企业网络安全隐患范文

导语：如何才能写好一篇企业网络安全隐患，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词：企业网络；网络安全；安全体系

前言

由于计算机与通信技术的快速发展，人们的工作方式以及生活方式都因为网络而逐步的发生改变。网络的共享性、开放性以及互联性程度逐渐扩大，对社会的影响也日益增大，网络也成为企业发展的主题。随着企业的信息化、办公的全球化以及网络贸易等业务的出现，网络安全也变得日益重要。为了保证企业网络自身的安全性，必须采取有效的手段面对网络中的各种威胁[1]。

1 企业网络的威胁及其风险管理

企业网络的信息是自由传输的，尽管有各种各样的方式威胁着企业网络的安全，但终究都是由于信息的泄露以及信息资源的破坏。所以应从下列几点解决对企业网络构成的威胁，并根据这些威胁所导致的企业风险进行有效管理。首先，企业一定要确定哪些关键的内容或资产需要被保护。明确什么设备需要被保护，针对设备可以提供什么样的访问和怎么协调这样的工作。其次，评估需要进行网络安全保护的资源和财产。最后，分析所有对企业网络安全的可能威胁，并评估每个威胁的可能攻击性。威胁是指可能对网络和其中信息资源造成损失，它可以是偶然的，也可以是刻意的。威胁有很多方式，一般可以简单归纳为以下三种基本的类型：

1 未经授权的访问。指未经过授权的人员却可以访问网络资产，而且也存在对网络资产进行篡改的可能。

2 假冒。指由于伪造的凭证假冒其他人进行活动。

3 拒绝服务。指服务中断。

2 企业信息化的网络安全策略体系[2]

网络的安全策略是对网络的安全进行管理指导与支持。企业应该为网络安全制定一套安全方针，而且在内部网络的安全策略以及身份证明，从而为网络安全提供支持和认证。

2.1 安全策略的文档结构

a) 最高方针。是安全策略的主文档，属于纲领性的。陈述安全策略的适用范围、支持目标、对网络安全管理的意图、目的以及其它指导原则，网络安全各个方面所应遵守的原则方法和指导性策略。

b) 技术的规范与标准。其内容包含：各个主机的操作系统、网络设备以及主要应用程序等应该遵守的管理技术的标准、安全配置以及规范。

c) 管理的制度与规定.其中包含各种管理办法、管理规定或是暂行规定。从最高方针中引出一些具体的管理规定、实施办法以及管理办法。得到的规定或办法不但可操作，还能有效的推广及实行,是由最高方针引申而来，对用户协议具有规范作用。而用户协议对其不能违背。

d) 组织机构以及人员的职责。负责安全管理的组织机构以及人员职责，包含负责安全管理的机构的组织形式以及运作方式，还有机构与人员的具体责任或是连带责任。是机构及员工工作时的依照标准。具有可操作性，需得到有效推广及实行。

e) 用户的协议。与用户所签署的文档及协议，包含安全管理的网络、人员以及系统管理员的保密协议、安全使用承诺、安全责任书等等。作为用户及员工在日常工作中承诺遵守规定，并在违反安全规定时的处罚依据[3]。

2.2 建立策略体系

目前，大部分企业都缺少完整的策略体系。也没有使其成为可操作的、成文的、正式的策略以及规定来体现出机关或是企业高层对于网络安全性的重视。企业应该建立好网络安全的策略体系，制定出安全策略的系列文档。

建议企业按照上文描述的安全策略的文档结构进行文档体系的建立。企业的安全策略的编制原则是一个一体式的企业安全的策略体系，其内容可以覆盖到企业中的全部人员、部门、网络、地点以及分支机构。目前，由于企业中机构间的网络现状与业务情况的差别较大，所以在基本的策略体系和框架下，可以让各个机构以自身情况为基础，对策略和体系中的组织、用户协议、操作流程、管理制度以及人员的职责逐步地细化。但细化后的策略所要求的安全程度不允许下降。

2.3 策略的与执行

企业网络安全的策略系列文档在制定完成后，必须得到以及有效执行。与执行的过程除了需要得到高层领导的支持与推动外，而且还要有可行的、合适的以及正确的推动手段。同时在策略与执行前，还需要对每个员工进行相关的培训，以确保每个员工都掌握与内容中其相关的部分。而且还要明白这是一个艰苦的、长期的工作，需要经过艰苦努力。况且由于牵涉到企业内众多部门与大部分员工，工作的方式与流程可能还需要改变，所以其推行难度相当大；同时，安全策略的本身还可能存在这样那样的缺陷，例如太过复杂及繁琐、不切实际以及规定有所缺欠等，都会影响到整体策略的落实[4]。

3 企业信息化网络安全技术的总体方案

3.1 引入防火墙系统[5]

通过引入防火墙系统，可以利用防火墙功能中的“访问控制+边界隔离”，从而实现控制企业网进出的访问。尤其是对一些内部服务器进行资源访问的，可以重点进行监控，以提高企业网络层面的安全。防火墙的子系统还能够与入侵检测的子系统联动，当入侵检测的系统对数据包进行检测，发现异常并告知防火墙时，防火墙可以生成相应的安全策略，并将访问源拒绝于防火墙之外。

3.2 引入网络防病毒的子系统

防病毒的子系统是用来对网络病毒进行实时查杀的，从而保证企业免遭病毒的危害。企业需要在内部部署邮件级、服务器级、个人主机级和网关级的病毒防护。在整体范围内提高系统的防御能力，提高企业网络层面安全性。

3.3 引入漏洞扫描的子系统

漏洞扫描的子系统可以定期分析安全隐患，并在其萌牙状态时就把安全隐患消灭。由于企业网络中包含众多类型的数据库系统和操作系统，还运行着人力资源系统、产品管理系统、客户的信息系统、财务系统等诸多重要系统，如何确保众多信息的安全以及各类系统的稳定应用，便成为需要高度关注的重点。对漏洞扫描的子系统进行定期扫描，并在定期扫描后提交漏洞和弱点分析报告，可使企业网的整体系统的安全性得以提高。

3.4 引入数据加密的子系统

对企业网重要的数据进行加密，以确保数据以密文的形式在网络中被传递。能够有效防范窃取企业重要的数据，可以使企业网络的整体安全性得以提高。

4 结语

通过以上对企业网络的安全和隐患进行的着重分析，提出了保护企业信息安全的解决方法。由于网络技术的快速发展和应用的广泛，所以对于企业网络安全的建设，需要遵循一个稳定的体系框架，同时还要不断更新技术。这样才能有效地降低企业网络安全隐患的系数，进一步保证企业信息化在网络时代能够更安全、更健康的发展。

参考文献

[1] 顾晟. 企业信息化网络的安全隐患及解决策略[J].计算机时代，2010，3：19~22.

[2]丁国华，丁国强. 企业网络安全体系研究[J].福建电脑，2007，2：66~67.

[3]陆耀宾. 企业网络安全体系结构[J].电子工程师，2004，4：55~56.

篇2

关键词：企业网络；安全管理；维护

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2011) 06-0000-01

Enterprise Network Security Management and Maintenance

Xiang Yijun

(Quzhou City Company of Zhejiang Tobacco Company,Quzhou324000,China)

Abstract:With the rapid development of science and technology,the popularity of computer networks have become more sophisticated,many companies are using the network of office and trade.However,with the popularity,there have been some corporate network security risks.This article from the corporate network security risks exist starting from the perspective of management and maintenance measures for the two talk about the how to strengthen the security of enterprise networks.

Keywords:Enterprise network;Safety management;Maintenance

一、企业网络的安全隐患

（一）网络系统中存在安全隐患。目前，现代企业网络大多采用以广播技术为基础的快速以太网的类型，传输协议通常为TCP/IP协议，站点以CSMA/CD机制进行传输信息，网络中任何两个节点之间的通信数据包，不仅能够被这两个节点的网瞳所接受，同时又无法避免地被处在同一以太网上的任何一个节点的网卡截取。因此，只要能够接入以太网上的任一节点进行侦听，就可以捕获发生在该以太网上的所有信息，对侦听到信息加以分析，就能窃取到关键信息。这是企业网络安全存在的普遍安全隐患。通常，大多数企业由于网络建设经费的不足，没有相应的网络安全设备，对企业的网络安全也没有有效的安全预警措施和防范手段。

（二）缺少专业的网络技术管理人员。企业大多都没自己专业的网络技术管理人员。企业对网络的出口、网络监控等都缺乏有效的技术管理，而且企业内部上网用户的身份无法一一识别，这也存在着极大的安全隐患。

（三）电子邮件的收发系统不完善，缺乏安全管理和监督的手段。企业收发电子邮件是网络办公的一项基础活动，但是这个活动也是最容易感染病毒和垃圾的途径。而企业大多在公司内部网络中没有设置邮件过滤系统，对邮件的监督和管理都不完善，同时，这也不符合国家对安全邮件系统提出的要求，即使出现了侵害企业利益的事件也无法及时有效地解决。

