400-808-1731期刊服务 在线咨询7X16小时在线
公务员期刊网 精选范文 网络安全设计方案总结范文

网络安全设计方案总结精选(九篇)

网络安全设计方案总结

第1篇:网络安全设计方案总结范文

关键词:网络优化;设计分析;网络技术指标

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)34-0064-04

本文紧密结合铁路自然灾害及异物侵限监测系统的业务需求及铁路通信系统现状,灵活利用现有技术手段,形成一套安全、可靠、合理、易于实施的网络建设优化方案。

本文主要结合灾害监测系统网络现状,从广域网通信技术,网络拓扑结构和网络安全几个方面入手进行分析,对现有网络方案进行了设计优化,提出优化方案,并给出相应的网络技术指标。

1既有系统网络情况

灾害监测系统包括现场监测设备,监控数据处理设备和终端设备,网络结构也包括了这几个层次。根据对既有线路的网络情况调研,如厦深线,温福线,沪昆客专江西段等,发现如下问题:

? 各线路网络方案各异,无网络架构规范;

? 网络指标不明确;

? 缺乏有效的网络安全防护手段;

? 网络质量无法监控,出现故障不易定位;

2网络方案设计分析

2.1广域网通信技术选择

铁路自然灾害及异物侵限监测广域网包括线路数据处理中心与基站、终端、路局中心、相邻线路中心之间的网络通信设备及线路。从统一建设、集中维护、节省投资等多方面考虑,自然灾害及异物侵限监测网络应充分利用既有铁路通信专网资源进行构建。目前可供选择铁路通信平台主要有SDH(同步数字体系)、MSTP(多业务传送平台)、IP数据网、工业级IP光纤环网四种。

从业务容量来讲,以上几种通信网络都可以满足本系统的需求;从安全性来讲,IP数据网不适宜;从可靠性上来讲,除IP数据网以外,都有类似环形的保护机制和低延迟切换机制;从性价比来看,工业级IP光纤环网投资性价比较低,且本系统不能够与其共用网络。因此,本系统不适宜采用IP数据网和工业级IP光纤环网进行构建。

相比SDH,MSTP技术显然更适合本系统。因此,应优先采用MSTP方式来构建。在不具备MSTP接入条件的情况下,可采用SDH方式。

2.2网络拓扑结构设计

2.2.1灾害监测系统组网方案

目前,已开通的高速铁路灾害监测系统均采用以太网技术组网,以多业务传送节点(MSTP)魇湎低匙魑信息承载平台,其通信组网方案主要有环型、星型和树型 3 种结构。

环型网的组网原理是利用MSTP传输设备的二层交换功能在每个网元以太网业务处理板的二层交换模块中建立虚拟网桥,利用虚拟网桥互连组建环型网络, 星型网是最简单的组网方式,它利用以太网私有专线(EPL)方式在现场监控设备和监控数据处理设备间建立一个点对点的网络。

树型网采用 EPL与EVPL(以太网虚拟私有专线)相结合,分层汇聚收敛的方式传送防灾安全监控系统信息,构成一个逻辑上是星型但物理上是树形的网络, 通过前面的分析可知,3 种组网方案各有优缺点,如表1 所示。

2.2.2汇聚车站与中心网络构架方案

线路处理中心与汇聚车站是典型的一对多通信模型,适合用MSTP网络承载。考虑到MSTP在物理线路上具有完善的环网保护功能,并可以增加基于MSTP的二层环网保护。这样整个网络中存在两套冗余机制,完全可以满足系统对网络平台安全性的要求。

线路处理中心与基站间的内部逻辑架构建议采用双星型和双环型两种方式:

2.2.3线路中心之间网络构架方案

线路中心之间组网方案取决于业务需求。假设有A1、A2、A3、…An共n个线路中心,这n个线路中心可能有数据交互,也可能没有数据交互。如只有两个线路中心,可以使用MSTP点到点模式直接组建直连双网,如有两个以上线路中心进行互联,则建议采用网络通道采用网状或部分网状构建,带宽根据业务需要设计。

2.2.4路局中心与线路中心之间网络构架方案

路局中心集中接入各个线路中心,以实现统一调度和管理。网络架构采用MSTP构建双网,如果线路中心相对独立,可以直接点对点接入路局中心;如有多个线路中心需要数据交互的情况,则可采用网状或部分网状架构。网络带宽依据所接入的业务需求进行设计即可。

2.3局域网安全设计

网络安全设计主要从防火墙技术、入侵检测技术、网络隔离技术几个方面考虑,设计网络安全方案。

在不同线路中心之间、局中心和线路中心之间、本系统和其他系统之间等边界接口处,应采用硬件防火墙进行数据访问控制。通过在防火墙上部署相应安全策略,阻断未经允许和授权的非法访问,来保证边界访问安全。

在同一系统内部,主要考虑线路数据处理中心与基站、终端之间的访问控制、隔离及相关防病毒措施,具体如下:

1) 为减小广播风暴的影响范围,采用了vlan隔离技术。

2) 服务器、终端、监控主机都启用了操作系统自带的防火墙功能,通过合理的策略设置,来禁止系统内部的非法访问。

3) 服务器和各终端均部署防病毒杀毒软件,并开启威胁实时防护功能,一旦感知到有病毒威胁,则自动采取扫描、隔离、清除等措施,确保病毒无法感染、传播;另外,需定期下载安装最新病毒库,并进行全盘扫描。

4) 各个网络接口处考虑网口防雷方案。

3网络优化方案以及技术指标

3.1数据处理中心网络方案

3.1.1广域网

广域网采用双网冗余架构,并采用延迟小、保护特性完备的传输专网通道,接口为RJ45。终端至数据处理中心广域网采用点对点、双网结构,基站至数据处理中心广域网采用双网、MSTP 点到多点以太网汇聚架构。

应优先采用MSTP方式来构建。在不具备MSTP接入条件的情况下,可采用SDH方式。

3.1.2局域网

局域网采用双网冗余架构:数据处理中心采用2台三层核心交换机,组成A、B两套网络;数据处理中心的服务器配置A、B两块网卡(地址也分为A、B两套,每个网卡上配置一套),分别上联至2台核心交换机上;监控终端同样配置双网卡,分别通过2条通信通道连接至数据处理中心的2台核心交换机。同时,数据库服务器和应用服务器采用双机集群配置,监控软件采用双收双发策略。这样,当其中任意服务器、交换机、网卡、应用软件发生单点故障时,都能保证业务不中断,最大限度地保证了系统的高可用性。

数据处理中心的主要设备连接图如图3所示:

3.2网络拓扑结构方案

通过前面的分析可知,3 种组网方案各有优缺点,如表2 所示。

根据以上分析,网络拓扑结构的设计方案优先考虑树形结构。

汇聚车站与中心的网络架构建议采用双星型和双环型两种方式。

线路中心之间、路局中心与线路中心之间建议采用网状或部分网状构建,带宽根据业务需要设计。

3.3网络示意图

通过以上的分析和设计,形成铁路自然灾害及异物侵限监测系统的网络示意图,具体如下:

3.4网络安全优化设计

3.4.1广播风暴的抑制

解决广播风暴需要从监控和管理两个方面进行解决。

1)保证网络设备及线缆质量

在资金允许的条件下使用较高档次的网络设备及线缆,保证网络通信质量。从硬件上减少故障发生机率。

2)避免出现环路

优先使用星型、树形的网络拓扑结构。

3)做好恶意软件的防控工作

应部署专业的杀毒软件,并及时进行病毒库;原则上应2周升级一次病毒库;加强日常病毒管理和查杀;严格控制U盘和光盘等高风险移动介质的使用。主机应卸载不必要的服务、关闭不必要的端口,以最大限度地减少漏洞,提高系统的安全性和可靠性。

4)充分利用网管软件和工具进行监控和定位

应使用网络管理软件,对整个网络运行状况进行定期有效监控,故障时可迅速定位故障源头。

5)采用VLAN技术

VLAN是一种将局域网从逻辑上划分成一个个网段,从而实现虚拟工作组的数据交换技术。VLAN不能消除广播风暴,但可以有效地隔离广播包的传播,限制和缩小广播风暴的影响范围,因此在工程中得到了广泛应用。它通过在以太网数据帧基础上增加的VLAN ID字段,实现了把物理交换机划分成若干个不同的逻辑交换机的功能。

按照实现方法的不同,可以分为基于交换机端口的VLAN、基于计算机MAC地址的VLAN和基于IP地址的VLAN三类。

在灾害监测系统中应综合使用前两种方式进行VLAN划分。

3.4.2 ARP欺骗的优化及解决

ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,对应于数据链路层,基本功能就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址,以保证通信的进行。

ARP自身存在着很多安全缺陷,因此成为网络攻击的主要目标之一。

为避免ARP攻击带来的危害,一方面可利用杀毒软件进行ARP病毒的查杀;另一方面,可综合利用交换机设备提供的多种ARP安全特性(如ARP报文限速、ARP Miss消息限速、ARP严格学习、ARP表项限制、ARP表项固化、动态ARP检测等),对ARP的攻击进行防范、检测和应对,从而屏蔽ARP攻击,保障网络设备的安全运行。

