序言：寫作是分享個人見解和探索未知領域的橋梁，我們為您精選了8篇的企業網絡安全威脅樣本，期待這些樣本能夠為您提供豐富的參考和啟發，請盡情閱讀。

第1篇

 

1 企業網絡信息安全的內部威脅的分析

 

1.1 隨意更改IP地址

 

企業網絡使用者對于計算機IP地址的更改是常見的信息安全問題，一方面更改IP地址后，可能與其他計算機產生地址沖突，造成他人無法正常使用的問題，另一方面更改IP的行為將使監控系統無法對計算機的網絡使用進行追溯，不能準確掌握設備運行狀況，出現異常運行等問題難以進行核查。

 

1.2 私自連接互聯網

 

企業內部人員通過撥號或寬帶連接的形式，將計算機接入互聯網私自瀏覽網絡信息，使企業內部網絡與外界網絡環境的隔離狀態被打破，原有設置的防火墻等病毒防護體系不能有效發揮作用，部分木馬、病毒將以接入外網的計算機為跳板，進而侵入企業網絡內部的其他計算機。

 

1.3 隨意接入移動存儲設備

 

移動硬盤、U盤等移動存儲設備的接入是當前企業內部網絡信息安全的最大隱患，部分企業內部人員接入的移動存儲設備已經感染了病毒，而插入計算機的時候又未能進行有效的病毒查殺，這使得病毒直接侵入企業計算機，形成企業信息數據的內外網間接地交換，造成機密數據的泄漏。

 

1.4 不良軟件的安裝

 

部分企業盡管投入了大量資金在內部網絡建設與信息安全保護體系構建之中，但受版權意識不足、軟件購置資金較少等原因的限制，一些企業在計算機上安裝的是盜版、山寨軟件，這些軟件一方面不能保證計算機的正常使用需求，對企業內部網絡的運行造成一定影響，同時這些軟件還可能預裝了部分插件，用于獲取企業內部資料信息，這都對內網計算機形成了一定的威脅。

 

1.5 人為泄密或竊取內網數據資料

 

受管理制度不完善、監控力度不完善等因素的影響，一些內部人員在企業內部網絡中獲取了這些數據信息，通過攜帶的移動存儲設備進行下載保存，或者連接到外網進行散播，這是極為嚴重的企業網絡信息安全的內部威脅問題。

 

2 企業網絡信息安全的內部威脅成因分析

 

2.1 企業網絡信息安全技術方面

 

我國計算機與網絡科學技術的研究相對滯后，在計算機安全防護系統和軟件方面的開發仍然無法滿足企業的實際需求，缺少適合網絡內部和桌面電腦的信息安全產品，這使得當前企業網絡內部監控與防護工作存在這漏洞，使企業管理人員不能有效應對外部入侵，同時不能對企業內部人員的操作行為進行監控管理。

 

2.2 企業網絡信息安全管理方面

 

在企業中，內部員工對于信息安全缺乏準確的認知，計算機和內部網絡的使用較為隨意，這給企業網絡安全帶來了極大的隱患。同時，企業信息管理部門不能從自身實際情況出發，完善內部數據資料管理體系，在內部網絡使用上沒有相應的用戶認證以及權限管理，信息資料也沒有進行密級劃定，任何人都能隨意瀏覽敏感信息。另外，當前企業網絡信息安全的內部威脅大多產生于內部員工，企業忽視了對員工的信息安全管理，部分離職員工仍能夠登錄內部網絡，這使得內部網絡存在著極大的泄密風險。

 

3 企業網絡信息安全的內部威脅解決對策

 

3.1 管控企業內部用戶網絡操作行為

 

對企業內部用戶網絡操作行為的管控是避免出現內部威脅的重要方法，該方法能夠有效避免企業網絡資源非法使用的風險。企業網絡管理部門可在內部計算機上安裝桌面監控軟件，為企業網絡信息安全管理構筑首層訪問控制，從而實現既定用戶在既定時間內通過既定計算機訪問既定數據資源的控制。企業應對內部用戶或用戶組進行權限管理，將內部信息數據進行密級劃分，將不同用戶或用戶組能夠訪問的文件和可以執行的操作進行限定。同時，在用戶登錄過程中應使用密碼策略，提高密碼復雜性，設置口令鎖定服務器控制臺，杜絕密碼被非法修改的風險。

 

3.2 提高企業網絡安全技術水平

 

首先管理部門應為企業網絡構建防火墻，對計算機網絡進程實施跟蹤，從而判斷訪問網絡進程的合法性，對非法訪問進行攔截。同時，將企業網絡IP地址與計算機MAC地址綁定，避免IP地址更改帶來的網絡沖，同時對各計算機的網絡行為進行有效追蹤，提高病毒傳播與泄密問題的追溯效率。另外，可通過計算機屬性安全控制的方式，降低用戶對目錄和文件的誤刪除和修改風險。最后，應對企業網絡連接的計算機進行徹底的病毒查殺，杜絕病毒的內部蔓延。

 

3.3 建立信息安全內部威脅管理制度

 

企業網絡信息安全管理工作的重點之一，就是制定科學而完善的信息安全管理制度，并將執行措施落到實處。其中，針對部分企業人員將內部機密資料帶離企業的行為，在情況合理的條件下，應進行規范化的登記記錄。針對企業網絡文件保存，應制定規律的備份周期，將數據信息進行匯總復制加以儲存。針對離職員工，應禁止其帶走任何企業文件資料，同時對其內部網絡登錄賬號進行注銷，防止離職員工再次登入內部網絡。

 

3.4 強化企業人員網絡安全培訓

 

加強安全知識培訓，使每位計算機使用者掌握一定的安全知識，至少能夠掌握如何備份本地的數據，保證本地數據信息的安全可靠。加大對計算機信息系統的安全管理，防范計算機信息系統泄密事件的發生。加強網絡知識培訓，通過培訓，掌握IP地址的配置、數據的共享等網絡基本知識，樹立良好的計算機使用習慣。

 

4 結語

 

綜上所述，信息安全是當前企業網絡應用和管理工作的要點之一，企業應嚴格管控企業內部用戶網絡操作行為，提高企業網絡安全技術水平，建立信息安全內部威脅管理制度，強化企業人員網絡安全培訓，進而對企業網絡信息安全內部威脅進行全面控制，從而提高敏感信息與機密資料的安全性。

 

作者簡介

第2篇

保護企業網絡系統的軟件、硬件及數據不遭受破壞、更改、泄露，信息系統連續可靠地運行是企業網絡安全的基本要求。企業網絡安全分為物理安全和邏輯安全，邏輯安全是對信息的保密性、完整性和可用性的保護。物理安全是對計算機系統、通信系統、存儲系統和人員采取安全措施以確保信息不會丟失、泄漏等。目前企業網絡中缺乏專門的安全管理人員，網絡信息化管理制度也不健全，導致了部分人為因素引發的企業網絡安全事故。因此企業網絡安全必須從技術和管理兩個方面進行。

2企業網絡安全所面臨的威脅

企業網絡安全所面臨的威脅除了技術方面的因素外，還有一部分是管理不善引起的。企業網絡安全面臨的威脅主要來自以下兩個方面。

2.1缺乏專門的管理人員和相關的管理制度

俗話說“三分技術，七分管理”，管理是企業信息化中重要的組成部分。企業信息化過程中缺乏專門的管理人員和完善的管理制度，都可能引起企業網絡安全的風險，給企業網絡造成安全事故。由于大部分企業沒有專門的網絡安全管理人員，相關的網絡管理制度也不完善，實際運行過程中沒有嚴格要求按照企業的網絡安全管理制度執行。以至于部分企業選用了最先進的網絡安全設備，但是其管理員賬號一直使用默認的賬號，密碼使用簡單的容易被猜中的密碼，甚至就是默認的密碼。由于沒有按照企業信息化安全管理制度中密碼管理的相關條款進行操作，給系統留下巨大的安全隱患，導致安全事故發生。

