網絡安全規劃與設計匯總十篇

序論：好文章的創作是一個不斷探索和完善的過程，我們為您推薦十篇網絡安全規劃與設計范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

篇（1）

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）28-6262-03

1 概述

有別于有線網絡的設備可利用線路找尋設備信息，無論是管理、安全、記錄信息，比起無線網絡皆較為方便，相較之下無線網絡的環境較復雜。無線網絡安全問題最令人擔心的原因在于，無線網絡僅透過無線電波透過空氣傳遞訊號，一旦內部架設發射訊號的儀器，在收訊可及的任一節點，都能傳遞無線訊號，甚至使用接收無線訊號的儀器，只要在訊號范圍內，即便在圍墻外，都能截取訊號信息。

因此管理無線網絡安全維護比有線網絡更具挑戰性，有鑒于政府機關推廣于民眾使用以及企業逐漸在公司內部導入無線網絡架構之需求，本篇論文特別針對無線網絡Wi-Fi之使用情境進行風險評估與探討，以下將分別探討無線網絡傳輸可能產生的風險，以及減少風險產生的可能性，進而提出建議之無線網絡建置規劃檢查項目。

2 無線網絡傳輸風險

現今無線網絡裝置架設便利，簡單設定后即可進行網絡分享，且智能型行動裝置已具備可架設熱點功能以分享網絡，因此皆可能出現不合法之使用者聯機合法基地臺，或合法使用者聯機至未經核可之基地臺情形。倘若企業即將推動內部無線上網服務，或者考慮網絡存取便利性，架設無線網絡基地臺，皆須評估當內部使用者透過行動裝置聯機機關所提供之無線網絡，所使用之聯機傳輸加密機制是否合乎信息安全規范。

倘若黑客企圖偽冒企業內部合法基地臺提供聯機時，勢必會造成行動裝置之企業數據遭竊取等風險。以下將對合法使用者在未知的情況下聯機至偽冒的無線網絡基地臺，以及非法使用者透過加密機制的弱點破解無線網絡基地臺，針對這2個情境加以分析其風險。

2.1 偽冒基地機風險

目前黑客的攻擊常會偽冒正常的無線網絡基地臺（Access Point，以下簡稱AP），而偽冒的AP在行動裝置普及的現今，可能會讓用戶在不知情的情況下進行聯機，當連上線后，攻擊者即可進行中間人攻擊（Man-in-the-Middle，簡稱MitMAttack），取得被害人在網絡上所傳輸的數據。情境之架構詳見圖1，利用偽冒AP攻擊，合法使用者無法辨識聯機上的AP是否合法，而一旦聯機成功后黑客即可肆無忌憚的竊取行動裝置上所有的數據，造成個人數據以及存放于行動裝置上之機敏數據外泄的疑慮存在。企業在部署無線局域網絡時，需考慮該類風險問題。

2.2 弱加密機制傳輸風險

WEP （Wired Equivalent Privacy）為一無線加密協議保護無線局域網絡（Wireless LAN，以下簡稱WLAN）數據安全的加密機制，因WEP的設計是要提供和傳統有線的局域網絡相當的機密性，隨著計算器運算能力提升，許多密碼分析學家已經找出WEP好幾個弱點，但WEP加密方式是目前仍是許多無線基地臺使用的防護方式，由于WEP安全性不佳，易造成被輕易破解。

許多的無線破解工具皆已存在且純熟，因此利用WEP認證加密之無線AP，當破解被其金鑰后，即可透過該AP連接至該無線局域網絡，再利用探測軟件進行無線局域網絡掃描，取得該無線局域網絡內目前有哪些聯機的裝置。

當使用者使用行動裝置連上不安全的網絡，可能因本身行動裝置設定不完全，而將弱點曝露在不安全的網絡上，因此當企業允許使用者透過行動裝置進行聯機時，除了提醒使用者應加強自身終端安全外，更應建置安全的無線網絡架構，以提供使用者使用。

3 無線網絡安全架構

近年許多企業逐漸導入無線局域網絡服務以提供內部使用者及訪客使用。但在提供便利的同時，如何達到無線局域網絡之安全，亦為重要。

3.1 企業無線局域網安全目標

企業之無線網絡架構應符合無線局域網絡安全目標：機密性、完整性與驗證性。

機密性（Confidentiality）

無線網絡安全架構應防范機密不可泄漏給未經授權之人或程序，且無線網絡架構應將對外提供給一般使用者網絡以及內部所使用之內部網絡區隔開。無線網絡架構之加密需采用安全性即高且不易被破解的方式，并可對無線網絡使用進行稽核。

完整性（Integrity）

無線網絡安全架構應確認辦公室環境內無其它無線訊號干擾源，并保證員工無法自行架設非法無線網絡存取點設備，以確保在使用無線網絡時傳輸不被中斷或是攔截。對于內部使用者，可建立一個隔離區之無線網絡，僅提供外部網際網絡連路連接，并禁止存取機關內部網絡。

認證性（Authentication）

建議無線網絡安全架構應提供使用者及設備進行身份驗證，讓使用者能確保自己設備安全性，且能區分存取控制權限。無線網絡安全架構應需進行使用者身份控管，以杜絶他人（允許的訪客除外）擅用機關的無線網絡。

因應以上無線局域網絡安全目標，應將網絡區分為內部網絡及一般網絡等級，依其不同等級實施不同的保護措施及其應用，說明如下。

內部網絡：

為網絡內負責傳送一般非機密性之行政資料，其系統能處理中信任度信息，并使用機關內部加密認證以定期更變密碼，且加裝防火墻、入侵偵測等作業。

一般網絡：

主要在提供非企業內部人員或訪客使用之網絡系統，不與內部其它網絡相連，其網絡系統僅能處與基本信任度信息，并加裝防火墻、入侵偵測等機制。

因此建議企業在建構無線網絡架構，須將內部網絡以及提供給一般使用者之一般網絡區隔開，以達到無線網絡安全目標，以下將提供無線辦公方案及無線訪客方案提供給企業導入無線網絡架構時作為參考使用。

3.2內部網絡安全架構

減輕無線網絡風險之基礎評估，應集中在四個方面：人身安全、AP位置、AP設定及安全政策。人身安全方面，須確保非企業內部使用者無法存取辦公室范圍內之無線內部網絡，僅經授權之企業內部使用者可存取。可使用影像認證、卡片識別、使用者賬號密碼或生物識別設備以進行人身安全驗證使用者身份。企業信息管理人員須確保AP安裝在受保護的建筑物內，且使用者須經過適當的身份驗證才允許進入，而只有企業信息管理人員允許存取并管理無線網絡設備。

企業信息管理人員須將未經授權的使用者訪問企業外部無線網絡之可能性降至最低，評估每臺AP有可能造成的網絡安全漏洞，可請網絡工程師進行現場調查，確定辦公室內最適當放置AP的位置以降低之風險。只要企業使用者擁有存取無線內部網絡能力，攻擊者仍有機會竊聽辦公室無線網絡通訊，建議企業將無線網絡架構放置于防火墻外，并使用高加密性VPN以保護流量通訊，此配置可降低無線網絡竊聽風險。

企業應側重于AP配置之相關漏洞。由于大部分AP保留了原廠之預設密碼，企業信息管理人員需使用復雜度高之密碼以確保密碼安全，并定期更換密碼。企業應制定相關無線內部網絡安全政策，包括規定使用最小長度為8個字符且參雜特殊符號之密碼設置、定期更換安全性密碼、進行使用者MAC控管以控制無線網絡使用情況。

