導(dǎo)語：如何才能寫好一篇企業(yè)網(wǎng)絡(luò)安全評估，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

1企業(yè)網(wǎng)絡(luò)安全典型現(xiàn)狀分析

隨著信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進(jìn)步，辦公系統(tǒng)、商務(wù)平臺的不斷推出和投入運(yùn)行，信息系統(tǒng)在企業(yè)的運(yùn)營中全面滲透。電信行業(yè)、財(cái)政、稅務(wù)、公安、金融、電力、石油、大中企業(yè)和門戶網(wǎng)站，更是使用數(shù)量較多的服務(wù)器主機(jī)來運(yùn)行關(guān)鍵業(yè)務(wù)。

1.1 企業(yè)管理現(xiàn)狀

隨著網(wǎng)絡(luò)安全威脅日益增多，單純來自于外界的威脅變得有限，更多的、更嚴(yán)重的威脅來自于內(nèi)部，或由內(nèi)外勾結(jié)所產(chǎn)生的破壞。企業(yè)生產(chǎn)數(shù)據(jù)面臨被內(nèi)部人員篡改、刪除、竊取，主機(jī)被關(guān)機(jī)、設(shè)備配置被修改，導(dǎo)致企業(yè)生產(chǎn)停頓、商業(yè)資料泄露，給企業(yè)造成巨大的損失。目前企業(yè)機(jī)構(gòu)的運(yùn)維管理總體上有以下三個(gè)特點(diǎn)：

1、關(guān)鍵的核心業(yè)務(wù)都部署于Unix和Windows服務(wù)器上。

2、應(yīng)用的復(fù)雜度決定了多種角色交叉管理。

3、通過Telnet， SSH， FTP， RDP等方式進(jìn)行遠(yuǎn)程管理。

1.2 企業(yè)管理中存在的問題分析

1、賬號管理工作問題

由于共享帳號是多人共同使用，發(fā)生問題后，無法準(zhǔn)確定位惡意操作或誤操作的責(zé)任人。更改密碼需要通知到每一個(gè)需要使用此帳號的人員，帶來了密碼管理的復(fù)雜化。同時(shí)還造成密碼策略無法有效執(zhí)行；帳號授權(quán)不清晰；訪問控制策略無法嚴(yán)格執(zhí)行的問題。

2、審計(jì)工作問題

審計(jì)問題主要包括：缺乏帳號分配審計(jì)；缺乏用戶使用相應(yīng)帳號的授權(quán)審計(jì)；缺乏用戶登錄登出系統(tǒng)的審計(jì)；缺乏用戶對系統(tǒng)訪問行為審計(jì)這四個(gè)方面。而且，由于各系統(tǒng)的日志記錄能力各不相同，例如對于Unix系統(tǒng)來說，日志記錄就存在以下問題：

（1）Unix系統(tǒng)中，用戶在服務(wù)器上的操作有一個(gè)歷史命令記錄的文件，但是用戶可以隨意更改和刪除自己的記錄；

（2）root用戶不僅僅可以修改自己的歷史記錄，還可以修改他人的歷史記錄，系統(tǒng)本身的歷史記錄文件已經(jīng)變的不可信；

（3）記錄的命令數(shù)量有限制；

（4）無法記錄操作人員、操作時(shí)間、操作結(jié)果等。

綜上所述，企業(yè)現(xiàn)狀迫切要求企業(yè)內(nèi)部規(guī)范管理，通過內(nèi)控堡壘主機(jī)實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)的合理化，安全化，專業(yè)化，規(guī)范化，充分保障企業(yè)資源安全。

2堡壘主機(jī)的作用和功能發(fā)展

2.1 堡壘主機(jī)概述

堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)的安全的目的。堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)，所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)。

2.2 堡壘主機(jī)平臺系統(tǒng)的發(fā)展及解決思路

2.1.1旁路審計(jì)

操作審計(jì)管理主要審計(jì)操作人員的帳號使用（登錄、資源訪問）情況、資源使用情況等。在各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問日志記錄都采用統(tǒng)一的帳號、資源進(jìn)行標(biāo)識后，操作審計(jì)能更好地對帳號的完整使用過程進(jìn)行追蹤。

所謂的旁路審計(jì)可以針對常見的明文協(xié)議，如TELNET/FTP/HTTP等，采用鏡像監(jiān)聽技術(shù)從旁路對協(xié)議報(bào)文進(jìn)行審計(jì)。

它主要存在的問題是無法對密文協(xié)議如：SSH/RDP進(jìn)行旁路審計(jì)以及審計(jì)信息不可讀（實(shí)名、信息量）等。解決思路就是采用審計(jì)雙向備份及審計(jì)查詢檢索技術(shù)等。

2.1.2集中登錄

集中登錄是指先登錄管理作業(yè)服務(wù)器，然后轉(zhuǎn)換身份再對相關(guān)服務(wù)器進(jìn)行維護(hù)。屬于多用戶單帳號管理方式，這種登錄方式的主要問題是：

1.多用戶共享root帳號，權(quán)限劃分不明，所有人員都具有最高的ROOT權(quán)限。 2.無法跟蹤某個(gè)管理員的確切操作。 3.依靠各自服務(wù)器的日志信息，審計(jì)信息不可讀。

解決集中登錄的問題可采用單點(diǎn)登錄或者連續(xù)跳轉(zhuǎn)登錄技術(shù)。

2.1.3身份授權(quán)分離

以前管理員依賴各IT系統(tǒng)上的系統(tǒng)帳號實(shí)線兩部分功能：身份認(rèn)證和系統(tǒng)授權(quán)，但是因?yàn)楣蚕韼ぬ?、弱口令帳號等問題存在，這兩方面實(shí)現(xiàn)都存在漏洞，達(dá)不到預(yù)期的效果。

解決的思路是將身份和授權(quán)分離。在堡壘主機(jī)上建立主帳號體系，用于身份認(rèn)證，原各IT系統(tǒng)上的系統(tǒng)帳號僅用于系統(tǒng)授權(quán)，這樣可以有效增強(qiáng)身份認(rèn)證和系統(tǒng)授權(quán)的可靠性，從本質(zhì)上解決帳號管理混亂問題，為認(rèn)證、授權(quán)、審計(jì)提供可靠的保障。

3基于堡壘主機(jī)的加固解決方案

3.1 極地銀河內(nèi)控堡壘主機(jī)概述

極地銀河內(nèi)控堡壘主機(jī)是一種被加固的可以防御進(jìn)攻的計(jì)算機(jī)，能夠具備很強(qiáng)安全防范功能。極地銀河內(nèi)控堡壘主機(jī)是在整個(gè) Unix/Linux主機(jī)系統(tǒng)的扮演著看門者的工作，所有的請求都要從這扇大門走過，它攔截所有用戶的非法訪問，和惡意攻擊，過濾掉所有對目標(biāo)訪問Unix/Linux設(shè)備的非法行為，對不合法命令進(jìn)行命令阻斷。

極地銀河內(nèi)控堡壘主機(jī)支持多信道通信，用戶只需要在一點(diǎn)便可以登錄到不同的 Unix/Linux設(shè)備上進(jìn)行工作，無需在不同的機(jī)器上分別登錄，大大的節(jié)約了系統(tǒng)管理員的時(shí)間，從而提高了工作效率。

3.2 系統(tǒng)總體技術(shù)功能

3.2.1統(tǒng)一的WEB方式管理

使用極地銀河堡壘主機(jī)，無論管理員還是用戶，都采用同意的WEB方式管理， 用戶登錄堡壘主機(jī)后可以看到所有授權(quán)資源列表，訪問資源時(shí)不用再輸入帳號和密碼，做到真正的單點(diǎn)登錄。系統(tǒng)內(nèi)部提供認(rèn)證服務(wù)器組件，所有對資源的訪問都是認(rèn)證服務(wù)器提供的臨時(shí)會話號，即使會話號被截獲，也無法通過此會話號再次訪問資源，提高資源訪問的安全性。

3.2.2 支持強(qiáng)認(rèn)證和數(shù)字加密功能

系統(tǒng)可以方便的集成各種強(qiáng)認(rèn)證方式，如證書認(rèn)證、智能卡認(rèn)證、短信認(rèn)證甚至人體特征認(rèn)證（指紋、視網(wǎng)膜等）方式。極地銀河內(nèi)控堡壘主機(jī)在處理用戶數(shù)據(jù)時(shí)都采用相應(yīng)的數(shù)據(jù)加密技術(shù)來保護(hù)用戶通信的安全性和數(shù)據(jù)的完整性。防止惡意用戶截獲和篡改數(shù)據(jù)。充分保護(hù)用戶在操作過程中不被惡意破壞。

3.2.3審計(jì)雙向備份技術(shù)

審計(jì)雙向備份指的將用戶的行為審計(jì)信息記錄在本地和發(fā)送到指定的服務(wù)器，進(jìn)行雙向?qū)懭?，使得重要的用戶行為審?jì)信息能夠得到安全的管理，避免丟失數(shù)據(jù)無法查證，提高審計(jì)信息的安全性，管理員自身也可以通過某種技術(shù)手段將這些重要的審計(jì)信息保存或備份到其他的存儲設(shè)備上。定期的歸檔和調(diào)閱。

3.3系統(tǒng)部署

極地銀河內(nèi)控堡壘主機(jī)能夠架設(shè)在企業(yè)內(nèi)部網(wǎng)絡(luò)的 Unix/Linux主機(jī)之上，是一道安全屏障，因此企業(yè)內(nèi)部 Unix/Linux主機(jī)不需要擔(dān)心任何安全問題，可以全身心投入到業(yè)務(wù)處理中。

它在部署過程中不需要任何客戶端或服務(wù)器端引擎；部署不影響現(xiàn)有企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不影響業(yè)務(wù)數(shù)據(jù)流。同時(shí)，堡壘主機(jī)支持了雙機(jī)熱備、支持集中管理分級部署，完全可以實(shí)現(xiàn)快速上線使用。

篇2

關(guān)鍵詞:企業(yè)網(wǎng)端點(diǎn)準(zhǔn)入防御網(wǎng)絡(luò)安全

中圖分類號:文獻(xiàn)標(biāo)識碼:A文章編號:1007-9416(2010)05-0000-00

1 前言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展,網(wǎng)絡(luò)已成為企業(yè)生產(chǎn)經(jīng)營不可缺少的工具。網(wǎng)絡(luò)發(fā)展的初期注重設(shè)備的互通性、鏈路的可靠性,從而達(dá)到信息共享的通暢。經(jīng)過多年的應(yīng)用與發(fā)展,伴隨著我們對網(wǎng)絡(luò)軟硬件技術(shù)認(rèn)識的深入,網(wǎng)絡(luò)安全已經(jīng)超過對網(wǎng)絡(luò)可靠性、交換能力和服務(wù)質(zhì)量的需求,成為企業(yè)網(wǎng)最關(guān)心的問題,網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施也日漸成為企業(yè)網(wǎng)建設(shè)的重中之重。在企業(yè)網(wǎng)中,新的安全威脅不斷涌現(xiàn),病毒和蠕蟲日益肆虐。他們自我繁殖的本性使其對網(wǎng)絡(luò)的破壞程度和范圍持續(xù)擴(kuò)大,經(jīng)常引起系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓,使企業(yè)生產(chǎn)經(jīng)驗(yàn)蒙受嚴(yán)重?fù)p失。在企業(yè)網(wǎng)中,任何一臺終端的安全狀態(tài)(主要是指終端的防病毒能力、補(bǔ)丁級別和系統(tǒng)安全設(shè)置),都將直接影響到整個(gè)網(wǎng)絡(luò)的安全。不符合安全策略的終端(如防病毒庫版本低,補(bǔ)丁未升級)容易遭受攻擊、感染病毒,如果某臺終端感染了病毒,它將不斷在網(wǎng)絡(luò)中試圖尋找下一個(gè)受害者,并使其感染;在一個(gè)沒有安全防護(hù)的網(wǎng)絡(luò)中,最終的結(jié)果可能是全網(wǎng)癱瘓,所有終端都無法正常工作。因此,研究設(shè)計(jì)一個(gè)能夠解決這一危害的防御系統(tǒng)尤為必要。

有鑒于此,通過對目前唐鋼企業(yè)網(wǎng)狀況的調(diào)研及其需求分析,研究設(shè)計(jì)了端點(diǎn)準(zhǔn)入防御系統(tǒng)。端點(diǎn)準(zhǔn)入防御系統(tǒng)在實(shí)際應(yīng)用中切實(shí)可行,以下從其架構(gòu)和組網(wǎng)方法做出分析。

