導(dǎo)語：如何才能寫好一篇互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：企業(yè)網(wǎng) 網(wǎng)絡(luò)安全 安全體系 入侵檢測 病毒防護

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，在企業(yè)中運用計算機網(wǎng)絡(luò)進行各項工作更加的深入和普及，通過企業(yè)網(wǎng)絡(luò)向師生提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的信息服務(wù)，沖破了人與人之間在時間和空間分隔的制約，越來越被更多的人們所接受和應(yīng)用。然而由于企業(yè)網(wǎng)絡(luò)自身的特點，使安全問題在企業(yè)網(wǎng)絡(luò)的運行與管理中格外突出，研究構(gòu)建、完善基于企業(yè)網(wǎng)的信息安全體系，對企業(yè)網(wǎng)安全問題的解決具有重要意義。

一、企業(yè)網(wǎng)絡(luò)安全風險狀況概述

企業(yè)網(wǎng)絡(luò)是在企業(yè)范圍內(nèi)，在一定的思想和理論指導(dǎo)下，為企業(yè)提供資源共享、信息交流和協(xié)同工作的計算機網(wǎng)絡(luò)。隨著我國各地企業(yè)網(wǎng)數(shù)量的迅速增加，如何實現(xiàn)企業(yè)網(wǎng)之間資源共享、信息交流和協(xié)同工作以及保證企業(yè)網(wǎng)絡(luò)安全的要求是越來越強烈。與其它網(wǎng)絡(luò)一樣，企業(yè)網(wǎng)也同樣面臨著各種各樣的網(wǎng)絡(luò)安全問題。但是在企業(yè)網(wǎng)絡(luò)建設(shè)的過程中，由于對技術(shù)的偏好和運營意識的不足，普遍都存在”重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，關(guān)鍵性應(yīng)用的普及和深入，企業(yè)網(wǎng)絡(luò)在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證企業(yè)網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題，解決網(wǎng)絡(luò)安全問題刻不容緩，并且逐漸引起了各方面的重視。

由于Internet上存在各種各樣不可預(yù)知的風險，網(wǎng)絡(luò)入侵者可以通過多種方式攻擊內(nèi)部網(wǎng)絡(luò)。此外，由于企業(yè)網(wǎng)用戶網(wǎng)絡(luò)安全尚欠缺，很少考慮實際存在的風險和低效率，很少學(xué)習防范病毒、漏洞修復(fù)、密碼管理、信息保密的必備知識以及防止人為破壞系統(tǒng)和篡改敏感數(shù)據(jù)的有關(guān)技術(shù)。

因此，在設(shè)計時有必要將公開服務(wù)器和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對網(wǎng)絡(luò)通訊進行有效的過濾，使必要的服務(wù)請求到達主機，對不必要的訪問請求加以拒絕。

二、企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計與構(gòu)建

網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實際上是入侵者與反入侵者之間的持久的對抗過程。網(wǎng)絡(luò)安全體系不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)。人們力圖建立的是一個網(wǎng)絡(luò)安全的動態(tài)防護體系，是動態(tài)加靜態(tài)的防御，是被動加主動的防御甚至抗擊，是管理加技術(shù)的完整安全觀念。但企業(yè)網(wǎng)絡(luò)安全問題不是在網(wǎng)絡(luò)中加一個防火墻就能解決的問題，需要有一個科學(xué)、系統(tǒng)、全面的網(wǎng)絡(luò)安全結(jié)構(gòu)體系。

（一）企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計目標

企業(yè)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計的目標是使在企業(yè)網(wǎng)絡(luò)中信息的采集、存儲、處理、傳播和運用過程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態(tài)。在網(wǎng)絡(luò)上傳遞的信息沒有被故意的或偶然的非法授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識、控制，網(wǎng)絡(luò)信息的保密性、完整性、可用性、可控性得到良好保護的狀態(tài)。

（二） 企業(yè)網(wǎng)防火墻的部署

1.安全策略。所有的數(shù)據(jù)包都必須經(jīng)過防火墻;只有被允許的數(shù)據(jù)包才能通過防火墻;防火墻本身要有預(yù)防入侵的功能;默認禁止所有的服務(wù)，除非是必須的服務(wù)才被允許。

2.系統(tǒng)設(shè)計。在互聯(lián)網(wǎng)與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺硬件防火墻，在內(nèi)外網(wǎng)之間建立一道安全屏障。其中WEB、E一mail、FTP等服務(wù)器放置在防火墻的DMZ區(qū)(即“非軍事區(qū)”，是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信以保證內(nèi)網(wǎng)安全)，與內(nèi)網(wǎng)和外網(wǎng)間進行隔離，內(nèi)網(wǎng)口連接企業(yè)網(wǎng)，外網(wǎng)口通過電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。

3.入侵檢測系統(tǒng)的設(shè)計和部署。入侵檢測系統(tǒng)主要檢測對網(wǎng)絡(luò)系統(tǒng)各主要運營環(huán)節(jié)的實時入侵，在企業(yè)網(wǎng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間設(shè)置瑞星RIDS一100入侵檢測系統(tǒng)，與防火墻并行的接入網(wǎng)絡(luò)中，監(jiān)測來自互聯(lián)網(wǎng)、企業(yè)網(wǎng)內(nèi)部的攻擊行為。發(fā)現(xiàn)入侵行為時，及時通知防火墻阻斷攻擊源。

4.企業(yè)網(wǎng)絡(luò)安全體系實施階段。第一階段:基本安全需求。第一階段的目標是利用已有的技術(shù)，首先滿足企業(yè)網(wǎng)最迫切的安全需求，所涉及到的安全內(nèi)容有:

①滿足設(shè)備物理安全

②VLAN與IP地址的規(guī)劃與實施

③制定相關(guān)安全策略

④內(nèi)外網(wǎng)隔離與訪問控制

⑤內(nèi)網(wǎng)自身病毒防護

⑥系統(tǒng)自身安全

⑦相關(guān)制度的完善

第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下，全面實現(xiàn)整個企業(yè)網(wǎng)絡(luò)的安全需求。所涉及的安全內(nèi)容有:

①入侵檢測與保護

②身份認證與安全審計

③流量控制

④內(nèi)外網(wǎng)病毒防護與控制

⑤動態(tài)調(diào)整安全策略

第三階段:后續(xù)動態(tài)的安全系統(tǒng)調(diào)整與完善。相關(guān)安全策略的調(diào)整與完善以及數(shù)據(jù)備份與災(zāi)難恢復(fù)等。

在上述分析、比較基礎(chǔ)上，我們利用現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)，結(jié)合企業(yè)網(wǎng)的特點，依據(jù)設(shè)計、構(gòu)建的企業(yè)網(wǎng)絡(luò)安全體系，成功構(gòu)建了如圖4-1的企業(yè)網(wǎng)絡(luò)安全解決方案，對本研究設(shè)計、構(gòu)建的企業(yè)網(wǎng)絡(luò)安全體系的實踐應(yīng)用具有重要的指導(dǎo)意義。

圖4-1 企業(yè)網(wǎng)絡(luò)安全體系應(yīng)用解決方案

結(jié) 語

本文通過對企業(yè)網(wǎng)絡(luò)特點及所面臨的安全風險分析，從網(wǎng)絡(luò)安全系統(tǒng)策略與設(shè)計目標的確立出發(fā)，依據(jù)企業(yè)網(wǎng)絡(luò)安全策略設(shè)計，構(gòu)建相對比較全面的企業(yè)網(wǎng)絡(luò)安全體系，并參照設(shè)計、構(gòu)建的企業(yè)網(wǎng)絡(luò)安全體系，給出了一個較全面的企業(yè)網(wǎng)絡(luò)安全解決方案。對促進當前我國企業(yè)網(wǎng)絡(luò)普遍應(yīng)用情況下，企業(yè)網(wǎng)絡(luò)安全問題的解決，具有重要意義。

參考文獻：

[1]方杰，許峰，黃皓.一種優(yōu)化入侵檢測系統(tǒng)的方案[J.]計算機應(yīng)用，2005，(01).

[2]李瑩.小型分布式入侵檢測系統(tǒng)的構(gòu)建[J].安陽工學(xué)院學(xué)報，2005，(06).

篇2

計算機網(wǎng)絡(luò)起源于二十世紀六十年代，最早是由美國國防部高級研究計劃署（ARPA）進行的。ARPA投資推進計算機網(wǎng)絡(luò)的研究研發(fā)，1969年建成了著名的Internet的前身ARPANET，后來隨著計算機技術(shù)的不斷發(fā)展，形成了以ARPANET為主干的Internet雛形，直至今日互聯(lián)網(wǎng)的誕生。在當今的網(wǎng)絡(luò)環(huán)境下，物理安全、網(wǎng)絡(luò)結(jié)構(gòu)安全、系統(tǒng)安全、管理安全等都會對網(wǎng)絡(luò)安全造成影響。因此，為了維護網(wǎng)絡(luò)環(huán)境的安全，網(wǎng)絡(luò)安全技術(shù)是必不可少的。隨著國家網(wǎng)絡(luò)信息化的不斷建設(shè)與發(fā)展，各個企業(yè)都根據(jù)自己公司的需要，建成了符合公司要求的企業(yè)網(wǎng)，使企業(yè)員工可以很方便的訪問企業(yè)的通信資源、處理器資源、存貯器資源、信息資源等。但是建立企業(yè)網(wǎng)就不得不面對復(fù)雜惡劣的網(wǎng)絡(luò)環(huán)境，因為網(wǎng)絡(luò)安全技術(shù)的不成熟，使不少企業(yè)的網(wǎng)絡(luò)信息資源丟失或被篡改，給企業(yè)帶來了不小的損失。因此，影響網(wǎng)絡(luò)安全的因素成了企業(yè)建立企業(yè)網(wǎng)不得不解決的重大難題，網(wǎng)絡(luò)安全技術(shù)也被越來越多的企業(yè)重視[1]。

2影響網(wǎng)絡(luò)安全的因素

2.1網(wǎng)絡(luò)協(xié)議自身的安全缺陷。Intrenet是一個自身網(wǎng)絡(luò)協(xié)議開放的信息共享系統(tǒng)，網(wǎng)絡(luò)協(xié)議是信息共享的關(guān)鍵環(huán)節(jié)，當前常用的網(wǎng)絡(luò)協(xié)議是TCP/IP協(xié)議、IPX/SPX協(xié)議、NerBEUI協(xié)議等。正是因為這些網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)信息共享才會實現(xiàn)，但是網(wǎng)絡(luò)協(xié)議是存在著安全缺陷的，TCP/IP協(xié)議是目前使用最為廣泛的網(wǎng)絡(luò)協(xié)議，它的安全性，關(guān)系著整個Internet的安全。由于TCP/IP協(xié)議在設(shè)計時未考慮到自身的安全性問題，所以很容易受到“駭客”的攻擊，其安全性是沒有保障的[2]。

2.2軟硬件的安全缺陷。網(wǎng)絡(luò)硬件設(shè)施是構(gòu)成互聯(lián)網(wǎng)不可或缺的一大組成部分，但是其自身的安全性十分脆弱，主要表現(xiàn)為：a.網(wǎng)絡(luò)與計算機存在電磁信息泄漏；b.通訊部分的脆弱性，通訊線路一般是電話線、專線、微波、光纜。在進行信息數(shù)據(jù)進行傳輸時，前三種線路上的信息容易被截取。c.計算機操作系統(tǒng)的缺陷。此外，軟件的缺陷也是影響網(wǎng)絡(luò)安全的重要因素，軟件的缺陷是軟件具有的先天特征，無論是小程序還是大型的軟件系統(tǒng)，都有這樣那樣的缺陷，目前大多數(shù)網(wǎng)絡(luò)病毒就是以軟件的形式在互聯(lián)網(wǎng)中傳播，其影響不容小覷。

3國內(nèi)企業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀

隨著通訊工程和電子信息技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為當今社會不可或缺的一個組成部分，已經(jīng)滲透到了經(jīng)濟、生活等各個領(lǐng)域之中。為了更好的分享、利用網(wǎng)絡(luò)信息資源，各大企業(yè)都積極的組建和發(fā)展自己的企業(yè)網(wǎng)。伴隨著網(wǎng)絡(luò)的發(fā)展，各種各樣的網(wǎng)絡(luò)安全問題相繼而生，網(wǎng)絡(luò)安全隱患日益突出，引起了社會各界的廣泛關(guān)注。然而，企業(yè)之間的網(wǎng)絡(luò)硬件設(shè)施卻是參差不齊的，經(jīng)濟實力的強弱直接決定著企業(yè)網(wǎng)絡(luò)建設(shè)和硬件水平的高低。目前，企業(yè)網(wǎng)絡(luò)中的具有安全防護特性的硬件設(shè)備主要有：防火墻、入侵檢測系統(tǒng)、安全路由器和交換機。一些企業(yè)的網(wǎng)絡(luò)建設(shè)經(jīng)費可能會有些不足，對網(wǎng)絡(luò)安全的要求只能滿足其最基本的使用要求，對于企業(yè)網(wǎng)絡(luò)硬件基礎(chǔ)平臺的安全性來說，這種投入明顯是不夠的。此外，企業(yè)之間的技術(shù)管理水平也存明顯的高低差距，企業(yè)的經(jīng)濟水平直接決定了該企業(yè)在網(wǎng)絡(luò)技術(shù)能力上的強弱，具有一定經(jīng)驗的網(wǎng)絡(luò)從業(yè)者都集中在大型的企業(yè)或組織機構(gòu)。中小型企業(yè)或組織機構(gòu)中嚴重缺乏專業(yè)的技術(shù)人員。由于缺乏相應(yīng)的網(wǎng)絡(luò)安全管理制度，企業(yè)員工的網(wǎng)絡(luò)應(yīng)用水平普遍偏低，缺乏網(wǎng)絡(luò)安全意識。對此，企業(yè)應(yīng)加強員工的網(wǎng)絡(luò)安全意識，完善網(wǎng)絡(luò)安全管理制度，如此才能確保網(wǎng)絡(luò)環(huán)境的安全[3]。

4網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)的應(yīng)用措施

4.1物理環(huán)境的安全應(yīng)用措施。物理環(huán)境安全包括設(shè)備的軟硬件安全，通訊線路安全，運行環(huán)境安全等等方面。通訊線路的安全的可以防止信息數(shù)據(jù)在傳輸?shù)木€路上被攔截或篡改，為了使信息數(shù)據(jù)傳輸更加的安全，可以選擇安全性更高的光纖作為傳輸介質(zhì)，防止數(shù)據(jù)被攔截或篡改。此外，對于網(wǎng)絡(luò)的依賴性比較大的企業(yè)，一旦停電或者斷電，就會對企業(yè)會造成不必要的損失，為了預(yù)防這種情況發(fā)生，企業(yè)應(yīng)該安裝不間斷電源（UPS），避免這種情況發(fā)生。同時，網(wǎng)絡(luò)中斷也會對企業(yè)造成比較大的損失，為了確保通訊線路的暢通，企業(yè)做好冗余備份是必要的選擇，冗余備份就是多準備一份或者幾份，以備不時之需。如此一來，當一條通訊線路出了問題或者故障，導(dǎo)致網(wǎng)絡(luò)中斷時，會自動選擇冗余備份的線路，以確保網(wǎng)絡(luò)連接不被中斷，避免不必要的損失。

