序論：速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)，特別為您篩選了11篇企業(yè)網(wǎng)絡(luò)安全論文范文。如果您需要更多原創(chuàng)資料，歡迎隨時(shí)與我們的客服老師聯(lián)系，希望您能從中汲取靈感和知識(shí)！

篇1

（1）從使用網(wǎng)絡(luò)的人來看，網(wǎng)絡(luò)使用者的安全防范意識(shí)不盡相同，有的人非常重視網(wǎng)絡(luò)安全，有的人甚至不知道什么是網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全意識(shí)薄弱。

（2）從黑客的角度來分析，黑客對(duì)于網(wǎng)絡(luò)安全的威脅是目前最大的。黑客通常是利用技術(shù)將帶有病毒的游戲、網(wǎng)頁、多媒體等放入軟件終端，電腦使用者不留意就會(huì)點(diǎn)開這些資源，黑客就會(huì)監(jiān)控電腦的一切活動(dòng)，會(huì)偷取計(jì)算機(jī)上的用戶名、賬戶、密碼等個(gè)人隱私數(shù)據(jù)，或者占用系統(tǒng)資源，嚴(yán)重的情況下會(huì)導(dǎo)致系統(tǒng)崩潰，企業(yè)相關(guān)的資料都會(huì)消失，損害企業(yè)的經(jīng)濟(jì)、財(cái)產(chǎn)，并為網(wǎng)絡(luò)安全帶來威脅。

1.2客觀因素

石油企業(yè)應(yīng)用網(wǎng)絡(luò)辦公都已經(jīng)形成了企業(yè)獨(dú)立的網(wǎng)絡(luò)系統(tǒng)，但還是受到網(wǎng)絡(luò)安全的威脅，主要是由于影響石油企業(yè)網(wǎng)絡(luò)安全的自然原因主要是操作系統(tǒng)和軟件的漏洞。隨著科技的發(fā)展，網(wǎng)絡(luò)操作系統(tǒng)和應(yīng)用軟件總在不斷地更新，而且其更新比較慢，這就為黑客的入侵提供了縫隙。

2、石油企業(yè)網(wǎng)絡(luò)安全的防護(hù)技術(shù)措施

隨著石油企業(yè)網(wǎng)絡(luò)安全問題的頻繁出現(xiàn)，網(wǎng)絡(luò)使用者必須重視網(wǎng)絡(luò)安全問題，必須對(duì)網(wǎng)絡(luò)安全采取有效的防護(hù)技術(shù)和措施，為企業(yè)提供安全的網(wǎng)絡(luò)管理平臺(tái)。

2.1石油企業(yè)建立健全企業(yè)規(guī)章制度

為了確保企業(yè)網(wǎng)絡(luò)安全，必須建立完善的安全系統(tǒng)，了解網(wǎng)絡(luò)安全的重要性。對(duì)于網(wǎng)絡(luò)安全事故的發(fā)生，應(yīng)采取處罰制度，并進(jìn)行記錄，一旦出現(xiàn)重大網(wǎng)絡(luò)安全事故，可以做到有證據(jù)可依。

2.2石油企業(yè)應(yīng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)采取加密技術(shù)

石油企業(yè)內(nèi)一些重要的文件必須對(duì)其進(jìn)行加密后再放到外部網(wǎng)絡(luò)中，并結(jié)合防火墻技術(shù)，才能進(jìn)一步提高石油企業(yè)網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部數(shù)據(jù)的保密性和安全性，防止數(shù)據(jù)被非法人員偷盜，損害企業(yè)的利益。

2.3石油企業(yè)應(yīng)加強(qiáng)員工網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)

員工作為石油企業(yè)網(wǎng)絡(luò)的使用者，梳理員工網(wǎng)絡(luò)安全意識(shí)變得尤為重要，只有讓員工認(rèn)識(shí)到網(wǎng)絡(luò)安全的危害和意義才能從根本上防止主觀因素網(wǎng)絡(luò)安全問題的發(fā)生。石油企業(yè)應(yīng)加強(qiáng)對(duì)員工網(wǎng)絡(luò)安全信息的培訓(xùn)工作，提高員工的網(wǎng)絡(luò)安全意識(shí)，保證企業(yè)網(wǎng)絡(luò)安全的使用。

