网络安全规划方案篇1
【关键词】imS;规划流程;核心网
0引言
由现在网络技术和其在以后的发展方向可以看出,imS会成为下一代网络的核心技术,其可以使移动与固网融合,引进多种融合业务。imS越来越被运营商接受,未来基于imS的网络及业务应用将为用户提供更好的业务体验。imS网络的优点突出,但同时建设的难度和风险也大为增加,这就对imS的网络规划工作提出了更高的要求。本文对这方面进行讨论分析。
1imS核心网的总体结构
imS网络是一个开放、分层的体系架构,整个网络包括业务应用层、核心会话控制层、承载与接入层和运营支撑等4个层面。由imS网络提供统一的会话控制,采纳全ip的宽带承载方法;网络核心接入层同控制层之间通过标准的Sip接口协议,实现接入的无关性,可适应各种的固定移动、宽窄带接入方式;架构在核心网络之上的业务应用层接口更加标准和开放,业务能力部件向第三方网络开放,将便于新业务的快速成长和安排。
2imS核心网规划的前提条件
进行imS网络规划和设计工作必不可少的前提条件包括imS建网策略、用户及业务发展需求、技术发展预测等影响因素进行充分的分析是。
2.1明确总体建网策略
对于固定运营商而言,由于受移动替代和Voip的挑战,imS建设重点关注于pStn改造、ip语音及增值业务;对于移动运营商,则重点关注业务差异化及移动互联网的发展;对于综合运营商,重点关注实现固移接入融合业务以发挥全业务运营的竞争优势。
2.2用户预测及接入类型分析
用户预测应首先根据上述网络建设策略以确定imS终端用户类型。从imS自身的网络特性来看,imS用户是由多种不同的用户群体构成的。imS用户可包括传统固网potS用户、pBX用户、软交换iaD/aG用户、xDSL/xpon/Lan宽带用户、无线wLan用户以及2G/3G移动CS及pS域用户等多种。因此,需要针对上述不同用户类型,在分别采用合理方法预测的基础上,对各种用户数进行累加,得到总的imS用户预测规模。
2.3业务需求的规划分析
imS的网络规划建设必将以用户及业务为中心展开。规划前期需要对用户的业务需求及业务部署有一个详细的规划分析,明确目前市场上imS相关业务的需求度及各省和各地区的差异,从而决定:哪些业务属于基本业务,可以全面部署;哪些业务属于特色业务,可以由个别有需求的省单独部署。imS建网初期,可考虑针对集团、家庭和个人客户的业务需求,在全网提供多媒体电话业务、企业统一Centrex业务、多媒体彩铃业务;局部区域可开展融合一号通业务等自有特色业务。
2.4业务模型分析
业务模型是用户在系统忙时的表现,它主要包括话务模型和信令模型2个方面。每种业务有自己独特的话务模型,话务模型包括每用户忙时话务量、各种业务的比例、话务的流向、业务速率、会话持续时长等指标;信令模型对于不同的业务来说具有普遍性,一般包括忙时注册(鉴权)/注销/订阅/通知请求次数、忙时呼叫次数、每呼叫消息数量以及消息长度等参数。有了这些业务模型,可以计算出每种业务的平均话务量和接口带宽,进而根据全网支持的总的用户规模数量计算出全网的话务量和对承载网的带宽需求,根据这些计算结果就可以作出最优化的网络规划和设计。
3核心网的规划流程及规划内容
3.1imS核心网规划流程
imS核心网规划应该是从业务需求入手,结合imS网络特性,并充分考虑现网情况和演进策略等因素,按自顶向下,逐步分解的过程进行,imS核心网规划流程基本包括以下几个步骤。
(1)确定imS总体建网策略及制定网络建设原则、明确imS的整体网络架构和总体规划思路。
(2)信息收集:包括现网网络信息、用户业务发展信息等,根据收集的信息对现网网络拓扑、网络容量扩展、承载网、业务发展等几个方面来进行详细分析。
(3)业务需求分析:对用户需求及业务部署进行规划分析,进行业务预测、取定业务模型及话务分布模型。
(4)网络资源规划:根据上述的现网分析和业务预测结果,进行网络开销预算及容量分析,结合现有imS厂家的设备处理能力,进行合理的网络设置及资源分配。
(5)确定网络建设方案:对imS网络具体网元的配置、容量、质量及安全性等方面进行分析及规划,包括核心网方案、业务网方案、接入网方案、承载网方案及网络安全方案等。
3.2imS网络规划的主要内容
imS核心网规划设计工作主要包括以下内容。
(1)根据建设方要求,明确目标imS网络需要具备的业务能力,并确定核心网规划建设总体原则,明确核心网技术版本和总体网络架构,确定相关总体建设原则。
(2)对现有网络情况、网络资源现状以及国内外其他运营商imS网络商用部署情况进行调查分析。
(3)根据对现网及其他运营商imS网络相关业务数据的采集分析,结合现网用户业务发展信息,进行imS业务预测。
(4)进行网元节点设置的规划设计,具体包括HSS的设置方案、i/p/S-CSCF的设置方案、mGCF/imS-mGw的设置方案、业务网aS的设置方案以及现网关口局等网元的改造需求方案等。
(5)进行imS核心网络的网络组织方案的规划设计,包括imS域内网络组织方案、imS域间网络组织方案、imS网络与业务平台的网络组织方案、相关imS业务路由策略以及漫游/游牧方案等。
(6)进行ip承载网对接的规划设计,具体包括ip承载网的解决方案、核心网络与ip承载网互联方案、mpLSVpn的部署方案、不同业务QoS的保证策略、ip地址规划等。
(7)进行imS核心网流量带宽计算和接口配置,主要包括核心网各网元间ip带宽需求计算、核心网元与业务平台aS间带宽需求计算以及核心网与接入网间带宽需求计算等。
(8)根据imS网络容量设置,以及码号分配原则,对imS用户的码号资源进行分配,包括用户标识、公共业务标识、信令点编码、apn等。
(9)提出核心网规划对相关配套资源的需求,具体包括对传输的配套要求、对同步网的配套要求、对信令网的配套要求、对局房的配套要求,以及对网管、计费、支撑系统改造等方面的要求。
4核心网规划关注的相关问题
imS核心网的规划和设计具体体现在以下几个方面。
4.1网络结构规划
核心网采用何种网络结构将直接影响到整个网络的规划设计,目前imS网络组织可采用2种方式,一种是单域集中式组网,另一种是多域分布式组网。单域组网即只集中建设全国性的imS核心网网络及业务平台,省内建设imS接入网和互通节点;多域组网即采用分省或分大区独立建设方式进行imS部署。采用不同的组网结构所要求的imS网络设备类型和数量都不一样,对业务部署和承载要求也有很大的差异。
4.2漫游方式
移动imS用户处于漫游状态时,所有会话业务均需路由至归属域网络的S-CSCF进行会话控制和注册服务,但对于以GpRS/wCDma分组域网络作为ipCan的imS核心网,存在2种漫游方式。一种是ipCan漫游(GpRS漫游),即通过漫游地的SGSn和归属地的GGSn为imS用户提供ip-Can接入,然后直接连接到归属网络的imS域;另一种是imS漫游,即用户附着在拜访地ip-Can的GpRS/wCDma分组网时,用户将通过拜访地p-CSCF接入到imS网络,并由归属地S-CSCF进行用户注册和会话控制,漫游用户发起主被叫业务时,所有信令也均由拜访地p-CSCF进行转发。
4.3网络安全保障
由于imS核心网络采用全ip承载,且采取开放的网络架构,可以将语音、数据、多媒体等多种不同业务,通过采用多种不同的接入方式来共享业务平台,增加了网络的灵活性和业务互通性。但这也使得imS的安全性要求比传统运营商在独立网络上运营要高得多,imS的安全保障问题不容忽视。除了采取标准协议规定的ipSec、aKa鉴权等Sa机制实现接入安全和网络安全外,imS核心网规划中可将imS核心网划分为多个安全域,包括接入网络域、核心网络域、承载网络域、业务应用域、运营支撑域以及与其他网络互通等安全域,对于各个安全域间采取各种隔离技术,包括物理隔离(如防火墙、SBC等)和逻辑隔离(mpLSVpn、tHiG、VLan)等,并执行一定的QoS控制机制,实现不同域间的信息拓扑隐藏、业务开关控制等功能,充分保障imS核心网络的安全性和可靠性。
4.4imS核心网元的容灾建设
在imS网络商用初期,建议对imS所有核心网元(包括Cm-imS核心网元、aS、SBC、enUm/DnS)均实现设备级容灾备份;CSCF、HSS、mGCF/im-mGw要求实现网元级容灾备份。对于设备级容灾,主要功能模块可以采用1+1(n+n)方式,也可以采用n+1备份机制;保证单模块故障情况下,系统容量仍旧能够满足需求。若设备为服务器架构,应采用双机热备。
对于CSCF设备,建议采用1+1或n+1工作方式;在相关技术成熟的条件下,对于S-CSCF设备,可以采用池组(pool)方式进行网元级容灾备份;对于mGCF/im-mGw建议采用成对设置方式,并设置在不同局址;成对mGCF/im-mGw采用负荷分担方式,为保证互通安全性,mGCF/im-mGw应至少选择连接两个异网关口局设备。
5结语
由上可见,文章主要分析和探讨了imS网络规划流程、规划内容,对imS规划设计中所涉及到的相关问题进行了研究和探讨,能够为以后的imS网络规划和网络建设提供有益的借鉴和参考,对网络技术的发展有所裨益。
【参考文献】
网络安全规划方案篇2
关键词:网络管理与安全课程群;综合课程设计;项目角色划分;协同设计
中图分类号:G642.0文献标识码:a文章编号:1671-0568(2013)29-0094-03
作者简介:徐慧,女,博士,讲师,研究方向为网络与服务管理;邵雄凯,男,博士,教授,硕士生导师,教学副院长,研究方向为计算机网络、移动数据库技术和web信息服务;陈卓,女,博士,教授,硕士生导师,研究方向为信息安全;阮鸥,男,博士,讲师,研究方向为网络安全。
作为一所地方工科院校,湖北工业大学(以下简称“我校”)目前面向本科生稳步推进“721”梯级、分类、多元人才培养模式改革:针对70%左右的本科生,以就业为导向,实施以培养实践动手能力为主体、创新创业精神为两翼的高素质应用型人才培养模式;针对20%左右的本科生,培养具有一专多能、湖北工业经济发展急需的复合型中坚人才;针对10%左右的本科生,扎实推进卓越工程师项目计划,培养高素质创新型的、未来湖北工业经济发展的领军人物。在这一背景下,网络工程专业与物联网工程专业在培养方案设置和修订的过程中,考虑利用科研平台、培训、竞赛等方式,切实加强实践环节的设计,进一步推进我校“721”人才培养模式改革,并以此为契机,进行培养和提高学生的创新精神和实践动手能力的教学改革与实践。本文旨在讨论网络工程专业与物联网工程专业的网络管理与安全综合课程设计的改革实践。
一、网络管理与安全综合课程设计的定位
按照“721”梯级、分类、多元人才培养模式改革思路,我校依据学科专业特点探索实施“实验教学――实习实训――毕业设计(论文)――创新教育――课外科技活动――社会实践”六元结合的实践教学体系。在这一实践教学体系的规划下,网络工程专业与物联网工程专业的人才培养方案都明确规定六大内容的基本要求和学分,并分为基础层次(基础课程实验、生产劳动、认知实习等)、提高层次(学科基础实验、课程设计、专业实习或生产实习、学年论文等)、综合层次(设计性实验及科研训练、学科竞赛、毕业实习、毕业设计或论文等)三个层次,从低年级到高年级前后衔接,循序渐进,贯穿整个本科生培养过程,旨在增强本科生的创新意识,提高他们的实践能力。
面向网络工程专业本科生的网络管理与安全课程群,主要包括“信息安全概论”、“应用密码学”、“计算机网络管理”、“网络防御技术”、“网络性能分析”和“网络安全编程与实践”这六门专业课程。在课程安排上,“信息安全概论”课程首先引入信息安全的基本概念和基本原理,包括消息鉴别与数字签名、身份认证、操作系统安全、数据库安全技术以及数据的备份与恢复等知识点;而“应用密码学”课程则介绍密码学基本概念、基本理论以及主要密码体制的算法与应用;更进一步,“计算机网络管理”课程以协议分析为导向讲授网络管理的相关理论,包括功能域、体系结构、协议规范、信息表示等知识点;“网络防御技术”课程以统一网络安全管理能力作为培养目标,阐述网络攻击的手段和方法以及网络防御的基本原理;在此基础上,“网络性能分析”课程着重讨论网络性能管理的理论与应用;“网络安全编程与实践”课程讨论网络安全编程实现的基本技术。值得注意的是,网络工程专业的网络管理与安全课程群建设成果,目前正在为面向物联网工程专业的相关课程体系设置与教学方法改革所借鉴。
网络管理与安全综合课程设计介于实践教学体系中提高层次到综合层次的过渡阶段,作为网络工程专业与物联网工程专业本科生第四学年实践能力培养的一个重要环节,有利于深入培养相关专业本科生的网络管理与安全综合实践能力。
