企業網絡安全建設范文

導語：如何才能寫好一篇企業網絡安全建設，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：等級防護；電力企業；網絡安全建設

中圖分類號： F407 文獻標識碼： A 文章編號：

引言

信息化是一把“雙刃劍”，在提高企業工作效率、管理水平以及整體競爭能力的同時，也給企業帶來了一定的安全風險，并且伴隨著企業信息化水平的提高而逐漸增長。因此，提升企業的信息系統安全防護能力，使其滿足國家等級保護的規范性要求，已經成為現階段信息化工作的首要任務。對于電力企業的信息系統安全防護工作而言，應等級保護要求，將信息管理網絡劃分為信息內網與信息外網，并根據業務的重要性劃分出相應的二級保護系統與三級保護系統，對三級系統獨立成域，其余二級系統統一成域，并從邊界安全、主機安全、網絡安全、應用安全等方面對不同的安全域對防護要求進行明確劃分。

1現階段電力企業網絡風險分析

1.1服務器區域缺少安全防護措施

大部分電力企業的服務器都是直接接入本單位的核心交換機，然而各網段網關都在核心交換機上，未能對服務器區域采取有效的安全防護措施。

1.2服務器區域和桌面終端區域之間的劃分不明確

因服務器和桌面終端的網關都在核心交換機上，不能實現對于域的有效劃分。

1.3網絡安全建設缺乏規劃

就現階段的電力企業網絡安全建設而言，普遍存在著缺乏整體安全設計與規劃的現狀，使整個網絡系統成為了若干個安全產品的堆砌物，從而使各個產品之間失去了相應的聯動，不僅在很大程度上降低了網絡的運營效率，還增加了網絡的復雜程度與維護難度。

1.4系統策略配置有待加強

在信息網絡中使用的操作系統大都含有相應的安全機制、用戶與目錄權限設置以及適當的安全策略系統等，但在實際的網絡安裝調試過程中，往往只使用最寬松的配置，然而對于安全保密來說卻恰恰相反，要想確保系統的安全，必須遵循最小化原則，沒有必要的策略在網絡中一律不配置，即使有必要的，也應對其進行嚴格限制。

1.5缺乏相應的安全管理機制

對于一個好的電力企業網絡信息系統而言，安全與管理始終是分不開的。如果只有好的安全設備與系統而沒有完善的安全管理體系來確保安全管理方法的順利實施，很難實現電力企業網絡信息系統的安全運營。對于安全管理工作而言，其目的就是確保網絡的安全穩定運行，并且其自身應該具有良好的自我修復性，一旦發生黑客事件，能夠在最大程度上挽回損失。因此，在現階段的企業網絡安全建設工作過程中，應當制訂出完善的安全檢測、人員管理、口令管理、策略管理、日志管理等管理方法。

2等級保護要求下電力企業網絡安全建設防護的具體措施

2.1突出保護重點

對于電力企業而言，其投入到信息網絡安全上的資源是一定的。從另外一種意義上講，當一些設備存在相應的安全隱患或者發生破壞之后，其所產生的后果并不嚴重，如果投入和其一樣重要的信息資源來保護它，顯然不滿足科學性的要求。因此，在保護工作過程中，應對需要保護的信息資產進行詳細梳理，以企業的整體利益為出發點，確定出重要的信息資產或系統，然后將有限的資源投入到對于這些重要信息資源的保護當中，在這些重要信息資源得到有效保護的同時，還可以使工作效率得到很大程度的提高。

2.2貫徹實施3層防護方案

在企業網絡安全建設過程中，應充分結合電力企業自身網絡化特點，積極貫徹落實安全域劃分、邊界安全防護、網絡環境安全防護的3層防護設計方案。在安全防護框架的基礎上，實行分級、分域與分層防護的總體策略，以充分實現國家等級防護的基本要求。

(1)分區分域。統一對直屬單位的安全域進行劃分，以充分實現對于不同安全等級、不同業務類型的獨立化與差異化防護。

(2)等級防護。遵循“二級系統統一成域，三級系統獨立成域”的劃分原則，并根據信息系統的定級情況，進行等級安全防護策略的具體設計。

(3)多層防護。在此項工作的開展過程中，應從邊界、網絡環境等多個方面進行安全防護策略的設計工作。

2.3加強安全域劃分

安全域是指在同一環境內具有一致安全防護需求、相互信任且具有相同安全訪問控制與邊界控制的系統。加強對于安全域的劃分，可以實現以下目標：

(1)實現對復雜問題的分解。對于信息系統的安全域劃分而言，其目的是將一個復雜的安全問題分解成一定數量小區域的安全防護問題。安全區域劃分可以有效實現對于復雜系統的安全等級防護，是實現重點防護、分級防護的戰略防御理念。

(2)實現對于不同系統的差異防護?；A網絡服務、業務應用、日常辦公終端之間都存在著一定的差異，并且能夠根據不同的安全防護需求，實現對于不同特性系統的歸類劃分，從而明確各域邊界，對相應的防護措施進行分別考慮。

(3)有效防止安全問題的擴散。進行安全區域劃分，可以將其安全問題限定在其所在的安全域內，從而有效阻止其向其他安全域的擴散。在此項工作的開展過程中，還應充分遵循區域劃分的原則，將直屬單位的網絡系統統一劃分為相應的二級服務器域與桌面終端域，并對其分別進行安全防護管理。在二級系統服務器域與桌面域間，采取橫向域間的安全防護措施，以實現域間的安全防護。

2.4加強對于網絡邊界安全的防護

對于電力企業的網絡邊界安全防護工作而言，其目的是使邊界避免來自外部的攻擊，并有效防止內部人員對外界進行攻擊。在安全事件發生之前，能夠通過對安全日志與入侵事件的分析，來發現攻擊企圖，在事件發生之后可以通過對入侵事件記錄的分析來進行相應的審查追蹤。

(1)加強對于縱向邊界的防護。在網絡出口與上級單位連接處設立防火墻，以實現對于網絡邊界安全的防護。

(2)加強對于域間橫向邊界的防護。此項防護是針對各安全區域通信數據流傳輸保護所制定出的安全防護措施。在該項工作的開展過程中，應根據網絡邊界的數據流制定出相應的訪問控制矩陣，并依此在邊界網絡訪問控制設備上設定相應的訪問控制規則。

2.5加強對于網絡環境的安全防護

(1)加強邊界入侵檢測。以網絡嗅探的方式可以截獲通過網絡傳輸的數據包，并通過相應的特征分析、異常統計分析等方法，及時發現并處理網絡攻擊與異常安全事件。在此過程中，設置相應的入侵檢測系統，能夠及時發現病毒、蠕蟲、惡意代碼攻擊等威脅，能夠有效提高處理安全問題的效率，從而為安全問題的取證提供有力依據。

(2)強化網絡設備安全加固。安全加固是指在確保業務處理正常進行的情況下，對初始配置進行相應的優化，從而提高網絡系統的自身抗攻擊性。因此，在經過相應的安全評估之后，應及時發現其中隱藏的安全問題，對重要的網絡設備進行必要的安全加固。

(3)強化日志審計配置。在此項工作的開展過程中，應根據國家二級等級保護要求，對服務器、安全設備、網絡設備等開啟審計功能，并對這些設備進行日志的集中搜索，對事件進行定期分析，以有效實現對于信息系統、安全設備、網絡設備的日志記錄與分析工作。

結語

綜上所述，對于現階段電力企業信息網絡而言，網絡安全建設是一個綜合性的課題，涉及到技術、使用、管理等許多方面，并受到諸多因素的影響。在電力企業網絡安全建設過程中，應加強對于安全防護管理體系的完善與創新，以嚴格的管理制度與高素質管理人才，實現對于信息系統的精細化、準確化管理，從而切實促進企業網絡安全建設的健康、穩步發展。

參考文獻：

[1]張蓓，馮梅，靖小偉，劉明新.基于安全域的企業網絡安全防護體系研究[J].計算機安全,2010(4).

