導語：如何才能寫好一篇企業網絡安全建設方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

現在企業很多商業業務、商業活動和財務管理系統協同工作等，都需要借助計算機網絡進行。如果沒有網絡安全性的保障，就會發生系統延遲、拒絕服務、程序錯誤、數據篡改等現象，甚至很多情況下會發生木馬病毒的侵蝕。過去企業數據是以文本文件的形式存在，雖然處理和操作不具有便捷性，但是能夠起到保密性和可靠性的作用。計算機網絡時代財務數據流能夠實現財務數據的快速傳遞，但是在數據傳輸的過程中安全性難以得到有效的保障。所以在企業數據信息管理的過程中需要有保密性和可靠性的保障，維護企業的商業機密。其次，網絡交易渠道容易發生數據信息丟失或損壞，交易雙方的信息結果發生差異的現象時有發生，嚴重影響了企業數據的精準性。所以企業急需完整性的交易信息憑證，避免交易信息的篡改或者刪除，保證交易雙方數據的一致性[1]。

2企業網絡面臨的安全風險

2.1物理安全風險

近年來，很多現代化企業加大信息建設，一些下屬公司的網絡接入企業總網絡，企業網路物理層邊界限制模糊，而電子商務的業務發展需求要求企業網絡具有共享性，能夠在一定權限下實現網絡交易，這也使得企業內部網絡邊界成為一個邏輯邊界，防火墻在網絡邊界上的設置受到很多限制，影響了防火墻的安全防護作用。

2.2入侵審計和防御體系不完善

隨著互聯網的快速發展，網絡攻擊、計算機病毒不斷變化，其破壞力強、速度快、形式多樣、難以防范，嚴重威脅企業網絡安全。當前，很多企業缺乏完善的入侵審計和防御體系，企業網絡的主動防御和智能分析能力明顯不足，檢查監控效率低，缺乏一致性的安全防護規范，安全策略落實不到位。

2.3管理安全的風險

企業網絡與信息的安全需要有效的安全管理措施作為制度體系保障，但是企業經常由于管理的疏忽，造成嚴重的網絡信息安全風險。具體管理安全的風險主要表現在以下幾個方面：企業沒有健全和完善的網絡安全管理制度，難以落實安全追責；技術人員的操作技術能力缺陷，導致操作混亂；缺乏網絡信息安全管理的意識，沒有健全的網絡信息安全培訓體系等。

3構建企業網絡安全防護體系

3.1加強規劃、預防和動態管理

首先，企業需要建立完善的網絡信息安全防護體系，保證各項安全措施都能夠滿足國家信息安全的標準和要求。對自身潛在的信息安全風險進行統籌規劃，針對性的展開安全防護系統的設計。其次，企業應該加強對安全防護系統建設的資金投入，建立適合自己網絡信息應用需求的防護體系，并且定期進行安全系統的維護和升級。最后，加強預防與動態化的管理，要制定安全風險處理的應急預案，有效降低網絡信息安全事故的發生。并且根據網絡信息動態的變化，采取動態化的管理措施，將網絡與信息安全風險控制在可接受的范圍。

3.2合理劃分安全域

現代化企業網絡可以按照系統行為、安全防護等級和業務系統這三種方式來劃分安全域。由于企業網絡在不同區域和不同層次關注的內容不同，因此在劃分企業網絡安全域時，應結合業務屬性和網絡管理，不僅要確保企業正常的生產運營，還應考慮網絡安全域劃分是否合理。針對這個問題，企業網絡安全域劃分不能僅應用一種劃分方式，應綜合應用多種方式，充分發揮不同方式的優勢，結合企業網絡管理要求和網絡業務需求，有針對性地進行企業網絡安全域劃分。

首先，根據業務需求，可以將企業網絡分為兩部分：外網和內網。由于互聯網出口全部位于外網，企業網絡可以在外網用戶端和內網之間設置隔離，使外網服務和內網服務分離，隔離各種安全威脅，確保企業內網業務的安全性。其次，按照企業業務系統方式，分別劃分外網和內網安全域，企業外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網，內網可以分為辦公網、生產網，其中再細分出材料采購網、保管網、辦公管理網等子網，通過合理劃分安全域，確定明確的網絡邊界，明確安全防護范圍和對象目標。最后，按照網絡安全防護等級和系統行為，細分各個子網的安全域，劃分出基礎保障域、服務集中域和邊界接入域。基礎保障域主要用來防護網絡系統管理控制中心、軟件和各種安全設備，服務集中域主要用于防護企業網絡的信息系統，包括信息系統內部和系統之間的數據防護，并且按照不同的等級保護要求，可以采用分級防護措施，邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。

3.3信息安全技術的應用

（1）防火墻技術

防火墻主要的作用是對不安全的服務進行過濾和攔截，對企業網絡的信息加強訪問限制，提高網絡安全防護。例如，企業的信息數據庫只能在企業內部局域網網絡的覆蓋下才能瀏覽操作，域外訪問操作會被禁止。并且防火墻可以有效記錄使用過的統計數據，對可能存在的攻擊、侵入行為精心預測預警，最大限度地保障了企業內部網絡系統的安全。隨著業務模式的不斷發展，簡單的業務（端口）封堵已經不能適應動態的業務需要，需要采用基于內容的深度檢測技術對區域間的業務流進行過濾。并借助于大數據分析能力對異常業務流進行智能分析判斷。

（2）終端準入防御技術

終端準入防御技術主要是以用戶終端作為切入點，對網絡的接入進行控制，利用安全服務器、安全網絡設備等聯動，對接入網絡的用戶終端強制實施企業安全策略，實時掌控用戶端的網絡信息操作行為，提高用戶端的風險主動防御能力。

4結束語

綜上所述，計算機網絡有效提高了企業業務工作的效率，實現企業計算機網絡數據庫中的數據分類、整理、資源的共享。但是，系統數據的保密、安全方面還存在技術上的一些欠缺，經常會發生數據被非法侵入和截取的現象，造成了嚴重的數據安全風險。企業應該科學分析網絡與信息安全風險類型，加強規劃、預防利用防火墻技術、終端準入防御技術等，提高企業網絡與信息安全防護效率。

參考文獻

[1]戴華秀.移動互聯網時代信息安全應對策略分析[J].科技與創新，2016，（1）：36.

篇2

關鍵詞：企業網絡；信息安全；安全方案構建

1 企業計算機網絡安全方案的構建意義

目前，我國大中型企業信息化建設中的關鍵部分就是信息安全建設，解決信息安全問題有利于企業信息化建設工作的全面推進。企業信息安全建設的最終目的是要真正做到“防患于未然”，信息安全的有效性建設能夠控制企業信息化建設的總體成本，為企業節約大量資金，實現資源優化配置。企業計算機網絡安全建設工作要始終堅持等級保護理念，才能促進企業信息安全建設工作的穩步實施，保證企業信息管理系統的建設符合行業標準和政策規定，全面提升企業在激烈的市場競爭中的競爭力。

2 企業計算機網絡安全的弱點和威脅

2.1 信息安全弱點

信息安全弱點與企業信息資源密切相關，信息安全弱點的暴露很有可能導致企業資產的嚴重損失。但是，信息安全弱點本身并不會為企業帶來損失，只是在特定的環境下被非法者利用后才會造成企業資產損失，例如，企業信息系統開發過程中的脆弱性問題，管理員的管理措施問題等，這些信息安全弱點都為非法攻擊者提供了非法入侵的可能。

2.2 信息安全威脅

信息安全威脅指的是對企業資產構成潛在性的破壞因素，信息安全威脅的產生包括人為因素和自然環境因素。信息安全威脅可能是偶然發生的事件，也有可能是人為蓄意制造的時間，包括信息泄露、信息篡改等，這些事件都會導致企業信息的可用性、完整性和保密性遭到破壞，屬于對企業信息的惡意攻擊。

2.3 網絡安全事件

由于網絡特有的開放性特點，造成了非法攻擊、黑客入侵、病毒傳播等海量安全事件發生，信息安全領域對于網絡安全的研究也日益重視。根據大量網絡安全事件分析來看，企業信息管理系統的應用設計存在著諸多缺陷和弊端，給情報機構的非法入侵提供了極大的可能性。由此，內容分級制度、脆弱性檢測技術、智能分析技術已經廣泛應用于企業信息系統開發過程中。

3 企業計算機網絡安全存在的主要問題

⑴企業分部采用寬帶撥號上網的方式與企業總部實現通信傳輸，這種落后的網絡通信方式難以保證數據傳輸的安全性。企業信息安全級別較高的部門通過互聯網實現數據傳輸的過程中，沒有采取任何數據加密措施，非常容易造成數據信息的泄露和篡改，同時，企業信息管理系統的操作應用沒有設置明確的管理人員，導致其他非法用戶也可以入侵到企業內部網絡中，對服務器數據進行竊取和篡改。以上兩種網絡安全問題都容易造成企業重要數據的泄露，甚至給企業帶來不看估計的損失。

