安全網絡建設精品(七篇)

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇安全網絡建設范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

為進一步做好全區食品藥品安全監管工作，不斷提高公眾飲食及用藥安全，區人民政府決定進一步加強全區食品藥品安全網絡建設。現將有關事項通知如下：

一、指導思想

堅持以“三個代表”重要思想為指導，以科學發展觀為統領，建立健全規范化的食品藥品安全監管網絡和供應網絡。按照“全區統一領導、地方政府負責、部門協調配合、各方聯合行動”的工作方針和“上下聯動、條塊結合、突出重點、綜合治理”的工作思路，充分發揮政府主導作用，整合監管資源，創新食品藥品安全監管工作思路、方法和機制，著力構建覆蓋廣泛、監管有力、運轉協調的食品藥品安全監管機制。進一步規范全區食品藥品市場秩序，確保廣大人民群眾飲食及用藥安全、有效、方便、放心。

二、工作目標

㈠加強全區食品藥品安全監管網絡建設，建立以區食品藥品監管部門為主，鎮（街）食品藥品協管員，村（居）食品藥品信息員為輔的區、鎮（街）、村（居）三級食品藥品安全監管網絡。㈡落實食品藥品安全責任，使監管網絡覆蓋全區所有鎮和村，實現全方位監管、無縫隙覆蓋、高質量運行。到年底，健全三級食品藥品安全監管網絡，監管網絡要覆蓋轄區所有鎮（街）和村（居）。

三、工作重點

㈠加強食品藥品安全監管網絡建設。建立健全以政府為核心、行政監管部門為主體、鎮（街）協管隊伍為基礎、村（居）級信息人員為補充的三級食品藥品監管體系。各鎮（街）成立領導機構，并在現有鎮（街）干部中配備專（兼）職干部，負責食品藥品具體協管工作；在每個村（居）確定1名以上信息員，負責收集農村食品藥品監管信息，確保領導、人員、職責、工作“四到位”。

㈡提高食品藥品監督網絡運行質量。食品藥品監督管理部門要建立和健全三級食品藥品監督網絡例會制度、監督報告制度、檢查制度、責任追究制度等規章制度和工作程序，做好食品藥品協管員、信息員的聘任和調整工作，落實好各項規章制度；要加強對“協管員、信息員”的培訓，提高其監督協管能力和水平；健全和完善全區食品藥品監管信息報送、舉報投訴、快速反應和協同聯動機制。

㈢加強藥品市場的規范化管理。深入推進藥品放心工程。強化藥品經營使用單位的監督管理，規范藥品采購渠道，改善藥品儲存條件，確保藥房規范化、標準化建設。加強對各類藥品和醫療器械的質量監管，杜絕假冒偽劣藥品、醫療器械進入市場，打擊各類非法游醫和走村串戶上門兜售偽劣藥品、保健品的違法行為。

㈣推進涉藥單位誠信體系建設。⒈建立誠信檔案。采集相關信息和數據，建立藥械經營、使用單位及銷售人員數據庫。⒉開展誠信活動。在全區各醫療機構、零售藥店中開展誠信經營評比活動。⒊加強誠信培訓。定期召開例會，對參會的醫療機構和藥店負責人進行誠信創建培訓，著力增強涉藥單位的守法和誠信意識。⒋加強誠信宣傳。利用執法檢查、發放宣傳材料等多種形式，利用網絡、報紙等媒介，進一步宣傳誠信建設的重要意義，引導各涉藥單位強化自律機制。⒌實行誠信檢查。將涉藥單位誠信體系建設作為藥品執法檢查的一項重要內容，對失信單位按進行要求整改，并嚴格回查該單位整改落實情況。

㈤加強對農村食品安全工作的監督管理。深入推進農村食品放心工程，進一步健全食品安全應急救援體系。在農村大力推行家庭自辦宴席報告備案制度、農家樂管理辦法、食品安全承諾制等工作制度，建立健全家庭自辦宴席衛生檢測和安全監管機制，充分發揮農村基層組織作用，逐級落實家宴食品安全責任制和責任追究制。加強對農村各類食品銷售網點的質量衛生監督，積極開展鄉村“食品放心店”創建活動。

㈥廣泛深入地開展食品藥品安全網絡建設宣傳活動。各有關部門要積極開展食品藥品安全宣傳活動，利用各種形式，圍繞科學、合理、安全飲食用藥等主題，普及食品安全和科學用藥、安全用藥等知識，經常性地對群眾開展宣傳教育活動，提高人民群眾的食品藥品安全意識。

四、工作要求

篇(2)

關鍵詞： 武警；局域網；比較；安全技術

中圖分類號：TN919 文獻標識碼：A 文章編號：1671－7597（2012）0310095－01

武警部隊近年來信息化發展迅速，三級網絡已經建成，極大提高了部隊工作效率。隨之而來的是安全保密形勢越來越嚴峻，主要是涉及到與公安警務網互聯、與地方民政部門數據交換、與協同作戰等的保密問題。為此，筆者對網絡隔離下幾種數據交換技術進行了比較研究。

1 網絡隔離的原因

1）的網絡與低密級的網絡互聯是不安全的，尤其來自不可控制網絡上的入侵與攻擊是無法定位管理的。互聯網是世界級的網絡，也是安全上難以控制的網絡，又要連通提供公共業務服務，又要防護各種攻擊與病毒。要有隔離，還要數據交換是各企業、政府等網絡建設的首先面對的問。

