企业网络安全实施方案精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的企业网络安全实施方案主题范文，仅供参考，欢迎阅读并收藏。

第1篇：企业网络安全实施方案范文

【关键词】企业 网络安全 措施

网络安全涉及到的问题非常多，如防病毒、防入侵破坏、防信息盗窃、用户身份验证等，这些都不是由单一产品来完成，也不可能由单一产品来完成，因此网络安全也必须从整体策略来考虑。网络安全防护体系必须是一个动态的防护体系，需要不断监测与更新，只有这样才能保障网络安全。从安全角度看，企业接入Internet网络前的检测与评估是保障网络安全的重要措施。但大多数企业没有这样做，就把企业接入了Internet。基于此情况，企业应从以下几个方面对网络安全进行检测与评估，从而制定有针对性的防范措施。

1 检测排除硬件、软件系统

1.1 网络设备

重点检测与评估连接不同网段的设备和连接广域网（WAN）的设备，如Switch、网桥和路由器等。这些网络设备都有一些基本的安全功能，如密码设置、存取控制列表、VLAN等，首先应充分利用这些设备的功能。

1.2 数据库及应用软件

数据库在信息系统中的应用越来越广泛，其重要性也越来越强，银行用户账号信息、网站的登记用户信息、企业财务信息、企业库存及销售信息等都存在各种数据库中。数据库也具有许多安全特性，如用户的权限设置、数据表的安全性、备份特性等，利用好这些特性也是同网络安全系统很好配合的关键。

1.3 E-mail系统

E-mail系统比数据库应用还要广泛，而网络中的绝大部分病毒是由E-mail带来的，因此，其检测与评估也变得十分重要。

1.4 Web站点

许多Web Server软件（如IIS等）有许多安全漏洞，相应的产品供应商也在不断解决这些问题。通过检测与评估，进行合理的设置与安全补丁程序，可以把不安全危险尽量降低。

2 建立安全体系结构，有针对性的解决网络安全问题

2.1 物理安全

物理安全是指在物理介质层次上对存储和传输的网络信息进行安全保护，是网络信息安全的基本保障。建立物理安全体系结构应从3个方面考虑：一是自然灾害（地震、火灾、洪水）、物理损坏（硬盘损坏、设备使用到期、外力损坏）和设备故障（停电断电、电磁干扰）；二是电磁辐射、乘机而入、痕迹泄漏等；三是操作失误（格式硬盘、线路拆除）、意外疏漏等。

2.2 操作系统安全

网络操作系统是网络信息系统的核心，其安全性占据十分重要的地位。根据美国的“可信计算机系统评估准则”，把计算机系统的安全性从高到低分为4个等级：A、B、C、D。DOS、Windows 3.x/95、MacOS 7.1等属于D级，即最不安全的。Windows NT/2000/XP、Unix、Netware等则属于C2级，一些专用的操作系统可能会达到B级。C2级操作系统已经有了许多安全特性，但必须对其进行合理的设置和管理，才能使其发挥作用。如在Windows NT下设置共享权限时，缺省设置是所有用户都是“Full Control”权限，必须对其进行更改。

2.3 使用ACL封堵常见病毒端口

大多数病毒都是通过TCP的135（Microsoft RPC），136-139（NetBIOS），445（Microsoft DS），1068，555，9996，2046，4444，1434，UDP的135，136，137，138，139，445，5554，9996，2046，4444，1434端口进行传播的。利用Extended access-list禁用某些病毒的传播端口，并将IP访问列表应用到相应的VLAN和端口可以有效防止病毒的传播。

Extended ACL 配置

access-list 102 deny tcp any anyeq 135

access-list 102 deny tcp any anyeq 136

access-list 102 deny tcp any anyeq 137

access-list 102 deny tcp any anyeq 138

access-list 102 deny tcp any anyeq 139

access-list 102 deny tcp any anyeq 445

access-list 102 deny tcp any anyeq 1068

access-list 102 deny udp any anyeq 135

access-list 102 deny udp any anyeq 136

access-list 102 deny udp any anyeq 137

access-list 102 deny udp any anyeq 138

access-list 102 deny udp any anyeq 139

access-list 102 deny udp any anyeq 445

access-list 102 deny tcp any anyeq 5554

access-list 102 deny udp any anyeq 5554

access-list 102 deny tcp any anyeq 9996

access-list 102 deny udp any anyeq 9996

access-list 102 deny tcp any anyeq 2046

access-list 102 deny udp any anyeq 2046

access-list 102 deny tcp any anyeq 4444

access-list 102 deny udp any anyeq 4444

access-list 102 deny tcp any anyeq 1434

access-list 102 deny udp any anyeq 1434

access-list 102 permit ip any any

access-list 102 permit tcp any any

access-list 102 permit udp any any

将ACL应用到各VLAN，配置命令如下（vlan1-10可以根据实际情况改变）

interface range vlan 1 - 10

ip access-group 102 in

ip access-group 102 out

exit

配置命令后在路由器上使用show access-list查看ACL的配置。

2.4 封堵p2p端口

企业将自己的内网与其外网相连，虽然这样可以从网上得到很多对公司有利的商机，但是有些企业内部员工，还要使用P2P软件非法占用公共的网络资源，从而影响到了其他人员的办公。由于雇员滥用对等（P2P）网络技术共享音乐和视频，这项技术已经直接影响到企业的利益。由于目前国内企业一般只有有限的带宽，而P2P的出现在给你带来好处的同时，也给网络带宽带来了巨大的压力，尤其在用来进行大量数据下载的时候，很容易导致企业的其他业务无法正常进行。

我们可以在出口路由上利用Extended access-list 控制列表限制p2p端口。

Router （config）#access-list 110 deny tcp any any range 6881 6890

Router （config）#access-list 110 permit ip any any

Router （config）#interface fastethernet0/0

Router （config-if）#ip access-group 111 in

另外，如果需要保证网络的绝对安全性，则可以利用ACL只开放常用的端口，其他所有端口全部禁用。由于这样做很大限度地限制了通信端口，故没有在实际试验中使用，因为会导致整个网络的通讯受到影响，该规则只适合用于对网络通信要求非常严格的网络环境下。

Router（config）#access-list 112 permit tcp any anyeq 25

Router（config）#access-list 112 permit tcp any anyeq 53

Router（config）#access-list 112 permit tcp any anyeq 80

Router（config）#access-list 112 permit tcp any anyeq 110

Router（config）#access-list 112 deny ip any any

参考文献

[1]石志国.计算机网络安全教程[M].北京：清华大学出版社，2009.

[2]姚奇富.网络安全技术[M].北京：中国水利水电出版社[]，2015.

[3]龙银香.网络管理与维护[M].大连：大连理工大学出版社，2012.

[4]邓秀慧.路由与交换技术[M].北京：电子工业出版社，2012.

[5]李建林.局域网交换机和路由器的配置与管理[M].北京：电子工业出版社，2013.