為提供安全無線辦公室環境，企業應進行使用者MAC控管，并禁用遠程SNMP協議，只允許使用者使用本身內部主機。由于大部分廠商在加密SSID上使用預設驗證金鑰，未經授權之設備與使用者可嘗試使用預設驗證金鑰以存取無線內部網絡，因此企業應使用內部使用者賬號與密碼之身份驗證以控管無線內部網絡之存取。

企業應增加額外政策，要求存取無線內部網絡之設備系統需進行安全性更新和升級，定期更新系統安全性更新和升級有助于降低攻擊之可能性。此外，政策應規定若企業內部使用者之無線裝置遺失或被盜，企業內部使用者應盡快通知企業信息管理人員，以防止該IP地址存取無線內部網絡。

為達到一個安全的無線內部網絡架構，建議企業采用IPS設備以進行無線環境之防御。IPS設備有助于辨識是否有未經授權之使用者試圖存取企業內部無線內部網絡或企圖進行非法攻擊行為，并加以阻擋企業建筑內未經授權私自架設之非法網絡。所有無線網絡之間的通訊都需經過IPS做保護與進一步分析，為一種整體縱深防御之策略。

考慮前述需求，本篇論文列出建構無線內部網絡應具備之安全策略，并提供一建議無線內部網絡安全架構示意圖以提供企業信息管理人員作為風險評估之參考，詳見表1。

企業在風險評估后確認實現無線辦公室環境運行之好處優于其它威脅風險，始可進行無線內部網絡架構建置。然而，盡管在風險評估上實行徹底，但無線網絡環境之技術不斷變化與更新，安全漏洞亦日新月異，使用者始終為安全鏈中最薄弱的環節，建議企業必須持續對企業內部使用者進行相關無線安全教育，以達到縱深防御之目標。

另外，企業應定期進行安全性更新和升級會議室公用網絡之系統，定期更新系統安全性更新和升級有助于降低攻擊之可能性。為達到一個安全的會議室公用網絡架構，建議企業采用IPS設備以進行無線環境之防御。

IPS設備有助于辨識是否有未經授權之使用者試圖存取企業內部會議室公用網絡或企圖進行非法攻擊行為，并加以阻擋企業建筑內未經授權私自架設之非法網絡。所有無線網絡之間的通訊都需經過IPS做保護與進一步分析，為一種整體縱深防御策略。

4 結論

由于無線網絡的存取及使用上存在相當程度的風險，更顯無線局域網絡的安全性之重要，本篇論文考慮無線網絡聯機存取之相關風險與安全聯機的準則需求，有鑒于目前行動裝置使用量大增，企業可能面臨使用者要求開放無線網絡之需求，應建立相關無線網絡方案，本研究針對目前常見之無線網絡風險威脅為出發，以及內部網絡與外部網絡使用者，針對不同安全需求強度，規劃無線網絡使用方案，提供作為建置參考依據，進而落實傳輸風險管控，加強企業網絡安全強度。

參考文獻：

[1] Gast M S.Wireless Networks： The Definitive Guide[M].O’Reilly， 2002.

[2] Edney J， Arbaugh W A.Security：Wi-Fi Protected Access and 802.11[M].Addison-Wesley，2004.

[3] R. Guha， Z. Furqan， S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007， Orlando， FL， 2007（10）：29-31.

篇（2）

影響通信網絡安全的因素主要是技術因素、環境因素。因此，安全的通信網絡規劃設計需要對這兩個因素重點關注。要綜合的分析考慮，進行整體性的規劃，使通信網絡的規劃設計滿足安全性的要求。

1通信網絡的保障方式

通信網絡包括網絡信息以及用戶信息，因此，通信網絡的安全非常重要。通信網絡的保障方式包括：（1）實時對信息的完整性進行監控；（2）確保信息傳輸的安全；（3）信息的操控需要進行身份認證；（4）設定安全級別，控制非法訪問；（5）對信息的傳輸、操作進行實時、詳細的記錄。

2通信網絡的安全需求

信息網絡是信息傳輸的載體，在信息的傳輸過程沒有被用戶掌控，因此，用戶會擔心信息在傳輸過程中被非法訪問、竊取、破壞等，因而產生了對通信網絡安全的需求，也就是通過通信網絡進行信息的傳輸，信息的機密性、完整性、不可破壞性能夠得到相應的安全保證。

3通信網絡安全分析

綜上所述，必須要考慮通信網絡的安全性，依據實際情況，進行安全的通信網絡規劃設計。安全的通信網絡規劃設計方案如表1所示。下面將從通信網絡的安防工程、信息安全、網絡安全、鏈路安全四個方面，對通信網絡的安全進行具體的分析：（1）通信網絡的安防工程。通信網絡的安防工程是安全的通信網絡的根本保障，為通信網絡提供了一個安全的環境。其環境有以下幾個明顯的特點：傳輸設備隨著信息的增多而增加，環境復雜化；空間容量隨信息的增加以及通信網絡結構的變化而逐漸增加；通信設備趨向于智能化、模塊化；體積隨著空間容量的增多反而逐漸減少。隨著通信網絡環境的改變，其規劃設計對安全的要求也逐漸的提高，因此通信網絡的安防工程顯得十分重要。（2）信息安全。網絡具有開放性的特點，導致信息的容易被非法非法訪問、竊取、破壞等，因此，需要特別關注用戶身份識別、信息的存儲、信息傳輸等關鍵點，確保信息安全。例如，采取創建公鑰密碼的身份識別方式，確保信息的機密性；構建信息數據庫，信息管理系統化，保證信息的完整性；對信息內容進行審計，對信息進行安全的管理，防止非法入侵破壞信息的完整性，保證信息的機密性。（3）網絡安全。網絡其開發性的特點，使之安全性受到一定的威脅。要達到網絡安全的要求，需要對通信網絡加強控制和管理。例如，可以使用防火墻技術將內外網絡分離開來，對網絡進行管理和控制，并不斷根據實際的情況提高防火墻技術、加密技術、入侵檢測等相關技術，提升網絡安全。（4）鏈路安全。通信網絡中鏈路安全會受到設備所用技術的影響。因此，應從以下幾點加強鏈路安全：降低其維修的難度，對附加操作量進行一定的控制；保留網絡本身的性能特點；為了實現系統的拓展，保持拓撲結構的原型；合理、合法的使用一些密碼產品等。通過以上方法，對鏈路安全進行加密，信息送達后再進行解密。

4結束語

對于安全的通信網絡規劃設計，可以從以下五個方面入手：①對在通信網絡中進行傳輸的信息進行加密設計；②針對通信網絡入侵檢測技術進行相關的研發，提升技術水平，提高通信網絡的防御水平；③構建安全網管系統，確保通信網絡的安全；④對通信網絡中節點內系統進行重塑，提高安全防控能力；⑤對通信內部網絡協議進行規劃，確保通信網絡內部協議的安全性，使通信網絡安全運行?？偠灾?，進行通信網絡規劃設計時，一定要對其安全性進行科學、合理、深入的分析，采取具體措施提高通信網絡的安全性，構建科學、合理，安全、穩定、高效的通信網絡系統。

作者:李英峰 張志科 單位:廣州杰賽科技股份有限公司通信規劃設計院

參考文獻

[1]陶卓.關于通信光纜網絡線路規劃設計問題的思考[J].通訊世界，2015，24：15~16.

