是信息安全保障机制的核心内容，它保护安全系统维护的数据和资源，以避免未授权访问与不恰当修改，同时确保对合法用户的可用性。在移动自组网中，结点之间是相互平等的，每个网络结点都可以随意去访问其他结点，或者让其他结点转发数据报。如果存在某个恶意结点，就有可能出现其非法访问其他网络结点，或者滥发数据报，导致其他网络结点转发负担过重而导致瘫痪，这些都对移动自组网的安全造成了威胁。如果移动自组网中网络结点能够对其他结点的实施访问控制，则整个网络的安全将得到有力的保障。而移动自组网相对于传统网络来说，其访问控制有以下特点：

2.1 传统的加密和验证机制在移动自组网中难以实现。无论使用对称密钥还是非对称密钥，加密和验证都要依赖一个可以信任的产生和分配密钥的密钥管理中心。而移动自组网缺乏足够的物理保护、各结点相互独立、没有固定结点，加之结点的计算能力低，无法建立长期有效的密钥管理。

2.2 基于静态配置的传统网络安全方案不能应用于移动自组织网络。在移动自组网中，拓扑结构、成员关系以用网络中产生和传输的数据都是动态的。例如结点的环境信息、关于网络变化的信息、群组会议交换的信息都有很高的实时性要求。所以传统网络服务中的数据库、文件系统和文档服务器等静态数据都不再适用。

2.3 网络界限无法定义。由于移动自组网网络拓扑结构动态变化，无中心结点，进出网络的数据可以由其中任意结点转发，造成网络内部和外部的界限非常模糊。

2.4 资源控制难度大。由于移动自组网中的各个结点都有可能含有大量的资源，一旦出现恶意结点，将无法避免出现其滥用其他结点的资源的情况，造成资源泄漏。

2.5 访问控制要求各结点在网络层提供着转发IP数据报的服务，而自组织网络中的结点（如笔记本电脑、手机等）存在电源有限、内存小、CPU性能低等限制，这就使得有些结点在现实应用中可能由于需要处理其他事务而无法转发IP数据报，导致访问控制失效。

3移动自组网中建立访问控制的要求

基于以上分析所得，传统网络下的访问控制已经不能胜任移动自组网的安全需求，要建立移动自组网访问控制系统就应该有针对性的进行设计，移动自组网要把握好以下几个方面：①建立分布式的访问控制。由于移动自组网没有固定的网络基础设施和网络控制中心，也没有统一的验证中心或者可信的第三方来收集、保持与存储相关的角色数据，这要求其访问控制系统必须是分布式的、无需第三方参与的；②每个网络结点必须配置一个访问控制策略配置接口，以方便用户配置访问控制策略；③用一种通用的策略描述规范语言来描述策略，以减少策略描述上的困难；④建立通用的决策模块，减少访问控制执行决策上的困难；⑤选择通用的、与平台无关的资源访问请求描述格式，减少访问过程中应用程序的耦合性；⑥每个网络结点能够根据访问控制策略给通过其身份验证的网络结点分配权限；⑦访问控制系统能够按照访问控制策略动态转换结点的权限，以满足移动自组网中结点的动态变化；⑧各结点中的访问控制系统要能够根据访问控制策略在应用层服务和网络层数据报转发分别实施访问控制；⑨访问控制系统要简单，易于实现和应用，尽量减少对网络带宽的占用和对结点资源的占用；⑩访问控制系统中的访问决策要简单、有效、准确，充分考虑结点的运算能力。

4小结

本文对移动自组织网络的特点进行了分析，并进一步分析了在移动自组织网络中访问控制的特点，并给出了建立访问控制时需注意的几个方面。在下一步的工作中重点对其如何实现进行研究，使其更有可操作性，满足各方面的用途。

参考文献：

[1]赵亮程，彭喜科．自组网的安全分析[J].世界电信．2003．5，47－49.

[2]郑丽娜，昊同强．Ad Hoc网络技术浅析[J].邮电设计技术．2004．4．

第5篇：网络安全保障机制方案范文

【关键词】基层气象；信息网络；保障工作；措施

现代化台站规划的实施对气象信息网络工作提出了更高的要求，目前，全面建设现代化监测设备已经得到了有效落实，信息网络通信特别是计算机信息网络通信在气象工作中占有重要地位，气象业务信息以及资料的上传是各级基层气象单位的主要任务，也是保障基层气象信息网络通信工作顺利进行的前提。

1.建立健全基层气象信息网络保障管理制度

网络通信系统运行质量的好坏直接反映出基层气象信息网络通信能力的高低，主要表现为气象业务的各种信息能否得到快速、准确、安全的传输。为了保证基层信息网络通讯系统能够顺利地运行，一方面在具备满足现代信息通信发展需求的先进设备的同时采取定岗定编的形式对所有工作人员进行管理，另一方面还需要制定一套较为科学的、系统的、满足实际需求的管理制度。基层信息网络通信设备能否实现可持续稳步发展和运行，基层网络通信系统质量能否得到高效的提升，在一定程度上取决于基层网络维护人员是否能够将管理和维护工作落实到位。要想使基层信息网络信息通信系统运行的整体质量实现稳步增长，则需要做好以下两点：第一、完善机房的管理制度、按制度办事、对系统和相关设备进行定期检测或维护、安排值班表、确保重要信息数据的安全并进行备份、针对平常、汛期以及应急时期制定不同的工作预案和要求。第二、对问题设置系统性的保障机制，包括发现-提出-研究-解决问题。为了有效提高基层业务人员的技术水平和业务能力，保障基层信息网络工作的顺利进行，需要对他们定期组织开展一些专题研讨、技术座谈、业务培训。