2.2技術因素導致的主要安全威脅

企業網絡應用是架構在現有的網絡信息技術基礎之上，對技術的依賴程度非常高，因此不可避免的會有網絡信息技術的缺陷引發相關的安全問題，主要表現在以下幾個方面。

2.2.1計算機病毒

計算機病毒是一組具有特殊的破壞功能的程序代碼或指令。它可以潛伏在計算機的程序或存儲介質中，當條件滿足時就會被激活。企業網絡中的計算機一旦感染病毒，會迅速通過網絡在企業內部傳播，可能導致整個企業網絡癱瘓或者數據嚴重丟失。

2.2.2軟件系統漏洞

軟件的安全漏洞會被一些別有用心的用戶利用，使軟件執行一些被精心設計的惡意代碼。一旦軟件中的安全漏洞被利用，就可能引起機密數據泄露或系統控制權被獲取，從而引發安全事故。

3企業網絡安全的防護措施

3.1配備良好的管理制度和專門的管理人員

企業信息化管理部門要建立完整的企業信息安全防護制度，結合企業自身的信息系統建設和應用的進程，統籌規劃，分步實施。做好安全風險的評估、建立信息安全防護體系、根據信息安全策略制定管理制度、提高安全管理水平。企業內部的用戶行為約束必須通過嚴格的管理制度進行規范。同時建立安全事件應急響應機制。配備專門的網絡安全管理員，負責企業網絡的系統安全事務。及時根據企業網絡的動向，建立以預防為主，事后補救為輔的安全策略。細化安全管理員工作細則，如日常操作系統維護、漏洞檢測及修補、應用系統的安全補丁、病毒防治等工作，并建立工作日志。并對系統記錄文件進行存檔管理。良好的日志和存檔管理，可以為預測攻擊，定位攻擊，以及遭受攻擊后追查攻擊者提供有力的支持。

3.2防病毒技術

就目前企業網絡安全的情況來看，網絡安全管理員主要是做好網絡防病毒的工作，主流的技術有分布式殺毒技術、數字免疫系統技術、主動內核技術等幾種。企業需要根據自身的實際情況，靈活選用，確保殺毒機制的有效運行。

3.3系統漏洞修補

現代軟件規模越來越大，功能越來越多，其中隱藏的系統漏洞也可能越來越多。不僅僅是應用軟件本身的漏洞，還有可能來自操作系統，數據庫系統等底層的系統軟件的漏洞引發的系列問題。因此解決系統漏洞的根本途徑是不斷地更新的系統的補丁。既可以購買專業的第三方補丁修補系統，也可以使用軟件廠商自己提供的系統補丁升級工具。確保操作系統，數據系統等底層的系統軟件是最新的，管理員還要及時關注應用系統廠商提供的升級補丁的信息，確保發現漏洞的第一時間更新補丁，將系統漏洞的危害降到最低。

4結束語

第3篇

1　網絡安全的定義

網絡安全問題不但是近些年來網絡信息安全領域經常討論和研究的重要問題，也是現代網絡信息安全中亟待解決的關鍵問題。網絡安全的含義是保證整個網絡系統中的硬件、軟件和數據信息受到有效保護，不會因為網絡意外故障的發生，或者人為惡意攻擊，病毒入侵而受到破壞，導致重要信息的泄露和丟失，甚至造成整個網絡系統的癱瘓。

網絡安全的本質就是網絡中信息傳輸、共享、使用的安全，網絡安全研究領域包括網絡上信息的完整性、可用性、保密性和真實性等一系列技術理論。而網絡安全是集合了互聯網技術、計算機科學技術、通信技術、信息安全管理技術、密碼學、數理學等多種技術于一體的綜合性學科。

2　網絡安全技術介紹

2.1　安全威脅和防護措施

網絡安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關策略、機制和過程。

安全威脅可以分為故意安全威脅和偶然安全威脅兩種，而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網絡中的數據信息進行監聽、竊聽等，而不對這些數據進行篡改，主動安全威脅則是對網絡中的數據信息進行故意篡改等行為。

2.2　網絡安全管理技術

目前，網絡安全管理技術越來越受到人們的重視，而網絡安全管理系統也逐漸地應用到企事業單位、政府機關和高等院校的各種計算機網絡中。隨著網絡安全管理系統建設的規模不斷發展和擴大，網絡安全防范技術也得到了迅猛發展，同時出現了若干問題，例如網絡安全管理和設備配置的協調問題、網絡安全風險監控問題、網絡安全預警響應問題，以及網絡中大量數據的安全存儲和使用問題等等。

網絡安全管理在企業管理中最初是被作為一個關鍵的組成部分，從信息安全管理的方向來看，網絡安全管理涉及到整個企業的策略規劃和流程、保護數據需要的密碼加密、防火墻設置、授權訪問、系統認證、數據傳輸安全和外界攻擊保護等等。

在實際應用中，網絡安全管理并不僅僅是一個軟件系統，它涵蓋了多種內容，包括網絡安全策略管理、網絡設備安全管理、網絡安全風險監控等多個方面。

2.3　防火墻技術

互聯網防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入，是一個控制經過防火墻進行網絡活動行為和數據信息交換的軟件防護系統，目的是為了保證整個網絡系統不受到任何侵犯。

防火墻是根據企業的網絡安全管理策略來控制進入和流出網絡的數據信息，而且其具有一定程度的抗外界攻擊能力，所以可以作為企業不同網絡之間，或者多個局域網之間進行數據信息交換的出入接口。防火墻是保證網絡信息安全、提供安全服務的基礎設施，它不僅是一個限制器，更是一個分離器和分析器，能夠有效控制企業內部網絡與外部網絡之間的數據信息交換，從而保證整個網絡系統的安全。

將防火墻技術引入到網絡安全管理系統之中是因為傳統的子網系統并不十分安全，很容易將信息暴露給網絡文件系統和網絡信息服務等這類不安全的網絡服務，更容易受到網絡的攻擊和竊聽。目前，互聯網中較為常用的協議就是TCP/IP協議，而TCP/IP的制定并沒有考慮到安全因素，防火墻的設置從很大程度上解決了子網系統的安全問題。

2.4　入侵檢測技術

入侵檢測是一種增強系統安全的有效方法。其目的就是檢測出系統中違背系統安全性規則或者威脅到系統安全的活動。通過對系統中用戶行為或系統行為的可疑程度進行評估，并根據評價結果來判斷行為的正常性，從而幫助系統管理人員采取相應的對策措施。入侵檢測可分為：異常檢測、行為檢測、分布式免疫檢測等。

3　企業網絡安全管理系統架構設計

3.1　系統設計目標

該文的企業網絡安全管理系統的設計目的是需要克服原有網絡安全技術的不足，提出一種通用的、可擴展的、模塊化的網絡安全管理系統，以多層網絡架構的安全防護方式，將身份認證、入侵檢測、訪問控制等一系列網絡安全防護技術應用到網絡系統之中，使得這些網絡安全防護技術能夠相互彌補、彼此配合，在統一的控制策略下對網絡系統進行檢測和監控，從而形成一個分布式網絡安全防護體系，從而有效提高網絡安全管理系統的功能性、實用性和開放性。

3.2　系統原理框圖

該文設計了一種通用的企業網絡安全管理系統，該系統的原理圖如圖1所示。

3.2.1　系統總體架構

網絡安全管理中心作為整個企業網絡安全管理系統的核心部分，能夠在同一時間與多個網絡安全終端連接，并通過其對多個網絡設備進行管理，還能夠提供處理網絡安全事件、提供網絡配置探測器、查詢網絡安全事件，以及在網絡中發生響應命令等功能。

