企業網絡安全保障方案范文

導語：如何才能寫好一篇企業網絡安全保障方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

在現代互聯網的時代，很多人為了便利和網絡文獻的豐富性就導致了惰性，不管是好是壞就胡編亂造的拿來充數，這樣的參考文獻是沒有任何價值意義的，下面是學術參考網的小編整理的關于網絡安全論文參考文獻，歡迎大家閱讀借鑒。

網絡安全論文參考文獻：

[1]張金輝，王衛，侯磊.信息安全保障體系建設研究.計算機安全，2012，（8）.

[2]肖志宏，楊倩雯.美國聯邦政府采購的信息安全保障機制及其啟示.北京電子科技學院學報，2009，（3）.

[3]沈昌祥.構建積極防御綜合防范的信息安全保障體系.金融電子化，2010，（12）.

[4]嚴國戈.中美軍事信息安全法律保障比較.信息安全與通信保密，2007，（7）.

[5]楊紹蘭.信息安全的保障體系.圖書館論壇，2005，（2）.

[6]侯安才，徐瑩.建設網絡信息安全保障體系的新思路.現代電子技術，2004，（3）.

網絡安全論文參考文獻：

[1]王爽.探討如何加強計算機網絡安全及防范[J].計算機光盤軟件與應用，2012（11）.

[2]田文英.淺談計算機操作系統安全問題[J].科技創新與應用，2012（23）.

[3]張曉光.試論計算機網絡的安全隱患與解決對策[J].計算機光盤軟件與應用，2012（18）.

[4]郭晶晶，牟勝梅，史蓓蕾.關于某金融企業網絡安全應用技術的探討[J].數字技術與應用，2013，12（09）：123-125.

[5]王擁軍，李建清.淺談企業網絡安全防護體系的建設[J].信息安全與通信保密，2013，11（07）：153-171.

[6]胡經珍.深入探討企業網絡安全管理中的常見問題[J].計算機安全，2013，11（07）：152-160.

[7]周連兵，張萬.淺議企業網絡安全方案的設計[J].中國公共安全：學術版，2013，10（02）：163-175.

網絡安全論文參考文獻：

[1]古田月.一場在網絡戰場上的較量與爭奪[N].中國國防報，2013-05-20（6）.

[2]蘭亭.美國秘密監視全球媒體[N].中國國防報，2010-10-24（1）.

[3]李志偉.法國網絡安全戰略正興起[N].人民日報，2013-01-01（3）.

[4]石純民，楊洋.網絡戰：信息時代的戰略戰[N].中國國防報，2013-09-23（6）.

篇2

Abstract: Information and network technology plays an important role in manufacturing and operations of power enterprise, especially as the internet develops rapidly, informatization and digital technology have been extensively applied in power industry .Power companies have established a large and complex scheduling data networks and integrated information network, computer network, information systems have become an increasingly important and necessary technical support system, which result the risk that faced with information, network security may also penetrate into all aspects of power production and operation. Current information and network security has become a big issue that impacting on electricity safety.

關鍵詞:電力;網絡;安全;方案

Key words: power;network;security;plan

中圖分類號:TP39 文獻標識碼:A文章編號:1006-4311(2010)27-0165-01

1電力行業的特點

電力行業與其他行業相比具有分散控制、統一聯合運行的特點。系統的運行涉及到電網調度自動化,繼電保護及安全裝置、廠、站自動化,配電網自動化,電力負荷控制分析、電力市場交易、電力營銷、信息網絡系統等,發、輸、配電系統一體化,系統中包括了各種獨立系統和聯合電網的控制保護技術、通信技術、運行管理技術等。隨著電力行業的不斷發展,電力的關鍵業務不斷增長,因此信息化應用也不斷增強,網絡系統中的應用越來越多。

2網絡安全分析

一般說來,在電力網絡系統中的安全防護主要包括三個方面:一是網絡拓撲的結構防護,即在后期當網絡的結構調整時,要注意增刪節點的合理性;二是硬件方面的防護,即組成網絡系統中的各類設備;三是軟件方面的防護,即網絡系統中存儲和傳輸的信息數據。

3網絡安全的防范技術

①配備安全評估系統,定期對電力網絡系統進行掃描,主動發現安全漏洞,及時修補。②采用全網統一的網絡防病毒系統,保護網絡中的各類服務器、工作站等不受病毒的干擾和對其上文件的破壞,以保證系統的可用性。③作為防火墻的補充,須在內部關鍵業務網段配備入侵檢測系統和防御系統,以防備來自內部的攻擊及外部通過防火墻的攻擊。④對關鍵業務信息跨地區的傳輸,采用VPN產品進行加密,保證傳輸過程中的信息安全。⑤對于網絡設備、服務器等管理員的身份認證,采用諸如令牌口令的增強身份認證系統。⑥配備災難恢復系統及冗余,防備意外的發生。⑦建立完善的網絡安全管理制度,防止出現人為的安全隱患。

4安全解決方案

4.1 總體設計思路和原則。在基本的訪問控制,身份鑒別和安全審計方面采用合理的技術手段。使用防火墻產品劃分網絡區域,對需要保護的區域進行網絡層的訪問控制。正確使用系統中已有的安全機制,各系統通常包含了基本的安全機制,如身份認證、訪問控制和審計功能。正確的使用這些安全功能可以減少系統可被利用的漏洞。采用專用產品強化系統中對安全構成威脅的薄弱環節(包括防病毒)。用必要和有效的監控和審查機制保證安全機制的有效性,安全策略的正確性;定期審查。持續監控,部署必要的技術和產品在安全機制失效和災難的情況下采取正確、及時、有效的措施。及時報警,以爭取管理和技術人員的及時介入。在入侵正在進行時自動或通過人員干預終止威脅系統安全的行動。系統遭到破壞是在盡可能短的時間內回復系統的運行。

4.2 網絡安全產品的部署

①防火墻的配置:作為保護電力系統內部網免遭外部攻擊,最有效的措施就是分別在電力系統各級內部網與外部廣域網之間放置防火墻,通過設置有效的安全策略,做到對電力系統內部網的訪問控制。不改變原來網絡拓撲結構,且保證通訊速度不受較大影響,可以配置使用基于狀態檢測包過濾技術上的流過濾技術的防火墻――硬件防火墻系統。

②入侵監測系統的配置:為了防范來自電力系統內部網絡的攻擊,及來自外部透過防火墻的攻擊,作為防火墻的補充,須在電力系統內部網各重要網段配備入侵檢測系統,通過對網絡行為的監視,來識別網絡的入侵的行為。實時監視網絡上正在進行通信的數據流,分析網絡通訊會話軌跡,反映出內外網的聯接狀態;通過內置已知網絡攻擊模式數據庫,能夠根據網絡數據流和網絡通訊的情況,查詢網絡事件,進行相應的響應;能根據所發生的網絡安全事件,啟用配置好的報警方式,比如Email、聲音報警等;提供網絡數據流量統計功能,能夠記錄網絡通信的所有數據包,對統計結果提供數表與圖形兩種顯示結果,為事后分析提供依據;默認預設了很多的網絡安全事件,保障客戶基本的安全需要;提供全面的內容恢復,支持多種常用協議;支持分布式結構,安裝于大型網絡的各個物理子網中,一臺管理器可管理多臺服務器,達到分布安裝,全網監控,集中管理。

③信息傳輸加密產品的配置:為了保護數據信息從發起端到接收端傳輸過程的安全性,在每一級網絡配備的防火墻系統與邊界路由器之間配備網絡層加密機,由于網絡層加密設備可以實現網關到網關的加密與解密,因此,在每個有重要傳輸數據的網點只需配備一臺網絡層加密機。利用加密技術以及安全認證機制,保護信息在網絡上傳輸的機密性、真實性、完整性及可靠性。高加密強度的安全隧道,認證通信雙方的身份,實現基于應用的訪問控制。有詳細的日志和審計記錄,對所處理的每一次通信或服務都可以進行詳細的記錄。提供穿越防火墻的VPN應用模式,可以用直連的方式把通過認證的數據直接傳送到主機的應用程序;可以與第三方認證產品集成,提供更強的身份認證和訪問控制功能。

④防病毒系統部署?？傊娏ζ髽I網絡的安全保障可從以下幾方面考慮:a.在電力企業網絡各節點處構筑防御(如防火墻),防止外網影響內網。b.建立一個統一、完善的安全防護體系,該體系不僅包括防火墻、網關、防病毒及殺毒軟件等產品,還有對運營商安全保障的各種綜合措施,通過對網絡的管理和監控,可以在第一時間發現問題,解決問題,防患于未然。c.在互聯網日益廣泛應用的今天,為保障電力企業網絡的安全,必需樹立全程安全的觀念。

參考文獻:

[1]CCNA DISCOVERY企業中的路由、交換技術[C]//思科網絡技術學院教程.

