当前位置：首页 > 国学

网络安全口号

时间：2022-12-16 06:56:44 作者：25 字数：210865字

有关安全的口号

关于学校安全的标语

1、增强师生防范意识，营造校园安全环境。

2、我要安全、我懂安全、事事安全、人人安全。

3、安全是人类共同的向往、安全是快乐生活的根本。

4、教室走廊不奔跑，安全第一真是好。

5、走楼梯守次序，进教室不喧哗。

6、教室走廊不嬉戏，同学玩乐守秩序。

7、加强领导健全安全工作责任制。

8、措施到位校园安全有保障。

9、深入开展校园安全管理专项整治行动。

10、整治校园周边环境全面排除安全隐患。

11、营造校园安全氛围，创造温馨学习环境。

12、安全伴我在校园，我把安全带回家。

13、维护校园安全，营造和谐环境。

14、预防为主教育在先注重实践狠抓落实。

15、措施到位校园安全有保障。

16、深入开展校园安全管理专项整治行动。

17、校园无隐患，安全靠大家。

18、生命至高无上，安全责任为天。

19、倡导安全文明风尚，提高全民安全意识。

20、以人为本，平安为先，加快建设平安校园。

21、关注校园安全，构建人文和谐。

22、加强安全管理，建设平安校园。

23、安全在我心中，生命在我手中。

24、安全是人类共同的向往、安全是快乐生活的根本。

25、教室走廊不奔跑，安全第一真是好。

26、走楼梯守次序，进教室不喧哗。

27、教室走廊不嬉戏，同学玩乐守秩序。

28、加强领导健全安全工作责任制。

29、预防为主教育在先注重实践狠抓落实。

我校举行2013年秋季学期开学典礼

[日期：2013-09-05] 来源：办公室作者： [字体：大中小]

9月2日，我校举行了隆重的开学典礼。在开学典礼上林忠校长作了慷慨激昂的演讲。林校长对各位新教师和新同学加入桂中表示了真挚的欢迎。林校长总结了我校过去一年的所取得的各项荣誉以及高考佳绩，并对全体学生提出了殷切的希望。开学典礼上还颁发了上学年度的各项奖学金。颁奖嘉宾有（桂林市政协委员）、桂林中学“黄现璠奖学金”捐资者甘金山先生；桂林市兴进实业有限责任公司董事长、“兴－国”奖学金捐资者罗欣先生；象山区人大副主任、桂林中学 “董家桂奖学金” 基金委员会委托人聂桂华女士；广西师大化学系老师、桂林中学“学习进步奖”捐资者代表莫蔚明先生。最后，嘉宾和校领导为获奖者颁奖并合影留念。

2、篇二：关于安全的标语

关于安全的标语:

1.安全规程是真经，“规章制度”血成写。万丈高楼平地起，安全教育是根基。

2.高空作业最危险，安全绳扣系腰间。上下传递物和件，不可乱抛用绳牵。 3.既稳又

准还可靠，空中地上都安全。生与死和安与危，安全生产靠法规。

4.出事不能弯弯绕，“三不放过”要记牢。安全第一要牢记，不可粗心和大意。

5.工作之中守纪律，万勿违章和违纪。安全帽真是个宝，并下作业离不了。

6.一人把关一处安，众人把关稳如山。违章违纪不去抓，害入害己害国家。

7.居安思危险不至，麻痹大意祸降临。规章制度天天讲，安全生产时时抓。

8.烟头虽小是火源，乱丢烟头有危险。条条规程血写成，人人作业必执 9 认真落实安全生产标准化、法制化、程序化、规范化。

10.生产必须安全，安全促进生产.

11.实施，人人事事保安全。

12.落实安全，强化安全防范措施。

13.安全就是生命，。

14.安全是效益的保障，安全是幸福的源泉。

15.广泛动员，强化监督，责任到位，常抓不懈。

有关安全的口号

　　只有防而不实没有防不胜防

　　遵章是安全的先导违章是事故的预兆

　　绊人的桩不在高违章的事不在小

　　愚者用鲜血换取教训智者用教训避免事故

　　忽视安全抓生产是火中取栗脱离安全求效益如水中捞月

　　安全具有高于一切的优先权!!!

　　安全是：不伤害自己，不伤害他人，不被他人伤害，不被环境伤害

　　生产必须安全，安全保障人权

　　生命无价，平安是福

　　安全源于警惕，事故出于麻痹

　　把握安全，拥有幸福

　　温馨的家来自安全的你

　　掌握安全技能，提高安全素养

　　安全日日好，生产节节高

　　安全作砥柱，天堑变通途

　　违章操作等于自杀，违章指挥等于杀人，违章不纠等于帮凶

　　在岗一分钟，安全六十秒

　　关爱自己，关爱他人，标准化是安全之本，责任心是安全之魂

　　沾沾自喜事故来，时时警惕安全在

　　弹拨安全弦，奏响太平曲

　　寒霜偏打无根草，事故专找懒惰人

　　生命至高无上，安全责任为天

　　抽一块砖倒一堵墙，松一颗螺丝断一根梁

　　安全需要每个人睁大眼睛

　　船到江心补漏迟，事故临头后悔晚

　　企业负责，行业管理，国家监察，群众监督

　　安全生产，重在预防

　　落实安全规章制度，强化安全防范措施

　　安全生产责任重于泰山

　　安全—我们永恒的旋律

　　甜蜜的家盼着您平安归来

　　安全知识让你化险为夷

　　安全勤劳，生活美好

　　抓好安全生产促进经济发展

　　传播安全文化宣传安全知识

　　安全人人抓幸福千万家

　　人人讲安全家家保安全

　　严是爱松是害搞好安全利三代

　　防事故年年平安福满门讲安全人人健康乐万家

　　健康的身体离不开锻炼美满的家庭离不开安全

　　安全是家庭幸福的保证事故是人生悲剧的祸根

　　质量是企业的生命安全是职工的生命

　　为安全投资是最大的福利

　　安全是最大的节约事故是最大的浪费

　　麻痹是最大的隐患失职是最大的祸根

　　安全生产生产蒸蒸日上文明建设建设欣欣向荣

　　不绷紧安全的弦就弹不出生产的调

　　安全花开把春报生产效益节节高

　　忽视安全抓生产是火中取栗脱离安全求效率益如水中捞月

　　幸福是棵树安全是沃土

　　安全保健康千斤及不上

　　安全为了生产生产必须安全

　　宁绕百丈远不冒一步险

　　质量是安全基础安全为生产前提

　　疏忽一时痛苦一世

　　生产再忙安全不忘

　　安全来自警惕事故出于麻痹

　　小心无大错粗心铸大过

　　时时注意安全处处预防事故

　　粗心大意是事故的温床马虎是安全航道的暗礁

　　劳动创造财富安全带来幸福

　　蛮干是走向事故深渊的第一步

　　以人为本安全第一

　　实施安全生产法人人事事保安全

　　认真学习坚持贯彻《安全生产法》

　　生命至高无上安全责任为天

　　严禁违章指挥违章作业违反劳动纪律

　　安全好意的保障，安全是幸福的源泉

　　生命只有一次安全伴君一生

　　关爱生命关注安全

　　安全责任重于泰山人民利益高于一切

　　落实安全责任完善安全制度

　　宣传安全知识传播安全文化

　　居安思危除隐患预防为主保安全

　　弘扬安全文化规范安全行为

　　安全在我心中生命在我手中

　　用您的责任和细心，谱写安全的永恒旋律

　　掌握安全生产知识，争做遵章守纪职工

　　把握安全拥有明天

工地安全口号

实施安全生产法人人事事保安全

2、安全第一预防为主

3、安全是幸福的源泉安全是效益的保障

4、认真学习坚决贯彻《安全生产法》

5、关爱生命关注安全

6、掀起学习贯彻《安全生产法》的高潮

7、把握安全拥有明天

8、广泛开展安全月活动深入贯彻《安全生产法》

9、防微杜渐警钟长鸣

10、生命至高无上安全责任为天

11、人民利益高于一切安全责任重于泰山

12、安全伴君一生生命只有一次

13、严禁违章指挥违章作业违反劳动纪律

14、安全生产人人有责

15、安全来于警惕事故出于麻痹

16、隐患险于明火防范胜于救灾

17、落实安全规章制度强化安全防范措施

18、安全生产违法必究

工地安全口号（2）：

、心中时刻装安全，吃饭睡觉都香甜。

　　2、父母妻儿牵挂你，安全生产心切记。

　　3、领导检查是关爱，认真对待去整改。

　　4、致富千日功，出事当日空。

　　5、爱妻爱子爱家庭，无视安全等于零。

　　6、安全与遵章同在，事故与违规相随。

　　7、千忙万忙出了事故白忙，千苦万苦受伤害者最苦。

　　8、安全送人情，等于要人命。

　　9、严是爱、松是害，发生事故坑三代。

　　10、今日注意安全，节日合家团圆。

　　11、生命只有一次，没有下不为例。

　　12、宁绕百米远，不冒一步险。

　　13、有妻有子有家庭，没有安全等于零。

　　14、不讲安全搭上命，挣座金山有啥用。

　　15、安全生产勿侥幸，违章蛮干要人命。

　　16、打工千日苦，不酿一时祸。

　　17、违章作业要批评，道是无情却有情。

　　18、不放过隐患，不留下遗憾。

　　19、为了你的幸福，请你注意安全。

　　20、爱家就要爱生命，重情更应重安全。

　　21、一人遭难全家遭殃事故隐患万万提防

　　22、生命只有一次危险就在一时安全要记一世

　　23、你的安全，是全家的欣慰。

　　24、生命只有一次，安全没有终止。

　　25、家庭支柱靠你扛，安全施工不能忘。

　　26、同创安全工地，共享美好生活。

　　27、严是爱松是害。搞好安全利三代。

　　28、生产莫违章，安全有保障。

　　29、安全施工，幸福一生。

　　30、出门挣钱不容易，安全千万要注意。

　　31、安全意识人人有，美好生活乐悠悠。

　　32、作业时戴安全帽，流汗总比流血好。

　　33、宁为安全操心，不让亲人伤心。

　　34、安全帽是护身宝，上班之前要戴好。

　　35、安全第一心中记，为已为家为亲人。

　　36、安全是家庭幸福的保证，事故是人生悲剧的祸根。

　　37、安全你一人，幸福全家人。

　　38、爱家就是爱生命，重情更应重安全。

　　39、安全生产牢牢记，生命不能当儿戏。

　　40、建筑施工安全为先，漫长人生平安是福。

　　41、处处注意安全，岁岁全家团圆。

　　42、安全千金难买，命运自己主宰。

　　43、安全第一是真理，全家不能没有你。

　　44、最盼的是你的平安，最怕的是你的意外。

　　45、质量是大厦的生命，安全是员工的生命。

　　46、安全你一个，幸福全家人。

安全月口号

1、关爱生命，安全发展

2、治理隐患，防范事故

3、时时讲安全，处处保安全

4、安全生产，人人有责

5、关口前移，防患未然

6、安全生产，重在预防

7、安全发展，和谐共建

8、综合治理，保障平安

9、关爱生命，关注安全

10、安全生产，人人有责

11、强化安全教育，狠抓制度落实

12、生命至高无上，安全责任为天

13、安全来自警惕，事故源于麻痹

14、落实主体责任，排查治理隐患

15、安全来自警惕，事故出于麻痹

16、生命至高无上，安全责任为天

17、时时注意安全，处处预防事故

18、传播安全文化，宣传安全知识

19、安全来于警惕，事故出于麻痹

20、安全在我心中，生命在我手中

21、安全就是生命，责任重于泰山

22、提高安全意识，倡导安全文化

23、弘扬安全文化，提高安全素质

24、居安思危危自小，防治隐患患自消

25、安全是生命之本，违章是事故之源

26、深化安全专项整治，排查治理事故隐患

27、强化安全防范措施，落实安全规章制

六一安全口号

六一安全口号

1、安全创造幸福，疏忽带来痛苦。

2、我的安全我负责，别人安全我有责。

3、生命最可贵，安全第一位。

4、有防则安，无防则危。

5、安全警钟日日鸣，平安大道天天行。

6、安全在身，家人放心。安全疏忽，苦难缠身。

7、多看一眼，安全保险；多防一步，少出事故。

8、安全是朵幸福花，大家浇灌美如画。

9、分分秒秒珍惜生命，时时刻刻重视安全。

10、交通安全很重要，交通规则要牢记，从小养成好习惯，不在路上玩游戏。

11、行走应走人行道，没有行道往右靠，天桥地道横行道，横穿马路不能做。

12、一慢二看三通过，莫与车辆去抢道。骑车更要守规则，不能心急闯红灯。

13、乘车安全要注意，遵守秩序要排队；手头不能伸窗外，扶紧把手莫忘记。

14、遵守交通法规，关爱生命旅程。

15、实线虚线斑马线，都是生命安全线。

16、宁绕百步远，不抢一步险。

17、违章超载，得不偿失。

18、减速慢行勿争先，关照生命到永远。

19、大路朝天，请走右边。

20、道路连着你和他安全系着千万家。

21、护栏保安全，翻越最危险。

22、绷紧安全琴弦奏响生命旋律。

23、交通安全进万家出入平安你我他。

24、珍惜生命，遵章出行。

25、一丝不苟保安全半分疏忽生祸端。

26、停让躲慢要果断犹豫不决出祸端。

当安全沦为口号

因为塑化剂吃太多的关系吗？ ” 台北大学公共事　　

务学院研究生徐心怡表示， “ 　已经有台湾专业医疗　机构公布数据称，这几年台湾妇女罹患乳腺癌的比　

当安全沦为口号　
由 “ 塑化剂 ”引发的食品风波　
巳文／知秋　

例增长了３多，诱因直指塑化剂。类似的消息还　倍有很多，似乎在一夜之间，台湾所有的健康问题都　
找到了 “ 凶” 。元　
一

个月前，中国台北市著名的士林夜市还熙熙　

攘攘，人流如织。这里聚集了数千种台湾地区的小　

吃，最受欢迎的是消暑解渴的冰品和饮料。 “ 　如今　
士林夜市的人流量少了一半以上，谁还敢吃冰品和　饮料啊！都有毒，买的人都没了。 ” 徐心怡说。　

在食品行业，从来都不乏 “ 闻” ，众多食品　新安全事件看似起于偶然，实则必然。多年来，一　今年４，中国台湾卫生部门例行抽验食品时，一位检验　月员发现一款 “ 元益生菌” 的检测色谱中出现了异样波纹。净　但由于这些波纹不在食品检验表目录中，因此一般的检验员　
直以制度健全为傲的台湾地区出现了 “ 动的螺　松丝 ” ， “ 化剂 ”打破了台湾地区长久以来的优越　　塑

感，制度、信誉和安全都备受考验。　但是，世界上最令人痛苦的事情不是面对越来　越多的有毒食品让你无从下嘴，而是你正在吃的东　
西不知到底是有毒还是没毒。塑化剂危机发生在台　
湾，但台湾民众不见得比我们大陆民众更难过，起　

不会注意，超标了也不知道是何种物质。而这位非常尽责的　
检验员通过反复实验和比对明确了超标物质的身份 — — 塑化　剂。塑化剂是一种有毒的化工业用塑料软化剂，属无色、无　味液体，添加后可让微粒分子散布更均匀，因此能增加延展　性、弹性及柔软度，常作为沙发、汽车座椅、橡胶管、化妆　品及玩具的原料。　

码他们知道哪些食品不能吃，或者即使你想吃也未　必吃得到。而我们，到底有没有吃到塑化剂，只能　靠猜。　

随后，经中国台湾卫生部门调查发现，塑化剂是被添加　
在起云剂中的。合法、限量的起云剂对人体是安全的
，是经　中国台湾 “ 生署 ”批准通过的一种乳化剂，主要用来防止　卫运动饮料或食品沉淀，增加口感。中国台湾生产起云剂的主　要成分应为棕榈油和软化剂，可是，不法商贩为节约成本，　用塑化剂替代了棕榈油。　经台湾地区卫生部门追查发现， “ 毒 ” 起云剂居然来　　含

面对台湾 “ 化剂 ”危机的愈演愈烈，内地的　塑质检部门、卫生部门似乎总是慢半拍。就如欧洲热　炒的毒黄瓜，内地监管等部门还在观望。这种作　
为　显然无法令人安心。别让我们的食品安全，成　为全世界的笑话，这个笑话一点都不好笑。　近日，中国大陆质监部门终于公布了一批查明　
含 “ 化剂 ” 的产品。目前，对发现已采购相关产　塑

自中国台湾最大的起云剂供货商— — 昱伸香料有限公司，它　
是中国台湾Ｉ７企业的原料和食品添加剂供应商。至此，此　７家事才在台湾引起轩然大波，台湾地区各部门和媒体都开始大　
范围追查相关的食品和企业。　

品的，立即进行封存，并配合做好问题产品处置召　
回。此情此景，不由想起赵丽华的一首诗来： “ 　　我终于在一棵树下发现，一只蚂蚁，另一只蚂蚁，一　群蚂蚁，可能还有更多的蚂蚁。 ” 　

与此同时，香港浸会大学生物系副教授黄港住通过媒体　
表示，早在５前，他所负责的研究小组就做了 “ 年白老鼠实　验 ” ，并发现曾经服食 “ 塑化剂 ” 的老鼠，诞下的后代以雌　性为主，并会影响其正常的排卵，即使诞下雄性，其生殖器　
官较正常的小三分之二，而精子数量亦大减。 “ 反映出　　这

当台湾 “ 塑化剂 ”风波愈演愈烈，我们这边却　风平浪静，不免令人起疑。在经历了三聚氰胺奶、　
瘦肉精猪肉、染色馒头等一系列 “ 法添加剂 ”事　非件洗礼后，国人对于食品安全早如 “ 弓之鸟” ，惊　如何相信 “ 景这边独好 ”？风　

‘ 化剂 ’毒性属抗雄激素活性，造成内分泌失调。 ”黄港　塑
住说， “ 究可以应用到人类身上，显示长期摄吸 ‘ 化　　研塑

因此，翻看网络民意，大多数人对于内地查处　
“ 化剂 ”的 “ 消息” 不仅不 “ 诧 ” ，
反而有　塑坏惊

剂 ’对男性的影响较女性大。” 　这一言论一经公布，就引起了中国台湾民众的恐慌。　 “ 人恍然大悟，难怪台湾生育率已降为全球最低，难道是　有
７４　

些欣慰，这是为什么呢？其实原因很简单，一般的　人早就相信内地食品也有塑化剂的问题，并且还　

现代商业ＭＯＢ　ＵＩＥＳＤＥＮＢＳＮＳ　ＪＩ　０１　ｕｖ２１

希望早日查出，早日严厉查处，只有如此，老百姓才能早日　 “ 全 ” ，早日放下心来。安　

如今， “ 来的终于来了” ，老百姓就放下了一半的心，　该　之所以还有另一半没有放下，是因为相关方面仍有些 “ 抱　犹琵琶半遮面 ” ，显得不够坦诚。ｔ￣，此次所查出 “ 塑 ” ；ｒＬｌ染　产品多是 “ 花香精、绿茶香精、杏仁香精 ” 之类的食品添　桂加物，略有点常识的人们都会担心：这些香精究竟销往了　
哪些企业，又被制成了哪些产品出售？然而对这些本该认真　对待严肃查处的问题，相关方面却只字未提，试问如此 “ 　敷

衍 ” 之态度，怎能让人 “ 心 ” ，又如何不令人愤慨？放　也许，海对岸的应对措施，能提供给我们一些思考。 “ 　塑　
化剂风暴 ” 暴发之后，台湾地区 “ 政院副院长 ” 陈冲表示　行政府部门危机处理的原则是 “ 恳面对、控制损害、痛定思　诚内，各级检测机构多次检验三鹿奶粉， “ 未发现　　均问题 ” ，直到３后被媒体反复曝光，地方政府和　年

痛、重建声誉 ” 。６８日，在台塑化剂事件满城风雨之际，月　

马英九在台南成大医院演讲时，重申严查重罚的态度，声　称不怕家丑外扬， “ 件虽然有损台湾形象，但诚实还是上　　事
策 ”。　

企业才开始 “ 查 ” 。在双汇 “ 肉精 ” 事件中，彻瘦　有关部门排查后对外界称，瘦肉精阳性生猪主要集　中在河南济源周边四县市，巧合的是，媒体曝光也　
是这四县市。　

无数事实表明：信息越是透明公开，公众就越是安之若　素；相反越是 “ 遮掩掩 ” ， “ 明真相的群众 ” 就越多，遮　不　
就越是会谣言四起。　

其实，有些地方的食品安全监督部门与非法食　
品制造厂家，早已在利益上 “ 中勾结 ” 了。从已　暗
曝光的食品安全事件看，部分人员存在失职、渎职　

台湾的塑化剂风波之所以会让 ** 消费者感到分外担忧，　背后的一个重要原因就是：我们从未把塑化剂当做一种被检　项目，因此也根本不能确认相关产品中是否已经含有，以及　日常饮食中是否已经摄入。换言之，我们之所以没有塑化剂　风波，只是因为我们根本不检测塑化剂；但是谁都知道，越　是从来不检测，无良商家越是拥有胡作非为的宽阔空间。　笔者小时候，大人们常开玩笑说， “ 干不净，吃了没　　不病　，那是笑话孩子们吃东西不洗干净，或者嘲笑过分爱干　净的人的。如今，不法商人将食品打扮的光鲜异常，还承诺　使用了百种检测手段，通过了几十道安全关卡，可就是这样　 “ 格把关 ” 的食品，还是出现了 “ 干净净，吃了生病 ” 严干　
的局面。　

行为，但法律法规对如何判定监管部门履职情况，　
缺乏明确界定；品安全监管不及时，导致 “ 事　食小拖大，大事拖炸 ” 。食品监管部门众多，每个监管　环节都有自己的 “ 益链 ” ，平时靠查处 “ 法 ” 利违　创收，到了关键时刻，又容易脱身，这才造成了食　
品安全雪上加霜。　

在一些地方，基层质监部门人满为患，人员工　资主要靠罚款，如果下游不违法，他们就失去了经　

费来源。因此，地方食品监管部门这只 “ ” ，对　猫
下游非法食品制造商那些 “ ” ，有时是欲擒故纵　鼠
的；当风声紧的时候， “ ”甚至还为 “ ”通风　　猫鼠报信。现行财政机制下，省、市主管部门对罚款收　

向食品中增加各种非法添加剂，早已是公开的秘密，商　

人们要的是利益。可恨的是那些发明食品添加剂的人，大多　
是专家学者， “ 着明白装糊涂 ” 。三聚氰胺、瘦肉精、面　　揣

费克扣一部分，剩下的部分归地方。食品监管人员　工资福利从收费和罚款中出，食品安全监管就变成　

粉增白剂使用之初，那些学者明明知道 “ 人体有百害而无　对
一

了 “ 鱼执法 ” ，这样的食品安全监督焉有不出事　养
之理？　

利 ” ，可由于利益驱动，他们依然装憨卖傻，直到东窗事　

发。那些学者的身体里早已没有了道德的血液，老百姓的食　品安全寄托在他们身上，风险是非常大的。　那么，执法部门到哪里去了？近期曝光的染色馒头、回　从

食品要想真正安全，必须先抓 “ ” ，再抓　猫 “ ” ，击破 “ 鼠同盟 ” 。应充分发挥公众的监　鼠猫

督力量，重奖违法食品举报者，让不法分子无藏身　之地；强化监管部门依法执法力度，铁腕查处失职　渎职、执法腐败、部门牟利等知法犯法行为，早日　还老百姓一个健康安全的饮食环境。口　
７　５

炉面包、瘦肉精猪肉、牛肉膏事件来看，食品安全监管部门　马后炮做法，如出一辙。２０年爆发三聚氰胺奶粉事件前，０８　有关部门就陆续接到消费者反映，但在长达四五个月时间　

有关安全的口号

有关安全的口号

只有防而不实没有防不胜防

遵章是安全的先导违章是事故的预兆

绊人的桩不在高违章的事不在小

愚者用鲜血换取教训智者用教训避免事故

忽视安全抓生产是火中取栗脱离安全求效益如水中捞月安全具有高于一切的优先权!!!

