序言：寫作是分享個人見解和探索未知領域的橋梁，我們?yōu)槟x了8篇的企業(yè)網(wǎng)絡安全評估樣本，期待這些樣本能夠為您提供豐富的參考和啟發(fā)，請盡情閱讀。

第1篇

關鍵詞：中小型企業(yè)；信息網(wǎng)絡安全；網(wǎng)絡安全架構

Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.

Keywords: small and medium-sized enterprises; network security; network security architecture

中圖分類號：TN915.08文獻標識碼：A文章編號：2095-2104（2013）

1、中小型企業(yè)網(wǎng)絡安全問題的研究背景

隨著企業(yè)信息化的推廣和計算機網(wǎng)絡的成熟和擴大，企業(yè)的發(fā)展越來越離不開網(wǎng)絡，而伴隨著企業(yè)對網(wǎng)絡的依賴性與日俱增，企業(yè)網(wǎng)絡的安全性問題越來越嚴重，大量的入侵、蠕蟲、木馬、后門、拒絕服務、垃圾郵件、系統(tǒng)漏洞、間諜軟件等花樣繁多的安全隱患開始一一呈現(xiàn)在企業(yè)面前。近些年來頻繁出現(xiàn)在媒體報道中的網(wǎng)絡安全案例無疑是為我們敲響了警鐘，在信息網(wǎng)絡越來越發(fā)達的今天，企業(yè)要發(fā)展就必須重視自身網(wǎng)絡的安全問題。網(wǎng)絡安全不僅關系到企業(yè)的發(fā)展，甚至關乎到了企業(yè)的存亡。

2 、中小型企業(yè)網(wǎng)絡安全的主要問題

2.1什么是網(wǎng)絡安全

網(wǎng)絡安全的一個通用定義：網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)中的軟、硬件設施及其系統(tǒng)中的數(shù)據(jù)受到保護，不會由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統(tǒng)能夠連續(xù)、可靠地正常運行，網(wǎng)絡服務不被中斷。網(wǎng)絡安全從本質(zhì)上說就是網(wǎng)絡上的信息安全。廣義地說，凡是涉及網(wǎng)絡上信息的保密性、完整性、可用性、真實性（抗抵賴性）和可控性的相關技術和理論，都是網(wǎng)絡安全主要研究的領域。

2.2網(wǎng)絡安全架構的基本功能

網(wǎng)絡信息的保密性、完整性、可用性、真實性（抗抵賴性）和可控性又被稱為網(wǎng)絡安全目標，對于任何一個企業(yè)網(wǎng)絡來講，都應該實現(xiàn)這五個網(wǎng)絡安全基本目標，這就需要企業(yè)的網(wǎng)絡應用架構具備防御、監(jiān)測、應急、恢復等基本功能。

2.3中小型企業(yè)的主要網(wǎng)絡安全問題

中小型企業(yè)主要的網(wǎng)絡安全問題主要體現(xiàn)在3個方面.

1、木馬和病毒

計算機木馬和病毒是最常見的一類安全問題。木馬和病毒會嚴重破壞企業(yè)業(yè)務的連續(xù)性和有效性，某些木馬和病毒甚至能在片刻之間感染整個辦公場所從而導致企業(yè)業(yè)務徹底癱瘓。與此同時，公司員工也可能通過訪問惡意網(wǎng)站、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式，在不經(jīng)意間將病毒和木馬帶入企業(yè)網(wǎng)絡并進行傳播，進而給企業(yè)造成巨大的經(jīng)濟損失。由此可見，網(wǎng)絡安全系統(tǒng)必須能夠在網(wǎng)絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。這里提到的每一點，包括網(wǎng)絡的邊界位置以及內(nèi)部網(wǎng)絡環(huán)境。

2、信息竊取

信息竊取是企業(yè)面臨的一個重大問題，也可以說是企業(yè)最急需解決的問題。網(wǎng)絡黑客通過入侵企業(yè)網(wǎng)絡盜取企業(yè)信息和企業(yè)的客戶信息而牟利。解決這一問題，僅僅靠在網(wǎng)絡邊緣位置加強防范還遠遠不夠，因為黑客可能會伙同公司內(nèi)部人員（如員工或承包商）一起作案。信息竊取會對中小型企業(yè)的發(fā)展造成嚴重影響，它不僅會破壞中小型企業(yè)賴以生存的企業(yè)商譽和客戶關系。還會令企業(yè)陷入面臨負面報道、政府罰金和法律訴訟等問題的困境。

3、業(yè)務有效性

計算機木馬和病毒并不是威脅業(yè)務有效性的唯一因素。隨著企業(yè)發(fā)展與網(wǎng)絡越來越密不可分，網(wǎng)絡開始以破壞公司網(wǎng)站和電子商務運行為威脅條件，對企業(yè)進行敲詐勒索。其中，以DoS(拒絕服務)攻擊為代表的網(wǎng)絡攻擊占用企業(yè)網(wǎng)絡的大量帶寬，使其無法正常處理用戶的服務請求。而這一現(xiàn)象的結果是災難性的：數(shù)據(jù)和訂單丟失，客戶請求被拒絕……同時，當被攻擊的消息公之于眾后，企業(yè)的聲譽也會隨之受到影響。

3如何打造安全的中小型企業(yè)網(wǎng)絡架構

通過對中小型企業(yè)網(wǎng)絡存在的安全問題的分析，同時考慮到中小型企業(yè)資金有限的情況，我認為打造一個安全的中小型企業(yè)網(wǎng)絡架構應遵循以下的過程：首先要建立企業(yè)自己的網(wǎng)絡安全策略；其次根據(jù)企業(yè)現(xiàn)有網(wǎng)絡環(huán)境對企業(yè)可能存在的網(wǎng)絡隱患進行網(wǎng)絡安全風險評估，確定企業(yè)需要保護的重點；最后選擇合適的設備。

3.1建立網(wǎng)絡安全策略

一個企業(yè)的網(wǎng)絡絕不能簡簡單單的就定義為安全或者是不安全，每個企業(yè)在建立網(wǎng)絡安全體系的第一步應該是定義安全策略，該策略不會去指導如何獲得安全，而是將企業(yè)需要的應用清單羅列出來，再針對不同的信息級別給予安全等級定義。針對不同的信息安全級別和信息流的走向來給予不同的安全策略，企業(yè)需要制定合理的安全策略及安全方案來確保網(wǎng)絡系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。對關鍵數(shù)據(jù)的防護要采取包括“進不來、出不去、讀不懂、改不了、走不脫”的五不原則。

“五不原則”：

1.“進不來”——可用性： 授權實體有權訪問數(shù)據(jù)，讓非法的用戶不能夠進入企業(yè)網(wǎng)。

2.“出不去”——可控性： 控制授權范圍內(nèi)的信息流向及操作方式，讓企業(yè)網(wǎng)內(nèi)的商業(yè)機密不被泄密。

3.“讀不懂”——機密性： 信息不暴露給未授權實體或進程，讓未被授權的人拿到信息也看不懂。

4.“改不了”——完整性： 保證數(shù)據(jù)不被未授權修改。

5.“走不脫”——可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段。

在“五不原則”的基礎上，再針對企業(yè)網(wǎng)絡內(nèi)的不同環(huán)節(jié)采取不同的策略。

3.2 信息安全等級劃分

根據(jù)我國《信息安全等級保護管理辦法》，我國所有的企業(yè)都必須對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。具體劃分情況如下：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。

因此，中小型企業(yè)在構建企業(yè)信息網(wǎng)絡安全架構之前，都應該根據(jù)《信息安全等級保護管理辦法》，經(jīng)由相關部門確定企業(yè)的信息安全等級，并依據(jù)界定的企業(yè)信息安全等級對企業(yè)可能存在的網(wǎng)絡安全問題進行網(wǎng)絡安全風險評估。

3.3 網(wǎng)絡安全風險評估

根據(jù)國家信息安全保護管理辦法,網(wǎng)絡安全風險是指由于網(wǎng)絡系統(tǒng)所存在的脆弱性，因人為或自然的威脅導致安全事件發(fā)生所造成的可能性影響。網(wǎng)絡安全風險評估就是指依據(jù)有關信息安全技術和管理標準，對網(wǎng)絡系統(tǒng)的保密性、完整想、可控性和可用性等安全屬性進行科學評價的過程。

網(wǎng)絡安全風險評估對企業(yè)的網(wǎng)絡安全意義重大。首先，網(wǎng)絡安全風險評估是網(wǎng)絡安全的基礎工作，它有利于網(wǎng)絡安全的規(guī)劃和設計以及明確網(wǎng)絡安全的保障需求；另外，網(wǎng)絡安全風險評估有利于網(wǎng)絡的安全防護，使得企業(yè)能夠?qū)ψ约旱木W(wǎng)絡做到突出防護重點，分級保護。

3.4確定企業(yè)需要保護的重點

針對不同的企業(yè)，其需要保護的網(wǎng)絡設備和節(jié)點是不同的。但是企業(yè)信息網(wǎng)絡中需要保護的重點在大體上是相同的，我認為主要包括以下幾點：

1.要著重保護服務器、存儲的安全，較輕保護單機安全。

企業(yè)的運作中，信息是靈魂，一般來說，大量有用的信息都保存在服務器或者存儲設備上。在實際工作中，企業(yè)應該要求員工把相關的資料存儲在企業(yè)服務器中。企業(yè)可以對服務器采取統(tǒng)一的安全策略，如果管理策略定義的好的話，在服務器上文件的安全性比單機上要高的多。所以在安全管理中，企業(yè)應該把管理的重心放到這些服務器中，要采用一切必要的措施，讓員工把信息存儲在文件服務器上。在投資上也應著重考慮企業(yè)服務器的防護。

2.邊界防護是重點。

當然著重保護服務器、存儲設備的安全并不是說整體的防護并不需要，相反的邊界防護是網(wǎng)絡防護的重點。網(wǎng)絡邊界是企業(yè)網(wǎng)絡與其他網(wǎng)絡的分界線，對網(wǎng)絡邊界進行安全防護，首先必須明確到底哪些網(wǎng)絡邊界需要防護，這可以通過網(wǎng)絡安全風險評估來確定。網(wǎng)絡邊界是一個網(wǎng)絡的重要組成部分，負責對網(wǎng)絡流量進行最初及最后的過濾，對一些公共服務器區(qū)進行保護，VPN技術也是在網(wǎng)絡邊界設備建立和終結的，因此邊界安全的有效部署對整網(wǎng)安全意義重大。

3.“”保護。

企業(yè)還要注意到，對于某些極其重要的部門，要將其劃為，例如一些研發(fā)部門。類似的部門一旦發(fā)生網(wǎng)絡安全事件，往往很難估量損失。在這些區(qū)域可以采用虛擬局域網(wǎng)技術或者干脆做到物理隔離。

4.終端計算機的防護。

最后作者還是要提到終端計算機的防護，雖然對比服務器、存儲和邊界防護，終端計算機的安全級別相對較低，但最基本的病毒防護，和策略審計是必不可少的。

3.5選擇合適的網(wǎng)絡安全設備

企業(yè)應該根據(jù)自身的需求和實際情況選擇適合的網(wǎng)絡安全設備，并不是越貴越好，或者是越先進越好。在這里作者重點介紹一下邊界防護產(chǎn)品——防火墻的性能參數(shù)的實際應用。

作為網(wǎng)絡安全重要的一環(huán)，防火墻是在任何整體網(wǎng)絡安全建設中都是不能缺少的主角之一，并且?guī)缀跛械木W(wǎng)絡安全公司都會推出自己品牌的防火墻。在防火墻的參數(shù)中，最常看到的是并發(fā)連接數(shù)、網(wǎng)絡吞吐量兩個指標.

