基于某企業(yè)的網(wǎng)絡(luò)安全策略精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的基于某企業(yè)的網(wǎng)絡(luò)安全策略主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

電力企業(yè)的信息安全不僅影響著其自身的網(wǎng)絡(luò)信息的化建設(shè)進(jìn)程，也關(guān)系著電力生產(chǎn)系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)、優(yōu)質(zhì)運(yùn)行。所以，強(qiáng)化信息網(wǎng)絡(luò)安全管理，確保電力信息網(wǎng)絡(luò)的安全性，保證業(yè)務(wù)操作平臺(tái)能夠穩(wěn)定、可靠的運(yùn)行是電力安全工作中的一項(xiàng)核心任務(wù)。

1.電力信息網(wǎng)絡(luò)安全體系

信息網(wǎng)絡(luò)安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露信息安全應(yīng)該實(shí)行分層保護(hù)措施.有以下五個(gè)方面：①物理層面安全，環(huán)境安全，設(shè)備安全，介質(zhì)安全；②網(wǎng)絡(luò)層面安全，網(wǎng)絡(luò)運(yùn)行安全，網(wǎng)絡(luò)傳輸安全，網(wǎng)絡(luò)邊界安全；③系統(tǒng)層面安全，操作系統(tǒng)安全，數(shù)據(jù)庫(kù)管理系統(tǒng)安全；④應(yīng)用層面安全，辦公系統(tǒng)安全，業(yè)務(wù)系統(tǒng)安全，服務(wù)系統(tǒng)安全；⑤管理層面安全，安全管理制度，部門與人員的組織規(guī)則。

2.電力信息網(wǎng)絡(luò)安全存在的問(wèn)題

2.1 系統(tǒng)漏洞。電力企業(yè)使用的都是微軟所開發(fā)的Windows操作系統(tǒng)。由于一個(gè)計(jì)算機(jī)操作系統(tǒng)過(guò)于龐大、復(fù)雜，所以它不可能第一次性地發(fā)現(xiàn)并解決所有存在的各種漏洞和安全問(wèn)題，這需要在我們的使用當(dāng)中不斷地被完善。但是，據(jù)一些消息稱，微軟公司對(duì)于漏洞信息披露的反應(yīng)時(shí)間為1～2周。但是在這段時(shí)間內(nèi)，這些長(zhǎng)久存在或是剛被披露的漏洞很可能被一些居心不良的人所利用，造成對(duì)企業(yè)信息網(wǎng)絡(luò)安全的威脅。

2.2 黑客的惡意攻擊。如今，社會(huì)當(dāng)中的部分人也擁有了較強(qiáng)的計(jì)算機(jī)網(wǎng)絡(luò)操作、控制能力。他們有的出于興趣愛好、有的出于金錢指使，而對(duì)其他網(wǎng)絡(luò)系統(tǒng)發(fā)起惡意的攻擊、破壞，以滿足自身的各種成就感。在這些攻擊行為當(dāng)中，一部分是主動(dòng)的進(jìn)行系統(tǒng)破壞或是更改、刪除重要的信息，另一部分是被動(dòng)的進(jìn)行監(jiān)聽，竊取電力企業(yè)內(nèi)部網(wǎng)絡(luò)交流信息，導(dǎo)致信息外泄。

2.3 網(wǎng)絡(luò)硬件系統(tǒng)不牢固。網(wǎng)絡(luò)硬件系統(tǒng)不牢固是一個(gè)普遍性的問(wèn)題。盡管互聯(lián)網(wǎng)的硬件系統(tǒng)已經(jīng)具有了較高的穩(wěn)定性和安全性，但其仍然存在的脆弱性也不可忽視，比如雷電所引發(fā)的硬件故障，各種傳輸過(guò)程當(dāng)中受其他因素影響所出現(xiàn)的信息失真等。

2.4 員工的信息網(wǎng)絡(luò)安全意識(shí)不健全。在如今的電力企業(yè)當(dāng)中，許多員工多信息網(wǎng)絡(luò)的安全意識(shí)還不健全。比如用戶安全意識(shí)不強(qiáng)，系統(tǒng)登錄口令過(guò)于簡(jiǎn)單，或是將賬戶及密碼借給他人使用，盲目地進(jìn)行資源信息共享，這些帶全安全威脅性的操作都可能會(huì)對(duì)企業(yè)的信息網(wǎng)絡(luò)安全帶來(lái)隱患。還有的員工長(zhǎng)時(shí)間占用網(wǎng)絡(luò)，大量消耗了網(wǎng)絡(luò)資源，增加了企業(yè)的網(wǎng)絡(luò)通信負(fù)擔(dān)，導(dǎo)致企業(yè)內(nèi)部的通信與生產(chǎn)效率較低。更有甚者由于瀏覽網(wǎng)頁(yè)或是使用U盤，導(dǎo)致了一些木馬、病毒被下載到了計(jì)算機(jī)系統(tǒng)當(dāng)中，造成各式各樣的網(wǎng)絡(luò)通信故障。

3.電力信息網(wǎng)絡(luò)安全策略

3.1設(shè)備安全策略

3.1.1 建立配套的績(jī)效管理機(jī)制，以促進(jìn)信息安全運(yùn)維人員樹立良好意識(shí)，提高自身信息網(wǎng)絡(luò)管理能力。

3.1.2 建立電網(wǎng)信息安全事故應(yīng)急處理預(yù)案，例如“突況下某某大樓信息系統(tǒng)應(yīng)急處理預(yù)案”，預(yù)案所要求的各項(xiàng)信息設(shè)備必須作為信息安全重要物資交由信息應(yīng)急指揮人員保管，相關(guān)信息運(yùn)維人員必須在信息事故發(fā)生的第一時(shí)間到崗到位、信息預(yù)案操作流程必須準(zhǔn)確到位，各應(yīng)急單位要定期進(jìn)行應(yīng)急演練，保證在發(fā)生信息安全事故之時(shí)隊(duì)伍能夠拉得出、打得贏。

3.1.3 運(yùn)用國(guó)家電網(wǎng)公司統(tǒng)一的標(biāo)準(zhǔn)化信息安全管理模式，規(guī)范日常網(wǎng)絡(luò)處理流程，嚴(yán)格控制網(wǎng)絡(luò)接入程序，對(duì)新進(jìn)網(wǎng)絡(luò)施行過(guò)程化管理，例如：申請(qǐng)入網(wǎng)人員必須填寫“某公司入網(wǎng)申請(qǐng)單”，并對(duì)操作人員嚴(yán)格施行信息網(wǎng)絡(luò)處理“兩票三制”管理，即：操作票、工作票、交接班制、巡回檢查制、設(shè)備定期試驗(yàn)輪換制，從制度上保證信息網(wǎng)絡(luò)安全管理。

3.1.4 成立網(wǎng)絡(luò)信息安全組織機(jī)構(gòu)，例如：成立某公司信息安全領(lǐng)導(dǎo)小組，小組成員包括：公司領(lǐng)導(dǎo)層人員、信息安全管理層人員、信息安全網(wǎng)絡(luò)技術(shù)實(shí)施保障人員等，并對(duì)各人員工作職責(zé)提出具體要求，尤其是必須明確技術(shù)實(shí)施保障人員的工作要求。

3.2安全技術(shù)策略

3.2.1 使用VPN（虛擬隧道）技術(shù)。按業(yè)務(wù)分別建立對(duì)應(yīng)的三層VPN，各VLAN段建立符合實(shí)際要求的網(wǎng)絡(luò)訪問(wèn)控制列表，將網(wǎng)絡(luò)按部門（樓層）進(jìn)行分段，對(duì)各段網(wǎng)絡(luò)配置對(duì)應(yīng)的訪問(wèn)控制，設(shè)置高強(qiáng)度的網(wǎng)絡(luò)登錄密碼，保證網(wǎng)絡(luò)的安全性。

3.2.2 安全審計(jì)技術(shù)。隨著系統(tǒng)規(guī)模的擴(kuò)展與安全設(shè)施的完善，應(yīng)該引入集中智能的安全審計(jì)系統(tǒng)，通過(guò)技術(shù)手段，實(shí)現(xiàn)自動(dòng)對(duì)網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)訪問(wèn)日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行統(tǒng)一安全審計(jì)。及時(shí)自動(dòng)分析系統(tǒng)安全事件，實(shí)現(xiàn)系統(tǒng)安全運(yùn)行管理。

3.2.3 病毒防護(hù)技術(shù)。為免受病毒造成的損失，要采用的多層防病毒體系。即在每臺(tái)PC機(jī)上安裝防病毒軟件客戶端，在服務(wù)器上安裝基于服務(wù)器的防病毒軟件，在網(wǎng)關(guān)上安裝基于網(wǎng)父的防病毒軟件，必須在信息系統(tǒng)的各個(gè)環(huán)節(jié)采用全網(wǎng)全面的防病毒策略，在計(jì)算機(jī)病毒預(yù)防、檢測(cè)和病毒庫(kù)的升級(jí)分發(fā)等環(huán)節(jié)統(tǒng)一管理。

3.2.4防火墻技術(shù)。防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù)。它通過(guò)單一集中的安全檢查點(diǎn)，強(qiáng)制實(shí)操相應(yīng)的安全策略進(jìn)行檢查，防止對(duì)重要信息資源進(jìn)行非法存取和訪問(wèn)。電力系統(tǒng)的生產(chǎn)、計(jì)量、營(yíng)銷、調(diào)度管理等系統(tǒng)之間，信息的共享、整合與調(diào)用，都需要在不同網(wǎng)段之間對(duì)這些訪問(wèn)行為進(jìn)行過(guò)濾和控制，阻斷攻擊破壞行為，分權(quán)限合理享用信息資源。

3.2.5 擬局域網(wǎng)技術(shù)（VLAN技術(shù)）。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有相同的屬性。由于它是邏輯而不是物理劃分，所以同一個(gè)LAN內(nèi)的各工作站無(wú)須放置在同一物理空LAN里，但這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，有助于控制流量、控制廣播風(fēng)暴、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

4.結(jié)束語(yǔ)

電力企業(yè)網(wǎng)絡(luò)安全包括系統(tǒng)結(jié)構(gòu)本身的安全及桌面終端設(shè)備信息安全，所以利用結(jié)構(gòu)化的觀點(diǎn)和方法來(lái)看待電力企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)。基于網(wǎng)絡(luò)的特殊性，有關(guān)供電系統(tǒng)數(shù)據(jù)網(wǎng)的安全問(wèn)題不容忽視，要保障其網(wǎng)絡(luò)的安全可靠運(yùn)行，不能僅僅依靠防火墻等單個(gè)的系統(tǒng)，而需要仔細(xì)考慮系統(tǒng)的安全需求，并將各種安全技術(shù)結(jié)合在一起，方能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn)

[1] 楊晶.論計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及防范措施[J].科技創(chuàng)新導(dǎo)報(bào).2011.

[2] 侯康.淺談電力調(diào)度數(shù)據(jù)網(wǎng)及其維護(hù)[J].科技信息.2011.