安全是：不伤害自己，不伤害他人，不被他人伤害，不被环境伤害生产必须安全，安全保障人权

生命无价，平安是福

安全源于警惕，事故出于麻痹

把握安全，拥有幸福

温馨的家来自安全的你

掌握安全技能，提高安全素养

安全日日好，生产节节高

安全作砥柱，天堑变通途

违章操作等于自杀，违章指挥等于杀人，违章不纠等于帮凶在岗一分钟，安全六十秒

关爱自己，关爱他人，标准化是安全之本，责任心是安全之魂

沾沾自喜事故来，时时警惕安全在

弹拨安全弦，奏响太平曲

寒霜偏打无根草，事故专找懒惰人

生命至高无上，安全责任为天

抽一块砖倒一堵墙，松一颗螺丝断一根梁

安全需要每个人睁大眼睛

船到江心补漏迟，事故临头后悔晚

企业负责，行业管理，国家监察，群众监督

安全生产，重在预防

落实安全规章制度，强化安全防范措施

安全生产责任重于泰山

安全—我们永恒的旋律

甜蜜的家盼着您平安归来

安全知识让你化险为夷

安全勤劳，生活美好

抓好安全生产促进经济发展

传播安全文化宣传安全知识

安全人人抓幸福千万家

人人讲安全家家保安全

严是爱松是害搞好安全利三代

防事故年年平安福满门讲安全人人健康乐万家健康的身体离不开锻炼美满的家庭离不开安全安全是家庭幸福的保证事故是人生悲剧的祸根质量是企业的生命安全是职工的生命

为安全投资是最大的福利

安全是最大的节约事故是最大的浪费

麻痹是最大的隐患失职是最大的祸根

安全生产生产蒸蒸日上文明建设建设欣欣向荣不绷紧安全的弦就弹不出生产的调

安全花开把春报生产效益节节高

忽视安全抓生产是火中取栗脱离安全求效率益如水中捞月幸福是棵树安全是沃土

安全保健康千斤及不上

安全为了生产生产必须安全

宁绕百丈远不冒一步险

质量是安全基础安全为生产前提

疏忽一时痛苦一世

生产再忙安全不忘

安全来自警惕事故出于麻痹

小心无大错粗心铸大过

时时注意安全处处预防事故

粗心大意是事故的温床马虎是安全航道的暗礁劳动创造财富安全带来幸福

蛮干是走向事故深渊的第一步

以人为本安全第一

实施安全生产法人人事事保安全

认真学习坚持贯彻《安全生产法》

生命至高无上安全责任为天

严禁违章指挥违章作业违反劳动纪律安全好意的保障，安全是幸福的源泉生命只有一次安全伴君一生

关爱生命关注安全

安全责任重于泰山人民利益高于一切落实安全责任完善安全制度

宣传安全知识传播安全文化

居安思危除隐患预防为主保安全

弘扬安全文化规范安全行为

安全在我心中生命在我手中

用您的责任和细心，谱写安全的永恒旋律掌握安全生产知识，争做遵章守纪职工把握安全拥有明天

工地安全口号

实施安全生产法人人事事保安全

2、安全第一预防为主

3、安全是幸福的源泉安全是效益的保障

4、认真学习坚决贯彻《安全生产法》

5、关爱生命关注安全

6、掀起学习贯彻《安全生产法》的高潮

7、把握安全拥有明天

8、广泛开展安全月活动深入贯彻《安全生产法》

9、防微杜渐警钟长鸣

10、生命至高无上安全责任为天

11、人民利益高于一切安全责任重于泰山

12、安全伴君一生生命只有一次

13、严禁违章指挥违章作业违反劳动纪律

14、安全生产人人有责

15、安全来于警惕事故出于麻痹

16、隐患险于明火防范胜于救灾

17、落实安全规章制度强化安全防范措施

18、安全生产违法必究

-----

、心中时刻装安全，吃饭睡觉都香甜。

　　2、父母妻儿牵挂你，安全生产心切记。

　　3、领导检查是关爱，认真对待去整改。

　　4、致富千日功，出事当日空。

　　5、爱妻爱子爱家庭，无视安全等于零。

　　6、安全与遵章同在，事故与违规相随。

　　7、千忙万忙出了事故白忙，千苦万苦受伤害者最苦。

　　8、安全送人情，等于要人命。

　　9、严是爱、松是害，发生事故坑三代。

　　10、今日注意安全，节日合家团圆。

　　11、生命只有一次，没有下不为例。

　　12、宁绕百米远，不冒一步险。

　　13、有妻有子有家庭，没有安全等于零。

　　14、不讲安全搭上命，挣座金山有啥用。

　　15、安全生产勿侥幸，违章蛮干要人命。

　　16、打工千日苦，不酿一时祸。

　　17、违章作业要批评，道是无情却有情。

　　18、不放过隐患，不留下遗憾。

　　19、为了你的幸福，请你注意安全。

　　20、爱家就要爱生命，重情更应重安全。

　　21、一人遭难全家遭殃事故隐患万万提防

　　22、生命只有一次危险就在一时安全要记一世

　　23、你的安全，是全家的欣慰。

　　24、生命只有一次，安全没有终止。

　　25、家庭支柱靠你扛，安全施工不能忘。

　　26、同创安全工地，共享美好生活。

　　27、严是爱松是害。搞好安全利三代。

　　28、生产莫违章，安全有保障。

　　29、安全施工，幸福一生。

　　30、出门挣钱不容易，安全千万要注意。

　　31、安全意识人人有，美好生活乐悠悠。

　　32、作业时戴安全帽，流汗总比流血好。

　　33、宁为安全操心，不让亲人伤心。

　　34、安全帽是护身宝，上班之前要戴好。

　　35、安全第一心中记，为已为家为亲人。

　　36、安全是家庭幸福的保证，事故是人生悲剧的祸根。

　　37、安全你一人，幸福全家人。

　　38、爱家就是爱生命，重情更应重安全。

　　39、安全生产牢牢记，生命不能当儿戏。

　　40、建筑施工安全为先，漫长人生平安是福。

　　41、处处注意安全，岁岁全家团圆。

　　42、安全千金难买，命运自己主宰。

　　43、安全第一是真理，全家不能没有你。

　　44、最盼的是你的平安，最怕的是你的意外。

　　45、质量是大厦的生命，安全是员工的生命。

　　46、安全你一个，幸福全家人。

安全月口号

1、关爱生命，安全发展

2、治理隐患，防范事故

3、时时讲安全，处处保安全

4、安全生产，人人有责

5、关口前移，防患未然

6、安全生产，重在预防

7、安全发展，和谐共建

8、综合治理，保障平安

9、关爱生命，关注安全

10、安全生产，人人有责

11、强化安全教育，狠抓制度落实

12、生命至高无上，安全责任为天

13、安全来自警惕，事故源于麻痹

14、落实主体责任，排查治理隐患

15、安全来自警惕，事故出于麻痹

16、生命至高无上，安全责任为天

17、时时注意安全，处处预防事故

18、传播安全文化，宣传安全知识

19、安全来于警惕，事故出于麻痹

20、安全在我心中，生命在我手中

21、安全就是生命，责任重于泰山

22、提高安全意识，倡导安全文化

23、弘扬安全文化，提高安全素质

24、居安思危危自小，防治隐患患自消

25、安全是生命之本，违章是事故之源

26、深化安全专项整治，排查治理事故隐患

27、强化安全防范措施，落实安全规章制

安全月口号

安全月口号

1、关爱生命，安全发展

2、治理隐患，防范事故

3、时时讲安全，处处保安全

4、安全生产，人人有责

5、关口前移，防患未然

6、安全生产，重在预防

7、安全发展，和谐共建

8、综合治理，保障平安

9、关爱生命，关注安全

10、安全生产，人人有责

11、强化安全教育，狠抓制度落实

12、生命至高无上，安全责任为天

13、安全来自警惕，事故源于麻痹

14、落实主体责任，排查治理隐患

15、安全来自警惕，事故出于麻痹

16、生命至高无上，安全责任为天

17、时时注意安全，处处预防事故

18、传播安全文化，宣传安全知识

19、安全来于警惕，事故出于麻痹

20、安全在我心中，生命在我手中

21、安全就是生命，责任重于泰山

22、提高安全意识，倡导安全文化

23、弘扬安全文化，提高安全素质

24、居安思危危自小，防治隐患患自消

25、安全是生命之本，违章是事故之源

26、深化安全专项整治，排查治理事故隐患

27、强化安全防范措施，落实安全规章制

安全管理口号

企业安全生产管理标语

1、生命只有一次，安全伴君一生

2、安全连着你我他，平安幸福靠大家

3、你对违章讲人情，事故对你不留情

4、安全来自长期警惕，事故源于瞬间麻痹

5、生产再忙，安全不忘

6、安全生产，人人有责，遵章守纪，保障安全

7、事故不难防，重在守规章

8、多看一眼，安全保险，多防一步，少出事故

9、危险物品，隔离放置，标识清晰，注意防火

10、消防设施，常做检查，消除隐患，预防事故

11、化学物品很危险，存储使用要小心

1.安全第一，预防为主。生命宝贵，安全第一。

2. 安全生产，人人有责。遵章守纪，保障安全。

3. 安全是幸福的保障，治理隐患保障安全。

4. 安全创造幸福，疏忽带来痛苦。安全就是效益，安全技就是幸福。

5. 安全在你脚下，安全在你手中。安全伴着幸福，安全创造财富。

6. 安全、舒适、长寿是当代人民的追求。重视安全、关心安全、为安全献力。

7. 积极行动起来，开展“安全生产周”活动。深入贯彻“安全第一，预防为主”的方针。

8. 搞好安全生产工作，树立企业安全形象。改善职工劳动条件，促进安全文明生产。

9. 为了您全家幸福，请注意安全生产。为了您和他人的幸福，处处时时注意安全。

10. 安全是关系社会安定、经济发展的大事。强化安全生产管理，保护职工的安全与健康。

11. 反违章、除隐患、保安全、促生产。创造一个良好的安全生产环境。

12. 严格规章制度，确保施工安全。治理事故隐患，监督危险作业。

13. 提高全民安全意识，养成遵章守纪美德。宣传安全文化知识，推动安全文明生产。

14. 自觉遵守各项安全生产规章制度是劳动者的义务和职责。

15. 安全生产常抓不懈，抓而不紧，等于不抓。

16. 加强劳动人员保护工作就是保护生产力。保护职工的安全健康是企业的头等大事。

17. 安全生产“五同时”，各级领导要落实。全国人民奔小康，安全文明第一桩。

18. 安全与减灾关系到全民的幸福和安宁。提高全民安全素质必须从娃娃抓起。

19. 人命关天，安全第一。安全第一，防灾防损。力保安全，促进安全。

20. 执行劳动安全法规，搞好安全生产工作。加强职工劳动保护，人人学会保护自己。

21. 安全规程系生命，自觉遵守是保障。

22. 普及消防知识，增强防火观念。注意安全用电，防止触电事故。

23. 提高青少年的安全文化素质是具有战略意义的举措，繁荣我国安全文化艺术是安全文化建设的重要任务之一。

24. 安全生产必须依靠安全科学技术，安全科学技术也是第一生产力。

25. 安全文化是企业文化建设的基础，安全文化是企业文化的组成部分。

26. 提高全民安全素质必须从娃娃抓起，积极开展中小学安全日活动。

27. 倡导弘扬安全文化，提高全民安全素质以及安全文化知识，提高人民安康水平。

28. 严是爱，松是害，疏忽大意事故来。严是爱，松是害，保障安全利三代。

29. 树立城市忧患意识，学会防灾避险应急逃生本领。加强职工安全技术培训，坚持工人持

工地安全口号

工地安全口号

实施安全生产法人人事事保安全

2、安全第一预防为主

3、安全是幸福的源泉安全是效益的保障

4、认真学习坚决贯彻《安全生产法》

5、关爱生命关注安全

6、掀起学习贯彻《安全生产法》的高潮

7、把握安全拥有明天

8、广泛开展安全月活动深入贯彻《安全生产法》

9、防微杜渐警钟长鸣

10、生命至高无上安全责任为天

11、人民利益高于一切安全责任重于泰山

12、安全伴君一生生命只有一次

13、严禁违章指挥违章作业违反劳动纪律

14、安全生产人人有责

15、安全来于警惕事故出于麻痹

16、隐患险于明火防范胜于救灾

17、落实安全规章制度强化安全防范措施

18、安全生产违法必究

工地安全口号（2）：

、心中时刻装安全，吃饭睡觉都香甜。

2、父母妻儿牵挂你，安全生产心切记。

3、领导检查是关爱，认真对待去整改。

4、致富千日功，出事当日空。

5、爱妻爱子爱家庭，无视安全等于零。

6、安全与遵章同在，事故与违规相随。

7、千忙万忙出了事故白忙，千苦万苦受伤害者最苦。

8、安全送人情，等于要人命。

9、严是爱、松是害，发生事故坑三代。

10、今日注意安全，节日合家团圆。

11、生命只有一次，没有下不为例。

12、宁绕百米远，不冒一步险。

13、有妻有子有家庭，没有安全等于零。

14、不讲安全搭上命，挣座金山有啥用。

15、安全生产勿侥幸，违章蛮干要人命。

16、打工千日苦，不酿一时祸。

17、违章作业要批评，道是无情却有情。

18、不放过隐患，不留下遗憾。

Webmaster网络安全讲座-4账号安全

Wemasbtre网安络全座讲:4账号.安全

作：者未知源来未：加知时入：200间46-20　-天软件园新

Wbeasmer网络t安全讲：座第四讲账号全安

作者

：w(bmasete网r技络学术院)

户帐号用适当不的全问安是攻击题侵入系的主统手段要之。其实一小心帐号的管员理可避免以很多潜在问的题，如选择强的密固码、有效的略策加通强知户的用惯习，分配当的适权等。限所这些要求有定一符要安全结合构尺的度。于介个过整程施的复杂性，需实多要个户用共来完成，而同维护当的入侵小时不需要就烦麻些这所有的户。用

整体安的全策略本中地帐号安全是非的重要的。常节课这，们我探将讨不用同的方来保法本地护号帐的全安。

章本要点

：·

描帐述安全和号密之码间的系

关

·在iWnodws TNUN和X系I的统现安实全号的帐技术

·在N T下实密码施略的步策骤

述描UNXI码密全及安码文密的件格式

· 分析NIU下X安全威的胁，绝帐拒访号问和监视号帐

密码的重性要

密

码是NUIX和Widons wNT全安础的基核。心如果危到密码及那，个本基安的机制和模式将遭全严重到响影为了。选强择固密码的你需，要帐号在略策设置里多更相的关选。你还要帮助用项选户择强壮密码。的

一

强固的个密至码于有要列下方四内面的三容种：

大写字母·

· 小字写母

·数字

非字母数的字符字如标点符，号

强固的密还要码符下合的规列则

不使普通用名的或昵字称

·不使普用的通个人息，信生如日日

期·

密码里不含重复有字的或母数字

少至使八用个符字

黑从的客思考虑，避免密想码易被猜容出发现（或如不要比写纸条到放上到屉里抽）。

NT下的码安全密

在N

下T为强制了使用壮的密码强你可以，更改册注表的里LAS值实来，现pa叫ssflti.ll，这个d件可以文在Windws oN的TSrveiceP ack及2后的以版本里到找。L在SA值键下要需加添oNtiicfatio Pnckagase串字把并值pass为ilf.dtll加去。这串进值须在必司所公的域有制控里都加器。入同时你需还使要用assppro.pxe这个e序来程pa使ssift.llld生效。

UNIX

的密码安下全

UNIX中在加密的密后信息是码在一存文件里个，常通是/ec/tpasswd。维护好个这文的安件性是非常重全要的。U在NI系X里统的属主它具有最是权限的高号，帐即oot的rU。INX基上有本两类户用普通用：户系统和权用户。有时特权用户也特不确被切叫地超级用做。户实上，际一超个级用户帐的号识标是为号。当一零个号建立帐的时候会，被配一个分唯一的识标字(数UID)这个。数分配从字0开，最低的数始(也字是最高就的限)权分是配给登陆号帐rot的。Rooto

可以行任执何程，打开任何目录序检查任何，文，改件变统系任何内对象属性的及它任意的其能功。何任于对攻UNIX系统的黑击客最目终都的是取得ooR帐t。号

oRto管/掌etcpa/swds件文。文此可以件所被登有陆用的户取读，包含它每个一户用认证信的息因。此在简单，UN的IX系统任何人都可上以制复这个文件的容内并分析个哪字段是含包密加后密的码然后利。不用的密同码一系列尝试和的/etcpa/sswd加密后字的进串行较比。因此，码的密选择是NIX系U统安级别全最中要重。的

Windws oN帐号安T

全先，也是最首难的任务就是困保确只必有需帐的被使户而用且个帐每号有能满仅他足完成工们作的最小限。在一个大权的型公里司，通是常用一个多个或户用集域管中所理有的用户帐号域。一个是中央权的帐集数号库可据在以分于公布中间。司因有此经验的理员尽量管把用地放户较到少域的里面便于管以。这种限制通理常进促司公策的粘略性附。地组本创本地建源并管理权限资本地。资的机器源要被置配成任集信帐号中域。有但时这设种也是不置可行，的因为和程站远点间没有够足带宽。的

有几

技种可以解术决号安全的问题帐其中。个主要关一心是的保确不再有新帐的号立或已建在的帐户存权不作限改。另动一简单的个方法就利是net用 sue和nre gtrupo命令信把定息向到个文体一件文里后进比行。有规律照地行这些运命并对令输出文本的文中件帐号的列表进比较就行轻能易发地问现。题些内置的一具，工比系统任务进如表程度序可以自，动执行的也。可使用以它一些外其工具部比P如rl或deiff可以自地动标准列对表和当前设置进的比照。行

帐

号命重名

另个可靠一办的法是就对默的帐号认重名命。包括adinmitsraot、ruest以及其g它些由一装软件时安（IIS如）自所建立动帐的。这号些帐号须必好好保护为它们因受易攻。击然简而地单重名帐号命并能不好很地隐它们。因藏为indoWws T必N知须哪道个是一管理员号帐管，员帐理当前的名字号是存在保册注表里。的

号策帐略

为保持用户了数库据被不侵犯，必须强制用你户成养好良的习在惯帐的设置号上要有效能地止防黑使用客力暴解的方法破攻击。这些来任主务是通过要Wnidwso TN上帐号策的略设置上。的帐策略的号设置是过域通用管理户器实来施的从策略的，单菜选中择用权限户，第一是项关有码密时的效，二第项是有关码长密的限制，度以帐号及定等锁机。制

实现强的密码壮

大

多情数况下，养成使用仅密好码的习是不够的惯；还需你使用更强壮要的密来有效阻码止类似于典字击和暴攻破力解击

攻。我前们已面经论讨一个，壮的强码密至需少要六个字符，不包括能用户的任名何一分，部并至且少有大小要写母、字字和数通符配。为了实施等壮的密码你强需在要册注里L表A项加S入本课提已过的其的密它码过器滤在。域主制器控或任在可一能会级为主升控域器的制份备域控器制，上你都需在注册表HK要MLSstemCyurrnetonCrotlSetonCtolrSLA中入加ASSPFLI的字T串。

idown20s0帐0号漏洞

大

在inWdwos020启0动后之按，照幕屏示按下提LTAC＋RT＋LDE进行L登，录在录登面界将光标至移户名用输入框，按键盘的上Crl+thSift键进输行法入切的，屏幕换上出现输入状态条法在出现的，“拼”全入法中将输鼠移标至入法输态条状击点鼠右键标出现，选的单选中“择助”帮然，继续选后择“输法入入”，在窗门口顶部出现会个按钮，几妙就在奥“项选钮”按。上如果统系未安装是Winods2w00 S0ericveacPk1或I5E5.的系，用鼠统左键点标击选按钮项，在出现的选单选中择主页”“，这时已在出现的助帮口的窗右会出现I侧浏E器览界面的“此中不可显页示”页，其中面个“有测检络设置”网的链，接击它就点出会现络设网置项，这选任样何都人可对以络网设甚至置制控板面做任修何改或者之前。鼠用左标键击点选项”“钮按时在出，现选的选择单Int“rene选t”项，就中可对主页、连结，安全以高级选、项等做何修改。最任严重为是用鼠的标键点击先前右提的到“选项按”钮会现出个选一，选单“跳至择RL”，这U时现一个出对框话，中有一其个跳至该UL输R入，框入你输想看的路径，到比c:如那么，这在时出已的帮现助口的右窗侧会出现源资管理器盘的界c面示显，这已时是经系统管理权限员对C盘行进操作了操。者作可以看对到数的据做任何的作操，这样他就全完过绕了Widown200s0登的录验证制机。

如

系果统是装了安Winows2d000 SerivceackP1IE或.5的5系统，上面所的“网络设置选项用就不”能行执了但，Inte“netr选项”可执行仍资。管源理器界仍可面出，现通过径路输，所有入的件夹文中的文和件目根录下的文都件看到，但可已能不接对文直夹件文和进行件操作，然而可仍用以标鼠键右点击件夹和文件选择进行文删除重、命名和发到送盘软操等作，而更为且严重是的操者可作对以件夹进行共文操作享，在单文件个现出的话框中对选属择性，可以任就意加添享共权，限任如何都能人全控完制权限，这样的络网的所有中都可人以过通网络程登录完全远控制所有数资据料！

UNIX帐号

全安

在讨论

NIX帐号安全，你U先首要解UN理X密I码安全。的这种理解要检查密需文码件的格。你可式以

利用面下命的令得来几种到殊密特的码格式

$ mn a5 aspswrdo

密码文

件括几包字段个，表在-1作了详2解释

细　

段字用处

登陆字名

户用陆登所时正使真用名的字

加密的后码密

在UIN中X，密码用高强度的D是S算E法进行加密并保来存结果

UD I

用唯户的标一识号

GI D

用户组标的号识

用

户

名用真正的户字名

OME H

默认主目的录

SEHL L

默的认序SH程LLE口接

密

码件文显在示的时是候密的加；这种显示叫做hSaow密d，码通常创建在e/cts/adohw，并属于ootr只有ro且o有权t问。访

密时效码

按前的目势，形有已更大强硬的大大件缩地了利用短自动运的行程来猜测密序码的时。因间在UNI此系统中X防密止被攻码的击别一法方是要经就常地改密变。很码多候，用时户却改变不密。因码此一种机用制强来制规性的更律密码是改合乎求的要。这种技术称做码密时并在很效多UNXI系统上效有。

密码时：效ILNU

在LINU系统上X密码，效时通过ch是ag命e来管理令。的

参数意思

m-密码可改更的小天数。最果如零是代任表时候都何以可更密码改

M -码更改密最的大天数

W -用密码到期前，提前收户警告信到息的天。

-数帐e到期的号日。过了这天期，帐此号将不用可。

d -一次上改的日更

-i期滞时期停。果如一密码已个过期这些天那么，此号帐不可将用。

-l 出当例的设前置由。特非用户权来定他们确的密码或号帐何时过。期

举个子例

%ch age? m 2? M30? W5 stevne

命此要令求用户tevsn两天e内能不更改密，码且并码最密的长活存期为0天3，并在码过期前密5通天知他。

录不成记功登陆的图企

所有的NIX系统都能够U录非记成的功登企陆。在LI图UX中N，登陆失败是的s由sylog护进守程录记在/avrlog//esmsagse件文里。可以下用命令来查列找关相息信

gr ep loig nv/ra/lg/messageos

搜索径路P（TAH）的要性重

UN在XI，常使用的里令用命来在不的环同下境查一组特找殊目的录称PAT做H想。运要行前当录目包的命含时是令不要加上一长需路串名的。径UN在I中X用户常使用”.经”来表示当的前目录如。果””作为.hell环境变量s一的部时，分个全局一录下的shell脚目或本公命令就用可能有被同目录相下的伪程所解释，序这而个命令能包含可段一代，一码旦执行被后果可是能较严重，比如是的一木马个序。程在Buron eor Krno hSel里l索搜路通常径这来样置：设

$ PTA=pHtahanme1pa:htane2mpath:ane3m:

$ epxro PtTHA

在C

类似的或hesl里，以l列命下令设：置

% st peta =h(p ahnamte pa1hnamet p2tahnmea) 3

在UNIX中像这样的

径路以保可存在.rofplie文里件，以

可看到像下面的句语

ATPH/=inb:/su/birn/:sbn:$iHOME

xEprto PAHT

此因，如果经常你考参户主目用下的某录个文件时就创，一个叫建b”i”n并把所的以的个人的可行执文件放里到，并要面严格注意们的它全安。性假设.”路”名径存于在户的s用ehl初l始化件里，文且用户并精通有不安关全的知而识不且注太环境意量变路中径，么那以可像想经常他使到的w用ho命令假设用。户创已建下了面的件文

$t ucoh /tmp/testilf

e然后

编，下辑面程序并保存的为woh.文件 c

# nilude c

main

(

)

{

ystem( /“ursbi/nw/ho)” ;

ytem (“/sibnr/m t/m/tesptfil 2e/de/nvul”)l;

}

然后些程序进行编译对

$ g

c ?co hwo wh.co

并且用户此可含有这样的pr能file： o

PAH=.:/biTn/:sr/uib:n/sbin:$HOM E

oprt PAT

在，现果户键入如

ho w

再

找去找刚刚建立你的testfil这e个件文看，看发生了什.么.

