企业网络安全实施方案精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的企业网络安全实施方案主题范文，仅供参考，欢迎阅读并收藏。

第1篇：企业网络安全实施方案范文

[关键词]企业 内部网络 安全防护 网络病毒 防火墙

中图分类号：D922.21 文献标识码：A 文章编号：1009-914X（2015）46-0073-01

近年来，信息技术在企业的管理中获得了广泛的应用，企业的许多重要商业数据、核心技术等都以信息数据的形式储存在企业的网络服务系统中。一旦这些数据遭到了窃取和泄露，将会对企业造成严重的经济损失。因此，企业内部网络安全防护系统的建设和完善具有重要的意义。

1.企业内部网络常见的安全问题

1.1 内部的网络安全威胁

一些企业中存在具有一定网络技术的员工，他们有时会出于个人的兴趣或利益对企业的内部网络系统进行恶意的入侵，窃取或篡改相关的信息。这一类的网络安全威胁影响是最大的，因为很难对这种行为进行防范。企业内部的工作人员对企业的网络系统十分了解，能够快速的找出系统中的漏洞和薄弱环节，一旦他们对网络进行攻击，很难进行抵挡和防范。

1.2 网络病毒的攻击

网络病毒也是影响企业内部网络系统安全性的主要因素之一。网络病毒具有很强的感染性和侵入性，并且能够通过对程序的篡改、破坏等删除和伪造文件，对网络系统产生极大的破坏。一旦网络系统中的一台服务器受到了病毒感染，很有可能在极短的时间内就造成整个网络系统的瘫痪，影响工作的正常开展，给企业造成严重的经济损失。

1.3 软件后门

企业的网络系统中有许多类型的软件，一旦这些软件中存在漏洞，就会给黑客入侵产生机会。若网络软件被黑客所控制，将会造成严重的后果。一些企业即使采取了物理隔离的方式对黑客的入侵进行了防范，但无法从根本上阻止黑客的入侵行为，企业数据信息被窃取的现象仍时有发生。当前市面上已经出现了一些软件能够突破企业网络安全系统的物理防护，在不被察觉的情况下窃取企业的信息。

2.企业内部网络安全防护的策略

企业的网络安全防护应当基于一定的体系，根据造成网络安全隐患的因素来制定合理的防护策略。良好的安全防护技术是网络安全的前提和保证，但仅仅依靠良好的技术是远远不够的，企业还应该加强对网络环境的维护和管理，确保网络安全维护技术能够得到有效的发挥，确保安全系统的安全、稳定运行。

2.1 部署网络防病毒系统

企业应当对内部的网络系统设置一定的网络防病毒体系，对局域网内的所有计算机安装一定的防病毒程序，实现对网络系统的实时保护。网络防病毒系统还能实现对服务器的统一管理，管理人员只需要定期的进行杀毒，就能极大的提高网络系统对病毒的抵御能力，提高系统的安全性。

2.2 部署防火墙

防火墙是网络系统的安全屏障，其实质是在用户端与内部网络之间设置了一定的阻碍，只有拥有一定权限和身份认证的用户才能登陆企业的内部网络系统。企业在设置防火墙后可以进行访问权限的限制，并设置相应的防火墙策略，规定允许流通的信息和数据，实现对服务器的访问内容监控。防火墙在提高系统安全性的效果上十分显著，能够有效的过滤信息中存在安全隐患的内容。

2.3 部署入侵检测系统

入侵检测系统可以对网络的信息传输进行实时的监控，一旦发现有身份不明的入侵者或非正常的操作行为，就能及时通知网络管理人员采取相应的措施进行处理。此外，入侵检测系统还会对每天的检测情况产生相应的报告，管理人员只需定期查看相应的报告，就能了解近期内网络的运行情况以及系统中的薄弱环节，从而采取有效的措施进行处理。入侵检测系统还可以与防火墙进行联合使用，加强网络的稳定性。当入侵系统检测到安全隐患时，可以立即启动防火墙对入侵行为进行限制。

2.4 配置漏洞扫描系统

当前，大多数企业网络系统的安全问题不是由加密系统或设备的落后引起的，而是由于网络系统存在的漏洞而引起的。许多黑客就是利用企业网络系统中的漏洞对系统进行攻击和入侵漏洞扫描系统能够对网络系统中的漏洞进行及时的检测，并对可能存在漏洞的环节进行逐一的检测和排查，根据检测结果提出相应的处理方案，并产生系统的检测报告。

2.5 部署网络流量分析系统

网络的利用率是通过网络流量的形式体现出来的，它是反映网络运行状态的重要参数。当网络利用率达到一定的上限时，网络会出现异常的状况，导致很多程序都无法正常的运行，给病毒、黑客的入侵提供了机会。网络流量分析可以对系统的流量变化进行有效的监控，及时发现异常的网络行为，为管理人员的管理提供必要的数据。

2.6 部署内网安全审计系统

内网安全审计系统主要是针对网络用户的一种监督方式。内网安全审计包括行为审计和内容审计，分别对用户操作行为和具体的操作内容进行了监控。通过内网安全审计，网络管理人员能够及时的察觉威胁网络安全的行为，采取有效的措施来规避这些行为对网络安全造成影响。

2.7 部署补丁分发行为

补丁分发是提供网络安全系统完善性的有效手段。系统在运行的过程中会不断出现各种各样的漏洞，这就需要补丁来进行加固和完善。及时的安装补丁能够有效的填补网络漏洞，起到有效的维护网络安全的作用。

2.8 加强对企业员工的网络安全培训

许多企业内部网络的安全问题都是由于员工不正当的网络操作引起的，因此提供员工的网络安全意识对于提高网络安全性具有重要的意义。为此，企业应当定期对员工进行网络安全操作的培训，增强员工的安全防范意识，并教育员工遵守相关的法律法规，避免内部违规操作。

3.结语

在企业信息化管理的进程中，必须做好网络系统安全性的提升，有效防范信息技术应用所带来的安全隐患，通过技术的创新和制度的完善提高网络安全防护的质量和效果，为企业的发展提供一个安全的网络环境。

参考文献

[1] 孙剑.计算机网络安全隐患与防范策略探讨[J].计算机光盘软件与应用，2010（05）：96-98.

[2] 周观民.计算机网络信息安全及对策研究[J].信息安全与技术，2O11（06）：15-16.

[3] 丁海.浅谈企业内部网络安全防护策略[J].信息通信，2012（06）：12-13.

第2篇：企业网络安全实施方案范文

关键词 网络安全；方案设计；方案实现

中图分类号 G271 文献标识码 A 文章编号 1673-9671-（2012）111-0142-01

计算机网络的安全运行，是关系到一个企业发展的重要问题，如何能使得企业网络更为安全，如今已经成为了一个热议的话题。影响网络安全的因素有很多种，保护网络安全的手段、技术也很多。对于网络安全的保护我们一般都是通过防火墙、加密系统、防病毒系统、身份认证等等方面来保护网络的安全。为了保护网络系统的安全，我们必须要结合网络的具体需求，把多种安全措施进行总结，建立一个立体的、全面的、多层次网络安全防御系统。

1 影响网络安全的因素

网络信息的安全问题日益严重，这不仅会使企业遭受到巨大的经济损失，也影响到国家的安全。

如何避免网络安全问题的产生，我们必须要清楚因法网络安全问题的因素有哪些。我们主要把网络安全问题归纳为以下几个方面：

1.1 人为失误

人为失去指的是在在无意识的情况下造成的失误，进而引发网络安全问题。如“非法操作、口令的丢失、资源访问时控制不合理、管理人员疏忽大意等，这些都会对企业网络系统造成很大的破坏，引发网络安全问题。

1.2 病毒感染

病毒一直以来，都是能够对计算机安全够成直接威胁的因素，而网络更能够为病毒提供迅速快捷的传播途径，病毒很容易通过服务器以软件的方式下载、邮件等方式进入网络，然后对计算机网络进行攻击、破坏，进而会造成很大的经济损失。