作者簡(jiǎn)介

第2篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

近日，Check Point了《2013年信息安全報(bào)告》（以下簡(jiǎn)稱《報(bào)告》）。《報(bào)告》指出，63%的企業(yè)被僵尸網(wǎng)絡(luò)感染；54%的企業(yè)曾發(fā)生數(shù)據(jù)泄露；43%的企業(yè)中存在匿名軟件；36%的金融組織存在信用卡信息泄露；16%的衛(wèi)生保健和保險(xiǎn)組織中存在受《HIPAA隱私規(guī)定》保護(hù)的個(gè)人健康數(shù)據(jù)被泄露現(xiàn)象……安全形勢(shì)不容樂(lè)觀。

安全威脅不勝枚舉

僵尸網(wǎng)絡(luò)被認(rèn)為是當(dāng)前網(wǎng)絡(luò)安全最主要的威脅之一。Check Point中國(guó)區(qū)大客戶總監(jiān)李若怡在接受《中國(guó)計(jì)算機(jī)報(bào)》記者專訪時(shí)表示，Check Point調(diào)查發(fā)現(xiàn)，僵尸計(jì)算機(jī)與其指揮和控制中心平均每隔21分鐘通信一次，報(bào)告其感染的新主機(jī)、存貨信息以及從主機(jī)系統(tǒng)搜集的數(shù)據(jù)。她還指出，僵尸網(wǎng)絡(luò)的黑色產(chǎn)業(yè)鏈已經(jīng)形成。

企業(yè)面臨的安全威脅遠(yuǎn)不止僵尸網(wǎng)絡(luò)，還包括病毒、蠕蟲、間諜軟件、廣告軟件、木馬等。《報(bào)告》指出，75%受訪企業(yè)有主機(jī)訪問(wèn)過(guò)惡意網(wǎng)絡(luò)，50%的企業(yè)中有5臺(tái)主機(jī)訪問(wèn)過(guò)惡意網(wǎng)站。“每隔23分鐘，就有一臺(tái)主機(jī)訪問(wèn)惡意網(wǎng)站，53%的企業(yè)中有員工通過(guò)公司網(wǎng)絡(luò)下載惡意軟件。”李若怡稱，“令人擔(dān)憂的是，23%的主機(jī)并沒(méi)有每天更新反病毒庫(kù)，而14%的主機(jī)甚至根本沒(méi)有運(yùn)行反病毒軟件，導(dǎo)致企業(yè)處在惡意軟件的威脅下。”

此外，Web 2.0應(yīng)用程序的快速增長(zhǎng)，也為犯罪分子提供了大好的犯罪機(jī)會(huì)。《報(bào)告》指出，91%的企業(yè)中存在不安全的應(yīng)用程序，包括匿名軟件、P2P應(yīng)用程序和共享程序、社交網(wǎng)絡(luò)應(yīng)用等。黑客既能夠利用應(yīng)用程序的漏洞攻擊企業(yè)網(wǎng)絡(luò)，也可以通過(guò)獲取用戶權(quán)限和賬戶信息來(lái)獲取利益，亦或是通過(guò)匿名軟件來(lái)隱藏犯罪活動(dòng)。

量體裁衣 建立多層防御

建立多層防御的安全策略是每個(gè)企業(yè)都必須面對(duì)的頭等大事。只有這樣，企業(yè)才能提升信息化的“正能量”。

要建立多層防御的安全策略，IT人員首先要清晰地了解企業(yè)的網(wǎng)絡(luò)安全狀況，包括安全事件和安全趨勢(shì)。“這份《報(bào)告》的數(shù)據(jù)來(lái)源包括三個(gè)方面：Check Point安全云、Check Point 3D安全報(bào)告和遍布于全球各地電信運(yùn)營(yíng)商的傳感器網(wǎng)絡(luò)，涵蓋了政府、金融、電信、工業(yè)和交通等重點(diǎn)行業(yè)。”李若怡認(rèn)為，通過(guò)對(duì)這些數(shù)據(jù)的分析，企業(yè)能夠了解網(wǎng)絡(luò)安全的薄弱點(diǎn)。

第3篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

得尤其重要，因此不論在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施能全方位地應(yīng)對(duì)各種不同的威脅和脆弱性，能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

關(guān)鍵詞 網(wǎng)絡(luò)安全局域網(wǎng)安全策略

如何在安全的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下辦公成為計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的一

個(gè)重要領(lǐng)域，尤其是局域網(wǎng)安全問(wèn)題，現(xiàn)在的企事業(yè)單位都有自己的局域網(wǎng)，企事業(yè)單位的核心數(shù)據(jù)也在局域網(wǎng)上，核心數(shù)據(jù)關(guān)系著企事業(yè)單位的生死存亡，一旦出現(xiàn)問(wèn)題后果不堪設(shè)想，該文從局域網(wǎng)安全管理出發(fā)提出了基于局域網(wǎng)安全的策略。

1、局域網(wǎng)安全方案設(shè)計(jì)

安全策略包括兩個(gè)部分：一個(gè)總的策略和具體的規(guī)則策略用于闡明企業(yè)安全政策的總體思想，而具體規(guī)則用于說(shuō)明什么活動(dòng)是被允許的，什么活動(dòng)是被禁止的。網(wǎng)絡(luò)的完全安全是不可能的，但是，我們卻可以根據(jù)威脅網(wǎng)絡(luò)安全的源頭不同，及時(shí)調(diào)整網(wǎng)絡(luò)安全策略，所以總的說(shuō)來(lái)，網(wǎng)絡(luò)安全方案設(shè)計(jì)的原則就是因時(shí)而變。

2、局域網(wǎng)安全機(jī)制

2.1物理隔離

常見的各種安全保護(hù)方式是安裝防火墻，入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)安全管理軟件等安全軟件，但是這類的“軟”保護(hù)具有不確定性，誰(shuí)也不能保證這些軟件中沒(méi)有后門、沒(méi)有錯(cuò)誤，而被黑客利用攻入內(nèi)部系統(tǒng)。最安全的辦法，就是讓局域網(wǎng)內(nèi)部重要的數(shù)據(jù)和外部的互聯(lián)網(wǎng)沒(méi)有物理的連接，把用戶可以上網(wǎng)的信息和不可以上網(wǎng)的信息隔離開來(lái)，讓黑客無(wú)機(jī)可乘。

目前，物理隔離的實(shí)現(xiàn)模型，一般是包括客戶端選擇設(shè)備和網(wǎng)

絡(luò)選擇器，用戶通過(guò)開關(guān)設(shè)備，或通過(guò)鍵盤選擇，控制客戶端選擇不同的存儲(chǔ)介質(zhì)，在需要的情況下，網(wǎng)絡(luò)選擇端還要同時(shí)進(jìn)行相應(yīng)的網(wǎng)絡(luò)連接跳轉(zhuǎn)。現(xiàn)在的物理隔離產(chǎn)品，主要采用基于單網(wǎng)線的安全隔離卡技術(shù)加上網(wǎng)絡(luò)選擇器方法，即客戶端依然采用類似第二代雙網(wǎng)線安全隔離卡的技術(shù)。

2.2遠(yuǎn)程訪問(wèn)控制

對(duì)于遠(yuǎn)程撥號(hào)用戶，已經(jīng)配置了用戶身份認(rèn)證服務(wù)器。在技術(shù)

上有一定的安全保障。另外還可以從自身?xiàng)l件優(yōu)勢(shì)上考慮，由于都

同屬一個(gè)電話局，這樣就可以在電話局的程控交換機(jī)上控制，只允

許內(nèi)部的電話號(hào)碼訪問(wèn)本地的網(wǎng)絡(luò)。同時(shí)對(duì)于撥號(hào)用戶采用動(dòng)態(tài)地

址分配，并對(duì)所有在用的機(jī)器MAC地址進(jìn)行注冊(cè)，采用IP地址與

MAC地址的動(dòng)態(tài)綁定。

2.3 防火墻

在原理上，防火墻更像是物理隔離的軟件實(shí)現(xiàn)手段。由于要與

互聯(lián)網(wǎng)連接，所以防火墻是必不可少的。防火墻規(guī)則動(dòng)態(tài)的修改在

大型網(wǎng)絡(luò)中已經(jīng)是必不可少的了。

2. 4防病毒

防病毒基本上可以分為單機(jī)版和網(wǎng)絡(luò)版。選擇單機(jī)版和網(wǎng)絡(luò)版要權(quán)衡代價(jià)和效率的關(guān)系。如果全部選用網(wǎng)絡(luò)版那么造價(jià)很高，而且網(wǎng)絡(luò)版的安裝也相對(duì)復(fù)雜，勢(shì)必要牽扯大量的人力。所以如果要節(jié)約費(fèi)用，建議安裝單機(jī)版防毒軟件。而如果要求更高的安全性，并且局域網(wǎng)頻繁的與Internet交換數(shù)據(jù)，被病毒感染的機(jī)會(huì)很高，所以病毒代碼的更新也要求較高，建議采用網(wǎng)絡(luò)版的防毒軟件。

3加強(qiáng)局域網(wǎng)安全的管理對(duì)策

3.1及時(shí)修補(bǔ)漏洞

要及時(shí)更新系統(tǒng)、數(shù)據(jù)庫(kù)等漏洞補(bǔ)丁。漏洞已成為病毒、木馬以及黑客進(jìn)行攻擊的主要途徑，可以通過(guò)360安全衛(wèi)士來(lái)檢查系統(tǒng)的漏洞并打上補(bǔ)丁，一些防火墻軟件也具有檢查系統(tǒng)的漏洞的功能，做到定期檢查和更新。

3.2關(guān)閉系統(tǒng)默認(rèn)共享以及其它目錄共享

默認(rèn)共享是局域網(wǎng)里存在的一個(gè)安全隱患，很多病毒和黑客利用系統(tǒng)的默認(rèn)共享進(jìn)行傳播和攻擊的，威金蠕蟲和Funlove病毒等都是利用局域網(wǎng)里的共享進(jìn)行傳播的，所以要關(guān)閉默認(rèn)共享。如果業(yè)務(wù)需

要共享數(shù)據(jù)，那么要將共享方式設(shè)為只讀或?qū)⒐蚕砟夸涬[藏，在共享

名后加上“$”符號(hào)即可隱藏共享資源。最好是建立文件服務(wù)器、存

儲(chǔ)設(shè)備或局域網(wǎng)郵件系統(tǒng)來(lái)收發(fā)文件，這樣可以大大地降低局域網(wǎng)中

受攻擊和感染的風(fēng)險(xiǎn)。

3.3關(guān)閉危險(xiǎn)的系統(tǒng)服務(wù)

有的系統(tǒng)服務(wù)的啟用不僅會(huì)占用系統(tǒng)資源，而且還會(huì)對(duì)我們的系

統(tǒng)帶來(lái)嚴(yán)重的安全隱患，為黑客和病毒開啟了方便之門，在不需要這

些服務(wù)的情況下可以關(guān)閉。

4、加強(qiáng)局域網(wǎng)安全的技術(shù)策略

4.1基于Internet的防火墻安全策略

典型的局域網(wǎng)要通過(guò)路由器來(lái)實(shí)現(xiàn)內(nèi)部和外部信息的通訊，兩者之間的數(shù)據(jù)流控制是計(jì)算機(jī)網(wǎng)絡(luò)安全的關(guān)鍵。如何保證外部合法數(shù)據(jù)進(jìn)入到局域網(wǎng)及局域網(wǎng)內(nèi)部核心，數(shù)據(jù)安全將由防火墻(firewall)來(lái)實(shí)現(xiàn)。防火是由軟件、硬件構(gòu)成的系統(tǒng)，用來(lái)在兩個(gè)網(wǎng)絡(luò)之間實(shí)施接入控制策略。防火墻內(nèi)的網(wǎng)絡(luò)稱為可信賴的網(wǎng)絡(luò)(trusted network)，而將外部的因特網(wǎng)稱為不可信賴的網(wǎng)絡(luò)(untrusted network)。防火墻可用來(lái)解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問(wèn)題。

防火墻系統(tǒng)的主要目標(biāo)是對(duì)進(jìn)出所有數(shù)據(jù)進(jìn)行分析，并對(duì)用戶進(jìn)行認(rèn)證，從而防止有害信息進(jìn)入受保護(hù)的網(wǎng)絡(luò)系統(tǒng)，為網(wǎng)絡(luò)提供安全保障，可以用硬件或軟件實(shí)現(xiàn)，也可以是兩者的結(jié)合。主要功能包括：安全警報(bào)；重新部署網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)；監(jiān)視Internet的使用；防火墻也是審查和記錄內(nèi)部人員對(duì)Internet使用的一個(gè)最佳位置， 可以在此對(duì)內(nèi)部訪問(wèn)Internet的情況進(jìn)行記錄，向外信息；防火墻除了起到安全屏障作用外，也是部署www服務(wù)器和FTP服務(wù)器的理想位置；允許Internet訪問(wèn)上述服務(wù)器，而禁止對(duì)內(nèi)部受保護(hù)的其他系統(tǒng)進(jìn)行訪問(wèn)。

4.2VLAN技術(shù)安全策略

VLAN又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。 一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。

4.3捆綁技術(shù)安全策略

l) IP與MAC地址捆綁技術(shù)安全策略

在實(shí)際的局域網(wǎng)安全管理中會(huì)經(jīng)常出現(xiàn)IP地址被盜用的現(xiàn)象，這不僅對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的正常使用造成影響，同時(shí)也會(huì)由于被盜用的地

址往往具有較高的權(quán)限而對(duì)企業(yè)單位造成了大量的經(jīng)濟(jì)上的損失和

潛在的安全隱患。為了防止IP地址被盜用，可采用ARP來(lái)實(shí)現(xiàn)IP

地址與網(wǎng)卡MAC地址捆綁技術(shù)安全策略。

2)端口與MAC地址捆綁技術(shù)安全策略

在實(shí)際的局域網(wǎng)安全管理中會(huì)經(jīng)常出現(xiàn)端口被盜用，即外來(lái)非法計(jì)算機(jī)利用局域網(wǎng)空閑端口連上局域網(wǎng)，盜用企業(yè)單位核心數(shù)據(jù)的情況，對(duì)企業(yè)單位造成了大量的經(jīng)濟(jì)上的損失和潛在的安全隱患。為了防止端口被盜用，可采用端口與MAC地址捆綁技術(shù)安全策略。