二、基于项目角色划分的实施方案
为了培养网络工程专业与物联网工程专业本科生的工程实践能力,网络管理与安全综合课程设计实施过程的改革思路是:采用自主团队方式,选择并完成一个网络管理与安全项目。对于相关专业本科生而言,因为是自由组成团队,项目角色划分显得尤为重要。在这一背景下,提出基于项目角色划分的网络管理与安全综合课程设计实施方案。
网络管理与安全综合课程设计并不是要求本科生在短时间内便可以完成一个很大的网络管理与安全项目,主要是希望他们能够利用已有网络管理与安全课程群的知识基础,按照软件工程的思路合作完成一个规模适中的网络管理与安全项目,提高网络管理与安全综合实践能力。基于不太大的项目规模,网络管理与安全综合课程设计的项目角色划分与相应职责见表1。
三、网络工程专业与物联网工程专业的协同设计
作为一所地方工科院校,我校自2008年开始面向本科生开设网络工程专业,并于2012年面向本科生开设物联网工程专业,同时已获批“湖北省高等学校战略性新兴(支柱)产业人才培养计划本科项目”。网络工程专业与物联网工程专业虽然是两个不同的专业,却具有一定的关联性,如何保证网络管理与安全综合课程设计的实施方案对于这两个专业的协同设计,是专业改革实践过程中需要考虑的问题。图1给出网络管理与安全综合课程设计在实施过程中网络工程专业与物联网工程专业的协同设计方案:
如图1所示,网络工程专业的网络管理与安全综合课程设计的选题主要包括四个方向,即“信息安全与密码学”、“网络防御技术”、“计算机网络管理”与“统一网络安全管理”。其基本的选题思路在于帮助本科生熟悉常用的网络管理与安全编程开发包,并掌握网络管理与安全项目实践的基本技术,为将来从事网络管理与安全方面的研发工作打下一定的基础,各方向的参考选题见表2。
更进一步,较之网络工程专业,物联网工程专业具有更强的整合性与自身的特色,见图1,物联网工程专业的网络管理与安全综合课程设计的选题主要包括两个方向,即“物联网安全”与“物联网管理”,各方向的参考选题如表3所示。[1,2]
按照我校“721”梯级、分类、多元人才培养模式改革思路,作为实践教学体系中提高层次到综合层次过渡阶段的一个重要环节,网络管理与安全综合课程设计在改革实践过程中,考虑采用基于项目角色划分的实施方案,并尝试实现该方案在网络工程专业与物联网工程专业的协同设计,同时给出这两个专业不同方向的参考选题。
参考文献:
网络安全规划方案篇3
关键词:网络;信息系统;网络规划
中图分类号:tn711文献标识码:a
前言:在当前市场化、信息化高度发展的今天,企业只有具备了强有力的信息、信息检索和信息管理系统,才能使企业在激烈的市场竞争中,充分掌握和利用信息,才能提高企业驾驭市场的能力,提高企业的核心竞争力。企业的信息化是当今世界经济和社会发展的大趋势,信息网络作为信息建设的核心,因而加大企业信息系统建设的网络规划势在必行。1、网络规划原则
通常企业涉及地域范围较广,信息化需求比较全面,数据量巨大,导致网络结构比较复杂,对带宽和安全性要求也比较高。此类信息网络的规划应遵循以下基本原则:
长远性和现实性相结合。既要兼顾企业的目前状况与长远发展等因素,放眼未来、统筹规划,又要具有可付诸实施的现实可行性。
全面性和针对性相结合。既要着眼全局、不能遗漏,又要突出重点,方案和计划具有较强的针对性。
整体性和阶段性相结合。既要制定整体发展规划、目标架构等战略性指导和实施策略文档,又要制定出体系实施的阶段性目标,分期分批实施。
先进性和实用性相结合。在信息网络规划方案、目标和要求、规定和制度、产品和技术、人员和知识等各方面,既要有先进性,又要有实用性。
开放性和可靠性相结合。应采用最新且成熟的系统软硬件等技术和产品。其各项技术应保证具有开放性、可移植性和可扩展性,同时,具有可靠性和稳定性。
完整性和经济性相结合。既要考虑采用的产品和技术在整体上具有完整性和一致性,又要尽量保护企业已有的软硬件投资,使得总体上具有更好的经济性。
易用性和管理性相结合。既要充分考虑系统的易用性,确保系统好用、可用与易用,又要考虑可管理性和可维护性。
安全性和合规性相结合。既要采用相关安全标准和等级保护要求,更要符合企业有关信息安全的管理制度、国家有关法令、SoX法案的有关要求。
总体来说,“技术可行,经济合理”是企业信息网络规划的最重要原则,不追求最新的技术,也不追求最低的成本。
2、系统安全体系设计要点
第一步要对网络做出一个比较全面的对于安全体系建设的规划,然后根据实际的应用状况,先建立一个“防护—检测—响应”的基础安全防护体系,保证基本的、应有的安全性。随着今后应用的种类和复杂程度的增加,再在原来基础防护体系之上,根据实际应用需求,从物理安全方面、系统安全、网络安全、应用安全等多角度建立安全防护体系,在时机成熟时建立数字认证体系和灾难备份系统,同时建立健全相应的安全管理制度,确保整个系统的安全可靠。
3、举例说明
下面结合某央企信息网络规划为案例具体分析企业信息系统建设的网络规划
3.1背景介绍
该企业涉及建筑施工、机械制造、物流、房地产、酒店等多个行业,总公司设多个集团公司,其中有多个集团公司在全国多个省份都有各自的分支结构,部分集团公司在海外还有分支结构。机构组织的复杂性必然造成了网络结构的异常复杂。该企业信息化建设起步较晚,没有形成统一的规划,因此各下属公司都根据自身需要不同程度地建设了自己的骨干网和局域网。本次规划站在整个企业的角度,进行统一的、全系统的信息网络规划。
3.2编制范围
该规划涵盖该企业在全球的全部机构,实现一张覆盖全球的大网,统筹规划企业全球各机构的语音、视频、数据等业务通信需求,包括骨干网和局域网。
3.3现状分析
首先制定了详细的访谈提纲和调研表格,涉及硬件、软件、带宽等网络资源情况、应用系统情况、网络资费情况等。经过对总部各部门访谈和对各下属单位的详细调研,总结并分析出存在的主要问题:通过公众互联网传送企业内部信息存在极大的安全隐患,亟需建设企业专网;网络层面没有有效的安全隔离手段,安全性需要提高;系统没有进行ip地址统一规划,不利于公司后续的统一管理;各下属单位内部局域网的网络结构和安全性需要进一步优化,网络带宽不一,租赁费用不一,且接入运营商也不统一;网络运维力量薄弱,整体网络运维水平和规范性不高。
3.4需求分析
结合该企业信息化总体规划,梳理各应用系统带宽和局向需求。该企业将建立“覆盖全面、功能完善”的应用体系,总体应用架构贯通全系统组织体系,覆盖公司全部六大业务板块,整体搭建“五纵四横”九大应用平台,规划期涉及29个系统的建设,范围涉及总部至各下属单位及各分支机构的多个方向,同时也包括海外节点。
本项目采用自下而上的方法对骨干网的流量流向需求进行分析与估算,首先按照各板块集团公司的维度分别计算单应用系统的网络流量流向需求,然后对单应用系统的网络流量流向需求进行汇总叠加,得到各集团公司和三级单位的总体流量流向需求,具体计算方法如下:节点问流量一艺应用的单用户带宽峰值并发用户数。针对每个单位计算其需要访问的所有骨干网应用系统流量需求,汇总叠加该单位所有应用系统的流量流向需求后,形成其应用系统网络流量流向需求。
对于网络安全,结合行业标准、国资委对央企的网络安全要求以及企业自身的信息化规划,梳理企业信息系统对网络安全的具体要求。即要求企业办公网络与外网要进行必要的隔离措施,确保业务数据的安全性。对于网络线路、网络设备以及机房等设施要做到全部具备冗余备份,确保网络安全可靠厂
3.5建设目标
该企业的网络建设要匹配企业各级机构和海外业务发展战略,满足企业未来3到5年业务高速发展需要"适应企业集团化管理的要求,网络基础设施资源共享,优化资源配置,提高效率,降低成本。满足内外部监管要求,遵从对上市公司的国际和业界法规,规范集团机构内部问信息共享、信息保护机制。
要充分利用各种组网技术的优点,为企业建设完善的企业基础网络,从而满足各级机构、施工现场、移动办公人员乃至海外分支机构日益增长的it应用访问需求。在网络建设过程中,骨干网核心层网络要采用双链路平行连接结构并实行流量负荷分担,保障网络的安全性。
3.6规划方案
该企业信息化网络由局域网、骨干网和互联网接入组成。各单位分别建设高带宽、安全可靠的局域网,分别租用数据专线连接互联网。企业骨干网的建设既要保证网络的高带宽,更要保证网络的安全性和可靠性,因此通过租用运营商SDH专线方式,建设覆盖三级以上机构的高质量SDH专网,近期先通过租用运营商数据专线方式组建企业Vpn虚拟专网,同时进行全网ip地址规划。
3.7行动路线
按照企业信息化总体规划,结合各应用系统部署进度,将网络规划各环节按重要程度分步骤进行安排,具体时间进度如下:
结语
企业信息网络规划是企业信息化的重要前提,“技术可行、经济合理”是企业信息网络规划的大原则,企业对网络现状的分析和应用系统的需求梳理是规划的前提,技术方案的研究和建设方案的编制是规划的核心,风险应对举措和行动路线的制定是规划的落脚点,投资估算和分析是规划可实施的保障。在网络的广泛应用中,传播者和接收者已经没有了严格界限,因而网络传播问题也随着网络和技术的发展产生新的问题,所以关于网络传播问题的研究不是一蹴而就的,而是一个必须持续研究并且不断更新的过程。
参考文献
[1]罗皓菱.网络时代的麦哲伦—博客现象分析[J].文化研究,2005.5:36-40
网络安全规划方案篇4
关键词:网络工程专业;课程体系建设;知识模块化实践教学;贯通式案例教学
中图法分类号:G642文献标识码:a文章编号:1009-3044(2015)33-0000-0c
根据地方性高校网络工程专业的培养目标,培养具备网络工程基本理论知识、专业知识与专业思想,掌握网络工程方法和技能,具有较强网络工程意识与工程能力、良好的社会协调与职业发展潜力,具有创新精神和团队合作精神的网络工程应用型人才[1]。
1网络工程专业课程体系建设
1.1网络工程专业人才需求分析
联系未来五年网络工程专业人才需求,制订网络工程专业“网络工程师”培养计划,主要包括网络规划工程师、网络安全工程师、网络系统集成工程师、网络布线工程师、网络测试工程师、网络管理工程师[2-3]。
1.2网络工程师职业能力需求
根据“网络工程师”的各种职业需求,制定网络工程专业培养能力目标,主要培养学生的网络工程规划与实施能力,网络系统布线、管理与部署能力,网络系统安全保障能力、网络协议分析与实现能力、网络工程管理能力、网络测试能力[3]。
1.3网络工程专业知识模块设计
根据“网络工程师”职业能力培养的内容,网络工程专业制订了6个专业培养知识模块,包括网络工程规划设计知识模块、网络布线管理知识模块、网络系统安全知识模块、网络协议分析设计知识模块、网络工程管理知识模块、网络性能测试知识模块[4],如图1所示。将各知识模块的知识内容进行明确,并将相关内容分配到课程体系各个科目当中,以达到剔除教学内容的冗余,完成课程体系优化的作用。
1.4网络工程专业课程体系结构
依托网络工程师职业能力培养要求,组织网络工程专业知识模块结构,构建网络工程专业课程体系,包括专业基础课程计算机网络,专业必修课程路由与交换技术、综合布线与工程管理、网络协议分析与实现、网络安全技术,专业实战提高课程网络工程部署、网络规划与设计、网络工程管理、网络性能测试与分析等课程[5]。网络工程课程体系中各课程之间递进关系如图2所示。
2贯通式案例设计
通过案例驱动式教学模式,将“枣庄学院校园网规划与设计”项目的设计实施过程贯通到课程群各个科目当中,计算机网络完成网络基础知识、网络整体规划、ip地址划分、网络服务器配置任务;路由与交换技术完成网络设备的配置与维护工作;综合布线与工程管理完成线路的铺设与维护工作;校园网的安全、防火墙的配置交给网络安全技术来完成;网络协议分析、网络应用程序编写任务交给网络协议分析与实现课程完成;网络性能测试由网络性能测试课程完成;最后网络规划、网络构建在专业实战课程中完成。多门课程共同完成项目的设计与实施。如图3-4所示[6]。
3总结
以网络工程师职业能力为导向,制定课程体系标准,确定课程体系知识模块,统一分配教学内容,弱化课程界限,避免教学内容重复;通过贯通式案例整合课程体系,强调网络工程师职业素质的培养;将贯通式案例项目分解成多个任务,分配到网络工程专业的每门课程之中,让学生每门课当中完成既定的分解任务,在通过综合实习实践环节将任务组合,完成本课程在贯通式案例中的设计实施部分。
参考文献:
[1]王文龙.网络工程本科专业课程体系建设研究[J].喀什师范学院学报,2015(3).
