网络安全规划与设计模板(10篇)

时间:2023-07-10 16:01:53

导言:作为写作爱好者,不可错过为您精心挑选的10篇网络安全规划与设计,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。

网络安全规划与设计

篇1

前言

随着现今城域网的普遍使用,城域网方面出现的问题也越来越多,为了保证网络能够安全正常的使用,需要各部门对网络安全问题加以重视。根据网络功能的差别,可将城域网分为核心层、汇聚层和接入层这三个层次。根据业务不同,可将城域网分为接入业务、宽带上网业务及VPN业务这三种业务方式。而本文就是针对各层次出现的不同问题,进行分析讨论,并提出相关建议。

1城域网的概念分析

根据网络功能的不同,可将城域网分为核心层、汇聚层及接入层这三个层面,同时因为各层的功能不一样,所以各层网络安全问题均不一样。核心层存在的目的就是对网络数据进行快速转换,促使核心设备正常操作;汇聚层的主要工作就是保护整个网络的安全运行,并利用合理有效的方案管理网络,是整个城域网中的重中之重;而接入层则是通过对接入业务、宽带上网业务和VPN业务进行接入,以降低网络使用者对网络造成的危害。利用有效的监控手段调整网络安全,以达到网络优化的目的。

2网络安全规划设计对城域网发展的作用

2.1核心层的网络安全

城域网中的核心层,是决定网络数据能否正常快速交换的重要层次,且这一层次与多个汇聚层相连接,通过该层次与多个汇聚层进行连接,以达到网络数据间的高效转换,所以为了确保网路的正常运行,对该层次进行网络保护是比不可少的部分,增加该层的保护功能。核心层的网络安全主要考虑的问题是防止病毒入侵设备,而降低设备的操作性能,因此则需要对路由器这一网络互连、数据转发及网络的管理器进行正确操作,以确保网络使用更安全。因此则需要做到以下两点措施。第一点是在路由器之间的协议添加认证功能。就目前而言,动态路由器是核心层与汇聚层连接之间采取最多的连接设备,现常用的动态路由器主要分为OSPF、IS-IS、BGP这三种。而动态路由器的缺点是路由器动态设置会随着网络的拓展而改变,会对路由表进行自动更新,如果相同设置的路由器设备加入网络,该路由器会自动更改为网络上的路由设置,这样的行为可能导致网络信息的外漏,严重的时候,会阻碍网络上的路由表正常运行,导致网络崩溃。为了有效解决相关问题的出现,则需要在路由器设置中添加身份认证,只有通过身份上的认证,同区域的路由器才能互相分享路由表上的信息,以此保护网络安全。第二点则是遵循最小化服务的原则,关闭网路设备上不需要的服务。对此则需要做到以下几点:(1)保证远程访问管理的安全,在路由器信息进行加密保护,防止外界恶意访问的攻击;(2)端口限制访问,通过使用ACL端口进行访问限制,在设备接口上添加数据访问限制,增加网络信息过滤系统,减少网络病毒带来的路由器资源耗损,防止网络病毒入侵,促使网络系统崩溃;(3)增强对网络系统的检查控制,目前采用最多的是SNMPV3协议进行网络信息加密保护,在利用ACL控制SNMP访问,只允许访问设备信息,禁止复制设备信息,以有效检查控制网络运行情况;(4)禁止使用路由器不需要的服务,路由器主要分为软件和硬件的转发方式,转件转发的路由器是通过CPU软件技术进行网络数据转发的,也就是利用核心技术进行的数据转发,而硬件转发的路由器时通过网络上的硬件处理器进行数据转发的,所以使用正确的路由器服务,减少不需要的服务,促进路由器高速运行。

2.2汇聚层的网络安全

汇聚层是保护网络安全运行的重要层次,通过合理有效的方式管理网络,可以作为城域网中的管理层。为保证汇聚层能安全正常的操作,从接入网设备和各种类型用户这两方面进行分析,需要做到以下几点。第一点是接入网设备的安全,利用ACL控制接入网设备的访问,增加对汇聚层端口的检查控制,以达到对连接汇聚层的接入网设备的控制,确保接入网设备的安全。第二点是宽带小区设备的安全,为确保宽带小区网络设备的正常安全运行,需要采取以下几点措施:(1)调整BAS的部署方案,将BAS边缘化,对VLAN设置下的用户数量加以控制,降低网络危害的出现,优化网络系统,从宽带接入服务器中体现出QINQ技术的特征,减少汇聚层中虚拟局域网的传播,因此BAS需要采用双上行的方式保护网络安全;(2)利用BAS+AAA验证服务器检验网络用户的身份,防止账号被盗情况的出现,帮助网络用户准确定位;(3)绑定PPPOE拨号用户对VLAN、端口及用户账号的设置,以防非原有用户对原有网络用的账号和密码进行盗取使用,同时也可以对上网用户位置进行准确定位;(4)为了防止用户账号出现非法共享和漫游资费的情况,需要宽带接入服务器和个人用户账号在radius设备中进行圈定;(5)依据BAS的内存和实际情况决定保留流量数据的多少,并控制使用BAS设备的用户数量,以保证网络安全正常的运行。第三点是从宽带专线用户方面,采取相关安全措施,对此可以做到以下几点:(1)控制用户端口连接的数量,以防止外界危害的入侵;(2)圈定使用用户的基本信息,确定网络用户的位置,阻止非法网页的入侵;(3)设置ACL设备的控制列表信息,通过对外界网页进行多层次的过滤,减少对网络设备的危害,并阻止危害网页消息的出现,确保网络更安全。