當(dāng)然，為了防止這種攻擊，我們也可以采用Socket編程技術(shù)，但是對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)管理人員計(jì)算機(jī)的水平要求較高。Socket是一

種計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用層與TCP／IP協(xié)議族通信的中間軟件抽象層，它

是一組接口(Interface)。在設(shè)計(jì)模式中把復(fù)雜的TCP/IP協(xié)議族隱藏在Socket接口后面，讓Socket去組織數(shù)據(jù)是符合指定的協(xié)議。

服務(wù)器端先初始化Socket然后與端口綁定(bind)，對(duì)端口進(jìn)行監(jiān)聽(listen)，調(diào)用accept阻塞，等待客戶端連接，客戶端初始化一個(gè)Socket，然后連接服務(wù)器(connect)，如果連接成功，這時(shí)客戶端與服務(wù)器端的連接就建立了。客戶端發(fā)送數(shù)據(jù)請(qǐng)求，服務(wù)器端接收請(qǐng)求并處理請(qǐng)求，然后把回應(yīng)數(shù)據(jù)發(fā)送給客戶端，客戶端讀取數(shù)據(jù)，最后關(guān)閉連接，一次交互結(jié)束。

4.4生物識(shí)別技術(shù)安全策略

局域網(wǎng)身份識(shí)別目前主要有如下三種方式：①“用戶名+口令”模式，用已知道的信息來(lái)證明識(shí)別身份；②用密碼卡、智能卡等擁有的物品來(lái)證明識(shí)別身份；③用人類獨(dú)一無(wú)二、不可復(fù)制的生物特征來(lái)證明身份，如指紋識(shí)別、虹膜識(shí)別等。很顯然，前兩種方式很難實(shí)現(xiàn)安全、可靠的身份識(shí)別，而生物特征識(shí)別技術(shù)它能杜絕易丟、易破解的現(xiàn)象，不存在記憶密碼、丟失密碼及受損的風(fēng)險(xiǎn)，是目前局域網(wǎng)安全技術(shù)策略首選的技術(shù)方案。生物特征識(shí)別技術(shù)可用于硬件設(shè)備使用的身份識(shí)別，只有合法的生物特征的人才能進(jìn)入；計(jì)算機(jī)開機(jī)識(shí)別，只有合法的人才能開機(jī)，只有合法的人才能進(jìn)入某一軟件系統(tǒng)，獲得軟件的使用權(quán)等。

5.結(jié)束語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)在給我們工作方便的同時(shí)也帶來(lái)了安全問(wèn)題，在安全

的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下方便使用計(jì)算機(jī)網(wǎng)絡(luò)已成為社會(huì)發(fā)展的必然趨勢(shì)，局域網(wǎng)更是如此。本文基于局域網(wǎng)安全策略的研究，對(duì)于局域網(wǎng)

安全方面的問(wèn)題提供了一些解決思路。局域網(wǎng)安全光有局域網(wǎng)安全技

術(shù)保障是不夠的，還要用制度管理好人，也就是說(shuō)局域網(wǎng)安全技術(shù)策

第4篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

關(guān)鍵詞:防火墻;校園網(wǎng);互聯(lián)網(wǎng)

中圖分類號(hào): TD39

文獻(xiàn)標(biāo)識(shí)碼: A

文章編號(hào):1005-569X(2009)06-0099-02

1 引言

目前,黑客入侵與病毒發(fā)作事件在全球范圍內(nèi)不斷增加。由于網(wǎng)絡(luò)應(yīng)用的迅速發(fā)展,除以往熟知的病毒、垃圾郵,以及黑客惡意攻擊、網(wǎng)絡(luò)釣魚之外,也有來(lái)自企業(yè)內(nèi)部的安全隱患等,這些問(wèn)題困擾著每一個(gè)企業(yè)。網(wǎng)絡(luò)安全已經(jīng)成為越來(lái)越多使用網(wǎng)絡(luò)的公司、個(gè)人需要考慮的問(wèn)題,越來(lái)越多的企業(yè)將網(wǎng)絡(luò)的安全看作確保企業(yè)盈利能力的一項(xiàng)重要因素。

2 防火墻基礎(chǔ)簡(jiǎn)介

2.1網(wǎng)絡(luò)安全問(wèn)題

傳統(tǒng)的邊界安全設(shè)備――防火墻,成為整體安全策略中不可缺少的重要模塊。目前的防火墻產(chǎn)品的用戶主要是企業(yè)用戶。互聯(lián)網(wǎng)已經(jīng)改變了人們工作、聯(lián)絡(luò)、協(xié)作交流以及買賣的方式。網(wǎng)絡(luò)的安全程度究竟如何?這是許多IT管理人員每天都會(huì)考慮的問(wèn)題。可以想象,防火墻的應(yīng)用也越來(lái)越普及,這個(gè)普及不僅面向各個(gè)公司、企業(yè),也深入到家庭、個(gè)人,深入到每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)、終端。

2.2防火墻概述

2.2.1防火墻的作用

防火墻從本質(zhì)上說(shuō)是一些設(shè)備,是外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的控制設(shè)備。它是用來(lái)保護(hù)內(nèi)部的數(shù)據(jù)、資源和用戶信息的工具,可以防止Internet上的危險(xiǎn)(病毒、資源盜用等)傳播到網(wǎng)絡(luò)內(nèi)部。這樣的設(shè)備通常是單獨(dú)的計(jì)算機(jī)、路由器或防火墻盒(專用硬件設(shè)備)。它們充當(dāng)訪問(wèn)網(wǎng)絡(luò)的惟一入口點(diǎn),并且判斷是否接收某個(gè)連接請(qǐng)求,只有來(lái)自授權(quán)主機(jī)的連接請(qǐng)求才會(huì)被處理,而剩于的連接請(qǐng)求將被丟棄。

通常,防火墻被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)與Internet的連接點(diǎn)上。被保護(hù)的網(wǎng)絡(luò)屬于內(nèi)部網(wǎng)絡(luò),所防止的網(wǎng)絡(luò)是不可信的外部網(wǎng)。保護(hù)網(wǎng)絡(luò)包括阻止非法授權(quán)用戶訪問(wèn)敏感數(shù)據(jù)的同時(shí),允許合法用戶無(wú)障礙地訪問(wèn)網(wǎng)絡(luò)資源,如防火墻能夠確保電子郵件、文件傳輸、遠(yuǎn)程登錄或在特定系統(tǒng)間信息交換的安全。

總之,從網(wǎng)絡(luò)安全的角度來(lái)考慮,防火墻是兩個(gè)網(wǎng)絡(luò)之間的成分集合,它們的合作應(yīng)具有的性質(zhì)是:從里向外或外向里的流量都必須通過(guò)防火墻;只有符合本地安全策略放行流量才能通過(guò)防火墻;防火墻本身是不能穿透的。

2.2.2設(shè)置防火墻的必要性

(1)集中化的安全管理,強(qiáng)化安全策略。由于Internet上每天都有上百萬(wàn)人在收集信息和交換信息,不可避免地會(huì)出現(xiàn)個(gè)別品德不良、違反規(guī)則的人,防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”,它執(zhí)行站點(diǎn)的安全策略,僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。

(2)網(wǎng)絡(luò)使用進(jìn)行統(tǒng)計(jì)。因?yàn)榉阑饓κ撬羞M(jìn)出信息必須的通路,所以防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問(wèn)的惟一點(diǎn),防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄,對(duì)網(wǎng)絡(luò)存取訪問(wèn)進(jìn)行統(tǒng)計(jì)。

(3)保護(hù)那些易受攻擊的服務(wù)。防火墻能夠用來(lái)隔開網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段的連接。這樣,能夠防止影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播。

(4)實(shí)施安全策略。防火墻是一個(gè)安全策略的檢查站,控制對(duì)特殊站點(diǎn)的訪問(wèn)。所有進(jìn)出的信息都必須通過(guò)防火墻,防火墻便成為安全問(wèn)題的檢查點(diǎn),使可疑的訪問(wèn)被拒絕。

(5)增強(qiáng)保密性。用來(lái)屏蔽有關(guān)網(wǎng)站系統(tǒng)的DNS信息。因此,網(wǎng)站系統(tǒng)名字和IP地址都不要提供到Internet上。

3 防火墻在校園網(wǎng)中的應(yīng)用

3.1校園網(wǎng)簡(jiǎn)介

隨著因特網(wǎng)的發(fā)展,校園網(wǎng)已迅速的普及,不可避免的出現(xiàn)校園網(wǎng)的安全性問(wèn)題,防火墻在校園網(wǎng)中也得到廣泛的應(yīng)用。某所學(xué)校建立一校園網(wǎng),校園網(wǎng)主要是給在校師生提供服務(wù)。其主要架構(gòu)是:Internet網(wǎng)首先接入到華為交換機(jī)2403,然后通過(guò)Juniper NetScreen防火墻連入到Cisco路由器,最后分布到校園本部以及分校,同時(shí)連接Web與郵件兩服務(wù)器。在此校園網(wǎng)中日用戶訪問(wèn)量最高峰達(dá)到幾十萬(wàn)個(gè)連接,總出口300M,提供游戲、電影、課件下載,以及bbs論壇、Web訪問(wèn)等服務(wù)。通過(guò)一臺(tái)Juniper NetScreen防火墻提供防護(hù)。

3.2防火墻的設(shè)置

要求Juniper NetScreen防火墻能夠?qū)崿F(xiàn)的功能:①工作在防火墻透明模式;②實(shí)現(xiàn)MIP功能;③啟用IPSec VPN。

3.2.1防火墻透明模式配置

學(xué)校要求防火墻工作在透明模式下。當(dāng)Juniper NetScreen防火墻接口處于“透明”模式時(shí),防火墻將過(guò)濾通過(guò)的IP數(shù)據(jù)包,但不會(huì)修改IP數(shù)據(jù)包中任何信息。透明模式是一種保護(hù)內(nèi)部網(wǎng)絡(luò)從不可信源接收信息流的方便手段。使用模式有以下優(yōu)點(diǎn):

(1)不需要修改現(xiàn)有網(wǎng)絡(luò)規(guī)劃及配置。

(2)不需要實(shí)施地址翻譯。

(3)可以允許動(dòng)態(tài)路由協(xié)議、Vlan trunking的數(shù)據(jù)包通過(guò)。

3.2.2MIP功能的配置

為了實(shí)現(xiàn)互聯(lián)網(wǎng)用戶訪問(wèn)對(duì)外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器(服務(wù)器使用私有IP地址),可在Internet出口的防火墻上建立公網(wǎng)IP地址與服務(wù)器私有IP地址之間的一對(duì)一映射(MIP),并通過(guò)策略實(shí)現(xiàn)對(duì)服務(wù)器所提供服務(wù)進(jìn)行訪問(wèn)控制。

3.2.3IPSec VPN配置

學(xué)校要求防火墻支持IPSec VPN,應(yīng)用站點(diǎn)間(Site-to Site)的VPN,創(chuàng)建的站點(diǎn)兩端都具備靜態(tài)IP公網(wǎng)地址。

當(dāng)創(chuàng)建站點(diǎn)兩端都具備靜態(tài)IP的VPN應(yīng)用中,位于兩端的防火墻上的VIP配置基本相同,不同之處是在VPNgateway部分的VPN網(wǎng)關(guān)指向IP不同,其它部分相同。

4 結(jié)語(yǔ)

防火墻與IDS 結(jié)合是將動(dòng)態(tài)安全技術(shù)的實(shí)時(shí)、快速、自適應(yīng)的特點(diǎn)變成靜態(tài)技術(shù)的有效補(bǔ)充, 將靜態(tài)技術(shù)的包過(guò)濾、信任檢查、訪問(wèn)控制成為動(dòng)態(tài)技術(shù)的有力保障。二者結(jié)合使用可以很好的將對(duì)方的弱點(diǎn)淡化, 而將自己的優(yōu)點(diǎn)補(bǔ)充上去, 使防御系統(tǒng)成為一個(gè)更加堅(jiān)固的圍墻。在未來(lái)的網(wǎng)絡(luò)安全技術(shù)領(lǐng)域中, 將動(dòng)態(tài)技術(shù)與靜態(tài)技術(shù)的互動(dòng)使用, 將有很大的發(fā)展市場(chǎng)和空間。

參考文獻(xiàn):

[1] 張興東, 胡華平, 況曉輝, 等.防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的研究與實(shí)現(xiàn)[ J] .計(jì)算機(jī)工程與科學(xué),2004,26(4).