上述安全策略各有侧重点,但大多可以互相叠加、协同生效,可根据应用场景特点及设备特性灵活配置。

3.5网络技术指标

1) 应优先采用MSTP方式来构建。在不具备MSTP接入条件的情况下,可采用SDH方式。

2) 灾害监测系统网络拓扑结构宜星型、树型的方式来组网。

3) 对于监测点数量多,分散广,数据量小的子系统(如气象监测、异物监测),考虑到带宽容量和控制以太网广播域大小,为合理节省通信资源,建议优先采用双环型结构,每个2M环内不宜超过10个基站。对于监测点较少、数据量较大的子系统(如地震),可优先按照双星型考虑,每个监测点独享一个2M通道。

4) 灾害监测系统监控数据处理设备处的核心网络交换机采用知名品牌,并按照双路供电配置。

5) 在不同线路中心之间、局中心和线路中心之间、本系统和其他系统之间等边界接口处,应采用硬件防火墙进行数据访问控制。

6) 设备互联网线通过室外h境需考虑防雷方案,室内网线布设距离大于50m时需考虑防雷方案。易发生雷雨天气地区在监控单元接入网络前需考虑防雷方案。

7) 服务器和各终端均部署防病毒杀毒软件,并开启威胁实时防护功能,一旦感知到有病毒威胁,则自动采取扫描、隔离、清除等措施,确保病毒无法感染、传播;另外,需定期下载安装最新病毒库,并进行全盘扫描

8) 灾害监测系统内设备IP根据统一的规范设置。

9) 害监测系统建设需考虑完备的网络监控方案。

参考文献:

[1] 铁总建设.86号铁路自然灾害及异物侵限监测系统工程[Z].设计暂行规定,2013.

[2] 铁总运.146号高速铁路自然灾害及异物侵限监测系统铁路局中心系统总体方案(暂行) [Z].2014.

第2篇:网络安全设计方案总结范文

【关键词】数字化校园 设计方案 调研 设计 论证

数字校园是以网络为基础,利用先进的信息化手段和工具,实现从环境(包括设备、教室等)、资源(如图书、讲义、课件等)到活动(包括教、学、管理、服务、办公等)的全部数字化,在传统校园的基础上构建一个数字空间,以拓展现实校园的时间和空间维度,提升传统校园的效率,扩展传统校园的功能,最终实现教育过程的全面信息化,从而达到提高教育管理水平和效率的目的。 它是网络化的信息传输、数字化的信息资源和智能化的用户终端,三者有机的结合。如何完成数字化校园的设计工作,制定好数字化校园设计方案,成为数字化校园建设中的重头戏。

1 设计前的调研工作

调研工作是完成设计的基础,没有这项工作,设计方案将成为无源之水、无本之木。作为数字化校园工程的设计者,必须从以下几个方面进行调研:

1.1领导重视程度的调研。数字化校园建设工作投资数千万,资金数额较大,接到设计任务后,要调研业主是否成立了有主要领导担任组长、数字化校园专家担任成员的领导小组,了解领导的意图、专家的意愿,还要关注资金的落实情况。

1.2业主单位规划的调研。积极与业主单位沟通,对该单位的数字化校园建设工作是否有规划进行详细调研,了解数字化校园建设工作是分期实施还是一次建设到位,做到少走弯路,多走捷径。

1.3校园网络建设情况调研。接到数字化校园设计方案的设计任务后,必须到业主单位,深入了解目前该单位的校园网络建设情况,例如六盘水师范学院目前的网络状况如下:1、电信接入带宽100M ,教育科研网2M。2、学院目前只相当于一个大局域网或者是一个大网吧。3、硬件基础设施老化,应用系统缺乏,已建应用系统相互独立,资源不能共享,形成资源浪费。

2 数字化校园设计时的关键要素

2.1把握设计原则。设计过程中一定要把握好以下设计原则:A、总体原则:高速、安全、稳定、可靠、可管可控、可运营。B、先进性原则:校园网的设计要充分应用已经成熟的先进技术,如:IPv6技术,使校园网在未来数年内不落后,在全省甚至全国处于领先水平。C、可扩充原则:要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地;D、开放原则:开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控,实现设备的统一管理;E、安全可靠性原则:设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施;F、整体规划分步实施原则:充分考虑整体的需求,并可以实现校园网建设分步实施,后期建设不浪费原有的投资。

2.2网络拓扑结构的选择。网络拓扑结构是指网络电缆构成的几何形状,它能表示出网络服务器、工作站的网络配置与互相之间的连接,主要有星型、环型、总线型、树型及总线/星型及网络拓扑结构。六盘水师范学院数字化校园设计方案采用的是树型拓扑结构,它是一种分层网,结构对称、联系固定、容错能力强、属于广播式网络,无需对网络改动即可扩充工作站。

2.3设备的选型。设备的选型直接关系到数字化校园的成本投资,设备有高端、中端、低端三类,统一选用高端设备例如思科等设备,性能稳定,维护成本低,但造价高,安全性不理想。统一选用低端设备例如锐捷等,造价低,但维护成本高。为此,要做到高中低端设备兼容,造价合理,数字化校园设计方案才具有可行性。

2.4设计方案中的项目设计。数字化校园设计方案包括的项目主要有基础网络设计、综合布线系统设计、网络安全设计、一卡通系统设计、数字图书馆设计、OA办公系统设计、邮件系统设计、校园视频监控系统以及校园广播系统设计、录播系统设计(含微格教学系统设计)等。六盘水师范学院数字化校园设计方案中按照10000人规模,按照国家教育部对本科院校的评估要求来做。校园新的基础网络初步规划为核心十万兆,主干万兆,千兆到桌面。在初期采用百兆、千兆自适应,逐步淘汰百兆网,达到全千兆网到桌面。中心机房两个,在电信或其他运营商处租用服务器存放相关网络数据;楼宇之间采用24芯光纤,主干网之间采用64芯光纤连接,各连接之间至少留一组以上备份线路。图书馆楼将作为学院以后网络中心机房,其他楼房网络都从这里接出来。网络须考虑教育网和电信网络的双接入。

3 设计方案论证工作

3.1业主单位专家论证。设计方案完成后,立即提交业主单位,有业主单位组织本单位专家对方案作详细论证,找出设计方案的优缺点,特别是基础网络及综合布线系统中关键问题的处理,同时,让专家与后勤部门人员座谈,就一卡通中存在的问题答疑。根据业主单位提出的修改意见,多次将设计方案不断的修改,做到尽善尽美。

3.2省内外专家论证。由业主组织省内数字化校园建设工作的专家召开专家委员会议,面对面听取意见,就设计方案的科学性、可行性、安全性进行论证,形成专家组意见后,由专家签字确认,作为数字化校园设计方案的佐证。为保证方案设计理念的先进性,可征求省外专家的意见,使得修改后的设计方案更具有说服力。

4 结论

完成数字化校园设计方案的设计工作如果进行设计前调研、设计中善于把握关键问题、设计后能够通过专家论证完善设计方案,那么,该方案将具有一定的实用价值。

参考文献:

[1]张维.实战网络工程案例[M].北京:北京邮电大学出版社,2005.

第3篇:网络安全设计方案总结范文

关键词:高速铁路;防灾安全监控系统;CAN

Abstract:Through the analysis of hierarchical structure of the disaster prevention and safety monitoring system of high speed railway, this paper discussed the networking scheme of the network management and the network of the disaster prevention and safety monitoring system of high speed railway, and then proposed one kind of system networking basing on the CAN bus .

Key words: high speed railway; disaster prevention and safety monitoring system; Controller Area Network(CAN)

中图分类号:U238 文献标识码:A 文章编号:

防灾安全监控系统作为铁路信息系统的一个子系统,其功能是对各种危及高速铁路运行的自然、事故灾害进行监测、报警,提供经处理后的灾害预警信息,为综合调度中心运行计划调度、下达行车管制、抢险救援和维护维修作依据,保证列车安全正点、高效舒适。防灾安全监控系统由风监测系统、雨量及洪水监测系统、地震监测系统、轨温监测系统、突发事故异物侵限及非法入侵防护系统组成。本文从系统的硬件和网络构成入手,探讨系统的组网方案。

一、系统层次结构

高速铁路防灾安全监控系统包含两个层次的网络,上层网络为管理网,下层网络为现场网。

1、管理网

高速铁路防灾安全监控系统是一个广域互连的计算机网络,需要将防灾安全监控的车站、区间、工区、变电所等局域网和调度中心局域网通过数据网或TDM电路互连。

管理网以主监控中心和区域监控中心为主的二级网络。其作为防灾安全监控系统的上层网络,负责收集、汇聚下层现场网络数据,对数据进行处理、产生告警等信息,将信息传至综合调度中心,并在综合调度中心信息共享,进行系统联动和控制;同时负责接收、转发综合调度中心下达的维修防护、抢险救援指令,并控制下层设备网络的相关动作。

2、现场网

现场网主要由监控点、传感器、控制器、执行器等现场设备组成,是一个原始数据采集的底层网络。根据监测地点的不同,现场设备可以设置于车站、工区、区间、无人值守机房、变电所等。

