如何制定网络安全策略范文

导语：如何才能写好一篇如何制定网络安全策略，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词：等级保护 信息系统 安全策略

中图分类号：TP391.41 文献标识码：A 文章编号：1007-9416（2015）12-0000-00

随着我国信息化建设的高速发展，信息技术水平的日益提高，众多单位、组织都建立了自己的信息系统，以充分利用各类网络信息资源。与此同时，各种非法入侵和盗窃、计算机病毒、拒绝服务攻击、机密数据被篡改和窃取、网络瘫痪等安全问题也时刻威胁着我国网络的安全。因此，维护网络信息安全的任务异常艰巨、繁重。信息安全等级保护制度的建立，可以有效地解决我国网络信息安全面临的威胁及存在的问题。

随着信息安全等级保护工作的深入开展，不同等级信息系统之间的互联、互通、互操作是当前研究的热点和难点，其中，如何制定有效的安全策略，确保信息在多级互联信息系统间安全流通，是亟待解决的关键问题。

1信息安全等级保护

信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

等级保护环境下的信息系统一般由安全计算环境、安全区域边界、安全通信网络和安全管理中心构成。其中，安全计算环境是对信息系统的信息进行存储、处理的相关部件；安全区域边界是对信息系统的各个区域之间实现连接并实施访问控制的相关部件；安全通信网络是保障信息在系统内安全传输及安全策略实施的相关部件；安全管理中心是对信息系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。

2多级互联信息系统

我国信息安全等级保护标准将信息系统按照安全保护能力划分为五个安全等级，一些重要、大型的信息系统中可能存在多个不同等级的子系统，不同等级信息系统之间要实现可信互联，由于信任体系和运行模式不尽相同，互联互通会导致安全风险的进一步增加，尤其是低等级信息系统可能通过恶意授权给高等级信息系统带来权限失控风险。

因此，需要建立一个总体的安全管理中心，将不同安全等级的子系统连接在一起，通过协同合作，实现特定的功能服务，这就是多级互联信息系统。在多级互联信息系统中，各个子系统和互联系统本身，都需要实施信息分级分类保护，从而确保系统间的交互协作及信息流动，保障系统的安全。

本文将在信息安全等级保护的要求下，研究多级互联信息系统安全策略的制定，从而较好地解决多级互联系统的安全风险问题，确保系统安全。

3多级互联信息系统安全策略的制定

安全策略是为规范网络安全防护工作，保证网络正常使用、发挥网络效能所必须强制执行的一系列要求、规范或操作。其主要作用是针对被保护对象面临的主要威胁，围绕安全防护目标，提出网络安全防护具体要求，指导安全管理行动。确定并实施网络安全策略是对网络进行有效安全管理的基础和依据，是网络信息系统安全保障的核心和起点，是实现网络安全管理和技术措施的前提。因此，为了确保多级互联信息系统安全有效地运行，制定明确和合理的安全策略就成为了关键。

3.1指导思想

根据不同应用类别和安全等级防护目标的需求，给出安全防护策略的框架，研究制定各类网络相应的安全防护策略，并保证制定的安全策略具有较高的规范性、完备性和有效性。安全策略的制定与实施应当遵循“局部策略符合全局策略、下级策略符合上级策略”的原则。同时，随着信息技术的发展以及系统的升级、调整，安全策略也应该随之进行重新评估和制定，随时保持策略与安全目标的一致性，确保信息系统安全有效地运行。

3.2基本原则

基于以上思想，制定多级互联信息系统安全策略时应遵循以下原则：

（1）统一领导，分级负责。针对系统、数据、用户等保护对象，按照同类、同级集中的原则进行等级保护级别的划分，确定安全保护等级对应的适用范围及具体组织实施单位。（2）广域监察，局域管控。依托总体安全管理中心，建立多级互联系统广域安全监察机制，监督、检查各安全域网络节点和用户网络安全策略的配置执行情况，监测重要骨干网络流量，预警网络攻击和入侵行为，形成网络安全实时态势；在各安全域网络节点和用户网络建立局域安全管控机制，依托各级安全管理中心，对网络节点和用户网络的安全设备、主机系统的安全策略和安全事件进行集中统一管理，实现网内各类资源的可控可管，提高系统整体防护能力和维护管理效率。（3）分区分域，适度防护。根据等级保护的思想，在划分的安全域中，一方面要遵循等级保护要求，加强主动防范措施；另一方面要针对各安全域业务特点的保护强度，在不影响系统整体安全性的前提下，进一步对各域的安全策略进行设置，并确保这些策略的相对性、独立性及关联性。（4）区域自治，联防联动：各安全域根据总体安全管理中心下发的安全策略，结合自身特定的安全需求，实施本区域内的安全防护和管理。依托总体安全管理中心，建立广域网上下一体的预警响应和联防联动机制；依托各级安全管理中心，建立局域网内各安全设备之间的检测响应和联防联动机制；并在各级安全管理中心、重要骨干节点、用户网络之间建立安全事件响应和应急协调机制。

篇2

【关键词】防火墙；网络；安全技术

如何更好地促进网络的有效运行，保障网络的安全环境，在很大程度上取决于防火墙的设置。网络安全问题成为了人们关注的焦点，防火墙可以说是解决网络安全问题最有效方式。

1.防火墙的概念

防火墙指的是在外界网络与本地网络之间的一道隔离防御系统。应用防火墙最重要的目的就是通过对网络入、出环节的控制，促使各项环节都需要经过防火墙检查，进而有效预防网络遭到外来因素的破坏与干扰，进一步达到保护内部网络不受非法访问的目的。在本质上来讲，防火墙就是一种控制、隔离技术，在不安全的网络环境中积极构建相对安全的网络内部环境。站在逻辑层面来分析，防火墙不仅是一个限制器，还是一个分析器，防火墙要求所有网络数据流必须经过安全计划或策略确定，与此同时，在逻辑上对内外网络进行分离。目前来说，有的防火墙通过软件的方式在计算机上运行，有的防火墙以硬件形式固定在路由器中。从整体上来说，常用的防火墙分为三种：①包过滤防火墙。②服务器。③状态监视技术。

防火墙功能具有如下功能：①提高网络安全性能，防火墙的应用，能大幅度提升内部网络的安全性能，降低安全风险。防火墙还能够保护网络避免来自路由的攻击。防火墙能够拒绝各种不安全因素，并通知管理员。②强化网络安全，相对于传统的将安全问题分散到不同主机上的方式相比较，这种集中安全管理的防火墙更加经济、安全。③监控网络访问与存取，防火墙的应用，能够有效记录各种网络活动的开展，并且，对于可疑性的网络活动进行报警。能够为网络管理员提供全面的信息。一旦防火墙监控到可疑动作，就会自动报警，并提供攻击与监测的具体信息。④保护内部信息不被泄露。通过防火墙对内部网络的保护与划分，能够实现对内部重点网络的保护与隔离，进一步降低重点局部网络安全问题对于整个局域网内部的影响，有效保护内部信息不被泄露。

2.基于防火墙技术的网络安全架构

2.1选择防火墙

作为一种网络完全的有效防护方式，防火墙有多种类型的实现方式。在合理选择防火墙之前，需要全面的进行风险分析、需求分析，并进一步制定安全防范策略，针对性的选择防护方式，尽可能保持安全政策与防护方式的统一性。

2.2全面考虑防火墙失效并进行动态维护

在评价防火墙安全性以及性能过程中，一方面需要看防火墙工作是否正常，一方面需要看起能否阻挡非法访问或恶意攻击。如果防火墙被攻破，其状态是怎样的。按照一定的级别来划分，失效有四种情况：①在没有受到攻破时能进行正常工作。②在受到伤害时可以重新启动，并恢复到之前的工作界面。③禁止与关闭所有通行的数据。④关闭且允许数据继续通行。第一种与第二种状态比较理想化，第四种状态最不安全。在选择防火墙过程中，需要验证其失效状态，并进行准确评估。在安装防火墙以及防火墙投入以后，需要对其运行状态进行动态性维护，对其发展动态进行维护与跟踪，时刻保持商家动态并与之保持联系。一旦商家发现安全漏洞，就会积极推出补救措施，及时更新防火墙。

