導(dǎo)言：作為寫作愛好者，不可錯(cuò)過為您精心挑選的10篇企業(yè)網(wǎng)絡(luò)安全論文，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場，企業(yè)就面臨著如何提高自身核心競爭力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時(shí)刻在制約著自己，企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進(jìn)行說明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計(jì)算機(jī)500余臺，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累，某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營管理的各個(gè)環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目，基于當(dāng)時(shí)對信息安全的認(rèn)識和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析

通過對我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。

(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過對現(xiàn)有的信息安全體系的分析，也可以看出：隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內(nèi)部人員可以直接對重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。

美國聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn)：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個(gè)動態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級。

已購買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運(yùn)用風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個(gè)動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險(xiǎn)原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5多重保護(hù)原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

4.6分步實(shí)施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對安全體系的特性，尋求安全、風(fēng)險(xiǎn)、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費(fèi)用開支。

5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動的始終，如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對的，需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡，通過對某公司信息化和信息安全現(xiàn)狀的分析，對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過與計(jì)算機(jī)專業(yè)公司接觸，初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺，能夠通過這個(gè)安全平臺實(shí)現(xiàn)以下目標(biāo)：

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認(rèn)對方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality)：對敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認(rèn)自己的行為，確保通信方對自己的行為承認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù)，可以對多種網(wǎng)絡(luò)對象進(jìn)行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級的組織和個(gè)人的證書由上一級的組織負(fù)責(zé)認(rèn)證，而最上一級的組織(根證書)之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護(hù)

對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來自于企業(yè)內(nèi)部。同時(shí)，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等，因此，對于企業(yè)的威脅更為嚴(yán)重。對于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

6方案的組織與實(shí)施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程，也為本方案的實(shí)施提供了借鑒。

圖3

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

篇2

信息安全管理涉及油田生產(chǎn)、數(shù)據(jù)保存、辦公區(qū)域保護(hù)等多個(gè)層面，在信息化時(shí)代，油田企業(yè)需要加強(qiáng)信息化網(wǎng)絡(luò)安全管理?，F(xiàn)階段，油田企業(yè)信息安全管理的漏洞包括：①信息安全管理制度不健全，缺乏細(xì)化、具體化的網(wǎng)絡(luò)安全措施，針對員工不合理使用信息設(shè)備、網(wǎng)絡(luò)的懲罰機(jī)制不健全。②部分管理人員和員工信息素養(yǎng)較低，如他們不能全面掌握部分軟件的功能，不重視企業(yè)網(wǎng)絡(luò)使用規(guī)范，且存在隨意訪問網(wǎng)站，隨意下載文件的現(xiàn)象，增加企業(yè)網(wǎng)絡(luò)負(fù)擔(dān)，影響網(wǎng)絡(luò)安全。③信息系統(tǒng)管理員缺乏嚴(yán)格的管理理念。石油企業(yè)信息網(wǎng)絡(luò)系統(tǒng)都設(shè)有管理員崗位，負(fù)責(zé)企業(yè)內(nèi)部網(wǎng)絡(luò)軟硬件的配備與管理，但現(xiàn)階段，該職位員工缺乏嚴(yán)格的管理理念，不能及時(shí)發(fā)現(xiàn)和解決信息安全隱患。④為方便員工使用移動終端設(shè)備辦公上網(wǎng)，石油企業(yè)辦公區(qū)域也設(shè)置了無線路由器。但是，員工自身的手機(jī)等設(shè)備存在很多不安全因素，會影響企業(yè)網(wǎng)絡(luò)安全性。

1.2病毒入侵與軟件漏洞

網(wǎng)絡(luò)病毒入侵通常是通過訪問網(wǎng)站、下載文件和使用等途徑傳播，員工如果訪問不法鏈接或下載來源不明的文件，可能會導(dǎo)致病毒入侵，危害信息安全。病毒入侵的原因主要有兩方面，一方面，員工的不良行為帶來病毒；另一方面，系統(tǒng)自身的漏洞導(dǎo)致病毒入侵。由此看來，油田企業(yè)信息化軟件自身存在的漏洞也具有安全隱患。其中，主要包括基礎(chǔ)軟件操作系統(tǒng)，也包括基于操作系統(tǒng)運(yùn)行的應(yīng)用軟件，如Office辦公軟件、CAD制圖軟件、社交軟件、油田監(jiān)控信息系統(tǒng)、油田企業(yè)內(nèi)部郵箱、財(cái)務(wù)管理軟件、人事管理軟件等。

1.3網(wǎng)絡(luò)設(shè)備的安全隱患

現(xiàn)階段，油田企業(yè)網(wǎng)絡(luò)設(shè)備也存在不安全因素，主要表現(xiàn)在兩方面：第一，油田企業(yè)無論是辦公區(qū)還是作業(yè)區(qū)，環(huán)境都較為惡劣，部分重要企業(yè)信息網(wǎng)絡(luò)設(shè)備放置環(huán)境的溫度、濕度不合理，嚴(yán)重影響硬件的使用壽命和性能，存在信息數(shù)據(jù)丟失的危險(xiǎn)；第二，企業(yè)內(nèi)部網(wǎng)絡(luò)的一些關(guān)鍵環(huán)節(jié)尚未引入備份機(jī)制，如服務(wù)器硬盤，若單個(gè)硬盤損壞缺乏備份機(jī)制，會導(dǎo)致數(shù)據(jù)永久性丟失。

2提高油田企業(yè)網(wǎng)絡(luò)安全策略

2.1加強(qiáng)信息安全管理

基于現(xiàn)階段油田企業(yè)信息網(wǎng)絡(luò)安全管理現(xiàn)狀，首先，油田企業(yè)要重新制定管理機(jī)制，對各個(gè)安全隱患進(jìn)行具體化、細(xì)化規(guī)范，包括員工對信息應(yīng)用的日常操作規(guī)范，禁止訪問不明網(wǎng)站和打開不明鏈接。其次，油田企業(yè)要強(qiáng)化執(zhí)行力，摒除企業(yè)管理弊端，對違規(guī)操作的個(gè)人進(jìn)行嚴(yán)厲處罰，使員工意識到信息安全的重要性，提高其防范意識和能力。再次，油田企業(yè)要招聘能力強(qiáng)、素質(zhì)高的信息系統(tǒng)管理員，使其能及時(shí)發(fā)現(xiàn)和整改系統(tǒng)安全隱患。最后，對員工使用智能終端上網(wǎng)的現(xiàn)象，則建議辦公區(qū)配備無線路由器的寬帶與企業(yè)信息網(wǎng)絡(luò)要完全隔離，以避免對其產(chǎn)生負(fù)面影響。

2.2加強(qiáng)對軟件安全隱患和病毒的防范

（1）利用好防火墻防范技術(shù)?，F(xiàn)階段，油田企業(yè)的網(wǎng)絡(luò)建設(shè)雖然引入防火墻設(shè)備，但沒有合理利用。因此，油田企業(yè)要全面監(jiān)管和控制外部數(shù)據(jù)，防止不法攻擊，防止病毒入侵。同時(shí)，定期更新防火墻安全策略。（2）對企業(yè)數(shù)據(jù)進(jìn)行有效加密與備份。對油田企業(yè)來說，大部分?jǐn)?shù)據(jù)具有保密性，不可對外泄密。因此，企業(yè)不僅要做好內(nèi)部權(quán)限管理，還應(yīng)要求掌握關(guān)鍵數(shù)據(jù)的員工對數(shù)據(jù)做好加密和備份工作。在傳輸和保存中利用加密工具進(jìn)行加密，數(shù)據(jù)的保存則需要通過物理硬盤等工具進(jìn)行備份。有條件的企業(yè)，可在不同地區(qū)進(jìn)行備份，以防止不可抗拒外力作用下的數(shù)據(jù)丟失。（3）合理使用殺毒軟件。企業(yè)要對內(nèi)部計(jì)算機(jī)和移動終端安裝殺毒軟件，并高效運(yùn)行，以加強(qiáng)對病毒的防范。

2.3提升網(wǎng)絡(luò)設(shè)備安全

（1）由于油田企業(yè)內(nèi)部信息網(wǎng)絡(luò)規(guī)模較大，設(shè)備較多且部署復(fù)雜。因此，要及時(shí)解決硬件面臨的問題，定期檢查維修，提高硬件設(shè)備安全性。定期檢修能準(zhǔn)確掌握網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況，并能及時(shí)發(fā)現(xiàn)潛在隱患。（2）對處于惡劣環(huán)境中的網(wǎng)絡(luò)設(shè)備，包括防火墻、服務(wù)器、交換機(jī)、路由器等，盡量為其提供獨(dú)立封閉的空間，以確保溫濕度合理。

