建設網絡安全范文

導語：如何才能寫好一篇建設網絡安全，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關鍵詞：醫院；信息化；網絡；安全

中圖分類號：TP309.2

隨著醫改的不斷深入，借助信息化提高醫院的管理水平和服務質量已成為大勢所趨，伴著網絡技術的迅猛發展，Web化應用呈現出爆發式增長趨勢，一方面，增強了各行業及部門間的協作能力，提高了生產效率，另一方面也不可避免的帶來了新的安全威脅。從國家到地方，衛生行政主管部門非常重視醫院信息安全，與公安部門聯合發文，要求醫院完成等級保護工作。

1 我院網絡安全建設現狀

1.1 醫院信息系統現狀

我院的信息信息系統主要有：醫院信息管理系統（HIS）、醫學影像信息系統（PACS）、臨床實驗室檢驗信息系統（LIS）、電子病歷系統（EMR）、手術麻醉信息系統（AIMS）、醫院辦公自動化系統（HOA）等。隨著各系統應用的不斷深入，以及這些系統與醫保、合療、健康檔案、財務、銀行一卡通等系統的直連，安全問題已越來越突顯，網絡安全作為信息安全的基礎，變得尤為重要。

1.2 網絡安全現狀與不足

1.2.1 網絡安全現狀

（1）我們采用內外網物理隔離，內網所有U口禁用。對開放的U口通過北信源的桌面管理軟件進行管理；（2）內外網都使用了賽門鐵克的網絡殺毒軟件，對網絡病毒進行了防范；（3）與外部連接。

內網與省醫保是通過思科防火墻、路由器和醫保專線連接進行通信；與市醫保是通過聯想網御的網閘、醫保路由器與醫保專線連接進行通信；與合療及虛擬桌面是通過綠盟的下一代防火墻與互聯網進行通信；與健康檔案是通過天融信的VPN與互聯網進行通信的。另外，內網與財務專用軟件、一卡通也是通過網閘及防火墻進行通信的。

另外，我們有較完善的網絡安全管理制度體系，這里不再贅述。

1.2.2 網絡安全存在的問題

（1）由于醫院信息系統與外部業務連接不斷增長，專線與安全設備比較繁雜，運維復雜度較高；（2）通過部署網絡殺毒軟件及安全設備，雖然提升了網絡的安全性，但卻帶來了系統性能下降的問題，如何在不過多影響整體網絡性能的前提下，又可以完善整網的安全策略的部署，是后續網絡優化所需要重點關注的；（3）終端用戶接入網絡后所進行的網絡訪問行為無法進行審計和追溯。

2 醫院網絡層安全策略部署規劃

在等級保護安全策略指導下，我們將整個醫院的安全保障體系設計分為安全管理體系建設和安全技術體系建設兩個方面，其中安全技術體系建設的內容包括安全基礎設施（主要包括安全網關、入侵防護系統、安全審計系統等），安全管理體系建設的內容包括組織、制度、管理手段等。通過建立醫院安全技術體系、安全服務體系和安全管理體系，提供身份認證、訪問控制、抗抵賴和數據機密性、完整性、可用性、可控性等安全服務，形成集防護、檢測、響應于一體的安全防護體系，實現實體安全、應用安全、系統安全、網絡安全、管理安全，以滿足醫院安全的需求[1]。

在這里，我主要從安全技術體系建設方面闡述醫院網絡層安全策略。

網絡層安全主要涉及的方面包括結構安全、訪問控制、安全審計、入侵防范、惡意代碼防范、網絡設備防護幾大類安全控制。

2.1 安全域劃分[2]

2.1.1 安全域劃分原則

（1）業務保障原則。安全域方法的根本目標是能夠更好的保障網絡上承載的業務。在保證安全的同時，還要保障業務的正常運行和運行效率；（2）適度安全原則。在安全域劃分時會面臨有些業務緊密相連，但是根據安全要求（信息密級要求，訪問應用要求等）又要將其劃分到不同安全域的矛盾。是將業務按安全域的要求強性劃分，還是合并安全域以滿足業務要求？必須綜合考慮業務隔離的難度和合并安全域的風險（會出現有些資產保護級別不夠），從而給出合適的安全域劃分；（3）結構簡化原則。安全域方法的直接目的和效果是要將整個網絡變得更加簡單，簡單的網絡結構便于設計防護體系。比如，安全域劃分并不是粒度越細越好，安全域數量過多過雜可能導致安全域的管理過于復雜和困難；（4）等級保護原則。安全域的劃分要做到每個安全域的信息資產價值相近，具有相同或相近的安全等級安全環境安全策略等；（5）立體協防原則。安全域的主要對象是網絡，但是圍繞安全域的防護需要考慮在各個層次上立體防守，包括在物理鏈路網絡主機系統應用等層次；同時，在部署安全域防護體系的時候，要綜合運用身份鑒別訪問控制檢測審計鏈路冗余內容檢測等各種安全功能實現協防；（6）生命周期原則。對于安全域的劃分和布防不僅僅要考慮靜態設計，還要考慮不斷的變化；另外，在安全域的建設和調整過程中要考慮工程化的管理。

2.2.2 區域劃分

業務網內部根據業務類型及安全需求劃分為如圖1所示的幾個個安全區域，也可以根據醫院自己的業務實際情況，添加刪減相關的安全域，網絡規劃拓撲圖[3]如下：

圖1

（1）外聯區：主要與醫保網、外聯單位進行互聯，此區域與數據中心核心交換機互聯；在外聯區接入處部署防火墻、IPS、硬件殺毒墻，也可以部署下一代防火墻產品，添加IPS功能模塊、殺毒功能模塊，通過防火墻、IPS、殺毒進行訪問控制，實現安全隔離；與數據中心核心交換機處部署網閘設備，實現物理隔離；（2）運維管理區：主要負責運維管理醫院信息化系統，此區域與數據中心核心交換機互聯；在運維管理區與核心交換機之間部署堡壘機（SAS-H），對運維操作進行身份識別與行為管控；部署遠程安全評估系統（RSAS），對系統的漏洞進行安全評估；部署安全配置核查系統，對系統的安全配置做定期檢查；部署日志管理軟件，對網絡設備、安全設備、重要服務器的日志做收集整理和報表呈現；部署網絡版殺毒系統，與硬件殺毒墻非同一品牌；部署網絡審計系統，對全網所有用戶行為進行網絡審計；部署主機加固系統，對重要服務器定期進行安全加固，以符合等保的安全配置要求；（3）辦公接入區：主要負責在住院部大樓、門急診樓、公寓后勤樓等辦公用戶的網絡接入；接入匯聚交換機旁路部署IDS；與核心交換機接入采用防火墻進行訪問控制；重要辦公用戶安裝桌面終端系統控制非法接入問題；（4）核心交換區：主要負責各個安全域的接入與VLAN之間的訪問控制；在兩臺核心交換機上采用防火墻板卡，來實現各個區域的訪問控制。在核心交換機旁路部署安全審計系統，對全網數據進行內容審計，可以與運維管理區的網絡審計使用同一臺；（5）互聯網接入區：主要負責為辦公區用戶訪問互聯網提供服務，以及互聯網用戶訪問門戶網站及網上預約等業務提供服務；在互聯網出口處，部署負載均衡設備對鏈路做負載處理；部署下一代防火墻設備（IPS+AV+行為管理），對進出互聯網的數據進行安全審計和管控；在門戶服務器與匯聚交換機之間部署硬件WEB應用防火墻，對WEB服務器進行安全防護；在門戶服務器上安裝防篡改軟件，來實現對服務器的防篡改的要求；部署網閘系統，實現互聯網與業務內網的物理隔離要求；（6）數據中心區：此區域主要為醫院信息系統防護的核心，可分為關鍵業務服務器群和非關鍵業務服務器群，為整個醫院內網業務提供運算平臺；在非關鍵業務服務器群與核心交換區之間部署防火墻和入侵保護系統，對服務器做基礎的安全防護；在關鍵業務服務器群與核心交換機之間部署防火墻、入侵保護系統、WEB應用防護系統，對服務器做安全防護；（7）開發測試區：為軟件開發機第三方運維人員提供接入醫院內網服務，與核心交換機互聯；部署防火墻進行訪問控制，所有的開發測試區的用戶必須通過堡壘機訪問醫院內網；（8）存儲備份區：此區域主要為醫院信息化系統數據做存儲備份，與核心交換機互聯。

2.2 邊界訪問控制[1]

在網絡結構中，需要對各區域的邊界進行訪問控制，對于醫院外網邊界、數據交換區邊界、應用服務區域邊界及核心數據區邊界，需采取部署防火墻的方式實現高級別的訪問控制，各區域訪問控制方式說明如下：

（1）外聯區：通過部署高性能防火墻，實現數據中心網絡與醫院外網之間的訪問控制；（2）核心交換區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對數據交換區的訪問控制；（3）數據中心區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對應用服務區的訪問控制；（4）運維區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對核心數據區的訪問控制；（5）互聯網區：與內網核心交換區采用網閘系統進行物理隔離；與互聯網出口采用防火墻實現訪問控制；（6）開發測試區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對應用服務區的訪問控制；（7）辦公網接入區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對應用服務區的訪問控制；（8）備份存儲區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對應用服務區的訪問控制。

