構(gòu)建網(wǎng)絡(luò)安全體系精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的構(gòu)建網(wǎng)絡(luò)安全體系主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

關(guān)鍵詞：網(wǎng)絡(luò)信息；安全；防護(hù)體系

1 網(wǎng)絡(luò)信息安全內(nèi)容和技術(shù)防范原則

1.1 網(wǎng)絡(luò)信息安全內(nèi)容

網(wǎng)絡(luò)信息安全主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其體系中材料得到維護(hù)，不受有時的或者惡意的因素而受到宣泄、損害、改動，體系能夠穩(wěn)固正常的運轉(zhuǎn)，網(wǎng)絡(luò)服務(wù)不會出現(xiàn)中斷。在網(wǎng)絡(luò)信息工作中所面對的破壞分為兩種，一種是惡意的，一種是有時的，惡意的又能夠分為主動以及被動這兩種。主動突擊主要是更改數(shù)據(jù)庫或者建造不正確的數(shù)據(jù)庫，主要包含切斷、攔截、更改、造假、仿造改動資料以及拒絕服務(wù)等；被動突擊主要是窺伺或者偷聽，最主要就是想要得到正在輸送的材料。被動突擊會宣泄出材料狀況以及材料量等。按照電腦網(wǎng)絡(luò)所面對的脅迫，電腦網(wǎng)絡(luò)主要做好下面四個關(guān)鍵的部分：隱蔽；辨別；訪問掌控；病毒預(yù)防。

1.2 網(wǎng)絡(luò)信息安全技術(shù)操作防范原則

1.2.1 買進(jìn)的新軟件與硬件必須進(jìn)行檢測后使用。

1.2.2 進(jìn)行系統(tǒng)啟動時，采用硬盤進(jìn)行啟動。

1.2.3 重點的計算機需要進(jìn)行獨立盤、獨立人、獨立機器、獨立使用的保護(hù)，在這種狀態(tài)下病毒不會自動滋生。

1.2.4 對于重要的文件進(jìn)行定期的備份工作。

1.2.5 在發(fā)郵件或者是進(jìn)行網(wǎng)聊的時候，附件不要輕易的接收，互聯(lián)網(wǎng)中的軟件用不著的避免下載。在可執(zhí)行的文件與辦公文檔里面的病毒卸載量是很高的，減少下載。就算是下載完成了，還必須使用新型的殺毒軟件進(jìn)行病毒的查殺。

1.2.3 下載并安裝官方的殺毒軟件，定期升級。

1.2.7 下載安裝病毒的防火墻，從根本上保障計算機系統(tǒng)與網(wǎng)絡(luò)不受病毒危害。

2 網(wǎng)絡(luò)信息的安全防護(hù)體系

2.1 加強網(wǎng)絡(luò)安全的層次模型

ISO定義了OSI/RM七層網(wǎng)絡(luò)參考模型，不同的網(wǎng)絡(luò)層次完成不同的功能。從安全角度來看，各層能提供一定的安全手段，針對不同層次的安全措施是不同的。沒有哪個層次能夠單獨提供全部的網(wǎng)絡(luò)安全服務(wù)，每個層次都有自己的貢獻(xiàn)。

2.2 加強網(wǎng)絡(luò)安全防火墻的功能

所謂的防火墻不是真正意義上的墻，這是在對訪問進(jìn)行控制的一種方法，這是屬于安全模式狀態(tài)下，也是整個結(jié)構(gòu)的安全性能的重要組成部分，其作用是阻擋內(nèi)外的不安全的訪問以及危險數(shù)據(jù)的交流。在互聯(lián)網(wǎng)中，它能夠隔離出互聯(lián)網(wǎng)中有風(fēng)險性的網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的連接，這樣就有效的加強了內(nèi)部網(wǎng)絡(luò)整體的安全性能。二零一零防火墻用途就是在網(wǎng)絡(luò)的接入處對其通訊的數(shù)據(jù)進(jìn)行檢查，受到了企業(yè)安全政策的控制，進(jìn)行拒絕或允許或是檢測的情況下的互相交換的信息，其防火墻自身就是有高抗攻擊的，在對網(wǎng)絡(luò)數(shù)據(jù)交換與訪問過程進(jìn)行檢測與控制，這樣對網(wǎng)絡(luò)的安全也是一個保障，有以下集中功能：有著數(shù)據(jù)在進(jìn)出互聯(lián)網(wǎng)的過濾作用，對網(wǎng)絡(luò)進(jìn)出訪問做一個集中的管理，檢查出非法訪問的行為，對其內(nèi)容與活動進(jìn)行記錄，針對網(wǎng)絡(luò)攻擊有著檢測與警告的作用。

通常防火墻具有以下功能：過濾進(jìn)出的數(shù)據(jù)；管理進(jìn)出的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊進(jìn)行檢測和報警。網(wǎng)絡(luò)級防火墻可以將從數(shù)據(jù)包中獲取的信息（源地址、目標(biāo)地址、所用端口等）同規(guī)則表進(jìn)行比較。在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包的通過。網(wǎng)絡(luò)級防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。應(yīng)用級防火墻又稱為應(yīng)用級網(wǎng)關(guān)，它的另外一個名字就是服務(wù)器。網(wǎng)絡(luò)級防火墻可以按照IP地址禁止外部對內(nèi)部的訪問，但不能控制內(nèi)部人員對外的訪問。服務(wù)器隔離在風(fēng)險網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，內(nèi)外不能直接交換數(shù)據(jù)，數(shù)據(jù)交換由服務(wù)器“”完成。

2.3 加強虛擬專用網(wǎng)VPN技術(shù)

VPN就是虛擬專用網(wǎng)絡(luò)，是伴隨著互聯(lián)網(wǎng)的前進(jìn)而飛速壯大起來的一種措施。在現(xiàn)代化單位的經(jīng)濟(jì)往來活動中以及售前售后的工作中都會越來越多的使用到互聯(lián)網(wǎng)技術(shù)，甚至在培訓(xùn)以及合作中都會使用到。很多單位都慢慢的使用互聯(lián)網(wǎng)架設(shè)到原有的私有網(wǎng)絡(luò)中。這種使用互聯(lián)網(wǎng)來輸送私有資料慢慢構(gòu)成的邏輯網(wǎng)絡(luò)就是VPN。

隧道措施。隧道措施基于互聯(lián)網(wǎng)為根本，在互聯(lián)網(wǎng)的各項根本設(shè)備中傳輸信息的方法。數(shù)據(jù)資料或者負(fù)荷運用隧道的方式進(jìn)行輸送可以是不一樣的條約數(shù)據(jù)幀或者數(shù)據(jù)包。隧道協(xié)議把別的協(xié)議的數(shù)據(jù)幀或者數(shù)據(jù)包再次進(jìn)行封裝然后再進(jìn)行輸送。新的幀頭供應(yīng)路由數(shù)據(jù)，進(jìn)而能夠傳遞再次進(jìn)行封裝進(jìn)行輸送的數(shù)據(jù)經(jīng)過網(wǎng)絡(luò)進(jìn)行輸送。

加解密技術(shù)。對通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，確保網(wǎng)絡(luò)其他未授權(quán)的用戶無法讀取該信息。加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，VPN可直接利用。

密鑰管理技術(shù)。密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。使用者與設(shè)備身份認(rèn)證技術(shù)。VPN方案必須能夠驗證用戶身份并嚴(yán)格控制只有授權(quán)用戶才能訪問VPN。

2.4 完善網(wǎng)絡(luò)信息安全機制

探索電腦網(wǎng)絡(luò)安全的系統(tǒng)構(gòu)造，就是探索怎樣能夠從管制以及措施上確保網(wǎng)絡(luò)的安全性能夠準(zhǔn)確完好的完成，網(wǎng)絡(luò)對于安全方面的需要能夠獲得滿足。一定要增強網(wǎng)絡(luò)在安全體制方面的建造，主要包含加密體制、數(shù)字簽名體制、訪問掌控體制、數(shù)據(jù)全面性體制、辨別交換體制，信息交流玉傳遞填充體制，路由掌控，公證體制。

2.5 網(wǎng)絡(luò)安全政策法規(guī)與標(biāo)準(zhǔn)

如今，中國的標(biāo)準(zhǔn)信息安全條例有包括國內(nèi)外的100多條。信息的安全規(guī)范也是對于信息保障結(jié)構(gòu)的不可缺少的一部分，也是政府在宏觀調(diào)控上的憑證。信息安全是國家安全的必然要求，也是對于我國利益維護(hù)的重要舉措，做好了信息的安全就能夠提高網(wǎng)絡(luò)上安全產(chǎn)品可信的程度，使產(chǎn)品之間實現(xiàn)互聯(lián)與安全操作，為計算機的安全提供了有效的保障。王麗香（2004）網(wǎng)絡(luò)的信息安全問題已經(jīng)引起全社會的普遍關(guān)注，為了興利除弊，使網(wǎng)絡(luò)健康發(fā)展，維護(hù)國家安全和社會共公利益，可以借助法律力量，可以利用法律所具有的嚴(yán)肅性、強制性、不可侵犯性等特點，強有力地規(guī)范約束社會上種種不利于網(wǎng)絡(luò)安全的行為。為防治網(wǎng)絡(luò)違法、有害信息的傳播，制止網(wǎng)絡(luò)犯罪提供了法律依據(jù)。

2.6 加強網(wǎng)絡(luò)安全管理

在信息安全方面出現(xiàn)威脅百分之六十以上的原因是因為管制不當(dāng)產(chǎn)生的。網(wǎng)絡(luò)體系的安全管制主要由于三個準(zhǔn)則：多人承擔(dān)準(zhǔn)則，擔(dān)任時間有限準(zhǔn)則，職責(zé)相互獨立準(zhǔn)則。李亮提出增強網(wǎng)絡(luò)內(nèi)部管制工作者以及操作者的安全思想，許多電腦體系大多使用口令密碼進(jìn)行掌控體系中的資源查詢，這是在預(yù)防病毒入侵的措施中，最簡便容易的辦法之一。網(wǎng)絡(luò)管制工作者以及終端操縱工作者按照自己的工作內(nèi)容，選用不一樣的賬號密碼，對運用軟件數(shù)據(jù)開展健康合理的操縱，避免顧客搜索到跨級別的內(nèi)容。

參考文獻(xiàn)

[1]彭 ，高 .計算機網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].計算機與數(shù)字工程，2011，（1）：121-124.

第2篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

Abstract: By analysis of the unsafe factors in the enterprise computer network,this paper shows the components of the enterprise computer network security defense system,and then proposes the corresponding strategies for constructing enterprise computer network security defense system.