2.3接入层的网络安全

通过对接入业务、宽带上网业务和VPN业务进行接入,以降低网络使用者对网络造成的危害。其主要连接方式是XDSL、LAN和WLAN这三种,从用户的网络安全进行分析,得出以下两点措施。一方面是阻止侧用户端口的接入,利用物理隔离和逻辑隔离这两种方式进行网络隔离。其物理隔离主要使用的是单主板安全隔离计算机和隔离卡技术这两种隔离方式,以确保内部网络不直接或间接与公共网络进行连接,以此达到真正隔离的目的;而逻辑隔离则是采用虚拟局域网、访问控制、虚拟专用网、端口绑定等手段进行个人网络和公共网络间的有效隔离。通过以上两种隔离手段,有效保护个人网络账号信息的安全,以防外界用户对原用户的干扰。另一方面则是对用户宽带的流量加以控制,利用完整的软件应用能力和充足的流量管理经验,以达到完善用户网络的目的,促使接入层网络更安全。

3网络安全规划设计实行策略

根据城域网中各层次的特点,从不同方面分析城域网运行过程中出现的问题,采取不同的优化措施,制定合理有效的优化策略,严格管理控制网络数据和信息传送,促进城域网安全稳定的发展,并利用有效的控制手段优化网络信息,以确保网络正常安全的运行。除此之外,还需要网络用户对个人路由器信息进行认真设置,使用更高级的账号登录密码,防止网络病毒的入侵,导致自身网络系统瘫痪,使用正确的路由器服务,有利于网络安全平稳的运行。

4总结

综上所述,根据城域网各层次出现的网络安全均不同和网络所承接业务的不同,我们应采取合适解决问题的安全技术方案,改善城域网在各阶段的不足之处。在网络安全技术实行过程中,需要全面考虑到网络各方面的应用,制定合理有效的安全技术方案,利用合理的安全防护技术,改善城域网网络规划设计中出现的不足之处,只有确保城域网的整体安全,才能达到全面完善网络系统,从而促进城域网健康稳定的发展的目的。

参考文献:

[1]龚俭,陆晟,王倩.计算机网络安全导论(第1版)[M].东南大学出版社,2000.

[2]李逢天.网络运营中的网络安全问题及解决思路[J].电信技术,2002.

[3]杨建红.计算机网络安全与对策[J].长沙铁道学院学报(社会科学版),2005.

篇2

影响通信网络安全的因素主要是技术因素、环境因素。因此,安全的通信网络规划设计需要对这两个因素重点关注。要综合的分析考虑,进行整体性的规划,使通信网络的规划设计满足安全性的要求。

1通信网络的保障方式

通信网络包括网络信息以及用户信息,因此,通信网络的安全非常重要。通信网络的保障方式包括:(1)实时对信息的完整性进行监控;(2)确保信息传输的安全;(3)信息的操控需要进行身份认证;(4)设定安全级别,控制非法访问;(5)对信息的传输、操作进行实时、详细的记录。

2通信网络的安全需求

信息网络是信息传输的载体,在信息的传输过程没有被用户掌控,因此,用户会担心信息在传输过程中被非法访问、窃取、破坏等,因而产生了对通信网络安全的需求,也就是通过通信网络进行信息的传输,信息的机密性、完整性、不可破坏性能够得到相应的安全保证。

3通信网络安全分析

综上所述,必须要考虑通信网络的安全性,依据实际情况,进行安全的通信网络规划设计。安全的通信网络规划设计方案如表1所示。下面将从通信网络的安防工程、信息安全、网络安全、链路安全四个方面,对通信网络的安全进行具体的分析:(1)通信网络的安防工程。通信网络的安防工程是安全的通信网络的根本保障,为通信网络提供了一个安全的环境。其环境有以下几个明显的特点:传输设备随着信息的增多而增加,环境复杂化;空间容量随信息的增加以及通信网络结构的变化而逐渐增加;通信设备趋向于智能化、模块化;体积随着空间容量的增多反而逐渐减少。随着通信网络环境的改变,其规划设计对安全的要求也逐渐的提高,因此通信网络的安防工程显得十分重要。(2)信息安全。网络具有开放性的特点,导致信息的容易被非法非法访问、窃取、破坏等,因此,需要特别关注用户身份识别、信息的存储、信息传输等关键点,确保信息安全。例如,采取创建公钥密码的身份识别方式,确保信息的机密性;构建信息数据库,信息管理系统化,保证信息的完整性;对信息内容进行审计,对信息进行安全的管理,防止非法入侵破坏信息的完整性,保证信息的机密性。(3)网络安全。网络其开发性的特点,使之安全性受到一定的威胁。要达到网络安全的要求,需要对通信网络加强控制和管理。例如,可以使用防火墙技术将内外网络分离开来,对网络进行管理和控制,并不断根据实际的情况提高防火墙技术、加密技术、入侵检测等相关技术,提升网络安全。(4)链路安全。通信网络中链路安全会受到设备所用技术的影响。因此,应从以下几点加强链路安全:降低其维修的难度,对附加操作量进行一定的控制;保留网络本身的性能特点;为了实现系统的拓展,保持拓扑结构的原型;合理、合法的使用一些密码产品等。通过以上方法,对链路安全进行加密,信息送达后再进行解密。