并發(fā)連接數(shù)：是指防火墻或服務器對其業(yè)務信息流的處理能力，是防火墻能夠同時處理的點對點連接的最大數(shù)目，它反映出防火墻設備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力，這個參數(shù)的大小直接影響到防火墻所能支持的最大信息點數(shù)。由于計算機用戶訪問頁面中有可能包含較多的其他頁面的連接，按每個臺計算機發(fā)生20個并發(fā)連接數(shù)計算（很多文章中提到一個經(jīng)驗數(shù)據(jù)是15，但這個數(shù)值在集中辦公的地方往往會出現(xiàn)不足），假設企業(yè)中的計算機用戶為500人，這個企業(yè)需要的防火墻的并發(fā)連接數(shù)是：20*500*3/4=7500，也就是說在其他指標符合的情況下，購買一臺并發(fā)連接數(shù)在10000~15000之間的防火墻就已經(jīng)足夠了，如果再規(guī)范了終端用戶的瀏覽限制，甚至可以更低。

網(wǎng)絡吞吐量：是指在沒有幀丟失的情況下，設備能夠接受的最大速率。隨著Internet的日益普及，內(nèi)部網(wǎng)用戶訪問Internet的需求在不斷增加，一些企業(yè)也需要對外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS域名解析等服務，這些因素會導致網(wǎng)絡流量的急劇增加，而防火墻作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道，如果吞吐量太小，就會成為網(wǎng)絡瓶頸，給整個網(wǎng)絡的傳輸效率帶來負面影響。因此，考察防火墻的吞吐能力有助于企業(yè)更好的評價其性能表現(xiàn)。這也是測量防火墻性能的重要指標。

吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡，及程序算法的效率決定，尤其是程序算法，會使防火墻系統(tǒng)進行大量運算，通信量大打折扣。因此，大多數(shù)防火墻雖號稱100M防火墻，由于其算法依靠軟件實現(xiàn)，通信量遠遠沒有達到100M,實際只有10M-20M。純硬件防火墻，由于采用硬件進行運算，因此吞吐量可以達到線性90-95M,才是真正的100M防火墻。

從實際情況來看，中小型企業(yè)由于企業(yè)規(guī)模和人數(shù)的原因，一般選擇百兆防火墻就已經(jīng)足夠了。

3.6投資回報率

在之前作者曾提到的中小企業(yè)的網(wǎng)絡特點中資金少是最重要的一個問題。不論企業(yè)如何做安全策略以及劃分保護重點，最終都要落實到一個實際問題上——企業(yè)網(wǎng)絡安全的投資資金。這里就涉及到了一個名詞——投資回報率。在網(wǎng)絡安全的投資上，是看不到任何產(chǎn)出的，那么網(wǎng)絡安全的投資回報率該如何計算呢?

首先，企業(yè)要確定公司內(nèi)部員工在使用電子郵件和進行WEB瀏覽時，可能會違反公司網(wǎng)絡行為規(guī)范的概率?？梢詫⑦@個概率稱為暴光值(exposure value (EV))。根據(jù)一些機構對中小企業(yè)做的調(diào)查報告可知，通常有25%—30%的員工會違反企業(yè)的使用策略，作者在此選擇25%作為計算安全投資回報率的暴光值。那么，一個擁有100名員工的企業(yè)就有100x 25% = 25名違反者。

下一步，必需確定一個因素——當發(fā)現(xiàn)單一事件時將損失多少人民幣?？梢詫⑺Q為預期單一損失(single loss expectancy (SLE))。由于公司中的100個員工都有可能會違反公司的使用規(guī)定，因此，可以用這100個員工的平均小時工資作為每小時造成工作站停機的預期單一最小損失值。例如，作者在此可以用每小時10元人民幣作為預期單一最小損失值。然后，企業(yè)需要確定在一周的工作時間之內(nèi)，處理25名違規(guī)員工帶來的影響需要花費多少時間。這個時間可以用每周總工作量40小時乘以暴光值25%可以得出為10小時。這樣，就可以按下列公式來計算單一預期損失值：

25x ￥10 x 10/ h = ￥2500 (SLE)

最后，企業(yè)要確定這樣的事情在一年中可能會發(fā)生多少次。可以叫它為預期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個星期都會發(fā)生，一年有52周，如果除去我國的春節(jié)和十一黃金周的兩個假期，這意味著一個企業(yè)在一年中可能會發(fā)生50次這樣的事件，可以將它稱之為年發(fā)生率(annual rate of occurrence (ARO))。預期的年均損失(ALE)就等于年發(fā)生率(ARO)乘以預期單一損失(SLE)：

￥2500 x 50 = ￥125,000 (ALE)

這就是說，該公司在沒有使用安全技術防范措施的情況下，內(nèi)部員工的違規(guī)網(wǎng)絡操作行為可能會給公司每年造成12.5萬元人民幣的損失。從這里就可以知道，如果公司只需要花費10000元人民幣來實施一個具體的網(wǎng)絡行為監(jiān)控解決方案，就可能讓企業(yè)每年減少12.5萬元人民幣的損失，這個安全防范方案當然是值得去做的。

當然，事實卻并不是這么簡單的。這是由于安全并不是某種安全技術就可以解決的，安全防范是一個持續(xù)過程，其中必然會牽扯到人力和管理成本等因素。而且，任何一種安全技術或安全解決方案并不能保證絕對的安全，因為這是不可能完成的任務。

就拿本例來說，實施這個網(wǎng)絡行為監(jiān)控方案之后，能夠?qū)⑵髽I(yè)內(nèi)部員工的違規(guī)行為，也就是暴光值(EV)降低到2%就已經(jīng)相當不錯了。而這，需要在此安全防范方案實施一段時間之后，例如半年或一年，企業(yè)才可能知道實施此安全方案后的最終效果，也就是此次安全投資的具體投資回報率是多少。

有數(shù)據(jù)表明在國外，安全投入一般占企業(yè)基礎投入的5%～20%，在國內(nèi)一般很少超過2%，而網(wǎng)絡安全事件不論在國內(nèi)外都層出不窮，企業(yè)可能在安全方面投入了很多，但是仍然頻頻發(fā)生網(wǎng)絡安全事故。很多企業(yè)的高層管理者對于這個問題都比較頭疼。其實網(wǎng)絡安全理論中著名的木桶理論，很好的解釋了這種現(xiàn)象。企業(yè)在信息安全方面的預算不夠進而導致了投資報酬不成比例，另外很多企業(yè)每年在安全產(chǎn)品上投入大量資金，但是卻不關注內(nèi)部人員的考察、安全產(chǎn)品有效性的審核等安全要素。缺乏系統(tǒng)的、科學的管理體系的支持，也是導致這種結果產(chǎn)生的原因。

第2篇

關鍵詞:企業(yè)網(wǎng)絡；安全；病毒；物理

在現(xiàn)代企業(yè)的生存與發(fā)展過程中，企業(yè)網(wǎng)絡安全威脅與企業(yè)網(wǎng)絡安全防護是并行存在的。雖然企業(yè)網(wǎng)絡安全技術與以往相比取得了突破性的進展，但過去企業(yè)網(wǎng)絡處于一個封閉或者是半封閉的狀態(tài)，只需簡單的防護設備和防護方案即可保證其安全性。而當今大多數(shù)企業(yè)網(wǎng)絡幾乎處于全球互聯(lián)的狀態(tài)，這種時空的無限制性和準入的開放性間接增加了企業(yè)網(wǎng)絡安全的影響因素，自然給企業(yè)網(wǎng)絡安全帶來了更多的威脅。因此，企業(yè)網(wǎng)絡安全防護一個永無止境的過程，對其進行研究無論是對于網(wǎng)絡安全技術的應用，還是對于企業(yè)的持續(xù)發(fā)展，都具有重要的意義。

1企業(yè)網(wǎng)絡安全問題分析

基于企業(yè)網(wǎng)絡的構成要素以及運行維護條件，目前企業(yè)網(wǎng)絡典型的安全問題主要表現(xiàn)于以下幾個方面。

1.1網(wǎng)絡設備安全問題

企業(yè)網(wǎng)絡系統(tǒng)服務器、網(wǎng)絡交換機、個人電腦、備用電源等硬件設備，時常會發(fā)生安全問題，而這些設備一旦產(chǎn)生安全事故很有可能會泄露企業(yè)的機密信息，進而給企業(yè)帶來不可估量經(jīng)濟損失。以某企業(yè)為例，該企業(yè)網(wǎng)絡的服務器及相關網(wǎng)絡設備的運行電力由UPS接12V的SOAK蓄電池組提供，該蓄電池組使用年限行、容量低，在長時間停電的情況下，很容易由于蓄電池的電量耗盡而導致整個企業(yè)網(wǎng)絡的停運。當然，除了電源問題外，服務器、交換機也存在諸多安全隱患。

1.2服務器操作系統(tǒng)安全問題

隨著企業(yè)規(guī)模的壯大以及企業(yè)業(yè)務的拓展，對企業(yè)網(wǎng)絡服務器的安全需求也有所提高。目前諸多企業(yè)網(wǎng)絡服務器采用的是WindowsXP或Windows7操作系統(tǒng)，由于這些操作系統(tǒng)存在安全漏洞，自然會降低服務器的安全防御指數(shù)。加上異常端口、未使用端口以及不規(guī)范的高權限賬號管理等問題的存在，在不同程度上增加了服務器的安全威脅。

