企業(yè)網(wǎng)絡(luò)安全建議精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)網(wǎng)絡(luò)安全建議主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)網(wǎng)絡(luò)安全建議范文

一．研究內(nèi)容

本報告研究內(nèi)容主要包括以下幾個方面：1．中小企業(yè)網(wǎng)絡(luò)安全的需求特點。根據(jù)對中小企業(yè)的分類（見報告正文），分別對初級、中級、高級中小企業(yè)網(wǎng)絡(luò)安全的需求特點做了分析。

2．針對初級、中級、高級中小企業(yè)的網(wǎng)絡(luò)安全需求分別研究了解決方案。

3．對中小企業(yè)網(wǎng)絡(luò)安全市場做了增長趨勢預(yù)測。

4．分析了網(wǎng)絡(luò)安全廠商的捆綁策略，并對網(wǎng)絡(luò)安全廠商合作中需要注意的問題和選擇合作伙伴的標(biāo)準(zhǔn)做了建議。

二．中小企業(yè)網(wǎng)絡(luò)安全的需求

1．中級中小企業(yè)防入侵、防垃圾郵件的需求沒有得到中小企業(yè)的足夠重視，這兩個方面的需求沒有得到有效的滿足。市場上雖然有解決此類問題的產(chǎn)品，但由于中級中小企業(yè)防護(hù)意識的缺乏，以及存在信息不對稱和相關(guān)知識缺乏的問題，需求并沒有被滿足。這需要廠商加強宣傳和引導(dǎo)。

2．高級中小企業(yè)的網(wǎng)絡(luò)安全方面，防止內(nèi)部人員竊取和攻擊、防止無線數(shù)據(jù)的攔截這兩方面沒有得到中小企業(yè)的足夠重視。網(wǎng)絡(luò)安全廠商所關(guān)注的重點，仍主要集中于防病毒、防垃圾郵件、防止非法入侵、身份識別與訪問控制、反端口掃描、數(shù)據(jù)的備份和恢復(fù)等方面，對防止內(nèi)部人員竊取和攻擊、防止無線數(shù)據(jù)的攔截這兩方面重視程度不夠。例如防止無線數(shù)據(jù)的攔截方面，網(wǎng)絡(luò)安全市場就缺乏針對中小企業(yè)此方面需求的相關(guān)產(chǎn)品。

三．中小企業(yè)網(wǎng)絡(luò)安全市場的增長趨勢

1．初級中小企業(yè)網(wǎng)絡(luò)安全的市場價值20__年為0.7億元人民幣。在20__年，市場價值將增加到1.6億元人民幣，但年增長率由20__年的42.9降低到20__年的23.1。

2．中級中小企業(yè)網(wǎng)絡(luò)安全的市場價值在20__年為2.2億元人民幣。20__年市場價值將增加到5.3億元人民幣，但年增長率由20__年的45.5降低到20__年的23.3。

第2篇：企業(yè)網(wǎng)絡(luò)安全建議范文

關(guān)鍵詞：網(wǎng)絡(luò)；安全管理；技術(shù)

隨著科學(xué)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)信息技術(shù)的全球化運轉(zhuǎn)，網(wǎng)絡(luò)信息技術(shù)已經(jīng)深入了各行各業(yè)的運營管理發(fā)展中。網(wǎng)絡(luò)信息技術(shù)具有快速、準(zhǔn)確、系統(tǒng)等多方面的信息傳遞優(yōu)勢，運用網(wǎng)絡(luò)信息技術(shù)進(jìn)行企業(yè)經(jīng)營管理，直接影響了整個企業(yè)的經(jīng)濟(jì)效益和經(jīng)營管理效率。但是，隨著企業(yè)管理網(wǎng)絡(luò)的不斷擴(kuò)大和衍生，網(wǎng)絡(luò)安全管理難度系數(shù)越來越大，經(jīng)常會因為各種網(wǎng)絡(luò)安全問題導(dǎo)致企業(yè)網(wǎng)絡(luò)癱瘓，企業(yè)一旦遭遇網(wǎng)絡(luò)癱瘓的癥狀，會對企業(yè)的經(jīng)營管理造成極大的影響，直接損壞了企業(yè)的經(jīng)濟(jì)效益[1]。因此，各企業(yè)運營中越來越重視其網(wǎng)絡(luò)安全管理工作，本文重點分析了網(wǎng)絡(luò)安全管理技術(shù)問題，并提出了解決方案。

1 網(wǎng)絡(luò)安全管理主要解決的問題

網(wǎng)路安全管理對企業(yè)網(wǎng)絡(luò)系統(tǒng)的正常運營具有重大意義，其安全管理工作包括防火墻的設(shè)置、網(wǎng)絡(luò)密碼加密、電子服務(wù)器認(rèn)證系統(tǒng)以及病毒防控等內(nèi)容，在安全管理工作當(dāng)中一旦忽略了當(dāng)中某一個安全管理環(huán)節(jié)，會導(dǎo)致網(wǎng)絡(luò)安全出現(xiàn)漏洞，嚴(yán)重影響整個網(wǎng)絡(luò)系統(tǒng)的正常運營工。因此，如何保證網(wǎng)絡(luò)安全管理工作備受業(yè)界關(guān)注。目前網(wǎng)絡(luò)安全管理工作需要解決的主要問題包括：

⑴進(jìn)行嚴(yán)密的安全監(jiān)控是網(wǎng)絡(luò)安全管理工作的一個重要部分。通過安全監(jiān)控工作企業(yè)可以及時了解企業(yè)內(nèi)部網(wǎng)絡(luò)的安全狀況，一旦出現(xiàn)問題，可以及時發(fā)現(xiàn)并采取相應(yīng)的措施進(jìn)行監(jiān)控。

⑵對企業(yè)網(wǎng)絡(luò)進(jìn)行補丁管理的配置，在網(wǎng)絡(luò)安全監(jiān)控工作中一旦出現(xiàn)企業(yè)安全漏洞，可以通過補丁快速進(jìn)行修復(fù)，這樣一方面可以大大提高網(wǎng)絡(luò)系統(tǒng)安全防御能力，同時又能較好的控制企業(yè)用戶的授權(quán)問題。

⑶對企業(yè)網(wǎng)絡(luò)進(jìn)行集中策略的管理，通過以網(wǎng)絡(luò)系統(tǒng)為主單位，建議一個自上而下的安全管理策略，將安全管理策略融入到企業(yè)網(wǎng)絡(luò)系統(tǒng)的不同執(zhí)行點當(dāng)中，對網(wǎng)絡(luò)安全管理工作具有重要意義。

2 網(wǎng)絡(luò)安全管理的核心要素

網(wǎng)絡(luò)安全管理的主要包括安全策略、安全配置以及安全事件等元素，其具體內(nèi)容包括以下幾個方面：

2.1 安全策略

在網(wǎng)絡(luò)安全管理技術(shù)當(dāng)中實施安全策略是網(wǎng)絡(luò)安全的首要因素。通過網(wǎng)絡(luò)安全管理策略的制定，可以明確網(wǎng)絡(luò)安全系統(tǒng)建立的理論原因，明確網(wǎng)絡(luò)安全管理的具體內(nèi)容以及可以得到什么樣的保護(hù)。通過安全策略對網(wǎng)絡(luò)管理規(guī)定的安全原則，來定義網(wǎng)絡(luò)安全管理的對象、安全管理方法以及網(wǎng)絡(luò)安全狀態(tài)。另外安全策略指定的過程中要遵守安全管理工作的一致性，避免系統(tǒng)內(nèi)部安全管理工作當(dāng)中出現(xiàn)沖突和矛盾，否則容易造成網(wǎng)絡(luò)安全管理工作的失控[2]。

2.2 安全配置

網(wǎng)絡(luò)安全配置是指構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)的各種設(shè)置、網(wǎng)絡(luò)系統(tǒng)管理的安全選項、安全策略以及安全規(guī)則等配置，對網(wǎng)絡(luò)安全管理具有重要意義。一般情況下，網(wǎng)絡(luò)安全管理配置主要包括網(wǎng)絡(luò)運營系統(tǒng)中的防火墻設(shè)置、網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)、操作系統(tǒng)等安全設(shè)置，在實際運營過程當(dāng)中要對網(wǎng)絡(luò)安全配置進(jìn)行嚴(yán)格的控制和管理，禁止任何人對網(wǎng)絡(luò)安全配置進(jìn)行更改操作。

2.3 安全事件

網(wǎng)絡(luò)安全事件主要是指影響網(wǎng)絡(luò)安全以及整個計算機系統(tǒng)的惡意行為。主要包括計算機網(wǎng)絡(luò)遭到惡意攻擊和非法侵入，網(wǎng)絡(luò)遭遇惡意攻擊和非法入侵會導(dǎo)致企業(yè)利用網(wǎng)絡(luò)進(jìn)行的商業(yè)活動被迫終止，程序停止運營，極大程度上影響了企業(yè)網(wǎng)絡(luò)安全管理工作[3]。破壞網(wǎng)絡(luò)安全的惡意行為通常表現(xiàn)為，利用木馬病毒的入侵復(fù)制、盜竊企業(yè)內(nèi)部資料和信息；組織企業(yè)利用網(wǎng)絡(luò)進(jìn)行的商業(yè)活動；終止企業(yè)運營過程中需要用到的網(wǎng)絡(luò)資源；監(jiān)控企業(yè)的實際運營管理工作，這給企業(yè)正常經(jīng)營管理工作帶來極大的影響。

3 網(wǎng)絡(luò)安全管理發(fā)展趨勢

現(xiàn)階段網(wǎng)絡(luò)安全管理技術(shù)還比較單調(diào)，尚未形成一個系統(tǒng)的安全管理機制，在實際管理工作當(dāng)中還存在許多不足。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和進(jìn)步，網(wǎng)絡(luò)安全管理技術(shù)也將得到快速發(fā)展，網(wǎng)絡(luò)安全管理體系將對安全軟件以及安全設(shè)備進(jìn)行集中化管理，通過對網(wǎng)絡(luò)安全的全面監(jiān)控，切實保障網(wǎng)絡(luò)安全的可靠性，及時發(fā)現(xiàn)運營過程中存在的網(wǎng)絡(luò)安全隱患；同時，網(wǎng)絡(luò)安全管理技術(shù)將實現(xiàn)系統(tǒng)動態(tài)反應(yīng)以及應(yīng)急處理中心，實現(xiàn)對突發(fā)網(wǎng)絡(luò)安全事件進(jìn)行有效預(yù)案處理；另外，企業(yè)網(wǎng)絡(luò)安全管理還將對網(wǎng)絡(luò)系統(tǒng)的相關(guān)管理人員、軟件、硬件等安全設(shè)置集中管理中心，完善安全管理系統(tǒng)[4]。

因此，企業(yè)要加強對網(wǎng)絡(luò)信息技術(shù)的安全管理，采取措施嚴(yán)格控制病毒、黑客對企業(yè)網(wǎng)絡(luò)系統(tǒng)的攻擊，維護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性，保證企業(yè)在激烈的競爭環(huán)境中長遠(yuǎn)發(fā)展下去。

[參考文獻(xiàn)]

[1]中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標(biāo)準(zhǔn)化管理委員會.信息技術(shù)安全技術(shù).信息安全管理實用規(guī)則[s].中國高新技術(shù)企業(yè)，2010，（1）：121-122.