篇2

現在企業很多商業業務、商業活動和財務管理系統協同工作等，都需要借助計算機網絡進行。如果沒有網絡安全性的保障，就會發生系統延遲、拒絕服務、程序錯誤、數據篡改等現象，甚至很多情況下會發生木馬病毒的侵蝕。過去企業數據是以文本文件的形式存在，雖然處理和操作不具有便捷性，但是能夠起到保密性和可靠性的作用。計算機網絡時代財務數據流能夠實現財務數據的快速傳遞，但是在數據傳輸的過程中安全性難以得到有效的保障。所以在企業數據信息管理的過程中需要有保密性和可靠性的保障，維護企業的商業機密。其次，網絡交易渠道容易發生數據信息丟失或損壞，交易雙方的信息結果發生差異的現象時有發生，嚴重影響了企業數據的精準性。所以企業急需完整性的交易信息憑證，避免交易信息的篡改或者刪除，保證交易雙方數據的一致性[1]。

2企業網絡面臨的安全風險

2.1物理安全風險

近年來，很多現代化企業加大信息建設，一些下屬公司的網絡接入企業總網絡，企業網路物理層邊界限制模糊，而電子商務的業務發展需求要求企業網絡具有共享性，能夠在一定權限下實現網絡交易，這也使得企業內部網絡邊界成為一個邏輯邊界，防火墻在網絡邊界上的設置受到很多限制，影響了防火墻的安全防護作用。

2.2入侵審計和防御體系不完善

隨著互聯網的快速發展，網絡攻擊、計算機病毒不斷變化，其破壞力強、速度快、形式多樣、難以防范，嚴重威脅企業網絡安全。當前，很多企業缺乏完善的入侵審計和防御體系，企業網絡的主動防御和智能分析能力明顯不足，檢查監控效率低，缺乏一致性的安全防護規范，安全策略落實不到位。

2.3管理安全的風險

企業網絡與信息的安全需要有效的安全管理措施作為制度體系保障，但是企業經常由于管理的疏忽，造成嚴重的網絡信息安全風險。具體管理安全的風險主要表現在以下幾個方面：企業沒有健全和完善的網絡安全管理制度，難以落實安全追責；技術人員的操作技術能力缺陷，導致操作混亂；缺乏網絡信息安全管理的意識，沒有健全的網絡信息安全培訓體系等。

3構建企業網絡安全防護體系

3.1加強規劃、預防和動態管理

首先，企業需要建立完善的網絡信息安全防護體系，保證各項安全措施都能夠滿足國家信息安全的標準和要求。對自身潛在的信息安全風險進行統籌規劃，針對性的展開安全防護系統的設計。其次，企業應該加強對安全防護系統建設的資金投入，建立適合自己網絡信息應用需求的防護體系，并且定期進行安全系統的維護和升級。最后，加強預防與動態化的管理，要制定安全風險處理的應急預案，有效降低網絡信息安全事故的發生。并且根據網絡信息動態的變化，采取動態化的管理措施，將網絡與信息安全風險控制在可接受的范圍。

3.2合理劃分安全域

現代化企業網絡可以按照系統行為、安全防護等級和業務系統這三種方式來劃分安全域。由于企業網絡在不同區域和不同層次關注的內容不同，因此在劃分企業網絡安全域時，應結合業務屬性和網絡管理，不僅要確保企業正常的生產運營，還應考慮網絡安全域劃分是否合理。針對這個問題，企業網絡安全域劃分不能僅應用一種劃分方式，應綜合應用多種方式，充分發揮不同方式的優勢，結合企業網絡管理要求和網絡業務需求，有針對性地進行企業網絡安全域劃分。

首先，根據業務需求，可以將企業網絡分為兩部分：外網和內網。由于互聯網出口全部位于外網，企業網絡可以在外網用戶端和內網之間設置隔離，使外網服務和內網服務分離，隔離各種安全威脅，確保企業內網業務的安全性。其次，按照企業業務系統方式，分別劃分外網和內網安全域，企業外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網，內網可以分為辦公網、生產網，其中再細分出材料采購網、保管網、辦公管理網等子網，通過合理劃分安全域，確定明確的網絡邊界，明確安全防護范圍和對象目標。最后，按照網絡安全防護等級和系統行為，細分各個子網的安全域，劃分出基礎保障域、服務集中域和邊界接入域?；A保障域主要用來防護網絡系統管理控制中心、軟件和各種安全設備，服務集中域主要用于防護企業網絡的信息系統，包括信息系統內部和系統之間的數據防護，并且按照不同的等級保護要求，可以采用分級防護措施，邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。

3.3信息安全技術的應用

（1）防火墻技術

防火墻主要的作用是對不安全的服務進行過濾和攔截，對企業網絡的信息加強訪問限制，提高網絡安全防護。例如，企業的信息數據庫只能在企業內部局域網網絡的覆蓋下才能瀏覽操作，域外訪問操作會被禁止。并且防火墻可以有效記錄使用過的統計數據，對可能存在的攻擊、侵入行為精心預測預警，最大限度地保障了企業內部網絡系統的安全。隨著業務模式的不斷發展，簡單的業務（端口）封堵已經不能適應動態的業務需要，需要采用基于內容的深度檢測技術對區域間的業務流進行過濾。并借助于大數據分析能力對異常業務流進行智能分析判斷。

（2）終端準入防御技術

終端準入防御技術主要是以用戶終端作為切入點，對網絡的接入進行控制，利用安全服務器、安全網絡設備等聯動，對接入網絡的用戶終端強制實施企業安全策略，實時掌控用戶端的網絡信息操作行為，提高用戶端的風險主動防御能力。

4結束語

綜上所述，計算機網絡有效提高了企業業務工作的效率，實現企業計算機網絡數據庫中的數據分類、整理、資源的共享。但是，系統數據的保密、安全方面還存在技術上的一些欠缺，經常會發生數據被非法侵入和截取的現象，造成了嚴重的數據安全風險。企業應該科學分析網絡與信息安全風險類型，加強規劃、預防利用防火墻技術、終端準入防御技術等，提高企業網絡與信息安全防護效率。

參考文獻

[1]戴華秀.移動互聯網時代信息安全應對策略分析[J].科技與創新，2016，（1）：36.

篇3

隨著近年來信息化的快速推進，供電企業網絡信息系統與Internet的交互日益頻繁，基于Internet的業務呈不斷增長態勢。電力行業作為國民經濟的重要組成部分，已經在人們的正常生活中不可缺少。電力系統的是否安全可靠，關系著國民經濟的發展，更影響著人們的日常生活。然而電力企業信息網絡的發展還不健全，尚存在很多安全問題。這些問題正是黑客和病毒入侵的目標?？h級供電企業是整個電力企業的基本單位，只有保證縣級供電企業信息網絡的安全，才能使整個電力行業正常的運行，因此對其信息網絡安全的研究受到越來越多的關注。

2 信息網絡安全概述

信息網絡安全是指運用各種相關技術和管理，使網絡信息不受危害和威脅，保證信息的安全。由于計算機網絡在建立時就存在缺陷，本身具有局限性，使其網絡系統的硬件和軟件資源都有可能遭到破壞和入侵，嚴重時甚至可能引起整個系統的癱瘓，以至于造成巨大的損失。相對于外界的破壞，自身的防守時非常艱巨的，必須保證每個軟件、每一項服務，甚至每個細節都要安全可靠。因此要對網絡安全進行細致的研究，下面介紹其特征：

2.1 完整性

主要是指數據的完整性。數據信息在未經許可的情況下不能進行任何修改。

2.2 保密性

未經授權的用戶不能使用該數據。

2.3 可用性

被授權的用戶可以根據自己的需求使用該數據，不能阻礙其合法使用。

2.4 可控性

系統要能控制能夠訪問數據的用戶，可以被訪問的數據以及訪問方式，并記錄所有用戶在系統內的網絡活動。

3 信息網絡系統安全存在的問題

3.1 系統設備和軟件存在漏洞

網絡系統的發展時間很短，因此其操作系統、協議和數據庫都存在漏洞，這些漏洞變成為黑客和病毒入侵的通道；存儲介質受到破壞，使系統中的信息數據丟失和泄漏；系統不進行及時的修補，采用較弱的口令和訪問限制。這些都是導致信息網絡不安全的因素。網絡是開放性的，因此非常容易受到外界的攻擊和入侵，入侵者便是通過運用相關工具掃描系統和網絡中的漏洞，通過這些漏洞進行攻擊，致使網絡受到危害，資料泄露。

3.2 制度不完善

目前對于信息網絡的建立，數據的使用以及用戶的訪問沒有完善的規章制度，這也導致了各個縣級供電企業信息網絡系統之間的不統一，在數據傳輸和利用上受到限制。同時在目前已經確立的信息網絡安全的防護規章制度的執行上，企業也不能嚴格的執行。

4 提高網絡安全方法

4.1 網絡安全策略

信息網絡是一個龐大的系統，包括系統設備和軟件的建立、數據的維護和更新、對外界攻擊的修復等很多方面，必須各個細節都要保證安全，沒有漏洞。然而很多供電企業，尤其是縣級企業并沒有對其引起足夠的重視，只是被動地進行防護。整體的安全管理水平很低，沒有完備的網絡安全策略和規劃。因此要想實現信息網絡的安全，首先需要制定一個全面可行的安全策略以及相應的實施過程。

4.2 提高網絡安全技術人員技術水平

信息網絡的運行涉及很多方面，其安全防護只是其中一部分，因此在網絡安全部分要建立專業的安全技術隊伍。信息網絡中的一些系統和應用程序更新速度不一致，也會造成網絡的不安全。一般企業的網絡管理員要兼顧軟硬件的維護和開發，有時會顧此失彼，因此要建立更專業的安全技術隊伍，使信息網絡的工作各有分工，實現專業性，提升整體網絡安全技術水平，提高工作效率。

4.3 完備的數據備份

當信息網絡受到嚴重破壞時，備份數據便發揮了作用。不論網絡系統建立的多完善，安全措施做得多到位，保留完備的備份數據都是有備無患。進行數據備份，首先要制定全面的備份計劃，包括網絡系統和數據信息備份、備份數據的修改和責任人等。備份時要嚴格按照計劃進行實施。還要定期的檢查備份數據，保證數據的完整性和實時性。同時網絡管理人員的數據備份和恢復技術的操作要很熟練，這樣才能保障備份數據的有效性。

