網絡安全內網管理精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網絡安全內網管理主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網絡安全內網管理范文

總體管理要求

首先看一下數字出版的特點。

數字業務形態多樣：目前數字出版產品形態主要包括電子圖書、數字報紙、數字期刊、網絡原創文學、網絡教育出版物、網絡地圖、數字音樂、網絡動漫、網絡游戲、數據庫出版物、手機出版、App應用程序等，豐富的業務形態要求網絡提供多種接入方式、多種內容共享方式，同時要保證安全。

強調對數字化資源的管理：國外知名出版公司特別強調對數字化資源的管理，很多公司通過建設自己的內容管理平臺來更有效地建設、管理和重用數字化資源。湯姆森公司委托其下屬的Course Technology、Delmar、Promotric和NETg開發內容管理平臺LLG，計劃五年內完成；培生內部已經運行了WPS，與前臺的Coursecompass結合以更加有效的建設模式為學校提供服務；麥格勞-希爾出版公司已經成功地將內容管理平臺運用在百科全書的出版上。

整體安全性要求高：數據化資源對整體安全性要求較高，現在網上支付手段豐富，如快錢、Paypal、支付寶等都需要在純凈的網絡環境進行操作，以保護機構和個人財產安全；要求建立完善的數字版權機制，保障作者、編輯單位的合法權益；網上交易和傳播的數字內容越來越多。網絡安全形勢十分嚴峻，域名劫持、網頁篡改等事件時有發生，給網民和機構造成了嚴重影響和重大損失。工業和信息化部2010年的數據表明，僅中國網民每年需要為網絡攻擊支付的費用就達到153億元之多。

筆者認為，網絡的應用在出版機構一般經過三個發展階段：第一為溝通交流階段，在這個階段，出版機構的工作人員上互聯網、了解外界知識、通過即時通信工具溝通信息等。第二階段為管理應用階段，在這個階段，工作人員通過網絡協同辦公，出版機構采用ERP、財務管控系統等內部業務管理系統。第三階段為創造、創新階段，出版機構使用綜合業務系統進行數字內容收集、組織或加工，形成數字資產，通過網絡進行推廣。

根據這三個階段的應用特點，可以將管理要求歸結為：第一個階段應用比較簡單，用戶都可以使用網絡，要求網速快、安全性要求不高；第二個階段，并非所有用戶都能進入內部網絡，設定上網權限，同時能對帶寬進行有效管理，防止員工濫用網絡而擠占主要業務的網絡帶寬，防止堡壘在內部被攻破；第三個階段有了較多的數字資產，要防止網窺和盜竊行為發生，主動防御來自互聯網端的威脅，防止業務流數據和內容數據出現問題，保證數據安全，即能處理來自外部、內部的威脅，保存好數據，防范非法入侵。

管理及技術分析

根據數字出版的業務特點，筆者總結了消除網絡安全隱患的策略。

在第一應用階段，網絡中有防火墻、核心路由等元素，要保障物理線路暢通，具備一定的安全性。篇幅所限，這里不詳細描述了。

第二應用階段要求建立終端準入機制和應用控制機制。

此階段遇到的挑戰：用戶多導致內部安全問題，帶寬濫用情況嚴重。內網的安全事件約有70%來源于內網的接入終端，雖然網絡中使用了一些安全措施如應用防火墻、網絡設備訪問控制規則等改進了網絡的安全性，但由于網內終端數量較大、Windows系統的不穩定和多處漏洞，終端用戶的應用水平參差不齊等造成內網安全事件頻發。對內網終端的安全隱患管理和處理方法概括如下：建立用戶接入準入制度，防止截取地址信息隨意接入，對合法用戶接入訪問權限進行細化，加強整網應用安全機制。

同時，應用也存在監管的問題，如員工在日常工作時間進行P2P下載、看影視等從而擠占正常業務的網絡帶寬。因此，系統中要設應用控制網關，對帶寬進行有效管理，提供足夠帶寬給ERP、財務處理等主要業務，滿足吞吐量要求。網內用戶上網行為復雜，網絡中的異常流量、即時通信流量逐步增大，侵占了原本就不富余的出口帶寬；爆發內網安全事件時也會出現相應的流量異常，因此網內要設有行之有效的流量控制和分析手段，以便對網絡進行流量監管以及安全事件的快速定位。

在第三應用階段，可通過入侵檢測系統進行主動防御，對入網設備進行終端準入，建立獨立存儲甚至遠程異地災備系統。網絡入侵防御系統是一種在線部署產品，旨在準確監測網絡異常流量，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是在監測到惡意流量的同時或之后才發出告警。這類產品彌補了防火墻、入侵檢測等產品的不足，提供動態的、深度的、主動的安全防御，提供一個全新的入侵保護。

第三階段是較高級應用階段，因數字出版應用內容豐富、強調應用安全、響應速度，網絡技術參數設定要對應用需求有足夠響應。

安全網絡應用實例

下面是一個出版公司在保障網絡安全方面的具體方案，其他數字出版企業也可以從中借鑒。

一、使用一臺IP存儲解決專業存儲問題。

信息或數據在IT系統中，必然處于計算、存儲、傳輸三個狀態之一。這三個方面也正好對應于整個IT架構的三個基礎架構單元――計算、存儲和網絡。該方案選用一套高端SAN存儲作為整個信息系統的核心在線存儲。

該方案中，核心存儲設備通過IP SAN交換機與局域網多臺服務器建立連接。服務器通過普通千兆網卡或iSCSI HBA卡接入IP SAN。核心存儲設備提供海量存儲空間，實現高穩定性、高可靠性的數據集中和存儲資源統一管理。核心存儲設備可以混插高性能的SAS磁盤和大容量的SATA II磁盤，單臺設備即可滿足兩種不同的應用需求，大大提高設備性價比。核心存儲也可以滿足包括數據庫、Web、OA、文件等多個應用的集中訪問需求。ERP應用作為關鍵應用之一，IX3000存儲上為其提供獨立的存儲空間，并采用15000轉的SAS硬盤。

二、以應用控制網關解決帶寬利用和用戶上網行為監管問題。

公司員工越來越依賴于互聯網的同時，上網行為卻不能得到有效控制和管理，不正當地使用互聯網從事各種活動（如網上炒股、玩游戲等）會造成公司外網運行效率下降、帶寬資源浪費、商業信息泄密等問題。該公司的財務部曾反映，在制作半年報期間網絡時常不通，導致工作無法進行。經查是防火墻嚴重超負荷造成，負載時常超過90%，這些都是過度使用網絡資源產生的后果。

該公司的解決方案如下：在公司出口防火墻與核心交換機之間部署一臺應用控制網關。該網關可以很好地完成公司信息中心對員工行為監管的需求，針對P2P/IM、網絡游戲、炒股、非法網站訪問等行為，可以進行精細化識別和控制，解決帶寬濫用影響正常業務、員工工作效率低下、訪問非法網站感染病毒蠕蟲的問題，幫助公司規范網絡的應用層流量，為公司創造一個良好的網絡使用環境。

三、通過端點安全準入系統EAD解決終端安全問題。

為了彌補公司現有安全防御體系中存在的不足，公司部署了一套端點安全準入防御系統，旨在加強對員工電腦的集中管理，統一實施安全策略，提高網絡終端的主動抵抗能力。終端安全準入防御將防病毒、補丁修復等終端安全措施與網絡接入控制、訪問權限控制等網絡安全措施整合為一個聯動的安全體系，通過對網絡接入終端的檢查、隔離、修復、管理和監控，使整個網絡變被動防御為主動防御，變單點防御為全面防御，變分散管理為集中策略管理，提升了網絡對病毒、蠕蟲等新興安全威脅的整體防御能力。

終端安全準入防御通過安全客戶端、安全策略服務器、接入設備以及病毒庫服務器、補丁服務器的相互配合，可以將不符合安全要求的終端限制在“隔離區” 內，防止“危險”客戶端對網絡安全的損害，避免“易感”客戶端受病毒、蠕蟲的攻擊。

四、使用入侵檢測系統阻止來自互聯網的攻擊行為。

在公司互聯網出口部署1套千兆硬件入侵防御系統，專門針對公司服務器應用層進行防護，填補防火墻安全級別不夠的問題，并與防火墻一起實現公司網絡L2－L7層立體的、全面的安全防護。

千兆高性能IPS入侵檢測系統可以針對公司Web服務器三層架構中的底層操作系統、中間層數據庫服務、上層網頁程序的每一層提供安全防護。為公司Web服務器提供包括漏洞利用、SQL注入、蠕蟲、病毒、木馬、協議異常等在內的應用層安全威脅的防范，防止網頁被篡改的發生，并在每檢測和阻斷一個針對Web服務器的安全威脅之后，記錄一條安全日志，為公司服務器的安全審計和安全優化提供全面的依據。

綜合管理措施

筆者認為，要維護數字出版公司網絡安全，在網絡綜合管理上要同時做好以下幾點：

制定合理有效的計算機網絡系統工作管理規定，明確責任，分工到人。

設置全集團（公司）網絡管理員制度，各分（子）公司專人對網絡和終端進行管理。

中心機房設置專人管理機房網絡設備，定期檢查并分析設備日志，定期升級軟件和補丁，防止“破窗”出現，發現異常及時處理。

定期召開網絡應用會議，通報網絡安全情況，部署下一階段工作重點。要打造一支能協同的團隊，這比單純有幾臺好設備要復雜，培訓、協同和組織要付出更多心血。

第2篇：網絡安全內網管理范文

關鍵詞:內網;安全;網絡;管理;措施

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10207-02

The Importance of Enterprise Network Security and Management Measures

ZHU Chang-yun

(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)

Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including online, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user application level security and other reasons, has always been safe construction difficult.

