基于某企業(yè)的網(wǎng)絡(luò)安全策略精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的基于某企業(yè)的網(wǎng)絡(luò)安全策略主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

電力企業(yè)的信息安全不僅影響著其自身的網(wǎng)絡(luò)信息的化建設(shè)進(jìn)程，也關(guān)系著電力生產(chǎn)系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)、優(yōu)質(zhì)運(yùn)行。所以，強(qiáng)化信息網(wǎng)絡(luò)安全管理，確保電力信息網(wǎng)絡(luò)的安全性，保證業(yè)務(wù)操作平臺能夠穩(wěn)定、可靠的運(yùn)行是電力安全工作中的一項(xiàng)核心任務(wù)。

1.電力信息網(wǎng)絡(luò)安全體系

信息網(wǎng)絡(luò)安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露信息安全應(yīng)該實(shí)行分層保護(hù)措施.有以下五個方面：①物理層面安全，環(huán)境安全，設(shè)備安全，介質(zhì)安全；②網(wǎng)絡(luò)層面安全，網(wǎng)絡(luò)運(yùn)行安全，網(wǎng)絡(luò)傳輸安全，網(wǎng)絡(luò)邊界安全；③系統(tǒng)層面安全，操作系統(tǒng)安全，數(shù)據(jù)庫管理系統(tǒng)安全；④應(yīng)用層面安全，辦公系統(tǒng)安全，業(yè)務(wù)系統(tǒng)安全，服務(wù)系統(tǒng)安全；⑤管理層面安全，安全管理制度，部門與人員的組織規(guī)則。

2.電力信息網(wǎng)絡(luò)安全存在的問題

2.1 系統(tǒng)漏洞。電力企業(yè)使用的都是微軟所開發(fā)的Windows操作系統(tǒng)。由于一個計(jì)算機(jī)操作系統(tǒng)過于龐大、復(fù)雜，所以它不可能第一次性地發(fā)現(xiàn)并解決所有存在的各種漏洞和安全問題，這需要在我們的使用當(dāng)中不斷地被完善。但是，據(jù)一些消息稱，微軟公司對于漏洞信息披露的反應(yīng)時(shí)間為1～2周。但是在這段時(shí)間內(nèi)，這些長久存在或是剛被披露的漏洞很可能被一些居心不良的人所利用，造成對企業(yè)信息網(wǎng)絡(luò)安全的威脅。

2.2 黑客的惡意攻擊。如今，社會當(dāng)中的部分人也擁有了較強(qiáng)的計(jì)算機(jī)網(wǎng)絡(luò)操作、控制能力。他們有的出于興趣愛好、有的出于金錢指使，而對其他網(wǎng)絡(luò)系統(tǒng)發(fā)起惡意的攻擊、破壞，以滿足自身的各種成就感。在這些攻擊行為當(dāng)中，一部分是主動的進(jìn)行系統(tǒng)破壞或是更改、刪除重要的信息，另一部分是被動的進(jìn)行監(jiān)聽，竊取電力企業(yè)內(nèi)部網(wǎng)絡(luò)交流信息，導(dǎo)致信息外泄。

2.3 網(wǎng)絡(luò)硬件系統(tǒng)不牢固。網(wǎng)絡(luò)硬件系統(tǒng)不牢固是一個普遍性的問題。盡管互聯(lián)網(wǎng)的硬件系統(tǒng)已經(jīng)具有了較高的穩(wěn)定性和安全性，但其仍然存在的脆弱性也不可忽視，比如雷電所引發(fā)的硬件故障，各種傳輸過程當(dāng)中受其他因素影響所出現(xiàn)的信息失真等。

2.4 員工的信息網(wǎng)絡(luò)安全意識不健全。在如今的電力企業(yè)當(dāng)中，許多員工多信息網(wǎng)絡(luò)的安全意識還不健全。比如用戶安全意識不強(qiáng)，系統(tǒng)登錄口令過于簡單，或是將賬戶及密碼借給他人使用，盲目地進(jìn)行資源信息共享，這些帶全安全威脅性的操作都可能會對企業(yè)的信息網(wǎng)絡(luò)安全帶來隱患。還有的員工長時(shí)間占用網(wǎng)絡(luò)，大量消耗了網(wǎng)絡(luò)資源，增加了企業(yè)的網(wǎng)絡(luò)通信負(fù)擔(dān)，導(dǎo)致企業(yè)內(nèi)部的通信與生產(chǎn)效率較低。更有甚者由于瀏覽網(wǎng)頁或是使用U盤，導(dǎo)致了一些木馬、病毒被下載到了計(jì)算機(jī)系統(tǒng)當(dāng)中，造成各式各樣的網(wǎng)絡(luò)通信故障。

3.電力信息網(wǎng)絡(luò)安全策略

3.1設(shè)備安全策略

3.1.1 建立配套的績效管理機(jī)制，以促進(jìn)信息安全運(yùn)維人員樹立良好意識，提高自身信息網(wǎng)絡(luò)管理能力。

3.1.2 建立電網(wǎng)信息安全事故應(yīng)急處理預(yù)案，例如“突況下某某大樓信息系統(tǒng)應(yīng)急處理預(yù)案”，預(yù)案所要求的各項(xiàng)信息設(shè)備必須作為信息安全重要物資交由信息應(yīng)急指揮人員保管，相關(guān)信息運(yùn)維人員必須在信息事故發(fā)生的第一時(shí)間到崗到位、信息預(yù)案操作流程必須準(zhǔn)確到位，各應(yīng)急單位要定期進(jìn)行應(yīng)急演練，保證在發(fā)生信息安全事故之時(shí)隊(duì)伍能夠拉得出、打得贏。

3.1.3 運(yùn)用國家電網(wǎng)公司統(tǒng)一的標(biāo)準(zhǔn)化信息安全管理模式，規(guī)范日常網(wǎng)絡(luò)處理流程，嚴(yán)格控制網(wǎng)絡(luò)接入程序，對新進(jìn)網(wǎng)絡(luò)施行過程化管理，例如：申請入網(wǎng)人員必須填寫“某公司入網(wǎng)申請單”，并對操作人員嚴(yán)格施行信息網(wǎng)絡(luò)處理“兩票三制”管理，即：操作票、工作票、交接班制、巡回檢查制、設(shè)備定期試驗(yàn)輪換制，從制度上保證信息網(wǎng)絡(luò)安全管理。

3.1.4 成立網(wǎng)絡(luò)信息安全組織機(jī)構(gòu)，例如：成立某公司信息安全領(lǐng)導(dǎo)小組，小組成員包括：公司領(lǐng)導(dǎo)層人員、信息安全管理層人員、信息安全網(wǎng)絡(luò)技術(shù)實(shí)施保障人員等，并對各人員工作職責(zé)提出具體要求，尤其是必須明確技術(shù)實(shí)施保障人員的工作要求。

3.2安全技術(shù)策略

3.2.1 使用VPN（虛擬隧道）技術(shù)。按業(yè)務(wù)分別建立對應(yīng)的三層VPN，各VLAN段建立符合實(shí)際要求的網(wǎng)絡(luò)訪問控制列表，將網(wǎng)絡(luò)按部門（樓層）進(jìn)行分段，對各段網(wǎng)絡(luò)配置對應(yīng)的訪問控制，設(shè)置高強(qiáng)度的網(wǎng)絡(luò)登錄密碼，保證網(wǎng)絡(luò)的安全性。

3.2.2 安全審計(jì)技術(shù)。隨著系統(tǒng)規(guī)模的擴(kuò)展與安全設(shè)施的完善，應(yīng)該引入集中智能的安全審計(jì)系統(tǒng)，通過技術(shù)手段，實(shí)現(xiàn)自動對網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行統(tǒng)一安全審計(jì)。及時(shí)自動分析系統(tǒng)安全事件，實(shí)現(xiàn)系統(tǒng)安全運(yùn)行管理。

3.2.3 病毒防護(hù)技術(shù)。為免受病毒造成的損失，要采用的多層防病毒體系。即在每臺PC機(jī)上安裝防病毒軟件客戶端，在服務(wù)器上安裝基于服務(wù)器的防病毒軟件，在網(wǎng)關(guān)上安裝基于網(wǎng)父的防病毒軟件，必須在信息系統(tǒng)的各個環(huán)節(jié)采用全網(wǎng)全面的防病毒策略，在計(jì)算機(jī)病毒預(yù)防、檢測和病毒庫的升級分發(fā)等環(huán)節(jié)統(tǒng)一管理。

3.2.4防火墻技術(shù)。防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù)。它通過單一集中的安全檢查點(diǎn)，強(qiáng)制實(shí)操相應(yīng)的安全策略進(jìn)行檢查，防止對重要信息資源進(jìn)行非法存取和訪問。電力系統(tǒng)的生產(chǎn)、計(jì)量、營銷、調(diào)度管理等系統(tǒng)之間，信息的共享、整合與調(diào)用，都需要在不同網(wǎng)段之間對這些訪問行為進(jìn)行過濾和控制，阻斷攻擊破壞行為，分權(quán)限合理享用信息資源。

3.2.5 擬局域網(wǎng)技術(shù)（VLAN技術(shù)）。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有相同的屬性。由于它是邏輯而不是物理劃分，所以同一個LAN內(nèi)的各工作站無須放置在同一物理空LAN里，但這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，有助于控制流量、控制廣播風(fēng)暴、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

4.結(jié)束語

電力企業(yè)網(wǎng)絡(luò)安全包括系統(tǒng)結(jié)構(gòu)本身的安全及桌面終端設(shè)備信息安全，所以利用結(jié)構(gòu)化的觀點(diǎn)和方法來看待電力企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)。基于網(wǎng)絡(luò)的特殊性，有關(guān)供電系統(tǒng)數(shù)據(jù)網(wǎng)的安全問題不容忽視，要保障其網(wǎng)絡(luò)的安全可靠運(yùn)行，不能僅僅依靠防火墻等單個的系統(tǒng)，而需要仔細(xì)考慮系統(tǒng)的安全需求，并將各種安全技術(shù)結(jié)合在一起，方能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn)

[1] 楊晶.論計(jì)算機(jī)網(wǎng)絡(luò)安全問題及防范措施[J].科技創(chuàng)新導(dǎo)報(bào).2011.

[2] 侯康.淺談電力調(diào)度數(shù)據(jù)網(wǎng)及其維護(hù)[J].科技信息.2011.

