導言：作為寫作愛好者，不可錯過為您精心挑選的10篇網絡安全規劃與設計，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內容能為您提供靈感和參考。

篇1

前言

隨著現今城域網的普遍使用，城域網方面出現的問題也越來越多，為了保證網絡能夠安全正常的使用，需要各部門對網絡安全問題加以重視。根據網絡功能的差別，可將城域網分為核心層、匯聚層和接入層這三個層次。根據業務不同，可將城域網分為接入業務、寬帶上網業務及VPN業務這三種業務方式。而本文就是針對各層次出現的不同問題，進行分析討論，并提出相關建議。

1城域網的概念分析

根據網絡功能的不同，可將城域網分為核心層、匯聚層及接入層這三個層面，同時因為各層的功能不一樣，所以各層網絡安全問題均不一樣。核心層存在的目的就是對網絡數據進行快速轉換，促使核心設備正常操作；匯聚層的主要工作就是保護整個網絡的安全運行，并利用合理有效的方案管理網絡，是整個城域網中的重中之重；而接入層則是通過對接入業務、寬帶上網業務和VPN業務進行接入，以降低網絡使用者對網絡造成的危害。利用有效的監控手段調整網絡安全，以達到網絡優化的目的。

2網絡安全規劃設計對城域網發展的作用

2.1核心層的網絡安全

城域網中的核心層，是決定網絡數據能否正常快速交換的重要層次，且這一層次與多個匯聚層相連接，通過該層次與多個匯聚層進行連接，以達到網絡數據間的高效轉換，所以為了確保網路的正常運行，對該層次進行網絡保護是比不可少的部分，增加該層的保護功能。核心層的網絡安全主要考慮的問題是防止病毒入侵設備，而降低設備的操作性能，因此則需要對路由器這一網絡互連、數據轉發及網絡的管理器進行正確操作，以確保網絡使用更安全。因此則需要做到以下兩點措施。第一點是在路由器之間的協議添加認證功能。就目前而言，動態路由器是核心層與匯聚層連接之間采取最多的連接設備，現常用的動態路由器主要分為OSPF、IS-IS、BGP這三種。而動態路由器的缺點是路由器動態設置會隨著網絡的拓展而改變，會對路由表進行自動更新，如果相同設置的路由器設備加入網絡，該路由器會自動更改為網絡上的路由設置，這樣的行為可能導致網絡信息的外漏，嚴重的時候，會阻礙網絡上的路由表正常運行，導致網絡崩潰。為了有效解決相關問題的出現，則需要在路由器設置中添加身份認證，只有通過身份上的認證，同區域的路由器才能互相分享路由表上的信息，以此保護網絡安全。第二點則是遵循最小化服務的原則，關閉網路設備上不需要的服務。對此則需要做到以下幾點：（1）保證遠程訪問管理的安全，在路由器信息進行加密保護，防止外界惡意訪問的攻擊；（2）端口限制訪問，通過使用ACL端口進行訪問限制，在設備接口上添加數據訪問限制，增加網絡信息過濾系統，減少網絡病毒帶來的路由器資源耗損，防止網絡病毒入侵，促使網絡系統崩潰；（3）增強對網絡系統的檢查控制，目前采用最多的是SNMPV3協議進行網絡信息加密保護，在利用ACL控制SNMP訪問，只允許訪問設備信息，禁止復制設備信息，以有效檢查控制網絡運行情況；（4）禁止使用路由器不需要的服務，路由器主要分為軟件和硬件的轉發方式，轉件轉發的路由器是通過CPU軟件技術進行網絡數據轉發的，也就是利用核心技術進行的數據轉發，而硬件轉發的路由器時通過網絡上的硬件處理器進行數據轉發的，所以使用正確的路由器服務，減少不需要的服務，促進路由器高速運行。

2.2匯聚層的網絡安全

匯聚層是保護網絡安全運行的重要層次，通過合理有效的方式管理網絡，可以作為城域網中的管理層。為保證匯聚層能安全正常的操作，從接入網設備和各種類型用戶這兩方面進行分析，需要做到以下幾點。第一點是接入網設備的安全，利用ACL控制接入網設備的訪問，增加對匯聚層端口的檢查控制，以達到對連接匯聚層的接入網設備的控制，確保接入網設備的安全。第二點是寬帶小區設備的安全，為確保寬帶小區網絡設備的正常安全運行，需要采取以下幾點措施：（1）調整BAS的部署方案，將BAS邊緣化，對VLAN設置下的用戶數量加以控制，降低網絡危害的出現，優化網絡系統，從寬帶接入服務器中體現出QINQ技術的特征，減少匯聚層中虛擬局域網的傳播，因此BAS需要采用雙上行的方式保護網絡安全；（2）利用BAS+AAA驗證服務器檢驗網絡用戶的身份，防止賬號被盜情況的出現，幫助網絡用戶準確定位；（3）綁定PPPOE撥號用戶對VLAN、端口及用戶賬號的設置，以防非原有用戶對原有網絡用的賬號和密碼進行盜取使用，同時也可以對上網用戶位置進行準確定位；（4）為了防止用戶賬號出現非法共享和漫游資費的情況，需要寬帶接入服務器和個人用戶賬號在radius設備中進行圈定；（5）依據BAS的內存和實際情況決定保留流量數據的多少，并控制使用BAS設備的用戶數量，以保證網絡安全正常的運行。第三點是從寬帶專線用戶方面，采取相關安全措施，對此可以做到以下幾點：（1）控制用戶端口連接的數量，以防止外界危害的入侵；（2）圈定使用用戶的基本信息，確定網絡用戶的位置，阻止非法網頁的入侵；（3）設置ACL設備的控制列表信息，通過對外界網頁進行多層次的過濾，減少對網絡設備的危害，并阻止危害網頁消息的出現，確保網絡更安全。