Key words: intranet; security; network; management; measures

1 內網安全的定義以及與外網安全的區別

既然要探討內網安全,首先要理解內網安全的含義,網絡安全主要包含兩部分,一個就是傳統網絡安全考慮的是防范外網對內網的攻擊,即可以說是外網安全;另一個就是內網安全,它是對應于外網而言的。主要是指在小范圍內的計算機互聯網絡,這個“小范圍”可以是一個家庭,一所學校,或者是一家公司。內網上的每一臺電腦(或其他網絡設備)內部分配得到的局域網IP地址在不同的局域網內是可以重復的,不會相互影響。

外網安全的威脅模型假設內部網絡都是安全可信的,威脅都來自于外部網絡,其途徑主要通過內外網邊界出口。所以,在外網安全的威脅模型假設下,只要將網絡邊界處的安全控制措施做好,就可以確保整個網絡的安全。也就是說,網絡邊界安全技術防范來自Internet上的攻擊,主要是防范來自公共的網絡服務器如HTTP或SMTP的攻擊。網絡邊界防范減小了黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。傳統的防火墻、人侵檢測系統和VPN都是基于這種思路設計和考慮的。

對眾多大型企業而言,隨著業務的發展,用戶希望ERP、OA、Intranet、互聯網在一張網上實現,能夠同時使用有線、無線網絡,在一個網絡上實現Web、即時通信、協作、語音、視頻的融合。外網在某種程度上已經成為了內網的一部分。而隨著移動辦公的興起,安全的邊界越發模糊,筆記本電腦、手機都成為了企業OA網絡中的一部分,而這也增加了內網安全的管理難度。

內網安全的威脅模型與外網安全模型相比,更加全面和細致。它假設內網網絡中的任何一個終端、用戶和網絡都是不安全和不可信的,威脅既可能來自外網,也可能來自內網的任何―個節點上。 所以,在內網安全的威脅模型下,需要對內部網絡中所有組成節點和參與者進行細致的管理,實現―個可管理、可控制和可信任的內網。

由此可見,相比于外網安全,內網安全具有以下特點:

1)要求建立一種更加全面、客觀和嚴格的信任體系和安全體系。

2)要求建立更加細粒度的安全控制措施,對計算機終端、服務器、網絡和使用者都進行更加具有針對性的管理。

3)對信息進行生命周期的完善管理。

2 內網安全的威脅

在所有的安全事件中,有超過70%的安全事件是發生在內網上的,并且隨著網絡的龐大化和復雜化,這一比例仍有增長的趨勢。因此內網安全一直是網絡安全建設關注的重點,但是由于內網以純二層交換環境為主、節點數量多、分布復雜、終端用戶安全應用水平參差不齊等原因,一直以來也都是安全建設的難點。

在實際應用當中,內網安全的威脅主要來自以下幾個方面:

1)移動設備(筆記本電腦等)和新增設備未經過安全過濾和檢查違規接入內部網絡。未經允許擅自接入電腦設備會給網絡帶來病毒傳播、黑客入侵等不安全因素;

2)內部網絡用戶通過調制解調器、雙網卡、無線網卡等網絡設備進行在線違規撥號上網、違規離線上網等行為;

3)違反規定將專網專用的計算機帶出網絡進入到其它網絡;

4)網絡出現病毒、蠕蟲攻擊等安全問題后,不能做到安全事件源的實時、快速、精確定位、遠程阻斷隔離操作。安全事件發生后,網管一般通過交換機、路由器或防火墻進行封堵,但設置復雜,操作風險大,而且絕大多數普通交換機并沒有被設置成SNMP可管理模式,因此不能夠方便地進行隔離操作;

5)大規模病毒(安全)事件發生后,網管無法確定病毒黑客事件源頭、無法找到網絡中的薄弱環節,無法做到事后分析、加強安全預警;

6)靜態IP地址的網絡由于用戶原因造成使用管理混亂、網管人員無法知道IP地址的使用、IP同MAC地址的綁定情況以及網絡中IP分配情況;

7)針對網絡內部安全隱患,自動檢測網絡中主機的安全防范等級,進行補丁大面積分發,徹底解決網絡中的不安全因素;

8)大型網絡系統中區域結構復雜,不能明確劃分管理責任范圍;

9)網絡中計算機設備硬件設備繁多,不能做到精確統計。

以上問題其實可以歸到兩個基本需求:安全與管理。安全方面,需要保證在終端方面可以提供正常工作的基礎IT設施即計算機是可用的;而管理方面,則保證企業或都說組織的計算機是用來工作的,規范計算機在企業網絡里邊的行為。

3 加強內網安全管理的建議和措施

可管理的安全才是真正的安全。雖然管理對于信息安全的重要性已經逐漸達成共識,但如何將安全管理規章和技術手段有效的結合在一起,真正提高信息安全的有效性,依然是我們共同面臨的挑戰。安全關注的趨勢由外而內,由邊界到主機,由分散到集中,由系統到應用,由通用到專用,由分離到整合,由技術到管理。從實際工作出發和借鑒兄弟單位成功經驗,我總結了加強內網安全的措施如下:

1)按照企業的管理框架,根據不同的業務部門或子公司劃成了不同的虛擬網(Vlan)。通過劃分虛擬網,可以把廣播限制在各個虛擬網的范圍內,從而減少整個網絡范圍內廣播包的傳輸,提高了網絡的傳輸效率,同時,由于各虛擬網之間不能直接進行通訊,而必須通過路由器轉,為高級的安全控制提供了可能,增強了網絡的安全性,也給管理帶來了極大的方便性。特別是核心業務和重要部門根據安全的需要劃成了不同的虛擬網,采用完全隔離或者相對隔離的措施,保證了核心業務和重要部門的安全性。

2)對企業網絡的物理線路進行規范化管理。按照區域、樓層、配線間、房間、具置規范化管理編號的原則,把所有的網絡線路編號,套上清晰的線標,配置可網管的交換機。同時對交換機、配線架、電腦等設備的物理配置、存放的具置以及電腦的軟件系統和系統配置等基礎數據進行詳細的登記,同時還對IP地址進行統一管理,把電腦的IP地址、MAC地址、使用人和各種基礎數據進行關聯,當網絡或者電腦發生故障時,網管們能夠通過基礎數據管理系統實現快速定位、快速排查故障,極大地提高了網管們解決故障的工作效率。

3)部署桌面安全管理系統。企業部署一套桌面安全策略管理系統,是一個面向IT領域建設的專業安全解決方案。它采用集成化網絡安全防衛體系,通過多種技術手段的融合幫助整個企業有效達成在物理訪問、鏈路傳輸、操作系統、業務應用、數據保護、網間訪問和人員管理等方面的安全策略制定、自動分發和自動實現,減小客戶為保障安全需要付出的高額管理控制成本,在為每一個終端用戶提供透明但高度個性化安全保證的前提下真正提高組織的動作效率和管理水平。終端安全管理是基礎,它解決了終端計算機經常為病毒、木馬困擾的問題,幫助管理員智能安裝系統與應用補丁,提供一系列的終端維護工具與管理工具,使管理員做到對于終端的“中央集權管理與控制”。

4)部署防病毒系統。病毒、木馬、流氓軟件一直是困擾大家的一大難題,因此通過部署一套專業防病毒系統是最有效的解決辦法。防毒系統內嵌病毒掃描和清除、個人防火墻、安全風險檢測與刪除,可以檢測、隔離、刪除和消除或修復間諜軟件、廣告軟件、撥號程序、黑客工具、玩笑程序等多種安全風險造成的負面影響。通過防毒系統中心控制臺可以集中管理客戶端,統一部署防護策略、病毒碼定義更新策略等,集中查看客戶端病毒碼更新情況、病毒分布情況、病毒種類及查殺情況,可以控制客戶端集中或單獨清除病毒。另外,還可以通過病毒隔離區控制臺,追蹤病毒傳播情況,快速找到病毒源,在第一時間對中毒的電腦進行有效的殺毒和隔離。

5)部署網絡管理系統。隨著企業網絡規模的擴大,交換機、服務器的數量也逐漸增多,如何管理監控重點設備、服務器的運行情況,不是一件容易的事。為此部署一套網絡管理系統,可對網絡、系統以及應用進行全面的監視。它可以提供完整的故障管理和性能管理功能,能自動發現網絡主動監視網絡、系統和服務器并將關鍵參數保存在數據庫中。通過綜合控制臺可實現對路由器、交換機、服務器、URL、UPS無線設備以及打印機等性能的監視,不僅提供了網絡設備的多種視圖,而且將收集的信息以豐富的圖、報表形式呈現給操作者。

6)部署安全管理系統(SOC)。為了讓管理人員能夠實時了解網絡中動態和事件,滿足不斷變化的網絡安全管理(網絡設備、服務器、應用程序、應用服務、安全設備、操作系統、數據庫、機房環境等發生的故障、超閥值行為、安全事件統稱為網絡安全問題)的要求,需要有一套專門的安全管理系統來完成。網絡管理系統是從事件驅動的目的出發強調系統運維、系統故障處理和加強網絡的性能三個方面的內容。與網絡管理系統不同,安全管理系統最重要的是對威脅的管理,它的側重點關注在三個層次上:資產層面,關注安全威脅對業務及資產的影響;威脅層面了解哪些威脅會影響業務及資產;防護措施層面怎樣防護威脅,保護業務及資產。一句話概括,就是安全管理是從保護業務及資產的層面進行的風險管理。