1.3 来自企业网络外部的攻击

企业网络外部的攻击主要是企业局域网外部的恶意攻击，比如：伪装合法用户进入企业网络，并占用修改资源；有选择的来破坏企业网络信息的完整性和有效性；修改企业网站数据、破译企业机密、窃取企业情报、破坏企业网络软件；利用中间网线来读取或者拦截企业绝密信息等。

1.4 来自网络内部的攻击

在企业局域网内部，一些非法人员冒用合法的口令，登陆企业计算机网络，产看企业机密信息，修改企业信息内容，破坏企业网络系统的正常运行。

1.5 企业网络系统漏洞

企业的网络系统不可能是毫无破绽的，而企业网络中的漏洞，总是设计者预先留下的，为网络黑客和工业间谍提供最薄弱的攻击部位。

2 企业计算机网络安全方案的设计与实现

影响计算机网络完全因素很多，而相应的保护手段也很多。

2.1 动态口令身份认证的设计与实现

动态口令身份认证具有动态性、不可逆性、一次性、随机性等特点，跟传统静态口令相比，增加了计算机网络的安全性。传统的静态口令进行身份验证的时候，很容易导致企业计算机网络数据遭到窃取、攻击、认证信息的截取等诸多问题。而动态口令的使用不仅保留了静态口令的优点，又采用了先进的身份认证以及解密流程，而每一个动态口令只能使用一次，并且对认证的结果进行记录，防止同一个口令多次登录。

2.2 企业日志管理与备份的设计与实现

企业要想保证计算机网络的安全，对于计算机网络进行日志管理和备份是不可缺少的内容，日志管理和备份数据系统是计算机运行的基础。计算机在运行过程中难保不会出现故障，而计算机中的数据和资料的一个企业的血液，如果数据和资料丢失，会给企业今后的发展带来巨大的不便，为了避免数据资料的丢失，我们就应当对计算机网络做好数据备份以及数据归档的保护措施。这些都是维护企业网络安全的最基本的措施与工作。

2.3 病毒防护设计与实现

计算机病毒每年都在呈上涨的趋势，我国每年遭受计算机入侵的网络，占到了相当高的比例。计算机病毒会使计算机运行缓慢，对计算机网络进行有目的的破坏行为。目前Internet在飞速的发展，让病毒在网上出现之后，会很快的通过网络进行传播。对于企业计算机网络，应当时刻进行监控以及判断系统中是否有病毒的存在，要加大对于病毒的检测。处理、免疫及对抗的能力。而企业使用防病毒系统，可以有效的防止病毒入侵带来的损失。为了使企业的网络更加安全，要建立起一个完善的防病毒系统，制定相应的措施和病毒入侵时的紧急应急措施，同时也要加大工作人员的安全意识。

病毒会随着时间的推移变的随时都有可能出现，所以企业中计算机网络安全人员，要随时加强对于防毒系统的升级、更新、漏洞修复，找出多种不同的防毒方法，提高企业计算机网络防病毒的能力。

2.4 防火墙技术设计与实现

Internet使用过程中，要通过内网。外网的连接来实现访问，这些就给网络黑客们提供了良好的空间与环境。目前，企业计算机网络系统，采用防火墙技术，能有效的保证企业的机密不会受到网络黑客以及工业间谍的入侵，这种方法也是维护企业计算机网络最有效、最经济的方法，因为防火墙系统是企业计算机网络安全的最前面屏障，能有效的组织入侵情况的发生。所以企业计算机网络第一个安全措施就是安装以及应用防火墙。防火墙一般是安装在内部网络出口处，在内网与外网之间。

防火墙最大的特点是所有的信息传递都要经过它，这样就能有效的避免企业网络遭到非法入侵，防火本身的具有很高的可靠性，它可以加强对企业网络的监督，防止外部入侵和黑客攻击造成的信息泄露，

2.5 网络安全设计的实现

在企业网络运行中，与用户和各个系统之间，存在着信息交换的过程，这些信息包括信息代码、电子文稿、文档等，所以总会有各种网络安全的问题出现。为了保障网络的安全性和客户使用的合法性，就要去严格的限制登录者的操作权限，增加口令的复杂程度。当工作人员离职要对于网络口令认证做出相应的调整，以避免带来的不便。

3 总结

现今网络在现代生活中发展迅速，然而网络安全的系统也日益突出。作为一个企业如何的保证自己网络的安全性，使自身能够更快更好的发展，面对着网络入侵的行为要进行如何的防御，已经是一个越来越迫切的问题。我们只有从实际出发，去构建一个完整的安全的网络防御系统，才能保证企业网络的安全。

参考文献

[1]唐红亮.防火墙设计浅析[J].中国科技信息，2009，06.

第3篇：企业网络安全实施方案范文

[关键词]电力企业；信息网络安全；分析；策略

中图分类号： TP393.08 文献标识码：A 文章编号：1009-914X（2015）45-0047-01

在我国社会经济快速发展的背景下，对电力企业的要求日益严格。随着电力企业的改革不断深入，信息网络安全成为企业发展的重要内容，传统的计划体制发展被现有的市场体制所代替[1]，在提升企业管理水平和生产效率的前提下，电力企业建立起信息网络系统，将电力企业发展的有效信息通过系统化的整合，使其发挥了更大的作用，服务于电力企业的生产、经营与管理，促进了电力企业的发展。

一、电力企业信息网络系统简述

在网络技术快速发展的背景下，计算机网络被广泛应用于各个领域，电力企业的发展也离不开网络技术的支持。在电力企业深化改革的过程中，计算机网络已经被应用于电力企业的管理中，电力企业的信息网络安全可能会影响到电力系统的安全稳定运行，对数字化电力系统的发展产生不良的影响。

信息网络系统是一个以网络为载体的管理系统，能为企业或个人提供完整、高效的综合管理服务[2]。电力企业在深化改革的进程中，建立完整的信息网络系统，使电力企业的生产、传输以及配供等关键的环节实现信息化。这样的信息网络化系统涵盖整个电力企业的管理范围，包括用电营业所，以及变电所。信息网络系统承载了企业的财务、物资、用电以及生产、人事、安全检查等分支系统的综合信息的查询。在电网自动化、厂站制动化以及管理信息系统都有非常好的应用，能有效控制安全生产、节能降耗，提高劳动生产率，帮助企业获得最大的经济效益，促进电力企业的发展。

二、电力企业信息网络安全发展的现状及存在的问题

（一）信息网络安全的现状

近年来，在电力企业的发展中，信息网络系统的逐步建立对企业的发展有一定的促进作用，提高了电力企业的生产运行和经营管理水平。然而电力企业的信息网络系统采用全网统一的调度，进行有限的分级管理。安全防护系统一般是指二次的控制系统和电力市场的监控系统，帮助其完成控制、调节和监测管理的信息系统[3]。实时的控制区、非控制区以及生产管理区、信息管理区是电力企业信息网络系统的四大主要区域。

电力企业的信息网络安全运行过程中，企业员工是安全隐患存在的集中人群，员工的不合理操作会影响到企业的信息网络安全，员工在工作时对网络信息的过度使用，会降低工作的效率，严重的将会造成计算机的病毒感染，进而导致整个信息网络系统的瘫痪，因此安全性将无从谈起。一般情况下，电力企业都会有完全属于自己的网站，并与外部的网络连接在一起，企业的内部人员会利用网络来搜索一些信息，但在互联网中的网页存在很大的不安全隐患，使其电力企业的信息网络系统容易受到恶意的破坏。

（二）信息网络安全存在的问题分析

1、恶意的入侵

在电力企业的信息网络系统中，存在高机密性的网络信息，这些信息关系着整个电力企业的发展，是其发展的灵魂。但恶意的入侵使相关的机密性信息被盗，获得这些信息的人用网络技术恶意入侵电力企业的电脑，达到一定的目的。这种带有恶意性质的入侵会对电力企业的管理及生产进行分析，获取一定的机密文件，解除密码，登入企业的信息网络系统，获取有效的材料，这样的行为使信息网络系统存在很大的安全隐患。带有恶意性质的入侵会使电力企业的网络信息安全保护工作变得薄弱，恶意的入侵使得企业的资料被获取，而不留任何痕迹，这样的安全隐患严重影响企业的发展。

