企業網絡安全策略精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業網絡安全策略主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業網絡安全策略范文

關鍵詞:企業網絡完全;控制策略;措施

中圖分類號:TP393.18 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0067-01

計算機網絡的發展,給人們的生活和工作都帶來非常大的幫助,有效提升了工作效率,促進了企業的發展速度,促進了我國社會經濟的快速發展。但是,由于計算機網絡的公開性和自由性,造成了網絡安全問題也日漸嚴重,大量木馬及病毒的泛濫,給企業帶來了非常大的經濟損失,造成了嚴重的社會影響。因此,加強安全問題的處理工作,成為人們亟待需要解決的問題。

一、網絡安全問題的原因分析

網絡安全問題的出現,主要是由于企業網絡管理意識淡薄,網絡管理工作不到位,從而導致病毒木馬程序的侵入,從而給企業帶來較為嚴重的經濟損失。隨著我國社會經濟的快速發展,以及網絡技術的不斷完善,企業的發展越來越離不開網絡技術的推動,因此,網絡風險和安全問題也成為了阻礙企業發展的重要問題之一。

(一)企業網絡管理意識的淡薄

對于企業來說,網絡技術已經成為了企業發展的保障,也是企業發展必不可少的重要手段,但是,就我國多數企業來說,并不重視網絡管理工作,只強調網絡技術的應用,卻缺乏良好的管理手段,最終造成了網絡安全問題的發生。目前,網絡技術已經涉及到企業的各個運作環節,從技術管理、技術監督、電子商務、檔案管理以及財務管理工作,都需要由網絡技術進行配合,自動化的辦公條件使得企業對網絡技術的依賴性也越來越高。但是,企業僅僅重視對網絡技術的使用,卻步重視對網絡技術的管理,網絡安全管理資金的缺乏,導致網絡安全防御系統不完善,網絡抵抗能力不足,使得網絡安全問題發生頻率大大增加,使企業蒙受重大經濟損失。

(二)網絡技術人員的能力問題

網絡技術人員是維持企業網絡正常運行的重要因素,如果網絡技術人員個人能力素質存在一定的問題,將嚴重影響到企業網絡管理工作的正常開展,導致網絡安全防御工作的嚴重缺失。就目前我國企業網絡管理人員來說,由于企業對網絡管理工作的不重視,導致網絡管理人員的薪資待遇較低,網絡管理人員的工作積極性不足,網絡管理人員的個人能力素質也有著非常大的不足,使得網絡安全監督力度不夠,網絡安全防御系統脆弱,在面對病毒及木馬程序入侵時很難開展有效的補救措施,從而造成嚴重的后果。

(三)其他問題

隨著我國社會經濟的不斷發展,行業間的競爭也日漸激烈,部分企業為實現自身經濟效益的不斷增長,往往會采用較為惡劣的競爭手段,對競爭企業進行攻擊,其中,企業網絡攻擊就是較為常用的打擊手段。企業往往雇傭網絡黑客對競爭對手進行網絡攻擊,利用木馬和病毒程序進行網絡入侵,對企業內部的相關數據進行竊取、復制或刪除,導致競爭對手蒙受重大經濟損失。由于企業缺乏網絡安全管理工作,造成企業網絡安全性能的大大降低,使得網絡黑客有機可乘,給企業發展造成嚴重影響。

二、提升企業網絡安全的相關措施

未來企業發展需要網絡技術的支持,未來企業經濟取決于企業網絡技術的發展,因此,我們有必要加強企業網絡管理建設,提高網絡安全性能,提升企業網絡安全防御能力,避免網絡安全問題的發生,降低企業的網絡運行風險。以下,是筆者結合多年管理經驗所提出的幾點提升企業網絡安全管理水平的相關措施:

(一)規范企業網絡行為

企業網絡環境的入侵,主要是由于相關網絡技術操作不當所引起的,因此,合理的規范網絡行為,能夠有效避免病毒和木馬程序對企業網絡的入侵,有效降低企業網絡安全問題發生的頻率。網絡行為規范包括了網絡設備的維護,網絡數據保護以及網絡操作的約束,要約束企業員工的網頁操作,杜絕員工對陌生網頁和危險網頁的瀏覽,避免木馬文件和病毒文件的感染,這一問題能夠通過添加網絡安全軟件來進行有效控制,避免相關網頁的瀏覽及開啟,提升企業網絡的安全性能;網絡設備維護就是企業網絡管理人員要對企業網絡進行定期的檢查和維護,針對網絡漏洞進行及時的修復,提升網絡安全性,從而杜絕病毒文件的侵入;網絡數據保護,就是對企業重要網絡文件進行加密工作,做好企業網絡防火墻監督和設置,確保良好的網絡運行環境,增高企業安全性能。

(二)加強網絡管理人才的引入

良好的網絡環境,需要網絡管理人才的支持。首先,企業要正確認識網絡安全問題對企業的影響,網絡安全管理工作的重要性,從而加強網絡安全管理力度,適當提升網絡管理人員崗位薪資待遇,提升網絡管理人員的工作積極性。同時,企業要加強對網絡管理人才的引入工作,提升網絡管理團隊的整體業務能力,有效保證企業網絡的安全性能;企業要加強網絡管理人才的培訓力度,幫助網絡管理人員及時了解網絡發展動向,了解相關網絡病毒和網絡木馬,并及時掌握有效的預防措施,提高企業網絡安全性能,有效避免企業經濟方面的損失。

三、總結

企業網絡安全管理工作對于企業的發展具有非常重要的意義,能夠有效減少企業網絡運行風險,避免企業相關重要文件的流失,促進企業網絡環境的有效建立。因此,企業應該加強網絡安全管理工作,積極進行網絡安全管理隊伍建設,提高網絡管理人員的整體工作能力,避免網絡安全問題的發生,避免網絡問題對企業經濟效益的影響,促進企業健康穩定的發展。

參考文獻:

[1]周朝萱.企業網絡安全管理與防護策略探討[J].電腦與電信,2008,8

第2篇：企業網絡安全策略范文

關鍵詞：中小企業；信息安全；防火墻；VPN

1背景目前

我國很多中小企業都開始廣泛使用信息化手段提升自身的競爭力，借助信息化，企業可以更有效地管理資源，優化組合，提高企業運營效率，幫助企業更快的了解市場行情，促進企業發展。但與此同時信息安全問題也日益突出，每年企業因信息系統的安全問題而遭受經濟損失難以估量。本文針對太倉中小企業網絡信息安全現狀進行深入調研，走訪企業了解企業網絡信息安全的配置情況，可能存在的問題，然后根據現有的網絡安全技術和手段幫助企業解決問題，以滿足企業需求、投入資金少、專業技術管理人員投入少為需求給出解決策略，避免因信息安全問題造成的經濟損失。

2中小企業網絡信息安全現狀研究

經調研分析，目前中小企業大致可以分為兩類，一類是國內企業，一類是外企也就是總部在國外，國內有分公司或者工廠。總的來說，所有的中小企業都有自己的計算機網絡、典型應用系統如辦公自動化系統、信息查詢系統、web應用、郵件服務、財務和人事系統等。根據中小企業計算機網絡應用特點，一般需要保證數據具有實時性、機密性、安全性、完整性、可用性和不可抵賴性。太倉中小企業眾多，光德資企業就有200多家。企業的產品信息、業務數據、銷售訂單都需要利用信息化系統進行處理，有的甚至需要大數據平臺分析處理，那么信息系統的安全性也是尤為突出的一個問題。對太倉中小企業而言，構建一個安全、可靠的IT系統是關系到企業能否適合時代新技術，健康良好快速發展的關鍵因素之一。太倉眾多外企總部都在國外，因此總公司和分公司之間需要經常傳輸大量的數據，其中包括很多重要甚至機密的數據，對于數據傳輸的保密性、完整性要求更高。針對這些特點目前中小型企業網絡存在的主要安全問題有：

1)弱口令造成信息泄露威脅目前中小企業使用的各類系統較多，包括郵件、ERP、內部OA系統、電子商務系統等。面對眾多的系統，員工要設置各類密碼，非常麻煩，所以基本都會設置簡單的便于記憶的弱口令，而且很多系統都設置相同的密碼，長期不對密碼進行更改，這樣就很容易造成密碼泄露，一旦成功入侵企業內部網絡，就很容易竊取到密碼非法進入系統獲取資料。

