網絡安全建設規劃

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網絡安全建設規劃范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

網絡安全建設規劃范文第1篇

關鍵詞：安全；信息化；規劃

中圖分類號：TP393　文獻標識碼：A

1　校園網安全運行現狀與需求

1.1校園網安全建設現狀分析

網絡環境的復雜性、多變性，以及信息系統的脆弱性，決定了網絡安全威脅的客觀存在。隨著高校的發展，用網人數的增加，校園網用戶對信息與網絡安全的要求也越來越高。大部分高校以往的網絡建設，重點是“建設”，強調網絡的覆蓋范圍，出口帶寬，基礎應用等，而對網絡安全的關注度不夠，往往是“想起一個建一個，需要一個建～個”，沒有形成系統、全面、高效的網絡安全體系。隨著高?！靶畔⒒苯ㄔO的呼聲越來越高，網絡安全體系的建設也在逐步受到學校各級領導的重視。

1.2校園網安全體系建設需求

網絡安全建設一直是各高校網絡建設的難點和薄弱環節，一方面，技術管理手段的不全面以及管理機制的不完善制約了安全防范的力度；另一方面，校園網用戶甚至是系統管理員的安全意識淡漠，以及學生用戶網絡行為的不確定性成為各高校網絡安全工作的瓶頸。因此，網絡中心需要通過采取一系列的網絡安全措施、制定一系列的網絡安全管理制度，在提高網絡管理技術手段的同時，逐步增強用戶的網絡安全意識，構建穩定、安全、綠色的校園網。

2　網絡安全體系建設規劃

隨著學校網絡與信息化建設的逐步深入，網絡安全問題、信息數據安全問題日益突出。建立一套網絡安全體系，是各高校在信息化過程中的重要任務之一。

2.1校園網安全建設規劃

根據各高校網絡建設規劃，結合現有的網絡安全技術手段，應從以下幾個方面做好校園網安全建設工作。

2.1.1加強網絡設施安全建設

網絡設施安全主要指網絡設備、服務器等硬件設備的物理安全。某高校網絡中心曾經發生過同批次多塊硬盤損壞，機柜門被撬開。學生惡意偷用電源。光纜被挖斷等安全事件，因此。在信息化的建設中，保證設備的物理安全尤為重要。

建立機房、設備間的防火、防盜、監控和報警方案：

對一些關鍵設備。系統和鏈路，應設置冗余備份系統，避免網絡設備因天災或人為因素對網絡造成的影響。

2.1.2終端安全防范措施

隨著各高校網絡覆蓋范圍的逐步增加，用網人數不斷增多(如某高校校園網同時在線用戶已經達到4500人)，用戶終端的安全問題成為校園網內網安全的主要問題之一。由于用網人員的計算機水平參差不齊，以及學生用戶網絡行為的不可控性，給網絡安全帶來了很大的隱患，因此需要從以下幾個方面完善終端安全防范措施：

提供并推廣可供全校師生員工使用的網絡版殺毒軟件，以及校內WSUS服務，逐步建立“沒有殺毒軟件”、“不打系統補丁”不上網的安全意識；

對校內突發的終端安全事故進行監控，及時提供必要的專殺工具、漏洞補丁：

提高技術人員的技術水平，采取相應的檢測手段，利用先進的儀器設備，減少用戶端安全事故的排查和定位時間。

2.1.3應用服務器安全措施

應用服務器是數字化校園的基礎，是各個業務系統的載體，所以它的安全是至關重要的，因此，系統管理員的技術手段和安全意識在服務器的安全管理中起到至關重要的作用。

制定相關技術文檔，規范應用服務器上線前的安全檢查，督促管理員使用正版操作系統、安裝殺毒軟件、防火墻、自動更新等，并且定期掃描系統漏洞，更改系統密碼。保證操作系統安全；

建立完善可靠的容災恢復方案，對關鍵服務器采用雙機熱備方式，并且提供可靠的數據備份系統，如采用RAID技術以及利用磁帶備份數據，確保事故發生時業務數據不丟失，系統能夠快速恢復；

建立授權控制體系，對不同管理員設定不同的系統、數據庫管理權限：

完善訪問日志分析系統，定期對日志進行整理和分析，制定相應的安全策略。

2.1.4網絡出口及邊界安全

目前高校網絡出口及邊界設備主要分為路由器。防火墻、VPN等三類設備，網絡出口及邊界的安全主要包括配置合理、全面的安全策略，以及如何提高安全響應速度和快速、準確地定位攻擊來源。針對這些方面，需要在出口及邊界設備的管理中做到以下幾點：

建立密碼維護制度。定期更換設備Telnet、SSH登錄密碼以及SNMP共同體名；

>制定詳細的ACL策略，限制登錄設備的IP地址；

采取NAT機制。在保證校內用戶正常上網的同時，繼續優化8812路由器的安全功能；

啟用防火墻的防病毒功能，在源頭阻斷病毒入侵；

合理規劃SSL VPN的用戶權限；

建立IDS+IPS的聯動機制。完善網絡監控與入侵防范；

建立出入雙向的訪問日志系統。

2.1.5應用分析控制技術的應用

在網絡安全管理中，網絡流量、網絡應用的分析至關重要，網絡管理人員需要明確地知道網絡中有哪些網絡應用，各種應用在網絡中所占的帶寬以及是否存在不良應用，如圖1。

隨著上網人數的增多，網絡出口不可避免地出現擁堵現象，因此，需要進一步對網絡應用進行分析，并制定有效的控制策略。

實時記錄出口帶寬使用情況，對惡意占用帶寬的應用進行限制，確保基本應用的高效運行；

對網絡流量進行監控，利用相關協議分析工具對網絡應用進行深層坎的分析。

2.2信息安全建設規劃

信息安全指保證系統中的信息不被破壞、不被竊取、不被非法復制和使用等。

2.2.1信息安全保障措施

通過一系列的措施，保證信息在傳輸和存儲時的安全。

建立完善的實名上網制度，并且與各系統的日志配合，建立“上網ID+上網時間+上網IP+上網入”的一一對應關系；

建立合理的文件上傳、審查制度，對關鍵數據采取數字簽名技術，做到誰上傳誰負責，安全事故責任到人；

對論壇、留言板等提供用戶交流的版塊加強監管力度。對有害和敏感信息進行監控；

數字校園關鍵服務器問數據傳輸采取加密方式，防止網絡竊聽、數據泄露等安全事故的發生；

對病毒郵件、垃圾郵件以及含有敏感信息的郵件進行過濾。

2.2.2數據安全建設

隨著高校信息化建設的推進，各部門工作信息化的程度也將越來越高，如何保證數據安全，提高管理信息系統(MIS)的安全性是信息化過程中必須考慮的問題。

各部門需要制定MIS的相關管理制度：

制定MIS系統數據備份、災難恢復方案；

定期對MIS漏洞進行修補。防止數據泄露。

2.3全局安全體系建設

根據對網絡體系分層的概念，針對不同的層次制定不同的網絡安全措施。做到有的放矢，從技術上實現檢測、上報和控制一體化。例如銳捷公司提出的全局安全網絡(GSN)，如圖2。

