首页资料文库正文

网络安全设计方案总结十篇

时间：2024-02-21 18:00:45

网络安全设计方案总结

网络安全设计方案总结篇1

关键词：思科设备；企业网；安全方案

中图分类号：TP393.08 文献标识码：A 文章编号：1006-8937（2013）14-0083-01

随着企业网络不断的扩展和互联网技术的不断更新，各大中企业越来越多的通过网络来发展业务。由于大中企业的发展规模不断扩大，员工人数的不断增加，并且扩展了越来越多的分公司。现有的企业网络系统逐渐不能满足企业信息化建设在安全性和可靠性等方面的要求。因此，对大中型企业网络进行改善，以提高网络的可用性、安全性、可靠性、稳定性，并具有一定的可扩展性要求，用来满足企业业务发展的需求是十分必要的。通过按照企业网络的建设规划和总体要求，主要通过利用原有综合布线系统和设备的基础上，重新规划实施，建设安全性高的企业内联网，以满足网络整体性能的要求，并为各种网络服务和信息系统的使用提供运行良好的网络平台。

1 企业网安全建设需求分析

按照目前大中企业网络建设规划和总体要求，将对企业网络设备进行相关的配置和实施，使企业网络满足设计的要求，实现高效的企业网络的办公网络系统。将网络按照层次的要求满足发展中公司信息化的要求，并具有一定的可扩展性。同时，满足企业分公司和总公司的信息传输和资源共享的要求及员工增长的要求。主要进行如下需求分析。

①网络部分的总体设计需求。企业网络大都是通过路由器设备连接成一个统一的企业内联网，满足公司对网络统一管理的要求。本方案计划使用OSPF开放最短路径优先协议和BGP协议分别作为内部和外部路由协议。选用OSPF的好处在于OSPF作为链路状态协议已成为业界标准，并且具有行业内的各大厂商的支持基础，该协议的优点还具有路由信息传输的可控性，还能充分保证链路的负载均衡。在总体需求中，企业网络在结构上主要按网络层次进行分层设计，主要分为三层，分别为核心层，汇聚层和接入层，接入层交换机全部冗余上行链路，分别上联到汇聚层交换机，这个既保证了企业网络的安全性和可靠性，同时又实现了企业虚拟局域网的统一配置管理和企业网络环路避免。

②系统部分的总体设计需求。通过对企业网络的服务器及客户机进行安全方面的设计，以提高网络的安全性，而且公司的服务器等可以在总公司实现，分公司只使用总公司提供的应用服务，不需要自己建设。

③安全部分的总体设计需求。根据企业网的运行规律和安全现状，在企业网络中应用热备份路由协议对交换及路由设备进行备份。即保证了企业网的信息处理和传输系统安全，它侧重于保证企业网络系统正常运行，有效避免了企业网络系统的崩溃对企业信息的处理和资源共享造成大的故障。同时在企业网络的系统信息安全方面还通过域环境管理企业的资源访问，通过设置用户安全问题跟踪，计算机病毒防治，数据加密等避免有害的信息传播后造成的后果。同时为了避免企业网络上大量的机密信息失控，设计时，需要在企业网络的出口处设计防火墙技术，从而使出入企业网络的数据流量都必须经过防火墙的过滤，通过利用防火墙技术对企业网络数据包进行安全过滤，并实现安全访问控制。

④整体规划指导思想。企业网络建设将采用思科公司的网络设备和先进的计算机及软件，以及先进的管理模式，实现一个高效的企业网络的办公网络体系。企业网络的各类服务器以及各种操作系统和应用软件必须考虑技术上的先进性和通用性，并且要有良好的售后技术，而且需要方便维护和升级。

⑤方案实施主要依据原则。方案设计实施依照国家及行业有关标准完成。企业网络安全设计应满足企业未来发展的要求，具有充分的可扩展的能力，随着公司规模的扩大，本设计方案仍然能够满足公司运营的需求或变更和升级。而且项目设计应遵循实用的原则，并且提供良好的培训及售后服务。

2 安全方案设计

按照企业网络的总体建设规划和总体要求，现在将对企业网络新购的和原有的思科公司的设备进行相关的配置和实施，使公司网络满足设计的要求，实现高效的办公网络体系。将网络复杂化进行分层化的处理，满足大中企业发展的信息化的要求，并具有一定的可扩展性，同时满足企业分公司和总公司的规模增长的要求。

企业网络安全方案设计阶段主要分为以下几个部分，分别是交换机部分的设计，路由器部分设计，服务器部分设计，广域网部分设计和网络安全性部分设计。

①交换部分的设计。当企业网络的规模扩大，交换机数量增多时，可以减少管理员的工作量，在维护整个企业网络上VLAN的添加，删除和重命名工作时，还可以确保配置的一致性。从而降低了为止的复杂度，大大减轻了网络管理人员的工作负担，同时提高了安全性。

②MSTP多生成树的设计。企业网络的拥塞问题也会造成网络的效率大大的降低，通过多生成树协议可以避免网络广播的形成，多生成树协议的原理是把网络拓扑的环形结构变成树型结构，最主要的应用是为了避免企业网络中的网络环路，解决以太网网络的广播风暴问题，主要配置命令如下所示：

SW3-1（config）#spanning-tree vlan 10 root priority

③以太网通道的设计。以太网通道通过捆绑多条以太链路来提高链路带宽，并运行一种机制，将多个以太网端口捆绑成一条逻辑链路，主要配置命令如下：

channel-group 1 mode on

④热备份路由协议设计。企业网络的多台汇聚层交换机或路由器上启用热备份路由协议HSRP，其设计目标是支持特定情况下，当某一设备出现故障时，企业网络数据流量可以从故障设备切换到正常的设备上，并允许设备作为企业网络的网关，可以实现当实际第一条路由尝试失败的状态下，仍能保持整个企业网络的连通，主要命令如下：

SW3-1（config-if）#standby 10 IP IP-address

SW3-1（config-if）#standby 10 priority 120

⑤VPN专线技术设计。虚拟专用网在有总部和分公司的企业是十分有效的安全解决方案，VPN主要是通过一个公用网络建立一个安全隧道连接，它能够实现在公用网络中产生一条安全、稳定的隧道。虚拟专用网是对企业内部网的扩展，通过虚拟专用网可以实现在企业外部的用户、分支机构、商业伙伴及供应商安全有效的与公司内部网建立可靠的安全访问连接，同时保证了数据的安全传输。

⑥网络防火墙安全性设计。防火墙位于企业网络的总公司与外网之间。企业的所有计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。一个防火墙作为阻塞点、控制点能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，网络环境变得更安全。所以，在企业网络方案中选择的防火墙是CISCOASA5520-BUN-K9，能更保证我们组建的网络更安全更可靠。

3 结语

通过设计网络安全方案可以实现大中型企业网络的高效、安全和可靠性的正常运转，在基于思科公司的网络设备的基础上，利用各种交换技术和路由技术等构建适合大中型企业网络的安全解决方案设计，为企业网络的安全高效的运行提供良好的条件，当然随着网络技术的不断更新，还需要不断进行企业网络安全方面的设计。

参考文献：

网络安全设计方案总结篇2

第二条本省行政区域内计算机信息系统的安全保护，适用本细则。

军队的计算机信息系统安全保护工作，按照军队的有关法规执行。

第三条县级以上人民政府公安机关公共信息网络安全监察部门负责主管本行政区域内的计算机信息系统安全保护工作。

第二章安全监督

第四条公安机关公共信息网络安全监察部门对计算机信息系统安全保护工作行使下列职责：

（一）监督、检查、指导计算机信息系统安全保护工作；

（二）组织实施计算机信息系统安全评估、审验；

（三）查处计算机违法犯罪案件；

（四）组织处置重大计算机信息系统安全事故和事件；

（五）负责计算机病毒和其他有害数据防治管理工作；

（六）对计算机信息系统安全服务和安全专用产品实施管理；

（七）负责计算机信息系统安全培训管理工作；

（八）法律、法规和规章规定的其他职责。

第五条公安机关公共信息网络安全监察部门对重点安全保护单位计算机信息系统的安全检查，每年不应少于一次。

第六条公安机关公共信息网络安全监察部门采取24小时内暂时停机、暂停联网、备份数据等紧急措施须经县级以上公安机关批准。

第七条公安机关公共信息网络安全监察部门与所在地安全服务机构、互联网运营单位和其他计算机信息系统使用单位应当建立联防机制，依法及时查处通过计算机信息系统进行的违法犯罪行为，组织处置重大突发事件。

第三章安全保护责任

第八条单位和个人应当对其所有、使用和管理的计算机信息系统承担相关的安全保护责任。

提供接入服务和信息服务以及主机托管、虚拟主机、网站和网页信息维护等其他服务的单位应当和用户在合同中明确双方的计算机信息系统安全保护责任。提供服务的单位应当承担与其提供服务直接相关的安全保护义务。

第九条网吧、社区、学校、图书馆、宾馆等提供上网服务的场所和互联网运营单位应当落实相应的安全措施，安装已取得《计算机信息系统安全专用产品销售许可证》的安全管理系统。

第十条计算机信息系统使用单位和个人为了保护计算机信息系统的安全，可以与安全服务机构明确服务项目和要求，建立相对稳定的服务关系。

第四章安全专用产品

第十一条计算机信息系统安全专用产品生产单位在其产品进入本省市场销售前，应当取得公安部颁发的《计算机信息系统安全专用产品销售许可证》，并报省公安厅公共信息网络安全监察部门备案。

第十二条本省安全专用产品生产单位应当在领取营业执照后30日内持下列资料到省公安厅公共信息网络安全监察部门备案。

（一）单位简况；

（二）营业执照复印件；

（三）安全专用产品类型、功能等情况；

（四）主要技术人员资格证书复印件。

第十三条销售信息网络安全检测产品的单位应当在领取营业执照后30日内向地级以上市公安机关公共信息网络安全监察部门申请备案，填写《广东省信息网络安全检测产品销售备案表》，并提交如下资料：

