前言：我們精心挑選了數(shù)篇優(yōu)質(zhì)網(wǎng)絡(luò)安全防范的意義文章，供您閱讀參考。期待這些文章能為您帶來啟發(fā)，助您在寫作的道路上更上一層樓。

第1篇

隨著信息科技的高速發(fā)展，網(wǎng)絡(luò)在越來越多地為人們生活提供便利的同時，也為企業(yè)節(jié)省了大量的人力和物力，但是企業(yè)在使用網(wǎng)絡(luò)與外界交流時也同樣承擔(dān)著巨大的風(fēng)險。本文介紹了醫(yī)院網(wǎng)絡(luò)中存在風(fēng)險的原因、存在的風(fēng)險及其對策。為醫(yī)院在網(wǎng)絡(luò)安全方面提供了一定的建議。

關(guān)鍵字：企業(yè)網(wǎng)絡(luò) 醫(yī)院網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)體系 技術(shù)手段

Abstract：With the high-speed development of information science and technology， the network， offering the facility to people more and more， and also help the company to save a large number of manpower and material resources. But the trade company is undertaking the enormous risk while using the network to exchange with external world too. This text has introduced the reason of existing risk and countermeasure with the risk in enterprise's network. Have offered certain suggestion in online security for the trade company.

Keyword: Enterprise's network

Security of network

Network system

Technological means

前言：

隨著信息技術(shù)的高速發(fā)展，互聯(lián)網(wǎng)越來越被人們所重視，從農(nóng)業(yè)到工業(yè)再到高科技產(chǎn)業(yè)各行各業(yè)都在使用互聯(lián)網(wǎng)參與行業(yè)生存與競爭。企業(yè)對網(wǎng)絡(luò)的依存度越來越高，網(wǎng)絡(luò)在企業(yè)中所處的位置也越來越重要，系統(tǒng)中存儲著維系企業(yè)生存與競爭的重要資產(chǎn)-------企業(yè)信息資源。但是，諸多因素威脅著計算機系統(tǒng)的正常運轉(zhuǎn)。如，自然災(zāi)害、人員的誤操作等，不僅會造成系統(tǒng)信息丟失甚至完全癱瘓，而且會給企業(yè)造成無法估量的損失。因此，企業(yè)必須有一套完整的安全管理措施，以確保整個計算機網(wǎng)絡(luò)系統(tǒng)正常、高效、安全地運行。本文就影響醫(yī)院計算機網(wǎng)絡(luò)安全的因素、存在的安全隱患及其應(yīng)對策略三個方面進行了做了論述。

一、醫(yī)院網(wǎng)絡(luò)安全存在的風(fēng)險及其原因

1.自然因素：

1.1病毒攻擊

因為醫(yī)院網(wǎng)絡(luò)同樣也是連接在互聯(lián)網(wǎng)上的一個網(wǎng)絡(luò)，所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的，而有些卻是能造成系統(tǒng)崩潰的高危險病毒。病毒一方面會感染大量的機器，造成機器“罷工“并成為感染添另一方面會大量占用網(wǎng)絡(luò)帶寬，阻塞正常流量，形成拒絕服務(wù)攻擊。我們清醒地知道，完全避免所有終端上的病毒是不可能的，但要盡量減少病毒爆發(fā)造成的損失和恢復(fù)時延是完全可能的。但是由于一些工作人員的疏忽，使得醫(yī)院網(wǎng)絡(luò)被病毒攻擊的頻率越來越高，所以病毒的攻擊應(yīng)該引起我們的關(guān)注。

1.2軟件漏洞

任何的系統(tǒng)軟件和應(yīng)用軟件都不能是百分之百的無缺陷和無漏洞的，而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊，主要在以下幾個方面：

1.2.1、協(xié)議漏洞。例如，IMAP和POP3協(xié)議一定要在Unix根目錄下運行，攻擊者利用這一漏洞攻擊IMAP破壞系統(tǒng)的根目錄，從而獲得超級用戶的特權(quán)。