2.3接入層的網絡安全

通過對接入業務、寬帶上網業務和VPN業務進行接入，以降低網絡使用者對網絡造成的危害。其主要連接方式是XDSL、LAN和WLAN這三種，從用戶的網絡安全進行分析，得出以下兩點措施。一方面是阻止側用戶端口的接入，利用物理隔離和邏輯隔離這兩種方式進行網絡隔離。其物理隔離主要使用的是單主板安全隔離計算機和隔離卡技術這兩種隔離方式，以確保內部網絡不直接或間接與公共網絡進行連接，以此達到真正隔離的目的；而邏輯隔離則是采用虛擬局域網、訪問控制、虛擬專用網、端口綁定等手段進行個人網絡和公共網絡間的有效隔離。通過以上兩種隔離手段，有效保護個人網絡賬號信息的安全，以防外界用戶對原用戶的干擾。另一方面則是對用戶寬帶的流量加以控制，利用完整的軟件應用能力和充足的流量管理經驗，以達到完善用戶網絡的目的，促使接入層網絡更安全。

3網絡安全規劃設計實行策略

根據城域網中各層次的特點，從不同方面分析城域網運行過程中出現的問題，采取不同的優化措施，制定合理有效的優化策略，嚴格管理控制網絡數據和信息傳送，促進城域網安全穩定的發展，并利用有效的控制手段優化網絡信息，以確保網絡正常安全的運行。除此之外，還需要網絡用戶對個人路由器信息進行認真設置，使用更高級的賬號登錄密碼，防止網絡病毒的入侵，導致自身網絡系統癱瘓，使用正確的路由器服務，有利于網絡安全平穩的運行。

4總結

綜上所述，根據城域網各層次出現的網絡安全均不同和網絡所承接業務的不同，我們應采取合適解決問題的安全技術方案，改善城域網在各階段的不足之處。在網絡安全技術實行過程中，需要全面考慮到網絡各方面的應用，制定合理有效的安全技術方案，利用合理的安全防護技術，改善城域網網絡規劃設計中出現的不足之處，只有確保城域網的整體安全，才能達到全面完善網絡系統，從而促進城域網健康穩定的發展的目的。

參考文獻：

[1]龔儉，陸晟，王倩.計算機網絡安全導論(第1版)[M].東南大學出版社，2000.

[2]李逢天.網絡運營中的網絡安全問題及解決思路[J].電信技術，2002.

[3]楊建紅.計算機網絡安全與對策[J].長沙鐵道學院學報(社會科學版)，2005.

篇2

影響通信網絡安全的因素主要是技術因素、環境因素。因此，安全的通信網絡規劃設計需要對這兩個因素重點關注。要綜合的分析考慮，進行整體性的規劃，使通信網絡的規劃設計滿足安全性的要求。

1通信網絡的保障方式

通信網絡包括網絡信息以及用戶信息，因此，通信網絡的安全非常重要。通信網絡的保障方式包括：（1）實時對信息的完整性進行監控；（2）確保信息傳輸的安全；（3）信息的操控需要進行身份認證；（4）設定安全級別，控制非法訪問；（5）對信息的傳輸、操作進行實時、詳細的記錄。

2通信網絡的安全需求

信息網絡是信息傳輸的載體，在信息的傳輸過程沒有被用戶掌控，因此，用戶會擔心信息在傳輸過程中被非法訪問、竊取、破壞等，因而產生了對通信網絡安全的需求，也就是通過通信網絡進行信息的傳輸，信息的機密性、完整性、不可破壞性能夠得到相應的安全保證。

3通信網絡安全分析

綜上所述，必須要考慮通信網絡的安全性，依據實際情況，進行安全的通信網絡規劃設計。安全的通信網絡規劃設計方案如表1所示。下面將從通信網絡的安防工程、信息安全、網絡安全、鏈路安全四個方面，對通信網絡的安全進行具體的分析：（1）通信網絡的安防工程。通信網絡的安防工程是安全的通信網絡的根本保障，為通信網絡提供了一個安全的環境。其環境有以下幾個明顯的特點：傳輸設備隨著信息的增多而增加，環境復雜化；空間容量隨信息的增加以及通信網絡結構的變化而逐漸增加；通信設備趨向于智能化、模塊化；體積隨著空間容量的增多反而逐漸減少。隨著通信網絡環境的改變，其規劃設計對安全的要求也逐漸的提高，因此通信網絡的安防工程顯得十分重要。（2）信息安全。網絡具有開放性的特點，導致信息的容易被非法非法訪問、竊取、破壞等，因此，需要特別關注用戶身份識別、信息的存儲、信息傳輸等關鍵點，確保信息安全。例如，采取創建公鑰密碼的身份識別方式，確保信息的機密性；構建信息數據庫，信息管理系統化，保證信息的完整性；對信息內容進行審計，對信息進行安全的管理，防止非法入侵破壞信息的完整性，保證信息的機密性。（3）網絡安全。網絡其開發性的特點，使之安全性受到一定的威脅。要達到網絡安全的要求，需要對通信網絡加強控制和管理。例如，可以使用防火墻技術將內外網絡分離開來，對網絡進行管理和控制，并不斷根據實際的情況提高防火墻技術、加密技術、入侵檢測等相關技術，提升網絡安全。（4）鏈路安全。通信網絡中鏈路安全會受到設備所用技術的影響。因此，應從以下幾點加強鏈路安全：降低其維修的難度，對附加操作量進行一定的控制；保留網絡本身的性能特點；為了實現系統的拓展，保持拓撲結構的原型；合理、合法的使用一些密碼產品等。通過以上方法，對鏈路安全進行加密，信息送達后再進行解密。

