企業網絡安全實施方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業網絡安全實施方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:企業網絡安全實施方案范文
[關鍵詞]企業 內部網絡 安全防護 網絡病毒 防火墻
中圖分類號:D922.21 文獻標識碼:A 文章編號:1009-914X(2015)46-0073-01
近年來,信息技術在企業的管理中獲得了廣泛的應用,企業的許多重要商業數據、核心技術等都以信息數據的形式儲存在企業的網絡服務系統中。一旦這些數據遭到了竊取和泄露,將會對企業造成嚴重的經濟損失。因此,企業內部網絡安全防護系統的建設和完善具有重要的意義。
1.企業內部網絡常見的安全問題
1.1 內部的網絡安全威脅
一些企業中存在具有一定網絡技術的員工,他們有時會出于個人的興趣或利益對企業的內部網絡系統進行惡意的入侵,竊取或篡改相關的信息。這一類的網絡安全威脅影響是最大的,因為很難對這種行為進行防范。企業內部的工作人員對企業的網絡系統十分了解,能夠快速的找出系統中的漏洞和薄弱環節,一旦他們對網絡進行攻擊,很難進行抵擋和防范。
1.2 網絡病毒的攻擊
網絡病毒也是影響企業內部網絡系統安全性的主要因素之一。網絡病毒具有很強的感染性和侵入性,并且能夠通過對程序的篡改、破壞等刪除和偽造文件,對網絡系統產生極大的破壞。一旦網絡系統中的一臺服務器受到了病毒感染,很有可能在極短的時間內就造成整個網絡系統的癱瘓,影響工作的正常開展,給企業造成嚴重的經濟損失。
1.3 軟件后門
企業的網絡系統中有許多類型的軟件,一旦這些軟件中存在漏洞,就會給黑客入侵產生機會。若網絡軟件被黑客所控制,將會造成嚴重的后果。一些企業即使采取了物理隔離的方式對黑客的入侵進行了防范,但無法從根本上阻止黑客的入侵行為,企業數據信息被竊取的現象仍時有發生。當前市面上已經出現了一些軟件能夠突破企業網絡安全系統的物理防護,在不被察覺的情況下竊取企業的信息。
2.企業內部網絡安全防護的策略
企業的網絡安全防護應當基于一定的體系,根據造成網絡安全隱患的因素來制定合理的防護策略。良好的安全防護技術是網絡安全的前提和保證,但僅僅依靠良好的技術是遠遠不夠的,企業還應該加強對網絡環境的維護和管理,確保網絡安全維護技術能夠得到有效的發揮,確保安全系統的安全、穩定運行。
2.1 部署網絡防病毒系統
企業應當對內部的網絡系統設置一定的網絡防病毒體系,對局域網內的所有計算機安裝一定的防病毒程序,實現對網絡系統的實時保護。網絡防病毒系統還能實現對服務器的統一管理,管理人員只需要定期的進行殺毒,就能極大的提高網絡系統對病毒的抵御能力,提高系統的安全性。
2.2 部署防火墻
防火墻是網絡系統的安全屏障,其實質是在用戶端與內部網絡之間設置了一定的阻礙,只有擁有一定權限和身份認證的用戶才能登陸企業的內部網絡系統。企業在設置防火墻后可以進行訪問權限的限制,并設置相應的防火墻策略,規定允許流通的信息和數據,實現對服務器的訪問內容監控。防火墻在提高系統安全性的效果上十分顯著,能夠有效的過濾信息中存在安全隱患的內容。
2.3 部署入侵檢測系統
入侵檢測系統可以對網絡的信息傳輸進行實時的監控,一旦發現有身份不明的入侵者或非正常的操作行為,就能及時通知網絡管理人員采取相應的措施進行處理。此外,入侵檢測系統還會對每天的檢測情況產生相應的報告,管理人員只需定期查看相應的報告,就能了解近期內網絡的運行情況以及系統中的薄弱環節,從而采取有效的措施進行處理。入侵檢測系統還可以與防火墻進行聯合使用,加強網絡的穩定性。當入侵系統檢測到安全隱患時,可以立即啟動防火墻對入侵行為進行限制。
2.4 配置漏洞掃描系統
當前,大多數企業網絡系統的安全問題不是由加密系統或設備的落后引起的,而是由于網絡系統存在的漏洞而引起的。許多黑客就是利用企業網絡系統中的漏洞對系統進行攻擊和入侵漏洞掃描系統能夠對網絡系統中的漏洞進行及時的檢測,并對可能存在漏洞的環節進行逐一的檢測和排查,根據檢測結果提出相應的處理方案,并產生系統的檢測報告。
2.5 部署網絡流量分析系統
網絡的利用率是通過網絡流量的形式體現出來的,它是反映網絡運行狀態的重要參數。當網絡利用率達到一定的上限時,網絡會出現異常的狀況,導致很多程序都無法正常的運行,給病毒、黑客的入侵提供了機會。網絡流量分析可以對系統的流量變化進行有效的監控,及時發現異常的網絡行為,為管理人員的管理提供必要的數據。
2.6 部署內網安全審計系統
內網安全審計系統主要是針對網絡用戶的一種監督方式。內網安全審計包括行為審計和內容審計,分別對用戶操作行為和具體的操作內容進行了監控。通過內網安全審計,網絡管理人員能夠及時的察覺威脅網絡安全的行為,采取有效的措施來規避這些行為對網絡安全造成影響。
2.7 部署補丁分發行為
補丁分發是提供網絡安全系統完善性的有效手段。系統在運行的過程中會不斷出現各種各樣的漏洞,這就需要補丁來進行加固和完善。及時的安裝補丁能夠有效的填補網絡漏洞,起到有效的維護網絡安全的作用。
2.8 加強對企業員工的網絡安全培訓
許多企業內部網絡的安全問題都是由于員工不正當的網絡操作引起的,因此提供員工的網絡安全意識對于提高網絡安全性具有重要的意義。為此,企業應當定期對員工進行網絡安全操作的培訓,增強員工的安全防范意識,并教育員工遵守相關的法律法規,避免內部違規操作。
3.結語
在企業信息化管理的進程中,必須做好網絡系統安全性的提升,有效防范信息技術應用所帶來的安全隱患,通過技術的創新和制度的完善提高網絡安全防護的質量和效果,為企業的發展提供一個安全的網絡環境。
參考文獻
[1] 孫劍.計算機網絡安全隱患與防范策略探討[J].計算機光盤軟件與應用,2010(05):96-98.
[2] 周觀民.計算機網絡信息安全及對策研究[J].信息安全與技術,2O11(06):15-16.
[3] 丁海.淺談企業內部網絡安全防護策略[J].信息通信,2012(06):12-13.