4结束语

对于安全的通信网络规划设计,可以从以下五个方面入手:①对在通信网络中进行传输的信息进行加密设计;②针对通信网络入侵检测技术进行相关的研发,提升技术水平,提高通信网络的防御水平;③构建安全网管系统,确保通信网络的安全;④对通信网络中节点内系统进行重塑,提高安全防控能力;⑤对通信内部网络协议进行规划,确保通信网络内部协议的安全性,使通信网络安全运行。总而言之,进行通信网络规划设计时,一定要对其安全性进行科学、合理、深入的分析,采取具体措施提高通信网络的安全性,构建科学、合理,安全、稳定、高效的通信网络系统。

参考文献:

[1]陶卓.关于通信光缆网络线路规划设计问题的思考[J].通讯世界,2015,24:15~16.

[2]曹杰.试析电力光纤通信网络的规划设计的问题[J].中国新通信,2016,08:47.

篇3

全国政协委员、民银国际投资有限公司董事长何帮喜告诉《中国经济周刊》记者,“中国制造 2025”战略、两化深度融合和多层面互联互通政策带来产业的大规模提档升级,工业控制和基础设施智能化发展很快,但工控网络安全领域问题突出,防护薄弱,因此,电力、水利、石化、冶金、汽车、航空航天等面临前所未有的工控网络安全威胁,民航、铁路、城市交通、水电燃气管网等涉及国计民生的关键基础设施同样安全防护严重滞后,面对工控网络威胁的防护能力几乎为零。

针对当前现状,何帮喜委员在提案中建议,应尽快将工控网络安全防护纳入国家战略,以建设国防事业的

标准和力度去投入发展工控安全产业,避免重蹈互联网安全产业起步晚、技术落后受制于人的覆辙。

网络战争逼近眼前

精确攻击工控系统漏洞代码能瘫痪一个国家

何帮喜对《中国经济周刊》记者说,工控系统中的“漏洞”就像身体出现疾患,如免疫力下降、内分泌失调,病毒会利用这些漏洞入侵人体,产生不良反应,工控网络安全领域的漏洞,如Havex、“方程式”组织攻击等,像“火星文”一样难以理解,但精确攻击工控系统“漏洞”,其破坏性超出想象。如2014 年出现的Havex 漏洞,有能力禁用水电大坝、使核电站过载,甚至可以做到按一下键盘就关闭一个国家的电网。所以,工控网络安全“漏洞”小则导致工厂瘫痪,大则造成核电站爆炸、地铁失控、全国停电等灾难性后果。

他说,“在工控网络安全领域,代码已经成为一种武器,以美国为代表的各国政府已将工控系统漏洞代码列为军备物资限制出口和交易,对一个国家重要设施的精确打击不再需要使用传统军事手段,通过网络战即可瘫痪一个国家。”

据悉,近年来,网络战争逼近眼前,各国间的网络“军备竞赛”继续加强,网络摩擦不断增多,大规模网络冲突爆发的风险进一步加剧。

何帮喜认为,工控网络安全领域因涉及国家的核心基础设施和经济社会稳定大局,辐射范围广泛,成为国家间对抗的全新手段,其威慑力和影响力不亚于传统战争。2016 年黑暗力量病毒攻击乌克兰电网造成大面积停电等事件表明网络战争正在我国周边地区发生。

形势严峻 机遇难得

工控网络安全产业亟须快速崛起

何帮喜委员告诉《中国经济周刊》记者,首先,当前工控网络安全行业缺乏顶层设计和发展规划。去年《网络安全法》出台,“网络强国战略”纳入“十三五”规划,国家网络空间安全顶层设计明显加强。但工控网络安全的重要性尚未达成共识,顶层设计仍不明确,工控网络安全与传统信息安全存在较大差异,亟须进行专题研判,并制定行业发展规划。

其次,重要工业制造业领域大量使用国外工控设备。目前,国外工业生产设备提供商已在各领域垄断了工

业生产控制系统和设备市场。以我国工业PLC 市场为例,2015 年西门子、三菱、欧姆龙、罗克韦尔、施耐德等5家国外厂商占据超过80% 的市场份额,国内厂商不但不掌握这些设备的核心技术,更不掌握系统的安全设计,漏洞和后门的风险与日俱增。

不过,何帮喜委员补充说,严峻挑战也带来难得的后发机遇。目前,第四次工业革命到来,打破发达国家

对核心技术、工艺和标准的垄断,工控网络安全作为新兴产业迎来难得机遇。

“工控网络安全正在成长为一个战略性新兴产业,与我国现代工业融合发展,在提高工业智能化水平的同时,将本产业做大做强,形成产业优势,为我国基础设施建设领域植入安全基因。”何帮喜说。