第2篇：企业网络安全实施方案范文

关键词 网络安全；方案设计；方案实现

中图分类号 G271 文献标识码 A 文章编号 1673-9671-（2012）111-0142-01

计算机网络的安全运行，是关系到一个企业发展的重要问题，如何能使得企业网络更为安全，如今已经成为了一个热议的话题。影响网络安全的因素有很多种，保护网络安全的手段、技术也很多。对于网络安全的保护我们一般都是通过防火墙、加密系统、防病毒系统、身份认证等等方面来保护网络的安全。为了保护网络系统的安全，我们必须要结合网络的具体需求，把多种安全措施进行总结，建立一个立体的、全面的、多层次网络安全防御系统。

1 影响网络安全的因素

网络信息的安全问题日益严重，这不仅会使企业遭受到巨大的经济损失，也影响到国家的安全。

如何避免网络安全问题的产生，我们必须要清楚因法网络安全问题的因素有哪些。我们主要把网络安全问题归纳为以下几个方面：

1.1 人为失误

人为失去指的是在在无意识的情况下造成的失误，进而引发网络安全问题。如“非法操作、口令的丢失、资源访问时控制不合理、管理人员疏忽大意等，这些都会对企业网络系统造成很大的破坏，引发网络安全问题。

1.2 病毒感染

病毒一直以来，都是能够对计算机安全够成直接威胁的因素，而网络更能够为病毒提供迅速快捷的传播途径，病毒很容易通过服务器以软件的方式下载、邮件等方式进入网络，然后对计算机网络进行攻击、破坏，进而会造成很大的经济损失。

1.3 来自企业网络外部的攻击

企业网络外部的攻击主要是企业局域网外部的恶意攻击，比如：伪装合法用户进入企业网络，并占用修改资源；有选择的来破坏企业网络信息的完整性和有效性；修改企业网站数据、破译企业机密、窃取企业情报、破坏企业网络软件；利用中间网线来读取或者拦截企业绝密信息等。

1.4 来自网络内部的攻击

在企业局域网内部，一些非法人员冒用合法的口令，登陆企业计算机网络，产看企业机密信息，修改企业信息内容，破坏企业网络系统的正常运行。

1.5 企业网络系统漏洞

企业的网络系统不可能是毫无破绽的，而企业网络中的漏洞，总是设计者预先留下的，为网络黑客和工业间谍提供最薄弱的攻击部位。

2 企业计算机网络安全方案的设计与实现

影响计算机网络完全因素很多，而相应的保护手段也很多。

2.1 动态口令身份认证的设计与实现

动态口令身份认证具有动态性、不可逆性、一次性、随机性等特点，跟传统静态口令相比，增加了计算机网络的安全性。传统的静态口令进行身份验证的时候，很容易导致企业计算机网络数据遭到窃取、攻击、认证信息的截取等诸多问题。而动态口令的使用不仅保留了静态口令的优点，又采用了先进的身份认证以及解密流程，而每一个动态口令只能使用一次，并且对认证的结果进行记录，防止同一个口令多次登录。

2.2 企业日志管理与备份的设计与实现

企业要想保证计算机网络的安全，对于计算机网络进行日志管理和备份是不可缺少的内容，日志管理和备份数据系统是计算机运行的基础。计算机在运行过程中难保不会出现故障，而计算机中的数据和资料的一个企业的血液，如果数据和资料丢失，会给企业今后的发展带来巨大的不便，为了避免数据资料的丢失，我们就应当对计算机网络做好数据备份以及数据归档的保护措施。这些都是维护企业网络安全的最基本的措施与工作。

2.3 病毒防护设计与实现

计算机病毒每年都在呈上涨的趋势，我国每年遭受计算机入侵的网络，占到了相当高的比例。计算机病毒会使计算机运行缓慢，对计算机网络进行有目的的破坏行为。目前Internet在飞速的发展，让病毒在网上出现之后，会很快的通过网络进行传播。对于企业计算机网络，应当时刻进行监控以及判断系统中是否有病毒的存在，要加大对于病毒的检测。处理、免疫及对抗的能力。而企业使用防病毒系统，可以有效的防止病毒入侵带来的损失。为了使企业的网络更加安全，要建立起一个完善的防病毒系统，制定相应的措施和病毒入侵时的紧急应急措施，同时也要加大工作人员的安全意识。

病毒会随着时间的推移变的随时都有可能出现，所以企业中计算机网络安全人员，要随时加强对于防毒系统的升级、更新、漏洞修复，找出多种不同的防毒方法，提高企业计算机网络防病毒的能力。

2.4 防火墙技术设计与实现

Internet使用过程中，要通过内网。外网的连接来实现访问，这些就给网络黑客们提供了良好的空间与环境。目前，企业计算机网络系统，采用防火墙技术，能有效的保证企业的机密不会受到网络黑客以及工业间谍的入侵，这种方法也是维护企业计算机网络最有效、最经济的方法，因为防火墙系统是企业计算机网络安全的最前面屏障，能有效的组织入侵情况的发生。所以企业计算机网络第一个安全措施就是安装以及应用防火墙。防火墙一般是安装在内部网络出口处，在内网与外网之间。

防火墙最大的特点是所有的信息传递都要经过它，这样就能有效的避免企业网络遭到非法入侵，防火本身的具有很高的可靠性，它可以加强对企业网络的监督，防止外部入侵和黑客攻击造成的信息泄露，

2.5 网络安全设计的实现

在企业网络运行中，与用户和各个系统之间，存在着信息交换的过程，这些信息包括信息代码、电子文稿、文档等，所以总会有各种网络安全的问题出现。为了保障网络的安全性和客户使用的合法性，就要去严格的限制登录者的操作权限，增加口令的复杂程度。当工作人员离职要对于网络口令认证做出相应的调整，以避免带来的不便。

3 总结

现今网络在现代生活中发展迅速，然而网络安全的系统也日益突出。作为一个企业如何的保证自己网络的安全性，使自身能够更快更好的发展，面对着网络入侵的行为要进行如何的防御，已经是一个越来越迫切的问题。我们只有从实际出发，去构建一个完整的安全的网络防御系统，才能保证企业网络的安全。

参考文献

[1]唐红亮.防火墙设计浅析[J].中国科技信息，2009，06.

第3篇：企业网络安全实施方案范文

关键词：企业 办公自动化 网络 安全 防范

中图分类号：TN830文献标识码： A

正文：

1 办公自动化的概念及其网络特点

随着信息时代的发展，为了达到提高办公效率以及实现无纸化办公等节能增效目标，当前企业基本都建立起了自己企业内部的办公自动化网络。企业的办公自动化网络通常都具有复杂的网络拓扑结构和广泛的地域覆盖范围，使用办公网络的人员分布于企业的各个层面，有机关部室人员也有基层作业人员，且年龄跨度大，既人员众多，又素质参差不齐。办公网络一般都是生产网络尤其是IT系统的物理载体，其承载的数据与企业生产的安全平稳紧密相关，这就造成企业对网络的依赖程度和对网络安全的要求很高。办公网络往往还与互联网有不同程度的连接，其安全会受到来自互联网上更多的威胁。

2 影响网络安全的因素

2.1 病毒感染与传播。

计算机病毒是影响网络安全最主要的因素之一。计算机病毒是一种人为设计的特殊的寄生性计算机程序。这种程序一旦运行就可以自我复制，使自身从一个程序扩散到另一个程序，从一个计算机系统进入到另一个计算机系统并在一定条件下对计算机进行破坏，使计算机系统不能正常工作。通常具有如下危害：破坏系统，使系统崩溃，不能正常运转；破坏数据造成数据丢失；使你的电脑变的很慢；盗取你的数据信息如照片、密码、个人信息等；造成网络赌赛。计算机病毒具有很强的隐蔽性、感染性和极高的传播效率，新病毒及其变种产生的速度让很多杀毒软件防不胜防，是当前最主要的影响网络安全的因素之一。

2.2 黑客入侵。

大型企业办公网络根据企业工作性质与互联网都有着或多或少的连接，只要有连接就不能完全排除黑客入侵的可能性。由于操作系统、通信协议、各类应用软件均不同程度的存在安全漏洞或安全缺陷，这都使黑客有了可乘之机，一旦遭遇入侵，整个内部网络将遭遇巨大的风险，很有可能造成数据、信息的篡改、毁坏，甚至全部丢失，导致系统崩溃、业务瘫痪，后果不堪设想。

2.3 设备软硬件故障。企业的办公网络系统均是由服务器、路由器、交换机以及光缆、双绞线、同轴电缆等硬件设备以及操作系统、应用软件等组成，任何一个环节出现故障都有可能造成网络通信的阻断以及系统的不能正常运转，都会给企业的正常办公造成影响。

2.4 人员操作不当或灾难造成数据损坏或丢失。

由于员工的素质参差不齐，在企业办公自动化系统使用中常会出现由于员工操作不当造成的数据损坏或丢失，甚至造成硬件设备的损坏。同时由于洪涝、地震等不可抗拒的自然灾害也会造成系统软硬件的破坏，无论是数据的丢失还是硬件设备的损坏都会对企业的运营造成严重的干扰和巨大的经济损失。