4結束語

對于安全的通信網絡規劃設計，可以從以下五個方面入手：①對在通信網絡中進行傳輸的信息進行加密設計；②針對通信網絡入侵檢測技術進行相關的研發，提升技術水平，提高通信網絡的防御水平；③構建安全網管系統，確保通信網絡的安全；④對通信網絡中節點內系統進行重塑，提高安全防控能力；⑤對通信內部網絡協議進行規劃，確保通信網絡內部協議的安全性，使通信網絡安全運行。總而言之，進行通信網絡規劃設計時，一定要對其安全性進行科學、合理、深入的分析，采取具體措施提高通信網絡的安全性，構建科學、合理，安全、穩定、高效的通信網絡系統。

參考文獻：

[1]陶卓.關于通信光纜網絡線路規劃設計問題的思考[J].通訊世界，2015，24：15~16.

[2]曹杰.試析電力光纖通信網絡的規劃設計的問題[J].中國新通信，2016，08：47.

篇3

全國政協委員、民銀國際投資有限公司董事長何幫喜告訴《中國經濟周刊》記者，“中國制造 2025”戰略、兩化深度融合和多層面互聯互通政策帶來產業的大規模提檔升級，工業控制和基礎設施智能化發展很快，但工控網絡安全領域問題突出，防護薄弱，因此，電力、水利、石化、冶金、汽車、航空航天等面臨前所未有的工控網絡安全威脅，民航、鐵路、城市交通、水電燃氣管網等涉及國計民生的關鍵基礎設施同樣安全防護嚴重滯后，面對工控網絡威脅的防護能力幾乎為零。

針對當前現狀，何幫喜委員在提案中建議，應盡快將工控網絡安全防護納入國家戰略，以建設國防事業的

標準和力度去投入發展工控安全產業，避免重蹈互聯網安全產業起步晚、技術落后受制于人的覆轍。

網絡戰爭逼近眼前

精確攻擊工控系統漏洞代碼能癱瘓一個國家

何幫喜對《中國經濟周刊》記者說，工控系統中的“漏洞”就像身體出現疾患，如免疫力下降、內分泌失調，病毒會利用這些漏洞入侵人體，產生不良反應，工控網絡安全領域的漏洞，如Havex、“方程式”組織攻擊等，像“火星文”一樣難以理解，但精確攻擊工控系統“漏洞”，其破壞性超出想象。如2014 年出現的Havex 漏洞，有能力禁用水電大壩、使核電站過載，甚至可以做到按一下鍵盤就關閉一個國家的電網。所以，工控網絡安全“漏洞”小則導致工廠癱瘓，大則造成核電站爆炸、地鐵失控、全國停電等災難性后果。

他說，“在工控網絡安全領域，代碼已經成為一種武器，以美國為代表的各國政府已將工控系統漏洞代碼列為軍備物資限制出口和交易，對一個國家重要設施的精確打擊不再需要使用傳統軍事手段，通過網絡戰即可癱瘓一個國家。”

據悉，近年來，網絡戰爭逼近眼前，各國間的網絡“軍備競賽”繼續加強，網絡摩擦不斷增多，大規模網絡沖突爆發的風險進一步加劇。

何幫喜認為，工控網絡安全領域因涉及國家的核心基礎設施和經濟社會穩定大局，輻射范圍廣泛，成為國家間對抗的全新手段，其威懾力和影響力不亞于傳統戰爭。2016 年黑暗力量病毒攻擊烏克蘭電網造成大面積停電等事件表明網絡戰爭正在我國周邊地區發生。

形勢嚴峻 機遇難得

工控網絡安全產業亟須快速崛起

何幫喜委員告訴《中國經濟周刊》記者，首先，當前工控網絡安全行業缺乏頂層設計和發展規劃。去年《網絡安全法》出臺，“網絡強國戰略”納入“十三五”規劃，國家網絡空間安全頂層設計明顯加強。但工控網絡安全的重要性尚未達成共識，頂層設計仍不明確，工控網絡安全與傳統信息安全存在較大差異，亟須進行專題研判，并制定行業發展規劃。

其次，重要工業制造業領域大量使用國外工控設備。目前，國外工業生產設備提供商已在各領域壟斷了工

業生產控制系統和設備市場。以我國工業PLC 市場為例，2015 年西門子、三菱、歐姆龍、羅克韋爾、施耐德等5家國外廠商占據超過80% 的市場份額，國內廠商不但不掌握這些設備的核心技術，更不掌握系統的安全設計，漏洞和后門的風險與日俱增。

不過，何幫喜委員補充說，嚴峻挑戰也帶來難得的后發機遇。目前，第四次工業革命到來，打破發達國家

對核心技術、工藝和標準的壟斷，工控網絡安全作為新興產業迎來難得機遇。

“工控網絡安全正在成長為一個戰略性新興產業，與我國現代工業融合發展，在提高工業智能化水平的同時，將本產業做大做強，形成產業優勢，為我國基礎設施建設領域植入安全基因。”何幫喜說。

