導(dǎo)語：如何才能寫好一篇企業(yè)網(wǎng)絡(luò)安全建設(shè)，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：等級防護；電力企業(yè)；網(wǎng)絡(luò)安全建設(shè)

中圖分類號： F407 文獻標識碼： A 文章編號：

引言

信息化是一把“雙刃劍”，在提高企業(yè)工作效率、管理水平以及整體競爭能力的同時，也給企業(yè)帶來了一定的安全風(fēng)險，并且伴隨著企業(yè)信息化水平的提高而逐漸增長。因此，提升企業(yè)的信息系統(tǒng)安全防護能力，使其滿足國家等級保護的規(guī)范性要求，已經(jīng)成為現(xiàn)階段信息化工作的首要任務(wù)。對于電力企業(yè)的信息系統(tǒng)安全防護工作而言，應(yīng)等級保護要求，將信息管理網(wǎng)絡(luò)劃分為信息內(nèi)網(wǎng)與信息外網(wǎng)，并根據(jù)業(yè)務(wù)的重要性劃分出相應(yīng)的二級保護系統(tǒng)與三級保護系統(tǒng)，對三級系統(tǒng)獨立成域，其余二級系統(tǒng)統(tǒng)一成域，并從邊界安全、主機安全、網(wǎng)絡(luò)安全、應(yīng)用安全等方面對不同的安全域?qū)Ψ雷o要求進行明確劃分。

1現(xiàn)階段電力企業(yè)網(wǎng)絡(luò)風(fēng)險分析

1.1服務(wù)器區(qū)域缺少安全防護措施

大部分電力企業(yè)的服務(wù)器都是直接接入本單位的核心交換機，然而各網(wǎng)段網(wǎng)關(guān)都在核心交換機上，未能對服務(wù)器區(qū)域采取有效的安全防護措施。

1.2服務(wù)器區(qū)域和桌面終端區(qū)域之間的劃分不明確

因服務(wù)器和桌面終端的網(wǎng)關(guān)都在核心交換機上，不能實現(xiàn)對于域的有效劃分。

1.3網(wǎng)絡(luò)安全建設(shè)缺乏規(guī)劃

就現(xiàn)階段的電力企業(yè)網(wǎng)絡(luò)安全建設(shè)而言，普遍存在著缺乏整體安全設(shè)計與規(guī)劃的現(xiàn)狀，使整個網(wǎng)絡(luò)系統(tǒng)成為了若干個安全產(chǎn)品的堆砌物，從而使各個產(chǎn)品之間失去了相應(yīng)的聯(lián)動，不僅在很大程度上降低了網(wǎng)絡(luò)的運營效率，還增加了網(wǎng)絡(luò)的復(fù)雜程度與維護難度。

1.4系統(tǒng)策略配置有待加強

在信息網(wǎng)絡(luò)中使用的操作系統(tǒng)大都含有相應(yīng)的安全機制、用戶與目錄權(quán)限設(shè)置以及適當?shù)陌踩呗韵到y(tǒng)等，但在實際的網(wǎng)絡(luò)安裝調(diào)試過程中，往往只使用最寬松的配置，然而對于安全保密來說卻恰恰相反，要想確保系統(tǒng)的安全，必須遵循最小化原則，沒有必要的策略在網(wǎng)絡(luò)中一律不配置，即使有必要的，也應(yīng)對其進行嚴格限制。

1.5缺乏相應(yīng)的安全管理機制

對于一個好的電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)而言，安全與管理始終是分不開的。如果只有好的安全設(shè)備與系統(tǒng)而沒有完善的安全管理體系來確保安全管理方法的順利實施，很難實現(xiàn)電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全運營。對于安全管理工作而言，其目的就是確保網(wǎng)絡(luò)的安全穩(wěn)定運行，并且其自身應(yīng)該具有良好的自我修復(fù)性，一旦發(fā)生黑客事件，能夠在最大程度上挽回損失。因此，在現(xiàn)階段的企業(yè)網(wǎng)絡(luò)安全建設(shè)工作過程中，應(yīng)當制訂出完善的安全檢測、人員管理、口令管理、策略管理、日志管理等管理方法。

2等級保護要求下電力企業(yè)網(wǎng)絡(luò)安全建設(shè)防護的具體措施

2.1突出保護重點

對于電力企業(yè)而言，其投入到信息網(wǎng)絡(luò)安全上的資源是一定的。從另外一種意義上講，當一些設(shè)備存在相應(yīng)的安全隱患或者發(fā)生破壞之后，其所產(chǎn)生的后果并不嚴重，如果投入和其一樣重要的信息資源來保護它，顯然不滿足科學(xué)性的要求。因此，在保護工作過程中，應(yīng)對需要保護的信息資產(chǎn)進行詳細梳理，以企業(yè)的整體利益為出發(fā)點，確定出重要的信息資產(chǎn)或系統(tǒng)，然后將有限的資源投入到對于這些重要信息資源的保護當中，在這些重要信息資源得到有效保護的同時，還可以使工作效率得到很大程度的提高。

2.2貫徹實施3層防護方案

在企業(yè)網(wǎng)絡(luò)安全建設(shè)過程中，應(yīng)充分結(jié)合電力企業(yè)自身網(wǎng)絡(luò)化特點，積極貫徹落實安全域劃分、邊界安全防護、網(wǎng)絡(luò)環(huán)境安全防護的3層防護設(shè)計方案。在安全防護框架的基礎(chǔ)上，實行分級、分域與分層防護的總體策略，以充分實現(xiàn)國家等級防護的基本要求。

(1)分區(qū)分域。統(tǒng)一對直屬單位的安全域進行劃分，以充分實現(xiàn)對于不同安全等級、不同業(yè)務(wù)類型的獨立化與差異化防護。

(2)等級防護。遵循“二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立成域”的劃分原則，并根據(jù)信息系統(tǒng)的定級情況，進行等級安全防護策略的具體設(shè)計。

(3)多層防護。在此項工作的開展過程中，應(yīng)從邊界、網(wǎng)絡(luò)環(huán)境等多個方面進行安全防護策略的設(shè)計工作。

2.3加強安全域劃分

安全域是指在同一環(huán)境內(nèi)具有一致安全防護需求、相互信任且具有相同安全訪問控制與邊界控制的系統(tǒng)。加強對于安全域的劃分，可以實現(xiàn)以下目標：

(1)實現(xiàn)對復(fù)雜問題的分解。對于信息系統(tǒng)的安全域劃分而言，其目的是將一個復(fù)雜的安全問題分解成一定數(shù)量小區(qū)域的安全防護問題。安全區(qū)域劃分可以有效實現(xiàn)對于復(fù)雜系統(tǒng)的安全等級防護，是實現(xiàn)重點防護、分級防護的戰(zhàn)略防御理念。

(2)實現(xiàn)對于不同系統(tǒng)的差異防護。基礎(chǔ)網(wǎng)絡(luò)服務(wù)、業(yè)務(wù)應(yīng)用、日常辦公終端之間都存在著一定的差異，并且能夠根據(jù)不同的安全防護需求，實現(xiàn)對于不同特性系統(tǒng)的歸類劃分，從而明確各域邊界，對相應(yīng)的防護措施進行分別考慮。

(3)有效防止安全問題的擴散。進行安全區(qū)域劃分，可以將其安全問題限定在其所在的安全域內(nèi)，從而有效阻止其向其他安全域的擴散。在此項工作的開展過程中，還應(yīng)充分遵循區(qū)域劃分的原則，將直屬單位的網(wǎng)絡(luò)系統(tǒng)統(tǒng)一劃分為相應(yīng)的二級服務(wù)器域與桌面終端域，并對其分別進行安全防護管理。在二級系統(tǒng)服務(wù)器域與桌面域間，采取橫向域間的安全防護措施，以實現(xiàn)域間的安全防護。

2.4加強對于網(wǎng)絡(luò)邊界安全的防護

對于電力企業(yè)的網(wǎng)絡(luò)邊界安全防護工作而言，其目的是使邊界避免來自外部的攻擊，并有效防止內(nèi)部人員對外界進行攻擊。在安全事件發(fā)生之前，能夠通過對安全日志與入侵事件的分析，來發(fā)現(xiàn)攻擊企圖，在事件發(fā)生之后可以通過對入侵事件記錄的分析來進行相應(yīng)的審查追蹤。

(1)加強對于縱向邊界的防護。在網(wǎng)絡(luò)出口與上級單位連接處設(shè)立防火墻，以實現(xiàn)對于網(wǎng)絡(luò)邊界安全的防護。

(2)加強對于域間橫向邊界的防護。此項防護是針對各安全區(qū)域通信數(shù)據(jù)流傳輸保護所制定出的安全防護措施。在該項工作的開展過程中，應(yīng)根據(jù)網(wǎng)絡(luò)邊界的數(shù)據(jù)流制定出相應(yīng)的訪問控制矩陣，并依此在邊界網(wǎng)絡(luò)訪問控制設(shè)備上設(shè)定相應(yīng)的訪問控制規(guī)則。

2.5加強對于網(wǎng)絡(luò)環(huán)境的安全防護

(1)加強邊界入侵檢測。以網(wǎng)絡(luò)嗅探的方式可以截獲通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，并通過相應(yīng)的特征分析、異常統(tǒng)計分析等方法，及時發(fā)現(xiàn)并處理網(wǎng)絡(luò)攻擊與異常安全事件。在此過程中，設(shè)置相應(yīng)的入侵檢測系統(tǒng)，能夠及時發(fā)現(xiàn)病毒、蠕蟲、惡意代碼攻擊等威脅，能夠有效提高處理安全問題的效率，從而為安全問題的取證提供有力依據(jù)。

(2)強化網(wǎng)絡(luò)設(shè)備安全加固。安全加固是指在確保業(yè)務(wù)處理正常進行的情況下，對初始配置進行相應(yīng)的優(yōu)化，從而提高網(wǎng)絡(luò)系統(tǒng)的自身抗攻擊性。因此，在經(jīng)過相應(yīng)的安全評估之后，應(yīng)及時發(fā)現(xiàn)其中隱藏的安全問題，對重要的網(wǎng)絡(luò)設(shè)備進行必要的安全加固。

(3)強化日志審計配置。在此項工作的開展過程中，應(yīng)根據(jù)國家二級等級保護要求，對服務(wù)器、安全設(shè)備、網(wǎng)絡(luò)設(shè)備等開啟審計功能，并對這些設(shè)備進行日志的集中搜索，對事件進行定期分析，以有效實現(xiàn)對于信息系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備的日志記錄與分析工作。

結(jié)語

綜上所述，對于現(xiàn)階段電力企業(yè)信息網(wǎng)絡(luò)而言，網(wǎng)絡(luò)安全建設(shè)是一個綜合性的課題，涉及到技術(shù)、使用、管理等許多方面，并受到諸多因素的影響。在電力企業(yè)網(wǎng)絡(luò)安全建設(shè)過程中，應(yīng)加強對于安全防護管理體系的完善與創(chuàng)新，以嚴格的管理制度與高素質(zhì)管理人才，實現(xiàn)對于信息系統(tǒng)的精細化、準確化管理，從而切實促進企業(yè)網(wǎng)絡(luò)安全建設(shè)的健康、穩(wěn)步發(fā)展。

參考文獻：

[1]張蓓，馮梅，靖小偉，劉明新.基于安全域的企業(yè)網(wǎng)絡(luò)安全防護體系研究[J].計算機安全,2010(4).

篇2

現(xiàn)在企業(yè)很多商業(yè)業(yè)務(wù)、商業(yè)活動和財務(wù)管理系統(tǒng)協(xié)同工作等，都需要借助計算機網(wǎng)絡(luò)進行。如果沒有網(wǎng)絡(luò)安全性的保障，就會發(fā)生系統(tǒng)延遲、拒絕服務(wù)、程序錯誤、數(shù)據(jù)篡改等現(xiàn)象，甚至很多情況下會發(fā)生木馬病毒的侵蝕。過去企業(yè)數(shù)據(jù)是以文本文件的形式存在，雖然處理和操作不具有便捷性，但是能夠起到保密性和可靠性的作用。計算機網(wǎng)絡(luò)時代財務(wù)數(shù)據(jù)流能夠?qū)崿F(xiàn)財務(wù)數(shù)據(jù)的快速傳遞，但是在數(shù)據(jù)傳輸?shù)倪^程中安全性難以得到有效的保障。所以在企業(yè)數(shù)據(jù)信息管理的過程中需要有保密性和可靠性的保障，維護企業(yè)的商業(yè)機密。其次，網(wǎng)絡(luò)交易渠道容易發(fā)生數(shù)據(jù)信息丟失或損壞，交易雙方的信息結(jié)果發(fā)生差異的現(xiàn)象時有發(fā)生，嚴重影響了企業(yè)數(shù)據(jù)的精準性。所以企業(yè)急需完整性的交易信息憑證，避免交易信息的篡改或者刪除，保證交易雙方數(shù)據(jù)的一致性[1]。

2企業(yè)網(wǎng)絡(luò)面臨的安全風(fēng)險

2.1物理安全風(fēng)險

近年來，很多現(xiàn)代化企業(yè)加大信息建設(shè)，一些下屬公司的網(wǎng)絡(luò)接入企業(yè)總網(wǎng)絡(luò)，企業(yè)網(wǎng)路物理層邊界限制模糊，而電子商務(wù)的業(yè)務(wù)發(fā)展需求要求企業(yè)網(wǎng)絡(luò)具有共享性，能夠在一定權(quán)限下實現(xiàn)網(wǎng)絡(luò)交易，這也使得企業(yè)內(nèi)部網(wǎng)絡(luò)邊界成為一個邏輯邊界，防火墻在網(wǎng)絡(luò)邊界上的設(shè)置受到很多限制，影響了防火墻的安全防護作用。