⑵隨著企業網絡規模的日益擴大，在網絡邊界如果仍然采用路由器連接企業內部網絡和外部網絡，已經無法適應飛速發展的網絡互連技術。企業雖然可以在網絡邊界的路由器中設置訪問控制策略，但是仍然存在來自互聯網的各種非法攻擊、IP地址攻擊、ARP協議欺騙等問題，這表明了企業需要一善可靠的防火墻設備，來對企業網絡的數據傳輸提供有效控制和保護。

⑶由于互聯網技術的飛速發展，為企業提供了豐富的信息資源，除了企業日常運營需要使用網絡資源，其他工作人員也有可能通過網絡獲取信息資源，例如使用迅雷、BT等軟件下載視音頻信息等，網絡下載會占用企業大部分帶寬資源，嚴重的會導致系統管理員無法對網絡終端的訪問情況進行有效管理，或者某一個計算機終端因下載感染病毒而引發ARP欺騙。

⑷隨著互聯網應用的日益普及，木馬病毒的廣泛傳播，企業員工計算機使用水平參差不齊，不能保證對網絡中的有害信息進行有效識別，由此導致了木馬病毒在企業內部網絡的感染和傳播。因此，需要定期對企業數據傳輸的原始數據流進行病毒查殺和威脅分析，以此起到有害信息過濾的作用，使流入企業內部網絡的數據信息能夠安全可靠，真正降低企業信息安全風險。同時，企業可以采用網關防病毒產品，在企業內部網絡與外部網絡處進行隔離保護，當木馬病毒出現時可以被攔截在企業內部網絡之外，為企業提供可靠的安全邊界保護。

4 企業計算機網絡安全方案的構建實施

企業總部需要與企業分部，以及其他合作企業之間實現數據傳輸與交換，企業派往外地出差的員工也需要通過遠程網絡訪問企業總部內網的信息管理系統，因此，不同用戶企業總部內部網絡的訪問有著不同需求，企業必須具有安全可靠、性能較高、成本較低的網絡接入方式。由于企業分部大部分與企業總部不在一個城市，在企業總部與企業分部之間鋪設光纜線路是極為不現實的；如果租用專用光纖網絡通信線路，高額的租賃費用會嚴重增加企業運營發展的經濟負擔；如果將企業總部內部網絡的應用服務器映射在網關位置，雖然能夠方面用戶遠程訪問企業內部信息管理系統，但會給企業網絡帶來巨大的安全隱患。本文基于以上分析，本文選擇利用VPN技術（虛擬局域網）在企業內部網絡出口處，虛擬設置一條網絡專線，以此將企業總部與企業分部網絡進行有效連接，形成一個規模較大的局域網，真正實現了用戶遠程訪問和接入。VPN技術不僅能夠滿足異地用戶對企業總部網絡信息管理系統的訪問需求，而且充分保證了用戶訪問的安全性，避免了單點登錄技術對企業整個網絡構成的安全威脅。

企業在部署上網行為管理設備（SINFOR M5X00-AC）時，應該開啟VPN功能，在企業總部內部網絡的邊界防火墻設備中進行端口映射，同時在企業分部網絡中安裝上網行為管理設備，并且與企業總部的上網行為管理設備共同利用VPN技術建立虛擬專用網絡，在對數據信息進行加密后在互聯網上傳輸。企業在構建虛擬專用網絡時，只要在任何一端的連接管理設置中輸入對方網絡地址，VPN設備就可以自動進行虛擬局域網組建，網絡中的任何計算機終端都可以通過虛擬專用網實現數據傳輸與共享。如果還有其他分部需要加入到虛擬局域網中，則可以通過輸入加密的訪問WAN扣地址實現。需要注意的是，已將連通的虛擬局域網的內網網段不能完全相同。

企業在部署上網行為管理設備時，由于訪問控制策略是信息安全策略的核心部分，也是對網絡中數據傳輸的關鍵保護措施，由此，需要對接入企業總部網絡的用戶進行身份認證，根據不同用戶的身份授予不同權限，再利用配置邏輯隔離服務器實現不同用戶身份對不同應用服務器的接入，從而對企業內部網絡中的業務信息管理系統進行訪問和使用。同時，安全級別為五級的QoS安全機制能夠為企業不同信息系統提供相應的安全服務保障，并且可以按照業務類別劃分優先級別，重要的數據信息將會獲得優先傳輸的權限。對用戶訪問權限的細致劃分可以限制非法用戶對網絡資源的訪問和使用，防止非法用戶入侵企業內部網絡進行破壞性操作，直接對接入企業內部網絡的各項訪問應用進行管控，真正提高了企業網絡系統的安全性。

在企業內部網絡部署應用安全產品過程中，需要綜合考慮如何完成安全產品的部署策略，才能使安全產品的性能充分發揮，同時，企業內部網絡還可以將不同的安全產品集成應用，使其發揮最大功能，充分提高企業信息管理系統的安全性和可靠性。

本文基于信息安全等級指導思想下，對企業內部網絡存在的問題進行了分析，并提出了良好的解決方案，包括防火墻的部署、入侵檢測設備的部署、上網行為管理設備的部署、防毒墻的部署、企業版殺毒軟件的部署等。

5 結論

綜上所述，本文在網絡信息安全等級保護理念下，將企業內部網絡的安全防護的有效性作為最終目標，對企業網絡信息安全存在的風險進行深入分析，結合企業實際情況，提出了企業計算機網絡安全設計方案，保障了企業總部內部網絡與分部網絡之間數據傳輸通信的安全性和可靠性。

[參考文獻]

[1]李正忠.電力企業信息安全網絡建設原則與實踐[J].中國新通信，2013，09：25-27.

[2]王迅.電信企業計算機網絡安全構建策略分析[J].科技傳播，2013，07：217+209.

[3]陳瑋.企業無線網絡移動辦公的安全接入問題分析[J].信息通信，2013，03：239.

篇3

網絡安全建設要具有長遠的眼光，不能僅僅為了眼前的幾種威脅而特意部署安全方案。

垃圾郵件、病毒、間諜軟件和不適內容會中斷業務運行，這些快速演變的威脅隱藏在電子郵件和網頁中，并通過網絡快速傳播，消耗著有限的網絡和系統資源。要防范這些威脅，就需要在網絡安全方面有所投入才行。但現在的經濟形勢讓眾多中小企業面臨生存挑戰，it投入的縮減，專業人員的不足等因素，相比大型企業來說，都讓中小企業在對付網絡威脅方面更加無助。

即使投入有限，中小企業的網絡安全需求一點也不比大企業少。在現實情況中，中小企業往往還對便捷的管理、快速的服務響應等要求更高。那么中小企業如何在有限的投入中構建完善的網絡安全體系呢？試試下面這幾招。

第一招：網關端防護事半功倍

內部病毒相互感染、外部網絡的間諜軟件、病毒侵襲等危害，使得僅僅依靠單一安全產品保證整個網絡安全穩定運行的日子一去不復返了。而應對目前新型的web威脅，利用架設在網關處的安全產品，在威脅進入企業網絡之前就將其攔截在大門之外是更加有效的方法。對于中小企業來說，選擇一款功能全面、易于管理和部署的網關安全設備，不但可以在第一時間內對各類web流量內容進行掃描過濾，同時也可以大大減輕各應用服務器主機的負荷。

比如，趨勢科技推出的igsa就包含了防病毒、防垃圾郵件和內容過濾、防間諜軟件、防網絡釣魚、防僵尸保護以及url過濾服務等眾多功能，并且可以統一集中管理，通過日志報告還讓網絡運行安全情況一目了然，大大減少了信息安全管理的工作量。

第二招：運用“云安全”免去內存升級壓力

目前中小企業內網安全也不容忽視，而且要求實現集中管理和保護內部桌面計算機。在網絡威脅飆升的今天，更新病毒碼成為每天必備的工作，但傳統代碼比對技術的流程性問題正在導致查殺病毒的有效性急劇下降。趨勢科技推出的云安全解決方案超越了病毒樣本分析處理機制，通過云端服務器群對互聯網上的海量信息源進行分析整理，將高風險信息源保存到云端數據庫中，當用戶訪問時，通過實時查詢信息源的安全等級，就可以將高風險信息及時阻擋，從而讓用戶頻繁的更新病毒碼工作成為歷史。