2）安全防護技術永遠落后于攻擊技術，先有了矛，可以刺傷敵人，才有了盾，可以防護被敵人刺傷。攻擊技術不斷變化升級，門檻降低、漏洞出現周期變短、病毒傳播技術成了木馬的運載工具，而防護技術好象總是打不完的補丁，目前互聯網上的“黑客”已經產業化，有些象網絡上的“黑社會”，雖然有時也做些殺富濟貧的“義舉”，但為了生存，不斷專研新型攻擊技術也是必然的。在一種新型的攻擊出現后，防護技術要遲后一段時間才有應對的辦法，這也是網絡安全界的目前現狀。

因此網絡隔離就是先把網絡與非安全區域劃開，當然最好的方式就是在城市周圍挖的護城河，然后再建幾個可以控制的“吊橋”，保持與城外的互通。數據交換技術的發展就是研究“橋”上的防護技術。

關于隔離與數據交換，總結起來有下面幾種安全策略：

修橋策略：業務協議直接通過，數據不重組，對速度影響小，安全性弱；

防火墻FW：網絡層的過濾；

多重安全網關：從網絡層到應用層的過濾，多重關卡策略；

渡船策略：業務協議不直接通過，數據要重組，安全性好；

網閘：協議落地，安全檢測依賴于現有的安全技術；

交換網絡：建立交換緩沖區，采用防護、監控與審計多方位的安全防護；

人工策略：不做物理連接，人工用移動介質交換數據，安全性最好。[1]

2 數據交換技術

2.1 防火墻

防火墻是最常用的網絡隔離手段，主要是通過網絡的路由控制，也就是訪問控制列表（ACL）技術，網絡是一種包交換技術，數據包是通過路由交換到達目的地的，所以控制了路由，就能控制通訊的線路，控制了數據包的流向，早期的網絡安全控制方面基本上是防火墻。國內影響較大的廠商有天融信、啟明星辰、聯想網御等。

但是，防火墻有一個很顯著的缺點：就是防火墻只能做網絡四層以下的控制，對于應用層內的病毒、蠕蟲都沒有辦法。對于安全要求初級的隔離是可以的，但對于需要深層次的網絡隔離就顯得不足了。

值得一提的是防火墻中的NAT技術，地址翻譯可以隱藏內網的IP地址，很多人把它當作一種安全的防護，認為沒有路由就是足夠安全的。地址翻譯其實是服務器技術的一種，不讓業務訪問直接通過是在安全上前進了一步，但目前應用層的繞過NAT技術很普遍，隱藏地址只是相對的。目前很多攻擊技術是針對防火墻的，尤其防火墻對于應用層沒有控制，方便了木馬的進入，進入到內網的木馬看到的是內網地址，直接報告給外網的攻擊者，NAT的安全作用就不大了。

2.2 多重安全網關（也稱新一代防火墻）[2]

防火墻是在“橋”上架設的一道關卡，只能做到類似“護照”的檢查，多重安全網關的方法就是架設多道關卡，有檢查行李的、有檢查人的。多重安全網關也有一個統一的名字：UTM（統一威脅管理）。設計成一個設備，還是多個設備只是設備本身處理能力的不同，重要的是進行從網絡層到應用層的全面檢查。國內推出UTM的廠家很多，如天融信、啟明星辰等。

多重安全網關的檢查分幾個層次：

FW：網絡層的ACL；

IPS：防入侵行為；

Av：防病毒入侵；

可擴充功能：自身防DOS攻擊、內容過濾、流量整形。

防火墻與多重安全網關都是“架橋”的策略，主要是采用安全檢查的方式，對應用的協議不做更改，所以速度快，流量大，可以過“汽車”業務，從客戶應用上來看，沒有不同。

2.3 網閘[3]

網閘的設計是“+擺渡”。不在河上架橋，可以設擺渡船，擺渡船不直接連接兩岸，安全性當然要比橋好，即使是攻擊，也不可能一下就進入，在船上總要受到管理者的各種控制。另外，網閘的功能有，這個不只是協議，而是數據的“拆卸”，把數據還原成原始的面貌，拆除各種通訊協議添加的“包頭包尾”，很多攻擊是通過對數據的拆裝來隱藏自己的，沒有了這些“通訊外衣”，攻擊者就很難藏身了。

網閘的安全理念是[4]：

網絡隔離-“過河用船不用橋”：用“擺渡方式”來隔離網絡。

協議隔離-“禁止采用集裝箱運輸”：通訊協議落地，用專用協議或存儲等方式阻斷通訊協議的連接，用方式支持上層業務。

按國家安全要求是需要網絡與非網絡互聯的時候，要采用網閘隔離，若非網絡與互聯網連通時，采用單向網閘，若非網絡與互聯網不連通時，采用雙向網閘。

2.4 交換網絡[5]

交換網絡的模型來源于銀行系統的Clark-Wilson模型，主要是通過業務與雙人審計的思路保護數據的完整性。交換網絡是在兩個隔離的網絡之間建立一個數據交換區域，負責業務數據交換（單向或雙向）。交換網絡的兩端可以采用多重網關，也可以采用網閘。在交換網絡內部采用監控、審計等安全技術，整體上形成一個立體的交換網安全防護體系。

交換網絡的核心也是業務，客戶業務要經過接入緩沖區的申請，到業務緩沖區的業務，才能進入生產網絡。

網閘與交換網絡技術都是采用渡船策略，延長數據通訊“里程”，增加安全保障措施。

3 數據交換技術的比較

不同的業務網絡根據自己的安全需求，選擇不同的數據交換技術，主要是看數據交換的量大小、實時性要求、業務服務方式的要求。

參考文獻：

[1]周碧英，淺析計算機網絡安全技術[J].甘肅科技，2008，24（3）：18-19.