限

r制oot陆登

另增一ro强to号安全帐的法方是制限在系其统直接上登。陆同版不的UN本XI处此理项任务的方是不法同的。

在S

N的USoalirs统上要系修改/ec/dtefual/logit文件，n需要加你下入一行面

OSOLNE=/de/voncsoel

对人口计生信息网网络组建与网络安全的研究
山东省费县上冶镇计生办（２７３４０１）阐春华　
［摘要］伴随着Ｉｎｔｅｒｎｅｔ的日益普及，网络技术的高速发展，网络信息资源的安全备受各应用行业的关注。人口计生网　
网络中的主机可能会受到来自各方面非法入侵者的攻击，网络中的敏感数据有可能泄露或被修改。保证网络系统的保密性、完　整性、可用性、可控性、可审查性方面就具有其重要意义。通过网络拓扑结构和网组技术等方面对人口计生网网络进行搭建，通　过物理、数据等方面的设计对网络安全进行完善是解决上述问题的有效措施。　

［关键词］人口计生网　网络建设　网络设计安全　以ｌｎｔｅｒｎｅｔ广域网为代表的信息化应用的浪潮席卷全球，　头，用ＶＬＡＮＩＤ把用户划分为更小的工作组，限制不同工作组　
各类信息网络技术的应用日益普及和深入，伴随着网络技术　间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局　的高速发展，各种各样的安全问题也相继出现，人口计生网被　域网的好处是可以限制广播范围，并能够形成虚拟工作组，动　

“ 黑” 或被病毒破坏的事件屡有发生，造成了极坏的社会影响　态管理网络。从目前来看，根据端口来划分ＶＬＡＮ的方式是最　和巨大的经济损失。维护人口计生网网络安全需要从网络的　常用的一种方式。许多ＶＬＡＮ厂商都利用交换机的端口来划　搭建及网络安全设计方面着手。　
１基本网络的搭建　

分ＶＩ＿ＡＮ成员，被设定的端口都在同一个广播域中。　２－３计算机病毒、黑客以及电子邮件应用风险防控设计。我　

由于人口计生网网络特性（数据流量大，稳定性强，经济　们采用防病毒技术，防火墙技术和入侵检测技术来解决相关　
性和扩充性）和各个部门的要求（统计部门和办公部门间的访　的问题。防火墙和入侵检测还对信息的安全性、访问控制方面　问控制），我们采用下列方案：　起到很大的作用。　

１．１　网络拓扑结构选择。网络采用星型拓扑结构。它是目前　２．３．１　防病毒技术。病毒伴随着计算机信息系统一起发展了　使用最多，最为普遍的局域网拓扑结构。节点具有高度的独立　十几年，目前其形态和入侵方式已经发生了巨大的
变化，几乎　
性，并且适合在中央位置放置网络诊断设备。　

每天都有新的病毒出现在ＩＮＴＥＲＮＥＴ上，并且借助ＩＮＴＥＲ — 　

１．２组网技术选择。目前，常用的主干网的组网技术有快速　ＮＥＴ上的信息往来，尤其是网络、ＥＭＡＩＬ进行传播，传播速度　
以太网（１００Ｍｂｐｓ）、ＦＤＤＩ、千兆以太网（１０００Ｍｂｐｓ）和ＡＴＭ　极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。　

（１５５Ｍｂｐｓ／６２２Ｍｂｐｓ）。快速以太网是一种非常成熟的组网技　２．３．２防火墙技术。企业级防火墙一般是软硬件一体的网络　
术，它的造价很低，性能价格比很高；ＦＤＤＩ也是一种成熟的　安全专用设备，专门用于ＴＣＰ／ＩＰ体系的网络层提供鉴别，访　

组网技术，但技术复杂、造价高，难以升级；ＡＴＭ技术成熟，是　问控制，安全审计，网络地址转换（ＮＡＴ），ＩＤＳ，ＶＰＮ，应用代理　多媒体应用系统的理想网络平台，但它的网络带宽的实际利　等功能，保护内部局域网安全接入ＩＮＴＥＲＮＥＴ或者公共网　用率很低；目前千兆以太网已成为一种成熟的组网技术，造价　络，解决内部计算机信息网络出入口的安全问题。　低于ＡＴＭ网，它的有效带宽比６２２Ｍｂｐｓ的ＡＴＭ还高。考虑的　
骨干，快速以太网交换到桌面组建计算机播控网络。　
２网络安全设计　

内部各个安全子网是连接到整个内部使用的工作站或个　

计生网络系统的应用特性，因此，个人推荐采用千兆以太网为　人计算机，包括整个ＶＬＡＮ及内部服务器，该网段与外界是分　

开的，禁止外部非法入侵和攻击，并控制合法的对外访问，实　现内部各个子网的安全性。共享安全子网连接对外提供的　

２．１物理安全设计。为保证人口计生网信息网络系统的物理　ＷＥＢ，电子邮箱（Ｅ　儿），ＦＴＰ等服务的计算机和服务器，通　安全，除在网络物理连接规划和布置场地、地理环境等要求之　过映射达到端口级安全。外部用户只能访问安全规则允许的　外，还要防止系统信息在空间的扩散。计算机网络系统通过电　对外开放的服务器，隐藏服务器的其它服务，减少系统漏洞。　磁辐射可能
使的信息、敏感数据被截获而失密的案例已经有　３　以人为本。构建以技术服务为重点的优质服务机制　
很多了，在理论和技术支持下的验证工作也证实这种截取距　２　１世纪不仅是知识经济世纪，也是信息经济的世纪，利　

离在几百甚至更远的数据复原显示技术给计算机网络系统信　用计算机和网络进行统计工作，不仅可以提高工作效率，而且　由于信息量的扩大，统计预测的准确　息的保密工作带来了极大的危害。为了防止系统中的信息在　可以提高准确度。同时，空间上的扩散，通常是在物理设计上采取进一步的防护措施，　性在不断提高，统计决策的准确性也在提高。不仅如此，利用　
来避免或干扰扩散出去的空间信号。　

网络技术还可以进行各方面的交流，从而相互学习，共同进步。　

２．２网络共享资源和数据信息安全设计。针对这个问题，我　３．１加强计生服务网络建设。坚持“ 面向基层、深入乡村、服　们决定使用ＶＬＡＮ技术和计算机网络物理隔离来实现。ＶＬＡＮ　务上门、方便群众 ” 的工作方针，强化服务机构宣传教育、技术　（Ｖｉｒｔｕａｌ　Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）即虚拟局域网，是一种通过将局　服务、信息咨询、人员培训、药具发放 “ 五位一体 ” 的服务功能，　

域网内的设备逻辑地而不是物理地划分成一个个网段从而实　健全计生技术服务机构质量管理评价体系，严格质量监督评　
现虚拟工作组的新兴技术。ＶＬＡＮ是为解决以太网的广播问　估。　
　 ‘

题和安全性而提出的，它在以太网帧的基础上增加了ＶＬＡＮ　３．２按照“ 为民、便民、亲民、利民” 的要求，着力实施六大优　
Ｅ． … 　：　Ｙｘ。Ｈ９９＠　２６一Ｍ一　②　

试论暖通施工管理　
河北荣富建筑安装工程有限公司（０５６０００）侯春林　
［摘要］在暖通施工过程管理中，工作不仅应依据规范按图施工，更重冕的还要根据实际情况，在安全第一的前提下采取　
合理的施工方案。以更低的成本，更精湛的工艺进行施工，从而获得更好的经济效益和社会效益。　

［关键词］暖通工程

安装

探讨　

暖通工程是一个复杂的系统，它包括空调、采暖及通风等　１．３暖通工程资金配置问题。资金问题是制约建筑行业
发展　系统，安装起来较为复杂。复杂的施工工序和较多的施工环节　的一个极其重要的因素。在暖通工程中也是如此，为此，资金　
则不可避免地出现施工问题。暖通安装工程的预埋及预留工　

的合理配置成为当前建筑企业普遍关注的热点之一。暖通工　

作一般是桩基工程结束后就开始。但是，我们都知道，暖通工　程质量管理和控制的两个核心要点是资金和进度，它们很大　

程的绝大部分工作量都是在整个建筑工程的主体封顶后进行　程度决定了整个暖通工程质量的好坏。　
的。如果想要做好暖通工程的施工，那么就要在工程动工前，　行全过程管理控制，不放过每一个细节。　
１暖通工程施工中常见问题分析　

１．４工程进度控制问题。暖通工程虽然是整个建筑工程的配　顺序和整个进度。因此，在制作施工进度计划时，要加强施工　
管理人员和其他分项工程施工的协调，及早做好计划，在工程　

认认真真做好施工计划，而且要依据现行规范、设计要求等进　角，但是对其进度控制的好坏，会直接关系到整个工程的施工　

暖通工程施工涉及到众多因素：如图纸、资金、进度、成本　施工时要及时调整，防止窝工和工期延长情况的发生。还要做　等，因此，一定要加强暖通工程施工质量控制与管理。这就需　好材料管理工作，供应时间、市场的价格等，管理人员都要掌　要施工单位有一个全面综合的掌控，才能将暖通工程管理控　握详细信息，保证施工中物资的供应。　制得又快又好，否则，将很有可能造成工程质量的问题和企业　２注意暖通安装工程孔洞的预留及预埋　的经济损失。当前，暖通工程的质量管理和控制方面存在的问　题主要表现在以下方面：　

在某公寓项目中，有些预留孔就险些被遗漏掉。若真是这　

样，需在剪力墙上开洞，这不仅破坏了原墙结构，浪费了人力　物力，同时留下了安全隐患。预留好的孔洞要注意保护，以防　１．１图纸设计问题。为了保障工程质量，很早就实行了施工　同时要防止被其他工种占用或封堵。也是　图审查制度，实行施工图审查制度以来，设计人员在执行国家　人或物体跌入其中，在平海公寓项目施工时，由于业主提供的设备迟迟没有到位，　有关设计规范、规定及标准等方面的意识大大加强了，施工图　设计质量也有
了很大的提高，但是由于目前基建项目多，工程　而工期又紧，原来为搬运设备预留的孔洞被土建施工人员给　结果造成整体设备不能搬进去。最后只能把设备解体　类别杂，所以在执行设计规范中存在着一些不同的理解和不　封堵了，同的做法。当前暖通工程图纸设计存在的问题主要表现在两　后再搬入，这样就严重影响了设备的功能。因此在暖通安装工　
个方面：首先，设计说明内容不完整，其次，平面图和系统图深　程施工过程中，对于成百上千的预留孔洞、预埋件，施工员要　度不够，关键内容出现遗漏和忽略。　

特别注意对暖通、结构专业图纸中的安装孔、管道穿剪力墙预　

１．２资料管理问题。施工资料是暖通工程质量管理和控制不　留洞、设备及管道等吊架预埋件、管道穿楼板预埋套管、人防　标高、尺寸应一一加以复　可分割的一部分。它是内业整理管理论文和外业施工之间的　穿墙套管及设备基础等的平面位置、检查有否遗漏，有否与其他专业的管线布置相冲突，能否　有机结合。在暖通施工的整个过程中，施工管理是贯穿于始终　核，力求万无一失。　的，施工单位监理单位在暖通空调工程的每个工程部位和施　满足设备工艺要求和规范要求等，工阶段都要对施工的资料进行确认和签字，这是为了很好的　３协调好与其他工种的配合关系　遵照工程质量检验评定的相关标准。因此，暖通工程从预埋开　在某公寓项目施工时，由于消防和弱电工程是另外两家　

安装时扯皮现象时有发生。遇到这种情况，　始的报验资料到最后的联合试运转资料都需要监理单位或业　施工单位分包的，（下转第２５０页）　主单位的认可和签证。　

⑤ 开展男性生殖健康工程，利用　质服务工程，提升计生优质服务水平。 ①开展生殖道感染干预　由管理型向管理服务型转变；多形式开展一系列男性生殖健康的知识宣传、知识普　工程，保证全市广大育龄群众都能够免费或低成本收费享受　多渠道、对患有生殖疾病的男性进行规范治疗； ⑥开展性　到规范服务，建立服务档案，形成普查、普防、普治制度； ② 开　及教育活动，艾滋病的预防和青少年生殖健康教育工程。　展出生缺陷干预工程，普及优生优育科普知识，依靠高新技术　病、
进行出生缺陷检测，加强孕前指导、孕期保健
和母婴随访服　参考文献　
　中国ＩＴ实验室．ＶＬＡＮ及ＶＰＮ技术［Ｊ／ＯＬ］，２００９　务； ③开展避孕节育知情选择工程，广泛宣传避孕节育科普知　１

　Ａｎ￣ｅｗ　ｓ．Ｔｍ￣ｂａｕｍ．计算机网络（第４版）【Ｍ】．北京：清华大学出　识，保持畅通的避孕药具免费发放渠道，在“ 知情 ” 上下功夫，　２
版社，２００８，８　在指导上做文章，帮助群众知情选择以长效避孕为首选的节　３袁津生等．计算机网络安全基础【Ｍ】．北京：人民邮电出版社，２００６，７　育措施； ④开展避孕节育随访服务工程，使计生工作真正实现　
／　

ｌ　 ⑨ ⑥一致育既代化　

安全口号大全

企业安全好，我的收入高。我的安全好，家庭幸福在。

知识是隐患的克星，技能是安全的基石。

生命是太阳，安全是蓝天，生命只有在安全的天空中才会更加光辉灿烂。临渴掘井莫如未雨绸缪，抓安全重在防患于未然。

心存侥幸如履薄冰，无视规程掩耳盗铃。

心存侥幸图省事，安全往往出大事。

要想家庭美满，必须牢记安全。

安全工作抓不实，事故常常跟着你。

安全人人若弄懂，幸福家家自满圆。

安全是人生永不熄灭的光明。

安全理念口号（2）：

1、多看一眼，安全保险。

2、多防一步，少出事故。

3、走进工地，遵章守纪。

4、疏忽一时，痛苦一世。

5、平安是金，步步小心。

6、祸在一时，防在平时。

7、大意一次，忏悔一世。

8、漏洞不补，事故难堵。

9、心系安全，出入平安。

10、一人违章，众人遭殃。

（十个字）：

11、安全日日好，生产节节高。

12、工程未完工，安全不放松。

13、安全人人抓，幸福千万家。

14、工作一分钟，安全六十秒。

15、上班一走神，事故敲你门。

16、安全生产法，保护你我他。

17、安全是个宝，幸福少不了。

18、无事勤提防，遇事心不慌。

19、安全一万天，事故一瞬间。

20、思想松一松，事故攻一攻。（十二个字）：

21、时时注意安全，处处防止事故。

22、安全警钟长鸣，职工家庭幸福。

23、安全在我心中，生命在我手中。

24、安全在于心细，事故出自大意。

25、营造安全氛围，创造安全环境。

26、宣传安全法规，普及安全知识。

27、强化安全责任，落实安全措施。

28、生产必须安全，安全促进生产。

29、劳动创造财富，安全带来幸福。

30、要想合家欢乐，牢记安全操作。

31、隐患险于明火，防范胜于救灾。

32、隐患险于明火，责任重于泰山。

33、只有麻痹吃亏，没有警惕上当。

34、严禁违章操作，确保安全生产。

35、只有防而不实，没有防不胜防。

36、想要富，灭事故；要想甜，保安全。

37、抓安全、促生产、讲效率、出成果。

38、反违章、除隐患、保安全、促生产。

39、抓安全、促生产，讲效率、出成果。

40、走平地，防摔跤；顺水船，防暗礁。

安全口号大全

安全口号大全

BC01 安全第一，预防为主 BC02 生产必须安全，安全促进生产

BC03 质量是企业的生命，安全是职工的生命 BC04 安全是生命的基石，安全是快乐的阶梯 BC05 生产再忙、安全不忘，人命关天、安全为BC06 多看一眼、安全保险，多防一步、少出事先故

BC07 安全来自长期警惕，事故源于瞬间麻痹 BC08 事故教训是镜子，安全经验是明灯 BC09 安全是最大的节约，事故是最大的浪费 BC10 安全与效益同行，事故与损失同在 BC11 安全是员工的生命线，员工是安全的负责

人

BC13 反违章、除隐患，保安全、促生产

BC17 事故不难防，重在守规章

BC19 你对违章讲人情，事故对你不留情

BC21 按章操作设备，时刻注意安全 BC12 麻痹是最大的隐患，失职是最大的祸根 BC14 安全是幸福的保障，治理隐患保障安全 BC18 安全规章系生命，自觉遵守是保障 BC20 安全生产、人人有责，遵章守纪、保障安全 BC22 按章操作莫乱改，合理建议提出来 BC15 消除一切安全隐患，保障生产工作安全 BC16 安全生产人人管，事故隐患处处防 BC23 严格遵守操作规程，提高安全生产意识 BC24 安全措施订得细，事故预防有保证

BC25 落实安全规章制度，强化安全防范措施 BC26 落实各级安全责任，提高安全管理水平 BC27 危险物品、隔离放置，标识清晰、注意防BC28 消防设施、常做检查，消除隐患、预防事火

BC29 企业效益最重要，安全防火第一条故 BC30 加强消防安全培训，提升你我安全意识 BC31 树立企业安全形象，促进安全文明生产 BC32 加强安全技术培训，人人学会保护自己

城市轨道交通信号系统网络安全分析

Urban Mass Transit城轨交通

城市轨道交通信号系统网络安全分析

陈登科

（北京全路通信信号研究设计院有限公司，北京 100073）

摘要：从安全完整性等级的角度分析信息安全在信号系统中的现状以及网络安全所面临的威胁，并提出几点建议。

关键词：安全完整性等级；信息安全；信号系统；网络

Abstract: The paper analyzes the situation of information safety in signaling systems from the point of SIL, and puts forward some suggestions to solve the threats against the network safety.Keywords: SIL; information safety; signaling system; networkDOI: 10.3969/j.issn.1673-4440.2012.05.013城市轨道交通作为大容量公共交通工具，其安全性直接关系到广大乘客的生命安全。作为城市轨道交通运行的神经中枢，信号系统在轨道交通中发挥着越来越重要的作用。近年来，随着计算机系统在信号系统中的应用日益广泛和深入，信号系统朝着网络化、智能化的方向发展。如何保证其网络及信息安全，使其符合安全完整性等级及信息安全等级保护要求，成为城市轨道交通系统迫切需要解决的问题。

存储、处理、传输过程中完整性、保密性和有效性等的安全保证，例如防止信息窃取、信息篡改、冒充发送信息和发送者抵赖等。信息安全保障的核心技术是密码技术，通过密码技术实现数据加密、完整性校验、数字签名和身份确认等。信息安全和系统层安全具有很强的相互依赖关系[1]。

2 安全完整性等级

安全完整性等级是定性的表示安全完整性的离散等级。IEC61508定义了安全完整性等级表格，根据安全功能的平均要求时失效概率（PFDavg）划分为4个等级[2-3]，如表1所示。等级4具有最高安

1 信息安全

信息安全主要指数据和信息在通过计算机网络

***********************************************该信息发送给联锁。联锁接收到该信息后可以停止延时，提前解锁进路，提高了整个线路的运营效率。2.6 其他运行辅助功能

地面ATP计算将CBTC装备列车发送的保护区段锁闭请求、停稳停准信息、屏蔽门开关信息发送给联锁，联锁应使用这些信息进行保护区段的锁闭、解锁或驱动屏蔽门开门关门，实现车地联动。

参考文献

[1]IEEE 1474.3-2008 IEEE Recommended Practice for Communications-Based Train Control (CBTC) System Design and Functional Allocations[S].

[2]TB／T 3027—2002计算机联锁技术条件[S]．

[3]于增明,刘正东. 基于通信的列车控制系统中联锁功能的改变[J].铁道运营技术,2011,17(4):13-15.

