企業(yè)網(wǎng)絡(luò)安全實施方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)網(wǎng)絡(luò)安全實施方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)網(wǎng)絡(luò)安全實施方案范文

【關(guān)鍵詞】企業(yè) 網(wǎng)絡(luò)安全 措施

網(wǎng)絡(luò)安全涉及到的問題非常多，如防病毒、防入侵破壞、防信息盜竊、用戶身份驗證等，這些都不是由單一產(chǎn)品來完成，也不可能由單一產(chǎn)品來完成，因此網(wǎng)絡(luò)安全也必須從整體策略來考慮。網(wǎng)絡(luò)安全防護(hù)體系必須是一個動態(tài)的防護(hù)體系，需要不斷監(jiān)測與更新，只有這樣才能保障網(wǎng)絡(luò)安全。從安全角度看，企業(yè)接入Internet網(wǎng)絡(luò)前的檢測與評估是保障網(wǎng)絡(luò)安全的重要措施。但大多數(shù)企業(yè)沒有這樣做，就把企業(yè)接入了Internet?；诖饲闆r，企業(yè)應(yīng)從以下幾個方面對網(wǎng)絡(luò)安全進(jìn)行檢測與評估，從而制定有針對性的防范措施。

1 檢測排除硬件、軟件系統(tǒng)

1.1 網(wǎng)絡(luò)設(shè)備

重點檢測與評估連接不同網(wǎng)段的設(shè)備和連接廣域網(wǎng)（WAN）的設(shè)備，如Switch、網(wǎng)橋和路由器等。這些網(wǎng)絡(luò)設(shè)備都有一些基本的安全功能，如密碼設(shè)置、存取控制列表、VLAN等，首先應(yīng)充分利用這些設(shè)備的功能。

1.2 數(shù)據(jù)庫及應(yīng)用軟件

數(shù)據(jù)庫在信息系統(tǒng)中的應(yīng)用越來越廣泛，其重要性也越來越強(qiáng)，銀行用戶賬號信息、網(wǎng)站的登記用戶信息、企業(yè)財務(wù)信息、企業(yè)庫存及銷售信息等都存在各種數(shù)據(jù)庫中。數(shù)據(jù)庫也具有許多安全特性，如用戶的權(quán)限設(shè)置、數(shù)據(jù)表的安全性、備份特性等，利用好這些特性也是同網(wǎng)絡(luò)安全系統(tǒng)很好配合的關(guān)鍵。

1.3 E-mail系統(tǒng)

E-mail系統(tǒng)比數(shù)據(jù)庫應(yīng)用還要廣泛，而網(wǎng)絡(luò)中的絕大部分病毒是由E-mail帶來的，因此，其檢測與評估也變得十分重要。

1.4 Web站點

許多Web Server軟件（如IIS等）有許多安全漏洞，相應(yīng)的產(chǎn)品供應(yīng)商也在不斷解決這些問題。通過檢測與評估，進(jìn)行合理的設(shè)置與安全補(bǔ)丁程序，可以把不安全危險盡量降低。

2 建立安全體系結(jié)構(gòu)，有針對性的解決網(wǎng)絡(luò)安全問題

2.1 物理安全

物理安全是指在物理介質(zhì)層次上對存儲和傳輸?shù)木W(wǎng)絡(luò)信息進(jìn)行安全保護(hù)，是網(wǎng)絡(luò)信息安全的基本保障。建立物理安全體系結(jié)構(gòu)應(yīng)從3個方面考慮：一是自然災(zāi)害（地震、火災(zāi)、洪水）、物理損壞（硬盤損壞、設(shè)備使用到期、外力損壞）和設(shè)備故障（停電斷電、電磁干擾）；二是電磁輻射、乘機(jī)而入、痕跡泄漏等；三是操作失誤（格式硬盤、線路拆除）、意外疏漏等。

2.2 操作系統(tǒng)安全

網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)信息系統(tǒng)的核心，其安全性占據(jù)十分重要的地位。根據(jù)美國的“可信計算機(jī)系統(tǒng)評估準(zhǔn)則”，把計算機(jī)系統(tǒng)的安全性從高到低分為4個等級：A、B、C、D。DOS、Windows 3.x/95、MacOS 7.1等屬于D級，即最不安全的。Windows NT/2000/XP、Unix、Netware等則屬于C2級，一些專用的操作系統(tǒng)可能會達(dá)到B級。C2級操作系統(tǒng)已經(jīng)有了許多安全特性，但必須對其進(jìn)行合理的設(shè)置和管理，才能使其發(fā)揮作用。如在Windows NT下設(shè)置共享權(quán)限時，缺省設(shè)置是所有用戶都是“Full Control”權(quán)限，必須對其進(jìn)行更改。

2.3 使用ACL封堵常見病毒端口

大多數(shù)病毒都是通過TCP的135（Microsoft RPC），136-139（NetBIOS），445（Microsoft DS），1068，555，9996，2046，4444，1434，UDP的135，136，137，138，139，445，5554，9996，2046，4444，1434端口進(jìn)行傳播的。利用Extended access-list禁用某些病毒的傳播端口，并將IP訪問列表應(yīng)用到相應(yīng)的VLAN和端口可以有效防止病毒的傳播。

Extended ACL 配置

access-list 102 deny tcp any anyeq 135

access-list 102 deny tcp any anyeq 136

access-list 102 deny tcp any anyeq 137

access-list 102 deny tcp any anyeq 138

access-list 102 deny tcp any anyeq 139

access-list 102 deny tcp any anyeq 445

access-list 102 deny tcp any anyeq 1068

access-list 102 deny udp any anyeq 135

access-list 102 deny udp any anyeq 136

access-list 102 deny udp any anyeq 137

access-list 102 deny udp any anyeq 138

access-list 102 deny udp any anyeq 139

access-list 102 deny udp any anyeq 445

access-list 102 deny tcp any anyeq 5554

access-list 102 deny udp any anyeq 5554

access-list 102 deny tcp any anyeq 9996

access-list 102 deny udp any anyeq 9996

access-list 102 deny tcp any anyeq 2046

access-list 102 deny udp any anyeq 2046

access-list 102 deny tcp any anyeq 4444

access-list 102 deny udp any anyeq 4444

access-list 102 deny tcp any anyeq 1434

access-list 102 deny udp any anyeq 1434

access-list 102 permit ip any any

access-list 102 permit tcp any any

access-list 102 permit udp any any

將ACL應(yīng)用到各VLAN，配置命令如下（vlan1-10可以根據(jù)實際情況改變）

interface range vlan 1 - 10

ip access-group 102 in

ip access-group 102 out

exit

配置命令后在路由器上使用show access-list查看ACL的配置。

2.4 封堵p2p端口

企業(yè)將自己的內(nèi)網(wǎng)與其外網(wǎng)相連，雖然這樣可以從網(wǎng)上得到很多對公司有利的商機(jī)，但是有些企業(yè)內(nèi)部員工，還要使用P2P軟件非法占用公共的網(wǎng)絡(luò)資源，從而影響到了其他人員的辦公。由于雇員濫用對等（P2P）網(wǎng)絡(luò)技術(shù)共享音樂和視頻，這項技術(shù)已經(jīng)直接影響到企業(yè)的利益。由于目前國內(nèi)企業(yè)一般只有有限的帶寬，而P2P的出現(xiàn)在給你帶來好處的同時，也給網(wǎng)絡(luò)帶寬帶來了巨大的壓力，尤其在用來進(jìn)行大量數(shù)據(jù)下載的時候，很容易導(dǎo)致企業(yè)的其他業(yè)務(wù)無法正常進(jìn)行。

我們可以在出口路由上利用Extended access-list 控制列表限制p2p端口。

Router （config）#access-list 110 deny tcp any any range 6881 6890

Router （config）#access-list 110 permit ip any any

Router （config）#interface fastethernet0/0

Router （config-if）#ip access-group 111 in

另外，如果需要保證網(wǎng)絡(luò)的絕對安全性，則可以利用ACL只開放常用的端口，其他所有端口全部禁用。由于這樣做很大限度地限制了通信端口，故沒有在實際試驗中使用，因為會導(dǎo)致整個網(wǎng)絡(luò)的通訊受到影響，該規(guī)則只適合用于對網(wǎng)絡(luò)通信要求非常嚴(yán)格的網(wǎng)絡(luò)環(huán)境下。

Router（config）#access-list 112 permit tcp any anyeq 25

Router（config）#access-list 112 permit tcp any anyeq 53

Router（config）#access-list 112 permit tcp any anyeq 80

Router（config）#access-list 112 permit tcp any anyeq 110

Router（config）#access-list 112 deny ip any any

參考文獻(xiàn)

[1]石志國.計算機(jī)網(wǎng)絡(luò)安全教程[M].北京：清華大學(xué)出版社，2009.

[2]姚奇富.網(wǎng)絡(luò)安全技術(shù)[M].北京：中國水利水電出版社[]，2015.

[3]龍銀香.網(wǎng)絡(luò)管理與維護(hù)[M].大連：大連理工大學(xué)出版社，2012.

[4]鄧秀慧.路由與交換技術(shù)[M].北京：電子工業(yè)出版社，2012.

[5]李建林.局域網(wǎng)交換機(jī)和路由器的配置與管理[M].北京：電子工業(yè)出版社，2013.

第2篇：企業(yè)網(wǎng)絡(luò)安全實施方案范文

關(guān)鍵詞 網(wǎng)絡(luò)安全；方案設(shè)計；方案實現(xiàn)

中圖分類號 G271 文獻(xiàn)標(biāo)識碼 A 文章編號 1673-9671-（2012）111-0142-01

計算機(jī)網(wǎng)絡(luò)的安全運行，是關(guān)系到一個企業(yè)發(fā)展的重要問題，如何能使得企業(yè)網(wǎng)絡(luò)更為安全，如今已經(jīng)成為了一個熱議的話題。影響網(wǎng)絡(luò)安全的因素有很多種，保護(hù)網(wǎng)絡(luò)安全的手段、技術(shù)也很多。對于網(wǎng)絡(luò)安全的保護(hù)我們一般都是通過防火墻、加密系統(tǒng)、防病毒系統(tǒng)、身份認(rèn)證等等方面來保護(hù)網(wǎng)絡(luò)的安全。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全，我們必須要結(jié)合網(wǎng)絡(luò)的具體需求，把多種安全措施進(jìn)行總結(jié)，建立一個立體的、全面的、多層次網(wǎng)絡(luò)安全防御系統(tǒng)。

1 影響網(wǎng)絡(luò)安全的因素

網(wǎng)絡(luò)信息的安全問題日益嚴(yán)重，這不僅會使企業(yè)遭受到巨大的經(jīng)濟(jì)損失，也影響到國家的安全。

如何避免網(wǎng)絡(luò)安全問題的產(chǎn)生，我們必須要清楚因法網(wǎng)絡(luò)安全問題的因素有哪些。我們主要把網(wǎng)絡(luò)安全問題歸納為以下幾個方面：

1.1 人為失誤

人為失去指的是在在無意識的情況下造成的失誤，進(jìn)而引發(fā)網(wǎng)絡(luò)安全問題。如“非法操作、口令的丟失、資源訪問時控制不合理、管理人員疏忽大意等，這些都會對企業(yè)網(wǎng)絡(luò)系統(tǒng)造成很大的破壞，引發(fā)網(wǎng)絡(luò)安全問題。

1.2 病毒感染

病毒一直以來，都是能夠?qū)τ嬎銠C(jī)安全夠成直接威脅的因素，而網(wǎng)絡(luò)更能夠為病毒提供迅速快捷的傳播途徑，病毒很容易通過服務(wù)器以軟件的方式下載、郵件等方式進(jìn)入網(wǎng)絡(luò)，然后對計算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊、破壞，進(jìn)而會造成很大的經(jīng)濟(jì)損失。

1.3 來自企業(yè)網(wǎng)絡(luò)外部的攻擊

企業(yè)網(wǎng)絡(luò)外部的攻擊主要是企業(yè)局域網(wǎng)外部的惡意攻擊，比如：偽裝合法用戶進(jìn)入企業(yè)網(wǎng)絡(luò)，并占用修改資源；有選擇的來破壞企業(yè)網(wǎng)絡(luò)信息的完整性和有效性；修改企業(yè)網(wǎng)站數(shù)據(jù)、破譯企業(yè)機(jī)密、竊取企業(yè)情報、破壞企業(yè)網(wǎng)絡(luò)軟件；利用中間網(wǎng)線來讀取或者攔截企業(yè)絕密信息等。

