導語：如何才能寫好一篇企業(yè)網(wǎng)絡安全建設方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

現(xiàn)在企業(yè)很多商業(yè)業(yè)務、商業(yè)活動和財務管理系統(tǒng)協(xié)同工作等，都需要借助計算機網(wǎng)絡進行。如果沒有網(wǎng)絡安全性的保障，就會發(fā)生系統(tǒng)延遲、拒絕服務、程序錯誤、數(shù)據(jù)篡改等現(xiàn)象，甚至很多情況下會發(fā)生木馬病毒的侵蝕。過去企業(yè)數(shù)據(jù)是以文本文件的形式存在，雖然處理和操作不具有便捷性，但是能夠起到保密性和可靠性的作用。計算機網(wǎng)絡時代財務數(shù)據(jù)流能夠?qū)崿F(xiàn)財務數(shù)據(jù)的快速傳遞，但是在數(shù)據(jù)傳輸?shù)倪^程中安全性難以得到有效的保障。所以在企業(yè)數(shù)據(jù)信息管理的過程中需要有保密性和可靠性的保障，維護企業(yè)的商業(yè)機密。其次，網(wǎng)絡交易渠道容易發(fā)生數(shù)據(jù)信息丟失或損壞，交易雙方的信息結(jié)果發(fā)生差異的現(xiàn)象時有發(fā)生，嚴重影響了企業(yè)數(shù)據(jù)的精準性。所以企業(yè)急需完整性的交易信息憑證，避免交易信息的篡改或者刪除，保證交易雙方數(shù)據(jù)的一致性[1]。

2企業(yè)網(wǎng)絡面臨的安全風險

2.1物理安全風險

近年來，很多現(xiàn)代化企業(yè)加大信息建設，一些下屬公司的網(wǎng)絡接入企業(yè)總網(wǎng)絡，企業(yè)網(wǎng)路物理層邊界限制模糊，而電子商務的業(yè)務發(fā)展需求要求企業(yè)網(wǎng)絡具有共享性，能夠在一定權(quán)限下實現(xiàn)網(wǎng)絡交易，這也使得企業(yè)內(nèi)部網(wǎng)絡邊界成為一個邏輯邊界，防火墻在網(wǎng)絡邊界上的設置受到很多限制，影響了防火墻的安全防護作用。

2.2入侵審計和防御體系不完善

隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡攻擊、計算機病毒不斷變化，其破壞力強、速度快、形式多樣、難以防范，嚴重威脅企業(yè)網(wǎng)絡安全。當前，很多企業(yè)缺乏完善的入侵審計和防御體系，企業(yè)網(wǎng)絡的主動防御和智能分析能力明顯不足，檢查監(jiān)控效率低，缺乏一致性的安全防護規(guī)范，安全策略落實不到位。

2.3管理安全的風險

企業(yè)網(wǎng)絡與信息的安全需要有效的安全管理措施作為制度體系保障，但是企業(yè)經(jīng)常由于管理的疏忽，造成嚴重的網(wǎng)絡信息安全風險。具體管理安全的風險主要表現(xiàn)在以下幾個方面：企業(yè)沒有健全和完善的網(wǎng)絡安全管理制度，難以落實安全追責；技術(shù)人員的操作技術(shù)能力缺陷，導致操作混亂；缺乏網(wǎng)絡信息安全管理的意識，沒有健全的網(wǎng)絡信息安全培訓體系等。

3構(gòu)建企業(yè)網(wǎng)絡安全防護體系

3.1加強規(guī)劃、預防和動態(tài)管理

首先，企業(yè)需要建立完善的網(wǎng)絡信息安全防護體系，保證各項安全措施都能夠滿足國家信息安全的標準和要求。對自身潛在的信息安全風險進行統(tǒng)籌規(guī)劃，針對性的展開安全防護系統(tǒng)的設計。其次，企業(yè)應該加強對安全防護系統(tǒng)建設的資金投入，建立適合自己網(wǎng)絡信息應用需求的防護體系，并且定期進行安全系統(tǒng)的維護和升級。最后，加強預防與動態(tài)化的管理，要制定安全風險處理的應急預案，有效降低網(wǎng)絡信息安全事故的發(fā)生。并且根據(jù)網(wǎng)絡信息動態(tài)的變化，采取動態(tài)化的管理措施，將網(wǎng)絡與信息安全風險控制在可接受的范圍。

3.2合理劃分安全域

現(xiàn)代化企業(yè)網(wǎng)絡可以按照系統(tǒng)行為、安全防護等級和業(yè)務系統(tǒng)這三種方式來劃分安全域。由于企業(yè)網(wǎng)絡在不同區(qū)域和不同層次關(guān)注的內(nèi)容不同，因此在劃分企業(yè)網(wǎng)絡安全域時，應結(jié)合業(yè)務屬性和網(wǎng)絡管理，不僅要確保企業(yè)正常的生產(chǎn)運營，還應考慮網(wǎng)絡安全域劃分是否合理。針對這個問題，企業(yè)網(wǎng)絡安全域劃分不能僅應用一種劃分方式，應綜合應用多種方式，充分發(fā)揮不同方式的優(yōu)勢，結(jié)合企業(yè)網(wǎng)絡管理要求和網(wǎng)絡業(yè)務需求，有針對性地進行企業(yè)網(wǎng)絡安全域劃分。

首先，根據(jù)業(yè)務需求，可以將企業(yè)網(wǎng)絡分為兩部分：外網(wǎng)和內(nèi)網(wǎng)。由于互聯(lián)網(wǎng)出口全部位于外網(wǎng)，企業(yè)網(wǎng)絡可以在外網(wǎng)用戶端和內(nèi)網(wǎng)之間設置隔離，使外網(wǎng)服務和內(nèi)網(wǎng)服務分離，隔離各種安全威脅，確保企業(yè)內(nèi)網(wǎng)業(yè)務的安全性。其次，按照企業(yè)業(yè)務系統(tǒng)方式，分別劃分外網(wǎng)和內(nèi)網(wǎng)安全域，企業(yè)外網(wǎng)可以分為員工公寓網(wǎng)絡、項目網(wǎng)絡、對外服務網(wǎng)絡等子網(wǎng)，內(nèi)網(wǎng)可以分為辦公網(wǎng)、生產(chǎn)網(wǎng)，其中再細分出材料采購網(wǎng)、保管網(wǎng)、辦公管理網(wǎng)等子網(wǎng)，通過合理劃分安全域，確定明確的網(wǎng)絡邊界，明確安全防護范圍和對象目標。最后，按照網(wǎng)絡安全防護等級和系統(tǒng)行為，細分各個子網(wǎng)的安全域，劃分出基礎保障域、服務集中域和邊界接入域?；A保障域主要用來防護網(wǎng)絡系統(tǒng)管理控制中心、軟件和各種安全設備，服務集中域主要用于防護企業(yè)網(wǎng)絡的信息系統(tǒng)，包括信息系統(tǒng)內(nèi)部和系統(tǒng)之間的數(shù)據(jù)防護，并且按照不同的等級保護要求，可以采用分級防護措施，邊界接入域主要設置在企業(yè)網(wǎng)絡信息系統(tǒng)和其他系統(tǒng)之間的邊界上。

3.3信息安全技術(shù)的應用

（1）防火墻技術(shù)

防火墻主要的作用是對不安全的服務進行過濾和攔截，對企業(yè)網(wǎng)絡的信息加強訪問限制，提高網(wǎng)絡安全防護。例如，企業(yè)的信息數(shù)據(jù)庫只能在企業(yè)內(nèi)部局域網(wǎng)網(wǎng)絡的覆蓋下才能瀏覽操作，域外訪問操作會被禁止。并且防火墻可以有效記錄使用過的統(tǒng)計數(shù)據(jù)，對可能存在的攻擊、侵入行為精心預測預警，最大限度地保障了企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)的安全。隨著業(yè)務模式的不斷發(fā)展，簡單的業(yè)務（端口）封堵已經(jīng)不能適應動態(tài)的業(yè)務需要，需要采用基于內(nèi)容的深度檢測技術(shù)對區(qū)域間的業(yè)務流進行過濾。并借助于大數(shù)據(jù)分析能力對異常業(yè)務流進行智能分析判斷。

（2）終端準入防御技術(shù)

終端準入防御技術(shù)主要是以用戶終端作為切入點，對網(wǎng)絡的接入進行控制，利用安全服務器、安全網(wǎng)絡設備等聯(lián)動，對接入網(wǎng)絡的用戶終端強制實施企業(yè)安全策略，實時掌控用戶端的網(wǎng)絡信息操作行為，提高用戶端的風險主動防御能力。

4結(jié)束語

綜上所述，計算機網(wǎng)絡有效提高了企業(yè)業(yè)務工作的效率，實現(xiàn)企業(yè)計算機網(wǎng)絡數(shù)據(jù)庫中的數(shù)據(jù)分類、整理、資源的共享。但是，系統(tǒng)數(shù)據(jù)的保密、安全方面還存在技術(shù)上的一些欠缺，經(jīng)常會發(fā)生數(shù)據(jù)被非法侵入和截取的現(xiàn)象，造成了嚴重的數(shù)據(jù)安全風險。企業(yè)應該科學分析網(wǎng)絡與信息安全風險類型，加強規(guī)劃、預防利用防火墻技術(shù)、終端準入防御技術(shù)等，提高企業(yè)網(wǎng)絡與信息安全防護效率。

參考文獻

[1]戴華秀.移動互聯(lián)網(wǎng)時代信息安全應對策略分析[J].科技與創(chuàng)新，2016，（1）：36.

篇2

關(guān)鍵詞：企業(yè)網(wǎng)絡；信息安全；安全方案構(gòu)建

1 企業(yè)計算機網(wǎng)絡安全方案的構(gòu)建意義

目前，我國大中型企業(yè)信息化建設中的關(guān)鍵部分就是信息安全建設，解決信息安全問題有利于企業(yè)信息化建設工作的全面推進。企業(yè)信息安全建設的最終目的是要真正做到“防患于未然”，信息安全的有效性建設能夠控制企業(yè)信息化建設的總體成本，為企業(yè)節(jié)約大量資金，實現(xiàn)資源優(yōu)化配置。企業(yè)計算機網(wǎng)絡安全建設工作要始終堅持等級保護理念，才能促進企業(yè)信息安全建設工作的穩(wěn)步實施，保證企業(yè)信息管理系統(tǒng)的建設符合行業(yè)標準和政策規(guī)定，全面提升企業(yè)在激烈的市場競爭中的競爭力。

2 企業(yè)計算機網(wǎng)絡安全的弱點和威脅

2.1 信息安全弱點

信息安全弱點與企業(yè)信息資源密切相關(guān)，信息安全弱點的暴露很有可能導致企業(yè)資產(chǎn)的嚴重損失。但是，信息安全弱點本身并不會為企業(yè)帶來損失，只是在特定的環(huán)境下被非法者利用后才會造成企業(yè)資產(chǎn)損失，例如，企業(yè)信息系統(tǒng)開發(fā)過程中的脆弱性問題，管理員的管理措施問題等，這些信息安全弱點都為非法攻擊者提供了非法入侵的可能。

2.2 信息安全威脅

信息安全威脅指的是對企業(yè)資產(chǎn)構(gòu)成潛在性的破壞因素，信息安全威脅的產(chǎn)生包括人為因素和自然環(huán)境因素。信息安全威脅可能是偶然發(fā)生的事件，也有可能是人為蓄意制造的時間，包括信息泄露、信息篡改等，這些事件都會導致企業(yè)信息的可用性、完整性和保密性遭到破壞，屬于對企業(yè)信息的惡意攻擊。