（一）单位简况；

（二）营业执照复印件；

（三）信息网络安全检测产品销售和售后服务管理制度；

（四）主要技术人员资格证书和销售人员有效证件复印件。

第十四条信息网络安全检测产品只限于单位购买使用。购买信息网络安全检测产品的单位应当指定专人管理和使用，不得出租、出借、转让、赠送，不得擅自用于检测他人计算机信息系统。

用户购买信息网络安全检测产品，应当持单位的证明文件到所在地地级以上市公安机关公共信息网络安全监察部门办理备案手续，公安机关应当在15日内予以办理，发给《信息网络安全检测产品购买备案表》；不予办理的，应当书面说明理由。

用户应当凭《信息网络安全检测产品购买备案表》购买信息网络安全检测产品。投入使用后，应当在10日内将本单位的《用户IP地址配置备案表》报送所在地地级以上市公安机关公共信息网络安全监察部门备案。

第十五条信息网络安全检测产品销售单位应当查验用户的《购买信息网络安全检测产品备案表》后方可销售。

销售信息网络安全检测产品的单位，应当负责产品的使用授权和维护、更新。

第五章安全服务机构

第十六条安全服务资质实行等级管理，分一、二、三、四级。各等级所对应的承担工程的资格如下：

（一）一级：可承担所有计算机信息系统安全设计、建设、检测；

（二）二级：可独立承担第一级、第二级、第三级、第四级安全保护等级且安全投资总额为300万元以下的计算机信息系统安全设计、建设、检测，合作承担第五级安全保护等级或安全投资总额为300万元以上的计算机信息系统安全设计、建设、检测；

（三）三级：可独立承担第一级、第二级安全保护等级且安全投资总额为150万元以下的计算机信息系统安全设计、建设、检测，合作承担第三级、第四级安全保护等级且安全投资总额为300万元以下的计算机信息系统安全设计、建设、检测；

（四）四级：可独立承担第一级、第二级安全保护等级且安全投资总额为50万元以下的计算机信息系统安全设计、建设，合作承担第一级、第二级安全保护等级且安全投资总额为150万元以下的计算机信息系统安全设计、建设。

第十七条各安全服务资质等级条件如下：

一级资质：

（一）具有相应经营范围的营业执照；

（二）注册资本1200万元以上，近3年的财务状况良好；

（三）近3年完成计算机信息系统安全服务项目总值3000万元以上，并承担过至少1项450万元以上或至少4项150万元以上的项目；所完成的安全服务项目中应具有自主开发的安全产品；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30%以上（即不低于900万元）；工程按合同要求质量合格，已通过验收并投入实际应用；

（四）具有计算机安全或相关专业资格证书的专业技术人员不少于50人，其中大学本科以上学历的人员不少于40人；

（五）安全服务工作的管理人员应当具有5年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于5年；

（六）具有较强的综合实力，有先进、完整的软件及系统开发环境和设备，具有较强的技术开发能力；

（七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理和量化控制，并能不断改进；

（八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。

（九）竣工项目均通过验收；

（十）无触犯计算机信息系统安全保护等有关法律法规的行为。

二级资质：

（一）具有相应经营范围的营业执照；

（二）注册资本500万元以上，近3年的财务状况良好；

（三）近3年完成计算机信息系统安全服务项目总值1500万元以上，并承担过至少1项225万元以上或至少3项120万元以上的项目；所完成的安全服务项目中应具有自主开发的安全产品；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30%以上（即不低于450万元）；工程按合同要求质量合格，已通过验收并投入实际应用；

（四）具有计算机安全或相关专业资格证书的专业技术人员不少于40人，其中大学本科以上学历的人员不少于30人；

（五）安全服务工作的管理人员应当具有4年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于4年；

（六）具有先进、完整的软件及系统开发环境和设备，有较强的技术开发能力；

（七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理和量化控制；

（八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施；

（九）竣工项目均通过验收；

（十）无触犯计算机信息系统安全保护等有关法律法规的行为。

三级资质：

（一）具有相应经营范围的营业执照；

（二）注册资本100万元以上，近3年的财务状况良好；

（三）近3年完成计算机信息系统安全服务项目总值600万元以上；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30%以上（即不低于180万元）；工程按合同要求质量合格，已通过验收并投入实际应用；

（四）具有计算机安全或相关专业资格证书的专业技术人员不少于20人，其中大学本科以上学历的人员不少于15人；

（五）安全服务工作的管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于3年；

（六）具有与所承担项目相适应的软件及系统开发环境和设备，具有一定的技术开发能力；

（七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理；

（八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施；

（九）竣工项目均通过验收；

（十）无触犯计算机信息系统安全保护等有关法律法规的行为。

四级资质：

（一）具有相应经营范围的营业执照；

（二）注册资本30万元以上，近3年的财务状况良好；

（三）具有计算机安全或相关专业资格证书的专业技术人员不少于15人；

（四）安全服务工作的管理人员应当具有2年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于2年；

（五）具有与所承担项目相适应的软件及系统开发环境和设备，具有一定的技术开发能力；

（六）具有较为完善的组织管理制度、质量保证体系和客户服务体系；

（七）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施；

（八）竣工项目均通过验收；

（九）无触犯计算机信息系统安全保护等有关法律法规的行为。

第十八条申请安全服务资质，应当持下列资料向地级以上市公安机关公共信息网络安全监察部门提出申请：

（一）申请书；

（二）营业执照复印件；

（三）管理人员和专业技术人员的身份证明、学历证明和计算机安全培训合格证书；

（四）技术装备情况及组织管理制度报告。

地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的，报送省公安厅公共信息网络安全监察部门核准；初审不合格的，退回申请并说明理由。

省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查，符合条件的，核发资质证书。不符合条件的，作出不予核准的决定并说明理由。

持国家工商行政管理总局或省工商行政管理局核发的营业执照以及申请一级安全服务资质的机构，直接向省公安厅公共信息网络安全监察部门提出申请，省公安厅公共信息网络安全监察部门应当在30日内作出核准意见。

第十九条从事计算机信息系统安全检测的安全服务机构应当具有三级以上安全服务资质。

承担重点安全保护单位计算机信息系统和计算机机房使用前安全检测的安全服务机构由地级以上市公安机关公共信息网络安全监察部门实行总量控制，择优授权，应具备下列条件：

（一）具有三级以上安全服务资质；

（二）中国公民或者组织持有的股权或者股份不少于51%；

（三）具有提供长期服务的能力和良好信誉；

（四）具有自主开发的信息网络安全检测产品。

辖区内无符合条件的安全服务机构的，由地级以上市公安机关公共信息网络安全监察部门委托省内符合条件的安全服务机构承担。

第二十条资质证书分为正本和副本，正本和副本具有同等法律效力。

第二十一条资质证书实行年审制度。年审时间为每年2月至3月，新领（换）资质证书未满半年的不需年审。

第二十二条安全服务机构在年审前应当对本单位上一年度的下列情况进行自查，并形成自查书面材料：

（一）遵守国家有关法律法规和本省有关规定的情况；

（二）安全服务业绩；

（三）用户投诉及处理情况；

（四）参加国内和国际标准认证的情况；

（五）符合资质证书颁发条件的有关情况。

第二十三条安全服务机构参加年审，应当持下列材料向地级以上市公安机关公共信息网络安全监察部门提出申请：

（一）《计算机信息系统安全服务资质年审申请书》；

（二）资质证书副本；

（三）自查书面材料；

（四）其他材料。

第二十四条地级以上市公安机关公共信息网络安全监察部门自接到申请材料之日起15日内进行初审，材料齐全，情况属实的，报送省公安厅公共信息网络安全监察部门审查。初审不合格的，退回申请并说明理由。

省公安厅公共信息网络安全监察部门应当自接到初审材料之日起10日内作出年审结论。

持国家工商行政管理总局或省工商行政管理局核发的营业执照以及申请一级安全服务资质的机构，直接向省公安厅公共信息网络安全监察部门提出申请，省公安厅公共信息网络安全监察部门应当在20日内作出年审结论。

年审结论分为合格、降级、取消3种。

具备下列情形的，年审结论为合格：

（一）遵守国家有关法律法规和本省有关规定；

（二）上年度安全服务项目总值不低于本级资质条件规定的年均安全服务项目总值的四分之三（四级资质不低于50万元）；

（三）用户投诉基本能合理解决；

（四）符合原等级资质证书颁发条件。

有下列情形之一的，年审结论为降级：

（一）违反国家有关法律法规和本省有关规定，情节轻微；

（二）上年度安全服务项目总值低于本级资质条件规定的年均安全服务项目总值的四分之三；

（三）10%以上的安全服务项目有用户投诉且未能合理解决；

（四）不符合原等级资质证书颁发条件。

有下列情形之一的，年审结论为取消：

（一）违反国家有关法律法规和本省有关规定，情节严重；

（二）年度安全服务项目总值低于50万元；

（三）20%以上的安全服务项目有用户投诉且未能合理解决；

（四）情况发生变更，达不到资质证书颁发条件。

年审合格的，在资质证书副本和《计算机信息系统安全服务资质年审申请书》上注明，加盖省公安厅公共信息网络安全监察专用章。

年审结论为降级的，原资质证书作废，换发资质证书。

年审结论为取消的，资质证书作废，安全服务机构应当自接到年审结论之日起10日内交回资质证书。

未按时参加年审的，年审结论视为取消。

年审结论为取消的，两年内不得申请安全服务资质。

因特殊原因未年审的，应当书面说明理由，经批准，方可补办相关手续。

第二十五条资质证书有效期为4年，安全服务机构应当在期满前60日内提交换证申请材料。换证程序与资质证书申请程序相同。期满不换证的，资质证书作废。

因特殊原因未按时换证的，应当书面说明理由，经批准，方可补办相关手续。

第二十六条资质证书登记事项发生变更的，应在30日内到地级以上市公安机关办理变更手续。

第二十七条安全服务机构在取得资质证书一年后，达到较高一级资质条件的，可申请晋升等级，办理程序与初次申请相同。

第二十八条安全服务机构情况发生变更，不符合原资质等级条件的，应当予以降级。

第六章安全审验

第二十九条计算机信息系统和计算机机房的规划、设计、建设应当按照国家有关规定和标准，同步落实安全保护制度和措施。

第三十条重点安全保护单位计算机信息系统和计算机机房安全设计方案应当报单位所在地地级以上市公安机关公共信息网络安全监察部门备案。

重点安全保护单位计算机信息系统和计算机机房建成后，应当由具有相应资格的安全服务机构进行安全检测。检测合格，方可投入使用。

安全检测应当接受公安机关公共信息网络安全监察部门的监督。

第三十一条计算机信息系统安全设计方案备案，应当填写《广东省计算机信息系统安全设计方案备案表》，并提交下列材料：

（一）计算机信息系统安全设计方案；

（二）计算机信息系统的总体需求说明；

（三）计算机信息系统的安全保护等级。

第三十二条计算机机房安全设计方案备案，应当填写《广东省计算机机房安全设计方案备案表》，并提交下列材料：

（一）承建单位营业执照和资质证书复印件；

（二）计算机机房的用途和安全要求；

（三）计算机机房的施工方案和设计图纸；

（四）其他应当提交的资料。

第三十三条安全服务机构对重点安全保护单位计算机信息系统和计算机机房进行使用前安全检测，应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全检测结论由重点安全保护单位报地级以上市公安机关公共信息网络安全监察部门。

