網(wǎng)絡安全建設規(guī)劃

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡安全建設規(guī)劃范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡安全建設規(guī)劃范文第1篇

關鍵詞：安全；信息化；規(guī)劃

中圖分類號：TP393　文獻標識碼：A

1　校園網(wǎng)安全運行現(xiàn)狀與需求

1.1校園網(wǎng)安全建設現(xiàn)狀分析

網(wǎng)絡環(huán)境的復雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡安全威脅的客觀存在。隨著高校的發(fā)展，用網(wǎng)人數(shù)的增加，校園網(wǎng)用戶對信息與網(wǎng)絡安全的要求也越來越高。大部分高校以往的網(wǎng)絡建設，重點是“建設”，強調(diào)網(wǎng)絡的覆蓋范圍，出口帶寬，基礎應用等，而對網(wǎng)絡安全的關注度不夠，往往是“想起一個建一個，需要一個建～個”，沒有形成系統(tǒng)、全面、高效的網(wǎng)絡安全體系。隨著高校“信息化”建設的呼聲越來越高，網(wǎng)絡安全體系的建設也在逐步受到學校各級領導的重視。

1.2校園網(wǎng)安全體系建設需求

網(wǎng)絡安全建設一直是各高校網(wǎng)絡建設的難點和薄弱環(huán)節(jié)，一方面，技術管理手段的不全面以及管理機制的不完善制約了安全防范的力度；另一方面，校園網(wǎng)用戶甚至是系統(tǒng)管理員的安全意識淡漠，以及學生用戶網(wǎng)絡行為的不確定性成為各高校網(wǎng)絡安全工作的瓶頸。因此，網(wǎng)絡中心需要通過采取一系列的網(wǎng)絡安全措施、制定一系列的網(wǎng)絡安全管理制度，在提高網(wǎng)絡管理技術手段的同時，逐步增強用戶的網(wǎng)絡安全意識，構建穩(wěn)定、安全、綠色的校園網(wǎng)。

2　網(wǎng)絡安全體系建設規(guī)劃

隨著學校網(wǎng)絡與信息化建設的逐步深入，網(wǎng)絡安全問題、信息數(shù)據(jù)安全問題日益突出。建立一套網(wǎng)絡安全體系，是各高校在信息化過程中的重要任務之一。

2.1校園網(wǎng)安全建設規(guī)劃

根據(jù)各高校網(wǎng)絡建設規(guī)劃，結合現(xiàn)有的網(wǎng)絡安全技術手段，應從以下幾個方面做好校園網(wǎng)安全建設工作。

2.1.1加強網(wǎng)絡設施安全建設

網(wǎng)絡設施安全主要指網(wǎng)絡設備、服務器等硬件設備的物理安全。某高校網(wǎng)絡中心曾經(jīng)發(fā)生過同批次多塊硬盤損壞，機柜門被撬開。學生惡意偷用電源。光纜被挖斷等安全事件，因此。在信息化的建設中，保證設備的物理安全尤為重要。

建立機房、設備間的防火、防盜、監(jiān)控和報警方案：

對一些關鍵設備。系統(tǒng)和鏈路，應設置冗余備份系統(tǒng)，避免網(wǎng)絡設備因天災或人為因素對網(wǎng)絡造成的影響。

2.1.2終端安全防范措施

隨著各高校網(wǎng)絡覆蓋范圍的逐步增加，用網(wǎng)人數(shù)不斷增多(如某高校校園網(wǎng)同時在線用戶已經(jīng)達到4500人)，用戶終端的安全問題成為校園網(wǎng)內(nèi)網(wǎng)安全的主要問題之一。由于用網(wǎng)人員的計算機水平參差不齊，以及學生用戶網(wǎng)絡行為的不可控性，給網(wǎng)絡安全帶來了很大的隱患，因此需要從以下幾個方面完善終端安全防范措施：

提供并推廣可供全校師生員工使用的網(wǎng)絡版殺毒軟件，以及校內(nèi)WSUS服務，逐步建立“沒有殺毒軟件”、“不打系統(tǒng)補丁”不上網(wǎng)的安全意識；

對校內(nèi)突發(fā)的終端安全事故進行監(jiān)控，及時提供必要的專殺工具、漏洞補丁：

提高技術人員的技術水平，采取相應的檢測手段，利用先進的儀器設備，減少用戶端安全事故的排查和定位時間。

2.1.3應用服務器安全措施

應用服務器是數(shù)字化校園的基礎，是各個業(yè)務系統(tǒng)的載體，所以它的安全是至關重要的，因此，系統(tǒng)管理員的技術手段和安全意識在服務器的安全管理中起到至關重要的作用。

制定相關技術文檔，規(guī)范應用服務器上線前的安全檢查，督促管理員使用正版操作系統(tǒng)、安裝殺毒軟件、防火墻、自動更新等，并且定期掃描系統(tǒng)漏洞，更改系統(tǒng)密碼。保證操作系統(tǒng)安全；

建立完善可靠的容災恢復方案，對關鍵服務器采用雙機熱備方式，并且提供可靠的數(shù)據(jù)備份系統(tǒng)，如采用RAID技術以及利用磁帶備份數(shù)據(jù)，確保事故發(fā)生時業(yè)務數(shù)據(jù)不丟失，系統(tǒng)能夠快速恢復；

建立授權控制體系，對不同管理員設定不同的系統(tǒng)、數(shù)據(jù)庫管理權限：

完善訪問日志分析系統(tǒng)，定期對日志進行整理和分析，制定相應的安全策略。

2.1.4網(wǎng)絡出口及邊界安全

目前高校網(wǎng)絡出口及邊界設備主要分為路由器。防火墻、VPN等三類設備，網(wǎng)絡出口及邊界的安全主要包括配置合理、全面的安全策略，以及如何提高安全響應速度和快速、準確地定位攻擊來源。針對這些方面，需要在出口及邊界設備的管理中做到以下幾點：

建立密碼維護制度。定期更換設備Telnet、SSH登錄密碼以及SNMP共同體名；

>制定詳細的ACL策略，限制登錄設備的IP地址；

采取NAT機制。在保證校內(nèi)用戶正常上網(wǎng)的同時，繼續(xù)優(yōu)化8812路由器的安全功能；

啟用防火墻的防病毒功能，在源頭阻斷病毒入侵；

合理規(guī)劃SSL VPN的用戶權限；

建立IDS+IPS的聯(lián)動機制。完善網(wǎng)絡監(jiān)控與入侵防范；

建立出入雙向的訪問日志系統(tǒng)。

2.1.5應用分析控制技術的應用

在網(wǎng)絡安全管理中，網(wǎng)絡流量、網(wǎng)絡應用的分析至關重要，網(wǎng)絡管理人員需要明確地知道網(wǎng)絡中有哪些網(wǎng)絡應用，各種應用在網(wǎng)絡中所占的帶寬以及是否存在不良應用，如圖1。

隨著上網(wǎng)人數(shù)的增多，網(wǎng)絡出口不可避免地出現(xiàn)擁堵現(xiàn)象，因此，需要進一步對網(wǎng)絡應用進行分析，并制定有效的控制策略。

實時記錄出口帶寬使用情況，對惡意占用帶寬的應用進行限制，確保基本應用的高效運行；

對網(wǎng)絡流量進行監(jiān)控，利用相關協(xié)議分析工具對網(wǎng)絡應用進行深層坎的分析。

2.2信息安全建設規(guī)劃

信息安全指保證系統(tǒng)中的信息不被破壞、不被竊取、不被非法復制和使用等。

2.2.1信息安全保障措施

通過一系列的措施，保證信息在傳輸和存儲時的安全。

建立完善的實名上網(wǎng)制度，并且與各系統(tǒng)的日志配合，建立“上網(wǎng)ID+上網(wǎng)時間+上網(wǎng)IP+上網(wǎng)入”的一一對應關系；

建立合理的文件上傳、審查制度，對關鍵數(shù)據(jù)采取數(shù)字簽名技術，做到誰上傳誰負責，安全事故責任到人；

對論壇、留言板等提供用戶交流的版塊加強監(jiān)管力度。對有害和敏感信息進行監(jiān)控；

數(shù)字校園關鍵服務器問數(shù)據(jù)傳輸采取加密方式，防止網(wǎng)絡竊聽、數(shù)據(jù)泄露等安全事故的發(fā)生；

對病毒郵件、垃圾郵件以及含有敏感信息的郵件進行過濾。

2.2.2數(shù)據(jù)安全建設

隨著高校信息化建設的推進，各部門工作信息化的程度也將越來越高，如何保證數(shù)據(jù)安全，提高管理信息系統(tǒng)(MIS)的安全性是信息化過程中必須考慮的問題。

