工業網絡安全建設精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇工業網絡安全建設，期待它們能激發您的靈感。

篇1

在全國網絡安全和信息化領導小組第一次會議上強調：“網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題”，“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”。我國網絡用戶已經超過6億，手機用戶超過14億，而我國的網絡安全形式不容樂觀，網絡安全事件呈上升趨勢，既懂網絡管理又懂網絡安全的綜合人才緊缺，這給網絡工程專業的網絡安全課程的設置與人才培養提供了發展的契機。

1網絡工程專業網絡安全人才培養的優勢

隨著網絡技術的發展，各種網絡威脅也隨影而至。特別是無線網絡技術的發展，使得互聯網的體系結構更加復雜，任何網絡節點的薄弱環節都有可能會是網絡攻擊者的突破口。近幾年，引起廣泛關注的高級持續性威脅（AdvancedPersistentThreat）更是綜合了各種可以利用的突破口對目標進行長期踩點，并在適當的時候對目標發動攻擊。因此，網絡安全管理人員需要具備操作系統、數據庫、密碼學的理論與技術、掌握網絡路由與交換技術、網絡管理技術，網絡編程技術，以及常見的網絡服務器的管理與配置，尤其是對Web服務器的深入理解。但無論是信息安全專業還是信息對抗專業的培養方案都在網絡路由域交換技術、網絡管理技術等相關課程的設置方面比較薄弱，無法滿足網絡安全管理人員對相關知識體系的要求。因此，網絡工程專業依托其深厚的網絡知識體系，更適合建立網絡安全管理所需要的理論技術，更適合培養網絡安全管理人才。

2網絡工程專業的網絡安全課程體系建設

根據當前社會對于網絡和網絡安全人才的需求，本校制定了相應的人才培養計劃，歷經10年的改革與發展，形成了當前網絡工程專業下的三個特色方向：網絡技術方向、網絡安全方向、網絡編程技術方向。無論是網絡技術還是網絡安全技術都離不開網絡編程技術的支撐，缺少相應的編程能力網絡技術與網絡安全技術也注定會是瘸腿的技術，無法滿足網絡管理與網絡安全管理的需求。因此這三個方向相互融合形成的高級網絡與網絡安全技術方向，形成了目前網絡工程專業較為穩定的培養目標。次開課，經過十年的建設，目前已經成為本專業的骨干課程之一，建有密碼學專業實驗平臺，形成了系統的教學與實踐體系。課程設計64學時，其中48學時為理論授課，16學時為實驗學時。通過該課程的學習使學生掌握常見密碼算法的基本原理及其應用，能夠利用相應的密碼算法研發安全信息系統或者安全通信系統。“PKI體系及應用”與“網絡安全協議”是以應用密碼學為基礎的延伸課程。培養學生利用現代密碼學的技術研發密碼產品的能力。“PKI體系及應用”以證書認證中心為軸心，詳細介紹公開密鑰基礎設施的基本概念、基本原理、基本方法，以及公開密鑰基礎設施在現代密碼產品中的應用研發技術。“網絡安全協議”從密碼應用系統業務邏輯層面的安全分析入手，介紹常見的網絡安全協議、網絡安全標準和典型的網絡安全應用系統，在此基礎上，介紹安全協議設計及其安全性分析的基本理論與技術，使學生掌握基本的網絡安全協議設計方法，能夠根據具體的應用背景設計對應的網絡安全協議，研發安全應用系統。網絡攻防類課程是在以“應用密碼學”等信息安全類課程開設的基礎上，根據網絡工程專業的建設和國內網絡安全形勢的需要而開設的網絡維護類課程。其中，“網絡攻防技術入門”是在大一新生中開設的新生研討課，共16學時，分8次上課，以學生討論的方式組織教學，通過安排技術資料研讀和課堂討論，啟發學生對網絡攻防技術的學習興趣，掌握基本的網絡威脅防護方法。“網絡信息對抗”綜合講授與網絡安全相關的法律法規、網絡滲透技術和網絡防護技術。課程共64學時，理論授課32學時，實驗32學時，每個理論學時跟著一個實驗學時，以邊學邊練的方式組織教學。實驗教學通過專用綜合攻防平臺進行驗證性訓練。“計算機取證技術”主要講述計算機取證的基本方法、基本過程、數據恢復技術、證據提取技術、證據分析技術，以及常見的計算機取證工具的使用方法。“信息安全技術實訓”是在四年級上學期開設的實訓課程，共計192學時，8個學分。該課程分為兩個部分，第一部分以實際的項目案例為驅動，訓練學生對現代密碼理論技術應用能力與程序設計能力，目標是設計并實現一個小型的網絡安全軟件系統。第二部分以實際的網絡安全案例為驅動，訓練學生對于目標系統的滲透能力與網絡加固能力、以及對于整個滲透過程的取證分析能力。該實訓課程與學生的實習相互結合，部分學生進入網絡安全公司進行實習，提交綜合實習報告來獲得同校內綜合實訓相當的學分。通過三年的實踐，效果良好。