整合已建立的安全措施，增加針對上網用戶的準入策略。在用戶連入網絡之前先進行客戶端病毒及漏洞掃描，保證連入網絡的客戶端的安全性，從而最大限度地降低網絡安全風險：

建立統一的安全管理平臺(SMP)，通過下發警告消息，下發修復程序，下發阻斷或者隔離策略等手段智能處理安全事件。

網絡安全建設規劃范文第2篇

 

為了貫徹國家對信息系統安全保障工作的要求以及等級化保護堅持“積極防御、綜合防范”的方針，需要全面提高信息安全防護能力。貴州廣電網絡信息系統建設需要進行整體安全體系規劃設計，全面提高信息安全防護能力，創建安全健康的網絡環境，保護國家利益，促進貴州廣電網絡信息化的深入發展。

 

1安全規劃的目標和思路

 

貴州廣電網絡目前運營并管理著兩張網絡：辦公網與業務網;其中辦公網主要用于貴州廣電網絡各部門在線辦公，重要的辦公系統為OA系統、郵件系統等;業務網主要提供貴州廣電網絡各業務部門業務平臺，其中核心業務系統為BOSS系統、互動點播系統、安全播出系統、內容集成平臺以及寬帶系統等。

 

基于對貴州廣電網絡信息系統的理解和國家信息安全等級保護制度的認識，我們認為，信息安全體系是貴州廣電網絡信息系統建設的重要組成部分，是貴州廣電網絡業務開展的重要安全屏障，它是一個包含貴州廣電網絡實體、網絡、系統、應用和管理等五個層面，包括保護、檢測、響應、恢復四個方面，通過技術保障和管理制度建立起來的可靠有效的安全體系。

 

1.1設計目標

 

貴州廣電網絡就安全域劃分已經進行的初步規劃，在安全域整改中初見成效，然而，安全系統建設不僅需要建立重要資源的安全邊界，而且需要明確邊界上的安全策略，提高對核心信息資源的保護意識。貴州廣電網絡相關安全管理體系的建設還略顯薄弱，管理細則文件亟需補充，安全管理人員亟需培訓。因此，本次規劃重點在于對安全管理體系以及目前的各個業務系統進行了全面梳理，針對業務系統中安全措施進行了重點分析，綜合貴州廣電網絡未來業務發展的方向，進行未來五年的信息安全建設規劃。

 

1.2設計原則

 

1.2.1合規性原則

 

安全設計要符合國家有關標準、法規要求，符合廣電總局對信息安全系統的等級保護技術與管理要求。良好的信息安全保障體系必然是分為不同等級的，包括對信息數據保密程度分級，對用戶操作權限分級，對網絡安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網絡層、鏈路層等)，從而針對不同級別的安全對象，提供全面、可選的安全技術和安全體制，以滿足貴州廣電網絡業務網、辦公網系統中不同層次的各種實際安全需求。

 

1.2.2技管結合原則

 

信息安全保障體系是一個復雜的系統工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現。因此，必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。

 

1.2.3實用原則

 

安全是為了保障業務的正常運行，不能為了安全而妨礙業務，同時設計的安全措施要可以落地實現。

 

1.3設計依據

 

1.3.1“原則”符合法規要求

 

依據《中華人民共和國計算機信息系統安全保護條例K國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[20〇3]27號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術信息系統安全等級保護定級指南》、GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》、《廣播電視安全播出管理規定》(廣電總局62號令)、GDJ038-CATV|有線網絡。

 

2011《廣播電視播出相關信息系統等級保護基本要求》，對貴州省廣播電視相關信息系統安全建設進行規劃。

 

1.3.2“策略”符合風險管理

 

風險管理是基于“資產-價值-漏洞-風險-保障措施”的思想進行保障的。風險評估與管理的理論與方法已經成為國際信息安全的標準。

 

風險管理是靜態的防護策略，是在對方攻擊之前的自我鞏固的過程。風險分析的核心是發現信息系統的漏洞，包括技術上的、管理上的，分析面臨的威脅，從而確定防護需求，設計防護的措施，具體的措施是打補丁，還是調整管理流程，或者是增加、增強某種安全措施，要根據用戶對風險的可接受程度，這樣就可以與安全建設的成本之間做一個平衡。

 

1.3.3“措施”符合P2DR模型

 

美國ISS公司(IntemetSecuritySystem，INC)設計開發的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(Protection)和響應(Response)四個主要部分，是一個可以隨著網絡安全環境的變化而變化的、動態的安全防御系統。安全策略是整個P2DR模型的中樞，根據風險分析產生的安全策略描述了系統中哪些資源要得到保護，以及如何實現對它們的保護等，策略是模型的核心，所有的防護、檢測和響應都是依據安全策略實施的。

 

檢測(Detection)、防護(Protection)和響應(Response)三個部分又構成一個變化的、動態的安全防御體系。P2DR模型是在整體的安全策略的控制和指導下，在綜合運用防護工具(如防火墻、身份認證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統的安全狀態，通過適當的反應將系統調整至“最安全”和“風險最低”的狀態，在安全策略的指導下保證信息系統的安全[3]。

 

1.4安全規劃體系架構

 

在進行了規劃“原則”、“策略”、“措施”探討的基礎上，我們設計貴州廣電網絡的安全保障體系架構為“一個中心、兩種手段”。

 

“一個中心”，以安全管理中心為核心，構建安全計算環境、安全區域邊界和安全通信網絡，確保業務系統能夠在安全管理中心的統一管控下運行，不會進入任何非預期狀態，從而防止用戶的非授權訪問和越權訪問，確保業務系統的安全。

 

“兩種手段”，是安全技術與安全管理兩種手段，其中安全技術手段是安全保障的基礎，安全管理手段是安全技術手段真正發揮效益的關鍵，管理措施的正確實施同時需要有技術手段來監管和驗證，兩者相輔相成，缺一不可。

 

2安全保陳方案規劃

 

2.1總體設計

 

貴州廣電網絡的安全體系作為信息安全的技術支撐措施，分為五個方面：

 

邊界防護體系：安全域劃分，邊界訪問控制策略的部署，主要是業務核心資源的邊界，運維人員的訪問通道。

 

行為審計體系：通過身份鑒別、授權管理、訪問控制、行為曰志等手段，保證用戶行為的合規性。

 

安全監控體系：監控網絡中的異常，維護業務運行的安全基線，包括安全事件與設備故障，也包括系統漏洞與升級管理。

 

公共安全輔助：作為整個網絡信息安全的基礎服務系統，包括身份認證系統、補丁管理系統以及漏洞掃描系統等。

 

IT基礎設施：提供智能化、彈能力的基礎設施，主要的機房的智能化、服務器的虛擬化、存儲的虛擬化等。

 