作者簡介

第2篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

近日，Check Point了《2013年信息安全報(bào)告》（以下簡稱《報(bào)告》）。《報(bào)告》指出，63%的企業(yè)被僵尸網(wǎng)絡(luò)感染；54%的企業(yè)曾發(fā)生數(shù)據(jù)泄露；43%的企業(yè)中存在匿名軟件；36%的金融組織存在信用卡信息泄露；16%的衛(wèi)生保健和保險(xiǎn)組織中存在受《HIPAA隱私規(guī)定》保護(hù)的個人健康數(shù)據(jù)被泄露現(xiàn)象……安全形勢不容樂觀。

安全威脅不勝枚舉

僵尸網(wǎng)絡(luò)被認(rèn)為是當(dāng)前網(wǎng)絡(luò)安全最主要的威脅之一。Check Point中國區(qū)大客戶總監(jiān)李若怡在接受《中國計(jì)算機(jī)報(bào)》記者專訪時(shí)表示，Check Point調(diào)查發(fā)現(xiàn)，僵尸計(jì)算機(jī)與其指揮和控制中心平均每隔21分鐘通信一次，報(bào)告其感染的新主機(jī)、存貨信息以及從主機(jī)系統(tǒng)搜集的數(shù)據(jù)。她還指出，僵尸網(wǎng)絡(luò)的黑色產(chǎn)業(yè)鏈已經(jīng)形成。

企業(yè)面臨的安全威脅遠(yuǎn)不止僵尸網(wǎng)絡(luò)，還包括病毒、蠕蟲、間諜軟件、廣告軟件、木馬等?！秷?bào)告》指出，75%受訪企業(yè)有主機(jī)訪問過惡意網(wǎng)絡(luò)，50%的企業(yè)中有5臺主機(jī)訪問過惡意網(wǎng)站?！懊扛?3分鐘，就有一臺主機(jī)訪問惡意網(wǎng)站，53%的企業(yè)中有員工通過公司網(wǎng)絡(luò)下載惡意軟件?！崩钊翕Q，“令人擔(dān)憂的是，23%的主機(jī)并沒有每天更新反病毒庫，而14%的主機(jī)甚至根本沒有運(yùn)行反病毒軟件，導(dǎo)致企業(yè)處在惡意軟件的威脅下。”

此外，Web 2.0應(yīng)用程序的快速增長，也為犯罪分子提供了大好的犯罪機(jī)會。《報(bào)告》指出，91%的企業(yè)中存在不安全的應(yīng)用程序，包括匿名軟件、P2P應(yīng)用程序和共享程序、社交網(wǎng)絡(luò)應(yīng)用等。黑客既能夠利用應(yīng)用程序的漏洞攻擊企業(yè)網(wǎng)絡(luò)，也可以通過獲取用戶權(quán)限和賬戶信息來獲取利益，亦或是通過匿名軟件來隱藏犯罪活動。

量體裁衣 建立多層防御

建立多層防御的安全策略是每個企業(yè)都必須面對的頭等大事。只有這樣，企業(yè)才能提升信息化的“正能量”。

要建立多層防御的安全策略，IT人員首先要清晰地了解企業(yè)的網(wǎng)絡(luò)安全狀況，包括安全事件和安全趨勢。“這份《報(bào)告》的數(shù)據(jù)來源包括三個方面：Check Point安全云、Check Point 3D安全報(bào)告和遍布于全球各地電信運(yùn)營商的傳感器網(wǎng)絡(luò)，涵蓋了政府、金融、電信、工業(yè)和交通等重點(diǎn)行業(yè)?！崩钊翕J(rèn)為，通過對這些數(shù)據(jù)的分析，企業(yè)能夠了解網(wǎng)絡(luò)安全的薄弱點(diǎn)。

第3篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

得尤其重要，因此不論在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施能全方位地應(yīng)對各種不同的威脅和脆弱性，能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

關(guān)鍵詞 網(wǎng)絡(luò)安全局域網(wǎng)安全策略

如何在安全的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下辦公成為計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的一

個重要領(lǐng)域，尤其是局域網(wǎng)安全問題，現(xiàn)在的企事業(yè)單位都有自己的局域網(wǎng)，企事業(yè)單位的核心數(shù)據(jù)也在局域網(wǎng)上，核心數(shù)據(jù)關(guān)系著企事業(yè)單位的生死存亡，一旦出現(xiàn)問題后果不堪設(shè)想，該文從局域網(wǎng)安全管理出發(fā)提出了基于局域網(wǎng)安全的策略。

1、局域網(wǎng)安全方案設(shè)計(jì)

安全策略包括兩個部分：一個總的策略和具體的規(guī)則策略用于闡明企業(yè)安全政策的總體思想，而具體規(guī)則用于說明什么活動是被允許的，什么活動是被禁止的。網(wǎng)絡(luò)的完全安全是不可能的，但是，我們卻可以根據(jù)威脅網(wǎng)絡(luò)安全的源頭不同，及時(shí)調(diào)整網(wǎng)絡(luò)安全策略，所以總的說來，網(wǎng)絡(luò)安全方案設(shè)計(jì)的原則就是因時(shí)而變。

2、局域網(wǎng)安全機(jī)制

2.1物理隔離

常見的各種安全保護(hù)方式是安裝防火墻，入侵檢測系統(tǒng)、網(wǎng)絡(luò)安全管理軟件等安全軟件，但是這類的“軟”保護(hù)具有不確定性，誰也不能保證這些軟件中沒有后門、沒有錯誤，而被黑客利用攻入內(nèi)部系統(tǒng)。最安全的辦法，就是讓局域網(wǎng)內(nèi)部重要的數(shù)據(jù)和外部的互聯(lián)網(wǎng)沒有物理的連接，把用戶可以上網(wǎng)的信息和不可以上網(wǎng)的信息隔離開來，讓黑客無機(jī)可乘。

目前，物理隔離的實(shí)現(xiàn)模型，一般是包括客戶端選擇設(shè)備和網(wǎng)

絡(luò)選擇器，用戶通過開關(guān)設(shè)備，或通過鍵盤選擇，控制客戶端選擇不同的存儲介質(zhì)，在需要的情況下，網(wǎng)絡(luò)選擇端還要同時(shí)進(jìn)行相應(yīng)的網(wǎng)絡(luò)連接跳轉(zhuǎn)?，F(xiàn)在的物理隔離產(chǎn)品，主要采用基于單網(wǎng)線的安全隔離卡技術(shù)加上網(wǎng)絡(luò)選擇器方法，即客戶端依然采用類似第二代雙網(wǎng)線安全隔離卡的技術(shù)。

2.2遠(yuǎn)程訪問控制

對于遠(yuǎn)程撥號用戶，已經(jīng)配置了用戶身份認(rèn)證服務(wù)器。在技術(shù)

上有一定的安全保障。另外還可以從自身?xiàng)l件優(yōu)勢上考慮，由于都

同屬一個電話局，這樣就可以在電話局的程控交換機(jī)上控制，只允

許內(nèi)部的電話號碼訪問本地的網(wǎng)絡(luò)。同時(shí)對于撥號用戶采用動態(tài)地

址分配，并對所有在用的機(jī)器MAC地址進(jìn)行注冊，采用IP地址與

MAC地址的動態(tài)綁定。

2.3 防火墻

在原理上，防火墻更像是物理隔離的軟件實(shí)現(xiàn)手段。由于要與

互聯(lián)網(wǎng)連接，所以防火墻是必不可少的。防火墻規(guī)則動態(tài)的修改在

大型網(wǎng)絡(luò)中已經(jīng)是必不可少的了。

2. 4防病毒

防病毒基本上可以分為單機(jī)版和網(wǎng)絡(luò)版。選擇單機(jī)版和網(wǎng)絡(luò)版要權(quán)衡代價(jià)和效率的關(guān)系。如果全部選用網(wǎng)絡(luò)版那么造價(jià)很高，而且網(wǎng)絡(luò)版的安裝也相對復(fù)雜，勢必要牽扯大量的人力。所以如果要節(jié)約費(fèi)用，建議安裝單機(jī)版防毒軟件。而如果要求更高的安全性，并且局域網(wǎng)頻繁的與Internet交換數(shù)據(jù)，被病毒感染的機(jī)會很高，所以病毒代碼的更新也要求較高，建議采用網(wǎng)絡(luò)版的防毒軟件。

3加強(qiáng)局域網(wǎng)安全的管理對策

3.1及時(shí)修補(bǔ)漏洞

要及時(shí)更新系統(tǒng)、數(shù)據(jù)庫等漏洞補(bǔ)丁。漏洞已成為病毒、木馬以及黑客進(jìn)行攻擊的主要途徑，可以通過360安全衛(wèi)士來檢查系統(tǒng)的漏洞并打上補(bǔ)丁，一些防火墻軟件也具有檢查系統(tǒng)的漏洞的功能，做到定期檢查和更新。

3.2關(guān)閉系統(tǒng)默認(rèn)共享以及其它目錄共享

默認(rèn)共享是局域網(wǎng)里存在的一個安全隱患，很多病毒和黑客利用系統(tǒng)的默認(rèn)共享進(jìn)行傳播和攻擊的，威金蠕蟲和Funlove病毒等都是利用局域網(wǎng)里的共享進(jìn)行傳播的，所以要關(guān)閉默認(rèn)共享。如果業(yè)務(wù)需

要共享數(shù)據(jù)，那么要將共享方式設(shè)為只讀或?qū)⒐蚕砟夸涬[藏，在共享

名后加上“$”符號即可隱藏共享資源。最好是建立文件服務(wù)器、存

儲設(shè)備或局域網(wǎng)郵件系統(tǒng)來收發(fā)文件，這樣可以大大地降低局域網(wǎng)中

受攻擊和感染的風(fēng)險(xiǎn)。

3.3關(guān)閉危險(xiǎn)的系統(tǒng)服務(wù)

有的系統(tǒng)服務(wù)的啟用不僅會占用系統(tǒng)資源，而且還會對我們的系

統(tǒng)帶來嚴(yán)重的安全隱患，為黑客和病毒開啟了方便之門，在不需要這

些服務(wù)的情況下可以關(guān)閉。

4、加強(qiáng)局域網(wǎng)安全的技術(shù)策略

4.1基于Internet的防火墻安全策略

典型的局域網(wǎng)要通過路由器來實(shí)現(xiàn)內(nèi)部和外部信息的通訊，兩者之間的數(shù)據(jù)流控制是計(jì)算機(jī)網(wǎng)絡(luò)安全的關(guān)鍵。如何保證外部合法數(shù)據(jù)進(jìn)入到局域網(wǎng)及局域網(wǎng)內(nèi)部核心，數(shù)據(jù)安全將由防火墻(firewall)來實(shí)現(xiàn)。防火是由軟件、硬件構(gòu)成的系統(tǒng)，用來在兩個網(wǎng)絡(luò)之間實(shí)施接入控制策略。防火墻內(nèi)的網(wǎng)絡(luò)稱為可信賴的網(wǎng)絡(luò)(trusted network)，而將外部的因特網(wǎng)稱為不可信賴的網(wǎng)絡(luò)(untrusted network)。防火墻可用來解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問題。

防火墻系統(tǒng)的主要目標(biāo)是對進(jìn)出所有數(shù)據(jù)進(jìn)行分析，并對用戶進(jìn)行認(rèn)證，從而防止有害信息進(jìn)入受保護(hù)的網(wǎng)絡(luò)系統(tǒng)，為網(wǎng)絡(luò)提供安全保障，可以用硬件或軟件實(shí)現(xiàn)，也可以是兩者的結(jié)合。主要功能包括：安全警報(bào)；重新部署網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)；監(jiān)視Internet的使用；防火墻也是審查和記錄內(nèi)部人員對Internet使用的一個最佳位置， 可以在此對內(nèi)部訪問Internet的情況進(jìn)行記錄，向外信息；防火墻除了起到安全屏障作用外，也是部署www服務(wù)器和FTP服務(wù)器的理想位置；允許Internet訪問上述服務(wù)器，而禁止對內(nèi)部受保護(hù)的其他系統(tǒng)進(jìn)行訪問。

4.2VLAN技術(shù)安全策略

VLAN又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。 一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。

4.3捆綁技術(shù)安全策略

l) IP與MAC地址捆綁技術(shù)安全策略

在實(shí)際的局域網(wǎng)安全管理中會經(jīng)常出現(xiàn)IP地址被盜用的現(xiàn)象，這不僅對計(jì)算機(jī)網(wǎng)絡(luò)的正常使用造成影響，同時(shí)也會由于被盜用的地