[2]wimmasat山ngs，著，楊明，青光輝，齊東望，等，譯.密碼編碼學(xué)與網(wǎng)絡(luò)安全：原理與實踐（第二版），電子工業(yè)出版社，2001.4.

第3篇：企業(yè)網(wǎng)絡(luò)安全建議范文

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)；安全

中圖分類號：TP309.1文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2011) 24-0000-01

Enterprise Network Security Management

Chen Xianhai

(Telecommunication&Information Center State Administration of Work Safety,Beijing100013,China)

Abstract:With the rapid development of computer network,our society is undergoing great changes,and enterprise’s network security is increasingly subject to greater attention.Therefore,in order to ensure the smooth running and ensure the effective transfer of information,we must emphasis on enterprise network security management.

Keywords:Enterprise;Network;Security

企業(yè)運行過程中需要大量的信息，同時很多信息將會通過網(wǎng)絡(luò)進(jìn)行上傳下達(dá)，在企業(yè)運行期間是不允許中斷的，一旦斷網(wǎng)將會對企業(yè)運行產(chǎn)生重大的負(fù)面影響。但目前而言，企業(yè)網(wǎng)絡(luò)安全仍然存在一些不安全因素，因此，為了保證企業(yè)順利運行，保證信息的有效傳遞，研究企業(yè)網(wǎng)絡(luò)的安全是很現(xiàn)實也是很有必要的。

一、企業(yè)網(wǎng)絡(luò)的特點

（一）企業(yè)內(nèi)部網(wǎng)絡(luò)與外界絕對隔絕。企業(yè)內(nèi)部網(wǎng)絡(luò)是單獨的一個互聯(lián)專網(wǎng)，它沒有與Internet的接入口，而且，企業(yè)網(wǎng)絡(luò)的所有接入端都是在企業(yè)內(nèi)部，其他人員輕易不可能接觸到接入點，所以，通過Internet將無法連接到企業(yè)內(nèi)部網(wǎng)絡(luò)。

（二）實時性要求高。企業(yè)網(wǎng)絡(luò)大部分時間主要傳遞企業(yè)本文資料，視頻和圖形圖象的傳遞較少，因此流量不是很大，但是，有時也需要將一些特殊資料如視頻、圖形、會議等通過網(wǎng)絡(luò)實時的傳遞到各部門、各分支機構(gòu)，所以要保證這些信息能夠在快速高效的傳遞，網(wǎng)絡(luò)的接入端也應(yīng)采用高帶寬，以免為企業(yè)決策造成貽誤。

（三）絕大部分接入點在企業(yè)內(nèi)部。企業(yè)網(wǎng)絡(luò)的接入點大都是在企業(yè)內(nèi)部，盡量做到集中管理，盡量降低信息接入點被其他個人或機構(gòu)影響的可能性。

（四）企業(yè)網(wǎng)絡(luò)出問題帶來的后果比Internet出問題大得多。企業(yè)網(wǎng)絡(luò)如果出現(xiàn)服務(wù)器被攻擊癱瘓、網(wǎng)絡(luò)設(shè)備被堵塞，造成斷網(wǎng)或者服務(wù)器不能訪問，在企業(yè)管理中各個部門將無法獲取所需信息，嚴(yán)重得的話將會影響到企業(yè)的戰(zhàn)略決策。

從以上分析比較可知，盡管互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡(luò)原理一樣，結(jié)構(gòu)上卻存在較大的差異，也正是企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的特殊性，大大增加了企業(yè)網(wǎng)絡(luò)的安全，但它仍然存在一些不安全的因素。

二、企業(yè)網(wǎng)絡(luò)不安全的因素

（一）物理鏈路的不安全。有的企業(yè)各分支機構(gòu)分布在全國來說是比較分散的，要使各分支機構(gòu)全部納入統(tǒng)一管理必然將部分物理鏈路分散管理，這樣地方人員將能夠接觸到這些鏈路，使這部分物理鏈路有可能成為攻擊、竊取的目標(biāo)，這是對企業(yè)網(wǎng)絡(luò)安全管理最大的威脅，同時也是企業(yè)內(nèi)信息最可能泄露的地域。另外，如果有人對物理鏈路進(jìn)行竊聽或者剪斷，將會使這些單位造成長時間斷網(wǎng)，無法發(fā)送和接收信息，或者傳遞的信息將可能被竊取，造成泄密。

（二）接入端信息接入點的不安全。對企業(yè)網(wǎng)絡(luò)來說，接入端也有不安全因素，這些接入點將最有可能被竊取，只要一個信息接入點被成功竊入，那么信息就有可能借此被竊取，為企業(yè)信息管理帶來麻煩。

（三）違規(guī)使用造成的不安全。由于人員結(jié)構(gòu)的復(fù)雜性，導(dǎo)致有些員工私自使用軟件、存儲介質(zhì)，甚至個人PC，從而可能導(dǎo)致病毒在網(wǎng)絡(luò)上的傳播；同時，將企業(yè)專用的存儲介質(zhì)在企業(yè)網(wǎng)絡(luò)和Internet之間互用，造成企業(yè)信息在Internet上的泄露，同時將病毒帶入網(wǎng)絡(luò)，對企業(yè)造成危害。

從上述分析可知，盡管企業(yè)網(wǎng)絡(luò)從結(jié)構(gòu)上解決了一定的安全問題，但是由于其特殊性，它仍然存在一些不安全因素，這些不安全因素將會是企業(yè)網(wǎng)絡(luò)的薄弱點，也是企業(yè)網(wǎng)絡(luò)安全管理應(yīng)特別注重的地方。

三、解決企業(yè)網(wǎng)絡(luò)不安全因素的幾點建議

（一）技術(shù)方面：一是對核心的數(shù)據(jù)庫服務(wù)器和網(wǎng)頁服務(wù)器要運用高性能防火墻保護(hù)；二是對整個系統(tǒng)部署統(tǒng)一的防病毒軟件，安裝網(wǎng)絡(luò)入侵檢測系統(tǒng)加強對入侵行為的監(jiān)控；三是對異地連接的系統(tǒng)要運用數(shù)據(jù)加密技術(shù)；四是對應(yīng)用系統(tǒng)要強化口令和賬號設(shè)置，提高對使用人員的身份鑒別與認(rèn)證的可靠性；五是強化對重要業(yè)務(wù)系統(tǒng)的操作審計；六是重要數(shù)據(jù)進(jìn)行異地備份存儲等。

（二）管理方面：一是結(jié)合系統(tǒng)實際制定統(tǒng)一的安全管理制度和操作規(guī)程指導(dǎo)安全操作；二是指點專人負(fù)責(zé)對系統(tǒng)的日常運行與維護(hù)工作；三是要對安全產(chǎn)品配置進(jìn)行定期審計；四是對系統(tǒng)和漏洞要進(jìn)行制度化的加固和修補；五是要制訂應(yīng)急措施，制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小；六是對安全等級要求較高的系統(tǒng)，實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域；七是強化物理訪問控制，設(shè)置警示牌、欄桿、柵欄和崗哨，加固門窗等。

（三）制度方面：對風(fēng)險進(jìn)行持續(xù)性控制，必須有嚴(yán)格的制度作保證。通過將有效的風(fēng)險控制活動，用條文的形式固定下來，列入企業(yè)計算機網(wǎng)絡(luò)安全管理規(guī)章制度，要求組織內(nèi)的成員必須遵照執(zhí)行，使對風(fēng)險的控制步入到經(jīng)?；椭贫然能壍郎蟻?。

（四）教育培訓(xùn)方面。在信息安全風(fēng)險管理控制的過程中，人的因素至關(guān)重要，如果組織只是實施了技術(shù)性的控制措施，但卻忽略了與計算機網(wǎng)絡(luò)相關(guān)的操作人員、管理人員和用戶的安全意識的提升及安全技能的掌握，安全控制措施就不可能穩(wěn)定而持續(xù)地發(fā)揮效力，因此應(yīng)加強對企業(yè)計算機網(wǎng)絡(luò)相關(guān)人員的教育和培訓(xùn)。

總之，對企業(yè)網(wǎng)絡(luò)安全風(fēng)險的控制是一項系統(tǒng)工程，必須綜合考慮多種控制措施，才能提高控制的有效性和針對性，實現(xiàn)控制的目的。

參考文獻(xiàn)：

[1]彭俊好.信息安全風(fēng)險評估方法綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,3

第4篇：企業(yè)網(wǎng)絡(luò)安全建議范文

關(guān)鍵詞: 企業(yè);網(wǎng)絡(luò)安全;隱患;安全維護(hù)措施

0 前言

互聯(lián)網(wǎng)絡(luò)運用于生活和工作的各個領(lǐng)域,顛覆了傳統(tǒng)的生產(chǎn)形式,對生產(chǎn)力的發(fā)展與提高起著重要作用;許多電力企業(yè)都意識到互聯(lián)網(wǎng)對于企業(yè)生產(chǎn)經(jīng)營的重要性,近幾年信息化建設(shè)速度明顯加快,并且對企業(yè)網(wǎng)絡(luò)不斷進(jìn)行優(yōu)化、調(diào)整;除此之外,在電力企業(yè)各下屬網(wǎng)點還先后投入使用各種智能系統(tǒng),如視頻監(jiān)視系統(tǒng)、智能操作控制系統(tǒng)等。上述智能系統(tǒng)的使用和推廣,幫助電力企業(yè)提高了經(jīng)營管理水平,對企業(yè)生產(chǎn)經(jīng)營發(fā)揮了重要作用。隨著我國電力企業(yè)信息化程度的不斷提高,因此保證企業(yè)網(wǎng)絡(luò)安全是企業(yè)經(jīng)營活動正常開展的基礎(chǔ)。電力企業(yè)網(wǎng)絡(luò)安全管理方案的形成,是企業(yè)業(yè)務(wù)的客觀需求,同時也是網(wǎng)絡(luò)安全領(lǐng)域發(fā)展的必然結(jié)果,將經(jīng)濟(jì)效益和社會影響相結(jié)合進(jìn)行綜合考慮,可以看出重視網(wǎng)絡(luò)安全管理及系統(tǒng)的維護(hù)建設(shè)是電力企業(yè)的當(dāng)務(wù)之急[1]。