各部門需要制定MIS的相關管理制度：

制定MIS系統(tǒng)數(shù)據(jù)備份、災難恢復方案；

定期對MIS漏洞進行修補。防止數(shù)據(jù)泄露。

2.3全局安全體系建設

根據(jù)對網(wǎng)絡體系分層的概念，針對不同的層次制定不同的網(wǎng)絡安全措施。做到有的放矢，從技術上實現(xiàn)檢測、上報和控制一體化。例如銳捷公司提出的全局安全網(wǎng)絡(GSN)，如圖2。

整合已建立的安全措施，增加針對上網(wǎng)用戶的準入策略。在用戶連入網(wǎng)絡之前先進行客戶端病毒及漏洞掃描，保證連入網(wǎng)絡的客戶端的安全性，從而最大限度地降低網(wǎng)絡安全風險：

建立統(tǒng)一的安全管理平臺(SMP)，通過下發(fā)警告消息，下發(fā)修復程序，下發(fā)阻斷或者隔離策略等手段智能處理安全事件。

網(wǎng)絡安全建設規(guī)劃范文第2篇

 

為了貫徹國家對信息系統(tǒng)安全保障工作的要求以及等級化保護堅持“積極防御、綜合防范”的方針，需要全面提高信息安全防護能力。貴州廣電網(wǎng)絡信息系統(tǒng)建設需要進行整體安全體系規(guī)劃設計，全面提高信息安全防護能力，創(chuàng)建安全健康的網(wǎng)絡環(huán)境，保護國家利益，促進貴州廣電網(wǎng)絡信息化的深入發(fā)展。

 

1安全規(guī)劃的目標和思路

 

貴州廣電網(wǎng)絡目前運營并管理著兩張網(wǎng)絡：辦公網(wǎng)與業(yè)務網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡各部門在線辦公，重要的辦公系統(tǒng)為OA系統(tǒng)、郵件系統(tǒng)等;業(yè)務網(wǎng)主要提供貴州廣電網(wǎng)絡各業(yè)務部門業(yè)務平臺，其中核心業(yè)務系統(tǒng)為BOSS系統(tǒng)、互動點播系統(tǒng)、安全播出系統(tǒng)、內(nèi)容集成平臺以及寬帶系統(tǒng)等。

 

基于對貴州廣電網(wǎng)絡信息系統(tǒng)的理解和國家信息安全等級保護制度的認識，我們認為，信息安全體系是貴州廣電網(wǎng)絡信息系統(tǒng)建設的重要組成部分，是貴州廣電網(wǎng)絡業(yè)務開展的重要安全屏障，它是一個包含貴州廣電網(wǎng)絡實體、網(wǎng)絡、系統(tǒng)、應用和管理等五個層面，包括保護、檢測、響應、恢復四個方面，通過技術保障和管理制度建立起來的可靠有效的安全體系。

 

1.1設計目標

 

貴州廣電網(wǎng)絡就安全域劃分已經(jīng)進行的初步規(guī)劃，在安全域整改中初見成效，然而，安全系統(tǒng)建設不僅需要建立重要資源的安全邊界，而且需要明確邊界上的安全策略，提高對核心信息資源的保護意識。貴州廣電網(wǎng)絡相關安全管理體系的建設還略顯薄弱，管理細則文件亟需補充，安全管理人員亟需培訓。因此，本次規(guī)劃重點在于對安全管理體系以及目前的各個業(yè)務系統(tǒng)進行了全面梳理，針對業(yè)務系統(tǒng)中安全措施進行了重點分析，綜合貴州廣電網(wǎng)絡未來業(yè)務發(fā)展的方向，進行未來五年的信息安全建設規(guī)劃。

 

1.2設計原則

 

1.2.1合規(guī)性原則

 

安全設計要符合國家有關標準、法規(guī)要求，符合廣電總局對信息安全系統(tǒng)的等級保護技術與管理要求。良好的信息安全保障體系必然是分為不同等級的，包括對信息數(shù)據(jù)保密程度分級，對用戶操作權限分級，對網(wǎng)絡安全程度分級(安全子網(wǎng)和安全區(qū)域),對系統(tǒng)實現(xiàn)結構的分級(應用層、網(wǎng)絡層、鏈路層等)，從而針對不同級別的安全對象，提供全面、可選的安全技術和安全體制，以滿足貴州廣電網(wǎng)絡業(yè)務網(wǎng)、辦公網(wǎng)系統(tǒng)中不同層次的各種實際安全需求。

 

1.2.2技管結合原則

 

信息安全保障體系是一個復雜的系統(tǒng)工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現(xiàn)。因此，必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規(guī)章制度建設相結合。

 

1.2.3實用原則

 

安全是為了保障業(yè)務的正常運行，不能為了安全而妨礙業(yè)務，同時設計的安全措施要可以落地實現(xiàn)。

 

1.3設計依據(jù)

 

1.3.1“原則”符合法規(guī)要求

 

依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例K國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[20〇3]27號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術信息系統(tǒng)安全等級保護定級指南》、GB/T22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》、《廣播電視安全播出管理規(guī)定》(廣電總局62號令)、GDJ038-CATV|有線網(wǎng)絡。

 

2011《廣播電視播出相關信息系統(tǒng)等級保護基本要求》，對貴州省廣播電視相關信息系統(tǒng)安全建設進行規(guī)劃。

 

1.3.2“策略”符合風險管理

 

風險管理是基于“資產(chǎn)-價值-漏洞-風險-保障措施”的思想進行保障的。風險評估與管理的理論與方法已經(jīng)成為國際信息安全的標準。

 

風險管理是靜態(tài)的防護策略，是在對方攻擊之前的自我鞏固的過程。風險分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞，包括技術上的、管理上的，分析面臨的威脅，從而確定防護需求，設計防護的措施，具體的措施是打補丁，還是調(diào)整管理流程，或者是增加、增強某種安全措施，要根據(jù)用戶對風險的可接受程度，這樣就可以與安全建設的成本之間做一個平衡。

 

1.3.3“措施”符合P2DR模型

 

美國ISS公司(IntemetSecuritySystem，INC)設計開發(fā)的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(Protection)和響應(Response)四個主要部分，是一個可以隨著網(wǎng)絡安全環(huán)境的變化而變化的、動態(tài)的安全防御系統(tǒng)。安全策略是整個P2DR模型的中樞，根據(jù)風險分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護，以及如何實現(xiàn)對它們的保護等，策略是模型的核心，所有的防護、檢測和響應都是依據(jù)安全策略實施的。

 

檢測(Detection)、防護(Protection)和響應(Response)三個部分又構成一個變化的、動態(tài)的安全防御體系。P2DR模型是在整體的安全策略的控制和指導下，在綜合運用防護工具(如防火墻、身份認證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài)，通過適當?shù)姆磻獙⑾到y(tǒng)調(diào)整至“最安全”和“風險最低”的狀態(tài)，在安全策略的指導下保證信息系統(tǒng)的安全[3]。

 

1.4安全規(guī)劃體系架構

 

在進行了規(guī)劃“原則”、“策略”、“措施”探討的基礎上，我們設計貴州廣電網(wǎng)絡的安全保障體系架構為“一個中心、兩種手段”。

 

“一個中心”，以安全管理中心為核心，構建安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡，確保業(yè)務系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運行，不會進入任何非預期狀態(tài)，從而防止用戶的非授權訪問和越權訪問，確保業(yè)務系統(tǒng)的安全。

 

“兩種手段”，是安全技術與安全管理兩種手段，其中安全技術手段是安全保障的基礎，安全管理手段是安全技術手段真正發(fā)揮效益的關鍵，管理措施的正確實施同時需要有技術手段來監(jiān)管和驗證，兩者相輔相成，缺一不可。

 

2安全保陳方案規(guī)劃

 

2.1總體設計

 

貴州廣電網(wǎng)絡的安全體系作為信息安全的技術支撐措施，分為五個方面：

 

邊界防護體系：安全域劃分，邊界訪問控制策略的部署，主要是業(yè)務核心資源的邊界，運維人員的訪問通道。

 

行為審計體系：通過身份鑒別、授權管理、訪問控制、行為曰志等手段，保證用戶行為的合規(guī)性。

 

安全監(jiān)控體系：監(jiān)控網(wǎng)絡中的異常，維護業(yè)務運行的安全基線，包括安全事件與設備故障，也包括系統(tǒng)漏洞與升級管理。

 

公共安全輔助：作為整個網(wǎng)絡信息安全的基礎服務系統(tǒng)，包括身份認證系統(tǒng)、補丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等。

 

IT基礎設施：提供智能化、彈能力的基礎設施，主要的機房的智能化、服務器的虛擬化、存儲的虛擬化等。

 

2.2安全域劃分

 

