前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全規(guī)劃方案范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全規(guī)劃方案范文第1篇

【關(guān)鍵詞】網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊；建設(shè)與規(guī)劃；校園網(wǎng)

1、網(wǎng)絡(luò)現(xiàn)狀

揚州Z校擁有多個互聯(lián)網(wǎng)出口線路，分別是電信100M、電信50M、網(wǎng)通100M、聯(lián)通1G和校園網(wǎng)100M。Z校擁有多個計算環(huán)境，網(wǎng)絡(luò)核心區(qū)是思科7609的雙核心交換機組，確保了Z校校園骨干網(wǎng)絡(luò)的可用性與高冗余性；數(shù)據(jù)中心是由直連在核心交換機上的眾多服務(wù)器組成；終端區(qū)分別是教學(xué)樓、院系樓、實驗、實訓(xùn)樓和圖書館大樓。此外，還有一個獨立的無線校園網(wǎng)絡(luò)。Z校網(wǎng)絡(luò)信息安全保障能力已經(jīng)初具規(guī)模，校園網(wǎng)絡(luò)中已部署防火墻、身份認證、上網(wǎng)行為管理、web應(yīng)用防火墻等設(shè)備。原拓撲結(jié)構(gòu)見圖1。

2、安全威脅分析

目前，Z校網(wǎng)絡(luò)安全保障能力雖然初具規(guī)模，但是，在信息安全建設(shè)方面仍然面臨諸多的問題，如，網(wǎng)絡(luò)中缺乏網(wǎng)管與安管系統(tǒng)、對網(wǎng)絡(luò)中的可疑情況，沒有分析、響應(yīng)和處理的手段和流程、無法了解網(wǎng)絡(luò)的整體安全狀態(tài)，風險管理全憑感覺等等，以上種種問題表明，Z校需要對網(wǎng)絡(luò)安全進行一次全面的規(guī)劃，以便在今后的網(wǎng)絡(luò)安全工作中，建立一套有序、高效和完善的網(wǎng)絡(luò)安全體系。

2.1安全設(shè)備現(xiàn)狀

Z校部署的網(wǎng)絡(luò)安全防護設(shè)備較少。在校區(qū)的互聯(lián)網(wǎng)出口處，部署了一臺山石防火墻，在WEB服務(wù)器群前面部署了一臺WEB應(yīng)用防火墻。

2.2外部網(wǎng)絡(luò)安全威脅

互聯(lián)網(wǎng)出現(xiàn)的網(wǎng)絡(luò)威脅種類繁多，外部網(wǎng)絡(luò)威脅一般是惡意入侵的網(wǎng)絡(luò)黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數(shù)據(jù)等為目的，對內(nèi)網(wǎng)中的各種網(wǎng)絡(luò)設(shè)備發(fā)起攻擊，網(wǎng)絡(luò)中雖然有一些基礎(chǔ)的防護，但是，黑客們只要找到漏洞，就會利用內(nèi)網(wǎng)用戶作跳板進行攻擊，最終攻破內(nèi)網(wǎng)。此類攻擊隨機性強、方向不確定、復(fù)雜度不斷提高、破壞后果嚴重[1]。

2.3內(nèi)部網(wǎng)絡(luò)安全威脅

內(nèi)部惡意入侵的主體是學(xué)生，還有一些網(wǎng)絡(luò)安全意識薄弱的教職工。Z校學(xué)生眾多，學(xué)生們可能本著好奇、試驗、炫技或者惡意破壞等目的，入侵學(xué)校網(wǎng)絡(luò)[2]。Z校某些教職工也可能瀏覽掛馬網(wǎng)站或者點擊來歷不明的郵件，照成網(wǎng)絡(luò)堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造，以提升鏈路穩(wěn)定性，提高網(wǎng)絡(luò)的服務(wù)能力為出發(fā)點，Z校在安全改造實施中，應(yīng)滿足如下的安全建設(shè)需求1)提升鏈路的均衡性和利用率：Z校網(wǎng)絡(luò)出口與CERNET、Internet互聯(lián)，選擇了與電信和聯(lián)通兩家運營商合作。利用現(xiàn)有網(wǎng)絡(luò)出口鏈路資源，提升網(wǎng)絡(luò)訪問速度，最大化保障校園網(wǎng)內(nèi)部用戶的網(wǎng)絡(luò)使用滿意度，同時又要合理節(jié)約鏈路成本，均衡使用各互聯(lián)網(wǎng)出口鏈路，是網(wǎng)絡(luò)安全建設(shè)的首要需求。2)實現(xiàn)關(guān)鍵設(shè)備的冗余性：互聯(lián)網(wǎng)邊界的下一代防火墻設(shè)備為整個網(wǎng)絡(luò)安全改造的核心設(shè)備，均以NAT模式或者路由模式部署，承載了整個校園網(wǎng)的業(yè)務(wù)處理，任何一個設(shè)備出現(xiàn)問題將直接導(dǎo)致業(yè)務(wù)不能夠連續(xù)運行，無任何備份措施，只能替換或者跳過出故障的設(shè)備，且只能以手工方式完成切換，無論從響應(yīng)的及時性，還是從保障業(yè)務(wù)連續(xù)性的角度，都存在很大的延遲，為此需要將互聯(lián)網(wǎng)出口的下一代防火墻設(shè)備進行雙機冗余部署。3)集中管理和日志收集需求：本次安全改造涉及安全設(shè)備數(shù)量較多，需要對所有安全設(shè)備進行統(tǒng)一日志收集、查詢工作，傳統(tǒng)單臺操作單臺部署的方式運維效率低下，所以需要專業(yè)集中監(jiān)控、配置、管理的安全設(shè)備，統(tǒng)一對眾多安全設(shè)備進行集中監(jiān)控、策略統(tǒng)一調(diào)度、統(tǒng)一升級備份和審計。

