公司網絡安全需求范文

導語：如何才能寫好一篇公司網絡安全需求，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

互聯網絡深入到生產生活的各方面，改變了傳統的生產模式，對促進生產力的提高發揮著重要的作用；中石化也正是看到了這一點，在近幾年加快了信息化建設的步伐。網絡也在不斷調整和優化，幾乎每個加油站網點都被納入公司局域網之內；而且陸續投入使用了ERP系統、V20系統、視頻監控系統、加油卡系統等。這些系統的推廣和使用對提高中國石化的生產、經營和管理水平發揮了很大的作用。隨著中石化信息化不斷深入，網絡安全已成為維持日常經營活動正常開展的前提。中石化網絡信息安全管理架構的形成，既是企業業務需求形成的結果，也是網絡安全領域向全方位、縱深化、專業化方向發展的結果，無論從經濟效益還是社會影響考慮，我們都應該重視我們企業的網絡安全管理及系統建設情況。

1 網絡安全的含義及特征

1.1 網絡安全定義

網絡安全指的是：為保證網絡正常平穩的運行，而采取使其免受各種侵害的保護措施。

1.2 網絡安全特征

1）完整性：指信息不能在未得到授權的情況下擅自修改，不能被破壞、信息確保完整和及時傳送，確保承載企業信息的網絡系統完整性和有效性；

2）機密性：指網絡能夠阻止未經授權的用戶讀取保密信息，能夠保證為授權使用者正常的使用，并能防止非授權用戶的使用，而且有防范黑客，病毒等；

3）可用性：要保證系統時刻能正常運行，確保各種業務的順利開展。

2 企業網絡安全的需求

企業對信息網絡安全方面的需求主要包含：

1）實現網絡安全首先要保證機房能為各種核心設備提供符合標準的運行環境，要有門禁系統、防火、防雷、防靜電、防潮、防鼠防蟲等設備，有冗余供電線路和后備電源甚至發電系統，有空調設備保證機房恒溫，每天定時巡檢，及時發現問題及時解決。

宿遷分公司機房于2009年底進行改造，改造后較改造前有較大改觀；但還存在一些問題，比如UPS電池組使用超過期限，防潮防鼠防蟲不到位，沒有冗余供電線路和發電設備等等；但這些問題相對于泗陽、泗洪、沭陽、黑魚汪油庫、南關蕩油庫來講就不是問題了，因為這三縣兩庫根本就沒有機房，網絡設備隨意堆放，沒有任何防護措施，人員可以隨意出入，網絡布線雜亂無章。不過省信息處已經意識到此問題，準備在兩個油庫建立標準化機房，希望盡快改造，早日消除風險。

2）要實現網絡安全首先要實現承載公司各種業務系統的操作系統的安全，這有許多工作要做，比如：及時升級系統補丁堵住漏洞，關閉不必要的端口，配置系統安全策略，有選擇性限制用戶對系統的使用權限等；這些一系列復雜的操作，要按期望的結果執行，則必須制定一定的規范，將所有需要執行的步驟程序化，這樣可以規范一線信息人員的操作行為，減少誤操作的可能性，為網絡安全奠定堅實的基礎。

3）公司關鍵業務數據必須按照內控要求及時備份，并定期對備份介質進行可讀性檢查；公司移動辦公用戶接入內網辦公時，數據需要加密傳輸；保證業務系統正常運行，即使在業務中斷情況下也能迅速恢復。

省公司在保證數據安全性方面并沒有統一的解決方案，這對一個企業來講是非常危險的，數據的價值對企業的重要性是不言而喻的，因此我們不僅要制定有效的數據丟失防范策略，而且還要有相應的設備的支持。

4）公司關鍵網絡設備應該有冗余線路和冗余設備，以便在網絡中斷或設備停止工作時能自動切換，保證系統平穩運行；但我們還是冷備，斷網時需要手動切換，存在單點故障，需要改進。

5）加強對系統操作人員的培訓，通過培訓加深相關人員對業務系統的理解和認識，從而可以減少誤操作可能性，最大程度減少內部原因引起的各種不穩定因素。對安全性要求較高的場合，采用數字證書等認證方式，代替傳統的不安全的用戶名口令授權模式。對業務系統和內部網絡進行嚴格監控，防止異常情況的發生，并在發現異常時能及時采取相應措施。

3 企業網絡安全現狀及主要威脅

3.1 來自企業內部的威脅

在所有對網絡安全造成威脅的事件中，來自企業內部的占絕大多數。據統計，來自企業外部的威脅只有不到1/4，而3/4以上的網絡安全威脅事件來自企業內部。且這些來自于企業內部的網絡安全事件中，源自企業內部制度不健全、安全意識較差等自身管理問題占3/5；企業內部未經授權的訪問所造成的威脅占1/5；剩下的1/5則是由于設備老化或者相關人員操作失誤而導致。

由此可知，源于企業內部的安全威脅所占比重最大，所以對企業內部采取必要的安全措施是非常必要的。內部員工了解公司網絡結構、數據存放方式和地點、甚至掌握業務系統的密碼。因此從內部攻擊是最難預測和防范的。另一方面商業競爭可導致更多的惡意攻擊事件的發生。特別是個別員工安全意識不高，有意或無意泄露企業商業機密、甚至為了謀取個人利益將其出售給競爭對手，最終給企業造成重大損失。

防范來自公司內部的威脅可以部署上網行為管理設備，它可以監控、規范并且記錄用戶的上網行為；根據不同的崗位設置不同的安全防護等級；甚至還可以防范DDOS、ARP攻擊等行為。因此我們認為要提高公司網絡安全和管理水平，很有必要部署此設備。

3.2 來自企業自身發展水平的威脅

首先，由于公司用車不便、信息人員較少等多方面的原因，我公司信息安全問題一直有較多隱患。出現問題有時無法及時排除，特別是省公司卡管系統最近問題極多，這不僅影響經營也影響公司在客戶心目中的形象。

其次，公司加油站OA電腦配置水平較低，而且運行較多業務軟件，如：OA系統、液位儀、視頻監控、桌面安全、Norton網絡版客戶端等，電腦運行不暢，經常發生停頓無響應甚至死機情況，這樣不僅無法防病毒，而且會影響業務，只會有反作用，而且絕大部分加油站OA電腦使用時間超過4年，已不適應業務發展的需求，建議升級。

第三，公司加油站及油庫都已經安裝視頻監控系統，但沒有相應的規章制度來合理使用此系統，因此無法起到對經營及網絡安全的提升和促進作用。

3.3 來自網絡黑客破壞和病毒的威脅

在互聯網高速發展的今天，相應的攻擊技術和黑客工具傳播很快，相關工具使用起來也變得非常容易；因此導致攻擊事件層出不窮。這些行為的出現還有較深層次的原因：首先是商業競爭導致的企業間為了各自利益而不顧道德和法律的約束，擅自雇傭黑客攻擊競爭對手以便獲取對方信息然后制定相應策略打壓對方；其次，越來越多的年輕人掩飾不住好奇心紛紛加入黑客隊伍，他們以設計黑客程序，攻破預期目標為樂，以此炫耀自己的技術水平。

如今病毒和惡意代碼的傳播和感染能力比前幾年有了很大的提升，因此造成的損失也呈幾何級數增長。隨著我們網絡的發展和應用的深入，網絡上存儲大量的重要信息，甚至包括核心信息。一旦遭到破壞，輕者影響業務增加維護成本；重者造成信息泄露，業務中斷，企業無法正常經營。我們就曾經遭受過沖擊波、震蕩波、ARP病毒的攻擊，導致系統莫名重啟，無法聯網的情況；現在操作系統的漏洞層出不窮，我們應該防范于未然，充分利用現有的桌面安全管理系統和Norton防病毒系統，將問題消滅在萌芽狀態。

4 加強與完善企業網絡安全管理的對策與建議

4.1 建立網絡功能管理平臺

現在的網絡系統日益龐大，網絡安全應用中也有很多成熟的技術可借鑒和使用，如防火墻、入侵檢測、防病毒軟件等；但這些系統往往都是獨立工作，處于“各自為政”的狀態，要保證網絡安全以及網絡資源能夠充分被利用，需要為其提供一個經濟安全、可靠高效、方便易用、性能優良、功能完善、易于擴展、易于升級維護的網絡管理平臺來管理這些網絡安全設備。中石化江蘇分公司在2004年嘗試使用過HPOpen View網絡管理系統，它的強大的網絡管理功能和跨平臺性是非常獨到的，它不僅功能強大、使用簡單，而且很適合宿遷分公司的復雜網絡環境。

4.2 建立企業身份認證系統

傳統的口令認證方式雖然方便，但是由于其易受到竊聽、重放攻擊等的安全缺陷，因此這種方式已無法滿足當前復雜網絡環境下的安全認證需求。所以企業應盡量采用PKI的USB Key技術體系的身份認證。