（四）网络病毒的肆虐。只要上网便不可避免的会受到病毒的侵袭。一旦沾染病毒，就会造成企业的网络性能急剧下降，还会造成很多重要数据的丢失，给企业带来巨大的损失。

二、加强对企业网络安全的管理

（一）建立健全企业关于网络安全的规章制度。只有建立了完善的规章制度，企业的各项工作才能得以顺利开展。企业要针对网络的安全责任和惩戒措施做出详细的书面规定，并进行相关制度的学习工作，让企业内部的员工都对网络安全的规章制度有所了解。对违反制度的人员要进行严厉处罚，同时，企业还要建立并完善企业内部的安全保密制度。

（二）规范企业网络管理员的行为。企业内部安全岗位的工作人员要经常进行轮换工作，在公司条件允许的情况下，可以每项工作指派两到三人共同参与，形成制约机制。网络管理员每天都要认真的查看日志，通过日志来清楚的发现有无外来人员进入公司网络，以便做出应对策略。

（三）规范企业员工的上网行为。根据每个员工的上网习惯不同，很多员工会把在家里使用电脑的不良习惯带到公司里来。这就要求企业要制定规范，规定员工的上网行为，如免费软件、共享软件等没有充分安全保证的软件尽量不要安装，同时，还要培养企业员工的网络安全意识，注意病毒的防范和查杀的问题，增强计算机保护方面的知识。

（四）加强企业员工的网络安全培训。企业网络安全的培训大致可以包括理论培训、产品培训、业务培训等。通过培训可以有效解决企业的网络安全问题，同时，还能减少企业进行网络安全修护的费用。

三、企业网络安全的维护措施

（一）使用防火墙技术。防火墙技术采用的核心思想是在相对不安全的网络环境中建构一个相对安全的子网，也是目前国际上最流行、使用范围最广的一种网络安全的技术。防火墙可以监控进出网络的通信数据，让允许访问的计算机和数据进入内部网络，将不允许进入计算机的数据拒之门外，限制一般人员访问内网及特殊站点，最大限度地阻止网络中的黑客访问企业内部网络，防止他们更改、拷贝、毁坏重要信息。因此，防火墙可以有效阻挡外网的攻击。目前，为了提高企业网络的安全性，企业网络中的防火墙设置一般遵循以下原则：依照企业的网络安全策略及安全目标，设置有效的安全过滤规则，严格控制外网不必要的的访问；配置只允许在局域网内部使用的计算机的IP地址，供防火墙识别，以保证内网中的计算机之间能正确地进行文件或打印机等资源的共享。

（二）数据加密技术。企业如果要通过外网传送一些比较重要的机密文件和数据，则必须使用加密技术对文件和数据进行保护。加密技术和防火墙技术的配合使用，可以大幅度提高信息系统和数据的安全性，有效地做到防止文件和数据外漏的危险。

（三）入侵检测技术。在不良的企业竞争中，会有许多入侵其他企业的网络、盗取商业机密的现象出现。为确保企业的信息安全，可以在企业网络中安装入侵检测系统，这样就可以从计算机网络的若干关键点收集信息，并分析这些信息，从中发现公司的网络中是否存在违反安全策略的行为和入侵迹象，系统一旦检测到可疑的地址，便会自动切断入侵者的通信，并及时发送警告给企业的网络管理员，对企业的信息进行有效地安全保护。

四、结语

在企业的信息化建设过程中，企业的网络安全和稳定是信息化建设发展的基础。随着信息技术的发展，企业的网络安全将受到更大的威胁，这就要求企业的领导、技术人员以及普通员工都要不断提高自身的网络安全意识，切实保证企业网络的安全、稳定运行。

参考文献：

[1]万长有.企业网络安全技术防范措施[J].民营科技,2009,12

篇3

计算机网络起源于二十世纪六十年代，最早是由美国国防部高级研究计划署（ARPA）进行的。ARPA投资推进计算机网络的研究研发，1969年建成了著名的Internet的前身ARPANET，后来随着计算机技术的不断发展，形成了以ARPANET为主干的Internet雏形，直至今日互联网的诞生。在当今的网络环境下，物理安全、网络结构安全、系统安全、管理安全等都会对网络安全造成影响。因此，为了维护网络环境的安全，网络安全技术是必不可少的。随着国家网络信息化的不断建设与发展，各个企业都根据自己公司的需要，建成了符合公司要求的企业网，使企业员工可以很方便的访问企业的通信资源、处理器资源、存贮器资源、信息资源等。但是建立企业网就不得不面对复杂恶劣的网络环境，因为网络安全技术的不成熟，使不少企业的网络信息资源丢失或被篡改，给企业带来了不小的损失。因此，影响网络安全的因素成了企业建立企业网不得不解决的重大难题，网络安全技术也被越来越多的企业重视[1]。

2影响网络安全的因素

2.1网络协议自身的安全缺陷。Intrenet是一个自身网络协议开放的信息共享系统，网络协议是信息共享的关键环节，当前常用的网络协议是TCP/IP协议、IPX/SPX协议、NerBEUI协议等。正是因为这些网络协议，网络信息共享才会实现，但是网络协议是存在着安全缺陷的，TCP/IP协议是目前使用最为广泛的网络协议，它的安全性，关系着整个Internet的安全。由于TCP/IP协议在设计时未考虑到自身的安全性问题，所以很容易受到“骇客”的攻击，其安全性是没有保障的[2]。

2.2软硬件的安全缺陷。网络硬件设施是构成互联网不可或缺的一大组成部分，但是其自身的安全性十分脆弱，主要表现为：a.网络与计算机存在电磁信息泄漏；b.通讯部分的脆弱性，通讯线路一般是电话线、专线、微波、光缆。在进行信息数据进行传输时，前三种线路上的信息容易被截取。c.计算机操作系统的缺陷。此外，软件的缺陷也是影响网络安全的重要因素，软件的缺陷是软件具有的先天特征，无论是小程序还是大型的软件系统，都有这样那样的缺陷，目前大多数网络病毒就是以软件的形式在互联网中传播，其影响不容小觑。

3国内企业网络安全的现状

随着通讯工程和电子信息技术的快速发展，互联网已经成为当今社会不可或缺的一个组成部分，已经渗透到了经济、生活等各个领域之中。为了更好的分享、利用网络信息资源，各大企业都积极的组建和发展自己的企业网。伴随着网络的发展，各种各样的网络安全问题相继而生，网络安全隐患日益突出，引起了社会各界的广泛关注。然而，企业之间的网络硬件设施却是参差不齐的，经济实力的强弱直接决定着企业网络建设和硬件水平的高低。目前，企业网络中的具有安全防护特性的硬件设备主要有：防火墙、入侵检测系统、安全路由器和交换机。一些企业的网络建设经费可能会有些不足，对网络安全的要求只能满足其最基本的使用要求，对于企业网络硬件基础平台的安全性来说，这种投入明显是不够的。此外，企业之间的技术管理水平也存明显的高低差距，企业的经济水平直接决定了该企业在网络技术能力上的强弱，具有一定经验的网络从业者都集中在大型的企业或组织机构。中小型企业或组织机构中严重缺乏专业的技术人员。由于缺乏相应的网络安全管理制度，企业员工的网络应用水平普遍偏低，缺乏网络安全意识。对此，企业应加强员工的网络安全意识，完善网络安全管理制度，如此才能确保网络环境的安全[3]。

4网络安全技术在企业网的应用措施

4.1物理环境的安全应用措施。物理环境安全包括设备的软硬件安全，通讯线路安全，运行环境安全等等方面。通讯线路的安全的可以防止信息数据在传输的线路上被拦截或篡改，为了使信息数据传输更加的安全，可以选择安全性更高的光纤作为传输介质，防止数据被拦截或篡改。此外，对于网络的依赖性比较大的企业，一旦停电或者断电，就会对企业会造成不必要的损失，为了预防这种情况发生，企业应该安装不间断电源（UPS），避免这种情况发生。同时，网络中断也会对企业造成比较大的损失，为了确保通讯线路的畅通，企业做好冗余备份是必要的选择，冗余备份就是多准备一份或者几份，以备不时之需。如此一来，当一条通讯线路出了问题或者故障，导致网络中断时，会自动选择冗余备份的线路，以确保网络连接不被中断，避免不必要的损失。

4.2操作系统的安全应用措施。操作系统的安全性直接影响到网络的安全，由于种种原因，计算机的操作系统存在着比较多的系统漏洞（BUG）。目前大多数网络攻击就是利用BUG进行恶意攻击。为了预防这种情况发生，用户需要定期对计算机进行系统检查与修复，可以到微软官网上下载适合系统的补丁进行修复[4]。