1.4 來自網(wǎng)絡(luò)內(nèi)部的攻擊

在企業(yè)局域網(wǎng)內(nèi)部，一些非法人員冒用合法的口令，登陸企業(yè)計算機(jī)網(wǎng)絡(luò)，產(chǎn)看企業(yè)機(jī)密信息，修改企業(yè)信息內(nèi)容，破壞企業(yè)網(wǎng)絡(luò)系統(tǒng)的正常運行。

1.5 企業(yè)網(wǎng)絡(luò)系統(tǒng)漏洞

企業(yè)的網(wǎng)絡(luò)系統(tǒng)不可能是毫無破綻的，而企業(yè)網(wǎng)絡(luò)中的漏洞，總是設(shè)計者預(yù)先留下的，為網(wǎng)絡(luò)黑客和工業(yè)間諜提供最薄弱的攻擊部位。

2 企業(yè)計算機(jī)網(wǎng)絡(luò)安全方案的設(shè)計與實現(xiàn)

影響計算機(jī)網(wǎng)絡(luò)完全因素很多，而相應(yīng)的保護(hù)手段也很多。

2.1 動態(tài)口令身份認(rèn)證的設(shè)計與實現(xiàn)

動態(tài)口令身份認(rèn)證具有動態(tài)性、不可逆性、一次性、隨機(jī)性等特點，跟傳統(tǒng)靜態(tài)口令相比，增加了計算機(jī)網(wǎng)絡(luò)的安全性。傳統(tǒng)的靜態(tài)口令進(jìn)行身份驗證的時候，很容易導(dǎo)致企業(yè)計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)遭到竊取、攻擊、認(rèn)證信息的截取等諸多問題。而動態(tài)口令的使用不僅保留了靜態(tài)口令的優(yōu)點，又采用了先進(jìn)的身份認(rèn)證以及解密流程，而每一個動態(tài)口令只能使用一次，并且對認(rèn)證的結(jié)果進(jìn)行記錄，防止同一個口令多次登錄。

2.2 企業(yè)日志管理與備份的設(shè)計與實現(xiàn)

企業(yè)要想保證計算機(jī)網(wǎng)絡(luò)的安全，對于計算機(jī)網(wǎng)絡(luò)進(jìn)行日志管理和備份是不可缺少的內(nèi)容，日志管理和備份數(shù)據(jù)系統(tǒng)是計算機(jī)運行的基礎(chǔ)。計算機(jī)在運行過程中難保不會出現(xiàn)故障，而計算機(jī)中的數(shù)據(jù)和資料的一個企業(yè)的血液，如果數(shù)據(jù)和資料丟失，會給企業(yè)今后的發(fā)展帶來巨大的不便，為了避免數(shù)據(jù)資料的丟失，我們就應(yīng)當(dāng)對計算機(jī)網(wǎng)絡(luò)做好數(shù)據(jù)備份以及數(shù)據(jù)歸檔的保護(hù)措施。這些都是維護(hù)企業(yè)網(wǎng)絡(luò)安全的最基本的措施與工作。

2.3 病毒防護(hù)設(shè)計與實現(xiàn)

計算機(jī)病毒每年都在呈上漲的趨勢，我國每年遭受計算機(jī)入侵的網(wǎng)絡(luò)，占到了相當(dāng)高的比例。計算機(jī)病毒會使計算機(jī)運行緩慢，對計算機(jī)網(wǎng)絡(luò)進(jìn)行有目的的破壞行為。目前Internet在飛速的發(fā)展，讓病毒在網(wǎng)上出現(xiàn)之后，會很快的通過網(wǎng)絡(luò)進(jìn)行傳播。對于企業(yè)計算機(jī)網(wǎng)絡(luò)，應(yīng)當(dāng)時刻進(jìn)行監(jiān)控以及判斷系統(tǒng)中是否有病毒的存在，要加大對于病毒的檢測。處理、免疫及對抗的能力。而企業(yè)使用防病毒系統(tǒng)，可以有效的防止病毒入侵帶來的損失。為了使企業(yè)的網(wǎng)絡(luò)更加安全，要建立起一個完善的防病毒系統(tǒng)，制定相應(yīng)的措施和病毒入侵時的緊急應(yīng)急措施，同時也要加大工作人員的安全意識。

病毒會隨著時間的推移變的隨時都有可能出現(xiàn)，所以企業(yè)中計算機(jī)網(wǎng)絡(luò)安全人員，要隨時加強(qiáng)對于防毒系統(tǒng)的升級、更新、漏洞修復(fù)，找出多種不同的防毒方法，提高企業(yè)計算機(jī)網(wǎng)絡(luò)防病毒的能力。

2.4 防火墻技術(shù)設(shè)計與實現(xiàn)

Internet使用過程中，要通過內(nèi)網(wǎng)。外網(wǎng)的連接來實現(xiàn)訪問，這些就給網(wǎng)絡(luò)黑客們提供了良好的空間與環(huán)境。目前，企業(yè)計算機(jī)網(wǎng)絡(luò)系統(tǒng)，采用防火墻技術(shù)，能有效的保證企業(yè)的機(jī)密不會受到網(wǎng)絡(luò)黑客以及工業(yè)間諜的入侵，這種方法也是維護(hù)企業(yè)計算機(jī)網(wǎng)絡(luò)最有效、最經(jīng)濟(jì)的方法，因為防火墻系統(tǒng)是企業(yè)計算機(jī)網(wǎng)絡(luò)安全的最前面屏障，能有效的組織入侵情況的發(fā)生。所以企業(yè)計算機(jī)網(wǎng)絡(luò)第一個安全措施就是安裝以及應(yīng)用防火墻。防火墻一般是安裝在內(nèi)部網(wǎng)絡(luò)出口處，在內(nèi)網(wǎng)與外網(wǎng)之間。

防火墻最大的特點是所有的信息傳遞都要經(jīng)過它，這樣就能有效的避免企業(yè)網(wǎng)絡(luò)遭到非法入侵，防火本身的具有很高的可靠性，它可以加強(qiáng)對企業(yè)網(wǎng)絡(luò)的監(jiān)督，防止外部入侵和黑客攻擊造成的信息泄露，

2.5 網(wǎng)絡(luò)安全設(shè)計的實現(xiàn)

在企業(yè)網(wǎng)絡(luò)運行中，與用戶和各個系統(tǒng)之間，存在著信息交換的過程，這些信息包括信息代碼、電子文稿、文檔等，所以總會有各種網(wǎng)絡(luò)安全的問題出現(xiàn)。為了保障網(wǎng)絡(luò)的安全性和客戶使用的合法性，就要去嚴(yán)格的限制登錄者的操作權(quán)限，增加口令的復(fù)雜程度。當(dāng)工作人員離職要對于網(wǎng)絡(luò)口令認(rèn)證做出相應(yīng)的調(diào)整，以避免帶來的不便。

3 總結(jié)

現(xiàn)今網(wǎng)絡(luò)在現(xiàn)代生活中發(fā)展迅速，然而網(wǎng)絡(luò)安全的系統(tǒng)也日益突出。作為一個企業(yè)如何的保證自己網(wǎng)絡(luò)的安全性，使自身能夠更快更好的發(fā)展，面對著網(wǎng)絡(luò)入侵的行為要進(jìn)行如何的防御，已經(jīng)是一個越來越迫切的問題。我們只有從實際出發(fā)，去構(gòu)建一個完整的安全的網(wǎng)絡(luò)防御系統(tǒng)，才能保證企業(yè)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

[1]唐紅亮.防火墻設(shè)計淺析[J].中國科技信息，2009，06.

第3篇：企業(yè)網(wǎng)絡(luò)安全實施方案范文

關(guān)鍵詞：企業(yè) 辦公自動化 網(wǎng)絡(luò) 安全 防范

中圖分類號：TN830文獻(xiàn)標(biāo)識碼： A

正文：

1 辦公自動化的概念及其網(wǎng)絡(luò)特點

隨著信息時代的發(fā)展，為了達(dá)到提高辦公效率以及實現(xiàn)無紙化辦公等節(jié)能增效目標(biāo)，當(dāng)前企業(yè)基本都建立起了自己企業(yè)內(nèi)部的辦公自動化網(wǎng)絡(luò)。企業(yè)的辦公自動化網(wǎng)絡(luò)通常都具有復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和廣泛的地域覆蓋范圍，使用辦公網(wǎng)絡(luò)的人員分布于企業(yè)的各個層面，有機(jī)關(guān)部室人員也有基層作業(yè)人員，且年齡跨度大，既人員眾多，又素質(zhì)參差不齊。辦公網(wǎng)絡(luò)一般都是生產(chǎn)網(wǎng)絡(luò)尤其是IT系統(tǒng)的物理載體，其承載的數(shù)據(jù)與企業(yè)生產(chǎn)的安全平穩(wěn)緊密相關(guān)，這就造成企業(yè)對網(wǎng)絡(luò)的依賴程度和對網(wǎng)絡(luò)安全的要求很高。辦公網(wǎng)絡(luò)往往還與互聯(lián)網(wǎng)有不同程度的連接，其安全會受到來自互聯(lián)網(wǎng)上更多的威脅。

2 影響網(wǎng)絡(luò)安全的因素

2.1 病毒感染與傳播。

計算機(jī)病毒是影響網(wǎng)絡(luò)安全最主要的因素之一。計算機(jī)病毒是一種人為設(shè)計的特殊的寄生性計算機(jī)程序。這種程序一旦運行就可以自我復(fù)制，使自身從一個程序擴(kuò)散到另一個程序，從一個計算機(jī)系統(tǒng)進(jìn)入到另一個計算機(jī)系統(tǒng)并在一定條件下對計算機(jī)進(jìn)行破壞，使計算機(jī)系統(tǒng)不能正常工作。通常具有如下危害：破壞系統(tǒng)，使系統(tǒng)崩潰，不能正常運轉(zhuǎn)；破壞數(shù)據(jù)造成數(shù)據(jù)丟失；使你的電腦變的很慢；盜取你的數(shù)據(jù)信息如照片、密碼、個人信息等；造成網(wǎng)絡(luò)賭賽。計算機(jī)病毒具有很強(qiáng)的隱蔽性、感染性和極高的傳播效率，新病毒及其變種產(chǎn)生的速度讓很多殺毒軟件防不勝防，是當(dāng)前最主要的影響網(wǎng)絡(luò)安全的因素之一。

2.2 黑客入侵。

大型企業(yè)辦公網(wǎng)絡(luò)根據(jù)企業(yè)工作性質(zhì)與互聯(lián)網(wǎng)都有著或多或少的連接，只要有連接就不能完全排除黑客入侵的可能性。由于操作系統(tǒng)、通信協(xié)議、各類應(yīng)用軟件均不同程度的存在安全漏洞或安全缺陷，這都使黑客有了可乘之機(jī)，一旦遭遇入侵，整個內(nèi)部網(wǎng)絡(luò)將遭遇巨大的風(fēng)險，很有可能造成數(shù)據(jù)、信息的篡改、毀壞，甚至全部丟失，導(dǎo)致系統(tǒng)崩潰、業(yè)務(wù)癱瘓，后果不堪設(shè)想。

2.3 設(shè)備軟硬件故障。企業(yè)的辦公網(wǎng)絡(luò)系統(tǒng)均是由服務(wù)器、路由器、交換機(jī)以及光纜、雙絞線、同軸電纜等硬件設(shè)備以及操作系統(tǒng)、應(yīng)用軟件等組成，任何一個環(huán)節(jié)出現(xiàn)故障都有可能造成網(wǎng)絡(luò)通信的阻斷以及系統(tǒng)的不能正常運轉(zhuǎn)，都會給企業(yè)的正常辦公造成影響。

2.4 人員操作不當(dāng)或災(zāi)難造成數(shù)據(jù)損壞或丟失。

由于員工的素質(zhì)參差不齊，在企業(yè)辦公自動化系統(tǒng)使用中常會出現(xiàn)由于員工操作不當(dāng)造成的數(shù)據(jù)損壞或丟失，甚至造成硬件設(shè)備的損壞。同時由于洪澇、地震等不可抗拒的自然災(zāi)害也會造成系統(tǒng)軟硬件的破壞，無論是數(shù)據(jù)的丟失還是硬件設(shè)備的損壞都會對企業(yè)的運營造成嚴(yán)重的干擾和巨大的經(jīng)濟(jì)損失。

3 安全防范措施

3.1 與互聯(lián)網(wǎng)設(shè)置隔離。通過路由器和防火墻在企業(yè)內(nèi)部辦公網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)之間，設(shè)置物理隔離，以實現(xiàn)內(nèi)外網(wǎng)的隔離是保護(hù)辦公自動化網(wǎng)絡(luò)安全的最主要、同時也是最有效、最經(jīng)濟(jì)的措施之一。