關(guān)鍵詞: 企業(yè)計算機;不安全因素;防御體系;策略;安全

Key words: computer network;unsafe factor;defense system;strategies;safety

中圖分類號:G203 文獻(xiàn)標(biāo)識碼:A文章編號:1006-4311(2010)05-0149-02

0引言

隨著科學(xué)技術(shù)的發(fā)展,計算機網(wǎng)絡(luò)在企業(yè)的生產(chǎn)和經(jīng)營活動中,發(fā)揮著越來越重要的作用。近年來,許多企業(yè)都相繼實現(xiàn)了企業(yè)內(nèi)部的信息化。企業(yè)的生產(chǎn)和經(jīng)營都離不開計算機網(wǎng)絡(luò)系統(tǒng)的支撐,因此,計算機網(wǎng)絡(luò)的安全穩(wěn)定對于企業(yè)的生存和發(fā)展至關(guān)重要。構(gòu)建了一個安全、穩(wěn)定、可靠的計算機網(wǎng)絡(luò)系統(tǒng)是企業(yè)當(dāng)前亟待解決的重大問題。

1企業(yè)計算機網(wǎng)絡(luò)中存在的不安全因素

1.1 網(wǎng)絡(luò)內(nèi)部。在這種情況下,往往是由操作失誤造成的,這是比較常見的原因,可以通過嚴(yán)格的管理和個人的技術(shù)培訓(xùn)來解決。

1.2 硬件故障。計算機是一個系統(tǒng)的整體,設(shè)備內(nèi)部任何一種硬件發(fā)生故障都可能導(dǎo)致信息丟失, 甚至造成整個系統(tǒng)的癱瘓。網(wǎng)絡(luò)線路的物理損傷、網(wǎng)絡(luò)的不規(guī)范擴(kuò)展和網(wǎng)絡(luò)連接的混亂是目前造成硬件故障的三個最主要的原因。

1.3 對于網(wǎng)絡(luò)的安全防護(hù)措施來說,防火墻是必不可少的手段,也是最有效的方法之一,其作用就是對內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)進(jìn)行防護(hù)和隱藏,防止來自網(wǎng)絡(luò)外部的攻擊和侵害,但是任何措施都是有漏洞的。防火墻的最大問題就是能較好的防止來自外部網(wǎng)絡(luò)的威脅,但是對于來自網(wǎng)絡(luò)內(nèi)部的侵害,防火墻就無能為力了。

1.4 安全工具的使用受到人為因素的影響。任何工具都是人發(fā)明和使用的,只要是與人有關(guān)的,就必然不是完美的。對數(shù)據(jù)安全來說,有時最嚴(yán)重的威脅通常來自于企業(yè)內(nèi)部,員工的失誤可能威脅信息的安全或?qū)е虏《镜膫鞑ァ＿€有極少數(shù)員工基于不同的目的設(shè)法竊取超級用戶口令, 在未經(jīng)授權(quán)的情況下訪問機密信息。除了專業(yè)技術(shù)人員之外,大部分企業(yè)員工對信息安全的認(rèn)識不足,如果沒有這種意識和認(rèn)識,有再多的技術(shù)安全措施和屏障,也難以達(dá)到預(yù)期的目的。一個安全工具保護(hù)效果能否實現(xiàn),不光是看技術(shù)設(shè)計的是否出色,更重要的取決于管理人員的素質(zhì)和責(zé)任心。

1.5 只要有程序, Bug就可能存在,甚至安全的漏洞也可能存在于安全工具本身。現(xiàn)在人們常用的個人計算機操作系統(tǒng)其實并不安全,存在很多的缺陷和漏洞,一些病毒和木馬就會利用這些漏洞對網(wǎng)絡(luò)安全進(jìn)行大肆攻擊。很多操作系統(tǒng)都配備了用以改進(jìn)系統(tǒng)管理和提高服務(wù)質(zhì)量的工具軟件,但這些工具同時也會被黑客利用去收集非法信息及加強攻擊力度:如NBTSTA T 命令是用來給系統(tǒng)管理員提供遠(yuǎn)程節(jié)點的信息的,但是破壞者也用這一命令收集對系統(tǒng)有威脅性的信息;區(qū)域控制軟件的身份信息、NetBIOS 的名字、IIS名甚至是用戶名,這些信息足以被黑客用來破譯口令;網(wǎng)包嗅探器(PacketSn iffer),系統(tǒng)管理員用此工具來監(jiān)控及分發(fā)網(wǎng)包,以便找出網(wǎng)絡(luò)的潛在問題,同時也為黑客攻擊網(wǎng)絡(luò)提供了機會。

1.6 黑客的攻擊手段雖然種類繁多,但主要利用以下兩類漏洞:①TCP/IP協(xié)議自設(shè)設(shè)計的問題,這是因為TCP/IP協(xié)議一開始設(shè)計的時候,是基于互相信任的網(wǎng)絡(luò)的,故而缺乏對付網(wǎng)絡(luò)惡意攻擊的手段;②一些操作系統(tǒng)的設(shè)計漏洞,這一點我們在上文中已經(jīng)提到。現(xiàn)今的社會,互聯(lián)網(wǎng)技術(shù)和計算機技術(shù)發(fā)展的越來越快,而網(wǎng)絡(luò)黑客的攻擊水平也是水漲船高,各種攻擊手段和病毒式層出不窮,并且技術(shù)越來越高,越來越難以防范,幾乎每天都有新的系統(tǒng)安全問題出現(xiàn)。與之相比,網(wǎng)絡(luò)安全防護(hù)工具的發(fā)展明顯滯后,究其原因,是因為黑客是一個群體,遍布全世界各地,而負(fù)責(zé)網(wǎng)絡(luò)安全防護(hù)工具開發(fā)的只是一些固定的網(wǎng)絡(luò)技術(shù)公司和開發(fā)人員,以有限的安全技術(shù)人員對付無限的龐大黑客群體,再加上這種對策都是被動的,總是等到新的木馬或病毒出現(xiàn)后才會有相應(yīng)的防護(hù)工具產(chǎn)生,其結(jié)果可想而知。

2計算機網(wǎng)絡(luò)安全防御體系的組成部分

目前,雖然企業(yè)計算機網(wǎng)絡(luò)的生產(chǎn)網(wǎng)和辦公網(wǎng)之間有防火墻的隔離,但是二者交換數(shù)據(jù)時并沒有進(jìn)行IP 轉(zhuǎn)換,從本質(zhì)上來說,二者都屬于統(tǒng)一網(wǎng)絡(luò),所以我們這里將因此把生產(chǎn)網(wǎng)安全域和辦公網(wǎng)安全域都稱為內(nèi)部安全域。每一個內(nèi)部安全域都配有一套完整的平臺,部署在辦公網(wǎng),該平臺負(fù)責(zé)用戶管理和辦公網(wǎng)與生產(chǎn)網(wǎng)認(rèn)證授權(quán),外網(wǎng)平臺負(fù)責(zé)對外部用戶的身份認(rèn)證和授權(quán)。

2.1 路由器架構(gòu)網(wǎng)絡(luò)的第一層設(shè)備就是路由器,它也是網(wǎng)絡(luò)入侵者攻擊的首要目標(biāo),因此路由器有必要設(shè)置一定的過濾規(guī)則,濾掉被屏蔽的IP 地址和服務(wù)。

2.2 防火墻剛才我們在上文中已經(jīng)介紹過防火墻了。其執(zhí)行一種訪問控制尺度,可以通過設(shè)置,分出可訪問的IP地址和數(shù)據(jù)和不可訪問的IP地址和數(shù)據(jù),可訪問的IP和數(shù)據(jù)進(jìn)入防火墻的內(nèi)部網(wǎng)絡(luò),同時將禁止的用戶與數(shù)據(jù)拒絕,它可以最大限度地阻止網(wǎng)絡(luò)入侵者訪問自己的網(wǎng)絡(luò),并防止對內(nèi)網(wǎng)信息和數(shù)據(jù)進(jìn)行訪問、修改和刪除。所以,防火墻是一種得到廣泛應(yīng)用且公認(rèn)安全高效的的網(wǎng)絡(luò)安全手段,是保證網(wǎng)絡(luò)安全的最重要的環(huán)節(jié)之一。

2.3 入侵監(jiān)測系統(tǒng)在計算機網(wǎng)絡(luò)的關(guān)鍵部位安裝網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS),可以對網(wǎng)絡(luò)和信息系統(tǒng)訪問的異常行為進(jìn)行實時監(jiān)測和報警。IDS可以監(jiān)測網(wǎng)絡(luò)上所有的包(packets),捕捉危險或有惡意的動作,并及時發(fā)出報警信息。入侵監(jiān)測系統(tǒng)可以按照用戶指定的規(guī)則對端口進(jìn)行監(jiān)測、掃描。立體安全防御體系中普遍采用入侵監(jiān)測系統(tǒng),以識別防火墻不能識別的攻擊,如來自企業(yè)內(nèi)部的攻擊。目前,入侵檢測系統(tǒng)被認(rèn)為是對防火墻的必要補充,可對網(wǎng)絡(luò)資源進(jìn)行實時監(jiān)測,及時發(fā)現(xiàn)入侵者,防治合法用戶對資源的錯誤操作,與其他安全產(chǎn)品一起構(gòu)筑立體的安全防御體系。

2.4 物理隔離與信息交換系統(tǒng)物理隔離與信息交換系統(tǒng)又稱網(wǎng)閘,是運用物理隔離網(wǎng)絡(luò)安全技術(shù)設(shè)計的安全隔離系統(tǒng)。當(dāng)企業(yè)網(wǎng)內(nèi)部的生產(chǎn)系統(tǒng)因為信息化建設(shè)過程中對外網(wǎng)訪問的需求而影響內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全性及可用性時,物理隔離與信息交換系統(tǒng)能夠?qū)?nèi)部網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)進(jìn)行物理隔斷,可以及時阻止各種已知和未知的網(wǎng)絡(luò)層和操作系統(tǒng)層攻擊,它提供的安全性能比防火墻、入侵檢測系統(tǒng)等技術(shù)更好,既保證了物理的隔離,又實現(xiàn)了在線實時訪問不可信網(wǎng)絡(luò)所必需的數(shù)據(jù)交換。

本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文

2.5 交換機局域網(wǎng)通常采用以交換機為中心、路由器為邊界的網(wǎng)絡(luò)格局。交換機是該格局的核心,其最關(guān)鍵的工作是實現(xiàn)訪問控制功能和3 層交換功能。訪問控制對于交換機就是利用訪問控制列表ACL 來實現(xiàn)用戶對數(shù)據(jù)包按照源和目的地址、協(xié)議、源和目的端口等各項的不同要求進(jìn)行篩選和過濾。

2.6 應(yīng)用系統(tǒng)的認(rèn)證和授權(quán)支持

建立應(yīng)用系統(tǒng)能夠提升支撐平臺的安全性,應(yīng)用系統(tǒng)的保護(hù)功能包括以下幾個方面:①應(yīng)用系統(tǒng)網(wǎng)絡(luò)訪問漏洞控制。應(yīng)用系統(tǒng)要求軟件按照安全軟件標(biāo)準(zhǔn)開發(fā),在輸入級、對話路徑級和事務(wù)處理級做到安全無漏洞;集成的系統(tǒng)必須具有良好的自我恢復(fù)能力,避免內(nèi)部生產(chǎn)網(wǎng)中的系統(tǒng)因受攻擊而導(dǎo)致癱瘓、數(shù)據(jù)破壞或丟失。②數(shù)字簽名與認(rèn)證。應(yīng)用系統(tǒng)須利用CA 提供的數(shù)字證書進(jìn)行應(yīng)用級的身份認(rèn)證,對文件和數(shù)據(jù)進(jìn)行數(shù)字簽名和認(rèn)證,保證文件和數(shù)據(jù)的完整性以及防止源發(fā)送者抵賴。③數(shù)據(jù)加密。對重要的數(shù)據(jù)進(jìn)行加密存儲。

2.7 操作系統(tǒng)的安全將所有不使用的服務(wù)和端口關(guān)閉,并將不使用的磁盤文件清除,建立一個內(nèi)部網(wǎng)操作系統(tǒng)漏洞管理服務(wù)器,提供對官方補丁下載,以保證操作系統(tǒng)的安全性。

2.8 病毒防護(hù)將系統(tǒng)診斷工具(如360)與網(wǎng)絡(luò)版的殺毒軟件(如NOD)相結(jié)合,可以構(gòu)成比較完整的病毒防護(hù)體系,能夠有效地防控病毒的傳播,保證網(wǎng)絡(luò)運行的安全性和穩(wěn)定性。

2.9 網(wǎng)絡(luò)隔離度保障對未經(jīng)過安全過濾和檢查就違規(guī)接入內(nèi)部網(wǎng)的移動設(shè)備(筆記本電腦等)和新增設(shè)備進(jìn)行監(jiān)控;對內(nèi)部網(wǎng)中繞過防火墻的計算機或其他設(shè)備,違規(guī)接入網(wǎng)絡(luò)的行為進(jìn)行監(jiān)測;對物理隔離的網(wǎng)絡(luò)內(nèi)部設(shè)備違規(guī)接入因特網(wǎng)的行為進(jìn)行監(jiān)控;對違反規(guī)定將專網(wǎng)專用的計算機帶出網(wǎng)絡(luò)進(jìn)入到其他網(wǎng)絡(luò)的行為進(jìn)行監(jiān)控;可提供IP 和MAC 地址綁定功能。