7)部署垃圾郵件防火墻。隨著電子郵件的普及,電子郵件的作用也越發重要,但是垃圾郵件卻是件令人煩惱的事,嚴重干擾了郵件收發的正常工作。為了解決垃圾郵件問題,可以布署一套垃圾郵件防火墻。垃圾郵件防火墻能支持25000個活躍的電子郵件帳戶每天處理兩千五百萬封電子郵件。

8)對重要資料進行備份。在內網系統中數據對用戶的重要性越來越大,實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊,用戶的一次錯誤操作,系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。為了維護企業內網的安全,必須對重要資料進行備份,以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰,進而蒙受重大損失。對數據的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的,配合各種災難恢復軟件,可以較為全面地保護數據的安全。

9)密鑰管理。在現實中,入侵者攻擊Intranet目標的時候,90%會把破譯普通用戶的口令作為第一步。以Unix系統或Linux 系統為例,先用“finger遠端主機名”找出主機上的用戶賬號,然后用字典窮舉法進行攻擊。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典里的單詞都完成。

如果這種方法不能奏效,入侵者就會仔細地尋找目標的薄弱環節和漏洞,伺機奪取目標中存放口令的文件 shadow或者passwd。然后用專用的破解DES加密算法的程序來解析口令。

在內網中系統管理員必須要注意所有密碼的管理,如口令的位數盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統上使用同一口令;輸入口令時應在無人的情況下進行;口令中最好要有大小寫字母、字符、數字;定期改變自己的口令;定期用破解口令程序來檢測shadow文件是否安全。沒有規律的口令具有較好的安全性。

4 結束語

當然為了更好地解決內網的安全問題,需要有更為開闊的思路看待內網的安全問題。七分管理,三分技術。管理是企業網絡安全的核心,技術是安全管理的保證。只有制定完整的規章制度、行為準則并和安全技術手段合理結合,網絡系統的安全才會有最大的保障。

參考文獻:

第3篇：網絡安全內網管理范文

網吧路由器的好壞直接決定了網吧網絡的穩定。而單體網吧技術員通常對路由器不太了解，也不懂如何優化配置路由器，經常導致網吧掉線。而在每個網吧單獨設―個精通網絡的網管成本太高，所以經常是臨時找廠家或者商的工程師進行遠程Telnet登陸進行排錯和相應配置，這樣做效率比較低，耗時很長，直接影響網吧經營。

H3C網絡設備管理方式及其優點：

連鎖網吧在總部薪聘請―位網管，對所有分支網吧的網絡設備尤其是路由器進行統一配置，可以減少很多的麻煩。而H3C的AR18路由器支持BIMS(智能分支管理)，網管能在總部直接下發關鍵配置給各個網吧，方便快捷。并且可以實施監控網吧路由器配置。一旦配置被惡意修改，總部處會及時告警提示網管。這樣就避免了分支網吧技術員擅自修改路由器配置或者被他人惡意修改配置帶來的麻煩。

二、對連鎖網吧服務器的集中管理

傳統網吧服務器管理方式及其缺點：

傳統的連鎖網吧要對分支的游戲服務器或者電影服務器進行管理的時候，只能開放其公網端口，這樣就給黑客入侵留下了機會。另外由于分支網吧位于不同的地點，分屬于不同的網絡，網吧與網吧之間的資源無法實現共享，某些網吧的一些好電影資源其他網吧無法訪問，這又給網吧經營影視節目帶來了高成本的資源重復投入。

H3C網絡設備管理方式及其優點：使用H3C網吧設備的連鎖網吧是一個真正意義上的連鎖，因為通過VPN互聯之后，所有網吧與網吧之間，網吧與總部之間都是一個虛擬的局域網了，局域網之間相互訪問資源就非常的容易了。同時總部網管要維護下面的服務器，通過局域網IP地址就可以直接訪問分支網吧服務器的文件夾，即方便又安全。

三、H3C網吧解決方案特色

作為網內網絡設備的領導廠商，H3C公司始終關注客戶最急迫的需求，以客戶需求為導向來開發產品和設計方案。通過對目前網吧行業的深入調研，H3C公司基于強大的技術實力和突出的方案整合能力，推出了面向廣大網吧經營者的網吧解決方案，為網吧經營者提供了集經濟和高效于一身的理想解決方案。

對于網吧來講，穩定壓倒一切，而如今導致網吧不穩定的主要原因就是安全性太差，內網攻擊或者ARP病毒就能輕輕松松讓一個網吧掉線：網吧擴建之后，設備增多，對設備的管理和配置也是一大麻煩，專門雇一個精通網絡的技術人員成本又太高，所以網吧都希望設備管理越簡單越好。H3c公司正是了解到網吧最迫切的需求，在網吧解決方案中突出兩大特色，網絡安全與傻瓜式管理。

網絡安全：徹底堵住安全死角

網吧出口被攻擊，網民賬號被盜，計費服務器被攻擊等這些不安全的因素對網吧金帶來嚴重的影響。造成安全性差的原因有四個：

1、黑客或競爭對手發動針對出口路由的外網DDoS攻擊

2、內網用戶發起的DDoS攻擊造成網吧網絡癱瘓

3、ARP欺騙病毒造成用戶無法上網，以及QQ和游戲等帳號密碼被盜

4、計費服務器，游戲服務器被病毒攻擊造成無法計費

針對這4種常見的安全問題，H3C研發整套解決方案，從路由到交換都融入了安全方案：

1、防外：目前網吧使用的多數的出口設備以及服務器在攻擊情況下就會死機；而AR18-63-1路由器具備完善的安全防護功能，防DDoS攻擊，Srnurf/Fraggle攻擊，防端口掃描攻擊等網絡中常見的24種外網攻擊，徹底杜絕黑客的侵入或者競爭網吧的攻擊。

2、堵內，網吧局域網內部的攻擊，ARP欺騙，蠕蟲病毒等等都會導致內部掉線，H3C交換機可以完成端到端的防御，S1526接入交換機可以直接進行端口隔離來防止ARP病毒擴散，S5000E交換機可以進行MAC+IP+端口綁定，實現硬件過濾非法ARP報文。另外S5000E創新的提出交換機防DoS攻擊報文的功能，在交換機處直接將攻擊丟棄掉，攻擊無法達到路由器，從而保護了內網安全。另外在S5000E交換機上面還能對常見的網絡病毒進行封堵，保證內網蠕蟲病毒不會擴散，引導到網吧服務器的正常運行。

傻瓜式管理：讓網吧管理變得簡單

網吧里面有PC機、計費服務器、收費服務器、交換機、路由器、網線等、這些設備都是不同的類型，操作管理都不相同，需要一個全方位都懂的技術員才能打理。而普通的網管對操作系統，PC硬件等比較熟悉，而對網絡不甚了解，所以在對網絡設備的管理上面時常出現問題：

1、網吧設備配置：網吧網管的技術水平較低，對手傳統的命令行配置方式掌握程度低

2、網絡排錯：網吧排查錯誤的方式都是通過插拔線，這種方式不僅工作量十分巨大，而且效率很低網管需要對網吧的網絡現狀進行全局的監控

3、連鎖網吧設備管理：連鎖網吧總部會有一個專職大網管，他對技術非常了解，包括網絡。但是由于下面的加盟或者直營網吧較多，一旦出了問題，只能親自到現場去解決，效率非常低。

第4篇：網絡安全內網管理范文

[關鍵詞] 網絡安全方案設計實現

一、計算機網絡安全方案設計與實現概述

影響網絡安全的因素很多，保護網絡安全的技術、手段也很多。一般來說，保護網絡安全的主要技術有防火墻技術、入侵檢測技術、安全評估技術、防病毒技術、加密技術、身份認證技術，等等。為了保護網絡系統的安全，必須結合網絡的具體需求，將多種安全措施進行整合，建立一個完整的、立體的、多層次的網絡安全防御體系，這樣一個全面的網絡安全解決方案，可以防止安全風險的各個方面的問題。

二、計算機網絡安全方案設計并實現

1.桌面安全系統

用戶的重要信息都是以文件的形式存儲在磁盤上，使用戶可以方便地存取、修改、分發。這樣可以提高辦公的效率，但同時也造成用戶的信息易受到攻擊，造成泄密。特別是對于移動辦公的情況更是如此。因此，需要對移動用戶的文件及文件夾進行本地安全管理，防止文件泄密等安全隱患。

本設計方案采用清華紫光公司出品的紫光S鎖產品，“紫光S鎖”是清華紫光“桌面計算機信息安全保護系統”的商品名稱。紫光S鎖的內部集成了包括中央處理器（CPU）、加密運算協處理器（CAU）、只讀存儲器（ROM），隨機存儲器（RAM）、電可擦除可編程只讀存儲器（E2PROM）等，以及固化在ROM內部的芯片操作系統COS（Chip Operating System）、硬件ID號、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認證的SmartCOS，其安全模塊可防止非法數據的侵入和數據的篡改，防止非法軟件對S鎖進行操作。

2.病毒防護系統

基于單位目前網絡的現狀，在網絡中添加一臺服務器，用于安裝IMSS。

（1)郵件防毒。采用趨勢科技的ScanMail for Notes。該產品可以和Domino的群件服務器無縫相結合并內嵌到Notes的數據庫中，可防止病毒入侵到LotueNotes的數據庫及電子郵件，實時掃描并清除隱藏于數據庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠程控管防毒管理工作，并提供實時監控病毒流量的活動記錄報告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。