3.2 優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。主要是根據(jù)企業(yè)組織架構(gòu)或地理位置等情況將企業(yè)辦公網(wǎng)絡(luò)劃分成許多相互獨立的子網(wǎng)，并在子網(wǎng)間的路由器、防火墻等網(wǎng)絡(luò)設(shè)備上設(shè)置特定的訪問規(guī)則，按照管理要求約束各子網(wǎng)之間的訪問權(quán)限，這樣就可以降低不同部門或區(qū)域網(wǎng)絡(luò)間的互相影響，減少木馬、病毒等的擴(kuò)散范圍和傳播速度，同時能避免非法用戶對敏感數(shù)據(jù)的訪問。通過對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行優(yōu)化和調(diào)整可以有效的降低企業(yè)辦公網(wǎng)絡(luò)的安全風(fēng)險，提高網(wǎng)絡(luò)的穩(wěn)定性。

3.3 VLAN（虛擬局域網(wǎng)）技術(shù)。選擇VLAN技術(shù)可較好地從鏈路層實施網(wǎng)絡(luò)安全保障。VLAN指通過交換設(shè)備在網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)基礎(chǔ)上建立一個邏輯網(wǎng)絡(luò)，它依據(jù)用戶的邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)劃分為多個虛擬子網(wǎng)，劃分的依據(jù)可以是設(shè)備所連端口、用戶節(jié)點的MAC地址等。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴，還可利用MAC層的數(shù)據(jù)包過濾技術(shù)，對安全性要求高的VLAN端口實施MAC幀過濾。而且，即使黑客攻破某一虛擬子網(wǎng)，也無法得到整個網(wǎng)絡(luò)的信息。

3.4 機(jī)密數(shù)據(jù)安全。機(jī)密數(shù)據(jù)不能以明文方式在網(wǎng)絡(luò)中傳播，要用高強(qiáng)度加密算法進(jìn)行加密，然后經(jīng)由指定的安全渠道傳輸，并且讓盡可能少的人接觸。密鑰的安全管理、及時更換和密鑰分發(fā)方式都是影響加密數(shù)據(jù)安全的重要因素。

3.5 安全監(jiān)控。安全監(jiān)控技術(shù)主要是對入侵行為的及時發(fā)現(xiàn)和反應(yīng)，利用入侵者留下的痕跡來有效的發(fā)現(xiàn)來自外部或內(nèi)部的非法入侵；同時能夠?qū)θ肭肿龀黾皶r的響應(yīng)，包括斷開非法連接、報警等措施。安全監(jiān)控技術(shù)以探測和控制為主，起主動防御的作用。

3.6 安全漏洞檢測。安全漏洞檢測技術(shù)是指利用已知的攻擊手段對系統(tǒng)進(jìn)行弱點掃描，以求及時發(fā)現(xiàn)系統(tǒng)漏洞，同時給出漏洞報告，指導(dǎo)系統(tǒng)管理員采用系統(tǒng)軟件升級或關(guān)閉相應(yīng)服務(wù)等手段避免遭受攻擊。

3.7 服務(wù)器安全。服務(wù)器通常既是企業(yè)辦公網(wǎng)絡(luò)的服務(wù)應(yīng)用中心又是整個企業(yè)辦公網(wǎng)絡(luò)的數(shù)據(jù)中心，可以說服務(wù)器是整個企業(yè)辦公網(wǎng)絡(luò)系統(tǒng)的核心，服務(wù)器的穩(wěn)定性是至關(guān)重要的。為了加強(qiáng)服務(wù)器的安全管理，在對服務(wù)器的配置過程中，要把握最小服務(wù)原則，盡可能的關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)，降低安全風(fēng)險。并采取主機(jī)備份+負(fù)載均衡的模式部署，這樣既可提高服務(wù)器的響應(yīng)能力，又增強(qiáng)了數(shù)據(jù)安全提高服務(wù)可用性。同時日常還要做好定期數(shù)據(jù)備份以及設(shè)備硬件檢測維護(hù)工作，以應(yīng)對可能出現(xiàn)的各種數(shù)據(jù)損壞和提高服務(wù)器的穩(wěn)定性和安全性。

3.8 終端安全。終端主要是指各應(yīng)用客戶端，往往是各種病毒木馬的柄息地和實施攻擊破壞的基地，這就需要對終端操作系統(tǒng)進(jìn)行必要的安全配置。主要有以下幾種具體手段：

（1）關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)，設(shè)置符合安全規(guī)范的密碼并定期更換以及禁用Guest用戶等，這樣可以減少病毒攻擊的途徑。（2）配置防火墻僅允許外部訪問本機(jī)必要的網(wǎng)絡(luò)服務(wù)，屏蔽已知流行病毒所使用的端口、IP地址等，減少被木馬攻擊和病毒感染的機(jī)會。（3）應(yīng)該盡可能的關(guān)閉網(wǎng)絡(luò)共享服務(wù)，采取其他方式傳送文件。如果確實需要共享，那就盡可能減少共享內(nèi)容，并進(jìn)行嚴(yán)格的權(quán)限控制。（4）及時更新系統(tǒng)補(bǔ)丁以及安裝并及時升級殺毒軟件。

3.9 數(shù)據(jù)恢復(fù)。任何技術(shù)和手段都不能保證辦公網(wǎng)絡(luò)數(shù)據(jù)100%的安全，為了在數(shù)據(jù)遭到破壞后能盡快的讓系統(tǒng)恢復(fù)正常運轉(zhuǎn)以及最大程度的保證數(shù)據(jù)安全，這就涉及到了數(shù)據(jù)恢復(fù)技術(shù)，通常我們采用最多手段的就是建立數(shù)據(jù)備份方案。數(shù)據(jù)備份技術(shù)可以在數(shù)據(jù)遭到破壞時能快速的全盤恢復(fù)運行系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。數(shù)據(jù)備份方案不僅能在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時起到保護(hù)作用，也在非法入侵或網(wǎng)絡(luò)攻擊等破壞數(shù)據(jù)完整性時起到保護(hù)作用，同時亦是系統(tǒng)癱瘓、崩潰等災(zāi)難恢復(fù)的前提之一。

4 結(jié)束語

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，企業(yè)辦公網(wǎng)絡(luò)安全的維護(hù)不僅要從技術(shù)、設(shè)備上采取防范措施，還應(yīng)當(dāng)更加重視企業(yè)網(wǎng)絡(luò)的安全管理和提高企業(yè)員工的網(wǎng)絡(luò)安全意識，這樣才能全面提高企業(yè)辦公網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)：

[1]蔡立軍.計算機(jī)網(wǎng)絡(luò)安全技術(shù).北京:中國水利水電出版社,2002.

[2]徐國愛.網(wǎng)絡(luò)安全.北京:北京郵電大學(xué)出版社,2004.

[3]王豐輝.漏洞相關(guān)技術(shù)研究.北京郵電大學(xué)出版社,2006.

[4] 陳建中.校園網(wǎng)安全及防范研究與探討[J]. 中國科技信息. 2007(19)

第4篇：企業(yè)網(wǎng)絡(luò)安全實施方案范文

論文摘要:計算機(jī)網(wǎng)絡(luò)高速發(fā)展的同時，給信息安全帶來了新的挑戰(zhàn)。通過對國內(nèi)企業(yè)信息安全面臨的風(fēng)險分析，有針襯性地提出常用技術(shù)防護(hù)措施。 

    隨著信息技術(shù)迅猛發(fā)展，計算機(jī)及其網(wǎng)絡(luò)、移動通信和辦公自動化設(shè)備日益普及，國內(nèi)大中型企業(yè)為了提高企業(yè)競爭力，都廣泛使用信息技術(shù)，特別是網(wǎng)絡(luò)技術(shù)。企業(yè)信息設(shè)施在提高企業(yè)效益的同時，給企業(yè)增加了風(fēng)險隱患，網(wǎng)絡(luò)安全問題也一直層出不窮，給企業(yè)所造成的損失不可估量。

1企業(yè)面臨的網(wǎng)絡(luò)安全威脅

1.1來自企業(yè)內(nèi)部的攻擊

    大量事實表明，在所有的網(wǎng)絡(luò)攻擊事件當(dāng)中，來自企業(yè)內(nèi)部的攻擊占有相當(dāng)大的比例，這包括了懷有惡意的，或者對網(wǎng)絡(luò)安全有著強(qiáng)烈興趣的員工的攻擊嘗試，以及計算機(jī)操作人員的操作失誤等。內(nèi)部人員知道系統(tǒng)的布局、有價值的數(shù)據(jù)放在何處以及何種安全防范系統(tǒng)在工作。因內(nèi)部人員攻擊來自區(qū)域內(nèi)部，常常最難于檢測和防范。

1.2來自企業(yè)外部的惡意攻擊

    隨著黑客技術(shù)在互連網(wǎng)上的擴(kuò)散，對一個既定目標(biāo)的攻擊變得越來越容易。一方面，對攻擊目標(biāo)造成的破壞所帶來的成就感使越來越多的年輕人加人到黑客的行列，另一方面商業(yè)競爭也在導(dǎo)致更多的惡意攻擊事件的產(chǎn)生。

1.3網(wǎng)絡(luò)病毒和惡意代碼的襲擊

    與前幾年病毒和惡意代碼傳播情況相比，如今的病毒和惡意代碼的傳播能力與感染能力得到了極大提升，其破壞能力也在快速增強(qiáng)，所造成的損失也在以幾何極數(shù)上升。如何防范各種類型的病毒和惡意程序，特別是網(wǎng)絡(luò)病毒與郵件病毒，是任何一個企業(yè)都不得不面對的一個挑戰(zhàn)。

2企業(yè)網(wǎng)絡(luò)安全常用的防護(hù)措施

    目前，不同種類的安全威脅混合在一起給企業(yè)網(wǎng)絡(luò)的安全帶來了極大的挑戰(zhàn)，從而要求我們的網(wǎng)絡(luò)安全解決方案集成不同的產(chǎn)品與技術(shù)，來有針對性地抵御各種威脅。我們的總體目標(biāo)就是通過信息與網(wǎng)絡(luò)安全工程的實施，建立完整的企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)體系，在安全法律、法規(guī)、政策的支持與指導(dǎo)下，通過制定適度的安全策略，采用合適的安全技術(shù)，進(jìn)行制度化的安全管理，保障企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠地運行，確保企業(yè)與網(wǎng)絡(luò)資源受控合法地使用。

2.1部署統(tǒng)一的網(wǎng)絡(luò)防病毒系統(tǒng)

    在網(wǎng)絡(luò)出口處部署反病毒網(wǎng)關(guān)。對郵件服務(wù)器安裝特定的防病毒插件以防范郵件病毒，保護(hù)郵件服務(wù)器安全。在服務(wù)器及客戶端上部署統(tǒng)一的防病毒軟件客戶端，實現(xiàn)對系統(tǒng)、磁盤、光盤、郵件及internet的病毒防護(hù)。

2.2部署安全可靠的防火墻

    企業(yè)為了在互聯(lián)網(wǎng)上信息，共享資源，就不得不將自己的內(nèi)部網(wǎng)絡(luò)在一定程度上對外開放，這就在無形中增加了安全隱患，使有不良企圖的人有機(jī)可乘。為了使信息系統(tǒng)在保障安全的基礎(chǔ)上被正常訪問，需要一定的設(shè)備來對系統(tǒng)實施保護(hù)，保證只有合法的用戶才可以訪問系統(tǒng)‘就目前看，能夠?qū)崿F(xiàn)這種需求的性能價格比最優(yōu)的設(shè)備就是防火墻。防火墻的目的是要在不同安全區(qū)域(如:內(nèi)部，外部、dmz、數(shù)據(jù)中心)網(wǎng)絡(luò)之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。具體地說，設(shè)置防火墻的目的是隔離內(nèi)部和外部網(wǎng)，保護(hù)內(nèi)部網(wǎng)絡(luò)不受攻擊。

2.3部署入侵檢測系統(tǒng)

    作為防火墻的補(bǔ)充，入侵檢測系統(tǒng)(工ds)用于發(fā)現(xiàn)和抵御黑客攻擊。人侵檢測系統(tǒng)是一種網(wǎng)絡(luò)/計算機(jī)安全技術(shù)，它試圖發(fā)現(xiàn)入侵者或識別出對計算機(jī)的非法訪問行為，并對其進(jìn)行隔離。攻擊者可能來自外部網(wǎng)絡(luò)連接，如互聯(lián)網(wǎng)、撥號連接，或來自內(nèi)部網(wǎng)絡(luò)。攻擊目標(biāo)通常是服務(wù)器，也可能是路由器和防火墻。