2.4石油企業(yè)應(yīng)加強(qiáng)系統(tǒng)平臺(tái)與漏洞的處理

網(wǎng)絡(luò)管理員可以利用系統(tǒng)漏洞的掃描技術(shù)來提前獲取網(wǎng)絡(luò)應(yīng)用過程中的漏洞，并通過漏洞處理技術(shù)快速恢復(fù)系統(tǒng)漏洞。

3、關(guān)于石油企業(yè)網(wǎng)絡(luò)安全中其它防護(hù)技術(shù)

在石油企業(yè)網(wǎng)絡(luò)安全防護(hù)技術(shù)方案中，還應(yīng)該應(yīng)用以下幾個(gè)防護(hù)技術(shù)：訪問控制技術(shù)、入侵行為檢測(cè)技術(shù)、異常流量分析與處理技術(shù)、終端安全防護(hù)與管理技術(shù)、身份認(rèn)證與管理技術(shù)。

3.1訪問控制技術(shù)

企業(yè)可以根據(jù)企業(yè)本身的安全需求、安全級(jí)別的不同，在網(wǎng)絡(luò)的交界處和內(nèi)部劃分出不同的區(qū)域，在這些區(qū)域中安裝防火墻設(shè)備進(jìn)行訪問控制。通過防火墻設(shè)備對(duì)數(shù)據(jù)包進(jìn)行過濾、對(duì)于有問題的數(shù)據(jù)進(jìn)行分析，防止外部未被授權(quán)的用戶入侵企業(yè)網(wǎng)絡(luò)。單向數(shù)據(jù)輸出的安全區(qū)域，防火墻設(shè)備應(yīng)對(duì)外區(qū)域的訪問請(qǐng)求進(jìn)行阻止；對(duì)于需要進(jìn)行雙向數(shù)據(jù)交互的區(qū)域，必須按照制源地址、目的地址、服務(wù)、協(xié)議、端口內(nèi)容進(jìn)行精確的匹配，避免網(wǎng)絡(luò)安全問題的出現(xiàn)。

3.2入侵行為檢測(cè)技術(shù)

入侵檢測(cè)就是在石油企業(yè)網(wǎng)絡(luò)的關(guān)鍵位置安裝檢測(cè)軟件，對(duì)入侵行為進(jìn)行檢測(cè)與分析。入侵檢測(cè)技術(shù)可以對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)進(jìn)行檢測(cè)，對(duì)產(chǎn)生警告的信息進(jìn)行記錄并處理。

3.3異常流量分析與處理技術(shù)

為了保障供應(yīng)服務(wù)的穩(wěn)定性，避免拒絕服務(wù)攻擊行為導(dǎo)致業(yè)務(wù)系統(tǒng)可用性的喪失，需要通過深度包檢測(cè)。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)流量有問題時(shí)，就會(huì)將惡意數(shù)據(jù)刪除，保留原有的正常數(shù)據(jù)，這樣就保證了有權(quán)限的用戶進(jìn)行正常訪問。

3.4終端安全防護(hù)與管理技術(shù)

企業(yè)整體信息安全水平取決于安全防護(hù)最薄弱的環(huán)節(jié)。在石油企業(yè)中，企業(yè)比較重視網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的保護(hù)，忽視了對(duì)終端計(jì)算機(jī)的全面防護(hù)與管理措施的保護(hù)。這些就需要企業(yè)利用安全防護(hù)管理技術(shù)在內(nèi)部終端計(jì)算機(jī)進(jìn)行統(tǒng)一安全防護(hù)和安全管理，保證信息的安全。

篇2

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來了更大的經(jīng)濟(jì)效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬變的市場(chǎng)，企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時(shí)刻在制約著自己，企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。