[2]潘號良，面向基礎設施的網絡安全措施探討[J].軟件導刊，2008（3）：74-75.

[3]劉愛國、李志梅，電子商務中的網絡安全管理[J].商場現代化，2007（499）：76-77.

篇(3)

【關鍵詞】辦公網;技術網;防火墻;隔離

1.概述

1.1 當前網絡狀況

隨著廣播發射電臺網絡建設的發展，電臺的業務需求也呈現多樣化，臺站網絡按照規劃一般分為兩個網段：辦公（OA）網和技術網。在現有的網絡中，以一臺H3C S5500交換機作為電臺辦公網的核心交換機，辦公網通過H3C S5500上聯MSR3020路由器，通過MSR3020接入全局廣域網，H3C S5500與MSR3020之間采用Eudemon 200防火墻隔離。

技術網以一臺三層交換機H3C S5500為核心，接入采用二層方式連接。改造之前辦公網與技術網之間沒有添加隔離設備，物理直接相連，通過靜態路由協議互通。如圖1所示。

圖1 網絡連接示意圖

1.2 辦公網與技術網隔離的背景

1.2.1 網絡潛在威脅

由于計算機網絡的發展，信息系統的不安全因素陡然增加。網絡的不安全因素主要表現為下列幾個方面：[1]

物理臨近攻擊。

內部犯罪。

信息泄露。

重放攻擊。

篡改和破壞。

惡意程序的攻擊。

系統脆弱性攻擊。

網絡安全隱患是全方位的，軟件，硬件，人為等因素都會造成網絡的故障，甚至是不可挽回的損失。我們現在需解決的是電臺辦公網與技術網的隔離問題，也就是說要保證辦公網即使出現計算機病毒，惡意代碼等也不會波及到技術網。反之技術網的安全威脅也不會波及到辦公網。

1.2.2 隔離原因

在改造之前的運行環境中，技術網和辦公網之間是通過靜態路由互通的，兩網之間沒有任何的隔離措施。

根據無線電臺管理局內網網絡建設的要求，辦公網和技術網的安全級別是不一樣的。技術網主要部署安全播出服務器和控制終端，安全級別要求更高，技術網的網段地址不對外，只在臺站內有效;辦公網網段是全局廣域網的，局機關與臺站以及各臺站之間都可以互訪。因此為了保證網絡安全，在辦公網和技術網之間須要增加安全隔離措施，以盡量避免或減少病毒、攻擊等網絡威脅對技術網造成影響。

在兩網之間，辦公網用戶與技術網用戶不需要進行數據交換，辦公網服務器與技術網服務器分別設有一臺應用服務器實現數據庫數據同步。因此，安全隔離措施將全部禁止辦公網與技術網中其余用戶和服務器的數據交換，只允許辦公網應用服務器（即辦公網通訊服務器，例如IP為10.2.72.149）和技術網應用服務器（即技術網通訊服務器，例如IP為172.1.72.5）之間進行數據傳遞。

2.隔離方案對比

根據電臺辦公網與技術網現狀和需求，我們提出以下四種網絡隔離解決方案：

2.1 物理隔離

物理隔離是一種完全斷開物理上連接的方式，使得辦公網和技術網相互不連通。在辦公網需要提取技術網相關數據時，通過移動存儲介質進行傳輸。這種方式的優點在于只要保證了存儲介質和對技術網進行訪問的相關人員的安全，就保證了技術網的絕對安全。

但是由于辦公網需要讀取的不僅僅是數據庫中存儲的數據，還包括服務器里實時變動的相應數據，所以采取此方式得到的數據都存在相當大的延遲，從某種程度上講，得到的數據已經“失效”。

2.2 訪問控制列表

為了過濾通過網絡設備的數據包，需要配置一系列的匹配規則，以識別需要過濾的對象。在識別出特定的對象之后，網絡設備才能根據預先設定的策略允許或禁止相應的數據包通過，訪問控制列表（Access Control List，ACL）就是用來實現這些功能。ACL通過一系列的匹配條件對數據包進行分類，這些條件可以是數據包的源地址、目的地址、端口號等。ACL應用在交換機全局或端口，交換機根據ACL中指定的條件來檢測數據包，從而決定是轉發還是丟棄該數據包。由ACL定義的數據包匹配規則，還可以在其它需要對流量進行區分。

優點：此方案不需要添加任何隔離設備。僅需要在核心交換機上設置ACL，只允許指定的辦公網服務器訪問技術網服務器，禁止其余用戶訪問，配置靈活，維護方便。

缺點：對病毒和網絡攻擊的防御作用較小。

2.3 多功能安全網關

在辦公網和技術網之間增加多功能安全網關設備，隔離辦公網和技術網。

多功能安全網關工作模式為路由模式，采用靜態路由方式。增加包過濾規則，對匹配辦公網通訊服務器和技術網通訊服務器的網絡流量允許通過，其余流量禁止通過，同時利用訪問控制列表過濾病毒端口。

