企業網絡安全建議精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業網絡安全建議主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業網絡安全建議范文

一．研究內容

本報告研究內容主要包括以下幾個方面：1．中小企業網絡安全的需求特點。根據對中小企業的分類（見報告正文），分別對初級、中級、高級中小企業網絡安全的需求特點做了分析。

2．針對初級、中級、高級中小企業的網絡安全需求分別研究了解決方案。

3．對中小企業網絡安全市場做了增長趨勢預測。

4．分析了網絡安全廠商的捆綁策略，并對網絡安全廠商合作中需要注意的問題和選擇合作伙伴的標準做了建議。

二．中小企業網絡安全的需求

1．中級中小企業防入侵、防垃圾郵件的需求沒有得到中小企業的足夠重視，這兩個方面的需求沒有得到有效的滿足。市場上雖然有解決此類問題的產品，但由于中級中小企業防護意識的缺乏，以及存在信息不對稱和相關知識缺乏的問題，需求并沒有被滿足。這需要廠商加強宣傳和引導。

2．高級中小企業的網絡安全方面，防止內部人員竊取和攻擊、防止無線數據的攔截這兩方面沒有得到中小企業的足夠重視。網絡安全廠商所關注的重點，仍主要集中于防病毒、防垃圾郵件、防止非法入侵、身份識別與訪問控制、反端口掃描、數據的備份和恢復等方面，對防止內部人員竊取和攻擊、防止無線數據的攔截這兩方面重視程度不夠。例如防止無線數據的攔截方面，網絡安全市場就缺乏針對中小企業此方面需求的相關產品。

三．中小企業網絡安全市場的增長趨勢

1．初級中小企業網絡安全的市場價值20__年為0.7億元人民幣。在20__年，市場價值將增加到1.6億元人民幣，但年增長率由20__年的42.9降低到20__年的23.1。

2．中級中小企業網絡安全的市場價值在20__年為2.2億元人民幣。20__年市場價值將增加到5.3億元人民幣，但年增長率由20__年的45.5降低到20__年的23.3。

第2篇：企業網絡安全建議范文

關鍵詞：網絡；安全管理；技術

隨著科學技術的迅猛發展，網絡信息技術的全球化運轉，網絡信息技術已經深入了各行各業的運營管理發展中。網絡信息技術具有快速、準確、系統等多方面的信息傳遞優勢，運用網絡信息技術進行企業經營管理，直接影響了整個企業的經濟效益和經營管理效率。但是，隨著企業管理網絡的不斷擴大和衍生，網絡安全管理難度系數越來越大，經常會因為各種網絡安全問題導致企業網絡癱瘓，企業一旦遭遇網絡癱瘓的癥狀，會對企業的經營管理造成極大的影響，直接損壞了企業的經濟效益[1]。因此，各企業運營中越來越重視其網絡安全管理工作，本文重點分析了網絡安全管理技術問題，并提出了解決方案。

1 網絡安全管理主要解決的問題

網路安全管理對企業網絡系統的正常運營具有重大意義，其安全管理工作包括防火墻的設置、網絡密碼加密、電子服務器認證系統以及病毒防控等內容，在安全管理工作當中一旦忽略了當中某一個安全管理環節，會導致網絡安全出現漏洞，嚴重影響整個網絡系統的正常運營工。因此，如何保證網絡安全管理工作備受業界關注。目前網絡安全管理工作需要解決的主要問題包括：

⑴進行嚴密的安全監控是網絡安全管理工作的一個重要部分。通過安全監控工作企業可以及時了解企業內部網絡的安全狀況，一旦出現問題，可以及時發現并采取相應的措施進行監控。

⑵對企業網絡進行補丁管理的配置，在網絡安全監控工作中一旦出現企業安全漏洞，可以通過補丁快速進行修復，這樣一方面可以大大提高網絡系統安全防御能力，同時又能較好的控制企業用戶的授權問題。

⑶對企業網絡進行集中策略的管理，通過以網絡系統為主單位，建議一個自上而下的安全管理策略，將安全管理策略融入到企業網絡系統的不同執行點當中，對網絡安全管理工作具有重要意義。

2 網絡安全管理的核心要素

網絡安全管理的主要包括安全策略、安全配置以及安全事件等元素，其具體內容包括以下幾個方面：

2.1 安全策略

在網絡安全管理技術當中實施安全策略是網絡安全的首要因素。通過網絡安全管理策略的制定，可以明確網絡安全系統建立的理論原因，明確網絡安全管理的具體內容以及可以得到什么樣的保護。通過安全策略對網絡管理規定的安全原則，來定義網絡安全管理的對象、安全管理方法以及網絡安全狀態。另外安全策略指定的過程中要遵守安全管理工作的一致性，避免系統內部安全管理工作當中出現沖突和矛盾，否則容易造成網絡安全管理工作的失控[2]。

2.2 安全配置

網絡安全配置是指構建網絡安全系統的各種設置、網絡系統管理的安全選項、安全策略以及安全規則等配置，對網絡安全管理具有重要意義。一般情況下，網絡安全管理配置主要包括網絡運營系統中的防火墻設置、網絡數據庫系統、操作系統等安全設置，在實際運營過程當中要對網絡安全配置進行嚴格的控制和管理，禁止任何人對網絡安全配置進行更改操作。

2.3 安全事件

網絡安全事件主要是指影響網絡安全以及整個計算機系統的惡意行為。主要包括計算機網絡遭到惡意攻擊和非法侵入，網絡遭遇惡意攻擊和非法入侵會導致企業利用網絡進行的商業活動被迫終止，程序停止運營，極大程度上影響了企業網絡安全管理工作[3]。破壞網絡安全的惡意行為通常表現為，利用木馬病毒的入侵復制、盜竊企業內部資料和信息；組織企業利用網絡進行的商業活動；終止企業運營過程中需要用到的網絡資源；監控企業的實際運營管理工作，這給企業正常經營管理工作帶來極大的影響。

3 網絡安全管理發展趨勢

現階段網絡安全管理技術還比較單調，尚未形成一個系統的安全管理機制，在實際管理工作當中還存在許多不足。隨著網絡技術的不斷發展和進步，網絡安全管理技術也將得到快速發展，網絡安全管理體系將對安全軟件以及安全設備進行集中化管理，通過對網絡安全的全面監控，切實保障網絡安全的可靠性，及時發現運營過程中存在的網絡安全隱患；同時，網絡安全管理技術將實現系統動態反應以及應急處理中心，實現對突發網絡安全事件進行有效預案處理；另外，企業網絡安全管理還將對網絡系統的相關管理人員、軟件、硬件等安全設置集中管理中心，完善安全管理系統[4]。

因此，企業要加強對網絡信息技術的安全管理，采取措施嚴格控制病毒、黑客對企業網絡系統的攻擊，維護企業網絡系統的安全性，保證企業在激烈的競爭環境中長遠發展下去。

[參考文獻]

[1]中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.信息技術安全技術.信息安全管理實用規則[s].中國高新技術企業，2010，（1）：121-122.

[2]wimmasat山ngs，著，楊明，青光輝，齊東望，等，譯.密碼編碼學與網絡安全：原理與實踐（第二版），電子工業出版社，2001.4.

第3篇：企業網絡安全建議范文

關鍵詞：企業；網絡；安全

中圖分類號：TP309.1文獻標識碼：A文章編號：1007-9599 (2011) 24-0000-01

Enterprise Network Security Management

Chen Xianhai

(Telecommunication&Information Center State Administration of Work Safety,Beijing100013,China)

Abstract:With the rapid development of computer network,our society is undergoing great changes,and enterprise’s network security is increasingly subject to greater attention.Therefore,in order to ensure the smooth running and ensure the effective transfer of information,we must emphasis on enterprise network security management.

