企業(yè)網(wǎng)絡(luò)安全預案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)網(wǎng)絡(luò)安全預案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)網(wǎng)絡(luò)安全預案范文

關(guān)鍵詞：網(wǎng)絡(luò)安全 網(wǎng)絡(luò)管理

中國擁有四千萬中小企業(yè)，據(jù)權(quán)威部門調(diào)研發(fā)現(xiàn)，90%以上的中小企業(yè)至少都已經(jīng)建立了內(nèi)部網(wǎng)絡(luò)。但是，隨之而來的，就是企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性問題。多核、萬兆安全、云安全這些新技術(shù)對于他們而言或許過于高端，中小企業(yè)應該如何進行網(wǎng)絡(luò)安全管理？又該從哪入手呢？

1 企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)的三原則

在企業(yè)網(wǎng)絡(luò)安全管理中，為員工提供完成其本職工作所需要的信息訪問權(quán)限、避免未經(jīng)授權(quán)的人改變公司的關(guān)鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則。

原則一：最小權(quán)限原則

最小權(quán)限原則要求我們在企業(yè)網(wǎng)絡(luò)安全管理中，為員工僅僅提供完成其本職工作所需要的信息訪問權(quán)限，而不提供其他額外的權(quán)限。

如企業(yè)現(xiàn)在有一個文件服務器系統(tǒng)，為了安全的考慮，我們財務部門的文件會做一些特殊的權(quán)限控制。財務部門會設(shè)置兩個文件夾，其中一個文件夾用來放置一些可以公開的文件，如空白的報銷憑證等等，方便其他員工填寫費用報銷憑證。還有一個文件放置一些機密文件，只有企業(yè)高層管理人員才能查看，如企業(yè)的現(xiàn)金流量表等等。此時我們在設(shè)置權(quán)限的時候，就要根據(jù)最小權(quán)限的原則，對于普通員工與高層管理人員進行發(fā)開設(shè)置，若是普通員工的話，則其職能對其可以訪問的文件夾進行查詢，對于其沒有訪問權(quán)限的文件夾，則服務器要拒絕其訪問。

原則二：完整性原則

完整性原則指我們在企業(yè)網(wǎng)絡(luò)安全管理中，要確保未經(jīng)授權(quán)的個人不能改變或者刪除信息，尤其要避免未經(jīng)授權(quán)的人改變公司的關(guān)鍵文檔，如企業(yè)的財務信息、客戶聯(lián)系方式等等。

完整性原則在企業(yè)網(wǎng)絡(luò)安全應用中，主要體現(xiàn)在兩個方面。一是未經(jīng)授權(quán)的人，不能更改信息記錄。二是指若有人修改時，必須要保存修改的歷史記錄，以便后續(xù)查詢。

原則三：速度與控制之間平衡的原則

我們在對信息作了種種限制的時候，必然會對信息的訪問速度產(chǎn)生影響。為了達到這個平衡的目的，我們可以如此做。一是把文件信息進行根據(jù)安全性進行分級。對一些不怎么重要的信息，我們可以把安全控制的級別降低，從而來提高用戶的工作效率。二是盡量在組的級別上進行管理，而不是在用戶的級別上進行權(quán)限控制。三是要慎用臨時權(quán)限。

2 企業(yè)內(nèi)部網(wǎng)絡(luò)暴露的主要問題

2.1 密碼單一

2.1.1 郵件用統(tǒng)一密碼或者有一定規(guī)律的密碼

對于郵件系統(tǒng)、文件服務器、管理系統(tǒng)等等賬戶的密碼，設(shè)置要稍微復雜一點，至少規(guī)律不要這么明顯，否則的話，會有很大的安全隱患。

2.1.2 重要文檔密碼復雜性差，容易破解

縱觀企業(yè)用戶，其實，他們對于密碼的認識性很差。有不少用戶，知道對一些重要文檔要設(shè)置密碼，但是，他們往往出于方便等需要，而把密碼設(shè)置的過于簡單。故我們對用戶進行網(wǎng)絡(luò)安全培訓時，要在這方面給他們重點提示才行。

2.2 網(wǎng)絡(luò)擁堵、沖突

2.2.1 下電影、游戲，大量占用帶寬資源

現(xiàn)在不少企業(yè)用的都是光纖接入，帶寬比較大。但是，這也給一些酷愛電影的人，提供了契機。他們在家里下電影，下載速度可能只有10K，但是，在公司里下電影的話，速度可以達到1M，甚至更多。這對于喜歡看電影的員工來說，有很大的吸引力。

2.2.2 IP地址隨意更改，導致地址沖突

有些企業(yè)會根據(jù)IP設(shè)置一些規(guī)則，如限制某一段的IP地址不能上QQ等等一些簡單的設(shè)置。這些設(shè)置的初衷是好的，但是也可能會給我們網(wǎng)絡(luò)維護帶來一些麻煩。

2.3 門戶把關(guān)不嚴

2.3.1 便攜性移動設(shè)備控制不嚴

雖然我們公司現(xiàn)在對于移動存儲設(shè)備，如U盤、移動硬盤、MP3播放器等的使用有嚴格的要求，如要先審批后使用，等等。但是，很多用戶還是私自在使用移動存儲設(shè)備。

私自采用便攜性移動存儲設(shè)備，會給企業(yè)的內(nèi)部網(wǎng)絡(luò)帶來兩大隱患。

一是企業(yè)文件的安全。因為企業(yè)的有些重要文件，屬于企業(yè)的資源，如客戶信息、產(chǎn)品物料清單等等，企業(yè)規(guī)定是不能夠外傳的。二是，若利用移動存儲設(shè)備，則病毒就會漏過我們的設(shè)在的病毒防火墻，而直接從企業(yè)的內(nèi)部侵入。

2.3.2 郵件附件具有安全隱患

郵件附件的危害也在慢慢增大?，F(xiàn)在隨著電子文檔的普及，越來越多的人喜歡利用郵件附件來傳遞電子文檔。而很多電子文檔都是OFFICE文檔、圖片格式文件或者RAR壓縮文件，但是，這些格式的文件恰巧是病毒很好的載體。

據(jù)相關(guān)網(wǎng)站調(diào)查，現(xiàn)在郵件附件攜帶病毒的案例在逐年攀升。若企業(yè)在日常管理中，不加以控制的話，這遲早會影響企業(yè)的網(wǎng)絡(luò)安全。

3 企業(yè)內(nèi)部網(wǎng)絡(luò)的日常行為管理

由于組織內(nèi)部員工的上網(wǎng)行為復雜多變，沒有哪一付靈藥包治百病，針對不同的上網(wǎng)行為業(yè)界都已有成熟的解決方案?，F(xiàn)以上網(wǎng)行為管理領(lǐng)域領(lǐng)導廠商深信服科技的技術(shù)為基礎(chǔ)，來簡單介紹一下基本的應對策略。

3.1 外發(fā)Email的過濾和延遲審計。

防范Email泄密需要從事前和事后兩方面考慮。首先外發(fā)前基于多種條件對Email進行攔截和過濾，但被攔截的郵件未必含有對組織有害的內(nèi)容，如何避免機器識別的局限性？深信服提供的郵件延遲審計技術(shù)可以攔截匹配上指定條件的外發(fā)Email，人工審核后在外發(fā)，確保萬無一失。

事后審計也不容忽視。將所有外發(fā)Email全部記錄，包括正文及附件。另外由于Webmail使用的普遍，對Webmail外發(fā)Email也應該能做到過濾、記錄與審計。

3.2 URL庫+關(guān)鍵字過濾+SSL加密網(wǎng)頁識別。

通過靜態(tài)預分類URL庫實現(xiàn)明文網(wǎng)頁的部分管控是基礎(chǔ)，但同時必須能夠?qū)λ阉饕孑斎氲年P(guān)鍵字進行過濾，從而實現(xiàn)對靜態(tài)URL庫更新慢、容量小的補充。而對于SSL加密網(wǎng)頁的識別與過濾，業(yè)界存在通過SSL加密流量、解密SSL加密流量的方式實現(xiàn)，但對于組織財務部、普通員工操作網(wǎng)上銀行賬戶的數(shù)據(jù)也被解密顯然是存在極大安全隱患的。深信服上網(wǎng)行為管理設(shè)備通過對SSL加密網(wǎng)站的數(shù)字證書的進行識別、檢測與過濾，既能滿足用戶過濾 SSL加密網(wǎng)址的要求，同時也不會引入新的安全隱患。

3.3 網(wǎng)絡(luò)上傳信息過濾。

論壇灌水、網(wǎng)絡(luò)發(fā)貼、文件上傳下載都需要基于多種關(guān)鍵字進行過濾，并應該能對所有成功上傳的內(nèi)容進行詳細記錄以便事后查驗。但這是不夠的，如藏污納垢的主要場所之一的互聯(lián)網(wǎng)WEB聊天室絕大多數(shù)都是采用隨機動態(tài)端口訪問，識別、封堵此類動態(tài)端口網(wǎng)址成為當下上網(wǎng)行為管理難題之一，只有部分廠商能妥善解決該問題，這是用戶在選擇上網(wǎng)行為管理網(wǎng)關(guān)時需要著重考慮的問題。

3.4 P2P的精準識別與靈活管理。

互聯(lián)網(wǎng)上的P2P軟件層出不窮，如果只能封堵“昨天的BT”顯然是不足的。在P2P的識別方面深信服科技的P2P智能識別專利技術(shù)――基于行為統(tǒng)計學的分析的確有其獨到之處?；谛袨樘卣鞫腔赑2P軟件本身精準識別了各種P2P，包括加密的、不常見的、版本泛濫的等。有了精準識別，這樣的設(shè)備對P2P的流控效果格外出眾。

3.5 管控各種非工作無關(guān)網(wǎng)絡(luò)行為。

第2篇：企業(yè)網(wǎng)絡(luò)安全預案范文

【關(guān)鍵詞】 信息安全; 防火墻;技術(shù)特征;并發(fā)連接數(shù)