2、未知性的软件病毒侵害

随着计算机技术在生活中的广泛应用，各种类型的软件也随之出现，而且这些软件一般情况下都可以免费使用，最致命的是有些软件带有一定的病毒，而使用者根本不知道软件中存在病毒，一旦员工在电力企业的信息网络系统中使用这些软件，就会有泄露企业机密的危险，对企业的发展产生极大的影响。

3、扩张性的病毒传播

计算机的病毒有很多种类，一般主要是通过程序来实现对网络信息的破坏。病毒一般都具有非常强的复制性和蔓延性，依附文件而进行扩散[4]。另外，病毒还具有一定的隐蔽性和传播性。在具体的电力企业的信息网络系统中，这样的病毒很容易对整个系统产生影响。

4、软件本身的漏洞

在电力企业的信息网络系统中，会使用一些软件来维持整个系统的正常运转。不同的软件在编写和开发时会存在一定的漏洞，具体的开发人员需要在软件不断的测试使用中来不断完善软件的性能，使其更加完善。软件漏洞不可避免对电力企业的信息网络系统有着极大的威胁，不是每一个使用者都能很好的发现这样的漏洞，因此，在电力企业的信息网络系统中这样的漏洞也不可避免。

三、电力企业信息网络安全的有效防范措施

针对电力企业信息网络安全中存在的问题，提出以下四点防范措施，力求为电力企业的发展提供有效的参考。

（一）建立完善的防火墙保护系统

电力企业信息网络的安全发展，要在完善的防火墙保护体系上进行。网络上常用的防火墙保护体系一般有三种，分组过滤式的防火墙、复合型的防火墙以及应用性的防火墙。每一个类型的防火墙的功能都有所不同，但都能禁止外部的非安全信息的侵入，同时可以对外部的信息进行有效的检测[5]。在电力企业的发展中，防火墙的建立是确保企业信息网络安全的重要举措，能有效保障企业的信息完全。

（二）采用用户机制

一般情况下的计算机都能实行多个用户的同时操作，通过不同的账号实现多个人的操作，可以在本地区内设置不同的权限，完成信息网络系统的筹建。电力企业可以通过用户的管理机制，减少非法用户登入，获取机密的信息，或者抑制恶意性质的侵入。

（三）设置有效的密码

在具体的电力企业的信息网络管理中，管理人员要设置可靠性较强的系统登入密码。这样的密码设置要基于整个系统的有效管理，根据系统的特点和管理的需要，或设置一个或多个密码，防治恶意的入侵和蓄意的密码破解，保障信息网络系统的安全性。

（四）对信息网络系统中的软件进行升级

企业的信息网络系统随着企业的发展而不断变化，因此，要及时对信息网络系统进行有效的升级，这样的升级一般都是对系统中的各种软件进行升级，在不断的更新换代中完善整个系统的性能，使其信息网络系统的安全性得到有效的保障。

结语

在电力企业深化改革的进程中，企业的信息网络系统也逐渐走向科学化的发展。在网络技术日新月异的背景下，了解电力企业信息网络系统的特点，分析其发展的现状及存在的问题，积极寻找其信息网络安全的防范措施，优化电力企业的信息网络系统，保障其安全稳定的运行，为电力企业的发展提供有力的支撑。

参考文献：

[1]宋扬.电力企业信息网络的安全分析与防范措施[J].管理观察，2010，（28）：82-83.

[2]韩荣杰.浅谈电力系统信息网络安全分析及措施[J].城市建设，2012，（24）.

[3]刘宏岭.浅析电力企业信息网络安全[J].宁夏电力，2012，（2）：59-62.

第4篇：企业网络安全实施方案范文

论文摘要:计算机网络高速发展的同时，给信息安全带来了新的挑战。通过对国内企业信息安全面临的风险分析，有针衬性地提出常用技术防护措施。 

    随着信息技术迅猛发展，计算机及其网络、移动通信和办公自动化设备日益普及，国内大中型企业为了提高企业竞争力，都广泛使用信息技术，特别是网络技术。企业信息设施在提高企业效益的同时，给企业增加了风险隐患，网络安全问题也一直层出不穷，给企业所造成的损失不可估量。

1企业面临的网络安全威胁

1.1来自企业内部的攻击

    大量事实表明，在所有的网络攻击事件当中，来自企业内部的攻击占有相当大的比例，这包括了怀有恶意的，或者对网络安全有着强烈兴趣的员工的攻击尝试，以及计算机操作人员的操作失误等。内部人员知道系统的布局、有价值的数据放在何处以及何种安全防范系统在工作。因内部人员攻击来自区域内部，常常最难于检测和防范。

1.2来自企业外部的恶意攻击

    随着黑客技术在互连网上的扩散，对一个既定目标的攻击变得越来越容易。一方面，对攻击目标造成的破坏所带来的成就感使越来越多的年轻人加人到黑客的行列，另一方面商业竞争也在导致更多的恶意攻击事件的产生。

1.3网络病毒和恶意代码的袭击

    与前几年病毒和恶意代码传播情况相比，如今的病毒和恶意代码的传播能力与感染能力得到了极大提升，其破坏能力也在快速增强，所造成的损失也在以几何极数上升。如何防范各种类型的病毒和恶意程序，特别是网络病毒与邮件病毒，是任何一个企业都不得不面对的一个挑战。

2企业网络安全常用的防护措施

    目前，不同种类的安全威胁混合在一起给企业网络的安全带来了极大的挑战，从而要求我们的网络安全解决方案集成不同的产品与技术，来有针对性地抵御各种威胁。我们的总体目标就是通过信息与网络安全工程的实施，建立完整的企业信息与网络系统的安全防护体系，在安全法律、法规、政策的支持与指导下，通过制定适度的安全策略，采用合适的安全技术，进行制度化的安全管理，保障企业信息与网络系统稳定可靠地运行，确保企业与网络资源受控合法地使用。

2.1部署统一的网络防病毒系统

    在网络出口处部署反病毒网关。对邮件服务器安装特定的防病毒插件以防范邮件病毒，保护邮件服务器安全。在服务器及客户端上部署统一的防病毒软件客户端，实现对系统、磁盘、光盘、邮件及internet的病毒防护。

2.2部署安全可靠的防火墙

    企业为了在互联网上信息，共享资源，就不得不将自己的内部网络在一定程度上对外开放，这就在无形中增加了安全隐患，使有不良企图的人有机可乘。为了使信息系统在保障安全的基础上被正常访问，需要一定的设备来对系统实施保护，保证只有合法的用户才可以访问系统‘就目前看，能够实现这种需求的性能价格比最优的设备就是防火墙。防火墙的目的是要在不同安全区域(如:内部，外部、dmz、数据中心)网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。具体地说，设置防火墙的目的是隔离内部和外部网，保护内部网络不受攻击。

2.3部署入侵检测系统

    作为防火墙的补充，入侵检测系统(工ds)用于发现和抵御黑客攻击。人侵检测系统是一种网络/计算机安全技术，它试图发现入侵者或识别出对计算机的非法访问行为，并对其进行隔离。攻击者可能来自外部网络连接，如互联网、拨号连接，或来自内部网络。攻击目标通常是服务器，也可能是路由器和防火墙。

    入侵检测系统能发现其他安全措施无法发现的攻击行为，并能收集可以用来诉讼的犯罪证据。一般入侵检侧系统有两类:基于网络的实时入侵检测系统和基于主机的实时人侵检测系统。

2.4配置漏洞扫描工具

    漏洞扫描是一项重要的安全技术，它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器、防火墙、应用系统和数据库等)可能存在的安全漏洞进行逐项检查，根据检查结果提供详细的漏洞描述和修补方案，形成系统安全性分析报告，从而为网络管理员来完善网络系统提供依据。通常，我们将完成漏洞扫描的软件、硬件或软硬一体的组合称为漏洞扫描器。