2 端點(diǎn)準(zhǔn)入防御系統(tǒng)架構(gòu)

端點(diǎn)準(zhǔn)入防御系統(tǒng)是整合了孤立的單點(diǎn)防御系統(tǒng),加強(qiáng)對用戶的集中管理,統(tǒng)一實(shí)施企業(yè)網(wǎng)安全策略,提高網(wǎng)絡(luò)終端的主動(dòng)抵抗能力。該系統(tǒng)可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi),防止“危險(xiǎn)”終端對網(wǎng)絡(luò)安全的損害,避免“易感”終端受病毒、蠕蟲的攻擊。其基本功能是通過安全客戶端、安全策略服務(wù)器、安全聯(lián)動(dòng)設(shè)備(如交換機(jī)、路由器)以及第三方服務(wù)器(如防病毒服務(wù)器、補(bǔ)丁服務(wù)器)的聯(lián)動(dòng)實(shí)現(xiàn)的。

2.1安全客戶端

安全客戶端是安裝在用戶終端系統(tǒng)上的軟件,是對用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評估以及安全策略實(shí)施的主體。其主要功能包括:

(1)利用802.1X認(rèn)證協(xié)議通過接入層交換機(jī)實(shí)現(xiàn)對終端進(jìn)行身份驗(yàn)證(用戶名、密碼、IP、MAC、VLAN),從而實(shí)現(xiàn)了端點(diǎn)準(zhǔn)入控制。

(2)檢查用戶終端的安全狀態(tài),包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁等信息;同時(shí)提供與防病毒客戶端聯(lián)動(dòng)的接口,實(shí)現(xiàn)與第三方防病毒客戶端的聯(lián)動(dòng),檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。

(3)安全策略實(shí)施,接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行,包括設(shè)置安全策略(是否監(jiān)控郵件、注冊表、禁止、禁止多網(wǎng)卡)、系統(tǒng)修復(fù)補(bǔ)丁升級、病毒庫升級等功能。不按要求實(shí)施安全策略的用戶終端將被限制在隔離區(qū)。

(4)實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài),包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等,并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器,用于事后進(jìn)行安全審計(jì)。

2.2安全策略服務(wù)器

安全策略服務(wù)器是端點(diǎn)準(zhǔn)入系統(tǒng)的管理與控制中心。集中、統(tǒng)一的安全策略管理和安全事件監(jiān)控。具有用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。

(1)用戶管理。對用戶身份信息、權(quán)限、分組策略等管理。網(wǎng)絡(luò)中,不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個(gè)性化安全配置和網(wǎng)絡(luò)服務(wù)等級,方便管理員對網(wǎng)絡(luò)用戶制定差異化的安全策略。

(2)安全策略管理。安全策略服務(wù)器定義了對用戶終端進(jìn)行準(zhǔn)入控制的一系列策略,包括用戶終端安全狀態(tài)評估配置、補(bǔ)丁檢查項(xiàng)配置、安全策略配置、終端修復(fù)配置以及對終端用戶的隔離方式配置等。(3)安全聯(lián)動(dòng)控制。安全策略服務(wù)器負(fù)責(zé)評估安全客戶端上報(bào)的安全狀態(tài),控制安全聯(lián)動(dòng)設(shè)備對用戶的隔離與開放,下發(fā)用戶終端的修復(fù)方式與安全策略。通過安全策略服務(wù)器的控制,安全客戶端、安全聯(lián)動(dòng)設(shè)備與防病毒服務(wù)器才可以協(xié)同工作,配合完成端到端的安全準(zhǔn)入控制。(4)日志審計(jì)。安全策略服務(wù)器收集由安全客戶端上報(bào)的安全事件,并形成安全日志,可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)的安全狀態(tài) 提供依據(jù)。

2.3安全聯(lián)動(dòng)設(shè)備

安全聯(lián)動(dòng)設(shè)備是網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn),起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。安全聯(lián)動(dòng)設(shè)備采用H3C 3600交換機(jī),利用802.1X協(xié)議認(rèn)證實(shí)現(xiàn)端點(diǎn)準(zhǔn)入控制。安全聯(lián)動(dòng)設(shè)備主要實(shí)現(xiàn)以下功能:

(1)強(qiáng)制網(wǎng)絡(luò)接入終端進(jìn)行身份認(rèn)證和安全狀態(tài)評估。(2)隔離不符合安全策略的用戶終端。聯(lián)動(dòng)設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后,可以通過ACL方式限制用戶的訪問權(quán)限;同樣,收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。(3)提供基于身份的網(wǎng)絡(luò)服務(wù)。安全聯(lián)動(dòng)設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略,為用戶提供個(gè)性化的網(wǎng)絡(luò)服務(wù),如利用H3C 3600交換機(jī)的ACL、VLAN功能可以實(shí)現(xiàn)按不同用戶需求訪問不同的信息資源。

2.4第三方服務(wù)器

系統(tǒng)中隔離區(qū)的資源稱為第三方服務(wù)器。用于終端進(jìn)行自我修復(fù)的防病毒服務(wù)器或補(bǔ)丁服務(wù)器。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫升級服務(wù),允許防病毒客戶端進(jìn)行在線升級;補(bǔ)丁服務(wù)器則提供系統(tǒng)補(bǔ)丁升級服務(wù),當(dāng)用戶終端的系統(tǒng)補(bǔ)丁不能滿足安全要求時(shí),可以通過補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁下載和升級。

3 端點(diǎn)準(zhǔn)入防御系統(tǒng)組網(wǎng)方法

該系統(tǒng)組網(wǎng),不需要對原有主要網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改動(dòng)。需要更改的設(shè)備只有接入層交換機(jī)。接入層交換機(jī)只要能支持802.1X協(xié)議、ACL、VLAN等功能即可。利用這種組網(wǎng)方法對不符合安全策略的用戶隔離嚴(yán)格,可以有效防止來自企業(yè)網(wǎng)絡(luò)內(nèi)部的安全威脅。

4端點(diǎn)準(zhǔn)入防御系統(tǒng)實(shí)施的效果

該系統(tǒng)整合防病毒與網(wǎng)絡(luò)接入控制,大幅提高安全性。確保所有正常接入網(wǎng)絡(luò)的用戶終端符合企業(yè)的防病毒標(biāo)準(zhǔn)和系統(tǒng)補(bǔ)丁安裝策略。不符合安全策略的用戶終端將被隔離到“隔離區(qū)”,只能訪問網(wǎng)絡(luò)管理員指定的資源,直到按要求完成相應(yīng)的升級操作。通過端點(diǎn)準(zhǔn)入防御系統(tǒng)的強(qiáng)制措施,可以保證用戶終端與企業(yè)安全策略的一致,防止其成為網(wǎng)絡(luò)攻擊的對象或“幫兇”。

提高了網(wǎng)絡(luò)安全性的同時(shí),對網(wǎng)絡(luò)有效利用率也有很大的提高。減少了用戶終端故障頻率,提高了工作效率。

5結(jié)語

端點(diǎn)準(zhǔn)入防御系統(tǒng)提供了一個(gè)全新的安全防御體系。將防病毒功能與網(wǎng)絡(luò)接入控制相融合,加強(qiáng)了對用戶終端的集中管理,有效的控制了非法用戶接入唐鋼企業(yè)網(wǎng),提高了網(wǎng)絡(luò)終端的主動(dòng)抵抗能力。該系統(tǒng)通過安全客戶端、安全策略服務(wù)器、接入設(shè)備以及防病毒軟件的聯(lián)動(dòng),可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi),防止“危險(xiǎn)”終端對網(wǎng)絡(luò)安全的損害,避免“易感”終端受病毒、蠕蟲的攻擊,從而大幅度提升了網(wǎng)絡(luò)抵御新興安全威脅的能力。

篇3

關(guān)鍵詞：網(wǎng)絡(luò)安全管理；網(wǎng)絡(luò)安全管理系統(tǒng)；企業(yè)信息安全

中圖分類號：TP271 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2012）33-7915-03

計(jì)算機(jī)網(wǎng)絡(luò)是通過互聯(lián)網(wǎng)服務(wù)來為人們提供各種各樣的功能，如果想保證這些服務(wù)的有效提供，一是需要全面完善計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施和配置；二是需要有可靠完善的保障體系。可靠完善的保障體系是為了能夠保證網(wǎng)絡(luò)中的信息傳輸、信息處理和信息共享等功能能夠安全進(jìn)行。

1　網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)安全問題不但是近些年來網(wǎng)絡(luò)信息安全領(lǐng)域經(jīng)常討論和研究的重要問題，也是現(xiàn)代網(wǎng)絡(luò)信息安全中亟待解決的關(guān)鍵問題。網(wǎng)絡(luò)安全的含義是保證整個(gè)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件和數(shù)據(jù)信息受到有效保護(hù)，不會因?yàn)榫W(wǎng)絡(luò)意外故障的發(fā)生，或者人為惡意攻擊，病毒入侵而受到破壞，導(dǎo)致重要信息的泄露和丟失，甚至造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓。

網(wǎng)絡(luò)安全的本質(zhì)就是網(wǎng)絡(luò)中信息傳輸、共享、使用的安全，網(wǎng)絡(luò)安全研究領(lǐng)域包括網(wǎng)絡(luò)上信息的完整性、可用性、保密性和真實(shí)性等一系列技術(shù)理論。而網(wǎng)絡(luò)安全是集合了互聯(lián)網(wǎng)技術(shù)、計(jì)算機(jī)科學(xué)技術(shù)、通信技術(shù)、信息安全管理技術(shù)、密碼學(xué)、數(shù)理學(xué)等多種技術(shù)于一體的綜合性學(xué)科。

2　網(wǎng)絡(luò)安全技術(shù)介紹

2.1　安全威脅和防護(hù)措施

網(wǎng)絡(luò)安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護(hù)措施就是對這些資源進(jìn)行保護(hù)和控制的相關(guān)策略、機(jī)制和過程。

安全威脅可以分為故意安全威脅和偶然安全威脅兩種，而故意安全威脅又可以分為被動(dòng)安全威脅和主動(dòng)安全威脅。被動(dòng)安全威脅包括對網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行監(jiān)聽、竊聽等，而不對這些數(shù)據(jù)進(jìn)行篡改，主動(dòng)安全威脅則是對網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行故意篡改等行為。

2.2　網(wǎng)絡(luò)安全管理技術(shù)

目前，網(wǎng)絡(luò)安全管理技術(shù)越來越受到人們的重視，而網(wǎng)絡(luò)安全管理系統(tǒng)也逐漸地應(yīng)用到企事業(yè)單位、政府機(jī)關(guān)和高等院校的各種計(jì)算機(jī)網(wǎng)絡(luò)中。隨著網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)的規(guī)模不斷發(fā)展和擴(kuò)大，網(wǎng)絡(luò)安全防范技術(shù)也得到了迅猛發(fā)展，同時(shí)出現(xiàn)了若干問題，例如網(wǎng)絡(luò)安全管理和設(shè)備配置的協(xié)調(diào)問題、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控問題、網(wǎng)絡(luò)安全預(yù)警響應(yīng)問題，以及網(wǎng)絡(luò)中大量數(shù)據(jù)的安全存儲和使用問題等等。

網(wǎng)絡(luò)安全管理在企業(yè)管理中最初是被作為一個(gè)關(guān)鍵的組成部分，從信息安全管理的方向來看，網(wǎng)絡(luò)安全管理涉及到整個(gè)企業(yè)的策略規(guī)劃和流程、保護(hù)數(shù)據(jù)需要的密碼加密、防火墻設(shè)置、授權(quán)訪問、系統(tǒng)認(rèn)證、數(shù)據(jù)傳輸安全和外界攻擊保護(hù)等等。

在實(shí)際應(yīng)用中，網(wǎng)絡(luò)安全管理并不僅僅是一個(gè)軟件系統(tǒng)，它涵蓋了多種內(nèi)容，包括網(wǎng)絡(luò)安全策略管理、網(wǎng)絡(luò)設(shè)備安全管理、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控等多個(gè)方面。

2.3　防火墻技術(shù)

互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術(shù)來防止未授權(quán)的訪問進(jìn)行出入，是一個(gè)控制經(jīng)過防火墻進(jìn)行網(wǎng)絡(luò)活動(dòng)行為和數(shù)據(jù)信息交換的軟件防護(hù)系統(tǒng)，目的是為了保證整個(gè)網(wǎng)絡(luò)系統(tǒng)不受到任何侵犯。