址往往具有較高的權(quán)限而對企業(yè)單位造成了大量的經(jīng)濟(jì)上的損失和

潛在的安全隱患。為了防止IP地址被盜用，可采用ARP來實(shí)現(xiàn)IP

地址與網(wǎng)卡MAC地址捆綁技術(shù)安全策略。

2)端口與MAC地址捆綁技術(shù)安全策略

在實(shí)際的局域網(wǎng)安全管理中會經(jīng)常出現(xiàn)端口被盜用，即外來非法計(jì)算機(jī)利用局域網(wǎng)空閑端口連上局域網(wǎng)，盜用企業(yè)單位核心數(shù)據(jù)的情況，對企業(yè)單位造成了大量的經(jīng)濟(jì)上的損失和潛在的安全隱患。為了防止端口被盜用，可采用端口與MAC地址捆綁技術(shù)安全策略。

當(dāng)然，為了防止這種攻擊，我們也可以采用Socket編程技術(shù)，但是對于計(jì)算機(jī)網(wǎng)絡(luò)管理人員計(jì)算機(jī)的水平要求較高。Socket是一

種計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用層與TCP／IP協(xié)議族通信的中間軟件抽象層，它

是一組接口(Interface)。在設(shè)計(jì)模式中把復(fù)雜的TCP/IP協(xié)議族隱藏在Socket接口后面，讓Socket去組織數(shù)據(jù)是符合指定的協(xié)議。

服務(wù)器端先初始化Socket然后與端口綁定(bind)，對端口進(jìn)行監(jiān)聽(listen)，調(diào)用accept阻塞，等待客戶端連接，客戶端初始化一個Socket，然后連接服務(wù)器(connect)，如果連接成功，這時(shí)客戶端與服務(wù)器端的連接就建立了?？蛻舳税l(fā)送數(shù)據(jù)請求，服務(wù)器端接收請求并處理請求，然后把回應(yīng)數(shù)據(jù)發(fā)送給客戶端，客戶端讀取數(shù)據(jù)，最后關(guān)閉連接，一次交互結(jié)束。

4.4生物識別技術(shù)安全策略

局域網(wǎng)身份識別目前主要有如下三種方式：①“用戶名+口令”模式，用已知道的信息來證明識別身份；②用密碼卡、智能卡等擁有的物品來證明識別身份；③用人類獨(dú)一無二、不可復(fù)制的生物特征來證明身份，如指紋識別、虹膜識別等。很顯然，前兩種方式很難實(shí)現(xiàn)安全、可靠的身份識別，而生物特征識別技術(shù)它能杜絕易丟、易破解的現(xiàn)象，不存在記憶密碼、丟失密碼及受損的風(fēng)險(xiǎn)，是目前局域網(wǎng)安全技術(shù)策略首選的技術(shù)方案。生物特征識別技術(shù)可用于硬件設(shè)備使用的身份識別，只有合法的生物特征的人才能進(jìn)入；計(jì)算機(jī)開機(jī)識別，只有合法的人才能開機(jī)，只有合法的人才能進(jìn)入某一軟件系統(tǒng)，獲得軟件的使用權(quán)等。

5.結(jié)束語

計(jì)算機(jī)網(wǎng)絡(luò)在給我們工作方便的同時(shí)也帶來了安全問題，在安全

的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下方便使用計(jì)算機(jī)網(wǎng)絡(luò)已成為社會發(fā)展的必然趨勢，局域網(wǎng)更是如此。本文基于局域網(wǎng)安全策略的研究，對于局域網(wǎng)

安全方面的問題提供了一些解決思路。局域網(wǎng)安全光有局域網(wǎng)安全技

術(shù)保障是不夠的，還要用制度管理好人，也就是說局域網(wǎng)安全技術(shù)策

第4篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

關(guān)鍵詞:防火墻;校園網(wǎng);互聯(lián)網(wǎng)

中圖分類號: TD39

文獻(xiàn)標(biāo)識碼: A

文章編號:1005-569X(2009)06-0099-02

1 引言

目前,黑客入侵與病毒發(fā)作事件在全球范圍內(nèi)不斷增加。由于網(wǎng)絡(luò)應(yīng)用的迅速發(fā)展,除以往熟知的病毒、垃圾郵,以及黑客惡意攻擊、網(wǎng)絡(luò)釣魚之外,也有來自企業(yè)內(nèi)部的安全隱患等,這些問題困擾著每一個企業(yè)。網(wǎng)絡(luò)安全已經(jīng)成為越來越多使用網(wǎng)絡(luò)的公司、個人需要考慮的問題,越來越多的企業(yè)將網(wǎng)絡(luò)的安全看作確保企業(yè)盈利能力的一項(xiàng)重要因素。

2 防火墻基礎(chǔ)簡介

2.1網(wǎng)絡(luò)安全問題

傳統(tǒng)的邊界安全設(shè)備――防火墻,成為整體安全策略中不可缺少的重要模塊。目前的防火墻產(chǎn)品的用戶主要是企業(yè)用戶?；ヂ?lián)網(wǎng)已經(jīng)改變了人們工作、聯(lián)絡(luò)、協(xié)作交流以及買賣的方式。網(wǎng)絡(luò)的安全程度究竟如何?這是許多IT管理人員每天都會考慮的問題?？梢韵胂?防火墻的應(yīng)用也越來越普及,這個普及不僅面向各個公司、企業(yè),也深入到家庭、個人,深入到每個網(wǎng)絡(luò)節(jié)點(diǎn)、終端。

2.2防火墻概述

2.2.1防火墻的作用

防火墻從本質(zhì)上說是一些設(shè)備,是外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的控制設(shè)備。它是用來保護(hù)內(nèi)部的數(shù)據(jù)、資源和用戶信息的工具,可以防止Internet上的危險(xiǎn)(病毒、資源盜用等)傳播到網(wǎng)絡(luò)內(nèi)部。這樣的設(shè)備通常是單獨(dú)的計(jì)算機(jī)、路由器或防火墻盒(專用硬件設(shè)備)。它們充當(dāng)訪問網(wǎng)絡(luò)的惟一入口點(diǎn),并且判斷是否接收某個連接請求,只有來自授權(quán)主機(jī)的連接請求才會被處理,而剩于的連接請求將被丟棄。

通常,防火墻被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)與Internet的連接點(diǎn)上。被保護(hù)的網(wǎng)絡(luò)屬于內(nèi)部網(wǎng)絡(luò),所防止的網(wǎng)絡(luò)是不可信的外部網(wǎng)。保護(hù)網(wǎng)絡(luò)包括阻止非法授權(quán)用戶訪問敏感數(shù)據(jù)的同時(shí),允許合法用戶無障礙地訪問網(wǎng)絡(luò)資源,如防火墻能夠確保電子郵件、文件傳輸、遠(yuǎn)程登錄或在特定系統(tǒng)間信息交換的安全。

總之,從網(wǎng)絡(luò)安全的角度來考慮,防火墻是兩個網(wǎng)絡(luò)之間的成分集合,它們的合作應(yīng)具有的性質(zhì)是:從里向外或外向里的流量都必須通過防火墻;只有符合本地安全策略放行流量才能通過防火墻;防火墻本身是不能穿透的。

2.2.2設(shè)置防火墻的必要性

(1)集中化的安全管理,強(qiáng)化安全策略。由于Internet上每天都有上百萬人在收集信息和交換信息,不可避免地會出現(xiàn)個別品德不良、違反規(guī)則的人,防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”,它執(zhí)行站點(diǎn)的安全策略,僅僅容許“認(rèn)可的”和符合規(guī)則的請求通過。

(2)網(wǎng)絡(luò)使用進(jìn)行統(tǒng)計(jì)。因?yàn)榉阑饓κ撬羞M(jìn)出信息必須的通路,所以防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的惟一點(diǎn),防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄,對網(wǎng)絡(luò)存取訪問進(jìn)行統(tǒng)計(jì)。

(3)保護(hù)那些易受攻擊的服務(wù)。防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段的連接。這樣,能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。

(4)實(shí)施安全策略。防火墻是一個安全策略的檢查站,控制對特殊站點(diǎn)的訪問。所有進(jìn)出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點(diǎn),使可疑的訪問被拒絕。

(5)增強(qiáng)保密性。用來屏蔽有關(guān)網(wǎng)站系統(tǒng)的DNS信息。因此,網(wǎng)站系統(tǒng)名字和IP地址都不要提供到Internet上。

3 防火墻在校園網(wǎng)中的應(yīng)用

3.1校園網(wǎng)簡介

隨著因特網(wǎng)的發(fā)展,校園網(wǎng)已迅速的普及,不可避免的出現(xiàn)校園網(wǎng)的安全性問題,防火墻在校園網(wǎng)中也得到廣泛的應(yīng)用。某所學(xué)校建立一校園網(wǎng),校園網(wǎng)主要是給在校師生提供服務(wù)。其主要架構(gòu)是:Internet網(wǎng)首先接入到華為交換機(jī)2403,然后通過Juniper NetScreen防火墻連入到Cisco路由器,最后分布到校園本部以及分校,同時(shí)連接Web與郵件兩服務(wù)器。在此校園網(wǎng)中日用戶訪問量最高峰達(dá)到幾十萬個連接,總出口300M,提供游戲、電影、課件下載,以及bbs論壇、Web訪問等服務(wù)。通過一臺Juniper NetScreen防火墻提供防護(hù)。

3.2防火墻的設(shè)置

要求Juniper NetScreen防火墻能夠?qū)崿F(xiàn)的功能:①工作在防火墻透明模式;②實(shí)現(xiàn)MIP功能;③啟用IPSec VPN。

3.2.1防火墻透明模式配置

學(xué)校要求防火墻工作在透明模式下。當(dāng)Juniper NetScreen防火墻接口處于“透明”模式時(shí),防火墻將過濾通過的IP數(shù)據(jù)包,但不會修改IP數(shù)據(jù)包中任何信息。透明模式是一種保護(hù)內(nèi)部網(wǎng)絡(luò)從不可信源接收信息流的方便手段。使用模式有以下優(yōu)點(diǎn):

(1)不需要修改現(xiàn)有網(wǎng)絡(luò)規(guī)劃及配置。

(2)不需要實(shí)施地址翻譯。

(3)可以允許動態(tài)路由協(xié)議、Vlan trunking的數(shù)據(jù)包通過。

3.2.2MIP功能的配置

為了實(shí)現(xiàn)互聯(lián)網(wǎng)用戶訪問對外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器(服務(wù)器使用私有IP地址),可在Internet出口的防火墻上建立公網(wǎng)IP地址與服務(wù)器私有IP地址之間的一對一映射(MIP),并通過策略實(shí)現(xiàn)對服務(wù)器所提供服務(wù)進(jìn)行訪問控制。

3.2.3IPSec VPN配置

學(xué)校要求防火墻支持IPSec VPN,應(yīng)用站點(diǎn)間(Site-to Site)的VPN,創(chuàng)建的站點(diǎn)兩端都具備靜態(tài)IP公網(wǎng)地址。

當(dāng)創(chuàng)建站點(diǎn)兩端都具備靜態(tài)IP的VPN應(yīng)用中,位于兩端的防火墻上的VIP配置基本相同,不同之處是在VPNgateway部分的VPN網(wǎng)關(guān)指向IP不同,其它部分相同。

4 結(jié)語

防火墻與IDS 結(jié)合是將動態(tài)安全技術(shù)的實(shí)時(shí)、快速、自適應(yīng)的特點(diǎn)變成靜態(tài)技術(shù)的有效補(bǔ)充, 將靜態(tài)技術(shù)的包過濾、信任檢查、訪問控制成為動態(tài)技術(shù)的有力保障。二者結(jié)合使用可以很好的將對方的弱點(diǎn)淡化, 而將自己的優(yōu)點(diǎn)補(bǔ)充上去, 使防御系統(tǒng)成為一個更加堅(jiān)固的圍墻。在未來的網(wǎng)絡(luò)安全技術(shù)領(lǐng)域中, 將動態(tài)技術(shù)與靜態(tài)技術(shù)的互動使用, 將有很大的發(fā)展市場和空間。

參考文獻(xiàn):

[1] 張興東, 胡華平, 況曉輝, 等.防火墻與入侵檢測系統(tǒng)聯(lián)動的研究與實(shí)現(xiàn)[ J] .計(jì)算機(jī)工程與科學(xué),2004,26(4).