在下面的描述中，以某公司為例進(jìn)行說明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計(jì)算機(jī)500余臺(tái)，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累，某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目，基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析

通過對(duì)我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過對(duì)現(xiàn)有的信息安全體系的分析，也可以看出：隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對(duì)外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對(duì)信息安全造成威脅，并且可以各種更加方便的手段對(duì)信息安全造成威脅，比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。

美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn)：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。

已購買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險(xiǎn)原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動(dòng)，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5多重保護(hù)原則

任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

4.6分步實(shí)施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性，尋求安全、風(fēng)險(xiǎn)、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費(fèi)用開支。

5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終，如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對(duì)的，需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡，通過對(duì)某公司信息化和信息安全現(xiàn)狀的分析，對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過與計(jì)算機(jī)專業(yè)公司接觸，初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認(rèn)對(duì)方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過濾技術(shù)，可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織(根證書)之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護(hù)

對(duì)企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來自于企業(yè)內(nèi)部。同時(shí)，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等，因此，對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對(duì)客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

6方案的組織與實(shí)施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過程，也為本方案的實(shí)施提供了借鑒。

圖3

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對(duì)性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對(duì)重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

篇3

2企業(yè)網(wǎng)絡(luò)安全所面臨的威脅

企業(yè)網(wǎng)絡(luò)安全所面臨的威脅除了技術(shù)方面的因素外，還有一部分是管理不善引起的。企業(yè)網(wǎng)絡(luò)安全面臨的威脅主要來自以下兩個(gè)方面。

2.1缺乏專門的管理人員和相關(guān)的管理制度

俗話說“三分技術(shù)，七分管理”，管理是企業(yè)信息化中重要的組成部分。企業(yè)信息化過程中缺乏專門的管理人員和完善的管理制度，都可能引起企業(yè)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)，給企業(yè)網(wǎng)絡(luò)造成安全事故。由于大部分企業(yè)沒有專門的網(wǎng)絡(luò)安全管理人員，相關(guān)的網(wǎng)絡(luò)管理制度也不完善，實(shí)際運(yùn)行過程中沒有嚴(yán)格要求按照企業(yè)的網(wǎng)絡(luò)安全管理制度執(zhí)行。以至于部分企業(yè)選用了最先進(jìn)的網(wǎng)絡(luò)安全設(shè)備，但是其管理員賬號(hào)一直使用默認(rèn)的賬號(hào)，密碼使用簡(jiǎn)單的容易被猜中的密碼，甚至就是默認(rèn)的密碼。由于沒有按照企業(yè)信息化安全管理制度中密碼管理的相關(guān)條款進(jìn)行操作，給系統(tǒng)留下巨大的安全隱患，導(dǎo)致安全事故發(fā)生。

2.2技術(shù)因素導(dǎo)致的主要安全威脅

企業(yè)網(wǎng)絡(luò)應(yīng)用是架構(gòu)在現(xiàn)有的網(wǎng)絡(luò)信息技術(shù)基礎(chǔ)之上，對(duì)技術(shù)的依賴程度非常高，因此不可避免的會(huì)有網(wǎng)絡(luò)信息技術(shù)的缺陷引發(fā)相關(guān)的安全問題，主要表現(xiàn)在以下幾個(gè)方面。

2.2.1計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是一組具有特殊的破壞功能的程序代碼或指令。它可以潛伏在計(jì)算機(jī)的程序或存儲(chǔ)介質(zhì)中，當(dāng)條件滿足時(shí)就會(huì)被激活。企業(yè)網(wǎng)絡(luò)中的計(jì)算機(jī)一旦感染病毒，會(huì)迅速通過網(wǎng)絡(luò)在企業(yè)內(nèi)部傳播，可能導(dǎo)致整個(gè)企業(yè)網(wǎng)絡(luò)癱瘓或者數(shù)據(jù)嚴(yán)重丟失。

2.2.2軟件系統(tǒng)漏洞

軟件的安全漏洞會(huì)被一些別有用心的用戶利用，使軟件執(zhí)行一些被精心設(shè)計(jì)的惡意代碼。一旦軟件中的安全漏洞被利用，就可能引起機(jī)密數(shù)據(jù)泄露或系統(tǒng)控制權(quán)被獲取，從而引發(fā)安全事故。