潜力巨大 前景可期

应从五个方面加强工控网络安全产业发展

何帮喜委员建议,应从以下五个方面加强工控网络安全产业发展:

一是从战略高度加强工控网络安全顶层设计,明确责任部门。该行业涉及工业控制、智能制造、能源管理、安全生产、信息化建设、网络犯罪治理等多个领域,必须从战略高度加强我国工控网络安全整体战略规划和顶层设计,进行专题研判,同时加强政府各部门间的协调,具体工作要落实到责任部门。

二是建立完备的工控网络安全体系,掌握芯片级核心技术。以自主安全工控芯片为基础,加快工控网络安

全体系建设、技术与产品研发,解决工控设备本体安全、结构安全、行为安全,为工控注入安全基因,实现本质安全,并在持续对抗中保持领先优势。

三是大力扶持新兴工控网络安全企业,鼓励技术创新和产业化。工控网络安全是跨学科的技术融合,新兴

企业的颠覆性技术是创新的重要来源。我国目前已涌现出一批如匡恩网络等具备深度科研能力的、有活力的工控网络安全企业。应大力引导和扶持该行业民营企业的发展,培育良好的产业生态,促进具备自主知识产权的先进技术实现产业化落地。

篇4

[3]吴良源.全力打造实战型网络警察队伍[D].信息网络安全,2005(10):2.

[4]我国网络安全立法体系框架[OL].http:///zt/xxaqcx/aqfg/201306/t20130603_645720.htm.

[5]史伟奇,周建华.网络安全监察专业人才培养方案研究[J].江苏警官学院学报,2012(3):2.

[6]刘长文,佟辉.网络安全与执法专业建设若干问题初探[J].北京人民警察学院学报,2012(7):1-2.

[7]霍宏涛,王任华.公安院校计算机犯罪侦查专业方向课程体系改革研究[J].北京电子科技学院学报,2006,14(1).

[8]郭启全.网络信息安全学科建设与发展[J].中国人民公安大学学报:自然科学版,2003(03):36-39.

基金项目:中国人民公安大学调研项目(项目编号:2013JXDY22)。

作者简介:

篇5

1 网络规划方案

1.1 网络设计原则

计算机网络技术的发展非常迅速,在计算机应用领域占有越来越重要的地位。必须认识到,建立计算机网络是一个动态的过程,在这个过程中将不断有新技术产生,有新产品出现。因此,一定要采用最先进的组网技术,选用代表当今世界潮流趋势的计算机公司的网络产品,才能在未来的发展中保持技术领先。该网络设备采购与集成工程要充分体现技术先进性、功能实用性、操作简便性、数据共享性和系统扩展性等特点,同时兼顾投入成本和今后升级费用。具体应达到几点要求。

紧贴用户需求:网络建设的最根本的目的是满足用户的需求,并在未来的网络发展中能够有一定的扩展性。

可靠性:网络设计中网络设备和链路本身具有高可靠性,是网络中一个重要的指标。

层次结构:网络的层次结构的划分,主要是用来区分各层的主要功能,建立合理的网络结构。

实用性:网络设计一定要充分保护网络系统现有资源。同时要根据实际情况,采用新技术和新装备,还需要考虑组网过程要与平台建设及开发同步进行,建立一个实用的网络。

安全性:安全性非常重要,除了系统提供多种安全控制的手段外,网络设计也要提供保障其安全的手段。

1.2 网络逻辑结构设计思想

分层模块化设计的优点。

可扩展性:由于分级模型易于模块化,它对网络设计非常有用。因为每层设备有类似的,明确定义的功能。

设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境。

可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。

网络层次的划分:按照当前网络技术和应用的发展,网络中各部分所需要承担的功能的不同,把网络分为三个层次:接入层(Access layer)、汇聚层(Distribution layer)、核心层(Core layer)。

2 详细的网络设计

2.1 整体网络拓朴结构设计

整个网络采用层次化设计,从网络的逻辑结构来看,网络分为三层,即核心层、汇聚层和接入层。

2.2 核心层的设计

以机关大楼二楼的信息中心机房、102工房的指挥调度中心机房、综合楼的一楼配线间为中心组成一个单模双环万兆主干网,核心设备选用3台高档路由器。

2.3 汇聚层的设计

在信息中心机房、指挥调度中心机房、综合楼/科研楼、101工房制丝中控室、102工房卷包中控室、101工房动力中控室分别配置两台交换机,每台交换机各自以万兆方式就近接入核心层路由器,同时两台交换机之间也以万兆线路连接。

2.4 接入层的设计

接入层是网络的最边缘部分,直接连接网络用户终端,为网络提供通信。它的主要目的是允许最终用户连接到网络。采用千兆光纤线路连接本楼汇聚层的交换机,以10/100/1000M电口连接终端,同时考虑到无线系统的部署,接入交换机还要提供无线接入点的接入。

2.5 IP地址规划

2.5.1 IP地址规划的重要性

网络的设计及实现新厂区IP地址的分配,采用动态分配、集中管理办法。IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系。