4.4 加強防病毒

隨著網絡技術的發展，網絡病毒也越來越多，這些病毒都會對信息網絡造成或多或少的危害。防病毒不僅需要應用專業可靠的防毒體系，還要建立防火墻，屏蔽非法的數據包。

對于防毒，在不同的硬件上要安裝相應的防毒程序。例如工作站上應該安裝單機的防毒程序；主機上則安裝主機防毒程序；網關上安裝防病毒墻；而這些不同的防毒程序的升級可以通過設立防毒控制中心，統一管理，由中心將升級包發給各個機器，完成整個網絡防毒系統的升級。這樣有針對性的防毒程序能更有效的進行病毒防護。

防火墻可以通過檢測和過濾，阻斷外來的非法攻擊。防火墻的形式包括硬件、軟件式和內嵌式三種。內嵌式防火墻需要與操作系統結合，性能較高，應用較為廣泛。

5 具體措施

5.1 增強管理安全

在網絡安全中管理是最重要的，如果安全管理制度不完善，就會導致正常的網絡安全工作不能有序實施。信息網絡的管理包括對網絡的定期檢查、實時監控以及出現故障時及時報告等。為了達到管理安全，首先，要制定完整詳細的供電企業信息網絡安全制度，并嚴格實施；其次，對用戶的網絡活動做記錄并保存網絡日志，以便對外部的攻擊行為和違法操作進行追蹤定位；還應制定應急方案，在網絡系統出現故障和攻擊時及時采取措施。

5.2 網絡分段

網絡分段技術是指在網絡中傳輸的信息，可以被處在用以網絡平臺上其他節點的計算機截取的技術。采用這種技術可以限制用戶的非法訪問。比如，黑客通過網絡上的一個節點竊取該網絡上的數據信息，如果沒有任何限制，便能獲得所有的數據，而網絡分段技術則可以在這時，將黑客與網絡上的數據隔離，限制其非法訪問，進而保護了信息網絡的安全。

5.3 數據備份

重要數據的備份是網絡安全的重要工作。隨著網絡技術的迅速發展，備份工作也必須要與之一致，保證實時性和完整性，才能在出現緊急問題時發揮其應有的作用，恢復數據信息。整個龐大的信息網絡，備份的數據量也是很大的，要避免或減少不必要的備份；備份的時間也要恰當地選擇，盡量不影響用戶的使用；同時備份數據的存儲介質要選擇適當。

5.4 病毒檢測和防范

檢測也是信息安全中的一個重要環節。通過應用專業的檢測工具，對網絡進行不斷地檢測，能夠及時的發現漏洞和病毒，在最短時間內采取相應的措施。

病毒防范技術有很多，可以先分析網絡病毒的特征，建立病毒庫，在掃描數據信息時如果對象的代碼與病毒庫中的代碼吻合，則判斷其感染病毒；對于加密、變異的不易掃描出來的病毒可以通過虛擬執行查殺；最基本的還是對文件進行實時監控，一旦感染病毒，及時報警并采取相應的措施。

6 結束語

篇4

關鍵詞：網絡安全；網絡管理；防護；防火墻

中圖分類號：TP393.08文獻標識碼：A文章編號：1009-3044(2011)14-3302-02

隨著企業信息化進程的不斷發展，網絡已成為提高企業生產效率和企業競爭力的有力手段。目前，石化企業網絡各類系統諸如ERP系統、原油管理信息系統 、電子郵件系統 以及OA協同辦公系統等都相繼上線運行，信息化的發展極大地改變了企業傳統的管理模式，實現了企業內的資源共享。與此同時，網絡安全問題日益突出，各種針對網絡協議和應用程序漏洞的新型攻擊層出不窮，病毒威脅無處不在。

因此，了解網絡安全，做好防范措施，保證系統安全可靠地運行已成為企業網絡系統的基本職能，也是企業本質安全的重要一環。

1 石化企業網絡安全現狀

石化企業局域網一般包含Web、Mail等服務器和辦公區客戶機，通過內部網相互連接，經防火墻與外網互聯。在內部網絡中，各計算機處在同一網段或通過Vlan（虛擬網絡）技術把企業不同業務部門相互隔離。

2 企業網絡安全概述

企業網絡安全隱患的來源有內、外網之分，網絡安全系統所要防范的不僅是病毒感染，更多的是基于網絡的非法入侵、攻擊和訪問。企業網絡安全隱患主要如下：

1) 操作系統本身存在的安全問題

2) 病毒、木馬和惡意軟件的入侵

3) 網絡黑客的攻擊

4) 管理及操作人員安全知識缺乏

5) 備份數據和存儲媒體的損壞

針對上述安全隱患，可采取安裝專業的網絡版病毒防護系統，同時加強內部網絡的安全管理；配置好防火墻過濾策略，及時安裝系統安全補丁；在內、外網之間安裝網絡掃描檢測、入侵檢測系統，配置網絡安全隔離系統等。

3 網絡安全解決方案

一個網絡系統的安全建設通常包含許多方面，主要為物理安全、數據安全、網絡安全、系統安全等。

3.1 物理安全

物理安全主要指環境、場地和設備的安全及物理訪問控制和應急處置計劃等，包括機房環境安全、通信線路安全、設備安全、電源安全。

主要考慮：自然災害、物理損壞和設備故障；選用合適的傳輸介質；供電安全可靠及網絡防雷等。

3.2 網絡安全

石化企業內部網絡，主要運行的是內部辦公、業務系統等，并與企業系統內部的上、下級機構網絡及Internet互連。

3.2.1 VLAN技術

VLAN即虛擬局域網。是通過將局域網內的設備邏輯地劃分成一個個網段從而實現虛擬工作組的技術。

借助VLAN技術，可將不同地點、不同網絡、不同用戶組合在一起，形成一個虛擬的網絡環境 ，就像使用本地LAN一樣方便。一般分為：基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。

3.2.2 防火墻技術

1) 防火墻體系結構

① 雙重宿主主機體系結構

防火墻的雙重宿主主機體系結構是指一臺雙重宿主主機作為防火墻系統的主體，執行分離外部網絡和內部網絡的任務。

② 被屏蔽主機體系結構

被屏蔽主機體系結構是指通過一個單獨的路由器和內部網絡上的堡壘主機共同構成防火墻，強迫所有的外部主機與一個堡壘主機相連，而不讓其與內部主機相連。

③ 被屏蔽子網體系結構

被屏蔽子網體系結構的最簡單的形式為使用兩個屏蔽路由器，位于堡壘主機的兩端，一端連接內網，一端連接外網。為了入侵這種類型的體系結構，入侵者必須穿透兩個屏蔽路由器。

2) 企業防火墻應用

① 企業網絡體系中的三個區域

邊界網絡。此網絡通過路由器直接面向Internet，通過防火墻將數據轉發到網絡。

網絡。即DMZ，將用戶連接到Web服務器或其他服務器，Web服務器通過內部防火墻連接到內部網絡。

內部網絡。連接各個內部服務器（如企業OA服務器，ERP服務器等）和內部用戶。

② 防火墻及其功能

在企業網絡中，常常有兩個不同的防火墻:防火墻和內部防火墻。雖然任務相似，但側重點不同，防火墻主要提供對不受信任的外部用戶的限制，而內部防火墻主要防止外部用戶訪問內部網絡并且限制內部用戶非授權的操作。

在以上3個區域中，雖然內部網絡和DMZ都屬于企業內部網絡的一部分，但他們的安全級別不同，對于要保護的大部分內部網絡，一般禁止所有來自Internet用戶的訪問；而企業DMZ區，限制則沒有那么嚴格。

3.2.3 VPN技術

VPN(Virtual Private Network)虛擬專用網絡，一種通過公用網絡安全地對企業內部專用網絡進行遠程訪問的連接方式。位于不同地方的兩個或多個企業內部網之間就好像架設了一條專線，但它并不需要真正地去鋪設光纜之類的物理線路。

企業用戶采用VPN技術來構建其跨越公共網絡的內聯網系統，與Internet進行隔離，控制內網與Internet的相互訪問。VPN設備放置于內部網絡與路由器之間，將對外服務器放置于VPN設備的DMZ口與內部網絡進行隔離，禁止外網直接訪問內網，控制內網的對外訪問。

3.3 應用系統安全

企業應用系統安全包括兩方面。一方面涉及用戶進入系統的身份鑒別與控制，對安全相關操作進行審核等。另一方面涉及各種數據庫系統、Web、FTP服務、E-MAIL等

病毒防護是企業應用系統安全的重要組成部分，企業在構建網絡防病毒系統時，應全方位地布置企業防毒產品。

在網絡骨干接入處，安裝防毒墻，對主要網絡協議（SMTP、FTP、HTTP）進行殺毒處理；在服務器上安裝單獨的服務器殺毒產品，各用戶安裝網絡版殺毒軟件客戶端；對郵件系統，可采取安裝專用郵件殺毒產品。

4 結束語

該文從網絡安全及其建設原則進行了論述，對企業網絡安全建設的解決方案進行了探討和總結。石化企業日新月異，網絡安全管理任重道遠，網絡安全已成為企業安全的重要組成部分、甚而成為企業的本質安全。加強網絡安全建設，確保網絡安全運行勢在必行。

