首页 资料文库 期刊中心 杂志订阅 发表指南 个人中心
美章网 精品范文 网络安全总体规划范文

网络安全总体规划范文

网络安全总体规划

网络安全总体规划范文第1篇

关键词:新一代;银行;计算机网络;规划

中图分类号:TP311.13 文献标识码:A 文章编号:1007-9599(2013)01-0146-02

1 引言

我国金融电子化经过“六五”时期的准备和“七五”时期的基础建设,从无到有,获得了长足的发展。经过20多年的努力,我国已建成金融数据通信网络的基本框架并已开始运行各类金融业务。中国人民银行建设的全国金融卫星通信网是金融系统信息的主干线,目前已建成1个中央卫星地面站和几百个远程地面卫星小站。中国人民银行已在175个城市建立了同城资金清算系统,并陆续建成并运行了十几个以中心城市为依托的区域网。我国各专业银行和商业银行均建立了从总行到基层行的基于分组交换网、电传电报、电话专线等多种通信方式的系统内全国远程通信网络系统。电子化营业网点发展迅速,金融电子化已从大城市扩展到中小城市、县和乡镇。现代化支付系统、新型电子化服务等均取得了较大的进展。

然而,限于技术条件,我国金融电子化还有很长的路要走。具体到银行计算机网络领域,当前还面临四个方面的问题:一是网络架构问题,网络架构难以适应业务融合发展的趋势;二是网络安全问题,缺乏总体的安全策略、关键区域的安全防护措施不够、多层面的协同安全防控不够;三是网络管理问题,网络管理手段不够先进、管理体系尚不健全;四是网络服务问题,对服务融合、应用承载变化等支持不够。

新一代银行计算机网络系统规划原则,应从全局、长远的角度出发,充分考虑网络的安全性、易用性、可靠性、扩展性和经济性等因素,要符合“更安全、更高效、更集约、更方便”的绿色智能发展趋势。

2 新一代银行计算机网络架构规划

2.1 网络架构总体规划

新一代银行计算机网络应建设以总行为核心的树型网络结构;将目前分离的各网进行融合;各类服务集中上收到总行和一级分行;提升一级骨干网的链路带宽及综合利用率;提升全行网络的安全性、可靠性。在网络路由规划方面,应充分考虑各地的情况,因地制宜地采用OSPF路由协议、BGP路由协议或静态路由协议。

2.2 数据中心局域网规划

新一代银行数据中心局域网应遵循水平分区、垂直分层的原则进行建设。水平分区是将承载相似业务、具有相似安全级别的网络设备归集为一个网络分区,便于实施安全策略和最优数据交互。分区是根据安全性、可扩展性原则进行的,包括主机区、开放平台区、开发测试区、运行管理区、Internet区、Extranet区、用户接入区、城域/广域区等,各分区均支持系统和业务的平滑、灵活扩展。由于每个分区内部仍然有不同业务,可继续通过VLAN和IP地址再细分,进而实现不同安全细微差别控制和传输保障。垂直分层是将不同网络功能界定清楚,独立成为一个层面,包括核心层、分布层、接入层。其中核心层与分布层紧耦合,高效可靠;分布层与接入层松耦合,可以很好的支撑虚拟化资源池技术。

2.3 广域网规划

新一代银行广域网规划,核心网可概括为高速转发、业务分离、降低耦合、控制风险;一级骨干网可概括为就近接入、提高效率、缩短距离、节省投资;二、三级广域网可概括为层次化、扁平化、按需配置、带宽动态扩展多业务承载。

3 新一代银行计算机网络安全规划

3.1 信息安全体系架构

信息安全体系架构,从技术维度上讲,包括安全技术体系,具体有应用安全、系统安全、网络安全、物理安全。从管理维度上讲,包括安全组织与制度体系,具体有安全流程相关制度、安全策略相关制度、人员安全、安全培训、安全组织与职责等。从运行维度上讲,包括安全运行体系, 具体有安全运维服务机制、长期安全监督检查机制、安全运行学习改进机制等。

具体到新一代银行计算机网络安全体系,依据国家信息安全等级保护的标准、银监会和人民银行的监管要求以及行业特点,应从以下方面进行规划:安全域划分、网络访问控制、防火墙、访问控制列表、防拒绝服务攻击系统、虚拟专用网、网络设备自身安全、身份鉴别、特权用户权限分离、边界完整检查/入网检测、网络入侵检测系统、网络入侵防御系统、异常流量监测和网络审计系统等。

3.2 网络安全策略

新一代银行计算机网络安全策略,概括讲主要包括四个方面:一是网络安全域的划分,根据信息资产的安全属性及安全防护需求的不同,划分成不同的安全层次(即安全域),安全域内可以根据安全等级再划分安全子域;二是网络安全技术部署,根据要保护的信息资产重要性,在各个安全域中部署多方面的网络安全防护措施,实现多方面协同防护、纵深防护;三是网络安全管理,对整个安全防护体系的所有安全措施实施有效的监控管理;四是多层面协同工作,与其他技术条线协同工作,共建网络安全体系,实现对信息资产的全方位的安全防护。

4 新一代银行计算机网络管理规划

新一代银行计算机网络管理体系,应具备网络管理平台(包括网络性能管理、业务影响管理、网络事件管理等);网络服务平台(包括服务支持流程、服务提供流程等);网络操作自动化平台(包括网络操作管控、网络配置管控、网络授权管控等);网络运行质量分析平台(包括服务水平、网络可用性、网络连续性、网络容量规划等)。

5 新一代银行计算机网络服务规划

新一代银行计算机网络服务体系,应具备IP地址管理(包括IP地址管理规划等);应用交付(包括内容分发平台和应用等);网络应用规划(包括视频、语音、监控系统;无线网接入;Internet接入等)。其中,互联网与内部网有互联的应用系统(如网上银行),应用须在DMZ区落地;高安全等级接入用户(如境外机构接入),须增加VPN加密隧道等安全措施;外网邮件系统与内网严格物理隔离;严格执行网络准入策略,做好联网终端与信息点绑定等管理工作,保证联网终端的安全性。

6 结论

篇幅所限,本文仅阐述新一代银行计算机网络系统的宏观规划,具体的实施细节就不赘述了。在“科技创新、精细管理、持续改进、科学发展”的基础上,新一代银行计算机网络系统规划将为我国金融电子化的长期可持续发展打下坚实的基础,为我国银行业信息化建设作出新的贡献。

参考文献:

[1]黄杜英等.银行计算机系统[M].清华大学出版社.2011(2).

[2]帅青红.银行信息系统管理概论[M].中国金融出版社.2010(7).

[3]屈延文等.银行行为监管---银行监管信息化[M].电子工业出版社.2004(11).

网络安全总体规划范文第2篇

关键词:网络;信息系统;网络规划

中图分类号:TN711 文献标识码:A

前言:在当前市场化、信息化高度发展的今天,企业只有具备了强有力的信息、信息检索和信息管理系统,才能使企业在激烈的市场竞争中,充分掌握和利用信息,才能提高企业驾驭市场的能力,提高企业的核心竞争力。企业的信息化是当今世界经济和社会发展的大趋势,信息网络作为信息建设的核心,因而加大企业信息系统建设的网络规划势在必行。1、网络规划原则

通常企业涉及地域范围较广,信息化需求比较全面,数据量巨大,导致网络结构比较复杂,对带宽和安全性要求也比较高。此类信息网络的规划应遵循以下基本原则:

长远性和现实性相结合。既要兼顾企业的目前状况与长远发展等因素,放眼未来、统筹规划,又要具有可付诸实施的现实可行性。

全面性和针对性相结合。既要着眼全局、不能遗漏,又要突出重点,方案和计划具有较强的针对性。

整体性和阶段性相结合。既要制定整体发展规划、目标架构等战略性指导和实施策略文档,又要制定出体系实施的阶段性目标,分期分批实施。

先进性和实用性相结合。在信息网络规划方案、目标和要求、规定和制度、产品和技术、人员和知识等各方面,既要有先进性,又要有实用性。

开放性和可靠性相结合。应采用最新且成熟的系统软硬件等技术和产品。其各项技术应保证具有开放性、可移植性和可扩展性,同时,具有可靠性和稳定性。

完整性和经济性相结合。既要考虑采用的产品和技术在整体上具有完整性和一致性,又要尽量保护企业已有的软硬件投资,使得总体上具有更好的经济性。

易用性和管理性相结合。既要充分考虑系统的易用性,确保系统好用、可用与易用,又要考虑可管理性和可维护性。

安全性和合规性相结合。既要采用相关安全标准和等级保护要求,更要符合企业有关信息安全的管理制度、国家有关法令、SOX法案的有关要求。

总体来说,“技术可行,经济合理”是企业信息网络规划的最重要原则,不追求最新的技术,也不追求最低的成本。

2、系统安全体系设计要点

第一步要对网络做出一个比较全面的对于安全体系建设的规划,然后根据实际的应用状况,先建立一个“防护—检测—响应”的基础安全防护体系,保证基本的、应有的安全性。随着今后应用的种类和复杂程度的增加,再在原来基础防护体系之上,根据实际应用需求,从物理安全方面、系统安全、网络安全、应用安全等多角度建立安全防护体系,在时机成熟时建立数字认证体系和灾难备份系统,同时建立健全相应的安全管理制度,确保整个系统的安全可靠。

3、举例说明

下面结合某央企信息网络规划为案例具体分析企业信息系统建设的网络规划

3.1 背景介绍

该企业涉及建筑施工、机械制造、物流、房地产、酒店等多个行业,总公司设多个集团公司,其中有多个集团公司在全国多个省份都有各自的分支结构,部分集团公司在海外还有分支结构。机构组织的复杂性必然造成了网络结构的异常复杂。该企业信息化建设起步较晚,没有形成统一的规划,因此各下属公司都根据自身需要不同程度地建设了自己的骨干网和局域网。本次规划站在整个企业的角度,进行统一的、全系统的信息网络规划。

3.2编制范围

该规划涵盖该企业在全球的全部机构,实现一张覆盖全球的大网,统筹规划企业全球各机构的语音、视频、数据等业务通信需求,包括骨干网和局域网。

3.3现状分析

首先制定了详细的访谈提纲和调研表格,涉及硬件、软件、带宽等网络资源情况、应用系统情况、网络资费情况等。经过对总部各部门访谈和对各下属单位的详细调研,总结并分析出存在的主要问题:通过公众互联网传送企业内部信息存在极大的安全隐患,亟需建设企业专网;网络层面没有有效的安全隔离手段,安全性需要提高;系统没有进行IP地址统一规划,不利于公司后续的统一管理;各下属单位内部局域网的网络结构和安全性需要进一步优化,网络带宽不一,租赁费用不一,且接入运营商也不统一;网络运维力量薄弱,整体网络运维水平和规范性不高。

3.4需求分析

结合该企业信息化总体规划,梳理各应用系统带宽和局向需求。该企业将建立“覆盖全面、功能完善”的应用体系,总体应用架构贯通全系统组织体系,覆盖公司全部六大业务板块,整体搭建“五纵四横”九大应用平台,规划期涉及29个系统的建设,范围涉及总部至各下属单位及各分支机构的多个方向,同时也包括海外节点。

本项目采用自下而上的方法对骨干网的流量流向需求进行分析与估算,首先按照各板块集团公司的维度分别计算单应用系统的网络流量流向需求,然后对单应用系统的网络流量流向需求进行汇总叠加,得到各集团公司和三级单位的总体流量流向需求,具体计算方法如下:节点问流量一艺应用的单用户带宽峰值并发用户数。针对每个单位计算其需要访问的所有骨干网应用系统流量需求,汇总叠加该单位所有应用系统的流量流向需求后,形成其应用系统网络流量流向需求。

对于网络安全,结合行业标准、国资委对央企的网络安全要求以及企业自身的信息化规划,梳理企业信息系统对网络安全的具体要求。即要求企业办公网络与外网要进行必要的隔离措施,确保业务数据的安全性。对于网络线路、网络设备以及机房等设施要做到全部具备冗余备份,确保网络安全可靠厂