[2] 高光勇, 遲樂(lè)軍, 王艷春.聯(lián)動(dòng)防火墻的主機(jī)入侵檢測(cè)系統(tǒng)的研究[J].微計(jì)算機(jī)信息,2005,21(7).

第5篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

    關(guān)鍵詞:網(wǎng)絡(luò) 安全策略 數(shù)據(jù) 訪問(wèn)

    0 引言

    隨著我國(guó)經(jīng)濟(jì)與科技的不斷發(fā)展,企業(yè)數(shù)字化管理作為為網(wǎng)絡(luò)時(shí)代的產(chǎn)物,已經(jīng)成為企業(yè)管理發(fā)展的方向。隨著各企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長(zhǎng),企業(yè)內(nèi)部網(wǎng)安全問(wèn)題已經(jīng)成為當(dāng)前各企業(yè)網(wǎng)絡(luò)建設(shè)中不可忽視的首要問(wèn)題。

    1 目前企業(yè)內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀

    1.1 操作系統(tǒng)的安全問(wèn)題 目前,被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是UNIX、WINDOWS 和Linux等,這些操作系統(tǒng)都存在各種各樣的安全問(wèn)題,許多新型計(jì)算機(jī)病毒都是利用操作系統(tǒng)的漏洞進(jìn)行傳染。如不對(duì)操作系統(tǒng)進(jìn)行及時(shí)更新,彌補(bǔ)各種漏洞,計(jì)算機(jī)即使安裝了防毒軟件也會(huì)反復(fù)感染。

    1.2 病毒的破壞 計(jì)算機(jī)病毒影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓,是影響企業(yè)內(nèi)部網(wǎng)絡(luò)安全的主要因素。

    1.3 黑客 在《中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)》中,黑客的定義是:“對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行非授權(quán)訪問(wèn)的人員”,這也是目前大多數(shù)人對(duì)黑客的理解。大多數(shù)黑客不會(huì)自己分析操作系統(tǒng)或應(yīng)用軟件的源代碼、找出漏洞、編寫工具,他們只是能夠靈活運(yùn)用手中掌握的十分豐富的現(xiàn)成工具。黑客入侵的常用手法有:端口監(jiān)聽、端口掃描、口令入侵、JAVA炸彈等。

    1.4 口令入侵 為管理方便,一般來(lái)說(shuō),企業(yè)為每個(gè)上網(wǎng)的領(lǐng)導(dǎo)和工人分配一個(gè)賬號(hào),并根據(jù)其應(yīng)用范圍,分配相應(yīng)的權(quán)限。某些人員為了訪問(wèn)不屬于自己應(yīng)該訪問(wèn)的內(nèi)容,用不正常的手段竊取別人的口令,造成了企業(yè)管理的混亂及企業(yè)重要文件的外流。

    1.5 非正常途徑訪問(wèn)或內(nèi)部破壞 在企業(yè)中,有人為了報(bào)復(fù)而銷毀或篡改人事檔案記錄;有人改變程序設(shè)置,引起系統(tǒng)混亂;有人越權(quán)處理公務(wù),為了個(gè)人私利竊取機(jī)密數(shù)據(jù)。這些安全隱患都嚴(yán)重地破壞了學(xué)校的管理秩序。

    1.6 設(shè)備受損 設(shè)備破壞主要是指對(duì)網(wǎng)絡(luò)硬件設(shè)備的破壞。企業(yè)內(nèi)部網(wǎng)絡(luò)涉及的設(shè)備分布在整個(gè)企業(yè)內(nèi),管理起來(lái)非常困難,任何安置在不能上鎖的地方的設(shè)施,都有可能被人有意或無(wú)意地?fù)p壞,這樣會(huì)造成企業(yè)內(nèi)部網(wǎng)絡(luò)全部或部分癱瘓的嚴(yán)重后果。

    1.7 敏感服務(wù)器使用的受限 由于財(cái)務(wù)等敏感服務(wù)器上存有大量重要數(shù)據(jù)庫(kù)和文件,因擔(dān)心安全性問(wèn)題,不得不與企業(yè)內(nèi)部網(wǎng)絡(luò)物理隔離,使得應(yīng)用軟件不能發(fā)揮真正的作用。

    1.8 技術(shù)之外的問(wèn)題 企業(yè)內(nèi)部網(wǎng)是一個(gè)比較特殊的網(wǎng)絡(luò)環(huán)境。隨著企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的擴(kuò)大,目前,大多數(shù)企業(yè)基本實(shí)現(xiàn)了科室辦公上網(wǎng)。由于上網(wǎng)地點(diǎn)的擴(kuò)大,使得網(wǎng)絡(luò)監(jiān)管更是難上加難。由于企業(yè)中部分員工對(duì)網(wǎng)絡(luò)知識(shí)很感興趣,而且具有相當(dāng)高的專業(yè)知識(shí)水平,有的員工上學(xué)時(shí)所學(xué)的專業(yè)甚至就是網(wǎng)絡(luò)安全,攻擊企業(yè)內(nèi)部網(wǎng)就成了他們表現(xiàn)才華,甚至是泄私憤的首選。其次,許多領(lǐng)導(dǎo)和員工的計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)薄弱、安全知識(shí)缺乏。企業(yè)的規(guī)章制度還不夠完善,還不能夠有效的規(guī)范和約束領(lǐng)導(dǎo)和員工的上網(wǎng)行為。

    2 企業(yè)內(nèi)部網(wǎng)絡(luò)安全策略

    安全策略是指一個(gè)特定環(huán)境中,為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。安全策略包括嚴(yán)格的管理、先進(jìn)的技術(shù)和相關(guān)的法律。安全策略決定采用何種方式和手段來(lái)保證網(wǎng)絡(luò)系統(tǒng)的安全。即首先要清楚自己需要什么,制定恰當(dāng)?shù)臐M足需求的策略方案,然后才考慮技術(shù)上如何實(shí)施。

    2.1 物理安全策略 保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個(gè)網(wǎng)絡(luò)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。其目的是保護(hù)計(jì)算機(jī)系統(tǒng)、web 服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路層網(wǎng)絡(luò)設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊等。它主要包括兩個(gè)方面:①環(huán)境安全。對(duì)系統(tǒng)所在環(huán)境的安全保護(hù), 確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境。②設(shè)備安全。包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護(hù)等。

    2.2 訪問(wèn)控制策略 訪問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn), 它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。主要有以下七種方式:①入網(wǎng)訪問(wèn)控制。入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制, 它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源;控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。②網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。③目錄級(jí)安全控制。網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)。④屬性安全控制。當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí),網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問(wèn)屬性。⑤網(wǎng)絡(luò)服務(wù)器安全控制。網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。用戶使用控制臺(tái)可以裝載和卸載模塊,可以安裝和刪除軟件等操作。⑥網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制。網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控,服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn),對(duì)非法的網(wǎng)絡(luò)訪問(wèn),服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警,以引起網(wǎng)絡(luò)管理員的注意。⑦網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。端口是虛擬的“門戶”,信息通過(guò)它進(jìn)入和駐留于計(jì)算機(jī)中,網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動(dòng)回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù),并以加密的形式來(lái)識(shí)別節(jié)點(diǎn)的身份。自動(dòng)回呼設(shè)備用于防止假冒合法用戶,靜默調(diào)制解調(diào)器用以防范黑客的自動(dòng)撥號(hào)程序?qū)τ?jì)算機(jī)進(jìn)行攻擊。

    2.3 防火墻控制策略 防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障。它是位于兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)(可能是軟件或硬件或者是兩者并用),用來(lái)限制外部非法(未經(jīng)許可)用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò),以阻擋外部網(wǎng)絡(luò)的侵入,防止偷竊或起破壞作用的惡意攻擊。

    2.4 信息加密策略 信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。信息加密過(guò)程是由各種加密算法來(lái)具體實(shí)施。多數(shù)情況下,信息加密是保證信息機(jī)密性的唯一方法。

    2.5 備份和鏡像技術(shù) 用備份和鏡像技術(shù)提高完整性。備份技術(shù)指對(duì)需要保護(hù)的數(shù)據(jù)在另一個(gè)地方制作一個(gè)備份,一旦失去原件還能使用數(shù)據(jù)備份。鏡像技術(shù)是指兩個(gè)設(shè)備執(zhí)行完全相同的工作,若其中一個(gè)出現(xiàn)故障,另一個(gè)仍可以繼續(xù)工作。

    2.6 網(wǎng)絡(luò)安全管理規(guī)范 網(wǎng)絡(luò)安全技術(shù)的解決方案必須依賴安全管理規(guī)范的支持,在網(wǎng)絡(luò)安全中,除采用技術(shù)措施之外,加強(qiáng)網(wǎng)絡(luò)的安全管理,制定有關(guān)的規(guī)章制度,對(duì)于確保網(wǎng)絡(luò)安全、可靠地運(yùn)行將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括:確定安全管理等級(jí)和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入辦公室管理制度; 制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等

    2.7 網(wǎng)絡(luò)入侵檢測(cè)技術(shù) 試圖破壞信息系統(tǒng)的完整性、機(jī)密性、可信性的任何網(wǎng)絡(luò)活動(dòng),都稱為網(wǎng)絡(luò)入侵。入侵檢測(cè)(IntrusionDeteetion)的定義為:識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為,并對(duì)此做出反應(yīng)的過(guò)程。它不僅檢測(cè)來(lái)自外部的入侵行為,同時(shí)也檢測(cè)來(lái)自內(nèi)部用戶的未授權(quán)活動(dòng)。入侵檢測(cè)應(yīng)用了以攻為守的策略,它所提供的數(shù)據(jù)不僅有可能用來(lái)發(fā)現(xiàn)合法用戶濫用特權(quán),還有可能在一定程度上提供追究入侵者法律責(zé)任的有效證據(jù)。

第6篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

網(wǎng)絡(luò)安全技術(shù)概述

常永亮

(飛行試驗(yàn)研究院測(cè)試所陜西西安710089)

【摘要】Internet是一種開放和標(biāo)準(zhǔn)的面向所有用戶的技術(shù)，其資源通過(guò)網(wǎng)絡(luò)共享，因此，資源共享和信息安全就成了一對(duì)矛盾。

【關(guān)鍵詞】網(wǎng)絡(luò)攻擊、安全預(yù)防、風(fēng)險(xiǎn)分析、網(wǎng)絡(luò)安全

1.引言

隨著網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)的安全性顯得非常重要，這是因?yàn)閼延袗阂獾墓粽吒`取、修改網(wǎng)絡(luò)上傳輸?shù)男畔ⅲㄟ^(guò)網(wǎng)絡(luò)非法進(jìn)入遠(yuǎn)程主機(jī)，獲取儲(chǔ)存在主機(jī)上的機(jī)密信息，或占用網(wǎng)絡(luò)資源，阻止其他用戶使用等。然而，網(wǎng)絡(luò)作為開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，因此，網(wǎng)絡(luò)安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來(lái)越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。

一般來(lái)說(shuō)，計(jì)算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性再加上網(wǎng)際協(xié)議的漏洞共同構(gòu)成了網(wǎng)絡(luò)的潛在威脅。隨著無(wú)線互聯(lián)網(wǎng)越來(lái)越普及的應(yīng)用，互聯(lián)網(wǎng)的安全性又很難在無(wú)線網(wǎng)上實(shí)施，因此，特別在構(gòu)建內(nèi)部網(wǎng)時(shí)，若忽略了無(wú)線設(shè)備的安全性則是一種重大失誤。

2.網(wǎng)絡(luò)攻擊及其防護(hù)技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然或惡意的原因遭到破壞、泄露，能確保網(wǎng)絡(luò)連續(xù)可靠的運(yùn)行。網(wǎng)絡(luò)安全其實(shí)就是網(wǎng)絡(luò)上的信息存儲(chǔ)和傳輸安全。

網(wǎng)絡(luò)的安全主要來(lái)自黑客和病毒攻擊，各類攻擊給網(wǎng)絡(luò)造成的損失已越來(lái)越大了，有的損失對(duì)一些企業(yè)已是致命的，僥幸心里已經(jīng)被提高防御取代，下面就攻擊和防御作簡(jiǎn)要介紹。

