導(dǎo)語：如何才能寫好一篇互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：企業(yè)網(wǎng) 網(wǎng)絡(luò)安全 安全體系 入侵檢測 病毒防護(hù)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，在企業(yè)中運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行各項(xiàng)工作更加的深入和普及，通過企業(yè)網(wǎng)絡(luò)向師生提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的信息服務(wù)，沖破了人與人之間在時(shí)間和空間分隔的制約，越來越被更多的人們所接受和應(yīng)用。然而由于企業(yè)網(wǎng)絡(luò)自身的特點(diǎn)，使安全問題在企業(yè)網(wǎng)絡(luò)的運(yùn)行與管理中格外突出，研究構(gòu)建、完善基于企業(yè)網(wǎng)的信息安全體系，對(duì)企業(yè)網(wǎng)安全問題的解決具有重要意義。

一、企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況概述

企業(yè)網(wǎng)絡(luò)是在企業(yè)范圍內(nèi)，在一定的思想和理論指導(dǎo)下，為企業(yè)提供資源共享、信息交流和協(xié)同工作的計(jì)算機(jī)網(wǎng)絡(luò)。隨著我國各地企業(yè)網(wǎng)數(shù)量的迅速增加，如何實(shí)現(xiàn)企業(yè)網(wǎng)之間資源共享、信息交流和協(xié)同工作以及保證企業(yè)網(wǎng)絡(luò)安全的要求是越來越強(qiáng)烈。與其它網(wǎng)絡(luò)一樣，企業(yè)網(wǎng)也同樣面臨著各種各樣的網(wǎng)絡(luò)安全問題。但是在企業(yè)網(wǎng)絡(luò)建設(shè)的過程中，由于對(duì)技術(shù)的偏好和運(yùn)營意識(shí)的不足，普遍都存在”重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，關(guān)鍵性應(yīng)用的普及和深入，企業(yè)網(wǎng)絡(luò)在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證企業(yè)網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)企業(yè)不可回避的一個(gè)緊迫問題，解決網(wǎng)絡(luò)安全問題刻不容緩，并且逐漸引起了各方面的重視。

由于Internet上存在各種各樣不可預(yù)知的風(fēng)險(xiǎn)，網(wǎng)絡(luò)入侵者可以通過多種方式攻擊內(nèi)部網(wǎng)絡(luò)。此外，由于企業(yè)網(wǎng)用戶網(wǎng)絡(luò)安全尚欠缺，很少考慮實(shí)際存在的風(fēng)險(xiǎn)和低效率，很少學(xué)習(xí)防范病毒、漏洞修復(fù)、密碼管理、信息保密的必備知識(shí)以及防止人為破壞系統(tǒng)和篡改敏感數(shù)據(jù)的有關(guān)技術(shù)。

因此，在設(shè)計(jì)時(shí)有必要將公開服務(wù)器和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)網(wǎng)絡(luò)通訊進(jìn)行有效的過濾，使必要的服務(wù)請求到達(dá)主機(jī)，對(duì)不必要的訪問請求加以拒絕。

二、企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與構(gòu)建

網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實(shí)際上是入侵者與反入侵者之間的持久的對(duì)抗過程。網(wǎng)絡(luò)安全體系不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)。人們力圖建立的是一個(gè)網(wǎng)絡(luò)安全的動(dòng)態(tài)防護(hù)體系，是動(dòng)態(tài)加靜態(tài)的防御，是被動(dòng)加主動(dòng)的防御甚至抗擊，是管理加技術(shù)的完整安全觀念。但企業(yè)網(wǎng)絡(luò)安全問題不是在網(wǎng)絡(luò)中加一個(gè)防火墻就能解決的問題，需要有一個(gè)科學(xué)、系統(tǒng)、全面的網(wǎng)絡(luò)安全結(jié)構(gòu)體系。

（一）企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)目標(biāo)

企業(yè)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)的目標(biāo)是使在企業(yè)網(wǎng)絡(luò)中信息的采集、存儲(chǔ)、處理、傳播和運(yùn)用過程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保護(hù)的一種狀態(tài)。在網(wǎng)絡(luò)上傳遞的信息沒有被故意的或偶然的非法授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識(shí)、控制，網(wǎng)絡(luò)信息的保密性、完整性、可用性、可控性得到良好保護(hù)的狀態(tài)。

（二） 企業(yè)網(wǎng)防火墻的部署

1.安全策略。所有的數(shù)據(jù)包都必須經(jīng)過防火墻;只有被允許的數(shù)據(jù)包才能通過防火墻;防火墻本身要有預(yù)防入侵的功能;默認(rèn)禁止所有的服務(wù)，除非是必須的服務(wù)才被允許。

2.系統(tǒng)設(shè)計(jì)。在互聯(lián)網(wǎng)與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺(tái)硬件防火墻，在內(nèi)外網(wǎng)之間建立一道安全屏障。其中WEB、E一mail、FTP等服務(wù)器放置在防火墻的DMZ區(qū)(即“非軍事區(qū)”，是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信以保證內(nèi)網(wǎng)安全)，與內(nèi)網(wǎng)和外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接企業(yè)網(wǎng)，外網(wǎng)口通過電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。

3.入侵檢測系統(tǒng)的設(shè)計(jì)和部署。入侵檢測系統(tǒng)主要檢測對(duì)網(wǎng)絡(luò)系統(tǒng)各主要運(yùn)營環(huán)節(jié)的實(shí)時(shí)入侵，在企業(yè)網(wǎng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間設(shè)置瑞星RIDS一100入侵檢測系統(tǒng)，與防火墻并行的接入網(wǎng)絡(luò)中，監(jiān)測來自互聯(lián)網(wǎng)、企業(yè)網(wǎng)內(nèi)部的攻擊行為。發(fā)現(xiàn)入侵行為時(shí)，及時(shí)通知防火墻阻斷攻擊源。

4.企業(yè)網(wǎng)絡(luò)安全體系實(shí)施階段。第一階段:基本安全需求。第一階段的目標(biāo)是利用已有的技術(shù)，首先滿足企業(yè)網(wǎng)最迫切的安全需求，所涉及到的安全內(nèi)容有:

①滿足設(shè)備物理安全

②VLAN與IP地址的規(guī)劃與實(shí)施

③制定相關(guān)安全策略

④內(nèi)外網(wǎng)隔離與訪問控制

⑤內(nèi)網(wǎng)自身病毒防護(hù)

⑥系統(tǒng)自身安全

⑦相關(guān)制度的完善

第二階段:較高的安全需求。這一階段的目標(biāo)是在完成第一階段安全需求的前提下，全面實(shí)現(xiàn)整個(gè)企業(yè)網(wǎng)絡(luò)的安全需求。所涉及的安全內(nèi)容有:

①入侵檢測與保護(hù)

②身份認(rèn)證與安全審計(jì)

③流量控制

④內(nèi)外網(wǎng)病毒防護(hù)與控制

⑤動(dòng)態(tài)調(diào)整安全策略

第三階段:后續(xù)動(dòng)態(tài)的安全系統(tǒng)調(diào)整與完善。相關(guān)安全策略的調(diào)整與完善以及數(shù)據(jù)備份與災(zāi)難恢復(fù)等。

在上述分析、比較基礎(chǔ)上，我們利用現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)，結(jié)合企業(yè)網(wǎng)的特點(diǎn)，依據(jù)設(shè)計(jì)、構(gòu)建的企業(yè)網(wǎng)絡(luò)安全體系，成功構(gòu)建了如圖4-1的企業(yè)網(wǎng)絡(luò)安全解決方案，對(duì)本研究設(shè)計(jì)、構(gòu)建的企業(yè)網(wǎng)絡(luò)安全體系的實(shí)踐應(yīng)用具有重要的指導(dǎo)意義。

圖4-1 企業(yè)網(wǎng)絡(luò)安全體系應(yīng)用解決方案

結(jié) 語

本文通過對(duì)企業(yè)網(wǎng)絡(luò)特點(diǎn)及所面臨的安全風(fēng)險(xiǎn)分析，從網(wǎng)絡(luò)安全系統(tǒng)策略與設(shè)計(jì)目標(biāo)的確立出發(fā)，依據(jù)企業(yè)網(wǎng)絡(luò)安全策略設(shè)計(jì)，構(gòu)建相對(duì)比較全面的企業(yè)網(wǎng)絡(luò)安全體系，并參照設(shè)計(jì)、構(gòu)建的企業(yè)網(wǎng)絡(luò)安全體系，給出了一個(gè)較全面的企業(yè)網(wǎng)絡(luò)安全解決方案。對(duì)促進(jìn)當(dāng)前我國企業(yè)網(wǎng)絡(luò)普遍應(yīng)用情況下，企業(yè)網(wǎng)絡(luò)安全問題的解決，具有重要意義。

參考文獻(xiàn)：

[1]方杰，許峰，黃皓.一種優(yōu)化入侵檢測系統(tǒng)的方案[J.]計(jì)算機(jī)應(yīng)用，2005，(01).

[2]李瑩.小型分布式入侵檢測系統(tǒng)的構(gòu)建[J].安陽工學(xué)院學(xué)報(bào)，2005，(06).

篇2

計(jì)算機(jī)網(wǎng)絡(luò)起源于二十世紀(jì)六十年代，最早是由美國國防部高級(jí)研究計(jì)劃署（ARPA）進(jìn)行的。ARPA投資推進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)的研究研發(fā)，1969年建成了著名的Internet的前身ARPANET，后來隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，形成了以ARPANET為主干的Internet雛形，直至今日互聯(lián)網(wǎng)的誕生。在當(dāng)今的網(wǎng)絡(luò)環(huán)境下，物理安全、網(wǎng)絡(luò)結(jié)構(gòu)安全、系統(tǒng)安全、管理安全等都會(huì)對(duì)網(wǎng)絡(luò)安全造成影響。因此，為了維護(hù)網(wǎng)絡(luò)環(huán)境的安全，網(wǎng)絡(luò)安全技術(shù)是必不可少的。隨著國家網(wǎng)絡(luò)信息化的不斷建設(shè)與發(fā)展，各個(gè)企業(yè)都根據(jù)自己公司的需要，建成了符合公司要求的企業(yè)網(wǎng)，使企業(yè)員工可以很方便的訪問企業(yè)的通信資源、處理器資源、存貯器資源、信息資源等。但是建立企業(yè)網(wǎng)就不得不面對(duì)復(fù)雜惡劣的網(wǎng)絡(luò)環(huán)境，因?yàn)榫W(wǎng)絡(luò)安全技術(shù)的不成熟，使不少企業(yè)的網(wǎng)絡(luò)信息資源丟失或被篡改，給企業(yè)帶來了不小的損失。因此，影響網(wǎng)絡(luò)安全的因素成了企業(yè)建立企業(yè)網(wǎng)不得不解決的重大難題，網(wǎng)絡(luò)安全技術(shù)也被越來越多的企業(yè)重視[1]。

2影響網(wǎng)絡(luò)安全的因素

2.1網(wǎng)絡(luò)協(xié)議自身的安全缺陷。Intrenet是一個(gè)自身網(wǎng)絡(luò)協(xié)議開放的信息共享系統(tǒng)，網(wǎng)絡(luò)協(xié)議是信息共享的關(guān)鍵環(huán)節(jié)，當(dāng)前常用的網(wǎng)絡(luò)協(xié)議是TCP/IP協(xié)議、IPX/SPX協(xié)議、NerBEUI協(xié)議等。正是因?yàn)檫@些網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)信息共享才會(huì)實(shí)現(xiàn)，但是網(wǎng)絡(luò)協(xié)議是存在著安全缺陷的，TCP/IP協(xié)議是目前使用最為廣泛的網(wǎng)絡(luò)協(xié)議，它的安全性，關(guān)系著整個(gè)Internet的安全。由于TCP/IP協(xié)議在設(shè)計(jì)時(shí)未考慮到自身的安全性問題，所以很容易受到“駭客”的攻擊，其安全性是沒有保障的[2]。

2.2軟硬件的安全缺陷。網(wǎng)絡(luò)硬件設(shè)施是構(gòu)成互聯(lián)網(wǎng)不可或缺的一大組成部分，但是其自身的安全性十分脆弱，主要表現(xiàn)為：a.網(wǎng)絡(luò)與計(jì)算機(jī)存在電磁信息泄漏；b.通訊部分的脆弱性，通訊線路一般是電話線、專線、微波、光纜。在進(jìn)行信息數(shù)據(jù)進(jìn)行傳輸時(shí)，前三種線路上的信息容易被截取。c.計(jì)算機(jī)操作系統(tǒng)的缺陷。此外，軟件的缺陷也是影響網(wǎng)絡(luò)安全的重要因素，軟件的缺陷是軟件具有的先天特征，無論是小程序還是大型的軟件系統(tǒng)，都有這樣那樣的缺陷，目前大多數(shù)網(wǎng)絡(luò)病毒就是以軟件的形式在互聯(lián)網(wǎng)中傳播，其影響不容小覷。

3國內(nèi)企業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀

隨著通訊工程和電子信息技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為當(dāng)今社會(huì)不可或缺的一個(gè)組成部分，已經(jīng)滲透到了經(jīng)濟(jì)、生活等各個(gè)領(lǐng)域之中。為了更好的分享、利用網(wǎng)絡(luò)信息資源，各大企業(yè)都積極的組建和發(fā)展自己的企業(yè)網(wǎng)。伴隨著網(wǎng)絡(luò)的發(fā)展，各種各樣的網(wǎng)絡(luò)安全問題相繼而生，網(wǎng)絡(luò)安全隱患日益突出，引起了社會(huì)各界的廣泛關(guān)注。然而，企業(yè)之間的網(wǎng)絡(luò)硬件設(shè)施卻是參差不齊的，經(jīng)濟(jì)實(shí)力的強(qiáng)弱直接決定著企業(yè)網(wǎng)絡(luò)建設(shè)和硬件水平的高低。目前，企業(yè)網(wǎng)絡(luò)中的具有安全防護(hù)特性的硬件設(shè)備主要有：防火墻、入侵檢測系統(tǒng)、安全路由器和交換機(jī)。一些企業(yè)的網(wǎng)絡(luò)建設(shè)經(jīng)費(fèi)可能會(huì)有些不足，對(duì)網(wǎng)絡(luò)安全的要求只能滿足其最基本的使用要求，對(duì)于企業(yè)網(wǎng)絡(luò)硬件基礎(chǔ)平臺(tái)的安全性來說，這種投入明顯是不夠的。此外，企業(yè)之間的技術(shù)管理水平也存明顯的高低差距，企業(yè)的經(jīng)濟(jì)水平直接決定了該企業(yè)在網(wǎng)絡(luò)技術(shù)能力上的強(qiáng)弱，具有一定經(jīng)驗(yàn)的網(wǎng)絡(luò)從業(yè)者都集中在大型的企業(yè)或組織機(jī)構(gòu)。中小型企業(yè)或組織機(jī)構(gòu)中嚴(yán)重缺乏專業(yè)的技術(shù)人員。由于缺乏相應(yīng)的網(wǎng)絡(luò)安全管理制度，企業(yè)員工的網(wǎng)絡(luò)應(yīng)用水平普遍偏低，缺乏網(wǎng)絡(luò)安全意識(shí)。對(duì)此，企業(yè)應(yīng)加強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí)，完善網(wǎng)絡(luò)安全管理制度，如此才能確保網(wǎng)絡(luò)環(huán)境的安全[3]。

4網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)的應(yīng)用措施

4.1物理環(huán)境的安全應(yīng)用措施。物理環(huán)境安全包括設(shè)備的軟硬件安全，通訊線路安全，運(yùn)行環(huán)境安全等等方面。通訊線路的安全的可以防止信息數(shù)據(jù)在傳輸?shù)木€路上被攔截或篡改，為了使信息數(shù)據(jù)傳輸更加的安全，可以選擇安全性更高的光纖作為傳輸介質(zhì)，防止數(shù)據(jù)被攔截或篡改。此外，對(duì)于網(wǎng)絡(luò)的依賴性比較大的企業(yè)，一旦停電或者斷電，就會(huì)對(duì)企業(yè)會(huì)造成不必要的損失，為了預(yù)防這種情況發(fā)生，企業(yè)應(yīng)該安裝不間斷電源（UPS），避免這種情況發(fā)生。同時(shí)，網(wǎng)絡(luò)中斷也會(huì)對(duì)企業(yè)造成比較大的損失，為了確保通訊線路的暢通，企業(yè)做好冗余備份是必要的選擇，冗余備份就是多準(zhǔn)備一份或者幾份，以備不時(shí)之需。如此一來，當(dāng)一條通訊線路出了問題或者故障，導(dǎo)致網(wǎng)絡(luò)中斷時(shí)，會(huì)自動(dòng)選擇冗余備份的線路，以確保網(wǎng)絡(luò)連接不被中斷，避免不必要的損失。

4.2操作系統(tǒng)的安全應(yīng)用措施。操作系統(tǒng)的安全性直接影響到網(wǎng)絡(luò)的安全，由于種種原因，計(jì)算機(jī)的操作系統(tǒng)存在著比較多的系統(tǒng)漏洞（BUG）。目前大多數(shù)網(wǎng)絡(luò)攻擊就是利用BUG進(jìn)行惡意攻擊。為了預(yù)防這種情況發(fā)生，用戶需要定期對(duì)計(jì)算機(jī)進(jìn)行系統(tǒng)檢查與修復(fù)，可以到微軟官網(wǎng)上下載適合系統(tǒng)的補(bǔ)丁進(jìn)行修復(fù)[4]。