4、解決方案

網(wǎng)絡(luò)安全建設(shè)是一個長期的項目，不可能一蹴而就，一步到位，網(wǎng)絡(luò)安全過程建設(shè)中，在利用學(xué)校原有設(shè)備的基礎(chǔ)上，在資金、技術(shù)成熟的條件下，逐步實施。Z校網(wǎng)絡(luò)安全建設(shè)規(guī)劃分為短期建設(shè)和長期建設(shè)兩部分。

4.1短期網(wǎng)絡(luò)建設(shè)規(guī)劃

4.1.1短期部署規(guī)劃以安全區(qū)域的劃分為設(shè)計主線，從安全的角度分析各業(yè)務(wù)系統(tǒng)可能存在的安全隱患，根據(jù)應(yīng)用系統(tǒng)的特點和安全評估是數(shù)據(jù)，劃分不同安全等級的區(qū)域[3]。通過安全區(qū)域的劃分，明確網(wǎng)絡(luò)邊界，形成清晰、簡潔的網(wǎng)絡(luò)架構(gòu)，實現(xiàn)各業(yè)務(wù)系統(tǒng)之間嚴格的訪問安全互聯(lián)，有效的實現(xiàn)網(wǎng)絡(luò)之間，各業(yè)務(wù)系統(tǒng)之間的隔離和訪問控制。本次短期網(wǎng)絡(luò)建設(shè)，把整個網(wǎng)絡(luò)劃分為邊界安全防護區(qū)域、核心交換區(qū)域、安全管理區(qū)域、辦公接入?yún)^(qū)域、服務(wù)器集群區(qū)域和無線訪問控制區(qū)域。4.1.2部署設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)見圖2，從圖2可以看出，出口區(qū)域，互聯(lián)網(wǎng)邊界處的防火墻設(shè)備是整個網(wǎng)絡(luò)安全改造的核心設(shè)備，以NAT模式或者路由模式部署，無任何備份措施，為此需要再引入一臺同型號的防火墻設(shè)備，實現(xiàn)雙機冗余部署。同理，原城市熱點認證網(wǎng)關(guān)和行為管理設(shè)備需要再各補充一臺，組成雙機冗余方案。安全管理區(qū)域根據(jù)學(xué)校預(yù)算，部署幾臺安全設(shè)備。首先，部署一臺堡壘機，建立集中、主動的安全運維管控模式，降低人為安全風險；其次，部署一臺入侵檢測設(shè)備（IDS），實時、主動告警黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S等惡意流量，防止在出現(xiàn)攻擊后無數(shù)據(jù)可查；再部署一臺漏洞掃描設(shè)備，對網(wǎng)絡(luò)內(nèi)部的設(shè)備進行漏洞掃描，找出存在的安全漏洞，根據(jù)漏洞掃描報告與安全預(yù)警通告，制定安全加固實施方案，以保證各系統(tǒng)功能的正常性和堅固性；最后，部署一臺安全審計設(shè)備（SAS），實時監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容，實現(xiàn)對網(wǎng)絡(luò)信息數(shù)據(jù)的監(jiān)控。服務(wù)器集群區(qū)域，除了原有的WEB防火墻外，再部署一臺入侵防護設(shè)備（IPS），攔截網(wǎng)絡(luò)病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量，保護Z校的信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機[4]。

4.2長期網(wǎng)絡(luò)建設(shè)規(guī)劃

網(wǎng)絡(luò)安全的防護是動態(tài)的、整體的，病毒傳播、黑客攻擊也不是靜態(tài)的。在網(wǎng)絡(luò)安全領(lǐng)域，不存在一個能完美的防范任何攻擊的網(wǎng)絡(luò)安全系統(tǒng)。在網(wǎng)絡(luò)中添加再多的網(wǎng)絡(luò)安全設(shè)備也不可能解決所有網(wǎng)絡(luò)安全方面的問題。想要構(gòu)建一個相對安全的網(wǎng)絡(luò)系統(tǒng)，需要建立一套全方位的，從檢測、控制、響應(yīng)、管理、保護到容災(zāi)備份的安全保障體系。目前，網(wǎng)絡(luò)安全體系化建設(shè)結(jié)合重點設(shè)備保護的策略，再配合第三方安全廠商的安全服務(wù)是網(wǎng)絡(luò)安全建設(shè)的優(yōu)選。4.2.1網(wǎng)絡(luò)體系化建設(shè)體系化建設(shè)指通過分析網(wǎng)絡(luò)的層次關(guān)系、安全需要和動態(tài)實施過程，建立一個科學(xué)的安全體系和模型，再根據(jù)安全體系和模型來分析網(wǎng)絡(luò)中存在的各種安全隱患，對這些安全隱患提出解決方案，最大程度解決網(wǎng)絡(luò)存在的安全風險。體系化建設(shè)需要從網(wǎng)絡(luò)安全的組織體系、技術(shù)體系和管理體系三方面著手，建立統(tǒng)一的安全保障體系。組織體系著眼于人員的組織架構(gòu)，包括崗位設(shè)置、人員錄用、離崗、考核等[5]；技術(shù)體系分為物理安全、網(wǎng)絡(luò)安全、主機安全、系統(tǒng)運維管理、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等；管理體系側(cè)重于制度的梳理，包括信息安全工作的總體方針、規(guī)范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規(guī)程。4.2.2體系化設(shè)計網(wǎng)絡(luò)體系化建設(shè)要以組織體系為基礎(chǔ)，以管理體系為保障，以技術(shù)體系為支撐[6]，全局、均衡的考慮面臨的安全風險，采取不同強度的安全措施，提出最佳解決方案。具體流程見圖3。體系化建設(shè)以風險評估為起點，安全體系為核心，安全指導(dǎo)為原則，體系建設(shè)為抓手，組織和制定安全實施策略和防范措施，在建設(shè)過程中不斷完善安全體系結(jié)構(gòu)和安全防御體系，全方位、多層次滿足安全需求。