第三十四条计算机信息系统和计算机机房存在下列情形之一的，应当进行安全检测：

（一）变更关键部件；

（二）安全检测时间满一年；

（三）发生案件或安全事故；

（四）公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全检测；

（五）其他应当进行安全检测的情形。

第三十五条安全服务机构应当履行下列职责：

（一）如实出具检测报告；

（二）接受公安机关公共信息网络安全监察部门对检测过程的监督检查；

（三）保守用户秘密，不得保留安全检测相关资料，不得擅自向第三方泄露用户信息。

第七章安全培训

第三十六条省公安厅、人事厅联合成立的省计算机安全培训领导小组，负责全省计算机安全培训考试工作的组织和领导。下设省计算机安全培训考试办公室，具体负责计算机安全培训的日常管理工作。

第三十七条下列人员应当参加计算机安全培训，取得省计算机安全培训考试办公室颁发的计算机安全培训合格证书，持证上岗：

（一）计算机信息系统使用单位安全管理责任人、信息审查员；

（二）重点安全保护单位计算机信息系统维护和管理人员；

（三）安全专用产品生产单位专业技术人员；

（四）安全服务机构专业技术人员、安全服务管理人员；

（五）其他从事计算机信息系统安全保护工作的人员。

第三十八条计算机安全培训和考试由省计算机安全培训考试办公室授权的安全培训考试点负责组织。安全培训考试点实行统筹规划，总量控制。

第三十九条计算机安全培训和考试按照有关规定进行，实行学大纲，材，统一考试，统一发证。

考试合格的，由省计算机安全培训考试办公室在20日内发给计算机安全培训合格证书。

计算机安全培训合格证书有效期4年，期满前60日内应重新参加培训。

网络安全设计方案总结篇3

【关键词】SDH传输网电路电路安全性网络优化

一、SDH传输网的性能优化设计

1.新形势下对于SDH传输网的要求包括：为了提高竞争力降低运营成本，要求现有的传输网络具有更可靠的质量，能够满足竞争的要求与市场的形势；为了维护客户以及抢占市场，传输网电路不仅要能够随时满足客户的要求，还需要良好的稳定性，因此良好的拓扑结构是关键；为了适应技术的更新换代的同时能够将成本降到最低，需要传输网具有较好的扩展性。

2.对SDH传输网电路进行优化主要包括三个流程，分别为现状评估、方案制定以及评估结果的优化与实施。现状的分析与评估是优化的基础，所评估的指标与内容必须科学全面，不仅要包括对于业务内容与处理能力的分析，还要包括对于网络结构与资源的分析；在根据分析结果制定优化方案的过程中可以采用环路拆分、提升汇聚层容量等措施提高网络利用流程，在调整的同时还可以同时开展新的业务，如数据业务等；在优化方案的评估与测评阶段，需要考虑到方案的实施对各种资源的影响与作用，并根据自身的实际需求选用适宜的方案，对于不足之处要及时的补充与更正，才能够保证方案的实际效益。

3.SDH传输网电路优化的技术主要包括：网络结构调整、光缆线路调整以及各种系统内设备的优化。网络结构的优化，优化网络结构主要是对结构拓扑、通路、节点以及同步方式的优化，对于那些业务量大的结构拓扑，优先选用处理能力较强、容量较大的设备，如10G或波分设备等；设备的优化要全面的考虑设备的状态和兼容性，需注意不同厂家设备光口对接时时隙分配方式的不同，同时电源、光纤以及机房等具体的环境也需要考虑优化改进；光缆线路的优化，作为连接设备的媒介与桥梁，光缆优化的过程中主要考虑路由的多向性，减少同路由组网，并根据工程实施难度、经济等因素的制约与条件来选用适合的技术与方案。

二、SDH传输网电路的安全自动化分析系统

SDH传输网的电路安全关系着整个网络的安全与稳定性，有必要引进自动化的监管系统来提高其运作的效率，为客户提供更快更好的服务。

2.1自动化安全系统的分析

（1）功能需求分析。安全自动化的监管系统主要的工作原理是通过提取相关的基础数据，按照客户的业务要求，输出相关的数据表格或是文字信息，完成一次工作过程，所以系统的基本功能要包括数据分析、数据统计、结果汇总以及报表整理与输出等功能。（2）实现难点分析。虽然现有的系统能够实现对于数据库数据的调用与分析，并能够对处理后的数据进行输出与传递，及时的对出现的故障与问题进行警报，但是在基础数据的预处理、安全标准的判断以及实现对于大量数据的智能处理等方面仍存在着不同程度的问题与弊端。可以看出，安全性自动化系统的实现难点在于数据分析判断的规则与算法。

2.2安全性自动化系统的设计

（1）总体流程设计。根据工作的原理以及系统的功能要求，SDH传输网电路安全的自动化系统的工作流程开始于基础数据是收集与数据的预处理，之后是对数据的自动化分析，以及对分析结果的分类汇总，最后才是对整理后的数据进行输出与传递的步骤。（2）系统框架设计。作为输电网络的子系统，安全自动化的系统功能的实现依赖于系统内置的各个模块以及相应的模块组，进而形成了自动化系统的框架结构。比如数据模块组便包括了光缆数据、环网数据以及电路的配置数据等对数据进行采集与整理的模块；数据的管理模块包含了环路、支链路的隐患自动排查；逻辑系统模块以及逻辑拓扑模块等能够实现对于数据分析汇总的模块；核心计算部分的模块组包含了对于各个节点进行分析与处理的模块。每一个模块组都是由内部的各个模块相互配合与协作来实现任务目标的，进而完成整个自动化系统的工作与任务。

三、结语

SDH输电网电路是信息传递的基础工具与主要方式，随着传输网规模的扩大以及信息技术的迅速发展，其应用范围正在逐渐的扩大，其采用的技术也正进行着升级换代，为了保证输电网的安全性与稳定性，降低运营的成本，满足客户的需求，需要对传输网进行优化设计、提高输电网安全控制的自动化水平，进而提升传输网的服务质量。

参考文献

[1]穆志巍. 基于SDH的网络性能优化设计[D]. 东北石油大学，2013（04）

网络安全设计方案总结篇4

关键词：组网方案企业网设计思想

1 引言

计算机网络专业是职业院校开设最多的一个专业，各学校关于网络专业的课程设置也比较完善。学生在校期间所学的相关专业知识是非常全面的，但大部分学生由于缺乏整体网络的设计思想，因此当他们需要设计一个组网方案时，仍感觉在学校学的知识用不上。

实际上分层网络设计模型是现代网络方案设计较常用的模型。该模型将网络分成三层：接入层、分布层、核心层。接入层的主要目的是提供一种将设备连接到网络并控制允许网络上的哪些设备进行通信的方法。分布层先汇聚接入层交换机发送的数据，再将其传输到核心层，最后发送到最终目的地。核心层的功能主要是实现骨干网络之间的优化传输

2 方案设计

1）需求分析

总公司与分公司接入Internet，采用NAT方式上网，同时通过VPN隧道，实现分公司访问总公司。

不同办公司之间数据不共享

保障网络基本的安全性，时时监控网络中的安全事件

分公司周一到周五9：00至于17：00上网，周六周日全天上网，用户采用无线上网，自动获得IP地址总公司网段10.0.0.0/16，分公司10.1.0.0/16。

2）网络拓扑如下

3）数据规划

4）设备功能实现

总公司局域网实施

防火墙FW-1：安全功能配置VPN使得总公司与分公司互通，实现数据的安全性和完整性。NAT配置NAT，实现内部网络访问互联网，和实现将内网的WEB、FTP等资源的互联上。

路由器R1：SW1与R1线路为主用线路，承载正常数据流，SW2与R2为备用线路，正常情况下不承载数据流。通过灵活配置VLAN10，VLAN20，VLAN30网段的回程路由，实现当SW1与R1链路down时，可以自动切换至R1与SW2线路

三层交换机SW-1：优化功能SW1为主用交换机，正常情况下SW1上承载VLAN10，VLAN20，VLAN30的数据转发。只有当SW1至R1互联线路down时，SW2由备用转为主用交换机。划分VLAN，配置VRRP，使得所有的VRRP组为master状态。（VRRP的组号即为该VLAN的ID，如VLAN10的VRRP组ID为10），配置trunk线路Fa0/1与SW3Fa0/23以trunk方式互联。配置链路聚合，增加线路带宽及冗余性。配置端口镜像，将FA0/24所有数据流镜像到FA0/23口，配置MSTP生成树协议。

