网络安全设施建设范文

时间:2023-11-13 17:50:48

导语:如何才能写好一篇网络安全设施建设,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全设施建设

篇1

关键词:计算机网络;安全建设;威胁因素;安全技术

中图分类号:TP393.08

目前计算机网络实现了信息全球化,被广泛应用到人们的学习、生活和工作之中,甚至也被应用到了国家各种事务的处理之中。但是因为计算机网络具有开放性、互联性和多样性的特点,很容易受到攻击,存在很多威胁因素。因此,就要采取必要的措施来网络信息的安全、保密、可靠。

1 计算机网络安全存在的威胁因素

威胁计算机网络安全的因素是多种多样的,涉及到很多个方面的,下面将对当前网络安全存在的威胁进行总结:

1.1 无授权访问。无授权访问指的是没有经过预先同意的对网络或计算机资源的使用,主要包括:自作主张的扩大权限,越权访问不该访问的信息;故意避开系统访问的控制,不正常的使用网络资源和设备。这些无授权访问主要通过非法进入网络系统、违规操作、假冒身份、身份攻击以及合法的用户不以授权的方式进行操作形式表现出来。

1.2 数据的完整性遭到破坏。一些攻击者使用违法手段盗窃数据的使用券,并对这些数据进行插入、修改、删除或者是重发一些重要保密的信息,期望得到有益于自己的响应。并且他们为了影响用户的正常使用,恶意修改、添加数据,破坏数据的完整性和正确性。

1.3 使用计算机网络散播病毒。计算机病毒通常是最先以一个计算机系统作为载体,通过移动硬盘、软盘、网络和光盘等媒质介体,对其他的计算机系统进行恶意破坏。计算机病毒能够在特别短的时间内使整个计算机网络瘫痪,使得网络损失惨重。用户很难防范通过计算机网络传播的病毒,单机系统和计算机系统很容易在病毒的干扰下发生异常和破坏。

1.4 丢失或泄露信息。被有意或者是无意丢失和泄露的信息往往是敏感数据和保密数据,通常包括:信息在存储介质中遭到泄露或丢失、信息在传输过程中遭到泄露或丢失(最常见的就是黑客通过对通信长度或频度、信息流量和流向等数据的分析以及利用搭线窃听或者是电磁泄露的方式截获或破解机密信息,来推算出用户的账号、口令等重要的有用的信息)、黑客建立隐蔽隧道来偷窃敏感保密的信息。

1.5 干扰服务攻击。主要是通过改变服务系统的正常的作业流程、执行无关紧要的程序来减慢系统响应直至瘫痪等方式不断地对计算机网络服务系统进行干扰,干扰合法用户的正常使用,以及不使正常用户进入计算机网络系统,无法得到服务等。

1.6 管理不到位存在的威胁。计算机网络的正常运行离不开正确的管理,错误的管理会给企业造成非常巨大的损失。需要进行的管理主要包括计算机网络、硬件设备和软件系统,例如若是软件系统没有健全的安全管理,不仅会破坏计算机网络的安全,还会使得计算机网络错误的运行。还有一个因素就是工作人员在工作过程中,不注意对移动U盘进行保护和管理,加入病毒,在插入电脑之后,又将带着的病毒传给电脑,病毒进入电脑之后,就会电脑的网络系统进行恶意破坏,使整个计算机网络系统瘫痪不能使用。

2 计算机网络系统安全技术措施

2.1 检测入侵。如果计算机网络中存在可以被恶意攻击者利用的漏洞、安全弱点和不安全的配置(如应用程序、网络服务、网络设备、TCP/IP协议、操作系统等几个方面存在这样的问题),就会遭到黑客或者攻击者的网络攻击和恶意入侵。网管人员在网络系统没有预警防护机制的情况下,是很难发现已经侵入到内部网络和关键主机的攻击者实施的非法操作的。检测入侵系统可以说是计算机网络系统的第二个安全闸门,因为它在监听网络的时候不影响计算机网络系统的性能,并且可以及时地提供对误操作、外部攻击和内部攻击的保护。

2.2 应用安全漏洞扫描技术。安全漏洞扫描技术可以通过自动检测本地或者是远程主机安全上存在的弱点,使网络管理人员在黑客和入侵者找到漏洞之前就修补存在着的这些安全漏洞。专门检查数据库安全漏洞的扫描器、网路安全漏洞扫描和主机安全漏洞扫描等都是安全漏洞扫描软件。但是由于操作系统的安全漏洞随时在、安全资料库时刻在更新,所以各种安全漏洞扫描器只有及时进行更新才能扫描出系统的全部安全漏洞,防止黑客的进入。

2.3 防治计算机病毒。防治计算机病毒的首要做法就是要给所以计算机装上杀毒软件,并对这些杀毒软件进行及时的更新和维护,还要定期对这些杀毒软件进行升级。杀毒软件可以在病毒侵入到系统的时候及时地发现病毒库中已经存在的可以代码、可疑程序和病毒,并警告给主系统准确的查找病毒的实际来源,对大多数病毒进行及时的隔离和清除。使用者要注意不要随意打开或者安装来历不明的程序、软件和陌生邮件等。发现已经感染病毒后要对病毒实行检测和清除,及时修补系统漏洞。

2.4 使用防火墙技术。防火墙指的是一个控制两个网络间互相访问的一个系统,它主要通过对硬件和软件的结合为内部网络和外部网络的沟通建立一个“保护层”,只有经过这个保护层连接和检查,获得授权允许的通信才能通过这个保护层。防火墙不仅能够阻止外界非法访问内部网络资源,还能提供监视Internet预警和安全的方便端点,控制内部访问外部的特殊站点。然而,防火墙并不能解决一切问题,即使是通过精心配制的防火墙也不能抵挡住隐蔽在外观看似正常的数据下的程序通道。为了更好的利用防火墙技术保护网络的安全,就要根据需求合理的配置防火墙,采用加密的HTTP协议和过滤严格的WEB程序,不要多开端口,经常升级,管理好内部网络的用户。

2.5 黑客诱骗技术。黑客诱骗技术就是通过―个由网络安全专家精心设置的特殊系统来引诱黑客,并记录和跟踪黑客,其最重点的功能就是经过特殊设置记录和监视系统中的所有操作,网络安全专家经过精心的伪装能够达到使黑客和恶意的进攻者在进入目标系统后,并不知道自己的行为已经处于别人的监视之中。网络安全专家故意在黑客诱骗技术系统中放置一些虚假的敏感信息或留下一些安全漏洞来吸引黑客自行上钩,使得黑客并不知道他们在目标系统中的所有行为都已经被记录下来。黑客诱骗技术系统的管理人员可以仔细分析和研究这些记录,了解黑客采用的攻击水平、攻击工具、攻击目的和攻击手段等,还可以分析黑客的聊天记录来推算他们的下一个攻击目标和活动范围,对系统进行防护性保护。同时这些记录还可以作为黑客的证据,保护自身的利益。

2.6 网络安全管理。确保网络的安全,还要加强对网络的管理,要限制用户的访问权限、制定有关的规章制度、制定书面规定、策划网络的安全措施、规定好网络人员的安全规则。此外,还要制定网络系统的应急措施和维护制度,确定安全管理和等级,这样才能确保网络的安全。

3 结束语

由于我们的工作和生活都离不开网络,所以计算机网络安全是我们非常关注的事情。我们需要建立一个安全、完善的计算机网络系统来保证我们的利益,需要计算机网络进行不断的完善,解决掉存在的各种安全威胁。同时网络的不安全也会影响到企业和国家的利益,所以只要网络的安全性提高了,企业和国家才能发展的更好,社会才会进步。

参考文献:

[1]张镝.浅析计算机网络安全建设方法及安全技术[J].电子世界,2014(08):21-22.