Keywords:Enterprise;Network;Security

企業運行過程中需要大量的信息，同時很多信息將會通過網絡進行上傳下達，在企業運行期間是不允許中斷的，一旦斷網將會對企業運行產生重大的負面影響。但目前而言，企業網絡安全仍然存在一些不安全因素，因此，為了保證企業順利運行，保證信息的有效傳遞，研究企業網絡的安全是很現實也是很有必要的。

一、企業網絡的特點

（一）企業內部網絡與外界絕對隔絕。企業內部網絡是單獨的一個互聯專網，它沒有與Internet的接入口，而且，企業網絡的所有接入端都是在企業內部，其他人員輕易不可能接觸到接入點，所以，通過Internet將無法連接到企業內部網絡。

（二）實時性要求高。企業網絡大部分時間主要傳遞企業本文資料，視頻和圖形圖象的傳遞較少，因此流量不是很大，但是，有時也需要將一些特殊資料如視頻、圖形、會議等通過網絡實時的傳遞到各部門、各分支機構，所以要保證這些信息能夠在快速高效的傳遞，網絡的接入端也應采用高帶寬，以免為企業決策造成貽誤。

（三）絕大部分接入點在企業內部。企業網絡的接入點大都是在企業內部，盡量做到集中管理，盡量降低信息接入點被其他個人或機構影響的可能性。

（四）企業網絡出問題帶來的后果比Internet出問題大得多。企業網絡如果出現服務器被攻擊癱瘓、網絡設備被堵塞，造成斷網或者服務器不能訪問，在企業管理中各個部門將無法獲取所需信息，嚴重得的話將會影響到企業的戰略決策。

從以上分析比較可知，盡管互聯網與企業網絡原理一樣，結構上卻存在較大的差異，也正是企業網絡結構的特殊性，大大增加了企業網絡的安全，但它仍然存在一些不安全的因素。

二、企業網絡不安全的因素

（一）物理鏈路的不安全。有的企業各分支機構分布在全國來說是比較分散的，要使各分支機構全部納入統一管理必然將部分物理鏈路分散管理，這樣地方人員將能夠接觸到這些鏈路，使這部分物理鏈路有可能成為攻擊、竊取的目標，這是對企業網絡安全管理最大的威脅，同時也是企業內信息最可能泄露的地域。另外，如果有人對物理鏈路進行竊聽或者剪斷，將會使這些單位造成長時間斷網，無法發送和接收信息，或者傳遞的信息將可能被竊取，造成泄密。

（二）接入端信息接入點的不安全。對企業網絡來說，接入端也有不安全因素，這些接入點將最有可能被竊取，只要一個信息接入點被成功竊入，那么信息就有可能借此被竊取，為企業信息管理帶來麻煩。

（三）違規使用造成的不安全。由于人員結構的復雜性，導致有些員工私自使用軟件、存儲介質，甚至個人PC，從而可能導致病毒在網絡上的傳播；同時，將企業專用的存儲介質在企業網絡和Internet之間互用，造成企業信息在Internet上的泄露，同時將病毒帶入網絡，對企業造成危害。

從上述分析可知，盡管企業網絡從結構上解決了一定的安全問題，但是由于其特殊性，它仍然存在一些不安全因素，這些不安全因素將會是企業網絡的薄弱點，也是企業網絡安全管理應特別注重的地方。

三、解決企業網絡不安全因素的幾點建議

（一）技術方面：一是對核心的數據庫服務器和網頁服務器要運用高性能防火墻保護；二是對整個系統部署統一的防病毒軟件，安裝網絡入侵檢測系統加強對入侵行為的監控；三是對異地連接的系統要運用數據加密技術；四是對應用系統要強化口令和賬號設置，提高對使用人員的身份鑒別與認證的可靠性；五是強化對重要業務系統的操作審計；六是重要數據進行異地備份存儲等。

（二）管理方面：一是結合系統實際制定統一的安全管理制度和操作規程指導安全操作；二是指點專人負責對系統的日常運行與維護工作；三是要對安全產品配置進行定期審計；四是對系統和漏洞要進行制度化的加固和修補；五是要制訂應急措施，制訂在緊急情況下，系統如何盡快恢復的應急措施，使損失減至最小；六是對安全等級要求較高的系統，實行分區控制，限制工作人員出入與己無關的區域；七是強化物理訪問控制，設置警示牌、欄桿、柵欄和崗哨，加固門窗等。

（三）制度方面：對風險進行持續性控制，必須有嚴格的制度作保證。通過將有效的風險控制活動，用條文的形式固定下來，列入企業計算機網絡安全管理規章制度，要求組織內的成員必須遵照執行，使對風險的控制步入到經常化和制度化的軌道上來。

（四）教育培訓方面。在信息安全風險管理控制的過程中，人的因素至關重要，如果組織只是實施了技術性的控制措施，但卻忽略了與計算機網絡相關的操作人員、管理人員和用戶的安全意識的提升及安全技能的掌握，安全控制措施就不可能穩定而持續地發揮效力，因此應加強對企業計算機網絡相關人員的教育和培訓。

總之，對企業網絡安全風險的控制是一項系統工程，必須綜合考慮多種控制措施，才能提高控制的有效性和針對性，實現控制的目的。

參考文獻：

[1]彭俊好.信息安全風險評估方法綜述[J].網絡安全技術與應用,2006,3

第4篇：企業網絡安全建議范文

關鍵詞: 企業;網絡安全;隱患;安全維護措施

0 前言

互聯網絡運用于生活和工作的各個領域,顛覆了傳統的生產形式,對生產力的發展與提高起著重要作用;許多電力企業都意識到互聯網對于企業生產經營的重要性,近幾年信息化建設速度明顯加快,并且對企業網絡不斷進行優化、調整;除此之外,在電力企業各下屬網點還先后投入使用各種智能系統,如視頻監視系統、智能操作控制系統等。上述智能系統的使用和推廣,幫助電力企業提高了經營管理水平,對企業生產經營發揮了重要作用。隨著我國電力企業信息化程度的不斷提高,因此保證企業網絡安全是企業經營活動正常開展的基礎。電力企業網絡安全管理方案的形成,是企業業務的客觀需求,同時也是網絡安全領域發展的必然結果,將經濟效益和社會影響相結合進行綜合考慮,可以看出重視網絡安全管理及系統的維護建設是電力企業的當務之急[1]。

1 企業網絡安全需求

電力企業對網絡安全的需求主要包括以下幾點:1)要確保擁有一個安全的網絡環境首先需要保證機房可以為各種設備提供良好的運行環境,機房需要有門禁系統、防火、防雷電及防潮等相關設備。同時為機房配備空調,保持機房內溫度處于恒溫狀態,值班人員每天要按時巡檢,對于發現的問題要及時解決或報告。以某電力企業的機房改造工程為例,改造之后的機房條件雖然有較大改善,但仍存在一些問題。例如電池組超過使用期限,防潮防雷電等措施不到位,無發電設備及冗余供電線路等等;甚至有的電力企業根本沒有專門的機房,網絡設備胡亂堆放,并未采取任何防護措施,閑雜人員可以隨意進出,網絡線路也十分凌亂。希望有關部門能夠意識到問題的存在,早日消除網絡安全隱患。2)電力企業的各種業務的硬件操作系統安全平穩運行也是保障網絡安全非常重要的一環,因此里面有大量的工作亟待完善,例如:對系統補丁進行及時升級堵住安全漏洞,關閉一些非必須端口,合理限制用戶對操作系統的使用權限等等;若想達到期望的網絡安全管理效果,還需進一步規范操作人員的操作行為,減少操作失誤,將所有操作步驟程序化規范化,為企業網絡安全提供可靠保障。3)對于電力企業的重要業務數據應根據相關要求予以及時備份,并定期對備份的內容進行檢查,確認是否可讀;企業的移動辦公用戶若需接入內網辦公,傳輸數據時也應進行加密處理;確保業務系統安全穩定運行,即便業務出現意外中斷情況也可及時恢復。如果電力企業在確保數據安全性方面尚無一個統一的解決措施,那么電力企業的網絡安全將面臨著極大的風險,數據資料對企業具有非常重要的價值,因此很有必要制定數據防丟失措施[2]。