4.2操作系統(tǒng)的安全應(yīng)用措施。操作系統(tǒng)的安全性直接影響到網(wǎng)絡(luò)的安全，由于種種原因，計算機的操作系統(tǒng)存在著比較多的系統(tǒng)漏洞（BUG）。目前大多數(shù)網(wǎng)絡(luò)攻擊就是利用BUG進行惡意攻擊。為了預(yù)防這種情況發(fā)生，用戶需要定期對計算機進行系統(tǒng)檢查與修復(fù)，可以到微軟官網(wǎng)上下載適合系統(tǒng)的補丁進行修復(fù)[4]。

4.3網(wǎng)絡(luò)配置的安全應(yīng)用措施。網(wǎng)絡(luò)配置的安全應(yīng)用對于企業(yè)網(wǎng)的安全是至關(guān)重要的，為了有效地預(yù)防網(wǎng)絡(luò)攻擊及病毒入侵，需要合理安裝和設(shè)置防火墻、補丁系統(tǒng)、網(wǎng)絡(luò)殺毒軟件等等。此外，還要對賬號密碼進行有效的保護；關(guān)閉不需要的服務(wù)和端口；定期對服務(wù)器進行備份；檢測系統(tǒng)日志。

4.4網(wǎng)絡(luò)的安全應(yīng)用措施。為了更容易的獲取信息資源，大多數(shù)的企業(yè)網(wǎng)都與外網(wǎng)進行了連接，這樣做在方便了自己的同時，也很可能產(chǎn)生一些安全隱患。比如通過聊天工具傳播一些惡意軟件或網(wǎng)絡(luò)詐騙信息等。這樣的安全隱患也可能是企業(yè)員工在瀏覽網(wǎng)頁的過程中不經(jīng)意的觸發(fā)了一些不安全鏈接，進而帶入了一些惡意軟件，使企業(yè)網(wǎng)的數(shù)據(jù)資源失竊或被篡改。為了有效防止這種情況的發(fā)生，企業(yè)網(wǎng)絡(luò)用戶在上網(wǎng)時，要時刻保持警惕，不要輕易的相信來自網(wǎng)絡(luò)中的任何信息，對任何一個要進入網(wǎng)絡(luò)的人，都要進行必要的身份認證。面對有些需要在網(wǎng)絡(luò)上進行共享的信息時，企業(yè)網(wǎng)絡(luò)用戶要采取一定的措施來保證信息的安全，避免信息的泄漏。此外，企業(yè)網(wǎng)絡(luò)用戶還要堅決抵制惡意網(wǎng)站，拒絕惡意請求，確保網(wǎng)絡(luò)的安全應(yīng)用。

5結(jié)束語

篇3

1.1安全防御意識缺失

企業(yè)內(nèi)部人員并沒有充分認知到網(wǎng)絡(luò)安全防護的重要性，安全防護意識存在很大程度的缺失。隨著數(shù)字化技術(shù)的普及，網(wǎng)絡(luò)辦公方式將逐步實現(xiàn)數(shù)字化，辦公模式網(wǎng)絡(luò)化將會致使企業(yè)內(nèi)部人員對自動化技術(shù)產(chǎn)生高度依賴性。但是企業(yè)內(nèi)部人員并沒有對網(wǎng)絡(luò)安全防護工作給予高度重視，很多企業(yè)內(nèi)部的防御系統(tǒng)都存在陳舊老化的現(xiàn)象，沒有對網(wǎng)絡(luò)防御系統(tǒng)進行及時更新，網(wǎng)絡(luò)建設(shè)沒有足夠的資金支持，沒有針對網(wǎng)絡(luò)安全構(gòu)建完善的防護機制；面對網(wǎng)絡(luò)惡意破壞，企業(yè)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)并不具備良好的抵抗能力，一旦遭受破壞，將會很難進行維修；企業(yè)領(lǐng)導(dǎo)者并沒針對網(wǎng)絡(luò)安全開設(shè)相應(yīng)的管理部門，也沒有配備專業(yè)人員對網(wǎng)絡(luò)系統(tǒng)進行信息安全監(jiān)管。

1.2網(wǎng)絡(luò)非法入侵

企業(yè)網(wǎng)絡(luò)系統(tǒng)存在較多漏洞，網(wǎng)絡(luò)黑客將會利用這些漏洞非法入侵企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，繼而篡改企業(yè)信息資源、下載企業(yè)重要資料，致使企業(yè)內(nèi)部商業(yè)機密出現(xiàn)損壞、丟失或是泄漏等問題，會對企業(yè)的生存與發(fā)展造成巨大的不良影響。除此之外，網(wǎng)絡(luò)黑客還可以利用網(wǎng)絡(luò)系統(tǒng)漏洞，冒充他人，在網(wǎng)絡(luò)上進行非法訪問、竊取商業(yè)機密、泄露傳輸信息、詐騙、對計算進行病毒破壞以及干擾等行為，對企業(yè)的信息化網(wǎng)絡(luò)工程建設(shè)造成非常大的威脅，是企業(yè)實現(xiàn)信息化建設(shè)的主要障礙性因素。

1.3網(wǎng)絡(luò)病毒

網(wǎng)絡(luò)病毒可以通過多種途徑對企業(yè)網(wǎng)絡(luò)系統(tǒng)進行感染與侵害，例如，文件打開、軟件下載、聊天傳輸信息以及郵寄電子郵件等。病毒可以通過及時網(wǎng)絡(luò)進行傳播，因此網(wǎng)絡(luò)病毒的感染范圍非常大，感染效率較快，對企業(yè)網(wǎng)絡(luò)系統(tǒng)具有較大的危害性。隨著計算機技術(shù)的普及，網(wǎng)絡(luò)技術(shù)在各個領(lǐng)域受到了大力推廣，為網(wǎng)絡(luò)病毒的傳播提供了主要途徑，并在很大程度上提高了網(wǎng)絡(luò)病毒的感染效率。企業(yè)內(nèi)部人員在使用介質(zhì)軟件或是數(shù)據(jù)時，都有可能促使企業(yè)網(wǎng)絡(luò)系統(tǒng)感染網(wǎng)絡(luò)病毒，致使企業(yè)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)崩潰現(xiàn)象，整個網(wǎng)絡(luò)工程處于癱瘓狀態(tài)，導(dǎo)致企業(yè)網(wǎng)絡(luò)系統(tǒng)無法發(fā)揮自身的服務(wù)功能，會給企業(yè)造成嚴重的經(jīng)濟損失。除此之外，網(wǎng)絡(luò)病毒還可以采取其他手段對企業(yè)網(wǎng)絡(luò)系統(tǒng)進行病毒感染，例如竊取用戶名、登錄密碼等。

1.4忽視內(nèi)部防護

企業(yè)在構(gòu)建網(wǎng)絡(luò)化工程時，將對外工程作為系統(tǒng)防護重點，高度重視安全防火墻技術(shù)，并沒有對內(nèi)部防護工程的重要性形成正確的認知。安全防火墻只能提高企業(yè)網(wǎng)絡(luò)工程的對外防護質(zhì)量，對內(nèi)部防護毫無作用，如果使用企業(yè)內(nèi)的計算機攻擊網(wǎng)絡(luò)工程的局部區(qū)域，網(wǎng)絡(luò)工程的局部區(qū)域?qū)艿絿乐仄茐摹，F(xiàn)階段，內(nèi)部攻擊行為也被列為企業(yè)網(wǎng)絡(luò)安全建設(shè)的主要障礙性因素之一，因此，企業(yè)領(lǐng)導(dǎo)者要高度重視內(nèi)部防護工程建設(shè)，只有這樣，才能確保企業(yè)網(wǎng)絡(luò)化工程實現(xiàn)安全建設(shè)。根據(jù)相關(guān)調(diào)查資料顯示，現(xiàn)階段，我國企業(yè)網(wǎng)絡(luò)所遭受的安全攻擊中，內(nèi)部網(wǎng)絡(luò)攻擊在中發(fā)生事件中占據(jù)著非常大的比例，企業(yè)內(nèi)部人員對于網(wǎng)絡(luò)安全沒有形成良好的防范意識、網(wǎng)絡(luò)結(jié)構(gòu)被無意泄漏、IP地址隨意更改、亂用敏感數(shù)據(jù)等都會對企業(yè)網(wǎng)絡(luò)系統(tǒng)內(nèi)部防護工程造成巨大威脅。

2企業(yè)實現(xiàn)網(wǎng)絡(luò)安全建設(shè)的具體措施

2.1完善網(wǎng)絡(luò)安全體系

企業(yè)內(nèi)部人員在構(gòu)建網(wǎng)絡(luò)化工程前，要深入了解網(wǎng)絡(luò)信息的安全情況，對網(wǎng)絡(luò)信息的需求進行準確把握，具體分析企業(yè)內(nèi)部人員的使用情況以及非法攻擊情況，繼而采取科學(xué)合理的措施，開展具有針對性的信息安全管理工作，這樣可以為網(wǎng)絡(luò)安全建設(shè)提供基礎(chǔ)保障。企業(yè)網(wǎng)絡(luò)化工程安全性受到影響主要體現(xiàn)在兩方面，分別是外部入侵、內(nèi)部使用。內(nèi)部使用是指企業(yè)內(nèi)部工作人員沒有遵照相關(guān)規(guī)范標準進行網(wǎng)絡(luò)操作、信息安全防護意識存在缺失等，致使企業(yè)內(nèi)部信息出現(xiàn)泄漏等現(xiàn)象；外部入侵是指網(wǎng)絡(luò)木馬、黑客攻擊以及網(wǎng)絡(luò)病毒等。這兩種方式都會對企業(yè)網(wǎng)絡(luò)安全建設(shè)造成巨大的不良影響，會致使企業(yè)信息丟失，危害企業(yè)的生存與發(fā)展，因此，企業(yè)內(nèi)部人員應(yīng)根據(jù)企業(yè)網(wǎng)絡(luò)化工程的實際使用情況，構(gòu)建相應(yīng)的安全體系，企業(yè)領(lǐng)導(dǎo)者還要針對工作人員的行為進行標準規(guī)范，避免工作人員在實際網(wǎng)絡(luò)應(yīng)用中，出現(xiàn)違規(guī)操作行為，提高企業(yè)內(nèi)部人員的安全防護意識，并構(gòu)建軟硬件防護體系，可以有效抵抗外部入侵，從而保障企業(yè)網(wǎng)絡(luò)信息的安全。

2.2構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)

現(xiàn)階段，企業(yè)在網(wǎng)絡(luò)化工程建設(shè)過程中，主要采取兩種防護方式構(gòu)建安全系統(tǒng)，分別是軟件防護、硬件防護。面對現(xiàn)階段科學(xué)技術(shù)發(fā)展對網(wǎng)絡(luò)安全建設(shè)提出的要求，企業(yè)內(nèi)部人員在構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)時，應(yīng)該將軟件防護與硬件防護進行有效結(jié)合，只有這樣，才能確保企業(yè)網(wǎng)絡(luò)工程系統(tǒng)實現(xiàn)安全化建設(shè)，提高網(wǎng)絡(luò)信息的安全性，促使網(wǎng)絡(luò)化工程的服務(wù)功能得以全面發(fā)揮。隨著企業(yè)規(guī)模的不斷擴大，企業(yè)內(nèi)部人員要想全面提升企業(yè)的網(wǎng)絡(luò)化工程的防護能力，還要對網(wǎng)絡(luò)硬件的使用情況進行深入分析，繼而才能對防火墻服務(wù)器標準進行選擇，這樣可以有效提升服務(wù)器的可行性。企業(yè)內(nèi)部人員要想構(gòu)建良好的網(wǎng)絡(luò)安全系統(tǒng)，首先要對系統(tǒng)硬件設(shè)備進行深入調(diào)查，確定系統(tǒng)設(shè)備類型，準確把握企業(yè)內(nèi)部人員的實際使用需求，繼而再對防火墻類型進行選擇。

2.3對網(wǎng)絡(luò)安全設(shè)置進行有效強化

首先，企業(yè)內(nèi)部人員要對企業(yè)網(wǎng)絡(luò)系統(tǒng)進行充分了解，準確把握其與互聯(lián)網(wǎng)之間的接入方式，然后選擇適宜的軟件設(shè)備以及防火墻設(shè)備，這樣可以促使互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡(luò)化工程之間實現(xiàn)安全接入，有效提升企業(yè)網(wǎng)絡(luò)工程的防護能力。對于企業(yè)原有的防火墻，不應(yīng)進行拆除，應(yīng)該在其基礎(chǔ)上構(gòu)建入侵檢測系統(tǒng)，這樣可以對企業(yè)內(nèi)部網(wǎng)絡(luò)工程的運行狀況進行實時檢測，如果有突況，可以進行及時反映，這樣不僅可以為企業(yè)內(nèi)部人員的工作提供很大的便捷性，還能為企業(yè)網(wǎng)絡(luò)信息安全建設(shè)提供技術(shù)保障。為了實現(xiàn)移動辦公，企業(yè)內(nèi)部人員可以構(gòu)建一種加密系統(tǒng)，例如，VPN加密系統(tǒng)，利用該系統(tǒng)，企業(yè)內(nèi)部人員可以通過互聯(lián)網(wǎng)對企業(yè)內(nèi)網(wǎng)進行訪問，而不必擔心出現(xiàn)信息泄露等情況，可以有效提升企業(yè)網(wǎng)絡(luò)安全的防護功效。

3結(jié)語

篇4

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)；系統(tǒng)；安全；虛擬化；信息化

一、 企業(yè)網(wǎng)的組成和所面臨的安全威脅

(一) 企業(yè)網(wǎng)的組成

企業(yè)網(wǎng)一般由兩個大的功能區(qū)域組成：企業(yè)內(nèi)網(wǎng)和企業(yè)外部接入網(wǎng)。我們可以邏輯上把這兩大區(qū)域進一步劃分成若干個模塊，企業(yè)內(nèi)網(wǎng)包括管理模塊、核心模塊、分布層模塊、服務(wù)器模塊和邊界接入模塊五部分。企業(yè)外部接入網(wǎng)包括外網(wǎng)接入模塊和遠程接入模塊兩個部分。不同模塊實現(xiàn)不同的功能，各自的安全需要也有所不同, 需要實施相應(yīng)的安全策略。模塊與模塊之間的安全策略相互影響、相互作用并互為補充。典型的大型企業(yè)網(wǎng)絡(luò)架構(gòu)如下圖：

(二) 企業(yè)網(wǎng)面臨的安全威脅

1. 來自內(nèi)部用戶的安全威脅

大多數(shù)威脅來自于內(nèi)部網(wǎng)絡(luò), 如缺乏安全意識的員工、心懷不滿的員工、公司間諜等都是這類攻擊的來源。

2. 來自外部網(wǎng)絡(luò)的安全威脅

隨著信息技術(shù)的不斷發(fā)展,企業(yè)總部與分支以及合作伙伴之間的聯(lián)網(wǎng)需求越來越迫切。它們之間不可避免的需要通過網(wǎng)絡(luò)交換信息及共享資源。同時, 企業(yè)網(wǎng)還為內(nèi)部合法員工提供了上互聯(lián)網(wǎng)的途徑, 互聯(lián)網(wǎng)用戶可以訪問企業(yè)對外提供的公共服務(wù)器上的信息，由于信息資源的共享同時也給企業(yè)網(wǎng)的內(nèi)、外網(wǎng)安全帶來了一系列的挑戰(zhàn)。

二、 企業(yè)內(nèi)網(wǎng)的安全設(shè)計

企業(yè)內(nèi)網(wǎng)包括管理模塊、核心模塊、分布層模塊、服務(wù)器模塊和邊界接入模塊五部分。下面分別分析各個模塊的功能, 及面臨的安全威脅和相對應(yīng)的安全措施, 以及與其它模塊之間的關(guān)系。