中石化已經在2008年開始陸續在下屬分支公司的資金集中管理系統及OA簽章系統使用基于PKI的USB Key的認證系統；并且在2010年終止多用戶使用一個VPN賬號的粗放且不安全的管理方式，采用專人專號，集中申請和管理的方式，極大增強了安全性和保密性；這些安全的認證體系在提供身份認證的功能時，為企業的敏感通信和交易提供了一套信息安全保障，通過一定的層次關系和邏輯聯系，構建了用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統構成的綜合性安全技術體系，確保企業信息資源的訪問得到正式的授權，驗證資源訪問者的合法身份，從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求，將企業網絡運行風險進一步細化，盡可能地減輕由于網絡安全管理風險給可能給企業造成的形象與經濟損失。

4.3 應用防病毒技術， 建立全面網絡防病毒體系

計算機網絡應用技術已經覆蓋企業生產經營方方面，各種信息設備在企業中扮演著重要的角色，因此保證它們安全穩定運行的要求變得很迫切。

江蘇石油分公司為了防止受到來自于多方面的威脅，特別是病毒的威脅。最大程度降低因病毒所造成的經濟損失，從2004年開始部署并在2009年升級了Norton網絡版防病毒系統，并采用多層的病毒防衛體系，在每臺PC機上安裝反病毒軟件，在網關上安裝基于網關的反病毒軟件，在服務器上安裝基于服務器的反病毒軟件。另外我們宿遷分公司也充分利用防火墻技術，在網絡入口處檢查網絡通訊，根據企業設定的安全規則，在保護自身網絡安全的前提下，保障內外網絡通訊的暢通無阻。我們在網絡出口處安裝防火墻后，所有來自外部網絡的訪問請求都必須通過防火墻的檢查，內部與外部網絡的信息得到了有效的隔離，使得宿遷分公司網絡安全有了很大的提高；但由于投入使用的防火墻擴展性有限，隨著業務的擴展，它已經較難適應現在的業務需求，需要更換，否則會是一個較大的隱患。

4.4 建立完善的數據備份與恢復體系

保證網絡安全的前提是保證業務系統數據的安全，我們根據公司的業務特點和網絡現狀，建立了基于Linux的數據備份系統，既能保證公司業務系統數據（如：財務數據、FTP數據和瑞通換票系統數據等）和關鍵用戶數據能及時自動同步到專用服務器上，又能在系統恢復后把數據自動同步回來。此系統客戶端支持Windows、Linux。Mac，因此兼容性好，應用前景廣。此系統有專人管理并定期刻錄轉存備份的數據，定期對轉存的數據做可讀性測試并做好記錄，有力保證了數據和網絡的安全，在使用中起到了良好的效果，公司應該盡快在全省推廣此應用，讓數據丟失的悲劇永遠不要再發生。

4.5 健全安全管理制度和規范管理人員

要保證計算機網絡的安全性，首先管理工作必須到位；因為網絡管理也是計算機網絡安全重要組成部分。通過制定相應的規范并有配套制度能保證規范執行到位，這是維持信息化企業經營活動正常開展的前提。分公司信息站在這方面應該是執行者，引導并監督相關人員正確、規范執行。任何好的制度和措施，如果沒有很好的執行，也只能是空談；網絡安全方面也是如此，我們倡導“技術先行，管理到位” 的原則，這也正和內控制度相吻合。比如：使用門禁系統嚴格控制并記錄人員進出，機房每天定時巡檢、設備出入嚴格記錄并有負責人簽字；設備或網絡故障都有一套嚴格的響應機制和應急機制，確保及時發現，及時響應，及時處理；隨著這套機制在實踐中的逐步完善，我們的管理水平和網絡安全水平會有更大的提高。

對企業員工要強化宣傳，加強網絡安全教育和法制觀念教育，讓安全觀念和法制觀念深入人心，提高公司員工對網絡安全的認識和保護網絡安全的主動性。

4.6 重視對員工的培訓

網絡安全做的再好，如果缺少人的因素，也是沒有意義的；因此人員素質的高低對信息安全方面至關重要；提高人員素質的前提就是加強培訓，特別加強是對專業信息人員的培訓工作。目前的現狀是，公司缺乏系統的、長期的培訓計劃，無相應培訓經費，偶爾組織的培訓課程也都是走馬觀花，蜻蜓點水。信息人員每天都扮演消防員的角色，到處救火，疲于奔命，一直停留在較低層次水平。公司如果能有制定合理的人才發展規劃，讓信息人員的業務水平能有穩步提高，進而能主動發現問題，解決問題，將問題解決在萌芽狀態。而且信息人員素質的提高對業務的提升能起到推動性的作用，信息人員可以對一線員工進行培訓，提高他們對業務系統的操作能力，進而可以提升公司形象，最終形成良性發展模式。

5 結論

綜上所述，企業網絡安全領域以及網絡安全管理是一個綜合、交叉的綜合性的課題。我們在充分享用它帶來便利的同時，也應將網絡安全放在可以管理的范圍之內。企業信息化建設過程中雖然面臨眾多網絡安全威脅，但是如果通過一定的技術和管理手段，在安全的范疇內不斷探索和嘗試，并在實踐工作中學習和掌握新的網絡安全與管理知識，我們完全可以構建一個安全可靠的網絡環境，從而為企業的快速發展提供高效的服務。

參考文獻

[1]李立旭.淺析計算機網絡安全及防范[J].企業科技信息，2009(12).

[2]李明之.網絡安全與數據完整性指南[M].機械工業出版社，2009，10.

[3]胡道元.計算機局域網[M].北京：清華大學出版社，2008，7.

篇2

安全漏洞和數字工具時不時的就會登上報紙的頭版頭條，而更加殘酷的現實是：沒有那么多訓練有素的專業人士來幫我們抵御這些網絡襲擊。

據網絡安全巨頭Cisco估計，全球有100多萬個安全類崗位空缺。2015年，ISACA(國際信息系統審計協會)的一份報告顯示，86%的被調查人員認同網絡安全是一個人才緊缺的行業這一說法，只有38%的人感覺自己已經準備好應對復雜的數字攻擊。

“網絡安全人才正面臨嚴重缺乏的狀況，這也是在過去幾年間，我們看到信息安全事故頻發的主要原因之一?！盜SACA網絡安全顧問委員會的主席兼網絡安全公司White Ops的CEO Eddie Schwartz說道。

Schwartz表示，網絡安全專業人才的稀缺始于本世紀初。學校、網絡行業對中等水平網絡安全人才教育的關心導致尖端人才得不到培養，從而進一步加劇了人才緊缺的狀況。其后果是，對已知漏洞的修修補補、安裝防火墻和殺毒軟件成了維護信息安全的首要措施，很少有人再去關心是否需要革新技術以對抗越來越復雜的網絡安全襲擊?！叭绻澜缑媾R更高級的威脅，當下大部分的合規框架都不足以用來保衛我們的安全?！盨chwartz說。

同樣缺乏的還有精通“白帽黑客技術”的專業人士。所謂白帽黑客技術，就是指運用惡意黑客的手段，進行安全檢查來發現漏洞的技術?！霸谶@方面我們還沒有系統的教育體制，”科羅拉多安全公司Coalfire的副總裁Mike Weber說，“也沒有特定的職業晉升道路能夠發掘出這類人才?！?/p>

另一大挑戰是，如果想大學畢業直接進入網絡安全行業工作，也比較困難。大學畢業生往往需要在科技行業工作一段時間，積攢足夠的經驗才能判斷出系統漏洞可能存在的區域。

“想要確定錯誤的所在位置，就得分析出如果是自己，會在哪里犯錯，”Weber說，“這類工作相當于逆向工程，而一個人只有在掌握了正向工程的技術后，才能進行逆向工程。”

為了幫助填補安全領域所缺人才，包括ISACA在內的不少公司和大學都開始提供實習培訓課程，專業培養白帽黑客技術人才。

佛蒙特州的諾威治大學是全美最古老的私立軍事學校，該校提供相應的大學水平課程，以及網絡安全領域的證書課程，教授學生計算機取證與漏洞管理等知識?！拔覀兊陌踩珯z測實驗室在很多年前就成立了，當時是應一家大型公司的要求，幫助他們對內部IT員工進行安全檢測培訓?！敝Z威治大學信息安全與保障碩士生學位項目的負責人Rosemarie Pelletier說道。

諾威治大學接收的學生主要分為兩類：一是安全行業的專業人士，想要提升自己的技能水平；二是退伍官兵，想要學習一門技術來回歸平民生活。諾威治大學的網絡安全專業畢業生很少有找不到工作的。

Offensive Security因開發了專注培養道德黑客的操作平臺Kali Linux而聞名業內，這家公司目前又上線了自己的培訓與證書項目，并提供實習機會，而不僅僅是考試過關即可。

“我們認可的基礎水平是通過一項24小時的測試，”Offensive Security的總裁Jim O’Gorman說道?！皩W員連入一個網絡，該網絡中存在一定數量的系統。我們會給學員制定一系列任務，學員要么選擇完成，要么干脆別做。之后，學員需要寫一份文檔來解釋這些結果，我們的導師會根據一部分確定的評分標準，以及與學員的交流進行打分，最終只有通過與不通過兩種成績?！?/p>

然而，盡管現在已經有專門培養大學畢業生的網絡安全培訓項目，全世界所缺乏的相關人才仍然是一個不小的數目。更糟糕的是，申請學習網絡安全相關課程的人數遠遠無法滿足我們對于信息安全保護的需求。