2.严格按照信息网络技术规范开展基层气象通信保障工作

建设信息网络通信系统需要足够的资金支持，为了避免出现信息网络通讯设备的人为损坏、增加其使用寿命并保证业务工作的正常运行，需要正确、科学地培养相关人员对网络维护的管理意识。因此，正确的保障意识可以让网络工作人员对设备的运行环境、周期、使用期限以及技术要求等信息进行有效掌握，从而制定出切合实际的、科学的维护管理方案，保证信息技术科学、规范地执行到位。第一、明确信息网络通信系统的日常管理和维护工作，在出现紧急或异常情况时确保工作人员能够规范操作、冷静处理问题。减少故障隐患的产生、杜绝各种事故的发生。在进行系统检查和维护时遵守“一查、二看、三处理”的工作原则。“查”主要是查看设备的各项指示是否有异常情况和故障警告，并提前做好应急处理。工作人员进入机房时首先要进行嗅觉观察，看是否能够闻到糊焦味，确保设备运转过程中没有线路老化和过热的问题。“看”是通过肉眼观察设备指示灯和线路是否正常运行，确保空调温度以及湿度无异常。“处理”对异常情况进行综合分析，找出发生警报的主要原因，并采取相应的挽救措施，最后对问题的发生和解决进行总结，做好相关记录，保存档案以备日后维修工作的参考。第二、对工作人员制定严格的检修维护制度，根据要求执行并完成“日检测、周维护、月分析”任务，另外，对于机组出现的问题组织定期讨论会，信息网络保障人员可以结合自身的经历和情况对业务情况进行汇报、分析和交流，包括系统出现的各种现象、隐患、原因以及所应该采取的有效措施，总结出设备维护的注意事项和解决方法，从而提高信息网络保障人员的故障处理能力。

3.建立健全基层气象行业的信息网络应急预案体系

随着基层气象通信保障应急预案的颁布和实施，信息网络管理部门和相关运营部门及组织之间协调配合、快速响应，使得基层气息行业的信息网络安全得到了一定的保障。但是，为了顺应现阶段基层气象业务的快速发展，还需要对以下三点工作做出进一步完善：工作机制、信息上报/通报制度、监测预警手段，以及定期制定日常的工作的讨论会议等。应急指挥调度平台在一定程度上可以提高工作人员的应急指挥调度效率，加强对各种信息、数据以及资料的集中管理，有助于信息网络安全应急管理工作的稳步运行。另外，在安全方面对网管系统完善的基础上还需要建立一定的监测系统，以便提高网络的监测和控制能力，将运营和责任落实到位。为了完善预案并加强预案的落实，组织一定的应急演练是十分有必要的，只有这样才能将理论和实践联系起来，实现共同进步。

4.提高信息网络保障人员的素质和业务能力

网络保障人员出色的工作能力和业务水平是实现信息通讯保障工作和信息通讯系统高质量运行的基本前提。对工作人员进行各种类型的专业技能培训，能够打破自学的局限性，有效提高了网络保障人员的素质和业务能力。一方面加强网络保障人员对基本气象科技技能的培训。对于新成员一定要事先进行基本气象技能培训并使其掌握各类气象保障应用系统的使用方法，为了普及信息化应用知识可以将这些知识纳入到培训的必修课程中。另一方面多形式多样化地进行各类活动、培训和比赛的开展，或者借助网络或视屏会议举办专题讲座、技术培训、讨论交流、业务测试等对岗位人员进行针对性地培养，网络保障人员不仅可以对技术自我钻研，而且能够实现互动的最终目的。业务能力的提高有利于基层气象信息网络通信保障工作的发展，是基层单位气象工作实现可持续发展的源泉。对问题进行全方位探讨，从而达到提高网络业务技能

5.结束语

总而言之，为了顺应现阶段基层气象信息网络工作的广泛开展，应注重建立健全科学的气象网络安全保障管理制度，严格按照标准的技术规范开展信息网络业务工作，进一步建立健全基层气象行业的信息网络应急预案体系，并着力提高基层气象信息网络保障人员的素质及业务能力，确保各类气象业务信息资料的及时上传和更新。

【参考文献】

[1]唐雅茜，陈平，朱海波.巧谈气象信息网络故障维护[J].企业科技与发展，2008，（22）.

第6篇：网络安全保障机制方案范文

当前，无线网络技术正在被广泛的应用到校园信息化建设之中，具有高灵活性、可移动性、开放性等特点。但是，由于无线网络本身所具有的这些特点，造成用户量大、密度不均、应用多样和环境复杂等问题，无线网络的安全性也备受关注。本文着重分析无线网络的安全隐患以及隐患的来源，对校园无线网络安全建设实践进行了分析与探究。

关键词:

无线网络;安全;防范

高效无线网络校园是现在很多高校建设的目标，因此，高校在为用户提供基本的互联网上网服务外，还需要为用户提供安全可靠的网络服务，用户可以在校内或者校外访问相应的资源。网络安全设计实现对内外接入时避免面临网络安全的问题，保证网络资源及网络设备的安全是校园无线网络建设所面临的一个严峻问题。

1无线网络安全面临的主要问题

1.1访问权限的控制

学校一般拥有大量的外网地址，但是对外提供服务的只是其中的一部分或者少数几个地址，因此需要在出口设备上严格限制外网对内的访问权限，只有允许的地址或者允许地址的特定端口才是可以被访问的，其它地址一律禁止外网发起的主动访问。

1.2攻击主机的主动识别和防护

动态监测外网主机对资源平台的访问，当外部主机发起非法攻击或者大量合法请求时，网关设备会主动将非法主机进行隔离，从而保证资源平台的安全性；

2无线网络安全主要的设计内容

基于“接入安全”的理念，将学院园区无线网络认证过程设置到离学生客户端最近的网络边界处，通过启用Web认证模式，无线控制器和学校目前采用的AAA认证系统的协同工作，当学生在接入无线网络的时候，网络无线控制器和ZZ-OS认证网关进行对接，通过portal的方式将认证页面推送到客户端，然后将学生认证所需要的用户名和密码上传到无线控制器，无线控制器通过与ZZ-OS认证系统的对接，获取学生相关的认证信息，如果认证通过，则无线控制器将通知无线AP接入点，允许该学生访问相关的资源，学生使用浏览器即可完成认证过程，不仅保证了接入学生的学生合法性，而且学生能快捷便利的使用无线网络，极大的提高了学生的体验感。