篇（3）

全國政協委員、民銀國際投資有限公司董事長何幫喜告訴《中國經濟周刊》記者，“中國制造 2025”戰略、兩化深度融合和多層面互聯互通政策帶來產業的大規模提檔升級，工業控制和基礎設施智能化發展很快，但工控網絡安全領域問題突出，防護薄弱，因此，電力、水利、石化、冶金、汽車、航空航天等面臨前所未有的工控網絡安全威脅，民航、鐵路、城市交通、水電燃氣管網等涉及國計民生的關鍵基礎設施同樣安全防護嚴重滯后，面對工控網絡威脅的防護能力幾乎為零。

針對當前現狀，何幫喜委員在提案中建議，應盡快將工控網絡安全防護納入國家戰略，以建設國防事業的

標準和力度去投入發展工控安全產業，避免重蹈互聯網安全產業起步晚、技術落后受制于人的覆轍。

網絡戰爭逼近眼前

精確攻擊工控系統漏洞代碼能癱瘓一個國家

何幫喜對《中國經濟周刊》記者說，工控系統中的“漏洞”就像身體出現疾患，如免疫力下降、內分泌失調，病毒會利用這些漏洞入侵人體，產生不良反應，工控網絡安全領域的漏洞，如Havex、“方程式”組織攻擊等，像“火星文”一樣難以理解，但精確攻擊工控系統“漏洞”，其破壞性超出想象。如2014 年出現的Havex 漏洞，有能力禁用水電大壩、使核電站過載，甚至可以做到按一下鍵盤就關閉一個國家的電網。所以，工控網絡安全“漏洞”小則導致工廠癱瘓，大則造成核電站爆炸、地鐵失控、全國停電等災難性后果。

他說，“在工控網絡安全領域，代碼已經成為一種武器，以美國為代表的各國政府已將工控系統漏洞代碼列為軍備物資限制出口和交易，對一個國家重要設施的精確打擊不再需要使用傳統軍事手段，通過網絡戰即可癱瘓一個國家?！?/p>

據悉，近年來，網絡戰爭逼近眼前，各國間的網絡“軍備競賽”繼續加強，網絡摩擦不斷增多，大規模網絡沖突爆發的風險進一步加劇。

何幫喜認為，工控網絡安全領域因涉及國家的核心基礎設施和經濟社會穩定大局，輻射范圍廣泛，成為國家間對抗的全新手段，其威懾力和影響力不亞于傳統戰爭。2016 年黑暗力量病毒攻擊烏克蘭電網造成大面積停電等事件表明網絡戰爭正在我國周邊地區發生。

形勢嚴峻 機遇難得

工控網絡安全產業亟須快速崛起

何幫喜委員告訴《中國經濟周刊》記者，首先，當前工控網絡安全行業缺乏頂層設計和發展規劃。去年《網絡安全法》出臺，“網絡強國戰略”納入“十三五”規劃，國家網絡空間安全頂層設計明顯加強。但工控網絡安全的重要性尚未達成共識，頂層設計仍不明確，工控網絡安全與傳統信息安全存在較大差異，亟須進行專題研判，并制定行業發展規劃。

其次，重要工業制造業領域大量使用國外工控設備。目前，國外工業生產設備提供商已在各領域壟斷了工

業生產控制系統和設備市場。以我國工業PLC 市場為例，2015 年西門子、三菱、歐姆龍、羅克韋爾、施耐德等5家國外廠商占據超過80% 的市場份額，國內廠商不但不掌握這些設備的核心技術，更不掌握系統的安全設計，漏洞和后門的風險與日俱增。

不過，何幫喜委員補充說，嚴峻挑戰也帶來難得的后發機遇。目前，第四次工業革命到來，打破發達國家

對核心技術、工藝和標準的壟斷，工控網絡安全作為新興產業迎來難得機遇。

“工控網絡安全正在成長為一個戰略性新興產業，與我國現代工業融合發展，在提高工業智能化水平的同時，將本產業做大做強，形成產業優勢，為我國基礎設施建設領域植入安全基因。”何幫喜說。

潛力巨大 前景可期

應從五個方面加強工控網絡安全產業發展

何幫喜委員建議，應從以下五個方面加強工控網絡安全產業發展：

一是從戰略高度加強工控網絡安全頂層設計，明確責任部門。該行業涉及工業控制、智能制造、能源管理、安全生產、信息化建設、網絡犯罪治理等多個領域，必須從戰略高度加強我國工控網絡安全整體戰略規劃和頂層設計，進行專題研判，同時加強政府各部門間的協調，具體工作要落實到責任部門。

二是建立完備的工控網絡安全體系，掌握芯片級核心技術。以自主安全工控芯片為基礎，加快工控網絡安

全體系建設、技術與產品研發，解決工控設備本體安全、結構安全、行為安全，為工控注入安全基因，實現本質安全，并在持續對抗中保持領先優勢。

三是大力扶持新興工控網絡安全企業，鼓勵技術創新和產業化。工控網絡安全是跨學科的技術融合，新興

企業的顛覆性技術是創新的重要來源。我國目前已涌現出一批如匡恩網絡等具備深度科研能力的、有活力的工控網絡安全企業。應大力引導和扶持該行業民營企業的發展，培育良好的產業生態，促進具備自主知識產權的先進技術實現產業化落地。

篇（4）

【關鍵詞】鐵路 信息系統 網絡安全

想要從根本上確保鐵路信息系統的網絡安全，就必須構建起一道有效的屏障，并建立包含網絡安全管理和安全技術措施在內的保障體系，只有這樣，才能使鐵路信息系統的安全、穩定、可靠運行得到保證。借此，本文就鐵路信息系統網絡安全屏障的搭建展開探討。

1 鐵路信息系統網絡安全管理的有效途徑

1.1 做好網絡規劃設計保障網絡安全

鐵路辦公信息系統的網絡拓撲結構直接關系著網絡的整體性能，并在一定程度上關系著網絡運行的安全性、穩定性和可靠性，同時還與傳輸速率和通信效率有關。為了確保網絡安全，必須選擇合理的網絡拓撲結構進行網絡規劃設計。通過對一些常用的網絡拓撲結構進行研究發現，星狀拓撲結構的安全性和可靠性較高，故此建議鐵路辦公信息系統采用此種網絡拓撲結構，并以分層的方法進行網絡規劃設計，具體可將辦公信息系統的整個網絡分為核心層、分布層和接入層三個層次。通過分層規劃設計，能夠將全局通信進行合理的分配及帶寬規劃。在這個三個層次當中，核心層是網絡主干，負責網絡連通，可靠性高、容錯性強是該層應當具備的基本特性，同時還要具有良好的可管理性；分布層是核心層與接入層的連接層，它的主要作用是安全控制、VLAN分割等；接入層可以為用戶提供訪問網絡的途徑，它是一個共享帶寬的局域網。在對網絡進行規劃設計的過程中，必須要做好網絡安全管理工作，這是確保網絡正常運行的關鍵。通過對網絡設備運行情況的實時監測及參數調整，對路由器等設備進行遠程管理和維護，以此來確保網絡的安全性和可用性。

1.2 建立安全風險評估體系

在對鐵路信息系統網絡安全進行管理的過程中，應當建立起一套相對完善的風險評估體系，以此來對系統的網絡安全進行評價，進而制定合理可行的應對措施。首先，要制定科學的風險評估標準，使網絡安全風險評估工作的開展有據可依。其次，要建立風險評估機制，對相關部門的職責加以明確，確定評估周期及評估結果的運用方法。再次，要對風險評估辦法進行細化，使網絡安全風險評估工作能夠在信息系統的全壽命周期內順利進行。最后，要解決好風險評估工作與信息系統等級保護的銜接問題，使評估能夠為系統的網絡安全防護提供依據，并為系統的安全保障能力提供判斷標準，進而確保信息系統的安全、穩定、可靠運行。