2.3 網絡審計[1]

網絡安全審計系統主要用于監視并記錄網絡中的各類操作，偵查系統中存在的現有和潛在的威脅，實時地綜合分析出網絡中發生的安全事件，包括各種外部事件和內部事件。在數據中心核心交換機處旁路部署網絡行為監控與審計系統，形成對全網網絡數據的流量檢測并進行相應安全審計，同時和其他網絡安全設備共同為集中安全管理提供監控數據用于分析及檢測。

網絡行為監控和審計系統將獨立的網絡傳感器硬件組件連接到網絡中的數據匯聚點設備上，對網絡中的數據包進行分析、匹配、統計，通過特定的協議算法，從而實現入侵檢測、信息還原等網絡審計功能，根據記錄生成詳細的審計報表。網絡行為監控和審計系統采取旁路技術，不用在目標主機中安裝任何組件。同時玩了個審計系統可以與其他網絡安全設備進行聯動，將各自的監控記錄送往安全管理安全域中的安全管理服務器，集中對網絡異常、攻擊和病毒進行分析和檢測。

2.4 網絡入侵防范[1]

根據數據中心的業務安全需求和等級保護三級對入侵防范的要求，需要在網絡中部署入侵防護產品。

入侵防護和產品通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測產品應支持深度內容檢測、技術。配合實時更新的入侵攻擊特征庫，可檢測網絡攻擊行為，包括病毒、蠕蟲、木馬、間諜軟件、可疑代碼、探測與掃描等各種網絡威脅。當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。

入侵防護產品部署在數據中心與核心交換機之間，繼防火墻邊界訪問控制后的第二道防線。

2.5 邊界惡意代碼防范[1]

根據數據中心業務風險分析和等級保護三級對邊界惡意代碼防范的要求，需要在互聯網邊界部署防病毒產品，也可以在下一代防火墻添加防病毒模塊來實現此功能；防病毒產品應具備針對HTTP、FTP、SMTP、POP3、IMAP以及MSN協議的內容檢查、清除病毒的能力。支持查殺引導區病毒、文件型病毒、宏病毒、蠕蟲病毒、特洛伊木馬、后門程序、惡意腳本等各種惡意代碼，并定期提供對病毒庫版本的升級。

2.6 網絡設備保護[1]

對于網絡中關鍵的交換機、路由器設備，也需要采用一定的安全設置及安全保障手段來實現網絡層的控制。主要是根據等級保護基本要求配置網絡設備自身的身份鑒別與權限控制，包括：登錄地址、標識符、口令復雜度、失敗處理、傳輸加密、特權用戶權限分配等方面對網絡設備進行安全加固。

由于不同網絡設備安全配置的不同、配置維護工作繁雜，且信息安全是動態變化的，因此這里推薦通過自動化的配置核查設備，對網絡層面和主機層的安全配置進行定期掃描核查，及時發現不滿足基線要求的相關配置，并根據等級保護的安全配置要求提供相對應的安全配置加固指導。

3 結束語

通過以上六個方面的安全加固，重點解決了醫院當前網絡安全環境中面臨的主要問題。隨著醫院數字化進程的不斷深入，我們還將重點跟蹤網絡安全方面出現的新問題、新的技術思路和新的技術解決方案，做好醫院的網絡安全工作，為醫院信息化建設保駕護航。

目前，網絡已經深刻影響與改變現有的醫療模式[4]，網絡安全已成為醫院信息化建設中的重中之重，它是一項復雜而艱巨的系統工程，需全方位入手，切實保障醫院各信息系統安全穩定的運行、醫院各項工作順利的開展，真正為廣大患者提供優質便捷的服務。

參考文獻：

[1]GB/T 22239-2008，信息系統安全等級保護基本要求[S].

[2]GB/T 9387.2-1995，開放系統互連基本參考模型第2部分：安全體系結構《醫療機構》，P14-P18：安全服務與安全機制的配置[S].

[3]ISO 10181：1996 信息技術開放系統互連開放系統安全框架[S].

[4]陳理兵，陳起燕.論醫院網絡應用系統的安全設計[J].福建電腦，2013（11）.

篇2

隨著時代的發展，在當前的勞動就業服務管理體系中，網絡信息技術的運用非常廣泛，但在享受信息技術便捷性的同時，網絡信息的安全問題也日益突出，想要真正解決這一問題，就要構建起完善的網絡信息安全防護體系，因此，對單位網絡信息安全建設的思路進行探討非常有必要，本文主要從技術與管理兩個層面進行研究。

1當前單位網絡信息安全問題

在現階段的勞動就業服務管理體系中，主要存在的網絡信息安全問題有以下幾方面：

1.1技術層面

第一，核心技術欠缺。當前我國在進行信息化建設的過程中，普遍借鑒國外的成功方法與技術，而欠缺自主性的核心技術，也正因如此，單位在構建信息安全防護系統時沒有針對性，不能以單位實際情況為基礎，進行相關軟硬件平臺的構建，系統中一部分加解密技術也大多源自我國對手國家。這便會在很大程度上降低單位的網絡信息安全，容易被人監視與竊聽，甚至可以對我國網絡進行干擾與欺詐，使網絡信息安全處于危險狀態。第二，病毒感染威脅。病毒是計算機網絡中常見的安全威脅，實際上也是一種計算機程序，很多計算機病毒都能夠對計算機網絡進行破壞與傳染，且普遍具有潛伏性與隱蔽性，有些還能夠變異。計算機病毒通常會以文件或磁盤作為載體，在計算機網絡中傳播，隨著網絡信息技術的快速發展，病毒種類與傳播方式也呈現出多元化趨勢，對單位網絡信息的威脅越來越大。絕大多數病毒在進入到計算機網絡中以后，都能夠實現自啟動，破壞計算機的程序與系統，并將其中的重要信息泄露出去。一旦計算機受到病毒感染，它就會成為攻擊者的控制平臺，對其硬盤這種的參數進行修改，也可以破壞網絡信息系統中的重要數據，使網絡數據無法完成正常傳輸，進而造成整個系統的癱瘓，這種現象在勞動就業服務管理體系中并不是沒有發生過。第三，信息沒有保障。在網絡信息傳輸的過程中，一般會運用通信通道，而通信通道在整個安全系統中是相對薄弱的部分，因此，在傳輸信息時就很容易在通道中出現篡改與竊聽情況，從而降低網絡信息的安全性，侵害單位與用戶的切實利益。

1.2管理層面

第一，安全意識滯后。在勞動就業服務管理體系中，一部分人沒有真正認識到網絡信息安全的重要意義，沒有正視當前網絡信息安全鎖面對的嚴峻形勢，認為網絡信息發展速度太快，傳統途徑太多，網絡信息泄密問題是不可避免的，而對網絡安全體系的投資很難見到效果，沒有建設意義，因此，只注重建設網絡，卻輕視網絡安全。第二，管理機制欠缺。當前我國尚沒有構建起健全的網絡安全管理機制，雖然國家已經出臺了一些相關法規，但仍然無法滿足現階段網絡安全管理的管理需求，法規建立沒有針對性、組織管理不完善、缺乏統一標準等問題，都阻礙了單位網絡信息安全的發展，使得單位網絡信息建設分散、功能缺乏、管理低下、資源浪費。第三，相關人才不足。隨著網絡信息的快速發展，勞動就業服務管理體系對相關人才與設備的要求也更高，但當前我國在這方面的人才還遠遠無法滿足發展需求，而且，由于專項資金不足，相關設備的發展也相對緩慢，絕大多數網絡信息系統都無法實現健全的安全保密建設。

2建設單位網絡信息安全思路

想要真正解決當前網絡信息系統存在的安全問題，就需要有針對性的從技術與管理兩方面進行網絡安全相關制度的制定。

2.1技術層面

第一，安裝病毒防護軟件。在勞動就業服務管理單位中，需要引入安裝病毒防護軟件來保證單位內部的信息安全。防火墻是現階段各單位普遍運用的一種防病毒軟件，主要存在于單位的內網與外網之間，運用相關的安全策略構建起軟硬件的組成體，能夠實現對單位內網與主題的保護。另外，防火墻還能夠幫助單位系統實現網絡安全隔離，以安全過濾規則為依托，實現對非法用戶的有效控制，抑制網絡中的外來攻擊。另外，在系統中裝置防病毒軟件可以對系統中的病毒進行實時監測，及時發現系統中的異常情況，將傳統意義上的被動殺毒轉變為主動清除。一般單位會運用SNMP進行防火墻管理，也就是簡單的網絡管理協議，將其嵌入到交換機中，便能夠從中心站對設備進行管理，還可以通過圖形的方式對信息進行查看。第二，裝置入侵檢測系統。在勞動就業服務管理單位中，還需要引用入侵檢測系統來保證單位內部的信息安全，該系統主要由硬件與軟件兩部分組成，當前單位中廣泛運用的是規范濫用與靜態異常兩種模型，這兩種模型都是以網絡故障或服務器為基礎的。入侵檢測設備一般需要創建MySQL，通過身份驗證以后，便可以進行入侵檢測。日常管理時需要安排專門的檢測管理員，定期對設備進行重啟。根據實際網絡環境，對檢測接口進行定義，包括檢測策略、阻斷級別、事件報警、管理權限等。還需要進行模擬攻擊，以確保入侵檢測系統的性能完好。健全的入侵檢測系統能夠在很大程度上彌補防火墻的防護缺陷。