網絡安全是以分布式的方式，布置在受保護和監控的企業網絡中，網絡安全是提供網絡安全事件采集，以及網絡安全設備管理等服務的，并且與網絡安全管理中心相互連接。

網絡設備管理包括了對企業整個網絡系統中的各種網絡基礎設備、設施的管理。

網絡安全管理專業人員能夠通過終端管理設備，對企業網絡安全管理系統進行有效的安全管理。

3.2.2　系統網絡安全管理中心組件功能

系統網絡安全管理中心核心功能組件：包括了網絡安全事件采集組件、網絡安全事件查詢組件、網絡探測器管理組件和網絡管理策略生成組件。網絡探測器管理組件是根據網絡的安全狀況實現對模塊進行添加、刪除的功能，它是到系統探測器模塊數據庫中進行選擇，找出與功能相互匹配的模塊，將它們添加到網絡安全探測器上。網絡安全事件采集組件是將對網絡安全事件進行分析和過濾的結構添加到數據庫中。網絡安全事件查詢組件是為企業網絡安全專業管理人員提供對網絡安全數據庫進行一系列操作的主要結構。而網絡管理策略生產組件則是對輸入的網絡安全事件分析結果進行自動查詢，并將管理策略發送給網絡安全。

系統網 絡安全管理中心數據庫模塊組件：包括了網絡安全事件數據庫、網絡探測器模塊數據庫，以及網絡響應策略數據庫。網絡探測器模塊數據庫是由核心功能組件進行添加和刪除的，它主要是對安裝在網絡探測器上的功能模塊進行存儲。網絡安全事件數據庫是對輸入的網絡安全事件進行分析和統計，主要用于對各種網絡安全事件的存儲。網絡相應策略數據庫是對輸入網絡安全事件的分析結果反饋相應的處理策略，并且對各種策略進行存儲。

3.3　系統架構特點

3.3.1　統一管理，分布部署

該文設計的企業網絡安全管理系統是采用網絡安全管理中心對系統進行部署和管理，并且根據網絡管理人員提出的需求，將網絡安全分布地布置在整個網絡系統之中，然后將選取出的網絡功能模塊和網絡響應命令添加到網絡安全上，網絡安全管理中心可以自動管理網絡安全對各種網絡安全事件進行處理。

3.3.2　模塊化開發方式

本系統的網絡安全管理中心和網絡安全采用的都是模塊化的設計方式，如果需要在企業網絡管理系統中增加新的網絡設備或管理策略時，只需要對相應的新模塊和響應策略進行開發實現，最后將其加載到網絡安全中，而不必對網絡安全管理中心、網絡安全進行系統升級和更新。

3.3.3　分布式多級應用

對于機構比較復雜的網絡系統，可使用多管理器連接，保證全局網絡的安全。在這種應用中，上一級管理要對下一級的安全狀況進行實時監控，并對下一級的安全事件在所轄范圍內進行及時全局預警處理，同時向上一級管理中心進行匯報。網絡安全主管部門可以在最短時間內對全局范圍內的網絡安全進行嚴密的監視和防范。

4　結論

隨著網絡技術的飛速發展，互聯網中存儲了大量的保密信息數據，這些數據在網絡中進行傳輸和使用，隨著網絡安全技術的不斷更新和發展，新型的網絡安全設備也大量出現，由此，企業對于網絡安全的要求也逐步提升，因此，該文設計的企業網絡安全管理系統具有重要的現實意義和實用價值。

參考文獻：

第4篇

[關鍵詞]煙草企業；網絡安全防護；體系建設

doi：10.3969/j.issn.1673 - 0194.2016.24.028

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2016）24-00-02

隨著信息化的逐步發展，國內煙草企業也愈加重視利用網絡提高生產管理銷售水平，打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時，也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此，越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。

1 威脅煙草企業網絡信息體系安全的因素

受各種因素影響，煙草企業網絡信息體系正遭受到各種各樣的威脅。

1.1 人為因素

人為的無意失誤，如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊，這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一種是被動攻擊，他是在不影響網絡正常工作的情況下，進行截獲、竊取與破譯等行為獲得重要機密信息。

1.2 軟硬件因素

網絡安全設備投資方面，行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位，但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的，如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件，其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，一旦被破解，其造成的后果將不堪設想。另外，各種新型病毒發展迅速，超出防火墻屏蔽能力等，都使企業安全防護網絡遭受嚴重威脅。

1.3 結構性因素

煙草企業現有的網絡安全防護體系結構，多數采用的是混合型結構，星形和總線型結構重疊并存，相互之間極易產生干擾。利用系統存在的漏洞和“后門”，黑客就可以利用病毒等入侵開展攻擊，或者，網絡使用者因系統過于復雜而導致錯誤操作，都可能造成網絡安全問題。

2 煙草企業網絡安全防護體系建設現狀

煙草企業網絡安全防護體系建設，仍然存在著很多不容忽視的問題，亟待引起高度關注。

2.1 業務應用集成整合不足

不少煙草企業防護系統在建設上過于單一化、條線化，影響了其縱向管控上的集成性和橫向供應鏈上的協同性，安全防護信息沒有實現跨部門、跨單位、跨層級上的交流，相互之間不健全的信息共享機制，滯后的信息資源服務決策，影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計，致使信息化建設未能形成整體合力。

2.2 信息化建設特征不夠明顯

網絡安全防護體系建設是現代煙草企業的重要標志，但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合，對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標，缺乏宏觀角度上的溝通協調，致使在信息化建設中，業務、管理、技術“三位一體”的要求并未落到實處，影響了網絡安全防護的效果。

2.3 安全運維保障能力不足

缺乏對運維保障工作的正確認識，其尚未完全融入企業信息化建設的各個環節，加上企業信息化治理模式構建不成熟等原因，制約了企業安全綜合防范能力與運維保障體系建設的整體效能，導致在網絡威脅的防護上較為被動，未能做到主動化、智能化分析，導致遭受病毒、木馬、釣魚網站等反復侵襲。

3 加強煙草企業網絡安全防護體系建設的策略

煙草企業應以實現一體化數字煙草作為建設目標，秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則，始終堅持兩級主體、協同建設和項目帶動的模式，按照統一架構、安全同步、統一平臺的技術規范，才能持續推動產業發展同信息化建設和諧共生。

3.1 遵循網絡防護基本原則

煙草企業在建設安全防護網絡時，應明白建設安全防護網絡的目標與原則，清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分，不同區域的防御體系應具有針對性，相互之間邏輯清楚、調用清晰，從而使網絡邊界更為明確，相互之間更為信任。要對已出現的安全問題進行認真分析，并歸類統計，大的問題盡量拆解細分，類似的問題歸類統一，從而將復雜問題具體化，降低網絡防護工作的難度。對企業內部網絡來說，應以功能為界限來劃分，以劃分區域為安全防護區域。同時，要不斷地完善安全防護體系建設標準，打破不同企業之間網絡安全防護體系的壁壘，實現信息資源更大程度上的互聯互通，從而有效地提升自身對網絡威脅的抵御力。

3.2 合理確定網絡安全區域

煙草企業在使用網絡過程中，不同的區域所擔負的角色是不同的。為此，內部網絡，在設計之初，應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時，對生產、監管、流通、銷售等各個環節，要根據其業務特點強化對應的網絡使用管理制度，既能實現網絡安全更好防護，也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時，不能以偏概全、一蹴而就，應本著實事求是的態度，根據企業實際情況，以現有的網絡安全防護為基礎，有針對性地進行合理的劃分，才能取得更好的防護效果。

3.3 大力推行動態防護措施

根據網絡入侵事件可知，較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此，煙草企業在構建網絡安全防護體系時，應根據不同的威脅形式確定相應的防護技術，且系統要能夠隨時升級換代，從而提升總體防護力。同時，要定期對煙草企業所遭受的網絡威脅進行分析，確定系統存在哪些漏洞、留有什么隱患，實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制，在系統遭受重大網絡威脅而癱瘓時，確保在最短的時間內恢復系統的基本功能，為后期確定問題原因與及時恢復系統留下時間，并且確保企業業務的開展不被中斷，不會為企業帶來很大的經濟損失。另外，還應大力提倡煙草企業同專業信息防護企業合作，構建病毒防護戰略聯盟，為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。