1 企業(yè)網(wǎng)絡(luò)安全需求

電力企業(yè)對網(wǎng)絡(luò)安全的需求主要包括以下幾點:1)要確保擁有一個安全的網(wǎng)絡(luò)環(huán)境首先需要保證機房可以為各種設(shè)備提供良好的運行環(huán)境,機房需要有門禁系統(tǒng)、防火、防雷電及防潮等相關(guān)設(shè)備。同時為機房配備空調(diào),保持機房內(nèi)溫度處于恒溫狀態(tài),值班人員每天要按時巡檢,對于發(fā)現(xiàn)的問題要及時解決或報告。以某電力企業(yè)的機房改造工程為例,改造之后的機房條件雖然有較大改善,但仍存在一些問題。例如電池組超過使用期限,防潮防雷電等措施不到位,無發(fā)電設(shè)備及冗余供電線路等等;甚至有的電力企業(yè)根本沒有專門的機房,網(wǎng)絡(luò)設(shè)備胡亂堆放,并未采取任何防護(hù)措施,閑雜人員可以隨意進(jìn)出,網(wǎng)絡(luò)線路也十分凌亂。希望有關(guān)部門能夠意識到問題的存在,早日消除網(wǎng)絡(luò)安全隱患。2)電力企業(yè)的各種業(yè)務(wù)的硬件操作系統(tǒng)安全平穩(wěn)運行也是保障網(wǎng)絡(luò)安全非常重要的一環(huán),因此里面有大量的工作亟待完善,例如:對系統(tǒng)補丁進(jìn)行及時升級堵住安全漏洞,關(guān)閉一些非必須端口,合理限制用戶對操作系統(tǒng)的使用權(quán)限等等;若想達(dá)到期望的網(wǎng)絡(luò)安全管理效果,還需進(jìn)一步規(guī)范操作人員的操作行為,減少操作失誤,將所有操作步驟程序化規(guī)范化,為企業(yè)網(wǎng)絡(luò)安全提供可靠保障。3)對于電力企業(yè)的重要業(yè)務(wù)數(shù)據(jù)應(yīng)根據(jù)相關(guān)要求予以及時備份,并定期對備份的內(nèi)容進(jìn)行檢查,確認(rèn)是否可讀;企業(yè)的移動辦公用戶若需接入內(nèi)網(wǎng)辦公,傳輸數(shù)據(jù)時也應(yīng)進(jìn)行加密處理;確保業(yè)務(wù)系統(tǒng)安全穩(wěn)定運行,即便業(yè)務(wù)出現(xiàn)意外中斷情況也可及時恢復(fù)。如果電力企業(yè)在確保數(shù)據(jù)安全性方面尚無一個統(tǒng)一的解決措施,那么電力企業(yè)的網(wǎng)絡(luò)安全將面臨著極大的風(fēng)險,數(shù)據(jù)資料對企業(yè)具有非常重要的價值,因此很有必要制定數(shù)據(jù)防丟失措施[2]。

2 網(wǎng)絡(luò)安全現(xiàn)狀分析及主要威脅

2.1 企業(yè)自身發(fā)展帶來的威脅

部分電力企業(yè)由于各種各樣的原因?qū)е鲁霈F(xiàn)網(wǎng)絡(luò)安全問題以后得不到及時解決,或者是企業(yè)的智能系統(tǒng)出現(xiàn)故障,這些都將影響企業(yè)在客戶中心的形象和企業(yè)生產(chǎn)經(jīng)營。其次,由于某些電力企業(yè)電腦配置較低,如有較多的業(yè)務(wù)軟件同時運行將會出現(xiàn)電腦運行不暢的情況、甚至死機,這樣不但影響電力企業(yè)的正常業(yè)務(wù)更無法防毒保證網(wǎng)絡(luò)安全。加之部分企業(yè)的電腦超過使用年限,無法滿足業(yè)務(wù)的發(fā)展需求,建議及時升級更換。盡管大多電力企業(yè)由于工作需要安裝了視頻監(jiān)視系統(tǒng),但并無相關(guān)的制度來正確使用該系統(tǒng),因而對企業(yè)經(jīng)營和網(wǎng)絡(luò)安全維護(hù)作用不大。

2.2 網(wǎng)絡(luò)黑客的破壞與病毒威脅

由于互聯(lián)網(wǎng)的高速發(fā)展,一些攻擊技術(shù)與黑客工具的傳播非常快,相關(guān)的工具使用也變得更加容易,因此造成攻擊事件不斷發(fā)生。發(fā)生這些行為深層次原因有:1)商業(yè)競爭,電力企業(yè)間為自身利益,無視道德與法律,違法雇傭黑客對競爭對手進(jìn)行攻擊,達(dá)到獲取競爭對手信息并制定策略進(jìn)行打壓的目的;2)更多的年輕人在好奇心的驅(qū)使下加入黑客隊伍,以設(shè)計程序,攻破預(yù)定的目標(biāo)為主要樂趣,達(dá)到炫耀過人技術(shù)水平的目的。目前,病毒與惡意代碼傳播、感染能力越來越強大,所以造成損失也是越來越大。隨著計算機網(wǎng)絡(luò)的深入發(fā)展及應(yīng)用,網(wǎng)絡(luò)上存儲龐大的信息資源,甚至還包括了核心信息。一經(jīng)遭到破壞,輕者就會影響業(yè)務(wù),增加了維護(hù)的成本;嚴(yán)重的就會導(dǎo)致電力企業(yè)信息泄露和業(yè)務(wù)中斷,使企業(yè)不能正常經(jīng)營。由于遭受到?jīng)_擊波和震蕩波,甚至是ARP病毒進(jìn)行攻擊,造成電力企業(yè)的系統(tǒng)莫名重啟和不能聯(lián)網(wǎng)的情況;目前操作系統(tǒng)仍存在很大的漏洞,因此,電力企業(yè)必須防范未然,充分合理的利用企業(yè)已有桌面安全的管理系統(tǒng)與Norton防病毒的系統(tǒng),把問題有效消滅在萌芽的狀態(tài)中[3]。

3 完善企業(yè)網(wǎng)絡(luò)安全管理措施

3.1 進(jìn)行科學(xué)的網(wǎng)絡(luò)功能管理

目前,電力企業(yè)網(wǎng)絡(luò)系統(tǒng)非常龐大,在網(wǎng)絡(luò)安全的應(yīng)用中有大量相對成熟的技術(shù)能夠借鑒與使用,如防火墻和防病毒等軟件;但是這些系統(tǒng)都是獨立的工作,處在相對獨立的狀態(tài),因此要想保證網(wǎng)絡(luò)安全和網(wǎng)絡(luò)資源得到充分利用,必須為其提供經(jīng)濟(jì)安全、高效可靠、功能齊全、易于擴(kuò)展和升級維護(hù)的一個網(wǎng)絡(luò)管理平臺進(jìn)行管理。例如,某電力公司在2009年對網(wǎng)絡(luò)管理系統(tǒng)進(jìn)行嘗試性的使用,其網(wǎng)絡(luò)管理的功能十分強大,且還具有獨到的跨平臺性,它不但功能強大且使用簡單,還非常適合用于其他分公司中復(fù)雜的網(wǎng)絡(luò)環(huán)境的管理。

3.2 建立健全數(shù)據(jù)備份和恢復(fù)體系

網(wǎng)絡(luò)安全能夠得到保障的關(guān)鍵是確保安全的業(yè)務(wù)系統(tǒng)數(shù)據(jù),因此,應(yīng)該根據(jù)電力公司業(yè)務(wù)特點與網(wǎng)絡(luò)現(xiàn)狀,建立Linux

數(shù)據(jù)的備份系統(tǒng),不僅能夠確保電力企業(yè)業(yè)務(wù)系統(tǒng)的數(shù)據(jù),如FTP數(shù)據(jù)和財務(wù)數(shù)據(jù)等,還能使關(guān)鍵用戶的數(shù)據(jù)及時的自動的同步到服務(wù)器上,同時還可以在系統(tǒng)恢復(fù)后自動同步數(shù)據(jù)。該系統(tǒng)客戶端能夠支持Windows等,兼容性很好,應(yīng)用的前景非常廣。該系統(tǒng)應(yīng)該由專人進(jìn)行管理且定期刻錄和轉(zhuǎn)存?zhèn)浞輸?shù)據(jù),定期對轉(zhuǎn)存數(shù)據(jù)進(jìn)行可讀性的測試,做好記錄,有效確保數(shù)據(jù)與網(wǎng)絡(luò)安全,在使用過程中取得良好效果,因此應(yīng)該推廣應(yīng)用,有效避免發(fā)生數(shù)據(jù)丟失[4]。

4 結(jié)語

總而言之,電力企業(yè)的網(wǎng)絡(luò)安全領(lǐng)域和安全管理是復(fù)雜、綜合和交叉的綜合性非常強的重要課題。我們應(yīng)該在享用其便利的同時,應(yīng)該把網(wǎng)絡(luò)安全納入安全管理工作范圍內(nèi)。電力企業(yè)在進(jìn)行信息化建設(shè)的過程中就算面臨很大的網(wǎng)絡(luò)安全威脅,只要通過科學(xué)的技術(shù)及管理手段,在安全范疇里進(jìn)行探索與嘗試,并在實踐中不斷學(xué)習(xí)、掌握網(wǎng)絡(luò)安全和管理的新知識,就能夠構(gòu)建安全可靠、高效的網(wǎng)絡(luò)環(huán)境,從而有效促進(jìn)電力企業(yè)可持續(xù)發(fā)展。

參考文獻(xiàn):

[1]高化田,淺談計算機網(wǎng)絡(luò)中信息系統(tǒng)的安全防范[J].信息與電腦(理論版),2011(05):32-33.

[2]杜君,網(wǎng)絡(luò)信息管理及其安全[J].太原科技,2009(10):117-119.

第5篇：企業(yè)網(wǎng)絡(luò)安全建議范文

關(guān)鍵詞：無線網(wǎng)絡(luò)規(guī)劃；無線網(wǎng)絡(luò)風(fēng)險；無線安全檢查項目；無線網(wǎng)絡(luò)安全指引

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）28-6262-03

1 概述

有別于有線網(wǎng)絡(luò)的設(shè)備可利用線路找尋設(shè)備信息，無論是管理、安全、記錄信息，比起無線網(wǎng)絡(luò)皆較為方便，相較之下無線網(wǎng)絡(luò)的環(huán)境較復(fù)雜。無線網(wǎng)絡(luò)安全問題最令人擔(dān)心的原因在于，無線網(wǎng)絡(luò)僅透過無線電波透過空氣傳遞訊號，一旦內(nèi)部架設(shè)發(fā)射訊號的儀器，在收訊可及的任一節(jié)點，都能傳遞無線訊號，甚至使用接收無線訊號的儀器，只要在訊號范圍內(nèi)，即便在圍墻外，都能截取訊號信息。

因此管理無線網(wǎng)絡(luò)安全維護(hù)比有線網(wǎng)絡(luò)更具挑戰(zhàn)性，有鑒于政府機關(guān)推廣于民眾使用以及企業(yè)逐漸在公司內(nèi)部導(dǎo)入無線網(wǎng)絡(luò)架構(gòu)之需求，本篇論文特別針對無線網(wǎng)絡(luò)Wi-Fi之使用情境進(jìn)行風(fēng)險評估與探討，以下將分別探討無線網(wǎng)絡(luò)傳輸可能產(chǎn)生的風(fēng)險，以及減少風(fēng)險產(chǎn)生的可能性，進(jìn)而提出建議之無線網(wǎng)絡(luò)建置規(guī)劃檢查項目。

2 無線網(wǎng)絡(luò)傳輸風(fēng)險

現(xiàn)今無線網(wǎng)絡(luò)裝置架設(shè)便利，簡單設(shè)定后即可進(jìn)行網(wǎng)絡(luò)分享，且智能型行動裝置已具備可架設(shè)熱點功能以分享網(wǎng)絡(luò)，因此皆可能出現(xiàn)不合法之使用者聯(lián)機合法基地臺，或合法使用者聯(lián)機至未經(jīng)核可之基地臺情形。倘若企業(yè)即將推動內(nèi)部無線上網(wǎng)服務(wù)，或者考慮網(wǎng)絡(luò)存取便利性，架設(shè)無線網(wǎng)絡(luò)基地臺，皆須評估當(dāng)內(nèi)部使用者透過行動裝置聯(lián)機機關(guān)所提供之無線網(wǎng)絡(luò)，所使用之聯(lián)機傳輸加密機制是否合乎信息安全規(guī)范。