篇3

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場，企業(yè)就面臨著如何提高自身核心競爭力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時(shí)刻在制約著自己，企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進(jìn)行說明。

2信息系統(tǒng)現(xiàn)狀

2.1信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計(jì)算機(jī)500余臺，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累，某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營管理的各個(gè)環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目，基于當(dāng)時(shí)對信息安全的認(rèn)識和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險(xiǎn)與需求分析

3.1風(fēng)險(xiǎn)分析

通過對我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。

(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過對現(xiàn)有的信息安全體系的分析，也可以看出：隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內(nèi)部人員可以直接對重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。

美國聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn)：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個(gè)動態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級。

已購買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運(yùn)用風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個(gè)動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險(xiǎn)原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5多重保護(hù)原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

4.6分步實(shí)施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對安全體系的特性，尋求安全、風(fēng)險(xiǎn)、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費(fèi)用開支。

5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動的始終，如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對的，需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡，通過對某公司信息化和信息安全現(xiàn)狀的分析，對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過與計(jì)算機(jī)專業(yè)公司接觸，初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺，能夠通過這個(gè)安全平臺實(shí)現(xiàn)以下目標(biāo)：

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認(rèn)對方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality)：對敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認(rèn)自己的行為，確保通信方對自己的行為承認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù)，可以對多種網(wǎng)絡(luò)對象進(jìn)行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級的組織和個(gè)人的證書由上一級的組織負(fù)責(zé)認(rèn)證，而最上一級的組織(根證書)之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護(hù)

對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來自于企業(yè)內(nèi)部。同時(shí)，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等，因此，對于企業(yè)的威脅更為嚴(yán)重。對于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?；赑KI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

6方案的組織與實(shí)施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程，也為本方案的實(shí)施提供了借鑒。

圖3

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

篇4

當(dāng)前，大多數(shù)企業(yè)都實(shí)現(xiàn)了辦公自動化、網(wǎng)絡(luò)化，這是提高辦公效率、擴(kuò)大企業(yè)經(jīng)營范圍的重要手段。但也正是因?yàn)閷τ?jì)算機(jī)網(wǎng)絡(luò)的過分依賴，容易因?yàn)橐恍┲骺陀^因素對計(jì)算機(jī)網(wǎng)絡(luò)造成妨礙，并給企業(yè)造成無法估計(jì)的損失。

1網(wǎng)絡(luò)管理制度不完善

網(wǎng)絡(luò)管理制度不完善是妨礙企業(yè)網(wǎng)絡(luò)安全諸多因素中破壞力最強(qiáng)的?！皼]有規(guī)矩，不成方圓?！敝贫染褪且?guī)矩。當(dāng)前，一些企業(yè)的網(wǎng)絡(luò)管理制度不完善，尚未形成規(guī)范的管理體系，存在著網(wǎng)絡(luò)安全意識淡漠、管理流程混亂、管理責(zé)任不清等諸多嚴(yán)重問題，使企業(yè)相關(guān)人員不能采取有效措施防范網(wǎng)絡(luò)威脅，也給一些攻擊者接觸并獲取企業(yè)信息提供很大的便利。

2網(wǎng)絡(luò)建設(shè)規(guī)劃不合理

網(wǎng)絡(luò)建設(shè)規(guī)劃不合理是企業(yè)網(wǎng)絡(luò)安全中存在的普遍問題。企業(yè)在成立初期對網(wǎng)絡(luò)建設(shè)并不是十分重視，但隨著企業(yè)的發(fā)展與擴(kuò)大，對網(wǎng)絡(luò)應(yīng)用的日益頻繁與依賴，企業(yè)未能對網(wǎng)絡(luò)建設(shè)進(jìn)行合理規(guī)劃的弊端也就會日益凸顯，如，企業(yè)所接入的網(wǎng)絡(luò)寬帶的承載能力不足，企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)的聯(lián)接方式不夠科學(xué)，等等。

3網(wǎng)絡(luò)設(shè)施設(shè)備的落后

網(wǎng)絡(luò)設(shè)施設(shè)備與時(shí)展相比始終是落后。這是因?yàn)橛?jì)算機(jī)和網(wǎng)絡(luò)技術(shù)是發(fā)展更新最為迅速的科學(xué)技術(shù)，即便企業(yè)在網(wǎng)絡(luò)設(shè)施設(shè)備方面投入了大筆資金，在一定時(shí)間之后，企業(yè)的網(wǎng)絡(luò)設(shè)施設(shè)備仍是落后或相對落后的，尤其是一些企業(yè)對于設(shè)施設(shè)備的更新和維護(hù)不夠重視，這一問題會更加突出。

4網(wǎng)絡(luò)操作系統(tǒng)自身存在漏洞

操作系統(tǒng)是將用戶界面、計(jì)算機(jī)軟件和硬件三者進(jìn)行有機(jī)結(jié)合的應(yīng)用體系。網(wǎng)絡(luò)環(huán)境中的操作系統(tǒng)不可避免地會存在安全漏洞。其中包括計(jì)算機(jī)工作人員為了操作方便而主動留出的“后門”以及一些因技術(shù)問題而存在的安全隱患，一旦這些為網(wǎng)絡(luò)黑客所了解，就會給其進(jìn)行網(wǎng)絡(luò)攻擊提供便利。

網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建策略

如前所述，企業(yè)網(wǎng)絡(luò)安全問題所面臨的形勢十分嚴(yán)峻，構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系已經(jīng)刻不容緩。要結(jié)合企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的具體情況，構(gòu)建具有監(jiān)測、預(yù)警、防御和維護(hù)功能的安全防護(hù)體系，切實(shí)保障企業(yè)的信息安全。

1完善企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)制度

制度的建立和完善是企業(yè)網(wǎng)絡(luò)安全體系的重要前提。要結(jié)合企業(yè)網(wǎng)絡(luò)使用要求制定合理的管理流程和使用制度，強(qiáng)化企業(yè)人員的網(wǎng)絡(luò)安全意識，明確網(wǎng)絡(luò)安全管護(hù)責(zé)任，及時(shí)更新并維護(hù)網(wǎng)絡(luò)設(shè)施設(shè)備，提高網(wǎng)絡(luò)設(shè)施的應(yīng)用水平。如果有必要，企業(yè)應(yīng)聘請專門的信息技術(shù)人才，并為其提供學(xué)習(xí)和培訓(xùn)的機(jī)會，同時(shí)，還要為企業(yè)員工提供網(wǎng)絡(luò)安全的講座和培訓(xùn)，引導(dǎo)企業(yè)人員在使用網(wǎng)絡(luò)時(shí)主動維護(hù)網(wǎng)絡(luò)安全，避免網(wǎng)絡(luò)安全問題的出現(xiàn)。

2配置有效的防火墻

防火墻是用于保障網(wǎng)絡(luò)信息安全的設(shè)備或軟件，防火墻技術(shù)是網(wǎng)絡(luò)安全防御體系的重要構(gòu)成。防火墻技術(shù)主要通過既定的網(wǎng)絡(luò)安全規(guī)則，監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行狀態(tài)，對網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)包進(jìn)行安全檢查并實(shí)施強(qiáng)制性控制，屏蔽一些含有危險(xiǎn)信息的網(wǎng)站或個(gè)人登錄或訪問企業(yè)計(jì)算機(jī)，從而防止計(jì)算機(jī)網(wǎng)絡(luò)信息泄露，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全。

3采用有效的病毒檢測技術(shù)

篇5

1.2對外部網(wǎng)絡(luò)攻擊的防護(hù)因連接到因特網(wǎng)，不可避免地會受到外部網(wǎng)絡(luò)的攻擊，通常的做法是安裝部署網(wǎng)絡(luò)防火墻進(jìn)行防護(hù)。通過設(shè)置防護(hù)策略防止外部網(wǎng)絡(luò)的掃描和攻擊，通過網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)NAT（NetworkAddressTranslation）等方式隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)，防止其窺探，從而加強(qiáng)網(wǎng)絡(luò)的安全性。1.3員工上網(wǎng)行為的管控對于在辦公區(qū)內(nèi)的員工，要禁止其在工作期間做無關(guān)工作的網(wǎng)絡(luò)行為，如QQ聊天、論壇發(fā)帖子、炒股等，尤其禁止其玩征途等各類網(wǎng)絡(luò)游戲。常用做法就是安裝網(wǎng)絡(luò)行為管理設(shè)備（應(yīng)用網(wǎng)關(guān)），也有些企業(yè)會出于成本考慮安裝一些網(wǎng)絡(luò)管理類軟件，但若操作不當(dāng)，很容易會造成網(wǎng)絡(luò)擁塞，出現(xiàn)莫名其妙的故障。