3.4 構建專業防護人才隊伍

人才是網絡安全防護體系的首要資源，缺少專業性人才的支撐，再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強，既要熟知信息安全防護技術，也要對煙草企業生產全過程了然于胸，并熟知國家政策法規等制度。因此，煙草企業要大力構建專業的網絡信息安全防護人才隊伍，要采取定期選送、校企聯訓、崗位培訓等方式，充分挖掘內部人力資源，提升企業現有信息安全防護人員的能力素質，也要積極同病毒防護企業、專業院校和科研院所合作，引進高素質專業技術人才，從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。

3.5 提升員工安全防護意識

技術防護手段效果再好，員工信息安全防護意識不佳，系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心，統一對企業網絡安全防護系統進行管理培訓，各部門、各環節也要設立相應崗位，負責本崗位的網絡使用情況。賬號使用、信息、權限確定等，都要置于信息管理培訓中心的制約監督下，都要在網絡使用制度的規則框架中，杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育，提升其網絡安全防護意識，使其認識到安全防護體系的重要性，從而使每個人都能依法依規地使用信息網絡。

4 結 語

煙草企業管理者必須清醒認識到，利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨，絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰，以實事求是的態度，大力依托信息網絡安全技術，構建更為安全的防護體系，為企業做大做強奠定堅實的基礎。

主要參考文獻

[1]楊波.基于安全域的煙草工業公司網絡安全防護體系研究[J].計算機與信息技術，2012（5）.

第5篇

網絡安全威脅的主要來源。網絡安全的威脅是現代企業管理中經常會遇到的安全性問題，網絡安全的來源具有不同的渠道和類型。在傳統的理解中，網絡安全威脅主要是病毒感染，但是，網絡技術不斷升級的情況下，網絡安全更多的是對網絡的非法入侵，對網絡的攻擊和訪問。在大型企業中，網絡安全的來源既有內網的威脅，也有外網的威脅，而內網的威脅遠比外網的威脅要大得多，如果內網遭到攻擊，那么，對大型企業的危害則是深入的。網絡的安全隱患主要包括病毒、木馬或者惡意軟件的侵襲，網絡黑客的攻擊，文件或者郵件被非法竊聽與訪問，重要部門的信息被訪問同時造成泄漏，外網的非法入侵，備份數據和存儲媒體的損壞和丟失。針對于企業網絡安全的認知誤區。對網絡安全的認知過程，是網絡安全進行威脅處理的重要思想基礎。在很多人都意識中，網絡安全不是特別重要的事情，甚至認為只要是安裝了防火墻，或者安裝了防病毒的工具，使用了加密技術或者對數據進行了必要的保存，就不會遭到網絡攻擊，而實際上網絡安全威脅遠比意識中的要嚴重和復雜的多。例如防火墻的主要作用是用來控制兩個網絡之間的訪問，它主要是限制互聯網之間的來往，防火墻是隔離技術，在不同的網絡之間控制安全域信息的出入。防火墻的主要工作就是控制存取和過濾封包，對針對于工作性的措施進行防范。但是，在網絡安全威脅中，如果攻擊行為越過防火墻，防火墻就沒有多大的用處了。防火墻用于防止外部入侵，而無法防止內部入侵。還有人認為殺毒軟件很有作用，殺毒軟件是防止病毒的入侵，對系統中的病毒進行查殺，但是，在實際應用中可以發展，很多殺毒軟件的功能都落后于病毒的更新，而且每一臺機器的殺毒軟件，都是把重心集中在網絡防毒的系統管理上。如果沒有網絡作為依托，殺毒軟件就會失去單擊操作的能力。

1大型企業網絡安全的設計

（1）大型企業網絡安全的主要需求。企業網絡安全的主要需求是根據具體業務的發展而確定的。以國家電網的電力企業為例，在網絡安全上，需要建立具有Web和Mail等服務器和辦公區客戶機，企業的各個部門之間能夠進行相互的聯系，同樣，也要進行必要的隔離。大型企業網絡安全的設計中，主要的需求就是對網絡設備進行組網規劃，對網絡系統的可用性進行保護，對網絡系統的服務設施連續性設計，防止網絡資源的非法訪問，防止入侵者的惡意破壞，保護企業信息的機密性和完整性，防范病毒的侵害，對網絡進行安全管理。以電力企業為例，對網絡安全的需要主要是對業務的辦理和系統的改造，要求企業的網絡具有穩定性，能夠保證各種信息的安全，防止圖紙或者文檔的丟失。

（2）大型企業網絡設計的功能。在企業的發展建設中，應用計算機網絡進行運營控制，提高了企業的經營和管理效力，但是，因為技術性的原因，也給網絡安全帶來的隱患。企業對于網絡設計的功能主要可以體現在企業要求最資源進行共享。也就是說在網絡內部企業的各個部門都能夠共享數據庫，共享打印機，形成辦公自動化的良好秩序。對于大型企業而言，業務繁多，辦公自動化非常重要，通過辦公自動化能夠形象高效率的工作方式。在通信服務方面，通過廣域網能夠隨時接發郵件，實現Web應用，同時，接入互聯網實現網絡的訪問，這樣可以使企業能夠隨時在網絡上進行查詢，能夠保證最新鮮資訊有明確的了解。

（3）大型企業網絡設計的原則。大型企業的網絡設計原則主要是以企業的運行為基礎，以提高企業的運行效率為根本。在設計原則上需要掌握：第一，應用的便捷性。網絡系統要以應用為前提，在實用性和經濟方面具有絕對性優勢，通過建立企業的網絡系統，能夠把企業統一到一個資源共享的平臺。在資源利用上，保持好良好的狀態。第二，技術的成熟性。網絡系統設計需要進行不斷的更新，以先進的技術和方法，引領網絡發展。企業的運行中，涉及的部門多，業務種類多，這就要求網絡系統對設備和工具十分熟悉，在網絡的支撐下，能夠完成各個部門的具體化工作。第三，系統的穩定性。大型企業依靠網絡進行的工作很多，這就網絡系統一定要具有超高的穩定性，在技術措施上，系統管理中，廠商技術中，維修能力方面都要能夠隨時確保系統的運行可靠性。如果網絡系統運行不穩定，就會給整體企業的運營帶來時時的危險性。例如大型電力企業中，如果網絡不穩定，就會造成數據采集不穩定，就會給整體信息收集帶來不良后果。

（4）具體應用技術的實施。在技術應用上，需要從網絡安全的內部和外部進行綜合控制。在位置選擇上，需要選擇具有防震、防風和防雨功能的建筑物，機房承重要求要滿足設計要求，避免強磁場，強噪聲的環境，避免重度污染的環境，避免容易發生火災的環境。電力供應方面要選擇穩定的電壓，設置電壓防護設備，能夠提供短期備用電的地方。在電磁防護方面，采用接地方式防止外界干擾，電線和通信線路要進行必要的隔離，防止二者之間相互干擾。在訪問權限上實施控制策略，企業的決策層，財務層，市場運營管理和生產層，都要進行分級別的VPN設計，各個VPN層級要有明確的區分。

2大型企業網絡安全解決方案的實現

（1）確保網絡企業的物理安全。網絡安全的前提和基礎性條件就是物理條件，在物理安全上，要重視環境設置。在機房環境安全上，要將信息系統的計算機硬件，網絡設施等進行統一的管理。防止自然災害，物理性損壞和設備故障，電磁輻射，痕跡泄漏，操作失誤，意外疏漏等。在傳輸介質的選擇上，要配有支持屏功能的連接器件，介質要具有良好的接地功能，能夠對干擾嚴重的區域使用屏蔽線，增強抗干擾能力。在傳輸介質上，光纖具有明顯的優勢。