3.5 建设目标

该企业的网络建设要匹配企业各级机构和海外业务发展战略,满足企业未来 3 到 5 年业务高速发展需要"适应企业集团化管理的要求,网络基础设施资源共享,优化资源配置,提高效率,降低成本。满足内外部监管要求,遵从对上市公司的国际和业界法规,规范集团机构内部问信息共享、信息保护机制。

要充分利用各种组网技术的优点,为企业建设完善的企业基础网络,从而满足各级机构、施工现场、移动办公人员乃至海外分支机构日益增长的IT应用访问需求。在网络建设过程中,骨干网核心层网络要采用双链路平行连接结构并实行流量负荷分担,保障网络的安全性。

3.6规划方案

该企业信息化网络由局域网、骨干网和互联网接入组成 。各单位分别建设高带宽、安全可靠的局域网,分别租用数据专线连接互联网。企业骨干网的建设既要保证网络的高带宽,更要保证网络的安全性和可靠性,因此通过租用运营商SDH专线方式,建设覆盖三级以上机构的高质量SDH专网,近期先通过租用运营商数据专线方式组建企业VPN虚拟专网,同时进行全网IP地址规划。

3.7行动路线

按照企业信息化总体规划,结合各应用系统部署进度,将网络规划各环节按重要程度分步骤进行安排,具体时间进度如下:

结语

企业信息网络规划是企业信息化的重要前提,“技术可行、经济合理”是企业信息网络规划的大原则,企业对网络现状的分析和应用系统的需求梳理是规划的前提,技术方案的研究和建设方案的编制是规划的核心,风险应对举措和行动路线的制定是规划的落脚点,投资估算和分析是规划可实施的保障。在网络的广泛应用中,传播者和接收者已经没有了严格界限,因而网络传播问题也随着网络和技术的发展产生新的问题,所以关于网络传播问题的研究不是一蹴而就的,而是一个必须持续研究并且不断更新的过程。

参考文献

[1]罗皓菱.网络时代的麦哲伦—博客现象分析[J].文化研究,2005.5:36-40

网络安全总体规划范文第3篇

【关键词】IMS;规划流程;核心网

0 引言

由现在网络技术和其在以后的发展方向可以看出,IMS会成为下一代网络的核心技术,其可以使移动与固网融合,引进多种融合业务。IMS越来越被运营商接受,未来基于IMS的网络及业务应用将为用户提供更好的业务体验。IMS网络的优点突出,但同时建设的难度和风险也大为增加,这就对IMS的网络规划工作提出了更高的要求。本文对这方面进行讨论分析。

1 IMS核心网的总体结构

IMS网络是一个开放、分层的体系架构,整个网络包括业务应用层、核心会话控制层、承载与接入层和运营支撑等4个层面。由IMS网络提供统一的会话控制,采纳全IP的宽带承载方法;网络核心接入层同控制层之间通过标准的SIP接口协议,实现接入的无关性,可适应各种的固定移动、宽窄带接入方式;架构在核心网络之上的业务应用层接口更加标准和开放,业务能力部件向第三方网络开放,将便于新业务的快速成长和安排。

2 IMS核心网规划的前提条件

进行IMS网络规划和设计工作必不可少的前提条件包括IMS建网策略、用户及业务发展需求、技术发展预测等影响因素进行充分的分析是。

2.1 明确总体建网策略

对于固定运营商而言,由于受移动替代和VoIP的挑战,IMS建设重点关注于PSTN改造、IP语音及增值业务;对于移动运营商,则重点关注业务差异化及移动互联网的发展;对于综合运营商,重点关注实现固移接入融合业务以发挥全业务运营的竞争优势。

2.2 用户预测及接入类型分析

用户预测应首先根据上述网络建设策略以确定IMS终端用户类型。从IMS自身的网络特性来看,IMS用户是由多种不同的用户群体构成的。IMS用户可包括传统固网POTS用户、PBX用户、软交换IAD/AG用户、xDSL/xPON/LAN宽带用户、无线WLAN用户以及2G/3G移动CS及PS域用户等多种。因此,需要针对上述不同用户类型,在分别采用合理方法预测的基础上,对各种用户数进行累加,得到总的IMS用户预测规模。

2.3 业务需求的规划分析

IMS的网络规划建设必将以用户及业务为中心展开。规划前期需要对用户的业务需求及业务部署有一个详细的规划分析,明确目前市场上IMS相关业务的需求度及各省和各地区的差异,从而决定:哪些业务属于基本业务,可以全面部署;哪些业务属于特色业务,可以由个别有需求的省单独部署。IMS建网初期,可考虑针对集团、家庭和个人客户的业务需求,在全网提供多媒体电话业务、企业统一Centrex业务、多媒体彩铃业务;局部区域可开展融合一号通业务等自有特色业务。

2.4 业务模型分析

业务模型是用户在系统忙时的表现,它主要包括话务模型和信令模型2个方面。每种业务有自己独特的话务模型,话务模型包括每用户忙时话务量、各种业务的比例、话务的流向、业务速率、会话持续时长等指标;信令模型对于不同的业务来说具有普遍性,一般包括忙时注册(鉴权)/注销/订阅/通知请求次数、忙时呼叫次数、每呼叫消息数量以及消息长度等参数。有了这些业务模型,可以计算出每种业务的平均话务量和接口带宽,进而根据全网支持的总的用户规模数量计算出全网的话务量和对承载网的带宽需求,根据这些计算结果就可以作出最优化的网络规划和设计。

3 核心网的规划流程及规划内容

3.1 IMS核心网规划流程

IMS核心网规划应该是从业务需求入手,结合IMS网络特性,并充分考虑现网情况和演进策略等因素,按自顶向下,逐步分解的过程进行,IMS核心网规划流程基本包括以下几个步骤。

(1)确定IMS总体建网策略及制定网络建设原则、明确IMS的整体网络架构和总体规划思路。

(2)信息收集:包括现网网络信息、用户业务发展信息等,根据收集的信息对现网网络拓扑、网络容量扩展、承载网、业务发展等几个方面来进行详细分析。

(3)业务需求分析:对用户需求及业务部署进行规划分析,进行业务预测、取定业务模型及话务分布模型。

(4)网络资源规划:根据上述的现网分析和业务预测结果,进行网络开销预算及容量分析,结合现有IMS厂家的设备处理能力,进行合理的网络设置及资源分配。

(5)确定网络建设方案:对IMS网络具体网元的配置、容量、质量及安全性等方面进行分析及规划,包括核心网方案、业务网方案、接入网方案、承载网方案及网络安全方案等。

3.2 IMS网络规划的主要内容

IMS核心网规划设计工作主要包括以下内容。

(1)根据建设方要求,明确目标IMS网络需要具备的业务能力,并确定核心网规划建设总体原则,明确核心网技术版本和总体网络架构,确定相关总体建设原则。

(2)对现有网络情况、网络资源现状以及国内外其他运营商IMS网络商用部署情况进行调查分析。

(3)根据对现网及其他运营商IMS网络相关业务数据的采集分析,结合现网用户业务发展信息,进行IMS业务预测。

(4)进行网元节点设置的规划设计,具体包括HSS的设置方案、I/P/S-CSCF的设置方案、MGCF/IMS-MGW的设置方案、业务网AS的设置方案以及现网关口局等网元的改造需求方案等。

(5)进行IMS核心网络的网络组织方案的规划设计,包括IMS域内网络组织方案、IMS域间网络组织方案、IMS网络与业务平台的网络组织方案、相关IMS业务路由策略以及漫游/游牧方案等。

(6)进行IP承载网对接的规划设计,具体包括IP承载网的解决方案、核心网络与IP承载网互联方案、MPLSVPN的部署方案、不同业务QoS的保证策略、IP地址规划等。

(7)进行IMS核心网流量带宽计算和接口配置,主要包括核心网各网元间IP带宽需求计算、核心网元与业务平台AS间带宽需求计算以及核心网与接入网间带宽需求计算等。

(8)根据IMS网络容量设置,以及码号分配原则,对IMS用户的码号资源进行分配,包括用户标识、公共业务标识、信令点编码、APN等。

(9)提出核心网规划对相关配套资源的需求,具体包括对传输的配套要求、对同步网的配套要求、对信令网的配套要求、对局房的配套要求,以及对网管、计费、支撑系统改造等方面的要求。

4 核心网规划关注的相关问题

IMS核心网的规划和设计具体体现在以下几个方面。

4.1 网络结构规划

核心网采用何种网络结构将直接影响到整个网络的规划设计,目前IMS网络组织可采用2种方式,一种是单域集中式组网,另一种是多域分布式组网。单域组网即只集中建设全国性的IMS核心网网络及业务平台,省内建设IMS接入网和互通节点;多域组网即采用分省或分大区独立建设方式进行IMS部署。采用不同的组网结构所要求的IMS网络设备类型和数量都不一样,对业务部署和承载要求也有很大的差异。

4.2 漫游方式

移动IMS用户处于漫游状态时,所有会话业务均需路由至归属域网络的S-CSCF进行会话控制和注册服务,但对于以GPRS/WCDMA分组域网络作为IPCAN的IMS核心网,存在2种漫游方式。一种是IPCAN漫游(GPRS漫游),即通过漫游地的SGSN和归属地的GGSN为IMS用户提供IP-CAN接入,然后直接连接到归属网络的IMS域;另一种是IMS漫游,即用户附着在拜访地IP-CAN的GPRS/WCDMA分组网时,用户将通过拜访地P-CSCF接入到IMS网络,并由归属地S-CSCF进行用户注册和会话控制,漫游用户发起主被叫业务时,所有信令也均由拜访地P-CSCF进行转发。

4.3 网络安全保障

由于IMS核心网络采用全IP承载,且采取开放的网络架构,可以将语音、数据、多媒体等多种不同业务,通过采用多种不同的接入方式来共享业务平台,增加了网络的灵活性和业务互通性。但这也使得IMS的安全性要求比传统运营商在独立网络上运营要高得多,IMS的安全保障问题不容忽视。除了采取标准协议规定的IPSec、AKA鉴权等SA机制实现接入安全和网络安全外,IMS核心网规划中可将IMS核心网划分为多个安全域,包括接入网络域、核心网络域、承载网络域、业务应用域、运营支撑域以及与其他网络互通等安全域,对于各个安全域间采取各种隔离技术,包括物理隔离(如防火墙、SBC等)和逻辑隔离(MPLSVPN、THIG、VLAN)等,并执行一定的QoS控制机制,实现不同域间的信息拓扑隐藏、业务开关控制等功能,充分保障IMS核心网络的安全性和可靠性。

4.4 IMS核心网元的容灾建设

在IMS网络商用初期,建议对IMS所有核心网元(包括CM-IMS核心网元、AS、SBC、ENUM/DNS)均实现设备级容灾备份;CSCF、HSS、MGCF/IM-MGW要求实现网元级容灾备份。对于设备级容灾,主要功能模块可以采用1+1(N+N)方式,也可以采用N+1备份机制;保证单模块故障情况下,系统容量仍旧能够满足需求。若设备为服务器架构,应采用双机热备。

对于CSCF设备,建议采用1+1或N+1工作方式;在相关技术成熟的条件下,对于S-CSCF设备,可以采用池组(Pool)方式进行网元级容灾备份;对于MGCF/IM-MGW建议采用成对设置方式,并设置在不同局址;成对MGCF/IM-MGW采用负荷分担方式,为保证互通安全性,MGCF/IM-MGW应至少选择连接两个异网关口局设备。

5 结语

由上可见,文章主要分析和探讨了IMS网络规划流程、规划内容,对IMS规划设计中所涉及到的相关问题进行了研究和探讨,能够为以后的IMS网络规划和网络建设提供有益的借鉴和参考,对网络技术的发展有所裨益。

【参考文献】

网络安全总体规划范文第4篇

【关键词】网络规划设计;网络安全;网络管理;VPN

我在某集团公司总部的网络中心工作,原办公区网是2000年建成并投入使用的。随着公司经营生产的规模不断扩大,用户数量和应用量,都一直处于不断增长中,无论是网络规模、网络结构、设备档次,都无法满足现阶段的需求。在这个项目中,作为网络中心的负责人和技术骨干,我主要承担了网络整体规划与设计工作,并组织参与整个工程的招标、建设、监督、验收等工作。