(一) 管理模塊

管理模塊的主要功能是實現(xiàn)企業(yè)網(wǎng)絡(luò)的所有設(shè)備和服務(wù)器的安全管理。所面臨最主要的安全威脅有未授權(quán)接入、口令攻擊、中間人攻擊等，為了消除以上管理模塊面臨的安全威脅,應(yīng)采取以下的安全措施：

1. 管理數(shù)據(jù)流和生產(chǎn)網(wǎng)數(shù)據(jù)流需有效的安全隔離，包括盡可能使用安全性高的帶外管理, 在不能使用帶外管理的情況下,帶內(nèi)管理也要做到使用IPSec、SSH等加密傳輸。

2. 采用強力的認證授權(quán)技術(shù)對管理信息進行認證和授權(quán)，可以通過采用AAA認證和雙因素認證技術(shù), 保證只有合法的用戶才能管理相應(yīng)設(shè)備, 并能夠防止密碼泄漏和對密碼竊聽。

3. 采用完善的安全審計技術(shù)對整個網(wǎng)絡(luò)（或重要網(wǎng)絡(luò)部分）的運行進行記錄和分析，可以通過對記錄的日志數(shù)據(jù)進行分析、比較，找出發(fā)生的網(wǎng)絡(luò)安全問題的原因，并為今后網(wǎng)絡(luò)整改提供依據(jù)。

4. 部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，從而能夠?qū)α魅牒土鞒龉芾砟K的數(shù)據(jù)流進行實時的分析并及時發(fā)現(xiàn)可能的入侵行為。

由于管理模塊全網(wǎng)可達, 且能夠?qū)θW(wǎng)的所有設(shè)備和服務(wù)器進行管理，所以它的安全防護策略應(yīng)該是全網(wǎng)最嚴格的。

(二) 核心模塊

核心模塊的主要功能是快速轉(zhuǎn)發(fā)。所面臨主要安全威脅是分組竊聽、功能區(qū)域劃分模糊和如何實現(xiàn)快速故障隔離。當多種應(yīng)用流量運行在核心模塊時，如何防止不同應(yīng)用流量被竊聽篡改、如何對不同應(yīng)用區(qū)域進行分類保護、如何在核心模塊故障發(fā)生時進行有效快速的故障隔離成了當務(wù)之急。

核心模塊的主要設(shè)備是三層交換機, 三層交換架構(gòu)是消除分組竊聽威脅的有效手段，而核心三層交換機的虛擬化技術(shù)則可以解決核心功能區(qū)域的精細劃分、實現(xiàn)有效快速的隔離故障，提高系統(tǒng)的可用性，防止級聯(lián)式的服務(wù)中斷。通過核心交換機的虛擬化技術(shù)還可實現(xiàn)交換機控制和管理平面的虛擬化，在三層交換機上配置相應(yīng)的安全策略，為多個應(yīng)用或部門的流量提供安全的網(wǎng)絡(luò)分區(qū)，讓每個應(yīng)用或部門可以獨立管理和維護其各自的配置。

(三) 分布層模塊

分布層模塊主要提供包括路由、QoS和訪問控制。所面臨的主要安全威脅有未授權(quán)訪問、欺騙、病毒和特洛伊木馬的應(yīng)用。為了消除以上分布層模塊面臨的安全威脅, 分布層模塊應(yīng)采取以下的安全措施：

1. 針對二層網(wǎng)絡(luò)的安全威脅，利用網(wǎng)絡(luò)設(shè)備本身的二層網(wǎng)絡(luò)安全性能，進行二層網(wǎng)絡(luò)安全策略的部署，如二層VLAN劃分、DHCP窺探保護、動態(tài)ARP檢查、IP源地址保護等安全策略。

2. 通過在分布層使用訪問控制, 可以減少一個部門訪問另一部門服務(wù)器上保密信息的機會，利用設(shè)備包過濾技術(shù)，根據(jù)預(yù)先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。

3. 通過RFC2827過濾可有效防止源地址欺騙。

4. 部署防病毒系統(tǒng)，防止各個工作站感染病毒和特洛伊木馬的應(yīng)用。

5. 部署網(wǎng)絡(luò)準入控制系統(tǒng)，通過在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)準入控制系統(tǒng)，可以實現(xiàn)最大限度減少內(nèi)部網(wǎng)絡(luò)安全威脅，降低病毒和蠕蟲造成的停機時間。

根據(jù)網(wǎng)絡(luò)規(guī)模和性能要求的不同, 核心層和分布層可以結(jié)合起來合二為一, 從而達到減少硬件設(shè)備，達到減少投資與節(jié)能等目的。

(四) 服務(wù)器模塊

服務(wù)器模塊的主要目標是向最終用戶和設(shè)備提供應(yīng)用服務(wù)。所面臨的主要安全威脅有未授權(quán)訪問、應(yīng)用層攻擊、IP欺騙、分組竊聽和端口重定向等。為了消除以上安全威脅,應(yīng)采取以下的安全措施：

1. 使用基于主機和網(wǎng)絡(luò)的IDS/IPS系統(tǒng)。

2. 在交換機上配置私有VLAN,實現(xiàn)對服務(wù)器的訪問限制, 限制對關(guān)健服務(wù)器的隨意訪問。

3. 對服務(wù)器及時打上最新的補丁程序。

4. 對服務(wù)器區(qū)域（DMZ區(qū)域）進行不同安全級別劃分，通過對不同應(yīng)用的服務(wù)器進行安全級別的劃分，并通過防火墻模塊進行DMZ邏輯區(qū)域的隔離，可以實現(xiàn)服務(wù)器故障的快速隔離和服務(wù)器間訪問的有效控制。

5. 針對企業(yè)較為重要的郵件應(yīng)用服務(wù)器，可以單獨部署電子郵件安全產(chǎn)品，從而減少與垃圾郵件、病毒和其它各種威脅有關(guān)的宕機，以求減輕技術(shù)人員的負擔。

像分布層模塊一樣, 根據(jù)公司規(guī)模、應(yīng)用性能及需求的不同, 服務(wù)器模塊可以與核心模塊相結(jié)合。

(五) 邊界接入模塊

邊界接入模塊的目標是在網(wǎng)絡(luò)邊緣集中來自各個接入網(wǎng)模塊的連接，信息流從邊界接入模塊過濾后路 由至至核心。邊界接入模塊在整體功能方面和分布層模塊有些類似，都采用接入控制來過濾信息流,但邊界接入模塊在一定程度上依賴整個接入網(wǎng)功能區(qū)域來執(zhí)行附加安全功能。像服務(wù)器和分布層模塊一樣,如果性能要求不高, 邊界接入模塊可與核心模塊結(jié)合起來。

在邊界接入模塊比較常見的安全措施為應(yīng)用流量觀察分析和安全網(wǎng)關(guān)。應(yīng)用流量觀察分析是通過部署流量控制設(shè)備，使用其二至七層強大的應(yīng)用分析能力，能夠第一時間獲得核心模塊和接入網(wǎng)模塊之間應(yīng)用流量能見度，并以此為基礎(chǔ)在企業(yè)網(wǎng)絡(luò)中部署相應(yīng)的安全策略（比如限制病毒端口號、限制特定內(nèi)網(wǎng)IP地址、限制特定MAC地址）。安全網(wǎng)關(guān)是通過采用專用的安全網(wǎng)關(guān)技術(shù)，實現(xiàn)核心模塊和外網(wǎng)接入網(wǎng)模塊之間的Web內(nèi)容過濾，Web病毒掃描，間諜軟件防御，HTTPS安全控制，防機密數(shù)據(jù)外泄等等安全功能。

三、 企業(yè)接入網(wǎng)的安全設(shè)計

企業(yè)接入網(wǎng)由外網(wǎng)接入模塊和遠程接入模塊兩個部分組成。以下分別闡述各個模塊的功能、面臨的安全威脅和相應(yīng)的安全措施。

(一) 外網(wǎng)接入模塊

大多企業(yè)網(wǎng)雖然都是專網(wǎng),但是不可避免要和外網(wǎng)連接。外網(wǎng)包括企業(yè)分支網(wǎng)絡(luò)、第三方接入網(wǎng)絡(luò)和互聯(lián)網(wǎng)。所面臨的主要安全威脅有未授權(quán)接入、應(yīng)用層攻擊、病毒和特洛伊木馬、拒絕服務(wù)攻擊等。主要防御措施有：

1. 在外網(wǎng)接入模塊和外網(wǎng)之間部署防火墻。防火墻應(yīng)分為兩組防護, 一組用于企業(yè)網(wǎng)與分支機構(gòu)網(wǎng)絡(luò)的連接, 另一組用于企業(yè)網(wǎng)與互聯(lián)網(wǎng)的連接。防火墻為內(nèi)網(wǎng)的網(wǎng)絡(luò)資源提供保護,從而確保只有合法信息流穿過防火墻。部署在企業(yè)網(wǎng)與互聯(lián)網(wǎng)的連接上的防火墻時可以使用目前先進的“云火墻”技術(shù)，該技術(shù)可以持續(xù)收集互聯(lián)網(wǎng)上已知威脅的詳細信息，實現(xiàn)企業(yè)到互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全。

2. 使用防火墻的虛擬化技術(shù)，將單一防火墻設(shè)備邏輯劃分為多個虛擬防火墻，每個防火墻有自己的策略且分別進行管理，可以實現(xiàn)不同區(qū)域模塊之間的安全控制和設(shè)備資源的高效利用。

3. 部署IDS/IPS入侵檢測/防御系統(tǒng)，有條件的情況下, 在防火墻的內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)和DMZ區(qū)域都要部署入侵檢測/防御系統(tǒng), 以實時檢測來自外網(wǎng)的入侵行為。

4. 建立統(tǒng)一的應(yīng)用服務(wù)器用于與其它分支網(wǎng)絡(luò)構(gòu)建統(tǒng)一接入平臺，應(yīng)用服務(wù)器作為所有應(yīng)用服務(wù)的, 通過進行更嚴格的應(yīng)用數(shù)據(jù)流檢查和過濾,有利于外網(wǎng)接入模塊的標準化和可擴展性的提升。

5. 在與互聯(lián)網(wǎng)連接的企業(yè)網(wǎng)絡(luò)邊緣部署路由器，并通過在路由器入口進行數(shù)據(jù)流的過濾，路由器對大多數(shù)攻擊提供了過濾器,同時進行RFC1918和RFC2827過濾, 作為對過濾的驗證, 路由器還應(yīng)丟棄‘碎片’的數(shù)據(jù)包。對于過濾造成的合法數(shù)據(jù)包丟棄相比這些數(shù)據(jù)包帶來的安全風險是值得的。

(二) 遠程接入模塊

遠程接入模塊的主要目標有三個：從遠程用戶端接VPN信息流、為從遠程站點VPN信息流提供一個集線器以及撥號用戶。遠程接入模塊面臨的主要安全威脅有口令攻擊、未授權(quán)接入和中間人攻擊等。此模塊的核心要求是擁有三個獨立外部用戶服務(wù)驗證和端接，對于此模塊來說信息流的來源是來自于企業(yè)網(wǎng)絡(luò)外的不可信源, 因此要為這三種服務(wù)的每一種提供一個防火墻上的獨立接口。

1. 遠程接入VPN，遠程接入VPN推薦使用IPSec協(xié)議。此服務(wù)的安全管理是通過將所有IPSec的安全參數(shù)從中央站點推向遠程用戶實現(xiàn)的。

2. 撥號接入用戶，AAA和一次性口令服務(wù)器可用來驗證和提供口令。

3. 站點間VPN，與站點間連接相關(guān)的IP信息流在傳輸模式下由配置成GRE隧道來實現(xiàn)。

以上來自三種服務(wù)的信息流應(yīng)集中接入到防火墻的一個專用接口上。條件允許時在防火墻的內(nèi)口或外口部署IDS/IPS系統(tǒng), 以檢測可能的攻擊行為。

四、 模塊之間的相互關(guān)系

采用模塊化設(shè)計時, 不是簡單地將網(wǎng)絡(luò)安全設(shè)計分解成各個孤立的模塊, 各模塊之間緊密聯(lián)系，其安全防護措施也直接影響到其它模塊的安全。

管理模塊是整個網(wǎng)絡(luò)安全體系的核心、位于其它所有模塊的最頂層。網(wǎng)絡(luò)安全體系的建立, 應(yīng)該首先建立管理模塊的安全結(jié)構(gòu)。它相對于其它模塊有著很大的獨立性, 但它是建立其它模塊安全結(jié)構(gòu)的基礎(chǔ)和前提。

核心模塊、服務(wù)器模塊和分布層模塊構(gòu)成企業(yè)網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)。這三個模塊主要防范來自企業(yè)網(wǎng)內(nèi)部的安全威脅：分布層模塊提供了針對內(nèi)部發(fā)起攻擊的第一道防線；核心模塊的主要目標是線速的轉(zhuǎn)發(fā)數(shù)據(jù)流, 其安全性主要依賴于核心模塊交換設(shè)備本身的安全設(shè)置以及分布層模塊的安全防護；服務(wù)器模塊往往會成為內(nèi)部攻擊的主要目標, 安全性除了自身的安全措施和分布層模塊的安全防護外, 嚴格的安全管理是極為重要的。

邊界接入模塊是連接企業(yè)內(nèi)網(wǎng)和外部接入網(wǎng)的橋梁和紐帶。邊界接入模塊在外部接入網(wǎng)安全措施的基礎(chǔ)上, 為企業(yè)內(nèi)網(wǎng)提供附加的安全功能。

外部接入網(wǎng)為企業(yè)內(nèi)網(wǎng)提供了第一道安全防線, 也是外網(wǎng)接入企業(yè)網(wǎng)內(nèi)網(wǎng)統(tǒng)一的接入平臺。

模塊化的設(shè)計將復(fù)雜的大型網(wǎng)絡(luò)劃分為幾個相對簡單的模塊, 以模塊為基本單位構(gòu)筑整個網(wǎng)絡(luò)的安全體系結(jié)構(gòu)。使用模塊化的網(wǎng)絡(luò)安全設(shè)計能夠很容易實現(xiàn)單個模塊的安全功能,并實現(xiàn)模塊與模塊間的安全關(guān)系,從而在整個企業(yè)網(wǎng)絡(luò)中形成分層次的縱深防御體系。還能夠使設(shè)計者進行逐個模塊的安全風險評估和實施安全, 而非試圖在一個階段就完成整個體系結(jié)構(gòu)。

參考文獻：

[1] 崔國慶. 計算機網(wǎng)絡(luò)安全技術(shù)與防護的研究?. 電腦知識與技術(shù)，2009年9月.