[2]赵洪斌.计算机网络安全建设方法及安全技术[J].计算机光盘软件和应用,2013(11):35-38.

篇2

作为一门综合性的新学科,网络空间安全覆盖物理层、网络层、数据层等多个层面的问题[1]。网络安全信息化领导小组于2014年2月正式成立[2],表明网络空间安全人才的培养迫在眉睫。2015年6月,教育部批示在工学中设立网络空间安全一级学科,学科代码为0839[3]。2016年6月,中央网信办《关于加强网络安全学科建设和人才培养的意见》(中网办发文[2016]4号)文件[4],至此国家对网络空间安全人才培养的重要性和需求也提升至一个崭新的层面。

1 网络空间安全的教学体系

网络空间安全是一门交叉性学科,融合了数学、信息论、计算复杂理论、控制论、系统论、认知科学、博弈论、管理学、法学等学科知识,其研究内容不仅涉及非传统网络安全理论与技术,如网络安全、网络攻防、网络安全的管理、信息安全等,还囊括网络应用的安全,如数据的恢复与取证、舆情分析、工程系统和物联网安全等。与其他学科相比,网络空间安全不仅采用理论分析、实验验证、技术实现等常规手段,还采用逆向分析等技术,从攻方和守方两个不同的角度分析当前网络空间安全所面临的威胁[5]。网络空间安全的教学体系框架如图1所示。

2 课程改革的发展与建设

2.1 课程体系教学改革

现有的网络安全或信息安全教学体系分为两种,一种是传统课堂教学模式,另一种是互联网在线教学。传统课堂教学模式可以实现良好的师生互动,但是授课内容大都是授课教师拟定,学生不能根据自身喜好、知识水平、技术能力等实际情况选择适合自己的课程。基于互联网的在线教学虽然解决了学习地域以及时间受限的问题,但是还存在缺少互动实践环节、不能及时巩固练习及反馈学习内容的问题。针对两种教学模式的固有缺点,结合网络空间安全的学习更需要可知、可感和可实践的特点,教师可尝试设计网络空间安全课程的实践教学模式,涵盖可实施性的应用教学案例,满足更轻量、更丰富且更自由的新型学习理念,提高学生的创新能力与实践能力。

2.2 实践教学课程建设

网络空间安全实践教学设计采用层层深入各个知识点、关键技术的原理演示与课后练习实践等多种教学模式,课程设计要能够理清网络空间安全学科涉及的各个主要教学内容,融合网络空间安全、网络安全和信息安全相互之间的联系和区别。

实践教学的内容设计涵盖了学习者所需要的大部分重难点知识体系。学生既可以通过实践教学系统搭建仿真环境自主学习,又可以点播、跟踪指导教师授课视频进行学习,不断强化学习者对网络空间安全的整体规划意识。这个整体规划意识是网络空间安全、网络安全、信息安全相互之间的联系,三者之间存在相互区别又相互促进的关系。

每节课都提供详细的PPT教案与教学视频供学生学习,课程涵盖基本的知识量且在完成规定的授课学时后,还将课程进行深度与广度的拓展,如挖掘应用技术和国内外网络空间安全领域发展的最新进展,不仅为学生提供充足的、具有自主性的学习资源,还可为教师提供一次学习提高的机会。课程中除了知识讲解,还需设定学生提出问题并布置作业的模块。完善建设中的实践教学系统如图2和图3所示。

3 实践教学体系结构

文献[6]提出 “一个通过规则管理的虚拟的空间,这种空间称为‘网络空间’。网络空间的安全涉及设备层、系统层、数据层和应用层这四大层面上的问题,这是网络空间安全概念的初步定义。教学内容建设是课程建设的核心,综合考虑教学内容的可实践性、可扩展性、综合完备性等方面因素之后,我们利用网络自主学习的整体性原则,把网络空间安全课程的教学内容划分为设备安全、系统安全、数据安全和应用安全4个部分,每一部分重视和强化实践与实验环节,强调学生自学能力,以激发学生独立思考的思维。实践教学内容见表1。实践教学内容体系框架如图4所示。

4 实践教学任务规划

4.1 教学规划

综合表1和图4,具体的教学任务安排如下。

(1)设备安全:①防火墙建设与保护,如Linux防火墙配置、事件审计、状态检测等;②入侵异常检测,如HIDS部署实验、入侵行为检测实验、异常行为检测等;③容灾数据安全备份,如NAS存储、Linux RAID实验、IP SAN存储管理等;④通信安全,如语言保密通信实验、MAP信息安全传输、认证实验等;⑤服务器安全,如Linux日志管理、远程桌面安全配置、Windows网络管理等;⑥无线保护,如无线组测试、WEP密码破解测试、WPA配置测试等。

(2)系统安全:①操作系统安全,如Web安全配置、Linux用户管理、FTP服务安全配置等;②数据库安全保障,如MYSQL与SQLServer的安全审计、数据的安全备份与恢复等;③身份认证,如动态口令认证系统实验、人脸识别与检测编程实验等;④安全审计等,如文件事件审查、网络事件审查、主机监控实验等。

(3)数据安全:①密码学及应用,如密码学、PKI、PMI等;②密码破解,如Linux密码破解、Win密码破解、远程密码破解等;③信息防护,如图像信息和音频信息的隐藏与加密实验等。

(4)应用安全:①计算机病毒,如脚本病毒实验、木马攻击实验、PE型病毒实验等;②网络扫描与嗅探,如网络连通实验、路由信息探测实验、网络嗅探实验等;③逆向工程,如Aspck加壳、 Aspack反汇编分析、逆向工程高级实验等;④网络欺骗,如ARP_DNS欺骗实验、MAC地址欺骗实验、DOS攻击实验等;⑤缓冲区溢出,如缓冲区溢出初等级实验、缓冲区溢出中等级实验等。

4.2 实施路径

实施路径涉及教学内容的安排、教学大纲的撰写、实验验证与仿真、原理演示、实验步骤、复习讨论等方面,每一章节内容的路径设计如图5所示。

网络空间安全实践教学系统的设计具有以下4个方面的特点:①云部署,课程资源包部署于云端,可随时随地开展学习和分享;②进度掌控,随时掌握学习进度情况,通过作业了解学习效果;③断点保存,保存实验进度,分阶段完成课程;④灵活扩展,教师可灵活定制和调整课程,系统可灵活扩展和完善。

围绕网络空间安全学科,探索高校计算机专业在此领域的课程建设和教学改革,建成一个高质量、可共享的课程体系和培养方案,课程的建设成果将开源开放。

篇3

职业技术学院的校园安全网络需要从硬件、软件以及校园网络的安全管理方面加强防范,确保校园网络的安全建设。

2把握容易出现的问题

2.1网络病毒

校园网络安全最容易遭受的就是网络病毒。计算机病毒肆虐,会导致计算机网络瘫痪,对计算机网络起着极大的破坏作用。计算机病毒一旦合并在操作系统被激活,不但会对计算机系统产生影响,减少内存,甚至破坏文件和扇区,引起数据丢失。而有些病毒虽然并不改变文件本身,但是通过计算机网络传播,将自身的病毒通过网络发送,导致计算机系统被感染,甚至后台应用程序被篡改、账号被盗。如蠕虫病毒、ARP病毒会造成局域网瘫痪,Trojan/Agent木马病毒运行实现开机自弃,实现了黑客远程控制后门,给用户带来一定的损失,Backdoor/Huigezi后门病毒被计算机感染后,计算机会变成网络僵尸,网络中机密资料将会被盗取,而机器狗木马病毒读写计算机数据,给感染计算机用户带来不同损失。