篇3

【關鍵詞】網絡安全；防火墻；VPN；VLAN

一、引言

隨著電力施工企業信息化發展的不斷深入，企業對信息系統的依賴程度越來越高，信息與網絡安全直接影響到企業生產、經營及管理活動，甚至直接影響企業未來發展。企業網絡規模的擴大、信息接入點增多、分布范圍廣，使信息接入點管控難度大。企業信息與網絡安全面臨各類威脅，筆者以構建某電力施工企業信息與網絡安全體系為例，從信息安全管理、技術實施方面進行闡述與分析，建立一套比較完整信息化安全保障體系，保障業務應用的正常運行。

二、企業網絡安全威脅問題分析

1.企業網絡通信設備存的安全漏洞威脅，網絡非法入侵者可以采用監聽數據、嗅探數據、截取數據等方式收集信息，利用拒絕服務攻擊、篡改數據信息等方式對合法用戶進行攻擊。

2.非法入侵用戶對網絡系統的知識結構非常清楚，包括企業外部人員、企業內部熟悉網絡技術的工作人員，利用內部網絡進行惡意操作。非法用戶入侵企業內部網絡主要采用非法授權訪問對企業內部網絡進行惡意操作，以達到竊取商業機密的目的；獨占網絡資源的方式，非業務數據流（如P2P文件傳輸與即時通訊等）消耗了大量帶寬，輕則影響企業業務無法正常運作，重則致使企業IT系統癱瘓，對內部網絡系統造成損壞。

3.惡意病毒程序和代碼包括計算機病毒、蠕蟲、間諜軟件、邏輯復制炸彈和一系列未經授權的程序代碼和軟件系統。病毒感染可能造成網絡通信阻塞、文件系統破壞，系統無法提供服務甚至重要數據丟失。病毒的傳播非常迅速；蠕蟲是通過計算機網絡進行自我復制的惡意程序，泛濫時可以導致網絡阻塞和癱瘓；間諜軟件在用戶不知情的情況下進行非法安裝，并把截獲的機密信息發送給第三者。

4.隨著企業信息化平臺、一體化系統投入運行，大量重要數據和機密信息都需要通過內部局域網和廣域網來傳輸，信息被非法截取、篡改而造成數據混亂和信息錯誤的幾率加大；當非法入侵者以不正當的手段獲得系統授權后?？梢詫ζ髽I內部網絡的信息資源執行非法操作，包括篡改數據信息、復制數據信息、植入惡意代碼、刪除重要信息等，甚至竊取用戶的個人隱私信息，阻止合法用戶的正常使用，造成破壞和損失。保護信息資源，保證信息的傳遞成為企業信息安全中重要的一環。

三、企業信息與網絡安全策略

結合電力施工企業業務廣范圍大特點，提出一套側重網絡準入控制的信息安全解決方案，保障企業網絡信息安全。

1.遠程接入VPN安全解決方案

施工企業擁有多個項目部，地域范圍廣，項目部、出差人員安全訪問企業信息系統是企業信息化的要求，確保網絡連接間保密性是必要的。采用SSL VPN安全網關旁路部署在網絡內部，通過設置用戶級別、權限來屏蔽非授權用戶的訪問。訪問內部網絡資源的移動、項目用戶先到SSL VPN上進行認證，根據認證結果分配相應權限，實現對內部資源的訪問控制。

2.邊界安全解決方案

在系統互聯網出口部署防火墻（集成防病毒和網絡安全監控模塊）和IPS設備，同時通過防火墻和IPS將企業內部網、數據中心、互聯網等安全區域分隔開，并通過制定相應的安全規則，以實現各區域不同級別、不同層次的安全防護。邊界防護建立以防火墻為核心，郵件、WEB網關設備、IDS及IPS等設備為輔的邊界防護體系。

（1）通過防火墻在網絡邊界建立網絡通信監控系統，監測、限制、更改跨越防火墻的數據流以及對外屏蔽網絡內部的信息、結構和運行狀況，控制非法訪問、增強網絡信息保密性、記錄和統計網絡數據并對非法入侵報警提示等，達到保障計算機網絡安全的目的。

（2）在防火墻上開啟防病毒模塊，可以在網關處阻止病毒、木馬等威脅的傳播，保護網絡內部用戶免受侵害，改變了原有被動等待病毒感染的防御模式，實現網絡病毒的主動防御，切斷病毒在網絡邊界傳遞的通道。

（3）以入侵防御系統IPS應用層安全設備，作為防火墻的重要補充，很好的解決了應用層防御安全威脅，通過在線部署，IPS可以檢測并直接阻斷惡意流量。

（4）將上網行為管理設備置于核心交換機與防火墻之間。通過對在線用戶狀態、Web訪問內容、外發信息、網絡應用、帶寬占用情況等進行實時監控，在上網行為管理設備上設置不同的策略，阻擋P2P應用，釋放網絡帶寬，有效地解決了內部網絡與互聯網之間的安全使用和管理問題。

3.內網安全解決方案

內網安全是網絡安全建設的重點，由于內網節點數量多、分布復雜、終端用戶安全應用水平參差不齊等原因，也是安全建設的難點。

（1）主要利用構建虛擬局域網VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網絡劃分為幾個不同的廣播域，將信任網段與不信任網段劃分在不同的VLAN段內，實現內部一個網段與另一個網段的物理隔離，防止影響一個網段的安全事故透過整個網絡傳播，限制局部網絡安全問題對全局網絡造成的影響。

（2）建立企業門戶系統，用戶的訪問控制部署統一的用戶認證服務，實現單點登錄功能，統一存儲所有應用系統的用戶認證信息，而授權等操作則由各應用系統完成，即統一存儲、分布授權。

（3）系統軟件部署安全、漏洞更新，定期對系統進行安全更新、漏洞掃描，自動更新Windows操作系統和Office、Exchange Server以及SQL Server等安全、漏洞補丁。安裝網絡版的防病毒軟件，定期更新最新病毒定義文件，制定統一的策略，客戶端定期從病毒服務器下載安裝新的病毒定義文件，有效減少了病毒的影響；配置郵件安全網關系統，為郵件用戶提供屏蔽垃圾郵件、查殺電子郵件病毒和實現郵件內容過濾等功能，有效地從網絡層到應用層保護郵件服務器不受各種形式的網絡攻擊。

4.數據中心安全解決方案

作為數據交換最頻繁、資源最密集的地方，數據中心出現任何安全防護上的疏漏必將導致不可估量的損失，因此數據中心安全解決方案十分重要。

（1）構建網絡鏈接從鏈路層到應用層的多層防御體系。由交換機提供數據鏈路層的攻擊防御。數據中心網絡邊界安全定位在傳輸層與網絡層的安全上，通過防火墻可以把安全信任網絡和非安全網絡進行隔離，并提供對DDoS和多種畸形報文攻擊的防御。IPS可以針對應用流量做深度分析與檢測能力，即可以有效檢測并實時阻斷隱藏在海量網絡流量中的病毒、攻擊與濫用行為，也可以對分布在網絡中的各種流量進行有效管理，從而達到對網絡應用層的保護。

（2）建立數據備份和異地容災方案，建立了完善的數據備份體系，保證數據崩潰時能夠實現數據的完全恢復。同時在異地建立一個備份站點，通過網絡以異步的方式，把主站點的數據備份到備份站點，利用地理上的分離來保證系統和數據對災難性事件的抵御能力。

5.安全信息管理與培訓

（1）網絡管理是計算機網絡安全重要組成部分，在組織架構上，應采用虛擬團隊的模式，成立了相關信息安全管理小組。從決策、監督和具體執行三個層面為網絡信息安全工作提供保障。建立規范嚴謹的管理制度，制定相應的規范、配套制度能保證規范執行到位，保障了網絡信息安全工作的“有章可循，有據可查”。主要涉及：安全策略管理、業務流程管理、應用軟件開發管理、操作系統管理、網絡安全管理、應急備份措施、運行流程管理、場所管理、安全法律法規的執行等。