3企業(yè)網(wǎng)絡(luò)安全的防護(hù)措施

3.1配備良好的管理制度和專門的管理人員

企業(yè)信息化管理部門要建立完整的企業(yè)信息安全防護(hù)制度，結(jié)合企業(yè)自身的信息系統(tǒng)建設(shè)和應(yīng)用的進(jìn)程，統(tǒng)籌規(guī)劃，分步實(shí)施。做好安全風(fēng)險(xiǎn)的評(píng)估、建立信息安全防護(hù)體系、根據(jù)信息安全策略制定管理制度、提高安全管理水平。企業(yè)內(nèi)部的用戶行為約束必須通過嚴(yán)格的管理制度進(jìn)行規(guī)范。同時(shí)建立安全事件應(yīng)急響應(yīng)機(jī)制。配備專門的網(wǎng)絡(luò)安全管理員，負(fù)責(zé)企業(yè)網(wǎng)絡(luò)的系統(tǒng)安全事務(wù)。及時(shí)根據(jù)企業(yè)網(wǎng)絡(luò)的動(dòng)向，建立以預(yù)防為主，事后補(bǔ)救為輔的安全策略。細(xì)化安全管理員工作細(xì)則，如日常操作系統(tǒng)維護(hù)、漏洞檢測(cè)及修補(bǔ)、應(yīng)用系統(tǒng)的安全補(bǔ)丁、病毒防治等工作，并建立工作日志。并對(duì)系統(tǒng)記錄文件進(jìn)行存檔管理。良好的日志和存檔管理，可以為預(yù)測(cè)攻擊，定位攻擊，以及遭受攻擊后追查攻擊者提供有力的支持。

3.2防病毒技術(shù)

就目前企業(yè)網(wǎng)絡(luò)安全的情況來看，網(wǎng)絡(luò)安全管理員主要是做好網(wǎng)絡(luò)防病毒的工作，主流的技術(shù)有分布式殺毒技術(shù)、數(shù)字免疫系統(tǒng)技術(shù)、主動(dòng)內(nèi)核技術(shù)等幾種。企業(yè)需要根據(jù)自身的實(shí)際情況，靈活選用，確保殺毒機(jī)制的有效運(yùn)行。

3.3系統(tǒng)漏洞修補(bǔ)

現(xiàn)代軟件規(guī)模越來越大，功能越來越多，其中隱藏的系統(tǒng)漏洞也可能越來越多。不僅僅是應(yīng)用軟件本身的漏洞，還有可能來自操作系統(tǒng)，數(shù)據(jù)庫系統(tǒng)等底層的系統(tǒng)軟件的漏洞引發(fā)的系列問題。因此解決系統(tǒng)漏洞的根本途徑是不斷地更新的系統(tǒng)的補(bǔ)丁。既可以購買專業(yè)的第三方補(bǔ)丁修補(bǔ)系統(tǒng)，也可以使用軟件廠商自己提供的系統(tǒng)補(bǔ)丁升級(jí)工具。確保操作系統(tǒng)，數(shù)據(jù)系統(tǒng)等底層的系統(tǒng)軟件是最新的，管理員還要及時(shí)關(guān)注應(yīng)用系統(tǒng)廠商提供的升級(jí)補(bǔ)丁的信息，確保發(fā)現(xiàn)漏洞的第一時(shí)間更新補(bǔ)丁，將系統(tǒng)漏洞的危害降到最低。

篇4

現(xiàn)階段，我國(guó)的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不夠健全，未能達(dá)成建立在供電企業(yè)內(nèi)部網(wǎng)絡(luò)信息化的理想狀態(tài)。中部市、縣級(jí)供電公司因?yàn)闂l件有限，信息安全工作相對(duì)投入較少，安全隱患較大，各種安全保障措施較為薄弱，未能建立一個(gè)健全的內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)。但隨著各類信息系統(tǒng)不斷上線投運(yùn)，財(cái)務(wù)、營(yíng)銷、生產(chǎn)各專業(yè)都有相關(guān)的信息系統(tǒng)投入應(yīng)用，相對(duì)薄弱的網(wǎng)絡(luò)系統(tǒng)必將成為整個(gè)信息管理模式的最短板。