1.4對不同接入者權(quán)限的區(qū)分企業(yè)網(wǎng)絡(luò)中的接入者應(yīng)用目的是不相同的，有些必須接入互聯(lián)網(wǎng)，而有些設(shè)備不能接入互聯(lián)網(wǎng)；有些是一定時(shí)間能接入，一定時(shí)間不能接入等等，出于成本等因素考慮，不可能也沒必要鋪設(shè)多套網(wǎng)絡(luò)。通常的做法是通過3層交換機(jī)劃分虛擬局域網(wǎng)VLAN（VirtualLocalAreaNetwork）來區(qū)分不同的網(wǎng)段，與防火墻等網(wǎng)絡(luò)控制設(shè)備配合來實(shí)現(xiàn)有關(guān)功能。

1.5安全審計(jì)功能通過在網(wǎng)絡(luò)旁路掛載的方式,對網(wǎng)絡(luò)進(jìn)行監(jiān)聽，捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包，還原出完整的協(xié)議原始信息，并準(zhǔn)確記錄網(wǎng)絡(luò)訪問的關(guān)鍵信息，從而實(shí)現(xiàn)網(wǎng)絡(luò)訪問記錄、郵件訪問記錄、上網(wǎng)時(shí)間控制、不良站點(diǎn)訪問禁止等功能。審計(jì)設(shè)備安裝后不能影響原有網(wǎng)絡(luò)，并需具有提供內(nèi)容安全控制的功能，使網(wǎng)絡(luò)維護(hù)人員能夠及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞和入侵行為等，從而使網(wǎng)絡(luò)系統(tǒng)性能能夠得到有效改善。通常的做法就是安裝安全運(yùn)行維護(hù)系統(tǒng)SOC（SecurityOperationsCente）r，網(wǎng)管員定時(shí)查看日志來分析網(wǎng)絡(luò)狀況，并制定相應(yīng)的策略來維護(hù)穩(wěn)定網(wǎng)絡(luò)的安全運(yùn)行。

.6外網(wǎng)用戶訪問內(nèi)部網(wǎng)絡(luò)公司會有一些出差在外地的人員以及居家辦公人員SOHO（SmallOfficeHomeOffice），因辦公需要，會到公司內(nèi)網(wǎng)獲取相關(guān)數(shù)據(jù)資料，出于安全和便捷等因素考慮，需要借助虛擬專用網(wǎng)絡(luò)技術(shù)VPN（VirtualPrivateNetwork）來實(shí)現(xiàn)。通常的做法是安裝VPN設(shè)備（應(yīng)用網(wǎng)關(guān)）來實(shí)現(xiàn)。

2網(wǎng)絡(luò)安全設(shè)備的部署與應(yīng)用

通過企業(yè)網(wǎng)絡(luò)安全分析，結(jié)合中小企業(yè)網(wǎng)絡(luò)的實(shí)際需求進(jìn)行設(shè)計(jì)。該網(wǎng)絡(luò)中的核心網(wǎng)絡(luò)設(shè)備為UTM綜合安全網(wǎng)關(guān)。它集成了防病毒、入侵檢測和防火墻等多種網(wǎng)絡(luò)安全防護(hù)功能，從而成為統(tǒng)一威脅管理UTM(UnifiedThreatManagement)綜合安全網(wǎng)關(guān)。它是一種由專用硬件、專用軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，通過提供一項(xiàng)或多項(xiàng)安全功能，將多種安全特性集成于一個(gè)硬件設(shè)備，構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺[2]。通常，UTM設(shè)備應(yīng)該具備的基本功能有網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測（防御）和網(wǎng)關(guān)防病毒等功能。為使這些功能能夠協(xié)同運(yùn)作，有效降低操作管理難度，研發(fā)人員會從易于操作使用的角度對系統(tǒng)進(jìn)行優(yōu)化，提升產(chǎn)品的易用性并降低用戶誤操作的可能性。對于沒有專業(yè)信息安全知識的人員或者技術(shù)力量相對薄弱的中小企業(yè)來說，使用UTM產(chǎn)品可以很方便地提高這些企業(yè)應(yīng)用信息安全設(shè)施的質(zhì)量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問控制、入侵檢測盒日志審計(jì)等。網(wǎng)絡(luò)接入和路由轉(zhuǎn)發(fā)功能也可由UTM設(shè)備來實(shí)現(xiàn)。因其具有多個(gè)接口（即多個(gè)網(wǎng)卡），可通過設(shè)定接口組把辦公區(qū)、車間、服務(wù)器組等不同區(qū)域劃分成不同的網(wǎng)段；通過對不同網(wǎng)段設(shè)定不同的訪問規(guī)則，制定不同的訪問策略，來實(shí)現(xiàn)非軍事化區(qū)DMZ（demilitarizedzone）、可信任區(qū)以及非信任區(qū)的劃分，從而有效增強(qiáng)網(wǎng)絡(luò)的安全性和穩(wěn)定性。對于上網(wǎng)行為的管理，可以通過內(nèi)置UTM設(shè)備的功能來實(shí)現(xiàn)管控，并可以實(shí)現(xiàn)Web過濾以及安全審計(jì)功能。，設(shè)定了辦公區(qū)和車間1可以訪問互聯(lián)網(wǎng)，而車間2不能訪問互聯(lián)網(wǎng)。在辦公區(qū)和部分車間安裝無線AP，可方便人員隨時(shí)接入網(wǎng)絡(luò)。通過訪問密碼和身份認(rèn)證等手段，可對接入者進(jìn)行身份識別，對其訪問網(wǎng)絡(luò)的權(quán)限進(jìn)行區(qū)分管控。市場上還有一些專用的上網(wǎng)行為管理設(shè)備，有條件的單位可進(jìn)行安裝，用以實(shí)現(xiàn)對員工上網(wǎng)行為進(jìn)行更為精準(zhǔn)的管控。對于出差在外地的人員和SOHO人員可在任何時(shí)間通過VPN客戶端，用事先分配好的VPN賬戶，借助UTM設(shè)備的VPN功能，與總部建立VPN隧道，從而保證相互間通信的保密性，安全訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)高效安全的網(wǎng)絡(luò)應(yīng)用。

篇6

現(xiàn)階段，我國的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不夠健全，未能達(dá)成建立在供電企業(yè)內(nèi)部網(wǎng)絡(luò)信息化的理想狀態(tài)。中部市、縣級供電公司因?yàn)闂l件有限，信息安全工作相對投入較少，安全隱患較大，各種安全保障措施較為薄弱，未能建立一個(gè)健全的內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)。但隨著各類信息系統(tǒng)不斷上線投運(yùn)，財(cái)務(wù)、營銷、生產(chǎn)各專業(yè)都有相關(guān)的信息系統(tǒng)投入應(yīng)用，相對薄弱的網(wǎng)絡(luò)系統(tǒng)必將成為整個(gè)信息管理模式的最短板。

（2）存在于網(wǎng)絡(luò)信息化機(jī)構(gòu)漏洞較多。

目前在我國供電企業(yè)中，網(wǎng)絡(luò)信息化管理并未建立一個(gè)完整系統(tǒng)的體系，供電網(wǎng)絡(luò)的各類系統(tǒng)對于關(guān)鍵流程流轉(zhuǎn)、數(shù)據(jù)存儲等都非常的重要，不能出現(xiàn)絲毫的問題，但是所承載網(wǎng)絡(luò)平臺的可靠性卻不高，安全管理漏洞也較多，使得信息管理發(fā)展極不平衡。信息化作為一項(xiàng)系統(tǒng)的工程，未能有專門的部門來負(fù)責(zé)執(zhí)行和管理。網(wǎng)絡(luò)信息安全作為我國供電企業(yè)安全文化的重要組成部分，針對現(xiàn)今我國供電企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀來看，計(jì)算機(jī)病毒，黑客攻擊造成的關(guān)鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡(luò)安全隱患。各種計(jì)算機(jī)準(zhǔn)入技術(shù)，可移動存儲介質(zhì)加密技術(shù)的應(yīng)用，給企業(yè)信息網(wǎng)絡(luò)安全帶來了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實(shí)是：操作系統(tǒng)正版化程度嚴(yán)重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新，針對操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計(jì)算機(jī)網(wǎng)絡(luò)病毒的出現(xiàn)，就會對企業(yè)內(nèi)部計(jì)算機(jī)進(jìn)行大規(guī)模的傳播，給目前相對公開化的網(wǎng)絡(luò)一個(gè)有機(jī)可乘的機(jī)會，對計(jì)算機(jī)系統(tǒng)進(jìn)行惡意破壞，導(dǎo)致計(jì)算機(jī)系統(tǒng)崩潰。不法分力趁機(jī)竊取國家供電企業(yè)的相關(guān)文件，篡改供電系統(tǒng)相關(guān)數(shù)據(jù)，對國家供電系統(tǒng)進(jìn)行毀滅性的攻擊，甚至致使整個(gè)供電系統(tǒng)出現(xiàn)大面積癱瘓。

