网络安全建设计划精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全建设计划主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全建设计划范文

关键词：医院；信息化；计算机网络；管理；维护

在网络技术快速发展的背景下，医疗行业信息化建设发展得到推动，医院内的财务管理系统以及行政管理系统已经形成了较为明显的信息化发展趋势。现如今计算机网络以在医院各个部门全面应用，为医院医疗工作的高效率开展提供技术支持。由于医院业务工作的特殊性，因此对医院的计算机网络安全要求极高，为了确保医院信息系统的正常运转，需要探索计算机网络安全管理工作，加强对医院计算机网络安全管理的重视程度，为医院的信息化建设发展提供技术支持。

一、医院计算机网络安全管理及维护的重要性

在医院信息化建设过程中，计算机网络信息技术的应用对于医院综合管理水平的提升有着促进作用，因此需要针对计算机网络信息技术制定网络安全管理模式工作，继而实现医院的可持续发展目标。

（一）为医院信息化建设提供技术支撑现如今信息化系统以广泛应用于医院管理系统之中，计算机网络技术的应用能够为医护人员诊疗患者提供诊疗信息，同时也能为医院行政管理工作的开展提供信息支持。若没有计算机网络技术的支持，医院信息化系统内部各个模块则无法实现互通，医院业务功能无法有效开展。为此基于计算机网络平台开展的信息化建设，能够为智慧医院的建设提供技术支持。

（二）可提供高质量的医疗服务所有患者都希望能够在医院内获得高质量的医疗服务，为此医院需要对各项业务工作进行有效处理。计算机网络安全管理工作的开展能够保证医院信息安全，为医院现代化建设创造条件。为此医院需要加强对计算机网络信息安全管理维护的重视程度，有效提升医院的信息技术应用成效。

（三）可提升医院的业务工作效率在医院信息化建设过程中，计算机网络应用较为广泛，计算机网络信息管理主要分为信息传递以及信息处理。计算机网络信息安全管理维护工作的开展，能够帮助医院构成高效、智能的信息系统，可对信息系统上的医疗业务数据随时进行查阅应用，全面提升医院的诊疗效率。

（四）可确保医院数据信息安全现阶段医院信息化系统的管理应用是依赖于计算机网络，一旦医院发生计算机网络安全事故，将会导致医院出现业务工作瘫痪问题，导致医院诊疗患者的个人医疗信息被泄露。为此计算机网络安全管理维护工作的有效开展，能够推动医院信息化建设工作，避免医院诊疗患者个人隐私被侵犯。

二、信息化建设中医院计算机网络安全管理及维护的现状

（一）医院网络系统外部环境有待优化对于医院管理者而言，信息化系统网络安全建设离不开安全的外部工作环境。部分医院管理者并不重视网络安全信息化建设工作，因此对于网络信息安全保护以及维护的关注程度不高。此外，医院投放在网络保护上的人力、物力相对较少，仅采用简单的存储设备开展数据存储工作，也并不会聘请专业技术水平高的团队进行网络系统维护，不仅会影响医院信息化建设集成，同时也会造成医院关键数据信息的丢失。

（二）医院信息系统存在系统安全问题医院信息系统安全问题主要是指系统内部的应用程序安全问题，通过保证医院操作系统应用的稳定性，继而保证医院信息系统的应用安全。数据安全主要是指医院各个科室的工作数据以及患者数据信息的安全。在网络信息技术不断更完善更新的背景下，医院所应用的信息系统需要进行更新升级，但信息系统存在的网络安全威胁问题未能得到妥善解决。此外虽然计算机网络技术在医院信息系统中广泛应用，但由于网络系统的网络结构极为复杂，让网络结构极易成为病毒木马攻击的首选目标。不同设备开发应用的技术存在一定的差异性，也因此增加了信息系统出现系统漏洞的机率，导致计算机网络系统运行不稳定。

（三）医院系统硬件问题计算机网络作为连接医院与客户端的重要技术，计算机是推动医院医患信息共享系统建设的重要设备。部分医院为了节约硬件资金投入问题，忽略计算机网络基础设备更新换代的必要性，继而导致医院的信息化建设发生建设滞后的问题。长此以往，计算机在应用过程中极易出现死机、卡顿等情况，不仅会影响医院信息系统的工作效率，同时也会影响共享系统终端用户的应用体验。现阶段医院应用的操作系统为微软Windows10，但是仍有部分医院应用的操作系统为XP系统或是低版本操作系统，继而导致系统硬件漏洞相对较多。医院业务工作的特殊性，要求信息系统需要二十四小时不间断的运行，一旦发生电击、高温等问题时，极易导致计算机网络设备发生运行故障，影响医院诊疗业务的开展。

（四）人员个人问题医院的信息化建设能够提升工作人员的工作效率，实现医院整体经济效益的全方面优化，是医院可持续发展的重要支撑。虽然大多数医院管理者能够认可计算机网络的应用优势，但仍旧存在医护人员并不重视计算机网络安全管理维护工作的问题。如用户主体不能遵守电子信息系统的应用流程，对于涵盖病毒的U盘任意拔取，将会导致整个计算机网络系统发生瘫痪。此外医院内部缺乏专业的网络技术人员，其计算机网络管理维护能力无法达到系统安全防御需求，进而导致医院信息化建设无法进一步开展。

三、信息化建设中医院计算机网络安全管理及维护优化的策略

（一）优化医院网络系统的外部环境第一，为了优化医院信息机房的外部环境，医院管理层需要配备基础设施，合理安排信息机房在医院的具置。第二，在信息机房内部以及室外配设无死角的监控设备，同时为了确保信息机房的安全性需要设置完善的门禁系统，避免外来无关人员进入信息机房。第三，为了确保网络外部环境安全，管理人员需要对机房内部系统上的硬件设备进行全方面管理，避免机房受到静电以及电磁的干扰，严格按照机房安全指南对信息机房进行有效管理。

（二）强化医院网络安全管理信息系统第一，医院信息化系统所应用的系统软件较为繁琐，因此在开展信息系统杀毒处理过程中，需要对杀毒软件应用进行规划，避免恶意软件对信息系统造成破坏。为此管理人员需要应用与信息系统相匹配的杀毒软件，借助防火墙技术避免病毒木马入侵信息系统。此外需要根据网络系统软件的更新升级情况升级系统杀毒软件，确保网络系统应用的安全性。第二，在计算机网络系统运行过程中，需要对网络信息进行管理和维护，对没有应用价值的数据信息进行销毁处理，确保计算机网络信息数据的安全性。管理者需要对访问计算机网络系统的用户身份信息进行保密，确保来访用户的个人信息不会被泄露，有效保护用户个人隐私安全。此外需要定期开展系统安全监测工作，对于常规程序进行系统扫描工作。如计算机网络系统可利用PKI技术开展系统密码设置工作，对用户的私密数据进行隔离。第三，服务器作为计算机网络安全维护的重要部件，服务器的高效运作能够让数据在不同主机之间快速传输。为此计算机网络安全维护人员需要正确认识服务器应用的价值作用，对服务器进行优化维护，避免外来入侵者对医院内重要数据信息进行盗取应用。

（三）加强对计算机硬件设备的安全管理第一，为了推动医院信息化建设，需要确保计算机硬件应用的安全性，避免由于硬件问题导致计算机网络系统发生故障，确保医院信息网络系统能够正常运行。为此医院管理人员需要对计算机主板进行定期检查，对计算机内部的灰尘杂物进行定期清理，同时还要做好计算机接口的防氧化问题。第二，管理人员需要做好硬件设备的CPU散热工作，及时更换硬件设备的散热器，同时还要定期维护管理应用的计算机硬盘，对于已经发生故障的计算机硬盘进行处理换新，对计算机硬盘的医务信息定期进行备份。此外需要对显示器、信号源以及显卡等硬件进行有效维护，确保计算机安全系统能够正常运行，避免医院内重要的信息文件丢失。第三，需要保证应用网络布线的安全性，通过应用优质的网络布线材料，提升信息系统的应用安全性，避免线路在安置过程中出现缠绕问题。通过将强电流线路距离保持在30cm以上，继而解决线路之间的电流干扰问题。

（四）做好相关人员的培训工作第一，为了确保计算机网络安全管理维护工作能够高效开展，需要对相关医护人员进行定期培训，夯实相关医护人员的计算机基础知识，降低计算机安全网络隐患。第二，对相关医护人员的知识技能操作进行考核，有效提升计算机应用人员的个人操作水平，避免个人因素导致计算机网络安全事故的发生，继而提升医护人员的工作效率。第三，加强医院工作人员的计算机网络安全管理维护意识，让其正确看待计算机网络安全问题，采取必要手段预防并解决计算机网络安全问题。