參考文獻：

[1] 王達. 路由器配置與管理完全手冊――H3C篇[M]. 武漢:華中科技大學出版社,2010．

[2] 王文壽. 網管員必備寶典――網絡安全[M]. 北京:清華大學出版社,2007．

篇5

關鍵詞：網絡安全；安全防護；接入控制；防火墻；訪問權限

隨著計算機技術的發展和Internet的廣泛應用，越來越多的企業都實現了業務系統的電子化和網絡化，計算機網絡安全已成為企業信息安全的重要組成部分。但計算機網絡也面臨著非法入侵，惡意攻擊、病毒木馬等多種威脅，對企業的信息系統安全造成損害。

因此，如何提高計算機網絡的防御能力，增強網絡的安全性和可靠性，已成為企業網絡建設時必須考慮的問題。下面介紹一些網絡安全建設方面的策略，希望能為企業網絡建設提供一些參考。

一、 做好網絡結構安全設計

網絡結構安全的核心是網絡隔離，即將整個網絡按照系統功能、信息安全等級、工作地點等原則劃分為相對獨立的子網絡，使得當某個子網絡內發生安全故障時，有害信息不能或不易擴散到別的子網絡中。

各個子網絡之間應部署防火墻、網閘等網絡安全設備，實現信息系統隔離和訪問控制。同時，充分利用IP地址、VLAN、訪問控制列表等工具，實現子網絡之間的邏輯隔離。

二、 網絡設備的安全防護

網絡設備的安全防護是指同設備交互時的安全防護，一般用于設備的配置和管理。同設備的交互有以下幾種方式：

* 通過設備Console 口訪問。

* 異步輔助端口的本地/遠程撥號訪問

* TELNET訪問

* SNMP訪問

* HTTP訪問

針對這幾種交互方式，采取的安全策略如下：

(1) 用戶登錄驗證

必須要求設備配置身份驗證，如果設備未配，將拒絕接受用戶登錄，可以通過本地用戶驗證或RADIUS驗證實現。

(2) 控制臺超時注銷

控制臺訪問用戶超過一段時間對設備沒有交互操作，設備將自動注銷本次控制臺配置任務，并切斷連接。超時時間必須可配置，缺省為10分鐘。

(3) 控制臺終端鎖定

配置用戶離開配置現場，設備提供暫時鎖定終端的能力，并設置解鎖口令。

(4) 限制telnet用戶數目

設備對telnet用戶數量必需做出上限控制。

三、 部署用戶安全接入控制系統

用戶安全接入控制是指企業員工在使用終端訪問企業資源前，先要經過身份認證和終端安全檢查。用戶在確認身份合法并通過安全檢查后，終端可以訪問用戶授權的內部資源，認證不通過則被拒絕接入網絡。終端安全接入控制主要是防止不安全的終端接入網絡和防止非法終端用戶訪問企業內部網絡。

用戶接入控制可通過部署終端安全管理系統實現。終端安全管理系統是一個包括軟件和硬件整體系統。在用戶終端上安裝安全服務程序，在用戶使用網絡前，必須啟動程序，然后輸入身份信息進行登錄。由安全管控服務器對終端用戶進行身份認證和安全檢查。通過之后服務器把檢查結果通知安全接入網關，安全接入網關根據用戶的角色，開放終端用戶的訪問權限，有效的制止用戶的非法訪問和越權訪問。

四、 網絡數據流控制

網絡數據流控制通過數據包過濾來實現。通過網絡數據包過濾，可以限制網絡通信量，限制網絡訪問到特定的用戶和設備。

訪問列表可用來控制網絡上數據包的傳遞，限制終端線路的通信量或者控制路由選擇更新，以達到增強網絡安全性的目的。在端口上設定數據流過濾，防止企業內部的IP地址欺騙。嚴格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等數據流通過網絡設備，原則上只允許本系統應用需要的應用數據流才能通過網絡設備。

五、 部署網絡防病毒軟件

網絡病毒的入口點是非常多的。在一個具有多個網絡入口的連接點的企業網絡環境中，病毒可以由軟盤、光盤、U盤等傳統介質進入，也可能由企業信息網等進入，還有可能從外部網絡中通過文件傳輸等方式進入。所以不僅要注重單機的防毒，更要重要網絡的整體防毒措施。

任何一點沒有部署防病毒系統，對整個網絡都是一個安全的威脅。網絡中應部署一套網絡防病毒系統，在所有重要服務器、操作終端安裝殺毒軟件。通過網絡殺毒服務器及時更新病毒庫及殺毒引擎，保證內部網絡安全、穩定的運行。

六、 內部網絡使用安全

* 內部系統中資源共享

嚴格控制內部員工對網絡共享資源的使用。在內部子網中一般不要輕易開放共享目錄，否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經常交換信息需求的用戶，在共享時也必須加上必要的口令認證機制，即只有通過口令的認證才允許訪問數據。雖然說用戶名加口令的機制不是很安全，但對一般用戶而言，還是起到一定的安全防護，即使有刻意破解者，只要口令設得復雜些，也得花費相當長的時間。

* 信息存儲

對有涉及企業秘密信息的用戶主機，使用者在應用過程中應該做到盡量少開放一些不常用的網絡服務。對數據庫服務器中的數據庫必須做安全備份，包括本地備份和遠程備份存儲。

* 構建安全管理平臺

構建安全管理平臺將會降低很多因為無意的人為因素而造成的風險。構建安全管理平臺從技術上如：組成安全管理子網，安裝集中統一的安全管理軟件，如病毒軟件管理系統、網絡設備管理系統以及網絡安全設備統一管理軟件。通過安全管理平臺實現全網的安全管理。

總之，網絡安全是一個系統的工程，要用系統的思想來建設全方位的、多層次的、立體的安全防護體系。這是一項長期而艱巨的任務，需要不斷的探索。網絡安全建設不能僅僅依靠于技術手段，而應建立包括安全規范、規章制度、人員培訓等全面的管理體系，提高全體員工的安全防范意識，保護好每臺接入網絡中的設備，才能實現高速穩定安全的信息化網絡系統。

參考文獻：

篇6

【關鍵詞】信息系統；安全建設；防護體系

1.企業信息系統安全防護的價值

隨著企業信息化水平的提高，企業對于IT系統的依賴性也越來越高。一方面，“業務系統流程化”正在成為IT安全建設的驅動力。企業的新業務應用正在逐漸標準化和流程化，各種應用系統如ERP、MES為企業的生產效率的提高起到了關鍵的作用。有效的管控IT環境，確保IT業務系統的持續穩定運行作為企業競爭力的一部分，已成為IT系統安全防護的主要目標和關鍵驅動力。另一方面，企業IT安全的建設也是“法規遵從”的需要。IT系統作為企業財務應用系統的重要支撐，必須提供可靠的運行保障和數據正確性保證。

2.企業信息系統安全建設的現狀分析

在企業信息化建設的過程中，業務系統的建設一直是關注的重點，但是IT業務系統的安全保障方面，往往成為整個信息化最薄弱的環節，尤其是在信息化水平還較低的情況下，IT系統的安全建設缺乏統一的策略作為指導。歸結起來，企業在IT系統安全建設的過程中，存在以下幾方面的不足：

2.1 安全危機意識不足，制度和規范不健全

盡管知道IT安全事故后果比較嚴重，但是企業的高層領導心中仍然存在著僥幸心理，更多的時候把IT安全建設的預算挪用到其他的領域。企業在信息安全制度及信息安全緊急事件響應流程等方面缺乏完整的制度和規范保證，由此帶來的后果是諸如對網絡的任意使用，導致公司的機密文檔被擴散。同時在發生網絡安全問題的時候，也因為缺乏預先設置的各種應急防護措施，導致安全風險得不到有效控制。

2.2 應用系統和安全建設相分離，忽視數據安全存儲建設

在企業IT應用系統的建設時期，由于所屬的建設職能部門的不同，或者是因為投資預算的限制，導致在應用系統建設階段并沒有充分考慮到安全防護的需要，為后續的應用系統受到攻擊癱瘓埋下了隱患。數據安全的威脅表現在核心數據的丟失；各種自然災難、IT系統故障，也對數據安全帶來了巨大沖擊。遺憾的是很多企業在數據的安全存儲方面，并沒有意識到同城異地災難備份或遠程災難備份的重要性。

2.3 缺乏整體的安全防護體系，“簡單疊加、七國八制”

對于信息安全系統的建設，“頭痛醫頭、腳痛醫腳”的現象比較普遍。大多數企業仍然停留在出現一個安全事故后再去解決一個安全隱患的階段，缺乏對信息安全的全盤考慮和統一規劃，這樣的后果就是網絡上的設備五花八門，設備方案之間各自為戰，缺乏相互關聯，從而導致了多種問題。

3.企業信息系統安全建設規劃的原則

企業的信息化安全建設的目標是要保證業務系統的正常運轉從而為企業帶來價值，在設計高水平的安全防護體系時應該遵循以下幾個原則：

（1）統一規劃設計。信息安全建設，需要遵循“統一規劃、統一標準、統一設計、統一建設”的原則；應用系統的建設要和信息安全的防護要求統一考慮。

（2）架構先進，突出防護重點。要采用先進的架構，選擇成熟的主流產品和符合技術發展趨勢的產品；明確信息安全建設的重點，重點保護基礎網絡安全及關鍵應用系統的安全，對不同的安全威脅進行有針對性的方案建設。