2.2入侵審計和防御體系不完善

隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)攻擊、計算機病毒不斷變化，其破壞力強、速度快、形式多樣、難以防范，嚴重威脅企業(yè)網(wǎng)絡(luò)安全。當前，很多企業(yè)缺乏完善的入侵審計和防御體系，企業(yè)網(wǎng)絡(luò)的主動防御和智能分析能力明顯不足，檢查監(jiān)控效率低，缺乏一致性的安全防護規(guī)范，安全策略落實不到位。

2.3管理安全的風(fēng)險

企業(yè)網(wǎng)絡(luò)與信息的安全需要有效的安全管理措施作為制度體系保障，但是企業(yè)經(jīng)常由于管理的疏忽，造成嚴重的網(wǎng)絡(luò)信息安全風(fēng)險。具體管理安全的風(fēng)險主要表現(xiàn)在以下幾個方面：企業(yè)沒有健全和完善的網(wǎng)絡(luò)安全管理制度，難以落實安全追責(zé)；技術(shù)人員的操作技術(shù)能力缺陷，導(dǎo)致操作混亂；缺乏網(wǎng)絡(luò)信息安全管理的意識，沒有健全的網(wǎng)絡(luò)信息安全培訓(xùn)體系等。

3構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護體系

3.1加強規(guī)劃、預(yù)防和動態(tài)管理

首先，企業(yè)需要建立完善的網(wǎng)絡(luò)信息安全防護體系，保證各項安全措施都能夠滿足國家信息安全的標準和要求。對自身潛在的信息安全風(fēng)險進行統(tǒng)籌規(guī)劃，針對性的展開安全防護系統(tǒng)的設(shè)計。其次，企業(yè)應(yīng)該加強對安全防護系統(tǒng)建設(shè)的資金投入，建立適合自己網(wǎng)絡(luò)信息應(yīng)用需求的防護體系，并且定期進行安全系統(tǒng)的維護和升級。最后，加強預(yù)防與動態(tài)化的管理，要制定安全風(fēng)險處理的應(yīng)急預(yù)案，有效降低網(wǎng)絡(luò)信息安全事故的發(fā)生。并且根據(jù)網(wǎng)絡(luò)信息動態(tài)的變化，采取動態(tài)化的管理措施，將網(wǎng)絡(luò)與信息安全風(fēng)險控制在可接受的范圍。

3.2合理劃分安全域

現(xiàn)代化企業(yè)網(wǎng)絡(luò)可以按照系統(tǒng)行為、安全防護等級和業(yè)務(wù)系統(tǒng)這三種方式來劃分安全域。由于企業(yè)網(wǎng)絡(luò)在不同區(qū)域和不同層次關(guān)注的內(nèi)容不同，因此在劃分企業(yè)網(wǎng)絡(luò)安全域時，應(yīng)結(jié)合業(yè)務(wù)屬性和網(wǎng)絡(luò)管理，不僅要確保企業(yè)正常的生產(chǎn)運營，還應(yīng)考慮網(wǎng)絡(luò)安全域劃分是否合理。針對這個問題，企業(yè)網(wǎng)絡(luò)安全域劃分不能僅應(yīng)用一種劃分方式，應(yīng)綜合應(yīng)用多種方式，充分發(fā)揮不同方式的優(yōu)勢，結(jié)合企業(yè)網(wǎng)絡(luò)管理要求和網(wǎng)絡(luò)業(yè)務(wù)需求，有針對性地進行企業(yè)網(wǎng)絡(luò)安全域劃分。

首先，根據(jù)業(yè)務(wù)需求，可以將企業(yè)網(wǎng)絡(luò)分為兩部分：外網(wǎng)和內(nèi)網(wǎng)。由于互聯(lián)網(wǎng)出口全部位于外網(wǎng)，企業(yè)網(wǎng)絡(luò)可以在外網(wǎng)用戶端和內(nèi)網(wǎng)之間設(shè)置隔離，使外網(wǎng)服務(wù)和內(nèi)網(wǎng)服務(wù)分離，隔離各種安全威脅，確保企業(yè)內(nèi)網(wǎng)業(yè)務(wù)的安全性。其次，按照企業(yè)業(yè)務(wù)系統(tǒng)方式，分別劃分外網(wǎng)和內(nèi)網(wǎng)安全域，企業(yè)外網(wǎng)可以分為員工公寓網(wǎng)絡(luò)、項目網(wǎng)絡(luò)、對外服務(wù)網(wǎng)絡(luò)等子網(wǎng)，內(nèi)網(wǎng)可以分為辦公網(wǎng)、生產(chǎn)網(wǎng)，其中再細分出材料采購網(wǎng)、保管網(wǎng)、辦公管理網(wǎng)等子網(wǎng)，通過合理劃分安全域，確定明確的網(wǎng)絡(luò)邊界，明確安全防護范圍和對象目標。最后，按照網(wǎng)絡(luò)安全防護等級和系統(tǒng)行為，細分各個子網(wǎng)的安全域，劃分出基礎(chǔ)保障域、服務(wù)集中域和邊界接入域?；A(chǔ)保障域主要用來防護網(wǎng)絡(luò)系統(tǒng)管理控制中心、軟件和各種安全設(shè)備，服務(wù)集中域主要用于防護企業(yè)網(wǎng)絡(luò)的信息系統(tǒng)，包括信息系統(tǒng)內(nèi)部和系統(tǒng)之間的數(shù)據(jù)防護，并且按照不同的等級保護要求，可以采用分級防護措施，邊界接入域主要設(shè)置在企業(yè)網(wǎng)絡(luò)信息系統(tǒng)和其他系統(tǒng)之間的邊界上。

3.3信息安全技術(shù)的應(yīng)用

（1）防火墻技術(shù)

防火墻主要的作用是對不安全的服務(wù)進行過濾和攔截，對企業(yè)網(wǎng)絡(luò)的信息加強訪問限制，提高網(wǎng)絡(luò)安全防護。例如，企業(yè)的信息數(shù)據(jù)庫只能在企業(yè)內(nèi)部局域網(wǎng)網(wǎng)絡(luò)的覆蓋下才能瀏覽操作，域外訪問操作會被禁止。并且防火墻可以有效記錄使用過的統(tǒng)計數(shù)據(jù)，對可能存在的攻擊、侵入行為精心預(yù)測預(yù)警，最大限度地保障了企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全。隨著業(yè)務(wù)模式的不斷發(fā)展，簡單的業(yè)務(wù)（端口）封堵已經(jīng)不能適應(yīng)動態(tài)的業(yè)務(wù)需要，需要采用基于內(nèi)容的深度檢測技術(shù)對區(qū)域間的業(yè)務(wù)流進行過濾。并借助于大數(shù)據(jù)分析能力對異常業(yè)務(wù)流進行智能分析判斷。

（2）終端準入防御技術(shù)

終端準入防御技術(shù)主要是以用戶終端作為切入點，對網(wǎng)絡(luò)的接入進行控制，利用安全服務(wù)器、安全網(wǎng)絡(luò)設(shè)備等聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，實時掌控用戶端的網(wǎng)絡(luò)信息操作行為，提高用戶端的風(fēng)險主動防御能力。

4結(jié)束語

綜上所述，計算機網(wǎng)絡(luò)有效提高了企業(yè)業(yè)務(wù)工作的效率，實現(xiàn)企業(yè)計算機網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)分類、整理、資源的共享。但是，系統(tǒng)數(shù)據(jù)的保密、安全方面還存在技術(shù)上的一些欠缺，經(jīng)常會發(fā)生數(shù)據(jù)被非法侵入和截取的現(xiàn)象，造成了嚴重的數(shù)據(jù)安全風(fēng)險。企業(yè)應(yīng)該科學(xué)分析網(wǎng)絡(luò)與信息安全風(fēng)險類型，加強規(guī)劃、預(yù)防利用防火墻技術(shù)、終端準入防御技術(shù)等，提高企業(yè)網(wǎng)絡(luò)與信息安全防護效率。

參考文獻

[1]戴華秀.移動互聯(lián)網(wǎng)時代信息安全應(yīng)對策略分析[J].科技與創(chuàng)新，2016，（1）：36.

篇3

隨著近年來信息化的快速推進，供電企業(yè)網(wǎng)絡(luò)信息系統(tǒng)與Internet的交互日益頻繁，基于Internet的業(yè)務(wù)呈不斷增長態(tài)勢。電力行業(yè)作為國民經(jīng)濟的重要組成部分，已經(jīng)在人們的正常生活中不可缺少。電力系統(tǒng)的是否安全可靠，關(guān)系著國民經(jīng)濟的發(fā)展，更影響著人們的日常生活。然而電力企業(yè)信息網(wǎng)絡(luò)的發(fā)展還不健全，尚存在很多安全問題。這些問題正是黑客和病毒入侵的目標?？h級供電企業(yè)是整個電力企業(yè)的基本單位，只有保證縣級供電企業(yè)信息網(wǎng)絡(luò)的安全，才能使整個電力行業(yè)正常的運行，因此對其信息網(wǎng)絡(luò)安全的研究受到越來越多的關(guān)注。

2 信息網(wǎng)絡(luò)安全概述

信息網(wǎng)絡(luò)安全是指運用各種相關(guān)技術(shù)和管理，使網(wǎng)絡(luò)信息不受危害和威脅，保證信息的安全。由于計算機網(wǎng)絡(luò)在建立時就存在缺陷，本身具有局限性，使其網(wǎng)絡(luò)系統(tǒng)的硬件和軟件資源都有可能遭到破壞和入侵，嚴重時甚至可能引起整個系統(tǒng)的癱瘓，以至于造成巨大的損失。相對于外界的破壞，自身的防守時非常艱巨的，必須保證每個軟件、每一項服務(wù)，甚至每個細節(jié)都要安全可靠。因此要對網(wǎng)絡(luò)安全進行細致的研究，下面介紹其特征：

2.1 完整性

主要是指數(shù)據(jù)的完整性。數(shù)據(jù)信息在未經(jīng)許可的情況下不能進行任何修改。

2.2 保密性

未經(jīng)授權(quán)的用戶不能使用該數(shù)據(jù)。

2.3 可用性

被授權(quán)的用戶可以根據(jù)自己的需求使用該數(shù)據(jù)，不能阻礙其合法使用。

2.4 可控性

系統(tǒng)要能控制能夠訪問數(shù)據(jù)的用戶，可以被訪問的數(shù)據(jù)以及訪問方式，并記錄所有用戶在系統(tǒng)內(nèi)的網(wǎng)絡(luò)活動。

3 信息網(wǎng)絡(luò)系統(tǒng)安全存在的問題

3.1 系統(tǒng)設(shè)備和軟件存在漏洞

網(wǎng)絡(luò)系統(tǒng)的發(fā)展時間很短，因此其操作系統(tǒng)、協(xié)議和數(shù)據(jù)庫都存在漏洞，這些漏洞變成為黑客和病毒入侵的通道；存儲介質(zhì)受到破壞，使系統(tǒng)中的信息數(shù)據(jù)丟失和泄漏；系統(tǒng)不進行及時的修補，采用較弱的口令和訪問限制。這些都是導(dǎo)致信息網(wǎng)絡(luò)不安全的因素。網(wǎng)絡(luò)是開放性的，因此非常容易受到外界的攻擊和入侵，入侵者便是通過運用相關(guān)工具掃描系統(tǒng)和網(wǎng)絡(luò)中的漏洞，通過這些漏洞進行攻擊，致使網(wǎng)絡(luò)受到危害，資料泄露。

3.2 制度不完善

目前對于信息網(wǎng)絡(luò)的建立，數(shù)據(jù)的使用以及用戶的訪問沒有完善的規(guī)章制度，這也導(dǎo)致了各個縣級供電企業(yè)信息網(wǎng)絡(luò)系統(tǒng)之間的不統(tǒng)一，在數(shù)據(jù)傳輸和利用上受到限制。同時在目前已經(jīng)確立的信息網(wǎng)絡(luò)安全的防護規(guī)章制度的執(zhí)行上，企業(yè)也不能嚴格的執(zhí)行。

4 提高網(wǎng)絡(luò)安全方法

4.1 網(wǎng)絡(luò)安全策略

信息網(wǎng)絡(luò)是一個龐大的系統(tǒng)，包括系統(tǒng)設(shè)備和軟件的建立、數(shù)據(jù)的維護和更新、對外界攻擊的修復(fù)等很多方面，必須各個細節(jié)都要保證安全，沒有漏洞。然而很多供電企業(yè)，尤其是縣級企業(yè)并沒有對其引起足夠的重視，只是被動地進行防護。整體的安全管理水平很低，沒有完備的網(wǎng)絡(luò)安全策略和規(guī)劃。因此要想實現(xiàn)信息網(wǎng)絡(luò)的安全，首先需要制定一個全面可行的安全策略以及相應(yīng)的實施過程。