（2）形成網絡防火墻的優化配置。網絡防護墻對于網絡安全是一項重要的技術類型，網絡防火墻在配置過程中要掌握好，防火墻選擇的數碼類型，或者防火墻和VPN功能的結合，在防火墻的設計上，確定好源域，源地址對象，目的域，目的地址對象。防火墻要設置全局訪問策略，在域內或者域間進行訪問，內部網絡為信任區域，外部網絡為不信任區域。防火墻允許外部網絡訪問，但是不能進行內部訪問，中間位置的訪問需要進行權限設置。網絡防火墻的優化配置，是形成網絡防護的重要方式，網絡防火墻的設計對于網絡安全是重要的技術措施。

（3）實現網絡VPN的準確對接。在網絡技術不斷進步的過程中，對網絡安全解決的方案也逐漸進行完善。網絡安全需要建立多重防御體系，同時在商業及技術機密上，要做好多種防范措施。大型企業是國家經濟建設的重要組成部分，是創造經濟效益和社會效益的集合體。網絡的VPN功能主要是通過防火墻實現，在設計中主要是通過PPTP協議來是網絡VPN，因此，首要的任務就是增加PPTP地址池，在PPTP設置中，選擇Chap加密認證。

（4）構建網絡防病毒多重體系。網絡安全解決方案中防病毒體系的構建至關重要。通過防病毒體系的構建，可以針對企業網絡安全的現狀進行設計，通過建立多種防病毒方案，確保在簡單或者復雜的網絡環境下，都能夠設計出適應大型企業運行情況的計算機病毒防護系統，這種系統可以適應多臺機器，可以適用于多個服務器，在不同的超大型網絡中，能夠具有先進的系統結構，超強的殺毒能力，有效的遠程控制力，可以方便進行分級和分組管理。

3結語

現代化的企業采用的方式也是現代化的，現代化的技術具有明顯的優勢，同時，也存在一定的弊端。網絡信息資源的共享，為企業發展提供了智力支持，但也給企業帶來了很多不安全的因素。對于大型企業的網絡安全而言，要從技術上和管理上進行控制，通過有效的管理手段和升級化的技術，突出技術與管理的融合，實現網絡安全的有效控制。

參考文獻

[1]彭長艷.空間網絡安全關鍵技術研究[J].國防科學技術大學，2010.

[2]阿萊.計算機網絡安全問題及解決策略初探[J].信息與電腦（理論版），2012.

[3]卜祥飛.大型企業網絡信息安全問題與解決方案[J].全國冶金自動化信息網2012年年會論文集，2012.

[4]周未，張宏，李千目，郭萍.計算機與信息技術[J]，2011.

第6篇

關鍵詞：企業；網絡；系統；安全；虛擬化；信息化

一、 企業網的組成和所面臨的安全威脅

(一) 企業網的組成

企業網一般由兩個大的功能區域組成：企業內網和企業外部接入網。我們可以邏輯上把這兩大區域進一步劃分成若干個模塊，企業內網包括管理模塊、核心模塊、分布層模塊、服務器模塊和邊界接入模塊五部分。企業外部接入網包括外網接入模塊和遠程接入模塊兩個部分。不同模塊實現不同的功能，各自的安全需要也有所不同, 需要實施相應的安全策略。模塊與模塊之間的安全策略相互影響、相互作用并互為補充。典型的大型企業網絡架構如下圖：

(二) 企業網面臨的安全威脅

1. 來自內部用戶的安全威脅

大多數威脅來自于內部網絡, 如缺乏安全意識的員工、心懷不滿的員工、公司間諜等都是這類攻擊的來源。

2. 來自外部網絡的安全威脅

隨著信息技術的不斷發展,企業總部與分支以及合作伙伴之間的聯網需求越來越迫切。它們之間不可避免的需要通過網絡交換信息及共享資源。同時, 企業網還為內部合法員工提供了上互聯網的途徑, 互聯網用戶可以訪問企業對外提供的公共服務器上的信息，由于信息資源的共享同時也給企業網的內、外網安全帶來了一系列的挑戰。

二、 企業內網的安全設計

企業內網包括管理模塊、核心模塊、分布層模塊、服務器模塊和邊界接入模塊五部分。下面分別分析各個模塊的功能, 及面臨的安全威脅和相對應的安全措施, 以及與其它模塊之間的關系。

(一) 管理模塊

管理模塊的主要功能是實現企業網絡的所有設備和服務器的安全管理。所面臨最主要的安全威脅有未授權接入、口令攻擊、中間人攻擊等，為了消除以上管理模塊面臨的安全威脅,應采取以下的安全措施：

1. 管理數據流和生產網數據流需有效的安全隔離，包括盡可能使用安全性高的帶外管理, 在不能使用帶外管理的情況下,帶內管理也要做到使用IPSec、SSH等加密傳輸。

2. 采用強力的認證授權技術對管理信息進行認證和授權，可以通過采用AAA認證和雙因素認證技術, 保證只有合法的用戶才能管理相應設備, 并能夠防止密碼泄漏和對密碼竊聽。

3. 采用完善的安全審計技術對整個網絡（或重要網絡部分）的運行進行記錄和分析，可以通過對記錄的日志數據進行分析、比較，找出發生的網絡安全問題的原因，并為今后網絡整改提供依據。

4. 部署網絡入侵檢測系統，從而能夠對流入和流出管理模塊的數據流進行實時的分析并及時發現可能的入侵行為。

由于管理模塊全網可達, 且能夠對全網的所有設備和服務器進行管理，所以它的安全防護策略應該是全網最嚴格的。

(二) 核心模塊

核心模塊的主要功能是快速轉發。所面臨主要安全威脅是分組竊聽、功能區域劃分模糊和如何實現快速故障隔離。當多種應用流量運行在核心模塊時，如何防止不同應用流量被竊聽篡改、如何對不同應用區域進行分類保護、如何在核心模塊故障發生時進行有效快速的故障隔離成了當務之急。

核心模塊的主要設備是三層交換機, 三層交換架構是消除分組竊聽威脅的有效手段，而核心三層交換機的虛擬化技術則可以解決核心功能區域的精細劃分、實現有效快速的隔離故障，提高系統的可用性，防止級聯式的服務中斷。通過核心交換機的虛擬化技術還可實現交換機控制和管理平面的虛擬化，在三層交換機上配置相應的安全策略，為多個應用或部門的流量提供安全的網絡分區，讓每個應用或部門可以獨立管理和維護其各自的配置。

(三) 分布層模塊

分布層模塊主要提供包括路由、QoS和訪問控制。所面臨的主要安全威脅有未授權訪問、欺騙、病毒和特洛伊木馬的應用。為了消除以上分布層模塊面臨的安全威脅, 分布層模塊應采取以下的安全措施：

1. 針對二層網絡的安全威脅，利用網絡設備本身的二層網絡安全性能，進行二層網絡安全策略的部署，如二層VLAN劃分、DHCP窺探保護、動態ARP檢查、IP源地址保護等安全策略。

2. 通過在分布層使用訪問控制, 可以減少一個部門訪問另一部門服務器上保密信息的機會，利用設備包過濾技術，根據預先定義好的規則對包進行過濾，從而達到訪問控制的目的。

3. 通過RFC2827過濾可有效防止源地址欺騙。

4. 部署防病毒系統，防止各個工作站感染病毒和特洛伊木馬的應用。

5. 部署網絡準入控制系統，通過在網絡中部署網絡準入控制系統，可以實現最大限度減少內部網絡安全威脅，降低病毒和蠕蟲造成的停機時間。

根據網絡規模和性能要求的不同, 核心層和分布層可以結合起來合二為一, 從而達到減少硬件設備，達到減少投資與節能等目的。

(四) 服務器模塊

服務器模塊的主要目標是向最終用戶和設備提供應用服務。所面臨的主要安全威脅有未授權訪問、應用層攻擊、IP欺騙、分組竊聽和端口重定向等。為了消除以上安全威脅,應采取以下的安全措施：