2.5部署综合审计系统

    通俗地说，网络安全审计就是在企业的网络环境下，为了保障网络和数据不受来自外网和内网用户的入侵、破坏、窃取和失泄，而运用各种技术手段实时收集和监视网络环境中每一个组成部分的系统状态、操作以及安全事件，以便集中报警、分析、处理的一种技术手段。

    网络审计分为行为审计和内容审计，行为审计是对上网的所有操作的行为(诸如:浏览网页、登录网站从事各种活动、收发邮件、下载各种信息、论坛和博客发表言论等)进行审计，内容审计是在行为审计的基础上，不仅要知道用户的操作行为，而且还要对行为的详细内容进行审计。它可以使关心内容安全的管理人员清晰地知道通过网络有无没有采用加密处理就在网上传送的重要数据或内部和涉密文件被发出(用户行为)和被盗取(黑客行为);有无浏览不良网页;有无在论坛和博客上发表不负责的言论;有无使用即时通信工具谈论内部或涉密的话题。

2.6部署终端安全管理系统

    由于企业内部终端数量多，人员层次不同，流动性大，安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄密等安全事件不胜枚举。通过部署终端安全管理系统杜绝了非法终端和不安全终端的接人网络;对有权访问企业网络的终端进行根据其账户身份定义的安全等级检查和接入控制;对相关的内部人员的行为进行审计，通过严格的内部行为审计和检查，来减少内部安全威胁，同时也是对内部员工的一种威慑，有效强化内部信息安全的管理，将企业的信息安全管理规定通过技术的手段得到落实。

    2.7建立企业身份认证系统

    传统的口令认证方式虽然简单，但是由于其易受到窃听、重放等攻击的安全缺陷，使其已无法满足当前复杂网络环境下的安全认证需求，因此涌现了诸如:数字证书、动态口令、智能卡、生物识别等多种认证方式。目前，基于pki (public  key  infrastructure)技术体系的身份

认证系统能够为企业的敏感通信和交易提供一套信息安全保障，包括保密性、完整性、真实性和不可否认。确保企业信息资源的访问得到正式的授权，验证资源访问者的合法身份，将风险进一步细化，尽可能地减轻风险可能造成的损失。

2.8安全服务与培训

    任何安全策略的制定与实施、安全设备的安装配置与管理，其中最关键的因素还是人。因此根据相关的法律、法规、政策，制定出符合企业自身特点的安全战略并加以实施，对企业的网络安全人员进行相关的专业知识及安全意识的培训，是整个网络安全解决方案中重要的一个环节。

2.9完善安全管理制度

    俗话说“信息安全，三分技术，七分管理”，企业除了做好应用安全，网络安全，系统安全等保障措施外，还必须建立相应的管理机构，健全相应的管理措施，并利用必要的技术和工具、依据有效的管理流程对各种孤立、松散的安全资源的日常操作、运行维护、审计监督、文档管理进行统一管理，以期使它们发挥更大的功效，避免由于我们管理中存在的漏洞引起整个信息与网络系统的不安全。

第5篇：企业网络安全实施方案范文

首要的安全问题是黑客可利用IPv6链路技术隐藏在IPv4流量中，产生了一条没有防护的进出企业网络的通道。关闭这些通道需要了解IPv6转换机制的运作及其可视性。

要理解机构需要实施IPv6的原因是很容易的。简单来说，就是第一个互联网协议版本IPv4空间耗尽。每个与网络相连的设备都有固定的IP地址，IPv4协议允许32位的IP地址，也就是232 个的可能地址，而IPv6则将IP地址数量增加到2128。虽然目前IPv4运行良好，但持续增长的网络连接设备终会将其空间消耗殆尽。IPv6也在其他方面对IPv4进行了优化，比如说，简化地址分配。

但是启用IPv6对网络运营者还许多其他的影响。过去，企业一直重点保护IPv4网络，现在他们必须投入相同的力度在IPv6的运行上。安全管理员需要学习IPv6新协议的基本内容，以应对变化带来的挑战。在这方面，网上公布的最佳实践是美国国家标准和技术研究所 (National Institute of Standards and Technology)的纲要。

如果安全设备支持IPv6，现在就是启用它的时候。一些操作系统，诸如Windows Vista和Windows 7 中IPv6转换机制是默认设置。这意味着IT部门并不知道正在运行IPv6，最终让使用户绕开防火墙和网络入侵防御系统（IPS）。

这些链路通过启用IPv6主机和路由器，在IPv4互联网上与其他IPv6设备连接来运行。链路的问题在于，它们可以穿过防火墙——攻击者或许能逃出企业安全控制并连接到企业网络内部资源。因此，使用如6 to 4的链路协议支持转换到IPv6需要慎重考虑，尽可能保持在最低限度。

事实情况是，IPv6可能在企业不知情的情况下，已经在网络中运行，且可能被僵尸网络和黑客用作隐蔽通道。虽然企业可能不会主动在网络中运行IPv6，但是，他们的安全基础设置应具备检测IPv6的流量的功能。毕竟，你不能阻止你无法看到的。

谈及保护IPv6部署，最重要的是可视性。企业需要部署支持IPv6并使IPv6运作的安全产品。在某些情况下，这可能需要升级，例如，传统的入侵防御系统（IPS）和防火墙，就可能已经无法检测到IPv6流量。可喜的是，在过去的几年中，许多主要的防火墙和网络安全厂商已经增加了对IPv6的支持。尽管如此，企业仍应向供应商反应，以确保产品提供了他们所需的所有功能，并且开始在他们的环境中应用。被认可的IPv6测试方案有NIST的USGv6 Profile和测试计划。

随着越来越多的企业部署IPv6，管理员需要特别注意转换机制和设备配置，以避免向网络开放未经授权的途径。保护网络安全首要关键是监控所有网络的流量，如果管理员发现未经授权的链路，那么他们要立即关闭这些链路避免被利用为攻击流量。IPv6的必然性意味着企业需要现在便开始采取措施来支持其安全使用。

对于很多企业和全球服务提供商来说，过渡至IPv6并部署可以同时为IPv6和IPv4提供保护的网络安全解决方案至关重要。企业应该清楚地认识到这次迁移所带来的安全挑战。客户想要弥补协议转换带来的安全缺口，最直接的方法就是采用获得IPv6标识认证的安全产品。

在向IPv6过渡的浪潮中，安全厂商也在一直在寻求不断满足客户实施需求的解决方案。例如，Check Point R75.40软件刀片和 GAiA 统一的操作系统（OS）就通过了UNH互操作性实验室(UNH Interoperability Laboratory)的评测，并获得了IPv6论坛授予的第二阶段（金）标识（Phase Two (Gold) Logo）。这表示此两款产品包含所有强制的IPv6核心协议，并且能够与其他IPv6 和 IPv4实施方案互相操作，满足IPv6标识认证委员会的所有技术要求。Check Point R75.40，GAiA和新型安全设备能够轻松与新版本的网络协议实现互相操作，让客户无缝且安全地过渡到IPv6时代。

零日漏洞Websense无压力

日前，Websense安全实验室曾通过其官方博客表示最新的Java零日漏洞(CVE-2012-4681)被发现用于少数几起攻击中。目前针对该漏洞的攻击代码已经被添加到了当前最泛滥的黑洞攻击包中。

第6篇：企业网络安全实施方案范文

而事实上，有很多人有过类似的操作，只是危险还未降临，或已经发生但还未被察觉而已。

公共场合尚且如此，如果将场景延伸到企业网络中，情况又将如何？

无线局域网（WLAN）基础架构的脆弱性，是目前企业网络中最重要和直接的威胁之一。在企业环境中，使用智能手机和平板电脑的Wi-Fi需求与日俱增，这无意中侵犯了网络安全的边界，也使那些没有部署无线的企业和组织面临着不可估量的风险。