现场网主要负责采集现场原始数据,上传至网管理网;同时根据管理网下传的指令进行相应动作,并维护自身的稳定运行。

二、系统方案设计

1、设计原则

(1)充分利用铁路数据网和传输网基础资源,构建铁路防灾安全监控系统信息网。

(2)充分考虑系统的实时性,数据上传、指令下达所经过的节点不应太多。

(3)各现场子系统的资源应能有效共享,尽量构建在统一的监测平台上。

(4)各子系统应能适应铁路沿线的恶劣环境,在灾害降临时,底层设备应能不受干扰的、有效、可靠的运行,单监测点的失效应不影响整个系统的运行。

2、组网方式

(1)管理网

主监控中心一般为综合调度中心。设置各类服务器、数据库、协议转换设备、网络设备及各种监控终端等,实现其接收、处理、存储各类信息,输出告警、共享数据及指令下发、转发等功能,并完成与外部其它系统的接口互联。主监控中心网络结构如下图所示:

主监控中心局组网图

区域监控中心一般为综合维修工区。通过设置各种接入、处理设备,将现场监控点数据进行汇聚并上传至主监控中心。区域监控中心的组网如下图所示:

区域监控中心组网图

(2)现场网

监控点位于车站、区间、变电所等。监控点接收现场设备采集的监测数据、对数据进行正确性分析、告警判断,并对现场设备进行直接管理。监控点可输出实时告警信息,对于需要综合历史数据、联动其它系统进行分析计算才能确定的信息,则上传至上级监控中心进行处理。监控点是管理网与现场网的连接部分,并具备直接管理现场设备的功能,是整个系统设计成败的关键所在。

监控点的核心是连接管理网和现场网的网关设备。该设备主要实现以下功能:

 接受现场数据,并对数据进行正确性分析

 与上级监控中心的通信功能

 告警判断功能

 实时告警数据的暂存功能

 设备自检、故障告警功能

该设备主要提供以下接口:

 与现场采集设备的接口(总线接口或其它)

 与监控终端(后台设备)的本地、或远程网络接口(RJ45或其它)

 网络管理接口(RJ45或RS232)

 与上级监控中心的网络接口(E1或其它)

为保证监控点的可靠性,网关设备宜采用双机热备的工作方式。监控点组网如下图所示:

监控点组网图

底层设备包括传感器、控制器、执行器等,是防灾安全监控系统的基础设施。底层设备的组网方式灵活多样,借鉴工业控制领域现场总线的成功运用经验,在此提出基于CAN(Controller Area Network)现场总线组建防灾安全监控系统监测网络的方案。

CAN总线具备多主工作方式、无站址通信、带优先权的总裁技术、短帧传送、出错及故障监测等技术特点,能较好的解决信息传输的实时性、可靠性和准确性;其总线组网方式能将各子系统有机的整合;尤其适用于节点多而分散、实时性要求高、现场环境干扰大的铁路防灾安全监控系统。

以铁路各车站、变电所、无人值守机房及区间的风、雨洪水、轨温、火灾、地震、异物侵限及非法入侵监测传感器,门禁、消防控制器、执行器为底层网络节点,以CAN总线组建底层网络。CAN总线网上位机作为作监控点与底层设备之间的网关,监控点工作人员通过后台设备查询现场监测数据及设备运行状态,控制机通过铁路数据网或专用TDM电路上传至上级监控中心。

底层CAN总线网络工作原理为:CAN总线设置为主从式工作,CAN上位机负责监控各个从机(CAN节点),向从机指令,并接收、处理从机传来的监测数据,输出告警;从机执行主机的指令,向主机传送监测数据或控制部件动作;由于通信信号传输到导线的端点时会发生反射,而且反射信号会干扰正常信号的传输,因此,总线两端应接有终端电阻,以消除反射信号,其阻值应当与传输电缆的特性阻抗大致相当。底层设备网络如下图所示:

基于CAN的防灾安全监控系统结构图

基于CAN总线设计的监测系统有较高的使用价值,而且价格低廉、可靠性高。同时系统还具有高可扩展性,在需要多通道采集的情况下只需添加少量的采集模块即可;组网方式灵活,铁路沿线车站、区间、车站房屋、通信信号机房等需要监控的的点都可挂接在CAN总线上;还可将AD、DA、开关量、计数器、控制器等模块进行集成,形成通用数据采集模块,进一步减少现场设备。

三、结语

本文通过分析高速铁路防灾安全监控系统的管理网、现场网的网络结构,给出一种适合的组网方案,其结论可为高速铁路防灾安全监控系统组网方案提供借鉴。

参考文献:

[1]Bosch公司 CAN 协议规范 V2.0版本.

[3]雷森.现场总线控制网络技术[M].电子工业出版社.

[4]史久根,张培仁,陈真勇.CAN现场总线系统设计技术[M].国防工业出版社.

第4篇:网络安全设计方案总结范文

关键词:一体化;安全域;信息安全

1.引言:

随着全国信息化建设的发展和消防信息化的深入,消防业务应用系统数量和提供服务的用户数不断增加,同时,公安部消防局统一开发的一体化消防业务信息系统逐步在各总队深入推广应用,因此,为保障总队信息系统的稳定可靠运行,总队在部局规划指导下,开展一体化信息系统信息安全保障项目建设,构建设计动态积极安全防御体系,保障全局一体化业务系统稳定可靠地运行。

2.系统特点

一体化消防业务信息系统是公安部消防局根据十一五期间信息化建设项目总体实施方案统一规划设计,根据整体业务进行需求分析研发的信息系统,系统实现了纵贯部局,总队,支队,大队,中队各级,横跨各业务部门的信息资源共享,互联互通。系统以基础数据及公众服务两大平台为建设核心,包含灭火救援指挥系统,消防监督管理系统,部队管理系统,公众服务平台,综合统计分析信息系统五大业务系统。并针对一体化业务平台,提供二次开发接口,保证和其他业务信息系统的衔接。系统采用面向服务的SOA的设计理念,最终实现音频,视频,数据的综合集成,使一体化业务系统能实现互联互通互操作。

系统建设主要依托“金盾工程”,利用“金盾工程”的现有公安网基础网络和信息资源,按照网络应用环境不同,分为公安信息网(以下简称“公安网”)应用系统、互联网应用系统、公安网与互联网同步应用系统。公安网应用系统是指仅在公安网上运行的消防业务信息系统,互联网应用系统是指在非公安网运行的消防业务信息系统。公安网与互联网同步应用系统是指同时在公安网和非公安网开展业务应用、并且相互间有数据交换要求的消防业务信息系统。

根据部局的一体化系统建设指导方案和系统设计架构,总队结合当前实际情况,对一体化消防业务信息系统暂采用混合部署模式,即整个总队的一体化业务系统的应用及服务均部署于总队信息中心,由总队统一规划,统一管理,开展一体化消防业务信息系统体系建设。

3. 系统信息安全管理体系设计

为保证一体化消防业务信息系统的高可用性和高可控性,总队按照武警消防部队信息化建设总体方案的要求,对全总队网络信息安全设备配备及部署进行统一规划、设计,购买相应设备,利用信息安全基础设施和信息系统防护手段,构建与基础网络相适应的信息安全管理体系。

3.1总队信息安全管理体系安全域划分

由于总队内部计算机数量众多,并涉及到公安网,互联网以及政务网多个网络的应用,为便于管理和控制网络广播风暴的发生,应根据计算机所属部门、物理位置、重要性的不同,把局域网划分为多个虚拟子网(VLAN1…VLANn)。根据各VLAN间的安全访问级别不同,实现各VLAN间的安全访问控制。

根据各类软硬件设备提供应用的范围、面向的用户群以及影响面、重要性的不同,站在全局的高度,合理划分安全域,确定安全需求和访问控制策略、安全硬件部署策略。

总队安全域划分:

(1)核心业务处理区:涉及一体化消防业务信息系统中的部分业务系统。该安全域中的业务系统支持本地内网的业务应用,无需与外部实体进行数据或业务的交互。

(2)119接处警系统区:涉及119接处警系统所有应用服务器、数据库服务器、数字录音仪、接处警终端以及其它附属设备。本区域设备支撑119报警的受理、处置、调度、反馈以及灾后数据分析等全流程业务应用,为全内网应用。总队119接处警系统将与一体化消防业务信息系统的灭火救援系统开发数据接口。

(3)特殊业务受理区:涉及一体化消防业务信息系统中部分业务系统,主要是面向移动终端的业务接入,包括灭火救援、消防监督的业务受理系统,特殊业务受理区的受理服务器可以将受理的业务数据“摆渡”到业务处理区进行处理,在得到处理区服务器的反馈后,再将反馈信息回传到移动终端上,完成整个业务处理流程。

(4)特殊业务处理区:涉及灭火救援指挥、消防监督的业务处理系统,实时处理由业务受理平台“摆渡”过来的数据,在处理后反馈给特殊业务受理区的受理服务器。

(5)内网终端区:由内网中的办公终端组成,内网终端区用户可以访问网络中授权访问的业务系统。

(6)内网管理区:将内网中的各类管理服务器置于内网管理中,集中进行安全策略的定制、下发,集中监控各类系统运行状态。主要包括设备管理、终端管理、防病毒管理等。内网管理区由内网中具备相应管理权限的管理员来访问。