3網絡安全方向的人才培養分析

網絡安全方向已經形成了較為完善的課程體系，學生學習興趣高漲，在校內形成了良好的網絡安全研究氛圍。自發形成了保有數為20人左右的本科生興趣研究小組，另外，通過每年一屆的全校網絡安全知識比賽，促進了全校網絡安全知識的普及與人才培養，通過組織參加全省大學生網絡信息安全知識比賽，選拔優秀本科生進入相關課題研究，而且都取得了較好的效果。為此，本文對近3年的畢業生就業情況進行了抽班級統計。每年的畢業生中都有近90%的學生從事與網絡管理和網絡安全相關的工作，繼續考研深造的人數超過10%，其它無業或者情況不明者僅占4%。由此可見本專業基本達到了培養計劃所規定的人才培養目標。

4結語

篇2

關鍵詞: 網絡工程專業網絡安全專業課程設置實踐

計算機網絡涉及計算機技術和通訊技術兩大領域,自20世紀60年代末期美國軍方建立起ARPANET網后,基于此的Internet網絡快速發展,其應用逐漸擴大到世界范圍的各行各業。在近十年里,Internet得到了迅猛的發展,在商業上取得了巨大的成功。Internet已逐步由過去單純的數據載體,發展為支持數據、語音、視頻等多種信息的多媒體信息和通訊平臺。Internet的快速發展、網絡的普及使得網絡工程專業人才的需求倍增,各大高校相繼設立了網絡工程專業。

網絡安全是網絡工程中的一個重要環節,因此,在網絡工程專業中設置網絡安全的相關課程是非常必要的。

1.網絡帶來的安全問題

Internet的開放性和其他方面的因素導致了網絡環境下的計算機系統存在很多安全問題。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,在使用了現有的安全工具和機制的情況下,網絡的安全仍然存在很大隱患和問題,這些安全隱患和問題主要為以下幾點。

(1)每一種安全機制都有一定的應用范圍和應用環境。

防火墻是一種有效的安全工具,它可以隱蔽內部網絡結構,限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問,防火墻往往是無能為力的。因此,對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為,防火墻是很難發覺和防范的。

(2)安全工具的使用受到人為因素的影響。

一個安全工具能不能實現期望的效果,在很大程度上取決于使用者,包括系統管理者和普通用戶,不正當的設置就會產生不安全因素。例如,NT在進行合理的設置后可以達到C2級的安全性,但很少有人能夠對NT本身的安全策略進行合理的設置。雖然使用者可以通過靜態掃描工具來檢測系統是否進行了合理的設置,但是這些掃描工具基本上只是基于一種缺省的系統安全策略進行比較,針對具體的應用環境和專門的應用需求很難判斷設置的正確性。