第2篇:企業網絡安全實施方案范文
關鍵詞 網絡安全;方案設計;方案實現
中圖分類號 G271 文獻標識碼 A 文章編號 1673-9671-(2012)111-0142-01
計算機網絡的安全運行,是關系到一個企業發展的重要問題,如何能使得企業網絡更為安全,如今已經成為了一個熱議的話題。影響網絡安全的因素有很多種,保護網絡安全的手段、技術也很多。對于網絡安全的保護我們一般都是通過防火墻、加密系統、防病毒系統、身份認證等等方面來保護網絡的安全。為了保護網絡系統的安全,我們必須要結合網絡的具體需求,把多種安全措施進行總結,建立一個立體的、全面的、多層次網絡安全防御系統。
1 影響網絡安全的因素
網絡信息的安全問題日益嚴重,這不僅會使企業遭受到巨大的經濟損失,也影響到國家的安全。
如何避免網絡安全問題的產生,我們必須要清楚因法網絡安全問題的因素有哪些。我們主要把網絡安全問題歸納為以下幾個方面:
1.1 人為失誤
人為失去指的是在在無意識的情況下造成的失誤,進而引發網絡安全問題。如“非法操作、口令的丟失、資源訪問時控制不合理、管理人員疏忽大意等,這些都會對企業網絡系統造成很大的破壞,引發網絡安全問題。
1.2 病毒感染
病毒一直以來,都是能夠對計算機安全夠成直接威脅的因素,而網絡更能夠為病毒提供迅速快捷的傳播途徑,病毒很容易通過服務器以軟件的方式下載、郵件等方式進入網絡,然后對計算機網絡進行攻擊、破壞,進而會造成很大的經濟損失。
1.3 來自企業網絡外部的攻擊
企業網絡外部的攻擊主要是企業局域網外部的惡意攻擊,比如:偽裝合法用戶進入企業網絡,并占用修改資源;有選擇的來破壞企業網絡信息的完整性和有效性;修改企業網站數據、破譯企業機密、竊取企業情報、破壞企業網絡軟件;利用中間網線來讀取或者攔截企業絕密信息等。
1.4 來自網絡內部的攻擊
在企業局域網內部,一些非法人員冒用合法的口令,登陸企業計算機網絡,產看企業機密信息,修改企業信息內容,破壞企業網絡系統的正常運行。
1.5 企業網絡系統漏洞
企業的網絡系統不可能是毫無破綻的,而企業網絡中的漏洞,總是設計者預先留下的,為網絡黑客和工業間諜提供最薄弱的攻擊部位。
2 企業計算機網絡安全方案的設計與實現
影響計算機網絡完全因素很多,而相應的保護手段也很多。
2.1 動態口令身份認證的設計與實現
動態口令身份認證具有動態性、不可逆性、一次性、隨機性等特點,跟傳統靜態口令相比,增加了計算機網絡的安全性。傳統的靜態口令進行身份驗證的時候,很容易導致企業計算機網絡數據遭到竊取、攻擊、認證信息的截取等諸多問題。而動態口令的使用不僅保留了靜態口令的優點,又采用了先進的身份認證以及解密流程,而每一個動態口令只能使用一次,并且對認證的結果進行記錄,防止同一個口令多次登錄。
2.2 企業日志管理與備份的設計與實現
企業要想保證計算機網絡的安全,對于計算機網絡進行日志管理和備份是不可缺少的內容,日志管理和備份數據系統是計算機運行的基礎。計算機在運行過程中難保不會出現故障,而計算機中的數據和資料的一個企業的血液,如果數據和資料丟失,會給企業今后的發展帶來巨大的不便,為了避免數據資料的丟失,我們就應當對計算機網絡做好數據備份以及數據歸檔的保護措施。這些都是維護企業網絡安全的最基本的措施與工作。
2.3 病毒防護設計與實現
計算機病毒每年都在呈上漲的趨勢,我國每年遭受計算機入侵的網絡,占到了相當高的比例。計算機病毒會使計算機運行緩慢,對計算機網絡進行有目的的破壞行為。目前Internet在飛速的發展,讓病毒在網上出現之后,會很快的通過網絡進行傳播。對于企業計算機網絡,應當時刻進行監控以及判斷系統中是否有病毒的存在,要加大對于病毒的檢測。處理、免疫及對抗的能力。而企業使用防病毒系統,可以有效的防止病毒入侵帶來的損失。為了使企業的網絡更加安全,要建立起一個完善的防病毒系統,制定相應的措施和病毒入侵時的緊急應急措施,同時也要加大工作人員的安全意識。
病毒會隨著時間的推移變的隨時都有可能出現,所以企業中計算機網絡安全人員,要隨時加強對于防毒系統的升級、更新、漏洞修復,找出多種不同的防毒方法,提高企業計算機網絡防病毒的能力。
2.4 防火墻技術設計與實現
Internet使用過程中,要通過內網。外網的連接來實現訪問,這些就給網絡黑客們提供了良好的空間與環境。目前,企業計算機網絡系統,采用防火墻技術,能有效的保證企業的機密不會受到網絡黑客以及工業間諜的入侵,這種方法也是維護企業計算機網絡最有效、最經濟的方法,因為防火墻系統是企業計算機網絡安全的最前面屏障,能有效的組織入侵情況的發生。所以企業計算機網絡第一個安全措施就是安裝以及應用防火墻。防火墻一般是安裝在內部網絡出口處,在內網與外網之間。
防火墻最大的特點是所有的信息傳遞都要經過它,這樣就能有效的避免企業網絡遭到非法入侵,防火本身的具有很高的可靠性,它可以加強對企業網絡的監督,防止外部入侵和黑客攻擊造成的信息泄露,
2.5 網絡安全設計的實現
在企業網絡運行中,與用戶和各個系統之間,存在著信息交換的過程,這些信息包括信息代碼、電子文稿、文檔等,所以總會有各種網絡安全的問題出現。為了保障網絡的安全性和客戶使用的合法性,就要去嚴格的限制登錄者的操作權限,增加口令的復雜程度。當工作人員離職要對于網絡口令認證做出相應的調整,以避免帶來的不便。
3 總結
現今網絡在現代生活中發展迅速,然而網絡安全的系統也日益突出。作為一個企業如何的保證自己網絡的安全性,使自身能夠更快更好的發展,面對著網絡入侵的行為要進行如何的防御,已經是一個越來越迫切的問題。我們只有從實際出發,去構建一個完整的安全的網絡防御系統,才能保證企業網絡的安全。
參考文獻
[1]唐紅亮.防火墻設計淺析[J].中國科技信息,2009,06.
第3篇:企業網絡安全實施方案范文
[關鍵詞]電力企業;信息網絡安全;分析;策略
中圖分類號: TP393.08 文獻標識碼:A 文章編號:1009-914X(2015)45-0047-01
在我國社會經濟快速發展的背景下,對電力企業的要求日益嚴格。隨著電力企業的改革不斷深入,信息網絡安全成為企業發展的重要內容,傳統的計劃體制發展被現有的市場體制所代替[1],在提升企業管理水平和生產效率的前提下,電力企業建立起信息網絡系統,將電力企業發展的有效信息通過系統化的整合,使其發揮了更大的作用,服務于電力企業的生產、經營與管理,促進了電力企業的發展。
一、電力企業信息網絡系統簡述
在網絡技術快速發展的背景下,計算機網絡被廣泛應用于各個領域,電力企業的發展也離不開網絡技術的支持。在電力企業深化改革的過程中,計算機網絡已經被應用于電力企業的管理中,電力企業的信息網絡安全可能會影響到電力系統的安全穩定運行,對數字化電力系統的發展產生不良的影響。
信息網絡系統是一個以網絡為載體的管理系統,能為企業或個人提供完整、高效的綜合管理服務[2]。電力企業在深化改革的進程中,建立完整的信息網絡系統,使電力企業的生產、傳輸以及配供等關鍵的環節實現信息化。這樣的信息網絡化系統涵蓋整個電力企業的管理范圍,包括用電營業所,以及變電所。信息網絡系統承載了企業的財務、物資、用電以及生產、人事、安全檢查等分支系統的綜合信息的查詢。在電網自動化、廠站制動化以及管理信息系統都有非常好的應用,能有效控制安全生產、節能降耗,提高勞動生產率,幫助企業獲得最大的經濟效益,促進電力企業的發展。
二、電力企業信息網絡安全發展的現狀及存在的問題
(一)信息網絡安全的現狀
近年來,在電力企業的發展中,信息網絡系統的逐步建立對企業的發展有一定的促進作用,提高了電力企業的生產運行和經營管理水平。然而電力企業的信息網絡系統采用全網統一的調度,進行有限的分級管理。安全防護系統一般是指二次的控制系統和電力市場的監控系統,幫助其完成控制、調節和監測管理的信息系統[3]。實時的控制區、非控制區以及生產管理區、信息管理區是電力企業信息網絡系統的四大主要區域。