優點：功能強大，整合了防病毒、IDS、IPS、防火墻等功能，降低技術復雜度。

缺點：不能有效防范內部攻擊，過度集成造成誤判率較高，降低了系統的可用性和穩定性。

2.4 防火墻

在辦公網和技術網之間增加防火墻設備，隔離辦公網和技術網。

防火墻配置路由模式，采用靜態路由方式。同時，采用兩種隔離規則：

（1）增加包過濾規則，對匹配辦公網通訊服務器和技術網通訊服務器的網絡流量允許通過，其余流量禁止通過，同時利用訪問控制類別過濾病毒端口。

（2）通過NAT方式，對外隱藏技術網應用服務器地址，把該IP地址轉換成一個其他地址，轉換后辦公網中只能看到防火墻轉換后的地址，而無法看到原始IP地址，增強了安全性。

優點：性價比高，配置靈活，維護方便，安全性高。

缺點：功能較為單一，不能有效防范內部攻擊和未設置策略的攻擊漏洞。

2.5 方案對比和選擇

為了提供最佳的解決方案，我們需要針對電臺網絡進行綜合的分析，權衡利弊，才能提出一個理想的解決方案。

電臺辦公網與技術網之間數據流量并不大，辦公網用戶與辦公網用戶之間除了特定的應用服務器都沒有數據交換的需要。但是數據交換具有偶然性、實時性的要求，除了讀取數據庫中保存的數據，還需要讀中間件服務器中的實時變化的數據。綜合考慮辦公網與技術網的使用現狀、流量、數據交換要求、經濟性以及安全特性等因素，以上4種解決方案中我們建議采取第四種解決方案，即采用防火墻作為兩網間的隔離設備，以達到安全防護的目的。

主要原因如下：

（1）物理隔離方式因為沒有直接的物理連接最為安全，但其提供的數據交換不能夠滿足對技術網數據提取的要求。

（2）訪問控制列表過于簡單，只能單純地過濾數據報，不能對報文作深度的監測分析，沒有防病毒、抗攻擊能力。

（3）多功能安全網關，具備強大的防火墻功能，安全性較高，但價格昂貴，配置復雜，過度集成造成性能下降，誤判率高，增加了配置和維護的復雜性。

（4）防火墻功能強大，傳輸效率高，安全性較高，可對數據報進行深度的監測分析，具有抗病毒、抗攻擊能力。

3.防火墻隔離詳細設置

3.1 防火墻工作模式

針對電臺站辦公網與技術網現狀，防火墻采用路由模式工作，因為只有采用這種工作模式才可以利用NAT技術進（下轉第169頁）（上接第165頁）行地址轉換，實現隱藏技術網地址的目的。

在路由模式下，防火墻必須設置接口IP地址。它除了具備路由器的數據包轉發功能外，同時解析所有通過它的數據包，增強網絡安全性。見圖2所示。

圖2 防火墻隔離示意圖

3.2 IP地址和路由協議使用

防火墻采用路由模式時與之連接的接口必須配置IP地址，防火墻采用靜態路由協議與辦公網和技術網互通。

接口地址表如下：

辦公交換機S5500，端口為GE0/0/19，IP地址為10.2.72.17;

防火墻，端口為GE0，IP地址為10.2. 72.18，端口為GE1，IP地址為10.2.72.21;

技術交換機S5500，端口為E1/0/2，IP地址為10.2.72.22。

NAT地址表：內部地址為172.1.72.5;外部地址為10.2.72.120/29

參照接口地址表和NAT的地址表，路由協議配置規則如下：

（1）技術網核心交換機S5500配置靜態路由，規則配置為：去往目標網絡地址10.2. 72.149，下一跳地址為10.2.72.21。

（2）防火墻配置靜態路由，規則配置為：去往目標網絡地址172.1.72.5，下一跳地址為10.2.72.22;去往目標網絡地址10.2. 72.149，下一跳地址為10.2.72.17。同時，設置NAT地址池將地址為172.1.72.5放置在地址池中，轉換成地址為10.2.72.120/29綁定在出方向GE1接口，設置global地址10.2.72.121轉換成inside地址172.1.72.5。

（3）辦公網核心交換機S5500設置靜態路由，規則配置為：去往目標網絡地址10.2. 72.120，下一跳地址為10.2.72.18。

3.3 NAT配置

在本防火墻設置中，可以把技術網看作一個內部網絡。

NAT就是在技術網中使用內部地址，而當技術網節點要與辦公網節點進行通訊時，就在防火墻處將技術網地址替換成一個另外的地址。

通過這種方法，NAT對外屏蔽了技術網網絡，所有技術網計算機對于辦公網來說是不可見的，而技術網計算機用戶通常不會意識到NAT的存在。

在這次改造過程中，我們可在防火墻上配置NAT，針對技術網配置地址轉換，技術網應用服務器，IP地址為172.1.72.5，可以看作是內部地址，通過地址轉換，轉換成IP地址為10.2.72.121的全局地址。

對于辦公網來說，辦公網只知道技術網應用服務器轉換的地址，而不知道真實的地址，這就提高了網絡安全性，確保了技術網內服務器的保密性，隱藏了技術網內真實的IP地址。

以上設置能夠保證技術網服務器正常訪問辦公網服務器，同時辦公網服務器也能正常訪問技術網服務器，而辦公網中只知道去往地址的路由，并不會知道技術網服務器的存在，這樣就利用防火墻保證了辦公網和技術網的安全性和獨立性。