5、結(jié)語

從整個信息化安全體系來說，安全是技術(shù)與管理的一個有機整體，僅僅借助硬件產(chǎn)品進行的安全防護是不完整的、有局限的。安全問題，是從設(shè)備到人，從服務(wù)器上每個服務(wù)程序到Web防火墻、入侵防御系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、漏洞掃描、傳統(tǒng)防火墻等安全產(chǎn)品的綜合問題，每一個環(huán)節(jié)，都是邁向網(wǎng)絡(luò)安全的步驟之一。文中的研究思路、解決方案，對兄弟院校的網(wǎng)絡(luò)安全建設(shè)和改造有參考價值。

參考文獻：

［1］王霞.數(shù)字化校園中網(wǎng)絡(luò)與信息安全問題及其解決方案［J］.科技信息，2012.7:183-184

［2］黃智勇.網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計與實現(xiàn)［D］.成都：電子科技大學(xué)，2011.11:2-3

［3］徐奇.校園網(wǎng)的安全信息安全體系與關(guān)鍵技術(shù)研究［D］.上海：上海交通大學(xué)，2009.5:1-4

［4］張旭輝.某民辦高校網(wǎng)絡(luò)信息安全方案的設(shè)計與實現(xiàn)［D］.西安:西安電子科技大學(xué)，2015.10:16-17

［5］陳堅.高校校園網(wǎng)網(wǎng)絡(luò)安全問題分析及解決方案設(shè)計［D］長春：長春工業(yè)大學(xué)，2016.3:23-31

網(wǎng)絡(luò)安全規(guī)劃方案范文第2篇

關(guān)鍵詞：電信；網(wǎng)絡(luò)安全；技術(shù)防護

從20世紀90年代至今，我國電信行業(yè)取得了跨越式發(fā)展，電信固定網(wǎng)和移動網(wǎng)的規(guī)模均居世界第一，網(wǎng)絡(luò)的技術(shù)水平也居世界前列。電信已經(jīng)深入到人類生活的方方面面，和日常生活的結(jié)合越來越緊密。電信網(wǎng)的安全狀況直接影響這些基礎(chǔ)設(shè)施的正常運行。加強電信網(wǎng)絡(luò)的安全防護工作，是一項重要的工作。筆者結(jié)合工作實際，就電信網(wǎng)絡(luò)安全及防護工作做了一些思考。

1 電信網(wǎng)絡(luò)安全及其現(xiàn)狀

狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性，按照網(wǎng)絡(luò)對象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運營商內(nèi)部網(wǎng)絡(luò)安全等幾個方面；廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個基本層面，在這個基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面，幾個層面結(jié)合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網(wǎng)絡(luò)安全的建設(shè)，針對網(wǎng)絡(luò)特點、業(yè)務(wù)特點建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年，原中國電信意識到網(wǎng)絡(luò)安全的重要性，并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門，著力建立中國電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中，包括組織體系、策略體系和保障的機制，依據(jù)組織保障策略引導(dǎo)、保障機制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大和業(yè)務(wù)的突飛猛進，單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此，建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺，也就是SOC平臺，形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系，以完成中國電信互聯(lián)網(wǎng)的安全保障工作。這個系統(tǒng)通過幾個模塊協(xié)同工作，來完成對網(wǎng)絡(luò)安全事件的監(jiān)控，完成對網(wǎng)絡(luò)安全工作處理過程中的支撐，還包括垃圾郵件獨立處理的支持系統(tǒng)。

然而，網(wǎng)絡(luò)安全是相對的。網(wǎng)絡(luò)開放互聯(lián)、設(shè)備引進、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等，造成了網(wǎng)絡(luò)的脆弱性。當電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中，安全問題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看，隨著攻擊技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具的獲得越來越容易，對網(wǎng)絡(luò)發(fā)起攻擊變得容易；而運營商網(wǎng)絡(luò)分布越來越廣泛，這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞，容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看，業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等，也是威脅網(wǎng)絡(luò)安全的因素。