4.3網(wǎng)絡(luò)配置的安全應(yīng)用措施。網(wǎng)絡(luò)配置的安全應(yīng)用對(duì)于企業(yè)網(wǎng)的安全是至關(guān)重要的，為了有效地預(yù)防網(wǎng)絡(luò)攻擊及病毒入侵，需要合理安裝和設(shè)置防火墻、補(bǔ)丁系統(tǒng)、網(wǎng)絡(luò)殺毒軟件等等。此外，還要對(duì)賬號(hào)密碼進(jìn)行有效的保護(hù)；關(guān)閉不需要的服務(wù)和端口；定期對(duì)服務(wù)器進(jìn)行備份；檢測系統(tǒng)日志。

4.4網(wǎng)絡(luò)的安全應(yīng)用措施。為了更容易的獲取信息資源，大多數(shù)的企業(yè)網(wǎng)都與外網(wǎng)進(jìn)行了連接，這樣做在方便了自己的同時(shí)，也很可能產(chǎn)生一些安全隱患。比如通過聊天工具傳播一些惡意軟件或網(wǎng)絡(luò)詐騙信息等。這樣的安全隱患也可能是企業(yè)員工在瀏覽網(wǎng)頁的過程中不經(jīng)意的觸發(fā)了一些不安全鏈接，進(jìn)而帶入了一些惡意軟件，使企業(yè)網(wǎng)的數(shù)據(jù)資源失竊或被篡改。為了有效防止這種情況的發(fā)生，企業(yè)網(wǎng)絡(luò)用戶在上網(wǎng)時(shí)，要時(shí)刻保持警惕，不要輕易的相信來自網(wǎng)絡(luò)中的任何信息，對(duì)任何一個(gè)要進(jìn)入網(wǎng)絡(luò)的人，都要進(jìn)行必要的身份認(rèn)證。面對(duì)有些需要在網(wǎng)絡(luò)上進(jìn)行共享的信息時(shí)，企業(yè)網(wǎng)絡(luò)用戶要采取一定的措施來保證信息的安全，避免信息的泄漏。此外，企業(yè)網(wǎng)絡(luò)用戶還要堅(jiān)決抵制惡意網(wǎng)站，拒絕惡意請求，確保網(wǎng)絡(luò)的安全應(yīng)用。

5結(jié)束語

篇3

1.1安全防御意識(shí)缺失

企業(yè)內(nèi)部人員并沒有充分認(rèn)知到網(wǎng)絡(luò)安全防護(hù)的重要性，安全防護(hù)意識(shí)存在很大程度的缺失。隨著數(shù)字化技術(shù)的普及，網(wǎng)絡(luò)辦公方式將逐步實(shí)現(xiàn)數(shù)字化，辦公模式網(wǎng)絡(luò)化將會(huì)致使企業(yè)內(nèi)部人員對(duì)自動(dòng)化技術(shù)產(chǎn)生高度依賴性。但是企業(yè)內(nèi)部人員并沒有對(duì)網(wǎng)絡(luò)安全防護(hù)工作給予高度重視，很多企業(yè)內(nèi)部的防御系統(tǒng)都存在陳舊老化的現(xiàn)象，沒有對(duì)網(wǎng)絡(luò)防御系統(tǒng)進(jìn)行及時(shí)更新，網(wǎng)絡(luò)建設(shè)沒有足夠的資金支持，沒有針對(duì)網(wǎng)絡(luò)安全構(gòu)建完善的防護(hù)機(jī)制；面對(duì)網(wǎng)絡(luò)惡意破壞，企業(yè)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)并不具備良好的抵抗能力，一旦遭受破壞，將會(huì)很難進(jìn)行維修；企業(yè)領(lǐng)導(dǎo)者并沒針對(duì)網(wǎng)絡(luò)安全開設(shè)相應(yīng)的管理部門，也沒有配備專業(yè)人員對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行信息安全監(jiān)管。

1.2網(wǎng)絡(luò)非法入侵

企業(yè)網(wǎng)絡(luò)系統(tǒng)存在較多漏洞，網(wǎng)絡(luò)黑客將會(huì)利用這些漏洞非法入侵企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，繼而篡改企業(yè)信息資源、下載企業(yè)重要資料，致使企業(yè)內(nèi)部商業(yè)機(jī)密出現(xiàn)損壞、丟失或是泄漏等問題，會(huì)對(duì)企業(yè)的生存與發(fā)展造成巨大的不良影響。除此之外，網(wǎng)絡(luò)黑客還可以利用網(wǎng)絡(luò)系統(tǒng)漏洞，冒充他人，在網(wǎng)絡(luò)上進(jìn)行非法訪問、竊取商業(yè)機(jī)密、泄露傳輸信息、詐騙、對(duì)計(jì)算進(jìn)行病毒破壞以及干擾等行為，對(duì)企業(yè)的信息化網(wǎng)絡(luò)工程建設(shè)造成非常大的威脅，是企業(yè)實(shí)現(xiàn)信息化建設(shè)的主要障礙性因素。

1.3網(wǎng)絡(luò)病毒

網(wǎng)絡(luò)病毒可以通過多種途徑對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行感染與侵害，例如，文件打開、軟件下載、聊天傳輸信息以及郵寄電子郵件等。病毒可以通過及時(shí)網(wǎng)絡(luò)進(jìn)行傳播，因此網(wǎng)絡(luò)病毒的感染范圍非常大，感染效率較快，對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)具有較大的危害性。隨著計(jì)算機(jī)技術(shù)的普及，網(wǎng)絡(luò)技術(shù)在各個(gè)領(lǐng)域受到了大力推廣，為網(wǎng)絡(luò)病毒的傳播提供了主要途徑，并在很大程度上提高了網(wǎng)絡(luò)病毒的感染效率。企業(yè)內(nèi)部人員在使用介質(zhì)軟件或是數(shù)據(jù)時(shí)，都有可能促使企業(yè)網(wǎng)絡(luò)系統(tǒng)感染網(wǎng)絡(luò)病毒，致使企業(yè)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)崩潰現(xiàn)象，整個(gè)網(wǎng)絡(luò)工程處于癱瘓狀態(tài)，導(dǎo)致企業(yè)網(wǎng)絡(luò)系統(tǒng)無法發(fā)揮自身的服務(wù)功能，會(huì)給企業(yè)造成嚴(yán)重的經(jīng)濟(jì)損失。除此之外，網(wǎng)絡(luò)病毒還可以采取其他手段對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行病毒感染，例如竊取用戶名、登錄密碼等。

1.4忽視內(nèi)部防護(hù)

企業(yè)在構(gòu)建網(wǎng)絡(luò)化工程時(shí)，將對(duì)外工程作為系統(tǒng)防護(hù)重點(diǎn)，高度重視安全防火墻技術(shù)，并沒有對(duì)內(nèi)部防護(hù)工程的重要性形成正確的認(rèn)知。安全防火墻只能提高企業(yè)網(wǎng)絡(luò)工程的對(duì)外防護(hù)質(zhì)量，對(duì)內(nèi)部防護(hù)毫無作用，如果使用企業(yè)內(nèi)的計(jì)算機(jī)攻擊網(wǎng)絡(luò)工程的局部區(qū)域，網(wǎng)絡(luò)工程的局部區(qū)域?qū)?huì)受到嚴(yán)重破壞?，F(xiàn)階段，內(nèi)部攻擊行為也被列為企業(yè)網(wǎng)絡(luò)安全建設(shè)的主要障礙性因素之一，因此，企業(yè)領(lǐng)導(dǎo)者要高度重視內(nèi)部防護(hù)工程建設(shè)，只有這樣，才能確保企業(yè)網(wǎng)絡(luò)化工程實(shí)現(xiàn)安全建設(shè)。根據(jù)相關(guān)調(diào)查資料顯示，現(xiàn)階段，我國企業(yè)網(wǎng)絡(luò)所遭受的安全攻擊中，內(nèi)部網(wǎng)絡(luò)攻擊在中發(fā)生事件中占據(jù)著非常大的比例，企業(yè)內(nèi)部人員對(duì)于網(wǎng)絡(luò)安全沒有形成良好的防范意識(shí)、網(wǎng)絡(luò)結(jié)構(gòu)被無意泄漏、IP地址隨意更改、亂用敏感數(shù)據(jù)等都會(huì)對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)內(nèi)部防護(hù)工程造成巨大威脅。

2企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)安全建設(shè)的具體措施

2.1完善網(wǎng)絡(luò)安全體系

企業(yè)內(nèi)部人員在構(gòu)建網(wǎng)絡(luò)化工程前，要深入了解網(wǎng)絡(luò)信息的安全情況，對(duì)網(wǎng)絡(luò)信息的需求進(jìn)行準(zhǔn)確把握，具體分析企業(yè)內(nèi)部人員的使用情況以及非法攻擊情況，繼而采取科學(xué)合理的措施，開展具有針對(duì)性的信息安全管理工作，這樣可以為網(wǎng)絡(luò)安全建設(shè)提供基礎(chǔ)保障。企業(yè)網(wǎng)絡(luò)化工程安全性受到影響主要體現(xiàn)在兩方面，分別是外部入侵、內(nèi)部使用。內(nèi)部使用是指企業(yè)內(nèi)部工作人員沒有遵照相關(guān)規(guī)范標(biāo)準(zhǔn)進(jìn)行網(wǎng)絡(luò)操作、信息安全防護(hù)意識(shí)存在缺失等，致使企業(yè)內(nèi)部信息出現(xiàn)泄漏等現(xiàn)象；外部入侵是指網(wǎng)絡(luò)木馬、黑客攻擊以及網(wǎng)絡(luò)病毒等。這兩種方式都會(huì)對(duì)企業(yè)網(wǎng)絡(luò)安全建設(shè)造成巨大的不良影響，會(huì)致使企業(yè)信息丟失，危害企業(yè)的生存與發(fā)展，因此，企業(yè)內(nèi)部人員應(yīng)根據(jù)企業(yè)網(wǎng)絡(luò)化工程的實(shí)際使用情況，構(gòu)建相應(yīng)的安全體系，企業(yè)領(lǐng)導(dǎo)者還要針對(duì)工作人員的行為進(jìn)行標(biāo)準(zhǔn)規(guī)范，避免工作人員在實(shí)際網(wǎng)絡(luò)應(yīng)用中，出現(xiàn)違規(guī)操作行為，提高企業(yè)內(nèi)部人員的安全防護(hù)意識(shí)，并構(gòu)建軟硬件防護(hù)體系，可以有效抵抗外部入侵，從而保障企業(yè)網(wǎng)絡(luò)信息的安全。

2.2構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)

現(xiàn)階段，企業(yè)在網(wǎng)絡(luò)化工程建設(shè)過程中，主要采取兩種防護(hù)方式構(gòu)建安全系統(tǒng)，分別是軟件防護(hù)、硬件防護(hù)。面對(duì)現(xiàn)階段科學(xué)技術(shù)發(fā)展對(duì)網(wǎng)絡(luò)安全建設(shè)提出的要求，企業(yè)內(nèi)部人員在構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)時(shí)，應(yīng)該將軟件防護(hù)與硬件防護(hù)進(jìn)行有效結(jié)合，只有這樣，才能確保企業(yè)網(wǎng)絡(luò)工程系統(tǒng)實(shí)現(xiàn)安全化建設(shè)，提高網(wǎng)絡(luò)信息的安全性，促使網(wǎng)絡(luò)化工程的服務(wù)功能得以全面發(fā)揮。隨著企業(yè)規(guī)模的不斷擴(kuò)大，企業(yè)內(nèi)部人員要想全面提升企業(yè)的網(wǎng)絡(luò)化工程的防護(hù)能力，還要對(duì)網(wǎng)絡(luò)硬件的使用情況進(jìn)行深入分析，繼而才能對(duì)防火墻服務(wù)器標(biāo)準(zhǔn)進(jìn)行選擇，這樣可以有效提升服務(wù)器的可行性。企業(yè)內(nèi)部人員要想構(gòu)建良好的網(wǎng)絡(luò)安全系統(tǒng)，首先要對(duì)系統(tǒng)硬件設(shè)備進(jìn)行深入調(diào)查，確定系統(tǒng)設(shè)備類型，準(zhǔn)確把握企業(yè)內(nèi)部人員的實(shí)際使用需求，繼而再對(duì)防火墻類型進(jìn)行選擇。

2.3對(duì)網(wǎng)絡(luò)安全設(shè)置進(jìn)行有效強(qiáng)化

首先，企業(yè)內(nèi)部人員要對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行充分了解，準(zhǔn)確把握其與互聯(lián)網(wǎng)之間的接入方式，然后選擇適宜的軟件設(shè)備以及防火墻設(shè)備，這樣可以促使互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡(luò)化工程之間實(shí)現(xiàn)安全接入，有效提升企業(yè)網(wǎng)絡(luò)工程的防護(hù)能力。對(duì)于企業(yè)原有的防火墻，不應(yīng)進(jìn)行拆除，應(yīng)該在其基礎(chǔ)上構(gòu)建入侵檢測系統(tǒng)，這樣可以對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)工程的運(yùn)行狀況進(jìn)行實(shí)時(shí)檢測，如果有突況，可以進(jìn)行及時(shí)反映，這樣不僅可以為企業(yè)內(nèi)部人員的工作提供很大的便捷性，還能為企業(yè)網(wǎng)絡(luò)信息安全建設(shè)提供技術(shù)保障。為了實(shí)現(xiàn)移動(dòng)辦公，企業(yè)內(nèi)部人員可以構(gòu)建一種加密系統(tǒng)，例如，VPN加密系統(tǒng)，利用該系統(tǒng)，企業(yè)內(nèi)部人員可以通過互聯(lián)網(wǎng)對(duì)企業(yè)內(nèi)網(wǎng)進(jìn)行訪問，而不必?fù)?dān)心出現(xiàn)信息泄露等情況，可以有效提升企業(yè)網(wǎng)絡(luò)安全的防護(hù)功效。

3結(jié)語

篇4

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)；系統(tǒng)；安全；虛擬化；信息化

一、 企業(yè)網(wǎng)的組成和所面臨的安全威脅

(一) 企業(yè)網(wǎng)的組成

企業(yè)網(wǎng)一般由兩個(gè)大的功能區(qū)域組成：企業(yè)內(nèi)網(wǎng)和企業(yè)外部接入網(wǎng)。我們可以邏輯上把這兩大區(qū)域進(jìn)一步劃分成若干個(gè)模塊，企業(yè)內(nèi)網(wǎng)包括管理模塊、核心模塊、分布層模塊、服務(wù)器模塊和邊界接入模塊五部分。企業(yè)外部接入網(wǎng)包括外網(wǎng)接入模塊和遠(yuǎn)程接入模塊兩個(gè)部分。不同模塊實(shí)現(xiàn)不同的功能，各自的安全需要也有所不同, 需要實(shí)施相應(yīng)的安全策略。模塊與模塊之間的安全策略相互影響、相互作用并互為補(bǔ)充。典型的大型企業(yè)網(wǎng)絡(luò)架構(gòu)如下圖：

(二) 企業(yè)網(wǎng)面臨的安全威脅

1. 來自內(nèi)部用戶的安全威脅

大多數(shù)威脅來自于內(nèi)部網(wǎng)絡(luò), 如缺乏安全意識(shí)的員工、心懷不滿的員工、公司間諜等都是這類攻擊的來源。

2. 來自外部網(wǎng)絡(luò)的安全威脅

隨著信息技術(shù)的不斷發(fā)展,企業(yè)總部與分支以及合作伙伴之間的聯(lián)網(wǎng)需求越來越迫切。它們之間不可避免的需要通過網(wǎng)絡(luò)交換信息及共享資源。同時(shí), 企業(yè)網(wǎng)還為內(nèi)部合法員工提供了上互聯(lián)網(wǎng)的途徑, 互聯(lián)網(wǎng)用戶可以訪問企業(yè)對(duì)外提供的公共服務(wù)器上的信息，由于信息資源的共享同時(shí)也給企業(yè)網(wǎng)的內(nèi)、外網(wǎng)安全帶來了一系列的挑戰(zhàn)。

二、 企業(yè)內(nèi)網(wǎng)的安全設(shè)計(jì)

企業(yè)內(nèi)網(wǎng)包括管理模塊、核心模塊、分布層模塊、服務(wù)器模塊和邊界接入模塊五部分。下面分別分析各個(gè)模塊的功能, 及面臨的安全威脅和相對(duì)應(yīng)的安全措施, 以及與其它模塊之間的關(guān)系。

(一) 管理模塊

管理模塊的主要功能是實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的所有設(shè)備和服務(wù)器的安全管理。所面臨最主要的安全威脅有未授權(quán)接入、口令攻擊、中間人攻擊等，為了消除以上管理模塊面臨的安全威脅,應(yīng)采取以下的安全措施：