防火墻是根據(jù)企業(yè)的網(wǎng)絡(luò)安全管理策略來控制進(jìn)入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息，而且其具有一定程度的抗外界攻擊能力，所以可以作為企業(yè)不同網(wǎng)絡(luò)之間，或者多個(gè)局域網(wǎng)之間進(jìn)行數(shù)據(jù)信息交換的出入接口。防火墻是保證網(wǎng)絡(luò)信息安全、提供安全服務(wù)的基礎(chǔ)設(shè)施，它不僅是一個(gè)限制器，更是一個(gè)分離器和分析器，能夠有效控制企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)信息交換，從而保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。

將防火墻技術(shù)引入到網(wǎng)絡(luò)安全管理系統(tǒng)之中是因?yàn)閭鹘y(tǒng)的子網(wǎng)系統(tǒng)并不十分安全，很容易將信息暴露給網(wǎng)絡(luò)文件系統(tǒng)和網(wǎng)絡(luò)信息服務(wù)等這類不安全的網(wǎng)絡(luò)服務(wù)，更容易受到網(wǎng)絡(luò)的攻擊和竊聽。目前，互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議，而TCP/IP的制定并沒有考慮到安全因素，防火墻的設(shè)置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題。

2.4　入侵檢測技術(shù)

入侵檢測是一種增強(qiáng)系統(tǒng)安全的有效方法。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動(dòng)。通過對系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進(jìn)行評估，并根據(jù)評價(jià)結(jié)果來判斷行為的正常性，從而幫助系統(tǒng)管理人員采取相應(yīng)的對策措施。入侵檢測可分為：異常檢測、行為檢測、分布式免疫檢測等。

3　企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)設(shè)計(jì)

3.1　系統(tǒng)設(shè)計(jì)目標(biāo)

該文的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)目的是需要克服原有網(wǎng)絡(luò)安全技術(shù)的不足，提出一種通用的、可擴(kuò)展的、模塊化的網(wǎng)絡(luò)安全管理系統(tǒng)，以多層網(wǎng)絡(luò)架構(gòu)的安全防護(hù)方式，將身份認(rèn)證、入侵檢測、訪問控制等一系列網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用到網(wǎng)絡(luò)系統(tǒng)之中，使得這些網(wǎng)絡(luò)安全防護(hù)技術(shù)能夠相互彌補(bǔ)、彼此配合，在統(tǒng)一的控制策略下對網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測和監(jiān)控，從而形成一個(gè)分布式網(wǎng)絡(luò)安全防護(hù)體系，從而有效提高網(wǎng)絡(luò)安全管理系統(tǒng)的功能性、實(shí)用性和開放性。

3.2　系統(tǒng)原理框圖

該文設(shè)計(jì)了一種通用的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)，該系統(tǒng)的原理圖如圖1所示。

3.2.1　系統(tǒng)總體架構(gòu)

網(wǎng)絡(luò)安全管理中心作為整個(gè)企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的核心部分，能夠在同一時(shí)間與多個(gè)網(wǎng)絡(luò)安全終端連接，并通過其對多個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行管理，還能夠提供處理網(wǎng)絡(luò)安全事件、提供網(wǎng)絡(luò)配置探測器、查詢網(wǎng)絡(luò)安全事件，以及在網(wǎng)絡(luò)中發(fā)生響應(yīng)命令等功能。

網(wǎng)絡(luò)安全是以分布式的方式，布置在受保護(hù)和監(jiān)控的企業(yè)網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全是提供網(wǎng)絡(luò)安全事件采集，以及網(wǎng)絡(luò)安全設(shè)備管理等服務(wù)的，并且與網(wǎng)絡(luò)安全管理中心相互連接。

網(wǎng)絡(luò)設(shè)備管理包括了對企業(yè)整個(gè)網(wǎng)絡(luò)系統(tǒng)中的各種網(wǎng)絡(luò)基礎(chǔ)設(shè)備、設(shè)施的管理。

網(wǎng)絡(luò)安全管理專業(yè)人員能夠通過終端管理設(shè)備，對企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)進(jìn)行有效的安全管理。

3.2.2　系統(tǒng)網(wǎng)絡(luò)安全管理中心組件功能

系統(tǒng)網(wǎng)絡(luò)安全管理中心核心功能組件：包括了網(wǎng)絡(luò)安全事件采集組件、網(wǎng)絡(luò)安全事件查詢組件、網(wǎng)絡(luò)探測器管理組件和網(wǎng)絡(luò)管理策略生成組件。網(wǎng)絡(luò)探測器管理組件是根據(jù)網(wǎng)絡(luò)的安全狀況實(shí)現(xiàn)對模塊進(jìn)行添加、刪除的功能，它是到系統(tǒng)探測器模塊數(shù)據(jù)庫中進(jìn)行選擇，找出與功能相互匹配的模塊，將它們添加到網(wǎng)絡(luò)安全探測器上。網(wǎng)絡(luò)安全事件采集組件是將對網(wǎng)絡(luò)安全事件進(jìn)行分析和過濾的結(jié)構(gòu)添加到數(shù)據(jù)庫中。網(wǎng)絡(luò)安全事件查詢組件是為企業(yè)網(wǎng)絡(luò)安全專業(yè)管理人員提供對網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行一系列操作的主要結(jié)構(gòu)。而網(wǎng)絡(luò)管理策略生產(chǎn)組件則是對輸入的網(wǎng)絡(luò)安全事件分析結(jié)果進(jìn)行自動(dòng)查詢，并將管理策略發(fā)送給網(wǎng)絡(luò)安全。

系統(tǒng)網(wǎng)絡(luò)安全管理中心數(shù)據(jù)庫模塊組件：包括了網(wǎng)絡(luò)安全事件數(shù)據(jù)庫、網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫，以及網(wǎng)絡(luò)響應(yīng)策略數(shù)據(jù)庫。網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫是由核心功能組件進(jìn)行添加和刪除的，它主要是對安裝在網(wǎng)絡(luò)探測器上的功能模塊進(jìn)行存儲。網(wǎng)絡(luò)安全事件數(shù)據(jù)庫是對輸入的網(wǎng)絡(luò)安全事件進(jìn)行分析和統(tǒng)計(jì)，主要用于對各種網(wǎng)絡(luò)安全事件的存儲。網(wǎng)絡(luò)相應(yīng)策略數(shù)據(jù)庫是對輸入網(wǎng)絡(luò)安全事件的分析結(jié)果反饋相應(yīng)的處理策略，并且對各種策略進(jìn)行存儲。

3.3　系統(tǒng)架構(gòu)特點(diǎn)

3.3.1　統(tǒng)一管理，分布部署

該文設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)是采用網(wǎng)絡(luò)安全管理中心對系統(tǒng)進(jìn)行部署和管理，并且根據(jù)網(wǎng)絡(luò)管理人員提出的需求，將網(wǎng)絡(luò)安全分布地布置在整個(gè)網(wǎng)絡(luò)系統(tǒng)之中，然后將選取出的網(wǎng)絡(luò)功能模塊和網(wǎng)絡(luò)響應(yīng)命令添加到網(wǎng)絡(luò)安全上，網(wǎng)絡(luò)安全管理中心可以自動(dòng)管理網(wǎng)絡(luò)安全對各種網(wǎng)絡(luò)安全事件進(jìn)行處理。

3.3.2　模塊化開發(fā)方式

本系統(tǒng)的網(wǎng)絡(luò)安全管理中心和網(wǎng)絡(luò)安全采用的都是模塊化的設(shè)計(jì)方式，如果需要在企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中增加新的網(wǎng)絡(luò)設(shè)備或管理策略時(shí)，只需要對相應(yīng)的新模塊和響應(yīng)策略進(jìn)行開發(fā)實(shí)現(xiàn)，最后將其加載到網(wǎng)絡(luò)安全中，而不必對網(wǎng)絡(luò)安全管理中心、網(wǎng)絡(luò)安全進(jìn)行系統(tǒng)升級和更新。

3.3.3　分布式多級應(yīng)用

對于機(jī)構(gòu)比較復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，可使用多管理器連接，保證全局網(wǎng)絡(luò)的安全。在這種應(yīng)用中，上一級管理要對下一級的安全狀況進(jìn)行實(shí)時(shí)監(jiān)控，并對下一級的安全事件在所轄范圍內(nèi)進(jìn)行及時(shí)全局預(yù)警處理，同時(shí)向上一級管理中心進(jìn)行匯報(bào)。網(wǎng)絡(luò)安全主管部門可以在最短時(shí)間內(nèi)對全局范圍內(nèi)的網(wǎng)絡(luò)安全進(jìn)行嚴(yán)密的監(jiān)視和防范。

4　結(jié)論

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)中存儲了大量的保密信息數(shù)據(jù)，這些數(shù)據(jù)在網(wǎng)絡(luò)中進(jìn)行傳輸和使用，隨著網(wǎng)絡(luò)安全技術(shù)的不斷更新和發(fā)展，新型的網(wǎng)絡(luò)安全設(shè)備也大量出現(xiàn)，由此，企業(yè)對于網(wǎng)絡(luò)安全的要求也逐步提升，因此，該文設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)具有重要的現(xiàn)實(shí)意義和實(shí)用價(jià)值。

參考文獻(xiàn)：

篇4

【關(guān)鍵詞】 計(jì)算機(jī)網(wǎng)絡(luò) 企業(yè) 網(wǎng)絡(luò)安全問題 安全防范技術(shù)

自進(jìn)入21世紀(jì)后，社會的發(fā)展面貌煥然一新，經(jīng)濟(jì)發(fā)展明顯提速，出現(xiàn)這一現(xiàn)象的重要原因是互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，特別是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，已經(jīng)成為企業(yè)發(fā)展必不可少的技術(shù)性條件。在享受科技發(fā)展帶來的便利時(shí)，我們需要明確認(rèn)識到現(xiàn)階段企業(yè)內(nèi)外部的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境并不穩(wěn)定，其中也存在著一些網(wǎng)絡(luò)安全問題，影響著企業(yè)的健康發(fā)展?；谶@種認(rèn)識，如何對企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)作出改進(jìn)，是企業(yè)更好地利用計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵。

一、企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)存在的安全問題

1.1系統(tǒng)漏洞

系統(tǒng)漏洞指的是由于操作系統(tǒng)設(shè)計(jì)存在缺陷，使不法人員得到了入侵機(jī)會，利用系統(tǒng)漏洞將一些木馬和病毒植入到企業(yè)計(jì)算機(jī)中，從而獲取企業(yè)的重要文件和機(jī)密信息，對計(jì)算機(jī)程序造成破壞。處于經(jīng)濟(jì)因素的考量，部分企業(yè)會應(yīng)用盜版系統(tǒng)，但是盜版系統(tǒng)本身就存在很多漏洞問題，如服務(wù)拒絕漏洞和熱鍵漏洞等等，還容易生成很多其他的新漏洞，在此情況下，企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性降低，重要信息容易被他人盜取和利用，給企業(yè)帶來不同程度的經(jīng)濟(jì)或信譽(yù)損失，反而是得不償失的。

1.2黑客攻擊

這種安全問題是指一些不法網(wǎng)絡(luò)黑客破解、更改某些軟件程序或者篡改系統(tǒng)數(shù)據(jù)。具體來說，黑客對企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊的性質(zhì)主要包括兩種，即損壞性和非損壞性攻擊；按照實(shí)施途徑劃分，主要包括網(wǎng)絡(luò)監(jiān)聽、程序后門、信息爆炸、密碼破譯以及拒絕服務(wù)等。黑客采用非損壞性攻擊多是為了對軟件系統(tǒng)造成干擾，而不是竊取系統(tǒng)軟件的信息，會擾亂企業(yè)的正常辦公程序；而損壞性攻擊則會造成計(jì)算機(jī)數(shù)據(jù)信息丟失，甚至導(dǎo)致整個(gè)計(jì)算機(jī)系統(tǒng)發(fā)生癱瘓，無法正常工作。