1.3訪問控制問題

企業(yè)網(wǎng)絡訪問控制安全問題也是較為常見的，以某企業(yè)為例，該企業(yè)采用Websense管理軟件來監(jiān)控企業(yè)內(nèi)部人員的上網(wǎng)行為，但未限制存在安全隱患的上網(wǎng)活動。同時對于內(nèi)部上網(wǎng)終端及外來電腦未設置入網(wǎng)認證及無線網(wǎng)絡訪問節(jié)點安全檢查，任何電腦都可在信號區(qū)內(nèi)接入到無線網(wǎng)絡。

2企業(yè)網(wǎng)絡安全防護方案

基于上述企業(yè)網(wǎng)絡普遍性的安全問題，可以針對性的提出以下綜合性的安全防護方案來提高企業(yè)網(wǎng)絡的整體安全性能。

2.1網(wǎng)絡設備安全方案

企業(yè)網(wǎng)絡相關設備的安全性能是保證整個企業(yè)網(wǎng)絡安全的基本前提，為了提高網(wǎng)絡設備的整體安全指數(shù)，可采取以下具體措施。首先，合適傳輸介質(zhì)的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質(zhì)，例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業(yè)網(wǎng)絡相關主干設備對交流電源的生產(chǎn)質(zhì)量、供電連續(xù)性、供電可靠性以及抗干擾性等指標提出了更高的要求，這就要求對企業(yè)網(wǎng)絡的供電系統(tǒng)進行優(yōu)化。以上述某企業(yè)網(wǎng)絡系統(tǒng)電源供電不足問題為例，為了徹底解決傳統(tǒng)電源供給不足問題，可以更換為大容量的蓄電池組，并安裝固定式發(fā)電機組，進而保證在長時間停電狀態(tài)下企業(yè)網(wǎng)絡設備的可持續(xù)供電，避免因為斷電而導致文件損壞及數(shù)據(jù)丟失等安全問題的發(fā)生。

2.2服務器系統(tǒng)安全方案

企業(yè)網(wǎng)絡服務器系統(tǒng)的安全尤為重要，然而其安全問題的產(chǎn)生又是多方面因素所導致的，需要從多個層面來構建安全防護方案。

2.2.1操作系統(tǒng)漏洞安全

目前企業(yè)網(wǎng)絡服務器操作系統(tǒng)以Windows為主，該系統(tǒng)漏洞的出現(xiàn)成為了諸多攻擊者的重點對象，除了采取常規(guī)的更新Windows系統(tǒng)、安裝系統(tǒng)補丁外，還應針對企業(yè)網(wǎng)絡服務器及個人電腦的操作系統(tǒng)使用實際情況，實施專門的漏洞掃描和檢測，并根據(jù)掃描結果做出科學、客觀、全面的安全評估，如圖1所示，將證書授權入侵檢測系統(tǒng)部署在核心交換機的監(jiān)控端口，并在不同網(wǎng)段安裝由中央工作站控制的網(wǎng)絡入侵檢測，以此來檢測和響應網(wǎng)絡入侵威脅。圖1漏洞掃描及檢測系統(tǒng)

2.2.2Windows端口安全

在Windows系統(tǒng)中，端口是企業(yè)實現(xiàn)網(wǎng)絡信息服務主要通道，一般一臺服務器會綁定多個IP，而這些IP又通過多個端口來提高企業(yè)網(wǎng)絡服務能力，這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務器網(wǎng)絡攻擊的運行路徑來看，大多數(shù)都要通過服務器TCP/UDP端口，可充分這一點來預防各種網(wǎng)絡攻擊，只需通過命令或端口管理軟件來實現(xiàn)系統(tǒng)端口的控制管理即可。

2.2.3Internet信息服務安全

Internet信息服務是以TCP/IP為基礎的，可通過諸多措施來提高Internet信息服務安全。（1）基于IP地址實現(xiàn)訪問控制。通過對IIS配置，可實現(xiàn)對來訪IP地址的檢測，進而以訪問權限的設置來阻止或允許某些特定計算機的訪問站點。（2）在非系統(tǒng)分區(qū)上安裝IIS服務器。若在系統(tǒng)分區(qū)上安裝IIS，IIS就會具備非法訪問屬性，給非法用戶侵入系統(tǒng)分區(qū)提供便利，因此，在非系統(tǒng)分區(qū)上安全IIS服務器較為科學。（3）NTFS文件系統(tǒng)的應用。NTFS文件系統(tǒng)具有文件及目錄管理功能，服務器Windows2000的安全機制是基于NTFS文件系統(tǒng)的，因此Windows2000安裝時選用NTFS文件系統(tǒng)，安全性能更高。（4）服務端口號的修改。雖然IIS網(wǎng)絡服務默認端口的使用為訪問提供了諸多便捷，但會降低安全性，更容易受到基于端口程序漏洞的服務器攻擊，因此，通過修改部分服務器的網(wǎng)絡服務端口可提高企業(yè)網(wǎng)絡服務器的安全性。

2.3網(wǎng)絡結構安全方案

2.3.1強化網(wǎng)絡設備安全

強化企業(yè)網(wǎng)絡設備的自身安全是保障企業(yè)網(wǎng)絡安全的基礎措施，具體包含以下措施。（1）網(wǎng)絡設備運行安全。對各設備、各端口運行狀態(tài)的實時監(jiān)控能有效發(fā)現(xiàn)各種異常，進而預防各種安全威脅。一般可通過可視化管理軟件的應用來實現(xiàn)上述目標，例如What’supGold能實現(xiàn)對企業(yè)網(wǎng)絡設備狀態(tài)的監(jiān)控，而SolarWindsNetworkPerformancemonitor可實現(xiàn)對各個端口流量的實時監(jiān)控。（2）網(wǎng)絡設備登錄安全。為了保證網(wǎng)絡設備登錄安全指數(shù)，對于企業(yè)網(wǎng)絡中的核心設備應配置專用的localuser用戶名，用戶名級別設置的一級，該級別用戶只具備讀權限，一般用于console、遠程telnet登錄等需求。除此之外，還可設置一個單獨的super密碼，只有擁有super密碼的管理員才有資格對核心交換機實施相關配置設置。（3）無線AP安全。一般在企業(yè)內(nèi)部有多個無線AP設備，應采用較為成熟的加密技術設置一個較為復雜的高級秘鑰，從而確保無線接入網(wǎng)的安全性。

2.3.2細分網(wǎng)絡安全區(qū)域

目前，廣播式局域的企業(yè)網(wǎng)絡組網(wǎng)模式存在著一個嚴重缺陷就是當其中各個局域網(wǎng)存在ARP病毒時，未設置ARP本地綁定或未設置ARP防火墻的終端則無法有效訪問系統(tǒng)，同時還可能泄露重要信息。為了解決這種問題，可對整個網(wǎng)絡進行細分，即按某種規(guī)則如企業(yè)職能部門將企業(yè)網(wǎng)絡終端設備劃分為多個網(wǎng)段，在每個網(wǎng)段均有不同的vlan，從而保證安全性。

2.3.3加強通問控制

針對企業(yè)各個部門對網(wǎng)絡資源的需求，在通問控制時需要注意以下幾點：對內(nèi)服務器應根據(jù)提供的業(yè)務與對口部門互通；對內(nèi)服務器需要與互聯(lián)網(wǎng)隔離；體驗區(qū)只能訪問互聯(lián)網(wǎng)，不能訪問辦公網(wǎng)。以上功能的實現(xiàn)，可在核心路由器和防火墻上共同配合完成。

作者:李常福 單位:鄭州市中心醫(yī)院

第3篇

【關鍵詞】信息安全；安全技術；防范措施

1、前言

隨著社會和經(jīng)濟的高度信息化、網(wǎng)絡化，現(xiàn)代企業(yè)的生產(chǎn)、管理、銷售已經(jīng)和網(wǎng)絡密不可分，許多企業(yè)只重視利用網(wǎng)絡抓生產(chǎn)、促銷售，在全面發(fā)掘網(wǎng)絡帶來經(jīng)濟效益的同時忽略對自身企業(yè)網(wǎng)絡信息安全防范的建設，一旦發(fā)生網(wǎng)絡信息安全問題，往往追悔莫及，保障企業(yè)網(wǎng)絡信息的安全可控，采取有效的防范措施是每個現(xiàn)代企業(yè)面臨的嚴峻問題。

2、網(wǎng)絡信息安全概述

對網(wǎng)絡信息安全定義有多種說法，本人傾向于網(wǎng)絡信息安全是指網(wǎng)絡系統(tǒng)的軟件、硬件及系統(tǒng)數(shù)據(jù)受到保護，不受意外的或惡意的原因而遭到破壞、更改、泄露，保持系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。做好企業(yè)的網(wǎng)絡信息系統(tǒng)安全首先要有良好的網(wǎng)絡信息安全防范意識，提高網(wǎng)絡信息系統(tǒng)軟、硬件技術保障水平、建立完善的網(wǎng)絡信息系統(tǒng)管理制度開展工作。

2.1影響網(wǎng)絡信息安全的因素

影響網(wǎng)絡信息安全的主要因素主要分為以下四大類。

2.1.1網(wǎng)絡信息系統(tǒng)的脆弱性。網(wǎng)絡信息系統(tǒng)的脆弱性包括了操作系統(tǒng)的脆弱性，信息系統(tǒng)本身的漏洞、后門，硬件系統(tǒng)的故障和天災人禍等，這些脆弱性使得網(wǎng)絡信息安全受到攻擊成為可能。

2.1.2缺乏先進的網(wǎng)絡安全技術、手段、工具和產(chǎn)品。企業(yè)在利用網(wǎng)絡信息開展生產(chǎn)、管理的同時往往缺乏安全防范意識，認為只要系統(tǒng)不出問題就說明沒事，對保障網(wǎng)絡安全系統(tǒng)安全的必要網(wǎng)絡安全技術產(chǎn)品不愿投入資金建設，從而造成網(wǎng)絡信息系統(tǒng)的中重大安全隱患。

2.1.3缺乏正確安全策略和管理監(jiān)督制度。主要體現(xiàn)在部分企業(yè)認為只要購買了昂貴的網(wǎng)絡安全產(chǎn)品就萬事大吉了，缺乏正確的安全策略和管理監(jiān)督制度，再好的產(chǎn)品也是需要員工按規(guī)定來操作和執(zhí)行，沒有管理監(jiān)督制度和正確的安全策略，網(wǎng)絡信息安全就無從談起。