（收稿日期：2012-06-13）

控制、移动授权转换成相应的信息提供给联锁，这些信息使联锁功能发生相应的改变，超出传统联锁系统的范畴，在保证安全的前提下，更加有效地提高了运行效率。

3 结束语

综上所述，CBTC系统中车、地更加紧密地联系在了一起，地面ATP将列车的位置报告、速度

铁路通信信号工程技术(RSCE) 2012年10月，第9卷第5期

Urban Mass Transit

全完整性等级，等级1最低，不同的安全完整性等级对系统提出不同的技术要求。安全功能的安全完整性等级确定的太高，要求的技术条件就会很复杂，成本会很高；反之，如果确定的过低，系统安全水平就达不到系统的安全要求。因此，在安全相关系统的设计开发时，必须为各安全功能确定合适的安全完整性等级。

表1 高要求操作模式的安全完整性等级

安全完整性等级

4321

平均要求时失效概率10≤ PFDavg 10

-9

-8

城轨交通

构相同，当发生故障时，终端站点运行的软件可以报警，接到报警后，管理实体通过执行一个或一组动作迅速做出反应，包括提示操作者、登陆、关闭系统和自动修复系统。管理实体也可轮询终端点，以验证某些特定变量的值[5]。

目前，已有和正在进行的关于我国城市轨道交通行业指挥系统的研究都明确提出建立在计算机网络、通信网络和信息网络之上的智能指挥系统，应具有良好的开放性、扩展性和可维护性。同时，计算机网络的安全性已引起各级部门的重视。国际和国内相关组织就网络与信息安全问题已进行大量研究，相关的主要标准包括：ISO17799、ISO15408、ISO15446、ISO13335、ISO7498-2和SSE-CMM。3.2 网络安全面临的威胁

城市轨道交通信号系统网络由大量开放系统组成，网络与信息安全问题比较突出。面临的具体威胁有以下几个方面。一是操作系统的安全威胁：微机监测服务器、站机、终端机都采用Windows操作系统。网络上针对Windows系统产生的攻击相对较多，受到破坏的可能性就大。二是应用软件的安全威胁：设备提供商提供的应用授权版本不可能做到尽善尽美，于是出现各种各样的后门、漏洞、BUG等。三是直接或间接来自于生产网的安全威胁，这类威胁以病毒和网络攻击的方式直接作用于内部网络。

系统改进的必要性随着网络安全攻、防技术的不断发展，任何一个网络管理者或使用者都非常清楚，所有计算机网络都必然存在着有意或无意攻击和破坏的风险。对于大多数网络黑客来说，都能够成功地侵入到某个网络系统中，窃取该系统的内部数据，甚至破坏其真实性和完整性。因此，建立完善的网络安全防护体系，就显得十分必要了。3.3 解决方案

现有的系统设计对网络安全问题分析不足，只是在使用中发现问题时增加了一些安全措施。现有的网络安全防护系统，已经不能完全适应新技术与新应用带来的实际需求。在设计新的网络安全防护系统时，必须确保数据的机密性、完整性、可用性、可控性与可审查性，可以参考并遵循以下原则。

1）体系化设计原则；

10-8≤ PFDavg 10-710-7≤ PFDavg 10-610-6≤ PFDavg 10-5

对覆盖面广、网络设备复杂、操作系统较多，要求安全可靠不间断运行的城市轨道交通信号系统网络来说，网络安全涉及诸多方面的因素，已经成为网络建设中需要认真分析、综合考虑的关键问题。要进一步提高城市轨道交通行车的安全系数和运行效率，应该建立一个完整的综合网络安全解决方案，采用网段分离、用户口令加密存储与传输、分设操作员、增加网络信息员和密押员等方式，加强网络安全性。

3 信号系统网络安全的现状与解决方案

3.1 网络安全现状

近几年，我国城市轨道交通信号技术装备进入计算机时代，给信号系统的安全性带来新的挑战。城市轨道交通计算机网络是通过多级局域网络的互联，形成超大规模的企业内部网络。其中大型局域网采用叠加式结构，小型局域网采用平面式结构。从网络应用和安全方面考虑，城市轨道交通内部计算机网络逻辑上由3个网络层次组成：外部访问服务网、内部服务网和生产网。信号控制系统处于最内部的生产网中，网络规模庞大，需要高度的安全性和机密性。然而，现有的TCP/IP协议并不能很好地保障网络通信安全，给整个系统带来了安全隐患[4]。

对于计算机软件来说，系统安全性的证明非常困难。随着计算机网络的日益普及和广泛使用，各种安全威胁和计算机病毒也随之而来。而当前，城市轨道交通信号设备网络管理系统尚无可靠的解决网络安全管理类方案，不同网络管理体系的基本结

铁路通信信号工程技术(RSCE) 2012年10月

Urban Mass Transit

2）全局性、均衡性、综合性设计原则；3）可行性、可靠性、可审查性原则；4）分步实施原则：分级管理，分步实施。由于网络技术的飞速发展，传统的防护技术已经不能适应复杂多变的新型网络环境，必须采用安全有效的网络安全新技术才能防患于未然，提高整个网络的安全性。可采用的新型网络安全技术包括以下内容。

1）链路负载均衡技术：链路是指两点之间具有规定性能的电信设施。链路通常以传输通道类型或容量来区分，例如无线电链路、同轴链路、宽频带链路。负载均衡建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

2）IPS入侵防御系统：IPS是一种部署在网关位置的安全设备，利用攻击技术对网络数据和行为进行深层次检测，从而更有效地抵御应用层的攻击。IPS在线部署模式使其可以直接将危险的流量阻挡于所保护的网络之外。IPS可以部署在防火墙之后，保护关键服务器，并保证对外开放服务的安全如Web、DNS等。

3）上网行为管理系统:上网行为管理系统能够提供全面的互联网控制管理，并能实现基于用户和各种网络协议的带宽控制管理，实时监控整个网络使用情况。

4）网络带宽管理系统：对整个网络状况进行细致管理，提高网络使用效率，实现对关键人员使用网络的保障，对关键应用性能的保护，对非关键应用性能的控制。可根据业务需求和应用自身需求进行带宽分配。

5）防毒墙：传统的计算机病毒防范是在需要保护的计算机内部建立反病毒系统，随着网络病毒的

城轨交通

日益严重和各种网络威胁的侵害，需要将病毒在通过服务器后至企业内部网关之前予以过滤，防毒墙就满足了这一需求。防毒墙是集成了强大的网络杀毒机制、网络层状态包过滤、敏感信息的加密传输和详尽灵活的日志审计等多种安全技术于一身的硬件平台。在毁灭性病毒和蠕虫病毒进入网络前进行全面扫描，适用于各种复杂的网络拓扑环境。

4 结束语

城市轨道交通信号系统网络的安全可靠直接关系着城市轨道交通运输的安全，关系着城市轨道交通电务部门故障检测、诊断的准确性。庞大的城市轨道交通信息网络系统，牵一发而动全身，所以，一定要强调在整个城市轨道交通信息系统树立网络安全意识，制定严格的信息安全制定，让信息技术和产品在实际应用中充分发挥其作用。随着网络安全技术的不断发展完善，城市轨道交通信号系统网络必将克服现有的种种缺陷和不足，最终走向成熟和完善。

参考文献

[1]刘磊.浅谈铁路网络与信息安全技术[J].铁路计算机应

用，2005,14（z1）:255-258.

[2] IEC61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems[S].1998.

[3] IEC61511 Functional Safety-Safety Instrumented Systems for the Process Industry Sector[S].2000.

[4]熊剑，孙朝生，***.铁路信号网络安全分析[J].哈尔滨铁道科技，2006:13.

[5]夏平.铁路信号行车指挥系统计算机网络安全的探讨[J].中国铁路，2003（10）：36.

（收稿日期：2012-06-11）

No.5 陈登科：城市轨道交通信号系统网络安全分析

浅谈铁路信号TDCS系统网络安全防护

　　

　　摘要：我们处在21世纪的互联网时代，计算机网络安全问题成为一个十分热门的课题。随着现代信息技术在铁路系统的广泛应用，铁路新号TDCS系统的网络安全防护就显得尤为重要。本文从TDCS系统遭受病毒侵袭的主要途径分析出发，总结其病毒感染的来源；进而就现有TDCS系统存在的安全问题进行了详细的阐述与分析，最后提出针对性的改进措施和防范对策。这对提高TDCS系统运行的稳定性、安全性有着重要的现实意义，为推进铁路系统信息化建设提供有益参考与借鉴价值。
　　关键词：计算机网络；铁路信号系统；安全威胁
　　中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2012) 06-0000-02
　　随着现代信息技术在各领域的渗透与广泛应用，我国铁路系统的信号系统朝着信息化、网络化方向的跨越式发展。新技术、新设备的应用，给铁路新号系统带来了新的新的挑战。列车调度指挥系统TDCS系统尽管具有相对独立的内部网，在实施安全管理策略方面较之于其他系统会难度要低，但我们必须看到TDCS是构建在一个通用开放的操作平台上。因此其系统安全防护仍然是一项十分重要的工作。笔者结合工作实践，就铁路新号TDCS系统网络安全防护问题做以下探讨与分析，以期为同行提供有益借鉴与参考。
　　一、TDCS系统遭受病毒侵袭的主要途径
　　（一）日常管理维护的不到位
　　在实际操作中，由于部分TDCS维护人员日常使用硬盘盒维护，给系统带来了安全隐患。比如本该属于TDCS系统专用的硬盘盒而用来存储其他数据文件，由此为感染病毒创造了可乘之机。
　　（二）网络系统设置的不科学
　　在TDC系统网络中，由于与其他系统合用一网，这样一来就有可能使得病毒从网络传入而感染系统，在当前互联网病毒盛行时期，这种风险时刻存在。
　　（三）计算机资源存在欠缺
　　典型的情况是，一机多网使用。这样一来给TDCS和其他工作都带来了病毒入侵的可能，造成系统安全隐患。
　　（四）遭受恶意攻击等其他非正常途径
　　这主要是各种形形色色的恶意攻击，来给TDCS系统网路安全带来威胁。
　　二、TDCS系统网络安全防护的需求与可操作性
　　（一）系统需求
　　随着各种安全防护技术措施的成熟以及防护方案的不断完善，现有TDCS网络系统安全体系初步形成，但还不够成熟、稳定。因此，面对当前无处不在的网络病毒和安全威胁，TDCS系统网络安全防护必然要求结合铁路信号系统的实际，进行合理的规划与实施。从而要确保系统骨干网络系统的安全问题，并建立其完整有效的备份方案和应急预案。以面对各种网络安全威胁与挑战，确保数据不会遭到破坏与丢失。
　　（二）TDCS系统安全状况的可操作分析
　　（1）针对早期建成的TDCS系统，组织专门的渗透测试，检查安全漏洞是否存在。这类工作可以通过组织专家小组或聘请专业公司的形式来协助完成，从而避免系统漏洞的安全风险。
　　（2）可以通过增设网络安全服务器，安装防火墙来加强TDCS系统网络中心的安全。建立安全防范机制，对TDCS系统网络中的相关机器，实行统一的、规范化的管理模式。
　　（3）成立专门的维护中心或工作站。对于TDCS系统，需要建立技术故障处理体系，并组织技术骨干力量，从而使得各电务段的信息设备安全养护和故障处理得到有力的技术支持。
　　（4）优化系统的内部结构。在TDCS系统中，由于应用的软件程序较多，加之当前一些程序软件缺乏统一标准和规范，因此，在应用中可能存在补丁与正在运行的操作的冲突现象。针对这种可能存在的现象，我们管理员在进行安装补丁时需要经过检测与验证后，在确保不会影响到TDCS系统运行的稳定性情况下，才能进行更新与处理。
　　三、相关网络安全机制及改进方向
　　完善铁路TDCS网络安全配套设施建设，是在现有网络安全防护系统的基础上，充分考虑防火墙、入侵检测/防护、漏洞扫描、防病毒系统等安全技术及产品在整个安全体系中所起到的不同防护功能，增加相应的硬件设施，建立多层次的安全防护体系，更有效的保障骨干网络系统的运行。因此，在铁路信号系统中运用网络技术时应要做好充分的考虑。
　　（一）相关安全因素的防护作用
　　（1）防火墙防护：对TDCS系统而言，其网络安全防护的策略就是防火墙。防火墙技术随互联网技术的发展而发展，从目前防火墙发展技术水平来看，部分防火墙技术已经比较成熟与完善。可以有效地抵御来自于互联网的外部攻击或者局域网内部病毒感染引起的内部攻击。对于TDCS系统网络安全防护而言，防火墙是加强其安全管理的第一道防线，也是必不可少的重要组成部分。
　　（2）入侵检测系统：在TDCS系统中，由于网络安全威胁的重要来源之一就是病毒的入侵和外来攻击，因此加强入侵检测系统(IDS)的研究无疑是提高系统安全性的重要途径。作为防火墙的有益补充，入侵检测系统的应用，可以有效地胁制来自外部网络的入侵，有效地使系统管理员的安全管理能力得到了扩展（比如安全审计、监视、进攻识别和响应），从而从系统整体上提高了信息安全性与应对安全威胁的处理能力。
　　由于信息技术不断更新与发展，我们看到几乎所有的操作系统和软件都存在安全漏洞，但是我们却无法时刻进行更新与打补丁，这无疑给病毒入侵造就了机会，实践经验也充分证明了这一点。所以，必须加强漏洞扫描技术，堵住病毒入侵通道，维护TDCS系统网络安全。
　　（3）防病毒系统：针对病毒传播的特点，以及病毒的常见类型，我们需要针对铁路TDCS网络系统的实际情况，建立起防病毒系统。在安全防护的改进过程中，我们要结合不同的安全保护因素，创建一个比单一防护更有效的综合保护屏障。这种分层的安全防护体系成倍地增加了黑客或病毒攻击的成本和难度，从而大大减少了他们对骨干网络的攻击。
　　（二）建立多层次的网络安全防护体系
　　在骨干网络系统中，建立一个集入侵检测系统、安全漏洞扫描、防火墙系统和防病毒系统于一体的多层次、全方位的网络安全防护体系。这种分层的网络安全防护技术具体来说包括攻击检测，攻击防范，攻击后的恢复这三大方向，每一个方向上都有代表性的技术手段和安全产品。
　　（三）证网络安全的其他注意事项
　　（1）硬件安全：具体包括：①瓶颈安全：每种网络都有其弱点，如采用的星型以太网，其瓶颈在于交换机，交换机的安全可靠性直接关系到整个系统的安全，因此，选择硬件时在备品备件上应做好充分的考虑，如采用双机热备，条件许可再冷备等等。②硬件期限：电子设备特别是计算机设备的使用周期在铁路信号的维修规程中无很明确的轮修周期，因此，选择优良的国际品牌、便捷优良的售后服务是关键。③隔离措施：强电、雷电等冲击很容易造成硬件的损坏，除做好系统防雷外，硬件本身的每个I/O应具备光隔措施，以确保整个系统的安全。
　　（2）软件安全：具体包括：①系统安全：作为网络技术支撑的UNIX和Windows NT（2000、XP）等，本身系统具有广泛的开放性，部分代码是公开的，系统在发展中必然存在一些不可避免的安全漏洞，黑客利用漏洞制造的病毒全球泛滥。从安全上的考虑，在选择操作系统时可采用一些专用的操作系统，这将对网络系统的安全起到独特的效果。②网络安全：杜绝与互联网相连的可能，整个系统网内任何一个子网内任何一台计算机不得存在与互联网相通情况，远程诊断服务端计算机的安全性也不例外，这可能是一个容易忽略的问题。另外，设置防火墙是网络系统中必不可少的条件，且需定期升级。③协议安全：协议间的相互认证是网络安全的一个组成部分，采用增加协议的认证层次或区别于目前流行的通信协议等方式也是确保网络安全的一个层面，软件设计时是应该可以考虑的。④程序安全：核心程序通常由某个人或小部分人开发，软件的维护有时就会出现人走茶凉的局面。⑤存储安全：系统维护用的光盘、软盘、磁带只能是专用，需要外用的存储设备只能出不能进。
　　四、结束语
　　综上所述，随着以计算机为基础的现代信息技术对铁路领域的渗透，我国铁路信息系统建设取得了长足的进步与发展，为促进铁路信系统信息化建设的发展发挥了巨大的推动作用；但同时也给TDCS系统网络带来了安全隐患与威胁，如何积极应对网络安全威胁是TDCS系统网络安全防护必须面对的挑战。我们应当树立正确的思想意识，权衡利弊，遇到问题解决问题。鉴于目前网络技术在铁路信号系统中运用较为广泛的现实，我们必须具备与时俱进的精神，提高警惕，积极应对各种安全威胁，从而促进铁路系统的信息化建设，是科技更好地为改善我们的生活而服务。
　　参考文献：
　　[1]薄宜勇.传感技术在铁路信号设备中的应用[J].中国铁路,2004,10
　　[2]李增海,谭侃让.我国铁路信号技术的发展与展望[J].科技咨询导报,2007,24
　　[3]刘波.铁路信号设备的维护与安全机制[J].硅谷,2012,2
　　[4]贾卫东.铁路信号存在的问题及对策[J].科技传播,2012,3
　　

浅谈铁路信号TDCS系统网络安全防护
２１年第６期　０２
Ｃｍｕｅ　ＤＳｆｗｒ　ｎ　ｐｌｃｔｏｓｏｐｔｒＣ　ｏｔａｅａｄＡｐｉａｉｎ　工程技术　

浅谈铁路信号ＴＣＤＳ系统网络安全防护　
陈军，冯占武　

（内蒙古集通铁路（团）限责任公司锡林浩特电务段，内蒙古锡林浩特集有

０６０）２００　

摘要：我们处在２世纪的互联网时代，计算机网络安全问题成为一个十分热门的课题。随着现代信息技术在铁　１路系统的广泛应用，铁路新号ＴＳ系统的网络安全防护就显得尤为重要。本文从ＴＳ系统遭受病毒侵袭的主要　ＤＣＤＣ

途径分析出发，总结其病毒感染的来源；而就现有ＴＳ系统存在的安全问题进行了详细的阐述与分析，最后提　进ＤＣ出针对性的改进措施和防范对策。这对提高ＴＳ系统运行的稳定性、安全性有着重要的现实意义，为推进铁路系ＤＣ　统信息化建设提供有益参考与借鉴价值。　关键词：计算机网络；铁路信号系统；安全威胁　中图分类号：Ｔ３３８文献标识码：Ａ文章编号：１０－５９（１）６０２— ２Ｐ９．００７９９２２０— １３０　０
随着现代信息技术在各领域的渗透与广泛应用，我国铁路　系统的信号系统朝着信息化、网络化方向的跨越式发展。新技　术、新设备的应用，给铁路新号系统带来了新的新的挑战。列　车调度指挥系统ＴＣＤＳ系统尽管具有相对独立的内部网，在实　施安全管理策略方面较之于其他系统会难度要低，但我们必须　看到ＴＣ是构建在一个通用开放的操作平台上。因此其系统　ＤＳ安全防护仍然是一项十分重要的工作。笔者结合工作实践，就　铁路新号ＴＣＤＳ系统网络安全防护问题做以下探讨与分析，以　期为同行提供有益借鉴与参考。　ＴＣＤＳ系统遭受病毒侵袭的主要途径　（一）日常管理维护的不到位　在实际操作中，由于部分ＴＣＤＳ维护人员日常使用硬盘盒　维护，给系统带来了安全隐患。比如本该属于ＴＣＤＳ系统专用　的硬盘盒而用来存储其他数据文件，由此为感染病毒创造了可　乘之机。　（）网络系统设置的不科学　二在ＴＣ系统网络中，由于与其他系统合用一网，Ｄ这样一来　就有可能使得病毒从网络传入而感染系统，当前互联网病毒　在盛行时期，这种风险时刻存在。　（）计算机资源存在欠缺　三典型的情况是，一机多网使用。这样一来给Ｔ
Ｃ和其他　ＤＳ工作都带来了病毒入侵的可能，造成系统安全隐患。　（四）遭受恶意攻击等其他非正常途径　这主要是各种形形色色的恶意攻击，来给ＴＣＤＳ系统网路　
一

、

要建立技术故障处理体系，并组织技术骨干力量，从而使得各　电务段的信息设备安全养护和故障处理得到有力的技术支持。　（）４优化系统的内部结构。在ＴＣＤＳ系统中，由于应用的　软件程序较多，加之当前一些程序软件缺乏统一标准和规范，　因此，在应用中可能存在补丁与正在运行的操作的冲突现象。　针对这种可能存在的现象，我们管理员在进行安装补丁时需要　经过检测与验证后，在确保不会影响到ＴＣＤＳ系统运行的稳定　性情况下，才能进行更新与处理。　三、相关网络安全机制及改进方向　完善铁路ＴＣＤＳ网络安全配套设施建设，是在现有网络安　全防护系统的基础上，充分考虑防火墙、入侵检测／防护、漏　洞扫描、防病毒系统等安全技术及产品在整个安全体系中所起　到的不同防护功能，增加相应的硬件设旌，建立多层次的安全　防护体系，更有效的保障骨干网络系统的运行。因此，在铁路　信号系统中运用网络技术时应要做好充分的考虑。　（一）相关安全因素的防护作用　（）防火墙防护：对ＴＣ系统而言，其网络安全防护的　１ＤＳ策略就是防火墙。防火墙技术随互联网技术的发展而发展，从　目前防火墙发展技术水平来看，部分防火墙技术已经比较成熟　与完善。以有效地抵御来自于互联网的外部攻击或者局域网　可内部病毒感染引起的内部攻击。对于ＴＣＤＳ系统网络安全防护　而言，防火墙是加强其安全管理的第一道防线，也是必不可少　的重要组成部分。　

安全带来威胁。　

（）入侵检测系统：在ＴＣ系统中，由于网络安全威胁　２ＤＳ的重要来源之一就是病毒的入侵和外来攻击，因此加强入侵检　二、ＴＣＤＳ系统网络安全防护的需求与可操作性　测系统（Ｄ）ＩＳ的研究无疑是提高系统安全性的重要途径。作为　（一）系统需求　防火墙的有益补充，入侵检测系统的应用，可以有效地胁制来　随着各种安全防护技术措施的成熟以及防护方案的不断　自外部网络的入侵，有效地使系统管理员的安全管理能力得到　完善，现有ＴＣＤＳ网络系统安全体系初步形成，但还不够成熟、了扩展（　比如安全审计、监视、进
攻识别和响应），从而从系　稳定。因此，面对当前无处不在的网络病毒和安全威胁，ＴＣ　统整体上提高了信息安全性与应对安全威胁的处理能力。ＤＳ　系统网络安全防护必然要求结合铁路信号系统的实际，进行合　由于信息技术不断更新与发展，我们看到几乎所有的操作　理的规划与实施。从而要确保系统骨干网络系统的安全问题，系统和软件都存在安全漏洞，　但是我们却无法时刻进行更新与　并建立其完整有效的备份方案和应急预案。以面对各种网络安　打补丁，这无疑给病毒入侵造就了机会，实践经验也充分证明　全威胁与挑战，确保数据不会遭到破坏与丢失。　了这一点。以，所必须加强漏洞扫描技术，堵住病毒入侵通道，　（）ＴＣ二ＤＳ系统安全状况的可操作分析　维护ＴＣＤＳ系统网络安全。　（）针对早期建成的ＴＣ系统，组织专门的渗透测试，１ＤＳ　（）防病毒系统：针对病毒传播的特点，以及病毒的常　３检查安全漏洞是否存在。这类工作可以通过组织专家小组或聘　见类型，我们需要针对铁路ＴＣＤＳ网络系统的实际情况，建立　请专业公司的形式来协助完成，从而避免系统漏洞的安全风　起防病毒系统。在安全防护的改进过程中，我们要结合不同的　险。　安全保护因素，创建一个比单一防护更有效的综合保护屏障。　（）可以通过增设网络安全服务器，安装防火墙来加强　这种分层的安全防护体系成倍地增加了黑客或病毒攻击的成　２ＴＣＤＳ系统网络中心的安全。建立安全防范机制，对ＴＣＤＳ系统　本和难度，从而大大减少了他们对骨干网络的攻击。　网络中的相关机器，实行统一的、规范化的管理模式。　（转第１０页）下２　（）成立专门的维护中心或工作站。对于ＴＣ系统，需　３ＤＳ
一

１２３ — 　

计算机光盘软件与应用　
工程技术　

Ｃｍｕｅ　ＤＳｆｗｒ　ｎ　ｐｌｃｔｏｓｏｐｔｒＣ　ｏｔａｅａｄＡｐｉａｉｎ　

２１０２年第６期　

类数字化网络系统技术持续吸收他类技术的优势长处，进而合　规模、宽容量、高新技术方向的优质持续发展。伴随人们应用　理实现了互相兼容的良好应用目标　无线局域网、３、ＷＭＸＧＩＡ　等各类无线技术的持续发展还创设了他们同时应用的射频新　技术在安全层面依据多重安全策略创设了多层级安全应用方　网络需求的日益丰
富扩充，各项社会建设发展事业、人们生产、　生活、工作越来越依赖于数字化网络技术，因此行业人员还应　趋势，进而真正推进数字网络技术的健康、可靠、优质、快速　