2.2利用漏洞进行人为的恶意攻击

校园网络改变着教师的工作方式以及学生的学习方式,为师生的教学提供了便利的条件。但是校园网络不可避免会受到人为恶意的攻击。如黑客收集网络系统中的信息、探测目标网络系统的安全性,并进行网络攻击,使得校园网络信息泄露,校园网内部安全受到了外部的安全威胁。而院校的学生由于好奇等行为,在校园网内部进行的误操作导致校园网出现漏洞,对网络安全造成一定的危害。另外,校园网络操作系统出现的安全漏洞,导致计算机更容易受到外界的攻击,如果管理员对系统安全管理不当,或者网络安全意识淡薄,也容易造成网络安全问题。

2.3校园网络管理员的素质有待提升

校园网络安全管理的过程中,需要管理员能够针对不同的网络安全问题采取不同的策略。但是有些网络管理员专业能力有待提升,造成一些网络漏洞无法弥补,网络安全得不到保障,因此网络管理员要不断提升自身业务素质。

3采用数据处理技术进行管理安全保护

3.1网络安全的脆弱性

校园网络安全建设直接决定着校园网络是否能够正常运行,校园网内的软件以及数据是否会因为恶意的原因或者偶然的状况被更改和泄露。在这种情况下,校园网络管理员要采用各种技术以及管理措施,保证校园网络的安全。管理员既要保证计算机网络的物理安全,也要保证计算机网络的逻辑安全。但是校园网络计算机系统本身因为网络安全具有一定的脆弱性使得校园网络不可避免被冒充合法用户非授权访问,甚至网络安全系统被破坏,同时网络病毒以及黑客的侵扰也干扰了校园网络的正常运行。

3.2采用防火墙进行网络安全防范

校园网络安全防范的重点是计算机病毒以及黑客犯罪,而这两个安全危害首先需要网络防火墙技术的安全防范。要防止校园网络遭受黑客恶意攻击,加强管理,防止页面被篡改,防火墙不仅在本地网络和外界网络之间进行隔离,而且防火墙技术能够保证可信用户内部网不会受到非可信的外部网的访问,能够隔离风险区域与安全区域的连接,只让安全以及核准的信息进入内部网络。而对于黑客的防范,防火墙也采取了一种安全性极强的方式确保关键的服务器能够正常运行。针对校园网络安全建设需要提供的保护方式以及水平的不同,校园网络安全防火墙可以分为信息包过滤防火墙、链路级网关、应用级网关以及复合型防火墙。

4定期进行病毒检测确保校园网络安全

4.1采用防病毒技术提供安全保障

在校园网络安全建设管理的过程中,校园网络管理员要在校园网络中为每一台电脑安装杀毒软件,并定期使用杀毒软件对校园网络进行杀毒,使计算机病毒对校园网络的安全性的破坏降到最低。在校园网络安全病毒防御的过程中,使用校园网络平台不会因为病毒入侵导致文件丢失或者发生其他重大的网络安全事故。除了安装计算机病毒软件之外,更重要的是要定期对杀毒软件进行升级,对来历不明的带有病毒的磁盘以及移动硬盘要先杀毒再使用。

4.2采用信息加密、报文验证等技术辅助安全防范

在校园网络安全建设中,不容忽视的是管理员要进行外来网络的报文验证、身份识别、数字签名、信息加密等安全防范技术进行安全防范。在外来网络进行校园网络的访问的时候,要通过公共密匙的身份验证,并对校园网络中的相关信息进行信息加密。

5加强安全责任和组织管理

5.1组建安全责任和组织管理

校园网络的建设要认真观察校园计算机网络安全管理制度,由分管校长牵头,成立信息安全管理小组,负责校园计算机网络日常运行管理,同时各部门也要配备相应的计算机网络管理员,使计算机网络能够在遇到网络安全问题的最开时间内得到处理。学院各部门要与计算机网络中心共同做好计算机网络安全的运行以及管理工作。

5.2加强校园网的用户管理

校园网要做好安全防范,才能确保每一个校园网用户的正常使用。校园网每一个用户在使用校园网络时,要确保IP地址和上网账号不要随意让校园网外的用户知晓,并采用技术手段防止IP地址被盗用。另外,校园网络管理要提高网络安全管理意识,针对校园网络用户对网络的使用程度制定相应的监管策略,杜绝来自于校园网络内部的网络攻击,同时针对校园网络使用者的素质的不同,要完善管理制度,提高学生的网络使用能力。对于教师办公用的计算机要安装杀毒软件,并教会每一个教师使用杀毒软件进行病毒查杀,约束教师员工以及学生的上网行为,促使校园网络的安全管理。

6提升网络安全管理者的业务素质

6.1为安全管理者提供业务提升平台

校园网络管理者要具备相当的校园网络安全管理能力,才能保证校园网络的安全。一方面,院校在选择校园网络安全管理者的时候,对业务水平高的教师要优选考虑。在这个基础上,要为网管提供业务素质提升的平台,为网络安全管理者的业务发展创造机会。

6.2管理者要加强校园网络的监控

校园网络管理人员要加强对校园网络安全的监控,一旦发现校园网与校外单位以及个人进行互联网联接,立即隔离切断,并采用技术手段以及方法屏蔽校外网络对校内网络的连接。管理员对网络配备的防火墙、计算机病毒软件要及时更新升级。另外,在校园网络中要安装局域网监控软件,形成终端管理、网络管理、内容管理以及资产管理,对校园网络安全进行重点保护,从而实现校园内部局域网科学高效地访问互联网,真正实现校园网络安全。

7结束语

篇4

关键词:事业单位;网络安全等级保护;部署建议

0引言

网络安全等级保护制度是保障各事业单位网络安全的重要方法,通过进行网络安全分级保护,可以高效解决目前事业单位所面临的网络安全问题,按照“重点优先”的思想,将资源有的放矢地投入到网络安全建设中,有助于快速夯实网络安全等级保护的基础。

1网络安全等级保护定义

网络安全等级保护是指对单位内的秘密信息和专有信息以及可以公开的信息进行分级保护,对信息系统中的防火墙进行分级设置,对产生的网络安全事件建立不同的响应机制。这种保护制度共分为五个级别:自主保护、指导保护、监督保护、强制保护、专控保护。不同的信息拥有不同的机密性,就会有相应的安全保护机制。近期,网络安全等级保护制度2.0国家标准正式,这对加强网络安全保卫工作、提升网络能力具有重大意义。

2网络安全等级保护现状分析

按照新的网络安全等级保护要求,绝大多数单位在网络安全技术和管理方面存在差距和盲点,网络安全保障体系仍需完善。主要表现在以下几个方面:(1)网络安全管理工作有待进一步加强在网络安全管理制度方面存在不够完善,对信息资产管理、服务外包管理等缺乏网络安全方面有关要求。未建立体系化的内部操作规程,而且对网络安全管理和技术人员专业技能培训相对较少,网络安全等级保护的定级、备案及测评等未开展。运维工作的部分操作不规范,随意性较强,对网络、系统安全稳定运行造成风险。(2)网络架构存在安全隐患和较为明显的脆弱性有的内网连接,虽部署了防火墙进行网络访问控制,但是部分防火墙缺乏安全配置及管理,访问控制策略不严格,同时某些单位内部网络也缺乏分区和边界控制措施,无法限制非授权用户接入内网和授权用户滥用授权违规外联外网的行为,部分单位发现终端跨接内外网的现象,导致整个单位的内网存在“一点接入,访问全网,攻击全网”的安全风险。(3)主机计算环境抵御攻击能力较低主机服务器未及时更新系统安全补丁,导致存在比如MS17-010(永恒之蓝)、弱口令等高危漏洞;部分服务器未部署防病毒软件、病毒库未更新,没有恶意代码防范措施,部分单位的终端感染木马病毒,一旦被利用,可能导致内部服务器主机大面积感染恶意程序等事件发生。(4)应用系统安全防范措施缺失有的运行在内网应用系统,存在高风险安全漏洞;在应用系统身份鉴别、数据完整性、保密性保护等方面存在策略配置不足问题,结合其他安全风险,会带来系统服务安全、数据安全等较严重的安全问题。(5)数据安全保护能力不足有的未对专网的重要数据进行分级分类管理,数据安全保护措施缺失,专网中的数据库普遍存在弱口令、远程代码执行漏洞等高危安全漏洞,极易被攻击利用,大量的业务数据和敏感信息存在较高的安全风险。(6)物理安全基础保障欠缺有的机房未对进出人员进行鉴别登记,易造成机房遭受恶意人员破坏,存在安全风险。有的机房未部署门禁系统,未安装防盗报警系统等进行盗窃防护。