2.1常見的攻擊有以下幾類：

2.1.1入侵系統(tǒng)攻擊

此類攻擊如果成功，將使你的系統(tǒng)上的資源被對(duì)方一覽無(wú)遺，對(duì)方可以直接控制你的機(jī)器。

2.1.2緩沖區(qū)溢出攻擊

程序員在編程時(shí)會(huì)用到一些不進(jìn)行有效位檢查的函數(shù)，可能導(dǎo)致黑客利用自編寫程序來(lái)進(jìn)一步打開安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當(dāng)發(fā)生緩沖區(qū)溢出時(shí)，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它的指令，如果這些指令是放在有root權(quán)限的內(nèi)存中，那么一旦這些指令得到了運(yùn)行，黑客就以root權(quán)限控制了系統(tǒng)，這樣系統(tǒng)的控制權(quán)就會(huì)被奪取，此類攻擊在LINUX系統(tǒng)常發(fā)生。在Windows系統(tǒng)下用戶權(quán)限本身設(shè)定不嚴(yán)謹(jǐn)，因此應(yīng)比在LINUX系統(tǒng)下更易實(shí)現(xiàn)。

2.1.3欺騙類攻擊

網(wǎng)絡(luò)協(xié)議本身的一些缺陷可以被利用，使黑客可以對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，主要方式有：IP欺騙；ARP欺騙；DNS欺騙；Web欺騙；電子郵件欺騙；源路由欺騙；地址欺騙等。

2.1.4拒絕服務(wù)攻擊

通過(guò)網(wǎng)絡(luò)，也可使正在使用的計(jì)算機(jī)出現(xiàn)無(wú)響應(yīng)、死機(jī)的現(xiàn)象，這就是拒絕服務(wù)攻擊，簡(jiǎn)稱DoS（DenialofService）。

分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu)，從許多分布的主機(jī)同時(shí)攻擊一個(gè)目標(biāo)，從而導(dǎo)致目標(biāo)癱瘓，簡(jiǎn)稱DDoS（DistributedDenialofService）。

2.1.5對(duì)防火墻的攻擊

防火墻也是由軟件和硬件組成的，在設(shè)計(jì)和實(shí)現(xiàn)上都不可避免地存在著缺陷，對(duì)防火墻的攻擊方法也是多種多樣的，如探測(cè)攻擊技術(shù)、認(rèn)證的攻擊技術(shù)等。

2.1.6利用病毒攻擊

病毒是黑客實(shí)施網(wǎng)絡(luò)攻擊的有效手段之一，它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對(duì)性、衍生性、不可預(yù)見性和破壞性等特性，而且在網(wǎng)絡(luò)中其危害更加可怕，目前可通過(guò)網(wǎng)絡(luò)進(jìn)行傳播的病毒已有數(shù)萬(wàn)種，可通過(guò)注入技術(shù)進(jìn)行破壞和攻擊。

2.1.7木馬程序攻擊

特洛伊木馬是一種直接由一個(gè)黑客，或是通過(guò)一個(gè)不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限，安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)。

2.1.8網(wǎng)絡(luò)偵聽

網(wǎng)絡(luò)偵聽為主機(jī)工作模式，主機(jī)能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅰＶ灰褂镁W(wǎng)絡(luò)監(jiān)聽工具，就可以輕易地截取所在網(wǎng)段的所有用戶口令和帳號(hào)等有用的信息資料。

等等。現(xiàn)在的網(wǎng)絡(luò)攻擊手段可以說(shuō)日新月異，隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，其開放性、共享性、互連程度擴(kuò)大，網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。計(jì)算機(jī)和網(wǎng)絡(luò)安全技術(shù)正變得越來(lái)越先進(jìn)，操作系統(tǒng)對(duì)本身漏洞的更新補(bǔ)救越來(lái)越及時(shí)。現(xiàn)在企業(yè)更加注意企業(yè)內(nèi)部網(wǎng)的安全，個(gè)人越來(lái)越注意自己計(jì)算機(jī)的安全。可以說(shuō)：只要有計(jì)算機(jī)和網(wǎng)絡(luò)的地方肯定是把網(wǎng)絡(luò)安全放到第一位。

網(wǎng)絡(luò)有其脆弱性，并會(huì)受到一些威脅。因而建立一個(gè)系統(tǒng)時(shí)進(jìn)行風(fēng)險(xiǎn)分析就顯得尤為重要了。風(fēng)險(xiǎn)分析的目的是通過(guò)合理的步驟，以防止所有對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅的事件發(fā)生。因此，嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析是可靠和有效的安全防護(hù)措施制定的必要前提。網(wǎng)絡(luò)風(fēng)險(xiǎn)分析在系統(tǒng)可行性分析階段就應(yīng)進(jìn)行了。因?yàn)樵谶@階段實(shí)現(xiàn)安全控制要遠(yuǎn)比在網(wǎng)絡(luò)系統(tǒng)運(yùn)行后采取同樣的控制要節(jié)約的多。即使認(rèn)為當(dāng)前的網(wǎng)絡(luò)系統(tǒng)分析建立的十分完善，在建立安全防護(hù)時(shí)，風(fēng)險(xiǎn)分析還是會(huì)發(fā)現(xiàn)一些潛在的安全問(wèn)題，從整體性、協(xié)同性方面構(gòu)建一個(gè)信息安全的網(wǎng)絡(luò)環(huán)境。可以說(shuō)網(wǎng)絡(luò)的安全問(wèn)題是組織管理和決策。

2.2防御措施主要有以下幾種

2.2.1防火墻

防火墻是建立在被保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障，用于保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)進(jìn)行控制和審計(jì)。

2.2.2虛擬專用網(wǎng)

虛擬專用網(wǎng)（VPN）的實(shí)現(xiàn)技術(shù)和方式有很多，但是所有的VPN產(chǎn)品都應(yīng)該保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。如在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)隧道，利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)的私有性和安全性。此外，還需要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。

2.2.3虛擬局域網(wǎng)

選擇虛擬局域網(wǎng)(VLAN)技術(shù)可從鏈路層實(shí)施網(wǎng)絡(luò)安全。VLAN是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴，還可利用MAC層的數(shù)據(jù)包過(guò)濾技術(shù)，對(duì)安全性要求高的VLAN端口實(shí)施MAC幀過(guò)濾。而且，即使黑客攻破某一虛擬子網(wǎng)，也無(wú)法得到整個(gè)網(wǎng)絡(luò)的信息，但VLAN技術(shù)的局限在新的VLAN機(jī)制較好的解決了，這一新的VLAN就是專用虛擬局域網(wǎng)（PVLAN）技術(shù)。

2.2.4漏洞檢測(cè)

漏洞檢測(cè)就是對(duì)重要計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征。通常采用兩種策略，即被動(dòng)式策略和主動(dòng)式策略。被動(dòng)式策略基于主機(jī)檢測(cè)，對(duì)系統(tǒng)中不合適的設(shè)置、口令以及其他同安全規(guī)則相背的對(duì)象進(jìn)行檢查；主動(dòng)式策略基于網(wǎng)絡(luò)檢測(cè)，通過(guò)執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測(cè)的結(jié)果實(shí)際上就是系統(tǒng)安全性的一個(gè)評(píng)估，它指出了哪些攻擊是可能的，因此成為安全方案的一個(gè)重要組成部分。漏洞檢測(cè)系統(tǒng)是防火墻的延伸，并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能，保證計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。

2.2.5入侵檢測(cè)

入侵檢測(cè)系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實(shí)時(shí)捕獲下來(lái)，檢查是否有黑客入侵或可疑活動(dòng)的發(fā)生，一旦發(fā)現(xiàn)有黑客入侵或可疑活動(dòng)的發(fā)生，系統(tǒng)將做出實(shí)時(shí)報(bào)警響應(yīng)。

2.2.6密碼保護(hù)

加密措施是保護(hù)信息的最后防線，被公認(rèn)為是保護(hù)信息傳輸唯一實(shí)用的方法。無(wú)論是對(duì)等還是不對(duì)等加密都是為了確保信息的真實(shí)和不被盜取應(yīng)用，但隨著計(jì)算機(jī)性能的飛速發(fā)展，破解部分公開算法的加密方法已變得越來(lái)越可能。因此，現(xiàn)在對(duì)加密算法的保密越來(lái)越重要，幾個(gè)加密方法的協(xié)同應(yīng)用會(huì)使信息保密性大大加強(qiáng)。

2.2.7安全策略

安全策略可以認(rèn)為是一系列政策的集合，用來(lái)規(guī)范對(duì)組織資源的管理、保護(hù)以及分配，已達(dá)到最終安全的目的。安全策略的制定需要基于一些安全模型。

2.2.8網(wǎng)絡(luò)管理員

網(wǎng)絡(luò)管理員在防御網(wǎng)絡(luò)攻擊方面也是非常重要的，雖然在構(gòu)建系統(tǒng)時(shí)一些防御措施已經(jīng)通過(guò)各種測(cè)試，但上面無(wú)論哪一條防御措施都有其局限性，只有高素質(zhì)的網(wǎng)絡(luò)管理員和整個(gè)網(wǎng)絡(luò)安全系統(tǒng)協(xié)同防御，才能起到最好的效果。

以上大概講了幾個(gè)網(wǎng)絡(luò)安全的策略，網(wǎng)絡(luò)安全基本要素是保密性、完整性和可用，但網(wǎng)絡(luò)的安全威脅與網(wǎng)絡(luò)的安全防護(hù)措施是交互出現(xiàn)的。不適當(dāng)?shù)木W(wǎng)絡(luò)安全防護(hù)，不僅可能不能減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，浪費(fèi)大量的資金，而且可能招致更大的安全威脅。一個(gè)好的安全網(wǎng)絡(luò)應(yīng)該是由主機(jī)系統(tǒng)、應(yīng)用和服務(wù)、路由、網(wǎng)絡(luò)、網(wǎng)絡(luò)管理及管理制度等諸多因數(shù)決定的，但所有的防御措施對(duì)信息安全管理者提出了挑戰(zhàn)，他們必須分析采用哪種產(chǎn)品能夠適應(yīng)長(zhǎng)期的網(wǎng)絡(luò)安全策略的要求，而且必須清楚何種策略能夠保證網(wǎng)絡(luò)具有足夠的健壯性、互操作性并且能夠容易地對(duì)其升級(jí)。

隨著信息系統(tǒng)工程開發(fā)量越來(lái)越大，致使系統(tǒng)漏洞也成正比的增加，受到攻擊的次數(shù)也在增多。相對(duì)滯后的補(bǔ)救次數(shù)和成本也在增加，黑客與反黑客的斗爭(zhēng)已經(jīng)成為一場(chǎng)沒(méi)有結(jié)果的斗爭(zhēng)。

3.結(jié)論

網(wǎng)絡(luò)安全的管理與分析現(xiàn)已被提到前所未有的高度，現(xiàn)在IPv6已開始應(yīng)用，它設(shè)計(jì)的時(shí)候充分研究了以前IPv4的各種問(wèn)題，在安全性上得到了大大的提高，但并不是不存在安全問(wèn)題了。在WindowsVista的開發(fā)過(guò)程中，安全被提到了一個(gè)前所未有的重視高度，但微軟相關(guān)負(fù)責(zé)人還是表示，＂即使再安全的操作系統(tǒng)，安全問(wèn)題也會(huì)一直存在＂。

總之，網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問(wèn)題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問(wèn)題，而不是萬(wàn)能的。因此只有完備的系統(tǒng)開發(fā)過(guò)程、嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析、嚴(yán)謹(jǐn)?shù)南到y(tǒng)測(cè)試、綜合的防御技術(shù)實(shí)施、嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才等各方面的綜合應(yīng)用才能完好、實(shí)時(shí)地保證信息的完整性和正確性，為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)——這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。

參考文獻(xiàn)

[1]《網(wǎng)絡(luò)綜合布線系統(tǒng)與施工技術(shù)》黎連業(yè)著

第7篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

關(guān)鍵詞：辦公網(wǎng)絡(luò)；安全策略；技術(shù)實(shí)現(xiàn)