2.1学生数据加密安全

无线AP通过WEP、TKIP和AES加密技术，为接入学生提供完整的数据安全保障机制，确保无线网络的数据传输安全。

2.2虚拟无线分组技术

通过虚拟无线接入点（VirtualAP）技术，整机可最大提供16个ESSID，支持16个802.1QVLAN，网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离，并可针对每个SSID配置单独的认证方式、加密机制等。

2.3标准CAPWAP加密隧道确保传输安全无线

AP接入点与网络无线控制器以国际标准的CAPWAP加密隧道模式通信，确保了数据传输过程中的内容安全。

3安全准入设计

无线网络为开放式的网络环境，基于端口的有线网络管理方式已经无法满足无线用户接入管理的需求。为了解决接入用户管理的问题一般高校都会部署AAA服务器，通过AAA服务器实现无线用户身份认证。通过引入AAA服务器虽然解决了“谁”可以连接无线网络的问题，但是如何进行用户身份的认证呢？无线网络部署的初期一般采用SU的方式。SU方式需要无线用户在无线终端设备上安装特定的客户端，通过该客户端完成用户身份的校验。但是随着智能终端的出现，接入无线网络的终端不仅仅是笔记本电脑，平板电脑、手机等智能终端也需要接入无线网络，而SU模式并不适合安装在智能终端上。为了解决智能终端接入无线网络的问题很多设备厂商推出了Web认证，智能终端不再需要安装客户端，只需要通过浏览器就可完成身份认证。针对智能终端Web似乎是一种比较完美的身份认证方式。随着互联网应用的迅速崛起，用户希望在物理位置移动的同时可以使用微信、微博等互联网应用。如果依然采用Web方式进行身份认证，用户将会感觉很麻烦，影响用户对无线网络的体验，为了解决认证方式繁琐的问题，无感知认证应用而生，无感知身份认证只需要用户首次进行终端相关用户信息配设置后续终端接入无需用户干预自动完成。

4安全审计设计

无线网络为了给用户提供良好的上网体验，一般终端接入网络时采用动态地址分配方式，同时公有地址不足是所有国内高校面临的一个问题，为了解决地址不足的问题一般校内采用私有地址，出口网络设备进行NAT转化。在私有地址环境中采用动态地址分配方式，管理员将会面临一个问题：当发生安全事件时，网监部门只能为管理提供一个具体的外网地址和访问的时间点，仅有的信息中要准确定位问题的具体负责人。传统的日志审计平台只记录了出口设备的NAT日志，可以通过公网地址和具体的时间找到对应的私网地址，但是由于地址采用动态分配的方式，能难确定该时间段对应的地址是哪个用户在使用或者说需要查询多个系统才能确认最终的用户，如果多个系统中有一个系统时钟不一致，可能造成最终信息的错误。为了加强出口行为管理和日志记录，解决安全审计方面的问题，安全方案采用elog应用日志及流量管理系统。elog配合出口网关可有效记录NAT日志、流日志、URL日志、会话日志等，并可存储3个月以上，满足公安部82号令相关要求，学校也可对相关安全事件有效溯源。日志对于网络安全的分析和安全设备的管理非常重要，网关设备采用统一格式记录各种网络攻击和安全威胁，支持本地查看的同时，还能够通过统一的输出接口将日志发送到日志服务器，为用户事后分析、审计提供重要信息。NAT日志查询（如图1所示）。在充分考虑校园无线网络安全设计的前提下，对网络自身的数据加密、信息泄露以及网络攻击进行严密防控的同时，提升用户信息安全意识，从用户自身入手防止出现简单密码、默认密码和用户主机杀毒等问题。做到“防范为主、有据可查、追本溯源”，才能更好的应对网络安全问题，提高校园信息的安全性，为师生提供安全可靠的无线网络服务。

参考文献

[1]吴林刚.无线网络的安全隐患及防护对策[J].科技信息,2011(25).

[2]冯博琴,陈主编,吕军,程向前,李波编.计算机网络简明教程[M].北京:高等教育出版2009.

第7篇：网络安全保障机制方案范文

[关键词] 医院局域网;安全设计;权限管理;流量控制;防火墙

[中图分类号]R197.324 [文献标识码] B[文章编号] 1673-7210(2009)07(a)-195-03

Discussion on the security management design of local area network in hospital

WANGKaimin

(College of Information Engineering, Nanchang University, Nanchang 330031, China)

[Abstract] In the recent years, hospital local area network has been a problem highly concerned by related experts. The design of hospital local area network is of great difficulty and complexity. In order to ensure security and normal operation of it, this article explores the security design scheme of hospital local area network. That is, regarding stability and reliability as core standards, then adopting technologies like equipment physics protection, access control, firewall technology, flow control, VLAN technology, virus prevention and cure, encryption and authentication, emergency plan to design the hospital local area network systematically and synthetically.

[Key words] Hospital local area network; Security design; Privilege management; Flow control; Firewall

随着信息时代的发展,在医院用局域网来实现信息管理正在逐步成熟。局域网办公相对传统的手工工作方式来说要快捷、方便得多,然而随着医院局域网规模的逐渐扩大,其信息涉及医院各个方面,一旦出错将造成比传统方式更大的损害。因此医院局域网安全一直是有关专家们研究的重要问题。本文首先列举一些威胁医院局域网安全的因素,然后介绍保障网络正常、安全工作的网络技术标准,再探讨医院网络安全的设计方案,最后对局域网的安全设计作一总结。

1 威胁医院局域网安全的因素

威胁局域网安全的因素很多,令人防不胜防,常见的威胁如下:

1.1自然威胁

自然威胁是指恶劣的天气现象(如雷电)、计算机房湿度过大、尘土过多、火灾隐患等。

1.2 供电系统不稳定

供电系统不稳定对局域网整个系统的危害是致命的,尤其是对服务器,一旦断电,服务器上储存的重要信息就有可能丢失,使整个系统陷入混乱。

1.3 非法接入

未授权的用户私自接入局域网,会给局域网带来很大危险,这是医院局域网系统中重大安全威胁之一。无意或恶意用户非法接入均有可能给医院信息系统造成很大危害,严重的可以使网络瘫痪。恶意用户(多数是黑客)通过高端技术破译网络运算方式,修改、盗取相关信息,给医院信息系统造成很大危害[1]。

1.4 ARP攻击

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。

1.5 软件漏洞

软件漏洞是指软件在具体实现时存在的安全缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。它包括系统软件和应用软件的漏洞。

1.6 病毒

病毒的危害众所周知。病毒能通过网络或者通过移动存储介质传播,由于其传染性,一台客户机感染了病毒就可能使整个医院局域网瘫痪。

1.7 恶意插件

插件是指会随着IE浏览器的启动自动执行的程序,它很可能与其他运行中的程序发生冲突,从而导致诸如各种页面错误、运行时间错误等现象,阻塞了正常浏览。

总结上述威胁,笔者认为由于局域网安全威胁来自各方面,探讨医院局域网安全问题时,既要从计算机、网络专业方面去考虑,又不能忽视人员、自然的潜在威胁;在考虑局域网层面时,既要考虑局域网内部,又要兼顾局域网外部。

2 网络技术标准

网络安全标准用于保证网络正常工作。许多国内外组织都制订了一些技术标准以实现标准化工作,它们是保障网络正常工作和安全的准则,也是制订局域网安全方案的根据。

2.1 OSI参考模型和TCP/IP模型

2.1.1 OSIOSI模型是传统的开放式系统互连参考模型,它定义了开放系统中一个节点的应用进程发送的数据从应用层开始层层附加控制信息,最终成为比特流,通过物理媒体传输到另一个系统,然后以此处理、剥离各层的控制信息,还原成要发送的数据交给另一个开放系统中的一个节点的应用程序[2]。OSI是一种仅供参考的理想化模型。

2.1.2 TCP/IPTCP/IP模型有实用性,互联网用的就是它。TCP/IP模型采用了4层结构,其中主机、网络层、互连层、传输层、应用层分别对应OSI模型中的物理层,数据链路层,网络层,传输层,会话层、表示层和应用层。

2.2 IEEE 802协议

IEEE 802 LAN/MAN 标准委员会制订的局域网参考模型与OSI参考模型。

2.2.1 802.1P有关流量优先级的 LAN 第2层 QoS/CoS 协议。它使第2层交换具有以优先级区分信息流的能力,完成动态多波过滤,这对于提高局域网的性能非常有帮助。

2.2.2 802.1Q一种数据交换的协议。它还进一步完善了虚拟局域网的体系结构,并制订了虚拟局域网标准在未来一段时间内的发展方向。

2.2.3 802.1X它可以限制未经授权的用户或设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1X对连接到交换机端口上的用户及设备进行认证。

2.2.4 802.2定义了逻辑链路控制协议。

2.2.5 802.3带有冲突检测的载波侦听多路访问控制(CSMA/CD),即以太网。网中节点必须平等争用发送时间。

2.2.6 802.4令牌总线访问控制,任何节点只有在取得令牌后才能使用共享总线发送数据。

2.2.7 802.5令牌环访问控制,其控制方式类似令牌总线[3]。

2.3 用于加密、认证的标准

2.3.1 IPsecIPsec协议给出了应用于IP层上网络数据安全的一整套体系结构:密钥管理协议(IKE)、网络认证协议(AH)、封装安全载荷协议(ESP)和用于网络认证及加密的一些算法等。

2.3.2 PKI公开密钥体系,分为权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口(API)。

3 医院网络安全设计方案

医院局域网安全是一个系统,它不是防火墙,不是入侵检测,不是虚拟专用网,也不是认证、授权以及记账。广义上说,它是以补充的方式为信息资产提供安全的联网设备、技术以及最佳实践的结合[4]。医院局域网的具体安全策略如下:

3.1 物理安全

物理安全策略的目的是保护客户端、服务器和通信链路免受自然灾害。例如,请专业队伍进行避雷设计和安装,尽量减少室外布线,机房内必须连接好防雷地、交流地、交流工作地及直流地,且各种地线系统不能互相干扰。计算机使用场地还应努力做好防潮、防尘、防火等措施[5]。

3.2 权限管理

权限管理分为系统权限管理和数据库权限控制。前者只开放与访问用户相对应的应用权限,并且需要通过密码检测才能使用系统。后者需要采用两级的安全保障机制,采用严格的数据保存程序,将数据库分为权限管理库和用户数据库。并且需要通过密码检测才能使用系统,设置一个强壮的密码,管理员密码应当经常更换[6]。

3.3 防火墙

防火墙是局域网的第一道防线,它检查和过滤进出网络的每一个数据包,保护医院局域网免受外来攻击[7]。它在局域网的安全建设中起到了重要的作用,给局域网装上防火墙是非常必要的。

3.4 流量控制

流量控制可以有效防止由于网络中瞬间的大量数据对网络带来的冲击,保证用户网络高效而稳定地运行。流量控制在OSI的2、3、4层都有应用。使用“连续ARQ协议”或者“选择重传ARQ协议”可以提高信道利用率,从而缓解网络阻塞问题[3]。

3.5 虚拟局域网

利用虚拟局域网(VLAN)的技术控制医院局域网不同部门之间的互相访问。引进虚拟局域网主要是为了解决交换机在进行局域网互连时无法限制广播的问题。由于在相同VLAN内的主机间传送的数据不会影响到其他VLAN上的主机, 广播流量被限制在软定义的边界内, 因此减少了数据窃听的可能性, 极大地增强了网络的安全性[8]。