    入侵檢測系統(tǒng)能發(fā)現(xiàn)其他安全措施無法發(fā)現(xiàn)的攻擊行為，并能收集可以用來訴訟的犯罪證據(jù)。一般入侵檢側(cè)系統(tǒng)有兩類:基于網(wǎng)絡(luò)的實時入侵檢測系統(tǒng)和基于主機(jī)的實時人侵檢測系統(tǒng)。

2.4配置漏洞掃描工具

    漏洞掃描是一項重要的安全技術(shù)，它采用模擬攻擊的形式對網(wǎng)絡(luò)系統(tǒng)組成元素(服務(wù)器、工作站、路由器、防火墻、應(yīng)用系統(tǒng)和數(shù)據(jù)庫等)可能存在的安全漏洞進(jìn)行逐項檢查，根據(jù)檢查結(jié)果提供詳細(xì)的漏洞描述和修補(bǔ)方案，形成系統(tǒng)安全性分析報告，從而為網(wǎng)絡(luò)管理員來完善網(wǎng)絡(luò)系統(tǒng)提供依據(jù)。通常，我們將完成漏洞掃描的軟件、硬件或軟硬一體的組合稱為漏洞掃描器。

2.5部署綜合審計系統(tǒng)

    通俗地說，網(wǎng)絡(luò)安全審計就是在企業(yè)的網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外網(wǎng)和內(nèi)網(wǎng)用戶的入侵、破壞、竊取和失泄，而運用各種技術(shù)手段實時收集和監(jiān)視網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、操作以及安全事件，以便集中報警、分析、處理的一種技術(shù)手段。

    網(wǎng)絡(luò)審計分為行為審計和內(nèi)容審計，行為審計是對上網(wǎng)的所有操作的行為(諸如:瀏覽網(wǎng)頁、登錄網(wǎng)站從事各種活動、收發(fā)郵件、下載各種信息、論壇和博客發(fā)表言論等)進(jìn)行審計，內(nèi)容審計是在行為審計的基礎(chǔ)上，不僅要知道用戶的操作行為，而且還要對行為的詳細(xì)內(nèi)容進(jìn)行審計。它可以使關(guān)心內(nèi)容安全的管理人員清晰地知道通過網(wǎng)絡(luò)有無沒有采用加密處理就在網(wǎng)上傳送的重要數(shù)據(jù)或內(nèi)部和涉密文件被發(fā)出(用戶行為)和被盜取(黑客行為);有無瀏覽不良網(wǎng)頁;有無在論壇和博客上發(fā)表不負(fù)責(zé)的言論;有無使用即時通信工具談?wù)搩?nèi)部或涉密的話題。

2.6部署終端安全管理系統(tǒng)

    由于企業(yè)內(nèi)部終端數(shù)量多，人員層次不同，流動性大，安全意識薄弱而產(chǎn)生病毒泛濫、終端濫用資源、非授權(quán)訪問、惡意終端破壞、信息泄密等安全事件不勝枚舉。通過部署終端安全管理系統(tǒng)杜絕了非法終端和不安全終端的接人網(wǎng)絡(luò);對有權(quán)訪問企業(yè)網(wǎng)絡(luò)的終端進(jìn)行根據(jù)其賬戶身份定義的安全等級檢查和接入控制;對相關(guān)的內(nèi)部人員的行為進(jìn)行審計，通過嚴(yán)格的內(nèi)部行為審計和檢查，來減少內(nèi)部安全威脅，同時也是對內(nèi)部員工的一種威懾，有效強(qiáng)化內(nèi)部信息安全的管理，將企業(yè)的信息安全管理規(guī)定通過技術(shù)的手段得到落實。

    2.7建立企業(yè)身份認(rèn)證系統(tǒng)

    傳統(tǒng)的口令認(rèn)證方式雖然簡單，但是由于其易受到竊聽、重放等攻擊的安全缺陷，使其已無法滿足當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全認(rèn)證需求，因此涌現(xiàn)了諸如:數(shù)字證書、動態(tài)口令、智能卡、生物識別等多種認(rèn)證方式。目前，基于pki (public  key  infrastructure)技術(shù)體系的身份

認(rèn)證系統(tǒng)能夠為企業(yè)的敏感通信和交易提供一套信息安全保障，包括保密性、完整性、真實性和不可否認(rèn)。確保企業(yè)信息資源的訪問得到正式的授權(quán)，驗證資源訪問者的合法身份，將風(fēng)險進(jìn)一步細(xì)化，盡可能地減輕風(fēng)險可能造成的損失。

2.8安全服務(wù)與培訓(xùn)

    任何安全策略的制定與實施、安全設(shè)備的安裝配置與管理，其中最關(guān)鍵的因素還是人。因此根據(jù)相關(guān)的法律、法規(guī)、政策，制定出符合企業(yè)自身特點的安全戰(zhàn)略并加以實施，對企業(yè)的網(wǎng)絡(luò)安全人員進(jìn)行相關(guān)的專業(yè)知識及安全意識的培訓(xùn)，是整個網(wǎng)絡(luò)安全解決方案中重要的一個環(huán)節(jié)。

2.9完善安全管理制度

    俗話說“信息安全，三分技術(shù)，七分管理”，企業(yè)除了做好應(yīng)用安全，網(wǎng)絡(luò)安全，系統(tǒng)安全等保障措施外，還必須建立相應(yīng)的管理機(jī)構(gòu)，健全相應(yīng)的管理措施，并利用必要的技術(shù)和工具、依據(jù)有效的管理流程對各種孤立、松散的安全資源的日常操作、運行維護(hù)、審計監(jiān)督、文檔管理進(jìn)行統(tǒng)一管理，以期使它們發(fā)揮更大的功效，避免由于我們管理中存在的漏洞引起整個信息與網(wǎng)絡(luò)系統(tǒng)的不安全。

第5篇：企業(yè)網(wǎng)絡(luò)安全實施方案范文

首要的安全問題是黑客可利用IPv6鏈路技術(shù)隱藏在IPv4流量中，產(chǎn)生了一條沒有防護(hù)的進(jìn)出企業(yè)網(wǎng)絡(luò)的通道。關(guān)閉這些通道需要了解IPv6轉(zhuǎn)換機(jī)制的運作及其可視性。

要理解機(jī)構(gòu)需要實施IPv6的原因是很容易的。簡單來說，就是第一個互聯(lián)網(wǎng)協(xié)議版本IPv4空間耗盡。每個與網(wǎng)絡(luò)相連的設(shè)備都有固定的IP地址，IPv4協(xié)議允許32位的IP地址，也就是232 個的可能地址，而IPv6則將IP地址數(shù)量增加到2128。雖然目前IPv4運行良好，但持續(xù)增長的網(wǎng)絡(luò)連接設(shè)備終會將其空間消耗殆盡。IPv6也在其他方面對IPv4進(jìn)行了優(yōu)化，比如說，簡化地址分配。

但是啟用IPv6對網(wǎng)絡(luò)運營者還許多其他的影響。過去，企業(yè)一直重點保護(hù)IPv4網(wǎng)絡(luò)，現(xiàn)在他們必須投入相同的力度在IPv6的運行上。安全管理員需要學(xué)習(xí)IPv6新協(xié)議的基本內(nèi)容，以應(yīng)對變化帶來的挑戰(zhàn)。在這方面，網(wǎng)上公布的最佳實踐是美國國家標(biāo)準(zhǔn)和技術(shù)研究所 (National Institute of Standards and Technology)的綱要。

如果安全設(shè)備支持IPv6，現(xiàn)在就是啟用它的時候。一些操作系統(tǒng)，諸如Windows Vista和Windows 7 中IPv6轉(zhuǎn)換機(jī)制是默認(rèn)設(shè)置。這意味著IT部門并不知道正在運行IPv6，最終讓使用戶繞開防火墻和網(wǎng)絡(luò)入侵防御系統(tǒng)（IPS）。

這些鏈路通過啟用IPv6主機(jī)和路由器，在IPv4互聯(lián)網(wǎng)上與其他IPv6設(shè)備連接來運行。鏈路的問題在于，它們可以穿過防火墻——攻擊者或許能逃出企業(yè)安全控制并連接到企業(yè)網(wǎng)絡(luò)內(nèi)部資源。因此，使用如6 to 4的鏈路協(xié)議支持轉(zhuǎn)換到IPv6需要慎重考慮，盡可能保持在最低限度。

事實情況是，IPv6可能在企業(yè)不知情的情況下，已經(jīng)在網(wǎng)絡(luò)中運行，且可能被僵尸網(wǎng)絡(luò)和黑客用作隱蔽通道。雖然企業(yè)可能不會主動在網(wǎng)絡(luò)中運行IPv6，但是，他們的安全基礎(chǔ)設(shè)置應(yīng)具備檢測IPv6的流量的功能。畢竟，你不能阻止你無法看到的。

談及保護(hù)IPv6部署，最重要的是可視性。企業(yè)需要部署支持IPv6并使IPv6運作的安全產(chǎn)品。在某些情況下，這可能需要升級，例如，傳統(tǒng)的入侵防御系統(tǒng)（IPS）和防火墻，就可能已經(jīng)無法檢測到IPv6流量。可喜的是，在過去的幾年中，許多主要的防火墻和網(wǎng)絡(luò)安全廠商已經(jīng)增加了對IPv6的支持。盡管如此，企業(yè)仍應(yīng)向供應(yīng)商反應(yīng)，以確保產(chǎn)品提供了他們所需的所有功能，并且開始在他們的環(huán)境中應(yīng)用。被認(rèn)可的IPv6測試方案有NIST的USGv6 Profile和測試計劃。

隨著越來越多的企業(yè)部署IPv6，管理員需要特別注意轉(zhuǎn)換機(jī)制和設(shè)備配置，以避免向網(wǎng)絡(luò)開放未經(jīng)授權(quán)的途徑。保護(hù)網(wǎng)絡(luò)安全首要關(guān)鍵是監(jiān)控所有網(wǎng)絡(luò)的流量，如果管理員發(fā)現(xiàn)未經(jīng)授權(quán)的鏈路，那么他們要立即關(guān)閉這些鏈路避免被利用為攻擊流量。IPv6的必然性意味著企業(yè)需要現(xiàn)在便開始采取措施來支持其安全使用。

對于很多企業(yè)和全球服務(wù)提供商來說，過渡至IPv6并部署可以同時為IPv6和IPv4提供保護(hù)的網(wǎng)絡(luò)安全解決方案至關(guān)重要。企業(yè)應(yīng)該清楚地認(rèn)識到這次遷移所帶來的安全挑戰(zhàn)?？蛻粝胍獜浹a(bǔ)協(xié)議轉(zhuǎn)換帶來的安全缺口，最直接的方法就是采用獲得IPv6標(biāo)識認(rèn)證的安全產(chǎn)品。

在向IPv6過渡的浪潮中，安全廠商也在一直在尋求不斷滿足客戶實施需求的解決方案。例如，Check Point R75.40軟件刀片和 GAiA 統(tǒng)一的操作系統(tǒng)（OS）就通過了UNH互操作性實驗室(UNH Interoperability Laboratory)的評測，并獲得了IPv6論壇授予的第二階段（金）標(biāo)識（Phase Two (Gold) Logo）。這表示此兩款產(chǎn)品包含所有強(qiáng)制的IPv6核心協(xié)議，并且能夠與其他IPv6 和 IPv4實施方案互相操作，滿足IPv6標(biāo)識認(rèn)證委員會的所有技術(shù)要求。Check Point R75.40，GAiA和新型安全設(shè)備能夠輕松與新版本的網(wǎng)絡(luò)協(xié)議實現(xiàn)互相操作，讓客戶無縫且安全地過渡到IPv6時代。

零日漏洞Websense無壓力

日前，Websense安全實驗室曾通過其官方博客表示最新的Java零日漏洞(CVE-2012-4681)被發(fā)現(xiàn)用于少數(shù)幾起攻擊中。目前針對該漏洞的攻擊代碼已經(jīng)被添加到了當(dāng)前最泛濫的黑洞攻擊包中。

第6篇：企業(yè)網(wǎng)絡(luò)安全實施方案范文

而事實上，有很多人有過類似的操作，只是危險還未降臨，或已經(jīng)發(fā)生但還未被察覺而已。

公共場合尚且如此，如果將場景延伸到企業(yè)網(wǎng)絡(luò)中，情況又將如何？

無線局域網(wǎng)（WLAN）基礎(chǔ)架構(gòu)的脆弱性，是目前企業(yè)網(wǎng)絡(luò)中最重要和直接的威脅之一。在企業(yè)環(huán)境中，使用智能手機(jī)和平板電腦的Wi-Fi需求與日俱增，這無意中侵犯了網(wǎng)絡(luò)安全的邊界，也使那些沒有部署無線的企業(yè)和組織面臨著不可估量的風(fēng)險。

無線安全四大誤區(qū)