（2)服務器防毒。采用趨勢科技的ServerProtect。該產品的最大特點是內含集中管理的概念，防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統對原系統的影響，另一方面使所有服務器的防毒系統可以從單點進行部署，管理和更新。

（3)客戶端防毒。采用趨勢科技的OfficeScan。該產品作為網絡版的客戶端防毒系統，使管理者通過單點控制所有客戶機上的防毒模塊，并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有靈活的產品集中部署方式，不受Windows域管理模式的約束，除支持SMS，登錄域腳本，共享安裝以外，還支持純Web的部署方式。

（4)集中控管TVCS。管理員可以通過此工具在整個企業范圍內進行配置、監視和維護趨勢科技的防病毒軟件，支持跨域和跨網段的管理，并能顯示基于服務器的防病毒產品狀態。無論運行于何種平臺和位置，TVCS在整個網絡中總起一個單一管理控制臺作用。簡便的安裝和分發部署，網絡的分析和病毒統計功能以及自動下載病毒代碼文件和病毒爆發警報，給管理帶來極大的便利。

3.動態口令身份認證系統

動態口令系統在國際公開的密碼算法基礎上，結合生成動態口令的特點，加以精心修改，通過十次以上的非線性迭代運算，完成時間參數與密鑰充分的混合擴散。在此基礎上，采用先進的身份認證及加解密流程、先進的密鑰管理方式，從整體上保證了系統的安全性。

4.訪問控制“防火墻”

單位安全網由多個具有不同安全信任度的網絡部分構成，在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構成了對網絡安全的重要隱患。本設計方案選用四臺網御防火墻，分別配置在高性能服務器和三個重要部門的局域網出入口，實現這些重要部門的訪問控制。

通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻，通過防火墻將網絡內部不同部門的網絡或關鍵服務器劃分為不同的網段，彼此隔離。這樣不僅保護了單位網絡服務器，使其不受來自內部的攻擊，也保護了各部門網絡和數據服務器不受來自單位網內部其他部門的網絡的攻擊。如果有人闖進您的一個部門，或者如果病毒開始蔓延，網段能夠限制造成的損壞進一步擴大。

5.信息加密、信息完整性校驗

為有效解決辦公區之間信息的傳輸安全，可以在多個子網之間建立起獨立的安全通道，通過嚴格的加密和認證措施來保證通道中傳送的數據的完整性、真實性和私有性。

SJW-22網絡密碼機系統組成

網絡密碼機（硬件）:是一個基于專用內核，具有自主版權的高級通信保護控制系統。

本地管理器（軟件）:是一個安裝于密碼機本地管理平臺上的基于網絡或串口方式的網絡密碼機本地管理系統軟件。

中心管理器（軟件）:是一個安裝于中心管理平臺（Windows系統）上的對全網的密碼機設備進行統一管理的系統軟件。

6.安全審計系統

根據以上多層次安全防范的策略，安全網的安全建設可采取“加密”、“外防”、“內審”相結合的方法，“內審”是對系統內部進行監視、審查，識別系統是否正在受到攻擊以及內部機密信息是否泄密，以解決內層安全。

安全審計系統能幫助用戶對安全網的安全進行實時監控，及時發現整個網絡上的動態，發現網絡入侵和違規行為，忠實記錄網絡上發生的一切，提供取證手段。作為網絡安全十分重要的一種手段，安全審計系統包括識別、記錄、存儲、分析與安全相關行為有關的信息。

在安全網中使用的安全審計系統應實現如下功能：安全審計自動響應、安全審計數據生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。

本設計方案選用“漢邦軟科”的安全審計系統作為安全審計工具。

漢邦安全審計系統是針對目前網絡發展現狀及存在的安全問題，面向企事業的網絡管理人員而設計的一套網絡安全產品，是一個分布在整個安全網范圍內的網絡安全監視監測、控制系統。

（1）安全審計系統由安全監控中心和主機傳感器兩個部分構成。主機傳感器安裝在要監視的目標主機上，其監視目標主機的人機界面操作、監控RAS連接、監控網絡連接情況及共享資源的使用情況。安全監控中心是管理平臺和監控平臺，網絡管理員通過安全監控中心為主機傳感器設定監控規則，同時獲得監控結果、報警信息以及日志的審計。主要功能有文件保護審計和主機信息審計。

①文件保護審計：文件保護安裝在審計中心，可有效的對被審計主機端的文件進行管理規則設置，包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。以及對文件保護進行用戶管理。

②主機信息審計:對網絡內公共資源中，所有主機進行審計，可以審計到主機的機器名、當前用戶、操作系統類型、IP地址信息。

（2)資源監控系統主要有四類功能。①監視屏幕:在用戶指定的時間段內，系統自動每隔數秒或數分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結束。

②監視鍵盤:在用戶指定的時間段內，截獲Host Sensor Program用戶的所有鍵盤輸入，用戶實時控制鍵盤截獲的開始和結束。

③監測監控RAS連接：在用戶指定的時間段內，記錄所有的RAS連接信息。用戶實時控制ass連接信息截獲的開始和結束。當gas連接非法時，系統將自動進行報警或掛斷連接的操作。

④監測監控網絡連接：在用戶指定的時間段內，記錄所有的網絡連接信息(包括:TCP， UDP，NetBios）。用戶實時控制網絡連接信息截獲的開始和結束。由用戶指定非法的網絡連接列表，當出現非法連接時，系統將自動進行報警或掛斷連接的操作。

單位內網中安全審計系統采集的數據來源于安全計算機，所以應在安全計算機安裝主機傳感器，保證探頭能夠采集進出網絡的所有數據。安全監控中心安裝在信息中心的一臺主機上，負責為主機傳感器設定監控規則，同時獲得監控結果、報警信息以及日志的審計。單位內網中的安全計算機為600臺，需要安裝600個傳感器。

7.入侵檢測系統IDS

入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。從網絡安全的立體縱深、多層次防御的角度出發，入侵檢測理應受到人們的高度重視，這從國際入侵檢測產品市場的蓬勃發展就可以看出。

根據網絡流量和保護數據的重要程度，選擇IDS探測器（百兆）配置在內部關鍵子網的交換機處放置，核心交換機放置控制臺，監控和管理所有的探測器因此提供了對內部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。

在單位安全內網中，入侵檢測系統運行于有敏感數據的幾個要害部門子網和其他部門子網之間，通過實時截取網絡上的是數據流，分析網絡通訊會話軌跡，尋找網絡攻擊模式和其他網絡違規活動。

8.漏洞掃描系統

本內網網絡的安全性決定了整個系統的安全性。在內網高性能服務器處配置一臺網絡隱患掃描I型聯動型產品。I型聯動型產品適用于該內網這樣的高端用戶，I型聯動型產品由手持式掃描儀和機架型掃描服務器結合一體，網管人員就可以很方便的實現了集中管理的功能。網絡人員使用I型聯動型產品，就可以很方便的對200信息點以上的多個網絡進行多線程較高的掃描速度的掃描，可以實現和IDS、防火墻聯動，尤其適合于制定全網統一的安全策略。同時移動式掃描儀可以跨越網段、穿透防火墻，實現分布式掃描，服務器和掃描儀都支持定時和多IP地址的自動掃描，網管人員可以很輕松的就可以進行整個網絡的掃描，根據系統提供的掃描報告，配合我們提供的三級服務體系，大大的減輕了工作負擔，極大的提高了工作效率。

聯動掃描系統支持多線程掃描，有較高的掃描速度，支持定時和多IP地址的自動掃描，網管人員可以很輕松的對自己的網絡進行掃描和漏洞的彌補。同時提供了Web方式的遠程管理，網管不需要改變如何的網絡拓撲結構和添加其他的應用程序就可以輕輕松松的保證了網絡的安全性。另外對于信息點少、網絡環境變化大的內網配置網絡隱患掃描II型移動式掃描儀。移動式掃描儀使用靈活，可以跨越網段、穿透防火墻，對重點的服務器和網絡設備直接掃描防護，這樣保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協調性，最大可能地消除安全隱患。

在防火墻處部署聯動掃描系統，在部門交換機處部署移動式掃描儀，實現放火墻、聯動掃描系統和移動式掃描儀之間的聯動，保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協調性，最大可能的消除安全隱患，盡可能早地發現安全漏洞并進行修補，優化資源，提高網絡的運行效率和安全性。

三、結束語

隨著網絡應用的深入普及，網絡安全越來越重要，國家和企業都對建立一個安全的網絡有了更高的要求。一個特定系統的網絡安全方案，應建立在對網絡風險分析的基礎上，結合系統的實際應用而做。由于各個系統的應用不同，不能簡單地把信息系統的網絡安全方案固化為一個模式，用這個模子去套所有的信息系統。

本文根據網絡安全系統設計的總體規劃,從桌面系統安全、病毒防護、身份鑒別、訪問控制、信息加密、信息完整性校驗、抗抵賴、安全審計、入侵檢測、漏洞掃描等方面安全技術和管理措施設計出一整套解決方案，目的是建立一個完整的、立體的、多層次的網絡安全防御體系。

參考文獻:

[1]吳若松:新的網絡威脅無處不在[J].信息安全與通信保密，2005年12期

[2]唐朝京張權張森強:有組織的網絡攻擊行為結果的建模[J].信息與電子工程，2003年2期

第5篇：網絡安全內網管理范文

關鍵詞：邊界防護；安全域劃分；入侵檢測；等級保護

中圖分類號： TM247 文獻標識碼： A 文章編號：

0 引言

隨著電網公司SG186工程的實施和信息化建設的逐步推進，重要應用系統已集中部署到省公司，市級電力企業將主要負責數據采集和網絡實時傳輸工作，信息網絡的安全穩定性將直接影響信息系統的安全、可靠。電力企業通過網絡分區分域、邊界防護、規范安全配置及部署網絡監測防護等手段，建立信息網絡安全防護體系，提高了信息安全運行水平。