4.2 提高網(wǎng)絡(luò)安全技術(shù)人員技術(shù)水平

信息網(wǎng)絡(luò)的運行涉及很多方面，其安全防護只是其中一部分，因此在網(wǎng)絡(luò)安全部分要建立專業(yè)的安全技術(shù)隊伍。信息網(wǎng)絡(luò)中的一些系統(tǒng)和應(yīng)用程序更新速度不一致，也會造成網(wǎng)絡(luò)的不安全。一般企業(yè)的網(wǎng)絡(luò)管理員要兼顧軟硬件的維護和開發(fā)，有時會顧此失彼，因此要建立更專業(yè)的安全技術(shù)隊伍，使信息網(wǎng)絡(luò)的工作各有分工，實現(xiàn)專業(yè)性，提升整體網(wǎng)絡(luò)安全技術(shù)水平，提高工作效率。

4.3 完備的數(shù)據(jù)備份

當信息網(wǎng)絡(luò)受到嚴重破壞時，備份數(shù)據(jù)便發(fā)揮了作用。不論網(wǎng)絡(luò)系統(tǒng)建立的多完善，安全措施做得多到位，保留完備的備份數(shù)據(jù)都是有備無患。進行數(shù)據(jù)備份，首先要制定全面的備份計劃，包括網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)信息備份、備份數(shù)據(jù)的修改和責(zé)任人等。備份時要嚴格按照計劃進行實施。還要定期的檢查備份數(shù)據(jù)，保證數(shù)據(jù)的完整性和實時性。同時網(wǎng)絡(luò)管理人員的數(shù)據(jù)備份和恢復(fù)技術(shù)的操作要很熟練，這樣才能保障備份數(shù)據(jù)的有效性。

4.4 加強防病毒

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)病毒也越來越多，這些病毒都會對信息網(wǎng)絡(luò)造成或多或少的危害。防病毒不僅需要應(yīng)用專業(yè)可靠的防毒體系，還要建立防火墻，屏蔽非法的數(shù)據(jù)包。

對于防毒，在不同的硬件上要安裝相應(yīng)的防毒程序。例如工作站上應(yīng)該安裝單機的防毒程序；主機上則安裝主機防毒程序；網(wǎng)關(guān)上安裝防病毒墻；而這些不同的防毒程序的升級可以通過設(shè)立防毒控制中心，統(tǒng)一管理，由中心將升級包發(fā)給各個機器，完成整個網(wǎng)絡(luò)防毒系統(tǒng)的升級。這樣有針對性的防毒程序能更有效的進行病毒防護。

防火墻可以通過檢測和過濾，阻斷外來的非法攻擊。防火墻的形式包括硬件、軟件式和內(nèi)嵌式三種。內(nèi)嵌式防火墻需要與操作系統(tǒng)結(jié)合，性能較高，應(yīng)用較為廣泛。

5 具體措施

5.1 增強管理安全

在網(wǎng)絡(luò)安全中管理是最重要的，如果安全管理制度不完善，就會導(dǎo)致正常的網(wǎng)絡(luò)安全工作不能有序?qū)嵤?。信息網(wǎng)絡(luò)的管理包括對網(wǎng)絡(luò)的定期檢查、實時監(jiān)控以及出現(xiàn)故障時及時報告等。為了達到管理安全，首先，要制定完整詳細的供電企業(yè)信息網(wǎng)絡(luò)安全制度，并嚴格實施；其次，對用戶的網(wǎng)絡(luò)活動做記錄并保存網(wǎng)絡(luò)日志，以便對外部的攻擊行為和違法操作進行追蹤定位；還應(yīng)制定應(yīng)急方案，在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障和攻擊時及時采取措施。

5.2 網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段技術(shù)是指在網(wǎng)絡(luò)中傳輸?shù)男畔ⅲ梢员惶幵谟靡跃W(wǎng)絡(luò)平臺上其他節(jié)點的計算機截取的技術(shù)。采用這種技術(shù)可以限制用戶的非法訪問。比如，黑客通過網(wǎng)絡(luò)上的一個節(jié)點竊取該網(wǎng)絡(luò)上的數(shù)據(jù)信息，如果沒有任何限制，便能獲得所有的數(shù)據(jù)，而網(wǎng)絡(luò)分段技術(shù)則可以在這時，將黑客與網(wǎng)絡(luò)上的數(shù)據(jù)隔離，限制其非法訪問，進而保護了信息網(wǎng)絡(luò)的安全。

5.3 數(shù)據(jù)備份

重要數(shù)據(jù)的備份是網(wǎng)絡(luò)安全的重要工作。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，備份工作也必須要與之一致，保證實時性和完整性，才能在出現(xiàn)緊急問題時發(fā)揮其應(yīng)有的作用，恢復(fù)數(shù)據(jù)信息。整個龐大的信息網(wǎng)絡(luò)，備份的數(shù)據(jù)量也是很大的，要避免或減少不必要的備份；備份的時間也要恰當?shù)剡x擇，盡量不影響用戶的使用；同時備份數(shù)據(jù)的存儲介質(zhì)要選擇適當。

5.4 病毒檢測和防范

檢測也是信息安全中的一個重要環(huán)節(jié)。通過應(yīng)用專業(yè)的檢測工具，對網(wǎng)絡(luò)進行不斷地檢測，能夠及時的發(fā)現(xiàn)漏洞和病毒，在最短時間內(nèi)采取相應(yīng)的措施。

病毒防范技術(shù)有很多，可以先分析網(wǎng)絡(luò)病毒的特征，建立病毒庫，在掃描數(shù)據(jù)信息時如果對象的代碼與病毒庫中的代碼吻合，則判斷其感染病毒；對于加密、變異的不易掃描出來的病毒可以通過虛擬執(zhí)行查殺；最基本的還是對文件進行實時監(jiān)控，一旦感染病毒，及時報警并采取相應(yīng)的措施。

6 結(jié)束語

篇4

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理；防護；防火墻

中圖分類號：TP393.08文獻標識碼：A文章編號：1009-3044(2011)14-3302-02

隨著企業(yè)信息化進程的不斷發(fā)展，網(wǎng)絡(luò)已成為提高企業(yè)生產(chǎn)效率和企業(yè)競爭力的有力手段。目前，石化企業(yè)網(wǎng)絡(luò)各類系統(tǒng)諸如ERP系統(tǒng)、原油管理信息系統(tǒng) 、電子郵件系統(tǒng) 以及OA協(xié)同辦公系統(tǒng)等都相繼上線運行，信息化的發(fā)展極大地改變了企業(yè)傳統(tǒng)的管理模式，實現(xiàn)了企業(yè)內(nèi)的資源共享。與此同時，網(wǎng)絡(luò)安全問題日益突出，各種針對網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊層出不窮，病毒威脅無處不在。

因此，了解網(wǎng)絡(luò)安全，做好防范措施，保證系統(tǒng)安全可靠地運行已成為企業(yè)網(wǎng)絡(luò)系統(tǒng)的基本職能，也是企業(yè)本質(zhì)安全的重要一環(huán)。

1 石化企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

石化企業(yè)局域網(wǎng)一般包含Web、Mail等服務(wù)器和辦公區(qū)客戶機，通過內(nèi)部網(wǎng)相互連接，經(jīng)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計算機處在同一網(wǎng)段或通過Vlan（虛擬網(wǎng)絡(luò)）技術(shù)把企業(yè)不同業(yè)務(wù)部門相互隔離。

2 企業(yè)網(wǎng)絡(luò)安全概述

企業(yè)網(wǎng)絡(luò)安全隱患的來源有內(nèi)、外網(wǎng)之分，網(wǎng)絡(luò)安全系統(tǒng)所要防范的不僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問。企業(yè)網(wǎng)絡(luò)安全隱患主要如下：

1) 操作系統(tǒng)本身存在的安全問題

2) 病毒、木馬和惡意軟件的入侵

3) 網(wǎng)絡(luò)黑客的攻擊

4) 管理及操作人員安全知識缺乏

5) 備份數(shù)據(jù)和存儲媒體的損壞

針對上述安全隱患，可采取安裝專業(yè)的網(wǎng)絡(luò)版病毒防護系統(tǒng)，同時加強內(nèi)部網(wǎng)絡(luò)的安全管理；配置好防火墻過濾策略，及時安裝系統(tǒng)安全補??；在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、入侵檢測系統(tǒng)，配置網(wǎng)絡(luò)安全隔離系統(tǒng)等。

3 網(wǎng)絡(luò)安全解決方案

一個網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包含許多方面，主要為物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等。

3.1 物理安全

物理安全主要指環(huán)境、場地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計劃等，包括機房環(huán)境安全、通信線路安全、設(shè)備安全、電源安全。

主要考慮：自然災(zāi)害、物理損壞和設(shè)備故障；選用合適的傳輸介質(zhì)；供電安全可靠及網(wǎng)絡(luò)防雷等。

3.2 網(wǎng)絡(luò)安全

石化企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等，并與企業(yè)系統(tǒng)內(nèi)部的上、下級機構(gòu)網(wǎng)絡(luò)及Internet互連。

3.2.1 VLAN技術(shù)

VLAN即虛擬局域網(wǎng)。是通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù)。

借助VLAN技術(shù)，可將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境 ，就像使用本地LAN一樣方便。一般分為：基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。

3.2.2 防火墻技術(shù)

1) 防火墻體系結(jié)構(gòu)

① 雙重宿主主機體系結(jié)構(gòu)

防火墻的雙重宿主主機體系結(jié)構(gòu)是指一臺雙重宿主主機作為防火墻系統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的任務(wù)。

② 被屏蔽主機體系結(jié)構(gòu)

被屏蔽主機體系結(jié)構(gòu)是指通過一個單獨的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機共同構(gòu)成防火墻，強迫所有的外部主機與一個堡壘主機相連，而不讓其與內(nèi)部主機相連。

③ 被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為使用兩個屏蔽路由器，位于堡壘主機的兩端，一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)。為了入侵這種類型的體系結(jié)構(gòu)，入侵者必須穿透兩個屏蔽路由器。

2) 企業(yè)防火墻應(yīng)用

① 企業(yè)網(wǎng)絡(luò)體系中的三個區(qū)域

邊界網(wǎng)絡(luò)。此網(wǎng)絡(luò)通過路由器直接面向Internet，通過防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)。

網(wǎng)絡(luò)。即DMZ，將用戶連接到Web服務(wù)器或其他服務(wù)器，Web服務(wù)器通過內(nèi)部防火墻連接到內(nèi)部網(wǎng)絡(luò)。

內(nèi)部網(wǎng)絡(luò)。連接各個內(nèi)部服務(wù)器（如企業(yè)OA服務(wù)器，ERP服務(wù)器等）和內(nèi)部用戶。

② 防火墻及其功能

在企業(yè)網(wǎng)絡(luò)中，常常有兩個不同的防火墻:防火墻和內(nèi)部防火墻。雖然任務(wù)相似，但側(cè)重點不同，防火墻主要提供對不受信任的外部用戶的限制，而內(nèi)部防火墻主要防止外部用戶訪問內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶非授權(quán)的操作。

在以上3個區(qū)域中，雖然內(nèi)部網(wǎng)絡(luò)和DMZ都屬于企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分，但他們的安全級別不同，對于要保護的大部分內(nèi)部網(wǎng)絡(luò)，一般禁止所有來自Internet用戶的訪問；而企業(yè)DMZ區(qū)，限制則沒有那么嚴格。

3.2.3 VPN技術(shù)

VPN(Virtual Private Network)虛擬專用網(wǎng)絡(luò)，一種通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進行遠程訪問的連接方式。位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間就好像架設(shè)了一條專線，但它并不需要真正地去鋪設(shè)光纜之類的物理線路。

企業(yè)用戶采用VPN技術(shù)來構(gòu)建其跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，與Internet進行隔離，控制內(nèi)網(wǎng)與Internet的相互訪問。VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，將對外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對外訪問。

3.3 應(yīng)用系統(tǒng)安全

企業(yè)應(yīng)用系統(tǒng)安全包括兩方面。一方面涉及用戶進入系統(tǒng)的身份鑒別與控制，對安全相關(guān)操作進行審核等。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、Web、FTP服務(wù)、E-MAIL等

病毒防護是企業(yè)應(yīng)用系統(tǒng)安全的重要組成部分，企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時，應(yīng)全方位地布置企業(yè)防毒產(chǎn)品。

在網(wǎng)絡(luò)骨干接入處，安裝防毒墻，對主要網(wǎng)絡(luò)協(xié)議（SMTP、FTP、HTTP）進行殺毒處理；在服務(wù)器上安裝單獨的服務(wù)器殺毒產(chǎn)品，各用戶安裝網(wǎng)絡(luò)版殺毒軟件客戶端；對郵件系統(tǒng)，可采取安裝專用郵件殺毒產(chǎn)品。

4 結(jié)束語

該文從網(wǎng)絡(luò)安全及其建設(shè)原則進行了論述，對企業(yè)網(wǎng)絡(luò)安全建設(shè)的解決方案進行了探討和總結(jié)。石化企業(yè)日新月異，網(wǎng)絡(luò)安全管理任重道遠，網(wǎng)絡(luò)安全已成為企業(yè)安全的重要組成部分、甚而成為企業(yè)的本質(zhì)安全。加強網(wǎng)絡(luò)安全建設(shè)，確保網(wǎng)絡(luò)安全運行勢在必行。