3 安全防范措施

3.1 与互联网设置隔离。通过路由器和防火墙在企业内部办公网络和外部互联网之间，设置物理隔离，以实现内外网的隔离是保护办公自动化网络安全的最主要、同时也是最有效、最经济的措施之一。

3.2 优化网络结构。主要是根据企业组织架构或地理位置等情况将企业办公网络划分成许多相互独立的子网，并在子网间的路由器、防火墙等网络设备上设置特定的访问规则，按照管理要求约束各子网之间的访问权限，这样就可以降低不同部门或区域网络间的互相影响，减少木马、病毒等的扩散范围和传播速度，同时能避免非法用户对敏感数据的访问。通过对网络结构进行优化和调整可以有效的降低企业办公网络的安全风险，提高网络的稳定性。

3.3 VLAN（虚拟局域网）技术。选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络物理拓扑结构基础上建立一个逻辑网络，它依据用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网，划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴，还可利用MAC层的数据包过滤技术，对安全性要求高的VLAN端口实施MAC帧过滤。而且，即使黑客攻破某一虚拟子网，也无法得到整个网络的信息。

3.4 机密数据安全。机密数据不能以明文方式在网络中传播，要用高强度加密算法进行加密，然后经由指定的安全渠道传输，并且让尽可能少的人接触。密钥的安全管理、及时更换和密钥分发方式都是影响加密数据安全的重要因素。

3.5 安全监控。安全监控技术主要是对入侵行为的及时发现和反应，利用入侵者留下的痕迹来有效的发现来自外部或内部的非法入侵；同时能够对入侵做出及时的响应，包括断开非法连接、报警等措施。安全监控技术以探测和控制为主，起主动防御的作用。

3.6 安全漏洞检测。安全漏洞检测技术是指利用已知的攻击手段对系统进行弱点扫描，以求及时发现系统漏洞，同时给出漏洞报告，指导系统管理员采用系统软件升级或关闭相应服务等手段避免遭受攻击。

3.7 服务器安全。服务器通常既是企业办公网络的服务应用中心又是整个企业办公网络的数据中心，可以说服务器是整个企业办公网络系统的核心，服务器的稳定性是至关重要的。为了加强服务器的安全管理，在对服务器的配置过程中，要把握最小服务原则，尽可能的关闭不必要的网络服务，降低安全风险。并采取主机备份+负载均衡的模式部署，这样既可提高服务器的响应能力，又增强了数据安全提高服务可用性。同时日常还要做好定期数据备份以及设备硬件检测维护工作，以应对可能出现的各种数据损坏和提高服务器的稳定性和安全性。

3.8 终端安全。终端主要是指各应用客户端，往往是各种病毒木马的柄息地和实施攻击破坏的基地，这就需要对终端操作系统进行必要的安全配置。主要有以下几种具体手段：

（1）关闭不必要的网络服务，设置符合安全规范的密码并定期更换以及禁用Guest用户等，这样可以减少病毒攻击的途径。（2）配置防火墙仅允许外部访问本机必要的网络服务，屏蔽已知流行病毒所使用的端口、IP地址等，减少被木马攻击和病毒感染的机会。（3）应该尽可能的关闭网络共享服务，采取其他方式传送文件。如果确实需要共享，那就尽可能减少共享内容，并进行严格的权限控制。（4）及时更新系统补丁以及安装并及时升级杀毒软件。

3.9 数据恢复。任何技术和手段都不能保证办公网络数据100%的安全，为了在数据遭到破坏后能尽快的让系统恢复正常运转以及最大程度的保证数据安全，这就涉及到了数据恢复技术，通常我们采用最多手段的就是建立数据备份方案。数据备份技术可以在数据遭到破坏时能快速的全盘恢复运行系统所需的数据和系统信息。数据备份方案不仅能在网络系统硬件故障或人为失误时起到保护作用，也在非法入侵或网络攻击等破坏数据完整性时起到保护作用，同时亦是系统瘫痪、崩溃等灾难恢复的前提之一。

4 结束语

随着网络技术的不断发展，企业办公网络安全的维护不仅要从技术、设备上采取防范措施，还应当更加重视企业网络的安全管理和提高企业员工的网络安全意识，这样才能全面提高企业办公网络的安全性。

参考文献：

[1]蔡立军.计算机网络安全技术.北京:中国水利水电出版社,2002.

[2]徐国爱.网络安全.北京:北京邮电大学出版社,2004.

[3]王丰辉.漏洞相关技术研究.北京邮电大学出版社,2006.

[4] 陈建中.校园网安全及防范研究与探讨[J]. 中国科技信息. 2007(19)

第4篇：企业网络安全实施方案范文

论文摘要:计算机网络高速发展的同时，给信息安全带来了新的挑战。通过对国内企业信息安全面临的风险分析，有针衬性地提出常用技术防护措施。 

    随着信息技术迅猛发展，计算机及其网络、移动通信和办公自动化设备日益普及，国内大中型企业为了提高企业竞争力，都广泛使用信息技术，特别是网络技术。企业信息设施在提高企业效益的同时，给企业增加了风险隐患，网络安全问题也一直层出不穷，给企业所造成的损失不可估量。

1企业面临的网络安全威胁

1.1来自企业内部的攻击

    大量事实表明，在所有的网络攻击事件当中，来自企业内部的攻击占有相当大的比例，这包括了怀有恶意的，或者对网络安全有着强烈兴趣的员工的攻击尝试，以及计算机操作人员的操作失误等。内部人员知道系统的布局、有价值的数据放在何处以及何种安全防范系统在工作。因内部人员攻击来自区域内部，常常最难于检测和防范。

1.2来自企业外部的恶意攻击

    随着黑客技术在互连网上的扩散，对一个既定目标的攻击变得越来越容易。一方面，对攻击目标造成的破坏所带来的成就感使越来越多的年轻人加人到黑客的行列，另一方面商业竞争也在导致更多的恶意攻击事件的产生。

1.3网络病毒和恶意代码的袭击

    与前几年病毒和恶意代码传播情况相比，如今的病毒和恶意代码的传播能力与感染能力得到了极大提升，其破坏能力也在快速增强，所造成的损失也在以几何极数上升。如何防范各种类型的病毒和恶意程序，特别是网络病毒与邮件病毒，是任何一个企业都不得不面对的一个挑战。

2企业网络安全常用的防护措施

    目前，不同种类的安全威胁混合在一起给企业网络的安全带来了极大的挑战，从而要求我们的网络安全解决方案集成不同的产品与技术，来有针对性地抵御各种威胁。我们的总体目标就是通过信息与网络安全工程的实施，建立完整的企业信息与网络系统的安全防护体系，在安全法律、法规、政策的支持与指导下，通过制定适度的安全策略，采用合适的安全技术，进行制度化的安全管理，保障企业信息与网络系统稳定可靠地运行，确保企业与网络资源受控合法地使用。

2.1部署统一的网络防病毒系统

    在网络出口处部署反病毒网关。对邮件服务器安装特定的防病毒插件以防范邮件病毒，保护邮件服务器安全。在服务器及客户端上部署统一的防病毒软件客户端，实现对系统、磁盘、光盘、邮件及internet的病毒防护。

2.2部署安全可靠的防火墙

    企业为了在互联网上信息，共享资源，就不得不将自己的内部网络在一定程度上对外开放，这就在无形中增加了安全隐患，使有不良企图的人有机可乘。为了使信息系统在保障安全的基础上被正常访问，需要一定的设备来对系统实施保护，保证只有合法的用户才可以访问系统‘就目前看，能够实现这种需求的性能价格比最优的设备就是防火墙。防火墙的目的是要在不同安全区域(如:内部，外部、dmz、数据中心)网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。具体地说，设置防火墙的目的是隔离内部和外部网，保护内部网络不受攻击。

2.3部署入侵检测系统

    作为防火墙的补充，入侵检测系统(工ds)用于发现和抵御黑客攻击。人侵检测系统是一种网络/计算机安全技术，它试图发现入侵者或识别出对计算机的非法访问行为，并对其进行隔离。攻击者可能来自外部网络连接，如互联网、拨号连接，或来自内部网络。攻击目标通常是服务器，也可能是路由器和防火墙。