4.3网络配置的安全应用措施。网络配置的安全应用对于企业网的安全是至关重要的，为了有效地预防网络攻击及病毒入侵，需要合理安装和设置防火墙、补丁系统、网络杀毒软件等等。此外，还要对账号密码进行有效的保护；关闭不需要的服务和端口；定期对服务器进行备份；检测系统日志。

4.4网络的安全应用措施。为了更容易的获取信息资源，大多数的企业网都与外网进行了连接，这样做在方便了自己的同时，也很可能产生一些安全隐患。比如通过聊天工具传播一些恶意软件或网络诈骗信息等。这样的安全隐患也可能是企业员工在浏览网页的过程中不经意的触发了一些不安全链接，进而带入了一些恶意软件，使企业网的数据资源失窃或被篡改。为了有效防止这种情况的发生，企业网络用户在上网时，要时刻保持警惕，不要轻易的相信来自网络中的任何信息，对任何一个要进入网络的人，都要进行必要的身份认证。面对有些需要在网络上进行共享的信息时，企业网络用户要采取一定的措施来保证信息的安全，避免信息的泄漏。此外，企业网络用户还要坚决抵制恶意网站，拒绝恶意请求，确保网络的安全应用。

5结束语

篇4

[关键词]企业 内部网络 安全防护 网络病毒 防火墙

中图分类号：D922.21 文献标识码：A 文章编号：1009-914X（2015）46-0073-01

近年来，信息技术在企业的管理中获得了广泛的应用，企业的许多重要商业数据、核心技术等都以信息数据的形式储存在企业的网络服务系统中。一旦这些数据遭到了窃取和泄露，将会对企业造成严重的经济损失。因此，企业内部网络安全防护系统的建设和完善具有重要的意义。

1.企业内部网络常见的安全问题

1.1 内部的网络安全威胁

一些企业中存在具有一定网络技术的员工，他们有时会出于个人的兴趣或利益对企业的内部网络系统进行恶意的入侵，窃取或篡改相关的信息。这一类的网络安全威胁影响是最大的，因为很难对这种行为进行防范。企业内部的工作人员对企业的网络系统十分了解，能够快速的找出系统中的漏洞和薄弱环节，一旦他们对网络进行攻击，很难进行抵挡和防范。

1.2 网络病毒的攻击

网络病毒也是影响企业内部网络系统安全性的主要因素之一。网络病毒具有很强的感染性和侵入性，并且能够通过对程序的篡改、破坏等删除和伪造文件，对网络系统产生极大的破坏。一旦网络系统中的一台服务器受到了病毒感染，很有可能在极短的时间内就造成整个网络系统的瘫痪，影响工作的正常开展，给企业造成严重的经济损失。

1.3 软件后门

企业的网络系统中有许多类型的软件，一旦这些软件中存在漏洞，就会给黑客入侵产生机会。若网络软件被黑客所控制，将会造成严重的后果。一些企业即使采取了物理隔离的方式对黑客的入侵进行了防范，但无法从根本上阻止黑客的入侵行为，企业数据信息被窃取的现象仍时有发生。当前市面上已经出现了一些软件能够突破企业网络安全系统的物理防护，在不被察觉的情况下窃取企业的信息。

2.企业内部网络安全防护的策略

企业的网络安全防护应当基于一定的体系，根据造成网络安全隐患的因素来制定合理的防护策略。良好的安全防护技术是网络安全的前提和保证，但仅仅依靠良好的技术是远远不够的，企业还应该加强对网络环境的维护和管理，确保网络安全维护技术能够得到有效的发挥，确保安全系统的安全、稳定运行。

2.1 部署网络防病毒系统

企业应当对内部的网络系统设置一定的网络防病毒体系，对局域网内的所有计算机安装一定的防病毒程序，实现对网络系统的实时保护。网络防病毒系统还能实现对服务器的统一管理，管理人员只需要定期的进行杀毒，就能极大的提高网络系统对病毒的抵御能力，提高系统的安全性。

2.2 部署防火墙

防火墙是网络系统的安全屏障，其实质是在用户端与内部网络之间设置了一定的阻碍，只有拥有一定权限和身份认证的用户才能登陆企业的内部网络系统。企业在设置防火墙后可以进行访问权限的限制，并设置相应的防火墙策略，规定允许流通的信息和数据，实现对服务器的访问内容监控。防火墙在提高系统安全性的效果上十分显著，能够有效的过滤信息中存在安全隐患的内容。

2.3 部署入侵检测系统

入侵检测系统可以对网络的信息传输进行实时的监控，一旦发现有身份不明的入侵者或非正常的操作行为，就能及时通知网络管理人员采取相应的措施进行处理。此外，入侵检测系统还会对每天的检测情况产生相应的报告，管理人员只需定期查看相应的报告，就能了解近期内网络的运行情况以及系统中的薄弱环节，从而采取有效的措施进行处理。入侵检测系统还可以与防火墙进行联合使用，加强网络的稳定性。当入侵系统检测到安全隐患时，可以立即启动防火墙对入侵行为进行限制。

2.4 配置漏洞扫描系统

当前，大多数企业网络系统的安全问题不是由加密系统或设备的落后引起的，而是由于网络系统存在的漏洞而引起的。许多黑客就是利用企业网络系统中的漏洞对系统进行攻击和入侵漏洞扫描系统能够对网络系统中的漏洞进行及时的检测，并对可能存在漏洞的环节进行逐一的检测和排查，根据检测结果提出相应的处理方案，并产生系统的检测报告。

2.5 部署网络流量分析系统

网络的利用率是通过网络流量的形式体现出来的，它是反映网络运行状态的重要参数。当网络利用率达到一定的上限时，网络会出现异常的状况，导致很多程序都无法正常的运行，给病毒、黑客的入侵提供了机会。网络流量分析可以对系统的流量变化进行有效的监控，及时发现异常的网络行为，为管理人员的管理提供必要的数据。

2.6 部署内网安全审计系统

内网安全审计系统主要是针对网络用户的一种监督方式。内网安全审计包括行为审计和内容审计，分别对用户操作行为和具体的操作内容进行了监控。通过内网安全审计，网络管理人员能够及时的察觉威胁网络安全的行为，采取有效的措施来规避这些行为对网络安全造成影响。

2.7 部署补丁分发行为

补丁分发是提供网络安全系统完善性的有效手段。系统在运行的过程中会不断出现各种各样的漏洞，这就需要补丁来进行加固和完善。及时的安装补丁能够有效的填补网络漏洞，起到有效的维护网络安全的作用。

2.8 加强对企业员工的网络安全培训

许多企业内部网络的安全问题都是由于员工不正当的网络操作引起的，因此提供员工的网络安全意识对于提高网络安全性具有重要的意义。为此，企业应当定期对员工进行网络安全操作的培训，增强员工的安全防范意识，并教育员工遵守相关的法律法规，避免内部违规操作。

3.结语

在企业信息化管理的进程中，必须做好网络系统安全性的提升，有效防范信息技术应用所带来的安全隐患，通过技术的创新和制度的完善提高网络安全防护的质量和效果，为企业的发展提供一个安全的网络环境。

参考文献

[1] 孙剑.计算机网络安全隐患与防范策略探讨[J].计算机光盘软件与应用，2010（05）：96-98.

[2] 周观民.计算机网络信息安全及对策研究[J].信息安全与技术，2O11（06）：15-16.

[3] 丁海.浅谈企业内部网络安全防护策略[J].信息通信，2012（06）：12-13.

篇5

关键词：中小企业；网络安全；企业网络；架构

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2012） 20-0000-02

1 中小型企业网络安全

1.1 中小型企业网络安全概念。国际组织（ISO）对网络安全规定为在网络间进行数据处理系统建立是所采取的相应的安全技术，这些技术可以对网络进行时时监控和安全，并保证不让任何人使用的程序通过网络来进行计算机，并始终通过网络有效的保证计算机算硬件的安全，不通过网络泄露个人或者企业等单位的秘密。以此我们可以这样理解中小型企业网络安全为是通过采用各种高科技技术和一定的管理措施，使的中小企业网络系统能够进行正常运作，进而来保证中小企业网络数据的可用性、完整性和保密性。

1.2 中小型企业网络职能。一个安全的中小企业网络职能应该是具有一定的可靠性、可用性、完整性、保密性和真实性等的。中小企业网络的安全不仅要保护企业内部的计算机网络设备的安全和计算机网络系统安全，更重要的是要对企业数据安全的保护。所以对于一个中小型企业来说网络安全最终的职能就是保护企业重要的信息数据。