2.3全面指定防火墙可靠规则集

可靠规则集的制定是实现安全、成功防火墙的关键性步骤。如果防火墙的归集不正确，再强大的防火墙也起不到任何作用。第一，制定安全性策略，上级管理人员制定安全防范策略，防火墙是实施这一安全防范策略的工具。在制定规则集之前，必须全面掌握安全策略。建设其包含以下内容：①内部员工访问网络不受限制。②外部用户能够使用email服务器与web服务器。③管理员能远程访问其系统。在实际上来说，大部分部门的安全策略要远远超过上述内容。第二，积极构建安全体系，要想将一项安全策略积极转化成技术。第一个内容比较容易实现，内部网络中的所有数据信息都允许在网络上传输。对于第二项的安全策略来说比较麻烦，需要建立email服务器与web服务器，因为所有的人都能访问email服务器与web服务器，因此，不能信任他们。鉴于此，可以将email服务器与web服务器放到DMZ中去实现。DMZ作为一个孤立的网络，经常存放不被信任的系统，该网络中的系统无法连接、启动内部网络。第三项是必须让管理员远程控制他人的访问系统，要想实现这一功能，可以通过加密服务的方式进行。笔者建议在这一过程中需要加入DNS。在上述安全策略中虽然未陈述此项内容，但是，在实际运营过程中需要积极提供该服务。第三，规则次序的制定，规则次序的制定非常重要。不同的规则次序排列相同的规则，可能会深刻改变防火墙的运行情况。比如说，大部分防火墙按照顺序对数据包进行检查，收到第一个数据包与第一条规则相对应，收到第二个数据包与第二条规则相对应，一直进行对应。如果检查到匹配选项，就会停止检查。如果没有找到相匹配的规则，就会拒绝这个数据包。一般来说，比较特殊的规则应该放在前面，比较普通的放在后面。通过这样的方式，能有效避免防火墙的错误配置。第四，落实规则集，一旦确认了规则次数与安全防范策略，就要对规则集中的每条规则进行落实。在实际落实过程中，需要注意以下几个关键点。①将不必要的防火墙默认服务切断。②内部网络的所有人都能出网，任何服务都被允许，与安全策略规定相吻合。③增添锁定规则，除了管理员之外，其他人员都不能访问防火墙。④将不匹配的数据包丢弃，且不记录。⑤可以允许网络用户访问DNS。允许内部用户以及网络用户通过邮件传递协议访问邮件服务器。不允许内部用户对DMZ进行公开访问。允许内部进行POP访问。⑥拒绝、警告同时记录DMZ到内部用户之间的通话。⑦管理员能够通过加密方式进行内部网络的访问。⑧将最常用规则尽可能放到规则集上部，进一步提升防火墙安全性能。

3.结语

新形势下，加强给予防火墙墙技术的网络安全架构探析，对于提高网络安全具有重要意义，为此，还需要对防火墙技术进行深入探究，提高防火墙关键技术，保障网络环境安全。[科]

【参考文献】

［1］黄登玺，卿斯汉，蒙杨.防火墙核心技术的研究和高安全等级防火墙的设计[J].计算机科学，2011(02).

篇3

关键词：企业；计算机；内部网络；安全

引言

1.企业内部计算机网络安全现状

   我国计算机违法犯罪行为不断增长，在信息安全方面的发展，我国和发达国家的水平有着很大差距，与此同时企业计算机网络安全的防护技术也远远落后，所以我国企业计算机网络信息安全现状有以下几个特点：首先网络安全人才素质低下，虽然我国网络安全人才培养工作起步比较晚， 但是其发展日益加快，仍然远远不能够满足社会需求；其次信息安全意识比较淡薄， 我国很多个人或者企业对网络安全的认识相当浅显，自我防护能力相当低下，严重缺少相关严格的信息安全管理对策，同时没有足够认识信息安全事故的后果严重性；最后基础信息产业比较薄弱，硬件方面的很多核心技术与核心部件严重依靠于外国，在软件方面上，国际市场价格与垄断对其构成威胁 。

 2.内部计算机网络安全隐患

  2.1操作系统及软件不能及时升级、修补

   企业内网一般自成一个体系，相对于外网，它无法做到系统自动升级，需要操作人员定期进行，这样才可以有效防控一些系统的漏洞和缺陷，因此，各种操作系统的升级尤为重要，一旦升级工作不到位，很容易造成内网安全性降低。另外，内网毫不例外的要使用一些软件程序，如果在选择供应商或应用程序上不够谨慎，在使用软件时监控不足，也会对内网造成威胁，比如，有的应用软件在编程中就忽视安全性，造成黑客可以利用其中的权限、解码漏洞，远程溢出漏洞、数据库的注入式漏洞等，还有的程序员为一己私利或操作员日后管理便利，在软件中故意设置后门等。

2.2计算机系统安全存在缺陷

计算机在网络硬件配置上一旦出现缺陷，也会影响计算机系统的安全，通常有表现为以下几种①文件服务器运行的稳定性、功能完善性将直接影响网络系统的质量，是因为其是网络的中枢。网络的可靠性、扩充性和升级换代受设计和选型的影响，再加上网络应用的需求得不到足够的重视，最终限制网络功能发挥。②网络不稳定可能是网卡选配不当或者安全策略漏洞引起。③系统和操作软件的漏洞：任何完美的操作系统、网络软件难以避免存在安全缺陷和漏洞。具有安全漏洞得计算机一旦连接入网，就会给计算机病毒和木马可乘之机。

   3.网络安全意识不强及管理制度不完善

目前，一部分企业进行的内网的建设，但在建设过程中，对于内网安全均认识不足，首先，内网管理制度的制定比较滞后，有的单位虽然制定了相关制度，但并不是专业人员制定，内容就显得极不全面。其次，一些企业建网时间较短，没有配之以专业的技术人员，对素质较差的非专业员工也没有及时开展岗位培训，使操作人员在内网安全上没有建立防范意识，在技术上没有防范手段，最后，企业领导没有重视内网安全工作，管理制度执行不力，使内网的各种信息、文件安全时常受到破坏、丢失的威胁，严重的就会影响企业的竞争力和战略决策的实施。

4.企业内部计算机网络安全控制措施

   4.1物理安全策略

   物理性安全策略主要针对于计算机硬件设备提供保护，例如打印机、网络服以及通信链路等。物理性安全策略能保障计算机的安全工作环境，即保障电磁环境的兼容性。另外，这种策略还包括设定用户使用权限范围，制定计算机安全使用制度，防止越权使用、非法盗窃、破坏等行为的发生。由于计算机及其配套设备均有电磁泄漏的可能威胁，因此，物理安全策略还涵盖着应对传导、辐射的防护的各种措施实施和研究。

   4.2信息加密策略

   网络信息加密有三种较为常用的方法：即节点加密、链路加密、端点加密，这些加密法主要的作用是为计算机内存贮的，以及在网络中进行传输的各种口令、文件、数据等提供安全性。这种技术可以保证信息在传输过程中的安全，保证明文在密钥的解密下才可以显现。至于如何选择，用户完全可以根据自身条件和计算机、网络等情况进行自由选择。

4.3安全检测技术策略

①应用端口安全检测法可以及时检测和发现计算机端口被非法占用的问题，并可及时采取补救措施。②利用专业软件进行网络系统，如站点、网页扫描，可以随时监测系统的安全指标，防御性能，还可以进行模拟攻击测试，在发现漏洞及时采取措施。③运用网络安全检测法可随时监督网络系统的异常情况，一旦发生，立刻可以报告，使相关人员及时应对，防止入侵的成功。

5.总结

随着计算机网络安全防范水平的不断提高和安全应对策略的完善，未来的计算机网络将会有更广泛的应用前景。网络安全涵盖范围很宽泛，涉及的技术、理论、方法非常多，是业界一项复杂的科技研究课题，在这一过程中，不仅要进行技术革新，建设整体的安全体系，还要构建人们的安全意识。

参考文献

[1] 刘昕.企业局域网的安全分析及防范措施[J]. 信息系统工程. 2011(09)

[2] 杨晶.论计算机网络安全问题及防范措施[J]. 科技创新导报. 2011(08)

[3] 程宜康. 现代网络安全的体系与发展 [J]．计算机世界,2008（6）.

[4] 杨晶.论计算机网络安全问题及防范措施[J]. 科技创新导报. 2011(08)

[5] 张睿.浅谈网络安全与防范措施[J]. 科技创新导报. 2011(10)

篇4

【关键词】计算机网络：信息安全

【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158（2013）04-0011-01

高校办公机构的计算机网络系统通常是跨区域的Intranet网络，提供信息管理、资源共享、业务窗口等应用服务的平台，网络内部建立数据库，为各部门的业务应用提供资源、管理，实现数据的采集、信息、流程审批以及网络视频会议等应用，极大提高了日常工作效率，成为高校办公机构办公的重要工具，因此要求计算机网络具有很高的可操作性、安全性和保密性。

一、开放式网络互连及计算机网络存在的不安全要素

由于计算机网络中存在着众多的体系结构，体系结构的差异性，使得网络产品出现了严重的兼容性问题，国际标准化组织ISO制定了开放系统互联（OSI）模型，把网络通信分为7个层次，使得不同结构的网络体系在相应的层次上得到互联。下面就根据网络系统结构，对网络的不安全因素分层次讨论并构造网络安全策略。

（1）物理层的安全要素：这一层的安全要素包括通信线路、网络设备、网络环境设施的安全性等。包括网络传输线路、设备之间的联接是否尊从物理层协议标准，通信线路是否可靠，硬件和软件设施是否有抗干扰的能力，网络设备的运行环境（温度、湿度、空气清洁度等），电源的安全性（ups备用电源）等。