2 網絡安全現狀分析及主要威脅

2.1 企業自身發展帶來的威脅

部分電力企業由于各種各樣的原因導致出現網絡安全問題以后得不到及時解決,或者是企業的智能系統出現故障,這些都將影響企業在客戶中心的形象和企業生產經營。其次,由于某些電力企業電腦配置較低,如有較多的業務軟件同時運行將會出現電腦運行不暢的情況、甚至死機,這樣不但影響電力企業的正常業務更無法防毒保證網絡安全。加之部分企業的電腦超過使用年限,無法滿足業務的發展需求,建議及時升級更換。盡管大多電力企業由于工作需要安裝了視頻監視系統,但并無相關的制度來正確使用該系統,因而對企業經營和網絡安全維護作用不大。

2.2 網絡黑客的破壞與病毒威脅

由于互聯網的高速發展,一些攻擊技術與黑客工具的傳播非常快,相關的工具使用也變得更加容易,因此造成攻擊事件不斷發生。發生這些行為深層次原因有:1)商業競爭,電力企業間為自身利益,無視道德與法律,違法雇傭黑客對競爭對手進行攻擊,達到獲取競爭對手信息并制定策略進行打壓的目的;2)更多的年輕人在好奇心的驅使下加入黑客隊伍,以設計程序,攻破預定的目標為主要樂趣,達到炫耀過人技術水平的目的。目前,病毒與惡意代碼傳播、感染能力越來越強大,所以造成損失也是越來越大。隨著計算機網絡的深入發展及應用,網絡上存儲龐大的信息資源,甚至還包括了核心信息。一經遭到破壞,輕者就會影響業務,增加了維護的成本;嚴重的就會導致電力企業信息泄露和業務中斷,使企業不能正常經營。由于遭受到沖擊波和震蕩波,甚至是ARP病毒進行攻擊,造成電力企業的系統莫名重啟和不能聯網的情況;目前操作系統仍存在很大的漏洞,因此,電力企業必須防范未然,充分合理的利用企業已有桌面安全的管理系統與Norton防病毒的系統,把問題有效消滅在萌芽的狀態中[3]。

3 完善企業網絡安全管理措施

3.1 進行科學的網絡功能管理

目前,電力企業網絡系統非常龐大,在網絡安全的應用中有大量相對成熟的技術能夠借鑒與使用,如防火墻和防病毒等軟件;但是這些系統都是獨立的工作,處在相對獨立的狀態,因此要想保證網絡安全和網絡資源得到充分利用,必須為其提供經濟安全、高效可靠、功能齊全、易于擴展和升級維護的一個網絡管理平臺進行管理。例如,某電力公司在2009年對網絡管理系統進行嘗試性的使用,其網絡管理的功能十分強大,且還具有獨到的跨平臺性,它不但功能強大且使用簡單,還非常適合用于其他分公司中復雜的網絡環境的管理。

3.2 建立健全數據備份和恢復體系

網絡安全能夠得到保障的關鍵是確保安全的業務系統數據,因此,應該根據電力公司業務特點與網絡現狀,建立Linux

數據的備份系統,不僅能夠確保電力企業業務系統的數據,如FTP數據和財務數據等,還能使關鍵用戶的數據及時的自動的同步到服務器上,同時還可以在系統恢復后自動同步數據。該系統客戶端能夠支持Windows等,兼容性很好,應用的前景非常廣。該系統應該由專人進行管理且定期刻錄和轉存備份數據,定期對轉存數據進行可讀性的測試,做好記錄,有效確保數據與網絡安全,在使用過程中取得良好效果,因此應該推廣應用,有效避免發生數據丟失[4]。

4 結語

總而言之,電力企業的網絡安全領域和安全管理是復雜、綜合和交叉的綜合性非常強的重要課題。我們應該在享用其便利的同時,應該把網絡安全納入安全管理工作范圍內。電力企業在進行信息化建設的過程中就算面臨很大的網絡安全威脅,只要通過科學的技術及管理手段,在安全范疇里進行探索與嘗試,并在實踐中不斷學習、掌握網絡安全和管理的新知識,就能夠構建安全可靠、高效的網絡環境,從而有效促進電力企業可持續發展。

參考文獻:

[1]高化田,淺談計算機網絡中信息系統的安全防范[J].信息與電腦(理論版),2011(05):32-33.

[2]杜君,網絡信息管理及其安全[J].太原科技,2009(10):117-119.

第5篇：企業網絡安全建議范文

關鍵詞：無線網絡規劃；無線網絡風險；無線安全檢查項目；無線網絡安全指引

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）28-6262-03

1 概述

有別于有線網絡的設備可利用線路找尋設備信息，無論是管理、安全、記錄信息，比起無線網絡皆較為方便，相較之下無線網絡的環境較復雜。無線網絡安全問題最令人擔心的原因在于，無線網絡僅透過無線電波透過空氣傳遞訊號，一旦內部架設發射訊號的儀器，在收訊可及的任一節點，都能傳遞無線訊號，甚至使用接收無線訊號的儀器，只要在訊號范圍內，即便在圍墻外，都能截取訊號信息。

因此管理無線網絡安全維護比有線網絡更具挑戰性，有鑒于政府機關推廣于民眾使用以及企業逐漸在公司內部導入無線網絡架構之需求，本篇論文特別針對無線網絡Wi-Fi之使用情境進行風險評估與探討，以下將分別探討無線網絡傳輸可能產生的風險，以及減少風險產生的可能性，進而提出建議之無線網絡建置規劃檢查項目。

2 無線網絡傳輸風險

現今無線網絡裝置架設便利，簡單設定后即可進行網絡分享，且智能型行動裝置已具備可架設熱點功能以分享網絡，因此皆可能出現不合法之使用者聯機合法基地臺，或合法使用者聯機至未經核可之基地臺情形。倘若企業即將推動內部無線上網服務，或者考慮網絡存取便利性，架設無線網絡基地臺，皆須評估當內部使用者透過行動裝置聯機機關所提供之無線網絡，所使用之聯機傳輸加密機制是否合乎信息安全規范。

倘若黑客企圖偽冒企業內部合法基地臺提供聯機時，勢必會造成行動裝置之企業數據遭竊取等風險。以下將對合法使用者在未知的情況下聯機至偽冒的無線網絡基地臺，以及非法使用者透過加密機制的弱點破解無線網絡基地臺，針對這2個情境加以分析其風險。

2.1 偽冒基地機風險

目前黑客的攻擊常會偽冒正常的無線網絡基地臺（Access Point，以下簡稱AP），而偽冒的AP在行動裝置普及的現今，可能會讓用戶在不知情的情況下進行聯機，當連上線后，攻擊者即可進行中間人攻擊（Man-in-the-Middle，簡稱MitMAttack），取得被害人在網絡上所傳輸的數據。情境之架構詳見圖1，利用偽冒AP攻擊，合法使用者無法辨識聯機上的AP是否合法，而一旦聯機成功后黑客即可肆無忌憚的竊取行動裝置上所有的數據，造成個人數據以及存放于行動裝置上之機敏數據外泄的疑慮存在。企業在部署無線局域網絡時，需考慮該類風險問題。