2 電信網(wǎng)絡(luò)安全面臨的形勢及問題

2.1 互聯(lián)網(wǎng)與電信網(wǎng)的融合，給電信網(wǎng)帶來新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送，信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離，完全由運營商控制，電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網(wǎng)絡(luò)控制系統(tǒng)，保障了網(wǎng)絡(luò)安全。IP電話引入后，需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通，電信網(wǎng)的信令網(wǎng)不再獨立于業(yè)務(wù)網(wǎng)。IP電話的實現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上，TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號碼不在IP包中傳送，一旦出現(xiàn)不法行為，無論是運營商還是執(zhí)法機關(guān)，確認這些用戶的身份需要費一番周折，加大了打擊難度。

2.2 新技術(shù)、新業(yè)務(wù)的引入，給電信網(wǎng)的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運營商帶來的好處是顯而易見的，但從網(wǎng)絡(luò)安全方面看，如果采取的措施不當，NGN的引入可能會增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外，3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入，都有可能給電信網(wǎng)的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強，每一個用戶都有能力對網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制，組成僵尸網(wǎng)絡(luò)群，其拒絕服務(wù)攻擊的破壞力將可能十分巨大。

2.3 運營商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合，網(wǎng)絡(luò)出現(xiàn)重大事故時難以迅速恢復(fù)

目前，我國電信領(lǐng)域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運營商條件下的監(jiān)管措施還不配套，給電信網(wǎng)絡(luò)安全帶來了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面，原來由行業(yè)主管部門對電信網(wǎng)絡(luò)進行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，現(xiàn)在由各運營企業(yè)承擔各自網(wǎng)絡(luò)的規(guī)劃、建設(shè)，行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問題，不同運營商之間的網(wǎng)絡(luò)能否互相支援配合就存在問題。

2.4 相關(guān)法規(guī)尚不完善，落實保障措施缺乏力度

當前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中，與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備，且缺乏操作性。在規(guī)范電信運營企業(yè)安全保障建設(shè)方面，也缺乏法律依據(jù)。運營企業(yè)為了在競爭中占據(jù)有利地位，更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開發(fā)、市場份額和投資回報，把經(jīng)濟效益放在首位，網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運行維護管理等相對滯后。

3 電信網(wǎng)絡(luò)安全防護的對策思考

強化電信網(wǎng)絡(luò)安全，應(yīng)做到主動防護與被動監(jiān)控、全面防護與重點防護相結(jié)合，著重考慮以下幾方面。

3.1 發(fā)散性的技術(shù)方案設(shè)計思路

在采用電信行業(yè)安全解決方案時，首先需要對關(guān)鍵資源進行定位，然后以關(guān)鍵資源為基點，按照發(fā)散性的思路進行安全分析和保護，并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個統(tǒng)一規(guī)范的安全系統(tǒng)，使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2 網(wǎng)絡(luò)層安全解決方案

網(wǎng)絡(luò)層安全要基于以下幾點考慮：控制不同的訪問者對網(wǎng)絡(luò)和設(shè)備的訪問；劃分并隔離不同安全域；防止內(nèi)部訪問者對無權(quán)訪問區(qū)域的訪問和誤操作?？梢园凑站W(wǎng)絡(luò)區(qū)域安全級別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進行安全隔離。同時，應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護和監(jiān)控需要，與實際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機構(gòu)組織形式進行密切結(jié)合，在系統(tǒng)中建立一個完善的安全體系，包括企業(yè)級的網(wǎng)絡(luò)實時監(jiān)控、入侵檢測和防御，系統(tǒng)訪問控制，網(wǎng)絡(luò)入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強系統(tǒng)的總體可控性。

3.3 網(wǎng)絡(luò)層方案配置

在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺專用的安全工作站安裝入侵檢測產(chǎn)品，將工作站直接連接到主干交換機的監(jiān)控端口(SPANPort)，用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包，并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個網(wǎng)卡并分別連接到多個子網(wǎng)的入侵檢測工作站進行相應(yīng)的監(jiān)測。

3.4 主機、操作系統(tǒng)、數(shù)據(jù)庫配置方案

由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu)，兼呈局域網(wǎng)和廣域網(wǎng)的特性，是一個充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計算機網(wǎng)絡(luò)，它面臨的安全性威脅來自于方方面面。每一個需要保護的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護產(chǎn)品進行防范，并在中央安全管理平臺上部署中央管理控制臺，對全部的核心防護產(chǎn)品進行中央管理。

3.5 系統(tǒng)、數(shù)據(jù)庫漏洞掃描

系統(tǒng)和數(shù)據(jù)庫的漏洞掃描對電信行業(yè)這樣的大型網(wǎng)絡(luò)而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門購買其他的系統(tǒng)/數(shù)據(jù)庫漏洞掃描工具。

參考文獻

網(wǎng)絡(luò)安全規(guī)劃方案范文第3篇

關(guān)鍵詞信息安全；PKI；CA；VPN

1引言

隨著計算機網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計算機應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠見的企業(yè)都認識到依托先進的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場，企業(yè)就面臨著如何提高自身核心競爭力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進行說明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計算機網(wǎng)絡(luò)