2.2安全域劃分

 

劃分安全域的方法是首先區分網絡功能區域，服務器資源區、網絡連接區、用戶接入區、運維管理區、對外公共服務區;其次是在每個區域中，按照不同的安全需求區分不同的業務與用戶，進一步劃分子區域;最后，根據每個業務應用系統，梳理其用戶到服務器與數據庫的網絡訪問路徑，通過的域邊界或網絡邊界越少越好。

 

Z3邊界防護體系規劃

 

邊界包括網絡邊界、安全域邊界、用戶接口邊界(終端與服務器)、業務流邊界，邊界上部署訪問控制措施，是防止非授權的“外部”用戶訪問“里面”的資源，因此分析業務的訪問流向，是訪問控制策略設計的依據。

 

2.3.1邊界措施選擇

 

在邊界上我們建議四種安全措施：

 

1.網絡邊界：與外部網絡的邊界是安全防護的重點，我們建議采用統一安全網關(UTM),從網絡層到應用層的安全檢測，采用防火墻(FW)部署訪問控制策略，采用入侵防御系統(IPS)部署對黑客入侵的檢測，采用病毒網關(AV)部署對病毒、木馬的防范;為了方便遠程運維工作，與遠程辦公實施，在網絡邊界上部署VPN網關，對遠程訪問用戶身份鑒別后，分配內網地址，給予限制性的訪問授權。Web服務的SQL注入、XSS攻擊等。

 

3.業務流邊界：安全需求等級相同的業務應用采用VLAN隔離，采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離，防止二層廣播，通知可以在發現安全事件時，開啟不同子域的安全隔離。

 

4.終端邊界：重點業務系統的終端，如運維終端，采用終端安全系統，保證終端上系統的安全，如補丁的管理、黑名單軟件管理、非法外聯管理、移動介質管理等等。

 

2.3.2策略更新管理

 

邊界是提高入侵者的攻擊“門檻”的，部署安全策略重點有兩個方面：一是有針對性。允許什么，不允許什么，是明確的;二是動態性。就是策略的定期變化，如訪問者的口令、允許遠程訪問的端口等，變化的周期越短，給入侵者留下的攻擊窗口越小。

 

2.4行為審計體系規劃

 

行為審計是指對網絡用戶行為進行詳細記錄，直接的好處是可以為事后安全事件取證提供直接證據，間接的好處乇兩方面：對業務操作的日志記錄，可以在曰后發現操作錯誤、確定破壞行為恢復時提供操作過程的反向操作，最大程度地減小損失;對系統操作的日志記錄，可以分析攻擊者的行為軌跡，從而判斷安全防御系統的漏洞所在，亡羊補牢，可以彌補入侵者下次入侵的危害。

 

行為審計主要措施包括:一次性口令、運維審計(堡壘機)、曰志審計以及網絡行為審計。

 

2.5安全監控體系規劃

 

監控體系不僅是網絡安全態勢展示平臺，也是安全事件應急處理的指揮平臺。為了管理工作上的方便，在安全監控體系上做到幾方面的統一：

 

1.運維與安全管理的統一：業務運維與安全同平臺管理，提高安全事件的應急處理速度。

 

2.曰常安全運維與應急指揮統一：隨時了解網絡上的設備、系統、流量、業務等狀態變化，不僅是日常運維發現異常的平臺，而且作為安全事件應急指揮的調度平臺，隨時了解安全事件波及的范圍、影響的業務，同時確定安全措施執行的效果。

 

3.管理與考核的統一：安全運維人員的工作考核就是網絡安全管理的曰常工作與緊急事件的處理到位，在安全事件的定位、跟蹤、處理過程中，就體現了安全運維人員服務的質量。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數據。

 

安全監控措施主要包括安全態勢監控以及安全管理平臺，2.6公共安全輔助系統

 

作為整個網絡信息安全的基礎服務系統，需要建設公共安全輔助系統：

 

1.身份認證系統：獨立于所有業務系統之外，為業務、運維提供身份認證服務。

 

2.補丁管理系統：對所有系統、應用的補丁進行管理，對于通過測試的補丁、重要的補丁，提供主動推送，或強制執行的技術手段，保證網絡安全基線。

 

3.漏洞掃描系統：對于網絡上設備、主機系統、數據庫、業務系統等的漏洞要及時了解，對于不能打補丁的系統，要確認有其他安全策略進行防護。漏洞掃描分為兩個方面，一是系統本身的漏洞，二是安全域邊界部署了安全措施之后，實際用戶所能訪問到的漏洞(滲透性測試服務)。

 

2.7IT基礎設施規劃

 

IT基礎設施是所有網絡業務系統服務的基礎，具備一個優秀的基礎架構，不僅可以快速、靈活地支撐各種業務系統的有效運行，而且可以極大地提高基礎IT資源的利用率，節省資金投入，達到環保的要求。

 

IT基礎設施的優化主要體現在三個方面：智能機房、服務器虛擬化、存儲虛擬化。

 

3安全筐理體系規劃

 

在系統安全的各項建設內容中，安全管理體系的建設是關鍵和基礎，建立一套科學的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網絡股份有限公司安全建設的必要條件和基本保證。

 

3_1安全管理標準依據

 

以GBAT22239-2008《信息安全技術信息系統安全等級保護基本要求》中二級、三級安全防護能力為標準，對貴州廣電網絡安全管理體系的建設進行設計。

 

3.2安全管理體系的建設目標

 

通過有效的進行貴州廣電網絡的安全管理體系建設，最終要實現的目標是：采取集中控制模式，建立起貴州廣電網絡完整的安全管理體系并加以實施與保持，實現動態的、系統的、全員參與的、制度化的、以預防為主的安全管理模式，從而在管理上確保全方位、多層次、快速有效的網絡安全防護。

 

3.3安全管理建設指導思想

 

各種標準體系文件為信息安全管理建設僅僅提供一些原則性的建議，要真正構建符合貴州廣電網絡自身狀況的信息安全管理體系，在建設過程中應當以以下思想作為指導：“信CATV丨有線網絡息安全技術、信息安全產品是信息安全管理的基礎，信息安全管理是信息安全的關鍵，人員管理是信息安全管理的核心,信息安全政策是進行信息安全管理的指導原則，信息安全管理體系是實現信息安全管理最為有效的手段?！?/p>

 

3.4安全管理體系的建設具體內容

 

GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》(以下簡稱《基本要求》)對信息系統的安全管理體系提出了明確的指導和要求。我們應以《基本要求》為標準，結合目前貴州廣電網絡安全管理體系的現狀，對廣電系統的管理機構、管理制度、人員管理、技術手段四個方面進行建設和加強。同時，由于信息安全是一個動態的系統工程，所以，貴州廣電網絡還必須對信息安全管理措施不斷的加以校驗和調整，以使管理體系始終適應和滿足實際情況的需要，使貴州廣電網絡的信息資產得到有效、經濟、合理的保護。