3構(gòu)建計算機網(wǎng)絡(luò)防御體系的策略

根據(jù)當(dāng)前企業(yè)計算機網(wǎng)絡(luò)的發(fā)展現(xiàn)狀、發(fā)展趨勢、操作系統(tǒng)對網(wǎng)絡(luò)傳輸與服務(wù)的要求以及安全保密等相關(guān)規(guī)定,構(gòu)建一個企業(yè)計算機網(wǎng)絡(luò)安全防御體系應(yīng)注意以下幾點:①企業(yè)計算機網(wǎng)絡(luò)結(jié)構(gòu)必須做到實現(xiàn)外部服務(wù)網(wǎng)與內(nèi)部服務(wù)網(wǎng)的分離;②對信息系統(tǒng)的安全等級要進(jìn)行劃分,以便在進(jìn)行信息管理時使用不同的安全域;③在網(wǎng)絡(luò)安全上必須充分開展對網(wǎng)絡(luò)訪問控制、防火墻設(shè)置、網(wǎng)絡(luò)動態(tài)隔離和病毒網(wǎng)關(guān)及日志的管理和維護(hù);④對網(wǎng)絡(luò)的流量要進(jìn)行充分控制和保護(hù);⑤基于數(shù)字證書的用戶身份認(rèn)證、授權(quán)管理建立完善的訪問控制設(shè)施;⑥必須建立日志和審計系統(tǒng)。

要建立企業(yè)計算機安全網(wǎng)絡(luò)防御體系,必須將重要行業(yè)的原有的平面結(jié)構(gòu)的計算機網(wǎng)絡(luò)調(diào)整為層次保護(hù)結(jié)構(gòu)的網(wǎng)絡(luò),形成外部網(wǎng)、辦公網(wǎng)和生產(chǎn)網(wǎng)的三層結(jié)構(gòu)。在外層部署與互聯(lián)網(wǎng)的接口,外層網(wǎng)絡(luò)屏蔽內(nèi)層網(wǎng)絡(luò),實現(xiàn)外層網(wǎng)絡(luò)對內(nèi)層網(wǎng)絡(luò)的保護(hù)。在不同的網(wǎng)絡(luò)區(qū)域邊界,通過邊界保衛(wèi)策略實施多點控制,使網(wǎng)絡(luò)劃分為不同級別的保護(hù)層次和區(qū)域,控制各層次之間的信息流。

4結(jié)語

第3篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

一、企業(yè)網(wǎng)絡(luò)安全風(fēng)險狀況概述

企業(yè)網(wǎng)絡(luò)是在企業(yè)范圍內(nèi)，在一定的思想和理論指導(dǎo)下，為企業(yè)提供資源共享、信息交流和協(xié)同工作的計算機網(wǎng)絡(luò)。隨著我國各地企業(yè)網(wǎng)數(shù)量的迅速增加，如何實現(xiàn)企業(yè)網(wǎng)之間資源共享、信息交流和協(xié)同工作以及保證企業(yè)網(wǎng)絡(luò)安全的要求是越來越強烈。與其它網(wǎng)絡(luò)一樣，企業(yè)網(wǎng)也同樣面臨著各種各樣的網(wǎng)絡(luò)安全問題。但是在企業(yè)網(wǎng)絡(luò)建設(shè)的過程中，由于對技術(shù)的偏好和運營意識的不足，普遍都存在”重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，關(guān)鍵性應(yīng)用的普及和深入，企業(yè)網(wǎng)絡(luò)在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證企業(yè)網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題，解決網(wǎng)絡(luò)安全問題刻不容緩，并且逐漸引起了各方面的重視。

由于Internet上存在各種各樣不可預(yù)知的風(fēng)險，網(wǎng)絡(luò)入侵者可以通過多種方式攻擊內(nèi)部網(wǎng)絡(luò)。此外，由于企業(yè)網(wǎng)用戶網(wǎng)絡(luò)安全尚欠缺，很少考慮實際存在的風(fēng)險和低效率，很少學(xué)習(xí)防范病毒、漏洞修復(fù)、密碼管理、信息保密的必備知識以及防止人為破壞系統(tǒng)和篡改敏感數(shù)據(jù)的有關(guān)技術(shù)。

因此，在設(shè)計時有必要將公開服務(wù)器和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對網(wǎng)絡(luò)通訊進(jìn)行有效的過濾，使必要的服務(wù)請求到達(dá)主機，對不必要的訪問請求加以拒絕。

二、企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計與構(gòu)建

網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實際上是入侵者與反入侵者之間的持久的對抗過程。網(wǎng)絡(luò)安全體系不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)。人們力圖建立的是一個網(wǎng)絡(luò)安全的動態(tài)防護(hù)體系，是動態(tài)加靜態(tài)的防御，是被動加主動的防御甚至抗擊，是管理加技術(shù)的完整安全觀念。但企業(yè)網(wǎng)絡(luò)安全問題不是在網(wǎng)絡(luò)中加一個防火墻就能解決的問題，需要有一個科學(xué)、系統(tǒng)、全面的網(wǎng)絡(luò)安全結(jié)構(gòu)體系。

（一）企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計目標(biāo)

企業(yè)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計的目標(biāo)是使在企業(yè)網(wǎng)絡(luò)中信息的采集、存儲、處理、傳播和運用過程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保護(hù)的一種狀態(tài)。在網(wǎng)絡(luò)上傳遞的信息沒有被故意的或偶然的非法授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識、控制，網(wǎng)絡(luò)信息的保密性、完整性、可用性、可控性得到良好保護(hù)的狀態(tài)。

（二）企業(yè)網(wǎng)防火墻的部署

1.安全策略。所有的數(shù)據(jù)包都必須經(jīng)過防火墻;只有被允許的數(shù)據(jù)包才能通過防火墻;防火墻本身要有預(yù)防入侵的功能;默認(rèn)禁止所有的服務(wù)，除非是必須的服務(wù)才被允許。

2.系統(tǒng)設(shè)計。在互聯(lián)網(wǎng)與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺硬件防火墻，在內(nèi)外網(wǎng)之間建立一道安全屏障。其中WEB、E一mail、FTP等服務(wù)器放置在防火墻的DMZ區(qū)(即“非軍事區(qū)”，是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信以保證內(nèi)網(wǎng)安全)，與內(nèi)網(wǎng)和外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接企業(yè)網(wǎng)，外網(wǎng)口通過電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。

3.入侵檢測系統(tǒng)的設(shè)計和部署。入侵檢測系統(tǒng)主要檢測對網(wǎng)絡(luò)系統(tǒng)各主要運營環(huán)節(jié)的實時入侵，在企業(yè)網(wǎng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間設(shè)置瑞星RIDS一100入侵檢測系統(tǒng)，與防火墻并行的接入網(wǎng)絡(luò)中，監(jiān)測來自互聯(lián)網(wǎng)、企業(yè)網(wǎng)內(nèi)部的攻擊行為。發(fā)現(xiàn)入侵行為時，及時通知防火墻阻斷攻擊源。

4.企業(yè)網(wǎng)絡(luò)安全體系實施階段。

第一階段：基本安全需求。第一階段的目標(biāo)是利用已有的技術(shù)，首先滿足企業(yè)網(wǎng)最迫切的安全需求，所涉及到的安全內(nèi)容有：

①滿足設(shè)備物理安全

②VLAN與IP地址的規(guī)劃與實施

③制定相關(guān)安全策略

④內(nèi)外網(wǎng)隔離與訪問控制

⑤內(nèi)網(wǎng)自身病毒防護(hù)

⑥系統(tǒng)自身安全

⑦相關(guān)制度的完善

第二階段：較高的安全需求。這一階段的目標(biāo)是在完成第一階段安全需求的前提下，全面實現(xiàn)整個企業(yè)網(wǎng)絡(luò)的安全需求。所涉及的安全內(nèi)容有：

①入侵檢測與保護(hù)

②身份認(rèn)證與安全審計

③流量控制

④內(nèi)外網(wǎng)病毒防護(hù)與控制

⑤動態(tài)調(diào)整安全策略

第4篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

關(guān)鍵詞 虛擬局域網(wǎng)；校園網(wǎng)絡(luò)；安全體系

中圖分類號TP39 文獻(xiàn)標(biāo)識碼A 文章編號 1674-6708（2013）83-0202-02

1 網(wǎng)絡(luò)安全體系的定義

通常情況下，為了能夠保證校園網(wǎng)絡(luò)運行的安全穩(wěn)定，校園網(wǎng)的大部分?jǐn)?shù)據(jù)資源都只允許在內(nèi)部中完成訪問。例如校園網(wǎng)絡(luò)的OA系統(tǒng)、校內(nèi)郵件系統(tǒng)等等，這些系統(tǒng)的訪問和使用都必須在校園網(wǎng)內(nèi)部操作，嚴(yán)重制約了教師、學(xué)生在個人家庭中通過訪問校園網(wǎng)來收取學(xué)校通知、查看個人成績、瀏覽校園新聞等功能。如果校園網(wǎng)內(nèi)部應(yīng)用服務(wù)器一旦發(fā)生了故障，如果專業(yè)管理人員此時也沒有在學(xué)校時，就無法完成對校園網(wǎng)的維護(hù)操作，如果部分教師由于需要出差完成科研交流等工作時，也無法查看關(guān)于科研項目的校內(nèi)數(shù)據(jù)資源。

網(wǎng)絡(luò)安全體系指的是一套完整的計劃設(shè)計，主要包括能夠為網(wǎng)絡(luò)用戶提供安全穩(wěn)定的服務(wù)；能夠保證網(wǎng)絡(luò)中所有系統(tǒng)的正常運行服務(wù)；對網(wǎng)絡(luò)中系統(tǒng)的安全級別提出要求并完成設(shè)置。一套完整的網(wǎng)絡(luò)安全體系中的必備設(shè)計原則有數(shù)據(jù)傳輸安全、計算機系統(tǒng)安全、網(wǎng)絡(luò)用戶安全、網(wǎng)絡(luò)管理安全、物理架構(gòu)安全等等，既要能夠?qū)阂獾耐饨缛肭中袨檫M(jìn)行制止，還要能夠同時應(yīng)對網(wǎng)絡(luò)中的其他安全威脅。

2 虛擬局域網(wǎng)關(guān)鍵技術(shù)

2.1用戶認(rèn)證技術(shù)

虛擬局域網(wǎng)中的用戶身份核實確認(rèn)大部分都是通過用戶認(rèn)證技術(shù)實現(xiàn)的，對系統(tǒng)用戶進(jìn)行相應(yīng)授權(quán)之后能夠保證控制訪問資源。一般情況下，網(wǎng)絡(luò)認(rèn)證協(xié)議采用的都是報文摘要技術(shù)，主要是用于驗證數(shù)據(jù)信息的完整性和對用戶身份進(jìn)行認(rèn)證，通過利用哈希（HASH）函數(shù)將數(shù)據(jù)報文的長度進(jìn)行一系列變換，使其能夠成為固定長度的報文摘要，但是由于哈希函數(shù)自身的特性又難以在不同的報文信息中將報文摘要變換成固定長度。

2.2數(shù)據(jù)加密技術(shù)

虛擬局域網(wǎng)數(shù)據(jù)傳輸?shù)倪^程中主要應(yīng)用的是數(shù)據(jù)加密技術(shù)，來實現(xiàn)對數(shù)據(jù)的偽裝和隱藏。但是，如果在傳輸?shù)倪^程中數(shù)據(jù)信息經(jīng)過互聯(lián)網(wǎng)產(chǎn)生了安全威脅，那么即使已經(jīng)通過了用戶認(rèn)證，也不能保證數(shù)據(jù)信息的安全傳輸。因此，在網(wǎng)絡(luò)發(fā)送端應(yīng)該將用戶認(rèn)證進(jìn)行加密之后再完成數(shù)據(jù)信息的傳輸，在網(wǎng)絡(luò)接收端通過用戶認(rèn)證之后再對數(shù)據(jù)信息進(jìn)行解密。密鑰類型主要包括對稱加密和非對稱加密兩種，在實際應(yīng)用中大多數(shù)采用的都是對稱加密措施，如果是機密數(shù)據(jù)信息則采取公鑰加密技術(shù)。

2.3訪問控制技術(shù)

訪問控制技術(shù)主要是對用戶是否能夠?qū)ο到y(tǒng)發(fā)起訪問進(jìn)行控制，運行具有相應(yīng)授權(quán)的用戶訪問系統(tǒng)資源，對沒有授權(quán)的用戶對系統(tǒng)資源發(fā)起訪問和獲取時立刻進(jìn)行阻止。