在本次项目实施中,我们主要考虑以下几个关键因素:技术上可以平滑升级并具有一定的扩展性;公司核心网应具备稳定、高速、安全的特点;保护原有的投资、将原办公区网络设备降级使用,将其用到新网络的汇聚层和接入层,最大化现有投资的性价比。

一、结构化布线的方案

新办公区有三栋8层的办公大楼,分别是:主办公大楼、试验检测中心大楼、综合大楼。三栋大楼之间以8芯光缆实现互连。该网络工程要求办公楼内不的每台计算机都能够访问Internet,同时要求总部网与16个分公司实现VPN网络互联。我们在大楼进行结构化布线工程,以利于今后信息点的扩展。中心机房设在主办公楼四楼,采用集中走线的方式,网络主干采用8芯多模光纤1Gbps带宽,分支使用超五类非屏蔽双绞线,100Mbps带宽,双绞线的最长长度控制在90米之内,符合布线要求。根据实际需求,每间办公室布有3~4个信息点。

二、网络的层次结构方案

基于对原公司网的管理、应用方面的认识,同是参考主流技术和公司的需求,我们规划采用标准三层网络架构,以千兆以太网技术构建新办公区网络的核心层和汇聚层,接入层则采用10Mbps/100Mbps自适应技术。千兆以太网(IEEE802.3z)技术可以保证和公司原有百兆以太网兼容,满足了现有网络应用的需求,并在技术上保持一定的先进性,并具备进一步发展的灵活性和扩展性。三层网络架构使得网络结构变得更加清晰,功能设计完备,同核心层提供充分的可达性和数据的高速交换;汇聚层可以隔离网络拓扑变化,隐藏核心层和接入层的细节,提供路由汇聚;接入层可以具体的实施相应的接入控制策略。

我们在内外网边界处放置一台Amaranten F1800千兆企业级防火墙,同它进行内外网访问控制及地址转换。内网核心层采用两台Cisco6509三层交换机,两台Cisco6509之间又用链路聚合技术实现负载均衡,并互为备用,构成一个具有强大交换能力和冗余备份的核心层网络。核心交换机置于办公主楼两中心机房,汇聚层交换机置于各楼宇设备间,采用Cisco C3750,核心层和汇聚层交接机形成路由环路,用OSPF协议实现各子网之间的路由计算。接入层则采用了Cisco2950可堆叠交换机,具有较高的端口密度和接入控制能力。

三、IP地址规划、VLAN分布、路由规划

IP地址的分配应能体现公司的组织机构情况,节约和有效利用IP地址。我公司网络用到时25个C类地址段,因为16个分公司的用户数都没超过200人,我们给每一个分公司分配一个C类的地址段,分公司再根据其内部具体情况可以进一步划分子网。公司总部用到9个C类地址段,IP地址分配按区域逐层分配,以汇聚层交换机可汇聚为原则。服务器及网络管理等设备采用静态IP地址,其他办公人员的计算机采用动态IP地址方式,这样的IP分配方式便于管理,减少IP冲突,最大限度利用了IP地址。电信ISP给我公司分配了16个公网IP地址,这些地址用作内外网地址映射和对外的服务器地址。

VLAN(虚拟局域网)的合理布局有利于抑制广播流量,提高网络安全性。将公司的财务部、人力部、工程部、经营部和其他部门分别划分到不同的VLAN,采用基于交换机端口方式的VLAN划分,并为服务器组、网络管理、内部数据存储服务划分门的VLAN。VLAN之间通过核心交换机Cisco 6509实现不同VLAN之间的通信。

路由的规划既要基于IP地址分配和网络的分层,又要实现稳定的核心和高速的交换。在良好的IP地址分配策略、VLSM和VLAN配置下,路由表中的条目可达到最少,路由稳定、高效。我们在内部网络采用OSPF协议,实现各子网互访,在边界处进行内部网络路由重分布。

四、远程VPN访问的接入设计

为了实现总部与分公司网络的VPN互联,我们采用Juniper SA4000企业级VPN设备,用来验证和接入外网用户。SA4000是SSL VPN,它使大中型企业能够通过任何标准Web浏览器提供经济高效的远程接入。SA4000产品无需更改用户基础设施,提供丰富的接入权限管理功能,实现用户透明接入和资源共享。

五、网络安全设计

处于全网内外边界处的Amaranten F1800千兆企业级防火墙负责NAT和内外网之间的安全策略实施。FTP文件传输服务器、Mail服务器、Web服务器入DMZ区域中,公司内部数据存储服务器放入内部网,保证各种级别数据的安全,并在核心交换机Cisco 6509上设置相关的过滤机制来加强计算机安全性。

内网的应用的安全技术包括:服务器区访问控制、安全补丁服务器、网络版病毒服务器、主机系统安全、以及建立建全网络安全管理制度,并严格监督、执行。

六、网络管理

在网络管理方面,我们采用了基于HP OpenView IT管理方案, 以此为架构,并在它的基础上,对某些功能进行二次开发,形成的方案是包括网络、设备、计算机系统、数据库、应用程序等多个管理工具的统一监控平台,把网络系统平台由被动管理转向主动管理,被动处理故障变为主动故障预警,使得制度通过网络管理平台得以具体体现,管理平台使制度被来格执行。

新办公区的网络按照规划实施,建成后各项技术指标验收合格,自投入运行以来,工作状态良好,满足了日常工作各方面的需求。

参考文献

网络安全总体规划范文第5篇

关键词:通信网络;规划设计;安防工程

影响通信网络安全的因素主要是技术因素、环境因素。因此,安全的通信网络规划设计需要对这两个因素重点关注。要综合的分析考虑,进行整体性的规划,使通信网络的规划设计满足安全性的要求。

1通信网络的保障方式

通信网络包括网络信息以及用户信息,因此,通信网络的安全非常重要。通信网络的保障方式包括:(1)实时对信息的完整性进行监控;(2)确保信息传输的安全;(3)信息的操控需要进行身份认证;(4)设定安全级别,控制非法访问;(5)对信息的传输、操作进行实时、详细的记录。

2通信网络的安全需求

信息网络是信息传输的载体,在信息的传输过程没有被用户掌控,因此,用户会担心信息在传输过程中被非法访问、窃取、破坏等,因而产生了对通信网络安全的需求,也就是通过通信网络进行信息的传输,信息的机密性、完整性、不可破坏性能够得到相应的安全保证。

3通信网络安全分析

综上所述,必须要考虑通信网络的安全性,依据实际情况,进行安全的通信网络规划设计。安全的通信网络规划设计方案如表1所示。下面将从通信网络的安防工程、信息安全、网络安全、链路安全四个方面,对通信网络的安全进行具体的分析:(1)通信网络的安防工程。通信网络的安防工程是安全的通信网络的根本保障,为通信网络提供了一个安全的环境。其环境有以下几个明显的特点:传输设备随着信息的增多而增加,环境复杂化;空间容量随信息的增加以及通信网络结构的变化而逐渐增加;通信设备趋向于智能化、模块化;体积随着空间容量的增多反而逐渐减少。随着通信网络环境的改变,其规划设计对安全的要求也逐渐的提高,因此通信网络的安防工程显得十分重要。(2)信息安全。网络具有开放性的特点,导致信息的容易被非法非法访问、窃取、破坏等,因此,需要特别关注用户身份识别、信息的存储、信息传输等关键点,确保信息安全。例如,采取创建公钥密码的身份识别方式,确保信息的机密性;构建信息数据库,信息管理系统化,保证信息的完整性;对信息内容进行审计,对信息进行安全的管理,防止非法入侵破坏信息的完整性,保证信息的机密性。(3)网络安全。网络其开发性的特点,使之安全性受到一定的威胁。要达到网络安全的要求,需要对通信网络加强控制和管理。例如,可以使用防火墙技术将内外网络分离开来,对网络进行管理和控制,并不断根据实际的情况提高防火墙技术、加密技术、入侵检测等相关技术,提升网络安全。(4)链路安全。通信网络中链路安全会受到设备所用技术的影响。因此,应从以下几点加强链路安全:降低其维修的难度,对附加操作量进行一定的控制;保留网络本身的性能特点;为了实现系统的拓展,保持拓扑结构的原型;合理、合法的使用一些密码产品等。通过以上方法,对链路安全进行加密,信息送达后再进行解密。

4结束语

对于安全的通信网络规划设计,可以从以下五个方面入手:①对在通信网络中进行传输的信息进行加密设计;②针对通信网络入侵检测技术进行相关的研发,提升技术水平,提高通信网络的防御水平;③构建安全网管系统,确保通信网络的安全;④对通信网络中节点内系统进行重塑,提高安全防控能力;⑤对通信内部网络协议进行规划,确保通信网络内部协议的安全性,使通信网络安全运行。总而言之,进行通信网络规划设计时,一定要对其安全性进行科学、合理、深入的分析,采取具体措施提高通信网络的安全性,构建科学、合理,安全、稳定、高效的通信网络系统。

参考文献:

[1]陶卓.关于通信光缆网络线路规划设计问题的思考[J].通讯世界,2015,24:15~16.

[2]曹杰.试析电力光纤通信网络的规划设计的问题[J].中国新通信,2016,08:47.

[3]李克.电力光纤通信网络的规划设计问题探讨[J].信息通信,2016,08:217~218.

网络安全总体规划范文第6篇

【关键词】通信网络;规划设计;安防工程

影响通信网络安全的因素主要是技术因素、环境因素。因此,安全的通信网络规划设计需要对这两个因素重点关注。要综合的分析考虑,进行整体性的规划,使通信网络的规划设计满足安全性的要求。

1通信网络的保障方式

通信网络包括网络信息以及用户信息,因此,通信网络的安全非常重要。通信网络的保障方式包括:(1)实时对信息的完整性进行监控;(2)确保信息传输的安全;(3)信息的操控需要进行身份认证;(4)设定安全级别,控制非法访问;(5)对信息的传输、操作进行实时、详细的记录。

2通信网络的安全需求

信息网络是信息传输的载体,在信息的传输过程没有被用户掌控,因此,用户会担心信息在传输过程中被非法访问、窃取、破坏等,因而产生了对通信网络安全的需求,也就是通过通信网络进行信息的传输,信息的机密性、完整性、不可破坏性能够得到相应的安全保证。

3通信网络安全分析

综上所述,必须要考虑通信网络的安全性,依据实际情况,进行安全的通信网络规划设计。安全的通信网络规划设计方案如表1所示。下面将从通信网络的安防工程、信息安全、网络安全、链路安全四个方面,对通信网络的安全进行具体的分析:(1)通信网络的安防工程。通信网络的安防工程是安全的通信网络的根本保障,为通信网络提供了一个安全的环境。其环境有以下几个明显的特点:传输设备随着信息的增多而增加,环境复杂化;空间容量随信息的增加以及通信网络结构的变化而逐渐增加;通信设备趋向于智能化、模块化;体积随着空间容量的增多反而逐渐减少。随着通信网络环境的改变,其规划设计对安全的要求也逐渐的提高,因此通信网络的安防工程显得十分重要。(2)信息安全。网络具有开放性的特点,导致信息的容易被非法非法访问、窃取、破坏等,因此,需要特别关注用户身份识别、信息的存储、信息传输等关键点,确保信息安全。例如,采取创建公钥密码的身份识别方式,确保信息的机密性;构建信息数据库,信息管理系统化,保证信息的完整性;对信息内容进行审计,对信息进行安全的管理,防止非法入侵破坏信息的完整性,保证信息的机密性。(3)网络安全。网络其开发性的特点,使之安全性受到一定的威胁。要达到网络安全的要求,需要对通信网络加强控制和管理。例如,可以使用防火墙技术将内外网络分离开来,对网络进行管理和控制,并不断根据实际的情况提高防火墙技术、加密技术、入侵检测等相关技术,提升网络安全。(4)链路安全。通信网络中链路安全会受到设备所用技术的影响。因此,应从以下几点加强链路安全:降低其维修的难度,对附加操作量进行一定的控制;保留网络本身的性能特点;为了实现系统的拓展,保持拓扑结构的原型;合理、合法的使用一些密码产品等。通过以上方法,对链路安全进行加密,信息送达后再进行解密。

4结束语

对于安全的通信网络规划设计,可以从以下五个方面入手:①对在通信网络中进行传输的信息进行加密设计;②针对通信网络入侵检测技术进行相关的研发,提升技术水平,提高通信网络的防御水平;③构建安全网管系统,确保通信网络的安全;④对通信网络中节点内系统进行重塑,提高安全防控能力;⑤对通信内部网络协议进行规划,确保通信网络内部协议的安全性,使通信网络安全运行。总而言之,进行通信网络规划设计时,一定要对其安全性进行科学、合理、深入的分析,采取具体措施提高通信网络的安全性,构建科学、合理,安全、稳定、高效的通信网络系统。

作者:李英峰 张志科 单位:广州杰赛科技股份有限公司通信规划设计院

参考文献

[1]陶卓.关于通信光缆网络线路规划设计问题的思考[J].通讯世界,2015,24:15~16.