倘若黑客企圖偽冒企業(yè)內(nèi)部合法基地臺提供聯(lián)機時，勢必會造成行動裝置之企業(yè)數(shù)據(jù)遭竊取等風(fēng)險。以下將對合法使用者在未知的情況下聯(lián)機至偽冒的無線網(wǎng)絡(luò)基地臺，以及非法使用者透過加密機制的弱點破解無線網(wǎng)絡(luò)基地臺，針對這2個情境加以分析其風(fēng)險。

2.1 偽冒基地機風(fēng)險

目前黑客的攻擊常會偽冒正常的無線網(wǎng)絡(luò)基地臺（Access Point，以下簡稱AP），而偽冒的AP在行動裝置普及的現(xiàn)今，可能會讓用戶在不知情的情況下進(jìn)行聯(lián)機，當(dāng)連上線后，攻擊者即可進(jìn)行中間人攻擊（Man-in-the-Middle，簡稱MitMAttack），取得被害人在網(wǎng)絡(luò)上所傳輸?shù)臄?shù)據(jù)。情境之架構(gòu)詳見圖1，利用偽冒AP攻擊，合法使用者無法辨識聯(lián)機上的AP是否合法，而一旦聯(lián)機成功后黑客即可肆無忌憚的竊取行動裝置上所有的數(shù)據(jù)，造成個人數(shù)據(jù)以及存放于行動裝置上之機敏數(shù)據(jù)外泄的疑慮存在。企業(yè)在部署無線局域網(wǎng)絡(luò)時，需考慮該類風(fēng)險問題。

2.2 弱加密機制傳輸風(fēng)險

WEP （Wired Equivalent Privacy）為一無線加密協(xié)議保護(hù)無線局域網(wǎng)絡(luò)（Wireless LAN，以下簡稱WLAN）數(shù)據(jù)安全的加密機制，因WEP的設(shè)計是要提供和傳統(tǒng)有線的局域網(wǎng)絡(luò)相當(dāng)?shù)臋C密性，隨著計算器運算能力提升，許多密碼分析學(xué)家已經(jīng)找出WEP好幾個弱點，但WEP加密方式是目前仍是許多無線基地臺使用的防護(hù)方式，由于WEP安全性不佳，易造成被輕易破解。

許多的無線破解工具皆已存在且純熟，因此利用WEP認(rèn)證加密之無線AP，當(dāng)破解被其金鑰后，即可透過該AP連接至該無線局域網(wǎng)絡(luò)，再利用探測軟件進(jìn)行無線局域網(wǎng)絡(luò)掃描，取得該無線局域網(wǎng)絡(luò)內(nèi)目前有哪些聯(lián)機的裝置。

當(dāng)使用者使用行動裝置連上不安全的網(wǎng)絡(luò)，可能因本身行動裝置設(shè)定不完全，而將弱點曝露在不安全的網(wǎng)絡(luò)上，因此當(dāng)企業(yè)允許使用者透過行動裝置進(jìn)行聯(lián)機時，除了提醒使用者應(yīng)加強自身終端安全外，更應(yīng)建置安全的無線網(wǎng)絡(luò)架構(gòu)，以提供使用者使用。

3 無線網(wǎng)絡(luò)安全架構(gòu)

近年許多企業(yè)逐漸導(dǎo)入無線局域網(wǎng)絡(luò)服務(wù)以提供內(nèi)部使用者及訪客使用。但在提供便利的同時，如何達(dá)到無線局域網(wǎng)絡(luò)之安全，亦為重要。

3.1 企業(yè)無線局域網(wǎng)安全目標(biāo)

企業(yè)之無線網(wǎng)絡(luò)架構(gòu)應(yīng)符合無線局域網(wǎng)絡(luò)安全目標(biāo)：機密性、完整性與驗證性。

機密性（Confidentiality）

無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)防范機密不可泄漏給未經(jīng)授權(quán)之人或程序，且無線網(wǎng)絡(luò)架構(gòu)應(yīng)將對外提供給一般使用者網(wǎng)絡(luò)以及內(nèi)部所使用之內(nèi)部網(wǎng)絡(luò)區(qū)隔開。無線網(wǎng)絡(luò)架構(gòu)之加密需采用安全性即高且不易被破解的方式，并可對無線網(wǎng)絡(luò)使用進(jìn)行稽核。

完整性（Integrity）

無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)確認(rèn)辦公室環(huán)境內(nèi)無其它無線訊號干擾源，并保證員工無法自行架設(shè)非法無線網(wǎng)絡(luò)存取點設(shè)備，以確保在使用無線網(wǎng)絡(luò)時傳輸不被中斷或是攔截。對于內(nèi)部使用者，可建立一個隔離區(qū)之無線網(wǎng)絡(luò)，僅提供外部網(wǎng)際網(wǎng)絡(luò)連路連接，并禁止存取機關(guān)內(nèi)部網(wǎng)絡(luò)。

認(rèn)證性（Authentication）

建議無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)提供使用者及設(shè)備進(jìn)行身份驗證，讓使用者能確保自己設(shè)備安全性，且能區(qū)分存取控制權(quán)限。無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)需進(jìn)行使用者身份控管，以杜絶他人（允許的訪客除外）擅用機關(guān)的無線網(wǎng)絡(luò)。

因應(yīng)以上無線局域網(wǎng)絡(luò)安全目標(biāo)，應(yīng)將網(wǎng)絡(luò)區(qū)分為內(nèi)部網(wǎng)絡(luò)及一般網(wǎng)絡(luò)等級，依其不同等級實施不同的保護(hù)措施及其應(yīng)用，說明如下。

內(nèi)部網(wǎng)絡(luò)：

為網(wǎng)絡(luò)內(nèi)負(fù)責(zé)傳送一般非機密性之行政資料，其系統(tǒng)能處理中信任度信息，并使用機關(guān)內(nèi)部加密認(rèn)證以定期更變密碼，且加裝防火墻、入侵偵測等作業(yè)。

一般網(wǎng)絡(luò)：

主要在提供非企業(yè)內(nèi)部人員或訪客使用之網(wǎng)絡(luò)系統(tǒng)，不與內(nèi)部其它網(wǎng)絡(luò)相連，其網(wǎng)絡(luò)系統(tǒng)僅能處與基本信任度信息，并加裝防火墻、入侵偵測等機制。

因此建議企業(yè)在建構(gòu)無線網(wǎng)絡(luò)架構(gòu)，須將內(nèi)部網(wǎng)絡(luò)以及提供給一般使用者之一般網(wǎng)絡(luò)區(qū)隔開，以達(dá)到無線網(wǎng)絡(luò)安全目標(biāo)，以下將提供無線辦公方案及無線訪客方案提供給企業(yè)導(dǎo)入無線網(wǎng)絡(luò)架構(gòu)時作為參考使用。

3.2內(nèi)部網(wǎng)絡(luò)安全架構(gòu)

減輕無線網(wǎng)絡(luò)風(fēng)險之基礎(chǔ)評估，應(yīng)集中在四個方面：人身安全、AP位置、AP設(shè)定及安全政策。人身安全方面，須確保非企業(yè)內(nèi)部使用者無法存取辦公室范圍內(nèi)之無線內(nèi)部網(wǎng)絡(luò)，僅經(jīng)授權(quán)之企業(yè)內(nèi)部使用者可存取。可使用影像認(rèn)證、卡片識別、使用者賬號密碼或生物識別設(shè)備以進(jìn)行人身安全驗證使用者身份。企業(yè)信息管理人員須確保AP安裝在受保護(hù)的建筑物內(nèi)，且使用者須經(jīng)過適當(dāng)?shù)纳矸蒡炞C才允許進(jìn)入，而只有企業(yè)信息管理人員允許存取并管理無線網(wǎng)絡(luò)設(shè)備。

企業(yè)信息管理人員須將未經(jīng)授權(quán)的使用者訪問企業(yè)外部無線網(wǎng)絡(luò)之可能性降至最低，評估每臺AP有可能造成的網(wǎng)絡(luò)安全漏洞，可請網(wǎng)絡(luò)工程師進(jìn)行現(xiàn)場調(diào)查，確定辦公室內(nèi)最適當(dāng)放置AP的位置以降低之風(fēng)險。只要企業(yè)使用者擁有存取無線內(nèi)部網(wǎng)絡(luò)能力，攻擊者仍有機會竊聽辦公室無線網(wǎng)絡(luò)通訊，建議企業(yè)將無線網(wǎng)絡(luò)架構(gòu)放置于防火墻外，并使用高加密性VPN以保護(hù)流量通訊，此配置可降低無線網(wǎng)絡(luò)竊聽風(fēng)險。

企業(yè)應(yīng)側(cè)重于AP配置之相關(guān)漏洞。由于大部分AP保留了原廠之預(yù)設(shè)密碼，企業(yè)信息管理人員需使用復(fù)雜度高之密碼以確保密碼安全，并定期更換密碼。企業(yè)應(yīng)制定相關(guān)無線內(nèi)部網(wǎng)絡(luò)安全政策，包括規(guī)定使用最小長度為8個字符且參雜特殊符號之密碼設(shè)置、定期更換安全性密碼、進(jìn)行使用者M(jìn)AC控管以控制無線網(wǎng)絡(luò)使用情況。

為提供安全無線辦公室環(huán)境，企業(yè)應(yīng)進(jìn)行使用者M(jìn)AC控管，并禁用遠(yuǎn)程SNMP協(xié)議，只允許使用者使用本身內(nèi)部主機。由于大部分廠商在加密SSID上使用預(yù)設(shè)驗證金鑰，未經(jīng)授權(quán)之設(shè)備與使用者可嘗試使用預(yù)設(shè)驗證金鑰以存取無線內(nèi)部網(wǎng)絡(luò)，因此企業(yè)應(yīng)使用內(nèi)部使用者賬號與密碼之身份驗證以控管無線內(nèi)部網(wǎng)絡(luò)之存取。

企業(yè)應(yīng)增加額外政策，要求存取無線內(nèi)部網(wǎng)絡(luò)之設(shè)備系統(tǒng)需進(jìn)行安全性更新和升級，定期更新系統(tǒng)安全性更新和升級有助于降低攻擊之可能性。此外，政策應(yīng)規(guī)定若企業(yè)內(nèi)部使用者之無線裝置遺失或被盜，企業(yè)內(nèi)部使用者應(yīng)盡快通知企業(yè)信息管理人員，以防止該IP地址存取無線內(nèi)部網(wǎng)絡(luò)。

為達(dá)到一個安全的無線內(nèi)部網(wǎng)絡(luò)架構(gòu)，建議企業(yè)采用IPS設(shè)備以進(jìn)行無線環(huán)境之防御。IPS設(shè)備有助于辨識是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部無線內(nèi)部網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為，并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無線網(wǎng)絡(luò)之間的通訊都需經(jīng)過IPS做保護(hù)與進(jìn)一步分析，為一種整體縱深防御之策略。

考慮前述需求，本篇論文列出建構(gòu)無線內(nèi)部網(wǎng)絡(luò)應(yīng)具備之安全策略，并提供一建議無線內(nèi)部網(wǎng)絡(luò)安全架構(gòu)示意圖以提供企業(yè)信息管理人員作為風(fēng)險評估之參考，詳見表1。