（3）職工安全防范意識不夠。

想要保證我國網(wǎng)絡(luò)信息的安全，就必須要提高供電企業(yè)員工的綜合素質(zhì)，目前國內(nèi)供電企業(yè)職員的安全防范意識不強(qiáng)，水平參差不齊，多數(shù)為年輕職員，實(shí)際操作的能力較低，缺少應(yīng)對突發(fā)事件應(yīng)對措施知識的積累。且多數(shù)老齡職工難以對網(wǎng)絡(luò)信息完全掌握，跟不上信息化更新狀態(tài)，與新型網(wǎng)絡(luò)技術(shù)相脫軌。

2網(wǎng)絡(luò)信息安全管理在供電企業(yè)中的應(yīng)用

造成供電企業(yè)的信息安全的威脅主要來自兩個(gè)方面，一方面是國家供電企業(yè)本身設(shè)備上的信息安全威脅，另一方面就是外界網(wǎng)絡(luò)惡意的攻擊其中以外界攻擊的方式存在的較多。現(xiàn)階段我國供電企業(yè)的相關(guān)部門都在使用計(jì)算機(jī)對網(wǎng)絡(luò)安全進(jìn)行監(jiān)督和管理，難以保證所有計(jì)算機(jī)完全處在安全狀態(tài)。一般情況下某臺計(jì)算機(jī)泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的，這就需要加強(qiáng)我國供電企業(yè)進(jìn)行安全的管理，建立病毒防護(hù)體系，及時(shí)更新網(wǎng)絡(luò)防病毒軟件，針對性地引進(jìn)遠(yuǎn)程協(xié)助設(shè)備，提高警報(bào)設(shè)備的水平。供電企業(yè)的信息系統(tǒng)一個(gè)較為龐大且繁雜的系統(tǒng)，在這個(gè)系統(tǒng)中存在信息安全風(fēng)險(xiǎn)也是必然的。在這種情況下就要最大程度地降低存在的風(fēng)險(xiǎn)，對經(jīng)歷的風(fēng)險(xiǎn)進(jìn)行剖析，制定針對性的風(fēng)險(xiǎn)評估政策，確立供電企業(yè)信息系統(tǒng)安全是以制定針對性風(fēng)險(xiǎn)評估政策為前提的，根據(jù)信息安全工作的緊迫需求做好全面的風(fēng)險(xiǎn)評估至關(guān)重要。“掌握核心技術(shù)”不只是一句簡單的廣告詞語，還是國家和各個(gè)企業(yè)都應(yīng)該一直貫徹落實(shí)的方針政策。為了避免外界對我國供電企業(yè)信息技術(shù)的操控，國家相關(guān)部門就必須實(shí)行自主研發(fā)信息安全管理體系，有效地運(yùn)用高科技網(wǎng)絡(luò)技術(shù)促使安全策略、安全服務(wù)和安全機(jī)制的相結(jié)合，大力開發(fā)信息網(wǎng)絡(luò)，促進(jìn)科技管理水平的快速提高，以保證我國供電信息管理的安全。

篇7

3: 吉林省林業(yè)設(shè)計(jì)院網(wǎng)絡(luò)中心網(wǎng)絡(luò)改造與發(fā)展規(guī)劃.

4: 吉林省林業(yè)系統(tǒng)生態(tài)信息高速公路構(gòu)建課題.

二、論文撰寫與設(shè)計(jì)研究的目的:

吉林省的林業(yè)分布十分廣泛,以長白山系為主要脈絡(luò)的山地廣泛分布各種森林資源,而作為林業(yè)及林業(yè)環(huán)境的發(fā)展,林業(yè)生態(tài)信息則是一個(gè)更為龐大的系統(tǒng),快捷,準(zhǔn)確,合理,系統(tǒng)的采集,處理,分析,存儲這些信息是擺在我們面前的十分現(xiàn)實(shí)的問題.在信息交流的這個(gè)世界中,信息好比貨物,我們需要將這些貨物(信息)進(jìn)行合理的處理,其中以硬件為主的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是這些貨物(信息)交流的"公路"和"處理廠",我做這個(gè)題目,就是要為它畫出一條"公路"和若干"處理方法"的藍(lán)圖.

由于森工集團(tuán)這樣的特定企業(yè),其一,它是一個(gè)統(tǒng)一管理的企業(yè),具有集團(tuán)化的特點(diǎn),網(wǎng)絡(luò)的構(gòu)建具有統(tǒng)一性.其二,它又在地理上是一個(gè)分散的企業(yè),網(wǎng)絡(luò)點(diǎn)也具有分散性.然而,分散中還具有集中的特點(diǎn),它的網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)就應(yīng)該是板塊化的.從信息的角度來講,信息的種類多,各種信息的采集傳輸處理角度也不盡相同,我們在設(shè)計(jì)的過程中不僅要考慮硬件的地域布局,也要考慮軟件平臺的配合.

沒有最好,只有更好;更新觀念,大步向前.我相信,在導(dǎo)師的精心指導(dǎo)下,經(jīng)過我的努力,我將為它們創(chuàng)造出一條平坦,寬闊的"高速公路".

1,論文(設(shè)計(jì))研究的對象:

擬訂以吉林省林業(yè)系統(tǒng)為地理模型,以林業(yè)網(wǎng)絡(luò)綜合服務(wù)為基本需求,以網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為設(shè)計(jì)方向,以軟件整合為應(yīng)用方法,開發(fā)設(shè)計(jì)一套完整的基于集散集團(tuán)企業(yè)的企業(yè)網(wǎng)絡(luò)系統(tǒng).

2,論文(設(shè)計(jì))研究預(yù)期達(dá)到目標(biāo):

通過設(shè)計(jì),論文的撰寫,預(yù)期達(dá)到網(wǎng)絡(luò)設(shè)計(jì)全面化,軟件整合合理化,網(wǎng)絡(luò)性能最優(yōu)化,資金應(yīng)用最低化,工程周期最短化的目標(biāo).

3,論文(設(shè)計(jì))研究的內(nèi)容:

一),主要問題:

設(shè)計(jì)解決網(wǎng)絡(luò)地域規(guī)范與現(xiàn)有網(wǎng)絡(luò)資源的利用和開發(fā).

設(shè)計(jì)解決集中單位的網(wǎng)絡(luò)統(tǒng)一部署.

設(shè)計(jì)解決多類型網(wǎng)絡(luò)的接口部署.

設(shè)計(jì)解決分散網(wǎng)絡(luò)用戶的接入問題.

設(shè)計(jì)解決遠(yuǎn)程瘦用戶網(wǎng)絡(luò)分散點(diǎn)的性能價(jià)格合理化問題.

設(shè)計(jì)解決具有針對性的輸入設(shè)備的自動化信息采集問題.

合理部署網(wǎng)絡(luò)服務(wù)中心的網(wǎng)絡(luò)平衡.

優(yōu)化網(wǎng)絡(luò)服務(wù)系統(tǒng),營造合理的網(wǎng)絡(luò)平臺.

網(wǎng)絡(luò)安全問題.

10,基本應(yīng)用軟件整合問題.

[nextpage]

二),論文(設(shè)計(jì))包含的部分:

1,地理模型與網(wǎng)絡(luò)模型的整合.

2,企業(yè)內(nèi)部集中部門網(wǎng)絡(luò)設(shè)計(jì).

3,企業(yè)內(nèi)部分散單元網(wǎng)絡(luò)設(shè)計(jì)——總體分散.

4,企業(yè)內(nèi)部分散單元網(wǎng)絡(luò)設(shè)計(jì)——遠(yuǎn)程結(jié)點(diǎn).

5,企業(yè)內(nèi)部分散單元網(wǎng)絡(luò)設(shè)計(jì)——移動結(jié)點(diǎn).