3.6 病毒防治

医院在构建防病毒系统时,要针对网络中所有可能的病毒攻击点设置对应的防毒软件,如卡巴、诺顿。通过全方位、多层次防毒系统配置实现病毒防治[9]。

3.7 加密认证

数据加密、认证也是局域网安全中应该考虑到的。为了整个局域网的安全,既要为口令加密又要对在网上传输的文件加密。认证是一个实体向另一个实体证明自身属性的过程,它用于防止主动攻击,基于IPsec、PKI等进行信源识别和完整性验证[10]。

3.8 应急预案

制订科学的网络事故应急预案。当发生网络事故时,应判别事件类别,确定事件来源,保护证据,以便缩短应急响应时间,彻底还原正常的工作状态,同时还应分析事件,吸取教训,避免再遭损害。

4 结语

在医院局域网的建设中,笔者认为安全稳定的权重远大于技术先进。在安全防御上要用主动防御的理念代替传统的被动防御。此外,还应当清醒地认识到实现医院局域网安全管理是不易的,因此应当知难而进,综合各方面的因素综合考虑,配合各种技术,在不断实践中逐渐完善。

[参考文献]

[1]尚邦治,靳萍.医院局域网安全设计[J].医疗设备信息,2006,21(11):17.

[2]王晓军,毛京丽.计算机通信网基础[M].北京:人民邮电出版社,1999:57-59.

[3]沈金龙.计算机通信与网络[M].北京:北京邮电大学出版社,2002:79-169.

[4]Sean Convery.网络安全体系结构[M].王迎春,谢琳,江魁,译.北京:人民邮电出版社,2005:4-10.

[5]闵相群.浅谈医院局域网的安全管理[J].中国医院建筑与装备,2008,9(2):35.

[6]赵桂林.医院局域网的安全管理[J].内蒙古科技与经济,2006,(12):96.

[7]金刚善.局域网组建和管理入门与提高[M].北京:人民邮电出版社,2004:195-200.

[8]吴志力.局域网安全解决策略浅析[J].一重技术,2006,(6):100-110.

[9]王群.最新局域网管理与维护全接触[M].北京:清华大学出版社,2004:160-161.

第8篇：网络安全保障机制方案范文

关键词：Zigbee；web；校园无线网络；智慧校园

中图分类号：TP212.9；TN929.5

随着“数字化校园”建设进展的推进，各个高校都已经基本建设成了基于光纤为主干线路的校园有线网。基于物联网的无线智慧校园网的建设就是在校园已有的有线网络的基础框架上，进一步部署校园无线传感器网络和移动通信网，从而实现校园教学楼、办公楼、学生宿舍、教职工宿舍和其他公共场所的无线全覆盖。无线智慧校园=校园+物联网+云计算+智慧化设备，它通过物联网来实现更加合理和人性化的服务和管理。智慧校园通过物联网实现人与人之间、人与物之间、物与物之间、人与信息资源之间以及信息资源与信息资源之间的通信。它的最高阶段就是校园服务和管理各部分都是由物与物之间智慧化地完成，无需人工干预，从而达到“智慧”状态，向广大师生提供更加人性化的服务。

近几年来，互联网技术与移动通信技术的不断深入发展促使了新一代信息通信技术――物联网的形成与发展。随着物联网技术的研究与应用，利用物联网可以解决传统意义上互联网没有考虑的与物件互接的问题。就此，这将有力地推动校园信息化向下一个阶段――“无线智慧校园”的发展，为高校数字化资源与信息化系统的高效整合提供更有利的条件，更好地为广大师生的工作、学习和日常生活服务。Zigbee技术是其中很重要的一种。

Zigbee技术作为一种新兴的远距离、低复杂度、低功耗、低数据传输率、可愈的双向无线通信技术完全适用于无线校园系统，成为连接各个传感器单元的络技术，其层次化的结构和多样化的功能能够很好地解决物联网中无线传感器节点间网络连接的问题，因此，zigbee技术能够很好地应用于智慧校园网的建设当中，成为连接各个传感器节点的网络技术。

1 关键技术――Zigbee

1.1 概念及特点

Zigbee技术是由Zigbee联盟提出的一种基于IEEE802.15.4标准的短距离、低速率、低功耗的无线通信技术[1]。

由于其层次化的结构和多样化的功能能够很好地解决物联网中无线传感器节点间网络连接的问题，因此，Zigbee技术能够很好地应用于智慧校园网的建设当中，成为连接各个传感器节点的网络技术。其主要具有以下特点[2]：（1）低功耗，可用电池供电；（2）低但可靠的数据传输率；（3）可同时支持多节点的连接；（4）支持动态节点的网络；（5）支持自组织性网络；（6）网络覆盖范围大。

1.2 体系结构

Zigbee网络自上而下分为应用层、网络层、媒体访问控制层和物理层，其体系结构图如图1所示[3]。（1）应用层：该层由应用框架、Zigbee设备对象和应用支持子层组成，其主要负责各个应用对象的运行。（2）网络层：该层主要提供网络管理、路由管理、网络信息转发和网络安全管理等功能，从而形成自组网机制。（3）媒体访问控制层：该层主要为高层提供数据编址、CSMA/CA访问机制、信标等功能支持。（4）物理层：该层主要负责WPAN设备通讯频段的分配，从而避免干扰的产生。

图1 Zigbee网络体系结构图

1.3 网状Zigbee网络

该Zigbee网的组建方式与树型Zigbee网类似，不同的是其各层路由器之间也进行了连接[4]，其结构图如图2所示。

图2 网状Zigbee网拓扑结构图

该网状Zigbee网是基于树型Zigbee网改进的，其具有网络自组织功能，即源节点与终节点之间的通信路径并不唯一，当其中某台路由器发生故障时，该网状Zigbee网络能够启用网络自组织功能寻找另一条替代通信路径[5]。本文采用的技术就是网状Zigbee网。