一、防火墻的發(fā)展歷程及工作原理

從廣義上講,防火墻保護的是企業(yè)內(nèi)部網(wǎng)絡(luò)信息的安全。從狹義上講,防火墻保護的是企業(yè)內(nèi)部網(wǎng)絡(luò)中各個電腦的安全,防止計算機受到來自企業(yè)外部非安全網(wǎng)絡(luò)中的所有惡意訪問或攻擊行為。防火墻的發(fā)展經(jīng)過了幾個歷程:第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn),采用了包過濾(Packetfilter)技術(shù)。1989年,貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻,即電路層防火墻,提出了第三代防火即應用防火墻的初步結(jié)構(gòu)。第四代防火墻,1992年USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamicpacketfilter)技術(shù)的第四代防火墻,后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Statefulinspection)技術(shù)。1994年,以色列的CheckPoint公司開發(fā)出了第一個基于這種技術(shù)的商業(yè)化的產(chǎn)品。1998年,NAI公司推出了一種自適應(Adaptiveproxy)技術(shù),并在其產(chǎn)品GauntletFirewallforNT中得以實現(xiàn),給類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。

二、防火墻技術(shù)工作原理

1.包過濾分。靜態(tài)包過濾,過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。狀態(tài)包過濾,防火墻采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎,被稱為模塊。監(jiān)測模塊工作在鏈路層和IP層之間,對網(wǎng)絡(luò)通信的各層實施檢測分析,提取相關(guān)的通信和狀態(tài)信息,并在動態(tài)連接表中進行狀態(tài)及上下文信息的存儲和更新。其另外一個優(yōu)點是能夠提供對基于無連接的協(xié)議(UDP)的應用(DNS,WAIS等)及基于端口動態(tài)分配的協(xié)議(RPC)的應用的安全支持。

2.應用防火墻。應用防火墻檢查數(shù)據(jù)包的應用數(shù)據(jù),并且保持完整的連接狀態(tài),他能夠分析不同協(xié)議的命令集,根據(jù)安全規(guī)則景致或者允許某些特殊的協(xié)議命令。通過限制某些協(xié)議的傳出請求,來減少網(wǎng)絡(luò)中不必要的服務,大多數(shù)防火墻能夠記錄所有的連接,包括地址和持續(xù)時間。這些信息對追蹤攻擊和發(fā)生的未授權(quán)訪問的事件事進行記錄

三、企業(yè)選擇防火墻

在應用領(lǐng)域,企業(yè)需要對外提供如WEB服務、DNS域名解析以及其他服務等,這些應用會使網(wǎng)絡(luò)流量不斷變化,企業(yè)就需要性能指標好的防火墻,要考慮的基本標準:防火墻的基本功能、管理功能、內(nèi)容過濾、NAT技術(shù)、狀態(tài)檢測、抗攻擊能力等;更要考慮吞吐量、延時、丟包率、并發(fā)連接數(shù)等性能表現(xiàn),并發(fā)連接數(shù)為評價防火墻性能的最主要因素:(1)吞吐量。吞吐良作為衡量防火墻性能的重要指標之一,要求防火墻具有單向或雙向線連吞吐量的能力。(2)時延。其時延是體現(xiàn)處理數(shù)據(jù)的速度。(3)丟包率。主要測試的是在連接負載的情況下、防火墻由于資源不足應轉(zhuǎn)發(fā)但未轉(zhuǎn)發(fā)的禎的百分比。(4)并發(fā)連接數(shù)。并發(fā)連接數(shù)是指防火墻對其業(yè)務信息流的處理能力,是防火墻能夠同時處理的點對點連接的最大數(shù)目,反映出防火墻設(shè)備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力,這個參數(shù)的大小直接影響到防火墻所能支持的最大信息點數(shù)。

在實際應用中,由于大多數(shù)連接的維持存活周期非常短,從統(tǒng)計角度上來說,并發(fā)連接數(shù)/每用戶的等效數(shù)值 Sum_Statistical = Sum_Peak×0.3將是一個非常充分、寬松的等效換算公式。每個用戶所需要的并發(fā)連接數(shù)=35×0.3=10.5個,這是一個比較合理、科學的統(tǒng)計估值。高并發(fā)連接數(shù)的防火墻設(shè)備通常需要客戶投資更多的設(shè)備,這是因為并發(fā)連接數(shù)的增大牽扯到數(shù)據(jù)結(jié)構(gòu)、CPU、內(nèi)存、系統(tǒng)總線和網(wǎng)絡(luò)接口等多方面因素。在合理的設(shè)備投資和實際上所能提供的性能之間按照并發(fā)連接數(shù)來衡量方案的合理性是一個值得推薦的辦法。

以每個用戶需要10.5個并發(fā)連接來計算,一個中小型企業(yè)網(wǎng)絡(luò)(1000個信息點以下,容納4個C類地址空間)大概需要10.5× 1000=10500個并發(fā)連接,因此支持20000～30000最大并發(fā)連接的防火墻設(shè)備便可以滿足需求;大型的企事業(yè)單位網(wǎng)絡(luò)(信息點數(shù)在 1000～10000之間)大概會需要105000個并發(fā)連接,支持100000～120000最大并發(fā)連接的防火墻就可以滿足企業(yè)的實際需要;對于大型電信運營商和ISP來說,電信級的千兆防火墻(支持120000～200000個并發(fā)連接)則是恰當?shù)倪x擇。

總之,在構(gòu)建和完善企業(yè)內(nèi)部網(wǎng)絡(luò)的時候,避免為較低需求而采用高端的防火墻設(shè)備將造成用戶投資的浪費,也要避免為較高的客戶需求而采用低端設(shè)備將無法達到預計的性能指標,也需要謹慎的考慮和選擇節(jié)省企業(yè)的開支,達到最佳的性價比。

第3篇：企業(yè)網(wǎng)絡(luò)安全預案范文

【關(guān)鍵詞】網(wǎng)絡(luò)信息，完全，防護

一、網(wǎng)絡(luò)信息安全的基本概念及組成

1.1網(wǎng)絡(luò)信息安全

網(wǎng)絡(luò)信息安全是指：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏。網(wǎng)絡(luò)信息安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密、完整和可用的保護，而網(wǎng)絡(luò)安全的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密、完整和可用的保護。

1.2網(wǎng)絡(luò)信息安全的基本組成

網(wǎng)絡(luò)實體安全：如計算機的物理條件、物理環(huán)境及設(shè)施的安全標準，計算機硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的安裝及配置等；

軟件安全：如保護網(wǎng)絡(luò)系統(tǒng)不被非法侵入，系統(tǒng)軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等；

數(shù)據(jù)安全：如保護網(wǎng)絡(luò)信息的數(shù)據(jù)安全，不被非法存取，保護其完整、一致等。

1.3網(wǎng)絡(luò)信息安全現(xiàn)狀

控制安全以及信息安全屬于網(wǎng)絡(luò)信息安全中的兩個重要組成部分，控制安全指的是實名認證、授權(quán)、訪問控制等等。信息安全指的是信息的可使用性、完整性、保密性以及可靠性等等。

進入21世紀以來，網(wǎng)絡(luò)環(huán)境不管是控制安全或者是信息安全，都遭受著來自各界的安全威脅。計算機和網(wǎng)絡(luò)技術(shù)具有的復雜和多樣，使得網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的。

在Internet網(wǎng)絡(luò)上，因互聯(lián)網(wǎng)本身沒有時空和地域的限制，每當有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界。這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進行攻擊從而造成計算機系統(tǒng)及網(wǎng)絡(luò)癱瘓。蠕蟲、后門（Back-doors）、DoS（Denia1ofServices）和Snifer（網(wǎng)路監(jiān)聽）是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，且有愈演愈烈之勢。

這幾類攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標直指互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次，從web程序的控制程序到內(nèi)核級Rootlets。黑客的攻擊手法不斷升級翻新，向通信企業(yè)用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。

1.4網(wǎng)絡(luò)信息安全面臨的問題

網(wǎng)絡(luò)信息安全目前面臨的主要問題是：1、電腦病毒感染。2、網(wǎng)絡(luò)自身缺乏健全的防御能力。3.國內(nèi)計算機研發(fā)技術(shù)落后。4、網(wǎng)絡(luò)安全管理人才欠缺。

二、提升網(wǎng)絡(luò)信息安全的措施

要想絕對的實現(xiàn)網(wǎng)絡(luò)信息安全是不可能的，只能夠做到一種相對安全的局面，盡可能的保證用戶的數(shù)據(jù)安全不被外界干擾。

對于目前的通信企業(yè)網(wǎng)絡(luò)中存在的各種不安全因素，使用針對性地應對方式以及保護方式，有效的提升計算機網(wǎng)絡(luò)的安全性，從之前的工作經(jīng)驗上分析，單純的安全保護方式不能夠獲得有效的安全保護效果，相對有效的方式就是借助各種層級的保護方式對計算機的網(wǎng)絡(luò)數(shù)據(jù)做全面的保護。所以，需要有針對性地分析計算機遭遇到的各種安全威脅因素，訂立一個相對全面的保護運行體系，其中包含了防火墻技術(shù)、數(shù)據(jù)加密技術(shù)及安全漏洞檢測工具的全面提升和網(wǎng)絡(luò)安全使用的各種制度辦法等等。

2.1采用防火墻防火墻

采用防火墻防火墻是目前最為流行、使用最廣泛的一種網(wǎng)絡(luò)信息安全技術(shù)，它的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。防火墻的最大優(yōu)勢就在于可以對兩個網(wǎng)絡(luò)之間的訪問策略進行控制，限制被保護的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進行的信息存取、傳遞操作。它具有以下特征：所有的從內(nèi)部到外部或從外部到內(nèi)部的通信都必須經(jīng)過它；只有內(nèi)部訪問策略授權(quán)的通信才允許通過；使系統(tǒng)本身具有更高的可靠。

常見防火墻的體系結(jié)構(gòu)有三種：

2.1.1雙重宿主主機體系結(jié)構(gòu)