某公司現(xiàn)有計算機500余臺，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計算機在同一網(wǎng)段，通過交換機連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累，某公司的計算機應(yīng)用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡(luò)的進一步完善，計算機應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計算機網(wǎng)絡(luò)的安全，某公司實施了計算機網(wǎng)絡(luò)安全項目，基于當時對信息安全的認識和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計算機網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風險與需求分析3.1風險分析

通過對我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強，計算機應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強。計算機網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求。

(2)計算機應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強各計算機應(yīng)用系統(tǒng)的用戶管理和身份的認證，加強對數(shù)據(jù)的備份，并運用技術(shù)手段，提高數(shù)據(jù)的機密性、完整性和可用性。

通過對現(xiàn)有的信息安全體系的分析，也可以看出：隨著計算機技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強，安全防護僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風險。

目前實施的安全方案是基于當時的認識進行的，主要工作集中于網(wǎng)絡(luò)安全，對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認證，對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內(nèi)部人員可以直接對重要的服務(wù)器進行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況。

美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)等權(quán)威機構(gòu)的研究也證明了這一點：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個動態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級。

已購買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性，擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風險評估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風險評估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運用風險評估、風險管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風險，信息安全的需求主要體現(xiàn)在如下幾點：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

(2)網(wǎng)絡(luò)規(guī)模的擴大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計算機網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復(fù)雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項工作都能夠有序、規(guī)范地進行。

(4)信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項防范工作，應(yīng)對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4設(shè)計原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1標準化原則

本方案參照信息安全方面的國家法規(guī)與標準和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標準及規(guī)定，使安全技術(shù)體系的建設(shè)達到標準化、規(guī)范化的要求，為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮，既注重技術(shù)的實現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3規(guī)避風險原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行，這是安全技術(shù)體系建設(shè)必須面對的最大風險。本規(guī)劃特別考慮規(guī)避運行風險問題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計并實現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時，對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5多重保護原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

4.6分步實施原則

由于某公司應(yīng)用擴展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加，系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性，尋求安全、風險、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費用開支。

5設(shè)計思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當完備，安全管理應(yīng)貫穿安全防范活動的始終，如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對的，需要在風險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現(xiàn)狀的分析，對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過與計算機專業(yè)公司接觸，初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺，都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當數(shù)應(yīng)用PKI/CA數(shù)字認證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認證服務(wù)。通過建設(shè)證書認證中心系統(tǒng)，建立一個完善的網(wǎng)絡(luò)安全認證平臺，能夠通過這個安全平臺實現(xiàn)以下目標：

身份認證(Authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認對方的身份。

數(shù)據(jù)的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù)，可以對多種網(wǎng)絡(luò)對象進行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護。

集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的。首先，它的認證機制依賴于層次結(jié)構(gòu)的證書認證機構(gòu)，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織(根證書)之間相互認證，整個信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護

對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來自于企業(yè)內(nèi)部。同時，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對企業(yè)機密和專利信息的竊取、財務(wù)欺騙等，因此，對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡(luò)。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標準安全算法或國家密碼管理機構(gòu)指定安全算法，從而保證了存儲數(shù)據(jù)的安全性。

5.5身份認證

身份認證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程?；赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。

基于PKI的USBKey的解決方案不僅可以提供身份認證的功能，還可構(gòu)建用戶集中管理與認證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實現(xiàn)上述身份認證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。

6方案的組織與實施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程，也為本方案的實施提供了借鑒。

圖3

因此在本方案的組織和實施中，除了工程的實施外，還應(yīng)重視以下各項工作：

(1)在初步進行風險分析基礎(chǔ)上，方案實施方應(yīng)進行進一步的風險評估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對性和投資的回報。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實際情況，可采取分地區(qū)、分階段實施的方式。

(4)在方案實施的同時，加強規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術(shù)手段的改進，到規(guī)章制度的完善；從單機系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

也希望通過本方案的實施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來自各方面的攻擊和威脅，把風險降到最低水平。

網(wǎng)絡(luò)安全規(guī)劃方案范文第4篇

關(guān)鍵詞：企業(yè)局域網(wǎng)；安全風險；分析；方案設(shè)計規(guī)劃；討論

中圖分類號：TP393.1

建立企業(yè)風險意識，做好網(wǎng)絡(luò)安全防范預(yù)測，成為了企業(yè)風險管理中的一項重要內(nèi)容。防火墻、漏洞掃描、防病毒、入侵檢測等維護網(wǎng)絡(luò)安全的軟件，有效地提高網(wǎng)絡(luò)信息的安全性。隨著網(wǎng)絡(luò)與信息技術(shù)應(yīng)用的范圍不斷擴大，各種形式的服務(wù)被展開，各種的網(wǎng)絡(luò)安全問題也隨之出現(xiàn)了。為了確保企業(yè)局域網(wǎng)信息能夠在網(wǎng)絡(luò)上進行有效傳播，并且免受網(wǎng)絡(luò)黑客的攻擊，可以加筑安全屏障在企業(yè)的局域信息網(wǎng)。為了維護局域網(wǎng)絡(luò)信息系統(tǒng)的安全性，采用防火墻技術(shù)與入侵檢測系統(tǒng)相結(jié)合的防護技術(shù)，使網(wǎng)絡(luò)的安全防御能力大大地提高了，實現(xiàn)了維護網(wǎng)絡(luò)系統(tǒng)的安全運營。對企業(yè)的局域網(wǎng)絡(luò)系統(tǒng)進行風險分析，并根據(jù)實際的需要進行合理地規(guī)劃設(shè)計，是非常必要的。