第2篇：网络安全建设计划范文

关键词：民航 信息网络 系统安

一、民航信息网络系统安全问题分析

近年来，随着我国经济水平的不断提升，大幅度推动民航领域的发展，在这一背景下，民航的信息网络系统随之进入建设高峰期，该系统除与飞机的飞行安全有关之外，还与空防和运行安全有着极为密切的关联，一旦系统出现问题，轻则会影响民航的正常运营，严重时将会危及到飞机的飞行安全，极有可能造成巨大的经济损失。如某机场的空管飞行数据处理系统发生故障，致使机场的空管雷达无法提供正常的数据，直接导致70余架航班不能按时起落降，数千名乘客的出行受到影响；又如，某航空公司的电子客票系统被黑客入侵，导致多名乘客的机票信息泄露，媒体报道后，造成严重的社会影响，诸如此类事件不胜枚举。

通过对国内一些航空公司进行调查后发现，绝大部分都曾经发生过信息网络安全事件，在诱发安全事件的原因中，计算机病毒、木马、电脑蠕虫等所占的比例较大，约为70-80%左右，网页被恶意篡改、端口扫描等网络攻击约为20-30%左右。上述安全事件之所以会频繁发生，主要是因为民航信息网络系统的安全防护水平不高，给恶意入侵、黑客攻击提供了可能。鉴于此，必须从管理和技术两个方面着手，加强民航信息网络安全建设。

二、民航信息网络安全建设策略

为确保民航信息网络系统安全，必须建立起一套科学合理、切实可行的安全管理制度，并采取先进的技术措施，提高系统的安全等级。

（一）加强安全管理

1.构建完善的制度体系。民航信息网络系统的安全离不开管理，而想要使管理发挥出应有的成效，就必须构建起一套较为完整的制度体系。各大航空公司应当结合自身的实际情况，并总结以往的经验教训，量身定制安全计划和方案，如网络信息安全等级保护与分级保护、安全通报制度等等，确保所有的安全管理工作都能有制度可依。与此同时，还应不断加强对相关人员的管理，提高他们的安全意识，从根本上保证信息网络系统的安全性。

2.做好管理维护工作。民航信息网络系统是由诸多设备组成，想要保证系统的安全，就必须做好运行设备的维护管理。鉴于民航信息网络系统的特点，即启动后不能随意关闭，因此，可从如下几个方面保证系统安全、稳定运行：①控制主机温度。可在信息网络系统建设时，为相关的硬件设施配备一套双机热备加磁盘阵列，这样能够确保网络信息系统的安全性，同时可以选用小型机作为民航运营数据库或是离港系统的服务器，该服务器采用的是分布式架构，其能够在确保安全的基础上，提高系统的可用性。②定期检查。民航信息网络系统中，有一些软件的可靠性相对较低，若是大量用户同时上线可能会导致系统死机的问题发生，通过定期的检查，能及时发现问题，并进行升级维护，由此不但能够提高系统运行效率，而且还能确保\行安全。

（二）安全技术措施

民航在进行信息网络系统安全建设的过程中，要采取合理可行的技术措施，为信息网络系统的安全保驾护航。

1.入侵检测技术。该技术是近年来兴起的一种网络信息安全防范技术，其能够通过对网络信息系统的审计数据、安全日志等进行检测，找出入侵以及入侵企图，这种技术最为主要的作用是对网络信息系统的入侵和攻击进行监控，进而采取相应的措施加以应对，从而确保系统的安全。民航可基于该技术构建一套相对完善的IDS系统，运用该系统对外部的非法入侵以及内部用户的非授权行为进行检测，发现并报告网络信息系统中的异常现象，对针对信息网络系统安全的行为做出及时有效地应对。

2.身份认证技术。该技术具体是对系统操作者身份的确认，其能够借助网络防火墙、安全网关等，对信息网络系统的用户身份权限进行管理，民航的信息网络系统一般只能对操作者的数字身份信息进行识别，而通过身份认证技术的应用，则可有效解决系统操作者物理与数字身份的对应问题，由此为系统的权限管理提供了可靠依据。民航在进行信息网络系统建设时，可以采用以下几种方式对系统操作者的身份进行认证：用户名+密码；用户基本信息验证，如证件号码、信用卡号等；特征识别，如视网膜、指纹、声音等。此外，还可以采用USB key，这样可以进一步提升系统的安全性能。

3.加密与数字签名。这是目前保障网络信息系统及数据安全最为常用的一种技术，它能够有效防止各种机密数据被外部窃取、更改，对于信息安全具有极强的保证。具体应用时，可对一些重要的文件进行加密，这样即便有非法用户入侵到系统当中也无法查看加密文件的内容，加密后等于给文件上锁，其安全性自然会获得保证。而数字签名则可确保用户收到的邮件均为所需用户发送而来，可有效防止垃圾邮件。民航在信息网络系统安全建设时，可合理运用加密和数字签名技术，为各类重要信息提供安全保障。

4.网路防火墙。民航在进行信息网络安全建设时，应当选用高端的防火墙产品，除要具备防火墙的基本功能之外，还应兼具VPN网关功能，建议采用分组过滤式防火墙或是双穴网关防火墙，同时要考虑不同接入方式的适应性。需要注意的是，防火墙要选用正版的，并定期进行升级，这样才能使其作用得以最大限度地发挥。

三、结语

综上所述，民航信息网络安全的重要性不言而喻，因此，必须做好信息网络系统的安全建设工作，民航企业可以结合自身的实际情况，制定科学的管理制度，并采取先进的技术措施，提高系统的安全性，这样不但能减少或是杜绝各类安全事件的发生，而且还有利于促进我国民航事业的持续发展。

参考文献：

[1]余焰，余凯.以空管信息为核心，建立民航信息集成共享系统空管系统信息网络建设需求分析[J].黑龙江科技信息，2015，（04）.

[2]梁有程.分组交换技术在民航数据通信网络中的应用探析[J].电信网技术，2015，（07）.

[3]赵航.以安全保障为前提的民航空管信息系统安全体系的研究[J].科技经济市场，2014，（07）.

第3篇：网络安全建设计划范文

关键词 边防部队 网络安全 信息技术

中图分类号TP39 文献标识码A 文章编号 1674-6708（2012）71-0166-02

当今社会是一个信息技术高度发达的社会，其各种信息技术已经不断的应用在各个发展领域之中。网络信息技术在部队之中，已成为其各个管理和控制的重点。极大地提高了作战指挥、教育训练、管理工作和在工作中科学研究水平和效益的有效提高。但是随着社会发展中，由于各种核心器件的依赖心不断增加，对各种国外技术的需求日益提高，使得其各种安全性能和管理措施逐步与各个发达国家脱节，信息安全保密问题确实令人担忧, 各种病毒、黑客攻击已成为当前信息安全的主要隐患和面临的主要形式。面对这种严峻形势,如何做好信息安全与信息保密技术已成为当前各个科研机构和边防部队探讨的重点。着力解决信息安全保密之策,积极的铸造出各种信息安全的保护措施和保护构建是当前现代化军队组建和发展的主要措施和前提基础。

1?在信息争夺日趋激烈条件下，强化维护网络信息安全的紧迫意识

在当前社会不断发展过程中，各种信息技术要求不断提高，信息技术已成为当前各个行业发展所不可缺少的一部分。所谓信息安全，是指信息本身的安全、信息处理系统的安全和信息在传输过程中传输的快捷和准确以及其保密系能。在当前网络信息的安全性主要是体现在信息的机密、安全、可用和可靠性能。

网络信息安全随着社会发展已成为一个关系国家命运和安全的重大问题，更是当前各个国家所追求和探索的重点，在当前各个国家的竞争中，网络信息技术的竞争已成为各个国家追求和探索的重点，更是其在发展中追求的主要问题所在。针对网络的突然袭击将成为国家安全的最严重威胁之一。在当前信息资源开发和利用日益扩大，各个行业之间都不可缺少的对信息资源进行充分的利用和探讨，它在加速推进人类社会整体进步的同时，更是为当前各个国家之间的信息交流带来便捷，同岁也为国家的敌人提供了便利的信息索取平台。因此在当前提高网络信息安全已成为国家发展的当务之急，更是边防部队建设中的重中之重。

2?在信息破坏逐渐增多的条件下，强化网络信息安全面临的挑战意识

随着近年来社会不断发展中，人为的网上恶意攻击已成为当前网络信息安全面临的最大威胁。在信息化条件下，网络的快速普及给世界各国的网络信息带来了前所未有的挑战，其网络信息安全已成为世界性的话题，更是世界探讨的关键。

目前，边防军网络化建设尚处于起步阶段，在其对网络技术应用的过程中还存在着诸多的缺陷和问题，各个问题都需要当前的良好建设。在我国边防军网络信息安全主要存在的缺陷和因素主要有以下几点：

一是安全网络意识淡薄，缺乏网络安全保密知识。随着互联网技术在当前社会中的不断应用，全球性互联网技术的广泛连接，使得信息通用化的到了良好的发展，但是其安全防范意识却是一直不够，造成在网络信息安全技术中的不足和不够。