它是麗繞具有雙重宿主功能的主機而構(gòu)筑的，是最基本的防火墻結(jié)構(gòu)。主機充當路由器，是內(nèi)外網(wǎng)絡(luò)的接口，能夠從一個網(wǎng)絡(luò)向另一個網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包。這種類型的防火墻完全依賴于主機，因此該主機的負載般較大，容易成為網(wǎng)絡(luò)瓶頸。對于只進行酬曇過濾的安全要求來說，只需在兩塊網(wǎng)卡之間轉(zhuǎn)發(fā)的模塊上插入對包的ACL控制即可。但是如果要對應用層進行控制，其就要設(shè)置到這臺雙宿主主機上，所有的應用要先于這個主機進行連接。這樣每個人都需要有個登錄賬號，增加了聯(lián)網(wǎng)的復雜。

2.1.2屏蔽主機體系結(jié)構(gòu)

屏蔽主機體系結(jié)構(gòu)，又稱主機過濾結(jié)構(gòu)，它使用個單獨的路由器來提供內(nèi)部網(wǎng)絡(luò)主機之間的服務，在這種體系結(jié)構(gòu)中，主要的安全機制由數(shù)據(jù)包過濾系統(tǒng)來提供。相對于雙重宿主主機體系結(jié)構(gòu)，這種結(jié)構(gòu)允許數(shù)據(jù)包，Internet上進人內(nèi)部網(wǎng)絡(luò)，因此對路由器的配置要求較高。

2.1.3屏蔽子網(wǎng)體系結(jié)構(gòu)

它是在屏蔽主機體系結(jié)構(gòu)基礎(chǔ)上添加額外的安全層，并通過添加周邊網(wǎng)絡(luò)更進一步把內(nèi)部網(wǎng)絡(luò)和Intemet隔離開。為此這種結(jié)構(gòu)需要兩個路由器，一個位于周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，另一個在周邊網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，這樣黑客即使攻破了堡壘主機，也不能直接入侵內(nèi)部網(wǎng)絡(luò)，因為他還需要攻破另外一個路由器。

2.2數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲，數(shù)據(jù)傳輸、數(shù)據(jù)完整的鑒別，以及密鑰的管理技術(shù)。數(shù)據(jù)存儲加密技術(shù)是防止在存儲環(huán)節(jié)上的數(shù)據(jù)丟失為目的，可分為密文存儲和存取兩種，數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密。數(shù)據(jù)完整鑒別是對介入信息的傳送、存取，處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進行驗證，達到保密的要求，系統(tǒng)通過對比驗證對輸入的特征值是否符合預先設(shè)定的參數(shù)，實現(xiàn)對數(shù)據(jù)的安全保護。

2.3網(wǎng)絡(luò)信息安全的審計和跟蹤

審計和跟蹤機制一般情況下并不干涉和直接影響主業(yè)務流程，而是通過對主業(yè)務進行記錄、檢查、監(jiān)控等來完成以審計、完整等要求為主的安全功能。

審計和跟蹤所包括的典型技術(shù)有：漏洞掃描系統(tǒng)、入侵檢測系統(tǒng)（IDS）、安全審計系統(tǒng)等。我們以IDs為例，IDs是作為防火墻的合理補充，能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整。入侵檢測是一種主動保護網(wǎng)絡(luò)和系統(tǒng)安全的技術(shù)，它從計算機系統(tǒng)或網(wǎng)絡(luò)中采集、分析數(shù)據(jù)，查看網(wǎng)絡(luò)或主機系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，并采取適當?shù)捻憫胧﹣碜钃豕簦档涂赡艿膿p失。它能提供對內(nèi)部攻擊、外部攻擊和誤操作的保護。入侵檢測系統(tǒng)可分為基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)兩類。

由于計算機網(wǎng)絡(luò)系統(tǒng)應用范圍的不斷擴大，人們對網(wǎng)絡(luò)系統(tǒng)依賴的程度增大，因而對計算機網(wǎng)絡(luò)系統(tǒng)信息的安全保護提出了更高的要求。現(xiàn)在，計算機網(wǎng)絡(luò)系統(tǒng)的安全已經(jīng)成為關(guān)系到國家安全和主權(quán)、社會的穩(wěn)定、民族文化的繼承和發(fā)揚的重要問題。因此，充分認識到網(wǎng)絡(luò)的脆弱和潛在威脅并采取強有力的安全防范措施，對于提高網(wǎng)絡(luò)的安全能將顯得十分重要。

第4篇：企業(yè)網(wǎng)絡(luò)安全預案范文

【關(guān)鍵詞】企業(yè) 內(nèi)部網(wǎng)絡(luò) 安全 威脅 防范 措施

近年來，大家對于網(wǎng)絡(luò)安全的認知上存有誤差，他們總以為這是來源于企業(yè)外部的因素導致內(nèi)部問題發(fā)生，這種說法是錯誤的。因為網(wǎng)絡(luò)安全問題是涉及到相關(guān)網(wǎng)絡(luò)研究網(wǎng)絡(luò)的部門、還有企業(yè)內(nèi)的網(wǎng)絡(luò)設(shè)施等，但事實上，網(wǎng)絡(luò)研究人員卻將主要的安全隱患鎖定網(wǎng)絡(luò)外部目標，卻常常忽視了最隱秘的威脅因素是來源于企業(yè)內(nèi)部，數(shù)據(jù)統(tǒng)計，有金百分之八十五的安全隱患問題來源于內(nèi)部，其隱患出于企業(yè)內(nèi)部與外部的比例在逐年變大。

1 企業(yè)內(nèi)部網(wǎng)絡(luò)安全威脅

在企業(yè)內(nèi)部由于自身的ICP協(xié)議和操作方法不正確，并主要是企業(yè)內(nèi)部很大一部分人員操作不當導致，這些人為原因引起的網(wǎng)絡(luò)威脅問題，其主要表現(xiàn)為：

1.1 用戶操作步驟及方法不當

極有可能導致網(wǎng)絡(luò)設(shè)備的內(nèi)外部相應的毀壞等，引起錯誤刪減重要的數(shù)據(jù)或使得網(wǎng)絡(luò)硬盤恢復格式化等不同方面的問題出現(xiàn)。

1.2 有意惡性損壞

因個別人為因素導致，一些內(nèi)部人員因情緒失控，做出某些破壞性預謀損壞行為，故意致使企業(yè)內(nèi)部網(wǎng)存有威脅。

1.3 某些可移動的存介質(zhì)在應用過程中不當?shù)墓芾?/p>

這是一種難度程度極大的，直接威脅企業(yè)內(nèi)部信息的關(guān)鍵要素，因此，相關(guān)網(wǎng)絡(luò)部門人員需思考怎樣才能防止介質(zhì)消失或是禁止相關(guān)數(shù)據(jù)的授權(quán)等方面問題，是當下最難克服的重要問題。

1.4 黑客襲擊或是病毒查殺操作不到位

因為在使用盜版的軟件下載，是進行病毒無線傳播的渠道。

1.5 組權(quán)分配不完善

在相關(guān)的網(wǎng)絡(luò)服務人會員的組權(quán)分配問題上，還不是很完善。

1.6 企業(yè)內(nèi)部賬戶的不合理設(shè)置

不能對其口訣進行較為合理的分配原則。

1.7 專業(yè)人員素質(zhì)不高

相關(guān)的網(wǎng)絡(luò)專業(yè)人員的技能操作應用效果不明顯，加上工作態(tài)度問題，都是網(wǎng)路毆所隱藏的關(guān)鍵要素。

1.8 服務端口啟動頻繁

為了更多地搜集數(shù)據(jù)信息企業(yè)內(nèi)部管理員頻繁啟動運行服務端口，致使網(wǎng)絡(luò)產(chǎn)生嚴重的威脅。

2 網(wǎng)絡(luò)安全問題排查及預防方法

2.1 訪問控制

（1）通過有效的首層的安全和預防程序，也就是把初次入網(wǎng)客戶通過當?shù)丶跋嚓P(guān)程序的審核與訪問實現(xiàn)客戶的驗證過程，便于認識與檢驗、以相當?shù)拈L度密碼設(shè)定，并規(guī)定以阿拉伯數(shù)字、密碼輸入及相互引的其他的符號作為依據(jù)。

（2）設(shè)定訪問權(quán)限。通過對一般的大眾用戶進行資源整合，實現(xiàn)對有關(guān)文件的有效操作，其應用程序所展示的安全性能含：erase、write、create、modify、access control等

（3）以交換機為基礎(chǔ)，形成訪問的有效設(shè)定，其主要包含有端口的限制問題。

（4）將其他的不需要的彈出窗口及時關(guān)閉。

（5）對資源策略的共同享有過程中避免涉及所謂的資源整合陷阱，并禁止在協(xié)議書刪改相關(guān)協(xié)議內(nèi)容或數(shù)據(jù)，不要以Administrator帳戶的重新名稱更改。

2.2 數(shù)據(jù)密碼保護

（1）在網(wǎng)絡(luò)數(shù)據(jù)、信息傳輸過程中，需進行技術(shù)的加密程序改良，確保信息的準確，并在信息的整體的發(fā)出過程實現(xiàn)智能化的加密程序，實現(xiàn)數(shù)據(jù)整體的存檔，轉(zhuǎn)化為不能有效分辨的或是不能夠有效數(shù)據(jù)讀取。當相關(guān)數(shù)據(jù)信息實現(xiàn)目的地產(chǎn)生的最初位置，并通過智能組合，與密碼的解析步驟，確保數(shù)據(jù)的爭取讀取。

（2）在密碼設(shè)置上要層層把關(guān)。在進行相關(guān)的存儲信息或相關(guān)運轉(zhuǎn)數(shù)據(jù)進行合理分析，對所設(shè)定的密碼也應制定，在進行存儲相關(guān)內(nèi)容的存儲加密設(shè)定，將以密碼層層存儲加密為主線，避免非正當企圖的人員進行密碼的解析。