2.2管理層面

第一、針對人為可控因素的管理。從某種意義上講，缺少安全管理是造成系統不安全的最直接因素。因此，必須制定一套完全的安全管理制。

（1）專注內部管理—對內網的監控。內部局域網的監控是通過監控服務器對網絡中所有主機數據進行檢測，并將網絡中的數據收集到服務器，對正常數據流服務器不采取動作，當發現有敏感數據時即迅速將其隔離保存，再報警，網絡管理員通過操作和檢驗后對用戶電腦進行處理。

（2）兼顧外部管理—對外網的監控。除了要監控局域網內的數據，更需要對廣域網和互聯網的控制。要對單位內部的各種應用和流量實施不同的區分和限制，對FTP和BT等應用嚴格監管。第二，建立網絡安全領導小組。成立安全管理領導監督小組，安全管理領導監督小組監督網絡安全項目的建設并參與管理，負責貫徹國家有關網絡安全的法律、法規，落實各項網絡安全措施。建立完善的安全保障體系，如管理人員安全培訓、可靠的數據備份、緊急事件相應措施、定期系統的安全評估及更新升級系統，確保系統一直處于最佳的安全狀態。第三，啟用相關科技與人才。在單位進行網絡信息安全建設的過程中，要運用先進的科學技術，構建起高水平的網絡信息安全體系，以提升單位中重要信息與數據的安全性。而二十一世紀的發展中，人才是單位中必不可少的發展要素，啟用具有法律知識、網絡知識、管理能力的綜合性人才能夠起到事半功倍的效果，單位還需要對相關人才進行定期培訓，保證人才學習最前沿的網絡安全技術，從而使單位中的網絡信息更安全。

3結論

篇3

在全國網絡安全和信息化領導小組第一次會議上強調：“網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題”，“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”。我國網絡用戶已經超過6億，手機用戶超過14億，而我國的網絡安全形式不容樂觀，網絡安全事件呈上升趨勢，既懂網絡管理又懂網絡安全的綜合人才緊缺，這給網絡工程專業的網絡安全課程的設置與人才培養提供了發展的契機。

1網絡工程專業網絡安全人才培養的優勢

隨著網絡技術的發展，各種網絡威脅也隨影而至。特別是無線網絡技術的發展，使得互聯網的體系結構更加復雜，任何網絡節點的薄弱環節都有可能會是網絡攻擊者的突破口。近幾年，引起廣泛關注的高級持續性威脅（AdvancedPersistentThreat）更是綜合了各種可以利用的突破口對目標進行長期踩點，并在適當的時候對目標發動攻擊。因此，網絡安全管理人員需要具備操作系統、數據庫、密碼學的理論與技術、掌握網絡路由與交換技術、網絡管理技術，網絡編程技術，以及常見的網絡服務器的管理與配置，尤其是對Web服務器的深入理解。但無論是信息安全專業還是信息對抗專業的培養方案都在網絡路由域交換技術、網絡管理技術等相關課程的設置方面比較薄弱，無法滿足網絡安全管理人員對相關知識體系的要求。因此，網絡工程專業依托其深厚的網絡知識體系，更適合建立網絡安全管理所需要的理論技術，更適合培養網絡安全管理人才。

2網絡工程專業的網絡安全課程體系建設

根據當前社會對于網絡和網絡安全人才的需求，本校制定了相應的人才培養計劃，歷經10年的改革與發展，形成了當前網絡工程專業下的三個特色方向：網絡技術方向、網絡安全方向、網絡編程技術方向。無論是網絡技術還是網絡安全技術都離不開網絡編程技術的支撐，缺少相應的編程能力網絡技術與網絡安全技術也注定會是瘸腿的技術，無法滿足網絡管理與網絡安全管理的需求。因此這三個方向相互融合形成的高級網絡與網絡安全技術方向，形成了目前網絡工程專業較為穩定的培養目標。次開課，經過十年的建設，目前已經成為本專業的骨干課程之一，建有密碼學專業實驗平臺，形成了系統的教學與實踐體系。課程設計64學時，其中48學時為理論授課，16學時為實驗學時。通過該課程的學習使學生掌握常見密碼算法的基本原理及其應用，能夠利用相應的密碼算法研發安全信息系統或者安全通信系統。“PKI體系及應用”與“網絡安全協議”是以應用密碼學為基礎的延伸課程。培養學生利用現代密碼學的技術研發密碼產品的能力。“PKI體系及應用”以證書認證中心為軸心，詳細介紹公開密鑰基礎設施的基本概念、基本原理、基本方法，以及公開密鑰基礎設施在現代密碼產品中的應用研發技術。“網絡安全協議”從密碼應用系統業務邏輯層面的安全分析入手，介紹常見的網絡安全協議、網絡安全標準和典型的網絡安全應用系統，在此基礎上，介紹安全協議設計及其安全性分析的基本理論與技術，使學生掌握基本的網絡安全協議設計方法，能夠根據具體的應用背景設計對應的網絡安全協議，研發安全應用系統。網絡攻防類課程是在以“應用密碼學”等信息安全類課程開設的基礎上，根據網絡工程專業的建設和國內網絡安全形勢的需要而開設的網絡維護類課程。其中，“網絡攻防技術入門”是在大一新生中開設的新生研討課，共16學時，分8次上課，以學生討論的方式組織教學，通過安排技術資料研讀和課堂討論，啟發學生對網絡攻防技術的學習興趣，掌握基本的網絡威脅防護方法。“網絡信息對抗”綜合講授與網絡安全相關的法律法規、網絡滲透技術和網絡防護技術。課程共64學時，理論授課32學時，實驗32學時，每個理論學時跟著一個實驗學時，以邊學邊練的方式組織教學。實驗教學通過專用綜合攻防平臺進行驗證性訓練。“計算機取證技術”主要講述計算機取證的基本方法、基本過程、數據恢復技術、證據提取技術、證據分析技術，以及常見的計算機取證工具的使用方法。“信息安全技術實訓”是在四年級上學期開設的實訓課程，共計192學時，8個學分。該課程分為兩個部分，第一部分以實際的項目案例為驅動，訓練學生對現代密碼理論技術應用能力與程序設計能力，目標是設計并實現一個小型的網絡安全軟件系統。第二部分以實際的網絡安全案例為驅動，訓練學生對于目標系統的滲透能力與網絡加固能力、以及對于整個滲透過程的取證分析能力。該實訓課程與學生的實習相互結合，部分學生進入網絡安全公司進行實習，提交綜合實習報告來獲得同校內綜合實訓相當的學分。通過三年的實踐，效果良好。

3網絡安全方向的人才培養分析

網絡安全方向已經形成了較為完善的課程體系，學生學習興趣高漲，在校內形成了良好的網絡安全研究氛圍。自發形成了保有數為20人左右的本科生興趣研究小組，另外，通過每年一屆的全校網絡安全知識比賽，促進了全校網絡安全知識的普及與人才培養，通過組織參加全省大學生網絡信息安全知識比賽，選拔優秀本科生進入相關課題研究，而且都取得了較好的效果。為此，本文對近3年的畢業生就業情況進行了抽班級統計。每年的畢業生中都有近90%的學生從事與網絡管理和網絡安全相關的工作，繼續考研深造的人數超過10%，其它無業或者情況不明者僅占4%。由此可見本專業基本達到了培養計劃所規定的人才培養目標。

4結語

篇4

目前雙向網在5～1000MHz的范圍內可劃分為：上行頻段：5~65MHz；過度頻段：65～87MHz；FM頻段：87～108MHz；下行頻段：108～1000MHz。③數字電視。數字電視一種將節目的全部過程利用數字處理信號的方式來運行或利用二進制數字串所形成的數字流傳播的電視。基于DVB技術標準的廣播式和“交互式”的數字電視。是采用了先進客戶管理技術，可以為客戶才來更多好節目，提高了畫面的清晰度和質量。它還可以訂購各種業務，如互動電視、高清晰度電視、標準清晰度電視、BSV液晶拼接等業務。與傳統電視相比，數字電視音質更好、節目數量更多、畫面更清晰亮麗。

2現階段數字電視雙向網絡存在的安全問題

在雙向網絡出現之前，數字電視一直使用的是單向網絡。由于單向網絡與網絡連接少，收費低，可獲取的利益少，所以單向網絡安全問題多數集中在授權的安全，不要出現盜版，不要出現黑戶問題上。而數字電視雙向網絡業務更多、用戶的增值項目也多，使得他人可利用數字電視雙向網絡賺取大筆利潤，由此將引起大量的黑客對數字電視雙向網絡的關注。數字電視雙向網絡不像數字電視單向網絡保守，其安全問題不僅僅像數字電視單向網絡那樣只出現在終端而是前段終端都可能出現。還要考慮終端對前端的影響和惡意攻擊，這使得數字電視單向網絡的安全建設單獨大大加大。