三层交换机SW-2：SW-2为备用交换机，正常情况下SW1上承载VLAN10，VLAN20，VLAN30的数据转发。只有当SW1至R1互联线路down时，SW2由备用转为主用交换机。划分VLAN，配置VRRP，使得所有的VRRP组backup状态。（VRRP的组号即为该VLAN的ID，如VLAN10的VRRP组ID为10），配置trunk线路Fa0/1与SW3Fa0/24以trunk方式互联。配置链路聚合，配置MSTP生成树协议。

接入层交换机SW-3：

划分VLAN，配置相关端口，启用端口安全功能，只允许特定主机接入。

配置MSTP生成树协议。

入侵检测系统IDS：

安全功能：派生策略，需要监控TCP攻击、UDP攻击、DOS攻击、IP攻击。

管理功能：管理接口地址为192.168.9.254/24，网关192.168.9.1，管理服务器地

址为192.168.9.10/24

Internet互联网实施

R2、R3、R4三台路由器模拟internet，三台路由器组成OSPF多区域，互联线路采用PPP线路chap认证，OSPF采用MD5认证。

分公司局域网实施

防火墙FW-2：安全功能放行总公司、分公司互相访问进出VPN数据流通过。

FW-2地址转换配置NAT，实现内部网络10.1.10.0/24，访问互联网，其使用合法的公网地址为50.0.0.2/30，上网时间为周一到周五9：00至于17：00上网，周六周日全天上网

FW-2配置静态路由实现分公司上网数据流与分公司访问总公司数据流的分流。

路由器R5：配置简单的路由，使网络连通。配置DHCP为分公司动态分配地址。

入侵检测系统：安全功能：派生策略，需要监控TCP攻击、UDP攻击、DOS攻击、IP攻击。管理功能：管理接口地址为192.168.60.9/24，网关192.168.60.1，管理服务器地址为192.168.60.10/24

路由器R4：配置OSPF路由协议，配置基于接口验证功能，采用MD5方式。FA0/0所在网段采用路由重方式，注入OSPF中，R4链路安全配置PPP实现CHAP认证.

4）功能验证

根据以上网络方案进行实施，最后需通过实施验证看是否达到预期的效果。做以下简单的验证查看效果：

①MSW-1、MSW-2配置的VRRP组主备选举正常，当MSW-1上行端口DOWN时，可以正常切换

②各VLAN用户可以ping通防火墙内网口IP192.168.50.2，断开SW1上行线路断开，或者SW1掉电，都可以正常ping通

③R2、R3、R4OSPF邻居建立正常

④在R4上可以正常ping通12.0.0.2，R2上可以正常ping通45.0.0.4

⑤查看R4路由表，通过OSPF只学习一条缺省路由

⑥在R5上查看DHCP绑定

3 总结

本文通过一个具体的企业网的设计方案，体现了网络设计的思想和步骤，学生们在学校学了大量的关于进行设备配置的技术知识。对于网络方案的设计通过本文希望可以给大家以启示。

参考文献：

[1]李武，网络组建管理与维护，东南大学出版社

网络安全设计方案总结篇5

摘要：回顾了2001年我国铁路信息化工程在TMIS、DMIS和通道建设中取得的成绩；介绍了TMIS方案调整的总体思路和基本要点；提出了2002年铁路信息化建设的主要任务。

关键词：调整；成绩；TMIS；DMIS；通信网

2001年12月21—23日全路信息工程工作会议在济南市召开，铁道部副部长刘志军到会并作了重要报告。铁道部电子计算技术中心主任李中浩、铁道部基础部副主任胡东源和铁通公司总裁彭朋分别就TMIS、DMIS工程和通道建设作了专题报告。济南、柳州、北京铁路局，羊城铁路总公司，中国铁路通信信号集团公司研究设计院和南京铁路分局的代表分别汇报了各自单位的信息化工程建设情况。铁道部总工程师王麟书作大会总结。参会的300多位代表分组对铁路信息化建设展开了热烈的讨论，会议期间还参观了济南铁路局电子计算中心。

这次会议的主要任务是：贯彻党中央国务院领导关于大力推进信息化建设的重要指示和铁道部党组、傅志寰部长关于加快铁路信息化建设步伐的要求，总结和部署TMIS、DMIS工程和通道建设工作，进一步动员全路通力合作，加快建设步伐，搞好综合应用，完善保障体系，早日完成建设任务，充分发挥运输信息在铁路改革与发展中的重要作用。

一、2001年全路信息化工程取得的成绩

1．TMIS建设和应用进一步加快

(1)从3个方面对TMIS总体方案作了调整。第一，按照运输组织的要求，把过去原始信息由站段直接报中央系统，改变为原始信息层层落地，在铁路分局、铁路局、铁道部3级建立原始数据库；第二，在站段、铁路分局、铁路局、铁道部4级对TMIS原纵向的各子系统进行整合，实现信息的共享和综合应用；第三，规范计算机网络，采取有效措施，保证网络和应用安全。该调整方案通过了铁道部科技教育司组织的评审。

(2)进行了3级建库及综合应用开发试验。在有铁路分局的济南局和直管站段的柳州局分别进行了建立货票、确报车号自动识别原始信息库并开展综合应用的试点，取得了良好效果。

(3)确报系统工程设计确报站数为886个，截至2001年10月底，累计完成852个。确报系统自投入应用以来，运行基本稳定，各局管内有效报率达到95％以上，大部分局间交换有效报率达到100％。

(4)2001年完成了1700个制票站统一软件的升级。全路设计制票站数为1211个，现在货票系统覆盖了2557个微机制票站。通过软件升级实现了全路制票软件统一，联网站实现货票信息自动上报，进一步提高了货票信息上报的完整性、及时性和准确性。目前，全略微机制票率达到99．5％，报部率达到97％。

(5)货运营销与生产管理系统运行稳定。目前，全路1487个货运站、各铁路分局、铁路局和铁道部实现了联网运行，在计算机网上完成了货运计划原提的提报和集中、随时自动审批以及审批信息自动下达。所有原提和审批信息都能收集到铁道部数据库中，为加强铁路货运营销提供了科学依据。技术计划的软件开发基本完成，并在沈阳铁路局进行了试点。

(6)集装箱追踪系统正式投入应用。从2001年3月1日起已将609个集装箱办理站全部与中央系统联网，各站的集装箱装车清单、卸车清单、空箱回送清单及日况表信息通过计算机网络传送到中央系统，实现了集装箱的简易追踪和费用的清算。

(7)车号自动识别系统一期工程建设基本完成局间及分局间分界口设备的安装，铁道部和多数铁路局、分局都建立了车号信息库，在传输到部数据库的路局分界口信息中，已记录了近43万辆部属车和7万多辆企业自备车的动态住处。从2001年7月1日起，开始利用车号自动识别系统的信息，结合运输18：00现在车统计报告，对各铁路局货车使用费进行清算。

(8)车站综合管理信息系统建设完成了统一软件版本，大中型车站基本完成了车站信息系统建设。截至2001年10月底，全路49个编组站全部建成信息系统，95个大型区段站有86个建成信息系统，36个大型货运站有22个建成信息系统，136个中型区段站有132个建成信息系统，267个中型货运站有170个建成信息系统。

(9)分局调度系统开始推广。完成了适应运输调度生产需要的软件版本，通过了铁道部科技鉴定，并在羊城、长沙总公司和石家庄等分局投入使用。

(10)2001年基本完成了甜—路局、路局—分局的2Mb／s专线网建设，应用也已切换到高速网络，为铁路信息化建设提供了基本的网络平台。

2．DMIS一期工程建设取得重要进展

DMIS一期工程建设的标志是：在全路运输最繁忙的沪宁线上，南京铁路分局管内实现了DMIS的全部功能。DMIS采用无线车次号自动校核系统实现了对调度区段内所有列车车次号的自动采集、自动校核和自动跟踪，根据电气集中的进路排列和信号显示以及自动闭塞轨道电路的实际占用状况，准确地反映车站、区间的设备状态和列车位置，实时地采集列车到发点时刻，自动统计列车正晚点时分，自动下达日班计划和调度命令，自动生成车站行车日志、自动生成实际运行图和列车运行调整方案，为保证行车安全、提高调度水平、实现透明指挥提供了有力保证。

目前，全路DMIS一期工程范围内的7个铁路局调度指挥中心，14个铁路分局调度指挥中心以及京沪线、京广线、京哈线南段、京九线北段的干线基础信息采集网络的硬件设备已全部安装完成，18个局间分界口的DMIS网络设备也已全部安装并开通运用。DMIS一期工程中完成了对落后的干线调度系统的数字化改造。当前，铁道部调度中心和14个铁路局的200多个调度台、15套多媒体会议系统及多通道数字录音系统已全部开通使用，全网采用数字通道，具有迂回功能，运用情况良好。

3．通信网建设成效显著

(1)组织实施了五大干线高速、宽带光接入网“畅通工程”。加大了运输繁忙干线的投资力度，在京广、京沪、京九、京哈、陇海等繁忙干线上，组织实施了“畅通工程”，实现了站站Nx2Mb／s和Nx64kb／s的综合接入能力，达到特等站每站配置10个以上2Mb／s端口，一、二等站每站配置6个2Mb／s端口，其他车站每站配置3—5个2Mb／s端口。在五大干线上共新增了13598条2Mb／s接入端口，能够满足铁路运输和各类信息系统对接入带宽的需求，并留有适度余量。

(2)组织实施了无线列调改造工程。加大了无线列调改造工程力度，共安排浙赣、焦柳、京原等37条线的技术改造和新建，建设重点集中在400Mb／s改造、加强场强覆盖、克服弱场强区段以及对襄渝线的改制等。

(3)组织实施了京沪线DMIS无线车次号工程。安排了661个车站、3500台机车工程任务，现已完成京沪线230个站、1280台车无线车次号设备的安装和调测。全面实现了始发站车次号自动输入和中间站自动校核，确保了车次号的准确和自动跟踪。

(4)加大了区段数字调度系统和铁路应急通信网络的改造力度。2001年安排京广线北京一柏庄、京山线北京—秦皇岛、京包线北京—大同、襄渝线达渝段共计1550km、177个车站的区段数字调度系统改造和新建。全面启动了铁路应急通信网络建设工程，目前已经完成全路静图系统改造，应急系统正在组织方案设计与前期实施，预计2002年全面完成。