 

貴州廣電網絡的安全管理體系主要包括安全管理機構、安全管理制度、安全標準規范和安全教育培訓等方面。

 

通過組建完整的信息網絡安全管理機構，設置安全管理人員，規劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施，制定嚴格的安全管理制度，合理地協調法律、技術和管理三種因素，實現對系統安全管理的科學化、系統化、法制化和規范化，達到保障貴州廣電網絡信息系統安全的目的。

 

3.5曰常安全運維3.5.1安全風險評估

 

安全風險評估是建立主動防御安全體系的重要和關鍵環節，這環的工作做好了可以減少大量的安全威脅，提升整個信息系統的對網絡災難的免疫能力;風險評估是信息安全管理體系建立的基礎，是組織平衡安全風險和安全投入的依據，也是信息安全管理體系測量業績、發現改進機會的最重要途徑。

 

3.5.2網絡管理與安全管理

 

網絡管理與安全管理的主要措施包括：出入控制、場地與設施安全管理、網絡運行狀態監控、安全設備監控、安全事件監控與分析、提出預防措施。

 

3.5.3備份與容災管理

 

貴州廣電網絡主要關鍵業務系統需要雙機本地熱備、數據離線備份措施;其他相關業務應用系統需要數據離線備份措施。

 

3.5.4應急響應計劃

 

通過建立應急相應機構，制定應急響應預案，通過建立專家資源庫、廠商資源庫等人力資源措施，通過對應急響應有線網絡ICATV預案不低于一年兩次的演練，可以在發生緊急事件時，做到規范化操作，更快的恢復應用和數據，并最大可能的減少損失

 

3.6安全人員管理

 

信息系統的運行是依靠在各級黨政機構工作的人員來具體實施的，他們既是信息系統安全的主體，也是系統安全管理的對象。所以，要確保信息系統的安全，首先應加強人事安全管理。

 

安全人員應包括：系統安全管理員、系統管理員、辦公自動化操作人員、安全設備操作員、軟硬件維修人員和警衛人員。

 

其中系統管理員、系統安全管理員必須由不同人員擔當。3.7技術安全管理

 

主要措施包括：軟件管理、設備管理、備份管理以及技術文檔管理。

 

4安全規劃分期建設路線

 

信息安全保障重要的是過程，而不一定是結果，重要的是安全意識的提高，而不一定是安全措施的多少。因此，信息安全建設也應該從保障業務運營為目標，提高用戶自身的安全意識為思路，根據業務應用的模式與規模逐步、分階段建設，同時還要符合國家與廣電總局關于等級保護的技術與管理要求。

 

4.1主要的工作內容

 

根據安全保障方案規劃的設計，貴州廣電網絡的信息安全建設分為如下幾個方面的內容：

 

1.網絡優化改造:主要是安全域的劃分，網絡結構的改造。

 

2.安全措施部署:邊界隔離措施部署，行為審計系統部署、安全監控體系部署。

 

3.基礎設施改造：主要是數據大集中、服務器虛擬化、存儲虛擬化。

 

4.安全運維管理:信息安全管理規范、日常安全運維考核、安全檢查與審計流程、安全應急演練、曰常安全服務等。

 

4.2分期建設規劃

 

4_2.1達標階段(2015-2017)

 

1.等保建設

 

2.信任體系：網絡審計、運維審計、日志審計

 

3.身份鑒別(一次口令)

 

4.監控平臺：入侵檢測、流量監測、木馬監測

 

5.安全管理平臺建設

 

6.等保測評通過(2級3級系統)

 

7.安全服務：建立定期模式

 

8.滲透性測試服務(外部+內部)

 

9.安全加固服務，建立服務器安全底線

 

10.信息安全管理

 

11.落實安全管理細則文件制定

 

12.落實安全運維與應急處理流程

 

13.完善IT服務流程，建設安全運維管理平臺

 

14.定期安全演練與培訓

 

4.2.2持續改進階段(2018?2019)

 

1.等保建設

 

2.完善信息安全防護體系

 

3.提升整體防護能力

 

4.深度安全服務

 

5.有針對性安全演練，協調改進管理與技術措施

 

6.源代碼安全審計服務(新上線業務)

 

7.信息安全管理

 

8.持續改進運維與應急流程與制度，提高應急反應能力

 

9.提高運維效率，開拓運維增值模式

 

5結東語

網絡安全建設規劃范文第3篇

(1)物理安全防范較為重視。從物理安全的五項指標來看，被調查的160家醫院都非常注重防盜、防水、防雷、防塵、防靜電及溫濕度控制等物理環境安全防范，絕大部分醫院對物理訪問控制與物理監控(機房設備管理)也都很重視，分別達到93%與85%，但僅有1/4的醫院注重設備檢測，說明中國絕大部分醫院設備或未做檢測即投入運行，或缺乏定期進行安全評估、安全加固等保護，因而我國數字化醫院還存在著一定的物理設備安全風險。

(2)系統安全威脅嚴重。系統安全四項指標中，采用了訪問控制及備份與恢復措施的醫院分別達到138家與147家，但實地調查顯示非授權訪問的情況還大量存在。進行系統日志審計的醫院不足50家，說明我國醫院系統日志還基本流于形式，缺乏深度安全審計，從而很難及時發現其中的安全隱患。進行系統開發與維護的醫院也僅54家，原因主要在于目前許多醫院由于受人員、設備、資金影響，或本身重視不夠，導致其信息系統缺乏運營維護或維護不及時，因此其安全性和可靠性多數處于較差狀態。

(3)網絡通信安全較為脆弱。網絡通信安全五項指標中，網絡攻擊防護與業務文檔記錄方面，醫院相對比較重視，比例分別達到94%與84%，但實地調查發現其網絡攻擊防護還處于低水平狀態。實行網絡隔離與訪問控制的醫院僅占30%，大多數醫院網絡訪問隨意性大，醫院網絡可隨意互訪，信息流通和共享暢通無阻，這給醫院信息安全帶來極大的安全隱患。實行入侵檢測的醫院不到30%，說明中國數字化醫院還處于被動防御階段，遠未達到主動防御水平，同時信息系統的縱深防護水平不高，由此導致數字化醫院以計算機病毒、黑客攻擊等為代表的安全事件頻繁發生。實行密鑰管理的醫院則僅13%，說明醫院網絡密鑰其實幾乎還處于無人監管狀態。

(4)人員安全隱患重重。人員安全四項指標調查結果都不容樂觀，尤其是進行第三方合作合同的控制和管理的醫院僅占10%，說明中國數字化醫院在人員安全管理方面還遠未重視，由此導致醫院內部存在大量網絡操作違規現象。如，網絡操作人員隨意將自己的登錄賬號轉借他人，隨意將一些存儲介質接入信息系統，未經授權同時訪問外網與內網，一些人員為了謀取個人私利，非法訪問內部網絡，竊取、偽造、篡改醫療數據等，這使得中國數字化醫院信息安全事故頻頻發生。