6,企業(yè)網(wǎng)絡(luò)窗口(企業(yè)外信息交流)設(shè)計(jì).

7,企業(yè)網(wǎng)絡(luò)中心,服務(wù)平臺的設(shè)計(jì).

8,企業(yè)網(wǎng)絡(luò)基本應(yīng)用軟件結(jié)構(gòu)設(shè)計(jì).

9,企業(yè)網(wǎng)絡(luò)特定終端接點(diǎn)設(shè)計(jì).

10,企業(yè)網(wǎng)絡(luò)整合設(shè)計(jì).

5,論文(設(shè)計(jì))的實(shí)驗(yàn)方法及理由:

由于設(shè)計(jì)的過程并不是工程的施工過程,在設(shè)計(jì)過程中詳盡的去現(xiàn)場建設(shè)肯定有很大的難度,也不是十分可行的,那么我們在設(shè)計(jì)的階段就應(yīng)該進(jìn)行仿真試驗(yàn)和科學(xué)計(jì)算.第一步,通過小型網(wǎng)絡(luò)測試軟件平臺,第二步,構(gòu)建多個(gè)小型網(wǎng)絡(luò)搭建全局網(wǎng)絡(luò)模擬環(huán)境,第三步,構(gòu)建干擾源利用小型網(wǎng)絡(luò)集總仿真測試.

6,論文(設(shè)計(jì))實(shí)施安排表:

1.論文(設(shè)計(jì))階段第一周次:相關(guān)理論的學(xué)習(xí)研究,閱讀參考文獻(xiàn)資料,制訂課題研究的實(shí)施方案,準(zhǔn)備試驗(yàn)用網(wǎng)絡(luò)硬件和軟件形成試驗(yàn)程序表及試驗(yàn)細(xì)則.

2.論文(設(shè)計(jì))階段第二周次:開始第一輪實(shí)驗(yàn),進(jìn)行小型網(wǎng)絡(luò)構(gòu)建試驗(yàn),模擬網(wǎng)絡(luò)服務(wù)中心,模擬區(qū)域板塊,模擬遠(yuǎn)程及移動網(wǎng)絡(luò).

3.論文(設(shè)計(jì))階段第三周次:進(jìn)行接口模擬試驗(yàn),測試軟件應(yīng)用平臺,完善課題研究方案.

4.論文(設(shè)計(jì))階段第四周次:完成第一輪實(shí)驗(yàn),提交中期成果(實(shí)驗(yàn)報(bào)告1).

5.論文(設(shè)計(jì))階段第五周次:進(jìn)行第二輪實(shí)驗(yàn),模擬環(huán)境(干擾仿真)實(shí)驗(yàn),提交實(shí)驗(yàn)報(bào)告2.

6.論文(設(shè)計(jì))階段第六周次:完成結(jié)題報(bào)告,形成論文.

三,論文(設(shè)計(jì))實(shí)施工具及參考資料:

小型網(wǎng)絡(luò)環(huán)境,模擬干擾環(huán)境,軟件平臺.

吳企淵《計(jì)算機(jī)網(wǎng)絡(luò)》.

鄭紀(jì)蛟《計(jì)算機(jī)網(wǎng)絡(luò)》.

陳濟(jì)彪 丹青 等 《計(jì)算機(jī)局域網(wǎng)與企業(yè)網(wǎng)》.

christian huitema 《因特網(wǎng)路由技術(shù)》.

[美]othmar kyas 《網(wǎng)絡(luò)安全技術(shù)——風(fēng)險(xiǎn)分析,策略與防火墻》.

其他相關(guān)設(shè)備,軟件的說明書.

1、論文(設(shè)計(jì))的創(chuàng)新點(diǎn):

努力實(shí)現(xiàn)網(wǎng)絡(luò)資源的全面應(yīng)用,擺脫將單純的網(wǎng)絡(luò)硬件設(shè)計(jì)為企業(yè)網(wǎng)絡(luò)設(shè)計(jì)的模式,大膽實(shí)踐將軟件部署與硬件設(shè)計(jì)階段相整合的網(wǎng)絡(luò)設(shè)計(jì)方法.

篇8

 

1．引言

隨著Internet網(wǎng)絡(luò)的迅速發(fā)展，絕大多數(shù)企事業(yè)單位的用戶都存在上網(wǎng)的需求，但是現(xiàn)行的IPV4協(xié)議32位的地址空間已經(jīng)出現(xiàn)嚴(yán)重短缺，公有IP地址不僅越來越稀少而且價(jià)格也相對昂貴。在目前的網(wǎng)絡(luò)環(huán)境中，NAT技術(shù)的合理使用可以很好地解決這個(gè)問題。

NAT可以在路由器、防火墻或單獨(dú)的NAT設(shè)備等多種網(wǎng)絡(luò)設(shè)備上進(jìn)行配置實(shí)現(xiàn)，應(yīng)用范圍廣，而且價(jià)格低廉，配置簡單網(wǎng)絡(luò)地址轉(zhuǎn)換，是許多中小企業(yè)解決公網(wǎng)地址不足的有效方法。

2．NAT 的基本原理

NAT （Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換），它允許一個(gè)機(jī)構(gòu)以一個(gè)公有 IP 地址出現(xiàn)在Internet 上。將局域網(wǎng)內(nèi)每個(gè)節(jié)點(diǎn)的私有地址轉(zhuǎn)換成一個(gè)公有 IP 地址，反之亦然。而且，它可以應(yīng)用于防火墻技術(shù)，把個(gè)別地址隱藏起來不被外界發(fā)現(xiàn)，使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備。同時(shí)，它可以幫助網(wǎng)絡(luò)超越地址的限制，合理地安排網(wǎng)絡(luò)中的公有 Internet 地址和私有 IP地址的使用。

NAT技術(shù)能幫助解決令人頭疼的 IP 地址緊缺的問題，實(shí)現(xiàn)公網(wǎng)地址和私網(wǎng)地址之間的映射，而且能使內(nèi)部和外部的網(wǎng)絡(luò)隔離，提供一定程度的網(wǎng)絡(luò)安全保障。它解決問題的辦法是：:在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過NAT 把內(nèi)部地址翻譯成合法的IP地址在 Internet 上使用，其具體的做法是把 IP包內(nèi)的地址域用合法的外部 IP 地址來替換。

2.1 NAT工作流程:

（1）當(dāng)私網(wǎng)內(nèi)的 IP 包經(jīng) NAT 流入公網(wǎng)時(shí)，NAT將此 IP包的源 IP地址改為 NAT接口上的一個(gè)公網(wǎng)地址。

（2）當(dāng)公網(wǎng)中的 IP包經(jīng)NAT訪問私網(wǎng)資源時(shí)，NAT將此 IP包目的地址改為某一私網(wǎng) IP地址論文的格式。

2.2 NAT技術(shù)的類型

NAT有三種類:靜態(tài) NAT（static NAT）、NAT池（pooled NAT） 和端口 NAT（PAT）。其中，靜態(tài)NAT設(shè)置起來最為簡單網(wǎng)絡(luò)地址轉(zhuǎn)換，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而NAT池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。PAT 則是將多個(gè)內(nèi)網(wǎng)地址映射到同一個(gè)外網(wǎng)地址的不同端口上。根據(jù)不同的需要，各種 NAT 方案都是有利有弊。

2.2.1 NAT地址池

使用 NAT地址池，可以從未注冊的地址空間中提供被外部訪問的服務(wù)，也可以從內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)，而不需要重新配置內(nèi)部網(wǎng)絡(luò)中的每臺機(jī)器的IP地址。采用 NAT池意味著可以在內(nèi)部網(wǎng)絡(luò)中定義很多的內(nèi)部用戶，通過動態(tài)分配的辦法，共享很少的幾個(gè)外部 IP地址。而靜態(tài)NAT則只能形成一一對應(yīng)的固定映射方式。

NAT池提供很大靈活性的同時(shí)，也影響到網(wǎng)絡(luò)原有的一些管理功能。例如，一些管理系統(tǒng)要利用IP地址來跟蹤設(shè)備的運(yùn)行情況。但使用NAT 之后，意味著那些被翻譯的地址對應(yīng)的內(nèi)部地址是變化的，今天可能對應(yīng)一臺工作站，明天可能對應(yīng)一臺服務(wù)器。這給網(wǎng)絡(luò)管理帶來了麻煩。