1 企業(yè)局域網(wǎng)系統(tǒng)安全風險分析

企業(yè)局域網(wǎng)系統(tǒng)普遍存在的安全風險包括有網(wǎng)絡(luò)安全的物理風險和網(wǎng)絡(luò)平臺的安全風險。

1.1 網(wǎng)絡(luò)安全的物理風險

網(wǎng)絡(luò)安全的物理風險一般是建立網(wǎng)絡(luò)的硬件設(shè)施很容易出現(xiàn)故障。除了一些自然因素，如火災(zāi)、水災(zāi)、地震等所造成的故障之外，主要還是諸如由于不當操作而造成的設(shè)備損壞或者是設(shè)備丟失以及線路被劫等等的人為因素影響。對于性能較高的硬件配置，主要體現(xiàn)在雙機設(shè)計、報警系統(tǒng)、機房的內(nèi)部環(huán)境的安全性上。

1.2 網(wǎng)絡(luò)平臺的安全風險

網(wǎng)絡(luò)平臺的安全風險主要體現(xiàn)服務(wù)器的風險和整體結(jié)構(gòu)與路由的風險。

（1）服務(wù)器風險。作為企業(yè)信息的平臺，局域網(wǎng)的服務(wù)器一旦受到攻擊，就容易導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。網(wǎng)絡(luò)管理人員就有其需要對網(wǎng)絡(luò)節(jié)點提高警惕，因為這里是黑客試圖闖入的關(guān)鍵。

（2）網(wǎng)絡(luò)的整體結(jié)構(gòu)與路由風險。企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的建立是非常簡單的，只要一臺路由器，加之一些輔助設(shè)備，就可以將局域網(wǎng)絡(luò)系統(tǒng)建立起來。因此，很容易出現(xiàn)安全問題。

2 網(wǎng)絡(luò)安全的總體設(shè)計原則

2.1 網(wǎng)絡(luò)安全設(shè)計方案需要遵循的原則

（1）綜合規(guī)劃原則。計算機的網(wǎng)絡(luò)結(jié)構(gòu)主要包括數(shù)據(jù)、軟件、設(shè)備等等，那么，在對網(wǎng)絡(luò)工程系統(tǒng)進行安全設(shè)計的時候，就需要從整體角度出發(fā)對設(shè)計方案進行制定，并根據(jù)專業(yè)的需要分析、修改。

從管理的角度來看，網(wǎng)絡(luò)安全的設(shè)計上，要符合有關(guān)的法律法規(guī)已經(jīng)相應(yīng)的管理制度；在專業(yè)技術(shù)上，采取多種方法向融合的措施，以獲得最可行、最有效的方案。

（2）平衡一致的原則。使用局域網(wǎng)絡(luò)，其可以帶來諸多的便利的同時，用戶也要承擔了一定的風險。通過對網(wǎng)絡(luò)的實際功能進行研究，在設(shè)計安全策略之前，要對網(wǎng)絡(luò)的結(jié)構(gòu)、性能等進行必要的分析，使其與網(wǎng)絡(luò)安全的需求保持一致。不但可以提高網(wǎng)絡(luò)的運行效率，而且還會降低資金投入成本。

（3）多重保護，分步實施。為了防止系統(tǒng)在黑客的攻擊下，受到破壞。建立起多重保護網(wǎng)絡(luò)的系統(tǒng)，可以加大安全防護系數(shù)，以各層保護之間的互補，實現(xiàn)保護系統(tǒng)信息的安全。

鑒于網(wǎng)絡(luò)系統(tǒng)實際應(yīng)用范圍的不斷擴展，網(wǎng)絡(luò)規(guī)模也在不斷加大，這就導(dǎo)致網(wǎng)絡(luò)更加脆弱。網(wǎng)絡(luò)安全問題不能一次性的解決，并且在使用安全措施時，需要支出一定的費用，針對這一問題，可以采用分步實施的凡是來滿足網(wǎng)絡(luò)安全的需求，也能夠盡量節(jié)省開支。

2.2 安全技術(shù)、服務(wù)、機制

（1）安全技術(shù)。在開放的環(huán)境下，用戶可以使用病毒預(yù)防技術(shù)、防火墻技術(shù)等等。

（2）安全服務(wù)、機制。安全服務(wù)中，除了包括可靠服務(wù)、認證對象服務(wù)之外，必要的控制服務(wù)也是非常很總要的。相應(yīng)地，也將認證機制以及控制訪問機制建立了起來。

3 企業(yè)局域網(wǎng)系統(tǒng)安全設(shè)計規(guī)劃

建立防火墻和入侵檢測系統(tǒng)，成為了企業(yè)局域網(wǎng)絡(luò)系統(tǒng)安全設(shè)計的規(guī)劃方案。

3.1 防火墻技術(shù)

應(yīng)用防火墻，可以保證信息安全。防火墻技術(shù)的功能就是阻攔一些不被允許的垃圾信息，因為這些信息容易對網(wǎng)絡(luò)造成干擾，有效組織可以避免出現(xiàn)信息上的濫竽充數(shù)。可見，防火墻的目的就是對網(wǎng)絡(luò)之間的通信進行控制。