1. 管理數(shù)據(jù)流和生產(chǎn)網(wǎng)數(shù)據(jù)流需有效的安全隔離，包括盡可能使用安全性高的帶外管理, 在不能使用帶外管理的情況下,帶內(nèi)管理也要做到使用IPSec、SSH等加密傳輸。

2. 采用強(qiáng)力的認(rèn)證授權(quán)技術(shù)對(duì)管理信息進(jìn)行認(rèn)證和授權(quán)，可以通過采用AAA認(rèn)證和雙因素認(rèn)證技術(shù), 保證只有合法的用戶才能管理相應(yīng)設(shè)備, 并能夠防止密碼泄漏和對(duì)密碼竊聽。

3. 采用完善的安全審計(jì)技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)（或重要網(wǎng)絡(luò)部分）的運(yùn)行進(jìn)行記錄和分析，可以通過對(duì)記錄的日志數(shù)據(jù)進(jìn)行分析、比較，找出發(fā)生的網(wǎng)絡(luò)安全問題的原因，并為今后網(wǎng)絡(luò)整改提供依據(jù)。

4. 部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，從而能夠?qū)α魅牒土鞒龉芾砟K的數(shù)據(jù)流進(jìn)行實(shí)時(shí)的分析并及時(shí)發(fā)現(xiàn)可能的入侵行為。

由于管理模塊全網(wǎng)可達(dá), 且能夠?qū)θW(wǎng)的所有設(shè)備和服務(wù)器進(jìn)行管理，所以它的安全防護(hù)策略應(yīng)該是全網(wǎng)最嚴(yán)格的。

(二) 核心模塊

核心模塊的主要功能是快速轉(zhuǎn)發(fā)。所面臨主要安全威脅是分組竊聽、功能區(qū)域劃分模糊和如何實(shí)現(xiàn)快速故障隔離。當(dāng)多種應(yīng)用流量運(yùn)行在核心模塊時(shí)，如何防止不同應(yīng)用流量被竊聽篡改、如何對(duì)不同應(yīng)用區(qū)域進(jìn)行分類保護(hù)、如何在核心模塊故障發(fā)生時(shí)進(jìn)行有效快速的故障隔離成了當(dāng)務(wù)之急。

核心模塊的主要設(shè)備是三層交換機(jī), 三層交換架構(gòu)是消除分組竊聽威脅的有效手段，而核心三層交換機(jī)的虛擬化技術(shù)則可以解決核心功能區(qū)域的精細(xì)劃分、實(shí)現(xiàn)有效快速的隔離故障，提高系統(tǒng)的可用性，防止級(jí)聯(lián)式的服務(wù)中斷。通過核心交換機(jī)的虛擬化技術(shù)還可實(shí)現(xiàn)交換機(jī)控制和管理平面的虛擬化，在三層交換機(jī)上配置相應(yīng)的安全策略，為多個(gè)應(yīng)用或部門的流量提供安全的網(wǎng)絡(luò)分區(qū)，讓每個(gè)應(yīng)用或部門可以獨(dú)立管理和維護(hù)其各自的配置。

(三) 分布層模塊

分布層模塊主要提供包括路由、QoS和訪問控制。所面臨的主要安全威脅有未授權(quán)訪問、欺騙、病毒和特洛伊木馬的應(yīng)用。為了消除以上分布層模塊面臨的安全威脅, 分布層模塊應(yīng)采取以下的安全措施：

1. 針對(duì)二層網(wǎng)絡(luò)的安全威脅，利用網(wǎng)絡(luò)設(shè)備本身的二層網(wǎng)絡(luò)安全性能，進(jìn)行二層網(wǎng)絡(luò)安全策略的部署，如二層VLAN劃分、DHCP窺探保護(hù)、動(dòng)態(tài)ARP檢查、IP源地址保護(hù)等安全策略。

2. 通過在分布層使用訪問控制, 可以減少一個(gè)部門訪問另一部門服務(wù)器上保密信息的機(jī)會(huì)，利用設(shè)備包過濾技術(shù)，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。

3. 通過RFC2827過濾可有效防止源地址欺騙。

4. 部署防病毒系統(tǒng)，防止各個(gè)工作站感染病毒和特洛伊木馬的應(yīng)用。

5. 部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，通過在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，可以實(shí)現(xiàn)最大限度減少內(nèi)部網(wǎng)絡(luò)安全威脅，降低病毒和蠕蟲造成的停機(jī)時(shí)間。

根據(jù)網(wǎng)絡(luò)規(guī)模和性能要求的不同, 核心層和分布層可以結(jié)合起來合二為一, 從而達(dá)到減少硬件設(shè)備，達(dá)到減少投資與節(jié)能等目的。

(四) 服務(wù)器模塊

服務(wù)器模塊的主要目標(biāo)是向最終用戶和設(shè)備提供應(yīng)用服務(wù)。所面臨的主要安全威脅有未授權(quán)訪問、應(yīng)用層攻擊、IP欺騙、分組竊聽和端口重定向等。為了消除以上安全威脅,應(yīng)采取以下的安全措施：

1. 使用基于主機(jī)和網(wǎng)絡(luò)的IDS/IPS系統(tǒng)。

2. 在交換機(jī)上配置私有VLAN,實(shí)現(xiàn)對(duì)服務(wù)器的訪問限制, 限制對(duì)關(guān)健服務(wù)器的隨意訪問。

3. 對(duì)服務(wù)器及時(shí)打上最新的補(bǔ)丁程序。

4. 對(duì)服務(wù)器區(qū)域（DMZ區(qū)域）進(jìn)行不同安全級(jí)別劃分，通過對(duì)不同應(yīng)用的服務(wù)器進(jìn)行安全級(jí)別的劃分，并通過防火墻模塊進(jìn)行DMZ邏輯區(qū)域的隔離，可以實(shí)現(xiàn)服務(wù)器故障的快速隔離和服務(wù)器間訪問的有效控制。

5. 針對(duì)企業(yè)較為重要的郵件應(yīng)用服務(wù)器，可以單獨(dú)部署電子郵件安全產(chǎn)品，從而減少與垃圾郵件、病毒和其它各種威脅有關(guān)的宕機(jī)，以求減輕技術(shù)人員的負(fù)擔(dān)。

像分布層模塊一樣, 根據(jù)公司規(guī)模、應(yīng)用性能及需求的不同, 服務(wù)器模塊可以與核心模塊相結(jié)合。

(五) 邊界接入模塊

邊界接入模塊的目標(biāo)是在網(wǎng)絡(luò)邊緣集中來自各個(gè)接入網(wǎng)模塊的連接，信息流從邊界接入模塊過濾后路 由至至核心。邊界接入模塊在整體功能方面和分布層模塊有些類似，都采用接入控制來過濾信息流,但邊界接入模塊在一定程度上依賴整個(gè)接入網(wǎng)功能區(qū)域來執(zhí)行附加安全功能。像服務(wù)器和分布層模塊一樣,如果性能要求不高, 邊界接入模塊可與核心模塊結(jié)合起來。

在邊界接入模塊比較常見的安全措施為應(yīng)用流量觀察分析和安全網(wǎng)關(guān)。應(yīng)用流量觀察分析是通過部署流量控制設(shè)備，使用其二至七層強(qiáng)大的應(yīng)用分析能力，能夠第一時(shí)間獲得核心模塊和接入網(wǎng)模塊之間應(yīng)用流量能見度，并以此為基礎(chǔ)在企業(yè)網(wǎng)絡(luò)中部署相應(yīng)的安全策略（比如限制病毒端口號(hào)、限制特定內(nèi)網(wǎng)IP地址、限制特定MAC地址）。安全網(wǎng)關(guān)是通過采用專用的安全網(wǎng)關(guān)技術(shù)，實(shí)現(xiàn)核心模塊和外網(wǎng)接入網(wǎng)模塊之間的Web內(nèi)容過濾，Web病毒掃描，間諜軟件防御，HTTPS安全控制，防機(jī)密數(shù)據(jù)外泄等等安全功能。

三、 企業(yè)接入網(wǎng)的安全設(shè)計(jì)

企業(yè)接入網(wǎng)由外網(wǎng)接入模塊和遠(yuǎn)程接入模塊兩個(gè)部分組成。以下分別闡述各個(gè)模塊的功能、面臨的安全威脅和相應(yīng)的安全措施。

(一) 外網(wǎng)接入模塊

大多企業(yè)網(wǎng)雖然都是專網(wǎng),但是不可避免要和外網(wǎng)連接。外網(wǎng)包括企業(yè)分支網(wǎng)絡(luò)、第三方接入網(wǎng)絡(luò)和互聯(lián)網(wǎng)。所面臨的主要安全威脅有未授權(quán)接入、應(yīng)用層攻擊、病毒和特洛伊木馬、拒絕服務(wù)攻擊等。主要防御措施有：

1. 在外網(wǎng)接入模塊和外網(wǎng)之間部署防火墻。防火墻應(yīng)分為兩組防護(hù), 一組用于企業(yè)網(wǎng)與分支機(jī)構(gòu)網(wǎng)絡(luò)的連接, 另一組用于企業(yè)網(wǎng)與互聯(lián)網(wǎng)的連接。防火墻為內(nèi)網(wǎng)的網(wǎng)絡(luò)資源提供保護(hù),從而確保只有合法信息流穿過防火墻。部署在企業(yè)網(wǎng)與互聯(lián)網(wǎng)的連接上的防火墻時(shí)可以使用目前先進(jìn)的“云火墻”技術(shù)，該技術(shù)可以持續(xù)收集互聯(lián)網(wǎng)上已知威脅的詳細(xì)信息，實(shí)現(xiàn)企業(yè)到互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全。

2. 使用防火墻的虛擬化技術(shù)，將單一防火墻設(shè)備邏輯劃分為多個(gè)虛擬防火墻，每個(gè)防火墻有自己的策略且分別進(jìn)行管理，可以實(shí)現(xiàn)不同區(qū)域模塊之間的安全控制和設(shè)備資源的高效利用。

3. 部署IDS/IPS入侵檢測/防御系統(tǒng)，有條件的情況下, 在防火墻的內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)和DMZ區(qū)域都要部署入侵檢測/防御系統(tǒng), 以實(shí)時(shí)檢測來自外網(wǎng)的入侵行為。

4. 建立統(tǒng)一的應(yīng)用服務(wù)器用于與其它分支網(wǎng)絡(luò)構(gòu)建統(tǒng)一接入平臺(tái)，應(yīng)用服務(wù)器作為所有應(yīng)用服務(wù)的, 通過進(jìn)行更嚴(yán)格的應(yīng)用數(shù)據(jù)流檢查和過濾,有利于外網(wǎng)接入模塊的標(biāo)準(zhǔn)化和可擴(kuò)展性的提升。

5. 在與互聯(lián)網(wǎng)連接的企業(yè)網(wǎng)絡(luò)邊緣部署路由器，并通過在路由器入口進(jìn)行數(shù)據(jù)流的過濾，路由器對(duì)大多數(shù)攻擊提供了過濾器,同時(shí)進(jìn)行RFC1918和RFC2827過濾, 作為對(duì)過濾的驗(yàn)證, 路由器還應(yīng)丟棄‘碎片’的數(shù)據(jù)包。對(duì)于過濾造成的合法數(shù)據(jù)包丟棄相比這些數(shù)據(jù)包帶來的安全風(fēng)險(xiǎn)是值得的。

(二) 遠(yuǎn)程接入模塊

遠(yuǎn)程接入模塊的主要目標(biāo)有三個(gè)：從遠(yuǎn)程用戶端接VPN信息流、為從遠(yuǎn)程站點(diǎn)VPN信息流提供一個(gè)集線器以及撥號(hào)用戶。遠(yuǎn)程接入模塊面臨的主要安全威脅有口令攻擊、未授權(quán)接入和中間人攻擊等。此模塊的核心要求是擁有三個(gè)獨(dú)立外部用戶服務(wù)驗(yàn)證和端接，對(duì)于此模塊來說信息流的來源是來自于企業(yè)網(wǎng)絡(luò)外的不可信源, 因此要為這三種服務(wù)的每一種提供一個(gè)防火墻上的獨(dú)立接口。

1. 遠(yuǎn)程接入VPN，遠(yuǎn)程接入VPN推薦使用IPSec協(xié)議。此服務(wù)的安全管理是通過將所有IPSec的安全參數(shù)從中央站點(diǎn)推向遠(yuǎn)程用戶實(shí)現(xiàn)的。

2. 撥號(hào)接入用戶，AAA和一次性口令服務(wù)器可用來驗(yàn)證和提供口令。

3. 站點(diǎn)間VPN，與站點(diǎn)間連接相關(guān)的IP信息流在傳輸模式下由配置成GRE隧道來實(shí)現(xiàn)。

以上來自三種服務(wù)的信息流應(yīng)集中接入到防火墻的一個(gè)專用接口上。條件允許時(shí)在防火墻的內(nèi)口或外口部署IDS/IPS系統(tǒng), 以檢測可能的攻擊行為。

四、 模塊之間的相互關(guān)系

采用模塊化設(shè)計(jì)時(shí), 不是簡單地將網(wǎng)絡(luò)安全設(shè)計(jì)分解成各個(gè)孤立的模塊, 各模塊之間緊密聯(lián)系，其安全防護(hù)措施也直接影響到其它模塊的安全。

管理模塊是整個(gè)網(wǎng)絡(luò)安全體系的核心、位于其它所有模塊的最頂層。網(wǎng)絡(luò)安全體系的建立, 應(yīng)該首先建立管理模塊的安全結(jié)構(gòu)。它相對(duì)于其它模塊有著很大的獨(dú)立性, 但它是建立其它模塊安全結(jié)構(gòu)的基礎(chǔ)和前提。

核心模塊、服務(wù)器模塊和分布層模塊構(gòu)成企業(yè)網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)。這三個(gè)模塊主要防范來自企業(yè)網(wǎng)內(nèi)部的安全威脅：分布層模塊提供了針對(duì)內(nèi)部發(fā)起攻擊的第一道防線；核心模塊的主要目標(biāo)是線速的轉(zhuǎn)發(fā)數(shù)據(jù)流, 其安全性主要依賴于核心模塊交換設(shè)備本身的安全設(shè)置以及分布層模塊的安全防護(hù)；服務(wù)器模塊往往會(huì)成為內(nèi)部攻擊的主要目標(biāo), 安全性除了自身的安全措施和分布層模塊的安全防護(hù)外, 嚴(yán)格的安全管理是極為重要的。

邊界接入模塊是連接企業(yè)內(nèi)網(wǎng)和外部接入網(wǎng)的橋梁和紐帶。邊界接入模塊在外部接入網(wǎng)安全措施的基礎(chǔ)上, 為企業(yè)內(nèi)網(wǎng)提供附加的安全功能。

外部接入網(wǎng)為企業(yè)內(nèi)網(wǎng)提供了第一道安全防線, 也是外網(wǎng)接入企業(yè)網(wǎng)內(nèi)網(wǎng)統(tǒng)一的接入平臺(tái)。

模塊化的設(shè)計(jì)將復(fù)雜的大型網(wǎng)絡(luò)劃分為幾個(gè)相對(duì)簡單的模塊, 以模塊為基本單位構(gòu)筑整個(gè)網(wǎng)絡(luò)的安全體系結(jié)構(gòu)。使用模塊化的網(wǎng)絡(luò)安全設(shè)計(jì)能夠很容易實(shí)現(xiàn)單個(gè)模塊的安全功能,并實(shí)現(xiàn)模塊與模塊間的安全關(guān)系,從而在整個(gè)企業(yè)網(wǎng)絡(luò)中形成分層次的縱深防御體系。還能夠使設(shè)計(jì)者進(jìn)行逐個(gè)模塊的安全風(fēng)險(xiǎn)評(píng)估和實(shí)施安全, 而非試圖在一個(gè)階段就完成整個(gè)體系結(jié)構(gòu)。

參考文獻(xiàn)：

[1] 崔國慶. 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防護(hù)的研究?. 電腦知識(shí)與技術(shù)，2009年9月.