    入侵检测系统能发现其他安全措施无法发现的攻击行为，并能收集可以用来诉讼的犯罪证据。一般入侵检侧系统有两类:基于网络的实时入侵检测系统和基于主机的实时人侵检测系统。

2.4配置漏洞扫描工具

    漏洞扫描是一项重要的安全技术，它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器、防火墙、应用系统和数据库等)可能存在的安全漏洞进行逐项检查，根据检查结果提供详细的漏洞描述和修补方案，形成系统安全性分析报告，从而为网络管理员来完善网络系统提供依据。通常，我们将完成漏洞扫描的软件、硬件或软硬一体的组合称为漏洞扫描器。

2.5部署综合审计系统

    通俗地说，网络安全审计就是在企业的网络环境下，为了保障网络和数据不受来自外网和内网用户的入侵、破坏、窃取和失泄，而运用各种技术手段实时收集和监视网络环境中每一个组成部分的系统状态、操作以及安全事件，以便集中报警、分析、处理的一种技术手段。

    网络审计分为行为审计和内容审计，行为审计是对上网的所有操作的行为(诸如:浏览网页、登录网站从事各种活动、收发邮件、下载各种信息、论坛和博客发表言论等)进行审计，内容审计是在行为审计的基础上，不仅要知道用户的操作行为，而且还要对行为的详细内容进行审计。它可以使关心内容安全的管理人员清晰地知道通过网络有无没有采用加密处理就在网上传送的重要数据或内部和涉密文件被发出(用户行为)和被盗取(黑客行为);有无浏览不良网页;有无在论坛和博客上发表不负责的言论;有无使用即时通信工具谈论内部或涉密的话题。

2.6部署终端安全管理系统

    由于企业内部终端数量多，人员层次不同，流动性大，安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄密等安全事件不胜枚举。通过部署终端安全管理系统杜绝了非法终端和不安全终端的接人网络;对有权访问企业网络的终端进行根据其账户身份定义的安全等级检查和接入控制;对相关的内部人员的行为进行审计，通过严格的内部行为审计和检查，来减少内部安全威胁，同时也是对内部员工的一种威慑，有效强化内部信息安全的管理，将企业的信息安全管理规定通过技术的手段得到落实。

    2.7建立企业身份认证系统

    传统的口令认证方式虽然简单，但是由于其易受到窃听、重放等攻击的安全缺陷，使其已无法满足当前复杂网络环境下的安全认证需求，因此涌现了诸如:数字证书、动态口令、智能卡、生物识别等多种认证方式。目前，基于pki (public  key  infrastructure)技术体系的身份

认证系统能够为企业的敏感通信和交易提供一套信息安全保障，包括保密性、完整性、真实性和不可否认。确保企业信息资源的访问得到正式的授权，验证资源访问者的合法身份，将风险进一步细化，尽可能地减轻风险可能造成的损失。

2.8安全服务与培训

    任何安全策略的制定与实施、安全设备的安装配置与管理，其中最关键的因素还是人。因此根据相关的法律、法规、政策，制定出符合企业自身特点的安全战略并加以实施，对企业的网络安全人员进行相关的专业知识及安全意识的培训，是整个网络安全解决方案中重要的一个环节。

2.9完善安全管理制度

    俗话说“信息安全，三分技术，七分管理”，企业除了做好应用安全，网络安全，系统安全等保障措施外，还必须建立相应的管理机构，健全相应的管理措施，并利用必要的技术和工具、依据有效的管理流程对各种孤立、松散的安全资源的日常操作、运行维护、审计监督、文档管理进行统一管理，以期使它们发挥更大的功效，避免由于我们管理中存在的漏洞引起整个信息与网络系统的不安全。

第5篇：企业网络安全实施方案范文

首要的安全问题是黑客可利用IPv6链路技术隐藏在IPv4流量中，产生了一条没有防护的进出企业网络的通道。关闭这些通道需要了解IPv6转换机制的运作及其可视性。

要理解机构需要实施IPv6的原因是很容易的。简单来说，就是第一个互联网协议版本IPv4空间耗尽。每个与网络相连的设备都有固定的IP地址，IPv4协议允许32位的IP地址，也就是232 个的可能地址，而IPv6则将IP地址数量增加到2128。虽然目前IPv4运行良好，但持续增长的网络连接设备终会将其空间消耗殆尽。IPv6也在其他方面对IPv4进行了优化，比如说，简化地址分配。

但是启用IPv6对网络运营者还许多其他的影响。过去，企业一直重点保护IPv4网络，现在他们必须投入相同的力度在IPv6的运行上。安全管理员需要学习IPv6新协议的基本内容，以应对变化带来的挑战。在这方面，网上公布的最佳实践是美国国家标准和技术研究所 (National Institute of Standards and Technology)的纲要。

如果安全设备支持IPv6，现在就是启用它的时候。一些操作系统，诸如Windows Vista和Windows 7 中IPv6转换机制是默认设置。这意味着IT部门并不知道正在运行IPv6，最终让使用户绕开防火墙和网络入侵防御系统（IPS）。

这些链路通过启用IPv6主机和路由器，在IPv4互联网上与其他IPv6设备连接来运行。链路的问题在于，它们可以穿过防火墙——攻击者或许能逃出企业安全控制并连接到企业网络内部资源。因此，使用如6 to 4的链路协议支持转换到IPv6需要慎重考虑，尽可能保持在最低限度。

事实情况是，IPv6可能在企业不知情的情况下，已经在网络中运行，且可能被僵尸网络和黑客用作隐蔽通道。虽然企业可能不会主动在网络中运行IPv6，但是，他们的安全基础设置应具备检测IPv6的流量的功能。毕竟，你不能阻止你无法看到的。

谈及保护IPv6部署，最重要的是可视性。企业需要部署支持IPv6并使IPv6运作的安全产品。在某些情况下，这可能需要升级，例如，传统的入侵防御系统（IPS）和防火墙，就可能已经无法检测到IPv6流量。可喜的是，在过去的几年中，许多主要的防火墙和网络安全厂商已经增加了对IPv6的支持。尽管如此，企业仍应向供应商反应，以确保产品提供了他们所需的所有功能，并且开始在他们的环境中应用。被认可的IPv6测试方案有NIST的USGv6 Profile和测试计划。

随着越来越多的企业部署IPv6，管理员需要特别注意转换机制和设备配置，以避免向网络开放未经授权的途径。保护网络安全首要关键是监控所有网络的流量，如果管理员发现未经授权的链路，那么他们要立即关闭这些链路避免被利用为攻击流量。IPv6的必然性意味着企业需要现在便开始采取措施来支持其安全使用。

对于很多企业和全球服务提供商来说，过渡至IPv6并部署可以同时为IPv6和IPv4提供保护的网络安全解决方案至关重要。企业应该清楚地认识到这次迁移所带来的安全挑战。客户想要弥补协议转换带来的安全缺口，最直接的方法就是采用获得IPv6标识认证的安全产品。

在向IPv6过渡的浪潮中，安全厂商也在一直在寻求不断满足客户实施需求的解决方案。例如，Check Point R75.40软件刀片和 GAiA 统一的操作系统（OS）就通过了UNH互操作性实验室(UNH Interoperability Laboratory)的评测，并获得了IPv6论坛授予的第二阶段（金）标识（Phase Two (Gold) Logo）。这表示此两款产品包含所有强制的IPv6核心协议，并且能够与其他IPv6 和 IPv4实施方案互相操作，满足IPv6标识认证委员会的所有技术要求。Check Point R75.40，GAiA和新型安全设备能够轻松与新版本的网络协议实现互相操作，让客户无缝且安全地过渡到IPv6时代。

零日漏洞Websense无压力

日前，Websense安全实验室曾通过其官方博客表示最新的Java零日漏洞(CVE-2012-4681)被发现用于少数几起攻击中。目前针对该漏洞的攻击代码已经被添加到了当前最泛滥的黑洞攻击包中。