型技术，例如多路复用与多输出技术模式等。数字化无线网络　持续开展深入探索研究，明析数字网络技术未来科学发展应用　案，令个人与企业用户可依据多重丰富的性价比科学选择与自　发展，并给人们的健康生活创造更多的便利与快捷性。　身需求相符的安全应用策略。同时在漫游应用能力层面，数字　参考文献：　化无线网络技术逐步扩大了其现实覆盖范畴，实现了由热点向　［】庆昊．字网络和模拟网络的合理嫁接一多态化多媒　１杜数
热区、乃至整个城市发展范畴的持续扩充。数字化无线网络在　技术层面将会基于Ｉ交换实践技术与业务，Ｐ创建良好开放的服　系统技术的维护管理更加便利、高效、有序。　五、结语　

体教学技术支持平台的构建Ⅱ．】现代教育技术，０，：１１２２８６１ — ０　００

【］立泉．字传播技术发展与媒介融合演进『１中科　２鲍数Ｄ．华务业务平台，因而真正实现了智能化、自动化的发展，并令其　技大学，１，： — ５２０１１１　０２４

［陈起来，３】齐亚坤，昊海翔．于数字网络技术的广播协作　基解决方案Ⅱ．］广播与电视技术，０，１１　２７：卜５０４

总之，基于数字化网络技术的不断研究与持续探索，其真　［李享．字网络技术与人全面发展的辩证思考［．４】数１硅　１正实现了向着智能化、便捷化、高效化、科技化、可靠性、大　谷，００３１５４　２１．：４－１６

（接第１３页）上２　

（）建立多层次的网络安全防护体系　二在骨干网络系统中，建立一个集入侵检测系统、安全漏洞　扫描、防火墙系统和防病毒系统于一体的多层次、全方位的网　络安全防护体系。这种分层的网络安全防护技术具体来说包括　攻击检测，攻击防范，攻击后的恢复这三大方向，每一个方向　

置防火墙是网络系统中必不可少的条件，且需定期升级。协　 ③ 议安全：协议间的相互认证是网络安全的一个组成部分，用　采增加协议的认证层次或区别于目前流行的通信协议等方式也　是确保网络安全的一个层面，软件设计时是应该可以考虑的。　

④程序安全：核心程序通常由某
个人或小部分人开发，软件的　
维护有时就会出现人走茶凉的局面。 ⑤存储安全：系统维护用　的光盘、软盘、磁带只能是专用，需要外用的存储设备只能出　
四、结束语　

上都有代表性的技术手段和安全产品。　
（）证网络安全的其他注意事项　三其弱点，如采用的星型以太网，其瓶颈在于交换机，交换机的　

（）硬件安全：具体包括：① 瓶颈安全：每种网络都有　不能进。１　
安全可靠性直接关系到整个系统的安全，因此，选择硬件时在　综上所述，随着以计算机为基础的现代信息技术对铁路领　备品备件上应做好充分的考虑，如采用双机热备，条件许可再　域的渗透，我国铁路信息系统建设取得了长足的进步与发展，　

冷备等等。 ②硬件期限：电子设备特别是计算机设备的使用周　为促进铁路信系统信息化建设的发展发挥了巨大的推动作用；　
期在铁路信号的维修规程中无很明确的轮修周期，因此，选择　但同时也给ＴＣＤＳ系统网络带来了安全隐患与威胁，如何积极　应对网络安全威胁是ＴＣＤＳ系统网络安全防护必须面对的挑　战。我们应当树立正确的思想意识，权衡利弊，遇到问题解决　

优良的国际品牌、便捷优良的售后服务是关键。③隔离措施：　
强电、电等冲击很容易造成硬件的损坏，雷除做好系统防雷外，　硬件本身的每个ＩＯ应具备光隔措施，以确保整个系统的安　／
全。　

问题。鉴于目前网络技术在铁路信号系统中运用较为广泛的现　

实，我们必须具备与时俱进的精神，高警惕，积极应对各种　提（）软件安全：具体包括：① 系统安全：作为网络技术　安全威胁，２从而促进铁路系统的信息化建设，是科技更好地为　

　支撑的ＵＩＮＸ和ＷｎｏｓＮ（００Ｐｉｄｗ　Ｔ２０、Ｘ）等，本身系统具有广　改善我们的生活而服务。泛的开放性，部分代码是公开的，系统在发展中必然存在一些　参考文献：　不可避免的安全漏洞，黑客利用漏洞制造的病毒全球泛滥。从　统，这将对网络系统的安全起到独特的效果。② 网络安全：杜　

… １薄宜勇．感技术在铁路信号设备中的应用刚．传中国铁　
ｆ］２李增海，２谭侃让．国铁路信号技术的发展与展望　科　我

２０，０安全上的考虑，在选择操作系统时可采用一些专用的操作系　路，０４１　

绝与互联网相连的可能，整个系统网内任何一个子网内
任何一　技咨询导报，０７２　２０，４台计算机不得存在与互联网相通情况，程诊断服务端计算机　远【】波．路信号设备的维护与安全机制 Ⅱ＿谷，０２２３刘铁１硅２１，　的安全性也不例外，这可能是一个容易忽略的问题。另外，设　【】４贾卫东．铁路信号存在的问题及对策Ｕ＿】科技传播，０２３２１，　

・－－—

—

１０・— ２－　－ —

编译文章--白101号-网络安全的基本原理

网络安全的基本原理

摘要

安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本文阐述了网络系统的基本安全知识，包括防火墙、网络拓扑和安全协议等。此外，还给出了最佳方案，向读者介绍了在保护网络安全中某些比较关键的方面。

关键词：网络、安全

简介

要保护现代商业网络和 IT 基础设施的安全，不仅需要端对端的方法，还必须充分了解网络中所存在的弱点以及相关的保护措施。虽然这些知识并不足以阻挡住所有网络入侵或系统攻击企图，但可以使网络工程师排除某些常见问题，大量减少潜在的危害并迅速检测出安全性漏洞。随着攻击数量的日益增加以及复杂程度的不断提高，无论是大企业还是小公司，都必须采取谨慎的步骤来确保安全性。图 1 显示了历年来安全事故次数的显著上升趋势，数据取自 CERT® Coordination Center（一家互联网安全专业技术中心）。

100,00095,000

90,000

85,000

Number of Incidents Reported80,00082,09475,00070,00065,00060,00055,00055,10050,00045,00040,00035,00030,00025,000

20,000

15,000

10,000

5,000

2,3402,4122,5732,1343,7349,85921,756

0199519961997199819992000200120022003

Year

图 1 – 历年来发生的安全事故次数 – CERT.ORG

本文除介绍安全基础知识之外，还提供了一些有关网络、计算机主机和网络基础设施元素的最佳方案。由于不存在“确保安全的唯一方法”，因此，哪些措施最为合适要由读者/工程人员自己做出最正确的判断。

人的问题

在任何安全方案中，人确实都是最薄弱的环节。很多人都不认真对待保密的问题，譬如，不重视对密码和访问代码的保密，而这些正是大多数安全系统的基础。所有安全系统均依赖于一套控制访问、验证身份并防止泄漏敏感信息的方法。这些方法通常涉及一个或多个“秘密”。如果这些秘密被泄漏或偷窃，那么由这些秘密所保护的系统将受到威胁。这看起来似乎是再明显不过的事实，但可惜大多数系统都是以这种非常低级的方式被攻击的。譬如，将写有系统密码的便笺粘在计算机显示器的一侧，这种行为看起来十分的愚蠢，但事实上，很多人都有过这样的举动。另一个类似的例子，某些网络设备仍保留着出厂时的默认密码。此类设备可能包括 UPS 的网络管理接口。在安全方案中，无论是小型 UPS 还是足以为 100 台服务器供电的大型 UPS，都往往是被忽略的环节。如果此类设备仍沿用默认的用户名和密码，那么，即使是除设备类型及发布的默认凭据之外一无所知的人，要获得访问权限也只是时间问题。如果服务器群集中的每台 Web 服务器和邮件服务器的安全协议都坚不可摧，整个系统却因为一个无保护的 UPS 的简单关机操作被击垮，该是多么令人震惊！

安全性

一家安全的公司，无论大小，都应当采取适当步骤确保安全性，步骤必须全面而完整才能保证其有效性。但大多数公司机构的安全性策略及其实施都未达到此标准。造成这种情况有多种原因，比如实施安全性保护需要花费成本。这里的成本不仅是资金，还包括复杂性、时间和效率成本。为确保安全，必须花费金钱、执行更多的程序并等待这些程序完成（或者还可能涉及其他人）。

事实是，真正的安全性计划很难实现。通常的做法是选择一个具有一定“成本”并实现一定安全性功能的方案（这种安全性涵盖的范围几乎总是比“全面、完整的”方案所涵盖的范围要窄），关键是要为整个系统的每个方面做出明智的决策，并按照预计的方式有意识地或多或少地实施这些决策。如果知道某个区域缺乏保护，那么至少可以监控此区域以确定问题或漏洞所在。

安全性基础知识

了解网络

如果连要保护的对象都未清楚地了解，那么要保护好它是不可能的。任何规模的组织都应当有一套记录在案的资源、资产和系统。其中每个元素都应当具备相对价值，该价值是根据其对组织的重要性以某种方式指定的。应予以考虑的设备包括服务器、工作站、存储系统、路由器、交换机、集线器、网络与电信链路以及其他任何网络元素，如打印机、UPS 系统和

HVAC 系统等。此外，还有一些重要方面，如记录设备位置以及它们之间的相关性。例如，大多数计算机都依赖于 UPS 等备用电源，如果这些系统受网络管理，则它们可能也是网络的一部分。环境设备，如 HVAC 设备和空气净化器可能也包括在内。

安全问题的类型

接下来是确定以上每个元素的潜在“威胁”，如表 1 所示。威胁既可能来自内部，也可能来自外部。它们可能是人为操作的，或自动执行的，甚至还可能是无意的自然现象所导致的。最后一种情况更适合归类到安全威胁的反面 - 系统健康威胁，不过这两种威胁有可能互相转换。以防盗警报器断电为例。断电可能是有人故意为之，也可能是某些自然现象（如闪电）而造成的。无论是哪种原因，安全性都降低了。

表 1 – 各种威胁及后果一览表威胁内部外部威胁后果

物理安全性，从内部进行保护

大多数专家都认同，物理安全是一切安全性的起点。控制对计算机和网络附加设备的物理访问，或许要比其他任何安全方面都更为重要。对内部站点的任何类型的物理访问都将使站点暴露在危险之中。如果能够进行物理访问，那么要获得安全文件、密码、证书和所有其他类型的数据并非难事。幸好有各种各样的访问控制设备与安全柜可以帮助解决该问题。

采用防火墙划分和保护网络边界

对于站点而言，除了基本的物理安全之外，另一个最重要的方面便是对出入组织网络的数字访问进行控制。大多数情况下，控制数字访问即意味着控制与外部世界（通常为互联网）的连接点。几乎每家媒体和每个大公司在互联网上都有自己的网站，并且有一个组织网络与之相连。事实是，与互联网时刻保持连通的小公司和家庭的数量在与日俱增。因此，确保安全的当务之急是在外部互联网与内部企业网之间建立分界线。通常，内部企业网被当作“受信任”端，而外部互联网则被当作“不受信任”端。一般情况下这样理解并没有错，但不够具体和全面，下文将对此进行阐述。

防火墙机制就像是一个受控的堡垒，用于控制进出组织机构的企业网的通信。从本质上而言，防火墙其实就是特殊用途的路由器。它们运行于专用的嵌入式系统（如网络外设）上，或者，它们也可以是运行于常见服务器平台上的软件程序。大多数情况下，这些系统都有两个网络接口，分别连接外部网络（如互联网）和内部企业网。防火墙进程可以严格控制允许哪些服务可以通过防火墙。防火墙结构既可以相当简单，也可以非常复杂。对于安全的大多数方面而言，决定采用哪种类型的防火墙取决于多个因素，譬如，通信级别、需要保护的服务、所需规则的复杂程度等等。需要穿过防火墙的服务数量越多，所需的防火墙也越复杂。防火墙的难点在于区分合法通信与非法通信。

防火墙可以提供哪方面的保护，以及无法提供哪方面的保护？防火墙与其他很多事物一样，如果配置正确，则是防卫外部威胁，包括某些拒绝服务 (DOS) 攻击的利器。相反，如果配置不正确，则会成为组织内主要的安全漏洞。防火墙所提供的最基本的保护便是可以阻止网络通信到达某个目的地，包括 IP 地址和特定的网络服务端口。如果站点希望 Web 服务器供外部访问，可以将所有通信限定在端口 80（标准 HTTP 端口）。通常，此限制限定来自不受信

任端的通信，受信任端的通信则不受限制。其他所有通信，如邮件通信、FTP、SNMP 等，都不允许通过防火墙进入企业网。图 2 显示了一个简单的防火墙。

Private (Enterprise)

图 2 – 简单的网络防火墙

还有一个更简单的例子，使用家庭或小型企业用电缆/DSL 路由器的用户使用的防火墙。通常，这种防火墙均设置为限制所有外部访问，只允许来自内部的服务。认真的读者可能会意识到，在以上两种情况中，防火墙实际上阻止了来自外部的所有通信。如果是这样，那么如何能在网上冲浪并检索网页呢？防火墙所做的是限制来自外部的连接请求。在第一种情况中，来自内部的所有连接请求都被传递至外部，随后，所有数据通过该连接进行传输。对于外部网络而言，只有对 Web 服务器的连接请求以及数据被允许通过，所有其他请求均被阻止。第二种情况则更加严格，干脆只允许从内部到外部的连接。

比较复杂的防火墙规则可采用被称为“状态监测”的技术。该方法对通信状态与顺序逐一进行查看，以检测欺骗攻击和拒绝服务攻击，从而增加了基本的端口阻止方法。规则越复杂，所需的防火墙计算能力也越强。

大多数组织都会面临这样一个问题：如何才能既使外部用户能合法访问 Web、FTP 和电子邮件等的“公共”服务，同时又严密保护企业网的安全。典型的做法是设置一个所谓的隔离区 (DMZ)，这个来自冷战时期的术语，如今用到了网络上。该结构存在两个防火墙：一个位于外部网络与 DMZ 之间，另一个位于 DMZ 与内部网络之间。所有的公共服务器都放置在 DMZ 中。采用该结构之后，防火墙规则可以设置为允许公众访问公共服务器，但内部防火墙仍可以限制所有进入的连接。比起仅仅处于单个防火墙之外，公共服务器在 DMZ 中仍受到了更多的保护。图 3 显示了 DMZ 的作用。

在各企业网的边界使用内部防火墙也有助于减少内部威胁以及已通过边界防火墙的威胁（如蠕虫）。内部防火墙甚至可运行于待机模式，不阻止正常的通信模式，而只是在出现问题时启用严格的规则。

图 3 – 双防火墙及 DMZ

工作站防火墙

有一个重要的网络安全因素直到现在才为大多数人所认知，那便是网络上的每一个节点或工作站都可能是潜在的安全漏洞。过去，在考虑网络安全时注意力基本上都集中在防火墙和服务器上，随着 Web 的出现以及新的节点等级（如网络外设）的不断扩张，保护网络安全产生了新的问题。各种蠕虫病毒程序攻击计算机，并通过这些计算机进一步扩散及危害整个系统。如果组织的内部系统能更有效地进行“封锁”，那么大部分蠕虫都可以被成功阻止或拦截。工作站防火墙产品即可以阻止不属于主机正常需求的、出入各个主机的所有端口访问，此外，用以阻止来自组织外可疑连接的内部网络防火墙规则也有助于防止蠕虫扩散回组织外部。在这两个防火墙的共同作用下，蠕虫的内部复制和外部复制机会都减少了。在绝大多数情况下，所有系统都应当能阻止无需使用的所有端口。

基本的网络主机安全

端口防范并尽量减少运行的服务

默认情况下，许多网络设备和计算机主机都会启动网络服务，而每一个服务对攻击者、蠕虫和木马而言都是攻击机会。所有这些默认服务往往并不是必需的。通过关闭服务来执行端口防范可以减少攻击的机会。以下的防火墙部分中将提到，与网络防火墙一样，台式机和服务器也可以运行基本的防火墙软件来阻止对主机上不需要的 IP 端口的访问，或者限制来自某些主机的访问。当外层防御已经被突破或存在其他内部威胁时，该方案对于内部保护非常重要。可供选择的台式机防火墙软件包有很多种，都可以执行保护主机的大量工作，例如 Windows XP Service Pack 2 的功能，Microsoft 实际上构建了一个基本的防火墙。

用户名和密码管理

如上文中所提到的，在大多数公司网络中，用户名和密码管理不善是一个很常见的问题。虽然可以采用复杂的集中式身份验证系统（后文将对此进行讨论）来帮助减少该问题，但是，如果能遵照一些基本原则，也可以带来很大的帮助。以下提供了用户名和密码应当遵从的四条基本规则：

1. 不要使用太过明显的密码，如配偶的姓名、喜欢的体育团队等；

2. 采用数字与符号混合的较长的密码；

3. 定期更改密码；

4. 网络设备切勿沿用默认凭据。

如果计算机或设备无内置策略来强制实施以上内容，那么用户应当约束自己遵从这些规则。至少可以通过采用网络探测器来检测设备凭据是否为默认设置，以对规则 (4) 进行检查。

访问控制列表

许多类型的设备或主机都可以配置访问列表。这些列表定义了有权访问该设备的主机名或 IP 地址。一个典型的例子，便是可以限制组织网络内部对网络设备的访问。这可以防止任何类型的访问突破外部防火墙。作为最后一道重要的防线，访问列表对于某些具有不同访问协议的不同规则的设备而言相当有效。

保护对设备与系统的访问的安全性

由于数据网络无法保证始终能够抵御入侵或数据“窃听”，可以提高相连网络设备安全性的协议便应运而生。总体而言，安全问题涉及两个独立的问题：身份验证和防止泄密（加

密）。有多种方案和协议能够满足安全系统与通信中的这两个需求。我们将首先介绍身份验证的基础知识，然后再介绍加密。

网络设备的用户身份验证

当有人想要控制对网络元素，尤其是网络基础设施设备的访问时，必须提供身份验证信息。身份验证包含两个概念：一般访问身份验证以及功能授权。一般访问用于控制特定用户是否对特定网络元素具有任意类型的访问权限。这些权限通常以“用户帐户”的形式体现。授权则指各个用户的“权限”。例如，用户通过身份验证后能进行哪些操作？用户是能配置设备，还是只能查看数据？表 2 总结了各种主要的身份验证协议、功能及其相关的应用。

表 2 – 主要身份验证协议一览表

限制对设备的访问是确保网络安全最重要的一点。由于基础设施设备是网络和计算设备的基础，因此，倘若基础设施受到危及，则可能导致整个网络及其资源崩溃。很可笑的是，许多 IT 部门花费了很大精力来保护服务器、设置防火墙并保护访问机制，但是对某些基础设备却只采用了很低级的安全措施。

最起码，所有设备都应当设置比较严谨的用户名密码身份验证（10 个字符，字母、数字和符号混用）。并且，应当从数量和授权类型上对用户进行限制。在使用并不安全（即用户名和密码以明文形式在网络上传输）的远程访问方法时，应当格外小心。密码还应当定期进行更改，譬如每三个月更改一次，如果使用工作组密码，当有员工离职时也应当进行更改。

集中式身份验证方法

选用合适的身份验证方法作为基本的安全手段非常重要，不过，在以下情况中集中式身份验证方法可能更好： a) 设备的用户数量很多；b) 网络中的设备数量很大。过去，集中式身份验证通常用来解决情况 a) 中存在的问题，最常用的是在远程网络访问中。在远程访问系统（如拨号 RAS）中，要靠 RAS 网络设备自身来管理用户简直是不可能的。网络中的任何用户都可能试图使用现有的任何 RAS 访问点。如果将所有用户信息都放在每个 RAS 设备中并一直保持这些信息的更新，这将超出任何大公司中的 RAS 设备的能力。

RADIUS 和 Kerberos 等集中式身份验证系统使用 RAS 设备，使用 RAS 设备或其他类型的设备都能安全访问的集中式用户帐户信息，从而解决了该问题。这些集中式方案将信息集中存放在一个位置，而不是很多个不同的位置。因此，无需再在多个设备上管理用户，而是通过一个位置进行用户管理。如果用户信息需要更改，如更改密码，只需一个简单的任务即可完成该操作。如果有用户离开，则可以删除其帐户以防该用户使用集中式身份验证访问所有设备。在大型网络中，若采用非集中式身份验证方法，一个典型问题便是需要删除位于各个地方的帐户。RADIUS 等的集中式身份验证系统通常可以与其他用户帐户管理方案（如 Microsoft 的 Active Directory 或 LDAP 目录）无缝集成。虽然这两个目录系统本身并非身份验证系统，但它们可以用作集中式帐户存储机制。大多数 RADIUS 服务器都可以通过普通的 RADIUS 协议与 RAS 或其他网络设备通信，然后安全地访问存储在目录中的帐户信息。Microsoft IAS Server 便通过这种方式在 RADIUS 与 Active Directory 之间建立起沟通的渠道。采用此方法后，不仅可以为 RAS 用户和设备用户提供集中式身份验证，而且帐户信息也可以与 Microsoft 域帐户统一。图 4 显示了一个同时作为 Active Directory 服务器和 RADIUS 服务器的 Windows 域控制器，它供网络元素通过身份验证进入 Active Directory 域。

Windows

Domain Controller

with IAS Radius server

Active

图 4 – Windows 域控制器

采用加密和身份验证保护网络数据的安全

在某些情况中，网络元素、计算机或系统之间的信息交换是否足够安全关系重大。无疑，某人能进入并不属于自己的银行账户或截获网络上所传输的个人信息，都是令人堪忧的事情。如果不希望数据在网络上泄漏，那么必须对传输的数据采取加密的方法，这样，即使有人在数据通过网络时采用某种方式截获了数据，也无法辨认这些数据。“加密”数据的方法有很多种，本文将介绍其中几种主要的方法。对于如同 UPS 系统的网络设备而言，我们并不关注传统意义上保护数据所付出的代价，如 UPS 电压和电源插板的电源，我们关注的是对这些网络元素的访问的控制。

对于通过不安全的网络（如互联网）进行访问的任何系统而言，身份验证凭据（如用户名和密码）的保密非常关键。即使是在组织的专用网络中，最好也对这些凭据采取保护措施。虽然还未普及，不过很多组织都逐渐开始对所有管理通信，而不仅仅是身份验证凭据进行保护。不管是哪种情况，都必须采用某些形式的加密方法。