(3)系統的后門是傳統安全工具難以考慮到的地方。

防火墻很難考慮到這類安全問題,多數情況下,這類入侵行為可以堂而皇之地經過防火墻而很難被察覺。比如說,ASP源碼問題,這個問題在IIS服務器4.0以前一直存在。它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼,從而收集系統信息,進而對系統進行攻擊。對于這類入侵行為,防火墻是無法發覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的Web訪問是相似的,唯一的區別是入侵訪問在請求鏈接中多加了一個后綴。

(4)黑客的攻擊手段在不斷地更新,幾乎每天都有不同的系統安全問題出現。

安全工具的更新速度太慢,絕大多數情況需要人為的參與才能發現以前未知的安全問題,這就使得安全工具總是對新出現的安全問題反應慢。當安全工具剛發現并努力更正某方面的安全問題時,其它的安全問題又出現了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

2.網絡安全專業課程設置

很多高校認識到了網絡安全的重要性,所以在網絡工程專業的課程設置上面均考慮了對于網絡安全方面專業課程教學要求。但是由于各方面的原因,在實際教學當中,根據不完全統計,96.84%的高校針對于網絡工程專業的網絡安全方面課程設置一般僅僅安排了《信息安全概論》或者《網絡安全技術概論》等課程,并且理論遠遠大于實踐,完全不能滿足實際網絡安全方面的需要。

正是由于網絡自身安全問題,入侵事件數量持續上漲,黑客成為引起網絡安全問題最為重要的因素。黑客(hacker)是指一個喜歡用智力通過創造性方法來挑戰腦力極限的人,特別是他們所感興趣的領域,例如電腦編程或電器工程。“黑客”最早源自英文hacker,早期在美國的電腦界該詞是帶有褒義的。但在媒體報導中,“黑客”一詞往往指那些“軟件駭客”(software cracker)。“黑客”一詞原指熱心于計算機技術,水平高超的電腦專家,尤其是程序設計人員。但到了今天,它已被用于泛指那些專門利用電腦網絡搞破壞或惡作劇的家伙。對這些人的正確英文叫法是Cracker,有人翻譯成“駭客”。現在計算機專業一些大學生認為成為一名黑客是一件極富于挑戰并且令他們為之自豪的事情。尤其現在網絡上流傳著各種各樣的黑客免費軟件,使得他們能夠入侵某些國內外的網站或者通過系統漏洞安裝一些木馬,成功獲得某些權限,或者直接在校園網內部進行攻擊,這樣能夠證明自己的能力或者驗證某項技術。

在這樣一種背景下,網絡安全專業課程的設置既要滿足學生學習的需求,符合社會對于網絡工程中網絡安全的需求,又要盡可能保證用戶正常使用網絡。這是因為很多學生在學習和驗證過程中,對網絡和其他用戶進行有意或者無意識的破壞,導致了不良的后果。同時學生的一知半解對于網絡的危害性更大,因為他們在實踐過程中有時候并不清楚會造成什么樣的后果,結果會帶來意想不到的麻煩。

因此,對于網絡安全課程的設置,設置哪些課程,如何設置,如何將教學和實踐很好地統一在一起,并且保證現有網絡資源安全,是一個很重要的問題。

3.網絡安全專業課程設置計劃

網絡安全專業課程一般來說包括以下一些課程:信息安全數學基礎、密碼與編碼學、信息安全概論、網絡攻防技術、計算機病毒原理及其防治、網絡安全協議、數字鑒別與認證機制、防火墻與入侵檢測技術、電子商務安全、網絡安全體系結構等。

