唐偉

摘要：目前在單位的綜合辦公系統(tǒng)中，異地辦公的使用場景中，無短信登陸驗證功能.為了解決存在的安全隱患，通過對短信貓與綜合辦公系統(tǒng)的二次開發(fā)與集成，增加短信身份驗證功能，加強了系統(tǒng)的安全性。

關(guān)鍵詞：綜合辦公；短信身份驗證；短信貓

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）21-0083-02

1 背景及目的

為了方便在外人員使用單位的綜合辦公系統(tǒng)，單位購買了深信服的VPN設(shè)備，實現(xiàn)了異地辦公。但是用戶在登陸深信服VPN設(shè)備的時候，只需要輸入用戶名和密碼即可。在非內(nèi)網(wǎng)環(huán)境下，用手機等移動端登陸企業(yè)OA系統(tǒng)的時候，存在一定的安全隱患的。如果用戶密碼被盜，綜合辦公系統(tǒng)中存在大量的市場經(jīng)營信息和財務(wù)信息就有外泄的可能。很多企業(yè)通過綁定手機，發(fā)送短信驗證碼的方式來做身份認證。我們單位也計劃通過在登陸OA前增加短信認證的方式，加強OA安全。

目前在PC上實現(xiàn)手機短信收發(fā)主要有三種。

一、直接接入運營商短信網(wǎng)關(guān)。這種方法的實現(xiàn)不需要附加新的硬件，但是需要到運營商申請網(wǎng)關(guān)，適合于大型通信開發(fā)。如果向移動、電信等公司申請，使用起來比較方便，但是費用較高。

二、通過一些網(wǎng)絡(luò)公司提供的短信發(fā)送功能來實現(xiàn)，如騰訊、網(wǎng)易等都提供這方面的服務(wù)。這種方式實現(xiàn)起來比較簡單，所需資源較少，但是缺點是對網(wǎng)絡(luò)的依賴性太強，不利于集成到企業(yè)的綜合辦公系統(tǒng)中。

三、用短信貓（GSM MODEN）技術(shù)實現(xiàn)PC對手機收發(fā)信息。這是目前比較適合小項目開發(fā)的一種方法，只需要對AT指令和串口編程的知識運用熟練就可以實現(xiàn)，但是需要硬件短信貓（GSM MODEN）的支持。

我們單位的情況適合第三種情況。單位使用的綜合辦公系統(tǒng)的大部分代碼和數(shù)據(jù)庫掌握在單位手中。利用綜合辦公系統(tǒng)已經(jīng)存在了人員的基本信息，增加對人員的手機號碼管理后，結(jié)合短信貓的二次開發(fā)就可以實現(xiàn)短信身份認證。

2 開發(fā)環(huán)境

硬件：深圳某公司的工業(yè)用短信貓。

軟件：操作系統(tǒng)Windows7 64位，集成開發(fā)工具VS 2008，開發(fā)語言 C#。

3 設(shè)計思路

整個系統(tǒng)流程圖見上圖。用戶打開OA系統(tǒng)的時候，首先彈出登陸驗證頁面CheckWeb。用戶輸入用戶名的姓名全拼后，點擊獲取手機驗證碼，此時會去讀取數(shù)據(jù)中用戶名匹配的手機號碼，如果用戶名或手機號碼為空，給出錯誤提示信息，如果用戶名在數(shù)據(jù)庫中存在，并且讀取到了匹配的手機號碼，那么會對應(yīng)當(dāng)前頁面，生成僅對當(dāng)前窗口有效的短信驗證碼，發(fā)送給指定的手機號，同時提示用戶“短信驗證碼發(fā)送成功，請注意查收”。用戶收到短信驗證碼，輸入驗證碼后，系統(tǒng)判斷該驗證碼是否與頁面Session中存儲的是否一致，如果相等，則進入到綜合辦公登陸頁面。