(5)組織管理安全有待加強。組織管理安全四項指標中，160家醫院都設置了安全管理組織機構，說明所有醫院都很重視信息安全管理工作，但安全管理制度完整的醫院僅114家，且多數在應急管理制度制定方面較為欠缺，而安全管理制度實施情況調查顯示，只有40%的醫院安全管理制度得到實施，這意味著60%的醫院的安全管理制度形同虛設。在人力財力保障方面給予充分保障的醫院不到50%，由于缺乏人力財力的保障，目前許多醫院信息安全系統建設難以為繼。綜上所述，中國數字化醫院還存在著極大的信息安全隱患。因此，數字化醫院信息安全建設已迫在眉睫。

2動態網絡安全模型的比較分析

面對復雜多樣的信息安全風險以及日益嚴峻的信息安全局勢，動態網絡安全模型為中國數字化醫院信息安全建設提供了理論基礎。典型的動態網絡安全模型有PPDR模型、PDRR模型、MPDRR模型和WPDRRC模型等，這些安全模型各有特點，各有側重，已廣泛應用于多個領域的信息安全建設實踐。環節。它強調在安全策略的指導下，綜合采用防火墻、VPN等安全技術進行防護的同時，利用入侵檢測系統等檢測工具，發現系統的異常情況，以及可能的攻擊行為，并通過關閉端口、中斷連接、中斷服務等響應措施將系統調整到一個比較安全的狀態。其中，安全策略是核心，防護、檢測和響應環節組成了一個完整、動態的安全循環，它們共同保證網絡系統的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基礎上增加恢復(Recovery)環節發展而來，由防護(Protection)、檢測(Detection)、響應(Re-sponse)和恢復(Recovery)四個環節組成(見圖2)。其核心思想是在安全策略的指導下，通過采取各種措施對需要保護的對象進行安全防護，并隨時進行安全跟蹤和檢測以了解其安全狀態，一旦發現其安全受到攻擊或存在安全隱患，則馬上采取響應措施，直至恢復安全保護對象的安全狀態。與PPDR模型相比，PDRR模型更強調一種故障的自動恢復能力，即系統在被入侵后，能迅速采取相應措施將系統恢復到正常狀態，從而保障系統的信息安全。因此，PDRR模型中的安全概念已經從信息安全擴展到了信息保障，信息保障內涵已超出傳統的信息安全保密，是防護、檢測、響應、恢復的有機結合。

3基于動態網絡安全模型的中國數字化醫院信息安全體系構建

結合動態網絡安全模型，并依據《信息安全技術信息系統安全等級保護基本要求》(GB/T22239—2008)、《信息安全技術信息系統等級保護安全設計技術要求》(GB/T25070—2010)等標準規范，本文試構建一個以信息安全組織機構為核心，以信息安全策略、信息安全管理、信息安全技術為維度的數字化醫院信息安全體系三維立體框架。即，在進行數字化醫院信息安全建設時，我們應成立一個信息安全組織機構，并以此為中心，通過制定信息安全總體策略、加強信息安全管理，利用各項信息安全技術，并將其貫徹在預警、保護、檢測、響應、恢復和反擊6個環節中，針對不同的安全威脅，采用不同的安全措施，從而對系統物理設備、系統軟件、數據信息等受保護對象進行全方位多層次保護。

(1)信息安全組織機構是數字化醫院信息安全體系構成要素中最重要的因素，在信息安全體系中處于核心地位。它由決策機構、管理機構與執行機構三部分組成。其中，決策機構是醫院信息安全工作的最高領導機構，負責對醫院信息安全工作進行總體規劃與宏觀領導，其成員由醫院主要領導及其他相關職能部門主要負責人組成。管理機構在決策機構的領導下，負責信息安全體系建設規劃的制定，以及信息安全的日常管理工作，其成員主要來自于信息化工作部門，也包括行政、人事等部門相關人員參與。執行機構在管理機構的領導下，負責保證信息安全技術的有效運行及日常維護，其成員主要由信息化工作部門相關技術人員及其他相關職能部門的信息安全員組成。信息安全組織機構應對醫院信息安全工作進行科學規劃，經常進行不定期的信息安全檢查、評估和應急安全演練。其中對那些嚴重危及醫院信息安全的行為應進行重點管理和監督，明確信息安全責任制，從而保證信息安全各項工作的有效貫徹與落實。

(2)信息安全策略是數字化醫院信息安全得以實現的基礎。其具體制定應依據國家信息安全戰略的方針政策、法律法規，遵循指導性、原則性、可行性、動態性等原則，按照醫療行業標準規范要求，并結合醫院自身的具體情況來進行，由總體方針與分項策略兩個層次組成，內容涵蓋技術層、管理層等各個層面的安全策略，最終實現“進不來、拿不走、看不懂、改不了、逃不掉”的安全防御目的，即在訪問控制機制方面做到“進不來”、授權機制方面做到“拿不走”、加密機制方面做到“看不懂”、數據完整性機制方面做到“改不了”、審計/監控/簽名機制方面做到“逃不掉”。

(3)信息安全管理是數字化醫院信息安全得以實現的保障。它包括人員管理、技術管理和操作管理等方面。當前中國數字化醫院在信息安全管理中普遍存在的問題:在安全管理中對人的因素重視不夠、缺乏懂得管理的信息安全技術人員、信息安全意識不強、員工接受的教育和培訓不夠、安全管理中被動應付的較多等。因此，數字化醫院一方面應加強全員信息安全意識，加大信息安全人員的引進、教育與培訓力度，提高信息安全管理水平;另一方面應制定具體的信息安全管理制度，以規范與約束相關人員行為，保證信息安全總體策略的貫徹與信息安全技術的實施。