劃分安全域的方法是首先區(qū)分網(wǎng)絡功能區(qū)域，服務器資源區(qū)、網(wǎng)絡連接區(qū)、用戶接入?yún)^(qū)、運維管理區(qū)、對外公共服務區(qū);其次是在每個區(qū)域中，按照不同的安全需求區(qū)分不同的業(yè)務與用戶，進一步劃分子區(qū)域;最后，根據(jù)每個業(yè)務應用系統(tǒng)，梳理其用戶到服務器與數(shù)據(jù)庫的網(wǎng)絡訪問路徑，通過的域邊界或網(wǎng)絡邊界越少越好。

 

Z3邊界防護體系規(guī)劃

 

邊界包括網(wǎng)絡邊界、安全域邊界、用戶接口邊界(終端與服務器)、業(yè)務流邊界，邊界上部署訪問控制措施，是防止非授權的“外部”用戶訪問“里面”的資源，因此分析業(yè)務的訪問流向，是訪問控制策略設計的依據(jù)。

 

2.3.1邊界措施選擇

 

在邊界上我們建議四種安全措施：

 

1.網(wǎng)絡邊界：與外部網(wǎng)絡的邊界是安全防護的重點，我們建議采用統(tǒng)一安全網(wǎng)關(UTM),從網(wǎng)絡層到應用層的安全檢測，采用防火墻(FW)部署訪問控制策略，采用入侵防御系統(tǒng)(IPS)部署對黑客入侵的檢測，采用病毒網(wǎng)關(AV)部署對病毒、木馬的防范;為了方便遠程運維工作，與遠程辦公實施，在網(wǎng)絡邊界上部署VPN網(wǎng)關，對遠程訪問用戶身份鑒別后，分配內(nèi)網(wǎng)地址，給予限制性的訪問授權。Web服務的SQL注入、XSS攻擊等。

 

3.業(yè)務流邊界：安全需求等級相同的業(yè)務應用采用VLAN隔離，采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離，防止二層廣播，通知可以在發(fā)現(xiàn)安全事件時，開啟不同子域的安全隔離。

 

4.終端邊界：重點業(yè)務系統(tǒng)的終端，如運維終端，采用終端安全系統(tǒng)，保證終端上系統(tǒng)的安全，如補丁的管理、黑名單軟件管理、非法外聯(lián)管理、移動介質(zhì)管理等等。

 

2.3.2策略更新管理

 

邊界是提高入侵者的攻擊“門檻”的，部署安全策略重點有兩個方面：一是有針對性。允許什么，不允許什么，是明確的;二是動態(tài)性。就是策略的定期變化，如訪問者的口令、允許遠程訪問的端口等，變化的周期越短，給入侵者留下的攻擊窗口越小。

 

2.4行為審計體系規(guī)劃

 

行為審計是指對網(wǎng)絡用戶行為進行詳細記錄，直接的好處是可以為事后安全事件取證提供直接證據(jù)，間接的好處乇兩方面：對業(yè)務操作的日志記錄，可以在曰后發(fā)現(xiàn)操作錯誤、確定破壞行為恢復時提供操作過程的反向操作，最大程度地減小損失;對系統(tǒng)操作的日志記錄，可以分析攻擊者的行為軌跡，從而判斷安全防御系統(tǒng)的漏洞所在，亡羊補牢，可以彌補入侵者下次入侵的危害。

 

行為審計主要措施包括:一次性口令、運維審計(堡壘機)、曰志審計以及網(wǎng)絡行為審計。

 

2.5安全監(jiān)控體系規(guī)劃

 

監(jiān)控體系不僅是網(wǎng)絡安全態(tài)勢展示平臺，也是安全事件應急處理的指揮平臺。為了管理工作上的方便，在安全監(jiān)控體系上做到幾方面的統(tǒng)一：

 

1.運維與安全管理的統(tǒng)一：業(yè)務運維與安全同平臺管理，提高安全事件的應急處理速度。

 

2.曰常安全運維與應急指揮統(tǒng)一：隨時了解網(wǎng)絡上的設備、系統(tǒng)、流量、業(yè)務等狀態(tài)變化，不僅是日常運維發(fā)現(xiàn)異常的平臺，而且作為安全事件應急指揮的調(diào)度平臺，隨時了解安全事件波及的范圍、影響的業(yè)務，同時確定安全措施執(zhí)行的效果。

 

3.管理與考核的統(tǒng)一：安全運維人員的工作考核就是網(wǎng)絡安全管理的曰常工作與緊急事件的處理到位，在安全事件的定位、跟蹤、處理過程中，就體現(xiàn)了安全運維人員服務的質(zhì)量。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數(shù)據(jù)。

 

安全監(jiān)控措施主要包括安全態(tài)勢監(jiān)控以及安全管理平臺，2.6公共安全輔助系統(tǒng)

 

作為整個網(wǎng)絡信息安全的基礎服務系統(tǒng)，需要建設公共安全輔助系統(tǒng)：

 

1.身份認證系統(tǒng)：獨立于所有業(yè)務系統(tǒng)之外，為業(yè)務、運維提供身份認證服務。

 

2.補丁管理系統(tǒng)：對所有系統(tǒng)、應用的補丁進行管理，對于通過測試的補丁、重要的補丁，提供主動推送，或強制執(zhí)行的技術手段，保證網(wǎng)絡安全基線。

 

3.漏洞掃描系統(tǒng)：對于網(wǎng)絡上設備、主機系統(tǒng)、數(shù)據(jù)庫、業(yè)務系統(tǒng)等的漏洞要及時了解，對于不能打補丁的系統(tǒng)，要確認有其他安全策略進行防護。漏洞掃描分為兩個方面，一是系統(tǒng)本身的漏洞，二是安全域邊界部署了安全措施之后，實際用戶所能訪問到的漏洞(滲透性測試服務)。

 

2.7IT基礎設施規(guī)劃

 

IT基礎設施是所有網(wǎng)絡業(yè)務系統(tǒng)服務的基礎，具備一個優(yōu)秀的基礎架構，不僅可以快速、靈活地支撐各種業(yè)務系統(tǒng)的有效運行，而且可以極大地提高基礎IT資源的利用率，節(jié)省資金投入，達到環(huán)保的要求。

 

IT基礎設施的優(yōu)化主要體現(xiàn)在三個方面：智能機房、服務器虛擬化、存儲虛擬化。

 

3安全筐理體系規(guī)劃

 

在系統(tǒng)安全的各項建設內(nèi)容中，安全管理體系的建設是關鍵和基礎，建立一套科學的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡股份有限公司安全建設的必要條件和基本保證。

 

3_1安全管理標準依據(jù)

 

以GBAT22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》中二級、三級安全防護能力為標準，對貴州廣電網(wǎng)絡安全管理體系的建設進行設計。

 

3.2安全管理體系的建設目標

 

通過有效的進行貴州廣電網(wǎng)絡的安全管理體系建設，最終要實現(xiàn)的目標是：采取集中控制模式，建立起貴州廣電網(wǎng)絡完整的安全管理體系并加以實施與保持，實現(xiàn)動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預防為主的安全管理模式，從而在管理上確保全方位、多層次、快速有效的網(wǎng)絡安全防護。

 

3.3安全管理建設指導思想

 

各種標準體系文件為信息安全管理建設僅僅提供一些原則性的建議，要真正構建符合貴州廣電網(wǎng)絡自身狀況的信息安全管理體系，在建設過程中應當以以下思想作為指導：“信CATV丨有線網(wǎng)絡息安全技術、信息安全產(chǎn)品是信息安全管理的基礎，信息安全管理是信息安全的關鍵，人員管理是信息安全管理的核心,信息安全政策是進行信息安全管理的指導原則，信息安全管理體系是實現(xiàn)信息安全管理最為有效的手段。”

 

3.4安全管理體系的建設具體內(nèi)容

 

GB/T22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》(以下簡稱《基本要求》)對信息系統(tǒng)的安全管理體系提出了明確的指導和要求。我們應以《基本要求》為標準，結合目前貴州廣電網(wǎng)絡安全管理體系的現(xiàn)狀，對廣電系統(tǒng)的管理機構、管理制度、人員管理、技術手段四個方面進行建設和加強。同時，由于信息安全是一個動態(tài)的系統(tǒng)工程，所以，貴州廣電網(wǎng)絡還必須對信息安全管理措施不斷的加以校驗和調(diào)整，以使管理體系始終適應和滿足實際情況的需要，使貴州廣電網(wǎng)絡的信息資產(chǎn)得到有效、經(jīng)濟、合理的保護。

 

貴州廣電網(wǎng)絡的安全管理體系主要包括安全管理機構、安全管理制度、安全標準規(guī)范和安全教育培訓等方面。

 