2.3 系統(tǒng)補丁

按時定期的對系統(tǒng)軟件進行全面的創(chuàng)意型數(shù)據(jù)庫的相關(guān)漏洞。確保系統(tǒng)的安全與穩(wěn)定。

3 防護

3.1 防火墻

通過防火墻的權(quán)限設(shè)定對象，并進行訪問的方法，應以最快的速度還在設(shè)置咨詢信息，禁止策略與防火墻的同時采用防火墻限制權(quán)限，并在防火墻中有效設(shè)定策略，禁止非法用戶的操控進入界面。

3.2 入侵檢測

通過應急事件預見性的處理，并檢測系統(tǒng)，避免發(fā)生異常物體的發(fā)生及預防。其入侵檢測的性能及狀態(tài)，是依據(jù)其有效的靜態(tài)密碼層層保護，使得在功能上進行整合，針對相關(guān)的病毒入侵侵犯性技術(shù)難題與防火墻共同的補充。一些關(guān)鍵性的數(shù)據(jù)信息儲備在應用網(wǎng)絡(luò)上要實現(xiàn)存放的有效保障，以所配置的系統(tǒng)的入侵方式的不同，其在網(wǎng)絡(luò)的數(shù)據(jù)輸送與傳輸也不相同，在發(fā)生不恰當?shù)牟僮魇褂脮r，要根據(jù)相關(guān)政策進行有效的技術(shù)隔斷與實時報警，確保入侵的有效防護工作。因此說，在遇到不安全信息侵犯時，組織數(shù)據(jù)流的過程，就是實現(xiàn)網(wǎng)絡(luò)內(nèi)部策略的有效實現(xiàn)方式。

3.3 病毒防護軟件

通過使用并下載病毒軟件來進行有效的病毒查處功能，按一定周期來實現(xiàn)數(shù)據(jù)庫的有效保護與監(jiān)督，確保安全防護辦法的執(zhí)行，對那些安全隱患的網(wǎng)絡(luò)問題及時進行制止，進一步確保企業(yè)內(nèi)部網(wǎng)絡(luò)的病毒凈化與信息安全保障工作。

參考文獻

[1]楊旭.計算機網(wǎng)絡(luò)安全漏洞及防范措施研究[J].網(wǎng)絡(luò)安全技術(shù)與應用. 2015（07）103-126.

[2]劉洪民，印幫輝，王鈺，孫宇.計算機網(wǎng)絡(luò)安全漏洞及防范分析[J].計算機光盤軟件與應用，2014（12）23-36.

[3]王麗麗，李曉明，徐凡特.網(wǎng)絡(luò)安全漏洞的現(xiàn)狀及面臨問題分析[J].科技創(chuàng)新導報，2013（15）12-15.

第5篇：企業(yè)網(wǎng)絡(luò)安全預案范文

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)安全；防護；具體應用

中圖分類號：TP393.08

隨著時代的發(fā)展，安全性已經(jīng)成為計算機網(wǎng)絡(luò)技術(shù)的應用中最為重要、最為關(guān)鍵的一個問題，而這一問題，也往往是我們?nèi)粘Ｉ钪凶钊菀缀鲆暤膯栴}，目前來說，計算機網(wǎng)絡(luò)安全問題主要是重要信息的泄露，一般原因在于計算機的病毒、木馬入侵，隨著網(wǎng)絡(luò)的普及，這些問題也在不斷的出現(xiàn)，因此，當前，對于計算機安全方面的要求更高，不僅要被動的防止木馬、病毒的入侵，主動地抵制非法黑客進入內(nèi)網(wǎng)，竊取重要信息，同時還要保障信息在傳輸過程中的安全性和保密性，避免在傳輸?shù)倪^程中被非法用戶竊取。對于企業(yè)來說，一旦計算機網(wǎng)絡(luò)安全受到威脅，那么必然會導致企業(yè)的利益受損，更有甚者，可能導致企業(yè)競爭不斷地處于劣勢，最終面臨破產(chǎn)的危機。

1 何為計算機網(wǎng)絡(luò)安全

我們?nèi)粘Ｕf的計算機網(wǎng)絡(luò)安全通常就是說為了最大程度的保護網(wǎng)絡(luò)，避免內(nèi)網(wǎng)遭受侵害而主動或者被動的采取的各種措施。一般來說，如果采用科學的方法，正確的采用網(wǎng)絡(luò)安全的具體措施，那么，就能夠保障網(wǎng)絡(luò)的正常運行，同時保護個人或者企業(yè)的隱私不會泄露。計算機網(wǎng)絡(luò)安全主要有以下幾個內(nèi)容，第一就是計算機網(wǎng)絡(luò)的保密性，保密性通常就是保護系統(tǒng)可以組織那些非法用戶或者黑客、未授權(quán)的用戶獲取相關(guān)的保密信息，確保信息的保密性。第二是完整性，完整性的概念主要是指傳輸信息、資料的完整性，即在沒有授權(quán)，未經(jīng)允許的情況下，保證資料不被惡意修改和刪除，另外還包括軟件的完整性，即確保軟件的具體的運作程序不被惡意或者隨意的修改，避免出現(xiàn)各類錯誤。第三就是可用性，我們所說的可用性就是指計算機網(wǎng)絡(luò)在在遭受來自外界的惡意攻擊時，計算機網(wǎng)絡(luò)安全系統(tǒng)便可以確保計算機網(wǎng)絡(luò)的合法用戶依然可以正常進行訪問等工作。

網(wǎng)絡(luò)安全的基本特征如下：所謂機密性，一般來說是指不隨意的將信息泄露給非法用戶或者未被授權(quán)的用戶。在網(wǎng)絡(luò)中，存在著許多的層次，而每一個層次都是具有機密的，因此都需要保護，采取防范措施，例如，在運行層面，就需要保證合法用戶的正常的使用，而對于那些沒有被授權(quán)或者是身份不明的用戶，則禁止訪問和使用，同時具有一定的抗侵入功能，避免黑客的惡意攻擊；所謂完整性就是指信息的完整性，主要的表現(xiàn)為沒有經(jīng)過授權(quán)的用戶和身份不明的用戶是不能夠?qū)π畔⑦M行修改的，這樣可以防止信息不被惡意破壞。隨意的插入廣告和木馬、不耽誤信息傳播的延遲，保障信息的順序比被打亂，保障信息不丟失，完整的進行信息的傳輸工作；所謂可用性則是指已經(jīng)被授權(quán)的用戶，可以在正常運行時間內(nèi)，可以正常的使用的特性，這一性能主要是為了保障使用者（合法的）正常訪問。

2 計算機網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)安全問題

2.1 病毒、木馬以及蠕蟲、間諜等有害軟件

病毒、木馬以及蠕蟲、間諜等有害軟件可以說是當前計算機網(wǎng)絡(luò)中最常遇見的安全問題，病毒可以說是最容易遇見的問題了，一般來說，病毒就是一種可執(zhí)行的代碼，這種代碼可以不同程度的破壞掉正常運作的計算機的操作系統(tǒng)和應用系統(tǒng)，一般是隱藏在合法的信息或者郵件當中，或者直接偽裝成合法郵件，甚至還可能在即時消息中發(fā)送，這一點與蠕蟲特別相似，蠕蟲只是比病毒更為普遍，

蠕蟲是可以自動進行傳播的，主要是依托于文件傳輸功能來完成，也正是因為這樣，才導致了計算機網(wǎng)絡(luò)中的許多個人信息以及密碼等隱私，被木馬所截獲，這樣就沒辦法保證信息的安全性，未授權(quán)的用戶甚至可以訪問安裝了木馬的系統(tǒng)。間諜軟件其實也是一種病毒，只不過是一種特殊的病毒，主要是惡意的病毒代碼，

這些病毒代碼有一種功能，是可以監(jiān)控系統(tǒng)功能的，同時，還可以將截取的信息傳輸給間諜軟件的操作者，成功獲取信息。

2.2 拒絕服務攻擊和計算機網(wǎng)絡(luò)系統(tǒng)的濫用和誤用

隨著木馬、病毒的多樣化入侵，企業(yè)的計算機網(wǎng)絡(luò)安全意識在不斷的提高，但是，正所謂道高一尺魔高一丈，盡管企業(yè)的安全防護性在不斷的提升，黑客的攻擊手段也在不斷地更新，因此就會發(fā)生拒絕服務的現(xiàn)象，它們的攻擊可能向服務器大量的發(fā)送請求，從而使服務器因為超載而癱瘓，從而不能為合法用戶提供應有的服務。當然，我們也不得不承認，在我們的公司內(nèi)部，存在著許多的誤用和濫用計算機網(wǎng)絡(luò)系統(tǒng)及其信息、數(shù)據(jù)的現(xiàn)象，有時候，都是稍不注意，就已經(jīng)將公司的機密泄露掉，企業(yè)員工的保護意識不夠強。

2.3 安全機制和安全工具以及安全系統(tǒng)

在理論上，我們當前所使用的每一種安全機制和安全工具，必然都有其固定的適用范圍，對于應用環(huán)境也是有要求的，例如，防火墻這種有效的安全工具，確實是可以在一定程度上隱藏企業(yè)的內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，但是，不得不承認的事實是，對于我們企業(yè)內(nèi)部的網(wǎng)絡(luò)之間的相互訪問，防火墻確實是起不到任何防范作用，因此也就達不到目標。另外，BUG是極有可能存在于我們計算機的操作系統(tǒng)和應用軟件中，致使網(wǎng)絡(luò)癱瘓或者某個程序不能正常運行，給企業(yè)的計算機網(wǎng)絡(luò)系統(tǒng)的安全帶來不便。