[2] 高光勇, 遲樂軍, 王艷春.聯(lián)動防火墻的主機(jī)入侵檢測系統(tǒng)的研究[J].微計(jì)算機(jī)信息,2005,21(7).

第5篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

    關(guān)鍵詞:網(wǎng)絡(luò) 安全策略 數(shù)據(jù) 訪問

    0 引言

    隨著我國經(jīng)濟(jì)與科技的不斷發(fā)展,企業(yè)數(shù)字化管理作為為網(wǎng)絡(luò)時(shí)代的產(chǎn)物,已經(jīng)成為企業(yè)管理發(fā)展的方向。隨著各企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長,企業(yè)內(nèi)部網(wǎng)安全問題已經(jīng)成為當(dāng)前各企業(yè)網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。

    1 目前企業(yè)內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀

    1.1 操作系統(tǒng)的安全問題 目前,被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是UNIX、WINDOWS 和Linux等,這些操作系統(tǒng)都存在各種各樣的安全問題,許多新型計(jì)算機(jī)病毒都是利用操作系統(tǒng)的漏洞進(jìn)行傳染。如不對操作系統(tǒng)進(jìn)行及時(shí)更新,彌補(bǔ)各種漏洞,計(jì)算機(jī)即使安裝了防毒軟件也會反復(fù)感染。

    1.2 病毒的破壞 計(jì)算機(jī)病毒影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓,是影響企業(yè)內(nèi)部網(wǎng)絡(luò)安全的主要因素。

    1.3 黑客 在《中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)》中,黑客的定義是:“對計(jì)算機(jī)系統(tǒng)進(jìn)行非授權(quán)訪問的人員”,這也是目前大多數(shù)人對黑客的理解。大多數(shù)黑客不會自己分析操作系統(tǒng)或應(yīng)用軟件的源代碼、找出漏洞、編寫工具,他們只是能夠靈活運(yùn)用手中掌握的十分豐富的現(xiàn)成工具。黑客入侵的常用手法有:端口監(jiān)聽、端口掃描、口令入侵、JAVA炸彈等。

    1.4 口令入侵 為管理方便,一般來說,企業(yè)為每個上網(wǎng)的領(lǐng)導(dǎo)和工人分配一個賬號,并根據(jù)其應(yīng)用范圍,分配相應(yīng)的權(quán)限。某些人員為了訪問不屬于自己應(yīng)該訪問的內(nèi)容,用不正常的手段竊取別人的口令,造成了企業(yè)管理的混亂及企業(yè)重要文件的外流。

    1.5 非正常途徑訪問或內(nèi)部破壞 在企業(yè)中,有人為了報(bào)復(fù)而銷毀或篡改人事檔案記錄;有人改變程序設(shè)置,引起系統(tǒng)混亂;有人越權(quán)處理公務(wù),為了個人私利竊取機(jī)密數(shù)據(jù)。這些安全隱患都嚴(yán)重地破壞了學(xué)校的管理秩序。

    1.6 設(shè)備受損 設(shè)備破壞主要是指對網(wǎng)絡(luò)硬件設(shè)備的破壞。企業(yè)內(nèi)部網(wǎng)絡(luò)涉及的設(shè)備分布在整個企業(yè)內(nèi),管理起來非常困難,任何安置在不能上鎖的地方的設(shè)施,都有可能被人有意或無意地?fù)p壞,這樣會造成企業(yè)內(nèi)部網(wǎng)絡(luò)全部或部分癱瘓的嚴(yán)重后果。

    1.7 敏感服務(wù)器使用的受限 由于財(cái)務(wù)等敏感服務(wù)器上存有大量重要數(shù)據(jù)庫和文件,因擔(dān)心安全性問題,不得不與企業(yè)內(nèi)部網(wǎng)絡(luò)物理隔離,使得應(yīng)用軟件不能發(fā)揮真正的作用。

    1.8 技術(shù)之外的問題 企業(yè)內(nèi)部網(wǎng)是一個比較特殊的網(wǎng)絡(luò)環(huán)境。隨著企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的擴(kuò)大,目前,大多數(shù)企業(yè)基本實(shí)現(xiàn)了科室辦公上網(wǎng)。由于上網(wǎng)地點(diǎn)的擴(kuò)大,使得網(wǎng)絡(luò)監(jiān)管更是難上加難。由于企業(yè)中部分員工對網(wǎng)絡(luò)知識很感興趣,而且具有相當(dāng)高的專業(yè)知識水平,有的員工上學(xué)時(shí)所學(xué)的專業(yè)甚至就是網(wǎng)絡(luò)安全,攻擊企業(yè)內(nèi)部網(wǎng)就成了他們表現(xiàn)才華,甚至是泄私憤的首選。其次,許多領(lǐng)導(dǎo)和員工的計(jì)算機(jī)網(wǎng)絡(luò)安全意識薄弱、安全知識缺乏。企業(yè)的規(guī)章制度還不夠完善,還不能夠有效的規(guī)范和約束領(lǐng)導(dǎo)和員工的上網(wǎng)行為。

    2 企業(yè)內(nèi)部網(wǎng)絡(luò)安全策略

    安全策略是指一個特定環(huán)境中,為保證提供一定級別的安全保護(hù)所必須遵守的規(guī)則。安全策略包括嚴(yán)格的管理、先進(jìn)的技術(shù)和相關(guān)的法律。安全策略決定采用何種方式和手段來保證網(wǎng)絡(luò)系統(tǒng)的安全。即首先要清楚自己需要什么,制定恰當(dāng)?shù)臐M足需求的策略方案,然后才考慮技術(shù)上如何實(shí)施。

    2.1 物理安全策略 保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個網(wǎng)絡(luò)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。其目的是保護(hù)計(jì)算機(jī)系統(tǒng)、web 服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路層網(wǎng)絡(luò)設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊等。它主要包括兩個方面:①環(huán)境安全。對系統(tǒng)所在環(huán)境的安全保護(hù), 確保計(jì)算機(jī)系統(tǒng)有一個良好的電磁兼容工作環(huán)境。②設(shè)備安全。包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護(hù)等。

    2.2 訪問控制策略 訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問, 它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。主要有以下七種方式:①入網(wǎng)訪問控制。入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制, 它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源;控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。②網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。③目錄級安全控制。網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。④屬性安全控制。當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí),網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。⑤網(wǎng)絡(luò)服務(wù)器安全控制。網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。⑥網(wǎng)絡(luò)監(jiān)測和鎖定控制。網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實(shí)施監(jiān)控,服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問,對非法的網(wǎng)絡(luò)訪問,服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警,以引起網(wǎng)絡(luò)管理員的注意。⑦網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。端口是虛擬的“門戶”,信息通過它進(jìn)入和駐留于計(jì)算機(jī)中,網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù),并以加密的形式來識別節(jié)點(diǎn)的身份。自動回呼設(shè)備用于防止假冒合法用戶,靜默調(diào)制解調(diào)器用以防范黑客的自動撥號程序?qū)τ?jì)算機(jī)進(jìn)行攻擊。

    2.3 防火墻控制策略 防火墻是近期發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機(jī)構(gòu)網(wǎng)絡(luò)的屏障。它是位于兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)(可能是軟件或硬件或者是兩者并用),用來限制外部非法(未經(jīng)許可)用戶訪問內(nèi)部網(wǎng)絡(luò)資源,通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò),以阻擋外部網(wǎng)絡(luò)的侵入,防止偷竊或起破壞作用的惡意攻擊。

    2.4 信息加密策略 信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。信息加密過程是由各種加密算法來具體實(shí)施。多數(shù)情況下,信息加密是保證信息機(jī)密性的唯一方法。

    2.5 備份和鏡像技術(shù) 用備份和鏡像技術(shù)提高完整性。備份技術(shù)指對需要保護(hù)的數(shù)據(jù)在另一個地方制作一個備份,一旦失去原件還能使用數(shù)據(jù)備份。鏡像技術(shù)是指兩個設(shè)備執(zhí)行完全相同的工作,若其中一個出現(xiàn)故障,另一個仍可以繼續(xù)工作。

    2.6 網(wǎng)絡(luò)安全管理規(guī)范 網(wǎng)絡(luò)安全技術(shù)的解決方案必須依賴安全管理規(guī)范的支持,在網(wǎng)絡(luò)安全中,除采用技術(shù)措施之外,加強(qiáng)網(wǎng)絡(luò)的安全管理,制定有關(guān)的規(guī)章制度,對于確保網(wǎng)絡(luò)安全、可靠地運(yùn)行將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入辦公室管理制度; 制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等

    2.7 網(wǎng)絡(luò)入侵檢測技術(shù) 試圖破壞信息系統(tǒng)的完整性、機(jī)密性、可信性的任何網(wǎng)絡(luò)活動,都稱為網(wǎng)絡(luò)入侵。入侵檢測(IntrusionDeteetion)的定義為:識別針對計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為,并對此做出反應(yīng)的過程。它不僅檢測來自外部的入侵行為,同時(shí)也檢測來自內(nèi)部用戶的未授權(quán)活動。入侵檢測應(yīng)用了以攻為守的策略,它所提供的數(shù)據(jù)不僅有可能用來發(fā)現(xiàn)合法用戶濫用特權(quán),還有可能在一定程度上提供追究入侵者法律責(zé)任的有效證據(jù)。

第6篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

網(wǎng)絡(luò)安全技術(shù)概述

常永亮

(飛行試驗(yàn)研究院測試所陜西西安710089)

【摘要】Internet是一種開放和標(biāo)準(zhǔn)的面向所有用戶的技術(shù)，其資源通過網(wǎng)絡(luò)共享，因此，資源共享和信息安全就成了一對矛盾。

【關(guān)鍵詞】網(wǎng)絡(luò)攻擊、安全預(yù)防、風(fēng)險(xiǎn)分析、網(wǎng)絡(luò)安全

1.引言

隨著網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)的安全性顯得非常重要，這是因?yàn)閼延袗阂獾墓粽吒`取、修改網(wǎng)絡(luò)上傳輸?shù)男畔ⅲㄟ^網(wǎng)絡(luò)非法進(jìn)入遠(yuǎn)程主機(jī)，獲取儲存在主機(jī)上的機(jī)密信息，或占用網(wǎng)絡(luò)資源，阻止其他用戶使用等。然而，網(wǎng)絡(luò)作為開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，因此，網(wǎng)絡(luò)安全技術(shù)作為一個獨(dú)特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。

一般來說，計(jì)算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性再加上網(wǎng)際協(xié)議的漏洞共同構(gòu)成了網(wǎng)絡(luò)的潛在威脅。隨著無線互聯(lián)網(wǎng)越來越普及的應(yīng)用，互聯(lián)網(wǎng)的安全性又很難在無線網(wǎng)上實(shí)施，因此，特別在構(gòu)建內(nèi)部網(wǎng)時(shí)，若忽略了無線設(shè)備的安全性則是一種重大失誤。