2.1.4缺乏完善的網(wǎng)絡信息系統(tǒng)恢復、備份技術手段。主要體現(xiàn)在缺乏對網(wǎng)絡信息安全重要性的評估，對網(wǎng)絡信息受到受到攻擊、意外事件造成崩潰后缺乏網(wǎng)絡信息系統(tǒng)的恢復、備份技術和工具，造成網(wǎng)絡信息系統(tǒng)恢復的不可逆性。

3、網(wǎng)絡信息安全防范策略

3.1采取有效的網(wǎng)絡安全技術手段和措施

3.1.1采取有效身份認證技術。采取有效的身份認證技術可對具備合法信息的用戶進行確認，同時根據(jù)用戶信息對授權進行判定，給予不同的網(wǎng)絡信息操作權限，常用的身份認證技術主要有信息認證、密鑰認證、用戶認證等。

3.1.2防火墻技術。防火墻主要由服務訪問政策、驗證工具、包過濾和應用網(wǎng)關4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間，它是一種計算機硬件防火墻件和軟件的結合，在企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)絡之間建立起一個安全網(wǎng)關，通過鑒別限制或者更改越過防火墻的各種數(shù)據(jù)流，防止外部網(wǎng)絡用戶未經(jīng)授權的訪問，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。

3.1.3防病毒技術。選擇先進的反病毒產(chǎn)品，并定期進行更新，在防病毒技術上針對企業(yè)的用戶數(shù)以服務器為基礎，提供實時掃描病毒能力，確保反病毒產(chǎn)品能夠部署到企業(yè)的每個工作站。確保企業(yè)所有的網(wǎng)絡終端都能夠部署到。

3.1.4入侵的檢測技術。入侵檢測系統(tǒng)能自動實時的入侵檢測和響應系統(tǒng)。它無妨礙地監(jiān)控網(wǎng)絡傳輸并自動檢測和響應可疑的行為，在系統(tǒng)受到危害之前截取和響應安全漏洞和內(nèi)部誤用，有效彌補防火墻技術對內(nèi)部網(wǎng)絡存在的非法活動監(jiān)控的能力的不足，從而最大程度地為企業(yè)網(wǎng)絡提供安全。

3.1.5漏洞的掃描技術。通過采取漏洞掃描，及時，準確的發(fā)現(xiàn)自身網(wǎng)絡信息安全存在的漏洞和問題，有利于系統(tǒng)管理員采取應對措施，封堵網(wǎng)絡信息系統(tǒng)存在的漏洞和安全隱患，從而有效保障網(wǎng)絡信息安全，確保業(yè)務系統(tǒng)安全的運行。目前漏洞掃描主要分為ping掃描、端口掃描、OS探測、脆弱點探測、防火墻掃描五種主要技術。

3.1.6加密技術。通過對企業(yè)的網(wǎng)絡信息安全進行加密，確保網(wǎng)絡信息在使用和傳輸過程中的安全性，加密算法主要分為堆成加密算法和非對稱加密算法兩類，并由此衍生出加密狗、加密軟件等各類產(chǎn)品。

3.1.7對有特殊安全要求的網(wǎng)絡建立與互聯(lián)網(wǎng)隔離。一些特殊產(chǎn)品的生產(chǎn)管理網(wǎng)絡根據(jù)其安全的密級要求實行和互聯(lián)網(wǎng)絡隔離，確需聯(lián)絡的需采取單向光閘等措施保證其安全性。

3.2建立完善的網(wǎng)絡信息安全的管理制度和安全應對策略。據(jù)統(tǒng)計，70%以上的信息安全威脅來自于企業(yè)內(nèi)部的員工，沒有一套完善的網(wǎng)絡信息安全管理制度來實現(xiàn)對信息系統(tǒng)使用人員的管理，再出色的安全技術手段和產(chǎn)品也無法發(fā)揮作用，通過制度對人的行為進行規(guī)范，從而確保網(wǎng)絡信息安全落到實處。

3.3采取有效的備份、恢復措施。對企業(yè)自身的網(wǎng)絡信息系統(tǒng)做好安全等級保護評測、安全風險評估工作，針對評估情況采取對應的災難備份及恢復措施，對重要的網(wǎng)絡信息系統(tǒng)應采取包括對軟件部分、硬件以及傳輸線路的備份，在有條件的情況下應采取異地雙線路雙系統(tǒng)備份的方法，從而最大程度降低自然災害對網(wǎng)絡信息安全造成的破壞。

4、結束語

隨著信息產(chǎn)業(yè)化的不斷深入，網(wǎng)絡信息安全問題日益凸顯，企業(yè)應提高自身的網(wǎng)絡信息安全防范意識，在享受網(wǎng)絡信息化帶來的便利同時加強企業(yè)自身的網(wǎng)絡與信息安全管理，采取有效的技術措施，建立完善、高效的網(wǎng)絡信息安全管理制度，從而將企業(yè)網(wǎng)絡信息安全風險降到最低。

參考文獻

[1]陳震.我國信息與通信網(wǎng)建設安全問題初探[J].科學之友，2010年24期

第4篇

關鍵詞 電力企業(yè)；網(wǎng)絡信息安全；防范措施

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2012）73-0192-02

隨著信息系統(tǒng)與網(wǎng)絡的快速發(fā)展，電力企業(yè)作為關乎國計民生的基礎行業(yè)，企業(yè)內(nèi)部各業(yè)務數(shù)據(jù)已基本在網(wǎng)絡流轉(zhuǎn)，企業(yè)對信息系統(tǒng)產(chǎn)生了巨大的依賴性。但是，企業(yè)在享受著信息系統(tǒng)所帶來巨大經(jīng)濟效益的同時，也面臨著高風險。一旦出現(xiàn)信息泄密或篡改數(shù)據(jù)的情況，將為國家造成難以估量的損失。尤其是近幾年，全球范圍內(nèi)的病毒泛濫、黑客入侵、計算機犯罪等問題，信息安全防范已成重中之重。因此，企業(yè)必須重新面對當前的安全問題，從中找到行之有效的防范措施。

1 電力企業(yè)網(wǎng)絡安全現(xiàn)狀分析

1.1 網(wǎng)絡安全措施不到位

電力數(shù)據(jù)網(wǎng)絡信息化在電力系統(tǒng)中的應用已經(jīng)成為不可或缺的基礎設施。電力數(shù)據(jù)網(wǎng)需要同時承載著實時、準實時控制業(yè)務及管理信息業(yè)務，電力生產(chǎn)、經(jīng)營很多環(huán)節(jié)完全依賴電力信息網(wǎng)的正常運行與否，隨著網(wǎng)絡技術和信息技術的發(fā)展，網(wǎng)絡犯罪不斷增加，電力企業(yè)雖然已初步建立了網(wǎng)絡安全措施，但企業(yè)網(wǎng)絡信息安全仍存在很多的安全隱患，職工安全意識、數(shù)據(jù)傳輸加密、身份認證、訪問控制、防病毒系統(tǒng)、人員的管理等方面需要進一步加強，在整個電力信息網(wǎng)絡中，很多單位之間的網(wǎng)絡安全是不平衡的，主要是雖然網(wǎng)絡利用率較高，但信息的安全問題較多，主要是安全級別較低的業(yè)務與安全，沒有對網(wǎng)絡安全做長遠、統(tǒng)一的規(guī)劃，網(wǎng)絡中還存在很多問題。

1.2 職工安全意識有待加強

目前國內(nèi)電力企業(yè)職工的安全意識參差不齊，相較之下，年輕的職工和管理人員其安全意識較高，中年以上的職工和一線職工仍然缺乏必要的安全意識，主要是工作年齡、所受教育、工作后的信息安全培訓程度，從事的工作性質(zhì)的原因造成的，這就為網(wǎng)絡安全留下了隱患，加強電力企業(yè)信息安全的培訓，全方位提高職工網(wǎng)絡信息安全意識，避免信息安全防護工作出現(xiàn)高低不均的情況。

1.3 內(nèi)部的網(wǎng)絡威脅仍然存在

在這個科技技術日益發(fā)展的時代，網(wǎng)絡信息的安全工作越來越重要，由此電力企業(yè)根據(jù)目前的狀況出臺了相關的網(wǎng)絡安全規(guī)章制度，以保證其信息安全，但內(nèi)部的網(wǎng)絡威脅仍然存在，而且對管理人員的有效管理依然缺乏。如：辦公計算機仍存在內(nèi)外網(wǎng)混用情況、內(nèi)外網(wǎng)邏輯隔離強度不夠、企業(yè)內(nèi)網(wǎng)安全隔離相對薄弱等情況，如果其中的一些漏洞被非法分子所利用，那么，電力企業(yè)的信息安全會受到嚴重的威脅，并會對電力企業(yè)的生產(chǎn)以及經(jīng)營帶來很大的困難。

2 電力企業(yè)網(wǎng)絡安全的風險

隨著網(wǎng)絡技術的發(fā)展，電力企業(yè)信息系統(tǒng)越來越復雜，信息資源越來越龐大，不管是操作系統(tǒng)還是應用軟件，都存在系統(tǒng)漏洞等安全風險，保證電力企業(yè)信息安全最重要的是保證信息數(shù)據(jù)的安全，目前電力企業(yè)的網(wǎng)絡信息系統(tǒng)的主要隱患主要存在于以下幾個方面。

2.1 惡意入侵

計算機系統(tǒng)本身并不具有一定的防御性，其通信設備也較為脆弱，因此，計算機網(wǎng)絡中的潛在威脅對計算機來說是十分危險的。尤其是現(xiàn)在的信息網(wǎng)絡公開化、信息利用自由化，這也造成了一些秘密的信息資源被共享，而這些信息也容易被不法分子所利用。而有極少數(shù)人利用網(wǎng)絡進行惡意入侵進行非法操作，危機網(wǎng)絡系統(tǒng)的安全，惡意入侵其實是由四個步驟構成的：首先掃描IP地址，尋找存活主機；然后確定IP地址，掃描主機端口和漏洞；接著通過漏洞和開放端口放置后門程序；最后通過客戶端程序?qū)嵤┻h程控制。由于系統(tǒng)被入侵，電力企業(yè)信息泄露會造成不良后果，更嚴重的是系統(tǒng)被惡意控制，不但會給電力企業(yè)本身造成嚴重的后果，還會給社會和用戶帶來重大的損失。

2.2 網(wǎng)絡病毒的傳播

計算機病毒對計算機來說是最普遍的一種威脅，伴隨著因特網(wǎng)的發(fā)展，各個企業(yè)開始創(chuàng)建或發(fā)展企業(yè)網(wǎng)絡應用，這無形也增加了病毒感染的可能性，病毒的危害十分巨大，它是通過數(shù)據(jù)的傳輸來傳播的，其能夠?qū)τ嬎銠C的軟硬件造成破壞，同時它還能夠進行自我復制，因此，一旦感染了病毒，其危害性是十分巨大的。