（2）人員素質的高低對信息安全方面至關重要；提高人員素質的前提就是加強培訓，特別加強是對專業信息人員的培訓工作。

四、結束語

該企業信息與網絡安全體系建設以技術、管理的安全理念為核心，從組織架構的建設、安全制度的制定、先進安全技術的應用三個層面，構建一個多層次、全方位網絡防護體系。在統一的安全策略基礎上，利用安全產品間的分工協作，并針對局部關鍵問題點進行安全部署，使整個網絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中管理，達到提升網絡對安全威脅的整體防御能力。

參考文獻

篇4

關鍵詞：網絡;安全;VPN;加密技術;防火墻技術

網絡安全是指計算機、網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然或惡意的原因而遭破壞、更改或泄露，系統能連續可靠、正常地運行，使網絡服務不中斷。

隨著Internet的飛速發展,網絡應用的擴大,網絡安全風險也變的非常嚴重和復雜。原先由單機安全事故引起的故障通過網絡傳給其他系統和主機,可造成大范圍的癱瘓,再加上安全機制的缺乏和防護意識不強,網絡風險日益加重。這些風險的出現與網絡的系統結構與應用相關聯。主要包括物理安全、鏈路安全、網絡安全、系統安全、應用安全及管理安全等六個方面。網絡安全性可以被粗略地分為4個相互交織的部分:保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問,這是人們提到的網絡安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來實現。

1.方案目標

本方案主要從網絡層次考慮,將網絡系統設計成一個支持各級別用戶或用戶群的安全網絡,該網在保證系統內部網絡安全的同時,還實現與Internet或國內其它網絡的安全互連。本方案在保證網絡安全可以滿足各種用戶的需求,比如:可以滿足個人的通話保密性,也可以滿足企業客戶的計算機系統的安全保障,數據庫不被非法訪問和破壞,系統不被病毒侵犯,同時也可以防止有害信息在網上傳播等。

2.安全需求

通過對網絡系統的風險分析及需要解決的安全問題,我們需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。即:

可用性:授權實體有權訪問數據;

機密性:信息不暴露給未授權實體或進程;

完整性:保證數據不被未授權修改；

可控性:控制授權范圍內的信息流向及操作方式

可審查性:對出現的安全問題提供依據與手段

訪問控制:需要由防火墻將內部網絡與外部不可信任的網絡隔離,對與外部網絡交換數據的內部網絡及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網絡,由于不同的應用業務以及不同的安全級別,也需要使用防火墻將不同的LAN或網段進行隔離,并實現相互的訪問控制。

數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。

安全審計:是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容,一是采用網絡監控與入侵防范系統,識別網絡各種違規操作與攻擊行為,即時響應(如報警)并進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏。

3.風險分析

網絡安全是網絡正常運行的前提。網絡安全不單是單點的安全,而是整個信息網的安全。要知道如何防護,首先需要了解安全風險來自于何處。網絡安全系統必須包括技術和管理兩方面。風險分析是網絡安全技術需要提供的一個重要功能。它要連續不斷地對網絡中的消息和事件進行檢測,對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網絡中所有有關的成分。

3.1物理安全風險分析

網絡物理安全是整個網絡系統安全的前提,其主要風險有:地震、水災、火災等環境事故;電源故障;電磁輻射造成信息被竊取。

3.2鏈路風險分析

網絡安全威脅不僅在網上進行攻擊。攻擊者完全有可能在傳輸線路上安裝竊聽設備,再通過一些技術讀出。因此對于一些重要信息在鏈路上必須加密,并且通過數字簽名及認證確保數據的真實性、機密性、可靠性、完整性。

3.3網絡安全風險分析

與Internet互聯的安全威脅,主要為黑客的人侵;內部局域網與外部網互聯的安全威脅,主要手段有網絡監聽與惡意攻擊等。內部局域網的安全威脅,主要是內部人員的泄密。

3.4系統安全風險分析

主要指網絡操作系統、應用系統的安全。表現在開發商的Back-Door(后門)以及系統本身的漏洞上。

3.5應用安全風險分析

應用系統的安全涉及的方面較多,主要在電子郵件與病毒方面。

3.6管理安全風險分析

內部人員的破壞,管理不善,制度不健全,都可以引起管理安全風險。因此除了技術以外,還得依靠管理實現網絡安全。

4.解決方案

4.1設計原則

針對網絡系統實際情況,解決網絡的安全保密問題是當務之急,考慮技術難度及經費等因素,設計時應遵循的思想:

①大幅度地提高系統的安全性和保密性；

②保持網絡原有的性能特點,即對網絡的協議和傳輸具有很好的透明性；

③易于操作、維護,并便于自動化管理,而不增加或少增加附加操作;

④盡量不影響原網絡拓撲結構,同時便于系統及系統功能的擴展;

⑤安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;

⑥安全與密碼產品具有合法性,及經過國家有關管理部門的認可或認證;

⑦分步實施原則:分級管理,分步實施。

4.2安全策略

針對上述分析,我們采取以下安全策略:

㈠采用漏洞掃描技術,對重要網絡設備進行風險評估,保證信息系統盡量在最優的狀況下運行。

㈡采用各種安全技術,構筑防御系統,主要有:

①防火墻技術:在網絡的對外接口,采用防火墻技術,在網絡層進行訪問控制。

②NAT技術:隱藏內部網絡信息。

③VPN:虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。

④網絡加密技術(Ipsec) :采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝,實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題,也可解決遠程用戶訪問內網的安全問題。

4.3防御系統

我們采用防火墻技術、NAT技術、VPN技術、網絡加密技術(Ipsec),構成網絡安全的防御系統。

4.3.1物理安全

為保證信息網絡系統的物理安全,還要防止系統信息在空間的擴散。通常是在物理上采取一定的防護 措施,來減少或干擾擴散出去的空間信號。為保證網絡的正常運行,在物理安全方面應采取如下措施:

①產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。

②運行安全方面:網絡中的設備,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統,應設置備份系統。

③防電磁輻射方面:所有重要涉密的設備都需安裝防電磁輻射產品,如輻射干擾機。

④保安方面:主要是防盜、防火等,還包括網絡系統所有網絡設備、計算機、安全設備的安全防護。

4.3.2防火墻技術

防火墻是一種網絡安全保障手段,是網絡通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監視了內部網絡和Internet之間地任何活動,保證了內部網絡地安全;在物理實現上,防火墻是位于網絡特殊位置地以組硬件設備———路由器、計算機或其他特制地硬件設備。防火墻可以是獨立地系統,也可以在一個進行網絡互連地路由器上實現防火墻。

4.3.3 VPN技術

VPN的安全保證主要是通過防火墻技術、路由器配以隧道技術、加密協議和安全密鑰來實現,可以保證企業員工安全地訪問公司網絡。

4.3.4網絡加密技術(Ipsec)

IP層是TCP/IP網絡中最關鍵的一層,IP作為網絡層協議,其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此,IP安全是整個TCP/IP安全的基礎,是網絡安全的核心。IPSec提供的安全功能或服務主要包括:①訪問控制;②無連接完整性;③數據起源認證;④抗重放攻擊;⑤機密性;⑥有限的數據流機密性;信息交換加密技術分為兩類:即對稱加密和非對稱加密。

5結束語

在日常工作和學習中，只要我們使用網絡，就必然涉及到網絡安全的問題。目前解決網絡安全問題主要采取的技術手段，對防止系統非法入侵都有一定的效果，但它們只是起著防御功能，不能完全阻止入侵者通過蠻力攻擊或利用計算機軟硬件系統的缺陷闖入未授權的計算機或濫用計算機及網絡資源。因此，我們必須不斷學習，不斷積累經驗，提高自身素質，制定出嚴密的安全防范措施，盡可能提高網絡系統的安全可靠性。

參考文獻:

[1]郭軍.網絡管理[M].北京:北京郵電大學出版社,2001.