2.2 弱加密機制傳輸風險

WEP （Wired Equivalent Privacy）為一無線加密協議保護無線局域網絡（Wireless LAN，以下簡稱WLAN）數據安全的加密機制，因WEP的設計是要提供和傳統有線的局域網絡相當的機密性，隨著計算器運算能力提升，許多密碼分析學家已經找出WEP好幾個弱點，但WEP加密方式是目前仍是許多無線基地臺使用的防護方式，由于WEP安全性不佳，易造成被輕易破解。

許多的無線破解工具皆已存在且純熟，因此利用WEP認證加密之無線AP，當破解被其金鑰后，即可透過該AP連接至該無線局域網絡，再利用探測軟件進行無線局域網絡掃描，取得該無線局域網絡內目前有哪些聯機的裝置。

當使用者使用行動裝置連上不安全的網絡，可能因本身行動裝置設定不完全，而將弱點曝露在不安全的網絡上，因此當企業允許使用者透過行動裝置進行聯機時，除了提醒使用者應加強自身終端安全外，更應建置安全的無線網絡架構，以提供使用者使用。

3 無線網絡安全架構

近年許多企業逐漸導入無線局域網絡服務以提供內部使用者及訪客使用。但在提供便利的同時，如何達到無線局域網絡之安全，亦為重要。

3.1 企業無線局域網安全目標

企業之無線網絡架構應符合無線局域網絡安全目標：機密性、完整性與驗證性。

機密性（Confidentiality）

無線網絡安全架構應防范機密不可泄漏給未經授權之人或程序，且無線網絡架構應將對外提供給一般使用者網絡以及內部所使用之內部網絡區隔開。無線網絡架構之加密需采用安全性即高且不易被破解的方式，并可對無線網絡使用進行稽核。

完整性（Integrity）

無線網絡安全架構應確認辦公室環境內無其它無線訊號干擾源，并保證員工無法自行架設非法無線網絡存取點設備，以確保在使用無線網絡時傳輸不被中斷或是攔截。對于內部使用者，可建立一個隔離區之無線網絡，僅提供外部網際網絡連路連接，并禁止存取機關內部網絡。

認證性（Authentication）

建議無線網絡安全架構應提供使用者及設備進行身份驗證，讓使用者能確保自己設備安全性，且能區分存取控制權限。無線網絡安全架構應需進行使用者身份控管，以杜絶他人（允許的訪客除外）擅用機關的無線網絡。

因應以上無線局域網絡安全目標，應將網絡區分為內部網絡及一般網絡等級，依其不同等級實施不同的保護措施及其應用，說明如下。

內部網絡：

為網絡內負責傳送一般非機密性之行政資料，其系統能處理中信任度信息，并使用機關內部加密認證以定期更變密碼，且加裝防火墻、入侵偵測等作業。

一般網絡：

主要在提供非企業內部人員或訪客使用之網絡系統，不與內部其它網絡相連，其網絡系統僅能處與基本信任度信息，并加裝防火墻、入侵偵測等機制。

因此建議企業在建構無線網絡架構，須將內部網絡以及提供給一般使用者之一般網絡區隔開，以達到無線網絡安全目標，以下將提供無線辦公方案及無線訪客方案提供給企業導入無線網絡架構時作為參考使用。

3.2內部網絡安全架構

減輕無線網絡風險之基礎評估，應集中在四個方面：人身安全、AP位置、AP設定及安全政策。人身安全方面，須確保非企業內部使用者無法存取辦公室范圍內之無線內部網絡，僅經授權之企業內部使用者可存取。可使用影像認證、卡片識別、使用者賬號密碼或生物識別設備以進行人身安全驗證使用者身份。企業信息管理人員須確保AP安裝在受保護的建筑物內，且使用者須經過適當的身份驗證才允許進入，而只有企業信息管理人員允許存取并管理無線網絡設備。

企業信息管理人員須將未經授權的使用者訪問企業外部無線網絡之可能性降至最低，評估每臺AP有可能造成的網絡安全漏洞，可請網絡工程師進行現場調查，確定辦公室內最適當放置AP的位置以降低之風險。只要企業使用者擁有存取無線內部網絡能力，攻擊者仍有機會竊聽辦公室無線網絡通訊，建議企業將無線網絡架構放置于防火墻外，并使用高加密性VPN以保護流量通訊，此配置可降低無線網絡竊聽風險。

企業應側重于AP配置之相關漏洞。由于大部分AP保留了原廠之預設密碼，企業信息管理人員需使用復雜度高之密碼以確保密碼安全，并定期更換密碼。企業應制定相關無線內部網絡安全政策，包括規定使用最小長度為8個字符且參雜特殊符號之密碼設置、定期更換安全性密碼、進行使用者MAC控管以控制無線網絡使用情況。

為提供安全無線辦公室環境，企業應進行使用者MAC控管，并禁用遠程SNMP協議，只允許使用者使用本身內部主機。由于大部分廠商在加密SSID上使用預設驗證金鑰，未經授權之設備與使用者可嘗試使用預設驗證金鑰以存取無線內部網絡，因此企業應使用內部使用者賬號與密碼之身份驗證以控管無線內部網絡之存取。

企業應增加額外政策，要求存取無線內部網絡之設備系統需進行安全性更新和升級，定期更新系統安全性更新和升級有助于降低攻擊之可能性。此外，政策應規定若企業內部使用者之無線裝置遺失或被盜，企業內部使用者應盡快通知企業信息管理人員，以防止該IP地址存取無線內部網絡。

為達到一個安全的無線內部網絡架構，建議企業采用IPS設備以進行無線環境之防御。IPS設備有助于辨識是否有未經授權之使用者試圖存取企業內部無線內部網絡或企圖進行非法攻擊行為，并加以阻擋企業建筑內未經授權私自架設之非法網絡。所有無線網絡之間的通訊都需經過IPS做保護與進一步分析，為一種整體縱深防御之策略。

考慮前述需求，本篇論文列出建構無線內部網絡應具備之安全策略，并提供一建議無線內部網絡安全架構示意圖以提供企業信息管理人員作為風險評估之參考，詳見表1。

企業在風險評估后確認實現無線辦公室環境運行之好處優于其它威脅風險，始可進行無線內部網絡架構建置。然而，盡管在風險評估上實行徹底，但無線網絡環境之技術不斷變化與更新，安全漏洞亦日新月異，使用者始終為安全鏈中最薄弱的環節，建議企業必須持續對企業內部使用者進行相關無線安全教育，以達到縱深防御之目標。

另外，企業應定期進行安全性更新和升級會議室公用網絡之系統，定期更新系統安全性更新和升級有助于降低攻擊之可能性。為達到一個安全的會議室公用網絡架構，建議企業采用IPS設備以進行無線環境之防御。

IPS設備有助于辨識是否有未經授權之使用者試圖存取企業內部會議室公用網絡或企圖進行非法攻擊行為，并加以阻擋企業建筑內未經授權私自架設之非法網絡。所有無線網絡之間的通訊都需經過IPS做保護與進一步分析，為一種整體縱深防御策略。

4 結論

由于無線網絡的存取及使用上存在相當程度的風險，更顯無線局域網絡的安全性之重要，本篇論文考慮無線網絡聯機存取之相關風險與安全聯機的準則需求，有鑒于目前行動裝置使用量大增，企業可能面臨使用者要求開放無線網絡之需求，應建立相關無線網絡方案，本研究針對目前常見之無線網絡風險威脅為出發，以及內部網絡與外部網絡使用者，針對不同安全需求強度，規劃無線網絡使用方案，提供作為建置參考依據，進而落實傳輸風險管控，加強企業網絡安全強度。

參考文獻：

[1] Gast M S.Wireless Networks： The Definitive Guide[M].O’Reilly， 2002.