電力企業的信息網絡安全運行過程中,企業員工是安全隱患存在的集中人群,員工的不合理操作會影響到企業的信息網絡安全,員工在工作時對網絡信息的過度使用,會降低工作的效率,嚴重的將會造成計算機的病毒感染,進而導致整個信息網絡系統的癱瘓,因此安全性將無從談起。一般情況下,電力企業都會有完全屬于自己的網站,并與外部的網絡連接在一起,企業的內部人員會利用網絡來搜索一些信息,但在互聯網中的網頁存在很大的不安全隱患,使其電力企業的信息網絡系統容易受到惡意的破壞。
(二)信息網絡安全存在的問題分析
1、惡意的入侵
在電力企業的信息網絡系統中,存在高機密性的網絡信息,這些信息關系著整個電力企業的發展,是其發展的靈魂。但惡意的入侵使相關的機密性信息被盜,獲得這些信息的人用網絡技術惡意入侵電力企業的電腦,達到一定的目的。這種帶有惡意性質的入侵會對電力企業的管理及生產進行分析,獲取一定的機密文件,解除密碼,登入企業的信息網絡系統,獲取有效的材料,這樣的行為使信息網絡系統存在很大的安全隱患。帶有惡意性質的入侵會使電力企業的網絡信息安全保護工作變得薄弱,惡意的入侵使得企業的資料被獲取,而不留任何痕跡,這樣的安全隱患嚴重影響企業的發展。
2、未知性的軟件病毒侵害
隨著計算機技術在生活中的廣泛應用,各種類型的軟件也隨之出現,而且這些軟件一般情況下都可以免費使用,最致命的是有些軟件帶有一定的病毒,而使用者根本不知道軟件中存在病毒,一旦員工在電力企業的信息網絡系統中使用這些軟件,就會有泄露企業機密的危險,對企業的發展產生極大的影響。
3、擴張性的病毒傳播
計算機的病毒有很多種類,一般主要是通過程序來實現對網絡信息的破壞。病毒一般都具有非常強的復制性和蔓延性,依附文件而進行擴散[4]。另外,病毒還具有一定的隱蔽性和傳播性。在具體的電力企業的信息網絡系統中,這樣的病毒很容易對整個系統產生影響。
4、軟件本身的漏洞
在電力企業的信息網絡系統中,會使用一些軟件來維持整個系統的正常運轉。不同的軟件在編寫和開發時會存在一定的漏洞,具體的開發人員需要在軟件不斷的測試使用中來不斷完善軟件的性能,使其更加完善。軟件漏洞不可避免對電力企業的信息網絡系統有著極大的威脅,不是每一個使用者都能很好的發現這樣的漏洞,因此,在電力企業的信息網絡系統中這樣的漏洞也不可避免。
三、電力企業信息網絡安全的有效防范措施
針對電力企業信息網絡安全中存在的問題,提出以下四點防范措施,力求為電力企業的發展提供有效的參考。
(一)建立完善的防火墻保護系統
電力企業信息網絡的安全發展,要在完善的防火墻保護體系上進行。網絡上常用的防火墻保護體系一般有三種,分組過濾式的防火墻、復合型的防火墻以及應用性的防火墻。每一個類型的防火墻的功能都有所不同,但都能禁止外部的非安全信息的侵入,同時可以對外部的信息進行有效的檢測[5]。在電力企業的發展中,防火墻的建立是確保企業信息網絡安全的重要舉措,能有效保障企業的信息完全。
(二)采用用戶機制
一般情況下的計算機都能實行多個用戶的同時操作,通過不同的賬號實現多個人的操作,可以在本地區內設置不同的權限,完成信息網絡系統的籌建。電力企業可以通過用戶的管理機制,減少非法用戶登入,獲取機密的信息,或者抑制惡意性質的侵入。
(三)設置有效的密碼
在具體的電力企業的信息網絡管理中,管理人員要設置可靠性較強的系統登入密碼。這樣的密碼設置要基于整個系統的有效管理,根據系統的特點和管理的需要,或設置一個或多個密碼,防治惡意的入侵和蓄意的密碼破解,保障信息網絡系統的安全性。
(四)對信息網絡系統中的軟件進行升級
企業的信息網絡系統隨著企業的發展而不斷變化,因此,要及時對信息網絡系統進行有效的升級,這樣的升級一般都是對系統中的各種軟件進行升級,在不斷的更新換代中完善整個系統的性能,使其信息網絡系統的安全性得到有效的保障。
結語
在電力企業深化改革的進程中,企業的信息網絡系統也逐漸走向科學化的發展。在網絡技術日新月異的背景下,了解電力企業信息網絡系統的特點,分析其發展的現狀及存在的問題,積極尋找其信息網絡安全的防范措施,優化電力企業的信息網絡系統,保障其安全穩定的運行,為電力企業的發展提供有力的支撐。
參考文獻:
[1]宋揚.電力企業信息網絡的安全分析與防范措施[J].管理觀察,2010,(28):82-83.
[2]韓榮杰.淺談電力系統信息網絡安全分析及措施[J].城市建設,2012,(24).
[3]劉宏嶺.淺析電力企業信息網絡安全[J].寧夏電力,2012,(2):59-62.
第4篇:企業網絡安全實施方案范文
論文摘要:計算機網絡高速發展的同時,給信息安全帶來了新的挑戰。通過對國內企業信息安全面臨的風險分析,有針襯性地提出常用技術防護措施。
隨著信息技術迅猛發展,計算機及其網絡、移動通信和辦公自動化設備日益普及,國內大中型企業為了提高企業競爭力,都廣泛使用信息技術,特別是網絡技術。企業信息設施在提高企業效益的同時,給企業增加了風險隱患,網絡安全問題也一直層出不窮,給企業所造成的損失不可估量。
1企業面臨的網絡安全威脅
1.1來自企業內部的攻擊
大量事實表明,在所有的網絡攻擊事件當中,來自企業內部的攻擊占有相當大的比例,這包括了懷有惡意的,或者對網絡安全有著強烈興趣的員工的攻擊嘗試,以及計算機操作人員的操作失誤等。內部人員知道系統的布局、有價值的數據放在何處以及何種安全防范系統在工作。因內部人員攻擊來自區域內部,常常最難于檢測和防范。
1.2來自企業外部的惡意攻擊
隨著黑客技術在互連網上的擴散,對一個既定目標的攻擊變得越來越容易。一方面,對攻擊目標造成的破壞所帶來的成就感使越來越多的年輕人加人到黑客的行列,另一方面商業競爭也在導致更多的惡意攻擊事件的產生。
1.3網絡病毒和惡意代碼的襲擊
與前幾年病毒和惡意代碼傳播情況相比,如今的病毒和惡意代碼的傳播能力與感染能力得到了極大提升,其破壞能力也在快速增強,所造成的損失也在以幾何極數上升。如何防范各種類型的病毒和惡意程序,特別是網絡病毒與郵件病毒,是任何一個企業都不得不面對的一個挑戰。
2企業網絡安全常用的防護措施
目前,不同種類的安全威脅混合在一起給企業網絡的安全帶來了極大的挑戰,從而要求我們的網絡安全解決方案集成不同的產品與技術,來有針對性地抵御各種威脅。我們的總體目標就是通過信息與網絡安全工程的實施,建立完整的企業信息與網絡系統的安全防護體系,在安全法律、法規、政策的支持與指導下,通過制定適度的安全策略,采用合適的安全技術,進行制度化的安全管理,保障企業信息與網絡系統穩定可靠地運行,確保企業與網絡資源受控合法地使用。
2.1部署統一的網絡防病毒系統
在網絡出口處部署反病毒網關。對郵件服務器安裝特定的防病毒插件以防范郵件病毒,保護郵件服務器安全。在服務器及客戶端上部署統一的防病毒軟件客戶端,實現對系統、磁盤、光盤、郵件及internet的病毒防護。
2.2部署安全可靠的防火墻
企業為了在互聯網上信息,共享資源,就不得不將自己的內部網絡在一定程度上對外開放,這就在無形中增加了安全隱患,使有不良企圖的人有機可乘。為了使信息系統在保障安全的基礎上被正常訪問,需要一定的設備來對系統實施保護,保證只有合法的用戶才可以訪問系統‘就目前看,能夠實現這種需求的性能價格比最優的設備就是防火墻。防火墻的目的是要在不同安全區域(如:內部,外部、dmz、數據中心)網絡之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火墻的數據流,實現對進、出內部網絡的服務和訪問的審計和控制。具體地說,設置防火墻的目的是隔離內部和外部網,保護內部網絡不受攻擊。
2.3部署入侵檢測系統
作為防火墻的補充,入侵檢測系統(工ds)用于發現和抵御黑客攻擊。人侵檢測系統是一種網絡/計算機安全技術,它試圖發現入侵者或識別出對計算機的非法訪問行為,并對其進行隔離。攻擊者可能來自外部網絡連接,如互聯網、撥號連接,或來自內部網絡。攻擊目標通常是服務器,也可能是路由器和防火墻。