通常，数据的加密是通过使用特定的加密算法（如 3DES、AES 等）将明文数据（输入）与一个密钥相组合来实现的。其结果（输出）为密文。如果某人（或计算机）没有密钥，则无法将密文转换回明文。该基本方法是所有安全协议（后文将对此进行介绍）的核心。加密系统的另一个基本构成部分是“哈希散列”。散列法即对一些明文输入以及可能的密钥输入进行计算，然后得到一个称为散列的大数。无论输入的大小如何，其结果值都是固定长度（位数）。加密方法是可逆的，可以用密钥将密文恢复为明文，散列则不同。从数学的角度而言，要将散列恢复为明文是不可能的。散列被用作各种协议系统中的特殊 ID，因为它提供了类似于磁盘文件上的 CRC（循环冗余检测）的数据检测机制，可以检测数据是否发生改变。散列还可用作数据身份验证方法（不同于用户身份验证）。如果有人试图在数据通过网络时秘密篡改数据，则数据的散列值也将改变，因而可以检测出数据的变化。表 3 对各种加密算法及其用途进行了简单比较。

表 3 – 主要加密算法一览

安全访问协议

各种协议（如 SSH 和 SSL）采用各种加密机制，通过身份验证方法和加密方法来提供安全性。所提供的安全级别取决于很多因素，譬如，所用的加密算法、对所传输数据的访问、算法密钥长度、服务器与客户端的执行情况，还有最重要的一点，人为因素。如果用户的访问凭据（如密码或证书）被第三方获得，那么，即使是最精巧的加密方案也是徒劳无效的。一个经典的例子便是上文曾提到的将写有密码的便笺贴在显示器上。

SSH 协议

Secure Shell (SSH) 客户端-服务器协议产生于 20 世纪 90 年代中期，旨在为通过未保护的或“不安全的”网络远程访问计算机控制台或 Shell 提供安全机制。该协议通过对用户和服务器进行身份验证，以及对客户端与服务器之间交换的所有通信进行完全加密来提供确保安全的方法。协议有两个版本：V1 和 V2，这两个版本在提供的加密机制上略有区别。此外，V2 在防止某些类型的攻击上要稍胜一筹。（未参与的第三方试图拦截、伪造或以其他方式更改交换的数据均被视为攻击。）

虽然 SSH 多年来一直作为计算机控制台的安全访问协议，但过去很少将其用在辅助的基础设施设备（如 UPS 和 HVAC 设备中）。不过，随着网络及为其提供支持的网络基础设施对于公司商务行为的重要性日渐提高，对所有设备均采用此类安全访问方法的做法正日趋流行。

SSLTLS 协议

虽然 SSH 安全协议被广泛用于控制台命令行访问（如进行管理）中，但安全套接字层 (SSL) 及后来的传输层安全 (TLS) 协议已成为保护 Web 通信及其他协议（如 SMTP，用于邮件传输）的标准方法。TLS 是 SSL 的最新版本，不过一般仍用 SSL 来指代 TLS。SSL 与 SSH 在协议内置的客户端与服务器身份验证机制上区别很大。TLS 还被接受作为 IETF（互联网工程任务组）标准，而 SSH 尽管被广泛当作标准草案，但从未成为正式的 IETF 标准。SSL 是保护 HTTP Web 通信的安全协议，也称为 HTTPS (HTTP Secure)。Netscape 和 Internet Explorer 均支持 SSL 和 TLS。在使用这些协议时，服务器将以服务器证书的形式对客户端执行正式的身份验证。我们随后将介绍证书。客户端也可以采用证书进行身份验证，不过最常用的还是用户名与密码。由于 SSL“会话”全部为加密形式，因此，身份验证信息及网页上的任何数据都是安全的。对于安全性要求较高的银行业和其他商务用途而言，由于客户往往通过公共互联网访问网站，因此网站应始终采用 SSL。

随着对网络设备（嵌入式 Web 服务器）基于 Web 的管理方式成为进行基本配置和用户访问最常用的方法，保护此管理方式便成了重中之重。如果公司希望所有网络管理能安全进行，但仍采用图形界面（如 HTTP），那么应当使用基于 SSL 的系统。如上文所述，SSL 还可以保护其他非 HTTP 通信。客户端不仅应使用基于非 HTTP 的设备，还应当采用 SSL 作为其访问协议以确保系统的安全。全部采用 SSL 还有一个优势，即可使用包含通用身份验证方案和加密方案的标准协议。

网络安全的最佳方案

仔细规划的安全策略可以显著提高网络的安全性。策略既可以复杂繁琐，也可以简单直接，但往往最简单的却是最有用的。请考虑结合使用集中管理的防病毒更新系统与主机扫描程序来检测新系统或过期的系统。虽然该系统需要具备设置、集中管理和软件部署功能，不过如今的操作系统一般都囊括了以上所有功能。通常，策略与理想的自动实施工具有助于减少系统安全中明显的漏洞，因此，网络管理人员可以集中精力应对更为复杂的问题。以下列出了一些具有代表性的公司网络安全策略：



 在公共网络与专用网络的所有交界处设置防火墙；控制版本并集中部署防火墙规则集；外部资源放在双层防火墙之间，并保护 DMZ 的安全；所有网络主机都应对不需要的网络端口采取防范措施，并关闭不需要的服务；所有网络主机均应安装集中管理的防病毒软件；所有网络主机均应安装集中的安全更新程序；保护集中式身份验证的安全，如 RADIUS 和 Windows/Kerberos/Active Directory；采用含密码策略（例如，必须每三个月更改一次密码，必须采用安全密码）的集中管

理的用户管理方式；

 主动进行网络扫描，扫描新的主机以及过期的系统；

 对可疑行为进行网络监控；

 事故响应机制（策略、人力、自动等）。

以上各条体现了策略中应当包含的关键之处。但策略中还可能涉及其他更为广泛的方面。当然，在确定策略的类型与幅度时，应始终记住尽量权衡各种因素，如公司规模、风险分析、成本和商业影响等如上所述，通常情况下可以从系统分析入手，然后进行商业分析。无论网络的规模如何，都可能成为攻击的目标，因此即使是非常小的公司也应当具备某些形式的安全策略。

结论

随着网络威胁（如蠕虫、病毒和聪明的黑客）数量的日渐增加，安全性不再是一件可有可无的事情，即使是在专用网络中也不应当被忽视。确保所有设备，包括物理基础设施设备（如 UPS 系统和 HVAC 系统）的安全，对于维持系统正常运行以及服务的无缝访问都至关重要。在整个公司范围内提供并维持安全性通常意味着管理成本的提高。从过去的经验来看，这往往是广泛实现安全性最大的障碍。如今，修复仅仅由于一个蠕虫或病毒攻击而损害的网络所需要花费的时间，都会轻易超过前期为充分确保公司安全所付出的时间。幸运的是，有很多既可提高网络安全性又可减少管理费用的系统和软件可供选择。即使是基本的方案，例如，定期更新软件、对所有设备采取防范措施以及使用集中式身份验证与安全访问方法，对降低网络风险也大有帮助。建立适当的安全策略和经常检查网络可以进一步提高网络的整体保护力度。

本文编译自“美国可用性研究中心第101号白皮书”

作者：Christopher Leidigh

基于系统账号管理的网络访问安全的实现

计算机安全技术　

基于系统账号管理的网络访问安全的实现　
王洪平　
（南充职业技术学院计科系，南充６７０）３００　
摘要：控制网络访问安全有多种途径得以实现。立足系统账号，从取消组用户网络访问、为新用户设置合适权　

限、让特定用户拥有控制权限、强制对用户进行网络验证、监控用户账号登录状态等５个方面，详细地阐述了在　Ｗｉｄｗ　ｅｖｒ０８中，通过严格管理系统账号来有效控制网络访问安全的配置。ｎｏｓｒｅ　０Ｓ２　
关键词：访问控制；网络访问安全；系统账号　

ＴｅＩｌｍｅｔｔｎｏ　ｔｒ　ｃｓ　ｅｕｉ　ｓｄｏ　ｙｔｍ　ｃｕｔｈ　ｍｐｅｎａｉ　ｆＮｅｗｏｋＡｃｅｓＳｃｒｔＢａｅ　ｎＳｓｅＡｃｏｎ　ｏｙ
Ｍａａｅｎ　ｎｇｍｅｔ
ＷＡＮＧ　Ｉ｜ｎ　Ｈ‘ 　ｇｎ（ｈ　ｏｕｅ　ｃｎｅＤｐｒｎｏ　ｒｆｓｉｎｌｅｈｉｌｏｅｅｏ　ａｃｏｇ，ｎｈｎ　６７０　ＴｅＣｍｐｔＳｉｃ　ｅａｔｔｆＰｏｅｓａＴｃｎｃ　Ｈｇ　ｆｎｈｎＮａｃｏｇ３００）ｒｅｍｅ　ｏ　ａＣＮ
Ａｂｔａｔｏｔｏ　ｅｗｒ　ｃｅｓｓｃｒｙｃｎｂ　ｃｉｖｄｉ　ｎ　ａｓＴｉｐｐｒｂｓｄｓｓｅａｃｕｔｅｃｂｄｉ　ｓｒｃ：Ｃｎｒｌｎｔｏｋａｃｓ　ｅｕｔ　ａ　ｅａｈｅｅ　ｎｍａｙｗｙ．ｈｓａｅ　ａｅ　ｙｔｍ　ｃｏｎ，ｄｓｒｅ　ｎｉ　ｉ
ｄｔｉｆｏｅａｌｒｍ　ｆｖ　ａｐｅｔ　ｔ　ｃｎｇｒｔｏ　ｏ　ｃｎｒｌｉ　ｅｆｔｖｌ　ｎｔｒ　ｃｅｓｅｕｒｔ　ｎｔｅＷｉｏ　ｒｅ　２０８　ｉｅｓｃｓｈｅｏｆｕａｉｎｆｏｔｏｌｎｇｆｅｃｉｅｙｅｗｏｋａｃｓ　ｓｃｉｙｉ　ｈ　ｎｄｗｓＳｅｖｒ０　ｉ

ｔｒｕｈｔｅｓｒｔｍａａｅｎ　ｙｔｍ　ｃｏｎｗｈｃ　ｒ　ａｃｌｇｇｏｐｏ　ｓｒ　ｃｅｓｔｅｎｔｏｋｅｔｇａｐｏｒｔ　ｈｏｇ　ｈ　ｔｉ　ｎｇｍｅｔｓｓｅａｃｕｔ，ｉｈａｅｃｎｅｉ　ｒｕ　ｆｕｅｓａｃｓ　ｈ　ｅｗｒ，ｓｔｎ　ｐｒｐａｅｃｎｉｉ
ｐｒｓｉｎｓｆｒｎｅｕ
ｅｓｅｍｉｓｏ　ｏ　ｗ　ｓｒ，ｐｅｍｉｓｏｓｔ　ｐｅｉｃｏｅｓｉ　ｏｒｌｏｃｎ　ｈ　ｓｒｔ　ｔｒ　ｔｎｉａｉｎｓｒａｃｕ　ｒｓｉｎ　ｏｓｃｆ　ｓｒ　ｎｃｎｔｏ，ｆｒｉｇｔｅｕｅ　ｏｎｅｗｏｋａｕｈｅｔｃｔｏ，ｕｅ　ｃｏｎｔｉｌｇｎｓａｕｓｍｏｔｒｎ　ｏｉ　ｔｔ　ｎｉｉｇ．ｏ

Ｋｅ　ｒｓｃｅｓｃｎｒｌｎｔｒ　ｃｅｓｓｃｒｔｓｓｅａｃｕｔｙｗｏｄ：ａｃｓ　ｏｔｏ；ｅｗｏｋａｃｓ　ｅｕｙ；ｙｔｍ　ｃｏｎ　ｉ

１前言　　
采用多层次的防护体系，在各个层次上部署相关的网络　
安全产品，集成先进的安全技术，建立一个全方位的安全系　

问权，下面就是具体的操作步骤：　首先打开重要主机系统或服务器系统的 “ 始 ”菜单，开　点选其中的 “ 行 ” 命令，在弹出的系统运行框中，执行　运
“

统，是当今企业普遍采用的网络安全防护策略。一个完整的　防护体系，除了有防火墙、入侵检测、漏洞评估、ＶＮ、防病　Ｐ毒等系统外，还必须有访问控制策略，访问控制是网络安全　防范和保护的主要策略，它的主要任务是保证网络资源不被　

ｇｅｉｍｓ”字符串命令，弹出组策略控制台界面。ｐｄｔｃ．　其次展开该控制台界面中的 “ 计算机配置”节点，再打　

开该节点下面的 “ ｎｏｓ置 ” 目录，从中依次点选 “ 全　Ｗｉｄｗ设安

设置 ” “ 地策略 ” “ 户权限分配 ”子目录，在目标子　、本、用目录下面找到组策略选项 “ 从网络访问此计算机 ” ，同时用鼠　标双击该选项，弹出如图１所示的选项设置对话框。　

非法使用和访问，它是保证网络访问安全最重要的核心策略　
之一。　

为了实现网络访问安全，相信不少人平时都勤于研究、　

善于总结，摸索出了许许多多有效的网络访问安全控制经验，　在这些经验体会的指导下，在控制网络访问安全方面的确取　得了一定的成效。可是，对这些经验、体会进行仔细推敲后，　
不难发现其中有很多都必须通过外力工具才能完成，要是手　

头没有现成专业工具可以使用的情况下，又该如何有效控制　
网络访问安全呢？事实上，只需加强对主机系统账号的管理　与安全设置，同样也能够有效控制网络访问安全。
　

２系统账号的管理与安全设置　　
２１取消组用户网络访问权　．

很多时候，网络管理员为了图管理方便，往往会对某一　组用户集中授权，这样虽然提高了网络管理效率，但是这也　给网络安全带来了潜在的威胁，因为一些木马程序会偷偷将　自己创建的用户账号，加入到访问权限比较高的组用户中，　
这样一来木马程序就能轻易获得非法攻击权限。有鉴于此，　

图１从网络访问此计算机的组　

在这里，会发现各个普通用户以及组用户的身影，这些　
用户在默认状态下都具有一定的网络访问权限；为了控制网　作者简介：王洪平（９１）１７一，男，硕士，讲师。　
收稿日期：２１— ６１　０００— １
１５— ２　

需要在重要的主机系统或服务器系统中，取消组用户网络访　

—

电脑编程技巧与维护　
络访问安全性，必须将自己认为可疑的组用户选中，同时单　
击 “ 除 ” 按钮，最后点击 “ 定 ” 按钮保存好上述设置操　删确

行远程控制本机的特定用户，用鼠标右键单击该特定用户选　项，并执行快捷菜单中的 “ 属性 ”命令，弹出特定用户的属　
性设置对话框；　

作，这样隐藏在特定组中的木马程序创建的用户就不能通过　
网络来随意访问本地系统了。　２为新用户设置合适权限　．２

其次单击该对话框中的 “ 属于 ”标签，弹出如图３所　隶

示的标签设置页面，检查该页面中是否包含 “ ｅｔＤ．ｔ　Ｒｍｏ　ｅｏｅｐＵｅ ”组用户选项，如果没有的话，直接单击 “ ｓｒｓ添加”按钮，　再逐一单击 “ 高级 ” “ 、立即查找”按钮，将 “ ｅｏｅＤｓ一Ｒｍｔｅｋ　　执　

如果有一些可信任的新用户需要通过网络访问本地服务　
器系统，那么需要在服务器系统中单独创建一个新用户，并　
为新用户设置适当的访问权限。要做到这一点，可以先打开　

服务器系统的控制面板窗口，双击其中的 “ 管理Ｔ具 ”图标，　
再在管理工具列表中双击 “ 算机管理 ” 图标，弹出计算机　计管理窗口；展开左侧区域的 “ 地用户和组 ” 节点，从中选　本

择 “ 户”选项，同时用鼠标右键单击 “ 户”选项，并点　用用

选右键菜单中的 “ 用户”命令，弹出如图２所示的创建对　新
话框。在这里，必须设置好新用户的名
称以及密码，特别是　

要将密码设置得稍微复杂一些，以防止这个用户账号被他人　轻易暴力破解；当然，在这里不要轻易将新用户账号添加到　
图３设置特定用户拥有的权限　行设置保存操作，这样特定用户就拥有远程控制本地服务器　

系统的权限了。　
用户名（　　）全名（）Ｆ：　描述（）卫：　密码（）Ｐ：　确认密码（）￡　囡用户下次登录时须更改密码（　Ｍ）口用户不能更改密码（）Ｓ　口密码永不过期（）　　四帐户已禁用（）Ｂ　

当然，还能通过另外一种方法，让特定用户拥有控制权　限，具体操作方法是：先右击 “ 我的电脑 ” ，点选右键菜单中　的 “ 属性 ”命令，弹出系统属性对话框，单击 “ 远程”选项　
卡，在远程选项设置页面中，单击 “ 远程用户 ”按钮，再　择单击 “ 加 ”按钮，将特定用户的账号选中并添加进来。添　２强制对用户进行网络验证　．４

很多时候，网络管理员在进行远程管理操作时，为了图　

方便，不设置远程登录密码，后他们在进行远程控制操作　　
时，就不需要进行网络验证，就能直接登录进入局域网服务　
器系统了，很显然这对服务器系统来说是非常危险的。为了　

图２创建新用户　

其他组用户中。　
接下来，再打开服务器系统的资源管理器窗口，从中找　

保证远程控制的安全，需要想办法强制对用户进行网络验证，　
下面就是具体的设置步骤：　首先在服务器系统中依次点选 “ 开始 ”　 “ 行 ” 选项，、运　

到新用户需要访问的目标资源文件夹，同时用鼠标右键单击　该文件夹图标，并点选快捷菜单中的 “ 属性 ”命令，弹出目　标文件夹的属性设置对话框；单击其中的 “ 安全 ”标签，在　
对应标签设置页面中，单击 “ 加 ”按钮，打开用户账号选　添

打开对应系统的运行文本框，在其中执行 “ｅｅｉｒｄｔｇ ”字符串命　
令，弹出注册表控制台界面；依次展开该界面左侧的　
ＨＫＥＹＬＯＣＡＬＭＡＣＮＥＳＨＩｋＯ兀ＷＡＲＥＭｉｒｓｆＷｉｄｗ　ｈｃｏｏｔｎｏｓ＼
＿＿

择对话框，从中将之前创建好的新用户账号选中并添加进来，　
最后再将合适的访问权限一并授予给新用户。　
２３让特定用户拥有控制权限　＿

ＮｘｕｒｎＶｒｏ＼ｎｏｏ，将 “
ｎｏｏ” 子项下面的 “ ｅ　ＴＣｒｔｅｓｎＷｉｇｎｅｉｌＷｉｇｎｌＤ— ｆｈｓｒａｅ、 “ ｅａｈａｓｏｄ、 “ ｕｏｄｉｌｏ ” 键　ａＵｅＮｍ ”　ＤｆｕＰｓｗｒ”　ＡｔＡｍｎｏｎｕｇ值全部选中并删除掉。　

为了方便管理网络，很多时候都需要通过网络，对局域　

网中的重要主机系统进行远程控制；可是，随意开启远程控　制功能，容易给服务器或重要主机系统带来安全威胁。有鉴　于此，应该按照如下操作步骤，将远程控制权限授予值得信　
任的特别用户：　首先在需要被远程控制的主机系统中，用鼠标右键单击　桌面上的 “ 的电脑 ” 图标，并点选快捷菜单中的 “ 理 ” 我管　命令，弹出对应系统的计算机管理窗口，将鼠标定位于该窗　

其次再打开服务器系统的 “ 开始 ”菜单，点选 “ 行” 运　
命令，在弹出的系统运行框中执行 “ｏｔｌｓｒａｓｏｄ２　ｃｎｒ　ｅｐｓｗｒｓ” ｏｕ

命令，进入用户账户设置对话框；点选 “ 用户 ”选项卡，选　

中需要对服务器系统进行远程控制的特定账号，再将 “ 要使　
用本机，用户必须输入用户和密码 ”选项选中（如图４所示），　最后单击 “ 确定 ”按钮执行设置保存操作，这样服务器系统　日后就会强制对用户进行网络验证操作了。　为了更进一步地控制网络访问安全，Ｗｉｄｗ　ｅｅ　０８ｎｏｓｒｒ０　Ｓｖ２服务器系统特意提出了网络身份验证功能，这种功能强制用　

口左侧的 “ 系统工具 ”节点上，再依次展开该节点下面的　
“ 地用户和组 ” “ 户 ” 选项，从用户列表中找到有权进　本、用

一

１６２一　

ＣＭＵＩＧＥＵＩ　ＣＮＱＥ　ＯＰＴＮ　ＣＲＹＥＨＩＵＳＳＴＴ

计算机安全技术　
显示有关以前登录的信息” ，弹出如图５所示的选项设置对话　框；选中该对话框中的 “ 已启用 ”选项，同时单击 “ 确定 ” 　

图４强制对用户进行网络验证　

户必须在安全性能更高的Ｗｉｄｗ　ｉａ以上版本的计算机系　ｎｏｓＶｓｔ统中，才能有权利对服务器系统进行远程控制操作，要启用　该功能时可以按照如下方法进行操作：　首先依次点选ＷｉｏｓＳｒｅ　０８ｎｗ　ｅｖｒ０服务器系统的 “ ｄ２开始 ” 　／设置”／控制面板”选项，弹出系统控制面板窗口，逐一点　 “ “ 选其
中的 “ 系统和维护”　 “ 、系统”图标，再单击其后界面左　侧列表中的 “ 远程设置 ”按钮，弹出远程设置对话框；将该　
对话框中的 “ 允许运行带网络身份验证的远程桌面的计算　只

图５启用监控用户账号登录　按钮执行设置保存操作，这样Ｗｉｄｗ　ｅｅ　０８服务器系　ｎｏｓＳｒｒ０ｖ２统的监控用户账号登录功能就被成功启用了。　

以后，每次重新启动Ｗｉｏｓｅｅ　０８服务器系统时，ｎｗ　ｒｒ０ｄＳｖ２　系统会自动把监控到的用户登录状态信息显示出来，用户就　能从提示信息中及时了解到服务器中是否存在安全隐患了。　

３结语　　
访问控制策略是实现网络访问安全的重要手段，在整个　安防体系中具有重要的作用。虽然通过一些专业产品也能在　
一

机连接（安全）更 ”选项选中，这样我们就能将服务器系统的　
网络身份验证功能成功启用起来了，日后远程控制用户只有　从安全性能更高的计算机系统中，才能有资格对服务器系统　进行远程控制操作。　２５监控用户账号登录状态　．

定程度上实现网络访问安全，但是利用系统本身提供的系　

统账号管理功能，进行一些必要的访问控制配置，可以进一　

步、全方位地实现网络访问安全控制。　

为了防止非法用户偷偷登录服务器系统，Ｗｉｄｗ　ｅｅ　ｎｏｓＳｒｒｖ
２００８新增加了监控用户账号登录功能，巧妙地利用该功能，　

参考文献　
［］王建平．网络安全与管理［．西北工业大学出版社，１Ｍ】　
２９．００　

可以及时找到潜在的安全隐患，保证服务器系统始终能够稳　
定地运行。要启用监控用户账号登录功能，可以按照如下步　骤进行操作：　首先打开Ｗｉｄｗ　ｅｅ　０８系统的 “ 始 ” 菜单，执　ｎｏｓＳｒｒ０ｖ２开

【２】李小志．高校校园网络安全分析及解决方案【．现代教育　Ｊ］
技术，２０．０８　

［］王华丽，王泉．访问控制列表在网络安全中的应用［．３Ｊ　］
电子科技，２０．０７　［】马宜兴．网络安全与病毒防范【］４Ｍ．第３版．上海交通大　学出版社，２０．０８　［】王海涛．深入解析Ｗｉｄｗ　ｅｖｒ０８［．清华大学出　
５ｎｏｓＳｒ　０Ｍ】ｅ２