3.2信息安全保障体系构成

总队信息系统安全保障技术体系由物理安全、通信网络安全、计算环境安全、数据安全、安全基础支撑和安全管理构成。其中,安全基础支撑为物理安全、网络安全、计算环境安全和数据安全提供支持,安全管理为整个安全保障体系提供全面的管理。

安全基础支撑主要涉及总队一体化系统中的身份认证与授权系统,包括服务器计算机硬件设备以及安全认证网关设备。通过部署身份认证与授权系统及安全认证网关于核心业务处理区,确保总队认证服务及CA系统正常运行,利用数字证书登录访问一体化消防业务信息系统的模式,加强一体化系统的访问控制安全,提高一体化系统的安全级别,是整个系统的基础和支撑,是实现总队信息系统安全保障的共性设施。

数据安全包括数据库入侵检测系统、数据库访问控制系统、数据库审计系统、数据容灾备份系统等,用于保障消防信息系统中的所有数据库安全。

总队通过在涉及到一体化消防业务信息系统的业务区对一体化业务系统数据库部署磁盘阵列以及硬盘自备份和移动存储备份方式,设置全量备份,增量备份策略,执行方式为日备份,周备份,月备份以及临时应急备份,确保一体化系统的数据安全可靠。同时通过部署数据库入侵监测及审计系统,加强系统的数据库安全,确保数据库无故障和稳定运行 。在核心业务信息系统和需要重点保护的信息系统中部署数据审计系统,实时监控数据库各种账户的数据库操作行为(如插入、删除、更新、用户自定义操作等),从而降低数据库安全风险,保护数据库安全。

网络安全包括隔离防火墙、网络入侵检测设备、信息内容审计监控等设备,主要在各级区域网络互连的边界位置进行安全防护和访问控制,对进出网络的数据进行实时的检测与访问控制,以发现异常流量,并进行分析、阻断和报告。

根据安全域划分,总队在各安全域间部署防火墙,并在防火墙上设置相应策略,实现安全域间的访问控制。在核心交换机上部署网络安全审计系统,在网络边界部署一台入侵防护系统,实现对外部流入数据的监测,一旦发现入侵行为及时报警并依据策略进行阻断。同时利用IPS系统的恶意代码防护模块对网络出口处的数据进行恶意代码防护。在核心交换机上利用入侵检测系统针对所要监控流量端口做镜像,实现对流经核心交换机的流量进行监测,一旦发现入侵行为或恶意行为,及时进行报警。

计算环境安全:通过公安网一机两用监控系统以及互联网一机两用监控两套终端安全管理监测系统对安全域内的终端设备进行监测管理及系统补丁集中分发工作,结合部署在公安网和互联网上的防病毒软件系统服务器进行集中控制和病毒防控升级工作,对部署在总队局域网的计算机终端、服务器、及其运行的应用系统进行安全防护。

物理安全包含环境安全,设备安全,介质安全三个方面。通过信息中心机房的门禁系统、防雷设施、防火设施、稳压UPS电源,机房温、湿度监控系统及LED显示,声光报警等多种手段及措施,构筑我总队一体化消防业务信息系统的物理安全防护体系。

安全管理主要指综合安全管理中心,通过集中的安全管理,保障整个安全系统在统一的安全策略指导下运作,通过制定统一的安全管理协议、安全管理接口规范和安全管理数据格式,实现对用户、设备、事件的统一集中管理,实现信息系统中各类安全设备的统一管理,安全服务的实时监控和安全审计,并提供安全策略的实施和维护。

目前,总队通过部署NCC网络监控和BCC业务系监控平台,对安全域的网络设备以及各业务服务器应用,数据库等设置阀值和策略,进行集中管理,通过NCC和BCC进行每日巡检。下一步将通过COSS管理平台并平台的二次开发接口,拟对一体化系统的深入推广应用进行全方位监控管理。

3.3信息安全管理体系应急预案制定演练

信息安全管理体系建设的最终目标是保障一体化业务的正常稳定运行,各类防护措施的应用最大程度的降低了安全风险,但由于各种新的病毒、黑客技术层出不穷,制订完善的应急预案,确保系统遭受安全攻击后的可恢复性就成了系统防御的最后保障。

在应急预案中,应明确从单机故障到全网络瘫痪、从影响个人办公到全单位业务乃至造成重大社会影响的不同级别网络安全事件的定义,逐一制订对应的技术措施和管理、处置、上报机制,明确每一个步骤的责任人、责任单位。在应急预案制订完成后,必须通过至少两到三次的不同级别、层级安全事件应急处置演练进行检验,查找缺陷,完善不足,同时根据单位信息系统建设、应用的发展和网络设备的更新不断进行调整,确保应急预案的最后保障作用。

4.结束语

通过安全技术措施及各类软硬件设备组合构筑一体化消防业务信息系统信息安全管理体系,确保系统稳定运行。但安全事故很多时候不是因为技术原因造成的,二是人们没有认识到信息安全,以至于忽视了安全流程或者躲避技术控制措施,对于各类与外网逻辑隔离或物理隔离的专用网络(如公安网)来说,其源自于内部的网络安全威胁比例更高。因此,建立健全单位内部网络安全管理制度,加强网络安全教育,提升内部人员的信息安全意识就成为了增强内部网络安全管理水平的首选措施。

总队在加强信息化建设过程中必须加强安全保密管理,设置安全保密管理机构,制定严格的安全保密管理制度,采用适当的安全保密管理技术将消防信息系统中的各种安全保密产品进行集成,并加强对涉密人员的管理,形成完整的安全管理体系。同时将各类网路安全技术手段和硬件设备进行有机组合,充分发挥各自的技术特长,以物理安全、通信网络安全、计算环境安全、数据安全、安全基础支撑和安全管理六大模块构成一体化信息安全保障管理体系,并辅之以具有高度可行性和可操作性的应急预案和规范的运维机制,做到网络不断,业务不瘫,数据不丢。

参考文献:

第5篇:网络安全设计方案总结范文

无线局域网(WLAN)曾经被认为是一种不可靠的网络,除了加强网络管理以外,更需要测试设备的构建、实施、维护和管理。尽管如此,WLAN还是以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但WLAN的传输技术中,由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,数据安全也就成为最重要的问题。

常熟市供电公司新调度大楼的智能化方案中就考虑了安全使用无线网络的问题,下面我就结合调度大楼无线网络方案的设计具体探讨一下这个问题。(该方案已经完成了设计,还未施工)。

一、 网络现状分析

1.网络现状分析

常熟市供电公司新大楼为17层高的办公大楼,在新建调度办公大楼中进行了信息(数据和语音)系统的综合布线,布线系统中的水平子系统采用六类非屏蔽双绞线进行布放,垂直子系统采用室内软光缆进行布放。其中网络中心机房位于新大楼14层,在1层~17层每层都设置了弱电间。

新大楼的网络使用Cisco Catalyst 6509交换机为核心,在局域网内千兆以太网为主干技术,提供稳定而高性能的多层交换服务。通过千兆以太网方式连接接入交换机,提供客户端10/100M的以太网接入。

随着常熟市供电公司的新大楼的建设,考虑到网络已经成为常熟市供电公司的重要基础设施,应用系统对网络也提出了更高的要求,同时随着单位职工越来越多地配发了笔记本电脑、PDA等灵活的网络接入终端,常熟市供电公司的新大楼需要向本单位用户提供灵活的、覆盖全面的、高速的无线网络接入。

考虑到实施无线网络覆盖后网络面临的一个主要的安全威胁是难以控制资源的访问。因为不管是内部人员或者是外来人员,非法用户甚至无需接触到网络接口就可以连接到网络中,只要将计算机设备进行适当的设置,就可以连接到特定的资源,缺乏对用户进行身份验证和安全检查的方法,所以对用户进行身份验证尤为重要。

常熟市供电公司计划通过域来管理计算机和用户。目前,相应的域服务器已经投入运行,Windows Active Directory已经部署好,这样,新的身份验证系统应该能够和域进行很好的结合,系统管理员只需要对Windows域用户进行管理就可以实现对网络用户接入的管理,以避免管理员同时管理两套独立的用户系统,大大降低了管理成本。

2.网络设计目标

随着常熟市供电公司新大楼的建设,系统信息化的设计要求,结合常熟市供电公司的具体网络结构和应用需求本方案建议书网络设计的目标如下:

通过部署楼层AP完成常熟市供电公司的新大楼的无线网络覆盖

通过一系列技术手段提高无线网络接入的安全性。

二、 网络方案设计

1.无线网络设计原则

实用性

遵循面向应用,注重实效,急用先上,逐步完善的原则;充分保护已有投资,不设计成华而不实的网络,也不设计成利用率低下的网络,要以实用性的原则要求为依据,建设具有最低TCO(拥有的总成本最低)、最高性价比的WLAN。

安全性

常熟市供电公司网络信息是信息的传输交换平台,具有较严格的安全性要求,必须具有高度的保密机制,灵活方便的权限设定和控制机制,以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。

先进性

采用先进成熟的网络概念、技术、方法与设备,既反映当今先进水平,又给未来的发展留有余地。

可靠性

系统必须可靠运行,主要的、关键的设备应有冗余,一旦系统某些部分出现故障,应能很快恢复工作,并且不能造成任何损失。

可扩充

系统是一个逐步发展的应用环境,在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能,这种扩充不仅能充分保护原有资源,而且具有较高的性能价格比。