1 企業信息網分區分域

1.1 信息網絡分區

電力企業信息網絡分為信息外網區和信息內網區。結合資金、通道資源等因素考慮，省、地、縣信息廣域骨干網將做內外網邏輯隔離，全部骨干網節點上投運具備MPLS-VPN功能的高端路由器設備，信息外網以信息內網為承載網，開通MPLS-VPN通道到各地、縣本地網接入點，地、縣本地局域網以物理隔離方式分別組建信息內網和信息外網實現內外網隔離。

1.2 安全域建設

網絡安全的基本策略是進行安全區域劃分，根據信息業務安全等級差異可劃分不同安全等級的區域，實現對安全風險的有效隔離。市級電力企業主要的營銷管理系統、生產管理系統、協同辦公系統等已全部集中部署在省公司，因此在市公司中，系統均為二級系統。根據網絡安全域與網絡功能區相匹配的原則，信息內網安全域可劃分為系統服務器域和內網終端域兩個，并通過防火墻實現安全風險隔離。信息外網因沒有對外業務應用系統，全部為外網終端，因此外網只有外網終端域。信息內網網絡示意圖如圖1所示:

圖1 信息內網網絡示意圖

2 網絡邊界防護

邊界防護是指網絡區域間和區域內所有網絡流量必須在明確的策略允許下進行傳輸，數據流進行嚴格的控制，包括數據流的源和目的地址，控制精度達到端口級，默認拒絕所有不確定的數據流。邊界的隔離防護功能可以從物理上實現，也可在網絡層和系統層實現。市級電力企業信息內外網實現物理隔離方式，信息內網不存在第三方邊界，信息內網的網絡邊界根據區域網絡數據流向劃分為縱向邊界、橫向邊界和終端接入邊界。劃分示意圖如圖2所示。

圖2 邊界劃分示意圖

2.1 縱向邊界防護

市級信息網絡縱向邊界分為上聯省公司邊界和下聯縣級公司邊界兩部分，邊界劃分和隔離方式基本相同，采用BGP協議劃分不同的自治系統域網絡邊界，以口字形方式雙機冗余連接，部署防火墻做網絡邊界隔離，通過防火墻的訪問控制策略實現數據流的縱向訪問控制防護。

2.2 橫向邊界防護

市級信息網絡橫向邊界分為安全域間邊界防護和網段間防護。安全域邊界防護采用防火墻作邊界安全策略配置，實現服務器域和內網終端域間的安全訪問控制；網段間防護包括服務器網段VLAN劃分和內網終端域網段VLAN劃分，通過在網絡設備層上配置詳細的VLAN訪問控制策略實現網段間的邊界防護。

2.3 終端接入邊界防護

終端接入邊界防護主要是計算機終端和接入層交換機的安全接入控制，包括設備接入許可控制和外聯阻斷。設備接入控制采用網絡層的IP-MAC地址綁定功能做接入許可控制，并在網絡設備端作端口訪問控制策略；外聯阻斷控制是部署終端管理系統實時對設備外聯進行檢測，如有連接外網可主動發起阻斷操作并告警，通過應用系統層做邊界接入防護。

3 規范網絡安全配置

網絡安全威脅是實際存在的，網絡本身的安全性配置是網絡系統的安全基礎，可最大程度地降低網絡層的攻擊威脅。如何正確有效地啟用各類網絡安全配置是網絡日常維護深入的重點。網絡設備安全配置總體包括網絡服務、網絡協議和網絡訪問控制三方面。以cisco網絡設備為例，列舉以下安全配置：

4 網絡安全監測防護

4.1 網絡管理系統

網管系統可對網絡設備進行遠程管理和狀態監控，實現對網絡內所有網絡設備的告警監測和故障定位，使用運行管理功能能提供網絡故障預警、故障定位。同時能確定網絡設備CPU、內存的負荷、站點的可到達性、網絡鏈路流量、傳輸速率、帶寬利用率、時延、丟包等。并發現系統的物理連接和系統配置的問題，進而優化網絡性能、提高網絡運行效益。是網絡管理員管理網絡的重要手段。

4.2 入侵檢測系統

人侵檢測系統能提供安全審計、監視、攻擊識別和防攻擊等多項功能；具有事前警告、事中防護和事后取證等特點；可以監視用戶和系統的運行狀態，查找非法用戶和合法用戶的越權操作；檢測系統配置的正確性和安全漏洞，并提示管理員修補漏洞。通過入侵檢測系統，管理員能實時檢測到用戶網絡受攻擊行為，并即時采取應急措施。

4.3 漏洞掃描系統

漏洞掃描系統將網絡、主機和桌面終端的系統配置信息進行漏洞規則匹配分析，能即時檢測到網絡上各設備的系統漏洞，發現系統隱患及脆弱點，能通過補丁更新系統更新。

4.4 日志審計系統

日志審計系統能將網絡設備、防火墻設備、入侵檢測及主機系統的日志數據進行采集、分析和識別，對各類事件歸類匯總分析，實時定位網絡安全事件的準確性，并進行報警響應。

4.5 防病毒系統

計算機病毒是造成網絡大規模癱瘓的重要原因，通過防病毒系統對病毒感染傳播的遏制，是網絡安全的重要防護手段。終端防病毒軟件安裝率是電力企業信息安全考核的重要指標。

第6篇：網絡安全內網管理范文

最近，國內某造船廠發生了一起有驚無險的網絡安全事件。由于該造船廠的計算機系統內儲存有大量的重要設計數據，某一天，系統突然報警，顯示某個電腦終端正在非法拷貝這些重要文件數據，而網管人員通過內網審計系統的跟蹤，立刻鎖定了拷貝文件的電腦和登陸系統的用戶名，從而在重要文件還沒被外傳之前，及時制止了該行為，避免了無謂的經濟損失。

事實上，類似的內網安全事件在很多企業都有發生，但由于內網安全的完善程度不同，并非每個企業都能避免損失發生。有調查顯示，超過85.0％的安全威脅來自企業內部，其中16.0％來自企業內部未經授權的非法訪問，40.0％來自電子文件的泄露，由此可見，內網安全問題已是企業網絡安全建設的重頭戲。

為了確保網絡安全，防火墻、殺毒軟件、IPS等產品早已成為企業用戶的普遍部署，但是，這些主要針對外網的安全防護在面對內網安全威脅時，往往形同虛設，因為“內憂”勝于“外患”，企業不僅需要堅固的邊界安全，更需要穩定的內網安全。

那么，目前企業CIO們對于內網安全的認識是否到位，他們在內網安全部署方面處于何種程度，還存在哪些有待完善之處，內網安全在產品技術上又存在哪些發展趨勢。

為此，《中國計算機用戶》雜志社實施了為期一個月的用戶調查，以期通過用戶反饋呈現內網安全的現狀及趨勢。

過半企業重視內網安全

網絡安全威脅層出不窮，網絡安全問題無處不在，但是，事情總有輕重緩急之分，哪個領域的安全問題是企業用戶當前首需解決的呢?調查反饋顯示，“內網安全”以54.9％的比例占據第一位置，其次，25.7％的用戶選擇外網安全，10.6％的用戶選擇了終端安全，8.8％的用戶選擇了Web安全。

顯然，企業網絡安全建設行進之今，過半用戶已經將“內網安全”設定為首需解決的問題。同時，這也表明用戶對于內網安全重要性的認識已經達到相當程度。

北京互聯通網絡科技有限公司產品項目部顧問黃毅就明確表示，內網的安全管理，很多時候比外網安全管理更加重要，因為企業的機密信息泄漏、業務系統被如侵等，往往就是透過內部的非授權訪問和木馬泛濫導致的，所以，保障內網安全勢在必行。

作為內網安全建設領域的專家，北京鼎普科技股份有限公司戰略市場部經理萬俊告訴記者，一直以來，企業安全防御的理念更多局限在常規的網管級別(防火墻等)、網絡邊界(漏洞掃描、安全審計、防病毒、IDS)等方面，主要的安全設施大多集中于機房、網絡入口處。應該說，在這些安全設備的嚴密監控下，來自網絡外部的安全威脅得到顯著緩解。

然而，隨著企業信息化的不斷深入，來自網絡內部的安全威脅開始逐步凸顯出來，網絡的內部安全問題大于外部問題漸漸成為業界共識。

對此，我們可以從企業用戶當前對于安全細節問題的關注度得到印證。在“哪些安全細節問題是貴公司當前比較重視的”這一問題中，83.2％的用戶選擇了病毒查殺，69.0％的用戶選擇了數據庫安全，46.9％的用戶選擇了網絡設備安全，31.9％的用戶選擇了補丁升級管理，31.0％的用戶選擇了網站運維安全，27.4％的用戶選擇了身份認證，22.1％的用戶選擇了信息加密。

可以看出，不論是常見的病毒查殺，還是身份認證或信息加密，用戶對此都持有相當的關注。

“提高意識管理到位”是首要

為什么需要管理內網安全，我們從企業員工的日常小事即可明白。如今，很多員工在上班閑暇時，偶爾聊聊QQ或MSN，要不上開心網玩“偷菜”或觀看在線電影，要不干脆打開BT電驢等下載軟件下載大容量文件。這些在大小企業中普遍存在的現象不僅影響了員工的工作效率，而且還會占用企業網絡流量，從而影響其他正常業務的開展。