2.3 網(wǎng)絡安全事件

由于網(wǎng)絡特有的開放性特點，造成了非法攻擊、黑客入侵、病毒傳播等海量安全事件發(fā)生，信息安全領域?qū)τ诰W(wǎng)絡安全的研究也日益重視。根據(jù)大量網(wǎng)絡安全事件分析來看，企業(yè)信息管理系統(tǒng)的應用設計存在著諸多缺陷和弊端，給情報機構(gòu)的非法入侵提供了極大的可能性。由此，內(nèi)容分級制度、脆弱性檢測技術(shù)、智能分析技術(shù)已經(jīng)廣泛應用于企業(yè)信息系統(tǒng)開發(fā)過程中。

3 企業(yè)計算機網(wǎng)絡安全存在的主要問題

⑴企業(yè)分部采用寬帶撥號上網(wǎng)的方式與企業(yè)總部實現(xiàn)通信傳輸，這種落后的網(wǎng)絡通信方式難以保證數(shù)據(jù)傳輸?shù)陌踩浴Ｆ髽I(yè)信息安全級別較高的部門通過互聯(lián)網(wǎng)實現(xiàn)數(shù)據(jù)傳輸?shù)倪^程中，沒有采取任何數(shù)據(jù)加密措施，非常容易造成數(shù)據(jù)信息的泄露和篡改，同時，企業(yè)信息管理系統(tǒng)的操作應用沒有設置明確的管理人員，導致其他非法用戶也可以入侵到企業(yè)內(nèi)部網(wǎng)絡中，對服務器數(shù)據(jù)進行竊取和篡改。以上兩種網(wǎng)絡安全問題都容易造成企業(yè)重要數(shù)據(jù)的泄露，甚至給企業(yè)帶來不看估計的損失。

⑵隨著企業(yè)網(wǎng)絡規(guī)模的日益擴大，在網(wǎng)絡邊界如果仍然采用路由器連接企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡，已經(jīng)無法適應飛速發(fā)展的網(wǎng)絡互連技術(shù)。企業(yè)雖然可以在網(wǎng)絡邊界的路由器中設置訪問控制策略，但是仍然存在來自互聯(lián)網(wǎng)的各種非法攻擊、IP地址攻擊、ARP協(xié)議欺騙等問題，這表明了企業(yè)需要一善可靠的防火墻設備，來對企業(yè)網(wǎng)絡的數(shù)據(jù)傳輸提供有效控制和保護。

⑶由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，為企業(yè)提供了豐富的信息資源，除了企業(yè)日常運營需要使用網(wǎng)絡資源，其他工作人員也有可能通過網(wǎng)絡獲取信息資源，例如使用迅雷、BT等軟件下載視音頻信息等，網(wǎng)絡下載會占用企業(yè)大部分帶寬資源，嚴重的會導致系統(tǒng)管理員無法對網(wǎng)絡終端的訪問情況進行有效管理，或者某一個計算機終端因下載感染病毒而引發(fā)ARP欺騙。

⑷隨著互聯(lián)網(wǎng)應用的日益普及，木馬病毒的廣泛傳播，企業(yè)員工計算機使用水平參差不齊，不能保證對網(wǎng)絡中的有害信息進行有效識別，由此導致了木馬病毒在企業(yè)內(nèi)部網(wǎng)絡的感染和傳播。因此，需要定期對企業(yè)數(shù)據(jù)傳輸?shù)脑紨?shù)據(jù)流進行病毒查殺和威脅分析，以此起到有害信息過濾的作用，使流入企業(yè)內(nèi)部網(wǎng)絡的數(shù)據(jù)信息能夠安全可靠，真正降低企業(yè)信息安全風險。同時，企業(yè)可以采用網(wǎng)關(guān)防病毒產(chǎn)品，在企業(yè)內(nèi)部網(wǎng)絡與外部網(wǎng)絡處進行隔離保護，當木馬病毒出現(xiàn)時可以被攔截在企業(yè)內(nèi)部網(wǎng)絡之外，為企業(yè)提供可靠的安全邊界保護。

4 企業(yè)計算機網(wǎng)絡安全方案的構(gòu)建實施

企業(yè)總部需要與企業(yè)分部，以及其他合作企業(yè)之間實現(xiàn)數(shù)據(jù)傳輸與交換，企業(yè)派往外地出差的員工也需要通過遠程網(wǎng)絡訪問企業(yè)總部內(nèi)網(wǎng)的信息管理系統(tǒng)，因此，不同用戶企業(yè)總部內(nèi)部網(wǎng)絡的訪問有著不同需求，企業(yè)必須具有安全可靠、性能較高、成本較低的網(wǎng)絡接入方式。由于企業(yè)分部大部分與企業(yè)總部不在一個城市，在企業(yè)總部與企業(yè)分部之間鋪設光纜線路是極為不現(xiàn)實的；如果租用專用光纖網(wǎng)絡通信線路，高額的租賃費用會嚴重增加企業(yè)運營發(fā)展的經(jīng)濟負擔；如果將企業(yè)總部內(nèi)部網(wǎng)絡的應用服務器映射在網(wǎng)關(guān)位置，雖然能夠方面用戶遠程訪問企業(yè)內(nèi)部信息管理系統(tǒng)，但會給企業(yè)網(wǎng)絡帶來巨大的安全隱患。本文基于以上分析，本文選擇利用VPN技術(shù)（虛擬局域網(wǎng)）在企業(yè)內(nèi)部網(wǎng)絡出口處，虛擬設置一條網(wǎng)絡專線，以此將企業(yè)總部與企業(yè)分部網(wǎng)絡進行有效連接，形成一個規(guī)模較大的局域網(wǎng)，真正實現(xiàn)了用戶遠程訪問和接入。VPN技術(shù)不僅能夠滿足異地用戶對企業(yè)總部網(wǎng)絡信息管理系統(tǒng)的訪問需求，而且充分保證了用戶訪問的安全性，避免了單點登錄技術(shù)對企業(yè)整個網(wǎng)絡構(gòu)成的安全威脅。

企業(yè)在部署上網(wǎng)行為管理設備（SINFOR M5X00-AC）時，應該開啟VPN功能，在企業(yè)總部內(nèi)部網(wǎng)絡的邊界防火墻設備中進行端口映射，同時在企業(yè)分部網(wǎng)絡中安裝上網(wǎng)行為管理設備，并且與企業(yè)總部的上網(wǎng)行為管理設備共同利用VPN技術(shù)建立虛擬專用網(wǎng)絡，在對數(shù)據(jù)信息進行加密后在互聯(lián)網(wǎng)上傳輸。企業(yè)在構(gòu)建虛擬專用網(wǎng)絡時，只要在任何一端的連接管理設置中輸入對方網(wǎng)絡地址，VPN設備就可以自動進行虛擬局域網(wǎng)組建，網(wǎng)絡中的任何計算機終端都可以通過虛擬專用網(wǎng)實現(xiàn)數(shù)據(jù)傳輸與共享。如果還有其他分部需要加入到虛擬局域網(wǎng)中，則可以通過輸入加密的訪問WAN扣地址實現(xiàn)。需要注意的是，已將連通的虛擬局域網(wǎng)的內(nèi)網(wǎng)網(wǎng)段不能完全相同。

企業(yè)在部署上網(wǎng)行為管理設備時，由于訪問控制策略是信息安全策略的核心部分，也是對網(wǎng)絡中數(shù)據(jù)傳輸?shù)年P(guān)鍵保護措施，由此，需要對接入企業(yè)總部網(wǎng)絡的用戶進行身份認證，根據(jù)不同用戶的身份授予不同權(quán)限，再利用配置邏輯隔離服務器實現(xiàn)不同用戶身份對不同應用服務器的接入，從而對企業(yè)內(nèi)部網(wǎng)絡中的業(yè)務信息管理系統(tǒng)進行訪問和使用。同時，安全級別為五級的QoS安全機制能夠為企業(yè)不同信息系統(tǒng)提供相應的安全服務保障，并且可以按照業(yè)務類別劃分優(yōu)先級別，重要的數(shù)據(jù)信息將會獲得優(yōu)先傳輸?shù)臋?quán)限。對用戶訪問權(quán)限的細致劃分可以限制非法用戶對網(wǎng)絡資源的訪問和使用，防止非法用戶入侵企業(yè)內(nèi)部網(wǎng)絡進行破壞性操作，直接對接入企業(yè)內(nèi)部網(wǎng)絡的各項訪問應用進行管控，真正提高了企業(yè)網(wǎng)絡系統(tǒng)的安全性。

在企業(yè)內(nèi)部網(wǎng)絡部署應用安全產(chǎn)品過程中，需要綜合考慮如何完成安全產(chǎn)品的部署策略，才能使安全產(chǎn)品的性能充分發(fā)揮，同時，企業(yè)內(nèi)部網(wǎng)絡還可以將不同的安全產(chǎn)品集成應用，使其發(fā)揮最大功能，充分提高企業(yè)信息管理系統(tǒng)的安全性和可靠性。

本文基于信息安全等級指導思想下，對企業(yè)內(nèi)部網(wǎng)絡存在的問題進行了分析，并提出了良好的解決方案，包括防火墻的部署、入侵檢測設備的部署、上網(wǎng)行為管理設備的部署、防毒墻的部署、企業(yè)版殺毒軟件的部署等。

5 結(jié)論

綜上所述，本文在網(wǎng)絡信息安全等級保護理念下，將企業(yè)內(nèi)部網(wǎng)絡的安全防護的有效性作為最終目標，對企業(yè)網(wǎng)絡信息安全存在的風險進行深入分析，結(jié)合企業(yè)實際情況，提出了企業(yè)計算機網(wǎng)絡安全設計方案，保障了企業(yè)總部內(nèi)部網(wǎng)絡與分部網(wǎng)絡之間數(shù)據(jù)傳輸通信的安全性和可靠性。

[參考文獻]

[1]李正忠.電力企業(yè)信息安全網(wǎng)絡建設原則與實踐[J].中國新通信，2013，09：25-27.

[2]王迅.電信企業(yè)計算機網(wǎng)絡安全構(gòu)建策略分析[J].科技傳播，2013，07：217+209.

[3]陳瑋.企業(yè)無線網(wǎng)絡移動辦公的安全接入問題分析[J].信息通信，2013，03：239.

篇3

網(wǎng)絡安全建設要具有長遠的眼光，不能僅僅為了眼前的幾種威脅而特意部署安全方案。

垃圾郵件、病毒、間諜軟件和不適內(nèi)容會中斷業(yè)務運行，這些快速演變的威脅隱藏在電子郵件和網(wǎng)頁中，并通過網(wǎng)絡快速傳播，消耗著有限的網(wǎng)絡和系統(tǒng)資源。要防范這些威脅，就需要在網(wǎng)絡安全方面有所投入才行。但現(xiàn)在的經(jīng)濟形勢讓眾多中小企業(yè)面臨生存挑戰(zhàn)，it投入的縮減，專業(yè)人員的不足等因素，相比大型企業(yè)來說，都讓中小企業(yè)在對付網(wǎng)絡威脅方面更加無助。

即使投入有限，中小企業(yè)的網(wǎng)絡安全需求一點也不比大企業(yè)少。在現(xiàn)實情況中，中小企業(yè)往往還對便捷的管理、快速的服務響應等要求更高。那么中小企業(yè)如何在有限的投入中構(gòu)建完善的網(wǎng)絡安全體系呢？試試下面這幾招。

第一招：網(wǎng)關(guān)端防護事半功倍

內(nèi)部病毒相互感染、外部網(wǎng)絡的間諜軟件、病毒侵襲等危害，使得僅僅依靠單一安全產(chǎn)品保證整個網(wǎng)絡安全穩(wěn)定運行的日子一去不復返了。而應對目前新型的web威脅，利用架設在網(wǎng)關(guān)處的安全產(chǎn)品，在威脅進入企業(yè)網(wǎng)絡之前就將其攔截在大門之外是更加有效的方法。對于中小企業(yè)來說，選擇一款功能全面、易于管理和部署的網(wǎng)關(guān)安全設備，不但可以在第一時間內(nèi)對各類web流量內(nèi)容進行掃描過濾，同時也可以大大減輕各應用服務器主機的負荷。