參考文獻：

[1] 王達. 路由器配置與管理完全手冊――H3C篇[M]. 武漢:華中科技大學(xué)出版社,2010．

[2] 王文壽. 網(wǎng)管員必備寶典――網(wǎng)絡(luò)安全[M]. 北京:清華大學(xué)出版社,2007．

篇5

關(guān)鍵詞：網(wǎng)絡(luò)安全；安全防護；接入控制；防火墻；訪問權(quán)限

隨著計算機技術(shù)的發(fā)展和Internet的廣泛應(yīng)用，越來越多的企業(yè)都實現(xiàn)了業(yè)務(wù)系統(tǒng)的電子化和網(wǎng)絡(luò)化，計算機網(wǎng)絡(luò)安全已成為企業(yè)信息安全的重要組成部分。但計算機網(wǎng)絡(luò)也面臨著非法入侵，惡意攻擊、病毒木馬等多種威脅，對企業(yè)的信息系統(tǒng)安全造成損害。

因此，如何提高計算機網(wǎng)絡(luò)的防御能力，增強網(wǎng)絡(luò)的安全性和可靠性，已成為企業(yè)網(wǎng)絡(luò)建設(shè)時必須考慮的問題。下面介紹一些網(wǎng)絡(luò)安全建設(shè)方面的策略，希望能為企業(yè)網(wǎng)絡(luò)建設(shè)提供一些參考。

一、 做好網(wǎng)絡(luò)結(jié)構(gòu)安全設(shè)計

網(wǎng)絡(luò)結(jié)構(gòu)安全的核心是網(wǎng)絡(luò)隔離，即將整個網(wǎng)絡(luò)按照系統(tǒng)功能、信息安全等級、工作地點等原則劃分為相對獨立的子網(wǎng)絡(luò)，使得當某個子網(wǎng)絡(luò)內(nèi)發(fā)生安全故障時，有害信息不能或不易擴散到別的子網(wǎng)絡(luò)中。

各個子網(wǎng)絡(luò)之間應(yīng)部署防火墻、網(wǎng)閘等網(wǎng)絡(luò)安全設(shè)備，實現(xiàn)信息系統(tǒng)隔離和訪問控制。同時，充分利用IP地址、VLAN、訪問控制列表等工具，實現(xiàn)子網(wǎng)絡(luò)之間的邏輯隔離。

二、 網(wǎng)絡(luò)設(shè)備的安全防護

網(wǎng)絡(luò)設(shè)備的安全防護是指同設(shè)備交互時的安全防護，一般用于設(shè)備的配置和管理。同設(shè)備的交互有以下幾種方式：

* 通過設(shè)備Console 口訪問。

* 異步輔助端口的本地/遠程撥號訪問

* TELNET訪問

* SNMP訪問

* HTTP訪問

針對這幾種交互方式，采取的安全策略如下：

(1) 用戶登錄驗證

必須要求設(shè)備配置身份驗證，如果設(shè)備未配，將拒絕接受用戶登錄，可以通過本地用戶驗證或RADIUS驗證實現(xiàn)。

(2) 控制臺超時注銷

控制臺訪問用戶超過一段時間對設(shè)備沒有交互操作，設(shè)備將自動注銷本次控制臺配置任務(wù)，并切斷連接。超時時間必須可配置，缺省為10分鐘。

(3) 控制臺終端鎖定

配置用戶離開配置現(xiàn)場，設(shè)備提供暫時鎖定終端的能力，并設(shè)置解鎖口令。

(4) 限制telnet用戶數(shù)目

設(shè)備對telnet用戶數(shù)量必需做出上限控制。

三、 部署用戶安全接入控制系統(tǒng)

用戶安全接入控制是指企業(yè)員工在使用終端訪問企業(yè)資源前，先要經(jīng)過身份認證和終端安全檢查。用戶在確認身份合法并通過安全檢查后，終端可以訪問用戶授權(quán)的內(nèi)部資源，認證不通過則被拒絕接入網(wǎng)絡(luò)。終端安全接入控制主要是防止不安全的終端接入網(wǎng)絡(luò)和防止非法終端用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。

用戶接入控制可通過部署終端安全管理系統(tǒng)實現(xiàn)。終端安全管理系統(tǒng)是一個包括軟件和硬件整體系統(tǒng)。在用戶終端上安裝安全服務(wù)程序，在用戶使用網(wǎng)絡(luò)前，必須啟動程序，然后輸入身份信息進行登錄。由安全管控服務(wù)器對終端用戶進行身份認證和安全檢查。通過之后服務(wù)器把檢查結(jié)果通知安全接入網(wǎng)關(guān)，安全接入網(wǎng)關(guān)根據(jù)用戶的角色，開放終端用戶的訪問權(quán)限，有效的制止用戶的非法訪問和越權(quán)訪問。

四、 網(wǎng)絡(luò)數(shù)據(jù)流控制

網(wǎng)絡(luò)數(shù)據(jù)流控制通過數(shù)據(jù)包過濾來實現(xiàn)。通過網(wǎng)絡(luò)數(shù)據(jù)包過濾，可以限制網(wǎng)絡(luò)通信量，限制網(wǎng)絡(luò)訪問到特定的用戶和設(shè)備。

訪問列表可用來控制網(wǎng)絡(luò)上數(shù)據(jù)包的傳遞，限制終端線路的通信量或者控制路由選擇更新，以達到增強網(wǎng)絡(luò)安全性的目的。在端口上設(shè)定數(shù)據(jù)流過濾，防止企業(yè)內(nèi)部的IP地址欺騙。嚴格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等數(shù)據(jù)流通過網(wǎng)絡(luò)設(shè)備，原則上只允許本系統(tǒng)應(yīng)用需要的應(yīng)用數(shù)據(jù)流才能通過網(wǎng)絡(luò)設(shè)備。

五、 部署網(wǎng)絡(luò)防病毒軟件

網(wǎng)絡(luò)病毒的入口點是非常多的。在一個具有多個網(wǎng)絡(luò)入口的連接點的企業(yè)網(wǎng)絡(luò)環(huán)境中，病毒可以由軟盤、光盤、U盤等傳統(tǒng)介質(zhì)進入，也可能由企業(yè)信息網(wǎng)等進入，還有可能從外部網(wǎng)絡(luò)中通過文件傳輸?shù)确绞竭M入。所以不僅要注重單機的防毒，更要重要網(wǎng)絡(luò)的整體防毒措施。

任何一點沒有部署防病毒系統(tǒng)，對整個網(wǎng)絡(luò)都是一個安全的威脅。網(wǎng)絡(luò)中應(yīng)部署一套網(wǎng)絡(luò)防病毒系統(tǒng)，在所有重要服務(wù)器、操作終端安裝殺毒軟件。通過網(wǎng)絡(luò)殺毒服務(wù)器及時更新病毒庫及殺毒引擎，保證內(nèi)部網(wǎng)絡(luò)安全、穩(wěn)定的運行。

六、 內(nèi)部網(wǎng)絡(luò)使用安全

* 內(nèi)部系統(tǒng)中資源共享

嚴格控制內(nèi)部員工對網(wǎng)絡(luò)共享資源的使用。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄，否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經(jīng)常交換信息需求的用戶，在共享時也必須加上必要的口令認證機制，即只有通過口令的認證才允許訪問數(shù)據(jù)。雖然說用戶名加口令的機制不是很安全，但對一般用戶而言，還是起到一定的安全防護，即使有刻意破解者，只要口令設(shè)得復(fù)雜些，也得花費相當長的時間。

* 信息存儲

對有涉及企業(yè)秘密信息的用戶主機，使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。對數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份，包括本地備份和遠程備份存儲。

* 構(gòu)建安全管理平臺

構(gòu)建安全管理平臺將會降低很多因為無意的人為因素而造成的風(fēng)險。構(gòu)建安全管理平臺從技術(shù)上如：組成安全管理子網(wǎng)，安裝集中統(tǒng)一的安全管理軟件，如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)一管理軟件。通過安全管理平臺實現(xiàn)全網(wǎng)的安全管理。

總之，網(wǎng)絡(luò)安全是一個系統(tǒng)的工程，要用系統(tǒng)的思想來建設(shè)全方位的、多層次的、立體的安全防護體系。這是一項長期而艱巨的任務(wù)，需要不斷的探索。網(wǎng)絡(luò)安全建設(shè)不能僅僅依靠于技術(shù)手段，而應(yīng)建立包括安全規(guī)范、規(guī)章制度、人員培訓(xùn)等全面的管理體系，提高全體員工的安全防范意識，保護好每臺接入網(wǎng)絡(luò)中的設(shè)備，才能實現(xiàn)高速穩(wěn)定安全的信息化網(wǎng)絡(luò)系統(tǒng)。

參考文獻：

篇6

【關(guān)鍵詞】信息系統(tǒng)；安全建設(shè)；防護體系

1.企業(yè)信息系統(tǒng)安全防護的價值

隨著企業(yè)信息化水平的提高，企業(yè)對于IT系統(tǒng)的依賴性也越來越高。一方面，“業(yè)務(wù)系統(tǒng)流程化”正在成為IT安全建設(shè)的驅(qū)動力。企業(yè)的新業(yè)務(wù)應(yīng)用正在逐漸標準化和流程化，各種應(yīng)用系統(tǒng)如ERP、MES為企業(yè)的生產(chǎn)效率的提高起到了關(guān)鍵的作用。有效的管控IT環(huán)境，確保IT業(yè)務(wù)系統(tǒng)的持續(xù)穩(wěn)定運行作為企業(yè)競爭力的一部分，已成為IT系統(tǒng)安全防護的主要目標和關(guān)鍵驅(qū)動力。另一方面，企業(yè)IT安全的建設(shè)也是“法規(guī)遵從”的需要。IT系統(tǒng)作為企業(yè)財務(wù)應(yīng)用系統(tǒng)的重要支撐，必須提供可靠的運行保障和數(shù)據(jù)正確性保證。

2.企業(yè)信息系統(tǒng)安全建設(shè)的現(xiàn)狀分析

在企業(yè)信息化建設(shè)的過程中，業(yè)務(wù)系統(tǒng)的建設(shè)一直是關(guān)注的重點，但是IT業(yè)務(wù)系統(tǒng)的安全保障方面，往往成為整個信息化最薄弱的環(huán)節(jié)，尤其是在信息化水平還較低的情況下，IT系統(tǒng)的安全建設(shè)缺乏統(tǒng)一的策略作為指導(dǎo)。歸結(jié)起來，企業(yè)在IT系統(tǒng)安全建設(shè)的過程中，存在以下幾方面的不足：

2.1 安全危機意識不足，制度和規(guī)范不健全

盡管知道IT安全事故后果比較嚴重，但是企業(yè)的高層領(lǐng)導(dǎo)心中仍然存在著僥幸心理，更多的時候把IT安全建設(shè)的預(yù)算挪用到其他的領(lǐng)域。企業(yè)在信息安全制度及信息安全緊急事件響應(yīng)流程等方面缺乏完整的制度和規(guī)范保證，由此帶來的后果是諸如對網(wǎng)絡(luò)的任意使用，導(dǎo)致公司的機密文檔被擴散。同時在發(fā)生網(wǎng)絡(luò)安全問題的時候，也因為缺乏預(yù)先設(shè)置的各種應(yīng)急防護措施，導(dǎo)致安全風(fēng)險得不到有效控制。

2.2 應(yīng)用系統(tǒng)和安全建設(shè)相分離，忽視數(shù)據(jù)安全存儲建設(shè)

在企業(yè)IT應(yīng)用系統(tǒng)的建設(shè)時期，由于所屬的建設(shè)職能部門的不同，或者是因為投資預(yù)算的限制，導(dǎo)致在應(yīng)用系統(tǒng)建設(shè)階段并沒有充分考慮到安全防護的需要，為后續(xù)的應(yīng)用系統(tǒng)受到攻擊癱瘓埋下了隱患。數(shù)據(jù)安全的威脅表現(xiàn)在核心數(shù)據(jù)的丟失；各種自然災(zāi)難、IT系統(tǒng)故障，也對數(shù)據(jù)安全帶來了巨大沖擊。遺憾的是很多企業(yè)在數(shù)據(jù)的安全存儲方面，并沒有意識到同城異地災(zāi)難備份或遠程災(zāi)難備份的重要性。

2.3 缺乏整體的安全防護體系，“簡單疊加、七國八制”

對于信息安全系統(tǒng)的建設(shè)，“頭痛醫(yī)頭、腳痛醫(yī)腳”的現(xiàn)象比較普遍。大多數(shù)企業(yè)仍然停留在出現(xiàn)一個安全事故后再去解決一個安全隱患的階段，缺乏對信息安全的全盤考慮和統(tǒng)一規(guī)劃，這樣的后果就是網(wǎng)絡(luò)上的設(shè)備五花八門，設(shè)備方案之間各自為戰(zhàn)，缺乏相互關(guān)聯(lián)，從而導(dǎo)致了多種問題。

3.企業(yè)信息系統(tǒng)安全建設(shè)規(guī)劃的原則

企業(yè)的信息化安全建設(shè)的目標是要保證業(yè)務(wù)系統(tǒng)的正常運轉(zhuǎn)從而為企業(yè)帶來價值，在設(shè)計高水平的安全防護體系時應(yīng)該遵循以下幾個原則：

（1）統(tǒng)一規(guī)劃設(shè)計。信息安全建設(shè)，需要遵循“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一設(shè)計、統(tǒng)一建設(shè)”的原則；應(yīng)用系統(tǒng)的建設(shè)要和信息安全的防護要求統(tǒng)一考慮。

（2）架構(gòu)先進，突出防護重點。要采用先進的架構(gòu)，選擇成熟的主流產(chǎn)品和符合技術(shù)發(fā)展趨勢的產(chǎn)品；明確信息安全建設(shè)的重點，重點保護基礎(chǔ)網(wǎng)絡(luò)安全及關(guān)鍵應(yīng)用系統(tǒng)的安全，對不同的安全威脅進行有針對性的方案建設(shè)。