很多人認為以上大部分課程應該是屬于信息安全專業所開設的課程,但是目前信息安全專業在很多高校中并沒有開設。因為教育部對這方面是嚴格控制的,現在開設信息安全專業本科的高校不多,到目前為止,全國只有70多所高校開設了這一專業,武漢大學是第一個開設信息安全專業的,但至今也僅僅只有8年的時間。目前安全方面的專家遠遠不能滿足人才市場和實際工作中的需要,因此各高校網絡工程專業對于此類課程的開設而且是必要的。網絡工程師不僅需要對整體網絡構架、設置等方面進行考慮,而且對于網絡安全的考慮是必不可少的,沒有安全保障的網絡系統是危險的。因此,一個網絡工程師不僅是精通網絡安全方面的專家,而且是了解網絡安全法律法規的專家。

網絡工程專業在網絡安全專業課程設置之上當然不能和信息安全專業相提并論,但是在課程開設的過程中,各高校可以有選擇、有針對性地設置一些網絡安全方面的課程。我國于1994年2月18日出臺《中華人民共和國計算機信息系統安全保護條例》,于1996年2月1日出臺《中華人民共和國計算機信息網絡國際互聯網管理暫行辦法》;公安部于1996年1月29日頒發《關于對與國際互聯網的計算機信息系統進行備案工作的通知》,于1997年12月30日頒發《計算機信息網絡國際互聯網安全保護管理辦法》,對于這些內容各高校可以以講座的形式進行開設,加強學生在網絡安全法律方面的意識。下表為我校網絡安全專業課程設置簡表。

這樣的設置可以使得網絡安全課程有一個持續的學習和研究過程,而不是只開設一門課程讓學生僅僅了解而已。

4.網絡安全專業課程實踐環節

在講授理論課程時,如果沒有配備適合的實驗教學,高校就不能保障學科的正常教學研究。網絡安全專業課程最為重要的就是實踐環節,僅僅有理論只是紙上談兵,不能使學生從真正意義上了解網絡安全中一系列的專業技術。但是在教學過程中,網絡安全方面的實驗有可能造成網絡環境的混亂,擾亂正常的教學秩序。

在實踐環節,教師在講授理論課程的基礎上還要配以實驗教學,保障學科的正常教學研究。教師應使學生具有一定的工程實踐能力,能將理論和實踐形成有機的統一體,使學生具有解決實際問題的能力,能完成相應的畢業設計、課程設計和創新課題,等等。網絡實踐環節可以使教師在網絡安全的教學和科研方面得到提高。由于網絡安全這方面的知識是需要終身學習的,特別是反病毒這一塊,更新較快,可能很多教師都不如學生,因此,教師應不斷學習,把握網絡安全方面的最新知識,這樣才能及時將最前沿的知識傳授給學生,以達到較好的教學效果。

高校網絡安全實驗室的設置最好是單獨的實驗室,自身為一個局域網,并且最好不要連在校園網上或者Internet上。在實驗室中,教師可以每組安排3-6臺學生機,1個防火墻,1個入侵檢測設備,共用1個服務器。在進行網絡安全實驗的時候,對于操作系統、應用軟件系統和網絡協議本身都要考慮到它們的安全性,所以教師可以讓學生從頭開始,一項一項地進行試驗。教師可以讓學生下載各種漏洞的補丁進行安裝,加固各種系統,保障安全,然后讓學生在局域網的范圍內以小組為單位進行攻防實驗。同時教師還可以進行一些病毒實驗,讓學生根據資料編寫一些小的病毒,也可以讓學生從網上下載一些病毒進行試驗。在課堂實踐的過程中,教師要加強對學生與國家計算機安全相關的法律、法規、政策、條例等方面的教育,使學生避免有意或者無意的計算機犯罪,以免給國家網絡安全造成危害。這種獨立實驗室不會影響正常的其他教學內容,可保證其他教學內容的正常開展。

網絡工程專業中網絡安全課程的開設,要求教師不僅在教學上盡可能地深入,而且在理論與實踐結合的實踐中使學生在保障網絡安全的同時減少了對網絡的危害。教師不僅要在教學上對學生嚴格要求,而且要在法律法規上對學生進行規范,避免學生進行網絡犯罪。

參考文獻:

[1]關于信息安全人才培養的建議.tech.163.corn/.2006.3.