比如，趨勢科技推出的igsa就包含了防病毒、防垃圾郵件和內(nèi)容過濾、防間諜軟件、防網(wǎng)絡釣魚、防僵尸保護以及url過濾服務等眾多功能，并且可以統(tǒng)一集中管理，通過日志報告還讓網(wǎng)絡運行安全情況一目了然，大大減少了信息安全管理的工作量。

第二招：運用“云安全”免去內(nèi)存升級壓力

目前中小企業(yè)內(nèi)網(wǎng)安全也不容忽視，而且要求實現(xiàn)集中管理和保護內(nèi)部桌面計算機。在網(wǎng)絡威脅飆升的今天，更新病毒碼成為每天必備的工作，但傳統(tǒng)代碼比對技術(shù)的流程性問題正在導致查殺病毒的有效性急劇下降。趨勢科技推出的云安全解決方案超越了病毒樣本分析處理機制，通過云端服務器群對互聯(lián)網(wǎng)上的海量信息源進行分析整理，將高風險信息源保存到云端數(shù)據(jù)庫中，當用戶訪問時，通過實時查詢信息源的安全等級，就可以將高風險信息及時阻擋，從而讓用戶頻繁的更新病毒碼工作成為歷史。

目前，桌面端防護的用戶數(shù)是網(wǎng)關(guān)防護用戶數(shù)的5倍，桌面防護在現(xiàn)階段也是必不可少的手段，但要求減輕更新負擔和加強管理便捷性。這方面，趨勢科技的officescan通過應用最新的云安全技術(shù)，使桌面端防護不再依賴于病毒碼更新，降低了帶寬資源和內(nèi)存資源的占用和壓力。

第三招：安全服務節(jié)省管理成本

網(wǎng)絡安全管理成本在整個網(wǎng)絡安全解決方案中占有一定比例，如果用三分技術(shù)、七分管理的理論來解釋，這方面成本顯然更高。如何才能在專業(yè)管理人員有限的狀況下，達到安全管理的目標呢？中小企業(yè)可以借助安全廠商的專家技術(shù)支持，高效、專業(yè)地保障網(wǎng)絡安全運行。也就是借用外力來管理自己的網(wǎng)絡安全設備，將比自己培養(yǎng)管理人員成本更低，而且效果更佳。

目前，已有包括趨勢科技在內(nèi)的多家廠商提供此類服務。

第四招：培養(yǎng)安全意識一勞永逸

篇4

關(guān)鍵詞：計算機網(wǎng)絡；企業(yè)網(wǎng)站；安全；防護

中圖分類號：TP393.18

企業(yè)信息安全中的企業(yè)網(wǎng)站安全一般較為薄弱，企業(yè)信息的門戶往往最為容易受到攻擊，或者直接把其作為攻擊的目標。企業(yè)在企業(yè)網(wǎng)站遭受攻擊以后，肯定會遭受巨大的經(jīng)濟損失[1，2]。世界性的互聯(lián)網(wǎng)癱瘓時有發(fā)生，最近大規(guī)模的網(wǎng)絡安全事故也經(jīng)常出現(xiàn)，包括數(shù)據(jù)破壞、泄密以及所造成的相關(guān)業(yè)務不能正常進行，這樣的巨大經(jīng)濟損失就不可避免。數(shù)據(jù)在網(wǎng)站入侵后經(jīng)常被篡改，病毒泛濫和黑客猖獗司空見慣，企業(yè)網(wǎng)站的安全防范工作顯得尤為重要。所以，只有保護好企業(yè)網(wǎng)站的安全，才能發(fā)揮其積極作用而真正為企業(yè)服務，這就要求緊密結(jié)合信息技術(shù)與企業(yè)的生產(chǎn)流程、管理體系和商務活動等方面。本文在分析企業(yè)網(wǎng)站安全存在的各種風險的基礎上，結(jié)合實際情況，提出相應的防護策略。

1 企業(yè)網(wǎng)站安全風險分析

各種安全風險都應該在進行企業(yè)網(wǎng)站信息建設中考慮到。為了更好取得攻擊效果，黑客往往將各種網(wǎng)絡信息程序、技術(shù)、工具相互結(jié)合起來使用，所以，應該充分了解企業(yè)網(wǎng)站的安全風險，以及黑客的常用基本技術(shù)手段。分析目前的企業(yè)網(wǎng)站安全問題存在以下幾種[3]：第一，操作系統(tǒng)的安全性問題，不論何種操作系統(tǒng)，Unix、Windows還是Linux操作系統(tǒng)，都存在許多威脅著網(wǎng)絡安全的漏洞；第二，利用系統(tǒng)的漏洞，或是網(wǎng)站設計上缺陷而制作的病毒和木馬往往能夠進行一定的破壞和傳播。目前，網(wǎng)絡病毒頻頻爆發(fā)，網(wǎng)絡發(fā)展速度飛快，黑客軟件和病毒相互結(jié)合擴大這種對于網(wǎng)絡破壞的程度；第三，黑客技術(shù)能夠在沒有代價的前提下，通過系統(tǒng)的控制獲得資源的使用。系統(tǒng)或者數(shù)據(jù)安全性受到重大影響，包括典型的惡意毀壞數(shù)據(jù)和修改頁面內(nèi)容或鏈接等。在互聯(lián)網(wǎng)業(yè)戶廣泛開展的今天，盜取任何有價值的東西都是有可能的；第四，密碼過于簡單、長時間不進行修改以及管理系統(tǒng)使用默認的賬號和密碼等等，這些都是常見的管理疏漏，應該盡量避免這個漏洞，保證不給企業(yè)造成相關(guān)的負面影響。

企業(yè)在建設網(wǎng)站過程中，由于存在重建設、輕管理，再加上沒有完備的管理規(guī)章制度等等，容易出現(xiàn)這種由于安全意識淡薄而造成的安全問題，從而成為企業(yè)網(wǎng)站的安全隱患。

2 企業(yè)網(wǎng)站防護策略

2.1 網(wǎng)站安全防護保障策略?！胺婪丁焙汀肮芾怼笔窃谄髽I(yè)信息安全建設中的兩個重要問題，為做好企業(yè)安全工作，應該在應用安全設備的基礎上，進行相關(guān)的安全技術(shù)輔助，從而完成安全管理工作。安全設備主要包括桌面防病毒、防垃圾郵件、防火墻、服務器加密等等方面，為保證網(wǎng)站正常運行，利用安全設備組成具有深度防御能力的信息安全保證體系。

網(wǎng)站安全保政策路主要包括以下幾個方面：一是路由控制建立安全的訪問路徑應該在網(wǎng)站業(yè)務終端與網(wǎng)站業(yè)務服務器之間設置；二是惡意代碼進行檢測和清除工作應該在網(wǎng)絡邊界處與終端主機上完成；三是縱深防御的安全體系應該建立；四是在直接連接外部信息系統(tǒng)位置以及網(wǎng)絡邊界位置，應該盡量避免部署重要網(wǎng)段，可靠的技術(shù)隔離手段在重要網(wǎng)段與其他網(wǎng)段之間采用；五是應該努力進行安全主機打造，不斷加固網(wǎng)站業(yè)務服務器脆弱的服務；為了更好防止威脅的擴散，應該在區(qū)域內(nèi)進行威脅的隔離操作。

2.2 網(wǎng)站狀態(tài)可視化策略。監(jiān)控、管理、響應和防范等方面的內(nèi)容應該在企業(yè)網(wǎng)站的安全建設中有所體現(xiàn)，在信息系統(tǒng)和組織體系中也應該進行一定的規(guī)劃設計。應該從全局角度思考安全問題，安全事件處理決策能夠及時制定并執(zhí)行，滿足實時監(jiān)控網(wǎng)絡健康以及設備使用的要求。另外，為保證網(wǎng)站業(yè)務狀態(tài)可視化特點，網(wǎng)站業(yè)務還應該統(tǒng)一響應和處理安全事件。

對于網(wǎng)站狀態(tài)可視化策略主要分為以下幾方面內(nèi)容：一是能夠?qū)τ谥匾掌鞯娜肭中袨檫M行監(jiān)測，同時記錄相關(guān)的參數(shù)，包括攻擊目的、類型和時間等等，同時，還能提供入侵的警報功能；二是監(jiān)視重要服務器本身工作情況，包括建設服務器的硬盤、CPU、網(wǎng)絡資源、內(nèi)存等等使用情況；三是為能對網(wǎng)絡系統(tǒng)安全漏洞進行及時修補工作，應該定期對網(wǎng)絡系統(tǒng)進行掃描；四是設定系統(tǒng)服務水平的最小值，當達到此值以后則進行檢測或者報警；五是能夠滿足管理網(wǎng)絡行為的需求，使得網(wǎng)站業(yè)務操作流程更加規(guī)范，盡量避免意外事故而導致對于網(wǎng)站業(yè)務的影響，這就需要建議一套系統(tǒng)的網(wǎng)站業(yè)務保證體系；六是為了更好進行全面監(jiān)控安全管理體系建立，還應設置高效和統(tǒng)一的管理視圖。

2.3 網(wǎng)站流程可控化策略。為保障網(wǎng)站正常運行，應該監(jiān)視與控制網(wǎng)站業(yè)務數(shù)據(jù)的整個處理流程，在信息安全建設過程中，網(wǎng)站業(yè)務及數(shù)據(jù)的訪問應該采取一定的措施來保證合法的用戶可接入到網(wǎng)絡中來訪問所需資源，比如通過嚴格的用戶身份認證、授權(quán)、審計等等來保證用戶對于資源的訪問權(quán)限。網(wǎng)站流程可控化策略主要包括以下幾個方面的內(nèi)容：第一，隔離不符合安全標準的用戶，安全檢查用戶終端；第二，為更好提升網(wǎng)站安全防御能力，應該合理控制用戶的網(wǎng)絡行為；第三，用戶的訪問權(quán)限往往根據(jù)需要進行配置；第四，及時分析網(wǎng)絡記錄數(shù)據(jù)，生成審計報表；第五，及時記錄網(wǎng)絡系統(tǒng)中的相關(guān)的網(wǎng)絡設備運行狀況、網(wǎng)絡流量以及用戶行為等等。

3 企業(yè)安全防護措施

3.1 網(wǎng)站威脅防御措施。為保證正常運行企業(yè)網(wǎng)站業(yè)務，應該結(jié)合多重安全技術(shù)以及相關(guān)產(chǎn)品進行防御。比如，防火墻及入侵防護系統(tǒng)應該在網(wǎng)絡出口以及重要服務器進行配置，這樣能夠保證應用的安全性；在網(wǎng)站的DDOS/DOS等攻擊方面，應該部署抗拒絕服務系統(tǒng)，這樣能夠保證網(wǎng)站還能被及時訪問；網(wǎng)頁防篡改系統(tǒng)能夠有效防止惡意修改網(wǎng)頁的風險發(fā)生。一般選擇采用的是入侵防御，或是防火墻和入侵檢測系統(tǒng)兩種方式的組合。

3.2 網(wǎng)站健康管理措施。預防、監(jiān)控和防御則是對于網(wǎng)站業(yè)務健康管理方面的有效措施。首先，檢測網(wǎng)站業(yè)務系統(tǒng)中所存在的漏洞，通過漏洞掃描工具進行，為更好預防網(wǎng)絡安全威脅，應該及時發(fā)現(xiàn)并修復漏洞；其次，應用安全管理系統(tǒng)應該對于重要的網(wǎng)站業(yè)務服務器進行部署和監(jiān)控；第三，為了保證對于網(wǎng)站業(yè)務的訪問和處理，還應該實時監(jiān)控網(wǎng)站業(yè)務服務器和數(shù)據(jù)庫服務器；第四，統(tǒng)一收集分析設備管理平臺的相關(guān)設備日志，實現(xiàn)集中管理的要求。