（3）技術和管理并重，注重系統間的協同防護?！叭旨夹g，七分管理”，合理劃分技術和管理的界面，從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手，在系統設計、建設和運維的多環節進行綜合協同防范。

（4）統一安全管理，考慮合規性要求。建設集中的安全管理平臺，統一處理各種安全事件，實現安全預警和及時響應；基于安全管理平臺，輸出各種合規性要求的報告，為企業的信息安全策略制定提供參考。

（5）高可靠、可擴展的建設原則。這是任何網絡安全建設的必備要求，是業務連續性的需要，是滿足企業發展擴容的需要。

4.企業信息系統安全建設的部署建議

以ISO27001等企業信息安全法規[1]遵從的原則為基礎，通過分析企業信息安全面臨的風險和前期的部署實踐，建立企業信息安全建設模型，如圖1所示。

圖1 企業信息系統安全建設模型

基于上述企業信息安全建設模型，在建設終端安全、網絡安全、應用安全、數據安全、統一安全管理和滿足法規遵從的全面安全防護體系時，需要重點關注以下幾個方面的部署建議：

4.1 實施終端安全，關注完整的用戶行為關聯分析

在企業關注的安全事件中，信息泄漏是屬于危害比較嚴重的行為?，F階段由于企業對網絡的管控不嚴，員工可以通過很多方式實現信息外泄，常見的方式有通過桌面終端的存儲介質進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等。針對這些高危的行為，企業在建設信息安全防護體系的時候，單純的進行桌面安全控制或者internet上網行為控制都不能完全杜絕這種行為。而在統一規劃實施的安全防護體系中，系統從用戶接入的那一時刻開始，就對用戶的桌面行為進行監控，同時配合internet上網行為審計設備，對該員工的上網行為進行監控和審計，真正做到從員工接入網絡開始的各種操作行為及上網行為都在嚴密的監控之中，提升企業的防護水平。

4.2 建設綜合的VPN接入平臺

無論是IPSec、L2TP，還是SSL VPN，都是企業在VPN建設過程中必然會遇到的需求。當前階段，總部與分支節點的接入方式有廣域網專線接入和通過internet接入兩種。使用VPN進行加密數據傳輸是通用的選擇。對于部分移動用戶接入，也可以考慮部署SSL VPN的接入方式[2]，在這種情況下，如何做好將多種VPN類型客戶的認證方式統一是需要重點考慮的問題。而統一接入認證的方式，如采用USBKEY等，甚至在設備采購時就可以預先要求設備商使用一臺設備同時支持這些需求。這將給管理員的日常維護帶來極大的方便，從而提升企業整體的VPN接入水平。

4.3 優化安全域的隔離和控制，實現L2～L7層的安全防護

在建設安全邊界防護控制過程中，面對企業的多個業務部門和分支機構，合理的安全域劃分將是關鍵。按照安全域的劃分原則，企業網絡包括內部園區網絡、Internet邊界、DMZ、數據中心、廣域網分支、網管中心等組成部分，各安全域之間的相互隔離和訪問策略是防止安全風險的重要環節。在多樣化安全域劃分的基礎上，深入分析各安全域內的業務單元，根據企業持續性運行的高低優先級以及面臨風險的嚴重程度，設定合適的域內安全防護策略及安全域之間的訪問控制策略，實現有針對性的安全防護。例如，選擇FW+IPS等設備進行深層次的安全防護，或者提供防垃圾郵件、Web訪問控制等解決方案進行應對，真正實現L2～L7層的安全防護。

4.4 強調網絡和安全方案之間的耦合聯動，實現網絡安全由被動防御到主動防御的轉變

統一規劃的技術方案，可以做到方案之間的有效關聯，實現設備之間的安全聯動。在實際部署過程中，在接入用戶側部署端點準入解決方案，實現客戶端點安全接入網絡。同時啟動安全聯動的特性，一旦安全設備檢測到內部網用戶正在對網絡的服務器進行攻擊，可以實現對攻擊者接入位置的有效定位，并采取類似關閉接入交換機端口的動作響應，真正實現從被動防御向主動防御的轉變。

4.5 實現統一的安全管理，體現對整個網安全事件的“可視、可控和可管”

統一建設的安全防護系統，還有一個最為重要的優勢，就是能實現對全網安全設備及安全事件的統一管理。面對各種安全設備發出來的大量的安全日志，單純靠管理員的人工操作是無能為力的，而不同廠商之間的安全日志可能還存在較大的差異，難以實現對全網安全事件的統一分析和報警管理。因此在規劃之初，就需要考慮到各種安全設備之間的日志格式的統一化，需要考慮設定相關安全策略以實現對日志的歸并分析并最終輸出各種合規性的報表，只有這樣才能做到對全網安全事件的統一可視、安全設備的統一批量配置下發，以及整網安全設備的防控策略的統一管理，最終實現安全運行中心管控平臺的建設。[3]

4.6 關注數據存儲安全，強調本地數據保護和遠程災難備份相結合

在整體數據安全防護策略中，可以采用本地數據保護和遠程災備相結合的方式?；贑DP的數據連續保護技術可以很好地解決數據本地安全防護的問題，與磁帶庫相比，它具有很多的技術優勢。在數據庫的配合下，通過連續數據快照功能實現了對重要數據的連續數據保護，用戶可以選擇在出現災難后恢復到前面保存過的任何時間點的狀態，同時支持對“漸變式災難”的保護和恢復。在建設異地的災備中心時，可以考慮從數據級災備和應用級災備兩個層面進行。生產中心和異地災備中心的網絡連接方式可以靈活選擇，即可采用光纖直連，也可采用足夠帶寬的IP網絡連接。在數據同步方式選擇上，生產中心和災備中心采用基于磁盤陣列的異步復制技術，實現數據的異地災備。異地災備中心還可以有選擇地部署部分關鍵應用服務器，以提供對關鍵業務的應用級接管能力，從而實現對數據安全的有效防護。

5.結束語

企業信息安全防護體系的建設是一個長期的持續的工作，不是一蹴而就的，就像現階段的信息安全威脅也在不斷的發展和更新，針對這些信息安全威脅的防護手段也需要逐步的更新并應用到企業的信息安全建設之中，這種動態的過程將使得企業的信息安全防護更有生命力和主動性，真正為企業的業務永續運行提供保障。

參考文獻

[1]李納.計算機系統安全與計算機網絡安全淺析[J].科技與企業，2013.

[2]李群，周相廣，陳剛.中國石油上游信息系統災難備份技術與實踐[J].信息技術與信息化，2010，06.

篇7

隨著網絡與信息技術在我們經濟和生活各個領域的快速發展，企業也紛紛打造自身的網絡信息平臺。信息技術正逐漸影響著我們生活和工作的方式，在信息技術帶給我們巨大便利的同時，網絡與信息安全的各類問題也在不斷攀升。面對眾多網絡攻擊行為，安全風險面臨重要的挑戰。因此，探討企業網絡與信息安全風險，強化安全防護管理措施，保障企業業務安全穩定發展具有十分重要的意義。

關鍵詞

企業網絡；信息安全；防護

隨著網絡與信息技術在我們經濟和生活各個領域的快速發展，企業也紛紛打造自身的網絡信息平臺。信息技術正逐漸影響著我們生活和工作的方式，在信息技術帶給我們巨大便利的同時，網絡與信息安全的各類問題也在不斷攀升。面對眾多網絡攻擊行為，安全風險面臨重要的挑戰。因此，探討企業網絡與信息安全風險，強化安全防護管理措施，保障企業業務安全穩定發展具有十分重要的意義。

1網絡與信息安全風險分析

面對日益增加，不斷涌現的網絡攻擊行為，企業在鞏固和加強基本的網絡與信息安全的基礎上，仍不同程度上存在一定的安全風險，主要包括以下方面。

1.1物理安全風險

物理安全是網絡與信息系統安全的基礎。物理安全風險主要包括雷擊、水災、火災等環境事故導致大部分或整個系統的癱瘓；供配電系統故障導致設備斷電而造成的業務服務中斷；機房環控及報警系統缺失造成設備被盜、被損；電磁輻射可能造成重要數據的信息泄露或非法截獲；人為操作失誤或錯誤造成的系統宕機或數據庫信息丟失等。

1.2網絡安全風險

企業在網絡平臺建設的初期，安全意識不高，沒有從整體網絡與信息安全的角度出發進行統籌規劃，網絡與信息安全風險主要存在網絡結構風險、網絡邊界風險、入侵檢測風險、流量管理風險、遠程安全接入風險5個方面。網絡結構風險方面，企業網絡結構中缺少冗余設計，網絡中關鍵設備易形成單點故障，影響了整體網絡系統故障恢復的能力。網絡邊界風險方面，企業網絡系統中不同網絡區域間通信管控能力不足，數據的安全訪問不能得到有效控制，存在非法訪問的風險。入侵檢測風險方面，在企業局域網內缺少入侵檢測手段，無法對局域網內引發的網絡安全攻擊事件進行有效檢測與報警。入侵者通過滲透以獲取用戶系統控制權，并傳播木馬病毒形成僵尸網絡，甚至發起拒絕服務攻擊，使企業的業務服務面臨中斷風險。流量管理風險方面，企業用戶在網絡帶寬使用過程中，存在過度資源濫用情況，業務流量帶寬受到擠壓，帶寬使用效率大幅降低。遠程接入風險方面，企業網絡系統沒有采取可信認證與加密遠程接入的訪問機制，造成非可信身份訪問企業內部網絡，導致信息泄露風險。