[2]石元泉,彭小宁.地方二本高校网络工程应用型人才培养模式——以怀化学院为例[J].计算机教育,2015(7).
[3]施晓秋.计算机网络课程教学改革的应用型人才培养的网络工程实践课程体系构建[J].中国大学教学,2008,(12).
[4]王伍柒,钟元权,袁兆荣.组网工程课程改革与实践[J].电脑知识与技术,2014(11).
[5]苗春雨,陈丽娜.企业需求为导向的网络工程实践教学模式[J].计算机教育,2014(6).
网络安全规划方案篇5
【关键词】网络安全;网络攻击;建设与规划;校园网
1、网络现状
扬州Z校拥有多个互联网出口线路,分别是电信100m、电信50m、网通100m、联通1G和校园网100m。Z校拥有多个计算环境,网络核心区是思科7609的双核心交换机组,确保了Z校校园骨干网络的可用性与高冗余性;数据中心是由直连在核心交换机上的众多服务器组成;终端区分别是教学楼、院系楼、实验、实训楼和图书馆大楼。此外,还有一个独立的无线校园网络。Z校网络信息安全保障能力已经初具规模,校园网络中已部署防火墙、身份认证、上网行为管理、web应用防火墙等设备。原拓扑结构见图1。
2、安全威胁分析
目前,Z校网络安全保障能力虽然初具规模,但是,在信息安全建设方面仍然面临诸多的问题,如,网络中缺乏网管与安管系统、对网络中的可疑情况,没有分析、响应和处理的手段和流程、无法了解网络的整体安全状态,风险管理全凭感觉等等,以上种种问题表明,Z校需要对网络安全进行一次全面的规划,以便在今后的网络安全工作中,建立一套有序、高效和完善的网络安全体系。
2.1安全设备现状
Z校部署的网络安全防护设备较少。在校区的互联网出口处,部署了一台山石防火墙,在weB服务器群前面部署了一台weB应用防火墙。
2.2外部网络安全威胁
互联网出现的网络威胁种类繁多,外部网络威胁一般是恶意入侵的网络黑客。此类威胁以炫技、恶意破坏、敲诈钱财、篡改数据等为目的,对内网中的各种网络设备发起攻击,网络中虽然有一些基础的防护,但是,黑客们只要找到漏洞,就会利用内网用户作跳板进行攻击,最终攻破内网。此类攻击随机性强、方向不确定、复杂度不断提高、破坏后果严重[1]。
2.3内部网络安全威胁
内部恶意入侵的主体是学生,还有一些网络安全意识薄弱的教职工。Z校学生众多,学生们可能本着好奇、试验、炫技或者恶意破坏等目的,入侵学校网络[2]。Z校某些教职工也可能浏览挂马网站或者点击来历不明的邮件,照成网络堵塞甚至瘫痪。
3、安全改造需求分析
本次安全改造,以提升链路稳定性,提高网络的服务能力为出发点,Z校在安全改造实施中,应满足如下的安全建设需求1)提升链路的均衡性和利用率:Z校网络出口与CeRnet、internet互联,选择了与电信和联通两家运营商合作。利用现有网络出口链路资源,提升网络访问速度,最大化保障校园网内部用户的网络使用满意度,同时又要合理节约链路成本,均衡使用各互联网出口链路,是网络安全建设的首要需求。2)实现关键设备的冗余性:互联网边界的下一代防火墙设备为整个网络安全改造的核心设备,均以nat模式或者路由模式部署,承载了整个校园网的业务处理,任何一个设备出现问题将直接导致业务不能够连续运行,无任何备份措施,只能替换或者跳过出故障的设备,且只能以手工方式完成切换,无论从响应的及时性,还是从保障业务连续性的角度,都存在很大的延迟,为此需要将互联网出口的下一代防火墙设备进行双机冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全设备数量较多,需要对所有安全设备进行统一日志收集、查询工作,传统单台操作单台部署的方式运维效率低下,所以需要专业集中监控、配置、管理的安全设备,统一对众多安全设备进行集中监控、策略统一调度、统一升级备份和审计。
4、解决方案
网络安全建设是一个长期的项目,不可能一蹴而就,一步到位,网络安全过程建设中,在利用学校原有设备的基础上,在资金、技术成熟的条件下,逐步实施。Z校网络安全建设规划分为短期建设和长期建设两部分。
4.1短期网络建设规划
4.1.1短期部署规划以安全区域的划分为设计主线,从安全的角度分析各业务系统可能存在的安全隐患,根据应用系统的特点和安全评估是数据,划分不同安全等级的区域[3]。通过安全区域的划分,明确网络边界,形成清晰、简洁的网络架构,实现各业务系统之间严格的访问安全互联,有效的实现网络之间,各业务系统之间的隔离和访问控制。本次短期网络建设,把整个网络划分为边界安全防护区域、核心交换区域、安全管理区域、办公接入区域、服务器集群区域和无线访问控制区域。4.1.2部署设计网络拓扑结构见图2,从图2可以看出,出口区域,互联网边界处的防火墙设备是整个网络安全改造的核心设备,以nat模式或者路由模式部署,无任何备份措施,为此需要再引入一台同型号的防火墙设备,实现双机冗余部署。同理,原城市热点认证网关和行为管理设备需要再各补充一台,组成双机冗余方案。安全管理区域根据学校预算,部署几台安全设备。首先,部署一台堡垒机,建立集中、主动的安全运维管控模式,降低人为安全风险;其次,部署一台入侵检测设备(iDS),实时、主动告警黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,防止在出现攻击后无数据可查;再部署一台漏洞扫描设备,对网络内部的设备进行漏洞扫描,找出存在的安全漏洞,根据漏洞扫描报告与安全预警通告,制定安全加固实施方案,以保证各系统功能的正常性和坚固性;最后,部署一台安全审计设备(SaS),实时监控网络环境中的网络行为、通信内容,实现对网络信息数据的监控。服务器集群区域,除了原有的weB防火墙外,再部署一台入侵防护设备(ipS),拦截网络病毒、黑客攻击、后门木马、蠕虫、D.o.S等恶意流量,保护Z校的信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机[4]。
4.2长期网络建设规划
网络安全的防护是动态的、整体的,病毒传播、黑客攻击也不是静态的。在网络安全领域,不存在一个能完美的防范任何攻击的网络安全系统。在网络中添加再多的网络安全设备也不可能解决所有网络安全方面的问题。想要构建一个相对安全的网络系统,需要建立一套全方位的,从检测、控制、响应、管理、保护到容灾备份的安全保障体系。目前,网络安全体系化建设结合重点设备保护的策略,再配合第三方安全厂商的安全服务是网络安全建设的优选。4.2.1网络体系化建设体系化建设指通过分析网络的层次关系、安全需要和动态实施过程,建立一个科学的安全体系和模型,再根据安全体系和模型来分析网络中存在的各种安全隐患,对这些安全隐患提出解决方案,最大程度解决网络存在的安全风险。体系化建设需要从网络安全的组织体系、技术体系和管理体系三方面着手,建立统一的安全保障体系。组织体系着眼于人员的组织架构,包括岗位设置、人员录用、离岗、考核等[5];技术体系分为物理安全、网络安全、主机安全、系统运维管理、应用安全、数据安全及备份恢复等;管理体系侧重于制度的梳理,包括信息安全工作的总体方针、规范、策略、安全管理活动的管理制度和操作、管理人员日常操作、管理的操作规程。4.2.2体系化设计网络体系化建设要以组织体系为基础,以管理体系为保障,以技术体系为支撑[6],全局、均衡的考虑面临的安全风险,采取不同强度的安全措施,提出最佳解决方案。具体流程见图3。体系化建设以风险评估为起点,安全体系为核心,安全指导为原则,体系建设为抓手,组织和制定安全实施策略和防范措施,在建设过程中不断完善安全体系结构和安全防御体系,全方位、多层次满足安全需求。
5、结语
从整个信息化安全体系来说,安全是技术与管理的一个有机整体,仅仅借助硬件产品进行的安全防护是不完整的、有局限的。安全问题,是从设备到人,从服务器上每个服务程序到web防火墙、入侵防御系统、抗拒绝服务系统、漏洞扫描、传统防火墙等安全产品的综合问题,每一个环节,都是迈向网络安全的步骤之一。文中的研究思路、解决方案,对兄弟院校的网络安全建设和改造有参考价值。
参考文献:
[1]王霞.数字化校园中网络与信息安全问题及其解决方案[J].科技信息,2012.7:183-184
[2]黄智勇.网络安全防护系统设计与实现[D].成都:电子科技大学,2011.11:2-3
[3]徐奇.校园网的安全信息安全体系与关键技术研究[D].上海:上海交通大学,2009.5:1-4
[4]张旭辉.某民办高校网络信息安全方案的设计与实现[D].西安:西安电子科技大学,2015.10:16-17
[5]陈坚.高校校园网网络安全问题分析及解决方案设计[D]长春:长春工业大学,2016.3:23-31
网络安全规划方案篇6
关键词网络规划;pon;wimaX
中图分类号:tn915文献标识码:a文章编号:1671-7597(2014)07-0036-02
随着信息化时代的到来,网络已经融入人类生活的各个角落,各种移动通讯设备、移动数据接收设备正悄无声息的改变着人们的生活方式。未来世界将是一个网络世界,可以预见网络视频点播、移动可视电话等业务,将成为未来宽带业务的主要内容。pon网络规划的成本主要是有两方面组成,一方面是人力成本,另一方面是资源成本。其中人力成本主要是有光纤放置成本,也就是在光纤管道建设过程中,开挖管道或者说光纤架空明线而出现的成本。但随着部署技术的不断完善和设备的不断升级,无源网络设备大大提高了光纤部署安装的效率,同时也降低了对安装公认技术技能的要求;资源成本的组成部分包括oLt、onU、光分路器等等,但在实际实施过程中管道成本所占比重较大,且标准较为统一,所以这几项内容作为一般性考虑因素。pon与wimaX融合接入网的规划要比两者其中任何一个单独网络规划难度系数更高,究其原因是需要对两种不同接入网技术进行关联性研究,而且要保证两种规划方式维持在资源成本最高限额以内。当前pon网络规划研究的主要内容就两点,一是研究设备安装的具置,onU和光分路器的安装位置,这些位置的确定需要涉及到K均值算法等;二是研究光纤连接路径,就是要对光纤路径的复用进行充分考虑,并研究在约束条件下的光纤部署规划。本文针对已有的pon网络规划进行了较为详细的研究,同时对pon与wimaX融合接入网络规划也予以了系统分析。