篇5

1企業(yè)網(wǎng)絡(luò)安全需求分析

1.1網(wǎng)絡(luò)安全概念及特征

網(wǎng)絡(luò)安全是指為防范網(wǎng)絡(luò)攻擊、侵入、干擾、破壞、竊用及其他意外事故所采取的各種必要措施，以確保信息完整、可用、無泄露，保持網(wǎng)絡(luò)穩(wěn)定、安全地運(yùn)行。其主要特征是保證網(wǎng)絡(luò)信息的完整性、可用性和機(jī)密性[2]。

1.2企業(yè)網(wǎng)絡(luò)安全面臨的主要問題

企業(yè)網(wǎng)絡(luò)安全面臨的問題歸納如下：（1）網(wǎng)絡(luò)安全目標(biāo)不明確。雖然《網(wǎng)絡(luò)安全法》已于2017年6月1日起施行，但企業(yè)對(duì)網(wǎng)絡(luò)安全的重要性依然認(rèn)識(shí)不足，缺乏網(wǎng)絡(luò)安全規(guī)劃，沒有明確的網(wǎng)絡(luò)安全目標(biāo)[3]。（2）網(wǎng)絡(luò)安全意識(shí)不足。從企業(yè)的決策者到普通員工并沒有充分意識(shí)到網(wǎng)絡(luò)安全的重要性，企業(yè)網(wǎng)絡(luò)安全存在很大隱患。（3）網(wǎng)絡(luò)安全設(shè)施不健全。無論大型企業(yè)，還是中小企業(yè)，都存在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施投入不足的問題，以致設(shè)施陳舊、不完整，面對(duì)外部攻擊和各種漏洞很容易發(fā)生信息丟失、泄露、竊用等現(xiàn)象。（4）缺乏完整的網(wǎng)絡(luò)安全解決方案。企業(yè)網(wǎng)絡(luò)安全防護(hù)呈現(xiàn)碎片化、分散化等特點(diǎn)[4]，缺乏系統(tǒng)性、協(xié)同性、靈活性，面對(duì)萬物互聯(lián)和更高級(jí)的威脅，傳統(tǒng)防護(hù)手段捉襟見肘、防不勝防[5]。

1.3企業(yè)網(wǎng)絡(luò)安全需求

企業(yè)因網(wǎng)絡(luò)安全需要而產(chǎn)生的要求即為企業(yè)網(wǎng)絡(luò)安全需求，這是由企業(yè)內(nèi)部網(wǎng)絡(luò)因素與外部網(wǎng)絡(luò)形勢共同決定的，內(nèi)外都不會(huì)一成不變，所以企業(yè)網(wǎng)絡(luò)安全需求是一個(gè)動(dòng)態(tài)過程，具有時(shí)效性。基于此，要準(zhǔn)確把握企業(yè)網(wǎng)絡(luò)安全需求，必須對(duì)企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行調(diào)查分析，一般而言，企業(yè)網(wǎng)絡(luò)安全主要包括內(nèi)網(wǎng)安全、邊界安全及文件傳輸安全等方面[6]，具體體現(xiàn)在以下幾個(gè)方面：（1）網(wǎng)絡(luò)安全策略需求。安全策略的有效性、完整性和實(shí)用性是企業(yè)網(wǎng)絡(luò)安全的一個(gè)重要需求。目前的企業(yè)網(wǎng)絡(luò)安全策略文檔過于簡單，而且沒有形成完整的體系，對(duì)企業(yè)網(wǎng)絡(luò)安全的指導(dǎo)性不足。（2）網(wǎng)絡(luò)安全組織需求。企業(yè)應(yīng)建立結(jié)構(gòu)完整、職能清晰的網(wǎng)絡(luò)安全組織機(jī)構(gòu)，負(fù)責(zé)企業(yè)網(wǎng)絡(luò)安全策略制定、網(wǎng)絡(luò)安全培訓(xùn)、網(wǎng)絡(luò)安全運(yùn)行管理等。（3）網(wǎng)絡(luò)安全運(yùn)行管理需求。企業(yè)應(yīng)建立科學(xué)高效的運(yùn)行管理體系，采用實(shí)用的運(yùn)行管理方法，對(duì)服務(wù)器安全、網(wǎng)絡(luò)訪問可控性、網(wǎng)絡(luò)監(jiān)控等進(jìn)行管理。

2企業(yè)網(wǎng)絡(luò)安全解決方案

2.1企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)原則

網(wǎng)絡(luò)安全方案的設(shè)計(jì)原則旨在指導(dǎo)企業(yè)科學(xué)合理地設(shè)計(jì)網(wǎng)絡(luò)安全方案，避免失于偏頗和“詞不達(dá)意”，設(shè)計(jì)原則可以有很多，筆者認(rèn)為最重要的原則如下：（1）多重防護(hù)原則。突破單一防護(hù)機(jī)制要比突破多重防護(hù)機(jī)制容易得多。（2）簡單適用原則。過于復(fù)雜的方案漏洞多，本身就不安全。（3）系統(tǒng)性原則。企業(yè)網(wǎng)絡(luò)安全面對(duì)的威脅是多方面的，只專注于一點(diǎn)無法保障網(wǎng)絡(luò)安全。（4）需求、風(fēng)險(xiǎn)與代價(jià)平衡原則。沒有任何方案可以做到絕對(duì)安全，追求過高的安全性要付出巨大代價(jià)，所以要學(xué)會(huì)取舍，平衡風(fēng)險(xiǎn)與代價(jià)。（5）可維護(hù)性原則。沒有任何系統(tǒng)可以做到無懈可擊，要做到能隨時(shí)調(diào)整、升級(jí)、擴(kuò)充。（6）技術(shù)與管理相結(jié)合原則。在改善安全技術(shù)的同時(shí)也要加強(qiáng)管理，減少管理漏洞，對(duì)于復(fù)雜的安全形勢，要多做預(yù)案，提前防范突發(fā)事件。

2.2企業(yè)網(wǎng)絡(luò)安全解決方案

2.2.1網(wǎng)絡(luò)分域防護(hù)方案網(wǎng)絡(luò)分域防護(hù)的原則是落實(shí)安全域的防護(hù)策略、制定訪問控制策略、檢查網(wǎng)絡(luò)邊界、分級(jí)防護(hù)等。從企業(yè)網(wǎng)絡(luò)安全需求及特點(diǎn)出發(fā)，將網(wǎng)絡(luò)組織架構(gòu)從邏輯上分為互聯(lián)網(wǎng)域、服務(wù)區(qū)域、外聯(lián)域和內(nèi)網(wǎng)核心區(qū)域，如圖1所示。互聯(lián)網(wǎng)域接入互聯(lián)網(wǎng)服務(wù)，服務(wù)區(qū)域即企業(yè)服務(wù)器放置區(qū)域，外聯(lián)域接入分公司區(qū)域，內(nèi)網(wǎng)核心區(qū)域是指企業(yè)內(nèi)部網(wǎng)絡(luò)互聯(lián)的核心設(shè)備區(qū)域。如此劃分的目的是保證具有相同防護(hù)需求的網(wǎng)絡(luò)及系統(tǒng)處于同一安全子域內(nèi)，便于各個(gè)安全子域內(nèi)部署相應(yīng)等級(jí)的防護(hù)策略。2.2.2部署安全網(wǎng)關(guān)方案在外網(wǎng)與內(nèi)網(wǎng)之間設(shè)置安全網(wǎng)關(guān)（如圖1所示），作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理屏障，以保護(hù)內(nèi)網(wǎng)安全。安全網(wǎng)關(guān)不是單一的防火墻，而是綜合了防病毒、入侵檢測和防火墻的一體化安全設(shè)備。該設(shè)備運(yùn)用統(tǒng)一威脅管理（unifiedthreatmanagement,UTM）概念，將多種安全特性的防護(hù)策略整合到統(tǒng)一的管理平臺(tái)上，按需開啟多種功能，其由硬件、軟件、網(wǎng)絡(luò)技術(shù)組成。UTM在硬件上可以采用X86、ASIC、NP架構(gòu)中的一種，X86架構(gòu)適于百兆網(wǎng)絡(luò)，若是千兆網(wǎng)絡(luò)應(yīng)采用ASIC架構(gòu)或NP架構(gòu)。在升級(jí)、維護(hù)及開發(fā)周期方面，NP架構(gòu)比ASIC架構(gòu)更有優(yōu)勢。UTM軟件上可以集成防病毒、入侵檢測、內(nèi)容過濾、防垃圾郵件、流量管理等多種功能，通過模式匹配實(shí)現(xiàn)特征庫統(tǒng)一和效率提升。UTM管理結(jié)構(gòu)基于管理分層、功能分級(jí)思想，包含集中管理與單機(jī)管理的雙重管理機(jī)制，實(shí)現(xiàn)功能設(shè)置管理和數(shù)據(jù)分析能力。

2.2.3部署IPS與IDS方案IPS是入侵防御系統(tǒng)（intrusionpreventionsystem）的英文縮寫，用于監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備上的數(shù)據(jù)傳輸，發(fā)現(xiàn)異常數(shù)據(jù)可以即時(shí)中斷傳輸或進(jìn)行隔離，先于攻擊達(dá)成實(shí)現(xiàn)防護(hù)，與防火墻功能上互補(bǔ)，并支持串行接入模式，采用基于策略的防護(hù)方式，用戶可以選擇最適合策略達(dá)到最佳防護(hù)效果。IPS部署在服務(wù)區(qū)域與內(nèi)網(wǎng)核心區(qū)域之間，或核心交換機(jī)與內(nèi)部服務(wù)器之間（如圖1所示），可實(shí)時(shí)監(jiān)測外部數(shù)據(jù)向內(nèi)部服務(wù)器的傳輸過程，發(fā)現(xiàn)入侵行為即報(bào)警、阻斷，同時(shí)還能精確阻擊SQL注入攻擊。IDS是入侵檢測系統(tǒng)（intrusiondetectionsystem）的英文縮寫，能對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸實(shí)時(shí)監(jiān)視，發(fā)現(xiàn)可疑報(bào)警或采取其他主動(dòng)反應(yīng)措施，屬于監(jiān)聽設(shè)備，其安全策略包括異常入侵檢測、誤用入侵檢測兩種方式，可部署在核心交換機(jī)上，對(duì)進(jìn)出內(nèi)網(wǎng)與內(nèi)部服務(wù)器的數(shù)據(jù)進(jìn)行監(jiān)測，如圖1所示。

2.2.4部署漏洞掃描系統(tǒng)方案漏洞掃描是基于漏洞數(shù)據(jù)庫，通過掃描檢測遠(yuǎn)程系統(tǒng)或本地系統(tǒng)漏洞行為，與防火墻、IDS配合以提高網(wǎng)絡(luò)安全性，掃描對(duì)象包括網(wǎng)絡(luò)、主機(jī)和數(shù)據(jù)庫。漏洞掃描運(yùn)用的技術(shù)有主機(jī)在線掃描、端口掃描、操作系統(tǒng)識(shí)別、漏洞監(jiān)測數(shù)據(jù)采集、智能端口識(shí)別、多重服務(wù)檢測、系統(tǒng)滲透掃描等。漏洞掃描系統(tǒng)部署方式包括獨(dú)立式部署和分布式部署。前者適于比較簡單的網(wǎng)絡(luò)結(jié)構(gòu)，例如電子商務(wù)、中小企業(yè)等；后者適于復(fù)雜、分布點(diǎn)多、數(shù)據(jù)相對(duì)分散的網(wǎng)絡(luò)結(jié)構(gòu)，例如政府、電力行業(yè)、金融行業(yè)、電信運(yùn)營商等。圖1為采用獨(dú)立式部署的漏洞掃描系統(tǒng)方案。

篇6

關(guān)鍵詞 電力企業(yè)；信息安全；防護(hù)措施

中圖分類號(hào)TM7 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708（2012）65-0022-03

信息化是社會(huì)生產(chǎn)力與生產(chǎn)方式發(fā)展的一個(gè)必然趨勢，是我國顯得文明建設(shè)的一項(xiàng)重要標(biāo)志。信息化建設(shè)能夠帶動(dòng)企業(yè)管理水平與生產(chǎn)效能的提高，信息資源作為一種重要的資源，其重要性逐漸被人們所認(rèn)識(shí)。電力企業(yè)屬于技術(shù)密集型產(chǎn)業(yè)，對(duì)于生產(chǎn)自動(dòng)化與集約化都有著較高的要求，因此也是較早的進(jìn)行信息化建設(shè)的一批企業(yè)，并且也取得了一些顯著的成效，但是也正是因?yàn)槠鸩捷^早，缺乏經(jīng)驗(yàn)，因此在信息化網(wǎng)絡(luò)的建設(shè)中總是存在著很多問題，而這些問題已經(jīng)逐漸成為了電力企業(yè)網(wǎng)絡(luò)信息安全的隱患，因此，加強(qiáng)網(wǎng)絡(luò)信息安全已經(jīng)成為了電力企業(yè)發(fā)展的重要組成部分。

1 電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析

各級(jí)電力企業(yè)因?yàn)樯a(chǎn)經(jīng)營與管理的需要，都在不同程度上建成了自己的自動(dòng)化系統(tǒng)，變電站基本也實(shí)現(xiàn)了“四遙”和無人值守。并且也建立起了企業(yè)自己的管理系統(tǒng)來對(duì)生產(chǎn)、營銷、財(cái)務(wù)、行政辦公等工作進(jìn)行覆蓋，并已經(jīng)進(jìn)行了實(shí)用化具有較高安全等級(jí)的調(diào)度自動(dòng)化系統(tǒng)已經(jīng)通過WEB網(wǎng)關(guān)與MIS之間進(jìn)行相互的信息訪問，部分地方已經(jīng)安裝了正向隔離器，進(jìn)而實(shí)現(xiàn)了物理隔離與數(shù)據(jù)的安全訪問。

各個(gè)電力企業(yè)已經(jīng)制定了安全策略，并實(shí)施了一部分，同時(shí)實(shí)現(xiàn)了互聯(lián)網(wǎng)的安全接入。

將營銷支持網(wǎng)絡(luò)與呼叫接入系統(tǒng)和MIS網(wǎng)絡(luò)進(jìn)行了整合，并且已經(jīng)與用戶、銀行等企業(yè)實(shí)現(xiàn)了信息的安全共享，對(duì)自身的服務(wù)手段進(jìn)行了優(yōu)化。

邊遠(yuǎn)地區(qū)的班站基本都通過VPN技術(shù)來實(shí)現(xiàn)了遠(yuǎn)程班組聯(lián)網(wǎng)的要求，并能夠?qū)崿F(xiàn)大范圍的信息共享，而且應(yīng)用范圍也變得更加的廣泛。利用VPN的高級(jí)應(yīng)用能夠構(gòu)建起基于互聯(lián)網(wǎng)的各種遠(yuǎn)程服務(wù)。

2 電力企業(yè)網(wǎng)絡(luò)信息安全方面存在的問題

2.1不同的網(wǎng)絡(luò)之間沒有嚴(yán)格的進(jìn)行等級(jí)劃分

根據(jù)《全國電力二次系統(tǒng)安全防護(hù)總體方案》，電力企業(yè)對(duì)于不同安全等級(jí)的網(wǎng)絡(luò)必須要進(jìn)行安全等級(jí)的劃分。在縱向上，電力企業(yè)需要實(shí)現(xiàn)實(shí)時(shí)監(jiān)控系統(tǒng)之間的互聯(lián)。各個(gè)自動(dòng)化系統(tǒng)與低調(diào)系統(tǒng)之間都是通過載波進(jìn)行單向數(shù)據(jù)轉(zhuǎn)發(fā)，而部分基層電力企業(yè)都沒有實(shí)現(xiàn)網(wǎng)絡(luò)化的數(shù)據(jù)傳輸，同時(shí)在主站與廠站之間也沒有實(shí)現(xiàn)光纖載波雙通道。在橫向上，要求能夠?qū)崿F(xiàn)實(shí)時(shí)監(jiān)控系統(tǒng)與非實(shí)時(shí)監(jiān)控系統(tǒng)之間的相互連接。根據(jù)當(dāng)前的互聯(lián)網(wǎng)現(xiàn)狀與通信現(xiàn)狀，主要還存在著這些問題：1）單向數(shù)據(jù)的傳輸難以實(shí)現(xiàn)真正意義上的數(shù)據(jù)共享，同時(shí)在與非實(shí)時(shí)系統(tǒng)之間的接口上也沒有進(jìn)行標(biāo)準(zhǔn)數(shù)據(jù)接口的建設(shè)；2）部分電力企業(yè)沒有利用MPLS VPN技術(shù)組建數(shù)據(jù)調(diào)度網(wǎng)，沒有滿足相關(guān)的安全要求；3）上下級(jí)的調(diào)度之間沒有部署必須的認(rèn)證加密裝置。

2.2隨著技術(shù)的發(fā)展與電力企業(yè)的業(yè)務(wù)發(fā)展，現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)能力難以滿足要求

隨著信息技術(shù)的發(fā)展與電力企業(yè)自身業(yè)務(wù)的發(fā)展要求，網(wǎng)絡(luò)安全越來越受到重視，但是現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)能力明顯不足，缺乏有效的管控手段，同時(shí)管理水平也急需要提高。如今的電力企業(yè)還缺少一套完善的服務(wù)器病毒防護(hù)系統(tǒng)，有一些地市、縣局都是使用的省公司所同一部署的趨勢防毒軟件，有的甚至還采用的是單機(jī)版的瑞星、江民、卡巴斯基等防病毒軟件，相對(duì)而言，防護(hù)能力還有所不足。當(dāng)受到攻擊時(shí)，容易出現(xiàn)系統(tǒng)癱瘓。同時(shí)還沒有能夠建立起一套完善的數(shù)據(jù)備份恢復(fù)機(jī)制，如果數(shù)據(jù)受到破壞，那么所受到的損失將難以估量。沒有一套完善的網(wǎng)管軟件，難以對(duì)一些內(nèi)部用戶的過激行為進(jìn)行有效的監(jiān)管，例如IP盜用、沖突，濫用網(wǎng)絡(luò)資源（BT下載等），等等。還沒有能夠建立起一套完善的評(píng)測和風(fēng)險(xiǎn)評(píng)估制度，對(duì)于當(dāng)前電力企業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀難以進(jìn)行有效的評(píng)估。同時(shí)，我國也缺乏專業(yè)的評(píng)測機(jī)構(gòu)，這就使得電力企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與隱患都難以被及時(shí)發(fā)現(xiàn)和進(jìn)行有效的防范，使得電力企業(yè)的防范能力難以得到持續(xù)增強(qiáng)。