1.3 強化人員管理

對于系統使用人員的安全管理，可從以下幾個方面著手：

（1）加強安全審查。應當從信息系統使用人員任用的過程中進行管理和控制，從思想政治面貌、職業道德和業務素質等幾個方面對人員進行考察，由于很多網絡安全事件都是內部人員的誤操作引起的，所以，必須不斷提升他們的專業技術水平，加大對人員的安全管理考核與培訓，建立切實可行的獎懲制度。

（2）要做好安全保密工作，應當與所有可以進入信息系統的工作人員簽訂安全保密協議，并在協議當中詳細注明工作人員需要履行的安全保密義務，不得擅自泄露工作秘密，一經發現違反協議的人員，應當對其進行嚴懲。

2 鐵路信息系統網絡安全技術措施

2.1 內網設備安全加固

從目前國內鐵路辦公信息系統的總體情況上看，內網中的網絡設備是網絡安全需要考慮的重點環節。鑒于此，為大幅度提升網絡設備的安全性，可采取如下安全加固措施：

登錄相關的官方網站，查找網絡結構中路由器等設備的最新IOS版本，及時進行下載更新和升級，借此來彌補系統的安全漏洞，關閉各種后門，為路由器的安全運行提供可靠保障。

設置管理終端口令，加強Vty和Console的口令管理強度，采用6位以上數字+字母的組合形式，提高口令的安全性，并使用md5對口令進行加密存儲。同時，加強Enable和Secret密碼的強度，密碼的長度最少應當設置為8個字符以上，并且要采用字母+數字的組合形式，需要注意的是，該密碼盡量不要與Vty和Console的密碼相同。

2.2 構建虛擬局域網

通過內部虛擬局域網的建立，能夠有效防止內部破壞分子對內網的攻擊。虛擬局域網簡稱VLAN，它一般不考慮用戶所處的地理位置，按照功能與應用等因素，從邏輯上將網絡劃分為若干個功能獨立且相互關聯的工作組，由此能夠使鐵路辦公信息系統中的核心服務器和一些重要部門的網絡安全獲得保障。

2.3 訪問控制技術

這是網絡安全防范與保護的重要技術措施之一，它的運用能夠從根本上確保網絡資源不被非法使用和訪問，借助該技術能夠使鐵路辦公信息系統的網絡安全及重要資源得到有效的保護。訪問控制技術簡稱ACL，它可以與虛擬局域網聯合使用，ACL主要包括以下安全技術：網絡監測與鎖定控制、網絡使用權限控制、網絡節點安全控制、屬性與目錄級安全控制、入網訪問控制以及防火墻控制等等。采用ACL建立安全的訪問列表，能夠通過源地址、目標地址和應用類型等，對流入網絡的數據流進行有效的控制。

2.4 數據加密技術

該技術在信息系統網絡安全方案中的應用非常廣泛，其安全防護效果較好。在對網絡數據進行加密處理的過程中，不需要特殊拓撲結構的支持，因此，基本不會對相關的網絡服務造成影響，從應用情況上看，該技術現已成為解決鐵路辦公信息系統網絡安全問題最為有效且實用性較高的方案之一。對數據信息進行加密處理之后，可以使網絡內部的重要數據、文件、指令等獲得有效保護，同時還能對網絡中傳輸的數據起到一定的保護作用。目前，較為常用的網絡加密方法有以下幾種：鏈路加密、端點和節點加密等，既可以采用私有密鑰算法進行加密，也可以采用公開密鑰算法進行加密。VPN被業界稱之為網絡加密機，這是一項非常成熟且完善的網絡安全技術，它可以對信息傳輸安全提供有效的保障，可將之作為鐵路辦公網的首選數據加密措施。

2.5 分級防火墻技術

防火墻是網絡安全防護中不可或缺的一項技術措施，分級防火墻是一種最新的防火墻技術，該技術具體是指外網與內網的連接需要先經過外部路由器，在進入首級防火墻，在此需要進行一次身份認證和訪問控制，然后再由內部路由器轉發至內網當中，并由次級防火墻做進一步防護，若是有特殊的安全需要，可設置多個次級防火墻。該技術將狀態檢測、靜態包過濾以及網關等訪問控制技術有機結合到一起，不但大幅度增強網絡的安全性，而且處理效率也獲得顯著提升。

3 結論

綜上所述，為確保鐵路信息系統的安全、穩定、可靠運行，必須對網絡安全問題予以足夠的重視，本文從網絡安全管理途徑和網絡安全技術措施兩個方面著手，構建起一道行之有效的網絡安全防護屏障，通過各種網絡安全技術措施的應用，進一步提升了鐵路辦公信息系統網絡的安全性，有效阻止了各種非法入侵，為鐵路部門相關工作的開展提供了強有力的保障。

參考文獻

[1]祝詠升，張彥，丁妍，姚洪磊.鐵路信息系統安全管理中心的設計[J].中國鐵路，2012（10）：125-127.

[2]高春霞，陳光偉，張文塔，岳雪梅.鐵路網絡與信息安全風險管理研究[J].鐵路計算機應用，2014（06）：85-88.

[3]張彥.鐵路信息系統安全體系研究[J].鐵路計算機應用，2015（02）：49-51.

篇（5）

中圖分類號：TP399 文獻標識碼：A 文章編號：1009-914X（2017）16-0336-01

一、引言

隨著我國經濟的發展和社會的進步，眾多領域在應用信息系統工程網絡中，其應用的規模在擴大、應用的結構趨于復雜化。在此過程中，其主要的網絡安全問題在加劇。因此，對于這些領域來講，需要應用有效性方式、方法來規劃新型的信息系統工程網絡結構模式，保障規劃建設的合理性，提高這些網絡設備、部件應用的安全性，使其具有良好的應用狀態。因此，我們針對信息系統工程網絡安全建設規劃、安全性保障舉措問題開展分析和研究工作。

二、信息系統工程網絡安全建設規劃

信息系統工程網絡安全建設規劃主要是在滿足現有網絡結構、運行方式基礎上提高相關部件應用的質量和水平，保障網絡的安全性。比如：第一，進行冗余技術的應用，使得備用鏈路的條數獲得增大、進行系統備用網絡硬件和備用軟件的有效性應用，降低系統在運行中出現故障的概率，保障網路的安全運行。第二，進行網絡拓撲結構設計工作，提高網絡技術的應用水平，提升網絡維護的能力和水平，保障系統網絡在應用中主要設備、部件應用的|量和效率[1]。

三、信息系統工程網絡安全建設保障舉措

（一）網絡監控軟件的應用

網絡監控軟件的應用有利于對網絡系統運行設備進行有效的管理，開展拓撲繪制、網絡鏈路流量管理、可以更加方便快捷的進行資源前端控制，及時的了解到網絡工作運行狀態和信息水平，開展高質量的監控和管理，阻止非法的主機侵入、在異常情況下及時報警，有利于提示有關人員開展有效舉措應用，保障網絡運行的質量和安全。