0引言

計(jì)算機(jī)技術(shù)和信息技術(shù)快速發(fā)展背景下，以其獨(dú)特的優(yōu)勢(shì)被廣泛應(yīng)用在現(xiàn)代辦公中，促使現(xiàn)代辦公方式不斷改革深化，大大提升了辦公效率和質(zhì)量。由于辦公并不需要不同職務(wù)之間的面對(duì)面交流，僅僅依靠網(wǎng)絡(luò)即可實(shí)現(xiàn)通信，大范圍的實(shí)現(xiàn)信息資源的傳播和共享，可以有效降低信息傳播時(shí)間。同時(shí)，辦公領(lǐng)域得到了擴(kuò)大，實(shí)現(xiàn)各種類型信息內(nèi)容的傳輸，信息傳遞與共享不再局限于文字，進(jìn)一步涵蓋了圖片、音頻和視頻內(nèi)容，較之傳統(tǒng)辦公方式而言更加便捷、完整。但是，由于辦公網(wǎng)絡(luò)自身開放性特點(diǎn)，其中存在的安全隱患在不同程度上威脅著辦公信息安全，還需要繼續(xù)深化辦公網(wǎng)絡(luò)安全防護(hù)技術(shù)的研究，加強(qiáng)對(duì)其研究十分關(guān)鍵，對(duì)于后續(xù)工作開展具有一定參考價(jià)值。

1辦公網(wǎng)絡(luò)的結(jié)構(gòu)和特點(diǎn)

1.1辦公網(wǎng)絡(luò)的結(jié)構(gòu)

辦公網(wǎng)絡(luò)主要是由于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)構(gòu)成，其中外部網(wǎng)絡(luò)主要是用于同外部用戶溝通和交流，實(shí)現(xiàn)數(shù)據(jù)的采集和整理，內(nèi)部網(wǎng)絡(luò)則是用于企業(yè)內(nèi)部各個(gè)部門或是上下級(jí)之間的信息交互，實(shí)現(xiàn)更加高效的數(shù)據(jù)處理[1]。

1.2辦公網(wǎng)絡(luò)的特點(diǎn)

辦公網(wǎng)絡(luò)主要是應(yīng)用在文件和打印服務(wù)共享、信息管理系統(tǒng)和辦公自動(dòng)化系統(tǒng)中，較之公用網(wǎng)絡(luò)而言，特點(diǎn)十分鮮明，包括以下幾個(gè)方面：（1）網(wǎng)絡(luò)應(yīng)用多。辦公網(wǎng)絡(luò)中不僅包括公眾網(wǎng)絡(luò)中的應(yīng)用，同時(shí)還包括一些專項(xiàng)的應(yīng)用程序，包括MIS和OA等，這就對(duì)辦公網(wǎng)絡(luò)的系統(tǒng)管理人員和工作人員專業(yè)素質(zhì)水平提出了更高層次的要求。（2）用戶類型多。辦公網(wǎng)絡(luò)中的用戶數(shù)量沒(méi)有公眾網(wǎng)絡(luò)用戶數(shù)量多，但是由于辦公網(wǎng)絡(luò)應(yīng)用系統(tǒng)多，所以系統(tǒng)內(nèi)部關(guān)系十分復(fù)雜，不同的用戶擁有不同的權(quán)限。（3）網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。辦公網(wǎng)絡(luò)主要是根據(jù)部門和工作流程來(lái)劃分邏輯子網(wǎng)，不同的子網(wǎng)之間存在不同的控制策略，這就需要充分把握網(wǎng)絡(luò)物理結(jié)構(gòu)和邏輯結(jié)構(gòu)。（4）系統(tǒng)安全性高。辦公網(wǎng)絡(luò)其中傳輸?shù)男畔①Y源私密性更高，其中包括很多商業(yè)機(jī)密文件和重要的管理決策，所以為了保證信息安全，我們需要選擇合理有效手段進(jìn)行安全防護(hù)[2]。

2辦公網(wǎng)絡(luò)中的安全威脅

辦公網(wǎng)絡(luò)中存在的安全隱患較為多樣、復(fù)雜，其中主要的安全隱患主要可以分為以下三種，即系統(tǒng)本身安全漏洞，出現(xiàn)故障問(wèn)題埋下的安全隱患；網(wǎng)絡(luò)防護(hù)措施不合理，為黑客帶來(lái)了可趁之機(jī)；網(wǎng)絡(luò)使用者操作中不當(dāng)，埋下安全隱患。

2.1系統(tǒng)安全漏洞

計(jì)算機(jī)在系統(tǒng)編程中，程序員的一點(diǎn)小失誤可能導(dǎo)致后續(xù)計(jì)算機(jī)系統(tǒng)運(yùn)行中出現(xiàn)安全隱患，這些漏洞盡管平時(shí)在計(jì)算機(jī)系統(tǒng)中并無(wú)明顯的影響，但是如果用戶使用相關(guān)功能時(shí)，將導(dǎo)致功能無(wú)法使用或是系統(tǒng)崩潰等等，造成數(shù)據(jù)資料被損壞。需要注意的是，漏洞是一種普遍存在的現(xiàn)象，漏洞本身并不會(huì)為用戶帶來(lái)?yè)p失，而是某些黑客或不法分子利用漏洞來(lái)竊取用戶私密信息，攻擊計(jì)算機(jī)，致使計(jì)算機(jī)系統(tǒng)無(wú)法正常使用，帶來(lái)十分嚴(yán)重的經(jīng)濟(jì)損失[3]。

2.2計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是一種破壞計(jì)算機(jī)系統(tǒng)穩(wěn)定性的攻擊手段，潛藏在計(jì)算機(jī)程序和軟件中，在被執(zhí)行中操作，從而影響計(jì)算機(jī)正常性能發(fā)揮的程序。一般情況下，計(jì)算機(jī)病毒通過(guò)復(fù)制、傳輸信息和運(yùn)行程度來(lái)傳播病毒，在使用中，硬盤和軟盤都可能造成病毒傳播。計(jì)算機(jī)病毒對(duì)于計(jì)算機(jī)的危害程度存在不同的差異，影響電腦運(yùn)行速度，影響辦公效率，嚴(yán)重情況下則是造成重要數(shù)據(jù)文件損壞，計(jì)算機(jī)系統(tǒng)崩潰和硬件損壞，帶來(lái)嚴(yán)重的損失。在現(xiàn)代辦公環(huán)境中，計(jì)算機(jī)病毒更多的是通過(guò)網(wǎng)絡(luò)傳播，為網(wǎng)絡(luò)信息埋下了一系列安全隱患[4]。

2.3黑客攻擊

黑客攻擊是當(dāng)前危害計(jì)算機(jī)網(wǎng)絡(luò)安全的一個(gè)主要問(wèn)題，主要是指熟練計(jì)算機(jī)操作的黑客，通過(guò)高水平的計(jì)算機(jī)技術(shù)應(yīng)用在不良用途上，針對(duì)計(jì)算機(jī)系統(tǒng)漏洞，有針對(duì)性的進(jìn)行攻擊，致使網(wǎng)絡(luò)癱瘓和系統(tǒng)崩潰，無(wú)法正常使用，重要數(shù)據(jù)信息丟失。此類攻擊對(duì)于網(wǎng)絡(luò)正常運(yùn)行帶來(lái)的影響較大，將嚴(yán)重破壞信息有效性；也可能對(duì)網(wǎng)絡(luò)不產(chǎn)生直接的影響，直接竊取重要數(shù)據(jù)信息。這種惡意攻擊對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全帶來(lái)的危害較大，致使對(duì)用戶造成了不同程度上的損失。

2.4網(wǎng)絡(luò)安全管理力度不足

網(wǎng)絡(luò)是一種更加便捷的溝通平臺(tái)，由于計(jì)算機(jī)網(wǎng)絡(luò)開放性特點(diǎn)，致使網(wǎng)絡(luò)中潛在一系列安全隱患，為了加強(qiáng)網(wǎng)絡(luò)安全性，應(yīng)該進(jìn)一步加強(qiáng)對(duì)網(wǎng)絡(luò)安全管理。基于此，提升網(wǎng)絡(luò)安全認(rèn)知水平，對(duì)網(wǎng)絡(luò)工作有一個(gè)全方位的了解，明確網(wǎng)絡(luò)安全重要性，及時(shí)清理網(wǎng)絡(luò)病毒和垃圾。此外，網(wǎng)絡(luò)體制不健全，網(wǎng)絡(luò)安全技術(shù)不足，導(dǎo)致很多網(wǎng)絡(luò)病毒和系統(tǒng)漏洞產(chǎn)生，為辦公網(wǎng)絡(luò)帶來(lái)了嚴(yán)重的威脅。

3網(wǎng)絡(luò)安全策略和實(shí)現(xiàn)技術(shù)

3.1系統(tǒng)安全

應(yīng)該加強(qiáng)系統(tǒng)安全檢測(cè)力度。系統(tǒng)安全是辦公網(wǎng)絡(luò)安全的基礎(chǔ)所在，維護(hù)系統(tǒng)安全，主要是針對(duì)用戶的計(jì)算機(jī)系統(tǒng)而言。計(jì)算機(jī)系統(tǒng)并非是十分完美的，其中潛藏的系統(tǒng)漏洞在無(wú)形中威脅著用戶計(jì)算機(jī)系統(tǒng)安全，加強(qiáng)對(duì)系統(tǒng)安全的檢測(cè)力度是一種行之有效的方式。一般情況下，對(duì)計(jì)算機(jī)系統(tǒng)的安全檢測(cè)，主要是分為動(dòng)態(tài)檢測(cè)和靜態(tài)檢測(cè)兩種方法，其中靜態(tài)分析技術(shù)是指對(duì)計(jì)算機(jī)程序和源代碼檢測(cè)，尋求計(jì)算機(jī)系統(tǒng)中存在的安全隱患，并予以修復(fù)和完善[5]。在衡量系統(tǒng)安全時(shí)，漏報(bào)率和誤報(bào)率是主要的衡量指標(biāo)，這兩個(gè)指標(biāo)之間存在密切的聯(lián)系，如果一個(gè)指標(biāo)降低，另一個(gè)指標(biāo)將隨之升高。這種靜態(tài)指標(biāo)在實(shí)際應(yīng)用中，并不需要軟件運(yùn)行檢測(cè)，使用更為便捷和便利，但是對(duì)于計(jì)算機(jī)程序重要性無(wú)法做出準(zhǔn)確分析，最終得到的結(jié)果可能同實(shí)際情況存在一定差距。動(dòng)態(tài)檢測(cè)技術(shù)則是指優(yōu)化軟件運(yùn)行環(huán)境，修改內(nèi)存大小，程序保密性得到了顯著的提升，以此來(lái)實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)安全維護(hù)。兩種方法在優(yōu)劣對(duì)比中，動(dòng)態(tài)更為合理，可以有效保證網(wǎng)絡(luò)安全。

3.2做好漏洞防護(hù)

漏洞的形成是受到多方因素影響，選擇的保護(hù)措施同樣存在差異，在防止格式化字符串的漏洞中，一般情況下主要是采用格式量化方法，可以有效的降低字符串被攻擊的幾率，提升漏洞檢測(cè)效果。防止競(jìng)爭(zhēng)條件漏洞，從競(jìng)爭(zhēng)代碼進(jìn)行分析，通過(guò)操作代碼實(shí)現(xiàn)原子化操作，鎖定代碼，降低對(duì)軟件運(yùn)行帶來(lái)的影響。

3.3網(wǎng)絡(luò)安全

采用信息加密技術(shù)，從數(shù)據(jù)終端和節(jié)點(diǎn)加密處理，維護(hù)信息安全和數(shù)據(jù)傳輸安全；節(jié)點(diǎn)加密則是對(duì)數(shù)據(jù)傳輸通道的保護(hù)，從源節(jié)點(diǎn)到節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)安全。同時(shí)，還應(yīng)該加強(qiáng)賬號(hào)信息保護(hù)，尤其是網(wǎng)上銀行賬號(hào)和電子郵件賬號(hào)，加固賬號(hào)安全性是必然選擇。基于此，可以提升密碼的而復(fù)雜程度，通過(guò)數(shù)字、字母和符號(hào)的組合，提升密碼破譯難度；加大安全技術(shù)管理，轉(zhuǎn)變傳統(tǒng)網(wǎng)絡(luò)安全認(rèn)知，明確網(wǎng)絡(luò)安全重要性，做好網(wǎng)絡(luò)安全防范工作，同時(shí)對(duì)于違法犯罪行為加大懲處力度，營(yíng)造良好的網(wǎng)絡(luò)環(huán)境。

4結(jié)論

綜上所述，信息時(shí)代背景下，網(wǎng)絡(luò)信息安全是一個(gè)不可忽視的問(wèn)題，同人們的日常生活存在密切聯(lián)系。在辦公網(wǎng)絡(luò)中，為了維護(hù)辦公信息安全，降低辦公網(wǎng)絡(luò)風(fēng)險(xiǎn)，應(yīng)該注重架起網(wǎng)絡(luò)安全和使用安全，做好漏洞防護(hù)和信息加密工作，以降低辦公網(wǎng)絡(luò)風(fēng)險(xiǎn)。

參考文獻(xiàn)：

[1]李結(jié)松.辦公網(wǎng)絡(luò)安全策略研究及技術(shù)實(shí)現(xiàn)[J].計(jì)算機(jī)與現(xiàn)代化，2012.