[2] Edney J， Arbaugh W A.Security：Wi-Fi Protected Access and 802.11[M].Addison-Wesley，2004.

[3] R. Guha， Z. Furqan， S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007， Orlando， FL， 2007（10）：29-31.

[4] Nam， Seung Yeob.Enhanced ARP： Preventing ARP Poisoning-Based[J].IEEE Commucation Letters，2011，14：187-189.

第6篇：企業網絡安全建議范文

互聯網絡深入到生產生活的各方面，改變了傳統的生產模式，對促進生產力的提高發揮著重要的作用；中石化也正是看到了這一點，在近幾年加快了信息化建設的步伐。網絡也在不斷調整和優化，幾乎每個加油站網點都被納入公司局域網之內；而且陸續投入使用了ERP系統、V20系統、視頻監控系統、加油卡系統等。這些系統的推廣和使用對提高中國石化的生產、經營和管理水平發揮了很大的作用。隨著中石化信息化不斷深入，網絡安全已成為維持日常經營活動正常開展的前提。中石化網絡信息安全管理架構的形成，既是企業業務需求形成的結果，也是網絡安全領域向全方位、縱深化、專業化方向發展的結果，無論從經濟效益還是社會影響考慮，我們都應該重視我們企業的網絡安全管理及系統建設情況。

1 網絡安全的含義及特征

1.1 網絡安全定義

網絡安全指的是：為保證網絡正常平穩的運行，而采取使其免受各種侵害的保護措施。

1.2 網絡安全特征

1）完整性：指信息不能在未得到授權的情況下擅自修改，不能被破壞、信息確保完整和及時傳送，確保承載企業信息的網絡系統完整性和有效性；

2）機密性：指網絡能夠阻止未經授權的用戶讀取保密信息，能夠保證為授權使用者正常的使用，并能防止非授權用戶的使用，而且有防范黑客，病毒等；

3）可用性：要保證系統時刻能正常運行，確保各種業務的順利開展。

2 企業網絡安全的需求

企業對信息網絡安全方面的需求主要包含：

1）實現網絡安全首先要保證機房能為各種核心設備提供符合標準的運行環境，要有門禁系統、防火、防雷、防靜電、防潮、防鼠防蟲等設備，有冗余供電線路和后備電源甚至發電系統，有空調設備保證機房恒溫，每天定時巡檢，及時發現問題及時解決。

宿遷分公司機房于2009年底進行改造，改造后較改造前有較大改觀；但還存在一些問題，比如UPS電池組使用超過期限，防潮防鼠防蟲不到位，沒有冗余供電線路和發電設備等等；但這些問題相對于泗陽、泗洪、沭陽、黑魚汪油庫、南關蕩油庫來講就不是問題了，因為這三縣兩庫根本就沒有機房，網絡設備隨意堆放，沒有任何防護措施，人員可以隨意出入，網絡布線雜亂無章。不過省信息處已經意識到此問題，準備在兩個油庫建立標準化機房，希望盡快改造，早日消除風險。

2）要實現網絡安全首先要實現承載公司各種業務系統的操作系統的安全，這有許多工作要做，比如：及時升級系統補丁堵住漏洞，關閉不必要的端口，配置系統安全策略，有選擇性限制用戶對系統的使用權限等；這些一系列復雜的操作，要按期望的結果執行，則必須制定一定的規范，將所有需要執行的步驟程序化，這樣可以規范一線信息人員的操作行為，減少誤操作的可能性，為網絡安全奠定堅實的基礎。

3）公司關鍵業務數據必須按照內控要求及時備份，并定期對備份介質進行可讀性檢查；公司移動辦公用戶接入內網辦公時，數據需要加密傳輸；保證業務系統正常運行，即使在業務中斷情況下也能迅速恢復。

省公司在保證數據安全性方面并沒有統一的解決方案，這對一個企業來講是非常危險的，數據的價值對企業的重要性是不言而喻的，因此我們不僅要制定有效的數據丟失防范策略，而且還要有相應的設備的支持。

4）公司關鍵網絡設備應該有冗余線路和冗余設備，以便在網絡中斷或設備停止工作時能自動切換，保證系統平穩運行；但我們還是冷備，斷網時需要手動切換，存在單點故障，需要改進。

5）加強對系統操作人員的培訓，通過培訓加深相關人員對業務系統的理解和認識，從而可以減少誤操作可能性，最大程度減少內部原因引起的各種不穩定因素。對安全性要求較高的場合，采用數字證書等認證方式，代替傳統的不安全的用戶名口令授權模式。對業務系統和內部網絡進行嚴格監控，防止異常情況的發生，并在發現異常時能及時采取相應措施。

3 企業網絡安全現狀及主要威脅

3.1 來自企業內部的威脅

在所有對網絡安全造成威脅的事件中，來自企業內部的占絕大多數。據統計，來自企業外部的威脅只有不到1/4，而3/4以上的網絡安全威脅事件來自企業內部。且這些來自于企業內部的網絡安全事件中，源自企業內部制度不健全、安全意識較差等自身管理問題占3/5；企業內部未經授權的訪問所造成的威脅占1/5；剩下的1/5則是由于設備老化或者相關人員操作失誤而導致。

由此可知，源于企業內部的安全威脅所占比重最大，所以對企業內部采取必要的安全措施是非常必要的。內部員工了解公司網絡結構、數據存放方式和地點、甚至掌握業務系統的密碼。因此從內部攻擊是最難預測和防范的。另一方面商業競爭可導致更多的惡意攻擊事件的發生。特別是個別員工安全意識不高，有意或無意泄露企業商業機密、甚至為了謀取個人利益將其出售給競爭對手，最終給企業造成重大損失。

防范來自公司內部的威脅可以部署上網行為管理設備，它可以監控、規范并且記錄用戶的上網行為；根據不同的崗位設置不同的安全防護等級；甚至還可以防范DDOS、ARP攻擊等行為。因此我們認為要提高公司網絡安全和管理水平，很有必要部署此設備。

3.2 來自企業自身發展水平的威脅

首先，由于公司用車不便、信息人員較少等多方面的原因，我公司信息安全問題一直有較多隱患。出現問題有時無法及時排除，特別是省公司卡管系統最近問題極多，這不僅影響經營也影響公司在客戶心目中的形象。

其次，公司加油站OA電腦配置水平較低，而且運行較多業務軟件，如：OA系統、液位儀、視頻監控、桌面安全、Norton網絡版客戶端等，電腦運行不暢，經常發生停頓無響應甚至死機情況，這樣不僅無法防病毒，而且會影響業務，只會有反作用，而且絕大部分加油站OA電腦使用時間超過4年，已不適應業務發展的需求，建議升級。