2 中小型企业信息网络安全的困惑

2.1 中小企业信息网络操作系统安全的困惑。中小型企业经常出现的困惑就是针对信息网络操作时出现的安全困惑，所谓中小型企业信息网络操作系统安全就是指通常是指进行信息网络操作系统的安全。操作系统的某一合法用户可任意运行一段程序来修改该用户拥有的文件访问控制信息，而操作系统无法区别这种修改是用户自己的合法操作还是计算机病毒的非法操作；另外，也没有什么一般的方法能够防止计算机病毒将信息通过共享客体从一个进程传送给另一个进程。为此，中小型企业认识到必须采取更强有力的访问控制手段，这就是强制访问控制。在强制访问控制中，系统对主体与客体都分配一个特殊的一般不能更改的安全属性，系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。中小型企业为某个目的而运行的程序，不能改变它自己及任何其它客体的安全属性，包括该用户自己拥有的客体。强制访问控制还可以阻止某个进程生成共享文件并通过这个共享文件向其它进程传递信息。目前来说中小型企业的信息网络操作系统多为Windows和UNIX操作系统，这些操作系统本身就有自身的网络安全漏洞，因为操作系统本身都是有后门的，而这些后门和安全漏洞都将存在重大的信息网络安全隐患，造成中小企业信息网络的安全困惑。所以这就要求在进行中小型企业信息网络系统安装时，不只要考虑到企业的自身需求，更多的时候要考虑到中小型企业的信息网络安全，不能因为系统的安装造成过大的中小型企业信息安全的困惑。

2.2 中小企业信息网络应用安全的困惑。现阶段我国的中小型企业网络安全应用仅网络系统就存在很大的安全隐患，系统、应用和数据的安全存在较大的风险。目前，实施的安全方案是基于当时的认识进行的，主要工作集中于网络安全，对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证，对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段，很容易被冒充；又如数据备份缺乏整体方案和制度规范，容易造成重要数据的丢失和泄露。当时的网络安全的基本是一种外部网络安全的概念，是基于这样一种信任模型的，即网络内部的用户都是可信的。在这种信任模型下，假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部，并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。针对外部网络安全，人们提出了内部网络安全的概念，它基于这样一种信任模型：所有的用户都是不可信的。在这种信任模型中，假设所有用户都可能对信息安全造成威胁，并且可以各种更加方便的手段对信息安全造成威胁，比如内部人员可以直接对重要的服务器进行操控从而破坏信息，或者从内部网络访问服务器，下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。美国联邦调查局（FBI）和计算机安全机构（CSI）等权威机构的研究也证明了这一点：超过80%的信息安全隐患是来自组织内部，这些隐患直接导致了信息被内部人员所窃取和破坏。信息系统的安全防范是一个动态过程，某公司缺乏相关的规章制度、技术规范，也没有选用有关的安全服务。不能充分发挥安全产品的效能。

2.3 中小企业信息网络管理安全的困惑。中小型企业信息网络管理方面存在的安全困惑主要包括了，中小型企业的内部管理人员们或者是员工们图方便省事，对自身的计算机不进行密码的设置，没用自己的用户口令，或者是有些管理者和员工设置的密码和口令过短或者是过于简单，这样就导致密码和口令很容易被破解，这样来当出现了信息网络的安全问题时，容易责任不清，并且很难一下就找到问题出现的计算机，因为整个公司都使用相同的用户名和口令，使得整体信息网络的管理出现严重的混乱，并且容易出现企业重要信息的泄密。进行中小型企业信息网络管理是信息网络安全的重要组成部分，是能保证中小型企业信息网络安全的重要组成部分，是可以对外来病毒进行防止的重要环节，是中小型企业内部信息网络不被入侵必须的部分。也是中小型企业信息网络暗中的管理困惑，是普遍中小型企业都会存在的困惑之一。

3 如何进行中小型企业信息网络安全的架构

3.1 中小型企业信息网络安全架构Internet的接入。中小型企业信息网络安全构架中Internet的接入，多是采用了PIX515作为外部边缘得防火墙设备，中小型企业内部的用户登录则是通过互联网时会经过NetEye防火墙，然后再由PIX映射到互联网。PIX与NetEye之间形成了DMZ映射区，这是一种需要进行提供互联网服务的邮件服务和Web服务器等防止在该DMZ区内。中小型企业进行此防火墙的安全策略步骤是：首先要从Internet上设置只能访问到DMZ内Web服务器的80端口和邮件服务器的25端口，其次，则是要从Internet和DMZ区设定出不能进行访问内部网任何资源，最后则是要从Internet进行访问内部网资源的时候只能通过VPN系统进行。

3.2 中小型企业信息网络安全架构用户的认证。中小型企业信息网络安全架构的用户认证系统主要就是用于解决通过电话进行拨号时出现的安全问题和通过VPN进行接入时出现的安全问题，信息网络安全架构的用户认证系统是目前为止运用最为完善的系统用户认证系统、访问控制系统和使用审计系统方面的功能来增强信息网络系统的安全性，并采用了目前为止最为高端的ACS用户认证系统。中小型企业的ERP系统一般采用C/S（客户机/服务器）体系结构，架构于企业内网Intranet上。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输；VPN还可用于不断增长的移动用户的全球互联网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路。在信息网络的主域服务器上安装Radius服务器，在Cisco拨号路由器和PIX防火墙上配置了Radius客户端。这样当任何人进行电话拨号和VPN用户身份认证时，就会在Radius的服务器上直接进行，这样一来用户账号就会集中的在主域服务器上进行开设。这样做就可以在系统中设置较为严格的用户访问策略和口令策略，能有效的强制使用用户进行定期的口令修改。

综上所述，中小型企业信息网络安全保障是开展其它一切业务往来与技术交流的关键，要想企业长足发展，必须重视信息网络安全的构建。

参考文献：

篇6

一、构建企业网络安全系统的运行机制

构建运行机制，为企业网络安全系统提供保障[1]。第一，构建访问机制，综合利用强制和自主两项访问机制，全面控制外网访问，强制访问通过分配企业网络的属性，保持属性的原始状态，攻击者不容易篡改数据属性，合理保护企业网络系统，决定网络安全行为，自主访问主要是以访问权限为主，为企业网络或账户设置权限，但是权限设置时，会遗留划痕或历史记录，为木马攻击埋下隐患；第二，构建审计机制，记录企业网站的各项行为，生成安全日志，规划企业网络的运营主体，分析网络事件，以审计记录为基础，可以精确识别企业网络访问行为是否安全，同时还可分析企业网络的内部环境，及时发现漏洞、威胁，提高企业网站的安全系数；第三，构建识别机制，企业属于网络用户，在登录网络系统时，需要进行严格的身份识别，常用的识别机制包括：口令、密码或接口，判断用户的身份信息，例如：管理者在企业网络系统的后台，限制登录口令，划分用户等级身份，用户在登录企业网络时，填写信息需要与后台设置完全吻合，验证身份成功后，才可登录到网络系统内部，口令识别具有一定的选择性，并不是所有企业网络都适应，因此，在构建识别机制时，还需根据企业网络系统的实际，构建合理、有效的机制，提高网络系统的安全性。

二、构建企业网络系统的安全体系

（一）构建网络安全体系。网络安全体系的构建，划分为四部分，第一，保障外部网络安全，外网是企业网络环境的一部分，在进行外网连接时，需要遵循一定的安全标准，约束访问行为，保障安全性能，实行KEY处理，管控内网与外网的交互活动，严格识别访问信息，排除安全隐患；第二，利用远程接入的方式，降低企业网络风险，避免攻击者分析网络路径，企业网络实行远程保护时，设置动态的接入口令，避免单一口令被破译，加强安全防护；第三，确保无线覆盖区域的安全度，企业网络已经实现无线运行，利用安全协议，保护无线环境，防止病毒攻击无线环境，进入企业网站；第四，实时监测网络，特别是在入侵检测方面，强化安全结构，保障网络传输的稳定和安全，防护外网攻击。

（二）构建攻击防护体系。企业网络安全系统的攻击，主要体现在病毒、木马、黑客方面，企业网络中包含大量有价值的数据和信息，成为攻击对象，攻击者的目的是窃取、毁坏数据，针对攻击类型，构建防护体系，例如：合理制定防护方案，控制企业网络运行，形成主动控制的防护状态，充分利用防火墙，开启部分防护功能，协助防护体系监控网络行为，过滤外网访问中的不安全程序，有效保护企业网络，避免数据泄漏，稳定企业网络运行[2]。防护体系的构建可以直接保护网络安全系统，确保企业内部网络数据安全运行的环境。

三、企业网络安全系统构建的技术

企业网络安全系统的构建，建立在防护技术的基础上，体现综合效益。由于企业网络的开放性，导致企业网络系统较容易受到病毒、黑客攻击，丢失企业数据，影响企业网络的安全运行，分析构建企业网络安全系统的技术，如下：

（一）数据保护技术。数据保护技术是企业网络安全构建的基础，主要分为三类，如：（1）保护数据库，在网络数据库内，加装组件，作用于安全层，支持企业数据安全；（2）备份保护，备份企业数据，实行硬件保护，一旦企业网络系统受到攻击，利用备份数据，及时恢复数据运行，避免企业运营受阻；（3）利用容错保护的方式，筛选关键信息，备份关键数据，即使部分数据被篡改或删除，也可通过容错恢复，保持数据完整性。