1. 使用基于主機和網絡的IDS/IPS系統。

2. 在交換機上配置私有VLAN,實現對服務器的訪問限制, 限制對關健服務器的隨意訪問。

3. 對服務器及時打上最新的補丁程序。

4. 對服務器區域（DMZ區域）進行不同安全級別劃分，通過對不同應用的服務器進行安全級別的劃分，并通過防火墻模塊進行DMZ邏輯區域的隔離，可以實現服務器故障的快速隔離和服務器間訪問的有效控制。

5. 針對企業較為重要的郵件應用服務器，可以單獨部署電子郵件安全產品，從而減少與垃圾郵件、病毒和其它各種威脅有關的宕機，以求減輕技術人員的負擔。

像分布層模塊一樣, 根據公司規模、應用性能及需求的不同, 服務器模塊可以與核心模塊相結合。

(五) 邊界接入模塊

邊界接入模塊的目標是在網絡邊緣集中來自各個接入網模塊的連接，信息流從邊界接入模塊過濾后路 由至至核心。邊界接入模塊在整體功能方面和分布層模塊有些類似，都采用接入控制來過濾信息流,但邊界接入模塊在一定程度上依賴整個接入網功能區域來執行附加安全功能。像服務器和分布層模塊一樣,如果性能要求不高, 邊界接入模塊可與核心模塊結合起來。

在邊界接入模塊比較常見的安全措施為應用流量觀察分析和安全網關。應用流量觀察分析是通過部署流量控制設備，使用其二至七層強大的應用分析能力，能夠第一時間獲得核心模塊和接入網模塊之間應用流量能見度，并以此為基礎在企業網絡中部署相應的安全策略（比如限制病毒端口號、限制特定內網IP地址、限制特定MAC地址）。安全網關是通過采用專用的安全網關技術，實現核心模塊和外網接入網模塊之間的Web內容過濾，Web病毒掃描，間諜軟件防御，HTTPS安全控制，防機密數據外泄等等安全功能。

三、 企業接入網的安全設計

企業接入網由外網接入模塊和遠程接入模塊兩個部分組成。以下分別闡述各個模塊的功能、面臨的安全威脅和相應的安全措施。

(一) 外網接入模塊

大多企業網雖然都是專網,但是不可避免要和外網連接。外網包括企業分支網絡、第三方接入網絡和互聯網。所面臨的主要安全威脅有未授權接入、應用層攻擊、病毒和特洛伊木馬、拒絕服務攻擊等。主要防御措施有：

1. 在外網接入模塊和外網之間部署防火墻。防火墻應分為兩組防護, 一組用于企業網與分支機構網絡的連接, 另一組用于企業網與互聯網的連接。防火墻為內網的網絡資源提供保護,從而確保只有合法信息流穿過防火墻。部署在企業網與互聯網的連接上的防火墻時可以使用目前先進的“云火墻”技術，該技術可以持續收集互聯網上已知威脅的詳細信息，實現企業到互聯網的網絡安全。

2. 使用防火墻的虛擬化技術，將單一防火墻設備邏輯劃分為多個虛擬防火墻，每個防火墻有自己的策略且分別進行管理，可以實現不同區域模塊之間的安全控制和設備資源的高效利用。

3. 部署IDS/IPS入侵檢測/防御系統，有條件的情況下, 在防火墻的內網區、外網區和DMZ區域都要部署入侵檢測/防御系統, 以實時檢測來自外網的入侵行為。

4. 建立統一的應用服務器用于與其它分支網絡構建統一接入平臺，應用服務器作為所有應用服務的, 通過進行更嚴格的應用數據流檢查和過濾,有利于外網接入模塊的標準化和可擴展性的提升。

5. 在與互聯網連接的企業網絡邊緣部署路由器，并通過在路由器入口進行數據流的過濾，路由器對大多數攻擊提供了過濾器,同時進行RFC1918和RFC2827過濾, 作為對過濾的驗證, 路由器還應丟棄‘碎片’的數據包。對于過濾造成的合法數據包丟棄相比這些數據包帶來的安全風險是值得的。

(二) 遠程接入模塊

遠程接入模塊的主要目標有三個：從遠程用戶端接VPN信息流、為從遠程站點VPN信息流提供一個集線器以及撥號用戶。遠程接入模塊面臨的主要安全威脅有口令攻擊、未授權接入和中間人攻擊等。此模塊的核心要求是擁有三個獨立外部用戶服務驗證和端接，對于此模塊來說信息流的來源是來自于企業網絡外的不可信源, 因此要為這三種服務的每一種提供一個防火墻上的獨立接口。

1. 遠程接入VPN，遠程接入VPN推薦使用IPSec協議。此服務的安全管理是通過將所有IPSec的安全參數從中央站點推向遠程用戶實現的。

2. 撥號接入用戶，AAA和一次性口令服務器可用來驗證和提供口令。

3. 站點間VPN，與站點間連接相關的IP信息流在傳輸模式下由配置成GRE隧道來實現。

以上來自三種服務的信息流應集中接入到防火墻的一個專用接口上。條件允許時在防火墻的內口或外口部署IDS/IPS系統, 以檢測可能的攻擊行為。

四、 模塊之間的相互關系

采用模塊化設計時, 不是簡單地將網絡安全設計分解成各個孤立的模塊, 各模塊之間緊密聯系，其安全防護措施也直接影響到其它模塊的安全。

管理模塊是整個網絡安全體系的核心、位于其它所有模塊的最頂層。網絡安全體系的建立, 應該首先建立管理模塊的安全結構。它相對于其它模塊有著很大的獨立性, 但它是建立其它模塊安全結構的基礎和前提。

核心模塊、服務器模塊和分布層模塊構成企業網絡的內部網絡。這三個模塊主要防范來自企業網內部的安全威脅：分布層模塊提供了針對內部發起攻擊的第一道防線；核心模塊的主要目標是線速的轉發數據流, 其安全性主要依賴于核心模塊交換設備本身的安全設置以及分布層模塊的安全防護；服務器模塊往往會成為內部攻擊的主要目標, 安全性除了自身的安全措施和分布層模塊的安全防護外, 嚴格的安全管理是極為重要的。

邊界接入模塊是連接企業內網和外部接入網的橋梁和紐帶。邊界接入模塊在外部接入網安全措施的基礎上, 為企業內網提供附加的安全功能。

外部接入網為企業內網提供了第一道安全防線, 也是外網接入企業網內網統一的接入平臺。

模塊化的設計將復雜的大型網絡劃分為幾個相對簡單的模塊, 以模塊為基本單位構筑整個網絡的安全體系結構。使用模塊化的網絡安全設計能夠很容易實現單個模塊的安全功能,并實現模塊與模塊間的安全關系,從而在整個企業網絡中形成分層次的縱深防御體系。還能夠使設計者進行逐個模塊的安全風險評估和實施安全, 而非試圖在一個階段就完成整個體系結構。

參考文獻：

[1] 崔國慶. 計算機網絡安全技術與防護的研究?. 電腦知識與技術，2009年9月.