2.3 惡意網(wǎng)頁的破壞

網(wǎng)絡共享性與開放性使得人人都可以在互聯(lián)網(wǎng)上所取和存放信息，由于信息的傳遞和反饋快速靈敏，網(wǎng)絡資源的社會性和共享性，電力企業(yè)職工都在不斷地點擊各種網(wǎng)頁，并在網(wǎng)絡中尋找他們所需要的資源，網(wǎng)頁中的病毒是掛靠在網(wǎng)頁上的一種木馬病毒，它的實質(zhì)是一些不法分子通過編程來編寫的惡意代碼并植入IE漏洞而形成了網(wǎng)頁病毒。當用戶瀏覽過含有病毒的網(wǎng)站時，病毒會在無形中被激活，并通過因特網(wǎng)進如用戶的計算機系統(tǒng)，當病毒進入計算機后會迅速的自我復制并到處傳播病毒，使得用戶的計算機系統(tǒng)崩潰，嚴重的會將用戶的系統(tǒng)徹底格式化。

2.4 信息傳遞的安全不容忽視

在電力企業(yè)的計算機網(wǎng)絡系統(tǒng)中，信息傳輸基本上是明文方式或采用低安全級別的加密進行傳輸，當這些企業(yè)信息在網(wǎng)絡上傳輸時，其安全性就不能得到足夠的保障，不具備網(wǎng)絡信息安全所要求的機密性、數(shù)據(jù)完整性和身份認證。

2.5 軟件源代碼不能獨立控制的隱患

目前電力企業(yè)辦公計算機、企業(yè)級服務器的操作系統(tǒng)以及使用的信息系統(tǒng)軟件因為是絕大部分都是商業(yè)性質(zhì)的，所以其源代碼是不公開的，這就代表著軟件的核心技術是被對方掌握的，其漏洞卻大量存在，雖然有系統(tǒng)補丁或者軟件升級，但其未公開、未被發(fā)現(xiàn)的漏洞對信息安全來說確實巨大的隱患。

第5篇

【論文摘要】 在網(wǎng)絡攻擊手段日益增多，攻擊頻率日益增高的背景下，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計算機網(wǎng)絡中存在的安全隱患。需要一種靜態(tài)技術和動態(tài)技術相結合的安全解決方案，即在網(wǎng)絡中的各個部分采取多種安全防范技術來構筑企業(yè)網(wǎng)絡整體安全體系。包括防病毒技術；防火墻技術；入侵檢測技術；網(wǎng)絡性能監(jiān)控及故障分析技術；漏洞掃描安全評估技術；主機訪問控制等。

信息技術正以其廣泛的滲透性和無與倫比的先進性與傳統(tǒng)產(chǎn)業(yè)結合，隨著Internet網(wǎng)絡的飛速發(fā)展，使網(wǎng)絡的重要性和對社會的影響越來越大。企業(yè)的辦公自動化、生產(chǎn)業(yè)務系統(tǒng)及電子商務系統(tǒng)對網(wǎng)絡系統(tǒng)的依賴性尤其突出，但病毒及黑客對網(wǎng)絡系統(tǒng)的惡意入侵使企業(yè)的信息網(wǎng)絡系統(tǒng)面臨著強大的生存壓力，網(wǎng)絡安全問題變得越來越重要。

企業(yè)網(wǎng)絡安全主要來自以下幾個方面：①來自INTERNET的安全問題；②來自外部網(wǎng)絡的安全威脅；③來自內(nèi)部網(wǎng)絡的安全威脅。

針對以上安全威脅，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計算機網(wǎng)絡中存在的安全隱患，本文介紹一種靜態(tài)技術和動態(tài)技術相結合的安全解決方案，即在網(wǎng)絡中的各個部分采取多種安全防范技術來構筑企業(yè)網(wǎng)絡整體安全體系：①防病毒技術；②防火墻技術；③入侵檢測技術；④網(wǎng)絡性能監(jiān)控及故障分析技術；⑤漏洞掃描安全評估技術；⑥主機訪問控制。

一、防病毒技術

對于企業(yè)網(wǎng)絡及網(wǎng)內(nèi)大量的計算機，各種病毒更是防不勝防，如宏病毒和變形病毒。徹底清除病毒，必須采用多層的病毒防護體系。企業(yè)網(wǎng)絡防病毒系統(tǒng)采用多層的病毒防衛(wèi)體系和層次化的管理結構，即在企業(yè)信息中心設防病毒控制臺，通過該控制臺控制各二級網(wǎng)絡中各個服務器和工作站的防病毒策略，監(jiān)督整個網(wǎng)絡系統(tǒng)的防病毒軟件配置和運行情況，并且能夠進行相應策略的統(tǒng)一調(diào)整和管理：在較大的下屬子公司設置防病毒服務器，負責防病毒策略的設置、病毒代碼分發(fā)等工作。其中信息中心控制臺作為中央控制臺負責控制各分控制臺的防病毒策略，采集網(wǎng)絡中所有客戶端防毒軟件的運行狀態(tài)和配置參數(shù)，對客戶端實施分組管理等。管理員可以通過管理員客戶端遠程登錄到網(wǎng)絡中的所有管理服務器上，實現(xiàn)對整個網(wǎng)絡的管理。根據(jù)需要各個管理服務器還可以由專門的區(qū)域管理員管理。管理服務器負責收集網(wǎng)絡中的客戶端的實時信息， 分發(fā)管理員制定的防毒安全策略等。

配套軟件：冠群金辰KILL6.0。KILL采用服務器/客戶端構架，實時保護Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系統(tǒng)的服務器及Internet網(wǎng)關服務器，防止各種引導型病毒、文件型病毒、宏病毒、傳播速度快且破壞性很大的蠕蟲病毒進入企業(yè)內(nèi)部網(wǎng)，阻止不懷好意的Java、ActiveX小程序等攻擊企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)。它通過全方位的網(wǎng)絡管理、多種報警機制、完整的病毒報告、支持遠程服務器、軟件自動分發(fā)，幫助管理員更好的實施網(wǎng)絡防病毒工作。

二、防火墻技術

防火墻是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關( scurity gateway), 從而抵御網(wǎng)絡外部安全威脅，保護內(nèi)部網(wǎng)絡免受非法用戶的侵入，它是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（局域網(wǎng)或城域網(wǎng)）隔開的屏障，控制客戶機和真實服務器之間的通訊，主要包括以下幾方面的功能：①隔離不信任網(wǎng)段間的直接通訊；②拒絕非法訪問；③系統(tǒng)認證；④日志功能。在計算機網(wǎng)絡中設置防火墻后，可以有效防止非法訪問，保護重要主機上的數(shù)據(jù)，提高網(wǎng)絡的安全性。

配套軟件：NetScreen。NetScreen是唯一把防火墻、負載均衡及流量控制結合起來，且提供100M的線速性能的軟硬件相結合的產(chǎn)品，在Internet出口、撥號接入入口、企業(yè)關鍵服務器的前端及與電信、聯(lián)通的連接出口處增設NetScreen-100f防火墻，可以實現(xiàn)企業(yè)網(wǎng)絡與外界的安全隔離，保護企業(yè)的關鍵信息。

三、入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）是一種為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是對防火墻的必要補充，它可以對系統(tǒng)或網(wǎng)絡資源進行實時檢測，及時發(fā)現(xiàn)惡意入侵者或識別出對計算機的非法訪問行為，并對其進行隔離，并能收集可以用來訴訟的犯罪證據(jù)。

配套軟件： eTrust Intrusion Detection(Sessionwall-3)。利用基于網(wǎng)絡的eTrust Intrusion Detection建立入侵檢測系統(tǒng)來保證企業(yè)網(wǎng)絡系統(tǒng)的安全性。

首先，信息管理中心設立整個網(wǎng)絡監(jiān)控系統(tǒng)的控制中心。通過該控制臺，管理員能夠?qū)ζ渌W(wǎng)絡入侵檢測系統(tǒng)進行監(jiān)控和配置。在該機器上安裝集中控制的eID中央控制臺模塊、eID日志服務器模塊和eID日志瀏覽器模塊，使所有eTrust Intrusion Detection監(jiān)控工作站處于集中控制之下，該安全主控臺也被用于集中管理所有的主機保護系統(tǒng)軟件。

其次，在Internet出口路由器和防火墻之間部署一套eTrust Intrusion Detection的監(jiān)控工作站，重點解決與Internet的邊界安全問題，在這些工作站上安裝軟件，包括eID基本模塊、eID模塊和日志數(shù)據(jù)庫客戶端。

四、網(wǎng)絡性能監(jiān)控及故障分析

性能監(jiān)控和故障分析就是利用計算機的網(wǎng)絡接口截獲目的地址為其他計算機的數(shù)據(jù)報文的一種技術。該技術被廣泛應用于網(wǎng)絡維護和管理方面，它自動接收著來自網(wǎng)絡的各種信息，通過對這些數(shù)據(jù)的分析，網(wǎng)絡管理員可以了解網(wǎng)絡當前的運行狀況，以便找出所關心的網(wǎng)絡中潛在的問題。

配套軟件——NAI Sniffer。NAI Sniffer 是一套功能強大的網(wǎng)絡故障偵測工具，它可以幫助用戶快速診斷網(wǎng)絡故障原因，并提出具體的解決辦法。在信息中心安裝這樣的工具，用于對網(wǎng)絡流量和狀態(tài)進行監(jiān)控，而且無論全網(wǎng)任何地方發(fā)生問題時，都可以利用它及時診斷并排除故障。

五、網(wǎng)絡系統(tǒng)的安全評估

網(wǎng)絡安全性之所以這么低的一個主要原因就是系統(tǒng)漏洞。譬如管理漏洞、軟件漏洞、結構漏洞、信任漏洞。采用安全掃描技術與防火墻、安全監(jiān)控系統(tǒng)互相配合來檢測系統(tǒng)安全漏洞。

網(wǎng)絡安全漏洞掃描系統(tǒng)通常安裝在一臺與網(wǎng)絡有連接的主機上。系統(tǒng)中配有一個信息庫，其中存放著大量有關系統(tǒng)安全漏洞和可能的黑客攻擊行為的數(shù)據(jù)。掃描系統(tǒng)根據(jù)這些信息向網(wǎng)絡上的其他主機和網(wǎng)絡設備發(fā)送數(shù)據(jù)包，觀察被掃描的設備是否存在與信息庫中記錄的內(nèi)容相匹配的安全漏洞。掃描的內(nèi)容包括主機操作系統(tǒng)本身、操作系統(tǒng)的配置、防火墻配置、網(wǎng)路設備配置以及應用系統(tǒng)等。