為了實現(xiàn)短信驗證功能，系統(tǒng)按以下步驟完成。

1）用戶數(shù)據(jù)的收集整理

短信驗證系統(tǒng)需要讀取用戶信息和手機信息。我們綜合辦公系統(tǒng)中Admin數(shù)據(jù)庫的SysUser表中已經(jīng)存有用戶姓名的拼音信息，缺少手機信息。所以增加一個phone字段，用于存儲需要使用VPN用戶的手機信息。然后通過人事部門獲取對應(yīng)的excel表格，導(dǎo)入到sql server數(shù)據(jù)庫中。

2）短信發(fā)射硬件設(shè)備

綜合考慮后，選擇了深圳某公司的工業(yè)用短信貓。

①在本機安裝短信貓驅(qū)動程序PL2303_Prolific_DriverInstaller_v1_9_0，安裝成功后，系統(tǒng)會提示安裝成功信息。注意串口編號為COM4。

②運行執(zhí)行注冊組件.bat，將OCX中的文件COPY到SYSTEM32下。

③將加密組件HTCOM.DLL復(fù)制到操作系統(tǒng)的系統(tǒng)目錄中。

④測試短信貓硬件及驅(qū)動

3）建立自己的短信驗證碼程序

新建Web工程，命名為CheckWeb 。前臺頁面如下圖所示。用戶輸入姓名全拼，點擊獲取驗證碼。這時，會去查詢服務(wù)器數(shù)據(jù)庫，如果姓名存在，則向該員工關(guān)聯(lián)的手機號碼發(fā)送短信驗證碼。否則，會提示“該用戶不存在，請聯(lián)系管理員！”，如果關(guān)聯(lián)的手機號碼為空 ，會提示“該用戶的手機號碼為空，請聯(lián)系管理員！”。

當(dāng)用戶輸入正確的用戶名和手機驗證碼后，程序才跳轉(zhuǎn)到OA系統(tǒng)登錄頁面。

4 結(jié)束語

通過對短信貓和綜合辦公系統(tǒng)的二次開發(fā)，完成了短信身份認證功能，加強了綜合辦公系統(tǒng)的安全性，通過試用，達到了預(yù)期的目的。同時整個系統(tǒng)的開發(fā)都是自己完成，為以后的維護和改進提供了方便。

參考文獻：

[1] 基于短信貓的短信發(fā)送平臺的設(shè)計與實現(xiàn)[J].電腦知識與技術(shù)，2013（31）.

[2] 針對短信貓接收短信的安全風(fēng)險分析[J].計算機安全，2013（6）.

[3] 可復(fù)用短信平臺在數(shù)字化校園中的應(yīng)用[J].數(shù)字通信，2011（2）.

[4] 簡議短信平臺在HIS系統(tǒng)中的開發(fā)與應(yīng)用[J].軟件產(chǎn)業(yè)與工程，2015（6）.

[5] 基于GSM MODEM的廣播直播短信平臺的設(shè)計應(yīng)用[J].中國傳媒科技，2015（3）.

摘要：該文闡述了療養(yǎng)院網(wǎng)絡(luò)安全的概念以及在完全管理中出現(xiàn)問題的原因，并就網(wǎng)絡(luò)安全的分類及技術(shù)特點及影響網(wǎng)絡(luò)安全的因素，提出了相應(yīng)的解決方法，讓療養(yǎng)院網(wǎng)絡(luò)安全、可靠、高效的運行，增強網(wǎng)絡(luò)的保密性。

關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵監(jiān)測；防火墻；包過濾

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）21-0061-02

隨著計算機技術(shù)和網(wǎng)絡(luò)和不斷發(fā)展，療養(yǎng)院信息化的也呈跨越式的發(fā)展。所有療養(yǎng)人員的信息都已經(jīng)通過網(wǎng)絡(luò)數(shù)字化存入了網(wǎng)絡(luò)數(shù)據(jù)庫，使療養(yǎng)人員的健康管理，療案跟蹤以及醫(yī)護人員的定點服務(wù)能夠快速、準確。所以療養(yǎng)院網(wǎng)絡(luò)的安全，將直接關(guān)系到療養(yǎng)工作的正常進行。網(wǎng)絡(luò)上的漏洞、病毒等如果不進行有效的技術(shù)控制防護殺毒，將會帶來巨大的災(zāi)難和損失。那么，對于網(wǎng)絡(luò)安全管理來說，管理員應(yīng)該從哪些方面，如何才能做到安全管理呢，我們一步一步進行分析。