潛力巨大 前景可期

應從五個方面加強工控網絡安全產業發展

何幫喜委員建議，應從以下五個方面加強工控網絡安全產業發展：

一是從戰略高度加強工控網絡安全頂層設計，明確責任部門。該行業涉及工業控制、智能制造、能源管理、安全生產、信息化建設、網絡犯罪治理等多個領域，必須從戰略高度加強我國工控網絡安全整體戰略規劃和頂層設計，進行專題研判，同時加強政府各部門間的協調，具體工作要落實到責任部門。

二是建立完備的工控網絡安全體系，掌握芯片級核心技術。以自主安全工控芯片為基礎，加快工控網絡安

全體系建設、技術與產品研發，解決工控設備本體安全、結構安全、行為安全，為工控注入安全基因，實現本質安全，并在持續對抗中保持領先優勢。

三是大力扶持新興工控網絡安全企業，鼓勵技術創新和產業化。工控網絡安全是跨學科的技術融合，新興

企業的顛覆性技術是創新的重要來源。我國目前已涌現出一批如匡恩網絡等具備深度科研能力的、有活力的工控網絡安全企業。應大力引導和扶持該行業民營企業的發展，培育良好的產業生態，促進具備自主知識產權的先進技術實現產業化落地。

篇4

[3]吳良源.全力打造實戰型網絡警察隊伍[D].信息網絡安全，2005（10）：2.

[4]我國網絡安全立法體系框架[OL].http：///zt/xxaqcx/aqfg/201306/t20130603_645720.htm.

[5]史偉奇，周建華.網絡安全監察專業人才培養方案研究[J].江蘇警官學院學報，2012（3）：2.

[6]劉長文，佟輝.網絡安全與執法專業建設若干問題初探[J].北京人民警察學院學報，2012（7）：1-2.

[7]霍宏濤，王任華.公安院校計算機犯罪偵查專業方向課程體系改革研究[J].北京電子科技學院學報，2006，14（1）.

[8]郭啟全.網絡信息安全學科建設與發展[J].中國人民公安大學學報：自然科學版，2003（03）：36-39.

基金項目：中國人民公安大學調研項目（項目編號：2013JXDY22）。

作者簡介：

篇5

1 網絡規劃方案

1.1 網絡設計原則

計算機網絡技術的發展非常迅速，在計算機應用領域占有越來越重要的地位。必須認識到，建立計算機網絡是一個動態的過程，在這個過程中將不斷有新技術產生，有新產品出現。因此，一定要采用最先進的組網技術，選用代表當今世界潮流趨勢的計算機公司的網絡產品，才能在未來的發展中保持技術領先。該網絡設備采購與集成工程要充分體現技術先進性、功能實用性、操作簡便性、數據共享性和系統擴展性等特點，同時兼顧投入成本和今后升級費用。具體應達到幾點要求。

緊貼用戶需求：網絡建設的最根本的目的是滿足用戶的需求，并在未來的網絡發展中能夠有一定的擴展性。

可靠性：網絡設計中網絡設備和鏈路本身具有高可靠性，是網絡中一個重要的指標。

層次結構：網絡的層次結構的劃分，主要是用來區分各層的主要功能，建立合理的網絡結構。

實用性：網絡設計一定要充分保護網絡系統現有資源。同時要根據實際情況，采用新技術和新裝備，還需要考慮組網過程要與平臺建設及開發同步進行，建立一個實用的網絡。

安全性：安全性非常重要，除了系統提供多種安全控制的手段外，網絡設計也要提供保障其安全的手段。

1.2 網絡邏輯結構設計思想

分層模塊化設計的優點。

可擴展性：由于分級模型易于模塊化，它對網絡設計非常有用。因為每層設備有類似的，明確定義的功能。

設計的靈活性：使網絡容易升級到最新的技術，升級任意層次的網絡不會對其他層次造成影響，無需改變整個環境。

可管理性：層次結構使單個設備的配置的復雜性大大降低，更易管理。

網絡層次的劃分：按照當前網絡技術和應用的發展，網絡中各部分所需要承擔的功能的不同，把網絡分為三個層次：接入層（Access　layer）、匯聚層（Distribution　layer）、核心層（Core　layer）。

2 詳細的網絡設計

2.1 整體網絡拓樸結構設計

整個網絡采用層次化設計，從網絡的邏輯結構來看，網絡分為三層，即核心層、匯聚層和接入層。

2.2 核心層的設計

以機關大樓二樓的信息中心機房、102工房的指揮調度中心機房、綜合樓的一樓配線間為中心組成一個單模雙環萬兆主干網，核心設備選用3臺高檔路由器。

2.3 匯聚層的設計

在信息中心機房、指揮調度中心機房、綜合樓/科研樓、101工房制絲中控室、102工房卷包中控室、101工房動力中控室分別配置兩臺交換機，每臺交換機各自以萬兆方式就近接入核心層路由器，同時兩臺交換機之間也以萬兆線路連接。

2.4 接入層的設計

接入層是網絡的最邊緣部分，直接連接網絡用戶終端，為網絡提供通信。它的主要目的是允許最終用戶連接到網絡。采用千兆光纖線路連接本樓匯聚層的交換機，以10/100/1000M電口連接終端，同時考慮到無線系統的部署，接入交換機還要提供無線接入點的接入。

2.5 IP地址規劃

2.5.1　IP地址規劃的重要性

網絡的設計及實現新廠區IP地址的分配，采用動態分配、集中管理辦法。IP地址的合理分配是保證網絡順利運行和網絡資源有效利用的關鍵。IP地址空間的分配與合理使用與網絡拓撲結構、網絡組織及路由政策有非常密切的關系。