3网络安全等级保护部署建议

3.1构建等保系统框架

根据安全等级保护的总体思想,提出如图1的网络安全管理体系架构。“总体安全策略”处于网络安全管理体系的最高层级,是单位网络安全管理体系的首要指导策略。“安全管理组织框架”位于网络安全管理体系的第二层,负责建立该单位网络安全管理组织框架。它既确保了信息系统运行时资料不会被泄露,也塑造了一个能稳定运行信息系统的管理体系,保证网络安全管理活动的有效开展。“安全管理制度框架”位于网络安全管理体系的第三层,分别从安全管理机构及岗位职责、信息系统的硬件设备的安全管理、系统建设管理、安全运行管理、安全事件处置和应急预案管理等方面提出规范的安全管理要求。网络安全管理体系的第四层描述的是如何进行规范配置和具体的操作流程以及如何对运行活动进行记录。从日常安全管理活动的执行出发,对主要安全管理活动的具体配置、操作流程、执行规范等各种各样的安全管理活动做出具体操作指示,指导安全管理工作的具体执行[1]。

3.2划分安全域

根据安全等级保护系统总体架构,重新划分网络安全域。各安全域安全管理策略应遵循统一的基本要求,具体如下:(1)保证关键网络设备的业务处理能力满足高峰期业务需求,通过网络拓扑结构设计,避免存在网络单点故障。(2)部署高效的防火墙设备,防止包括DDOS在内的各类网络攻击;在通信网络中部署IPS、入侵检测系统、监控探针等,监视各种网络攻击行为。(3)在关键位置部署数据库审计系统,对数据库重要配置、操作、更改进行审计记录。(4)对于每一个访问网络的用户将会进行身份验证,确保配置管理的操作只有被赋予权限的网络管理员才能进行[2]。(5)部署流量检测设备,通过Flow采集技术,建立流量图式基线,根据应用情况控制和分配流量。(6)增加除口令以外的技术措施,实现双因素认证[3]。(7)如需远程管理网络设备和安全设备,应采用加密方式,避免身份鉴别信息在网络传输过程中被窃取。(8)能够及时有效阻断接入网络的非授权设备。

3.3控制安全边界

基于部署的网络安全软硬件设备,设置相应的安全规则,从而实现对安全边界的控制管理。主要安全策略包括:(1)互联网区域应用安全:必须经过边界防火墙的逻辑隔离和安全访问控制。(2)专网区域应用安全:对于访问身份和访问权限有明显界定,必须经过边界防火墙的逻辑隔离和安全访问控制,其他区域和用户都不允许直接访问。(3)互联网区域数据安全:只允许外部应用域的应用服务器访问,其他区域用户不能直接访问。对数据域的访问受到访问身份和访问权限的约束,必须经边界防火墙的逻辑隔离和安全访问控制。(4)专网区域数据安全:只允许内部应用域的应用服务器访问,其他区域和用户都不允许直接访问。要访问也必须具有受信的访问身份和访问权限。(5)互联网区域和专网区域交互安全:对于内外部之间的信息交互,采用数据摆渡和应用协议相结合的方式进行,严格控制双网之间存在TCP/IP协议以及其他网络协议的连接。(6)开发测试安全:开发测试域作为非信任区域,要求只能在受限的前提下进行网络访问,必须经过边界防火墙的逻辑隔离和安全访问控制。(7)密码应用安全:所有涉及密码应用的网络安全设备,所采用的密码算法必须为国密算法。(8)统一安全管理:防火墙、IDS、IPS、防病毒网关、网络安全审计和数据库安全审计系统的日志统一发送到安全管理区的安全管理平台进行分析。(9)终端安全管理:办公设备统一部署终端安全管理系统,并能够有效管理终端安全配置,准入控制、防病毒功能,以及系统补丁升级。(10)设备知识产权:所涉及网络安全设备的,必须是具有国产知识产权。

4总结

网络安全等级保护工作事关重大,它是一个系统工程,需要各级人员多方面的协调合作。只有尽快补齐安全防护短板,才能切实提高一个单位的安全支撑能力、安全检测能力、安全防护能力、应急响应能力和容灾恢复能力,从而更好地保障一个单位网络安全建设的可持续发展。

参考文献

[1]欧阳莎茜.运用大数据制定园区安全环保用电策略的实例分析[D].西南交通大学,2017.

篇5

1.1完全依赖于网络存储设备,存储设备自身安全作为网络媒体数据安全的保障

在线存储体采用主备控制器机制,存储硬盘采用RAID安全机制;根据策略进行在线存储到近线带库的迁移备份,保障核心媒资数据的多级存储;核心媒体数据网内根据策略或手动定期备份。上述解决方案虽在很大程度上保障了网内媒体数据安全,但存在过分依赖存储硬件设备,问题数据恢复长等问题,严重影响编辑记者前台操作和资源使用时效。

1.2依靠网络技术实现媒体数据的多级存储,并实现对前使用者透明,数据恢复采用软硬件结合的方式完成,存储故障不影响编辑业务

采用本地+网络编辑的方式,媒体数据同时存储于在线存储和编辑机本地,降低网络存储故障对节目编辑的影响;采用媒体数据双读双写,主备在线存储方式,实现媒体数据的双重备份,降低存储故障对编辑记者的影响;建设最小应急系统,核心媒体数据根据策略实现向最小应急系统的备份,数据多级存储,保证核心编辑业务安全。

2媒体数据多级存储备份解决方案下的编辑操作模式

正常工作时:双读双写。在主备存储都正常时,上层应用站点在文件写入时同步写入主备存储体,实现数据镜像同步备份;在读取时,上层应用站点,选择主存储路径进行优先读取。主存储故障时:延迟平滑切换到备存储,进行单路读写。在系统运行过程中,如果主存储瘫痪,上层所有应用站点平滑切换到备路存储路径进行读写,无切换时间,用户毫无感觉,实现真正的0秒透明切换。主存储恢复后:策略控制中心,调度后台同步服务器,实现数据主备存储同步。该功能的实现得益于两点:一是由于素材路径存在双份,在正常时数据完全主备镜像;二是策略控制中心,实时监控收集存储状态,如主存储的故障信息。工作站读写访问过程中,由于所有文件I/O通过IDA引擎,获知策略中心的存储故障状态,因此直接指向备份存储进行实时访问,访问过程无间断,非常平滑。