1.3網(wǎng)絡(luò)病毒

從目前企業(yè)中發(fā)生的主要網(wǎng)絡(luò)安全事件情況來看，網(wǎng)絡(luò)病毒是企業(yè)最為常見的安全問題之一。一般情況下，不法人員在網(wǎng)絡(luò)內(nèi)自行編制一些毀壞數(shù)據(jù)且能夠自行復(fù)制的非法指令，就可造成網(wǎng)絡(luò)病毒廣泛傳播。由于網(wǎng)絡(luò)病毒的隱蔽性、傳播力以及破壞性較強(qiáng)，其對企業(yè)網(wǎng)絡(luò)安全的危害性比較大，而且病毒傳播的形式多種多樣，有些病毒還會在網(wǎng)絡(luò)重啟之后被激活，其潛伏性較強(qiáng)，潛伏期也比較長，成為長期影響企業(yè)網(wǎng)絡(luò)安全的危險(xiǎn)因素。

二、企業(yè)的網(wǎng)絡(luò)安全防范技術(shù)探討

1、加強(qiáng)網(wǎng)絡(luò)漏洞檢測。漏洞安全檢查是企業(yè)在管理網(wǎng)絡(luò)時(shí)應(yīng)該著重考慮的一種安全防護(hù)技術(shù)。具體操作方面，網(wǎng)絡(luò)管理者應(yīng)該首先檢查網(wǎng)絡(luò)系統(tǒng)的防入侵漏洞，再檢測程序安全代碼是否正確，然后掃描WEB漏洞應(yīng)用情況，最后再掃描數(shù)據(jù)庫漏洞?？偠灾跈z測過程當(dāng)中，一旦發(fā)現(xiàn)系統(tǒng)潛在的漏洞，應(yīng)該立即采取修復(fù)措施，同時(shí)在日常監(jiān)測工作中要經(jīng)常采取多種掃描方法進(jìn)行安全掃描，進(jìn)行漏洞評估和預(yù)測，避免影響公司網(wǎng)絡(luò)的正常運(yùn)行。

2、應(yīng)用防火墻技術(shù)。防火墻技術(shù)也是目前企業(yè)網(wǎng)絡(luò)安全防護(hù)工作中經(jīng)常采用的一種技術(shù)，防火墻由軟件系統(tǒng)和硬件設(shè)備組成，是建立在企業(yè)內(nèi)部和外部網(wǎng)絡(luò)環(huán)境中間的一道安全防護(hù)屏障。根據(jù)執(zhí)行站點(diǎn)的工作方式，防火墻可以對不相符合的外部信息予以控制，從而發(fā)揮保護(hù)企業(yè)網(wǎng)絡(luò)安全的作用。同時(shí)，防火墻還可以自動(dòng)記錄通過防火墻且進(jìn)入到企業(yè)網(wǎng)絡(luò)系統(tǒng)中的全部數(shù)據(jù)和信息，因而，可以對網(wǎng)絡(luò)與軟件使用情況進(jìn)行處理和統(tǒng)計(jì)。

3、正確使用數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)屬于自主安全防護(hù)技術(shù)，其防護(hù)網(wǎng)絡(luò)安全的能力較高。主要原理是通過函數(shù)加密或者其他方法把明文數(shù)據(jù)轉(zhuǎn)化為加密文件，文件的接收方需要利用函數(shù)才能解密文件。而且，只有特定的用戶以及網(wǎng)絡(luò)才能獲取文件信息，一般情況下，文件加密需要通過公開密鑰、專用秘鑰以及對稱秘鑰等幾種形式才能實(shí)現(xiàn)。這種安全防護(hù)技術(shù)能夠保證信息傳遞雙方身份真實(shí)可靠，同時(shí)還可以保證傳遞文件的完整性和隱私性，因此，已經(jīng)成為企業(yè)最可靠的網(wǎng)絡(luò)防護(hù)技術(shù)之一。

三、結(jié)束語

網(wǎng)絡(luò)安全問題不僅關(guān)系到企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)能否正常運(yùn)行，而且直接影響著企業(yè)的經(jīng)濟(jì)效益。從現(xiàn)有的條件來看，做好企業(yè)的網(wǎng)絡(luò)安全防護(hù)工作并不容易，一方面，企業(yè)自身應(yīng)該對網(wǎng)絡(luò)安全管理工作給予高度的重視，不斷地完善網(wǎng)絡(luò)安全管理體系，在日常管理工作中加強(qiáng)防護(hù)力度；另一方面，企業(yè)還應(yīng)該充分利用內(nèi)外部資源，綜合運(yùn)用多種網(wǎng)絡(luò)安全防護(hù)技術(shù)，使得安全防護(hù)技術(shù)能夠真正為企業(yè)網(wǎng)絡(luò)穩(wěn)定、安全運(yùn)行保駕護(hù)航。

參 考 文 獻(xiàn)

篇5

關(guān)鍵詞:安全審計(jì)系統(tǒng);網(wǎng)絡(luò)安全管理;措施

互聯(lián)網(wǎng)時(shí)代信息技術(shù)雖然使人們的生活更加便捷，卻帶來了網(wǎng)絡(luò)安全問題。盡管網(wǎng)絡(luò)外部檢測技術(shù)和防御系統(tǒng)已經(jīng)持續(xù)建設(shè)，在某種程度抵御外部網(wǎng)絡(luò)的入侵，保護(hù)網(wǎng)絡(luò)數(shù)據(jù)信息的安全，但是內(nèi)部網(wǎng)絡(luò)的違規(guī)操作、非法訪問等造成的網(wǎng)絡(luò)安全問題在外部網(wǎng)絡(luò)的防御措施得不到有效解決。因此可以利用安全審計(jì)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全管理，檢測訪問網(wǎng)絡(luò)內(nèi)部系統(tǒng)的用戶，監(jiān)控其網(wǎng)絡(luò)行為，記錄其異常網(wǎng)絡(luò)行為，針對記錄結(jié)果解決網(wǎng)絡(luò)安全問題，對網(wǎng)絡(luò)安全隱患的評判具有重要作用。本文主要介紹安全審計(jì)系統(tǒng)以及作用，闡述其在網(wǎng)絡(luò)安全管理的必要性以及實(shí)際應(yīng)用。

1網(wǎng)絡(luò)安全管理的安全審計(jì)系統(tǒng)

1.1安全審計(jì)系統(tǒng)的組成

①事件產(chǎn)生器；②事件數(shù)據(jù)庫；③事件分析器；④響應(yīng)單元。事件產(chǎn)生器的作用：將單位網(wǎng)絡(luò)獲得的事件提供給網(wǎng)絡(luò)安全審計(jì)系統(tǒng)；事件分析器的作用：詳細(xì)地分析所得到的數(shù)據(jù)；事件響應(yīng)單元的作用：根據(jù)時(shí)間分析器得到的分析結(jié)果做出相應(yīng)的反映；事件數(shù)據(jù)庫的作用：保存時(shí)間分析器得到的分析結(jié)果。

1.2安全審計(jì)系統(tǒng)的要求

1.2.1記錄與再現(xiàn)記錄安全審計(jì)系統(tǒng)中全部違規(guī)操作、非法行為，再現(xiàn)系統(tǒng)某種狀態(tài)的主要行為。1.2.2入侵檢測審計(jì)系統(tǒng)檢查出大多數(shù)常見的系統(tǒng)入侵的意圖，設(shè)計(jì)相應(yīng)程序阻止入侵行為。1.2.3記錄入侵行為審計(jì)系統(tǒng)記錄所有的入侵企圖，對于成功入侵用戶，可以根據(jù)入侵記錄恢復(fù)系統(tǒng)。1.2.4系統(tǒng)本身的安全性安全審計(jì)系統(tǒng)必須保證自身系統(tǒng)操作系統(tǒng)和軟件安全以及審計(jì)數(shù)據(jù)安全才可以發(fā)揮其在網(wǎng)絡(luò)安全管理的作用。

2網(wǎng)絡(luò)安全審計(jì)的必要性

2.1提高企業(yè)數(shù)據(jù)安全管理績效

高新科技技術(shù)已經(jīng)滲透到社會方方面面，有利也有弊，其中企業(yè)來說，網(wǎng)絡(luò)信息安全的問題頻頻出現(xiàn)，這對于企業(yè)網(wǎng)絡(luò)運(yùn)營和實(shí)際經(jīng)營造成很大的沖擊、帶來經(jīng)濟(jì)損失。防火墻、防病毒軟件、反入侵系統(tǒng)雖然可以解決部分內(nèi)部用戶的非法違規(guī)網(wǎng)絡(luò)行為導(dǎo)致的網(wǎng)絡(luò)信息安全問題，某種程度也保障了網(wǎng)絡(luò)信息安全。網(wǎng)絡(luò)信息外部的防衛(wèi)無法抵御內(nèi)部用戶在沒有網(wǎng)絡(luò)監(jiān)管時(shí)對網(wǎng)絡(luò)內(nèi)部的不合法操作，網(wǎng)絡(luò)外部的安全防衛(wèi)措施無法解決網(wǎng)絡(luò)內(nèi)部出現(xiàn)的故障。所以企業(yè)網(wǎng)絡(luò)要正常運(yùn)營、企業(yè)經(jīng)營要得到持續(xù)發(fā)展，必須要建立企業(yè)內(nèi)部的安全審計(jì)系統(tǒng)，對內(nèi)部用戶訪問網(wǎng)絡(luò)系統(tǒng)進(jìn)行嚴(yán)格監(jiān)控和審計(jì)，有必要時(shí)可以采取相應(yīng)措施懲戒造成網(wǎng)絡(luò)安全問題的人員，讓網(wǎng)絡(luò)信息安全事件不再發(fā)生。

2.2提高網(wǎng)絡(luò)信息安全性

（1）安全審計(jì)系統(tǒng)采取訪問控制手段對網(wǎng)絡(luò)信息進(jìn)行安全審計(jì)和監(jiān)控，從而提高網(wǎng)絡(luò)信息安全；（2）對網(wǎng)絡(luò)信息加密實(shí)現(xiàn)網(wǎng)絡(luò)信息安全審計(jì)的目的，實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)私有，做到網(wǎng)絡(luò)安全管理，為了提高網(wǎng)絡(luò)信息安全水平要經(jīng)常維護(hù)與檢查安全日志；（3）安全審計(jì)網(wǎng)絡(luò)中傳輸?shù)男畔ⅲO(jiān)控網(wǎng)絡(luò)操作行為，提高網(wǎng)絡(luò)信息安全性，提供社會組織的網(wǎng)絡(luò)化行為安全性保障。

3安全審計(jì)系統(tǒng)在網(wǎng)絡(luò)安全管理的應(yīng)用

安全審計(jì)系統(tǒng)和基礎(chǔ)網(wǎng)絡(luò)病毒防護(hù)產(chǎn)品相互結(jié)合，共同保護(hù)網(wǎng)絡(luò)的整體安全。企業(yè)傳統(tǒng)的網(wǎng)絡(luò)安全體系建設(shè)只注重網(wǎng)絡(luò)邊界的安全，重點(diǎn)建設(shè)針對外部網(wǎng)絡(luò)向企業(yè)內(nèi)網(wǎng)攻擊的防護(hù)措施，沒有考慮到內(nèi)網(wǎng)自身存在的安全隱患，企業(yè)的網(wǎng)絡(luò)信息安全無法得到有效保障。因此，借助安全審計(jì)系統(tǒng)對企業(yè)網(wǎng)絡(luò)安全進(jìn)行審計(jì)和評估，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的全面安全監(jiān)督。隨著互聯(lián)網(wǎng)科技快速發(fā)展，銀行金融行業(yè)處于信息化時(shí)代，信息化推動(dòng)銀行智能化發(fā)展，銀行網(wǎng)絡(luò)信息安全對銀行安全穩(wěn)定發(fā)展非常重要，如銀行數(shù)據(jù)集中處理有風(fēng)險(xiǎn)、網(wǎng)絡(luò)金融服務(wù)容易受到黑客、病毒攻擊等。由于銀行涉及到金錢等財(cái)務(wù)利益上的交易，而且銀行作為信息化時(shí)代以客戶為主導(dǎo)的服務(wù)行業(yè)，必須嚴(yán)格地對客戶信息進(jìn)行保密，保障客戶信息安全。不僅銀行關(guān)系到國計(jì)民生、對社會經(jīng)濟(jì)發(fā)展也具有重要意義，所以控制銀行信息化風(fēng)險(xiǎn)的最有效方法就是建立銀行網(wǎng)絡(luò)信息安全審計(jì)系統(tǒng)。網(wǎng)絡(luò)的廣泛應(yīng)用給教育行業(yè)帶來很大便利，目前很多高校和發(fā)達(dá)地區(qū)中小學(xué)都建立自己的校園網(wǎng)，但是網(wǎng)絡(luò)問題作為信息化水平發(fā)展的附屬品，給校園網(wǎng)安全管理造成很大困擾。雖然校園網(wǎng)已經(jīng)加大網(wǎng)絡(luò)外部病毒防御系統(tǒng)建設(shè)，但是網(wǎng)絡(luò)內(nèi)部檢測和審計(jì)更需要引起重視，為了減少網(wǎng)絡(luò)有害信息和侵權(quán)行為，規(guī)范師生上網(wǎng)行為，維護(hù)校園網(wǎng)安全穩(wěn)定運(yùn)行，非常有必要建立校園網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。

4結(jié)語

本文詳細(xì)介紹了網(wǎng)絡(luò)安全管理的安全審計(jì)系統(tǒng)以及功能，并且闡述了網(wǎng)絡(luò)安全審計(jì)的必要性，安全審計(jì)系統(tǒng)的使用，使網(wǎng)絡(luò)監(jiān)控力度大大加強(qiáng)，讓網(wǎng)絡(luò)監(jiān)控效率得到顯著提高，為信息化建設(shè)提供了良好的保障。

參考文獻(xiàn)

[1]付曉坤.網(wǎng)絡(luò)安全審計(jì)技術(shù)的運(yùn)用[J].中國水運(yùn),2013(09):50-51.