2.2.2 PAT

PAT 可把內(nèi)部的 TCP/ IP 映射到外部一個(gè)注冊 IP 地址的多個(gè)端口上，還可支持同時(shí)連接 64500 個(gè) TCP/ IP、UDP/ IP，但實(shí)際可支持的工作站個(gè)數(shù)會少一些。

在 Internet 中使用 PAT 時(shí)，所有不同的 TCP和 UDP信息流看起來仿佛都來源于同一個(gè) IP 地址。這個(gè)優(yōu)點(diǎn)在小型辦公室內(nèi)非常實(shí)用，通過從ISP處申請的一個(gè) IP 地址網(wǎng)絡(luò)地址轉(zhuǎn)換，通過 PAT 將多個(gè)連接接入 Internet。

3．企業(yè)案例

筆者在指導(dǎo)企業(yè)開展網(wǎng)絡(luò)安全服務(wù)過程中，利用NAT 技術(shù)特點(diǎn)，將其運(yùn)用至企業(yè)網(wǎng)絡(luò)管理中，使企業(yè)節(jié)約了網(wǎng)絡(luò)資源，增強(qiáng)了企業(yè)的網(wǎng)絡(luò)調(diào)優(yōu)能力和網(wǎng)絡(luò)的安全性, 同時(shí)為企業(yè)節(jié)約了網(wǎng)絡(luò)管理成本，受到企業(yè)歡迎。

背景：圖1為某企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡圖，是基于層次性網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)，接入層設(shè)備采用S2126G交換機(jī)，匯聚層設(shè)備采用s3550三層交換機(jī)。企業(yè)中有四個(gè)大的子網(wǎng)。分別為工程部、財(cái)務(wù)部、商務(wù)部和服務(wù)器群（目前企業(yè)只有1臺web服務(wù)器），在交換機(jī)上劃分vlan，vlan10 是工程部子網(wǎng)、vlan20是財(cái)務(wù)部子網(wǎng)、vlan30是商務(wù)部子網(wǎng)、vlan40是服務(wù)器群網(wǎng)絡(luò)。為了保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，接入層交換機(jī)與匯聚層交換機(jī)通過兩條鏈路相連，匯聚層交換機(jī)通過F0/1與RB路由器接口F1/1相連，匯聚層交換機(jī)通過接口F0/8與web服務(wù)器群網(wǎng)絡(luò)相連接。

工程部和財(cái)務(wù)部各有20臺電腦，商務(wù)部有30臺電腦，網(wǎng)絡(luò)中還有1臺web服務(wù)器。根據(jù)企業(yè)業(yè)務(wù)需要，要求所有計(jì)算機(jī)都能上互聯(lián)網(wǎng)網(wǎng)絡(luò)地址轉(zhuǎn)換，web服務(wù)器要求能對外開放?，F(xiàn)在企業(yè)有8個(gè)c類地址（IP 地址是 218.192.84.101 至 218.192.84.108 掩碼為 255.255.255.0 ）這顯然是不夠用論文的格式。因此采用了NAT技術(shù)的解決方案。

方案中使用銳捷路由器。將企業(yè)網(wǎng)根據(jù)職能分成四個(gè)子網(wǎng)，服務(wù)器子網(wǎng)對外提供 Web 服務(wù)?？紤]到服務(wù)的安全性，故采用靜態(tài)地址轉(zhuǎn)換。工程部和財(cái)務(wù)部各自使用獨(dú)立的地址池接入企業(yè)網(wǎng)，并采用動態(tài)地址轉(zhuǎn)換；商務(wù)部共用 1 個(gè) IP 地址，采用地址端口轉(zhuǎn)換。

圖1 企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

路由器的配置如下（以下命令均以銳捷設(shè)備為例）

1）配置內(nèi)部全局地址池。給工程部、財(cái)務(wù)部、商務(wù)部配置地址池engineering_departmeng、accounting_department 和commerce_department

Router(config)# ip nat poolengineering_department 218.192.84.104 218.192.84.105 netmask 255.255.255.0

Router(config)# ip natpool accounting_department 218.192.84.106 218.192.84.107 netmask255.255.255.0

Router(config)# ip nat poolcommerce_department 218.192.84.108 218.192.84.108 netmask 255.255.255.0

2）配置允許轉(zhuǎn)換的內(nèi)部本地地址的范圍。給工程部、財(cái)務(wù)部、商務(wù)部配置允許轉(zhuǎn)換的內(nèi)部本地地址的范圍

Router(config)# access–list10 permit 172.16.10.0 0.0.0.255

Router(config)# access–list20 permit 172.16.20.0 0.0.0.255

Router(config)# access–list30 permit 172.16.30.0 0.0.0.255

Router(config)# access–list40 permit 172.16.40.0 0.0.0.255

3）配置本地地址與全局地址的映射關(guān)系

Router(config)# ip nat insidesource static 172.16.40.1 218.192.84.102

Router(config)# ip nat insidesource list 10 pool engineering_departmengcomputer 1

Router(config)# ip nat insidesource list 20 pool accounting_department computer 2

Router(config)# ip nat insidesource list 30 pool commerce_department overload

4）配置外部接口

Router(config)# interfaces1/2

Router(config-if)# ip address218.192.84.101 255.255.255.0

Router(config-if)# ip natoutside

Router(config-if)# noshutdown

5）配置內(nèi)部接口。

Router(config)# interfacef1/1

Router(config-if)# ip address172.16.1.2 255.255.255.0

Router(config-if)# ip natinside

Router(config-if)# noshutdown

6）設(shè)置缺省路由 路由器設(shè)置。

Router(config)# ip route 0. 0. 0. 0 0. 0. 0. 0 218. 192. 84. 101

7）三層交換機(jī)的基本配置以及vlan劃分省略了，不在此羅列了。

經(jīng)過上述配置后 Internet 上的主機(jī)可以訪問校園網(wǎng)中的 Web 服務(wù)器以及工程部、財(cái)務(wù)部、商務(wù)部的計(jì)算機(jī)也可以同時(shí)訪問到互聯(lián)網(wǎng)。

4．結(jié)束語

隨著 IP 地址短缺以及網(wǎng)絡(luò)安全的問題日漸突出，采用網(wǎng)絡(luò)地址轉(zhuǎn)換是一個(gè)方便、廉價(jià)而且實(shí)用的方法。文章系統(tǒng)的歸納了此項(xiàng)技術(shù)，并結(jié)合此技術(shù)給出了 NAT 技術(shù)的應(yīng)用實(shí)例，很好的解決了企業(yè)網(wǎng)絡(luò)調(diào)優(yōu)及安全問題，完善了該技術(shù)的價(jià)值。

[參考文獻(xiàn)]

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M]. 北京電子工業(yè)出版社，2003.

篇9

中圖分類號：TP398.1 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-8937（2015）30-0069-02

1 網(wǎng)絡(luò)安全的重要性

網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。具體而言，網(wǎng)絡(luò)安全就是保護(hù)個(gè)人隱私，控制對網(wǎng)絡(luò)資源的訪問，保證商業(yè)秘密在網(wǎng)絡(luò)上傳輸?shù)谋Ｃ苄?、完整性及真?shí)性，控制不健康的內(nèi)容或危害社會穩(wěn)定的言論，避免機(jī)密泄漏等。

2 我廠網(wǎng)絡(luò)安全措施

2.1 統(tǒng)一出口，便于管理

將三地的網(wǎng)絡(luò)進(jìn)行了配置更改，兩地間增加了高性能的路由器，建成了企業(yè)內(nèi)部局域網(wǎng)絡(luò)。此局域網(wǎng)的建成就像給企業(yè)網(wǎng)絡(luò)系統(tǒng)安裝了一個(gè)“保護(hù)殼”，使企業(yè)內(nèi)部網(wǎng)絡(luò)的使用更加方便、快捷的同時(shí)保證了數(shù)據(jù)采集、傳輸?shù)陌踩裕訌?qiáng)了計(jì)算機(jī)信息和網(wǎng)絡(luò)的保密性。

2.2 企業(yè)防火墻，墻

在企業(yè)局域網(wǎng)的統(tǒng)一出口安裝了Internet防火墻，負(fù)責(zé)管理Internet和企業(yè)內(nèi)部網(wǎng)絡(luò)之間的訪問。在沒有防火墻時(shí)，內(nèi)部網(wǎng)絡(luò)上的每個(gè)節(jié)點(diǎn)都暴露給Internet上的其它主機(jī)，極易受到攻擊。這就意味著內(nèi)部網(wǎng)絡(luò)的安全性要由每一個(gè)主機(jī)的堅(jiān)固程度來決定，并且安全性等同于其中最弱的系統(tǒng)。