（二）防火墻技術的應用

防火墻技術的應用對保障網絡系統安全發揮出了重要作用。具體來講，首先，進行計算機網絡軟件與硬件的優化設置，建立起初步的防火墻系統對于網絡信息與數據進行有效的過濾與攔截，保障計算機網絡的安全。其次，設置具有不同級別與不同類型的多道防火墻系統，有效的抵制網絡病毒的入侵與攻擊。再次，設計出獨特的防火墻安全檢測系統，對于可能存在的病毒進行全面檢測與清除，保障計算機網絡的安全。最后，定期對于防火墻系統進行檢查與維修工作，防止網絡病毒與垃圾郵件對于防火墻本身進行入侵與攻擊[2]。

（三）反病毒系統的部署應用

反病毒技術的應用是進行信息系統安全防范的一個重要方法因此。第一，運用具有科學高效特點的反病毒軟件，對于計算機系統進行全面的防護。比如：360系統、金山毒霸等等。這些軟件的運用方式為通過操作者對于這些軟件的應用狀態進行開啟，這些軟件對于出現的病毒以及垃圾郵件具有自動的檢測與預防功能，而操作者通過后期進行檢測與清理工作，就可以將這些垃圾文件與病毒進行全面的清除，保障計算機網絡的安全狀態。第二，設置一種有效的核心系統隱藏軟件，對于計算機的核心進行網絡隱藏，同時設置出多個虛擬的核心區域，使網絡入侵與攻擊行為作用于這些虛擬的核心區域，有效對于計算機網絡進行保護。

（四）網絡加密技術的應用

應用好網絡加密技術可以提高網絡系統安全程度，保障其具有良好應用狀態。比如：第一，設置安全隔離模式屏蔽網絡威脅，對于計算機的登陸口令、信息入口、數據入口設置層層密碼。第二，運用網絡加密技術建立起有效的網絡預警機制，對于病毒攻擊與垃圾郵件的惡意傳遞行為進行有效的報警與驅離，防止網絡攻擊與垃圾郵件惡意傳遞行為的得逞與威脅。第三，運用公鑰加密與私鑰加密相結合的方式對于計算機的主系統與密集區進行有效的保護。第四，通過對于加密技術的運用對于計算機的登錄與關鍵操作進行有效的身份認證處理，核實操作人是否為計算機的真正所有者，維護計算機的運行安全與系統安全。第五，進行數據加密技術的應用，提高網絡信息運行安全。RSA的工作原理簡單的說就是雙層秘鑰進行加密，進行數據信息的傳送[3]。（流程如表一）

正如上面表格所顯示的那樣，這種加密的算法實際上就是在信息的傳送前和傳送后都加了雙保險進行信息的保密。同時RSA的秘鑰設置長度非常的長，通常情況下有512位、1024位，甚至是更多。所以說利用這種加密的方式進行數據信息的保護是非常的安全的。

上面的表格就是這種算法的詳細介紹。其中P和q都是數位足夠長的素數.n為p和q想乘。而加密公式和解密公式的試用數字極其龐大，如果設置的數位足夠長，可以極大提高秘鑰破解難度，保障網絡數據安全。

（五）進行網絡設備的安全維護

進行網絡設備的安全維護主要從以下兩個方面內容進行。第一，進行機房的維護。比如：定期對機房的環境、機柜、機房中的計算機設備等及時清潔，保障機房的衛生，充分保障主要設備部件在長時間中保持良好運行狀態。建立起服務器安全日志，提高中心機房、溫度報警器、UPS、空調等設備應用時間，為保障機房中設備部件的良好運行發揮出重要作用。第二，對網路日常故障有效解決。在網絡系統應用中，線路故障、設備部件的故障等始終存在。因此，對于應用的人員來講，需要加強對設備部件、應用線路的保護水平，解決這些日常中存在的問題，維護系統各個部分運行，提高系統網絡應用的質量和水平，保障其應用的安全性[4]。

四、結論

對于信息系統工程的網絡安全建設提升與應用問題進行研究，有利于信息系統工程網絡維護人員應用各種有效性方法進行網絡系統安全規劃、提高網絡系統運行的質量和安全，更好的滿足社會中各個領域對信息系統工程應用需求。

參考文獻：

[1] 趙浩宇，李剛榮.淺談醫院信息系統的網絡安全建設[J].中國衛生信息管理雜志，2010，05：74-76.

[2] 飛.網絡信息工程的常見安全隱患問題及對策[J].電子測試，2017，03：128-129.

[3] 姜.金保工程信息網絡安全保障體系設計與實現[J].數字技術與應用，2016，05：201.

篇（6）

工業控制系統是制造業基礎設施運行的“大腦”，廣泛應用于電力、航空航天、鐵路、汽車、交通、石化等領域。2010年“震網”病毒攻擊伊朗核設施，2011年“火焰”病毒入侵中東國家，2015年底“黑暗能源”病毒攻擊烏克蘭電網……一系列突發事件表明，工業控制系統的網絡安全面臨嚴峻的挑戰。無論以美國為代表的“工業互聯網”，還是以德國為代表的“工業4.0”，都將工業控制系統的網絡安全視為重中之重。

中國政府對工業系統的網絡安全同樣極為重視。2011年開始，國務院先后出臺的《工業轉型升級規劃（2011-2015）》、《關于大力推進信息化發展和切實保障信息安全的若干意見》、《中國制造2025》等一系列文件，都強調了兩化融合中網絡安全保障的重要性。

然而，與工業系統的快速數字化、信息化和智能化相比，中國工業控制系統的網絡安全保障進展緩慢，防護薄弱，問題仍較為突出。

烏克蘭電網被攻擊后，國內相關網絡安全公司的監測報告顯示，在國內交通、能源、水利等多個領域的各類工業控制設備中，完全暴露在外、可以被輕易攻擊的多達935個。有些城市和地區的工業控制系統面臨較大的安全風險。

造成這一隱患的原因眾多，關鍵是一些企事業單位在借助信息化提高生產效率的同時，沒有考慮工業控制系統的網絡安全防護。而即使認識到工業控制系統安全的重要性，在系統改造實施過程中，由于沒有專業知識、人員和部門支撐，所采取的安全措施也往往浮于表面，未得實效。

從實際情況看，中國的工業控制系統雖然還沒有發生影響巨大、后果嚴重的網絡安全事件，但不少領域的企業都已經或多或少遭遇了因計算機病毒引發的安全事故。如果上升到國家安全層面，一旦這些控制系統的安全漏洞被利用，將有可能導致核電站過載、電網停電、地鐵失控等災難性后果，這絕非危言聳聽。

面對日益嚴峻的網絡安全形勢，加強工業控制系統的網絡安全保障迫在眉睫。既要有國家自上而下的體系化頂層設計，也要有產業和企業自下而上的探索與實踐。

從國家層面來看，在保障體系的機制建設上，需要一個高規格的協調機構，以應對關鍵基礎設施和重要系統可能遭受的高強度攻擊，同時組建以工業企業、信息網絡、公共安全為主的應急聯動機制，制定應急響應處理辦法。

與此同時，做好重點行業的工業控制系統威脅情報研究，各方聯動，形成合力，提供有價值的威脅情報信息，建立更有實用性的威脅情報庫，為政府機構、安全廠商、企事業單位提供更好的支持。