目前，桌面端防護的用戶數是網關防護用戶數的5倍，桌面防護在現階段也是必不可少的手段，但要求減輕更新負擔和加強管理便捷性。這方面，趨勢科技的officescan通過應用最新的云安全技術，使桌面端防護不再依賴于病毒碼更新，降低了帶寬資源和內存資源的占用和壓力。

第三招：安全服務節省管理成本

網絡安全管理成本在整個網絡安全解決方案中占有一定比例，如果用三分技術、七分管理的理論來解釋，這方面成本顯然更高。如何才能在專業管理人員有限的狀況下，達到安全管理的目標呢？中小企業可以借助安全廠商的專家技術支持，高效、專業地保障網絡安全運行。也就是借用外力來管理自己的網絡安全設備，將比自己培養管理人員成本更低，而且效果更佳。

目前，已有包括趨勢科技在內的多家廠商提供此類服務。

第四招：培養安全意識一勞永逸

篇4

關鍵詞：計算機網絡；企業網站；安全；防護

中圖分類號：TP393.18

企業信息安全中的企業網站安全一般較為薄弱，企業信息的門戶往往最為容易受到攻擊，或者直接把其作為攻擊的目標。企業在企業網站遭受攻擊以后，肯定會遭受巨大的經濟損失[1，2]。世界性的互聯網癱瘓時有發生，最近大規模的網絡安全事故也經常出現，包括數據破壞、泄密以及所造成的相關業務不能正常進行，這樣的巨大經濟損失就不可避免。數據在網站入侵后經常被篡改，病毒泛濫和黑客猖獗司空見慣，企業網站的安全防范工作顯得尤為重要。所以，只有保護好企業網站的安全，才能發揮其積極作用而真正為企業服務，這就要求緊密結合信息技術與企業的生產流程、管理體系和商務活動等方面。本文在分析企業網站安全存在的各種風險的基礎上，結合實際情況，提出相應的防護策略。

1 企業網站安全風險分析

各種安全風險都應該在進行企業網站信息建設中考慮到。為了更好取得攻擊效果，黑客往往將各種網絡信息程序、技術、工具相互結合起來使用，所以，應該充分了解企業網站的安全風險，以及黑客的常用基本技術手段。分析目前的企業網站安全問題存在以下幾種[3]：第一，操作系統的安全性問題，不論何種操作系統，Unix、Windows還是Linux操作系統，都存在許多威脅著網絡安全的漏洞；第二，利用系統的漏洞，或是網站設計上缺陷而制作的病毒和木馬往往能夠進行一定的破壞和傳播。目前，網絡病毒頻頻爆發，網絡發展速度飛快，黑客軟件和病毒相互結合擴大這種對于網絡破壞的程度；第三，黑客技術能夠在沒有代價的前提下，通過系統的控制獲得資源的使用。系統或者數據安全性受到重大影響，包括典型的惡意毀壞數據和修改頁面內容或鏈接等。在互聯網業戶廣泛開展的今天，盜取任何有價值的東西都是有可能的；第四，密碼過于簡單、長時間不進行修改以及管理系統使用默認的賬號和密碼等等，這些都是常見的管理疏漏，應該盡量避免這個漏洞，保證不給企業造成相關的負面影響。

企業在建設網站過程中，由于存在重建設、輕管理，再加上沒有完備的管理規章制度等等，容易出現這種由于安全意識淡薄而造成的安全問題，從而成為企業網站的安全隱患。

2 企業網站防護策略

2.1 網站安全防護保障策略?！胺婪丁焙汀肮芾怼笔窃谄髽I信息安全建設中的兩個重要問題，為做好企業安全工作，應該在應用安全設備的基礎上，進行相關的安全技術輔助，從而完成安全管理工作。安全設備主要包括桌面防病毒、防垃圾郵件、防火墻、服務器加密等等方面，為保證網站正常運行，利用安全設備組成具有深度防御能力的信息安全保證體系。

網站安全保政策路主要包括以下幾個方面：一是路由控制建立安全的訪問路徑應該在網站業務終端與網站業務服務器之間設置；二是惡意代碼進行檢測和清除工作應該在網絡邊界處與終端主機上完成；三是縱深防御的安全體系應該建立；四是在直接連接外部信息系統位置以及網絡邊界位置，應該盡量避免部署重要網段，可靠的技術隔離手段在重要網段與其他網段之間采用；五是應該努力進行安全主機打造，不斷加固網站業務服務器脆弱的服務；為了更好防止威脅的擴散，應該在區域內進行威脅的隔離操作。

2.2 網站狀態可視化策略。監控、管理、響應和防范等方面的內容應該在企業網站的安全建設中有所體現，在信息系統和組織體系中也應該進行一定的規劃設計。應該從全局角度思考安全問題，安全事件處理決策能夠及時制定并執行，滿足實時監控網絡健康以及設備使用的要求。另外，為保證網站業務狀態可視化特點，網站業務還應該統一響應和處理安全事件。

對于網站狀態可視化策略主要分為以下幾方面內容：一是能夠對于重要服務器的入侵行為進行監測，同時記錄相關的參數，包括攻擊目的、類型和時間等等，同時，還能提供入侵的警報功能；二是監視重要服務器本身工作情況，包括建設服務器的硬盤、CPU、網絡資源、內存等等使用情況；三是為能對網絡系統安全漏洞進行及時修補工作，應該定期對網絡系統進行掃描；四是設定系統服務水平的最小值，當達到此值以后則進行檢測或者報警；五是能夠滿足管理網絡行為的需求，使得網站業務操作流程更加規范，盡量避免意外事故而導致對于網站業務的影響，這就需要建議一套系統的網站業務保證體系；六是為了更好進行全面監控安全管理體系建立，還應設置高效和統一的管理視圖。

2.3 網站流程可控化策略。為保障網站正常運行，應該監視與控制網站業務數據的整個處理流程，在信息安全建設過程中，網站業務及數據的訪問應該采取一定的措施來保證合法的用戶可接入到網絡中來訪問所需資源，比如通過嚴格的用戶身份認證、授權、審計等等來保證用戶對于資源的訪問權限。網站流程可控化策略主要包括以下幾個方面的內容：第一，隔離不符合安全標準的用戶，安全檢查用戶終端；第二，為更好提升網站安全防御能力，應該合理控制用戶的網絡行為；第三，用戶的訪問權限往往根據需要進行配置；第四，及時分析網絡記錄數據，生成審計報表；第五，及時記錄網絡系統中的相關的網絡設備運行狀況、網絡流量以及用戶行為等等。

3 企業安全防護措施

3.1 網站威脅防御措施。為保證正常運行企業網站業務，應該結合多重安全技術以及相關產品進行防御。比如，防火墻及入侵防護系統應該在網絡出口以及重要服務器進行配置，這樣能夠保證應用的安全性；在網站的DDOS/DOS等攻擊方面，應該部署抗拒絕服務系統，這樣能夠保證網站還能被及時訪問；網頁防篡改系統能夠有效防止惡意修改網頁的風險發生。一般選擇采用的是入侵防御，或是防火墻和入侵檢測系統兩種方式的組合。

3.2 網站健康管理措施。預防、監控和防御則是對于網站業務健康管理方面的有效措施。首先，檢測網站業務系統中所存在的漏洞，通過漏洞掃描工具進行，為更好預防網絡安全威脅，應該及時發現并修復漏洞；其次，應用安全管理系統應該對于重要的網站業務服務器進行部署和監控；第三，為了保證對于網站業務的訪問和處理，還應該實時監控網站業務服務器和數據庫服務器；第四，統一收集分析設備管理平臺的相關設備日志，實現集中管理的要求。

3.3 網站訪問管理措施。要想滿足用戶訪問的安全和簡便，應該通過部署安全設備得以實現。這樣，網站編輯人員的訪問行為能夠在部署終端安全防護產品進行有效控制，只有合法的用戶才能接入網絡，能夠實現資產管理、終端保護以及應用監控的實現。為了保證網站系統的維護工作都是經過堡壘機進行，應該部署堡壘機系統來保證集中統一的訪問權限控制，以及相關的全程審計用戶的所有操作。為確保有效利用網站服務器資源，應該部署負載均衡設備。最后，要想更好為責任認定以及故障恢復提供依據，還應該安全審計相關的用戶訪問請求和資源訪問情況等。

4 結語

企業網站安全則是企業信息安全的重要內容，為更好提高網站防御能力，應該要求相關技術人員和管理人員去不斷關注信息技術發展，使得安全策略不斷得以優化。為更好保證網站安全，還應該做好網站安全的預防工作，確保企業信息化建設的順利開展。為了更好促進企業網站安全健康發展，我們還應該不斷落實安全管理，進一步加強安全制度建設。

參考文獻：

[1]樊程，戴洪，瞿新吉.基于JSP網站安全的案例分析與解決方案[J].青島大學學報（自然科學版），2011，24（3）.