4.結論

辦公網和技術網隔離的改造完成之后，保障了辦公網用戶終端安全的使用，技術網應用系統可靠穩定的運行，對電臺網絡安全建設發揮了巨大的作用，為電臺的安全播出工作做出了重要的貢獻。

參考文獻

篇(4)

【關鍵詞】廣州亞運會 800兆數字集群共網 應急聯動 TETRA 無線基站

1 概述

美國“9?11”事件后,政府職能部門應急聯動和城市的安全管理逐步引起了各國政府部門的關注,隨著目前國內經濟的持續發展,城市人口和規模的不斷擴大,舉辦各種大型公眾活動,迫切需要建立一套適應多用戶的公共應急調度指揮系統。廣州是中國繼北京之后第二個取得亞運會主辦權的城市,即將迎來2010年11月12日至27日舉行的第16屆亞運會,在此背景下,廣州市800兆數字集群共網系統應運而生。

2009年9月29日,廣州市政府與中國電信廣東公司800兆數字集群共網項目舉行了合作簽約儀式,共網系統將采用“市政府主導,企業運作,政府集中購買”的運作模式,中國電信廣東公司負責投資建設,廣州市信息化辦公室統籌使用,使用期限為2009年9月21日到2025年12月31日,這標志著廣州市800兆數字集群共網項目的正式啟動。2010年,廣州市800兆數字集群共網建成后,首先為廣州亞組委成員單位提供高質量的指揮調度服務,同時也將向政府機關、公安、交管、消防、城管、交通運輸、水利、電力、防災抗洪等部門提供日常指揮、調度、應急聯動等相關移動通信服務。

2 網絡概況

經過公開招標,廣州市800兆數字集群共網系統全面選用歐洲宇航安全網絡公司(EADS)的數字集群技術和產品,由中國電子科技集團公司第七研究所負責本地化技術服務。廣州市800兆數字集群共網系統采用TETRA技術體制組網,使用800兆頻段,整個無線網絡共建設了195個基站,20個室內覆蓋基站,并配置2臺車載移動基站,對廣州市轄區內進行整體無線網絡覆蓋,網絡覆蓋廣州市黨政軍機關、事業單位、外事機構、體育場館、車站、港口、大型企業、商業、住宅區和高速公路、國道、省道等。

該系統建設內容涵蓋:2個EADS TETRA交換機,將亞運保障等重要基站通過環型拓撲同時接入2個交換中心,同時將其余基站通過DXC交叉連接設備分別接入2個交換中心,如圖1所示。系統包含80000用戶的歸屬位置寄存器(HLR),并實現了鏡像備份,1套網管系統,22套網管終端,1個超級調度臺,7個無線虛擬網通信管理調度臺,1個配置和數據分配服務器,1個鑒權密鑰分發服務器,1個TETRA互連服務器,1套終端編程(燒號)工具,2套DXC數字交叉機等。

隨著廣州亞運會日期的臨近,廣州市800兆數字集群共網系統網絡建設工作已接近尾聲,公安等指揮調度系統的接入工作正在調試中,目前共網系統已通過廣州市政府委托第三方組織的驗收測試工作,雖然廣州市800兆數字集群共網系統處在工程驗收后期和試運營同步階段,但共網系統的運營工作已全面啟動。

3 網絡建設和運營

與北京和上海相比,廣州市800兆數字集群共網系統的建設周期體現了時間緊、任務重兩個特點。時間緊方面,北京自2003年開始,到2008年奧運會,約有5年半時間;上海自2006年開始,到2010年世博會,約有4年時間;而在廣州,廣州市政府與中國電信廣東公司于2009年9月簽訂合同,11月廣東公司進行主設備招標工作,到2010年11月亞運會,僅有1年時間。任務重方面,北京首期工程僅建設了90多個基站;上海首期工程僅建設了133個基站;廣州在4個月內將建設195個基站,同時需成功建設兩臺集群應急通信車,距2010年11月亞運會僅有6個月的網絡優化和調整時間。

回顧廣州市800兆數字集群共網系統的建設過程:2009年11月底主設備采購合同簽訂后,同時廣州市800兆數字集群共網項目建設工作立即啟動,2009年12月廣州市800兆數字集群共網示范站即開通,2010年4月網絡即進入了電信內部組織的網絡驗收測試階段。這樣,僅僅用了3個月時間,完成了廣州市800兆數字集群共網的基本建設工作,創造了集群史上的廣州速度,為廣州亞運保障提供了有力支持。

自2010年5月11日起,廣州市科技和信息化局委托廣州廣電計量測試技術有限公司和廣州市無線電監測計算站分別對共網項目的網絡覆蓋、系統功能和服務展開測試驗收,驗收主要內容涵蓋了調度業務、數據業務功能、虛擬專網、安全、互聯互通等100多項系統功能測試,接續質量指標、傳輸質量指標等網絡性能測試以及制度流程、維護流程、維護駐點、監控客響流程、應急車調度、覆蓋測試和亞運保障區域的網絡壓力測試等內容。目前,廣州市800兆數字集群共網系統已正式通過廣州市政府驗收工作,并于2010年5月28日在廣東電信廣場召開了啟用大會,這標志著廣州市800兆數字集群共網系統進入了運營階段。