二是信息网络安全技术落后，由于我国过去国情的影响，使得我国截止现在对国外的各种硬件和软件设备依赖性较高，造成在使用的过程中存在着严重的不足和缺陷，以至于造成各种网络信息技术的丢失。

三是我军网络系统重使用、轻防护的现象比较突出，安全防范能力较低，在边防军信息网络建设中只顾着重视各种网络信息的传递效率和准确性，而忽视对其机密和保密性的保管和探讨。网络信息安全的法规标准不完善，组织管理未跟上，缺乏宏观规划，各种规章制度不够完善和健全。

四是维护网络信息安全工作缺乏系统性，整体功效发挥不够。

3?边防军信息安全意识建设

在当前社会发展过程中最为注重的还是对其意识的培养和建设。新军革方兴未艾，信息技术日新月异，由于我国边防军网络安全信息系统刚刚起步，其在发展中要培养良好的安全防范意识，树立全面的安全防范措施是当前的当务之急，更是保证网络建设中做到其安全防范保护的关键。

3.1技术领域

为了避免其他国家在电脑硬件和软件制造中留下个中隐藏后手，应当采用先进的技术对各种硬件和软件进行分析，大力的投入去钻研自主开发的硬件和软件设备，是保证日后网络信息战争过程中不受制于人的关键。开发自己的安全产品，研制自己的信息作战武器在当前信息技术应用和发展中是其主要的关键。

3.2素质培养领域

未来信息条件下的网络战将不仅是技术的较量，更是各个国家之间人才交流和较量的前提和关键。必须把网络人才的培训纳入全军人才发展战略规划，制定出合理、科学的培养计划，保证边防建设中各个工作人员素质的要求。确保对人才培养中各种管理制度的完善是保证信息网络安全的前提关键。

4 防火墙的构建

随着当前社会和科学技术的不断发展和应用，网络信息技术在当前边防部队建设中有着不可替代的作用，防火墙作为当前现代化建设中不可缺少的一部分，是保证网络信息安全的主要基础关键。在当前科学技术飞速发展中，网络技术可以说是已成为当前各个国家，各个部队进行分析和研究的重点。防火墙是一个保护装置，是当前信息网络技术安全的主要保证基础，是当前计算机网络使用过程中的主要防护措施和防御工具，更是面对各种安全隐患和恶意攻击进行良好的抵挡和保证的基础关键。通常是指运行特别编写或更改过操作系统的计算机，是以保护计算机使用中内部网络安全和各种网络访问畅通的主要措施和方法。

为了确定防火墙设计策略，在边防部队网络信息安全建设过程中，防火墙是不可缺少的一部分，应从最安全的防火墙设计策略开始，即除非明确允许，否则禁止某种服务。其在设计的过程中要以各种先进的技术措施为基础，在必要的时候宁可采用中断服务器的方式也要保证信息的安全性与保密性。因此在防火墙的设计中是一项不可忽视的过程。

第4篇：网络安全建设计划范文

为了保障企业的信息安全，必须建立一个企业信息安全体系。信息安全体系包含信息安全策略、信息安全组织、信息安全技术和信息安全建设与运行四部分内容（如图1所示），四者既有机结合、又相互支撑。企业的信息安全体系运作就是企业根据安全策略，由安全组织（或人员）以安全技术作为工具和手段进行操作，来维持企业网络的安全运行，从而使网络安全可靠。

安全体系的普遍问题

当前大多数企业的信息安全体系普遍存在以下四方面的问题：

信息安全策略方面：许多企业没有统一的安全运行体系；公司的安全策略没有正式的审批和过程，没有公司的行政力度进行保障，使得安全策略在企业内的执行缺乏保障；缺乏规范的机制定期对信息安全策略、标准制度进行评审和修订。

信息安全组织方面：缺乏完整、有效、责权统一的专门的信息安全组织，只是配有少量的兼职安全人员。信息安全工作没有明确的责任归属，工作的开展与落实有困难；缺少信息安全专业人员，缺乏相应的安全知识和技能，安全培训不足；缺乏对于全员的信息安全意识教育，桌面系统用户的安全意识薄弱。

信息安全技术方面：用户认证强度不够；应用系统安全功能与强度不足；缺乏有效的信息系统安全监控与审计手段；系统配置存在安全隐患；网络安全域划分不够清晰，网络安全技术的采用缺乏一致性。

信息安全建设与运行方面：没有建立起完善的IT项目建设过程的安全管理机制，应用系统的开发没有同步考虑信息安全的要求，存在信息安全方面的缺陷；日常的安全运维工作常处于被动防御状态；缺乏明确的检查和处罚机制，多数企业在运维管理方面缺乏统一的安全要求和检查；缺乏应急响应机制；对已有安全设施的维护、升级和管理不到位。

面对以上种种问题，企业必须认真考虑下列问题: 企业如何建立信息安全策略体系？企业信息安全组织如何建立？企业信息安全技术是否有效可靠？企业信息安全建设与运行是否有完整的制度保障？要解决这些问题，企业应充分利用成熟的信息安全理论成果，设计出兼顾整体性、具有可操作性，并且融策略、组织、运行和技术为一体的信息安全保障体系，保障企业信息系统的安全。

信息安全策略体系

信息安全策略体系规划为三层架构，包括信息安全策略、信息安全标准及规范、信息安全操作流程和细则（如图2所示），涉及的要素包括信息管理和技术两个方面，覆盖信息系统的物理层、网络层、系统层、应用层四个层面。

技术安全体系

在IAARC信息系统安全技术模型中，包含了身份认证、内容安全、访问控制、响应恢复和审核跟踪五个部分，当前主要的信息安全技术或产品都可以归结到上述五类安全技术要素（如图3所示）。

充分利用信息安全的技术手段(包括身份认证、访问管理、内容安全、审核跟踪和响应恢复等五种保护措施)，同时，结合信息安全所保护的对象层次，以及目前主流的信息安全产品和信息安全技术，完善企业信息安全技术体系框架。

整个企业信息安全技术体系的总体框架如图4所示：

物理层安全

主要包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。

网络层安全

要建立注重安全域划分和安全架构的设计。可以根据信任程度、受威胁的级别、需要保护的级别和安全需求，将网络从总体上分成四个安全域，即公共区、半安全区、普通安全区和核心安全区。针对不同的安全区域采用不同的安全防范手段。

安全边界的防护。边界是不同网络安全区域之间的分界线，是不同网络安全区域间数据流动的必经之路。安全区域的边界防护是根据不同安全区域的安全需要，采取相应的安全技术防护手段，制定合理的安全访问控制策略，控制低安全区域的数据向高安全区域流动。

针对VPN的接入安全控制。用户远程VPN接入主要用于员工出差时访问内部网络的需求和各企业小规模分支机构访问内部网的需求。VPN（虚拟专用网）是为通过一个公用网络（通常是互联网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

网络准入控制。网络准入控制系统是通过对网络用户合法身份的验证以及对网络终端计算机安全状态的检测和评估，决定是否允许这台网络终端计算机接入企业网络中。若不符合制定的准入策略，将其放入隔离区以修复，或仅允许其有限地访问资源。降低非法用户随意接入企业网和不安全的计算机终端接入企业网对网络安全带来的潜在威胁。

做好网络设备登录认证。建立集中的网络设备登录认证系统，用于对网络设备维护用户的集中管理，认证用户的身份，决定其是否可以登录到网络设备;通过定义不同级别的用户，授权他们能执行的不同操作，记录并审计用户的登录和操作。

系统层安全

做好系统主机的入侵检测，针对系统主机的网络访问进行监测，及时发现外来入侵和系统级用户的非法操作行为；要做好系统主机的访问控制，系统主机访问控制提供给系统安全管理员最有效的方法，从用户登录安全、访问控制安全、系统日志安全等方面加入安全机制;要做好系统主机的安全加固，定期对服务器操作系统和数据库系统进行安全配置和加固，在不影响业务处理能力的前提下对系统的配置进行安全优化，以提高系统自身的抗攻击性，消除安全漏洞，降低安全风险；做好主机的安全审计工作，提供全面的安全审计日志和数据，提升主机审计保护能力，对审计数据的访问进行严格控制，加强对审计数据的完整性保护。

应用层安全

随着各种各样的系统应用不断深化和普及，一些应用系统安全问题不断凸现出来。为了最大限度及时规避因应用安全问题带来的威胁，应着力抓好六个方面的工作：建立应用安全基础设施；健全应用安全相关规范；改进应用开发过程；组织关键应用安全性测试；加强应用安全相关人员管理；制定应用安全文档及应急预案。