1.2.2、緩沖區(qū)溢出。很多系統(tǒng)在不檢查程序與緩沖區(qū)之間變化的情況下，就接受任何長度的數(shù)據(jù)輸入，把溢出部分放在堆棧內(nèi)，系統(tǒng)仍照常執(zhí)行命令。攻擊者就利用這一漏洞發(fā)送超出緩沖區(qū)所能處理的長度的指令，來造成系統(tǒng)不穩(wěn)定狀態(tài)。

1.2.3、口令攻擊。例如，U nix系統(tǒng)軟件通常把加密的口令保存在一個文件中，而該文件可通過拷貝或口令破譯方法受到入侵。因此，任何不及時更新的系統(tǒng)，都是容易被攻擊的。

2、人為因素：

2.1操作失誤

操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。這種情況在企業(yè)計算機網(wǎng)絡(luò)使用初期較常見，隨著網(wǎng)絡(luò)管理制度的建立和對使用人員的培訓(xùn)，此種情況逐漸減少.對網(wǎng)絡(luò)安全己不構(gòu)成主要威脅。

2.2惡意攻擊

這是醫(yī)院計算機網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄漏。網(wǎng)絡(luò)黑客和計算機病毒對企業(yè)網(wǎng)絡(luò)(內(nèi)聯(lián)網(wǎng))和公網(wǎng)安全構(gòu)成巨大威脅，每年企業(yè)和網(wǎng)絡(luò)運營商都要花費大量的人力和物力用于這方而的網(wǎng)絡(luò)安全防范，因此防范人為的惡意攻擊將是醫(yī)院網(wǎng)絡(luò)安全工作的重點。

二、構(gòu)建安全的網(wǎng)絡(luò)體系結(jié)構(gòu)

1.設(shè)計網(wǎng)絡(luò)安全體系的原則

1.1、體系的安全性：設(shè)計網(wǎng)絡(luò)安全體系的最終目的是為保護信息與網(wǎng)絡(luò)系統(tǒng)的安全所以安全性成為首要目標(biāo)。要保證體系的安全性，必須保證體系的完備性和可擴展性。

1.2、系統(tǒng)的高效性：構(gòu)建網(wǎng)絡(luò)安全體系的目的是能保證系統(tǒng)的正常運行，如果安全影響了系統(tǒng)的運行，那么就需要進行權(quán)衡了，必須在安全和性能之間選擇合適的平衡點。網(wǎng)絡(luò)系統(tǒng)的安全體系包含一些軟件和硬件，它們也會占用網(wǎng)絡(luò)系統(tǒng)的一些資源。因此，在設(shè)計網(wǎng)絡(luò)安全體系時必須考慮系統(tǒng)資源的開銷，要求安全防護系統(tǒng)本身不能妨礙網(wǎng)絡(luò)系統(tǒng)的正常運轉(zhuǎn)。

1.3、體系的可行性：設(shè)計網(wǎng)絡(luò)安全體系不能純粹地從理論角度考慮，再完美的方案，如果不考慮實際因素，也只能是一些廢紙。設(shè)計網(wǎng)絡(luò)安全體系的目的是指導(dǎo)實施，如果實施的難度太大以至于無法實施，那么網(wǎng)絡(luò)安全體系本身也就沒有了實際價值。

1.4、體系的可承擔(dān)性：網(wǎng)絡(luò)安全體系從設(shè)計到實施以及安全系統(tǒng)的后期維護、安全培訓(xùn)等各個方面的工作都要由企業(yè)來支持，要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多，那么我們就不該采用這個方案。所以，在設(shè)計網(wǎng)絡(luò)安全體系時，必須考慮企業(yè)的業(yè)務(wù)特點和實際承受能力，沒有必要按電信級、銀行級標(biāo)準(zhǔn)來設(shè)計這四個原則，可以簡單的歸納為：安全第一、保障性能、投入合理、考慮發(fā)展。