篇5

1企業(yè)網(wǎng)絡(luò)安全需求分析

1.1網(wǎng)絡(luò)安全概念及特征

網(wǎng)絡(luò)安全是指為防范網(wǎng)絡(luò)攻擊、侵入、干擾、破壞、竊用及其他意外事故所采取的各種必要措施，以確保信息完整、可用、無泄露，保持網(wǎng)絡(luò)穩(wěn)定、安全地運行。其主要特征是保證網(wǎng)絡(luò)信息的完整性、可用性和機密性[2]。

1.2企業(yè)網(wǎng)絡(luò)安全面臨的主要問題

企業(yè)網(wǎng)絡(luò)安全面臨的問題歸納如下：（1）網(wǎng)絡(luò)安全目標不明確。雖然《網(wǎng)絡(luò)安全法》已于2017年6月1日起施行，但企業(yè)對網(wǎng)絡(luò)安全的重要性依然認識不足，缺乏網(wǎng)絡(luò)安全規(guī)劃，沒有明確的網(wǎng)絡(luò)安全目標[3]。（2）網(wǎng)絡(luò)安全意識不足。從企業(yè)的決策者到普通員工并沒有充分意識到網(wǎng)絡(luò)安全的重要性，企業(yè)網(wǎng)絡(luò)安全存在很大隱患。（3）網(wǎng)絡(luò)安全設(shè)施不健全。無論大型企業(yè)，還是中小企業(yè)，都存在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施投入不足的問題，以致設(shè)施陳舊、不完整，面對外部攻擊和各種漏洞很容易發(fā)生信息丟失、泄露、竊用等現(xiàn)象。（4）缺乏完整的網(wǎng)絡(luò)安全解決方案。企業(yè)網(wǎng)絡(luò)安全防護呈現(xiàn)碎片化、分散化等特點[4]，缺乏系統(tǒng)性、協(xié)同性、靈活性，面對萬物互聯(lián)和更高級的威脅，傳統(tǒng)防護手段捉襟見肘、防不勝防[5]。

1.3企業(yè)網(wǎng)絡(luò)安全需求

企業(yè)因網(wǎng)絡(luò)安全需要而產(chǎn)生的要求即為企業(yè)網(wǎng)絡(luò)安全需求，這是由企業(yè)內(nèi)部網(wǎng)絡(luò)因素與外部網(wǎng)絡(luò)形勢共同決定的，內(nèi)外都不會一成不變，所以企業(yè)網(wǎng)絡(luò)安全需求是一個動態(tài)過程，具有時效性。基于此，要準確把握企業(yè)網(wǎng)絡(luò)安全需求，必須對企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀進行調(diào)查分析，一般而言，企業(yè)網(wǎng)絡(luò)安全主要包括內(nèi)網(wǎng)安全、邊界安全及文件傳輸安全等方面[6]，具體體現(xiàn)在以下幾個方面：（1）網(wǎng)絡(luò)安全策略需求。安全策略的有效性、完整性和實用性是企業(yè)網(wǎng)絡(luò)安全的一個重要需求。目前的企業(yè)網(wǎng)絡(luò)安全策略文檔過于簡單，而且沒有形成完整的體系，對企業(yè)網(wǎng)絡(luò)安全的指導(dǎo)性不足。（2）網(wǎng)絡(luò)安全組織需求。企業(yè)應(yīng)建立結(jié)構(gòu)完整、職能清晰的網(wǎng)絡(luò)安全組織機構(gòu)，負責企業(yè)網(wǎng)絡(luò)安全策略制定、網(wǎng)絡(luò)安全培訓(xùn)、網(wǎng)絡(luò)安全運行管理等。（3）網(wǎng)絡(luò)安全運行管理需求。企業(yè)應(yīng)建立科學(xué)高效的運行管理體系，采用實用的運行管理方法，對服務(wù)器安全、網(wǎng)絡(luò)訪問可控性、網(wǎng)絡(luò)監(jiān)控等進行管理。

2企業(yè)網(wǎng)絡(luò)安全解決方案

2.1企業(yè)網(wǎng)絡(luò)安全方案設(shè)計原則

網(wǎng)絡(luò)安全方案的設(shè)計原則旨在指導(dǎo)企業(yè)科學(xué)合理地設(shè)計網(wǎng)絡(luò)安全方案，避免失于偏頗和“詞不達意”，設(shè)計原則可以有很多，筆者認為最重要的原則如下：（1）多重防護原則。突破單一防護機制要比突破多重防護機制容易得多。（2）簡單適用原則。過于復(fù)雜的方案漏洞多，本身就不安全。（3）系統(tǒng)性原則。企業(yè)網(wǎng)絡(luò)安全面對的威脅是多方面的，只專注于一點無法保障網(wǎng)絡(luò)安全。（4）需求、風險與代價平衡原則。沒有任何方案可以做到絕對安全，追求過高的安全性要付出巨大代價，所以要學(xué)會取舍，平衡風險與代價。（5）可維護性原則。沒有任何系統(tǒng)可以做到無懈可擊，要做到能隨時調(diào)整、升級、擴充。（6）技術(shù)與管理相結(jié)合原則。在改善安全技術(shù)的同時也要加強管理，減少管理漏洞，對于復(fù)雜的安全形勢，要多做預(yù)案，提前防范突發(fā)事件。

2.2企業(yè)網(wǎng)絡(luò)安全解決方案

2.2.1網(wǎng)絡(luò)分域防護方案網(wǎng)絡(luò)分域防護的原則是落實安全域的防護策略、制定訪問控制策略、檢查網(wǎng)絡(luò)邊界、分級防護等。從企業(yè)網(wǎng)絡(luò)安全需求及特點出發(fā)，將網(wǎng)絡(luò)組織架構(gòu)從邏輯上分為互聯(lián)網(wǎng)域、服務(wù)區(qū)域、外聯(lián)域和內(nèi)網(wǎng)核心區(qū)域，如圖1所示?；ヂ?lián)網(wǎng)域接入互聯(lián)網(wǎng)服務(wù)，服務(wù)區(qū)域即企業(yè)服務(wù)器放置區(qū)域，外聯(lián)域接入分公司區(qū)域，內(nèi)網(wǎng)核心區(qū)域是指企業(yè)內(nèi)部網(wǎng)絡(luò)互聯(lián)的核心設(shè)備區(qū)域。如此劃分的目的是保證具有相同防護需求的網(wǎng)絡(luò)及系統(tǒng)處于同一安全子域內(nèi)，便于各個安全子域內(nèi)部署相應(yīng)等級的防護策略。2.2.2部署安全網(wǎng)關(guān)方案在外網(wǎng)與內(nèi)網(wǎng)之間設(shè)置安全網(wǎng)關(guān)（如圖1所示），作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理屏障，以保護內(nèi)網(wǎng)安全。安全網(wǎng)關(guān)不是單一的防火墻，而是綜合了防病毒、入侵檢測和防火墻的一體化安全設(shè)備。該設(shè)備運用統(tǒng)一威脅管理（unifiedthreatmanagement,UTM）概念，將多種安全特性的防護策略整合到統(tǒng)一的管理平臺上，按需開啟多種功能，其由硬件、軟件、網(wǎng)絡(luò)技術(shù)組成。UTM在硬件上可以采用X86、ASIC、NP架構(gòu)中的一種，X86架構(gòu)適于百兆網(wǎng)絡(luò)，若是千兆網(wǎng)絡(luò)應(yīng)采用ASIC架構(gòu)或NP架構(gòu)。在升級、維護及開發(fā)周期方面，NP架構(gòu)比ASIC架構(gòu)更有優(yōu)勢。UTM軟件上可以集成防病毒、入侵檢測、內(nèi)容過濾、防垃圾郵件、流量管理等多種功能，通過模式匹配實現(xiàn)特征庫統(tǒng)一和效率提升。UTM管理結(jié)構(gòu)基于管理分層、功能分級思想，包含集中管理與單機管理的雙重管理機制，實現(xiàn)功能設(shè)置管理和數(shù)據(jù)分析能力。

2.2.3部署IPS與IDS方案IPS是入侵防御系統(tǒng)（intrusionpreventionsystem）的英文縮寫，用于監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備上的數(shù)據(jù)傳輸，發(fā)現(xiàn)異常數(shù)據(jù)可以即時中斷傳輸或進行隔離，先于攻擊達成實現(xiàn)防護，與防火墻功能上互補，并支持串行接入模式，采用基于策略的防護方式，用戶可以選擇最適合策略達到最佳防護效果。IPS部署在服務(wù)區(qū)域與內(nèi)網(wǎng)核心區(qū)域之間，或核心交換機與內(nèi)部服務(wù)器之間（如圖1所示），可實時監(jiān)測外部數(shù)據(jù)向內(nèi)部服務(wù)器的傳輸過程，發(fā)現(xiàn)入侵行為即報警、阻斷，同時還能精確阻擊SQL注入攻擊。IDS是入侵檢測系統(tǒng)（intrusiondetectionsystem）的英文縮寫，能對網(wǎng)絡(luò)數(shù)據(jù)傳輸實時監(jiān)視，發(fā)現(xiàn)可疑報警或采取其他主動反應(yīng)措施，屬于監(jiān)聽設(shè)備，其安全策略包括異常入侵檢測、誤用入侵檢測兩種方式，可部署在核心交換機上，對進出內(nèi)網(wǎng)與內(nèi)部服務(wù)器的數(shù)據(jù)進行監(jiān)測，如圖1所示。

2.2.4部署漏洞掃描系統(tǒng)方案漏洞掃描是基于漏洞數(shù)據(jù)庫，通過掃描檢測遠程系統(tǒng)或本地系統(tǒng)漏洞行為，與防火墻、IDS配合以提高網(wǎng)絡(luò)安全性，掃描對象包括網(wǎng)絡(luò)、主機和數(shù)據(jù)庫。漏洞掃描運用的技術(shù)有主機在線掃描、端口掃描、操作系統(tǒng)識別、漏洞監(jiān)測數(shù)據(jù)采集、智能端口識別、多重服務(wù)檢測、系統(tǒng)滲透掃描等。漏洞掃描系統(tǒng)部署方式包括獨立式部署和分布式部署。前者適于比較簡單的網(wǎng)絡(luò)結(jié)構(gòu)，例如電子商務(wù)、中小企業(yè)等；后者適于復(fù)雜、分布點多、數(shù)據(jù)相對分散的網(wǎng)絡(luò)結(jié)構(gòu)，例如政府、電力行業(yè)、金融行業(yè)、電信運營商等。圖1為采用獨立式部署的漏洞掃描系統(tǒng)方案。

篇6

關(guān)鍵詞 電力企業(yè)；信息安全；防護措施

中圖分類號TM7 文獻標識碼A 文章編號 1674-6708（2012）65-0022-03

信息化是社會生產(chǎn)力與生產(chǎn)方式發(fā)展的一個必然趨勢，是我國顯得文明建設(shè)的一項重要標志。信息化建設(shè)能夠帶動企業(yè)管理水平與生產(chǎn)效能的提高，信息資源作為一種重要的資源，其重要性逐漸被人們所認識。電力企業(yè)屬于技術(shù)密集型產(chǎn)業(yè)，對于生產(chǎn)自動化與集約化都有著較高的要求，因此也是較早的進行信息化建設(shè)的一批企業(yè)，并且也取得了一些顯著的成效，但是也正是因為起步較早，缺乏經(jīng)驗，因此在信息化網(wǎng)絡(luò)的建設(shè)中總是存在著很多問題，而這些問題已經(jīng)逐漸成為了電力企業(yè)網(wǎng)絡(luò)信息安全的隱患，因此，加強網(wǎng)絡(luò)信息安全已經(jīng)成為了電力企業(yè)發(fā)展的重要組成部分。

1 電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析

各級電力企業(yè)因為生產(chǎn)經(jīng)營與管理的需要，都在不同程度上建成了自己的自動化系統(tǒng)，變電站基本也實現(xiàn)了“四遙”和無人值守。并且也建立起了企業(yè)自己的管理系統(tǒng)來對生產(chǎn)、營銷、財務(wù)、行政辦公等工作進行覆蓋，并已經(jīng)進行了實用化具有較高安全等級的調(diào)度自動化系統(tǒng)已經(jīng)通過WEB網(wǎng)關(guān)與MIS之間進行相互的信息訪問，部分地方已經(jīng)安裝了正向隔離器，進而實現(xiàn)了物理隔離與數(shù)據(jù)的安全訪問。

各個電力企業(yè)已經(jīng)制定了安全策略，并實施了一部分，同時實現(xiàn)了互聯(lián)網(wǎng)的安全接入。

將營銷支持網(wǎng)絡(luò)與呼叫接入系統(tǒng)和MIS網(wǎng)絡(luò)進行了整合，并且已經(jīng)與用戶、銀行等企業(yè)實現(xiàn)了信息的安全共享，對自身的服務(wù)手段進行了優(yōu)化。

邊遠地區(qū)的班站基本都通過VPN技術(shù)來實現(xiàn)了遠程班組聯(lián)網(wǎng)的要求，并能夠?qū)崿F(xiàn)大范圍的信息共享，而且應(yīng)用范圍也變得更加的廣泛。利用VPN的高級應(yīng)用能夠構(gòu)建起基于互聯(lián)網(wǎng)的各種遠程服務(wù)。

2 電力企業(yè)網(wǎng)絡(luò)信息安全方面存在的問題

2.1不同的網(wǎng)絡(luò)之間沒有嚴格的進行等級劃分

根據(jù)《全國電力二次系統(tǒng)安全防護總體方案》，電力企業(yè)對于不同安全等級的網(wǎng)絡(luò)必須要進行安全等級的劃分。在縱向上，電力企業(yè)需要實現(xiàn)實時監(jiān)控系統(tǒng)之間的互聯(lián)。各個自動化系統(tǒng)與低調(diào)系統(tǒng)之間都是通過載波進行單向數(shù)據(jù)轉(zhuǎn)發(fā)，而部分基層電力企業(yè)都沒有實現(xiàn)網(wǎng)絡(luò)化的數(shù)據(jù)傳輸，同時在主站與廠站之間也沒有實現(xiàn)光纖載波雙通道。在橫向上，要求能夠?qū)崿F(xiàn)實時監(jiān)控系統(tǒng)與非實時監(jiān)控系統(tǒng)之間的相互連接。根據(jù)當前的互聯(lián)網(wǎng)現(xiàn)狀與通信現(xiàn)狀，主要還存在著這些問題：1）單向數(shù)據(jù)的傳輸難以實現(xiàn)真正意義上的數(shù)據(jù)共享，同時在與非實時系統(tǒng)之間的接口上也沒有進行標準數(shù)據(jù)接口的建設(shè)；2）部分電力企業(yè)沒有利用MPLS VPN技術(shù)組建數(shù)據(jù)調(diào)度網(wǎng)，沒有滿足相關(guān)的安全要求；3）上下級的調(diào)度之間沒有部署必須的認證加密裝置。

2.2隨著技術(shù)的發(fā)展與電力企業(yè)的業(yè)務(wù)發(fā)展，現(xiàn)有的網(wǎng)絡(luò)安全防護能力難以滿足要求

隨著信息技術(shù)的發(fā)展與電力企業(yè)自身業(yè)務(wù)的發(fā)展要求，網(wǎng)絡(luò)安全越來越受到重視，但是現(xiàn)有的網(wǎng)絡(luò)安全防護能力明顯不足，缺乏有效的管控手段，同時管理水平也急需要提高。如今的電力企業(yè)還缺少一套完善的服務(wù)器病毒防護系統(tǒng)，有一些地市、縣局都是使用的省公司所同一部署的趨勢防毒軟件，有的甚至還采用的是單機版的瑞星、江民、卡巴斯基等防病毒軟件，相對而言，防護能力還有所不足。當受到攻擊時，容易出現(xiàn)系統(tǒng)癱瘓。同時還沒有能夠建立起一套完善的數(shù)據(jù)備份恢復(fù)機制，如果數(shù)據(jù)受到破壞，那么所受到的損失將難以估量。沒有一套完善的網(wǎng)管軟件，難以對一些內(nèi)部用戶的過激行為進行有效的監(jiān)管，例如IP盜用、沖突，濫用網(wǎng)絡(luò)資源（BT下載等），等等。還沒有能夠建立起一套完善的評測和風險評估制度，對于當前電力企業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀難以進行有效的評估。同時，我國也缺乏專業(yè)的評測機構(gòu)，這就使得電力企業(yè)網(wǎng)絡(luò)安全風險與隱患都難以被及時發(fā)現(xiàn)和進行有效的防范，使得電力企業(yè)的防范能力難以得到持續(xù)增強。