（3）技術(shù)和管理并重，注重系統(tǒng)間的協(xié)同防護?！叭旨夹g(shù)，七分管理”，合理劃分技術(shù)和管理的界面，從組織與流程、制度與人員、場地與環(huán)境、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)與應(yīng)用等多方面著手，在系統(tǒng)設(shè)計、建設(shè)和運維的多環(huán)節(jié)進行綜合協(xié)同防范。

（4）統(tǒng)一安全管理，考慮合規(guī)性要求。建設(shè)集中的安全管理平臺，統(tǒng)一處理各種安全事件，實現(xiàn)安全預(yù)警和及時響應(yīng)；基于安全管理平臺，輸出各種合規(guī)性要求的報告，為企業(yè)的信息安全策略制定提供參考。

（5）高可靠、可擴展的建設(shè)原則。這是任何網(wǎng)絡(luò)安全建設(shè)的必備要求，是業(yè)務(wù)連續(xù)性的需要，是滿足企業(yè)發(fā)展擴容的需要。

4.企業(yè)信息系統(tǒng)安全建設(shè)的部署建議

以ISO27001等企業(yè)信息安全法規(guī)[1]遵從的原則為基礎(chǔ)，通過分析企業(yè)信息安全面臨的風(fēng)險和前期的部署實踐，建立企業(yè)信息安全建設(shè)模型，如圖1所示。

圖1 企業(yè)信息系統(tǒng)安全建設(shè)模型

基于上述企業(yè)信息安全建設(shè)模型，在建設(shè)終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、統(tǒng)一安全管理和滿足法規(guī)遵從的全面安全防護體系時，需要重點關(guān)注以下幾個方面的部署建議：

4.1 實施終端安全，關(guān)注完整的用戶行為關(guān)聯(lián)分析

在企業(yè)關(guān)注的安全事件中，信息泄漏是屬于危害比較嚴重的行為?，F(xiàn)階段由于企業(yè)對網(wǎng)絡(luò)的管控不嚴，員工可以通過很多方式實現(xiàn)信息外泄，常見的方式有通過桌面終端的存儲介質(zhì)進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等。針對這些高危的行為，企業(yè)在建設(shè)信息安全防護體系的時候，單純的進行桌面安全控制或者internet上網(wǎng)行為控制都不能完全杜絕這種行為。而在統(tǒng)一規(guī)劃實施的安全防護體系中，系統(tǒng)從用戶接入的那一時刻開始，就對用戶的桌面行為進行監(jiān)控，同時配合internet上網(wǎng)行為審計設(shè)備，對該員工的上網(wǎng)行為進行監(jiān)控和審計，真正做到從員工接入網(wǎng)絡(luò)開始的各種操作行為及上網(wǎng)行為都在嚴密的監(jiān)控之中，提升企業(yè)的防護水平。

4.2 建設(shè)綜合的VPN接入平臺

無論是IPSec、L2TP，還是SSL VPN，都是企業(yè)在VPN建設(shè)過程中必然會遇到的需求。當前階段，總部與分支節(jié)點的接入方式有廣域網(wǎng)專線接入和通過internet接入兩種。使用VPN進行加密數(shù)據(jù)傳輸是通用的選擇。對于部分移動用戶接入，也可以考慮部署SSL VPN的接入方式[2]，在這種情況下，如何做好將多種VPN類型客戶的認證方式統(tǒng)一是需要重點考慮的問題。而統(tǒng)一接入認證的方式，如采用USBKEY等，甚至在設(shè)備采購時就可以預(yù)先要求設(shè)備商使用一臺設(shè)備同時支持這些需求。這將給管理員的日常維護帶來極大的方便，從而提升企業(yè)整體的VPN接入水平。

4.3 優(yōu)化安全域的隔離和控制，實現(xiàn)L2～L7層的安全防護

在建設(shè)安全邊界防護控制過程中，面對企業(yè)的多個業(yè)務(wù)部門和分支機構(gòu)，合理的安全域劃分將是關(guān)鍵。按照安全域的劃分原則，企業(yè)網(wǎng)絡(luò)包括內(nèi)部園區(qū)網(wǎng)絡(luò)、Internet邊界、DMZ、數(shù)據(jù)中心、廣域網(wǎng)分支、網(wǎng)管中心等組成部分，各安全域之間的相互隔離和訪問策略是防止安全風(fēng)險的重要環(huán)節(jié)。在多樣化安全域劃分的基礎(chǔ)上，深入分析各安全域內(nèi)的業(yè)務(wù)單元，根據(jù)企業(yè)持續(xù)性運行的高低優(yōu)先級以及面臨風(fēng)險的嚴重程度，設(shè)定合適的域內(nèi)安全防護策略及安全域之間的訪問控制策略，實現(xiàn)有針對性的安全防護。例如，選擇FW+IPS等設(shè)備進行深層次的安全防護，或者提供防垃圾郵件、Web訪問控制等解決方案進行應(yīng)對，真正實現(xiàn)L2～L7層的安全防護。

4.4 強調(diào)網(wǎng)絡(luò)和安全方案之間的耦合聯(lián)動，實現(xiàn)網(wǎng)絡(luò)安全由被動防御到主動防御的轉(zhuǎn)變

統(tǒng)一規(guī)劃的技術(shù)方案，可以做到方案之間的有效關(guān)聯(lián)，實現(xiàn)設(shè)備之間的安全聯(lián)動。在實際部署過程中，在接入用戶側(cè)部署端點準入解決方案，實現(xiàn)客戶端點安全接入網(wǎng)絡(luò)。同時啟動安全聯(lián)動的特性，一旦安全設(shè)備檢測到內(nèi)部網(wǎng)用戶正在對網(wǎng)絡(luò)的服務(wù)器進行攻擊，可以實現(xiàn)對攻擊者接入位置的有效定位，并采取類似關(guān)閉接入交換機端口的動作響應(yīng)，真正實現(xiàn)從被動防御向主動防御的轉(zhuǎn)變。

4.5 實現(xiàn)統(tǒng)一的安全管理，體現(xiàn)對整個網(wǎng)安全事件的“可視、可控和可管”

統(tǒng)一建設(shè)的安全防護系統(tǒng)，還有一個最為重要的優(yōu)勢，就是能實現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理。面對各種安全設(shè)備發(fā)出來的大量的安全日志，單純靠管理員的人工操作是無能為力的，而不同廠商之間的安全日志可能還存在較大的差異，難以實現(xiàn)對全網(wǎng)安全事件的統(tǒng)一分析和報警管理。因此在規(guī)劃之初，就需要考慮到各種安全設(shè)備之間的日志格式的統(tǒng)一化，需要考慮設(shè)定相關(guān)安全策略以實現(xiàn)對日志的歸并分析并最終輸出各種合規(guī)性的報表，只有這樣才能做到對全網(wǎng)安全事件的統(tǒng)一可視、安全設(shè)備的統(tǒng)一批量配置下發(fā)，以及整網(wǎng)安全設(shè)備的防控策略的統(tǒng)一管理，最終實現(xiàn)安全運行中心管控平臺的建設(shè)。[3]

4.6 關(guān)注數(shù)據(jù)存儲安全，強調(diào)本地數(shù)據(jù)保護和遠程災(zāi)難備份相結(jié)合

在整體數(shù)據(jù)安全防護策略中，可以采用本地數(shù)據(jù)保護和遠程災(zāi)備相結(jié)合的方式。基于CDP的數(shù)據(jù)連續(xù)保護技術(shù)可以很好地解決數(shù)據(jù)本地安全防護的問題，與磁帶庫相比，它具有很多的技術(shù)優(yōu)勢。在數(shù)據(jù)庫的配合下，通過連續(xù)數(shù)據(jù)快照功能實現(xiàn)了對重要數(shù)據(jù)的連續(xù)數(shù)據(jù)保護，用戶可以選擇在出現(xiàn)災(zāi)難后恢復(fù)到前面保存過的任何時間點的狀態(tài)，同時支持對“漸變式災(zāi)難”的保護和恢復(fù)。在建設(shè)異地的災(zāi)備中心時，可以考慮從數(shù)據(jù)級災(zāi)備和應(yīng)用級災(zāi)備兩個層面進行。生產(chǎn)中心和異地災(zāi)備中心的網(wǎng)絡(luò)連接方式可以靈活選擇，即可采用光纖直連，也可采用足夠帶寬的IP網(wǎng)絡(luò)連接。在數(shù)據(jù)同步方式選擇上，生產(chǎn)中心和災(zāi)備中心采用基于磁盤陣列的異步復(fù)制技術(shù)，實現(xiàn)數(shù)據(jù)的異地災(zāi)備。異地災(zāi)備中心還可以有選擇地部署部分關(guān)鍵應(yīng)用服務(wù)器，以提供對關(guān)鍵業(yè)務(wù)的應(yīng)用級接管能力，從而實現(xiàn)對數(shù)據(jù)安全的有效防護。

5.結(jié)束語

企業(yè)信息安全防護體系的建設(shè)是一個長期的持續(xù)的工作，不是一蹴而就的，就像現(xiàn)階段的信息安全威脅也在不斷的發(fā)展和更新，針對這些信息安全威脅的防護手段也需要逐步的更新并應(yīng)用到企業(yè)的信息安全建設(shè)之中，這種動態(tài)的過程將使得企業(yè)的信息安全防護更有生命力和主動性，真正為企業(yè)的業(yè)務(wù)永續(xù)運行提供保障。

參考文獻

[1]李納.計算機系統(tǒng)安全與計算機網(wǎng)絡(luò)安全淺析[J].科技與企業(yè)，2013.

[2]李群，周相廣，陳剛.中國石油上游信息系統(tǒng)災(zāi)難備份技術(shù)與實踐[J].信息技術(shù)與信息化，2010，06.

篇7

隨著網(wǎng)絡(luò)與信息技術(shù)在我們經(jīng)濟和生活各個領(lǐng)域的快速發(fā)展，企業(yè)也紛紛打造自身的網(wǎng)絡(luò)信息平臺。信息技術(shù)正逐漸影響著我們生活和工作的方式，在信息技術(shù)帶給我們巨大便利的同時，網(wǎng)絡(luò)與信息安全的各類問題也在不斷攀升。面對眾多網(wǎng)絡(luò)攻擊行為，安全風(fēng)險面臨重要的挑戰(zhàn)。因此，探討企業(yè)網(wǎng)絡(luò)與信息安全風(fēng)險，強化安全防護管理措施，保障企業(yè)業(yè)務(wù)安全穩(wěn)定發(fā)展具有十分重要的意義。

關(guān)鍵詞

企業(yè)網(wǎng)絡(luò)；信息安全；防護

隨著網(wǎng)絡(luò)與信息技術(shù)在我們經(jīng)濟和生活各個領(lǐng)域的快速發(fā)展，企業(yè)也紛紛打造自身的網(wǎng)絡(luò)信息平臺。信息技術(shù)正逐漸影響著我們生活和工作的方式，在信息技術(shù)帶給我們巨大便利的同時，網(wǎng)絡(luò)與信息安全的各類問題也在不斷攀升。面對眾多網(wǎng)絡(luò)攻擊行為，安全風(fēng)險面臨重要的挑戰(zhàn)。因此，探討企業(yè)網(wǎng)絡(luò)與信息安全風(fēng)險，強化安全防護管理措施，保障企業(yè)業(yè)務(wù)安全穩(wěn)定發(fā)展具有十分重要的意義。

1網(wǎng)絡(luò)與信息安全風(fēng)險分析

面對日益增加，不斷涌現(xiàn)的網(wǎng)絡(luò)攻擊行為，企業(yè)在鞏固和加強基本的網(wǎng)絡(luò)與信息安全的基礎(chǔ)上，仍不同程度上存在一定的安全風(fēng)險，主要包括以下方面。

1.1物理安全風(fēng)險

物理安全是網(wǎng)絡(luò)與信息系統(tǒng)安全的基礎(chǔ)。物理安全風(fēng)險主要包括雷擊、水災(zāi)、火災(zāi)等環(huán)境事故導(dǎo)致大部分或整個系統(tǒng)的癱瘓；供配電系統(tǒng)故障導(dǎo)致設(shè)備斷電而造成的業(yè)務(wù)服務(wù)中斷；機房環(huán)控及報警系統(tǒng)缺失造成設(shè)備被盜、被損；電磁輻射可能造成重要數(shù)據(jù)的信息泄露或非法截獲；人為操作失誤或錯誤造成的系統(tǒng)宕機或數(shù)據(jù)庫信息丟失等。