2.3電力企業(yè)服務(wù)器存在的安全隱患

在電力系統(tǒng)中有著十分眾多的服務(wù)器。隨著網(wǎng)絡(luò)攻擊手段與攻擊技術(shù)的不斷更新，服務(wù)器攻擊愈演愈烈，因此擁有眾多服務(wù)器的電力系統(tǒng)成為了攻擊的首選對(duì)象。在電力企業(yè)中的服務(wù)器主要包括了數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、Web服務(wù)器、算費(fèi)服務(wù)器、銀電聯(lián)網(wǎng)服務(wù)器等多種服務(wù)器，眾多的服務(wù)器也使得其存在著嚴(yán)重的安全隱患：1）電力企業(yè)的網(wǎng)絡(luò)中，每一個(gè)服務(wù)器都擁有自己獨(dú)立的認(rèn)證系統(tǒng)，但是這些服務(wù)器卻缺乏統(tǒng)一的權(quán)限管理策略，管理員難以進(jìn)行統(tǒng)一的有效管理；2）Web服務(wù)器和流媒體服務(wù)器長期遭受到來自于互聯(lián)網(wǎng)的DDoS以及各種病毒的侵襲；3）讓郵件服務(wù)器中受到大量的垃圾郵件的干擾，并且也難以進(jìn)行有效的信息監(jiān)管，經(jīng)常會(huì)發(fā)生企業(yè)員工通過電子郵件來傳遞企業(yè)的機(jī)密信息的安全事件；4）權(quán)限劃分不明確，容易受到來自外部黑客的攻擊，例如通過SQL注入、腳本注入、命令注入方式等方式來竊取數(shù)據(jù)庫中的機(jī)密數(shù)據(jù)；5）與總公司服務(wù)器通信過程中有些機(jī)密信息由于沒有采取加密措施，很容易被竊聽而泄密。

2.4各種惡意網(wǎng)頁所帶來的網(wǎng)絡(luò)安全威脅

電力企業(yè)擁有自己的主題網(wǎng)站，并通過互聯(lián)網(wǎng)與外網(wǎng)相連。每一個(gè)電腦使用者都會(huì)通過對(duì)網(wǎng)頁的點(diǎn)擊來尋找對(duì)自己有用的信息，電力企業(yè)內(nèi)網(wǎng)與外網(wǎng)相連，因此，電力企業(yè)中的員工也會(huì)通過與外網(wǎng)的鏈接，從互聯(lián)網(wǎng)中搜索對(duì)自己有用的信息，但是并不是所有的網(wǎng)頁都是安全的，有一些網(wǎng)站的開發(fā)者或者是黑客會(huì)為了能夠達(dá)到某種目的對(duì)網(wǎng)頁進(jìn)行修改，進(jìn)而達(dá)到某種目的，當(dāng)電力企業(yè)的內(nèi)部員工通過電力企業(yè)內(nèi)部的網(wǎng)絡(luò)進(jìn)行訪問時(shí)，就會(huì)受到來自這些惡意網(wǎng)頁的攻擊。

2.5設(shè)備本身與系統(tǒng)軟件存在漏洞

由于電力企業(yè)的信息化建設(shè)較早，這就導(dǎo)致了很多設(shè)備與軟件都出現(xiàn)了各種安全漏洞，這些都導(dǎo)致了不良安全后果的程度增加。信息網(wǎng)絡(luò)自身在操作系統(tǒng)、數(shù)據(jù)庫以及通信協(xié)議等存在安全漏洞和隱蔽信道等不安全因素；存儲(chǔ)介質(zhì)損壞造成大量信息的丟失，殘留信息泄密，計(jì)算機(jī)設(shè)備工作時(shí)產(chǎn)生的輻射電磁波造成的信息泄密。信息網(wǎng)絡(luò)使用單位未及時(shí)修補(bǔ)或防范軟件漏洞、采用弱口令設(shè)置、缺少訪問控制以及攻擊者利用軟件默認(rèn)設(shè)置進(jìn)行攻擊，是導(dǎo)致安全事件發(fā)生的主要原因。

3 電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)措施

3.1進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

電力企業(yè)要解決網(wǎng)絡(luò)安全問題并不能夠僅僅是從技術(shù)上進(jìn)行考慮，技術(shù)是安全的主體，但是卻不能成為安全的靈魂，而管理才是安全的靈魂。網(wǎng)絡(luò)安全離不開各種安全技術(shù)的具體實(shí)施以及各種安全產(chǎn)品的部署，但是現(xiàn)在在市面上出現(xiàn)的安全技術(shù)、安全產(chǎn)品實(shí)在是讓人感覺眼花繚亂，難以進(jìn)行選擇，這時(shí)就需要進(jìn)行風(fēng)險(xiǎn)分析，可行性分析等，對(duì)電力企業(yè)當(dāng)前所面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行分析，并分析解決問題或最大程度降低風(fēng)險(xiǎn)的可行性，對(duì)收益與付出進(jìn)行比較，并分析有哪一些產(chǎn)品能夠讓電力企業(yè)用自己最小的代價(jià)滿足其對(duì)網(wǎng)絡(luò)安全的需要，同時(shí)還需要考慮到安全與效率的權(quán)衡等。對(duì)于電力企業(yè)來說，搞清楚信息系統(tǒng)現(xiàn)有以及潛在的風(fēng)險(xiǎn)，充分評(píng)估這些風(fēng)險(xiǎn)可能帶來的威脅和影響，將是電力企業(yè)實(shí)施安全建設(shè)必，須首先解決的問題，也是制定安全策略的基礎(chǔ)與依據(jù)。

3.2構(gòu)建防火墻

防火墻是一種能有效保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，有軟件防火墻與硬件防火墻這兩類。防火墻能夠有效的阻止網(wǎng)絡(luò)中的各種非法訪問以及構(gòu)建起起一道安全的屏障，對(duì)于信息的輸入、輸出都能夠進(jìn)行有效的控制?？梢栽诰W(wǎng)絡(luò)邊界上通過硬件防火墻的構(gòu)建，對(duì)電力企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間的通信進(jìn)行監(jiān)控，并能夠有效的對(duì)內(nèi)網(wǎng)和外網(wǎng)進(jìn)行隔離，從而能夠阻檔外部網(wǎng)絡(luò)的侵人。對(duì)于電力企業(yè)可以通過“防火墻+殺毒軟件”的配置來對(duì)內(nèi)部的服務(wù)器與計(jì)算機(jī)進(jìn)行安全保護(hù)。同時(shí)還需要定期的進(jìn)行升級(jí)。為了防止各種意外的發(fā)生，需要對(duì)各種數(shù)據(jù)進(jìn)行定期的備份。需要定期的對(duì)個(gè)硬件以及各種備份的有效性進(jìn)行檢驗(yàn)。電力企業(yè)防火墻體系構(gòu)建如下：

訪問控制列表構(gòu)建防火墻控制體系。通過對(duì)訪問控制列表的調(diào)節(jié)能夠有效的實(shí)現(xiàn)路由器對(duì)數(shù)據(jù)包的選擇。通過對(duì)訪問控制列表的增刪，能有效的對(duì)網(wǎng)絡(luò)進(jìn)行控制，對(duì)流入和流出路由器接口的數(shù)據(jù)包進(jìn)行過濾，達(dá)到部分網(wǎng)絡(luò)防火墻的效果。

配置硬件防火墻。在電力企業(yè)中硬件防火墻的使用較多，但是能夠真正發(fā)揮作用的就不多了。在使用硬件防火墻前，需要將防火墻與企業(yè)的整個(gè)網(wǎng)絡(luò)配置好。首先需要對(duì)防火墻的工作模式進(jìn)行選擇，例如WatchGuard這款防火墻具有兩種工作模式，一種是Drop-In Mode，另外一種是Routed Mode。前面的那一種模式主要是用于不帶“非軍事區(qū)”或者是沒有內(nèi)網(wǎng)的網(wǎng)絡(luò)環(huán)節(jié)中，因此，電力企業(yè)中就應(yīng)該選擇Routed Mode這種模式。然后將其中的外接網(wǎng)口、內(nèi)部接口、“非軍事區(qū)”等選項(xiàng)添好，當(dāng)對(duì)網(wǎng)絡(luò)設(shè)置完成之后，就可以利用相應(yīng)的GUI 程序與硬件防火墻進(jìn)行連接，并對(duì)應(yīng)將防火墻進(jìn)行進(jìn)一步的配置。在電力企業(yè)中有很多部門，每一個(gè)部門對(duì)網(wǎng)絡(luò)安全的具體需求都不相同。因此，在設(shè)置時(shí)需要考慮到部門的具體情況。

3.3加強(qiáng)對(duì)計(jì)算機(jī)病毒的預(yù)防控制

計(jì)算機(jī)病毒的防治是網(wǎng)絡(luò)安全的主要組成部分，而對(duì)電力企業(yè)的網(wǎng)絡(luò)安全造成威脅的主要是各種新型的病毒。若要從根本上防止新型態(tài)病毒對(duì)企業(yè)的威脅，就必須從監(jiān)控、強(qiáng)制、防止及恢復(fù)等四個(gè)階段對(duì)新型態(tài)病毒進(jìn)行管理。

控制計(jì)算機(jī)病毒爆發(fā)次數(shù)，降低病毒對(duì)業(yè)務(wù)所產(chǎn)生的影響。我們知道，病毒從感染單臺(tái)客戶機(jī)?擴(kuò)散?爆發(fā)，均需要一段空窗期。很多時(shí)候，管理人員都是在病毒爆發(fā)之后才能夠發(fā)現(xiàn)問題，但是這時(shí)已經(jīng)太晚。因此需要能夠在病毒擴(kuò)散期就發(fā)現(xiàn)問題根源，才能夠有效的降低病毒爆發(fā)的概率。

網(wǎng)絡(luò)層防毒將能夠有效的對(duì)病毒進(jìn)行預(yù)防。在電力企業(yè)中，需要將網(wǎng)絡(luò)病毒的防范作為最重要的防范對(duì)象，通過在網(wǎng)絡(luò)接口和重要安全區(qū)域部署網(wǎng)絡(luò)病毒墻，在網(wǎng)絡(luò)層全面消除外來病毒的威脅，使得網(wǎng)絡(luò)病毒不能再肆意傳播，同時(shí)結(jié)合病毒所利用的傳播途徑，對(duì)整個(gè)安全策略進(jìn)行貫徹。

預(yù)防病毒并不能夠完全的依靠病毒的特征碼，還必須要實(shí)現(xiàn)對(duì)病毒發(fā)作的整個(gè)生命周期進(jìn)行管理。必須要建立起一套完善的預(yù)警機(jī)制、清除機(jī)制、修復(fù)機(jī)制，通過這些機(jī)制來保障病毒能夠被高效處理，防毒系統(tǒng)需要在病毒代碼到來之前，就能夠通過可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護(hù)等各種手段來對(duì)病毒進(jìn)行有效控制，使得新病毒未進(jìn)來的進(jìn)不來、進(jìn)來的又沒有擴(kuò)散的途徑。在清除與修復(fù)階段又可以對(duì)這些病毒高效清除，快速恢復(fù)系統(tǒng)至正常狀態(tài)。

3.4開展電力企業(yè)內(nèi)部的全員信息安全教育和培訓(xùn)活動(dòng)

安全意識(shí)和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容，信息安全不僅僅是信息部門的事，它牽涉到企業(yè)所有的員工，為了保證安全的成功和有效，應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員，用戶，技術(shù)人員進(jìn)行安全培訓(xùn)，減少人為差錯(cuò)，失誤造成的安全風(fēng)險(xiǎn)。

開展安全教育和培訓(xùn)還應(yīng)該注意安全知識(shí)的層次性，主管信息安全工作的負(fù)責(zé)人或各級(jí)管理人員，重點(diǎn)是了解，掌握企業(yè)信息安全的整體策略及目標(biāo)，信息安全體系的構(gòu)成，安全管理部門的建立和管理制度的制定等;負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員，重點(diǎn)是充分理解信息安全管理策略，掌握安全評(píng)估的基本方法，對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等;用戶，重點(diǎn)是學(xué)習(xí)各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等。

4 結(jié)論

網(wǎng)絡(luò)安全是一個(gè)綜合系統(tǒng)，不僅僅涉及到技術(shù)層面的問題同時(shí)還會(huì)涉及到管理上面的問題。網(wǎng)絡(luò)上，無論是硬件還是軟件出現(xiàn)問題都會(huì)對(duì)整個(gè)網(wǎng)絡(luò)安全形成威脅，產(chǎn)生出網(wǎng)絡(luò)安全問題。我們需要通過系統(tǒng)工程的觀點(diǎn)、方法對(duì)當(dāng)前電力企業(yè)中的網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行分析，并提出提高網(wǎng)絡(luò)安全性的措施。在電力企業(yè)的網(wǎng)絡(luò)中，包括了個(gè)人、硬件設(shè)備、軟件、數(shù)據(jù)等多個(gè)環(huán)節(jié)，這些環(huán)節(jié)在網(wǎng)絡(luò)中所具有的地位與影響都需要從整個(gè)電力企業(yè)的網(wǎng)絡(luò)系統(tǒng)去進(jìn)行整體的看待和分析。電力企業(yè)的網(wǎng)絡(luò)安全必須要進(jìn)行風(fēng)險(xiǎn)評(píng)估才能夠制定出合理的計(jì)劃。

參考文獻(xiàn)

[1]余志榮.淺析電力企業(yè)網(wǎng)絡(luò)安全[J].福建電腦，2011(7).

[2]周偉.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的影響因素與防范措施[J].網(wǎng)友世界，2012(1)．

[3]張鵬宇.電力行業(yè)網(wǎng)絡(luò)安全技術(shù)研究[J].信息與電腦（理論版），2011(1).

篇7

隨著數(shù)據(jù)庫、軟件工程和多媒體通信技術(shù)的快速發(fā)展，礦山企業(yè)實(shí)施了安全生產(chǎn)集控系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)、調(diào)度管控系統(tǒng)、移動(dòng)辦公系統(tǒng)及智能決策支持等系統(tǒng)，實(shí)現(xiàn)了礦山企業(yè)安全生產(chǎn)、辦公和管理信息化、智能化。網(wǎng)絡(luò)能夠?qū)崿F(xiàn)各類信息化系統(tǒng)的數(shù)據(jù)共享、協(xié)同辦公等，也是信息化系統(tǒng)正常運(yùn)行的關(guān)鍵，因此網(wǎng)絡(luò)安全防御具有重要的作用。本文詳細(xì)地分析了礦山企業(yè)網(wǎng)絡(luò)安全面臨的問題和現(xiàn)狀，提出采用先進(jìn)的防御措施，構(gòu)建安全管理系統(tǒng)，以便提高網(wǎng)絡(luò)安全性能，進(jìn)一步改善礦山企業(yè)信息化運(yùn)營環(huán)境的安全性。

1礦山企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)將分布于礦山企業(yè)生產(chǎn)、管理等部門的設(shè)備連接在一起，形成了一個(gè)強(qiáng)大的礦山企業(yè)服務(wù)系統(tǒng)，為礦山企業(yè)提供了強(qiáng)大的信息共享、數(shù)據(jù)傳輸能力。但是，由于許多礦山企業(yè)工作人員在操作管理系統(tǒng)、使用計(jì)算機(jī)時(shí)不規(guī)范，如果一臺(tái)終端或服務(wù)器感染了計(jì)算機(jī)病毒、木馬，將會(huì)在很短的時(shí)間內(nèi)擴(kuò)散到其他終端和服務(wù)器中，感染礦山企業(yè)信息化系統(tǒng)，導(dǎo)致礦山企業(yè)服務(wù)系統(tǒng)無法正常使用。經(jīng)過分析與研究，目前網(wǎng)絡(luò)安全管理面臨威脅攻擊渠道多樣化、威脅智能化等現(xiàn)狀。

1.1網(wǎng)絡(luò)攻擊渠道多樣化

目前網(wǎng)絡(luò)黑客技術(shù)正快速普及，網(wǎng)絡(luò)攻擊和威脅不僅僅來源于黑客、病毒和木馬，傳播渠道不僅僅局限于計(jì)算機(jī)，隨著移動(dòng)互聯(lián)網(wǎng)、光纖網(wǎng)絡(luò)的興起和應(yīng)用，網(wǎng)絡(luò)安全威脅通過智能終端進(jìn)行傳播，傳播渠道更加多樣化。

1.2網(wǎng)絡(luò)安全威脅智能化

隨著移動(dòng)計(jì)算、云計(jì)算和分布式計(jì)算技術(shù)的快速發(fā)展，網(wǎng)絡(luò)黑客制作的木馬和病毒隱藏周期更長，破壞的范圍更加廣泛，安全威脅日趨智能化，給礦山企業(yè)信息化系統(tǒng)帶來的安全威脅更加嚴(yán)重，非常容易導(dǎo)致網(wǎng)絡(luò)安全數(shù)據(jù)資料丟失。