可维护

系统具有良好的网络管理、网络监控、故障分析和处理能力,使系统具有极高的可维护性。

2.网络设计方案

思科的无线局域网方案,可以很好的实现上面需求分析及设计规范所提出的要求。总体方案结构如下:

通过对常熟市供电公司目前网络现状的论述,结合本次工程的目的的分析,对于常熟市供电公司新大楼无线网络系统建设,我们提出如下方案设计。

结合每个楼层的具体布局,结合相应的现场勘查,在每个楼层部署2-3台AP,上下楼层通的AP布放考虑位置交错,以提供更好的无线网络覆盖。

通过部署基于身份的网络访问(IBNS)技术提高无线网络的接入安全,通过IBNS技术,在无线网络接入设备上对网络接入客户端进行认证、授权,可以实现和Windows域帐户结合对客户实施VLAN划分,网络权限分配等功能。

常熟市供电公司无线网络逻辑结构设计图示如下:

根据常熟市供电公司大楼的信息点部署,物理分布和实际网络结构特点,建议选用思科特有的集中无线网络解决方案,整体划一,系统管理,准确定位,高效运营,全面满足无线网络的业务需求,同时为今后的应用拓展(如无线WLAN电话,无线Video等)做好充分的技术平台准备。

如图1所示,基于新大楼局域网络,首先部署1台思科的WLAN控制器WLC4402-50,能够支持对50台AP全面系统深入的管理,在未来也可通过升级以支持更过数量的AP,目前为止,整个大楼预计共需要AP设备45台,因此由1台WLC4402实现对楼内全部AP的统一管理控制。WLAN控制器能够提供2个GE端口,接入已有的核心局域网交换机。

三、 网络安全性设计

目前,无线LAN已经形成了主流趋势,各类公司都想把有线LAN和无线LAN进行集成。网络管理人员希望无线LAN能够提供和有线LAN一样的安全性、可管理性以及可伸缩性。

其中最主要考虑是安全性,包括访问控制和加密。访问控制保证敏感数据只能由授权用户访问。加密则保证发射的数据只能被所期望的用户接收和理解。

有线LAN的接入是在LAN的以太端口接入时进行管理。因些,有线LAN的访问控制常常以物理端口接入方式进行监视。同样,由于有线LAN的数据传输直接送到一定的目的地,除非有人使用特定的设备在传播路径上进行截听,信息一般不会泄露。简而言之,除非LAN物理上遭到破坏,否则不会发生信息的泄密问题。

在无线LAN中,传送的数据是利用无线电波在空中辐射传播,它可以被发射机覆盖范围内任何无线LAN客户机所接收到。无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备。配置无线LAN时,以太网端口相当于可以设置在任何地点,包括停车场,无法像有线LAN的端口那样进行控制。由于没有办法把无线LAN发射的数据定向到一个特定的接收设备,所以数据保密成为最重要的问题。

IEEE 802.11b标准含有确保访问控制和加密的两个部分,这两个部分必须在无线LAN中的每个设备上配置。拥有成百上千台无线LAN用户的公司需要可靠的安全解决方案,可以从一个控制中心进行有效的管理。缺乏集中的安全控制是无线LAN只在一些相对较小的公司和特定应用中得到使用的根本原因。

所需要的安全方案:

无线LAN身份验证基于设备独立的项目,如用户名和口令等,不论在哪一部客户机上运行,这些项目都由用户拥有和使用

使用由用户身份验证动态产生的WEP密钥,并不是和客户机物理相关的静态密钥

总的来说,为了确保本部分所提到的安全性,无线LAN安全方案应做到:

无线LAN身份验证基于与设备独立的项目,如用户名和口令等,不论在哪一部客户机上运行,这些项目都由用户拥有和使用

支持客户机和验证(RADIUS)服务器之间的双向身份验证

使用由用户身份验证动态产生的WEP密钥,并非和客户机物理相关的静态密钥

支持基于会话的WEP密钥

1.通过基与身份的网络服务(IBNS)来保障无线安全

有多种方式可以保障无线网络的安全性,结合常熟市供电公司的需求以及考虑更高的性价比,推荐在常熟市供电公司采用IBNS(基与身份的网络服务)来保障无线网络的安全。

Cisco IBNS就是基于802.1x (用于基于端口的网络访问控制的IEEE标准)和可扩展验证协议(EAP)等端口的安全标准,并将安全验证、授权和记帐(AAA)从网络扩展到了LAN中的每个连接点。您可在这个全新架构中部署新的策略控制工具(如每个用户的配额、VLAN分配和访问控制列表[ACL])。

通过IBNS技术,在网络接入设备上对网络接入客户端进行认证、授权,可以实现和Windows域帐户结合对客户实施VLAN划分,网络权限分配等功能。目前IBNS已经是一项比较成熟的技术。

(1)设计标准

本设计主要依据的标准为:

IEEE 802.1X

IEEE 802.11b

RFC 2284-PPP Extensible Authentication Protocol(EAP)

RFC 2716-PPP EAP TLS Authentication Protocol

RFC 2865-Remote Authentication Dial In User Service (RADIUS).

(2)设计功能

功能方面:

设计必须支持CISCO以太网交换机端口认证和无线接入认证

无线接入用户的数据传输必须进行加密处理

用户必须通过认证才能访问特定资源

认证能够和数字证书相结合

认证能够和域管理方式相结合

管理员可以方便地配置初次连接到网络的机器,使之达到认证要求

认证系统构件必须支持冗余结构,在某些构件故障的情况下,系统能够继续进行工作。

(3)设计性能

性能方面:

系统必须能够支持至少500个用户,且还能够继续扩充

系统必须能够支持5分钟内500个并发认证请求

(4)系统需求

硬件需求

目前,常熟市供电公司还未完成新大楼的搬迁,未来的网络核心为Cisco 6509。网络接入层交换机均为华为交换机。

未来常熟公司支持实施IBNS的服务器为4台,分别为:

ACS-1:无线网络认证服务器(主)

ACS-2:无线网络认证服务器(备)

PDC:主域控制器(AD1)

CA-1:Microsoft CA服务器

软件需求

服务器端至少需要Windows2000 英文版来支持 ACS 3.3或者Windows2003英文版来支持ACS 4.0。

现在ACS 3.3 可以支持IBNS等,而ACS 4.0已经可以支持NAC。

用户端软件要求Windows XP SP1/ Windows 2000 SP4/Windows 2003。

操作人员

客户机设置完毕后,认证过程在后成,对操作人员没有要求。

管理人员应对操作人员说明认证方式下的网络工作特点:机器未经管理员进行初始设置不能正常使用网络;登录后需要等待网络完成认证才能正常使用网络。

管理人员

要维护本系统,管理人员必须掌握以下技术:

熟悉Windows 平台操作和维护

熟悉Windows AD管理

了解PKI结构及其应用

熟悉交换机的相关配置命令

了解ACS软件的工作原理及基本配置方法

本系统至少应配备两名维护人员,并根据用户数量的多少适当增加。

可以通过大约为期3天的时间对现有的管理员进行培训使之具备维护本系统的能力,培训前管理员应掌握一定的Windows操作和维护的技术,并有一定的英文基础。

(5)系统设计

本系统结构如下图所示:

PC通过无线接入点接入局域网,这些接入设备可以有多台。系统中安装了2台Cisco ACS 认证服务器,用于有线的认证并互为备份。 Cisco ACS服务器需要调用Windows AD数据库,Windows AD中配置了多台域控制器和DNS服务器,也能相互冗余。

系统功能

本802.1X认证系统功能基于在请求者(客户端),认证者(交换机、无线接入点)和认证服务器及域控制器之间的一系列的数据交换。

客户端在接入时认证者并不允许其数据通过或将其临时至于一个专门的VLAN (Guest VLAN),认证者将客户端认证数据传送给认证服务器,认证服务器结合域控制器对客户端进行认证,根据认证服务器返回的认证结果,认证者将客户端接入到相应的子网或阻断客户端连接。

(6)系统操作

管理员操作

管理ACS

在ACS服务器上使用浏览器打开127.0.0.1:2002或者双击桌面ACS快捷图标即可登录到ACS,在添加了管理员账号之后,可以实现远程登录进行管理。远程可以使用远程桌面或者在本地IE浏览器中输入 :2002来进行管理。

ACS在安装设置完毕之后可以自动保存配置基本无需更改其配置。

用户管理

由于用户帐户和属性是通过Windows AD进行管理的,使用Windows管理工具“域用户与计算机”即可完成添加、删除用户和修改用户属性的任务。

详细情况可参考Windows 联机帮助。

客户端设置

第一次连接到交换机,没有配置802.1X认证的PC机会被划入GuestVLAN 56中,在这个VLAN中,用户只能进行加入域、安装指定补丁等操作。

管理员应为客户进行以下操作:

加入域(需要Windows AD 管理员密码);