企業(yè)在風(fēng)險評估后確認(rèn)實現(xiàn)無線辦公室環(huán)境運行之好處優(yōu)于其它威脅風(fēng)險，始可進(jìn)行無線內(nèi)部網(wǎng)絡(luò)架構(gòu)建置。然而，盡管在風(fēng)險評估上實行徹底，但無線網(wǎng)絡(luò)環(huán)境之技術(shù)不斷變化與更新，安全漏洞亦日新月異，使用者始終為安全鏈中最薄弱的環(huán)節(jié)，建議企業(yè)必須持續(xù)對企業(yè)內(nèi)部使用者進(jìn)行相關(guān)無線安全教育，以達(dá)到縱深防御之目標(biāo)。

另外，企業(yè)應(yīng)定期進(jìn)行安全性更新和升級會議室公用網(wǎng)絡(luò)之系統(tǒng)，定期更新系統(tǒng)安全性更新和升級有助于降低攻擊之可能性。為達(dá)到一個安全的會議室公用網(wǎng)絡(luò)架構(gòu)，建議企業(yè)采用IPS設(shè)備以進(jìn)行無線環(huán)境之防御。

IPS設(shè)備有助于辨識是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部會議室公用網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為，并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無線網(wǎng)絡(luò)之間的通訊都需經(jīng)過IPS做保護(hù)與進(jìn)一步分析，為一種整體縱深防御策略。

4 結(jié)論

由于無線網(wǎng)絡(luò)的存取及使用上存在相當(dāng)程度的風(fēng)險，更顯無線局域網(wǎng)絡(luò)的安全性之重要，本篇論文考慮無線網(wǎng)絡(luò)聯(lián)機存取之相關(guān)風(fēng)險與安全聯(lián)機的準(zhǔn)則需求，有鑒于目前行動裝置使用量大增，企業(yè)可能面臨使用者要求開放無線網(wǎng)絡(luò)之需求，應(yīng)建立相關(guān)無線網(wǎng)絡(luò)方案，本研究針對目前常見之無線網(wǎng)絡(luò)風(fēng)險威脅為出發(fā)，以及內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)使用者，針對不同安全需求強度，規(guī)劃無線網(wǎng)絡(luò)使用方案，提供作為建置參考依據(jù)，進(jìn)而落實傳輸風(fēng)險管控，加強企業(yè)網(wǎng)絡(luò)安全強度。

參考文獻(xiàn)：

[1] Gast M S.Wireless Networks： The Definitive Guide[M].O’Reilly， 2002.

[2] Edney J， Arbaugh W A.Security：Wi-Fi Protected Access and 802.11[M].Addison-Wesley，2004.

[3] R. Guha， Z. Furqan， S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007， Orlando， FL， 2007（10）：29-31.

[4] Nam， Seung Yeob.Enhanced ARP： Preventing ARP Poisoning-Based[J].IEEE Commucation Letters，2011，14：187-189.

第6篇：企業(yè)網(wǎng)絡(luò)安全建議范文

互聯(lián)網(wǎng)絡(luò)深入到生產(chǎn)生活的各方面，改變了傳統(tǒng)的生產(chǎn)模式，對促進(jìn)生產(chǎn)力的提高發(fā)揮著重要的作用；中石化也正是看到了這一點，在近幾年加快了信息化建設(shè)的步伐。網(wǎng)絡(luò)也在不斷調(diào)整和優(yōu)化，幾乎每個加油站網(wǎng)點都被納入公司局域網(wǎng)之內(nèi)；而且陸續(xù)投入使用了ERP系統(tǒng)、V20系統(tǒng)、視頻監(jiān)控系統(tǒng)、加油卡系統(tǒng)等。這些系統(tǒng)的推廣和使用對提高中國石化的生產(chǎn)、經(jīng)營和管理水平發(fā)揮了很大的作用。隨著中石化信息化不斷深入，網(wǎng)絡(luò)安全已成為維持日常經(jīng)營活動正常開展的前提。中石化網(wǎng)絡(luò)信息安全管理架構(gòu)的形成，既是企業(yè)業(yè)務(wù)需求形成的結(jié)果，也是網(wǎng)絡(luò)安全領(lǐng)域向全方位、縱深化、專業(yè)化方向發(fā)展的結(jié)果，無論從經(jīng)濟(jì)效益還是社會影響考慮，我們都應(yīng)該重視我們企業(yè)的網(wǎng)絡(luò)安全管理及系統(tǒng)建設(shè)情況。

1 網(wǎng)絡(luò)安全的含義及特征

1.1 網(wǎng)絡(luò)安全定義

網(wǎng)絡(luò)安全指的是：為保證網(wǎng)絡(luò)正常平穩(wěn)的運行，而采取使其免受各種侵害的保護(hù)措施。

1.2 網(wǎng)絡(luò)安全特征

1）完整性：指信息不能在未得到授權(quán)的情況下擅自修改，不能被破壞、信息確保完整和及時傳送，確保承載企業(yè)信息的網(wǎng)絡(luò)系統(tǒng)完整性和有效性；

2）機密性：指網(wǎng)絡(luò)能夠阻止未經(jīng)授權(quán)的用戶讀取保密信息，能夠保證為授權(quán)使用者正常的使用，并能防止非授權(quán)用戶的使用，而且有防范黑客，病毒等；

3）可用性：要保證系統(tǒng)時刻能正常運行，確保各種業(yè)務(wù)的順利開展。

2 企業(yè)網(wǎng)絡(luò)安全的需求

企業(yè)對信息網(wǎng)絡(luò)安全方面的需求主要包含：

1）實現(xiàn)網(wǎng)絡(luò)安全首先要保證機房能為各種核心設(shè)備提供符合標(biāo)準(zhǔn)的運行環(huán)境，要有門禁系統(tǒng)、防火、防雷、防靜電、防潮、防鼠防蟲等設(shè)備，有冗余供電線路和后備電源甚至發(fā)電系統(tǒng)，有空調(diào)設(shè)備保證機房恒溫，每天定時巡檢，及時發(fā)現(xiàn)問題及時解決。

宿遷分公司機房于2009年底進(jìn)行改造，改造后較改造前有較大改觀；但還存在一些問題，比如UPS電池組使用超過期限，防潮防鼠防蟲不到位，沒有冗余供電線路和發(fā)電設(shè)備等等；但這些問題相對于泗陽、泗洪、沭陽、黑魚汪油庫、南關(guān)蕩油庫來講就不是問題了，因為這三縣兩庫根本就沒有機房，網(wǎng)絡(luò)設(shè)備隨意堆放，沒有任何防護(hù)措施，人員可以隨意出入，網(wǎng)絡(luò)布線雜亂無章。不過省信息處已經(jīng)意識到此問題，準(zhǔn)備在兩個油庫建立標(biāo)準(zhǔn)化機房，希望盡快改造，早日消除風(fēng)險。

2）要實現(xiàn)網(wǎng)絡(luò)安全首先要實現(xiàn)承載公司各種業(yè)務(wù)系統(tǒng)的操作系統(tǒng)的安全，這有許多工作要做，比如：及時升級系統(tǒng)補丁堵住漏洞，關(guān)閉不必要的端口，配置系統(tǒng)安全策略，有選擇性限制用戶對系統(tǒng)的使用權(quán)限等；這些一系列復(fù)雜的操作，要按期望的結(jié)果執(zhí)行，則必須制定一定的規(guī)范，將所有需要執(zhí)行的步驟程序化，這樣可以規(guī)范一線信息人員的操作行為，減少誤操作的可能性，為網(wǎng)絡(luò)安全奠定堅實的基礎(chǔ)。

3）公司關(guān)鍵業(yè)務(wù)數(shù)據(jù)必須按照內(nèi)控要求及時備份，并定期對備份介質(zhì)進(jìn)行可讀性檢查；公司移動辦公用戶接入內(nèi)網(wǎng)辦公時，數(shù)據(jù)需要加密傳輸；保證業(yè)務(wù)系統(tǒng)正常運行，即使在業(yè)務(wù)中斷情況下也能迅速恢復(fù)。

省公司在保證數(shù)據(jù)安全性方面并沒有統(tǒng)一的解決方案，這對一個企業(yè)來講是非常危險的，數(shù)據(jù)的價值對企業(yè)的重要性是不言而喻的，因此我們不僅要制定有效的數(shù)據(jù)丟失防范策略，而且還要有相應(yīng)的設(shè)備的支持。

4）公司關(guān)鍵網(wǎng)絡(luò)設(shè)備應(yīng)該有冗余線路和冗余設(shè)備，以便在網(wǎng)絡(luò)中斷或設(shè)備停止工作時能自動切換，保證系統(tǒng)平穩(wěn)運行；但我們還是冷備，斷網(wǎng)時需要手動切換，存在單點故障，需要改進(jìn)。

5）加強對系統(tǒng)操作人員的培訓(xùn)，通過培訓(xùn)加深相關(guān)人員對業(yè)務(wù)系統(tǒng)的理解和認(rèn)識，從而可以減少誤操作可能性，最大程度減少內(nèi)部原因引起的各種不穩(wěn)定因素。對安全性要求較高的場合，采用數(shù)字證書等認(rèn)證方式，代替?zhèn)鹘y(tǒng)的不安全的用戶名口令授權(quán)模式。對業(yè)務(wù)系統(tǒng)和內(nèi)部網(wǎng)絡(luò)進(jìn)行嚴(yán)格監(jiān)控，防止異常情況的發(fā)生，并在發(fā)現(xiàn)異常時能及時采取相應(yīng)措施。

3 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及主要威脅

3.1 來自企業(yè)內(nèi)部的威脅

在所有對網(wǎng)絡(luò)安全造成威脅的事件中，來自企業(yè)內(nèi)部的占絕大多數(shù)。據(jù)統(tǒng)計，來自企業(yè)外部的威脅只有不到1/4，而3/4以上的網(wǎng)絡(luò)安全威脅事件來自企業(yè)內(nèi)部。且這些來自于企業(yè)內(nèi)部的網(wǎng)絡(luò)安全事件中，源自企業(yè)內(nèi)部制度不健全、安全意識較差等自身管理問題占3/5；企業(yè)內(nèi)部未經(jīng)授權(quán)的訪問所造成的威脅占1/5；剩下的1/5則是由于設(shè)備老化或者相關(guān)人員操作失誤而導(dǎo)致。

由此可知，源于企業(yè)內(nèi)部的安全威脅所占比重最大，所以對企業(yè)內(nèi)部采取必要的安全措施是非常必要的。內(nèi)部員工了解公司網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)存放方式和地點、甚至掌握業(yè)務(wù)系統(tǒng)的密碼。因此從內(nèi)部攻擊是最難預(yù)測和防范的。另一方面商業(yè)競爭可導(dǎo)致更多的惡意攻擊事件的發(fā)生。特別是個別員工安全意識不高，有意或無意泄露企業(yè)商業(yè)機密、甚至為了謀取個人利益將其出售給競爭對手，最終給企業(yè)造成重大損失。

防范來自公司內(nèi)部的威脅可以部署上網(wǎng)行為管理設(shè)備，它可以監(jiān)控、規(guī)范并且記錄用戶的上網(wǎng)行為；根據(jù)不同的崗位設(shè)置不同的安全防護(hù)等級；甚至還可以防范DDOS、ARP攻擊等行為。因此我們認(rèn)為要提高公司網(wǎng)絡(luò)安全和管理水平，很有必要部署此設(shè)備。