入侵檢測系統能發現其他安全措施無法發現的攻擊行為,并能收集可以用來訴訟的犯罪證據。一般入侵檢側系統有兩類:基于網絡的實時入侵檢測系統和基于主機的實時人侵檢測系統。
2.4配置漏洞掃描工具
漏洞掃描是一項重要的安全技術,它采用模擬攻擊的形式對網絡系統組成元素(服務器、工作站、路由器、防火墻、應用系統和數據庫等)可能存在的安全漏洞進行逐項檢查,根據檢查結果提供詳細的漏洞描述和修補方案,形成系統安全性分析報告,從而為網絡管理員來完善網絡系統提供依據。通常,我們將完成漏洞掃描的軟件、硬件或軟硬一體的組合稱為漏洞掃描器。
2.5部署綜合審計系統
通俗地說,網絡安全審計就是在企業的網絡環境下,為了保障網絡和數據不受來自外網和內網用戶的入侵、破壞、竊取和失泄,而運用各種技術手段實時收集和監視網絡環境中每一個組成部分的系統狀態、操作以及安全事件,以便集中報警、分析、處理的一種技術手段。
網絡審計分為行為審計和內容審計,行為審計是對上網的所有操作的行為(諸如:瀏覽網頁、登錄網站從事各種活動、收發郵件、下載各種信息、論壇和博客發表言論等)進行審計,內容審計是在行為審計的基礎上,不僅要知道用戶的操作行為,而且還要對行為的詳細內容進行審計。它可以使關心內容安全的管理人員清晰地知道通過網絡有無沒有采用加密處理就在網上傳送的重要數據或內部和涉密文件被發出(用戶行為)和被盜取(黑客行為);有無瀏覽不良網頁;有無在論壇和博客上發表不負責的言論;有無使用即時通信工具談論內部或涉密的話題。
2.6部署終端安全管理系統
由于企業內部終端數量多,人員層次不同,流動性大,安全意識薄弱而產生病毒泛濫、終端濫用資源、非授權訪問、惡意終端破壞、信息泄密等安全事件不勝枚舉。通過部署終端安全管理系統杜絕了非法終端和不安全終端的接人網絡;對有權訪問企業網絡的終端進行根據其賬戶身份定義的安全等級檢查和接入控制;對相關的內部人員的行為進行審計,通過嚴格的內部行為審計和檢查,來減少內部安全威脅,同時也是對內部員工的一種威懾,有效強化內部信息安全的管理,將企業的信息安全管理規定通過技術的手段得到落實。
2.7建立企業身份認證系統
傳統的口令認證方式雖然簡單,但是由于其易受到竊聽、重放等攻擊的安全缺陷,使其已無法滿足當前復雜網絡環境下的安全認證需求,因此涌現了諸如:數字證書、動態口令、智能卡、生物識別等多種認證方式。目前,基于pki (public key infrastructure)技術體系的身份
認證系統能夠為企業的敏感通信和交易提供一套信息安全保障,包括保密性、完整性、真實性和不可否認。確保企業信息資源的訪問得到正式的授權,驗證資源訪問者的合法身份,將風險進一步細化,盡可能地減輕風險可能造成的損失。
2.8安全服務與培訓
任何安全策略的制定與實施、安全設備的安裝配置與管理,其中最關鍵的因素還是人。因此根據相關的法律、法規、政策,制定出符合企業自身特點的安全戰略并加以實施,對企業的網絡安全人員進行相關的專業知識及安全意識的培訓,是整個網絡安全解決方案中重要的一個環節。
2.9完善安全管理制度
俗話說“信息安全,三分技術,七分管理”,企業除了做好應用安全,網絡安全,系統安全等保障措施外,還必須建立相應的管理機構,健全相應的管理措施,并利用必要的技術和工具、依據有效的管理流程對各種孤立、松散的安全資源的日常操作、運行維護、審計監督、文檔管理進行統一管理,以期使它們發揮更大的功效,避免由于我們管理中存在的漏洞引起整個信息與網絡系統的不安全。
第5篇:企業網絡安全實施方案范文
首要的安全問題是黑客可利用IPv6鏈路技術隱藏在IPv4流量中,產生了一條沒有防護的進出企業網絡的通道。關閉這些通道需要了解IPv6轉換機制的運作及其可視性。
要理解機構需要實施IPv6的原因是很容易的。簡單來說,就是第一個互聯網協議版本IPv4空間耗盡。每個與網絡相連的設備都有固定的IP地址,IPv4協議允許32位的IP地址,也就是232 個的可能地址,而IPv6則將IP地址數量增加到2128。雖然目前IPv4運行良好,但持續增長的網絡連接設備終會將其空間消耗殆盡。IPv6也在其他方面對IPv4進行了優化,比如說,簡化地址分配。
但是啟用IPv6對網絡運營者還許多其他的影響。過去,企業一直重點保護IPv4網絡,現在他們必須投入相同的力度在IPv6的運行上。安全管理員需要學習IPv6新協議的基本內容,以應對變化帶來的挑戰。在這方面,網上公布的最佳實踐是美國國家標準和技術研究所 (National Institute of Standards and Technology)的綱要。
如果安全設備支持IPv6,現在就是啟用它的時候。一些操作系統,諸如Windows Vista和Windows 7 中IPv6轉換機制是默認設置。這意味著IT部門并不知道正在運行IPv6,最終讓使用戶繞開防火墻和網絡入侵防御系統(IPS)。
這些鏈路通過啟用IPv6主機和路由器,在IPv4互聯網上與其他IPv6設備連接來運行。鏈路的問題在于,它們可以穿過防火墻——攻擊者或許能逃出企業安全控制并連接到企業網絡內部資源。因此,使用如6 to 4的鏈路協議支持轉換到IPv6需要慎重考慮,盡可能保持在最低限度。
事實情況是,IPv6可能在企業不知情的情況下,已經在網絡中運行,且可能被僵尸網絡和黑客用作隱蔽通道。雖然企業可能不會主動在網絡中運行IPv6,但是,他們的安全基礎設置應具備檢測IPv6的流量的功能。畢竟,你不能阻止你無法看到的。
談及保護IPv6部署,最重要的是可視性。企業需要部署支持IPv6并使IPv6運作的安全產品。在某些情況下,這可能需要升級,例如,傳統的入侵防御系統(IPS)和防火墻,就可能已經無法檢測到IPv6流量。可喜的是,在過去的幾年中,許多主要的防火墻和網絡安全廠商已經增加了對IPv6的支持。盡管如此,企業仍應向供應商反應,以確保產品提供了他們所需的所有功能,并且開始在他們的環境中應用。被認可的IPv6測試方案有NIST的USGv6 Profile和測試計劃。
隨著越來越多的企業部署IPv6,管理員需要特別注意轉換機制和設備配置,以避免向網絡開放未經授權的途徑。保護網絡安全首要關鍵是監控所有網絡的流量,如果管理員發現未經授權的鏈路,那么他們要立即關閉這些鏈路避免被利用為攻擊流量。IPv6的必然性意味著企業需要現在便開始采取措施來支持其安全使用。
對于很多企業和全球服務提供商來說,過渡至IPv6并部署可以同時為IPv6和IPv4提供保護的網絡安全解決方案至關重要。企業應該清楚地認識到這次遷移所帶來的安全挑戰。客戶想要彌補協議轉換帶來的安全缺口,最直接的方法就是采用獲得IPv6標識認證的安全產品。
在向IPv6過渡的浪潮中,安全廠商也在一直在尋求不斷滿足客戶實施需求的解決方案。例如,Check Point R75.40軟件刀片和 GAiA 統一的操作系統(OS)就通過了UNH互操作性實驗室(UNH Interoperability Laboratory)的評測,并獲得了IPv6論壇授予的第二階段(金)標識(Phase Two (Gold) Logo)。這表示此兩款產品包含所有強制的IPv6核心協議,并且能夠與其他IPv6 和 IPv4實施方案互相操作,滿足IPv6標識認證委員會的所有技術要求。Check Point R75.40,GAiA和新型安全設備能夠輕松與新版本的網絡協議實現互相操作,讓客戶無縫且安全地過渡到IPv6時代。
零日漏洞Websense無壓力
日前,Websense安全實驗室曾通過其官方博客表示最新的Java零日漏洞(CVE-2012-4681)被發現用于少數幾起攻擊中。目前針對該漏洞的攻擊代碼已經被添加到了當前最泛濫的黑洞攻擊包中。
第6篇:企業網絡安全實施方案范文
而事實上,有很多人有過類似的操作,只是危險還未降臨,或已經發生但還未被察覺而已。
公共場合尚且如此,如果將場景延伸到企業網絡中,情況又將如何?