2.網(wǎng)絡(luò)攻擊及其防護(hù)技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然或惡意的原因遭到破壞、泄露，能確保網(wǎng)絡(luò)連續(xù)可靠的運(yùn)行。網(wǎng)絡(luò)安全其實(shí)就是網(wǎng)絡(luò)上的信息存儲和傳輸安全。

網(wǎng)絡(luò)的安全主要來自黑客和病毒攻擊，各類攻擊給網(wǎng)絡(luò)造成的損失已越來越大了，有的損失對一些企業(yè)已是致命的，僥幸心里已經(jīng)被提高防御取代，下面就攻擊和防御作簡要介紹。

2.1常見的攻擊有以下幾類：

2.1.1入侵系統(tǒng)攻擊

此類攻擊如果成功，將使你的系統(tǒng)上的資源被對方一覽無遺，對方可以直接控制你的機(jī)器。

2.1.2緩沖區(qū)溢出攻擊

程序員在編程時(shí)會用到一些不進(jìn)行有效位檢查的函數(shù)，可能導(dǎo)致黑客利用自編寫程序來進(jìn)一步打開安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當(dāng)發(fā)生緩沖區(qū)溢出時(shí)，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它的指令，如果這些指令是放在有root權(quán)限的內(nèi)存中，那么一旦這些指令得到了運(yùn)行，黑客就以root權(quán)限控制了系統(tǒng)，這樣系統(tǒng)的控制權(quán)就會被奪取，此類攻擊在LINUX系統(tǒng)常發(fā)生。在Windows系統(tǒng)下用戶權(quán)限本身設(shè)定不嚴(yán)謹(jǐn)，因此應(yīng)比在LINUX系統(tǒng)下更易實(shí)現(xiàn)。

2.1.3欺騙類攻擊

網(wǎng)絡(luò)協(xié)議本身的一些缺陷可以被利用，使黑客可以對網(wǎng)絡(luò)進(jìn)行攻擊，主要方式有：IP欺騙；ARP欺騙；DNS欺騙；Web欺騙；電子郵件欺騙；源路由欺騙；地址欺騙等。

2.1.4拒絕服務(wù)攻擊

通過網(wǎng)絡(luò)，也可使正在使用的計(jì)算機(jī)出現(xiàn)無響應(yīng)、死機(jī)的現(xiàn)象，這就是拒絕服務(wù)攻擊，簡稱DoS（DenialofService）。

分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu)，從許多分布的主機(jī)同時(shí)攻擊一個目標(biāo)，從而導(dǎo)致目標(biāo)癱瘓，簡稱DDoS（DistributedDenialofService）。

2.1.5對防火墻的攻擊

防火墻也是由軟件和硬件組成的，在設(shè)計(jì)和實(shí)現(xiàn)上都不可避免地存在著缺陷，對防火墻的攻擊方法也是多種多樣的，如探測攻擊技術(shù)、認(rèn)證的攻擊技術(shù)等。

2.1.6利用病毒攻擊

病毒是黑客實(shí)施網(wǎng)絡(luò)攻擊的有效手段之一，它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預(yù)見性和破壞性等特性，而且在網(wǎng)絡(luò)中其危害更加可怕，目前可通過網(wǎng)絡(luò)進(jìn)行傳播的病毒已有數(shù)萬種，可通過注入技術(shù)進(jìn)行破壞和攻擊。

2.1.7木馬程序攻擊

特洛伊木馬是一種直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限，安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)。

2.1.8網(wǎng)絡(luò)偵聽

網(wǎng)絡(luò)偵聽為主機(jī)工作模式，主機(jī)能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?。只要使用網(wǎng)絡(luò)監(jiān)聽工具，就可以輕易地截取所在網(wǎng)段的所有用戶口令和帳號等有用的信息資料。

等等?，F(xiàn)在的網(wǎng)絡(luò)攻擊手段可以說日新月異，隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，其開放性、共享性、互連程度擴(kuò)大，網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。計(jì)算機(jī)和網(wǎng)絡(luò)安全技術(shù)正變得越來越先進(jìn)，操作系統(tǒng)對本身漏洞的更新補(bǔ)救越來越及時(shí)。現(xiàn)在企業(yè)更加注意企業(yè)內(nèi)部網(wǎng)的安全，個人越來越注意自己計(jì)算機(jī)的安全?？梢哉f：只要有計(jì)算機(jī)和網(wǎng)絡(luò)的地方肯定是把網(wǎng)絡(luò)安全放到第一位。

網(wǎng)絡(luò)有其脆弱性，并會受到一些威脅。因而建立一個系統(tǒng)時(shí)進(jìn)行風(fēng)險(xiǎn)分析就顯得尤為重要了。風(fēng)險(xiǎn)分析的目的是通過合理的步驟，以防止所有對網(wǎng)絡(luò)安全構(gòu)成威脅的事件發(fā)生。因此，嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析是可靠和有效的安全防護(hù)措施制定的必要前提。網(wǎng)絡(luò)風(fēng)險(xiǎn)分析在系統(tǒng)可行性分析階段就應(yīng)進(jìn)行了。因?yàn)樵谶@階段實(shí)現(xiàn)安全控制要遠(yuǎn)比在網(wǎng)絡(luò)系統(tǒng)運(yùn)行后采取同樣的控制要節(jié)約的多。即使認(rèn)為當(dāng)前的網(wǎng)絡(luò)系統(tǒng)分析建立的十分完善，在建立安全防護(hù)時(shí)，風(fēng)險(xiǎn)分析還是會發(fā)現(xiàn)一些潛在的安全問題，從整體性、協(xié)同性方面構(gòu)建一個信息安全的網(wǎng)絡(luò)環(huán)境?？梢哉f網(wǎng)絡(luò)的安全問題是組織管理和決策。

2.2防御措施主要有以下幾種

2.2.1防火墻

防火墻是建立在被保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障，用于保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部兩個網(wǎng)絡(luò)之間建立一個安全控制點(diǎn)，對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進(jìn)行控制和審計(jì)。

2.2.2虛擬專用網(wǎng)

虛擬專用網(wǎng)（VPN）的實(shí)現(xiàn)技術(shù)和方式有很多，但是所有的VPN產(chǎn)品都應(yīng)該保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。如在非面向連接的公用IP網(wǎng)絡(luò)上建立一個隧道，利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)的私有性和安全性。此外，還需要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。

2.2.3虛擬局域網(wǎng)

選擇虛擬局域網(wǎng)(VLAN)技術(shù)可從鏈路層實(shí)施網(wǎng)絡(luò)安全。VLAN是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴，還可利用MAC層的數(shù)據(jù)包過濾技術(shù)，對安全性要求高的VLAN端口實(shí)施MAC幀過濾。而且，即使黑客攻破某一虛擬子網(wǎng)，也無法得到整個網(wǎng)絡(luò)的信息，但VLAN技術(shù)的局限在新的VLAN機(jī)制較好的解決了，這一新的VLAN就是專用虛擬局域網(wǎng)（PVLAN）技術(shù)。

2.2.4漏洞檢測

漏洞檢測就是對重要計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征。通常采用兩種策略，即被動式策略和主動式策略。被動式策略基于主機(jī)檢測，對系統(tǒng)中不合適的設(shè)置、口令以及其他同安全規(guī)則相背的對象進(jìn)行檢查；主動式策略基于網(wǎng)絡(luò)檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結(jié)果實(shí)際上就是系統(tǒng)安全性的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。漏洞檢測系統(tǒng)是防火墻的延伸，并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能，保證計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。

2.2.5入侵檢測

入侵檢測系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實(shí)時(shí)捕獲下來，檢查是否有黑客入侵或可疑活動的發(fā)生，一旦發(fā)現(xiàn)有黑客入侵或可疑活動的發(fā)生，系統(tǒng)將做出實(shí)時(shí)報(bào)警響應(yīng)。

2.2.6密碼保護(hù)

加密措施是保護(hù)信息的最后防線，被公認(rèn)為是保護(hù)信息傳輸唯一實(shí)用的方法。無論是對等還是不對等加密都是為了確保信息的真實(shí)和不被盜取應(yīng)用，但隨著計(jì)算機(jī)性能的飛速發(fā)展，破解部分公開算法的加密方法已變得越來越可能。因此，現(xiàn)在對加密算法的保密越來越重要，幾個加密方法的協(xié)同應(yīng)用會使信息保密性大大加強(qiáng)。

2.2.7安全策略

安全策略可以認(rèn)為是一系列政策的集合，用來規(guī)范對組織資源的管理、保護(hù)以及分配，已達(dá)到最終安全的目的。安全策略的制定需要基于一些安全模型。

2.2.8網(wǎng)絡(luò)管理員

網(wǎng)絡(luò)管理員在防御網(wǎng)絡(luò)攻擊方面也是非常重要的，雖然在構(gòu)建系統(tǒng)時(shí)一些防御措施已經(jīng)通過各種測試，但上面無論哪一條防御措施都有其局限性，只有高素質(zhì)的網(wǎng)絡(luò)管理員和整個網(wǎng)絡(luò)安全系統(tǒng)協(xié)同防御，才能起到最好的效果。

以上大概講了幾個網(wǎng)絡(luò)安全的策略，網(wǎng)絡(luò)安全基本要素是保密性、完整性和可用，但網(wǎng)絡(luò)的安全威脅與網(wǎng)絡(luò)的安全防護(hù)措施是交互出現(xiàn)的。不適當(dāng)?shù)木W(wǎng)絡(luò)安全防護(hù)，不僅可能不能減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，浪費(fèi)大量的資金，而且可能招致更大的安全威脅。一個好的安全網(wǎng)絡(luò)應(yīng)該是由主機(jī)系統(tǒng)、應(yīng)用和服務(wù)、路由、網(wǎng)絡(luò)、網(wǎng)絡(luò)管理及管理制度等諸多因數(shù)決定的，但所有的防御措施對信息安全管理者提出了挑戰(zhàn)，他們必須分析采用哪種產(chǎn)品能夠適應(yīng)長期的網(wǎng)絡(luò)安全策略的要求，而且必須清楚何種策略能夠保證網(wǎng)絡(luò)具有足夠的健壯性、互操作性并且能夠容易地對其升級。

隨著信息系統(tǒng)工程開發(fā)量越來越大，致使系統(tǒng)漏洞也成正比的增加，受到攻擊的次數(shù)也在增多。相對滯后的補(bǔ)救次數(shù)和成本也在增加，黑客與反黑客的斗爭已經(jīng)成為一場沒有結(jié)果的斗爭。

3.結(jié)論

網(wǎng)絡(luò)安全的管理與分析現(xiàn)已被提到前所未有的高度，現(xiàn)在IPv6已開始應(yīng)用，它設(shè)計(jì)的時(shí)候充分研究了以前IPv4的各種問題，在安全性上得到了大大的提高，但并不是不存在安全問題了。在WindowsVista的開發(fā)過程中，安全被提到了一個前所未有的重視高度，但微軟相關(guān)負(fù)責(zé)人還是表示，＂即使再安全的操作系統(tǒng)，安全問題也會一直存在＂。

總之，網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。因此只有完備的系統(tǒng)開發(fā)過程、嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析、嚴(yán)謹(jǐn)?shù)南到y(tǒng)測試、綜合的防御技術(shù)實(shí)施、嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才等各方面的綜合應(yīng)用才能完好、實(shí)時(shí)地保證信息的完整性和正確性，為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)——這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。

參考文獻(xiàn)