1.3系統安全風險

系統安全風險一般指主機或終端自身系統防護能力不足導致容易發生病毒和惡意代碼攻擊、非法使用、數據截取等安全事件。系統安全風險主要包括身份認證風險、系統安全配置風險、系統漏洞風險、病毒和惡意代碼風險這4個方面。身份認證風險方面，企業在網絡系統中由于采用單一身份鑒別技術，導致攻擊者易假冒合法用戶獲得資源的訪問權限，對系統和數據安全造成威脅。系統漏洞與安全配置風險方面，由于系統補丁未得到及時更新，安全配置未能形成統一化、標準化安全部署，導致企業網絡與信息系統存在大量的安全盲點。病毒和惡意代碼風險方面，企業網絡中主機及終端系統中防病毒軟件升級滯后，導致防護軟件存在查殺能力不足，系統易受病毒和惡意代碼的攻擊。

1.4應用安全風險

應用安全風險涉及很多方面，并且與具體的應用有關。應用系統的安全是動態的、不斷變化的，需要我們針對不同的應用進行安全漏洞的檢測，從而采取相應的安全措施，降低應用的安全風險。應用安全風險主要包括文件及數據庫安全風險、病毒侵害風險、未經授權的訪問、數據信息篡改，破壞了數據的完整性等。

1.5管理安全風險

安全管理是網絡與信息安全得到保證的重要組成部分，從管理層面分析，管理安全風險主要包括：安全管理制度不夠健全，關鍵活動的審批流程未建立或不夠明確，導致責權不明；工作人員的操作權限缺乏合理的劃分與分配，操作混亂；網絡安全管理和技術人員缺乏必要的安全意識、安全知識和教育的培訓；安全管理體系有待健全和完善，在主動防范網絡與信息安全風險的管理手段有所不足，安全控制措施有待進一步有效發揮。從上述網絡與信息安全風險分析，由此所引發的安全事件，一般情況下將會導致網絡與信息系統在可用性、可靠性、可恢復性方面大幅下降。因此，針對安全風險制定切實可行的解決措施，提高網絡與信息安全的整體防護能力和水平，是保障企業網絡與信息系統安全穩定運行的關鍵所在。

2網絡與信息安全防護的主要措施

參照信息系統安全等級保護基本要求，根據網絡與信息安全建設存在的主要問題，切實結合企業自身實際需求，逐步建設形成多層保護、重點突出、持續運行的安全保障體系，將企業網絡與信息安全防護工作落實到建設、防護、管理等的各個環節，保障企業網絡與信息安全的整體性。因此，根據此主要思路提出保障企業網絡與信息安全的總體原則與主要措施意見。

2.1總體原則

1）統籌規劃，分步實施。建立健全完善企業網絡與信息整體安全防護體系是一項長期的系統工程，其所涉及到各層面、各系統的安全問題要在國家信息安全法律法規及標準規范框架內，根據對信息安全風險分析的綜合考慮進行統籌規劃，制定統一、完整、動態，可控的安全防護系統設計，分步驟、分階段的進行實施。

2）以用促建，合理投入。為保障企業網絡系統長期、安全、穩定運行，依據企業網絡不同時期所面臨威脅的嚴重程度，在考慮安全防護經費投入與數據及其應用系統防護價值的性價比基礎上實施安全防護體系的建設。安全設備在性能功能的選擇上，要安全適度，不盲目超前，既要滿足業務應用當前安全防護需求，又能適應未來安全防護的調整升級。

3）主動預防為主，應急恢復為輔?？紤]到現代網絡安全防護的復雜性和多變性，企業網絡與信息安全防護，應以主動預防為主，盡量將安全隱患消除在安全事件發生之前。要提前制定好安全事件處理的應急預案，熟悉并掌握應對各種事件發生的安全措施及辦法，最大限度地降低安全事件的損失程度。

4）動態管理，持續改進。企業網絡與信息安全防護是一個動態的變化過程，要對安全風險實施動態管理，針對不斷出現的新的安全威脅與漏洞持續改進完善企業網絡安全措施，始終將網絡與信息安全風險控制在可接受的范圍。

2.2主要措施意見

1）合理劃分網絡安全區域。企業從整體網絡與信息安全角度出發，綜合分析網絡系統中存在的普遍問題，采取結構化網絡設計思想，結合網絡安全域劃分原則，對企業網絡系統進行合理的安全區域劃分。依據安全域劃分，建議采取相應的網絡邊界安全防護措施，實現網絡安全隔離，邊界間聯合防御，對病毒進行有效攔截及區域管控。在應對滲透攻擊方面也能積極起到縱深防御效果，完善企業網絡系統抗攻擊，抗風險的能力。

2）規范網絡資源的有效使用。規范企業網絡資源的有效使用，增強局域網終端用戶的安全審計，有效對網絡中的各種行為采取更加細粒度的安全識別和控制的措施。同時，可對網絡流量、終端上網行為進行實時分析和審計，做到有據可查。從而，有效優化網絡資源使用效率，幫助企業管理層全面了解網絡應用狀況與趨勢，增強網絡資源對企業業務服務提供強支撐能力。

3）增強終端用戶的網絡安全防護措施。增強企業網絡安全意識，提高終端用戶安全防護措施，采取網絡防病毒、終端安全核心配置等措施，通過安全策略的統一分發及部署，企業管理人員可全面直觀掌握網絡中的安全狀況，如終端漏洞、終端病毒、終端升級等情況一目了然。有助于管理人員提高企業安全風險分析的能力及快速解除安全威脅的響應能力。

4）創新開展具有自身特色的網絡運維管理服務新模式。面對信息化技術的飛速發展及網絡應用的不斷深入，在增強自身網絡安全意識的同時，應不斷學習新的防范技術，豐富防范手段；不斷借鑒成熟的技術成果，對照自身網絡特點，研究符合自身網絡安全防護技術，不斷深入實踐，總結經驗教訓，把技術理論與實踐經驗有效結合，創新開展具有自身特色的網絡運維管理服務新模式。

篇8

【關鍵詞】網絡安全；防火墻；VPN；VLAN

一、引言

隨著電力施工企業信息化發展的不斷深入，企業對信息系統的依賴程度越來越高，信息與網絡安全直接影響到企業生產、經營及管理活動，甚至直接影響企業未來發展。企業網絡規模的擴大、信息接入點增多、分布范圍廣，使信息接入點管控難度大。企業信息與網絡安全面臨各類威脅，筆者以構建某電力施工企業信息與網絡安全體系為例，從信息安全管理、技術實施方面進行闡述與分析，建立一套比較完整信息化安全保障體系，保障業務應用的正常運行。

二、企業網絡安全威脅問題分析

1.企業網絡通信設備存的安全漏洞威脅，網絡非法入侵者可以采用監聽數據、嗅探數據、截取數據等方式收集信息，利用拒絕服務攻擊、篡改數據信息等方式對合法用戶進行攻擊。

2.非法入侵用戶對網絡系統的知識結構非常清楚，包括企業外部人員、企業內部熟悉網絡技術的工作人員，利用內部網絡進行惡意操作。非法用戶入侵企業內部網絡主要采用非法授權訪問對企業內部網絡進行惡意操作，以達到竊取商業機密的目的；獨占網絡資源的方式，非業務數據流（如P2P文件傳輸與即時通訊等）消耗了大量帶寬，輕則影響企業業務無法正常運作，重則致使企業IT系統癱瘓，對內部網絡系統造成損壞。

3.惡意病毒程序和代碼包括計算機病毒、蠕蟲、間諜軟件、邏輯復制炸彈和一系列未經授權的程序代碼和軟件系統。病毒感染可能造成網絡通信阻塞、文件系統破壞，系統無法提供服務甚至重要數據丟失。病毒的傳播非常迅速；蠕蟲是通過計算機網絡進行自我復制的惡意程序，泛濫時可以導致網絡阻塞和癱瘓；間諜軟件在用戶不知情的情況下進行非法安裝，并把截獲的機密信息發送給第三者。

4.隨著企業信息化平臺、一體化系統投入運行，大量重要數據和機密信息都需要通過內部局域網和廣域網來傳輸，信息被非法截取、篡改而造成數據混亂和信息錯誤的幾率加大；當非法入侵者以不正當的手段獲得系統授權后?？梢詫ζ髽I內部網絡的信息資源執行非法操作，包括篡改數據信息、復制數據信息、植入惡意代碼、刪除重要信息等，甚至竊取用戶的個人隱私信息，阻止合法用戶的正常使用，造成破壞和損失。保護信息資源，保證信息的傳遞成為企業信息安全中重要的一環。