安装补丁。

启用802.1X认证:在网卡属性的“认证” 夹中选中“Enable IEEE 802.1x authentication for this network”,并选择EAP类型为:Protect EAP(PEAP)。在PEAP的属性选项中,选中“Validate Server Certificate”,并在列表中选中信任的根证书(CZGDJ)。点击配置Secure Password(EAP-MSCHAP v2),确保“Automatically use my windows logon name and password(and domain if any).”已经选中。

配置完成之后重新启动并登录域,客户端应能顺利通过认证并被划入指定的VLAN。

用户操作

对用户而言没有额外的操作。用户只需按正常步骤启动计算机,输入用户名、密码登录到域,计算机会自动使用已安装的数字证书和用户帐户信息连接认证服务器进行认证,稍等一会,网络连接显示“身份验证成功”之后用户即可正常使用网络。

用户应当了解,必须登录到域才能正常使用网络;新购买的计算机或重新安装操作系统后必须经过管理员设置才能正常使用网络。

四、 总结

常熟市供电公司调度大楼的无线方案设计很好的解决了应用需求和安全控制之间的矛盾关系,通过小范围的测试说明,实际应用可以达到设计要求,该方案应该可以为调度大楼的网络传输提供很好的补充作用。同时也说明,无线网络技术在智能化大楼中是可以安全应用的,前提是必须要有一个完备的安全策略和安全技术的支撑。

参考文献:部分内容来源于思科公司技术支持网站。

作者简介

蒋剑,男,1974年4月生,1996年7月从上海电力学院电力系统自动化专业毕业,工学学士学位,同年进入常熟市供电公司工作,一直在信息中心从事系统管理工作。

电子信箱:

通讯地址:江苏省常熟市红旗北路6号,常熟市供电公司信息中心

邮编:215500

第6篇:网络安全设计方案总结范文

为了加强职业教育与企业的联系,提高专业教师实践水平,培养“双师”型专业骨干教师,学校安排专业教师暑期到企业实践活动。我作为计算机专业教师,有幸参加了上海中软计算机系统工程有限公司系统架构师岗位的企业实践工作。专业教师下企业锻炼是提升教师综合素质的重要举措。教师通过下企业锻炼,了解企业生产、经营全过程,提高动手能力,为专业建设与中职培养目标做好市场调研。转眼间,两个月的企业实践已经结束,现将企业实践所见、所闻、所得总结如下:

一、实践时间:2019年7月1日—2019年8月30日

二、实践基地简介

上海电子信息职业教育集团和上海中软计算机系统工程有限公司共建的教师企业实践基地自2013年以来已连续六年成功组织实施了教师企业实践培训活动。六年中上海中软实践基地共接待了来自上海信息技术学校、上海市工程技术管理学校、上海新闻出版职业技术学校、重庆安全技术职业学院、云南楚雄技师学院等20所院校,共计38名学员教师参与了企业实践活动。

上海中软基地为上海市中等职业学校信息技术类专业教师提供互联网应用设计师、系统集成架构师等企业实践岗位,旨在满足教师的企业实践需求,使教师通过岗前培训、原厂商技术知识培训、优秀项目的实地观摩学习、先进设备的参观、实体项目的参与和顶岗实践、学习成果的交流、总结与评审等实践内容,缩短教师理论知识与实际应用之间距离,提升教学内涵。

参培教师通过了解企业工作规范,将相关理念融入到学生培养过程中;了解新技术的发展趋势,进行专业教学知识的更新;及时掌握本专业、学科发展的前沿动态及实际应用情况,努力提升教师的创新、实践能力;通过感受企业文化,了解职业素养,让教师贴近职场,了解企业对人才的需求,将实践的成果转化到课堂教学中去,有效改进教学内容及方法,促进专业教学改革及专业人才培养。

三、实践岗位

系统集成架构师,岗位实践具体内容:

1)参与项目方案的设计或者实施,了解理论知识是如何在系统集成架构设计和部署中体现的,了解理论知识是如何实现项目需求功能;

2)与企业实训集成团队共同探讨,结合最新网络技术、虚拟化技术、软件技术和教师多年教学经验,形成更适合院校的专业发展的成果;

3)参加公司、厂商、合作培训机构举行的技术交流会和产品展示活动,了解新技术以及未来的发展趋势。

四、实践目的和内容

1、实践目的

目的主要是进行现场观摩、上岗操作,熟悉相关专业领域的新知识,切实感受日常教学活动和企业对职工专业素质要求之间的差距,为在日后的教学工作中更好地发挥教学能动性、积极促进教学改革具有深远的现实意义,为计算机专业下一步的专业课程教学做准备。

2、实践内容

本次企业实践我申报的是系统集成架构师项目,项目包含三个阶段,分别是网络工程、虚拟化建设、网络安全。

首先是第一阶段的学习,带教师傅周寅生针对系统架构中最基础的网络工程,给我做了培训。我所实践的工作地点是上海市税务局临江计算机机房,首先周老师带我熟悉了网络架构。

培训内容切合主题,周老师作为企业工程师,对网络工程有很深入的见解。上图中VRRP协议在政府机关的应用是我双项目的学习目标,这个内容是我的学习重点。配合生动幽默的讲解,让我很快的进入状态,结合自己的所学将其应用到网络工程中去。培训中我们学习了网络工程的特点是明确设计目标、详细设计方案、根据权威的设计依据、完备技术文档、完善实施机构。了解网络工程各个层次的专业定位,以及网络工程师需要具备的组织和实施工程的能力,与不同用户进行沟通的能力,独立解决问题的能力及很强的团队协作精神。最后总结了网络系统的集成步骤分别是规划、设计、实施、验收。通过这几次培训,我掌握了网络项目实施中的各个元素,了解了各个知识点如何对应企业当中的岗位,从中总结出更有针对性的教学方案。

网络工程中运维工作具有举足轻重的地位,只有良好的运维才会产生良好的用户体验,下面我着重对运维工作进行总结。通过对实践岗位运维工作的学习,我发现网络运维更适合我们职校学生去胜任,它要求有较高的动手能力,这点恰恰符合我们中职学生的特点。日常运维工作主要包括终端部分和网络部分,终端部分包括客户端电脑的硬件排障,系统及应用软件层面的维护,客户端外设打印机等设备的安装,互联,运维,协助排除税务专网终端电脑系统及生产环境下使用故障,抽查并更新各单位终端资产统计,信息及安全统计,制定终端应用故障Q&A等。网络部分包括接入层,汇聚层网络交换设备,物理链路层信息点维护,内外网用户接入问题,协助服务器维护,核心网络设备维护,网络设备巡检工作。日常运维工作琐碎复杂,如何进行工作绩效,运维工作的数据统计与分析就尤为重要了。

通过对工作内容的量化数据分析,可以直观的反映出工作状态,对今后的工作安排可以合理的安排人力配置,此部分内容需要中职生格外重视,光是有技能是不够的,还要学会工作方法与技巧。

接下来,在经历两周第一阶段网络课程的实践学习后,我们进入第二阶段虚拟化的课程学习。整个学习过程贴近实际,带教师傅周老师从虚拟化的基础架构介绍到虚拟化的实施过程,并为我们展示了服务器虚拟化的架构界面以及虚拟化在实际当中的应用。由于参加学习的各位老师,或多或少都接触过虚拟化。学习过程中,老师们踊跃提问,积极讨论。针对实际需要,向企业专家咨询。通过这一过程,真正的将理论转换为实际。培训完成后,企业专家还热心的给我们提供了很多虚拟化方面的资料,让我们能更深入的学习。我通过这次培训,大概的了解了虚拟化的配置过程,在接下来的实践中,我准备自己动手创建虚拟服务器,将所学转化为成果。

在接下来的培训中,师傅给我们部署了一个网络实践的虚拟环境,并提供了多种类的网络设备的配置方案,让我们进行了网络配置的实践。演示过程,我们结合行政管理学校虚拟化环境的搭建与维护的实施方案,进行了讨论,效果明显。此外,大家对师傅部署的这样一个实践环境,非常感兴趣,希望将这样一个环境作为虚拟实训环境应用到教学中去。这个虚拟实践平台eve-ng,部署在liunx环境底下,其中的实训设备主要是CISCO及华为。所有的网络设备都是使用真实的设备系统运行的,效果更接近于真实环境。师傅给我们提供了大部分的网络设备系统,便于我们实现虚拟网络部署,检验我们的网络实施方案是否可行。通过实训,我们即学到了网络部署方案的撰写及实施,又认识并学习了一个网络实训平台,对今后的工作起到了更好的促进作用。

最后,就是第三阶段的网络安全的学习,企业师傅带我熟悉了企业中日常防护网络攻击的方法,如:arp病毒查找攻击源主机的方法,稽查一局网络事件应急预案V1.1等。

不可否认,网络是把双刃剑。在现今社会,网络越来越普及的情况下,各类网络犯罪日益增多。网络安全不得不引起人们的重视,作为从事信息化管理的人来说,更是工作重点。近期国家安全部提出的等级保护制度,就是网络信息安全的一种监管措施。

本次实践活动,正好给我们提供了这样一个平台,让我们深入企业,了解安全防护的各项知识。分别从系统安全及网络安全对我们进行了培训。在系统安全方面,企业专家整体描述了安全防护的必要性及安全防护的种类。最后,在两类常用于服务器部署的系统中,演示了安全加固的一些实践操作内容。非常实用,很有针对性,整个过程涉及到攻与防。从演示中,我们学到了服务器安全加固的必要性及操作方法,收获很大。