（2）网络层的安全要素：该层安全要素表现在网络传输的安全性。包括网络层的数据传输的保密性和完整性、资源访问控制机制、身份认证功能、层访问的安全性、路由系统的安全陛、域名解析系统的安全性以及入侵检测应用的安全性和硬件设备防病毒能力等。

（3）系统层的安全要素：系统层是建立在硬件之上软环境，它的安全要素主要是体现在网络中各服务器、用户端操作系统的安全陛，取决于操作系统自身的漏洞和不足以及用户身份认证，访问控制机制的安全性、操作系统的安全配置和来自于系统层的病毒攻击防范手段。（4）应用层的安全要素：应用层的安全要素主要考虑网络数据库和信息应用软件的安全性，包括网络信息应用平台、网络信息系统、电子邮件系统、web服务器，以及来自于病毒软件的威胁。

管理层的安全要素：网络安全管理包括网络设备的技术和安全管理、机构人员的安全组织培训、安全管理规范和制度等。

二、网络安全策略模型及多维的网络安全体系

高校办公机构的网络安全需要建立一个多维的安全策略模型，要从技术、管理和人员三位一体全方位综合考虑。

技术：是指当今现有使用的设备设施产品、服务支持和工具手段，是网络信息安全实现的基础。

管理：是组织、策略和流程。高校办公机构信息网络的安全建设关键取决于组织人员的判断、决策和执行力，是安全成败的必要措施。

人员：是信息网络安全建设的决定性因素，不论是安全技术还是安全管理，人员是最终的操作者。人员的知识结构、业务水平是安全行为执行的关键。

基于网络信息安全是一个不断发现问题进而响应改进的循环系统，我们构造网络安全策略模型为：防护>检测->响应->恢复->改善->防护。

运用这个安全体系我们解决网络中的不安全要素，即在物理安全、网络安全、系统安全、应用安全和管理安全等多个层次利用技术、组织和人员策略对设备信息进行防护、检测、响应、恢复和改善。

（1）物理安全：采用环境隔离门禁系统、消防系统、温湿度控制系统、物理设备保护装置（防雷设备）等，设置监控中心、感应探测装置，设置自动响应装置，事故发生时，一方面防护装置自动响应，另一方面人员发现处理，修复或更换设备的软、硬件，必要时授权更新设备或设施。

（2）网络安全：采用防火墙、服务器、访问控制列表、扫描器、防病毒软件等进行安全保护，采用网络三层交换机通过划分VLAN，把网络中不同的服务需求划分成网段，采用入侵检测系统（IDS）对扫描、检测节点所在网段的主机及子网扫描，根据制定的安全策略分析并做出响应，通过修改策略的方式不断完善网络的安全。

（3）系统安全：采用性能稳定的多用户网络操作系统Linux作为服务器的基础环境，使用身份认证、权限控制进行保护，用登陆控制、审计日志、文件签名等方式检测系统的安全性，进行接入控制审计响应，通过对系统升级、打补丁方式恢复系统的安全陛，可以通过更新权限来改善用户对系统操作的安全性。

（4）应用安全：采用身份认证、权限控制、组件访问权限和加密的办法进行保护，用文件、程序的散列签名、应用程序日志等方式检测应用程序的安全性，通过事件响应通知用户，采用备份数据的办法恢复数据，通过更新权限完善应用系统的安全陛。

（5）管理安全：通过建立安全管理规章制度、标准、安全组织和人力资源，对违规作业进行统计，制定紧急响应预案，进行安全流程的变更和组织调整，加强人员技能培训，修订安全制度。

三、行政机关人员安全的重要性

高校办公机构网络信息的安全，人员占据重要的地位，网络安全的各要素中都涉及人员的参与，因此对人员的安全管理是高校办公机构网络信息安全的重点。

首先组织领导要高度重视网络信息的安全性，建立周密的安全制度（包括网络机房安全制度、计算机操作员技术规范等），提高从业人员的素质和业务水平，防范人为因素造成的损失。

其次是组织员工进行信息安全培训教育，提高安全意识。对专业技术人员做深入的安全管理和安全技术培训。

再次是网络技术人员要定期对设备巡检维护，及时修改和更新与实际相应的安全策略（防火墙、入侵检测系统、防病毒软件等）。

最后是安全管理人员定期检查员工的网络信息方面的安全问题。

四、结束语

高校办公机构网络安全从其本质上讲就是保障网络上的信息安全，网络安全是一个全方位的系统工程，需要我们不断地在实践和工作中发现问题和解决，仔细考虑系统的安全需求，将各种安全技术，人员安全意识级水平、安全管理等结合在一起，建立一个安全的信息网络系统为高校办公机构工作服务。

参考文献：

[1]陈晓光.浅谈计算机网络教学[J].才智，2009，（08）.

篇5

计算机信息系统安全是一个动态过程。美国国际互联网安全系统公司（ISS）对此提出P2DR模型，其关键是Policy（策略）、Protection（防护）、Detection（检测）和Response（响应）四方面。按照P2DR的观点，完整的动态安全体系需要防护措施（如网络或单机防火墙、文件加密、身份认证、操作系统访问控制、数据库系统访问控制等）、动态检测机制（入侵检测、漏洞扫描等）、先进的资源管理系统（及时发现问题并做出响应）。

中国石油按照信息安全P2DR模型制定的信息安全系统体系结构包括安全运行中心、网络边界管理系统、网络准入控制、网络管理系统、病毒监控与升级管理系统、系统加固与监控管理系统、CA认证中心、密钥管理与分发系统、数据库防护系统、容灾系统、内容访问监控系统和电子邮件监控系统。

中国石油广域网安全基础设施

防火墙系统

中国石油广域网十分庞大，下属单位很多，遍布全国，连通世界上很多国家的分支企业。因此需要在网络各个相连处部署强力防火墙，确保网络的安全性。另外，在区域网络中心的服务器群前，加两台防火墙，以负载均衡方式，用千兆光纤连接到区域网络中心路由器上。在两台防火墙都正常工作情况下，可以提供约两倍于单台设备的性能，即约4Gbps的防火墙吞吐量，当一台防火墙出现故障时，另一台防火墙保证网络不间断运行，保障服务器群的高可用性。

利用防火墙技术，能在内外网之间提供安全保护; 但有如下局限性: 入侵者可寻找防火墙可能敞开的后门进行袭击; 网络结构改变有时会造成防火墙安全策略失效，攻击者可以绕防火墙实施攻击; 入侵者可能来自防火墙内部; 防火墙可能不能提供实时入侵检测。

入侵检测系统

入侵检测系统分为基于网络和基于主机两种类型。基于网络的入侵检测系统对所在网段的IP数据包进行分析监测，实时发现和跟踪有威胁或隐患的网络行为。基于主机的入侵检测系统安装在需要保护的主机上，为关键服务提供实时保护。通过监视来自网络的攻击、非法闯入和异常进程，能实时检测出攻击，并做出切断服务、重启服务器进程、发出警报、记录入侵过程等动作。

入侵检测在网络中设置关键点，收集信息，并加以分析，查找违反安全策略的行为和遭到袭击的迹象。它是第二道安全闸门，对内外攻击和误操作提供实时保护，又不影响网络性能。其具体功能如下: 监视、分析用户及系统活动; 系统构造和弱点审计; 识别已知进攻的活动模式并向相关人员报警; 异常行为模式的统计分析; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

中国石油12个区域网络中心，均配备入侵检测系统，监控内外网入侵行为。

漏洞扫描系统

漏洞扫描是自动检测远端或本地主机安全脆弱点的技术。它查询TCP/IP端口，并记录目标的响应，收集关于某些特定项目的有用信息，例如正在进行的服务、拥有这些服务的用户是否支持不记名登录、是否有某些网络服务需要鉴别等。

漏洞扫描系统可安装在便携机中，在网络比较空闲时检测。检测方式可本地可远程; 可临时检测某网段，也可固定检测某网段，但是检测范围不可跨越防火墙。

查杀病毒系统

中国石油网络上各个局域网普遍设立查杀病毒软件服务器，不断更新杀毒软件，及时向用户机下推最新版本杀毒软件。大大减轻了病毒泛滥和造成的损失。

网络安全策略管理

中国石油全网提供统一安全策略，各级分别部署，从而提高全网整体安全。

企业网络安全策略分为四个方面:检测评估、体系结构、管理措施和网络标准，并构成动态循环系统（图1）。安全检测与评估随着安全标准的提高而改进，评估结果是网络体系结构的完善的依据，安全策略管理必须随之改进与增强; 技术的进步和网络安全要求的提高，促使网络标准的完善与改进。

网络安全检测与评估涉及网络设备、网络操作系统、应用软件、专业软件、数据库、电子商务、Web网站、电子邮件等。安全体系结构涉及物理、场地、环境、访问控制、数据传输与保存、路由控制。安全管理措施涉及网络设备、软件、密钥。