2、網(wǎng)絡(luò)安全體系的建立

網(wǎng)絡(luò)安全體系的定義：網(wǎng)絡(luò)安全管理體系是一個在網(wǎng)絡(luò)系統(tǒng)內(nèi)結(jié)合安全

技術(shù)與安全管理，以實現(xiàn)系統(tǒng)多層次安全保證的應(yīng)用體系。

網(wǎng)絡(luò)系統(tǒng)完整的安全體系

系統(tǒng)物理安全性主要是指從物理上保證系統(tǒng)中各種硬件設(shè)備的安全可靠，確保應(yīng)用系統(tǒng)正常運行。主要包括以下幾個方面：

(1)防止非法用戶破壞系統(tǒng)設(shè)備，干擾系統(tǒng)的正常運行。

(2)防止內(nèi)部用戶通過物理手段接近或竊取系統(tǒng)設(shè)備，非法取得其中的數(shù)據(jù)。

(3 )為系統(tǒng)關(guān)鍵設(shè)備的運行提供安全、適宜的物理空間，確保系統(tǒng)能夠長期、穩(wěn)定和高效的運行。例如:中心機房配置溫控、除塵設(shè)備等。

網(wǎng)絡(luò)安全性主要包括以下幾個方面：

(1)限制非法用戶通過網(wǎng)絡(luò)遠(yuǎn)程訪問和破壞系統(tǒng)數(shù)據(jù)，竊取傳輸線路中的數(shù)據(jù)。

(2)確保對網(wǎng)絡(luò)設(shè)備的安全配置。對網(wǎng)絡(luò)來說，首先要確保網(wǎng)絡(luò)設(shè)備的安全配置，保證非授權(quán)用戶不能訪問任意一臺計算機、路由器和防火墻。

(3)網(wǎng)絡(luò)通訊線路安全可靠，抗干擾。屏蔽性能好，防止電磁泄露，減

少信號衰減。

(4)防止那些為網(wǎng)絡(luò)通訊提供頻繁服務(wù)的設(shè)備泄露電磁信號，可以在該設(shè)備上增加信號干擾器，對泄露的電磁信號進行干擾，以防他人順利接收到泄露的電磁信號。

應(yīng)用安全性主要是指利用通訊基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)和先進的應(yīng)用安全控制技術(shù)，對應(yīng)用系統(tǒng)中的數(shù)據(jù)進行安全保護，確保能夠在數(shù)據(jù)庫級、文檔/記錄級、段落級和字段級限制非法用戶的訪問。

另外，對存放重要數(shù)據(jù)的計算機(服務(wù)器、用戶機)應(yīng)使用安全等級較高的操作系統(tǒng)，利用操作系統(tǒng)的安全特性。

三、網(wǎng)絡(luò)安全的技術(shù)實現(xiàn)

1、防火墻技術(shù)

在外部網(wǎng)絡(luò)同內(nèi)部網(wǎng)絡(luò)之間應(yīng)設(shè)置防火墻設(shè)備。通過防火墻過濾進出網(wǎng)絡(luò)的數(shù)據(jù)，對進出網(wǎng)絡(luò)的訪問行為進行控制和阻斷，封鎖某些禁止的業(yè)務(wù)，記錄通過防火墻的信息內(nèi)容和活動。對網(wǎng)絡(luò)攻擊進行監(jiān)測和告警。防火墻可分為包過濾型、檢測型、型等，應(yīng)根據(jù)不同的需要安裝不同的防火墻。

2、劃分并隔離不同安全域

根據(jù)不同的安全需求、威脅，劃分不同的安全域。采用訪問控制、權(quán)限控制的機制，控制不同的訪問者對網(wǎng)絡(luò)和設(shè)備的訪問，防止內(nèi)部訪問者對無權(quán)訪問區(qū)域的訪問和誤操作。

我們可以按照網(wǎng)絡(luò)區(qū)域安全級別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進行安全隔離。在關(guān)鍵服務(wù)器區(qū)域內(nèi)部，也同樣需要按照安全級別的不同進行進一步安全隔離。

劃分并隔離不同安全域要結(jié)合網(wǎng)絡(luò)系統(tǒng)的安防與監(jiān)控需要，與實際應(yīng)用環(huán)境、工作業(yè)務(wù)流程和機構(gòu)組織形式密切結(jié)合起來。