3.3 網(wǎng)站訪問管理措施。要想滿足用戶訪問的安全和簡便，應該通過部署安全設備得以實現(xiàn)。這樣，網(wǎng)站編輯人員的訪問行為能夠在部署終端安全防護產(chǎn)品進行有效控制，只有合法的用戶才能接入網(wǎng)絡，能夠?qū)崿F(xiàn)資產(chǎn)管理、終端保護以及應用監(jiān)控的實現(xiàn)。為了保證網(wǎng)站系統(tǒng)的維護工作都是經(jīng)過堡壘機進行，應該部署堡壘機系統(tǒng)來保證集中統(tǒng)一的訪問權(quán)限控制，以及相關(guān)的全程審計用戶的所有操作。為確保有效利用網(wǎng)站服務器資源，應該部署負載均衡設備。最后，要想更好為責任認定以及故障恢復提供依據(jù)，還應該安全審計相關(guān)的用戶訪問請求和資源訪問情況等。

4 結(jié)語

企業(yè)網(wǎng)站安全則是企業(yè)信息安全的重要內(nèi)容，為更好提高網(wǎng)站防御能力，應該要求相關(guān)技術(shù)人員和管理人員去不斷關(guān)注信息技術(shù)發(fā)展，使得安全策略不斷得以優(yōu)化。為更好保證網(wǎng)站安全，還應該做好網(wǎng)站安全的預防工作，確保企業(yè)信息化建設的順利開展。為了更好促進企業(yè)網(wǎng)站安全健康發(fā)展，我們還應該不斷落實安全管理，進一步加強安全制度建設。

參考文獻：

[1]樊程，戴洪，瞿新吉.基于JSP網(wǎng)站安全的案例分析與解決方案[J].青島大學學報（自然科學版），2011，24（3）.

[2]林寧思，賴建華.電子政務網(wǎng)站群安全防護體系研究[J].福建電腦，2011，27（8）.

篇5

【關(guān)鍵詞】企業(yè) 信息化 網(wǎng)絡 安全

中圖分類號：TN915.08文獻標識碼： A 文章編號：

一、前言

在信息迅速發(fā)展的時代，計算機網(wǎng)絡技術(shù)已無處不在，而企業(yè)信息化已經(jīng)成為提高企業(yè)競爭的重要因素，企業(yè)在大力推行辦公自動化、網(wǎng)絡化、電子化、信息共享，以利用網(wǎng)絡技術(shù)增強各部門的科學決策、監(jiān)管控制、提高工作效率的同時，網(wǎng)絡安全是每一個企業(yè)工作得以保障的首要條件，我們必須重視。

二、常見的網(wǎng)絡安全隱患

1、非法入侵

任何軟件中都可能存在缺陷，而部分系統(tǒng)中會留下未公開的特性。這些特性會導致系統(tǒng)中各種保護機制失效，如盜用身份。事實上很多危險的入侵者是以獲得管理員權(quán)限為主要目標的，繞過反問控制。通過修改審計系統(tǒng)清除入侵痕跡等。這些缺陷和未公開特性可以制作成工具而廣泛傳播，而有些惡意的未公開特性會在某些時刻被利用攻擊系統(tǒng)。

2、病毒傳播

病毒的種類是多種多樣的，目前全世界發(fā)現(xiàn)的病毒已遠遠超過數(shù)十萬種，根據(jù)感染對象的不同．這些病毒可分為引導型病毒、文件型病毒、混合型病毒三類。引導型病毒其感染對象是計算機存儲介質(zhì)的引導區(qū)，其傳染性較強；文件型病毒其感染對象是計算機系統(tǒng)存在的文件，病毒將在文件運行或被調(diào)用時駐留內(nèi)存、傳染、破壞混合型病毒其感染對象是引導區(qū)或文件。

3、數(shù)據(jù)丟失

企業(yè)的重要業(yè)務數(shù)據(jù)都存儲在網(wǎng)絡中，一旦丟失，后果不堪設想。因此，建立一套行之有效的災難恢復方案就顯得尤為重要。在企業(yè)信息系統(tǒng)中，由于數(shù)據(jù)量大，且常常需要跨平臺操作，數(shù)據(jù)出錯或丟失是難免的，如果沒有事先對數(shù)據(jù)進行備份，要想恢復數(shù)據(jù)不僅難度大而且很不可靠，有時甚至根本不可能進行恢復。如果定期對重要數(shù)據(jù)進行備份。那么在系統(tǒng)出現(xiàn)故障時，仍然能保證重要數(shù)據(jù)準確無誤。

三、網(wǎng)絡安全分析

1．企業(yè)網(wǎng)絡概況企業(yè)網(wǎng)可分為三部分：企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)和企業(yè)廣域網(wǎng)

內(nèi)部網(wǎng)是一個信息點密集的千兆網(wǎng)絡系統(tǒng)，這些信息點為企業(yè)內(nèi)各部門提供一個快速、方便的信息交流平臺。企業(yè)外部網(wǎng)可實現(xiàn)對外信息。企業(yè)廣域網(wǎng)，可實現(xiàn)各部門與互聯(lián)網(wǎng)用戶進行交流、查詢資料．以及遠程辦公。高速交換技術(shù)的采用、靈活的網(wǎng)絡互連方案設計為用戶提供快速、方便、靈活通信平臺的同時。也為網(wǎng)絡的安全帶來了更大的風險。因此。實施一套完整、可操作的安全解決方案是必須的。

2．網(wǎng)絡安全性概述計算機網(wǎng)絡主要是向客戶提供信息、在企業(yè)內(nèi)部共享相關(guān)數(shù)據(jù)并進行業(yè)務聯(lián)系．因此一個安全的企業(yè)網(wǎng)絡應該能夠解決以下三方面的問題：

(1)企業(yè)內(nèi)部網(wǎng)用戶對企業(yè)信息的安全訪問。

(2)Intemet用戶對企業(yè)信息的安全訪問。

(3)企業(yè)內(nèi)部網(wǎng)與Intemet的正常信息交流。

3．企業(yè)內(nèi)部網(wǎng)受到的安全威脅企業(yè)內(nèi)部網(wǎng)受到的安全威脅有以下幾種：黑客人侵、病毒的傳播、內(nèi)部攻擊、秘密信息泄露和篡改、修改網(wǎng)絡配置、造成網(wǎng)絡癱瘓等。具體來說網(wǎng)絡安全的威脅主要來自技術(shù)層面和管理層面。

(1)技術(shù)層面目前使用的網(wǎng)絡協(xié)議主要考慮了通用性設計，安全層面考慮的少。使目前的網(wǎng)絡存在以下安全威脅：物理屢、鏈路層以及網(wǎng)絡層的安全問題，即竊聽或干擾、非法用戶的使用、信息被攔截監(jiān)聽；操作系統(tǒng)安全。目前流行的操作系統(tǒng)均存在網(wǎng)絡安全漏洞，許多攻擊直接針對操作系統(tǒng)展開；應用平臺安全，如數(shù)據(jù)庫服務器、郵件服務器、Web服務器、Ftp服務器等均存在安全隱患，很容易受到攻擊；應用系統(tǒng)是直接面向最終用戶的，其安全問題包括規(guī)范化操作、合法性使用、信息泄露、信息篡改、信息抵賴及信息假冒等。

(2)管理層面管理層面的問題是整個網(wǎng)絡安全的關(guān)鍵，通常存在如下的管理問題：管理組織不完善：很多單位出于節(jié)約資金的考慮，沒有聘用專業(yè)的安全管理人員?；蛘甙踩芾砣蝿諞]有落實到人，責權(quán)不明確；管理規(guī)范未建立：安全是一個整體工程，不完整的管理幾乎等于不管：技術(shù)管理不到位：多數(shù)單位只考慮防火墻、防病毒等措施，并沒有提高到管理的程度：日常管理不到位：從計算機的日常使用、信息保存、用戶權(quán)限變更等。

四、企業(yè)信息化建設過程中解決網(wǎng)絡安全問題的措施

實現(xiàn)網(wǎng)路安全的過程是復雜的，任何一種單一的技術(shù)或產(chǎn)品無法滿足網(wǎng)絡對安全的要求，只有將技術(shù)和管理有機結(jié)合起來，從控制整個網(wǎng)絡安全建設、運行和維護的全過程角度人手。還應采用各種先進技術(shù)，防火墻技術(shù)、VPN技術(shù)、加密技術(shù)、入侵檢測技術(shù)等。

1、加強素質(zhì)培養(yǎng)

首先加強網(wǎng)絡管理人員的技術(shù)水平，特別是計算機網(wǎng)絡安全新技術(shù)的培訓。其次對非技術(shù)人員進行計算機操作培訓，并且介紹網(wǎng)絡安全的重要性以及基本的防御常識等。

2、網(wǎng)絡安全的先進技術(shù)

防火墻技術(shù)：防火墻技術(shù)一般分為兩類：網(wǎng)絡級防火墻和應用級防火墻。網(wǎng)絡級防火墻防止整個網(wǎng)絡出現(xiàn)外來非法入侵；應用級防火墻是從應用程序來進行接入控制。通常使用應用網(wǎng)關(guān)或服務器來區(qū)分各種應用。目前防火墻所采用的技術(shù)主要有：屏蔽路由技術(shù)、基于技術(shù)、包過濾技術(shù)、動態(tài)防火墻技術(shù)、DMZ模型。虛擬專用網(wǎng)：虛擬專用網(wǎng)(Virtual Private Network，VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸，通過一個私有的通道在公共網(wǎng)絡上創(chuàng)建一個私有的連接。因此，從本質(zhì)上說VPN是一個虛擬通道，它可用來連接兩個專用網(wǎng)，通過可靠的加密技術(shù)方法保證其他安全性，并且是作為一個公共網(wǎng)絡的一部分存在的。

加密技術(shù)：加密技術(shù)分為對稱加密和非對稱加密兩類，對稱加密技術(shù)有DES、3DES、IDEA，對稱加密技術(shù)是指加密系統(tǒng)的加密密鑰和解密密鑰相同，也就是說一把鑰匙開一把鎖。非對稱密鑰技術(shù)主要有RSA．非對稱密鑰技術(shù)也稱為公鑰算法，是指加密系統(tǒng)的加密密鑰和解密密鑰完全不同，這種加密方式廣泛應用于身份驗證、數(shù)字簽名、數(shù)據(jù)傳輸。

入侵檢測技術(shù)：入侵檢測技術(shù)的核心包括兩個方面，一是如何充分并可靠地提取描述行為的特征數(shù)據(jù)；二是如何根據(jù)特征數(shù)據(jù)，高效并準確地判斷行為的性質(zhì)。它通過從計算機網(wǎng)絡或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

其他的網(wǎng)絡安全技術(shù)還有安全隔離技術(shù)、VLAN技術(shù)、各種防、殺毒技術(shù)等等。

五、網(wǎng)絡安全管理

為了保護網(wǎng)絡的安全性，除了增加安全服務功能，完善系統(tǒng)的安全保密措施外，安全管理規(guī)范也是必須的。安全管理策略一方面從安全管理規(guī)范來實現(xiàn)。男一方面從技術(shù)上建立高效的管理平臺。

1．安全管理規(guī)范信息系統(tǒng)的安全管理部門應根據(jù)管理原則制定相應的管理制度或采用相應的規(guī)范。具體工作是：

(1)根據(jù)工作的重要程度，確定安全管理等級和安全管理范圍。

(2)制訂相應的機房出入制度，對于安全等級要求較高的系統(tǒng)。實行分區(qū)控制和出入管理?？刹捎米C件識別或自動識別登記系統(tǒng)．采用磁卡、身份卡等手段。對人員進行識別、登記管理。