誤區(qū)1 沒有部署Wi-Fi，企業(yè)就是安全的

很多人仍然認(rèn)為，如果企業(yè)沒有部署Wi-Fi網(wǎng)絡(luò)，那么就不存在Wi-Fi安全問題。然而，現(xiàn)實世界不可能是一個人人彼此信任的世界，也沒有人會天真地認(rèn)為絕不會有人違背“無Wi-Fi”部署策略。

無論有意或無意，安裝一個隱秘接入點（AP），就足以將企業(yè)的網(wǎng)絡(luò)暴露給無孔不入的攻擊者?，F(xiàn)在絕大多數(shù)的筆記本或上網(wǎng)本內(nèi)置的Wi-Fi網(wǎng)卡同樣可以構(gòu)成潛在的威脅源。甚至于內(nèi)嵌在筆記本或上網(wǎng)本中的無線技術(shù)，如藍(lán)牙等，也可能會產(chǎn)生嚴(yán)重的安全漏洞。以為“無Wi-Fi”部署便可保障企業(yè)網(wǎng)絡(luò)的安全無異于掩耳盜鈴。

誤區(qū)2 部署了傳統(tǒng)的防火墻、IPS等網(wǎng)關(guān)設(shè)備，企業(yè)就是安全的

過去我們所理解的企業(yè)邊界好比是一幢大樓，由企業(yè)內(nèi)網(wǎng)聯(lián)通各個房間。大樓的出口處有一道防盜門，也就是傳統(tǒng)的防火墻或者是UTM網(wǎng)關(guān)設(shè)備。由這道門實時審視進(jìn)出企業(yè)的全部流量，這是我們通常定義的企業(yè)邊界。

但是，隨著無線技術(shù)的快速發(fā)展和大量部署，大樓的原有邊界變得越發(fā)模糊，安全邊界的概念已經(jīng)發(fā)生巨大的變化。無線信號能夠傳播到企業(yè)的物理邊界之外，讓那些認(rèn)為大樓內(nèi)部安全無憂的傳統(tǒng)理念失去了說服力。如Wi-Fi共享軟件、流氓AP、釣魚AP、用戶連接外部AP、Ad Hoc以及無線DoS攻擊等，都無時不在侵犯和挑戰(zhàn)傳統(tǒng)的安全邊界。

誤區(qū)3 強(qiáng)大的認(rèn)證與加密能夠提供全面的防護(hù)？

如果企業(yè)已經(jīng)部署了帶WPA2安全功能的Wi-Fi網(wǎng)絡(luò)，那肯定是一個不錯的開頭。WPA2可為企業(yè)的WLAN AP和客戶端提供更強(qiáng)大的密碼安全保護(hù)。但在較大規(guī)模的網(wǎng)絡(luò)部署中，確保全部設(shè)備沒有因疏忽而出現(xiàn)誤配置，不給攻擊者留下可乘之機(jī)，才是最重要的。

隨著Wi-Fi被用來承載越來越多的關(guān)鍵任務(wù)應(yīng)用，黑客和犯罪分子們也把重心轉(zhuǎn)移到了攻破Wi-Fi的安全措施上。研究人員最新發(fā)現(xiàn)，WPA-TKIP對于數(shù)據(jù)包注入攻擊是缺乏免疫力的。同樣，也已經(jīng)有報道提到，思科的WLAN控制器漏洞可以被用來“劫持”思科的LAP?？傊赪PA2的WLAN部署不可能防范所有類型的無線安全威脅。

誤區(qū)4 使用地址綁定策略，只有經(jīng)過許可的MAC地址才能連接

任何一種可用無線解決方案都可提供MAC（介質(zhì)訪問控制）地址過濾。消費級與企業(yè)級無線實施方案都擁有該選項，以便應(yīng)用一定等級的MAC地址過濾。這聽起來是一種有效的安全方法，但實際上卻并非如此。

對于黑客而言，在幾乎任意一種操作系統(tǒng)中欺騙MAC地址都出人意料的簡單。黑客可將欺騙的MAC地址用于多類攻擊，包括WEP （有線等效保密）？回放、解除認(rèn)證、解除關(guān)聯(lián)以及偽裝攻擊（設(shè)備可搭載通過客戶認(rèn)證的訪客網(wǎng)絡(luò)進(jìn)行攻擊）等。

守護(hù)安全新邊界

對于企業(yè)部署Wi-Fi帶來的無線應(yīng)用安全隱患，一些本土安全企業(yè)提出了針對性的解決方案。

終端守護(hù) 智能設(shè)備分類和安全的BYOD策略執(zhí)行

東軟無線安全解決方案中的NetEye WIPS模塊，能夠自動分析嘗試接入公司網(wǎng)絡(luò)的智能手機(jī)和平板電腦的類型（安卓、黑莓、iPhone、iPad、Windows Mobile等），并根據(jù)策略劃分準(zhǔn)入及拒絕接入的類別。同時，通過提供的API，可以輕松地與幾乎所有移動設(shè)備管理系統(tǒng)（MDM）進(jìn)行整合。

頻段守護(hù) 無線威脅防御

大多數(shù)的無線入侵檢測/防御系統(tǒng)，常常會不正確地擾亂自己或者鄰近的Wi-Fi網(wǎng)絡(luò)。東軟無線安全解決方案能夠正確區(qū)分威脅是否來自鄰近的無線Wi-Fi設(shè)備，有效防范濫用Wi-Fi或違反企業(yè)安全策略的威脅。同時，能夠智能判斷各種類型的無線網(wǎng)絡(luò)威脅，并在2.4 GHz和？5 GHz頻段的多種渠道上，同時阻止多種安全威脅。

策略守護(hù) 針對無線網(wǎng)絡(luò)準(zhǔn)入的控制手段

無線網(wǎng)絡(luò)準(zhǔn)入控制的目的就在于基于策略控制對無線網(wǎng)絡(luò)的接入，它包括預(yù)準(zhǔn)入端點安全策略檢查（以確定誰可以接入網(wǎng)絡(luò)）。另外，無線網(wǎng)絡(luò)準(zhǔn)入控制解決方案還包括某些主機(jī)檢查（如在主機(jī)上運行的操作系統(tǒng)和服務(wù)等），可防范欺騙AP作為路由器或NAT的功能。

傳輸守護(hù) 多重的安全無線傳輸保障

雖然在企業(yè)的無線安全方案部署中可以通過802.11i、WPA2或者WPA加強(qiáng)傳輸?shù)陌踩?，但還是會有無法使用這些加密和身份驗證類型的情況發(fā)生。在這種情況下，VPN可以作為保護(hù)無線客戶端連接的備用解決方案。通過使用VPN，以及利用多個SSID和VLAN進(jìn)行網(wǎng)絡(luò)分段，為擁有多種不同客戶端的網(wǎng)絡(luò)提供強(qiáng)大的解決方案。IP安全（IPSec）和SSL VPN可以提供與802.11i和WPA類似的安全等級。

相關(guān)鏈接

四大Wi-Fi安全威脅

1.數(shù)據(jù)截取：目前所有支持Wi-Fi認(rèn)證的產(chǎn)品均支持AES-CCMP數(shù)據(jù)加密協(xié)議。但一些早期的產(chǎn)品僅支持TKIP，而TKIP由于存在安全漏洞，很容易被網(wǎng)絡(luò)黑客進(jìn)行信號盜取。

2.非法接入點：心存僥幸的網(wǎng)絡(luò)用戶會利用未經(jīng)授權(quán)的接入點進(jìn)行網(wǎng)絡(luò)接入，這點非常危險。一般企業(yè)都會對接入點設(shè)置進(jìn)行掃描，避免非法接入點出現(xiàn)。而個人用戶應(yīng)采取追蹤、攔截等措施去阻止非法接入點使用。

第7篇：企業(yè)網(wǎng)絡(luò)安全實施方案范文

關(guān)鍵詞:課程體系;實踐教學(xué);改革

中圖分類號:TP393-4 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-7712 (2012) 12-0189-01

計算機(jī)網(wǎng)絡(luò)是計算機(jī)技術(shù)和通信技術(shù)相結(jié)合成長起來的一個新的科學(xué)技術(shù)領(lǐng)域。當(dāng)前,我國對計算機(jī)網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)應(yīng)用與開發(fā)和網(wǎng)絡(luò)管理的人才的需求越來越大。因此,結(jié)合網(wǎng)絡(luò)專業(yè)特點和教學(xué)大綱的要求,確定了教學(xué)內(nèi)容以網(wǎng)絡(luò)模型為主線,以網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)安全為重點,同時在教學(xué)方法和手段方面不斷進(jìn)行改革,采用仿真技術(shù)構(gòu)建虛擬網(wǎng)絡(luò)實驗室,加強(qiáng)實踐教學(xué)和案例教學(xué),從而不斷提高教學(xué)水平和教學(xué)效果。

一、選擇教學(xué)內(nèi)容

由于該專業(yè)內(nèi)容多、范圍廣,從基本理論到網(wǎng)絡(luò)設(shè)備應(yīng)用,從路由器配置到網(wǎng)絡(luò)協(xié)議,從網(wǎng)絡(luò)編程到網(wǎng)絡(luò)安全防范,若不深入研究教材,不精心選擇教學(xué)內(nèi)容,很難達(dá)到較好的教學(xué)效果。該專業(yè)大綱指出:通過本專業(yè)的教學(xué),使學(xué)生對計算機(jī)網(wǎng)絡(luò)有一個清晰的認(rèn)識,掌握網(wǎng)絡(luò)的基本工作原理,熟悉網(wǎng)絡(luò)應(yīng)用與開發(fā)和網(wǎng)絡(luò)管理的操作流程,了解常見網(wǎng)絡(luò)攻擊及處理辦法。

根據(jù)對教學(xué)大綱的要求,本專業(yè)的主線,是指Internet的最基本的模型和工作原理。通過以任意網(wǎng)狀結(jié)構(gòu)連接的多個路由器進(jìn)行通信,各路由器通過逐級轉(zhuǎn)發(fā)IP 數(shù)據(jù)包實現(xiàn)在兩個結(jié)點之間的數(shù)據(jù)通信,這就是Internet 的最基本的工作原理?？梢詾榫W(wǎng)絡(luò)體系結(jié)構(gòu)、協(xié)議層次結(jié)構(gòu)、網(wǎng)絡(luò)各層協(xié)議、網(wǎng)絡(luò)互聯(lián)等分散的知識點在主線上找到附著點,使學(xué)生能建立比較完善的計算機(jī)網(wǎng)絡(luò)知識構(gòu)架。

二、改革教學(xué)方法

傳統(tǒng)的計算機(jī)網(wǎng)絡(luò)技術(shù)授課仍以教師為中心,強(qiáng)調(diào)知識的積累和對基本概念的理解,而忽視了對學(xué)生職業(yè)技能的培養(yǎng)。因此,在教學(xué)方法上,嘗試打破傳統(tǒng)的“滿堂灌”的授課模式,采用啟發(fā)式教學(xué)、課堂討論、案例教學(xué)及項目教學(xué)等多種教學(xué)方法實現(xiàn)師生互動,增強(qiáng)了教學(xué)效果。

(一)啟發(fā)式教學(xué)

教學(xué)過程不是一個知識轉(zhuǎn)移的過程,教師傳授知識不等于學(xué)生掌握了知識,學(xué)生要通過自己的思維活動才能真正掌握知識。更重要的是教師精心組織教學(xué)過程,激發(fā)和啟迪學(xué)生的思維,采用啟發(fā)式教學(xué)方法代替?zhèn)鹘y(tǒng)的“滿堂灌”方式,可以調(diào)動學(xué)生的思維能力,開發(fā)學(xué)生的智力。例如:在講授完交換機(jī)和路由器的工作原理后,可以引導(dǎo)學(xué)生分析兩個局域網(wǎng)之間的連接是否可以用交換機(jī),兩臺主機(jī)之間的連接是否可以用路由器,以使學(xué)生充分了解交換機(jī)和路由器在網(wǎng)路連接中所起的不同作用。

(二)開展課堂討論

因為網(wǎng)絡(luò)技術(shù)專業(yè)的內(nèi)容繁多,理論性和實踐性都很強(qiáng),單純采用課堂講授的方式很難使教學(xué)效果達(dá)到預(yù)期的目的。在學(xué)生學(xué)習(xí)的過程中,教師只是一名指導(dǎo)者,并不是絕對的權(quán)威,要消除學(xué)生對教師的依賴心理,提倡師生相互促進(jìn)、教學(xué)相長。在教學(xué)中注意為學(xué)生提供發(fā)表自己見解的機(jī)會,有計劃地組織課堂討論。針對網(wǎng)絡(luò)各層的重點內(nèi)容,可以布置典型的思考題和習(xí)題,讓學(xué)生提前思考解答,然后在課堂上教師、學(xué)生共同討論。師生研討可使學(xué)生變客體為主體,這樣可以培養(yǎng)學(xué)生獨立思考的能力。