篇5

我們本次評測的重點有兩個，第一卡巴斯基開放空間安全解決方案加強版在企業網絡中的部署能力，以及對安全部署后的管理能力。第二是實際的病毒攻擊和掛馬測試等，該測試將在服務器和工作站端同時進行，以檢測這款產品的遠程保護和遠程清除能力。

卡巴斯基開放空間安全解決方案是一款集多個產品線組成的安全解決方案，能夠為工作站，服務器、網關等網絡終端提供安全保障，甚至其安全保障還延伸到了手機安全策略，不過我們本次測試由于環境局限，并沒有對手機部分進行測試。

針對本次卡巴斯基開放空間安全解決方案加強版的測試。我們特別搭建了測試環境和測試平臺，參與測試的有5臺工作站和1臺服務器。并且搭建了千兆的網絡環境和Intel AGN標準無線網絡環境，將測試平臺部署成網絡，連接外部互聯網的是1條10MB ADSL。再添加多個工作站即可成為一個中小型企業的網絡部署結構，所以本次測試同樣適用于中小型企業。

管理工具在服務器端的安裝

部署卡巴斯基開放空間安全解決方案加強版首先需要在服務器端安裝卡巴斯基管理工具8.0軟件，管理者可通過該軟件對網絡內的任何工作站進行安全管理。這是卡巴斯基開放空間安全解決方案加強版的核心部件之一。

制作卡巴斯基一鍵安裝包是部署的核心工作，管理者在該處即可完成網絡設定，規劃好工作站網絡結構。通過制作多功能多分類的卡巴斯基一鍵安裝包分發到制定工作站，完成復雜網絡的部署。

工作站的部署與安裝

卡巴斯基開放空間安全解決方案應對于中小型企業的部署有三種方式：

一、通過網站方式或文件共享方式進行部署安裝：

二、通過管理端的網絡推送方式進行部署安裝；

三、通過拷貝文件的方式進行分發的本地安裝來完成部署；

總的來看，以第一種方式來進行部署安裝是最為方便的。第二種方式部署管理性強，比較適用于異地安裝；第三種方式最為常見，但不適用于大批量工作站的部署；三種方式各有優劣。

卡巴斯基開放空間安全解決方案加強版提供的三種解決方案可以完成從中小型企業到大型企業的部署工作，甚至會議安全部署與賽事部署都可以輕松解決。還有一種面向域的不是方式，這種方式更適合有獨立域的企業完成部署，其復雜程度要高過以上介紹的三種方式，故我們在本文中就不在進行介紹。

卡巴斯基管理工具應用

既然要管理多臺工作站，那么對于管理者而言就要制定安全管理策略，卡巴斯基管理工具8.0內置了標準的管理策略，并且管理者還能夠具備自定義安全管理策略。部屬和組任務，完成對加入管理組的工作站的管理。

保護Windows工作站中可以查看到部署的計算機餅狀分布圖，能夠顯示準備執行計算機，正在執行計算機、執行成功的計算機和執行失敗的計算機并能夠查看執行詳細。管理者可編輯策略包含主動防御，反黑客，文件反病毒等策略。編輯完成后激活執行即可，管理者只需要執行策略的反饋。

組任務操作包含掃描工作站和服務器病毒，更新工作站和服務器病毒四項系統內置的任務。掃描屬性上可設定掃描計劃時間、掃描對象，通知、掃描到病毒后的執行狀況。更新部分可為部署好的工作站更新病毒庫，應用程序等。

客戶端計算機中可查看到當前連接到管理服務器的狀態，包含連接時間和安裝狀態等。

要統計龐大的工作站終端，就需要設計合理的統計報表?？ò退够芾砉ぞ叩膱蟾婧屯ㄖ獦撕炛心軌驅崟r的顯示網絡運營的各項狀態。包含保護狀體、保護范圍報告、反病毒庫版本報告、外部程序報告、病毒報告、授權報告等等。管理者每次計劃掃描的結果都會匯總在此，對我們用處較大的是病毒報告，大部分受感染計算機報告和回執的錯誤報告。

報告和通知的功能我們在此不在列舉，這款軟件的設計能夠使繁瑣的網絡管理變得簡單易操控。

卡巴斯基管理工具還具備數據備份、發送報告，管理工具下載更新任務工具，這些工具能夠良好的維護自身的更新與運轉?？ò退够芾砉ぞ吣軌驅χ付ǖ膯为氂嬎銠C進行任務操作。

從上文的介紹來看，卡巴斯基開放安全解決方案加強版擁有方便快速有效的部署到簡單易用的集中管理的特色，這對于企業應用而言非常有實用的特點。以開放部署應對網絡的開放性，以集中管理閉合網絡的開放性，是這款產品的最“深刻”的地方。

常規病毒樣本掃描測試

常規病毒樣本掃描是殺毒軟件的基礎，能否很好的進行快速判定和有效清除，是考核殺毒軟件核心殺毒能力和技術引擎判定標準之一。我們實際測試了卡巴斯基反病毒window工作站6.0加強版在工作站軟件的查殺能力，選用了一款含有141個常規病毒的數據樣本包?？ò退够床《網indow工作站6.0加強版能夠非常好的識別出病毒，并詢問對病毒文件的處理。

經過測試卡巴斯基反病毒Window工作站6.0加強版達到了99％的查殺率，常規病毒樣本掃描測試效果非常好。

特征碼掃描測試是檢測殺毒軟件掃描引擎的關鍵測試，它區別于常規病毒樣本掃描那樣有針對性，而是通過識別病毒特征進行掃描查殺，這項測試的測試結果直接影響一款產品的好壞。我們使用了100個特征碼病毒的樣本包進行測試，測試過程，卡巴斯基反病毒Window工作站6.0加強版能夠快速的識別并進行相關詢問操作。

防掛馬能力測試，是檢測一款殺毒軟件對網頁木馬能否識別并攔截的測試。這對于能夠訪問互聯網的工作站是非常有必要部屬的，能夠抵御來自互聯網病毒的侵害。本項測試我們通過訪問攜帶木馬的網頁來進行測試，訪問的多個“掛馬”網頁卡巴斯基反病毒Window工作站6.0加強版都能都很好的進項攔截。

卡巴斯基反病毒Window工作站6.0加強版在本次測試中表現很好，識別率為100％，本次測試值得稱道。

卡巴斯基反病毒Window工作站6.0加強版設計有主動防御功能，顧名思義即對計算機正在運行的應用程序進行主動的分析，以達到實時發現和查殺病毒的作用。同時還能夠保護注冊表不被惡意的篡改等等。