1宽带接入网的关键技术分析
1.1融合接入网方案
当前wimaX和epon融合方案是把epon作为wimaX网络中BS与骨干网之间的Backhaul网络方案,同时在该融合方案研发的基础之上,提出maC协议oLt集中处理pHY层拉远至onU方案。
1)epon作为wimaX网络中BS与骨干网之间的Backhaul网络方案。wimaX与pon网络的连接是通过onU所提供的以太网口实现的,而且在经pon网络接入wimaX接入服务网络网关。这种网络方案是把epon用来作为wimaX基站的接入传输方式,并根据目前主要的商用wimaX与epon设备进行具体网络实施,进而全面降低网络运营商在基站和宽带接入上投入过多成本。Backhaul网络方案的出现为wimaX和epon的融合提供了新的方式,该网络方案最大的不足之处就是oLt与BS之间的沟通问题,两者直接无法实现数据上的有效调度,所以无法实现两系统带宽的充分利用和QoS的最优化。
2)基于副载波调制的RoF方案。RoF方案的核心内容就是将基站的maC层处理和物理层的基带信号处理全部融合在oLt处,并通过射频副载波调制技术实现epon数据和wimaX多个BS射频信号的光纤快速传输。我们在onU处设置wimaX天线设备,是为了将光解调解为射频信号,然后直接传输至天线处,这样就可以实现多种BS信号的wimaX天线传播。之所以RoF方案现在应用范围较为广泛,主要是因为这种网络系统中远端设备onU较为简单,但这种方案同样也有一些不足之处,单独的onU所占中的射频信号较为固定,每次发送均需要一个波长传输wimaX射频信号,这样肯定会在一定程度上增加系统运行成本,而且降低带宽利用率,无法对wDmpon和wimaX融合后带宽进行全面有效调度。随着传输距离的不断增长和pon网络分支比的增加,光纤色散效应和非线性效应越发严重,直接影响着射频信号质量的急剧下降,极大制约着传输距离和应用场景的
完善。
3)maC协议oLt集中处理pHY层拉远至onU方案。现在oLt方案融合了wimaX网络maC层处理技术,wimaX数据在epon网络中的传输时按照maCpDU为单位进行传输的,而且oLt需要根据maCpDU连接服务流QoS参数要求进行可靠合理设计,并完全按照onU上行epon业务带宽和wimaX连接带宽两方面的要求,因此oLt可以根据epon网络和wimaX网络要求进行系统融合带宽分配,这种方式将极大提高带宽分配率。多点接入到边缘节点集中式管理不仅可以有效提高无线频率资源,同时还能够将频谱利用率和系统容量的提高加以实现。
1.2网络规划
epon和wimaX融合接入网的网络规划设计一定要全面考虑无线网络规划小区覆盖面及相应的覆盖率,此外还要对周边载噪比和信道分配等wimaX网络规划进行细节分析。在完成了规划设计之后,我们就可以对onU和光分路器的安装位置和pon个数进行研究。用户需求得到满足之后,网络部署方案成本就能够实现最佳化,这对于融入接入网的部署与改革有着非常大的帮助。
2pon网络规划研究
2.1mHmp算法
该算法目前在学术界中的定义还没有统一结论,而且对算法的具体内容进行分别设计。其一,oBD级数。对于多级分光的pon网络,其中一个oBD级数指的是此oBD中距离oLt最近的onU层级数,换句话说根据距离onU的远近将oBD分为,一级、二级等;其二,pon组。在pon网络中,任何一个oLtpon所配置的onU和oBD共同组成统一的pon组,进而不断对整个系统结构进行优化。
2.2mFR算法
遗传算法是20世纪80年代兴起的一种人工智能算法,该算法经过将近三十年的发展在实际应用中积累了大量经验,目前已广泛应用于工业生产中的各个领域。遗传算法最根本的思想就是达尔文进化论,通过自然条件的选择,优胜劣汰。该算法能够适用于很多系统中,具有极其强大的适应生存能力,在较大规模网络光纤选路优化问题中有着非常重要的应用。
通过该算法将系统参数进行优化,在实际的工业控制中确保其稳定性。所以,当前很多学科在运用算法进行一系列问题研究时,首先考虑使用的算法就是遗传算法。将遗传算法应用到实际的数学模型中,便可以获得该数学模型所对应的更为优化的各种参数。
3基于启发式算法的pon和wimaX融合网络规划
oLt的结构形式有很多种,我们这里主要研究的是融合型oLt。同时它又包含了两种onU方式,其中一种是固定接入式onU,另外一种是基站式onU。两者最大的区别就在于传输形式和传输基础不同。融合型onU最重要用途就是提供商务接入点Sap,用于用户与用户之间的连接。这里所使用的连接方式为pmp点对多点,这样能够方便一个用户向多个用户的同一时间发送数据。动态宽带分配就是用户接入核心网的关键技术。融合网络方法有2种网络规划方式和特性,一种是带有限制条件的带宽接入式,能够实现pon网络连接;另一种是无线网络接入方式,能够实现wimaX网络连接。现在宽带接入网络规划和网络管理研究领域中的重点研究方向就是这两种融合方式的结合,以使得网络规划特点能够实现技术或结构互补,尽量完善系统总体效果,实现网络规划应用最佳形式。
就目前的研究成果分析可以得到,启发式算法是实现融合网络规划设计的最佳方式之一。启发式算法最大的优点就在于能够从一定范围内选择一个最佳的解决方案,其不足之处是所选择的最佳解决方案并能绝对保证验证的准确性。通常情况下,启发式算法主要应用于实际问题的解决过程中,在一定程度上是能够帮助获得较好的解决方案。但pon和wimaX这两种网络规划结合过程,需要我们重点研究有线和无线的连接方法,进而将两组资源实现共享,保证成本在最佳控制范围以内。wimaX小区划分需要考虑多方面因素,要根据用户需求估算出用户带宽,并计算出最小信道容量。之后再根据计算得出的最小信道容量值、信道容量与小区面积的比例,设计最佳小区半径。融合性onU初始设计位置就是一个小区的中心,实际上并不是任何一个地方都能够或者都适合设计基站,只有onU初始设计文职确定之后,我们才可以进行现场勘查,然后得到适合安装融合性onU位置的信息。用户在选取基站位置时,要对潜在基站位置进行总结归纳,选取离onU距离最近的初始位置作为基站位置,之后逐步验证调整后的小区划分,不符合覆盖要求的,可以进一步增加小区来验证调整尽可能的充分覆盖。
4结束语
目前,宽带已经成为国内各大移动运营商的主营业务之一。而且在未来可预知的时间内,宽带技术必然成为各个运营商的主要竞争环节,这对于我国宽带接入网规划与网络管理关键技术的发展有着非常大的影响。从某种意义上来说,这些技术的创新与发展既关系着我国国防建设,同时又与人们的生活息息相关。本文从一些基本理论出发,简要的对这两点进行了分析,在今后的工作中,笔者将继续立足于我国国情进行该领域的深入研究,以期能够提出更多有价值的成果。
参考文献
[1]蒋恒.对宽带接入网的网络规划与网络管理关键技术的研究[J].计算机光盘软件与应用,2013(12):287-288.
[2]林晓东.宽带接入网的网络规划与网络管理关键技术研究[J].成功(教育),2012(02):288.
[3]张信忠.epon宽带接入网方案设计与实践[D].北京邮电大学,2012.
网络安全规划方案篇7
摘要:随着我国信息化建设从横向规模发展转变为纵向深度应用发展,社会对各种类型网络技术人才在数量和质量上的需求也正在发生变化。为了适应这些变化,本文分析了网络工程专业人才的需求,提出了3个专业方向和6种专业能力,并围绕各专业方向的专业能力培养,给出了一个示范性的网络工程专业课程体系。
关键词:网络工程专业;专业方向;专业能力;示范课程体系
一、研究背景
网络工程专业是在计算机科学与技术、通信工程等专业交叉、融合的基础上发展起来的新专业。从1998年网络工程专业被教育部列入本科专业目录以来,至今全国已有近300所高校设置了该专业,为社会培养了大批网络专业技术人才。
随着我国信息化建设从横向规模发展转变为纵向深度应用发展,社会对各种类型的网络技术人才在数量和质量上的需求也正在发生变化。主要表现为:
1.不断扩展的互联网应用需求,不断涌现的新信息技术对网络体系结构的适用性、网络协议性能与服务质量、网络应用的可靠性与安全性等提出了新的挑战,科研院所需要高层次的关于网络理论与技术的科学研究后备人才。
2.网络设备制造企业和网络应用开发企业迅速崛起,网络相关软硬件产品更新换代以及产品系列化、企业规模化等,需要大量的网络软硬件系统研发人才。
3.不断涌现的新企事业单位网络系统规划设计、建设与施工需求,大量原有的企事业单位网络系统扩容、升级与改造需求,需要大量的网络系统规划设计、信息系统集成、网络软硬件产品安装与调试等组网工程技术人才。
4.政府、军队及企事业单位对网络与信息系统应用的不断深入,网络系统已成为各单位的一种基础性设施,急需大量的网络与信息系统管理、维护及安全保障人才。
5.各行各业的网络应用如雨后春笋般地发展,产生了一系列新岗位、新职业需求。
为了适应上述应用需求,一方面,作为一个跨学科、实用性强、服务面广的专业,网络工程专业的内涵、人才培养目标需要不断丰富和发展。首先,在专业内涵方面,需要涵盖局域网、城域网、广域网、互联网、无线网络与移动通信、物联网、社交网络以及空间网络等多个领域的理论基础、技术原理和工程方法等内容;其次,在人才培养目标方面,需要培养包括网络软硬件系统设计与开发、网络工程规划设计与施工、网络系统管理与维护等多层次的专业人才。另一方面,从培养规模来看,网络工程无疑已是一个较大规模的专业,而且未来有更大的发展空间。人们不禁会问,网络工程专业具有哪些专业方向?每个专业方向需要掌握哪些专业知识?具有哪些专业能力?将来可就业于哪些工作岗位?为此,我们必须思考网络工程专业应该具有什么样的知识体系?应该包括哪些核心知识单元?各专业方向需要开设哪些核心专业课程和专业扩展课程?应该进行哪些实践环节的训练?网络工程专业与计算机科学与技术、信息安全、通信工程、物联网工程等相关专业差异与特色何在?本科、专科与培训机构之间的培养定位又各是什么?