(三)進(jìn)行案例教學(xué)

案例教學(xué)是一種通過模擬或者重現(xiàn)現(xiàn)實生活中的一些場景,讓學(xué)生把自己納入案例場景,通過討論或者研討來進(jìn)行學(xué)習(xí)的一種教學(xué)方法。通過對案例的分析和研究,培養(yǎng)學(xué)生分析問題和解決問題的能力,并且在分析問題和解決問題中構(gòu)建專業(yè)知識。案例教學(xué)把生硬的理論知識和實際應(yīng)用結(jié)合起來,把抽象的內(nèi)容具體化、形象化。例如:在為學(xué)生講解網(wǎng)絡(luò)安全的過程中,可以穿插講一下“熊貓燒香病毒”是如何蔓延,亞馬遜公司為什么會發(fā)生“僵尸網(wǎng)絡(luò)”事件。通過具體案例使學(xué)生更加了解網(wǎng)絡(luò)安全的嚴(yán)峻性,從而提高學(xué)生進(jìn)一步學(xué)習(xí)網(wǎng)絡(luò)安全防范知識的積極性。

(四)進(jìn)行項目式教學(xué)

項目式教學(xué)法是通過進(jìn)行一個完整的“項目”工作來進(jìn)行的實踐教學(xué)活動的培訓(xùn)方法。這種方法起源于美國,盛行于德國。學(xué)生在收集信息、設(shè)計方案、實施方案、完成任務(wù)中學(xué)習(xí)和掌握知識,形成技能。在教學(xué)實踐中,我在上課初期給學(xué)生布置一個大作業(yè),比如讓學(xué)生利用所學(xué)知識構(gòu)建安全可靠的中小型企業(yè)網(wǎng)絡(luò),并寫出方案,然后進(jìn)行分組討論,到進(jìn)一步的組網(wǎng)實施等,加深對所學(xué)知識的掌握、理解。

三、改革教學(xué)手段

傳統(tǒng)的教學(xué)手段已不適應(yīng)網(wǎng)絡(luò)專業(yè)教學(xué),多媒體教學(xué)將各種網(wǎng)絡(luò)設(shè)備的實物照片、大量的網(wǎng)絡(luò)路由連接圖帶進(jìn)課堂教學(xué),這在一定程度上提高了學(xué)生的學(xué)習(xí)興趣,也使學(xué)生對各種網(wǎng)絡(luò)結(jié)構(gòu)留下深刻印象。但做到這些還是遠(yuǎn)遠(yuǎn)不夠的,計算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)的理論性和實踐性都很強(qiáng)的專業(yè),要使學(xué)生對網(wǎng)絡(luò)有清晰的認(rèn)識,達(dá)到教學(xué)大綱的要求就必須加強(qiáng)學(xué)生的動手操作能力,這可以通過建立虛擬實驗室和參觀校園網(wǎng)絡(luò)建設(shè)來達(dá)到目的。

(一)虛擬實驗室

目前高校建設(shè)的網(wǎng)絡(luò)實驗室通常是以交換機(jī)和路由器設(shè)備為主的工程實驗,主要以驗證和設(shè)計為主,不能使學(xué)生更好地了解網(wǎng)絡(luò)底層的工作過程及工作原理,造成理論和實踐的脫節(jié)。同時,網(wǎng)絡(luò)實驗室建設(shè)成本高,設(shè)備更新慢,無法滿足實習(xí)需要。

在現(xiàn)有的機(jī)房內(nèi)安裝網(wǎng)絡(luò)仿真軟件NS(Network Simulator)可以在一定程度上解決此問題。NS 是一個用于網(wǎng)絡(luò)研究的離散實踐仿真器,主要用于仿真各種網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)體系結(jié)構(gòu)。支持TCP 協(xié)議,包含各種單播和多播路由模型,可仿真的網(wǎng)絡(luò)類型有廣域網(wǎng)、局域網(wǎng)、移動通信網(wǎng)、衛(wèi)星通信網(wǎng)等網(wǎng)絡(luò)類型,可進(jìn)行點到點傳播路由、組播路由、網(wǎng)絡(luò)動態(tài)路由、層次路由等模擬。

(二)參觀校園網(wǎng)絡(luò)

第8篇：企業(yè)網(wǎng)絡(luò)安全實施方案范文

論文摘要：ims網(wǎng)絡(luò)在全網(wǎng)融合的背景下，作為核心網(wǎng)絡(luò)將日趨成熟，隨著ip技術(shù)在電信網(wǎng)、計算機(jī)網(wǎng)和廣電網(wǎng)的普遍應(yīng)用，通信技術(shù)進(jìn)人嶄新的發(fā)展階段。

當(dāng)前，通信技術(shù)進(jìn)人了嶄新的發(fā)展階段，由運營商的重組帶來全業(yè)務(wù)運營，固定網(wǎng)與移動網(wǎng)正逐步走向融合;隨著1p技術(shù)在電信網(wǎng)、計算機(jī)網(wǎng)和廣電網(wǎng)的普遍應(yīng)用，三網(wǎng)融合也已經(jīng)開始實踐;而通信技術(shù)與信息技術(shù)的加速融合，ict業(yè)務(wù)融合也將逐步深人并得到廣泛應(yīng)用。ims作為核心網(wǎng)絡(luò)將日趨成熟，必將在融合的大潮中發(fā)揮不可替代的作用。

1．ims應(yīng)用在全業(yè)務(wù)運首中的特點

    運營商專門組織了ip多媒體子系統(tǒng)ims網(wǎng)絡(luò)基本功能的測試，由于ims具有與接入無關(guān)性，可以實現(xiàn)不論用戶使用什么設(shè)備、在何地接人ims網(wǎng)絡(luò)，都可以使用歸屬地的業(yè)務(wù);統(tǒng)一的業(yè)務(wù)觸發(fā)機(jī)制，無論固定接人還是移動接人都可以使用ims中定義的業(yè)務(wù)觸發(fā)機(jī)制實現(xiàn)統(tǒng)一觸發(fā);統(tǒng)一的路由機(jī)制，所有和用戶相關(guān)的業(yè)務(wù)也必須經(jīng)過用戶的歸屬地;統(tǒng)一用戶數(shù)據(jù)庫，對ims中所定義的數(shù)據(jù)庫來講完全是透明數(shù)據(jù)的概念，屏蔽了固定和移動用戶在業(yè)務(wù)屬性上的差異;充分考慮了運營商實際運營的需求，在網(wǎng)絡(luò)框架、qos、安全、計費以及和其他網(wǎng)絡(luò)的互通方面都制定了相關(guān)規(guī)范?；谌玦p的ims網(wǎng)絡(luò)，既能夠充分利用移動、固網(wǎng)等多種接人方式，義能不斷提供新業(yè)務(wù)，引起了運營商的重視。首先是在移動網(wǎng)絡(luò)的應(yīng)用，這類應(yīng)用是移動運營商為了豐富移動網(wǎng)絡(luò)的業(yè)務(wù)而開展的，主要是在移動網(wǎng)絡(luò)的基礎(chǔ)上用ims來提供poc,即時消息、視頻共享等多媒體增值業(yè)務(wù)。應(yīng)用重點集中在給企業(yè)客戶提供ipcentrex和公眾客戶的voip第二線業(yè)務(wù)。其次是固定運營商出于網(wǎng)絡(luò)演進(jìn)和業(yè)務(wù)的需要，通過ims為企業(yè)用戶提供融合的企業(yè)的應(yīng)用(ipcentrex業(yè)務(wù))，以及向固定寬帶用戶(例如adsl用戶)提供voip應(yīng)用。第三種典型的應(yīng)用主要體現(xiàn)在wlan和3g的融合，以實現(xiàn)語音業(yè)務(wù)的連續(xù)性。目前，這種方案的商用較少，但是許多運營商都在進(jìn)行測試。

2 ims網(wǎng)絡(luò)在網(wǎng)，層面的功能

    在網(wǎng)管領(lǐng)域，為方便運維管理，以往設(shè)備生產(chǎn)廠家將按照網(wǎng)絡(luò)類型或網(wǎng)元類型提供操作維護(hù)網(wǎng)管。不論是在移動還是固網(wǎng)的網(wǎng)絡(luò)中，一般情況下，一種網(wǎng)絡(luò)需要配多套o(hù)mc網(wǎng)管。既浪費了資源，又增加人力成本。因為原來分屬于不同領(lǐng)域的網(wǎng)元，由不同omc或ems網(wǎng)元管理系統(tǒng)進(jìn)行網(wǎng)元管理層的管理。而在ims網(wǎng)絡(luò)中，將變?yōu)榻y(tǒng)一的omc或ems,可以由統(tǒng)一的維護(hù)人員進(jìn)行維護(hù)。這樣既從根本上改變各領(lǐng)域網(wǎng)元相互之間的隔離、互無關(guān)聯(lián)的情況。又減少了設(shè)備投人，促進(jìn)人力資源的解放，從而提高設(shè)備運行效率。其次，ims網(wǎng)絡(luò)是有機(jī)整體，具有各項統(tǒng)計和維護(hù)報表，業(yè)務(wù)支撐boss體統(tǒng)，以及更加強(qiáng)大的網(wǎng)管功能。

3 ims網(wǎng)絡(luò)在etom與itil勝合中的作用

    信息技術(shù)基礎(chǔ)設(shè)施庫itil，最初是為提高英國政府部門it服務(wù)質(zhì)量而開發(fā)的，是一個探討如何交付高質(zhì)量it服務(wù)最佳實踐的方法框架。以服務(wù)管理為核心，服務(wù)戰(zhàn)略為指導(dǎo)，itil建立起了詳盡的、面向it服務(wù)的流程框架，通過服務(wù)設(shè)計、服務(wù)轉(zhuǎn)換、服務(wù)運營，使整個過程條理化。而ims網(wǎng)絡(luò)的發(fā)展與建設(shè)，將推動電信領(lǐng)域的etom與it領(lǐng)域的itil的加速融合。由于ims類系統(tǒng)的引人，除了與傳統(tǒng)電信系統(tǒng)對接的各類網(wǎng)關(guān)外，控制面網(wǎng)元以及業(yè)務(wù)類網(wǎng)元可以采用通用服務(wù)器來實現(xiàn)。這就打破了傳統(tǒng)電信系統(tǒng)采用各個廠家封閉硬件平臺的現(xiàn)狀。硬件設(shè)備基于一個開放的平臺，可以加速etom與itil的融合進(jìn)程。而運營商必須從以往的面向設(shè)備，轉(zhuǎn)變?yōu)槊嫦蚍?wù)從后臺轉(zhuǎn)到前臺。而t1’il正是一面向服務(wù)為核心理念進(jìn)行系統(tǒng)構(gòu)建的。電信運營商與1’i’服務(wù)商在同時針對服務(wù)，這也會加速兩種理念的融合。

    在etom與itii湘互融合過程中、會取長補(bǔ)短，循序漸近的，etom針對整個電信企業(yè)建立起了業(yè)務(wù)流程框架，提出了基本的需求，i’i’i山業(yè)提供了詳盡的面向服務(wù)的流程框架。根據(jù)itii提供的方法以及it理的相關(guān)流程框，在實際的融合過程中，還要針對實際情況，制定更為嚴(yán)密的實施方案，包括系統(tǒng)的更強(qiáng)大功能的軟件開發(fā)改造。

4逐步完普的ims網(wǎng)絡(luò)安全

    ims網(wǎng)絡(luò)的全ip架構(gòu)，會使網(wǎng)元分工精細(xì)化，網(wǎng)元種類增多。完成一次用戶發(fā)起需求業(yè)務(wù)，可能會穿越多個網(wǎng)元，建立多次會話發(fā)起協(xié)議的鏈接。由于ims業(yè)務(wù)種類很多，各項業(yè)務(wù)之間交錯聯(lián)系，使得業(yè)務(wù)的管理與對接存在著相當(dāng)大的工作量。而一旦出現(xiàn)業(yè)務(wù)故障，很難一下子準(zhǔn)確地定位和排除。所以，要開發(fā)各類的應(yīng)用軟件，來解決這個問題，而這類應(yīng)用軟件的逐步開發(fā)，將促進(jìn)ims網(wǎng)絡(luò)的完善。

    而基于全ip的網(wǎng)絡(luò)，需要在網(wǎng)管安全方面給予關(guān)注。在ims網(wǎng)絡(luò)中的網(wǎng)管，安全從組網(wǎng)到操作系統(tǒng)以及數(shù)據(jù)庫、omc自身、防病毒等幾個方面考慮。