2.3 生產(chǎn)和辦公物理和虛擬相結(jié)合隔離

為了保證生產(chǎn)網(wǎng)的安全穩(wěn)定運(yùn)行，采取了生產(chǎn)網(wǎng)和辦公網(wǎng)邏輯隔離，兩網(wǎng)通過防火墻相連，高度融合，進(jìn)一步強(qiáng)化了生產(chǎn)網(wǎng)的安全性。

2.4 病毒掃描評估

通過專業(yè)軟件掃描分析全廠的網(wǎng)絡(luò)系統(tǒng)，檢查網(wǎng)絡(luò)系統(tǒng)中存在的弱點(diǎn)和漏洞并生成相應(yīng)的報(bào)告，提出修補(bǔ)方法和應(yīng)實(shí)施的安全策略，增強(qiáng)了網(wǎng)絡(luò)安全性。

2.5 行為管理

引進(jìn)了國內(nèi)先進(jìn)的“網(wǎng)康”網(wǎng)絡(luò)接入管理設(shè)備，對企業(yè)網(wǎng)絡(luò)進(jìn)行優(yōu)化管理，實(shí)現(xiàn)了對網(wǎng)絡(luò)的整體流量分配與控制，加強(qiáng)了網(wǎng)絡(luò)數(shù)據(jù)流量分析，優(yōu)化了網(wǎng)絡(luò)流量調(diào)整工作。

2.6 區(qū)域WLAN的劃分

將企業(yè)辦公、生產(chǎn)區(qū)域網(wǎng)絡(luò)用戶按照單位、區(qū)域和樓層等細(xì)化管理，通過劃分不同的WLAN，從邏輯上阻隔網(wǎng)段，徹底阻隔廣播域，縮小區(qū)域，減小網(wǎng)絡(luò)異常的影響范圍。

3 目前存在的主要問題

3.1 認(rèn)識上的誤區(qū)

①安裝最新的殺毒軟件就不怕病毒了。安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。

②在每臺計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟 件等效。網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺服務(wù)器上通過安全中心控制整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對于整個(gè)網(wǎng)絡(luò)而言，管理非常方便，對于單機(jī)版是不可能做到的。

③不上網(wǎng)就不會中毒。雖然不少病毒是通過網(wǎng)頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計(jì)算機(jī)開著，就要防范病毒。

④文件設(shè)置只讀就可以避免感染病毒。設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

⑤網(wǎng)絡(luò)安全主要來自外部?；趦?nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時(shí)帳戶、過期帳戶和權(quán)限等方面的管理非常必要。

3.2. 技術(shù)上的差距

①操作系統(tǒng)使用盜版。由于習(xí)慣問題，部分軟件不兼容原裝系統(tǒng)和覺得正版與盜版都一樣等的一些類似原因?qū)е率褂帽I版系統(tǒng)占到我廠絕大數(shù)計(jì)算機(jī)，給全廠網(wǎng)絡(luò)安全帶來了嚴(yán)重隱患。

②生產(chǎn)電腦防火墻和殺毒軟件無法自動升級。由于辦公網(wǎng)和生產(chǎn)網(wǎng)隔離，生產(chǎn)電腦無法上網(wǎng)，無法自動升級防火墻和殺毒等軟件，以至于在生產(chǎn)電腦上插拔外置移動設(shè)備和局域內(nèi)傳輸文件帶來的安全危險(xiǎn)顯得毫無抵抗之力。

③查找故障機(jī)困難。由于三地運(yùn)行，地域廣，人員多，加之入廠機(jī)子相關(guān)登記信息空白，給查找故障機(jī)帶來更多困難，顯得無從下手。

4 進(jìn)一步的措施

4.1 環(huán)網(wǎng)建設(shè)

目前企業(yè)網(wǎng)絡(luò)鏈路均為單鏈路。致使網(wǎng)絡(luò)鏈路抗風(fēng)險(xiǎn)能力較差，鏈路中斷后恢復(fù)時(shí)間較長。不能滿足生產(chǎn)管理系統(tǒng)的穩(wěn)定運(yùn)行需求。為提高網(wǎng)絡(luò)鏈路的抗風(fēng)險(xiǎn)能力，計(jì)劃在充分利用已建光纜、桿路資源及網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上，新增傳輸設(shè)備，將網(wǎng)絡(luò)鏈路構(gòu)成環(huán)網(wǎng)，當(dāng)網(wǎng)絡(luò)中斷后自動切換至反向鏈路，實(shí)現(xiàn)網(wǎng)絡(luò)“零中斷”。

4.2 層級改造

我廠分場站網(wǎng)絡(luò)節(jié)點(diǎn)，由于之前采用交換機(jī)級聯(lián)的方式組網(wǎng)，受到光纜資源的限制，尚有部分網(wǎng)絡(luò)級聯(lián)層級達(dá)到三級或者更多，隨著網(wǎng)絡(luò)的不斷擴(kuò)展，層級數(shù)過多問題也日益凸顯，現(xiàn)計(jì)劃對此類場站進(jìn)行層級改造。

4.3 基于DHCP和MAC地址動態(tài)綁定的用戶自助接入系 統(tǒng)研究與應(yīng)用

充分利用現(xiàn)有成熟的DHCP、VPMS和開源Liunx系統(tǒng)的相關(guān)技術(shù)，實(shí)現(xiàn)基于DHCP和MAC地址動態(tài)綁定的網(wǎng)絡(luò)用戶自助接入指定網(wǎng)絡(luò)，無需安裝客戶端，從而簡化日常IT管理人員負(fù)擔(dān)和提高網(wǎng)絡(luò)管理效率與信息安全水平，基于DHCP和MAC地址動態(tài)綁定的用戶自助接入系統(tǒng)應(yīng)用，如圖1所示。

4.4 端口封裝，細(xì)化管理

結(jié)合以上MAC地址綁定和VLAN劃分，通過客戶端連接交換機(jī)做端口分裝策略，進(jìn)一步固定IP地址，防止IP使用混亂，營造一個(gè)平穩(wěn)暢通的網(wǎng)絡(luò)環(huán)境。

5 結(jié) 語

上述論文主要從我廠當(dāng)前實(shí)際的網(wǎng)絡(luò)運(yùn)行狀況，分析了所存在的網(wǎng)絡(luò)安全隱患，及采取的一些相應(yīng)安全措施和下步主要安全工作的同時(shí)，也客觀的提出了所面臨的實(shí)際困難。最后希望通過本論文的深入研究分析我廠網(wǎng)絡(luò)安全的現(xiàn)狀，可以使大家有對網(wǎng)絡(luò)安全的重要性有了進(jìn)一步的了解。

參考文獻(xiàn)：

[1] 董玉格.網(wǎng)絡(luò)攻擊與防護(hù)-網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù)[M].北京：人民郵 電出版社，2002.

篇10

中途分類號：TP309.2 文獻(xiàn)識別碼：A 文章編號：1007-9416（2016）05-0000-00

作為一個(gè)信息與技術(shù)均密集型的行業(yè)來說，廣電網(wǎng)絡(luò)企業(yè)所采用的現(xiàn)代化計(jì)算機(jī)網(wǎng)絡(luò)，不僅要提高內(nèi)部自動化辦公的效率，更要保證使用有線通寬帶的用戶通訊時(shí)有舒適暢通的體驗(yàn)，其通常有線通、數(shù)據(jù)專線網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)三個(gè)部分。為了使系統(tǒng)正常運(yùn)作，并且可以保證其穩(wěn)定性，所以多種高性能設(shè)備和先進(jìn)技術(shù)是必不可少的。這是因?yàn)閺V電的應(yīng)用系統(tǒng)較為復(fù)雜，需要滿足比較嚴(yán)格的條件，比如數(shù)據(jù)、圖像、視頻等傳輸要求

1 廣電網(wǎng)絡(luò)安全需及隱患

“有線通”業(yè)務(wù)是廣電網(wǎng)絡(luò)公司為用戶提供的基于雙向有線網(wǎng)絡(luò)的寬帶接入服務(wù)，利用遍布本市有線電視雙向網(wǎng)絡(luò)，通過EOC、EPON和 CMTS為用戶提供寬帶接入服務(wù)，目前“有線通”用戶超過5000戶，另外還包括本市銀行、醫(yī)保等數(shù)據(jù)專線業(yè)務(wù)，因此要加大對信息資源的保護(hù)力度，控制管理服務(wù)資源予。