[2]曹杰.试析电力光纤通信网络的规划设计的问题[J].中国新通信,2016,08:47.

网络安全总体规划范文第7篇

关键词 城市轨道交通,网络化,建设要求

经过近20年的建设,上海已建成5条线总长约112km(运营里程123km,因含共线运营部分)的轨道交通网络基本框架。为适应城市经济快速发展的需要,实现轨道交通跨越式发展的建设目标,上海计划在近期内建成轨道交通基本网络。目前,上海轨道交通正处于网络化建设的快速发展时期。

1上海城市轨道交通网络化建设概述

上海市根据城市性质、规模、布局以及城市交通现状和交通发展战略,借鉴国际大城市的经验,完成了上海市轨道交通网络总体规划。规划的上海轨道交通网络由17条线路组成,其中市域快速轨道线4条,市区地铁线8条,市区轻轨线5条,总长约810km,其中中心城内(外环线内)长度约480km。上述轨道交通远景网络建成后,上海将形成以公共交通为主体、轨道交通为骨干的城市综合交通体系,轨道交通客流将占公交客流的50%左右。

2005年7月,国家发展和改革委员会批复并原则同意了上海市城市快速轨道交通近期建设规划确定的建设目标,即在2005—2012年间新建10个快速轨道交通项目(含既有线延长线),线路全长389km。按照上述发展思路和发展要求,至“十一五”期末,上海轨道交通网络总规模将超过400km,形成“中心区十字加环、中心城三横六纵、区八向辐射”的网络型态,届时轨道交通客流占公交客流的30%以上。

2 网络化技术特征分析

对城市轨道交通网络的认识可以从规划、建设、运营多角度来看。网络规划是描绘网络,是网络建设的指导;网络建设是编织网络,是网络形成的过程;网络运营是运转网路,是网络建设的最终目标。

网络规划是在城市总体规划和城市发展对交通需求的基础上编制的。网络规划指导网络建设,网络建设服务网络运营,网络运营服务社会;同时,网络运营会带动、促进和引导城市的进一步发展,而城市的进一步发展要求网络规划的不断优化和调整,形成了网络规划-建设-运营-城市发展的良性循环(如图1)。因此,网络规划的稳定是相对的。目前上海轨道交通网络的规划已经确定,正处于网络化建设时期。建设中如何体现为运营服务、运营为社会服务的宗旨,必须要对网络化的技术特征进行分析。

2.1 网络化的本质

网络化的本质体现在轨道交通网络的开放性、可扩展性和网络发展的持续性。

轨道交通网络的开放性表现在轨道交通网络与其他交通体系的有机衔接、相互支持、融合和一体化;同时,也体现在构成网络专业系统的技术接口的标准化、模块化和公开化。

轨道交通网络的扩展性表现在网络稳定是相对的,发展是绝对的(城市的发展以及其他因素变化),整个网络应具有可调整和可扩展的弹性特征;同时,网络系统技术具有可升级和可拓展的特征。

轨道交通网络的持续性表现在网络建设和运营应集约化和节约能源,网络的建设和运营成本的合理性和可经营性,网络发展应形成持久良性循环。

2.2 网络化的核心

轨道交通网络化的核心是要保证整个网络的安全、可靠和高效的运营。

网络的安全性表现在要保证乘客乘车的安全,保证车辆运行的安全,保证网络系统运转安全。

网络的可靠性表现在要保证整个网络整体运转平衡和网络运转系统的稳态。

网络的高效体现在网络管理的界面分明、层次清晰,网络管理的体系系统科学、流程固化,网络信息的交互准确、传递及时,以及网络整体运转的高效、成本合理。

2.3 网络化的支撑

1)管理体系

网络化的管理支撑围绕网络运营协调中心和应急指挥中心,需要建立从运营协调中心到线路控制中心再到车站自上而下完整固化的网络化运营管理流程。

2)技术体系

网络化的技术体系是指支撑整个网络安全、可靠、高效运转的技术支撑系统,主要包括供电系统,通信系统(包括传输系统、同步系统、交换系统、无线系统、电视监控系统、乘客信息导向系统等),信号系统,票务系统,命名与编码体系,综合信息平台,车辆与车辆基地,联络通道等。

3 网络化建设的要求

根据以上对网络化技术特征的分析,要实现轨道交通网络的安全、可靠、高效运转,必须加快建设网络层面的管理支持体系和技术支撑体系。

3.1 网络化建设的解决方案

围绕网络化的核心和技术支撑,轨道交通网络化建设需要在管理体系、技术基础平台、网络互联互通以及网络的资源整合与共享等方面提出解决方案(见图2)。 1) 管理体系

通过建设网络运营协调中心、网络应急中心、网络清分中心,构建轨道交通网络运营的高效运作管理体系。

① 整个网络确立“两层集中管理、三级分散控制”的网络运营管理业务架构,即建立网络管理层和线路管理层两个集中管理层,线路控制级、车站控制级和现场控制级三级分散控制体系。

② 网络运营协调中心负责网络各种运营状态下的运营指挥协调,建立列车运营管理信息、乘客信息、设备信息以及管理信息的平台;同时建立一套自上向下、各种运营状态下的、覆盖所有岗位的、固化的运营管理流程。网络应急中心负责紧急情况下网络运营的指挥协调,同时建立各种紧急状态下的应急预案。

③ 网络运营协调中心和网络应急中心实现网络监控与应急处置体系的集中与统一,实现网络运营信息的汇集共享,实现与其他交通信息的及时准确互通,实现与市应急中心和相关部门的同步快速联动,从而保障网络运转的安全、平衡、稳态。

④ 清分中心与上海市公共交通卡清算系统完全兼容,并实现联网结算。系统具备每天1600万人次的数据处理容量,具有实现5min内在线客流监督统计功能,能实现网络24h内票款的清算到账;可以适应多票种、多方案票价体系,以及适应复杂网络、多因素、综合优选的精确清分算法;同时系统采用模块化(插件式)设计,拓展性强、灵活性高,可适应网络持续发展和管理方式变化的要求。

2) 技术支撑基础平台

通过建立传输、交换、无线等网络支持系统,构筑网络运作基础平台。

网络传输采用层叠式传输网络结构,能适应不同时期、不同制式、技术升级等网络建设发展要求;无线系统采用数字集群技术,适应无线技术发展方向,同时具有与公务网互通的特性;交换系统适应轨道交通分组、分类用户管理的特点,网络采用交换机异地互备方式,系统可靠性高。

3) 网络互联互通

通过协调制式、统一标准、规划通道,最大程度实现网络互联互通。

互联互通首先是网络信号制式统一。整个网络统一采用基于通信的列车控制(cbtc)制式,为不同线路、不同信号供货商提供的cbtc系统之间的车辆的联通联运奠定基础;对当前集中建设时期,可以实现延伸线不同信号供货商提供的cbtc设备与既有线cbtc系统之间兼容,即实现延伸线不同信号供货商提供的车载设备、轨旁设备与既有线cbtc系统设备的兼容,并构成一个完整、统一的cbtc系统。

网络统一的无线系统、交换系统以及信息传输系统为整个网络实现互联互通创造了条件。

网络联络通道是实现网络互连互通的物理条件。上海轨道交通网络设联络通道29条,其中城轨23条,国铁6条。这些通道可以实现网络各线之间及与国铁的联络,同时各线的联络通道为网络车辆的统一调配和维修资源共享创造条件,与国铁的联络为网络提供了车辆和大型设备的运输通道。

4) 资源整合与共享

在互联互通基础上,通过网络统筹、系统整合,实现资源利用高度共享与集约化。

网络供电系统、控制中心与车辆基地的共享整合原则是:局部服从整体,近期结合远期,分期分步实施;共享后要确保功能,力求先进,实施的可操作性强。

①共享前网络需建设50个主变电站,整合后整个网络只需要建设39个,减少11个110kv受电点,少占22个公用电网110kv间隔,节约土地约1.3hm2,节省投资约15亿元。

②整合后全网络设8个控制中心和1个运营协调中心,分别设在:新闸路(1、2号线)、宝兴路(3、4号线)、颛桥(5号线)、民生路(6、18号线)、新村路(7、16号线)、中山北路(8、10、12号线)、虹梅路(9、15号线)、隆德路(11、13号线)、上海西站(14、17号线、兼运营协调中心)。

③全网络共设车辆基地32处,其中:7个车辆段,25处定修段(场)。整合后车辆基地7处。共享后节省土地约200hm2,同时可以实现设施和人力资源的相对集中,提高设施的利用率,为检修和管理的专业化和社会化创造条件。

3.2 网络化建设基本要求

轨道交通网络化建设的基本要求是:网络建设标准化、系统配置人性化、网络功能最优化、资源利用集约化、综合维修专业化、网络成本合理化、网络管理信息化以及网络效率最大化。

1) 网络建设标准化

网络建设标准化可以提高建设速度、控制建设质量、减低建设风险、方便运营维护、控制建设投资。

2) 系统配置人性化

系统配置人性化旨在改善网络系统环境,赋予网络文化内涵,提升网络服务质量,降低运营劳动强度。

3) 网络功能最优化

网络功能最优化是网络建设的基本目标和要求,网络功能要保证系统运转安全、保持系统平衡、维持系统稳态、提高运转效率。

4) 资源利用集约化

资源利用集约化可以有效利用城市土地资源,综合利用网络设施资源,集约利用管理维护资源,保证网络运营的可经营性。

5) 综合维修专业化

综合维修专业化、社会化可以集约利用维修资源,实现综合维修社会化,提高维修维护质量,降低运营维修成本。

6) 网络成本合理化

网络成本合理化重点着眼降低网络的全寿命周期成本,形成网络运营的良性循环发展。

7) 网络管理信息化

网络管理信息化能够保障网络信息交互传递及时准确,提高网络运营管理效率,确保网络运转安全高效。

8) 网络效率最大化

网络效率最大化主要是实现网络的最大运能,通过实现网络互联互通、高效管理以及合理运营,充分发挥网络效益。

4 结语

随着上海轨道交通网络化建设的迅速推进,网络系统综合统筹与共享已经成为网络化建设过程中的关键问题。通过网络管理体系、网络基础平台、网络互联互通和网络资源整合与共享的建设,建成安全、可靠、高效的轨道交通网络系统,以提升上海轨道交通网络的整体水平。

网络安全总体规划范文第8篇

关键词:证券行业 信息安全 网络安全体系

近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。

目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。

1 证券行业倍息安全现状和存在的问题

1.1行业信息安全法规和标准体系方面

健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。

虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。

1.2组织体系与信息安全保障管理模型方面

任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。

为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照iso/iec27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。

1.3 it治理方面

整个证券业处于高度信息化的背景下,it治理已直接影响到行业各公司实现战略目标的可能性,良好的it治理有助于增强公司灵活性和创新能力,规避it风险。通过建立it治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理it问题,自我评估it管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。