3 校園網(wǎng)絡(luò)安全體系設(shè)計

本文設(shè)計提出的基于虛擬局域網(wǎng)技術(shù)的校園網(wǎng)絡(luò)安全體系設(shè)計方案主要是為了解決某高校老校區(qū)與新校區(qū)之間信息互通、資源共享、專網(wǎng)整合的問題，由此構(gòu)建出一條專用的虛擬局域網(wǎng)安全通道，從而保證這些重要數(shù)據(jù)資源能夠在校園網(wǎng)中安全穩(wěn)定地傳輸。

3.1系統(tǒng)設(shè)計原則

1）安全保障

虛擬局域網(wǎng)系統(tǒng)的重要職能就是保證網(wǎng)絡(luò)的安全穩(wěn)定，以及在互聯(lián)網(wǎng)傳輸過程中數(shù)據(jù)信息的安全可靠，因此，虛擬局域網(wǎng)系統(tǒng)的安全保證必須包括用戶身份認(rèn)證、數(shù)據(jù)信息保密和數(shù)據(jù)信息完整。

2）多平臺兼容

虛擬局域網(wǎng)系統(tǒng)的關(guān)鍵功能就是要保證用戶不受時間和地域的限制對系統(tǒng)資源發(fā)起訪問，以及當(dāng)用戶進(jìn)行移動辦公時要保證網(wǎng)絡(luò)連接的安全可靠。

3）訪問控制權(quán)限

校園網(wǎng)的虛擬局域網(wǎng)系統(tǒng)主要是為多個應(yīng)用程序提供保護(hù)的，因此要設(shè)置不同的用戶訪問控制策略，使得擁有不同權(quán)限的用戶能夠訪問相應(yīng)的系統(tǒng)資源。

4）平臺管理簡潔

虛擬局域網(wǎng)服務(wù)器應(yīng)該為用戶和系統(tǒng)管理員提供良好的應(yīng)用管理操作界面，在方便用戶對系統(tǒng)資源進(jìn)行訪問操作的同時，還要保證系統(tǒng)管理員的安全維護(hù)操作簡單便捷，更要為服務(wù)器與用戶之間的通問、安全日志等做好記錄。

3.2系統(tǒng)功能模型

根據(jù)校園網(wǎng)絡(luò)的實際安全需求和虛擬局域網(wǎng)系統(tǒng)的設(shè)計原則，虛擬局域網(wǎng)系統(tǒng)的功能模型主要包括用戶身份認(rèn)證模塊、數(shù)據(jù)傳輸模塊、訪問控制模塊和系統(tǒng)管理模塊。

1）用戶身份認(rèn)證模塊

虛擬局域網(wǎng)系統(tǒng)客戶端通過采取數(shù)字證書的認(rèn)證方式對用戶身份進(jìn)行核實；服務(wù)器對系統(tǒng)客戶端進(jìn)行認(rèn)證時需要采取不同的認(rèn)證方法，如果用戶通過遠(yuǎn)程網(wǎng)絡(luò)連接到虛擬局域網(wǎng)中，服務(wù)器則采用用戶名+密碼的認(rèn)證方式對用戶合法身份進(jìn)行識別，在校園網(wǎng)內(nèi)部則采取數(shù)字證書的方式對用戶身份進(jìn)行識別。

2）數(shù)據(jù)傳輸模塊

數(shù)據(jù)傳輸模塊的主要功能是采取相應(yīng)加密算法對數(shù)據(jù)進(jìn)行加密之后傳輸給接收方，以及對接收到的數(shù)據(jù)進(jìn)行解密。

3）訪問控制模塊

訪問控制模塊主要是根據(jù)已經(jīng)設(shè)置完成的訪問控制策略來控制系統(tǒng)中的資源是否能夠被用戶進(jìn)行訪問和操作。

4）系統(tǒng)管理模塊

系統(tǒng)管理模塊主要負(fù)責(zé)對虛擬局域網(wǎng)系統(tǒng)服務(wù)器的日常服務(wù)信息進(jìn)行記錄，包括訪問日期、訪問時間、網(wǎng)絡(luò)使用情況等等，并生成對應(yīng)的日志報告。

3.3系統(tǒng)詳細(xì)設(shè)計

本文提出的基于虛擬局域網(wǎng)技術(shù)的校園內(nèi)部網(wǎng)設(shè)計方案如圖1所示。

學(xué)校的新校區(qū)和老校區(qū)之間通過采用虛擬局域網(wǎng)技術(shù)，建立起一道校園內(nèi)部虛擬局域網(wǎng)通道，將新校區(qū)與老校區(qū)利用光纖實現(xiàn)網(wǎng)絡(luò)連接，將網(wǎng)絡(luò)的出口端設(shè)置在新校區(qū)。校園網(wǎng)中的財務(wù)管理系統(tǒng)、人事管理系統(tǒng)和一卡通管理系統(tǒng)都需要通過同一個鏈路與新校區(qū)進(jìn)行連接，因此，我們采用虛擬局域網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對鏈路進(jìn)行數(shù)據(jù)加密，從而保證通過這條鏈路傳輸?shù)臄?shù)據(jù)能夠安全可靠。

校園網(wǎng)中的一般用戶的訪問控制策略安全級別的設(shè)置可以相對較低，一般用戶安全級別如果設(shè)置過高則會耗費大量的系統(tǒng)資源，造成無法訪問或網(wǎng)絡(luò)癱瘓的情況出現(xiàn)。對于校園網(wǎng)中的財務(wù)管理部門、人事管理部門和后勤服務(wù)部門來說，應(yīng)該采取兩層架構(gòu)隔離的方法接入到校園網(wǎng)中，再通過內(nèi)部網(wǎng)關(guān)協(xié)議與核心交換機連接，從而保證在新校區(qū)與老校區(qū)之間實現(xiàn)數(shù)據(jù)加密傳輸。

4結(jié)論

綜上所述，本文從校園網(wǎng)實際需求角度出發(fā)，將虛擬局域網(wǎng)技術(shù)應(yīng)用到校園網(wǎng)建設(shè)當(dāng)中，提出了一套校園網(wǎng)絡(luò)安全體系設(shè)計方案，能夠有效保證新校區(qū)與老校區(qū)之間的數(shù)據(jù)通信、數(shù)據(jù)共享和數(shù)據(jù)整合安全，具有較強的理論指導(dǎo)意義。

參考文獻(xiàn)

第5篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

隨著世界互聯(lián)網(wǎng)技術(shù)在全球經(jīng)濟(jì)、文化等領(lǐng)域的飛速發(fā)展，計算機網(wǎng)絡(luò)技術(shù)已經(jīng)得到了廣泛的應(yīng)用，網(wǎng)絡(luò)以其實用性、高效性、便捷性深入滲透到各行各業(yè)中并逐漸改善行業(yè)的產(chǎn)業(yè)結(jié)構(gòu)、經(jīng)營模式、管理方式。近年來，網(wǎng)絡(luò)信息化已經(jīng)應(yīng)用到廣播電視臺的制作、播出、傳播、發(fā)射等各個環(huán)節(jié)，使廣播電視臺的節(jié)目質(zhì)量、管理效率、影響范圍向新的高度邁進(jìn)。但網(wǎng)絡(luò)開放性的特點使信息安全面臨較多的安全隱患，如何防止因網(wǎng)絡(luò)信息安全風(fēng)險導(dǎo)致播出中斷、數(shù)據(jù)泄露、財務(wù)損失等嚴(yán)重后果成為了廣播電視臺面臨的新難題。為了提高廣播電視行業(yè)對網(wǎng)絡(luò)信息安全風(fēng)險的認(rèn)識，本文構(gòu)建了廣播電視網(wǎng)絡(luò)信息安全風(fēng)險指標(biāo)體系，并運用系統(tǒng)動力學(xué)建立風(fēng)險的因果關(guān)系圖，分析各個風(fēng)險之間的相關(guān)關(guān)系。

袁愛軍從企業(yè)所面臨的網(wǎng)絡(luò)信息安全問題出發(fā)，提出了操作系統(tǒng)安全風(fēng)險、管理安全風(fēng)險、應(yīng)用安全風(fēng)險及網(wǎng)絡(luò)結(jié)構(gòu)安全風(fēng)險四個主要風(fēng)險，并對風(fēng)險因素進(jìn)行全面、系統(tǒng)的分析[1]。李蘭瑛等結(jié)合某校園網(wǎng)絡(luò)系統(tǒng)的特點識別相關(guān)風(fēng)險并運用灰色評估法在風(fēng)險評價方面的優(yōu)勢建立信息系統(tǒng)風(fēng)險多層灰色評估模型，分析了網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險灰色綜合評估過程[2]。袁亮首先詳細(xì)分析了信息安全的概念和特點，結(jié)合企業(yè)控制信息安全所面臨的問題包括安全問題、管理問題和成本問題提出風(fēng)險管理對策和建議[3]。吉嵐等詳細(xì)研究了各高校信息安全風(fēng)險的特點以及高校網(wǎng)絡(luò)安全技術(shù)的應(yīng)用效果，提出了通過系統(tǒng)的運用網(wǎng)絡(luò)安全技術(shù)保障高校網(wǎng)絡(luò)信息安全的措施，最后以赤峰學(xué)院為例加以驗證[4]。

通過對廣播電視網(wǎng)絡(luò)信息安全風(fēng)險研究成果進(jìn)行梳理，發(fā)現(xiàn)學(xué)者們更傾向于對某一個風(fēng)險階段或者單一風(fēng)險因素進(jìn)行研究，忽略了網(wǎng)絡(luò)信息安全的系統(tǒng)性以及風(fēng)險因素的交叉關(guān)聯(lián)性。梳理學(xué)者在系統(tǒng)動力學(xué)理論、網(wǎng)絡(luò)信息安全管理的研究成果，結(jié)合開化縣廣播電視臺網(wǎng)絡(luò)信息安全現(xiàn)狀歸納出研究較為集中和具有代表性的廣播電視網(wǎng)絡(luò)信息安全風(fēng)險因素，并發(fā)揮了系統(tǒng)動力學(xué)在風(fēng)險演化方面的優(yōu)勢。最終形成集“網(wǎng)絡(luò)攻擊風(fēng)險”、“技術(shù)安全風(fēng)險”、“管理風(fēng)險”、“外部環(huán)境風(fēng)險”的“廣播電視網(wǎng)絡(luò)信息安全風(fēng)險因素系統(tǒng)”，然后建立風(fēng)險因素系統(tǒng)動力學(xué)因果關(guān)系圖，識別出了風(fēng)險之間的相關(guān)性，為后續(xù)廣播電視網(wǎng)絡(luò)信息安全風(fēng)險的研究奠定了基礎(chǔ)。

1開化廣播電視臺網(wǎng)絡(luò)信息現(xiàn)狀

開化廣播電視臺目前共有4個自辦節(jié)目，其中三套電視節(jié)目，分別是圖文頻道、國家公園頻道、綜合頻道，一套廣播節(jié)目為動聽早班車電臺。開化廣播電視臺逐步建立網(wǎng)絡(luò)化、信息化系統(tǒng)，到目前為止已基本實現(xiàn)全臺網(wǎng)絡(luò)化管理。開化廣播電視網(wǎng)絡(luò)信息系統(tǒng)分為三類，第一類是外網(wǎng)系統(tǒng)，例如以開化新聞網(wǎng)為代表的門戶網(wǎng)站；第二類是與廣播電視政務(wù)及監(jiān)測監(jiān)控等相關(guān)的專用業(yè)務(wù)系統(tǒng)，例如廣播電視辦公網(wǎng)、廣播電視發(fā)射臺信號監(jiān)聽監(jiān)測網(wǎng)、廣播電視監(jiān)測網(wǎng)等；第三類是制作業(yè)務(wù)系統(tǒng)，例如廣播電視制播網(wǎng)。

2廣播電視網(wǎng)絡(luò)信息安全風(fēng)險評價指標(biāo)體系的分析與構(gòu)建

2.1廣播電視網(wǎng)絡(luò)信息安全風(fēng)險的識別依據(jù)