(4)信息安全技術是數字化醫院信息安全得以實現的關鍵。數字化醫院信息安全建設涉及防火墻、防病毒、黑客追蹤、日志分析、異地容災、數據加密、安全加固和緊急響應等技術手段，它們貫穿于信息安全預警、保護、檢測、響應、恢復與反擊六個環節。數字化醫院應切實加強這六個環節的技術力量，確保其信息安全得以實現，具體體現在:①預警。醫院應通過部署系統監控平臺，實現對路由器、交換機、服務器、存儲、加密機等系統硬件、操作系統和數據庫等系統軟件以及各種應用軟件的監控和預警，實現設備和應用監控預警;或采用入侵防御系統，分析各種安全報警、日志信息，結合使用網絡運維管理系統，實現對各種安全威脅與安全事件的預警;并將這些不同層面的預警，統一到一套集中的監控預警平臺或運維管理平臺，實現統一展現和集中預警。②保護。主要包括物理安全、系統安全與網絡通信安全等方面的安全保護。對于中心機房、交換機、工作站、服務器等物理設備的安全防護，主要注意防水、防雷、防靜電以及雙機熱備等安全防護工作。系統安全主要包括操作系統與數據庫系統等的安全防護。操作系統的主要風險在于系統漏洞和文件病毒等。為此，醫院需運用防火墻技術控制和管理用戶訪問權限，并定期做好監視、審計和事件日志記錄和分析。所有工作站應取消光驅軟驅，屏蔽USB接口，同時為各個客戶端安裝殺毒軟件，并及時更新，從源頭上預防系統感染病毒。數據庫安全涉及用戶安全、數據保密與數據安全等。為此，需對數據庫進行權限設置。對于關鍵數據，應進行加密存儲。對于重要數據庫應做好多種形式的備份工作，如本地備份與異地備份、全量備份與增量備份等，以保證數據萬無一失。對于網絡通信安全防護，醫院網絡應采用物理隔離的雙網架構，如果內網確需開展對外的WWW等服務，應單獨設置VLAN，結合防火墻設備，通過設置DMZ的方式實現與外界的安全相連。同時，醫院應合理的設置網絡使用權限，嚴格進行用戶網絡密碼管理，防止越權操作。③檢測。檢測是從監視、分析、審計信息網絡活動的角度，發現對于信息網絡的攻擊、破壞活動，提供預警、實時響應、事后分析和系統恢復等方面的支持，使安全防護從單純的被動防護演進到積極的主動防御。前述防護系統能阻止大部分入侵事件的發生，但是它不能阻止所有的入侵。因此安全策略的另一個重要屏障就是檢測。常用工具是入侵檢測系統(IDS)和漏洞掃描工具。利用入侵檢測系統(IDS)對醫院系統信息安全狀況進行實時監控，并定期查看入侵檢測系統生成的報警日志，可及時發現信息系統是否受到安全攻擊。而通過漏洞掃描工具，可及時檢測信息系統中關鍵設備是否存在各種安全漏洞，并針對漏洞掃描結果，對重要信息系統及時進行安全加固。④響應。主要包括審計跟蹤、事件報警、事件處理等。醫院應在信息系統中部署安全監控與審計設備以及帶有自動響應機制的安全技術或設備，當系統受到安全攻擊時能及時發出安全事故告警，并自動終止信息系統中發生的安全事件。為了確保醫院正常的醫療服務和就醫秩序，提高醫院應對突發事件的能力，醫院還應成立信息安全應急響應小組，專門負責突發事件的處理，當醫院信息系統出現故障時，能迅速做出響應，從而將各種損失和社會影響降到最低。其他事件處理則可通過咨詢、培訓和技術支持等得到妥善解決。⑤恢復。主要包括系統恢復和信息恢復兩個方面。系統恢復可通過系統重裝、系統升級、軟件升級和打補丁等方式得以實現。信息恢復主要針對丟失數據的恢復。數據丟失可能來自于硬件故障、應用程序或數據庫損壞、黑客攻擊、病毒感染、自然災害或人為錯誤。信息恢復跟數據備份工作密切相關，數據備份做得是否充分影響到信息恢復的程度。在信息恢復過程中要注意信息恢復的優先級別。直接影響日常生活和工作的信息必須先恢復，這樣可提高信息恢復的效率。另外，恢復工作中如果涉及機密數據，需遵照機密系統的恢復要求。⑥反擊。醫院可采用入侵防御技術、黑客追蹤技術、日志自動備份技術、安全審計技術、計算機在線調查取證分析系統和網絡運維管理系統等手段，進行證據收集、追本溯源，實現醫院網絡安全系統遭遇不法侵害時對各種安全威脅源的反擊。

4結束語

網絡安全建設規劃范文第4篇

論文摘要：檔案信息安全是我院檔案信息化建設中的一項重要保障工作。從技術角度討論了檔案信息安全5個保障措施：主機與客戶機安全保障、網絡安全保障、用戶信息安全保障、應用系統安全保障、容災備份安全保障；并對有效建立多層次多維度檔案信息安全應急響應機制進行了討論。

檔案資源信息化是將檔案資源和檔案各項管理過程數字化，以通信技術、計算機技術以及相關信息技術為工作手段和技術支持，完成信息傳輸，實現檔案資源的合理、有序、有效的開發和利用，最終實現檔案信息資源的社會共享。檔案信息化系統建設是我院在數字化校園一攬子建設方案中重要的一項工作。建設內容主要包括檔案工作規范建設、數據的規范化、檔案應用系統、數據中心、災備中心等。

檔案信息安全的重要性尤為突出。安全管理的最終目的就是保障網絡上傳輸的、系統中存儲的、用戶使用的檔案數據是真實、完整和有效的。檔案信息化進程中的信息安全是檔案信息化有效性的最基礎性保障。高校檔案信息化建設內容中重視檔案信息安全保障體系及應急處理措施建設，從技術、管理兩個方面提供上述解決方案。管理層面要從加強制度建設和檔案工作人員對信息安全的認識著手；技術層面提供多層次、多角度的信息安全預防措施，并在信息安全危害一旦發生采取有效應對措施將損害降至最低。本文就技術層面如何進行高校檔案信息化建設進程中的信息安全保障及恢復策略進行研究。

1技術保障方式

1．1主機及客戶機安全保障

操作系統安全是檔案信息安全最基礎的屏障，不允許主機和客戶機使用漏洞多的操作系統。隨著信息攻擊活動向縱深發展，安全攻擊的目標往往是漏洞多的操作系統。因此我院在檔案信息安全建設中，客戶機和服務器應該使用安全、可靠、漏洞較少的操作系統。強調操作系統本身安全的前提下，更為重要的是要定期利用漏洞掃描工具檢測系統漏洞和系統配置情況，定期給操作系統打補丁，及時發現安全隱患，堵住各種安全漏洞。

新型病毒及其變種層出不窮，病毒泛濫直接影響了檔案信息化安全。防病毒技術是利用專用的防病毒軟件和硬件，發現、診斷和消滅各種計算機病毒和網絡病毒，主要措施是對客戶機和主機服務器中的文件進行不定期的頻繁掃描和檢測，主機上采取防病毒芯片和設置網絡目錄及文件訪問權限。從網絡全局考慮，采取防病毒手段，要改變被動防御的不利局面，以主動防御為主。除了單機病毒預防之外，更為重要的是通過網絡管理平臺監控網絡上的所有機器，充分利用定時查毒功能，對客戶機進行掃描，檢查病毒情況。擬利用網絡管理平臺在線報警功能，當網絡上的每一臺機器發生病毒入侵時，網絡管理人員能及時做出響應。

1．2網絡安全保障

防火墻技術是一種前端網絡設備。主要部署在數字化校園的內部網絡和外部網絡之間，對非法信息進入計算機起到屏障作用，是兩個網絡之間執行控制與安全策略的保障設備，通過安全訪問控制起到保護內部檔案信息應用的安全。由于計算機技術進步的加快，破壞信息安全手段多樣化，檔案信息化系統要充分利用防火墻提供的功能自行設定符合要求的安全策略，僅允許有效的信息類型通過防火墻，對外部網絡與內部網絡之間數據流動進行檢查。防火墻技術可以最大限度地保護檔案信息不被非法更改、破壞、拷貝。