（二）病毒防护技术。分析企业网络受病毒影响的类型，提出病毒防护技术。系统规划防病毒技术，构建防毒体系，如下图1，首先安装防火墙，有效隔企业网络和Internet，解析入侵病毒，时刻监控外部网络；然后在客户端安装杀毒软件，保护企业网络，杀毒软件可以根据病毒入侵路径，实行自动升级，杜绝病毒入侵，特别是在病毒邮件方面，效果非常明显，集中扫描传输邮件，保护企业的网络通讯；最后利用防毒墙，过滤互联网病毒，扫描内外两网传输的所有信息，识别病毒程序，防止病毒植入。

（三）通道安全技术。企业网络在日常工作中，接受来自不同IP的访问，不论是企业内部，还是来自外部广域网，都会存在安全风险，因此，利用通道安全技术，实行访问控制，提高数据安全。主要对数据通道实行加密处理，采用密钥传输，促使传输数据在通道内，以密文的形式存在。例如：利用密钥算法，加密企业的源头文件，待文件传输到指定接收方时，在实行解密，提高文件在通道中的安全水平，避免攻击者窃取传输中的文件。

四、结束语

网络系统为企业带来效益和便利的同时，隐含运营风险，降低网络风险对企业运营的影响，需要加强网络系统的安全力度，有效防护企业内部网络安全，一方面推动企业运营发展，另一方面体现网络安全系统的优势，发挥网络价值。因此，深入分析企业网络，构建安全系统，维护企业安全系统的高质量和高效率，保护企业信息。

参考文献：

[1]王松.试论企业计算机网络安全的管理[J].科技致富向导，2013（20）：102.

[2]孙毅.中小企业内部网络安全管理的研究[J].海峡科技与产业，2013（06）：35.

篇7

关键词： 企业；网络安全；对策措施

1 计算机网络自身存在的安全缺陷

计算机网络发展十分迅速，技术也在不断地完善之中，但是由于其是一个极为庞大，且分布范围极广的网络体系结构，因此其自身必然会存在着各种缺陷，因此对于计算机网络安全会造成各种不确定的风险因素。计算机网络安全技术主要是以保护计算机上的数据以及计算机硬件与软件而形成的一种计算机技术，因此探讨网络安全技术必须从网络自身存在的安全隐患出发，网络存在的安全隐患主要可以分为以下两方面：

1.1 网络硬件存在的问题

硬件设备是计算机网络所不可或缺的组成部分，但是其自身存在的安全隐患，直接对计算机网络造成了十分严重的影响。硬件隐患主要可以分为以下几种：第一种是电子辐射隐患，所谓电子辐射隐患是指计算机上的数据一般是以电磁信息的方式存在的，这种信息在传播的过程中存在着泄密的可能性，由于其泄密的途径较为隐蔽，往往难以预防。第二种是通信方面的安全隐患。计算机在进行数据交换和数据交换的过程中，其所采用的主要载体是光缆，电话线，专线以及微波等，这些载体中只有光缆是较为安全的，其他几种传播方式都存在着被窃取和泄漏的可能性。此外，计算机的错误操作以及移动存储介质，例如U盘、移动硬盘等，都可能导致企业内部信息外泄，或是病毒对企业网络造成攻击破坏。

1.2 操作系统存在的安全隐患

操作系统作为计算机系统的主要组件，其是数据处理与数据传输的主要平台。操作系统的发展在某种程度上等同于计算机技术发展，尽管操作系统一直在不断地完善与改进，但是其自身的缺陷往往给计算机网络造成十分严重的影响。例如Windows在远程调用中存在的RPC漏洞，Linux存在的缓冲区溢出等问题。由此可见，操作系统中的某些软件如果存在安全缺陷的话，对整个系统的安全性也会造成不可估量的影响，因此必须引起高度的重视。

1.3 软件方面存在的隐患

软件一般被认为应用程序，其是数据处理的主要工具，软件在开发的过程中，或多或少会存在一些缺陷，也就是所谓的安全漏洞，这些漏洞可能会被黑客利用，成为攻击系统与网络的一个切入点。例如微软公司开发的Office系列，以及Oracle公司开发的数据库软件，近年来都出现过安全事件。因此企业应该高度重视，这些公司所的安全预警。软件缺陷为应用软件致命的缺陷，这些缺陷既对小程序有影响，也对大软件有着影响，因而严重的威胁了生命和财产。

2 计算机网络受攻击的主要形式

开放性、互连性是计算机网络所具有的典型特征，因此其极易受到病毒、黑客、以及其他网络程序的危害。因此，为了确保网络信息的安全性、完整性以及可用性，应该采用必要的安全技术加强网络安全防范，但是不同的问题，应该采用不同的措施，这是一个重要的基本原则，所以有必要认识主要的网络安全隐患有哪些。

2.1 针对系统漏洞的攻击

正所谓百密一疏，即便是最为精巧的计算机系统也存在着细微的缺陷，这就给一些不法之徒留下了可乘之机。黑客一般会通过恶意代码的方式，通过系统漏洞，或是所谓的后面侵入到计算机系统中，然后对主机发动攻击或是控制主机，窃取主机上的信息。作为企业应该及时更新系统补丁，采用安全扫描工具，或是购买硬件、软件防火墙等设备加强系统安全。

2.2 欺骗技术攻击

路由条目，IP地址、DNS解析地址等通常都会成为黑客攻击系统的重要目标，黑客一般会采用欺骗技术，例如虚构IP地址，冲入网关，然后对服务器发动攻击，造成服务器瘫痪，导致缓冲区的资源阻塞或，严重情况下，造成系统死机。有些攻击是将网络中的某台计算机的IP地址转换成网关地址，从而造成数据包的发送障碍，或是在局域网中发起ARP攻击等等。

2.3 “黑客”的侵犯

“黑客”是指利用系统漏洞等方式，非法植入对方计算机系统，它具有非常强的破坏性、隐蔽性和非授权性，黑客一定植入计算机，就可以完全掌控用户的主机。黑客攻击主要的目有窃取用户的账号、密码，或是阻碍用户正常使用系统，黑客往往会采取篡改主页，破坏程序等方式，对网络造成破话。由于黑客攻击是动态性的，且攻击模式无法确定，因此其给网络造成的危害，比计算机病毒更为可怕。

2.4 计算机病毒攻击

计算机病毒对网络安全的影响具有一定的特殊性，首先其具有高度的隐蔽性，用户往往无法主动察觉系统已经感染了计算机病毒，其次是其潜伏性，例如木马病毒一般长期潜伏在系统中，并不会对系统的正常运作造成影响，但是会窃取系统信息，造成破坏。因此企业应该对网络病毒引起高度重视，预防可以从硬件与软件两方面入手，在最大程度上避免和减轻病毒给个人和计算机造成危害。

3 加强计算机网络安全的对策措施

3.1 网络安全的审计和跟踪技术

网络安全审计技术与跟踪技术对于主业务流程不产生直接的影响，它主要是通过记录、检查、监控主业务，并且针对其完整性以及安全性进行审计评估。目前主要的审计与跟踪技术有入侵检测技术，漏洞扫描技术，以及安全审计技术等。入侵检测是最为基本，也是最为有效的审计与跟踪技术，一般可以分为针对主机的入侵检测以及针对网络的入侵检测。入侵检测通过采集，分析系统以及网络中的数据，从而发现其中是否存在违反安全策略或是是否收到过攻击，并且自动采取相应的安全措施，从而保护系统以及网络的安全。此外，它还可以保护内部攻击、外部攻击和误操作。

3.2 运用防火墙技术

防火墙技术是当前应用最为广泛的网络安全技术，其通过在计算机内部，或是在网络中的某个位置上设置一个相对安全的子网环境，从而阻挡针对系统或是网络的攻击，从而维护网络的安全。防火墙的主要优点在于，一是可以控制两个网络之间的访问策略，二是保护网络与互联网络之间的限制。防火墙的体系结构有下列三种：1）双重宿主主机体系结构。此结构为最基本的防火墙结构，其主机具有双重宿主功能。主机充当路由器，可连接内外网络，可将IP数据包从一个网络发送到另一个网络。此防火墙离不开主机，所以其主机需承载在较大的负担，其重要性也是不可忽略的。若只需进行IP层过滤，就只要将IP包的ACL控制插在两块网卡之间转发的模块。但是如果要控制应用层，就需要在这台双宿主主机上设置，所有的应用不需先连接后主机才能进行。2）屏蔽主机体系结构，也被称为主机过滤结构，其内部网络主机之间的服务，主要有由一个单独的路由器来提供。此体系结构中，数据包过滤系统为其提供主要的安全机制。相比双重宿主主机体系结构，此结构允许数据包从Internet上进入内部网络，所以要求其路由器的配置也比较高。