網(wǎng)絡安全掃描的主要性能應該考慮以下方面：①速度。在網(wǎng)絡內(nèi)進行安全掃描非常耗時；②網(wǎng)絡拓撲。通過GUI的圖形界面，可選擇一個或某些區(qū)域的設備；③能夠發(fā)現(xiàn)的漏洞數(shù)量；④是否支持可定制的攻擊方法；⑤掃描器應該能夠給出清楚的安全漏洞報告。⑥更新周期。提供該項產(chǎn)品的廠商應盡快給出新發(fā)現(xiàn)的安全漏洞掃描特性升級，并給出相應的改進建議。

通過網(wǎng)絡掃描，系統(tǒng)管理員可以及時發(fā)現(xiàn)網(wǎng)路中存在的安全隱患，并加以必要的修補，從而減小網(wǎng)絡被攻擊的可能。

配套軟件：Symantec Enterprise Security Manger 5.5。

六、主機防護系統(tǒng)

在一個企業(yè)的網(wǎng)絡環(huán)境中，大部分信息是以文件、數(shù)據(jù)庫的形式存放在服務器中的。在信息中心，使用WWW、Mail、文件服務器、數(shù)據(jù)庫服務器來對內(nèi)部、外部用戶提供信息。但無論是UNIX還是Windows 9X/NT/2K，都存在著這樣和那樣的安全薄弱環(huán)節(jié)，存放在這些機器上的關鍵業(yè)務數(shù)據(jù)存在著被破壞和竊取的風險。因此，對主機防護提出了專門的需求。

配套軟件：CA eTrust Access。eTrust Access Control在操作系統(tǒng)的安全功能之上提供了一個安全保護層。通過從核心層截取文件訪問控制，以加強操作系統(tǒng)安全性。它具有完整的用戶認證，訪問控制及審計的功能，采用集中式管理，克服了分布式系統(tǒng)在管理上的許多問題。

通過eTrust Access Control，我們可以集中維護多臺異構平臺的用戶、組合安全策略，以簡化安全管理工作。

通過以上幾種安全措施的實施，從系統(tǒng)級安全到桌面級安全，從靜態(tài)訪問控制到動態(tài)入侵檢測主要層面：方案覆蓋網(wǎng)絡安全的事前弱點漏洞分析修正、事中入侵行為監(jiān)控響應和事后信息監(jiān)控取證的全過程，從而全面解決企業(yè)的信息安全問題，使企業(yè)網(wǎng)絡避免來自內(nèi)外部的攻擊，防止病毒對主機的侵害和在網(wǎng)絡中的傳播。使整個網(wǎng)絡的安全水平有很大程度的提高。

【參考文獻】

第6篇

關鍵詞：網(wǎng)絡安全；風險評估；安全措施

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)06-11012-01

A Survey of Network Security Risk Assessment

CHEN Jun-wei

(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)

Abstract：To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.

Key words:Network security; risk assessment; security measures

1 引言

頻頻發(fā)生的信息安全事件正在日益引起全球的關注，列舉的近年來的網(wǎng)絡突發(fā)事件，不難發(fā)現(xiàn)，強化提升網(wǎng)絡安全風險評估意識、強化信息安全保障為當務之急。所謂風險評估，是指網(wǎng)絡安全防御中的一項重要技術，它的原理是，根據(jù)已知的安全漏洞知識庫，對目標可能存在的安全隱患進行逐項檢查。然后根據(jù)掃描結果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡安全整體水平提供重要依據(jù)。完成一個信息安全系統(tǒng)的設計與實施并不足以代表該信息安全事務的完結。隨著新技術、新應用的不斷出現(xiàn)，以及所導致的信息技術環(huán)境的轉(zhuǎn)變，信息安全工作人員要不斷地評估當前的安全威脅，并不斷對當前系統(tǒng)中的安全性產(chǎn)生認知。

2 網(wǎng)絡安全風險評估的現(xiàn)狀

2.1 風險評估的必要性

有人說安全產(chǎn)品就是保障網(wǎng)絡安全的基礎，但有了安全產(chǎn)品，不等于用戶可以高枕無憂地應用網(wǎng)絡。產(chǎn)品是沒有生命的，需要人來管理與維護，這樣才能最大程度地發(fā)揮其效能。病毒和黑客可謂無孔不入，時時伺機進攻。這就更要求對安全產(chǎn)品及時升級，不斷完善，實時檢測，不斷補漏。網(wǎng)絡安全并不是僅僅依靠網(wǎng)絡安全產(chǎn)品就能解決的，它需要合適的安全體系和合理的安全產(chǎn)品組合，需要根據(jù)網(wǎng)絡及網(wǎng)絡用戶的情況和需求規(guī)劃、設計和實施一定的安全策略。通常，在一個企業(yè)中，對安全技術了如指掌的人員不多，大多技術人員停留在對安全產(chǎn)品的一般使用上，如果安全系統(tǒng)出現(xiàn)故障或者黑客攻擊引發(fā)網(wǎng)絡癱瘓，他們將束手無策。這時他們需要的是安全服務。而安全評估，便是安全服務的重要前期工作。網(wǎng)絡信息安全，需要不斷評估方可安全威脅。

2.2 安全評估的目標、原則及內(nèi)容

安全評估的目標通常包括：確定可能對資產(chǎn)造成危害的威脅；通過對歷史資料和專家的經(jīng)驗確定威脅實施的可能性；對可能受到威脅影響的資產(chǎn)確定其價值、敏感性和嚴重性，以及相應的級別，確定哪些資產(chǎn)是最重要的；準確了解企業(yè)網(wǎng)的網(wǎng)絡和系統(tǒng)安全現(xiàn)狀；明晰企業(yè)網(wǎng)的安全需求；制定網(wǎng)絡和系統(tǒng)的安全策略；制定網(wǎng)絡和系統(tǒng)的安全解決方案；指導企業(yè)網(wǎng)未來的建設和投入；通過項目實施和培訓，培養(yǎng)用戶自己的安全隊伍。而在安全評估中必須遵循以下原則：標準性原則、可控性原則、整體性原則、最小影響原則、保密性原則。

安全評估的內(nèi)容包括專業(yè)安全評估服務和主機系統(tǒng)加固服務。專業(yè)安全評估服務對目標系統(tǒng)通過工具掃描和人工檢查，進行專業(yè)安全的技術評定，并根據(jù)評估結果提供評估報告。

目標系統(tǒng)主要是主流UNIX及NT系統(tǒng)，主流數(shù)據(jù)庫系統(tǒng)，以及主流的網(wǎng)絡設備。使用掃描工具對目標系統(tǒng)進行掃描，提供原始評估報告或由專業(yè)安全工程師提供人工分析報告?；蚴侨斯z查安全配置檢查、安全機制檢查、入侵追查及事后取證等內(nèi)容。而主機系統(tǒng)加固服務是根據(jù)專業(yè)安全評估結果，制定相應的系統(tǒng)加固方案，針對不同目標系統(tǒng)，通過打補丁、修改安全配置、增加安全機制等方法，合理進行安全性加強。

系統(tǒng)加固報告服務選擇使用該服務包，必須以選擇ISMR/SSMR/HME服務包為前提，針對評估分析報告，提出加固報告。系統(tǒng)加固報告增強服務選擇使用該服務包，必須以選擇ISMR/SSMR/HME服務包為前提，針對評估分析報告，提出系統(tǒng)加固報告，并將系統(tǒng)加固報告、加固步驟、所需補丁程序以光盤形式提交客戶。系統(tǒng)加固實施服務選擇使用該服務包，必須以選擇 ISMR/SSMR/HME服務包為前提，針對評估分析報告，提出系統(tǒng)加固報告，并將系統(tǒng)加固報告、加固步驟、所需補丁程序以光盤形式提交客戶，并由專業(yè)安全工程師實施加固工作。

3 網(wǎng)絡安全風險評估系統(tǒng)

討論安全評定的前提在于企業(yè)已經(jīng)具有了較為完備的安全策略，這項工作主要檢測當前的安全策略是否被良好的執(zhí)行，從而發(fā)現(xiàn)系統(tǒng)中的不安全因素。當前計算機世界應用的主流網(wǎng)絡協(xié)議是TCP/IP，而該協(xié)議族并沒有內(nèi)置任何安全機制。這意味著基于網(wǎng)絡的應用程序必須被非常好的保護，網(wǎng)絡安全評定的主要目標就是為修補全部的安全問題提供指導。

評定網(wǎng)絡安全性的首要工作是了解網(wǎng)絡拓撲結構，拓撲描述文檔并不總能反映最新的網(wǎng)絡狀態(tài)，進行一些實際的檢測是非常必要的。最簡單的，可以通過Trackroute工具進行網(wǎng)絡拓撲發(fā)現(xiàn)，但是一些網(wǎng)絡節(jié)點可能會禁止Trackroute流量的通過。在了解了網(wǎng)絡拓撲之后，應該獲知所有計算機的網(wǎng)絡地址和機器名。對于可以訪問的計算機，還應該了解其正在運行的端口，這可以通過很多流行的端口發(fā)現(xiàn)工具實現(xiàn)。當對整個網(wǎng)絡的架構獲得了足夠的認知以后，就可以針對所運行的網(wǎng)絡協(xié)議和正在使用的端口發(fā)現(xiàn)網(wǎng)絡層面的安全脆弱點了。通常使用的方法是對協(xié)議和端口所存在的安全漏洞逐項進行測試。

安全領域的很多專家都提出邊界防御已經(jīng)無法滿足今天的要求，為了提高安全防御的質(zhì)量，除了在網(wǎng)絡邊界防范外部攻擊之外，還應該在網(wǎng)絡內(nèi)部對各種訪問進行監(jiān)控和管理。企業(yè)組織每天都會從信息應用環(huán)境中獲得大量的數(shù)據(jù)，包括系統(tǒng)日志、防火墻日志、入侵檢測報警等。是否能夠從這些信息中有效的識別出安全風險，是風險管理中重要一環(huán)。目前的技術手段主要被應用于信息的收集、識別和分析，也有很多廠商開發(fā)出了整合式的安全信息管理平臺，可以實現(xiàn)所有系統(tǒng)模塊的信息整合與聯(lián)動。