截至6月18日,接入網絡的正式用戶都是公安用戶,目前廣州市800兆數字集群共網全網話務量比較低,排隊率現象也比較少。此外,除了工程尚未完工還不具備運營條件的個別基站外,在網基站運營情況良好。

4 結束語

廣州市800兆數字集群共網系統的成功建設和運營將緩解專網系統的網絡容量小、頻率資源浪費、重復建設等問題,也可以減少專網的維護和運營成本,為企業和社會節約資源。廣州市800兆數字集群共網系統將在廣州亞運會的通信保指揮調度障中發揮重要作用,日后也會很好地承擔起廣州市城市應急聯動、政府無線政務網的相關職能。廣州市政府與中國電信廣東公司的共網系統運營模式,也將對珠三角乃至華南地區數字集群共網系統起到示范效應。

參考文獻

[1]唐云蜂. 800兆Hz數字集群通信系統規劃建設思考[J]. 中國無線電,2008(11).

[2]鄭祖輝. 城市應急聯動和數字集群通信[J]. 數字通信世界, 2005(12).

篇(5)

論文摘要：隨著信息技術的不斷發展，學校如何更好的利用內部網絡服務成為擺在學校面前的重要課題。本文通過對學校網絡建設現狀及vpn技術的分析介紹，在如何利用vpn技術為學校搭建網絡應用安全通道進行了探索。

隨著信息化時代的到來，以網絡技術為代表的信息技術已經成為社會發展的重要推動力。網絡技術以其信息海量性、交互性、便捷性等優勢，正在日益深人人們的生活。同樣，由于信息技術的巨大作用，它也被廣泛應用于學校的各種活動之中。當然，網絡技術同時也存在很多缺點，比如網絡安全問題，就成為影響學校信息安全的潛在威脅。因此，學校在利用網絡技術的同時，

一定要注意研究和防范其缺點和不足。

i、我國學校網絡建設的基本情況和特點

    應該說，我國學校網絡建設起步時間較晚，但是發展速度十分迅速，筆者總結出我國學校網絡建設的基本情況和特點如下:

1.1建設的普遍性

    據一項不完全調查顯示，目前我國具備獨立的學校網絡系統的學校約占全體注冊學校數量的90%以上。這里所說的學校網絡建設，不僅僅指學校的門戶網站或者學校主頁，而是涵蓋學校內部行政辦公網、教學網絡以及學生網絡等網絡系統?？梢哉f，隨著網絡技術的進一步普及，學校已經意識到建立自身獨立的網絡系統的巨大意義，能夠主動投人人力物力，聘請專業機構針對本學校特點研發、部署網絡系統。

1.2應用的廣泛性

    目前我國學校在創建獨立網絡體系的同時，非常注意對于網絡功能的再開發。目前國內學校利用網絡系統可以進行內部管理、辦公自動化處理、視頻會議、網絡教學、ip電話、學校推廣等等，極大地豐富了校園網絡的應用手段，拓展了應用領域。

1.3安全意識提高

    從國內市場主流網絡安全技術銷售情況可以看出，全社會網絡安全意識正在逐步提高，一些造價不菲的學校版專業軟件銷售情況也十分可觀。學校加強對網絡安全的防范，一方面體現出學校的觀念正在逐步改進，另一方面可以看出，我國國內的網絡安全市場仍然具備較大的拓展空間。

1.4交流的多樣性

    學校網絡大都由外部網絡和內部網絡構成。外部網絡就是通常意義上的互聯網，而內部網絡是學校獨立的網絡系統，俗稱內網。隨著交流的不斷增多和辦公形式的多樣化，越來越多的用戶希望能隨時通過互聯網接人校園網，實現遠程辦公。而在當今日益繁多的網絡技術中，vpn技術由于具備自身獨特的優勢，可以很好地滿足建立學校網絡安全通道的需求。

2,vpn技術

2.1基本情況

    vpn僅irtualprivatenetwork)，即虛擬專用網，被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，是一條穿過非安全網絡的安全、穩定的隧道。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。vpn主要技術包括隧道技術與安全技術。簡言之，通過利用vpn技術，可以在學校內部網絡與外網之間建立一個虛擬的安全通道，實現學校充分利用校內網絡系統的要求。

2.2獨特優勢

    vpn技術是比較新的網絡技術，具有許多以往網絡虛擬技術所不具備的優勢，具體說來，主要體現如下:

    第一，可以最大限度地保證學校網絡系統的安全運行。在前文中，筆者談到學校關心網絡安全問題，能否保證學校網絡系統運行的穩定和安全，將是這項技術能否被大范圍推廣和使用的關鍵。在vpn技術中，學校可以在內部服務器上實現對用戶資格的認證，同時，在網絡運作過程中。 vpn技術還可以支持點對點加密及各種網絡安全加密協議，如ipsecarity，這可以最大程度上保證學校網絡系統的安全運行。

    第二，可以降低學校網絡運行維護的成本。由于vpn設備本身帶有路由功能，可以有效地減少學校內部網絡與互聯網連接時需要的網絡配置設備，對一些傳統設備，vpn技術也可以很好地實現兼容。在虛擬網絡運行過程中，由于其穩定性良好，不需要學校付出大量成本進行維護，因此可以極大地降低學校網絡成本。