3、防范病毒和外部入侵

防病毒產(chǎn)品要定期更新升級，定期掃描。在不影響業(yè)務(wù)的前提下，關(guān)閉系統(tǒng)本身的弱點及漏洞并及時打上最新的安全補丁。防毒除了通常的工作站防毒外，email防毒和網(wǎng)關(guān)式防毒己經(jīng)越來越成為消除病毒源的關(guān)鍵。還應(yīng)使用掃描器軟件主動掃描，進行安全性檢查，找到漏洞并及時修補，以防黑客攻擊。

醫(yī)院網(wǎng)管可以在CISCO路由設(shè)備中，利用CISCO IOS操作系統(tǒng)的安全保護，設(shè)置用戶口令及ENABLE 口令，解決網(wǎng)絡(luò)層的安全問題，可以利用UNIX系統(tǒng)的安全機制，保證用戶身份、用戶授權(quán)和基于授權(quán)的系統(tǒng)的安全，:對各服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫設(shè)立訪問權(quán)限，同時利用UNIX的安全文件，例如/etc/hosts. equiv文件等，限制遠(yuǎn)程登錄主機，以防非法

用戶使用TELNET、FTP等遠(yuǎn)程登錄工具，進行非法入侵。

4、備份和恢復(fù)技術(shù)

備份是保證系統(tǒng)安全最基本、最常用的手段。采取數(shù)據(jù)的備份和恢復(fù)措施，有些重要數(shù)據(jù)還需要采取異地備份措施，防止災(zāi)難性事故的發(fā)生。

5、加密和認(rèn)證技術(shù)

加密可保證信息傳輸?shù)谋Ｃ苄浴⑼暾?、抗抵賴等，是一個非常傳統(tǒng)，但又非常有效的技術(shù)。加密技術(shù)主要用于網(wǎng)絡(luò)安全傳輸、公文安全傳輸、桌面安全防護、可視化數(shù)字簽名等方面。

6、實時監(jiān)測

采取信息偵聽的方式尋找未授權(quán)的網(wǎng)絡(luò)訪問嘗試和違規(guī)行為，包括網(wǎng)絡(luò)系統(tǒng)的掃描、預(yù)警、阻斷、記錄、跟蹤等，從而發(fā)現(xiàn)系統(tǒng)遭受的攻擊傷害。網(wǎng)絡(luò)實時監(jiān)測系統(tǒng)作為對付電腦黑客最有效的技術(shù)手段，具有實時、自適應(yīng)、主動識別和響應(yīng)等特征。

7、 PKI技術(shù)

公開密鑰基礎(chǔ)設(shè)施(PKI )是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)網(wǎng)絡(luò)安全并負(fù)責(zé)驗證數(shù)字證書持有者身份的一種體系。PKI 可以提供的服務(wù)包括：認(rèn)證服務(wù)，保密(加密)，完整，安全通信，安全時間戳，小可否認(rèn)服務(wù)(抗抵賴服務(wù))，特權(quán)管理，密鑰管理等。

四、結(jié)束語：

網(wǎng)絡(luò)的安全與醫(yī)院利益息息相關(guān)，一個安全的網(wǎng)絡(luò)系統(tǒng)的保護不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān)，而且和領(lǐng)導(dǎo)的決策、工作環(huán)境中每個員工的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動態(tài)的，新的Internet黑客站點、病毒與安全技術(shù)每日劇增，醫(yī)院網(wǎng)絡(luò)管理人員要掌握最先進的技術(shù)，把握住醫(yī)院網(wǎng)絡(luò)安全的大門。

五、參考文獻(xiàn)

[1] 李國棟，劉克勤。Internet常用的網(wǎng)絡(luò)安全技術(shù)?，F(xiàn)代電力。2001. 11. 21

[2] 肖義等，PKI網(wǎng)絡(luò)安全平臺的研制與開發(fā)。2002. 1.23

第2篇

【關(guān)鍵詞】計算機；網(wǎng)絡(luò)安全；解決措施

1.計算機網(wǎng)絡(luò)安中出現(xiàn)的問題

1.1計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)部出現(xiàn)的安全問題

1.1.1網(wǎng)絡(luò)系統(tǒng)自身的漏洞，即系統(tǒng)漏洞

系統(tǒng)漏洞是計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)部安全問題的主要方面，他是計算機系統(tǒng)中不可避免的一種缺陷，它的存在，有可能給予網(wǎng)絡(luò)攻擊者以可乘之機，使攻擊者有可能通過系統(tǒng)漏洞，肆意侵害用戶的權(quán)限，毀壞用戶的程序，給用戶造成不可估計的后果，也有可能使木馬病毒等乘虛而入，擾亂計算機的正常程序，給用戶造成不可估量的損失和影響。