通過組建完整的信息網(wǎng)絡安全管理機構，設置安全管理人員，規(guī)劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施，制定嚴格的安全管理制度，合理地協(xié)調(diào)法律、技術和管理三種因素，實現(xiàn)對系統(tǒng)安全管理的科學化、系統(tǒng)化、法制化和規(guī)范化，達到保障貴州廣電網(wǎng)絡信息系統(tǒng)安全的目的。

 

3.5曰常安全運維3.5.1安全風險評估

 

安全風險評估是建立主動防御安全體系的重要和關鍵環(huán)節(jié)，這環(huán)的工作做好了可以減少大量的安全威脅，提升整個信息系統(tǒng)的對網(wǎng)絡災難的免疫能力;風險評估是信息安全管理體系建立的基礎，是組織平衡安全風險和安全投入的依據(jù)，也是信息安全管理體系測量業(yè)績、發(fā)現(xiàn)改進機會的最重要途徑。

 

3.5.2網(wǎng)絡管理與安全管理

 

網(wǎng)絡管理與安全管理的主要措施包括：出入控制、場地與設施安全管理、網(wǎng)絡運行狀態(tài)監(jiān)控、安全設備監(jiān)控、安全事件監(jiān)控與分析、提出預防措施。

 

3.5.3備份與容災管理

 

貴州廣電網(wǎng)絡主要關鍵業(yè)務系統(tǒng)需要雙機本地熱備、數(shù)據(jù)離線備份措施;其他相關業(yè)務應用系統(tǒng)需要數(shù)據(jù)離線備份措施。

 

3.5.4應急響應計劃

 

通過建立應急相應機構，制定應急響應預案，通過建立專家資源庫、廠商資源庫等人力資源措施，通過對應急響應有線網(wǎng)絡ICATV預案不低于一年兩次的演練，可以在發(fā)生緊急事件時，做到規(guī)范化操作，更快的恢復應用和數(shù)據(jù)，并最大可能的減少損失

 

3.6安全人員管理

 

信息系統(tǒng)的運行是依靠在各級黨政機構工作的人員來具體實施的，他們既是信息系統(tǒng)安全的主體，也是系統(tǒng)安全管理的對象。所以，要確保信息系統(tǒng)的安全，首先應加強人事安全管理。

 

安全人員應包括：系統(tǒng)安全管理員、系統(tǒng)管理員、辦公自動化操作人員、安全設備操作員、軟硬件維修人員和警衛(wèi)人員。

 

其中系統(tǒng)管理員、系統(tǒng)安全管理員必須由不同人員擔當。3.7技術安全管理

 

主要措施包括：軟件管理、設備管理、備份管理以及技術文檔管理。

 

4安全規(guī)劃分期建設路線

 

信息安全保障重要的是過程，而不一定是結果，重要的是安全意識的提高，而不一定是安全措施的多少。因此，信息安全建設也應該從保障業(yè)務運營為目標，提高用戶自身的安全意識為思路，根據(jù)業(yè)務應用的模式與規(guī)模逐步、分階段建設，同時還要符合國家與廣電總局關于等級保護的技術與管理要求。

 

4.1主要的工作內(nèi)容

 

根據(jù)安全保障方案規(guī)劃的設計，貴州廣電網(wǎng)絡的信息安全建設分為如下幾個方面的內(nèi)容：

 

1.網(wǎng)絡優(yōu)化改造:主要是安全域的劃分，網(wǎng)絡結構的改造。

 

2.安全措施部署:邊界隔離措施部署，行為審計系統(tǒng)部署、安全監(jiān)控體系部署。

 

3.基礎設施改造：主要是數(shù)據(jù)大集中、服務器虛擬化、存儲虛擬化。

 

4.安全運維管理:信息安全管理規(guī)范、日常安全運維考核、安全檢查與審計流程、安全應急演練、曰常安全服務等。

 

4.2分期建設規(guī)劃

 

4_2.1達標階段(2015-2017)

 

1.等保建設

 

2.信任體系：網(wǎng)絡審計、運維審計、日志審計

 

3.身份鑒別(一次口令)

 

4.監(jiān)控平臺：入侵檢測、流量監(jiān)測、木馬監(jiān)測

 

5.安全管理平臺建設

 

6.等保測評通過(2級3級系統(tǒng))

 

7.安全服務：建立定期模式

 

8.滲透性測試服務(外部+內(nèi)部)

 

9.安全加固服務，建立服務器安全底線

 

10.信息安全管理

 

11.落實安全管理細則文件制定

 

12.落實安全運維與應急處理流程

 

13.完善IT服務流程，建設安全運維管理平臺

 

14.定期安全演練與培訓

 

4.2.2持續(xù)改進階段(2018?2019)

 

1.等保建設

 

2.完善信息安全防護體系

 

3.提升整體防護能力

 

4.深度安全服務

 

5.有針對性安全演練，協(xié)調(diào)改進管理與技術措施

 

6.源代碼安全審計服務(新上線業(yè)務)

 

7.信息安全管理

 

8.持續(xù)改進運維與應急流程與制度，提高應急反應能力

 

9.提高運維效率，開拓運維增值模式

 

5結東語

網(wǎng)絡安全建設規(guī)劃范文第3篇

(1)物理安全防范較為重視。從物理安全的五項指標來看，被調(diào)查的160家醫(yī)院都非常注重防盜、防水、防雷、防塵、防靜電及溫濕度控制等物理環(huán)境安全防范，絕大部分醫(yī)院對物理訪問控制與物理監(jiān)控(機房設備管理)也都很重視，分別達到93%與85%，但僅有1/4的醫(yī)院注重設備檢測，說明中國絕大部分醫(yī)院設備或未做檢測即投入運行，或缺乏定期進行安全評估、安全加固等保護，因而我國數(shù)字化醫(yī)院還存在著一定的物理設備安全風險。

(2)系統(tǒng)安全威脅嚴重。系統(tǒng)安全四項指標中，采用了訪問控制及備份與恢復措施的醫(yī)院分別達到138家與147家，但實地調(diào)查顯示非授權訪問的情況還大量存在。進行系統(tǒng)日志審計的醫(yī)院不足50家，說明我國醫(yī)院系統(tǒng)日志還基本流于形式，缺乏深度安全審計，從而很難及時發(fā)現(xiàn)其中的安全隱患。進行系統(tǒng)開發(fā)與維護的醫(yī)院也僅54家，原因主要在于目前許多醫(yī)院由于受人員、設備、資金影響，或本身重視不夠，導致其信息系統(tǒng)缺乏運營維護或維護不及時，因此其安全性和可靠性多數(shù)處于較差狀態(tài)。

(3)網(wǎng)絡通信安全較為脆弱。網(wǎng)絡通信安全五項指標中，網(wǎng)絡攻擊防護與業(yè)務文檔記錄方面，醫(yī)院相對比較重視，比例分別達到94%與84%，但實地調(diào)查發(fā)現(xiàn)其網(wǎng)絡攻擊防護還處于低水平狀態(tài)。實行網(wǎng)絡隔離與訪問控制的醫(yī)院僅占30%，大多數(shù)醫(yī)院網(wǎng)絡訪問隨意性大，醫(yī)院網(wǎng)絡可隨意互訪，信息流通和共享暢通無阻，這給醫(yī)院信息安全帶來極大的安全隱患。實行入侵檢測的醫(yī)院不到30%，說明中國數(shù)字化醫(yī)院還處于被動防御階段，遠未達到主動防御水平，同時信息系統(tǒng)的縱深防護水平不高，由此導致數(shù)字化醫(yī)院以計算機病毒、黑客攻擊等為代表的安全事件頻繁發(fā)生。實行密鑰管理的醫(yī)院則僅13%，說明醫(yī)院網(wǎng)絡密鑰其實幾乎還處于無人監(jiān)管狀態(tài)。

(4)人員安全隱患重重。人員安全四項指標調(diào)查結果都不容樂觀，尤其是進行第三方合作合同的控制和管理的醫(yī)院僅占10%，說明中國數(shù)字化醫(yī)院在人員安全管理方面還遠未重視，由此導致醫(yī)院內(nèi)部存在大量網(wǎng)絡操作違規(guī)現(xiàn)象。如，網(wǎng)絡操作人員隨意將自己的登錄賬號轉(zhuǎn)借他人，隨意將一些存儲介質(zhì)接入信息系統(tǒng)，未經(jīng)授權同時訪問外網(wǎng)與內(nèi)網(wǎng)，一些人員為了謀取個人私利，非法訪問內(nèi)部網(wǎng)絡，竊取、偽造、篡改醫(yī)療數(shù)據(jù)等，這使得中國數(shù)字化醫(yī)院信息安全事故頻頻發(fā)生。