    第三，可以實現學校網絡系統功能的提升。學校網絡系統應用vpn技術，可以將學校內部的網絡設備與外網實現安全互聯，同時也可以將學校分支機構的網絡設備進行有效連接，主要部門通過對于vpn權限的控制，可以有效地掌控學校網絡系統的運行情況，并依托學校網絡進行各項活動，從而實現對學校網絡功能的進一步擴展。

3、學校如何利用vpn技術

    既然vpn技術具有許多優勢，非常適合運用于學校網絡建設，那么學校應該著手對這項技術的應用進行研究。筆者認為，我國學校運用vpn技術沒有固定的模式和套路，應該依據學校自身的情況和特點，制定出相應的使用方案。但是，學校在使用vpn技術的過程中，還是可以找到一些共性的原則。

篇(6)

一、企業安全管理三大問題

自“棱鏡門”、iCloud照片泄露、攜程及支付寶等企業接連宕機等事件發生之后，信息安全已被國內外政府、行業和企業推到了前所未有的高度。國務院《關于積極推進“互聯網+”行動的指導意見》中也明確提出，要提升互聯網安全管理、態勢感知和風險防范能力，加強信息網絡基礎設施安全防護，加強“互聯網+”關鍵領域重要信息系統的安全保障。信息安全危害事件頻頻爆發。2015年5月，網易、支付寶、攜程、藝龍、知乎、Uber等多家知名企業出現接連宕機，互聯網安全問題頻繁出現并集中爆發，這為我國企業安全管理敲響了警鐘。企業處理突發事件能力較弱。網易、支付寶、攜程等互聯網企業宕機后，很長時間才得以解決，表明企業在應對安全威脅突況時的力不從心，也反映出企業對信息安全中的外部威脅難以進行有效防范和及時應對。目前，我國互聯網企業總體停留在安全保障、被動防御階段，并未形成明確推進信息安全的管理措施。企業對信息安全重視程度不夠。與發達國家相比，我國企業用于信息安全方面的投資還很低，尚未占到企業信息系統建設總成本的2％，而國外企業用于安全系統的投資占整個網絡建設投資的15％～20％。例如，2014年我國信息安全投資總額為22億美元，不及美國的3.2%，且企業投資重點集中在安全基礎設施建設、產品更新換代等，對安全服務投入明顯不足。許多企業口頭上重視信息安全，但未付諸實踐。

二、構筑企業安全三重防線

建設合理先進的信息安全管理系統。企業應重點加大對安全評估測評工具及技術、數據防泄露及敏感信息防護技術、大規模網絡安全態勢感知技術和統一身份管理與認證技術的研發投入，重點建設一個集風險評估、安全策略、防御體系、實時檢測、數據恢復、安全跟蹤和動態調整為一體的信息安全管理系統，加大信息安全管理的重視力度，從產品、技術、管理和制度多個維度來解決信息安全問題。建立信息安全風險防范和災難應對體系。建議企業參照金融行業的管理模式，主動建立風險防范和災難應對體系，出臺具備面對突發狀況的應急方案和數據備份雙重機制，并重點開展以下工作：完善、優化企業內部網絡架構，構建全方位的數據泄露防護系統，建立一體化的本地/異地備份與容災體系，建立防火墻、防入侵及一體化安全網關解決方案，提高漏洞發現及應急解決能力、減少高危漏洞帶來的危害。聯手產業鏈上下游共筑安全防線。信息安全已不只是企業本身所能掌控的，比如支付寶服務器故障的主因是杭州市蕭山區某地光纖被挖斷導致，這就需要電信運營商等加大對光纖光纜安全監督。因此，互聯網企業應與產業鏈上下游企業攜手，做到信息數據、用戶隱私、軟硬件產品等不同類型的安全問題與行業相對應，有效防范安全管理脫節、錯位等問題發生。隨著互聯網與各行各業的深度融合，信息安全威脅事件出現常態化趨勢。企業應緊密圍繞內部和外部環境，加大信息安全管理工作力度，有效減免信息安全危機事件。

作者:宋德王 單位:賽迪智庫電子信息產業研究所

篇(7)

由陳嘉庚先生創辦的集美大學，經過十年網絡建設，終于將這塊骨頭啃下一大口。這所幾萬人的高校，在國內熊貓燒香病毒肆虐期間，竟然靠校園網全網安全架構平臺的整體效能，抵擋了病毒傳播，全校網內沒有發生熊貓病毒網內傳播。

看起來的確神奇，究竟是一種什么樣的技術，在集美的應用中顯示出出眾的安全防護效果？它又是如何部署應用于復雜的校園網絡之中？

下面以集美大學網絡為例，詳細解析校園網絡中，GSN全局安全系統平臺的搭建部署秘訣。

GSN全局安全網絡

總體而言，GSN由銳捷安全交換機、安全客戶端、安全管理平臺、用戶認證系統、安全修復系統、VPN客戶端、RG-WALL防火墻等多重網絡元素組成，實現同一網絡環境下的全局聯動，使網絡中的每個設備都在發揮著安全防護的作用，構成“多兵種協同作戰”的全新安全體系。GSN通過將用戶入網強制安全、統一安全策略管理、動態網絡帶寬分配、嵌入式安全機制集成到一個網絡安全解決方案中，達到對網絡安全威脅的自動防御，網絡受損系統的自動修復，同時可針對網絡環境的變化和新的網絡行為自動學習，從而達到對未知網絡安全事件的防范。