3 計算機網(wǎng)絡(luò)系統(tǒng)的安全防護解決方案

保障信息的機密性，最主要的就是不能讓信息泄露，特別是那些未經(jīng)授權(quán)的用戶，一旦被黑客攻擊，立即采取物理隔離技術(shù)進行補救，即信息系統(tǒng)要與外網(wǎng)實行物理隔離，這一技術(shù)的實現(xiàn)依靠隔離卡的輔助或者增加一塊硬盤；保障信息的完整性，在錄入、傳出、收獲這一過程中，必須有效的保障信息的一致性，防止被非法用戶篡改、破壞，可以采用數(shù)據(jù)存儲加密技術(shù)，對信息系統(tǒng)中存放數(shù)據(jù)進行加密，使這成為編碼或者密文，用戶對其進行訪問需要對數(shù)據(jù)實時進行解密；對于來訪者的身份、企業(yè)內(nèi)部合法用戶的身份的核實，需要加強訪問控制技術(shù)，經(jīng)對其訪問系統(tǒng)資源的權(quán)限進行限制，一般分為自主訪問控制、強制訪問控制和角色控制；要保障服務的可用性，主要是防止惡性的向服務器發(fā)送請求，使服務器癱瘓而不能提供正常的服務，可以采用安全審計技術(shù)（模擬社會檢察機構(gòu)在信息系統(tǒng)中用來監(jiān)視、記錄和控制用戶活動）它使影響系統(tǒng)安全的訪問留下痕跡，便于鎖定。

4 結(jié)束語

當今社會，信息化不斷發(fā)展，計算機網(wǎng)絡(luò)安全已經(jīng)成為一個重要的問題，關(guān)系到個人的生活以及企業(yè)的正常工作，這一問題的內(nèi)容覆蓋面廣，最為主要的就是計算機信息系統(tǒng)本身就存在的安全問題，同時也包括了使用單位、使用人的意識和行為問題，可以說關(guān)系重大，介于以上原因，筆者撰寫論文，主要介紹了計算機網(wǎng)絡(luò)系統(tǒng)的安全問題的存在，同時也提出了相應的解決方案，希望有利于企業(yè)計算機系統(tǒng)安全問題的解決。

參考文獻：

[1]高秀娟，張海亮，龐傳新.網(wǎng)絡(luò)安全與防護在通信企業(yè)中的應用[J].中國新通信，2012（10）：31-32.

[2]張浩.淺議網(wǎng)絡(luò)安全與防護在企業(yè)中的應用[J].現(xiàn)代企業(yè)教育，2010（22）：98-99.

[3]葛金隆.網(wǎng)絡(luò)安全與防護在企業(yè)中的應用[J].價值工程，2010（11）：138-139.

第6篇：企業(yè)網(wǎng)絡(luò)安全預案范文

［關(guān)鍵詞］網(wǎng)絡(luò)安全；信息化；數(shù)據(jù)信息

1企業(yè)信息化建設(shè)集成的重要性

首先，在企業(yè)管理上具有重要現(xiàn)實意義。在企業(yè)的經(jīng)營和發(fā)展過程中經(jīng)營的業(yè)務越來越多，區(qū)域越來越廣泛，導致企業(yè)管理任務越來越復雜和多樣，企業(yè)內(nèi)部的組織結(jié)構(gòu)和流程控制體系越來越完善，這都是因為信息化建設(shè)集成發(fā)揮了重要作用，其還促進管理服務和觀念朝著信息化的方向發(fā)展。其次，企業(yè)信息化建設(shè)符合時展的潮流。如果想讓集成化效率達到最高水平，就需要對傳統(tǒng)的管理模式進行創(chuàng)新和發(fā)展，避免在集成化效率提高的同時帶來一些嚴重的問題和風險，例如：現(xiàn)場安全管理和對管理人員的裁減等，企業(yè)必須在網(wǎng)絡(luò)信息技術(shù)和計算機技術(shù)發(fā)展飛速的今天，對內(nèi)部管理體系進行創(chuàng)新和改革，挖掘各組織和員工內(nèi)在潛能和上升空間，在激烈的市場競爭中提升企業(yè)自身的活力與優(yōu)勢，從而將企業(yè)的經(jīng)濟收益上升到最高峰。第三，信息化建設(shè)集成具有自身獨特的優(yōu)勢。大型公司集團會運用最新的互聯(lián)網(wǎng)數(shù)據(jù)和先進的計算機技術(shù)創(chuàng)建一個管理信息平臺，通過這個平臺將在生產(chǎn)和管理方面的數(shù)據(jù)信息進行共享和聯(lián)動，利用相關(guān)軟件和系統(tǒng)將公司管理朝著集成化、信息化方向發(fā)展，有效地為公司的管理層提供決策理論支持，避免公司集團內(nèi)部組織結(jié)構(gòu)和人員冗雜，有效提高運營各環(huán)節(jié)的工作效率，以提供高質(zhì)量、高效的服務。

2企業(yè)信息化建設(shè)集成中存在的網(wǎng)絡(luò)安全問題

在利用現(xiàn)代網(wǎng)絡(luò)信息平臺對企業(yè)相關(guān)數(shù)據(jù)進行優(yōu)化整合時，網(wǎng)絡(luò)安全方面還存在一定的問題，企業(yè)相關(guān)信息和資料很容易受到網(wǎng)絡(luò)攻擊，系統(tǒng)很容易被黑客入侵，導致數(shù)據(jù)和信息被竊取或者丟失，這些問題都不利于企業(yè)的現(xiàn)代信息化建設(shè)集成和正常的運營發(fā)展。從外部環(huán)境來看，日益競爭的市場環(huán)境是造成網(wǎng)絡(luò)安全管理的大環(huán)境因素，隨著時代快速的發(fā)展和科學技術(shù)的進步，一些不法分子會利用黑客技術(shù)和網(wǎng)絡(luò)病毒竊取企業(yè)內(nèi)部的數(shù)據(jù)資料，并通過出售來牟取巨額利潤，這種情況若得不到有效控制和整改，會導致企業(yè)網(wǎng)絡(luò)安全環(huán)境日益惡化。其次，從企業(yè)的內(nèi)部因素出發(fā)，企業(yè)信息化建設(shè)集成出現(xiàn)網(wǎng)絡(luò)安全問題是因為企業(yè)自身沒具備成熟的網(wǎng)絡(luò)信息安全理念，沒有采取相關(guān)的措施保證自身的網(wǎng)絡(luò)信息安全，所以企業(yè)相關(guān)意識的缺乏使黑客有機可乘，他們簡單操作就能獲得企業(yè)內(nèi)部的數(shù)據(jù)信息?？傊?，缺乏一定的網(wǎng)絡(luò)信息防護手段和對員工的網(wǎng)絡(luò)信息安全培訓，會導致企業(yè)在信息化建設(shè)集成中受到更大的網(wǎng)絡(luò)信息安全威脅。

3保障企業(yè)信息化建設(shè)集成中網(wǎng)絡(luò)安全的措施

3.1創(chuàng)建企業(yè)信息安全標準

針對企業(yè)信息化建設(shè)集成中可能會出現(xiàn)的病毒入侵、非法訪問和信息竊取等問題，筆者提出了一些加強網(wǎng)絡(luò)安全的措施。首先，要建設(shè)一個信息化安全相關(guān)標準。當企業(yè)應用現(xiàn)代計算機網(wǎng)絡(luò)技術(shù)，尤其是計算機集成制造系統(tǒng)時，要創(chuàng)建一個高效、高質(zhì)量的企業(yè)信息化機制和信息安全標準，保證所有信息工作都具備標準流程，例如：我國現(xiàn)已存在的信息安全管理度量機制和測量措施，能夠促使企業(yè)在運用網(wǎng)絡(luò)信息平臺時，提高自身的信息管理水平，從而保證企業(yè)在日常運用中能夠順利、安全地開展相關(guān)信息交流和信息傳遞工作。

3.2運用先進的網(wǎng)絡(luò)安全技術(shù)

要引入現(xiàn)代網(wǎng)絡(luò)安全技術(shù)，包括防火墻技術(shù)、入侵檢測技術(shù)信息加密技術(shù)、訪問控制技術(shù)等。防火墻技術(shù)是指將計算機與外部建立一道隔墻，防火墻技術(shù)包括網(wǎng)絡(luò)級防火墻與應用級防火墻兩種，網(wǎng)絡(luò)級能夠有效防止網(wǎng)絡(luò)中的非法入侵，應用級防火墻技術(shù)是全方位地防護相關(guān)應用程序，使用起來比較簡單還能夠有效防止病毒入侵和非法訪問。兩者的防護能力與防護范圍不同，因此在使用過程中需要將兩者融合發(fā)揮作用，在動態(tài)防護、屏蔽路由和包過濾的基礎(chǔ)上，更好地發(fā)揮防火墻防護技術(shù)。入侵檢測技術(shù)是一種辨別網(wǎng)絡(luò)系統(tǒng)的使用是否是惡意行為的技術(shù)，其在動態(tài)中對網(wǎng)絡(luò)進行相關(guān)檢測，及時發(fā)現(xiàn)非法訪問行為和未授權(quán)的活動并反映給計算機用戶，將軟件與硬件融合起來共同對數(shù)據(jù)進行分析和作用，在瑣碎和繁雜的數(shù)據(jù)處理方面不再需要人工操作，減少人力和資源的浪費和管理成本。但從整體來看，效果不如防火墻技術(shù)，也不能夠完全代替防火墻技術(shù)。信息加密技術(shù)包括對稱加密與非對成加密兩種，且隨著時代的發(fā)展不斷優(yōu)化升級。該技術(shù)主要是為了避免數(shù)據(jù)被非法竊取，對相關(guān)重要的信息資料進行加密處理，降低數(shù)據(jù)資料丟失和泄露的概率，從而在數(shù)據(jù)傳遞和資料存儲中保證數(shù)據(jù)資料的完整性和安全性。訪問控制技術(shù)是指通過檢測訪問者的信息在網(wǎng)絡(luò)中保證網(wǎng)絡(luò)資源的安全，包括高層和底層訪問控制兩種訪問模式，前者是檢測資源種類、用戶權(quán)限和用戶口令，后者是指通過通信協(xié)議中的信息判斷訪問者是否合法，并作出相關(guān)反應。