1.1.2用戶對移動存儲設(shè)備過分的信任，而減少了對他的安全問題的警惕，從而使網(wǎng)絡(luò)信息面臨威脅

我們通常所用的U盤、光碟、還有手機上的內(nèi)存卡都可以稱為移動儲存設(shè)備，它們的輕巧益攜的特點，使其成為人們最愛的信息存儲工具，什么重要信息好像都必須經(jīng)過它來傳輸，然而，如此便利的存儲設(shè)備，卻存在著非常大的安全隱患，里面的信息很容易丟失掉，甚至有些人還不知道，表面上刪除的信息是可以再被恢復(fù)的，因此，哪怕你刪除了信息，你的信息也很可能泄露，給你帶來很大的威脅。

1.2計算機系統(tǒng)外部出現(xiàn)的問題

1.2.1電腦黑客的入侵

電腦黑客實際上就是一個網(wǎng)絡(luò)高手，以前還是榮譽的象征，黑客很善于發(fā)現(xiàn)用戶計算機上的漏洞，他們會通過這些缺陷進入計算機的系統(tǒng)而躲避防火墻的攔擊，從而對計算機網(wǎng)絡(luò)安全造成威脅，給用戶帶來麻煩甚至損失。

1.2.2各種計算機病毒的攻擊

計算機病毒有很多的類型，他們大多都是破壞計算機的數(shù)據(jù)和程序，從而影響計算機的正常運行，給用戶帶來不便，使整個計算機系統(tǒng)癱瘓，同時計算機病毒還具有傳來性，病毒很可能從一臺計算機蔓延到很多臺，這種病毒的蔓延，以及它的破壞性會造成很嚴(yán)重的后果。

1.2.3間諜軟件的惡意進攻

在我們的網(wǎng)絡(luò)生活中總會有那么多惡意軟件在秘密的關(guān)注著我們的計算機網(wǎng)絡(luò)信息，一有機會就會竊取竊取我們網(wǎng)絡(luò)系統(tǒng)中的機密和各種信息，這種惡意軟件我們就稱他為間諜軟件。他竊取人們的隱私和機密，給人們帶來嚴(yán)重的損失。

1.3網(wǎng)絡(luò)管理中制度方面出現(xiàn)的問題

網(wǎng)絡(luò)制度制定的不夠嚴(yán)格，網(wǎng)絡(luò)管理者的管理能力太差，從而出現(xiàn)人為泄密和故意泄密的現(xiàn)象如計算機操作人員安全意識不強，設(shè)置的口令過于簡單，或者將自己的口令隨意告訴別人或者無意中透露給他人等都會對網(wǎng)絡(luò)安全帶來威脅。

2.怎樣解決計算機網(wǎng)絡(luò)安全面臨的問題

（1）及時的利用各種網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)系統(tǒng)的安全問題進行掃描和檢測，漏洞掃描技術(shù)就是一項值得我們采用的技術(shù)，他可以快速的掃描和查找出對系統(tǒng)安全造成威脅的各種漏洞，及時提醒我們對掃描出的漏洞進行修復(fù)，為檢測出的漏洞打上補丁，以此來保證網(wǎng)絡(luò)系統(tǒng)的安全。

（2）我們可以為計算機安裝上防火墻，防火墻技術(shù)作為最基本的安全措施之一，發(fā)揮著不可替代的作用，它的存在，使計算機仿佛處于一層防護罩的保護之下，可以阻擋部分的惡意程序的訪問和木馬、病毒及黑客的進攻，它似乎是對網(wǎng)絡(luò)信息進行了過濾，未經(jīng)證實安全的信息是不允許訪問的，防火墻技術(shù)的使用，大大增加了網(wǎng)絡(luò)系統(tǒng)的安全系數(shù)。