篇6

1、新時期油田企業信息化網絡安全的相關策略

首先部署高安全性防護系統。對于高安全性防護系統的布置工作重點做好兩個方面，一個是保證操作系統的安全使用，另一個是布置好安全防護軟件，這兩個方面是實現信息化網絡安全和信息安全關鍵步驟。油田企業不同于其它企業主要是因為它對于網絡建設資金上可以有保證，所以相對于其他企業而言對于信息化網絡設備和信息化系統的性能也相對較高。要做好安全性防護系統的全面部署工作，還需要從以下幾個方面入手，比如防病毒系統、防火墻、認證加密以及操作系統安全使用，筆者對此進行了分別的論述。第一是防病毒系統。在所有操作系統中除了微軟的操作系統易被病毒感染，其他的操作系統都是較為安全的但是也不要忽視。油田企業用戶網絡節點多所以通過單機使用防病毒軟件顯然是不行的，為此需要進行防病毒系統的建立，這樣才能保證做好油田企業的網絡安全防范工作。現在已經有企業防病毒系統的出現，為了更好地對于計算機病毒，一般需要建立防病毒系統，除此以外還要通過其他手段來進行系統安全的維護工作；第二是防火墻。防火墻可以為企業計算機提供實質上的網絡安全，它是現在信息安全產品之一。它一方面可以有效地抵制來自互聯網的攻擊，另一方面還可以輔助企業安全策略。硬件防火墻和軟件防火墻雖然各有優勢，但是相對而言，硬件防火墻功能表現單一，升級相對困難，而軟件防火墻的使用自身安全性則會受限于操作系統。防火墻承擔的作是多方面的，一方面可以禁止外部網絡對于企業內部網絡的訪問，實施對企業的網絡安全保護工作；另一方面可以對員工訪問互聯網有所限制。防火墻表現出來的優勢是顯而易見的，但是數據包要通過防火墻的過濾，降低了網絡性還增加了在網延遲時間，所以要真正實現防火墻作用的重要發揮，還需要配合其他的安全產品；再次認證加密。認證加密是保證應用安全的有效手段，它主要是通過數字證書來實現的。數字證書是一個標志著通訊雙方身份信息的數據數字證書。所以對于油田企業而言可以通過數字認證加密的方式來實現對油田企業辦公自動化的保障，同時控制對敏感信息的訪問，尤其是油田企業涉及到電子商務工作。有了認證加密這個重要的環節可以有效地對各交易方的身份以及后序工作中對交易信息的保密工作實施保護；最后對操作系統安全使用。對于油田企業信息化網絡中網絡安全的保證最為重要的一個工作環節就是保證油田企業操作系統的安全使用。對于油田企業操作系統的安全使用工作筆者認為不外乎以下幾個方面，其一保證操作系統的安全使用實施用戶密碼管理有備無患；其二保證操作系統的安全使用進行系統漏洞檢測增加二道保障；其三保證操作系統的安全使用要進行信息加密；其四保證操作系統的安全使用要進行用戶安裝工作實施。其次是對高可用性網絡系統的構建，高可用性網絡系統也是信息化網絡安全維護的重要方法之一。高可用性網絡系統的主要內容包括以下幾個方面，一方面是關于信息化硬件，另一方面是關于信息化軟件，除此之外還包括災難恢復。信息化硬件涵蓋的范圍較為廣泛，比如網絡設備、機房設備以及服務器等等。高可用性對信息化硬件也提出了更高的要求，所以在對系統進行設計時要考慮到網絡和設備的冗余備份，對于網絡系統的關鍵設備也要給予高度的關注和重視；第二是關于信息化軟件，信息化軟件的主要內容包括應用程序、操作系統和數據庫等等。對于操作系統類的信息化軟件在選擇時要選擇安全性高以及性能好的操作系統。對于應用程序在進行選擇時可以選擇用商品化的軟件或者選擇與其他公司合作，在進行合作時一定要保證選用有豐富經驗的知名公司；對于操作系統的選擇，個人操作系統和服務器操作系統要有不同的選擇，對于個人操作系統要Windows2000及以上的版本，而對于服務器操作系統的選擇則選用UNIX系統；第三是關于災難恢復，它主要指的是指當信息網絡設備系統發生災難時對數據和服務的恢復。完整的災難恢復策略不但包括備份硬件、備份軟件、備份制度，而且包括災難恢復計劃。對于油田企業而言最重要的并不是信息化系統和信息化設備，而是信息化系統和信息化設備中儲存的重要數據和重要信息。油田企業中對于災難恢復的保護工作主要還是企業內部的文件服務器和關鍵數據庫。文件服務器主要指的是辦公自動化所依賴的服務器，它主要存儲企業中所需要的關鍵文檔和重要信息；關鍵數據庫一般指的是存儲企業生產管理數據的基礎數據庫。綜上所述，對于各個環節的備份工作對于油田企業數據的完整性有著重要的作用，所以一事實上要重視對災難恢復策略工作的實施。最后建立安全保障體系。實現油田企業信息化網絡安全工作建立安全保障體系也是非常重要和關鍵一步。安全保障體系的建立是一個系統的工作任務，它會涉及到很多方面，比如管理組織、管理制度、應急方案以及網絡管理等等方面。筆者依次對這幾個方面進行相關論述。第一是安全管理組織的建立。安全管理組織的建立是安全保障體系的重要組成部分。安全管理組織的主要成員構成包括以主管為領導、以安全操作員、網絡管理員以及其他安全專家等等企業人員。這部分人員在安全管理組織中承擔不同的任務，主管領導主要是來負責安全體系的建設和實施；安全操作員主要用來負責安全措施的具體實施；其他安全專家主要負責對重大安全問題的處理工作；網絡管理員主要負責安全策略和組織技術實施；第二是安全管理制度的建立。把安全管理工作進行制度化確立，可以更加方便對于石油企業的管理實施工作。安全管理制度涉及到的幾個方面主要包括信息化設備和信息化系統的使用、以及運行、管理和相關維護工作，這樣工作以及相關安全策略方面的工作都可以最終以安全管理制度的形式最終確立下來，這樣將有助于推動油田企業的安全管理工作實施；第三制定安全應急方案。油田企業中出現的安全問題是大小不一，對于不同程度的安全問題要有必要的應急方案。因為一旦發生較為嚴重的安全問題都會給油田企業的生產造成很大的影響，而這種影響造成的經濟損失也是不可估量的。所以針對諸如系統設備故障可能產生的重大安全問題，油田企業相關人員要對這些特定的安全問題制定出應急預案；第四加強網絡管理。網絡安全也是信息管理工作的重要環節，對于信息化安全至關重要。油田企業要實施網絡管理工作重點內容不外乎以下幾個方面，比如網絡操作系統安全策略的維護和檢查、防火墻路由器的安全檢查以及系統和數據的備份等等。網絡管理的內容來源于網絡實施中的各個細節，要做網絡安全運行的工作這些細節都不能松懈。

2、結束語

油田企業的信息化建設固然重要，但是離開了信息化網絡安全也就無法達到信息化建設的真正目的。所以對于油田企業具有復雜性和系統性的特點，作為油田企業網絡安全維護工作者要做好對于信息化的安全防護，以達到信息化建設的真正目的。

作者：劉文冬單位：中國石油新疆油田公司數據公司烏魯木齊分公司

篇7

關鍵詞：等級保護分級管理；中小型網絡；安全建設

中圖分類號：TP309文獻標識碼：A文章編號：1007-9599 (2011) 24-0000-01

SMs Network Security Building Analysis in Level Protection Hierarchical Management

Xu Aihua,Lv Yun

(Nanjing Institute of Science& Technology Information,Nanjing 210018)

Abstract:This article based on "communications network security management approach"in the basic situation of small and medium sized networks and applications based on the analysis of the characteristics on small and medium sized network construction and management of network security solutions.

Keywords:Level protection classification management;Small network;

Security building

一、工信部關于等級保護分級管理的要求

如何利用等級保護中分級管理制度，確定不同的系統不同的安全策略，消除內部網向公網傳送的信息可能被他人竊聽或篡改等等安全隱患，對中小網絡而言至關重要。為此，自2010年3月1日起，工業和信息化部了《通信網絡安全防護管理辦法》(以下簡稱《辦法》)開始施行?！掇k法》要求通信網絡運行單位應按照各通信網絡單元遭到破壞后可能造成的危害程度，將本單位已正式投入運行的通信網絡單元由低到高分別劃分為一級、二級、三級、四級、五級?！掇k法》要求，通信網絡運行單位應當在通信網絡定級評審通過后三十日內，將通信網絡單元的劃分和定級情況按照有關規定向電信管理機構備案。電信管理機構對通信網絡運行單位開展通信網絡安全防護工作的情況進行檢查。

二、中小型網絡基本情況與應用特點

中小型計算機網絡主要應用于辦公自動化系統、信息查詢系統、郵件服務、財務、人事、計劃系統等實際工作和WWW應用中。根據中小型計算機網絡的應用特點，需要保證網絡中的數據具有可用性、可靠性、保密性、完整性、安全性等。又由于計算機網絡跨越公共網絡及與Internet網互聯，這就給計算機網絡帶來嚴峻的安全問題，如敏感信息的泄露、黑客的侵擾、網絡資源的非法使用以及計算機病毒等。這些安全問題如果得不到解決，那將會給計算機網絡帶來嚴重的安全隱患。所謂可用性是指網絡信息可被授權用戶訪問的特性，即網絡信息服務在需要時，能夠保證授權用戶使用?？煽啃允侵妇W絡系統硬件和軟件無故障運行的性能，是網絡系統安全最基本的要求；保密性是指網絡信息不被泄露的特性，保密性是保證信息即使泄露，非授權用戶在有限的時間內也不能識別真正的信息內容；完整性即網絡信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，是指網絡信息未經授權不能進行改變的特性，也稱作不可否認性。從技術角度看，網絡安全的內容大體包括四個方面，即：網絡實體安全、軟件安全網絡數據安全和網絡安全管理。由此可見，計算機網絡安全不僅要保護計算機網絡設備安全，還要保護數據安全。因此實施網絡安全保護方案，目的是以保證算機網絡自身的安全。

三、中小型網絡安全解決方案

隨著網絡威脅越來越普遍、破壞性越來越嚴重，網絡入侵者攻擊來源廣泛，形式多樣。通常采用信息收集、探測分析系統的安全弱點和實施攻擊有步驟地進行入侵。如在目標系統安裝木馬程序用來窺探目標，網絡所熟悉的病毒，如紅色代碼、沖擊波，口令蠕蟲等對網絡造成了巨大損失。本文按照安全風險、需求分析結果、安全目標及安全設計原則，為中小型計算機網絡解決網絡安全問題，力求構建一個適合于中小型計算機網絡的安全體系。

（一）外網安全設計

1.防火墻系統：采用防火墻系統實現對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行保護。

2.入侵檢測系統：采用入侵檢測設備，作為防火墻的功能互補，提供對監控網段的攻擊的實時報警和積極響應。

3.病毒防護系統：強化病毒防護系統的應用策略和管理策略，增強病毒防護有效性。

4.垃圾郵件過濾系統：過濾郵件，阻止垃圾郵件及病毒郵件的入侵。

（二）內網安全設計

采用訪問控制策略，通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權用戶對服務器的訪問，以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、內部用戶訪問權限設置、ARP病毒的防御、數據完整、審計記錄、防病毒入侵。對內部采用：網絡管理軟件系統：使網管人員對網絡中的實時數據流量情況能夠清晰了解。掌握整個網絡使用流量的平均標準，定位網絡流量的基線，及時發現網絡是否出現異常流量并控制帶寬。