终端层安全

加强终端电脑的安全管理。终端安全指对接入企业网络的终端设备（主要是台式计算机、笔记本电脑和其他移动设备等）进行的安全管理。内容包括终端安全策略、防病毒、防入侵、防火墙、软硬件资产管理、终端补丁管理、终端配置管理、终端准入控制以及法规遵从等内容。

备份与恢复

备份与恢复是基于安全事件发生后保证灾难所造成的损失在一个可以接受的范围内、并使灾难得到有效恢复的安全机制，包括数据级、应用级和业务级三个层次。参照国际标准Share78中定义的容灾系统层次划分，对不同等级的信息系统建立不同的备份与恢复机制。主要工作包括：开发容灾计划，通过对不同等级的信息系统容灾需求分析，确定容灾等级、RTO\RPO等容灾指标、备份策略、恢复性测试要求等，设计容灾方案；备份与恢复基础设施的建设，包括建立异地灾难恢复系统和重要数据的本地备份设施。

信息安全组织

信息安全组织的角色与职责要界定清晰。信息管理层进行适当的职责划分，能合理阻止关键流程的破坏。同时应加强全员的信息安全意识教育，提高员工整体信息安全意识。建立安全组织与定义安全职责是密不可分的两项工作，组织与职责的清晰定义可以有效地促进信息安全各项工作的进行，包括信息安全教育与培训以及人员安全。企业要建立的信息安全组织要包含决策、管理、执行与监管四个层面。

信息安全教育与培训要覆盖公司各个层面的人员，提升整个企业人员安全的水平，同时人员安全的相关工作在制度和机制方面为教育与培训提供有效保障。

第5篇：网络安全建设计划范文

关键词：智能电网 信息安全 可信平台 云计算

中图分类号：TP393.08 文献标识码：A 文章编号：1007-3973（2013）012-215-02

1 引言

以“自动化、信息化、互动化”为主要特征的智能电网，必将引入更多的智能基础设施，这些设备组成的庞大网络所产生的数据量是传统电网无法比拟的，智能电网也被称为“电网2.0”。如何有效应用电网产生的庞大数据量，是未来智能电网领域的研究人员面临的一大挑战。因此，将云计算方法与智能电网的属性特征相结合，可以提供崭新的解决思路。随着智能电网建设步伐的推进，更多的设备和用户接入电力系统，例如，智能电表、分布式电源、数字化保护装置、先进网络等，它们在提升电网监测与管理的同时也给数据与信息的安全带来了隐患。因此，如何使众多的用户能在一个安全的环境下使用电网的服务，成了当前电网信息安全建设的重要内容之一。

云计算是在分布式计算、网格计算、并行计算等基础上发展出的一种新型计算模型，云计算的出现使得人们可以直接通过网络应用获取软件和计算能力。IBM公司在2007年末的云计算计划中将其定义为：按用户的需求进行动态部署、配置、重配置以及取消服务等伸缩性平台。在云计算平台中的服务必须是可伸缩的，属于元（Meta）计算系统，可以是具体的物理的服务器机群，也可以另外一个云计算平台；通常一个通用的云计算平台包含强大的计算资源、存储区域网络（SANS）、网络设备、安全设备等。

2 电力企业的云计算需求

智能电网的信息化特征实质上是电力企业的信息化，包括电力生产、调度自动化和管理信息化等。目前调度自动化的各个系统，如SCADA、AGE以及EMS等已经成熟应用，省级电力调度机构全部建成了以EMS/SCADA为基础的三级调度自动化系统。但这些系统之间缺乏畅通的联系：信息不能共享，业务不能协同发展，对企业管理决策的作用十分有限，形成了大量的“信息孤岛”。未来电力信息系统需要对大量的信息资源进行共享，构筑一体化企业级信息集成平台，即电力企业的云平台。

云计算技术在电力企业的业务管理中已经逐步得到应用，另外，随着技术的成熟和商业成本的降低，基于可信计算平台的网络应用获得了迅猛发展。如果在电网业务管理体系中将可信计算与云计算结合起来，将会使电网的管理水平如虎添翼。图1所示为电力营销系统的云模型。

在可信计算环境下，每台主机嵌入一个可信平台模块。由于可信平台模块内置密钥，在模块间能够构成一个天然的安全通信信道。因此，可以将广播的内容放在可信平台模块中，通过安全通信信道来进行广播，这样可以极大地节约通信开销。智能电网的体系架构从设备功能上可以分为基础硬件层、感知测量层、信息通信层和调度运维层四个层次。那么，智能电网的信息安全就必须包括物理安全、网络安全、数据安全及备份恢复等方面。因此，其涉及到的关键问题可从CA体系建设、桌面安全部署、等级防护方案等方面入手。

3 智能电网中可信云的构造

未来接入智能电网的客户，不是传统意义上的单向服务接受者，而是具有与电网互动能力的双向参与者，客户的信息不但关系到隐私保护的问题，也同样会影响到电网安全，亟待构建一个可信的智能电网云计算环境。目前，计算技术与密码技术相结合，推动信息安全研究进入了可信计算（Trusted Computing， TC）阶段。随着技术的成熟和商业成本的降低，基于可信计算平台的网络应用获得了迅猛发展。

因此，需要借鉴可信计算平台的特点，研究如何设计高效的电力企业可信云计算平台，以解决电力信息化建设过程中的“信息孤岛”与信息安全问题，具有重要的现实意义和应用价值。

根据国家关于《信息系统等级保护基本要求》中关于信息安全管理的内容，针对电网业务应用系统的不同等级，设计了各应用系统的安全技术规划，内容包括物理安全、网络安全、系统安全、应用安全和数据安全等，如图2所示。

在该实验平台中，采用PGP（pretty Good privaey）加密算法对不同模块中的信息进行加密处理，如对保存文件进行加密、对电子邮件进行加密等，做到系统间信息的安全传输。

4 结束语

未来智能电网的安全保障不但要与信息安全技术相结合，还要融合先进的计算技术，如云计算、可信计算等，而不仅仅是简单的集成，智能电网将会发展成基于可信计算的可信网络平台。本文以电力企业营销系统的实验平台与可信计算结合起来，设计了面向智能电网的可信云计算环境。但信息安全是一个没有尽头的工作，需要及时在最新的案例中找到改进方法，不断完善信息安全方案，智能电网的信息化建设也将充分吸收新技术的优势，争取做到真正的智能、坚强。

（基金项目：中央高校基本科研业务费专项资金项目（11MG50）；河北省高等学校科学研究项目（Z2013007））

参考文献：

[1] 陈树勇，宋书芳，李兰欣，等.智能电网技术综述[J].电网技术，2009，33（8）：1-7.

[2] 陈康，郑纬民.云计算：系统实例与研究现状[J].软件学报，2009（5）：1337-1348.

第6篇：网络安全建设计划范文

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2012）04-0000-00

1、校园网安全问题分析

1.1 校园网接入安全建设的烦恼

(1)整网安全状况无法掌控；(2)内部病毒泛滥；(3)用户接入随意；(4)事故屡禁不止。

1.2 校园网出口安全建设的烦恼

(1)来自外部网络的DoS攻击、病毒、恶意扫描防不胜防；(2)P2P应用大行其道，蚕食出口带宽，上网速度不堪忍受，师生怨声载道；(3)出口链路众多，多链路负载均衡和策略路由充满挑战；(4)带宽扩容，原有的路由器、防火墙超负荷运行；(5)并发连接回话激增，NAT网关频繁死机；(6)出口日志记录不详，检索复杂；(7)IPv6网络出口缺乏安全防护手段，跨栈攻击一触即发。

2、校园网络安全策略

制定安全有效的校园网安全策略，可以最大可能降低校园网受故意或无意的攻击而造成的性能下降、失效、数据丢失或泄密。好的安全策略要从环境、用户、产品、意识等方面来进行综合分析,安全策略包括严格的管理、先进的技术和行之有效的规章制度。

2.1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

2.2 防火墙控制策略

防火墙是一种网络安全设备，它可以防止某些数据的出入。防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。

2.3 访问控制策略

访问控制策略是网络安全防范和保护的主要策略，其任务是保证网络资源不被非法使用和非法访问。它是保证网络安全最重要的核心策略之一，各种网络安全策略必须相互配合才能真正起到保护作用。禁止无关的对外访问，减少不必要的对外访问，从而节省带宽，降低风险，严格控制核查外来的访问，最大限度地阻止黑客的攻击破坏。

2.3.1 入网访问控制

入网访问控制是网络访问的第1层安全机制。它控制哪些用户能够登录到服务器并获准使用网络资源，控制准许用户入网的时间和位置。用户的入网访问控制通常分为三步执行：用户名的识别与验证；用户口令的识别与验证；用户账户的默认权限检查，三道控制关卡中只要任何一关未过，该用户便不能进入网络。

用户登录时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。用户的口令是用户入网的关键所在，口令必须经过加密，最好是数字、字母和其他字符的组合，长度应不少于6个字符。用户名和口令通过验证之后，系统需要进一步对账户权限进行检查。控制用户登录入网的位置、限制用户登录入网的时间、入网的主机数量等等。