篇3

關鍵詞：網絡安全；任務驅動；結對

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）27-0111-02

隨著網絡威脅的增加，社會對網絡安全的重視程度也越來越高[1]，網絡安全已經成為計算機專業的重要學科。掌握網絡安全的技術不僅需要扎實的理論基礎，同時還需要具備較強的實踐和分析能力。因此，如何在現有的環境下培養出理論扎實，實踐和分析能力強的學生以適應社會和企業的需求[2]，成為高校網絡安全教學的一個重大挑戰。

1 《網絡安全》課程特點

《網絡安全》課程需要的理論知識范圍較廣，且與之相關的技術也繁多，該課程主要有具有以下幾個特點：

1）知識綜合性強。《網絡安全》是一門涵蓋性非常廣的課程，包含密碼學技術、病毒技術、防火墻技術、入侵檢測技術、VPN技術、WEB技術等。正因為《網絡安全》的涵蓋面非常廣，所以該課程對于前導課程的要求也是比較高，需要學習計算機操作系統、程序設計、計算機網絡、WEB設計、數據庫技術、Linux應用等一系列課程。此外，除了課程需要的技術較多，對于每門技術也都需要扎實的理論基礎。

2）更新速度快。網絡中各種威脅層出不窮，而且技術手段也越加復雜。為了保證網絡的安全，抵抗和消除網絡的威脅，網絡安全技術也正快速更新以應對復雜多變的網絡威脅。因此，《網絡安全》課程的知識點也需要不斷地更新，以培養適應社會需求的人才。

3）實踐能力強。網絡安全絕不是紙上談兵，而是注重實操能力。同一個問題在稍有差異的環境下，解決方法都不盡相同。同一問題，也可應用不同的方法去解決，每一種方法都可以靈活運用。熟練掌握網絡安全技術，需要不斷地進行實踐。

4）分析能力要求高。網絡威脅總是先于網絡防護技術而出現，對于如何保證網絡的安全需要基于已有知識理論和經驗對網絡新威脅進行分析，并進行實踐嘗試。《網絡安全》課程無法也不應該窮盡所有的網絡安全知識，而是需要培養學生的獨立分析、獨立動手能力。

2傳統教學存在的不足

傳統《網絡安全》課程教學一般是先講授理論知識，再進行實驗教學。從學生實際反饋來看，這種教學方法不太好，因為理論與實踐之間有時間差，學生在學習枯燥的理論知識時，沒有實踐加以補充，學生在實驗課教學時對于理論知識都記憶模糊。

傳統《網絡安全》課程的內容安排一般是以理論知識點為中心展開，然后再介紹與理論對應的所有實踐環節。學生在學習的過程中反應很平淡，知識內容很散，學生對于知識的運用也不靈活。如果對教學內容，以項目為驅動，設定達成目標，利用不同工具實現目標，并輔以原理解釋。學生對于知識點的記憶較深刻，教學效果較好。

《網絡安全》課程旨在培養學生掌握網絡安全理論相關知識，能夠對網絡進行安全防護。但是學生在學習完課程后，往往還停留在將問題對號入座的階段，當網絡威脅通過變換舊技術或引入新技術時，學生便束手無策。出現這種情況的原因是學生的分析和靈活應用知識的能力，這樣的學生無法滿足社會的需求。

3結對編程

結對編程最早應用于軟件開發環境中[3]，其定義為兩個程序員坐在同一個工作臺進行軟件開發，其中一位程序員負責開發思路及并口述代碼，另一位程序員負責鍵盤編碼，并且需要兩人在軟件開發中頻繁的交流。兩個程序員具有相同的缺點和盲點的可能性較小，當進行結對編程時程序員可以技術互補，相互交流經驗并即時審核代碼。實踐證明，通過結對編程能夠有效地提高軟件開發的效率，并且可以明顯降低軟件中存在的缺陷。此外，結對編程對于需要提高實踐能力、團隊協作能力和分析能力效果顯著[4]。《網絡安全》作為一門實踐能力強，注重培養分析能力和團隊協作能力的一門課程與結對編程的作用是匹配的，但目前針對此課程特點的結對編程研究還較少。

4教學設計

針對前文中描述傳統《網絡安全》教學中的不足，本文從教學方法和實驗方法兩方面進行研究探索。

在教學方法上，針對傳統教學過程中理論與實踐結合不緊密的問題，提出基于任務驅動式教學方法。以《密碼學技術》章節為例：以“公司銷售部郵件泄露”為案例描述，引入課題，設置學習目標為能夠根據實際公司情況，采用對應的加密技術確保公司郵件、文件安全，進而展開理論知識講解和安全工具的原理及配置方法。同時，教學方法采用一體化教學教室。對于學生的理論講解與實踐教學穿行，統一在一體化實驗室中完成。

在實驗方法上，增加學生實踐課程的占比，實驗過程摒棄傳統教學方式：如首先配置、軟件的應用，然后完成并提交實驗報告。實驗要求兩兩組合，以結對方式進行實驗。以《密碼學技術》章節為例：兩兩組合后，根據任務實際情況要求，對問題進行分析、討論，一個同學負責解決方案的確定，選擇合適的加密技術，另一個同學負責完成命令和操作的執行，確定方案的同學可以在另一同學執行方案時同步進行審查。實踐過程中結對學生間的角色進行輪流互換。

從廣東松山職業技術學院《網絡安全》教學課堂反饋情況來看，基于結對實驗方式的任務驅動型一體化教學的教學效果較好。首先，學生對于計算機網絡安全的興趣大大增加，學生不僅在課堂保持較高學習興趣，課后也會嘗試課程深度擴展。其次，采用基于任務驅動的一體化教學后，學習對于理論知識的掌握也變得更深刻，尤其在學期后的綜合實踐訓練的課程中，可以看出學生能夠較靈活的運用網絡安全技術。再次，結對實驗的引入，通過不斷的交流與討論，學生對于理論知識的掌握，實際的個人動手能力，分析能力和團隊協作能力較傳統教學方式有很大的提升。

5 結語

計算機網絡安全課程旨在培養理論知識扎實，并具備分析能力、動手能力和團隊協作能力的綜合性人才以適應社會需要，這對計算機《網絡安全》課程的教學產生了挑戰。本文根據計算機網絡安全課程的特點，分析傳統《網絡安全》課程教學上的一些不足，從教學方法和實驗方法兩方面進行研究探索，提出以任務驅動型教學方式，結對進行實驗的教學方法。從實踐結果來看，采用該教學方法后，學生對課程興趣提升，學生的分析能力、動手能力和團隊協作能力都得到明顯提升。下一步研究工作，將在結對編程的基礎上，在課程后期增加對抗式課程設計內容，同時嘗試引用翻轉課堂，旨在進一步提升學生的分析、實操和團隊協作能力。

參考文獻：

[1] 羅明宇，盧錫城，盧澤新，等. 計算機網絡安全技術[J]. 計算機科學，2000，27（10）：63-65.

[2] 教育部. 關于全面提高高等職業教育教學質量的若干意見[J]. 中國職業技術教育，2007（1）：14-15.

篇4

“誰都不愿意也不敢在奧運期間出現問題。因此除了奧組委，一些跟奧運緊密相關的客戶如電信、電力、甚至是金融行業，對于網絡安全的問題也是非常緊張。在這種情況下，眾多網絡安全廠商紛紛推出‘奧運保障計劃’來做大市場。”參加了幾次奧運安全保障計劃的互聯網實驗室執行總裁劉興亮分析。

喚醒網絡安全市場

“奧運前期，我們每天都要定時向好幾個與奧運會相關的政府接口進行信息通報，奧運開幕后，現在是幾乎每個小時都要通報。當然這一切都是為了防止奧運會期間，可能出現針對奧運而來的黑客恐怖襲擊和計算機網絡病毒。” 北京一網絡廠商的張姓工程師說。

據這名張姓工程師說，此前不久，由奧組委和相關部門牽頭，幾乎所有重要的網絡安全廠商剛參與了兩次大規模的攻防演練：一部分人對網絡發動攻擊，有的假扮黑客，有的則在網絡上散發大量的未知病毒，造成網絡攻擊的現象。而另一部分人則啟動響應機制，構建防御體系，迅速處理危機。

對此劉興亮分析說，這樣的演練實質上就是對應急機制的檢測。 無論是演練，還是在奧運期間的實際運作，從流程上來講，跟平時處理突發事件基本相同，不同的是要“快”，比平時的響應速度要更快。不是改變流程，而是加速流程，爭取把對奧運的影響降到最低。

對于黑客和病毒的防范，廠商的策略一直都屬于被動防范，就是當問題出現時，集中火力去解決問題。但面對奧運這樣的重點項目，他們前期則需要確定防范重點，并且有針對性地設計工作流程。

正是緣于奧運對網絡安全的高度重視，大大刺激了對網絡安全重要性的喚醒?！耙郧八麄冇腥魏螁栴}都是工程師跟我們聯系，現在都是處長或是經理直接跟我們聯系?！北本┤鹦强蛻舨靠偨浝硗踅ǚ逭f。