路由器和交换机策略管理是上述安全管理措施中的重要方面。它们的策略维护通过访问控制列表（ACL）实现。这种工作容易出错，因而应采用专用工具软件集中管理。所采用的管理软件有管理设备ACL的WEB接口，通过这个接口对IP过滤列表进行编辑及下载，简化了管理工作量，实现了大型网络路由器和交换机上策略参数的集中管理。

分系统设计

除了上述基础设施外，还必须有属于“上层建筑”安全措施。这便是分系统设计。

安全运行中心

中国石油信息系统地域分散、规模庞大，与多个业务系统耦合性很强，如何将现有安全系统纳入统一管理平台，实现安全事件全局分析和动态监控，是中国石油广域网面临的主要问题。

建立安全运行中心，实现对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件，并处理各种安全突发事件。安全运行中心不仅可以将不同类型安全产品实现统一管理，还可以将网络中不同位置、不同系统中单一安全事件进行收集、过滤、关联分析，得出网络全局风险事件集，提供安全趋势报告，并通过远程状态监控、远程分发、实现快速响应，有效控制风险事件。

安全运行中心功能模块包括安全配置模块、网络监控模块、内容监管模块、安全事件与预警模块以及应急响应模块，具体功能模块如图2所示。下边介绍几种主要功能。

（1）安全配置管理

包括防火墙、入侵检测、VPN等安全系统的安全规则、选项和配置，各种操作系统、数据库、应用等系统配置的安全设置、加固和优化措施。可实现策略创建、更新、、学习和查询。

（2）网络监控

模块可提供对网络设备、网络安全设备、网络拓扑、服务器、应用系统运行情况的可视化监控，确定某个安全事件是否会发生，事件类型、影响程度和范围。预警: 对网络设备、安全设备、主机系统、服务器、数据库系统日志信息的收集、集中存储、分析、管理，及时发现安全事件，并做出相应预警。

（3）内容监管

内容监控、内容访问监控以及内容传播监控。

中国石油信息安全系统安全运行中心由总部、区域中心、地区公司三级结构组成。

总部级: 制定统一安全配置，收集所有汇总上来的数据，并对其进行统一分析、管理。通过这种逐级逐层多级化模式管理，达到对信息安全全方位防御的目的。

区域中心级: 执行对管辖范围内所有地区公司安全运行中心的监控，也可监控区域内的网络安全、主机安全、数据库安全、应用系统安全等，并向总部安全运行中心上报相关数据。

地区公司级: 部署总部的统一安全配置，监控地区公司内部网络、主机、数据库、应用系统安全等，收集分析安全事件并做出及时响应，生成分析报告，定期向区域中心汇总。

网络边界管理系统

中国石油网络按照其应用性质的不同和安全要求的不同，划分为不同的安全域。整个网络安全符合木桶原则: 最低木板决定木桶装水量; 网络安全最薄弱环节决定整个网络的安全性。

由于网络中不可控制的接入点比较多，导致全网受攻击点明显增多。通过网络边界管理系统可以最大限度保护内部业务数据的安全，其中重点保护与Internet直接连接的区域。

按照业务不同的安全程度要求，中国石油各个企业网络划分若干安全区域:

（1）业务区域: 企业重要信息集中在此，这里有核心数据库，可与相关单位交换信息。

（2）生产区域: 主要指各炼化企业的生产网络，实现生产在线监控和管理信息的传递。

（3）办公区域: 各单位的办公网，用户访问企业业务系统与互联网、收发电子邮件等。

（4）对外服务区: 通过因特网对外信息和进行电子商务的区域，该区域日趋重要。

（5）因特网接入区: 因特网浏览信息、对外交流的窗口，最易受攻击，要重点保护。

通过边界管理系统在中国石油各局域网边界实施边界管理，在内部部署入侵检测系统实施全面安全保护，并在对外连接处和必要的部位部署防火墙进行隔离。

通过入侵检测系统和防火墙联动，可以对攻击行为实时阻断，提高安全防护的有效性。

网络准入控制系统

中国石油网络准入控制系统分四部分: 策略服务器、客户端平台、联动设备和第三方服务器（图3）。

（1）安全策略服务器: 它是网络准入控制系统的管理与控制中心，实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。

（2）安全客户端平台: 它是安装在用户终端系统上的软件，可集成各种安全产品插件，对用户终端进行身份认证、安全状态评估以及实施网络安全策略。

（3）安全联动设备: 它是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。安全管理系统管理平台作为安全策略服务器，提供标准协议接口，支持同交换机、路由器等各类网络设备的安全联动。

（4）第三方服务器: 为病毒服务器、补丁服务器等第三方网络安全产品，通过安全策略的设置实施，实现安全产品功能的整合。

链接

中国石油广域网安全设计原则

在中石油广域网络安全系统的设计中应遵循以下设计原则:

高度安全与良好性能兼顾: 安全与性能相互矛盾，安全程度越高，性能越受影响。任何事物没有绝对安全，也不总是越安全越好。安全以投资、性能、效率的付出为代价。在安全系统设计中，对不同安全程度要求，采用不同安全措施，从而保证系统既有高度安全保障，又有良好系统性能。所谓高度安全，指实现的安全措施达到信息安全级别的要求，对关键信息可以再高一个级别。

全方位、均衡性和层次性: 全方位、均衡性安全设计保证消除网络中的漏洞、后门或薄弱环节; 层次性设计保证当网络中某个安全屏障（如防火墙）被突破后，网络仍受到其他安全措施（如第二道防火墙）的保护。

主动和被动相结合: 主动对系统中安全漏洞进行检测，及时消除安全隐患; 被动实施安全策略，如防火墙措施、ACL措施等等。两者完美结合，有效实现安全。

切合实际: 有的放矢、行之有效，避免措施过度导致性能不应有的下降。

易于实施、管理与维护。

篇6

【关键词】计算机 网络 安全 技术

1 引言

网络的目的是传输数据，由于技术的限制，现阶段计算机网络在传输数据时还是存在着安全问题，例如数据被截获、用户密码被盗取等，这些都会给用户带来不可估量的损失。即便是安全程度更高的军用网络，也不能保证百分之百的安全。因此，如何运用一些关键技术使计算机网络在传输的过程中更加安全是现阶段需要迫切解决的问题。计算机网络安全技术包括信息加密技术、通信协议安全技术、网管系统技术、通信节点安全技术、网络入侵检测技术、网络安全评估技术、网络防火墙技术等，这些技术的运用是计算机网络安全的有效保障。

2 计算机网络安全技术影响因素

计算机网络安全是一个复杂的系统，其影响因素包含多个方面，常见的影响因素包括：网络系统本身的安全因素、网络用户的安全威胁因素、网络安全监控因素、恶意软件处理的因素等。对这些因素的合理处理是计算机网络安全的基础工作。

3 计算机网络安全防控策略

3.1 信息加密策略

信息加密技术是指通过一定的网络协议来对传输的信息进行加密，这种方式可以有效保护信息在传输过程中的安全。这其中主要是运用了一种叫做密码编码学的概念，重要知道密码是怎么编码的和密码的钥匙，传输端和接收端就可以正常收发信息。但是如果编码方式和钥匙被别人获取了，那么信息就有可能被人破解，除此之外，黑客还可能使用穷举法等暴力破解手段来进行破解。国际上常用的密码标准是美国颁布的DES标准，我们所熟知的三重DES标准就是从DES发展过来的，就是把DES执行时三遍使得加密更加严格。

3.2 通信协议安全策略

通信协议安全技术是指TCP/IP协议、IP协议以及Internet安全协议，其中最为关键的是IPSEC协议包，包括IP认证包头、IP封装和互联网密匙交换 。IPSEC安全策略决定了安全服务，IP包在处理数据时以安全策略为准。黑客攻击网络协议是通过截获数据然后在破解密码来实现的，轻的会造成用户的才产生损失，严重的会造成网络中断，如果是发生在军用网络中，造成的后果是不可估计的。VPN协议是使用隧道技术来实现数据的安全传输，这是一种点对点的协议，包括软件VPN，硬件VPN和专用VPN。其中站点到站点的协议是将两个以上的网络连接在一起，实现数据的传输。按照解决方案来分，又分为远程访问虚拟网、企业内部虚拟网、企业扩展虚拟网等。

3.3 网管系统策略

网络关机技术包括传输线路的管理、软件的管理、客户端的管理、传输加密管理等等。任何一个环节出现错误都有可能引起信息的泄露和网络的瘫痪，因此，对这些内容的管理对网络安全至关重要。

一方面要建议高效的网络管理团队，在网络出现问题时能第一时间去抢修，在没有网络问题时要及时检查，包括网管数据完整性的鉴别和传递过程中保密性的判断，防患于未然；另一方面要制定网络安全的目标，目标制定出来后要严格按照这个目标和标准去执行；现阶段信息技术已经发展到一个很高的水平，很多事情已经不需要人工去做了，利用自动化检查软件也可以实现对网络安全的管理工作，代替一部分人工工作。