3.2 來自企業(yè)自身發(fā)展水平的威脅

首先，由于公司用車不便、信息人員較少等多方面的原因，我公司信息安全問題一直有較多隱患。出現(xiàn)問題有時無法及時排除，特別是省公司卡管系統(tǒng)最近問題極多，這不僅影響經(jīng)營也影響公司在客戶心目中的形象。

其次，公司加油站OA電腦配置水平較低，而且運行較多業(yè)務(wù)軟件，如：OA系統(tǒng)、液位儀、視頻監(jiān)控、桌面安全、Norton網(wǎng)絡(luò)版客戶端等，電腦運行不暢，經(jīng)常發(fā)生停頓無響應(yīng)甚至死機情況，這樣不僅無法防病毒，而且會影響業(yè)務(wù)，只會有反作用，而且絕大部分加油站OA電腦使用時間超過4年，已不適應(yīng)業(yè)務(wù)發(fā)展的需求，建議升級。

第三，公司加油站及油庫都已經(jīng)安裝視頻監(jiān)控系統(tǒng)，但沒有相應(yīng)的規(guī)章制度來合理使用此系統(tǒng)，因此無法起到對經(jīng)營及網(wǎng)絡(luò)安全的提升和促進(jìn)作用。

3.3 來自網(wǎng)絡(luò)黑客破壞和病毒的威脅

在互聯(lián)網(wǎng)高速發(fā)展的今天，相應(yīng)的攻擊技術(shù)和黑客工具傳播很快，相關(guān)工具使用起來也變得非常容易；因此導(dǎo)致攻擊事件層出不窮。這些行為的出現(xiàn)還有較深層次的原因：首先是商業(yè)競爭導(dǎo)致的企業(yè)間為了各自利益而不顧道德和法律的約束，擅自雇傭黑客攻擊競爭對手以便獲取對方信息然后制定相應(yīng)策略打壓對方；其次，越來越多的年輕人掩飾不住好奇心紛紛加入黑客隊伍，他們以設(shè)計黑客程序，攻破預(yù)期目標(biāo)為樂，以此炫耀自己的技術(shù)水平。

如今病毒和惡意代碼的傳播和感染能力比前幾年有了很大的提升，因此造成的損失也呈幾何級數(shù)增長。隨著我們網(wǎng)絡(luò)的發(fā)展和應(yīng)用的深入，網(wǎng)絡(luò)上存儲大量的重要信息，甚至包括核心信息。一旦遭到破壞，輕者影響業(yè)務(wù)增加維護(hù)成本；重者造成信息泄露，業(yè)務(wù)中斷，企業(yè)無法正常經(jīng)營。我們就曾經(jīng)遭受過沖擊波、震蕩波、ARP病毒的攻擊，導(dǎo)致系統(tǒng)莫名重啟，無法聯(lián)網(wǎng)的情況；現(xiàn)在操作系統(tǒng)的漏洞層出不窮，我們應(yīng)該防范于未然，充分利用現(xiàn)有的桌面安全管理系統(tǒng)和Norton防病毒系統(tǒng)，將問題消滅在萌芽狀態(tài)。

4 加強與完善企業(yè)網(wǎng)絡(luò)安全管理的對策與建議

4.1 建立網(wǎng)絡(luò)功能管理平臺

現(xiàn)在的網(wǎng)絡(luò)系統(tǒng)日益龐大，網(wǎng)絡(luò)安全應(yīng)用中也有很多成熟的技術(shù)可借鑒和使用，如防火墻、入侵檢測、防病毒軟件等；但這些系統(tǒng)往往都是獨立工作，處于“各自為政”的狀態(tài)，要保證網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)資源能夠充分被利用，需要為其提供一個經(jīng)濟(jì)安全、可靠高效、方便易用、性能優(yōu)良、功能完善、易于擴(kuò)展、易于升級維護(hù)的網(wǎng)絡(luò)管理平臺來管理這些網(wǎng)絡(luò)安全設(shè)備。中石化江蘇分公司在2004年嘗試使用過HPOpen View網(wǎng)絡(luò)管理系統(tǒng)，它的強大的網(wǎng)絡(luò)管理功能和跨平臺性是非常獨到的，它不僅功能強大、使用簡單，而且很適合宿遷分公司的復(fù)雜網(wǎng)絡(luò)環(huán)境。

4.2 建立企業(yè)身份認(rèn)證系統(tǒng)

傳統(tǒng)的口令認(rèn)證方式雖然方便，但是由于其易受到竊聽、重放攻擊等的安全缺陷，因此這種方式已無法滿足當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全認(rèn)證需求。所以企業(yè)應(yīng)盡量采用PKI的USB Key技術(shù)體系的身份認(rèn)證。

中石化已經(jīng)在2008年開始陸續(xù)在下屬分支公司的資金集中管理系統(tǒng)及OA簽章系統(tǒng)使用基于PKI的USB Key的認(rèn)證系統(tǒng)；并且在2010年終止多用戶使用一個VPN賬號的粗放且不安全的管理方式，采用專人專號，集中申請和管理的方式，極大增強了安全性和保密性；這些安全的認(rèn)證體系在提供身份認(rèn)證的功能時，為企業(yè)的敏感通信和交易提供了一套信息安全保障，通過一定的層次關(guān)系和邏輯聯(lián)系，構(gòu)建了用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)構(gòu)成的綜合性安全技術(shù)體系，確保企業(yè)信息資源的訪問得到正式的授權(quán)，驗證資源訪問者的合法身份，從而實現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求，將企業(yè)網(wǎng)絡(luò)運行風(fēng)險進(jìn)一步細(xì)化，盡可能地減輕由于網(wǎng)絡(luò)安全管理風(fēng)險給可能給企業(yè)造成的形象與經(jīng)濟(jì)損失。

4.3 應(yīng)用防病毒技術(shù)， 建立全面網(wǎng)絡(luò)防病毒體系

計算機網(wǎng)絡(luò)應(yīng)用技術(shù)已經(jīng)覆蓋企業(yè)生產(chǎn)經(jīng)營方方面，各種信息設(shè)備在企業(yè)中扮演著重要的角色，因此保證它們安全穩(wěn)定運行的要求變得很迫切。

江蘇石油分公司為了防止受到來自于多方面的威脅，特別是病毒的威脅。最大程度降低因病毒所造成的經(jīng)濟(jì)損失，從2004年開始部署并在2009年升級了Norton網(wǎng)絡(luò)版防病毒系統(tǒng)，并采用多層的病毒防衛(wèi)體系，在每臺PC機上安裝反病毒軟件，在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件，在服務(wù)器上安裝基于服務(wù)器的反病毒軟件。另外我們宿遷分公司也充分利用防火墻技術(shù)，在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊，根據(jù)企業(yè)設(shè)定的安全規(guī)則，在保護(hù)自身網(wǎng)絡(luò)安全的前提下，保障內(nèi)外網(wǎng)絡(luò)通訊的暢通無阻。我們在網(wǎng)絡(luò)出口處安裝防火墻后，所有來自外部網(wǎng)絡(luò)的訪問請求都必須通過防火墻的檢查，內(nèi)部與外部網(wǎng)絡(luò)的信息得到了有效的隔離，使得宿遷分公司網(wǎng)絡(luò)安全有了很大的提高；但由于投入使用的防火墻擴(kuò)展性有限，隨著業(yè)務(wù)的擴(kuò)展，它已經(jīng)較難適應(yīng)現(xiàn)在的業(yè)務(wù)需求，需要更換，否則會是一個較大的隱患。

4.4 建立完善的數(shù)據(jù)備份與恢復(fù)體系

保證網(wǎng)絡(luò)安全的前提是保證業(yè)務(wù)系統(tǒng)數(shù)據(jù)的安全，我們根據(jù)公司的業(yè)務(wù)特點和網(wǎng)絡(luò)現(xiàn)狀，建立了基于Linux的數(shù)據(jù)備份系統(tǒng)，既能保證公司業(yè)務(wù)系統(tǒng)數(shù)據(jù)（如：財務(wù)數(shù)據(jù)、FTP數(shù)據(jù)和瑞通換票系統(tǒng)數(shù)據(jù)等）和關(guān)鍵用戶數(shù)據(jù)能及時自動同步到專用服務(wù)器上，又能在系統(tǒng)恢復(fù)后把數(shù)據(jù)自動同步回來。此系統(tǒng)客戶端支持Windows、Linux。Mac，因此兼容性好，應(yīng)用前景廣。此系統(tǒng)有專人管理并定期刻錄轉(zhuǎn)存?zhèn)浞莸臄?shù)據(jù)，定期對轉(zhuǎn)存的數(shù)據(jù)做可讀性測試并做好記錄，有力保證了數(shù)據(jù)和網(wǎng)絡(luò)的安全，在使用中起到了良好的效果，公司應(yīng)該盡快在全省推廣此應(yīng)用，讓數(shù)據(jù)丟失的悲劇永遠(yuǎn)不要再發(fā)生。

4.5 健全安全管理制度和規(guī)范管理人員

要保證計算機網(wǎng)絡(luò)的安全性，首先管理工作必須到位；因為網(wǎng)絡(luò)管理也是計算機網(wǎng)絡(luò)安全重要組成部分。通過制定相應(yīng)的規(guī)范并有配套制度能保證規(guī)范執(zhí)行到位，這是維持信息化企業(yè)經(jīng)營活動正常開展的前提。分公司信息站在這方面應(yīng)該是執(zhí)行者，引導(dǎo)并監(jiān)督相關(guān)人員正確、規(guī)范執(zhí)行。任何好的制度和措施，如果沒有很好的執(zhí)行，也只能是空談；網(wǎng)絡(luò)安全方面也是如此，我們倡導(dǎo)“技術(shù)先行，管理到位” 的原則，這也正和內(nèi)控制度相吻合。比如：使用門禁系統(tǒng)嚴(yán)格控制并記錄人員進(jìn)出，機房每天定時巡檢、設(shè)備出入嚴(yán)格記錄并有負(fù)責(zé)人簽字；設(shè)備或網(wǎng)絡(luò)故障都有一套嚴(yán)格的響應(yīng)機制和應(yīng)急機制，確保及時發(fā)現(xiàn)，及時響應(yīng)，及時處理；隨著這套機制在實踐中的逐步完善，我們的管理水平和網(wǎng)絡(luò)安全水平會有更大的提高。

對企業(yè)員工要強化宣傳，加強網(wǎng)絡(luò)安全教育和法制觀念教育，讓安全觀念和法制觀念深入人心，提高公司員工對網(wǎng)絡(luò)安全的認(rèn)識和保護(hù)網(wǎng)絡(luò)安全的主動性。

4.6 重視對員工的培訓(xùn)

網(wǎng)絡(luò)安全做的再好，如果缺少人的因素，也是沒有意義的；因此人員素質(zhì)的高低對信息安全方面至關(guān)重要；提高人員素質(zhì)的前提就是加強培訓(xùn)，特別加強是對專業(yè)信息人員的培訓(xùn)工作。目前的現(xiàn)狀是，公司缺乏系統(tǒng)的、長期的培訓(xùn)計劃，無相應(yīng)培訓(xùn)經(jīng)費，偶爾組織的培訓(xùn)課程也都是走馬觀花，蜻蜓點水。信息人員每天都扮演消防員的角色，到處救火，疲于奔命，一直停留在較低層次水平。公司如果能有制定合理的人才發(fā)展規(guī)劃，讓信息人員的業(yè)務(wù)水平能有穩(wěn)步提高，進(jìn)而能主動發(fā)現(xiàn)問題，解決問題，將問題解決在萌芽狀態(tài)。而且信息人員素質(zhì)的提高對業(yè)務(wù)的提升能起到推動性的作用，信息人員可以對一線員工進(jìn)行培訓(xùn)，提高他們對業(yè)務(wù)系統(tǒng)的操作能力，進(jìn)而可以提升公司形象，最終形成良性發(fā)展模式。

5 結(jié)論

綜上所述，企業(yè)網(wǎng)絡(luò)安全領(lǐng)域以及網(wǎng)絡(luò)安全管理是一個綜合、交叉的綜合性的課題。我們在充分享用它帶來便利的同時，也應(yīng)將網(wǎng)絡(luò)安全放在可以管理的范圍之內(nèi)。企業(yè)信息化建設(shè)過程中雖然面臨眾多網(wǎng)絡(luò)安全威脅，但是如果通過一定的技術(shù)和管理手段，在安全的范疇內(nèi)不斷探索和嘗試，并在實踐工作中學(xué)習(xí)和掌握新的網(wǎng)絡(luò)安全與管理知識，我們完全可以構(gòu)建一個安全可靠的網(wǎng)絡(luò)環(huán)境，從而為企業(yè)的快速發(fā)展提供高效的服務(wù)。

參考文獻(xiàn)

[1]李立旭.淺析計算機網(wǎng)絡(luò)安全及防范[J].企業(yè)科技信息，2009(12).