(3)制訂嚴格的網(wǎng)絡操作規(guī)程。既有網(wǎng)絡管理人員的操作規(guī)程，也要有內(nèi)網(wǎng)用戶的操作規(guī)程。

(4)制訂完備的網(wǎng)絡系統(tǒng)維護制度。維護時要首先經(jīng)主管部門批準，并有網(wǎng)絡管理人員在場，故障的原因、維護內(nèi)容和維護前后的情況要詳細記錄。

結(jié)論

今后的企業(yè)信息化建設中，網(wǎng)絡安全就顯得尤為重要，如果企業(yè)不重視信息化的網(wǎng)絡安全工作。信息化不僅無法提高企業(yè)的工作效率，還會讓企業(yè)蒙受巨大的經(jīng)濟損失。所以信息化建設中的網(wǎng)絡安全要與信息化同步考慮進行。

【參考文獻】

篇6

關(guān)鍵詞：計算機 網(wǎng)絡系統(tǒng) 安全集成

一、企業(yè)的網(wǎng)絡安全現(xiàn)狀

據(jù)統(tǒng)計，我國現(xiàn)有企業(yè)的網(wǎng)絡安全現(xiàn)狀是不容樂觀的，其主要表現(xiàn)在以下幾個方面： 信息和網(wǎng)絡的安全防護能力差； 網(wǎng)絡安全人才缺乏； 企業(yè)員工對網(wǎng)絡的安全保密意識淡薄，企業(yè)領導對網(wǎng)絡安全方面不夠重視等。一部分企業(yè)認為添加了各種安全產(chǎn)品之后，該網(wǎng)絡就已經(jīng)安全了，企業(yè)領導基本上就是只注重直接的經(jīng)濟利益回報的投資項目，對網(wǎng)絡安全這個看不見實際回饋的資金投入大部分都采取不積極的態(tài)度，其中起主導作用的因素還有就是企業(yè)缺少專門的技術(shù)人員和專業(yè)指導，導致我國目前企業(yè)的網(wǎng)絡安全建設普遍處于不容樂觀的狀況。

二、網(wǎng)絡安全常見威脅

1、計算機病毒

計算機病毒指在計算機程序中插入的破壞計算機功能和數(shù)據(jù)、影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。具有寄生性、傳染性、隱蔽性等特點。常見的破壞性比較強的病毒經(jīng)常表現(xiàn)為：藍屏、機卡、CPU、自動重啟使用率高、打不開殺毒軟件等，并且在短時間內(nèi)傳播從而導致大量的計算機系統(tǒng)癱瘓，對企業(yè)或者個人造成重大的經(jīng)濟損失。

2、非授權(quán)訪問

指利用編寫和調(diào)試計算機程序侵入到他方內(nèi)部網(wǎng)或?qū)Ｓ镁W(wǎng)，獲得非法或未授權(quán)的網(wǎng)絡或文件訪問的行為。如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡設備及資源進行非正常使用，或擅自擴大權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。

3、木馬程序和后門

木馬程序和后門是一種可以通過遠程控制別人計算機的程序，具有隱蔽性和非授權(quán)性的特點。企業(yè)的某臺計算機被安裝了木馬程序或后門后，該程序可能會竊取用戶信息，包括用戶輸入的各種密碼，并將這些信息發(fā)送出去，或者使得黑客可以通過網(wǎng)絡遠程操控這臺計算機，竊取計算機中的用戶信息和文件，更為嚴重的是通過該臺計算機操控整個企業(yè)的網(wǎng)絡系統(tǒng)，使整個網(wǎng)絡系統(tǒng)都暴露在黑客間諜的眼前。

三、網(wǎng)絡的安全策略

1、更改系統(tǒng)管理員的賬戶名

應將系統(tǒng)管理員的賬戶名由原先的Administrator改為一個無意義的字符串.這樣要疊錄的非法用戶不但要猜準口令。還必須猜出用戶名.這種更名功能在域用戶管理器的User Properties對話框中并沒有設置.用它的User-*-Rename菜單選項就可以實現(xiàn)這一功能.如果用的是NT4.0.可以用Resource Kit中提供的工具封鎖聯(lián)機系統(tǒng)管理員賬號.這種封鎖僅僅對由網(wǎng)絡過來的非法疊錄起作用.

2、關(guān)閉不必要的向內(nèi)TCP/IP端口

非法用戶進入系統(tǒng)并得到管理員權(quán)限之后.首先要做的，必定設法恢復管理員刻意廢止的TCP/IP上的NetBIOS裝訂.管理員應該使用路由器作為另一道防線。即提供web和FTP之類公共服務的NT服務器.這種情況下，只須保留兩條路由器到服務器的向內(nèi)路徑：端日80的H1vrP和端日2l的FTP.

3、防火墻配置

防火墻是在2個網(wǎng)絡間實現(xiàn)訪問控制的1個或1組軟件或硬件系統(tǒng)，它是外部網(wǎng)絡與內(nèi)部網(wǎng)絡之間的第1道安全屏障。本建設方案主要采用硬件防火墻，其主要功能就是屏蔽和允許指定的數(shù)據(jù)通訊，而這個功能的實現(xiàn)又主要是依靠一套訪問控制策略，由訪問控制策略來決定通訊的合法性，該控制策略的具體內(nèi)容由企業(yè)的安全管理員和系統(tǒng)管理員共同來制定。

制定的防火墻安全策略主要有： 所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)包都必須經(jīng)過防火墻； 只有被安全策略允許的數(shù)據(jù)包才能通過防火墻； 服務器本身不能直接訪問互聯(lián)網(wǎng)； 防火墻本身要有預防入侵的功能； 默認禁止所有服務，除非是必須的服務才允許。而其他一些應用系統(tǒng)需要開放特殊的端口由系統(tǒng)管理員來執(zhí)行。

4、VLAN 的劃分

VLAN 是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議。VLAN 之間的訪問需要通過應用系統(tǒng)的授權(quán)來進行數(shù)據(jù)交互。為保護敏感資源和控制廣播風暴，在3 層路由交換機的集中式網(wǎng)絡環(huán)境下，將網(wǎng)絡中的所有客戶主機和服務器系統(tǒng)分別集中到不同的VLAN 里，在每個VLAN 里不允許任何用戶設置IP、用戶主機和服務器之間相互PING，不允許用戶主機對服務器的數(shù)據(jù)進行編輯，只允許數(shù)據(jù)訪問，從而較好地保護敏感的主機資源和服務器系統(tǒng)的數(shù)據(jù)。采用3 層交換機，通過VLAN 劃分，來實現(xiàn)同一部門在同一個VLAN 中，這樣既方便同部門的數(shù)據(jù)交換，又限制了不同部門之間用戶的直接訪問。

5、身份認證

身份認證是提高網(wǎng)絡安全的主要措施之一。其主要目的是證實被認證對象是否屬實，常被用于通信雙方相互確認身份，以保證通信的安全。常用的網(wǎng)絡身份認證技術(shù)有： 靜態(tài)密碼、USB Key 和動態(tài)口令、智能卡牌等。其中，最常見的使用是用戶名加靜態(tài)密碼的方式。而在本方案中主要采用USB Key的方式?；赨SB Key 的身份認證方式采用軟硬件相結(jié)合，很好地解決了安全性與易用性之間的矛盾，利用USB Key 內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。USB Key 身份認證系統(tǒng)主要有2 種應用模式： 一是基于沖擊、響應的認證模式； 二是基于PKI 體系的認證模式。

6、制訂網(wǎng)絡系統(tǒng)的應急計劃

為了將由意外事故引起的網(wǎng)絡系統(tǒng)損害降低到最小程度，企業(yè)應制訂應急計劃.以防意外事故使網(wǎng)絡系統(tǒng)遭受破壞.該應急計劃應包括緊急行動方案及軟、硬件系統(tǒng)恢復方案等.絕對的安全是沒有的，安全標準的追求是以資金和方便為代價的.我們應隨時根據(jù)網(wǎng)絡系統(tǒng)的運行環(huán)境而采用相應的安全保護策略.通過對計算機網(wǎng)絡系統(tǒng)安全問題的充分認識.以及行政、技術(shù)和物質(zhì)手段的保證。網(wǎng)絡系統(tǒng)就能夠有足夠的安全性來對付各種不安全問題.

結(jié)語

如何確保計算機網(wǎng)絡信息的安全是每一個網(wǎng)絡系統(tǒng)的設計者和管理者都極為關(guān)心的熱點，當然，也是企業(yè)關(guān)心的重點。一個全方位的安全方案是非常難以實現(xiàn)的，只有在企業(yè)領導的支持下，在技術(shù)人員和管理人員的努力下，結(jié)合企業(yè)的實際情況，制定出相應的解決措施，才是符合本企業(yè)的安全方案。本文主要討論了計算機網(wǎng)絡的安全的幾種不同的威脅，給出了相應安全策略以及相應的安全產(chǎn)品，提出了計算機網(wǎng)絡系統(tǒng)實施建設的基本方案。

參考文獻

篇7

關(guān)鍵詞：網(wǎng)絡信息安全；網(wǎng)絡攻擊；網(wǎng)絡安全技術(shù)

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2011) 18-0000-01

Computer Network Information Security Issues and Solutions

Liu Yubing

(Jiangsu Province Dongtai People's Hospital,Dongtai 224200,China)

Abstract:In this paper,the vulnerability of network information security,network security,the main technical,common network attack methods and countermeasures,network security,construction,analysis of the current network information security of the main problems,and common network attacks from the technical aspects of proposed solution that would gradually eliminate the construction of the network security network information security risks.

Keywords:Network information security;Network attacks;Network security technology

一、引言

計算機技術(shù)發(fā)展迅速，使得當今社會的發(fā)展己經(jīng)離不開信息網(wǎng)絡。由于計算機網(wǎng)絡傳遞的信息中涉及到金融、科學教育、軍事等各個領域[1]，其中包含巨大的經(jīng)濟或國家利益，所以少不了來自各方各面的網(wǎng)絡攻擊，網(wǎng)絡攻擊的表現(xiàn)形式也是多種多樣，譬如病毒感染、竊取數(shù)據(jù)、信息的篡改刪添等等。計算機犯罪的頻發(fā)，也與其犯罪的便利性，不必犯罪者親臨現(xiàn)場以及犯罪證據(jù)難以留下有大大相關(guān)。當今各國對于計算機網(wǎng)絡安全的防護己成為遏制計算機犯罪的嚴重社會問題[2]。網(wǎng)絡信息安全關(guān)系著國家的安全，民族的發(fā)展，隨著全球信息化越來越廣，它扮演的角色越來越重要。我們提倡網(wǎng)絡安全建設，大力保障網(wǎng)絡信息安全就是要保護網(wǎng)絡系統(tǒng)的硬件、軟件，主要是保護系統(tǒng)中的數(shù)據(jù)，使之不被破壞、更改、泄露，最終使得整個網(wǎng)絡系統(tǒng)能夠正常的運行并提供服務[3]。

二、常見網(wǎng)絡攻擊方法

由于系統(tǒng)開發(fā)者的疏忽或自留后門導致漏洞無處不在。補丁的速度遠遠跟不上漏洞的出現(xiàn)速度，黑客們正是攻擊安全漏洞和系統(tǒng)缺陷來達到目的。

（一）拒絕服務攻擊。DoS是Denial of Service的簡稱，即拒絕服務[4]，造成Dos的攻擊行為被稱為DoS攻擊，其目的是使計算機或網(wǎng)絡無法提供正常的服務。最常見的DoS攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡，使得所有可用網(wǎng)絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。

（二）利用型攻擊。利用型攻擊是一類試圖直接對你的機器進行控制的攻擊，下面介紹常見的三種攻擊的防御手段：（l）口令猜測：設置難以猜測的口令，比如多種符號組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略，就進行鎖定。（2）特洛伊木馬：不下載、不執(zhí)行可疑程序，安裝木馬防火墻。（3）緩沖區(qū)溢出：利用SafeLib、tripwire這樣的程序保護系統(tǒng)，或者瀏覽最新的安全公告不斷更新操作系統(tǒng)[5]。