本文将围绕网络工程专业人才培养目标、专业方向、专业能力和专业课程体系等问题进行探讨。
二、人才培养目标
必须根据网络技术的发展和社会需求,面向网络工程的整个生命周期,适时调整网络工程专业人才培养目标,使之覆盖网络设备的设计与开发、网络协议的设计与开发、网络工程规划设计与实施、网络应用系统开发以及网络系统的管理与安全等方面。
因此,网络工程专业的人才培养目标定义为:培养德、智、体全面发展,具有深厚的数学和自然科学基础知识,扎实的专业基础知识,较强的网络工程专业能力,能从事网络设备和网络协议研发、网络应用系统开发、组网工程的规划设计与实施、网络系统的管理与维护、网络安全保障等技术工作,具有一定的工程管理能力和良好的职业道德与团队协作精神的中、高级网络技术人才。
三、专业方向设置
为了满足调整后的网络工程专业人才培养目标需求,可在网络工程专业设立“网络设计、组网工程、网络管理与网络安全”3个专业方向。覆盖网络工程生命周期中的网络产品设计与开发、组网工程建设、网络系统管理与维护3个阶段,如图1所示。
图1网络工程专业方向
各专业方向的内涵如下:
1.网络设计。包括网络理论与网络体系结构研究、网络硬件系统设计与研发、网络协议分析与新协议研发、基于网络的通用服务系统设计与研发、基于行业的网络应用系统设计与研发、网络应用新技术与新型网络计算模式的研究等内容。
该方向侧重于科学研究型人才的培养。毕业生适合到网络技术相关的科研院所、网络设备生产厂家、网络软件开发公司与网络服务公司、高等院校等单位从事网络相关理论与技术研究,网络设备、网络协议、网络应用系统等的分析、设计、开发以及教育、教学和人才培养等工作。
2.组网工程。包括网络系统需求分析、网络系统结构设计与规划、组网方案设计与论证、网络软硬件产品安装与配置、局域网络系统、广域网系统和互联网系统集成、多层构架的网络应用系统集成、跨平台多数据源的数据集成、网络系统测试与验收等内容。
组网工程方向侧重于工程型人才的培养。毕业生适合到系统集成公司、网络服务公司、电信运营公司等从事网络系统规划、设计与集成及it领域技术支持与市场拓展等工作。
3.网络管理与网络安全。包括网络管理与网络安全协议及相关技术研究、网络管理与网络安全需求分析、方案设计与系统部署、网络故障分析与维护、网络性能测试、评估与优化、网络安全策略制订与实施等内容。
网络管理与网络安全方向侧重于应用型人才的培养。毕业生适合到政府、军队、企事业单位从事办公自动化网络的管理、维护、安全保障与信息化建设决策支持等工作。
通过专业方向的划分,调整网络专业人才培养结构,使研究型、工程型和应用型人才协调发展。形成以研发、工程、应用人才队伍为主体,管理、市场及服务人才队伍规模适度的人才体系。
根据上述专业方向的分工,不同类型的学校可以充分发挥本校师资队伍的水平和学生的特长,设置具有自身特色的培养目标。例如,有的可以侧重于培养与网络技术的研究、网络新产品与网络新应用系统的设计与开发等相关的科学研究与系统设计型人才,有的可以侧重于培养与网络应用系统的设计与开发、网络组网工程的实施等相关的工程型人才,有的可以侧重于培养与网络系统的使用、网络系统的管理与维护技术、网络系统安全防护等相关的应用型人才。
四、专业能力构成
综合不同专业方向、不同类型人才培养目标和用人单位对网络工程专业人才的能力需求以及网络工程生命周期各环节的技术要求,我们将网络工程人才专业能力归纳为“网络硬件设备研究与设计、网络协议分析与设计、网络应用系统设计与开发、网络工程规划设计与实施、网络系统管理与维护、网络系统安全保障”6个方面。
1.网络硬件设备研究与设计能力。熟悉网络设备与系统的体系结构和物理层、链路层的工作原理,掌握网络交换机、路由器、防火墙等网络硬件系统的设计与开发方法,具有初步的网络硬件新技术、新产品的研究与设计等方面的能力。
2.网络协议分析与设计能力。熟悉网络协议体系结构,掌握包括局域网协议、广域网协议、tCp/ip、网络安全协议、网络管理协议及其他网络应用协议等的工作原理,具有初步的协议分析与设计、协议实现、协议测试与验证等方面的能力。
3.网络应用系统设计与开发能力。熟悉客户机/服务器、浏览器/服务器、p2p等网络计算与服务模型,掌握软件设计、开发与测试的基本知识与方法,掌握web服务技术、以网络为中心的计算技术(如网格计算、网络存储、云计算技术等)、网络多媒体技术以及套接字api、.net、J2ee等主流的网络程序设计技术,具有初步的网络应用系统设计与开发方面的能力。
4.网络工程规划设计与实施能力。熟悉网络设备与系统的体系结构与工作原理,掌握主流网络设备与系统的安装、配置与使用方法,具有网络拓扑结构设计、网络路由设计、子网、VLan与ip地址规划与设计、网络可靠性方案与安全性方案的设计与部署、网络服务部署、综合布线方案设计、网络施工方案设计以及网络测试与验收方案设计等方面的能力。
5.网络系统管理与维护能力。熟悉常见网络设备与系统的工作原理,掌握主流网络管理模型和网络管理系统功能与结构,掌握网络设备与系统的配置管理、故障管理、性能管理、安全管理、计费管理、网络性能评价与优化等技术与方法,具有初步的网络与信息系统的管理与维护能力。
6.网络系统安全保障能力。熟悉信息安全基本理论和常见的网络安全产品的工作原理,掌握主流网络安全产品如防火墙系统、入侵检测系统、漏洞扫描系统、病毒防杀系统的安装配置方法和使用方法,具有从事网络系统安全策略与措施制订、安全系统部署、安全事故预防、监测、跟踪、管理与恢复等方面的能力,具有初步的网络安全系统的设计与开发能力。
各专业方向应具有的专业能力和典型的工作岗位如下表所示。
专业方向、能力与岗位对应表
专业方向专业能力典型工作岗位
网络设计网络硬件设备研究与设计能力网络硬件工程师、网络设备测试工程师等
网络协议分析与设计能力网络协议分析师、网络协议测试工程师等
网络应用系统设计与开发能力网络软件工程师、网站设计师等
组网工程网络工程规划与设计能力网络规划师、网络架构工程师等
网络工程建设与系统集成能力网络组网工程师、系统集成工程师等
网络管理与网络安全网络系统管理与维护能力网络管理员、网站设计与维护工程师等
网络系统安全保障能力网络安全评估、安全管理与维护工程师等
五、课程体系设计
在设计网络工程专业的课程体系时,既要充分考虑对计算机、通信等相关专业的基础知识的继承性,同时还要考虑与这些专业的差异性,以体现网络工程专业人才培养的特色。
围绕网络工程专业3个方向和6种能力的培养,我们设计了如图2所示的示范课程体系。该体系由专业基础课程、专业核心课程、专业扩展课程和专业实践课程组成。
1.专业基础课程。首先,由于网络系统仍然是一个特殊的计算机系统,网络系统的基本原理、硬件与软件体系结构等与一般的计算机系统一脉相承,所以,网络
图2网络工程专业示范课程体系
工程专业的基础课程应继承计算机科学与技术的基本理论和基本原理。其次,数据通信是网络的基本功能,通信技术是网络工程专业区别于计算机科学与技术专业的重要标志,所以网络工程专业课程体系必须涵盖通信工程的基本理论和基本原理。最后,电子技术是计算机科学与技术和网络工程等专业硬件系统基础,所以,网络工程专业课程体系也必须继承电子技术的基本理论和基本原理。综上所述,专业基础课程必须包涵电子技术基础、通信技术基础、计算技术基础和计算机系统基础等多个学科基础,以体现该专业多学科交叉综合的需求。
2.专业核心课程。作为3个专业方向都必须修学的知识,必须覆盖网络领域的基本原理、基本方法和基本技术,为各方向的深入学习和能力培养奠定扎实的专业基础。专业核心课程由5门课程组成,覆盖了计算机网络基本原理、网络应用系统开发方法、组网与系统集成基本技能、网络管理和网络安全基本原理等内容。
3.专业扩展课程。为了加强各专业方向的核心能力培养,对每个专业方向设计了一组扩展课程。其中,网络设计方向的学生需要具备的核心能力是网络系统的设计与研发能力,必须熟练掌握网络路由与交换技术、嵌入式技术、计算机系统体系结构、网络协议设计与分析和软件工程等相关原理与技术。组网工程方向的学生需要具备的核心能力是网络系统集成能力,必须熟悉Linux操作系统、传感器与物联网技术、项目管理技术等相关原理与技术。网络管理与网络安全方向的学生需要具备的核心能力是网络故障维护、网络性能分析、网络安全防护等能力,必须掌握网络测试与性能评价、网络故障诊断与维护、信息安全基础等相关原理与方法。
4.专业实践课程。为了使学生加深对所学原理的理解和掌握,培养综合运用所学知识解决实际问题的能力和创新的能力,在实践环节中可包括以下5个层次的实验与训练:(1)网络原理验证类实验;(2)网络设备与网络系统操作配置类实验;(3)网络应用系统设计类实验;(4)专业方向综合课程设计与学科竞赛、创新实验计划;(5)毕业实习和毕业设计训练。
参考文献:
[1]徐明,曹介南等.高等学校网络工程专业培养方案[m].北京:清华大学出版社,2011.
[2]蒋宗礼.计算机类专业人才专业能力构成与培养[J].中国大学教学,2011(10).
[3]陈鸣,胡谷雨等.网络工程专业教学体系的创新与实践[J].计算机教育,2009(19).
[4]徐明,曹介南.网络工程专业课程体系研究与实践[J].计算机教育,2009(10).
[5]蒋宗礼.以能力培养为导向提高计算学科教育教学水平[J].中国大学教学,2008(8).
[6]蒋宗礼.计算机科学与技术专业核心课程教学实施方案研究[J].中国大学教学,2010(10).
[7]常欣,袁华等.网络工程专业定位与教学体系的创新模式探索[J].计算机工程与科学,2010(a1).