第6篇：企业网络安全实施方案范文

而事实上，有很多人有过类似的操作，只是危险还未降临，或已经发生但还未被察觉而已。

公共场合尚且如此，如果将场景延伸到企业网络中，情况又将如何？

无线局域网（WLAN）基础架构的脆弱性，是目前企业网络中最重要和直接的威胁之一。在企业环境中，使用智能手机和平板电脑的Wi-Fi需求与日俱增，这无意中侵犯了网络安全的边界，也使那些没有部署无线的企业和组织面临着不可估量的风险。

无线安全四大误区

误区1 没有部署Wi-Fi，企业就是安全的

很多人仍然认为，如果企业没有部署Wi-Fi网络，那么就不存在Wi-Fi安全问题。然而，现实世界不可能是一个人人彼此信任的世界，也没有人会天真地认为绝不会有人违背“无Wi-Fi”部署策略。

无论有意或无意，安装一个隐秘接入点（AP），就足以将企业的网络暴露给无孔不入的攻击者。现在绝大多数的笔记本或上网本内置的Wi-Fi网卡同样可以构成潜在的威胁源。甚至于内嵌在笔记本或上网本中的无线技术，如蓝牙等，也可能会产生严重的安全漏洞。以为“无Wi-Fi”部署便可保障企业网络的安全无异于掩耳盗铃。

误区2 部署了传统的防火墙、IPS等网关设备，企业就是安全的

过去我们所理解的企业边界好比是一幢大楼，由企业内网联通各个房间。大楼的出口处有一道防盗门，也就是传统的防火墙或者是UTM网关设备。由这道门实时审视进出企业的全部流量，这是我们通常定义的企业边界。

但是，随着无线技术的快速发展和大量部署，大楼的原有边界变得越发模糊，安全边界的概念已经发生巨大的变化。无线信号能够传播到企业的物理边界之外，让那些认为大楼内部安全无忧的传统理念失去了说服力。如Wi-Fi共享软件、流氓AP、钓鱼AP、用户连接外部AP、Ad Hoc以及无线DoS攻击等，都无时不在侵犯和挑战传统的安全边界。

误区3 强大的认证与加密能够提供全面的防护？

如果企业已经部署了带WPA2安全功能的Wi-Fi网络，那肯定是一个不错的开头。WPA2可为企业的WLAN AP和客户端提供更强大的密码安全保护。但在较大规模的网络部署中，确保全部设备没有因疏忽而出现误配置，不给攻击者留下可乘之机，才是最重要的。

随着Wi-Fi被用来承载越来越多的关键任务应用，黑客和犯罪分子们也把重心转移到了攻破Wi-Fi的安全措施上。研究人员最新发现，WPA-TKIP对于数据包注入攻击是缺乏免疫力的。同样，也已经有报道提到，思科的WLAN控制器漏洞可以被用来“劫持”思科的LAP。总之，基于WPA2的WLAN部署不可能防范所有类型的无线安全威胁。

误区4 使用地址绑定策略，只有经过许可的MAC地址才能连接

任何一种可用无线解决方案都可提供MAC（介质访问控制）地址过滤。消费级与企业级无线实施方案都拥有该选项，以便应用一定等级的MAC地址过滤。这听起来是一种有效的安全方法，但实际上却并非如此。

对于黑客而言，在几乎任意一种操作系统中欺骗MAC地址都出人意料的简单。黑客可将欺骗的MAC地址用于多类攻击，包括WEP （有线等效保密）？回放、解除认证、解除关联以及伪装攻击（设备可搭载通过客户认证的访客网络进行攻击）等。

守护安全新边界

对于企业部署Wi-Fi带来的无线应用安全隐患，一些本土安全企业提出了针对性的解决方案。

终端守护 智能设备分类和安全的BYOD策略执行

东软无线安全解决方案中的NetEye WIPS模块，能够自动分析尝试接入公司网络的智能手机和平板电脑的类型（安卓、黑莓、iPhone、iPad、Windows Mobile等），并根据策略划分准入及拒绝接入的类别。同时，通过提供的API，可以轻松地与几乎所有移动设备管理系统（MDM）进行整合。

频段守护 无线威胁防御

大多数的无线入侵检测/防御系统，常常会不正确地扰乱自己或者邻近的Wi-Fi网络。东软无线安全解决方案能够正确区分威胁是否来自邻近的无线Wi-Fi设备，有效防范滥用Wi-Fi或违反企业安全策略的威胁。同时，能够智能判断各种类型的无线网络威胁，并在2.4 GHz和？5 GHz频段的多种渠道上，同时阻止多种安全威胁。

策略守护 针对无线网络准入的控制手段

无线网络准入控制的目的就在于基于策略控制对无线网络的接入，它包括预准入端点安全策略检查（以确定谁可以接入网络）。另外，无线网络准入控制解决方案还包括某些主机检查（如在主机上运行的操作系统和服务等），可防范欺骗AP作为路由器或NAT的功能。

传输守护 多重的安全无线传输保障

虽然在企业的无线安全方案部署中可以通过802.11i、WPA2或者WPA加强传输的安全性，但还是会有无法使用这些加密和身份验证类型的情况发生。在这种情况下，VPN可以作为保护无线客户端连接的备用解决方案。通过使用VPN，以及利用多个SSID和VLAN进行网络分段，为拥有多种不同客户端的网络提供强大的解决方案。IP安全（IPSec）和SSL VPN可以提供与802.11i和WPA类似的安全等级。

相关链接

四大Wi-Fi安全威胁

1.数据截取：目前所有支持Wi-Fi认证的产品均支持AES-CCMP数据加密协议。但一些早期的产品仅支持TKIP，而TKIP由于存在安全漏洞，很容易被网络黑客进行信号盗取。

2.非法接入点：心存侥幸的网络用户会利用未经授权的接入点进行网络接入，这点非常危险。一般企业都会对接入点设置进行扫描，避免非法接入点出现。而个人用户应采取追踪、拦截等措施去阻止非法接入点使用。

第7篇：企业网络安全实施方案范文

关键词:课程体系;实践教学;改革

中图分类号:TP393-4 文献标识码:A 文章编号:1674-7712 (2012) 12-0189-01

计算机网络是计算机技术和通信技术相结合成长起来的一个新的科学技术领域。当前,我国对计算机网络技术、网络建设、网络应用与开发和网络管理的人才的需求越来越大。因此,结合网络专业特点和教学大纲的要求,确定了教学内容以网络模型为主线,以网络协议和网络安全为重点,同时在教学方法和手段方面不断进行改革,采用仿真技术构建虚拟网络实验室,加强实践教学和案例教学,从而不断提高教学水平和教学效果。

一、选择教学内容

由于该专业内容多、范围广,从基本理论到网络设备应用,从路由器配置到网络协议,从网络编程到网络安全防范,若不深入研究教材,不精心选择教学内容,很难达到较好的教学效果。该专业大纲指出:通过本专业的教学,使学生对计算机网络有一个清晰的认识,掌握网络的基本工作原理,熟悉网络应用与开发和网络管理的操作流程,了解常见网络攻击及处理办法。

根据对教学大纲的要求,本专业的主线,是指Internet的最基本的模型和工作原理。通过以任意网状结构连接的多个路由器进行通信,各路由器通过逐级转发IP 数据包实现在两个结点之间的数据通信,这就是Internet 的最基本的工作原理。可以为网络体系结构、协议层次结构、网络各层协议、网络互联等分散的知识点在主线上找到附着点,使学生能建立比较完善的计算机网络知识构架。

二、改革教学方法

传统的计算机网络技术授课仍以教师为中心,强调知识的积累和对基本概念的理解,而忽视了对学生职业技能的培养。因此,在教学方法上,尝试打破传统的“满堂灌”的授课模式,采用启发式教学、课堂讨论、案例教学及项目教学等多种教学方法实现师生互动,增强了教学效果。

(一)启发式教学

教学过程不是一个知识转移的过程,教师传授知识不等于学生掌握了知识,学生要通过自己的思维活动才能真正掌握知识。更重要的是教师精心组织教学过程,激发和启迪学生的思维,采用启发式教学方法代替传统的“满堂灌”方式,可以调动学生的思维能力,开发学生的智力。例如:在讲授完交换机和路由器的工作原理后,可以引导学生分析两个局域网之间的连接是否可以用交换机,两台主机之间的连接是否可以用路由器,以使学生充分了解交换机和路由器在网路连接中所起的不同作用。