(5)組織管理安全有待加強。組織管理安全四項指標中，160家醫(yī)院都設置了安全管理組織機構，說明所有醫(yī)院都很重視信息安全管理工作，但安全管理制度完整的醫(yī)院僅114家，且多數(shù)在應急管理制度制定方面較為欠缺，而安全管理制度實施情況調(diào)查顯示，只有40%的醫(yī)院安全管理制度得到實施，這意味著60%的醫(yī)院的安全管理制度形同虛設。在人力財力保障方面給予充分保障的醫(yī)院不到50%，由于缺乏人力財力的保障，目前許多醫(yī)院信息安全系統(tǒng)建設難以為繼。綜上所述，中國數(shù)字化醫(yī)院還存在著極大的信息安全隱患。因此，數(shù)字化醫(yī)院信息安全建設已迫在眉睫。

2動態(tài)網(wǎng)絡安全模型的比較分析

面對復雜多樣的信息安全風險以及日益嚴峻的信息安全局勢，動態(tài)網(wǎng)絡安全模型為中國數(shù)字化醫(yī)院信息安全建設提供了理論基礎。典型的動態(tài)網(wǎng)絡安全模型有PPDR模型、PDRR模型、MPDRR模型和WPDRRC模型等，這些安全模型各有特點，各有側(cè)重，已廣泛應用于多個領域的信息安全建設實踐。環(huán)節(jié)。它強調(diào)在安全策略的指導下，綜合采用防火墻、VPN等安全技術進行防護的同時，利用入侵檢測系統(tǒng)等檢測工具，發(fā)現(xiàn)系統(tǒng)的異常情況，以及可能的攻擊行為，并通過關閉端口、中斷連接、中斷服務等響應措施將系統(tǒng)調(diào)整到一個比較安全的狀態(tài)。其中，安全策略是核心，防護、檢測和響應環(huán)節(jié)組成了一個完整、動態(tài)的安全循環(huán)，它們共同保證網(wǎng)絡系統(tǒng)的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基礎上增加恢復(Recovery)環(huán)節(jié)發(fā)展而來，由防護(Protection)、檢測(Detection)、響應(Re-sponse)和恢復(Recovery)四個環(huán)節(jié)組成(見圖2)。其核心思想是在安全策略的指導下，通過采取各種措施對需要保護的對象進行安全防護，并隨時進行安全跟蹤和檢測以了解其安全狀態(tài)，一旦發(fā)現(xiàn)其安全受到攻擊或存在安全隱患，則馬上采取響應措施，直至恢復安全保護對象的安全狀態(tài)。與PPDR模型相比，PDRR模型更強調(diào)一種故障的自動恢復能力，即系統(tǒng)在被入侵后，能迅速采取相應措施將系統(tǒng)恢復到正常狀態(tài)，從而保障系統(tǒng)的信息安全。因此，PDRR模型中的安全概念已經(jīng)從信息安全擴展到了信息保障，信息保障內(nèi)涵已超出傳統(tǒng)的信息安全保密，是防護、檢測、響應、恢復的有機結合。

3基于動態(tài)網(wǎng)絡安全模型的中國數(shù)字化醫(yī)院信息安全體系構建

結合動態(tài)網(wǎng)絡安全模型，并依據(jù)《信息安全技術信息系統(tǒng)安全等級保護基本要求》(GB/T22239—2008)、《信息安全技術信息系統(tǒng)等級保護安全設計技術要求》(GB/T25070—2010)等標準規(guī)范，本文試構建一個以信息安全組織機構為核心，以信息安全策略、信息安全管理、信息安全技術為維度的數(shù)字化醫(yī)院信息安全體系三維立體框架。即，在進行數(shù)字化醫(yī)院信息安全建設時，我們應成立一個信息安全組織機構，并以此為中心，通過制定信息安全總體策略、加強信息安全管理，利用各項信息安全技術，并將其貫徹在預警、保護、檢測、響應、恢復和反擊6個環(huán)節(jié)中，針對不同的安全威脅，采用不同的安全措施，從而對系統(tǒng)物理設備、系統(tǒng)軟件、數(shù)據(jù)信息等受保護對象進行全方位多層次保護。

(1)信息安全組織機構是數(shù)字化醫(yī)院信息安全體系構成要素中最重要的因素，在信息安全體系中處于核心地位。它由決策機構、管理機構與執(zhí)行機構三部分組成。其中，決策機構是醫(yī)院信息安全工作的最高領導機構，負責對醫(yī)院信息安全工作進行總體規(guī)劃與宏觀領導，其成員由醫(yī)院主要領導及其他相關職能部門主要負責人組成。管理機構在決策機構的領導下，負責信息安全體系建設規(guī)劃的制定，以及信息安全的日常管理工作，其成員主要來自于信息化工作部門，也包括行政、人事等部門相關人員參與。執(zhí)行機構在管理機構的領導下，負責保證信息安全技術的有效運行及日常維護，其成員主要由信息化工作部門相關技術人員及其他相關職能部門的信息安全員組成。信息安全組織機構應對醫(yī)院信息安全工作進行科學規(guī)劃，經(jīng)常進行不定期的信息安全檢查、評估和應急安全演練。其中對那些嚴重危及醫(yī)院信息安全的行為應進行重點管理和監(jiān)督，明確信息安全責任制，從而保證信息安全各項工作的有效貫徹與落實。

(2)信息安全策略是數(shù)字化醫(yī)院信息安全得以實現(xiàn)的基礎。其具體制定應依據(jù)國家信息安全戰(zhàn)略的方針政策、法律法規(guī)，遵循指導性、原則性、可行性、動態(tài)性等原則，按照醫(yī)療行業(yè)標準規(guī)范要求，并結合醫(yī)院自身的具體情況來進行，由總體方針與分項策略兩個層次組成，內(nèi)容涵蓋技術層、管理層等各個層面的安全策略，最終實現(xiàn)“進不來、拿不走、看不懂、改不了、逃不掉”的安全防御目的，即在訪問控制機制方面做到“進不來”、授權機制方面做到“拿不走”、加密機制方面做到“看不懂”、數(shù)據(jù)完整性機制方面做到“改不了”、審計/監(jiān)控/簽名機制方面做到“逃不掉”。

(3)信息安全管理是數(shù)字化醫(yī)院信息安全得以實現(xiàn)的保障。它包括人員管理、技術管理和操作管理等方面。當前中國數(shù)字化醫(yī)院在信息安全管理中普遍存在的問題:在安全管理中對人的因素重視不夠、缺乏懂得管理的信息安全技術人員、信息安全意識不強、員工接受的教育和培訓不夠、安全管理中被動應付的較多等。因此，數(shù)字化醫(yī)院一方面應加強全員信息安全意識，加大信息安全人員的引進、教育與培訓力度，提高信息安全管理水平;另一方面應制定具體的信息安全管理制度，以規(guī)范與約束相關人員行為，保證信息安全總體策略的貫徹與信息安全技術的實施。