當接入網絡的用戶終端發生安全攻擊事件時，安全管理平臺(RG-SMP)將針對這一安全事件進行判斷，以確認選擇調用何種安全策略來處理。

當用戶終端接入網絡時，銳捷安全客戶端(RG-SA)會自動檢測終端用戶的安全狀態，一旦檢測到用戶系統存在安全漏洞，安全管理平臺(RG-SMP)會通過網絡自動將受損用戶從網絡正常區域中隔離開來，被隔離的用戶將被自動置于系統修復區域。

當網絡中有新的網絡訪問行為時，該行為的相關信息會被安全客戶端(RG-SA)有效捕獲，并通過E-MAIL、管理日志等方式通知管理員。同時GSN能及時的捕獲到網絡的環境變化，一旦檢測到網絡流量異常，RG-SA安全客戶端會自動截取網絡流量報文進行分析，從而有效地阻斷DDos或未知的網絡安全事件。由這個網絡訪問行為產生的對應安全策略會自動匹配到系統當中。在今后發生同樣的網絡訪問行為時，系統就能自動調用相應的安全策略來處理。

GSN全局安全系統部署

1.GSN系統組成及原理

該方案由六個組件構成。

1) 認證計費管理平臺(RG-SAM)――提供用戶身份、地址、端口綁定功能，并能提供基于校園網特性的計費策略；

2) 安全策略平臺(RG-SMP)――對發現的安全事件進行判斷，以確定調用何種安全策略進行處理；

3) 安全修復平臺――對于觸發安全事件的用戶，將其隔離到安全修復平臺，自動對其進行修復；

4) 入侵防御系統(IPS)――負責對全網的用戶行為進行監控和記錄，將網絡中存在的網絡攻擊、異常流量、蠕蟲病毒、P2P應用等安全事件通告給安全策略平臺；

5) 安全交換機(RG-Switch)――對于安全策略平臺下發的策略進行處理，實時對網絡用戶的安全事件進行阻斷或隔離；

6) 安全客戶端(SU)――對用戶的安全行為進行告警和提示，并能夠對安全策略平臺下發的補丁、軟件自動安裝運行。

該方案涉及的安全保障體系：

1) 身份認證――用戶通過安全客戶端進行身份認證，以確定其在該時間段、該地點是否被允許接入網絡；

2) 身份信息同步――用戶的身份認證信息將會從認證計費管理平臺同步到安全策略平臺，為整個系統提供基于用戶的安全策略實施和查詢；

3) 安全事件檢測――用戶訪問網絡的流量將會被鏡像給入侵防御系統，該系統將會對用戶的網絡行為進行檢測和記錄；

4) 安全事件通告――用戶一旦觸發安全事件，入侵防御系統將自動將其通告給安全策略平臺；

5) 自動告警――安全策略平臺收到用戶的安全事件后，將根據預定策略對用戶進行告警提示；

6) 自動阻斷(隔離)――在告警提示的同時，系統將安全(阻斷、隔離)策略下發到安全交換機，安全交換機將根據下發的策略對用戶數據流進行阻斷或對用戶進行隔離；

7) 修復程序鏈接下發――被隔離至修復區的用戶，將能夠自動接收到系統發送的相關修復程序鏈接；

8) 自動獲取并執行修復程序――安全客戶端收到系統下發的修復程序連接后，將自動下載并強制運行，使用戶系統恢復正常。

2.校園網部署步驟

宿舍網部署

•新建宿舍網的部署――對于新建宿舍網，在接入層部署銳捷安全交換機，配合GSN管理平臺，實現了全部的安全管理功能。

•舊宿舍網改造――樓棟匯聚交換機替換為銳捷安全交換機，配合GSN管理平臺，在保護原有投資的前提下，實現了最緊迫的安全管理功能。

辦公網部署

•辦公網部分集中在區域匯聚交換機上進行認證，暫不考慮隔離、阻斷功能。這樣可最大限度地保護現有投資。

•通過對用戶的身份綁定，可獲得最基本的網絡安全保護功能。旁路IPS檢測到的安全事件，將在安全策略平臺上進行統一呈現，系統將自動對用戶進行告警，管理人員可通過手動方式進行處理和審計。

公共機房部署

•新建機房――新建機房在接入層部署銳捷安全交換機，配合GSN管理平臺，可實現全部的安全管理功能。

•原有機房改造――為保護原有投資，在每個機房增加一臺匯聚交換機，實現最為緊迫的安全管理功能。

在具體到每一個用戶網絡的應用環境時，還應針對用戶網絡體系結構進行具體分析，將可擴展性、網絡性能、可管理性等周邊因素都列入到考慮范圍之內，在GSN架構上進行靈活機動的配置，開發出一個多層防御體系，進一步提升GSN的適應性。同時考慮到對用戶已有IT投資利益的保護，用戶可以分步實現GSN的整個架構，從網絡的核心層、匯聚層或終端層面逐步采用GSN全局安全解決方案，而不影響到網絡系統的正常使用。

應用點評:校園網安全需要全局考慮

面對復雜的網絡安全行為，智能化是全網安全防護系統的核心。最有效的防御策略是將各種網絡安全防御技術智能化聯動應用于整個網絡中，而不是在單點進行網絡安全的防護部署。

集美大學網絡中心主任李斌奇介紹，在集美GSN校園網成功實施后，集美校園網絡整體實現了全網統一認證和全局安全部署。通過GSN系統，從接入層就對用戶和計算機進行安全審計，只有合法用戶和健康的計算機才能進入校園網。