在网络安全方面企业专家根据不同学校的实际情况,对目前常用的几类安全设备进行了分类讨论。总结出不同设备在安全防护中的作用,以及部署的必要性。让我们更加直观的了解网络安全的重要性,在今后的各类项目建设中,安全将成为我们首要考虑的因素。

总结这段时间的实践学习,感触最深的就是,企业的先进技术以及规范的管理理念。一个好的企业,要能成功,一定要有规范的流程,成熟的项目实施经验,完善的管理,合作无间的团队。而我作为计算机教师,同时兼任信息中心的工作,在今后的项目实施中,可以借鉴企业学习到的经验,更好的、规范的管理项目实施。此外,围绕本次实践活动的成果目标,我将总结学习到的知识,跟随项目工程师,将虚拟化的技术应用到教学当中。为学校的信息化建设尽一份力,为学校的信息化教学尽一份力。

五、实践体会

本次实践项目目前都已经圆满结束,整个过程虽然有点苦,有点累,但收获良多,通过这次培训,我开阔了眼界;思考问题能站在更高的境界;许多疑问得到了解决或启发;业务素质得到了进一步的提升。有几点体会如下:

1、企业文化应和职业学校校园文化对接,企业文化的目的,就是要在企业内部倡导和营造一种积极健康、活泼和谐的精神氛围,职业学校的校园里也需要这种精神氛围,应该让学生提前感受到企业文化,通过校园文化感受到企业员工工作纪律性要求和工作态度的严谨作风,使学生在校园内就能在一定程度上了解、熟悉并认同企业文化。企业文化也是培养学生形成良好职业素养的一条重要途径,为今后在企业的立足和发展奠定基础。

2、学生的技能应与企业要求对接,通过这次企业实践,使我了解到职业学校学生在校所掌握的知识与企业需求仍有较大的差距,计算机是一个高速发展的行业,物联网、大数据、人工智能等新的技术手段无时无刻不在影响和改变人们的生产和生活,这就要求我们的教学设备和相关技能要赶上时展的需求,课本上的知识远远不能满足现代行业、企业发展的要求,更多要求学生在专业知识的基础上能够学会应对社会发展的变化。

第7篇:网络安全设计方案总结范文

关键词 说课 信息安全 教学 课程

中图分类号:G424 文献标识码:A

0 引言

本课程为信息安全专业职业岗位课程,服务于高职高专人才培养规划,坚持以行动任务为导向,工学结合培养为主线的人才培养模式。培养学生从事网络安全方案设计、网络操作系统安全部署、网络维护、信息安全管理等相关工作。本文从课程定位与目标、课程设计、教学内容和组织、教学组织与实施、实践条件与教学效果、教学队伍、教学改革与特色创新七个方面对课程进行详细的阐述,对教学理念进行符合高职教学规律的深层次的梳理。

1 课程定位与目标

1.1 岗位需求(如图1)

1.2 课程定位

信息安全基础是高职高专3年制信息安全专业的一门必修职业基础课程,一般安排在第一学期开设,在专业课程体系中起着引领专业课程体系的作用,其后续课程为安全防护工具、服务器安全防护和防火墙配置应用。

1.3 课程学习目标

(1)学习能力目标。通过本课程的学习,进一步培养学生的自主学习能力,掌握网络安全防护的基本过程和方法。

(2)职业能力目标。了解我国网络安全状况和相应的政策和法律法规,熟悉网络安全防护项目的实施过程和要领,能够熟练进行客户机和服务器加固操作,能够设计和实施中小型网络的安全防护方案,了解大型网络安全防护方案的设计与实施要领。

(3)职业素养目标。通过项目设计培养学生的统筹规划能力和工程文档编写能力,通过项目合作培养学生的团队合作意识和能力。

2 课程设计

以培养学生从事网络构建、网络管理与维护工作岗位所需的知识与技能为中心来组织教学。信息安全基础的课程开发流程:市场调研与召开实践专家研讨会 确定相关职业岗位群的典型工作任务 归纳行动领域 行动领域转换为学习领域 学习情境设计 学习子情境设计 课程教学资料建设 实际教学检验。为了保障课程与技术发展相一致,建议完成每个教学周期后,课程组均要依据以上课程开发流程对课程标准和课程内容进行修订。

3 教学内容和组织

3.1 教学内容选取

根据当前网络安全项目的规模,可将网络安全防护客户划分为普通网络用户(ADSL接入)、中小型网络和大型网络,由此根据教学单元设计内容涉及信息安全基础知识、信息系统安全体系、信息加密技术和网络安全实用技术方面来确定网络安全防护学习领域的学习情景如图2。

3.2 教学内容子情境设计组织

(1)普通网络用户安全防护学习子情境设计如表1。

(2)中小型网络安全防护学习子情境设计如表2。

(3)典型校园网全防护学习子情境设计如表3。

4 教学组织实施与重点难点

4.1 教学组织实施

在整个教学过程中,学生一般以小组的形式进行工作学习。在任务工作过程系统化设计情境学习中,要求每个小组选出一名同学担当组长,组长的职责是负责全队的组织协调,分配任务,组织讨论,提交实践报告,成果演示录像呈现,给其他组员评分等。

在具体实施教学过程中,本课程组把基于工作过程教学模式中的六步行动过程总结为教学中的四个环节:任务明确、教师示范、学生实践、展示评价。在这四个环节中,分别把握学生应该掌握的知识和任务,顺利完成教学和对学生的训练。

4.2 教学重点

普通网络用户安全防护方案的制定与实施:由教师首先讲解并演示Windows XP的安全防护操作,学生先学后做;教师指导学生进行Vista安全防护方案的设计与实施,学生边学边做;教师组织学生自主进行Windows 7安全防护方案的设计与实施。

中小型典型网络的安全防护方案的制定与实施:由教师讲解典型网站安全防护方案的设计与实施,学生先学后做;教师指导学生进行典型网吧安全防护方案的设计与实施,学生边学边做;教师组织学生自主进行典型企业网络安全防护方案的设计与实施。

4.3 教学难点

网络安全防护工程方案的设计与实施:通过Windows XP、Vista、Windows 7、典型网站、典型网吧和典型企业网络安全防护方案的设计与实施,掌握一般网络安全防护方案的设计与实施。

5 课程考核标准与教学效果

6 教学队伍

本课程教学团队现授课教师有7人,专业学术带头1人,专职教师中副教授2人,讲师3人,助教1人;其中具有硕士学位2人,在读硕士3人,“双师素质”教师达100%以上;网络架构工程师1人共同实施;达到理论实践的紧密结合,理论支撑实践操作的提高,实践技能验证理论的指导。在教学活动中,教师和学生相互学习,共同提高。本课程在建设过程当中逐步形成了一支学历、职称结构合理、师资配置完善、梯队建设良好、结构比例相对稳定的教学队伍。

7 教学改革创新与努力方向

7.1 教学改革创新

本课程采用校企合作、“教-学-做”一体化的教学模式。由本院与蓝盾股份有限公司紧密合作,组建蓝盾信息安全实验室,为“教-学-做”一体化教学提供了非常好的条件。

教学内容改革:教学内容与岗位工作内容的一致性。

本课程采用:模块课程模式项目(任务)课程模式活动课程模式工作过程系统化课程模式。

考核方式的改革创新

评价依据:过程技能考核+笔试 摒弃了传统的一卷考核方式,更加关注于学生的职业能力和职业素质的评价,创新性地采用了专业交流的方式,通过师生对专业问题面对面的探讨来增强学生的学习动力,同时考查学生专业能力。

7.2 努力方向

完善教学课程内容,探索新的教学手段;建立题库迎合学生考取认证;丰富项目案例资源不断改进教学方法;进一步完善师资队伍结构,培养并形成一支教学水平高、专兼结合的高素质教学队伍。

8 结语

目前,职业教育正处于日新月异的课程改革过程中,努力提升高职教育教学理念,创新体制机制,突出实践教学,深化课程改革,更新教学手段,课程说课作为现代高职教学改革的新课题、教学研究工作的新形式进一步彰显实践教学特色,必将成为推动我国高等职业教育发展的新动力。

参考文献

[1] 穆惠英.高职《环境监测》课程说课设计.中国科教创新导刊,2008.11.

[2] 秦毅,齐欣.《平面处理技术》课程说课设计案例.电大理工,2011.3.

[3] 陈丽,伍善广.高职高专《药剂学》.海峡药学,2011.23(8).

[4] 秦爱梅.高职院校《3dsmax》课程说课设计.计算机光盘软件与应用,2012(12).

第8篇:网络安全设计方案总结范文

关键词:网络安全;网络攻击;建设原则

中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2012) 12-0114-01

计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强企业网络安全工作,是一些企业建设工作的重要工作内容之一。本文主要分析了企业的网络结构和一些基本的安全情况,包括系统安全的需求分析、概要设计,防火墙应用等,重点针对企业网络中出现的网络安全问题,作了个介绍。对有关安全问题方面模块的划分,解决的方案与具体实现等部分.