(4)信息安全技術是數(shù)字化醫(yī)院信息安全得以實現(xiàn)的關鍵。數(shù)字化醫(yī)院信息安全建設涉及防火墻、防病毒、黑客追蹤、日志分析、異地容災、數(shù)據(jù)加密、安全加固和緊急響應等技術手段，它們貫穿于信息安全預警、保護、檢測、響應、恢復與反擊六個環(huán)節(jié)。數(shù)字化醫(yī)院應切實加強這六個環(huán)節(jié)的技術力量，確保其信息安全得以實現(xiàn)，具體體現(xiàn)在:①預警。醫(yī)院應通過部署系統(tǒng)監(jiān)控平臺，實現(xiàn)對路由器、交換機、服務器、存儲、加密機等系統(tǒng)硬件、操作系統(tǒng)和數(shù)據(jù)庫等系統(tǒng)軟件以及各種應用軟件的監(jiān)控和預警，實現(xiàn)設備和應用監(jiān)控預警;或采用入侵防御系統(tǒng)，分析各種安全報警、日志信息，結合使用網(wǎng)絡運維管理系統(tǒng)，實現(xiàn)對各種安全威脅與安全事件的預警;并將這些不同層面的預警，統(tǒng)一到一套集中的監(jiān)控預警平臺或運維管理平臺，實現(xiàn)統(tǒng)一展現(xiàn)和集中預警。②保護。主要包括物理安全、系統(tǒng)安全與網(wǎng)絡通信安全等方面的安全保護。對于中心機房、交換機、工作站、服務器等物理設備的安全防護，主要注意防水、防雷、防靜電以及雙機熱備等安全防護工作。系統(tǒng)安全主要包括操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)等的安全防護。操作系統(tǒng)的主要風險在于系統(tǒng)漏洞和文件病毒等。為此，醫(yī)院需運用防火墻技術控制和管理用戶訪問權限，并定期做好監(jiān)視、審計和事件日志記錄和分析。所有工作站應取消光驅(qū)軟驅(qū)，屏蔽USB接口，同時為各個客戶端安裝殺毒軟件，并及時更新，從源頭上預防系統(tǒng)感染病毒。數(shù)據(jù)庫安全涉及用戶安全、數(shù)據(jù)保密與數(shù)據(jù)安全等。為此，需對數(shù)據(jù)庫進行權限設置。對于關鍵數(shù)據(jù)，應進行加密存儲。對于重要數(shù)據(jù)庫應做好多種形式的備份工作，如本地備份與異地備份、全量備份與增量備份等，以保證數(shù)據(jù)萬無一失。對于網(wǎng)絡通信安全防護，醫(yī)院網(wǎng)絡應采用物理隔離的雙網(wǎng)架構，如果內(nèi)網(wǎng)確需開展對外的WWW等服務，應單獨設置VLAN，結合防火墻設備，通過設置DMZ的方式實現(xiàn)與外界的安全相連。同時，醫(yī)院應合理的設置網(wǎng)絡使用權限，嚴格進行用戶網(wǎng)絡密碼管理，防止越權操作。③檢測。檢測是從監(jiān)視、分析、審計信息網(wǎng)絡活動的角度，發(fā)現(xiàn)對于信息網(wǎng)絡的攻擊、破壞活動，提供預警、實時響應、事后分析和系統(tǒng)恢復等方面的支持，使安全防護從單純的被動防護演進到積極的主動防御。前述防護系統(tǒng)能阻止大部分入侵事件的發(fā)生，但是它不能阻止所有的入侵。因此安全策略的另一個重要屏障就是檢測。常用工具是入侵檢測系統(tǒng)(IDS)和漏洞掃描工具。利用入侵檢測系統(tǒng)(IDS)對醫(yī)院系統(tǒng)信息安全狀況進行實時監(jiān)控，并定期查看入侵檢測系統(tǒng)生成的報警日志，可及時發(fā)現(xiàn)信息系統(tǒng)是否受到安全攻擊。而通過漏洞掃描工具，可及時檢測信息系統(tǒng)中關鍵設備是否存在各種安全漏洞，并針對漏洞掃描結果，對重要信息系統(tǒng)及時進行安全加固。④響應。主要包括審計跟蹤、事件報警、事件處理等。醫(yī)院應在信息系統(tǒng)中部署安全監(jiān)控與審計設備以及帶有自動響應機制的安全技術或設備，當系統(tǒng)受到安全攻擊時能及時發(fā)出安全事故告警，并自動終止信息系統(tǒng)中發(fā)生的安全事件。為了確保醫(yī)院正常的醫(yī)療服務和就醫(yī)秩序，提高醫(yī)院應對突發(fā)事件的能力，醫(yī)院還應成立信息安全應急響應小組，專門負責突發(fā)事件的處理，當醫(yī)院信息系統(tǒng)出現(xiàn)故障時，能迅速做出響應，從而將各種損失和社會影響降到最低。其他事件處理則可通過咨詢、培訓和技術支持等得到妥善解決。⑤恢復。主要包括系統(tǒng)恢復和信息恢復兩個方面。系統(tǒng)恢復可通過系統(tǒng)重裝、系統(tǒng)升級、軟件升級和打補丁等方式得以實現(xiàn)。信息恢復主要針對丟失數(shù)據(jù)的恢復。數(shù)據(jù)丟失可能來自于硬件故障、應用程序或數(shù)據(jù)庫損壞、黑客攻擊、病毒感染、自然災害或人為錯誤。信息恢復跟數(shù)據(jù)備份工作密切相關，數(shù)據(jù)備份做得是否充分影響到信息恢復的程度。在信息恢復過程中要注意信息恢復的優(yōu)先級別。直接影響日常生活和工作的信息必須先恢復，這樣可提高信息恢復的效率。另外，恢復工作中如果涉及機密數(shù)據(jù)，需遵照機密系統(tǒng)的恢復要求。⑥反擊。醫(yī)院可采用入侵防御技術、黑客追蹤技術、日志自動備份技術、安全審計技術、計算機在線調(diào)查取證分析系統(tǒng)和網(wǎng)絡運維管理系統(tǒng)等手段，進行證據(jù)收集、追本溯源，實現(xiàn)醫(yī)院網(wǎng)絡安全系統(tǒng)遭遇不法侵害時對各種安全威脅源的反擊。

4結束語

網(wǎng)絡安全建設規(guī)劃范文第4篇

論文摘要：檔案信息安全是我院檔案信息化建設中的一項重要保障工作。從技術角度討論了檔案信息安全5個保障措施：主機與客戶機安全保障、網(wǎng)絡安全保障、用戶信息安全保障、應用系統(tǒng)安全保障、容災備份安全保障；并對有效建立多層次多維度檔案信息安全應急響應機制進行了討論。

檔案資源信息化是將檔案資源和檔案各項管理過程數(shù)字化，以通信技術、計算機技術以及相關信息技術為工作手段和技術支持，完成信息傳輸，實現(xiàn)檔案資源的合理、有序、有效的開發(fā)和利用，最終實現(xiàn)檔案信息資源的社會共享。檔案信息化系統(tǒng)建設是我院在數(shù)字化校園一攬子建設方案中重要的一項工作。建設內(nèi)容主要包括檔案工作規(guī)范建設、數(shù)據(jù)的規(guī)范化、檔案應用系統(tǒng)、數(shù)據(jù)中心、災備中心等。

檔案信息安全的重要性尤為突出。安全管理的最終目的就是保障網(wǎng)絡上傳輸?shù)摹⑾到y(tǒng)中存儲的、用戶使用的檔案數(shù)據(jù)是真實、完整和有效的。檔案信息化進程中的信息安全是檔案信息化有效性的最基礎性保障。高校檔案信息化建設內(nèi)容中重視檔案信息安全保障體系及應急處理措施建設，從技術、管理兩個方面提供上述解決方案。管理層面要從加強制度建設和檔案工作人員對信息安全的認識著手；技術層面提供多層次、多角度的信息安全預防措施，并在信息安全危害一旦發(fā)生采取有效應對措施將損害降至最低。本文就技術層面如何進行高校檔案信息化建設進程中的信息安全保障及恢復策略進行研究。

1技術保障方式

1．1主機及客戶機安全保障

操作系統(tǒng)安全是檔案信息安全最基礎的屏障，不允許主機和客戶機使用漏洞多的操作系統(tǒng)。隨著信息攻擊活動向縱深發(fā)展，安全攻擊的目標往往是漏洞多的操作系統(tǒng)。因此我院在檔案信息安全建設中，客戶機和服務器應該使用安全、可靠、漏洞較少的操作系統(tǒng)。強調(diào)操作系統(tǒng)本身安全的前提下，更為重要的是要定期利用漏洞掃描工具檢測系統(tǒng)漏洞和系統(tǒng)配置情況，定期給操作系統(tǒng)打補丁，及時發(fā)現(xiàn)安全隱患，堵住各種安全漏洞。

新型病毒及其變種層出不窮，病毒泛濫直接影響了檔案信息化安全。防病毒技術是利用專用的防病毒軟件和硬件，發(fā)現(xiàn)、診斷和消滅各種計算機病毒和網(wǎng)絡病毒，主要措施是對客戶機和主機服務器中的文件進行不定期的頻繁掃描和檢測，主機上采取防病毒芯片和設置網(wǎng)絡目錄及文件訪問權限。從網(wǎng)絡全局考慮，采取防病毒手段，要改變被動防御的不利局面，以主動防御為主。除了單機病毒預防之外，更為重要的是通過網(wǎng)絡管理平臺監(jiān)控網(wǎng)絡上的所有機器，充分利用定時查毒功能，對客戶機進行掃描，檢查病毒情況。擬利用網(wǎng)絡管理平臺在線報警功能，當網(wǎng)絡上的每一臺機器發(fā)生病毒入侵時，網(wǎng)絡管理人員能及時做出響應。

1．2網(wǎng)絡安全保障

防火墻技術是一種前端網(wǎng)絡設備。主要部署在數(shù)字化校園的內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間，對非法信息進入計算機起到屏障作用，是兩個網(wǎng)絡之間執(zhí)行控制與安全策略的保障設備，通過安全訪問控制起到保護內(nèi)部檔案信息應用的安全。由于計算機技術進步的加快，破壞信息安全手段多樣化，檔案信息化系統(tǒng)要充分利用防火墻提供的功能自行設定符合要求的安全策略，僅允許有效的信息類型通過防火墻，對外部網(wǎng)絡與內(nèi)部網(wǎng)絡之間數(shù)據(jù)流動進行檢查。防火墻技術可以最大限度地保護檔案信息不被非法更改、破壞、拷貝。