无线安全四大误区

误区1 没有部署Wi-Fi，企业就是安全的

很多人仍然认为，如果企业没有部署Wi-Fi网络，那么就不存在Wi-Fi安全问题。然而，现实世界不可能是一个人人彼此信任的世界，也没有人会天真地认为绝不会有人违背“无Wi-Fi”部署策略。

无论有意或无意，安装一个隐秘接入点（AP），就足以将企业的网络暴露给无孔不入的攻击者。现在绝大多数的笔记本或上网本内置的Wi-Fi网卡同样可以构成潜在的威胁源。甚至于内嵌在笔记本或上网本中的无线技术，如蓝牙等，也可能会产生严重的安全漏洞。以为“无Wi-Fi”部署便可保障企业网络的安全无异于掩耳盗铃。

误区2 部署了传统的防火墙、IPS等网关设备，企业就是安全的

过去我们所理解的企业边界好比是一幢大楼，由企业内网联通各个房间。大楼的出口处有一道防盗门，也就是传统的防火墙或者是UTM网关设备。由这道门实时审视进出企业的全部流量，这是我们通常定义的企业边界。

但是，随着无线技术的快速发展和大量部署，大楼的原有边界变得越发模糊，安全边界的概念已经发生巨大的变化。无线信号能够传播到企业的物理边界之外，让那些认为大楼内部安全无忧的传统理念失去了说服力。如Wi-Fi共享软件、流氓AP、钓鱼AP、用户连接外部AP、Ad Hoc以及无线DoS攻击等，都无时不在侵犯和挑战传统的安全边界。

误区3 强大的认证与加密能够提供全面的防护？

如果企业已经部署了带WPA2安全功能的Wi-Fi网络，那肯定是一个不错的开头。WPA2可为企业的WLAN AP和客户端提供更强大的密码安全保护。但在较大规模的网络部署中，确保全部设备没有因疏忽而出现误配置，不给攻击者留下可乘之机，才是最重要的。

随着Wi-Fi被用来承载越来越多的关键任务应用，黑客和犯罪分子们也把重心转移到了攻破Wi-Fi的安全措施上。研究人员最新发现，WPA-TKIP对于数据包注入攻击是缺乏免疫力的。同样，也已经有报道提到，思科的WLAN控制器漏洞可以被用来“劫持”思科的LAP。总之，基于WPA2的WLAN部署不可能防范所有类型的无线安全威胁。

误区4 使用地址绑定策略，只有经过许可的MAC地址才能连接

任何一种可用无线解决方案都可提供MAC（介质访问控制）地址过滤。消费级与企业级无线实施方案都拥有该选项，以便应用一定等级的MAC地址过滤。这听起来是一种有效的安全方法，但实际上却并非如此。

对于黑客而言，在几乎任意一种操作系统中欺骗MAC地址都出人意料的简单。黑客可将欺骗的MAC地址用于多类攻击，包括WEP （有线等效保密）？回放、解除认证、解除关联以及伪装攻击（设备可搭载通过客户认证的访客网络进行攻击）等。

守护安全新边界

对于企业部署Wi-Fi带来的无线应用安全隐患，一些本土安全企业提出了针对性的解决方案。

终端守护 智能设备分类和安全的BYOD策略执行

东软无线安全解决方案中的NetEye WIPS模块，能够自动分析尝试接入公司网络的智能手机和平板电脑的类型（安卓、黑莓、iPhone、iPad、Windows Mobile等），并根据策略划分准入及拒绝接入的类别。同时，通过提供的API，可以轻松地与几乎所有移动设备管理系统（MDM）进行整合。

频段守护 无线威胁防御

大多数的无线入侵检测/防御系统，常常会不正确地扰乱自己或者邻近的Wi-Fi网络。东软无线安全解决方案能够正确区分威胁是否来自邻近的无线Wi-Fi设备，有效防范滥用Wi-Fi或违反企业安全策略的威胁。同时，能够智能判断各种类型的无线网络威胁，并在2.4 GHz和？5 GHz频段的多种渠道上，同时阻止多种安全威胁。

策略守护 针对无线网络准入的控制手段

无线网络准入控制的目的就在于基于策略控制对无线网络的接入，它包括预准入端点安全策略检查（以确定谁可以接入网络）。另外，无线网络准入控制解决方案还包括某些主机检查（如在主机上运行的操作系统和服务等），可防范欺骗AP作为路由器或NAT的功能。

传输守护 多重的安全无线传输保障

虽然在企业的无线安全方案部署中可以通过802.11i、WPA2或者WPA加强传输的安全性，但还是会有无法使用这些加密和身份验证类型的情况发生。在这种情况下，VPN可以作为保护无线客户端连接的备用解决方案。通过使用VPN，以及利用多个SSID和VLAN进行网络分段，为拥有多种不同客户端的网络提供强大的解决方案。IP安全（IPSec）和SSL VPN可以提供与802.11i和WPA类似的安全等级。

相关链接

四大Wi-Fi安全威胁

1.数据截取：目前所有支持Wi-Fi认证的产品均支持AES-CCMP数据加密协议。但一些早期的产品仅支持TKIP，而TKIP由于存在安全漏洞，很容易被网络黑客进行信号盗取。

2.非法接入点：心存侥幸的网络用户会利用未经授权的接入点进行网络接入，这点非常危险。一般企业都会对接入点设置进行扫描，避免非法接入点出现。而个人用户应采取追踪、拦截等措施去阻止非法接入点使用。

第7篇：企业网络安全实施方案范文

关键词:课程体系;实践教学;改革

中图分类号:TP393-4 文献标识码:A 文章编号:1674-7712 (2012) 12-0189-01

计算机网络是计算机技术和通信技术相结合成长起来的一个新的科学技术领域。当前,我国对计算机网络技术、网络建设、网络应用与开发和网络管理的人才的需求越来越大。因此,结合网络专业特点和教学大纲的要求,确定了教学内容以网络模型为主线,以网络协议和网络安全为重点,同时在教学方法和手段方面不断进行改革,采用仿真技术构建虚拟网络实验室,加强实践教学和案例教学,从而不断提高教学水平和教学效果。

一、选择教学内容

由于该专业内容多、范围广,从基本理论到网络设备应用,从路由器配置到网络协议,从网络编程到网络安全防范,若不深入研究教材,不精心选择教学内容,很难达到较好的教学效果。该专业大纲指出:通过本专业的教学,使学生对计算机网络有一个清晰的认识,掌握网络的基本工作原理,熟悉网络应用与开发和网络管理的操作流程,了解常见网络攻击及处理办法。

根据对教学大纲的要求,本专业的主线,是指Internet的最基本的模型和工作原理。通过以任意网状结构连接的多个路由器进行通信,各路由器通过逐级转发IP 数据包实现在两个结点之间的数据通信,这就是Internet 的最基本的工作原理。可以为网络体系结构、协议层次结构、网络各层协议、网络互联等分散的知识点在主线上找到附着点,使学生能建立比较完善的计算机网络知识构架。

二、改革教学方法

传统的计算机网络技术授课仍以教师为中心,强调知识的积累和对基本概念的理解,而忽视了对学生职业技能的培养。因此,在教学方法上,尝试打破传统的“满堂灌”的授课模式,采用启发式教学、课堂讨论、案例教学及项目教学等多种教学方法实现师生互动,增强了教学效果。

(一)启发式教学

教学过程不是一个知识转移的过程,教师传授知识不等于学生掌握了知识,学生要通过自己的思维活动才能真正掌握知识。更重要的是教师精心组织教学过程,激发和启迪学生的思维,采用启发式教学方法代替传统的“满堂灌”方式,可以调动学生的思维能力,开发学生的智力。例如:在讲授完交换机和路由器的工作原理后,可以引导学生分析两个局域网之间的连接是否可以用交换机,两台主机之间的连接是否可以用路由器,以使学生充分了解交换机和路由器在网路连接中所起的不同作用。