任何一種安全技術不是萬能的，防火墻技術僅能保障外部的侵害。在網絡安全領域本文除了采用防火墻技術，還采用人侵檢測技術，該技術是防火墻技術的有效補充。人侵檢測技術是一種主動的信息安全防護措施，它在檢測來自外部入侵行為的同時，也能檢測出內部用戶的非法活動。其技術要領是收集計算機系統、網絡及用戶活動的過程信息，并對過程信息加以分析，來判斷系統中是否有違反安全策略的行為和被攻擊的證據。在檔案信息化系統中，我們主要采用2種主要的入侵檢測體系結構：基于主機的人侵檢測系統和基于網絡的人侵檢測系統。入侵檢測的重要對象是主機服務器，主要采用實時監視可疑的連接，監控非法訪問，同時制訂相應的工作方案對各種非法入侵行為立即做出響應。

1．3用戶信息安全保障

隨著信息安全技術發展起來的現代密碼學，不僅被用于解決信息的保密性，而且也用于解決信息的完整性、可用性和可控性。密碼是解決信息安全最有效的手段，密碼技術是信息安全的核心技術。為防止核心檔案數據發生泄漏，在保護檔案信息安全的各種手段中，對密碼技術的應用非常重視，主要從以下幾個角度進行密碼應用。一是用戶密碼強度必須符合一定的安全等級，二是采用定期更換核心密碼策略。密碼技術是保障檔案信息安全最為最可靠且經濟、直觀的保護手段。

1．4應用系統安全保障

基于檔案信息化的應用系統安全非常重要，我院在檔案信息化應用系統建設、開發方案中擬定安全解決措施。

一是建設方案中單獨建立權限管理平臺進行訪問控制。訪問控制是一種檔案信息安全的手段之一，其作用有：一是防止非法的用戶進入受限的檔案資源；二是允許合法的用戶訪問受保護的檔案資源；三是防止合法的用戶對受保護的檔案資源進行非授權的訪問。權限平臺的建設保障權限的分層、分級控制，并能在安全需求提升的情況下滿足擴展要求。

二是建設方案中單獨建立全方位的日志文檔中心，便于安全追蹤。主要包含以下內容：訪問日志、數據庫操作日志、非結構化數據操作日志、審計平臺建設。在一般電腦系統中，文件內容若有任何的改變，電腦并不會加以記錄，而作為檔案數據，任何更改文件的動作一定要留有痕跡在日志系統中，這使得在相應安全事件發生之后，便于事后的追查。日志忠實地記錄下在存取電子文件時留下的所有異動記錄，本文稱為檔案追蹤記錄，主要記錄下操作人員、操作時間、操作內容、并對原文件內容進行備份存檔。

1．5容災備份保障

高校檔案信息作為高校重要的資源，無論在何種不可控的因素發生時，要達到檔案信息不可失性的要求。

網絡環境中除了要保證計算中心的環境安全、設備安全、線路安全。我院在著手數字化校園建設規劃這項工作中，還同時進行容災備份中心的建設規劃。容災備份中心是檔案信息化安全的最后一道“安全島”，為了絕對的物理安全，計劃將災備中心與數據中心物理隔離。災備中心采用獨立的網絡安全機制，進行雙機直備，并將檔案信息數據中心數據進行定期采集到災備中心，防止數據中心意外發生造成的數據損失。

2檔案信息安全應急響應機制

在檔案信息安全發生時，如何有效地進行數據和應用的恢復是另外一項重要的課題。在我院檔案信息安全體系方案中，我們將建立有效的安全應急響應機制，安全應急響應機制是多層次多維度的，以應對假想多種檔案信息安全危害發生時能迅速啟動應急方案，使檔案信息系統盡快恢復正常，保證檔案工作不受大的影響。主要進行以下安全機制的建設：一是災備中心數據恢復機制；二是檔案信息數據庫安全應急響應機制；三是服務器發生故障時安全應急機制；四是針對數據中心網絡故障應急響應機制。

上述相應機制的建設保證了多個層面數據、應用的可恢復性。在建設相應機制的基礎上對相應機制進行檢驗。在建設后期，將模擬各種檔案信息安全發生場景，來啟動相應安全應急響應預案，根據演練反饋效果，完善相應的應急預案。這樣最大程度地保證真實檔案信息安全發生時，做到數據和應用有效地恢復、平滑地對接。

網絡安全建設規劃范文第5篇

論文關鍵詞：數字化校園；建設目標；建設規劃；需求分析；教育技術；現代化

近年來，我國特別重視并強調利用教育技術推進教育改革。建設數字化校園，實現教育信息化，強化各項管理，提升綜合實力，是各類學校的一項緊迫任務。數字化校園是學校的一張網絡名片，是一部永遠放映的宣傳片，學?？赏ㄟ^這個窗口向世界展示自身的實力和形象。

數字化校園是將現實校園的各項資源數字化，形成的一個數字空間，以現實校園在時間和空間上延伸。它是以網絡為基礎，從環境（包括設備、教室等）、資源（如圖書、講義、課件等）到活動（包括教學、管理、服務、辦公等）的全部數字化。校園網絡及其應用系統構成整個校園的神經系統，完成校園的信息傳遞和服務。在數字化校園里，可以通過現代化手段，方便地實現學校的教學、科研、管理、服務等活動的全部過程，從而達到提高教學質量、科研水平、管理水平的目的。

總體設計方針與目標

設計方針我校的數字化校園建設的總體設計方針是：在未來的三到五年里建設一個包括數字環境建設、數字管理建設、數字教學建設、數字生活建設在內，能充分使用教育技術手段的數字化學校，以資源和數據共享為主導，有步驟、分層次地完成學校數字化校園的建設。

建設目標第一，建設以高速、穩定、可靠、可控校園網為基礎，覆蓋全校主要樓宇及公共設施的數字化網絡通信平臺，使之成為數據、監控、廣播的綜合通信平臺，滿足數字化圖書館系統、數字化教學系統、校園綜合管理信息系統、網絡視頻會議系統、校園服務一卡通系統等的建設要求，實現真正意義上的“一卡、一庫、一網”數字化校園格局。第二，建設覆蓋全校樓宇及室外空間的通訊網絡，滿足實現有線及無線通訊系統，有線電視（包括數字電視接收系統）、校園公共廣播、背景音樂、消防應急廣播系統、校園安保監控系統等的要求。第三，建設智能化系統，并保證建成后能適應教育發展的需要，建立相應的軟、硬件平臺，實現信息共享、資源共享、科學管理和網絡信息集成。第四，系統軟、硬件配置采用模塊化、開放式結構，以適應系統靈活組網、擴展和系統能力提升的需要。第五，系統配置采用有長期動態壽命的產品，回避使用短期過渡性技術產品。第六，實現各個子系統有機互聯、資源共享、信息共享、增強對突發事件的響應能力；提高設備利用率、降低能耗、節約能源。第七，設備配置在保證系統可靠性、先進性、容錯性和易維護性的同時，使系統具有良好的性價比。第八，立足高起點，采用成熟、先進、實用的技術，進行系統的優化集成設計。按照“按需設置、量體裁衣”的方針，提出系統近期的實施方案、中期的擴容方案和遠期的發展規劃。