(二)开展课堂讨论

因为网络技术专业的内容繁多,理论性和实践性都很强,单纯采用课堂讲授的方式很难使教学效果达到预期的目的。在学生学习的过程中,教师只是一名指导者,并不是绝对的权威,要消除学生对教师的依赖心理,提倡师生相互促进、教学相长。在教学中注意为学生提供发表自己见解的机会,有计划地组织课堂讨论。针对网络各层的重点内容,可以布置典型的思考题和习题,让学生提前思考解答,然后在课堂上教师、学生共同讨论。师生研讨可使学生变客体为主体,这样可以培养学生独立思考的能力。

(三)进行案例教学

案例教学是一种通过模拟或者重现现实生活中的一些场景,让学生把自己纳入案例场景,通过讨论或者研讨来进行学习的一种教学方法。通过对案例的分析和研究,培养学生分析问题和解决问题的能力,并且在分析问题和解决问题中构建专业知识。案例教学把生硬的理论知识和实际应用结合起来,把抽象的内容具体化、形象化。例如:在为学生讲解网络安全的过程中,可以穿插讲一下“熊猫烧香病毒”是如何蔓延,亚马逊公司为什么会发生“僵尸网络”事件。通过具体案例使学生更加了解网络安全的严峻性,从而提高学生进一步学习网络安全防范知识的积极性。

(四)进行项目式教学

项目式教学法是通过进行一个完整的“项目”工作来进行的实践教学活动的培训方法。这种方法起源于美国,盛行于德国。学生在收集信息、设计方案、实施方案、完成任务中学习和掌握知识,形成技能。在教学实践中,我在上课初期给学生布置一个大作业,比如让学生利用所学知识构建安全可靠的中小型企业网络,并写出方案,然后进行分组讨论,到进一步的组网实施等,加深对所学知识的掌握、理解。

三、改革教学手段

传统的教学手段已不适应网络专业教学,多媒体教学将各种网络设备的实物照片、大量的网络路由连接图带进课堂教学,这在一定程度上提高了学生的学习兴趣,也使学生对各种网络结构留下深刻印象。但做到这些还是远远不够的,计算机网络技术专业的理论性和实践性都很强的专业,要使学生对网络有清晰的认识,达到教学大纲的要求就必须加强学生的动手操作能力,这可以通过建立虚拟实验室和参观校园网络建设来达到目的。

(一)虚拟实验室

目前高校建设的网络实验室通常是以交换机和路由器设备为主的工程实验,主要以验证和设计为主,不能使学生更好地了解网络底层的工作过程及工作原理,造成理论和实践的脱节。同时,网络实验室建设成本高,设备更新慢,无法满足实习需要。

在现有的机房内安装网络仿真软件NS(Network Simulator)可以在一定程度上解决此问题。NS 是一个用于网络研究的离散实践仿真器,主要用于仿真各种网络协议和网络体系结构。支持TCP 协议,包含各种单播和多播路由模型,可仿真的网络类型有广域网、局域网、移动通信网、卫星通信网等网络类型,可进行点到点传播路由、组播路由、网络动态路由、层次路由等模拟。

(二)参观校园网络

第8篇：企业网络安全实施方案范文

论文摘要：ims网络在全网融合的背景下，作为核心网络将日趋成熟，随着ip技术在电信网、计算机网和广电网的普遍应用，通信技术进人崭新的发展阶段。

当前，通信技术进人了崭新的发展阶段，由运营商的重组带来全业务运营，固定网与移动网正逐步走向融合;随着1p技术在电信网、计算机网和广电网的普遍应用，三网融合也已经开始实践;而通信技术与信息技术的加速融合，ict业务融合也将逐步深人并得到广泛应用。ims作为核心网络将日趋成熟，必将在融合的大潮中发挥不可替代的作用。

1．ims应用在全业务运首中的特点

    运营商专门组织了ip多媒体子系统ims网络基本功能的测试，由于ims具有与接入无关性，可以实现不论用户使用什么设备、在何地接人ims网络，都可以使用归属地的业务;统一的业务触发机制，无论固定接人还是移动接人都可以使用ims中定义的业务触发机制实现统一触发;统一的路由机制，所有和用户相关的业务也必须经过用户的归属地;统一用户数据库，对ims中所定义的数据库来讲完全是透明数据的概念，屏蔽了固定和移动用户在业务属性上的差异;充分考虑了运营商实际运营的需求，在网络框架、qos、安全、计费以及和其他网络的互通方面都制定了相关规范。基于全ip的ims网络，既能够充分利用移动、固网等多种接人方式，义能不断提供新业务，引起了运营商的重视。首先是在移动网络的应用，这类应用是移动运营商为了丰富移动网络的业务而开展的，主要是在移动网络的基础上用ims来提供poc,即时消息、视频共享等多媒体增值业务。应用重点集中在给企业客户提供ipcentrex和公众客户的voip第二线业务。其次是固定运营商出于网络演进和业务的需要，通过ims为企业用户提供融合的企业的应用(ipcentrex业务)，以及向固定宽带用户(例如adsl用户)提供voip应用。第三种典型的应用主要体现在wlan和3g的融合，以实现语音业务的连续性。目前，这种方案的商用较少，但是许多运营商都在进行测试。

2 ims网络在网，层面的功能

    在网管领域，为方便运维管理，以往设备生产厂家将按照网络类型或网元类型提供操作维护网管。不论是在移动还是固网的网络中，一般情况下，一种网络需要配多套omc网管。既浪费了资源，又增加人力成本。因为原来分属于不同领域的网元，由不同omc或ems网元管理系统进行网元管理层的管理。而在ims网络中，将变为统一的omc或ems,可以由统一的维护人员进行维护。这样既从根本上改变各领域网元相互之间的隔离、互无关联的情况。又减少了设备投人，促进人力资源的解放，从而提高设备运行效率。其次，ims网络是有机整体，具有各项统计和维护报表，业务支撑boss体统，以及更加强大的网管功能。

3 ims网络在etom与itil胜合中的作用

    信息技术基础设施库itil，最初是为提高英国政府部门it服务质量而开发的，是一个探讨如何交付高质量it服务最佳实践的方法框架。以服务管理为核心，服务战略为指导，itil建立起了详尽的、面向it服务的流程框架，通过服务设计、服务转换、服务运营，使整个过程条理化。而ims网络的发展与建设，将推动电信领域的etom与it领域的itil的加速融合。由于ims类系统的引人，除了与传统电信系统对接的各类网关外，控制面网元以及业务类网元可以采用通用服务器来实现。这就打破了传统电信系统采用各个厂家封闭硬件平台的现状。硬件设备基于一个开放的平台，可以加速etom与itil的融合进程。而运营商必须从以往的面向设备，转变为面向服务从后台转到前台。而t1’il正是一面向服务为核心理念进行系统构建的。电信运营商与1’i’服务商在同时针对服务，这也会加速两种理念的融合。

    在etom与itii湘互融合过程中、会取长补短，循序渐近的，etom针对整个电信企业建立起了业务流程框架，提出了基本的需求，i’i’i山业提供了详尽的面向服务的流程框架。根据itii提供的方法以及it理的相关流程框，在实际的融合过程中，还要针对实际情况，制定更为严密的实施方案，包括系统的更强大功能的软件开发改造。

4逐步完普的ims网络安全

    ims网络的全ip架构，会使网元分工精细化，网元种类增多。完成一次用户发起需求业务，可能会穿越多个网元，建立多次会话发起协议的链接。由于ims业务种类很多，各项业务之间交错联系，使得业务的管理与对接存在着相当大的工作量。而一旦出现业务故障，很难一下子准确地定位和排除。所以，要开发各类的应用软件，来解决这个问题，而这类应用软件的逐步开发，将促进ims网络的完善。