篇（7）

中圖分類號：TP393.1

建立企業風險意識，做好網絡安全防范預測，成為了企業風險管理中的一項重要內容。防火墻、漏洞掃描、防病毒、入侵檢測等維護網絡安全的軟件，有效地提高網絡信息的安全性。隨著網絡與信息技術應用的范圍不斷擴大，各種形式的服務被展開，各種的網絡安全問題也隨之出現了。為了確保企業局域網信息能夠在網絡上進行有效傳播，并且免受網絡黑客的攻擊，可以加筑安全屏障在企業的局域信息網。為了維護局域網絡信息系統的安全性，采用防火墻技術與入侵檢測系統相結合的防護技術，使網絡的安全防御能力大大地提高了，實現了維護網絡系統的安全運營。對企業的局域網絡系統進行風險分析，并根據實際的需要進行合理地規劃設計，是非常必要的。

1 企業局域網系統安全風險分析

企業局域網系統普遍存在的安全風險包括有網絡安全的物理風險和網絡平臺的安全風險。

1.1 網絡安全的物理風險

網絡安全的物理風險一般是建立網絡的硬件設施很容易出現故障。除了一些自然因素，如火災、水災、地震等所造成的故障之外，主要還是諸如由于不當操作而造成的設備損壞或者是設備丟失以及線路被劫等等的人為因素影響。對于性能較高的硬件配置，主要體現在雙機設計、報警系統、機房的內部環境的安全性上。

1.2 網絡平臺的安全風險

網絡平臺的安全風險主要體現服務器的風險和整體結構與路由的風險。

（1）服務器風險。作為企業信息的平臺，局域網的服務器一旦受到攻擊，就容易導致整個網絡的癱瘓。網絡管理人員就有其需要對網絡節點提高警惕，因為這里是黑客試圖闖入的關鍵。

（2）網絡的整體結構與路由風險。企業局域網絡系統的建立是非常簡單的，只要一臺路由器，加之一些輔助設備，就可以將局域網絡系統建立起來。因此，很容易出現安全問題。

2 網絡安全的總體設計原則

2.1 網絡安全設計方案需要遵循的原則

（1）綜合規劃原則。計算機的網絡結構主要包括數據、軟件、設備等等，那么，在對網絡工程系統進行安全設計的時候，就需要從整體角度出發對設計方案進行制定，并根據專業的需要分析、修改。

從管理的角度來看，網絡安全的設計上，要符合有關的法律法規已經相應的管理制度；在專業技術上，采取多種方法向融合的措施，以獲得最可行、最有效的方案。

（2）平衡一致的原則。使用局域網絡，其可以帶來諸多的便利的同時，用戶也要承擔了一定的風險。通過對網絡的實際功能進行研究，在設計安全策略之前，要對網絡的結構、性能等進行必要的分析，使其與網絡安全的需求保持一致。不但可以提高網絡的運行效率，而且還會降低資金投入成本。

（3）多重保護，分步實施。為了防止系統在黑客的攻擊下，受到破壞。建立起多重保護網絡的系統，可以加大安全防護系數，以各層保護之間的互補，實現保護系統信息的安全。

鑒于網絡系統實際應用范圍的不斷擴展，網絡規模也在不斷加大，這就導致網絡更加脆弱。網絡安全問題不能一次性的解決，并且在使用安全措施時，需要支出一定的費用，針對這一問題，可以采用分步實施的凡是來滿足網絡安全的需求，也能夠盡量節省開支。

2.2 安全技術、服務、機制

（1）安全技術。在開放的環境下，用戶可以使用病毒預防技術、防火墻技術等等。

（2）安全服務、機制。安全服務中，除了包括可靠服務、認證對象服務之外，必要的控制服務也是非常很總要的。相應地，也將認證機制以及控制訪問機制建立了起來。

3 企業局域網系統安全設計規劃

建立防火墻和入侵檢測系統，成為了企業局域網絡系統安全設計的規劃方案。

3.1 防火墻技術

應用防火墻，可以保證信息安全。防火墻技術的功能就是阻攔一些不被允許的垃圾信息，因為這些信息容易對網絡造成干擾，有效組織可以避免出現信息上的濫竽充數?？梢姡阑饓Φ哪康木褪菍W絡之間的通信進行控制。

防火墻其實就是一種軟件或者是硬件設備的組合，將其安裝在企業信息網絡與Internet之間，可以在網絡信息相互傳送的過程中實現保護系統安全的作用。在兩個信任程度不同的網絡之間安裝適當的防火墻，可以防止重要的信息資源被非法存取和訪問。

3.2 入侵檢測系統

防火墻的作用是采用強制的方式，攔截不符合局域網絡要求的信息。那么，在企業的局域網絡信息系統中安裝入侵檢測系統，不但可以實現防火墻的黑客堵截功能，而且，還會對局域網絡內部的攻擊性信息進行監督。對于沒有被授權瀏覽的信息，依然會采取相應的干擾措施。

入侵檢測系統與防火墻相比，更具有優越性。作為一種動態的安全技術，其可以對計算機網絡以及計算機系統中風險系數比較高的關鍵點信息進行收集，并對這些信息進行技術分析和檢測。通過對于檢測記錄進行匯總，就可以從中判斷出一些信息所呈現出來的違反安全策略的行為。此時，入侵檢測系統就會啟動報警系統，同時阻撓不良信息的侵入。

3.3 建立入侵檢測系統與防火墻相結合的安全防護體系

將防火墻系統和入侵檢測系統充分地結合起來，可以達到加強網絡安全系統防護墻的作用。

具體操作上，首先要安裝防火墻系統，以使外部的入侵信息被過濾在局域網之外，從而達到基本的防護作用，此為企業局域網絡防止黑客入侵的第一道防線。之后，將入侵檢測系統進行安裝，形成防止黑客入侵的第二道防線。一旦有不良信息闖過防火墻，遇到了入侵檢測系統后，就會降低對信息網絡干擾力。而入侵檢測系統可以對黑客進行有效檢測，并啟動報警系統。這樣安裝系統防御設備，既可以降低保護局域網系統的風險系數，也可以將其工作負載降低。

3.4 防火墻系統和入侵檢測系統的組合安裝方式

防火墻系統和入侵檢測系統的組合安裝方式包括有兩種，一種是將入侵檢測系統嵌入到防火墻中；另一種是將防火墻或者入侵檢測系統開放一個接口，將兩者進行外部連接。

采用入侵檢測系統嵌入的方式，其數據并不是來源于數據包，而是流經防火墻的數據流；使用接口進行外部聯結的方式，則具有靈活性的優勢。很顯然，兩者不是簡單的疊加，而是技術性的組合。

4 總結

綜上所述，網絡信息的安全問題已經成為一種社會問題，如果不及時將局域網系統產生的安全問題分析。解決，那么對企業來說將是巨大的威脅。由于網絡安全一直處在不斷變化與動態發展的過程中，因此我們要及時掌握網絡變化的第一手資料，對現階段存在的各類病毒全面了解，以便制定出有效的防范措施，將網絡風險問題降到最低。

參考文獻：

[1]張麗肖，劉勁松，李超，柴文磊，李清霞.企業局域網系統安全的風險分析及設計規劃探討[J].信息與電腦（理論版），2011，16（08）：218-221.