网络安全规划方案篇8
关键词:信息安全;档案;因素;对策近年来,信息技术的运用
在高校档案管理中发挥日益显著的作用,打破了传统纸质档案的管理模式,由档案实体管理向数字化管理模式转变,这一创新举措大大提高了档案资源开发和利用的效率,但数字化管理中的安全问题亦不容忽视,只有不断强化数字化档案的安全管理,建立健全档案安全工作保障体系,才能真正确保数字化档案的安全。
1问题及影响因素
首先,高校数字化档案信息安全管理缺少顶层设计。目前安徽省高校档案管理软件多种类型并存,彼此孤立,有网络版的也有单机版的,横向之间不联,上下之间不通,各自为政,追求小而全,未能形成网络大平台上的协调沟通运行机制,既影响了网络功能的发挥,又造成了重复建设,浪费了人力、物力。其根本原因在于顶层设计滞后,缺乏统一的功能和具体执行标准。其次,档案信息安全管理制度不完善。按照国家保密局《涉及国家秘密的信息系统审批管理规定》,现在大部分高校信息利用安全无法保证。具体表现为:一是没有统一的利用平台,其利用环境的安全完全依赖于自身网络建设;二是局域网、政务网、公众网的内容界定不规范,在协调处理多方关系上存在着随意性;三是档案馆(室)在外包安全协议中没有明确注明保密的形式和内容,当事者所应承担的责任和义务,缺少相应的监管标准和奖惩措施,这些毋庸置疑将对档案信息利用安全造成威胁。然而,究其根本原因在于缺乏建立相配套的系统安全管理规章制度[1-2]。最后,对系统功能的安全监管不到位。据调查表明,目前我省高校大部分电子档案系统的权限设置,身份认证识别鉴定功能、Ca认证以及数字签名等技术功能均达不到相关要求,随时可能发生文件丢失、泄密的危险。在信息采集、硬件防护等方面,相关技术部门之间未能及时有效地沟通与协调,管理措施的制定缺少系统性和科学性,如此等等[3-4],都是因缺乏严格的监存管机制,从而导致安全建设存在诸多隐患和漏洞。
2档案数字化安全管理应遵循的原则
责任规范原则。安全责任规范是档案信息系统规划、设计、实现、运行的必然要求,各档案馆(室)应根据安全标准化规定制定适合本单位的安全政策,不能无依据、无标准、随意开发、盲目设计、违规操作、无人监管,而应根据实际情况,具体问题具体分析,采用正确的安全功能和设备。预防原则。将预防为主的意识贯穿整个安全系统管理的全过程,包括规划、采购、安装、设计等各个环节。不同的地理条件、不同的人文环境,各馆(室)藏对安全设施的配备及安全功能的实现程度也迥异,应因地制宜,将安全防范意识摆在首位,加强薄弱环节的防护,最大限度地减少人为和自然灾难所造成的损失。实效原则。目标的制定和规划应与安全功能的实现程度相匹配,不应盲目追求高目标或投资过大的项目,要实事求是,使投入与需要的安全功能相适应,才能真正提高安全管理效率。分权制约原则。分散重要环节的管理权限,使其各部门之间的权利相互制约,避免全线崩溃,提高安全性。对数字化服务机构的相关资质、业绩、人员、设备和加工软件等进行考察,并了解是否存在违约行为、安全事故等不良记录。应急原则。安全防护要防患于未然。建立健全应急管理机制,开展各类突发事件应急演练,遇到突发事件及时采用应急预案,多方联动,采取积极有效的防护措施。灾难恢复原则。全盘优化灾难恢复策略,合理划分容灾等级,严格执行数据恢复流程并采取有效的技术恢复手段,保持原数据中心和备份中心数据的一致性。
3高校数字化档案信息安全管理的对策
3.1加强信息安全技术管理,提高信息化管理水平
设备层的安全管理。设备层的安全管理包含软硬件系统的管理,是档案信息安全管理的基础。硬件系统的安全又称为物理安全。由于应用软件自身存在弊端,使其很容易受到攻击,各种各样的防黑客技术、软件恢复技术以及安全操作系统的实现将是软件系统安全管理的重点。采用先进的病毒防范技术定期对服务器和客户端查毒、杀毒,对防毒软件适时升级,档案管理人员要依据病毒类型构建病毒防范机制,充分了解病毒知识,做好主动防范工作,增强杀毒的敏感性,以全面提高网络防范能力。网络层的安全管理。网络层的安全管理主要针对网络协议和结构及其所导致的安全问题应采取的安全措施。主要包括:网络安全告警,内部流量和活动模型分析,网络入侵恢复,网络结构数据保护,内部加密与密钥管理等。各个子网的出入口设备的安全管理是其管理的关键点,由于嵌入式操作系统作为网络安全管理的核心技术比通用的操作系统更易实现,因而不可避免地成为整个信息产业发展的重点之一。应用层的安全管理。采取数据加密等技术确保安全,使用签名芯片及时实现加密技术的有效应用。严格控制访问权限,通过设置口令、密钥、指纹、声音等方式进行身份鉴别和访问控制,并防止越权操作。对数字化设备、存储介质应进行安全保密技术处理,数字化加工设备不得外送维修,对系统中各种操作实现严格的监控并加以记录。做好日常的系统维护工作,确保数据的安全存储、转移和备份恢复。
3.2创新信息安全管理机制,全面提高防范意识
制度层的安全管理。强化制度建设,形成有效的安全管理机制,为信息安全建设提供制度保障。为确保数字化档案信息安全,高校档案馆(室)要建立健全各项安全管理制度和责任制度,在面临突发灾害时,紧急启动应急预案,形成联动机制,因地制宜,妥善处理影响档案安全的各类突发事件。对档案要强化监督和管理,认真进行档案密级鉴定,做好档案数字化的各项安全保密工作,对密级档案严格审核,做出是否变更或解除的决定,对控制知悉、使用范围的档案进行划控,密级档案以及控制知悉、使用范围的档案,须在安全保密的场所由其单位工作人员负责人加工处理;对特殊载体档案采取特殊保护,对珍贵、频繁利用的纸质档案优先保护、定期消毒。其次要制定数字化档案安全权利清单和责任清单,将数字化档案信息安全建设作为日常工作运行的重点,实行领导责任制,明确在信息安全建设中各个环节的责任程序和责任人,科学界定工作职责,完善安全隐患定期排查制度,规范细化档案数字化工作流程,强化对权利运行的制约和监督,严格按照任务清单要求,全面落实好安全主体责任,不断加大问责力度,建立健全安全问题通报制度,确保安全权利清单制度落地见效。不仅如此,高校档案馆(室)也应加强数字化加工场所和设备实施的安全监管。加工场所应设置在符合保密要求且相对独立的区域,安装视频监控系统、实施全程监控,严格核查出入人员身份,无关人员不得进入场所。工作人员不得在场所内吸烟、饮水、进食,严禁携带照相机、摄像机、手机等信息设备及其他与工作无关的物品入场,禁止以拍摄方式获取档案信息或携带实体档案及电子档案外出。用于档案数字化的设备系统必须与其他网络物理隔离,禁止安装使用无线网卡等具有无线互联功能的硬件和设备,对设备输入、输出接口进行封闭处理,并进行检查登记。此外,若采取数字化委托加工方式,应设有专人负责安全保密工作,无安全事故、泄密事件等违法记录。数字化加工单位应与受委托的专业公司签订保密协议,确保数字化加工场地的安全管理。以制度有效运行作保障,积极为档案信息安全铸造坚固的防护体系。组织层的安全管理。各高校要因地制宜,把数字化档案安全体系建设摆上议事日程,制定适合本学校的数字化档案信息安全建设规划和实施方案,将档案信息安全体系建设纳入单位(部门)年度考核、目标管理等工作的重要内容,加强日常的监督、检查和指导,定期听取档案安全工作汇报,研究部署年度工作计划,领导要亲自过问,在经费投入、技术保障、处室配合、人员使用等方面给予大力支持,各高校档案(馆)室要加快建立数字化档案信息安全领导小组,充分调动专职档案人员工作的主动性和积极性,并根据学校机构设置和人员变动情况,适时调整充实领导组成员,明确各部门分管档案信息安全工作的领导,逐步细化完善档案信息安全工作岗位职责,做到档案信息安全工作人员职责清晰、分工明确,确保档案安全工作顺利有序开展。
3.3加大人才培养力度,打造复合型数字化安全管理专业人才
高校档案馆(室)要加大数字化档案信息安全专业技术人才的培养力度,积极开展档案信息化知识技能培训和数字化安全岗前教育培训。制定科学合理的人才规划,数字化档案安全的核心在于人,人是保证数字化档案安全的关键,一切安全技术的实施都离不开专业技术人员,努力建设一支素质优良,结构合理,队伍稳定,既通晓档案网络技术知识又能熟练掌握安全管理技能的综合型人才,不断探索培养优秀档案信息化人才的新途径。
3.4加快法律法规体系建设进程,营造良好的依法治档环境和氛围
建立健全数字化档案安全法律法规,真正落实依法治档。档案管理人员要严格遵守档案安全法规和保密规定,采取综合防范策略,建立科学合理的操作规范,积极防御,不断提升防护水平,净化网络安全环境。加大安全执法力度,严加惩处盗取、篡改信息的机构和个人,并依法追究相关责任。重视安全法律法规宣传工作,利用校园网,宣传安全知识以及学校关于档案安全工作的规章制度。通过档案网站,及时国家颁布实施的档案安全法律法规,认真学习并贯彻落实上级档案主管部门关于档案安全管理的文件精神,让广大师生不断强化安全和保护意识,充分认识学校档案安全工作的重要性。
4结论
高校数字化档案信息的安全管理是一项漫长而艰巨的任务,涉及技术、法律、制度、意识、人员等方方面面,随着社会信息化的飞速发展和科技的日新月异,影响数字化档案信息安全的因素也日益繁多,高校档案安全工作将面临新的挑战,各高校档案馆(室)应高度重视,通力合作,使数字化档案信息的安全管理逐步迈上规范化、科学化的轨道,为档案的永久安全保管和历史文化的传承做出应有的贡献。
参考文献:
[1]种金成,何祖华.高校馆藏档案数字化实施方案及安全策略研究[J].黑龙江档案,2014(1):44-45.
[2]赵鹏.从档案安全体系建设的角度看档案保护[J].中国档案,2010(6):25-27.
[3]杨冬权.建立完善的档案安全体系确保档案安全[J].兰台世界,2010(6):1-2.
网络安全规划方案篇9
训后建网、先建库后建网。
关键字:校园网络、规范、培训、教育教学资源库
校园网络:指学校校园内部信息设备互相连接运行的局域网络。是由计算机、网络技术和应用软件等构成的,为学校管理和教育教学服务的集成应用系统,并可通过与广域网的连接而实现远距离住处交流和资源共享。
如何规范架建校园网络,这是每一个现代化学校都必须面对的问题,有的学校花了大力气,架起了自己的校园网络,但却不能收到理想的效果,而且许多的电脑都只是流于文字处理,网络也只是用于文件的传输,大大浪费了网络资源。而有的学校花的钱不多,但由于充分利用起网络的优势,为学校管理和教育教学提供了最大的方便,网络在学校里起到了举足轻重的作用。
要规范地架建好校园网,必须做到“三先”,即先规划再建网、先培训后建网、先建库后建网。
一、先规划后建网。
规划胜于一切,没有好的规划,校园网建设“入倍出半”。在计算机技术和信息技术迅猛发展的今天,全国各地经济比较发达的地方绝大部分中、小学都已经先后架建起了自己的校园网络或准备架建自己的校园网络,但真正能充分利用好校园网络的学校却并不多见,问题的根源就是在于没有很好的规划好如何架建校园网络。
要规范地架建校园网络,必须清楚你需要什么样的校园网络,你需要校园网络来干什么?