[2]林寧思，賴建華.電子政務網站群安全防護體系研究[J].福建電腦，2011，27（8）.

篇5

【關鍵詞】企業 信息化 網絡 安全

中圖分類號：TN915.08文獻標識碼： A 文章編號：

一、前言

在信息迅速發展的時代，計算機網絡技術已無處不在，而企業信息化已經成為提高企業競爭的重要因素，企業在大力推行辦公自動化、網絡化、電子化、信息共享，以利用網絡技術增強各部門的科學決策、監管控制、提高工作效率的同時，網絡安全是每一個企業工作得以保障的首要條件，我們必須重視。

二、常見的網絡安全隱患

1、非法入侵

任何軟件中都可能存在缺陷，而部分系統中會留下未公開的特性。這些特性會導致系統中各種保護機制失效，如盜用身份。事實上很多危險的入侵者是以獲得管理員權限為主要目標的，繞過反問控制。通過修改審計系統清除入侵痕跡等。這些缺陷和未公開特性可以制作成工具而廣泛傳播，而有些惡意的未公開特性會在某些時刻被利用攻擊系統。

2、病毒傳播

病毒的種類是多種多樣的，目前全世界發現的病毒已遠遠超過數十萬種，根據感染對象的不同．這些病毒可分為引導型病毒、文件型病毒、混合型病毒三類。引導型病毒其感染對象是計算機存儲介質的引導區，其傳染性較強；文件型病毒其感染對象是計算機系統存在的文件，病毒將在文件運行或被調用時駐留內存、傳染、破壞混合型病毒其感染對象是引導區或文件。

3、數據丟失

企業的重要業務數據都存儲在網絡中，一旦丟失，后果不堪設想。因此，建立一套行之有效的災難恢復方案就顯得尤為重要。在企業信息系統中，由于數據量大，且常常需要跨平臺操作，數據出錯或丟失是難免的，如果沒有事先對數據進行備份，要想恢復數據不僅難度大而且很不可靠，有時甚至根本不可能進行恢復。如果定期對重要數據進行備份。那么在系統出現故障時，仍然能保證重要數據準確無誤。

三、網絡安全分析

1．企業網絡概況企業網可分為三部分：企業內部網、企業外部網和企業廣域網

內部網是一個信息點密集的千兆網絡系統，這些信息點為企業內各部門提供一個快速、方便的信息交流平臺。企業外部網可實現對外信息。企業廣域網，可實現各部門與互聯網用戶進行交流、查詢資料．以及遠程辦公。高速交換技術的采用、靈活的網絡互連方案設計為用戶提供快速、方便、靈活通信平臺的同時。也為網絡的安全帶來了更大的風險。因此。實施一套完整、可操作的安全解決方案是必須的。

2．網絡安全性概述計算機網絡主要是向客戶提供信息、在企業內部共享相關數據并進行業務聯系．因此一個安全的企業網絡應該能夠解決以下三方面的問題：

(1)企業內部網用戶對企業信息的安全訪問。

(2)Intemet用戶對企業信息的安全訪問。

(3)企業內部網與Intemet的正常信息交流。

3．企業內部網受到的安全威脅企業內部網受到的安全威脅有以下幾種：黑客人侵、病毒的傳播、內部攻擊、秘密信息泄露和篡改、修改網絡配置、造成網絡癱瘓等。具體來說網絡安全的威脅主要來自技術層面和管理層面。

(1)技術層面目前使用的網絡協議主要考慮了通用性設計，安全層面考慮的少。使目前的網絡存在以下安全威脅：物理屢、鏈路層以及網絡層的安全問題，即竊聽或干擾、非法用戶的使用、信息被攔截監聽；操作系統安全。目前流行的操作系統均存在網絡安全漏洞，許多攻擊直接針對操作系統展開；應用平臺安全，如數據庫服務器、郵件服務器、Web服務器、Ftp服務器等均存在安全隱患，很容易受到攻擊；應用系統是直接面向最終用戶的，其安全問題包括規范化操作、合法性使用、信息泄露、信息篡改、信息抵賴及信息假冒等。

(2)管理層面管理層面的問題是整個網絡安全的關鍵，通常存在如下的管理問題：管理組織不完善：很多單位出于節約資金的考慮，沒有聘用專業的安全管理人員。或者安全管理任務沒有落實到人，責權不明確；管理規范未建立：安全是一個整體工程，不完整的管理幾乎等于不管：技術管理不到位：多數單位只考慮防火墻、防病毒等措施，并沒有提高到管理的程度：日常管理不到位：從計算機的日常使用、信息保存、用戶權限變更等。

四、企業信息化建設過程中解決網絡安全問題的措施

實現網路安全的過程是復雜的，任何一種單一的技術或產品無法滿足網絡對安全的要求，只有將技術和管理有機結合起來，從控制整個網絡安全建設、運行和維護的全過程角度人手。還應采用各種先進技術，防火墻技術、VPN技術、加密技術、入侵檢測技術等。

1、加強素質培養

首先加強網絡管理人員的技術水平，特別是計算機網絡安全新技術的培訓。其次對非技術人員進行計算機操作培訓，并且介紹網絡安全的重要性以及基本的防御常識等。

2、網絡安全的先進技術

防火墻技術：防火墻技術一般分為兩類：網絡級防火墻和應用級防火墻。網絡級防火墻防止整個網絡出現外來非法入侵；應用級防火墻是從應用程序來進行接入控制。通常使用應用網關或服務器來區分各種應用。目前防火墻所采用的技術主要有：屏蔽路由技術、基于技術、包過濾技術、動態防火墻技術、DMZ模型。虛擬專用網：虛擬專用網(Virtual Private Network，VPN)是企業網在因特網等公共網絡上的延伸，通過一個私有的通道在公共網絡上創建一個私有的連接。因此，從本質上說VPN是一個虛擬通道，它可用來連接兩個專用網，通過可靠的加密技術方法保證其他安全性，并且是作為一個公共網絡的一部分存在的。

加密技術：加密技術分為對稱加密和非對稱加密兩類，對稱加密技術有DES、3DES、IDEA，對稱加密技術是指加密系統的加密密鑰和解密密鑰相同，也就是說一把鑰匙開一把鎖。非對稱密鑰技術主要有RSA．非對稱密鑰技術也稱為公鑰算法，是指加密系統的加密密鑰和解密密鑰完全不同，這種加密方式廣泛應用于身份驗證、數字簽名、數據傳輸。

入侵檢測技術：入侵檢測技術的核心包括兩個方面，一是如何充分并可靠地提取描述行為的特征數據；二是如何根據特征數據，高效并準確地判斷行為的性質。它通過從計算機網絡或計算機系統的關鍵點收集信息并進行分析從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。

其他的網絡安全技術還有安全隔離技術、VLAN技術、各種防、殺毒技術等等。

五、網絡安全管理

為了保護網絡的安全性，除了增加安全服務功能，完善系統的安全保密措施外，安全管理規范也是必須的。安全管理策略一方面從安全管理規范來實現。男一方面從技術上建立高效的管理平臺。

1．安全管理規范信息系統的安全管理部門應根據管理原則制定相應的管理制度或采用相應的規范。具體工作是：

(1)根據工作的重要程度，確定安全管理等級和安全管理范圍。

(2)制訂相應的機房出入制度，對于安全等級要求較高的系統。實行分區控制和出入管理?？刹捎米C件識別或自動識別登記系統．采用磁卡、身份卡等手段。對人員進行識別、登記管理。

(3)制訂嚴格的網絡操作規程。既有網絡管理人員的操作規程，也要有內網用戶的操作規程。

(4)制訂完備的網絡系統維護制度。維護時要首先經主管部門批準，并有網絡管理人員在場，故障的原因、維護內容和維護前后的情況要詳細記錄。

結論

今后的企業信息化建設中，網絡安全就顯得尤為重要，如果企業不重視信息化的網絡安全工作。信息化不僅無法提高企業的工作效率，還會讓企業蒙受巨大的經濟損失。所以信息化建設中的網絡安全要與信息化同步考慮進行。

【參考文獻】

篇6

關鍵詞：計算機 網絡系統 安全集成

一、企業的網絡安全現狀

據統計，我國現有企業的網絡安全現狀是不容樂觀的，其主要表現在以下幾個方面： 信息和網絡的安全防護能力差； 網絡安全人才缺乏； 企業員工對網絡的安全保密意識淡薄，企業領導對網絡安全方面不夠重視等。一部分企業認為添加了各種安全產品之后，該網絡就已經安全了，企業領導基本上就是只注重直接的經濟利益回報的投資項目，對網絡安全這個看不見實際回饋的資金投入大部分都采取不積極的態度，其中起主導作用的因素還有就是企業缺少專門的技術人員和專業指導，導致我國目前企業的網絡安全建設普遍處于不容樂觀的狀況。