1.1 廣電網(wǎng)絡(luò)安全需求

消除信息網(wǎng)絡(luò)內(nèi)部各類信息的完整性，真實(shí)性，以及可用性和不被非法泄露盜用的安全隱患，使其在存儲、獲取、傳遞以及處理過程中處于安全狀態(tài)。為了使區(qū)域網(wǎng)保持其完整性、真實(shí)性、以及不被非法泄露盜用，使網(wǎng)絡(luò)外部的攻擊無效，加強(qiáng)對內(nèi)部用戶訪問資源的控制，各類信息的獲取、存儲、處理和傳遞必須能夠應(yīng)對各種層次的管理要求

1.2 廣電企業(yè)網(wǎng)絡(luò)安全隱患

現(xiàn)如今廣電企業(yè)網(wǎng)絡(luò)面臨的主要安全隱患：（1）其它網(wǎng)絡(luò)的攻擊INTERNET上黑客、惡意用戶等會利用廣電企業(yè)在INTERNET上接入網(wǎng)絡(luò)系統(tǒng)的這一特點(diǎn)來攻擊網(wǎng)絡(luò)，如企圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、實(shí)現(xiàn)對敏感信息的竊取、系統(tǒng)數(shù)據(jù)的破壞、惡意代碼的設(shè)置、來嚴(yán)重降低或癱瘓系統(tǒng)服務(wù)。這個(gè)問題相當(dāng)嚴(yán)重，不能忽視，所以相應(yīng)的安全措施要適時(shí)采取，防止這類事情的發(fā)生。（2）管理及操作人員缺乏安全知識現(xiàn)如今信息的應(yīng)用和安全技術(shù)與網(wǎng)絡(luò)的技術(shù)發(fā)展不成正比，前者相對滯后，用戶在引入和采用安全設(shè)備和系統(tǒng)時(shí)，沒有進(jìn)行全面和深入的培訓(xùn)和學(xué)習(xí)，沒有對信息安全的重要性與技術(shù)的認(rèn)識，這就會導(dǎo)致安全設(shè)備/系統(tǒng)發(fā)揮不了正確的作用，最終成為擺設(shè)。（3）雷擊當(dāng)?shù)貫槔纂姙?zāi)難多發(fā)的沿海沿江地區(qū)。一旦遭受到雷電襲擊，連鎖反應(yīng)就會產(chǎn)生，整個(gè)網(wǎng)絡(luò)就會癱瘓，設(shè)備也會收到損害，后果十分嚴(yán)重，這是因?yàn)楹芏嗟木W(wǎng)絡(luò)設(shè)備、終端、線路等都會牽扯到網(wǎng)絡(luò)系統(tǒng)中，它們的傳輸方式都是通過通信電纜傳輸完成的，所以受到雷擊的概率特別大。為了減少雷擊造成的損失，就必須對整個(gè)網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防雷措施。

2 廣電網(wǎng)絡(luò)企業(yè)網(wǎng)絡(luò)安全策略

2.1 訪問控制策略

為了防止非法訪問，使用戶身份鑒別和對重要網(wǎng)絡(luò)、服務(wù)器的安全控制起作用，此時(shí)，最關(guān)鍵的是實(shí)施訪問控制。為了能夠使網(wǎng)絡(luò)安全得到保證，玩不可缺的是防火墻。防火墻會進(jìn)行限制網(wǎng)絡(luò)流，合法網(wǎng)絡(luò)流得到許可，并將非法網(wǎng)絡(luò)流截止，在根據(jù)網(wǎng)絡(luò)流的來源和訪問目標(biāo)的安全性作出判斷后?？梢蕴峁┰诰W(wǎng)絡(luò)邊界處的安全策略，對有效的簡化復(fù)雜的網(wǎng)絡(luò)安全問題，使管理成本縮小，并將潛藏的風(fēng)險(xiǎn)降低，是防火墻最大的存在意義。

2.2 加密信息策略

信息加密在實(shí)現(xiàn)對網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和加強(qiáng)對信息的控制的保護(hù)，網(wǎng)上的數(shù)據(jù)傳輸?shù)谋ＷC，是必不可缺的。網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全可以通過鏈路加密得到保證；源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路可以通過節(jié)點(diǎn)加密得到保護(hù)；端與端加密能夠保護(hù)源端用戶到目的端用戶的數(shù)據(jù)。因此，鏈路加密、節(jié)點(diǎn)加密和端點(diǎn)加密三種方法是網(wǎng)絡(luò)加密常用的方法。用戶可根據(jù)實(shí)際情況進(jìn)行選擇。

密碼技術(shù)是網(wǎng)絡(luò)安全頗為有效的技術(shù)中的一個(gè)。通過網(wǎng)絡(luò)加密，可以禁止非授權(quán)用戶搭線偷聽和入網(wǎng)，并且讓惡意軟件也沒有可乘之機(jī)。

2.3 內(nèi)外網(wǎng)互聯(lián)安全策略

在網(wǎng)絡(luò)的邊界必須用安全設(shè)備進(jìn)行分離，通過防火墻的路由及NAT功能，廣電的信息網(wǎng)絡(luò)對醫(yī)保、銀行專網(wǎng)的訪問就得以實(shí)現(xiàn)。這是因?yàn)閺V電的銀行、醫(yī)保專網(wǎng)和內(nèi)部網(wǎng)絡(luò)的安全級別以及安全防護(hù)的要求不同，其作為核心網(wǎng)絡(luò)是屬于兩個(gè)截然不同單位的。并且這樣可以通過在防火墻配置嚴(yán)格的訪問控制措施，，其他未經(jīng)授權(quán)的用戶不得相互訪問，訪問醫(yī)保專網(wǎng)和廣電信息網(wǎng)絡(luò)的權(quán)利只有授權(quán)用戶及IP地址。

3 數(shù)據(jù)備份策略

3.1 數(shù)據(jù)容災(zāi)備份設(shè)計(jì)

“本地備份”和“異地災(zāi)備”是尋常的備份方式。如果備份設(shè)備與要操作的數(shù)據(jù)、系統(tǒng)支撐設(shè)備的數(shù)據(jù)交換方式通常是光纖高速通路的，且兩者的距離非常小，那么使用本地備份的方式。異地災(zāi)備與本地備份恰好相背，備份中心建立在離源數(shù)據(jù)、系統(tǒng)存放地的距離相當(dāng)遠(yuǎn)的地方，這樣做的好處是，當(dāng)一些不能避免的事件發(fā)生時(shí)，數(shù)據(jù)或系統(tǒng)受到影響，而不會將破損災(zāi)備中心。

3.2 容災(zāi)恢復(fù)建議方案設(shè)計(jì)

在廣電系統(tǒng)業(yè)務(wù)平常運(yùn)作中，為了能夠在出現(xiàn)問題故障時(shí)及時(shí)將至關(guān)重要的數(shù)據(jù)恢復(fù)，操作并備份關(guān)鍵數(shù)據(jù)和數(shù)據(jù)庫是關(guān)鍵組成成份。當(dāng)出現(xiàn)非常大的數(shù)據(jù)量或發(fā)生突發(fā)性災(zāi)難時(shí)，備份磁帶卻不能發(fā)揮實(shí)際作用，不能及時(shí)的將數(shù)據(jù)恢復(fù)出來，這是因?yàn)閿?shù)據(jù)通常采用磁帶離線備份。所以若想要編定一套完整的災(zāi)難備份方案，那么軟件，特別對相關(guān)的備份，存儲設(shè)備，服務(wù)器以及災(zāi)難恢復(fù)的解決是一個(gè)都不能缺少的。 應(yīng)該含有主數(shù)據(jù)中心和備份中心，主數(shù)據(jù)中心是相對比較可靠的解決方案，主數(shù)據(jù)中心與備份數(shù)據(jù)中心的連接方式是通過光纖或電信網(wǎng)實(shí)現(xiàn)的。主中心系統(tǒng)配置主機(jī)的存儲磁盤陣列中存儲著數(shù)據(jù)，由于是由兩臺或多臺服務(wù)器以及其他相關(guān)服務(wù)器組成的，所以它有很高的可靠性。有相同結(jié)構(gòu)的磁盤陣列存儲在異地備份中心，同樣也有一臺或多臺備份服務(wù)器?？梢栽谥鲾?shù)據(jù)中心通過配置磁帶備份服務(wù)器這一途徑，完成備份軟件和磁帶庫的安裝。在存儲陣列和磁帶庫上直接將備份服務(wù)器連接上，從而實(shí)現(xiàn)對系統(tǒng)的日常數(shù)據(jù)的磁帶備份的控制。