本文基于國內(nèi)外學(xué)者對網(wǎng)絡(luò)信息安全風(fēng)險指標(biāo)研究的基礎(chǔ)上，結(jié)合廣播電視臺網(wǎng)絡(luò)信息安全現(xiàn)狀，篩選出對廣播電視網(wǎng)絡(luò)信息安全影響較大的風(fēng)險因素，并設(shè)置風(fēng)險產(chǎn)生的后果包括數(shù)據(jù)損壞、播出中斷、敏感數(shù)據(jù)泄露、財務(wù)損失和名譽損失。通過邀請5位專家（開化廣播電視臺3位，網(wǎng)絡(luò)風(fēng)險領(lǐng)域?qū)＜?位）對風(fēng)險因素與產(chǎn)生的后果關(guān)聯(lián)度進(jìn)行評價，最終篩選出與風(fēng)險后果高度關(guān)聯(lián)的12個風(fēng)險因素。

2.2廣播電視網(wǎng)絡(luò)信息安全的特征和風(fēng)險構(gòu)建原則

2.2.1廣播電視網(wǎng)絡(luò)信息安全的特征

①完整性。指廣播電視網(wǎng)絡(luò)網(wǎng)絡(luò)信息在傳輸、交換、存儲和處理過程保持完整的特性，即保持網(wǎng)絡(luò)信息原樣性，網(wǎng)絡(luò)信息可以正常的生成，保障廣播電視節(jié)目的播出。

②保密性。指網(wǎng)絡(luò)信息在沒有授權(quán)的情況下不泄露給第三方或給其特供可以利用的信息的過程，即完全避免有用信息泄漏給非授權(quán)個人或?qū)嶓w，有用的網(wǎng)絡(luò)信息只能被已授權(quán)的個人或?qū)嶓w使用。

③可用性。網(wǎng)絡(luò)信息的可用性是指網(wǎng)絡(luò)信息可以被已授權(quán)的個人或?qū)嶓w訪問和使用，在網(wǎng)絡(luò)系統(tǒng)正常運營時能夠儲存可用信息，當(dāng)網(wǎng)絡(luò)系統(tǒng)遭受攻擊或病毒入侵時能夠快速恢復(fù)可用信息并再次使用的特征。

④可審查性。指廣播電視網(wǎng)絡(luò)信息交互過程中，可以確認(rèn)信息參與者的身份，以及參與者所提供的信息的真實同一性，并將信息存儲并記錄，使信息有相關(guān)的記錄可以查詢。

⑤可控性。網(wǎng)絡(luò)信息可控性是指在廣播電視網(wǎng)絡(luò)系統(tǒng)中任何信息的生成、傳播、輸出和具體內(nèi)容可以在一定范圍內(nèi)被管理控制的特性。

2.2.2廣播電視網(wǎng)絡(luò)信息安全風(fēng)險指標(biāo)體系構(gòu)建原則

廣播電視網(wǎng)絡(luò)信息安全風(fēng)險指標(biāo)體系的構(gòu)建不要遵循。廣播電視網(wǎng)絡(luò)信息安全風(fēng)險指標(biāo)的構(gòu)建基于以下原則：

①科學(xué)性原則。風(fēng)險指標(biāo)體系的構(gòu)建要客觀真實的反映出廣播電視網(wǎng)絡(luò)信息系統(tǒng)的實際情況，風(fēng)險指標(biāo)的選取必須要有正確性、全面性和可靠性，盡量防止人為因素的傾向性，從而建立科學(xué)合理的風(fēng)險指標(biāo)體系。

②系統(tǒng)性原則。廣播電視網(wǎng)絡(luò)信息安全風(fēng)險不是每個單一風(fēng)險的簡單疊加，選取風(fēng)險指標(biāo)時需考慮風(fēng)險之間的相互關(guān)聯(lián)性和傳遞性。風(fēng)險指標(biāo)要包含廣播電視網(wǎng)絡(luò)信息安全所涉及的各個方面，不僅要有影響到廣播電視播出安全的直接風(fēng)險因素，還要有從側(cè)面導(dǎo)致播出隱患的間接風(fēng)險因素。因此，要合理構(gòu)造廣播電視網(wǎng)絡(luò)信息安全風(fēng)險指標(biāo)體系層次結(jié)構(gòu)，層次之間每層上層指標(biāo)都要有相應(yīng)的下層指標(biāo)與其相對應(yīng)。

②實用性原則。所選風(fēng)險指標(biāo)要有可操作性，應(yīng)與廣播電視網(wǎng)絡(luò)信息安全密切相關(guān)，并能夠正確反映廣播電視臺在網(wǎng)絡(luò)化建設(shè)過程中所遇到的問題和不足。

2.3廣播電視網(wǎng)絡(luò)信息安全風(fēng)險指標(biāo)體系的構(gòu)建內(nèi)容

本文依據(jù)廣播電視網(wǎng)絡(luò)信息安全的特點構(gòu)建風(fēng)險指標(biāo)體系，擬將廣播電視網(wǎng)絡(luò)信息安全風(fēng)險指標(biāo)體系分為三級指標(biāo)層。一級指標(biāo)層為廣播電視網(wǎng)絡(luò)信息安全總體風(fēng)險組成，二級指標(biāo)層分別由網(wǎng)絡(luò)攻擊風(fēng)險、技術(shù)安全風(fēng)險、管理風(fēng)險、外部環(huán)境風(fēng)險構(gòu)成，三級指標(biāo)層由影響各二級指標(biāo)的風(fēng)險因素組成，如表2所示。

2.3.1網(wǎng)絡(luò)風(fēng)險

主要是由黑客進(jìn)行網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒傳播帶來的風(fēng)險，由于廣播電視影響范圍廣、傳播速度快的特點容易成為黑客組織攻擊的目標(biāo)，目前黑客不僅僅是個人行為，而是已經(jīng)形成組織嚴(yán)密的黑色產(chǎn)業(yè)。一旦廣播電視網(wǎng)絡(luò)受到黑客攻擊或病毒入侵會導(dǎo)致播出中斷、網(wǎng)絡(luò)信息泄露、篡改播出內(nèi)容等嚴(yán)重后果，甚至?xí)斐刹涣嫉纳鐣绊憽?/p>

2.3.2技術(shù)安全風(fēng)險

開化廣播電視臺目前計算機所用的操作系統(tǒng)大部分比較落后，沒有及時更換最新系統(tǒng)，使系統(tǒng)漏洞增加，加大了網(wǎng)絡(luò)攻擊風(fēng)險發(fā)生的可能性。同時系統(tǒng)的硬件配置僅僅以滿足當(dāng)前需要為主要目標(biāo)，未考慮與其他系統(tǒng)的兼容性，硬件配置良莠不齊，不能滿足網(wǎng)絡(luò)系統(tǒng)整體的安全防范能力。此外，部分設(shè)備存在老化現(xiàn)象，系統(tǒng)內(nèi)的核心設(shè)備、數(shù)據(jù)存儲設(shè)備等不能完成備份，可能會導(dǎo)致設(shè)備故障從而影響廣播電視臺節(jié)目的安全播出。因此技術(shù)安全風(fēng)險由系統(tǒng)漏洞、硬件配置低和設(shè)備故障因素組成。

2.3.3管理風(fēng)險

管理風(fēng)險是由人員素質(zhì)、管理不規(guī)范、操作流程不完善和應(yīng)急預(yù)案缺陷帶來的風(fēng)險。目前廣播電視臺缺乏有效的管理體系和管理部門，不能規(guī)范的管理網(wǎng)絡(luò)系統(tǒng)中各安全控制組件，沒有及時更新網(wǎng)絡(luò)化管理操作流程，人員缺少網(wǎng)絡(luò)安全意識，安全防護(hù)水平較低不能有效的保護(hù)網(wǎng)絡(luò)信息安全，沒有建立完善的應(yīng)急預(yù)案，當(dāng)風(fēng)險發(fā)生時不能快速降低風(fēng)險損失，這些因素都會加大管理風(fēng)險發(fā)生的概率。

2.3.4外部環(huán)境風(fēng)險

外部環(huán)境風(fēng)險是由自然災(zāi)害、人為破壞和系統(tǒng)規(guī)模膨脹帶來的風(fēng)險。自然災(zāi)害如雷電、供水、火災(zāi)、地震等發(fā)生后會破壞網(wǎng)絡(luò)設(shè)施從引發(fā)風(fēng)險。人為破壞包括對網(wǎng)絡(luò)設(shè)施的損毀、對網(wǎng)絡(luò)信息系統(tǒng)的惡意攻擊等行為，系統(tǒng)規(guī)模膨脹是指隨著廣播電視網(wǎng)絡(luò)化進(jìn)程的發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，各個系統(tǒng)之間節(jié)點互聯(lián)互通、一旦關(guān)鍵節(jié)點出故障會影響到整個網(wǎng)絡(luò)系統(tǒng)的運行，發(fā)生播出故障的幾率不斷加大。

3基于系統(tǒng)動力學(xué)的廣播電視網(wǎng)絡(luò)信息安全風(fēng)險模型

3.1系統(tǒng)動力學(xué)理論

系統(tǒng)動力學(xué)是一門分析研究信息反饋系統(tǒng)的學(xué)科，也是基于系統(tǒng)論、信息論和控制論來認(rèn)識系統(tǒng)問題并解決系統(tǒng)問題的綜合性學(xué)科[5]。系統(tǒng)動力學(xué)中，通過因果反饋關(guān)系建立各級風(fēng)險指標(biāo)之間的關(guān)系，識別出可能引發(fā)不同風(fēng)險的相同風(fēng)險因素以及所造成的風(fēng)險后果，有利于管理者制定理想的風(fēng)險管理流程，并直觀的了解風(fēng)險的演化過程和控制情況。并且根據(jù)廣播電視臺網(wǎng)絡(luò)化的發(fā)展情況可以在系統(tǒng)動力學(xué)模型中增加新的風(fēng)險因素，不斷優(yōu)化風(fēng)險管理模型。

3.2廣播電視網(wǎng)絡(luò)信息安全風(fēng)險因果反饋圖

應(yīng)用系統(tǒng)動力學(xué)軟件Vensim建立廣播電視網(wǎng)絡(luò)信息安全風(fēng)險因果反饋模型，如圖1所示。廣播電視網(wǎng)絡(luò)信息安全風(fēng)險類型主要為網(wǎng)絡(luò)攻擊風(fēng)險、技術(shù)安全風(fēng)險、管理風(fēng)險和外部環(huán)境風(fēng)險。通過圖1可以直觀的發(fā)現(xiàn)引發(fā)多項風(fēng)險的因素主要有以下五種：一是人員素質(zhì)，廣播電視臺人員素質(zhì)的提高，不僅有效的提高管理效率，也可以提升人員對于網(wǎng)絡(luò)信息安全的認(rèn)識，從而降低管理風(fēng)險的可能。二是管理不規(guī)范，形成系統(tǒng)的管理體系并建立相關(guān)網(wǎng)絡(luò)信息安全部門，統(tǒng)一管理網(wǎng)絡(luò)軟硬件設(shè)施和網(wǎng)絡(luò)信息安全防護(hù)可以有效的降低管理風(fēng)險和技術(shù)安全風(fēng)險。三是網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒，提高網(wǎng)絡(luò)安全防護(hù)等級，確實防止網(wǎng)絡(luò)風(fēng)險和技術(shù)安全風(fēng)險的發(fā)生。第四是自然災(zāi)害和人為破壞，提高相應(yīng)的預(yù)防措施可防止因設(shè)備故障導(dǎo)致播出中斷事故的發(fā)生。第五是系統(tǒng)漏洞，完善廣播電視臺計算機操作系統(tǒng)，對系統(tǒng)不斷調(diào)整和升級，從而減少網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒等網(wǎng)絡(luò)風(fēng)險和技術(shù)安全風(fēng)險。

運用系統(tǒng)動力學(xué)風(fēng)險因果反饋圖模型，加強對人員素質(zhì)、管理不規(guī)范、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒、自然災(zāi)害和人為破壞、系統(tǒng)漏洞這五種主要風(fēng)險點進(jìn)行有效控制和防范，就會增強廣播電視臺對網(wǎng)絡(luò)風(fēng)險、技術(shù)安全風(fēng)險、管理風(fēng)險和外部環(huán)境風(fēng)險的管理控制，從而增強單位防控風(fēng)險的能力。