2)網絡病毒威脅中小型企業員工一般都是單獨使用計算機，并且所有計算機都可以訪問互聯網，員工根據自己的情況自行安裝防病毒系統，由于員工對病毒預防知識和防病毒軟件的使用方法掌握情況不同，如果不能正確安裝使用防病毒軟件，一臺計算機感染病毒很快就傳播到企業內部的多臺計算機，甚至導致企業內部網絡癱瘓。

3)企業主干網絡沒有劃分VLAN中小型企業網絡系統中，由于網絡規模小，沒有專業網絡設計維護人員，為了省事和方便，很多企業的系統沒有劃分VLAN或者沒有按要求細化，造成同一廣播域中計算機數量過多，容易造成廣播風暴和網絡帶寬嚴重浪費。

4)無線網絡密碼泄露無線網絡的方便快捷使得它在企業中的應用快速發展起來，一般企業公司都在工作區域安裝無線路由器等無線設備，方便公司員工及外來人員進入公司內部網絡或者互聯網。但由于無線密碼設置簡單，很容易被破譯?；ヂ摼W上的攻擊者可以通過破譯無線密碼，輕松進入到公司內部網絡，從而造成公司信息泄露。

5)移動終端安全隱患隨著3G時代的到來，公司企業員工使用移動設備連接公司網絡，因此由移動終端設備帶來的安全隱患也不可避免。對于企業IT部門而言，移動設備已成為網絡安全的一個致命弱點，因為通過電子郵件、彩信、藍牙等方式傳播的病毒很容易對企業內網安全造成危害。

3中小企業網絡信息安全解決策略研究

中小企業對信息安全的需求主要是保障公司網站穩定運行、避免商業機密被竊取、企業信息被惡意篡改，因此網絡安全解決方案的可用性是中小企業首要考慮的問題，只有網絡安全設備正?？捎?，才能保護企業網絡安全。其次，中小企業規模小，資金不足，網絡安全管理人才缺乏，安全解決方案的易用性也是企業必須考慮的因素，使用簡單有效的方法提高企業網絡安全，減少企業在資金、專業管理人才的投入同時又能保障公司網絡信息安全。移動互聯、大數據、云計算環境下，針對企業各類服務和后臺系統建議找專業網絡公司托管，這類公司有專業的網關、防火墻、入侵檢測系統，能夠為企業各類服務提供安全保障，這樣中小企業也無需在花大量的資金自己購買這類安全設備、專業人員培訓等，大大減輕了公司服務器管理和維護壓力。針對目前存在的安全問題，給出以下安全策略：

1)加強企業員工網絡安全管理中小企業所有的系統口令包括員工設置登陸口令必須按照操作系統密碼復雜性要求設置，至少8位字符，其中要包括字母大寫、小寫、數字、特殊符號中三種情況以上，由企業系統管理員或者網絡管理員設置密碼失效時間，規定在一定時間內必須更新密碼，用簡單切實可行的方法建立第一道安全大門。

2)加強企業網絡入侵防范中小企業可以利用防火墻加強企業網絡入侵防范，實現企業內外網隔離，主要設置網絡邊界出口鏈路帶寬要求、數量等情況，IP地址規劃對防火墻地址轉換的需求。通過防火墻的認證機制，過濾訪問網絡數據。通過防火墻權限設置，嚴格審核外網用戶的非法登錄，定期查看防火墻日志文件，對有攻擊性的網絡訪問行為進行警告。

3)VPN策略一般公司都需要連接互聯網，特別是針對太倉德資外企來說與德國總部公司通信安全性是非常重要的，可以采用SSLVPN策略。SSLVPN使用瀏覽器內建的安全通道封包處理功能，用瀏覽器連回公司內部SSLVPN服務器，然后透過網絡封包轉向的方式，讓使用者可以在遠程計算機執行應用程序，讀取公司內部服務器數據。中小企業的遠程訪問環境變化較大，SSLVPN不需要安裝客戶端軟件遠程用戶，遠程用戶只需借助標準的瀏覽器連接Internet，即可訪問企業的網絡資源。企業可在較短時間內部署完SSLVPN，因此其部署和實施成本較低，其次SSLVPN還提高了平臺的靈活性方便擴展應用和增強性能，對中小企業而言可以降低使用成本，最有效地保護投資。

4)無線網絡安全策略對于中小企業，建議選擇比較有安全保證的產品來部署網絡和設置適合的網絡結構是確保網絡安全的前提條件，同時還要做到如下幾點：修改設備的默認值，指定專用于無線網絡的IP協議；在AP上使用速度最快的、能夠支持的安全功能。在網絡上，針對全部用戶使用一致的授權規則，在不會被輕易損壞的位置部署硬件。正確全面使用WEP機制來實現保密目標與共享密鑰認證功能，通過在每幀中加入一個校驗和的做法來保證數據的完整性，防止有的攻擊在數據流中插入已知文本來試圖破解密鑰流。其次必須在每個客戶端和每個AP上實現WEP才能起作用，不使用預先定義的WEP密鑰，避免使用缺省選項。密鑰由用戶來設定，并且能夠經常更改，最后要使用最堅固的WEP版本，并與標準的最新更新版本保持同步。

5)移動終端安全策略為了避免移動終端攜帶病毒連接到企業內網中，確保移動終端如智能手機、ipad、移動筆記本安裝殺毒軟件、防火墻并定期對移動設備進行系統漏洞補丁和更新，定期掃描殺毒，特別不要隨意打開、下載不確定的郵件、鏈接和彩信，以免中木馬病毒。如果一旦中毒，應該立刻斷網，進行殺毒或者更新系統，以免木馬病毒通過無線網絡傳播企業內部網絡。

4結束語

通過深入太倉中小企業調研，了解企業的網絡信息安全現狀及存在問題，結合網絡信息安全建設方案，從物理安全、計算機硬件軟件安全、網絡體系結構安全、病毒防范、入侵檢查、防火墻配置、信息系統運行維護等方面給出切實可行的網絡信息安全建設方案，有針對性對太倉中小企業網絡信息安全建設策略研究。參考文獻：[1]馮運仿.基于防水墻系統的中小企業信息安全策略[J].安防科技,2006(9):57-58.

[2]周偉.電子商務信息安全技術淺議[J].農業網絡信息,2007(4):95-96.

[3]項菲,林山.中小企業信息安全策略研究[J].電腦知識與技術,2009(5):325-326.

[4]趙向梅,杜曉春,侯亞玲.中小企業網絡安全問題和策略研究[J].電子測試,2014(6):134-135.

[5]邵琳,劉源.淺談企業網絡安全問題及其對策[J].科技傳播,2010(10)：207-208.

[6]王鋒.關于企業網絡安全問題的探討[J].電腦知識與技術,2010(19):207-208.

[7]劉建偉.企業網絡安全問題探討[J].甘肅科技,2006(5):62-63.

第3篇：企業網絡安全策略范文

網絡安全是一個較為系統的概念，網絡安全解決方案的可靠性是建立在集成網絡安全技術的基礎之上，由于受到各種各樣因素的影響而對眾多供電企業的網絡安全構成威脅。隨著現代科學技術水平的不斷提高，電網安全生產系統、電力調度監控系統以及用電營銷系統等已廣泛應用于供電企業中。應用信息網絡安全技術可確保各應用系統穩定可靠運行，有效提高各系統數據傳輸的效率，實現數據集中和數據資源共享[1]。但是，網絡信息中仍然存在較多安全問題，需要對其給予重視，提高計算機網絡信息的安全性并加強防護對供電企業的正常運行以及發展均具有非常重要的意義。

1地級市供電企業信息網絡存在的安全問題

1.1內網網絡結構不健全

現今，地級市供電企業的內網結構未能達到企業內網網絡信息化的良好狀態，其結構還不夠健全。地級市供電企業由于條件有限，對信息安全工作的投入并不多，使其存在較大的安全隱患，加上各項安全保障措施不到位，使得內網網絡缺乏健全性。但是，隨著營銷、生產、財務等各個專業的信息系統的上線投運，使得整個信息管理模式中較為薄弱的網絡安全系統成為最短板。

1.2職工安全防范意識不夠

要使網絡信息安全得到保障，就要提高地級市供電企業的工作人員的綜合素質。目前，地級市供電企業的工作人員具有技術水平參差不齊、缺乏安全防范意識的特點。年輕職員的操作能力不夠高，對突發事件的應對措施等相關知識沒有足夠的積累；而老齡職工又難以完全掌握網絡信息安全，跟不上信息化的更新腳步，對新型網絡技術的了解不全面等[2]。這也是地級市供電企業信息網絡安全中存在的問題，應當給予重視。