防火墻其實就是一種軟件或者是硬件設(shè)備的組合，將其安裝在企業(yè)信息網(wǎng)絡(luò)與Internet之間，可以在網(wǎng)絡(luò)信息相互傳送的過程中實現(xiàn)保護系統(tǒng)安全的作用。在兩個信任程度不同的網(wǎng)絡(luò)之間安裝適當?shù)姆阑饓Γ梢苑乐怪匾男畔①Y源被非法存取和訪問。

3.2 入侵檢測系統(tǒng)

防火墻的作用是采用強制的方式，攔截不符合局域網(wǎng)絡(luò)要求的信息。那么，在企業(yè)的局域網(wǎng)絡(luò)信息系統(tǒng)中安裝入侵檢測系統(tǒng)，不但可以實現(xiàn)防火墻的黑客堵截功能，而且，還會對局域網(wǎng)絡(luò)內(nèi)部的攻擊性信息進行監(jiān)督。對于沒有被授權(quán)瀏覽的信息，依然會采取相應(yīng)的干擾措施。

入侵檢測系統(tǒng)與防火墻相比，更具有優(yōu)越性。作為一種動態(tài)的安全技術(shù)，其可以對計算機網(wǎng)絡(luò)以及計算機系統(tǒng)中風險系數(shù)比較高的關(guān)鍵點信息進行收集，并對這些信息進行技術(shù)分析和檢測。通過對于檢測記錄進行匯總，就可以從中判斷出一些信息所呈現(xiàn)出來的違反安全策略的行為。此時，入侵檢測系統(tǒng)就會啟動報警系統(tǒng)，同時阻撓不良信息的侵入。

3.3 建立入侵檢測系統(tǒng)與防火墻相結(jié)合的安全防護體系

將防火墻系統(tǒng)和入侵檢測系統(tǒng)充分地結(jié)合起來，可以達到加強網(wǎng)絡(luò)安全系統(tǒng)防護墻的作用。

具體操作上，首先要安裝防火墻系統(tǒng)，以使外部的入侵信息被過濾在局域網(wǎng)之外，從而達到基本的防護作用，此為企業(yè)局域網(wǎng)絡(luò)防止黑客入侵的第一道防線。之后，將入侵檢測系統(tǒng)進行安裝，形成防止黑客入侵的第二道防線。一旦有不良信息闖過防火墻，遇到了入侵檢測系統(tǒng)后，就會降低對信息網(wǎng)絡(luò)干擾力。而入侵檢測系統(tǒng)可以對黑客進行有效檢測，并啟動報警系統(tǒng)。這樣安裝系統(tǒng)防御設(shè)備，既可以降低保護局域網(wǎng)系統(tǒng)的風險系數(shù)，也可以將其工作負載降低。

3.4 防火墻系統(tǒng)和入侵檢測系統(tǒng)的組合安裝方式

防火墻系統(tǒng)和入侵檢測系統(tǒng)的組合安裝方式包括有兩種，一種是將入侵檢測系統(tǒng)嵌入到防火墻中；另一種是將防火墻或者入侵檢測系統(tǒng)開放一個接口，將兩者進行外部連接。

采用入侵檢測系統(tǒng)嵌入的方式，其數(shù)據(jù)并不是來源于數(shù)據(jù)包，而是流經(jīng)防火墻的數(shù)據(jù)流；使用接口進行外部聯(lián)結(jié)的方式，則具有靈活性的優(yōu)勢。很顯然，兩者不是簡單的疊加，而是技術(shù)性的組合。

4 總結(jié)

綜上所述，網(wǎng)絡(luò)信息的安全問題已經(jīng)成為一種社會問題，如果不及時將局域網(wǎng)系統(tǒng)產(chǎn)生的安全問題分析。解決，那么對企業(yè)來說將是巨大的威脅。由于網(wǎng)絡(luò)安全一直處在不斷變化與動態(tài)發(fā)展的過程中，因此我們要及時掌握網(wǎng)絡(luò)變化的第一手資料，對現(xiàn)階段存在的各類病毒全面了解，以便制定出有效的防范措施，將網(wǎng)絡(luò)風險問題降到最低。

參考文獻：

[1]張麗肖，劉勁松，李超，柴文磊，李清霞.企業(yè)局域網(wǎng)系統(tǒng)安全的風險分析及設(shè)計規(guī)劃探討[J].信息與電腦（理論版），2011，16（08）：218-221.

[2]劉亞麗，鄧高峰，郝卓，俞能海.企業(yè)局域網(wǎng)ARP攻擊原理分析及防御措施[J].計算機安全，2011，23（07）：264-266.