1.3網(wǎng)絡(luò)安全威脅嚴(yán)重化

網(wǎng)絡(luò)安全攻擊渠道多樣、智能逐漸增加了安全威脅的程度，網(wǎng)絡(luò)安全受到的威脅日益嚴(yán)重，礦山企業(yè)網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)資源一旦受到安全攻擊，將會(huì)在短時(shí)間內(nèi)迅速感染等網(wǎng)絡(luò)中接入的軟硬件資源，破壞網(wǎng)絡(luò)安全威脅。

2礦山企業(yè)網(wǎng)絡(luò)安全防御措施研究

礦山企業(yè)網(wǎng)絡(luò)運(yùn)行過程中，安全管理系統(tǒng)可以采用主動(dòng)、縱深防御模式，安全管理系統(tǒng)主要包括預(yù)警、響應(yīng)、保護(hù)、防御、監(jiān)測、恢復(fù)和反擊等六種關(guān)鍵技術(shù)，從根本上轉(zhuǎn)變礦山企業(yè)信息系統(tǒng)使用人員的安全意識(shí)，改善系統(tǒng)操作規(guī)范性，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)安全防御性能。

2.1網(wǎng)絡(luò)安全預(yù)警

網(wǎng)絡(luò)安全預(yù)警措施主要包括漏洞預(yù)警、行為預(yù)警和攻擊趨勢預(yù)警，能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流中存在的威脅。漏洞預(yù)警可以積極發(fā)現(xiàn)網(wǎng)絡(luò)操作系統(tǒng)中存在的漏洞，以便積極升級(jí)系統(tǒng)，修復(fù)系統(tǒng)漏洞。行為預(yù)警、攻擊預(yù)警可以分析網(wǎng)絡(luò)數(shù)據(jù)流，發(fā)現(xiàn)數(shù)據(jù)中隱藏的攻擊行為或趨勢,以便能夠有效預(yù)警。網(wǎng)絡(luò)安全預(yù)警是網(wǎng)絡(luò)預(yù)警的第一步,其作用非常明顯,可以為網(wǎng)絡(luò)安全保護(hù)提供依據(jù)。

2.2網(wǎng)絡(luò)安全保護(hù)

網(wǎng)絡(luò)安全保護(hù)可以采用簡單的殺毒軟件、防火墻、訪問控制列表、虛擬專用網(wǎng)等技術(shù)防御攻擊威脅，以便保證網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性、完整性、可控性、不可否認(rèn)性和可用性。網(wǎng)絡(luò)安全保護(hù)與傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)相近，因此在構(gòu)建主動(dòng)防御模型時(shí)，融入了傳統(tǒng)的防御技術(shù)。

2.3網(wǎng)絡(luò)安全監(jiān)測

網(wǎng)絡(luò)安全監(jiān)測可以采用掃描技術(shù)、實(shí)時(shí)監(jiān)控技術(shù)、入侵檢測技術(shù)等發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在嚴(yán)重的漏洞或攻擊數(shù)據(jù)流，能夠進(jìn)一步完善主動(dòng)防御模型內(nèi)容，以便從根本上保證網(wǎng)絡(luò)安全防御的完整性。

2.4網(wǎng)絡(luò)安全響應(yīng)

網(wǎng)絡(luò)安全響應(yīng)能夠?qū)W(wǎng)絡(luò)中存在的病毒、木馬等安全威脅做出及時(shí)的反應(yīng)，以便進(jìn)一步阻止網(wǎng)絡(luò)攻擊，將網(wǎng)絡(luò)安全威脅阻斷或者引誘到其他的備用主機(jī)上。

2.5網(wǎng)絡(luò)恢復(fù)

礦山企業(yè)信息系統(tǒng)遭受到攻擊之后，為了盡可能降低網(wǎng)絡(luò)安全攻擊損失，提高用戶的承受能力，可以采用網(wǎng)絡(luò)安全恢復(fù)技術(shù)，將系統(tǒng)恢復(fù)到遭受攻擊前的階段。主動(dòng)恢復(fù)技術(shù)主要采用離線備份、在線備份、階段備份或增量備份等技術(shù)。

2.6網(wǎng)絡(luò)安全反擊

網(wǎng)絡(luò)反擊技術(shù)是主動(dòng)防御最為關(guān)鍵的技術(shù)，也是與傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)最大的區(qū)別。網(wǎng)絡(luò)反擊技術(shù)可以采用欺騙類攻擊、病毒類攻擊、漏洞類攻擊、探測類攻擊和阻塞類攻擊等技術(shù)，網(wǎng)絡(luò)反擊技術(shù)可以針對(duì)攻擊威脅的源主機(jī)進(jìn)行攻擊，不但能夠阻斷網(wǎng)絡(luò)攻擊，還可以反擊攻擊源，以便破壞攻擊源主機(jī)的運(yùn)行性能。

3礦山企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計(jì)

為了能夠更好地導(dǎo)出系統(tǒng)的邏輯業(yè)務(wù)功能，對(duì)網(wǎng)絡(luò)安全管理的管理員、用戶和防御人員進(jìn)行調(diào)研和分析，使用原型化方法和結(jié)構(gòu)化需求分析技術(shù)導(dǎo)出了系統(tǒng)的邏輯業(yè)務(wù)功能，分別是系統(tǒng)配置管理功能、用戶管理功能、安全策略管理功能、網(wǎng)絡(luò)狀態(tài)監(jiān)控管理功能、網(wǎng)絡(luò)運(yùn)行日志管理功能、網(wǎng)絡(luò)運(yùn)行報(bào)表管理功能等六個(gè)部分。

3.1網(wǎng)絡(luò)安全管理系統(tǒng)配置管理功能分析

通過對(duì)網(wǎng)絡(luò)安全管理系統(tǒng)操作人員進(jìn)行調(diào)研和分析，導(dǎo)出了系統(tǒng)配置管理功能的業(yè)務(wù)功能，系統(tǒng)配置管理功能主要包括七個(gè)關(guān)鍵功能，分別是系統(tǒng)用戶信息配置管理功能、網(wǎng)絡(luò)模式配置、網(wǎng)絡(luò)管理參數(shù)配置、網(wǎng)絡(luò)管理對(duì)象配置、輔助工具配置、備份與恢復(fù)配置和系統(tǒng)注冊與升級(jí)等。

3.2用戶管理功能分析

礦山企業(yè)網(wǎng)絡(luò)運(yùn)行中，其主要設(shè)備包括多種，操作的用戶也有很多種類別，比如網(wǎng)絡(luò)設(shè)備管理人員、應(yīng)用系統(tǒng)管理人員、網(wǎng)絡(luò)維護(hù)部門、服務(wù)器等，因此用戶管理功能主要包括人員、組織、機(jī)器等分析，主要功能包括三個(gè)方面，分別是組織管理、自動(dòng)分組和認(rèn)證配置。組織管理功能可以對(duì)網(wǎng)絡(luò)中的設(shè)備進(jìn)行組織和管理，按照賬號(hào)管理、機(jī)器管理等進(jìn)行操作；自動(dòng)分組可以根據(jù)用戶搜索的設(shè)備的具體情況改善機(jī)器的搜索范圍，添加到機(jī)器列表中，并且可以對(duì)及其進(jìn)行重新的分組管理；認(rèn)證配置可以根據(jù)終端機(jī)器的登錄模式進(jìn)行認(rèn)證管理。

3.3安全策略管理功能分析

網(wǎng)絡(luò)安全防御過程中，網(wǎng)絡(luò)安全需要配置相關(guān)的策略，以便能夠更好的維護(hù)網(wǎng)絡(luò)運(yùn)行安全，同時(shí)可以為用戶提供強(qiáng)大的保護(hù)和防御性能，網(wǎng)絡(luò)安全策略配置是非常重要的一個(gè)工作內(nèi)容。網(wǎng)絡(luò)安全防御規(guī)則包括多種，比如入侵監(jiān)測規(guī)則、網(wǎng)絡(luò)響應(yīng)規(guī)則、網(wǎng)絡(luò)阻斷規(guī)則等，配置過程復(fù)雜，工作量大，通過歸納，需要根據(jù)網(wǎng)絡(luò)安全防御的關(guān)鍵內(nèi)容設(shè)置網(wǎng)絡(luò)訪問的黑白名單、應(yīng)用封堵、流量封堵、行為審計(jì)、內(nèi)容審計(jì)、策略分配等功能。

3.4網(wǎng)絡(luò)狀態(tài)監(jiān)控管理功能分析

網(wǎng)絡(luò)運(yùn)行過程中，由于涉及的服務(wù)器、終端設(shè)備較多，網(wǎng)絡(luò)運(yùn)行容易產(chǎn)生錯(cuò)誤，需要對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)管，以便能夠及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的攻擊威脅、故障燈。網(wǎng)絡(luò)運(yùn)行管理過程中，需要時(shí)刻的監(jiān)控網(wǎng)絡(luò)的運(yùn)行管理狀態(tài)，具體的網(wǎng)絡(luò)運(yùn)行管理的狀態(tài)主要包括三個(gè)方面，分別是系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)活動(dòng)狀態(tài)、流量監(jiān)控狀態(tài)。

3.5網(wǎng)絡(luò)運(yùn)行日志管理功能分析

礦山企業(yè)網(wǎng)絡(luò)運(yùn)行過程中，根據(jù)計(jì)算機(jī)的特性需要保留網(wǎng)絡(luò)操作日志，如果發(fā)生網(wǎng)絡(luò)安全事故，可以對(duì)網(wǎng)絡(luò)操作日志進(jìn)行分析，便于發(fā)現(xiàn)某些操作是不符合規(guī)則的。因此，網(wǎng)絡(luò)運(yùn)行管理過程中，網(wǎng)絡(luò)運(yùn)行日志管理可以分析網(wǎng)絡(luò)運(yùn)行操作的主要信息，日志管理主要包括以下幾個(gè)方面，分別是內(nèi)容日志管理、報(bào)警日志管理、封堵日志管理、系統(tǒng)操作日志管理。

3.6網(wǎng)絡(luò)運(yùn)行報(bào)表管理功能分析

網(wǎng)絡(luò)運(yùn)行過程中，為了能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全管理的統(tǒng)計(jì)分析，可以采用網(wǎng)絡(luò)安全報(bào)表管理模式，以便能夠統(tǒng)計(jì)分析接入到網(wǎng)絡(luò)中的各種軟硬件設(shè)備和系統(tǒng)的運(yùn)行情況，網(wǎng)絡(luò)運(yùn)行報(bào)表管理主要包括兩個(gè)方面的功能，分別是統(tǒng)計(jì)報(bào)表和報(bào)表訂閱。

4結(jié)束語

隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算和移動(dòng)互聯(lián)網(wǎng)技術(shù)的快速應(yīng)用和普及，礦山企業(yè)逐漸進(jìn)入智慧化時(shí)代，網(wǎng)絡(luò)安全威脅更加智能化、快速化和多樣化，感染速度更快，影響范圍更廣，給礦山企業(yè)信息系統(tǒng)帶來的損失更加嚴(yán)重，本文提出構(gòu)建一種多層次的主動(dòng)網(wǎng)絡(luò)安全防御系統(tǒng)，能夠提高礦山企業(yè)信息系統(tǒng)網(wǎng)絡(luò)運(yùn)行的安全性，具有重要的作用和意義。

作者:張軍 單位:陜西南梁礦業(yè)有限公司

引用：

[1]汪軍陽，司巍.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全問題分析與防護(hù)措施探討[J].電子技術(shù)與軟件工程，2013.

[2]黃哲，文曉浩.淺論計(jì)算機(jī)網(wǎng)絡(luò)安全及防御措施[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013.

[3]潘澤歡.數(shù)字化校園網(wǎng)絡(luò)的安全現(xiàn)狀及防御對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[4]趙銳.探討計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題與防護(hù)措施[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014.

[5]白雪.計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用及防御措施的探討[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012.

[6]王喜昌.計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)及其安全技術(shù)分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014.

篇8

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)安全；管理；部署

中圖分類號(hào)：F224.33文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-3198（2008）03-0128-02

1 引言

隨著信息化進(jìn)程的提速，越來越多地企業(yè)信息被披露于企業(yè)內(nèi)外部網(wǎng)絡(luò)環(huán)境中，如何保護(hù)企業(yè)機(jī)密，保障企業(yè)信息安全，成為企業(yè)信息化發(fā)展過程中必然需要面臨和解決的問題。

對(duì)于企業(yè)信息網(wǎng)絡(luò)安全管理需要部署的內(nèi)容，首先要明確企業(yè)的哪些資產(chǎn)需要保護(hù)，確定關(guān)鍵數(shù)據(jù)和相關(guān)業(yè)務(wù)支持技術(shù)資產(chǎn)的價(jià)值，然后在此基礎(chǔ)上，制定并實(shí)施安全策略，完成安全策略的責(zé)任分配，設(shè)立安全標(biāo)準(zhǔn)。

2 企業(yè)網(wǎng)絡(luò)信息安全需求分析

對(duì)企業(yè)網(wǎng)絡(luò)信息安全的網(wǎng)絡(luò)調(diào)查顯示：有超過85%的安全威脅來自企業(yè)內(nèi)部；有16%來自內(nèi)部未授權(quán)的訪問；有11%資料或網(wǎng)絡(luò)的破壞?？梢钥闯觯簛碜杂谄髽I(yè)內(nèi)部的安全威脅比來自于外部的威脅要大得多，必要的安全措施對(duì)企業(yè)是非常重要的。安全風(fēng)險(xiǎn)分析通常包括對(duì)系統(tǒng)資源的價(jià)值屬性的分析、資源面臨的威脅分析、系統(tǒng)的安全缺陷分析等等。分析的目標(biāo)就是確定安全系統(tǒng)的建設(shè)環(huán)境，建立信息系統(tǒng)安全的基本策略。

2.1 企業(yè)信息網(wǎng)絡(luò)安全需求

企業(yè)對(duì)信息網(wǎng)絡(luò)安全方面的需求主要包含：

（1）業(yè)務(wù)系統(tǒng)與其它信息系統(tǒng)充分隔離。

（2）企業(yè)局域網(wǎng)與互聯(lián)的其它網(wǎng)絡(luò)充分隔離。

（3）全面的病毒防御體系，恢復(fù)已被病毒感染的設(shè)備及數(shù)據(jù)。

（4）關(guān)鍵業(yè)務(wù)數(shù)據(jù)必須進(jìn)行備份，具有完善的災(zāi)難恢復(fù)功能。

（5）管理員必須對(duì)企業(yè)信息網(wǎng)絡(luò)系統(tǒng)的安全狀況和安全漏洞進(jìn)行周期性評(píng)估，并根據(jù)評(píng)估結(jié)果采用相應(yīng)措施。

（6）關(guān)鍵業(yè)務(wù)數(shù)據(jù)和敏感數(shù)據(jù)在公網(wǎng)上的傳輸必須加密，防止非法獲取和篡改。

（7）加強(qiáng)內(nèi)部人員操作的技術(shù)監(jiān)控，采用強(qiáng)有力的認(rèn)證系統(tǒng)，代替一些不安全的用戶名/口令系統(tǒng)授權(quán)模式。

（8）建立完善的入侵審計(jì)和監(jiān)控措施，監(jiān)視和記錄外部或者內(nèi)部人員可能發(fā)起的攻擊。

（9）對(duì)整個(gè)信息系統(tǒng)進(jìn)行安全審計(jì)，可預(yù)見管理和總擁有成本控制。

2.2 企業(yè)信息網(wǎng)絡(luò)安全內(nèi)容

從企業(yè)整體考慮，它的信息網(wǎng)絡(luò)安全包括以下六個(gè)方面：

（1）企業(yè)信息網(wǎng)絡(luò)安全策略建設(shè)，它是安全系統(tǒng)執(zhí)行的安全策略建設(shè)的依據(jù)。

（2）企業(yè)信息網(wǎng)絡(luò)管理體系建設(shè)，它是安全系統(tǒng)的安全控制策略和安全系統(tǒng)體系結(jié)構(gòu)建設(shè)的依據(jù)。

（3）企業(yè)信息網(wǎng)絡(luò)資源管理體系建設(shè)，它是安全系統(tǒng)體系結(jié)構(gòu)規(guī)劃的依據(jù)。

（4）企業(yè)信息網(wǎng)絡(luò)人員管理建設(shè)，它是保障安全系統(tǒng)可靠建設(shè)、維護(hù)和應(yīng)用的前提。

（5）企業(yè)信息網(wǎng)絡(luò)工程管理體系建設(shè)，信息安全系統(tǒng)工程必須與它統(tǒng)一規(guī)劃和管理。

（6）企業(yè)信息網(wǎng)絡(luò)事務(wù)持續(xù)性保障規(guī)劃，它是信息安全事件處理和安全恢復(fù)系統(tǒng)建設(shè)的依據(jù)。

3 企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)

3.1 企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

安全系統(tǒng)設(shè)計(jì)是在信息系統(tǒng)安全策略的基礎(chǔ)上，從安全策略的分析中抽象出安全系統(tǒng)及其服務(wù)。安全系統(tǒng)的設(shè)計(jì)如圖1所示。安全系統(tǒng)設(shè)計(jì)的目標(biāo)是設(shè)計(jì)出系統(tǒng)安全防御體系，設(shè)計(jì)和部署體系中各種安全機(jī)制從而形成自動(dòng)的安全防御、監(jiān)察和反應(yīng)體系，忠實(shí)地貫徹系統(tǒng)安全策略。