(5)解决铁路通信“三年攻坚战”遗留问题。

二、2001年TMIS总体方案的调整

1．方案调整的总体思路

TMIS方案调整的总体思路有以下3点。

(1)原始信息3级建库。原TMIS设计方案要求原始信息由站(段)系统直接报送铁道部系统。调整后的设计方案强调原始信息从车站逐级上报、落地和转发，在分局、路局和铁道部分别建立原始信息数据库，方便各级运输组织和各个管理部门对原始信息的共享应用。

(2)4级系统横向整合。调整后的设计方案强调在铁道部、铁路局、铁路分局和基层站(段)实施系统间的横向整合，以便满足各级运输组织和各个管理部门更综合和更深层的需求；调整后的设计方案进一步加强了路(分)局应用建设和信息共享，以此提高TMIS在各级运输组织和各个管理部门中的应用效果。横向整合方案的设计是全方位的，包括了铁道部、铁路局、分局和站(段)各级系统；横向整合方案的实施是分阶段的，将在系统层、数据层和应用层以渐进的方式展开。

(3)网络体系分层优化。调整后的TMIS网络体系结构在多种水平和规模上广泛地采用了层次化网络设计模型。广域网划分为主干网和基层网；机关局域网设计成安全生产网、内部服务网和外部服务网。

2．方案调整的基本要点

(1) 系统目标

TMIS通过计算机网络从全路2000多个信息站，实时收集列车、机车、车辆、集装箱以及所运货物的动态信息，对列车、车辆、集装箱和货物进行节点式追踪，为全路各级运输管理人员提供及时、准确和完整的运输信息和辅助决策方案，实现紧密运输、均衡运输，提高运输生产效率，改善客户服务质量。TMIS建设的根本目的是为了促进客货营销、加强运输管理和深化体制改革。

(2)系统定位

① TMIS与铁路信息化的其它信息系统间有着密切的联系，TMIS系统为财务、统计、机务、电务、工务、车辆、物资等部门业务管理信息系统以及办公自动化、社会化服务、决策支持等综合管理信息系统提供及时、准确和完整的运输生产信息。

② TMIS工程建立和完善了铁路信息技术基础设施，包括环境建设、网络通信、系统平台、人力资源和工作流程等，为铁路信息化建设的持续发展提供了良好的技术条件，带动和促进了其它信息系统建设。

(3) 系统体系结构

坚持集中与分布相结合，实时处理与批处理相结合的系统建构，纵向业务功能系统与横向综合应用系统相结合的原则。在这些原则指导下，引入先进的信息技术应用范式，并将互联网技术引入企业信息系统，广泛地采用了基于Web服务器的应用开发技术和以浏览器为主要形式的人机界面。采用了先进的数据库管理系统，完善数据组织，减少冗余度，提高共享性，对TMIS数据库设置进行了系统的和科学的分类，规范了各类数据库的内容和建置原则，强调原始数据库是3级建库的基础，动态数据库是3级建库的核心。

(4) 网络体系结构

① 采用层次模型对TMIS网络体系结构进行了全面调整。TMIS广域网结构分成骨干网和基层网，分界点设在分局；TMIS机关局域网分成安全生产网、内部服务网、外部服务网，3网之间通过动态物理隔离、防火墙和VLAN等技术实现相互隔离。

② 要求增加局间和分局与路局间的迂回信道，拓宽铁道部—路局的信道，以此增强骨干网络的可靠性；综合运用X．25、数字专线、模拟专线、帧中继信道和信道化E1线路连接分局与站(段)，扩大站(段)联网的覆盖面。

③ 优化骨干网路由结构及路由策略，将铁道部、14个铁路局(集团公司)和西安、武汉、徐州3个分局的骨干路由器纳入路由结构的核心区(OSPF0域)。

④ 网络通信协议，规范了IP地址分配方案；制定了统一的域名设计规则。

(5) 原始数据采集

① 原始信息逐级上报。原始信息在站(段)产生后，沿车站、分局、路局和铁道部方向逐级上报、建库和转发。

② 原始信息实时上报。联网报告点通过车站系统实时报告原始信息；配有车号自动识别设备的车站通过

AEI自动采集列车到／发信息，经由车站系统实时上报；有条件的分局也可通过DMIS自动采集列车到／发点，经分局调度系统实时上报。

③ 原始信息集中上报。非联网报告点的原始信息通过车务段系统收集并集中上报；有关行车信息也可通过分局调度系统收集并集中上报。

(6) 运行保障体系

TMIS系统运行保障体系包括基础数据维护、运行生产调度、联机用户支持、网络管理、系统管理、应用管理、安全管理、设备维修、远程教育等。调整方案从工作流程、组织结构和技术选择等方面为各子系统确定了总体框架。

(7) 标准化和规范化

规范系统软件平台，统一用户操作界面，统一基础数据字典，实现编码信息规范化，系统接口标准化，应用软件产品化。

(8) 可靠性和安全性

TMIS调整方案从管理意义上给出了TMIS安全策略和安全事件处理程序的基本框架；从技术层面提出了TMIS安全解决方案，包括物理环境保护、网络安全设计、系统安全设计、应用安全设计、用户安全管理、访问安全控制、攻击防御、病毒防治和安全评估等。

三、2002年铁路运输信息化建设的主要任务

1．要搞好分局调度系统TMIS、DMIS的结合

TMIS和DMIS在分局行调台上存在功能交叉的问题，2个系统目前都将进入应用推广阶段。铁道部决定以确保安全为前提，以互补、信息共享为目标，对2个信息系统进行结合，充分发挥信息系统的整体效能。系统结合的原则是，统一用户需求、统一技术条件、统一操作方法、统一显示界面、统一数据格式和通信协议。在结合TMIS和DMIS各自优势的基础上，尽快形成统一、标准的结合软件。统一的结合软件应具有通用性和适应性，既能满足已实施了DMIS的区段，又能适应尚未实施DMIS的区段，同时也能满足分局、路局、铁道部纵向3级信息共享的要求。

2．要基本完成TMIS工程建设

(1)抓好2级建库和4级综合应用。各铁路局和分局要在适当扩充硬件资源的基础上，抓好原始信息的采集和建库的推广完善，采取有力措施，保证原始信息的准确性、及时性和完整性。财务部门要尽快完成财务收入审核统一软件的推广，结合对货票的审核，把好货票信息上报质量关。

(2)铁道部成立了TMIS工程验收委员会和TMIS工程验收办公室，并制定了验收细则和标准。2002年，各铁路局要按照铁道部的统一部署，尽快完成货票和确报工程的验收，并逐步完成已经投入应用的系统验收工作。

(3)车站系统中没有建成信息系统的大型区段站有9个，中型区段站有4个，小型区段站有37个，大型货运站有14个，中型货运站有93个，小型货运站有661个。2002年上半年要完成所有新建车站系统的建设，2002年底前完成所有需改造车站系统的建设任务。

(4)2002年，在京广、京沪、京哈和陇海四大干线建立分局调度系统，尽快发挥系统效益，非四大干线也要完成分局调度系统的试点工作。路局调度系统正在广州铁路(集团)公司进行试点，2002年在全路进行推广。

(5)实现大节点式的货车追踪。利用车号自动识别系统实现对车辆、列车、机车和集装箱的动态追踪，进而实现相关的查询和综合统计应用。

(6)货运营销和生产管理系统已投入运用，2002年一季度要完成版本升级和技术计划的推广使用。

3. 要加快DMIS工程建设步伐

2002年全面完成DMIS一期工程建设，包括部调度指挥中心扩容和联调，有关路局和分局DMIS中心建设，加快无线车次号校核系统工程实施，并完成DMIS基层入网改造。确保二期工程取得重要进展，力争2003年建成包括部中心、14个铁路局、33个铁路分局DMIS中心，覆盖27条主要干线和51个局间分界口的全路DMIS网。

网络安全设计方案总结篇6

关键词：网络；有线数字电视；工程；设计方案

1 乡镇联网目的及意义

通过实施广播电视数字化整体平移，充分开发和利用广播电视网络，整合社会信息资源，努力构建“数字瓮安”，努力推进瓮安县物质文明、精神文明和政治文明建设。

2 乡镇网络现状

瓮安县共有乡镇22个，已有有线电视网络的14个乡镇自建网以来，网络升级改造情况不一，网络改造最早有05年的，最晚是07年的，部分乡镇网络运营时间较长，网络质量参差不齐，更有甚者网络几近瘫痪。目前为止在网用户近万户，网络传输有300Mhz，也有550Mhz，传输节目12至30套不等，其中玉山镇、天文镇、平定营镇有部分1310nm光纤网络，其余乡镇网络仍全部采用同轴网络。参差不齐的网络传输质量和指标很难满足数字电视传输要求，网络升级势在必行。

3 设计说明

本设计为瓮安县乡镇平安工程建设，采用EPON传输技术，利用现有光纤资源和新敷设光缆相结合，将22个乡镇分为9大块，除银盏镇、玉华乡、平定营镇三块直接从县公安机房经瓮安县分公司前端机房传输信号外，其它19个乡镇以镇为中心，在各个镇派出所设置6个分机房（总机房在县公安局）。设计监控点共237个。我分公司负责光缆、光缆附属设施和监控设备等的安主及施工。

4 实施步骤

由于乡镇建设不断发展，有线电视用户的不断增加，致使目前模拟电视网络已经不能满足现在有线数字电视发展的需要。所以，有必要将现瓮安县已有有线电视的14乡镇进行有线电视网络扩容、改造和整合，使每个乡镇光节点具备数字电视整体转换的要求。

目前瓮安县14个乡镇大部分拥有独立前端的电视传输网络，网络质量参差不齐，数字电视联网工程采取分期分批进行，光缆干线工程完成一个乡镇，优化一个乡镇，整体转换一个乡镇。