2 具体设计

基于物联网的智慧校园网主要有以下三种网络组建而成：

（1）校园有线网。该网络是指目前各个高校已经建成的校园主干网，在整个智慧校园网内，该网络主要作为校园主干线路网络，承担校园主干线路的大数据量通信。目前主流的高速网络技术主要有ATM技术、光纤分布式接口（FDDI）、千兆以太网（Gigabit Ethernet）和快速以太网[6]。鉴于快速以太网技术能够有效地支持3、4、5类双绞线和光纤的连接，以及有效地利用各个高校现有的设备，本基于物联网的智慧校园设计方案网仍选用快速以太网作为校园主干网络技术。

（2）校园无线传感器网（WSN）。在整个智慧校园网内，该网络主要作为校园各个局部区域（例如：宿舍楼、办公楼、图书馆、教学楼、实验楼等）的网络，承担着该局部区域无线传感器之间的通信。鉴于zigbee技术是一种新兴的短距离、低复杂度、低功耗、低数据传输率、高可靠性、可愈的双向无线通信技术和其层次化的结构和多样化的功能能够很好地解决物联网中无线传感器节点间网络连接的问题，因此，本基于物联网的智慧校园网设计选用其作为校园无线传感器网络的核心支撑技术[7～9]。

（3）移动通信网。在整个智慧校园网内，该网络主要承担校园手机短信息的收发。该网络的建设工作主要由智慧校园合作方――移动通信服务提供商负责。

2.1 网络拓扑结构选择

（1）整个无线智慧校园网拓扑结构选择

由于各个校园的规模和建筑物地理分布的不同，其校园网具体搭建方式也各不相同，但其整个校园网的拓扑结构设计可大致相同。

本基于物联网的智慧校园网采用“物理上总线型，逻辑上星型”拓扑结构，如图3所示。

图3 基于物联网的智慧校园网拓扑结构图

（2）基于Zigbee的校园无线传感器网拓扑结构选择

由上一小节的论述可知，Zigbee支持星型、树型和网状三种拓扑结构。其中，星型Zigbee网可看作为简化版的树型Zigbee网，两者都具有逻辑层次鲜明的优点，但同时也存在“整个网络的性能受协调中心的制约、通信路径唯一、通信不可靠”的缺点；网状Zigbee网具有网络自组织能力，具有灵活、通信可靠的优点。

因此，我们在进行智慧校园无线传感器网建设时，可依据各局部区域的实际情况（所需布置传感器节点数、覆盖范围、数据通信量、数据传输速率等）部署不同拓扑结构的无线传感器网络。

下面举一个利用基于Zigbee校园无线传感器网实现学生上课考勤统计的应用事例。图4为该教室设备分布示意图。

图4 教室设备分布示意图

其中，Zigbee协调中心布置于教室中心，每一个携带配置RFID-SIM卡手机的学生作为Zigbee终端设备。考虑到教室组网这个特殊的环境，包括每一个课堂的学生和教师人数较多，使得Zigbee终端分布密集。因此，在此种情况如果部设树型Zigbee网的话，网络数据的传输性能会受到一定的影响，所以这里最好部设网状zigbee网。

通过上面的学生上课考勤统计应用例子，我们可以发现，在终端节点较多的情况下，网状Zigbee网不仅比树型Zigbee网和星型Zigbee网更为灵活和可靠，而且在网络传输更为高效。因此，基于校园终端设备数量较多这一实际情况出发，我们在进行校园无线传感器网组网时，如果不是网络结构较简单，或对终端的数据传输有严格的中继和管理要求时，我们应优先考虑网状拓扑。

2.2 三网融合设计

本智慧校园网采用如图5所示的方案进行校园有线网、基于Zigbee的校园无线传感器网和移动通信网的融合，即通过Zigbee网关设备的使用实现三者的融合。

图5 三网融合示意图

其中，通过Zigbee网关系统总线内置GSM模块来实现与移动通信网的连接；通过提供以太网接口以有线的方式或内置无线上网卡（支持IEEE802.11 a/b/g①）以建立WLAN②的方式来实现与校园有线网的连接。另外，校园有线网通过总的学校网络网关实现与Internet的连接。

3 结束语

本文在研究Zigbee技术和无线智慧校园国内外建设情况的基础上，结合我国无线智慧校园实际应用需求，提出了一套基于Zigbee的无线智慧校园解决方案，旨在解决目前数字校园所存在的校内信息资源整合与共享、自动身份识别、信息化保障机制和安全保障体系的搭建、信息资源及时采集与更新和校内各信息系统集成等难题，为即将实施或正在实施无线智慧校园建设的各大院校提供参考和借鉴。

参考文献：

[1]王素红.基于ZigBee的无线传感器网络设计与实现[J].电脑知识与技术，2008（33）.

[2]陈东云.为加快我省基础教育信息化标准建设提供优质服务[J].新教育，2011（02）.

[3]马荣飞.统一身份认证系统的研究与实现[J].计算机工程与科学，2009（02）.

[4]郭楚杰.数字化校园中统一身份认证平台的设计[J].湖南工业大学学报，2010（03）.

[5]赵战生.信息安全管理标准发展研究[J].信息网络安全，2011（01）.

[6]邵开丽，周小佳，闫斌.无线传感器网络数据融合技术研究[J].计算机与现代化，2011（02）.

[7]智慧的地球――IBM 动态基础架构白书.http：///cn/express/mig ratetoibm/dynamicinfrastructure/download/dynamicinfrastructure_whitepaper_0903.pdf.

[8]International Telecommunication Union.ITU Internet Report 2005：The Internet of Things.http：//itu.int/pub/S-POL-IR.IT-2005/e.Geneva：ITU，2005.

[9]European Research Projects on the Internet of Things （CERP-IoT） Strategic Research Agenda（SRA）. Internet of things strategic research roadmap[EB/OL][2010-05-12]http：//ec.europa.eu/information_society/policy/rfid/documents/ in_cerp. pdf.