二、網絡安全常見威脅

1、計算機病毒

計算機病毒指在計算機程序中插入的破壞計算機功能和數據、影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。具有寄生性、傳染性、隱蔽性等特點。常見的破壞性比較強的病毒經常表現為：藍屏、機卡、CPU、自動重啟使用率高、打不開殺毒軟件等，并且在短時間內傳播從而導致大量的計算機系統癱瘓，對企業或者個人造成重大的經濟損失。

2、非授權訪問

指利用編寫和調試計算機程序侵入到他方內部網或專用網，獲得非法或未授權的網絡或文件訪問的行為。如有意避開系統訪問控制機制，對網絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。

3、木馬程序和后門

木馬程序和后門是一種可以通過遠程控制別人計算機的程序，具有隱蔽性和非授權性的特點。企業的某臺計算機被安裝了木馬程序或后門后，該程序可能會竊取用戶信息，包括用戶輸入的各種密碼，并將這些信息發送出去，或者使得黑客可以通過網絡遠程操控這臺計算機，竊取計算機中的用戶信息和文件，更為嚴重的是通過該臺計算機操控整個企業的網絡系統，使整個網絡系統都暴露在黑客間諜的眼前。

三、網絡的安全策略

1、更改系統管理員的賬戶名

應將系統管理員的賬戶名由原先的Administrator改為一個無意義的字符串.這樣要疊錄的非法用戶不但要猜準口令。還必須猜出用戶名.這種更名功能在域用戶管理器的User Properties對話框中并沒有設置.用它的User-*-Rename菜單選項就可以實現這一功能.如果用的是NT4.0.可以用Resource Kit中提供的工具封鎖聯機系統管理員賬號.這種封鎖僅僅對由網絡過來的非法疊錄起作用.

2、關閉不必要的向內TCP/IP端口

非法用戶進入系統并得到管理員權限之后.首先要做的，必定設法恢復管理員刻意廢止的TCP/IP上的NetBIOS裝訂.管理員應該使用路由器作為另一道防線。即提供web和FTP之類公共服務的NT服務器.這種情況下，只須保留兩條路由器到服務器的向內路徑：端日80的H1vrP和端日2l的FTP.

3、防火墻配置

防火墻是在2個網絡間實現訪問控制的1個或1組軟件或硬件系統，它是外部網絡與內部網絡之間的第1道安全屏障。本建設方案主要采用硬件防火墻，其主要功能就是屏蔽和允許指定的數據通訊，而這個功能的實現又主要是依靠一套訪問控制策略，由訪問控制策略來決定通訊的合法性，該控制策略的具體內容由企業的安全管理員和系統管理員共同來制定。

制定的防火墻安全策略主要有： 所有從內到外和從外到內的數據包都必須經過防火墻； 只有被安全策略允許的數據包才能通過防火墻； 服務器本身不能直接訪問互聯網； 防火墻本身要有預防入侵的功能； 默認禁止所有服務，除非是必須的服務才允許。而其他一些應用系統需要開放特殊的端口由系統管理員來執行。

4、VLAN 的劃分

VLAN 是為解決以太網的廣播問題和安全性而提出的一種協議。VLAN 之間的訪問需要通過應用系統的授權來進行數據交互。為保護敏感資源和控制廣播風暴，在3 層路由交換機的集中式網絡環境下，將網絡中的所有客戶主機和服務器系統分別集中到不同的VLAN 里，在每個VLAN 里不允許任何用戶設置IP、用戶主機和服務器之間相互PING，不允許用戶主機對服務器的數據進行編輯，只允許數據訪問，從而較好地保護敏感的主機資源和服務器系統的數據。采用3 層交換機，通過VLAN 劃分，來實現同一部門在同一個VLAN 中，這樣既方便同部門的數據交換，又限制了不同部門之間用戶的直接訪問。

5、身份認證

身份認證是提高網絡安全的主要措施之一。其主要目的是證實被認證對象是否屬實，常被用于通信雙方相互確認身份，以保證通信的安全。常用的網絡身份認證技術有： 靜態密碼、USB Key 和動態口令、智能卡牌等。其中，最常見的使用是用戶名加靜態密碼的方式。而在本方案中主要采用USB Key的方式。基于USB Key 的身份認證方式采用軟硬件相結合，很好地解決了安全性與易用性之間的矛盾，利用USB Key 內置的密碼算法實現對用戶身份的認證。USB Key 身份認證系統主要有2 種應用模式： 一是基于沖擊、響應的認證模式； 二是基于PKI 體系的認證模式。

6、制訂網絡系統的應急計劃

為了將由意外事故引起的網絡系統損害降低到最小程度，企業應制訂應急計劃.以防意外事故使網絡系統遭受破壞.該應急計劃應包括緊急行動方案及軟、硬件系統恢復方案等.絕對的安全是沒有的，安全標準的追求是以資金和方便為代價的.我們應隨時根據網絡系統的運行環境而采用相應的安全保護策略.通過對計算機網絡系統安全問題的充分認識.以及行政、技術和物質手段的保證。網絡系統就能夠有足夠的安全性來對付各種不安全問題.

結語

如何確保計算機網絡信息的安全是每一個網絡系統的設計者和管理者都極為關心的熱點，當然，也是企業關心的重點。一個全方位的安全方案是非常難以實現的，只有在企業領導的支持下，在技術人員和管理人員的努力下，結合企業的實際情況，制定出相應的解決措施，才是符合本企業的安全方案。本文主要討論了計算機網絡的安全的幾種不同的威脅，給出了相應安全策略以及相應的安全產品，提出了計算機網絡系統實施建設的基本方案。

參考文獻

篇7

關鍵詞：網絡信息安全；網絡攻擊；網絡安全技術

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2011) 18-0000-01

Computer Network Information Security Issues and Solutions

Liu Yubing

(Jiangsu Province Dongtai People's Hospital,Dongtai 224200,China)

Abstract:In this paper,the vulnerability of network information security,network security,the main technical,common network attack methods and countermeasures,network security,construction,analysis of the current network information security of the main problems,and common network attacks from the technical aspects of proposed solution that would gradually eliminate the construction of the network security network information security risks.

Keywords:Network information security;Network attacks;Network security technology

一、引言

計算機技術發展迅速，使得當今社會的發展己經離不開信息網絡。由于計算機網絡傳遞的信息中涉及到金融、科學教育、軍事等各個領域[1]，其中包含巨大的經濟或國家利益，所以少不了來自各方各面的網絡攻擊，網絡攻擊的表現形式也是多種多樣，譬如病毒感染、竊取數據、信息的篡改刪添等等。計算機犯罪的頻發，也與其犯罪的便利性，不必犯罪者親臨現場以及犯罪證據難以留下有大大相關。當今各國對于計算機網絡安全的防護己成為遏制計算機犯罪的嚴重社會問題[2]。網絡信息安全關系著國家的安全，民族的發展，隨著全球信息化越來越廣，它扮演的角色越來越重要。我們提倡網絡安全建設，大力保障網絡信息安全就是要保護網絡系統的硬件、軟件，主要是保護系統中的數據，使之不被破壞、更改、泄露，最終使得整個網絡系統能夠正常的運行并提供服務[3]。

二、常見網絡攻擊方法

由于系統開發者的疏忽或自留后門導致漏洞無處不在。補丁的速度遠遠跟不上漏洞的出現速度，黑客們正是攻擊安全漏洞和系統缺陷來達到目的。

（一）拒絕服務攻擊。DoS是Denial of Service的簡稱，即拒絕服務[4]，造成Dos的攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。

（二）利用型攻擊。利用型攻擊是一類試圖直接對你的機器進行控制的攻擊，下面介紹常見的三種攻擊的防御手段：（l）口令猜測：設置難以猜測的口令，比如多種符號組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略，就進行鎖定。（2）特洛伊木馬：不下載、不執行可疑程序，安裝木馬防火墻。（3）緩沖區溢出：利用SafeLib、tripwire這樣的程序保護系統，或者瀏覽最新的安全公告不斷更新操作系統[5]。