一、网络威胁、风险分析

随着通讯技术和计算机技术的飞速发展,网络正逐步成为当今社会发展的一个主题,其改变着人们的工作方式和生活方式。网络的互连性,开放性,共享性程度的扩大,然而网络的重要性和对社会的影响也越来越大主要是Internet的出现。随着数字货币,电子现金,电子商务和政府上网以及网络银行等网络行为的出现,网络安全的问题变得越来越重要。

(一)其他网络的攻击

据数据统计,在美国网络中每400封电子邮件里就有一封可能携带病毒。电脑病毒是如今社会网络业发展的最大危害,它们往往通过电子邮件这个传播途径使用户的整个电脑系统都处于瘫痪状态。据“Security Portal”的报告,计算机病毒事件在1999年计算机安全问题上排名第一位,然而与计算机病毒相关的黑客问题也在其中占有相当大的比例。从科研人员的分析结果科研看出计算机病毒的表现有以下新特点:

当今社会电子邮件已经成为计算机病毒传播的主要媒介,它的比例占所有计算机病毒传播媒介的56%。由于电子邮件可以附带任何类型的文件,所以几乎所有类型的计算机病毒都可通过它来进行快速传播,事实上,有一些电子邮件病毒根本就没有附件,因为它本身就是一个HTML。在不久前出现的许多的计算机病毒就无需用户打开附件就会感染文件,如果用户的邮件可以自动打开HTML格式的邮件,那么该计算机病毒就会立刻感染用户的系统。

近年来由于互联网的快速发展,互联网出现了许多新一代的计算机病毒种类,比如包含蠕虫、木马、电子邮件计算机病毒、以及恶意ActiveX Control和Java Applets的网页等黑客程序。其种类、数量正在迅速激增。同时,根据最新数据统计计算机病毒的数量正在急剧增加,现在每天都有超过40种新计算机病毒出现,因此每年的新型计算机病毒就有就有1.2万种左右出现,这样的数目超过了截至1997年为止世界上计算机病毒的总数。然而最近又出现了很多专门针对掌上电脑和手机的计算机病毒。

计算机病毒造成的破坏日益严重。2000年5月“I Love You”情书病毒的影响,全球的损失预计已经高达100亿美元,而受CIH计算机病毒在全球造成的损失据估计已超过10亿美元。对于行业的用户当系统每死机一小时其损失都在650万美元以上,其包括电视机构、证券公司、国际航运公司、信用卡公司和邮购公司在内,然而对于Internet公司,尚无人能统计其损失的金额。

(二)管理及操作人员缺乏安全知识

我们认为,全面的安全管理体系是由全面的安全产品解决方案、雇员的培训、事后的安全审计、安全策略制定、安全策略架构的实施、企业系统风险评估、安全架构制定等部分有机结合,构成的完善的管理体系。全面的安全产品解决方案是包含在系统的各个方面和层次上部署相应安全产品的工具。

现代计算机网络要加强系统的总体安全级别,必须从应用业务系统、网络、计算机操作系统甚至系统安全管理规范,因为安全隐患会隐藏在系统的各个角落,使用人员应该考虑安全意识等各个层面统筹。木筒装水的多少决定于最矮的木板,然而系统的总体安全级别就象装在木筒中的水,系统安全级别的高低取决于系统安全管理最薄弱的环节。所以我们对系统安全管理应该是多方面的、多层次的,要从网络、应用系统、操作系统各个方面来提高系统的安全级别,还要把原来通过管理规定由使用人员自觉维护的安全规则用系统来自动实现,来加强系统的总体安全性。

二、网络安全总体设计

据统计,在英国50%的用户口令都是宠物名称,而在全世界销售的150,000套防火墙中有85%的防火墙没有正确的配置,60%的防火墙按缺省设置安装。然而对于系统安全的维护和管理需要各种层次的系统和安全专家才能完成。如果没有专业人员的介入,根据实际情况对安全管理产品进行详细地配置,对于企业的策略进行设计和安全管理规范,就算功能再强大的安全产品也会达不到非常好的安全防护作用。

三、安全系统的建设原则

“使入侵者花费不可接受的金钱与时间,并且承受非常高的风险才可以闯入的系统叫做安全系统。我们认为,绝对安全与可靠的信息系统并不存在。然而安全性的增加通常会导致企业费用的增长,这些费用包括系统复杂性增加、系统性能下降、操作与维护成本增加和系统可用性降低等等。安全不是目的而是一个过程。威胁与弱点会随时间变化。然而安全的努力依赖于许多因素,例如新业务应用的实施、职员的调整、安全漏洞和新攻击技术与工具的导入。

参考文献:

[1]张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社,2003

[2]高永强,郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社,2003

第9篇:网络安全设计方案总结范文

项目背景

目前广东火电工程总公司局域网采用10/100Mbps以太网技术,骨干网带宽为百兆。由于业务规模的飞速发展,公司信息化管理越来越倚重网络科技。鉴于此,广东火电工程总公司全网需要全面规划,未来的新局域网工程将以千兆以太网技术为基础,万兆以太网为目标,采用“主干千兆,支干千兆,百兆交换桌面”的三层设计思路,分为“核心层+接入层”的2层星型网络模型,构建强壮的网络架构。

设计目标

1、 新的局域网主干采用具有第三层交换功能的千兆位以太网(G i g a b i tEthernet)以满足公司办公的各种要求。

2、 新的主干建设应能保护局域网的已有投资,要求与原有局域网实施优化整合,并提供新局域网的管理方案与管理策略。

3、 新的主干设备应能满足至少800用户接入访问的要求。

4、 支持虚拟网络(VLAN)。

5、 网络应具有传递语音、图形、图像等多种信息媒体功能,具备性能优越的资源共享功能。

6、 网管软件应具备对接入层交换设备进行远程可操作的能力(如在网络中心对接入交换机进行针对端口IP 过滤条件的远程设置)。

局域网主干设计

由于充分考虑到公司关键业务的核心承载和稳定性需求,经过多方调查和研究,广东火电工程总公司最终选择了智邦SMC公司的电力行业解决方案。在最终执行的方案中,核心层采用了SMC9704万兆交换机为核心。而接入层新增4台24口堆叠型SMC6224M高级网管交换机,与原先的交换机共同承担接入层任务。广东火电工程总公司信息化建设的负责人认为,在技术上千兆网络技术所提供的带宽虽远不及万兆,但综合实际应用中所需的带宽,以及当前千兆网络产品与万兆网络产品的市场价格等诸多因素,千兆网络产品拥有更高的性价比优势。即使将来企业规模继续扩大,分支机构更为庞杂,用户数量上千,千兆网络所提供的带宽也足够支撑起用户当前数据、语音和视频等应用的需求。况且,即使万兆网络产品广泛普及之时,现有对千兆网络的投资也将得到最大可能的保护。

方案整体采用基于交换技术的网络结构,不同的虚拟子网通过接入层交换机划分IEEE 802.1Q VLAN并连入中心交换机,保证主干链路的稳定性。采用TCP/IP 协议,实现子网的互联并保证各子网信息的安全。网络系统采用虚拟网技术,以利于网络管理和提高网络效能。同时建议核心三层交换机外接防火墙,连接Internet 出口。由于SMC9704万兆交换机支持万兆接口,因此,该方案的设计为广东火电工程总公司升级到“万兆核心网络”预留了升级扩展能力。

网络系统部署

整个网络按照核心层、接入层的二层结构进行设计, 保证了数据的快速交换。核心层全部使用1000Mbps连接,接入层采用100Mbps 双绞线连接,保证了局域网对多媒体数据流的需求。

局域网对内、外服务器(如包括WEB、DNS、EMAIL、局域网办公平台、防病毒安全系统、邮件过滤系统、服务系统)全部部署在防火墙内部全千兆链路与核心路由交换机相连组成服务器群,并通过电信地址映射实现向外部提供访问服务。

主要网络设备

1. SMC9704 交换机

网络中心的核心路由交换机采用SMC9704。SMC9704交换机是一款机箱式的网络核心路由交换机,能实现基于2 层交换和三层路由的线速交换。SMC9704有着320Gbps交换容量和 238Mpps的包转发能力,将来最多能配置到16个万兆以太网接口、96 个千兆以太网接口或132 个百兆以太网接口,护展性非常好。SMC9704能满足企业网的核心层,同时也能满足城域网汇聚层的应用需求。

2.SMC6224M 网管交换机

SMC6224M 是新型高性能堆叠交换机,它采用SMC自有的 LEO芯片组,具有高达12.8/17.6Gbps无阻塞交换构架,带有24个自动MDI/MDIX 10/100Mbps端口,并且集成了2 个堆叠端口和2 个ComboG 端口,最多支持8台堆叠,并可在堆叠栈中跨交换机进行端口镜像和链路聚合。

由于采用了最新设计,普通的超五类线缆就可充当堆叠线,此系列 TigerStackIV交换机把堆叠距离延长到了100 米,给企业用户带来了更高的灵活性,而且也带去了更高的性价比。它还支持包括基于端口或协议和加标记的VLAN、支持自动GVRP VLAN注册,支持QoS优先级队列、IGMP侦测功能、LACP协议促成链路聚合等高级功能。

相关热门标签
相关文章阅读
精选范文推荐
相关期刊推荐