（3）安裝防病毒軟件和殺毒軟件，及時的對計算機的安全進行檢測，定期的進行計算機電腦病毒查殺。

（4）我們可以對自己的計算機網(wǎng)絡(luò)系統(tǒng)加密，實行網(wǎng)絡(luò)安全加密技術(shù)。這種現(xiàn)代化的數(shù)據(jù)加密技術(shù)可以用來保護網(wǎng)絡(luò)系統(tǒng)中的所有資料和信息，是自己真正享受安全和諧的網(wǎng)絡(luò)環(huán)境。

（5）我們還可以設(shè)置入網(wǎng)訪問控制，使其對合法用戶進行初步的控制，他嚴(yán)格控制了用戶的入網(wǎng)時間，當(dāng)然，也控制了入網(wǎng)的人群和入網(wǎng)的工作站，被允許訪問的用戶可以在準(zhǔn)許的時間和準(zhǔn)許的工作站入網(wǎng)訪問，不僅這樣，同時他還嚴(yán)格控制了訪問的內(nèi)容，訪問者所能反問的內(nèi)容和信息，甚至他的每一步的操作，都必須按著它的規(guī)定來做，不可以自作主張的隨意訪問。若有非法訪問的人群，那么入網(wǎng)控制的服務(wù)器就會給網(wǎng)絡(luò)管理人員做出警報，使管理員們提高警惕。

（6）要保護好計算機網(wǎng)絡(luò)的IP地址，我們必須知道，黑客之所以能攻擊我們的計算機系統(tǒng)，原因是他們掌握了計算機的IP地址。他們利用對IP地址的掌握，肆意的對計算機系統(tǒng)進行各種各樣攻擊和破壞，使被侵害的計算機遭受嚴(yán)重的威脅。正是因為這樣，我們要做好IP地址的保護工作，加強它的保密性，從而加強整個計算機網(wǎng)絡(luò)系統(tǒng)的安全。

（7）對于計算機的軟件，用戶在對計算機的軟件進行選擇時，不要為了節(jié)省錢，買不正規(guī)的軟件，對于軟件的選擇，一定要到正規(guī)的店去買正版的軟件，因為有些盜版軟件可能攜帶著病毒，不要為了貪圖小便宜而害了自己的系統(tǒng)，給自己造成嚴(yán)重?fù)p失。至于移動存儲設(shè)備，我們也要加強保護，例如U盤就是一個很方便常用的移動存儲設(shè)備，但是，由于我們會把U盤插入不同的計算機，這樣就有可能會使他成為病毒的攜帶者和傳播者，將別人或公用計算機上的病毒傳播到自己的計算機里，因此，我們的移動設(shè)備最好不要到處亂插，也最好不要外借，更不要把重要的資料存放在U盤里。

除了上述這些方法，還有很多的解決措施，但這些都離不看大家的共同努力。

3.總結(jié)

網(wǎng)絡(luò)安全在我們當(dāng)今社會日益成為關(guān)注的焦點，我們不僅要利用當(dāng)今先進的科技和計算機病毒等安全威脅因子進行斗爭，而且用戶自身也要增強安全意識管理好自己的網(wǎng)絡(luò)系統(tǒng)，讓我們社會全體共同努力，營造一個文明健康安全綠色的網(wǎng)絡(luò)環(huán)境。

【參考文獻(xiàn)】

第3篇

關(guān)鍵詞：CDP協(xié)議；網(wǎng)絡(luò)攻擊；安全防范

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2011) 16-0000-01

The Security of Network Attacks Based on CDP Protocol

Jiang Baohua

(Changchun University,Tourism College,Department of Basic,Changchun130607,China)

Abstract:CDP (Cisco Discovery Protocol) is one of Cisco's data link layer discovery protocol that runs on Cisco routers,bridges,access servers and switches and other devices used to find and view details of a neighbor important agreements,such as IP address,software version,platform, performance,and the native VLAN.Intruders often use denial of service (DoS) attacks such as access to these information,and use this information for CDP deception,resulting in significant security threats.