第三，公司加油站及油庫都已經安裝視頻監控系統，但沒有相應的規章制度來合理使用此系統，因此無法起到對經營及網絡安全的提升和促進作用。

3.3 來自網絡黑客破壞和病毒的威脅

在互聯網高速發展的今天，相應的攻擊技術和黑客工具傳播很快，相關工具使用起來也變得非常容易；因此導致攻擊事件層出不窮。這些行為的出現還有較深層次的原因：首先是商業競爭導致的企業間為了各自利益而不顧道德和法律的約束，擅自雇傭黑客攻擊競爭對手以便獲取對方信息然后制定相應策略打壓對方；其次，越來越多的年輕人掩飾不住好奇心紛紛加入黑客隊伍，他們以設計黑客程序，攻破預期目標為樂，以此炫耀自己的技術水平。

如今病毒和惡意代碼的傳播和感染能力比前幾年有了很大的提升，因此造成的損失也呈幾何級數增長。隨著我們網絡的發展和應用的深入，網絡上存儲大量的重要信息，甚至包括核心信息。一旦遭到破壞，輕者影響業務增加維護成本；重者造成信息泄露，業務中斷，企業無法正常經營。我們就曾經遭受過沖擊波、震蕩波、ARP病毒的攻擊，導致系統莫名重啟，無法聯網的情況；現在操作系統的漏洞層出不窮，我們應該防范于未然，充分利用現有的桌面安全管理系統和Norton防病毒系統，將問題消滅在萌芽狀態。

4 加強與完善企業網絡安全管理的對策與建議

4.1 建立網絡功能管理平臺

現在的網絡系統日益龐大，網絡安全應用中也有很多成熟的技術可借鑒和使用，如防火墻、入侵檢測、防病毒軟件等；但這些系統往往都是獨立工作，處于“各自為政”的狀態，要保證網絡安全以及網絡資源能夠充分被利用，需要為其提供一個經濟安全、可靠高效、方便易用、性能優良、功能完善、易于擴展、易于升級維護的網絡管理平臺來管理這些網絡安全設備。中石化江蘇分公司在2004年嘗試使用過HPOpen View網絡管理系統，它的強大的網絡管理功能和跨平臺性是非常獨到的，它不僅功能強大、使用簡單，而且很適合宿遷分公司的復雜網絡環境。

4.2 建立企業身份認證系統

傳統的口令認證方式雖然方便，但是由于其易受到竊聽、重放攻擊等的安全缺陷，因此這種方式已無法滿足當前復雜網絡環境下的安全認證需求。所以企業應盡量采用PKI的USB Key技術體系的身份認證。

中石化已經在2008年開始陸續在下屬分支公司的資金集中管理系統及OA簽章系統使用基于PKI的USB Key的認證系統；并且在2010年終止多用戶使用一個VPN賬號的粗放且不安全的管理方式，采用專人專號，集中申請和管理的方式，極大增強了安全性和保密性；這些安全的認證體系在提供身份認證的功能時，為企業的敏感通信和交易提供了一套信息安全保障，通過一定的層次關系和邏輯聯系，構建了用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統構成的綜合性安全技術體系，確保企業信息資源的訪問得到正式的授權，驗證資源訪問者的合法身份，從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求，將企業網絡運行風險進一步細化，盡可能地減輕由于網絡安全管理風險給可能給企業造成的形象與經濟損失。

4.3 應用防病毒技術， 建立全面網絡防病毒體系

計算機網絡應用技術已經覆蓋企業生產經營方方面，各種信息設備在企業中扮演著重要的角色，因此保證它們安全穩定運行的要求變得很迫切。

江蘇石油分公司為了防止受到來自于多方面的威脅，特別是病毒的威脅。最大程度降低因病毒所造成的經濟損失，從2004年開始部署并在2009年升級了Norton網絡版防病毒系統，并采用多層的病毒防衛體系，在每臺PC機上安裝反病毒軟件，在網關上安裝基于網關的反病毒軟件，在服務器上安裝基于服務器的反病毒軟件。另外我們宿遷分公司也充分利用防火墻技術，在網絡入口處檢查網絡通訊，根據企業設定的安全規則，在保護自身網絡安全的前提下，保障內外網絡通訊的暢通無阻。我們在網絡出口處安裝防火墻后，所有來自外部網絡的訪問請求都必須通過防火墻的檢查，內部與外部網絡的信息得到了有效的隔離，使得宿遷分公司網絡安全有了很大的提高；但由于投入使用的防火墻擴展性有限，隨著業務的擴展，它已經較難適應現在的業務需求，需要更換，否則會是一個較大的隱患。

4.4 建立完善的數據備份與恢復體系

保證網絡安全的前提是保證業務系統數據的安全，我們根據公司的業務特點和網絡現狀，建立了基于Linux的數據備份系統，既能保證公司業務系統數據（如：財務數據、FTP數據和瑞通換票系統數據等）和關鍵用戶數據能及時自動同步到專用服務器上，又能在系統恢復后把數據自動同步回來。此系統客戶端支持Windows、Linux。Mac，因此兼容性好，應用前景廣。此系統有專人管理并定期刻錄轉存備份的數據，定期對轉存的數據做可讀性測試并做好記錄，有力保證了數據和網絡的安全，在使用中起到了良好的效果，公司應該盡快在全省推廣此應用，讓數據丟失的悲劇永遠不要再發生。

4.5 健全安全管理制度和規范管理人員

要保證計算機網絡的安全性，首先管理工作必須到位；因為網絡管理也是計算機網絡安全重要組成部分。通過制定相應的規范并有配套制度能保證規范執行到位，這是維持信息化企業經營活動正常開展的前提。分公司信息站在這方面應該是執行者，引導并監督相關人員正確、規范執行。任何好的制度和措施，如果沒有很好的執行，也只能是空談；網絡安全方面也是如此，我們倡導“技術先行，管理到位” 的原則，這也正和內控制度相吻合。比如：使用門禁系統嚴格控制并記錄人員進出，機房每天定時巡檢、設備出入嚴格記錄并有負責人簽字；設備或網絡故障都有一套嚴格的響應機制和應急機制，確保及時發現，及時響應，及時處理；隨著這套機制在實踐中的逐步完善，我們的管理水平和網絡安全水平會有更大的提高。

對企業員工要強化宣傳，加強網絡安全教育和法制觀念教育，讓安全觀念和法制觀念深入人心，提高公司員工對網絡安全的認識和保護網絡安全的主動性。

4.6 重視對員工的培訓

網絡安全做的再好，如果缺少人的因素，也是沒有意義的；因此人員素質的高低對信息安全方面至關重要；提高人員素質的前提就是加強培訓，特別加強是對專業信息人員的培訓工作。目前的現狀是，公司缺乏系統的、長期的培訓計劃，無相應培訓經費，偶爾組織的培訓課程也都是走馬觀花，蜻蜓點水。信息人員每天都扮演消防員的角色，到處救火，疲于奔命，一直停留在較低層次水平。公司如果能有制定合理的人才發展規劃，讓信息人員的業務水平能有穩步提高，進而能主動發現問題，解決問題，將問題解決在萌芽狀態。而且信息人員素質的提高對業務的提升能起到推動性的作用，信息人員可以對一線員工進行培訓，提高他們對業務系統的操作能力，進而可以提升公司形象，最終形成良性發展模式。

5 結論

綜上所述，企業網絡安全領域以及網絡安全管理是一個綜合、交叉的綜合性的課題。我們在充分享用它帶來便利的同時，也應將網絡安全放在可以管理的范圍之內。企業信息化建設過程中雖然面臨眾多網絡安全威脅，但是如果通過一定的技術和管理手段，在安全的范疇內不斷探索和嘗試，并在實踐工作中學習和掌握新的網絡安全與管理知識，我們完全可以構建一個安全可靠的網絡環境，從而為企業的快速發展提供高效的服務。

參考文獻

[1]李立旭.淺析計算機網絡安全及防范[J].企業科技信息，2009(12).