（三）信息收集型攻擊。盡管分類討論問題的解法無定規(guī)可循，但就中學數(shù)學而言，從基本概念的內(nèi)涵、定理、公式和法則的限制條件出發(fā)，分析常見的誘因，就能獲得解決這類問題的基本策略和思維的基本模式。信息收集型攻擊是一個為進一步入侵收集信息的攻擊。主要包括：掃描技術(shù)、體系結(jié)構(gòu)刺探、利用信息服務。使用具有己知響應類型的數(shù)據(jù)庫的自動工具，對來自目標主機的、對壞數(shù)據(jù)包傳送所做出的響應進行檢查。通過將不同系統(tǒng)回應的響應與數(shù)據(jù)庫中的已知響應進行對比，就可以確定出目標主機所運行的操作系統(tǒng)。防御方法是去掉或修改各種Banner，包括操作系統(tǒng)和各種應用服務的，阻斷用于識別的端口擾亂對方的攻擊計劃。

（四）假消息攻擊。用于攻擊目標配置不正確的消息，有以下兩種手段：（1）DNS高速緩存污染：DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證，這就使得攻擊者可以將不正確的信息摻進來并把用戶引向他自己的主機。防御方法是在防火墻上過濾入站的DNS更新，外部DNS服務器不應能更改你的內(nèi)部服務器對內(nèi)部機器的認識。（2）偽造電子郵件：由于SMTP并不對郵件的發(fā)送者的身份進行鑒定，因此攻擊者可以對你的內(nèi)部客戶偽造電子郵件，聲稱是某個客戶認識并相信的人，當然附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網(wǎng)站的連接。我們可以使用PGP等安全工具并安裝電子郵件證書進行防御。

三、網(wǎng)絡攻擊應對策略

（一）防范網(wǎng)絡病毒。加強工作站的管理。工作站是網(wǎng)絡的入口，在工作站上安裝固化了殺毒軟件的硬件或芯片，這樣就可以對必經(jīng)路徑加強檢查和過濾，達到提前攔截病毒的效果。服務器是整個網(wǎng)絡的核心，一旦服務器被感染而崩潰，整個網(wǎng)絡會立即癱瘓，那么所謂的網(wǎng)絡服務也不將存在。我們應該以服務器的防毒為重心，為它提供實時掃描病毒的軟件，并加大服務器權(quán)限的管理力度，杜絕病毒在網(wǎng)絡上的蔓延[6]。

（二）備份與恢復。組合使用正常備份和增量備份來備份數(shù)據(jù)，需要最少的存儲空間，并且是最快的備份方法。與備份完全相逆的就是恢復了，在文件缺失或是系統(tǒng)遭受攻擊而癱瘓的情況下，我們就可以利用前面的備份數(shù)據(jù)進行數(shù)據(jù)恢復，來達到保持信息安全的目的。

（三）提高個人信息安全意識。系統(tǒng)是以用戶為中心的，合法用戶可以在系統(tǒng)上進行一系列合法的操作圈。如何限制用戶的不合法操作，這就需要系統(tǒng)管理員對用戶權(quán)限加以控制，以避免故意或無意的破壞。但是更多的安全措施必須由用戶自己來完成，譬如：（1）密碼控制（2）文件管理（3）運行安全的程序。（4）安裝殺毒軟件和防火墻并隨時更新病毒庫。

參考文獻：

[1]李海強.網(wǎng)絡安全及網(wǎng)絡安全評估的脆弱性分析[J].硅谷

[2]王宇,盧星.信息網(wǎng)絡安全脆弱性分析[J].計算機研究與發(fā)展,2006,2

[3]網(wǎng)絡安全-業(yè)務保障[J].中國計算機用戶,2001,7

[4]許寶如.對計算機網(wǎng)絡安全問題的思考[J].江西科技師范學院學報,2004,2

篇8

關(guān)鍵詞：企業(yè)；內(nèi)網(wǎng)；安全問題

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 21-0000-02

長期以來，我們對于網(wǎng)絡的安全問題往往停留在外網(wǎng)安全上，也就是說，大家所指的網(wǎng)絡安全就是外網(wǎng)安全，認為外網(wǎng)中存在未知的危險，是不可信任的。所以，大家采取的一系列防護措施都是針對于外網(wǎng)而言的，比如說采用防火墻是最常見的對外網(wǎng)安全進行防護的措施。都是，我們根據(jù)調(diào)查顯示，幾乎有超過一半的非法訪問或攻擊都是來自于內(nèi)部，這也就意味著我們通常采用的外網(wǎng)安全防護措施對內(nèi)網(wǎng)安全問題是幾乎不起作用的。所以，隨著內(nèi)網(wǎng)應用的范圍不斷擴大，內(nèi)網(wǎng)給系統(tǒng)帶來的漏洞也越來越大，也就是說出現(xiàn)在內(nèi)網(wǎng)中的安全問題會越來越多，而通常內(nèi)網(wǎng)中的數(shù)據(jù)和資料對企業(yè)而言是相當重要的，所以對于企業(yè)的網(wǎng)絡管理絕不能輕視內(nèi)網(wǎng)的安全問題。

1 企業(yè)內(nèi)網(wǎng)的安全現(xiàn)狀

雖然近年來計算機在我國發(fā)展較為迅速，并且在各個領域應用也比較廣泛，但是不可否認的是我國的計算機信息安全技術(shù)，相對于其他發(fā)達國家還是有一定的差距，主要表現(xiàn)在幾個方面：（1）我國的基礎信息產(chǎn)業(yè)相對落后。首先，在計算機的硬件技術(shù)方面，我國很多核心部位的技術(shù)尚未掌握，對發(fā)達國家依賴性太強，然后對于計算機的軟件方面就更不用說了，由于我國在計算機軟件開發(fā)設計方面起步晚，所以長期以來軟件這一塊一直處于國外的壟斷之中。（2）高級網(wǎng)絡安全人才的匱乏。這是與我國計算機行業(yè)的發(fā)展實際情況有關(guān)，盡管計算機技術(shù)近年來在我國發(fā)展速度十分可觀，但是在網(wǎng)絡安全這一塊還是處于落后階段，所以相對而言，我國的高級網(wǎng)絡安全人才是比較緊缺的。（3）網(wǎng)絡管理者缺乏必要的安全意識。很多企業(yè)管理者或者個人對網(wǎng)絡的安全問題認識不夠，缺乏有效的網(wǎng)絡安全管理措施，沒有認識到出了網(wǎng)絡安全事故對于企業(yè)而言的嚴重后果，所以作為企業(yè)的網(wǎng)絡管理者，網(wǎng)絡安全意識必須要加強。

2 企業(yè)內(nèi)網(wǎng)常見的安全隱患

由于計算機網(wǎng)絡系統(tǒng)具有信道公用以及資源共享等特點，這也就導致了計算機網(wǎng)絡在使用過程中的復雜性和脆弱性，又加上企業(yè)內(nèi)網(wǎng)在運行過程中，時常會受到外部的病毒或者黑客的攻擊等，這些威脅企業(yè)內(nèi)網(wǎng)安全的因素，這就給內(nèi)網(wǎng)系統(tǒng)安全運行提出了更高的要求。就其本質(zhì)而言，網(wǎng)絡安全通常就是指網(wǎng)絡企業(yè)網(wǎng)絡信息的安全，它主要包括企業(yè)內(nèi)網(wǎng)中的硬件、軟件安全，還有企業(yè)內(nèi)網(wǎng)資料數(shù)據(jù)不被破壞，并能維持企業(yè)內(nèi)網(wǎng)長期安全可靠的運行。下面列舉出威脅企業(yè)內(nèi)網(wǎng)安全的常見隱患。

2.1 非授權(quán)用戶的惡意訪問。這種情形主要包括兩種，一是企業(yè)外部人員非法訪問企業(yè)內(nèi)網(wǎng)，二是對于設置權(quán)限的網(wǎng)絡訪問，低權(quán)限的非法訪問高權(quán)限網(wǎng)絡。主要是由于現(xiàn)在很多企業(yè)普遍都采用的是開放式網(wǎng)絡，這種情況下就使得很多人都可以借助互聯(lián)網(wǎng)的鏈接，實現(xiàn)上網(wǎng)的功能。這也就意味著企業(yè)內(nèi)部員工很可能在不經(jīng)意間就把危險帶進了企業(yè)內(nèi)網(wǎng)，比如說在互聯(lián)網(wǎng)上瀏覽了帶有病毒的網(wǎng)頁，或者下載了攜帶病毒的資源等。

2.2 病毒的危害。對于計算機而言，一直以來病毒都是威脅網(wǎng)絡安全一個最大的因素，同樣道理，它對企業(yè)內(nèi)網(wǎng)安全的威脅也是一樣嚴重。首先，我們從病毒的傳播方式來看，病毒的傳播方式有很多種，包括前面提到的瀏覽帶病毒的網(wǎng)頁，或者在網(wǎng)上下載帶有病毒的資源，還可以通過電子郵件或者U盤等，都可以作為病毒傳播的媒介。一旦企業(yè)內(nèi)網(wǎng)中有一臺電腦被感染了病毒，整個內(nèi)網(wǎng)系統(tǒng)就都有被感染的危險。如果系統(tǒng)被病毒所感染，那么后果將不堪設想，輕者文件損壞、數(shù)據(jù)丟失，重者可能會造成整個內(nèi)網(wǎng)系統(tǒng)癱瘓。

2.3 企業(yè)內(nèi)網(wǎng)系統(tǒng)存在的漏洞。這是由于目前很多企業(yè)的內(nèi)網(wǎng)的應用功能增多，導致內(nèi)網(wǎng)的漏洞也隨之增多。這些都可能被很多種變種病毒所利用，為其傳播提供可能。所以，為了保障企業(yè)內(nèi)網(wǎng)的安全，應該采取相應的解決措施，比如安裝完善的補丁系統(tǒng)，就可以有效的減少系統(tǒng)漏洞。

2.4 遭受黑客攻擊。這種情況是指黑客利用非法手段入侵企業(yè)內(nèi)網(wǎng)，對內(nèi)網(wǎng)中的數(shù)據(jù)進行復制、搗毀或者刪除等破壞。這種行為對于企業(yè)而言，所蒙受的損失是不可估量的，所以作為企業(yè)的網(wǎng)絡管理者一定要加強防范措施，盡量杜絕這種事件發(fā)生的可能。

3 影響企業(yè)內(nèi)網(wǎng)安全的原因分析

3.1 企業(yè)內(nèi)網(wǎng)管理制度不完善。企業(yè)內(nèi)網(wǎng)有著它的特殊一面，在隨著它在企業(yè)內(nèi)的應用越來越大后，控制起來也就越來越難，況且很多企業(yè)在進行內(nèi)網(wǎng)建設的過程中，本身就存在很多不完善之處，也就不能形成完整的管理制度。

3.2 防范措施過于簡單。很多企業(yè)的在網(wǎng)絡管理環(huán)境中采用的防范措施非常簡單，通常只采用防火墻和IDS入侵檢查系統(tǒng)來進防范，而對安全管理的內(nèi)部制度沒有重視，更沒有相應的措施。

3.3 內(nèi)網(wǎng)系統(tǒng)應用的安全性低。這與企業(yè)內(nèi)網(wǎng)系統(tǒng)的應用程序有關(guān)，但是內(nèi)網(wǎng)應用程序的安全性又是不斷變化的，也可以這么說，應用安全關(guān)系到信息的安全。所以，內(nèi)網(wǎng)系統(tǒng)應用的安全最重要是保證信息的完整性以及保密性。

3.4 企業(yè)網(wǎng)絡安全管理員職業(yè)素養(yǎng)有待提高。其主要表現(xiàn)在兩個方面，第一是企業(yè)網(wǎng)絡管理員在思想上認識不夠。第二是企業(yè)網(wǎng)絡管理員的技術(shù)不足。