無線局域網(WLAN)基礎架構的脆弱性,是目前企業網絡中最重要和直接的威脅之一。在企業環境中,使用智能手機和平板電腦的Wi-Fi需求與日俱增,這無意中侵犯了網絡安全的邊界,也使那些沒有部署無線的企業和組織面臨著不可估量的風險。
無線安全四大誤區
誤區1 沒有部署Wi-Fi,企業就是安全的
很多人仍然認為,如果企業沒有部署Wi-Fi網絡,那么就不存在Wi-Fi安全問題。然而,現實世界不可能是一個人人彼此信任的世界,也沒有人會天真地認為絕不會有人違背“無Wi-Fi”部署策略。
無論有意或無意,安裝一個隱秘接入點(AP),就足以將企業的網絡暴露給無孔不入的攻擊者。現在絕大多數的筆記本或上網本內置的Wi-Fi網卡同樣可以構成潛在的威脅源。甚至于內嵌在筆記本或上網本中的無線技術,如藍牙等,也可能會產生嚴重的安全漏洞。以為“無Wi-Fi”部署便可保障企業網絡的安全無異于掩耳盜鈴。
誤區2 部署了傳統的防火墻、IPS等網關設備,企業就是安全的
過去我們所理解的企業邊界好比是一幢大樓,由企業內網聯通各個房間。大樓的出口處有一道防盜門,也就是傳統的防火墻或者是UTM網關設備。由這道門實時審視進出企業的全部流量,這是我們通常定義的企業邊界。
但是,隨著無線技術的快速發展和大量部署,大樓的原有邊界變得越發模糊,安全邊界的概念已經發生巨大的變化。無線信號能夠傳播到企業的物理邊界之外,讓那些認為大樓內部安全無憂的傳統理念失去了說服力。如Wi-Fi共享軟件、流氓AP、釣魚AP、用戶連接外部AP、Ad Hoc以及無線DoS攻擊等,都無時不在侵犯和挑戰傳統的安全邊界。
誤區3 強大的認證與加密能夠提供全面的防護?
如果企業已經部署了帶WPA2安全功能的Wi-Fi網絡,那肯定是一個不錯的開頭。WPA2可為企業的WLAN AP和客戶端提供更強大的密碼安全保護。但在較大規模的網絡部署中,確保全部設備沒有因疏忽而出現誤配置,不給攻擊者留下可乘之機,才是最重要的。
隨著Wi-Fi被用來承載越來越多的關鍵任務應用,黑客和犯罪分子們也把重心轉移到了攻破Wi-Fi的安全措施上。研究人員最新發現,WPA-TKIP對于數據包注入攻擊是缺乏免疫力的。同樣,也已經有報道提到,思科的WLAN控制器漏洞可以被用來“劫持”思科的LAP。總之,基于WPA2的WLAN部署不可能防范所有類型的無線安全威脅。
誤區4 使用地址綁定策略,只有經過許可的MAC地址才能連接
任何一種可用無線解決方案都可提供MAC(介質訪問控制)地址過濾。消費級與企業級無線實施方案都擁有該選項,以便應用一定等級的MAC地址過濾。這聽起來是一種有效的安全方法,但實際上卻并非如此。
對于黑客而言,在幾乎任意一種操作系統中欺騙MAC地址都出人意料的簡單。黑客可將欺騙的MAC地址用于多類攻擊,包括WEP (有線等效保密)?回放、解除認證、解除關聯以及偽裝攻擊(設備可搭載通過客戶認證的訪客網絡進行攻擊)等。
守護安全新邊界
對于企業部署Wi-Fi帶來的無線應用安全隱患,一些本土安全企業提出了針對性的解決方案。
終端守護 智能設備分類和安全的BYOD策略執行
東軟無線安全解決方案中的NetEye WIPS模塊,能夠自動分析嘗試接入公司網絡的智能手機和平板電腦的類型(安卓、黑莓、iPhone、iPad、Windows Mobile等),并根據策略劃分準入及拒絕接入的類別。同時,通過提供的API,可以輕松地與幾乎所有移動設備管理系統(MDM)進行整合。
頻段守護 無線威脅防御
大多數的無線入侵檢測/防御系統,常常會不正確地擾亂自己或者鄰近的Wi-Fi網絡。東軟無線安全解決方案能夠正確區分威脅是否來自鄰近的無線Wi-Fi設備,有效防范濫用Wi-Fi或違反企業安全策略的威脅。同時,能夠智能判斷各種類型的無線網絡威脅,并在2.4 GHz和?5 GHz頻段的多種渠道上,同時阻止多種安全威脅。
策略守護 針對無線網絡準入的控制手段
無線網絡準入控制的目的就在于基于策略控制對無線網絡的接入,它包括預準入端點安全策略檢查(以確定誰可以接入網絡)。另外,無線網絡準入控制解決方案還包括某些主機檢查(如在主機上運行的操作系統和服務等),可防范欺騙AP作為路由器或NAT的功能。
傳輸守護 多重的安全無線傳輸保障
雖然在企業的無線安全方案部署中可以通過802.11i、WPA2或者WPA加強傳輸的安全性,但還是會有無法使用這些加密和身份驗證類型的情況發生。在這種情況下,VPN可以作為保護無線客戶端連接的備用解決方案。通過使用VPN,以及利用多個SSID和VLAN進行網絡分段,為擁有多種不同客戶端的網絡提供強大的解決方案。IP安全(IPSec)和SSL VPN可以提供與802.11i和WPA類似的安全等級。
相關鏈接
四大Wi-Fi安全威脅
1.數據截取:目前所有支持Wi-Fi認證的產品均支持AES-CCMP數據加密協議。但一些早期的產品僅支持TKIP,而TKIP由于存在安全漏洞,很容易被網絡黑客進行信號盜取。
2.非法接入點:心存僥幸的網絡用戶會利用未經授權的接入點進行網絡接入,這點非常危險。一般企業都會對接入點設置進行掃描,避免非法接入點出現。而個人用戶應采取追蹤、攔截等措施去阻止非法接入點使用。
第7篇:企業網絡安全實施方案范文
關鍵詞:課程體系;實踐教學;改革
中圖分類號:TP393-4 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0189-01
計算機網絡是計算機技術和通信技術相結合成長起來的一個新的科學技術領域。當前,我國對計算機網絡技術、網絡建設、網絡應用與開發和網絡管理的人才的需求越來越大。因此,結合網絡專業特點和教學大綱的要求,確定了教學內容以網絡模型為主線,以網絡協議和網絡安全為重點,同時在教學方法和手段方面不斷進行改革,采用仿真技術構建虛擬網絡實驗室,加強實踐教學和案例教學,從而不斷提高教學水平和教學效果。
一、選擇教學內容
由于該專業內容多、范圍廣,從基本理論到網絡設備應用,從路由器配置到網絡協議,從網絡編程到網絡安全防范,若不深入研究教材,不精心選擇教學內容,很難達到較好的教學效果。該專業大綱指出:通過本專業的教學,使學生對計算機網絡有一個清晰的認識,掌握網絡的基本工作原理,熟悉網絡應用與開發和網絡管理的操作流程,了解常見網絡攻擊及處理辦法。
根據對教學大綱的要求,本專業的主線,是指Internet的最基本的模型和工作原理。通過以任意網狀結構連接的多個路由器進行通信,各路由器通過逐級轉發IP 數據包實現在兩個結點之間的數據通信,這就是Internet 的最基本的工作原理。可以為網絡體系結構、協議層次結構、網絡各層協議、網絡互聯等分散的知識點在主線上找到附著點,使學生能建立比較完善的計算機網絡知識構架。
二、改革教學方法
傳統的計算機網絡技術授課仍以教師為中心,強調知識的積累和對基本概念的理解,而忽視了對學生職業技能的培養。因此,在教學方法上,嘗試打破傳統的“滿堂灌”的授課模式,采用啟發式教學、課堂討論、案例教學及項目教學等多種教學方法實現師生互動,增強了教學效果。
(一)啟發式教學
教學過程不是一個知識轉移的過程,教師傳授知識不等于學生掌握了知識,學生要通過自己的思維活動才能真正掌握知識。更重要的是教師精心組織教學過程,激發和啟迪學生的思維,采用啟發式教學方法代替傳統的“滿堂灌”方式,可以調動學生的思維能力,開發學生的智力。例如:在講授完交換機和路由器的工作原理后,可以引導學生分析兩個局域網之間的連接是否可以用交換機,兩臺主機之間的連接是否可以用路由器,以使學生充分了解交換機和路由器在網路連接中所起的不同作用。