(二)开展课堂讨论

因为网络技术专业的内容繁多,理论性和实践性都很强,单纯采用课堂讲授的方式很难使教学效果达到预期的目的。在学生学习的过程中,教师只是一名指导者,并不是绝对的权威,要消除学生对教师的依赖心理,提倡师生相互促进、教学相长。在教学中注意为学生提供发表自己见解的机会,有计划地组织课堂讨论。针对网络各层的重点内容,可以布置典型的思考题和习题,让学生提前思考解答,然后在课堂上教师、学生共同讨论。师生研讨可使学生变客体为主体,这样可以培养学生独立思考的能力。

(三)进行案例教学

案例教学是一种通过模拟或者重现现实生活中的一些场景,让学生把自己纳入案例场景,通过讨论或者研讨来进行学习的一种教学方法。通过对案例的分析和研究,培养学生分析问题和解决问题的能力,并且在分析问题和解决问题中构建专业知识。案例教学把生硬的理论知识和实际应用结合起来,把抽象的内容具体化、形象化。例如:在为学生讲解网络安全的过程中,可以穿插讲一下“熊猫烧香病毒”是如何蔓延,亚马逊公司为什么会发生“僵尸网络”事件。通过具体案例使学生更加了解网络安全的严峻性,从而提高学生进一步学习网络安全防范知识的积极性。

(四)进行项目式教学

项目式教学法是通过进行一个完整的“项目”工作来进行的实践教学活动的培训方法。这种方法起源于美国,盛行于德国。学生在收集信息、设计方案、实施方案、完成任务中学习和掌握知识,形成技能。在教学实践中,我在上课初期给学生布置一个大作业,比如让学生利用所学知识构建安全可靠的中小型企业网络,并写出方案,然后进行分组讨论,到进一步的组网实施等,加深对所学知识的掌握、理解。

三、改革教学手段

传统的教学手段已不适应网络专业教学,多媒体教学将各种网络设备的实物照片、大量的网络路由连接图带进课堂教学,这在一定程度上提高了学生的学习兴趣,也使学生对各种网络结构留下深刻印象。但做到这些还是远远不够的,计算机网络技术专业的理论性和实践性都很强的专业,要使学生对网络有清晰的认识,达到教学大纲的要求就必须加强学生的动手操作能力,这可以通过建立虚拟实验室和参观校园网络建设来达到目的。

(一)虚拟实验室

目前高校建设的网络实验室通常是以交换机和路由器设备为主的工程实验,主要以验证和设计为主,不能使学生更好地了解网络底层的工作过程及工作原理,造成理论和实践的脱节。同时,网络实验室建设成本高,设备更新慢,无法满足实习需要。

在现有的机房内安装网络仿真软件NS(Network Simulator)可以在一定程度上解决此问题。NS 是一个用于网络研究的离散实践仿真器,主要用于仿真各种网络协议和网络体系结构。支持TCP 协议,包含各种单播和多播路由模型,可仿真的网络类型有广域网、局域网、移动通信网、卫星通信网等网络类型,可进行点到点传播路由、组播路由、网络动态路由、层次路由等模拟。

(二)参观校园网络

第8篇：企业网络安全实施方案范文

论文摘要：ims网络在全网融合的背景下，作为核心网络将日趋成熟，随着ip技术在电信网、计算机网和广电网的普遍应用，通信技术进人崭新的发展阶段。

当前，通信技术进人了崭新的发展阶段，由运营商的重组带来全业务运营，固定网与移动网正逐步走向融合;随着1p技术在电信网、计算机网和广电网的普遍应用，三网融合也已经开始实践;而通信技术与信息技术的加速融合，ict业务融合也将逐步深人并得到广泛应用。ims作为核心网络将日趋成熟，必将在融合的大潮中发挥不可替代的作用。

1．ims应用在全业务运首中的特点

    运营商专门组织了ip多媒体子系统ims网络基本功能的测试，由于ims具有与接入无关性，可以实现不论用户使用什么设备、在何地接人ims网络，都可以使用归属地的业务;统一的业务触发机制，无论固定接人还是移动接人都可以使用ims中定义的业务触发机制实现统一触发;统一的路由机制，所有和用户相关的业务也必须经过用户的归属地;统一用户数据库，对ims中所定义的数据库来讲完全是透明数据的概念，屏蔽了固定和移动用户在业务属性上的差异;充分考虑了运营商实际运营的需求，在网络框架、qos、安全、计费以及和其他网络的互通方面都制定了相关规范。基于全ip的ims网络，既能够充分利用移动、固网等多种接人方式，义能不断提供新业务，引起了运营商的重视。首先是在移动网络的应用，这类应用是移动运营商为了丰富移动网络的业务而开展的，主要是在移动网络的基础上用ims来提供poc,即时消息、视频共享等多媒体增值业务。应用重点集中在给企业客户提供ipcentrex和公众客户的voip第二线业务。其次是固定运营商出于网络演进和业务的需要，通过ims为企业用户提供融合的企业的应用(ipcentrex业务)，以及向固定宽带用户(例如adsl用户)提供voip应用。第三种典型的应用主要体现在wlan和3g的融合，以实现语音业务的连续性。目前，这种方案的商用较少，但是许多运营商都在进行测试。

2 ims网络在网，层面的功能

    在网管领域，为方便运维管理，以往设备生产厂家将按照网络类型或网元类型提供操作维护网管。不论是在移动还是固网的网络中，一般情况下，一种网络需要配多套omc网管。既浪费了资源，又增加人力成本。因为原来分属于不同领域的网元，由不同omc或ems网元管理系统进行网元管理层的管理。而在ims网络中，将变为统一的omc或ems,可以由统一的维护人员进行维护。这样既从根本上改变各领域网元相互之间的隔离、互无关联的情况。又减少了设备投人，促进人力资源的解放，从而提高设备运行效率。其次，ims网络是有机整体，具有各项统计和维护报表，业务支撑boss体统，以及更加强大的网管功能。

3 ims网络在etom与itil胜合中的作用

    信息技术基础设施库itil，最初是为提高英国政府部门it服务质量而开发的，是一个探讨如何交付高质量it服务最佳实践的方法框架。以服务管理为核心，服务战略为指导，itil建立起了详尽的、面向it服务的流程框架，通过服务设计、服务转换、服务运营，使整个过程条理化。而ims网络的发展与建设，将推动电信领域的etom与it领域的itil的加速融合。由于ims类系统的引人，除了与传统电信系统对接的各类网关外，控制面网元以及业务类网元可以采用通用服务器来实现。这就打破了传统电信系统采用各个厂家封闭硬件平台的现状。硬件设备基于一个开放的平台，可以加速etom与itil的融合进程。而运营商必须从以往的面向设备，转变为面向服务从后台转到前台。而t1’il正是一面向服务为核心理念进行系统构建的。电信运营商与1’i’服务商在同时针对服务，这也会加速两种理念的融合。

    在etom与itii湘互融合过程中、会取长补短，循序渐近的，etom针对整个电信企业建立起了业务流程框架，提出了基本的需求，i’i’i山业提供了详尽的面向服务的流程框架。根据itii提供的方法以及it理的相关流程框，在实际的融合过程中，还要针对实际情况，制定更为严密的实施方案，包括系统的更强大功能的软件开发改造。

4逐步完普的ims网络安全

    ims网络的全ip架构，会使网元分工精细化，网元种类增多。完成一次用户发起需求业务，可能会穿越多个网元，建立多次会话发起协议的链接。由于ims业务种类很多，各项业务之间交错联系，使得业务的管理与对接存在着相当大的工作量。而一旦出现业务故障，很难一下子准确地定位和排除。所以，要开发各类的应用软件，来解决这个问题，而这类应用软件的逐步开发，将促进ims网络的完善。