[2]陳肖飛.高校辦公網(wǎng)絡(luò)數(shù)據(jù)安全問(wèn)題與策略研究[J].教育信息化（學(xué)術(shù)版），2016.

[3]丁美榮，魏海亮.基于B/S和C/S混合模式的辦公自動(dòng)化系統(tǒng)的網(wǎng)絡(luò)安全策略研究[J].計(jì)算機(jī)與現(xiàn)代化，2014.

[4]張秋余，袁占亭，馮濤等.辦公自動(dòng)化系統(tǒng)的設(shè)計(jì)與安全策略研究[J].蘭州理工大學(xué)學(xué)報(bào)，2014.

第8篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

一、背景分析

提起網(wǎng)絡(luò)信息安全，人們自然就會(huì)想到病毒破壞和黑客攻擊。其實(shí)不然，政府和企業(yè)因信息被竊取所造成的損失遠(yuǎn)遠(yuǎn)超過(guò)病毒破壞和黑客攻擊所造成的損失，據(jù)權(quán)威機(jī)構(gòu)調(diào)查：三分之二以上的安全威脅來(lái)自泄密和內(nèi)部人員犯罪，而非病毒和外來(lái)黑客引起。

目前，政府、企業(yè)等社會(huì)組織在網(wǎng)絡(luò)安全防護(hù)建設(shè)中，普遍采用傳統(tǒng)的內(nèi)網(wǎng)邊界安全防護(hù)技術(shù)，即在組織網(wǎng)絡(luò)的邊緣設(shè)置網(wǎng)關(guān)型邊界防火墻、AAA認(rèn)證、入侵檢測(cè)系統(tǒng)IDS等等網(wǎng)絡(luò)邊界安全防護(hù)技術(shù)，對(duì)網(wǎng)絡(luò)入侵進(jìn)行監(jiān)控和防護(hù)，抵御來(lái)自組織外部攻擊、防止組織網(wǎng)絡(luò)資源、信息資源遭受損失，保證組織業(yè)務(wù)流程的有效進(jìn)行。

這種解決策略是針對(duì)外部入侵的防范，對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的對(duì)企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護(hù)卻無(wú)任何作用。對(duì)于那些需要經(jīng)常移動(dòng)的終端設(shè)備在安全防護(hù)薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障，企業(yè)基于網(wǎng)絡(luò)邊界的安全防護(hù)技術(shù)就更是鞭長(zhǎng)莫及了，由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面，企業(yè)中經(jīng)常會(huì)有人私自以Modem撥號(hào)方式、手機(jī)或無(wú)線網(wǎng)卡等方式上網(wǎng)，而這些機(jī)器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來(lái)了巨大的潛在威脅;另一方面，黑客利用虛擬專用網(wǎng)絡(luò)VPN、無(wú)線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用程序的各種漏洞就可以繞過(guò)企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò)，發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機(jī)以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。

二、內(nèi)網(wǎng)安全風(fēng)險(xiǎn)分析

現(xiàn)代企業(yè)的網(wǎng)絡(luò)環(huán)境是建立在當(dāng)前飛速發(fā)展的開放網(wǎng)絡(luò)環(huán)境中，顧名思義，開放的環(huán)境既為信息時(shí)代的企業(yè)提供與外界進(jìn)行交互的窗口，同時(shí)也為企業(yè)外部提供了進(jìn)入企業(yè)最核心地帶——企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網(wǎng)絡(luò)面臨種種威脅和風(fēng)險(xiǎn)：病毒、蠕蟲對(duì)系統(tǒng)的破壞；系統(tǒng)軟件、應(yīng)用軟件自身的安全漏洞為不良企圖者所利用來(lái)竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識(shí)、安全知識(shí)、安全技能的匱乏，導(dǎo)致企業(yè)安全策略不能真正的得到很好的落實(shí)，開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來(lái)巨大的威脅。

1.病毒、蠕蟲入侵

目前，開放網(wǎng)絡(luò)面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點(diǎn)，即使再先進(jìn)的防病毒軟件、入侵檢測(cè)技術(shù)也不能獨(dú)立有效地完成安全防護(hù)，特別是對(duì)新類型新變種的病毒、蠕蟲，防護(hù)技術(shù)總要相對(duì)落后于新病毒新蠕蟲的入侵。

病毒、蠕蟲很容易通過(guò)各種途徑侵入企業(yè)的內(nèi)部網(wǎng)絡(luò)，除了利用企業(yè)網(wǎng)絡(luò)安全防護(hù)措施的漏洞外，最大的威脅卻是來(lái)自于內(nèi)部網(wǎng)絡(luò)用戶的各種危險(xiǎn)應(yīng)用：不安裝殺毒軟件；安裝殺毒軟件但不及時(shí)升級(jí)；網(wǎng)絡(luò)用戶在安裝完自己的辦公桌面系統(tǒng)后，未采取任何有效防護(hù)措施就連接到危險(xiǎn)的網(wǎng)絡(luò)環(huán)境中，特別是Internet；移動(dòng)用戶計(jì)算機(jī)連接到各種情況不明網(wǎng)絡(luò)環(huán)境，在沒(méi)有采取任何防護(hù)措施的情況下又連入企業(yè)網(wǎng)絡(luò)；桌面用戶在終端使用各種數(shù)據(jù)介質(zhì)、軟件介質(zhì)等等都可能將病毒、蠕蟲在不知不覺(jué)中帶入到企業(yè)網(wǎng)絡(luò)中，給企業(yè)信息基礎(chǔ)設(shè)施，企業(yè)業(yè)務(wù)帶來(lái)無(wú)法估量的損失。

2.軟件漏洞隱患

企業(yè)網(wǎng)絡(luò)通常由數(shù)量龐大、種類繁多的軟件系統(tǒng)組成，有系統(tǒng)軟件、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用軟件等等，尤其是存在于廣大終端用戶辦公桌面上的各種應(yīng)用軟件不勝繁雜，每一個(gè)軟件系統(tǒng)都有不可避免的、潛在的或已知的軟件漏洞。無(wú)論哪一部分的漏洞被利用，都會(huì)給企業(yè)帶來(lái)危害，輕者危及個(gè)別設(shè)備，重者成為攻擊整個(gè)企業(yè)網(wǎng)絡(luò)媒介，危及整個(gè)企業(yè)網(wǎng)絡(luò)安全。

3.系統(tǒng)安全配置薄弱

企業(yè)網(wǎng)絡(luò)建設(shè)中應(yīng)用的各種軟件系統(tǒng)都有各自默認(rèn)的安全策略增強(qiáng)的安全配置設(shè)置，例如，賬號(hào)策略、審核策略、屏保策略、匿名訪問(wèn)限制、建立撥號(hào)連接限制等等。這些安全配置的正確應(yīng)用對(duì)于各種軟件系統(tǒng)自身的安全防護(hù)的增強(qiáng)具有重要作用，但在實(shí)際的企業(yè)網(wǎng)絡(luò)環(huán)境中，這些安全配置卻被忽視，尤其是那些網(wǎng)絡(luò)的終端用戶，導(dǎo)致軟件系統(tǒng)的安全配置成為“軟肋”、有時(shí)可能嚴(yán)重為配置漏洞，完全暴露給整個(gè)外部。例如某些軟件系統(tǒng)攻擊中采用的“口令強(qiáng)制攻擊”就是利用了弱口令習(xí)慣性的使用安全隱患，黑客利用各種網(wǎng)絡(luò)應(yīng)用默認(rèn)安裝中向外部提供的有限信息獲取攻擊的必要信息等等。

4.脆弱的網(wǎng)絡(luò)接入安全防護(hù)

傳統(tǒng)的網(wǎng)絡(luò)訪問(wèn)控制都是在企業(yè)網(wǎng)絡(luò)邊界進(jìn)行的，或在不同的企業(yè)內(nèi)網(wǎng)不同子網(wǎng)邊界進(jìn)行且在網(wǎng)絡(luò)訪問(wèn)用戶的身份被確認(rèn)后，用戶即可以對(duì)企業(yè)內(nèi)網(wǎng)進(jìn)行各種訪問(wèn)操作。在這樣一個(gè)訪問(wèn)控制策略中存在無(wú)限的企業(yè)網(wǎng)絡(luò)安全漏洞，例如，企業(yè)網(wǎng)絡(luò)的合法移動(dòng)用戶在安全防護(hù)較差的外網(wǎng)環(huán)境中使用VPN連接、遠(yuǎn)程撥號(hào)、無(wú)線AP，以太網(wǎng)接入等等網(wǎng)絡(luò)接入方式，在外網(wǎng)和企業(yè)內(nèi)網(wǎng)之間建立一個(gè)安全通道。

另一個(gè)傳統(tǒng)網(wǎng)絡(luò)訪問(wèn)控制問(wèn)題來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)部，尤其對(duì)于大型企業(yè)網(wǎng)絡(luò)擁有成千上萬(wàn)的用戶終端，使用的網(wǎng)絡(luò)應(yīng)用層出不窮，目前對(duì)于企業(yè)網(wǎng)管很難準(zhǔn)確的控制企業(yè)網(wǎng)絡(luò)的應(yīng)用，這樣的現(xiàn)實(shí)導(dǎo)致安全隱患的產(chǎn)生：?jiǎn)T工使用未經(jīng)企業(yè)允許的網(wǎng)絡(luò)應(yīng)用，如郵件服務(wù)器收發(fā)郵件，這就可能使企業(yè)的保密數(shù)據(jù)外泄或感染郵件病毒；企業(yè)內(nèi)部員工在終端上私自使用未經(jīng)允許的網(wǎng)絡(luò)應(yīng)用程序，在此過(guò)程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件，從而感染內(nèi)部網(wǎng)絡(luò)，進(jìn)而造成內(nèi)部網(wǎng)絡(luò)中敏感數(shù)據(jù)的泄密或損毀。

5.企業(yè)網(wǎng)絡(luò)入侵

現(xiàn)階段黑客攻擊技術(shù)細(xì)分下來(lái)共有8類，分別為入侵系統(tǒng)類攻擊、緩沖區(qū)溢出攻擊、欺騙類攻擊、拒絕服務(wù)攻擊、對(duì)防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。

對(duì)于采取各種傳統(tǒng)安全防護(hù)措施的企業(yè)內(nèi)網(wǎng)來(lái)說(shuō)，都沒(méi)有萬(wàn)無(wú)一失的把握;對(duì)于從企業(yè)內(nèi)網(wǎng)走出到安全防護(hù)薄弱的外網(wǎng)環(huán)境的移動(dòng)用戶來(lái)說(shuō)，安全保障就會(huì)嚴(yán)重惡化，當(dāng)移動(dòng)用戶連接到企業(yè)內(nèi)網(wǎng)，就會(huì)將各種網(wǎng)絡(luò)入侵帶入企業(yè)網(wǎng)絡(luò)。

6.終端用戶計(jì)算機(jī)安全完整性缺失

隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展，越來(lái)越多的員工會(huì)在企業(yè)專網(wǎng)以外使用計(jì)算機(jī)辦公，同時(shí)這些移動(dòng)員工需要連接回企業(yè)的內(nèi)部網(wǎng)絡(luò)獲取工作必須的數(shù)據(jù)。由于這些移動(dòng)用戶處于專網(wǎng)的保護(hù)之外，很有可能被黑客攻陷或感染網(wǎng)絡(luò)病毒。同時(shí)，企業(yè)現(xiàn)有的安全投資（如：防病毒軟件、各種補(bǔ)丁程序、安全配置等）若處于不正常運(yùn)行狀態(tài)，終端員工沒(méi)有及時(shí)更新病毒特征庫(kù)，或私自卸載安全軟件等，將成為黑客攻擊內(nèi)部網(wǎng)絡(luò)的跳板。

三、內(nèi)網(wǎng)安全實(shí)施策略

1.多層次的病毒、蠕蟲防護(hù)