2.3.2 操作权限控制策略

操作权限控制是针对网络非法操作所提出的一种安全保护措施。用户被赋予一定的权限，网络管理员通过设置，可以控制用户资源访问的范围，可以指定用户对这些资源能够执行哪些操作。系统通常将操作权限控制策略，通过访问控制表来描述用户对网络资源的操作权限。

2.3.3 网络监测控制

网络管理员可以对网络实施监控, 服务器应记录用户对网络资源的访问,对非法的网络访问, 服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。对于非法试图进入网络的, 网络服务器应能够自动记录这种活动的次数，当次数达到设定数值，如果非法访问的次数达到设定数值, 那么该账户将被自动锁定。

2.4 网络入侵检测技术

入侵检测指对入侵行为的发现。它不仅检测来自外部的入侵行为，同时也检测来自内部用户的未授权活动。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，以提高系统管理员的安全管理能力，及时对系统进行安全防范。

入侵检测系统包括进行入侵检测的软件和硬件，主要功能有：检测并分析用户和系统的活动；检查系统的配置和操作系统的日志；发现漏洞、统计分析异常行为等等。在校园网络中采用入侵检测技术最好采用混合入侵检测，在网络中同时采用基于网络和基于主机的入侵检测系统则会构架成一套完整立体的主动防御体系。

2.5 加强网络安全管理

网络安全技术的解决方案必须依赖安全管理规范的支持。首先应对学生进行法制教育，加强学生的法制观念，约束自身的行为；第二，加强网络的安全管理,应制定有关的规章制度, 这对于确保网络安全、可靠地运行将起到十分有效的作用；第三，积极支持网络管理员的工作，妥善处理好网络安全问题。

3、校园网网络安全结构设计

校园网络结构设计主要是进行网络的物理设计和逻辑设计，在完成结构设计后才能对网络设备进行选型。网络结构设计对于整个网络系统来说是十分重要的，它设计的成功与否都直接影响网络的使用功能的实现以及网络是否能满足网络的需求。

3.1 物理设计

根据需求分析，可以知道整个校园网信息点的总数、分布情况。当我们确定网络控制中心的位置后，就应该考虑如何把信息点连到网络控制中心以及各种设备的连接速率和网络使用的拓扑结构等，同时传输介质也是需要考虑的问题。

3.2 逻辑设计

网络的逻辑设计主要考虑校园网的IP子网网段的划分，通过实际的网络物理连接，依据实际需求来实现虚拟网络(VLAN)的设置。无论从网络的安全性和IP地址的可管理性来考虑，还是从有效利用IP地址资源的角度来考虑，将整个校园网划分为多个子网网段并对IP地址资源进行有效管理都是十分必要的。

3.3 组网技术

组网技术就是在把不同的网络设备按设计方案的要求连接起来所用到的各种技术。它直接关系到建设出来的网络系统能否达到设计要求，能不能投入使用这样严重的问题，如在组网中有不按规范和标准来施工的话，建出的网络系统的质量是达不到设计要求，是不能满足用户需求的。

3.3.1布线系统设计

校园内布线一般是在建筑物内、建筑群之间，这就要求布线系统均采用符合国际标准的综合布线系统,园区采用光纤、双绞线的混合布线方式。

在结构化布线完工后，必须对整个系统进行测试后才能投入使用，以保证系统能达到设计要求一次性布线，可保证在十五到二十年之内，其系统性能不会下降，功能也不会落后，真正达到一次投资，长期受益。

3.3.2网络系统平台选择

在网络系统平台的选择上，要根据用户需要以及实际情况选择合适网络系统。例如UNIX在支持应用服务器方面功能最强。在众多局域网的情况下整合构建数字校园网可靠性最好、可以长时间提供服务、安全性强、几乎不染毒。缺点是版本多、系统命令多、管理复杂。Windows 2008 server也是一款非常不错的服务器操作系。界面简单、容易上手、管理方便，目前使用者众多。

3.3.3Internet接入技术

目前校园网接入Internet的方式主要有：光纤、DDN、ISDN、ADSL等。

(1)光纤:光纤是一种在校园网建设中普遍使用的一种技术，它是通过构建专用的Internet服务器来实现的，是速度最快的Internet接入方式，光纤接入的优点是可提供比较高的网络带宽和稳定性，但它的连接较为复杂，当然它的技术要求和成本也是最高的。

(2)DDN :DDN是目前校园网接入Internet的主要方式，速度最高可达2Mbit/s。它性能稳定，成本适中，比较适合中型校园网。

(3)ISDN:对于终端较少的小型校园网，可选用ISDN接入Internet。ISDN接入Internet的标准速度是64Kbit/s（1B+D）。ISDN配置简单，虽然像Modem一样利用电话线路，但可以在上网的同时打电话。

(4)ADSL:ADSL是 Asymmetric Digital Subscriber Line的缩写，中文意思是非对称数字用户线路，它的一个明显优势是经济上实用。ADSL的使用费和维护费用远远低于DDN，而速度却高于DDN，是校园网接入 Internet的理想选择。 ADSL宽带线路通过ADSL Modem接入Internet服务器的网卡上的，不过ADSL专线的接入是用传统的模拟电话双绞线线路布线不很规范，线路质量不够好，达不到高速传输的要求，目前它只用在一些中小型网络。

3.3.4防火墙控制

防火墙也是校园网中非常重要的一个部分，它使内部网络与外部网络互相隔离、限制网络互访，用来保护内部网络，是内网和外网之间的一道安全屏障。设置防火墙的目的都是为了在内部网与外部网之间设立惟一的通道来自简化网络的安全管理，用于保护内网中信息不受外网的非法侵犯。它的原理是根据报文的源IP地址、目的IP地址、源端口、目的端口报文信息来判断是否允许报文通过，简单的可以用路由器完成，复杂的则可以用主机甚至一个子网来实现。防火墙可以经济、有效的保证网络安全。

3.4 防病毒措施和信息保密技术

3.4.1防病毒措施

计算机病毒是引起计算机故障、破坏计算机数据的程序。它能够传染其它程序，并进行自我复制，特别是在网络环境下，计算机病毒有着不可估量的威胁性和破坏力。

因此对计算机病毒的防范是校园网络安全建设的一个重要环节，应该在学校培养起集体防病毒意识,制定出防病毒管理机制。可以使用防病毒软件对服务器中的文件进行频繁扫描和监测，或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。

3.4.2信息保密技术

信息保密技术是研究对信息进行变换，以防止第三方对信息进行窃取、破坏其机密性的技术。保密重要从以下几个方面入手:

第一，采用密码技术对信息加密。这是最常用、有效的安全保护手段。使用密码技术的核心目的是实现信息或数据的安全应用与安全传输，从密码技术本身所提供的基础功能上讲，可实现数据机密性、数据完整性验证及数据不可抵赖性验证。

第二，身份认证。身份认证即用户身份的确认技术，要求参与安全通信的双方在进行安全通信前，必须互相鉴别对方的身份。它是网络安全的第一道防线，也是最重要的一道防线。身份认证保证系统中的数据只能被有权限的人访问，未经授权的人则无法访问到数据。

第三，数字签名。数字签名技术就是根据某种协议来产生一个反映被签署文件的特征以及签署人的特性的数字化签名，以保证文件的真实性和有效性。数字签名是实现认证的重要工具，其根本目的在于验证消息的完整性以及数据在传输和存储过程中是否会被篡改重放或延迟等。

4、安全措施的实现

4.1 服务器的安全

校园网服务器的安全可以从以下几方面考虑；

第一，硬件系统的安全防护

硬件稳定的安全运转,是网络系统良好运行的首要保证。我们对放置服务器的机房应切实做好防雷、防火、防水、防电、防高温等工作。应配备不间断电源或采用双电源系统保证服务器时刻处于工作状态。禁止无关人员随意进入机房,防止人为的蓄意破坏和盗窃事件发生。

第二，软件系统的安全防护

软件系统的安全防护一般可以从以下几方面着手:

(1)建立服务器档案：包括服务器的硬件配置、型号、操作系统、维修记录等进行记录,以便出现故障时能进行对照。

(2)操作系统及时升级安装补丁程序。

(3)加强操作系统权限管理和口令管理：检查用户和组里是否有非法用户, 开启审核策略,修改终端管理端口,以及配置MS-SQL删除危险的存储过程。

(4)安装防火墙与杀毒软件：安装病毒防火墙和网络防火墙,定期对病毒库进行更新,按计划查毒杀毒；定期用对服务器开放的端口进行检测；用进程检测软件监测服务器所开的进程,并和以往的进程列表作比较；服务器尽可能不要设置文件共享,不要打开写文件的权限,即使开启共享,也应设置相应密码。