劉興亮說：“在這種情況下，網絡安全廠商如趨勢、瑞星、金山、江民啟明星辰、綠盟等網絡安全廠商都紛紛都推出‘奧運保障計劃’來做大市場?！?/p>

市場規模亟待擴張

網絡安全本來是非常重要的，但市場的整體規模一直不是很大，市場中的企業規模也比其他行業小。奧運對網絡安全的高度重視，無疑激發了這個市場的需求。比如金融企業，在奧運期間是全面向全球用戶提供金融服務，如果服務不能正常運轉，不僅企業的信譽受到打擊，而且還會有很嚴重的政治影響。

與此同時，奧組委和奧運相關的業務組織也大量采購網絡安全廠商的軟件、硬件和服務。進一步刺激了網絡安全市場的需求。

“臨近奧運時，來自電力、電信、金融、門戶網站、相關政府部門的客戶不斷地向我們提出網絡安全保障計劃的需求。如有的客戶向我們征詢網絡部署的方案，有的請我們去評估網絡的安全性，也有些客戶要求我們提供針對性的人員培訓?！蓖踅ǚ逶谡勂饖W運期間網絡安全市場時興奮地說道。

趨勢科技北方區技術經理羅海龍也告訴記者：“他們的工程師僅在今年6月、7月就兩次對客戶的系統進行了全面檢查，同時針對客戶的系統進行弱點分析，制定加固或調整方案。現在奧運期的重點就是突發事件的處理。”

據悉，為了及時應付隨時可能發生的突發事件，趨勢科技還為客戶提供一項特殊的“未知威脅保障服務”，主要針對企業用戶在日常安全防護中遇到的未知威脅，提供完整的主動解決方案，自動進行高?？梢晌募呐袛嗪捅葘Γ龅教嵩绨l現問題提早解決問題，并提供可跟蹤的報告。

更難能可貴地是，奧運把平時在網絡安全市場上的競爭對手們，團結了起來。劉興亮告訴記者，現在中國的網絡安全廠商們全部都緊密合作，一切都以確保奧運的網絡安全為唯一目標。

■記者觀察：“后奧運”商機

在奧運期間，不管是被奧組委選中產品的網絡安全廠商還是主動為奧組委服務的網絡安全廠商，除了盡責任和義務外，也有一個商業的考慮，那就是爭搶后奧運網絡安全市場的蛋糕。

據悉，北京瑞星就在預算方面制定了對奧運網絡安全支持沒有封頂的措施，而且全公司高級別的專家、工程師都在全力配合奧運網絡安全項目。

像這樣在奧運期間，網絡安全廠商們在全力服務好奧組委、服務好跟奧運密切相關的大行業客戶，以及貼近這些大用戶的同時，也在向大用戶證明了自己的價值。畢竟奧組委以及大量跟奧運密切相關的企業在后奧運時代也有大量的安全需求。

未雨綢繆，網絡安全廠商是有這個考慮的。通過網絡安全廠商的的服務在幫助客戶避免奧運期間危機的同時，也讓客戶更了解相關的產品和服務。

篇5

關鍵詞 安全管理系統；殺毒；企業郵箱

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2013）83-0214-02

0引言

信息技術的迅猛發展極大地促進了網絡在企業的普及應用，當今的企業必須采用能夠充分利用結合優秀的傳統方法及連網計算的新業務模式，來獲得競爭優勢。對許多企業來講，問題不在于數據安全是否必要，而在于怎樣在預算范圍內以安全的方式管理復雜計算機環境、多種計算機平臺和眾多集成式計算機網絡上的數據。各企業必須獨立確定需要多高級別的安全，以及哪種安全能最有效地滿足其特殊業務需求。這些問題僅靠安全解決方案是無法完成的，而是企業安全管理必須解決的問題。企業郵箱是公司架設的服務于公司內網用戶的企業級郵箱。

1 網絡安全管理系統的應用

公司通過使用萊恩塞克內網安全管理系統和金山毒霸網絡版的配合使用，將公司整個網絡設備對病毒的查、殺、防列入到網絡管理體系當中。

1.1網絡安全系統的需求分析

企業網絡安全管理涉及的需求有諸多方面，僅就計算機網絡系統集中管理、網絡數據存儲與備份管理，兩方面進行說明。

1.1.1計算機網絡系統集中管理

實施網絡系統改造，提高企業網絡系統運行的穩定性，保證企業各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。

通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。

通過網絡的改造，使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。

1.1.2 網絡數據存儲備份管理

互聯網與信息技術的蓬勃發展，在提高了各個行業企業日常業務運營效率的同時，也極大增加了企業內部的數據負擔。隨著Internet、Intranet及Extranet等網絡數據量的指數級增長、以及數據類型的不斷豐富，企業IT管理人員面臨著系統應用數據完整性、安全性、可用性等方面的嚴峻挑戰。他們必須能夠確保企業數據得到有效的保護，并在故障出現時迅速準確的予以恢復，以最大限度減小企業可能的損失，實現業務的持續、正常運轉。

1.2 網絡安全系統的功能

系統投入使用以來，有效地解決了公司信息部門多年以來實際工作中遇到的網絡管理難題，系統實現了對局域網內的所有設備的數量、型號以及配置的統計，還對突發故障及時報警和診斷，對最新病毒、黑客攻擊進行報警判斷并作出有效的控制，對軟件的遠程自動分發和恢復安裝功能，通過分發使網內的各個終端計算機實時的進行系統升級以及防毒軟件的日常升級需求。

1.3 網絡安全系統的應用成果

對于近期危害嚴重的網絡arp病毒一旦局域網內的計算機感染此病毒，由于此病毒通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量導致網絡癱瘓以往我們發現此類故障后只能現場查看網內每臺機器來排查此病毒費時費力工作效率大大降低，現在通過金山毒霸網絡版的病毒日志可以有效地得知病毒來源予以查殺，對于無法殺除病毒的機器通過萊恩塞克內網安全管理端對ip地址和MAC地址綁定功能控制交換機端口，禁止感染病毒的計算機進入網絡，使網絡中病毒的傳播范圍達到最小，把損失降到最低，還可以對內網機器準確的定位，有效杜絕了內部人員未經允許修改自己機器的ip地址，導致其它人員的ip地址被盜用，危險時會使網絡內重要的服務器因ip地址被占用而停止服務的危險隱患。在信息中心利用管理軟件得遠程指導、遠程維護功能可以對網內計算機操作人員的違規操作進行有效的監視，如上網、運行非法軟件、記入到網絡日志，并快速的提出警告。如果哪臺機器感染病毒，迅速報警并采取措施。對于遠程計算機的監視和控制就像操作自己的計算機一樣，避免了跑路，提高效率。在信息中心可以統一向各計算機用戶批量快速發送軟件的升級補丁，發送信息，節省了人力，物力。

2 企業郵箱的應用

郵件系統，在辦公自動化的今天，尤其顯得重要。對于許多企業來說，離開了E-mail，工作已經不能順暢的開展了。目前許多企業通過租用的外部郵箱系統的方式來解決郵件通訊問題。但租用的外部郵箱系統，除了需要花費昂貴的租金外，還不易于管理，同時在郵件安全、提高辦公效率等都遇到了瓶頸。而擁有可靠的郵件系統是現代企業順利發展的必要基礎配置，也利于企業進一步提高自身形象。概括起來講，企業郵箱達到的主要指標如下：

1）實現內外網絡分離；

2）郵箱訪問速度極快，內網用戶文件上傳下載文件速度可達10兆每秒；

3）郵箱擁有的公共地址簿，使用戶使用郵箱時，方便得查找目的用戶，提高了郵箱的使用效；

4）郵箱全部注冊用戶以真實身份進行注冊，用戶名稱也使用真實姓名的英文拼寫，防止了匿名內外網用戶對網絡安全的破壞，方便了管理員對網絡安全的監控；

5）遠程管理方便，管理員可以隨時在互聯網上對郵箱進行管理，提高了管理的效率；

6）郵箱正式運行后較穩定，郵件收發正確率，文件傳輸正確率100%，穩定運行時間95%以上。

4 結論

總的來說，一個具有主動性的網絡安全模型是以一個良好的安全策略為起點的。之后需要確保這個安全策略可以被徹底貫徹執行。最后，由于移動辦公用戶的存在，企業和網絡經常處在變化中，需要時刻比那些黑客、蠕蟲、惡意員工以及各種互聯網罪犯提前行動。要做到先行一步，應該時刻具有主動性的眼光并在第一時刻更新的安全策略，同時要確保系統已經安裝了足夠的防護產品，來阻止黑客的各種進攻嘗試。雖然安全性永遠都不是百分之百的，但這樣做足可以使企業網絡處于優勢地位。

參考文獻

[1]廣域網與局域網.

[2]TCP/IP實用技術指南.

[3]網絡分析與設計.

[4]計算機網絡安全與加密技術.

[5]萊恩塞克內網安全管理使用手冊.

[6]Winmail server技術使用手冊.