2.5.2　IP地址分配方案

為適應不同規模的網絡，可將IP地址分類，稱為有類地址。每個32位的IP地址可以分成網絡部分和主機部分。每個地址的最高位或起始幾位標識地址的類別，共有5類IP地址，分別是A，B，C，D，E類地址。

2.6 VLAN的規劃

以太網交換技術的一個主要特征是VLAN，它使用交換機將工作站和服務器聚集到邏輯概念上的組中。在一個VLAN中的設備只能夠與同一個VLAN中的設備通信，這樣，一個交換式的網絡工作起來就像是許多互不相連的單獨的LAN一樣。

2.7 路由設計規劃

路由器使用路由選擇協議交換路由選擇信息。內部網管協議（IGP）和外部網管協議（EGP）是路由選擇協議的兩種家族。由于此網絡為3級網絡系統，骨干網絡有一定規模，合適的路由協議將有利于路由快速的收斂，實時反映網絡系統中鏈路和設備的變化，并減少網絡上的路由信息傳輸量，提高網絡帶寬的利用率。

3 網絡安全設計與實現

網絡安全包括兩個主要方面：首先保護你的網絡防止非授權訪問；其次，確保你在發生災難性事件后能夠恢復數據。在第一個方面中可以采取建立安全策略來達到此目的。數據恢復是網絡安全的第二個方面。

3.1 網絡安全的設計

在局域網內部，為對整個網絡的安全狀況進行有效的評估，建議配置網絡安全掃描設備，對包括Internet/Extranet外部網絡接口、內部主機在內的整個網絡進行掃描，在不斷變化的網絡中識別并分析安全弱點（Proactive　Software），同時快速生成超鏈接的、定制、可編輯的報告，幫助用戶找到網絡中的安全薄弱環節，從而調整安全策略，控制風險。

3.2 網絡安全的實現

1）在網絡中配屬防火墻，作為企業廣域網和局域網之間的邊界控制。Cisco可提供PIX硬件防火墻、IOS路由器防火墻和交換機上的防火墻模塊。

2）對所有網絡設備的管理必須經過身份識別和監控，Cisco所有的網絡設備都支持復雜的AAA功能，支持Radius和TACACS+等多種協議，更可以支持信息的加密傳輸如SSH和SNMP　v3。

3）作為主動的防護手段，　IDS入侵探測設備，可與防火墻配合使用，當偵測到入侵時，可動態修改防火墻的策略，關閉入侵者的連接和IP通道。

4）Cisco提供豐富的網絡安全管理軟件，小到Cisco　Works上的一個組件，大到專門的策略管理器，應有盡有。

4 結束語

篇6

工業控制系統是制造業基礎設施運行的“大腦”，廣泛應用于電力、航空航天、鐵路、汽車、交通、石化等領域。2010年“震網”病毒攻擊伊朗核設施，2011年“火焰”病毒入侵中東國家，2015年底“黑暗能源”病毒攻擊烏克蘭電網……一系列突發事件表明，工業控制系統的網絡安全面臨嚴峻的挑戰。無論以美國為代表的“工業互聯網”，還是以德國為代表的“工業4.0”，都將工業控制系統的網絡安全視為重中之重。

中國政府對工業系統的網絡安全同樣極為重視。2011年開始，國務院先后出臺的《工業轉型升級規劃（2011-2015）》、《關于大力推進信息化發展和切實保障信息安全的若干意見》、《中國制造2025》等一系列文件，都強調了兩化融合中網絡安全保障的重要性。

然而，與工業系統的快速數字化、信息化和智能化相比，中國工業控制系統的網絡安全保障進展緩慢，防護薄弱，問題仍較為突出。

烏克蘭電網被攻擊后，國內相關網絡安全公司的監測報告顯示，在國內交通、能源、水利等多個領域的各類工業控制設備中，完全暴露在外、可以被輕易攻擊的多達935個。有些城市和地區的工業控制系統面臨較大的安全風險。

造成這一隱患的原因眾多，關鍵是一些企事業單位在借助信息化提高生產效率的同時，沒有考慮工業控制系統的網絡安全防護。而即使認識到工業控制系統安全的重要性，在系統改造實施過程中，由于沒有專業知識、人員和部門支撐，所采取的安全措施也往往浮于表面，未得實效。

從實際情況看，中國的工業控制系統雖然還沒有發生影響巨大、后果嚴重的網絡安全事件，但不少領域的企業都已經或多或少遭遇了因計算機病毒引發的安全事故。如果上升到國家安全層面，一旦這些控制系統的安全漏洞被利用，將有可能導致核電站過載、電網停電、地鐵失控等災難性后果，這絕非危言聳聽。

面對日益嚴峻的網絡安全形勢，加強工業控制系統的網絡安全保障迫在眉睫。既要有國家自上而下的體系化頂層設計，也要有產業和企業自下而上的探索與實踐。

從國家層面來看，在保障體系的機制建設上，需要一個高規格的協調機構，以應對關鍵基礎設施和重要系統可能遭受的高強度攻擊，同時組建以工業企業、信息網絡、公共安全為主的應急聯動機制，制定應急響應處理辦法。

與此同時，做好重點行業的工業控制系統威脅情報研究，各方聯動，形成合力，提供有價值的威脅情報信息，建立更有實用性的威脅情報庫，為政府機構、安全廠商、企事業單位提供更好的支持。

篇7

[2] 高峽，陳智罡，袁宗福.網絡設備互連學習指南[M].北京：科學出版社，2009.