3.3 数据加密技术

数据加密技术是一种古老的数据安全技术，其主要是通过对信息重新编码与解码，从而将真是的信息内容隐蔽起来，从而不让非法用户获得真实的信息。数据加密技术对于防止非法用户获取数据具有十分明显的作用，并且其使用的范围十分广泛，例如可以应用于数据存储，数据传输中。此外，数据加密技术还可分为密文存储和存取。而数据传输加密技术的主要目的是为了加密传输中的数据流。

3.4 网络病毒的防范

网络中的病毒传播扩散速度非常快，单机防病毒产品，不能对网络病毒进行彻底清除，因此对于学校、政府机关，以及企事业单位等采用局域网的单位组织，应该采用专门的网络病毒防范工具。企业用户的防毒一般应该从硬件与软件两方面入手，在硬件方面安装硬件杀毒工具，软件方面要采用正版的杀毒程序。此外，由于系统是与互联网相连接的，有些病毒一旦与网络连接就会与远程服务器连接，从而传输大量病毒文件，因此在网关上必须要设置防病毒软件。此外，电子邮件也是极容易传播病毒的，因此必须在电子邮件系统中增加病毒过滤软件。这样可辨别电子邮件中和附近中隐藏的病毒。因此，只有使用全方位、多层次的防病毒系统的配置，且此系统可以进行定期或不定期自动升级，及时修复计算中的漏洞和补丁，彻底保障计算机免受病毒的危害。

4 结语

企业的发展离不开企业的信息的保密及安全的办公，只有建立保密、安全的企业办公软件，才能促进企业的飞速发展。所以，企业领导阶层和使用者必须重视计算机存在的各种安全隐患，并针对这些安全隐患采取相应的解决措施。由于信息数据的安全隐患既表现在局域网又表现在因特网上，而面对人为和技术的干扰，怎样实现信息数据安全的最大化，已经成为计算机网络安全技术发展的一重要问题。

参考文献：

[1]吴钰锋、刘泉、李方敏，网络安全中的密码技术研究及其应用[J].真空电子技术，2004：34-36.

篇8

【关键词】企业网络 深度防御 安全管理

信息技术快速发展，计算机网络的应用日益广泛，企业的生产和管理越来越依赖于网络。但是，网络本身所具有的一些比如联结性、开放性等属性，导致其难以彻底避免一些恶意行为的攻击。一方面给企业带来巨大的利益损失，另一方面也影响了企业正常生产办公。因此，怎样提升企业网络的可靠性，逐步受到企业管理者的重视。

一、企业网络系统的安全现状

随着企业信息化管理的发展，企业的网络规模也在持续增加，随之增大的是企业网络的信息安全风险。由于企业在网络建设方面的投入，新的信息终端和交换设备不断增加，因此其内部网络所受安全事件的威胁的几率也在随时增大，大型的企业往往具有不少的分支机构，造成了网络设备分布的地理位置比较分散，网内计算机安全问题亟待解决，这是所有大型企业必须面对的问题。所以，企业必须构建一套信息安全管理软件，才能实时监控网络内部的各终端设备，使之受到尽可能小的安全威胁。此外，无论是核心网络还是分支部门的网络，都必须定期进行统一的补丁分发与移动存储管理，以保障基本的信息安全。

二、企业网络安全实现的目标

结合现阶段企业内部网络的安全现状，企业网络安全需实现的目标至少包括：严密监视来自业务支撑网外部的各种类型访问，必须掌握每一次访问的来源、所读取的具体对象和访问的具体类型，一方面支持合法访问，另一方面杜绝非法访问；对异常访问能够做到预防和处理；对流经支撑网内的所有数据包进行有效监控，实时分析这些数据包的协议类型、目的地等，从而防止信息安全隐患。有效监控的内容有：对网络中的黑客入侵行为进行检测；对各种主机设备的数据流量进行实时分析，实现信息安全的动态防护；结合具体的标准和方法对企业内部网络信息安全进行周期性评估，及时补救网络安全弱点，排查安全隐患。

三、企业网络安全系统的设计及实现

（一）安全规则层的设计

在这一层次中，为了保证企业内部运营中的网络资源及客户机的安全，首先结合企业实际情况，定义一系列规则，当发生违反这些规则的网络行为时，则触发系统的风险应急机制。在制定规则时，对每一类网络行为对企业信息安全造成的风险归纳为不同的等级。制定这些等级的一句是该企业运营对这些信息在机密性、可用性、完整性及不可抵赖性的具体要求。在所指定的等级之下对企业信息安全造成威胁的行为进行分类。

与此同时，对攻击所带来的风险进行等级划分，依次划分为低级风险、中级风险与高级风险。所谓低风险，指的是网络系统遭受入侵之后，并不会造成任何资金流失，也不会扰乱运营管理。所谓中级风险，指的是网络系统遭受入侵之后，会造成轻度资金流失，在一定程度上扰乱运营管理。所谓高级风险，指的是网络系统遭受入侵之后，会造成比较明显的资金流失，极大程度地扰乱运营管理。

（二）安全措施层的设计

在这一层次中，主要设定在网络安全之下所具体选用的安全技术与采纳的实施方法，结合企业信息系统的安全目标，结合安全规则层所指定的安全事件和安全等级，给出有针对性的解决方案。安全措施层对于一种类型的安全行为可以给出多个安全方案，举例来讲，在发现有用户进行非法授权的访问操作时，一个可能是由于遭受了网络攻击，另一个可能则是用户的误操作。此时可以采取的方案包括对用户发出警告、阻止连接和强制关闭主机等。

（三）安全决策层的设计

在这一层次中，主要任务是结合具体的方案来解决信息系统安全问题。依旧延续安全措施层的实例，当用户的非法授权访问时首次发生的，则方案（1）对用户发出警告则可以解决；而假若该用户反复进行非法访问，则方案（3）强制关闭主机效果最好。

四、企业网络安全解决方案实例

本文选择安全防御系统中相对重要的功能模块--重定向模块，并阐述其具体设计方法。企业网络在遭受外界攻击时，首先丢失的是被黑客扫描窃取的内部主机的操作系统、服务、端口等信息。在获取这些信息之后，便会通过缓冲溢出或者蠕虫等方法找到主机本身所存在的安全漏洞，对主机系统进行操纵。本文引入蜜罐技术，所设计的重定向模块的主要功能便是在攻击发生的初期，快速隔断为企业网络带来安全威胁的连接。具体实现方法为，该模块首先在网络驱动接口规范中间层进行数据过滤，获取从外部流进企业内网主机的数据包，针对具体类型的端口，以网络主机事先所维护的可疑端口表，对这些数据包进行过滤，一旦找到对可疑端口进行访问的数据包，则将其判定为一次可疑访问，此时，修改该数据包的相关参数和属性，同时，把此次访问列为可疑访问，并引导进通信队列之中，这些数据包直接越过系统的上层协议，转发至蜜罐来继续跟踪和分析。以相同的方法将蜜网所反馈的数据处理后发送给可能的攻击者。

为了使蜜罐系统能够有更加逼真的模拟效果，本设计在蜜罐系统上完全仿照实际网络系统的主机而部署相同的OS、协议栈、以及相关服务，从而在最大限度上使蜜罐与实际系统中的客户机或服务器相类似。具体的操作为，启动蜜罐设置系统，进入蜜罐的配置菜单。

在进行配置的时候，使用蜜罐系统所提供的menu命令进入界面，结合企业网络的实际特征，本文所配置的内容有：管理机IP、蜜罐IP、TCP连接以及Secure Shell管理连接等。然后在蜜罐系统对客户机进行模拟，并配置诸如办公软件等常用软件，对服务器进行模拟，开通各类网络应用服务，从而基于典型服务端口来对多个可以访问进行引诱。同时，出于进一步迷惑网络攻击者的目的，还要设置成允许网络攻击者进行更多的操作，而蜜罐系统中并未存储企业真正的数据与信息。在对具体连接方式进行设置的时候，通过custom使之能够链接vmnet2，并通过蜜罐系统抵达外网。在安装Sebek时，考虑到其Linux版本与Windows版本，分别进行不同安装文件的配置。

总之，企业在日常的信息化管理中，必须通过合理有效的安全措施，来避免由于网络安全而带来的不必要经济损失。

篇9

【关键词】企业网络安全；风险分析；对策

一、网络结构安全风险分析及对策

1、外部网络安全分析及对策

企业网络通常与外部网络连接，方便企业员工与外界互连。但由于网络涵盖面广，外网中存在太多的不安全因素，如果系统内部局域网与系统外部网络之间没有采取安全防护措施，内部网络很容易遭到来自外部网络一些入侵者的攻击，这些攻击或影响企业网络系统的正常运行或使资料泄漏，所以可以采取以下的网络安全措施：