篇6

關鍵詞：金融網絡 風險管理 措施

一、我國金融網絡安全面臨的問題

（一）金融機構信息安全風險管理欠缺

歷史上，由于金融機構多數采用紙質化工作，大部分主要安全問題都發生在實物數據資產的損失上，如票據、賬簿、機密文件的保管不當造成的信息缺失，或因意外造成的營業場所滅失。進入21世紀以來，世界范圍內的金融創新活動空前活躍，新的金融工具、金融產品及新興技術的廣泛應用，自動化、便捷化、電子化成為了主流，逐漸代替了以往的傳統操作。當前，犯罪份子以金融機構的電子數據和網絡為目標，不斷的發起攻擊來獲取客戶的重要信息，網絡安全威脅已經成為銀行業面臨的最關鍵問題之一。

近年來，金融機構在搭建金融網絡的同時，存在重建設、輕管理，重開發運行、輕安全維護的現象，應急預案的時效性和可操作性有待改進，應急演練的真實性有待加強。

（二）金融網絡內信用缺失現象嚴重

由于信用體系發育程度低，社會“失信”問題較為嚴重，金融產品在生產和交易過程中更容易出現信息不對稱和道德風險問題。信用風險不斷在金融體系中積累，會傷害交易者的合法權益，引起交易者信心喪失，使得交易方式的發展舉步維艱乃至倒退。同時，缺乏信用基礎，會使得網上銀行、手機銀行、電子支付等交易方式在國內的生存與發展后勁不足，影響現代經濟的正常運行。信用缺失不僅會阻礙網絡經濟的發展，更會阻礙我國經濟全球化發展的進程。

（三）金融監管方面存在的問題

網絡金融是一把“雙刃劍”，一方面起到改變金融機構運營模式的作用，提高經濟運行效率；另一方面也給金融機構與客戶帶來較多風險。在金融自由化、信用證券化、金融市場全球化的過程中，各種信用形式得以充分運用，網絡金融面臨的風險日益增加，金融網絡風險的特殊性使得監管機構對金融網絡安全的監管比傳統金融更為重要。目前，我國的金融網絡安全監管方式尚處于初始階段，從監管手段到法律法規并不完善。傳統的監管方式已不合時宜，金融監管當局應當不斷更新監管標準，優化監管結構，以適應瞬息萬變的金融市場，保障市場經濟的科學、穩定發展。

在貫徹落實我國經濟發展要求、提高金融網絡安全可控能力的過程中，監管層面的技術創新能力及網絡攻防能力應用有限，金融監管當局仍應該從需求導向出發，立足用戶拉動的角度，推廣使用安全可控的網絡金融產品，降低對少數廠家、產品的依賴度，在促進信息產業發展、提高國家網絡安全可控能力的基礎上提高金融網絡安全保障水平。

二、美國采取的應對網絡安全威脅措施

2014年2月，美國白宮正式推出一項可自愿加入的“網絡安全框架”項目，該項目吸納了全球現有的安全標準以及做法，以幫助有關機構了解、交流以及處理網絡安全風險。該文對我國加強金融網絡安全管理極具借鑒意義。

（一）提升關鍵基礎設施的網絡安全

1、明確國家級別的網絡安全標準

美國總統于2013年2月12日簽署并了名為“改善關鍵基礎設施網絡安全”的行政命令，并授權國家標準與技術研究所（NIST）開發一套基于風險的網絡安全框架，旨在作為一個國際級別的自愿標準和最佳業界實踐參照，幫助各機構把控網絡安全風險。NIST于一年后了《網絡安全框架》，該框架包括了五個核心領域：識別、保護、檢測、響應及恢復。

2、將網絡安全納入法律規范

上世紀末，美國《金融服務現代化法案》就已要求銀行等各金融機構開發一個信息安全程序。如今，NIST開發的《網絡安全框架》在銀行現有的信息安全程序基礎上，作出了進一步的修改和完善，以解決新興網絡風險，使得銀行的信息安全程序更加適應當今網絡化操作的趨勢。

（二）建立新型的網絡風險管理模式

要求銀行管理層須將網絡安全風險考慮納入整體風險管理框架，設計和實施合適的緩沖控制，并更新各自的政策和程序，最終通過審計程序驗證目標控制結構。一個有效的網絡風險控制結構應重點考慮四個方面：公司治理、威脅預警、安全意識培訓和補丁管理程序。

（三）發揮存款保險機構的監督管理作用

美國聯邦存款保險公司通過對銀行的現場檢查、定期報告、預警報告等措施實時監控網絡安全問題。同時，通過對監管政策的有效性、是否具有改進潛力、是否能夠適應當下潮流進行評估，切實保護其監管銀行免遭威脅。最后，實用工具，幫助銀行提高網絡風險應對能力。在2014年夏天，聯邦存款保險公司舉辦了網絡挑戰測試，成員機構可以通過觀看一系列視頻，并結合模擬練習來評估其網絡事件處置預案。

（四）加強網絡安全警示培訓

聯邦存款保險公司于2015年創立了網絡安全警示培訓計劃，通過電視電話培訓和現場輔導的形式，對由其監管的成員機構及其聯保存款保險公司監管人員和管理層進行培訓。

三、維護我國金融網絡安全的基本對策

隨著金融服務網絡化程度的提高及我國金融交流的國際化， 金融安全問題必然成為國家經濟安全中的最重要的內容。而網絡時代的信息金融安全對于像我國這樣的發展中國家尤其重要。

（一）強化信息安全意識，制定完善行業標準

政府應將網絡金融信息安全可能出現的威脅納入重點防范框架，建立一個統一的分類，按用戶類別制定金融信息安全國家級行業標準，指導各行各業學習行業標準，開展信息安全管理建設，規范網絡金融參與者的行為。同時，要根據市場風向的更新，對相關監管制度進行不斷地修改完善，使法律法規在時間層面和物理層面上能夠充分銜接。

（二）加大信息安全投入，建立大數據解決方案

銀行業要在控制風險的基礎上，充分利用當下大數據云計算的優勢，建立健全適合銀行業信息安全系統的建設框架及信息安全管理規范，修正完善已有的安全規范措施，豐富整體信息安全保障體系，建立完善的云計算和數據防護設備及體系，提高國內網上銀行的運營及發展能力。

（三）加強網絡安全警示培訓教育

一是根據不同的對象可能面臨到的相關網絡風險，進行分類化警示和引導；二是重點對新入職的員工開展職業培訓，重點要完善業務的操作規程， 強化關鍵權限崗位管理培訓以及內部制約機制；三是提升合作第三方及客戶的風險意識，定期向客戶和合作第三方宣傳網絡安全的重要性，結合案例、實操等方式幫助他們提高自我保護意識，抵御網絡風險。

（四）將網絡安全納入銀行整體風險管理框架

銀行應該積極利用現有資源識別、減緩潛在相關網絡風險，將網絡安全作為董事會的關注重點，制定整體化的網絡安全防范框架，明確各部門的網絡安全防范職責，營造網絡安全優先的企業文化，調動全體員工對網絡安全維護的積極性。在建立這一網絡安全防范框架時，必須將公司治理、威脅預警、安全意識培訓和補丁管理程序四個方面考慮在內，同時也應將非正常情況下的應急計劃和業務連續性計劃納入考慮，要求金融業務向綜合化、 全能化轉變。

篇7

關鍵詞：網絡安全；實驗教學；虛擬機；Vmware

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）22-5105-03

隨著互聯網的廣泛普及，網絡安全問題層出不窮，國內很多本科院校、職業學院為了適應社會的迫切需求，紛紛開設了網絡安全技術、網絡攻防等課程。這些課程在教學過程中要進行很多的網絡安全實驗，如網絡數據嗅探、安全漏洞掃描、病毒木馬防范、防火墻配置、入侵檢測等，培養學生的網絡安全防護能力。由于很多高校沒有建立專門的網絡安全實驗室，只能使用普通的計算機機房來承擔網絡安全實驗教學任務。但網絡安全實驗往往對軟件系統具有破壞性，對網絡系統具有攻擊性，一般不適合在真實的環境中來進行。因此，網絡安全實驗的教學應該有專門的實驗環境。

但是，建立一間網絡安全實驗室，動輒數十萬元，可能專門就是為一兩門課程服務，投資較大、技術要求高、使用率低。對于一般高校而言，還是期望能在普通機房中來完成網絡安全的教學實驗。為了避免網絡安全實驗對計算機系統的影響，可以采用虛擬機軟件來搭建虛擬的硬件、軟件和網絡環境，給學習者提供與真實環境完全一致的操作步驟和使用感受?；谔摂M機搭建的網絡安全實驗環境具有成本低、設備利用率高、安全可靠、管理方便等優點，適合在各層次的大專院校、職業學院中大量普及應用。

1 研究概況

虛擬機通過軟件方法利用一臺物理電腦的硬盤和內存虛擬出的若干臺機器。顧名思義，“虛擬機”就是指虛擬的計算機。用于安裝虛擬機的物理計算機又可稱為宿主機。每臺虛擬機有著獨立的“硬件”系統，可以進行硬盤分區、格式化、安裝操作系統和應用軟件等操作，還可以將多個虛擬機聯成一個網絡。同一個宿主機上的多個虛擬機互不干擾，就像是物理上存在的多個計算機一樣。虛擬機的使用步驟和操作界面與物理上真實存在的計算機是完全一致的，在網絡上很難區分一臺機到底是物理機還是虛擬機。而虛擬性還能帶來更多的優點：虛擬機的系統中毒或崩潰之后可直接刪除，不會影響宿主機系統的正常工作；宿主機系統崩潰后也不會影響虛擬機，可以在重裝宿主機系統后重新加載保存在硬盤中的虛擬機。[1]