要架建校园网,首先我们要知道我们需要什么样的校园网。通常学校对校园网络的要求有以下几种:
1、最简单的校园网络:包括一个微机房、一个教师电脑办公室以及几台教师办公室使用的电脑。这样的配置基本可以应付日常的计算机课程和教师办公、校长管理。学校也可以使用校长管理系统、教师办公系统、学生成绩管理系统、人事档案管理系统、财务管理系统等几个独立的管理系统。
2、中档配置的校园网络:包括若干个微机房、一个网络服务中心、每个教室配备电脑一台、每个教师办公室配备教师办公电脑。这样的配置可以满足管理、办公、教学、辅助教学的大部分要求。学校可以使用校长办公系统、教师办公系统、学生成绩管理系统、人事档案管理系统、财务管理系统、医务所药物管理系统、教师学生就诊系统、教师备课系统、图书馆管理系统、多媒体教学资源库系统、校园网站等。
3、高档配置的校园网络:包括足够的微机房,一个大型的网络服务中心,每个教室配备微机若干台(甚至学生人手一台微机),每个教师配备办公电脑,这样的配置可以实现所有的自动化校园管理和教育教学信息自动化。学校可以使用各种的管理系统、电子图书馆、网上学校,实现真正的网上教学。
要架建校园网络,还要知道我们需要校园网来干什么,这样才能根据自己的实际需要来架建适合自己的校园网络。
利用校园网络最基本可以做到学校管理自动化,例如:人事档案管理、教师办公、行政管理、学生学习、学生生活、校产管理、学生的成绩、评语、奖惩记录、身体发育的管理。如果配置允许,还可以实现校内无纸化办公、教师电子备课系统、教师辅助教学系统、校园网页、网上学校等。所以要架建校园网络前必须先根据自己的需要规划好校园网络。
另外,架建校园网还需要适应学校的长远发展规划,根据具体的情况采取统一的规划,分阶段实施,逐步到位的建网原则。
必须认清形势,了解到学校日后的发展规模、学校的发展方向、学校的发展潜力,然后根据学校的这些情况,统一规划好校园网络的架设。切忌一窝蜂上马项目,应该循序渐进,规划好架建的先后顺序,再根据学校的需要,先上马什么,然后再增加些什么内容。而且在设备的购置清单中必须考虑到计算机的更新换代和对软件的要求等几个方面。先是硬件到位,然后再是软件跟进,使整个校园网的建设能有序进行,这样才会省钱省力。
架建校园网的设备,除了考虑到日后的更新换代外,摆在首位的是学校的实际需要问题。根据学校的实际需要,确定计算机的主要配置,而且如何使用最佳的配置来实现最理想的要求而只花费最少的成本,这是每个校园网都必须考虑到的问题。这就必须要对学校的要求有一个大概的了解。
下面我们举一个例子来探讨一下架建校园网络的规划:
一个中型城市的完全中学拟架建自己学校的校园网,学校教室和教师办公室相当比较集中。根据学校的需要,首先要建起两个微机房,每个机房拥有电脑60台,两个机房不宜配置同样的电脑,我认为最好一个机房配置低一点,只需要能支持一些简单的操作、文字处理、程序编辑、互联网冲浪等。那么每台机器大概需要3500元左右,60台机器也就是21万元左右,然后加上一台服务器以及网络设备,大概需要22.5万元左右。另外一个机房则需要配置高一点,除了有上述的要求外还要支持多媒体的运行以及一些图像的处理,这样每台机器大概需要5500元左右,60台机器也就是33万元左右,另外加上一台服务器以及网络设备,大概需要34.5万元左右,那么光是两个机房的设备就花费了57万元。
另外全校一共有六个年级三十六个班,每个班配备电脑一台,配置与高配置机房的电脑一样,需要大概20万元。学校一共有办公10个,也配备同样的电脑各2台,共11万元。学校还需要建立起一个网络服务中心,配备服务器5台,共5万元。加上一批的网络设备和办公设备,约7万元。
也就是说建立一个中档配置的校园网络光设备的购置就约花费100万元。接下来就是选择技术、施工力量雄厚,经验丰富,有良好售后服务,信誉良好的厂商承包工程。施工前必须先规划好网络线的布局,网络服务中心的位置,以免出现网络设备的浪费。
工程实施前,还要找到一家技术力量雄、经验丰富、有良好售后服务、信誉良好的公司来编写学校的各种管理系统。这样,一个颇具规模的校园网络的规划也就差不多完成了。
二、先培训后建网。
校园网的建设,必须先进行全员培训,即先要实现学校教师、技术人员和管理人员的全员培训,才考虑架建网络。如何没有一支技术过硬手教师、技术人员和管理人员队伍,校园网就算是架设好了,也会由于使用人员水平问题而不能正常运行或发挥最佳的运行效果。而且还要由于使用人员和管理人员的误操作而导致网络瘫痪,引致的损失无法估量。
所以当规划好校园网,找到了合适的硬件厂商和软件公司后,立即要着手做的就是对全校教师和管理系统使用者进行全员培训。教师和管理系统使用者的全员培训可以分成几个部分。
1、全体教师的培训。教师的培训主要着眼于几个方面:第一,对电脑操作的熟悉及常用软件的使用;第二,教师办公系统的使用;第三,教师电子备课系统的使用;第四,多媒体辅助教学软件的使用;第五,国际互联网的使用;第六,计算机系统的安装和常用软件的安装;第七,常见的软、硬件故障的解决方法。
2、管理系统使用者的培训。管理系统使用者的培训主要着眼于几个方面:第一,对电脑操作的熟悉及常用软件的使用;第二,相应的管理系统的使用,第三,国际互联网的使用;第四,计算机系统的安装和常用软件的安装;第五,常见的软、硬件故障的解决方法
3、网络管理员的培训。网络管理员可以说是最重要的人,整个校园网络能否正常运行就取决于这个管理员的水平。学校最好是聘请有经验的专职人员来从事这一项工作,如果聘请不到专职人员的话,也可以聘请一位对电脑熟悉的教师来担任,网络管理员的培训主要着眼于几个方面:第一,服务器的安装和维护;第二,服务器操作系统的使用;第三,服务器操作系统的安装和维护;第四,互联网技术,第五,网络安全的技术。
4、硬件维修人员的培训。拥有一个校园网络,不可能长期依赖于硬件供应商的售后服务,学校必须拥有一到两个硬件的维修人员来维护学校的网络和硬件以及办公设备。硬件维修人员应该参预到学校的整个网络铺建的工作中,熟悉全校的网络线路的布局。硬件维修人员的培训主要着眼于几个方面:第一,网络的架设技术;第二,微机的安装和保养;第三,微机故障的处理和维修;第四,网络故障的处理和维修。
5、软件维护人员的培训。拥有一个校园网络的管理系统,也不可能长期依赖于软件公司的售后服务,学校必须拥有一到两个软件的维护人员来维护学校管理系统的正常运作。软件维护人员应该参预到学校的管理系统的开发中,熟悉学校管理系统的结构和原理。软件维护人员的培训主要着眼于几个方面:第一,数据库的技术;第二,软件开发平台软件的技术;第三,系统设计的原理;第四,系统故障的处理和维护。
以上五种人员的培训工作都必须走在学校架建校园网络的前面,尤其是第四、第五种人员。而上述的五种人员中,教师的培训主要由学校自己找合适的人士来培训;第二、三、五种人员则应该由为学校编写管理系统的软件公司负责培训;第四种人员则应该由为学校铺设校园网络的厂商负责培训。
只有上述五种人员配备好,培训好,校园网络建成后才能马上投入使用,并发挥其最在的效用,否则,就像前面说的一样,由于网络及管理系统使用人员的水平问题而导致不可估量的损失。
三、先建库后建网。
要建立校园管理系统,必须先要建立校园的档案库;要建立学生管理系统,必须先要建立学生档案库;要建立教师电子备课系统,必须先建立多媒体教学资源库。所以说,要建立校园网络,必须先建立好校园数据库。校园数据库内容包括很多很多的内容,但总的来说,我们都称之为教育教学资源。也就是要建立好校园网络,必须先建立起学校的教育教学资源库。
教育教学资源库包括的内容有:人事档案库、财务档案库、文件档案库、教学信息库、教育信息库、多媒体信息库等。
人事档案库包括:教师档案库、职工档案库、学生档案库。教师档案库中包括了教师的一些基本个人资料、教师在学校的历任和现任职务、教师在学校期间的考核资料、教师在学校期间的奖惩情况等。学生档案库中包括学生的成绩、评语、奖惩、身体发育状况等。
财务档案库包括:校产档案库、工资档案库、收支档案库。校产档案库中包括了常规教学设备资料、电脑电教设备资料、图书资料、水电维修和木工资料、环境保护资料。
文件档案库包括:政府下达文件库、学校下发文件库、学校各种获奖文献库、学校的各种计划和总结文件库。
教学信息库包括:各学科教案库、各学科试题库、各学科升中/升大资料库、教学改革信息库、教学研究信息库。教案库中包括了各学科教师对每一节新授课、复习课的教案,以便日后教学总结及提高教学能力之用。试题库中包括了各种难度、各阶段的练习、测试、考查的试题,而且是每一题试题都已经经过分析并得出其难度的题目,以便从题库找出相应的题目组成一份试题。
教育信息库包括:学生基本档案库(也就是学生的人事档案库)、后进生改变档案库、教师与学生谈话记录档案库、教育活动档案库、教育信息档案库。其中教育活动档案库包括了每次教育活动的计划、总结、效果的记录,教育信息档案库包括了教育文摘库、教育改革信息库。
多媒体信息库:包括了声音素材库、图像素材库、影视素材库。多媒体信息库是为了教学服务,教师电子备课系统、辅助教学系统、学生学习系统都必须使用到这一类的信息。
只有把这部分信息库都建好或者规划好,校园网建起来才会很好的运转起来。如果这部分信息库没有建好,那么校园网建好后也只是一个空壳,空有外表,内在运作不起来,校园网没有充分利用起来,资金投入了没有好的收获。
所以说要规范地架建校园网络,必须做好“三先”,即:先规划后建网,先培训后建网、先建库后建网。
网络安全规划方案篇10
〔关键词〕图书馆;网络信息安全管理;模型
doi:10.3969/j.issn.1008-0821.2014.02.016
〔中图分类号〕g250.7〔文献标识码〕a〔文章编号〕1008-0821(2014)02-0076-06
借助于网络高新技术的发展,新的信息资源形态和使用方式,给图书馆读者带来便利的同时也必然存在许多隐患。计算机网络分布的广域性、开放性和信息资源的共享性,为信息的窃取、盗用、非法的增删、修改及种种扰乱破坏,提供了极为方便且难以控制的可乘之机,图书馆信息服务的权益及监督得不到有效的保障;同时,由于计算机网络的脆弱性,图书馆的网络系统本身经常处于黑客的攻击之中,一旦图书馆网络出现故障,轻则信息服务得不到有效保障、数据丢失,重则整个图书馆处于瘫痪境地。因此,在信息化时代,图书馆信息安全显得尤为重要,构建图书馆网络信息安全管理模型来保证网络信息安全,使其高效运行是图书馆现代化建设中一项迫在眉睫的重要任务。
1信息安全管理概述信息安全管理,是指实施和维护信息安全的原则、规划、标准和内容的综合,包括信息安全策略、信息风险评估、信息技术控制和信息安全意识等。这些内容在一个信息安全治理框架下相互协调、相互说明,从而为组织提供全面的信息安全规划。它结合技术、程序和人员,以培养信息安全文化为目的,最终实现信息资产风险的最小化。为对信息安全内容有一个全面深入的了解,本文从信息安全原则、信息安全规划、信息安全标准和信息安全内容4个方面进行详细的论述,从而为图书馆网络信息安全管理模型的构建提供理论上的指导。
1.1isa信息安全原则为保护组织的信息资产免遭威胁,tudor提出了一个全面灵活的信息安全架构方法(informationsecurityarchitecture,简称isa),这种方法提出5个关键性的信息安全原则(见表1)[1]。这些原则,可以了解组织工作的风险环境并对其实行评估和控制,从而减少这种风险;强调遵守国家信息安全法规的重要性,确保组织的机密信息受到国家的保护;涵盖信息安全技术与过程,满足组织信息安全的需要。表1isa信息安全原则
原则含义或目标1安全组织和基础设施确定角色、职责和执行赞助。2安全政策、标准和程序制定政策、标准和程序。3安全规划风险管理纳入安全规划。4安全文化意识和培训通过用户培训提高安全意识。建立用户、管理和第三方之间的信任。5监控规范监控内外部的信息安全。
1.2cmm信息安全规划为给组织提供一整套信息资产免受未经授权的访问、修改或销毁的信息安全整体规划,mccarthy和campbell构建了能力成熟度模型(capabilitymaturitymodel,简称cmm)[2]。该模型包括7个信息安全规划内容(见表2),目标是从战略层面开始并用战略水平去指导技术等方面的工作,在评估当前信息安全风险的基础上构建合适的解决方案以减轻风险,并在实践过程中对各解决方案集成应用与监控。表2cmm信息安全规划