4 企業(yè)內(nèi)網(wǎng)安全建設的解決措施

4.1 建立起完善的企業(yè)內(nèi)網(wǎng)安全管理制度。長期以來，由于企業(yè)網(wǎng)絡安全管理制度的不完善而引發(fā)的網(wǎng)絡事故屢見不鮮，因此，在企業(yè)的內(nèi)網(wǎng)建設中，必須建立健全的網(wǎng)絡管理體系，制定相關(guān)的網(wǎng)絡安全管理制度以及措施，并加大實施力度。

4.2 對企業(yè)重要資料建立起備份和恢復機制。企業(yè)內(nèi)網(wǎng)中的數(shù)據(jù)，對于企業(yè)而言是不可泄露的商業(yè)機密，其重要性不言而喻。而據(jù)調(diào)查顯示，目前引起電腦數(shù)據(jù)損壞或者流失的現(xiàn)象時有發(fā)生，其原因有時可能是員工的誤操作或者是偶然的斷電，但是由于這些原因而對企業(yè)所造成的損失，其實并不比企業(yè)內(nèi)網(wǎng)受到黑客或者病毒攻擊所造成的損失要小。

所以，為了保障企業(yè)內(nèi)網(wǎng)的安全，應該建立起完善的數(shù)據(jù)庫備份機制，這樣就能盡可能的擺脫人為的干預因素，從而做到最大程度的降低企業(yè)的損失。

4.3 對企業(yè)內(nèi)網(wǎng)建立多層次病毒防護體系。目前的計算機病毒早已不是以前那種以單一傳播途徑傳播的單種行為病毒。而如今的病毒特征是：與因特網(wǎng)聯(lián)系比較緊密，并可以利用多種傳播方式進行病毒傳播；同時具有多種病毒特征的混合新型病毒；危害性、破壞性教之前大為增強。所以目前的內(nèi)網(wǎng)防護措施也不能像以前一樣單一化，只把單臺計算機作為保護單元。

因此，企業(yè)內(nèi)網(wǎng)的防護工作要注意以下幾點：第一防毒方式既要包括傳統(tǒng)的手動查殺、文件監(jiān)控，又要全面結(jié)合互聯(lián)網(wǎng)；第二企業(yè)的病毒查殺產(chǎn)品，要實時保持最新殺毒能力。即要使得內(nèi)網(wǎng)病毒庫實時保持更新狀態(tài)。

參考文獻：

[1]盧凌伊.企業(yè)內(nèi)網(wǎng)安全問題分析與解決[J].遼寧經(jīng)濟，2011，10.

[2]肖琪.企業(yè)計算機網(wǎng)絡系統(tǒng)安全淺析[J].電腦知識與技術(shù)，2010，6（35）.

[3]鐘嘉鳴.內(nèi)網(wǎng)安全及防護探討[J].網(wǎng)絡安全技術(shù)與應用，2007，6.

篇9

【關(guān)鍵詞】隱患 黑客入侵 防范措施 管理制度

【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1672-5158（2013）01―0413―01

隨著經(jīng)濟的迅速發(fā)展，計算機網(wǎng)絡技術(shù)的發(fā)展和互聯(lián)網(wǎng)應用的日益廣泛，它在社會發(fā)展中扮演著非常重要的角色。網(wǎng)絡在提高宣鋼辦公自動化效率的同時，給我們的生活帶來許多便利，也對企業(yè)信息系統(tǒng)的安全造成了威脅。網(wǎng)絡環(huán)境下，宣鋼信息系統(tǒng)面臨著來自物理因素、網(wǎng)絡共享和人文環(huán)境等三個方面的安全隱患，形勢嚴峻。宣鋼信息安全隱患的防范是一個全方位的工作，需要運用技術(shù)、管理和法律三大手段，建立一個綜合性的防御安全體系，最大限度地降低企業(yè)信息有可能遭受的安全隱患。作為宣鋼網(wǎng)絡運維管理人員從體系管理的高度完善網(wǎng)絡管理辦法，規(guī)范化網(wǎng)絡信息安全措施也自然成為了當務之急。

一、宣鋼內(nèi)網(wǎng)安全常見隱患

1、病毒侵害較多。

計算機病毒是威脅宣鋼內(nèi)部網(wǎng)絡頻率最高、影響最廣、導致信息損失最嚴重的問題，列在所有安全威脅中的首位。病毒通過網(wǎng)頁、電子郵件、可移動媒體、系統(tǒng)漏洞等方式傳播。在企業(yè)網(wǎng)絡中，如果一臺計算機感染了病毒，在很短的時間內(nèi)就可感染內(nèi)網(wǎng)所有的計算機網(wǎng)絡連接系統(tǒng)。病毒感染可導致網(wǎng)絡的堵塞、系統(tǒng)數(shù)據(jù)和文件系統(tǒng)的損壞。如果數(shù)據(jù)的累積是多年的，那么損失是災難性的。

2、宣鋼內(nèi)部操作系統(tǒng)存在漏洞。

目前，許多企業(yè)的網(wǎng)絡操作系統(tǒng)存在各種類型的安全漏洞。有許多新的病毒，或是已知的病毒，仍然可以被利用來傳播病毒的變種。因此，如果企業(yè)內(nèi)部缺乏一個完善的補丁管理系統(tǒng)，將反復導致很多內(nèi)網(wǎng)的計算機，即使安裝最新的反病毒軟件，仍然可以感染病毒和木馬。

3、企業(yè)黑客入侵。

企業(yè)黑客入侵常分為四類：入侵、拒絕服務、信息盜竊、欺騙黑客入侵。黑客利用非法行為訪問內(nèi)部網(wǎng)絡，刪除、復制或銷毀數(shù)據(jù)。對于使用傳統(tǒng)安全措施的企業(yè)網(wǎng)絡，其網(wǎng)絡安全環(huán)境是脆弱的，嚴重的情形可能會被竊取企業(yè)機密。

二、宣鋼內(nèi)網(wǎng)安全原因分析

1、相對簡單的防范措施。

不同的網(wǎng)絡環(huán)境需要不同的安全防范措施。然而，由于傳統(tǒng)防治技術(shù)的制約，許多企業(yè)沒有采取防范措施來維護內(nèi)網(wǎng)環(huán)境，在部署大量防火墻、IDS入侵檢測系統(tǒng)和防護裝備的同時，卻忽視了安全管理的內(nèi)部制度。在實踐中，很多企業(yè)網(wǎng)絡環(huán)境應用默認的安全策略常常被忽視。

2、網(wǎng)絡安全管理制度不完善。

宣鋼內(nèi)網(wǎng)是一個特殊的網(wǎng)絡，網(wǎng)絡的不斷擴大使其更加難以控制。雖然各二級廠已建立了相應的內(nèi)部網(wǎng)絡安全管理制度，但經(jīng)常是不完整或不全面的，不能有效地規(guī)范和約束有些員工的上網(wǎng)行為。

3、宣鋼網(wǎng)絡安全管理員技能不足。

在思想方面，許多管理員認為只要網(wǎng)絡不癱瘓，其他都不會有問題；在技術(shù)方面，由于管理員的惰性，遇到問題的處理方式就只是重新安裝系統(tǒng)；在管理方面，管理員只依賴于單一的工具，就是網(wǎng)絡維護。

安全技術(shù)知識和概念的缺乏使得宣鋼內(nèi)部網(wǎng)絡的管理和監(jiān)測計劃缺乏系統(tǒng)監(jiān)管機制，也沒有主動行為，很難形成積極的反饋機制，這將導致宣鋼網(wǎng)絡的安全風險不容易被發(fā)現(xiàn)。

三、宣鋼內(nèi)網(wǎng)安全建設的解決方案

1.建立多層次病毒防護體系。

傳播計算機病毒和形式日趨多樣化，因此內(nèi)網(wǎng)的防病毒工作已不再是單純一臺計算機病毒的檢測和清除，必須在內(nèi)網(wǎng)建立一個多層次、立體的病毒防護體系，但也應設立最好的管理制度，建立和維護病毒防護策略。內(nèi)部網(wǎng)絡病毒防護系統(tǒng)包括客戶端的防病毒安全系統(tǒng)，和服務器的防病毒安全系統(tǒng)。服務器又分為文件服務器、數(shù)據(jù)庫服務器，以及其他應用級服務器的全面防護，是確保整個內(nèi)部網(wǎng)絡不被計算機病毒感染的有效方式。目前計檢中心已經(jīng)搭建了最新版的趨勢服務器，對工業(yè)網(wǎng)以及辦公網(wǎng)進行了全局部署很好的控制了病毒的爆發(fā)。

2.建立備份和恢復機制。

引人數(shù)據(jù)庫備份概念，如磁帶庫和備份系統(tǒng)、遠程數(shù)據(jù)、連續(xù)備份、智能恢復、實時監(jiān)控和統(tǒng)計、數(shù)據(jù)定期自動存儲備份，完全擺脫了人為干預，以避免由于硬件故障、人為錯誤、病毒和其他各種因素造成的數(shù)據(jù)丟失。建立數(shù)據(jù)備份和恢復機制，雖然平時不能夠看到效果，但一旦數(shù)據(jù)遭受損害或遺失，將使宣鋼的損失最小化。

3、建立網(wǎng)絡安全管理制度。

（1）在計算機網(wǎng)絡安全管理中，發(fā)展絕對安全和健全的安全管理體系是計算機網(wǎng)絡安全的重要保證，不但要注重技術(shù)手段的保障，更要注重管理人員的職業(yè)操守，盡一切可能控制和減少違法違規(guī)行為，最大限度地減少不安全因素。以網(wǎng)絡安全管理負責人任期與職責分離的原則為指導，嚴格執(zhí)行操作規(guī)程，并制定相關(guān)方案。

（2）完善相應的法律規(guī)章制度。在技術(shù)上做到防止其信息安全可能發(fā)生的同時，也應該在管理上做出相應的對策，對其建立完整，行之有效的一個制度，以保證能夠在技術(shù)和管理上相得益彰的保證網(wǎng)絡信息的安全。

（3）加強職業(yè)道德教育不管是建立安全管理機構(gòu)還是安裝安全軟件或者資料備份，這些并不是解決網(wǎng)絡安全的根本方法。而只有加強計算機從業(yè)者進行道德教育，培訓，增強他們的安全意識，并且對于青年人進行必要的網(wǎng)絡安全知識的素質(zhì)教育，才能做到比較切實的防患。

（4）訪問權(quán)限。不同的信息及其應用信息系統(tǒng)應有不同的訪問權(quán)限，低級別角色不應能訪問高級別的信息及應用信息系統(tǒng)。為此，可通過技術(shù)手段設定信息的訪問權(quán)限，限制用戶的訪問范圍。

四、管理制度取得成效

1、優(yōu)化網(wǎng)絡架構(gòu)

完善的核心網(wǎng)絡架構(gòu)使得工業(yè)網(wǎng)和辦公網(wǎng)順利合并，充分發(fā)揮了主干網(wǎng)絡設備性能，VLAN及路由策略在保證網(wǎng)絡穩(wěn)定運行的前提下做到了最優(yōu)安全防護。

2、部署殺毒軟件

宣鋼網(wǎng)絡環(huán)境引用趨勢殺毒企業(yè)版，很好的控制住病毒的泛濫，保障生產(chǎn)網(wǎng)絡和辦公網(wǎng)絡健康運行。

3、加強行為監(jiān)控

防火墻策略加任天行行為監(jiān)控軟件雙管齊下，優(yōu)化了局域網(wǎng)使用，約束職工上網(wǎng)行為同時提高了辦公效率、減少外網(wǎng)出口帶寬使用率、抑制病毒滋生可謂一舉多得。