[1]《網(wǎng)絡(luò)綜合布線系統(tǒng)與施工技術(shù)》黎連業(yè)著

第7篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

關(guān)鍵詞：辦公網(wǎng)絡(luò)；安全策略；技術(shù)實(shí)現(xiàn)

0引言

計(jì)算機(jī)技術(shù)和信息技術(shù)快速發(fā)展背景下，以其獨(dú)特的優(yōu)勢被廣泛應(yīng)用在現(xiàn)代辦公中，促使現(xiàn)代辦公方式不斷改革深化，大大提升了辦公效率和質(zhì)量。由于辦公并不需要不同職務(wù)之間的面對面交流，僅僅依靠網(wǎng)絡(luò)即可實(shí)現(xiàn)通信，大范圍的實(shí)現(xiàn)信息資源的傳播和共享，可以有效降低信息傳播時(shí)間。同時(shí)，辦公領(lǐng)域得到了擴(kuò)大，實(shí)現(xiàn)各種類型信息內(nèi)容的傳輸，信息傳遞與共享不再局限于文字，進(jìn)一步涵蓋了圖片、音頻和視頻內(nèi)容，較之傳統(tǒng)辦公方式而言更加便捷、完整。但是，由于辦公網(wǎng)絡(luò)自身開放性特點(diǎn)，其中存在的安全隱患在不同程度上威脅著辦公信息安全，還需要繼續(xù)深化辦公網(wǎng)絡(luò)安全防護(hù)技術(shù)的研究，加強(qiáng)對其研究十分關(guān)鍵，對于后續(xù)工作開展具有一定參考價(jià)值。

1辦公網(wǎng)絡(luò)的結(jié)構(gòu)和特點(diǎn)

1.1辦公網(wǎng)絡(luò)的結(jié)構(gòu)

辦公網(wǎng)絡(luò)主要是由于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)構(gòu)成，其中外部網(wǎng)絡(luò)主要是用于同外部用戶溝通和交流，實(shí)現(xiàn)數(shù)據(jù)的采集和整理，內(nèi)部網(wǎng)絡(luò)則是用于企業(yè)內(nèi)部各個部門或是上下級之間的信息交互，實(shí)現(xiàn)更加高效的數(shù)據(jù)處理[1]。

1.2辦公網(wǎng)絡(luò)的特點(diǎn)

辦公網(wǎng)絡(luò)主要是應(yīng)用在文件和打印服務(wù)共享、信息管理系統(tǒng)和辦公自動化系統(tǒng)中，較之公用網(wǎng)絡(luò)而言，特點(diǎn)十分鮮明，包括以下幾個方面：（1）網(wǎng)絡(luò)應(yīng)用多。辦公網(wǎng)絡(luò)中不僅包括公眾網(wǎng)絡(luò)中的應(yīng)用，同時(shí)還包括一些專項(xiàng)的應(yīng)用程序，包括MIS和OA等，這就對辦公網(wǎng)絡(luò)的系統(tǒng)管理人員和工作人員專業(yè)素質(zhì)水平提出了更高層次的要求。（2）用戶類型多。辦公網(wǎng)絡(luò)中的用戶數(shù)量沒有公眾網(wǎng)絡(luò)用戶數(shù)量多，但是由于辦公網(wǎng)絡(luò)應(yīng)用系統(tǒng)多，所以系統(tǒng)內(nèi)部關(guān)系十分復(fù)雜，不同的用戶擁有不同的權(quán)限。（3）網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。辦公網(wǎng)絡(luò)主要是根據(jù)部門和工作流程來劃分邏輯子網(wǎng)，不同的子網(wǎng)之間存在不同的控制策略，這就需要充分把握網(wǎng)絡(luò)物理結(jié)構(gòu)和邏輯結(jié)構(gòu)。（4）系統(tǒng)安全性高。辦公網(wǎng)絡(luò)其中傳輸?shù)男畔①Y源私密性更高，其中包括很多商業(yè)機(jī)密文件和重要的管理決策，所以為了保證信息安全，我們需要選擇合理有效手段進(jìn)行安全防護(hù)[2]。

2辦公網(wǎng)絡(luò)中的安全威脅

辦公網(wǎng)絡(luò)中存在的安全隱患較為多樣、復(fù)雜，其中主要的安全隱患主要可以分為以下三種，即系統(tǒng)本身安全漏洞，出現(xiàn)故障問題埋下的安全隱患；網(wǎng)絡(luò)防護(hù)措施不合理，為黑客帶來了可趁之機(jī)；網(wǎng)絡(luò)使用者操作中不當(dāng)，埋下安全隱患。

2.1系統(tǒng)安全漏洞

計(jì)算機(jī)在系統(tǒng)編程中，程序員的一點(diǎn)小失誤可能導(dǎo)致后續(xù)計(jì)算機(jī)系統(tǒng)運(yùn)行中出現(xiàn)安全隱患，這些漏洞盡管平時(shí)在計(jì)算機(jī)系統(tǒng)中并無明顯的影響，但是如果用戶使用相關(guān)功能時(shí)，將導(dǎo)致功能無法使用或是系統(tǒng)崩潰等等，造成數(shù)據(jù)資料被損壞。需要注意的是，漏洞是一種普遍存在的現(xiàn)象，漏洞本身并不會為用戶帶來損失，而是某些黑客或不法分子利用漏洞來竊取用戶私密信息，攻擊計(jì)算機(jī)，致使計(jì)算機(jī)系統(tǒng)無法正常使用，帶來十分嚴(yán)重的經(jīng)濟(jì)損失[3]。

2.2計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是一種破壞計(jì)算機(jī)系統(tǒng)穩(wěn)定性的攻擊手段，潛藏在計(jì)算機(jī)程序和軟件中，在被執(zhí)行中操作，從而影響計(jì)算機(jī)正常性能發(fā)揮的程序。一般情況下，計(jì)算機(jī)病毒通過復(fù)制、傳輸信息和運(yùn)行程度來傳播病毒，在使用中，硬盤和軟盤都可能造成病毒傳播。計(jì)算機(jī)病毒對于計(jì)算機(jī)的危害程度存在不同的差異，影響電腦運(yùn)行速度，影響辦公效率，嚴(yán)重情況下則是造成重要數(shù)據(jù)文件損壞，計(jì)算機(jī)系統(tǒng)崩潰和硬件損壞，帶來嚴(yán)重的損失。在現(xiàn)代辦公環(huán)境中，計(jì)算機(jī)病毒更多的是通過網(wǎng)絡(luò)傳播，為網(wǎng)絡(luò)信息埋下了一系列安全隱患[4]。

2.3黑客攻擊

黑客攻擊是當(dāng)前危害計(jì)算機(jī)網(wǎng)絡(luò)安全的一個主要問題，主要是指熟練計(jì)算機(jī)操作的黑客，通過高水平的計(jì)算機(jī)技術(shù)應(yīng)用在不良用途上，針對計(jì)算機(jī)系統(tǒng)漏洞，有針對性的進(jìn)行攻擊，致使網(wǎng)絡(luò)癱瘓和系統(tǒng)崩潰，無法正常使用，重要數(shù)據(jù)信息丟失。此類攻擊對于網(wǎng)絡(luò)正常運(yùn)行帶來的影響較大，將嚴(yán)重破壞信息有效性；也可能對網(wǎng)絡(luò)不產(chǎn)生直接的影響，直接竊取重要數(shù)據(jù)信息。這種惡意攻擊對于計(jì)算機(jī)網(wǎng)絡(luò)安全帶來的危害較大，致使對用戶造成了不同程度上的損失。

2.4網(wǎng)絡(luò)安全管理力度不足

網(wǎng)絡(luò)是一種更加便捷的溝通平臺，由于計(jì)算機(jī)網(wǎng)絡(luò)開放性特點(diǎn)，致使網(wǎng)絡(luò)中潛在一系列安全隱患，為了加強(qiáng)網(wǎng)絡(luò)安全性，應(yīng)該進(jìn)一步加強(qiáng)對網(wǎng)絡(luò)安全管理?；诖耍嵘W(wǎng)絡(luò)安全認(rèn)知水平，對網(wǎng)絡(luò)工作有一個全方位的了解，明確網(wǎng)絡(luò)安全重要性，及時(shí)清理網(wǎng)絡(luò)病毒和垃圾。此外，網(wǎng)絡(luò)體制不健全，網(wǎng)絡(luò)安全技術(shù)不足，導(dǎo)致很多網(wǎng)絡(luò)病毒和系統(tǒng)漏洞產(chǎn)生，為辦公網(wǎng)絡(luò)帶來了嚴(yán)重的威脅。

3網(wǎng)絡(luò)安全策略和實(shí)現(xiàn)技術(shù)

3.1系統(tǒng)安全

應(yīng)該加強(qiáng)系統(tǒng)安全檢測力度。系統(tǒng)安全是辦公網(wǎng)絡(luò)安全的基礎(chǔ)所在，維護(hù)系統(tǒng)安全，主要是針對用戶的計(jì)算機(jī)系統(tǒng)而言。計(jì)算機(jī)系統(tǒng)并非是十分完美的，其中潛藏的系統(tǒng)漏洞在無形中威脅著用戶計(jì)算機(jī)系統(tǒng)安全，加強(qiáng)對系統(tǒng)安全的檢測力度是一種行之有效的方式。一般情況下，對計(jì)算機(jī)系統(tǒng)的安全檢測，主要是分為動態(tài)檢測和靜態(tài)檢測兩種方法，其中靜態(tài)分析技術(shù)是指對計(jì)算機(jī)程序和源代碼檢測，尋求計(jì)算機(jī)系統(tǒng)中存在的安全隱患，并予以修復(fù)和完善[5]。在衡量系統(tǒng)安全時(shí)，漏報(bào)率和誤報(bào)率是主要的衡量指標(biāo)，這兩個指標(biāo)之間存在密切的聯(lián)系，如果一個指標(biāo)降低，另一個指標(biāo)將隨之升高。這種靜態(tài)指標(biāo)在實(shí)際應(yīng)用中，并不需要軟件運(yùn)行檢測，使用更為便捷和便利，但是對于計(jì)算機(jī)程序重要性無法做出準(zhǔn)確分析，最終得到的結(jié)果可能同實(shí)際情況存在一定差距。動態(tài)檢測技術(shù)則是指優(yōu)化軟件運(yùn)行環(huán)境，修改內(nèi)存大小，程序保密性得到了顯著的提升，以此來實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)安全維護(hù)。兩種方法在優(yōu)劣對比中，動態(tài)更為合理，可以有效保證網(wǎng)絡(luò)安全。

3.2做好漏洞防護(hù)

漏洞的形成是受到多方因素影響，選擇的保護(hù)措施同樣存在差異，在防止格式化字符串的漏洞中，一般情況下主要是采用格式量化方法，可以有效的降低字符串被攻擊的幾率，提升漏洞檢測效果。防止競爭條件漏洞，從競爭代碼進(jìn)行分析，通過操作代碼實(shí)現(xiàn)原子化操作，鎖定代碼，降低對軟件運(yùn)行帶來的影響。

3.3網(wǎng)絡(luò)安全

采用信息加密技術(shù)，從數(shù)據(jù)終端和節(jié)點(diǎn)加密處理，維護(hù)信息安全和數(shù)據(jù)傳輸安全；節(jié)點(diǎn)加密則是對數(shù)據(jù)傳輸通道的保護(hù)，從源節(jié)點(diǎn)到節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)安全。同時(shí)，還應(yīng)該加強(qiáng)賬號信息保護(hù)，尤其是網(wǎng)上銀行賬號和電子郵件賬號，加固賬號安全性是必然選擇?；诖?，可以提升密碼的而復(fù)雜程度，通過數(shù)字、字母和符號的組合，提升密碼破譯難度；加大安全技術(shù)管理，轉(zhuǎn)變傳統(tǒng)網(wǎng)絡(luò)安全認(rèn)知，明確網(wǎng)絡(luò)安全重要性，做好網(wǎng)絡(luò)安全防范工作，同時(shí)對于違法犯罪行為加大懲處力度，營造良好的網(wǎng)絡(luò)環(huán)境。

4結(jié)論

綜上所述，信息時(shí)代背景下，網(wǎng)絡(luò)信息安全是一個不可忽視的問題，同人們的日常生活存在密切聯(lián)系。在辦公網(wǎng)絡(luò)中，為了維護(hù)辦公信息安全，降低辦公網(wǎng)絡(luò)風(fēng)險(xiǎn)，應(yīng)該注重架起網(wǎng)絡(luò)安全和使用安全，做好漏洞防護(hù)和信息加密工作，以降低辦公網(wǎng)絡(luò)風(fēng)險(xiǎn)。

參考文獻(xiàn)：

[1]李結(jié)松.辦公網(wǎng)絡(luò)安全策略研究及技術(shù)實(shí)現(xiàn)[J].計(jì)算機(jī)與現(xiàn)代化，2012.