2003年lt治理理念引入到我国证券行业,当前我国证券业企业的it治理存在的问题:一是it资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是it治理缺乏明确的概念描述和参数指标;是lt治理的责任与职能不清晰。

1.4网络安全和数据安全方面

随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细

追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。

1.5 it人才资源建设方面

近20年的发展历程巾,证券行业对信息系统日益依赖,行业it队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有it人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的it治理工作指引中“it工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的it队伍肩负着信息系统安全、平稳、高效运行的重任,it队伍建设是行业信息安全it作的根本保障。但是,it人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。

2 采取的对策和措施

2.1进一步完善法规和标准体系

首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。

2.2深入开展证券行业it治理工作

2.2.1提高it治理意识

中国证券业协会要进一步加强it治理理念的教育宣传工作,特别是对会员单位高层领导的it治理培训,将it治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的it治理意识,提高他们it治理的积极性。

2.2.2通过设立it治理试点形成以点带面的示范效应

根据it治理模型的不同特点,建议证券公司在决策层使用cisr模型,通过成立lt治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以cobit模型、itfl模型等其他模型为补充,规范信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lt试点单位,进行it治理模型选择、剪裁以及组合的实践探索,形成一批成功实施it治理的优秀范例,以点带面地提升全行业的治理水平。

2.3通过制定行业标准积极落实信息安全等级保护

行业监管部门在推动行业信息安全等级保护工作中的作用非常关键.应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行督促。

2.4加强网络安全体系规划以提升网络安全防护水平

2.4.1以等级保护为依据进行统筹规划

等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划证券网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决证券行业网络安全问题的一个非常有效的方法。

2.4.2通过加强网络访问控制提高网络防护能力

对向证券行业提供设备、技术和服务的it公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固.降低系统漏洞带来的安全风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的安全性。

2.4.3提高从业人员安全意识和专业水平

目前在证券行业内,从业人员的网络安全意识比较薄弱.必要时可定期对从业人员进行安全意识考核,从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训,提高行业网络安全的管理水平和专业技术水平。

2.5扎实推进行业灾难备份建设

数据的安全对证券行业是至关重要的,数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上,针对自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。

2.6抓好人才队伍建设

证券行业要采取切实可行的措施,建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来,加强lt人员的岗位技能培训和业务培训,注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念,行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系,对信息技术人员进行科学有效的考评,提升行业人才资源的优化配置和使用效率,促进技术人才结构的涮整和完善。

3 结语

网络安全总体规划范文第9篇

 

关键词:证券行业 信息安全 网络安全体系

近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。

目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。

1 证券行业倍息安全现状和存在的问题

1.1行业信息安全法规和标准体系方面

健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。

虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。

1.2组织体系与信息安全保障管理模型方面

任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。

为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照iso/iec27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。

1.3 it治理方面

整个证券业处于高度信息化的背景下,it治理已直接影响到行业各公司实现战略目标的可能性,良好的it治理有助于增强公司灵活性和创新能力,规避it风险。通过建立it治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理it问题,自我评估it管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。

2003年lt治理理念引入到我国证券行业,当前我国证券业企业的it治理存在的问题:一是it资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是it治理缺乏明确的概念描述和参数指标;是lt治理的责任与职能不清晰。

1.4网络安全和数据安全方面

随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细

追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。

1.5 it人才资源建设方面

近20年的发展历程巾,证券行业对信息系统日益依赖,行业it队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有it人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的it治理工作指引中“it工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的it队伍肩负着信息系统安全、平稳、高效运行的重任,it队伍建设是行业信息安全it作的根本保障。但是,it人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。

2 采取的对策和措施

2.1进一步完善法规和标准体系

首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。

2.2深入开展证券行业it治理工作

2.2.1提高it治理意识

中国证券业协会要进一步加强it治理理念的教育宣传工作,特别是对会员单位高层领导的it治理培训,将it治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的it治理意识,提高他们it治理的积极性。

2.2.2通过设立it治理试点形成以点带面的示范效应

根据it治理模型的不同特点,建议证券公司在决策层使用cisr模型,通过成立lt治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以cobit模型、itfl模型等其他模型为补充,规范信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lt试点单位,进行it治理模型选择、剪裁以及组合的实践探索,形成一批成功实施it治理的优秀范例,以点带面地提升全行业的治理水平。

2.3通过制定行业标准积极落实信息安全等级保护

行业监管部门在推动行业信息安全等级保护工作中的作用非常关键.应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行督促。

2.4加强网络安全体系规划以提升网络安全防护水平

2.4.1以等级保护为依据进行统筹规划

等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划证券网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决证券行业网络安全问题的一个非常有效的方法。

2.4.2通过加强网络访问控制提高网络防护能力

对向证券行业提供设备、技术和服务的it公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固.降低系统漏洞带来的安全风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的安全性。

2.4.3提高从业人员安全意识和专业水平

目前在证券行业内,从业人员的网络安全意识比较薄弱.必要时可定期对从业人员进行安全意识考核,从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训,提高行业网络安全的管理水平和专业技术水平。

2.5扎实推进行业灾难备份建设

数据的安全对证券行业是至关重要的,数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上,针对自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。

2.6抓好人才队伍建设

证券行业要采取切实可行的措施,建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来,加强lt人员的岗位技能培训和业务培训,注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念,行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系,对信息技术人员进行科学有效的考评,提升行业人才资源的优化配置和使用效率,促进技术人才结构的涮整和完善。

网络安全总体规划范文第10篇

【关键词】高职院校体育馆;网络建设

目前,关于校园网络建设的讨论和探讨很多,但针对校园网中体育馆这个特殊对象的网络建设的研究却很少。而当代的体育馆建设又处于上升期,因此,我们有必要针对院校体育馆的网络建设研究进行下分析。

1.校园网建设基本理论

1.1 校园网建设的总原则

校园网的建设不同于其他局域网的建设,它受限于院校的个体能力和需求,总的而言,总原则不外如下几条:

1)实用性与先进性:校园网的建设首先要符合院校本身的财力、物力与人力,不能超出财政预算,也不能不为现有技术人员所掌握;同时,校园网的建设又要保持一定的前瞻性,要适量地应用最新技术,尤其是最新网络技术。

2)稳定性与可扩性:校园网的建设,同任何网络一样,必须稳定可靠,而不能出现经常性宕机、网络攻击等非稳定现象;同时,校园网的建设,又要保持一定的弹性,有利于在网络建设之后能进行适度更新与再建设。

3)可维护性与可管理性:建好的新校园网,要能为现有网络管理人员所用。[1]

1.2 校园网建设的总流程

校园网的建设流程,和任何网络工程一样,都包括可行性研究与计划、需求分析、系统设计、系统集成、系统测试与运行及维护等活动,期间,分别产生可行性研究报告、需求说明书、设计文档、项目书、测试报告等工程文档。[2]

2.高职院校体育馆的网络建设

参照校园网建设的基本理论,我们以某化工学院的体育馆网络建设为实例,进行具体说明。

2.1 建设背景

化工学院新建体育场馆,需要对场馆进行网络规划。在数字化时代的今天,如何在校园网的基础上营造多姿多彩的数字化氛围,这是作为院校网络管理者必须考虑的问题。

2.1.1 建设目标

具体为:网络需要具备主干千兆,百兆到桌面的能力;具备安全防御能力——接入层设备具备ARP防御功能;

有设备到终端的线路采用六类线缆铺设;接入层设备到汇聚设备之间通过光纤线路连接。

2.1.2 设计原则

体育场馆的网络建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保障服务,网络安全可靠,从而实现场馆内智能化的网络应用。所选用设备必须具备高性能、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。所有信息点全部使用6类布线系统。主干线路使用光纤,在满足实用的前提下做到线路冗余。

具体而言,化工学院体育场馆网络建设遵循以下基本原则:

1)高带宽:体育场馆内部新建网络为简洁的二层结构,即接入到汇聚,整个网络构架比较简单。为了保障全网的高速转发,新建网络的组网设计的无瓶颈性,在方案设计的阶段就要充分考虑到,同时要求汇聚交换机具有高性能、高带宽的特性,整网汇聚交换要求能够提供无瓶颈的数据交换。

2)高可靠:网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品;合理设计网络架构,制订可靠的网络备份策略,最大限度地支持系统的正常运行。

3)技术先进和实用:在保证满足网络使用需求的同时,要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。

4)可扩充:考虑到未来用户数量和业务种类发展的不确定性,要求学校核心机房增加的汇聚交换机具有强大的扩展功能,高效的。网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。

5)标准开放:技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠交换传送的需要;开放的接口,支持良好的维护和管理手段。

6)安全可靠:网络结构拓扑方便、灵活。要求支持动态地移动、加入及变化,根据不同客户组成逻辑网段,故要求有虚拟LAN的功能。具有灵活可控的安全管理手段,保证关键数据不被非法窃取、篡改或泄漏,并能满足安全防护规范的要求;安全的远程访问能力(Internet)。

2.2 整体设计

2.2.1 总体设计目标

我们在设计体育场馆网络系统时要综合考虑多种因素,包括未来的扩展、安全理念、应用类型等,同时为了保证网络的稳定,关键设备应当适度超前,满足未来几年的信息增长需求。综合布线系统应采用标准的布线规范,开放式的体系、灵活的模块化结构。系统应能适应于目前的应用,又能面向未来的先进技术;能方便的扩容、变更以适应不断发展的需要,从而保证了用户投资的长远利益和合理性。[3]

2.2.2 网络需求分析

针对本次体育场馆新建网络,本方案的总体设计思想是按照校园网的应用需求,力求为体育场馆的网络使用人员提供一个安全、先进、灵活,高带宽、高可靠性的多业务的网络平台。使得能够基于这个平台,实现外部Internet的快速访问,实现内部网络的连通,并为今后的发展打下良好的基础。[4]

1)骨干层设备需求分析:在网络中骨干设备担负着连接低层设备的工作,同时通过骨干设备的连接,形成一套完整的网络。对于网络的骨干设备同时需要对网络的接入层提供不同的网络层的路由规划和信息转发的功能,同时还需要保证不同级别的网络QoS。设备必须支持对不同部门的规划,如实现全网统一VLAN的规划等。对每个部门分配不同的VLAN并且针对不同VLAN实现不同的安全和控制的策略等。同时需要通过完全的三层策略来进行VLAN的终结和三层数据的交换工作,不建议全网全部采用统一网络协议进行规划,建议采用二层和三层协议相结合的方式共同实现网络的规划工作。

2)接入层需求分析:网络的接入是对用户直接进行数据透传的层次,但是由于网络的特殊性,本次的接入层主要是对一个局域网进行接入。对接入层概念就有了更新的解释。

对本次的接入层的主要需求的分析如下:

A.接入层用户数量大,直接产生大量的数据报文,通过三层的数据承载上来,同时造成碰撞域和冲突域,使网络瓶颈产生于网络的低层,直接影响接入质量。

B.接入层用户数量大,而所应用的数据种类繁多,多种网络业务流量的产生,包括组播业务的产生,对所接入的网络设备要求很高,使整个接入层产生了一个业务接入瓶颈。

C.网络的访问终结于共享数据的特定位置,因为接入层用户需要通过网络最终访问位于网络另一端的共享服务器,而多个用户同时访问远端的同一台服务器或者存在访问网络的其他节点的服务器,就需要这几个用户争抢网络带宽,使接入层瓶颈提升到核心层,造成核心层资源的浪费。并且根据网络流量的分析得出用户的访问方向是不规则的,网络一定会出现闲置的带宽的现象,如何规划路由将非常重要。

D.网络流量和网络流向是宽带网络的一个新瓶颈。对于宽带网络接入,接入层网络的通常是以新2/8原则来划分的,其中有20%的流量是在接入层交换机的内部进行交换的,而80%的网络流量是通过上联出口访问其他的网络设备。这里,就涉及到网络产生流量后,网络流向的问题,网络流向直接造成网络对于流量和流向所产生的网络瓶颈。

E.网络用户是局域网用户,实际接入的用户就是一个网络,那么对于不同网络之间的互访的安全性控制更是由为重要,同时各个不同的部门对本部门内部流通的部分文件是要求要有绝对的安全性的,对其他部门的用户的访问是分为很多的不同的级别的。同时对于关键性的资料,可能会采取完全隔离的做法实现对数据的保密性。

2.3 网络整体解决方案

在学校的核心机房中增加一台S7500E路由交换机,此台设备的增加主要从学校网络长远规划考虑,目前学校机房现有两台核心设备双机热备,新增一台设备,用来汇聚其它楼宇的线路。分担一部分核心的端口占用及负载。此设备可提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全。体育场馆内部的汇聚交换机选用一款三层多光口的千兆交换机,利用其高效、稳定、可靠的性能保障整个场馆网络畅通。所有信息点全部使用六类线铺设,接入层设备建议采用百兆二层交换机,通过802.1x、Guest VLAN、防ARP欺骗、防蠕虫病毒、防MAC地址攻击、智能绑定(一键绑定)、DHCP Snooping、ACL等一系列安全特性保证网络稳定的运行。

具体的网络拓扑结构图如图1。[5]

3.总结

通过此体育馆的网络建设,我们发现,在过程与方法上,体育馆的网络建设,基本可以采用校园网的建设流程与方法,并且,其骨干层必须在校园网整体建设的基础上进行。但是,体育馆的网络建设,也有它的独特性,比如它的接入层相对简单而又密集等。

参考文献

[1]陈永清.校园网络建设方案与策略[J].电脑知识与技术,2005(15).