(5)定期对服务器进行备份与维护：为防止意外的系统故障或用户非法操作,系统管理员需要定期备份服务器上的重要系统文件。文件资料可以用RAID方式进行备份,重要的资料还应用保存在存储中。

4.2 校园网络的管理安全

任何先进的系统都是为人服务的,因此想使计算机网络的各种故障减少到最低，网络管理员就要在平时做好网络的预防性维护以及重要数据的备份、计算机病毒的防护，记录网络事件等工作，建立起一整套完善的现代化网络运行、使用、管理规范永远是保证其发挥出最大效益的重要保障。

加强网络的安全管理, 制定有关的规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。包括:确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。

预防性维护也是非常重要的，预防性维护可以为系统管理员减少很多的麻烦，例如：清理污垢和其他一些污染，如果灰尘污垢太多的话就会造成设备散热不良，严重的还会引起电子器件间的短路。

检查各种网络设备的连接情况，每隔一段日期就检查一下局域网中所有计算机系统的连线是否松动，查看一下电源线、显示器、网络，串行和并行电缆以及各种配件等。

系统、数据的备份工作是必需的。在安装了服务器或者对系统进行了重大的修改之后，一定要把整个系统备份下来。在备份之后还要进行测试，以保证备份的系统能够正常工作。

校园网络的安全问题，不仅是设备、技术的问题，更是管理的问题。对于校园网络的管理人员来讲，一定要提高网络安全意识，加强网络安全技术的掌握，注重对学生教工的网络安全知识培训，而且更需要制定一套完整的规章制度来规范上网人员的行为。

5、结语

总之，校园网的安全问题是一个较为复杂的系统工程。随着计算机技术的飞速发展，网络的安全有待于在实践中进一步研究和探索。在目前的情况下，我们应当全面考虑综合运用防火墙、加密技术、防毒软件等多项措施，互相配合，加强管理，从中寻找确保网络安全与网络效率的平衡点，综合提高校园网络的安全性，从而建立起一套真正适合学校计算机网络的安全体系，以确保校园网正常安全运行和朝着健康有序方向发展。

参考文献

[1] 覃肖云.基于校园网分布式入侵检测系统的研究与实现.《大众科技》,2009.4.

[2] 张惠平.浅谈高校校园网络安全分析及防护策略.《网络安全》,2008.9.

[3] 网管员必备宝典――网络安全出版社:清华大学出版社.

第7篇：网络安全建设计划范文

网络安全 LTE网络安全域划分 EPC网络安全部署 IP承载网安全部署 LTE网络边界安全部署

1 引言

随着移动通信技术的发展，3GPP标准组织启动了面向无线网络演进计划的长期演进（Long Term Evolution，LTE）以及面向核心网络演进计划的系统框架演进（System Architecture Evolution，SAE）项目，以满足高用户数据速率、大系统容量、无缝覆盖的网络演进需求。

LTE网络架构变化为移动通信发展带来新的契机。与此同时，扁平的网络结构、全IP化的网络等特征也为LTE网络带来一定的安全威胁。

为适应LTE/EPC网络的引入，解决LTE/EPC网络建设和演进中存在的安全问题，本文将从LTE网络演进特点及LTE网络安全威胁分析入手，通过分析LTE网络面临的安全威胁，探索并提出LTE网络安全部署解决方案。

2 LTE网络安全威胁分析

LTE/SAE的关键特性主要表现为：

（1）网络架构全面分组化：网络全IP化，只有分组域，语音业务由分组域配合IMS域提供，提升网络效率和性能。

（2）网络架构扁平化：网络结构趋于简单，通过S-GW和P-GW的可选合设达到网络扁平化的目的，简化网络部署，缩短时延。

（3）支持多接入技术：支持与现有3GPP系统的互通，同时支持非3GPP网络的接入，支持用户在3GPP及非3GPP网络间的漫游和切换。

（4）高速率：峰值速率可以达到下行100Mbit/s，上行50Mbit/s。

（5）部署快：由于网络的简单化，可以快速部署网络，以适应业务不断丰富化发展的趋势。

LTE网络结构和业务的特征如图1所示。

由于LTE网络架构和业务特征的变化，使得LTE网络面临特定的安全威胁，主要表现在以下几个方面：

（1）扁平的网络结构

缺少对在回传网上的数据的保护，数据存在泄漏风险;来自终端和eNB的攻击可直达EPC。

（2）全IP化

无连接及开放的IP网络使攻击更容易;IP网络的安全问题将被引入LTE网络。

（3）高带宽与终端智能化

高带宽使得攻击移动终端成为可能，移动终端面临成为DDoS的攻击工具的风险;终端的智能化及应用的多样化，使得信令风暴愈演愈烈，针对SCTP和GTP的攻击增多。

3 LTE网络安全部署方案

针对LTE网络安全威胁，需要全面考虑LTE网络安全问题，设计LTE网络安全部署方案。根据LTE网络安全建设需求，构建涵盖LTE网络安全域划分、EPC网络安全部署、IP承载网安全部署、LTE网络边界安全部署的整体网络安全部署方案，如图2所示。

3.1 LTE网络安全域

通过划分安全域，能够在一定程度上隔离/减轻各安全域之间安全威胁的扩散或相互影响，从而提高全网的安全性、可靠性和可控性。

安全域划分的原则为，划分在同一安全域内的网络设备需要具有相同的安全保护需求、安全保护等级、安全访问控制策略、边界控制策略，各网络设备之间能相互信任。

据此，可将LTE网络划分为6个安全域：

（1）E-UTRAN安全域，包括eNB、PTN、CE、SEG。

（2）核心网安全域，包括MME、S-GW、P-GW、BG、CE、DNS。

（3）计费安全域，包括CG、计费服务器。

（4）用户信息安全域，包括HSS、BOSS前置机。

（5）互联网安全域，包括互联网接入路由器。

（6）OMC安全域，包括LTE网管服务器、工作终端、安全管理设备、防火墙以及组成本域网络的数据通信设备等。

3.2 LTE网络边界安全

LTE网络边界安全包括LTE核心网与OMC之间、LTE核心网与互联网之间、LTE核心网与其他PLMN之间的安全3个部分。

（1）LTE核心网与OMC之间

LTE核心网与OMC之间网元需要配置单独的物理接口，与其它业务流量独立;为防止对核心网设备的攻击，需要在OMC接口配置严格的授权访问机制，同时在核心网端进行状态检测和设置ACL包过滤机制。

（2）LTE核心网与互联网之间

LTE核心网与互联网边界配置防火墙，防火墙及安全策略为：在防火墙安全区，配置包过滤，建议采用状态防火墙;针对外网对内网的攻击，配置针对典型攻击的安全策略;在核心网与出口路由器之间进行路由控制，防止泄漏核心网的内部拓扑信息。

（3）LTE核心网与其他PLMN之间

LTE核心网与其他PLMN之间的安全涉及S8、S9和S10等接口，在边界部署BG、防火墙等设备，控制GTP、DNS、路由数据的传输，防止来自其它PLMN的安全问题。

边界防护策略主要有ACL包过滤（可用防火墙实现）;IP攻击防护（可用防火墙实现）;支持GTP协议解析功能的防火墙;采用加密的动态路由协议等。

3.3 EPC网络安全

EPC网络安全包括业务安全机制和设备安全这2个方面。

（1）业务安全机制

NAS层、IRAT互操作的安全机制符合3GPP TS 33.401要求。接入控制：NAS信令完整性和机密性保护、AKA、GUTI分配、IMEI识别等;EUTRAN内和EUTRAN和GERAN/UTRAN之间切换场景下的安全机制;支持UE IP地址反盗用功能（Anti-spoofing）。

（2）设备安全机制

设备安全机制涵盖管理面、控制面以及用户面。管理面的安全保护主要是安全的网管连接，特别是远程连接，同时管理用户的认证、授权和审计;控制面的安全保护主要为设备防火墙，关闭不必要的端口，开启路由协议的安全认证;用户面的安全保护主要为采用访问控制列表（ACL），对攻击流量进行有效限制和跟踪。

3.4 IP承载网安全

IP承载网安全主要包括业务接入安全策略和协议保护2个方面。

（1）业务接入安全策略

采取措施以充分保证业务系统接入IP承载网的安全。业务之间通过MPLS VPN进行隔离;应用系统配置防病毒软件，关键业务节点应通过防火墙保护;IP承载网应采取路由过滤、路由限制、流量过滤、uRPF相关的安全措施控制流量冲击带来的安全风险，以保证PE的安全。

（2）协议保护措施

BGP保护

限定合法PEER路由器IP地址和所在AS号;在Access端口上采用严格反向路径查找技术，过滤来自其他网络的伪造源地址的BGP攻击包，对不能支持严格反向路径查找的设备，通过ACL过滤源地址实现类似功能;在所有Access端口上采用分组过滤策略拒绝非法的EBGP协议数据包[1]。