行 “ 行 ”命令，在系统运行框中输入字符串命令 “ ｐｄｔ运ｇｅｉ．　
ｍｓｃ”
，

单击回车键后，弹出组策略控制台界面。　

其次依次展开该控制台界面左侧列表中的 “ 计算机配置 ” 　
／管理模板 ”，Ｗｉｄｗ组件 ”，Ｗｉｄｗ登录选项 ” 节点， “ “ ｎｏｓ “ ｎｏｓ　

用鼠标双击该节点下面的目标组策略选项 “ 在用户登录期间　

版社，２０．０９　

（接第１１）上２页　（）ｋｍａｓ法　２－ｅｎ算
文件类型：文本文件　

参考文献　
【］丁小刚，黄伟伟，柏文阳．关联规则隐藏算法的研究【＿１Ｊ　】

每行对应数据表中的一个元组，每行有两个数值，第一　个为元组代号，第二个为该元组所在聚簇的代号。　
（）Ａｒｒ算法　３ｐｉｉｏ

计算机应用研究，２０，６：２．０６（）８　
【］张鹏，童云海，唐世渭，等．一种有效的隐私保护关联规　２则挖掘方法［．软件学报，２０，１：１６．Ｊ］０６７７４　［】刘松．隐私保护下的关联模式挖掘．微计算机应用【】３Ｊ，　
２０，２（：８．０６７２）５　

文件类型：文本文件　每一行是一条关联规则，关联规则的输出格式为：　

（取值＠字段，……）＞＞（＞取值＠字段，… …）　

一

１７２ —　

建立群众安全监督网络的通知5号文件

登xx煤字【2013】5号

登电xxx煤矿

关于建立群众安全监督网络的通知

各科室、采、掘队：

为认真贯彻“安全第一、预防为主、综合治理”的煤矿安全生产方针，确保煤矿安全生产，加强日常监督监察，结合我矿实际，经矿委研究决定，特成立基层工会劳动保护群众安全监督网络，具体事宜如下：

一、建立劳动保护群众安全监督员：

冯aa 杨aa 景aa 吴aa 刘aa 王aa 王aa 董aa 刘aa 张aa 范aa 杨aa 吕aa 张aa

二、群众安全监督员职责：

1、为了充分发挥安监员管理的作用，体现出安监员在工作中的责任、权利、义务，树立“安全第一，预防为主”的思想，及时发现和消除安全隐患，预防和杜绝安全事故的发生。

2、负责管理好工作面安全防护工作。施工前认真检查工作面是否安全，是否达到施工条件，如未达到及时找项目部管理员解决，严禁违章操作。

3、负责检查本班组工作面，电源线路，用电设备的运行状况，是否灵敏可靠，发现问题及时同项目部管理人员汇报。

4、负责本班组职工班前安全、生产教育，在施工过程中对不遵守安全操作规程的职工进行指正或处罚。

5、负责检查、布置、处理本班组工作面的文明施工事宜，真正做到活完料净脚下清，给下一个班组创造一个安全文明的工作面。

6、安全监督员上岗期间要认真负责，忠于职守，要求他人做到的，自己首先要做到，积极巡察，敢于管理，由于违章指挥或监督不到位造成的一切安全事故由负责人承担一切后果。

特此通知

主题词：群众监督网络管理登xxxxxx煤矿 2013年1月5日印发

网络用户账号密码安全问题调查

　　【摘要】文章针对网络安全中的基本问题――用户账号密码安全问题，进行了历时3年的网络身份认证安全性测试分析。测试内容包括中国互联网主要电子邮箱用户账号密码的注册与登录方式以及中国互联网主要商业网站用户账号密码的注册与登录方式。作为比较，还对国外三大电子邮箱Hotmail、Gmail和Yahoo！Mail的账号密码注册与登录认证方式进行了测试分析。研究表明，当前我国互联网的信息安全问题十分严重，用户明文账号密码传输与明文账号密码数据库存储方式是互联网用户账号密码大量泄密的主要技术原因。

　　【关键词】互联网;信息安全;账号密码;身份认证
　　Security Investigation on the Internet Users’ Accounts and Passwords
　　Xie Jin 1 Liu Fan-bao 2 Xie Tao 2
　　（1.The First High School of Changsha HunanChangsha 410005;
　　2. School of Computer Science， National University of Defense Technology HunanChangsha 410073）
　　【 Abstract 】 Being directed against the basic problem of information security， i.e. the security of the Internet users’ accounts and their corresponding passwords， an investigation on the security level of inland network identity authentication has been carried on for 3 years. The investigation focuses on testing the security mechanisms applied in the registration （create a new account） and sign-in procedures of some dominant inland Internet Email service providers， and testing the security mechanisms applied in the registration and sign-in procedures of some dominant inland Internet E-Business service providers. To make comparisons on the security mechanism with overseas Internet Email service providers， similar tests have also been carried out on the three dominant Internet Email service providers， namely Hotmail， Gmail and Yahoo！Mail. Research results show that， China’s current information security can be leveled as very severe， so that some emergent measures must be taken to hold up the network security as soon as possible， and the first and foremost remedy is not to send a user’s username＼password over the circuit “in the clear” any more.
　　【 Keywords 】 internet;information security; account password; identity authentication
　　1 引言
　　与历史上改变人类生活方式的重大技术革命一样，网络技术已经成为一把名副其实的双刃剑。从模拟信号到数字信号、从有线连接到无线连接、从静止通讯到移动通讯、从单计算机应用到多计算机互联、从人-人互联到人-物与物-物互联，网络技术发展到今天，已经无处不在、不可或缺。但由于因特网的基础协议（TCP/IP）未考虑信息安全因素，使得在网络信息技术飞速发展的今天，安全问题也异常突出。网络账号密码泄密、网络阻塞、网站瘫痪、邮件伪造、黑客入侵、网络欺诈、假冒网站等信息安全问题，已经严重威胁电子金融、电子商务、电子政务、网络媒体、网络社交等互联网络服务的安全与信任问题。
　　愈演愈烈的“密码危机”已经演变成为对网络技术的信任危机。近年来，互联网用户信息泄露与入侵事件层出不穷，事件日益严重。例如，索尼上亿用户信息泄露，韩国SK通讯公司七成韩国人资料遭泄露，日本爱普生公司泄露3500万用户信息，美国银行与美国花旗银行信用卡信息遭泄露，华盛顿邮报百万用户信息遭泄露…… 近年来，我国也发生了史上最为严重的用户信息泄露事件。2011年12月，CSDN上600万用户资料被公开，知名团购网站美团网的用户账号密码信息也被宣告泄露，天涯社区、开心网、7K7K、猫扑等多个社区和游戏网站的用户数据相继外泄，网上公开暴露的网络账号密码超过1亿个。2013年3月，著名云笔记服务提供商Evernote 5000万用户身份密码遭黑客泄漏。 2014年12月，中国铁路客户服务中心12306用户数据在互联网遭到大量泄漏，包括用户账号、明文密码、身份证以及邮箱等。如何确保互联网上个人、组织、服务和设备之间的虚拟服务具有与现实服务同等的可靠度与诚信度，已成为网络安全行业在信息安全理论、技术、工程与管理上迫在眉睫、义不容辞的责任与使命。　　身份认证是网络信息安全的基本保障。网络服务器通过身份认证与访问控制方式对合法注册用户进行授权与管理。用户首先通过注册（账号与密码）成为网络服务器的合法用户，只有通过身份认证的用户才能访问/使用（阅读、修改、下载等）网络服务器相应角色的资源。身份认证与访问控制是网络信息安全的基本技术和基本研究内容。网络信息安全涉及计算机操作系统、互联网络安全协议与密码算法的安全性，其中网络安全协议以密码算法为基础，采用网络协议的形式实现两个以上网络实体之间的远程身份认证、密钥协商以及确保消息的不可抵赖性。安全协议的安全性不仅取决于密码算法自身的安全性，同时也取决于协议形式的安全性。身份认证协议常用攻击方法包括网络***、重放攻击、中间人攻击、在线攻击、离线攻击等等，一个不安全的身份认证协议可以被黑客利用进行网络攻击。因此，身份认证协议的安全性是确保网络身份认证安全的技术基础。
　　2 电子邮件系统与商业网站账号安全
　　我们首先对每个电子邮箱的三种登录方式分别进行了用户账号密码的传输方式测试，包括POP3登录方式、IMAP登录方式以及Web登录方式。然后，对每个电子邮箱注册服务过程中用户注册信息的传输方式进行测试。
　　2.1 电子邮箱POP3客户端登录安全方式调查
　　我们在2011年8月的调查结果表明，采用POP3客户端登录方式的所有国内电子邮件服务提供方默认使用明文密码进行用户身份认证，而且其中46%的境内邮件服务提供方（28家中的13家）仅支持明文密码认证。我们在2012年8月的调查结果表明，采用POP3客户端登录方式的所有境内电子邮件服务提供方仍然默认使用明文密码进行用户身份认证，而且其中39%的境内邮件服务提供方（28家中的11家）仅支持明文密码认证。一年期间，中国移动的139mail新增HTTPS支持，Tommail新增Login支持。此点说明，已经有境内电子邮件服务提供方开始认识到用户登录身份认证安全的重要性。调查统计结果如图1（a）所示。
　　2.2 电子邮箱IMAP客户端登录安全方式调查
　　我们在2012年8月的调查结果表明，25%的境内邮件服务提供方（28家中的7家）不支持IMAP客户端登录。在支持IMAP客户端登录的境内电子邮件服务提供方中，所有提供方默认使用明文密码进行用户身份认证，其中33%的提供方（21家中的7家）仅支持明文密码认证。调查统计结果如图1（b）所示。
　　2.3 电子邮箱Web页面注册与登录安全方式调查
　　我们在2012年8月的调查结果表明，除亿邮（www.eyou.mail）关闭了注册功能外，所有境内邮件服务提供方在用户注册过程中均将注册信息（包括账号与密码）以明文方式传输至注册服务器。在已调查的28个境内知名邮件服务提供方中有19个（比例为67.9%）为收费邮件服务（每月收取服务费用从五元至上百元不等），有9个（比例为32.1%）提供免费电子邮件服务。调查结果表明，境内邮件服务商信息安全意识不强，对用户私密信息缺乏足够安全保护。令人震惊的是，19家收费电子邮件系统中竟有16家（比例为84.2%）默认使用明文密码进行登录认证，仅有3家提供非明文密码的登录认证方式，而且其中一家仅仅采用极其简单的线性掩码变换方式对登录密码进行保护，另外两家则采用安全的HTTPS方式对登录过程中的密码传输进行加密保护。由此可见，境内电子邮件系统安全性十分脆弱。在9家免费电子邮件系统中，仅有搜狐旗下的4家提供安全的HTTPS对登录过程的密码传输进行加密保护，另外三个使用用户明文密码进行登录认证，剩余两家使用单向挑战响应认证方式对用户账号密码进行有限保护。根据轻量级（非公开密钥密码系统）动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理，可以推定其中使用单向挑战响应认证方式的两家邮件服务商均采用明文密码数据库，因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图2所示。
　　2.4 国外电子邮箱系统安全性调查
　　作为安全性比较分析，我们对境外三大电子邮箱服务器Hotmail、Gmail和Yahoo！Mail的安全身份认证方式进行了同样的测试工作，结果发现这些邮箱的注册与登录过程全部以安全HTTPS协议方式对用户账号密码信息进行加密传输，基本上没有明文账号密码传输认证方式选项。
　　境内电子邮件服务提供方仅采用最低安全级别的明文密码传输方式进行身份认证，而境外电子邮件服务方一般提供安全级别很高的口令密码加密传输保护方式。因此，境内电子邮件系统极易受到境内外黑客或者情报部门攻击，并利用用户个人私密信息进行商业牟利或政治与军事渗透活动。重视账号和内容安全的国内电子邮件用户因而转投境外电子邮件提供方。由于我们无法控制国外邮件服务器，而境外情报部门却能轻易控制并利用境内的电子邮箱信息，致使我国在网络信息安全技术领域处于不对称的弱势地位。此外，我国现有网络服务器等网络核心设备一般采用国外主机与操作系统，由网络设备制造方预设的硬件后门和软件后门所导致的安全风险也不容小觑。
　　2.5 商业网站账号安全性调查
　　名目繁多的境内互联网商业网站为用户提供购物、旅游、聊天、交友等系列服务，极大便利了广大用户的生活。这些网站数据库中留下了用户的各种私密信息（爱好、消费内容和习惯、交往人群等），如果这些用户信息发生集中泄露事件，用户就毫无隐私可言。2011年12月期间我国系列网站账号数据库集中泄露事件表明，境内商业网站的账号与密码的安全性令人质疑。
　　2012年8月我们集中调查了30家知名商业网站的账号密码安全性。受调查的商业网站涵盖生活、招聘、交友、团购、购物、旅游和视频等方面，在一定程度上代表了当前服务性商业网站的主流应用。我们主要通过监控用户注册过程和用户登录过程，检查网站是否提供必要的安全技术对用户的账号密码进行保护。其中29家商业网站在用户提交注册信息（包含账号密码）的过程中均未提供任何安全保护，包括知名购物网站淘宝网，用户设定的账号和密码通过明文方式经过不安全的互联网传送至网站服务器。京东商城使用HTTPS对注册和登录过程进行保护。　　26家商业网站（比例86.7%）对用户的登录认证过程未提供任何安全保护，仅仅采用明文密码认证方式，包括知名团购网站拉手网和美团网以及三大招聘网站，如图3所示。仅有淘宝和京东商城提供了安全的HTTPS对用户登录认证过程的密码传输进行加密保护，另有三家网站（58同城、开心网和新浪微博）采用单向挑战响应认证方式对用户在登录认证过程中的密码传输进行了有限的保护。根据动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理，可以推定其中使用单向挑战响应认证方式的三家商业网站服务商采用明文密码数据库，因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图3所示。2014年8月，我们再一次对此30家知名商业网站的账号密码安全性进行复查，发现58同城网、CSDN论坛网、美团购物网、大公点评网以及去哪儿旅游网等几家商业或社交网站的注册与登录信息传输已经采用HTTPS安全协议进行了加密封装，其它网站仍然没有进行必要的安全升级。
　　3 调查结论与建议
　　3.1 调查结论
　　（1）境内互联网服务提供方用户的身份注册与登录认证过程普遍默认采用静态身份认证方式。虽然认证数据库用户的账号密码存储方式不明，但用户的账号密码却几乎全部采用明文密码传输方式。因此，容易遭受网络***泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
　　（2）绝大部分境内互联网服务提供方的用户注册信息（账号与密码）传输仅仅提供唯一的明文传输方式，近半数境内互联网服务提供方用户登录身份认证的账号密码传输仅仅提供唯一的明文传输方式。因此，非常容易遭受网络***泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
　　（3）境外互联网几大专业电子邮箱服务器Hotmail、Gmail和Yahoo！Mail均采用SSL＼TLS协议对口令实施加密传输动态认证，防止账号口令密码网络明文传输泄密风险;认证服务器数据库则采用账号口令散列值加密方式，预防数据库内部集中泄密风险。
　　（4）为了确保网络身份认证数据库安全与认证过程中认证信息传输的安全性，无论是国际互联网还是包括军网在内的各种内部专网，必须采用SSL＼TLS协议将网络身份认证过程加密封装，在口令密码散列值加密存储方式下实现非对称密码体制下的动态身份认证。
　　（5）密码算法、安全协议与网络工程以及操作系统各专业研究领域必须紧密合作，才能保证一项互联网应用工程中的信息安全。我国互联网普遍存在用户账号密码明文传输的不安全静态认证方式，根本原因在于互联网应用工程设计人员网络安全意识不强，对网络安全协议缺少研究，对常规网络攻击方法与行为缺乏了解，对潜在的网络攻击新理论与新技术更缺少关心。
　　根据轻量级动态身份认证的一致性原理可以推定，采用轻量级动态身份认证方式的认证数据库一般采用用户账号密码的明文存储方式。根据一致性原理同时可以推定，安全的认证数据库一般采用用户账号密码的单向散列值影子文件加密保护，而采用SSL/TLS安全协议将静态认证的明文密码传输转换成重量级动态认证的加密传输方式。这样，网络身份认证才能既可防止认证数据库的内部集中泄密风险，又能防止外部网络***的重放攻击。
　　3.2 应急建议
　　（1）尽快对我国互联网开展一次用户身份认证方式的普查工作，检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
　　（2）尽快对我国各行业内部专用互联网（解放军内部信息专网、政府办公专网、金融专网、邮电专网、铁路专网等等）开展一次用户身份认证方式的普查工作，检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
　　（3）采用SSL＼TLS协议对我国互联网用户身份认证过程实现加密封装，确保身份认证过程的动态性。
　　（4）加强网络信息安全意识，建立互联网攻防新技术专业实验室，为复杂信息化环境下的军事斗争加紧培养既精通密码算法与安全协议的分析方法又通晓操作系统与网络工程技术的复合型高级专门技术人才。
　　参考文献
　　[1] 谢涛，陈火旺，康立山. 幻方身份双向认证与密约传输一体化方法.中国知识产权局，发明专利号：331608，2007年6月.
　　[2] 谢涛. 一种用于身份真伪鉴别的幻方签名方法.中国知识产权局，发明专利号：695757，2010年11月.
　　[3] Freier A， Karlton P， Kocher P. The Secure Sockets Layer （SSL）Protocol Version 3.0. RFC 6101 （Historic）. August 2011. http：//www.ietf.org/rfc/rfc6101.txt.
　　[4] Dierks T， Rescorla E. The Transport Layer Security （TLS） Protocol Version 1.2. RFC 5246 （Proposed Standard）. August 2008. Updated by RFCs 5746， 5878， 6176， http：//www.ietf.org/rfc/rfc5246.txt.
　　[5] Rescorla E. HTTP Over TLS. RFC 2818 （Informational）. May 2000. Updated by RFC 5785， http：//www.ietf.org/rfc/rfc2818.txt.
　　[6] Fielding R， Gettys J， Mogul J， et al. Hypertext Transfer Protocol-HTTP/1.1. RFC 2616 （Draft Standard）. June 1999. Updated by RFCs 2817， 5785， 6266， http：//www.ietf.org/rfc/rfc2616.txt.
　　[7] Crispin M. INTERNET MESSAGE ACCESS PROTOCOL - VER- SION 4rev1. RFC 3501 （Proposed Standard）. March 2003. Updated by RFCs 4466， 4469， 4551， 5032， 5182， 5738， 6186， http：//www.ietf.org/rfc/rfc3501.txt.
　　
　　基金项目：
　　本文工作得到国家自然科学基金项目NSF.61070228与 NSF.61472476的连续资助以及国防科技大学XXX实验室的大力支持。
　　作者简介：
　　谢瑾（1997-），女，湖南长沙人，湖南省长沙市第一中学信息技术组成员;主要研究方向和关注领域：互联网应用创意、文学创作、数学游戏。
　　刘凡保（1982-），男，湖南永兴人，博士生;主要研究方向和关注领域：散列密码函数及其安全协议分析。
　　谢涛（1966-），男，湖南涟源人，博士后，教授;主要研究方向和关注领域：信息安全、密码学、智能计算、复杂系统与复杂性科学。

东莞地铁2号线车地无线网络安全实施方案

　　摘要：东莞地铁2号线采用车地无线网络提供地面与列车的通信，实时、无缝地完成车地间的图像和数据传递。由于无线局域网采用公共的电磁波作为载体来传输数据信号，容易被窃听或干扰信息，造成通信信息泄漏。因此，我们在应用无线局域网时，需要充分考虑其安全性。本文主要介绍无线局域网常用的安全技术，并结合东莞地铁2号线车地无线网络应用的实际环境，提出相应的安全实施方案。

　　关键词：无线局域网安全实施方案
　　中图分类号：U284 文献标识码：A 文章编号：1007-9416（2015）04-0188-01
　　1 WLAN常用安全技术
　　目前常用的无线局域网安全技术主要有以下几种：
　　（1）服务集标识符（SSID）。SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络。SSID通常由AP广播出来，出于安全考虑最好设置“禁止SSID广播”。
　　（2）物理地址过滤（MAC）。在网络底层的物理传输过程中，是通过物理地址来识别主机的，它是全球唯一的。因此可以在WLAN中手工维护一组允许访问的MAC地址列表，实现物理地址的访问过滤。但手工操作扩展能力教差，适合于小型网络规模。
　　（3）有线等效保密（WEP）。有线等效保密（WEP）协议是对在两台设备间无线传输的数据进行加密的方式。WEP加密机制需要WLAN设备端以及所有接入到该WLAN网络的客户端配置相同的密钥。它采用RC4序列密码算法，支持40bit和128bit密钥。但是受到RC4加密算法、过短的初始向量和静态配置密钥的限制，WEP加密存在比较大的安全隐患，因此逐步被WPA和WPA2所取代。
　　（4）Wi-Fi网络安全接入（WPA）。WPA是一种基于标准的可互操作的WLAN安全性增强解决方案，WPA超越WEP的主要改进就是使用了临时钥匙完整性协议TKIP。相比WEP算法，TKIP将WEP密钥的长度由40位加长到128位，初始化向量IV的长度由24位加长到48位；其次，TKIP支持密钥的动态协商，解决了WEP加密需要静态配置密钥的限制；此外，TKIP还支持信息完整性校验MIC认证功能，防止数据中途被篡改。
　　（5）WPA2。WPA2是WPA的升级版，采用了更为安全的算法。用CCMP取代了WPA的MIC，提供更强大的加密算法和信息完整性的运算，用高级加密标准AES取代了WPA的TKIP， AES是对称密钥加密中最流行的算法之一，提供比WEP/TKIP中RC4算法更高的加密性能，是目前IEEE802.11定义的最安全的数据报文保护机制。
　　（6）端口访问控制技术（802.1x）。该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为用户打开这个逻辑端口，否则不允许用户上网。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。
　　2 WLAN安全防范方案
　　通过对目前常用的无线局域网安全技术的分析，并结合东莞地铁2号线车地无线网络应用的实际环境，安全防范方案主要包含认证和加密这2个部分，具体如下：
　　2.1 认证
　　认证方式上，主要考虑在802.1x和WPA2-PSK这2种方式中选择。
　　由于802.1x有通用密钥维护，如果在网络切换时碰到重新认证和密钥维护时，可能会出现信息完整性出错，进而影响无线链路的正常运行且不能回转；
　　而且802.1x认证结构复杂，需要另配Radius服务器，认证环节较多，认证时间相对较长；
　　此外，Radius服务器是网络中的单故障点，一旦其宕机，全网可能会中断。要解决这一问题，则需要服务器冗余。
　　考虑到车载无线单元在系统中承担的是路由转发的功能，并不具有与NT登录网络相同的工作模式，因此如采用802.1x，一般情况下其用户名和密码也是固定的。而一般用户名和密码位数较短，不如WPA2-PSK能做到最大63字符。
　　因此，综合以上原因，在东莞地铁2号线车地无线网络中将采用WPA2-PSK和MAC地址认证。
　　2.2 加密
　　由于选择了WPA2-PSK的认证方式，因此加密采用高级加密标准AES。这也是目前IEEE802.11定义的最安全的数据报文保护机制。
　　3 WLAN安全实施方案
　　综上所述，东莞地铁2号线车地无线网络安全实施方案主要包含以下几点：
　　（1）设置复杂的SSID，隐藏并禁止WLAN向外广播SSID，避免无恶意用户的侵入。（2）设定MAC绑定认证，禁止未经绑定的MAC地址设备访问网络。（3）采取WPA2-PSK认证，确保用户接入的合法性，WPA2-PSK认证的通用密钥长度在8-63位之间选择，可设置复杂的密钥。（4）采取WPA2-AES对无线传输数据进行加密，由于AES采用的是动态的密钥管理机制，保证了无线传输很难被攻破。
　　参考文献
　　[1]姚琳，等.无线网络安全技术[M].北京：清华大学出版社，2013.
　　[2]（美）赫尔利，等著，杨青，译.无线网络安全[M].北京：科学出版社，2009.