事實當然不僅如此，根據本次調查反饋，70.8％的企業存在“員工隨便登陸MSN、QQ、BT等內容”，37.2％的企業存在“經常有人改動IP地址從而造成沖突”，62.8％的企業存在“經常出現某臺電腦沒有打補丁或補丁不全”，31.0％的企業存在“經常受到非法入侵”，48.7％的企業存在“不能完全限制內網的設備與重要信息的保管”。

可以看出，近七成左右的企業存在“員工隨便登陸MSN、QQ、BT等內容”和“經常出現某臺電腦沒有打補丁或補丁不全”的現象，另外三項困擾也有近五成企業有所遭遇。

另外，根據調查反饋，目前企業網絡主要遭遇的安全威脅中，76.1％的用戶選擇木馬病毒，14.2％的用戶選擇蠕蟲，8.8％的用戶選擇電子郵件攻擊，0.9％的用戶選擇網絡釣魚／欺騙。可見，木馬泛濫的確到了人人喊打的地步。

需要指出的是，木馬病毒除了可以跟隨Web應用從外網進入內網之外，還有一個重要的傳播渠道，即通過移動U盤直接在內網終端上蔓延開來。

對此，在諸多安全廠商的內網安全產品中，都或多或少存在防止移動終端傳播病毒的功能。比如鼎普科技的安全U盤系統，它是通過智能判斷和權限訪問控制技術，使數據信息在U盤上實現存取控制，同時也具備對U盤進行身份認證、敏感信息外帶時防止非授權訪問和病毒竊取等功能。目前，金融、電信等行業用戶大多應用了類似系統以杜絕終端隱患。

拋開行業特殊性，拋開單一內網安全產品或功能，目前企業用戶針對網絡安全的部署現狀如何呢。根據調查反饋，96.5％的用戶選擇了殺毒軟件，78.8％的用戶選擇了防火墻，24.8％的用戶選擇了VPN(安全傳輸)，20.4％的用戶選擇了身份認證系統，27.4％的用戶選擇了內網安全管理，8.8％的用戶選擇了IDS／IPS。

很明顯，雖然近八成企業都部署了殺毒軟件和防火墻，但這正好說明企業在網絡安全建設過程中，外網安全是優先經歷的階段，而接下來的重點則在內網安全。

那么，內網安全建設應該從何處下手呢，首先，我們可以從“企業網絡中發生安全事件的原因通常包括有哪些”這一問題的調查結果看，有48.7％的用戶選擇“網絡或軟件配置錯誤”，28.3％的用戶選擇“管理員弱口令”，62.8％的用戶選擇“系統漏洞”，74.3％的用戶選擇“員工安全意識淡薄、管理不到位”，15.0％的用戶選擇“DDoS攻擊”。

顯然，“員工安全意識淡薄、管理不到位”是企業發生網絡安全事件的最普遍原因，這與很多企業CIO的看法也是一致。

山西省大同市陽高縣畜牧服務中心飼料牧草管理站站長杭軍表示，影響內網安全管理的因素很多，其中，用戶

的認識水平、重視程度及使用習慣，尤其是普通用戶的安全意識和相關管理人員的管理水平，尤為重要。

同樣，在吉林吉恩鎳業股份有限公司信息中心主任周軍利看來，保障內網安全，首先需要制訂科學完善的內網安全管理制度，從制度上規范員工的上網行為，其次要加大制度的執行和考核力度，讓員工自覺地樹立信息安全意識，最后就是使用先進的內網安全管理產品，從技術上保障內網的安全。

從“偏安全”到“偏管理”

從技術角度講，內網安全包含的內容其實很多，比如如何發現客戶端設備的系統漏洞并自動分發補丁，如何防范移動存儲設備隨意介入內網、如何防范內網設備非法外聯，如何點對點控制異常客戶端的運行，如何防范內部信息泄露等。

換句話說，與防范外網安全主要集中于邊界部署不同，保障內網安全需要涉及的環節較多，相應的產品部署也相對更加多樣。比如有的側重內網終端防護，有的側重流量和上網行為控制，有的側重監控審計，有的側重身份認證或信息加密等。

萬俊介紹，過去幾年，人們對于內網安全的管理主要偏向于防止信息泄密，因此，嚴格控制電腦終端的外設及各類端口成為各大廠商產品方案的重點訴求。

然而，隨著網絡安全形勢的不斷演變，企業用戶開始不僅滿足于對電腦終端的監控，而是希望從管理的角度對內網安全進行防護。比如本文開頭所說的那家造船廠，通過內網審計系統鎖定非法操作，再比如統計網絡流量、補丁分發以及系統軟硬件的升級管理等。

這在本次調查也有所反映。“在內網安全管理方面，貴公司期望在哪個部分得到加強”，有51.3％的用戶選擇了“監控審計”，26.5％的用戶選擇了“桌面管理”，14.2％的用戶選擇了“文檔加密”，8.0％的用戶選擇了“磁盤加密”。

事實上，為了滿足用戶需求，廠商的產品策略上也在隨之跟進。“當然，我們在產品策略上也從最初單純的監控審計，到現在把監控審計和管理相結合，走向偏重管理的方向。”萬俊表示，“畢竟，內網安全的重心已經從偏重安全轉移到偏重管理，內網的概念已不僅集中在這塊，許多非企業、非業務也開始從管理的角度落實內網安全。”

在實踐應用中，偏重管理就是要求企業在運用內網功能的時候，不是為了在事后進行補救，而是一方面可以做到預防危險的發生，另一方面把公司一些理念、文化都能在計算機內網監控中得到體現。

比如鼎普科技最新研發的“獵隼”網絡信息監測系統，這個系統通過對所有網絡的內容進行解析，能夠及時阻止內部的計算機通過互聯網發生的敏感信息泄露，快速定位追查源頭，防止違規事件發生。它還能對整個網絡及計算機用戶上網行為、網絡流量進行監控，幫助網絡高效、穩定、安全的運行，為信息化建設及管理提供有效的技術支撐。

打造立體防御體系

“未來一年，貴公司是否制定了進一步加強內網安全管理的計劃”，結果顯示，41.6％的企業表示有，32.7％的用戶表示暫時沒有，25.7％的用戶表示不確定。可見，有四成多的用戶打算加強內網安全部署。

不過，涉及內網安全的因素非常多，產品形式也比較多樣，在哪些環節如何部署就顯得非常重要。

總體而言，內網安全集中關注的對象包括引起信息安全威脅的內網用戶、應用環境、應用環境邊界和內網通信安全。

因此，如何在企業內網構建一個有機統一的安全控制系統，實現立體式實時監管，才是實施內網安全部署的關鍵所在。

在萬俊看來，保障內網安全不能僅靠各種功用安全產品的堆疊，而需要由單純的安全產品部署上升到如何實現可信、可控的立體防護體系。比如通過四級可信認證機制，則可以讓系統既突出安全性，又注重管理性。

第一級認證：基于硬件級別的安全防護和訪問控制。在最底層實現對計算機終端進行物理安全加固，例如使用鼎普計算機安全防護卡從BIOS級實現登錄認證和全盤數據保護，一方面可以杜絕非法用戶從光盤啟動繞過軟件防護竊取數據，同時還可令用戶不能隨意安裝操作系統、卸載已安裝的軟件系統改變現有安全環境。

第二級認證：基于操作系統的身份認證和文件保護。采用基于USB-KEY的雙因素認證技術實現操作系統登錄的可信可控，即在計算機硬件啟動之后，可以限制用戶權限，如是否可以進一步登錄操作系統，以及可以進行何種權限的文件操作，文件如何安全存放以及安全刪除。

第三級認證：實現對程序安裝運行的授權控制。對應用程序進行黑白名單控制，只有經過管理員簽名授權的程序才能在單機終端上運行使用，進一步規范終端用戶的軟件程序使用行為，可以最大程度防止程序的隨意安裝使用帶來的病毒、木馬的傳播。

第四級認證：實現可信計算機接入內網的認證管理。網絡邊界的安全可控是內網安全的基本問題，通過基于802.1X認證協議的可信終端認證子系統，實現網絡的安全接入――只有經過授權許可的可信、可控、健康計算機才能接入到內網，并對人終端的運行、健康狀態進行實時監控，通過創新的技術理念打造出一個信得過、進得來、控得住的健康可信內部網絡。如果不健康，防護系統會采取進一步措施，如報警、斷阿等。

在建立以上四級可信認證機制的縱深防御體系基礎上，企業用戶還要實現身份鑒別、介質管理，數據保護、安全審計、實時監控等防護要求，如此才能達到扎實有效的安全效果。

用戶聲音

對于完善企業內網安全管理，您認為哪些因素比較重要?