3數字電視雙向網絡的安全建設的建議

3.1建立一個開放性、標準性，能夠取得第三方認證的系統結構

推薦使用兩種技術，一個是公約基礎設施（PublicKeyInfrastructure，PKI）技術。另一個是安全套接層（SeeureSocketLayer，SSL）技術。①公約基礎設施（PublicKeyInfrastructure，PKI）技術。所謂公約基礎設施（PublicKeyInfrastructure，PKI）技術其實就是一個用公鑰概念、技術實施和提供安全服務的具有普適性的安全基礎設施。公約基礎設施（PublicKeyInfrastructure，PKI）技術是一種新的安全技術，它由公開密鑰密碼技術、數字證書、證書發放機構（CA）和關于公開密鑰的安全策略等基本成分共同組成的。公約基礎設施（PublicKeyInfrastructure，PKI）技術是利用公鑰技術實現電子商務安全的一種體系，是一種基礎設施，網絡通訊、網上交易是利用它來保證安全的。公約基礎設施（PublicKeyInfrastructure，PKI）技術是提供公鑰加密和數字簽名服務的系統或平臺，目的是為了管理密鑰和證書。一個機構通過采用公約基礎設施（PublicKeyInfrastructure，PKI）技術框架管理密鑰和證書可以建立一個安全的網絡環境。公約基礎設施（PublicKeyInfrastructure，PKI）技術包括四個主要部分：X.509格式的證書（X.509V3）和證書廢止列表CRL（X.509V2）；CA操作協議；CA管理協議；CA政策制定。②安全套接層（SeeureSocketLayer，SSL）技術。SSL（SecureSocketLayer）安全套接層是Netscape公司率先采用的網絡安全協議。它是在傳輸通信協議（TCP／IP）上實現的一種安全協議，采用公開密鑰技術。SSL（SecureSocketLayer）安全套接層應用廣泛，各種網絡都可以使用它，不僅如此，還提供了三中安全服務。SSL（SecureSocketLayer）安全套接層是一種利用TCP的可靠的端到端的安全服務，而且他還是一個二層協議，底層是SSL記錄層，此層是用來封裝各種上層協議。還有一層是SSL的握手協議，它的作用是在服務器和客戶機之間傳送數據之前協商加密算法和加密密鑰，服務器將通過客戶及提出的加密算法來選擇最適合的算法。還有三個更高層的協議，分別為SSL的一部分：握手協議、修改密文規約協議和告警協議。有這兩項技術作為基礎的數字電視雙向網絡安全系統，既能獲取第三方的認證，還能增加安全性。

3.2網絡內容安全

網絡是把雙刃劍。現在網絡充斥著各種不良信息，還有一些不法分子制造網絡病毒損害電腦，盜取別人的個人信息和重要數據以此來謀取利益。當然隨著網購的興起，更有不法分子通過網絡盜取和騙取錢財。由此，數字電視雙向網絡應該有一個安全的環境，保護用戶的個人信息和錢財，還要防止病毒的侵入。我建議利用消息鑒別碼（MessageAuthenticationCode，MAC），消息鑒別碼（MessageAuthenticationCode，MAC）可以鑒別信息的來源是否合法還可以保證信息的完整性。消息鑒別碼（MessageAuthenticationCode,MAC）有一個認證標識是用公開函數和密鑰然后產生一個長度一定的值,消息鑒別碼用這個標識來判斷信息的完整性。利用一個密鑰生成一個大小一定的數據塊（MAC），將其與信息一起傳送，接收方利用發送方共享的密鑰進行鑒別認證等.消息鑒別碼（MessageAuthenticationCode，MAC）僅僅認證消息MAC的完整性（不會被篡改）和可靠性（不會是虛假的消息或偽造的消息），但不負責數據MAC是否被安全傳輸。之所以要放棄信息的保密性（使用公鑰加密私鑰簽名的對稱密碼協議可以很好的保證信息MAC的保密性、完整性和可靠性），是因為在某些場合（政府部門公告、網絡管理通知等）并不需要對信息進行加密；或者是有些場合（例如廣播信息等）需要長時間傳輸大量信息。由于MAC函數是單向函數，因此對明文M進行摘要計算的時間遠比使用對稱算法或公開密鑰算法對明文加密的時間要小。

3.3保證用戶信息的安全

在進行業務費用支付的時候，會要求用戶輸入個人資料和密碼等。保護用戶的資料和密碼就成為結構系統需要注意的事項。虛擬鍵盤技術大可解決此問題。有了虛擬鍵盤技術，機頂盒會出現一個鍵盤，鍵盤上的數字都是隨機排列的，這樣就算不法分子偷到了遙控器的紅外數據，得到的也僅僅是上下左右，而不是用戶密碼，從而保證了信息輸入的安全。

4結語

篇5

關鍵詞：計算機網絡；安全建設；威脅因素；安全技術

中圖分類號：TP393.08

目前計算機網絡實現了信息全球化，被廣泛應用到人們的學習、生活和工作之中，甚至也被應用到了國家各種事務的處理之中。但是因為計算機網絡具有開放性、互聯性和多樣性的特點，很容易受到攻擊，存在很多威脅因素。因此，就要采取必要的措施來網絡信息的安全、保密、可靠。

1 計算機網絡安全存在的威脅因素

威脅計算機網絡安全的因素是多種多樣的，涉及到很多個方面的，下面將對當前網絡安全存在的威脅進行總結：

1.1 無授權訪問。無授權訪問指的是沒有經過預先同意的對網絡或計算機資源的使用，主要包括：自作主張的擴大權限，越權訪問不該訪問的信息；故意避開系統訪問的控制，不正常的使用網絡資源和設備。這些無授權訪問主要通過非法進入網絡系統、違規操作、假冒身份、身份攻擊以及合法的用戶不以授權的方式進行操作形式表現出來。

1.2 數據的完整性遭到破壞。一些攻擊者使用違法手段盜竊數據的使用券，并對這些數據進行插入、修改、刪除或者是重發一些重要保密的信息，期望得到有益于自己的響應。并且他們為了影響用戶的正常使用，惡意修改、添加數據，破壞數據的完整性和正確性。

1.3 使用計算機網絡散播病毒。計算機病毒通常是最先以一個計算機系統作為載體，通過移動硬盤、軟盤、網絡和光盤等媒質介體，對其他的計算機系統進行惡意破壞。計算機病毒能夠在特別短的時間內使整個計算機網絡癱瘓，使得網絡損失慘重。用戶很難防范通過計算機網絡傳播的病毒，單機系統和計算機系統很容易在病毒的干擾下發生異常和破壞。

1.4 丟失或泄露信息。被有意或者是無意丟失和泄露的信息往往是敏感數據和保密數據，通常包括：信息在存儲介質中遭到泄露或丟失、信息在傳輸過程中遭到泄露或丟失（最常見的就是黑客通過對通信長度或頻度、信息流量和流向等數據的分析以及利用搭線竊聽或者是電磁泄露的方式截獲或破解機密信息，來推算出用戶的賬號、口令等重要的有用的信息）、黑客建立隱蔽隧道來偷竊敏感保密的信息。

1.5 干擾服務攻擊。主要是通過改變服務系統的正常的作業流程、執行無關緊要的程序來減慢系統響應直至癱瘓等方式不斷地對計算機網絡服務系統進行干擾，干擾合法用戶的正常使用，以及不使正常用戶進入計算機網絡系統，無法得到服務等。

1.6 管理不到位存在的威脅。計算機網絡的正常運行離不開正確的管理，錯誤的管理會給企業造成非常巨大的損失。需要進行的管理主要包括計算機網絡、硬件設備和軟件系統，例如若是軟件系統沒有健全的安全管理，不僅會破壞計算機網絡的安全，還會使得計算機網絡錯誤的運行。還有一個因素就是工作人員在工作過程中，不注意對移動U盤進行保護和管理，加入病毒，在插入電腦之后，又將帶著的病毒傳給電腦，病毒進入電腦之后，就會電腦的網絡系統進行惡意破壞，使整個計算機網絡系統癱瘓不能使用。

2 計算機網絡系統安全技術措施

2.1 檢測入侵。如果計算機網絡中存在可以被惡意攻擊者利用的漏洞、安全弱點和不安全的配置（如應用程序、網絡服務、網絡設備、TCP/IP協議、操作系統等幾個方面存在這樣的問題），就會遭到黑客或者攻擊者的網絡攻擊和惡意入侵。網管人員在網絡系統沒有預警防護機制的情況下，是很難發現已經侵入到內部網絡和關鍵主機的攻擊者實施的非法操作的。檢測入侵系統可以說是計算機網絡系統的第二個安全閘門，因為它在監聽網絡的時候不影響計算機網絡系統的性能，并且可以及時地提供對誤操作、外部攻擊和內部攻擊的保護。

2.2 應用安全漏洞掃描技術。安全漏洞掃描技術可以通過自動檢測本地或者是遠程主機安全上存在的弱點，使網絡管理人員在黑客和入侵者找到漏洞之前就修補存在著的這些安全漏洞。專門檢查數據庫安全漏洞的掃描器、網路安全漏洞掃描和主機安全漏洞掃描等都是安全漏洞掃描軟件。但是由于操作系統的安全漏洞隨時在、安全資料庫時刻在更新，所以各種安全漏洞掃描器只有及時進行更新才能掃描出系統的全部安全漏洞，防止黑客的進入。