[2]張文穎.探討網(wǎng)絡(luò)安全中安全審計(jì)與監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識與技術(shù),2013(16):3738.

篇6

 

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)深入到人們生活中的方方面面，各個(gè)行業(yè)、各個(gè)企業(yè)為了順應(yīng)時(shí)代的發(fā)展趨勢，都在積極搭建自己的網(wǎng)絡(luò)管理平臺，提升企業(yè)的網(wǎng)絡(luò)管理水平。通過計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，企業(yè)能夠了解市場的最新動(dòng)態(tài)，根據(jù)市場進(jìn)行決策，同時(shí)加強(qiáng)與商業(yè)伙伴的交流與信息反饋。企業(yè)必須熟悉如何搭建和維護(hù)網(wǎng)絡(luò)管理平臺，同時(shí)認(rèn)清網(wǎng)絡(luò)管理的目的，積極彌補(bǔ)工作當(dāng)中存在的缺陷和不足。

 

一、企業(yè)網(wǎng)絡(luò)管理的維護(hù)對象

 

1、維護(hù)網(wǎng)絡(luò)安全。企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)在運(yùn)行過程中，如果網(wǎng)絡(luò)安全得不到保證，就容易導(dǎo)致企業(yè)的商業(yè)秘密發(fā)生泄露，從而企業(yè)在市場競爭中失去先機(jī)，還有可能引起網(wǎng)絡(luò)系統(tǒng)癱瘓，使企業(yè)無法正常運(yùn)轉(zhuǎn)。要想維護(hù)企業(yè)的網(wǎng)絡(luò)安全，要從多方面入手。首先，企業(yè)要根據(jù)自身情況選擇合適的防火墻系統(tǒng)，在部署防火墻時(shí)，合理配置訪問策略和安裝防御程序，有效抵御來自網(wǎng)絡(luò)上的攻擊，及時(shí)發(fā)現(xiàn)系統(tǒng)中的漏洞并加以彌補(bǔ)。其次，在網(wǎng)絡(luò)系統(tǒng)中合理劃分虛擬局域網(wǎng)，將網(wǎng)絡(luò)劃分為多個(gè)安全域，實(shí)現(xiàn)域間的邏輯隔離，不僅可以提高網(wǎng)絡(luò)安全性能，還能隔離網(wǎng)絡(luò)故障，增強(qiáng)網(wǎng)絡(luò)健壯性。再次，在路由器和重要交換機(jī)上設(shè)置訪問控制列表，合理設(shè)置訪問權(quán)限，對惡意訪問請求進(jìn)行攔截，可有效降低信息安全風(fēng)險(xiǎn)。

 

2、防范病毒入侵。除了來自網(wǎng)絡(luò)上的各種攻擊，計(jì)算機(jī)病毒入侵也是危害計(jì)算機(jī)網(wǎng)絡(luò)安全的重要因素之一。為了避免企業(yè)的網(wǎng)絡(luò)被計(jì)算機(jī)病毒入侵，必須要在企業(yè)所有的計(jì)算機(jī)中安裝殺毒軟件，定時(shí)進(jìn)行病毒的查殺和清除工作。由于計(jì)算機(jī)病毒處于不斷更新?lián)Q代之中，所以計(jì)算機(jī)的殺毒軟件也要及時(shí)進(jìn)行升級，這樣才能降低計(jì)算機(jī)感染病毒的概率。另外還可以在計(jì)算機(jī)終端上安裝移動(dòng)存儲介質(zhì)管理系統(tǒng)，沒有經(jīng)過系統(tǒng)認(rèn)證的移動(dòng)存儲介質(zhì)，一律不準(zhǔn)接入網(wǎng)絡(luò)終端，同時(shí)限制可信移動(dòng)存儲介質(zhì)在企業(yè)外部隨意使用，從而降低通過移動(dòng)存儲介質(zhì)傳播病毒的風(fēng)險(xiǎn)。

 

3、確保系統(tǒng)穩(wěn)定運(yùn)行。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)即使沒有遭受網(wǎng)絡(luò)攻擊、病毒入侵，也會由于長期的工作發(fā)生一些問題和故障[1]。對企業(yè)來說，計(jì)算機(jī)網(wǎng)絡(luò)的日常維護(hù)是必不可少的，定期維護(hù)能夠讓網(wǎng)路管理者了解網(wǎng)絡(luò)系統(tǒng)的工作狀態(tài)，發(fā)現(xiàn)并及時(shí)消除網(wǎng)絡(luò)系統(tǒng)中存在的故障隱患，將問題消滅在萌芽狀態(tài)。比如定期對網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行重啟，定期對重要數(shù)據(jù)進(jìn)行備份，及時(shí)關(guān)閉系統(tǒng)中非必要的服務(wù)，對發(fā)現(xiàn)的漏洞進(jìn)行修復(fù)等，上述措施都能有效提高網(wǎng)絡(luò)系統(tǒng)的可用性與穩(wěn)定性，以提高企業(yè)網(wǎng)絡(luò)管理水平。

 

二、企業(yè)網(wǎng)絡(luò)管理的維護(hù)策略

 

2.1增強(qiáng)系統(tǒng)性能

 

為了增強(qiáng)企業(yè)的網(wǎng)絡(luò)維護(hù)能力，首先要對網(wǎng)絡(luò)系統(tǒng)進(jìn)行及時(shí)升級，安裝系統(tǒng)漏洞安全補(bǔ)丁，選擇經(jīng)過國家認(rèn)可的正版殺毒軟件[2]。另外，我國企業(yè)的網(wǎng)絡(luò)管理人員總體上來說安全防范意識淡薄，不能夠有效識別各種網(wǎng)絡(luò)攻擊和計(jì)算機(jī)病毒，容易給企業(yè)帶來經(jīng)濟(jì)損失。對此，企業(yè)要加強(qiáng)宣傳，強(qiáng)化網(wǎng)絡(luò)管理人員的安全意識，養(yǎng)成管理人員的良好習(xí)慣，重視各類賬號和密碼的保護(hù)工作，定期對企業(yè)的網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢查，一旦發(fā)現(xiàn)異常及時(shí)進(jìn)行處理。

 

2.2提高維護(hù)技術(shù)

 

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊的手段和計(jì)算機(jī)病毒的種類也在逐漸增加。為了防范這些網(wǎng)絡(luò)攻擊和計(jì)算機(jī)病毒，企業(yè)也要提升網(wǎng)絡(luò)維護(hù)的技術(shù)水平，防止系統(tǒng)遭受攻擊而發(fā)生數(shù)據(jù)泄露或癱瘓。對于提高企業(yè)的網(wǎng)絡(luò)維護(hù)技術(shù)，一方面要提高企業(yè)信息系統(tǒng)的登錄識別能力，確保合法登錄，一旦發(fā)生異常登錄，就要提高警惕，加大注意力。另一方面企業(yè)信息系統(tǒng)要提升監(jiān)控能力和預(yù)警能力，在發(fā)現(xiàn)信息系統(tǒng)遭受攻擊時(shí)立刻發(fā)出預(yù)警信號，從而快速排除險(xiǎn)情。

 

2.3健全制度建設(shè)

 

要做好企業(yè)網(wǎng)絡(luò)的維護(hù)工作，還要大力加強(qiáng)制度建設(shè)，從制度上為企業(yè)網(wǎng)絡(luò)管理保駕護(hù)航。企業(yè)可根據(jù)自身需求建立網(wǎng)絡(luò)系統(tǒng)維護(hù)工作機(jī)制、網(wǎng)絡(luò)突發(fā)事件應(yīng)急預(yù)案、網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)評估辦法、網(wǎng)絡(luò)系統(tǒng)用戶操作準(zhǔn)則等相關(guān)制度。網(wǎng)絡(luò)系統(tǒng)管理人員應(yīng)該重點(diǎn)從管理角度去規(guī)避風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)管理水平，盡可能減少因系統(tǒng)用戶的不安全操作，而給網(wǎng)絡(luò)系統(tǒng)帶來的不安全隱患和嚴(yán)重后果。

 

三、結(jié)論

 

目前我國的企業(yè)網(wǎng)絡(luò)管理水平比較低下，維護(hù)技術(shù)和維護(hù)理念相對落后，給網(wǎng)絡(luò)管理帶來一定的困難。為了提高企業(yè)的網(wǎng)絡(luò)管理水平，必須重視企業(yè)網(wǎng)絡(luò)管理平臺的搭建和維護(hù)，通過選擇合適的防火墻和殺毒軟件，對系統(tǒng)策略進(jìn)行合理配置，對網(wǎng)絡(luò)攻擊和計(jì)算機(jī)病毒進(jìn)行防范，及時(shí)升級系統(tǒng)漏洞補(bǔ)丁，提高管理人員的專業(yè)素質(zhì)和安全意識，健全網(wǎng)絡(luò)管理制度建設(shè)，從而建立起完善的網(wǎng)絡(luò)安全管理體系。

篇7

【關(guān)鍵詞】發(fā)電企業(yè);網(wǎng)絡(luò)安全;管理;技術(shù)

近些年，隨著電力體制改革的逐步深入和信息技術(shù)的飛速發(fā)展，發(fā)電企業(yè)對信息系統(tǒng)的依賴性逐漸提高，信息系統(tǒng)在企業(yè)生產(chǎn)經(jīng)營和管理中扮演的角色越來越重要。發(fā)電企業(yè)通過信息化方式進(jìn)行生產(chǎn)管理和辦公得到了廣泛認(rèn)同，并因此大幅提高了生產(chǎn)效率和管理水平。

其中，網(wǎng)絡(luò)安全工作的落實(shí)情況是企業(yè)信息化管理水平的集中體現(xiàn)。作為國家能源行業(yè)的一份子，發(fā)電企業(yè)的信息網(wǎng)絡(luò)安全尤為重要，保障發(fā)電企業(yè)的網(wǎng)絡(luò)安全也是保障國家和社會安全的重要一環(huán)。發(fā)電企業(yè)對于信息化的重視程度也體現(xiàn)在加強(qiáng)自身信息網(wǎng)絡(luò)安全工作上，網(wǎng)絡(luò)安全已經(jīng)成為發(fā)電企業(yè)安全生產(chǎn)的一項(xiàng)重要內(nèi)容，不論對于火力、水力、核電、風(fēng)能、太陽能還是新能源發(fā)電企業(yè)，網(wǎng)絡(luò)安全同等重要。