2.3電力企業(yè)服務(wù)器存在的安全隱患

在電力系統(tǒng)中有著十分眾多的服務(wù)器。隨著網(wǎng)絡(luò)攻擊手段與攻擊技術(shù)的不斷更新，服務(wù)器攻擊愈演愈烈，因此擁有眾多服務(wù)器的電力系統(tǒng)成為了攻擊的首選對象。在電力企業(yè)中的服務(wù)器主要包括了數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、Web服務(wù)器、算費服務(wù)器、銀電聯(lián)網(wǎng)服務(wù)器等多種服務(wù)器，眾多的服務(wù)器也使得其存在著嚴重的安全隱患：1）電力企業(yè)的網(wǎng)絡(luò)中，每一個服務(wù)器都擁有自己獨立的認證系統(tǒng)，但是這些服務(wù)器卻缺乏統(tǒng)一的權(quán)限管理策略，管理員難以進行統(tǒng)一的有效管理；2）Web服務(wù)器和流媒體服務(wù)器長期遭受到來自于互聯(lián)網(wǎng)的DDoS以及各種病毒的侵襲；3）讓郵件服務(wù)器中受到大量的垃圾郵件的干擾，并且也難以進行有效的信息監(jiān)管，經(jīng)常會發(fā)生企業(yè)員工通過電子郵件來傳遞企業(yè)的機密信息的安全事件；4）權(quán)限劃分不明確，容易受到來自外部黑客的攻擊，例如通過SQL注入、腳本注入、命令注入方式等方式來竊取數(shù)據(jù)庫中的機密數(shù)據(jù)；5）與總公司服務(wù)器通信過程中有些機密信息由于沒有采取加密措施，很容易被竊聽而泄密。

2.4各種惡意網(wǎng)頁所帶來的網(wǎng)絡(luò)安全威脅

電力企業(yè)擁有自己的主題網(wǎng)站，并通過互聯(lián)網(wǎng)與外網(wǎng)相連。每一個電腦使用者都會通過對網(wǎng)頁的點擊來尋找對自己有用的信息，電力企業(yè)內(nèi)網(wǎng)與外網(wǎng)相連，因此，電力企業(yè)中的員工也會通過與外網(wǎng)的鏈接，從互聯(lián)網(wǎng)中搜索對自己有用的信息，但是并不是所有的網(wǎng)頁都是安全的，有一些網(wǎng)站的開發(fā)者或者是黑客會為了能夠達到某種目的對網(wǎng)頁進行修改，進而達到某種目的，當電力企業(yè)的內(nèi)部員工通過電力企業(yè)內(nèi)部的網(wǎng)絡(luò)進行訪問時，就會受到來自這些惡意網(wǎng)頁的攻擊。

2.5設(shè)備本身與系統(tǒng)軟件存在漏洞

由于電力企業(yè)的信息化建設(shè)較早，這就導(dǎo)致了很多設(shè)備與軟件都出現(xiàn)了各種安全漏洞，這些都導(dǎo)致了不良安全后果的程度增加。信息網(wǎng)絡(luò)自身在操作系統(tǒng)、數(shù)據(jù)庫以及通信協(xié)議等存在安全漏洞和隱蔽信道等不安全因素；存儲介質(zhì)損壞造成大量信息的丟失，殘留信息泄密，計算機設(shè)備工作時產(chǎn)生的輻射電磁波造成的信息泄密。信息網(wǎng)絡(luò)使用單位未及時修補或防范軟件漏洞、采用弱口令設(shè)置、缺少訪問控制以及攻擊者利用軟件默認設(shè)置進行攻擊，是導(dǎo)致安全事件發(fā)生的主要原因。

3 電力企業(yè)網(wǎng)絡(luò)信息安全防護措施

3.1進行網(wǎng)絡(luò)安全風險評估

電力企業(yè)要解決網(wǎng)絡(luò)安全問題并不能夠僅僅是從技術(shù)上進行考慮，技術(shù)是安全的主體，但是卻不能成為安全的靈魂，而管理才是安全的靈魂。網(wǎng)絡(luò)安全離不開各種安全技術(shù)的具體實施以及各種安全產(chǎn)品的部署，但是現(xiàn)在在市面上出現(xiàn)的安全技術(shù)、安全產(chǎn)品實在是讓人感覺眼花繚亂，難以進行選擇，這時就需要進行風險分析，可行性分析等，對電力企業(yè)當前所面臨的網(wǎng)絡(luò)風險進行分析，并分析解決問題或最大程度降低風險的可行性，對收益與付出進行比較，并分析有哪一些產(chǎn)品能夠讓電力企業(yè)用自己最小的代價滿足其對網(wǎng)絡(luò)安全的需要，同時還需要考慮到安全與效率的權(quán)衡等。對于電力企業(yè)來說，搞清楚信息系統(tǒng)現(xiàn)有以及潛在的風險，充分評估這些風險可能帶來的威脅和影響，將是電力企業(yè)實施安全建設(shè)必，須首先解決的問題，也是制定安全策略的基礎(chǔ)與依據(jù)。

3.2構(gòu)建防火墻

防火墻是一種能有效保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，有軟件防火墻與硬件防火墻這兩類。防火墻能夠有效的阻止網(wǎng)絡(luò)中的各種非法訪問以及構(gòu)建起起一道安全的屏障，對于信息的輸入、輸出都能夠進行有效的控制?？梢栽诰W(wǎng)絡(luò)邊界上通過硬件防火墻的構(gòu)建，對電力企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間的通信進行監(jiān)控，并能夠有效的對內(nèi)網(wǎng)和外網(wǎng)進行隔離，從而能夠阻檔外部網(wǎng)絡(luò)的侵人。對于電力企業(yè)可以通過“防火墻+殺毒軟件”的配置來對內(nèi)部的服務(wù)器與計算機進行安全保護。同時還需要定期的進行升級。為了防止各種意外的發(fā)生，需要對各種數(shù)據(jù)進行定期的備份。需要定期的對個硬件以及各種備份的有效性進行檢驗。電力企業(yè)防火墻體系構(gòu)建如下：

訪問控制列表構(gòu)建防火墻控制體系。通過對訪問控制列表的調(diào)節(jié)能夠有效的實現(xiàn)路由器對數(shù)據(jù)包的選擇。通過對訪問控制列表的增刪，能有效的對網(wǎng)絡(luò)進行控制，對流入和流出路由器接口的數(shù)據(jù)包進行過濾，達到部分網(wǎng)絡(luò)防火墻的效果。

配置硬件防火墻。在電力企業(yè)中硬件防火墻的使用較多，但是能夠真正發(fā)揮作用的就不多了。在使用硬件防火墻前，需要將防火墻與企業(yè)的整個網(wǎng)絡(luò)配置好。首先需要對防火墻的工作模式進行選擇，例如WatchGuard這款防火墻具有兩種工作模式，一種是Drop-In Mode，另外一種是Routed Mode。前面的那一種模式主要是用于不帶“非軍事區(qū)”或者是沒有內(nèi)網(wǎng)的網(wǎng)絡(luò)環(huán)節(jié)中，因此，電力企業(yè)中就應(yīng)該選擇Routed Mode這種模式。然后將其中的外接網(wǎng)口、內(nèi)部接口、“非軍事區(qū)”等選項添好，當對網(wǎng)絡(luò)設(shè)置完成之后，就可以利用相應(yīng)的GUI 程序與硬件防火墻進行連接，并對應(yīng)將防火墻進行進一步的配置。在電力企業(yè)中有很多部門，每一個部門對網(wǎng)絡(luò)安全的具體需求都不相同。因此，在設(shè)置時需要考慮到部門的具體情況。

3.3加強對計算機病毒的預(yù)防控制

計算機病毒的防治是網(wǎng)絡(luò)安全的主要組成部分，而對電力企業(yè)的網(wǎng)絡(luò)安全造成威脅的主要是各種新型的病毒。若要從根本上防止新型態(tài)病毒對企業(yè)的威脅，就必須從監(jiān)控、強制、防止及恢復(fù)等四個階段對新型態(tài)病毒進行管理。

控制計算機病毒爆發(fā)次數(shù)，降低病毒對業(yè)務(wù)所產(chǎn)生的影響。我們知道，病毒從感染單臺客戶機?擴散?爆發(fā)，均需要一段空窗期。很多時候，管理人員都是在病毒爆發(fā)之后才能夠發(fā)現(xiàn)問題，但是這時已經(jīng)太晚。因此需要能夠在病毒擴散期就發(fā)現(xiàn)問題根源，才能夠有效的降低病毒爆發(fā)的概率。

網(wǎng)絡(luò)層防毒將能夠有效的對病毒進行預(yù)防。在電力企業(yè)中，需要將網(wǎng)絡(luò)病毒的防范作為最重要的防范對象，通過在網(wǎng)絡(luò)接口和重要安全區(qū)域部署網(wǎng)絡(luò)病毒墻，在網(wǎng)絡(luò)層全面消除外來病毒的威脅，使得網(wǎng)絡(luò)病毒不能再肆意傳播，同時結(jié)合病毒所利用的傳播途徑，對整個安全策略進行貫徹。

預(yù)防病毒并不能夠完全的依靠病毒的特征碼，還必須要實現(xiàn)對病毒發(fā)作的整個生命周期進行管理。必須要建立起一套完善的預(yù)警機制、清除機制、修復(fù)機制，通過這些機制來保障病毒能夠被高效處理，防毒系統(tǒng)需要在病毒代碼到來之前，就能夠通過可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護等各種手段來對病毒進行有效控制，使得新病毒未進來的進不來、進來的又沒有擴散的途徑。在清除與修復(fù)階段又可以對這些病毒高效清除，快速恢復(fù)系統(tǒng)至正常狀態(tài)。

3.4開展電力企業(yè)內(nèi)部的全員信息安全教育和培訓(xùn)活動

安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容，信息安全不僅僅是信息部門的事，它牽涉到企業(yè)所有的員工，為了保證安全的成功和有效，應(yīng)當對企業(yè)各級管理人員，用戶，技術(shù)人員進行安全培訓(xùn)，減少人為差錯，失誤造成的安全風險。

開展安全教育和培訓(xùn)還應(yīng)該注意安全知識的層次性，主管信息安全工作的負責人或各級管理人員，重點是了解，掌握企業(yè)信息安全的整體策略及目標，信息安全體系的構(gòu)成，安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術(shù)人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術(shù)的合理運用等;用戶，重點是學(xué)習各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔的安全職責等。

4 結(jié)論

網(wǎng)絡(luò)安全是一個綜合系統(tǒng)，不僅僅涉及到技術(shù)層面的問題同時還會涉及到管理上面的問題。網(wǎng)絡(luò)上，無論是硬件還是軟件出現(xiàn)問題都會對整個網(wǎng)絡(luò)安全形成威脅，產(chǎn)生出網(wǎng)絡(luò)安全問題。我們需要通過系統(tǒng)工程的觀點、方法對當前電力企業(yè)中的網(wǎng)絡(luò)安全現(xiàn)狀進行分析，并提出提高網(wǎng)絡(luò)安全性的措施。在電力企業(yè)的網(wǎng)絡(luò)中，包括了個人、硬件設(shè)備、軟件、數(shù)據(jù)等多個環(huán)節(jié)，這些環(huán)節(jié)在網(wǎng)絡(luò)中所具有的地位與影響都需要從整個電力企業(yè)的網(wǎng)絡(luò)系統(tǒng)去進行整體的看待和分析。電力企業(yè)的網(wǎng)絡(luò)安全必須要進行風險評估才能夠制定出合理的計劃。

參考文獻

[1]余志榮.淺析電力企業(yè)網(wǎng)絡(luò)安全[J].福建電腦，2011(7).

[2]周偉.計算機網(wǎng)絡(luò)安全技術(shù)的影響因素與防范措施[J].網(wǎng)友世界，2012(1)．

[3]張鵬宇.電力行業(yè)網(wǎng)絡(luò)安全技術(shù)研究[J].信息與電腦（理論版），2011(1).

篇7

隨著數(shù)據(jù)庫、軟件工程和多媒體通信技術(shù)的快速發(fā)展，礦山企業(yè)實施了安全生產(chǎn)集控系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)、調(diào)度管控系統(tǒng)、移動辦公系統(tǒng)及智能決策支持等系統(tǒng)，實現(xiàn)了礦山企業(yè)安全生產(chǎn)、辦公和管理信息化、智能化。網(wǎng)絡(luò)能夠?qū)崿F(xiàn)各類信息化系統(tǒng)的數(shù)據(jù)共享、協(xié)同辦公等，也是信息化系統(tǒng)正常運行的關(guān)鍵，因此網(wǎng)絡(luò)安全防御具有重要的作用。本文詳細地分析了礦山企業(yè)網(wǎng)絡(luò)安全面臨的問題和現(xiàn)狀，提出采用先進的防御措施，構(gòu)建安全管理系統(tǒng)，以便提高網(wǎng)絡(luò)安全性能，進一步改善礦山企業(yè)信息化運營環(huán)境的安全性。

1礦山企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)將分布于礦山企業(yè)生產(chǎn)、管理等部門的設(shè)備連接在一起，形成了一個強大的礦山企業(yè)服務(wù)系統(tǒng)，為礦山企業(yè)提供了強大的信息共享、數(shù)據(jù)傳輸能力。但是，由于許多礦山企業(yè)工作人員在操作管理系統(tǒng)、使用計算機時不規(guī)范，如果一臺終端或服務(wù)器感染了計算機病毒、木馬，將會在很短的時間內(nèi)擴散到其他終端和服務(wù)器中，感染礦山企業(yè)信息化系統(tǒng)，導(dǎo)致礦山企業(yè)服務(wù)系統(tǒng)無法正常使用。經(jīng)過分析與研究，目前網(wǎng)絡(luò)安全管理面臨威脅攻擊渠道多樣化、威脅智能化等現(xiàn)狀。

1.1網(wǎng)絡(luò)攻擊渠道多樣化

目前網(wǎng)絡(luò)黑客技術(shù)正快速普及，網(wǎng)絡(luò)攻擊和威脅不僅僅來源于黑客、病毒和木馬，傳播渠道不僅僅局限于計算機，隨著移動互聯(lián)網(wǎng)、光纖網(wǎng)絡(luò)的興起和應(yīng)用，網(wǎng)絡(luò)安全威脅通過智能終端進行傳播，傳播渠道更加多樣化。

1.2網(wǎng)絡(luò)安全威脅智能化

隨著移動計算、云計算和分布式計算技術(shù)的快速發(fā)展，網(wǎng)絡(luò)黑客制作的木馬和病毒隱藏周期更長，破壞的范圍更加廣泛，安全威脅日趨智能化，給礦山企業(yè)信息化系統(tǒng)帶來的安全威脅更加嚴重，非常容易導(dǎo)致網(wǎng)絡(luò)安全數(shù)據(jù)資料丟失。

1.3網(wǎng)絡(luò)安全威脅嚴重化

網(wǎng)絡(luò)安全攻擊渠道多樣、智能逐漸增加了安全威脅的程度，網(wǎng)絡(luò)安全受到的威脅日益嚴重，礦山企業(yè)網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)資源一旦受到安全攻擊，將會在短時間內(nèi)迅速感染等網(wǎng)絡(luò)中接入的軟硬件資源，破壞網(wǎng)絡(luò)安全威脅。