[2]陳肖飛.高校辦公網(wǎng)絡(luò)數(shù)據(jù)安全問題與策略研究[J].教育信息化（學(xué)術(shù)版），2016.

[3]丁美榮，魏海亮.基于B/S和C/S混合模式的辦公自動化系統(tǒng)的網(wǎng)絡(luò)安全策略研究[J].計(jì)算機(jī)與現(xiàn)代化，2014.

[4]張秋余，袁占亭，馮濤等.辦公自動化系統(tǒng)的設(shè)計(jì)與安全策略研究[J].蘭州理工大學(xué)學(xué)報(bào)，2014.

第8篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

一、背景分析

提起網(wǎng)絡(luò)信息安全，人們自然就會想到病毒破壞和黑客攻擊。其實(shí)不然，政府和企業(yè)因信息被竊取所造成的損失遠(yuǎn)遠(yuǎn)超過病毒破壞和黑客攻擊所造成的損失，據(jù)權(quán)威機(jī)構(gòu)調(diào)查：三分之二以上的安全威脅來自泄密和內(nèi)部人員犯罪，而非病毒和外來黑客引起。

目前，政府、企業(yè)等社會組織在網(wǎng)絡(luò)安全防護(hù)建設(shè)中，普遍采用傳統(tǒng)的內(nèi)網(wǎng)邊界安全防護(hù)技術(shù)，即在組織網(wǎng)絡(luò)的邊緣設(shè)置網(wǎng)關(guān)型邊界防火墻、AAA認(rèn)證、入侵檢測系統(tǒng)IDS等等網(wǎng)絡(luò)邊界安全防護(hù)技術(shù)，對網(wǎng)絡(luò)入侵進(jìn)行監(jiān)控和防護(hù)，抵御來自組織外部攻擊、防止組織網(wǎng)絡(luò)資源、信息資源遭受損失，保證組織業(yè)務(wù)流程的有效進(jìn)行。

這種解決策略是針對外部入侵的防范，對于來自網(wǎng)絡(luò)內(nèi)部的對企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護(hù)卻無任何作用。對于那些需要經(jīng)常移動的終端設(shè)備在安全防護(hù)薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障，企業(yè)基于網(wǎng)絡(luò)邊界的安全防護(hù)技術(shù)就更是鞭長莫及了，由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面，企業(yè)中經(jīng)常會有人私自以Modem撥號方式、手機(jī)或無線網(wǎng)卡等方式上網(wǎng)，而這些機(jī)器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網(wǎng)絡(luò)VPN、無線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用程序的各種漏洞就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò)，發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機(jī)以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。

二、內(nèi)網(wǎng)安全風(fēng)險(xiǎn)分析

現(xiàn)代企業(yè)的網(wǎng)絡(luò)環(huán)境是建立在當(dāng)前飛速發(fā)展的開放網(wǎng)絡(luò)環(huán)境中，顧名思義，開放的環(huán)境既為信息時(shí)代的企業(yè)提供與外界進(jìn)行交互的窗口，同時(shí)也為企業(yè)外部提供了進(jìn)入企業(yè)最核心地帶——企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網(wǎng)絡(luò)面臨種種威脅和風(fēng)險(xiǎn)：病毒、蠕蟲對系統(tǒng)的破壞；系統(tǒng)軟件、應(yīng)用軟件自身的安全漏洞為不良企圖者所利用來竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識、安全知識、安全技能的匱乏，導(dǎo)致企業(yè)安全策略不能真正的得到很好的落實(shí)，開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來巨大的威脅。

1.病毒、蠕蟲入侵

目前，開放網(wǎng)絡(luò)面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點(diǎn)，即使再先進(jìn)的防病毒軟件、入侵檢測技術(shù)也不能獨(dú)立有效地完成安全防護(hù)，特別是對新類型新變種的病毒、蠕蟲，防護(hù)技術(shù)總要相對落后于新病毒新蠕蟲的入侵。

病毒、蠕蟲很容易通過各種途徑侵入企業(yè)的內(nèi)部網(wǎng)絡(luò)，除了利用企業(yè)網(wǎng)絡(luò)安全防護(hù)措施的漏洞外，最大的威脅卻是來自于內(nèi)部網(wǎng)絡(luò)用戶的各種危險(xiǎn)應(yīng)用：不安裝殺毒軟件；安裝殺毒軟件但不及時(shí)升級；網(wǎng)絡(luò)用戶在安裝完自己的辦公桌面系統(tǒng)后，未采取任何有效防護(hù)措施就連接到危險(xiǎn)的網(wǎng)絡(luò)環(huán)境中，特別是Internet；移動用戶計(jì)算機(jī)連接到各種情況不明網(wǎng)絡(luò)環(huán)境，在沒有采取任何防護(hù)措施的情況下又連入企業(yè)網(wǎng)絡(luò)；桌面用戶在終端使用各種數(shù)據(jù)介質(zhì)、軟件介質(zhì)等等都可能將病毒、蠕蟲在不知不覺中帶入到企業(yè)網(wǎng)絡(luò)中，給企業(yè)信息基礎(chǔ)設(shè)施，企業(yè)業(yè)務(wù)帶來無法估量的損失。

2.軟件漏洞隱患

企業(yè)網(wǎng)絡(luò)通常由數(shù)量龐大、種類繁多的軟件系統(tǒng)組成，有系統(tǒng)軟件、數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件等等，尤其是存在于廣大終端用戶辦公桌面上的各種應(yīng)用軟件不勝繁雜，每一個軟件系統(tǒng)都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用，都會給企業(yè)帶來危害，輕者危及個別設(shè)備，重者成為攻擊整個企業(yè)網(wǎng)絡(luò)媒介，危及整個企業(yè)網(wǎng)絡(luò)安全。

3.系統(tǒng)安全配置薄弱

企業(yè)網(wǎng)絡(luò)建設(shè)中應(yīng)用的各種軟件系統(tǒng)都有各自默認(rèn)的安全策略增強(qiáng)的安全配置設(shè)置，例如，賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應(yīng)用對于各種軟件系統(tǒng)自身的安全防護(hù)的增強(qiáng)具有重要作用，但在實(shí)際的企業(yè)網(wǎng)絡(luò)環(huán)境中，這些安全配置卻被忽視，尤其是那些網(wǎng)絡(luò)的終端用戶，導(dǎo)致軟件系統(tǒng)的安全配置成為“軟肋”、有時(shí)可能嚴(yán)重為配置漏洞，完全暴露給整個外部。例如某些軟件系統(tǒng)攻擊中采用的“口令強(qiáng)制攻擊”就是利用了弱口令習(xí)慣性的使用安全隱患，黑客利用各種網(wǎng)絡(luò)應(yīng)用默認(rèn)安裝中向外部提供的有限信息獲取攻擊的必要信息等等。

4.脆弱的網(wǎng)絡(luò)接入安全防護(hù)

傳統(tǒng)的網(wǎng)絡(luò)訪問控制都是在企業(yè)網(wǎng)絡(luò)邊界進(jìn)行的，或在不同的企業(yè)內(nèi)網(wǎng)不同子網(wǎng)邊界進(jìn)行且在網(wǎng)絡(luò)訪問用戶的身份被確認(rèn)后，用戶即可以對企業(yè)內(nèi)網(wǎng)進(jìn)行各種訪問操作。在這樣一個訪問控制策略中存在無限的企業(yè)網(wǎng)絡(luò)安全漏洞，例如，企業(yè)網(wǎng)絡(luò)的合法移動用戶在安全防護(hù)較差的外網(wǎng)環(huán)境中使用VPN連接、遠(yuǎn)程撥號、無線AP，以太網(wǎng)接入等等網(wǎng)絡(luò)接入方式，在外網(wǎng)和企業(yè)內(nèi)網(wǎng)之間建立一個安全通道。

另一個傳統(tǒng)網(wǎng)絡(luò)訪問控制問題來自企業(yè)網(wǎng)絡(luò)內(nèi)部，尤其對于大型企業(yè)網(wǎng)絡(luò)擁有成千上萬的用戶終端，使用的網(wǎng)絡(luò)應(yīng)用層出不窮，目前對于企業(yè)網(wǎng)管很難準(zhǔn)確的控制企業(yè)網(wǎng)絡(luò)的應(yīng)用，這樣的現(xiàn)實(shí)導(dǎo)致安全隱患的產(chǎn)生：員工使用未經(jīng)企業(yè)允許的網(wǎng)絡(luò)應(yīng)用，如郵件服務(wù)器收發(fā)郵件，這就可能使企業(yè)的保密數(shù)據(jù)外泄或感染郵件病毒；企業(yè)內(nèi)部員工在終端上私自使用未經(jīng)允許的網(wǎng)絡(luò)應(yīng)用程序，在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件，從而感染內(nèi)部網(wǎng)絡(luò)，進(jìn)而造成內(nèi)部網(wǎng)絡(luò)中敏感數(shù)據(jù)的泄密或損毀。

5.企業(yè)網(wǎng)絡(luò)入侵

現(xiàn)階段黑客攻擊技術(shù)細(xì)分下來共有8類，分別為入侵系統(tǒng)類攻擊、緩沖區(qū)溢出攻擊、欺騙類攻擊、拒絕服務(wù)攻擊、對防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。

對于采取各種傳統(tǒng)安全防護(hù)措施的企業(yè)內(nèi)網(wǎng)來說，都沒有萬無一失的把握;對于從企業(yè)內(nèi)網(wǎng)走出到安全防護(hù)薄弱的外網(wǎng)環(huán)境的移動用戶來說，安全保障就會嚴(yán)重惡化，當(dāng)移動用戶連接到企業(yè)內(nèi)網(wǎng)，就會將各種網(wǎng)絡(luò)入侵帶入企業(yè)網(wǎng)絡(luò)。

6.終端用戶計(jì)算機(jī)安全完整性缺失

隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展，越來越多的員工會在企業(yè)專網(wǎng)以外使用計(jì)算機(jī)辦公，同時(shí)這些移動員工需要連接回企業(yè)的內(nèi)部網(wǎng)絡(luò)獲取工作必須的數(shù)據(jù)。由于這些移動用戶處于專網(wǎng)的保護(hù)之外，很有可能被黑客攻陷或感染網(wǎng)絡(luò)病毒。同時(shí)，企業(yè)現(xiàn)有的安全投資（如：防病毒軟件、各種補(bǔ)丁程序、安全配置等）若處于不正常運(yùn)行狀態(tài)，終端員工沒有及時(shí)更新病毒特征庫，或私自卸載安全軟件等，將成為黑客攻擊內(nèi)部網(wǎng)絡(luò)的跳板。