2.5.2 IP地址分配方案

为适应不同规模的网络,可将IP地址分类,称为有类地址。每个32位的IP地址可以分成网络部分和主机部分。每个地址的最高位或起始几位标识地址的类别,共有5类IP地址,分别是A,B,C,D,E类地址。

2.6 VLAN的规划

以太网交换技术的一个主要特征是VLAN,它使用交换机将工作站和服务器聚集到逻辑概念上的组中。在一个VLAN中的设备只能够与同一个VLAN中的设备通信,这样,一个交换式的网络工作起来就像是许多互不相连的单独的LAN一样。

2.7 路由设计规划

路由器使用路由选择协议交换路由选择信息。内部网管协议(IGP)和外部网管协议(EGP)是路由选择协议的两种家族。由于此网络为3级网络系统,骨干网络有一定规模,合适的路由协议将有利于路由快速的收敛,实时反映网络系统中链路和设备的变化,并减少网络上的路由信息传输量,提高网络带宽的利用率。

3 网络安全设计与实现

网络安全包括两个主要方面:首先保护你的网络防止非授权访问;其次,确保你在发生灾难性事件后能够恢复数据。在第一个方面中可以采取建立安全策略来达到此目的。数据恢复是网络安全的第二个方面。

3.1 网络安全的设计

在局域网内部,为对整个网络的安全状况进行有效的评估,建议配置网络安全扫描设备,对包括Internet/Extranet外部网络接口、内部主机在内的整个网络进行扫描,在不断变化的网络中识别并分析安全弱点(Proactive Software),同时快速生成超链接的、定制、可编辑的报告,帮助用户找到网络中的安全薄弱环节,从而调整安全策略,控制风险。

3.2 网络安全的实现

1)在网络中配属防火墙,作为企业广域网和局域网之间的边界控制。Cisco可提供PIX硬件防火墙、IOS路由器防火墙和交换机上的防火墙模块。

2)对所有网络设备的管理必须经过身份识别和监控,Cisco所有的网络设备都支持复杂的AAA功能,支持Radius和TACACS+等多种协议,更可以支持信息的加密传输如SSH和SNMP v3。

3)作为主动的防护手段, IDS入侵探测设备,可与防火墙配合使用,当侦测到入侵时,可动态修改防火墙的策略,关闭入侵者的连接和IP通道。

4)Cisco提供丰富的网络安全管理软件,小到Cisco Works上的一个组件,大到专门的策略管理器,应有尽有。

4 结束语

篇6

工业控制系统是制造业基础设施运行的“大脑”,广泛应用于电力、航空航天、铁路、汽车、交通、石化等领域。2010年“震网”病毒攻击伊朗核设施,2011年“火焰”病毒入侵中东国家,2015年底“黑暗能源”病毒攻击乌克兰电网……一系列突发事件表明,工业控制系统的网络安全面临严峻的挑战。无论以美国为代表的“工业互联网”,还是以德国为代表的“工业4.0”,都将工业控制系统的网络安全视为重中之重。

中国政府对工业系统的网络安全同样极为重视。2011年开始,国务院先后出台的《工业转型升级规划(2011-2015)》、《关于大力推进信息化发展和切实保障信息安全的若干意见》、《中国制造2025》等一系列文件,都强调了两化融合中网络安全保障的重要性。

然而,与工业系统的快速数字化、信息化和智能化相比,中国工业控制系统的网络安全保障进展缓慢,防护薄弱,问题仍较为突出。

乌克兰电网被攻击后,国内相关网络安全公司的监测报告显示,在国内交通、能源、水利等多个领域的各类工业控制设备中,完全暴露在外、可以被轻易攻击的多达935个。有些城市和地区的工业控制系统面临较大的安全风险。

造成这一隐患的原因众多,关键是一些企事业单位在借助信息化提高生产效率的同时,没有考虑工业控制系统的网络安全防护。而即使认识到工业控制系统安全的重要性,在系统改造实施过程中,由于没有专业知识、人员和部门支撑,所采取的安全措施也往往浮于表面,未得实效。

从实际情况看,中国的工业控制系统虽然还没有发生影响巨大、后果严重的网络安全事件,但不少领域的企业都已经或多或少遭遇了因计算机病毒引发的安全事故。如果上升到国家安全层面,一旦这些控制系统的安全漏洞被利用,将有可能导致核电站过载、电网停电、地铁失控等灾难性后果,这绝非危言耸听。

面对日益严峻的网络安全形势,加强工业控制系统的网络安全保障迫在眉睫。既要有国家自上而下的体系化顶层设计,也要有产业和企业自下而上的探索与实践。

从国家层面来看,在保障体系的机制建设上,需要一个高规格的协调机构,以应对关键基础设施和重要系统可能遭受的高强度攻击,同时组建以工业企业、信息网络、公共安全为主的应急联动机制,制定应急响应处理办法。

与此同时,做好重点行业的工业控制系统威胁情报研究,各方联动,形成合力,提供有价值的威胁情报信息,建立更有实用性的威胁情报库,为政府机构、安全厂商、企事业单位提供更好的支持。

篇7

[2] 高峡,陈智罡,袁宗福.网络设备互连学习指南[M].北京:科学出版社,2009.

[3] 田斌,田虹,潘利群,等.高校校园网工程建设方案设计与实施[J].武汉理工大学学报,2009(1).