1.2網(wǎng)絡(luò)安全風(fēng)險

企業(yè)在網(wǎng)絡(luò)平臺建設(shè)的初期，安全意識不高，沒有從整體網(wǎng)絡(luò)與信息安全的角度出發(fā)進行統(tǒng)籌規(guī)劃，網(wǎng)絡(luò)與信息安全風(fēng)險主要存在網(wǎng)絡(luò)結(jié)構(gòu)風(fēng)險、網(wǎng)絡(luò)邊界風(fēng)險、入侵檢測風(fēng)險、流量管理風(fēng)險、遠程安全接入風(fēng)險5個方面。網(wǎng)絡(luò)結(jié)構(gòu)風(fēng)險方面，企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中缺少冗余設(shè)計，網(wǎng)絡(luò)中關(guān)鍵設(shè)備易形成單點故障，影響了整體網(wǎng)絡(luò)系統(tǒng)故障恢復(fù)的能力。網(wǎng)絡(luò)邊界風(fēng)險方面，企業(yè)網(wǎng)絡(luò)系統(tǒng)中不同網(wǎng)絡(luò)區(qū)域間通信管控能力不足，數(shù)據(jù)的安全訪問不能得到有效控制，存在非法訪問的風(fēng)險。入侵檢測風(fēng)險方面，在企業(yè)局域網(wǎng)內(nèi)缺少入侵檢測手段，無法對局域網(wǎng)內(nèi)引發(fā)的網(wǎng)絡(luò)安全攻擊事件進行有效檢測與報警。入侵者通過滲透以獲取用戶系統(tǒng)控制權(quán)，并傳播木馬病毒形成僵尸網(wǎng)絡(luò)，甚至發(fā)起拒絕服務(wù)攻擊，使企業(yè)的業(yè)務(wù)服務(wù)面臨中斷風(fēng)險。流量管理風(fēng)險方面，企業(yè)用戶在網(wǎng)絡(luò)帶寬使用過程中，存在過度資源濫用情況，業(yè)務(wù)流量帶寬受到擠壓，帶寬使用效率大幅降低。遠程接入風(fēng)險方面，企業(yè)網(wǎng)絡(luò)系統(tǒng)沒有采取可信認證與加密遠程接入的訪問機制，造成非可信身份訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，導(dǎo)致信息泄露風(fēng)險。

1.3系統(tǒng)安全風(fēng)險

系統(tǒng)安全風(fēng)險一般指主機或終端自身系統(tǒng)防護能力不足導(dǎo)致容易發(fā)生病毒和惡意代碼攻擊、非法使用、數(shù)據(jù)截取等安全事件。系統(tǒng)安全風(fēng)險主要包括身份認證風(fēng)險、系統(tǒng)安全配置風(fēng)險、系統(tǒng)漏洞風(fēng)險、病毒和惡意代碼風(fēng)險這4個方面。身份認證風(fēng)險方面，企業(yè)在網(wǎng)絡(luò)系統(tǒng)中由于采用單一身份鑒別技術(shù)，導(dǎo)致攻擊者易假冒合法用戶獲得資源的訪問權(quán)限，對系統(tǒng)和數(shù)據(jù)安全造成威脅。系統(tǒng)漏洞與安全配置風(fēng)險方面，由于系統(tǒng)補丁未得到及時更新，安全配置未能形成統(tǒng)一化、標準化安全部署，導(dǎo)致企業(yè)網(wǎng)絡(luò)與信息系統(tǒng)存在大量的安全盲點。病毒和惡意代碼風(fēng)險方面，企業(yè)網(wǎng)絡(luò)中主機及終端系統(tǒng)中防病毒軟件升級滯后，導(dǎo)致防護軟件存在查殺能力不足，系統(tǒng)易受病毒和惡意代碼的攻擊。

1.4應(yīng)用安全風(fēng)險

應(yīng)用安全風(fēng)險涉及很多方面，并且與具體的應(yīng)用有關(guān)。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的，需要我們針對不同的應(yīng)用進行安全漏洞的檢測，從而采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險。應(yīng)用安全風(fēng)險主要包括文件及數(shù)據(jù)庫安全風(fēng)險、病毒侵害風(fēng)險、未經(jīng)授權(quán)的訪問、數(shù)據(jù)信息篡改，破壞了數(shù)據(jù)的完整性等。

1.5管理安全風(fēng)險

安全管理是網(wǎng)絡(luò)與信息安全得到保證的重要組成部分，從管理層面分析，管理安全風(fēng)險主要包括：安全管理制度不夠健全，關(guān)鍵活動的審批流程未建立或不夠明確，導(dǎo)致責(zé)權(quán)不明；工作人員的操作權(quán)限缺乏合理的劃分與分配，操作混亂；網(wǎng)絡(luò)安全管理和技術(shù)人員缺乏必要的安全意識、安全知識和教育的培訓(xùn)；安全管理體系有待健全和完善，在主動防范網(wǎng)絡(luò)與信息安全風(fēng)險的管理手段有所不足，安全控制措施有待進一步有效發(fā)揮。從上述網(wǎng)絡(luò)與信息安全風(fēng)險分析，由此所引發(fā)的安全事件，一般情況下將會導(dǎo)致網(wǎng)絡(luò)與信息系統(tǒng)在可用性、可靠性、可恢復(fù)性方面大幅下降。因此，針對安全風(fēng)險制定切實可行的解決措施，提高網(wǎng)絡(luò)與信息安全的整體防護能力和水平，是保障企業(yè)網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定運行的關(guān)鍵所在。

2網(wǎng)絡(luò)與信息安全防護的主要措施

參照信息系統(tǒng)安全等級保護基本要求，根據(jù)網(wǎng)絡(luò)與信息安全建設(shè)存在的主要問題，切實結(jié)合企業(yè)自身實際需求，逐步建設(shè)形成多層保護、重點突出、持續(xù)運行的安全保障體系，將企業(yè)網(wǎng)絡(luò)與信息安全防護工作落實到建設(shè)、防護、管理等的各個環(huán)節(jié)，保障企業(yè)網(wǎng)絡(luò)與信息安全的整體性。因此，根據(jù)此主要思路提出保障企業(yè)網(wǎng)絡(luò)與信息安全的總體原則與主要措施意見。

2.1總體原則

1）統(tǒng)籌規(guī)劃，分步實施。建立健全完善企業(yè)網(wǎng)絡(luò)與信息整體安全防護體系是一項長期的系統(tǒng)工程，其所涉及到各層面、各系統(tǒng)的安全問題要在國家信息安全法律法規(guī)及標準規(guī)范框架內(nèi)，根據(jù)對信息安全風(fēng)險分析的綜合考慮進行統(tǒng)籌規(guī)劃，制定統(tǒng)一、完整、動態(tài)，可控的安全防護系統(tǒng)設(shè)計，分步驟、分階段的進行實施。

2）以用促建，合理投入。為保障企業(yè)網(wǎng)絡(luò)系統(tǒng)長期、安全、穩(wěn)定運行，依據(jù)企業(yè)網(wǎng)絡(luò)不同時期所面臨威脅的嚴重程度，在考慮安全防護經(jīng)費投入與數(shù)據(jù)及其應(yīng)用系統(tǒng)防護價值的性價比基礎(chǔ)上實施安全防護體系的建設(shè)。安全設(shè)備在性能功能的選擇上，要安全適度，不盲目超前，既要滿足業(yè)務(wù)應(yīng)用當前安全防護需求，又能適應(yīng)未來安全防護的調(diào)整升級。

3）主動預(yù)防為主，應(yīng)急恢復(fù)為輔。考慮到現(xiàn)代網(wǎng)絡(luò)安全防護的復(fù)雜性和多變性，企業(yè)網(wǎng)絡(luò)與信息安全防護，應(yīng)以主動預(yù)防為主，盡量將安全隱患消除在安全事件發(fā)生之前。要提前制定好安全事件處理的應(yīng)急預(yù)案，熟悉并掌握應(yīng)對各種事件發(fā)生的安全措施及辦法，最大限度地降低安全事件的損失程度。

4）動態(tài)管理，持續(xù)改進。企業(yè)網(wǎng)絡(luò)與信息安全防護是一個動態(tài)的變化過程，要對安全風(fēng)險實施動態(tài)管理，針對不斷出現(xiàn)的新的安全威脅與漏洞持續(xù)改進完善企業(yè)網(wǎng)絡(luò)安全措施，始終將網(wǎng)絡(luò)與信息安全風(fēng)險控制在可接受的范圍。

2.2主要措施意見

1）合理劃分網(wǎng)絡(luò)安全區(qū)域。企業(yè)從整體網(wǎng)絡(luò)與信息安全角度出發(fā)，綜合分析網(wǎng)絡(luò)系統(tǒng)中存在的普遍問題，采取結(jié)構(gòu)化網(wǎng)絡(luò)設(shè)計思想，結(jié)合網(wǎng)絡(luò)安全域劃分原則，對企業(yè)網(wǎng)絡(luò)系統(tǒng)進行合理的安全區(qū)域劃分。依據(jù)安全域劃分，建議采取相應(yīng)的網(wǎng)絡(luò)邊界安全防護措施，實現(xiàn)網(wǎng)絡(luò)安全隔離，邊界間聯(lián)合防御，對病毒進行有效攔截及區(qū)域管控。在應(yīng)對滲透攻擊方面也能積極起到縱深防御效果，完善企業(yè)網(wǎng)絡(luò)系統(tǒng)抗攻擊，抗風(fēng)險的能力。

2）規(guī)范網(wǎng)絡(luò)資源的有效使用。規(guī)范企業(yè)網(wǎng)絡(luò)資源的有效使用，增強局域網(wǎng)終端用戶的安全審計，有效對網(wǎng)絡(luò)中的各種行為采取更加細粒度的安全識別和控制的措施。同時，可對網(wǎng)絡(luò)流量、終端上網(wǎng)行為進行實時分析和審計，做到有據(jù)可查。從而，有效優(yōu)化網(wǎng)絡(luò)資源使用效率，幫助企業(yè)管理層全面了解網(wǎng)絡(luò)應(yīng)用狀況與趨勢，增強網(wǎng)絡(luò)資源對企業(yè)業(yè)務(wù)服務(wù)提供強支撐能力。

3）增強終端用戶的網(wǎng)絡(luò)安全防護措施。增強企業(yè)網(wǎng)絡(luò)安全意識，提高終端用戶安全防護措施，采取網(wǎng)絡(luò)防病毒、終端安全核心配置等措施，通過安全策略的統(tǒng)一分發(fā)及部署，企業(yè)管理人員可全面直觀掌握網(wǎng)絡(luò)中的安全狀況，如終端漏洞、終端病毒、終端升級等情況一目了然。有助于管理人員提高企業(yè)安全風(fēng)險分析的能力及快速解除安全威脅的響應(yīng)能力。

4）創(chuàng)新開展具有自身特色的網(wǎng)絡(luò)運維管理服務(wù)新模式。面對信息化技術(shù)的飛速發(fā)展及網(wǎng)絡(luò)應(yīng)用的不斷深入，在增強自身網(wǎng)絡(luò)安全意識的同時，應(yīng)不斷學(xué)習(xí)新的防范技術(shù)，豐富防范手段；不斷借鑒成熟的技術(shù)成果，對照自身網(wǎng)絡(luò)特點，研究符合自身網(wǎng)絡(luò)安全防護技術(shù)，不斷深入實踐，總結(jié)經(jīng)驗教訓(xùn)，把技術(shù)理論與實踐經(jīng)驗有效結(jié)合，創(chuàng)新開展具有自身特色的網(wǎng)絡(luò)運維管理服務(wù)新模式。

篇8

【關(guān)鍵詞】網(wǎng)絡(luò)安全；防火墻；VPN；VLAN

一、引言

隨著電力施工企業(yè)信息化發(fā)展的不斷深入，企業(yè)對信息系統(tǒng)的依賴程度越來越高，信息與網(wǎng)絡(luò)安全直接影響到企業(yè)生產(chǎn)、經(jīng)營及管理活動，甚至直接影響企業(yè)未來發(fā)展。企業(yè)網(wǎng)絡(luò)規(guī)模的擴大、信息接入點增多、分布范圍廣，使信息接入點管控難度大。企業(yè)信息與網(wǎng)絡(luò)安全面臨各類威脅，筆者以構(gòu)建某電力施工企業(yè)信息與網(wǎng)絡(luò)安全體系為例，從信息安全管理、技術(shù)實施方面進行闡述與分析，建立一套比較完整信息化安全保障體系，保障業(yè)務(wù)應(yīng)用的正常運行。

二、企業(yè)網(wǎng)絡(luò)安全威脅問題分析

1.企業(yè)網(wǎng)絡(luò)通信設(shè)備存的安全漏洞威脅，網(wǎng)絡(luò)非法入侵者可以采用監(jiān)聽數(shù)據(jù)、嗅探數(shù)據(jù)、截取數(shù)據(jù)等方式收集信息，利用拒絕服務(wù)攻擊、篡改數(shù)據(jù)信息等方式對合法用戶進行攻擊。

2.非法入侵用戶對網(wǎng)絡(luò)系統(tǒng)的知識結(jié)構(gòu)非常清楚，包括企業(yè)外部人員、企業(yè)內(nèi)部熟悉網(wǎng)絡(luò)技術(shù)的工作人員，利用內(nèi)部網(wǎng)絡(luò)進行惡意操作。非法用戶入侵企業(yè)內(nèi)部網(wǎng)絡(luò)主要采用非法授權(quán)訪問對企業(yè)內(nèi)部網(wǎng)絡(luò)進行惡意操作，以達到竊取商業(yè)機密的目的；獨占網(wǎng)絡(luò)資源的方式，非業(yè)務(wù)數(shù)據(jù)流（如P2P文件傳輸與即時通訊等）消耗了大量帶寬，輕則影響企業(yè)業(yè)務(wù)無法正常運作，重則致使企業(yè)IT系統(tǒng)癱瘓，對內(nèi)部網(wǎng)絡(luò)系統(tǒng)造成損壞。