目前比較流行的虛擬機軟件有三種：VMware公司的VMware Workstation，Microsoft公司的Virtual PC， SUN公司的VirtualBox。其中VMware的功能豐富，通常用于服務器和商用環境，使用最為廣泛，支持幾乎所有的常見操作系統，比如DOS、Windows、Linux、Novell NetWare、Sun Solaris、FreeBSD等，但是需要注冊使用，占用硬盤空間較多。Virtual PC和VirtualBox都是免費軟件，占用硬盤空間較少，但功能較為簡單，主要在科研實驗中應用。這幾個軟件都能滿足多數情況下網絡安全虛擬實驗環境的建設要求，用戶可根據自己的實際情況進行選用。

文獻[2]用VMware 構建高效的網絡安全實驗床，提出在虛擬機中回收內存的氣球技術和基于內容的頁面共享技術，客戶操作系統調用自己的內存管理程序，減輕主系統負擔，為虛擬機之間提供更多共享機會。文獻[3]利用Vitual PC搭建了一個可以進行網絡及安全實驗的平臺，演示了用WireShark作為包捕獲和協議分析軟件的實驗工作過程。文獻[4]介紹了WMware中網絡安全工具包虛擬機（NST VM）的使用，該工具包集成了網絡數據庫、殺毒軟件、防火墻、入侵檢測、網絡嗅探、數據加密等全套的免費開源工具。文獻[5]基于VMware軟件中利用蜜罐、網絡嗅探等技術構建虛擬網絡安全實驗平臺，能夠進行網絡攻擊測試、對病毒駐留和傳播、分布式拒絕服務模擬、黑客攻擊跟蹤等實驗。文獻[6]基于VMware軟件完成了灰鴿子木馬實驗的設計與實現。文獻[7]基于虛擬化技術設計并實現了一套軟硬結合的信息安全綜合實驗平臺，基于此平臺開發了密碼學及其應用、防火墻、入侵檢測和漏洞掃描技術等多種實驗內容。

2 虛擬實驗環境的搭建

2.1虛擬實驗環境的優勢

與傳統實驗環境相比，基于虛擬機技術構建的網絡實驗環境有如下優勢：

1） 成本低、設備利用率高。虛擬實驗環境搭建在普通的計算機實驗室中，不用專門建立網絡安全實驗室，也無需額外增加服務器、交換機、路由器等硬件設備。通過虛擬技術實現設備的復用，可在設備、軟件、場地、人員等各方面為學校節省大量投資，提高實驗設備的利用率。

2） 運行環境獨立。虛擬機的軟硬件環境是獨立的，對虛擬機的安裝、使用、維護不會影響到物理計算機的軟硬件環境。只要不啟動虛擬機，就不會占用程序運行資源，不會影響計算機實驗室進行其他課程實驗教學，有利于實驗室的日常管理和維護。

3） 安全可靠。在虛擬實驗環境中，每一臺宿主機上的多臺虛擬機可構成一個獨立的虛擬局域網，對網絡中甚至同一個機房中的其他主機和網絡沒有任何影響。虛擬實驗網絡和當中的主機能夠安全可靠運行。

4） 便于實驗教學。一個虛擬實驗網絡IP地址規劃、服務器設置可以按需求任意配置，便于課程實驗的統一管理和實驗結果的檢查對照。在虛擬實驗環境中，可以多個學生組成一組進行實驗，也可以一個學生在一臺計算機的不同虛擬機上扮演多個任務角色（比如同時扮演網絡攻擊者和防守者），有利于培養學生的全面實踐能力。

5） 容易普及應用。虛擬機軟件的安裝和使用方法簡單，有一定計算機操作經驗的用戶無需專門培訓就能輕易地進行虛擬機的安裝和配置。一般的高等院校、職業學院都有大量的普通計算機實驗室，只需增加一點軟件成本就能搭建起虛擬實驗環境，簡單易行，可以大面積鋪開應用，能夠滿足普及網絡安全實驗教學的需求。

2.2 虛擬實驗環境的搭建

本文采用Vmware軟件來搭建虛擬實驗環境，在一臺PC上模擬出多臺虛擬機。普通的計算機機房同時提供給多門課程進行上機實驗，上機用戶更換頻繁，每個用戶在進行實驗時都可能會對系統進行或多或少的更改。為了保證機房的正常運行，避免用戶更改計算機的操作系統和應用軟件，管理人員通常會在計算機機房中安裝硬盤保護卡，對系統盤進行保護，只開放數據盤供用戶存放工作資料。虛擬機文件應保存在可自由讀寫的數據盤中，這樣裝有硬盤保護卡的物理機即使重新啟動也不會影響虛擬機。在虛擬機上可以安裝DOS、Windows、Linux等操作系統。

將這些虛擬機進行適當的網絡配置，可以連接成為一個虛擬的局域網。也可將同一個機房中的多個宿主機上的虛擬機都連接起來，在機房范圍內形成一個較大的虛擬局域網。這個虛擬的局域網形成一個虛擬的實驗環境，在這個虛擬環境中可以進行各種網絡安全實驗，其操作步驟和運行界面與在真實物理環境中是一致的。

2.3虛擬機的網絡設置

VMware提供了三種網絡工作模式，它們分別是：

1） 橋接網絡（Bridge Networking）。橋接網絡模式相當于虛擬機通過主機網卡架設了一條橋，直接連入到物理網絡中。在這種工作模式下，虛擬機擁有一個獨立的IP地址，在網絡中主機與虛擬機具有同等的地位，它的所有網絡特性和網絡中的真實機器是完全一樣的。

2） 網絡地址轉換（Network Address Translation，NAT）。在NAT工作模式下，虛擬機訪問網絡的所有數據都由宿主機轉發，宿主機相當于網關。虛擬機與網絡中其他主機的通信必須經過宿主機。

3） 主機網絡（Host-only Networking）。虛擬網絡是一個全封閉的網絡，只允許訪問主機和連接在同一主機上的其他虛擬機。主機網絡與網絡地址轉換的區別是前者沒有NAT服務，所以不能連接到Internet。主機網絡的目的是建立一個與外界隔絕的內部網絡，來提高內網的安全性。

根據網絡安全實驗的要求，我們可以靈活運用，對虛擬機設置不同的工作模式和IP地址，組建出所想要的任何一種虛擬網絡環境。

3 虛擬實驗環境下的教學案例

3.1操作系統弱口令檢測

3.2 網絡漏洞掃描

3.3局域網上網信息監控

4 結論

實踐證明，利用虛擬機構建的網絡安全實驗環境與真實的網絡環境一致，無論是操作步驟、命令、功能和響應界面都是一樣的。虛擬的網絡安全實驗環境可以解決實驗設備投入不足和實驗場所缺乏的問題，提高計算機實驗室的設備利用率，將實驗過程產生的攻擊性和破壞性限制在虛擬環境中，保障實驗設施的安全可靠運行，有利于培養學生的實踐操作能力，有利于在實驗教學中進一步開展自主學習、任務驅動式學習，有效提高網絡安全課程的教學質量。

參考文獻：

[1] 王太成，蔡勇.利用虛擬機技術完成復雜網絡實驗[J].計算機技術與發展，2009，19（4）： 246-249，253.

[2] 劉武，吳建平，段海新，等. 用VMware構建高效的網絡安全實驗床[J].計算機應用研究， 2005（2）： 212-214.

[3] 李因易.用Vitual PC搭建一個網絡安全實驗平臺[J].貴州大學學報：自然科學版，2008，24（1）： 70-72.

[4] 丁昱，莊城山. 虛擬機在網絡安全實驗教學中的應用[J].信息安全與通信保密， 2009（10）：71-72.

[5] 翟繼強，陳宜冬. 虛擬網絡安全實驗平臺[J].實驗室研究與探索，2009，28（6）： 79-82，90.

[6] 賀惠萍， 榮彥， 張蘭. 虛擬機軟件在網絡安全教學中的應用[J]. 實驗技術與管理，2011，28（12）： 112-115.