[4] 牛贺峰.中职学校数字化校园建设的问题及对策[J].职业时空,2011(5).

[5] 余绍军.校园网的安全与防火墙技术[J].长沙航空职业技术学院学报,2003,(4).

篇8

中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2016)11-0162-01

近年来,某高职院校适应经济社会发展对应用型高技能人才的需求,主动谋变,科学转型,人才培养质量有了显著提升,同时为了加快发展,于2015年征地800亩,开始建设新校区。新校园的网络设施建设是基础设施建设的重要环节,其规划及设计既要充分考虑与老校网络的互联互通,技术方案、设备选型又要适当超前规划,考虑未来学校的长远规划。

1 现状与需求分析

1.1 校园网络现状

(1)网络核心设备。目前该校的网络核心设备主要是华为NE系列核心交换机组成,有少量采用h3c设备。华为NE系列交换机是具有三层交换功能的高端交换机,性能十分稳定。各网络节点之间用高速光纤接入。服务器以采用IBM刀片服务器为主。

(2)主干线路。目前,该高职院校的校园网主干线路为千兆,主干线路连接主交换机与二级交换机,二级交换是各网络节点与桌面电脑之间,大部分为百兆,拟升级为千兆。

(3)网络覆盖率及上网速度。该高职院校所有建筑单元均已覆盖校园园,百分之百的公用电脑均已入网。学校网络已接入中国教育教研骨干网络。

(4)网络拓扑结构。该院校目前的网络拓扑结构以集中式为主,结构比较合理,但是随着校园网网络用户数量的不断扩大,现有的网络负载量急剧增长,扩容十分必要。具体拓扑结构如图1所示。

1.2 新校园网络建设需求

该高职院校新校区目前在校生10000人,预计2020年要达到15000人的规模。教工用户稳定在2000人左右。新校区按照电工、电子、机械、人文等专业群划分为四个教学功能区,电工与电子专业集群共用实验楼,机械与数控等专业共用一个实验楼。

2 新校区网络设计原则

新校区网络建设与新校区基础设施建设遵循同步设计、有序施工原则。在新校区土建方案中即考虑网络管线设计,确定好核心点和汇聚点的位置、接入接式。网络建设与中心机房建设同步进行,遵循一个数据标准。

3 系统总体方案设计

3.1 网络拓扑结构设计

该院校网络拓扑设计考虑两种方案:

(1)星型结构。以图文信息大楼为中心,两台核心交换设备构成核心层;文科组团、理工组团二、生活区、各建一个汇聚点,学生公寓设置3个汇聚点,以上7个汇聚点用双链路接入核心层构成汇聚层;每个建筑体接入临近汇聚点,构成接入层。网络中心设在核心层图文信息大楼中。

(2)环型结构。以图文信息中心、文科组团、理工组团二、学生公寓四点建立一核心环,用双链路连接保证可靠性,该环构成核心层。在公共教学组团、文科组团、理工组团一、理工组团二、生活区各设置一个汇聚点、学生公寓区设置三个汇聚点,各汇聚点用双链路平均接入核心环结点构成汇聚层,保证负载平衡。每个建筑体接入临近汇聚点,构成接入层。网络中心设在核心环上图文信息大楼中。

经与新校区建设指挥部协商,并征求施工方及专家的意见,确定该高职院校新校区网络设计方案采用两种方案结合的方式进行。即在网络主干布线时采用第二种方案,在二级结点之间采用第二方案。

3.2 新、老校园网络接入

由于该高职院校新、旧校区物理上相隔较远,自成一体。在新校区网络设计时,必须考虑租用第三方运营商线路。本院校租用了电信的万兆级裸光纤,用以新、旧校区高速数据交互的需要。新校区的校园网与中国教育科研网的连接复用老校区的出口。

3.3 网络安全保证

(1)建立电子身份体系。以该校一卡通管理为依托,为该校每一个学生建立一个网络身份证,并与教工用户使用不同的密钥系统。实行“集中授权、统一认证”,保证用户身份的真实性、唯一性和权威性。用户密钥采用硬件、软件加密系统,并引入口令卡技术,确保用户个人的信息安全。

(2)网络安全系统。网络安全系统主要有硬件防护和软件防护组成。该高职院校硬件防护主要是在校心交换上布设了内外网隔离网闸、防火墙,在网络服务器部设入侵检测系统及资源管理系统,实时监测服务器CPU、内存、磁盘阵列的资源负载情况;软件防护主要购买了绿盟病毒防护系统、安捷数据库访问审计系统。从硬件、软件两方面建立了该高职院校的校园网网络安全防护体系。

4 结语

本论文主要结合某高职院校新校区的建筑部局,对该高职院校新校区的网络建设需求进行了分析,并给出了新校区网络拓扑的两种方案,最后采用两种方案融合进行的思路,充分考虑了未来新校区网络建设的发展需求。网络安全是网络规划与设计中需要考虑的重要内容。本论文也给出了该高职院校网络安全保障的建设内容,包括建立电子身份体系、防火墙、入侵检测、病毒防护、VPN等安全系统和网管系统,并给出了该高职院校网络安全的防护结构示意图。本论文的研究对于大学新、老校园的网络建设具有重要的参考意义。