三、內(nèi)網(wǎng)安全實(shí)施策略

1.多層次的病毒、蠕蟲防護(hù)

病毒、蠕蟲破壞網(wǎng)絡(luò)安全事件一直以來在網(wǎng)絡(luò)安全領(lǐng)域就沒有一個根本的解決辦法，其中的原因是多方面的，有人為的原因，如不安裝防殺病毒軟件，病毒庫未及時(shí)升級等等，也有技術(shù)上的原因，殺毒軟件、入侵防范系統(tǒng)等安全技術(shù)對新類型、新變異的病毒、蠕蟲的防護(hù)往往要落后一步。危害好像是無法避免的，但我們可以控制它的危害程度，只要我們針對不同的原因采取有針對性的切實(shí)有效的防護(hù)辦法，就會使病毒、蠕蟲對企業(yè)的危害減少到最低限度，甚至沒有危害。這樣，僅靠單一、簡單的防護(hù)技術(shù)是難以防護(hù)病毒、蠕蟲的威脅的。

2.終端用戶透明、自動化的補(bǔ)丁管理，安全配置

為了彌補(bǔ)和糾正運(yùn)行在企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件、應(yīng)用軟件的安全漏洞，使整個企業(yè)網(wǎng)絡(luò)安全不至由于個別軟件系統(tǒng)的漏洞而受到危害，完全必要在企業(yè)的安全管理策略中加強(qiáng)對補(bǔ)丁升級、系統(tǒng)安全配置的管理。

用戶可通過管理控制臺集中管理企業(yè)網(wǎng)絡(luò)終端設(shè)備的軟件系統(tǒng)的補(bǔ)丁升級、系統(tǒng)配置策略，定義終端補(bǔ)丁下載。將補(bǔ)丁升級策略、增強(qiáng)終端系統(tǒng)安全配置策略下發(fā)給運(yùn)行于各終端設(shè)備上的安全，安全執(zhí)行這些策略，以保證終端系統(tǒng)補(bǔ)丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明，減少了終端用戶的麻煩和企業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，提高企業(yè)網(wǎng)絡(luò)整體的補(bǔ)丁升級、安全配置管理效率和效用，使企業(yè)網(wǎng)絡(luò)的補(bǔ)丁及安全配置管理策略得到有效的落實(shí)。

3.全面的網(wǎng)絡(luò)準(zhǔn)入控制

為了解決傳統(tǒng)的外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)給企業(yè)網(wǎng)絡(luò)帶來的安全隱患，以及企業(yè)網(wǎng)絡(luò)安全管理人員無法控制內(nèi)部員工網(wǎng)絡(luò)行為給企業(yè)網(wǎng)絡(luò)帶來的安全問題，除了有效的解決企業(yè)員工從企業(yè)內(nèi)網(wǎng)、外網(wǎng)以各種網(wǎng)絡(luò)接入方式接入企業(yè)網(wǎng)絡(luò)的訪問控制問題，同時(shí)對傳統(tǒng)的網(wǎng)絡(luò)邊界訪問控制沒有解決的網(wǎng)絡(luò)接入安全防護(hù)措施，而采用邊界準(zhǔn)入控制、接入層準(zhǔn)入控制等技術(shù)進(jìn)行全面的實(shí)現(xiàn)準(zhǔn)入控制。當(dāng)外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)時(shí)，檢查客戶端的安全策略狀態(tài)是否符合企業(yè)整體安全策略，對于符合的外網(wǎng)訪問則放行。一個全面的網(wǎng)絡(luò)準(zhǔn)入檢測系統(tǒng)。

第9篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

關(guān)鍵詞：網(wǎng)絡(luò)；安全；數(shù)據(jù)包；防火墻；入侵防御；防病毒網(wǎng)關(guān)

網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀

目前我們使用各種網(wǎng)絡(luò)安全技術(shù)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)，以降低惡意軟件和各種攻擊給企業(yè)帶來的風(fēng)險(xiǎn)。使用的網(wǎng)絡(luò)安全技術(shù)大致可以分為四類：

1. 數(shù)據(jù)包層保護(hù)：如路由器的訪問控制列表和無狀態(tài)防火墻；

2. 會話層保護(hù)：如狀態(tài)檢測防火墻；

3. 應(yīng)用層保護(hù)：如防火墻和入侵防御系統(tǒng)；

4. 文件層保護(hù)：如防病毒網(wǎng)關(guān)系統(tǒng)。

在表-1中對四類網(wǎng)絡(luò)安全技術(shù)進(jìn)行了比較，并且評估各種技術(shù)涉及的協(xié)議，安全機(jī)制，以及這些技術(shù)對網(wǎng)絡(luò)性能的影響。

表-1 網(wǎng)絡(luò)安全技術(shù)的比較

數(shù)據(jù)包過濾保護(hù)

數(shù)據(jù)包過濾保護(hù)是目前應(yīng)用最廣的控制網(wǎng)絡(luò)訪問的一種方式。這種技術(shù)的原理很簡單：通過比較數(shù)據(jù)包頭的基本信息來確定數(shù)據(jù)包是否允許通過。Cisco IOS的訪問控制列表（ACL）是應(yīng)用最廣泛的一種包過濾工具。Linux操作系統(tǒng)中的IPChains也是一種常用的包過濾工具。

對于某些應(yīng)用協(xié)議，在傳輸數(shù)據(jù)時(shí)，需要服務(wù)器和客戶端協(xié)商一個隨機(jī)的端口。例如FTP，RPC和H323.包過濾設(shè)備不能保護(hù)此類協(xié)議。為了保證此類應(yīng)用的數(shù)據(jù)包通過包過濾設(shè)備，需要在訪問控制列表上打開一個比較大的"漏洞"，這樣也就消弱了包過濾系統(tǒng)的保護(hù)作用。

狀態(tài)檢測防火墻

會話層的保護(hù)技術(shù)通過追蹤客戶端和服務(wù)器之間的會話狀態(tài)來控制雙向的數(shù)據(jù)流。狀態(tài)檢測防火墻記錄會話狀態(tài)信息，而且安全策略是也是對會話狀態(tài)的允許或拒絕。對于基于面向連接的TCP協(xié)議應(yīng)用程序，狀態(tài)檢測防火墻提供更豐富的安全策略：

1. 直接丟棄來自客戶端/服務(wù)器的數(shù)據(jù)包；

2. 向客戶端，或服務(wù)器，或者雙方發(fā)送RST包，從而關(guān)閉整個TCP連接；

3. 提供基本的QoS功能。

狀態(tài)檢測防火墻能夠監(jiān)測到客戶端和服務(wù)器之間的動態(tài)端口的協(xié)商，從而能夠控制動態(tài)協(xié)議的數(shù)據(jù)流。 例如，對于FTP協(xié)議，狀態(tài)檢測防火墻通過監(jiān)測控制會話中的協(xié)商動態(tài)端口的命令，從而控制它的數(shù)據(jù)會話的數(shù)據(jù)傳輸。

應(yīng)用層保護(hù)

為了實(shí)現(xiàn)應(yīng)用層保護(hù)，需要兩個重要的技術(shù)：應(yīng)用層協(xié)議分析器和內(nèi)容匹配技術(shù)。應(yīng)用層保護(hù)技術(shù)通過應(yīng)用層協(xié)議分析器分析數(shù)據(jù)流的，從而過濾掉應(yīng)用。目前，安全設(shè)備廠商提供多種安全產(chǎn)品提供應(yīng)用層保護(hù)技術(shù)，其中部署比較廣泛的產(chǎn)品有：入侵防御系統(tǒng)、Proxy防火墻。

1．入侵檢測

入侵檢測技術(shù)是一種主動保護(hù)自己免受黑客攻擊的一種新型網(wǎng)絡(luò)安全技術(shù)。入侵檢測技術(shù)不但可以幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，而且擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的苦干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。此外，它還可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測及采取相應(yīng)的防護(hù)手段，是網(wǎng)絡(luò)安全中極其重要的部分。

入侵防御系統(tǒng)根據(jù)網(wǎng)絡(luò)流量的IP地址，網(wǎng)絡(luò)協(xié)議和應(yīng)用層的分析和檢測決定是否允許或拒絕網(wǎng)絡(luò)訪問。入侵防御系統(tǒng)接受數(shù)據(jù)包后，需要重組數(shù)據(jù)包，分析應(yīng)用協(xié)議的命令和原語，然后發(fā)現(xiàn)可疑的網(wǎng)絡(luò)攻擊的特征碼。如果監(jiān)測到網(wǎng)絡(luò)攻擊的特征碼，則執(zhí)行預(yù)定策略的動作。這些動作可以是入侵日志，中斷連接，或者禁止特定的應(yīng)用協(xié)議的某些行為（例如，禁止使用MSN傳輸文件）。

2. 防火墻

防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻。這種防火墻通過一種技術(shù)參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是 源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是服務(wù)器技術(shù)。

防火墻在網(wǎng)絡(luò)中客戶端訪問網(wǎng)絡(luò)服務(wù)屏蔽客戶端和服務(wù)器之間的直接通信。首先客戶端和防火墻建立連接，并且防火墻和遠(yuǎn)程服務(wù)器建立連接。然后防火墻轉(zhuǎn)發(fā)雙方發(fā)送的數(shù)據(jù)。

防火墻和入侵防御系統(tǒng)都需要具有分片重組和TCP包重組功能，并且能夠丟棄異常網(wǎng)絡(luò)層數(shù)據(jù)包。這些異常的數(shù)據(jù)包可能被用于隱藏網(wǎng)絡(luò)入侵。應(yīng)用層安全產(chǎn)品具有理解應(yīng)用協(xié)議的命令和原語的能力，這能夠使應(yīng)用層安全產(chǎn)品監(jiān)測到異常的應(yīng)用層內(nèi)容。然而這些產(chǎn)品卻受限于它們支持的應(yīng)用層協(xié)議。對于常用的防火墻，僅支持一般的互聯(lián)網(wǎng)協(xié)議，如HTTP，F(xiàn)TP，EMAIL，TELNET，RLOGIN等。入侵防御系統(tǒng)支持更廣泛的應(yīng)用協(xié)議。

防火墻和入侵防御系統(tǒng)通過分析應(yīng)用協(xié)議，可以監(jiān)測某些病毒和木馬。例如，入侵防御系統(tǒng)通過分析EMAIL中的主體，附件文件名，以及附件的文件類型來監(jiān)測某些已知的病毒。但是應(yīng)用層安全保護(hù)不能進(jìn)行文件層面，更深入的監(jiān)測。文件層的安全監(jiān)測可以發(fā)現(xiàn)更多的惡意代碼。

現(xiàn)今有許多應(yīng)用程序是以網(wǎng)頁應(yīng)用服務(wù)(Web Application)方式呈現(xiàn)的，所使用的HTTP端口。此外，許多軟件開發(fā)人員已經(jīng)懂得在開發(fā)應(yīng)用程序時(shí)透過這些端口，以規(guī)避狀態(tài)檢測防火墻的阻擋。狀態(tài)檢測防火墻把透過這兩個端口傳輸?shù)姆?wù)?當(dāng)成WWW服務(wù)，因此無法?解并控制在網(wǎng)絡(luò)上使用的應(yīng)用程序。