2.2单在线存储体:“本地+网络”双读双写策略,实现媒体数据双路存储

编辑站点本地存储作为网络存储备份使用,优先编辑网络存储数据。网络和本地的文件路径,作为该素材的主备路径记录在资源上。采用双读双写模式,采集、打包等生成的视音频素材在网络和本地上都存在;同时对于字幕、故事板以及字幕中的图片也都在网络和本地磁盘上同时存在。在双读双写模式下,用户所生成的资源在本地都有一个中码流的版本,通过双读双写机制,用户可以直接调用网络的版本进行编辑。如网络故障用户可直接切换到本地,保证编辑业务连续不间断。在网络数据库中断的情况下,需要手动切换数据库连接,将系统连接到本地数据库上。系统软件可提供快捷的一键切换功能,将网路数据库连接切换到本地数据库,在网络数据库断开的情况下继续进行节目的编辑。优点:双读双写保证系统媒体数据安全,优先编辑网络存储,实现媒体数据网络共享,编辑记者可在任意网内节目编辑站点完成节目编辑。缺点:网络存储读写性能要求较高,系统建设在存储领域的投资比重较大。网络存储作为编辑站点本地存储的备份,优先编辑本地存储数据。媒体数据在网络存储体和本机存储体实现冗余备份,优先读取本地存储路径。这种模式充分利用了单机的稳定性和安全性,同时网络化的实时备份存储又完全能实现网络化的资源共享以及关键数据的多重备份。在编辑过程中,采用本地编辑为主,网络编辑为备份的编辑方式,正常编辑模式下各站点直接读取本地素材进行节目编辑,后台打包调用网络高码流文件进行合成的编辑方式。对于上载节目资源的工作站A在被占用的情况下,用户需要到工作站B进行编辑,此时通过同步资源的方式到本地,用户在打开故事板和打开素材的情况下,系统自动判定当前资源不在本地存储路径,完成从网络到本地的同步迁移,编辑人员可以进行编辑使用。优点:双读双写保证系统媒体数据安全,优先编辑站点本地数据,大大减低对存储和网络的依赖,系统建设存储领域投资较低。缺点:鉴于采用本地编辑的模式,如编辑人员更换站点,需重新将网络数据同步到本次,有一定时效性的损耗。

2.3最小应急备份系统:实现核心媒体数据备份

系统在备份时,会同时进行物理文件和元数据的备份,以确保一旦主网出现问题,工作站点可以直接完全脱离主网且接入应急系统中使用。只需退出非编软件,重新连接最小应急备份系统的数据库,即可继续完成工作。节目采集及合成时可以自动写入最小应急备份系统,实现多存储区域数据完全一致,写入数据时不会占用过多的网络带宽资源,而且不影响系统的正常运转;当主网存储区数据删除时,最小应急备份区能根据数据的变化,自动对数据进行删除;当主存储区出现故障的时候,能够迅速的切换到最小应急备份区上,使用最小应急备份数据;备份策略可以按照栏目、用户等方式进行,根据实际需求选择性进行备份。优点:最小应急备份系统可以作为全网应急解决方案,作为核心业务的终极保证。此外应急系统可作为外场系统使用,通过快速拆分,便捷的完成外场系统的远程移动。缺点:最小应急备份系统需要台内额外投资建设,将引入部分投资增加。

3系统主备存储不同选型下的编辑操作模式

网络系统建设过程中,对于核心存储设备的选择将决定媒体数据安全策略。如何在数据安全和台内投资间实现平衡是网络设计必须要考虑的问题。

3.1系统选用相同性能与容量的存储

鉴于主备存储体性能容量完全相同,网络系统服务的所有栏目均可选用同样的媒体数据安全策略,网络中媒体数据全部主备两份,即所有站点全部支持双读双写。系统任意存储故障均不影响编辑业务,节目编辑和系统数据实现双重保障。优点:业务安全级别高。缺点:台内投资相对较大,存储领域投资需要考虑。

3.2系统选用不同性能与相同容量的存储

鉴于主备存储体仅容量相同,系统主存储体可满足网内所有站点的读写需求,备存储体仅能支持部分站点的读写,媒体数据通过策略备份的方式实现主备双重备份。该种情况下,仅能保证网内核心栏目站点的双读双写和媒体数据实时双备份需求,即网络故障情况下网内部分编辑业务需中断,或全网转换为低码流编辑,高码审核打包的操作模式,方能实现全部业务不中断。优点:业务安全级较高。缺点:台内投资相对较大低,网络故障将导致部分编辑业务中断或全网采用低码流编辑,对编辑业务有较大影响。鉴于主备存储体性能与容量均不相同,系统主存储体可满足网内所有站点的读写需求,备存储体仅能支持部分站点的读写。该种情况下,仅能保证网内核心栏目站点的双读双写和媒体数据实时双备份需求,非核心栏目仅能读取主存储,媒体数据不再备份。即网络故障情况下网内部分编辑业务需求中断。优点:核心栏目业务安全级高,非核心栏目安全级别较低。缺点:台内投资相对较低,网络故障将导致部分编辑业务中断,对编辑业务有较大影响。

4结束语

篇6

关键词:数字电视;监管平台;信号监测

为了进一步加强对全省各地市分公司数字电视安全播出的管理,填补对县级分公司播出管理的空白,加强对违规播出情况的监管控制,从多个维度做到对数字电视信号的安全、质量和内容监测,山东省广电网络有限公司(以下简称省网络公司)于2015年建设了数字电视安全监管平台。

1监管平台架构

数字电视安全监管平台系统是在省监测中心现有监测调度系统的基础上建设而成,由安装在市、县网络公司机房的广播电视前端监测采集系统和位于省网络公司的中心监管业务平台两大部分组成。整个系统采用人机交互界面、模块化的设计,直接通过浏览器登录访问系统。系统采用由县到市、由市到省的分级监测及统一管理的方式,通过遍布全省的广电OTN及SDH主干网和市(地)、县广电支线网连接各县监测前端,由安装在各监测前端的信号采集设备,将广播电视信号和异态数据回传至省网络公司中心监管业务平台,通过业务平台对信号进行查看、分析,实现对全省市县级广播电视播出信号的监管。此监管平台与省监测中心的播控系统对接,将两方的设备、信号最大限度地进行资源共享,然后根据平台不同功能与选项完成各方不同的安全监管职能,利用完善的安全播出指挥调度系统对全省各地的信号进行监测调度,实施有效的安全播出管理。

2平台具体构成

广播电视前端监测采集系统,即有线数字电视信号采集、监测系统,位于各市县前端播出机房,完成对所需监控信号的采集、回传,如图1所示。中心监管业务平台:主要包括中心数据处理业务系统、数字电视监测处理业务系统、系统配置及维护管理系统、报表管理业务系统、资源共享业务系统、监测预警信息系统、平台管理及中心存储系统,如图2所示。中心监管平台位于省网络公司总部,负责对其所属各个监测前端的广播电视播出情况进行实时监测,采集监测前端的监测数据和对监测结果进行汇总分析,为安全播出提供技术保障。

3平台技术方案

(1)信号采集目前已有全省13个市(地)40个县级播出机构建立了监测前端,各监测前端可实现2个频点的有线数字电视节目的采集与监测。其中,数字电视监测中的一个频点上选择3套节目用于监测,另一频点作轮巡监测。采集板卡根据前期规划,对选定的频点上的数字电视信号进行采集、编码压缩,以每套节目764K左右的码率回传至所属地市,再由地市回传至省网络公司。县级监测前端以10M的带宽,将采集的信号通过县、市(地)广电有线网络传至市(地)有线电视网络公司,信号经过汇聚后,通过市(地)广电网100M带宽络专用线路,传至省网络公司传输机房,再通过核心交换机接入省网络公司安全监管平台,完成一百多套节目的监控。后期会逐步完成全省大部分县的监测点布局及信号监控。(2)信号分析与处理省网络公司总部办公楼内建立了一套多业务、多系统的统一业务操作平台,通过自己配置的监控平台系统服务器及相关软件、操作台主机等必要设备,完成对全省多个县、市电视信号的监测、数据分析及处理、实时报警信息的分级管理与分析等功能;同时能够从省监测中心的存储设备上调用在规定时间内存储的信号,完成对已往相关信号的查询等功能。(3)信号监看与监管为高效、方便、实时的对回传的多个信号进行监看监听,在省网络公司总部办公楼内建设了4×3无缝拼接大屏与多画面分割及显示系统,每个大屏可以显示1~25套不同地市的信号;也可以根据需要,通过大屏控制器在多个屏幕上显示某一套节目。实现了将目前一百多套回传至监管平台的节目通过大屏实时显示,并通过PC机平台操作界面的方式进行节目轮巡、频点与节目选看、回看、处理等功能。该系统在前期规划时,建设性地加入了省网络公司前端播出信号,从而对回传信号的监管更加有比较的依据、更加直观。(4)系统建设原则与设计依据此次数字电视安全监管平台的建设本着适用性、可靠性、安全性、先进性、开放性、扩展性与兼容性的原则,并将严格按照国家相关政策文件、技术要求和标准协议进行,不仅现期达到预计技术要求和需求,还可以根据业务及技术发展进行平滑升级与扩容,满足不断增长与变化的实际需求。