2.3 防治計算機病毒。防治計算機病毒的首要做法就是要給所以計算機裝上殺毒軟件，并對這些殺毒軟件進行及時的更新和維護，還要定期對這些殺毒軟件進行升級。殺毒軟件可以在病毒侵入到系統的時候及時地發現病毒庫中已經存在的可以代碼、可疑程序和病毒，并警告給主系統準確的查找病毒的實際來源，對大多數病毒進行及時的隔離和清除。使用者要注意不要隨意打開或者安裝來歷不明的程序、軟件和陌生郵件等。發現已經感染病毒后要對病毒實行檢測和清除，及時修補系統漏洞。

2.4 使用防火墻技術。防火墻指的是一個控制兩個網絡間互相訪問的一個系統，它主要通過對硬件和軟件的結合為內部網絡和外部網絡的溝通建立一個“保護層”，只有經過這個保護層連接和檢查，獲得授權允許的通信才能通過這個保護層。防火墻不僅能夠阻止外界非法訪問內部網絡資源，還能提供監視Internet預警和安全的方便端點，控制內部訪問外部的特殊站點。然而，防火墻并不能解決一切問題，即使是通過精心配制的防火墻也不能抵擋住隱蔽在外觀看似正常的數據下的程序通道。為了更好的利用防火墻技術保護網絡的安全，就要根據需求合理的配置防火墻，采用加密的HTTP協議和過濾嚴格的WEB程序，不要多開端口，經常升級，管理好內部網絡的用戶。

2.5 黑客誘騙技術。黑客誘騙技術就是通過―個由網絡安全專家精心設置的特殊系統來引誘黑客，并記錄和跟蹤黑客，其最重點的功能就是經過特殊設置記錄和監視系統中的所有操作，網絡安全專家經過精心的偽裝能夠達到使黑客和惡意的進攻者在進入目標系統后，并不知道自己的行為已經處于別人的監視之中。網絡安全專家故意在黑客誘騙技術系統中放置一些虛假的敏感信息或留下一些安全漏洞來吸引黑客自行上鉤，使得黑客并不知道他們在目標系統中的所有行為都已經被記錄下來。黑客誘騙技術系統的管理人員可以仔細分析和研究這些記錄，了解黑客采用的攻擊水平、攻擊工具、攻擊目的和攻擊手段等，還可以分析黑客的聊天記錄來推算他們的下一個攻擊目標和活動范圍，對系統進行防護性保護。同時這些記錄還可以作為黑客的證據，保護自身的利益。

2.6 網絡安全管理。確保網絡的安全，還要加強對網絡的管理，要限制用戶的訪問權限、制定有關的規章制度、制定書面規定、策劃網絡的安全措施、規定好網絡人員的安全規則。此外，還要制定網絡系統的應急措施和維護制度，確定安全管理和等級，這樣才能確保網絡的安全。

3 結束語

由于我們的工作和生活都離不開網絡，所以計算機網絡安全是我們非常關注的事情。我們需要建立一個安全、完善的計算機網絡系統來保證我們的利益，需要計算機網絡進行不斷的完善，解決掉存在的各種安全威脅。同時網絡的不安全也會影響到企業和國家的利益，所以只要網絡的安全性提高了，企業和國家才能發展的更好，社會才會進步。

參考文獻：

[1]張鏑.淺析計算機網絡安全建設方法及安全技術[J].電子世界，2014（08）：21-22.

[2]趙洪斌.計算機網絡安全建設方法及安全技術[J].計算機光盤軟件和應用，2013（11）：35-38.

篇6

關鍵詞 計算機；局域網；安全建設

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2012）81-0224-02

0引言

局域網平臺為人們提供了一種實時交流傳輸、信息化、電子化工作模式，逐步被人們廣泛利用并充分重視。局域網絡具備顯著的客觀特征，其開放、廣泛的應用環境令自身面臨較多不良風險影響，提升了安全應用隱患。為此科學創建計算機局域網絡安全應用環境，降低風險影響，優化維護管理勢在必行。

1計算機局域網絡及其安全內涵

計算機局域網絡是在一定區域范疇中將多個計算機集成互聯構成的網絡系統。其區域界定較為自由，可以是單獨的辦公室或者建筑物，還可以是校區或社區等。基于不同的硬件設施設備組建構成的計算機局域網絡系統可高達數千米范圍。計算機局域網體系之中，可借助互聯手段實現各項工作日程的高效統一、數據文件的良好同步、利用軟件及硬件工具的全面共享等。然而該類功能的達成需要位于局域網之中創建安全有效的措施，而當前，一些安全手段并非十分嚴格，對于文件信息的安全掃描以及防火墻系統的安全水平設置等級有限。一些單位局域網自身的相互組成連接由于較為簡單，應用的技術相對薄弱，沒有創建切實可行的安全措施，便給網內傳播病毒、安全攻擊、漏洞侵襲造成了可乘之機。雖然局域網絡系統之中的計算機實現了無縫高效互聯，然而簡單的設置令來自外界的風險、威脅因素可較為輕易的實現網絡系統內部的快速蔓延擴散，一旦其中一臺計算機由于操控誤差或人為影響感染病毒、遭到侵襲攻擊，便很可能令整體局域網絡系統面臨癱瘓。因此如何確保網絡系統內部在高效互聯的同時、同外界網絡全面溝通的基礎上，有效抑制來自外部系統的安全影響威脅，實施有效隔離，成為我們應首要探討的重點問題。

2計算機局域網網絡安全建設策略

2.1創建獨立安全局域網服務器

當前，我國較多局域網體系沒有單獨創建針對服務器的安全措施，雖然簡單的設置可令各類數據信息位于網絡系統中高效快速的傳播，然而同樣為病毒提供了便利的傳播感染渠道。局域網之中雖然各臺計算機均裝設了預防外界攻擊影響的安全工具，制定了防范措施，然而該類措施恰恰成為網絡安全的一類薄弱環節。在應對局域網絡內部影響攻擊時，效果不佳，尤其在其服務器受到病毒侵襲影響，會令全網系統不良崩潰。為此，對其服務器獨立裝設有效防護措施尤為重要。我們應在服務器內部安裝單獨的監控網內系統、各類病毒庫的實時升級系統，令其在全過程的實時安全監督、優化互補管控之下安全快速的運行。當發覺網內計算機系統受到病毒侵襲時，應快速將聯系中斷，并面向處理中心報告病毒種類，實施全面系統的殺毒處理。而當服務器系統被不良攻擊影響時，則可利用雙機熱備體系、陣列系統安全防護數據信息，提升整體系統安全水平。

2.2樹立安全防范意識，提升應用者防毒水平

局域網產生的眾多安全問題之中，較多由于內網操作應用人員沒有樹立安全防范意識，令操作失誤頻繁發生。例如操作控制人員沒有有效進行安全配置令系統存在漏洞、或是由于安全防范意識不強，令外網攻擊借機入侵。在選擇口令階段中由于操作不慎，或將自身管理應用賬號隨意的借他人應用，均會給網絡安全造成不良威脅影響。另外，網絡釣魚也成為影響計算機局域網絡安全的顯著隱患問題。不法分子慣用該類方式盜取網絡系統賬號、竊用密碼，進而獲取滿足其利益需求的各類重要資訊、信息，還直接盜取他人經濟財產。一些網絡罪犯基于局域網絡系統資源信息全面共享的客觀特征而采取各類方式手段實施數據信息的不良截獲，或借助垃圾郵件群發、發送不明數據包、危險鏈接等誘導迷惑方式，令收信方進行點擊，對于計算機局域網絡系統的優質安全管理運行形成了較大的隱患威脅。為此，應用管理局域網人員應明晰自身責任重大性，以身作則，對于陌生人傳輸信息、不明郵件不應理睬，還可利用刪除、截獲、屏蔽、權限管控等手段阻斷釣魚者侵入通道，不給他們以可乘之機，進而凈化網絡環境。

2.3實施制度化的文件信息備份管理，預防不可逆損失

一般來講，各類網絡攻擊或者是病毒侵襲，均需要首先找到網絡系統中的落腳點方能實現攻擊竊取目標。而計算機系統漏洞、局域網絡后門則為攻擊者提供了落腳點，成為不安全攻擊的主體目標。當然該類漏洞無法絕對全面的徹底消除。因而，為有效提升各單位計算機局域網絡系統的綜合安全防護性能，應對系統以及各類數據、信息與文件進行定期全面備份，并確保制度化的實時升級管理，令該項制度成為應用局域網的現實規范。只有快速、及時、全面的實施整體數據信息及系統備份，方能在系統受到不良侵襲、導致信息不慎丟失時能夠快速恢復，杜絕不可逆影響的發生并產生永久損失。另外，對于資料信息的整體備份內容同日常應用儲存數據不應放于同一計算機或服務器之中，不然該類備份便會毫無意義。如果備份程序還支持加密，我們則可借助數據加密處置，多為磁盤增設一道密碼保護屏障。基于計算機病毒發展快速、更新頻繁、攻擊方式變幻莫測的狀況，工作人員還應為整體系統做好維護管理、打補丁升級及全面更新的應用控制，提升整體系統防護病毒影響水平。可通過防火墻系統安裝、監督控制手段應用、安裝強力查殺病毒工具軟件、定期備份殺毒、整理磁盤，注冊表清理及冗余刪除，規范文件應用及垃圾文件刪除等方式，實現系統的安全最優化目標。