篇3

 

前言

 

隨著社會的發展工業有了不斷的進步，特別是計算機網絡技術應用于工業的生產、管理使工業取得了長足的進步和良性的發展，當前工業的相關業務和活動中計算機網絡正在發揮輔助決策、功能倍增和參與管理等重要工作，可以不夸張地說計算機網絡正在引導著工業的新革命。但是由于計算機技術和網絡技術存在著漏洞和安全隱患，這導致工業在運用計算機網絡時出現了各種問題，來自計算機網絡內部和外部的威脅和隱患，無時無刻可能爆發，既影響了計算機網絡的安全和問題，又影響工業生產和管理，成為當前工業生產和計算機網絡乃至全社會共同關注的問題。實現工業計算機網絡的安全應該做好對近一段時間工業計算機網絡建設、運用和維護工作的梳理，明確了解和清晰認知工業計算機網絡安全的具體問題，在科學分析工業計算機網絡存在安全隱患和安全問題的基礎上，尋找提高工業計算機網絡安全的設計原則和方法，并結合具體的實際工作形成工業計算機網絡安全的方法和技術，在細節方面為切實做到工業計算機網絡安全起到經驗積累、方向提供和技術指導，在宏觀方面提升工業行業計算機網絡的安全水平。

 

1工業計算機網絡存在的安全隱患

 

1.1工業計算機網絡的外部隱患

 

常見的工業計算機網絡的外部隱患有：火災、電擊、水災等外部災害對工業計算機網絡設備或傳輸介質的損壞;工業計算機網絡的病毒發作;工業計算機網絡的黑客攻擊等。

 

1.2工業計算機網絡的內部隱患

 

工業計算機網絡的內部隱患有：工業計算機網絡的操作人員的非安全、非規范操作;工業計算機網絡本身存在地域能力地、系統脆弱和自身缺陷;管理員對安全權限設置不當、備份不及時等。

 

2工業計算機網絡安全的策略設計

 

2.1工業計算機網絡物理安全的設計

 

設計中應該確保工業計算機網絡的實體部分免受自然災害、人為破壞等影響;設計中應該對工業計算機網絡的操作進行條件控制，防止不具備操作權限的人員進入關鍵部位;建立工業計算機網絡的相關制度和規定，確保電擊、漏水、跌落等外部傷害。

 

2.2網絡加密傳輸與認證

 

應該設計好工業計算機網絡第一道防線——用戶名和密碼，通過嚴格的設置和驗證手段起到對工業計算機網絡的保護作用。

 

2.3工業計算機網絡防火墻的設計

 

工業計算機網絡可以控制進出兩個方向的信息安全，有效防止工業計算機網絡的外部非法用戶對數據的訪問和操作，應實現工業計算機網絡對數據的過濾和保護作用。

 

2.4數據加密

 

工業計算機網絡的數字加密技術可以保證工業計算機網絡信息的安全，實現對數據流進行加密傳輸，直到用戶退出系統為止。

 

2.5“最小授權”原則

 

“最小授權”原則是指網絡中帳號設置、服務配置、主機間信任關系配置等為網絡正常運行所需的最小限度，及時刪除不必要的帳號等措施可以將系統的危險大大降低。

 

3工業計算機網絡建設的技術要點

 

3.1做好病毒防范，及時更新系統

 

安裝必須的組件，關閉不需要的服務，及時更新系統和補丁程序，經常檢測系統是否存在安全漏洞、是否有入侵偵測的可疑活動。安裝正版防病毒軟件并及時更新病毒庫，定期查毒、殺毒。對從網上下載的軟件進行殺毒處理，對外來U盤需查毒后才能使用，做到防患于未然。

 

3.2設置安全有效的服務器密碼

 

擴大密碼的設置范圍，提高密碼的破解難度，并且做到每臺服務器的密碼不同并經常更換。另外，系統管理員也很注意密碼的保護，做到不泄漏、不共享，避免了使用密碼的安全風險。