[2]田丰,王自强.网络工程与实训[J].北京:冶金工业出版社,2007.

[3]胡同宇,曹哲新,邓涛.高校校园网建设现状与趋势[J].金华职业技术学院学报,2004(3).

[4]杨威等.网络工程设计与系统集成[M].北京:人民邮电出版社,2010.

网络安全总体规划范文第11篇

论文摘要:证券行业作为金融服务业,是一个高度依赖信息技术的行业。信息安全是维护资本市场稳定的前提和基础,没有信息安全就没有资本市场的稳定。介绍了维护好证券行业信息安全的重要意义,分析了行业信息安全现状以及存在的问题,并提出了相应的对策。

近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。

目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。

1 证券行业倍息安全现状和存在的问题

1.1行业信息安全法规和标准体系方面

健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。

虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。

1.2组织体系与信息安全保障管理模型方面

任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。

为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照iso/iec27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。

1.3 it治理方面

整个证券业处于高度信息化的背景下,it治理已直接影响到行业各公司实现战略目标的可能性,良好的it治理有助于增强公司灵活性和创新能力,规避it风险。通过建立it治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理it问题,自我评估it管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。

2003年lt治理理念引入到我国证券行业,当前我国证券业企业的it治理存在的问题:一是it资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是it治理缺乏明确的概念描述和参数指标;是lt治理的责任与职能不清晰。

1.4网络安全和数据安全方面

随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。

1.5 it人才资源建设方面

近20年的发展历程巾,证券行业对信息系统日益依赖,行业it队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有it人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的it治理工作指引中“it工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的it队伍肩负着信息系统安全、平稳、高效运行的重任,it队伍建设是行业信息安全it作的根本保障。但是,it人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。

2 采取的对策和措施

2.1进一步完善法规和标准体系

首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。

2.2深入开展证券行业it治理工作

2.2.1提高it治理意识

中国证券业协会要进一步加强it治理理念的教育宣传工作,特别是对会员单位高层领导的it治理培训,将it治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的it治理意识,提高他们it治理的积极性。

2.2.2通过设立it治理试点形成以点带面的示范效应

根据it治理模型的不同特点,建议证券公司在决策层使用cisr模型,通过成立lt治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以cobit模型、itfl模型等其他模型为补充,规范信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lt试点单位,进行it治理模型选择、剪裁以及组合的实践探索,形成一批成功实施it治理的优秀范例,以点带面地提升全行业的治理水平。

2.3通过制定行业标准积极落实信息安全等级保护

行业监管部门在推动行业信息安全等级保护工作中的作用非常关键.应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行督促。

2.4加强网络安全体系规划以提升网络安全防护水平

2.4.1以等级保护为依据进行统筹规划

等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划证券网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决证券行业网络安全问题的一个非常有效的方法。

2.4.2通过加强网络访问控制提高网络防护能力

对向证券行业提供设备、技术和服务的it公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固.降低系统漏洞带来的安全风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的安全性。

2.4.3提高从业人员安全意识和专业水平

目前在证券行业内,从业人员的网络安全意识比较薄弱.必要时可定期对从业人员进行安全意识考核,从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训,提高行业网络安全的管理水平和专业技术水平。

2.5扎实推进行业灾难备份建设

数据的安全对证券行业是至关重要的,数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上,针对自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。

2.6抓好人才队伍建设

证券行业要采取切实可行的措施,建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来,加强lt人员的岗位技能培训和业务培训,注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念,行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系,对信息技术人员进行科学有效的考评,提升行业人才资源的优化配置和使用效率,促进技术人才结构的涮整和完善。

网络安全总体规划范文第12篇

一、电子政务建设的指导思想、基本原则、建设目标和主要任务

(一)指导思想

以邓小平理论、“*”重要思想和科学发展观为指导,按照国家和省电子政务建设的总体部署和要求,以需求为先导,以转变政府职能、优化业务流程为主线,通过大力应用现代信息技术,不断提高行政质量和效率,提高政府经济调节和市场监管能力,提高政府社会管理和公共服务水平。以电子政务的发展带动信息产品制造业、软件业、信息服务业等信息产业,推动*产业结构的升级,加快实现经济体制和经济增长方式的根本性转变,全力推进*经济和社会又快又好地发展。

(二)基本原则

电子政务建设和应用要遵循“统一领导、统一规划、统一标准、统一建设”的基本原则。

(三)建设目标

争取用三年左右的时间,基本建成标准统一、功能完善、安全可靠、经济适用、操作方便的电子政务网络平台;建设和完善重点业务应用系统;实现各级政务部门信息共享和网上协同办公,实现政府与企业、政府与市民双向互动;基础性、战略性政务信息库建设取得重大进展;初步形成全市电子政务体系框架。

(四)主要任务

以*区行政中心为核心和主线,按照《*市电子政务建设总体规划设计方案》的要求

组织实施,包括基础网络平台、应用支撑平台建设和一系列电子政务应用。

二、电子政务建设的分工协作

电子政务建设由全市公共基础网络和应用体系、县(市)、区政务网络和应用系统两大部分组成,分别由市、县(市)、区政府、市各部委办局按照分工组织实施。

(一)由市信息化办公室承担的主要任务

1.统一扎口管理全市电子政务建设,研究和协调电子政务建设的重大问题,制定全市电子政务工程建设方案。负责全市电子政务建设项目的前期审议、可行性研究论证、采购招标、监督管理、验收和绩效评估。

2.建立健全与电子政务相关的规章制度和标准规范。

3.建设标准统一、功能完善、安全可靠的电子政务骨干网络平台,负责线路租用、网络设备购买及系统的集成。

4.建设OA、视频会议、行政审批、应急指挥、政务信息等通用业务应用系统。

5.会同各县(市)、区和市各部门规划、建设全市重点行业业务应用系统。

6.建设和整合政府门户网站,为各县(市、区)和市各部门提供链接到市政府网站的统一格式的网页模板(二级网站);对各二级网站的效率与质量进行考核。对现有的网站提供标准规范和技术指导,并逐步整合到市政府门户网站体系中。

7.加快制定全市政务信息资源库的数据标准和接口规范,组织和指导各相关部门开发建

设相应的数据库,并形成全市政务信息资源库;制定政务信息资源库的管理和使用办法,最大限度地保障政务信息资源的共享和安全保密。

8.加强对各县(市)、区和市各部门的政务信息化工作的指导和协调,确保各系统接口标准的统一,避免形成信息孤岛,减少不必要的重复建设与投资。

9.为各县(市)、区和市各部门的政务信息化工作提供技术咨询服务。

10.建立培训机制,重点抓好电子政务项目承担单位核心人才和骨干人才的培养,为各县(市)、区和市各部门领导及技术管理人员提供信息化知识与技能培训。

11.建立*市电子政务网络管理中心、政务数据中心、应急支援中心和数据备份中心,并制定应急技术方案和数据备份方案;制订和完善安全保障制度和保密制度,确保电子政务系统安全稳定地运行。

12.确定年度电子政务管理理论和实用技术研究软课题,加强电子政务的理论和技术研究。

(二)各县(市)、区承担的主要任务

1.按照全市电子政务建设总体规划的要求,做好本县(市)、区的电子政务规划。

2.负责建设和维护本级政务网络

各县(市)、区负责建设辖区内的政务城域网络;新建的行政办公大楼按照两套网络独立布线,其中一套备用,不上网络设备;辖区城域网城区部分按照10/100M有线网络规格建设,镇(街道)接入可采用ADSL(必须以专网方式接入)、DDN专线、光纤等方式;保证与市政务网络的联接与安全。

3.按照全市统一规划的要求,负责规划、建设和管理本县(市)、区专业数据库系统和专用应用系统。大力推进电子政务公共应用系统在本县(市)、区的应用,主要是内网网站及办公自动化系统、视频会议系统、政务信息系统、数据共享与交换平台等系统的推广应用。

4.根据上级对口业务部门信息化建设工作的要求,做好纵向业务系统的开发、应用和维护工作。

5.运行管理好本县(市)、区政府门户二级网站,根据规模、功能和栏目设置需要,配备足够的专职技术、采编和管理维护人员。各县(市)、区负责对本区域拥有的各类数据进行收集、整理和加工,随时更新和维护本县(市)、区的专业数据库。

6.做好本县(市)、区工作人员计算机基础理论和操作技能的普及培训工作,做到信息化知识和技能的“应知应会”。

7.制定本县(市)、区计算机使用、网络使用和应用系统使用的安全保密规定和管理办法,确保系统的安全和信息的保密。为保证信息安全,所有信息不得通过政务网络传递,存储信息的计算机不得与政务网络相连。

(三)市各部委办局承担的主要任务

1.按照全市统一规划的要求,负责建设和维护本部门局域网和二级网站。各部委办局接入市电子政务骨干网络平台的政务局域网,按照网络安全的要求,只允许通过市电子政务网络平台访问国际互联网(Internet)。

2.加快推进内网网站及OA系统、邮件服务系统、视频会议系统、数据共享与交换平台等电子政务应用系统在本部门的应用。在政务管理工作等方面,实现办公电子化、网络化和自动化。

3.按照全市统一规划的要求,负责规划、建设和管理本部门专业数据库系统和专用应用系统。按照统一的标准和数据接口,接入全市数据共享与交换平台,实现资源与信息共享。

4.负责组织开发或推广纵向业务系统。配合上级业务主管部门,推广应用好指定的业务系统(“金字工程”)。

负责本部门数据和信息的采集、加工与更新维护。安排专人负责对本部门各种信息进行采集,并通过市政府网,同时负责对本部门拥有的各类数据进行收集、整理和加工,随时更新和维护本部门的专业数据库。

6.做好本部门工作人员计算机基础理论和操作技能的普及培训工作,做到信息化知识和技能的“应知应会”。

7.制定本部门计算机使用、网络使用和应用系统使用的安全保密规定和管理办法,确保系统的安全和信息的保密。为保证信息安全,信息必须由指定的计算机进行存储,所有信息不得通过政务网络或其它网络传递(GPRS、CDMA、3G等无线接入方式),存储信息的计算机不得与政务网络相连。

8.结合各自业务范围,积极配合并参与制定政务信息资源库的数据标准和接口范围。

三、电子政务建设的总体进度

按照全市电子政务建设总体规划,电子政务建设分二个阶段实施。

(一)一期工程建设

*年,组织实施一期工程建设,主要内容包括:基本建立统一的电子政务网络平台,完成*区行政中心网络工程,建设连接市委、市人大、市政府、市政协和*区行政中心内市级党政部门的骨干通信网络,建设连接*区行政中心和各市级党政部门、各县(市、区)的骨干通信网络;基本建立应用支撑平台;基本完成整合“中国*”政府门户网站,基本完成办公系统、公文交换系统、网上审批系统、应急指挥系统、公务员电子邮件系统、视频点播系统、视频会议系统等重点应用系统的建设;初步形成电子政务网络安全体系,基本建成*市CA认证中心;初步建立政务信息资源中心。