吉林吉恩鎳業股份有限公司信息中心主任　周軍利

首先要制訂科學完善的內網安全管理制度，從制度上有所保障；要加大制度的執行和考核力度，要讓員工自覺樹立信息安全意識；要有先進的內網安全管理軟件，從技術上保障內網安全。

中國石化管道儲運公司技術作業分公司科研所高級工程師楊家琳

1、規范內網用戶上網行為；2、堵塞系統漏洞；3、加強防范措施(網絡監控和預警、防病毒、木馬與非法入侵)

山東省泰安市國家稅務局　胡志京

1、提高全員對信息安全的防護意識，建章立制，落實制度，規范操作；2、提高領導層的高度重視意識，每年要有一定投入，進行一些安全設備和殺毒軟件的更新換代，以保證將病毒、不安全隱惠消滅在萌芽狀態。3、加強日常管理，抓好制度落實，做到勤檢查，常督促，把網絡信息安全工作落到實處。

第7篇：網絡安全內網管理范文

IM和P2P淪為黑客攻擊管道

從終端來看，垃圾郵件，蠕蟲病毒，間諜軟件，針對即時通訊和P2P應用安全事件正成為終端安全隱患的主要來源。

FaceTime通訊公司最新的調查報告說，微軟的MSN網絡仍然是被攻擊得最多的即時通訊網絡，2004年和2005年都是如此，而被攻擊數量下降得最快的網絡是美國在線的AIM 網絡。即時通訊威脅對于企業的IT人員來說是一種非常大的挑戰，因為它們利用了實時通訊的管道以及全球各地的即時通訊網絡進行繁殖，它們的傳播速度比電子郵件攻擊快很多。

根據披露，2005年11月有一個國際黑客組織已經利用即時通訊軟件病毒控制了1.7萬臺個人電腦組成僵尸網絡為商業目的攻擊行為做準備。

我們也已知道，即時消息和P2P 應用在帶來方便性、實時性、新業務商機的同時，也給最終用戶、企業網絡和電信網絡帶來多方位的安全威脅。通常來說，這些安全威脅包括：邊界安全措施失效；難以控制文件數據的共享和流動，帶來病毒、木馬、蠕蟲等；容易導致知識產權損失、泄密等；由于大量使用非標準、不公開協議，使用動態、隨即、非固定的端口；難以檢測、過濾和管理；隱藏于HTTP管道中的各種潛在的隱秘通道。

我們也可以看到在復雜的網絡環境下一些有代表性的P2P網絡安全產品，提供基于包過濾特性提供針對P2P傳輸的防護，在保障安全的同時還可阻止并記錄國際上幾乎所有的P2P封殺機構(如RIAA、MPAA、MediaForce、BaySTP、NetPD等等)對計算機進行探測連接，從而避免隱私外泄，可以自動下載最新的屏蔽列表來屏蔽各種廣告、間諜軟件及研究機構對機器的掃描。

目前業界一些致力于IM/P2P的專業廠商也推出了針對保護用戶免受IM與P2P的安全威脅，將檢測和分析通過IM傳播的病毒與蠕蟲、通過IM發送的垃圾郵件“SPIM”、惡意代碼等的整體方案。

針對IM的安全管理，比如IM監控，P2P的監控等，正在成為網關級防御，針對IM和P2P，垃圾郵件監控、管理和控制等等需求和話題正在不斷催生出相關應用的針對性安全解決方案。

UTM：潮流趨勢所至

在企業級領域，由于信息基礎設施的不斷增加和應用的不斷擴展，企業公共出口的網絡安全基礎設施的布局已經發展到一定階段，隨著縱深防御概念逐漸深入，威脅已經從外部轉向內部。從產品來看，UTM（一體化的威脅管理）正在成為新的增長點。在混合攻擊肆虐的時代，單一功能的防火墻遠不能滿足業務的需要，而對于集成多種安全功能的UTM設備來說，以其基于應用協議層防御、超低誤報率檢測、高可靠高性能平臺、統一組件化管理的優勢將得到越來越多的青睞。

由于UTM設備是串聯接入的安全設備，因此UTM設備本身的性能和可靠性要求非常高，同時，UTM時代的產品形態，實際上是結合了原有的多種產品、技術精華，在統一的產品管理平臺下，集成防火墻、VPN、網關防病毒、IPS、防拒絕服務攻擊等眾多產品功能于一體，實現多種的防御功能。

鑒此，安全廠商與網絡廠商合作，共同開發和研制UTM設備將是今后發展的必然趨勢。

威脅由外轉內

對于內網安全，已經進入到內網合規性管理的階段。目前，內網安全的需求有兩大趨勢，一是終端的合規性管理，即終端安全策略、文件策略和系統補丁的統一管理；二是內網的業務行為審計，即從傳統的安全審計或網絡審計，向對業務行為審計的發展，這兩個方面都是非常重要的。

從現狀來看，根據美國洋基集團（Yankee Group）一項針對北美和西歐六百家公司的調查顯示，2005年的安全問題有六成源自內部，高于前一年的四成。該集團表示：“威脅已從外部轉向內部”。每年企業界動輒投資上千萬防毒防黑，但企業防御失效的另一個容易被忽略的問題是：來自員工、廠商或其它合法使用系統者的內部濫用。在漏洞攻擊愈來愈快速的今日，有可能因為一個訪客攜入的計算機而癱瘓幾千萬IT設備。

中小企業面臨的三大安全威脅是病毒攻擊、垃圾郵件、網絡攻擊，因而有很多廠商推出了針對中小企業的集成式套裝產品。對內網終端設備的管理，通過基于網絡的控制臺使管理員能夠從產品分發、運行監控、組件升級、配置修改、統一殺毒、應急響應等全過程，實施集中式的管理，強制部署的安全策略，有助于避免企業用戶無心過錯導致的安全漏洞。而新型病毒與黑客技術結合得越來越緊密，與此相對應，防病毒軟件與防火墻、IDS等技術配合得越來越緊密。只有多種技術相互補充配合，才可以有效對付混合威脅。

大型企業有一定的信息化基礎，對于內網安全來說，企業用戶需要實施整體的安全管理策略。 內網安全管理系統需要將安全網管、內網審計與內網監控有機地結合在一起，以解決企業內部專用網絡的安全管理、安全控制和行為監視為目標，采用主動的安全管理和安全控制的方式。將內部網絡的安全隱患以技術的手段進行有效的控制，全面保護網絡、系統、應用和數據。運用多種技術手段，從源頭上阻止了敏感信息泄漏事件的發生。

對于大型企業來說，選用的產品需要能夠自動發現關鍵業務資產，并確定威脅企業IT環境完整性的安全漏洞。通過采集實時的技術庫，并且將它們與基于風險的任務列表（帶有補救指導）中已驗證的漏洞相關聯，并且幫助企業確定哪些漏洞將影響哪些資產。最終為企業提供一份即時的關于關鍵性業務資產的風險評估。對于企業內網來說，行之有效的安全管理是各種規模企業所企盼的，固若金湯的城池，往往在內部安全威脅面前形同虛設。“內憂”勝于“外患”，企業不僅需要鑄造抵抗外部風險的縱深防御體系，同樣需要著重管理，打造安全和諧的內部環境。

第8篇：網絡安全內網管理范文

關鍵詞：校園網；網絡安全；防范措施；防火墻；VLAN技術

校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件，將校園內

計算機和各種終端設備有機地集成在一起，用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然和惡意等因素而遭到破壞、更改、泄密，保障校園網的正常運行。隨著“校校通”工程的深入實施，學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患，建立一套切實可行的校園網絡防范措施，已成為校園網絡建設中面臨和亟待解決的重要問題。

一、校園網絡安全現狀分析

（一）網絡安全設施配備不夠

學校在建立自己的內網時，由于意識薄弱與經費投入不足等方面的原因，比如將原有的單機互聯，使用原有的網絡設施；校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷；機房設計不合理，溫度、濕度不適應以及無抗靜電、抗磁干擾等設施；網絡安全方面的投入嚴重不足，沒有系統的網絡安全設施配備等等；以上情況都使得校園網絡基本處在一個開放的狀態，沒有有效的安全預警手段和防范措施。

（二）學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善

學校師生對網絡安全知識甚少，安全意識淡薄，U盤、移動硬盤、手機等存貯介質隨意使用；學校網絡管理人員缺乏必要的專業知識，不能安全地配置和管理網絡；學校機房的登記管理制度不健全，允許不應進入的人進入機房；學校師生上網身份無法唯一識別，不能有效的規范和約束師生的非法訪問行為；缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統，使學校的網絡管理混亂；缺乏校園師生上網的有效監控和日志；計算機安裝還原卡或使用還原軟件，關機后啟動即恢復到初始狀態，這些導致校園網形成很大的安全漏洞。

（三）學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”

大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品，加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作，在網絡上運行時，這些網絡系統和接口都相應增加網絡的不安全因素。

（四）計算機病毒、網絡病毒泛濫，造成網絡性能急劇下降，重要數據丟失

網絡病毒是指病毒突破網絡的安全性，傳播到網絡服務器，進而在整個網絡上感染，危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況，遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用，使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序，它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的，一旦學校網絡中的一臺電腦感染上病毒，就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡，只要網絡中有幾臺電腦中毒，就會堵塞出口，導致網絡的“拒絕服務”，嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論，列出了下個世紀的國際恐怖活動將采用五種新式武器和手段，計算機病毒名列第二，這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出，網絡病毒的防范任務越來越嚴峻。

綜上所述，學校校園網絡的安全形勢非常嚴峻，在這種情況下，學校如何能夠保證網絡的安全運行，同時又能提供豐富的網絡資源，保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題，文章提出以下校園網絡安全防范措施。

二、校園網絡的主要防范措施

（一）服務器

學校在建校園網絡之時配置一臺服務器，它是校園網和互聯網之間的中介，在服務器上執行服務的軟件應用程序，對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器，服務器會檢查用戶的訪問請求是否符合規定，才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣，既保護內網資源不被外部非授權用戶非法訪問或破壞，也可以阻止內部用戶對外部不良資源的濫用，外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息，整個校園網絡只有服務器是可見的，從而大大增強了校園網絡的安全性。