[3] 田斌，田虹，潘利群，等.高校校園網工程建設方案設計與實施[J].武漢理工大學學報，2009（1）.

[4] 牛賀峰.中職學校數字化校園建設的問題及對策[J].職業時空，2011（5）.

[5] 余紹軍.校園網的安全與防火墻技術[J].長沙航空職業技術學院學報，2003，（4）.

篇8

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1007-9416（2016）11-0162-01

近年來，某高職院校適應經濟社會發展對應用型高技能人才的需求，主動謀變，科學轉型，人才培養質量有了顯著提升，同時為了加快發展，于2015年征地800畝，開始建設新校區。新校園的網絡設施建設是基礎設施建設的重要環節，其規劃及設計既要充分考慮與老校網絡的互聯互通，技術方案、設備選型又要適當超前規劃，考慮未來學校的長遠規劃。

1 現狀與需求分析

1.1 校園網絡現狀

（1）網絡核心設備。目前該校的網絡核心設備主要是華為NE系列核心交換機組成，有少量采用h3c設備。華為NE系列交換機是具有三層交換功能的高端交換機，性能十分穩定。各網絡節點之間用高速光纖接入。服務器以采用IBM刀片服務器為主。

（2）主干線路。目前，該高職院校的校園網主干線路為千兆，主干線路連接主交換機與二級交換機，二級交換是各網絡節點與桌面電腦之間，大部分為百兆，擬升級為千兆。

（3）網絡覆蓋率及上網速度。該高職院校所有建筑單元均已覆蓋校園園，百分之百的公用電腦均已入網。學校網絡已接入中國教育教研骨干網絡。

（4）網絡拓撲結構。該院校目前的網絡拓撲結構以集中式為主，結構比較合理，但是隨著校園網網絡用戶數量的不斷擴大，現有的網絡負載量急劇增長，擴容十分必要。具體拓撲結構如圖1所示。

1.2 新校園網絡建設需求

該高職院校新校區目前在校生10000人，預計2020年要達到15000人的規模。教工用戶穩定在2000人左右。新校區按照電工、電子、機械、人文等專業群劃分為四個教學功能區，電工與電子專業集群共用實驗樓，機械與數控等專業共用一個實驗樓。

2 新校區網絡設計原則

新校區網絡建設與新校區基礎設施建設遵循同步設計、有序施工原則。在新校區土建方案中即考慮網絡管線設計，確定好核心點和匯聚點的位置、接入接式。網絡建設與中心機房建設同步進行，遵循一個數據標準。

3 系統總體方案設計

3.1 網絡拓撲結構設計

該院校網絡拓撲設計考慮兩種方案：

（1）星型結構。以圖文信息大樓為中心，兩臺核心交換設備構成核心層；文科組團、理工組團二、生活區、各建一個匯聚點，學生公寓設置3個匯聚點，以上7個匯聚點用雙鏈路接入核心層構成匯聚層；每個建筑體接入臨近匯聚點，構成接入層。網絡中心設在核心層圖文信息大樓中。

（2）環型結構。以圖文信息中心、文科組團、理工組團二、學生公寓四點建立一核心環，用雙鏈路連接保證可靠性，該環構成核心層。在公共教學組團、文科組團、理工組團一、理工組團二、生活區各設置一個匯聚點、學生公寓區設置三個匯聚點，各匯聚點用雙鏈路平均接入核心環結點構成匯聚層，保證負載平衡。每個建筑體接入臨近匯聚點，構成接入層。網絡中心設在核心環上圖文信息大樓中。

經與新校區建設指揮部協商，并征求施工方及專家的意見，確定該高職院校新校區網絡設計方案采用兩種方案結合的方式進行。即在網絡主干布線時采用第二種方案，在二級結點之間采用第二方案。

3.2 新、老校園網絡接入

由于該高職院校新、舊校區物理上相隔較遠，自成一體。在新校區網絡設計時，必須考慮租用第三方運營商線路。本院校租用了電信的萬兆級裸光纖，用以新、舊校區高速數據交互的需要。新校區的校園網與中國教育科研網的連接復用老校區的出口。

3.3 網絡安全保證

（1）建立電子身份體系。以該校一卡通管理為依托，為該校每一個學生建立一個網絡身份證，并與教工用戶使用不同的密鑰系統。實行“集中授權、統一認證”，保證用戶身份的真實性、唯一性和權威性。用戶密鑰采用硬件、軟件加密系統，并引入口令卡技術，確保用戶個人的信息安全。

（2）網絡安全系統。網絡安全系統主要有硬件防護和軟件防護組成。該高職院校硬件防護主要是在校心交換上布設了內外網隔離網閘、防火墻，在網絡服務器部設入侵檢測系統及資源管理系統，實時監測服務器CPU、內存、磁盤陣列的資源負載情況；軟件防護主要購買了綠盟病毒防護系統、安捷數據庫訪問審計系統。從硬件、軟件兩方面建立了該高職院校的校園網網絡安全防護體系。

4 結語

本論文主要結合某高職院校新校區的建筑部局，對該高職院校新校區的網絡建設需求進行了分析，并給出了新校區網絡拓撲的兩種方案，最后采用兩種方案融合進行的思路，充分考慮了未來新校區網絡建設的發展需求。網絡安全是網絡規劃與設計中需要考慮的重要內容。本論文也給出了該高職院校網絡安全保障的建設內容，包括建立電子身份體系、防火墻、入侵檢測、病毒防護、VPN等安全系統和網管系統，并給出了該高職院校網絡安全的防護結構示意圖。本論文的研究對于大學新、老校園的網絡建設具有重要的參考意義。