NTP保护

IP承载网通过分组过滤限制从外网进入承载网的NTP数据包，同时在NTP会话上进行MD5认证[2]。

组播保护

Access端口上利用分组过滤技术缺省禁止组播数据流，对MSDP进行MD5认证，在RP上对SA消息进行过滤。

SNMP

实施MD5认证和DES加密，通过MIB View限制对包含大数据量的表类型变量的访问（路由表和CEF表）[2]。

3.5 网络操作安全管理

网络操作安全管理涵盖对网络管理员、网络口令、网络功能端口的管理和安全策略。

（1）网络管理员

对网络管理员进行分权和分级制，对网络访问的权限进行严格控制，避免由内部管理员误操作带来的安全隐患;高级网管员可以修改配置、删除账号;低级管理员只能察看网管界面，不能做任何改动。

（2）网络口令管理

对设备的访问实施AAA集中管理控制，避免采用设备本身的认证;采用TACACS+等加密的认证方式，保证用户名和密码在网上的传递是经过加密的[1]，采用One-Time密码，防止密码强制攻击等手段;同时网络口令需要有审计的功能，防止密码被盗用的现象发生。

（3）网络功能和端口

根据应用的不同，关闭不必要的端口和功能（如ICMP Redirect、Direct Broadcast、Proxy ARP），防止利用这些功能攻击网络系统。

4 结束语

LTE网络架构变化为移动通信发展带来新的契机，与此同时，扁平的网络结构、全IP化的网络等特征也为LTE网络带来一定的安全威胁。为适应LTE/EPC网络的引入，解决LTE/EPC网络建设和演进中存在的安全问题，分析了LTE网络面临的安全威胁，在此基础上提出并构建涵盖LTE网络安全域划分、EPC网络安全部署、IP承载网安全部署、LTE网络边界安全部署的整体网络安全部署方案。网络安全攻防技术动态演进发展，因此网络安全部署需要不断升级改造，随着LTE网络的建设运营及移动网络攻击技术的变化，未来可能出现新的安全问题，因此需要不断跟进和进一步深入研究网络安全部署方案。

参考文献：

[1] 林秋辉. 城域网设计方案研究[D]. 北京： 北京邮电大学， 2010.

[2] 左爽. 联通IP承载网规划与设计[D]. 天津： 天津大学， 2007.

[3] 3GPP TS 23.401. Evolved Universal Terrestrial Radio Access Network （E-UTRAN） Access[S]. 2013.

[4] 3GPP TS 33.401. 3GPP System Architecture Evolution （SAE）; Security Architecture[S]. 2013.

[5] 3GPP TS 33.310. Network Domain Security （NDS）[S]. 2013.

[6] 3GPP TS 33.210. 3G Security Network Domain Security IP Network Layer Security[S]. 2013.

第8篇：网络安全建设计划范文

基础设施安全隐患自查报告范文(一)

根据《关于转发<关于开展2019年六安市网络安全检查工作的通知>的通知》(区宣字〔2019〕23号)的要求，椿树镇党委、政府高度重视并迅速开展检查工作，现将检查情况总结报告如下：

一、成立领导小组

为进一步加强网络信息系统安全管理工作，我镇成立了网络信息工作领导小组，由镇长任组长，分管副书记任副组长，下设办公室，做到分工明确，责任具体到人，确保网络信息安全工作顺利实施。

二、网络安全现状

目前我镇共有电脑32台，均采用防火墙对网络进行保护，并安装了杀毒软件对全镇计算机进行病毒防治。

三、网络安全管理措施

为了做好信息化建设，规范政府信息化管理，我镇专门制订了《椿树镇网络安全管理制度》、《椿树镇网络信息安全保障工作方案》、《椿树镇病毒检测和网络安全漏洞检测制度》等多项制度，对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定，进一步规范了我镇信息安全管理工作。

针对计算机保密工作，我镇制定了《椿树镇镇信息审核、登记制度》、《椿树镇突发信息网络事件应急预案》等相关制度，并定期对网站上的所有信息进行整理，未发现涉及到安全保密内容的信息;与网络安全小组成员签订了《椿树镇网络信息安全管理责任书》，确保计算机使用做到“谁使用、谁负责”;对我镇内网产生的数据信息进行严格、规范管理，并及时存档备份;此外，在全镇范围内组织相关计算机安全技术培训，并开展有针对性的“网络信息安全”教育及演练，积极参加其他计算机安全技术培训，提高了网络维护以及安全防护技能和意识，有力地保障我镇政府信息网络正常运行。

四、网络安全存在的不足及整改措施

目前，我镇网络安全仍然存在以下几点不足：

一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是对移动存储介质的使用管理还不够规范;四是遇到恶意攻击、计算机病毒侵袭等突发事件处理能力不够。

针对目前我镇网络安全方面存在的不足，提出以下几点整改意见：

1、进一步加强网络安全小组成员计算机操作技术、网络安全技术方面的培训，强化计算机操作人员对网络病毒、信息安全威胁的防范意识，做到早发现，早报告、早处理。

2、加强干部职工在计算机技术、网络技术方面的学习，不断提高机关干部的计算机技术水平。

基础设施安全隐患自查报告范文(二)

按照《XX市交通局关于开展全市重大交通基础设施安全隐患排查工作的通知》文件的安排部署，10月25日至11月2日，市公路处副处长刘大伦、刘志斌带队赴各县、区(市)，采取检查组重点抽查与各县、区(市)自查结合的方式，检查了全市管养的县公路、乡公路和部分村公路XX县乡公路桥梁情况。现将综合检查情况报告如下：

一、公路检查情况

全面检查了县公路68条，抽查和自查了乡公路692条、村公路310条。查出存在安全隐患的线路有958条，需处治隐患4521处，处治隐患里程1587.464公里，需总投资4307.23万元。没有发现重大安全隐患。检查资料已上报省公路局。

二、桥梁检查情况

抽查农村公路管理养护桥梁211座(不含村道中小桥)，自查管理养护农村公路桥梁499座(不含村道中小桥)。大部分桥梁存在不同类型安全隐患的桥梁。已查出存在安全隐患的管理养护桥梁：二郎小桥、二郎大桥、两河口二桥、两蔑路一桥、梁蔑路二桥、官渡大桥、人仁路孔滩桥、官渡鱼湾大桥、河闪渡大桥、戏子滩大桥、龙塘桥、半坎桥、乐庄桥、盐津河大桥、两河口大桥等，存在的隐患类型主要是超荷、地质灾害、水毁等，隐患程度不一，有的仅需少量人财物即可恢复，有的需列入危桥改造工程维修加固。针对隐患的不同类型和程度，分别采取了设置超载限速标志、落实专人监管、向省公路局上报检查资料等措施。

募溪河桥(XX县)、青杠塘桥(XX县)、进化新桥(XX县)等在建桥梁、危桥维修加固桥梁未发现安全隐患。列入抽查的通村公路桥梁，以及各县、区(市)自查通村公路桥梁，检查中没有发现重大安全隐患。

三、安保工程实施情况

根据省公路局“关于XX市农村公路安全保障工程设计方案的批复”(黔路复〔2019〕169号文)，我市今年18个项目的安保工程计划，中央车购税投资827万元，项目涉及习水、务川、湄潭、仁怀、绥阳、余庆、桐梓、正安、XX县及习赤公司等十个县、区(市)，12月底完成钢筋砼护栏14808米，波型护栏74698米，警示墩3589个，禁令和警告标志898套，地名和指路标志18套，标线4194㎡，处治隐患670处，处治隐患里程309k，完成投资827万元。

四、水毁恢复情况

据统计，进入雨季以来，我市有41条农村公路发生水毁，工程量：损毁路基13906 m3/2365m，冲毁路面砂路87000 m2/4428m，砼或沥青路面14261 m2/4428m;桥梁局部毁20米/1座;涵洞全毁18道，局部毁6道;挡墙15908 m3/193处，坍方259342 m3/620处，需恢复资金810.682万元。今年共安排水毁抢险资金320万元，主要修复路基缺口、山体滑坡造成改移线路段截12月底共完成挡墙修复23500m3， 177处，改线3.2公里，恢复水毁线路37条。

检查表明：我市列入管理养护的农村公路及桥梁，安全形势稳定，无安全事故，

五、下步工作安排

(一)进一步全面了解本辖区内事故事易发路段，建立安保工程数据库。

(二)逐年安排资金消除存在安全隐患的线路。

六、存在问题及建议

(一)我市农村公路点多、线长、面广，公路建设中未考虑安保设施，安全隐患治理资金投入少，急需治理隐患较多，为保障公路安全运行，需各级筹措资金治理现有农村安全隐患。建议今后公路改建安全设施应纳入设计。