從電力行業(yè)信息化的發(fā)展現(xiàn)狀來看，網(wǎng)絡(luò)安全工作大致可以分為以下幾個(gè)方面：網(wǎng)絡(luò)安全管理、安全防護(hù)技術(shù)、應(yīng)急保障和宣傳教育等。網(wǎng)絡(luò)安全管理包括：企業(yè)要有網(wǎng)絡(luò)安全領(lǐng)導(dǎo)責(zé)任制、管理機(jī)構(gòu)和信息化網(wǎng)絡(luò)專責(zé)工作人員;網(wǎng)絡(luò)安全責(zé)任制的具體落實(shí)以及責(zé)任追究機(jī)制;人員、信息化經(jīng)費(fèi)、信息資產(chǎn)、采購、培訓(xùn)、外包人員等日常安全管理;完整、完善的網(wǎng)絡(luò)安全管理制度體系;安全監(jiān)測、硬件冗余、安全審計(jì)、補(bǔ)丁管理。安全防護(hù)技術(shù)包括：防病毒、防篡改、防癱瘓、防攻擊、防泄密等安全措施;服務(wù)器、防火墻、物理隔離設(shè)備等網(wǎng)絡(luò)安全設(shè)備的安全策略和功能有效性;局域網(wǎng)、互聯(lián)網(wǎng)、無線網(wǎng)絡(luò)安全措施;和非計(jì)算機(jī)、移動(dòng)介質(zhì)及密碼設(shè)備的安全防護(hù)措施。應(yīng)急保障工作包括：信息安全事件應(yīng)急預(yù)案、數(shù)據(jù)備份和恢復(fù)演練、應(yīng)急技術(shù)支撐隊(duì)伍、重大安全事件處置等。宣傳教育工作包括：企業(yè)日常網(wǎng)絡(luò)安全培訓(xùn)（包含：企業(yè)領(lǐng)導(dǎo)、信息化人員和業(yè)務(wù)人員）和網(wǎng)絡(luò)安全管理員專業(yè)技術(shù)培訓(xùn)。

發(fā)電企業(yè)已經(jīng)在網(wǎng)絡(luò)安全方面取得了很大的成績，軟件正版化率、自主開發(fā)軟件和國產(chǎn)信息系統(tǒng)的使用率都在逐年提高，國產(chǎn)網(wǎng)絡(luò)安全防護(hù)設(shè)備也已經(jīng)大范圍應(yīng)用在企業(yè)網(wǎng)絡(luò)中。發(fā)電企業(yè)在取得一些成績的同時(shí)，還需要充分認(rèn)識到自身的不足之處，很多發(fā)電企業(yè)認(rèn)為發(fā)電才是自己的主業(yè)，對企業(yè)信息化不夠重視，人員和資金的投入都很少，導(dǎo)致企業(yè)網(wǎng)絡(luò)安全得不到有效的保障，網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，這對于企業(yè)和國家都是一筆損失。

綜上所述，發(fā)電企業(yè)要從以下幾個(gè)方面入手，逐步改進(jìn)并完善網(wǎng)絡(luò)信息安全工作：企業(yè)應(yīng)該有獨(dú)立的信息化管理部門，設(shè)置專門負(fù)責(zé)網(wǎng)絡(luò)安全管理員，明確崗位安全責(zé)任制，成立信息化領(lǐng)導(dǎo)小組、信息安全工作小組和招標(biāo)小組等信息化工作組織機(jī)構(gòu);定期召開網(wǎng)絡(luò)安全管理工作會議，商議決策企業(yè)信息化工作，強(qiáng)化網(wǎng)絡(luò)安全;做好企業(yè)網(wǎng)絡(luò)安全規(guī)劃，按照年度、短期和長期規(guī)劃來制定，信息安全工作的整體策略及總體規(guī)劃（方案）需要完善，在今后工作中不斷補(bǔ)充、調(diào)整與細(xì)化;將信息網(wǎng)絡(luò)安全管理納入到企業(yè)年度工作計(jì)劃和績效考核中;每年都要進(jìn)行定期的信息安全培訓(xùn)和宣傳，讓員工充分了解和熟知網(wǎng)絡(luò)安全對于企業(yè)的重要性;劃分明確的分區(qū)界限，根據(jù)生產(chǎn)、管理等要素進(jìn)行分區(qū)管理;完善企業(yè)網(wǎng)絡(luò)信息安全管理制度，并落實(shí)執(zhí)行;加強(qiáng)局域網(wǎng)、廣域網(wǎng)和對外網(wǎng)站的管理;按照公安部和上級部門的有關(guān)要求，進(jìn)行信息系統(tǒng)安全等級保護(hù)備案工作，進(jìn)行安全風(fēng)險(xiǎn)測評;定期開展網(wǎng)絡(luò)安全自查工作，并按照檢查問題進(jìn)行相關(guān)整改，需要定期開展網(wǎng)絡(luò)安全自查及整改工作，有條件的企業(yè)可以請外面高水平的專家組來企業(yè)做安全測評指導(dǎo)，通過這些檢查可以及時(shí)發(fā)現(xiàn)問題，進(jìn)行有效的整改工作，保障企業(yè)信息網(wǎng)絡(luò)安全，使得員工可以通過信息系統(tǒng)提高生產(chǎn)管理和辦公效率;定期進(jìn)行信息系統(tǒng)數(shù)據(jù)備份和恢復(fù)演練，進(jìn)一步完善企業(yè)的網(wǎng)絡(luò)與信息安全應(yīng)急管理體系，保障應(yīng)急資源的及時(shí)到位，進(jìn)一步制定有針對性的、實(shí)用化的專項(xiàng)應(yīng)急預(yù)案，同時(shí)預(yù)案的演練要實(shí)現(xiàn)常態(tài)化;設(shè)定賬戶鎖定時(shí)間、賬戶鎖定閥值、重置賬戶鎖定計(jì)數(shù)器等安全策略;信息系統(tǒng)管理員需要定期檢查補(bǔ)丁更新、防病毒軟件和防惡意代碼軟件工作日志;口令執(zhí)行策略需要包括：密碼必須符合復(fù)雜性要求、密碼長度最小值、密碼短期使用期限、密碼長期使用期限、強(qiáng)制密碼歷史和用可還原的加密來存儲密碼等安全策略;盡可能采用每個(gè)賬戶和每個(gè)人一一對應(yīng)的關(guān)系，避免了賬戶的重復(fù)和共享賬戶的存在，對于多余的、過期的賬戶進(jìn)行定期檢查和及時(shí)刪除;實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離，實(shí)現(xiàn)數(shù)據(jù)庫賬戶獨(dú)立管理;要有完整的機(jī)房進(jìn)出記錄和系統(tǒng)安全維護(hù)檢查記錄;完善備份系統(tǒng)建設(shè);企業(yè)應(yīng)建立長效機(jī)制以確保信息安全建設(shè)及運(yùn)行維護(hù)經(jīng)費(fèi)及時(shí)到位，以實(shí)現(xiàn)經(jīng)費(fèi)投入的常態(tài)化;加大信息安全產(chǎn)品的投入力度并盡量采購國內(nèi)廠家的安全產(chǎn)品，降低對國外產(chǎn)品的依賴程度;對在信息安全崗位及其他敏感崗位工作的人員一定要搞好審查工作，只有符合規(guī)定的人員才能上崗，一旦人員離崗必須簽署保密承諾書且其權(quán)限要及時(shí)收回;按照國家有關(guān)要求，需要做到所有計(jì)算機(jī)類產(chǎn)品不安裝Windows 8操作系統(tǒng)，并采取措施應(yīng)對Windows XP停止安全服務(wù);安全防護(hù)產(chǎn)品采取白名單、卸載與工作無關(guān)的應(yīng)用程序、關(guān)閉不必要服務(wù)和端口等安全措施情況。

不論在哪個(gè)行業(yè)或領(lǐng)域，安全都是第一位的，而網(wǎng)絡(luò)安全在涉及國家安全的發(fā)電企業(yè)更是尤為重要。發(fā)電企業(yè)要按照“誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)”的原則，明確任務(wù)，落實(shí)責(zé)任，加強(qiáng)網(wǎng)絡(luò)安全工作，保障企業(yè)網(wǎng)絡(luò)與信息系統(tǒng)的安全穩(wěn)定運(yùn)行。因?yàn)殡娏儆趪夷茉葱袠I(yè)的重要一環(huán)，必須遵循“上網(wǎng)不、不上網(wǎng)”的原則?？傊?，發(fā)電企業(yè)面臨的網(wǎng)絡(luò)安全形勢是復(fù)雜多變的，還有很長的路要走。

參考文獻(xiàn)

[1]羅寧.P2P安全問題初探[A].第十七次全國計(jì)算機(jī)安全學(xué)術(shù)交流會暨電子政務(wù)安全研討會論文集[C].2002.

[2]祝崇光，姚旺.檢察系統(tǒng)信息網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評估[A].全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集（第二十二卷）[C].2007.

[3] 朱修陽. 檢察機(jī)關(guān)專網(wǎng)系統(tǒng)信息網(wǎng)絡(luò)安全體系初探[A].全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集（第二十二卷）[C].2007.

[4]曾德賢，李睿.信息網(wǎng)絡(luò)安全體系及防護(hù)[A].第十八次全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集[C].2003.

[5]劉威，劉鑫，杜振華.2010年我國惡意代碼新特點(diǎn)的研究[A].第26次全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集[C].2011.

篇8

關(guān)鍵詞：網(wǎng)絡(luò)安全;網(wǎng)絡(luò)系統(tǒng)

引言：企業(yè)網(wǎng)絡(luò)安全已成為當(dāng)今值得關(guān)注的問題，它的重要性是不言而喻的，黑客竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò)系統(tǒng)，更加具有現(xiàn)實(shí)和長遠(yuǎn)的商業(yè)價(jià)值。因此，如何保障企業(yè)網(wǎng)絡(luò)的安全變得重要起來。

1.企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析

公司的發(fā)展壯大使其企業(yè)布局發(fā)生了巨大的變化。隨著公司發(fā)展，需要重新規(guī)劃：其網(wǎng)絡(luò)結(jié)構(gòu)。存在著遠(yuǎn)端數(shù)據(jù)收集困難，病毒威脅、黑客入侵、垃圾和病毒郵件威脅，帶寬利用率低等

問題。

（1）病毒威脅，病毒是網(wǎng)絡(luò)安全最大威脅，每年給各種企業(yè)帶來的損失巨大，使所有企業(yè)都對病毒“談毒色變”。

（2）ARP攻擊威脅，ARP本是網(wǎng)絡(luò)體系結(jié)構(gòu)中的一個(gè)協(xié)議，這個(gè)協(xié)議關(guān)系到計(jì)算機(jī)網(wǎng)絡(luò)通信必不可少的兩個(gè)地址IP與MAC地址的轉(zhuǎn)換功能。

（3）通過網(wǎng)絡(luò)方式泄露企業(yè)機(jī)密，造成企業(yè)損失。網(wǎng)絡(luò)在成為羲要交流工具的同時(shí)也成了重要的泄密渠道。

2.企業(yè)局域網(wǎng)安全防范方案

（1） 防火墻技術(shù)安全配置。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。防火墻設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。包過濾防火墻工作在網(wǎng)絡(luò)層上，有選擇的讓數(shù)據(jù)包在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進(jìn)行交換。一般利用IP和TCP包的頭信息對進(jìn)出被保護(hù)網(wǎng)絡(luò)的IP包信息進(jìn)行過濾，能根據(jù)企業(yè)的安全政策來控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流。同時(shí)可實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、審記與實(shí)時(shí)告警等功能。服務(wù)防火墻也有一定功效，是一種增加了安全功能的應(yīng)用層網(wǎng)關(guān)，位于internet和intranet之間，自動(dòng)截取內(nèi)部用戶訪問internet的請求，驗(yàn)證其有效性，代表用戶建立訪問外部網(wǎng)絡(luò)的連接。服務(wù)器在很大程度上對用戶是透明的，如果外部網(wǎng)絡(luò)個(gè)站點(diǎn)之間的連接被切斷了，必須通過服務(wù)器方可相互連通。

（2）攻擊檢測技術(shù)及方法。網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)，所以要及時(shí)發(fā)現(xiàn)并修正網(wǎng)絡(luò)中存在的弱點(diǎn)和漏洞。網(wǎng)絡(luò)安全檢測工具通常是一個(gè)網(wǎng)絡(luò)安全性評估分析軟件，其功能是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。這樣，防火墻將得到合理配置，內(nèi)外WEB站點(diǎn)的安全漏洞減為最低，網(wǎng)絡(luò)體系達(dá)到強(qiáng)壯的耐攻擊性，對網(wǎng)絡(luò)訪問做出有效響應(yīng)，保護(hù)重要應(yīng)用系統(tǒng)（如財(cái)務(wù)系統(tǒng)）數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)（阻斷、報(bào)警、發(fā)送E-mail），一般包括控制臺和探測器，也不會對網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。