 

3.3采用分層方式管理服務器

 

將工業計算機網絡管理系統與其他系統放置在兩臺服務器上，不僅使管理方便，更有助于整體的安全性。

 

3.4定期進行數據備份

 

系統備份是防止由于硬件設備損壞或受黑客攻擊導致數據丟失的防范措施和方法，因此，對工業計算機網絡管理系統的數據進行備份是一項十分必要的任務。推薦工業計算機網絡的備份方式是每天對整個系統進行包括系統和數據的完全備份，當發生數據丟失時，只要進行恢復，就可以找回完整的數據。

 

3.5采用虛擬網技術

 

在工業計算機網絡網絡中，應采用VLAN技術，各網段用戶在網上鄰居上只可以訪問自己網段的計算機，從而提高VLAN內數據傳遞效率以及各VLAN之間數據的安全性，解決了不同網段、不同部門間病毒的傳播問題。

 

結語

 

綜上所述，根據實際的工業計算機網絡安全設計、管理和維護經驗，從效果上看已經正在起到逐步優化工業計算機網絡環境，有效提升工業計算機網絡抵御病毒感染的能力，進一步加強了工業計算機網絡操作者防范黑客入侵的觀念，這些進步為工業計算機網絡實現安全運行提供了先期的保證，并成為工業企業和行業科技進步和人員素質提高的手段。同時，我們應該有清醒、客觀的認知——絕對安全的工業計算機網絡是不存在的，因此，需要我們繼續做好工業計算機網絡的技術防范，加強工業計算機網絡操作人員的素質教育，提升全員的工業計算機網絡應用安全意識，在實際的工作中盡量減少違法操作和物力損壞，以操作規程和安全守則為指導，規范地進行工業計算機網絡的應用、管理和維護，也只有這樣，才能確保為工業計算機網絡提供一個優良的環境，才能真正發揮工業計算機網絡的功能，促進工業的生產、活動、管理，在客觀上促進經濟、社會的發展。

篇4

>> 物流信息平臺網絡安全研究 醫院網絡信息安全需求分析 網絡安全管理平臺的研究與實現 網絡安全管理平臺的設計與實現 大數據平臺網絡信息安全若干問題的分析 視頻監控平臺網絡配置管理的設計與實現分析 Symbian平臺網絡開發框架的研究與實現 醫院信息系統的網絡安全建設分析 醫院信息系統的網絡安全與防范 醫院信息系統的網絡安全分析與防范 醫院信息化建設中網絡安全分析與防護 基于醫院信息系統的網絡安全分析與設計 電力信息自動化網絡安全與實現分析 對醫院網絡安全的分析與研究 結合實例談談醫院網絡架構需求分析與實現 通信市場需求下網絡安全技術的開發與實現 針對醫院網絡安全的分析 醫院網絡安全管理策略分析 應急平臺網絡中綜合聯動實現安全防御的研究 醫院網絡安全與管理 常見問題解答 當前所在位置：.

[5] 公安部.關于開展全國重要信息系統安全等級保護定級工作的通知[EB/OL]. [2007?07?24]..

[6] 國家質監局. GB/T 25070?2010 信息安全技術信息系統等級保護安全設計技術要求[S].北京：中國標準出版社，2010.

[7] 衛生部關于印發《衛生行業信息安全等級保護工作的指導意見[EB/OL]. [2011?12?09].http：///mohbgt/s7692/201112/53600.shtml.

[8] 公安部. 關于印送《關于開展信息安全等級保護安全建設整改工作的指導意見》的函[EB/OL]. [2009?11?09]. http：///gzdt/2009?11/09/content_1460022.htm.