具體可采用Juniper的整合式安全設備+三層交換機的配置方案。Juniper的整合式安全設備專為互聯網網絡安全而設，將硬件狀態防火墻、虛擬專用網（IP sec VPN）、入侵防護（IPS）和流量管理等多種安全功能集于一體，可以通過內置的Web UI、命令行界面或中央管理方案進行統一管理。

三層交換機具用于日志審計及監控。根據不同用戶安全級別或者根據不同部門的安全訪問需求，網絡利用三層交換機來劃分虛擬子網（VLAN）。因為三層交換機具有路由功能，在沒有配置路由的情況下，不同虛擬子網間是不能夠互相訪問，同時通過在不同VLAN間做限制來實現不同資源的訪問控制。通過虛擬子網的劃分，既方便局域網絡的互聯，又能夠實現訪問控制。

四、結束語

總之，我們必須不斷強化信息安全觀念，加強網絡與信息系統安全保障工作的檢查和監督，充分利用《通信網絡安全防護管理辦法》關于安全等級劃分的要求制定具體的信息安全防護策略，全面落實各項制度、預案，加強技術積累，定期進行網絡漏洞掃描等安全有效措施，切實加強網絡與信息系統安全保障工作，確保中小型網絡信息系統的安全穩定運行。

參考文獻：

篇8

關鍵詞： 企業信息系統；信息安全；安全策略

中圖分類號：F270.7 文獻標識碼：A 文章編號：1671－7597（2012）0220165－01

隨著市場經濟的不斷發展，企業競爭越來越激烈，國際化合作不斷增多，隨之而來的企業信息安全是目前我國企業普遍存在的問題。對企業來說，信息安全是一項艱巨的工作，關系到企業的發展。近年來，圍繞企業信息安全問題的話題不斷，企業信息安全事件也頻頻發生，如何保證企業信息的安全，保證信息系統的正常運轉，已經成為信息安全領域研究的新熱點。

1 企業信息安全的意義

信息安全是一個含義廣泛的名詞，是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞，或防止信息被非法辨識、控制，即確保信息的保密性、可用性、完整性和可控性。企業的正常運轉，離不開信息資源的支撐。企業信息安全建設對企業的發展意義重大。

首先，信息安全是時展的需要。計算機網絡時代的發展，改變了傳統的商務運作模式，改變了企業的生產方式和思想觀念，極大推動了企業文化的發展。企業信息安全的建設將使得企業的管理水平與國際先進水平接軌，從而成長為企業向國際化發展與合作的有力支撐。

其次，信息安全是企業發展的需要。企業的信息化建設帶來了生產效率提高、成本降低、業務拓展等諸多好處。當前越來越多的企業信息和數據，都是以電子文檔的形式存在，對企業來說，信息安全是使企業信息不受威脅和侵害的保證，是企業發展的基本保障，所以，在積極防御，綜合防范的方針指導下，有效地防范和規避風險，建立起一套切實可行的長效防范機制，逐步建立起信息安全保障體系，有利于企業的發展。

最后，信息安全是企業穩定的必要前提。信息安全成為保障和促進企業穩定和信息化發展的重點，要充分認識信息安全工作的緊迫感和長期性，從企業的安全、經濟發展、企業穩定和保護企業利益的角度來思考問題，扎扎實實地做好基礎性工作和基礎設施建設，在建立信息安全保障體系的過程中，必須搞好鏈接信息安全保障體系建設安全、建設健康的網絡環境，關注信息戰略，保障和促進信息化的健康發展。

2 企業信息安全的現狀

我國企業信息安全包括計算機系統的硬、軟件及系統中的數據受到保護，不受偶然的或惡意的原因而遭到破壞、更改、泄露，使得系統連續、可靠、正常的運行，網絡服務不中斷。計算機和網絡技術具有復雜性和多樣性，使得企業信息安全成為一個需要持續更新和提高的領域。就目前來看，主要存在以下三個方面的隱患。

2.1 企業缺少信息安全管理制度

企業信息安全是一個比較新的領域，目前還缺少比較完善的法規，現有的法規，由于相關安全技術和手段還沒有成熟和標準化，法規也不能很好地被執行，安全標準和規范的缺少，導致無從制定合理的安全策略并確保此策略能被有效執行。企業的信息系統安全問題是一個系統工程，涉及到計算機技術和網絡技術以及管理等方方面面，同時，隨著信息系統的延伸和新興技術集成應用升級換代，它又是一個不斷發展的動態過程。因此對企業信息系統運行風險和安全需求應進行同期化的管理，不斷制定和調整安全策略，只有這樣，才能在享受企業信息系統便利高效的同時，把握住信息系統安全的大門。

2.2 員工缺少安全管理的責任心

一個企業的信息系統是企業全體人員參與的，不考慮全員參與的信息安全方案，恰恰忽視信息安全中最關鍵的因素――人，因為他們才是企業信息系統的提供者和使用者，他們是影響信息安全系統能否達到預期要求的決定因素。在眾多的攻擊行為和事件中，發生最多的安全事件是信息泄露事件。攻擊者主要來自企業內部，而不是來自企業外部的黑客等攻擊者，安全事件造成最大的經濟損失主要是內部人員有意或無意的信息泄露事件。針對內部員工的泄密行為，目前還沒有成熟的、全面的解決，對于來自企業信息內部信息泄密的安全問題，一直是整個信息安全保障體系的難點和弱點所在。

2.3 信息系統缺乏信息安全技術

計算機信息安全技術是一門由密碼應用技術、信息安全技術、數據災難與數據恢復技術、操作系統維護技術、局域網組網與維護技術、數據庫應用技術等組成的計算機綜合應用學科。由于認識能力和技術發展的局限性，在硬件和軟件設計過程中，難免留下技術缺陷，網絡硬件、軟件系統多數依靠進口，由此可造成企業信息安全的隱患，現在黑客的攻擊并不是為了破壞底層系統，而是為了入侵應用，竊取數據，帶有明顯的商業目的，許多黑客就是通過計算機操作系統的漏洞和后門程序進入企業信息系統。隨著網絡應用要求的越來越多，針對應用的攻擊也越來越多，除了在管理制度上確保信息安全外，還要在技術上確保信息安全。

3 企業信息安全中存在的問題

信息時代的到來，從根本上改變了企業經營形式，企業實施信息化為其帶來便利的同時也產生了巨大的信息安全風險。由于我國企業信息安全工作還處于起步階段，基礎薄弱，導致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網絡攻擊等，這些問題給企業造成直接的經濟損失，成為企業信息安全的最大威脅，使企業信息安全存在著風險因素。

3.1 病毒危害

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼，它是具有破壞作用的程序或指令集合。計算機病毒已經泛濫成災，幾乎無孔不入，據統計，計算機病毒的種類已經超過4萬多種，而且還在以每年40%的速度在遞增，隨著Internet技術的發展，病毒在企業信息系統中傳播的速度越來越快，其破壞性也越來越來越強。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音，黑客是利用技術手段進入其權限以外的計算機系統的人。黑客破解或破壞某個程序、系統及網絡安全，或者破解某系統或網絡以提醒該系統所有者的系統安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務、網絡監聽、密碼破解等手段侵入計算機系統，盜竊系統保密信息，進行信息破壞或占用系統資源，黑客攻擊已經成為近年來經常出現的問題。

3.3 網絡攻擊

網絡攻擊就是對網絡安全威脅的具體表現，利用網絡存在的漏洞和安全缺陷對系統和資源進行的攻擊。尤其是在最近幾年里，網絡攻擊技術和攻擊工具有了新的發展趨勢，使借助Internet運行業務的企業面臨著前所未有的風險。由此可知，企業的信息安全問題、以及對信息的安全管理都是至關重要的。要保證企業信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

4 企業信息安全的解決方案

為確保企業信息安全，要堅持積極防御，綜合防范的方針，全面提高信息安全防護能力。因此，面對企業信息安全的現狀和企業信息安全發展中出現的問題，必須實施對企業的信息安全管理，建設信息安全管理體系，只有建立完善的安全管理制度，將信息安全管理自始至終貫徹落實于信息管理系統的方方面面，企業信息安全才能得以實現。企業信息安全的解決方案，具體表現在以下三個方面：