参考文献

篇9

(2)学生从大二第二学期才开始接触到信息安全课程,在入学初期没有培养起对信息安全的兴趣,不了解信息安全的基本概念、重要性以及与信息安全有关的就业岗位,教师也没有为学生科学地制定大学4年的学业规划。

(3)随着物联网和云计算的普及,各种网络安全攻击手段和保障网络安全的技术不断推陈出新。目前,信息安全的一些专业课程还只是停留在基本原理的讲解上,没有做到与时俱进,很少讲授前沿的网络安全应用及其存在的安全隐患及解决方案。教师没有引导学生利用发散性思维并投入到对前沿网络技术和安全技术的研究中。

(4)缺少网络安全工具实训。现在很多网络安全工具都是开源工具如Backtrack等,掌握这些工具需要花费大量时间,因此需要开设网络安全工具实训课程,让学生掌握如何配置、安装、使用和定制个性化的开源工具。

(5)缺少安全软件设计等实践课程。信息安全专业的学生除了要能够利用安全工具进行系统安全测试外,还要掌握如何防御和解决系统安全漏洞,另外,还有很多学生希望从事安全软件开发工作。这就要求高校设置安全软件设计开发类的课程,帮助学生掌握安全软件开发过程中所需的知识和技能。

(6)缺少创新思维的培养。国内大学生的创新性较欧美大学生有所欠缺,因此要注重信息安全专业学生的创新思维培养,并且要从大一开始就进行创新思维的锻炼。

二、网络安全教学中融入创新思维培养的实践

结合东华大学计算机科学与技术学院培养信息安全专业学生创新能力的经验,我们阐述如何从学生入学到毕业的4年间培养其创新思维和实践能力。

2.1培养学生对专业的兴趣

首先,我们要积极发挥班级导师的作用。网络安全的任课教师可以担任信息安全专业学生的学业导师,学业导师在学生入学后通过学习方法和学业规划等主题开展学习交流会,在会上介绍网络安全的知识结构、科学背景、发展趋势、行业需求、就业领域,并引用前沿网络安全技术和最新的网络安全隐患案例和视频,如利用智能手机安全漏洞和“云”查杀病毒技术等案例激发学生的兴趣。兴趣是学生的学习动力,学生是教学的主体,在教学中对课程的参与度高低直接影响整个教学成果,因此要提高学生的学习效率,首先要增强他们对网络安全技术的兴趣。导师应在易班网上学生活动社区或其他社交网站上建立网络班级,保持与学生的日常沟通,为学生选课提供帮助;协助学生进行学习生涯规划,同时为专业学习提供帮助;在网上班级设置“我的Idea”专题,让学生在论坛里发表自己的创新想法,如要做什么样的系统或软件解决生活中遇到的一些问题。该阶段学生还没有实现这些软件的技术能力,导师可以指导学生学习某方面的技术以实现这些有创意的想法。

2.2以赛代练,参与国家和市级大学生创新

项目和高水平信息安全竞赛在创新实践中,辅导员和学业导师起着非常关键的作用。学业导师都是计算机学院的在职讲师或教授,他们可以把自己主持或参与的科研课题介绍给学生,让学有余力的学生参与学业导师的课题研究,一方面培养学生的自学能力并积累科研所需的知识,另一方面培养学生的创新思维。辅导员和学业导师经常组织学生参加信息安全大赛,如全国大学生信息安全竞赛和信息安全技能大赛。同时,为了鼓励学生进行科技创新,东华大学计算机科学与技术学院每年组织学生参与全国和上海市的创新实践项目申请,学生组团挑选专业课教师作为项目导师,共同探讨创新课题、撰写科技创新项目申请书并提交给专家组,学院组织专家评选20多个创新性高且可行性强的课题并给予资助,在大四上学期对给予资助的项目进行结题审核。学院鼓励获得上海市级以上大学生创新实践项目的学生将创新实践项目的实施与大四毕业设计(论文)相结合,获得专利创新设计的学生还可提前完成毕业设计并参与创业基金项目的申请或到优秀企业实习。在这些科技创新项目中不乏优秀作品,如基于手势识别的文档加密系统的开发、基于Android的动态一次性口令生产器开发、基于Android系统的短信隐私保护软件的开发等。学院每年举办的这种创新性竞赛激发了学生的创新思维、团队合作意识、项目管理和软件设计开发能力。参与科技创新竞赛学生的学习成绩和项目实践能力远远高于平均水平,同时他们的创新能力和工程实践能力也得到广大教师和实训单位的认可,大部分学生获得了直研和被优秀企业聘用的机会。

篇10

1 网络空间安全的教学体系

网络空间安全是一门交叉性学科,融合了数学、信息论、计算复杂理论、控制论、系统论、认知科学、博弈论、管理学、法学等学科知识,其研究内容不仅涉及非传统网络安全理论与技术,如网络安全、网络攻防、网络安全的管理、信息安全等,还囊括网络应用的安全,如数据的恢复与取证、舆情分析、工程系统和物联网安全等。与其他学科相比,网络空间安全不仅采用理论分析、实验验证、技术实现等常规手段,还采用逆向分析等技术,从攻方和守方两个不同的角度分析当前网络空间安全所面临的威胁[5]。网络空间安全的教学体系框架如图1所示。