第7篇

防火墻是網絡安全的基本防護設備，其安全性受到了越來越多人的重視，尤其是在當前科技迅猛發展的環境下，各企業也迅速的崛起，使得企業在網絡環境的推動下，也面領著嚴峻的信息安全挑戰。在這種環境下，人們對于防火墻的安全性要求也隨之提高。當前，企業的防火墻要實現安全設計，還需要對企業的網絡安全進行全方面的需求分析，通過針對性的設計，提高防火墻的實用性、功能性、安全性。

【關鍵詞】

防火墻；企業網絡安全設計；實現

1前言

計算機網絡技術的廣泛應用，為企業提供了更多的發展平臺與業務渠道，在一定程度上推動了企業的快速發展。但在網絡技術不斷普及的今天，各種惡意攻擊、網絡病毒、系統破壞也對企業的網絡安全造成了較大的傷害，不僅嚴重威脅到企業的信息安全，而且給企業帶來較大的經濟損失，造成了企業形象的破壞。因此，才需要使用防火墻技術，通過防火墻網絡技術的安全設計，對各種病毒與網絡攻擊進行抵御，維護企業的信息安全，促進企業的健康穩定發展。

2防火墻的企業網絡安全設計原則

在企業防火墻的網絡安全設計中應該遵循一定的原則，即：全面、綜合性原則，也就是企業的網絡安全體系設計，應該從企業的整體出發，對各項信息威脅進行利弊權衡，進而制定出可行性的安全防護措施；簡易性原則，主要是對于網絡安全設計，既要保證其安全性，又要保證其操作簡便性，以免系統過于復雜而造成維護上的阻礙；多重保護原則能夠在建立多重的網絡安全機制，確保整個網絡環境安全；可擴充原則，主要是指在網絡運用過程中，要隨著新變化的出現，對于之前的網絡安全系統進行升級與擴充；靈活性原則，也就是防火墻的網絡安全設計方案，應該結合企業自身網絡現狀及安全需求，采用靈活、使用的方式進行設計；高效性原則，也就是防火墻的網絡安全設計應該確保投資與產出相符，通過安全性的設計解決方案，避免重復性的投資，讓企業投入最少的項目資金，獲得最大的收益，有效維護企業的安全[1]。

3防火墻的企業網絡安全設計

防火墻為服務器的中轉站，能夠避免計算機用戶與互聯網進行直接連接，并對客戶端的請求加以及時地接收，創建服務其的連接，并對服務器發出的信號相應加以接受，再通過系統將服務器響應信號發送出去，并反饋與客戶端。

3.1防火墻加密設計

防火墻的加密技術，是基于開放型的網絡信息采取的一種主動防范手段，通過對敏感數據的加密處理、加密傳輸，確保企業信息的安全。當前的防火墻加密技術主要有非對稱秘鑰與對稱秘鑰兩種，這種數據加密技術，主要是對明文的文件、數據等通過特定的某種算法加以處理，成為一段不可讀的代碼，維護數據信息的安全，以免企業的機密信息收到外界的攻擊[2]。當前的防火墻加密手段也可分為硬件加密與軟件加密，其中硬件加密的效率較高，且安全系數較高，而軟件加密的成本相對來說較低，使用性與靈活性也較強，更換較為方便。

3.2入侵檢測設計

入侵主要指的是外部用戶對于主機系統資源的非授權使用，入侵行為能夠在一定程度上導致系統數據的損毀與丟失，對于企業的信息安全與網絡安全會造成較大的威脅，甚至導致系統拒絕合法用戶的使用與服務。在防火墻的企業網絡安全設計中，應該加強對入侵者檢測系統的重視，對于入侵腳本、程序自動命令等進行有效識別，通過敏感數據的訪問監測，對系統入侵者進行行為分析，加強預警機制，檢測入侵者的惡意活動，及時發現各種安全隱患并加以防護處理。

3.3身份認證設計

身份認證主要是對授權者的身份識別，通過將實體身份與證據的綁定，對實體如：用戶、應用程序、主機、進行等加以信息安全維護。通常，證據與實體身份間為一種對應的關系，主要由實體方向提供相應的證據，來證明自己的身份，而防火墻的身份認證則通相關的機制來對證據進行驗證，以確保實體身份與證據的一致性。通過身份認證，防火墻便能夠對非法用戶與合法用戶加以識別，進而對非法用戶進行訪問設置，維護主機系統的安全。

3.4狀態檢測設計

訪問狀態檢測，是控制技術的一種，其關鍵性的任務就是確保企業的網絡資源不受非法使用與非法訪問，是維護企業網絡安全的重要手段之一。防火墻的訪問控制，一般可分為兩種類型：①系統訪問控制；②網絡訪問控制。其中，網絡訪問控制主要是限制外部計算機對于主機網絡服務系統的訪問，以及控制網絡內部用戶與外部計算機的訪問。而系統訪問控制，主要是結合企業的實際管理需求，對不同的用戶賦予相應的主機資源操作、訪問權限。

3.5包過濾數據設計

數據包過濾型的防火墻主要是通過讀取相應的數據包，對一些信息數據進行分析，進而對該數據的安全性、可信度等加以判斷，并以判斷結果作為依據，來進行數據的處理。這在個過程中，若相關數據包不能得到防火墻的信任，便無法進入該網絡。所以，這種技術的實用性很強，能夠在網絡環境下，維護計算機網絡的安全，且操作便捷，成本較低。但需要注意的是，該技術只能依據一些基本的信息數據，來對信息安全性進行判斷，而對于應用程序、郵件病毒等不能起到抵制的作用。包過濾防火墻通常需要在路由器上實現，對用戶的定義內容進行過濾，在網絡層、數據鏈路層中截獲數據，并運用一定的規則來確定是否丟棄或轉發各數據包。要確保企業的網絡安全，需要對該種技術進行充分的利用，并適當融入網絡地址翻譯，對外部攻擊者造成干擾，維護網絡內部環境與外部環境的安全。

4企業網絡安全中的實現

4.1強化網絡安全管理

用將防火墻技術應用于企業的網絡安全中，還需要企業的信息管理人員對于本企業的實際業務、工作流程、信息傳輸等進行深入的分析，對本企業存在的信息安全加以風險評估，熟悉掌握本企業網絡安全的薄弱環節，全民提高企業的信息安全。另外，企業信息管理人員還需要對企業的網絡平臺架構進行明確掌握，對企業的未來業務發展加以合理的預測分析，進而制定出科學合理的網絡信息安全策略。同時，企業信息管理人員還需要對黑客攻擊方式與攻擊手段進行了解，做好防止黑客入侵的措施。

4.2網絡安全需求分析

企業的網絡安全為動態過程，其設方案需要結合自身的實際狀況加以靈活設計，進而提高設計方案的適用性、安全性，維護企業整個網絡的安全。在對企業網絡需求進行分析時，還需要注重企業的應用系統、網絡訪問系統、網絡資源、網絡管理實際[3]。在應用系統安全性設計中，對于系統使用頻繁，提供服務資源的數據庫與服務器，要在網絡環境下，確保其運行安全，以免疏導惡意攻擊與訪問；而對于網絡訪問設計應具有一定的可控性，具備相應的認證與授權功能，對用戶的身份加以識別，對敏感信息加以維護，以免企業的核心系統遭到攻擊[4]；網絡資源要確保其適用性，能夠承載企業的辦公自動化系統及各項業務的運行使用，并保證網絡能夠不間斷地高效運行；同時，針對網絡管理，應該具有可操作性，在安全日志與審計上進行相關的信息記錄，以免企業信息系統管理人員的日后維護。

4.3網絡安全策略的制定

要實現企業的網絡安全，還需要對企業的實際網絡安全需求進行了解之后，針對不同的信息資源，制定出相關的安全策略，通過各種系統保密措施、信息訪問加密措施、身份認證措施等，對企業信息資源維護人員相關的職責加以申請與劃分，并對訪問審批流程加以明確。最后，還需要企業的信心管理人員對整個安全系統進行監控與審計，通過監控系統的安全漏洞檢查，對威脅信息系統安全的類型與來源進行初步判斷，通過深入分析，制定出完善是網絡安全防護策略[5]。

5結束語

在互聯網環境下，信息資源的存儲量巨大，運行較為高效，不僅為企業帶來了較大發展空間，也使企業的信心安全面臨巨大的威脅。因此，企業需要加強防火墻系統的建設，提高對網絡安全系統的認識，通過有效措施，加強防火墻的安全設計，構建一個相對穩定的網絡環境，維護企業的信息安全，讓企業在可靠的信息網絡環境開發更多的客戶資源，以尋得健康、穩定、持續的發展。

作者：黃河鋒 單位：桂林自來水公司

參考文獻

[1]馬小雨.防火墻和IDS聯動技術在網絡安全管理中的有效應用[J].現代電子技術，2016（02）：42~44.