1.3網絡信息化機構漏洞較多

當前地級市供電企業的網絡信息化管理還不是一個完整的體系，其中各類系統的數據存儲、關鍵流程流轉等都是非常重要的環節，不能出現任何問題，但由于安全管理的漏洞較多，所承載的網絡平臺的安全性也較低，使信息管理的發展不具平衡性。針對現狀來看，計算機病毒、黑客攻擊等所導致的關鍵保密數據外泄是對地級市供電企業最具威脅性的安全隱患。雖然應用各種計算機準入技術和可移動存儲介質的加密技術可保障企業信息網絡安全，但是還存在操作系統正版化程度嚴重不足的情況[3]。由于被廣泛使用的XP操作系統在企業內已停止更新，導致操作系統的針對性攻擊越來越頻繁。一旦出現計算機網絡病毒，就會在企業內部的計算機中進行大規模傳播，從而為相對公開化的網絡提供了機會，導致計算機系統遭到惡意破壞，甚至系統崩潰。不法分子就會趁機盜取企業的機密文件，對供電系統的相關數據進行篡改，毀滅性地攻擊供電系統，嚴重時還會導致整個供電系統的大面積癱瘓。

2對地級市供電企業信息網絡安全的防范措施

2.1加強對網絡設備的管理

采用內外網物理隔離，在內網邊界設置入侵監測系統；在內外網邊界同時設置千兆硬件防火墻。對VLAN裝置進行優化，對局域網合理分割安全區域；對于VLAN之間的信息交換進行嚴格規劃，訪問控制列表須詳細規劃，對VLAN的合法訪問給予授權，對非法訪問則進行隔離，同時還要運用VACL優化訪問控制列表，使其安全性得到保障。入侵監測系統的配置可對利用常用端口的漏洞所實施的攻擊以及病毒進行防范。

2.2加強對服務器的管理

專用業務服務器的訪問權限較嚴格，其訪問精度須達到“終端級別”；采用VACL隔離無需相互訪問的服務器。仔細認真地整理和統計服務器中應用系統的使用對象及需開放的服務端口，并根據實際情況進行調整。逐一匹配IDS到開通的服務端口中，并對同一源地址、目的地址的連接次數進行限制，控制數據包的大小，監控對主機提供服務的端口，如果發現有攻擊行為就會自動連接到防火墻模塊。

2.3加強對終端設備的管理

設置北信源內網安全管理系統可對終端設備管理進行強化，從而保護內部資源與網絡的安全。這個系統是由移動存儲管理、文件保密管理、補丁管理和終端管理構成，終端管理系統可使桌面行為監管、準入控制、外設與接口管理、終端資產管理等功能得以實現。補丁管理系統是分析系統漏洞以及對流量進行控制，而文件保密管理和移動存儲管理是對文件、目錄、U盤、磁盤盒等進行保密管理。

2.4防火墻的攔截

防火墻被稱為控制逾出兩個方向通信的門檻，是對計算機網絡安全進行保護的一種技術措施，也是對網絡中的黑客入侵進行阻止的有力屏障。在電力系統殺毒軟件的基礎上再對防火墻軟件系統進行配置是安全性較高的措施，并且可以預防黑客或不法分子的入侵，對計算機網絡信息和系統的備份都具有重要意義，另外還可定期檢查備份，使其有效性得到保證[4]。防火墻系統由過濾防火墻、防火墻和雙穴防火墻組成。過濾防火墻是設置于網絡層的，它能夠實現路由器上的過濾。防火墻又稱應用層網管級防火墻，由服務器和過濾路由器組成，是目前最流行的防火墻。雙穴防火墻主要是對一個網路的數據進行搜集，并選擇性地將數據發送至另一個網絡中。在電力系統中合理、科學地配置防火墻可保障計算機信息網絡的安全性，同時對網絡之間連接的可靠性和安全性也具有重要意義。

2.5使用正版化的操作系統和應用軟件，并及時升級

使用正版化的操作系統和應用軟件具有專業有效的售后服務支持，可隨時請專業人員對電腦所出現的問題進行解決。另外，隨著人們對軟件功能要求和硬件升級的不斷提高，使用正版化的操作系統和應用軟件可隨時獲得安全升級，避免盜版軟件所帶來的安全隱患，有效防范企業隱私信息外泄。因此，地級市供電企業應使用正版化的操作系統和應用軟件，并及時進行升級，以使信息網絡的安全性得到提高。

2.6提高員工的綜合素質

地級市供電企業應提高全體工作人員的計算機網絡信息安全知識水平和技術水平，提高其計算機網絡信息竊密泄密的防護水平以及綜合能力。嚴禁將泄密的計算機和互聯網或其他公共信息網進行連接，在非泄密計算機或者互聯網中對機密文件進行處理，落實計算機網絡信息安全保密責任制，提高員工對網絡安全的認識[5]。還可設立安全保密管理系統，簽署保密協議，對供電企業的計算機網絡安全的管理與監督進行加強，定期對其安全性進行檢查。做好文件的登記、存檔和銷毀工作，對系統中的網絡信息安全隱患能夠及時發現并處理，從而保證地級市供電企業網絡信息的安全。另外，企業也應嚴格遵循相關的信息保密工作文件要求，防止外部侵害和網絡化所造成的機密泄露。

3結束語

第4篇：企業網絡安全策略范文

一、網絡操作系統安全風險分析與對策

目前常用網絡操作系統有windows、UNIX、linux操作系統，這些操作系統開發在過程中要考慮到方便用戶使用，但在方便使用的前提下也暴露出一些問題：（1）操作系統默認配置存在安全隱患：如Windows操作系統默認設置可以從光盤或U盤啟動，這種設置可以避開登錄密碼直接進入操作系統，另外操作系統默認安裝了一些不常用的服務和端口，為非法用戶的入侵提供了便利。（2）操作系統支持在網絡上共享數據、加載或安裝程序，這些功能方便了非法用戶注入和運行木馬程序，為獲取用戶的信息提供了方便之門。（3）操作系統自身結構問題，如：windows操作系統自身提供的IPC$鏈接、遠程調用等都存在安全隱患。IPC$鏈接是通過DOS界面在獲得管理員權限的前提下獲得遠程計算機的信息；ftp服務傳輸過程為明碼傳輸，使用抓包工具即可獲取FTP服務器的登錄賬號和密碼，telnet遠程登錄需要經過很多的環節，中間的通訊環節可能會出現被人監控等安全問題，所以為了加固網路操作安全可以采用以下措施：1、加強物理安全管理禁止通過DOS或其它操作系統訪問NTFS分區。在BIOS中設置口令，禁止使用U盤或光驅引導系統。2、加強用戶名和口令的管理windows操縱系統Administrator管理員用戶和Unix/Linux操作系統root特權用戶均具有對操作系統的完全控制權限，所以是入侵者想要獲取的信息。用戶名保護：Windows非管理員賬戶在輸入密碼錯誤后可設置成鎖定該用戶，但是Administrator不能刪除和禁用，所以攻擊者可以反復嘗試登陸，試圖獲取密碼。為了增加攻擊者獲取管理員權限的難度，可以為Administrator重命名，這樣攻擊者不但要猜出密碼，還要先猜出管理員修改后的用戶名。Root用戶不能更名，為了保護該用戶，在沒有必要的情況下，不要用root用戶登錄本機及遠程登錄服務器。密碼保護：密碼設置應按照密碼復雜度要求設置并定期更換密碼，同時密碼的設置不要用普通的英文單詞或比較公開的信息如生日、車牌等。3、加強用戶訪問權限的管理有些管理員為了方便用戶訪問文件系統，為用戶開放了所有權限，如windows操作系統中為everyone工作組授予了“完全控制”權限，UNIX/Linux操作系統為所有用戶設置讀寫執行權限，這樣的設置方便非法用戶上傳木馬，所以為了文件系統的安全，必須重新設置文件系統的權限，在保證正常運行的前提下，為用戶設置最小的訪問權限。4、加強服務和端口的管理當用戶開啟操作系統后，操作系統自帶的某些服務會自動運行，而非法用戶會針對這些服務進行遠程攻擊，而一些不常使用的端口也容易被非法用戶利用，作為再次入侵的后門，所以應該將不常使用的服務和端口關閉。