任何一種安全技術不是萬能的，防火墻技術僅能保障外部的侵害。在網(wǎng)絡安全領域本文除了采用防火墻技術，還采用人侵檢測技術，該技術是防火墻技術的有效補充。人侵檢測技術是一種主動的信息安全防護措施，它在檢測來自外部入侵行為的同時，也能檢測出內(nèi)部用戶的非法活動。其技術要領是收集計算機系統(tǒng)、網(wǎng)絡及用戶活動的過程信息，并對過程信息加以分析，來判斷系統(tǒng)中是否有違反安全策略的行為和被攻擊的證據(jù)。在檔案信息化系統(tǒng)中，我們主要采用2種主要的入侵檢測體系結構：基于主機的人侵檢測系統(tǒng)和基于網(wǎng)絡的人侵檢測系統(tǒng)。入侵檢測的重要對象是主機服務器，主要采用實時監(jiān)視可疑的連接，監(jiān)控非法訪問，同時制訂相應的工作方案對各種非法入侵行為立即做出響應。

1．3用戶信息安全保障

隨著信息安全技術發(fā)展起來的現(xiàn)代密碼學，不僅被用于解決信息的保密性，而且也用于解決信息的完整性、可用性和可控性。密碼是解決信息安全最有效的手段，密碼技術是信息安全的核心技術。為防止核心檔案數(shù)據(jù)發(fā)生泄漏，在保護檔案信息安全的各種手段中，對密碼技術的應用非常重視，主要從以下幾個角度進行密碼應用。一是用戶密碼強度必須符合一定的安全等級，二是采用定期更換核心密碼策略。密碼技術是保障檔案信息安全最為最可靠且經(jīng)濟、直觀的保護手段。

1．4應用系統(tǒng)安全保障

基于檔案信息化的應用系統(tǒng)安全非常重要，我院在檔案信息化應用系統(tǒng)建設、開發(fā)方案中擬定安全解決措施。

一是建設方案中單獨建立權限管理平臺進行訪問控制。訪問控制是一種檔案信息安全的手段之一，其作用有：一是防止非法的用戶進入受限的檔案資源；二是允許合法的用戶訪問受保護的檔案資源；三是防止合法的用戶對受保護的檔案資源進行非授權的訪問。權限平臺的建設保障權限的分層、分級控制，并能在安全需求提升的情況下滿足擴展要求。

二是建設方案中單獨建立全方位的日志文檔中心，便于安全追蹤。主要包含以下內(nèi)容：訪問日志、數(shù)據(jù)庫操作日志、非結構化數(shù)據(jù)操作日志、審計平臺建設。在一般電腦系統(tǒng)中，文件內(nèi)容若有任何的改變，電腦并不會加以記錄，而作為檔案數(shù)據(jù)，任何更改文件的動作一定要留有痕跡在日志系統(tǒng)中，這使得在相應安全事件發(fā)生之后，便于事后的追查。日志忠實地記錄下在存取電子文件時留下的所有異動記錄，本文稱為檔案追蹤記錄，主要記錄下操作人員、操作時間、操作內(nèi)容、并對原文件內(nèi)容進行備份存檔。

1．5容災備份保障

高校檔案信息作為高校重要的資源，無論在何種不可控的因素發(fā)生時，要達到檔案信息不可失性的要求。

網(wǎng)絡環(huán)境中除了要保證計算中心的環(huán)境安全、設備安全、線路安全。我院在著手數(shù)字化校園建設規(guī)劃這項工作中，還同時進行容災備份中心的建設規(guī)劃。容災備份中心是檔案信息化安全的最后一道“安全島”，為了絕對的物理安全，計劃將災備中心與數(shù)據(jù)中心物理隔離。災備中心采用獨立的網(wǎng)絡安全機制，進行雙機直備，并將檔案信息數(shù)據(jù)中心數(shù)據(jù)進行定期采集到災備中心，防止數(shù)據(jù)中心意外發(fā)生造成的數(shù)據(jù)損失。

2檔案信息安全應急響應機制

在檔案信息安全發(fā)生時，如何有效地進行數(shù)據(jù)和應用的恢復是另外一項重要的課題。在我院檔案信息安全體系方案中，我們將建立有效的安全應急響應機制，安全應急響應機制是多層次多維度的，以應對假想多種檔案信息安全危害發(fā)生時能迅速啟動應急方案，使檔案信息系統(tǒng)盡快恢復正常，保證檔案工作不受大的影響。主要進行以下安全機制的建設：一是災備中心數(shù)據(jù)恢復機制；二是檔案信息數(shù)據(jù)庫安全應急響應機制；三是服務器發(fā)生故障時安全應急機制；四是針對數(shù)據(jù)中心網(wǎng)絡故障應急響應機制。

上述相應機制的建設保證了多個層面數(shù)據(jù)、應用的可恢復性。在建設相應機制的基礎上對相應機制進行檢驗。在建設后期，將模擬各種檔案信息安全發(fā)生場景，來啟動相應安全應急響應預案，根據(jù)演練反饋效果，完善相應的應急預案。這樣最大程度地保證真實檔案信息安全發(fā)生時，做到數(shù)據(jù)和應用有效地恢復、平滑地對接。

網(wǎng)絡安全建設規(guī)劃范文第5篇

論文關鍵詞：數(shù)字化校園；建設目標；建設規(guī)劃；需求分析；教育技術；現(xiàn)代化

近年來，我國特別重視并強調(diào)利用教育技術推進教育改革。建設數(shù)字化校園，實現(xiàn)教育信息化，強化各項管理，提升綜合實力，是各類學校的一項緊迫任務。數(shù)字化校園是學校的一張網(wǎng)絡名片，是一部永遠放映的宣傳片，學校可通過這個窗口向世界展示自身的實力和形象。

數(shù)字化校園是將現(xiàn)實校園的各項資源數(shù)字化，形成的一個數(shù)字空間，以現(xiàn)實校園在時間和空間上延伸。它是以網(wǎng)絡為基礎，從環(huán)境（包括設備、教室等）、資源（如圖書、講義、課件等）到活動（包括教學、管理、服務、辦公等）的全部數(shù)字化。校園網(wǎng)絡及其應用系統(tǒng)構成整個校園的神經(jīng)系統(tǒng)，完成校園的信息傳遞和服務。在數(shù)字化校園里，可以通過現(xiàn)代化手段，方便地實現(xiàn)學校的教學、科研、管理、服務等活動的全部過程，從而達到提高教學質(zhì)量、科研水平、管理水平的目的。

總體設計方針與目標

設計方針我校的數(shù)字化校園建設的總體設計方針是：在未來的三到五年里建設一個包括數(shù)字環(huán)境建設、數(shù)字管理建設、數(shù)字教學建設、數(shù)字生活建設在內(nèi)，能充分使用教育技術手段的數(shù)字化學校，以資源和數(shù)據(jù)共享為主導，有步驟、分層次地完成學校數(shù)字化校園的建設。

建設目標第一，建設以高速、穩(wěn)定、可靠、可控校園網(wǎng)為基礎，覆蓋全校主要樓宇及公共設施的數(shù)字化網(wǎng)絡通信平臺，使之成為數(shù)據(jù)、監(jiān)控、廣播的綜合通信平臺，滿足數(shù)字化圖書館系統(tǒng)、數(shù)字化教學系統(tǒng)、校園綜合管理信息系統(tǒng)、網(wǎng)絡視頻會議系統(tǒng)、校園服務一卡通系統(tǒng)等的建設要求，實現(xiàn)真正意義上的“一卡、一庫、一網(wǎng)”數(shù)字化校園格局。第二，建設覆蓋全校樓宇及室外空間的通訊網(wǎng)絡，滿足實現(xiàn)有線及無線通訊系統(tǒng)，有線電視（包括數(shù)字電視接收系統(tǒng)）、校園公共廣播、背景音樂、消防應急廣播系統(tǒng)、校園安保監(jiān)控系統(tǒng)等的要求。第三，建設智能化系統(tǒng)，并保證建成后能適應教育發(fā)展的需要，建立相應的軟、硬件平臺，實現(xiàn)信息共享、資源共享、科學管理和網(wǎng)絡信息集成。第四，系統(tǒng)軟、硬件配置采用模塊化、開放式結構，以適應系統(tǒng)靈活組網(wǎng)、擴展和系統(tǒng)能力提升的需要。第五，系統(tǒng)配置采用有長期動態(tài)壽命的產(chǎn)品，回避使用短期過渡性技術產(chǎn)品。第六，實現(xiàn)各個子系統(tǒng)有機互聯(lián)、資源共享、信息共享、增強對突發(fā)事件的響應能力；提高設備利用率、降低能耗、節(jié)約能源。第七，設備配置在保證系統(tǒng)可靠性、先進性、容錯性和易維護性的同時，使系統(tǒng)具有良好的性價比。第八，立足高起點，采用成熟、先進、實用的技術，進行系統(tǒng)的優(yōu)化集成設計。按照“按需設置、量體裁衣”的方針，提出系統(tǒng)近期的實施方案、中期的擴容方案和遠期的發(fā)展規(guī)劃。