2礦山企業(yè)網(wǎng)絡(luò)安全防御措施研究

礦山企業(yè)網(wǎng)絡(luò)運行過程中，安全管理系統(tǒng)可以采用主動、縱深防御模式，安全管理系統(tǒng)主要包括預(yù)警、響應(yīng)、保護、防御、監(jiān)測、恢復(fù)和反擊等六種關(guān)鍵技術(shù)，從根本上轉(zhuǎn)變礦山企業(yè)信息系統(tǒng)使用人員的安全意識，改善系統(tǒng)操作規(guī)范性，進一步增強網(wǎng)絡(luò)安全防御性能。

2.1網(wǎng)絡(luò)安全預(yù)警

網(wǎng)絡(luò)安全預(yù)警措施主要包括漏洞預(yù)警、行為預(yù)警和攻擊趨勢預(yù)警，能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流中存在的威脅。漏洞預(yù)警可以積極發(fā)現(xiàn)網(wǎng)絡(luò)操作系統(tǒng)中存在的漏洞，以便積極升級系統(tǒng)，修復(fù)系統(tǒng)漏洞。行為預(yù)警、攻擊預(yù)警可以分析網(wǎng)絡(luò)數(shù)據(jù)流，發(fā)現(xiàn)數(shù)據(jù)中隱藏的攻擊行為或趨勢,以便能夠有效預(yù)警。網(wǎng)絡(luò)安全預(yù)警是網(wǎng)絡(luò)預(yù)警的第一步,其作用非常明顯,可以為網(wǎng)絡(luò)安全保護提供依據(jù)。

2.2網(wǎng)絡(luò)安全保護

網(wǎng)絡(luò)安全保護可以采用簡單的殺毒軟件、防火墻、訪問控制列表、虛擬專用網(wǎng)等技術(shù)防御攻擊威脅，以便保證網(wǎng)絡(luò)數(shù)據(jù)的機密性、完整性、可控性、不可否認性和可用性。網(wǎng)絡(luò)安全保護與傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)相近，因此在構(gòu)建主動防御模型時，融入了傳統(tǒng)的防御技術(shù)。

2.3網(wǎng)絡(luò)安全監(jiān)測

網(wǎng)絡(luò)安全監(jiān)測可以采用掃描技術(shù)、實時監(jiān)控技術(shù)、入侵檢測技術(shù)等發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在嚴重的漏洞或攻擊數(shù)據(jù)流，能夠進一步完善主動防御模型內(nèi)容，以便從根本上保證網(wǎng)絡(luò)安全防御的完整性。

2.4網(wǎng)絡(luò)安全響應(yīng)

網(wǎng)絡(luò)安全響應(yīng)能夠?qū)W(wǎng)絡(luò)中存在的病毒、木馬等安全威脅做出及時的反應(yīng)，以便進一步阻止網(wǎng)絡(luò)攻擊，將網(wǎng)絡(luò)安全威脅阻斷或者引誘到其他的備用主機上。

2.5網(wǎng)絡(luò)恢復(fù)

礦山企業(yè)信息系統(tǒng)遭受到攻擊之后，為了盡可能降低網(wǎng)絡(luò)安全攻擊損失，提高用戶的承受能力，可以采用網(wǎng)絡(luò)安全恢復(fù)技術(shù)，將系統(tǒng)恢復(fù)到遭受攻擊前的階段。主動恢復(fù)技術(shù)主要采用離線備份、在線備份、階段備份或增量備份等技術(shù)。

2.6網(wǎng)絡(luò)安全反擊

網(wǎng)絡(luò)反擊技術(shù)是主動防御最為關(guān)鍵的技術(shù)，也是與傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)最大的區(qū)別。網(wǎng)絡(luò)反擊技術(shù)可以采用欺騙類攻擊、病毒類攻擊、漏洞類攻擊、探測類攻擊和阻塞類攻擊等技術(shù)，網(wǎng)絡(luò)反擊技術(shù)可以針對攻擊威脅的源主機進行攻擊，不但能夠阻斷網(wǎng)絡(luò)攻擊，還可以反擊攻擊源，以便破壞攻擊源主機的運行性能。

3礦山企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計

為了能夠更好地導(dǎo)出系統(tǒng)的邏輯業(yè)務(wù)功能，對網(wǎng)絡(luò)安全管理的管理員、用戶和防御人員進行調(diào)研和分析，使用原型化方法和結(jié)構(gòu)化需求分析技術(shù)導(dǎo)出了系統(tǒng)的邏輯業(yè)務(wù)功能，分別是系統(tǒng)配置管理功能、用戶管理功能、安全策略管理功能、網(wǎng)絡(luò)狀態(tài)監(jiān)控管理功能、網(wǎng)絡(luò)運行日志管理功能、網(wǎng)絡(luò)運行報表管理功能等六個部分。

3.1網(wǎng)絡(luò)安全管理系統(tǒng)配置管理功能分析

通過對網(wǎng)絡(luò)安全管理系統(tǒng)操作人員進行調(diào)研和分析，導(dǎo)出了系統(tǒng)配置管理功能的業(yè)務(wù)功能，系統(tǒng)配置管理功能主要包括七個關(guān)鍵功能，分別是系統(tǒng)用戶信息配置管理功能、網(wǎng)絡(luò)模式配置、網(wǎng)絡(luò)管理參數(shù)配置、網(wǎng)絡(luò)管理對象配置、輔助工具配置、備份與恢復(fù)配置和系統(tǒng)注冊與升級等。

3.2用戶管理功能分析

礦山企業(yè)網(wǎng)絡(luò)運行中，其主要設(shè)備包括多種，操作的用戶也有很多種類別，比如網(wǎng)絡(luò)設(shè)備管理人員、應(yīng)用系統(tǒng)管理人員、網(wǎng)絡(luò)維護部門、服務(wù)器等，因此用戶管理功能主要包括人員、組織、機器等分析，主要功能包括三個方面，分別是組織管理、自動分組和認證配置。組織管理功能可以對網(wǎng)絡(luò)中的設(shè)備進行組織和管理，按照賬號管理、機器管理等進行操作；自動分組可以根據(jù)用戶搜索的設(shè)備的具體情況改善機器的搜索范圍，添加到機器列表中，并且可以對及其進行重新的分組管理；認證配置可以根據(jù)終端機器的登錄模式進行認證管理。

3.3安全策略管理功能分析

網(wǎng)絡(luò)安全防御過程中，網(wǎng)絡(luò)安全需要配置相關(guān)的策略，以便能夠更好的維護網(wǎng)絡(luò)運行安全，同時可以為用戶提供強大的保護和防御性能，網(wǎng)絡(luò)安全策略配置是非常重要的一個工作內(nèi)容。網(wǎng)絡(luò)安全防御規(guī)則包括多種，比如入侵監(jiān)測規(guī)則、網(wǎng)絡(luò)響應(yīng)規(guī)則、網(wǎng)絡(luò)阻斷規(guī)則等，配置過程復(fù)雜，工作量大，通過歸納，需要根據(jù)網(wǎng)絡(luò)安全防御的關(guān)鍵內(nèi)容設(shè)置網(wǎng)絡(luò)訪問的黑白名單、應(yīng)用封堵、流量封堵、行為審計、內(nèi)容審計、策略分配等功能。

3.4網(wǎng)絡(luò)狀態(tài)監(jiān)控管理功能分析

網(wǎng)絡(luò)運行過程中，由于涉及的服務(wù)器、終端設(shè)備較多，網(wǎng)絡(luò)運行容易產(chǎn)生錯誤，需要對網(wǎng)絡(luò)狀態(tài)進行實時監(jiān)管，以便能夠及時的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的攻擊威脅、故障燈。網(wǎng)絡(luò)運行管理過程中，需要時刻的監(jiān)控網(wǎng)絡(luò)的運行管理狀態(tài)，具體的網(wǎng)絡(luò)運行管理的狀態(tài)主要包括三個方面，分別是系統(tǒng)運行狀態(tài)、網(wǎng)絡(luò)活動狀態(tài)、流量監(jiān)控狀態(tài)。

3.5網(wǎng)絡(luò)運行日志管理功能分析

礦山企業(yè)網(wǎng)絡(luò)運行過程中，根據(jù)計算機的特性需要保留網(wǎng)絡(luò)操作日志，如果發(fā)生網(wǎng)絡(luò)安全事故，可以對網(wǎng)絡(luò)操作日志進行分析，便于發(fā)現(xiàn)某些操作是不符合規(guī)則的。因此，網(wǎng)絡(luò)運行管理過程中，網(wǎng)絡(luò)運行日志管理可以分析網(wǎng)絡(luò)運行操作的主要信息，日志管理主要包括以下幾個方面，分別是內(nèi)容日志管理、報警日志管理、封堵日志管理、系統(tǒng)操作日志管理。

3.6網(wǎng)絡(luò)運行報表管理功能分析

網(wǎng)絡(luò)運行過程中，為了能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全管理的統(tǒng)計分析，可以采用網(wǎng)絡(luò)安全報表管理模式，以便能夠統(tǒng)計分析接入到網(wǎng)絡(luò)中的各種軟硬件設(shè)備和系統(tǒng)的運行情況，網(wǎng)絡(luò)運行報表管理主要包括兩個方面的功能，分別是統(tǒng)計報表和報表訂閱。

4結(jié)束語

隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算和移動互聯(lián)網(wǎng)技術(shù)的快速應(yīng)用和普及，礦山企業(yè)逐漸進入智慧化時代，網(wǎng)絡(luò)安全威脅更加智能化、快速化和多樣化，感染速度更快，影響范圍更廣，給礦山企業(yè)信息系統(tǒng)帶來的損失更加嚴重，本文提出構(gòu)建一種多層次的主動網(wǎng)絡(luò)安全防御系統(tǒng)，能夠提高礦山企業(yè)信息系統(tǒng)網(wǎng)絡(luò)運行的安全性，具有重要的作用和意義。

作者:張軍 單位:陜西南梁礦業(yè)有限公司

引用：

[1]汪軍陽，司巍.計算機網(wǎng)絡(luò)應(yīng)用安全問題分析與防護措施探討[J].電子技術(shù)與軟件工程，2013.

[2]黃哲，文曉浩.淺論計算機網(wǎng)絡(luò)安全及防御措施[J].計算機光盤軟件與應(yīng)用，2013.

[3]潘澤歡.數(shù)字化校園網(wǎng)絡(luò)的安全現(xiàn)狀及防御對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[4]趙銳.探討計算機網(wǎng)絡(luò)信息安全問題與防護措施[J].計算機光盤軟件與應(yīng)用，2014.

[5]白雪.計算機網(wǎng)絡(luò)安全應(yīng)用及防御措施的探討[J].計算機光盤軟件與應(yīng)用，2012.

[6]王喜昌.計算機網(wǎng)絡(luò)管理系統(tǒng)及其安全技術(shù)分析[J].計算機光盤軟件與應(yīng)用，2014.

篇8

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)安全；管理；部署

中圖分類號：F224.33文獻標識碼：A文章編號：1672-3198（2008）03-0128-02

1 引言

隨著信息化進程的提速，越來越多地企業(yè)信息被披露于企業(yè)內(nèi)外部網(wǎng)絡(luò)環(huán)境中，如何保護企業(yè)機密，保障企業(yè)信息安全，成為企業(yè)信息化發(fā)展過程中必然需要面臨和解決的問題。

對于企業(yè)信息網(wǎng)絡(luò)安全管理需要部署的內(nèi)容，首先要明確企業(yè)的哪些資產(chǎn)需要保護，確定關(guān)鍵數(shù)據(jù)和相關(guān)業(yè)務(wù)支持技術(shù)資產(chǎn)的價值，然后在此基礎(chǔ)上，制定并實施安全策略，完成安全策略的責任分配，設(shè)立安全標準。

2 企業(yè)網(wǎng)絡(luò)信息安全需求分析

對企業(yè)網(wǎng)絡(luò)信息安全的網(wǎng)絡(luò)調(diào)查顯示：有超過85%的安全威脅來自企業(yè)內(nèi)部；有16%來自內(nèi)部未授權(quán)的訪問；有11%資料或網(wǎng)絡(luò)的破壞?？梢钥闯觯簛碜杂谄髽I(yè)內(nèi)部的安全威脅比來自于外部的威脅要大得多，必要的安全措施對企業(yè)是非常重要的。安全風險分析通常包括對系統(tǒng)資源的價值屬性的分析、資源面臨的威脅分析、系統(tǒng)的安全缺陷分析等等。分析的目標就是確定安全系統(tǒng)的建設(shè)環(huán)境，建立信息系統(tǒng)安全的基本策略。

2.1 企業(yè)信息網(wǎng)絡(luò)安全需求

企業(yè)對信息網(wǎng)絡(luò)安全方面的需求主要包含：

（1）業(yè)務(wù)系統(tǒng)與其它信息系統(tǒng)充分隔離。

（2）企業(yè)局域網(wǎng)與互聯(lián)的其它網(wǎng)絡(luò)充分隔離。

（3）全面的病毒防御體系，恢復(fù)已被病毒感染的設(shè)備及數(shù)據(jù)。

（4）關(guān)鍵業(yè)務(wù)數(shù)據(jù)必須進行備份，具有完善的災(zāi)難恢復(fù)功能。

（5）管理員必須對企業(yè)信息網(wǎng)絡(luò)系統(tǒng)的安全狀況和安全漏洞進行周期性評估，并根據(jù)評估結(jié)果采用相應(yīng)措施。

（6）關(guān)鍵業(yè)務(wù)數(shù)據(jù)和敏感數(shù)據(jù)在公網(wǎng)上的傳輸必須加密，防止非法獲取和篡改。

（7）加強內(nèi)部人員操作的技術(shù)監(jiān)控，采用強有力的認證系統(tǒng)，代替一些不安全的用戶名/口令系統(tǒng)授權(quán)模式。

（8）建立完善的入侵審計和監(jiān)控措施，監(jiān)視和記錄外部或者內(nèi)部人員可能發(fā)起的攻擊。

（9）對整個信息系統(tǒng)進行安全審計，可預(yù)見管理和總擁有成本控制。

2.2 企業(yè)信息網(wǎng)絡(luò)安全內(nèi)容

從企業(yè)整體考慮，它的信息網(wǎng)絡(luò)安全包括以下六個方面：

（1）企業(yè)信息網(wǎng)絡(luò)安全策略建設(shè)，它是安全系統(tǒng)執(zhí)行的安全策略建設(shè)的依據(jù)。

（2）企業(yè)信息網(wǎng)絡(luò)管理體系建設(shè)，它是安全系統(tǒng)的安全控制策略和安全系統(tǒng)體系結(jié)構(gòu)建設(shè)的依據(jù)。

（3）企業(yè)信息網(wǎng)絡(luò)資源管理體系建設(shè)，它是安全系統(tǒng)體系結(jié)構(gòu)規(guī)劃的依據(jù)。

（4）企業(yè)信息網(wǎng)絡(luò)人員管理建設(shè)，它是保障安全系統(tǒng)可靠建設(shè)、維護和應(yīng)用的前提。

（5）企業(yè)信息網(wǎng)絡(luò)工程管理體系建設(shè)，信息安全系統(tǒng)工程必須與它統(tǒng)一規(guī)劃和管理。

（6）企業(yè)信息網(wǎng)絡(luò)事務(wù)持續(xù)性保障規(guī)劃，它是信息安全事件處理和安全恢復(fù)系統(tǒng)建設(shè)的依據(jù)。