二、數據安全風險分析及對策

企業網絡的數據安全不可避免的受到外界的威脅，而數據的任何失誤，都可能對企業帶來巨大的損失。目前數據泄漏的主要途徑是：辦公計算機或硬盤的外帶；利用移動存儲設備將數據帶出；通過網絡傳輸文件；通過外設拷貝數據；服務器被非法入侵等。為了防止企業數據泄露可以采用如下措施：1、磁盤加密針對硬盤丟失或被盜造成的泄密風險，可以通過對磁盤驅動層的加密加固處理，保證硬盤在被非法外帶或丟失后呈“鎖死”狀態，硬盤內容無法被他人所讀取。2、移動存儲設備使用管理對于移動存儲設備設置加密寫入，即拷貝到該類設備的文檔都會以密文形式存在，密文只有拷貝回本地計算機才能解除加密。3、文檔傳輸控制對于文檔傳輸可以采取文件外發對象控制（指定可以外發文件的對象列表）、文件外發加密（外發的文檔處于加密狀態）、文件外發審批（外發的文件需要經領導審批方可發送）等形式進行控制。4、外設與外設端口管理針對具備數據傳輸的數據端口和外設，如紅外、藍牙、無線網卡、刻錄光驅等，只要與辦公無實質性的聯系應設置為禁用。5、文件服務器安全管理公司內部之間最為普及的是利用文件服務器進行文件傳遞。文件服務器上的數據經過長期累積存儲，往往會成為“竊密”的重災區。為了防止服務器的外泄，可以在防火墻中過濾和排查來訪者身份的真實性與有效性，只有合法的客戶端且得到管理員授權的用戶會被放行，非法用戶將被禁止。

作者：王琪 單位：天津工程職業技術學院

第5篇：企業網絡安全策略范文

【關鍵詞】企業；網絡信息安全；問題；對策

【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1672-5158（2013）04-0188-01

隨著我國經濟的快速發展，市場競爭越來越激烈，企業要想在激烈的市場競爭中占得優勢必須提高企業的工作效率，提高企業的效率就要依靠技術的發展。隨著計算機網絡的快速發展和自身的優勢，很多企業為了提高企業的工作效率都引入了計算機網絡技術，來提高企業內部的管理。的確，計算機網絡技術給企業的管理帶來了極大的便利，但是在提供便利和提高工作效率的同時也帶來了一些企業信息安全的隱患，比如黑客的攻擊、病毒的攻擊、惡意程序的攻擊等危害。因此，為了保證企業信息的安全，必須采取相應的措施來解決這些問題。

一、安全隱患

企業內部網絡信息的安全隱患主要包括網絡安全風險、系統的安全風險、管理的安全風險、黑客的攻擊和病毒的攻擊。網絡的安全風險主要包括公開服務器面臨的威脅和整個網絡結構面臨的威脅。公開服務器主要的任務就是為外界提供服務，所以每天都要向外界開放相應的服務，這就給黑客的進入提供了機會，一些黑客每時每刻都在準備著闖入網絡的節點，這些節點如果不能夠時刻保持警惕，黑客就會隨時入侵，最后還會出現連黑客是什么時候侵入的都不知道，嚴重的情況，這些節點還可能成為黑客攻擊其他站點的跳板。整個網絡的結構是否成熟直接影響著安全系統的建設，只有具備安全的網絡系統才能夠保證安全的應用網絡。有一些企業直接把路由器和網絡連接起來，這樣的網絡結構就比較簡單，但正是這種簡單的網絡結構，才減少了因為網絡結構和網絡路由所帶來的安全的風險。

系統的安全主要是指整個網絡操作的系統和網絡硬件的平臺是否值得信任。從當前我國的信息技術發展的情況來看，或許并不存在絕對安全的操作系統，一些系統本身就存在著很大的漏洞，這些漏洞就給網絡信息的安全帶來隱患。

企業的網絡管理對維護網絡信息的安全具有重要的作用，很多企業中存在著責權不明的情況，同時也沒有相應的安全管理制度，或者即使有安全管理制度卻缺乏可操作性，這些問題都給信息安全帶來了嚴重的隱患。責權不明就會導致管理的混亂，有一些員工利用這樣的機會隨便的帶一些非企業人員進入機房重地，這些工作人員還會在無意之間泄露一些企業的信息，但是由于缺乏管理制度，企業也不會對其進行相應的懲罰，久而久之們就會給企業的網絡信息安全帶來嚴重危害。另外，一些企業還會發生內部人員錯誤操作的事故。這主要是因為，企業信息技術管理人員的計算機水平比較低，或者跟不上計算機更新換代的速度，對計算機網絡并不是特別熟悉，在一些情況下就會出現錯誤操作的事件，這些錯誤的操作當時可能并不在意，但是它會造成企業信息的丟失或者通過計算機網絡系統流失出去，從而給企業信息的安全帶來隱患。還有一些企業內部人員故意破壞系統，因此企業必須加強對計算機網絡工作人員的管理。

企業的網絡隨時都會遇到黑客的攻擊，黑客會利用網絡系統中的和企業管理中的一切漏洞對計算機網絡進行攻擊。黑客可以輕易的騙過公開服務器軟件，直接進入口令文件，另外，黑客還可以開發其他的欺騙程序，監聽登陸會話。如果黑客發現有用戶登錄時，就會把用戶的信息儲存下來，這樣它就擁有了其他人的賬戶和口令。黑客的攻擊給企業的信息安全造成的隱患是最大的。

另外，企業的計算機網絡系統還會受到病毒的攻擊，一些病毒在侵入網絡系統之后還可能會在網絡上產生新的病毒，這就給計算機的安全帶來了嚴重的威脅。目前，計算機的病毒的種類和傳播的方式不斷增加，因此，為了保證企業信息的安全必須加強系統對病毒的防范能力。

二、網絡安全技術

1、密碼的使用

為了使企業的信息更加安全應該對企業的一些數據進行加密，這樣即使有的人切取了數據，但是卻沒有密碼，這些數據在他們那依然發揮不了作用，這樣一來就可以充分的保證企業信息的安全。但是，隨著科學技術的發展，有些人能夠破解密碼，這就需要企業擁有較高技術的計算機人才，對數據進行加密。

2、防火墻技術

防火墻系統可以決定哪些企業內部資源可以被外部人員訪問，內部人員可以訪問哪些外部服務，它是內部網絡和外部網絡之間的一道屏障，對維護企業信息的安全具有重要的作用。內部網絡和外部網絡之間所傳輸的信息，只有經過防火墻的檢查才能夠通過，這就從更細的部分保證了企業信息的安全。對數據的處理有很多方法，根據這些方法，防火墻可以分為兩個體系：包過濾防火墻和防火墻。包過濾防火墻技術本身就具有一些審查原則，如果信息和防火墻的審查原則相符合，那么信息就會進入網絡系統，反之就會被防火墻阻擋在網絡之外。防火墻采用的是的技術，從網絡內部發出的信息在經過防火墻的處理之后，可以隱藏內部的網絡結構。從當前的防火墻技術來看。防火墻可以起到更好的保護網絡內部信息的作用，防火墻的核心技術其實就是服務器的功能。

3、計算機病毒防治技術

計算機病毒防治技術主要包括文件實時監控技術、嵌入式殺毒技術和特征碼掃描法等。文件實時監控技術主要是通過操作系統底部的接口技術，對系統內部的各種文件類型進行實時的監督，能夠及時發現侵入系統的病毒。嵌入式殺毒技術主要是針對那些經常遭遇到病毒入侵的文件的，對這些文件提供重點的保護技術，它主要是通過操作系統或者應用程序的內部接口來實現的。它主要是對那些用戶使用的頻率較高、使用的范圍比較廣的軟件提供保護。特征掃描法主要是通過對病毒的分析，把病毒存放在病毒代碼的文件中，在對病毒進行掃描的時候一旦發現病毒的特點和病毒庫中的病毒代碼相符，從而判定系統染上了病毒。

4、入侵檢測技術

當企業的計算機網絡技術工作人員對計算機技術不了解時，就會出現利用系統中的非授權的資源，這會造成系統數據的丟失或者使系統數據遭到破壞，與此同時，系統還會拒絕合法的用戶的服務請求。在這種情況下，就需要入侵檢測技術對網絡系統進行保護。入侵檢測技術能夠及時的發現系統中未授權的資源或者其他異常的現象，它可以充分的維護計算機信息系統的安全，同時它還可以及時的發現違反安全策略的行為。

另外，為了保證企業內部信息的安全還需要工作人員做好備份工作。很多重要的企業內部信息，一旦丟失就會給企業帶來嚴重的經濟損失，所以，工作人員除了在企業的計算機網絡上存留企業的信息，還應該做好這些信息的備份工作。如可以把重要的信息存儲到u盤，但是必須對u盤進行加密，防止信息的流逝。