三、企業信息與網絡安全策略

結合電力施工企業業務廣范圍大特點，提出一套側重網絡準入控制的信息安全解決方案，保障企業網絡信息安全。

1.遠程接入VPN安全解決方案

施工企業擁有多個項目部，地域范圍廣，項目部、出差人員安全訪問企業信息系統是企業信息化的要求，確保網絡連接間保密性是必要的。采用SSL VPN安全網關旁路部署在網絡內部，通過設置用戶級別、權限來屏蔽非授權用戶的訪問。訪問內部網絡資源的移動、項目用戶先到SSL VPN上進行認證，根據認證結果分配相應權限，實現對內部資源的訪問控制。

2.邊界安全解決方案

在系統互聯網出口部署防火墻（集成防病毒和網絡安全監控模塊）和IPS設備，同時通過防火墻和IPS將企業內部網、數據中心、互聯網等安全區域分隔開，并通過制定相應的安全規則，以實現各區域不同級別、不同層次的安全防護。邊界防護建立以防火墻為核心，郵件、WEB網關設備、IDS及IPS等設備為輔的邊界防護體系。

（1）通過防火墻在網絡邊界建立網絡通信監控系統，監測、限制、更改跨越防火墻的數據流以及對外屏蔽網絡內部的信息、結構和運行狀況，控制非法訪問、增強網絡信息保密性、記錄和統計網絡數據并對非法入侵報警提示等，達到保障計算機網絡安全的目的。

（2）在防火墻上開啟防病毒模塊，可以在網關處阻止病毒、木馬等威脅的傳播，保護網絡內部用戶免受侵害，改變了原有被動等待病毒感染的防御模式，實現網絡病毒的主動防御，切斷病毒在網絡邊界傳遞的通道。

（3）以入侵防御系統IPS應用層安全設備，作為防火墻的重要補充，很好的解決了應用層防御安全威脅，通過在線部署，IPS可以檢測并直接阻斷惡意流量。

（4）將上網行為管理設備置于核心交換機與防火墻之間。通過對在線用戶狀態、Web訪問內容、外發信息、網絡應用、帶寬占用情況等進行實時監控，在上網行為管理設備上設置不同的策略，阻擋P2P應用，釋放網絡帶寬，有效地解決了內部網絡與互聯網之間的安全使用和管理問題。

3.內網安全解決方案

內網安全是網絡安全建設的重點，由于內網節點數量多、分布復雜、終端用戶安全應用水平參差不齊等原因，也是安全建設的難點。

（1）主要利用構建虛擬局域網VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網絡劃分為幾個不同的廣播域，將信任網段與不信任網段劃分在不同的VLAN段內，實現內部一個網段與另一個網段的物理隔離，防止影響一個網段的安全事故透過整個網絡傳播，限制局部網絡安全問題對全局網絡造成的影響。

（2）建立企業門戶系統，用戶的訪問控制部署統一的用戶認證服務，實現單點登錄功能，統一存儲所有應用系統的用戶認證信息，而授權等操作則由各應用系統完成，即統一存儲、分布授權。

（3）系統軟件部署安全、漏洞更新，定期對系統進行安全更新、漏洞掃描，自動更新Windows操作系統和Office、Exchange Server以及SQL Server等安全、漏洞補丁。安裝網絡版的防病毒軟件，定期更新最新病毒定義文件，制定統一的策略，客戶端定期從病毒服務器下載安裝新的病毒定義文件，有效減少了病毒的影響；配置郵件安全網關系統，為郵件用戶提供屏蔽垃圾郵件、查殺電子郵件病毒和實現郵件內容過濾等功能，有效地從網絡層到應用層保護郵件服務器不受各種形式的網絡攻擊。

4.數據中心安全解決方案

作為數據交換最頻繁、資源最密集的地方，數據中心出現任何安全防護上的疏漏必將導致不可估量的損失，因此數據中心安全解決方案十分重要。

（1）構建網絡鏈接從鏈路層到應用層的多層防御體系。由交換機提供數據鏈路層的攻擊防御。數據中心網絡邊界安全定位在傳輸層與網絡層的安全上，通過防火墻可以把安全信任網絡和非安全網絡進行隔離，并提供對DDoS和多種畸形報文攻擊的防御。IPS可以針對應用流量做深度分析與檢測能力，即可以有效檢測并實時阻斷隱藏在海量網絡流量中的病毒、攻擊與濫用行為，也可以對分布在網絡中的各種流量進行有效管理，從而達到對網絡應用層的保護。

（2）建立數據備份和異地容災方案，建立了完善的數據備份體系，保證數據崩潰時能夠實現數據的完全恢復。同時在異地建立一個備份站點，通過網絡以異步的方式，把主站點的數據備份到備份站點，利用地理上的分離來保證系統和數據對災難性事件的抵御能力。

5.安全信息管理與培訓

（1）網絡管理是計算機網絡安全重要組成部分，在組織架構上，應采用虛擬團隊的模式，成立了相關信息安全管理小組。從決策、監督和具體執行三個層面為網絡信息安全工作提供保障。建立規范嚴謹的管理制度，制定相應的規范、配套制度能保證規范執行到位，保障了網絡信息安全工作的“有章可循，有據可查”。主要涉及：安全策略管理、業務流程管理、應用軟件開發管理、操作系統管理、網絡安全管理、應急備份措施、運行流程管理、場所管理、安全法律法規的執行等。

（2）人員素質的高低對信息安全方面至關重要；提高人員素質的前提就是加強培訓，特別加強是對專業信息人員的培訓工作。

四、結束語

該企業信息與網絡安全體系建設以技術、管理的安全理念為核心，從組織架構的建設、安全制度的制定、先進安全技術的應用三個層面，構建一個多層次、全方位網絡防護體系。在統一的安全策略基礎上，利用安全產品間的分工協作，并針對局部關鍵問題點進行安全部署，使整個網絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中管理，達到提升網絡對安全威脅的整體防御能力。

參考文獻

篇9

1信息安全總體設計及實踐

1.1網絡安全要求及問題

1.1.1信息安全的最終實現目標為應對市場競爭，提高企業生產經營效率，滿足企業信息化建設的需要，汽車制造業應借鑒國內先進的信息技術和安全管理經驗，建立一套企業信息化辦公網絡，并逐步加強網絡傳輸的安全建設，和網絡安全管理手段。以保障企業信息化的穩定運行。2.1.2系統和應用的脆弱性企業信息化辦公網絡建成后為企業經營和管理帶來了極大的便利，生產經營效率明顯提高。但同時引發了很多的技術問題：跨省專線費用太高，且鏈路發生故障之后的報修、排故、恢復程序極其繁雜，嚴重影響效率；無法滿足移動辦公的需求，無法滿足上下游供應商的使用需求；與互聯網連接時常受到攻擊導致業務中斷；內部人員未經授權許可訪問互聯網導致病毒攻擊內部辦公網等等。

1.1.3常見網絡風險通過系統的網絡安全技術學習，汽車制造業信息化人員應掌握企業網絡信息化建設過程中大量常見的網絡風險和防范手段：Backdo（各種后門和遠程控制軟件，例如BO、Netbus等）、BruteFce（各種瀏覽器相關的弱點，例如自動執行移動代碼等）、CGI-BIN（各種CGI-BIN相關的弱點，例如PHF、wwwboard等）、Daemons（服務器中各種監守程序產生弱點，例如amd,nntp等）、DCOM（微軟公司DCOM控件產生的相關弱點）、DNS（DNS服務相關弱點，例如BIND8.2遠程溢出弱點）、E-mail（各種郵件服務器、客戶端相關的安全弱點，例如Qpopper的遠程溢出弱點）、Firewalls（各種防火墻及其產生的安全弱點，例如GauntletFirewallCyberPatrol內容檢查弱點）、FTP（各種FTP服務器和客戶端相關程序或配置弱點，例如WuFTPDsiteexec弱點）、InfmationGathering（各種由于協議或配置不當造成信息泄露弱點，例如finger或rstat的輸出）、InstantMessaging（當前各種即時消息傳遞工具相關弱點，例如OICQ、IRC、Yahoomessager等相關弱點）、LDAP（LDAP服務相關的安全弱點）、Netwk（網絡層協議處理不當引發的安全弱點，例如LAND攻擊弱點）、NetwkSniffers（各種竊聽器相關的安全弱點，例如NetXRay訪問控制弱點）、NFS（NFS服務相關的安全弱點，例如NFS信任關系弱點）、NIS（NIS服務相關的安全弱點，例如知道NIS域名后可以猜測口令弱點）、NTRelated（微軟公司NT操作系統相關安全弱點）、ProtocolSpoofing（協議中存在的安全弱點，例如TCP序列號猜測弱點）、Router/Switch（各種路由器、交換機等網絡設備中存在的安全弱點，例如CiscoIOS10.3存在拒絕服務攻擊弱點）、RPC（RPC（SUN公司遠程過程調用）服務相關的弱點，例如rpc.ttdbserver遠程緩沖區溢出弱點）、Shares（文件共享服務相關的安全弱點，BIOS/Samba等相關弱點，例如Samba緩沖區溢出弱點）、SNMP（SNMP協議相關的安全弱點，例如利用“public”進行SNMP_SET操作）、UDP（UDP協議相關弱點，例如允許端口掃描等）、WebScan（Web服務器相關安全弱點，例如IISASPdot弱點）、XWindows（X服務相關安全弱點）、Management（安全管理類漏洞）等。