篇5

【關鍵詞】網絡安全；網絡攻擊；建設與規劃；校園網

1、網絡現狀

揚州Z校擁有多個互聯網出口線路，分別是電信100M、電信50M、網通100M、聯通1G和校園網100M。Z校擁有多個計算環境，網絡核心區是思科7609的雙核心交換機組，確保了Z校校園骨干網絡的可用性與高冗余性；數據中心是由直連在核心交換機上的眾多服務器組成；終端區分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外，還有一個獨立的無線校園網絡。Z校網絡信息安全保障能力已經初具規模，校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1。

2、安全威脅分析

目前，Z校網絡安全保障能力雖然初具規模，但是，在信息安全建設方面仍然面臨諸多的問題，如，網絡中缺乏網管與安管系統、對網絡中的可疑情況，沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態，風險管理全憑感覺等等，以上種種問題表明，Z校需要對網絡安全進行一次全面的規劃，以便在今后的網絡安全工作中，建立一套有序、高效和完善的網絡安全體系。

2.1安全設備現狀

Z校部署的網絡安全防護設備較少。在校區的互聯網出口處，部署了一臺山石防火墻，在WEB服務器群前面部署了一臺WEB應用防火墻。

2.2外部網絡安全威脅

互聯網出現的網絡威脅種類繁多，外部網絡威脅一般是惡意入侵的網絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數據等為目的，對內網中的各種網絡設備發起攻擊，網絡中雖然有一些基礎的防護，但是，黑客們只要找到漏洞，就會利用內網用戶作跳板進行攻擊，最終攻破內網。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。

2.3內部網絡安全威脅

內部惡意入侵的主體是學生，還有一些網絡安全意識薄弱的教職工。Z校學生眾多，學生們可能本著好奇、試驗、炫技或者惡意破壞等目的，入侵學校網絡[2]。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件，照成網絡堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造，以提升鏈路穩定性，提高網絡的服務能力為出發點，Z校在安全改造實施中，應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率：Z校網絡出口與CERNET、Internet互聯，選擇了與電信和聯通兩家運營商合作。利用現有網絡出口鏈路資源，提升網絡訪問速度，最大化保障校園網內部用戶的網絡使用滿意度，同時又要合理節約鏈路成本，均衡使用各互聯網出口鏈路，是網絡安全建設的首要需求。2)實現關鍵設備的冗余性：互聯網邊界的下一代防火墻設備為整個網絡安全改造的核心設備，均以NAT模式或者路由模式部署，承載了整個校園網的業務處理，任何一個設備出現問題將直接導致業務不能夠連續運行，無任何備份措施，只能替換或者跳過出故障的設備，且只能以手工方式完成切換，無論從響應的及時性，還是從保障業務連續性的角度，都存在很大的延遲，為此需要將互聯網出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求：本次安全改造涉及安全設備數量較多，需要對所有安全設備進行統一日志收集、查詢工作，傳統單臺操作單臺部署的方式運維效率低下，所以需要專業集中監控、配置、管理的安全設備，統一對眾多安全設備進行集中監控、策略統一調度、統一升級備份和審計。

4、解決方案

網絡安全建設是一個長期的項目，不可能一蹴而就，一步到位，網絡安全過程建設中，在利用學校原有設備的基礎上，在資金、技術成熟的條件下，逐步實施。Z校網絡安全建設規劃分為短期建設和長期建設兩部分。