參考文獻

篇9

（2）學生從大二第二學期才開始接觸到信息安全課程，在入學初期沒有培養起對信息安全的興趣，不了解信息安全的基本概念、重要性以及與信息安全有關的就業崗位，教師也沒有為學生科學地制定大學4年的學業規劃。

（3）隨著物聯網和云計算的普及，各種網絡安全攻擊手段和保障網絡安全的技術不斷推陳出新。目前，信息安全的一些專業課程還只是停留在基本原理的講解上，沒有做到與時俱進，很少講授前沿的網絡安全應用及其存在的安全隱患及解決方案。教師沒有引導學生利用發散性思維并投入到對前沿網絡技術和安全技術的研究中。

（4）缺少網絡安全工具實訓。現在很多網絡安全工具都是開源工具如Backtrack等，掌握這些工具需要花費大量時間，因此需要開設網絡安全工具實訓課程，讓學生掌握如何配置、安裝、使用和定制個性化的開源工具。

（5）缺少安全軟件設計等實踐課程。信息安全專業的學生除了要能夠利用安全工具進行系統安全測試外，還要掌握如何防御和解決系統安全漏洞，另外，還有很多學生希望從事安全軟件開發工作。這就要求高校設置安全軟件設計開發類的課程，幫助學生掌握安全軟件開發過程中所需的知識和技能。

（6）缺少創新思維的培養。國內大學生的創新性較歐美大學生有所欠缺，因此要注重信息安全專業學生的創新思維培養，并且要從大一開始就進行創新思維的鍛煉。

二、網絡安全教學中融入創新思維培養的實踐

結合東華大學計算機科學與技術學院培養信息安全專業學生創新能力的經驗，我們闡述如何從學生入學到畢業的4年間培養其創新思維和實踐能力。

2.1培養學生對專業的興趣

首先，我們要積極發揮班級導師的作用。網絡安全的任課教師可以擔任信息安全專業學生的學業導師，學業導師在學生入學后通過學習方法和學業規劃等主題開展學習交流會，在會上介紹網絡安全的知識結構、科學背景、發展趨勢、行業需求、就業領域，并引用前沿網絡安全技術和最新的網絡安全隱患案例和視頻，如利用智能手機安全漏洞和“云”查殺病毒技術等案例激發學生的興趣。興趣是學生的學習動力，學生是教學的主體，在教學中對課程的參與度高低直接影響整個教學成果，因此要提高學生的學習效率，首先要增強他們對網絡安全技術的興趣。導師應在易班網上學生活動社區或其他社交網站上建立網絡班級，保持與學生的日常溝通，為學生選課提供幫助；協助學生進行學習生涯規劃，同時為專業學習提供幫助；在網上班級設置“我的Idea”專題，讓學生在論壇里發表自己的創新想法，如要做什么樣的系統或軟件解決生活中遇到的一些問題。該階段學生還沒有實現這些軟件的技術能力，導師可以指導學生學習某方面的技術以實現這些有創意的想法。

2.2以賽代練，參與國家和市級大學生創新

項目和高水平信息安全競賽在創新實踐中，輔導員和學業導師起著非常關鍵的作用。學業導師都是計算機學院的在職講師或教授，他們可以把自己主持或參與的科研課題介紹給學生，讓學有余力的學生參與學業導師的課題研究，一方面培養學生的自學能力并積累科研所需的知識，另一方面培養學生的創新思維。輔導員和學業導師經常組織學生參加信息安全大賽，如全國大學生信息安全競賽和信息安全技能大賽。同時，為了鼓勵學生進行科技創新，東華大學計算機科學與技術學院每年組織學生參與全國和上海市的創新實踐項目申請，學生組團挑選專業課教師作為項目導師，共同探討創新課題、撰寫科技創新項目申請書并提交給專家組，學院組織專家評選20多個創新性高且可行性強的課題并給予資助，在大四上學期對給予資助的項目進行結題審核。學院鼓勵獲得上海市級以上大學生創新實踐項目的學生將創新實踐項目的實施與大四畢業設計（論文）相結合，獲得專利創新設計的學生還可提前完成畢業設計并參與創業基金項目的申請或到優秀企業實習。在這些科技創新項目中不乏優秀作品，如基于手勢識別的文檔加密系統的開發、基于Android的動態一次性口令生產器開發、基于Android系統的短信隱私保護軟件的開發等。學院每年舉辦的這種創新性競賽激發了學生的創新思維、團隊合作意識、項目管理和軟件設計開發能力。參與科技創新競賽學生的學習成績和項目實踐能力遠遠高于平均水平，同時他們的創新能力和工程實踐能力也得到廣大教師和實訓單位的認可，大部分學生獲得了直研和被優秀企業聘用的機會。

篇10

1 網絡空間安全的教學體系

網絡空間安全是一門交叉性學科，融合了數學、信息論、計算復雜理論、控制論、系統論、認知科學、博弈論、管理學、法學等學科知識，其研究內容不僅涉及非傳統網絡安全理論與技術，如網絡安全、網絡攻防、網絡安全的管理、信息安全等，還囊括網絡應用的安全，如數據的恢復與取證、輿情分析、工程系統和物聯網安全等。與其他學科相比，網絡空間安全不僅采用理論分析、實驗驗證、技術實現等常規手段，還采用逆向分析等技術，從攻方和守方兩個不同的角度分析當前網絡空間安全所面臨的威脅[5]。網絡空間安全的教學體系框架如圖1所示。