3.4 通信节点安全策略

通信节点报告交换机、路由器等设备，这些设备如果出现问题，会对通信安全造成严重的影响。例如如果路由器的密码设置的过于简单很可能被人破解，那么网络信息就有可能通过路由器泄露出来。想要解决由网络节点引发的安全问题不能仅靠技术手段，而是要有专门的人员进行定期的检查，除此之外还要对节点设备及时进行升级。多种防范措施共同努力解决由网络节点引发的安全问题。

3.5 网络入侵检测策略

即便有再高级的设备和技术，如果当网络已经出现问题被黑客入侵了，但是却检测不出来，那也是无用功。因此，必须要有入侵检测系统的支持。检测系统要针对不同的网络协议和加密协议进行不同的开发，市场上不存在适用于所有网络的检测系统。

此外，对节点的检测也很重要。市场上已经有了专门针对路由器和交换机的检测软件当这些节点设备发生入侵时，检测软件会立马报警。设计者应该针对不同的网络和应用开发不同的软件来应对网络安全问题，只有这样网络才能更加安全。

3.6 网络安全评估策略

网络安全评估是指对整个网络环境包括硬件设备的安全性进行整体评估，给出一个安全的范围。安全评估可以为网络的升级改造提供必要的意见和建议，同时也能有针对性的对某些网络安全问题采取措施。在网络安全评估时，会模拟现实中网络遭到黑客攻击的状态，然后测试网络环境的反映，以此来评判网络的安全状态。

3.7 网络防火墙策略

网络防火墙是指包括硬件和软件在内的对网络攻击进行防护的系统，本质上是对网络通信进行过滤，只允许经过筛选的数据进入电脑，以防止电脑系统受到不安全数据的破坏。包括屏蔽路由器数据、包过滤技术、动态防火墙技术、复合型防火墙技术等。但是防火墙技术也存在着自身的缺点，那就是功能过于单一，反应周期较长等。

参考文献：

[1]雷震甲.网络工程师教程例[J].北京：清华大学出版社，2004.

篇7

1．1校园网络现状

随着电脑的普及，计算机技术已并没有向早年想象的那么遥远。几乎每个人都知道一些最基本的电脑维护的知识，对于生活在高校的学生们就更不用说了。几乎每所高校都有其自身的网络体系，无论是无线网络还是有线网络。有了网络的帮助后老师可以提高课堂内容的丰富度，不必拘匿与灌输死板的概念内容，而是灵活的动态模式，这样才能更好的激发学生的学习兴趣。在大家看来每所高校所关心的安全领域问题是大致相同的，无论是在哪方面，无疑就是网络是否畅通，上网是否安全，网络是否可以抵御黑客攻击，上网是我们的账号是否存在风险等问题。

1.2校园网络架构分析

学校校园网跟随着信息化建设的步伐，已经逐步走上正轨。许多高校都配备了无线、有线网络，使学生和老师的生活和教学就更加方便，XX学校网络的拓扑图（图1）。根据图片可知XX学校将Internet汇总通过防火墙，总的路由器分配至每个教学楼路由器，再由交换机分到各个房间，这样每个房间就能有其自己的端口号。这样如果遇到电路、网络中断的话就可以就可以根据端口直接检查出问题所在的地方以及进行及时的修理，例如在一个教学楼的房间，网路连接不上，我们可以通过以下步骤来找到问题所在，首先用测线器来测试下网线是否正常，若不正常首先判断是交叉线还是直通线，换一根网线继续使用；若网线正常在看下网线插口里的芯片是否有接触，可以用小的钳子给它摆正再插上网线试下；若还是不行将模块拆下检查下铜导线与模块是否是接触不良同时可以将铜导线头接触处剥下一点讲他们捏在一起，在交换机上观察是否通，通的话将铜导线重新装回至模块内，正常使用。我们可以从图中得知，这样的架构可以帮助我们尽快查到问题的出处，防止更加难以控制的局面的发生。

1.3校园网络面临的威胁

学校网络大多都使用TCP/IP协议，而该协议的网络所提供的网络服务都包含许多不安全的因素，存在许多漏洞。同时网络的普及是信息共享达到了一个新的层次，信息被暴露的机会大大增加，特别是internet，他就是一个开放大系统。另外，数据处理的可访问性和资源共享的目的性之间的一对矛盾，这些都给校园网络带来了威胁。计算机网络所面临的威胁大体可分为两种：一是，对网络中信息的威胁,即所谓的软威胁；二是，对网络中设备的威胁，即所谓的硬威胁。影响计算机网络的安全因素很多，有意的、无意的、人为的、自然的以及外来黑客对网络系统资源的非法使用等，归结起来，针对网络安全的威胁主要有以下几种：第一，入侵者：入侵者包括黑客、破坏者和其他从外部试图非法访问内部网络的网络用户。这些访问者或者有特定的目的，或者只是基于兴趣和好奇心，都会对校网信息形成威肋。并且，由于互联网的广泛应用，更多的黑客工具和破坏程序被共享，许多青少年对此兴趣极高，形成了一大批潜在的攻击者。第二，病毒和有害代码：便利的网络环境使病毒成为网络信息安全的另一个重要威胁，病毒不仅破坏程序和数据，还会严重影响网络效率，甚至破坏设备；特洛伊木马为入侵者所利用进行网络攻击和刺探，操作系统或应用软件的后门也被开发者利用进行攻击和破坏。目前病毒与黑客技术的结合，使得病毒的危害更进一层，不仅仅针对计算机，同时也针对网络，近几年的一次利用SQLServer漏洞的“蠕虫王”病毒就几乎使得全国计算机网络瘫痪。第三，内部教职员工与学生：其实更为重要的安全威胁来自网络内部，由于误操作、好奇或泄愤，内部教职员工和学生会对校园网中关键信息安全和完整性构成威胁。尤其是学生，极强烈的好奇心和争胜欲望，为了炫耀或者学习实践，对网络有比较大的攻击性。第四，系统和应用的安全漏洞：网络设备、操作系统和应用软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。除此之外，软件和硬件的配置/设置不当同样会造成相当严重的安全问题。第五，用户安全意识：用户对信息安全认识不足，对安全的简单理解和关注不足，对安全设备的利用和投入不足、不及时，都会构成校网信息安全缺陷。第六，其他安全威胁：包括自然灾害、物理设备故障以及其他破坏网络基础设施和数据的意外事故。

2校园网络信息安全策略

2.1信息安全含义及策略概述信息安全是指采取措施保护信息网络的硬件、软件及其系统中的数据，使之不因偶然的或者恶意的原因而遭受破坏、更改、泄露，保证信息系统能够连续、可靠、正常地运行。信息安全是一门涉及网络技术、数据库技术、密码技术、信息安全技术、通信技术、应用数学、信息论等多种学科的综合性学科。信息安全本身包括的范围很广，大到国家军事政治等机密安全，小到防范青少年对不良信息的浏览以及个人信息的泄露等。而信息安全策略是一个有效的信息安全项目的基础。信息安全策略可以划分为两个部分，问题策略和功能策略。问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。功能策略描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。从信息安全领域中发生的事件来看，信息安全策略的核心地位变得越来越明显。例如，没有安全策略，系统管理员将不能安全的安装防火墙。策略规定了所允许的访问控制、协议以及怎样记录与安全有关的事件。策略的制定需要达成下述目标：减少风险，遵从法律和规则，确保组织运作的连续性、信息完整性和机密性。信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。同时应当重视对信息系统了解深刻的员工所提出的组织当前信息的主要特性，具体包括：什么信息是敏感的、什么信息是有价值的以及什么信息是关键的。在制定一整套信息安全策略时，应当参考一份近期的风险评估，以便清楚了解组织当前的信息安全需所要面临的风险管理。对曾出现的安全事件的总结，也是一份有价值的资料。信息安全策略应当与已有的信息系统结构相一致，并对其完全支持。这一点不是针对信息安全体系结构，而是针对信息系统体系结构。信息安全策略一般在信息系统体系结构确立以后制定，以保障信息安全体系实施、运行。例如，互联网访问控制策略可使安全体系结构具体化，也有利于选择和实施恰当的防火墙产品。关于风险评估，我们可以根据每一项任务来进行一个风险评估具体流程（如图2），做好一个风险评估能很大程度上的提高信息安全度，也便于今后的管理。