(二)二期工程建设

*年至*年组织实施二期工程建设,主要内容包括:完善全市电子政务网络平台的建设,在一期工程建设的基础上,根据规范要求扩展电子政务城域网的接入范围;完善应用支撑平台的建设;完成电子政务网络安全体系和CA认证中心,初步形成异地容灾备份中心的规划方案;基本完成系统集成平台、地理信息系统的建设,完善应急指挥系统和其他已建立的应用系统;完成政务信息资源中心的建设;完成《网络安全接入规范》、《公文交换规范》、《数据交换规范》的制定工作。

通过两个阶段的工程建设,使*市电子政务整体应用水平达到“省内一流,国内先进”。为基本实现政府网上协同办公和在线服务,全面提升各级政府的经济调节、市场监管、社会管理和公共服务的能力和水平奠定基础。

四、电子政务建设的保障措施

(一)加强领导,统筹规划。电子政务建设是一项系统工程,必须在市信息化工作领导小组的统一领导下予以全力推进。必须突破传统的管理格局,确立跨部门的组织架构;必须建立协同工作机制,形成良性互动局面。市信息办作为*市信息化工作的主管部门,负责*市电子政务系统的规划、建设和管理,负责指导和协调各县(市)、区和市各部委办局的政务信息化工作,并提供相关的技术支持。各县(市)、区和市各部委办局要做好本县(市、区)本部门信息化工作的规划、建设和管理工作,加强电子政务应用系统的推广应用和人员培训工作。

(二)建立技术支持和顾问保障机制。电子政务是一项技术性极强的工程,为了保证技术的先进性、实用性和前瞻性,要聘请国内的相关专家担任顾问,并选择国内技术实力强、经验丰富的单位作为技术支持单位,为*市电子政务工程提供长期的技术咨询服务。

网络安全总体规划范文第13篇

关键词:广域网;网络技术;网络建设;安全策略;网络管理

中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)04-0800-03

网络升级改造建设方案,先要从自己的业务的需要出发,对单位的IT进行统一的规划,规划和实施的原则一般为“服务业务,统一规划和分布实施”。其次从网络的总体架构开始分析,确定子网、资源子网、网络安全子系统和存储子系统之间的关系,确定数据库及应用软件系统与网络、服务器以及存储子系统之间的关系,最后要在对网络协议选型、IP地址规划、安全策略设计、网络管理设计、网络环境设计、网络设备选型等各方面作出详细的分析之后,最终才能建设一个高可靠性、可扩展性、安全性、可管理性的网络。

1 网络建设总体设计方案

总体设计方案直接影响网络升级项目的成败。一般先从公司网络现状,公司网络总体结构,对现网存在问题进行分析,制定项目目标,在此分析的基础上设计出总体方案。

1.1 公司网络现状及存在问题

公司现有近千台计算机及设备与网络相连,网络已具备相当的规模。

经过几年的信息化建设,公司已完成且正式运行的系统有: WEB、MRPII、PDM、电子商务采购系统、财务系统等。随着信息系统的不断投入使用,对网络的传输速率、网络管理、信息系统的规划提出了更高的要求。

目前的网络交换产品基本上采用的是联想天工系列的产品,共有40余台,楼与楼及楼层间均采用62.5/125um的多模光纤,主干只使用了100M通道汇聚技术。

对VLAN的划分是完全基于MAC的方式来进行的。网络交换产品与现有主流交换厂商某些协议上无法兼容,为网络扩展带来障碍。

各VLAN间的通讯是通过重复加载MAC元素来实现的,而不是通过三层路由;且网上的广播量大。用户容易遭受病毒和蠕虫攻击。

1.2 项目目标

根据业务运行的高可靠性、高扩展性、高安全性、可管理性等方面需求,公司网络改造项目制定出以下目标:

1) 对公司核心网络的结构进行层次化和模块化的改造调整,建立明确的功能区域; 整个网络结构控制在三级交换的范围,形成核心交换机、楼宇汇聚交换机、桌面交换机三层结构;

2) 对公司的接入安全及核心网络进行优化改造

3) 楼宇间之主干带宽提升至千兆,并采用聚合技术,提高网络传输速度;

4) 按地域划分VLAN,减小广播包的影响范围,提高网络对异常状况的抗击能力;

5) 进一步强化网络内部和边界安全,逐步实现对来自内部和外部的任何非法操作和任何攻击的监控和防范;

6) 网络具有良好的可扩展性:随着网络规模和应用的扩展,网络的总体架构和管理模式不会受到影响。

1.3 网络结构设计方案

公司改造后的网络总体结构是典型的三级结构:其中核心层交换机为思科高性能的路由交换机Catalyst 6509,该设备配置了24口1000M光纤模块连接6台汇聚层交换机,配置了48口10/100/1000M自适应电口模块连接服务器(如主域服务器、ISA服务器、公司认证服务器等),汇聚层交换机为6台Catalyst 3560,每台交换机配置了2个1000M光纤端口通过链路聚合的方式上联至核心交换机,还配置了24个10/100/1000M自适应电口与接入层交换机相连接;接入层交换机为若干台Catalyst 2960,该交换机配置了2个10/100/1000M自适应电口上联至汇聚层交换机,另外配置了24个10/100M电口供用户提供接入。天融信防火墙防止互联网对内部局域网的端口攻击;服务器Isa提供内部上网权限控制;接入层设备作为接入用户的802.1x的认证,与radius认证服务器和AD域集成,按照用户业务单元或者部门动态下发VLAN。网络拓朴见如图1。

1.4 路由协议设计及IP地址规划

链路状态路由选择协议用于大型网络中,因为它们更新路由选择表的方法占用的网络资源较小,本次网络项目采用OSPF作为全网的路由协议。

为了便于网络的管理,根据用户所属地域或组织单位来划分IP与VLAN

例如172.23.0.0的B类地址划分了6个接入子网,每个子网对应一个Vlan和对应的组织单元。

2 操作系统平台设计

公司服务器、主机大多是Windows操作系统,因此系统架构基于活动目录平台搭建,采用微软的Windows2003活动目录建立了统一的身份管理平台;可统一管理域用户和计算机、打印机等对象。在活动目录平台下可实现用户权限的统一分配和安全管理,使得网络中的各种网络对象可以得到有效的管理。

2.1 活动目录的设计及部署

由于用户的信息(比如域帐户)都是存在活动目录数据库中,因此不需要在每个客户端上创建帐户信息。通过将计算机加入到域中,即可赋予不同的用户通过不同的计算机登陆,而不需要在每台计算机上创建用户帐户。

公司网改采用域的管理模式,与下级部门使用同一个.cn域。以实现员工信息的集中化管理。具体示意图如图2。

3 网络安全设计

3.1 终端内部安全设计

网络内部的安全实现的设计思想是,首先根据一定的划分原则将内部网络用户划分到不同的VLAN,工作Vlan区、修复Vlan区及访客Vlan区等几个VLAN,每个Vlan分配独立的IP地址空间。根据应用的需要,对VLAN之间的通讯进行控制。

通过交换机的动态VLAN管理(802.1x+Radius)的功能完成网络管理员对用户端口认证和授权的管理,防止以太网端口即插即用造成的潜在威胁,提高系统的可维护性。

通过这种方式可以防止非本公司人员通过办公室的以太网端口连入内部网,给内部网络造成威胁。

并对可以正常接入局域网计算机的健康状态进行检查(主要包括:系统补丁、防病毒软件状态、文件共享设置等进行检查)。对于不符合安全策略的终端进行隔离,只有在修复区将漏洞修复完之后,才能切换到工作区得到工作区的IP地址,访问工作相关的网络资源。具体示意图如图3所示。

3.2 局域网边界安全设计

公司局域网的边界安全由内、外两道防火墙组成,采用硬件天融信防火墙与ISA应用防火墙建立了企业级背靠背的防火墙体系,通过安全规则的设置,禁止外网直接访问内部局域网;内网通过NAT( 地址转换)实现与互联网的连接。具体示意图如下图4所示。

3.3 网络割接技术方案

如果说方案是基本,那么割接就是项目的保障,公司网改造项目方案的具体实现。

3.3.1 网络割接方案设计

网络割接准备工作,割接前期的准备工作包含机房电源、空调、电缆、光缆、设备机架等各就各位,制订割接方案,方案要描述割接中需要进行的各项任务,还包含各项任务的时间表。为保证公司网络的正常运作,割接方案必须以不能影响现有业务的正常运行为第一大原则

公司网改一般是在旧网的基础上升级,所以一定要定义了两网并存的割接方案,通过路由建立两网互连,在割接阶段,两网客户能够享有同样的访问权限。

3.3.2 割接步骤

第一步:为保证网络的过渡,做正式割接之前,按照机房搬迁后的网络结构设计,建设基础架构平台,检查路由协议、联通性,测试业务系统的正常运作,确认,保证新的网络平台与老网络平台实现互联互通。

第二步:安装并配置好Radius服务器,并从Windows域控服务器中同步所有用户资料信息,将用户从老交换机逐步连接至新的交换机。

第三步:网络割接注意事项

1) 按照影响用户使用最小、风险最小原则,采用客户端分步迁入新网。

2) 为保证关键系统正常运行,公司新机房运营商和子公司光纤在全部客户迁入新网后最后熔接。

4 结束语

网络改造工程高质的完成,关键在于对自己需求的了解,有超前的网络技术整体设计方案支撑,从规格、管理软件、安全防护等方面进行整合和统一,加上网络割接的保障,大幅度提升整个网络的安全性与可管理性。把网络系统从单纯的运营成本转变为有核心竞争力的应用基础。

参考文献:

[1] 陈鸣.网络工程设计教程:系统集成方法[M].2版.北京:机械工业出版社,2008.

[2] 谢希仁.计算机网络[M].5版.北京:电子工业出版社,2008.

[3] CCNP学习指南.组建可扩展的Cisco互连网络(BSCI)[M].3版.

[4] 袁连海,董文.局域网组建与维护[M].北京:人民邮电出版社,2004.