建設需求分析

我校數(shù)字化校園基礎設施建設要將校園網(wǎng)絡與教學系統(tǒng)、管理系統(tǒng)、安全監(jiān)控系統(tǒng)、電視系統(tǒng)、廣播系統(tǒng)、校園一卡通系統(tǒng)等進行合理的結合，構建成一套科學、便捷、穩(wěn)定、有效的，能滿足學校教學和管理智能化和數(shù)字化運行的綜合系統(tǒng)。因此，必須建設好硬件基礎平臺和網(wǎng)絡支撐平臺以及若干應用系統(tǒng)。

硬件基礎平臺建設（1）中心機房建設。該中心是全校主要服務器、交換機等設備放置地，是全校辦公、管理、科研、教學、運營中心。整個中心機房建設包括裝修、線纜敷設、照明與應急照明、空調(diào)系統(tǒng)、機房的防雷接地系統(tǒng)、機房的供電系統(tǒng)等。（2）綜合布線系統(tǒng)。該系統(tǒng)用于傳輸數(shù)據(jù)、語音、影像等信息，可將教學樓、辦公室、電腦、電話等的傳輸網(wǎng)絡與其他信息管理系統(tǒng)相互連接。（3）防雷與接地系統(tǒng)。所有的通信設備、交換設備、控制設備、服務器、電源和用戶終端都是互相連接在一起的，各個設備的零電位有差距就有可能給設備的正常工作帶來影響，外界所帶來的影響也可能使設備造成損壞，尤其是雷電，因此良好的接地是整個系統(tǒng)穩(wěn)定運行的前提和保障。

網(wǎng)絡支撐平臺建設（1）網(wǎng)絡交換系統(tǒng)。整個校園網(wǎng)設計為主干核心層、匯聚層和接入層三層網(wǎng)絡結構。需要利用網(wǎng)絡交換設備將全校所有的教學辦公區(qū)、學生宿舍區(qū)樓宇，以及廣場、圖書館、電子閱覽室、禮堂、體育館的服務器、pc機等進行網(wǎng)絡連接，使整個校區(qū)形成一個整體，實現(xiàn)校園網(wǎng)的統(tǒng)一、集中管理。（2）網(wǎng)絡存儲及備份系統(tǒng)。網(wǎng)絡中心將儲存各類教育、教學和管理信息，其中包括多媒體教學信息庫、外部教學資源數(shù)據(jù)庫、教學音視頻數(shù)據(jù)庫、多媒體教學光盤等，主要涵蓋了資源管理系統(tǒng)、資源媒體介質(zhì)管理、資源瀏覽和檢索、數(shù)字化教室等，從而具備校園業(yè)務變化的適應性、高度的安全性，能大容量數(shù)據(jù)存儲處理等特點。（3）網(wǎng)絡管理系統(tǒng)。整個校園網(wǎng)建成后，將有大量的交換機、服務器等網(wǎng)絡設備，需通過一種高效的、快捷的手段來完成對網(wǎng)絡設備及系統(tǒng)的安全控制、性能優(yōu)化、運營管理等，同時節(jié)約人員成本。

基礎應用建設（1）校園一卡通系統(tǒng)。主要包括pos消費機、讀卡器、條碼機、寫卡器、水控器等，從而實現(xiàn)學生收費管理、校園消費、上機管理、學籍管理、圖書管理、轉(zhuǎn)賬（銀行）、會計業(yè)務、查詢服務、綜合業(yè)務、門禁考勤、醫(yī)療管理、水控管理、科研經(jīng)費、巡更等。（2）led屏幕顯示系統(tǒng)。在學生公寓、綜合樓、教學樓、實訓樓、食堂等樓宇入口及綜合樓、運動場主席臺設置led顯示屏，用于顯示文字、表格、動畫、視頻等，也可實現(xiàn)新聞節(jié)目、文藝晚會、運動會、體育比賽的直播或轉(zhuǎn)播等。（3）有線電視系統(tǒng)。可以實現(xiàn)全校性的視頻影音傳送，實現(xiàn)教學影音資料的資源共享，還可以實現(xiàn)教學及綜合活動同期實況轉(zhuǎn)播，召開全校電視會議等。（4）監(jiān)控及報警系統(tǒng)。對校門、校園內(nèi)、圖書信息樓等要害部位和重點部門進行監(jiān)控及入侵報警，只要通過該系統(tǒng)在監(jiān)控中心就能發(fā)現(xiàn)校門、園內(nèi)、要害部位等的情況，發(fā)現(xiàn)問題即時解決，不需要保衛(wèi)人員到處巡邏，節(jié)約人員成本。（5）多媒體教學系統(tǒng)。節(jié)目播出均可以實現(xiàn)電腦控制，可以接收并播放音視頻信號，具有教學評估功能，多媒體教室也可接收并集中控制各類節(jié)目源等。（6）多媒體查詢系統(tǒng)。充分利用圖、文、聲、像以及交互性等多媒體特征對用戶的操作、信息查詢與接收等進行合理導引，以便用戶以最少的時間和精力查詢到最多的信息。（7）計費系統(tǒng)。可以按流量、時間和包月計費，可以對接入的用戶進行驗證和控制，為數(shù)字校園的規(guī)范管理提供可靠保障。（8）電話語音系統(tǒng)。學校可與當?shù)仉娦胚\營商協(xié)商，由運營商投資建設和管理，學校只是按照使用付給投資方使用費。（9）智能建筑管理系統(tǒng)（ibms）。包括樓宇自動控制系統(tǒng)，實現(xiàn)集中監(jiān)視和綜合管理、分散控制、系統(tǒng)聯(lián)動、優(yōu)化運行等，從而提高本項目的運營管理水平，降低運行成本等。（10）信息網(wǎng)絡安全系統(tǒng)。以整個校園網(wǎng)安全建設、管理、運行為重點，保障整個校園網(wǎng)絡、各類應用、管理等的正常運行，降低校園網(wǎng)系統(tǒng)存在的各種安全隱患。

建設項目列表

根據(jù)以上需求情況，設置建設項目：綜合布線；中心機房、計算機網(wǎng)絡及整體網(wǎng)絡建設；校園一卡通；監(jiān)控及報警；防雷、接地；有線電視、校園廣播；多媒體教學和查詢；led屏幕顯示；學生機房、數(shù)字語音室、模擬導游室、電子閱覽室等；辦公會議室、教學多功能廳、演播室等；校園精品課程全自動錄播；網(wǎng)絡數(shù)字教學點播平臺；各類教育教務、辦公自動化及其他網(wǎng)絡管理軟件；樓宇自控系統(tǒng)、建筑智能管理等。

網(wǎng)絡建設規(guī)劃

網(wǎng)絡建設是建設數(shù)字化校園的基礎，必須放在第一位（無線網(wǎng)絡建設可以視條件擇機進行）。網(wǎng)絡建設包括：

網(wǎng)絡基礎設施建設包括供電系統(tǒng)；校園管道系統(tǒng)；機房：雙路供電、不間斷電源、制冷、防雷與接地等系統(tǒng)。

網(wǎng)絡環(huán)境建設包括校園主干光纖；數(shù)字結構化布線；校園網(wǎng)絡架構；ip地址與nat；統(tǒng)一儲存；認證與計費；出口管理；網(wǎng)絡安全；網(wǎng)絡管理；運行與維護；行政管理與制度。

網(wǎng)絡應用系統(tǒng)建設包括網(wǎng)站；基于網(wǎng)絡的視頻監(jiān)控系統(tǒng)；多媒體系統(tǒng)；多種教學系統(tǒng)；精品課程等。

構建數(shù)字化校園進程中容易出現(xiàn)的問題

數(shù)字化校園的建設推進了學校教學內(nèi)容的數(shù)字化和教學手段的現(xiàn)代化，加快了教育技術現(xiàn)代化進程，進一步改善了學校各專業(yè)的教學條件，強化了高素質(zhì)人才的培養(yǎng)力度。但在建設過程中容易出現(xiàn)以下問題：

經(jīng)費投入不足、不及時由此延誤了部分項目的建設，影響了項目建設的整體效果，影響了項目功能的發(fā)揮。

技術力量分散對教育技術的人力資源沒有進行充分有效的整合，技術力量分散，不利于發(fā)揮技術優(yōu)勢。

管理水平不高注重硬件系統(tǒng)的投入，忽視制度和管理體系建設。學校應投入相應的人力和經(jīng)費，建設與之相配套的優(yōu)質(zhì)管理服務保障體系，還應制定一整套規(guī)章制度和工作流程，建立以人為本、以教學為中心的服務體系，促進管理水平的提高。