（3）審計(jì)與監(jiān)控技術(shù)實(shí)施。由于企業(yè)需要的是一個(gè)非常龐大的網(wǎng)絡(luò)系統(tǒng)，因而對整個(gè)網(wǎng)絡(luò)（或重要網(wǎng)絡(luò)部分）運(yùn)行進(jìn)行記錄、分析是非常重要的，它可以讓用戶通過對記錄的日志數(shù)據(jù)進(jìn)行分析、比較，找出發(fā)生的網(wǎng)絡(luò)安全問題的原因，并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡(luò)安全調(diào)整提供依據(jù)。審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng)，還能看出系統(tǒng)正被怎樣的使用。對于確定是否有網(wǎng)絡(luò)攻擊的情況，審計(jì)信息對于去定問題和攻擊源很重要。同時(shí)，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)的識別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞提供有力的證據(jù)。

（4） 企業(yè)局域網(wǎng)防病毒設(shè)置。隨著網(wǎng)絡(luò)病毒的泛濫，對于一個(gè)局域網(wǎng)來說，以前各掃門前雪的防病毒方式經(jīng)顯得力不從心了，如果僅靠局域網(wǎng)中部分計(jì)算機(jī)的單機(jī)版防病毒軟件，根本不可能做到對病毒的及時(shí)防御。因此，在局域網(wǎng)中構(gòu)建一個(gè)完整的防病毒體系己經(jīng)成為當(dāng)務(wù)之急，網(wǎng)絡(luò)防病毒軟件也應(yīng)運(yùn)而生。主要面向MAIL、Web服務(wù)器，以及辦公網(wǎng)段的PC服務(wù)器和PC機(jī)等。支持對網(wǎng)絡(luò)、服務(wù)器和工作站的實(shí)時(shí)病毒監(jiān)控;能夠在中心控制臺向多個(gè)目標(biāo)分發(fā)新版殺毒軟件，并監(jiān)視多個(gè)目標(biāo)的病毒防治情況;支持多種平臺的病毒防范;能夠識別廣泛的已知和未知病毒，包括宏病毒;支持對Internet/ Intranet服務(wù)器的病毒防治，能夠阻止惡意的Java或ActiveX小程序的破壞;支持對電子郵件附件的病毒防治，包括WORD、EXCEL中的宏病毒;支持對壓縮文件的病毒檢測;支持廣泛的病毒處理選項(xiàng)，如對染毒文件進(jìn)行實(shí)時(shí)殺毒，移出，重新命名等;支持病毒隔離，當(dāng)客戶機(jī)試圖上載一個(gè)染毒文件時(shí)，服務(wù)器可自動(dòng)關(guān)閉對該工作站的連接;提供對病毒特征信息和檢測引擎的定期在線更新服務(wù);支持日志記錄功能;支持多種方式的告警功能（聲音、圖像、電子郵件等）等。

為了保護(hù)網(wǎng)絡(luò)的安全性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，安全管理規(guī)范也是網(wǎng)絡(luò)安全所必須的。

3.結(jié)束語

在信息化時(shí)代，網(wǎng)絡(luò)的安全應(yīng)用是非常必要的，它將有效防止?jié)撛跀橙撕筒环ǚ肿拥钠茐模行ПＷo(hù)企業(yè)機(jī)密，降低企業(yè)的辦公成本。網(wǎng)絡(luò)安全的發(fā)展過程中，我們必須更進(jìn)一步的開展企業(yè)信息安全應(yīng)用研究。

參考文獻(xiàn)：

[1]郭軍.網(wǎng)絡(luò)管理.北京：北京郵電大學(xué)出版社，2001

篇9

關(guān)鍵詞:網(wǎng)絡(luò)安全;網(wǎng)絡(luò)攻擊;建設(shè)原則

中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-7712 (2012) 12-0114-01

計(jì)算機(jī)系統(tǒng)一旦遭受破壞,將給使用單位造成重大經(jīng)濟(jì)損失,并嚴(yán)重影響正常工作的順利開展。加強(qiáng)企業(yè)網(wǎng)絡(luò)安全工作,是一些企業(yè)建設(shè)工作的重要工作內(nèi)容之一。本文主要分析了企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和一些基本的安全情況,包括系統(tǒng)安全的需求分析、概要設(shè)計(jì),防火墻應(yīng)用等,重點(diǎn)針對企業(yè)網(wǎng)絡(luò)中出現(xiàn)的網(wǎng)絡(luò)安全問題,作了個(gè)介紹。對有關(guān)安全問題方面模塊的劃分,解決的方案與具體實(shí)現(xiàn)等部分.

一、網(wǎng)絡(luò)威脅、風(fēng)險(xiǎn)分析

隨著通訊技術(shù)和計(jì)算機(jī)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)正逐步成為當(dāng)今社會發(fā)展的一個(gè)主題,其改變著人們的工作方式和生活方式。網(wǎng)絡(luò)的互連性,開放性,共享性程度的擴(kuò)大,然而網(wǎng)絡(luò)的重要性和對社會的影響也越來越大主要是Internet的出現(xiàn)。隨著數(shù)字貨幣,電子現(xiàn)金,電子商務(wù)和政府上網(wǎng)以及網(wǎng)絡(luò)銀行等網(wǎng)絡(luò)行為的出現(xiàn),網(wǎng)絡(luò)安全的問題變得越來越重要。

(一)其他網(wǎng)絡(luò)的攻擊

據(jù)數(shù)據(jù)統(tǒng)計(jì),在美國網(wǎng)絡(luò)中每400封電子郵件里就有一封可能攜帶病毒。電腦病毒是如今社會網(wǎng)絡(luò)業(yè)發(fā)展的最大危害,它們往往通過電子郵件這個(gè)傳播途徑使用戶的整個(gè)電腦系統(tǒng)都處于癱瘓狀態(tài)。據(jù)“Security Portal”的報(bào)告,計(jì)算機(jī)病毒事件在1999年計(jì)算機(jī)安全問題上排名第一位,然而與計(jì)算機(jī)病毒相關(guān)的黑客問題也在其中占有相當(dāng)大的比例。從科研人員的分析結(jié)果科研看出計(jì)算機(jī)病毒的表現(xiàn)有以下新特點(diǎn):

當(dāng)今社會電子郵件已經(jīng)成為計(jì)算機(jī)病毒傳播的主要媒介,它的比例占所有計(jì)算機(jī)病毒傳播媒介的56%。由于電子郵件可以附帶任何類型的文件,所以幾乎所有類型的計(jì)算機(jī)病毒都可通過它來進(jìn)行快速傳播,事實(shí)上,有一些電子郵件病毒根本就沒有附件,因?yàn)樗旧砭褪且粋€(gè)HTML。在不久前出現(xiàn)的許多的計(jì)算機(jī)病毒就無需用戶打開附件就會感染文件,如果用戶的郵件可以自動(dòng)打開HTML格式的郵件,那么該計(jì)算機(jī)病毒就會立刻感染用戶的系統(tǒng)。

近年來由于互聯(lián)網(wǎng)的快速發(fā)展,互聯(lián)網(wǎng)出現(xiàn)了許多新一代的計(jì)算機(jī)病毒種類,比如包含蠕蟲、木馬、電子郵件計(jì)算機(jī)病毒、以及惡意ActiveX Control和Java Applets的網(wǎng)頁等黑客程序。其種類、數(shù)量正在迅速激增。同時(shí),根據(jù)最新數(shù)據(jù)統(tǒng)計(jì)計(jì)算機(jī)病毒的數(shù)量正在急劇增加,現(xiàn)在每天都有超過40種新計(jì)算機(jī)病毒出現(xiàn),因此每年的新型計(jì)算機(jī)病毒就有就有1.2萬種左右出現(xiàn),這樣的數(shù)目超過了截至1997年為止世界上計(jì)算機(jī)病毒的總數(shù)。然而最近又出現(xiàn)了很多專門針對掌上電腦和手機(jī)的計(jì)算機(jī)病毒。

計(jì)算機(jī)病毒造成的破壞日益嚴(yán)重。2000年5月“I Love You”情書病毒的影響,全球的損失預(yù)計(jì)已經(jīng)高達(dá)100億美元,而受CIH計(jì)算機(jī)病毒在全球造成的損失據(jù)估計(jì)已超過10億美元。對于行業(yè)的用戶當(dāng)系統(tǒng)每死機(jī)一小時(shí)其損失都在650萬美元以上,其包括電視機(jī)構(gòu)、證券公司、國際航運(yùn)公司、信用卡公司和郵購公司在內(nèi),然而對于Internet公司,尚無人能統(tǒng)計(jì)其損失的金額。

(二)管理及操作人員缺乏安全知識

我們認(rèn)為,全面的安全管理體系是由全面的安全產(chǎn)品解決方案、雇員的培訓(xùn)、事后的安全審計(jì)、安全策略制定、安全策略架構(gòu)的實(shí)施、企業(yè)系統(tǒng)風(fēng)險(xiǎn)評估、安全架構(gòu)制定等部分有機(jī)結(jié)合,構(gòu)成的完善的管理體系。全面的安全產(chǎn)品解決方案是包含在系統(tǒng)的各個(gè)方面和層次上部署相應(yīng)安全產(chǎn)品的工具。

現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)要加強(qiáng)系統(tǒng)的總體安全級別,必須從應(yīng)用業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)、計(jì)算機(jī)操作系統(tǒng)甚至系統(tǒng)安全管理規(guī)范,因?yàn)榘踩[患會隱藏在系統(tǒng)的各個(gè)角落,使用人員應(yīng)該考慮安全意識等各個(gè)層面統(tǒng)籌。木筒裝水的多少?zèng)Q定于最矮的木板,然而系統(tǒng)的總體安全級別就象裝在木筒中的水,系統(tǒng)安全級別的高低取決于系統(tǒng)安全管理最薄弱的環(huán)節(jié)。所以我們對系統(tǒng)安全管理應(yīng)該是多方面的、多層次的,要從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、操作系統(tǒng)各個(gè)方面來提高系統(tǒng)的安全級別,還要把原來通過管理規(guī)定由使用人員自覺維護(hù)的安全規(guī)則用系統(tǒng)來自動(dòng)實(shí)現(xiàn),來加強(qiáng)系統(tǒng)的總體安全性。

二、網(wǎng)絡(luò)安全總體設(shè)計(jì)

據(jù)統(tǒng)計(jì),在英國50%的用戶口令都是寵物名稱,而在全世界銷售的150,000套防火墻中有85%的防火墻沒有正確的配置,60%的防火墻按缺省設(shè)置安裝。然而對于系統(tǒng)安全的維護(hù)和管理需要各種層次的系統(tǒng)和安全專家才能完成。如果沒有專業(yè)人員的介入,根據(jù)實(shí)際情況對安全管理產(chǎn)品進(jìn)行詳細(xì)地配置,對于企業(yè)的策略進(jìn)行設(shè)計(jì)和安全管理規(guī)范,就算功能再強(qiáng)大的安全產(chǎn)品也會達(dá)不到非常好的安全防護(hù)作用。

三、安全系統(tǒng)的建設(shè)原則

“使入侵者花費(fèi)不可接受的金錢與時(shí)間,并且承受非常高的風(fēng)險(xiǎn)才可以闖入的系統(tǒng)叫做安全系統(tǒng)。我們認(rèn)為,絕對安全與可靠的信息系統(tǒng)并不存在。然而安全性的增加通常會導(dǎo)致企業(yè)費(fèi)用的增長,這些費(fèi)用包括系統(tǒng)復(fù)雜性增加、系統(tǒng)性能下降、操作與維護(hù)成本增加和系統(tǒng)可用性降低等等。安全不是目的而是一個(gè)過程。威脅與弱點(diǎn)會隨時(shí)間變化。然而安全的努力依賴于許多因素,例如新業(yè)務(wù)應(yīng)用的實(shí)施、職員的調(diào)整、安全漏洞和新攻擊技術(shù)與工具的導(dǎo)入。

參考文獻(xiàn):

[1]張千里,陳光英.網(wǎng)絡(luò)安全新技術(shù)[M].北京:人民郵電出版社,2003

[2]高永強(qiáng),郭世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京:人民郵電出版社,2003

篇10

根據(jù)最新的國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的報(bào)告，目前網(wǎng)絡(luò)攻擊的動(dòng)機(jī)逐漸從技術(shù)炫耀型轉(zhuǎn)向利益驅(qū)動(dòng)型，網(wǎng)絡(luò)攻擊的組織性、趨利性、專業(yè)性和定向性繼續(xù)加強(qiáng)，從而導(dǎo)致為獲得經(jīng)濟(jì)利益的惡意代碼和在線身份竊取成為網(wǎng)絡(luò)攻擊的主流，瞄準(zhǔn)特定用戶群體的定向化信息竊取和勒索成為網(wǎng)絡(luò)攻擊的新趨勢。此外我國被篡改的網(wǎng)站數(shù)量居高不下，尤其是政府網(wǎng)站被篡改的比例呈現(xiàn)上升趨勢。圖1顯示了我國僅在2006上半年統(tǒng)計(jì)的網(wǎng)絡(luò)安全事件數(shù); 圖2則顯示了當(dāng)前我們所面對的網(wǎng)絡(luò)安全威脅種類的復(fù)雜性和多樣性。由此可見，我國的信息安全面臨嚴(yán)峻考驗(yàn)。