Keywords:CDP protocol;Network attacks;Security

一、CDP協(xié)議發(fā)現(xiàn)原理

要發(fā)現(xiàn)CDP協(xié)議的安全漏洞，就要知道其工作原理。CDP協(xié)議與現(xiàn)有的網(wǎng)絡(luò)協(xié)議類型無關(guān)，主要用來發(fā)現(xiàn)與本地設(shè)備直接相連的Cisco設(shè)備。每個運行CDP協(xié)議的設(shè)備都會定期發(fā)送宣告消息，來更新鄰居信息。同時每個運行CDP的設(shè)備也會接收CDP消息來記錄鄰居設(shè)備的信息。這些信息包括設(shè)備名稱、本地接口、硬件版本、IOS版本、IOS平臺、工作模式、本地VLAN、連接保持等。利用這些信息可以描述整個網(wǎng)站的拓?fù)淝闆r。而且這些報文信息不加密，是明文。CDP發(fā)現(xiàn)直接相連的其他Cisco設(shè)備，，并在某些情況下自動配置其連接。CDP的優(yōu)勢非常明顯，包括發(fā)現(xiàn)的速度、準(zhǔn)確性、所獲取的信息的詳細(xì)程度。

CDP協(xié)議相關(guān)的命令與作用如下：（1）SHOW CDP命令獲取CDP定時器和保持時間信息。（2）在全局模式下使用命令CDP TIMER和CDP HOLDTIME在路由器上配置CDP定時器和保持時間。（3）在路由器的全局配置模式下可以使用NO CDP RUN命令完全的關(guān)閉CDP。若要在路由器接口上關(guān)閉或打開CDP，使用NO CDP ENABLE和CDP ENABLE命令。（4）Show cdp neighbor命令可以顯示有關(guān)直連設(shè)備的信息。要記住CDP分組不經(jīng)過CISCO交換機這非常重要，它只能看到與它直接相連的設(shè)備。在連接到交換機的路由器上，不會看到連接到交換機上的其他所有設(shè)備。（5）Show cdp traffic命令顯示接口流量的信息，包括發(fā)送和接收CDP分組的數(shù)量，以及CDP出錯信息。（6）Show cdp interface命令可顯示路由器接口或者交換機、路由器端口的狀態(tài)。（7）debug cdp events啟動CDP事件調(diào)試等等。

二、CDP協(xié)議安全威脅

確實在大部分情況下，CDP協(xié)議的作用是不可替代的。如在大多數(shù)網(wǎng)絡(luò)中，CDP能夠提供很多有用的信息并且可以協(xié)助管理員進行網(wǎng)絡(luò)排錯和性能優(yōu)化。但是，其帶來的安全隱患也不容忽視。在缺省狀態(tài)下，Cisco品牌的交換機或路由器會自動在所有連接接口上發(fā)送CDP消息，這些消息由于沒有采取安全加密措施，非法用戶通過專業(yè)工具可以很輕松地竊取到這些敏感內(nèi)容。當(dāng)這些敏感信息被非法者擁有后，他們就能輕易了解到局域網(wǎng)中的組網(wǎng)結(jié)構(gòu)，并通過相關(guān)地址對網(wǎng)絡(luò)中的重要主機進行惡意攻擊，最終造成網(wǎng)絡(luò)無法安全、穩(wěn)定地運行。

除了被動獲取鄰居設(shè)備的交換協(xié)議信息外，非法攻擊者還可以利用專業(yè)的CDP工具程序定制偽造的CDP數(shù)據(jù)幀，來通知局域網(wǎng)中的高端網(wǎng)絡(luò)管理軟件，說在網(wǎng)絡(luò)中新發(fā)現(xiàn)了一臺網(wǎng)絡(luò)設(shè)備。如此一來，相關(guān)網(wǎng)絡(luò)設(shè)備就會主動嘗試?yán)肧NMP來聯(lián)系“陷阱”設(shè)備，這個時候非法攻擊者就會對這樣的聯(lián)系進行監(jiān)控捕捉，從而有機會獲得局域網(wǎng)中其他重要網(wǎng)絡(luò)設(shè)備的名稱、地址、接口等信息，日后就為攻擊這些網(wǎng)絡(luò)設(shè)備做好充足的準(zhǔn)備工作。