网络安全总体规划范文第14篇

关键词:企业网络规划;网络安全;安全管理

随着互联网技术的发展,企业网络规模不断扩大,企业网的运行安全性更加重要。但是企业网运行中安全时间频繁出现,严重影响企业业务的发展,保障网络安全已经成为企业迫切需要解决的问题。

1企业网络规划和安全管理需求分析

公司网络系统成立初期以经营业务为主,建网时间长,部分设备陈旧,网络不安全因素来自本身安全缺陷和认为因素。企业网络均由单个节点构成,所有的工作站和服务器通过双绞线联入交换机。信息中心部署在信息部,形成星状网络结构。每层办公地方设置节点。信息点分布需求方面,每层办公楼设置节点,与信息面板连接。在网络规划中,需要满足企业网的需求,一方面实现网络隔离技术限制部门的访问,另一方面实现防火墙技术配置策略设置规则。同时网络信息的传输要求能够实时监控。网络上资源的访问通过资源具有的IP地址实现,地址划分应该满足简单性原则、连续性原则,地址分配剂量简单,避免采用复杂掩码,同一区域需要采用连续分配网络地址方便管理。

2网络规划设计

网络拓扑结构设计分为核心层、接入层和边界层,核心层由三层交换机组成,接入层由二层交换机组成,边界层设计中,需要使用入侵检测系统和防火墙系统保证安全。公司与下属公司的信息安全传输通过专用网连接VPN实现。IP地址分配。将企业各个部门划分为独立的VLAN,并配置相应的网关和网段,为方面增加日后信息点,不划分子网,采用子网掩码方式。行政部IP地址172.16.10.0/24,方案所IP地址172.16.11.0/24,建筑所IP地址172.16.12.0/24,结构所IP地址172.16.13.0/24,给水排水所IP地址172.16.21.0/24,暖通所IP地址172.16.16.0/24,电气所IP地址172.16.17.0/24。核心层和接入层设备配置Vlan,创建核心交换机,制定名字,进入配置模式,制定IP地址,配置STP、ACL、DHCP,并配置聚合链路。企业内网都可以访问互联网,内网交换机设置中采用防火墙策略,路由器和防火墙建立IPSECVPN隧道,遵守最小介入原则优化和细分安全策略。先进入到防火墙端口,核心层三层交换机连接防火墙s3g,核心二层交换机连接防火墙s3g2,由于核心层承接企业核心业务,因此将接口等级设置为高安全等级,并且将连个接口设置在trust区域中。外来用户访问来自外网,属于非信任区,因此将安全等级设定为低等级。设置防火墙静态路由器,保证内网服务区能够通过防火墙访问外网。配置防火墙策略路由器,根据优先等级设置链路,链路切换通过探测机制实现。设置防火墙安全策略,将不同区域设定为不同的安全等级和IP地址。配置防火墙VPN,在总部防火墙和下级防火墙建立IPSeeVPN隧道。入侵检测系统实现信息传输监控,并能够终端隔离有害信息。在建设初期将检测系统设定为透明桥模式。终端和服务器安全管理系统设置中,设置补丁管理、终端桌面管理、文件审计管理等,防治ATP攻击,过滤恶意URL,加速补丁修复,管理资产、单点维护,实现移动存储管理等。

3安全管理分析

利用网络安全性技术保护网络系统安全。网络系统安全管理设计中分析系统安全技术,从硬件设计、非法用户入侵、网络安全等角度进行分析。硬件设备安全是保证系统安全可靠的基础,系统硬件设备组成部门包括工作组交换机、服务器、工作站等,硬件设备的安全性还取决于设备本身的性能。数据中心机房安全设计中,要求根据实际情况进行装修,设置接地和防雷装置,并配备UPS。总配线设置中应充分考虑电磁干扰因素,机房温度适宜,湿度维持在30~50%。在机房设置独立接地系统,安装合适接地端子,要求天花板高度在2.5米以上。安全管理做好病毒防护工作。利用全范围企业防毒产品,集中保护网络电脑,采用病毒防护技术、程度内核安全技术保护数据。病毒防护方案中实施统一监控和分布式的部署方式,公司根据实际情况制定防病毒策略和计划,总公司负责全网病毒定义码、将升级文件分配到相应的服务器。提交被隔离的文件,并进行扫描引擎。通过广域网集中控制和管理病毒管理服务器,在必要时,直接管理下级公司病毒服务器。针对公司线以后的管理体制和系统架构,设计二级管理中心来复杂病毒防护系统的实施。公司复杂局域网防病毒软件安装,制定防病毒策略,监控局域网防病毒状态,下属负责自己局域网监控,并作出响应。建立统一分级管理病毒管理体系,用来存储网络病毒事件,了解病毒发生地方、过程、事件、危害以及处理等。同时在管理中心成立响应中心和安全事件管理中心,根据网络可能需求部署安全产品,如入册检测系统、防火墙、扫描系统等。同时建立垃圾邮件过滤系统方案,外部发来邮件先经过DNS解析后发送至IMSS,有效查杀邮件传播病毒。对设计系统进行测试和维护,测试结果显示网络规划能够确保挽留过安全。在后期维护中主要负责网络正常运转。

4结语

综上所述,文章在分析企业网络需求基础上进行网络规划,满足企业网安全需求,实现交互数据交换。企业网络规划安全管理中,安全管理最为企业重要组成部分,同样需要建立管理制度,促使员工遵循使用规则,避免病毒入网。

引用:

[1]关天柱.中小型企业网络规划及安全管理的研究[J].电脑知识与技术,2010,06(9X):7197-7198.

[2]甘丽,胡昊.中小企业内网安全管理的研究与实现[J].计算机技术与发展,2013(8):122-124.

网络安全总体规划范文第15篇

网络经济安全简而言之,就是网络经济的平安、没有危险。具体说,网络经济安全由网络经济安全和经济安全两要素结合而形成一个整体。从网络安全来说,是要求在分布式网络环境中,网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,确保系统能够连续可靠地运行,网络服务不中断。从经济安全来说,就是要求包括国民经济、区域经济、产业经济、企业经济在内的不同层次、不同行业、不同所有制的经济整体和组成部分的经济运行、经济活动正常进行,合理的经济收益得到安全保障,而不受到威胁。网络经济安全的内涵应该包括国家网络经济安全与区域网络经济安全、产业网络经济安全与企业网络经济安全、金融网络经济安全(或网络金融安全)与财税网络经济安全(或网络财税安全)、运用网络从事经济活动企业的经济安全与网络设备生产与服务的企业的经济安全、电子商务经济安全与网络广告经济安全,等等。要达到网络经济安全,要从网络安全与经济安全两个方面及其两者结合上进行研究和实践。对上述三个路线图进行比较分析。路线图1和2是比较容易操作的路线,路线图3是理想的路线,但在实践操作上需要进行多方面的统筹协调。

二、网络经济安全的特性考察

一是总体性与结构性。网络经济安全是个总体概念,它是一个系统,它的建设和实现是一个系统工程。它具有系统性和总体性的特征。同时,它又具有多层级、多层次的特征。从总体上说,有网络的安全,既有网络技术安全也有经济的安全。从层级说,有国家的网络经济安全,也有区域的网络经济安全;有产业的网络经济安全,也有企业的网络经济安全。从网络经济安全来说,有TCP/IP协议组的安全,也有WEB网络服务的安全[2]。不同结构、不同层次的网络经济安全组成了网络经济安全体系。二是技术性与管理性。网络经济安全的对立面是网络经济的风险,网络经济的不安全。网络风险的产生原因有两个方面。一方面是技术因素,例如,计算机硬件安全、操作系统安全、网络技术安全、防火墙技术入侵控制,黑客攻击与防卫、TCP/IP协议组安全,WEB网络服务安全等方面的风险因素。另一方面是管理因素。例如,网络经济安全系统评价,网络经济信息安全管理,网络经济安全设计,网络经济安全,法规与道德伦理等风险。而要规避和防范网络经济风险,实现网络经济安全,也应从技术方面和管理方面及两个方面的结合上采取措施。因此,网络经济安全既具技术性特征又具管理性特征。三是博弈性与可控性。就是说网络经济安全存在安全性与风险性的博弈,同时又是可控制的。安全和风险是一对矛盾,共同存在于网络经济之中,网络经济存在多种风险性,有事故风险、技术风险、市场风险、投资风险、效益风险、管理风险等多种风险,为了防范和规避风险,就要进行安全与风险的博弈[3]。而在安全与风险的博弈中,我们又是可以控制的。我们可以采取管理方面和技术方面的综合措施、对策、政策,使网络经济风险掌握在可以控制的范围之内,以实现网络经济安全,这种可控制的能力和可控的措施就是网络经济安全的可控性。四是经济性和社会性。网络经济安全的一个重要特性是它具有的经济属性。它既具网络安全的属性,又具有经济安全的属性———经济性。经济性要求网络经济安全具有有效性、效益性、比价性、价值性。同时,网络经济安全与社会及社会发展密切关联、互相影响,其中的一个重要问题就是网络经济安全与社会道德、社会伦理密切相关,网络经济安全需要良好的信息道德建设。五是长期性与艰巨性。网络经济安全问题是个长期存在、永不消逝的管理问题[4],只要我们运用互联网从事经济活动就存在网络经济风险的不安全因素。同时由于网络与网络所具有的开放性和动态性特点,使网络经济安全目标的实现增加了难度,使其具有艰巨性的特点。网络经济安全有重要意义。最近,指出,没有网络安全就没有国家安全,没有信息化,就没有现代化[5]。网络经济安全的重要意义具体说,首先它可以使网络经济活动处于一种正常安全状态,不受到威胁。同时,网络经济所具有的经济性特点,要讲求效率和效益,因此,网络经济安全有利于网络经济活动,和经济效益的提高。有关研究报告指出,中国网络安全问题每年经济损失数百亿美元[6]。这从另一个侧面表明网络安全和网络经济安全的经济意义和重要性。

三、网络经济安全存在的问题和原因

在网络经济安全建设方面。我国已经做了许多工作,但还存在不少问题和困难。主要有:———规划设计不完备。在网络安全和网络经济安全上还缺少战略规划和多层次设计。因而缺少网络安全的战略目标、战略原则、战略重点、战略措施,也缺少从国家到区域多层次、多方面的具体规划设计。这样既缺少总体战略指导文献,又缺少具体实施规则。———统筹机制不完善。网络经济信息安全问题涉及上下左右的方方方面面,需要多方位的统筹协调。目前国家已成立了中央网络安全和信息化领导小组,国内外相关人士认为这有重大意义[7]。但目前各有关区域和部门落实中央领导小组要求的规划、机构、人员还不健全。———产品设备有漏洞。网络经济是运用计算机的经济。由于计算机技术本身就是一种不尽完善和不断发展的先进技术,其信息产品自身的漏洞存在机器硬件、操作系统与软件网络之中。这些“漏洞”和“缺陷”使得病毒与黑客等不安全因素可以利用其传播和攻击,因而带来网络经济安全问题。———经济信息不保密。在经济活动中很多经济信息、商业信息应该是保密的。但由于对经济信息管理不严和难以区分是否应该保密的界限,而带来网络经济安全问题,导致个人、企业、产业乃至国家经济信息失密和经济安全信誉问题。———商业模式需创新。由于网络技术、新技术发展很快,而创新了许多高附加值的新业务,对传统商业模式、经营模式提出新的挑战,产生巨大冲击。要求在网络安全、服务质量和盈利模式上都有发展。要求网络技术和网络管理创新发展。否则就不能适应不断发展中的网络经济和网络经济安全的需要。———链条环节缺互动。网络经济是集软件设备、网络运营、系统集成、业务应用、终端服务等各环节为一体的网络与经济集群系统。目前网络经济及其安全各个环节还缺少良性互动,上下游企业合作松散,缺乏规范的约束手段,既影响了各自和整体效应,也使网络经济风险有机可乘,影响网络经济安全。———诚信建设需加强。目前,互联网上的行为缺乏有效约束,诚信问题较为明显。国家互联网信息中心CNNIC的有关报告显示,超过七成的网民愿意使用免费的安全软件。而近八成的网民对于网上提供的个人信息安全有担忧。可见网络诚信直接影响到网络经济和网络经济安全问题。———法律法规不健全。尽管我国已建立了某些信息安全、网络经济安全的法律法规,但随着互联网技术、网络经济的快速发展,原有的法律法规需要健全与完善,并增加其可操作性。产生上述问题有五个方面原因:一是认知上的原因。有些地方和企业领导比较重视网络经济的发展,而忽视网络经济的安全问题。有些部门和企业比较重视互联网经济的经济利润,而忽视网络经济安全问题。这种观念和认知上的偏差既影响了网络经济的健康发展,也影响了网络经济的安全。二是体制上的原因。这正如新加坡国立大学东亚研究所所长郑永年所指出,中国过去在网络管理上,职权分散,容易形成部门主义,在网络安全、网络经济安全管理出现“空档”和“重叠”现象不利于网络经济安全问题的很好解决。三是投入上的原因。网络经济安全是需要资金、人力、物力投入的。但是,一般来说,都重视对网络经济发展的投入,而忽视对网络经济安全的投入,使网络经济安全投入的机制和动力较弱,影响了网络经济安全问题的解决。四是技术上的原因。网络和网络经济安全本身的安全技术有两个方面:一方面是网络本身的安全技术,如各种加密软件,防火墙技术,身份认证体系等。另一方面是自主开发,安全的计算机芯片和操作系统。上述防护手段也存在安全问题,就是所谓的“后门”问题,因而产生严重的信息安全和网络经济安全问题。五是管理问题。管理上存在漏洞或现有的管理手段还难以进入调节控制其相关领域、环节,是网络经济安全的问题产生的重要和主要原因。

四、加强网络经济安全的对策和建议

精品推荐
扩展阅读
推荐期刊