[2]李明之.網(wǎng)絡(luò)安全與數(shù)據(jù)完整性指南[M].機械工業(yè)出版社，2009，10.

[3]胡道元.計算機局域網(wǎng)[M].北京：清華大學(xué)出版社，2008，7.

第7篇：企業(yè)網(wǎng)絡(luò)安全建議范文

關(guān)鍵詞：防火墻；計算機病毒；VPN

前言

隨著計算機技術(shù)和通訊技術(shù)的迅猛發(fā)展，使信息共享應(yīng)用日益廣泛與深入。計算機網(wǎng)絡(luò)正在改變著學(xué)習(xí)和生活方式[1]。但是，任何技術(shù)進(jìn)步在促進(jìn)社會發(fā)展的同時也會帶來一些負(fù)面影響。信息在公共通信網(wǎng)絡(luò)上存儲、共享和傳輸，會被非法竊聽、截取、篡改或毀壞，從而導(dǎo)致不可估量的損失。因此，如何提高企業(yè)信息安全是企業(yè)管理和發(fā)展面臨的重大難題。

本文針對企業(yè)中存在的信息安全問題，從實體安全和信息安全兩個方面出發(fā)，對現(xiàn)存的計算機網(wǎng)絡(luò)安全進(jìn)行基本的分析。重點在信息安全方面給出了企業(yè)網(wǎng)絡(luò)的整體網(wǎng)絡(luò)安全策略和解決方案。從防火墻、網(wǎng)絡(luò)防病毒、入侵檢測、虛擬專用網(wǎng)、數(shù)據(jù)存儲與備份以及災(zāi)難恢復(fù)五個方面特別介紹了提高企業(yè)網(wǎng)絡(luò)安全的有效方法。

1 計算機網(wǎng)絡(luò)安全的基本概述

計算機網(wǎng)絡(luò)的安全主要包括實體安全和信息安全。實體安全是指具體的物理設(shè)備（線路）的安全；信息安全就是指如何保證信息在存儲和傳輸過程中不被未經(jīng)授權(quán)的用戶竊取、篡改、偽造或破壞，以保證其保密性、完整性。一個企業(yè)網(wǎng)絡(luò)的整體網(wǎng)絡(luò)安全解決方案，包括以下幾個方面：實體安全(物理設(shè)備)、防火墻、網(wǎng)絡(luò)防病毒、入侵檢測、虛擬專用網(wǎng)、數(shù)據(jù)存儲與備份以及災(zāi)難恢復(fù)。

2 網(wǎng)絡(luò)安全解決方案

2.1入侵檢測  入侵是指一些人(稱為“黑客”或“駭客”)試圖進(jìn)入或者濫用其它人的系統(tǒng)[3],入侵檢測系統(tǒng)(IDS)是用來檢測這些入侵的系統(tǒng)。其中，網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)監(jiān)視網(wǎng)線的數(shù)據(jù)包并試圖檢測是否有黑客試圖進(jìn)入系統(tǒng)或者進(jìn)行服務(wù)攻擊。一個NIDS可以運行在目標(biāo)主機上觀察他自己的流量(通常集成在協(xié)議棧或服務(wù)本身),也可以運行在獨立主機上觀察整個網(wǎng)絡(luò)的流量(集線器,路由器,探測器)。值得注意的是一個NIDS監(jiān)視很多主機，而其他的只監(jiān)視一個主機。所以，建議企業(yè)至少裝有一套入侵檢測軟件監(jiān)測防火墻的出口，監(jiān)測通過防火墻的任何可疑活動。

2.2數(shù)據(jù)存儲與備份及災(zāi)難恢復(fù)  數(shù)據(jù)存儲與備份及災(zāi)難恢復(fù)是指服務(wù)器內(nèi)的數(shù)據(jù)通過某種周期（周、月等）進(jìn)行備份，在數(shù)據(jù)發(fā)生丟失與破壞的時候提供災(zāi)難恢復(fù)的幫助，從而最大限度的保證數(shù)據(jù)的安全。

在網(wǎng)絡(luò)系統(tǒng)安全建設(shè)中必不可少的環(huán)節(jié)就是數(shù)據(jù)的常規(guī)備份和歷史保存。一個完整的災(zāi)難備份及恢復(fù)方案應(yīng)包括：備份硬件、備份軟件、備份制度和災(zāi)難恢復(fù)計劃四個部分。

2.3防火墻  防火墻作為企業(yè)系統(tǒng)安全的第一道屏障，在企業(yè)系統(tǒng)安全方面起著關(guān)鍵性作用。防火墻用于加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取。防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外部訪問，外界的那些人可以訪問內(nèi)部的服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。在選用防火墻時，需要對所安裝的防火墻做一些攻擊測試。

2.4防病毒  計算機病毒歷來是信息系統(tǒng)安全的主要問題之一。在《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》中被明確定義為“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”[2]。

網(wǎng)絡(luò)防病毒技術(shù)包括預(yù)防病毒、檢測病毒和消除病毒等三方面的技術(shù)，主要在幾個方面防范，如表1。

      表1 網(wǎng)絡(luò)防病毒技術(shù)與相應(yīng)方式

2.5虛擬專用網(wǎng)  虛擬專用網(wǎng)（VPN）被定義為通過一個公共網(wǎng)絡(luò)（internet）建立的一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全穩(wěn)定的隧道，是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。在公網(wǎng)上為用戶提供虛擬的專線，通過加密的方式實現(xiàn)外地分公司、出差用戶與總公司之間的可信安全的網(wǎng)絡(luò)交流。VPN可以幫助遠(yuǎn)程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商通公司的內(nèi)部網(wǎng)建立可信的安全連接。

如果基于Internet建立VPN實施得當(dāng)，可以保護(hù)網(wǎng)絡(luò)免受病毒感染、防止欺騙、房商業(yè)間諜、增強訪問控制、增強系統(tǒng)管理、加強認(rèn)證等。在VPN提供的功能中，認(rèn)證和加密是最重要的。所以，應(yīng)該部署專門的認(rèn)證服務(wù)器。這樣，沒有合法的用戶名和口令難以通過認(rèn)證進(jìn)入網(wǎng)絡(luò)，安全的可靠性較高。

3 結(jié)束語

安全防范體系的建立不是一勞永逸的，企業(yè)網(wǎng)絡(luò)信息自身的情況不斷變化，新的安全問題不斷涌現(xiàn)，必須根據(jù)暴露出的一些問題，進(jìn)行更新，保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展；同時還必須有完善的安全管理規(guī)章制度和專門管理人才，才能有效地實現(xiàn)企業(yè)安全、可靠、穩(wěn)定地運行。

參考文獻(xiàn)：

第8篇：企業(yè)網(wǎng)絡(luò)安全建議范文

關(guān)鍵詞 企業(yè)集團(tuán);通信網(wǎng);技術(shù)建議

中圖分類號TN91文獻(xiàn)標(biāo)識碼A文章編號 1674-6708(2010)19-0080-02

國際化企業(yè)集團(tuán)分布廣,可能跨地區(qū)、跨省份、乃至跨越國界,還經(jīng)常涉及與駐外機關(guān)單位聯(lián)絡(luò),這必然要涉及到通信聯(lián)絡(luò)、安全保密和統(tǒng)一管理問題,如果采用一定方式接入到整個專用的通信網(wǎng)會比較靈活和方便,同時還會節(jié)省部分通信費用,根據(jù)業(yè)務(wù)發(fā)展的需要,這里就根據(jù)有關(guān)專用通信網(wǎng)實際應(yīng)用提出幾種駐外機構(gòu)、內(nèi)部企業(yè)網(wǎng)接入軟交換上來的技術(shù)建議。

1接入專用通信網(wǎng)的方式和途經(jīng)

目前一些企業(yè)集團(tuán)通常有三種網(wǎng)絡(luò)機構(gòu),一是企業(yè)辦公網(wǎng);二是新建承載網(wǎng);三是internet網(wǎng),只要利用這些網(wǎng)絡(luò)就可以將其范圍內(nèi)的接入設(shè)備,安全的接入到我們的軟交換網(wǎng)中,因為原則上只要IP可達(dá),軟交換就能對城域網(wǎng)內(nèi)的這些接入設(shè)備進(jìn)行交換控制。但是為了確保語音軟交換設(shè)備的安全,工程建設(shè)中,應(yīng)該在城域網(wǎng)與軟交換相交的地方配備一臺SBC(SE2200)設(shè)備,起著完全和IP轉(zhuǎn)換的作用。這樣外網(wǎng)就可以正常的安全的接入進(jìn)來。

2接入設(shè)備類型與協(xié)議要求

1)可以通過Internet網(wǎng)直接接入可視電話終端,走SIP協(xié)議;

2)可以通過其它可接入設(shè)備,如IAD、AMG、UA5000等接入型設(shè)備,通過H248或MGCP協(xié)議直接注冊到NGN上來。

3相對集中的駐地網(wǎng)用戶接入應(yīng)用

針對企業(yè)集團(tuán)或礦區(qū)相對偏遠(yuǎn)的駐地,且只有自己的局域網(wǎng)、安全性要求高的企業(yè)網(wǎng)(內(nèi)外網(wǎng)為不同IP地址域)、用戶數(shù)比較多的駐地網(wǎng)(內(nèi)外網(wǎng)為不同IP地址域),這樣的電話用戶可以通過該局域網(wǎng)接入到軟交換網(wǎng)絡(luò)中,在接入端可以通過SE2000設(shè)備來進(jìn)行安全隔離。實現(xiàn)方式可以如下圖所示。

在整個設(shè)計中SE2000可以部署在駐地局域網(wǎng)的DMZ(Demilitarized Zone)區(qū)域、出口路由器的邊緣,或駐地局域網(wǎng)出口BAS(Broadband Access Server)或L3 Switch設(shè)備的邊緣。SE2000由駐地網(wǎng)自己管理。