4.1 建立完善的安全管理體系

完整的企業信息系統安全管理體系首先要建立完善的組織體系，完成制定并信息安全管理規范和建立信息安全管理組織等工作，保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規范，詳細說明各種信息安全策略。一個詳細的信息安全規劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業安全管理過程包括：采用科學的企業信息資產評估和風險分析模型法、設計完備的信息系統動態安全模型、建立科學的可實施的安全策略，采取規范的安全防范措施、選用可靠穩定的安全產品等。安全防范體系的建立不是一勞永逸的，企業網絡信息自身的情況不斷變化，新的安全問題不斷涌現，必須根據暴露出的一些問題，進行更新，保證網絡安全防范體系的良性發展，

4.2 提高企業員工的安全意識

科技以人為本，在信息安全方面也是靠人來維護企業的利益，我們在企業信息網絡鞏固正面防護的時候不能忽視對人的行為規范和績效管理。企業員工信息安全意識的高低是一個企業信息安全體系是否能夠最終成功實施的決定性因素。企業應當制定企業人員信息安全行為規范，必須有專門管理人才，才能有效地實現企業安全、可靠、穩定運行，保證企業信息安全。教育培訓是培訓信息安全人才的重要手段，企業可以對所有相關人員進行經常性的安全培訓，強化技術人員對信息安全的重視，提升使用人員的安全觀念，有針對性的開展安全意識宣傳教育，逐步提高員工的安全意識，強調人的作用，使他們明確企業各級組織和人員的安全權限和責任，使他們的行為符合整個安全策略的要求。

4.3 不斷優化企業信息安全技術

企業一旦制定了一套詳細的安全規劃來武裝自己，保護其智力資產，它就開始投入到選擇采用正確信息安全技術上?？晒┢髽I選擇的防止信息安全漏洞的安全技術有很多。當企業選擇采用何種技術時，首先了解信息安全的三個領域是十分有幫助的，這三個領域變得：驗證與授權、預防和抵制、檢測和響應。其中，用戶驗證是確認用戶身份的一種方法，一旦系統確認了用戶身份，那么它就可以決定該用戶的訪問權限，比如使用用戶名和密碼。預防和抵抗技術是指企業阻止入侵者訪問。對于任何企業，必須對那些故障做好準備和預測，目前可以幫助預防和建設抵抗攻擊的技術主要有內容過濾、加密和防火墻，在選用防火墻的時候，需要對所安裝的防火墻做一些攻擊測試。此外，企業信息安全的最后一道屏障是探測和反應技術，最常見的探測和反應技術是殺毒軟件。

5 結語

總之，企業信息安全是一項復雜的系統工程，企業要適應現代化發展的需要，要提高自身信息安全意識，加強對信息安全風險防范意識的認識，重視安全策略的施行及安全教育，必須做到管理和技術并重，安全技術必須結合安全措施，并加強信息安全立法和執法的力度，建立備份和恢復機制， 為企業設計適合實際情況的安全解決方案，制定正確和采取適當的安全策略和安全機制，保證企業安全體系處于應有的健康狀態。

參考文獻：

[1]張帆，企業信息安全威脅分析與安全策略[J].網絡安全技術與應用，2007（5）.

[2]諶曉歡，企業信息安全問題及解決方案[J].企業技術開發，2008（8）.

[3]付沙，企業信息安全策略的研究與探討[J].商場現代化，2007（26）.

[4]姜樺、郭永利，企業信息安全策略研究[J].焦作大學學報，2009（1）.

篇9

信息網絡；安全防護；安全策略；安全管理

網絡已經成為了人類所構建的最豐富多彩的虛擬世界，網絡的迅速發展，給我們的工作和學習生活帶來了巨大的改變。我們通過網絡獲得信息，共享資源。如今，Internet遍布世界任何一個角落，并且歡迎任何一個人加入其中，相互溝通，相互交流。隨著網絡的延伸，安全問題受到人們越來越多的關注。在網絡日益復雜化，多樣化的今天，如何保護各類網絡和應用的安全，如何保護信息安全，成為了本文探討的重點。

1.風險分析

風險分析是網絡安全技術需要提供的一個重要功能。它要連續不斷地對網絡中的消息和事件進行檢測，對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網絡中所有有關的成分。

網絡安全是網絡正常運行的前提。網絡安全不單是單點的安全，而是整個信息網的安全，需要從物理、網絡、系統、應用和管理方面進行立體的防護。網絡安全系統必須包括技術和管理兩方面，涵蓋物理層、系統層、網絡層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網絡的中斷。根據國內網絡系統的網絡結構和應用情況，應當從網絡安全、系統安全、應用安全及管理安全等方面進行全面地分析。

2.安全技術策略

采用漏洞掃描技術，對重要網絡設備進行風險評估，保證信息系統盡量在最優的狀況下運行。采用各種安全技術，構筑防御系統，主要有---防火墻技術：在網絡的對外接口，采用防火墻技術，在網絡層進行訪問控制。NAT技術：隱藏內部網絡信息。VPN：虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來，構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在，仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用，而事實上并非如此。網絡加密技術(Ipsec)：采用網絡加密技術，對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題，也可解決遠程用戶訪問內網的安全問題。認證：提供基于身份的認證，并在各種認證機制中可選擇使用。多層次多級別的企業級的防病毒系統：采用多層次多級別的企業級的防病毒系統，對病毒實現全面的防護。網絡的實時監測：采用入侵檢測系統，對主機和網絡進行監測和預警，進一步提高網絡防御外來攻擊的能力。

實時響應與恢復：制定和完善安全管理制度，提高對網絡攻擊等實時響應與恢復能力。建立分層管理和各級安全管理中心。

3.防御系統

我們采用防火墻技術、NAT技術、VPN技術、網絡加密技術（Ipsec）、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術，構成網絡安全的防御系統。

物理安全。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。

為保證信息網絡系統的物理安全，還要防止系統信息在空間的擴散。通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。為保證網絡的正常運行，在物理安全方面應采取如下措施：產品保障、運行安全、防電磁輻射、保安防護。

防火墻技術。防火墻是一種網絡安全保障手段,是網絡通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞。

VPN技術。VPN的安全保證主要是通過防火墻技術、路由器配以隧道技術、加密協議和安全密鑰來實現，可以保證企業員工安全地訪問公司網絡。

VPN有三種解決方案：如果企業的內部人員移動或有遠程辦公需要，或者商家要提供B2C的安全訪問服務，就可以考慮使用遠程訪問虛擬網（Access VPN）。如果要進行企業內部各分支機構的互連，使用企業內部虛擬網(Intranet VPN)是很好的方式。如果提供B2B之間的安全訪問服務，則可以考慮Extranet VPN。

網絡加密技術。IP層是TCP/IP網絡中最關鍵的一層，IP作為網絡層協議，其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此，IP安全是整個TCP/IP安全的基礎，是網絡安全的核心。I主要包括對稱加密技術、非對稱加密/公開密鑰加密、RSA算法、身份認證、密鑰備份和恢復、證書管理與撤消系統，以及多層次多級別的防病毒系統和入侵檢測、虛擬專用網技術虛擬專用網(Virtual Private Network，VPN)。

4.網絡安全服務

網絡是個動態的系統，它的變化包括網絡設備的調整，網絡配置的變化，各種操作系統、應用程序的變化，管理人員的變化。即使最初制定的安全策略十分可靠，但是隨著網絡結構和應用的不斷變化，安全策略可能失效，必須及時進行相應的調整。針對以上問題和網管人員的不足，下面介紹一系列比較重要的網絡服務。

通信伙伴認證。通信伙伴認證服務的作用是通信伙伴之間相互確庥身份，防止他人插入通信過程。認證一般在通信之前進行。但在必要的時候也可以在通信過程中隨時進行。認證有兩種形式，一種是檢查一方標識的單方認證，一種是通信雙方相互檢查對方標識的相互認證，通信伙伴認證服務可以通過加密機制，數字簽名機制以及認證機制實現。

訪問控制。訪問控制服務的作用是保證只有被授權的用戶才能訪問網絡和利用資源。訪問控制的基本原理是檢查用戶標識，口令，根據授予的權限限制其對資源的利用范圍和程度。例如是否有權利用主機CPU運行程序，是否有權對數據庫進行查詢和修改等等。訪問控制服務通過訪問控制機制實現。

數據保密。數據保密服務的作用是防止數據被無權者閱讀。數據保密既包括存儲中的數據，也包括傳輸中的數據。保密查以對特定文件，通信鏈路，甚至文件中指定的字段進行。數據保密服務可以通過加密機制和路由控制機制實現。