第6篇：企業網絡安全策略范文

關鍵詞:網絡安全,用戶意識,解決方案

1、網絡安全的重要性

網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用書序、數論、信息論等多種學科。網絡安全是指網絡系統等硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄漏,系統連續可靠正常地運行,網絡服務不中斷。具體而言,網絡安全要:保護個人隱私;控制對網絡資源的訪問;保證用戶秘密信息在網絡上傳輸的保密性、完整性、真實性及不可抵賴;控制不健康的內容或危害社會穩定的言論;避免國家及企業機密泄漏等。

隨著企業信息化建設的飛速發展,網絡數據量的迅速增長,網絡安全問題已經越來越受到人們廣泛的關注,各種病毒花樣繁多、層出不窮;系統、程序、軟件的安全漏洞越來越多;黑客們通過不正當的手段侵入他人電腦,非法獲得信息資料,給正常使用網絡的用戶帶來不可估計的損失。很多企業及用戶就曾深受其害。

2、 破壞網絡安全的因素

破壞網絡安全的因素主要包括物理上的、技術上的、管理上的及用戶意識幾個方面。

從物理上講,我網絡安全是脆弱的。就如通信領域所面臨的問題一樣,網絡涉及的設備分布極為廣泛,任何個人或組織都不可能時刻對這些設備進行全面的監控。任何安置在不能上鎖的地方的設施,包括有線通訊線,電話線,局域網,遠程網等都有可能遭到破壞,從而引起業務中斷,如果是包含數據的軟盤,光盤,主機等被盜,更會引起數據的丟失和泄漏。

從技術上講,首先,系統必須提供一定的途徑以許可外系統的訪問;其次,系統必須有足夠的能力對這些訪問進行控制。如果控制技術本身有缺陷,就有可能被攻擊者利用。如在網絡上廣泛應用的Windows2000、WindowsXP等系統都存在自身的缺陷。最后,即使控制技術本身并無缺陷,在選用控制系統時還有一個平衡的問題;控制太嚴,合法用戶的正常使用將受到影響;控制太松,就會有漏洞。要做到恰到好處的控制并不是一件容易的事。

從管理上說,沒有一只高效的網絡安全管理隊伍,沒有一套網絡安全技術培訓和用戶安全意識教育機制,也是造成網絡不安全的一個重要因素。上百個用戶的網絡就靠一兩個網絡管理員來維護,勢必造成頭痛醫頭、腳痛醫腳的局面。

下面就重點分析一下用戶意識因素:

大多數系統是以用戶為中心的。一個合法的用戶在系統內可以執行各種操作。管理人員可以通過對用戶的權限分配,限定用戶的某些行為,以避免故意的或非故意的某些破壞。然而,更多的安全措施必須由用戶自己來完成,比如:

2.1碼控制

一個合理的要求是,由用戶來管理自己的登錄密碼。系統管理員可以更改用戶的密碼,但不能讀取用戶的密碼。用戶必須對自己密碼的安全性、保密性負責。一個不好的(或不安全的)密碼事實上不能起到密碼的作用。在下面的分析中,將進行具體的分析。同樣,如果不能保證密碼的保密性,自然密碼也是虛設。

2.2文件管理

用戶對自己的文件必須負責。對于一般的系統和應用,文件的創建者擁有對文件的全部權限,包括將權限分配給他人的權限。如果缺省設置是文件創建后,僅有文件創建者擁有對文件的權限,其他人必須顯示得到權限分配,問題會小些。然而,多數系統(Microsoft、Windows)對文件權限的設置是:只要沒有顯示的限制,都是可以訪問的。這樣,對文件訪問的安全問題實際上是交給了用戶自己管理。

2.3運行安全的程序

目前在系統一級上,尚無對病毒的有效控制。什么程序是安全的,什么程序是可能包含病毒的,只能由用戶自己判斷。一個用戶只要有寫文件、運行文件的權利,就有可能無意中給系統裝上木馬程序。

2.4保持警惕

這兩年,電子郵件病毒日益猖獗。同前一個問題一樣,電子郵件的安全也只能由用戶自己控制。在瀏覽網頁時,也可能遇上陷阱,這些都要求用戶保持警惕。

3、網絡安全的解決方案

網絡的安全不是單純的技術問題,他和系統的管理維護制度方面密切相關。要實現完整的企業網絡安全性,首先要制定一個完整的企業安全策略。一個完整的企業網絡安全策略涵蓋的內容很多,整個網絡系統的安全性也不僅依賴于安全可靠的網絡操作、應用系統、網絡設備的安全性。

3.1需求、風險、代價平衡分析的原則

對一個網絡要進行實際分析,對網絡面臨的威脅及可能承擔的風險進行定性和定量的分析,然后制定規范和措施,確定本系統的安全策略、保護成本、被保護信息的價值必須平衡。

3.2授權、認證原則

對那些確實需要保護的企業網絡資源(包括設備、軟件、數據等),保證在對這些資源訪問前,用戶必須經過授權和認證,符合身份驗證和授權的用戶才能夠獲得相應的訪問權限。

3.3一致性原則

主要指只有應該具備訪問權的人才能夠獲得相應的訪問資源的賬號。這里要特別注意因為員工更換部門或者離開公司,其相應的權限和賬號也要相應取消。

3.4綜合性、完整性原則

運用系統工具的觀點、方法分析網絡安全的問題,并制定具體措施。一個較好的安全措施往往是多種方法綜合應用的結果。

3.5建立安全監控、報警手段或者機制

可對網絡的安全策略是否得到正確的實施,以及對違反安全策略的行為予以報警,有助于確保整個網絡系統的安全性。

3.6易操作性原則

如果措施過于復雜,對人的要求過高,本身就降低來安全性。

3.7適應性、靈活性原則

安全措施必須能隨網絡性能及安全需求的變化而變化,要容易、適應修改。

第7篇：企業網絡安全策略范文

本文介紹了網絡安全管理要素，并結合筆者多年工作實踐經驗，以某卷煙廠企網絡安全管理技術的應用為例，針對企業網絡安全方案展開研究，希望能夠為網絡安全管理技術在OSS中的應用提供一點理論支持。

【關鍵詞】

網絡安全；管理技術；應用

1網絡安全管理要素

目前，隨著互聯網的普及與發展，人們對網絡的應用越來越廣泛，對網絡安全的意識也不斷增強，尤其是對于企業而言，網絡安全管理一直以來都存在諸多問題。網絡安全管理涉及到的要素非常多，例如安全策略、安全配置、安全事件以及安全事故等等，這些要素對于網絡安全管理而言有著重大影響，針對這些網絡安全管理要素的分析與研究具有十分重要的意義。

1.1安全策略

網絡安全的核心在于安全策略。在網絡系統安全建立的過程中，安全策略具有重要的指導性作用。通過安全策略，可以網絡系統的建立的安全性、資源保護以及資源保護方式予以明確。作為重要的規則，安全策略對于網絡系統安全而言有著重要的控制作用。換言之，就是指以安全需求、安全威脅來源以及組織機構狀況為出發點，對安全對象、狀態以及應對方法進行明確定義。在網絡系統安全檢查過程中，安全策略具有重要且唯一的參考意義。網絡系統的安全性、安全狀況以及安全方法，都只有參考安全策略。作為重要的標準規范，相關工作人員必須對安全策略有一個深入的認識與理解。工作人員必須采用正確的方法，利用有關途徑，對安全策略及其制定進行了解，并在安全策略系統下接受培訓。同時，安全策略的一致性管理與生命周期管理的重要性不言而喻，必須確保不同的安全策略的和諧、一致，使矛盾得以有效避免，否則將會導致其失去實際意義，難以充分發揮作用。安全策略具有多樣性，并非一成不變，在科學技術不斷發展的背景下，為了保證安全策略的時效性，需要對此進行不斷調整與更新。只有在先進技術手段與管理方法的支持下，安全策略才能夠充分發揮作用。

1.2安全配置

從微觀上來講，實現安全策略的重要前提就是合理的安全配置。安全配置指的是安全設備相關配置的構建，例如安全設備、系統安全規則等等。安全配置涉及到的內容比較廣泛，例如防火墻系統。VPN系統、入侵檢測系統等等，這些系統的安全配置及其優化對于安全策略的有效實施具有十分重要的意義。安全配置水平在很大程度上決定了安全系統的作用是否能夠發揮。合理、科學的安全配置能夠使安全系統及設備的作用得到充分體現，能夠很好的符合安全策略的需求。如果安全配置不當，那么就會導致安全系統設備缺乏實際意義，難以發揮作用，情況嚴重時還會產生消極影響。例如降低網絡的流暢性以及網絡運行效率等等。安全配置的管理與控制至關重要，任何人對其隨意更改都會產生嚴重的影響。并且備案工作對于安全配置也非常重要，應做好定期更新工作，并進行及時檢查，確保其能夠將安全策略的需求能夠反映出來，為相關工作人員工作的開展提供可靠的依據。