(二)汛期水毁灾害有突发性和季节性特征。由于无水毁预备资金，发生灾害后不能及时安排资金处治，计划报送后，往往投资不足，造成水毁工程修复不彻底，部分路段只能设置简易警示标志，建议安排水毁预备金。

基础设施安全隐患自查报告范文(三)

根据南信联发[XX]4号文件《关于开展**市电子政务网信息安全与网络管理专项检查的通知》文件精神，我局积极组织落实，认真对照，对网络安全基础设施建设情况、网络安全防范技术情况及网络信息安全保密管理情况进行了自查，对我局的网络信息安全建设进行了深刻的剖析，现将自查情况报告如下：

一、加强领导，成立了网络与信息安全工作领导小组

为进一步加强全局网络信息系统安全管理工作，我局成立了网络与信息系统安全保密工作领导小组，由局长任组长，下设办公室，做到分工明确,责任具体到人。确保网络信息安全工作顺利实施。

二、我局网络安全现状

我局的统计信息自动化建设从一九九七年开始，经过不断发展，逐渐由原来的小型局域网发展成为目前与国家局、自治区局以及县区局实现四级互联互通网络。网络核心采用思科7600和3600交换机，数据中心采用3com4226交换机，汇集层采用3com4226交换机、思科2924交换机和联想天工ispirit 1208e交换机，总共可提供150多个有线接入点，目前为止已使用80个左右。数据中心骨干为千兆交换式，百兆交换到桌面。因特网出口统一由市信息办提供，为双百兆光纤;与自治区统计局采用2兆光纤直联，各县区统计局及三个开发区统计局采用天融信vpn虚拟专用网络软件从互联网上连接进入到自治区统计局的网络，vpn入口总带宽为4兆，然后再连接到我局。横向方面，积极推进市统计局与政府网互联，目前已经实现与100多家市级党政部门和12个县区政府的光纤连接。我局采用天融信硬件防火墙对网络进行保护，采用伟思网络隔离卡和文件防弹衣软件对重点计算机进行单机保护，安装正版金山毒霸网络版杀毒软件，对全局计算机进行病毒防治。

三、我局网络信息化安全管理

为了做好信息化建设，规范统计信息化管理，我局专门制订了《**市统计局信息化规章制度》，对信息化工作管理、内部电脑安全管理、机房管理、机房环境安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定，进一步规范了我局信息安全管理工作。

针对计算机保密工作，我局制定了《涉密计算机管理制度》，并由计算机使用人员签订了《**市统计局计算机保密工作岗位责任书》，对计算机使用做到“谁使用谁负责”;对我局内网产生的数据信息进行严格、规范管理。

此外，我局在全局范围内每年都组织相关计算机安全技术培训，计算站的同志还积极参加市信息办及其他计算机安全技术培训，提高了网络维护以及安全防护技能和意识，有力地保障我局统计信息网络正常运行。

四、网络安全存在的不足及整改措施

目前，我局网络安全仍然存在以下几点不足：一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是遇到恶意攻击、计算机病毒侵袭等突发事件处理不够及时。

针对目前我局网络安全方面存在的不足，提出以下几点整改办法：

第9篇：网络安全建设计划范文

【 关键词 】 数字化；数字化校园；安全；风险；安全策略

Risk Analysis of the Network Security for the Digital Campus and the Countermeasures

Lei Yan-rui

（Hainan College of Software Technology HainanQionghai 571400）

【 Abstract 】 The continuous advancement in making digital campus has achieved enormously improved management efficiency. But it has also inflicted risks to the security of the campus network because of its open nature. In this paper， we provide several pieces of advice on the security of the campus network.

【 Keywords 】 digitization； digital campus； security； risk； security policy

1 引言

1998年，因美国前副总统戈尔最先提出“数字化地球”的概念而引出“数字化城市”和“数字化校园”的定义。数字化校园是指通过计算机相关技术、网络通讯的相关技术对学校的教学、管理和生活等都进行全面的数字化信息系统管理，在一定程度上最大限度地存储、整合、利用和共享这些数据，实现统一的身份认证、数据采集平台和信息管理平台，从而简化传统的工作流程，最终实现高效率、高竞争力、数字化管理的校园平台。

近十年来，国内各本科院校对于数字化校园的建设都比较重视，大中专院校也紧随其后，进行了数字化校园建设的思考和行动。大家建设的目标都以教学、管理、消费和身份认证等服务为一体的新型的工作、学习和生活环境为中心，并且在建设上已经取得了一定的成效。

2 现状

随着信息化的进一步发展和学校业务的不断深化，海南软件职业技术学院也开始数字化校园建设的步伐。1996年即开始使用食堂一卡通，随着后来考勤系统、教务系统、财产管理系统的开发使用，使用过程中暴露出的安全隐患问题越来越多，而这些安全问题在数字化校园的建设中值得我们深思。如表1所示。

3 初步解决方案

3.1 自然灾害

自然灾害是无法避免和预防的，对于天灾造成的任何风险我们都不可避免，也就无法通过任何技术降低风险，只能在灾难发生后想办法恢复或者提前备份等。

那么对于自然灾害发生之后的安全问题，管理者需提前制定一套完整可行的事件救援、灾难恢复计划及方案，做好计算机系统、网络、应用软件及各种资料数据的备份，建立备份数据库系统。

3.2 软、硬件环境故障

校园网络设备的正常工作对网络安全的影响巨大，如果电力设备、UPS、空调等设备规划设计出错、参数设置不当、维护不及时或者维护方法不对等，都可能间接影响校园网络的信息安全。

对于硬件故障，应确保不超负荷运行、建立完善完备的管理制度并且严格执行，保证温度、湿度、设备的参数设置等处于可监管的状态，平时需定时审计，以保证制度的执行力度。软件故障中的设计缺陷，一经发现应立即修正；安装新软件时，充分考虑兼容性的要求，提前保护已经存在的被共享使用的DLL文件，防止安装过程中被其他文件覆盖；出现非法操作提示或者蓝屏等信息时，仔细研究其原因并纠错；对于系统的资源占用情况，及时监察并进行有效清理。

3.3 学校网站面临的安全威胁

网站是学校对外信息交流的主要工作平台，但因其共享性较高，也易成为黑客的攻击对象。部分学校的官方网站被恶意挂马时有发生，经调查挂马率甚至达到3.15%。主要原因是服务程序本身存在漏洞，如Apache 或 IIS 的漏洞；也存在网页程序编写不完善导致的安全漏洞，如 SQL 注入、缓冲区溢出等；同时也存在因管理缺失而导致的服务器感染病毒。

对于数字化校园网站安全面对的威胁，除了定期查杀分析原因，且需定期检查访问流量，对于流量高峰要得随时监视处理，还有完善管理制度避免类似问题再次发生，用以保证网站安全。

3.4 应用系统数据信息面临的威胁

海南软件职业技术学院的教务、人事、财务、一卡通等应用系统的重要数据是数字化校园信息安全防护的重中之重。这些重要数据一旦被篡改甚至丢失，其后果是不堪设想。目前应用系统数据信息面临的主要风险有数据库弱口令及默认用户名易被破解；DBA 的权限没有严格的限制；有些权限控制功能嵌套在应用程序中，攻击者很可能利用程序编写的漏洞将普通用户的权限转化为管理员的权限；数据库管理方式和管理流程编制不得当，造成数据不准和修改错误等。

对于这些系统数据面临的威胁，我们所能处理的就是进行数据访问控制、提醒用户进行密码强口令、权限设置一定要合理合法，并且及时检查日志，统计因操作不当、密码输入错误等原因引起的错误，对错误进行及时统计分析，查清原因，从制度上杜绝此类事件发生。

3.5 校园网内部用户的安全隐患

校园网内部用户的安全威胁不容忽视。一方面，校园网终端用户的木马、蠕虫、病毒等是校园网络安全威胁之一；另一方面，校园网络出口带宽受限，有P2P应用占用资源严重，可能造成正常工作时段网络拥堵，影响了教学、科研、管理工作的正常运行。

对于巨大流量问题只能通过办公时间限制端口等问题进行解决，而网络拥堵则可通过限制网络访问人数等解决，当然这些都应该形成正常的监测程序和制度，不能因工作人员的变换等影响其执行。

4 结束语

总之，校园网络安全的保障应从小做起，从细节做起，时刻保障校园网络的正常进行以为教学提供优质服务。

参考文献

[1] 凌冠华.高校数字化校园的数据建设和安全管理研究[J].价值工程，2010（29）：202-203.

[2] 王阳.高校数字化校园信息安全策略探讨[J].中国教育信息化.2011（3）：29-61.

[3] 皇甫斌.浅谈数字化校园的网络安全建设[J].信息科技，2009（18）：96-103.

[4] 张升平. 高校数字化校园体系结构研究及实践[D]. 长沙：湖南大学，2008.32-38.

[5] 章晟.拒绝服务攻击和自相似网络流量研究[D]. 杭州：浙江大学，2010.18-29.