(二)開展課堂討論
因為網絡技術專業的內容繁多,理論性和實踐性都很強,單純采用課堂講授的方式很難使教學效果達到預期的目的。在學生學習的過程中,教師只是一名指導者,并不是絕對的權威,要消除學生對教師的依賴心理,提倡師生相互促進、教學相長。在教學中注意為學生提供發表自己見解的機會,有計劃地組織課堂討論。針對網絡各層的重點內容,可以布置典型的思考題和習題,讓學生提前思考解答,然后在課堂上教師、學生共同討論。師生研討可使學生變客體為主體,這樣可以培養學生獨立思考的能力。
(三)進行案例教學
案例教學是一種通過模擬或者重現現實生活中的一些場景,讓學生把自己納入案例場景,通過討論或者研討來進行學習的一種教學方法。通過對案例的分析和研究,培養學生分析問題和解決問題的能力,并且在分析問題和解決問題中構建專業知識。案例教學把生硬的理論知識和實際應用結合起來,把抽象的內容具體化、形象化。例如:在為學生講解網絡安全的過程中,可以穿插講一下“熊貓燒香病毒”是如何蔓延,亞馬遜公司為什么會發生“僵尸網絡”事件。通過具體案例使學生更加了解網絡安全的嚴峻性,從而提高學生進一步學習網絡安全防范知識的積極性。
(四)進行項目式教學
項目式教學法是通過進行一個完整的“項目”工作來進行的實踐教學活動的培訓方法。這種方法起源于美國,盛行于德國。學生在收集信息、設計方案、實施方案、完成任務中學習和掌握知識,形成技能。在教學實踐中,我在上課初期給學生布置一個大作業,比如讓學生利用所學知識構建安全可靠的中小型企業網絡,并寫出方案,然后進行分組討論,到進一步的組網實施等,加深對所學知識的掌握、理解。
三、改革教學手段
傳統的教學手段已不適應網絡專業教學,多媒體教學將各種網絡設備的實物照片、大量的網絡路由連接圖帶進課堂教學,這在一定程度上提高了學生的學習興趣,也使學生對各種網絡結構留下深刻印象。但做到這些還是遠遠不夠的,計算機網絡技術專業的理論性和實踐性都很強的專業,要使學生對網絡有清晰的認識,達到教學大綱的要求就必須加強學生的動手操作能力,這可以通過建立虛擬實驗室和參觀校園網絡建設來達到目的。
(一)虛擬實驗室
目前高校建設的網絡實驗室通常是以交換機和路由器設備為主的工程實驗,主要以驗證和設計為主,不能使學生更好地了解網絡底層的工作過程及工作原理,造成理論和實踐的脫節。同時,網絡實驗室建設成本高,設備更新慢,無法滿足實習需要。
在現有的機房內安裝網絡仿真軟件NS(Network Simulator)可以在一定程度上解決此問題。NS 是一個用于網絡研究的離散實踐仿真器,主要用于仿真各種網絡協議和網絡體系結構。支持TCP 協議,包含各種單播和多播路由模型,可仿真的網絡類型有廣域網、局域網、移動通信網、衛星通信網等網絡類型,可進行點到點傳播路由、組播路由、網絡動態路由、層次路由等模擬。
(二)參觀校園網絡
第8篇:企業網絡安全實施方案范文
論文摘要:ims網絡在全網融合的背景下,作為核心網絡將日趨成熟,隨著ip技術在電信網、計算機網和廣電網的普遍應用,通信技術進人嶄新的發展階段。
當前,通信技術進人了嶄新的發展階段,由運營商的重組帶來全業務運營,固定網與移動網正逐步走向融合;隨著1p技術在電信網、計算機網和廣電網的普遍應用,三網融合也已經開始實踐;而通信技術與信息技術的加速融合,ict業務融合也將逐步深人并得到廣泛應用。ims作為核心網絡將日趨成熟,必將在融合的大潮中發揮不可替代的作用。
1.ims應用在全業務運首中的特點
運營商專門組織了ip多媒體子系統ims網絡基本功能的測試,由于ims具有與接入無關性,可以實現不論用戶使用什么設備、在何地接人ims網絡,都可以使用歸屬地的業務;統一的業務觸發機制,無論固定接人還是移動接人都可以使用ims中定義的業務觸發機制實現統一觸發;統一的路由機制,所有和用戶相關的業務也必須經過用戶的歸屬地;統一用戶數據庫,對ims中所定義的數據庫來講完全是透明數據的概念,屏蔽了固定和移動用戶在業務屬性上的差異;充分考慮了運營商實際運營的需求,在網絡框架、qos、安全、計費以及和其他網絡的互通方面都制定了相關規范。基于全ip的ims網絡,既能夠充分利用移動、固網等多種接人方式,義能不斷提供新業務,引起了運營商的重視。首先是在移動網絡的應用,這類應用是移動運營商為了豐富移動網絡的業務而開展的,主要是在移動網絡的基礎上用ims來提供poc,即時消息、視頻共享等多媒體增值業務。應用重點集中在給企業客戶提供ipcentrex和公眾客戶的voip第二線業務。其次是固定運營商出于網絡演進和業務的需要,通過ims為企業用戶提供融合的企業的應用(ipcentrex業務),以及向固定寬帶用戶(例如adsl用戶)提供voip應用。第三種典型的應用主要體現在wlan和3g的融合,以實現語音業務的連續性。目前,這種方案的商用較少,但是許多運營商都在進行測試。
2 ims網絡在網,層面的功能
在網管領域,為方便運維管理,以往設備生產廠家將按照網絡類型或網元類型提供操作維護網管。不論是在移動還是固網的網絡中,一般情況下,一種網絡需要配多套omc網管。既浪費了資源,又增加人力成本。因為原來分屬于不同領域的網元,由不同omc或ems網元管理系統進行網元管理層的管理。而在ims網絡中,將變為統一的omc或ems,可以由統一的維護人員進行維護。這樣既從根本上改變各領域網元相互之間的隔離、互無關聯的情況。又減少了設備投人,促進人力資源的解放,從而提高設備運行效率。其次,ims網絡是有機整體,具有各項統計和維護報表,業務支撐boss體統,以及更加強大的網管功能。
3 ims網絡在etom與itil勝合中的作用
信息技術基礎設施庫itil,最初是為提高英國政府部門it服務質量而開發的,是一個探討如何交付高質量it服務最佳實踐的方法框架。以服務管理為核心,服務戰略為指導,itil建立起了詳盡的、面向it服務的流程框架,通過服務設計、服務轉換、服務運營,使整個過程條理化。而ims網絡的發展與建設,將推動電信領域的etom與it領域的itil的加速融合。由于ims類系統的引人,除了與傳統電信系統對接的各類網關外,控制面網元以及業務類網元可以采用通用服務器來實現。這就打破了傳統電信系統采用各個廠家封閉硬件平臺的現狀。硬件設備基于一個開放的平臺,可以加速etom與itil的融合進程。而運營商必須從以往的面向設備,轉變為面向服務從后臺轉到前臺。而t1’il正是一面向服務為核心理念進行系統構建的。電信運營商與1’i’服務商在同時針對服務,這也會加速兩種理念的融合。
在etom與itii湘互融合過程中、會取長補短,循序漸近的,etom針對整個電信企業建立起了業務流程框架,提出了基本的需求,i’i’i山業提供了詳盡的面向服務的流程框架。根據itii提供的方法以及it理的相關流程框,在實際的融合過程中,還要針對實際情況,制定更為嚴密的實施方案,包括系統的更強大功能的軟件開發改造。
4逐步完普的ims網絡安全
ims網絡的全ip架構,會使網元分工精細化,網元種類增多。完成一次用戶發起需求業務,可能會穿越多個網元,建立多次會話發起協議的鏈接。由于ims業務種類很多,各項業務之間交錯聯系,使得業務的管理與對接存在著相當大的工作量。而一旦出現業務故障,很難一下子準確地定位和排除。所以,要開發各類的應用軟件,來解決這個問題,而這類應用軟件的逐步開發,將促進ims網絡的完善。