4研究結(jié)論

本文在研究網(wǎng)絡(luò)信息安全的概念、理論等的基礎(chǔ)上，結(jié)合廣播電視網(wǎng)絡(luò)信息安全現(xiàn)狀建立了廣播電視網(wǎng)絡(luò)信息安全風(fēng)險指標(biāo)體系，總結(jié)分析了養(yǎng)老社區(qū)項目社會效益評價常用方法，取得如下研究成果：

①在網(wǎng)絡(luò)信息安全風(fēng)險研究的基礎(chǔ)上篩選出對廣播電視網(wǎng)絡(luò)信息安全影響較大的風(fēng)險因素，并系統(tǒng)地建立了廣播電視網(wǎng)絡(luò)信息安全風(fēng)險指標(biāo)體系，主要由網(wǎng)絡(luò)風(fēng)險、管理風(fēng)險、技術(shù)安全風(fēng)險和外部環(huán)境風(fēng)險以及相應(yīng)三級風(fēng)險構(gòu)成。

②利用系統(tǒng)動力學(xué)在風(fēng)險演化和管理方面的優(yōu)勢，構(gòu)建廣播電視網(wǎng)絡(luò)信息安全風(fēng)險因果反饋模型，分析了風(fēng)險因素之間的相關(guān)關(guān)系，提出需對人員素質(zhì)、管理不規(guī)范、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒、自然災(zāi)害和人為破壞、系統(tǒng)漏洞這五種風(fēng)險因素重點防控。

③目前用于廣播電視網(wǎng)絡(luò)信息安全風(fēng)險研究較少，本文只建立了風(fēng)險指標(biāo)體系，仍需要對風(fēng)險演化方面做進(jìn)一步深入研究。

參考文獻(xiàn)： 

[1]袁愛軍.國內(nèi)企業(yè)網(wǎng)絡(luò)信息安全風(fēng)險分析[J].中國石油和化工標(biāo)準(zhǔn)與質(zhì)量，2011，31（10）：279. 

[2]李蘭瑛，李曉蕓.一種基于層次模型的網(wǎng)絡(luò)信息安全風(fēng)險灰色評估方法[J].科學(xué)技術(shù)與工程，2010，10（02）：540-545. 

[3]袁亮.網(wǎng)絡(luò)時代下企業(yè)信息安全風(fēng)險和控制[J].中國管理信息化，2015，18（17）：72-73. 

[4]吉嵐，辛欣.高校網(wǎng)絡(luò)信息安全風(fēng)險分析及對策探討——以赤峰學(xué)院為例[J].赤峰學(xué)院學(xué)報（自然科學(xué)版），2016，32（20）：200-202. 

第6篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

關(guān)鍵詞:網(wǎng)絡(luò)安全;防范體系;IP專用網(wǎng)絡(luò)

1 前言

隨著計算機及其網(wǎng)絡(luò)的迅速發(fā)展,跨區(qū)IP專用網(wǎng)絡(luò)成為對內(nèi)管理和對外交流必不可少的平臺。跨區(qū)IP專用網(wǎng)絡(luò)在滿足信息資源共享需求的同時,隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。如何有效降低跨區(qū)IP專用網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)的安全風(fēng)險、提高跨區(qū)網(wǎng)絡(luò)安全水平成為網(wǎng)絡(luò)建設(shè)的重點。

2 跨區(qū)IP專用網(wǎng)絡(luò)安全需求分析

2.1 跨區(qū)IP專用網(wǎng)絡(luò)安全現(xiàn)狀

(1)網(wǎng)絡(luò)自身存在缺陷。IP專用網(wǎng)絡(luò)賴以生存的TCP/IP協(xié)議,缺乏相應(yīng)的安全機制,而且因特網(wǎng)最初的設(shè)計考慮是不會因局部故障而影響信息的傳輸,基本沒有考慮安全問題。因此,它在安全可靠性、服務(wù)質(zhì)量等方面存在著不適應(yīng)性。

(2)操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞。網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機系統(tǒng)的安全性,而主機系統(tǒng)的安全性正是由操作系統(tǒng)的安全性所決定的。

(3)網(wǎng)絡(luò)病毒。目前大多數(shù)病毒具有傳播速度極快,擴(kuò)散廣,不易防范,難于徹底清除等特點。

(4)黑客入侵。黑客通過對邏輯漏洞進(jìn)行挖掘,通過欺騙,信息搜集的方法,從薄弱環(huán)節(jié)入手,迅速地完成對網(wǎng)絡(luò)用戶身份的竊取,進(jìn)而完成對整個網(wǎng)絡(luò)的攻擊,造成內(nèi)部信息甚至機密被泄露。

(5)網(wǎng)絡(luò)內(nèi)部威脅。網(wǎng)絡(luò)安全的威脅可以來自內(nèi)部網(wǎng),可能會因為網(wǎng)內(nèi)管理人員安全意識不強,管理制度不健全,帶來內(nèi)部網(wǎng)絡(luò)的威脅。

2.2 跨地區(qū)IP專用網(wǎng)絡(luò)安全需求

在網(wǎng)絡(luò)正常運行時,受到攻擊,能夠保證網(wǎng)絡(luò)系統(tǒng)繼續(xù)運行,網(wǎng)絡(luò)管理系統(tǒng)設(shè)置等重要資料不被破壞。具有先進(jìn)的入侵防范體系,對惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤。訪問控制和身份認(rèn)證機制確保應(yīng)用系統(tǒng)不被非法訪問。系統(tǒng)和數(shù)據(jù)在遭到破壞時能及時恢復(fù)。

3 建立跨地區(qū)IP專用網(wǎng)立體安全防范體系

3.1 安全組件

(1)路由器。路由器是架構(gòu)網(wǎng)絡(luò)的第一層設(shè)備,路由器必須安裝必要的過濾規(guī)則,濾掉被屏蔽的IP地址和服務(wù)。路由器也可以過濾服務(wù)協(xié)議,屏蔽有安全隱患的協(xié)議。

(2)入侵監(jiān)測系統(tǒng)。入侵監(jiān)測系統(tǒng)是被動的,它監(jiān)測網(wǎng)絡(luò)上所有的包,捕捉危險或有惡意的動作,并及時發(fā)出警告信息。

(3)防火墻。防火墻可防止“黑客”進(jìn)入網(wǎng)絡(luò)的防御體系,可以限制外部用戶進(jìn)入內(nèi)部網(wǎng),同時過濾掉危及網(wǎng)絡(luò)的不安全服務(wù),拒絕非法用戶的進(jìn)入。

(4)物理隔離與信息交換系統(tǒng)(網(wǎng)閘)。它保證內(nèi)部網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)物理隔斷,能夠阻止各種已知和未知的網(wǎng)絡(luò)層和操作系統(tǒng)層攻擊,提供比防火墻、入侵檢測等技術(shù)更好的安全性能。

(5)交換機。訪問控制對于交換機就是利用訪問控制列表ACL來實現(xiàn)用戶對數(shù)據(jù)包按照源和目的地址、協(xié)議、源和目的端口等各項的不同要求進(jìn)行篩選和過濾。

(6)應(yīng)用系統(tǒng)的認(rèn)證和授權(quán)支持。在輸入級、對話路徑級和事務(wù)處理三級做到無漏洞。集成的系統(tǒng)要具有良好的恢復(fù)能力,保證系統(tǒng)避免因受攻擊而導(dǎo)致的癱瘓、數(shù)據(jù)破壞或丟失。

(7)操作系統(tǒng)的安全。不安裝或刪除不必要使用的系統(tǒng)組件。關(guān)閉所有不使用的服務(wù)和端口,并清除不使用的磁盤文件。

(8)病毒防護(hù)。網(wǎng)絡(luò)病毒網(wǎng)關(guān)與網(wǎng)絡(luò)版的查殺病毒軟件相結(jié)合,構(gòu)成了較為完整的病毒防護(hù)體系,能有效地控制病毒的傳播,保證網(wǎng)絡(luò)的安全穩(wěn)定。

3.2 安全環(huán)節(jié)

這是很多系統(tǒng)平臺本身就提供的,如操作系統(tǒng)或者數(shù)據(jù)庫,有效地發(fā)揮這些環(huán)節(jié)的作用有時候會起到意想不到的效果。

(1)身份標(biāo)識和鑒別。計算機初始執(zhí)行時,首先要求用戶標(biāo)識身份,提供證明依據(jù),計算機系統(tǒng)對其進(jìn)行鑒別。

(2)訪問控制。訪問控制分為“自主訪問控制”和“強制訪問控制”兩種。自主訪問控制Unix和Windows NT操作系統(tǒng)都使用DAC。強制訪問控制可以防范特洛伊木馬和用戶濫用權(quán)限,具有更高的安全性。

(3)審計。審計是一個被信任的機制。安全系統(tǒng)使用審計把它的活動記錄下來。審計系統(tǒng)記錄的信息應(yīng)包括主題和對象的標(biāo)識、訪問權(quán)限請求、日期和時間、參考請求結(jié)果(成功或失敗)。

3.3 安全機制

安全機制采用了更有針對性的技術(shù)來提高系統(tǒng)安全的可控性,它們是建立高度安全的信息系統(tǒng)必不可少的。

(1)安全審核。安全審核通過改善系統(tǒng)中的基本安全環(huán)節(jié)的實現(xiàn)(包括安全機制的實現(xiàn)和使用)達(dá)到增強安全性的目的,典型的產(chǎn)品如網(wǎng)絡(luò)掃描器。

(2)信息加密。包括可信系統(tǒng)內(nèi)部的加密存儲以及跨越不可信系統(tǒng)在可信系統(tǒng)間傳輸受控信息的機制。通常使用信息加密技術(shù)以及建立在加密和通道技術(shù)上的VPN系統(tǒng)。

(3)災(zāi)難恢復(fù)。定期對重要數(shù)據(jù)進(jìn)行備份,在系統(tǒng)出現(xiàn)故障時,仍然能保證重要數(shù)據(jù)準(zhǔn)確無誤。

4 結(jié)束語

保障跨區(qū)IP專用網(wǎng)絡(luò)安全、有效運行,既是一個技術(shù)問題,也是一個管理問題。除了采用上述技術(shù)措施之外,還要加強網(wǎng)絡(luò)安全管理、制定規(guī)章制度、制定操作使用規(guī)程、制定應(yīng)急措施、提高工作人員的保密觀念和責(zé)任心、加強業(yè)務(wù)培訓(xùn),這樣,網(wǎng)絡(luò)安全防范體系才能發(fā)揮更大效能。

參考文獻(xiàn)

第7篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

關(guān)鍵詞：局域網(wǎng)　安全體系　立體防御

1、案例背景

哈爾濱經(jīng)濟(jì)技術(shù)開發(fā)區(qū)管理委員會(以下簡稱“哈經(jīng)開區(qū)”)管理大廈內(nèi)部網(wǎng)絡(luò)經(jīng)過幾年建設(shè)，已經(jīng)實現(xiàn)千兆到樓、百兆到桌面的寬帶網(wǎng)絡(luò)數(shù)據(jù)傳輸；該區(qū)建有完善的網(wǎng)絡(luò)數(shù)據(jù)中心，完善的網(wǎng)絡(luò)通信設(shè)備和網(wǎng)絡(luò)服務(wù)器系統(tǒng)。采用高速交換技術(shù)，建立方便快捷靈活多變的信息通信平臺，提升了辦公效率，節(jié)省了人們的勞動量，但是也帶來了一定的網(wǎng)絡(luò)安全問題，增加了網(wǎng)絡(luò)安全的風(fēng)險。為此，要保證網(wǎng)絡(luò)的安全運行，必須要有一套與之配套的可操作的計算機病毒解決措施和應(yīng)對方案。構(gòu)建一個統(tǒng)一的有效的切實的可行的網(wǎng)絡(luò)安全防御體系，有效的防止和應(yīng)對病毒攻擊和入侵。