3結論

總之，計算機局域網網絡安全建設尤為重要，我們只有明晰其攻擊影響特征、安全隱患狀況，制定切實可行的防護管理策略，規范操作行為、做好病毒查殺、危險源防控，及時更新升級，才能真正提升計算機局域網安全環境水平，進而創設顯著的經濟效益與社會效益。

參考文獻

篇7

一、概述

信息中心（通信公司）成立于1989年，是油田范圍內唯一一家經營通信服務的公司。上世紀90年代末，網絡技術的開始在油田發展，信息中心開始搭建公司內部使用的局域網絡，由于當時技術的局限性，對網絡的擴展性和延伸性未進行很好的規劃。隨著信息化時代的來臨，中心的各項業務流程及應用服務都逐漸移植到網絡服務上。在中心內部逐漸形成了運行生產報表匯總的生產運行網，運行電信業務營收及業務辦理的計費網，與集團公司進行公文收發的信息網，還有大部分計算機還要外部互聯網進行聯系，滿足工作學習的需要。由于不同的需求跨越不同的網段，占用不同的物理鏈路，且各個部門的需求又不盡相同，所以造成公司內部網絡異常混亂，各類應用無法暢通的運行。不但加大了對網絡的維護的難度，而且網絡的安全性也無從保障。

二、現有網絡改造

改造后網絡系統采用星型結構，以寬帶機房為中心，連接應用服務器群，機關樓，中心機房大樓、還有地處各個礦區的通信站，綜合服務公司。涉及聯網的機器約有300余臺，20余個部門。網絡出口部署中網黑客愁防火墻，3個百兆端口分別連接到互聯網、信息網和內部網，利用防火墻的NAT功能，抵御來自互聯網的網絡攻擊，管理，限制內部用戶的互聯網訪問。核心層采用Cisco3548-EMI三層交換機，該交換機能夠實現數據保的路由及數據快速轉發交換。接入層采用Cisco2948二層交換機，實現各終端的接入。全網按照部門和物理位置劃分出了20個VLAN，利用Cisco3548實現三層交換，有效的抑制了廣播風暴的影響。各接入層交換機與Cisco3548之間采用TRUNK方式連接，不同交換機的端口可以規劃到相同的Vlan中。

三、網絡規劃整體規劃與設計

1.Vlan劃分：按照公司不同部門位置和地域的情況，結合管理需要，劃分為16個VLAN，每個VLAN的電腦可以進行交換數據，不通VLAN內的電腦通過Cisco3548三層交換機進行數據交換，這樣可以有效的降低網絡內的廣播風暴，減少病毒傳播。

2.計費數據中心的構成：將計費核心數據庫用CiscoPix525防火墻隔離，通過防火墻的端口重定功能開放營收客戶端的訪問功能。保證核心數據庫的安全穩定。

3.各單位的網絡接入：南部通信站和團泊洼站通過E1/Ethernet協議轉換器接入到內部核心交換機。港東站、港西站、幸福里站通過傳輸網絡的Ethernet接口接入到內部核心交換機。中心西院通過光收發器接入到內部網絡核心交換機。

4.IP地址規劃：鑒于中心內部網絡規模中等，所以啟用B類保留地址，172.16.0.0/16，按照不同VLAN分配不同網段。

四、網絡安全規劃與建設

中心內部網絡承載各種不同功能的應用系統，如辦公自動化系統、營收管理系統、監控保安系統等。網絡中存在的病毒與黑客等信息安全威脅，都會影響到各類系統得穩定使用。因此制定防毒反黑、安全隔離等網絡安全策略，是內部網絡建設不可或缺的部分。根據中心內部網絡的安全需求，通過防火墻把整個網絡分為內部網絡、DMZ區，外部網絡（包括公網與信息網）實現內部網絡與外部網絡之間的安全隔離。首先，利用防火墻的網絡級包過濾進行反黑與有效的安全隔離。其中，運用防火墻的多極過濾、動態過濾技術、通過數據包監測，保護內部網絡不被破壞，并且保護網絡服務和重要的私人數據。運用NAT技術，一方面節約有限的公網地址，另一方面也隱藏了內部網的IP地址，有效的保護內部網絡不受外部的攻擊。另外，防火墻具有基于WEB的全中文圖形用戶界面，允許通過HTTPS加密方式進行防火墻的配置和管理，包括安全策略的執行。本方案采用賽門鐵克的網絡版殺毒軟件，作為一個符合網絡版殺毒軟件新標準的產品，賽門鐵克網絡版殺毒軟件通過可移動集中控制管理帶來的高效率，不但增強了防病毒的安全性，更讓整個網絡的管理更輕松，無需投入巨大人力、物力財力的防病毒安全解決方案。

五、結束語

篇8

一、以賬戶為核心進行管理

1.一個用戶、一個賬戶(One userOne account)，全校一卡通。

2.賬戶靈活分組，賦予適當權限。

建教師組和學生組。將賬戶加入其中，分別賦予適當權限。

有時也面對臨時目標設立虛擬工作組。

二、保證主干暢通，全網冗余設計，負載均衡

核心層采用高性能雙并列主干交換機結構，一個鏈路失效后，快速將負載轉移到集束的其他鏈路上，使網絡正常運行。

采用HSRP，一個路由器不工作時，另一個可迅速接管，不至整個網絡癱瘓，在第三層上實現路由容錯、負載均衡、對用戶通明。

三、合理設置和分配IP地址

1.靜、動結合

重要的服務器、網關等少數設備為靜態IP；其他機器通過DHCP服務器動態分配。

2.劃分VLAN

為隔絕廣播風暴，方便組內共享和教學，合理劃分VLAN。

每個機房設一個VLAN，可用于教學廣播系統授課、分發素材和控制。

每個教研組設一個VLAN，可訪問組內共享的教案、課件等材料。

設置一管理VLAN，連在核心三層交換機上，配置ACL，只許管理VLAN和特定主機直接訪問每一臺機器，其他均過濾。在管理VLAN中設一無線接入端口，通過WPA-PSK(TKIP)加密鏈路，但出于安全考慮平時不開通。

四、設置VPN

1.LANtoLAN方式VPN

VPN網關上配輸入輸出過濾器，將VPN隧道數據流轉發給VPN服務器，其他數據流按類型轉發給相應的服務器，隧道使用IPSec提供安全保障。

2.客戶到LAN方式VPN

采用SSL隧道安全協議。設置教師和學生公用VPN賬號密碼和并發數，Web登錄后，仍要進行個人賬戶驗證，才可訪問。

開通專用管理員VPN賬號，在進行證書認證后，可遠程登錄維護。

五、數據庫的安全策略

1.采用分布式數據庫

為減少校際間帶寬的占用、便于管理，采用分布式，使數據庫的存儲和使用盡量在本校區內完成。

2.站點間相互信任、數據一致性維護、加密和備份

站點間通過Kerberos基于對稱密碼體制的雙向身份驗證協議來進行信任驗證。

當多用戶并發訪問數據時，會產生丟失更新、讀過時數據、讀臟數據等問題，采用兩段封鎖協議可使并發調度策略串行化，避免帶來的問題：如死鎖，則強行撤銷引起死鎖的事務，數據庫回滾。

分片設計上，遵循完備性、重構和不相交條件。

對敏感字段進行庫內加密，常用于索引的字段明文存放。

數據庫定期冷熱備份，多用增量備份，建立日志和檢查點，以便發生事務、系統或介質故障和病毒破壞時進行數據恢復。

六、防火墻配置

用ACL允許教師賬戶訪問Inter―net，在規定時間以外拒絕學生賬戶訪問Internet；對外過濾非法IP地址和協議，通過賬戶名口令登錄。才能訪問內部資源。

用服務器，分擔部分用戶認證，緩存設計大大分減了出校流量、冗余，使安全性和性能得以提高。

管理人員每天檢查日志，及時發現異常進行處理。

七、防毒措施

用卡巴斯基的網絡版進行實時監控定期查殺；每臺PC上安裝殺毒軟件，定時升級，實時監控和查殺。

學生機房克隆前，母盤要保證無毒；中毒后可一鍵還原。

以上就是我校網絡建設中安全策略和機制的設計實施情況，在實際運行和使用中不斷改進取得了好的效果。

參考文獻：

篇9

一、目的

通過檢查全省卷煙銷售網絡建設工作以及“按客戶訂單組織貨源”相關工作的完成情況，發現各單位網建工作中的特色、亮點，查找問題，督促整改提升，為20__年卷煙銷售網絡建設全面提升及按客戶訂單組織貨源工作各項目標的全面實現奠定基礎。