注：

①802.11是IEEE最初制定的一个无线局域网标准，主要用于解决办公室局域网和校园网中，用户与用户终端的无线接入，业务主要限于数据存取，速率最高只能达到2Mbps。

②无线局域网络（Wireless Local Area Networks；WLAN）是一种便利的数据传输系统，它是利用射频（Radio Frequency；RF）的技术取代旧式碍手碍脚的双绞铜线（Coaxial）所构成的局域网络。

第9篇：网络安全保障机制方案范文

[关键词]电子商务；手机银行；通信技术；金融系统。

1、手机银行概述。

手机银行是利用手机办理银行相关业务的简称，只要是通过移动通信网络将客户手机连接至银行，利用手机界面直接完成各种银行金融业务的服务系统都可称之为手机银行。它是继网上银行之后出现的一种新的银行服务方式，在具备网络银行全网互联和高速数据交换等优势的同时，又突出了手机随时随地的移动性与便携性，因此迅速成为银行业一种更加便利、更具竞争性的服务方式。手机银行利用移动电话与计算机集成技术，为银行客户提供个性化、综合性的服务，以减轻银行柜面压力、方便客户，达到提高客户满意度的目的。伴随着中国3G时代的来临以及手机终端技术的不断提高，未来商业银行必将围绕手机银行产生丰富的增值业务。

2、手机银行的发展现状。 1国内外发展现状。由于蕴含的巨大的商机，手机银行吸引了全球众多知名移动运营商和着名商业银行的积极参与，从全球范围看，逐步形成了日韩领先、欧美跟进、中国追赶的局面。在日本，高度注重手机银行的安全管理，终端可以直接使用Java和SSL，交易的信号经过多重加密，安全保障技术近于完美，再加上与各银行间使用专线网，因此，银行业和消费者对这一业务的信赖程度非常高。同时，NTT DoCoMo等移动运营商把移动支付作为重点业务予以积极推进，目前手机银行在日本已经成为主流支付方式。在韩国消费者也已经把手机作为信用卡使用，目前几乎所有韩国的零售银行都能提供手机银行业务，每月有超过30万人在购买新手机时，会选择具备特殊记忆卡的插槽，用以储存银行交易资料，并进行交易时的信息加密。

在欧洲，研究移动银行业务的团体主要有GSM协会、WAP论坛、UMTS论坛、Mobey论坛、Radicchio、PKI论坛等。早在WAP技术出现的时候，欧洲的运营商就已经考虑如何把移动通信和金融服务联系在一起。欧洲早期的移动银行业务主要采用的是WAP方式，因此也被称为“WAP Banking Service”，但是早期的WAP并没有达到技术要求的水平，虽然有了GPRS网络，但由于终端、业务互操作、运营模式和价格等问题，移动银行业务不仅没有很好地发展起来，其他与WAP相关的业务也没有得到很好的发展。

国内手机银行业务虽然多家银行都已开展，但由于公众的认知度和市场的发展度不高、用户对移动网络操作不熟练，还被视作新生事物，乐于接受这种金融服务的公众尚未形成规模，实际的用户比例更是无法与手机用户数量匹配。而银行也一方面面对着如此庞大的市场蠢蠢欲动，另一方面承受着手机银行的种种障碍静观其变。但总的前景依然乐观，随着手机越来越普遍的使用、技术的不断完善，仍有充分理由相信，手机银行一定会普及开来。 2手机银行的技术实现形式。手机银行是由手机、GSM短信中心和银行系统构成。在手机银行的操作过程中，用户通过SIM卡上的菜单对银行发出指令后，SIM卡根据用户指令生成规定格式的短信并加密，然后指示手机向GSM网络发出短信，GSM短信系统收到短信后，按相应的应用或地址传给相应的银行系统，银行对短信进行预处理，再把指令转换成主机系统格式，银行主机处理用户的请求，并把结果返回给银行接口系统，接口系统将处理的结果转换成短信格式，短信中心将短信发给用户。随着移动通信技术的发展，手机银行经历了STK、SMS、USSD、BREW／KJava、WAP等不同的技术实现形式： 2.1 STK手机银行。靠智能SIM卡提供的加密短信来实现银行业务，安全性较高，可以实现一些转账和缴费业务，其前提需要用户将SIM卡更换成STK卡，银行服务菜单写在卡中。但各银行发行的STK卡彼此互不兼容，通用性大打折扣，而且STK卡的换卡成本较高，始终没有成为主流。 2.2 SMS手机银行。普通短消息SMS方式，通过手机短信来实现银行业务，客户和银行通过手机短信交互信息。SMS是利用短消息方式办理银行业务，是扩展的短信服务业务，是目前实现手机银行的方式中手机终端适应性最强的一种，客户进人门槛低。 2.3 USSD手机银行。超级短消息USSD即非结构化补充数据业务，是一种基于GSM网络的新型交互式数据业务，它是在GSM的短消息系统技术基础上推出的新业务。USSD可以将现有的GSM网络作为一个透明的承载实体，运营商通过USSD自行制定符合本地用户需求的相应业务，提供接近GPRS的互动数据服务功能。这样，USSD业务便可方便地为移动用户提供数据服务，而增加新的业务对原有的系统几乎没有什么影响，保持了原有系统的稳定性。USSD方式的优势在于：（1）客户群体不需要换卡，适用大多数型号的GSM手机；（2）实时在线，交互式对话，一笔交易仅需一次接入；（3）费用较低，每次访问仅需约0.1元。

其局限则是：（1）对不同类型的手机，其界面显示有较大的差异；（2）从银行端到手机端的下行信息，无法实现端到端的加密；（3）目前该业务仅在部分地区试点，尚未普及。 2.4 WAP手机银行。WAP方式是一种无线应用协议，是一个全球性的开放协议。WAP定义可通用的平台，把目前Internet网上HTML语言的信息转换成用WML描述的信息，显示在移动电话或者其他手持设备的显示屏上。客户通过手机内嵌的WAP浏览器访问银行网站。相对于其他手机银行技术，WAP具有无需下载客户端、门槛较低、通用性好、实时交互强、安全性高等优势，目前已逐渐成为我国手机银行的业界技术主流。 2.5客户端手机银行。客户端手机银行是指在GSM和CDMA手机上下载客户端软件，通过Client方式访问实现手机银行功能。