（三）信息收集型攻擊。盡管分類討論問題的解法無定規可循，但就中學數學而言，從基本概念的內涵、定理、公式和法則的限制條件出發，分析常見的誘因，就能獲得解決這類問題的基本策略和思維的基本模式。信息收集型攻擊是一個為進一步入侵收集信息的攻擊。主要包括：掃描技術、體系結構刺探、利用信息服務。使用具有己知響應類型的數據庫的自動工具，對來自目標主機的、對壞數據包傳送所做出的響應進行檢查。通過將不同系統回應的響應與數據庫中的已知響應進行對比，就可以確定出目標主機所運行的操作系統。防御方法是去掉或修改各種Banner，包括操作系統和各種應用服務的，阻斷用于識別的端口擾亂對方的攻擊計劃。

（四）假消息攻擊。用于攻擊目標配置不正確的消息，有以下兩種手段：（1）DNS高速緩存污染：DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證，這就使得攻擊者可以將不正確的信息摻進來并把用戶引向他自己的主機。防御方法是在防火墻上過濾入站的DNS更新，外部DNS服務器不應能更改你的內部服務器對內部機器的認識。（2）偽造電子郵件：由于SMTP并不對郵件的發送者的身份進行鑒定，因此攻擊者可以對你的內部客戶偽造電子郵件，聲稱是某個客戶認識并相信的人，當然附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網站的連接。我們可以使用PGP等安全工具并安裝電子郵件證書進行防御。

三、網絡攻擊應對策略

（一）防范網絡病毒。加強工作站的管理。工作站是網絡的入口，在工作站上安裝固化了殺毒軟件的硬件或芯片，這樣就可以對必經路徑加強檢查和過濾，達到提前攔截病毒的效果。服務器是整個網絡的核心，一旦服務器被感染而崩潰，整個網絡會立即癱瘓，那么所謂的網絡服務也不將存在。我們應該以服務器的防毒為重心，為它提供實時掃描病毒的軟件，并加大服務器權限的管理力度，杜絕病毒在網絡上的蔓延[6]。

（二）備份與恢復。組合使用正常備份和增量備份來備份數據，需要最少的存儲空間，并且是最快的備份方法。與備份完全相逆的就是恢復了，在文件缺失或是系統遭受攻擊而癱瘓的情況下，我們就可以利用前面的備份數據進行數據恢復，來達到保持信息安全的目的。

（三）提高個人信息安全意識。系統是以用戶為中心的，合法用戶可以在系統上進行一系列合法的操作圈。如何限制用戶的不合法操作，這就需要系統管理員對用戶權限加以控制，以避免故意或無意的破壞。但是更多的安全措施必須由用戶自己來完成，譬如：（1）密碼控制（2）文件管理（3）運行安全的程序。（4）安裝殺毒軟件和防火墻并隨時更新病毒庫。

參考文獻：

[1]李海強.網絡安全及網絡安全評估的脆弱性分析[J].硅谷

[2]王宇,盧星.信息網絡安全脆弱性分析[J].計算機研究與發展,2006,2

[3]網絡安全-業務保障[J].中國計算機用戶,2001,7

[4]許寶如.對計算機網絡安全問題的思考[J].江西科技師范學院學報,2004,2

篇8

關鍵詞：企業；內網；安全問題

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 21-0000-02

長期以來，我們對于網絡的安全問題往往停留在外網安全上，也就是說，大家所指的網絡安全就是外網安全，認為外網中存在未知的危險，是不可信任的。所以，大家采取的一系列防護措施都是針對于外網而言的，比如說采用防火墻是最常見的對外網安全進行防護的措施。都是，我們根據調查顯示，幾乎有超過一半的非法訪問或攻擊都是來自于內部，這也就意味著我們通常采用的外網安全防護措施對內網安全問題是幾乎不起作用的。所以，隨著內網應用的范圍不斷擴大，內網給系統帶來的漏洞也越來越大，也就是說出現在內網中的安全問題會越來越多，而通常內網中的數據和資料對企業而言是相當重要的，所以對于企業的網絡管理絕不能輕視內網的安全問題。

1 企業內網的安全現狀

雖然近年來計算機在我國發展較為迅速，并且在各個領域應用也比較廣泛，但是不可否認的是我國的計算機信息安全技術，相對于其他發達國家還是有一定的差距，主要表現在幾個方面：（1）我國的基礎信息產業相對落后。首先，在計算機的硬件技術方面，我國很多核心部位的技術尚未掌握，對發達國家依賴性太強，然后對于計算機的軟件方面就更不用說了，由于我國在計算機軟件開發設計方面起步晚，所以長期以來軟件這一塊一直處于國外的壟斷之中。（2）高級網絡安全人才的匱乏。這是與我國計算機行業的發展實際情況有關，盡管計算機技術近年來在我國發展速度十分可觀，但是在網絡安全這一塊還是處于落后階段，所以相對而言，我國的高級網絡安全人才是比較緊缺的。（3）網絡管理者缺乏必要的安全意識。很多企業管理者或者個人對網絡的安全問題認識不夠，缺乏有效的網絡安全管理措施，沒有認識到出了網絡安全事故對于企業而言的嚴重后果，所以作為企業的網絡管理者，網絡安全意識必須要加強。

2 企業內網常見的安全隱患

由于計算機網絡系統具有信道公用以及資源共享等特點，這也就導致了計算機網絡在使用過程中的復雜性和脆弱性，又加上企業內網在運行過程中，時常會受到外部的病毒或者黑客的攻擊等，這些威脅企業內網安全的因素，這就給內網系統安全運行提出了更高的要求。就其本質而言，網絡安全通常就是指網絡企業網絡信息的安全，它主要包括企業內網中的硬件、軟件安全，還有企業內網資料數據不被破壞，并能維持企業內網長期安全可靠的運行。下面列舉出威脅企業內網安全的常見隱患。

2.1 非授權用戶的惡意訪問。這種情形主要包括兩種，一是企業外部人員非法訪問企業內網，二是對于設置權限的網絡訪問，低權限的非法訪問高權限網絡。主要是由于現在很多企業普遍都采用的是開放式網絡，這種情況下就使得很多人都可以借助互聯網的鏈接，實現上網的功能。這也就意味著企業內部員工很可能在不經意間就把危險帶進了企業內網，比如說在互聯網上瀏覽了帶有病毒的網頁，或者下載了攜帶病毒的資源等。

2.2 病毒的危害。對于計算機而言，一直以來病毒都是威脅網絡安全一個最大的因素，同樣道理，它對企業內網安全的威脅也是一樣嚴重。首先，我們從病毒的傳播方式來看，病毒的傳播方式有很多種，包括前面提到的瀏覽帶病毒的網頁，或者在網上下載帶有病毒的資源，還可以通過電子郵件或者U盤等，都可以作為病毒傳播的媒介。一旦企業內網中有一臺電腦被感染了病毒，整個內網系統就都有被感染的危險。如果系統被病毒所感染，那么后果將不堪設想，輕者文件損壞、數據丟失，重者可能會造成整個內網系統癱瘓。

2.3 企業內網系統存在的漏洞。這是由于目前很多企業的內網的應用功能增多，導致內網的漏洞也隨之增多。這些都可能被很多種變種病毒所利用，為其傳播提供可能。所以，為了保障企業內網的安全，應該采取相應的解決措施，比如安裝完善的補丁系統，就可以有效的減少系統漏洞。

2.4 遭受黑客攻擊。這種情況是指黑客利用非法手段入侵企業內網，對內網中的數據進行復制、搗毀或者刪除等破壞。這種行為對于企業而言，所蒙受的損失是不可估量的，所以作為企業的網絡管理者一定要加強防范措施，盡量杜絕這種事件發生的可能。

3 影響企業內網安全的原因分析

3.1 企業內網管理制度不完善。企業內網有著它的特殊一面，在隨著它在企業內的應用越來越大后，控制起來也就越來越難，況且很多企業在進行內網建設的過程中，本身就存在很多不完善之處，也就不能形成完整的管理制度。

3.2 防范措施過于簡單。很多企業的在網絡管理環境中采用的防范措施非常簡單，通常只采用防火墻和IDS入侵檢查系統來進防范，而對安全管理的內部制度沒有重視，更沒有相應的措施。

3.3 內網系統應用的安全性低。這與企業內網系統的應用程序有關，但是內網應用程序的安全性又是不斷變化的，也可以這么說，應用安全關系到信息的安全。所以，內網系統應用的安全最重要是保證信息的完整性以及保密性。

3.4 企業網絡安全管理員職業素養有待提高。其主要表現在兩個方面，第一是企業網絡管理員在思想上認識不夠。第二是企業網絡管理員的技術不足。

4 企業內網安全建設的解決措施

4.1 建立起完善的企業內網安全管理制度。長期以來，由于企業網絡安全管理制度的不完善而引發的網絡事故屢見不鮮，因此，在企業的內網建設中，必須建立健全的網絡管理體系，制定相關的網絡安全管理制度以及措施，并加大實施力度。