網(wǎng)絡(luò)安全規(guī)劃方案范文第5篇

結(jié)合我校實際，本專業(yè)培養(yǎng)具有較扎實的數(shù)理和計算機科學(xué)理論基礎(chǔ)，掌握網(wǎng)絡(luò)工程中近代通信網(wǎng)絡(luò)的基本理論及網(wǎng)絡(luò)工程的實用技術(shù)，了解網(wǎng)絡(luò)協(xié)議體系、網(wǎng)絡(luò)互聯(lián)技術(shù)，具備網(wǎng)絡(luò)規(guī)劃、設(shè)計與實現(xiàn)以及網(wǎng)絡(luò)程序設(shè)計開發(fā)能力，能從事網(wǎng)絡(luò)工程設(shè)計與管理、網(wǎng)絡(luò)應(yīng)用開發(fā)、網(wǎng)絡(luò)安全與維護等工作，具有網(wǎng)絡(luò)軟件開發(fā)和較強網(wǎng)絡(luò)工程實踐能力的“復(fù)合型”高級技術(shù)人才。學(xué)生畢業(yè)后適合在政府部門、大中型企業(yè)、高等院校、部隊、研究機構(gòu)、金融保險業(yè)、獨資與合資等生產(chǎn)、建設(shè)、管理、服務(wù)第一線單位從事科研、開發(fā)、應(yīng)用、管理工作以及計算機網(wǎng)絡(luò)軟硬件開發(fā)、系統(tǒng)集成、網(wǎng)絡(luò)的設(shè)計、應(yīng)用、維護和管理工作。

網(wǎng)絡(luò)工程專業(yè)人才培養(yǎng)體系的構(gòu)建

打通了信息類6門主干課程，本著“寬口徑、重基礎(chǔ)”的原則，打通了數(shù)字電子技術(shù)、模擬電子技術(shù)、電路分析基礎(chǔ)、微機原理與接口技術(shù)、計算機網(wǎng)絡(luò)、C語言程序設(shè)計六門主干專業(yè)課程。同時考慮到本專業(yè)同時具有計算機和通信的特點，在學(xué)科基礎(chǔ)課程中還增設(shè)了《離散數(shù)學(xué)》和《現(xiàn)代通信技術(shù)》兩門相關(guān)的專業(yè)的理論課程，以加強學(xué)生的理論基礎(chǔ)。此外，在選修課程設(shè)置方面，考慮到與《網(wǎng)絡(luò)工程》專業(yè)對應(yīng)的碩士點是在計算機學(xué)科，為滿足部分同學(xué)考研的需要，將《計算機組成原理》和《編譯原理》等課程列為選修課，以方便學(xué)生應(yīng)考。

對于網(wǎng)絡(luò)工程專業(yè)，劃分專業(yè)方向，針對性的開設(shè)相關(guān)課程，進行特色培養(yǎng)是目前普遍采用的方法[1，3]。根據(jù)我校的實際，確定了網(wǎng)絡(luò)工程設(shè)計、網(wǎng)絡(luò)應(yīng)用開發(fā)、網(wǎng)絡(luò)安全與維護三個基本方向。除我院的有關(guān)實驗室外，我校的網(wǎng)絡(luò)中心能為網(wǎng)絡(luò)工程設(shè)計和網(wǎng)絡(luò)安全與維護方向的人才培養(yǎng)提供相應(yīng)的指導(dǎo)與實踐環(huán)境。2.2.1網(wǎng)絡(luò)工程設(shè)計主要能從事網(wǎng)絡(luò)工程的規(guī)劃與設(shè)計，為突出人才培養(yǎng)的特色，結(jié)合架設(shè)網(wǎng)絡(luò)工程的實際需要，加強實用性，開設(shè)了《組網(wǎng)工程》、《TCP/IP協(xié)議體系》、《網(wǎng)絡(luò)設(shè)計與規(guī)劃》《通信防護技術(shù)》，《網(wǎng)絡(luò)綜合布線》，《無線網(wǎng)絡(luò)技術(shù)》等實用性較強的課程。

隨著網(wǎng)絡(luò)的普及，各種基于網(wǎng)絡(luò)的應(yīng)用程序越來越受到歡迎，需要大量的網(wǎng)絡(luò)應(yīng)用開發(fā)人才。本方案中除了開設(shè)了《web技術(shù)》、《網(wǎng)絡(luò)通信編程技術(shù)》、《Java應(yīng)用程序開發(fā)》等基礎(chǔ)課程外，還增設(shè)了《中小型機應(yīng)用及開發(fā)》、《移動編程技術(shù)》、《嵌入式系統(tǒng)》、《網(wǎng)絡(luò)數(shù)據(jù)庫編程》等特色課程，涉及到網(wǎng)絡(luò)應(yīng)用程序開發(fā)的幾個主要方面。人們對網(wǎng)絡(luò)的安全問題越來越重視，網(wǎng)絡(luò)安全與維護方面的人才具有較大的市場需求。為滿足此方面人才的需要，開設(shè)了《網(wǎng)絡(luò)安全技術(shù)》、《網(wǎng)絡(luò)管理與維護技術(shù)》、《網(wǎng)絡(luò)故障分析》、《反病毒與防火墻技術(shù)》、《入侵檢測技術(shù)》等課程。網(wǎng)絡(luò)工程專業(yè)與其它專業(yè)有一個很大的不同，與網(wǎng)絡(luò)工程相關(guān)的計算機水平認證考試有許多，為提高學(xué)生的就業(yè)競爭力，除了在課程教學(xué)內(nèi)容方面增加與水平認證相關(guān)的教學(xué)內(nèi)容外，在實踐環(huán)節(jié)設(shè)置中還引入了以水平認證為導(dǎo)向的教學(xué)實踐模式。即結(jié)合各種水平認證，有針對性的安排實習內(nèi)容，以便為考取相關(guān)證書服務(wù)。