4.1短期網絡建設規劃

4.1.1短期部署規劃以安全區域的劃分為設計主線，從安全的角度分析各業務系統可能存在的安全隱患，根據應用系統的特點和安全評估是數據，劃分不同安全等級的區域[3]。通過安全區域的劃分，明確網絡邊界，形成清晰、簡潔的網絡架構，實現各業務系統之間嚴格的訪問安全互聯，有效的實現網絡之間，各業務系統之間的隔離和訪問控制。本次短期網絡建設，把整個網絡劃分為邊界安全防護區域、核心交換區域、安全管理區域、辦公接入區域、服務器集群區域和無線訪問控制區域。4.1.2部署設計網絡拓撲結構見圖2，從圖2可以看出，出口區域，互聯網邊界處的防火墻設備是整個網絡安全改造的核心設備，以NAT模式或者路由模式部署，無任何備份措施，為此需要再引入一臺同型號的防火墻設備，實現雙機冗余部署。同理，原城市熱點認證網關和行為管理設備需要再各補充一臺，組成雙機冗余方案。安全管理區域根據學校預算，部署幾臺安全設備。首先，部署一臺堡壘機，建立集中、主動的安全運維管控模式，降低人為安全風險；其次，部署一臺入侵檢測設備（IDS），實時、主動告警黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量，防止在出現攻擊后無數據可查；再部署一臺漏洞掃描設備，對網絡內部的設備進行漏洞掃描，找出存在的安全漏洞，根據漏洞掃描報告與安全預警通告，制定安全加固實施方案，以保證各系統功能的正常性和堅固性；最后，部署一臺安全審計設備（SAS），實時監控網絡環境中的網絡行為、通信內容，實現對網絡信息數據的監控。服務器集群區域，除了原有的WEB防火墻外，再部署一臺入侵防護設備（IPS），攔截網絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量，保護Z校的信息系統和網絡架構免受侵害，防止操作系統和應用程序損壞或宕機[4]。

4.2長期網絡建設規劃

網絡安全的防護是動態的、整體的，病毒傳播、黑客攻擊也不是靜態的。在網絡安全領域，不存在一個能完美的防范任何攻擊的網絡安全系統。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題。想要構建一個相對安全的網絡系統，需要建立一套全方位的，從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前，網絡安全體系化建設結合重點設備保護的策略，再配合第三方安全廠商的安全服務是網絡安全建設的優選。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態實施過程，建立一個科學的安全體系和模型，再根據安全體系和模型來分析網絡中存在的各種安全隱患，對這些安全隱患提出解決方案，最大程度解決網絡存在的安全風險。體系化建設需要從網絡安全的組織體系、技術體系和管理體系三方面著手，建立統一的安全保障體系。組織體系著眼于人員的組織架構，包括崗位設置、人員錄用、離崗、考核等[5]；技術體系分為物理安全、網絡安全、主機安全、系統運維管理、應用安全、數據安全及備份恢復等；管理體系側重于制度的梳理，包括信息安全工作的總體方針、規范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規程。4.2.2體系化設計網絡體系化建設要以組織體系為基礎，以管理體系為保障，以技術體系為支撐[6]，全局、均衡的考慮面臨的安全風險，采取不同強度的安全措施，提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點，安全體系為核心，安全指導為原則，體系建設為抓手，組織和制定安全實施策略和防范措施，在建設過程中不斷完善安全體系結構和安全防御體系，全方位、多層次滿足安全需求。

5、結語

從整個信息化安全體系來說，安全是技術與管理的一個有機整體，僅僅借助硬件產品進行的安全防護是不完整的、有局限的。安全問題，是從設備到人，從服務器上每個服務程序到Web防火墻、入侵防御系統、抗拒絕服務系統、漏洞掃描、傳統防火墻等安全產品的綜合問題，每一個環節，都是邁向網絡安全的步驟之一。文中的研究思路、解決方案，對兄弟院校的網絡安全建設和改造有參考價值。

參考文獻：

［1］王霞.數字化校園中網絡與信息安全問題及其解決方案［J］.科技信息，2012.7:183-184

［2］黃智勇.網絡安全防護系統設計與實現［D］.成都：電子科技大學，2011.11:2-3

［3］徐奇.校園網的安全信息安全體系與關鍵技術研究［D］.上海：上海交通大學，2009.5:1-4

［4］張旭輝.某民辦高校網絡信息安全方案的設計與實現［D］.西安:西安電子科技大學，2015.10:16-17

［5］陳堅.高校校園網網絡安全問題分析及解決方案設計［D］長春：長春工業大學，2016.3:23-31