客户端手机银行有KJAVA，BREW，IPHONE等不同平台的版本。

客户端软件需要针对指定的手机终端进行开发，对客户使用手机终端的要求较高，此外手机操作系统种类繁多，限于手机主频、内存、屏幕等硬件资源因素，不同手机操作系统的能力和特点存在差异，增加了手机技术开发的难度，开发维护成本也较高。

3、手机银行发展中存在的问题。

虽然手机银行具有传统商业银行无法比拟的优势，但作为一个新生事物，手其发展同样存在各种制约因素，突出表现在： 1推广成本高，用户资费较高。目前中国银行、工商银行、招商银行虽然都推出了手机银行业务，但业务范围不同，具体的办理手续也不相同，且彼此互不兼容。一张SIM卡只能使用同一个银行的账号，用户办理其它银行业务时须购买相应银行的SIM卡，无法实现银行间的转账操作和资源共享，造成了资源的浪费。并且手机银行的收费标准是“信息服务费＋流量费”，即用户每月必须支付信息服务费，这部分费用在手机账单中扣除，下载及操作过程中的流量费则由银行收取服务费。与电话银行和网上银行相比资费仍然较高。

3.2使用不够便捷，缺乏个性化。目前使用手机银行办理业务时操作相对复杂，相当一部分用户，特别是对手机和网络操作不熟练的客户感到困难。各家银行推出的手机银行业务所提供的服务内容大多雷同，没有特色。而手机这一普遍的通讯工具，具有强烈的个性色彩，那么针对手机银行的目标客户所提供的服务内容也应根据手机使用人群的个性特点设计才能更有效果。 3手机支付功能不足。目前，在欧洲电信运营商与餐厅、电影院、航空公司等第三方建立合作关系，实现了手机网上订餐、订票、订座等多种服务。在日本使用DoCoMo3G手机的用户用手机就可以轻松购买可口可乐，银行在其中提供无线互联网的在线支付。但在中国，手机银行业务由于受技术、流程、合作伙伴等方面的制约还缺乏类似的个性化业务。 4安全问题。与网上银行一样，安全问题是人们最关心的问题。资金和货币的电子化，很容易使银行在转帐、交易、支付等服务过程中生成风险。无论是银行，还是客户如没有足够的安全保障是不会使用这一服务的。因此这就要求在实施手机银行解决方案时必须考虑交易过程中所涉及的各个环节的安全性，采用比一般的信息增值服务高得多的安全保障机制，包括信息收发的保密性、完整性、不可抵赖性、公平性等。手机银行安全性的顾虑是制约其发展的首要因素。要想快速、健康的发展手机银行服务，就必须解决好安全问题，建立并维持一种令人信任的环境和机制。

4、关于手机银行发展的建议。

随着《电子银行管理办法》和《电子支付指引》等一系列法律法规的出台，手机银行市场将得到进一步规范，政策环境将更加有利于手机银行业务的开展。同时，随着人们生活水平的提高及IT技术的发展和普及，手机银行业务发展空间越来越宽广。在当前的有利形势下，手机银行要突破制约，提高自身质量，赢得客户口碑，可从以下几个方面进行有益的尝试： 1降低进入门槛、减少服务费用。银行方面进一步规范手机银行的技术标准和服务标准，实现银行间的跨行操作和资源共享。

同时应与运营商联系洽谈，降低信息服务费，同时简化操作流程，达到减少下载及操作过程中的流量费用。 2探索差异化发展道路，持续提升客户体验。做好市场调研，挖掘不同用户群的特色需求，开发符合需求的手机银行业务。手机银行的功能要通过良好的用户体验体现出来，人机界面外观必须一目了然、赏心悦目，使用方式则要直观、简便、灵活，符合绝大部分客户的使用习惯。对客户操作的响应速度要足够迅速，对操作错误或返回错误信息应提供合适的后续操作，防止程序崩溃。 3大力推动手机支付研发。手机支付已成为当今手机应用的热点，银行、运营商以及第三方支付平台均想在这一极具发展潜力的领域抢占市场份额，各种技术解决方案纷纷出炉，虽然业界尚未有统一标准，一场支付领域的革命却已蓄势待发。在手机支付应用方兴未艾的大环境下，银行应该主动出击，探索多种移动支付方式，如现场非接触式支付、远程支付等，努力寻求可行高效的解决方案，并加强与运营商、设备提供商、软件服务提供商、第三方支付平台等移动支付产业链上下游企业的合作，将手机支付整合到手机银行的功能中，使客户真正做到随处支付，无卡消费。 4进一步提高手机银行的安全性。手机银行的安全性并不亚于网络银行。为了推广手机银行业务，促进手机市场的繁荣，服务商和各银行也在积极地谋求相应的安全措施。手机银行的技术基础是计算机软件、数据库、数据存储及网络等多项技术，任何环节的缺失都会给这项业务带来灾难性的后果。而这些技术都不是停步不前，是在不断发展中的，旧有的方法不断被更新，过时的技术不断被淘汰。这就要求手机银行系统平台及网络架构也要不断的更新，以适应业务发展及平台安全运行的需要。在网络安全方面，可对网络进行仿黑客的模拟攻击以检验网络平台的健壮性，也可请专门性网络安全公司对网络平台进行安全评估。在日常维护操作方面，加强各种安全策略的制定，理顺维护工作的各个环节，建立监督制衡体系，堵塞可能的安全漏洞。银行方面，也通过在内部网设定SSL（Secure Socket Layer）及安全插座层，将通信内容密码化以此保护网页安全。此外，银行还要求客户设定ID号码、密码和确认密码，在一定程度上强化本人确认的安全性，加大安全系数。银行通过对客户遭遇密码被盗事件还提供补偿保险服务，从而有效地减低了客户利用手机银行的操作风险。

【参考文献】

[1]吴金。手机银行技术发展浅析[J].聚焦专家视点，2010.3.

张应丰。手机银行技术应用与发展趋势[J].中国金融电脑，2010.5.