二、檢查范圍及時間

20__年2月16日－2月25日，省局（公司）對全省所有市、州公司進行全面檢查。

三、檢查內容

包括客戶服務、營銷管理、督察投訴、物流管理、隊伍素質、運行指標六個方面，每個檢查項目100分，綜合評價根據每項實際得分，加權計算。計算方式：綜合評價=客戶服務*0.2+營銷管理*0.2+督察投訴*0.15＋物流管理*0.2+隊伍素質*0.1+運行指標*0.15。（檢查細則詳見附件）

四、檢查方式

（一）了解情況：通過市、州公司網建及“按客戶訂單組織貨源”工作的情況匯報，全面了解市、州公司20__年卷煙銷售網絡建設全面提升及“按客戶訂單組織貨源”推廣工作整體情況。

（二）檢查核實：查閱相關文件、制度、資料，了解各項指標完成情況，檢查、核實工作落實情況及相關數據資料。

（三）實地走訪：本次檢查層面包括營銷中心、督察（投訴）中心、物流中心、營銷部，其中，每個市、州公司抽查所在地營銷部和縣級營銷部各1個，每個營銷部走訪5戶零售客戶。實地走訪過程中，注重加強與市場經理、客戶經理、電話訂貨員等一線基層人員溝通，注重開展客戶調查，了解情況，收集意見和建議。

（四）溝通交流：通過座談形式，及時反饋檢查信息，總結工作亮點和特色。

五、分組安排

本次檢查由陳霖副總經理負責，卷煙經營管理部牽頭，辦公室、人勞處、政工處、計劃處參與，分5個檢查小組進行分組檢查。

六、工作要求

（一）市、州公司要高度重視，嚴格按照檢查方案要求，整理歸集相關資料，認真總結，形成書面匯報材料，切實體現20__年以來網絡建設全面提升工作情況、工作特色和亮點，切實做好迎接檢查準備。

（二）省局（公司）各檢查組要堅持實事求是、嚴肅認真、客觀公正的原則，嚴格按照檢查標準，全面、細致開展檢查工作，如實記錄檢查結果，形成檢查報告，并將檢查結果作為20__年先進評選依據。

附件：

20__年全面提升卷煙銷售網絡建設及運行水平檢查細則

一、客戶服務

（一）客戶服務體系建設

按照《四川省煙草公司卷煙零售客戶服務管理辦法》要求，制定、完善客戶服務管理辦法，健全服務體系。

（二）客戶信息維護

1．v3系統中及時、準確維護零售客戶基礎信息。

2．按照國家局客戶分類標準，定期分類測評。

（三）客戶拜訪

1．合理設置零售客戶拜訪周期,制定零售客戶拜訪計劃。

2．客戶經理拜訪到位情況及>:請記住我站域名/

>

>

3．市場經理每周拜訪客戶不低于10戶，營銷部副經理每月走訪客戶不低于20戶，營銷部經理每月走訪客戶不低于10戶，能發現問題，解決問題，有記錄。

（四）基礎工作資料

1．在v3系統中按時完成周/月工作小結。

2．市場經理在v3系統中按時填寫月分析。

3．客戶經理每月選取2-3戶客戶在v3系統中進行客戶分析和個性化服務。

4．客戶經理每月固定10戶客戶在v3系統中進行客戶盈利水平分析，市（州）公司形成半年盈利水平分析報告1份。

（五）大客戶監控

1．對月銷量1000—1500條的客戶加強管理，嚴格控制。

2．其戶數及銷量比例達到1%和10%以內。

3．跟蹤記錄，定期分析。

（六）邊遠農村委托配送管理

1．制定邊遠農村委托配送管理辦法，嚴格審批。

2．其戶數及銷量比例達到1%和10%以內。

3．跟蹤記錄，定期分析。

（七）特殊場所客戶管理

1．加強大型商場、超市、連鎖店、煙酒專營店、娛樂等特殊場所等客戶的服務管理，制定管理辦法。

2．跟蹤記錄，定期分析。

二、營銷管理

（一）需求預測

1．按照國家局、省局（公司）相關要求，建立健全卷煙需求預測工作機制、制定相關制度文件。

2．按照國家局、省局（公司）相關要求，切實制定統一的卷煙需求預測流程，作好需求預測基礎性工作，進一步完善需求預測體系。

3．提高需求預測工作的執行力，按時、保質完成需求預測相關數據、報表以及開展情況的層層收集、整理、匯總、上報和評審，及時分析總結問題，不斷改進，注重痕跡化管理。

4．加強對客戶經理等營銷人員以及零售客戶的培訓和宣傳，提高客戶經理預測能力和零售客戶素質，不斷提升卷煙需求預測的水平。

（二）貨源組織及采購管理

1．根據省局（公司）下達的計劃以及交易安排意見，結合本地市場情況，精心組織貨源，作好協議、合同的簽訂工作。

2．建立預測對采購的指導機制，充分發揮需求預測結果對采購的指導作用，加強對商業訂單等數據形成過程的質量控制，作好相關分析和數據記錄，注重痕跡化管理。

3．加強對供應商的評價及管理工作，制定選擇評價和重新評價供方的準則和方法，并保存評價結果記錄和對供方采取的控制措施記錄。

4．采購卷煙產品的信息要清楚、明確、適當，要符合產品合格標準/接受條件、接受程序、生產過程要求、過程設備要求、人員資格要求、qms要求等。

（三）訂單采集和貨源供應

1．客戶經理和電話訂貨員的職責要明確，不能給電話訂貨員下達銷售指標，客戶經理不能制作訂單。訂單部必須真實、完整記錄零售客戶的自主需求信息，堅決杜絕“按貨源安排訂單”的錯誤做法。

2．貨源供應要對工業負責、對品牌負責，對客戶負責。制定統一的貨源分配管理辦法。特別是對限量品牌，要作到科學合理地確定實施限量的客戶、品種、數量的合理比例，基本滿足零售客戶合理需求，尊重零售客戶品牌選擇權。

3．不準與零售客戶進行協議銷售，同時嚴格執行“六個不準”。

4．加強對總量浮動管理、限銷品牌管理、順銷品牌管理以及貨源自動分配等工作進一步的研究、探索和實踐。

（四）品牌培育

1．按照國家局、省局（公司）的相關要求，建立品牌培育的組織機構，制定相關的制度。

2．統一制定品牌規劃及管理辦法、品牌評價體系，確定品牌培育的目標、計劃方案、實施執行步驟、方法以及持續改進的措施。

3．做好品牌引入與退出、新品上市、品牌培育、維護、廣告促銷等管理工作，定期分析，注重痕跡化管理。

4．加強對重點品牌的培育和扶持工作，把重點品牌做大做強。

（五）工商信息協同

1．及時準確的向工業企業提供市場基礎信息、工業企業產品信息、市場預測信息、零售客戶信息、卷煙價格信息、卷煙質檢信息以及專賣信息等。

2．及時準確的向工業企業收集工業企業的基本信息、卷煙品牌發展規劃、卷煙產品研發信息 工業企業計劃信息、卷煙發貨信息等。

3．所有信息記錄及時、真實、詳盡，注重痕跡化管理。

（六）工商服務協同

1．工商雙方協同做好對零售客戶培訓及信息、共享的工作，提升客戶的素質及滿意度水平，共建和諧的利益共同體。

2．工商雙方協同做好對消費者的服務工作，通過建立和協調零售客戶與消費者的溝通機制以及開展質量測評等工作來收集分析消費者需求、意見及建議，并通過提供優質的產品和良好的消費環境等增值服務來引導、滿足消費者需求。

（七）工商預測協同

1．按照國家局、省局（公司）相關要求，建立健全工商協同預測機制，制定相關制度文件。

2．開展市場調研協同，與工業企業共同開展市場調查，對區域內的市場容量、市場消費特性、卷煙零售渠道、工業企業品牌表現等進行相關的調查，摸清市場容量和工業企業潛在的市場需求，為工商企業制定銷售目標提供可靠的依據。

3．開展預測協同實施，應在年度、半年度、季度、月度需求預測之前收集工業企業對本地區需求預測意見，并納入到需求預測體系，根據工業企業需求預測的準確程度及重要程度，可設定相應的預測權重。最終需求預測意見形成后需第一時間反饋給工業企業。

（八）工商銜接協同

嚴格按照國家局、省局（公司）規定的相關流程和交易管理辦法進行貨源的規劃和采購，加強與工業企業的銜接協同。

（九）工商品牌協同

1．按照國家局、省局（公司）的相關要求建立工商品牌培育協同的相關組織機構和制度文件。

2．要建立新品牌引入機制和卷煙品牌退出機制，堅持公平公正合理的原則，充分尊重工業企業的意見和建議。

3．工商雙方共同作好對卷煙品牌的市場定位和維護工作，促進卷煙品牌的健康成長和發展。

4．建立工商雙方評價考核體系，一是要注重重點品牌培育、維護、跟蹤、進貨面、上柜率、合理定量、訂單滿足率、消費群體和生命周期的評價。二是要注重對卷煙產品質量、價格、市場宣傳促銷等相關信息的評價。