2.2防范校园网络安全措施

在校园网络日渐普及的今天，关于如何应对和防范校园网络安全这一块也存在着许多不足和漏洞，所以各个学校都要从各个方面来保障校园网路的安全运行。首先是管理层面，通过申请在校园网络中各种功能的开通和使用，来实现从源头抓问题，学校也应该制定出明确的计划与流程，使得一些行为可以按照流程一步步完成，这样就能更加安全了。以学生宽带申请为例，学校规定从学校网站上统一下载，统一领导签字，统一分发，统一管理。这种模式能提高管理和工作的效率，正是因为这样的管理和工作模式，让学校的工作井井有条的开展。通过对申请信息的填写，当遇到网络安全威胁时，可以通过信息查询到有问题的主机，然后及时解决问题，不至于拖延很长时间。再次是技术方面，学校配备有上网认证控制器，可以保证在教学楼范围内上网都是有认证的，每个人的上网记录都是可以查询的，以及还有流量控制器，可以保证基本上网的畅通，VPN认证可以保证在校外访问校内网有迹可循，同时学校还配有负载均衡器以扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力，提高网络的灵活性和可用性。同时这些设备也是信息安全策略中功能策略的反映。

3结语

篇8

关键词：网络信息；信息安全；安全保障；防范措施

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)05-11233-02

1 前言

随着计算机网络技术和信息化建设的迅猛发展，人们在日常生活、办公、学习等方面都实现了网络化管理，不少单位和学校都建立了自己的计算机局域网，逐步实现了邮件收发、网上办公、网上信息浏览、资源共享、多媒体教学等功能。这些功能的实现，为提高工作效率、加快信息传播、实施一体化保障服务提供了平台。但不可否认，网络在给我们工作和学习创造效益的同时，也带来了挑战与冲击，当前必须解决好网络安全中面临的问题，才能更好地发挥计算机网络在信息化发展建设中的重要作用。因此，构建全方位的网络信息安全保障体系已成为当前刻不容缓的任务。

2 网络信息安全管理现状和存在的问题

(1)是安全意识不强。当前，网络建设与管理中，在人们的思想上普遍存在“重建设、轻防护，重应用、轻管理”的模糊认识，人们的网络信息安全保密观念不强，对网络信息安全可能造成的危害认识不足。在建成并投入使用的网络中，有相当一部分单位存在建网不设防问题，有的用户在缺少安全保密条件的计算机信息系统中存储、处理和传递信息，还有的缺乏网络安全法规意识，甚至将带有攻击性的软件装入计算机网络进行试验。

(2)是缺乏全方位的网络信息安全保障方案。虽然一些单位在网络安全保密方面从制度、管理、技术等方面做了不少工作，在一定程度上保证了网络安全，但现行的网络安全保障工作在管理上责任权不够明确，制度不够健全，措施不够完善，缺乏一个系统的、全方位的、动态的安全方案。

(3)是网络系统本身存在的不安全因素。由于计算机网络连接的多样性、终端分布的广泛性和网络的开放性等特征，致使网络随时可能遭受数以万计的计算机病毒、黑客攻击程序、硬件“后门”和软件“漏洞”等破坏，造成无法估量的潜在安全威胁。

3 网络信息系统面临的威胁

(1)操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX/LINUX系统的CGI程序、root、guest这些默认帐号的泄露等，indows2000/NT系统的IIS、输入法Bug等。对于个人计算机操作系统，个人用户在使用应用程序或者操作系统时下载或者打开了JAVA、ActiveX、病毒或后门程序的文件，都会对本地计算机的操作系统构成威胁，使得操作系统崩溃，计算机无法使用；

(2)防火墙的安全性。据统计，30%的入侵发生在有防火墙的情况下，这些入侵的主要原因并非是防火墙无用，而是由于一般的防火墙的管理及配置相当复杂，要想成功的维护防火墙，要求防火墙管理员对网络安全攻击的手段与系统配置的关系有相当深刻的了解，而且防火墙的安全策略无法进行集中管理，黑客可以利用IP欺骗的手段使自己获得新的IP从而进入不能进入的地区；

(3)应用服务的安全。许多应用服务系统（如数据库服务器、电子邮件服务器、Web服务器等）在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。服务器还存在许多漏洞，黑客会利用这些服务器的漏洞，入侵服务器，获得各种权限，从而对服务器或局域网进行控制；

(4)内部敏感信息到外部的分发。据统计70%以上的网络攻击行为来自外部，控制内部敏感信息的分发是网络安全策略的核心。外网的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等；

（5）网络协议本身缺乏安全性。由于绝大多数网络运行的主要是TCP/IP、NETBEUI、IPX等多种网络协议，而这些协议并非专为安全通讯而设计。所以，利用这些网络进行服务本身就可能存在多方面的安全威胁。

4 网络信息安全保障体系框架设计原则

围绕信息安全体系的三要素（即人、制度和技术），建立一个包括技术、管理、组织的安全体系，才是组织实现网络与信息安全系统的有效途径。

首先，必须强调安全策略的重要性。正确的安全策略能够指导我们建立恰当的安全体系，以避免防护过剩或防护不力。网络安全策略应以预防为主、防堵并重、分布实施的原则，区别轻重缓急，加强安全防范意识，严格安全保密的各项规章制度，技术上采取必要的防范措施。

其次，技术上要多方位多层次考虑。网络安全涉及IOS/OSI所有的七个协议层次（物理层、链路层、网络层、运输层、会话层、表示层和应用层），覆盖了信息网络中物理环境、通信平台、网络平台、主机平台和应用平台等几个系统单元，这是一个立体的、多方位、多层次的系统问题。涉及身份认证、访问控制、数据保密性、数据完整性、抗抵赖、审计、可用性和可靠性等多种基本的安全服务，因此，我们在规划、设计、维护、管理信息网络的安全系统时，必须从分析信息网络的安全风险出发，考虑不同系统单元、不同协议层次所存在的安全风险，所需要的安全服务，从“预警、保护、检测、反应、恢复、反击”这六个环节着手，采用相应的安全技术，使不同的安全技术、安全产品互相补充、互相完善，保证信息网络的安全。

第三，坚持起始阶段与长远预期结合考虑，分步实施的原则。在资源共享和访问控制共存的信息社会里，网络安全永远是动态而不是静态的。根据网络系统建成后实际运行情况随着信息网络的发展，网络规模扩大并且应用增加，网络的安全缺陷也会加大，一劳永逸的安全方案是不现实的，需要动态地维护。

5 构建网络信息安全保障体系的具体措施

(1)提高网络安全意识，加强信息安全观教育。我们应高度强化网络保密管理观念。一要确立网络安全管理是做好平时工作的重要保障的思想；二要确立网络安全管理人人有责的观念，确保信息安全是一项整体性工作，人人都有维护网络安全的义务和责任；

(2)制定并完善检查、监督和管理的有效机制。加强管理，立章建制，根据网络的运行情况和安全要求逐步建立并付诸实施。具体工作包括：根据工作的重要程度，确定系统的安全等级，确定安全保护管理的规定范围；制定相应的机房进入制度，对于安全等级要求较高的系统实行分区控制，限制工作人员出入与己无关的区域，指定场地与设施安全管理制度；防火墙管理与使用制度；制定密码安全管理方法；制定严格的操作规程，操作规程要根据职责分离或多人负责的原则，各负其责，不能超越增加管辖范围，如操作系统、数据库安全管理规定、信息采集、传输安全保密制度、上网数据审批规定、用户口令字及帐户管理规定等；制定应急措施，要制定系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小；

(3)在技术手段上利用各种安全保密设备，采取多种防范手段。

①网络分段：局域网采用以交换机为中心、路由器为边界的网络格局，又基于中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制，将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听。以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。VLAN（虚拟专用网）的划分，进一步克服了以太网的广播问题。在集中式网络环境下，将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，按机构部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。

②配置加密机：网络数据密码机用于数据通信的加密，有加密、鉴别的功能，有良好的网络应用透明性，可保护通信中的数据。

③合理配置防火墙：防火墙是不同网络或网络安全域之间信息的唯一出入口，可根据网络的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它还可监测、限制和更改通过的数据流，尽可能地对外部网络屏蔽内部网络的信息、结构和运行状况，以此来实现网络的安全保护。但由于防火墙是一种访问控制设备，而且提供的是安全域的周边防护，因此，防火墙均存在其局限性。一方面，它不能防范不经过它的攻击，例如来自于网络内部的攻击；另一方面，它不能抵御隐藏在合法链接内的攻击等。

④入侵检测系统：入侵检测也是一种动态的安全防护技术，通过在网络和主机系统中主动寻找入侵信号来发现入侵行为并告警。它帮助网络系统对付各种攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。入侵检测，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前抵御入侵。

⑤安装使用网管软件：利用CISCO IOS软件和安装网管软件CISCOWORKS、OPENVIEW等，根据系统安全策略做出反映，如报警、登记、自动阻断通信连接等功能，随时对网络进行监视、操作、管理、设计、配置和维护等。

⑥安装各种防病毒软件：现在的病毒越来越多，也越来越隐蔽，而且破坏力极强，因此防病毒，杀病毒是与时间赛跑，越早预防并杀除，损失越小，以保护数据免受病毒攻击。

⑦网络安全漏洞扫描分析系统：网络安全漏洞扫描是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查，目标可以是工作站、服务器、交换机、数据库应用等各种对象，然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，以不断为提高网络安全整体水平产生重要依据。