1 網(wǎng)絡(luò)安全技術(shù)分析

網(wǎng)絡(luò)安全技術(shù)一般都由多種安全技術(shù)組成，如網(wǎng)絡(luò)防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、網(wǎng)絡(luò)安全漏洞掃描技術(shù)。

1.1 網(wǎng)絡(luò)防火墻技術(shù)

網(wǎng)絡(luò)防火墻又分為硬件防火墻和軟件防火墻，他們的功能基本相同，都是在療養(yǎng)院內(nèi)部可信任網(wǎng)絡(luò)和外部不可信任的公共網(wǎng)絡(luò)之架起一座橋梁，然后根據(jù)內(nèi)部網(wǎng)絡(luò)的要求，允許授權(quán)的包通過，同時防止外部未經(jīng)授權(quán)的用戶非法訪問內(nèi)部網(wǎng)絡(luò)，也可以完全阻止外部用戶的訪問，進而保護內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵。不管是硬件防火墻還是軟件防火墻都能夠根據(jù)一定的安全規(guī)則來控制內(nèi)外網(wǎng)之間的信息流，并且保護自身不受非法用戶的攻擊。防火墻技術(shù)從應(yīng)用上來說一般分為“包過濾”型（Packet Filtering）、“應(yīng)用代理”型（Application Proxy），網(wǎng)絡(luò)地址轉(zhuǎn)換型（Network Address Translation）三種。

“包過濾”型：它是依據(jù)網(wǎng)絡(luò)中的數(shù)據(jù)包傳輸，根據(jù)防火墻制作的過濾包的規(guī)則來檢測攻擊行為。因為網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)都是以“包”為單位進行傳輸?shù)?，每一個數(shù)據(jù)包都包含特定的信息，像數(shù)據(jù)源地址、目的地址、端口號等等。包過濾會檢查這些是否來自可信任的安全站點，如果發(fā)現(xiàn)數(shù)據(jù)包不正常或來自不安全的地址，就會拒絕這些數(shù)據(jù)包通過。管理員可根據(jù)自身網(wǎng)絡(luò)的需要來制定相應(yīng)的包過濾規(guī)則。包過濾也有一定的缺點，因為它是工作在網(wǎng)絡(luò)層，通過數(shù)據(jù)包的信息來判斷，如果有黑客偽造地址和端口等方法就能很容易通過包過濾型的防火墻。

“應(yīng)用代理”型：應(yīng)用代理型的防火墻其實就是使用代理服務(wù)器作為防火墻用，代理服務(wù)器處于客戶機和服務(wù)器之間，內(nèi)部網(wǎng)絡(luò)用戶可以通過代理服務(wù)使用外部網(wǎng)絡(luò)，而外部網(wǎng)絡(luò)用戶無法訪問內(nèi)部網(wǎng)絡(luò)，保護了內(nèi)部網(wǎng)絡(luò)上的數(shù)據(jù)。由于內(nèi)外之間沒有直接連接，都是通過代理服務(wù)器進行，所以安全性較高。代理服務(wù)器還可以同時提供安全審計和日志服務(wù)。代理服務(wù)雖然安全性較高，對病毒和木馬入侵十分有效，但是因為所有客戶機的訪問都要由代理服務(wù)器進行連接，加重了代理服務(wù)器的負擔(dān)，而且速度較慢。

“網(wǎng)絡(luò)地址轉(zhuǎn)換”型：它是把內(nèi)部網(wǎng)絡(luò)用戶的內(nèi)部IP臨時轉(zhuǎn)換成具有外部網(wǎng)絡(luò)的IP地址的計算機來訪問外網(wǎng)。外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)絡(luò)的機器在訪問外網(wǎng)果，都由NAT服務(wù)器來產(chǎn)生一個映射地址，然后在映射出一個偽裝的端口通過網(wǎng)卡訪問，這樣就隱藏了實際的內(nèi)部網(wǎng)絡(luò)地址。“網(wǎng)絡(luò)地址轉(zhuǎn)換”型的優(yōu)點是可以使內(nèi)部所有的機器共享幾個外網(wǎng)的IP訪問外網(wǎng)，對于內(nèi)網(wǎng)安全性較高，但是同樣網(wǎng)絡(luò)訪問速度慢。