篇8

【關鍵詞】監控網絡安全;信息技術;技術應用

當前是我國信息化發展的最佳時機也是信息化發展最蓬勃的時刻，但發展背后的安全隱患也不可忽視。雖然很多城市目前采用的專網或局域網網絡架構能夠降低與外網的接觸率，在一定程度上減少用網風險。但隨著信息化的進一步發展，監控網絡安全的需求也在逐漸變大，利用網絡監控提高網絡安全也將成為信息時代網絡安全的大趨勢。因此如何提高監控網絡安全將是我們現在甚至很久之后都需要關注并需要深入研究的課題。

一、監控網絡安全技術發展的必要性

(一)用戶需求。

個人、商業信息因網絡普及不再成為秘密。個人和商業私密信息在通過網絡存儲和傳輸時，這種攜帶私密信息的載體很容易遭到破壞從而導致私密信息泄露，且犯罪分子層出不窮的手段讓遠程監控甚至網絡系統自身已經不再安全。如，2013年4月黑客———“敘利亞電子軍”入侵美聯社官方Twitter賬號后”白宮爆炸，奧巴馬受傷”的假新聞從而引發美股暴跌，損失約2，000億美元。而城市公安系統為了確保用戶安全推出的公安系統、平安城市系統、手機監控等也和互聯網密切相關，若沒有良好的監控網絡，犯罪分子很可能會利用系統漏洞訪問公安系統進行犯罪。這些用網隱患讓使用者對網絡安全的需求愈發膨脹。監控網絡安全信息技術的使用迫在眉睫。

(二)安全產品升級需求。

目前，很多流媒體形式的視頻監控應用產品應需求而生，但是這種流媒體本身因其自身的便易性和廣泛性，很容易遭到破壞和攻擊。不久之前某市的銀行搶劫案中，犯罪分子即是利用配電箱切斷監控網絡系統實施的搶劫。這也說明，當前的監控網絡安全信息技術并不成熟，設計者還需研究實用性更強、符合標準的監控網絡安全產品。

二、網絡監控安全信息技術的發展

網絡監控安全信息技術的發展不是一步即成的，要想加強監控網絡安全的實用性和可靠性，還需要從以下幾個方面進行技術深化。

(一)計算機系統安全。

監控網絡安全是弱電系統，計算機系統是其得以實施的物理安全保障。例如在實際網絡工程建設中，首先要考慮計算機硬件設備能夠有效應對地震、水災、火災等事故，同時對由溫度、環境造成的破壞是否有一定抵御能力。而計算機其他配套如USP備份電源以防止因停電對計算機造成影響，恢復出廠默認設置以恢復人為錯誤操作造成的嚴重后果，健全的報警系統和雙機多冗余等等計算機系統安全設計也必不可少。只有先確保監控網絡的物理安全，才能夠保證監控網絡能夠正常工作。

(二)網絡傳輸。

單個的監控網絡安全系統并不能真正實現整個網絡的安全。因為監控網絡需要及時將網絡監控信息傳輸至互聯網，一旦監控網絡安全系統與外界通信，就可能會遭受攻擊或者被網絡病毒感染。倘若安全系統被攻擊或感染，不僅系統自身會遭到破壞，與之連接的內部網絡也會遭殃。因此安裝監控網絡安全系統的同時還應保證與安全系統相連接的服務器具備良好的防護措施。目前最好的方法是在外界通信的互聯網上裝上如防護墻、正版操作系統屏蔽漏洞等軟件。接受外網信息時，只允許對應主機接受正常通信的數據包，對于不明來歷的請求應直接拒絕。只有做好傳出、接入兩方面的管控，才能夠確保監控網絡安全系統在一個不受干擾的環境下工作。

(三)后端軟件要求。

后端軟件安全主要有兩大方面:一是被傳輸數據的服務器上的軟件安裝應盡量確保安全性，確保監控網絡系統傳輸數據時不會有危險，且對于被傳輸服務器上的登陸用戶需要有權限和密碼要求，明確登陸者責任和及時發現隱患;二是監控網絡安全系統自身安裝的軟件也需要嚴格把關。平臺軟件可以使用LINUX核心平臺構架從而提高平臺操作穩定性。系統信息存儲可以采用ISCSI技術的分布式網絡存儲，該技術支持本地、中心、前端等多級存儲方式，數據存儲空間大，存儲數據不易丟失。此外智能負載平衡技術和高可用在線熱備技術能夠確保安全系統平臺長時間運行并支持大信息量數據搜索。

三、監控網絡安全信息技術的應用

隨著研究的深入，監控網絡安全信息技術日趨成熟，應用也愈發廣泛?；趯嶋H網絡安全應用需要，目前監控網絡安全信息技術主要有以下幾個方面的應用。

(一)防火墻。

防火墻能夠依照特定規則，允許或限制傳輸的數據通過。它有效結合計算機硬件、軟件和安全策略，為用戶用網筑起一道強有力的安全屏障。用戶可以通過安裝防火墻軟件或者架設防火墻硬件來為電腦屏蔽安全隱患。防火墻可以智能規避危險，讓內部人員只訪問安全的外部服務，也可以拒絕外部服務的非合理訪問請求。為確保用戶用網權利不受侵犯，可以在如路由器、服務器上設置防火墻，這樣可以保證只有合法用戶能夠訪問網絡資源，而企圖攻擊路由進入內部網絡的非法網絡不僅會被拒絕還會被跟蹤，嚴重者甚至報警。

(二)信息身份驗證。

信息身份驗證為用戶提供了準確的個性化個人信息，方便用戶簡單、安全地登陸不同網站。如密碼、郵箱驗證碼、動態手機口令等信息驗證大大提高了使用者信息的安全性，降低了其他人非法登陸用戶網絡系統的可能性。而實名認證、手機號、郵箱綁定的方式也方便用戶在個人網絡遭受攻擊被盜取之后能夠及時通過身份驗證找回，避免造成損失。

(三)信息加密。

信息加密主要是視頻流加密，當監控視頻被傳輸到后端系統時，文件在打包壓縮的同時也被加密，只有特定的密碼才可解壓，而其他妄圖非法取得或篡改視頻的操作都會被拒絕。這種通過對傳輸數據進行加密的方式提高數據安全性的技術即是數據加密技術。數據加密技術的使用提高了傳輸數據的安全性，應用價值很高。目前流媒體對于數據加密技術的應用較多，但是安防監控領域對于這一技術的使用并不多，當前在使用的僅僅只有少數幾個平臺廠家。由此可看出，安防監控領域的安全監控技術還有待進一步深入、加強。流媒體對于數據加密技術的使用雖然日趨成熟，但考慮到流媒體自身存儲數據的圖像實時性，因此在加密和解壓的同時需要結合實際情況評估解密速度對數據實時性的影響，計算解密速度和數據包大小的對應關系。利用序列密碼進行流媒體數據加密也是一種不錯的加密方法，但使用這種加密方式也須考慮實際需求。

(四)VPN技術。

VPN技術適用于連鎖超市、集團公司、加油站、公共場所等地方，它能夠在公共信息網中建立虛擬局部網絡，監控數據可以基于虛擬局部網絡實現數據的安全傳遞。也正是基于此，連鎖超市、集團公司和加油站等分布散、數量多的個體只要將數據專線接入本地網絡，即可在自己的虛擬局部網絡中安全傳遞信息。此外，若想節省高昂的布線成本，也可以采用撥號方式接入VPN監控網絡來構建監控網絡，傳遞信息。

四、結語

監控網絡安全信息技術應互聯網大環境而生，且經過多年的研究已有了一定的成果，基于當前互聯網中存在的安全隱患也有了一定的防御能力。但不可否認網絡攻擊手段日新月異，層出不窮，現在的監控網絡安全信息技術還遠遠不夠，監控網絡安全信息技術仍然需要面對極大的安全挑戰，也需要不斷地更新，完善。而網絡安全，僅僅有監控網絡安全系統還遠遠不夠，健全的網絡管理制度和操作者的高度安全防范意識也是不可或缺的，只有三者具備，才能實現真正意義上的安全網絡環境。

【參考文獻】

［1］梓墨．監控網絡安全信息技術發展與應用［J］．中國安防，2011，8

［2］厲穎，韓殿國．網絡安全管理技術研究［J］．軟件導刊，2013，2

［3］陳利．基于行為分析的網絡通信監控技術研究［J］．計算機應用技術，2011

篇9

《網絡安全技術》是計算機網絡技術專業的核心專業課程，實踐性與理論性并重，對專業知識綜合運用能力也有較高要求。然而采用“教師主動，學生被動”的傳統教學模式教學，教學效果差，學生“知其然，不知其所以然”。在《網絡安全技術》課程中打破傳統教學模式，以案例作為課程導入，將內容融入項目，做到課堂與實際應用無縫對接，取得了不錯的教學效果。特提出“案例項目制”的教學方法。

傳統教學模式的不足

教學方法單一。傳統教學模式采用“被動式教學”，師講，學生聽；教師演示，學生模仿。課程以理論知識講解為起點，輔以教師通過實驗演示來驗證知識結果。課堂缺乏互動，學生將主要精力放在如何模仿教師的實驗演示上，留給學生自我分析的空間不足，導致學生靈活運用知識的能力和創新能力不夠。

課堂與實際應用銜接不夠。傳統教學模式中，沒有很好地將知識融入實際應用。實驗安排過于理論化，教師往往就某個知識點安排實驗，導致學生學習后，該如何應用于實際。

實踐考核方式落后。《網絡安全技術》課程是綜合性較強的課程，重點是考察和鍛煉學生對專業知識的綜合掌握和運用能力。而傳統的考核方式往往是老師繪制一個拓撲結構圖，甚至規劃出網絡參數，提出所需實現的功能，學生按照拓撲結構圖搭建環境，根據功能要求進行實施。沒有給學生留出足夠的思考空間，不利于規劃、設計、實施網絡等能力的鍛煉。