⑧强化服务器端安全措施：为服务器建立完善的备份及恢复机制，用户授权机制和日志。为了防止存储设备的异常损坏，可采用可热插拔的SCSI硬盘所组成的磁盘容错阵列，以RAID5的方式进行系统的实时热备份；为防止人为的失误或破坏，建立了强大的数据库触发器以备份重要数据的删除操作，甚至更新任务；在需要跟踪追溯数据丢失或破坏事件的全部信息时，则将系统日志与备份数据有机地结合在一起真正实现服务器的安全性。

⑨做好应急处理工作，完善备份恢复机制：由于网络攻击不分平时和战时，并具有突发性和毁灭性的特点，因此必须建立应急反应机制，提高网络防护的快速反应能力。一旦被保护对象出现了问题，能够迅速采取措施进行救助。确保恢复，在做任何一个计算机网络资源平台的安全防范规划时，必须考虑到在系统可能被摧毁的前提下，如何确保恢复，要进行什么程度的备份，哪些信息是必须备份的。安全备份方面，要有零部件备份、软件备份、数据备份、拨号线路备份、重要设备和数据备份及故障恢复手段等。一旦发生故障，备件随时更换启用。对各种功能数据采用更新时备份到磁盘的方式，以文档形式保存，对作为纯粹数据的数据库信息和日志文件，采取定期自动磁带备份的方式。

参考文献：

[1]戴红.计算机网络安全[M].电子工业出版社,2005,9.

[2]冯登国.计算机通信网络安全[M].清华大学出版社,2003,1.

[3]孙锋.网络安全与防黑技术[M].机械工业出版社,2004,4.

篇9

[关键词]网络安全事件安全对策

随着网络时代的到来，越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人，而其安全问题也变得越来越突出。近年来，网络安全事件不断攀升，电子商务金融成了攻击目标，以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。在国家计算机网络应急技术处理协调中心（CNCERT/CC）2005处理的网络安全事件报告中，网页篡改占45.91％，网络仿冒占29%，其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等。如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为电子商务的所有参与者十分关心的话题。

一、电子商务中的主要网络安全事件分析

归纳起来，对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等，网页篡改、网络仿冒（Phishing），逐步成为影响电子商务应用与发展的主要威胁。

1.网页篡改

网页篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说，主页的篡改对计算机系统本身不会产生直接的损失，但对电子商务等需要与用户通过网站进行沟通的应用来说，就意味着电子商务将被迫终止对外的服务。对企业网站而言，网页的篡改，尤其是含有攻击、丑化色彩的篡改，会对企业形象与信誉造成严重损害。

2.网络仿冒（Phishing）

网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等，是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号、用户名、密码、社会福利号码等，随后利用骗得的账号和密码窃取受骗者金钱。近年来，随着电子商务、网上结算、网上银行等业务在日常生活中的普及，网络仿冒事件在我国层出不穷，诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用，特别是电子商务应用的主要威胁之一。

网络仿冒者为了逃避相关组织和管理机构的打击，充分利用互联网的开放性，往往会将仿冒网站建立在其他国家，而又利用第三国的邮件服务器来发送欺诈邮件，这样既便是仿冒网站被人举报，但是关闭仿冒网站就比较麻烦，对网络欺诈者的追查就更困难了，这是现在网络仿冒犯罪的主要趋势之一。

3.网络蠕虫

网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统，自我复制，并继续向互联网上的其他系统进行传播。蠕虫的不断蜕变并在网络上的传播，可能导致网络被阻塞的现象发生，从而致使网络瘫痪，使得各种基于网络的电子商务等应用系统失效。

4.拒绝服务攻击(Dos)

拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问，使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务，使得电子商务这类应用无法正常工作。拒绝服务攻击是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多，则更难进行处置。尤其是被蠕虫侵袭过的计算机，很容易被利用而成为攻击源，并且这类攻击通常是跨网进行的，加大了打击犯罪的难度。

5.特罗伊木马

特罗伊木马（简称木马）是一种隐藏在计算机系统中不为用户所知的恶意程序，通常用于潜伏在计算机系统中来与外界联接，并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得，并且该系统也会被外界所控制，也可能会被利用作为攻击其他系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。

二、解决电子商务中网络安全问题的对策研究

随着网络应用日益普及和更为复杂，网络安全事件不断出现，电子商务的安全问题日益突出，需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施，才能有效保护电子商务的正常应用与发展。

1.进一步完善法律与政策依据充分发挥应急响应组织的作用

我国目前对于互联网的相关法律法规还较为欠缺，尤其是互联网这样一个开放和复杂的领域，相对于现实社会，其违法犯罪行为的界定、取证、定位都较为困难。因此，对于影响电子商务发展的基于互联网的各类网络安全事件的违法犯罪行为的立法，需要一个漫长的过程。根据互联网的体系结构和网络安全事件的特点，需要建立健全协调一致，快速反应的各级网络应急体系。要制定有关管理规定，为网络安全事件的有效处理提供法律和政策依据。

互联网应急响应组织是响应并处理公共互联网网络与信息安全事件的组织，在我国，CNCERT/CC是国家级的互联网应急响应组织，目前已经建立起了全国性的应急响应体系；同时，CNCERT/CC还是国际应急响应与安全小组论坛（FIRST，ForumofIncidentResponseandSecurityTeams）等国际机构的成员。应急响应组织通过发挥其技术优势，利用其支撑单位，即国内主要网络安全厂商的行业力量，为相关机构提供网络安全的咨询与技术服务，共同提高网络安全水平，能有效减少各类的网络事件的出现；通过聚集相关科研力量，研究相关技术手段，以及如何建立新的电子交易的信任体系，为电子商务等互联网应用的普及和顺利发展提供前瞻性的技术研究方面具有积极意义。

2.从网络安全架构整体上保障电子商务的应用发展

网络安全事件研究中看到，电子商务的网络安全问题不是纯粹的计算机安全问题，从企业的角度出发，应该建立整体的电子商务网络安全架构，结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。

安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督，安全策略的制定、实施、评估和修改，相关人员的安全意识的培训、教育，日常安全管理的具体要求与落实等。

安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护，通常是一些基本的防护，不具有实时性，如在防火墙的规则中实施一条安全策略，禁止所有外部网用户到内部网Web服务器的连接请求，一旦这条规则生效，它就会持续有效，除非我们改变这条规则。这样的保护能预防已知的一些安全威胁，而且通常这些威胁不会变化，所以称为静态保护。

安全监控和审计是实时保护的一种策略，它主要满足一种动态安全的需求。因为网络安全技术在发展的同时，黑客技术也在不断的发展，网络安全不是一成不变的，也许今天对你来说安全的策略，明天就会变得不安全，因此我们应该时刻关注网络安全的发展动向,以及网络上发生的各种各样的事情，以便及时发现新的攻击，制定新的安全策略。可以这样说，安全保护是基本，安全监控和审计是其有效的补充，两者的有效结合，才能较好地满足动态安全的需要。

事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时，能及时做出响应，这需要建立一套切实有效、操作性强的响应机制，及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分，因为网络构筑没有绝对的安全，安全事件的发生是不可能完全避免的，当安全事件发生的时候，应该有相应的机制快速反应，以便让管理员及时了解攻击情况，采取相应措施修改安全策略，尽量减少并弥补攻击的损失，防止类似攻击的再次发生。当安全事件发生后，对系统可能会造成不同程度的破坏，如网络不能正常工作、系统数据被破坏等，这时，必须有一套机制能尽快恢复系统的正常应用，因为攻击既然已经发生了，系统也遭到了破坏，这时只有让系统以最快的速度运行起来才是最重要的，否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。

三、结论

Internet的快速发展，使电子商务逐渐进入人们的日常生活，而伴随各类网络安全事件的日益增加与发展，电子商务的安全问题也变得日益突出，建立一个安全、便捷的电子商务应用环境，解决好电子商务应用与发展的网络安全问题必将对保障和促进电子商务的快速发展起到良好的推动作用。

参考文献:

[1]CNCERT/CC.2005年上半年网络安全工作报告

[2]李卫:计算机网络安全与管理.北京：清华大学出版社，2000

[3]李海泉:计算机网络安全与加密技术.北京：科学出版社，2001

篇10

关键词： 企业信息系统；信息安全；安全策略

中图分类号：F270.7 文献标识码：A 文章编号：1671－7597（2012）0220165－01

随着市场经济的不断发展，企业竞争越来越激烈，国际化合作不断增多，随之而来的企业信息安全是目前我国企业普遍存在的问题。对企业来说，信息安全是一项艰巨的工作，关系到企业的发展。近年来，围绕企业信息安全问题的话题不断，企业信息安全事件也频频发生，如何保证企业信息的安全，保证信息系统的正常运转，已经成为信息安全领域研究的新热点。