企業(yè)網(wǎng)、駐地網(wǎng)內(nèi)直接部署會話業(yè)務(wù)類終端,無需其它網(wǎng)絡(luò)改動,企業(yè)原有的NAT設(shè)備繼續(xù)工作。

SE2000為企業(yè)網(wǎng)、駐地網(wǎng)內(nèi)用戶的會話業(yè)務(wù)提供信令、媒體轉(zhuǎn)發(fā)功能,實現(xiàn)QoS、安全和地址轉(zhuǎn)換。

企業(yè)網(wǎng)、駐地網(wǎng)內(nèi)用戶的數(shù)據(jù)業(yè)務(wù)不經(jīng)過該設(shè)備,而是經(jīng)NAT處理后直接通過出口路由器或BAS設(shè)備轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)。

4相對地理位置較遠(yuǎn)跨省跨地區(qū)的駐外用戶的接入應(yīng)用

針對地理位置較遠(yuǎn)跨省跨地區(qū)的駐外用戶我們可以借助Internet網(wǎng)絡(luò)來接入到NGN VPN網(wǎng)絡(luò)即(NGN承載網(wǎng))。如下圖:

在這個設(shè)計中,我們可以把通過Internet接入的用戶在地理上無限延長,這些用戶可以在北京,可以在香港,也可以在伊拉克,我們可以把由Internet接入的用戶等同于在NGN VPN網(wǎng)范圍內(nèi)的超市、網(wǎng)吧一樣的接入用戶。在這個設(shè)計中,SE2000部署在專用NGN VPN網(wǎng)絡(luò)至Internet的出口路由器邊緣,由通信業(yè)務(wù)部門負(fù)責(zé)管理。在駐外網(wǎng)內(nèi)直接部署會話業(yè)務(wù)類終端、IADMS設(shè)備,無需其它網(wǎng)絡(luò)改動。

SE2000將Internet用戶接入到專用網(wǎng)的NGN網(wǎng)絡(luò),并為Internet用戶提供會話業(yè)務(wù),并為會話業(yè)務(wù)提供信令、媒體轉(zhuǎn)發(fā)支持。

若是Internet用戶之間進(jìn)行會話業(yè)務(wù),則只有信令經(jīng)過SE2000設(shè)備,媒體流則不必經(jīng)過,媒體流通過本地完成交互。若是NGN網(wǎng)絡(luò)用戶與Internet用戶之間進(jìn)行會話業(yè)務(wù),則信令和媒體流同時經(jīng)過SE2000設(shè)備進(jìn)行。

5接入設(shè)備通信保障設(shè)計

為了避免單臺設(shè)備異常而導(dǎo)致信令/媒體流中斷,需要部署兩臺SE2000從而形成雙機熱備份。

在整個通信接入過程中,為確保安全,應(yīng)將兩臺SE2000布署在NGN承載網(wǎng)邊緣,或駐地局域網(wǎng)出口,由通信主管部門或駐地網(wǎng)負(fù)責(zé)管理。

兩臺SE2000形成一個熱備份組,其中一臺設(shè)備作為主設(shè)備承擔(dān)信令/媒體工作,另一臺作為備份設(shè)備,這兩臺設(shè)備以主備備份方式工作。

6終端網(wǎng)絡(luò)管理NAT穿越

IAD、SE2000、IADMS和網(wǎng)管中心之間通過方式實現(xiàn)跨越NAT的終端管理,如下所示。

SE2000部署在駐地局域網(wǎng)邊緣,處于IAD和IADMS設(shè)備之間,由通信業(yè)務(wù)部門負(fù)責(zé)管理。

SE2000在IAD和IADMS之間提供網(wǎng)管功能,對眾多IAD設(shè)備進(jìn)行管理。網(wǎng)管中心NMS網(wǎng)管站對SE2000設(shè)備進(jìn)行管理。

IADMS指定FTP(File Transfer Protocol)來對IAD設(shè)備進(jìn)行遠(yuǎn)程升級。

參考文獻(xiàn)

[1]SIP(Session Initiation Protocol)應(yīng)用層的信令控制協(xié)議.

[2]H.248媒體網(wǎng)關(guān)控制協(xié)議.

第9篇：企業(yè)網(wǎng)絡(luò)安全建議范文

【關(guān)鍵詞】交換機安全；MAC地址泛洪；vlan跨越；ARP欺騙；DHCP欺騙

提到網(wǎng)絡(luò)安全防護(hù)，大多數(shù)企業(yè)都是將防火墻、UTM、路由器等設(shè)備一層接一層的部署在企業(yè)網(wǎng)絡(luò)的各個區(qū)域，而對于眾多的交換機則很少考慮到它們的安全性。隨著企業(yè)網(wǎng)絡(luò)越來越復(fù)雜，交換機在網(wǎng)絡(luò)中扮演著眾多的角色：終端網(wǎng)絡(luò)的接入點、路由器的連接點、甚至是核心網(wǎng)絡(luò)的連接途徑。因此，詳細(xì)研究交換機的攻擊方式和安全防護(hù)措施具有重要的意義。

1 MAC地址泛洪攻擊的安全防護(hù)

交換機是基于MAC地址去轉(zhuǎn)發(fā)數(shù)據(jù)幀的，轉(zhuǎn)發(fā)過程中依靠對CAM表的查詢來確定正確的轉(zhuǎn)發(fā)接口，一旦在查詢過程中無法找到相關(guān)目的MAC對應(yīng)的條目，此數(shù)據(jù)幀將作為廣播幀來處理，而CAM表的容量有限，只能儲存不多的條目，當(dāng)CAM表記錄的MAC地址達(dá)到上限后，新的條目將不會添加到CAM表中。于是攻擊者在很短的時間內(nèi)不斷的變換出大量的MAC地址發(fā)向交換機，引起MAC地址泛洪，而當(dāng)有新的設(shè)備要發(fā)送數(shù)據(jù)時，就將泛洪整個廣播域，攻擊者即收到了設(shè)備的泛洪信息。

防護(hù)措施：對交換機端口接入的源MAC地址或源MAC地址接入的數(shù)量進(jìn)行限制。

2 VLAN跨越攻擊的安全防護(hù)

VLAN跨越攻擊是指數(shù)據(jù)包被傳送到不正確的端口上，數(shù)據(jù)包能夠不通過三層設(shè)備跨VLAN傳輸?；旧蟅LAN跨越攻擊有如下兩個類型。

交換機欺騙：攻擊者試圖通過配置802.1Q或者ISL把自己偽裝成一個交換機，通過DTP（動態(tài)中繼協(xié)議）信號可以幫助攻擊者完成欺騙。

雙標(biāo)簽：是包括2個802.1Q頭的傳輸幀標(biāo)簽，一個頭用于（受害者）用戶的交換機，另一個用于攻擊者的交換機。如圖1：攻擊者pc1的包即寫了vlan2，也寫了vlan3的標(biāo)簽，在通過switch1時，剝離了第一層標(biāo)簽dot1q2，由于switch1的native vlan是2，于是數(shù)據(jù)包不打標(biāo)傳輸?shù)絪witch2，switch2收到不帶標(biāo)的數(shù)據(jù)包后，自動加上switch2的native vlan 3，于是攻擊者pc1就能和不同vlan的pc2進(jìn)行通信。

防護(hù)措施：

1）交換機未使用的端口關(guān)閉；

2）所有未用的端口都配為access，防止自動協(xié)商為trunk；

3）native vlan不能和pc使用的vlan相同；

4）所有未用得端口配為pc未用的另一個vlan；

5）在所有來歷不明的端口上禁止DTP協(xié)議；

6）trunk的允許vlan不要加入native vlan。

3 DHCP欺騙攻擊的安全防護(hù)

DHCP欺騙攻擊是指攻擊者首先將正常的DHCP服務(wù)器所能分配的IP地址耗盡，然后冒充合法的 DHCP服務(wù)器，從而獲取所有PC的數(shù)據(jù)信息。

防護(hù)措施：開啟DHCP Snooping，通過建立和維護(hù)DHCP Snooping綁定表過濾不可信任的DHCP信息。

4 ARP欺騙攻擊的安全防護(hù)

交換機維護(hù)著一個ARP映射表，這個表中記錄了交換機每個端口所連接的設(shè)備的IP地址和MAC地址的映射關(guān)系。假如攻擊者想要獲取網(wǎng)絡(luò)中某合法PC的信息訪問權(quán)，它只要能接入該PC所連的交換機，然后向此PC發(fā)送一個偽造請求，把自己的IP地址偽造成網(wǎng)關(guān)地址，此PC收到該請求后會把該攻擊者的IP地址當(dāng)作網(wǎng)關(guān)地址，然后把所有要發(fā)送給網(wǎng)關(guān)的請求都發(fā)送到攻擊者的機器上，攻擊者再監(jiān)測這些數(shù)據(jù)包，并把它們繼續(xù)轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)。由于攻擊者最終還是將數(shù)據(jù)包轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)了，合法PC無法意識到自己的數(shù)據(jù)包被截取了，因此只要攻擊者繼續(xù)保持攻擊，該PC就會一直向攻擊者轉(zhuǎn)發(fā)流量，最終被攻擊者獲取合法信息訪問權(quán)。

防護(hù)措施：1）未使用的交換機端口要關(guān)閉；2）在交換機上手動配置IP地址和MAC地址的映射關(guān)系；3）假如是DHCP動態(tài)分配IP地址，再開啟了ip dhcp snooping后，開啟ARP欺騙防護(hù)。

5 交換機的其他安全防護(hù)

5.1 CDP協(xié)議的安全防

CDP是思科私有協(xié)議，它工作在數(shù)據(jù)鏈路層上的協(xié)議，主要用來發(fā)現(xiàn)和查看相鄰設(shè)備的簡單配置信息：如網(wǎng)絡(luò)地址、發(fā)送消息的端口或者接口信息、硬件平臺、發(fā)送設(shè)備的功能、軟件版本等等。通常情況下這部分信息都是明文保存的。攻擊者通過一些工具就可以輕松的獲得這些機密信息。因此，建議關(guān)閉CDP協(xié)議。防護(hù)配置如下：SW（config）#no cdp run

5.2 遠(yuǎn)程管理的安全防護(hù)

常見交換機的遠(yuǎn)程管理協(xié)議是telnet、http，但這兩個協(xié)議傳輸?shù)亩际敲魑男畔?，因此，很容易被攻擊者截獲取得想要的信息。因此，1）建議使用ssh、https等加密管理協(xié)議；2）建立對可遠(yuǎn)程管理交換機的IP地址進(jìn)行控制，可使用ACL。

5.3 密碼防護(hù)

對交換機的console口、aux口、vty、enable都要設(shè)置密碼。并且啟用密碼加密服務(wù)。防護(hù)配置如下：

在企業(yè)中，交換機大多位于網(wǎng)絡(luò)的接入層，如果能夠?qū)粨Q機的安全性給予足夠的重視并進(jìn)行合理的配置，它能使企業(yè)網(wǎng)絡(luò)免受絕大部分的攻擊。隨著交換機在企業(yè)網(wǎng)絡(luò)中的數(shù)量和部署區(qū)域的增多，利用交換機來防范網(wǎng)絡(luò)安全具有十分重要的意義。

參考文獻(xiàn)

[1]海吉，羅進(jìn)文，王，張媛.網(wǎng)絡(luò)安全技術(shù)與解決方案[M].人民郵電出版社，2009.