    在ims域組網(wǎng)中設(shè)置單獨網(wǎng)管域，為網(wǎng)管設(shè)置單獨的虛擬局域網(wǎng)(vlan)，采用帶外組網(wǎng)的方式，在物理上將網(wǎng)管域與設(shè)備域隔離，網(wǎng)絡(luò)間設(shè)置硬件防火墻。采用unix操作系統(tǒng)，并定期更新最新的安全補(bǔ)丁，定制最小化的系統(tǒng)運行配置，避免和減少系統(tǒng)安全問題的產(chǎn)生;同樣對omc所采用的數(shù)據(jù)庫也進(jìn)行安全補(bǔ)丁、嚴(yán)格用戶權(quán)限控制措施，記錄非法日志，降低各種安全事件的產(chǎn)生。

    多omc系統(tǒng)自身則采用加密協(xié)議進(jìn)行數(shù)據(jù)傳輸，定期自動對數(shù)據(jù)庫盡行保存。對敏感數(shù)據(jù)入用戶名、密碼進(jìn)行加密存放。采用強(qiáng)密碼認(rèn)證，工作時間設(shè)定，超時的退出服務(wù)，分級的用戶管理權(quán)限管理，定期的密碼修改等。

5 ims在未來企業(yè)網(wǎng)絡(luò)中的發(fā)展

    企業(yè)網(wǎng)絡(luò)融合是三網(wǎng)合一的基礎(chǔ)上，引人ims網(wǎng)絡(luò)系統(tǒng)的，使運營商不但可以從應(yīng)用層面對業(yè)務(wù)進(jìn)行控制，提供qos的保證并完成計費，而且避免用戶資源的流失。借助ims可以為企業(yè)實現(xiàn)電話、傳真、數(shù)據(jù)傳輸、音視頻會議、即時通信等眾多應(yīng)用服務(wù)的融合。ims還支持引人和開發(fā)新業(yè)務(wù)的開放接口，滿足企業(yè)的多種應(yīng)用需求。

第9篇：企業(yè)網(wǎng)絡(luò)安全實施方案范文

【關(guān)鍵詞】職業(yè)技能；信息安全；“1+X”證書；實訓(xùn)課程；改革探索

高職院校是我國高等教育事業(yè)一個重要的組成部分，肩負(fù)著為國家、社會、企業(yè)培養(yǎng)高素質(zhì)、高技能型的實用型人才的重任。近年來，隨著信息技術(shù)的飛速發(fā)展，信息安全問題日益突出，人們越來越意識到網(wǎng)絡(luò)安全的重要性-“沒有網(wǎng)絡(luò)安全，就沒有國家安全”。當(dāng)前，政府部門、企事業(yè)單位對信息安全人才求賢若渴，信息安全人才缺口很大。截止到2021年，我國高職院超過2000所，高職院校作為一支人才培養(yǎng)的生力軍，在培養(yǎng)實用型信息安全人才方面大有用武之地。目前，我國信息安全人才年培養(yǎng)規(guī)模在3萬人左右，而信息安全人才總需求則超過70萬人，缺口高達(dá)95%。在這一背景下，我國高校紛紛開設(shè)信息安全專業(yè)，加在信息安全專業(yè)人才培養(yǎng)力度。據(jù)統(tǒng)計，2016-2019年，我國共有45所高校新增信息安全專業(yè)，其中2016年新增的有11所，2017年新增15所，2018年新增11所，2019年新增8所。雖然當(dāng)前信息安全專業(yè)成了熱門專業(yè)，各高校也如火如荼開設(shè)相關(guān)專業(yè)，擴(kuò)大招生規(guī)模，但如何保障人才培養(yǎng)質(zhì)量，加強(qiáng)學(xué)生信息安全實戰(zhàn)能力，無縫對接相關(guān)企業(yè)的崗位技能要求，才是提升信息安全專業(yè)人才培養(yǎng)內(nèi)涵水平的關(guān)鍵。為有效銜接學(xué)校教育與職業(yè)崗位要求，教育部于2019年推出了“1+X”證書制度：要求在高職院校學(xué)生除了獲取1個學(xué)歷證書外，鼓勵學(xué)生自主選擇若干個職業(yè)技能證書，以增強(qiáng)學(xué)生在擇業(yè)、就業(yè)方面的競爭力。對于信息安全專業(yè)人才培養(yǎng)而言，無論是“1+X”證書，還是學(xué)校綜合實訓(xùn)課程，都是提升其工作實踐能力，提升學(xué)生理論聯(lián)系實際、解決具體問題的能力。

一、當(dāng)前高職信息安全專業(yè)實訓(xùn)課程設(shè)計與教學(xué)現(xiàn)狀分析

雖然目前我國眾多院校都積極開辦信息安全專業(yè)，但實職業(yè)技能等級認(rèn)證視域下高職信息安全專業(yè)實訓(xùn)課程體系構(gòu)建研究文|余姜德冷令梁本來【摘要】針對高職院校信息安全專業(yè)實訓(xùn)課程設(shè)置及實施過程中普遍存在的問題，如：未有效對接職業(yè)崗位要求；課程內(nèi)容陳舊、碎片化現(xiàn)象嚴(yán)重；實驗設(shè)計驗證性有余，而創(chuàng)新性不足；實訓(xùn)室建設(shè)受客觀條件限制，難以滿足教學(xué)要求等一系列問題，分析信息安全人才培養(yǎng)能力目標(biāo)，結(jié)合教育部“1+X”證書具體要求，提出了“找準(zhǔn)專業(yè)特色定位，精心選擇職業(yè)技能等級證書；合理規(guī)劃實訓(xùn)內(nèi)容，突出實踐項目創(chuàng)新，虛實平臺有效結(jié)合”的課程體系構(gòu)建策略，并積極實踐探索，為培養(yǎng)實用型和創(chuàng)新型的信息安全技術(shù)人才打下堅實基礎(chǔ)。

（一）學(xué)校定位不明確，課程特色不鮮明

當(dāng)前，我國所高?？梢苑殖啥箢悾阂活愂瞧胀ū究圃盒?，包括綜合型、研教型和教學(xué)型等不同類型高等學(xué)府，這其中既有“雙一流”、985、211等知名高校，也有普通地方本科高校，比如我們通常所說的“一本”、“二本”等；另一類是高等職業(yè)教育院校，包括高等職業(yè)?？坪透叩嚷殬I(yè)本科兩個層次，其中高等職業(yè)本科，往往又被稱為應(yīng)用型本科學(xué)校。隨著國家人口結(jié)構(gòu)的經(jīng)濟(jì)發(fā)展內(nèi)涵式調(diào)整，社會對于高等職業(yè)院校有了全新的認(rèn)識，高職院校越來越受到人們的重視，高等職業(yè)教育迎來了重大的發(fā)展機(jī)遇期。無論是本科院校，還是高職院校，一所學(xué)校的人才培養(yǎng)目標(biāo)是與其在社會和教育系統(tǒng)內(nèi)所處的層次和地位緊密相關(guān)的，不同類型和層次的學(xué)校，對于人才的培養(yǎng)目標(biāo)應(yīng)該是不同的。本科院校，其人才的培養(yǎng)目標(biāo)主要以研究型、創(chuàng)新型和技術(shù)型人才為主，通過基礎(chǔ)理論研究、先進(jìn)系統(tǒng)開發(fā)和技術(shù)革新促進(jìn)社會的整體科技進(jìn)步，強(qiáng)調(diào)人才的基礎(chǔ)理論扎實牢固、知識體系的全面完整；而高職院校，其人才的培養(yǎng)目標(biāo)主要以實戰(zhàn)型、應(yīng)用型和工程型人才為主，不要求基礎(chǔ)理論寬泛深厚，但一定要在某一領(lǐng)域的應(yīng)用上比較精通；人才大部分從事于工程項目實踐中，要求實踐動手能力突出，膽大心細(xì)，而且具有“工匠精神”，通過技術(shù)應(yīng)用實踐，把科技創(chuàng)新從紙面理論變成實際產(chǎn)品或者實際場景。具體到信息安全人才的培養(yǎng)，本科院校主要培養(yǎng)信息安全研究開發(fā)人才，而高職院主要培養(yǎng)信息安全實踐應(yīng)用人才。但目前的現(xiàn)實情況是，高職院校大都有意無意模糊自身的“高職”定位，甚至千方百計尋求擺脫職業(yè)教育身份，而往“本科院?！狈较蜣D(zhuǎn)變，從而制定不切實際的人才培養(yǎng)目標(biāo)，其根本原因就在于自身層次定位和人才培養(yǎng)目標(biāo)的定位都出現(xiàn)偏差。其次，無論是本科院校還是高職院校，其培養(yǎng)的人才，最終都需要走向就業(yè)市場。人才需要通過在工作崗位上的職業(yè)能力表現(xiàn)來得到企業(yè)和社會的認(rèn)可。而人才的就業(yè)，往往會采取“就近原則”，即學(xué)生會一般會優(yōu)先選擇當(dāng)?shù)氐钠髽I(yè)去就業(yè)，避免“背井離鄉(xiāng)”式的四處奔波。因此學(xué)校開辦的專業(yè)應(yīng)該立足于服務(wù)當(dāng)?shù)仄髽I(yè)、當(dāng)?shù)亟?jīng)濟(jì)和當(dāng)?shù)禺a(chǎn)業(yè)，所培養(yǎng)的人才要達(dá)到當(dāng)?shù)赜萌似髽I(yè)和單位的職業(yè)技能要求，要盡可能被當(dāng)?shù)仄髽I(yè)所吸收。從這種意義上來說，不同經(jīng)濟(jì)發(fā)展區(qū)域的信息安全專業(yè)人才培養(yǎng)方案的設(shè)計應(yīng)和課程體系應(yīng)具有不同的地方特色：比如珠三角、長三角的高職院校信息安全專業(yè)和中西部經(jīng)濟(jì)欠發(fā)達(dá)地區(qū)高職院校的信息安全專業(yè)在專業(yè)特色上應(yīng)該有明顯的差異。很遺憾，現(xiàn)實情況是，在專業(yè)設(shè)置和課程設(shè)計上，各個高校普通喜歡“追熱點”，“大跟風(fēng)”：什么專業(yè)熱門，就上什么專業(yè)；什么課程熱門，就開什么課程。甚至在人才培養(yǎng)目標(biāo)定位上，普通本科院校照抄照搬綜合性、科研性大學(xué)；高職大專院校跟風(fēng)模仿應(yīng)用型本科院?；蚵殬I(yè)技術(shù)大學(xué)，這顯然是不科學(xué)和不正確的。

（二）實訓(xùn)內(nèi)容呈碎片化、同質(zhì)化特征

信息安全是一門綜合性的學(xué)科，所涉及的知識體系龐雜，涵蓋范圍非常廣泛，有計算機(jī)科學(xué)與技術(shù)、通信工程、數(shù)學(xué)、密碼學(xué)、電子工程等諸多學(xué)科的內(nèi)容[3]。但當(dāng)前信息安全人才培養(yǎng)過程中，所構(gòu)建的實訓(xùn)課程體系，往往貪多求全，各知識點之間缺乏內(nèi)在邏輯聯(lián)系和層次遞進(jìn)關(guān)系，實訓(xùn)知識體系結(jié)構(gòu)呈現(xiàn)“碎片化”的形態(tài)。知識“碎片化”的低效性在于，學(xué)生學(xué)習(xí)得到的大部分東西都是零碎的、分散的、雜亂的，很多時候只是停留在知道、了解的層面，并沒有與原來的知識體系產(chǎn)生深層的聯(lián)系。沒有深層次的理解，自然沒有辦法靈活地運用，更沒有辦法轉(zhuǎn)化為個人能力和技能。另一方面，由于各學(xué)校之間盲目借鑒或?qū)嵱?xùn)室承建廠商有意無意地“互相抄襲”，實訓(xùn)課程內(nèi)容“同質(zhì)化”現(xiàn)象嚴(yán)重。實訓(xùn)內(nèi)容“同質(zhì)化”一個最顯著的特征就是實質(zhì)內(nèi)容重復(fù)，缺乏獨創(chuàng)性和開拓性內(nèi)容。信息安全專業(yè)實訓(xùn)課程內(nèi)容同質(zhì)化，導(dǎo)致很多高校信息安全專業(yè)的差異化人才培養(yǎng)成為空談，實際上，信息安全專業(yè)人才更應(yīng)該是“不拘一格降人才”。