1.2網絡安全加固及應用拓展改造

針對上述網絡風險，汽車制造業應加強自身的網絡安全建設，強化網絡安全管理。重點進行了四個方面的技術改造：防火墻（VPN）、上網行為管理、入侵防御及桌面管理系統。

1.2.1訪問控制——防火墻部署防火墻之后，內部辦公網絡的IP地址與MAC地址捆綁，授權上網用戶實名制管理，根據工作需要申請和審批上網時間和訪問權限。內部VLAN劃分，把不同部門用VLAN劃分為不同的域以區分管理。重要數據庫服務器和存儲設備與辦公網隔離。嚴格管理和控制內外網對數據庫的訪問。

1.2.2遠程用戶加密訪問——VPN為保障企業運營效率，根據不同的工作人員分配不同的權限，可以在出差途中或家中處理緊急公務。并細化配置其VPN功能對企業內網的訪問權限，可以實現工作需要，保障企業內部流程效率

1.2.3內網用戶網絡行為監控——上網行為管理系統通過對進程的審計可以了解到當前服務器的運行情況以及客戶端的使用情況，對非法的行為可以限制非法進程（包括病毒進程、聊天軟件進程等）的運行，非法軟件的安全，隨意的修改IP地址而導致的IP沖突等；內網用戶的網絡行為監控，可以極大程度地避免企業內網的安全風險。

1.2.4外網攻擊的防護措施——入侵防御與防病毒采用入侵防御系統，具備7層檢索比對入侵防御設備需要的高速芯片，同時具備硬件BYPASS功能和自動報警功能，當設備自身出現故障時不能中斷網絡運行，最大限度地避免單點故障對網絡穩定運行的風險。

1.2.5桌面端管理通過桌面端管理套件核心服務器管理全網所有客戶端。所有的管理數據統一保存在核心服務器后臺的數據庫中。通過角色管理可以使用管理套件控制臺直接查看AD架構，而無需在管理套件中復制AD角色。同時可以分配管理套件權限給AD組或OU(ganizationunits)，在分配權限時支持繼承的概念。

2結論

篇10

【關鍵詞】交換機；路由器；網絡；安全

企業網絡面臨的安全威脅不但來自病毒和木馬，而且還有內部網絡數據被盜、操作系統和軟件自身存在一些漏洞所造成的危害等，這就需要采取一定的技術措施來防范。

網絡互聯設備一般可分為網內互聯設備和網間互聯設備，為了構建安全的企業互聯網絡，設備的管理和配置非常重要。從網絡管理和安全方面來說，交換機和路由器起著非常重要的地位，它們是企業網絡中的核心設備，一些攻擊例如：利用路由器軟件版本的漏洞進行攻擊，非法用戶偽裝企業用戶修改路由信息等，以使機密泄露或導致路由器癱瘓而不能正常運行。為了保障企業網絡的安全，防止攻擊者入侵，導致網絡癱瘓，必須對網絡設備進行安全管理。

1．概述

傳統的網絡安全技術側重于系統入侵檢測，反病毒軟件或防火墻。在網絡安全構造中，交換機和路由器是非常重要的，在七層網絡中每一層都必須是安全的。很多交換機和路由器都有豐富的安全功能，要了解有些什么，如何工作，如何部署，一層有問題時不會影響整個網絡。交換機和路由器被設計成缺省安全的，出廠時就處于安全設置的狀態，特別操作的設置在用戶要求時才會被激活，所有其他選項都是關閉的，以減少危險。

1.1密碼設置

在初始登錄路由器及交換機時會被強制要求更改密碼，也有密碼的期限選項及登錄嘗試的次數限制，而且以加密方式存儲。交換機及路由器在掉電，熱啟動、冷啟動，升級IOS、硬件或一個模塊失敗的情況下都必須是安全的，而且在這些事件發生后應該不會危及安全并恢復運作，因為日志的原因，網絡設備應該通過網絡時間協議保持安全精確的時間。

1.2抵擋DoS攻擊

從可用性出發，交換機和路由器需要能抵擋拒絕服務式Dos攻擊，并在攻擊期間保持可用性。理想狀態是他們在受到攻擊時應該能夠做出反應，屏蔽攻擊IP及端口。每件事件都會立即反應并記錄在日志中，同時他們也能識別并對蠕蟲攻擊做出反應。

1.3漏洞管理

交換機及路由器中使用FTP，HTTP，TELNET或SSH都有可以有代碼漏洞，在漏洞被發現報告后，應該及時安裝升級包或補丁。

1.4權限管理

基于角色的管理給予管理員最低程度的許可來完成任務，允許分派任務，提供檢查及平衡，只有受信任的連接才能管理它們。管理權限可賦予設備或其他主機，例如管理權限可授予一定IP地址及特定的TCP/UDP端口。

控制管理權限的最好辦法是在授權進入前分權限，可以通過認證和帳戶服務器，例如遠程接入服務，終端服務，或LDAP服務。

1.5遠程連接的加密

在有些情況下，管理員需要遠程管理交換機及路由器。為了保證管理傳輸的安全，需要加密協議，SSH是所有遠程命令行設置和文件傳輸的標準協，基于WEB的則使用SSL或TLS協議，LDAP通常是通訊的協議，而SSL/TLS則用于加密此通訊。

1.6網絡管理協議

SNMP用來發現、監控、配置網絡設備，SNMP3是足夠安全的版本，可以保證授權的通信。

2.常用網絡安全方法

(1)網絡服務器及交換機和路由器口令設置應該采用沒有意義的數字、字母和特殊符號的組合，長度應該大于9位，以減少使用暴力破解或密碼字典破解密碼口令的可行行。

(2)建立登錄控制可以減輕受攻擊的可能性，設定嘗試登錄的次數，在遇到這種掃描時能做出反應。詳細的日志在發現嘗試破解密碼及端口掃描時是非常有效的。

(3)交換機及路由器的配置文件的安全也是不容忽視的，通常配置文件應該保存在安全的位置，有些交換機結合了入侵檢測的功能，一些通過端口映射支持，允許管理員選擇監控端口。

(4)虛擬網絡的角色：通常，只有通過劃分子網才可以隔離廣播，但是VLAN的出現打破了這個定律。VLAN叫做虛擬局域網，它的作用就是將物理上互連的網絡在邏輯上劃分為多個互不相干的網絡，這些網絡之間是無法通訊的，就好像互相之間沒有連接一樣，因此廣播也就隔離開了。

VLAN的實現原理非常簡單，通過交換機的控制，某一VLAN成員發出的數據包交換機只發個同一VLAN的其它成員，而不會發給該VLAN成員以外的計算機。

使用VLAN的目的不僅僅是隔離廣播，還有安全和管理等方面的應用，例如將重要部門與其它部門通過VLAN隔離，即使同在一個網絡也可以保證他們不能互相通訊，確保重要部門的數據安全；也可以按照不同的部門、人員，位置劃分VLAN，分別賦給不同的權限來進行管理。

VLAN的劃分有很多種，可以按照IP地址來劃分，按照端口來劃分、按照MAC地址劃分或者按照協議來劃分，常用的劃分方法是將端口和IP地址結合來劃分VLAN，某幾個端口為一個VLAN，并為該VLAN配置IP地址，那么該VLAN中的計算機就以這個地址為網關，其它VLAN則不能與該VLAN處于同一子網。

不同VLAN中的計算機之間進行通訊，可以通過VLAN Trunk來解決。VLAN Trunk目前有兩種標準，ISL和802.1q，前者是Cisco專有技術，后者則是IEEE的國際標準。

(5)安裝防火墻。防火墻可以控制網絡之間的訪問，最廣泛應用的是嵌在傳統路由器和多層交換機上的。防火墻的不同主要在于他們掃描包的深度，是端到端的直接通訊還是通過，是否有session。

3.結束語

現在的網絡要求設計成各層次都是安全的，通過部署交換機和路由器的安全設置，可以使用安全技術創建起強壯、各層都安全的系統。網絡安全是一項巨大的系統工程，其涉及的領域很廣泛。基于路由器和交換機的安全只是其中一項，但只要合理有效地配置好設備，就可以有效、安全、方便地保護我們的內部網絡，加強網絡安全。網絡安全控制與病毒防范是一項長期而艱巨的任務，需要不斷的探索。隨著網絡的發展計算機病毒形式日趨多樣化，網絡安全問題日益復雜化，網絡安全建設不再像單臺計算機安全防護那樣簡單。計算機網絡安全需要建立多層次的，立體的防護體系，要具備完善的管理系統來設置和維護對安全的防護策略?！?/p>

【參考文獻】

［1］麥奎里，李祥瑞，張明，等.Cisco網絡設備互連(第2版)[M].北京：人民郵電出版社出版社，2010.

［2］王群.計算機網絡安全管理[M].北京：人民郵電出版社出版社，2010.

［3］宗明耀.企業網絡組建維護運營技術與網絡安全控制措施及故障診斷排除實用全書[M].北京：中國企業管理出版社，2007.

［4］顧巧論，高鐵杠，賈春福.計算機網絡安全[M].北京：清華大學出版社，2008.