规划含义或目标1安全领导安全赞助、安全策略以及投资回报。2安全规划安全规划程序、资源和技能。3安全政策安全政策、标准和程序。4安全管理安全操作、监控和隐私。5用户管理用户安全管理和意识。6信息资产安全应用程序的安全、数据库/元数据的安全、主机安全、内外部网络安全、杀毒及系统开发。7技术保护与持续性物理和环境控制与持续规划控制。
3protect信息安全标准在eloff.j.h和eloff.m所主持研究的“protect”项目,是政策、风险、目标、技术、执行、合规性和团队的英文首字母的缩写,对信息安全管理及标准进行了综合的介绍[3]。“protect”项目涉及各种集成控制的方法,在确保组织的有效性和效率的基础上尽量减少风险,目的是全方面解决信息安全的问题。为实现项目目标,该项目提出了7个信息安全标准(见表3),确保信息安全规划从技术术和人文角度得到有效的实施和管理。
1.4iso/iec17799和iso/iec27001信息安全内容国家标准组织(iso)指出信息安全技术是实现信息安全管理的关键点,通过技术对信息系统进行安全性控制,是信息安全管理的重要内容。
了更好地实现信息安全控制,iso提出了11个具体的信息安全控制内容(见表4),这些内容已成为国际上通用的信息安全内容的重要标准,即通常所说的iso/iec17799[4]。而iso/iec27001是iso/iec17799的第二部分,提出了包括操作、监控、审查、维护和提高等一系列持续改进信息安全管理系统的方法与过程[5]。表42图书馆网络信息安全内容的选取与管理模型的构建前文所述的信息安全管理的原则、规划、标准及内容是基于整个信息社会行业而言的,具有一定概括性且4个方面之间存在着重复性,为了构建出更具针对性的图书馆网络信息安全管理模型,笔者根据图书馆的特性对信息安全管理的原则、规划、标准和内容进行选取与整合,构建出符合图书馆应用要求的信息安全管理模型。
2.1图书馆网络信息安全内容的选取图书馆网络信息是对外开放并以支持教学和科研为目的。在这种情况下,网络信息安全是指读者未经授权无权使用、移动、修改和破坏图书馆信息。在对图书馆信息采取安全保护措施时必须确保其具有以下属性:①保密性:确保图书馆隐私信息的安全。此类信息必须严格控制读者访问量,只能授权一定级别的读者访问;同时,有权限访问图书馆隐私信息的读者也不能向公众透露相关的隐私信息。②完整性:确保图书馆信息是准确、完整并具有持久性。因此,图书馆信息安全管理要确保图书馆信息内容不是残缺不全的、失踪的、腐朽的、任意放置的,外借、故意或意外变化不会边缘化,在盗窃或破坏中具有安全性。③可用性:读者在授权时间内能无限制地访问并获取图书馆信息。图书馆必须有一个安全稳定的信息管理(网络)系统来支撑图书馆的运行,确保图书馆信息能及时传递而不会被延误。在维护图书馆信息安全的同时确保图书馆信息的保密性、完整性及可用性不缺失,这就要求在构建图书馆网络信息安全管理模型时对信息安全内容的确定带有一定的甄别性,不能将信息行业安全管理的所有原则、规划、标准及内容全部应用于图书馆安全管理。根据图书馆信息的特性,本文从管理、运行与操作、人员、建筑与技术及安全文化5个维度对图书馆信息安全的内容进行了选取,这5个维度的具体内容在图书馆网络信息安全管理模型中将会详细论述。
2.2图书馆网络信息安全管理模型的构建图书馆网络信息安全管理目标是为图书馆网络信息安全保护提供整体性方案,结合管理、运作流程、人文、建筑与文化氛围来保证图书馆信息安全管理达到一个合理水平,从而保证图书馆信息风险最小化。为实现这一目标,abasheatikumaidabino和zainab在满足图书馆信息的特性上,将daveiga和eloff构建的“房屋模型”[6]加以简化与融合,构建出图书馆网络信息安全管理模型[7],见图1。该模型将所有信息安全因素集合,确保图书馆信息能够得到充分保护,同时为图书馆提供一个全面的方法和工具来实施和评估信息安全管理。模型内容主要集中于5个维度:(1)管理维度:正确的领导,政策与程序到位;(2)流程和操作维度:包括实施过程、政策;(3)人员维度:读者/馆员信息安全意识和图书馆信息安全项目培训;(4)建筑和技术维度:支持馆藏信息安全项目;(5)安全文化维度:将图书馆馆藏信息安全理念有意识地植入馆员日常工作中[8]。图1图书馆网络信息安全管理模型
管理维度是指一组角色的规定,信息安全政策制定与管理由负责制定目标和政策的安全管理团队成员行使,从而确保目标和政策的实现,信息风险的评估与管理。图书馆的安全管理团队由图书馆各部门高级管理人员和安全部门的人员组成。这些成员应具备必要的信息应用和安全管理方面的经验和知识,这些成员被授权管理时能够遵守信息安全政策。信息安全管理责任是模型中管理维度的重要部分,这就要求图书馆应规划与制定精确的信息安全管理策略,明确风险管理的目标和方向。信息安全风险评估在图书馆各级安全规划风险设置中处于优先级别。馆藏信息定期风险评估规则的编制涉及图书馆资产类型、收藏价值、识别可能出现风险的威胁、漏洞和成本分析等详细的情况。信息安全漏洞可以通过会议、问卷、观察和报告来确定。通过信息安全漏洞的监测和风险评估过程的完善可以降低图书馆信息安全的风险,并能缓解图书馆的一些过度的承诺。管理维度强调要为图书馆信息管理、记录、维护、审查、更新风险管理政策和程序编写报告,通过快讯、交互式网页及其他内部刊物在馆员与读者之间
广泛宣传馆藏信息安全管理的必要性,将信息安全意识植入馆员与读者脑袋。这一维度有利于为图书馆提供良好的馆藏安全管理信息。流程与操作维度是指信息安全管理团队为图书馆各相关部门制定信息安全管理运行方案的过程。分别是:(a)采访部:参与接收,标记并建立可用于识别丢失、错放地方和费用的库存清单,以便于图书馆备份和恢复;(b)流通部:创建手工或计算机系统对图书馆纸质信息进行丢失、被盗、错位、滥用、损坏等方面进行盘点,通过访问控制和信息的记录与跟踪,确保图书馆信息安全系统的修理与维护;(c)编目、技术部:通过图书馆opac系统对馆藏信息集合进行处理,应用图书馆识别标记建立和验证馆藏信息所有权,标识未经处理的信息并进行访问控制;(d)特藏部:对有价值的馆藏信息载体进行保护与保存,授权访问与监控。人员维度是指读者和执行安全管理政策与程序的馆员的安全意识。它规定图书馆需要阐明信息安全管理人员的角色和责任,对馆员进行有效的安全意识培训,帮助他们获得处理安全事件、准备可靠实用安全报告的知识。建筑与技术维度涉及信息安全管理所需要的建筑与技术氛围。建筑氛围是指信息安全管理措施应与图书馆建筑的物理结构和藏书空间融为一体:控制图书馆出入口;需要id卡身份识别进入图书馆特别是特别馆藏区域;制定保安巡逻图书馆的时间表。技术氛围包括技术实践和嵌入到馆藏安全应用规划中的各种程序。它强调使用电子安全系统等技术设备来处理馆藏应用过程,控制安全漏洞,并在图书馆出入口点安装安全系统。这就意味着图书馆需要安装电子反盗窃设备、可视化相机、烟感探测及出入口、阅览区报警系统等安全设备。这将有助于防止图书馆藏书的丢失和对阅读区、参考咨询区及书库进行可行性监控和读者流量的检测。安全文化维度作为图书馆网络信息安全管理模型构成基础的安全文化,包括读者和馆员对图书馆信息重要性的态度、信息保护存在的安全漏洞、信息相关事件的意识、阻碍或限制信息安全管理系统有效性的意识。意识是一个看不见但可以通过行为来证明的元素,如(a)图书馆馆员的馆藏信息安全政策和管理过程的认识水平;(b)馆员对安全政策和程序重要性的态度;(c)安全漏洞和安全验收责任的意识[9]。图书馆网络信息安全管理模型中的安全文化是一种安全责任相互共享的文化,安全人员能够相互提供信息和工具来应对各种安全情况。这种态度与意识能够确保图书馆信息安全治理、管理和运行的有效性。图书馆网络信息安全管理系统在权重一致的5个维度的相互作用下,在馆藏信息得到安全管理的同时还能确保其在保密性、完整性和可用性上维持在一个合理的水平。
3图书馆网络信息安全管理模型应用方案目前,在图书馆的计算机网络上有馆藏书目信息、读者信息、各种电子文献数据库、光盘数据库检索系统、图书管理系统、特藏数据库等内容[10]。这些电子资源信息如果受到破坏,那么损失将会非常惨重,很可能会造成整个图书馆系统瘫痪。就目前的状况来看,图书馆所面临的网络信息安全问题主要有黑客攻击、计算机病毒、网络物理设备安全隐患、网络设备配置安全与人员造成的安全隐患等方面。为了预防与应对上述隐患对图书馆可能会带来的网络信息安全故障,图书馆应按照网络信息管理模型5维度的要求,建立起科学、规范、有效的网络信息安全管理流程(见图2),将网络信息安全隐患处理于萌芽之中。图2图书馆网络信息安全管理流程
应用图书馆网络信息安全模型处理网络信息安全故障,其管理流程可分为3个阶段:故障初排阶段、故障处理阶段与评估阶段。在故障初排阶段,图书馆工作人员或读者在应用图书馆的过程中,如果发现信息安全故障,应及时进行隐患初排并上报技术部,由技术部工作人员对该事件进行了解,并请求技术部主管上报给以馆领导为主的信息安全管理团队;在故障处理阶段,技术部工作人员根据事件了解进行安全故障检查并调查影响范围,从而形成第一次进程报告,并将其上报给馆领导,由馆领导进行资源调度后,技术部应急抢修;技术部附上应急抢修进程报告上报给馆领导形成第二次进程报告,然后结案、审核并归档;在评估阶段,各部门对此次信息安全故障事件进行评估总结。图书馆网络信息安全管理模型是以人为核心的信息安全保障体系,它强调的不是技术问题,而是管理的问题。图书馆网络信息安全在以馆领导为核心的安全管理团队的
领导下,在工作人员、读者的共同配合下,依靠科学的管理流程,定能将图书馆网络信息安全管理达到一个全新的层次。 4结束语构建一个适应计算机网络普遍应用的图书馆网络信息安全管理模型,不仅是适应新形势的需要,也是图书馆信息数字化建设的重要组成部分。随着图书馆社交网络应用的普及,图书馆信息将面临更大的开放性和更多的安全方面的挑战。图书馆网络信息安全管理模型是一个包括技术、管理、人员和安全文化等多个环节整体性很强的体系,不能孤立或静止地看待和解决问题,网络信息安全性的提高依赖于不断的技术进步和应用,依赖于管理的逐步完善和人员素质的全面提升。相关人员应根据网络信息的特点和需求,进行有针对性的系统设计,不断地改进和完善网络技术的安全工作,更好地推动图书馆网络事业健康发展。
参考文献
[1]j.k.tudor.informationsecurityarchitecture—anintegratedapproachtosecurityinanorganization[m].bocaraton,fl:auerbach.
[2]mccarthym.p,campbells.securitytransformation[m].mcgraw-hill:newyork.
[3]eloffj.h,eloffm.integratedinformationsecurityarchitecture[j].computerfraudandsecurity,2005,(11):10-16.
[4]iso/iec17799(bs7799-1).informationtechnology,securitytechniques[s].codeofpracticeforinformationsecuritymanagement,britain.
[5]iso/iec27001(bs7799-2).informationtechnology,securitytechniques[s].codeofpracticeforinformationsecuritymanagement,britain.
[6]a.daveiga,j.h.eloff.aninformationsecuritygovernanceframework[j].informationsystemsmanagenment,2007,(4):361-372.
[7]abashemaidabino,a.n.zainab.aholisticapproachtocollectionsecurityimplementationinuniversitylibraries[j].librarycollection,acquisitions&technicalservices,2012,(36):107-120.
[8]siponem.t.fivedimensionsofinformationsecurityawareness[j].computerandsociety,2000,(6):24-29.
[9]holtg.e.theftbylibrarystaff[j].thebottomline:managinglibraryfinances,2007,(2):85-92.