3.3提高企業(yè)網(wǎng)絡(luò)安全管理水平

現(xiàn)代化企業(yè)集團在發(fā)展信息化建設(shè)集成過程中還存在很多網(wǎng)絡(luò)安全隱患，但是傳統(tǒng)管理模式已經(jīng)明顯不適用于目前的發(fā)展情況，網(wǎng)絡(luò)安全受到了更大的威脅，造成的經(jīng)濟損失也較多，所以必須提高企業(yè)的網(wǎng)絡(luò)安全管理水平。首先，要提高企業(yè)網(wǎng)絡(luò)信息化系統(tǒng)管理水平和管理效率，要讓企業(yè)內(nèi)部包括員工和管理層都建立起網(wǎng)絡(luò)安全管理的觀念，創(chuàng)建一個成熟、完善的網(wǎng)絡(luò)安全管理平臺，樹立現(xiàn)代化的網(wǎng)絡(luò)安全管理意識，從而能夠及時解決企業(yè)運營和發(fā)展過程中存在的問題，將企業(yè)發(fā)展中重要的資料信息利用網(wǎng)絡(luò)技術(shù)實行集中性存儲。另外，要對所有員工進行網(wǎng)絡(luò)安全培訓和再教育，提高員工的綜合素質(zhì)水平，以規(guī)范員工對信息化系統(tǒng)的具體操作，將企業(yè)重要數(shù)據(jù)信息進行加密處理和備份處理，企業(yè)要營造一個安全、穩(wěn)定的網(wǎng)絡(luò)安全環(huán)境，防止網(wǎng)絡(luò)病毒和黑客的入侵。其次，企業(yè)要使用有效、實用的安全防護軟件，例如，目前市場上的金山毒霸、360殺毒軟件都得到了廣泛運用，企業(yè)要根據(jù)自身具體情況選擇一個有效的防護軟件抵制外部非法入侵，設(shè)置好相關(guān)的安全管理權(quán)限，創(chuàng)建一個完善、嚴密、分層的安全管理權(quán)限體系，在用戶登錄和用戶訪問環(huán)節(jié)都要設(shè)置權(quán)限和密碼，從而保證企業(yè)的信息安全。最后，要對企業(yè)信息化建設(shè)集成中的防火墻系統(tǒng)和訪問控制模式進行完善的配置，安排一個較為專業(yè)的訪問控制模式，避免網(wǎng)絡(luò)環(huán)境中出現(xiàn)各種意外或者病毒入侵的情況，保證企業(yè)內(nèi)部局域網(wǎng)絡(luò)信息的安全，選擇信息隱藏模式提高網(wǎng)絡(luò)信息安全性。這種信息隱藏模式一般是運用高效的編碼將數(shù)據(jù)修改方法嵌入，包括擴頻嵌入和矩陣編碼，將編碼過程變得更加專業(yè)和復雜，網(wǎng)絡(luò)黑客一般破譯不了，有利于企業(yè)抵御網(wǎng)絡(luò)黑客入侵和系統(tǒng)漏洞，保證企業(yè)信息化建設(shè)集成的健康發(fā)展，提高企業(yè)的經(jīng)濟收益。

4運用虛擬化的云計算平臺創(chuàng)建相關(guān)安全機制

在運用虛擬化的云計算平臺時，要具備更加安全和穩(wěn)定的機制和系統(tǒng)，如行為約束機制、CHAOS系統(tǒng)和Shepherd系統(tǒng)，及時監(jiān)控計算機中的相關(guān)進程、避免用戶錯誤操作，防止非法進程對云計算平臺的破壞，將異常進程進行數(shù)據(jù)安全隔離，從而保證企業(yè)信息化建設(shè)集成中的網(wǎng)絡(luò)安全。

主要參考文獻

［1］王然.企業(yè)信息化建設(shè)集成與網(wǎng)絡(luò)安全措施探究［J］.數(shù)字技術(shù)與應用,2017(1).

第7篇：企業(yè)網(wǎng)絡(luò)安全預案范文

    隨著計算機技術(shù)在電信生產(chǎn)中的廣泛應用,許多企業(yè)員工的計算機技術(shù)得到了一定程度的提高,又因電信企業(yè)各工作站點分布在不同的生產(chǎn)場所,有的生產(chǎn)場所管理不嚴,職工和維護人員口令沒有注意保密,導致企業(yè)內(nèi)部部分員工在非工作時間盜用他人密碼登錄系統(tǒng)進行非法操作,嚴重地威脅到系統(tǒng)數(shù)據(jù)安全及生產(chǎn)流程的有效管理。外部人員的非法入侵。電信企業(yè)計算機網(wǎng)絡(luò)和相關(guān)上級部門實現(xiàn)了互聯(lián),勢必存在著有人通過這種互聯(lián)非法入侵的可能性;同時,因部分設(shè)備廠家遠程維護的需要,提供了部分遠程撥號登錄端口,如果對該登錄端口管理失控,那么設(shè)備供應廠家眾多計算機網(wǎng)絡(luò)高手必然借機非法入侵,使該系統(tǒng)成為他人練習技術(shù)的場所。電腦病毒的破壞。在現(xiàn)代計算機世界里,數(shù)以千萬計的電腦病毒無疑是令無數(shù)計算機工作者頭痛的問題,特別是近年來,破壞硬件的病毒不斷出現(xiàn),例如CIH病毒等,對計算機系統(tǒng)的破壞性大大增強。物理設(shè)備的破壞。因為火災、雷擊、電源、被盜等原因造成小型機或主網(wǎng)絡(luò)設(shè)備服務器的硬件損壞、被盜,導致網(wǎng)絡(luò)中斷,數(shù)據(jù)全部丟失,也是威脅電信企業(yè)計算機網(wǎng)絡(luò)安全的重要因素。

    2電信企業(yè)計算機網(wǎng)絡(luò)安全的防范措施

    通過前面的分析,我們可以知道,電信企業(yè)計算機網(wǎng)絡(luò)平臺上的信息資源事關(guān)廣大客戶能否正常享有電信企業(yè)提供的各項服務及企業(yè)各項業(yè)務生產(chǎn)處理流程能否正常進行,因而一旦安全受到威脅,將會危及整個網(wǎng)絡(luò)的正常運轉(zhuǎn),甚至會使全網(wǎng)的機器癱瘓,大量重要數(shù)據(jù)丟失,造成無法估計的損失。為了防止此類事件的發(fā)生,必須根據(jù)企業(yè)實際情況,制定防范措施,確保網(wǎng)絡(luò)的安全性,筆者認為應該從以下幾個方面來考慮:

    2.1分利用先進的計算機技術(shù),分別在網(wǎng)絡(luò)層、系統(tǒng)設(shè)備層、應用層進行分級安全保護。網(wǎng)絡(luò)建設(shè)時,必須按國際C2級安全性標準來規(guī)劃、設(shè)計;在CISCO路由設(shè)備中,利用CISCOIOS操作系統(tǒng)的安全保護,設(shè)置用戶口令及ENABLE口令,解決網(wǎng)絡(luò)層的安全問題;對廠家遠程維護的撥號上網(wǎng)用戶,加入口令保護,使用加密協(xié)議,監(jiān)控其上網(wǎng)維護過程。構(gòu)建網(wǎng)絡(luò)防火墻體系,過濾縱向網(wǎng)與電信企業(yè)計算機網(wǎng)絡(luò)訴互聯(lián),防止外部用戶的非法入侵。充分利用UNIX系統(tǒng)的安全機制,保證用戶身份、用戶授權(quán)和基于授權(quán)的系統(tǒng)的安全。對各服務器操作系統(tǒng)和數(shù)據(jù)庫設(shè)立訪問權(quán)限;同時,利用UNIX的安全文件,限制遠程登錄主機,以防非法用戶使用TELNET、FTP等遠程登錄工具,進行非法入侵。

    2.2建立電信計算機網(wǎng)絡(luò)電腦病毒立體預防體系。面對日益猖獗的計算機病毒,企業(yè)的計算機管理部門必須建立有效的規(guī)章制度,定期對網(wǎng)絡(luò)系統(tǒng)進行防病毒檢查。

    2.3加強計算機網(wǎng)絡(luò)安全性管理。企業(yè)必須設(shè)立專門的系統(tǒng)安全性管理員,負責整個網(wǎng)絡(luò)系統(tǒng)的安全性監(jiān)控、管理、維護。必須做好小型機及服務器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、核心網(wǎng)絡(luò)路由設(shè)備、網(wǎng)絡(luò)交換機等系統(tǒng)超級用戶的口令管理,嚴格保密,防止他人竊取。因為超級用戶具有至高無上的權(quán)限,其口令為網(wǎng)絡(luò)安全性的第一道大門,一旦失竊,其他安全性措施都將成為空話,系統(tǒng)將可能受到嚴重的破壞。嚴格禁止系統(tǒng)管理員在中心機房之外使用超級用戶口令進行系統(tǒng)維護,確保超級用戶口令安全。建立健全企業(yè)生產(chǎn)用計算機網(wǎng)絡(luò)設(shè)備管理制度,對各生產(chǎn)場所的計算機設(shè)備嚴格管理,實行專人負責管理,嚴禁非工作人員上機操作。

    2.4嚴格維護制度,確保物理設(shè)備的安全。物理設(shè)備的安全是其他安全性措施的基礎(chǔ),如果物理設(shè)備遭到嚴重破壞,如燒毀、雷擊、被盜等,那么其他安全措施、手段將無從談起。系統(tǒng)管理員必須做好機房防火、防盜、防水、防雷等各項安全防范工作,確保網(wǎng)絡(luò)系統(tǒng)物理設(shè)備的安全。系統(tǒng)管理員必須做好經(jīng)常性的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的備份工作,有條件的必須將備份數(shù)據(jù)存放于不同地點的多個介質(zhì)上,以防物理設(shè)備遭到嚴重破壞時,能夠在新設(shè)備上恢復操作系統(tǒng)及數(shù)據(jù)。