1.2 網(wǎng)絡(luò)入侵檢測技術(shù)

入侵檢測技術(shù)能夠監(jiān)視計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的各種事件并形成日志文件，并且進行完整檢測分析，從中找到不安全的因素或系統(tǒng)中存在的漏洞。一般把入侵檢測的軟件與硬件的組合稱為入侵檢測系統(tǒng)。它是一種主動型的安全防護系統(tǒng)，可以對內(nèi)部攻擊、誤操作和外部攻擊做實時防護，在計算機網(wǎng)絡(luò)和系統(tǒng)受到危害之前提前報警、攔截和響應(yīng)。入侵檢測系統(tǒng)可分為兩類。基于主機的入侵檢測系統(tǒng)用于保護關(guān)鍵應(yīng)用的服務(wù)器，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等。特點是：精確，可以精確地判斷入侵事件；高級，可以判斷應(yīng)用層的入侵事件；對入侵時間立即進行反應(yīng)；針對不同操作系統(tǒng)特點；占用主機寶貴資源。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。特點是：能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動；實時網(wǎng)絡(luò)監(jiān)視；監(jiān)視粒度更細致；精確度較差；防入侵欺騙的能力較差；交換網(wǎng)絡(luò)環(huán)境難于配置。

1.3 網(wǎng)絡(luò)防病毒技術(shù)

計算機病毒是危害網(wǎng)絡(luò)信息系統(tǒng)安全的重要問題之一，它可以通過光盤、優(yōu)盤、移動硬盤、網(wǎng)上下載、電子郵件等方式進行傳播，一旦網(wǎng)絡(luò)中的某一臺主機受到病毒感染，病毒程序就會很快迅速傳播，一般的蠕蟲病毒可能拖慢計算機速度，惡意的病毒則可能使用信息泄漏、文件丟失甚至造成計算機崩潰，最嚴重的病毒甚至可以造成計算機硬件燒毀，如CIH病毒等。網(wǎng)絡(luò)防病毒一般是在全網(wǎng)安裝防病毒軟件客戶端，由一臺防病毒服務(wù)器來運行服務(wù)端軟件。服務(wù)端和客戶軟件都具有檢查和清除病毒的功能，服務(wù)端還可以設(shè)置所有在線機器的定時殺毒以及網(wǎng)全網(wǎng)殺毒。當(dāng)服務(wù)端的殺毒程序升級更新后所有的客戶端都可以自動更新，增加內(nèi)部網(wǎng)絡(luò)的防病毒能力。

1.4 網(wǎng)絡(luò)安全漏洞掃描技術(shù)

網(wǎng)絡(luò)安全漏洞掃描技術(shù)是網(wǎng)絡(luò)安全技術(shù)中不可或缺的一部分，它能夠增強內(nèi)部網(wǎng)絡(luò)的安全性，能夠掃描分析系統(tǒng)中存在的安全問題，并針對掃描到的安全漏洞提供詳細的安全解決方案，使系統(tǒng)管理員及時打好系統(tǒng)安全補丁，避免因存在的漏洞而讓黑客有可乘之機，造成數(shù)據(jù)丟失?，F(xiàn)在的漏洞掃描工具分為兩類，一類是基于服務(wù)的，一類是基于網(wǎng)絡(luò)的?；诜?wù)器的漏洞掃描工具可以對服務(wù)器進行全方位的掃描，如弱口令、共享文件、WWW服務(wù)、系統(tǒng)漏洞等，掃描完成后會給出詳盡的分析說明?；诰W(wǎng)絡(luò)的安全掃描工具主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的交換機、路由器、數(shù)據(jù)庫服務(wù)器、防火墻等設(shè)備的安全漏洞，還可以設(shè)定模擬攻擊，以便測試系統(tǒng)的防御能力。通過漏洞掃描技術(shù)的應(yīng)用，管理可以針對相應(yīng)的問題，制定切實可行的安全解決方案。