（1）加强网络结构设置：为了加固网络结构可以将网络结构设置为如图1所示的结构：

第一道安全防线：外部防火墙抵挡外部网络的攻击。第二道安全防线：DMZ区域的堡垒主机。堡垒主机作为进入内部网络的一个检查点，把整个网络的安全问题集中在堡垒主机上解决，从而省时省力，不用考虑其它主机的安全问题，能进一步抵挡外部网络的攻击。第三道安全防线：内部防火墙。负责管理DMZ区域主机对内部网络的访问，并管理所有内部网络对DMZ区域的访问。通过以上网络结构的设置，非法用户必须经过三个独立的区域才能到达内网，加大了入侵者攻击的难度，加固了内部网络的安全性，但网络运维的成本相对较大。

（2）加强员工的网络安全意识：内网用户所遭到的攻击多来自于木马、病毒和网络钓鱼，而让这种攻击得逞的原因是内网用户点击了不安全网站、木马绑定的图片或文件，所以加强员工的安全教育，对于保障网络安全非常重要。

2、内部网络安全分析及对策

企业网络内部攻击相对于外网入侵要略显容易，大约有70%～80%的网络攻击来自于网络内部，所以企业面临的最大网络安全威胁是在办公室内部。常见的内部局域网威胁包括：误用和滥用关键敏感数据；内部人员故意泄漏内部网络的网络结构；内部不怀好意的员工通过各种方式盗取他人信息传播出去。针对以上内部网络安全问题，可以采用以下安全措施：

（1）软件管理：启用内网监听软件、加强内网的监控；固定企业内客户端的IP地址、加强用户的管理；查看服务器日志文件，保护内网安全。（2）硬件管理：网络设备中包含路由器、交换机、防火墙等。首先应注意保障硬件设备的物理安全，将其安置在相对安全的地方，不要安置到所有员工都容易接触的地方；其次管理人员应正确理解硬件设备的应用，避免由于疏忽或不正确理解而使这些设备安全性不佳。

二、网络操作系统安全风险分析与对策

目前常用网络操作系统有windows、UNIX、linux操作系统，这些操作系统开发在过程中要考虑到方便用户使用，但在方便使用的前提下也暴露出一些问题：（1）操作系统默认配置存在安全隐患：如Windows操作系统默认设置可以从光盘或U盘启动，这种设置可以避开登录密码直接进入操作系统，另外操作系统默认安装了一些不常用的服务和端口，为非法用户的入侵提供了便利。（2）操作系统支持在网络上共享数据、加载或安装程序，这些功能方便了非法用户注入和运行木马程序，为获取用户的信息提供了方便之门。（3）操作系统自身结构问题，如：windows操作系统自身提供的IPC$链接、远程调用等都存在安全隐患。IPC$链接是通过DOS界面在获得管理员权限的前提下获得远程计算机的信息；ftp服务传输过程为明码传输，使用抓包工具即可获取FTP服务器的登录账号和密码，telnet远程登录需要经过很多的环节，中间的通讯环节可能会出现被人监控等安全问题，所以为了加固网路操作安全可以采用以下措施：

1、加强物理安全管理 禁止通过DOS或其它操作系统访问NTFS分区。在BIOS中设置口令，禁止使用U盘或光驱引导系统。

2、加强用户名和口令的管理 windows操纵系统Administrator管理员用户和Unix/Linux操作系统root特权用户均具有对操作系统的完全控制权限，所以是入侵者想要获取的信息。用户名保护：Windows非管理员账户在输入密码错误后可设置成锁定该用户，但是Administrator不能删除和禁用，所以攻击者可以反复尝试登陆，试图获取密码。为了增加攻击者获取管理员权限的难度，可以为Administrator重命名，这样攻击者不但要猜出密码，还要先猜出管理员修改后的用户名。Root用户不能更名，为了保护该用户，在没有必要的情况下，不要用root用户登录本机及远程登录服务器。密码保护：密码设置应按照密码复杂度要求设置并定期更换密码，同时密码的设置不要用普通的英文单词或比较公开的信息如生日、车牌等。

3、加强用户访问权限的管理 有些管理员为了方便用户访问文件系统，为用户开放了所有权限，如windows操作系统中为everyone工作组授予了“完全控制”权限，UNIX/Linux操作系统为所有用户设置读写执行权限，这样的设置方便非法用户上传木马，所以为了文件系统的安全，必须重新设置文件系统的权限，在保证正常运行的前提下，为用户设置最小的访问权限。

4、加强服务和端口的管理 当用户开启操作系统后，操作系统自带的某些服务会自动运行，而非法用户会针对这些服务进行远程攻击，而一些不常使用的端口也容易被非法用户利用，作为再次入侵的后门，所以应该将不常使用的服务和端口关闭。

三、数据安全风险分析及对策

企业网络的数据安全不可避免的受到外界的威胁，而数据的任何失误，都可能对企业带来巨大的损失。目前数据泄漏的主要途径是：办公计算机或硬盘的外带；利用移动存储设备将数据带出；通过网络传输文件；通过外设拷贝数据；服务器被非法入侵等。为了防止企业数据泄露可以采用如下措施：

1、磁盘加密 针对硬盘丢失或被盗造成的泄密风险，可以通过对磁盘驱动层的加密加固处理，保证硬盘在被非法外带或丢失后呈“锁死”状态，硬盘内容无法被他人所读取。

2、移动存储设备使用管理 对于移动存储设备设置加密写入，即拷贝到该类设备的文档都会以密文形式存在，密文只有拷贝回本地计算机才能解除加密。

3、文档传输控制 对于文档传输可以采取文件外发对象控制（指定可以外发文件的对象列表）、文件外发加密（外发的文档处于加密状态）、文件外发审批（外发的文件需要经领导审批方可发送）等形式进行控制。

篇10

关键词 电力企业；信息安全；防护措施

中图分类号TM7 文献标识码A 文章编号 1674-6708（2012）65-0022-03

信息化是社会生产力与生产方式发展的一个必然趋势，是我国显得文明建设的一项重要标志。信息化建设能够带动企业管理水平与生产效能的提高，信息资源作为一种重要的资源，其重要性逐渐被人们所认识。电力企业属于技术密集型产业，对于生产自动化与集约化都有着较高的要求，因此也是较早的进行信息化建设的一批企业，并且也取得了一些显著的成效，但是也正是因为起步较早，缺乏经验，因此在信息化网络的建设中总是存在着很多问题，而这些问题已经逐渐成为了电力企业网络信息安全的隐患，因此，加强网络信息安全已经成为了电力企业发展的重要组成部分。

1 电力企业网络信息安全现状分析

各级电力企业因为生产经营与管理的需要，都在不同程度上建成了自己的自动化系统，变电站基本也实现了“四遥”和无人值守。并且也建立起了企业自己的管理系统来对生产、营销、财务、行政办公等工作进行覆盖，并已经进行了实用化具有较高安全等级的调度自动化系统已经通过WEB网关与MIS之间进行相互的信息访问，部分地方已经安装了正向隔离器，进而实现了物理隔离与数据的安全访问。

各个电力企业已经制定了安全策略，并实施了一部分，同时实现了互联网的安全接入。

将营销支持网络与呼叫接入系统和MIS网络进行了整合，并且已经与用户、银行等企业实现了信息的安全共享，对自身的服务手段进行了优化。

边远地区的班站基本都通过VPN技术来实现了远程班组联网的要求，并能够实现大范围的信息共享，而且应用范围也变得更加的广泛。利用VPN的高级应用能够构建起基于互联网的各种远程服务。

2 电力企业网络信息安全方面存在的问题

2.1不同的网络之间没有严格的进行等级划分

根据《全国电力二次系统安全防护总体方案》，电力企业对于不同安全等级的网络必须要进行安全等级的划分。在纵向上，电力企业需要实现实时监控系统之间的互联。各个自动化系统与低调系统之间都是通过载波进行单向数据转发，而部分基层电力企业都没有实现网络化的数据传输，同时在主站与厂站之间也没有实现光纤载波双通道。在横向上，要求能够实现实时监控系统与非实时监控系统之间的相互连接。根据当前的互联网现状与通信现状，主要还存在着这些问题：1）单向数据的传输难以实现真正意义上的数据共享，同时在与非实时系统之间的接口上也没有进行标准数据接口的建设；2）部分电力企业没有利用MPLS VPN技术组建数据调度网，没有满足相关的安全要求；3）上下级的调度之间没有部署必须的认证加密装置。