篇（8）

隨著黑客技術以及計算機病毒的升級，電力數據網絡的安全性受到了很大的沖擊?；谶@一點，電力數據網絡在實際的應用過程當中，需要制定更有效的方案，規劃有效的安全策略，確保電力數據網絡能夠安全的運行。

電力業務的正常運轉需要通過計算機網絡的安全來保障，而電力信息化工程是計算機網絡的基礎設施，因此，需要進一步優化完善電力信息化工程。而電力系統在物力容災方面的防護措施相ν晟疲且提高了防止攻擊以及網絡防護等方面的安全措施，特別是應對黑客攻擊，當前盡管初步的防護系統已經構建，然而，因電力系統數據網絡在構建與管理過程中有效的指導嚴重缺失，再加上黑客技術的不斷升級，因此，在這樣面應有的效果還遠遠不夠，因此，對于這一方面如何做出優化升級，構建多層次的安全防護體系，依然是電力數據網絡發展過程中需要高度重視的內容之一。

本文通過對電力數據網絡的特點與應用展開分析，結合電力數據網絡的實際情況，提出有效的防護措施，確保電力企業網絡建設以及管理安全措施的構建，定為電力企業以及其他企業的發展提供相應的理論借鑒。

1 電力數據網絡的特點及應用

分級電力數據網絡在現階段的電力系統當中已經初步形成。就傳輸協議、硬件組成等各個方面，這與互聯網的相似性非常高，電力數據網絡的參考模式氛圍了七層，主要是應用層、表示層、傳輸層、網絡層、會話層、數據鏈路層、物理層組成。從組網方面來看，網絡資源具備了信息傳輸量的獨有優勢。從實際應用中來看，MIS、OA、電網調度自動化系統、發電廠、變電站自動化監控系統都是電力數據網絡的應用范圍，可見其應用空間的廣泛性。電力數據網絡所承載的內容有對外服務信息、視頻信息、語音信息、四遙信息等，而實時數據與非實時數據是根據安全等級、實時等級、業務類型等的不同來劃分的。

其中，實時數據所指的就是如微機保護監測、故障錄波、電量計費、水情、廠站和調度中間之間的實時數據等聲場控制類的數據。實時數據與電力生產調度之間的聯系非常緊密，且對數據流與速率沒有太大的要求，然而業務實時性要求非常強。而電力營運市場信息、網絡服務信息、MIS、OA等方面則指的是非實時數據。這些數據的實時性要求并不高，但是需要具備突發性與隨機性。并對保密性與速率等方面提出了很高的要求。此外，對于生產控制類數據之外的業務數據也需要覆蓋到。

2 電力數據網絡的安全性

二次系統在店里系統當中作為一種非常大的整體性的工程，電力數據網絡安全是其中最重要的組成部分。電力數據網絡實時系統承載這調度數據的業務，因此，外網絡覆蓋面非常廣泛，

并且對此提出了更高的安全性的要求。電力系統當中，安全等級較低的系統是不會對安全等級較高的系統帶來影響的。電力數據網絡中的非實時系統的要求沒有實時系統安全等級要求高。另外，對于電力調度與電力監控系統的安全防護提出的安全可靠的方案，是不能直接連接安全等級低的系統。因此，相應的原則要四種堅持，并提高電力調度與電力電控系統的安全系數。以往的單一的EMS隨著調度系統的進一步發展，延伸到現階段的調度生產管理系統、電力市場技術支持系統、遙測、故障錄播遠傳等方面。而電力數據網絡在調度自動化系統當中也起到了非常重要的作用，所以其安全性的要求非常的高。對接外網的時候，相應的隔離與加密處理需要做嚴格的處理，病毒防范工作也需要做進一步的優化完善。而網絡數據安全的內容包含了應用系統、網絡管理、訪問控制以及檢測、接入安全等方面。

3 電力數據網絡安全防護措施

3.1 規劃與設計

網絡規模大以及節點多是電力數據網絡所具備的，所以，需要提出更合理的規劃與設計?，F階段，多自域、分層、分級是電力數據網絡所采用的主要結構設計，主要有獨立的國家骨干網和升級數據網組成，其中包含了接入層、骨干層和核心層。數據網絡設計的時候，可靠性、實時性、網絡拓撲、業務等方面的設計需要充分考慮到。

3.2 技術措施

規劃電力系統安全方式體系以及數據網絡技術體系的過程中，需要嚴格按照實時性、可靠性、安全性等電力生產業務等數據網絡要求進行。而外網隔離的專用網絡以及與外網連接的企業內部網絡這兩類網絡是電力企業中主要的網絡類型。所以，網絡安全訪問控制技術、加密通信技術、身份認證技術、備份恢復技術需要在安全設計的過程中采用。

3.3 管理制度的完善

電力數據網絡所設計的管理環節非常多，因此，需要不斷的完善優化。詳細來說，就是可以通過對全網開展實施監管，確保電力數據網絡的全局性以及系統性。還需要加強人員的管理，提高網絡管理隊伍的整體素質。提高運行管理，優化完善相關的管理與安全制度。提高網絡安全相關的專業知識，針對這一點，可以通過聘請專業的網絡安全專家，并與其做有效的溝通，進而提高網絡安全技術。

4 結論

在現階段的電力系統當中，電力數據網絡的作用非常重要，且對電力系統的運行以及發展有著重要的意義。隨著我國網絡技術的進一步發展與廣泛的應用，網絡環境也越來越復雜。所以，也對電力數據網絡安全也提出了更高的要求。因此，我們要提高對電力數據網絡應用與安全性的重視程度，并制定有效的應對方案，并進一步優化電力數據網絡安全性，確保其能安全穩定的運行，以期可以為我國的電力事業貢獻力量。

參考文獻

[1]李俊娥，羅劍波，劉開培，周洞汝.電力系統數據網絡安全性設計[J].電力系統自動化，2013，11（02）：56-60.

[2]辛耀中，胡紅升，盧長燕，樊若雷.中國電力數據網絡建設和運行中應注意的四個關系[J].電力系統自動化，2011，10（01）：1-5.

篇（9）

（2）學生從大二第二學期才開始接觸到信息安全課程，在入學初期沒有培養起對信息安全的興趣，不了解信息安全的基本概念、重要性以及與信息安全有關的就業崗位，教師也沒有為學生科學地制定大學4年的學業規劃。

（3）隨著物聯網和云計算的普及，各種網絡安全攻擊手段和保障網絡安全的技術不斷推陳出新。目前，信息安全的一些專業課程還只是停留在基本原理的講解上，沒有做到與時俱進，很少講授前沿的網絡安全應用及其存在的安全隱患及解決方案。教師沒有引導學生利用發散性思維并投入到對前沿網絡技術和安全技術的研究中。

（4）缺少網絡安全工具實訓。現在很多網絡安全工具都是開源工具如Backtrack等，掌握這些工具需要花費大量時間，因此需要開設網絡安全工具實訓課程，讓學生掌握如何配置、安裝、使用和定制個性化的開源工具。

（5）缺少安全軟件設計等實踐課程。信息安全專業的學生除了要能夠利用安全工具進行系統安全測試外，還要掌握如何防御和解決系統安全漏洞，另外，還有很多學生希望從事安全軟件開發工作。這就要求高校設置安全軟件設計開發類的課程，幫助學生掌握安全軟件開發過程中所需的知識和技能。