4平台建设规划

数字电视安全监管平台建设分多期完成,第一期项目由13个市(地)的前端信号采集系统和一个省级中心监管平台组成,通过省公司的干线网和地市支线网连接各县监测前端,由各监测前端的信号采集板卡,根据实际需要,回传选定的广播电视信号和异态数据,实现对全省市县级广播电视播出信号的监测。目前全省13个市40个县的信号采集工作已完成,这些地市县的信号已经接入我方监管平台进行监管;后期项目将在一期的基础上平滑升级及扩容,对需要重点监控的市、县,增加前端信号采集系统,争取完成全省所有地市及绝大部分县的播出信号监测。

5项目一期完成的功能与配置设备

篇7

关键词:信息化建设;网络安全;解决方案

中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2017)01-0209-02

企业信息化任务的建设与集成,其首要任务为网络构架与网络安全设计。建立一套安全的网络系统,不仅可以为企业的信息交流、信息与信息传输创造一个安全平台,确保企业的安全生产,还可优化调度管理,为企业决策提供参考数据,避免恶意篡改与非法盗取现象的发生。因此,加强企业信息化建设集成与网络安全的研究,确保企业生产环境安全可靠,已逐渐成为现代化企业发面所面临的重点研究课题。

1 企业实现信息化建设集成的意义

1.1 强化企业管理

随着企业管理模式的发展,企业业务经营逐渐多元化和区域不集中化,从而造成了管理任务的复杂与多变化。实行信息化集成管理的核心就是在企业内部,以业务整合、流程与资源配置优化的方式,建立起信息化的组织架构、管理服务和流程控制体系,而这一目标的实现则需通过信息集成化处理的手段,并将企业先进的管理理念与技术搭建在所构平台上,以此进行运行。

1.2 时展的必然性

实践证明,传统的管理模式还不足以使集成化效率最大化,甚至有时候会带来更加严重的风险和漏洞,如管理人员的压缩,引发的现场安全管理、资金管理和用工管理等风险,信息技术快速发展的当下,企业只有对管理系统进行重新综合集成,充分挖掘各方面潜能和整体效力,方可在集成化管理和市场竞争中把握先机,从而实现企业效益的最大化。

1.3 自身优势的使然

目前,大型企业集团均通过对在生产和管理方面的信息化建设,利用互联网技术把企业信息集成起来组成一个管理信息平台,达到数据共享,并借助专用软件,将企业管理向集成化、网络化改造,既能为企业的高层决策者提供决策支持,又能减少结构冗员,提高运营效率和服务质量。

2 加强企业信息化集成网络安全的措施

基于非法入侵、病毒传播与数据丢失等网络安全问题,本文针对性的从以下两点进行防护措施的论述。

2.1 加快信息化安全标准建设

在信息化方面,目前,无论是处于单项技术、单机、单线的应用状态,还是型号工程实现了CIMS(计算机集成制造系统)的企业,要实现数字化,构建高水平、高安全的企业信息化体系,信息安全标准及其标准化工作都是非常重要的。例如IS0/IEC JTC1/SC27正在制定的有关信息安全管理体系方面的标准:

・ISO/IEC 27001 信息安全管理体系要求(现在的标准 IS0/IEC FCD 24743)。

・ISO/IEC 27002 保留现在的标准ISO/IEC 17799 信息安全管理实用规则。

・ISO/IEC 27003 保留编号。

・ISO/IEC 27004 信息安全管理度量机制和测量措施(现在的标准IS0/IEC 24742)。

・ISO/IEC JTC1/SC27 NP 信息安全管理体系实施指南。

此类标准实施的目的在于帮助企业建立与健全信息安全管理体系,促使其管理水平与保证能力得到提高,做到日常生产安全顺利运行。因此,企业要想构建高水平、高质量的信息化安保体系,必须要加强信息化集成任务的标准化实施。

2.2 利用先进的网络安全技术

2.2.1 防火墙技术

以防护范围与防护能力划分,可将防火墙技术分为网络级与应用级两大类,其中,网络级防火墙是以整体网络的非法入侵为防护对象,实施全方位保护,而应用级防火墙是以具体的应用程序为防护对象,只是在程序接入时进行防护控制,功能比较单一但针对性强,因此,一套完整的防火墙技术,应是以网络级和应用级的共同结合使用。日常生活中,我们一般所用防火墙大多拥有基于、动态防护、包过滤和屏蔽路由等技术。

2.2.2 入侵检测技术

作为一种动态网络检测技术,入侵检测技术的实施可有效识别恶意使用网络系统,通过分析与辨别,将非法入侵行为及时发现,其检测范围包括内部未经授权的活动和外部用户的非法入侵,并能够对入侵行为作出相应的反映,该系统的组成由相应的软件与硬件共同完成,运行后能够做到数据分析并得到结果,大大降低了管理人员的工作量。除此之外,入侵检测技术对于网络攻击也有一定的反防护能力,但效果不及防火墙技术,因此不能做到代替。

2.2.3 信息加密技术

对称加密与非对称加密作为信息加密技术的两种表现形式,随着网络技术的快速发展,使其得到了不断优化与发展。该技术的应用是以防止数据受到非法盗取为目的,通过数据加密技术对某些重要数据与信息采取保密处理后,以此达到确保信息安全的效果,其主要包括数据传输、数据存储、数据完整性鉴别和密匙管理四种方式。

2.2.4 访问控制技术

访问控制技术简称AC,它的作用是能够确保网络资源不会被非法访问和非法使用,能够起到网络安全防范和保护的作用。访问控制是检测访问者的相关信息,限制或者禁止访问者使用资源的控制技术。访问控制技术能维护网络系统安全和保护网络资源,是确保网络安全的主要措施。访问控制分为高层访问控制和低层访问控制两种,高层访问控制检测对象是用户口令、用户权限、资源属性;低层访问控制对象是通信协议中的特征信息通过分析然后做出判断控制访问者能否访问信息。

3 结语

综上所述,作为现代企业的发展方向,信息化的建设与集成在给人们带来便利的同时又隐藏着许多网络安全隐患,相比于传统管理模式上的失误,这种安全隐患具有威胁更大,速度更快等特点,动辄就是成千万的经济损失。因此,作为现代企业的管理者,我们只有不断研究,不断实践,立足于企业信息化建设与集成任务的标准化与多元化发展方向,做到不断的自我完善与自我修正,方能促进现代企业的健康发展。

参考文献

篇8

 

前言

 

随着社会的发展工业有了不断的进步,特别是计算机网络技术应用于工业的生产、管理使工业取得了长足的进步和良性的发展,当前工业的相关业务和活动中计算机网络正在发挥辅助决策、功能倍增和参与管理等重要工作,可以不夸张地说计算机网络正在引导着工业的新革命。但是由于计算机技术和网络技术存在着漏洞和安全隐患,这导致工业在运用计算机网络时出现了各种问题,来自计算机网络内部和外部的威胁和隐患,无时无刻可能爆发,既影响了计算机网络的安全和问题,又影响工业生产和管理,成为当前工业生产和计算机网络乃至全社会共同关注的问题。实现工业计算机网络的安全应该做好对近一段时间工业计算机网络建设、运用和维护工作的梳理,明确了解和清晰认知工业计算机网络安全的具体问题,在科学分析工业计算机网络存在安全隐患和安全问题的基础上,寻找提高工业计算机网络安全的设计原则和方法,并结合具体的实际工作形成工业计算机网络安全的方法和技术,在细节方面为切实做到工业计算机网络安全起到经验积累、方向提供和技术指导,在宏观方面提升工业行业计算机网络的安全水平。