5 方案实施

随着瓮安县城区有线电视数字化进程接近尾声，瓮安县分公司在巩固城区用户工作的同时将工作重点转向乡镇有线电视用户，提出先对已有有线电视的14乡镇进行数字电视联网工作。

5.1 具体实施方案

具体方案根据现有14乡镇用户及网络情况采取分期分批模式进行，第一期工程涉及未整转的7个乡镇城区及政府周边用户的联网工作、网络优化工作（网络优化的主要内容是增设光节点解决乡镇原有线电视网络多级放大器覆盖用户，和网络中已经老化的用户网络。）和二期光节点的预留。第二期工程涉及剩余乡镇有线电视用户及干线沿途大型村寨用户的数字电视网络新建。方案具体给出了第一期和第二期工程的详细设计，对有可能发展更多用户的乡镇（村寨）预留有多于的纤芯数和预留光分配接口以备后期用户发展。

5.2 一期联网乡镇

一期工程涉及中坪镇、珠藏镇、玉山镇、天文镇、木老坪乡、松坪乡、平定营乡7个乡镇，新建20个光节点，启用原有光节点。二期工程涉及13个乡镇，预计建设光节点37个左右。

5.3 技术方案

根据乡镇网络分布特点将采用1550nm传输方式进行总体设计，减少有源设备的使用将大大提高系统的稳定性和保障信号传输指标。由于1550nm技术光功率衰耗小，乡镇光节点范围在1-3km范围内将采用等分光分路器，这有利于设备互换。

6 方案预算

6.1 光缆干线预算

本次实施乡镇网络联网要新建光点20个，一期干线架空光缆126.8公里，采用16芯和8芯光缆，全部采用租用电信现有干路挂靠光缆方式。租杆费用按照与电信运营商协商价格核算。一期干线网络联网材料费用943545.80元，光缆工程施工费用488180.00元。

6.2 用户分配网光缆、同轴干线预算

同轴干线指7乡镇有线电视网络用户分配网络主干同轴及用户光节点支线光缆网络，敷设支线光缆网14.6公里，采用4芯光缆，施工费用26280.00元，-7电缆按照户均1米计算，需要增加或更换同轴干线传输网络5500米，材料共计37877.50元，工程施工费用7700.00元。

6.3 用户分配网络优化材料

用户分配网络优化按照5500户计算，户均3米-5同轴电缆，材料共计36995.50元，工程施工费用6875.00元

6.4 一期联网工程总预算

瓮安分公司乡镇联网一期总费用预计为1547453.00元。

网络安全设计方案总结篇7

前言…………………………………………………………………………………………3

1 Internet与Intranet………………………………………………………………… 4

1．1 Internet概述……………………………………………………………………… 4

1．2 Internet的服务…………………………………………………………………… 4

1．3 什么是Intranet…………………………………………………………………… 4

1．4 建立企业Intranet的必要性……………………………………………………… 5

1．5 Intranet对现代企业的影响……………………………………………………… 7

1．6 利用Internet与Intranet的功能交互实现虚拟企业…………………………… 9

2 信息管理系统（MIS）的方案研究……………………………………………………11

2．1 企业级应用体系结构………………………………………………………………11

2．2 大型机模式…………………………………………………………………………12

2．3 传统的客户机/服务器模式………………………………………………………12

2．4 文件服务器模式……………………………………………………………………13

2．5 浏览器/WEB服务器模式…………………………………………………………13

3 局域网的组建……………………………………………………………………………16

3．1 局域网设计的原则…………………………………………………………………16

3．2 对等网络和基于服务器的网络……………………………………………………16

3．3 网络拓扑……………………………………………………………………………16

3．4 网络协议……………………………………………………………………………18

3．5 专用服务器…………………………………………………………………………19

3．6 网络连接线路和设备………………………………………………………………19

3．7 使用Windows NT组建局域网……………………………………………………19

4 服装企业MIS系统……………………………………………………………………20

4．1 发展服装企业MIS的必要性和迫切性 …………………………………………20

4．2 发展历史和现有产品研究…………………………………………………………20

4．3 服装企业信息管理流程 …………………………………………………………21

5 架构基于Internet/Intranet的服装企业MIS系统………………………………22

5．1 总体方案设计………………………………………………………………………22

5．2 硬件配置……………………………………………………………………………23

5．3 软件配置……………………………………………………………………………24

6 服装MIS系统应用软件的开发（核心）…………………………………………25

6．1 DELPHI5……………………………………………………………………………25

6．2 模块划分和数据流程………………………………………………………………25

6．3 生产管理模块的数据关系和数据库设计…………………………………………26

6．4 计划部分编制………………………………………………………………………29

6．5 实录部分编制………………………………………………………………………36

6．6 生产分析部分编制…………………………………………………………………39

6．7 报警界限部分编制…………………………………………………………………44

6．8 权限设置部分编制…………………………………………………………………44

6．9 用户和数据管理部分编制…………………………………………………………46

6．10 界面风格规划………………………………………………………………………47

7 基于WEB浏览器的远程访问（核心）……………………………………………48

7．1 Web服务程序工作原理 …………………………………………………………48

7．2 多种方法的实验和研究 …………………………………………………………48

7．3 ActiveX的原理……………………………………………………………………49

7．4 Midas编程…………………………………………………………………………50

7．5 计划与实录部分编制………………………………………………………………51

7．6 小组月报浏览部分编制……………………………………………………………52

7．7 其他部分程序编制 ………………………………………………………………54

7．8 使用PWS………………………………………………………………………54

7．9 互连实验……………………………………………………………………………55

8 网络安全………………………………………………………………………………57

8．1 概述…………………………………………………………………………………57

8．2 WEB在安全上的漏洞………………………………………………………………57

8．3 如何在WEB上提高系统安全性和稳定性…………………………………………57

8．4 网络安全方案之一：使用防火墙…………………………………………………58

8．5 网络安全方案之二：局域网自治…………………………………………………59

8．6 网络安全方案之三：入侵检测技术………………………………………………59

8．7 网络安全方案之四：建立防病毒系统……………………………………………60

8．8 网络安全方案之五：使用数字证书………………………………………………60

8．9 其他………………………………………………………………………………61

8．10 网络安全在本局域网中的实施……………………………………………………62

9毕业设计总结…………………………………………………………………………63

9．1 计划与实现…………………………………………………………………………63

9．2 锻炼与提高…………………………………………………………………………63

9．3 发展与展望…………………………………………………………………………64

9．4 致谢………………………………………………………………………………… 64

10 参考书目………………………………………………………………………………… 66

：47000多字

400元

备注:此文版权归本站所有；。

网络安全设计方案总结篇8

1教学过程中存在的问题

经过多年网络规划与设计类课程的教学的探索和尝试，发现这类课程的教学过程中存在以下一些理论教学和实验教学方面的问题。

1.1理论教学中存在的问题课程内容重理论，只讨论技术要点而缺乏知识点之间的串联。目前市面上的网络规划与设计类教材的主要内容都大同小异。这些理论教学方法虽然可以构成教学主线，但学生学习后往往难以理解各知识点的内在联系。这体现在学生学习了各个单独的知识点后只能应付考试，当教师给出一个企业网络的实际需求，学生却难以独立完成网络的规划和设计及实施。这实际并没有达到期望的人才培养目标。课程内容不直观，缺乏案例教学。很多教师在授课过程中还是按照计算机网络这类理论课程的模式进行教学，在讲解网络设计方法的时候只讲授知识点本身，很少把知识点置于一个实际网络设计过程当中去讨论。这使得理论教学不够直观，而学生在学习过程中常“只见树木，不见树林”，难以实际运用课堂所学的内容。

1.2实验教学中存在的问题开展网络规划与设计相关课程的实验需要组建成规模的网络实验室，能支持如局域联网实验(VLAN、802.1Q、Trunk技术、STP技术、三层路由等)；广域路由实验（多种路由协议配置、ACL控制列表、QoS设置、NAT技术、组播技术等）；IPv6实验。而受实验室建设经费限制，很多实验室只能有部分实验可以开展，而且还难以满足每位学生都动手操作实践。学生很难对理论教学阶段所学的各种关键网络技术进行实际验证并进行进一步的自主学习。有些学校采用了一些教学辅助软件进行实验类教学，而这类辅助软件通常只能对某一个简单的实验操作进行验证，无法给学生提供一些较为复杂的扩展实验。这也限制了实验课的灵活度和效果。

2基于PPDIOO模型的案例教学方法

根据上一节分析，在进行网络规划与设计相关课程教学过程中，运用新的教学方法提高教学效果变得非常有必要。作者尝试采用了一种基于PPDIOO模型[1，5]的案例教学方法[2，3]。20世纪初，哈佛大学创造了案例教学法，即围绕一定培训的目的把实际中真实的情景加以典型化处理，形成供学生思考分析和决断的案例。该方法的合理运用能提高教学效果，让学生更容易理解课程内容。另外，我们所采用的PPDIOO模型提供了计算机网络的六个生命周期服务，即包括：准备阶段(P)、规划阶段(P)、设计阶段(D)、实施阶段(I)、运行阶段(O)、优化阶段(O)。整个PPDIOO模型通常用于支持和评估网络的发展。模型为生命周期的每个阶段都定义了成功部署和维护计算机网络所需完成的关键工作和技术要点。各阶段关系如图1所示。作者选取的Case-CompanyNetwork案例是一个大型的汽车制造企业需要组建新的分支机构网络以及升级总部核心网络例子，由作者带领学生规划、设计和实施整个网络的构建和升级。选择这个例子的原因是它能够满足案例选择的三点考虑，且基本能够把网络规划与设计的各种关键技术都涵盖进去。按照PPDIOO模型，该案例各阶段的教学重点和主要的子案例如下。

2.1准备阶段(P)该阶段主要完成：①收集Case-CompanyNetwork需要实现的业务目标（如：有哪些网络新业务需要部署，需要对以前的哪些网络部分进行升级）；②评估新增应用和网络技术的经费预算（如：作者拟订一份Cisco网络设备及价格的清单，要求学生初步指定一个能够满足Case-CompanyNetwork业务需求的最节约的设备选型和经费预估）。准备阶段通常是在公司发出征求建议书(RFP)或征求报价书(RFQ)之前完成的。RFP和RFQ描述对新网络的需求，包括关于Case-CompanyNetwork采购和应用网络技术所使用的程序的信息。学生在这一阶段需要撰写RFP和RFQ两个文档。