    而基于全ip的网络，需要在网管安全方面给予关注。在ims网络中的网管，安全从组网到操作系统以及数据库、omc自身、防病毒等几个方面考虑。

    在ims域组网中设置单独网管域，为网管设置单独的虚拟局域网(vlan)，采用带外组网的方式，在物理上将网管域与设备域隔离，网络间设置硬件防火墙。采用unix操作系统，并定期更新最新的安全补丁，定制最小化的系统运行配置，避免和减少系统安全问题的产生;同样对omc所采用的数据库也进行安全补丁、严格用户权限控制措施，记录非法日志，降低各种安全事件的产生。

    多omc系统自身则采用加密协议进行数据传输，定期自动对数据库尽行保存。对敏感数据入用户名、密码进行加密存放。采用强密码认证，工作时间设定，超时的退出服务，分级的用户管理权限管理，定期的密码修改等。

5 ims在未来企业网络中的发展

    企业网络融合是三网合一的基础上，引人ims网络系统的，使运营商不但可以从应用层面对业务进行控制，提供qos的保证并完成计费，而且避免用户资源的流失。借助ims可以为企业实现电话、传真、数据传输、音视频会议、即时通信等众多应用服务的融合。ims还支持引人和开发新业务的开放接口，满足企业的多种应用需求。

第9篇：企业网络安全实施方案范文

【关键词】职业技能；信息安全；“1+X”证书；实训课程；改革探索

高职院校是我国高等教育事业一个重要的组成部分，肩负着为国家、社会、企业培养高素质、高技能型的实用型人才的重任。近年来，随着信息技术的飞速发展，信息安全问题日益突出，人们越来越意识到网络安全的重要性-“没有网络安全，就没有国家安全”。当前，政府部门、企事业单位对信息安全人才求贤若渴，信息安全人才缺口很大。截止到2021年，我国高职院超过2000所，高职院校作为一支人才培养的生力军，在培养实用型信息安全人才方面大有用武之地。目前，我国信息安全人才年培养规模在3万人左右，而信息安全人才总需求则超过70万人，缺口高达95%。在这一背景下，我国高校纷纷开设信息安全专业，加在信息安全专业人才培养力度。据统计，2016-2019年，我国共有45所高校新增信息安全专业，其中2016年新增的有11所，2017年新增15所，2018年新增11所，2019年新增8所。虽然当前信息安全专业成了热门专业，各高校也如火如荼开设相关专业，扩大招生规模，但如何保障人才培养质量，加强学生信息安全实战能力，无缝对接相关企业的岗位技能要求，才是提升信息安全专业人才培养内涵水平的关键。为有效衔接学校教育与职业岗位要求，教育部于2019年推出了“1+X”证书制度：要求在高职院校学生除了获取1个学历证书外，鼓励学生自主选择若干个职业技能证书，以增强学生在择业、就业方面的竞争力。对于信息安全专业人才培养而言，无论是“1+X”证书，还是学校综合实训课程，都是提升其工作实践能力，提升学生理论联系实际、解决具体问题的能力。

一、当前高职信息安全专业实训课程设计与教学现状分析

虽然目前我国众多院校都积极开办信息安全专业，但实职业技能等级认证视域下高职信息安全专业实训课程体系构建研究文|余姜德冷令梁本来【摘要】针对高职院校信息安全专业实训课程设置及实施过程中普遍存在的问题，如：未有效对接职业岗位要求；课程内容陈旧、碎片化现象严重；实验设计验证性有余，而创新性不足；实训室建设受客观条件限制，难以满足教学要求等一系列问题，分析信息安全人才培养能力目标，结合教育部“1+X”证书具体要求，提出了“找准专业特色定位，精心选择职业技能等级证书；合理规划实训内容，突出实践项目创新，虚实平台有效结合”的课程体系构建策略，并积极实践探索，为培养实用型和创新型的信息安全技术人才打下坚实基础。

（一）学校定位不明确，课程特色不鲜明

当前，我国所高校可以分成二大类：一类是普通本科院校，包括综合型、研教型和教学型等不同类型高等学府，这其中既有“双一流”、985、211等知名高校，也有普通地方本科高校，比如我们通常所说的“一本”、“二本”等；另一类是高等职业教育院校，包括高等职业专科和高等职业本科两个层次，其中高等职业本科，往往又被称为应用型本科学校。随着国家人口结构的经济发展内涵式调整，社会对于高等职业院校有了全新的认识，高职院校越来越受到人们的重视，高等职业教育迎来了重大的发展机遇期。无论是本科院校，还是高职院校，一所学校的人才培养目标是与其在社会和教育系统内所处的层次和地位紧密相关的，不同类型和层次的学校，对于人才的培养目标应该是不同的。本科院校，其人才的培养目标主要以研究型、创新型和技术型人才为主，通过基础理论研究、先进系统开发和技术革新促进社会的整体科技进步，强调人才的基础理论扎实牢固、知识体系的全面完整；而高职院校，其人才的培养目标主要以实战型、应用型和工程型人才为主，不要求基础理论宽泛深厚，但一定要在某一领域的应用上比较精通；人才大部分从事于工程项目实践中，要求实践动手能力突出，胆大心细，而且具有“工匠精神”，通过技术应用实践，把科技创新从纸面理论变成实际产品或者实际场景。具体到信息安全人才的培养，本科院校主要培养信息安全研究开发人才，而高职院主要培养信息安全实践应用人才。但目前的现实情况是，高职院校大都有意无意模糊自身的“高职”定位，甚至千方百计寻求摆脱职业教育身份，而往“本科院校”方向转变，从而制定不切实际的人才培养目标，其根本原因就在于自身层次定位和人才培养目标的定位都出现偏差。其次，无论是本科院校还是高职院校，其培养的人才，最终都需要走向就业市场。人才需要通过在工作岗位上的职业能力表现来得到企业和社会的认可。而人才的就业，往往会采取“就近原则”，即学生会一般会优先选择当地的企业去就业，避免“背井离乡”式的四处奔波。因此学校开办的专业应该立足于服务当地企业、当地经济和当地产业，所培养的人才要达到当地用人企业和单位的职业技能要求，要尽可能被当地企业所吸收。从这种意义上来说，不同经济发展区域的信息安全专业人才培养方案的设计应和课程体系应具有不同的地方特色：比如珠三角、长三角的高职院校信息安全专业和中西部经济欠发达地区高职院校的信息安全专业在专业特色上应该有明显的差异。很遗憾，现实情况是，在专业设置和课程设计上，各个高校普通喜欢“追热点”，“大跟风”：什么专业热门，就上什么专业；什么课程热门，就开什么课程。甚至在人才培养目标定位上，普通本科院校照抄照搬综合性、科研性大学；高职大专院校跟风模仿应用型本科院校或职业技术大学，这显然是不科学和不正确的。

（二）实训内容呈碎片化、同质化特征

信息安全是一门综合性的学科，所涉及的知识体系庞杂，涵盖范围非常广泛，有计算机科学与技术、通信工程、数学、密码学、电子工程等诸多学科的内容[3]。但当前信息安全人才培养过程中，所构建的实训课程体系，往往贪多求全，各知识点之间缺乏内在逻辑联系和层次递进关系，实训知识体系结构呈现“碎片化”的形态。知识“碎片化”的低效性在于，学生学习得到的大部分东西都是零碎的、分散的、杂乱的，很多时候只是停留在知道、了解的层面，并没有与原来的知识体系产生深层的联系。没有深层次的理解，自然没有办法灵活地运用，更没有办法转化为个人能力和技能。另一方面，由于各学校之间盲目借鉴或实训室承建厂商有意无意地“互相抄袭”，实训课程内容“同质化”现象严重。实训内容“同质化”一个最显著的特征就是实质内容重复，缺乏独创性和开拓性内容。信息安全专业实训课程内容同质化，导致很多高校信息安全专业的差异化人才培养成为空谈，实际上，信息安全专业人才更应该是“不拘一格降人才”。