 

1工业计算机网络存在的安全隐患

 

1.1工业计算机网络的外部隐患

 

常见的工业计算机网络的外部隐患有:火灾、电击、水灾等外部灾害对工业计算机网络设备或传输介质的损坏;工业计算机网络的病毒发作;工业计算机网络的黑客攻击等。

 

1.2工业计算机网络的内部隐患

 

工业计算机网络的内部隐患有:工业计算机网络的操作人员的非安全、非规范操作;工业计算机网络本身存在地域能力地、系统脆弱和自身缺陷;管理员对安全权限设置不当、备份不及时等。

 

2工业计算机网络安全的策略设计

 

2.1工业计算机网络物理安全的设计

 

设计中应该确保工业计算机网络的实体部分免受自然灾害、人为破坏等影响;设计中应该对工业计算机网络的操作进行条件控制,防止不具备操作权限的人员进入关键部位;建立工业计算机网络的相关制度和规定,确保电击、漏水、跌落等外部伤害。

 

2.2网络加密传输与认证

 

应该设计好工业计算机网络第一道防线——用户名和密码,通过严格的设置和验证手段起到对工业计算机网络的保护作用。

 

2.3工业计算机网络防火墙的设计

 

工业计算机网络可以控制进出两个方向的信息安全,有效防止工业计算机网络的外部非法用户对数据的访问和操作,应实现工业计算机网络对数据的过滤和保护作用。

 

2.4数据加密

 

工业计算机网络的数字加密技术可以保证工业计算机网络信息的安全,实现对数据流进行加密传输,直到用户退出系统为止。

 

2.5“最小授权”原则

 

“最小授权”原则是指网络中帐号设置、服务配置、主机间信任关系配置等为网络正常运行所需的最小限度,及时删除不必要的帐号等措施可以将系统的危险大大降低。

 

3工业计算机网络建设的技术要点

 

3.1做好病毒防范,及时更新系统

 

安装必须的组件,关闭不需要的服务,及时更新系统和补丁程序,经常检测系统是否存在安全漏洞、是否有入侵侦测的可疑活动。安装正版防病毒软件并及时更新病毒库,定期查毒、杀毒。对从网上下载的软件进行杀毒处理,对外来U盘需查毒后才能使用,做到防患于未然。

 

3.2设置安全有效的服务器密码

 

扩大密码的设置范围,提高密码的破解难度,并且做到每台服务器的密码不同并经常更换。另外,系统管理员也很注意密码的保护,做到不泄漏、不共享,避免了使用密码的安全风险。

 

3.3采用分层方式管理服务器

 

将工业计算机网络管理系统与其他系统放置在两台服务器上,不仅使管理方便,更有助于整体的安全性。

 

3.4定期进行数据备份

 

系统备份是防止由于硬件设备损坏或受黑客攻击导致数据丢失的防范措施和方法,因此,对工业计算机网络管理系统的数据进行备份是一项十分必要的任务。推荐工业计算机网络的备份方式是每天对整个系统进行包括系统和数据的完全备份,当发生数据丢失时,只要进行恢复,就可以找回完整的数据。

 

3.5采用虚拟网技术

 

在工业计算机网络网络中,应采用VLAN技术,各网段用户在网上邻居上只可以访问自己网段的计算机,从而提高VLAN内数据传递效率以及各VLAN之间数据的安全性,解决了不同网段、不同部门间病毒的传播问题。

 

结语

 

综上所述,根据实际的工业计算机网络安全设计、管理和维护经验,从效果上看已经正在起到逐步优化工业计算机网络环境,有效提升工业计算机网络抵御病毒感染的能力,进一步加强了工业计算机网络操作者防范黑客入侵的观念,这些进步为工业计算机网络实现安全运行提供了先期的保证,并成为工业企业和行业科技进步和人员素质提高的手段。同时,我们应该有清醒、客观的认知——绝对安全的工业计算机网络是不存在的,因此,需要我们继续做好工业计算机网络的技术防范,加强工业计算机网络操作人员的素质教育,提升全员的工业计算机网络应用安全意识,在实际的工作中尽量减少违法操作和物力损坏,以操作规程和安全守则为指导,规范地进行工业计算机网络的应用、管理和维护,也只有这样,才能确保为工业计算机网络提供一个优良的环境,才能真正发挥工业计算机网络的功能,促进工业的生产、活动、管理,在客观上促进经济、社会的发展。

篇9

【关键词】网络安全;实践教学;课程改革;工作过程

近年来,我国的高职高专在教学改革方面的研究得到了迅速的发展,为了培养出高素质技能型专门人才,培养学生的学习能力、实践能力、创造能力、就业能力和创业能力、学会交流沟通和团队协作能力,各高职院校的专任教师也在研究适合本专业课程的课程建设模式和教学模式。

1.“网络设备的安全配置和管理”课程介绍

“网络设备的安全配置和管理”是一门理论实践一体化、符合网络技术领域职业岗位任职要求的学习领域课程。本学习领域根据网络管理员岗位必须具备的综合职业能力出发,以完整的工作过程为行动体系,加强校企合作,以企业实际的工作任务为教学原型,主要培养学生网络设备安全配置和安全防护能力,并为就业做好充分准备。

2.现行“网络设备的安全配置和管理”课程教学中存在的问题

在高职网络安全课程的教学中,传统教学模式难以满足职业岗位需求,不能适应就业需要,主要有以下几个原因:

2.1 培养定位模糊,岗位需求不明确

传统教学模式更多考虑知识体系的结构与完整性,较少考虑学生毕业后的职业岗位需求。学生在学习的过程中不知道自己学习的知识未来有哪些用途,不知道在什么样的情况下会需要这些知识,难以形成职业带入感,在学习的过程中不能与教师形成共鸣,学生和教师都难以达到最佳状态。学生知识学习了很多,但分散、刻板,空有知识却不知如何运用,实践运用能力不强,难以满足职业岗位需求。

2.2 理论多实践少,知识分散,缺乏针对性

“网络设备的安全配置和管理”课程不同于《计算机网络技术》,该课程要求更多的实践课时比例、更多的针对实际工作的实践教学情境。而传统教学模式下由于重知识、轻实践,且实践内容多为知识验证性实验,难以满足实践能力的培养需求,也不能调动学生学习积极性,教学效果较差。

2.3 教学内容更新缓慢,难以适应网络发展需要

网络技术发展迅速,新技术、新规范层出不穷,网络安全新问题也不断出现,如何及时更新网络安全课程的教学内容,调整实践教学环节,使学生快速适应网络安全新状态,也是“网络设备的安全配置和管理”课程教学中面临的重要问题。以教科书为知识传授蓝本的传统教学模式显然难以满足实际需求。

3.基于工作过程的“网络设备的安全配置和管理”的教学改革与实践

经过两年的教学经验积累,针对过去教学中存在的各种问题,本校启动“网络设备的安全配置和管理”课程的实践教学改革与探索研究。经过广泛的调研与分析,明确了研究方向,确立了“网络设备的安全配置和管理”的课程改革与研究思路。经过几年的研究与实践,形成了以下几个方面的研究成果。

3.1 明确课程定位,适应职业岗位需求

新的研究思路改变了课程分析的方向,由过去面向知识结构体系的完整性转变为面向学生就业后的职业岗位需求。通过大量的社会调查与认真分析,明确了新的课程定位:“网络设备的安全配置和管理”课程是计算机相关专业的核心课程,主要培养学生网络安全意识,掌握网络安全知识,发现、研究和解决具有网络安全问题的能力,使学生胜任网络安全管理员的职业岗位需求。