    而基于全ip的网络，需要在网管安全方面给予关注。在ims网络中的网管，安全从组网到操作系统以及数据库、omc自身、防病毒等几个方面考虑。

    在ims域组网中设置单独网管域，为网管设置单独的虚拟局域网(vlan)，采用带外组网的方式，在物理上将网管域与设备域隔离，网络间设置硬件防火墙。采用unix操作系统，并定期更新最新的安全补丁，定制最小化的系统运行配置，避免和减少系统安全问题的产生;同样对omc所采用的数据库也进行安全补丁、严格用户权限控制措施，记录非法日志，降低各种安全事件的产生。

    多omc系统自身则采用加密协议进行数据传输，定期自动对数据库尽行保存。对敏感数据入用户名、密码进行加密存放。采用强密码认证，工作时间设定，超时的退出服务，分级的用户管理权限管理，定期的密码修改等。

5 ims在未来企业网络中的发展

    企业网络融合是三网合一的基础上，引人ims网络系统的，使运营商不但可以从应用层面对业务进行控制，提供qos的保证并完成计费，而且避免用户资源的流失。借助ims可以为企业实现电话、传真、数据传输、音视频会议、即时通信等众多应用服务的融合。ims还支持引人和开发新业务的开放接口，满足企业的多种应用需求。

第9篇：企业网络安全实施方案范文

【关键词】职业技能；信息安全；“1+X”证书；实训课程；改革探索

高职院校是我国高等教育事业一个重要的组成部分，肩负着为国家、社会、企业培养高素质、高技能型的实用型人才的重任。近年来，随着信息技术的飞速发展，信息安全问题日益突出，人们越来越意识到网络安全的重要性-“没有网络安全，就没有国家安全”。当前，政府部门、企事业单位对信息安全人才求贤若渴，信息安全人才缺口很大。截止到2021年，我国高职院超过2000所，高职院校作为一支人才培养的生力军，在培养实用型信息安全人才方面大有用武之地。目前，我国信息安全人才年培养规模在3万人左右，而信息安全人才总需求则超过70万人，缺口高达95%。在这一背景下，我国高校纷纷开设信息安全专业，加在信息安全专业人才培养力度。据统计，2016-2019年，我国共有45所高校新增信息安全专业，其中2016年新增的有11所，2017年新增15所，2018年新增11所，2019年新增8所。虽然当前信息安全专业成了热门专业，各高校也如火如荼开设相关专业，扩大招生规模，但如何保障人才培养质量，加强学生信息安全实战能力，无缝对接相关企业的岗位技能要求，才是提升信息安全专业人才培养内涵水平的关键。为有效衔接学校教育与职业岗位要求，教育部于2019年推出了“1+X”证书制度：要求在高职院校学生除了获取1个学历证书外，鼓励学生自主选择若干个职业技能证书，以增强学生在择业、就业方面的竞争力。对于信息安全专业人才培养而言，无论是“1+X”证书，还是学校综合实训课程，都是提升其工作实践能力，提升学生理论联系实际、解决具体问题的能力。

一、当前高职信息安全专业实训课程设计与教学现状分析

虽然目前我国众多院校都积极开办信息安全专业，但实职业技能等级认证视域下高职信息安全专业实训课程体系构建研究文|余姜德冷令梁本来【摘要】针对高职院校信息安全专业实训课程设置及实施过程中普遍存在的问题，如：未有效对接职业岗位要求；课程内容陈旧、碎片化现象严重；实验设计验证性有余，而创新性不足；实训室建设受客观条件限制，难以满足教学要求等一系列问题，分析信息安全人才培养能力目标，结合教育部“1+X”证书具体要求，提出了“找准专业特色定位，精心选择职业技能等级证书；合理规划实训内容，突出实践项目创新，虚实平台有效结合”的课程体系构建策略，并积极实践探索，为培养实用型和创新型的信息安全技术人才打下坚实基础。

（一）学校定位不明确，课程特色不鲜明

当前，我国所高校可以分成二大类：一类是普通本科院校，包括综合型、研教型和教学型等不同类型高等学府，这其中既有“双一流”、985、211等知名高校，也有普通地方本科高校，比如我们通常所说的“一本”、“二本”等；另一类是高等职业教育院校，包括高等职业专科和高等职业本科两个层次，其中高等职业本科，往往又被称为应用型本科学校。随着国家人口结构的经济发展内涵式调整，社会对于高等职业院校有了全新的认识，高职院校越来越受到人们的重视，高等职业教育迎来了重大的发展机遇期。无论是本科院校，还是高职院校，一所学校的人才培养目标是与其在社会和教育系统内所处的层次和地位紧密相关的，不同类型和层次的学校，对于人才的培养目标应该是不同的。本科院校，其人才的培养目标主要以研究型、创新型和技术型人才为主，通过基础理论研究、先进系统开发和技术革新促进社会的整体科技进步，强调人才的基础理论扎实牢固、知识体系的全面完整；而高职院校，其人才的培养目标主要以实战型、应用型和工程型人才为主，不要求基础理论宽泛深厚，但一定要在某一领域的应用上比较精通；人才大部分从事于工程项目实践中，要求实践动手能力突出，胆大心细，而且具有“工匠精神”，通过技术应用实践，把科技创新从纸面理论变成实际产品或者实际场景。具体到信息安全人才的培养，本科院校主要培养信息安全研究开发人才，而高职院主要培养信息安全实践应用人才。但目前的现实情况是，高职院校大都有意无意模糊自身的“高职”定位，甚至千方百计寻求摆脱职业教育身份，而往“本科院校”方向转变，从而制定不切实际的人才培养目标，其根本原因就在于自身层次定位和人才培养目标的定位都出现偏差。其次，无论是本科院校还是高职院校，其培养的人才，最终都需要走向就业市场。人才需要通过在工作岗位上的职业能力表现来得到企业和社会的认可。而人才的就业，往往会采取“就近原则”，即学生会一般会优先选择当地的企业去就业，避免“背井离乡”式的四处奔波。因此学校开办的专业应该立足于服务当地企业、当地经济和当地产业，所培养的人才要达到当地用人企业和单位的职业技能要求，要尽可能被当地企业所吸收。从这种意义上来说，不同经济发展区域的信息安全专业人才培养方案的设计应和课程体系应具有不同的地方特色：比如珠三角、长三角的高职院校信息安全专业和中西部经济欠发达地区高职院校的信息安全专业在专业特色上应该有明显的差异。很遗憾，现实情况是，在专业设置和课程设计上，各个高校普通喜欢“追热点”，“大跟风”：什么专业热门，就上什么专业；什么课程热门，就开什么课程。甚至在人才培养目标定位上，普通本科院校照抄照搬综合性、科研性大学；高职大专院校跟风模仿应用型本科院校或职业技术大学，这显然是不科学和不正确的。

（二）实训内容呈碎片化、同质化特征

信息安全是一门综合性的学科，所涉及的知识体系庞杂，涵盖范围非常广泛，有计算机科学与技术、通信工程、数学、密码学、电子工程等诸多学科的内容[3]。但当前信息安全人才培养过程中，所构建的实训课程体系，往往贪多求全，各知识点之间缺乏内在逻辑联系和层次递进关系，实训知识体系结构呈现“碎片化”的形态。知识“碎片化”的低效性在于，学生学习得到的大部分东西都是零碎的、分散的、杂乱的，很多时候只是停留在知道、了解的层面，并没有与原来的知识体系产生深层的联系。没有深层次的理解，自然没有办法灵活地运用，更没有办法转化为个人能力和技能。另一方面，由于各学校之间盲目借鉴或实训室承建厂商有意无意地“互相抄袭”，实训课程内容“同质化”现象严重。实训内容“同质化”一个最显著的特征就是实质内容重复，缺乏独创性和开拓性内容。信息安全专业实训课程内容同质化，导致很多高校信息安全专业的差异化人才培养成为空谈，实际上，信息安全专业人才更应该是“不拘一格降人才”。