账号泄露折射出的网络安全问题

账号泄露折射出的网络安全问题

1．账号“泄密门”事件的全程

2011年12月21日，随着全球最大的中文IT社区CSDN用户账号密码数据的泄露（640万用户的利益遭受到严重的损害（其中就包括我自己）），天涯社区、开心网、多玩网、百合网、新浪微博等十几家网站先后卷入其中，晒在网上的用户信息条数已过亿，成为中国互联网史上最大规模的用户信息泄露事件，而通过“泄密门”折射出的则是整个中国互联网企业自身安全的脆弱和对用户数据安全保护的轻视。

不论是此次“泄密门”事件的直接受害者还是事件的幸免者都表示“改密码改到手软”，原因是显而易见的，大部分人的习惯都是使用较少的密码：“密码设成一样就是想少点麻烦，现在却成了最*****烦。”有人就讽刺说：“大家一起来庆祝迎接第一届‘全民改密码节’”。随着中国互联网近年来快速发展，争夺用户成为每家网站迅速“长大”的重点。在风投资金的催化作用下，巨大的用户量是网站吸引更多风投的资本。因此，网站纷纷简化注册过程，以扩充注册用户数为第一要务。但与吸引用户时的“挥金如土”不同，很多网站在用户数据安全保护上的投入却是“锱铢必较”。如果不通过此次的泄露事件来加大各个公司和门户、社区网站对安全保护的重视和投入，我们难免会继续迎接第二届、第三届„„“全民改密码节”。

表1：本次账号泄露的基本时间：

2．用户数据所隐藏的巨大利益

在此，我们不经要问：怎么会有这么严重的泄露事件，黑客这么泄露出于什么目的？看似不起眼的用户信息实际上背后隐藏着庞大的利益链。互联网上每个人的数据与隐私最终都被层层盘剥、打包瓜分，黑客亦是这个产业链的打工者。

那么如何由点到面榨干一个用户的最终价值呢？一位匿名黑客从已被泄露的天涯账户开始，理想化的重现了这一过程：

1 在获取笔者的天涯账户后，黑客首先尝试了关联的网易邮箱，由于笔者的网易邮箱密码与天涯账户相同，对方毫不费力进入了邮箱。

2 进入邮箱后，对方获得笔者历年来注册开心网、智联招聘、中华英才网、前程无忧、快钱、百度、百付宝、校内、京东、新浪微博的确认邮件。

其中智联招聘、中华英才网、前程无忧、京东的注册确认邮件中直接显示会员名及密码。其余几个网站除开心网及快钱外均与天涯账户密码相同。但因开心网及快钱密码与京东密码相同，也被猜中，至此以上网站密码全被攻破。

3 通过前程无忧，获知笔者QQ号码，真实姓名，身份证信息，收入情况和生日等重要信息。

4 尝试破解QQ号码，尽管笔者的QQ密码与以上各网站密码完全不同，但黑客依据真实姓名全拼、生日、手机和之前各类密码的组合方式，迅速暴力破解成功。进入QQ邮箱，获得笔者在豆瓣、淘宝、网易战网的注册确认邮件，暴力破解淘宝及支付宝密码成功。至此，一个天涯账号的泄密变成了一个自然人从虚拟到现实全方位的泄密，据匿名黑客介绍，已经从笔者身上获得的信息可以反复销售数次：虚拟货币的账户卖给专人直接变现；网络游戏的账号卖给专人将虚拟物品变现；个人资料卖给各个推广公司、调研机构（根据性别、年龄、收入、地域可卖给不同行业）；私密关系账户可卖给骗子集团牟利（QQ、人人网或朋友网）；天涯及微博早年注册的ID可卖给网络水军公司„„

如下图所示：

图1：个人的数据与隐私的盘剥过程

3．目前网络账号的安全性

3.1此次事件中网络账号的安全性问题

在此次“泄露门”事件中，有相当一部分网站采用明文方式存储用户密码，分析预计约有2亿的用户密码为明文存储。其余90%以上的网站采用公开的MD5算法对用户密码进行存储，通过简单的彩虹表碰撞可以在数秒钟内破解加密存储的密码。

MD5的全称是Message-Digest Algorithm 5（信息-摘要算法），在90年代初由MIT Laboratory for Computer Science和RSA Data Security Inc的Ronald L. Rivest开发出来，经MD2、MD3和MD4发展而来。它的作用是让大容量信息在用数字签名软件签署私人密匙前被"压缩"成一种保密的格式（就是把一个任意长度的字节串变换成一定长的大整数）。不管是MD2、MD4还是MD5，它们都需要获得一个随机长度的信息并产生一个128位的信息摘要。虽然这些算法的结构或多或少有些相似，但MD2的设计与MD4和MD5完全不同，那是因为MD2是为8位机器做过设计优化的，而MD4和MD5却是面向32位的电脑。MD5的典型应用是对一段信息（Message）产生信息摘要（Message-Digest），以防止被篡改。比如，在

UNIX

下有很多软件在下载的时候都有一个文件名相同，文件扩展名为.md5的文件，在这个文件中通常只有一行文本，大致结构如：

MD5 (tanajiya.tar.gz) = 0ca175b9c0f726a831d895e269332461

这就是tanajiya.tar.gz文件的数字签名。MD5将整个文件当作一个大文本信息，通过其不可逆的字符串变换算法，产生了这个唯一的MD5信息摘要。如果在以后传播这个文件的过程中，无论文件的内容发生了任何形式的改变（包括人为修改或者下载过程中线路不稳定引起的传输错误等），只要你对这个文件重新计算MD5时就会发现信息摘要不相同，由此可以确定你得到的只是一个不正确的文件。如果再有一个第三方的认证机构，用MD5还可以防止文件作者的"抵赖"，这就是所谓的数字签名应用。

彩虹表就是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合，不一定是针对MD5算法的，各种算法的都有，有了它可以快速的破解各类密码。越是复杂的密码，需要的彩虹表就越大，现在主流的彩虹表都是100G以上。简单的说就是针对特定算法，尤其是不对称算法进行有效破解的一种方法（如 md5算法）。他的过程就是建立一个源数据与加密数据之间对应的hash表。这样在获得加密数据后通过比较，查询或者一定的运算，可以快速定位源数据。理论上，如果不考虑查询所需要的时间的话，hash 表越大，破解也就越有效越迅速。当然对于其它破解方法（如碰撞）此方法比较笨拙，对于可变长密钥等现代高级算法，效果会大打折扣。但是无论怎样，彩虹表（hash）永远是在数据加解密中是无奈但十分有效的方法。

3.2目前网络账号的安全机制

3.2.1“账号+密码”登录形式

用户具备网络账号和密码，在联网的电脑上通过输入正确的账号、密码登录网站系统，进行网上交易。这种完成交易的形式可以很方便的在网页浏览器中实现，但缺点也很明显。黑客可以轻易获取到用户的账号密码。目前，由于这种登录方式的便捷特点，仍然拥有大量网银用户，它也是木马病毒攻击的主要目标。

3.2.2动态密码

动态密码，即密码通过动态的方式生成，“一次一密”。为了提高安全性，如发给客户一张印有一组数字或字母的卡片，使用时按照一定的规则输入其中一组，下次使用再输入另一组。此外，让客户购买专门传发密码的电子器件，每按一次按钮就可以生成一个密码，或者将一次性密码通过手机短信的方式发给客户等方式，在应用中也比较常见。“动态密码”使用方便，但它对于使用频繁的用户，其安全性并不理想。一旦用户输入“动态密码”并通过网络传送，位于用户与网络服务器通信通道间的黑客便可通过键盘***、内存读取等方式将其截获，使用户无法完成登录，并造成网络连接断开、连接超时等假象；另一方面黑客利用截获的“动态密码”假冒用户登录到网络，肆意作案，使用户蒙受损失。此外，通过“动态密码”登录的用户没有电子签名，这样也就没有具有法律效力的认证材料，一旦出现纠纷，用户的合法权利将不受保护，同时也给银行带来一定的风险。这种技术比“账号+密码”的安全性要高，但在有些老练的木马面前，这类“一次一密”，即使采用了虚拟键盘，也会失去作用。

3.2.3“证书文件+密码”登录形式

数字证书是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。用户申请并下载数字证书，数字证书可以保存成磁盘文件，用户通过提供证书和密码来登录系统。在交易过程中，用户向网络服务器提交的数据都经过证书加密。与“账号+密码”登录形式相比，数字证书文件的安全性大大增强[6]，不足之处在于易用性下降，通常需要安装专门的客户端软件，证书文件携带不便。但由于数字证书可以保存为文件，木马仍然有机会复制证书、记录密码，造成用户账号被盗。

3.2.4“USB Key+密码”登录形式

它是一种USB 接口形式的硬件设备，其内置微型智能卡处理器，采用1024 位非对称密钥算法对网上数据进行加密、解密和数字签名，确保网上交易的保密性、真实性、完整性和不可否认性。由于其不可观察、不可复制的特点使得木马无法仿造USB Key，目前还没有发现能够复制USB Key 的网络木马。所以它与证书文件相比，安全性更进一步。这种登录形式的不足仍在于易用性方面，而且成本较高。

3.2.5双因素用户认证

双因素用户认证系统能够代替传统的密码安全机制，双因素认证技术通过集成在一个认证令牌上密码系统来实现。该令牌非常小巧，可以串在钥匙扣上，放在口袋中，便于携带。在令牌上有一个小窗口，令牌每60 秒就会生成一个6 位数无穷尽而且无重复的一次性密码，显示在小窗口上，用户非常容易识别，可以直接避免黑客的入侵。双因素认证的方式将传统的静态密码变为动态口令，而这个动态的口令就连用户自己都不知道它将会是什么。用户只需要简单地输入个人识别密码，以及令牌产生的一次性访问代码，就可以完成认证过程，无论多么高明的黑客都无法在如此短暂的时间内猜测出如此复杂的口令。“证书文件+密码”登录形式和“USB Key+密码”登录形式可以归为双因素用户认证安全机制。

4.面对威胁的防范方法

4.1强化系统，防止黑客入侵

强化系统：及时升级操作系统或打补丁以修补系统漏洞;减少电脑治理员人数;设置安全选项——不显示上次用户名;不要打开来路不明的电子邮件及软件程序，不要回生疏人的邮件;电脑要安装使用必要的防黑软件、防火墙和杀毒软件，并保持定期更新，及时查杀电脑病毒和木马，阻止黑客侵入电脑。一般来说，采用一些功能强大的反黑软件和软件防火墙来保证我们的系统安全。

强化口令：正确设置治理员密码和ADSL上网密码;数字与字母混合编排，同时包含多种类型的字符，比如大写字母、小写字母、数字、标点符号;密码应该不少于8个字符;禁用ADSL拨号软件记住密码的功能，即不勾选“记住密码”项。

4.2限制开放端口，防止非法入侵

通过限制端口来防止非法入侵，关闭相应开放端口，比如3389端口。简单说来，非法入侵的主要方式可粗略分为两种：①扫描端口，通过已知的系统Bug攻入主机。②种植木马，利用木马开辟的后门进入主机。假如能限制这两种非法入侵方式，就能有效防止利用黑客工具的非法入侵。而且这两种非法入侵方式有一个共同点，就是通过端口进入主机。要想防止被黑就要关闭这些危险端口，对于个人用户来说，你可以限制所有的端口，因为你根本不必让你的机器对外提供任何服务;而对于对外提供网络服务的服务器，我们需把必须利用的端口开放，其他的端口则全部关闭。139端口是NetBIOSSession端口，用于文件和打印共享，值得注重的是运行samba的UNIX机器也开放了139端口，功能一样。这个端口是黑客比较喜欢利用的端口之一。关闭139端口的方法是：在“网络和拨号连接”窗口的“本地连接”中选取“Internet协议”属性，进入“高级TCP/IP设置”选项的“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打钩就关闭了139端口。对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启时服务也重新启动，端口也随之开放。3389端口，网络治理员可以通过它远程对安装有WindowsServer或WindowsXP的电脑进行治理和维护，黑客或非法攻击者也能较轻易地获得服务器中的超级治理员账号。在WindowsXP中关闭的方法是：在“我的电脑”上点右键选属性→远程，将里面的远程协助和远程桌面两个选项框里的钩去掉。在Win2000server中关闭的方法是：在“开始→程序→治理工具→服务”里找到TerminalServices服务项，选中属性选项，将启动类型改成手动，并停止该服务。4899端口其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。4899不是系统自带的服务，需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。所以只要你的电脑做了基本的安全配置，黑客很难通过4899来控制你。对于采用Windows2000或者WindowsXP的用户来说，不需要安装任何其他软件，可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置如下：点击“开始→控制面板→网络连接→本地连接→右键→属性”，然后选择“Internet”→“属性”，在“Internet属性”对话框中选择“高级”选项卡。在“高级TCP/IP设置”对话框中点选“选项”→“TCP/IP筛选”→“属性”，在这里分为3项，分别是TCP、UDP、IP协议。假设我的系统只想开放21、80、25、110这4个端口，只要在“TCP端口”上勾选“只答应”，再点击“添加”依次把这些端口添加到里面，然后确定。注重：修改完以后系统会提示重新启动，这样设置才会生效。这样，系统重新启动以后只会开放刚才你所选的那些端口，其它端口都不会开放。

4.3关闭默认共享，禁止空连接

当前家用电脑所使用的操作系统多数为WinXP和Win2000pro，这两个系统提供的默认共享是黑客最喜欢利用的入侵途径，宽带用户可以运行CMD输入netshare来查看本机的共享，假如看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。

关闭默认共享可以使用“netshare默认共享名/delete”命令，但是这种方法关闭共享后下次开机的时候又出现了，所以假如宽带用户不在局域网内使用共享服务，干脆将“本地连接”属性中的“网络的文件和打印机共享”卸载掉，默认共享就可以彻底被关闭了。禁止建立空连接的方法是：首先运行regedit，在注册表中找到如下主键“HKEY_LOCAL_MACHINE“SYSTEM“CurrentControlSet“Control“LSA”把RestrictAnonymous

的键值由0改为1。

4.4使用入侵检测手段，及时防范入侵

最为常见的木马通常都是基于TCP/UDP协议进行client端与server端之间的通讯的，既然利用到这两个协议，就不可避免要在server端打开***端口来等待连接。我们可以利用查看本机开放端口的方法来检查自己是否被种植了木马或其它黑客程序。

我们使用Windows本身自带的netstat命令和在Windows2000下的命令行工具fport，可以较为有效地看到计算机开放的端口，以及通过开放端口运行的一些可疑程序。及时关闭这些端口，删除这些可疑程序，就能较为有效地保证计算机系统的安全。4.结束语宽带上网安全问题的产生，既有宽带运营商、网络服务商、内容提供商在网络安全策略设计和技术实施方面的原因，也有宽带用户自身安全意识、安全措施不到位的原因，还有我国网络立法滞后、出现问题无法可依的原因。解决宽带上网安全问题，需要多方面共同努力，宽带用户应提高网络安全意识，并采取强化系统、限制开放端口、关闭共享等相应的技术防范措施，以防止黑客侵入计算机，减少或避免因账号被盗用而产生的经济损失。

5.总结

如今账号安全性问题无处不在，邮箱账号、网络银行、系统管理权限等等。自网络账号出现至今，其安全性和可靠性从未曾被忽视。查杀木马软件多字符密码即上文提到的各种安全机制等都是为了提高账号安全性能。由于目前我国有关网络方面的法律、法规还不健全，使很多“黑客”们有可乘之机，如何才能保护账号的安全呢？这既需要开发商从技术上解决，放眼于密码结构，从根本上改进账号的安全性，以保证用户的利益；同时也需要用户本身提高安全意识，主动地采取一些必要保护措施，来保护自己账号密码的安全。

参考资料：

【1】腾讯科技资讯，《黑客教父详解账号泄露全过程：1亿用户已泄露》

【2】京报网，《网络密码达泄露思考：谁在让互联网安***奔》

【3】广州日报，《信息泄露反应网站用户数据无标准无监管问题》

【4】腾讯科技资讯，《还原帐号泄露：隐私被N次售卖劫财是冰山一角》

【5】wiki百科，MD5算法、彩虹表碰撞

【6】《网络与信息》2006年第12期，《宽带账号安全威胁及防范方法》；

【7】杨小萍，《网络账号安全性探析》

安全地使用网络

《安全地使用网络》教学案例设计

一、案例背景信息

1．章节：11册第一单元《因特网应用》，第6课《安全地使用网络》

2．年级：八年级

3．所用教材版本：人民出版社

4．学时数：1个学时

非上机时间15分钟，上机操作时间20分钟其他活动时间10分钟

二、教学设计

（一）教学目标

1）掌握计算机病毒的概念及特点。

2）了解计算机病毒的传播途径，计算机病毒的防治措施：

A．学会根据计算机的运行情况及计算机表现出来的症状判断计算机是否带毒；

B．能运用多种杀毒和查毒软件对计算机进行杀毒和查毒。

3）掌握密码的安全性和加强IE的安全设置。

4）培养学生良好的使用计算机的道德规范。

（二）教学重点与难点

教学重点：树立网络安全意识，掌握在网络中基本的自我保护方法。教学难点：如何创设情境，引导学生自主学习。

（三）教学对象分析

初二年级学生已经懂得如何利用网络获取、保存和交流信息，但信息安全意识薄弱。因此要指导学生树立网络安全意识，掌握基本的网络安全措施。

（四）教学策略设计：

1．教学方法：启发式与任务驱动相结合的教学

2、课前准备：收集教材案例；案例3的病毒样本；让学生机感染落雪等病毒；收集真假中国银行的网页图片；收集展现黑客的危害及违法性资料；收集知识扩展部分的相关材料。

三、教学过程

（一）网络欺骗

导入：展示真假中国银行的网页图片，让学生判断两个网页是否一样。学生观察并判断图片。

师：有的学生认为一样，有的学生认为不一样，老师先不给出正确答案，讲述由中国银行网页引发的真实故事„„

学生观看图片，学会辨别信息的真假。

教师介绍“超级网络卫士”的比赛规则：以小组为单位闯关，积分最高小组的学生为本节课的“超级网络卫士”学生。可使用的求助方式：①求助教材；②求助教学网站；③求助同学。

“超级网络卫士”第一关---自助自救

问题：当你遇难到案例1中小吉的情况你该怎样做？你能想到哪些办法？规则：各小组轮流介绍方法，最优得20分，依次递减。

小组讨论、闯关。

提示：参考教材。

（设计意图：创设情境，吸引学生注意力，通过“超级网络卫士”活动，调动学生学习的主动性、积极性。）

（二）网络病毒、网络黑客与恶意网页

“超级网络卫士”第二关—---火眼金睛

任务1：谈谈你所知道的由病毒所造成的对计算机安全的损坏事例。

规则：各小组团轮流介绍由病毒所造成的对计算机安全的损坏事例，每说一个事例加5分。

学生各抒己见，说他们所知道的事例。

小结：计算机病毒的概念、特征。

师：除了计算机病毒外，网络中还有哪些安全隐患？

各小组分工收集和整理资料（网上查阅）。

小结：根据学生回答的内容，将计算机安全隐患归纳为三类---黑客、恶意网页和病毒。任务2：各小组以某一方面的网络安全隐患为主题，收集、整理相关案例，5分钟后展示成果。

规则：各小组团轮流展示网络安全隐患，每说一个案例加5分。

各小组收集、整理资料并展示成果。

任务3：请你为这台电脑把把脉，诊断病因：

1．双击不能打开的所有文件、文件夹。

2．计算机开机后60秒倒计时重新启动。

3．老师在网上订购了一本书，按照上面的提示，输入了银行卡的账号和密码，等到第二天去查的时候，卡里的钱不翼而飞。

4．鼠标乱动，光驱无故自动弹出。

规则：抢先答对1小题的小组得5分。

各小组根据教师提供的病症，为电脑把脉，实践操作预防病毒的方法。

总结：抢答结束后，教师讲解计算机病毒的分类、特征及欢乐时光病毒、蠕虫病毒、木马病毒的特征及危害。

（设计意图：利用任务驱动，自主学习、探究学习，掌握计算机病毒的特征。） “超级网络卫士”第三关----药到病除

任务1：网络上搜索目前常用的杀毒软件，并下载试用版后，安装程序。

规则：最先完成的小组加30分，依次按5分递减，强调小组内每个成员都要完成任务。任务2：用杀毒软件检查自己计算机C盘中的病毒。

规则：最先完成的小组加30分，依次按5分递减。强调小组内每个成员都要完成任务。任务3：根据你的真实情况，抢答下列问题，看你的网络安全意识是几星。规则：每答对1题增加1星，根据所获星数给小组加0～30分。

选择题：

1．你的邮箱中有一份陌生人发来的生日礼物邮件，你会怎么做？

A．打开看一看

B．删除该邮件

2．设置密码时，安全级别最高的是哪种方法。

A．生日

B．字母、符号、数字混用，多用特殊字符

C．英语单词

D．电话号码

3．你收到一封来自银行的邮件，声称你的账户在某商场大额消费，请你登录它提供的银行网站，输入账号和密码，查看你的账户。你会怎么做？

A．登录该网站查询

B．不登录该网站查询

4．发现病毒后，比较彻底的清除方式是_____。

A．用查毒软件处理

B．用杀毒软件处理

C．删除磁盘文件

D．格式化磁盘

5．在网吧等公共场所上网后，你会怎样做？

A．上完网后转身就走

B．关机后再走

C．关闭所有浏览的窗口再走

D．消除系统中保留的个人信息再走

根据学生回答问题情况，确定自己的网络安全意识星级。

根据小组得分，教师宣布本节课的“超级网络卫士”。

（三）拓展延伸

评文明网民：请同学们真实记录自己在寒假上网期间的文明或不文明行为，并拟订一个“文明网民”标兵评定标准。下学期我们将评选出“文明网民”标兵。

学生想成为“文明网民”标兵，会首先主动去了解哪些网络行为是文明的，哪些是不文明的。

（设计意图：“文明网民”标兵，动员学生不仅了解网络文明行为，而且会落实到实际行动中去。）

四、教学反思

本节课，我选择地处城区、坝区、山区三所学校进行比较教学，面对不同层次的学生，教学效果截然不同，城区学生接受较快，教学效果较好，学生学习兴趣浓厚，完成教学内容后还有剩余时间，下课铃响后还意犹未尽。而山区学校则相反，教学内容完不成，有的学生如同听天书。我感到《信息技术》课的教学方法，要根据学生的实际情况进行教学，新课程的理念要贯串教学始终，但传统的教学方法，仍不能放弃，二者进行有机结合，才能完成好教学任务和培养学生的信息素养。

三节课后我深深感到《信息技术》课教师不仅对教材内容要熟，而其他知识也要丰富，我们不仅承担教学任务，更承担着为山区学生打开一扇通往世界的大门，我们要使用国家在西部地区投入的远程教育设备来改变该地区的贫穷落后状况，可以说我们身上承担着巨大的责任。

如何做到网络安全网络安全班会网络安全的论文网络安全法网络安全在我身边网络安全周

相关文章推荐

上一篇：网络安全口号标语下一篇：植树节活动发言稿