1.3安全事件

所謂的安全事件，指的是對計算機系統或網絡安全造成不良影響的行為。在計算機與域網絡中，這些行為都能夠被觀察與發現。其中破壞系統、網絡中IP包的泛濫以及在未經授權的情況下對另一個用戶的賬戶或系統特殊權限的篡改導致數據被破壞等都屬于惡意行為。一方面，計算機系統與網絡安全指的是計算機系統與網絡數據、信息的保密性與完整性以及應用、服務于網絡等的可用性。另一方面，在網絡發展過程中，網絡安全事件越來越頻繁，違反既定安全策略的不在預料之內的對系統與網絡使用、訪問等行為都在安全事件的范疇之內。安全事件是指與安全策略要求相違背的行為。安全事件涉及到的內容比較廣泛，包括安全系統與設備、網絡設備、操作系統、數據庫系統以及應用系統的日志與之間等等。安全事件將網絡、操作以及應用系統的安全情況與發展直接的反映了出來，對于網絡系統而言，其安全狀況可以通過安全事件得到充分體現。在安全管理中，安全事件的重要性不言而喻，安全事件的特點在于數量多、分布散、技術復雜等。因此，在安全事件管理中往往存在諸多難題。在工作實踐中，不同的管理人員負責不同的系統管理。由于日志與安全事件數量龐大，系統安全管理人員往往難以全面觀察與分析，安全系統與設備的安全缺乏實際意義，其作用也沒有得到充分發揮。安全事件造成的影響有可能比較小，然而網絡安全狀況與發展趨勢在很大程度上受到這一要素的影響。必須采用相應的方法對安全事件進行收集，通過數據挖掘、信息融合等方法，對其進行冗余處理與綜合分析，以此來確定對網絡、操作系統、應用系統產生影響的安全事件，即安全事故。

1.4安全事故

安全事故如果產生了一定的影響并造成了損失，就被稱為安全事故。如果有安全事故發生那么網絡安全管理人員就必須針對此采取一定的應對措施，使事故造成的影響以及損失得到有效控制。安全事故的處理應具有準確性、及時性，相關工作人員應針對事故發生各方面要素進行分析，發現事故產生的原因，以此來實現對安全事故的有效處理。在安全事故的處理中，應對信息資源庫加以利用，對事故現場系統或設備情況進行了解，如此才能夠針對實際情況采取有效的技術手段，使安全事故產生的影響得到有效控制。

1.5用戶身份管理

在統一網絡安全管理體系中，用戶管理身份系統占據著重要地位。最終用戶是用戶身份管理的主要對象，通過這部分系統，最終用戶可以獲取集中的身份鑒別中心功能。在登錄網絡或者對網絡資源進行使用的過程中，身份管理系統會鑒別用戶身份，以此保障用戶的安全。

2企業網絡安全方案研究

本文以某卷煙廠網絡安全方案為例，針對網絡安全技術在OSS中的應用進行分析。該企業屬于生產型企業。該企業網絡安全管理中，采用針對性的安全部署策略，采用安全信息收集與信息綜合的方法實施網絡安全管理。在網絡設備方面，作為網絡設備安全的基本防護方法：①對設備進行合理配置，為設備所需的必要服務進行開放，僅運行指定人員的訪問；②該企業對設備廠商的漏洞予以高度關注，對網絡設備補丁進行及時安裝；③全部網絡設備的密碼會定期更換，并且密碼具有一定的復雜程度，其破解存在一定難度；④該企業對設備維護有著高度重視，采取合理方法，為網絡設備運營的穩定性提供了強有力的保障。在企業數據方面，對于企業而言，網絡安全的實施主要是為了病毒威脅的預防，以及數據安全的保護。作為企業核心內容之一，尤其是對于高科技企業而言，數據的重要性不言而喻。為此，企業內部對數據安全的保護有著高度重視。站在企業的角度，該企業安排特定的專業技術人員對數據進行觀察，為數據的有效利用提供強有力的保障。同時，針對于業務無關的人員，該企業禁止其對數據進行查看，具體采用的方法如下：①采用加密方法處理總公司與子公司之間傳輸的數據。現階段，很多大中型企業在各地區都設有分支機構，該卷煙廠也不例外，企業核心信息在公司之間傳輸，為了預防非法人員查看，其發送必須采取加密處理。并且，采用Internet進行郵件發送的方式被嚴令禁止；②為了確保公司內部人員對數據進行私自復制并帶出公司的情況得到控制，該企業構建了客戶端軟件系統。該系統不具備U盤、移動硬盤燈功能，無線、藍牙等設備也無法使用，如此一來，內部用戶將數據私自帶出的情況就能夠得到有效避免。此外，該企業針對辦公軟件加密系統進行構建，對辦公文檔加以制定，非制定權限人員不得查看。在內部網絡安全上，為了使外部網絡入侵得到有效控制，企業采取了防火墻安裝的方法，然而在網絡內部入侵上，該方法顯然無法應對。因此，該企業針對其性質進行細致分析，采取了內部網絡安全的應對方法。企業內部網絡可以分為兩種，即辦公網絡與生產網絡。前者可以對Internet進行訪問，存在較大安全隱患，而后者則只需將內部服務器進行連接，無需對Internet進行訪問。二者針對防火墻系統隔離進行搭建，使生產網絡得到最大限度的保護，為公司核心業務的運行提供保障。為了使網絡故障影響得到有效控制，應對網絡區域進行劃分，可以對VLAN加以利用，隔離不同的網絡區域，并在其中進行安全策略的設置，使區域間影響得到分隔，確保任何一個VLAN的故障不會對其他VLAN造成影響。在客戶端安全管理方面，該企業具有較多客戶端，大部分都屬于windows操作系統，其逐一管理難度打，因此企業內部采用Windows組側策略對客戶端進行管理。在生產使用的客戶端上，作業人員的操作相對簡單，只需要利用嚴格的限制手段，就可以實現對客戶端的安全管理。

作者：楊國欣 霍重寧 單位：廣西中煙工業有限責任公司

參考文獻

[1]崔小龍.論網絡安全中計算機信息管理技術的應用[J].計算機光盤軟件與應用，2014（20）：181~182.

[2]何曉冬.淺談計算機信息管理技術在網絡安全中的應用[J].長春教育學院學報，2015（11）：61~62.

第8篇：企業網絡安全策略范文

不久前，思科系統公司首席安全官John Stewart稱：“企業正在安全流程中浪費金錢，使用補丁和使用殺毒軟件，都是不起作用的?！?/p>

對此筆者的感想是，在理論上思科公司是可以不使用殺毒軟件、打補丁的方法，用更先進的措施辦法來解決病毒等威脅攻擊的。但我也想用個現實的例子說明一下：晉惠帝御宴，方食肉脯，東撫奏旱荒，饑民多餓死。帝曰：“饑民無谷食，便食這肉脯，也可充腹，何致餓死？”這其實和思科首席安全官的話語有很大程度的相似。

那么，企業究竟應該如何保證企業網絡的安全呢？筆者認為應該從以下幾步開始。

第一步:

確定安全策略

首先弄清楚所要保護的對象。公司是否在運行著文件服務器、郵件服務器、數據庫服務器?辦公系統有多少客戶端、業務網段有多少客戶端、公司的核心數據有多少，存儲在哪里?目前亞洲地區仍有相當多的公司，手工將關鍵數據存儲在工作簿或賬簿上。如果貴公司的計算機通常只是用來文字處理，或者是玩游戲，那數據可能根本不值得去保護。然而，如果貴公司保存有大量的敏感信息，例如信用卡號碼或者財務往來交易事項，那么貴公司所需要的安全等級將會很高。

一般企業網絡的應用系統，主要有Web、E-mail、OA、MIS、財務系統、人事系統等。而且隨著企業的發展，網絡體系結構也會變得越來越復雜，應用系統也會越來越多。從整個網絡系統的管理上來看，既有內部用戶，也有外部用戶，因此，整個企業的網絡系統存在以下兩個方面的安全問題：

1.Internet的安全性:目前互聯網應用越來越廣泛，黑客與病毒無孔不入，這極大地影響了Internet的可靠性和安全性，保護Internet、加強網絡安全建設已經迫在眉捷。