（二）防火墻

防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品，是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合，通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理，在網絡間建立一個安全網關，對網絡數據進行過濾（允許/拒絕），控制數據包的進出，封堵某些禁止行為，提供網絡使用狀況（網絡數據的實時/事后分析及處理，網絡數據流動情況的監控分析，通過日志分析，獲取時間、地址、協議和流量，網絡是否受到監視和攻擊），對網絡攻擊行為進行檢測和告警等等，最大限度地防止惡意或非法訪問存取，有效的阻止破壞者對計算機系統的破壞，可以最大限度地保證校園網應用服務系統的安全工作。

（三）防治網絡病毒

校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系，建立一整套網絡軟件及硬件的維護制度，定期對各工作站進行維護，對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作，學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段，在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版，對病毒進行定時的掃描檢測及漏洞修復，定時升級文件并查毒殺毒，使整個校園網絡有防病毒能力。

（四）口令加密和訪問控制

校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證，加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護，賦予用戶一定的訪問存取權限、口令字等安全保密措施，用戶只能在其權限內進行操作，合理設置網絡共享文件，對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施，建立嚴格的網絡安全日志和審查系統，建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等，定時對其進行審查分析，及時發現和解決網絡中發生的安全事故，有效地保護網絡安全。

（五）VLAN(虛擬局域網)技術

VLAN(虛擬局域網)技術，是指在交換局域網的基礎上，采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中，將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里，防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接，網絡管理員借助VLAN技術管理整個網絡，通過設置命令，對每個子網進行單獨管理，根據特定需要隔離故障，阻止非法用戶非法訪問，防止網絡病毒、木馬程序，從而在整個網絡環境下，計算機能安全運行。

（六）系統備份和數據備份

雖然有各種防范手段，但仍會有突發事件給網絡系統帶來不可預知的災難，對網絡系統軟件應該有專人管理，定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作，并建立網絡資源表和網絡設備檔案，對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。

（七）入侵檢測系統（IntrusionDetectionSystem，IDS）

IDS是一種網絡安全系統，是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時，IDS能檢測和發現入侵行為并報警，通知網絡采取措施響應。即使被入侵攻擊，IDS收集入侵攻擊的相關信息，記錄事件，自動阻斷通信連接，重置路由器、防火墻，同時及時發現并提出解決方案，列出可參考的網絡和系統中易被黑客利用的薄弱環節，增強系統的防范能力，避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵，大大提高了網絡的安全性。

（八）增強網絡安全意識、健全學校統一規范管理制度

根據學校實際情況，對師生進行網絡安全防范意識教育，使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度（網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等）。安排專人負責校園網絡的安全保護管理工作，對學校專業技術人員定期進行安全教育和培訓，提高工作人員的網絡安全的警惕性和自覺性，并安排專業技術人員定期對校園網進行維護。

三、結論

校園網的安全問題是一個較為復雜的系統工程，長期以來，從病毒、黑客與防范措施的發展來看，總是“道高一尺，魔高一丈”，沒有絕對安全的網絡系統，只有通過綜合運用多項措施，加強管理，建立一套真正適合校園網絡的安全體系，提高校園網絡的安全防范能力。

參考文獻：

1、王文壽,王珂.網管員必備寶典――網絡安全[M].清華大學出版社,2006.

2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.

3、劉清山.網絡安全措施[M].電子工業出版社,2000.

4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.

5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).

6、李衛.計算機網絡安全與管理[M].清華大學出版社,2004.

7、孟曉明.網絡信息的安全問題與安全防護策略研究[J].情報雜志,2004(3).

第9篇：網絡安全內網管理范文

關鍵詞：準入控制；802.1x；協議；Radius

內網接入管理是近年來國內外很多企業對內部網絡安全提出的一項技術需求。它要求內網中計算機接入能得到控制。未經授權的計算機禁止接入內網，從而確保內部網絡的安全性。內網準入控制技術的目標是：通過對內網準入技術的分析，實現未注冊內網終端的阻斷功能，同時，只有完全符合安全標準的計算機才能接入受保護網絡。

一、早期的內網準入控制技術

早期局域網一般由不可網管交換機或Hub組建而成。針對這種局域網，國內安全廠商很多都是通過ARP欺騙的方式實現這一功能，實現原理如下。

1.用戶計算機安裝準入控制客戶端，客戶端檢測用戶計算機是否達到接入要求。

2.準入控制服務器對所在網段使用ARP掃描功能，在很短時間內（2-3s）獲得新接入的計算機的IP地址和MAC地址。

3.通過準入控制服務器對未注冊用戶計算機實施ARP欺騙，發送IP地址已占用的信息，并發送錯誤的網關地址。利用Windows操作系統本身機制，未注冊客戶端會發現自己的IP地址在網絡中已經存在，并認為自己的IP地址甚至錯誤，系統會在未注冊計算機上提示IP地址設置錯誤。

早期的內網接入控制技術存在一些缺點。例如會在網絡中生成大量的ARP數據包，影響整體網絡性能；ARP欺騙的方式也會造成用戶側計算機ARP防火墻軟件的產生報警信息。

二、當前三種可行的準入控制方案

目前針對大型園區網絡可行的準入方案主要有三種。

第一通過軟件準入網關實現未注冊阻斷功能。

第二通過硬件準入網關實現未注冊阻斷功能。

第三與支持802.1x協議的交換機設備聯動，在接入層實現未注冊終端阻斷功能。

1.軟件準入網關

軟件準入網關發現自己“轄區”內有未注冊計算機時，不為其分配IP地址，或者拒絕其數據包，對已注冊計算機一律放行。

軟件準入網關的一般結構如圖1所示。

軟件準入網關的原理和下面將要介紹的硬件準入網關原理基本一致，但是適用環境較為單一。軟件準入網關一般使用WinPcap網絡驅動開發，客戶端超過100后，系統性能會急劇下降，應用環境受到很大限制。

2.硬件準入網關

硬件準入網關比軟件準入網關性能高，很多園區網采用這種控制方式。硬件準入網關的部署方式類似于軟件準入網關，由終端管理服務器將內網客戶機狀態發送給硬件網關，再由硬件網關判斷并執行阻斷或URL重定向。以某知名廠商為例，終端管理服務器和準入網關之間通信的數據格式如圖2和表1所示。

準入網關和終端管理服務器之間采用應答握手驗證協議（CHAP），認證采用預共享口令，認證后派生出隨機加密密鑰對內容進行加密。

用準入網關實現準入控制受限于所處網絡的結構，一般部署在安全級別不同的兩個網絡邊界之間。低安全級別的計算機在進入高安全級別的網絡之前，必須經終端管理服務器檢查各項安全策略，之后通知準入網關進行放行、阻斷或重定向操作。

3.基于交換機端口的準入控制

基于交換機端口的準入控制需要使用IEEE 802.1x協議。802.1x協議是一種訪問控制和認證協議。它可以限制未經授權的用戶通過網絡交換機接入端口訪問局域網。在認證通過之前，802.1x只允許EAPoL（基于局域網的擴展認證協議）數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。

802.1x協議運行在OSI模型鏈路層，借用EAP（擴展認證協議），不需要到網絡層，對設備的整體性能要求不高，可以有效降低建網成本，提供良好的擴展性和適應性。802.1x的認證體系結構中采用了"可控端口"和"不可控端口"的邏輯功能，可以實現業務與認證的分離，由RADIUS服務器和交換機利用可控端口共同完成對用戶的認證與控制，業務報文直接承載在正常的二層報文上，通過可控端口進行交換，通過認證之后的數據包是無需封裝的純數據包。802.1x協議可以映射不同的用戶認證等級到不同的VLAN。

為了實現基于802.1x協議的準入控制，需要將準入網關與支持802.1x EAP協議的交換機配合實施，目的是為內網提供高度靈活的用戶接入強制策略。同時，為了保證能夠了解內網終端在網絡接入時的安全狀態以及網絡應用行為，需要在接入內網的終端上安裝和運行準入客戶端軟件（Agent）。

準入控制過程如下：交換機發起EAP認證，Agent在收到EAP認證質詢時，將當前終端安全狀態以及終端身份向交換機報告，交換機在收到Agent的應答以后，將應答信息以Radius協議封裝，發送到終端管理服務器，終端管理服務器按照管理設定的規則檢驗Agent的應答信息。如果終端的身份合法并且安全狀態也符合企業安全策略的要求，終端管理服務器將指示準入網關放行。準入網關同時作為Radius服務器，負責通知交換機將終端放入正常的工作VLAN；如果終端驗證失敗，準入網關就按照管理的設定，通知交換機將終端放入隔離VLAN或直接關閉端口。在隔離VLAN的終端，Agent會自動進行終端安全狀態的修復，在修復完成以后，系統自動將終端重新接入正常工作VLAN。

目前支持的802.1x協議的有Nortel、Alcatel、Cisco、Huawei等主流設備供應商。以Cisco公司的網絡交換機為例，802.1X認證配置如下：

aaa new-model

aaa authentication login default none

aaa authentication dot1x default group radius

dot1x system-auth-control

！

interface FastEthernet0/1

switchport mode access

dot1x port-control auto

！

interface FastEthernet0/2

switchport mode access

dot1x port-control auto

！

radius-server host 192.168.1.100

radius-server key PASSWORD

以上配置中192.168.1.100為準入網關的IP地址。

本文主要介紹了三種可行的內網準入控制技術，其中以基于網絡端口的控制方案最為嚴格，對系統管理水平的要求也最高。通常在園區網管理中，一般采用硬件準入網關與基于端口的準入網關相結合的方式，達到即經濟又高效的管理效果。

參考文獻：

[1]于昇，祝璐.網絡接入控制架構研究綜述[J/OL].信息安全與通信保密，2009（8）：41-43.