2 課程改革的發展與建設

2.1 課程體系教學改革

現有的網絡安全或信息安全教學體系分為兩種，一種是傳統課堂教學模式，另一種是互聯網在線教學。傳統課堂教學模式可以實現良好的師生互動，但是授課內容大都是授課教師擬定，學生不能根據自身喜好、知識水平、技術能力等實際情況選擇適合自己的課程。基于互聯網的在線教學雖然解決了學習地域以及時間受限的問題，但是還存在缺少互動實踐環節、不能及時鞏固練習及反饋學習內容的問題。針對兩種教學模式的固有缺點，結合網絡空間安全的學習更需要可知、可感和可實踐的特點，教師可嘗試設計網絡空間安全課程的實踐教學模式，涵蓋可實施性的應用教學案例，滿足更輕量、更豐富且更自由的新型學習理念，提高學生的創新能力與實踐能力。

2.2 實踐教學課程建設

網絡空間安全實踐教學設計采用層層深入各個知識點、關鍵技術的原理演示與課后練習實踐等多種教學模式，課程設計要能夠理清網絡空間安全學科涉及的各個主要教學內容，融合網絡空間安全、網絡安全和信息安全相互之間的聯系和區別。

實踐教學的內容設計涵蓋了學習者所需要的大部分重難點知識體系。學生既可以通過實踐教學系統搭建仿真環境自主學習，又可以點播、跟蹤指導教師授課視頻進行學習，不斷強化學習者對網絡空間安全的整體規劃意識。這個整體規劃意識是網絡空間安全、網絡安全、信息安全相互之間的聯系，三者之間存在相互區別又相互促進的關系。

每節課都提供詳細的PPT教案與教學視頻供學生學習，課程涵蓋基本的知識量且在完成規定的授課學時后，還將課程進行深度與廣度的拓展，如挖掘應用技術和國內外網絡空間安全領域發展的最新進展，不僅為學生提供充足的、具有自主性的學習資源，還可為教師提供一次學習提高的機會。課程中除了知識講解，還需設定學生提出問題并布置作業的模塊。完善建設中的實踐教學系統如圖2和圖3所示。

3 實踐教學體系結構

文獻[6]提出 “一個通過規則管理的虛擬的空間，這種空間稱為‘網絡空間’。網絡空間的安全涉及設備層、系統層、數據層和應用層這四大層面上的問題，這是網絡空間安全概念的初步定義。教學內容建設是課程建設的核心，綜合考慮教學內容的可實踐性、可擴展性、綜合完備性等方面因素之后，我們利用網絡自主學習的整體性原則，把網絡空間安全課程的教學內容劃分為設備安全、系統安全、數據安全和應用安全4個部分，每一部分重視和強化實踐與實驗環節，強調學生自學能力，以激發學生獨立思考的思維。實踐教學內容見表1。實踐教學內容體系框架如圖4所示。

4 實踐教學任務規劃

4.1 教學規劃

綜合表1和圖4，具體的教學任務安排如下。

（1）設備安全：①防火墻建設與保護，如Linux防火墻配置、事件審計、狀態檢測等；②入侵異常檢測，如HIDS部署實驗、入侵行為檢測實驗、異常行為檢測等；③容災數據安全備份，如NAS存儲、Linux RAID實驗、IP SAN存儲管理等；④通信安全，如語言保密通信實驗、MAP信息安全傳輸、認證實驗等；⑤服務器安全，如Linux日志管理、遠程桌面安全配置、Windows網絡管理等；⑥無線保護，如無線組測試、WEP密碼破解測試、WPA配置測試等。

（2）系統安全：①操作系統安全，如Web安全配置、Linux用戶管理、FTP服務安全配置等；②數據庫安全保障，如MYSQL與SQLServer的安全審計、數據的安全備份與恢復等；③身份認證，如動態口令認證系統實驗、人臉識別與檢測編程實驗等；④安全審計等，如文件事件審查、網絡事件審查、主機監控實驗等。

（3）數據安全：①密碼學及應用，如密碼學、PKI、PMI等；②密碼破解，如Linux密碼破解、Win密碼破解、遠程密碼破解等；③信息防護，如圖像信息和音頻信息的隱藏與加密實驗等。

（4）應用安全：①計算機病毒，如腳本病毒實驗、木馬攻擊實驗、PE型病毒實驗等；②網絡掃描與嗅探，如網絡連通實驗、路由信息探測實驗、網絡嗅探實驗等；③逆向工程，如Aspck加殼、 Aspack反匯編分析、逆向工程高級實驗等；④網絡欺騙，如ARP_DNS欺騙實驗、MAC地址欺騙實驗、DOS攻擊實驗等；⑤緩沖區溢出，如緩沖區溢出初等級實驗、緩沖區溢出中等級實驗等。

4.2 實施路徑

實施路徑涉及教學內容的安排、教學大綱的撰寫、實驗驗證與仿真、原理演示、實驗步驟、復習討論等方面，每一章節內容的路徑設計如圖5所示。

網絡空間安全實踐教學系統的設計具有以下4個方面的特點：①云部署，課程資源包部署于云端，可隨時隨地開展學習和分享；②進度掌控，隨時掌握學習進度情況，通過作業了解學習效果；③斷點保存，保存實驗進度，分階段完成課程；④靈活擴展，教師可靈活定制和調整課程，系統可靈活擴展和完善。