3 企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)

3.1 企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)設(shè)計

安全系統(tǒng)設(shè)計是在信息系統(tǒng)安全策略的基礎(chǔ)上，從安全策略的分析中抽象出安全系統(tǒng)及其服務(wù)。安全系統(tǒng)的設(shè)計如圖1所示。安全系統(tǒng)設(shè)計的目標是設(shè)計出系統(tǒng)安全防御體系，設(shè)計和部署體系中各種安全機制從而形成自動的安全防御、監(jiān)察和反應(yīng)體系，忠實地貫徹系統(tǒng)安全策略。

3.2 企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)組建

安全系統(tǒng)設(shè)計關(guān)心的是抽象定義的系統(tǒng)。具體系統(tǒng)組建是建立在設(shè)計基礎(chǔ)上的實現(xiàn)。通常系統(tǒng)功能組件的實現(xiàn)方式是軟件、硬件和固體等。安全系統(tǒng)組建的另一項重要內(nèi)容是配制安全系統(tǒng)，并將安全系統(tǒng)與整個信息系統(tǒng)形成一體。

4 企業(yè)信息網(wǎng)絡(luò)安全工程的部署

信息系統(tǒng)安全是信息系統(tǒng)服務(wù)質(zhì)量的要求，網(wǎng)絡(luò)安全系統(tǒng)應(yīng)當融于信息網(wǎng)絡(luò)服務(wù)系統(tǒng)之中，其建設(shè)與維護應(yīng)當與信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)和維護保持一致，遵循系統(tǒng)工程的方法。網(wǎng)絡(luò)安全工程就是應(yīng)用系統(tǒng)工程建設(shè)和維護網(wǎng)絡(luò)安全系統(tǒng)。

4.1 工程環(huán)節(jié)

系統(tǒng)工程總是與被建設(shè)的系統(tǒng)特性緊密結(jié)合，工程環(huán)節(jié)與系統(tǒng)生命周期保持同步。安全系統(tǒng)的生命周期也是基本如此，因而安全系統(tǒng)工程典型的基本環(huán)節(jié)包括信息系統(tǒng)安全需求分析、安全系統(tǒng)設(shè)計、安全系統(tǒng)組建、安全系統(tǒng)認證、系統(tǒng)安全運行維護和安全系統(tǒng)改造等，如圖2所示。

（1）安全的互聯(lián)網(wǎng)接入。

企業(yè)內(nèi)部網(wǎng)絡(luò)的每位員工要隨時登錄互聯(lián)網(wǎng)，因此Internet接入平臺的安全是該企業(yè)信息系統(tǒng)安全的關(guān)鍵部分，可采用外部邊緣防火墻，其內(nèi)部用戶登錄互聯(lián)網(wǎng)時經(jīng)過內(nèi)部防火墻，再由外部邊緣防火墻映射到互聯(lián)網(wǎng)。外部邊緣防火墻與內(nèi)部防火墻之間形成了DMZ區(qū)。

（2）防火墻訪問控制。

外部邊緣防火墻提供PAT服務(wù)，配置IPSec加密協(xié)議實現(xiàn)VPN撥號連接以及端到端VPN連接，并通過擴展ACL對進出防火墻的流量進行嚴格的端口服務(wù)控制。

內(nèi)部防火墻處于內(nèi)部網(wǎng)絡(luò)與DMZ區(qū)之間，它允許內(nèi)網(wǎng)所有主機能夠訪問DMZ區(qū)，但DMZ區(qū)進入內(nèi)網(wǎng)的流量則進行嚴格的過濾。

（3）用戶認證系統(tǒng)。

用戶認證系統(tǒng)主要用于解決撥號和VPN接入的安全問題，它是從完善系統(tǒng)用戶認證、訪問控制和使用審計方面的功能來增強系統(tǒng)的安全性。

撥號用戶和VPN用戶身份認證在主域服務(wù)器上進行，用戶賬號集中在主域服務(wù)器上開設(shè)。系統(tǒng)中設(shè)置嚴格的用戶訪問策略和口令策略，強制用戶定期更改口令。同時配置VPN日志服務(wù)器，記錄所有VPN用戶的訪問，作為系統(tǒng)審計的依據(jù)。

（4）入侵檢測系統(tǒng)。

企業(yè)可在互聯(lián)網(wǎng)流量匯聚的交換機處部署入侵檢測系統(tǒng)，它可實時監(jiān)控內(nèi)網(wǎng)中發(fā)生的安全事件，使得管理員及時做出反應(yīng)，并可記錄內(nèi)部用戶對Internet的訪問，管理者可審計Internet接入平臺是否被濫用。

（5）網(wǎng)絡(luò)防病毒系統(tǒng)。

企業(yè)應(yīng)全面地布置防病毒系統(tǒng)，包括客戶機、文件服務(wù)器、郵件服務(wù)器和OA服務(wù)器。

（6）VPN加密系統(tǒng)。

企業(yè)可建立虛擬專網(wǎng)VPN，主要為企業(yè)移動辦公的員工提供通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)網(wǎng)OA系統(tǒng)，同時為企業(yè)內(nèi)網(wǎng)用戶訪問公司的SAP系統(tǒng)提供VPN加密連接。

需要注意的是，由于VPN機制需要執(zhí)行加密和解密過程，其傳輸效率將降低30％～40％，因此對于關(guān)鍵業(yè)務(wù)，如果有條件應(yīng)該盡可能采用數(shù)據(jù)專線方式。

（7）網(wǎng)絡(luò)設(shè)備及服務(wù)器加固。

企業(yè)網(wǎng)絡(luò)管理員應(yīng)定期對各種網(wǎng)絡(luò)設(shè)備和主機進行安全性掃描和滲透測試，及時發(fā)現(xiàn)漏洞并采取補救措施。安全性掃描主要是利用一些掃描工具，模擬黑客的方法和手段，以匿名身份接入網(wǎng)絡(luò)，對網(wǎng)絡(luò)設(shè)備和主機進行掃描并進行分析，目的是發(fā)現(xiàn)系統(tǒng)存在的各種漏洞。

根據(jù)安全掃描和滲透測試的結(jié)果，網(wǎng)絡(luò)管理員即可有針對性地進行系統(tǒng)加固，具體加固措施包括：關(guān)閉不必要的網(wǎng)絡(luò)端口；視網(wǎng)絡(luò)應(yīng)用情況禁用ICMP、SNMP等協(xié)議；安裝最新系統(tǒng)安全補??；采用SSH而不是Telnet進行遠程登錄；調(diào)整本地安全策略，禁用不需要的系統(tǒng)缺省服務(wù)；啟用系統(tǒng)安全審計日志。

（8）辦公電腦安全管理系統(tǒng)。

企業(yè)應(yīng)加強對桌面電腦的安全管理。主要有：

①補丁管理：主要用于修復(fù)桌面電腦系統(tǒng)漏洞，避免蠕蟲病毒、黑客攻擊和木馬程序等。

②間諜軟件檢測：能夠自動檢測和清除來自間諜軟件、廣告軟件、鍵盤記錄程序、特洛伊木馬和其他惡意程序的已知威脅。

③安全威脅分析：能夠自動檢測桌面電腦的配置風險，包括共享、口令、瀏覽器等安全問題，并自動進行修補或提出修改建議。

④應(yīng)用程序阻止：用戶隨意安裝的游戲等應(yīng)用程序可能導(dǎo)致系統(tǒng)紊亂、沖突，影響正常辦公。管理員可以通過遠程執(zhí)行指令，阻止有關(guān)應(yīng)用程序的運行。

⑤設(shè)備訪問控制：對用戶電腦的硬件采用適當?shù)脑L問控制策略，防止關(guān)鍵數(shù)據(jù)丟失和未授權(quán)訪問。

（9）數(shù)據(jù)備份系統(tǒng)。

企業(yè)應(yīng)制定備份策略，定期對一些重要數(shù)據(jù)進行備份。

4.2 持續(xù)性計劃

（1）架構(gòu)評估。

企業(yè)網(wǎng)絡(luò)信息安全管理架構(gòu)的評估應(yīng)由IT部門、相關(guān)責任部門以及終端用戶代表來共同參與，確保所有的部門都能納入安全框架中。

（2）系統(tǒng)安全運行管理。

要保障信息系統(tǒng)安全，就必須維護安全系統(tǒng)充分發(fā)揮作用的環(huán)境。這種環(huán)境包括安全系統(tǒng)的配置、系統(tǒng)人員的安全職責分工與培訓(xùn)。

（3）安全系統(tǒng)改造。

信息系統(tǒng)安全的對抗性必然導(dǎo)致信息安全系統(tǒng)不斷改造。導(dǎo)致安全系統(tǒng)改造的因素可以歸結(jié)為4個方面：技術(shù)發(fā)展因素；系統(tǒng)環(huán)境因素；系統(tǒng)需求因素；安全事件因素。

（4）網(wǎng)絡(luò)安全制度建設(shè)及人員安全意識教育。

企業(yè)應(yīng)當采取積極防御措施，主動防止非授權(quán)訪問操作，從客戶端操作平臺實施高等級防范，使不安全因素在源頭被控制。這對工作流程相對固定的重要信息系統(tǒng)顯得更為重要而可行。

需開展計算機安全意識教育和培訓(xùn)，加強計算機安全檢查，以此提高最終用戶對計算機安全的重視程度。為各級機構(gòu)的系統(tǒng)管理員提供信息系統(tǒng)安全方面的專業(yè)培訓(xùn)，提高處理計算機系統(tǒng)安全問題的能力。

參考文獻

［1］趙迪,趙望達,劉靜.基于B/S架構(gòu)的安全生產(chǎn)監(jiān)督管理信息系統(tǒng)［J］,中國公共安全(學(xué)術(shù)版),2006,(04).［2］周敏文,譚海文.淺析我國安全生產(chǎn)信息化建設(shè)的現(xiàn)狀與對策［J］,露天采礦技術(shù),2005,(06).

［3］［美］Harold F.Tipton，Micki Krause著,張文,鄧芳玲,程向莉,吳娟等譯.信息安全管理手冊（卷III）（第四版）［M］,北京:電子工業(yè)出版社,2004年6月,237-264.

篇9

關(guān)鍵詞:企業(yè)網(wǎng)絡(luò);安全策略;信息加密

中圖分類號: TM727文獻標識碼:A文章編號:1009-3044(2009)36-10218-02

The Discussion on Security Problems of Enterprise Network

WANG Feng

(Foundation Department, China Pharmaceutical University, Nanjing 211169, China)

Abstract: With the expansion of network applications, enterprise applications for the process of network security risks have become more serious and complex. Network security issues can lead to internal online intruder to attack, theft or other damage. These factors are unsafe to use, so the network-to-business pose a serious security threat. The following will introduced the major enterprise network security factories and countermeasures.

Key words: enterprise network; security policy; information encryption

隨著互聯(lián)網(wǎng)技術(shù)和計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,基于網(wǎng)絡(luò)的計算機網(wǎng)絡(luò)技術(shù)在企業(yè)中的應(yīng)用越來越廣泛,基于網(wǎng)絡(luò)的應(yīng)用在給企業(yè)的經(jīng)營管理帶來很大經(jīng)濟利潤的同時,也不可避免的伴隨而來的出現(xiàn)了網(wǎng)絡(luò)安全問題,于2002年之后,蠕蟲、木馬的傳播已經(jīng)使得企業(yè)面臨的數(shù)據(jù)安全問題進一步嚴重。這些問題對企業(yè)信息安全的提高提出了更高的要求。隨著信息技術(shù)的迅猛前進,許多大型的企業(yè)都意識到了利用先進的信息技術(shù)對于提高企業(yè)的運營能力與自身的業(yè)務(wù)將起著極其重要的作用,能夠使企業(yè)在激烈的競爭中提高角逐能力[1]。面對著變化萬千的市場,企業(yè)正面臨著如何才能夠提高本身于市場中角逐能力的問題,而其內(nèi)部的效率問題、管理問題、信息傳遞問題、考核問題等,又不時的在制約著自身,特別是信息的安全問題嚴重的制約了自身競爭能力的提高,因此解決網(wǎng)絡(luò)的安全問題已成為目前大多數(shù)企業(yè)增強競爭力的重要策略。

1 影響企業(yè)網(wǎng)絡(luò)安全的因素

1.1 病毒

也就是指那些自我復(fù)制能力比較強的計算機程序,它可以影響到計算機硬件、軟件正常的運行,從而破壞數(shù)據(jù)的完整與正確。隨著互聯(lián)網(wǎng)和計算機的不斷進步與普及,計算機病毒越來越多,總數(shù)已經(jīng)大約達到了3萬種,并且仍然以大約每月五百種左右的速度增加,它的破環(huán)性也越來越強大,而網(wǎng)絡(luò)病毒的破壞性就顯得更加強大了。一旦出現(xiàn)文件服務(wù)器的硬盤遭到病毒傳染,就極有可能引起數(shù)據(jù)的丟失與系統(tǒng)的損壞,進而使得網(wǎng)絡(luò)服務(wù)器不能起動,數(shù)據(jù)和應(yīng)用程序不能正常的使用,甚至可能引起整個網(wǎng)絡(luò)的癱瘓,從而造成非常嚴重的損失。一般來說,網(wǎng)絡(luò)病毒的再生復(fù)制能力都非常強,可以利用網(wǎng)絡(luò)進行傳染與擴散。只要出現(xiàn)某個公用程序遭到了病毒的感染,那么這些病毒就會在整個網(wǎng)絡(luò)上進行迅速的傳播,從而感染別的程序。被網(wǎng)絡(luò)病毒感染而引起網(wǎng)絡(luò)癱瘓的損失是不可估量的。一旦發(fā)現(xiàn)了網(wǎng)絡(luò)服務(wù)器被病毒感染,其殺毒所需耗費的時間將大約達到單機的幾十倍之上。

1.2 惡意攻擊

就是指那些試圖危及企業(yè)信息資源的可用性、機密性、完整性的行為。目前企業(yè)的網(wǎng)絡(luò)大都采用了以廣播技術(shù)為基礎(chǔ)的以太網(wǎng)[2]。在相同的以太網(wǎng)中,不同位置的兩個節(jié)點之間的通信數(shù)據(jù)包,不但能夠被這兩個節(jié)點的網(wǎng)卡接收,也可以同時被處在相同網(wǎng)絡(luò)中的任何節(jié)點的網(wǎng)卡截取。此外,為了使的工作更為便捷,企業(yè)辦公自動化中的網(wǎng)絡(luò)都設(shè)置有跟國際互聯(lián)網(wǎng)和外網(wǎng)相互連接的出入口,所以,國際互聯(lián)網(wǎng)和外網(wǎng)中的黑客一旦侵入了企業(yè)的ERP系統(tǒng)或者是辦公自動化網(wǎng)絡(luò)中的任何一個節(jié)點進行偵聽,那么就能夠捕獲出現(xiàn)在這個網(wǎng)絡(luò)上的任何數(shù)據(jù)包,然后對其進行解包并進行分析,進而竊取一些關(guān)鍵的信息;而本以太網(wǎng)中的黑客則可以非常便捷的截取任何一個數(shù)據(jù)包,因而導(dǎo)致了信息的失竊。

1.3 非法訪問或者冒充合法用戶

1)指對信息資源或者網(wǎng)絡(luò)設(shè)備進行越權(quán)使用或非正常使用等;