2 课程改革的发展与建设

2.1 课程体系教学改革

现有的网络安全或信息安全教学体系分为两种,一种是传统课堂教学模式,另一种是互联网在线教学。传统课堂教学模式可以实现良好的师生互动,但是授课内容大都是授课教师拟定,学生不能根据自身喜好、知识水平、技术能力等实际情况选择适合自己的课程。基于互联网的在线教学虽然解决了学习地域以及时间受限的问题,但是还存在缺少互动实践环节、不能及时巩固练习及反馈学习内容的问题。针对两种教学模式的固有缺点,结合网络空间安全的学习更需要可知、可感和可实践的特点,教师可尝试设计网络空间安全课程的实践教学模式,涵盖可实施性的应用教学案例,满足更轻量、更丰富且更自由的新型学习理念,提高学生的创新能力与实践能力。

2.2 实践教学课程建设

网络空间安全实践教学设计采用层层深入各个知识点、关键技术的原理演示与课后练习实践等多种教学模式,课程设计要能够理清网络空间安全学科涉及的各个主要教学内容,融合网络空间安全、网络安全和信息安全相互之间的联系和区别。

实践教学的内容设计涵盖了学习者所需要的大部分重难点知识体系。学生既可以通过实践教学系统搭建仿真环境自主学习,又可以点播、跟踪指导教师授课视频进行学习,不断强化学习者对网络空间安全的整体规划意识。这个整体规划意识是网络空间安全、网络安全、信息安全相互之间的联系,三者之间存在相互区别又相互促进的关系。

每节课都提供详细的PPT教案与教学视频供学生学习,课程涵盖基本的知识量且在完成规定的授课学时后,还将课程进行深度与广度的拓展,如挖掘应用技术和国内外网络空间安全领域发展的最新进展,不仅为学生提供充足的、具有自主性的学习资源,还可为教师提供一次学习提高的机会。课程中除了知识讲解,还需设定学生提出问题并布置作业的模块。完善建设中的实践教学系统如图2和图3所示。

3 实践教学体系结构

文献[6]提出 “一个通过规则管理的虚拟的空间,这种空间称为‘网络空间’。网络空间的安全涉及设备层、系统层、数据层和应用层这四大层面上的问题,这是网络空间安全概念的初步定义。教学内容建设是课程建设的核心,综合考虑教学内容的可实践性、可扩展性、综合完备性等方面因素之后,我们利用网络自主学习的整体性原则,把网络空间安全课程的教学内容划分为设备安全、系统安全、数据安全和应用安全4个部分,每一部分重视和强化实践与实验环节,强调学生自学能力,以激发学生独立思考的思维。实践教学内容见表1。实践教学内容体系框架如图4所示。

4 实践教学任务规划

4.1 教学规划

综合表1和图4,具体的教学任务安排如下。

(1)设备安全:①防火墙建设与保护,如Linux防火墙配置、事件审计、状态检测等;②入侵异常检测,如HIDS部署实验、入侵行为检测实验、异常行为检测等;③容灾数据安全备份,如NAS存储、Linux RAID实验、IP SAN存储管理等;④通信安全,如语言保密通信实验、MAP信息安全传输、认证实验等;⑤服务器安全,如Linux日志管理、远程桌面安全配置、Windows网络管理等;⑥无线保护,如无线组测试、WEP密码破解测试、WPA配置测试等。

(2)系统安全:①操作系统安全,如Web安全配置、Linux用户管理、FTP服务安全配置等;②数据库安全保障,如MYSQL与SQLServer的安全审计、数据的安全备份与恢复等;③身份认证,如动态口令认证系统实验、人脸识别与检测编程实验等;④安全审计等,如文件事件审查、网络事件审查、主机监控实验等。

(3)数据安全:①密码学及应用,如密码学、PKI、PMI等;②密码破解,如Linux密码破解、Win密码破解、远程密码破解等;③信息防护,如图像信息和音频信息的隐藏与加密实验等。

(4)应用安全:①计算机病毒,如脚本病毒实验、木马攻击实验、PE型病毒实验等;②网络扫描与嗅探,如网络连通实验、路由信息探测实验、网络嗅探实验等;③逆向工程,如Aspck加壳、 Aspack反汇编分析、逆向工程高级实验等;④网络欺骗,如ARP_DNS欺骗实验、MAC地址欺骗实验、DOS攻击实验等;⑤缓冲区溢出,如缓冲区溢出初等级实验、缓冲区溢出中等级实验等。

4.2 实施路径

实施路径涉及教学内容的安排、教学大纲的撰写、实验验证与仿真、原理演示、实验步骤、复习讨论等方面,每一章节内容的路径设计如图5所示。

网络空间安全实践教学系统的设计具有以下4个方面的特点:①云部署,课程资源包部署于云端,可随时随地开展学习和分享;②进度掌控,随时掌握学习进度情况,通过作业了解学习效果;③断点保存,保存实验进度,分阶段完成课程;④灵活扩展,教师可灵活定制和调整课程,系统可灵活扩展和完善。