3.2 课程内容编排与教学方法改革

在课程内容的编排上,要考虑到学生的认知水平,由浅入深的安排课程内容,实现能力的递进。能力的递进不是根据流程的先后关系确定的,而是按工作任务的难易程度确定的,例如先安排网络硬件设备还是传输媒体与流程关系不大,主要是要考虑哪个项目需要的知识和技能是相对简单一些,就把哪个项目安排在前面。如本课程就将网络传输媒体任务安排在最前面,这样有利于提高学生后期学习的积极性和主动性。

课程设计的学习任务必须能够满足多方面的要求,所以每个学习任务都应以典型案例为载体进行设计的活动来进行,以工作任务为中心整合理论与实践,实现理论与实践的一体化。教学过程中,通过校企合作,校内校外实训基地建设等多种途径,采取工学结合的培养模式,充分利用校内校外实训基地和学校网络对外服务中心,让学生亲临真实工作环境,参与或者分组独立完成对外服务的实际网络项目,提高学生的技能水平和团队合作精神。

3.3 课程学习考核方法

打破单一的试卷考核方式,学生学习成绩的考核采取三结合的方式进行,第一是理论知识的考核,此阶段的考核安排在课程学习完后,以笔试形式进行考核,占总成绩的20%。第二是项目技能的考核,在课程的学习过程中同时进行考核,占总成绩的40%;第三是综合技能的考核,在课程学习完后,通过为期一个月的实训,包括岗位素质、团队协作、专业技能、实习报告的撰写等考核点,此阶段占总成绩的40%;三项成绩之和为学生本门课程的学期总成绩。学生每个阶段都必须达到该阶段的及格分,如理论考核,必须达到相应分数,否则必须进行重新学习和考试,以致达到规定的教学要求,学生本门课程才算合格。课程的第一部分的考核采取教考分离,项目技能考核由课任老师考核,综合技能的考核由教师团队集体考核,最终达到考试的公平性和全面性。

综合实习项目完成后,教师完成实习报告的批改后,举行至少一天的学生实习体会交流、教师评论和答疑,这样不但解决了学生在实习中存在的问题和潜在的问题,同时对教师以后的教学改革指明了方向。最终使学生的组网和用网的能力能真正达到教学要求。

4.结语

“网络设备的安全配置和管理”课程教学改革和实践促进了信息技术服务业专业工学结合人才培养。以课程建设为主线,通过深度校企合作,对专业教师队伍、校内实训基地建设、课程教学内容、方法和手段提出了新的要求,需要不断突破和创新。

参考文献

[1]李栋学.工学结合的动因分析及其有效实施[J].中国职业技术教育,2011(9).

[2]李小峰.“工学结合”的相关表述及其历史渊源[J].职业教育研究,2013(6).

[3]孙宁玲.高职院校师资队伍建设方案研究[J].教育与职业,2012(11).

[4]及风云,张培成.对高职教育“双师型”教师队伍建设的思考[J].职业时空,2012(6).

篇10

新的形势对银行的软硬件设施建设提出了新的挑战。其中网络的运行情况,尤其是网络安全问题尤其突出。目前,银行逐步建立了基于ip技术的业务骨干网,但银行电子网络建设存在的问题也不容忽视。

一、银行网络改造工作中存在的问题

1.来自互联网的风险

网上银行、电子商务、网上交易系统都是通过internet公网并且都与银行发生关系,银行系统网络如果与internet公网直接或间接互联,那么由于互联网自身的广泛性、自由性等特点,银行网络系统自然会被恶意的入侵者列入其攻击目标的前列。

2.来自互联单位的风险

银行与电信局、水电部门、保险公司、证券交易所等单位网络互联。由于银行与这些单位之间不可能是完全信任的关系,因此它们之间的互联,也使得银行网络系统存在着来自外单位的安全威胁。

3.来自内部的风险

据调查统计,已发生的网络安全事件中,70%的攻击是来自内部,因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉,自我攻击或泄露重要信息,内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。

4.管理安全风险

银行内部员工的安全意识薄弱,企业的安全管理体制不健全也是网络存在安全风险的重要因素之一,健全的安全管理体制是一个企业网络安全得以保障及维系的关键因素。

5.网络系统维护费用高

原有的网络系统还存在维护费用高,技术复杂的缺点。因此网络改造要求有先进友好的网络管理软件以降低网络维护费用。

二、形成原因分析

银行计算机网络需要可靠的安全保障支持。银行网络安全的威胁主要来自内部和外部两个方面。在过去的几年中很多报告都指出,企业内部员工的破坏行为是对信息安全的最大威胁,主要包括:缺乏有效的网络防护手段,网络协议分析工具带来的威胁,执行不安全代码以及个人能力的不正当炫耀。另一方面非法的外来侵入攻击数量近几年有了惊人的增长。商业银行计算机网络系统很快地将要面对有组织有计划的黑客的更大威胁,主要包括:广为流传的黑客攻击技术,有组织的信息网络入侵活动,新的网络应用和技术的大规模涌现,硬件的高速发展使得破译加密信息成为可能。据统计,银行业基于网络的信息失窃在过去5年中以200%以上的速度递增。网络安全已经成为银行业务安全的重要组成部分,同时也是国家网络经济发展的关键。

三、对银行网络安全改造解决方案的探讨

通过审慎的调查研究和亲身产品使用,笔者建议对银行网络系统实行全面改造,以达到网络安全要求。

首先,全行的主要主干电路可采取面向网络安全端到端的safe(security architecture for e-business)解决方案,结合现有运行网络的实际情况,完成网络安全性设计。方案的模块化方法可为银行网络提供最大的灵活性。使银行能够针对特定的业务来选择特定的模块。同时方案也可提供根据业务需要逐步实现安全的cisco avvid基础设施的可能。这保护了银行在现有安全设施上的投资,降低整个网络系统的费用,同时也可知道每一个模块的工作原理及在整个网络安全框架中的作用。

其次,在整个网络的安全性设计上,进行全面的规划,制定整体的安全策略。同时对局域网、广域网以及外联网与internet等公共信息网互连的安全保障规定。使用思科的安全策略管理器cspm指定整体的安全策略,并实施定期的监控和改进。原有的应用服务器与其他系统服务器以及办公及管理信息系统相连,存在一定的安全隐患。在系统改造中这一问题将得到解决,通过采用内部防火墙,两者可实现安全隔离,应用主机安全性可得到更好的保障。

为了保障基于因特网和基于web交易的保密性和完整性,可以实现虚拟专用网(vpn)。就像装甲车一样,vpn在金融资源从银行传到其他位置的途中能为它们提供保驾护航作用。在远程用户和银行之间,vpn提供安全可靠的加密式端对端"隧道"。即使是最狡猾的网络黑客,vpn的强劲安全性也能防止他们截取隧道传输的内容,使他们的阴谋不能得逞。vpn的创建宗旨就是要在每个远程访问会话期间保障其安全性,它对用户是透明的。一般而言,具有vpn功能的防火墙和客户计算机配置的许多操作系统都支持vpn。

改造后的网络可在广域网中心增设了专用的路由器。原来既作为dlsw+节点又作为广域网路由的中心路由器实现功能上的拆分,新增专门路由器作为dlsw+路由器,负责sna和tcp/ip的协议转换。所有路由器位于高性能防火墙的两侧,防止外部对应用主机的非法操作,同时网络对sna协议的处理能力也得到提高。

显然,有效的安全性设计来源于网络本身。网络基础架构必须具有嵌入式防火墙、验证和vpn等安全功能。不仅设计安全的网络很重要,而且设计网络时所采用的方法同样也重要,不能使银行的日常运营脱离正常轨道。当超负荷网络发生故障或崩溃时,将会给银行业务造成令人可怕的后果。