3.惡意病毒程序和代碼包括計算機病毒、蠕蟲、間諜軟件、邏輯復(fù)制炸彈和一系列未經(jīng)授權(quán)的程序代碼和軟件系統(tǒng)。病毒感染可能造成網(wǎng)絡(luò)通信阻塞、文件系統(tǒng)破壞，系統(tǒng)無法提供服務(wù)甚至重要數(shù)據(jù)丟失。病毒的傳播非常迅速；蠕蟲是通過計算機網(wǎng)絡(luò)進行自我復(fù)制的惡意程序，泛濫時可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓；間諜軟件在用戶不知情的情況下進行非法安裝，并把截獲的機密信息發(fā)送給第三者。

4.隨著企業(yè)信息化平臺、一體化系統(tǒng)投入運行，大量重要數(shù)據(jù)和機密信息都需要通過內(nèi)部局域網(wǎng)和廣域網(wǎng)來傳輸，信息被非法截取、篡改而造成數(shù)據(jù)混亂和信息錯誤的幾率加大；當非法入侵者以不正當?shù)氖侄潍@得系統(tǒng)授權(quán)后。可以對企業(yè)內(nèi)部網(wǎng)絡(luò)的信息資源執(zhí)行非法操作，包括篡改數(shù)據(jù)信息、復(fù)制數(shù)據(jù)信息、植入惡意代碼、刪除重要信息等，甚至竊取用戶的個人隱私信息，阻止合法用戶的正常使用，造成破壞和損失。保護信息資源，保證信息的傳遞成為企業(yè)信息安全中重要的一環(huán)。

三、企業(yè)信息與網(wǎng)絡(luò)安全策略

結(jié)合電力施工企業(yè)業(yè)務(wù)廣范圍大特點，提出一套側(cè)重網(wǎng)絡(luò)準入控制的信息安全解決方案，保障企業(yè)網(wǎng)絡(luò)信息安全。

1.遠程接入VPN安全解決方案

施工企業(yè)擁有多個項目部，地域范圍廣，項目部、出差人員安全訪問企業(yè)信息系統(tǒng)是企業(yè)信息化的要求，確保網(wǎng)絡(luò)連接間保密性是必要的。采用SSL VPN安全網(wǎng)關(guān)旁路部署在網(wǎng)絡(luò)內(nèi)部，通過設(shè)置用戶級別、權(quán)限來屏蔽非授權(quán)用戶的訪問。訪問內(nèi)部網(wǎng)絡(luò)資源的移動、項目用戶先到SSL VPN上進行認證，根據(jù)認證結(jié)果分配相應(yīng)權(quán)限，實現(xiàn)對內(nèi)部資源的訪問控制。

2.邊界安全解決方案

在系統(tǒng)互聯(lián)網(wǎng)出口部署防火墻（集成防病毒和網(wǎng)絡(luò)安全監(jiān)控模塊）和IPS設(shè)備，同時通過防火墻和IPS將企業(yè)內(nèi)部網(wǎng)、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開，并通過制定相應(yīng)的安全規(guī)則，以實現(xiàn)各區(qū)域不同級別、不同層次的安全防護。邊界防護建立以防火墻為核心，郵件、WEB網(wǎng)關(guān)設(shè)備、IDS及IPS等設(shè)備為輔的邊界防護體系。

（1）通過防火墻在網(wǎng)絡(luò)邊界建立網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流以及對外屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，控制非法訪問、增強網(wǎng)絡(luò)信息保密性、記錄和統(tǒng)計網(wǎng)絡(luò)數(shù)據(jù)并對非法入侵報警提示等，達到保障計算機網(wǎng)絡(luò)安全的目的。

（2）在防火墻上開啟防病毒模塊，可以在網(wǎng)關(guān)處阻止病毒、木馬等威脅的傳播，保護網(wǎng)絡(luò)內(nèi)部用戶免受侵害，改變了原有被動等待病毒感染的防御模式，實現(xiàn)網(wǎng)絡(luò)病毒的主動防御，切斷病毒在網(wǎng)絡(luò)邊界傳遞的通道。

（3）以入侵防御系統(tǒng)IPS應(yīng)用層安全設(shè)備，作為防火墻的重要補充，很好的解決了應(yīng)用層防御安全威脅，通過在線部署，IPS可以檢測并直接阻斷惡意流量。

（4）將上網(wǎng)行為管理設(shè)備置于核心交換機與防火墻之間。通過對在線用戶狀態(tài)、Web訪問內(nèi)容、外發(fā)信息、網(wǎng)絡(luò)應(yīng)用、帶寬占用情況等進行實時監(jiān)控，在上網(wǎng)行為管理設(shè)備上設(shè)置不同的策略，阻擋P2P應(yīng)用，釋放網(wǎng)絡(luò)帶寬，有效地解決了內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的安全使用和管理問題。

3.內(nèi)網(wǎng)安全解決方案

內(nèi)網(wǎng)安全是網(wǎng)絡(luò)安全建設(shè)的重點，由于內(nèi)網(wǎng)節(jié)點數(shù)量多、分布復(fù)雜、終端用戶安全應(yīng)用水平參差不齊等原因，也是安全建設(shè)的難點。

（1）主要利用構(gòu)建虛擬局域網(wǎng)VLAN技術(shù)來實現(xiàn)對內(nèi)部子網(wǎng)的物理隔離。通過在交換機上劃分VLAN可以將整個網(wǎng)絡(luò)劃分為幾個不同的廣播域，將信任網(wǎng)段與不信任網(wǎng)段劃分在不同的VLAN段內(nèi)，實現(xiàn)內(nèi)部一個網(wǎng)段與另一個網(wǎng)段的物理隔離，防止影響一個網(wǎng)段的安全事故透過整個網(wǎng)絡(luò)傳播，限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

（2）建立企業(yè)門戶系統(tǒng)，用戶的訪問控制部署統(tǒng)一的用戶認證服務(wù)，實現(xiàn)單點登錄功能，統(tǒng)一存儲所有應(yīng)用系統(tǒng)的用戶認證信息，而授權(quán)等操作則由各應(yīng)用系統(tǒng)完成，即統(tǒng)一存儲、分布授權(quán)。

（3）系統(tǒng)軟件部署安全、漏洞更新，定期對系統(tǒng)進行安全更新、漏洞掃描，自動更新Windows操作系統(tǒng)和Office、Exchange Server以及SQL Server等安全、漏洞補丁。安裝網(wǎng)絡(luò)版的防病毒軟件，定期更新最新病毒定義文件，制定統(tǒng)一的策略，客戶端定期從病毒服務(wù)器下載安裝新的病毒定義文件，有效減少了病毒的影響；配置郵件安全網(wǎng)關(guān)系統(tǒng)，為郵件用戶提供屏蔽垃圾郵件、查殺電子郵件病毒和實現(xiàn)郵件內(nèi)容過濾等功能，有效地從網(wǎng)絡(luò)層到應(yīng)用層保護郵件服務(wù)器不受各種形式的網(wǎng)絡(luò)攻擊。

4.數(shù)據(jù)中心安全解決方案

作為數(shù)據(jù)交換最頻繁、資源最密集的地方，數(shù)據(jù)中心出現(xiàn)任何安全防護上的疏漏必將導(dǎo)致不可估量的損失，因此數(shù)據(jù)中心安全解決方案十分重要。

（1）構(gòu)建網(wǎng)絡(luò)鏈接從鏈路層到應(yīng)用層的多層防御體系。由交換機提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上，通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進行隔離，并提供對DDoS和多種畸形報文攻擊的防御。IPS可以針對應(yīng)用流量做深度分析與檢測能力，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進行有效管理，從而達到對網(wǎng)絡(luò)應(yīng)用層的保護。

（2）建立數(shù)據(jù)備份和異地容災(zāi)方案，建立了完善的數(shù)據(jù)備份體系，保證數(shù)據(jù)崩潰時能夠?qū)崿F(xiàn)數(shù)據(jù)的完全恢復(fù)。同時在異地建立一個備份站點，通過網(wǎng)絡(luò)以異步的方式，把主站點的數(shù)據(jù)備份到備份站點，利用地理上的分離來保證系統(tǒng)和數(shù)據(jù)對災(zāi)難性事件的抵御能力。

5.安全信息管理與培訓(xùn)

（1）網(wǎng)絡(luò)管理是計算機網(wǎng)絡(luò)安全重要組成部分，在組織架構(gòu)上，應(yīng)采用虛擬團隊的模式，成立了相關(guān)信息安全管理小組。從決策、監(jiān)督和具體執(zhí)行三個層面為網(wǎng)絡(luò)信息安全工作提供保障。建立規(guī)范嚴謹?shù)墓芾碇贫龋贫ㄏ鄳?yīng)的規(guī)范、配套制度能保證規(guī)范執(zhí)行到位，保障了網(wǎng)絡(luò)信息安全工作的“有章可循，有據(jù)可查”。主要涉及：安全策略管理、業(yè)務(wù)流程管理、應(yīng)用軟件開發(fā)管理、操作系統(tǒng)管理、網(wǎng)絡(luò)安全管理、應(yīng)急備份措施、運行流程管理、場所管理、安全法律法規(guī)的執(zhí)行等。

（2）人員素質(zhì)的高低對信息安全方面至關(guān)重要；提高人員素質(zhì)的前提就是加強培訓(xùn)，特別加強是對專業(yè)信息人員的培訓(xùn)工作。

四、結(jié)束語

該企業(yè)信息與網(wǎng)絡(luò)安全體系建設(shè)以技術(shù)、管理的安全理念為核心，從組織架構(gòu)的建設(shè)、安全制度的制定、先進安全技術(shù)的應(yīng)用三個層面，構(gòu)建一個多層次、全方位網(wǎng)絡(luò)防護體系。在統(tǒng)一的安全策略基礎(chǔ)上，利用安全產(chǎn)品間的分工協(xié)作，并針對局部關(guān)鍵問題點進行安全部署，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中管理，達到提升網(wǎng)絡(luò)對安全威脅的整體防御能力。

參考文獻

篇9

1信息安全總體設(shè)計及實踐

1.1網(wǎng)絡(luò)安全要求及問題

1.1.1信息安全的最終實現(xiàn)目標為應(yīng)對市場競爭，提高企業(yè)生產(chǎn)經(jīng)營效率，滿足企業(yè)信息化建設(shè)的需要，汽車制造業(yè)應(yīng)借鑒國內(nèi)先進的信息技術(shù)和安全管理經(jīng)驗，建立一套企業(yè)信息化辦公網(wǎng)絡(luò)，并逐步加強網(wǎng)絡(luò)傳輸?shù)陌踩ㄔO(shè)，和網(wǎng)絡(luò)安全管理手段。以保障企業(yè)信息化的穩(wěn)定運行。2.1.2系統(tǒng)和應(yīng)用的脆弱性企業(yè)信息化辦公網(wǎng)絡(luò)建成后為企業(yè)經(jīng)營和管理帶來了極大的便利，生產(chǎn)經(jīng)營效率明顯提高。但同時引發(fā)了很多的技術(shù)問題：跨省專線費用太高，且鏈路發(fā)生故障之后的報修、排故、恢復(fù)程序極其繁雜，嚴重影響效率；無法滿足移動辦公的需求，無法滿足上下游供應(yīng)商的使用需求；與互聯(lián)網(wǎng)連接時常受到攻擊導(dǎo)致業(yè)務(wù)中斷；內(nèi)部人員未經(jīng)授權(quán)許可訪問互聯(lián)網(wǎng)導(dǎo)致病毒攻擊內(nèi)部辦公網(wǎng)等等。

1.1.3常見網(wǎng)絡(luò)風(fēng)險通過系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)學(xué)習(xí)，汽車制造業(yè)信息化人員應(yīng)掌握企業(yè)網(wǎng)絡(luò)信息化建設(shè)過程中大量常見的網(wǎng)絡(luò)風(fēng)險和防范手段：Backdo（各種后門和遠程控制軟件，例如BO、Netbus等）、BruteFce（各種瀏覽器相關(guān)的弱點，例如自動執(zhí)行移動代碼等）、CGI-BIN（各種CGI-BIN相關(guān)的弱點，例如PHF、wwwboard等）、Daemons（服務(wù)器中各種監(jiān)守程序產(chǎn)生弱點，例如amd,nntp等）、DCOM（微軟公司DCOM控件產(chǎn)生的相關(guān)弱點）、DNS（DNS服務(wù)相關(guān)弱點，例如BIND8.2遠程溢出弱點）、E-mail（各種郵件服務(wù)器、客戶端相關(guān)的安全弱點，例如Qpopper的遠程溢出弱點）、Firewalls（各種防火墻及其產(chǎn)生的安全弱點，例如GauntletFirewallCyberPatrol內(nèi)容檢查弱點）、FTP（各種FTP服務(wù)器和客戶端相關(guān)程序或配置弱點，例如WuFTPDsiteexec弱點）、InfmationGathering（各種由于協(xié)議或配置不當造成信息泄露弱點，例如finger或rstat的輸出）、InstantMessaging（當前各種即時消息傳遞工具相關(guān)弱點，例如OICQ、IRC、Yahoomessager等相關(guān)弱點）、LDAP（LDAP服務(wù)相關(guān)的安全弱點）、Netwk（網(wǎng)絡(luò)層協(xié)議處理不當引發(fā)的安全弱點，例如LAND攻擊弱點）、NetwkSniffers（各種竊聽器相關(guān)的安全弱點，例如NetXRay訪問控制弱點）、NFS（NFS服務(wù)相關(guān)的安全弱點，例如NFS信任關(guān)系弱點）、NIS（NIS服務(wù)相關(guān)的安全弱點，例如知道NIS域名后可以猜測口令弱點）、NTRelated（微軟公司NT操作系統(tǒng)相關(guān)安全弱點）、ProtocolSpoofing（協(xié)議中存在的安全弱點，例如TCP序列號猜測弱點）、Router/Switch（各種路由器、交換機等網(wǎng)絡(luò)設(shè)備中存在的安全弱點，例如CiscoIOS10.3存在拒絕服務(wù)攻擊弱點）、RPC（RPC（SUN公司遠程過程調(diào)用）服務(wù)相關(guān)的弱點，例如rpc.ttdbserver遠程緩沖區(qū)溢出弱點）、Shares（文件共享服務(wù)相關(guān)的安全弱點，BIOS/Samba等相關(guān)弱點，例如Samba緩沖區(qū)溢出弱點）、SNMP（SNMP協(xié)議相關(guān)的安全弱點，例如利用“public”進行SNMP_SET操作）、UDP（UDP協(xié)議相關(guān)弱點，例如允許端口掃描等）、WebScan（Web服務(wù)器相關(guān)安全弱點，例如IISASPdot弱點）、XWindows（X服務(wù)相關(guān)安全弱點）、Management（安全管理類漏洞）等。