從圖1和圖2我們不難看出，當(dāng)前的網(wǎng)絡(luò)攻擊和威脅的最大特點(diǎn)是趨利化，那么對于企業(yè)來說，如果沒有一套較好的安全防范架構(gòu)，那就不可避免地會在紛繁復(fù)雜的網(wǎng)絡(luò)中遭受大量的乃至致命的打擊。因此，建立企業(yè)安全防范架構(gòu)勢在必行。

安全架構(gòu)模型

從當(dāng)前的理論研究以及實(shí)踐經(jīng)驗(yàn)來看，面向企業(yè)安全的防范架構(gòu)并未有一個(gè)成型的模型，各企業(yè)均按照自身的經(jīng)驗(yàn)和組織管理體系來進(jìn)行企業(yè)網(wǎng)絡(luò)安全的防范工作。然而，在實(shí)踐中急需有一套具有指導(dǎo)性意義的方法和手段來對其工作進(jìn)行指導(dǎo)，才能做到有備無患。我們看到，關(guān)于網(wǎng)絡(luò)安全的相關(guān)標(biāo)準(zhǔn)及模型的研究已經(jīng)日趨成熟和理論化，并在實(shí)踐中廣泛應(yīng)用。因此，我們不妨借用這些模型和標(biāo)準(zhǔn)來構(gòu)建一套較為有效和具有普遍意義的企業(yè)安全防范體系。

ITU-T X.800 Security architecture標(biāo)準(zhǔn)將我們常說的“網(wǎng)絡(luò)安全(Network Security)”進(jìn)行邏輯上的分別定義，即安全攻擊(Security Attack)是指損害機(jī)構(gòu)所擁有信息的安全的任何行為;安全機(jī)制(Security Mechanism)是指設(shè)計(jì)用于檢測、預(yù)防安全攻擊或者恢復(fù)系統(tǒng)的機(jī)制; 安全服務(wù)(Security Service)是指采用一種或多種安全機(jī)制以抵御安全攻擊、提高機(jī)構(gòu)的數(shù)據(jù)處理系統(tǒng)安全和信息傳輸安全的服務(wù)。三者之間的關(guān)系如表1所示。

為了能夠有效了解用戶的安全需求，選擇各種安全產(chǎn)品和策略，有必要建立一些系統(tǒng)的方法來進(jìn)行網(wǎng)絡(luò)安全防范。網(wǎng)絡(luò)安全防范體系的科學(xué)性、可行性是其可順利實(shí)施的保障。圖3給出了DISSP安全框架三維模型。第一維是安全服務(wù)，給出了八種安全屬性。第二維是系統(tǒng)單元，給出了信息網(wǎng)絡(luò)系統(tǒng)的組成。第三維是結(jié)構(gòu)層次，給出并擴(kuò)展了國際標(biāo)準(zhǔn)化組織ISO的七層開放系統(tǒng)互聯(lián)(OSI)模型。

框架結(jié)構(gòu)中的每一個(gè)系統(tǒng)單元都對應(yīng)于某一個(gè)協(xié)議層次，需要采取若干種安全服務(wù)才能保證該系統(tǒng)單元的安全。網(wǎng)絡(luò)平臺需要有網(wǎng)絡(luò)節(jié)點(diǎn)之間的認(rèn)證、訪問控制，應(yīng)用平臺需要有針對用戶的認(rèn)證、訪問控制，需要保證數(shù)據(jù)傳輸?shù)耐暾?、保密性，需要有抗抵賴和審?jì)的功能，需要保證應(yīng)用系統(tǒng)的可用性和可靠性。針對一個(gè)信息網(wǎng)絡(luò)系統(tǒng)，如果在各個(gè)系統(tǒng)單元都有相應(yīng)的安全措施來滿足其安全需求，則我們認(rèn)為該信息網(wǎng)絡(luò)是安全的。

安全架構(gòu)的層次結(jié)構(gòu)

作為全方位的、整體的網(wǎng)絡(luò)安全防范架構(gòu)是分層次的，不同層次反映了不同的安全問題。我們可以將企業(yè)安全防范架構(gòu)的層次劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理（如圖3）。由于層次的不同，我們也需要采用不同的安全技術(shù)來針對每層的安全問題進(jìn)行應(yīng)對和防護(hù)，因而也就產(chǎn)生了如圖4中所列的種類繁多的安全技術(shù)。

物理層

保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。該層次的安全包括通信線路的安全、物理設(shè)備的安全、機(jī)房的安全等。因此，該層的安全防護(hù)技術(shù)具體體現(xiàn)在設(shè)備和系統(tǒng)的管理層面和電氣工程相關(guān)技術(shù)的層面上。

網(wǎng)絡(luò)層

該層的安全及安全技術(shù)問題是當(dāng)前企業(yè)面臨的最大問題，其安全防護(hù)技術(shù)主要是針對各種類型的DoS和DDoS攻擊進(jìn)行防護(hù)和抑制。

管理層

管理層安全是最重要而且最容易被忽視的一個(gè)問題。它直接關(guān)系到上述安全問題和安全技術(shù)是否能夠收到較好的成效，也是貫穿整個(gè)企業(yè)安全防范架構(gòu)的一條重要主線。安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。

網(wǎng)絡(luò)防護(hù)兩大趨勢

隨著攻擊技術(shù)的不斷發(fā)展和演化，我們需要對企業(yè)網(wǎng)絡(luò)防護(hù)技術(shù)的未來發(fā)展趨勢進(jìn)行把握，可以做出如下兩個(gè)層面的歸納和預(yù)測。

首先是在網(wǎng)絡(luò)應(yīng)用層中，風(fēng)險(xiǎn)分析的重點(diǎn)將放在安全測評評估技術(shù)上。它的戰(zhàn)略目標(biāo)是掌握網(wǎng)絡(luò)、信息系統(tǒng)安全測試及風(fēng)險(xiǎn)評估技術(shù)，建立完整的、面向等級保護(hù)的測評流程及風(fēng)險(xiǎn)評估體系。這一點(diǎn)和過去不一樣，過去做測評是沒有強(qiáng)調(diào)等級保護(hù)的。

此外，網(wǎng)絡(luò)應(yīng)用層的網(wǎng)絡(luò)安全事件監(jiān)控技術(shù)的戰(zhàn)略目標(biāo)應(yīng)重點(diǎn)放在整個(gè)企業(yè)的層面進(jìn)行考慮，要掌握保障基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)安全運(yùn)行的能力，提高網(wǎng)絡(luò)安全危機(jī)處理的能力。響應(yīng)的重點(diǎn)應(yīng)該放在惡意代碼防范與應(yīng)急響應(yīng)技術(shù)上，其戰(zhàn)略目標(biāo)是掌握有效的惡意代碼防范與反擊策略。一旦發(fā)現(xiàn)惡意代碼，要迅速提出針對這個(gè)惡意代碼的遏制手段，要提供國家層面的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)支撐技術(shù)。其主要?jiǎng)?chuàng)新點(diǎn)在于，提出對蠕蟲、病毒、木馬、僵尸網(wǎng)絡(luò)、垃圾郵件等惡意代碼的控制機(jī)理。

此外國際產(chǎn)業(yè)界還提出了UTM。它的目標(biāo)主要針對安全防護(hù)技術(shù)一體化、集成化的趨勢，提出了UTM與網(wǎng)絡(luò)安全管理的有效模型、關(guān)鍵算法，提出了相應(yīng)的行業(yè)標(biāo)準(zhǔn)及其實(shí)現(xiàn)方式。UTM可以提高效果、降低投資，通過綜合管理提高防護(hù)能力。

有明顯發(fā)展新趨勢的第二個(gè)層面是系統(tǒng)與物理層，在這一層安全存儲系統(tǒng)產(chǎn)品很多，從安全角度來看，它的發(fā)展趨勢有兩點(diǎn): 一個(gè)是機(jī)密性，企業(yè)要掌握海量數(shù)據(jù)的加密存儲和檢索技術(shù)，保障存儲數(shù)據(jù)的機(jī)密性和安全訪問能力; 另一個(gè)是安全存儲系統(tǒng)自身要可靠，企業(yè)要掌握高可靠海量存儲技術(shù)，保障海量存儲系統(tǒng)中數(shù)據(jù)的可靠性。創(chuàng)新點(diǎn)在于，應(yīng)提出海量分布式數(shù)據(jù)存儲設(shè)備的高性能加密與存儲訪問方法，提出數(shù)據(jù)自毀機(jī)理數(shù)據(jù)備份與可生存性技術(shù)是圍繞災(zāi)難恢復(fù)來做的。這主要是用于第三方實(shí)施數(shù)據(jù)災(zāi)難備份的模型與方法，為建設(shè)通用災(zāi)難備份中心提供理論依據(jù)與技術(shù)手段，建立網(wǎng)絡(luò)與信息系統(tǒng)生存性和抗毀性，提高網(wǎng)絡(luò)與信息系統(tǒng)的可靠性。對網(wǎng)絡(luò)安全模型提出一個(gè)技術(shù)性模型，應(yīng)該要有一個(gè)可信計(jì)算平臺做整體的支撐。業(yè)界的戰(zhàn)略目標(biāo)是掌握基于自主專利與標(biāo)準(zhǔn)的可信平臺模塊、硬件、軟件支撐、應(yīng)用安全軟件、測評等一批核心技術(shù)，主導(dǎo)我國可信計(jì)算平臺的跨越式發(fā)展，為可信的企業(yè)計(jì)算提供操作平臺和可靠保障。

鏈接

企業(yè)安全防范架構(gòu)設(shè)計(jì)準(zhǔn)則

根據(jù)安全防范架構(gòu)的多個(gè)層面的問題，綜合考慮可實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等方面，企業(yè)網(wǎng)絡(luò)安全防范架構(gòu)在整體設(shè)計(jì)過程中需要遵循以下幾項(xiàng)準(zhǔn)則，以切實(shí)全面地做好企業(yè)安全防范工作:

1．做好整體規(guī)劃

企業(yè)信息安全系統(tǒng)應(yīng)該包括安全防護(hù)機(jī)制、安全檢測機(jī)制和安全響應(yīng)機(jī)制和安全策略。這主要來源于經(jīng)典的信息安全領(lǐng)域的P2DR模型（見右下圖）。P2DR模型包含四個(gè)主要部分: Policy（安全策略）、Protection（防護(hù)）、Detection（檢測）和Response（響應(yīng)）。

06

具體到企業(yè)安全防范架構(gòu)上，我們也要很好地考慮這些要點(diǎn)，而不能光為了防范而防范，要整體規(guī)劃和部署。也就是說，安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應(yīng)防護(hù)措施，避免非法攻擊。安全檢測機(jī)制是檢測系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)和制止對系統(tǒng)進(jìn)行的各種攻擊。安全響應(yīng)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息，減少供給的破壞程度。

2．做好層次性防范

層次性防范是指安全層次和安全級別。良好的信息安全系統(tǒng)必然是分為不同等級的，包括對信息保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域)，對系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)，從而針對不同級別的安全對象，提供全面、可選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。

3．突出重點(diǎn)，合理平衡

網(wǎng)絡(luò)信息安全的木桶原理是指對信息均衡、全面地進(jìn)行保護(hù)。網(wǎng)絡(luò)信息系統(tǒng)是一個(gè)復(fù)雜的計(jì)算機(jī)系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性使單純的技術(shù)保護(hù)防不勝防。攻擊者使用的“最易滲透原則”，必然在系統(tǒng)中最薄弱的地方進(jìn)行攻擊。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進(jìn)行分析，評估和檢測(包括模擬攻擊)是設(shè)計(jì)信息安全系統(tǒng)的必要前提條件。

4．技術(shù)與管理，兩手都要硬

安全體系是一個(gè)復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。切忌只重視其中一種而忽視另一種的情況出現(xiàn)，要明白好的技術(shù)是管理的基礎(chǔ)，而高效地管理則是技術(shù)強(qiáng)有力的保證。