（三）实训内容陈旧，实训过程沦为结果验证，缺乏深度思考

信息安全实验的设计，既需要一定的理论知识，也需要动手实际操作，因此具有一定的复杂性，难度相对较高。我们调研了很多学校的网络攻防实训室，对于复杂的实验，其实训平台上的内容安排一般都是列出详细地操作步骤，末尾配上最终的实验结果。只需按照实验指示步骤一步一步进行操作，实训结束，看最后结果与实验指导书的结果是否一致即可。这样的结果是实训过程沦为为实验指导书的结果验证，缺乏深度思考的引导。我们以“MAC地址泛洪攻击”为例，它是一个经典网络安全实训示例，大多数的实训设计是这样的：1.阐明攻击原理；2.给出实验环境搭建说明，而且在实际教学过程中实验环境已经在教学平台上搭建好；3.详细列出攻击步骤，每一步都完整给出实验截图；4.写出实验总结。这样一整个实验学生做下来，除了验让自己每一步操作与实验指导书上有什么不同外，很少有其他收获。我们其实更应该进行深度思考和拓展：1.“MAC地址泛洪攻击”一般在什么情形下发生?2.用软件方法和硬件方法，如何防洪这类攻击？3.抓包和解码后具体分析作用在哪里，如何应用到实战中？可以通过启发式的训练，加强学生具体运用知识和实践创新能力的提升。

（四）实训课时与资源受限，难以满足实际需求

大多数学校实训室建设经费紧张，实训经费申请批复繁难。而信息安全知识迭代更新较快，平均二年左右就出现新的技术热点，而信息安全实训室申报、建成和使用周期一般都在五年以上，想要不断投入建设资金更新换代非常困难。而且从信息安全实训室建设软硬件来看，无论是网络安全硬件设备，诸如防火墙、IDS、各类型服务器，还是攻防综合演练系统，价格都比较昂贵，更新或升级代价很大，因此，信息安全实训资源库的完善成为制约人才培养的一个瓶颈。（五）实训内容与职业岗位脱钩，缺乏实用性许多高职院校在设计信息安全技术应用实训课程内容时，往往没有充分调研职业岗位要求，盲目以课程或者教材中设计的知识点来设计实训大纲。这样做的结果是实训内容与职业岗位脱钩，缺乏实用性，陷入“纸上谈兵”的窘境。企业岗位技能需求是客观真实的，是市场提出的要求，是应该放在第一位，而且信息安全技术发展非常迅速，日新月异，实际工作中的信息安全技能点要求也是最新的，它往往比已经固化定型的实训内容要真实，实战性更强。面对存在的诸多问题，需要理清思路，结合当前国家在职业教育方面大力推行的“1+X”证书制度，找到解决问题的方案。

二、职业资格认证视域下实训课程体系构建与革新

2019年1月国务院印发了《国家职业教育改革实施方案》。把学历证书与职业资格技能等级证书结合起来,探索实施“1+X”证书制度。2019年《政府工作报告》进一步指出,“要加快学历证书与职业技能等级证书的互通衔接”[4]。简单来说，“1+X”中的“1”为学历证书，“X”为若干职业技能证书。学历证书全面反映学校教育的人才培养质量,在国家人力资源开发中起着不可或缺的基础性作用。职业技能等级证书是毕业生、社会成员职业技能水平的凭证,反映职业活动和个人职业生涯发展所需要的综合能力。“1+X”职业资格认证改革的主要目的就是鼓励职业院校学生在获得学历证书的同时，积极取得多类职业技能等级证书，拓展就业创业本领，缓解结构性就业矛盾。

（一）找准专业特色定位，明确职业岗位

构建科学的信息安全专业实践课程体系，首先需要找准专业特色定位。高职院校信息安全技术应用专业，其专业特色定位关键因素在于学校层次、当地经济和产业需求、职业岗位技能要求、课程要求和信息安全技术特色等。高职院校培养信息安全技术应用专业适用人才的正确思路是：在依据学校类型确定人才培养目标基础上，考虑当地信息安全产业链的发展情况，对接区域经济和产业发展，凸显行业特色、专业特色、课程特色、技术特色培养当地经济发展需要的专业人才[4]。我们以中山职业技术学院信息安全技术应用专业为例，当地的信息安全企业不多，知名企业主要有深信服（中山）、广东网安科技、广东凌臣等几家企业，但中山周边的城市，像广州、深圳的信息安全企业就很多，因此我校信息安全技术应用专业特色定位是：依托大湾区信息安全产业，培养立足于中山，面向广州、深圳一线城市的高技能型信息安全服务人才，主要岗位包括：信息安全/安全运维工程师、渗透测试工程师、等级保护测评工程师、安全服务工程师、系统工程师、技术支持工程师等[5]。

（二）精心选择职业技能等级证书，合理规划实践教学内容

当前职业技术等级证书有很多种，如何去确定最适合自己学校和专业的证书呢？主要考虑因素有以下三点[6]：1.证书含金量较高，具有权威性，社会认可度高；2.证书考核难度适宜，适合学生学情基础；3.证书与专业结合紧密，相辅相成。以中山职业技术学院信息安全技术应用专业为例，我们选择了上海海盾网络安全中心的“企业网络安全防护职业技能等级证书（中级）”。该证书是教育部第三批认可的职业资格证书，社会认可度比较高，可以作为企业网络安全从业人员的岗位认证，同时与人才培养方案中的基础专业课程有良好的承接关系。所以我们选择了该证书。确定好职业技能证书之后，我们需要将证书中的岗位技能需求与实践课程对应起来，并对原有的人才培养方案课程体系进行重新构建。

（三）优化设计实践项目案例，突出实践教学项目创新

确定好信息安全技术应用专业综合实训整体框架后，就需要设计优化实践项目。在建设实训室时，建设单位一般会提供整套的实践案例，但这些案例大都是“验证型”的项目，不需要思考就能到最终的结果，这样的实验案例对于锻炼学生的创新思维没有多大的帮助。针对这一现状，一线任课教师往往要积极参与到实训室建设过程中，与建设单位讨论、优化实训项目案例，增加工程实际项目，在实验过程中，加入“应用情境延伸”、“项目拓展”、“创新思考”等思考型环节。而且，实训系统往往都有二次开发接口，学校要充分利用好这个接口，将教师的科研、工程项目转化成实践案例，真正把二次开发落到实处。我们设计的主要综合实践项目案例如下表1所示

（四）虚拟实训平台有效结合，破解实训资源限制瓶颈

由于招生规模的不断扩大，建起来没有多久的实训室往往会出现不够用的情形。为了破解实训资源有限的瓶颈，我们需要积极利用虚拟网络安全实训平台。我们专业目前使用深信服信息安全实训室，能满足一个班50人的实训要求，但我们有两个班需要同时在线实验，为此，我们借助了虚拟网络安全实训平台：使用“合天网安实训室”虚拟平台作为物理实训室的必要补充，购买了100个账号，5年的资源使用权限，这样我们实际上可以完成三个班的实训教学要求。

三、结束语

我校信息安全技术应用专业选择上海海盾“企业网络安全防护职业技能等级（中级）”证书作为职业资格证书，结合人才培养目标，对接职业岗位技能要求，重构了本专业实践课程体系，并依此申请建设了“深信服信息安全实训室”，同时使用了“合天网络安全实训室”虚拟平台作为补充，经过两年的使用实践，不仅满足了学生实训要求，培养了更多实践能力强的人才；也给教师的科研实践提供了有利条件，得到师生的广泛认可，取得很好的效果。

参考文献

[1]翁健，魏林锋，张悦.网络空间安全人才培养探讨[J].网络与信息安全学报，2019（03）：45-46.

[2]刘何秀,邵长臣,穆建平,陈腾.开发数据采集职业技能等级标准的必要性研究[J].信息技术与信息化.2020,(06)：37-40.

[3]刘杨,王佰玲.面向网络空间安全新工科的密码学教学研究[J].高教学刊,2018(12):13-15.

[4]陈丽婷,李寿冰.1+X证书制度实施的意义与现实问题分析[J].职业技术教育2020,(27).13-18.

[5]余姜德.高职信息安全专业实训课程与实训平台构建探索[J].广东职业技术教育与研究，2018（4）：162-163.