2)指利用各種各樣的欺騙或者假冒手段非法竊取正常的使用權(quán)限,從而達到合法占用資源的目的。

1.4 破壞數(shù)據(jù)的完整性

就是指通過不合法的手段,重發(fā)、修改或者刪除一些重要的數(shù)據(jù)信息,從而影響了用戶的正常使用[3]。在企業(yè)網(wǎng)絡(luò)系統(tǒng)中,導(dǎo)致信息數(shù)據(jù)破壞的因素有許多種,首先是黑客的入侵,基于各種各樣的原因,黑客侵入到了網(wǎng)絡(luò)中,其中惡意入侵對網(wǎng)絡(luò)造成的危害一般都是多方面的。其中一種非常常見的危害就是數(shù)據(jù)的破壞,可以破壞服務(wù)器硬盤引導(dǎo)區(qū)的信息數(shù)據(jù)、破壞應(yīng)用程序的數(shù)據(jù)、覆蓋或者刪除原始數(shù)據(jù)庫等。其次就是病毒的破壞,病毒常常會攻擊系統(tǒng)的數(shù)據(jù)區(qū),通常包含了硬盤主引導(dǎo)扇區(qū)、FAT表、文件目錄、Boot扇區(qū)等;病毒還極有可能破壞文件數(shù)據(jù)區(qū),使得文件數(shù)據(jù)被改名、刪除、丟失數(shù)據(jù)文件、丟失一些程序代碼;病毒還可能攻擊CMOS并且導(dǎo)致系統(tǒng)CMOS中的數(shù)據(jù)遭到破壞。最后就是災(zāi)難破壞,由于突然停電、自然災(zāi)害、誤操作、強烈震動等引起了數(shù)據(jù)的破壞。一些重要的數(shù)據(jù)如果遭到了丟失和破壞,可能會導(dǎo)致企業(yè)經(jīng)營困難與財力、物力、人力的巨大浪費。

1.5 干擾系統(tǒng)的正常運行

就是指通過改變系統(tǒng)正常運行的方法,從而引起了系統(tǒng)響應(yīng)時間減慢等手段。

1.6 線路竊聽

指通過通信介質(zhì)的搭線竊聽或電磁泄漏等手段竊取非法信息。

2 企業(yè)網(wǎng)絡(luò)安全策略

一般來說,企業(yè)為了得到最佳的安全性能以便獲得最高的安全投資回報,可以從以下六方面采取相應(yīng)的措施,如圖1所示。

2.1 訪問控制策略

進行訪問控制的主要目的就是為了防止不合法的訪問[4],從而實現(xiàn)用戶身份的辨別與對服務(wù)器、重要網(wǎng)絡(luò)的安全控制。其中,防火墻就是一種應(yīng)用廣泛且比較有效的網(wǎng)絡(luò)訪問控制設(shè)備,其主要利用對端口號、IP地址等進行控制并應(yīng)用設(shè)置安全等措施,從而實現(xiàn)外部網(wǎng)絡(luò)與內(nèi)部被保護網(wǎng)的隔離。于安全規(guī)則方面,企業(yè)可以針對一段網(wǎng)絡(luò)、一組主機、單獨的主機,根據(jù)網(wǎng)絡(luò)協(xié)議進行相應(yīng)的設(shè)置,進行面向?qū)ο蟮陌踩?guī)則有關(guān)的編輯;依靠網(wǎng)絡(luò)通訊端口進行相應(yīng)的安全規(guī)則設(shè)置;根據(jù)每一天或者星期幾等具體的時間進行設(shè)置,以便實現(xiàn)訪問控制策略

2.2 安裝網(wǎng)絡(luò)版防病毒軟件

安裝殺毒能力強的網(wǎng)絡(luò)版反病毒軟件,建立針對性很強的防病毒策略或者針對局域網(wǎng)的反病毒控制系統(tǒng)。如果有些客戶端想要關(guān)掉實時監(jiān)測功能或者把軟件卸載掉,都需要得到管理員的密碼授權(quán)許可才可以執(zhí)行。網(wǎng)絡(luò)版反病毒軟件就好像在網(wǎng)關(guān)處建立了一道屏障,任何潛在的病毒首先都必須經(jīng)過這一關(guān)。對于一些具有事先告警機制的反病毒軟件產(chǎn)品,企業(yè)客戶能夠在服務(wù)器端得到一個警告信號,因此,防止了病毒入侵內(nèi)部網(wǎng)絡(luò)的危險。

2.3 信息加密策略

信息加密主要的目的是為了保護網(wǎng)內(nèi)的文件、數(shù)據(jù)、口令以及控制信息,以便保護傳輸于網(wǎng)絡(luò)上的數(shù)據(jù)。網(wǎng)絡(luò)加密通常采用的方法有端點加密、節(jié)點加密、鏈路加密三種加密方式。端點加密的主要目的是為對目的端用戶與源端用戶之間傳輸?shù)臄?shù)據(jù)進行保護;節(jié)點加密的主要目的是為了對目的節(jié)點與源節(jié)點之間的傳輸鏈路進行保護;鏈路加密的主要目的是為了保護不同網(wǎng)絡(luò)節(jié)點之間鏈路信息的安全,關(guān)于具體選用何種加密方式,用戶可以根據(jù)網(wǎng)絡(luò)的具體情況選擇相應(yīng)的加密方式。

2.4 加強安全管理

“三分技術(shù),七分管理”作為網(wǎng)絡(luò)安全行業(yè)非常流行的話語[5],指出了如果管理混亂、責權(quán)不明、安全管理制度不完善以及可操作性缺乏等都有可能導(dǎo)致安全管理的風險。因此,要想真正確保企業(yè)網(wǎng)絡(luò)的安全,除了需要從技術(shù)上提高外,更重要的還得依靠提高安全管理質(zhì)量來實現(xiàn),通常安全管理需要貫穿于安全的所有層次中。結(jié)合實際工作業(yè)務(wù)流程、工作環(huán)境以及安防技術(shù)等特點,需要制訂合適的安全管理規(guī)則。

2.5 實時監(jiān)測

利用信息偵聽的方法搜尋未授權(quán)的違規(guī)行為和網(wǎng)絡(luò)訪問嘗試,通常包含了網(wǎng)絡(luò)系統(tǒng)的預(yù)警、掃描、跟蹤、記錄、阻斷等,并進而發(fā)現(xiàn)系統(tǒng)所受到的攻擊與傷害。作為一種對付電腦黑客非常有效的技術(shù)手段,網(wǎng)絡(luò)實時監(jiān)測系統(tǒng)具有自適應(yīng)、實時、主動響應(yīng)識和別等特性。

2.6 數(shù)據(jù)備份策略

對企業(yè)數(shù)據(jù)信息以及服務(wù)器應(yīng)當采用防火墻來實現(xiàn)災(zāi)難冗余和雙機熱備份。對于可靠性需要非常高的用戶,選擇具有雙機熱備份功能的防火墻是非常必要的,在相同的網(wǎng)絡(luò)節(jié)點配備兩個相同配置的防火墻,一般于正常情況下是一個處于正常工作狀態(tài)[6],而另外一個則處于備份狀態(tài),但是,一旦工作狀態(tài)的系統(tǒng)發(fā)生了故障之后,處于備份狀態(tài)的防火墻便會立即自動的切換到工作狀態(tài),從而保證網(wǎng)絡(luò)能夠正常運行。備用防火墻系統(tǒng)可以非常迅速的完成整個切換過程,而不需要其他系統(tǒng)參與或者人為操作,并且在這個切換的過程中,對網(wǎng)絡(luò)上的任何信息傳輸與通訊連接均無影響。

3 結(jié)束語

總之,雖然影響網(wǎng)絡(luò)安全的因素非常復(fù)雜,給企業(yè)帶來了一些不必要的麻煩,但是,只要樹立正確的企業(yè)網(wǎng)絡(luò)安全觀念并建立高效的企業(yè)網(wǎng)絡(luò)安全防護系統(tǒng),就能保證企業(yè)的正常運營,使企業(yè)可以真正享受到信息化帶來的豐碩成果。

參考文獻:

[1] 魏清斌.企業(yè)網(wǎng)絡(luò)的安全與防范措施[J].中國高新技術(shù)企業(yè),2008(16):127.

[2] 楊恒廣.淺談企業(yè)網(wǎng)絡(luò)安全[J].科技信息,2008(7):66-67.

[3] 賴順天.企業(yè)網(wǎng)絡(luò)安全的風險與防范[J].電腦開發(fā)與應(yīng)用,2008(11):72-73.

[4] 占明艷.企業(yè)網(wǎng)絡(luò)安全對策研究[J].軟件導(dǎo)刊,2008(9):196-197.

篇10

【關(guān)鍵詞】 云安全 核心技術(shù) 網(wǎng)絡(luò)安全 應(yīng)用探析

前言：近幾年來，越來越多的人們關(guān)注網(wǎng)絡(luò)的安全技術(shù)以及應(yīng)用，網(wǎng)絡(luò)安全關(guān)系到國家安全以及社會和諧安定，我們應(yīng)當提高對其的重視度。網(wǎng)絡(luò)安全的本質(zhì)就是確保網(wǎng)絡(luò)上的信息安全，其具體指的是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及其系統(tǒng)中的數(shù)據(jù)不被人為的破壞、篡改和泄露，云安全技術(shù)的應(yīng)用，就是保證網(wǎng)絡(luò)安全的一項技術(shù)。云安全技術(shù)已經(jīng)在企業(yè)的局域網(wǎng)中得到了具體運用，并且對其出現(xiàn)的問題進行研究改進，進一步為企業(yè)的網(wǎng)絡(luò)信息安全提供了保障。

一、“云安全”的核心技術(shù)

1.Web信譽服務(wù)。云安全技術(shù)可以通過全信譽數(shù)據(jù)庫對惡意軟件行為進行分析，并且根據(jù)其數(shù)據(jù)位置的變化和可疑跡象等因素來指定網(wǎng)頁信譽分數(shù)，從而判斷網(wǎng)頁是否可信。根據(jù)檢測的信譽分值，我們可以隨時了解到某個網(wǎng)站的潛在風險級別，預(yù)防用戶進入有病毒的網(wǎng)頁帶來的危害。

2.電子郵件信譽服務(wù)。電子郵件信譽服務(wù)可以根據(jù)已知垃圾信息的源地址進行檢測，可以對發(fā)送者郵件進行潛在危險評估。當云技術(shù)檢測到該郵件中存在病毒時，就會自動對該郵件進行處理，并且當之后再有類似郵件時還會對起進行攔截或者刪除，以防危害用戶端。

3.自動反饋機制。云安全的另一個重要組件就是自動反饋機制，通過檢測單個用戶的路由信譽來確定新型的威脅。例如：趨勢科技的全球自動反饋機制的功能就像目前大多社區(qū)采用的鄰里監(jiān)督模式，能夠有效的實現(xiàn)及時監(jiān)督保護功能，有助于確立全面的最新威脅指數(shù)。當單個的用戶常規(guī)信譽檢查發(fā)現(xiàn)威脅時，系統(tǒng)就會自動更新趨勢科技位于全球各地所有威脅的數(shù)據(jù)庫，防止以后的客戶遇到威脅時不能及時反饋。

二、云安全技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用

1.云安全技術(shù)中復(fù)合式攔截病毒機制在企業(yè)網(wǎng)絡(luò)安全中的作用。隨著云計算的發(fā)展，云安全技術(shù)在企業(yè)局域網(wǎng)中已經(jīng)得到廣泛應(yīng)用，同時云安全成了企業(yè)技術(shù)研究當中的主要問題。作為企業(yè)局域網(wǎng)絡(luò)管理者，要認識到對于企業(yè)網(wǎng)絡(luò)內(nèi)部的威脅主要來自于企業(yè)內(nèi)部，只將精力放在防止網(wǎng)絡(luò)遭受來自于單位外部的攻擊上是遠遠不夠的，云安全技術(shù)可以利用互聯(lián)網(wǎng)云計算技術(shù)強大的終端服務(wù)器，實現(xiàn)對企業(yè)局域網(wǎng)絡(luò)內(nèi)部相關(guān)軟件的云攔截以及云殺毒。也就是說，這種方式采用的是云安全技術(shù)中復(fù)合式攔截病毒機制，當企業(yè)局域網(wǎng)絡(luò)存在的安全隱患威脅到客戶端時，復(fù)合式攔截病毒機制就可以對其進行攔截以及采取相應(yīng)的處理措施。近幾年來，網(wǎng)絡(luò)病毒攻擊形式比較多，而且病毒的形式不僅是單一的病毒體，而是由多種單一病毒體重組的復(fù)合式病毒，對網(wǎng)絡(luò)用戶端危害極大，云安全技術(shù)中復(fù)合式攔截病毒機制則可以有效解決這一問題。

2.云安全技術(shù)中輕客戶端策略在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用。云安全技術(shù)中輕客戶端策略是指將計算機和業(yè)務(wù)之間的邏輯問題交由服務(wù)器處理，客戶端只對簡單的網(wǎng)絡(luò)數(shù)據(jù)顯示工作進行處理。例如：當我們收到到一封電子郵件時，云系統(tǒng)就會自動檢測該郵件的源地址以及電子鏈接，并且對其存在的安全性能自動分析。如果檢測的結(jié)果是該封郵件不可信，服務(wù)就會通過云安全技術(shù)對其進行殺毒處理，并且可以自動刪除該封郵件。與此同時，系統(tǒng)就會將不可信郵件的源地址和電子鏈接存入到網(wǎng)絡(luò)安全隱患庫中，當接收到類似的郵件時，系統(tǒng)就會對其進行自動攔截或者刪除處理，該策略在應(yīng)用過程中存在一定的弊端，那就是只能夠?qū)ν獠拷邮盏男畔⑦M行檢測，對計算機自身系統(tǒng)無法檢測，主要應(yīng)用于來自于外部病毒入侵的攔截和處理。

3.云安全技術(shù)在企業(yè)網(wǎng)絡(luò)中應(yīng)用的必要條件。云安全技術(shù)是針對云計算產(chǎn)業(yè)的出現(xiàn)，結(jié)合云計算的應(yīng)用特點和發(fā)展趨勢衍生出的確保云計算在局域網(wǎng)中應(yīng)用安全的一種新型網(wǎng)絡(luò)安全技術(shù)。任何一種軟件技術(shù)的發(fā)展離開了安全的保障，就一定會失去其存在的意義。云安全技術(shù)就是通過客戶端對局域網(wǎng)中的相關(guān)數(shù)據(jù)以及信息進行收集和統(tǒng)計，分析之后得出源代碼，然后再采取相應(yīng)的處理措施保證其安全性。在實際操作中，通過客戶端軟件對整個網(wǎng)絡(luò)進行掃描，找尋到有病毒的文件，再通過殺毒單位采用軟件對用戶端進行殺毒處理可以有效提升網(wǎng)絡(luò)安全性。這不僅需要有大量的裝有病毒監(jiān)控軟體的客戶端，而且具有快速解析源代碼的服務(wù)器終端。

三、結(jié)語

科學(xué)技術(shù)的不斷發(fā)展然網(wǎng)絡(luò)的運用越來越廣泛，因其所承載的信息量較大，需要我們對網(wǎng)絡(luò)信息進行有效保護。云技術(shù)的應(yīng)用充分的實現(xiàn)了人們對于安全的需求，使人們在網(wǎng)絡(luò)中建立了更完備的安全防御體系，為人們的生活以及工作帶來了更多的便利，讓人們對于網(wǎng)絡(luò)的使用更加放心。

參 考 文 獻

[1]張海波. 云安全技術(shù)在電力企業(yè)的應(yīng)用[J]. 信息技術(shù)與信息化，2011，04：60-61+67.