1.2網(wǎng)絡(luò)安全加固及應(yīng)用拓展改造

針對上述網(wǎng)絡(luò)風(fēng)險，汽車制造業(yè)應(yīng)加強自身的網(wǎng)絡(luò)安全建設(shè)，強化網(wǎng)絡(luò)安全管理。重點進行了四個方面的技術(shù)改造：防火墻（VPN）、上網(wǎng)行為管理、入侵防御及桌面管理系統(tǒng)。

1.2.1訪問控制——防火墻部署防火墻之后，內(nèi)部辦公網(wǎng)絡(luò)的IP地址與MAC地址捆綁，授權(quán)上網(wǎng)用戶實名制管理，根據(jù)工作需要申請和審批上網(wǎng)時間和訪問權(quán)限。內(nèi)部VLAN劃分，把不同部門用VLAN劃分為不同的域以區(qū)分管理。重要數(shù)據(jù)庫服務(wù)器和存儲設(shè)備與辦公網(wǎng)隔離。嚴格管理和控制內(nèi)外網(wǎng)對數(shù)據(jù)庫的訪問。

1.2.2遠程用戶加密訪問——VPN為保障企業(yè)運營效率，根據(jù)不同的工作人員分配不同的權(quán)限，可以在出差途中或家中處理緊急公務(wù)。并細化配置其VPN功能對企業(yè)內(nèi)網(wǎng)的訪問權(quán)限，可以實現(xiàn)工作需要，保障企業(yè)內(nèi)部流程效率

1.2.3內(nèi)網(wǎng)用戶網(wǎng)絡(luò)行為監(jiān)控——上網(wǎng)行為管理系統(tǒng)通過對進程的審計可以了解到當前服務(wù)器的運行情況以及客戶端的使用情況，對非法的行為可以限制非法進程（包括病毒進程、聊天軟件進程等）的運行，非法軟件的安全，隨意的修改IP地址而導(dǎo)致的IP沖突等；內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為監(jiān)控，可以極大程度地避免企業(yè)內(nèi)網(wǎng)的安全風(fēng)險。

1.2.4外網(wǎng)攻擊的防護措施——入侵防御與防病毒采用入侵防御系統(tǒng)，具備7層檢索比對入侵防御設(shè)備需要的高速芯片，同時具備硬件BYPASS功能和自動報警功能，當設(shè)備自身出現(xiàn)故障時不能中斷網(wǎng)絡(luò)運行，最大限度地避免單點故障對網(wǎng)絡(luò)穩(wěn)定運行的風(fēng)險。

1.2.5桌面端管理通過桌面端管理套件核心服務(wù)器管理全網(wǎng)所有客戶端。所有的管理數(shù)據(jù)統(tǒng)一保存在核心服務(wù)器后臺的數(shù)據(jù)庫中。通過角色管理可以使用管理套件控制臺直接查看AD架構(gòu)，而無需在管理套件中復(fù)制AD角色。同時可以分配管理套件權(quán)限給AD組或OU(ganizationunits)，在分配權(quán)限時支持繼承的概念。

2結(jié)論

篇10

【關(guān)鍵詞】交換機；路由器；網(wǎng)絡(luò)；安全

企業(yè)網(wǎng)絡(luò)面臨的安全威脅不但來自病毒和木馬，而且還有內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)被盜、操作系統(tǒng)和軟件自身存在一些漏洞所造成的危害等，這就需要采取一定的技術(shù)措施來防范。

網(wǎng)絡(luò)互聯(lián)設(shè)備一般可分為網(wǎng)內(nèi)互聯(lián)設(shè)備和網(wǎng)間互聯(lián)設(shè)備，為了構(gòu)建安全的企業(yè)互聯(lián)網(wǎng)絡(luò)，設(shè)備的管理和配置非常重要。從網(wǎng)絡(luò)管理和安全方面來說，交換機和路由器起著非常重要的地位，它們是企業(yè)網(wǎng)絡(luò)中的核心設(shè)備，一些攻擊例如：利用路由器軟件版本的漏洞進行攻擊，非法用戶偽裝企業(yè)用戶修改路由信息等，以使機密泄露或?qū)е侣酚善靼c瘓而不能正常運行。為了保障企業(yè)網(wǎng)絡(luò)的安全，防止攻擊者入侵，導(dǎo)致網(wǎng)絡(luò)癱瘓，必須對網(wǎng)絡(luò)設(shè)備進行安全管理。

1．概述

傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)側(cè)重于系統(tǒng)入侵檢測，反病毒軟件或防火墻。在網(wǎng)絡(luò)安全構(gòu)造中，交換機和路由器是非常重要的，在七層網(wǎng)絡(luò)中每一層都必須是安全的。很多交換機和路由器都有豐富的安全功能，要了解有些什么，如何工作，如何部署，一層有問題時不會影響整個網(wǎng)絡(luò)。交換機和路由器被設(shè)計成缺省安全的，出廠時就處于安全設(shè)置的狀態(tài)，特別操作的設(shè)置在用戶要求時才會被激活，所有其他選項都是關(guān)閉的，以減少危險。

1.1密碼設(shè)置

在初始登錄路由器及交換機時會被強制要求更改密碼，也有密碼的期限選項及登錄嘗試的次數(shù)限制，而且以加密方式存儲。交換機及路由器在掉電，熱啟動、冷啟動，升級IOS、硬件或一個模塊失敗的情況下都必須是安全的，而且在這些事件發(fā)生后應(yīng)該不會危及安全并恢復(fù)運作，因為日志的原因，網(wǎng)絡(luò)設(shè)備應(yīng)該通過網(wǎng)絡(luò)時間協(xié)議保持安全精確的時間。

1.2抵擋DoS攻擊

從可用性出發(fā)，交換機和路由器需要能抵擋拒絕服務(wù)式Dos攻擊，并在攻擊期間保持可用性。理想狀態(tài)是他們在受到攻擊時應(yīng)該能夠做出反應(yīng)，屏蔽攻擊IP及端口。每件事件都會立即反應(yīng)并記錄在日志中，同時他們也能識別并對蠕蟲攻擊做出反應(yīng)。

1.3漏洞管理

交換機及路由器中使用FTP，HTTP，TELNET或SSH都有可以有代碼漏洞，在漏洞被發(fā)現(xiàn)報告后，應(yīng)該及時安裝升級包或補丁。

1.4權(quán)限管理

基于角色的管理給予管理員最低程度的許可來完成任務(wù)，允許分派任務(wù)，提供檢查及平衡，只有受信任的連接才能管理它們。管理權(quán)限可賦予設(shè)備或其他主機，例如管理權(quán)限可授予一定IP地址及特定的TCP/UDP端口。

控制管理權(quán)限的最好辦法是在授權(quán)進入前分權(quán)限，可以通過認證和帳戶服務(wù)器，例如遠程接入服務(wù)，終端服務(wù)，或LDAP服務(wù)。

1.5遠程連接的加密

在有些情況下，管理員需要遠程管理交換機及路由器。為了保證管理傳輸?shù)陌踩?，需要加密協(xié)議，SSH是所有遠程命令行設(shè)置和文件傳輸?shù)臉藴蕝f(xié)，基于WEB的則使用SSL或TLS協(xié)議，LDAP通常是通訊的協(xié)議，而SSL/TLS則用于加密此通訊。

1.6網(wǎng)絡(luò)管理協(xié)議

SNMP用來發(fā)現(xiàn)、監(jiān)控、配置網(wǎng)絡(luò)設(shè)備，SNMP3是足夠安全的版本，可以保證授權(quán)的通信。

2.常用網(wǎng)絡(luò)安全方法

(1)網(wǎng)絡(luò)服務(wù)器及交換機和路由器口令設(shè)置應(yīng)該采用沒有意義的數(shù)字、字母和特殊符號的組合，長度應(yīng)該大于9位，以減少使用暴力破解或密碼字典破解密碼口令的可行行。

(2)建立登錄控制可以減輕受攻擊的可能性，設(shè)定嘗試登錄的次數(shù)，在遇到這種掃描時能做出反應(yīng)。詳細的日志在發(fā)現(xiàn)嘗試破解密碼及端口掃描時是非常有效的。

(3)交換機及路由器的配置文件的安全也是不容忽視的，通常配置文件應(yīng)該保存在安全的位置，有些交換機結(jié)合了入侵檢測的功能，一些通過端口映射支持，允許管理員選擇監(jiān)控端口。

(4)虛擬網(wǎng)絡(luò)的角色：通常，只有通過劃分子網(wǎng)才可以隔離廣播，但是VLAN的出現(xiàn)打破了這個定律。VLAN叫做虛擬局域網(wǎng)，它的作用就是將物理上互連的網(wǎng)絡(luò)在邏輯上劃分為多個互不相干的網(wǎng)絡(luò)，這些網(wǎng)絡(luò)之間是無法通訊的，就好像互相之間沒有連接一樣，因此廣播也就隔離開了。

VLAN的實現(xiàn)原理非常簡單，通過交換機的控制，某一VLAN成員發(fā)出的數(shù)據(jù)包交換機只發(fā)個同一VLAN的其它成員，而不會發(fā)給該VLAN成員以外的計算機。

使用VLAN的目的不僅僅是隔離廣播，還有安全和管理等方面的應(yīng)用，例如將重要部門與其它部門通過VLAN隔離，即使同在一個網(wǎng)絡(luò)也可以保證他們不能互相通訊，確保重要部門的數(shù)據(jù)安全；也可以按照不同的部門、人員，位置劃分VLAN，分別賦給不同的權(quán)限來進行管理。

VLAN的劃分有很多種，可以按照IP地址來劃分，按照端口來劃分、按照MAC地址劃分或者按照協(xié)議來劃分，常用的劃分方法是將端口和IP地址結(jié)合來劃分VLAN，某幾個端口為一個VLAN，并為該VLAN配置IP地址，那么該VLAN中的計算機就以這個地址為網(wǎng)關(guān)，其它VLAN則不能與該VLAN處于同一子網(wǎng)。

不同VLAN中的計算機之間進行通訊，可以通過VLAN Trunk來解決。VLAN Trunk目前有兩種標準，ISL和802.1q，前者是Cisco專有技術(shù)，后者則是IEEE的國際標準。

(5)安裝防火墻。防火墻可以控制網(wǎng)絡(luò)之間的訪問，最廣泛應(yīng)用的是嵌在傳統(tǒng)路由器和多層交換機上的。防火墻的不同主要在于他們掃描包的深度，是端到端的直接通訊還是通過，是否有session。

3.結(jié)束語

現(xiàn)在的網(wǎng)絡(luò)要求設(shè)計成各層次都是安全的，通過部署交換機和路由器的安全設(shè)置，可以使用安全技術(shù)創(chuàng)建起強壯、各層都安全的系統(tǒng)。網(wǎng)絡(luò)安全是一項巨大的系統(tǒng)工程，其涉及的領(lǐng)域很廣泛?；诼酚善骱徒粨Q機的安全只是其中一項，但只要合理有效地配置好設(shè)備，就可以有效、安全、方便地保護我們的內(nèi)部網(wǎng)絡(luò)，加強網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全控制與病毒防范是一項長期而艱巨的任務(wù)，需要不斷的探索。隨著網(wǎng)絡(luò)的發(fā)展計算機病毒形式日趨多樣化，網(wǎng)絡(luò)安全問題日益復(fù)雜化，網(wǎng)絡(luò)安全建設(shè)不再像單臺計算機安全防護那樣簡單。計算機網(wǎng)絡(luò)安全需要建立多層次的，立體的防護體系，要具備完善的管理系統(tǒng)來設(shè)置和維護對安全的防護策略?！?/p>

【參考文獻】

［1］麥奎里，李祥瑞，張明，等.Cisco網(wǎng)絡(luò)設(shè)備互連(第2版)[M].北京：人民郵電出版社出版社，2010.

［2］王群.計算機網(wǎng)絡(luò)安全管理[M].北京：人民郵電出版社出版社，2010.

［3］宗明耀.企業(yè)網(wǎng)絡(luò)組建維護運營技術(shù)與網(wǎng)絡(luò)安全控制措施及故障診斷排除實用全書[M].北京：中國企業(yè)管理出版社，2007.

［4］顧巧論，高鐵杠，賈春福.計算機網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2008.