數(shù)據(jù)作為信息系統(tǒng)的核心價值，被直接攻擊和盜取數(shù)據(jù)將對用戶產(chǎn)生極大的危害。正因為如此，數(shù)據(jù)系統(tǒng)極易受到攻擊。對數(shù)據(jù)庫平臺來說，應該驗證是否能夠從遠程進行訪問，是否存在默認用戶名密碼，密碼的強度是否達到策略要求等。而除了數(shù)據(jù)庫平臺之外，數(shù)據(jù)管理機制也應該被仔細評估。不同級別的備份措施乃至完整的災難備份機制都應該進行有效的驗證，不但要檢驗其是否存在安全問題，還要確認其有效性。大部分數(shù)據(jù)管理產(chǎn)品都附帶了足夠的功能進行安全設定和數(shù)據(jù)驗證，利用這些功能可以很好的完成安全評定工作并有效的與安全策略管理相集成。攻擊者的一個非常重要目的在于無需授權訪問某些應用，而這往往是獲得系統(tǒng)權限和數(shù)據(jù)的跳板。事實上大部分的安全漏洞都來自于應用層面，這使得應用程序的安全評定成為整個工作體系中相當重要的一個部分。與更加規(guī)程化的面向體系底層的安全評定相比，應用安全評定需要工作人員具有豐富的安全知識和堅實的技術技能。

4 結束語

目前我國信息系統(tǒng)安全風險評估工作，在測試數(shù)據(jù)采集和處理方面缺乏實用的技術和工具的支持，已經(jīng)成為制約我國風險評估水平的重要因素。需要研究用于評價信息安全評估效用的理論和方法，總結出一套適用于我國國情的信息安全效用評價體系，以保證信息安全風險評估結果準確可靠，可以為風險管理活動提供有價值的參考；加強我國信息安全風險評估隊伍建設，促使我國信息安全評估水平得到持續(xù)改進。

參考文獻：

[1] 陳曉蘇，朱國勝，肖道舉.TCP/IP協(xié)議族的安全架構[N].華中科技大學學報,2001，32-34.

[2] 賈穎禾.國務院信息化工作辦公室網(wǎng)絡與信息安全組.信息安全風險評估[J].網(wǎng)絡安全技術與應用，2004(7)，21-24.

[3] 劉恒,信息安全風險評估挑戰(zhàn)[R],信息安全風險評估與信息安全保障體系建設研討會,2004.10.12.

[4] [美]Thomas A Wadlow.網(wǎng)絡安全實施方法.瀟湘工作室譯.北京:人民郵電出版社，2000.

[5] 張衛(wèi)清,王以群.網(wǎng)絡安全與網(wǎng)絡安全文化[J].情報雜志,2006(1)，40-45

[6] 趙戰(zhàn)生,信息安全風險評估[R],第全國計算機學術交流會,2004.7.3.

第7篇

關鍵詞：企業(yè)；信息網(wǎng)絡；安全體系；安全技術

大中型企業(yè)作為我國國民經(jīng)濟的骨干企業(yè)，在國家經(jīng)濟發(fā)揮舉足輕重的作用，現(xiàn)代經(jīng)濟活動離不開信息和網(wǎng)絡，大中型企業(yè)對網(wǎng)絡和信息技術的依賴性很強，企業(yè)員工多、信息化互聯(lián)設備多、種類多樣，企業(yè)的關鍵業(yè)務大多架構在IT系統(tǒng)之上，網(wǎng)絡環(huán)境的穩(wěn)定性、安全性、高效性直接影響公司信息化應用。目前，許多大中型企業(yè)提出了建立“數(shù)字化企業(yè)”的目標，在企業(yè)信息化建設中，信息安全問題是必須要首先考慮的問題，可見，建立企業(yè)信息安全體系勢在必行。

1  企業(yè)信息網(wǎng)絡安全威脅及風險

近年來,許多大中型企業(yè)十分重視信息網(wǎng)絡建設的應用和開發(fā)，但是對于信息網(wǎng)絡安全的防護并沒有得到足夠重視。根據(jù)調(diào)研機構的調(diào)查報告顯示，國內(nèi)企業(yè)中63%經(jīng)常遭受病毒或蠕蟲攻擊，而41%的企業(yè)受到惡意間諜軟件或惡意軟件的威脅。主要體現(xiàn)在：病毒和蠕蟲攻擊、黑客入侵、惡意攻擊、完整性破壞、網(wǎng)絡資源濫用、員工信息安全意識淡薄等。

目前企業(yè)面臨著網(wǎng)絡攻擊的“外部威脅”及內(nèi)部人員信息泄露的“內(nèi)部威脅”的雙重考驗，垃圾郵件、企業(yè)機密泄露、網(wǎng)絡資源濫用、病毒泛濫以及網(wǎng)絡攻擊等問題成為企業(yè)最為頭疼的網(wǎng)絡安全問題，企業(yè)網(wǎng)絡環(huán)境日趨嚴峻。

2 企業(yè)網(wǎng)絡安全體系

大中型企業(yè)網(wǎng)絡面臨嚴峻的安全形勢，迫使各企業(yè)意識到構建完備安全體系的重要性，隨著網(wǎng)絡攻擊的多樣化，只針對網(wǎng)絡層以下的安全解決方案已經(jīng)不足以應付各種各樣的攻擊，同時還要隨時注重操作系統(tǒng)、數(shù)據(jù)庫、軟硬件設備的安全性；企業(yè)安全體系建設不僅要有效抵御外網(wǎng)攻擊，而且要能防范可能來自內(nèi)部的安全泄密等威脅。企業(yè)必須采用多層次的安全系統(tǒng)架構才能保障企業(yè)網(wǎng)絡安全，最終建立一套以內(nèi)外兼防為特征的企業(yè)安全保障體系。

企業(yè)信息網(wǎng)絡安全體系由物理安全、鏈路安全、網(wǎng)絡安全、系統(tǒng)安全、信息安全五部分構成。

物理安全：物理安全主要是保護企業(yè)數(shù)據(jù)庫服務器、應用服務器、網(wǎng)絡設備、數(shù)據(jù)介質(zhì)及其他物理實體設備的安全，提供一個安全可靠的物理運行環(huán)境。

鏈路安全：數(shù)據(jù)鏈路層（第二協(xié)議層）的通信連接就安全而言，是較為薄弱的環(huán)節(jié)。目的是保證網(wǎng)絡鏈路傳送的數(shù)據(jù)不被竊聽和篡改。

網(wǎng)絡安全：網(wǎng)絡安全主要包括：通過防火墻隔離內(nèi)外網(wǎng)絡，不同區(qū)域的訪問控制，部署基于網(wǎng)絡的身份認證及入侵檢測系統(tǒng)、VPN、網(wǎng)絡集中防病毒等手段實現(xiàn)網(wǎng)絡設備自身的安全可靠。

系統(tǒng)安全：系統(tǒng)安全主要指數(shù)據(jù)庫、操作系統(tǒng)的安全保護。保證應用系統(tǒng)的可靠性、完整性和高效性。

信息安全：主要通過數(shù)據(jù)加密、CA認證、授權等手段保證信息處理、傳遞、存儲的保密性、完整性和可用性。

典型企業(yè)信息網(wǎng)絡安全管理體系拓撲結構如圖一所示：

3  信息安全體系設計原則

企業(yè)安全設計應遵循如下原則：

3．1保密性：信息不能夠泄露給非授權用戶、實體或過程，或供其利用的特性。

3．2完整性：信息完整性是指信息在輸入和傳輸?shù)倪^程中，不被非法授權修改和破壞，保證數(shù)據(jù)的一致性。

3． 3可用性：保障授權用戶在需要時可以獲取信息并按要求使用的特性。

3．4可控性：對信息的處理、傳遞、存儲等具有控制能力。

信息安全就是要保障維護信息的機密性、完整性、可用性以及保障維護信息的真實性、可問責性、不可抵賴性、可靠性、守法性。

4 企業(yè)網(wǎng)絡安全防范技術手段

目前企業(yè)信息網(wǎng)絡布署的安全技術手段主要方式有：

4.1防火墻系統(tǒng)

  防火墻系統(tǒng)作為企業(yè)網(wǎng)絡安全系統(tǒng)必不可少的組成部分，用于防范來自外部interne非法用戶對企業(yè)內(nèi)部網(wǎng)絡的主動威脅。防火墻系統(tǒng)搭建在內(nèi)部網(wǎng)絡與外部公共Internet網(wǎng)絡之間，通過合理配置訪問控制策略，管理Internet和內(nèi)部網(wǎng)絡之間的訪問。其主要功能包括訪問控制、信息過濾、流量分析和監(jiān)控、阻斷非法數(shù)據(jù)傳輸?shù)?。企業(yè)在外部攻擊的頻度和攻擊流量非常嚴重的情況下，建議配置專用的DDOS防火墻。

4.2入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（簡稱“IDS”）是一種對網(wǎng)絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備。IDS是一種積極主動的安全防護技術，可以彌補防火墻相對靜態(tài)防御的不足，通過對來自外部網(wǎng)和內(nèi)部的各種行為進行實時檢測，及時發(fā)現(xiàn)未授權或異?，F(xiàn)象以及各種可能的攻擊企圖，記錄有關事件，以便網(wǎng)管員及時采取防范措施，為事后分析提供依據(jù)的依據(jù)。

4.3漏洞掃描系統(tǒng)

企業(yè)內(nèi)部部署漏洞掃描系統(tǒng)，不間斷地對企業(yè)工作站、服務器、防火墻、交換機等進行安全檢查，提供記錄有關漏洞的詳細信息和最佳解決對策，協(xié)助網(wǎng)管員及時發(fā)現(xiàn)和堵絕漏洞、降低風險，防患于未然。

4.4網(wǎng)頁防篡改系統(tǒng)

網(wǎng)頁防篡改系統(tǒng)主要是防止企業(yè)對外Web遭受黑客的篡改，保證企業(yè)外部網(wǎng)站的正常運行。防篡改系統(tǒng)利用先進的Web服務器核心內(nèi)嵌技術，將篡改檢測模塊（數(shù)字水印技術）和應用防護模塊（防注入攻擊）內(nèi)嵌于Web服務器內(nèi)部，并輔助以增強型事件觸發(fā)檢測技術，不僅實現(xiàn)了對靜態(tài)網(wǎng)頁和腳本的實時檢測和恢復，更可以保護數(shù)據(jù)庫中的動態(tài)內(nèi)容免受來自于Web的攻擊和篡改，徹底解決網(wǎng)頁防篡改問題。

4.5上網(wǎng)行為管理系統(tǒng)