2、案例分析

本文從哈經(jīng)開區(qū)網(wǎng)絡(luò)安全的實際情況以及防御運行的實際情況進(jìn)行分析：

2.1局域網(wǎng)維護(hù)工作量日益加重，計算機病毒日益猖狂

最初建立計算機網(wǎng)絡(luò)的時候，采用了國內(nèi)比較著名的防病毒軟件，比如金山毒霸，瑞星殺毒等等。但是都不盡如人意。局域網(wǎng)中計算機病毒傳播和感染的事情仍然時有發(fā)生。計算機網(wǎng)絡(luò)的維護(hù)人員要忙于清理計算機病毒、重新安裝操作系統(tǒng)或者安裝相關(guān)的應(yīng)用軟件。

計算機病毒的頑固性存在多個方面，首先，計算機病毒自身具有較快的傳播性和較強的可執(zhí)行性。同時，計算機病毒還有其他一些典型的特點。一是傳播速度非常快。在政府部門局域網(wǎng)環(huán)境下，計算機病毒可以利用各種介質(zhì)，通過局域網(wǎng)迅速的進(jìn)行傳播下去。而且傳播的方位非常的廣泛，在局域網(wǎng)模式下的病毒要遠(yuǎn)遠(yuǎn)比在單機模式下的病毒難以應(yīng)付。很多在單機模式下可以輕易殺除的病毒，在局域網(wǎng)模式下往往力不從心。而且病毒的破壞性非常大，一旦病毒襲擊了政府的辦公網(wǎng)絡(luò)，就會影響到政府的正常的工作。而且很多時候，病毒常常造成政府的辦公網(wǎng)絡(luò)崩潰，整個電腦系統(tǒng)的數(shù)據(jù)被盜取或者丟失。二是激發(fā)條件很多。通過局域網(wǎng)，病毒的隱蔽性得到大大的提升。計算機網(wǎng)絡(luò)病毒可以通過多種途徑和方式進(jìn)行激發(fā)，例如可以通過內(nèi)部時鐘或者計算機上的系統(tǒng)日期等。三是計算機網(wǎng)絡(luò)病毒的潛在危險非常大，在局域網(wǎng)中，一旦計算機網(wǎng)絡(luò)被感染病毒，即使后來病毒被清除，但仍然可能有病毒潛伏在電腦中，而且被感染的病毒再次發(fā)生被感染的概率非常的高。

2.2多種因素引發(fā)病毒，網(wǎng)絡(luò)安全意識亟待提高

(1)從主觀因素考慮，主要是由于部分用戶缺乏安全上網(wǎng)意識。要么電腦上沒有安裝殺毒軟件或安裝過期的殺毒軟件，要么就是不對操作系統(tǒng)升級，在網(wǎng)上下載東西的時候沒有注意，訪問不安全的網(wǎng)站等。這是誘發(fā)計算機病毒的一個重要原因。(2)從客觀上來講，病毒防御系統(tǒng)技術(shù)的提升跟不上計算機病毒技術(shù)的變化。防御病毒系統(tǒng)功能因多方面原因，未能及時換代，可終端結(jié)點不夠，使得個別終端結(jié)點不能對操作系統(tǒng)進(jìn)行升級。(3)政府部門的工作人員，有些由于計算機基礎(chǔ)知識薄弱，對計算機的認(rèn)識僅僅限于使用水平，沒有較強的計算機操作能力和病毒文件識別能力，遇到病毒時處理遲緩等。

3、保障措施

為確保哈經(jīng)區(qū)計算機網(wǎng)絡(luò)的安全有效運行，區(qū)委會信息中心先后從是三個不同的方面采取了措施來確保全委計算機網(wǎng)絡(luò)的正常運行和安全，首先是重新改造和劃分VLAN，通過在使用中發(fā)現(xiàn)的問題進(jìn)行分析改造，以樓層為單位進(jìn)行劃分的原則，對整個局域網(wǎng)的布局進(jìn)行重新的劃分，劃分成為不同的VLAN。這種劃分，有效的限制了病毒傳播的范圍，減小了病毒傳播危害的區(qū)域。解決了以往一旦一臺計算機受到病毒感染整個局域網(wǎng)都癱瘓的問題。其次是加強網(wǎng)絡(luò)安全檢查機制。定期派技術(shù)人員對對客戶端軟件安全情況進(jìn)行跟蹤監(jiān)控，及時發(fā)現(xiàn)客戶端安裝的軟件，對與業(yè)務(wù)工作無關(guān)的游戲、盜版軟件能做到“三及時”，即及時跟蹤、及時發(fā)現(xiàn)、及時控制。最后是對工作人員進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)和教育，從思想上和習(xí)慣上加強工作人員的防毒殺毒意識。

基于上述分析，從整個網(wǎng)絡(luò)系統(tǒng)安全的整體考慮，要想實現(xiàn)整個網(wǎng)絡(luò)體系防病毒體系的真正安全，必須要從技術(shù)和管理兩個方面抓起，通過行政決策和遠(yuǎn)期效應(yīng)的科學(xué)統(tǒng)一。

3.1利用軟件技術(shù)，構(gòu)建病毒防御體系

如何靈活運用軟件技術(shù)是確保計算機網(wǎng)絡(luò)安全所面臨的一個重要課題，要實現(xiàn)“層層設(shè)防、集中控管、以防為主、防殺結(jié)合”的目標(biāo)，構(gòu)建局域網(wǎng)病毒立體防御體系，通過實施的防毒策略，實現(xiàn)對內(nèi)網(wǎng)全方位、多層次的立體病毒防護(hù)，為系統(tǒng)和數(shù)據(jù)安全提供強有力的保證。建設(shè)的主要內(nèi)容包括：防病毒體系的構(gòu)建必須把整個網(wǎng)器、防病毒工作站等硬件設(shè)備的多層次防御，縱向上構(gòu)建基于單機用戶，橫向上基于網(wǎng)絡(luò)整體。病毒防護(hù)軟件必須具有網(wǎng)絡(luò)建設(shè)基于系統(tǒng)防病毒、郵件防病毒版的概念，即擁有防病毒控制中心和客戶端自動防用系統(tǒng)的全方位保護(hù)，用戶提供一個覆蓋面廣、操作簡便、集防毒、查毒、殺毒于一身的立體病毒防御體系。

3.2從管理措施和制度上確保計算機網(wǎng)絡(luò)的安全

如何進(jìn)一步加強和提高工作人員的安全使用計算機意識是管委會的一個重要工作。通過構(gòu)建立體化的計算機病毒防御體系，可以實現(xiàn)在軟件和硬件層次上計算機網(wǎng)絡(luò)的安全。在次基礎(chǔ)上，要加大信息安全的宣傳和教育力度，定期對工作人員進(jìn)行專業(yè)培訓(xùn)，通過普及計算機基礎(chǔ)知識，強化計算機安全意識，強化殺毒方面的技能的培訓(xùn)工作來確保網(wǎng)絡(luò)安全和防病毒體系的建立。

第8篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

【關(guān)鍵詞】思科設(shè)備；網(wǎng)絡(luò)一體化安全體系

目前社會已經(jīng)進(jìn)入信息時代，互聯(lián)網(wǎng)在全球范圍內(nèi)得到廣泛的應(yīng)用，具有很強的開放性和傳播性，為黑客的非法入侵提供了條件，對企業(yè)的網(wǎng)絡(luò)帶來了越來越多的安全隱患。企業(yè)應(yīng)該利用先進(jìn)的網(wǎng)絡(luò)技術(shù)和設(shè)備，特別是思科設(shè)備，構(gòu)建網(wǎng)絡(luò)一體化安全體系，為企業(yè)的網(wǎng)絡(luò)安全提供技術(shù)支撐。

一、企業(yè)面臨的網(wǎng)絡(luò)安全隱患分析

在企業(yè)的網(wǎng)絡(luò)體系中，造成安全隱患的因素一般都是外界的非法入侵和攻擊，但是其風(fēng)險歸根到底還在于企業(yè)的網(wǎng)絡(luò)安全體系存在漏洞，為攻擊者提供了機會，而且企業(yè)的管理人員對網(wǎng)絡(luò)安全重視不足，目前企業(yè)面臨的網(wǎng)絡(luò)安全隱患具體包括以下幾點：

（一）系統(tǒng)漏洞隱患

網(wǎng)絡(luò)上產(chǎn)生的病毒和黑客的侵入都是通過網(wǎng)絡(luò)協(xié)議實現(xiàn)的，網(wǎng)絡(luò)協(xié)議對安全技術(shù)要求較少，所以攻擊者便有機會入侵企業(yè)網(wǎng)絡(luò)系統(tǒng)。目前我國大部分企業(yè)的網(wǎng)絡(luò)系統(tǒng)都是基于IP協(xié)議建設(shè)的，設(shè)置較為簡單，沒有重視網(wǎng)絡(luò)安全，黑客很容易通過該協(xié)議找到系統(tǒng)漏洞，對企業(yè)的整個網(wǎng)絡(luò)系統(tǒng)造成威脅，破壞了系統(tǒng)的穩(wěn)定性和可靠性。而且近年來針對系統(tǒng)漏洞的病毒多種多樣，企業(yè)很難對其進(jìn)行把控。企業(yè)必須加強對網(wǎng)絡(luò)系統(tǒng)的防御，升級網(wǎng)絡(luò)設(shè)備，采用具有防病毒功能的設(shè)備，降低非法入侵的風(fēng)險。

（二）網(wǎng)絡(luò)擁堵

造成網(wǎng)絡(luò)擁堵的原因是企業(yè)網(wǎng)絡(luò)系統(tǒng)的用戶對網(wǎng)絡(luò)資源的需求遠(yuǎn)遠(yuǎn)大于網(wǎng)絡(luò)系統(tǒng)的固有容量，形成了持續(xù)的網(wǎng)絡(luò)過載狀況。基于互聯(lián)網(wǎng)體系的網(wǎng)絡(luò)資源共享中，如果沒有對資源的使用進(jìn)行請求許可設(shè)置，多個IP分組同時到達(dá)一個路由器，并經(jīng)同一輸出端口轉(zhuǎn)發(fā)，就會發(fā)現(xiàn)網(wǎng)絡(luò)擁堵現(xiàn)象。所以，必須利用先進(jìn)的新型路由器設(shè)備，提高路由器端口的傳輸速度，有效緩解網(wǎng)絡(luò)擁堵現(xiàn)象。

（三）網(wǎng)絡(luò)安全知識缺乏

基層企業(yè)員工的網(wǎng)絡(luò)安全知識十分匱乏，網(wǎng)絡(luò)安全意識較低，導(dǎo)致個人信息和企業(yè)機密的泄漏，如果被不法分子利用，就會對企業(yè)造成巨大危害，十分不利于企業(yè)的競爭和發(fā)展。企業(yè)要增強員工的網(wǎng)絡(luò)安全知識，讓員工管理好自己的登錄密碼，對自己的文件資料負(fù)責(zé)，設(shè)置訪問權(quán)限，在于互聯(lián)網(wǎng)信息鏈接時，確保沒有受到病毒或木馬的攻擊，運行安全的程序和軟件，在獲取互聯(lián)網(wǎng)資源時時刻保持高度警惕，防止病毒入侵，加強對防病毒軟件的使用。

（四）網(wǎng)絡(luò)安全管理體系不健全

目前我國大部分企業(yè)都沒有建立完善的網(wǎng)絡(luò)安全管理體系，缺乏強制的網(wǎng)絡(luò)安全管理制度。保證企業(yè)的網(wǎng)絡(luò)系統(tǒng)運行安全和企業(yè)機密不被竊取，除了加大對網(wǎng)絡(luò)系統(tǒng)的建設(shè)投入，更新網(wǎng)絡(luò)設(shè)備之外，還需要加強對網(wǎng)絡(luò)安全的管理。企業(yè)要制定規(guī)范的網(wǎng)絡(luò)安全管理制度，加強對企業(yè)網(wǎng)絡(luò)系統(tǒng)使用和安全管理的培訓(xùn)，將技術(shù)手段與管理手段相結(jié)合，為企業(yè)構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境提供制度保障。

二、基于思科設(shè)備的網(wǎng)絡(luò)一體化安全體系的構(gòu)建

思科設(shè)備是世界先進(jìn)的網(wǎng)絡(luò)專業(yè)設(shè)備，能夠針對企業(yè)的網(wǎng)絡(luò)安全隱患，構(gòu)建一體化的安全體系，為企業(yè)網(wǎng)絡(luò)安全困境提供良好的解決方案。具體措施包括以下幾個方面：