病毒、蠕蟲破壞網(wǎng)絡(luò)安全事件一直以來(lái)在網(wǎng)絡(luò)安全領(lǐng)域就沒(méi)有一個(gè)根本的解決辦法，其中的原因是多方面的，有人為的原因，如不安裝防殺病毒軟件，病毒庫(kù)未及時(shí)升級(jí)等等，也有技術(shù)上的原因，殺毒軟件、入侵防范系統(tǒng)等安全技術(shù)對(duì)新類型、新變異的病毒、蠕蟲的防護(hù)往往要落后一步。危害好像是無(wú)法避免的，但我們可以控制它的危害程度，只要我們針對(duì)不同的原因采取有針對(duì)性的切實(shí)有效的防護(hù)辦法，就會(huì)使病毒、蠕蟲對(duì)企業(yè)的危害減少到最低限度，甚至沒(méi)有危害。這樣，僅靠單一、簡(jiǎn)單的防護(hù)技術(shù)是難以防護(hù)病毒、蠕蟲的威脅的。

2.終端用戶透明、自動(dòng)化的補(bǔ)丁管理，安全配置

為了彌補(bǔ)和糾正運(yùn)行在企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件、應(yīng)用軟件的安全漏洞，使整個(gè)企業(yè)網(wǎng)絡(luò)安全不至由于個(gè)別軟件系統(tǒng)的漏洞而受到危害，完全必要在企業(yè)的安全管理策略中加強(qiáng)對(duì)補(bǔ)丁升級(jí)、系統(tǒng)安全配置的管理。

用戶可通過(guò)管理控制臺(tái)集中管理企業(yè)網(wǎng)絡(luò)終端設(shè)備的軟件系統(tǒng)的補(bǔ)丁升級(jí)、系統(tǒng)配置策略，定義終端補(bǔ)丁下載。將補(bǔ)丁升級(jí)策略、增強(qiáng)終端系統(tǒng)安全配置策略下發(fā)給運(yùn)行于各終端設(shè)備上的安全，安全執(zhí)行這些策略，以保證終端系統(tǒng)補(bǔ)丁升級(jí)、安全配置的完備有效，整個(gè)管理過(guò)程都是自動(dòng)完成的，對(duì)終端用戶來(lái)說(shuō)完全透明，減少了終端用戶的麻煩和企業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，提高企業(yè)網(wǎng)絡(luò)整體的補(bǔ)丁升級(jí)、安全配置管理效率和效用，使企業(yè)網(wǎng)絡(luò)的補(bǔ)丁及安全配置管理策略得到有效的落實(shí)。

3.全面的網(wǎng)絡(luò)準(zhǔn)入控制

為了解決傳統(tǒng)的外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)給企業(yè)網(wǎng)絡(luò)帶來(lái)的安全隱患，以及企業(yè)網(wǎng)絡(luò)安全管理人員無(wú)法控制內(nèi)部員工網(wǎng)絡(luò)行為給企業(yè)網(wǎng)絡(luò)帶來(lái)的安全問(wèn)題，除了有效的解決企業(yè)員工從企業(yè)內(nèi)網(wǎng)、外網(wǎng)以各種網(wǎng)絡(luò)接入方式接入企業(yè)網(wǎng)絡(luò)的訪問(wèn)控制問(wèn)題，同時(shí)對(duì)傳統(tǒng)的網(wǎng)絡(luò)邊界訪問(wèn)控制沒(méi)有解決的網(wǎng)絡(luò)接入安全防護(hù)措施，而采用邊界準(zhǔn)入控制、接入層準(zhǔn)入控制等技術(shù)進(jìn)行全面的實(shí)現(xiàn)準(zhǔn)入控制。當(dāng)外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)時(shí)，檢查客戶端的安全策略狀態(tài)是否符合企業(yè)整體安全策略，對(duì)于符合的外網(wǎng)訪問(wèn)則放行。一個(gè)全面的網(wǎng)絡(luò)準(zhǔn)入檢測(cè)系統(tǒng)。

第9篇：基于某企業(yè)的網(wǎng)絡(luò)安全策略范文

關(guān)鍵詞：網(wǎng)絡(luò)；安全；數(shù)據(jù)包；防火墻；入侵防御；防病毒網(wǎng)關(guān)

網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀

目前我們使用各種網(wǎng)絡(luò)安全技術(shù)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)，以降低惡意軟件和各種攻擊給企業(yè)帶來(lái)的風(fēng)險(xiǎn)。使用的網(wǎng)絡(luò)安全技術(shù)大致可以分為四類：

1. 數(shù)據(jù)包層保護(hù)：如路由器的訪問(wèn)控制列表和無(wú)狀態(tài)防火墻；

2. 會(huì)話層保護(hù)：如狀態(tài)檢測(cè)防火墻；

3. 應(yīng)用層保護(hù)：如防火墻和入侵防御系統(tǒng)；

4. 文件層保護(hù)：如防病毒網(wǎng)關(guān)系統(tǒng)。

在表-1中對(duì)四類網(wǎng)絡(luò)安全技術(shù)進(jìn)行了比較，并且評(píng)估各種技術(shù)涉及的協(xié)議，安全機(jī)制，以及這些技術(shù)對(duì)網(wǎng)絡(luò)性能的影響。

表-1 網(wǎng)絡(luò)安全技術(shù)的比較

數(shù)據(jù)包過(guò)濾保護(hù)

數(shù)據(jù)包過(guò)濾保護(hù)是目前應(yīng)用最廣的控制網(wǎng)絡(luò)訪問(wèn)的一種方式。這種技術(shù)的原理很簡(jiǎn)單：通過(guò)比較數(shù)據(jù)包頭的基本信息來(lái)確定數(shù)據(jù)包是否允許通過(guò)。Cisco IOS的訪問(wèn)控制列表（ACL）是應(yīng)用最廣泛的一種包過(guò)濾工具。Linux操作系統(tǒng)中的IPChains也是一種常用的包過(guò)濾工具。

對(duì)于某些應(yīng)用協(xié)議，在傳輸數(shù)據(jù)時(shí)，需要服務(wù)器和客戶端協(xié)商一個(gè)隨機(jī)的端口。例如FTP，RPC和H323.包過(guò)濾設(shè)備不能保護(hù)此類協(xié)議。為了保證此類應(yīng)用的數(shù)據(jù)包通過(guò)包過(guò)濾設(shè)備，需要在訪問(wèn)控制列表上打開一個(gè)比較大的"漏洞"，這樣也就消弱了包過(guò)濾系統(tǒng)的保護(hù)作用。

狀態(tài)檢測(cè)防火墻

會(huì)話層的保護(hù)技術(shù)通過(guò)追蹤客戶端和服務(wù)器之間的會(huì)話狀態(tài)來(lái)控制雙向的數(shù)據(jù)流。狀態(tài)檢測(cè)防火墻記錄會(huì)話狀態(tài)信息，而且安全策略是也是對(duì)會(huì)話狀態(tài)的允許或拒絕。對(duì)于基于面向連接的TCP協(xié)議應(yīng)用程序，狀態(tài)檢測(cè)防火墻提供更豐富的安全策略：

1. 直接丟棄來(lái)自客戶端/服務(wù)器的數(shù)據(jù)包；

2. 向客戶端，或服務(wù)器，或者雙方發(fā)送RST包，從而關(guān)閉整個(gè)TCP連接；

3. 提供基本的QoS功能。

狀態(tài)檢測(cè)防火墻能夠監(jiān)測(cè)到客戶端和服務(wù)器之間的動(dòng)態(tài)端口的協(xié)商，從而能夠控制動(dòng)態(tài)協(xié)議的數(shù)據(jù)流。 例如，對(duì)于FTP協(xié)議，狀態(tài)檢測(cè)防火墻通過(guò)監(jiān)測(cè)控制會(huì)話中的協(xié)商動(dòng)態(tài)端口的命令，從而控制它的數(shù)據(jù)會(huì)話的數(shù)據(jù)傳輸。

應(yīng)用層保護(hù)

為了實(shí)現(xiàn)應(yīng)用層保護(hù)，需要兩個(gè)重要的技術(shù)：應(yīng)用層協(xié)議分析器和內(nèi)容匹配技術(shù)。應(yīng)用層保護(hù)技術(shù)通過(guò)應(yīng)用層協(xié)議分析器分析數(shù)據(jù)流的，從而過(guò)濾掉應(yīng)用。目前，安全設(shè)備廠商提供多種安全產(chǎn)品提供應(yīng)用層保護(hù)技術(shù)，其中部署比較廣泛的產(chǎn)品有：入侵防御系統(tǒng)、Proxy防火墻。

1．入侵檢測(cè)

入侵檢測(cè)技術(shù)是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種新型網(wǎng)絡(luò)安全技術(shù)。入侵檢測(cè)技術(shù)不但可以幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，而且擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的苦干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。此外，它還可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，是網(wǎng)絡(luò)安全中極其重要的部分。

入侵防御系統(tǒng)根據(jù)網(wǎng)絡(luò)流量的IP地址，網(wǎng)絡(luò)協(xié)議和應(yīng)用層的分析和檢測(cè)決定是否允許或拒絕網(wǎng)絡(luò)訪問(wèn)。入侵防御系統(tǒng)接受數(shù)據(jù)包后，需要重組數(shù)據(jù)包，分析應(yīng)用協(xié)議的命令和原語(yǔ)，然后發(fā)現(xiàn)可疑的網(wǎng)絡(luò)攻擊的特征碼。如果監(jiān)測(cè)到網(wǎng)絡(luò)攻擊的特征碼，則執(zhí)行預(yù)定策略的動(dòng)作。這些動(dòng)作可以是入侵日志，中斷連接，或者禁止特定的應(yīng)用協(xié)議的某些行為（例如，禁止使用MSN傳輸文件）。

2. 防火墻

防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻。這種防火墻通過(guò)一種技術(shù)參與到一個(gè)TCP連接的全過(guò)程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就好像是 源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是服務(wù)器技術(shù)。

防火墻在網(wǎng)絡(luò)中客戶端訪問(wèn)網(wǎng)絡(luò)服務(wù)屏蔽客戶端和服務(wù)器之間的直接通信。首先客戶端和防火墻建立連接，并且防火墻和遠(yuǎn)程服務(wù)器建立連接。然后防火墻轉(zhuǎn)發(fā)雙方發(fā)送的數(shù)據(jù)。

防火墻和入侵防御系統(tǒng)都需要具有分片重組和TCP包重組功能，并且能夠丟棄異常網(wǎng)絡(luò)層數(shù)據(jù)包。這些異常的數(shù)據(jù)包可能被用于隱藏網(wǎng)絡(luò)入侵。應(yīng)用層安全產(chǎn)品具有理解應(yīng)用協(xié)議的命令和原語(yǔ)的能力，這能夠使應(yīng)用層安全產(chǎn)品監(jiān)測(cè)到異常的應(yīng)用層內(nèi)容。然而這些產(chǎn)品卻受限于它們支持的應(yīng)用層協(xié)議。對(duì)于常用的防火墻，僅支持一般的互聯(lián)網(wǎng)協(xié)議，如HTTP，F(xiàn)TP，EMAIL，TELNET，RLOGIN等。入侵防御系統(tǒng)支持更廣泛的應(yīng)用協(xié)議。

防火墻和入侵防御系統(tǒng)通過(guò)分析應(yīng)用協(xié)議，可以監(jiān)測(cè)某些病毒和木馬。例如，入侵防御系統(tǒng)通過(guò)分析EMAIL中的主體，附件文件名，以及附件的文件類型來(lái)監(jiān)測(cè)某些已知的病毒。但是應(yīng)用層安全保護(hù)不能進(jìn)行文件層面，更深入的監(jiān)測(cè)。文件層的安全監(jiān)測(cè)可以發(fā)現(xiàn)更多的惡意代碼。

現(xiàn)今有許多應(yīng)用程序是以網(wǎng)頁(yè)應(yīng)用服務(wù)(Web Application)方式呈現(xiàn)的，所使用的HTTP端口。此外，許多軟件開發(fā)人員已經(jīng)懂得在開發(fā)應(yīng)用程序時(shí)透過(guò)這些端口，以規(guī)避狀態(tài)檢測(cè)防火墻的阻擋。狀態(tài)檢測(cè)防火墻把透過(guò)這兩個(gè)端口傳輸?shù)姆?wù)?當(dāng)成WWW服務(wù)，因此無(wú)法?解并控制在網(wǎng)絡(luò)上使用的應(yīng)用程序。