3.2 企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)組建

安全系統(tǒng)設(shè)計(jì)關(guān)心的是抽象定義的系統(tǒng)。具體系統(tǒng)組建是建立在設(shè)計(jì)基礎(chǔ)上的實(shí)現(xiàn)。通常系統(tǒng)功能組件的實(shí)現(xiàn)方式是軟件、硬件和固體等。安全系統(tǒng)組建的另一項(xiàng)重要內(nèi)容是配制安全系統(tǒng)，并將安全系統(tǒng)與整個(gè)信息系統(tǒng)形成一體。

4 企業(yè)信息網(wǎng)絡(luò)安全工程的部署

信息系統(tǒng)安全是信息系統(tǒng)服務(wù)質(zhì)量的要求，網(wǎng)絡(luò)安全系統(tǒng)應(yīng)當(dāng)融于信息網(wǎng)絡(luò)服務(wù)系統(tǒng)之中，其建設(shè)與維護(hù)應(yīng)當(dāng)與信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)和維護(hù)保持一致，遵循系統(tǒng)工程的方法。網(wǎng)絡(luò)安全工程就是應(yīng)用系統(tǒng)工程建設(shè)和維護(hù)網(wǎng)絡(luò)安全系統(tǒng)。

4.1 工程環(huán)節(jié)

系統(tǒng)工程總是與被建設(shè)的系統(tǒng)特性緊密結(jié)合，工程環(huán)節(jié)與系統(tǒng)生命周期保持同步。安全系統(tǒng)的生命周期也是基本如此，因而安全系統(tǒng)工程典型的基本環(huán)節(jié)包括信息系統(tǒng)安全需求分析、安全系統(tǒng)設(shè)計(jì)、安全系統(tǒng)組建、安全系統(tǒng)認(rèn)證、系統(tǒng)安全運(yùn)行維護(hù)和安全系統(tǒng)改造等，如圖2所示。

（1）安全的互聯(lián)網(wǎng)接入。

企業(yè)內(nèi)部網(wǎng)絡(luò)的每位員工要隨時(shí)登錄互聯(lián)網(wǎng)，因此Internet接入平臺(tái)的安全是該企業(yè)信息系統(tǒng)安全的關(guān)鍵部分，可采用外部邊緣防火墻，其內(nèi)部用戶登錄互聯(lián)網(wǎng)時(shí)經(jīng)過內(nèi)部防火墻，再由外部邊緣防火墻映射到互聯(lián)網(wǎng)。外部邊緣防火墻與內(nèi)部防火墻之間形成了DMZ區(qū)。

（2）防火墻訪問控制。

外部邊緣防火墻提供PAT服務(wù)，配置IPSec加密協(xié)議實(shí)現(xiàn)VPN撥號(hào)連接以及端到端VPN連接，并通過擴(kuò)展ACL對(duì)進(jìn)出防火墻的流量進(jìn)行嚴(yán)格的端口服務(wù)控制。

內(nèi)部防火墻處于內(nèi)部網(wǎng)絡(luò)與DMZ區(qū)之間，它允許內(nèi)網(wǎng)所有主機(jī)能夠訪問DMZ區(qū)，但DMZ區(qū)進(jìn)入內(nèi)網(wǎng)的流量則進(jìn)行嚴(yán)格的過濾。

（3）用戶認(rèn)證系統(tǒng)。

用戶認(rèn)證系統(tǒng)主要用于解決撥號(hào)和VPN接入的安全問題，它是從完善系統(tǒng)用戶認(rèn)證、訪問控制和使用審計(jì)方面的功能來增強(qiáng)系統(tǒng)的安全性。

撥號(hào)用戶和VPN用戶身份認(rèn)證在主域服務(wù)器上進(jìn)行，用戶賬號(hào)集中在主域服務(wù)器上開設(shè)。系統(tǒng)中設(shè)置嚴(yán)格的用戶訪問策略和口令策略，強(qiáng)制用戶定期更改口令。同時(shí)配置VPN日志服務(wù)器，記錄所有VPN用戶的訪問，作為系統(tǒng)審計(jì)的依據(jù)。

（4）入侵檢測系統(tǒng)。

企業(yè)可在互聯(lián)網(wǎng)流量匯聚的交換機(jī)處部署入侵檢測系統(tǒng)，它可實(shí)時(shí)監(jiān)控內(nèi)網(wǎng)中發(fā)生的安全事件，使得管理員及時(shí)做出反應(yīng)，并可記錄內(nèi)部用戶對(duì)Internet的訪問，管理者可審計(jì)Internet接入平臺(tái)是否被濫用。

（5）網(wǎng)絡(luò)防病毒系統(tǒng)。

企業(yè)應(yīng)全面地布置防病毒系統(tǒng)，包括客戶機(jī)、文件服務(wù)器、郵件服務(wù)器和OA服務(wù)器。

（6）VPN加密系統(tǒng)。

企業(yè)可建立虛擬專網(wǎng)VPN，主要為企業(yè)移動(dòng)辦公的員工提供通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)網(wǎng)OA系統(tǒng)，同時(shí)為企業(yè)內(nèi)網(wǎng)用戶訪問公司的SAP系統(tǒng)提供VPN加密連接。

需要注意的是，由于VPN機(jī)制需要執(zhí)行加密和解密過程，其傳輸效率將降低30％～40％，因此對(duì)于關(guān)鍵業(yè)務(wù)，如果有條件應(yīng)該盡可能采用數(shù)據(jù)專線方式。

（7）網(wǎng)絡(luò)設(shè)備及服務(wù)器加固。

企業(yè)網(wǎng)絡(luò)管理員應(yīng)定期對(duì)各種網(wǎng)絡(luò)設(shè)備和主機(jī)進(jìn)行安全性掃描和滲透測試，及時(shí)發(fā)現(xiàn)漏洞并采取補(bǔ)救措施。安全性掃描主要是利用一些掃描工具，模擬黑客的方法和手段，以匿名身份接入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)進(jìn)行掃描并進(jìn)行分析，目的是發(fā)現(xiàn)系統(tǒng)存在的各種漏洞。

根據(jù)安全掃描和滲透測試的結(jié)果，網(wǎng)絡(luò)管理員即可有針對(duì)性地進(jìn)行系統(tǒng)加固，具體加固措施包括：關(guān)閉不必要的網(wǎng)絡(luò)端口；視網(wǎng)絡(luò)應(yīng)用情況禁用ICMP、SNMP等協(xié)議；安裝最新系統(tǒng)安全補(bǔ)??；采用SSH而不是Telnet進(jìn)行遠(yuǎn)程登錄；調(diào)整本地安全策略，禁用不需要的系統(tǒng)缺省服務(wù)；啟用系統(tǒng)安全審計(jì)日志。

（8）辦公電腦安全管理系統(tǒng)。

企業(yè)應(yīng)加強(qiáng)對(duì)桌面電腦的安全管理。主要有：

①補(bǔ)丁管理：主要用于修復(fù)桌面電腦系統(tǒng)漏洞，避免蠕蟲病毒、黑客攻擊和木馬程序等。

②間諜軟件檢測：能夠自動(dòng)檢測和清除來自間諜軟件、廣告軟件、鍵盤記錄程序、特洛伊木馬和其他惡意程序的已知威脅。

③安全威脅分析：能夠自動(dòng)檢測桌面電腦的配置風(fēng)險(xiǎn)，包括共享、口令、瀏覽器等安全問題，并自動(dòng)進(jìn)行修補(bǔ)或提出修改建議。

④應(yīng)用程序阻止：用戶隨意安裝的游戲等應(yīng)用程序可能導(dǎo)致系統(tǒng)紊亂、沖突，影響正常辦公。管理員可以通過遠(yuǎn)程執(zhí)行指令，阻止有關(guān)應(yīng)用程序的運(yùn)行。

⑤設(shè)備訪問控制：對(duì)用戶電腦的硬件采用適當(dāng)?shù)脑L問控制策略，防止關(guān)鍵數(shù)據(jù)丟失和未授權(quán)訪問。

（9）數(shù)據(jù)備份系統(tǒng)。

企業(yè)應(yīng)制定備份策略，定期對(duì)一些重要數(shù)據(jù)進(jìn)行備份。

4.2 持續(xù)性計(jì)劃

（1）架構(gòu)評(píng)估。

企業(yè)網(wǎng)絡(luò)信息安全管理架構(gòu)的評(píng)估應(yīng)由IT部門、相關(guān)責(zé)任部門以及終端用戶代表來共同參與，確保所有的部門都能納入安全框架中。

（2）系統(tǒng)安全運(yùn)行管理。

要保障信息系統(tǒng)安全，就必須維護(hù)安全系統(tǒng)充分發(fā)揮作用的環(huán)境。這種環(huán)境包括安全系統(tǒng)的配置、系統(tǒng)人員的安全職責(zé)分工與培訓(xùn)。

（3）安全系統(tǒng)改造。

信息系統(tǒng)安全的對(duì)抗性必然導(dǎo)致信息安全系統(tǒng)不斷改造。導(dǎo)致安全系統(tǒng)改造的因素可以歸結(jié)為4個(gè)方面：技術(shù)發(fā)展因素；系統(tǒng)環(huán)境因素；系統(tǒng)需求因素；安全事件因素。

（4）網(wǎng)絡(luò)安全制度建設(shè)及人員安全意識(shí)教育。

企業(yè)應(yīng)當(dāng)采取積極防御措施，主動(dòng)防止非授權(quán)訪問操作，從客戶端操作平臺(tái)實(shí)施高等級(jí)防范，使不安全因素在源頭被控制。這對(duì)工作流程相對(duì)固定的重要信息系統(tǒng)顯得更為重要而可行。

需開展計(jì)算機(jī)安全意識(shí)教育和培訓(xùn)，加強(qiáng)計(jì)算機(jī)安全檢查，以此提高最終用戶對(duì)計(jì)算機(jī)安全的重視程度。為各級(jí)機(jī)構(gòu)的系統(tǒng)管理員提供信息系統(tǒng)安全方面的專業(yè)培訓(xùn)，提高處理計(jì)算機(jī)系統(tǒng)安全問題的能力。

參考文獻(xiàn)

［1］趙迪,趙望達(dá),劉靜.基于B/S架構(gòu)的安全生產(chǎn)監(jiān)督管理信息系統(tǒng)［J］,中國公共安全(學(xué)術(shù)版),2006,(04).［2］周敏文,譚海文.淺析我國安全生產(chǎn)信息化建設(shè)的現(xiàn)狀與對(duì)策［J］,露天采礦技術(shù),2005,(06).

［3］［美］Harold F.Tipton，Micki Krause著,張文,鄧芳玲,程向莉,吳娟等譯.信息安全管理手冊（卷III）（第四版）［M］,北京:電子工業(yè)出版社,2004年6月,237-264.

篇9

關(guān)鍵詞:企業(yè)網(wǎng)絡(luò);安全策略;信息加密

中圖分類號(hào): TM727文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)36-10218-02

The Discussion on Security Problems of Enterprise Network

WANG Feng

(Foundation Department, China Pharmaceutical University, Nanjing 211169, China)

Abstract: With the expansion of network applications, enterprise applications for the process of network security risks have become more serious and complex. Network security issues can lead to internal online intruder to attack, theft or other damage. These factors are unsafe to use, so the network-to-business pose a serious security threat. The following will introduced the major enterprise network security factories and countermeasures.

Key words: enterprise network; security policy; information encryption

隨著互聯(lián)網(wǎng)技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,基于網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在企業(yè)中的應(yīng)用越來越廣泛,基于網(wǎng)絡(luò)的應(yīng)用在給企業(yè)的經(jīng)營管理帶來很大經(jīng)濟(jì)利潤的同時(shí),也不可避免的伴隨而來的出現(xiàn)了網(wǎng)絡(luò)安全問題,于2002年之后,蠕蟲、木馬的傳播已經(jīng)使得企業(yè)面臨的數(shù)據(jù)安全問題進(jìn)一步嚴(yán)重。這些問題對(duì)企業(yè)信息安全的提高提出了更高的要求。隨著信息技術(shù)的迅猛前進(jìn),許多大型的企業(yè)都意識(shí)到了利用先進(jìn)的信息技術(shù)對(duì)于提高企業(yè)的運(yùn)營能力與自身的業(yè)務(wù)將起著極其重要的作用,能夠使企業(yè)在激烈的競爭中提高角逐能力[1]。面對(duì)著變化萬千的市場,企業(yè)正面臨著如何才能夠提高本身于市場中角逐能力的問題,而其內(nèi)部的效率問題、管理問題、信息傳遞問題、考核問題等,又不時(shí)的在制約著自身,特別是信息的安全問題嚴(yán)重的制約了自身競爭能力的提高,因此解決網(wǎng)絡(luò)的安全問題已成為目前大多數(shù)企業(yè)增強(qiáng)競爭力的重要策略。

1 影響企業(yè)網(wǎng)絡(luò)安全的因素

1.1 病毒

也就是指那些自我復(fù)制能力比較強(qiáng)的計(jì)算機(jī)程序,它可以影響到計(jì)算機(jī)硬件、軟件正常的運(yùn)行,從而破壞數(shù)據(jù)的完整與正確。隨著互聯(lián)網(wǎng)和計(jì)算機(jī)的不斷進(jìn)步與普及,計(jì)算機(jī)病毒越來越多,總數(shù)已經(jīng)大約達(dá)到了3萬種,并且仍然以大約每月五百種左右的速度增加,它的破環(huán)性也越來越強(qiáng)大,而網(wǎng)絡(luò)病毒的破壞性就顯得更加強(qiáng)大了。一旦出現(xiàn)文件服務(wù)器的硬盤遭到病毒傳染,就極有可能引起數(shù)據(jù)的丟失與系統(tǒng)的損壞,進(jìn)而使得網(wǎng)絡(luò)服務(wù)器不能起動(dòng),數(shù)據(jù)和應(yīng)用程序不能正常的使用,甚至可能引起整個(gè)網(wǎng)絡(luò)的癱瘓,從而造成非常嚴(yán)重的損失。一般來說,網(wǎng)絡(luò)病毒的再生復(fù)制能力都非常強(qiáng),可以利用網(wǎng)絡(luò)進(jìn)行傳染與擴(kuò)散。只要出現(xiàn)某個(gè)公用程序遭到了病毒的感染,那么這些病毒就會(huì)在整個(gè)網(wǎng)絡(luò)上進(jìn)行迅速的傳播,從而感染別的程序。被網(wǎng)絡(luò)病毒感染而引起網(wǎng)絡(luò)癱瘓的損失是不可估量的。一旦發(fā)現(xiàn)了網(wǎng)絡(luò)服務(wù)器被病毒感染,其殺毒所需耗費(fèi)的時(shí)間將大約達(dá)到單機(jī)的幾十倍之上。

1.2 惡意攻擊

就是指那些試圖危及企業(yè)信息資源的可用性、機(jī)密性、完整性的行為。目前企業(yè)的網(wǎng)絡(luò)大都采用了以廣播技術(shù)為基礎(chǔ)的以太網(wǎng)[2]。在相同的以太網(wǎng)中,不同位置的兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包,不但能夠被這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡接收,也可以同時(shí)被處在相同網(wǎng)絡(luò)中的任何節(jié)點(diǎn)的網(wǎng)卡截取。此外,為了使的工作更為便捷,企業(yè)辦公自動(dòng)化中的網(wǎng)絡(luò)都設(shè)置有跟國際互聯(lián)網(wǎng)和外網(wǎng)相互連接的出入口,所以,國際互聯(lián)網(wǎng)和外網(wǎng)中的黑客一旦侵入了企業(yè)的ERP系統(tǒng)或者是辦公自動(dòng)化網(wǎng)絡(luò)中的任何一個(gè)節(jié)點(diǎn)進(jìn)行偵聽,那么就能夠捕獲出現(xiàn)在這個(gè)網(wǎng)絡(luò)上的任何數(shù)據(jù)包,然后對(duì)其進(jìn)行解包并進(jìn)行分析,進(jìn)而竊取一些關(guān)鍵的信息;而本以太網(wǎng)中的黑客則可以非常便捷的截取任何一個(gè)數(shù)據(jù)包,因而導(dǎo)致了信息的失竊。

1.3 非法訪問或者冒充合法用戶

1)指對(duì)信息資源或者網(wǎng)絡(luò)設(shè)備進(jìn)行越權(quán)使用或非正常使用等;