[2]李明之.網絡安全與數據完整性指南[M].機械工業出版社，2009，10.

[3]胡道元.計算機局域網[M].北京：清華大學出版社，2008，7.

第7篇：企業網絡安全建議范文

關鍵詞：防火墻；計算機病毒；VPN

前言

隨著計算機技術和通訊技術的迅猛發展，使信息共享應用日益廣泛與深入。計算機網絡正在改變著學習和生活方式[1]。但是，任何技術進步在促進社會發展的同時也會帶來一些負面影響。信息在公共通信網絡上存儲、共享和傳輸，會被非法竊聽、截取、篡改或毀壞，從而導致不可估量的損失。因此，如何提高企業信息安全是企業管理和發展面臨的重大難題。

本文針對企業中存在的信息安全問題，從實體安全和信息安全兩個方面出發，對現存的計算機網絡安全進行基本的分析。重點在信息安全方面給出了企業網絡的整體網絡安全策略和解決方案。從防火墻、網絡防病毒、入侵檢測、虛擬專用網、數據存儲與備份以及災難恢復五個方面特別介紹了提高企業網絡安全的有效方法。

1 計算機網絡安全的基本概述

計算機網絡的安全主要包括實體安全和信息安全。實體安全是指具體的物理設備（線路）的安全；信息安全就是指如何保證信息在存儲和傳輸過程中不被未經授權的用戶竊取、篡改、偽造或破壞，以保證其保密性、完整性。一個企業網絡的整體網絡安全解決方案，包括以下幾個方面：實體安全(物理設備)、防火墻、網絡防病毒、入侵檢測、虛擬專用網、數據存儲與備份以及災難恢復。

2 網絡安全解決方案

2.1入侵檢測  入侵是指一些人(稱為“黑客”或“駭客”)試圖進入或者濫用其它人的系統[3],入侵檢測系統(IDS)是用來檢測這些入侵的系統。其中，網絡入侵檢測系統(NIDS)監視網線的數據包并試圖檢測是否有黑客試圖進入系統或者進行服務攻擊。一個NIDS可以運行在目標主機上觀察他自己的流量(通常集成在協議棧或服務本身),也可以運行在獨立主機上觀察整個網絡的流量(集線器,路由器,探測器)。值得注意的是一個NIDS監視很多主機，而其他的只監視一個主機。所以，建議企業至少裝有一套入侵檢測軟件監測防火墻的出口，監測通過防火墻的任何可疑活動。

2.2數據存儲與備份及災難恢復  數據存儲與備份及災難恢復是指服務器內的數據通過某種周期（周、月等）進行備份，在數據發生丟失與破壞的時候提供災難恢復的幫助，從而最大限度的保證數據的安全。

在網絡系統安全建設中必不可少的環節就是數據的常規備份和歷史保存。一個完整的災難備份及恢復方案應包括：備份硬件、備份軟件、備份制度和災難恢復計劃四個部分。

2.3防火墻  防火墻作為企業系統安全的第一道屏障，在企業系統安全方面起著關鍵性作用。防火墻用于加強網絡間的訪問控制，防止外部用戶非法使用內部網資源，保護內部網絡的設備不被破壞，防止內部網絡的敏感數據被竊取。防火墻系統還決定了哪些內部服務可以被外部訪問，外界的那些人可以訪問內部的服務，以及哪些外部服務可以被內部人員訪問。在選用防火墻時，需要對所安裝的防火墻做一些攻擊測試。

2.4防病毒  計算機病毒歷來是信息系統安全的主要問題之一。在《中華人民共和國計算機信息系統安全保護條例》中被明確定義為“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”[2]。

網絡防病毒技術包括預防病毒、檢測病毒和消除病毒等三方面的技術，主要在幾個方面防范，如表1。

      表1 網絡防病毒技術與相應方式

2.5虛擬專用網  虛擬專用網（VPN）被定義為通過一個公共網絡（internet）建立的一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全穩定的隧道，是對企業內部網的擴展。在公網上為用戶提供虛擬的專線，通過加密的方式實現外地分公司、出差用戶與總公司之間的可信安全的網絡交流。VPN可以幫助遠程用戶、公司分支機構、商業伙伴及供應商通公司的內部網建立可信的安全連接。

如果基于Internet建立VPN實施得當，可以保護網絡免受病毒感染、防止欺騙、房商業間諜、增強訪問控制、增強系統管理、加強認證等。在VPN提供的功能中，認證和加密是最重要的。所以，應該部署專門的認證服務器。這樣，沒有合法的用戶名和口令難以通過認證進入網絡，安全的可靠性較高。

3 結束語

安全防范體系的建立不是一勞永逸的，企業網絡信息自身的情況不斷變化，新的安全問題不斷涌現，必須根據暴露出的一些問題，進行更新，保證網絡安全防范體系的良性發展；同時還必須有完善的安全管理規章制度和專門管理人才，才能有效地實現企業安全、可靠、穩定地運行。

參考文獻：

第8篇：企業網絡安全建議范文

關鍵詞 企業集團;通信網;技術建議

中圖分類號TN91文獻標識碼A文章編號 1674-6708(2010)19-0080-02

國際化企業集團分布廣,可能跨地區、跨省份、乃至跨越國界,還經常涉及與駐外機關單位聯絡,這必然要涉及到通信聯絡、安全保密和統一管理問題,如果采用一定方式接入到整個專用的通信網會比較靈活和方便,同時還會節省部分通信費用,根據業務發展的需要,這里就根據有關專用通信網實際應用提出幾種駐外機構、內部企業網接入軟交換上來的技術建議。

1接入專用通信網的方式和途經

目前一些企業集團通常有三種網絡機構,一是企業辦公網;二是新建承載網;三是internet網,只要利用這些網絡就可以將其范圍內的接入設備,安全的接入到我們的軟交換網中,因為原則上只要IP可達,軟交換就能對城域網內的這些接入設備進行交換控制。但是為了確保語音軟交換設備的安全,工程建設中,應該在城域網與軟交換相交的地方配備一臺SBC(SE2200)設備,起著完全和IP轉換的作用。這樣外網就可以正常的安全的接入進來。

2接入設備類型與協議要求

1)可以通過Internet網直接接入可視電話終端,走SIP協議;

2)可以通過其它可接入設備,如IAD、AMG、UA5000等接入型設備,通過H248或MGCP協議直接注冊到NGN上來。

3相對集中的駐地網用戶接入應用

針對企業集團或礦區相對偏遠的駐地,且只有自己的局域網、安全性要求高的企業網(內外網為不同IP地址域)、用戶數比較多的駐地網(內外網為不同IP地址域),這樣的電話用戶可以通過該局域網接入到軟交換網絡中,在接入端可以通過SE2000設備來進行安全隔離。實現方式可以如下圖所示。

在整個設計中SE2000可以部署在駐地局域網的DMZ(Demilitarized Zone)區域、出口路由器的邊緣,或駐地局域網出口BAS(Broadband Access Server)或L3 Switch設備的邊緣。SE2000由駐地網自己管理。

企業網、駐地網內直接部署會話業務類終端,無需其它網絡改動,企業原有的NAT設備繼續工作。

SE2000為企業網、駐地網內用戶的會話業務提供信令、媒體轉發功能,實現QoS、安全和地址轉換。

企業網、駐地網內用戶的數據業務不經過該設備,而是經NAT處理后直接通過出口路由器或BAS設備轉發到外部網絡。

4相對地理位置較遠跨省跨地區的駐外用戶的接入應用

針對地理位置較遠跨省跨地區的駐外用戶我們可以借助Internet網絡來接入到NGN VPN網絡即(NGN承載網)。如下圖:

在這個設計中,我們可以把通過Internet接入的用戶在地理上無限延長,這些用戶可以在北京,可以在香港,也可以在伊拉克,我們可以把由Internet接入的用戶等同于在NGN VPN網范圍內的超市、網吧一樣的接入用戶。在這個設計中,SE2000部署在專用NGN VPN網絡至Internet的出口路由器邊緣,由通信業務部門負責管理。在駐外網內直接部署會話業務類終端、IADMS設備,無需其它網絡改動。

SE2000將Internet用戶接入到專用網的NGN網絡,并為Internet用戶提供會話業務,并為會話業務提供信令、媒體轉發支持。

若是Internet用戶之間進行會話業務,則只有信令經過SE2000設備,媒體流則不必經過,媒體流通過本地完成交互。若是NGN網絡用戶與Internet用戶之間進行會話業務,則信令和媒體流同時經過SE2000設備進行。

5接入設備通信保障設計

為了避免單臺設備異常而導致信令/媒體流中斷,需要部署兩臺SE2000從而形成雙機熱備份。

在整個通信接入過程中,為確保安全,應將兩臺SE2000布署在NGN承載網邊緣,或駐地局域網出口,由通信主管部門或駐地網負責管理。

兩臺SE2000形成一個熱備份組,其中一臺設備作為主設備承擔信令/媒體工作,另一臺作為備份設備,這兩臺設備以主備備份方式工作。

6終端網絡管理NAT穿越

IAD、SE2000、IADMS和網管中心之間通過方式實現跨越NAT的終端管理,如下所示。

SE2000部署在駐地局域網邊緣,處于IAD和IADMS設備之間,由通信業務部門負責管理。

SE2000在IAD和IADMS之間提供網管功能,對眾多IAD設備進行管理。網管中心NMS網管站對SE2000設備進行管理。

IADMS指定FTP(File Transfer Protocol)來對IAD設備進行遠程升級。

參考文獻

[1]SIP(Session Initiation Protocol)應用層的信令控制協議.

[2]H.248媒體網關控制協議.

第9篇：企業網絡安全建議范文

【關鍵詞】交換機安全；MAC地址泛洪；vlan跨越；ARP欺騙；DHCP欺騙

提到網絡安全防護，大多數企業都是將防火墻、UTM、路由器等設備一層接一層的部署在企業網絡的各個區域，而對于眾多的交換機則很少考慮到它們的安全性。隨著企業網絡越來越復雜，交換機在網絡中扮演著眾多的角色：終端網絡的接入點、路由器的連接點、甚至是核心網絡的連接途徑。因此，詳細研究交換機的攻擊方式和安全防護措施具有重要的意義。

1 MAC地址泛洪攻擊的安全防護

交換機是基于MAC地址去轉發數據幀的，轉發過程中依靠對CAM表的查詢來確定正確的轉發接口，一旦在查詢過程中無法找到相關目的MAC對應的條目，此數據幀將作為廣播幀來處理，而CAM表的容量有限，只能儲存不多的條目，當CAM表記錄的MAC地址達到上限后，新的條目將不會添加到CAM表中。于是攻擊者在很短的時間內不斷的變換出大量的MAC地址發向交換機，引起MAC地址泛洪，而當有新的設備要發送數據時，就將泛洪整個廣播域，攻擊者即收到了設備的泛洪信息。

防護措施：對交換機端口接入的源MAC地址或源MAC地址接入的數量進行限制。

2 VLAN跨越攻擊的安全防護

VLAN跨越攻擊是指數據包被傳送到不正確的端口上，數據包能夠不通過三層設備跨VLAN傳輸。基本上VLAN跨越攻擊有如下兩個類型。

交換機欺騙：攻擊者試圖通過配置802.1Q或者ISL把自己偽裝成一個交換機，通過DTP（動態中繼協議）信號可以幫助攻擊者完成欺騙。

雙標簽：是包括2個802.1Q頭的傳輸幀標簽，一個頭用于（受害者）用戶的交換機，另一個用于攻擊者的交換機。如圖1：攻擊者pc1的包即寫了vlan2，也寫了vlan3的標簽，在通過switch1時，剝離了第一層標簽dot1q2，由于switch1的native vlan是2，于是數據包不打標傳輸到switch2，switch2收到不帶標的數據包后，自動加上switch2的native vlan 3，于是攻擊者pc1就能和不同vlan的pc2進行通信。

防護措施：

1）交換機未使用的端口關閉；

2）所有未用的端口都配為access，防止自動協商為trunk；

3）native vlan不能和pc使用的vlan相同；

4）所有未用得端口配為pc未用的另一個vlan；

5）在所有來歷不明的端口上禁止DTP協議；

6）trunk的允許vlan不要加入native vlan。

3 DHCP欺騙攻擊的安全防護

DHCP欺騙攻擊是指攻擊者首先將正常的DHCP服務器所能分配的IP地址耗盡，然后冒充合法的 DHCP服務器，從而獲取所有PC的數據信息。

防護措施：開啟DHCP Snooping，通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息。

4 ARP欺騙攻擊的安全防護

交換機維護著一個ARP映射表，這個表中記錄了交換機每個端口所連接的設備的IP地址和MAC地址的映射關系。假如攻擊者想要獲取網絡中某合法PC的信息訪問權，它只要能接入該PC所連的交換機，然后向此PC發送一個偽造請求，把自己的IP地址偽造成網關地址，此PC收到該請求后會把該攻擊者的IP地址當作網關地址，然后把所有要發送給網關的請求都發送到攻擊者的機器上，攻擊者再監測這些數據包，并把它們繼續轉發給真正的網關。由于攻擊者最終還是將數據包轉發給真正的網關了，合法PC無法意識到自己的數據包被截取了，因此只要攻擊者繼續保持攻擊，該PC就會一直向攻擊者轉發流量，最終被攻擊者獲取合法信息訪問權。

防護措施：1）未使用的交換機端口要關閉；2）在交換機上手動配置IP地址和MAC地址的映射關系；3）假如是DHCP動態分配IP地址，再開啟了ip dhcp snooping后，開啟ARP欺騙防護。

5 交換機的其他安全防護

5.1 CDP協議的安全防

CDP是思科私有協議，它工作在數據鏈路層上的協議，主要用來發現和查看相鄰設備的簡單配置信息：如網絡地址、發送消息的端口或者接口信息、硬件平臺、發送設備的功能、軟件版本等等。通常情況下這部分信息都是明文保存的。攻擊者通過一些工具就可以輕松的獲得這些機密信息。因此，建議關閉CDP協議。防護配置如下：SW（config）#no cdp run

5.2 遠程管理的安全防護

常見交換機的遠程管理協議是telnet、http，但這兩個協議傳輸的都是明文信息，因此，很容易被攻擊者截獲取得想要的信息。因此，1）建議使用ssh、https等加密管理協議；2）建立對可遠程管理交換機的IP地址進行控制，可使用ACL。

5.3 密碼防護

對交換機的console口、aux口、vty、enable都要設置密碼。并且啟用密碼加密服務。防護配置如下：

在企業中，交換機大多位于網絡的接入層，如果能夠對交換機的安全性給予足夠的重視并進行合理的配置，它能使企業網絡免受絕大部分的攻擊。隨著交換機在企業網絡中的數量和部署區域的增多，利用交換機來防范網絡安全具有十分重要的意義。

參考文獻

[1]海吉，羅進文，王，張媛.網絡安全技術與解決方案[M].人民郵電出版社，2009.