而基于全ip的網絡,需要在網管安全方面給予關注。在ims網絡中的網管,安全從組網到操作系統以及數據庫、omc自身、防病毒等幾個方面考慮。
在ims域組網中設置單獨網管域,為網管設置單獨的虛擬局域網(vlan),采用帶外組網的方式,在物理上將網管域與設備域隔離,網絡間設置硬件防火墻。采用unix操作系統,并定期更新最新的安全補丁,定制最小化的系統運行配置,避免和減少系統安全問題的產生;同樣對omc所采用的數據庫也進行安全補丁、嚴格用戶權限控制措施,記錄非法日志,降低各種安全事件的產生。
多omc系統自身則采用加密協議進行數據傳輸,定期自動對數據庫盡行保存。對敏感數據入用戶名、密碼進行加密存放。采用強密碼認證,工作時間設定,超時的退出服務,分級的用戶管理權限管理,定期的密碼修改等。
5 ims在未來企業網絡中的發展
企業網絡融合是三網合一的基礎上,引人ims網絡系統的,使運營商不但可以從應用層面對業務進行控制,提供qos的保證并完成計費,而且避免用戶資源的流失。借助ims可以為企業實現電話、傳真、數據傳輸、音視頻會議、即時通信等眾多應用服務的融合。ims還支持引人和開發新業務的開放接口,滿足企業的多種應用需求。
第9篇:企業網絡安全實施方案范文
【關鍵詞】職業技能;信息安全;“1+X”證書;實訓課程;改革探索
高職院校是我國高等教育事業一個重要的組成部分,肩負著為國家、社會、企業培養高素質、高技能型的實用型人才的重任。近年來,隨著信息技術的飛速發展,信息安全問題日益突出,人們越來越意識到網絡安全的重要性-“沒有網絡安全,就沒有國家安全”。當前,政府部門、企事業單位對信息安全人才求賢若渴,信息安全人才缺口很大。截止到2021年,我國高職院超過2000所,高職院校作為一支人才培養的生力軍,在培養實用型信息安全人才方面大有用武之地。目前,我國信息安全人才年培養規模在3萬人左右,而信息安全人才總需求則超過70萬人,缺口高達95%。在這一背景下,我國高校紛紛開設信息安全專業,加在信息安全專業人才培養力度。據統計,2016-2019年,我國共有45所高校新增信息安全專業,其中2016年新增的有11所,2017年新增15所,2018年新增11所,2019年新增8所。雖然當前信息安全專業成了熱門專業,各高校也如火如荼開設相關專業,擴大招生規模,但如何保障人才培養質量,加強學生信息安全實戰能力,無縫對接相關企業的崗位技能要求,才是提升信息安全專業人才培養內涵水平的關鍵。為有效銜接學校教育與職業崗位要求,教育部于2019年推出了“1+X”證書制度:要求在高職院校學生除了獲取1個學歷證書外,鼓勵學生自主選擇若干個職業技能證書,以增強學生在擇業、就業方面的競爭力。對于信息安全專業人才培養而言,無論是“1+X”證書,還是學校綜合實訓課程,都是提升其工作實踐能力,提升學生理論聯系實際、解決具體問題的能力。
一、當前高職信息安全專業實訓課程設計與教學現狀分析
雖然目前我國眾多院校都積極開辦信息安全專業,但實職業技能等級認證視域下高職信息安全專業實訓課程體系構建研究文|余姜德冷令梁本來【摘要】針對高職院校信息安全專業實訓課程設置及實施過程中普遍存在的問題,如:未有效對接職業崗位要求;課程內容陳舊、碎片化現象嚴重;實驗設計驗證性有余,而創新性不足;實訓室建設受客觀條件限制,難以滿足教學要求等一系列問題,分析信息安全人才培養能力目標,結合教育部“1+X”證書具體要求,提出了“找準專業特色定位,精心選擇職業技能等級證書;合理規劃實訓內容,突出實踐項目創新,虛實平臺有效結合”的課程體系構建策略,并積極實踐探索,為培養實用型和創新型的信息安全技術人才打下堅實基礎。
(一)學校定位不明確,課程特色不鮮明
當前,我國所高校可以分成二大類:一類是普通本科院校,包括綜合型、研教型和教學型等不同類型高等學府,這其中既有“雙一流”、985、211等知名高校,也有普通地方本科高校,比如我們通常所說的“一本”、“二本”等;另一類是高等職業教育院校,包括高等職業專科和高等職業本科兩個層次,其中高等職業本科,往往又被稱為應用型本科學校。隨著國家人口結構的經濟發展內涵式調整,社會對于高等職業院校有了全新的認識,高職院校越來越受到人們的重視,高等職業教育迎來了重大的發展機遇期。無論是本科院校,還是高職院校,一所學校的人才培養目標是與其在社會和教育系統內所處的層次和地位緊密相關的,不同類型和層次的學校,對于人才的培養目標應該是不同的。本科院校,其人才的培養目標主要以研究型、創新型和技術型人才為主,通過基礎理論研究、先進系統開發和技術革新促進社會的整體科技進步,強調人才的基礎理論扎實牢固、知識體系的全面完整;而高職院校,其人才的培養目標主要以實戰型、應用型和工程型人才為主,不要求基礎理論寬泛深厚,但一定要在某一領域的應用上比較精通;人才大部分從事于工程項目實踐中,要求實踐動手能力突出,膽大心細,而且具有“工匠精神”,通過技術應用實踐,把科技創新從紙面理論變成實際產品或者實際場景。具體到信息安全人才的培養,本科院校主要培養信息安全研究開發人才,而高職院主要培養信息安全實踐應用人才。但目前的現實情況是,高職院校大都有意無意模糊自身的“高職”定位,甚至千方百計尋求擺脫職業教育身份,而往“本科院校”方向轉變,從而制定不切實際的人才培養目標,其根本原因就在于自身層次定位和人才培養目標的定位都出現偏差。其次,無論是本科院校還是高職院校,其培養的人才,最終都需要走向就業市場。人才需要通過在工作崗位上的職業能力表現來得到企業和社會的認可。而人才的就業,往往會采取“就近原則”,即學生會一般會優先選擇當地的企業去就業,避免“背井離鄉”式的四處奔波。因此學校開辦的專業應該立足于服務當地企業、當地經濟和當地產業,所培養的人才要達到當地用人企業和單位的職業技能要求,要盡可能被當地企業所吸收。從這種意義上來說,不同經濟發展區域的信息安全專業人才培養方案的設計應和課程體系應具有不同的地方特色:比如珠三角、長三角的高職院校信息安全專業和中西部經濟欠發達地區高職院校的信息安全專業在專業特色上應該有明顯的差異。很遺憾,現實情況是,在專業設置和課程設計上,各個高校普通喜歡“追熱點”,“大跟風”:什么專業熱門,就上什么專業;什么課程熱門,就開什么課程。甚至在人才培養目標定位上,普通本科院校照抄照搬綜合性、科研性大學;高職大專院校跟風模仿應用型本科院校或職業技術大學,這顯然是不科學和不正確的。
(二)實訓內容呈碎片化、同質化特征
信息安全是一門綜合性的學科,所涉及的知識體系龐雜,涵蓋范圍非常廣泛,有計算機科學與技術、通信工程、數學、密碼學、電子工程等諸多學科的內容[3]。但當前信息安全人才培養過程中,所構建的實訓課程體系,往往貪多求全,各知識點之間缺乏內在邏輯聯系和層次遞進關系,實訓知識體系結構呈現“碎片化”的形態。知識“碎片化”的低效性在于,學生學習得到的大部分東西都是零碎的、分散的、雜亂的,很多時候只是停留在知道、了解的層面,并沒有與原來的知識體系產生深層的聯系。沒有深層次的理解,自然沒有辦法靈活地運用,更沒有辦法轉化為個人能力和技能。另一方面,由于各學校之間盲目借鑒或實訓室承建廠商有意無意地“互相抄襲”,實訓課程內容“同質化”現象嚴重。實訓內容“同質化”一個最顯著的特征就是實質內容重復,缺乏獨創性和開拓性內容。信息安全專業實訓課程內容同質化,導致很多高校信息安全專業的差異化人才培養成為空談,實際上,信息安全專業人才更應該是“不拘一格降人才”。
(三)實訓內容陳舊,實訓過程淪為結果驗證,缺乏深度思考