2.2规划阶段(P)该阶段主要包括：①根据Case-CompanyNetwork的网络目标、设施和其他因素初步确定网络需求。作者发给学生一份详细的关于Case-CompanyNetwork对各种网络功能需求及业务需求的调查报告，要求学生提炼出最重要的需求信息。②对Case-CompanyNetwork现有网络的基础架构和网络环境进行评估，确定是否支持新的网络应用。这部分工作主要是针对Case-CompanyNetwork的总部核心网络的升级考虑的。学生在这一阶段需要撰写一份详细的关于Case-CompanyNetwork的需求报告。

2.3设计阶段(D)学生根据规划阶段中制定的需求报告进行Case-CompanyNetwork的初步设计。设计阶段要求学生考虑到的注意事项包括：网络的可用性、可扩展性、安全性和管理便利性。另外作为更高的要求，网络设计需足够灵活，以便未来网络有新需求时能够更改或增补。这阶段要求学生完成两个重要工作：①完成Case-CompanyNetwork在重新构建分支网络和升级总部核心网络后的新的网络拓扑图。这里，作者给出了一个Case-CompanyNetwork案例完整的网络拓扑图（如图2所示）。②在多次修改和学生分组讨论之后，需要学生形成一个比较完整的网络设计书，即是能够满足网络业务需求和技术需求的综合详细设计书。

2.4实施阶段(I)教师收集并核查学生在设计阶段完成的网络拓扑图和网络设计书，通过核查后便进入到网络具体实施的阶段。这一阶段的主要任务是，根据网络设计书中的详细设计构建Case-CompanyNetwork分支网络和对Case-CompanyNetwork总部核心网络升级。Case-CompanyNetwork案例基本涵盖了构建计算机网络所需要用到的三大关键技术块。⑴企业级网络交换技术的子案例说明。作者在这里给出了四个SubCase子案例，分别是：①对Case-CompanyNetwork的IP重新编址的例子，要求学生能够设计合适的IP编址方案(VLSM和CDIR)；②对Case-CompanyNetwork总部的不同部门进行基本隔离的例子，要求学生能够熟练配置VLAN、Trunk、VTP；③Case-CompanyNetwork总部经常出现大量的广播风暴，需要进行网络功能升级的例子，要求学生具备熟练配置STP的能力；④保证Case-CompanyNetwor总部各部门之间互访的例子，要求学生熟练掌握VLAN间路由的技能。⑵企业级路由技术的子案例说明。由于整个网络涉及到分支机构和总部之间的互访问题，因此学生需要在图2所示的ISP1，ISP2，ISP3及边缘路由器上对路由器进行配置。作者为学生提供了五个关于路由部分的SubCase子案例：①在ISP2，ISP3的路由器上提供用户访问互联网时候需要使用的静态路由的子案例；②当总部和分支机构在较近的区域内，使用RIP/EIGRP路由协议实现互访的子案例；③在较远的网络距离情况下，通过OSPF路由协议完成分支结构和总部之间的互访的子案例；④实现Case-CompanyNetwork的路由重分布和路由优化的子案例；⑤满足Case-CompanyNetwork总部网络访问互联网但公网IP地址有限的子案例，要求学生配置NAT地址映射及提供静态动态的DHCP服务实现。⑶企业级网络基本安全策略的子案例说明。作者对企业网络基本安全策略给出了两个子案例。分别是：①为Case-CompanyNetwork核心网络提供ACL访问控制的安全措施的子案例，目的是让学时能够熟练配置ACL访问控制列表；②对于访问Case-CompanyNetwork的各种流量进行分别处理，允许部分正常的流量而拒绝异常流量，其中涉及到NAT、PAT和ACL的综合使用。

2.5运行阶段(O)和优化阶段(O)运行是验证整个Case-CompanyNetwork网络构建/升级设计是否正确的最终测试。目前网络规划与设计的教学非常缺乏对于一个初步搭建完成的网络在管理及优化方面的内容。但对于大多数企业来讲，都需要依靠企业网络提供共享资源的持续、可靠访问，如果网络性能不好可能对业务造成非常严重的负面影响。这阶段中作者为学生提供了三个存在设计缺陷的网络规划，需要学生经过反复测试和对设备配置进行检查定位错误并纠正。

3模拟环境和实际设备相结合的实验方法

为配合基于PPDIOO模型的案例教学，保证尽可能多的实验都可以让学时动手实践，作者采用了PacketTracer[4]和实际网络设备相结合的实验课教学方法。PacketTracer是由Cisco公司的一个网络模拟系统，为学习网络规划设计、配置、排除网络故障提供了非常好的网络模拟环境。学生可在软件的图形用户界面上直接使用拖曳方法建立网络拓扑（软件中实现的IOS子集允许学生配置和调试各种网络设备）。学生还可以通过调用PacketTracer的Simulation模式查看数据包在网络中详细的处理过程，达到观察网络实时运行情况的目的。作者把Case-CompanyNetwork按照PPDIOO模型进行规划设计中的各阶段的关键技术要点封装为多个Sub-Case给学生讲授，安排学生在实验课阶段回顾理论教学的内容并让每位学生通过使用PacketTracer对设备进行配置。学生在实际进行网络设计和构建的过程中可以以案例中的文档为基础，添加配置命令并在仿真环境中实际测试和验证。这大大提高了学生应用课程中的知识点解决实际问题的能力。当需要通过实际网络环境验证的时候，我们让学生分组操作实际网络设备，这样既可以让学生完成尽可能多的实验又可以让学生对实际网络环境不会感到陌生。另外，有了模拟系统的支持，对于在有限的课堂时间内仍然无法按时完成的实验，学生可以课后在自己的电脑上完成，也可以对课堂上学到的知识在自己的电脑上进一步巩固和扩展。

网络安全设计方案总结篇9

关键词：信息化档案管理；安全性；总结

中图分类号：G642 文献标识码：A文章编号：1007-9599 (2011) 15-0000-01

Informatization File Management Security Study

Zhou Yi

(Chongqing Iron&Steel Group Electronics Co.,Ltd.,Chongqing400081,China)

Abstract:This article first briefly introduces the concept of file management information and records management implementation of information specific advantages are discussed;second file management information of the security;finally a summary of the full text.

Keywords:Informatization file management;Security;Summary

在新时期中，由于信息化迅速发展，档案管理工作的内涵已经有了巨大的变化。档案不仅成为了文化资源与知识资源，还成为了信息资源，这些都促使档案信息的收集方式、管理方式与利用方式有了本质性的改变。基于严峻的形势状况，档案管理必须走网络化服务与信息化管理的道路，同时还要保证网络环境下档案信息完整性和安全性的提高。

一、信息化档案管理的简单介绍

按照国家档案行政管理部门的统一组织与规划，在档案管理活动中，综合采用现代信息技术手段，合理管理并处置档案信息资源，这就是所谓的信息化档案管理。可以从以下三个方面深刻理解信息化档案管理：首先不仅要实现档案信息的网络化与数字化，还要实现档案信息的高度共享；其次应该引发档案管理模式的转变；最后要保证档案信息接收传递、存储及提供利用的一体化的实现。信息化档案管理的主要内容包括：信息化的软件基础设施建设是实施信息化档案管理必不可少的基础条件，是应用信息技术与利用开发档案信息资源的基础，同时它的核心是档案网络；开发利用档案信息资源是实施信息化档案管理的中心任务，是实施信息化档案管理的实效所在；档案的规范与标准建设，不仅包括电子档案管理与电子文件的归档，还包括档案信息的资源标识、存储、交换、使用及管理，渐渐形成信息化档案管理的规范体系与标准体系；信息化档案管理的人才队伍建设是实施信息化档案管理的成功之本，决定着另外的各个要素发展。实施信息化档案管理，能够使档案工作效率与档案利用效率明显提高，同时便于用户的使用，也能够加强档案的保存，这些不仅维护保障了单位的合法权益，还积极促进了两个文明建设。

二、实施信息化档案管理的具体优势

（一）利用档案数字信息网络进行检索比较方便，同时传递速度也快。还能够根据使用者的需求，进行个性化服务的提供，不断出现的档案信息网络服务，已经成为我们进行档案信息服务提供的现代方式。

（二）档案信息的传递量不断增加，同时其服务对象的数量也在增加。数字信息占据的空间比较小，再加上信息传递不受空间的影响限制以及计算机通信网络一直延伸，其能够链接的用于管理及存储数字信息的存储设备与服务器数量快速增加，服务对象数量也迅速增加。

（三）能够进行资源共享，使档案的利用率提高。与纸质档案相比，运用网络进行档案信息的传输，其具有突出的优点，网络传输档案信息的速度快，档案传输不会受到人力与空间的影响限制。当查阅者需要档案时，能够通过档案管理网络系统进行档案信息的查阅，同时还能够下载使用电子版的档案信息原件，不需要进入档案室进行档案查阅，大大节约了档案管理者与查阅者的时间。通过档案管理网络系统，还能够进行档案信息的异地查阅，极大节约了物力与人力，使档案的利用率大大提高。

三、信息化档案管理安全性的探讨

现代信息技术给档案管理提供了快捷高效的方法与手段，但是也使档案管理具有更多的安全隐患，在目前，有的单位在进行档案信息化建设过程中，往往没有足够的安全意识，导致了档案信息泄密丢失，造成了极大的损失。所以档案管理者不仅要重视防辐射、防高温与防病毒等工作，还要大力进行档案资料的安全性研究工作，积极做好电子档案的及时维护和备份工作，应该准确无误的处理好纸质档案和电子档案之间的关系，以保证档案资料能够安全完整。为了有效提高信息化档案管理安全性，笔者结合工作实践，探讨出了以下几项措施：