4.2 對企業重要資料建立起備份和恢復機制。企業內網中的數據，對于企業而言是不可泄露的商業機密，其重要性不言而喻。而據調查顯示，目前引起電腦數據損壞或者流失的現象時有發生，其原因有時可能是員工的誤操作或者是偶然的斷電，但是由于這些原因而對企業所造成的損失，其實并不比企業內網受到黑客或者病毒攻擊所造成的損失要小。

所以，為了保障企業內網的安全，應該建立起完善的數據庫備份機制，這樣就能盡可能的擺脫人為的干預因素，從而做到最大程度的降低企業的損失。

4.3 對企業內網建立多層次病毒防護體系。目前的計算機病毒早已不是以前那種以單一傳播途徑傳播的單種行為病毒。而如今的病毒特征是：與因特網聯系比較緊密，并可以利用多種傳播方式進行病毒傳播；同時具有多種病毒特征的混合新型病毒；危害性、破壞性教之前大為增強。所以目前的內網防護措施也不能像以前一樣單一化，只把單臺計算機作為保護單元。

因此，企業內網的防護工作要注意以下幾點：第一防毒方式既要包括傳統的手動查殺、文件監控，又要全面結合互聯網；第二企業的病毒查殺產品，要實時保持最新殺毒能力。即要使得內網病毒庫實時保持更新狀態。

參考文獻：

[1]盧凌伊.企業內網安全問題分析與解決[J].遼寧經濟，2011，10.

[2]肖琪.企業計算機網絡系統安全淺析[J].電腦知識與技術，2010，6（35）.

[3]鐘嘉鳴.內網安全及防護探討[J].網絡安全技術與應用，2007，6.

篇9

【關鍵詞】隱患 黑客入侵 防范措施 管理制度

【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1672-5158（2013）01―0413―01

隨著經濟的迅速發展，計算機網絡技術的發展和互聯網應用的日益廣泛，它在社會發展中扮演著非常重要的角色。網絡在提高宣鋼辦公自動化效率的同時，給我們的生活帶來許多便利，也對企業信息系統的安全造成了威脅。網絡環境下，宣鋼信息系統面臨著來自物理因素、網絡共享和人文環境等三個方面的安全隱患，形勢嚴峻。宣鋼信息安全隱患的防范是一個全方位的工作，需要運用技術、管理和法律三大手段，建立一個綜合性的防御安全體系，最大限度地降低企業信息有可能遭受的安全隱患。作為宣鋼網絡運維管理人員從體系管理的高度完善網絡管理辦法，規范化網絡信息安全措施也自然成為了當務之急。

一、宣鋼內網安全常見隱患

1、病毒侵害較多。

計算機病毒是威脅宣鋼內部網絡頻率最高、影響最廣、導致信息損失最嚴重的問題，列在所有安全威脅中的首位。病毒通過網頁、電子郵件、可移動媒體、系統漏洞等方式傳播。在企業網絡中，如果一臺計算機感染了病毒，在很短的時間內就可感染內網所有的計算機網絡連接系統。病毒感染可導致網絡的堵塞、系統數據和文件系統的損壞。如果數據的累積是多年的，那么損失是災難性的。

2、宣鋼內部操作系統存在漏洞。

目前，許多企業的網絡操作系統存在各種類型的安全漏洞。有許多新的病毒，或是已知的病毒，仍然可以被利用來傳播病毒的變種。因此，如果企業內部缺乏一個完善的補丁管理系統，將反復導致很多內網的計算機，即使安裝最新的反病毒軟件，仍然可以感染病毒和木馬。

3、企業黑客入侵。

企業黑客入侵常分為四類：入侵、拒絕服務、信息盜竊、欺騙黑客入侵。黑客利用非法行為訪問內部網絡，刪除、復制或銷毀數據。對于使用傳統安全措施的企業網絡，其網絡安全環境是脆弱的，嚴重的情形可能會被竊取企業機密。

二、宣鋼內網安全原因分析

1、相對簡單的防范措施。

不同的網絡環境需要不同的安全防范措施。然而，由于傳統防治技術的制約，許多企業沒有采取防范措施來維護內網環境，在部署大量防火墻、IDS入侵檢測系統和防護裝備的同時，卻忽視了安全管理的內部制度。在實踐中，很多企業網絡環境應用默認的安全策略常常被忽視。

2、網絡安全管理制度不完善。

宣鋼內網是一個特殊的網絡，網絡的不斷擴大使其更加難以控制。雖然各二級廠已建立了相應的內部網絡安全管理制度，但經常是不完整或不全面的，不能有效地規范和約束有些員工的上網行為。

3、宣鋼網絡安全管理員技能不足。

在思想方面，許多管理員認為只要網絡不癱瘓，其他都不會有問題；在技術方面，由于管理員的惰性，遇到問題的處理方式就只是重新安裝系統；在管理方面，管理員只依賴于單一的工具，就是網絡維護。

安全技術知識和概念的缺乏使得宣鋼內部網絡的管理和監測計劃缺乏系統監管機制，也沒有主動行為，很難形成積極的反饋機制，這將導致宣鋼網絡的安全風險不容易被發現。

三、宣鋼內網安全建設的解決方案

1.建立多層次病毒防護體系。

傳播計算機病毒和形式日趨多樣化，因此內網的防病毒工作已不再是單純一臺計算機病毒的檢測和清除，必須在內網建立一個多層次、立體的病毒防護體系，但也應設立最好的管理制度，建立和維護病毒防護策略。內部網絡病毒防護系統包括客戶端的防病毒安全系統，和服務器的防病毒安全系統。服務器又分為文件服務器、數據庫服務器，以及其他應用級服務器的全面防護，是確保整個內部網絡不被計算機病毒感染的有效方式。目前計檢中心已經搭建了最新版的趨勢服務器，對工業網以及辦公網進行了全局部署很好的控制了病毒的爆發。

2.建立備份和恢復機制。

引人數據庫備份概念，如磁帶庫和備份系統、遠程數據、連續備份、智能恢復、實時監控和統計、數據定期自動存儲備份，完全擺脫了人為干預，以避免由于硬件故障、人為錯誤、病毒和其他各種因素造成的數據丟失。建立數據備份和恢復機制，雖然平時不能夠看到效果，但一旦數據遭受損害或遺失，將使宣鋼的損失最小化。

3、建立網絡安全管理制度。

（1）在計算機網絡安全管理中，發展絕對安全和健全的安全管理體系是計算機網絡安全的重要保證，不但要注重技術手段的保障，更要注重管理人員的職業操守，盡一切可能控制和減少違法違規行為，最大限度地減少不安全因素。以網絡安全管理負責人任期與職責分離的原則為指導，嚴格執行操作規程，并制定相關方案。

（2）完善相應的法律規章制度。在技術上做到防止其信息安全可能發生的同時，也應該在管理上做出相應的對策，對其建立完整，行之有效的一個制度，以保證能夠在技術和管理上相得益彰的保證網絡信息的安全。

（3）加強職業道德教育不管是建立安全管理機構還是安裝安全軟件或者資料備份，這些并不是解決網絡安全的根本方法。而只有加強計算機從業者進行道德教育，培訓，增強他們的安全意識，并且對于青年人進行必要的網絡安全知識的素質教育，才能做到比較切實的防患。

（4）訪問權限。不同的信息及其應用信息系統應有不同的訪問權限，低級別角色不應能訪問高級別的信息及應用信息系統。為此，可通過技術手段設定信息的訪問權限，限制用戶的訪問范圍。

四、管理制度取得成效

1、優化網絡架構

完善的核心網絡架構使得工業網和辦公網順利合并，充分發揮了主干網絡設備性能，VLAN及路由策略在保證網絡穩定運行的前提下做到了最優安全防護。

2、部署殺毒軟件

宣鋼網絡環境引用趨勢殺毒企業版，很好的控制住病毒的泛濫，保障生產網絡和辦公網絡健康運行。

3、加強行為監控

防火墻策略加任天行行為監控軟件雙管齊下，優化了局域網使用，約束職工上網行為同時提高了辦公效率、減少外網出口帶寬使用率、抑制病毒滋生可謂一舉多得。

4、完善網絡管理制度

各種網絡規章制度的完善為計檢中心管理宣鋼網絡提供可靠依據，作為宣鋼網絡的建設者和管理者計檢中心與時俱進不斷探索創新，積極組織人員學習國際先進網絡管理運維技術。時刻以知識改變命運落后就要挨打的理念鞭策員工激發員工的創新激情，先后開發出多套網絡監控平臺為保障宣鋼網絡穩定運行立下汗馬功勞。

5、治人先治心

作為領軍帶頭單位計檢中心多次組織二級廠礦網管員進行交流座談會，大家集思廣益發現問題解決問題共同進步。使每位網絡管理人員認識到自己身上的責任重擔，做到人人肩上有責任有目標；意識到我們不是普通的技術崗，我們維護的是宣鋼的生產命脈，從而在思想上達成高度統一；增強管理人員使命感，加強尋點檢質量把網絡隱患遏制在萌芽狀態。

篇10

關鍵詞：網絡；安全；VPN；加密技術；防火墻技術

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)12-2814-02

Network System Risk Analysis and Rolution

ZHANG Fang

(Tianjin Binhai Professional Institution, Tianjin 3000451, China)

Abstract: The network information security is refers to network system's hardware, the software and system's data receives the protection, not is destructed accidental or the malicious reason, the change, the revelation, the system moves normally reliably continuously, the network service does not interrupt. This article from network information security's aspects and so on vulnerability, network security's major technique, common network method of attack and countermeasure, network security construction analyzed the current network information security existence subject matter, and proposed the solution to the common network attack from the technical stratification plane.