（一）完整的網(wǎng)絡(luò)安全架構(gòu)

思科設(shè)備在網(wǎng)絡(luò)產(chǎn)品方面具有雄厚的技術(shù)積累和實踐應(yīng)用，能夠構(gòu)建一個完整的網(wǎng)絡(luò)安全架構(gòu)，并能針對企業(yè)網(wǎng)絡(luò)系統(tǒng)的特性和實際運用狀況對其進(jìn)行劃分，將企業(yè)網(wǎng)絡(luò)系統(tǒng)細(xì)分為便于分析的不同模塊。首先，將原先復(fù)雜的企業(yè)網(wǎng)絡(luò)系統(tǒng)架構(gòu)分為緊密聯(lián)系的部分，包括企業(yè)園區(qū)網(wǎng)、企業(yè)邊緣和服務(wù)供應(yīng)商邊緣，這是新的網(wǎng)絡(luò)架構(gòu)的基本層次，在這個層次的基礎(chǔ)之上，又將這三大塊進(jìn)一步細(xì)分為若干功能模塊，這些特定的功能模塊有其具體的功能和安全需求。例如，可以將企業(yè)園區(qū)網(wǎng)進(jìn)一步細(xì)化，分為核心模塊、構(gòu)建模塊、管理模塊、服務(wù)器模塊和邊緣模塊，每個模塊都有自己特定的目標(biāo)和功能。其中核心模塊能夠?qū)⑵髽I(yè)的信息迅速從一個網(wǎng)絡(luò)傳輸至另一個網(wǎng)絡(luò)空間，并能進(jìn)行信息數(shù)據(jù)的交換，其安全功能是對分組竊聽風(fēng)險的有效緩解；管理模塊保證企業(yè)網(wǎng)絡(luò)安全系統(tǒng)和網(wǎng)絡(luò)主機及設(shè)備的安全運行，對網(wǎng)絡(luò)安全進(jìn)行管理，能夠利用防火墻有效阻止未經(jīng)企業(yè)授權(quán)的訪問，減少數(shù)據(jù)穿過網(wǎng)絡(luò)時可能受到的攻擊，同時能夠降低電子欺詐、分組竊聽和竊取信任關(guān)系進(jìn)行攻擊的頻率；構(gòu)建模塊可以對構(gòu)建交換機提供不同層次的服務(wù)，對路由器的訪問和交換機的服務(wù)質(zhì)量進(jìn)行控制，該模塊能夠?qū)ξ词跈?quán)的訪問進(jìn)行三層過濾，并能過濾電子欺詐，對分組竊聽進(jìn)行限制，從而實現(xiàn)安全功能。

（二）制定完善的網(wǎng)絡(luò)安全方案和策略

利用思科設(shè)備和技術(shù)，企業(yè)要制定旨在創(chuàng)造網(wǎng)絡(luò)安全環(huán)境的網(wǎng)絡(luò)安全計劃，提出具體有效的網(wǎng)絡(luò)安全方案和策略，為構(gòu)建一體化的網(wǎng)絡(luò)安全體系提供保障。其中包括以下兩個方面：

1.路由器安全策略

路由器的企業(yè)網(wǎng)絡(luò)系統(tǒng)的核心組成部分，路由器的配置對網(wǎng)絡(luò)的安全運行具有很大影響，所以只能容許經(jīng)過授權(quán)的主機登錄路由器。要對路由器進(jìn)行全局配置，設(shè)置標(biāo)準(zhǔn)的訪問控制程序，并將其應(yīng)用到所有虛接口上，確保授權(quán)主機的遠(yuǎn)程登錄且能夠?qū)β酚善髋渲眠M(jìn)行修改和完善。

2.交換機安全策略

首先，要為交換機配置私有的IP地址，阻止非本企業(yè)的主機對交換機的訪問。同時，將企業(yè)內(nèi)部所有的交換機放在同一個虛擬網(wǎng)之中；其次，對允許訪問交換機的主機進(jìn)行配置，即只允許企業(yè)內(nèi)特定的主機對交換機所在的虛擬網(wǎng)進(jìn)行訪問，而企業(yè)其他的主機也不能訪問虛擬網(wǎng)和交換機；再次，對允許遠(yuǎn)程登錄交換機的主機進(jìn)行配置，限制允許訪問的主機遠(yuǎn)程登錄交換機，而且只有經(jīng)過企業(yè)授權(quán)的主機才能對配置的參數(shù)進(jìn)行修改，在對交換機進(jìn)行全局配置之后，設(shè)置標(biāo)準(zhǔn)的訪問程序。

總結(jié)：

綜上所述，掌握世界先進(jìn)技術(shù)的思科設(shè)備，能夠為企業(yè)的網(wǎng)絡(luò)安全提供保障，促進(jìn)企業(yè)一體化網(wǎng)絡(luò)安全體系的構(gòu)建。企業(yè)的管理人員和網(wǎng)絡(luò)技術(shù)人員還需要對維護(hù)企業(yè)網(wǎng)絡(luò)安全的技術(shù)和措施加以進(jìn)一步研究和探索，為企業(yè)的網(wǎng)絡(luò)的安全和穩(wěn)定運行提供支持，保證企業(yè)內(nèi)部信息和機密的安全，以促進(jìn)企業(yè)的全面發(fā)展。

參考文獻(xiàn)：

第9篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

對局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)安全因素進(jìn)行分析，需要達(dá)到網(wǎng)絡(luò)系統(tǒng)安全就必須實現(xiàn)這些目標(biāo)：建立網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略，并不斷完善嚴(yán)格執(zhí)行；建立有效的隔離內(nèi)網(wǎng)、公開服務(wù)器以及外部網(wǎng)絡(luò)的方案，要盡量避免與外部網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行直接交換；涉及到網(wǎng)絡(luò)體系中的主機與服務(wù)器，要有針對性構(gòu)建安全保護(hù)措施，并根據(jù)實際的需要進(jìn)行完善，最大限度保障系統(tǒng)能夠安全穩(wěn)定的運行；網(wǎng)絡(luò)中相關(guān)服務(wù)請求要進(jìn)行嚴(yán)格的過濾，針對一些較為危險的請求服務(wù)必須及時拒絕，以求保障在其達(dá)到目標(biāo)主機之前成功被攔截；關(guān)于合法用戶的訪問與認(rèn)證要提升管理力度，配置最低限度的用戶訪問權(quán)限；對公開服務(wù)器進(jìn)行監(jiān)管，對各種不安全的操作或者一些不法攻擊等等要及時的進(jìn)行回應(yīng)；另外，局域網(wǎng)審計工作也比較重要，網(wǎng)絡(luò)中必然有各種各樣的訪問，需要詳細(xì)的做好記錄，構(gòu)建完整的系統(tǒng)日志；建立備份與災(zāi)難恢復(fù)應(yīng)急機制，最大限度保障系統(tǒng)能夠在最短的時間內(nèi)恢復(fù)到正常運行。

2構(gòu)建局域網(wǎng)網(wǎng)絡(luò)安全體系架構(gòu)

2.1構(gòu)建網(wǎng)絡(luò)防火墻

網(wǎng)絡(luò)防火墻（firewall）其配置的方式有以下幾種：Screeningrouter主要為bastionhost提供最大限度的支持與保護(hù)，將進(jìn)入的相關(guān)所有數(shù)據(jù)傳送給bastionhost，并bastionhost決定所有發(fā)送的數(shù)據(jù)。整個結(jié)構(gòu)對Screeningrouter和bastionhost依賴是非常嚴(yán)重的，由此可見，其中一個環(huán)節(jié)若是出現(xiàn)了問題，那么將導(dǎo)致整個網(wǎng)絡(luò)沒有安全性可言。此種方式的結(jié)構(gòu)比較簡單，并且所涉及到的成本也比較低，其優(yōu)勢不言而喻。在兩個網(wǎng)絡(luò)中間進(jìn)行放置，但是因為沒有將網(wǎng)絡(luò)安全的自我防衛(wèi)能力添加，因此，會常常成為網(wǎng)絡(luò)黑客長期攻擊的目標(biāo)，一旦被攻擊失守，整個網(wǎng)絡(luò)也將癱瘓。在外部網(wǎng)絡(luò)，以及用戶單位內(nèi)網(wǎng)之間構(gòu)建隔離設(shè)施，形成DMZ隔離區(qū)。其中包含了兩個bastionhost與兩個Screeningrouter，將bastionhost放在隔離區(qū)內(nèi)部。此種方式，配置了兩個安全單元，因此，整個結(jié)構(gòu)的安全性比較高，一般在企業(yè)與事業(yè)單位局域網(wǎng)配置比較普遍。

2.2設(shè)置虛擬局域網(wǎng)

虛擬局域網(wǎng)，即VLAN（VirtualLocalAreaNetwork）。眾所周知，VLAN是當(dāng)前使用十分普遍而且得到深入研究與廣泛推廣的新興技術(shù)。從邏輯方式上將局域網(wǎng)LAN的設(shè)備劃分成若干網(wǎng)段，其目的是要充分實現(xiàn)虛擬工作組之間的數(shù)據(jù)成功交換。由于虛擬局域網(wǎng)的出現(xiàn)，整個網(wǎng)絡(luò)結(jié)構(gòu)也更加靈活，更加方便快捷。VLAN不需要重視網(wǎng)絡(luò)地理位置，任何一處都可以將其劃分成一個邏輯網(wǎng)子。劃分虛擬局域網(wǎng)的過程中要注意以下幾點問題：通常大型網(wǎng)絡(luò)環(huán)境下必然存在非常多的廣播信息，產(chǎn)生信息堵塞的情況時有發(fā)生，廣播風(fēng)暴也就這樣形成了。局域網(wǎng)設(shè)計階段，需要重視這方面的問題，充分利用VIAN技術(shù)將一個邏輯區(qū)域劃分出來，但是廣播信息又不會從邏輯區(qū)域跳出而進(jìn)行傳播，通過這種方式將廣播進(jìn)行隔離，縮小了廣播的范圍，也就一定程度降低了廣播風(fēng)暴形成的幾率。基于網(wǎng)絡(luò)安全體系設(shè)計，在VLAN劃分的邏輯區(qū)域之間不能直接進(jìn)行通信，其必然的選擇應(yīng)該是由路由進(jìn)行轉(zhuǎn)發(fā)，這種設(shè)計方式能設(shè)計出更高級的網(wǎng)絡(luò)安全控制，網(wǎng)絡(luò)安全運行也得到了一定的保障。企業(yè)與事業(yè)單位中的局域網(wǎng)，機構(gòu)就比較多，相同的機構(gòu)人員的辦公地點也比較分散，其物理位置不一樣，這樣便能將工作有關(guān)聯(lián)的人員通過VLAN劃分在相同的邏輯子網(wǎng)內(nèi)，另外，網(wǎng)絡(luò)管理人員需要給同一個部門的人員進(jìn)行用戶訪問權(quán)限設(shè)置，這類訪問權(quán)限可以是相同的，這樣便能讓網(wǎng)絡(luò)管理更加直觀、方便、安全，局域網(wǎng)網(wǎng)絡(luò)性能也得到了一定限度的提升。

2.3防病毒

局域網(wǎng)網(wǎng)絡(luò)病毒防范是非常重要的環(huán)節(jié)，可以采用網(wǎng)絡(luò)版本的防病毒軟件，對局域網(wǎng)網(wǎng)絡(luò)防范病毒的方案進(jìn)行統(tǒng)一的策劃與執(zhí)行。保障整個網(wǎng)絡(luò)集中進(jìn)行管理，實現(xiàn)全自動安裝智能化，及時得到自動升級，有病毒的情況下能及時通告，審計信息實時獲取并報警，讓局域網(wǎng)管理更加方便。若要實現(xiàn)隔離，可以在互聯(lián)網(wǎng)與局域網(wǎng)之間設(shè)置中間機，廣大網(wǎng)絡(luò)用戶即使需要通過因特網(wǎng)下載或者上傳文件時，必須要經(jīng)過中間機進(jìn)行病毒的掃描以及惡意代碼程序的監(jiān)控，整個監(jiān)管過程順利通過之后，才會讓廣大用戶繼續(xù)下載使用。

3結(jié)語