4、完善網(wǎng)絡管理制度

各種網(wǎng)絡規(guī)章制度的完善為計檢中心管理宣鋼網(wǎng)絡提供可靠依據(jù)，作為宣鋼網(wǎng)絡的建設者和管理者計檢中心與時俱進不斷探索創(chuàng)新，積極組織人員學習國際先進網(wǎng)絡管理運維技術(shù)。時刻以知識改變命運落后就要挨打的理念鞭策員工激發(fā)員工的創(chuàng)新激情，先后開發(fā)出多套網(wǎng)絡監(jiān)控平臺為保障宣鋼網(wǎng)絡穩(wěn)定運行立下汗馬功勞。

5、治人先治心

作為領軍帶頭單位計檢中心多次組織二級廠礦網(wǎng)管員進行交流座談會，大家集思廣益發(fā)現(xiàn)問題解決問題共同進步。使每位網(wǎng)絡管理人員認識到自己身上的責任重擔，做到人人肩上有責任有目標；意識到我們不是普通的技術(shù)崗，我們維護的是宣鋼的生產(chǎn)命脈，從而在思想上達成高度統(tǒng)一；增強管理人員使命感，加強尋點檢質(zhì)量把網(wǎng)絡隱患遏制在萌芽狀態(tài)。

篇10

關(guān)鍵詞：網(wǎng)絡；安全；VPN；加密技術(shù)；防火墻技術(shù)

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)12-2814-02

Network System Risk Analysis and Rolution

ZHANG Fang

(Tianjin Binhai Professional Institution, Tianjin 3000451, China)

Abstract: The network information security is refers to network system's hardware, the software and system's data receives the protection, not is destructed accidental or the malicious reason, the change, the revelation, the system moves normally reliably continuously, the network service does not interrupt. This article from network information security's aspects and so on vulnerability, network security's major technique, common network method of attack and countermeasure, network security construction analyzed the current network information security existence subject matter, and proposed the solution to the common network attack from the technical stratification plane.

Key words: network; network security; VPN; ipsec; firework

現(xiàn)代通信技術(shù)的巨大進步已使空間距離不再遙遠，數(shù)據(jù)、文件、電子郵件可以方便地在各個網(wǎng)絡工作站間通過電纜、光纖或電話線路進行傳送，工作站的距離可以短至并排擺放的計算機，也可以長達上萬公里，正所謂“相隔天涯，如在咫尺”，但也為計算機病毒的傳播提供了新的“高速公路”。計算機病毒可以附著在正常文件中，當你從網(wǎng)絡另一端得到一個被感染的程序，并在你的計算機上未加任何防護措施的情況下運行它，病毒就傳染開來了。

網(wǎng)絡正常運行的前提保證是網(wǎng)絡安全。網(wǎng)絡安全需要保證的是整個信息網(wǎng)的安全，從各個層面和角度把握，統(tǒng)籌了解安全風險的出處，以便統(tǒng)籌安排，保證網(wǎng)絡的安全性。網(wǎng)絡安全系統(tǒng)主要包括技術(shù)和管理，涵蓋物理層存在巨大的安全隱患，從而造成網(wǎng)絡的中斷。

1 風險分析

根據(jù)國內(nèi)網(wǎng)絡系統(tǒng)的網(wǎng)絡結(jié)構(gòu)和應用情況，必須從從網(wǎng)絡安全、系統(tǒng)安全、應用安全及管理安全等方面進行全面地分析。

當前，Internet網(wǎng)上病毒的最新趨勢：1) 不法分子或好事之徒制作的匿名個人網(wǎng)頁直接提供了下載大批病毒活樣本的便利途徑。2) 由于學術(shù)研究的病毒樣本提供機構(gòu)同樣可以成為別有用心的人的使用工具。3) 由于網(wǎng)絡匿名登錄才成為可能的專門關(guān)于病毒制作研究討論的學術(shù)性質(zhì)的電子論文、期刊、雜志及相關(guān)的網(wǎng)上學術(shù)交流活動，如病毒制造協(xié)會年會等等，都有可能成為國內(nèi)外任何想成為新的病毒制造者學習、借鑒、盜用、抄襲的目標與對象。4) 散見于網(wǎng)站上大批病毒制作工具、向?qū)?、程序等等，使得無編程經(jīng)驗和基礎的人員制造新病毒成為可能。5) 新技術(shù)、新病毒使得幾乎所有人在不知情時無意中成為病毒擴散的載體或傳播者。

1.1 計算機病毒

無論是個人計算機，還是計算機網(wǎng)絡，計算機病毒的威脅是最常見的，也是最主要的?，F(xiàn)在幾乎每天都有大量的計算機病毒產(chǎn)生，而且其危害性和破壞力一個比一個厲害。計算機病毒的危害主要體現(xiàn)在破壞計算機文件和數(shù)據(jù)，導致文件無法使用，系統(tǒng)無法啟動；消耗計算機CPU、內(nèi)存和磁盤資源，導致正常服務無法進行，經(jīng)常死機、占用大量的磁盤空間；有的還會損壞計算機硬件，導致計算機徹底癱瘓。

1.2 木馬

木馬又稱“后門程序”。雖然以前我們一直說木馬不是病毒，不過現(xiàn)在仍有許多媒體把木馬歸屬于病毒，但是木馬與病毒確實存在本質(zhì)上的區(qū)別。木馬的主要危害體現(xiàn)在竊取用戶信息（如用戶計算機或者網(wǎng)絡賬號密碼、銀行賬戶和密碼、QQ賬戶和密碼等）；攜帶計算機病毒，造成計算機或者網(wǎng)絡運行不正常，甚至癱瘓；或者被黑客所利用，攻擊用戶計算機或網(wǎng)絡。

1.3 惡意軟件

惡意軟件是危害性介于計算機病毒與黑客軟件之間的軟件統(tǒng)稱。惡意軟件的危害性主要體現(xiàn)在非授權(quán)暗轉(zhuǎn)，自動撥號、自動彈出各種廣告界面、惡意共享和瀏覽器劫持等。這些惡意軟件一般都很難，甚至無法刪除。

1.4 黑客的入侵與攻擊

黑客的入侵與攻擊是指一類行為，不是指一類軟件，更不指一個軟件。黑客入侵與攻擊的目標主要是破壞網(wǎng)絡用戶系統(tǒng)和系統(tǒng)服務器，竊取用戶賬戶信息和組織機密，并非法查看、操作，甚至刪除用戶文件等。

黑客攻擊其實質(zhì)就是指利用被攻擊方信息系統(tǒng)自身存在安全漏洞，通過使用網(wǎng)絡命令和專用軟件進入對方網(wǎng)絡系統(tǒng)的攻擊。目前黑客網(wǎng)絡攻擊的類型主要有以下幾種。

1) 利用監(jiān)聽嗅探技術(shù)獲取對方網(wǎng)絡上傳輸?shù)挠杏眯畔ⅰ?/p>

2) 利用拒絕服務攻擊使目的網(wǎng)絡暫時或永久性癱瘓。

3) 利用網(wǎng)絡協(xié)議上存在的漏洞進行網(wǎng)絡攻擊。

4) 利用系統(tǒng)漏洞，如緩沖區(qū)溢出或格式化字符串等，以獲得目的主機的控制權(quán)。

5) 利用網(wǎng)絡數(shù)據(jù)庫存在的安全漏洞，或許或破壞對方重要數(shù)據(jù)。

6) 利用計算機病毒傳播快、破壞范圍廣的特性，開發(fā)適合的病毒破壞對方網(wǎng)絡

2 解決方案

2.1 設計原則

針對網(wǎng)絡系統(tǒng)的現(xiàn)狀，網(wǎng)絡的安全保密問題是重中之重。設計時應遵循如下原則：提高系統(tǒng)的安全性和保密性；保持網(wǎng)絡的的透明性； 注重自動化管理；安全保密系統(tǒng)可以做一次性投資，以便長期使用；安全與密碼產(chǎn)品合法；分步實施原則。

2.2 安全策略

可以采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡加密技術(shù)（Ipsec）、身份認證技術(shù)、多層次多級別的防病毒系統(tǒng)、入侵檢測技術(shù)等構(gòu)成網(wǎng)絡安全的防御系統(tǒng)。

2.2.1 防火墻的技術(shù)實現(xiàn)

防火墻的技術(shù)實現(xiàn)通常是基于所謂“包過濾”技術(shù)，而進行包過濾的標準通常就是根據(jù)安全策略制定的。在防火墻產(chǎn)品中，包過濾的標準一般是靠網(wǎng)絡管理員在防火墻設備的訪問控制清單中設定。訪問控制一般基于的標準有：包的源地址、包的目的地址、連接請求的方向（連入或連出）、數(shù)據(jù)包協(xié)議（如TCP/IP等）以及服務請求的類型（如ftp、www等）等。

2.2.2 網(wǎng)絡地址轉(zhuǎn)化―NAT技術(shù)

網(wǎng)絡地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng)。在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址，以保證網(wǎng)絡安全的防御系統(tǒng)的順利構(gòu)建。

2.2.3 VPN技術(shù)

虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)公共網(wǎng)絡上的一個更大的延伸和發(fā)展。它主要通過一個私有的通道在公共網(wǎng)絡上創(chuàng)建一個較為安全的私有連接，創(chuàng)設一個相對安全的網(wǎng)絡環(huán)境。其主要原理是：通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構(gòu)、公司業(yè)務伙伴等與公司相關(guān)的的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴展的公司企業(yè)網(wǎng)。

2.2.4 網(wǎng)絡加密技術(shù)(Ipsec)

為了解決網(wǎng)絡在公網(wǎng)的數(shù)據(jù)傳輸安全性問題和遠程用戶訪問內(nèi)網(wǎng)的安全問題，可以采用網(wǎng)絡加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝，這樣可以保證數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾浴?/p>

此外，我們還可采用身份認證技術(shù)和多層次多級別的企業(yè)級的防病毒系統(tǒng)，對病毒實現(xiàn)全面的防護。采用入侵檢測系統(tǒng)，對網(wǎng)絡實時全面的監(jiān)測，同時發(fā)揮系統(tǒng)的對主機和網(wǎng)絡的監(jiān)測和預警功能，進一步提高網(wǎng)絡的安全性。

3 結(jié)束語

互聯(lián)網(wǎng)的不斷發(fā)展，引發(fā)了一場重大的技術(shù)革新，網(wǎng)絡也在時刻影響著改變?nèi)藗儗W習和工作方式，使人們的生活更加便捷。隨著科學技術(shù)不斷發(fā)展，網(wǎng)絡已成為人們生活的一個重要的組成部分。雖然網(wǎng)絡使我們現(xiàn)在的生活更加的豐富多彩，但互聯(lián)網(wǎng)是一個面向大眾的開放系統(tǒng)，存在著巨大的安全隱患，諸如計算機病毒、信息泄露之類的安全隱患充斥著整個網(wǎng)絡市場，網(wǎng)絡安全形勢日益嚴峻，也成為一個亟待解決的問題。因而，解決網(wǎng)絡安全問題迫在眉睫，我們必須從網(wǎng)絡安全可能存在的危機入手，分析并尋找整體的網(wǎng)絡安全解決方案，還網(wǎng)絡一片干凈的天地。

參考文獻：

[1] 石磊.網(wǎng)絡安全與管理[M].北京:清華大學出版社,2009.

[2] 嚴體華,張凡.網(wǎng)絡管理員教程[M].北京:清華大學出版社,2009.

[3] 肖德琴.電子商務安全保密技術(shù)與應用[M].廣州:華南理工大學出版社,2008.

[4] 孫建華.網(wǎng)絡系統(tǒng)管理應用與開發(fā)[M].北京:人民郵電出版社,2005.

[5] 駱耀祖.網(wǎng)絡系統(tǒng)集成與管理[M].北京:人民郵電出版社,2008.

[6] 藍紅兵,費奇, 李敉安. 基于關(guān)系網(wǎng)絡的風險分析專家系統(tǒng)[J].控制與決策,1990(6).