業務流分析保護。業務流分析保護服務的作用是防止通過分析業務流，來獲取業務量特征，信息長度以及信息源和目的地等信息。

業務流分析保護服務可以通過加密機制，偽裝業務流機制，路由控制機制實現。數據完整性保護。數據完整性保護服務的作用是保護存儲和傳輸中的數據不被刪除，更改，插入和重復，必要時該服務也可以包含一定的恢復功能。

數據完整性保護服務可以通過加密機制，數字簽名機制以及數據完整性機制實現。

簽字。簽字服務通過數字簽名機制及公證機制實現，作用在于避免通信雙方對信息的來源發生爭議。

篇10

關鍵詞：企業；計算機網絡；病毒；安全；策略

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9599 （2013） 01-0107-02

伴隨著計算機網絡的迅速發展以及經濟的全球化的進程，眾多的企業都紛紛利用互聯網建立本企業的信息網絡系統，便于信息和資源的共享，但由于計算機網絡具有終端分布的不均勻性，聯接形式的多樣性以及網絡的開放性，導致網絡容易受到病毒、惡意軟件、黑客等其它不軌行為的攻擊，致使計算機網絡系統安全問題越發的突出，也受到企業越來越多的重視！網絡系統的安全不僅與企業的正常運行及企業網絡安全管理有重要的作用，甚至會影響到一個企業的競爭力。

1 企業計算機網絡系統安全的概述

所謂的計算機網絡系統安全是指企業利用網絡管理系統對整個公司的網絡運行環境進行控制，保證其正常運行并且數據的秘密性能夠得到合理的保護。一般的計算機網絡系統安全包括網絡邏輯安全和網絡物理安全等兩個方面。其中所謂的邏輯安全是指確保整個企業的信息和數據都能夠完整而且安全，其中所謂的物理安全指的是企業的所有設施和設備都能夠得到很好地保存和維護。

2 影響企業計算機網絡系統安全的因素

影響影響企業計算機網絡系統安全有很多因素，此處主要歸納為內部安全威脅和外部安全威脅兩個方面。

2.1 內部安全威脅

所謂的內部安全是指在企業內部范圍之內的一些安全威脅，包括硬件故障、員工的操作失誤、內部網絡攻擊。

（1）硬件故障。一個企業的網絡設備和設施主要為計算機以及交換機、路由器、傳輸設備等，其中計算機的硬盤主要有硬盤、顯卡、顯示器、內存、主板、網卡、電源等，其中任何一個硬件發生了微小的故障都會導致整個系統出現問題，嚴重的將會導致企業的重要信息和數據丟失或者外漏，甚至整個網絡系統都不能正常運行，整個企業的正常工作受到影響。

（2）員工的操作不當。由于機器都是人進行操作的，是人都會犯錯，都回存在懶惰以及粗心大意的情況，尤其是在操作員對于設備的使用和業務都不太熟練的情況下，他們的操作更容易造成數據的丟失和網絡設備的損壞，如果誤將硬盤進行格式化將會導致所有數據丟失。甚至有的時候企業員工為了報復領導的不公或者冷漠，會對企業的一些機密文件資料進行故意的竊取或者破壞。

（3）內部網絡攻擊。內部網絡攻擊，還是指企業的內部員工為了一己私利對于企業的計算機網絡系統進行破壞。

2.2 外部安全威脅

（1）自然災害或其他非法攻擊。外部安全威脅是指企業的計算機信息網絡系統，因為自然災害或者非法攻擊造成系統安全風險。常見外部風險：火災、水災、其他自然災害以及盜竊等人為的破壞，這是引起信息系統損失的一個原因，對硬件系統構成潛在的安全風險。

（2）黑客攻擊。黑客通過網絡非法入侵計算機信息系統，這是目前計算機網絡所面臨的一個很大威脅。黑客攻擊的主要目的要么是為了截取競爭企業的保密信息，要么為了摧毀競爭企業的實力，對其信息進行破壞，讓其寶貴數據丟失。

（3）病毒感染。任何事物都會存在漏洞或者瑕疵，互聯網作為一個虛擬的網絡系統也存在一些漏洞，這個時候木馬就會對互聯網進行攻擊，導致互聯網上的數據丟失或者系統癱瘓。一般狀況下，企業的計算機只要接入網絡，在計算機的運行過程中就有病毒對產生威脅的可能。病毒感染網絡的途徑有很多，計算機網絡或者電腦的U盤都可以進行傳播病毒，計算機病毒不僅對計算機系統安全影響大，而且傳播速度很快。一旦電腦的文件被病毒感染之后就很難清除，并不是文件刪除了病毒就沒了。

3 企業計算機網絡系統安全問題的部分解決措施

主要的企業計算機網絡系統安全問題的部分解決措施主要是依據上述的對企業計算機網絡安全造成不利影響的因素提出來的，主要的解決措施包括內部安全防范措施和外部安全防范措施。

3.1 內部安全的防御措施

在上面的分析中，可以知道來自企業的內部計算機網絡安全威脅并不小于外部的網絡安全，甚至過之而無不及，所以企業的計算機網絡安全系統要想得到很好地保護，首先要將責任分配到個人，每一個設備和設施都能找到對應的負責人，設備要避免身份不明的人進入，這樣企業內部人員在操作時警惕性就高，操作失誤就少，更不敢因為不滿將設備破壞。

然后企業要建立完善的設備網絡維護制度，要求使用者對于設備要進行不定期的檢查和維護，實時掌握設備的運行環境和運行情況。即使計算機系統運行正常，也要對計算機系統和設備進行定期的維護，從而保證計算機系統在一個良好的兼容環境下運行。加強計算機用戶的網絡安全保護意識，日常工作和生活中要不斷提升企業管理者和員工的網絡安全重要性意識，處處宣傳計算機網絡安全的重要性。企業對于常見的網絡故障和重點數據要建立網絡安全日志，企業的內部操作人員在查看這些日志的時候就能掌握企業網絡系統中經常出現的問題，以及哪些薄弱環節要重點預防。

3.2 外部安全的防御措施

（1）防火墻與IDS（入侵檢測系統）。防火墻主要限制非法訪問攻擊，同時能夠及時地對網絡的相關規定進行防御，一般防火墻的等級越高，對于一些安全系數要求高的部門的網絡，防火墻的等級可以高一些，在出口處設置防火墻，避免Internet或者非本企業用戶攻擊企業網，同時不要將這些部門的網絡系統和整個大的企業網絡系統連接在一起，防止企業內部員工的攻擊。然后IDS能夠和防火墻進行很好地配合，對于抵抗一些網絡攻擊的效果非常好，所以企業網絡系統內IDS是必不可缺的。

（2）對黑客的防御。1）應用技術。該技術主要是指在能夠和最終的數據聯系上的應用層上，對數據進行數據監測，該監測是整個OSI模型的最高級別的檢測。這個時候整個防火墻的線路都是透明的，在外界數據進入到企業的網絡客戶端的時候，網絡協議就會對這些數據進行檢查，查看這些外來的數據是否安全。2）包過濾技術。該技術是使用比較早的一種技術，它主要是為各種基于TCP/IP協議數據報文出進的通道，現在使用的大多是動態過濾技術，該技術與靜態過濾不同的是，它增添了傳輸層。動態過濾技術是先對信息進行處理分析，然后用預置防火墻過濾規則進行校核，加入發現某個包有問題就會被阻止。

（3）對病毒的防御。學會巧用主動型防御技術防范病毒的入侵。計算機系統應安裝正規的殺毒軟件，并及時進行更新。同時對每臺電腦使用常用口令來控制對系統資源的訪問，每一臺電腦都有自己的口令，外人甚至是同事都不知道口令，這樣就可以很好地防御病毒，終端操作和網絡管理人員可以根據自己的職責權限，使用不同的口令。避免用戶越機訪問數據以及使用網絡資源，并且操作員應定期變更一次口令，爭取將病毒在在網絡前端就得到殺除。

總的來說，在企業計算機網絡系統運行中，計算機網絡系統安全問題不但要注意從網絡安全保障中進行防護，同時注意提高對應的計算機網絡系統的安全，遠離網絡病毒，防止計算機網絡系統運行安全問題的發生。

參考文獻：

[1]何敏.企業計算機網絡的安全問題及解決方案[J].江西冶金，2006（6）.

[2]朱麗娜，李燦平，朱東昭.一種新的網絡安全系統模型[J].計算機工程，2004，30（8）：144-167.