“案例項目制”教學方法

“案例項目制”教學法，可細分為“案例教學”“項目制實施”兩部分。“案例教學”是教師根據教學內容安排，設計典型案例。通過對案例的分析，導入授課內容，是引導學生分析、解決問題的一種啟發式、貼近實戰的教學方法?！绊椖恐茖嵤苯虒W法，是以典型項目為實踐教學對象，將知識融入項目，以項目組的方式具體實施。學生圍繞項目需求，對網絡進行規劃、設計，并在實驗環境下進行實施?！绊椖繉嵤苯虒W方法主要應用于實驗考核，它拋棄了傳統考核模式，沒有具體的技術暗示與限制。這對于學生思維的擴展和綜合運用能力的鍛煉都非常有好處。如圖1所示：“案例項目制”教學方法的實施流程。

案例教學?！鞍咐虒W”方法在課堂開始就實施，教師給出一個具體的應用案例情景，引導學生對應用案例情境進行分析，提出解決問題的辦法。通過解決辦法引出當天課程內容，然后圍繞內容開始理論分析與講解。理論講解完成，教師將所引案例通過實驗模擬出來，最后讓學生練習，教師輔以指導。

項目制實施?！绊椖恐茖嵤笔轻槍嵺`考核環節。每一次實踐考核就是一次真實項目模擬，做到實踐考核和實際應用的無縫對接。教師將學生分為項目組，每一項目組模擬一個公司，教師給出一個全新案例，教師只提需求，至于如何繪制拓撲結構圖、網絡參數如何規劃、采用何種技術實現需求等，教師不做任何技術限制和技術暗示。充分給予學生思考空間，鍛煉學生分析、規劃、設計網絡的能力。

“案例項目制”教學方法舉例

以《網絡安全技術》中的“網絡地址轉換NAT”為例，分析如何在課程中使用“案例項目制”的教學方法。

案例分析

給出案例。上課開始，教師給出案例：XX公司購進30臺電腦，需要搭建公司內部網絡，以方便公司辦公和相關業務開展。具體需求為：需求1：實現公司內部通信；需求2：由于業務原因，公司員工需要經常訪問internet。請在先進性、低成本的條件下為該公司網絡進行規劃、設計并實施。

需求分析。（1）分析1：目前企業構建內部網絡，可采用私有IP地址。私有IP地址的使用無需向IANA申請，也無需付費，既能滿足用戶經濟性的要求，又能滿足用戶內部通信需求。因此為公司分配私有IP網段：192.168.10.0/24。（2）分析2：由于在需求1中采用私有IP地址構建公司網絡。但私有IP地址在Internet上無合法路由，無法直接在Internet上使用。為了滿足用戶需求2的要求，必須采用“網絡地址轉換”NAT技術，將內部私有地址轉換為公有地址，以公有地址的身份訪問外部網絡。

導入知識

通過對XX公司網絡需求進行分析，得出需要采用“網絡地址轉換”NAT技術滿足用戶需求的結論。

知識講解

知識導入以后，此時教師就圍繞“網絡地址轉換”NAT技術進行理論知識分析和講解。

實驗演示

理論講解完畢，教師根據之前所提案例需求，規劃網絡，繪制出詳細實驗拓撲結構圖，如圖3所示。并在實驗環境下演示實驗。

學生實驗

教師演示完實驗，要求學生進行練習。在練習過程中，老師現場輔導。

實踐考核

實踐考核以案例和項目制方式進行，教師給一個案例，提出具體需求，要求學生能自我規劃、設計并實施網絡。

考核案例：xx公司有四個部門：市場部、產品部、人事部、技術部?，F需要設計網絡，具體網絡需求為：需求1：網絡具有高可用性、安全性、可管理性，要求每個部門處于單獨網段；需求2：各部門之間能實現相互通信；需求3：每個部門都能訪問Internet。請認真分析XX公司網絡需求，并進行規劃、設計并實施。

篇10

摘要 電信運營商的DCN網(Data Communication Network,數據通信網)是主要的內部專用網絡。承載著營業、計費、客服等多種業務系統，是公司內部各種支撐系統的統一網絡平臺。隨著網絡本身的不斷擴大和業務的逐漸增多，DCN網絡是否安全、穩定、高效，關系到電信企業各種基本業務的正常開展和用戶的滿意度體驗。

關鍵詞 電信運營；DCN；安全

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2012）70-0165-02

1 網絡安全概述

計算機網絡隨著規模的擴大和信息量的增多，埋藏著許多安全方面的風險和隱患。從根本上講，網絡安全就是指組成網絡的硬件、軟件及其負載的數據和業務受到保護，不因主觀或者客觀的原因遭到攻擊、修改、泄露，系統可以連續、穩定、可靠的運行，服務不被中斷。

2 網絡安全的目標

信息是網絡的核心，網絡安全的主要目標是在保證硬件設備可靠的前提下，確保網絡的信息安全。網絡信息安全主要包括信息存儲安全和信息傳輸安全兩個方面。

3 主要的網絡安全設備與技術

目前市場上應用范圍比較普遍的網絡安全設備與技術主要有以下幾種：

1）防火墻

防火墻是在內部網絡和外部網絡之間，根據配置的訪問控制策略達到網絡安全的一種計算機硬件和軟件系統。它將兩個網絡進行了隔離，通過特定的訪問規則對經過它的信息進行審查和監控，將不符合要求的信息過濾掉，使得內部網絡不被外界非法訪問和攻擊。

防火墻還具有NAT（Network Address Translate,網絡地址轉換）功能，可以將一個網絡的IP地址映射到另一個網絡的IP地址，將內部受保護的網絡拓撲結構隱藏起來。

2）入侵檢測

入侵檢測，通過對網絡或者計算機系統的關鍵節點收集信息并進行分析，發現系統是否有被攻擊和入侵的跡象。

入侵檢測作為一種主動的安全防護技術，提供了對來自內部、外部的攻擊和誤操作的實時防護，在系統受到危害之前攔截和響應入侵行為，是防火墻的有效補充。

3）VPN技術

VPN虛擬專用網，是在公共數據網絡上，通過采用數據加密技術和訪問控制技術，實現兩個或多個可信內部網之間的互聯。VPN的構建通常都要求采用具有加密功能的路由器和防火墻，以實現數據在公共網絡的可靠傳遞。

4 DCN網絡安全策略

4.1 網絡安全域的劃分

DCN網絡是一個綜合復雜的信息系統，單獨針對每一個設備確定保護方法，無論從規劃和實施上都是一件非常龐大繁雜的工作，而且實施起來很難保證質量和排查隱患。

因此，根據各套系統的組成、使用主體、安全目標等，可以將DCN系統劃分為幾個不同區域，將具有相近安全屬性的部分歸于一個安全域中，如有需要，還可以在此基礎上細化成多個子域。具體可以分為如下幾個區域，結構如圖1所示。

核心域：包括各業務系統的主機、服務器、數據庫等

用戶域：通過各種方式接入系統的終端和用戶

網絡域：包括路由器、交換機等網絡設備組成的網絡拓撲

公共外部接口區：包括與銀行系統的接口、因特網的接口等

公共安全服務區：包括病毒監控、用戶認證、安全管理等

4.2 具體的解決方案

網絡安全域劃分以后，可以根據各個區域的安全需求分別加以部署。

4.2.1 核心域安全設計

核心域按照業務需求劃分為計費系統、客服系統、網管系統等多個MPLS VPN，在地市節點再按業務分類與不同的網絡設備相連 。這樣可以很好地滿足各節點和業務的互訪隔離需求。由于在網絡域通過劃分MPLS VPN隔離了不同的業務，對于業務主機之間的互訪，可通過在與核心域相連的PE設備外掛防火墻作為CE設備，在防火墻上設置互訪策略即可做到有限制的跨業務訪問。

4.2.2 用戶域安全設計

用戶域包含了各種接入終端，其安全性主要通過制定完善的安全制度規范來加以保障，主要形式包括加強認證，限制操作權限等。加強認證可以通過部署身份認證服務器，在用戶登陸網絡時根據用戶名密碼決定用戶權限。授權則本著權限最小化原則分配給用戶。

4.2.3 網絡域安全設計

網絡域的各種網絡設備是整個網絡的硬件平臺，承載著主要的信息交換任務，其自身的健壯性必須得到保證，網絡中重要的核心設備和鏈路應該具有冗余備份。在網絡域中根據業務分類劃分MPLS VPN,將不同的業務系統隔離開來，保證某個業務終端用戶只能訪問相應的業務系統。

4.2.4 公共外部接口區設計

公共外部接口區，將內部網絡的出口與互聯網出口進行統一管理，用統一的安全策略進行部署，同時也避免了各業務單獨部署的高成本。

另外在公共外部接口區單獨設立DMZ區域。有一些業務，內網外網都需要訪問，將這些業務服務器放置在DCN內部，就容易成為外部訪問內部的中轉站；如果放在DCN外部，那直接暴露在因特網上的服務器的安全性又得不到保障。所以設置DMZ這個緩沖區，單獨放置Web服務器這類設備，并加配防火墻來保證服務器和DCN網絡的安全。

4.2.5 公共安全服務區

公共安全服務區是為整個DCN網絡提供統一安全服務的區域，統一部署防病毒、漏洞掃描、終端管理、網管系統等。實現整個網絡的集中管理，統一服務。

5 結論

DCN網絡的重要性決定了它的安全問題不容忽視，所以制定一個有效的安全策略，對網絡進行優化并加以部署、逐步完善，是DCN網絡安全體系建立的終極目標和長期任務。