1 企业信息安全的意义

信息安全是一个含义广泛的名词，是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏，或防止信息被非法辨识、控制，即确保信息的保密性、可用性、完整性和可控性。企业的正常运转，离不开信息资源的支撑。企业信息安全建设对企业的发展意义重大。

首先，信息安全是时展的需要。计算机网络时代的发展，改变了传统的商务运作模式，改变了企业的生产方式和思想观念，极大推动了企业文化的发展。企业信息安全的建设将使得企业的管理水平与国际先进水平接轨，从而成长为企业向国际化发展与合作的有力支撑。

其次，信息安全是企业发展的需要。企业的信息化建设带来了生产效率提高、成本降低、业务拓展等诸多好处。当前越来越多的企业信息和数据，都是以电子文档的形式存在，对企业来说，信息安全是使企业信息不受威胁和侵害的保证，是企业发展的基本保障，所以，在积极防御，综合防范的方针指导下，有效地防范和规避风险，建立起一套切实可行的长效防范机制，逐步建立起信息安全保障体系，有利于企业的发展。

最后，信息安全是企业稳定的必要前提。信息安全成为保障和促进企业稳定和信息化发展的重点，要充分认识信息安全工作的紧迫感和长期性，从企业的安全、经济发展、企业稳定和保护企业利益的角度来思考问题，扎扎实实地做好基础性工作和基础设施建设，在建立信息安全保障体系的过程中，必须搞好链接信息安全保障体系建设安全、建设健康的网络环境，关注信息战略，保障和促进信息化的健康发展。

2 企业信息安全的现状

我国企业信息安全包括计算机系统的硬、软件及系统中的数据受到保护，不受偶然的或恶意的原因而遭到破坏、更改、泄露，使得系统连续、可靠、正常的运行，网络服务不中断。计算机和网络技术具有复杂性和多样性，使得企业信息安全成为一个需要持续更新和提高的领域。就目前来看，主要存在以下三个方面的隐患。

2.1 企业缺少信息安全管理制度

企业信息安全是一个比较新的领域，目前还缺少比较完善的法规，现有的法规，由于相关安全技术和手段还没有成熟和标准化，法规也不能很好地被执行，安全标准和规范的缺少，导致无从制定合理的安全策略并确保此策略能被有效执行。企业的信息系统安全问题是一个系统工程，涉及到计算机技术和网络技术以及管理等方方面面，同时，随着信息系统的延伸和新兴技术集成应用升级换代，它又是一个不断发展的动态过程。因此对企业信息系统运行风险和安全需求应进行同期化的管理，不断制定和调整安全策略，只有这样，才能在享受企业信息系统便利高效的同时，把握住信息系统安全的大门。

2.2 员工缺少安全管理的责任心

一个企业的信息系统是企业全体人员参与的，不考虑全员参与的信息安全方案，恰恰忽视信息安全中最关键的因素――人，因为他们才是企业信息系统的提供者和使用者，他们是影响信息安全系统能否达到预期要求的决定因素。在众多的攻击行为和事件中，发生最多的安全事件是信息泄露事件。攻击者主要来自企业内部，而不是来自企业外部的黑客等攻击者，安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄露事件。针对内部员工的泄密行为，目前还没有成熟的、全面的解决，对于来自企业信息内部信息泄密的安全问题，一直是整个信息安全保障体系的难点和弱点所在。

2.3 信息系统缺乏信息安全技术

计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。由于认识能力和技术发展的局限性，在硬件和软件设计过程中，难免留下技术缺陷，网络硬件、软件系统多数依靠进口，由此可造成企业信息安全的隐患，现在黑客的攻击并不是为了破坏底层系统，而是为了入侵应用，窃取数据，带有明显的商业目的，许多黑客就是通过计算机操作系统的漏洞和后门程序进入企业信息系统。随着网络应用要求的越来越多，针对应用的攻击也越来越多，除了在管理制度上确保信息安全外，还要在技术上确保信息安全。

3 企业信息安全中存在的问题

信息时代的到来，从根本上改变了企业经营形式，企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。由于我国企业信息安全工作还处于起步阶段，基础薄弱，导致信息安全存在一些亟待解决的问题。比较常见的问题有病毒危害、“黑客”攻击和网络攻击等，这些问题给企业造成直接的经济损失，成为企业信息安全的最大威胁，使企业信息安全存在着风险因素。

3.1 病毒危害

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，它是具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾，几乎无孔不入，据统计，计算机病毒的种类已经超过4万多种，而且还在以每年40%的速度在递增，随着Internet技术的发展，病毒在企业信息系统中传播的速度越来越快，其破坏性也越来越来越强。

3.2 “黑客”攻击

“黑客”是英文Hacker的谐音，黑客是利用技术手段进入其权限以外的计算机系统的人。黑客破解或破坏某个程序、系统及网络安全，或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统，盗窃系统保密信息，进行信息破坏或占用系统资源，黑客攻击已经成为近年来经常出现的问题。

3.3 网络攻击

网络攻击就是对网络安全威胁的具体表现，利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。尤其是在最近几年里，网络攻击技术和攻击工具有了新的发展趋势，使借助Internet运行业务的企业面临着前所未有的风险。由此可知，企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全，就必须找出存在信息安全问题的根源，并具有良好的安全管理策略。

4 企业信息安全的解决方案

为确保企业信息安全，要坚持积极防御，综合防范的方针，全面提高信息安全防护能力。因此，面对企业信息安全的现状和企业信息安全发展中出现的问题，必须实施对企业的信息安全管理，建设信息安全管理体系，只有建立完善的安全管理制度，将信息安全管理自始至终贯彻落实于信息管理系统的方方面面，企业信息安全才能得以实现。企业信息安全的解决方案，具体表现在以下三个方面：

4.1 建立完善的安全管理体系

完整的企业信息系统安全管理体系首先要建立完善的组织体系，完成制定并信息安全管理规范和建立信息安全管理组织等工作，保障信息安全措施的落实以及信息安全体系自身的不断完善。并建立一套信息安全规范，详细说明各种信息安全策略。一个详细的信息安全规划可以减轻对于人的因素带来的信息安全问题。最基本的企业安全管理过程包括：采用科学的企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型、建立科学的可实施的安全策略，采取规范的安全防范措施、选用可靠稳定的安全产品等。安全防范体系的建立不是一劳永逸的，企业网络信息自身的情况不断变化，新的安全问题不断涌现，必须根据暴露出的一些问题，进行更新，保证网络安全防范体系的良性发展，

4.2 提高企业员工的安全意识

科技以人为本，在信息安全方面也是靠人来维护企业的利益，我们在企业信息网络巩固正面防护的时候不能忽视对人的行为规范和绩效管理。企业员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。企业应当制定企业人员信息安全行为规范，必须有专门管理人才，才能有效地实现企业安全、可靠、稳定运行，保证企业信息安全。教育培训是培训信息安全人才的重要手段，企业可以对所有相关人员进行经常性的安全培训，强化技术人员对信息安全的重视，提升使用人员的安全观念，有针对性的开展安全意识宣传教育，逐步提高员工的安全意识，强调人的作用，使他们明确企业各级组织和人员的安全权限和责任，使他们的行为符合整个安全策略的要求。

4.3 不断优化企业信息安全技术

企业一旦制定了一套详细的安全规划来武装自己，保护其智力资产，它就开始投入到选择采用正确信息安全技术上。可供企业选择的防止信息安全漏洞的安全技术有很多。当企业选择采用何种技术时，首先了解信息安全的三个领域是十分有帮助的，这三个领域变得：验证与授权、预防和抵制、检测和响应。其中，用户验证是确认用户身份的一种方法，一旦系统确认了用户身份，那么它就可以决定该用户的访问权限，比如使用用户名和密码。预防和抵抗技术是指企业阻止入侵者访问。对于任何企业，必须对那些故障做好准备和预测，目前可以帮助预防和建设抵抗攻击的技术主要有内容过滤、加密和防火墙，在选用防火墙的时候，需要对所安装的防火墙做一些攻击测试。此外，企业信息安全的最后一道屏障是探测和反应技术，最常见的探测和反应技术是杀毒软件。

5 结语

总之，企业信息安全是一项复杂的系统工程，企业要适应现代化发展的需要，要提高自身信息安全意识，加强对信息安全风险防范意识的认识，重视安全策略的施行及安全教育，必须做到管理和技术并重，安全技术必须结合安全措施，并加强信息安全立法和执法的力度，建立备份和恢复机制， 为企业设计适合实际情况的安全解决方案，制定正确和采取适当的安全策略和安全机制，保证企业安全体系处于应有的健康状态。

参考文献：

[1]张帆，企业信息安全威胁分析与安全策略[J].网络安全技术与应用，2007（5）.

[2]谌晓欢，企业信息安全问题及解决方案[J].企业技术开发，2008（8）.

[3]付沙，企业信息安全策略的研究与探讨[J].商场现代化，2007（26）.

[4]姜桦、郭永利，企业信息安全策略研究[J].焦作大学学报，2009（1）.