第8篇：企業(yè)網(wǎng)絡(luò)安全預案范文

關(guān)鍵詞 網(wǎng)絡(luò)安全；方案設(shè)計；方案實現(xiàn)

中圖分類號 G271 文獻標識碼 A 文章編號 1673-9671-（2012）111-0142-01

計算機網(wǎng)絡(luò)的安全運行，是關(guān)系到一個企業(yè)發(fā)展的重要問題，如何能使得企業(yè)網(wǎng)絡(luò)更為安全，如今已經(jīng)成為了一個熱議的話題。影響網(wǎng)絡(luò)安全的因素有很多種，保護網(wǎng)絡(luò)安全的手段、技術(shù)也很多。對于網(wǎng)絡(luò)安全的保護我們一般都是通過防火墻、加密系統(tǒng)、防病毒系統(tǒng)、身份認證等等方面來保護網(wǎng)絡(luò)的安全。為了保護網(wǎng)絡(luò)系統(tǒng)的安全，我們必須要結(jié)合網(wǎng)絡(luò)的具體需求，把多種安全措施進行總結(jié)，建立一個立體的、全面的、多層次網(wǎng)絡(luò)安全防御系統(tǒng)。

1 影響網(wǎng)絡(luò)安全的因素

網(wǎng)絡(luò)信息的安全問題日益嚴重，這不僅會使企業(yè)遭受到巨大的經(jīng)濟損失，也影響到國家的安全。

如何避免網(wǎng)絡(luò)安全問題的產(chǎn)生，我們必須要清楚因法網(wǎng)絡(luò)安全問題的因素有哪些。我們主要把網(wǎng)絡(luò)安全問題歸納為以下幾個方面：

1.1 人為失誤

人為失去指的是在在無意識的情況下造成的失誤，進而引發(fā)網(wǎng)絡(luò)安全問題。如“非法操作、口令的丟失、資源訪問時控制不合理、管理人員疏忽大意等，這些都會對企業(yè)網(wǎng)絡(luò)系統(tǒng)造成很大的破壞，引發(fā)網(wǎng)絡(luò)安全問題。

1.2 病毒感染

病毒一直以來，都是能夠?qū)τ嬎銠C安全夠成直接威脅的因素，而網(wǎng)絡(luò)更能夠為病毒提供迅速快捷的傳播途徑，病毒很容易通過服務器以軟件的方式下載、郵件等方式進入網(wǎng)絡(luò)，然后對計算機網(wǎng)絡(luò)進行攻擊、破壞，進而會造成很大的經(jīng)濟損失。

1.3 來自企業(yè)網(wǎng)絡(luò)外部的攻擊

企業(yè)網(wǎng)絡(luò)外部的攻擊主要是企業(yè)局域網(wǎng)外部的惡意攻擊，比如：偽裝合法用戶進入企業(yè)網(wǎng)絡(luò)，并占用修改資源；有選擇的來破壞企業(yè)網(wǎng)絡(luò)信息的完整性和有效性；修改企業(yè)網(wǎng)站數(shù)據(jù)、破譯企業(yè)機密、竊取企業(yè)情報、破壞企業(yè)網(wǎng)絡(luò)軟件；利用中間網(wǎng)線來讀取或者攔截企業(yè)絕密信息等。

1.4 來自網(wǎng)絡(luò)內(nèi)部的攻擊

在企業(yè)局域網(wǎng)內(nèi)部，一些非法人員冒用合法的口令，登陸企業(yè)計算機網(wǎng)絡(luò)，產(chǎn)看企業(yè)機密信息，修改企業(yè)信息內(nèi)容，破壞企業(yè)網(wǎng)絡(luò)系統(tǒng)的正常運行。

1.5 企業(yè)網(wǎng)絡(luò)系統(tǒng)漏洞

企業(yè)的網(wǎng)絡(luò)系統(tǒng)不可能是毫無破綻的，而企業(yè)網(wǎng)絡(luò)中的漏洞，總是設(shè)計者預先留下的，為網(wǎng)絡(luò)黑客和工業(yè)間諜提供最薄弱的攻擊部位。

2 企業(yè)計算機網(wǎng)絡(luò)安全方案的設(shè)計與實現(xiàn)

影響計算機網(wǎng)絡(luò)完全因素很多，而相應的保護手段也很多。

2.1 動態(tài)口令身份認證的設(shè)計與實現(xiàn)

動態(tài)口令身份認證具有動態(tài)性、不可逆性、一次性、隨機性等特點，跟傳統(tǒng)靜態(tài)口令相比，增加了計算機網(wǎng)絡(luò)的安全性。傳統(tǒng)的靜態(tài)口令進行身份驗證的時候，很容易導致企業(yè)計算機網(wǎng)絡(luò)數(shù)據(jù)遭到竊取、攻擊、認證信息的截取等諸多問題。而動態(tài)口令的使用不僅保留了靜態(tài)口令的優(yōu)點，又采用了先進的身份認證以及解密流程，而每一個動態(tài)口令只能使用一次，并且對認證的結(jié)果進行記錄，防止同一個口令多次登錄。

2.2 企業(yè)日志管理與備份的設(shè)計與實現(xiàn)

企業(yè)要想保證計算機網(wǎng)絡(luò)的安全，對于計算機網(wǎng)絡(luò)進行日志管理和備份是不可缺少的內(nèi)容，日志管理和備份數(shù)據(jù)系統(tǒng)是計算機運行的基礎(chǔ)。計算機在運行過程中難保不會出現(xiàn)故障，而計算機中的數(shù)據(jù)和資料的一個企業(yè)的血液，如果數(shù)據(jù)和資料丟失，會給企業(yè)今后的發(fā)展帶來巨大的不便，為了避免數(shù)據(jù)資料的丟失，我們就應當對計算機網(wǎng)絡(luò)做好數(shù)據(jù)備份以及數(shù)據(jù)歸檔的保護措施。這些都是維護企業(yè)網(wǎng)絡(luò)安全的最基本的措施與工作。

2.3 病毒防護設(shè)計與實現(xiàn)

計算機病毒每年都在呈上漲的趨勢，我國每年遭受計算機入侵的網(wǎng)絡(luò)，占到了相當高的比例。計算機病毒會使計算機運行緩慢，對計算機網(wǎng)絡(luò)進行有目的的破壞行為。目前Internet在飛速的發(fā)展，讓病毒在網(wǎng)上出現(xiàn)之后，會很快的通過網(wǎng)絡(luò)進行傳播。對于企業(yè)計算機網(wǎng)絡(luò)，應當時刻進行監(jiān)控以及判斷系統(tǒng)中是否有病毒的存在，要加大對于病毒的檢測。處理、免疫及對抗的能力。而企業(yè)使用防病毒系統(tǒng)，可以有效的防止病毒入侵帶來的損失。為了使企業(yè)的網(wǎng)絡(luò)更加安全，要建立起一個完善的防病毒系統(tǒng)，制定相應的措施和病毒入侵時的緊急應急措施，同時也要加大工作人員的安全意識。

病毒會隨著時間的推移變的隨時都有可能出現(xiàn)，所以企業(yè)中計算機網(wǎng)絡(luò)安全人員，要隨時加強對于防毒系統(tǒng)的升級、更新、漏洞修復，找出多種不同的防毒方法，提高企業(yè)計算機網(wǎng)絡(luò)防病毒的能力。

2.4 防火墻技術(shù)設(shè)計與實現(xiàn)

Internet使用過程中，要通過內(nèi)網(wǎng)。外網(wǎng)的連接來實現(xiàn)訪問，這些就給網(wǎng)絡(luò)黑客們提供了良好的空間與環(huán)境。目前，企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)，采用防火墻技術(shù)，能有效的保證企業(yè)的機密不會受到網(wǎng)絡(luò)黑客以及工業(yè)間諜的入侵，這種方法也是維護企業(yè)計算機網(wǎng)絡(luò)最有效、最經(jīng)濟的方法，因為防火墻系統(tǒng)是企業(yè)計算機網(wǎng)絡(luò)安全的最前面屏障，能有效的組織入侵情況的發(fā)生。所以企業(yè)計算機網(wǎng)絡(luò)第一個安全措施就是安裝以及應用防火墻。防火墻一般是安裝在內(nèi)部網(wǎng)絡(luò)出口處，在內(nèi)網(wǎng)與外網(wǎng)之間。

防火墻最大的特點是所有的信息傳遞都要經(jīng)過它，這樣就能有效的避免企業(yè)網(wǎng)絡(luò)遭到非法入侵，防火本身的具有很高的可靠性，它可以加強對企業(yè)網(wǎng)絡(luò)的監(jiān)督，防止外部入侵和黑客攻擊造成的信息泄露，

2.5 網(wǎng)絡(luò)安全設(shè)計的實現(xiàn)

在企業(yè)網(wǎng)絡(luò)運行中，與用戶和各個系統(tǒng)之間，存在著信息交換的過程，這些信息包括信息代碼、電子文稿、文檔等，所以總會有各種網(wǎng)絡(luò)安全的問題出現(xiàn)。為了保障網(wǎng)絡(luò)的安全性和客戶使用的合法性，就要去嚴格的限制登錄者的操作權(quán)限，增加口令的復雜程度。當工作人員離職要對于網(wǎng)絡(luò)口令認證做出相應的調(diào)整，以避免帶來的不便。

3 總結(jié)

現(xiàn)今網(wǎng)絡(luò)在現(xiàn)代生活中發(fā)展迅速，然而網(wǎng)絡(luò)安全的系統(tǒng)也日益突出。作為一個企業(yè)如何的保證自己網(wǎng)絡(luò)的安全性，使自身能夠更快更好的發(fā)展，面對著網(wǎng)絡(luò)入侵的行為要進行如何的防御，已經(jīng)是一個越來越迫切的問題。我們只有從實際出發(fā)，去構(gòu)建一個完整的安全的網(wǎng)絡(luò)防御系統(tǒng)，才能保證企業(yè)網(wǎng)絡(luò)的安全。

參考文獻

[1]唐紅亮.防火墻設(shè)計淺析[J].中國科技信息，2009，06.