2)指利用各種各樣的欺騙或者假冒手段非法竊取正常的使用權(quán)限,從而達(dá)到合法占用資源的目的。

1.4 破壞數(shù)據(jù)的完整性

就是指通過不合法的手段,重發(fā)、修改或者刪除一些重要的數(shù)據(jù)信息,從而影響了用戶的正常使用[3]。在企業(yè)網(wǎng)絡(luò)系統(tǒng)中,導(dǎo)致信息數(shù)據(jù)破壞的因素有許多種,首先是黑客的入侵,基于各種各樣的原因,黑客侵入到了網(wǎng)絡(luò)中,其中惡意入侵對(duì)網(wǎng)絡(luò)造成的危害一般都是多方面的。其中一種非常常見的危害就是數(shù)據(jù)的破壞,可以破壞服務(wù)器硬盤引導(dǎo)區(qū)的信息數(shù)據(jù)、破壞應(yīng)用程序的數(shù)據(jù)、覆蓋或者刪除原始數(shù)據(jù)庫等。其次就是病毒的破壞,病毒常常會(huì)攻擊系統(tǒng)的數(shù)據(jù)區(qū),通常包含了硬盤主引導(dǎo)扇區(qū)、FAT表、文件目錄、Boot扇區(qū)等;病毒還極有可能破壞文件數(shù)據(jù)區(qū),使得文件數(shù)據(jù)被改名、刪除、丟失數(shù)據(jù)文件、丟失一些程序代碼;病毒還可能攻擊CMOS并且導(dǎo)致系統(tǒng)CMOS中的數(shù)據(jù)遭到破壞。最后就是災(zāi)難破壞,由于突然停電、自然災(zāi)害、誤操作、強(qiáng)烈震動(dòng)等引起了數(shù)據(jù)的破壞。一些重要的數(shù)據(jù)如果遭到了丟失和破壞,可能會(huì)導(dǎo)致企業(yè)經(jīng)營困難與財(cái)力、物力、人力的巨大浪費(fèi)。

1.5 干擾系統(tǒng)的正常運(yùn)行

就是指通過改變系統(tǒng)正常運(yùn)行的方法,從而引起了系統(tǒng)響應(yīng)時(shí)間減慢等手段。

1.6 線路竊聽

指通過通信介質(zhì)的搭線竊聽或電磁泄漏等手段竊取非法信息。

2 企業(yè)網(wǎng)絡(luò)安全策略

一般來說,企業(yè)為了得到最佳的安全性能以便獲得最高的安全投資回報(bào),可以從以下六方面采取相應(yīng)的措施,如圖1所示。

2.1 訪問控制策略

進(jìn)行訪問控制的主要目的就是為了防止不合法的訪問[4],從而實(shí)現(xiàn)用戶身份的辨別與對(duì)服務(wù)器、重要網(wǎng)絡(luò)的安全控制。其中,防火墻就是一種應(yīng)用廣泛且比較有效的網(wǎng)絡(luò)訪問控制設(shè)備,其主要利用對(duì)端口號(hào)、IP地址等進(jìn)行控制并應(yīng)用設(shè)置安全等措施,從而實(shí)現(xiàn)外部網(wǎng)絡(luò)與內(nèi)部被保護(hù)網(wǎng)的隔離。于安全規(guī)則方面,企業(yè)可以針對(duì)一段網(wǎng)絡(luò)、一組主機(jī)、單獨(dú)的主機(jī),根據(jù)網(wǎng)絡(luò)協(xié)議進(jìn)行相應(yīng)的設(shè)置,進(jìn)行面向?qū)ο蟮陌踩?guī)則有關(guān)的編輯;依靠網(wǎng)絡(luò)通訊端口進(jìn)行相應(yīng)的安全規(guī)則設(shè)置;根據(jù)每一天或者星期幾等具體的時(shí)間進(jìn)行設(shè)置,以便實(shí)現(xiàn)訪問控制策略

2.2 安裝網(wǎng)絡(luò)版防病毒軟件

安裝殺毒能力強(qiáng)的網(wǎng)絡(luò)版反病毒軟件,建立針對(duì)性很強(qiáng)的防病毒策略或者針對(duì)局域網(wǎng)的反病毒控制系統(tǒng)。如果有些客戶端想要關(guān)掉實(shí)時(shí)監(jiān)測功能或者把軟件卸載掉,都需要得到管理員的密碼授權(quán)許可才可以執(zhí)行。網(wǎng)絡(luò)版反病毒軟件就好像在網(wǎng)關(guān)處建立了一道屏障,任何潛在的病毒首先都必須經(jīng)過這一關(guān)。對(duì)于一些具有事先告警機(jī)制的反病毒軟件產(chǎn)品,企業(yè)客戶能夠在服務(wù)器端得到一個(gè)警告信號(hào),因此,防止了病毒入侵內(nèi)部網(wǎng)絡(luò)的危險(xiǎn)。

2.3 信息加密策略

信息加密主要的目的是為了保護(hù)網(wǎng)內(nèi)的文件、數(shù)據(jù)、口令以及控制信息,以便保護(hù)傳輸于網(wǎng)絡(luò)上的數(shù)據(jù)。網(wǎng)絡(luò)加密通常采用的方法有端點(diǎn)加密、節(jié)點(diǎn)加密、鏈路加密三種加密方式。端點(diǎn)加密的主要目的是為對(duì)目的端用戶與源端用戶之間傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù);節(jié)點(diǎn)加密的主要目的是為了對(duì)目的節(jié)點(diǎn)與源節(jié)點(diǎn)之間的傳輸鏈路進(jìn)行保護(hù);鏈路加密的主要目的是為了保護(hù)不同網(wǎng)絡(luò)節(jié)點(diǎn)之間鏈路信息的安全,關(guān)于具體選用何種加密方式,用戶可以根據(jù)網(wǎng)絡(luò)的具體情況選擇相應(yīng)的加密方式。

2.4 加強(qiáng)安全管理

“三分技術(shù),七分管理”作為網(wǎng)絡(luò)安全行業(yè)非常流行的話語[5],指出了如果管理混亂、責(zé)權(quán)不明、安全管理制度不完善以及可操作性缺乏等都有可能導(dǎo)致安全管理的風(fēng)險(xiǎn)。因此,要想真正確保企業(yè)網(wǎng)絡(luò)的安全,除了需要從技術(shù)上提高外,更重要的還得依靠提高安全管理質(zhì)量來實(shí)現(xiàn),通常安全管理需要貫穿于安全的所有層次中。結(jié)合實(shí)際工作業(yè)務(wù)流程、工作環(huán)境以及安防技術(shù)等特點(diǎn),需要制訂合適的安全管理規(guī)則。

2.5 實(shí)時(shí)監(jiān)測

利用信息偵聽的方法搜尋未授權(quán)的違規(guī)行為和網(wǎng)絡(luò)訪問嘗試,通常包含了網(wǎng)絡(luò)系統(tǒng)的預(yù)警、掃描、跟蹤、記錄、阻斷等,并進(jìn)而發(fā)現(xiàn)系統(tǒng)所受到的攻擊與傷害。作為一種對(duì)付電腦黑客非常有效的技術(shù)手段,網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測系統(tǒng)具有自適應(yīng)、實(shí)時(shí)、主動(dòng)響應(yīng)識(shí)和別等特性。

2.6 數(shù)據(jù)備份策略

對(duì)企業(yè)數(shù)據(jù)信息以及服務(wù)器應(yīng)當(dāng)采用防火墻來實(shí)現(xiàn)災(zāi)難冗余和雙機(jī)熱備份。對(duì)于可靠性需要非常高的用戶,選擇具有雙機(jī)熱備份功能的防火墻是非常必要的,在相同的網(wǎng)絡(luò)節(jié)點(diǎn)配備兩個(gè)相同配置的防火墻,一般于正常情況下是一個(gè)處于正常工作狀態(tài)[6],而另外一個(gè)則處于備份狀態(tài),但是,一旦工作狀態(tài)的系統(tǒng)發(fā)生了故障之后,處于備份狀態(tài)的防火墻便會(huì)立即自動(dòng)的切換到工作狀態(tài),從而保證網(wǎng)絡(luò)能夠正常運(yùn)行。備用防火墻系統(tǒng)可以非常迅速的完成整個(gè)切換過程,而不需要其他系統(tǒng)參與或者人為操作,并且在這個(gè)切換的過程中,對(duì)網(wǎng)絡(luò)上的任何信息傳輸與通訊連接均無影響。

3 結(jié)束語

總之,雖然影響網(wǎng)絡(luò)安全的因素非常復(fù)雜,給企業(yè)帶來了一些不必要的麻煩,但是,只要樹立正確的企業(yè)網(wǎng)絡(luò)安全觀念并建立高效的企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng),就能保證企業(yè)的正常運(yùn)營,使企業(yè)可以真正享受到信息化帶來的豐碩成果。

參考文獻(xiàn):

[1] 魏清斌.企業(yè)網(wǎng)絡(luò)的安全與防范措施[J].中國高新技術(shù)企業(yè),2008(16):127.

[2] 楊恒廣.淺談企業(yè)網(wǎng)絡(luò)安全[J].科技信息,2008(7):66-67.

[3] 賴順天.企業(yè)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)與防范[J].電腦開發(fā)與應(yīng)用,2008(11):72-73.

[4] 占明艷.企業(yè)網(wǎng)絡(luò)安全對(duì)策研究[J].軟件導(dǎo)刊,2008(9):196-197.

篇10

【關(guān)鍵詞】 云安全 核心技術(shù) 網(wǎng)絡(luò)安全 應(yīng)用探析

前言：近幾年來，越來越多的人們關(guān)注網(wǎng)絡(luò)的安全技術(shù)以及應(yīng)用，網(wǎng)絡(luò)安全關(guān)系到國家安全以及社會(huì)和諧安定，我們應(yīng)當(dāng)提高對(duì)其的重視度。網(wǎng)絡(luò)安全的本質(zhì)就是確保網(wǎng)絡(luò)上的信息安全，其具體指的是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及其系統(tǒng)中的數(shù)據(jù)不被人為的破壞、篡改和泄露，云安全技術(shù)的應(yīng)用，就是保證網(wǎng)絡(luò)安全的一項(xiàng)技術(shù)。云安全技術(shù)已經(jīng)在企業(yè)的局域網(wǎng)中得到了具體運(yùn)用，并且對(duì)其出現(xiàn)的問題進(jìn)行研究改進(jìn)，進(jìn)一步為企業(yè)的網(wǎng)絡(luò)信息安全提供了保障。

一、“云安全”的核心技術(shù)

1.Web信譽(yù)服務(wù)。云安全技術(shù)可以通過全信譽(yù)數(shù)據(jù)庫對(duì)惡意軟件行為進(jìn)行分析，并且根據(jù)其數(shù)據(jù)位置的變化和可疑跡象等因素來指定網(wǎng)頁信譽(yù)分?jǐn)?shù)，從而判斷網(wǎng)頁是否可信。根據(jù)檢測的信譽(yù)分值，我們可以隨時(shí)了解到某個(gè)網(wǎng)站的潛在風(fēng)險(xiǎn)級(jí)別，預(yù)防用戶進(jìn)入有病毒的網(wǎng)頁帶來的危害。

2.電子郵件信譽(yù)服務(wù)。電子郵件信譽(yù)服務(wù)可以根據(jù)已知垃圾信息的源地址進(jìn)行檢測，可以對(duì)發(fā)送者郵件進(jìn)行潛在危險(xiǎn)評(píng)估。當(dāng)云技術(shù)檢測到該郵件中存在病毒時(shí)，就會(huì)自動(dòng)對(duì)該郵件進(jìn)行處理，并且當(dāng)之后再有類似郵件時(shí)還會(huì)對(duì)起進(jìn)行攔截或者刪除，以防危害用戶端。

3.自動(dòng)反饋機(jī)制。云安全的另一個(gè)重要組件就是自動(dòng)反饋機(jī)制，通過檢測單個(gè)用戶的路由信譽(yù)來確定新型的威脅。例如：趨勢科技的全球自動(dòng)反饋機(jī)制的功能就像目前大多社區(qū)采用的鄰里監(jiān)督模式，能夠有效的實(shí)現(xiàn)及時(shí)監(jiān)督保護(hù)功能，有助于確立全面的最新威脅指數(shù)。當(dāng)單個(gè)的用戶常規(guī)信譽(yù)檢查發(fā)現(xiàn)威脅時(shí)，系統(tǒng)就會(huì)自動(dòng)更新趨勢科技位于全球各地所有威脅的數(shù)據(jù)庫，防止以后的客戶遇到威脅時(shí)不能及時(shí)反饋。

二、云安全技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用

1.云安全技術(shù)中復(fù)合式攔截病毒機(jī)制在企業(yè)網(wǎng)絡(luò)安全中的作用。隨著云計(jì)算的發(fā)展，云安全技術(shù)在企業(yè)局域網(wǎng)中已經(jīng)得到廣泛應(yīng)用，同時(shí)云安全成了企業(yè)技術(shù)研究當(dāng)中的主要問題。作為企業(yè)局域網(wǎng)絡(luò)管理者，要認(rèn)識(shí)到對(duì)于企業(yè)網(wǎng)絡(luò)內(nèi)部的威脅主要來自于企業(yè)內(nèi)部，只將精力放在防止網(wǎng)絡(luò)遭受來自于單位外部的攻擊上是遠(yuǎn)遠(yuǎn)不夠的，云安全技術(shù)可以利用互聯(lián)網(wǎng)云計(jì)算技術(shù)強(qiáng)大的終端服務(wù)器，實(shí)現(xiàn)對(duì)企業(yè)局域網(wǎng)絡(luò)內(nèi)部相關(guān)軟件的云攔截以及云殺毒。也就是說，這種方式采用的是云安全技術(shù)中復(fù)合式攔截病毒機(jī)制，當(dāng)企業(yè)局域網(wǎng)絡(luò)存在的安全隱患威脅到客戶端時(shí)，復(fù)合式攔截病毒機(jī)制就可以對(duì)其進(jìn)行攔截以及采取相應(yīng)的處理措施。近幾年來，網(wǎng)絡(luò)病毒攻擊形式比較多，而且病毒的形式不僅是單一的病毒體，而是由多種單一病毒體重組的復(fù)合式病毒，對(duì)網(wǎng)絡(luò)用戶端危害極大，云安全技術(shù)中復(fù)合式攔截病毒機(jī)制則可以有效解決這一問題。

2.云安全技術(shù)中輕客戶端策略在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用。云安全技術(shù)中輕客戶端策略是指將計(jì)算機(jī)和業(yè)務(wù)之間的邏輯問題交由服務(wù)器處理，客戶端只對(duì)簡單的網(wǎng)絡(luò)數(shù)據(jù)顯示工作進(jìn)行處理。例如：當(dāng)我們收到到一封電子郵件時(shí)，云系統(tǒng)就會(huì)自動(dòng)檢測該郵件的源地址以及電子鏈接，并且對(duì)其存在的安全性能自動(dòng)分析。如果檢測的結(jié)果是該封郵件不可信，服務(wù)就會(huì)通過云安全技術(shù)對(duì)其進(jìn)行殺毒處理，并且可以自動(dòng)刪除該封郵件。與此同時(shí)，系統(tǒng)就會(huì)將不可信郵件的源地址和電子鏈接存入到網(wǎng)絡(luò)安全隱患庫中，當(dāng)接收到類似的郵件時(shí)，系統(tǒng)就會(huì)對(duì)其進(jìn)行自動(dòng)攔截或者刪除處理，該策略在應(yīng)用過程中存在一定的弊端，那就是只能夠?qū)ν獠拷邮盏男畔⑦M(jìn)行檢測，對(duì)計(jì)算機(jī)自身系統(tǒng)無法檢測，主要應(yīng)用于來自于外部病毒入侵的攔截和處理。

3.云安全技術(shù)在企業(yè)網(wǎng)絡(luò)中應(yīng)用的必要條件。云安全技術(shù)是針對(duì)云計(jì)算產(chǎn)業(yè)的出現(xiàn)，結(jié)合云計(jì)算的應(yīng)用特點(diǎn)和發(fā)展趨勢衍生出的確保云計(jì)算在局域網(wǎng)中應(yīng)用安全的一種新型網(wǎng)絡(luò)安全技術(shù)。任何一種軟件技術(shù)的發(fā)展離開了安全的保障，就一定會(huì)失去其存在的意義。云安全技術(shù)就是通過客戶端對(duì)局域網(wǎng)中的相關(guān)數(shù)據(jù)以及信息進(jìn)行收集和統(tǒng)計(jì)，分析之后得出源代碼，然后再采取相應(yīng)的處理措施保證其安全性。在實(shí)際操作中，通過客戶端軟件對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行掃描，找尋到有病毒的文件，再通過殺毒單位采用軟件對(duì)用戶端進(jìn)行殺毒處理可以有效提升網(wǎng)絡(luò)安全性。這不僅需要有大量的裝有病毒監(jiān)控軟體的客戶端，而且具有快速解析源代碼的服務(wù)器終端。

三、結(jié)語

科學(xué)技術(shù)的不斷發(fā)展然網(wǎng)絡(luò)的運(yùn)用越來越廣泛，因其所承載的信息量較大，需要我們對(duì)網(wǎng)絡(luò)信息進(jìn)行有效保護(hù)。云技術(shù)的應(yīng)用充分的實(shí)現(xiàn)了人們對(duì)于安全的需求，使人們在網(wǎng)絡(luò)中建立了更完備的安全防御體系，為人們的生活以及工作帶來了更多的便利，讓人們對(duì)于網(wǎng)絡(luò)的使用更加放心。

參 考 文 獻(xiàn)

[1]張海波. 云安全技術(shù)在電力企業(yè)的應(yīng)用[J]. 信息技術(shù)與信息化，2011，04：60-61+67.