（6）缺少創新思維的培養。國內大學生的創新性較歐美大學生有所欠缺，因此要注重信息安全專業學生的創新思維培養，并且要從大一開始就進行創新思維的鍛煉。

二、網絡安全教學中融入創新思維培養的實踐

結合東華大學計算機科學與技術學院培養信息安全專業學生創新能力的經驗，我們闡述如何從學生入學到畢業的4年間培養其創新思維和實踐能力。

2.1培養學生對專業的興趣

首先，我們要積極發揮班級導師的作用。網絡安全的任課教師可以擔任信息安全專業學生的學業導師，學業導師在學生入學后通過學習方法和學業規劃等主題開展學習交流會，在會上介紹網絡安全的知識結構、科學背景、發展趨勢、行業需求、就業領域，并引用前沿網絡安全技術和最新的網絡安全隱患案例和視頻，如利用智能手機安全漏洞和“云”查殺病毒技術等案例激發學生的興趣。興趣是學生的學習動力，學生是教學的主體，在教學中對課程的參與度高低直接影響整個教學成果，因此要提高學生的學習效率，首先要增強他們對網絡安全技術的興趣。導師應在易班網上學生活動社區或其他社交網站上建立網絡班級，保持與學生的日常溝通，為學生選課提供幫助；協助學生進行學習生涯規劃，同時為專業學習提供幫助；在網上班級設置“我的Idea”專題，讓學生在論壇里發表自己的創新想法，如要做什么樣的系統或軟件解決生活中遇到的一些問題。該階段學生還沒有實現這些軟件的技術能力，導師可以指導學生學習某方面的技術以實現這些有創意的想法。

2.2以賽代練，參與國家和市級大學生創新

項目和高水平信息安全競賽在創新實踐中，輔導員和學業導師起著非常關鍵的作用。學業導師都是計算機學院的在職講師或教授，他們可以把自己主持或參與的科研課題介紹給學生，讓學有余力的學生參與學業導師的課題研究，一方面培養學生的自學能力并積累科研所需的知識，另一方面培養學生的創新思維。輔導員和學業導師經常組織學生參加信息安全大賽，如全國大學生信息安全競賽和信息安全技能大賽。同時，為了鼓勵學生進行科技創新，東華大學計算機科學與技術學院每年組織學生參與全國和上海市的創新實踐項目申請，學生組團挑選專業課教師作為項目導師，共同探討創新課題、撰寫科技創新項目申請書并提交給專家組，學院組織專家評選20多個創新性高且可行性強的課題并給予資助，在大四上學期對給予資助的項目進行結題審核。學院鼓勵獲得上海市級以上大學生創新實踐項目的學生將創新實踐項目的實施與大四畢業設計（論文）相結合，獲得專利創新設計的學生還可提前完成畢業設計并參與創業基金項目的申請或到優秀企業實習。在這些科技創新項目中不乏優秀作品，如基于手勢識別的文檔加密系統的開發、基于Android的動態一次性口令生產器開發、基于Android系統的短信隱私保護軟件的開發等。學院每年舉辦的這種創新性競賽激發了學生的創新思維、團隊合作意識、項目管理和軟件設計開發能力。參與科技創新競賽學生的學習成績和項目實踐能力遠遠高于平均水平，同時他們的創新能力和工程實踐能力也得到廣大教師和實訓單位的認可，大部分學生獲得了直研和被優秀企業聘用的機會。

篇（10）

網絡上的中國安全現狀

“中國已經是一個網絡大國，但大而不強?！痹谑锥季W絡安全日“企業級信息安全技術高峰論壇暨中關村信息安全產業聯盟移動計算工作組成立儀式”上，國家信息化專家咨詢委員會委員汪玉凱表示，網絡大而不強有四個標志：中國信息化排名不斷下降；寬帶建設比較落后；自主創新動力不足，關鍵技術受制于人；我國不同地區間“數字鴻溝”問題突出。

據權威機構統計的數據顯示，目前我國互聯網用戶已經超過6億，同時互聯網企業的數量和規模正迅猛增長?；ヂ摼W技術和應用帶來的海量數據爆發性增長后，其安全問題逐漸顯現，各類網絡攻擊、信息泄密、網絡謠言等網絡安全事件頻發。諸如中國人壽80萬頁保單泄露，如家和漢庭等多家商業酒店用戶信息泄露、圓通速遞快件單信息倒賣等信息泄露事件等；“套餐竊賊”竊取70萬用戶信息、“支付鬼手”木馬侵害手機支付安全、三星Galaxy S4出現高危短信欺詐漏洞、新型詐騙短信威脅移動安全、百度云盤手機版高危漏洞等等。

另一個在網絡安全行業鬧得沸沸揚揚的是OpenSSL漏洞。目前多數SSL加密網站都是用名為OpenSSL的開源軟件包，其漏洞也被業界稱之為“心臟出血”。今年4月9日上午，北京大學和清華大學某項網絡服務被檢測到存在“心臟出血”漏洞，同時也監測到來自北京聯通的一個IP針對這些服務進行漏洞探測。360首席運營官譚曉生說，黑客通過“心臟出血”漏洞竊取數據，以64K為單位，一個包一個包地偷。SSL標準包含一個心跳選項，允許SSL連接一端的電腦發出一條簡短的信息，確認另一端的電腦仍然在線，并獲取反饋。除了PC網站之外，移動互聯網同樣廣受其害。

與此同時，隨著“斯諾登事件”的曝光，來自網絡空間上的全球爭奪戰也在打響。美國等大國紛紛加強網絡防御，加大在網絡空間的部署，國家級網絡沖突的風險進一步增加。其次，西方國家頻繁啟動貿易保護安全壁壘，信息安全也成為中興、華為等企業進入歐美市場的主要爭論焦點。

今年正好是中國全面接入互聯網20周年，各有關部門和行業負責人都對互聯網20年現象進行了熱烈的討論，其中一個重要問題也是網絡安全。工業和信息化部軟件與集成電路促進中心主任邱善勤表示，目前我國關鍵信息系統主要面臨設備被控、數據被竊及業務被癱三類威脅。在美國“金剛”面前，我國的信息化應用系統幾乎是“裸奔”狀況。

隨著信息化和網絡化的快速推進，各類網絡安全事件的影響程度將逐步加大，經濟信息安全問題日益顯現，網絡安全保障需求也在快速增長。我們迫切需要重視網絡安全發展戰略，提升網絡安全的保障能力，建起一張堅固可靠可信的安全網絡。

建立全面的安全網絡

2014年紐約時報爆出美國國安局竊取了華為的產品源代碼和上千名客戶資料，其數據量之大讓人吃驚。盡管這些數據造成的損失目前還未有公開的進行統計，但是估計其對華為的后續商業活動必將造成極大的影響。同時通過這一竊密事件，更反映了當前我國企業的網絡安全存在極大的漏洞。

在現實生活中，企業因為安全和信息化建設的不同步，造成的安全漏洞比比皆是。據記者了解，目前不少單位已經要求在信息化系統建設時同步進行安全規劃與設計，但在隨后的詳細設計及開發環節就開始“分道揚鑣”，從而導致信息系統的安全性與最初的規劃設計風牛馬不相及，要不就是在市場上隨便找些安全產品補補“漏洞”，最終結果是安全規劃設計形同虛設。

今年成立的國家網絡安全和信息化領導小組提出“網絡安全與信息化是一體之雙翼”，將安全與信息化提到同等重要的高度上。那么在大型政企信息化建設工作中，如何有效落實“一體雙翼”，真正達到“安全”與“信息化”齊頭并進的效果？改變現狀的有效辦法是必須在詳細設計及開發環節也要保持“安全”與“業務”的同步，將安全與應用在代碼級實現接口，并建立緊密相關的聯動機制，從而迫使兩者同步推進。

同時，自主信息產業生態環境建設要圍繞國家安全需要。特別是在集成電路、核心電子元器件、基礎軟件等核心關鍵技術領域取得突破，推動關鍵信息技術產品的國產化替代，在關系國家安全的重點領域有序開展國產產品和設備的替代工作。