第9篇：企業(yè)網(wǎng)絡(luò)安全預案范文

【關(guān)鍵詞】企業(yè)網(wǎng)絡(luò) 信息安全 策略設(shè)計

隨著社會經(jīng)濟的快速發(fā)展，計算機信息技術(shù)介入人們生活的方方面面。企業(yè)網(wǎng)絡(luò)的信息安全策略是涵蓋多方面的，既有管理安全，也有技術(shù)安全，既有物理安全策略，也有網(wǎng)絡(luò)安全策略。企業(yè)網(wǎng)絡(luò)應實現(xiàn)科學的安全管理模式，結(jié)合網(wǎng)絡(luò)設(shè)備功能的不同對整體網(wǎng)絡(luò)進行有效分區(qū)，可分為專網(wǎng)區(qū)、服務器區(qū)以及內(nèi)網(wǎng)公共區(qū)，并部署入侵檢測系統(tǒng)與防火墻系統(tǒng)，對內(nèi)部用戶威脅到網(wǎng)絡(luò)安全的行為進行阻斷。下面著重闡述企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)層安全策略：

一、企業(yè)網(wǎng)絡(luò)設(shè)備安全策略分析

隨著網(wǎng)絡(luò)安全形勢的日趨嚴峻，不斷有新的攻擊手段被發(fā)現(xiàn)，而這些手段的攻擊目標也已經(jīng)從用戶終端、服務器厭延展至交換機、路由器等硬件設(shè)施。而交換機與路由器屬于網(wǎng)絡(luò)核心層的重點設(shè)備，如果這些設(shè)備退出服務，企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全便會面臨很大的威脅。由此本文給出以下的網(wǎng)絡(luò)設(shè)備安全策略。

最大化地關(guān)閉網(wǎng)絡(luò)交換機上的服務種類。尤其是不經(jīng)常使用的服務更應關(guān)閉，舉例來講：交換機的鄰居發(fā)現(xiàn)服務CDP，其功能是辨認一個網(wǎng)絡(luò)端口連接到哪一個另外的網(wǎng)絡(luò)端口，鄰居發(fā)現(xiàn)服務鎖發(fā)出和接收的數(shù)據(jù)包很容易暴露用戶終端的屬性信息，包括交換機端口與用戶終端的IP信息，網(wǎng)絡(luò)交換機的型號與版本信息，本地虛擬局域網(wǎng)屬性等。因此，本文建議在不常使用此服務的情況下，應該關(guān)閉鄰居發(fā)現(xiàn)服務。另外，一些同樣不常使用的服務，包括交換機自舉服務、文件傳輸服務、簡單文件傳輸服務、網(wǎng)絡(luò)時間同步服務、查詢用戶情況服務、簡單網(wǎng)絡(luò)管理服務、源路徑路由服務、ARP服務等等。

企業(yè)信息系統(tǒng)的網(wǎng)管往往以Telnet協(xié)議實現(xiàn)對全網(wǎng)所有交換機、路由器的配置與管理。眾所周知，此協(xié)議使用的是明文傳輸模式，因此在信息安全方面不輸于非常可靠的協(xié)議。入侵者只要以抓包軟件便能夠輕易得知網(wǎng)管的登錄ID與密碼，以抓包軟件同樣能夠獲取網(wǎng)絡(luò)管理員發(fā)出、受到的全部數(shù)據(jù)。所以在網(wǎng)絡(luò)管理中，應引入安全性能更高的協(xié)議，本文推薦SSH（Secure Shell Client）協(xié)議。這種協(xié)議借助RSA生成安全性能極高的簽名證書，通過該證書，全部以SSH協(xié)議進行傳輸?shù)臄?shù)據(jù)包都被良好加密。此外VTP 的安全使用也是一個應該得到重視的問題，VTP應配置強口令。

二、企業(yè)信息系統(tǒng)網(wǎng)絡(luò)端口安全策略

由于大部分企業(yè)網(wǎng)絡(luò)的終端均以網(wǎng)絡(luò)交換機在接入層連入網(wǎng)絡(luò)，而網(wǎng)絡(luò)交換機屬于工作在ISO第二層的設(shè)備，當前有不少以第二層為目標的非法攻擊行為，為網(wǎng)絡(luò)帶來了不容忽視的安全威脅。

二層網(wǎng)絡(luò)交換機使用的數(shù)據(jù)轉(zhuǎn)發(fā)方式是以CAM表為基礎(chǔ)的。在網(wǎng)絡(luò)交換機加點之后，首選會清空CAM 表，并立即啟動數(shù)據(jù)幀源地址學習，并將這些信息存入交換機CAM表中。這時候，加入非法入侵者通過偽造自身的MAC地址并不停地發(fā)出數(shù)據(jù)幀結(jié)構(gòu)，便很容易導致網(wǎng)絡(luò)交換機CAM表溢出，服務失效。而此時便會導致該MAC的流量向交換機其他端口轉(zhuǎn)發(fā)，為非法入侵者提供網(wǎng)絡(luò)竊聽的機會，很容易造成攻擊風險。本文所推薦的策略是：網(wǎng)絡(luò)交換機的端口安全維護應隨時打開；在交換機配置中設(shè)置其學習MAC地址的最大數(shù)目為1；設(shè)置網(wǎng)絡(luò)交換機能夠存儲其學習到的全部MAC地址；一旦網(wǎng)絡(luò)交換機的安全保護被觸發(fā)，則丟棄全部MAC 地址的流量，發(fā)送告警信息。對網(wǎng)絡(luò)交換機進行以上的配置，一方面能夠防止基于交換機MAC地址的泛洪攻擊，另一方面也能對網(wǎng)絡(luò)內(nèi)部的合法地址做好記錄。

在成功阻止未知MAC地址接入的基礎(chǔ)上，還應阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略，這是由于網(wǎng)絡(luò)交換機不必向所有端口廣播未知幀，因此可以對未知幀進行阻止，增強網(wǎng)絡(luò)交換機安全性。

三、企業(yè)信息系統(tǒng)網(wǎng)絡(luò)BPDU防護策略

一般情況下，企業(yè)的內(nèi)部網(wǎng)絡(luò)往往以網(wǎng)絡(luò)交換機作為網(wǎng)絡(luò)拓撲的支撐，因為考慮到交換機通道的溝通，加之系統(tǒng)冷、熱備份的出發(fā)點，在企業(yè)網(wǎng)絡(luò)中是存在第二層環(huán)路的，這就容易引發(fā)多個幀副本的出現(xiàn)，甚至引起基于第二層的數(shù)據(jù)包廣播風暴，為了避免此種情況的發(fā)生，企業(yè)網(wǎng)絡(luò)往往引入了STP協(xié)議。而這種協(xié)議的效果則取決于交換機共享的BPDU信息。這就為一些攻擊者提供了機會，通過假冒優(yōu)先級低的BPDU數(shù)據(jù)包，攻擊者向二層網(wǎng)絡(luò)交換機發(fā)送。由于這種情況下入侵檢測系統(tǒng)與網(wǎng)絡(luò)防火墻均無法生效，就導致攻擊者能夠方便地獲取網(wǎng)絡(luò)信息?？梢圆捎玫姆婪洞胧椋涸诙泳W(wǎng)絡(luò)交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口，使其對BPDU數(shù)據(jù)包不進行任何處理，加入收到此種類型的數(shù)據(jù)包，該端口將會自動設(shè)置為“服務停止”。在此基礎(chǔ)上，在根交換機上引入鏈路監(jiān)控體系。一旦該交換機設(shè)備檢測到優(yōu)先級更高的 BPDU數(shù)據(jù)包，則發(fā)出“失效”的消息，及時阻塞端口。

四、企業(yè)信息系統(tǒng)網(wǎng)絡(luò)Spoof防護策略

在企業(yè)內(nèi)部網(wǎng)絡(luò)中，往往有著大量的終端機，出于安全性與可靠性的考慮，這些終端機均以動態(tài)主機設(shè)置協(xié)議獲得自身的IP地址。這就為Spoof 攻擊留下了機會。在這種攻擊中，非法入侵者會將自身假冒動態(tài)主機設(shè)置協(xié)議服務器，同時向用戶主機發(fā)出假冒的動態(tài)IP配置數(shù)據(jù)包，導致用戶無法獲取真實IP，不能聯(lián)網(wǎng)?？梢圆捎玫姆婪洞胧椋阂雱討B(tài)主機設(shè)置協(xié)議Snooping 策略。在二層網(wǎng)絡(luò)交換機上安裝Snooping模塊并激活，系統(tǒng)便會把設(shè)備的全部可用端口設(shè)置為untrust 接口。這種接口能夠收到消息，并丟棄假冒的動態(tài)IP配置數(shù)據(jù)包，從而防止Spoof 攻擊帶來的風險。

考慮到地址解析協(xié)議在安全方面的防范性不足，加入非法入侵者不斷地發(fā)出ARP數(shù)據(jù)包，便容易導致全部用戶終端的ARP表退出服務，除去靜態(tài)綁定IP與MAC之外，本文推薦動態(tài)ARP監(jiān)測策略。此種策略會將交換機全部端口設(shè)置為untrust狀態(tài)。此種狀態(tài)之下，端口將無法發(fā)出ARP的響應，因此，黨用戶主機染毒時，其發(fā)出的假冒ARP數(shù)據(jù)包將由于與列表不匹配而被丟棄，系統(tǒng)安全得到了保障。

五、結(jié)束語

W絡(luò)安全是一項綜合的管理工程，意義重大。企業(yè)的網(wǎng)絡(luò)安全一旦出現(xiàn)問題，極有可能造成巨大損失，到那時即使再投入大量資金進行彌補也為時已晚。因此，企業(yè)應未雨綢繆，認清事實、正視事實、立足長遠，重視網(wǎng)絡(luò)安全問題，這樣才能保證企業(yè)網(wǎng)絡(luò)的安全，從而實現(xiàn)企業(yè)長足發(fā)展。