（三）实训内容陈旧，实训过程沦为结果验证，缺乏深度思考

信息安全实验的设计，既需要一定的理论知识，也需要动手实际操作，因此具有一定的复杂性，难度相对较高。我们调研了很多学校的网络攻防实训室，对于复杂的实验，其实训平台上的内容安排一般都是列出详细地操作步骤，末尾配上最终的实验结果。只需按照实验指示步骤一步一步进行操作，实训结束，看最后结果与实验指导书的结果是否一致即可。这样的结果是实训过程沦为为实验指导书的结果验证，缺乏深度思考的引导。我们以“MAC地址泛洪攻击”为例，它是一个经典网络安全实训示例，大多数的实训设计是这样的：1.阐明攻击原理；2.给出实验环境搭建说明，而且在实际教学过程中实验环境已经在教学平台上搭建好；3.详细列出攻击步骤，每一步都完整给出实验截图；4.写出实验总结。这样一整个实验学生做下来，除了验让自己每一步操作与实验指导书上有什么不同外，很少有其他收获。我们其实更应该进行深度思考和拓展：1.“MAC地址泛洪攻击”一般在什么情形下发生?2.用软件方法和硬件方法，如何防洪这类攻击？3.抓包和解码后具体分析作用在哪里，如何应用到实战中？可以通过启发式的训练，加强学生具体运用知识和实践创新能力的提升。

（四）实训课时与资源受限，难以满足实际需求

大多数学校实训室建设经费紧张，实训经费申请批复繁难。而信息安全知识迭代更新较快，平均二年左右就出现新的技术热点，而信息安全实训室申报、建成和使用周期一般都在五年以上，想要不断投入建设资金更新换代非常困难。而且从信息安全实训室建设软硬件来看，无论是网络安全硬件设备，诸如防火墙、IDS、各类型服务器，还是攻防综合演练系统，价格都比较昂贵，更新或升级代价很大，因此，信息安全实训资源库的完善成为制约人才培养的一个瓶颈。（五）实训内容与职业岗位脱钩，缺乏实用性许多高职院校在设计信息安全技术应用实训课程内容时，往往没有充分调研职业岗位要求，盲目以课程或者教材中设计的知识点来设计实训大纲。这样做的结果是实训内容与职业岗位脱钩，缺乏实用性，陷入“纸上谈兵”的窘境。企业岗位技能需求是客观真实的，是市场提出的要求，是应该放在第一位，而且信息安全技术发展非常迅速，日新月异，实际工作中的信息安全技能点要求也是最新的，它往往比已经固化定型的实训内容要真实，实战性更强。面对存在的诸多问题，需要理清思路，结合当前国家在职业教育方面大力推行的“1+X”证书制度，找到解决问题的方案。

二、职业资格认证视域下实训课程体系构建与革新

2019年1月国务院印发了《国家职业教育改革实施方案》。把学历证书与职业资格技能等级证书结合起来,探索实施“1+X”证书制度。2019年《政府工作报告》进一步指出,“要加快学历证书与职业技能等级证书的互通衔接”[4]。简单来说，“1+X”中的“1”为学历证书，“X”为若干职业技能证书。学历证书全面反映学校教育的人才培养质量,在国家人力资源开发中起着不可或缺的基础性作用。职业技能等级证书是毕业生、社会成员职业技能水平的凭证,反映职业活动和个人职业生涯发展所需要的综合能力。“1+X”职业资格认证改革的主要目的就是鼓励职业院校学生在获得学历证书的同时，积极取得多类职业技能等级证书，拓展就业创业本领，缓解结构性就业矛盾。

（一）找准专业特色定位，明确职业岗位

构建科学的信息安全专业实践课程体系，首先需要找准专业特色定位。高职院校信息安全技术应用专业，其专业特色定位关键因素在于学校层次、当地经济和产业需求、职业岗位技能要求、课程要求和信息安全技术特色等。高职院校培养信息安全技术应用专业适用人才的正确思路是：在依据学校类型确定人才培养目标基础上，考虑当地信息安全产业链的发展情况，对接区域经济和产业发展，凸显行业特色、专业特色、课程特色、技术特色培养当地经济发展需要的专业人才[4]。我们以中山职业技术学院信息安全技术应用专业为例，当地的信息安全企业不多，知名企业主要有深信服（中山）、广东网安科技、广东凌臣等几家企业，但中山周边的城市，像广州、深圳的信息安全企业就很多，因此我校信息安全技术应用专业特色定位是：依托大湾区信息安全产业，培养立足于中山，面向广州、深圳一线城市的高技能型信息安全服务人才，主要岗位包括：信息安全/安全运维工程师、渗透测试工程师、等级保护测评工程师、安全服务工程师、系统工程师、技术支持工程师等[5]。

（二）精心选择职业技能等级证书，合理规划实践教学内容

当前职业技术等级证书有很多种，如何去确定最适合自己学校和专业的证书呢？主要考虑因素有以下三点[6]：1.证书含金量较高，具有权威性，社会认可度高；2.证书考核难度适宜，适合学生学情基础；3.证书与专业结合紧密，相辅相成。以中山职业技术学院信息安全技术应用专业为例，我们选择了上海海盾网络安全中心的“企业网络安全防护职业技能等级证书（中级）”。该证书是教育部第三批认可的职业资格证书，社会认可度比较高，可以作为企业网络安全从业人员的岗位认证，同时与人才培养方案中的基础专业课程有良好的承接关系。所以我们选择了该证书。确定好职业技能证书之后，我们需要将证书中的岗位技能需求与实践课程对应起来，并对原有的人才培养方案课程体系进行重新构建。

（三）优化设计实践项目案例，突出实践教学项目创新

确定好信息安全技术应用专业综合实训整体框架后，就需要设计优化实践项目。在建设实训室时，建设单位一般会提供整套的实践案例，但这些案例大都是“验证型”的项目，不需要思考就能到最终的结果，这样的实验案例对于锻炼学生的创新思维没有多大的帮助。针对这一现状，一线任课教师往往要积极参与到实训室建设过程中，与建设单位讨论、优化实训项目案例，增加工程实际项目，在实验过程中，加入“应用情境延伸”、“项目拓展”、“创新思考”等思考型环节。而且，实训系统往往都有二次开发接口，学校要充分利用好这个接口，将教师的科研、工程项目转化成实践案例，真正把二次开发落到实处。我们设计的主要综合实践项目案例如下表1所示

（四）虚拟实训平台有效结合，破解实训资源限制瓶颈

由于招生规模的不断扩大，建起来没有多久的实训室往往会出现不够用的情形。为了破解实训资源有限的瓶颈，我们需要积极利用虚拟网络安全实训平台。我们专业目前使用深信服信息安全实训室，能满足一个班50人的实训要求，但我们有两个班需要同时在线实验，为此，我们借助了虚拟网络安全实训平台：使用“合天网安实训室”虚拟平台作为物理实训室的必要补充，购买了100个账号，5年的资源使用权限，这样我们实际上可以完成三个班的实训教学要求。

三、结束语

我校信息安全技术应用专业选择上海海盾“企业网络安全防护职业技能等级（中级）”证书作为职业资格证书，结合人才培养目标，对接职业岗位技能要求，重构了本专业实践课程体系，并依此申请建设了“深信服信息安全实训室”，同时使用了“合天网络安全实训室”虚拟平台作为补充，经过两年的使用实践，不仅满足了学生实训要求，培养了更多实践能力强的人才；也给教师的科研实践提供了有利条件，得到师生的广泛认可，取得很好的效果。

参考文献

[1]翁健，魏林锋，张悦.网络空间安全人才培养探讨[J].网络与信息安全学报，2019（03）：45-46.

[2]刘何秀,邵长臣,穆建平,陈腾.开发数据采集职业技能等级标准的必要性研究[J].信息技术与信息化.2020,(06)：37-40.

[3]刘杨,王佰玲.面向网络空间安全新工科的密码学教学研究[J].高教学刊,2018(12):13-15.

[4]陈丽婷,李寿冰.1+X证书制度实施的意义与现实问题分析[J].职业技术教育2020,(27).13-18.

[5]余姜德.高职信息安全专业实训课程与实训平台构建探索[J].广东职业技术教育与研究，2018（4）：162-163.