2.企業內網的安全性:企業內部的網絡安全同樣需要重視，存在的安全隱患主要有未授權的訪問、破壞數據完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監控和防范技術手段、缺乏有效的手段來評估網絡系統和操作系統的安全性、缺乏自動化的集中數據備份及災難恢復措施等。

第二步:

弄清自身需求

要搞清楚，每年預算多少經費用于支付安全策略?可以購買什么?是一個入門級常用的防火墻還是一個擁有多種特性的綜合網關UTM產品?企業局域網客戶端的安全需求是什么？有多少臺嚴格的機器？此外，很重要的一步便是在功能性和安全性方面做出選擇。貴公司網絡必須提供的服務有哪些：郵件、網頁還是數據庫?該網絡真的需要即時消息么?某些情況下，貴公司擁有什么并不重要，重要的是怎么利用它。相對于將整個預算花在一個“花架子”似的防火墻上，實現多層防御是一個很不錯的策略。盡管如此，我們還是有必要去查看一下整個網絡，并弄清楚如何劃分才會最佳。

針對網絡受到非法攻擊以及病毒爆發，網絡管理員還需做好準備工作:目前的設備能夠做好足夠的日志么?路由器、防火墻或者系統日志服務器能夠告訴我們非法侵入的時間和手段嗎?是否有一個適當位置可以用來恢復?如果受到攻擊的服務器需要擦除并重新配置，能盡可能減少關鍵數據的流失，并快速實現么?

因此，筆者認為，企業的安全需要可以歸納為以下幾點。

1．基本安全需求

保護企業網絡中設備的正常運行，維護主要業務系統的安全，是企業網絡的基本安全需求。針對企業網絡的運行環境，主要包括：網絡正常運行、網絡管理、網絡部署、數據庫及其他服務器資料不被竊取、保護用戶賬號口令等個人資料不被泄露、對用戶賬號和口令進行集中管理、對授權的個人限制訪問功能、分配個人操作等級、進行用戶身份認證、服務器、PC機和Internet/Intranet網關的防病毒保證、提供靈活高效且安全的內外通信服務、保證撥號用戶的上網安全等。

2．關鍵業務系統的安全需求

關鍵業務系統是企業網絡應用的核心。關鍵業務系統應該具有最高的網絡安全措施，其安全需求主要包括：訪問控制，確保業務系統不被非法訪問；數據安全，保證數據庫軟硬系統的整體安全性和可靠性，保證數據不被來自網絡內部其他子系統（子網段）的破壞；安全預警，對于試圖破壞關鍵業務系統的惡意行為能夠及時發現、記錄和跟蹤，提供非法攻擊的犯罪證據；系統服務器、客戶機以及電子郵件系統的綜合防病毒措施等。

第三步:

制定解決方案

前兩步是不可或缺的部分，不了解自身狀況就無法制定因地制宜的解決方案。解決方案是指定給有具體需求的單位，有大眾性，但無通用性。調查顯示：近60%的企業面臨著以防護病毒和惡意行為為主的信息安全需求。

那么，下一步，就是采用何種解決方案的問題。針對防毒解決方案，筆者推薦瑞星公司的幾款產品：瑞星網絡版殺毒軟件企業版、瑞星防毒墻、瑞星網絡安全預警系統。

這是企業整體防毒解決方案，主要是為了以下幾個目的。

1. 網絡邊緣防護

防毒墻可以根據用戶的不同需要，具備針對HTTP、FTP、SMTP和POP3協議內容檢查、清除病毒的能力，同時通過實施安全策略可以在網絡環境中的內外網之間建立一道功能強大的防火墻體系，不但可以保護內部資源不受外部網絡的侵犯，同時可以阻止內部用戶對外部不良資源的濫用。

2. 內部網絡行為監控和規范

網絡安全預警系統可對HTTP、SMTP、POP3和基于HTTP協議的其他應用協議具有100%的記錄能力，企業內部用戶上網信息識別粒度達到每一個URL請求和每一個URL請求的回應。通過對網絡內部網絡行為的監控可以規范網絡內部的上網行為，提高工作效率，同時避免企業內部產生網絡安全隱患。

3. 計算機病毒的監控和清除

網絡殺毒軟件是一個專門針對網絡病毒傳播特點開發的網絡防病毒軟件，可以實現防病毒體系的統一、集中管理，實時掌握了解當前網絡內計算機病毒事件，并實現對網絡內的所有計算機遠程反病毒策略設置和安全操作。

4. 用控制臺和Web方式管理

通過這兩種方式管理員可以靈活、簡便地根據自身實際情況設置、修改安全策略，及時掌握了解網絡當前的運行基本信息。

5. 可進行日志分析和報表統計

這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外，報表系統可以自動生成各種形式的攻擊統計報表，形式包括日報表、月報表、年報表等，通過來源分析、目標分析、類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網絡上發生的各種事件，有助于管理人員提高網絡的安全管理。

6. 功能模塊化組合

第9篇：企業網絡安全策略范文

關鍵詞:企業網絡構架;安全策略;攻擊

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)27-7657-03

The Discussion of Enterprises Network Architecture and Security

MA Wan-tao

(Yinchuan evening newpaper office of NingXia, Yinchuan 750004, China)

Abstract: The thesis first discussed an enterprise wireless local area network structure of security architecture form the current enterprises network architecture and analysed the corresponding protocals.And then the thesis detailed analysed the modern enterprises popular net attacks.At last,the thesis gave the corresponding security stategies according to the analysis of the results of security attacks.

Key words: enterprises network architecture; security stategy; attack

隨著世界信息高新技術的快速發展,計算機網絡在全球各地的企業里得到了廣泛的應用。企業在充分的享受到利用網絡方便快捷的找到信息的同時,也承受著網絡帶來的安全風險問題。因此,對于深入探討企業網絡如何構架從而提高企業網絡的安全性能等問題具有重要的現實意義。

1 企業網絡構架的趨勢

由于下一代互聯網的發展趨勢是移動互聯網,很多城市正在考慮部署全城范圍的寬帶無線接入工程,實現“無線城市”的規劃,因此,本文所探討的是企業無線局域網絡的框架趨勢。信息安全實踐表明安全不是一個單純的技術問題,而是一個復雜的系統工程問題。人們在實踐中逐漸認識到科學的管理是解決信息安全問題的關鍵。信息安全的內涵也由最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性,進而又發展到“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實現技術?；谶@一理論,企業無線局域網絡應具有具有移動安全基礎設施特色、以安全管理為中心的安全體系結構,其構架如圖1所示。

該框架結構主要有三個技術層次,第一層是移動終端安全平臺,該層實現移動終端漏洞的自動修復和安全引擎自動加載技術,實現安全防御技術的集成,如終端防火墻、防惡意代碼、終端HIDS(Host-based Intrusion Detection System,即基于主機型入侵檢測系統)等技術的有機集成。達到綜合安全防御的目標,實現移動終端設各的加固和通用商業移動終端的專用化,體現“防”的思想。第二層是集成化的無線局域網接入管理平臺,通過對安全網關、安全引擎、安全管理、無線局域網安全中間件等有機集成,體現“測、控、管”的思想。其中安全網關提供無線局域網接入管理平臺與無線局域網安全管理平臺之間安全通信的專用保密通道;安全管理組件實現終端軟件漏洞、病毒庫、審計與無線定位等管理,同時對遭受網絡攻擊而癱瘓節點的隔離與修復性管理;實現“測與控”的結合;無線安全中間件足為不同類型的終端提供統一的安全接口,解決移動設備的異構性問題。第三層是無線局域網安全管理層,通過無線局域網危害評佶系統和基礎數據庫,實現無線局域網安全管理的自動化,體現安全中以“評”促“管”的思想。