信息安全實驗的設計,既需要一定的理論知識,也需要動手實際操作,因此具有一定的復雜性,難度相對較高。我們調研了很多學校的網絡攻防實訓室,對于復雜的實驗,其實訓平臺上的內容安排一般都是列出詳細地操作步驟,末尾配上最終的實驗結果。只需按照實驗指示步驟一步一步進行操作,實訓結束,看最后結果與實驗指導書的結果是否一致即可。這樣的結果是實訓過程淪為為實驗指導書的結果驗證,缺乏深度思考的引導。我們以“MAC地址泛洪攻擊”為例,它是一個經典網絡安全實訓示例,大多數的實訓設計是這樣的:1.闡明攻擊原理;2.給出實驗環境搭建說明,而且在實際教學過程中實驗環境已經在教學平臺上搭建好;3.詳細列出攻擊步驟,每一步都完整給出實驗截圖;4.寫出實驗總結。這樣一整個實驗學生做下來,除了驗讓自己每一步操作與實驗指導書上有什么不同外,很少有其他收獲。我們其實更應該進行深度思考和拓展:1.“MAC地址泛洪攻擊”一般在什么情形下發生?2.用軟件方法和硬件方法,如何防洪這類攻擊?3.抓包和解碼后具體分析作用在哪里,如何應用到實戰中?可以通過啟發式的訓練,加強學生具體運用知識和實踐創新能力的提升。
(四)實訓課時與資源受限,難以滿足實際需求
大多數學校實訓室建設經費緊張,實訓經費申請批復繁難。而信息安全知識迭代更新較快,平均二年左右就出現新的技術熱點,而信息安全實訓室申報、建成和使用周期一般都在五年以上,想要不斷投入建設資金更新換代非常困難。而且從信息安全實訓室建設軟硬件來看,無論是網絡安全硬件設備,諸如防火墻、IDS、各類型服務器,還是攻防綜合演練系統,價格都比較昂貴,更新或升級代價很大,因此,信息安全實訓資源庫的完善成為制約人才培養的一個瓶頸。(五)實訓內容與職業崗位脫鉤,缺乏實用性許多高職院校在設計信息安全技術應用實訓課程內容時,往往沒有充分調研職業崗位要求,盲目以課程或者教材中設計的知識點來設計實訓大綱。這樣做的結果是實訓內容與職業崗位脫鉤,缺乏實用性,陷入“紙上談兵”的窘境。企業崗位技能需求是客觀真實的,是市場提出的要求,是應該放在第一位,而且信息安全技術發展非常迅速,日新月異,實際工作中的信息安全技能點要求也是最新的,它往往比已經固化定型的實訓內容要真實,實戰性更強。面對存在的諸多問題,需要理清思路,結合當前國家在職業教育方面大力推行的“1+X”證書制度,找到解決問題的方案。
二、職業資格認證視域下實訓課程體系構建與革新
2019年1月國務院印發了《國家職業教育改革實施方案》。把學歷證書與職業資格技能等級證書結合起來,探索實施“1+X”證書制度。2019年《政府工作報告》進一步指出,“要加快學歷證書與職業技能等級證書的互通銜接”[4]。簡單來說,“1+X”中的“1”為學歷證書,“X”為若干職業技能證書。學歷證書全面反映學校教育的人才培養質量,在國家人力資源開發中起著不可或缺的基礎性作用。職業技能等級證書是畢業生、社會成員職業技能水平的憑證,反映職業活動和個人職業生涯發展所需要的綜合能力。“1+X”職業資格認證改革的主要目的就是鼓勵職業院校學生在獲得學歷證書的同時,積極取得多類職業技能等級證書,拓展就業創業本領,緩解結構性就業矛盾。
(一)找準專業特色定位,明確職業崗位
構建科學的信息安全專業實踐課程體系,首先需要找準專業特色定位。高職院校信息安全技術應用專業,其專業特色定位關鍵因素在于學校層次、當地經濟和產業需求、職業崗位技能要求、課程要求和信息安全技術特色等。高職院校培養信息安全技術應用專業適用人才的正確思路是:在依據學校類型確定人才培養目標基礎上,考慮當地信息安全產業鏈的發展情況,對接區域經濟和產業發展,凸顯行業特色、專業特色、課程特色、技術特色培養當地經濟發展需要的專業人才[4]。我們以中山職業技術學院信息安全技術應用專業為例,當地的信息安全企業不多,知名企業主要有深信服(中山)、廣東網安科技、廣東凌臣等幾家企業,但中山周邊的城市,像廣州、深圳的信息安全企業就很多,因此我校信息安全技術應用專業特色定位是:依托大灣區信息安全產業,培養立足于中山,面向廣州、深圳一線城市的高技能型信息安全服務人才,主要崗位包括:信息安全/安全運維工程師、滲透測試工程師、等級保護測評工程師、安全服務工程師、系統工程師、技術支持工程師等[5]。
(二)精心選擇職業技能等級證書,合理規劃實踐教學內容
當前職業技術等級證書有很多種,如何去確定最適合自己學校和專業的證書呢?主要考慮因素有以下三點[6]:1.證書含金量較高,具有權威性,社會認可度高;2.證書考核難度適宜,適合學生學情基礎;3.證書與專業結合緊密,相輔相成。以中山職業技術學院信息安全技術應用專業為例,我們選擇了上海海盾網絡安全中心的“企業網絡安全防護職業技能等級證書(中級)”。該證書是教育部第三批認可的職業資格證書,社會認可度比較高,可以作為企業網絡安全從業人員的崗位認證,同時與人才培養方案中的基礎專業課程有良好的承接關系。所以我們選擇了該證書。確定好職業技能證書之后,我們需要將證書中的崗位技能需求與實踐課程對應起來,并對原有的人才培養方案課程體系進行重新構建。
(三)優化設計實踐項目案例,突出實踐教學項目創新
確定好信息安全技術應用專業綜合實訓整體框架后,就需要設計優化實踐項目。在建設實訓室時,建設單位一般會提供整套的實踐案例,但這些案例大都是“驗證型”的項目,不需要思考就能到最終的結果,這樣的實驗案例對于鍛煉學生的創新思維沒有多大的幫助。針對這一現狀,一線任課教師往往要積極參與到實訓室建設過程中,與建設單位討論、優化實訓項目案例,增加工程實際項目,在實驗過程中,加入“應用情境延伸”、“項目拓展”、“創新思考”等思考型環節。而且,實訓系統往往都有二次開發接口,學校要充分利用好這個接口,將教師的科研、工程項目轉化成實踐案例,真正把二次開發落到實處。我們設計的主要綜合實踐項目案例如下表1所示
(四)虛擬實訓平臺有效結合,破解實訓資源限制瓶頸
由于招生規模的不斷擴大,建起來沒有多久的實訓室往往會出現不夠用的情形。為了破解實訓資源有限的瓶頸,我們需要積極利用虛擬網絡安全實訓平臺。我們專業目前使用深信服信息安全實訓室,能滿足一個班50人的實訓要求,但我們有兩個班需要同時在線實驗,為此,我們借助了虛擬網絡安全實訓平臺:使用“合天網安實訓室”虛擬平臺作為物理實訓室的必要補充,購買了100個賬號,5年的資源使用權限,這樣我們實際上可以完成三個班的實訓教學要求。
三、結束語
我校信息安全技術應用專業選擇上海海盾“企業網絡安全防護職業技能等級(中級)”證書作為職業資格證書,結合人才培養目標,對接職業崗位技能要求,重構了本專業實踐課程體系,并依此申請建設了“深信服信息安全實訓室”,同時使用了“合天網絡安全實訓室”虛擬平臺作為補充,經過兩年的使用實踐,不僅滿足了學生實訓要求,培養了更多實踐能力強的人才;也給教師的科研實踐提供了有利條件,得到師生的廣泛認可,取得很好的效果。
參考文獻
[1]翁健,魏林鋒,張悅.網絡空間安全人才培養探討[J].網絡與信息安全學報,2019(03):45-46.
[2]劉何秀,邵長臣,穆建平,陳騰.開發數據采集職業技能等級標準的必要性研究[J].信息技術與信息化.2020,(06):37-40.
[3]劉楊,王佰玲.面向網絡空間安全新工科的密碼學教學研究[J].高教學刊,2018(12):13-15.
[4]陳麗婷,李壽冰.1+X證書制度實施的意義與現實問題分析[J].職業技術教育2020,(27).13-18.
[5]余姜德.高職信息安全專業實訓課程與實訓平臺構建探索[J].廣東職業技術教育與研究,2018(4):162-163.