[2]范沁春.企業網絡安全管理平臺的設計與實現[J].網絡安全技術與應用，2015（07）：74+77.

[3]秦艷麗.試談防火墻構建安全網絡[J].電腦編程技巧與維護，2016（06）：78~80.

第8篇

關鍵詞：企業網絡 安全管理 維護

中圖分類號：TN915.08 文獻標識碼：A 文章編號：1672-3791（2012）12（a）-0024-01

隨著信息化技術的飛速發展，許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力，使企業在殘酷的競爭環境中脫穎而出。逐漸地使經營管理對計算機應用系統依賴性增強，計算機應用系統對網絡依賴性增強。然而，網絡的安全是伴隨著網絡的產生而產生，可以說，有網絡的地方就存在網絡安全隱患。如病毒入侵和黑客攻擊之類的網絡安全事件，速度之快，范圍之廣，已眾所周知。企業為阻止惡意軟件入侵攻擊、防止非法用戶通過網絡訪問和操作、防止用戶郵件被非法截取或篡改等采取的安全措施，既保證企業數據安全、網絡系統運行穩定，又防止非法入侵等問題才是企業網絡安全管理的重要內容。

1 威脅信息安全的主要因素

1.1 軟件的內在缺陷

這些缺陷不僅直接造成系統宕機，還會提供一些人為的惡意攻擊機會。對于某些操作系統，相當比例的惡意攻擊就是利用操作系統缺陷設計和展開的，一些病毒、木馬也是盯住其破綻興風作浪，由此造成的損失實難估量。應用軟件的缺陷也可能造成計算機信息系統的故障，降低系統安全性能。

1.2 惡意攻擊

攻擊的種類有多種，有的是對硬件設施的干擾或破壞，有的是對應用程序的攻擊，有的是對數據的攻擊。對硬件設施的攻擊，可能會造成一次性或永久性故障或損壞。對應用程序的攻擊會導致系統運行效率的下降，嚴重的會導致應用異常甚至中斷。對數據的攻擊可破壞數據的有效性和完整性，也可能導致敏感數據的泄漏、濫用[1]。

1.3 管理不善

許多企業網絡都存在重建設、重技術、輕管理的傾向。實踐證明，安全管理制度不完善、人員安全風險意識薄弱，是網絡風險的重要原因之一。比如，網絡管理員配備不當、企業員工安全意識不強、用戶口令設置不合理等[2]，都會給信息安全帶來嚴重威脅。

1.4 網絡病毒的肆虐

只要上網便避免不了的受到病毒的侵襲。一旦沾染病毒，就會通過各種途徑大面積傳播病毒，就會造成企業的網絡性能急劇下降，還會造成很多重要數據的丟失，給企業帶來巨大的損失。

1.5 自然災害

對計算機信息系統安全構成嚴重威脅的災害主要有雷電、鼠害、火災、水災、地震等各種自然災害。此外，停電、盜竊、違章施工也對計算機信息系統安全構成現實威脅。

2 完善網絡信息安全的管理機制

2.1 規范制度化企業網絡安全管理

網絡和信息安全管理真正納入安全生產管理體系，并能夠得到有效運作，就必須使這項工作制度化、規范化。要在企業網絡與信息安全管理工作中融入安全管理的思想，制定出相應的管理制度。

2.2 規范企業網絡管理員的行為

企業內部網絡安全崗位的工作人員要周期性進行輪換工作，在公司條件允許的情況下，可以每項工作指派2～3人共同參與，形成制約機制。網絡管理員每天都要認真查看日志，通過日志來發現有無外來人員攻擊公司內部網絡，以便及時應對，采取相應措施。

2.3 規范企業員工的上網行為

目前，琳瑯滿目的網站及廣告鋪天蓋地，鼠標一點，就非常有可能進入非法網頁，普通電腦用戶無法分辯，這就需要我們網管人員對網站進行過濾，配置相應的策略，為企業提供健康的安全上網環境。為此，企業要制定規范，規定員工的上網行為，如免費軟件、共享軟件等沒有充分安全保證的情況下盡量不要安裝，同時，還要培養企業員工的網絡安全意識，注意移動硬件病毒的防范和查殺的問題，增強計算機保護方面的知識。

2.4 加強企業員工的網絡安全培訓

企業網絡安全的培訓大致可以包括理論培訓、產品培訓、業務培訓等。通過培訓可以有效解決企業的網絡安全問題，同時，還能減少企業進行網絡安全修護的費用。

3 提高企業網絡安全的維護的措施

3. 1病毒的防范

在網絡環境下，病毒的傳播性、破壞性及其變種能力都遠遠強于過去，鑒于“熊貓燒香”、“灰鴿子”、“機器狗”等病毒給太多的企業造成嚴重的損失，慘痛的教訓告誡我們，選用一款適合于企業網的網絡版防病毒產品，是最有效的方法。網絡版的產品具備統一管理、統一升級、遠程維護、統一查殺、協助查殺等多種單機版不具備的功能。有效緩解系統管理員在網絡防病毒方面的壓力。

3.2 合理配置防火墻

利用防火墻，在網絡通訊時執行一種訪問控制尺度，允許防火墻同意訪問的人與數據進入自己的內部網絡，同時將不允許的用戶與數據拒之門外，最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻的配置需要網絡管理員對本單位網絡有較深程度的了解，在保證性能及可用性的基礎上，制定出與本單位實際應用較一致的防火墻策略。

3.3 配置專業的網絡安全管理工具

這種類型的工具包括入侵檢測系統、Web，Email，BBS的安全監測系統、漏洞掃描系統等。這些系統的配備，可以讓系統管理員能夠集中處理網絡中發生的各類安全事件，更高效、快捷的解決網絡中的安全問題。

3.4 提高使用人員的網絡安全意識和配備相關技術人員

企業網絡漏洞最多的機器往往不是服務器等專業設備，而是用戶的終端機。因此，加強計算機系統使用人員的安全意識及相關技術是最有效，但也是最難執行的方面。這需要在企業信息管理專業人員，在終端使用人員網絡安全技術培訓、網絡安全意識宣傳等方面多下功夫。

3.5 保管數據安全

企業數據的安全是安全管理的重要環節。特別是近年來，隨著企業網絡系統的不斷完善，各專業應用如財務、人事、營銷、生產、OA、物資等方方面面均已進入信息系統的管理范圍。系統數據一旦發生損壞與丟失，給企業帶來的影響是不可估計的。任何硬件及軟件的防范都僅能提高系統可靠性，而不能杜絕系統災難。在這種情況下，合理地制定系統數據保護策略，購置相應設備，做好數據備份與系統災難的恢復預案，做好恢復預案的演練，是最有效的手段。

3.6 合理規劃網絡結構

合理規劃網絡結構，可使用物理隔離裝置將重要的系統與常規網絡隔離開來，是保障重要系統安全穩定的最有效手段。

4 結語

總而言之，企業網絡系統的安全防護是一項長期以來極具挑戰性的課題。它的發展往往伴隨著網絡技術的發展其自身也在不斷的更新和調整。信息安全是一個企業賴以生存的基礎保障，只有信息安全得到保障，企業的網絡系統才有其存在的價值。網絡安全是一項系統的工程，需要我們綜合考慮很多實際的需求問題，靈活運用各種網絡安全技術才能組建一個高效、穩定、安全的企業網絡系統。

參考文獻