建設需求分析

我校數字化校園基礎設施建設要將校園網絡與教學系統、管理系統、安全監控系統、電視系統、廣播系統、校園一卡通系統等進行合理的結合，構建成一套科學、便捷、穩定、有效的，能滿足學校教學和管理智能化和數字化運行的綜合系統。因此，必須建設好硬件基礎平臺和網絡支撐平臺以及若干應用系統。

硬件基礎平臺建設（1）中心機房建設。該中心是全校主要服務器、交換機等設備放置地，是全校辦公、管理、科研、教學、運營中心。整個中心機房建設包括裝修、線纜敷設、照明與應急照明、空調系統、機房的防雷接地系統、機房的供電系統等。（2）綜合布線系統。該系統用于傳輸數據、語音、影像等信息，可將教學樓、辦公室、電腦、電話等的傳輸網絡與其他信息管理系統相互連接。（3）防雷與接地系統。所有的通信設備、交換設備、控制設備、服務器、電源和用戶終端都是互相連接在一起的，各個設備的零電位有差距就有可能給設備的正常工作帶來影響，外界所帶來的影響也可能使設備造成損壞，尤其是雷電，因此良好的接地是整個系統穩定運行的前提和保障。

網絡支撐平臺建設（1）網絡交換系統。整個校園網設計為主干核心層、匯聚層和接入層三層網絡結構。需要利用網絡交換設備將全校所有的教學辦公區、學生宿舍區樓宇，以及廣場、圖書館、電子閱覽室、禮堂、體育館的服務器、pc機等進行網絡連接，使整個校區形成一個整體，實現校園網的統一、集中管理。（2）網絡存儲及備份系統。網絡中心將儲存各類教育、教學和管理信息，其中包括多媒體教學信息庫、外部教學資源數據庫、教學音視頻數據庫、多媒體教學光盤等，主要涵蓋了資源管理系統、資源媒體介質管理、資源瀏覽和檢索、數字化教室等，從而具備校園業務變化的適應性、高度的安全性，能大容量數據存儲處理等特點。（3）網絡管理系統。整個校園網建成后，將有大量的交換機、服務器等網絡設備，需通過一種高效的、快捷的手段來完成對網絡設備及系統的安全控制、性能優化、運營管理等，同時節約人員成本。

基礎應用建設（1）校園一卡通系統。主要包括pos消費機、讀卡器、條碼機、寫卡器、水控器等，從而實現學生收費管理、校園消費、上機管理、學籍管理、圖書管理、轉賬（銀行）、會計業務、查詢服務、綜合業務、門禁考勤、醫療管理、水控管理、科研經費、巡更等。（2）led屏幕顯示系統。在學生公寓、綜合樓、教學樓、實訓樓、食堂等樓宇入口及綜合樓、運動場主席臺設置led顯示屏，用于顯示文字、表格、動畫、視頻等，也可實現新聞節目、文藝晚會、運動會、體育比賽的直播或轉播等。（3）有線電視系統。可以實現全校性的視頻影音傳送，實現教學影音資料的資源共享，還可以實現教學及綜合活動同期實況轉播，召開全校電視會議等。（4）監控及報警系統。對校門、校園內、圖書信息樓等要害部位和重點部門進行監控及入侵報警，只要通過該系統在監控中心就能發現校門、園內、要害部位等的情況，發現問題即時解決，不需要保衛人員到處巡邏，節約人員成本。（5）多媒體教學系統。節目播出均可以實現電腦控制，可以接收并播放音視頻信號，具有教學評估功能，多媒體教室也可接收并集中控制各類節目源等。（6）多媒體查詢系統。充分利用圖、文、聲、像以及交互性等多媒體特征對用戶的操作、信息查詢與接收等進行合理導引，以便用戶以最少的時間和精力查詢到最多的信息。（7）計費系統?？梢园戳髁?、時間和包月計費，可以對接入的用戶進行驗證和控制，為數字校園的規范管理提供可靠保障。（8）電話語音系統。學校可與當地電信運營商協商，由運營商投資建設和管理，學校只是按照使用付給投資方使用費。（9）智能建筑管理系統（ibms）。包括樓宇自動控制系統，實現集中監視和綜合管理、分散控制、系統聯動、優化運行等，從而提高本項目的運營管理水平，降低運行成本等。（10）信息網絡安全系統。以整個校園網安全建設、管理、運行為重點，保障整個校園網絡、各類應用、管理等的正常運行，降低校園網系統存在的各種安全隱患。

建設項目列表

根據以上需求情況，設置建設項目：綜合布線；中心機房、計算機網絡及整體網絡建設；校園一卡通；監控及報警；防雷、接地；有線電視、校園廣播；多媒體教學和查詢；led屏幕顯示；學生機房、數字語音室、模擬導游室、電子閱覽室等；辦公會議室、教學多功能廳、演播室等；校園精品課程全自動錄播；網絡數字教學點播平臺；各類教育教務、辦公自動化及其他網絡管理軟件；樓宇自控系統、建筑智能管理等。

網絡建設規劃

網絡建設是建設數字化校園的基礎，必須放在第一位（無線網絡建設可以視條件擇機進行）。網絡建設包括：

網絡基礎設施建設包括供電系統；校園管道系統；機房：雙路供電、不間斷電源、制冷、防雷與接地等系統。

網絡環境建設包括校園主干光纖；數字結構化布線；校園網絡架構；ip地址與nat；統一儲存；認證與計費；出口管理；網絡安全；網絡管理；運行與維護；行政管理與制度。

網絡應用系統建設包括網站；基于網絡的視頻監控系統；多媒體系統；多種教學系統；精品課程等。

構建數字化校園進程中容易出現的問題

數字化校園的建設推進了學校教學內容的數字化和教學手段的現代化，加快了教育技術現代化進程，進一步改善了學校各專業的教學條件，強化了高素質人才的培養力度。但在建設過程中容易出現以下問題：

經費投入不足、不及時由此延誤了部分項目的建設，影響了項目建設的整體效果，影響了項目功能的發揮。

技術力量分散對教育技術的人力資源沒有進行充分有效的整合，技術力量分散，不利于發揮技術優勢。

管理水平不高注重硬件系統的投入，忽視制度和管理體系建設。學校應投入相應的人力和經費，建設與之相配套的優質管理服務保障體系，還應制定一整套規章制度和工作流程，建立以人為本、以教學為中心的服務體系，促進管理水平的提高。