（十）工業企業滿意度測評

1．做好對市場預測、貨源銜接、品牌培育、信息共享、物流管理等方面的服務的評價工作。

2．做好對規范服務、調劑服務、會議服務、培訓服務、保障服務等方面的評價工作。

3．遵守對工業企業的承諾，講信用，尊重工業企業的意見和建議，接受評價，及時解決問題，不斷提升工作質量和工商戰略合作伙伴關系。

（十一）訂單供貨及工商協同營銷工作的實施及考核 1．按照國家局、省局（公司）相關文件要求，切實制定訂單

供貨工作實施方案、工商協同營銷實施方案。

2．研究制定并落實對訂單供貨工作、工商協同營銷工作的督導考評體系，提升這兩項工作的執行力。

（十二）溝通調研

1．營銷中心定期召開營銷例會，每月一次，有會議記錄，并有效解決問題。

2．營銷中心每年確定1～2個經營網建調研題目，開展調研，形成報告。

三、督察投訴

（一）健全工作制度

制定并完善監督、檢查及考評實施細則。

（二）投訴受理

設置“800”免費投訴電話，設立專門的投訴工作場所，統一開展客戶投訴及處理工作，跟蹤落實，定期匯總分析。

（三）三級督察

1．督察考評部門制定年度督察工作方案及督察工作計劃。

2．實施三級督察，市（州）公司領導按季度督察；督察（投訴）中心每月督察，督察面不少于20％；營銷部每月督察，督察面不少于30％，與督察（投訴）中心督察面不能重復。

四、物流管理

（一）入庫管理

1．健全完善卷煙入庫管理工作流程，規范操作。

2．嚴格按照國家局“一號工程”要求，卷煙入庫掃碼。

（二）庫存管理

1．健全完善卷煙庫存管理工作流程，規范操

作。

2．加強庫存預警線管理，確保庫存合理。

（三）出庫管理

1．健全完善卷煙出庫管理工作流程，規范操作。

2．嚴格按照國家局“一號工程”要求，卷煙出庫掃碼。

（四）盤點管理

1．健全完善卷煙盤點管理工作流程，規范操作。

2．盤點記錄詳實。

（五）分揀管理

1．健全完善卷煙分揀包裝工作流程，規范操作。

2．卷煙打碼到條。

（六）送貨管理

1．健全完善卷煙送貨管理工作流程，規范操作。

2．貨物交接手續齊備，貨款及時回籠。

（七）退貨管理

1．健全完善卷煙退貨管理工作流程，規范操作。

2．退貨記錄詳細。

（八）物流資源優化及成本管理

1．制定線路優化方案，綜合分析，合理優化線路。

2．編制物流費用預算，加強配送成本監控，定期分析。

五、隊伍素質

1．制定具體培訓方案，積極開展培訓，市公司集中培訓全年至少2次，客戶經理的培訓時間不少于30小時。

2．組織對《v3系統操作指導大綱》進行學習培訓，并進行測試。

3．組織開展對卷煙包裝標識調整宣傳工作的培訓。

六、運行指標

1．完成省局（公司）下達卷煙各項銷量計劃及重點品牌計劃。

2．零售客戶訂單滿足率。

3．月度需求預測總量準確率。

4．協議變更率。

5．百牌號銷售比重。

6．重點骨干品牌增長率。

7．卷煙入網銷售率100%。

8．電話訂貨率98%以上，電話訂貨成功率98%以上。

9．市（州）公司所在地城區電子結算率60%以上，電子結算成功率90%以上。

10．第三方調查，零售客戶滿意度達到90%以上，對卷煙供應滿意度80%以上，零售客戶毛利率10.5%以上。

11．投訴數量同比下降，客戶對處理結果滿意率95%以上。

12．分揀到戶率100％，含手工分揀。

篇10

關鍵詞：NGN 網絡優化 建議 雙歸屬 運行 安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2016）11-0199-01

NGN是以軟交換為核心，能夠提供話音、視頻、數據等多媒體綜合業務，采用開放、標準體系結構，能夠提供豐富業務的下一代網絡。利用多種寬帶能力和QoS保證的傳送技術，采用MPLS、 VPN技術將整個IP網絡分成幾個不同的隔離空間，使得非MPLS VPN內的用戶無法訪問到NGN網絡中的設備，從而保證NGN網絡的安全。傳統意義上的網絡安全主要是指網絡的可靠性、有效地抵御事故或不可抗拒的災害的能力。而當網絡IP化、引入計算機技術以及數據業務迅速發展的今天，網絡安全性更加重要。

1 軟交換雙歸屬配置

雙歸屬一般指兩臺軟交換異地配置共同負擔一定區域內的所有業務，其形式可以分為負荷分擔方式、主備用方式。軟交換雙歸屬對于業務安全非常重要，是保障用戶業務安全的有效手段，也是NGN網絡中首先要考慮的方面。

1.1 熱備份方式的主備雙歸屬

兩個軟交換一為主用一為備用，通過心跳感知另一個軟交換的狀態，備用軟交換平時不承載業務，當主用軟交換故障時，備用軟交換激活接管主用軟交換業務。

1.2 熱備份方式的負荷分擔雙歸屬

兩個軟交換業務分擔，互為主備用，其中任一個軟交換故障，則另一個軟交換承載全部業務。基本上可看作兩對主備用方式的雙歸屬軟交換。

2 硬件設備資源的合理優化

硬件設備的合理規劃，包含SOFTX3000、UMG8900等硬件單元對機框、單板等的合理規劃，其分配原則為重要功能單板應該跨框分布，避免單個機框發生故障時引起業務中斷。

2.1 硬件規劃原則

（1）SOFTX3000的硬件規劃原則。IFMI分布到不同框，最好分配到不同的機柜；MSG板至少要分布到2框中；FCCU、BSGI單板分布到不同機框中。FCCU單元的配置比例與BSGI保持一致。（2）UMG8900的硬件規劃原則。S2L、SPF板分布到不同框中；VPU板分布到不同框中；CMF、HRB板分布到不同框中。

2.2 單板CPU負荷優化調整原則

單板CPU占用率是衡量其承擔業務能力的一個重要指標，日常維護中對異常的CPU占用率要及時采取擴容和調整務負載等措施降低CPU占用率。

（1）Softx3000的負荷優化調整原則。如果同時刻同類型單板間，“平均占用率”的最高值與最低值相差大于20%，需要進行負荷調整。各模塊單板平均占用率一般要求小于75%，IFM單板均值要求小于50%。否則需要進行優化調整。（2）UMG8900的負荷優化調整原則。SPF 單板的CPU最大占用率不超過65%，CMU單板的CPU最大占用率不超過60%，VPU 單板的CPU最大占用率不超過70%，日常維護中，需要密切觀察以上單板的負荷情況，否則需要調整。

2.3 鏈路負荷調整優化原則

同一個鏈路集各“信令鏈路發送占用百分比”、“信令鏈路接收占用百分比”是否均勻，正常64K鏈路為每雙向link之和負荷≤0.4erl，正常2M鏈路為每雙向link負荷之和≤0.2erl。否則需要擴容及調整。

3 各種資源的合理優化

3.1 信令鏈路的合理分配

信令鏈路的合理分配對于信令安全至關重要，分散風險的方式是把到同一信令點的鏈路分配到不同機框的不同單板，防止到某局向的業務全阻。

3.2 用戶、中繼合理分配

用戶、中繼的分配有兩種方式：一種是分開配置，一種是混合配置，但是不管怎么樣，都要考慮FCCU模塊的容量。根據軟硬件性能一般要求一個FCCU模塊可配置5萬用戶或者9000中繼，也可根據該比例進行混合配置，即如果要同時配置用戶和中繼，則用戶數要小于5萬，中繼數也小于9000中繼，混合配置情況下，要求兩者折合成的用戶數不能超過5萬。

3.3 數據庫各表最大元組的合理優化

日常維護中，經常遇到最大元組不夠用的情況，需要對相關的表進行擴容，即修改相應的最大元組數據。當增加最大元組的時候，根據各表之間的關系，要綜合考慮需要擴容的最大元組一起加載，而不能單純哪個表不夠就修改哪個表，必須考慮相關的表也要同時修改。元組擴容時根據實際需要進行FCCU模塊及CDB數據庫規范進行合理規劃。

4 網絡安全優化原則

保證網絡高效安全穩定的運行，不但要從業務網絡進行優化與評估，還要考慮管理網絡的安全，具體需要考慮如下方面：

4.1 網管網絡的安全改造

日常后臺維護終端都處于DCN網絡中，而且軟交換的操作系統基于WINDOWS的系統，極易遭病毒攻擊，一旦感染病毒，每次都需要殺毒甚至重裝服務器。對日常維護有很大風險，為保證NGN網管管理網絡的穩定運行，可以通過接入防火墻的方式，進行現有的網絡改造，用以抵御各類病毒攻擊，保證網管網絡的高效安全運行。

4.2 加強網關監控的全面性

目前NGN設備的核心數據設備納入數據網管進行統一監控，隨時監控設備運行情況。但SBC、3528、E500等仍只能通過巡視的手段或者TELNET的方式查詢，對設備異常狀況無法由設備自動通知監控人員。建議對以上的設備統一納入到監控中，減小業務風險。