（三）實訓(xùn)內(nèi)容陳舊，實訓(xùn)過程淪為結(jié)果驗證，缺乏深度思考

信息安全實驗的設(shè)計，既需要一定的理論知識，也需要動手實際操作，因此具有一定的復(fù)雜性，難度相對較高。我們調(diào)研了很多學(xué)校的網(wǎng)絡(luò)攻防實訓(xùn)室，對于復(fù)雜的實驗，其實訓(xùn)平臺上的內(nèi)容安排一般都是列出詳細(xì)地操作步驟，末尾配上最終的實驗結(jié)果。只需按照實驗指示步驟一步一步進(jìn)行操作，實訓(xùn)結(jié)束，看最后結(jié)果與實驗指導(dǎo)書的結(jié)果是否一致即可。這樣的結(jié)果是實訓(xùn)過程淪為為實驗指導(dǎo)書的結(jié)果驗證，缺乏深度思考的引導(dǎo)。我們以“MAC地址泛洪攻擊”為例，它是一個經(jīng)典網(wǎng)絡(luò)安全實訓(xùn)示例，大多數(shù)的實訓(xùn)設(shè)計是這樣的：1.闡明攻擊原理；2.給出實驗環(huán)境搭建說明，而且在實際教學(xué)過程中實驗環(huán)境已經(jīng)在教學(xué)平臺上搭建好；3.詳細(xì)列出攻擊步驟，每一步都完整給出實驗截圖；4.寫出實驗總結(jié)。這樣一整個實驗學(xué)生做下來，除了驗讓自己每一步操作與實驗指導(dǎo)書上有什么不同外，很少有其他收獲。我們其實更應(yīng)該進(jìn)行深度思考和拓展：1.“MAC地址泛洪攻擊”一般在什么情形下發(fā)生?2.用軟件方法和硬件方法，如何防洪這類攻擊？3.抓包和解碼后具體分析作用在哪里，如何應(yīng)用到實戰(zhàn)中？可以通過啟發(fā)式的訓(xùn)練，加強(qiáng)學(xué)生具體運用知識和實踐創(chuàng)新能力的提升。

（四）實訓(xùn)課時與資源受限，難以滿足實際需求

大多數(shù)學(xué)校實訓(xùn)室建設(shè)經(jīng)費緊張，實訓(xùn)經(jīng)費申請批復(fù)繁難。而信息安全知識迭代更新較快，平均二年左右就出現(xiàn)新的技術(shù)熱點，而信息安全實訓(xùn)室申報、建成和使用周期一般都在五年以上，想要不斷投入建設(shè)資金更新?lián)Q代非常困難。而且從信息安全實訓(xùn)室建設(shè)軟硬件來看，無論是網(wǎng)絡(luò)安全硬件設(shè)備，諸如防火墻、IDS、各類型服務(wù)器，還是攻防綜合演練系統(tǒng)，價格都比較昂貴，更新或升級代價很大，因此，信息安全實訓(xùn)資源庫的完善成為制約人才培養(yǎng)的一個瓶頸。（五）實訓(xùn)內(nèi)容與職業(yè)崗位脫鉤，缺乏實用性許多高職院校在設(shè)計信息安全技術(shù)應(yīng)用實訓(xùn)課程內(nèi)容時，往往沒有充分調(diào)研職業(yè)崗位要求，盲目以課程或者教材中設(shè)計的知識點來設(shè)計實訓(xùn)大綱。這樣做的結(jié)果是實訓(xùn)內(nèi)容與職業(yè)崗位脫鉤，缺乏實用性，陷入“紙上談兵”的窘境。企業(yè)崗位技能需求是客觀真實的，是市場提出的要求，是應(yīng)該放在第一位，而且信息安全技術(shù)發(fā)展非常迅速，日新月異，實際工作中的信息安全技能點要求也是最新的，它往往比已經(jīng)固化定型的實訓(xùn)內(nèi)容要真實，實戰(zhàn)性更強(qiáng)。面對存在的諸多問題，需要理清思路，結(jié)合當(dāng)前國家在職業(yè)教育方面大力推行的“1+X”證書制度，找到解決問題的方案。

二、職業(yè)資格認(rèn)證視域下實訓(xùn)課程體系構(gòu)建與革新

2019年1月國務(wù)院印發(fā)了《國家職業(yè)教育改革實施方案》。把學(xué)歷證書與職業(yè)資格技能等級證書結(jié)合起來,探索實施“1+X”證書制度。2019年《政府工作報告》進(jìn)一步指出,“要加快學(xué)歷證書與職業(yè)技能等級證書的互通銜接”[4]。簡單來說，“1+X”中的“1”為學(xué)歷證書，“X”為若干職業(yè)技能證書。學(xué)歷證書全面反映學(xué)校教育的人才培養(yǎng)質(zhì)量,在國家人力資源開發(fā)中起著不可或缺的基礎(chǔ)性作用。職業(yè)技能等級證書是畢業(yè)生、社會成員職業(yè)技能水平的憑證,反映職業(yè)活動和個人職業(yè)生涯發(fā)展所需要的綜合能力。“1+X”職業(yè)資格認(rèn)證改革的主要目的就是鼓勵職業(yè)院校學(xué)生在獲得學(xué)歷證書的同時，積極取得多類職業(yè)技能等級證書，拓展就業(yè)創(chuàng)業(yè)本領(lǐng)，緩解結(jié)構(gòu)性就業(yè)矛盾。

（一）找準(zhǔn)專業(yè)特色定位，明確職業(yè)崗位

構(gòu)建科學(xué)的信息安全專業(yè)實踐課程體系，首先需要找準(zhǔn)專業(yè)特色定位。高職院校信息安全技術(shù)應(yīng)用專業(yè)，其專業(yè)特色定位關(guān)鍵因素在于學(xué)校層次、當(dāng)?shù)亟?jīng)濟(jì)和產(chǎn)業(yè)需求、職業(yè)崗位技能要求、課程要求和信息安全技術(shù)特色等。高職院校培養(yǎng)信息安全技術(shù)應(yīng)用專業(yè)適用人才的正確思路是：在依據(jù)學(xué)校類型確定人才培養(yǎng)目標(biāo)基礎(chǔ)上，考慮當(dāng)?shù)匦畔踩a(chǎn)業(yè)鏈的發(fā)展情況，對接區(qū)域經(jīng)濟(jì)和產(chǎn)業(yè)發(fā)展，凸顯行業(yè)特色、專業(yè)特色、課程特色、技術(shù)特色培養(yǎng)當(dāng)?shù)亟?jīng)濟(jì)發(fā)展需要的專業(yè)人才[4]。我們以中山職業(yè)技術(shù)學(xué)院信息安全技術(shù)應(yīng)用專業(yè)為例，當(dāng)?shù)氐男畔踩髽I(yè)不多，知名企業(yè)主要有深信服（中山）、廣東網(wǎng)安科技、廣東凌臣等幾家企業(yè)，但中山周邊的城市，像廣州、深圳的信息安全企業(yè)就很多，因此我校信息安全技術(shù)應(yīng)用專業(yè)特色定位是：依托大灣區(qū)信息安全產(chǎn)業(yè)，培養(yǎng)立足于中山，面向廣州、深圳一線城市的高技能型信息安全服務(wù)人才，主要崗位包括：信息安全/安全運維工程師、滲透測試工程師、等級保護(hù)測評工程師、安全服務(wù)工程師、系統(tǒng)工程師、技術(shù)支持工程師等[5]。

（二）精心選擇職業(yè)技能等級證書，合理規(guī)劃實踐教學(xué)內(nèi)容

當(dāng)前職業(yè)技術(shù)等級證書有很多種，如何去確定最適合自己學(xué)校和專業(yè)的證書呢？主要考慮因素有以下三點[6]：1.證書含金量較高，具有權(quán)威性，社會認(rèn)可度高；2.證書考核難度適宜，適合學(xué)生學(xué)情基礎(chǔ)；3.證書與專業(yè)結(jié)合緊密，相輔相成。以中山職業(yè)技術(shù)學(xué)院信息安全技術(shù)應(yīng)用專業(yè)為例，我們選擇了上海海盾網(wǎng)絡(luò)安全中心的“企業(yè)網(wǎng)絡(luò)安全防護(hù)職業(yè)技能等級證書（中級）”。該證書是教育部第三批認(rèn)可的職業(yè)資格證書，社會認(rèn)可度比較高，可以作為企業(yè)網(wǎng)絡(luò)安全從業(yè)人員的崗位認(rèn)證，同時與人才培養(yǎng)方案中的基礎(chǔ)專業(yè)課程有良好的承接關(guān)系。所以我們選擇了該證書。確定好職業(yè)技能證書之后，我們需要將證書中的崗位技能需求與實踐課程對應(yīng)起來，并對原有的人才培養(yǎng)方案課程體系進(jìn)行重新構(gòu)建。

（三）優(yōu)化設(shè)計實踐項目案例，突出實踐教學(xué)項目創(chuàng)新

確定好信息安全技術(shù)應(yīng)用專業(yè)綜合實訓(xùn)整體框架后，就需要設(shè)計優(yōu)化實踐項目。在建設(shè)實訓(xùn)室時，建設(shè)單位一般會提供整套的實踐案例，但這些案例大都是“驗證型”的項目，不需要思考就能到最終的結(jié)果，這樣的實驗案例對于鍛煉學(xué)生的創(chuàng)新思維沒有多大的幫助。針對這一現(xiàn)狀，一線任課教師往往要積極參與到實訓(xùn)室建設(shè)過程中，與建設(shè)單位討論、優(yōu)化實訓(xùn)項目案例，增加工程實際項目，在實驗過程中，加入“應(yīng)用情境延伸”、“項目拓展”、“創(chuàng)新思考”等思考型環(huán)節(jié)。而且，實訓(xùn)系統(tǒng)往往都有二次開發(fā)接口，學(xué)校要充分利用好這個接口，將教師的科研、工程項目轉(zhuǎn)化成實踐案例，真正把二次開發(fā)落到實處。我們設(shè)計的主要綜合實踐項目案例如下表1所示

（四）虛擬實訓(xùn)平臺有效結(jié)合，破解實訓(xùn)資源限制瓶頸

由于招生規(guī)模的不斷擴(kuò)大，建起來沒有多久的實訓(xùn)室往往會出現(xiàn)不夠用的情形。為了破解實訓(xùn)資源有限的瓶頸，我們需要積極利用虛擬網(wǎng)絡(luò)安全實訓(xùn)平臺。我們專業(yè)目前使用深信服信息安全實訓(xùn)室，能滿足一個班50人的實訓(xùn)要求，但我們有兩個班需要同時在線實驗，為此，我們借助了虛擬網(wǎng)絡(luò)安全實訓(xùn)平臺：使用“合天網(wǎng)安實訓(xùn)室”虛擬平臺作為物理實訓(xùn)室的必要補(bǔ)充，購買了100個賬號，5年的資源使用權(quán)限，這樣我們實際上可以完成三個班的實訓(xùn)教學(xué)要求。

三、結(jié)束語

我校信息安全技術(shù)應(yīng)用專業(yè)選擇上海海盾“企業(yè)網(wǎng)絡(luò)安全防護(hù)職業(yè)技能等級（中級）”證書作為職業(yè)資格證書，結(jié)合人才培養(yǎng)目標(biāo)，對接職業(yè)崗位技能要求，重構(gòu)了本專業(yè)實踐課程體系，并依此申請建設(shè)了“深信服信息安全實訓(xùn)室”，同時使用了“合天網(wǎng)絡(luò)安全實訓(xùn)室”虛擬平臺作為補(bǔ)充，經(jīng)過兩年的使用實踐，不僅滿足了學(xué)生實訓(xùn)要求，培養(yǎng)了更多實踐能力強(qiáng)的人才；也給教師的科研實踐提供了有利條件，得到師生的廣泛認(rèn)可，取得很好的效果。

參考文獻(xiàn)

[1]翁健，魏林鋒，張悅.網(wǎng)絡(luò)空間安全人才培養(yǎng)探討[J].網(wǎng)絡(luò)與信息安全學(xué)報，2019（03）：45-46.

[2]劉何秀,邵長臣,穆建平,陳騰.開發(fā)數(shù)據(jù)采集職業(yè)技能等級標(biāo)準(zhǔn)的必要性研究[J].信息技術(shù)與信息化.2020,(06)：37-40.

[3]劉楊,王佰玲.面向網(wǎng)絡(luò)空間安全新工科的密碼學(xué)教學(xué)研究[J].高教學(xué)刊,2018(12):13-15.

[4]陳麗婷,李壽冰.1+X證書制度實施的意義與現(xiàn)實問題分析[J].職業(yè)技術(shù)教育2020,(27).13-18.

[5]余姜德.高職信息安全專業(yè)實訓(xùn)課程與實訓(xùn)平臺構(gòu)建探索[J].廣東職業(yè)技術(shù)教育與研究，2018（4）：162-163.