上網(wǎng)行為管理系統(tǒng)主要部署在企業(yè)外部防火墻和內(nèi)部核心交換機之間，針對企業(yè)內(nèi)部員工訪問Internet行為進行集中管理與控制。其主要功能有：網(wǎng)頁過濾、應用控制（IM聊天、P2P下載、在線娛樂、炒股軟件、論壇發(fā)帖等）、帶寬管理、內(nèi)容審計（郵件收發(fā)、論壇發(fā)帖、FTP、HTTP文件傳輸?shù)龋?、用戶管理、日志管理等功能?/p>

4.6內(nèi)網(wǎng)安全管理平臺

據(jù)FBI/CSI中國CNISTEC調(diào)查報告：來自企業(yè)外部威脅占20%，內(nèi)部威脅高達80%。針對大型企業(yè)日益復雜的內(nèi)部網(wǎng)絡環(huán)境以及基于企業(yè)保密管理的需求，必須構造一套內(nèi)網(wǎng)安全管理平臺，規(guī)范和管理內(nèi)部網(wǎng)絡環(huán)境，提高內(nèi)部網(wǎng)絡資源的可控性。其功能應包括：用戶認證與授權、IP與MAC綁定、網(wǎng)絡監(jiān)控、桌面監(jiān)控、安全域管理、 存儲介質(zhì)管理、補丁分發(fā)、文檔安全管理、資產(chǎn)管理、日志報表管理等。

4.7企業(yè)集中防病毒系統(tǒng)

在病毒肆虐的時代，反病毒已經(jīng)成為企業(yè)信息安全非常重要的一環(huán)，企業(yè)網(wǎng)絡情況比較復雜，由于員工計算機水平大多不高，構造一套完整的企業(yè)集中防病毒網(wǎng)絡系統(tǒng)平臺，可以強化病毒防護系統(tǒng)的應用策略和統(tǒng)一管理策略，并且使企業(yè)員工電腦的病毒庫及時得到更新，增強病毒防護有效性，降低病毒對安全帶來的威脅。

集中防病毒系統(tǒng)應具有：集中管控、遠程安裝、智能升級、遠程報警、分布查殺等多種功能。

4.8建立健全企業(yè)安全管理組織體系及制度，加強企業(yè)信息安全意識

企業(yè)在建設信息網(wǎng)絡安全建設技術手段的同時，更需要考慮管理的安全性，不斷完善企業(yè)信息安全制度。通過培訓，增強每個員工的安全意識，為大中型企業(yè)信息安全管理奠定基礎。

隨著信息技術的發(fā)展，企業(yè)無線接入、電子商務交易、數(shù)字簽名、數(shù)字證書等安全管理也應逐步納入企業(yè)信息安全體系范疇。

五、 結束語

目前，大中型企業(yè)信息進程的深入和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡化已經(jīng)成為企業(yè)信息化的發(fā)展大趨勢，針對各種網(wǎng)絡應用的攻擊和破壞方式也變得異常頻繁，信息化發(fā)展而來的網(wǎng)絡安全問題日漸突出，網(wǎng)絡安全問題已成為信息時代人類共同面臨的挑戰(zhàn)，同時，網(wǎng)絡信息安全是一個系統(tǒng)工程，涉及人員、硬軟件設備、資金、制度等因素，沒有絕對可靠的安全技術，科學有效的管理可以彌補技術安全漏洞的缺陷。

參考文獻：

［1］向宏，傅鸝，詹榜華 著  信息安全測評與風險評估 電子工業(yè)出版社  2009-01

［2］謝宗曉，郭立生　著  信息安全管理體系應用手冊中國標準出版社  2008-10

第8篇

關鍵詞：終端準入 網(wǎng)絡安全 802.1x EAD

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2013）06-0014-02

1 引言

在創(chuàng)新無處不在的IT世界里，從要求可用性到安全性再到高效率，只經(jīng)歷了短短的幾年時間。如何對終端設備進行高效、安全、全方位控制一直都困擾著眾多IT管理者，由于終端設備數(shù)量多、分布廣、使用者素質(zhì)及應用水平參差不齊，而且終端設備所接入的網(wǎng)絡環(huán)境異構化程度很高，導致了終端成為整個IT管理環(huán)境中最容易出現(xiàn)問題的一環(huán)，對終端問題的響應業(yè)已成為IT管理者日常最主要的工作之一，它同樣遵循著從可用性到安全性再到追求效率的發(fā)展規(guī)律。

終端作為網(wǎng)絡的關鍵組成和服務對象，其安全性受到極大關注。終端準入控制技術是網(wǎng)絡安全一個重要的研究方向，它通過身份認證和完整性檢查，依據(jù)預先設定的安全策略，通過軟硬件結合的方式控制終端的訪問權限，能有效限制不可信、非安全終端對網(wǎng)絡的訪問，從而達到保護網(wǎng)絡及終端安全的目的。終端準入控制技術的研究與應用對于提高網(wǎng)絡安全性，保障機構正常運轉(zhuǎn)具有重要作用；對于機構解決信息化建設中存在的安全問題具有重要意義。目前，終端準入控制技術已經(jīng)得到較大的發(fā)展和應用，在安全領域起到越來越重要的作用。

2 發(fā)展現(xiàn)狀

為了解決網(wǎng)絡安全問題，安全專家相繼提出了新的理念。上世紀90年代以來，國內(nèi)外提出了主動防御、可信計算等概念，認為安全應該回歸終端，以終端安全為核心來解決信息系統(tǒng)的安全問題。

3 終端準動模型

H3C終端準入控制解決方案（EAD，End user Admission Domination）從控制用戶終端安全接入網(wǎng)絡的角度入手，整合網(wǎng)絡接入控制與終端安全產(chǎn)品，通過智能客戶端、安全策略服務器、聯(lián)動設備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡的用戶終端按需實施靈活的安全策略，并嚴格控制終端用戶的網(wǎng)絡使用行為，極大地加強了企業(yè)用戶終端的主動防御能力，為企業(yè)IT管理人員提供了高效、易用的管理工具。

4 終端準入控制過程

EAD解決方案提供完善的接入控制，除基于用戶名和密碼的身份認證外，EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、所在SSID、接入設備IP、接入設備端口號等信息進行綁定，支持智能卡、數(shù)字證書認證，支持域統(tǒng)一認證，增強身份認證的安全性。根據(jù)實際情況我們采用基于域統(tǒng)一認證，與接入終端MAC地址和接入設備IP信息進行綁定的嚴格身份認證模式。通過身份認證之后，根據(jù)管理員配置的安全策略，用戶進行包括終端病毒庫版本檢查、終端補丁檢查、是否有等安全認證檢查。通過安全認證后，用戶可正常使用網(wǎng)絡，同時EAD將對終端運行情況和網(wǎng)絡使用情況進行監(jiān)控和審計。若未通過安全認證，則將用戶放入隔離區(qū)，直到用戶通過安全認證檢查。EAD解決方案對終端用戶的整體控制過程如圖2所示。

5 終端準入控制策略的實現(xiàn)

5.1 接入用戶身份認證

為了確保只有符合安全標準的用戶接入網(wǎng)絡，EAD通過交換機的配合，強制用戶在接入網(wǎng)絡前通過802.1x方式進行身份認證和安全狀態(tài)評估，但很多單位已經(jīng)建立了基于Windows域的信息管理系統(tǒng)，通過Windows域管理用戶訪問權限和應用執(zhí)行權限。為了更加有效地控制和管理網(wǎng)絡資源，提高網(wǎng)絡接入的安全性，EAD實現(xiàn)了Windows 域與802.1x統(tǒng)一認證方案，平滑地解決了兩種認證流程之間的矛盾，避免了用戶二次認證的煩瑣。該方案的關鍵在于兩個“同步”過程：一是同步域用戶與802.1x接入用戶的身份信息（用戶名、密碼），EAD解決方案使用LDAP功能實現(xiàn)用戶和Windows域用戶信息的同步。二是同步域登錄與802.1x認證流程，EAD解決方案通過H3C自主開發(fā)的iNode智能客戶端實現(xiàn)認證流程的同步。統(tǒng)一認證的基本流程如圖3所示。

5.2 安全策略狀態(tài)評估

EAD終端準入控制解決方案在安全策略服務器統(tǒng)一進行安全策略的管理，并在安全策略管理中提供黑白軟件統(tǒng)一管理功能。管理員可根據(jù)IT政令，在安全策略服務器定義員工終端黑白軟件列表，通過智能客戶端實時檢測、網(wǎng)絡設備聯(lián)動控制，完成對用戶終端的軟件安裝運行狀態(tài)的統(tǒng)一監(jiān)控和管理。如果用戶通過安全策略檢查，可以正常訪問授權的網(wǎng)絡資源；如果用戶未滿足安全策略，則將被強制放入隔離區(qū)內(nèi)，直至通過安全策略檢查才可訪問授權的網(wǎng)絡資源。

5.3 EAD與iMC融合管理

EAD通過與iMC（開放智能管理中樞，Intelligent Management Center）靈活組織功能組件，形成直接面向客戶需求的業(yè)務流解決方案，從根本上解決多業(yè)務融合管理的復雜性。EAD實現(xiàn)了對用戶的準入控制、終端安全、桌面資產(chǎn)管理等功能，iMC平臺實現(xiàn)了對網(wǎng)絡、安全、存儲、多媒體等設備的資源管理功能，UBAS、NTA等組件實現(xiàn)了行為審計、流量分析等業(yè)務的管理功能，這幾者結合在一起，為企業(yè)IT管理員提供了前所未有的融合用戶、資源和業(yè)務三大要素的開放式管理體驗。

6 結語

在未實施終端準入解決方案之前，本企業(yè)網(wǎng)絡管理模式被動，雖制定完善的IT管理制度，但不能有效實行，比如不能及時升級系統(tǒng)補丁，不能及時升級殺毒軟件病毒庫，不能實時監(jiān)控用戶軟件安裝，不能實時監(jiān)控計算機硬件信息等問題。通過實施終端準入解決方案，降低了來自企業(yè)內(nèi)部網(wǎng)絡的威脅，規(guī)范了終端準入安全策略，提高了IT管理員工作效率，從而保障了企業(yè)網(wǎng)絡環(huán)境的安全。

參考文獻

[1]周超，周城，丁晨路.計算機網(wǎng)絡終端準入控制技術.計算機系統(tǒng)應用，2011，20（1）：89—94.

[2]馬錫坤.醫(yī)院網(wǎng)絡終端準入控制解決方案.醫(yī)院數(shù)字化，2011，26（11）：30-32.

[3]成大偉，呂鋒.支持802.1x的網(wǎng)絡準入系統(tǒng)在企業(yè)中的應用.中國科技博覽，2012，27：296.