Key words: network; network security; VPN; ipsec; firework

現代通信技術的巨大進步已使空間距離不再遙遠，數據、文件、電子郵件可以方便地在各個網絡工作站間通過電纜、光纖或電話線路進行傳送，工作站的距離可以短至并排擺放的計算機，也可以長達上萬公里，正所謂“相隔天涯，如在咫尺”，但也為計算機病毒的傳播提供了新的“高速公路”。計算機病毒可以附著在正常文件中，當你從網絡另一端得到一個被感染的程序，并在你的計算機上未加任何防護措施的情況下運行它，病毒就傳染開來了。

網絡正常運行的前提保證是網絡安全。網絡安全需要保證的是整個信息網的安全，從各個層面和角度把握，統籌了解安全風險的出處，以便統籌安排，保證網絡的安全性。網絡安全系統主要包括技術和管理，涵蓋物理層存在巨大的安全隱患，從而造成網絡的中斷。

1 風險分析

根據國內網絡系統的網絡結構和應用情況，必須從從網絡安全、系統安全、應用安全及管理安全等方面進行全面地分析。

當前，Internet網上病毒的最新趨勢：1) 不法分子或好事之徒制作的匿名個人網頁直接提供了下載大批病毒活樣本的便利途徑。2) 由于學術研究的病毒樣本提供機構同樣可以成為別有用心的人的使用工具。3) 由于網絡匿名登錄才成為可能的專門關于病毒制作研究討論的學術性質的電子論文、期刊、雜志及相關的網上學術交流活動，如病毒制造協會年會等等，都有可能成為國內外任何想成為新的病毒制造者學習、借鑒、盜用、抄襲的目標與對象。4) 散見于網站上大批病毒制作工具、向導、程序等等，使得無編程經驗和基礎的人員制造新病毒成為可能。5) 新技術、新病毒使得幾乎所有人在不知情時無意中成為病毒擴散的載體或傳播者。

1.1 計算機病毒

無論是個人計算機，還是計算機網絡，計算機病毒的威脅是最常見的，也是最主要的?，F在幾乎每天都有大量的計算機病毒產生，而且其危害性和破壞力一個比一個厲害。計算機病毒的危害主要體現在破壞計算機文件和數據，導致文件無法使用，系統無法啟動；消耗計算機CPU、內存和磁盤資源，導致正常服務無法進行，經常死機、占用大量的磁盤空間；有的還會損壞計算機硬件，導致計算機徹底癱瘓。

1.2 木馬

木馬又稱“后門程序”。雖然以前我們一直說木馬不是病毒，不過現在仍有許多媒體把木馬歸屬于病毒，但是木馬與病毒確實存在本質上的區別。木馬的主要危害體現在竊取用戶信息（如用戶計算機或者網絡賬號密碼、銀行賬戶和密碼、QQ賬戶和密碼等）；攜帶計算機病毒，造成計算機或者網絡運行不正常，甚至癱瘓；或者被黑客所利用，攻擊用戶計算機或網絡。

1.3 惡意軟件

惡意軟件是危害性介于計算機病毒與黑客軟件之間的軟件統稱。惡意軟件的危害性主要體現在非授權暗轉，自動撥號、自動彈出各種廣告界面、惡意共享和瀏覽器劫持等。這些惡意軟件一般都很難，甚至無法刪除。

1.4 黑客的入侵與攻擊

黑客的入侵與攻擊是指一類行為，不是指一類軟件，更不指一個軟件。黑客入侵與攻擊的目標主要是破壞網絡用戶系統和系統服務器，竊取用戶賬戶信息和組織機密，并非法查看、操作，甚至刪除用戶文件等。

黑客攻擊其實質就是指利用被攻擊方信息系統自身存在安全漏洞，通過使用網絡命令和專用軟件進入對方網絡系統的攻擊。目前黑客網絡攻擊的類型主要有以下幾種。

1) 利用監聽嗅探技術獲取對方網絡上傳輸的有用信息。

2) 利用拒絕服務攻擊使目的網絡暫時或永久性癱瘓。

3) 利用網絡協議上存在的漏洞進行網絡攻擊。

4) 利用系統漏洞，如緩沖區溢出或格式化字符串等，以獲得目的主機的控制權。

5) 利用網絡數據庫存在的安全漏洞，或許或破壞對方重要數據。

6) 利用計算機病毒傳播快、破壞范圍廣的特性，開發適合的病毒破壞對方網絡

2 解決方案

2.1 設計原則

針對網絡系統的現狀，網絡的安全保密問題是重中之重。設計時應遵循如下原則：提高系統的安全性和保密性；保持網絡的的透明性； 注重自動化管理；安全保密系統可以做一次性投資，以便長期使用；安全與密碼產品合法；分步實施原則。

2.2 安全策略

可以采用防火墻技術、NAT技術、VPN技術、網絡加密技術（Ipsec）、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術等構成網絡安全的防御系統。

2.2.1 防火墻的技術實現

防火墻的技術實現通常是基于所謂“包過濾”技術，而進行包過濾的標準通常就是根據安全策略制定的。在防火墻產品中，包過濾的標準一般是靠網絡管理員在防火墻設備的訪問控制清單中設定。訪問控制一般基于的標準有：包的源地址、包的目的地址、連接請求的方向（連入或連出）、數據包協議（如TCP/IP等）以及服務請求的類型（如ftp、www等）等。

2.2.2 網絡地址轉化―NAT技術

網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址，以保證網絡安全的防御系統的順利構建。

2.2.3 VPN技術

虛擬專用網(VPN)是企業網公共網絡上的一個更大的延伸和發展。它主要通過一個私有的通道在公共網絡上創建一個較為安全的私有連接，創設一個相對安全的網絡環境。其主要原理是：通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司相關的的企業網連接起來，構成一個擴展的公司企業網。

2.2.4 網絡加密技術(Ipsec)

為了解決網絡在公網的數據傳輸安全性問題和遠程用戶訪問內網的安全問題，可以采用網絡加密技術，對公網中傳輸的IP包進行加密和封裝，這樣可以保證數據傳輸的保密性和完整性。

此外，我們還可采用身份認證技術和多層次多級別的企業級的防病毒系統，對病毒實現全面的防護。采用入侵檢測系統，對網絡實時全面的監測，同時發揮系統的對主機和網絡的監測和預警功能，進一步提高網絡的安全性。

3 結束語

互聯網的不斷發展，引發了一場重大的技術革新，網絡也在時刻影響著改變人們學習和工作方式，使人們的生活更加便捷。隨著科學技術不斷發展，網絡已成為人們生活的一個重要的組成部分。雖然網絡使我們現在的生活更加的豐富多彩，但互聯網是一個面向大眾的開放系統，存在著巨大的安全隱患，諸如計算機病毒、信息泄露之類的安全隱患充斥著整個網絡市場，網絡安全形勢日益嚴峻，也成為一個亟待解決的問題。因而，解決網絡安全問題迫在眉睫，我們必須從網絡安全可能存在的危機入手，分析并尋找整體的網絡安全解決方案，還網絡一片干凈的天地。

參考文獻：

[1] 石磊.網絡安全與管理[M].北京:清華大學出版社,2009.

[2] 嚴體華,張凡.網絡管理員教程[M].北京:清華大學出版社,2009.

[3] 肖德琴.電子商務安全保密技術與應用[M].廣州:華南理工大學出版社,2008.

[4] 孫建華.網絡系統管理應用與開發[M].北京:人民郵電出版社,2005.

[5] 駱耀祖.網絡系統集成與管理[M].北京:人民郵電出版社,2008.

[6] 藍紅兵,費奇, 李敉安. 基于關系網絡的風險分析專家系統[J].控制與決策,1990(6).