（一）有效采用防火墙技术，避免病毒入侵与非法访问。防火墙是一项访问控制技术，它是在公用网络与专用网络之间建立的一道保护墙，只允许符合原先设置的安全规定的信息通过，会把不符合安全规定的信息拒之于墙外，由此保证访问控制的实现，也就是拒绝外来非法访问，避免内部重要信息的非法输出，所以防火墙是目前电子档案网络安全技术必不可少的，同时在进行电子档案保护时，还要防止计算机病毒入侵，为了避免病毒入侵，应该禁止非法软件的使用，不要随便在网络上下载软件，在计算机系统中，还必须安装杀毒软件，并且不断进行杀毒软件的升级更新，以保证系统和网络的安全性提高，从而确保电子档案的安全性与真实性。

（二）积极提高档案管理者的能力素质。计算机以其很强的数据处理能力和高速运算能力使档案管理者拥有了科学先进的检索手段及科学合理的管理方法。这些要求档案工作人员应该积极提高自身的能力素质，使他们在热爱档案工作的同时，还要大力掌握档案工作中的先进技术，不断提高现代信息技术应用能力与现代信息加工处理能力。熟悉并掌握计算机管理档案的实际操作与理论知识，利用计算机进行档案的接收、存储与提供基本情况及数据报告的工作，努力学习掌握和信息化档案管理有关的网络技术知识以及现代管理技术知识。增加网络化管理的意识，大力做好传统档案管理向网络化管理发展转变的工作。

（三）努力建设高质量的信息化档案管理平台。在自己的网站中，档案管理部门能够进行已开放的档案信息数据库与档案卷宗等档案信息资源的提供。同时保证专用的档案信息检索入口的建立，使档案信息的利用与查询更加方便。计算机在档案管理工作中的优点就是进行数据的存储与提取比较便捷，介入的计算机网络技术使相关部门能够应用这些有着更少的手续与更快的速度的数据，使在单位之间调取档案所消耗的物力人力与珍贵的时间更加节省，使管理水平与工作效率提高。

四、总结

随着新时期信息化的迅速发展，为了保证信息化档案管理顺利进行，应该对信息化档案管理的安全性进行积极探讨，争取在发现问题的时候就可以使其得到解决。

参考文献：

[1]管麟.论档案管理信息化建设[J].湖南科技学院学报,2007,4

网络安全设计方案总结篇10

[关键词]油田网络；信息安全；应急预案；设计

[中图分类号]P624.8 [文献标识码]A [文章编号]1672-5158（2013）06-0108-02

1 前言

大庆油田目前正处于“三步走”发展构想的战略调整阶段，围绕着“拓展领域，优化业务构成”这一核心工作内容，近年来大庆油田网络信息化建设步履生风，勘探开发生产系统、油田地理信息系统、ERP系统和票据系统等多个大型信息化建设项目的正式上线及平稳运行，极大地推动了油田开发生产信息管理体系和油田财务信息化建设的不断完善，同时也对网络信息安全提出了更高的要求，特别是加强网络信息安全应急预案的建设尤为重要，本文对此提出设计构想，以为优化油田网络信息安全应急预案提供借鉴。

2 油田网络信息安全应急预案的总体设计

2.1 应急预案适用范围

油田网络信息安全应急预案是针对因不可抗力、应用系统漏洞以及人为操作而导致的突发性网络信息危机事件所做的应急处理工作。其目的在于一旦油田各网络信息系统出现突发性危机事件时，依然能够维持油田各项工作顺利进行。

2.2 应急预案的实施主体

油田网络信息安全应急预案的实施主体就是负责领导、制定、组织实施应急预案的工作人员，为此应当自上而下地，从大庆油田公司直至三、四级基层单位，都要设立网络信息安全委员会，并由专家和相关部门领导组成网络信息安全领导小组负责网络与信息安全事件应急建设管理和应急处置。

2.3 应急预案的客体

油田网络信息安全应急预案的客体就是网络信息应急处理的对象，即针对何种事件进行应急处置。对此，由于不同的应急事件给油田网络信息带来的危害不同，对油田正常工作带来的影响程度也不同，因而若要做好大庆油田网络信息安全的防范与应急工作，首先要在应急预案中将大庆油田面临的应急事件按相应等级进行分类。对此，可参照《中国石油天然气集团公司网络与信息安全突发事件专项应急预案》将应急事件分为六大类四大等级。

2.3.1 油田网络信息应急事件的种类

六大类应急事件分别为：因破坏油田各应用系统正常使用而危害网络信息安全的危害程序事件；因通过木马、病毒等网络技术手段或者外力攻击危害油田网络信息安全的网络攻击事件；因利用各种手段私自篡改、假冒、泄露、窃取而危害油田网络信息安全的信息破坏事件；因服务端、客户端设备故障而危害油田网络信息安全的设备设施故障事件；因地震、冰雹等不可抗力导致油田网络不能正常使用的灾害性信息安全事件；除上述五大类之外的信息安全事件。

2.3.2 油田网络信息应急事件的级别设定

参照《中国石油天然气集团公司网络与信息安全突发事件专项应急预案》对网络信息安全危害程度的界定，可将上述每一类应急事件都按最终产生的危害程度划分为特大事件、重大事件、较大事件和一般事件四个级别。

（1）油田网络特大信息安全事件

此类突发性安全事件是指足以导致财务、勘探开发、油气生产、地面工程以及人力资源等油田最为重要的信息系统遭受特别重大的破坏乃至瘫痪，且急需由大庆油田公司统筹安排各方面资源和指挥各界力量快速消除负面影响，确保各油田网络信息系统恢复正常。一般包括如下两种情况：一是油田网络信息交互部分甚至全部链路中断而造成的特大影响。；二是遭到不法分子恶意入侵并大肆宣传危害国家安全的内容，或者通过网络攻击来窃取国家秘密、机密和绝密内容。

（2）油田网络重大信息安全事件

此类突发性安全事件是指导致油田各信息系统遭受较为严重但不致于瘫痪的破坏，其产生的危害要小于特大安全事件，只需要大庆油田各二级单位统一协调、调度各方资源和力量来保障各油田网络信息系统恢复正常。

（3）油田网络较大信息安全事件

此类安全危机事件是指由大庆油田各二级单位认定的有可能对下属各三、四级基层单位网络信息安全造成较大危害，但该危害不会扩散至全大庆油田范围的网络信息安全事件。

（4）油田网络一般信息安全事件

由大庆油田各二级单位下属各三、四级单位认定的有可能对本单位造成较大危害，但该危害不会扩散至各二级单位的网络信息安全事件。

3 油田网络信息安全应急预案的方案设计

3.1 应急预警的方案设计

建立并完善应急预防与预警机制是将突发性应急事件扼杀在摇篮中的“先锋队”和“排头兵”，因而油田各级单位都要做好网络信息安全事件的预防工作。

首先，及时升级更新系统应用补丁、杀毒软件和网络防火墙来加强对服务器和用户端的病毒防范，采用Station Lock等先进技术来辨别潜在的病毒攻击意图，将其拒之“局网”门外；

其次，应当对财务集成平台、资金平台、ERP系统和A4系统等油田重要业务的应用系统增加用户身份验证和识别功能，建立身份确认和授权管理机制，防止非法用户窃取油田应用系统中各项保密级别的数据；

再次，各级单位还要做到每日备份主要数据、每周扫描漏洞、每月备份全部数据，以便系统发生危机后能够及时恢复数据；

最后，还要建立完善各级安全事件的预警机制，做到基层系统应用岗位向网络信息安全委员会报告，由网络与信息安全领导小组办公室启动预警程序，即“向各级单位启动应急预案的通知，要求各职能部门进入网络安全预警状态——组织专家、工程师和系统应用部门运维人员组成应急事件技术组，分析网络信息安全事件的实际情况，提出问题解决意见，并在应急处理全过程提供必要的技术支持——网络信息安全委员会根据技术组提供的意见作出应急处理决策，指挥、调度各级单位各方资源和力量作出防范和应急处理——网络信息安全事件潜在危害消除后，安全委员会领导小组解除预警的通知”。

3.2 应急处置的方案设计

当接到各级网络信息安全突发事件的通知后，网络信息安全委员会要严格按照“应急预案启动”、“应急处理程序”和“应急终止”三方面的处置程序对突发事件进行处理。

3.2.1 应急处置方案的启动

当网络与信息安全事件发生时，由网络信息安全应急领导小组组长宣布启动本预案，由网络信息安全应急领导小组办公室负责通知专家组成员，按照应急委员会主任授权，在2小时内向上级机关有关部门汇报。

3.2.2 应急处置程序的设计

首先，由网络信息安全委员会组织、协调各方应急力量赶到应急事件现场，成立应急事件技术分析组，根据预案规定界定事件类别及等级，分析事件起因及性质，提出应急技术处置建议；其次，由网络信息安全委员会领导小组综合各项处置建议制定最佳处置方案，布置工作内容，指挥各方力量控制应急事件进一步扩大，减少潜在的损失与破坏，对事件源头进行控制和彻底清除，恢复被破坏的信息、清理系统、恢复数据、程序、服务，使遭到破坏的系统重新运行；最后，对应急处理全过程进行评估，总结经验，找到不足，填写《大庆油田网络与信息安全事件应急处理结果反馈表》，做好记录以备调查；对进入司法程序的事件，配合公安保卫部门进行进一步的调查，打击违法犯罪活动。

4 结束语

近年来，大庆油田各项工作依托互联网和现代信息技术不断上线运行大型应用系统，例如油气水井生产数据管理系统、工程技术生产运行管理系统、人力资源系统和财务管理集成平台等等。随着这些系统的不断完善和成熟应用，危害油田网络信息安全的突发性潜在事件越来越多，因而油田网络信息安全必须受到重视，尤其是要不断优化设计应急预案，在总体设计上要明确应急预案适用范围、实施主体和应急对象，在方案设计上要制定完善的应急预警和应急处置机制，从而确保潜在危害事件一旦发生便能够得到及时处理，为油田各应用系统的正常运行提供切实保障！

参考文献