2.2随着技术的发展与电力企业的业务发展，现有的网络安全防护能力难以满足要求

随着信息技术的发展与电力企业自身业务的发展要求，网络安全越来越受到重视，但是现有的网络安全防护能力明显不足，缺乏有效的管控手段，同时管理水平也急需要提高。如今的电力企业还缺少一套完善的服务器病毒防护系统，有一些地市、县局都是使用的省公司所同一部署的趋势防毒软件，有的甚至还采用的是单机版的瑞星、江民、卡巴斯基等防病毒软件，相对而言，防护能力还有所不足。当受到攻击时，容易出现系统瘫痪。同时还没有能够建立起一套完善的数据备份恢复机制，如果数据受到破坏，那么所受到的损失将难以估量。没有一套完善的网管软件，难以对一些内部用户的过激行为进行有效的监管，例如IP盗用、冲突，滥用网络资源（BT下载等），等等。还没有能够建立起一套完善的评测和风险评估制度，对于当前电力企业的网络安全现状难以进行有效的评估。同时，我国也缺乏专业的评测机构，这就使得电力企业网络安全风险与隐患都难以被及时发现和进行有效的防范，使得电力企业的防范能力难以得到持续增强。

2.3电力企业服务器存在的安全隐患

在电力系统中有着十分众多的服务器。随着网络攻击手段与攻击技术的不断更新，服务器攻击愈演愈烈，因此拥有众多服务器的电力系统成为了攻击的首选对象。在电力企业中的服务器主要包括了数据库服务器、应用服务器、Web服务器、算费服务器、银电联网服务器等多种服务器，众多的服务器也使得其存在着严重的安全隐患：1）电力企业的网络中，每一个服务器都拥有自己独立的认证系统，但是这些服务器却缺乏统一的权限管理策略，管理员难以进行统一的有效管理；2）Web服务器和流媒体服务器长期遭受到来自于互联网的DDoS以及各种病毒的侵袭；3）让邮件服务器中受到大量的垃圾邮件的干扰，并且也难以进行有效的信息监管，经常会发生企业员工通过电子邮件来传递企业的机密信息的安全事件；4）权限划分不明确，容易受到来自外部黑客的攻击，例如通过SQL注入、脚本注入、命令注入方式等方式来窃取数据库中的机密数据；5）与总公司服务器通信过程中有些机密信息由于没有采取加密措施，很容易被窃听而泄密。

2.4各种恶意网页所带来的网络安全威胁

电力企业拥有自己的主题网站，并通过互联网与外网相连。每一个电脑使用者都会通过对网页的点击来寻找对自己有用的信息，电力企业内网与外网相连，因此，电力企业中的员工也会通过与外网的链接，从互联网中搜索对自己有用的信息，但是并不是所有的网页都是安全的，有一些网站的开发者或者是黑客会为了能够达到某种目的对网页进行修改，进而达到某种目的，当电力企业的内部员工通过电力企业内部的网络进行访问时，就会受到来自这些恶意网页的攻击。

2.5设备本身与系统软件存在漏洞

由于电力企业的信息化建设较早，这就导致了很多设备与软件都出现了各种安全漏洞，这些都导致了不良安全后果的程度增加。信息网络自身在操作系统、数据库以及通信协议等存在安全漏洞和隐蔽信道等不安全因素；存储介质损坏造成大量信息的丢失，残留信息泄密，计算机设备工作时产生的辐射电磁波造成的信息泄密。信息网络使用单位未及时修补或防范软件漏洞、采用弱口令设置、缺少访问控制以及攻击者利用软件默认设置进行攻击，是导致安全事件发生的主要原因。

3 电力企业网络信息安全防护措施

3.1进行网络安全风险评估

电力企业要解决网络安全问题并不能够仅仅是从技术上进行考虑，技术是安全的主体，但是却不能成为安全的灵魂，而管理才是安全的灵魂。网络安全离不开各种安全技术的具体实施以及各种安全产品的部署，但是现在在市面上出现的安全技术、安全产品实在是让人感觉眼花缭乱，难以进行选择，这时就需要进行风险分析，可行性分析等，对电力企业当前所面临的网络风险进行分析，并分析解决问题或最大程度降低风险的可行性，对收益与付出进行比较，并分析有哪一些产品能够让电力企业用自己最小的代价满足其对网络安全的需要，同时还需要考虑到安全与效率的权衡等。对于电力企业来说，搞清楚信息系统现有以及潜在的风险，充分评估这些风险可能带来的威胁和影响，将是电力企业实施安全建设必，须首先解决的问题，也是制定安全策略的基础与依据。

3.2构建防火墙

防火墙是一种能有效保护计算机网络安全的技术性措施，有软件防火墙与硬件防火墙这两类。防火墙能够有效的阻止网络中的各种非法访问以及构建起起一道安全的屏障，对于信息的输入、输出都能够进行有效的控制。可以在网络边界上通过硬件防火墙的构建，对电力企业内网与外网之间的通信进行监控，并能够有效的对内网和外网进行隔离，从而能够阻档外部网络的侵人。对于电力企业可以通过“防火墙+杀毒软件”的配置来对内部的服务器与计算机进行安全保护。同时还需要定期的进行升级。为了防止各种意外的发生，需要对各种数据进行定期的备份。需要定期的对个硬件以及各种备份的有效性进行检验。电力企业防火墙体系构建如下：

访问控制列表构建防火墙控制体系。通过对访问控制列表的调节能够有效的实现路由器对数据包的选择。通过对访问控制列表的增删，能有效的对网络进行控制，对流入和流出路由器接口的数据包进行过滤，达到部分网络防火墙的效果。

配置硬件防火墙。在电力企业中硬件防火墙的使用较多，但是能够真正发挥作用的就不多了。在使用硬件防火墙前，需要将防火墙与企业的整个网络配置好。首先需要对防火墙的工作模式进行选择，例如WatchGuard这款防火墙具有两种工作模式，一种是Drop-In Mode，另外一种是Routed Mode。前面的那一种模式主要是用于不带“非军事区”或者是没有内网的网络环节中，因此，电力企业中就应该选择Routed Mode这种模式。然后将其中的外接网口、内部接口、“非军事区”等选项添好，当对网络设置完成之后，就可以利用相应的GUI 程序与硬件防火墙进行连接，并对应将防火墙进行进一步的配置。在电力企业中有很多部门，每一个部门对网络安全的具体需求都不相同。因此，在设置时需要考虑到部门的具体情况。

3.3加强对计算机病毒的预防控制

计算机病毒的防治是网络安全的主要组成部分，而对电力企业的网络安全造成威胁的主要是各种新型的病毒。若要从根本上防止新型态病毒对企业的威胁，就必须从监控、强制、防止及恢复等四个阶段对新型态病毒进行管理。

控制计算机病毒爆发次数，降低病毒对业务所产生的影响。我们知道，病毒从感染单台客户机・扩散・爆发，均需要一段空窗期。很多时候，管理人员都是在病毒爆发之后才能够发现问题，但是这时已经太晚。因此需要能够在病毒扩散期就发现问题根源，才能够有效的降低病毒爆发的概率。

网络层防毒将能够有效的对病毒进行预防。在电力企业中，需要将网络病毒的防范作为最重要的防范对象，通过在网络接口和重要安全区域部署网络病毒墙，在网络层全面消除外来病毒的威胁，使得网络病毒不能再肆意传播，同时结合病毒所利用的传播途径，对整个安全策略进行贯彻。

预防病毒并不能够完全的依靠病毒的特征码，还必须要实现对病毒发作的整个生命周期进行管理。必须要建立起一套完善的预警机制、清除机制、修复机制，通过这些机制来保障病毒能够被高效处理，防毒系统需要在病毒代码到来之前，就能够通过可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等各种手段来对病毒进行有效控制，使得新病毒未进来的进不来、进来的又没有扩散的途径。在清除与修复阶段又可以对这些病毒高效清除，快速恢复系统至正常状态。

3.4开展电力企业内部的全员信息安全教育和培训活动

安全意识和相关技能的教育是企业安全管理中重要的内容，信息安全不仅仅是信息部门的事，它牵涉到企业所有的员工，为了保证安全的成功和有效，应当对企业各级管理人员，用户，技术人员进行安全培训，减少人为差错，失误造成的安全风险。

开展安全教育和培训还应该注意安全知识的层次性，主管信息安全工作的负责人或各级管理人员，重点是了解，掌握企业信息安全的整体策略及目标，信息安全体系的构成，安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等;用户，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。

4 结论

网络安全是一个综合系统，不仅仅涉及到技术层面的问题同时还会涉及到管理上面的问题。网络上，无论是硬件还是软件出现问题都会对整个网络安全形成威胁，产生出网络安全问题。我们需要通过系统工程的观点、方法对当前电力企业中的网络安全现状进行分析，并提出提高网络安全性的措施。在电力企业的网络中，包括了个人、硬件设备、软件、数据等多个环节，这些环节在网络中所具有的地位与影响都需要从整个电力企业的网络系统去进行整体的看待和分析。电力企业的网络安全必须要进行风险评估才能够制定出合理的计划。

参考文献

[1]余志荣.浅析电力企业网络安全[J].福建电脑，2011(7).

[2]周伟.计算机网络安全技术的影响因素与防范措施[J].网友世界，2012(1)．

[3]张鹏宇.电力行业网络安全技术研究[J].信息与电脑（理论版），2011(1).