此外，CDP協(xié)議還能欺騙思科的IP電話。當(dāng)打開IP電話后，交換機就會通過CDP協(xié)議自動和IP電話交換CDP數(shù)據(jù)，并主動通知電話來讓語音流量選用哪一個虛擬工作子網(wǎng)。在這一過程中，非法攻擊者可以通過注入CDP數(shù)據(jù)幀的方法來欺騙IP電話，為語音流量分配一個錯誤的虛擬工作子網(wǎng)。

三、防范措施

根據(jù)CDP協(xié)議的工作原理CDP協(xié)議所發(fā)送的信息中包含了一些比較敏感的信息。如果這些信息被不法分子獲得的話，那么將給企業(yè)的網(wǎng)絡(luò)帶來很大的安全隱患。為此保護的重點就是如何讓這些敏感的信息不被外人所知。為了避免CDP協(xié)議泄露網(wǎng)絡(luò)設(shè)備的相關(guān)信息，可以只在企業(yè)內(nèi)部網(wǎng)絡(luò)的設(shè)備中啟用CDP協(xié)議。而在連接到互聯(lián)網(wǎng)的企業(yè)級邊緣路由器上的接口上禁用CDP協(xié)議。如此的話，相關(guān)的敏感信息不會泄露到企業(yè)的外部網(wǎng)絡(luò)上。在配合網(wǎng)絡(luò)防火墻等功能，就可以保證CDP協(xié)議信息的安全。可以在連接到服務(wù)器提供商或者企業(yè)邊緣路由器的接口上禁用CDP協(xié)議。其他地方如果有安全需要的話，可以根據(jù)情況來判斷是否啟用CDP協(xié)議。在可以的情況下，還是啟用CDP協(xié)議為好。例如，在單位內(nèi)網(wǎng)環(huán)境中，只要部署好了網(wǎng)絡(luò)防火墻和網(wǎng)絡(luò)防病毒軟件，就可以將網(wǎng)絡(luò)中交換機或路由器上的CDP發(fā)現(xiàn)功能啟用起來，以便為日后的網(wǎng)絡(luò)維護與優(yōu)化提供方便，因為內(nèi)網(wǎng)環(huán)境在多項安全措施的保護下，CDP發(fā)現(xiàn)協(xié)議存在的安全威脅會大大下降。此外，在一些安全性要求不高的網(wǎng)絡(luò)環(huán)境中，也可以通過啟用CDP發(fā)現(xiàn)協(xié)議來提高網(wǎng)絡(luò)故障的排查效率。例如，在普通的網(wǎng)吧工作環(huán)境中，由于不存在太重要的敏感信息，開啟CDP協(xié)議可以方便平時的管理、維護操作。在一些安全性要求比較高的網(wǎng)絡(luò)環(huán)境中，或者是單位網(wǎng)絡(luò)的邊緣網(wǎng)絡(luò)設(shè)備上，盡量不要使用CDP協(xié)議，畢竟CDP協(xié)議或多或少地會帶來一些麻煩。比方說，在銀行、證券等金融網(wǎng)絡(luò)中，應(yīng)該慎重使用CDP協(xié)議，因為這個網(wǎng)絡(luò)中包含的敏感、隱私信息特別多，要是被非法用戶發(fā)現(xiàn)的話，就相當(dāng)于暴露了許多攻擊目標(biāo)。

在語音VLAN應(yīng)用環(huán)境中，在企業(yè)內(nèi)部網(wǎng)絡(luò)中可以啟用CDP協(xié)議，而在企業(yè)級別的邊緣路由器上則禁用CDP協(xié)議。通過Vlan將企業(yè)的內(nèi)部網(wǎng)絡(luò)劃分成幾個獨立的虛擬網(wǎng)，能夠起到分割廣播包、縮小沖突域等作用，對于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全有著很大的作用。