該框架結構在移動設備、通信鏈路、安全等級、軟件體系和安全基礎數據等方面體現無線局域網安全基礎設施的思想。通過不斷加強安全基礎數據庫建設,提高無線局域網遭受攻擊時系統的安全性、有效性和實用性。為了實現無線局域網安全框架,必須要有相應的協議。圖2給出了無線局域網安全框架下的不同組件的協議結構圖。從圖中可以看出,選擇支持“推”結構的移動終端,在進行安全接入時,當通過MAC層的安全認證后,自動將安全引擎加載到移動終端之中,為高安全需求的通信提供安全保障。同時該結構也為移動終端的選型和安全防護技術的升級提供了很好的擴展性,實現了應用與設備分離,符合瘦客戶終端的發展需求。為移動運營商提供增值業務提供了較好的適應性。在安全接入級,考慮不同移動終端設備的MAC層安全機制不同,采用中間件可以屏蔽其不同,提供不同移動設備的統一安全接口,配合安全引擎的高級安全認證體制,實現多種安全認證技術的強認證體系。WlDS組件是為了實現無線IDS、終端防火墻、終端防病毒等相結合的主動安全防護技術,通過智能性的關聯分析器,抽取出攻擊特征,報告給安全管理組件,這體現了入侵防御系統(IPS)的技術思想。安全管理組件是集成不同的無線局域網安全管理而設計,涉及漏洞管理、病毒管理、惡意代碼管理、系統審計、無線定位、統一的安全策略管理和攻擊管理(隔離與恢復)等。安全網關是為了防止移動終端直接與無線局域網安全管理平臺通信而設計的安全隔離技術,通過采用不同的安全算法和安全強度,實現技術隔離效果,如移動終端與安全接入平臺間采用192比特的ECDSA算法,而安全接入平臺與安全管理平臺可以采用224比特的ECDSA算法。將基礎數據庫放置到后端,可以為不同區域的移動用戶提供數據共享,這有助于實現一點采樣,多點聯動的協同安全防御技術。

2 流行的網絡攻擊分析

企業流行的網絡攻擊主要分為外部網絡攻擊和內部局域網的攻擊兩個方面。

在外網攻擊方面:出于業務的需要,企業的網絡與Internet及其他業務單位網絡相連接。這種物理網絡上互聯互通給數據的互聯互通帶來了事實上的可能性。但是如果Internet與外單位網絡可以與企業的網絡隨意進行互訪,容易導致本系統內部機密泄漏等安全威脅;其次,各系統的互聯互通會使得跨系統的攻擊和病毒傳播成為可能,帶來極大的安全隱患。企業的網絡中的服務器及個人主機上都有信息。假如內部網絡的一臺機器安全受損(被攻擊或者被病毒感染),就會同時影響在同一網絡上的其他系統。透過網絡傳播,還會影響到與本系統網絡有連接的外單位網絡。如果系統內部局域網絡與系統外部網絡間沒有采取一定的安全防護措施,內部網絡容易造到來自外部網絡的一些不懷好意的入侵者的攻擊。

目前最為流行的攻擊有以下幾種:

① 入侵者通過漏洞掃描、Sniffer嗅探等工具來探測掃描網絡及操作系統存在的安全漏洞,如網絡IP地址、應用操作系統的類型、開放哪些TCP端口號、系統保存用戶名和口令等安全信息的關鍵文件等,并通過相應攻擊程序對內網進行攻擊。

② 入侵者通過網絡監聽等先進手段獲得內部網用戶的用戶名、口令等息,進而假冒內部合法身份進行非法登錄,竊取內部網重要信息。

③ 惡意攻擊。入侵者通過發送大量PING包對內部網重要服務器進行攻擊,使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。

④ 發送大量包含惡意代碼或病毒程序的郵件。在內部局域網的攻擊方面:在已有的網絡安全攻擊事件中實際上約70%是來自內部網絡的攻擊。來自機構內部局域網的攻擊主要包括以下幾種:

① 誤用和濫用關鍵、敏感數據和計算資源。無論是有不滿情緒的員工的故意破壞,還是沒有訪問關鍵系統權限的員工因誤操作而進入關鍵系統,由此而造成的數據泄露、偷竊、損壞或刪除將給企業帶來很大的負面影響。

② 如果工作人員發送、接收和查看攻擊性材料,可能會形成敵意的工作環境,從而增大內耗。

③ 內部人員故意泄漏內部網絡的網絡結構;安全管理員有意透露其用戶名及口令。

④ 內部不懷好意員工編些破壞程序在內部網上傳播或者內部人員通過各種方式盜取他人信息傳播出去。

3 當前的安全策略

企業網絡除了要有安全的網絡構架還需要全面的安全策略才能保證其總體信息安全運行?；谝陨蠈W絡攻擊的具體分析,企業全面的安全策略應包括以下幾個方面。

① 安全管理策略。安全管理貫穿在安全的各個層次實施。從管理角度來看,需制訂了整個企業的安全管理策略;從技術管理角度來看,實現安全的配置和管理;從人員管理角度來看,實現統一的用戶角色劃分策略,制定一系列的管理規范;從資源管理角度來看,實現資源的統一配置和管理。

② 訪問控制策略。訪問控制的目的是控制信息的訪問。訪問控制是對用戶進行文件和數據權限的限制,主要防范用戶的越權訪問。訪問控制策略應按照業務及安全要求控制信息及業務程序的訪問,網絡訪問控制用于控制內部及外部聯網服務的訪問,以確?？梢栽L問網絡或網絡服務的用戶不會破壞這些網絡服務的安全。不安全地連接到網絡服務會影響整個機構的安全,所以,只能讓用戶直接訪問己明確授權使用的服務。這種安全控制對連接敏感或重要業務的網絡,或連接到在高風險地方(例如不在安全管理及控制范圍的公用或外部地方)的用戶尤其重要。

③ 網絡安全監控與入侵檢測策略。網絡安全監控可以測試企業所實施的安全控制是否有效。同時,安全監控是檢測系統及網絡是否有可疑或不正常的通訊的有效辦法。這個步驟用于檢測網絡的潛在漏洞或非授權行為,同時,它可以提醒管理人員網絡現有的安全隱患及應采取什么樣的防護措施。一旦企業系統發生安全事故,管理人員應依據監控系統所提供的警示,采取必要的步驟,在最短的時間恢復系統,以減少企業的損失。入侵監控是對入侵行為的檢測和控制。入侵檢測作為一種積極主動的安全防護技術,從網絡安全立體縱深、多層次防御的角度出發,對防范網絡惡意攻擊及誤操作提供了主動的實時保護,它可在網絡系統受到危害之前攔截和響應入侵。通過在企業網絡的關鍵環節放置入侵檢測產品,它監視計算機網絡或計算機系統的運行,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象,一旦發現攻擊能夠發出報警并采取相應的措施,如阻斷、跟蹤和反擊等。同時,記錄受到攻擊的過程,為網絡或系統的恢復和追查攻擊的來源提供基本數據。并把這些信息集中報告給數據中心的集中管理控制臺。

④ 漏洞掃描與風險評估策略。從信息安全的角度看,漏洞掃描是網絡安全防御中的一項重要技術,其原理是采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。目標可以是工作站、服務器、交換機、數據庫應用等各種對象,然后根據掃描結果向系統管理員提供周密可靠的安全性分析報告,從而為提高網絡安全整體水平產生重要依據。在網絡安全建設中,漏洞掃描工具具有花費低、效果好、見效快、與網絡的運行相對對立、安裝運行簡單等特點。在功能上,安全掃描工具可以大規模減少安全管理員的手工勞動,有利于保持全網安全政策的統一和穩定。

⑤ 計算機病毒防治策略。由于在網絡環境下,計算機病毒有不可估量的威脅性和破壞力。由于網絡系統中使用的操作系統大多為WINDOWS系統,比較容易感染病毒。因此計算機病毒的防范也是網絡安全建設中應該考慮的重要的環節之一。必須從預防病毒、檢測病毒和殺毒考慮網絡的網絡安全。

⑥ 備份與恢復策略。主要設備、軟件、數據、電源等都應有備份,并有技術措施和組織措施能夠在較短時間內恢復系統運行。如果日常工作對系統的依賴性特別強,則建立遠程的應急處理和災難恢復中心。企業考慮的備份主要包括數據備份、服務器備份、線路備份等幾個方面。

4 結束語

企業信息化是利用計算機技術的手段將先進的企業管理思想融入企業的經營管理中,在這個過程中將最終實現對財務、物流、業務流程、成本核算、客戶關系管理及供應鏈管理等各個環節的科學管理。企業網絡安全構架不單是單點的安全,而是整個系統的安全,需要從物理、鏈路、網絡、系統、應用和管理方面進行立體的防護。隨著信息化得普及,企業網絡構架及安全的探討意義將更為深遠。

參考文獻:

[1] 楊家海,任憲坤,王沛瑜.網絡管理原理與實現技術[M].北京:清華大學出版社,2000.

[2] 張仁斌,譚三,易勇,蔣毅.網絡安全技術[M].北京:清華大學出版社,2004.

[3] 吳振強,馬建峰.基于管理的移動互聯網絡安全體系結構[J].計算機科學,2006,33(7):314-317.