（2）存在于網(wǎng)絡(luò)信息化機(jī)構(gòu)漏洞較多。

目前在我國(guó)供電企業(yè)中，網(wǎng)絡(luò)信息化管理并未建立一個(gè)完整系統(tǒng)的體系，供電網(wǎng)絡(luò)的各類系統(tǒng)對(duì)于關(guān)鍵流程流轉(zhuǎn)、數(shù)據(jù)存儲(chǔ)等都非常的重要，不能出現(xiàn)絲毫的問題，但是所承載網(wǎng)絡(luò)平臺(tái)的可靠性卻不高，安全管理漏洞也較多，使得信息管理發(fā)展極不平衡。信息化作為一項(xiàng)系統(tǒng)的工程，未能有專門的部門來負(fù)責(zé)執(zhí)行和管理。網(wǎng)絡(luò)信息安全作為我國(guó)供電企業(yè)安全文化的重要組成部分，針對(duì)現(xiàn)今我國(guó)供電企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀來看，計(jì)算機(jī)病毒，黑客攻擊造成的關(guān)鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡(luò)安全隱患。各種計(jì)算機(jī)準(zhǔn)入技術(shù)，可移動(dòng)存儲(chǔ)介質(zhì)加密技術(shù)的應(yīng)用，給企業(yè)信息網(wǎng)絡(luò)安全帶來了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實(shí)是：操作系統(tǒng)正版化程度嚴(yán)重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新，針對(duì)操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計(jì)算機(jī)網(wǎng)絡(luò)病毒的出現(xiàn)，就會(huì)對(duì)企業(yè)內(nèi)部計(jì)算機(jī)進(jìn)行大規(guī)模的傳播，給目前相對(duì)公開化的網(wǎng)絡(luò)一個(gè)有機(jī)可乘的機(jī)會(huì)，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行惡意破壞，導(dǎo)致計(jì)算機(jī)系統(tǒng)崩潰。不法分力趁機(jī)竊取國(guó)家供電企業(yè)的相關(guān)文件，篡改供電系統(tǒng)相關(guān)數(shù)據(jù)，對(duì)國(guó)家供電系統(tǒng)進(jìn)行毀滅性的攻擊，甚至致使整個(gè)供電系統(tǒng)出現(xiàn)大面積癱瘓。

（3）職工安全防范意識(shí)不夠。

想要保證我國(guó)網(wǎng)絡(luò)信息的安全，就必須要提高供電企業(yè)員工的綜合素質(zhì)，目前國(guó)內(nèi)供電企業(yè)職員的安全防范意識(shí)不強(qiáng)，水平參差不齊，多數(shù)為年輕職員，實(shí)際操作的能力較低，缺少應(yīng)對(duì)突發(fā)事件應(yīng)對(duì)措施知識(shí)的積累。且多數(shù)老齡職工難以對(duì)網(wǎng)絡(luò)信息完全掌握，跟不上信息化更新狀態(tài)，與新型網(wǎng)絡(luò)技術(shù)相脫軌。

2網(wǎng)絡(luò)信息安全管理在供電企業(yè)中的應(yīng)用

造成供電企業(yè)的信息安全的威脅主要來自兩個(gè)方面，一方面是國(guó)家供電企業(yè)本身設(shè)備上的信息安全威脅，另一方面就是外界網(wǎng)絡(luò)惡意的攻擊其中以外界攻擊的方式存在的較多?，F(xiàn)階段我國(guó)供電企業(yè)的相關(guān)部門都在使用計(jì)算機(jī)對(duì)網(wǎng)絡(luò)安全進(jìn)行監(jiān)督和管理，難以保證所有計(jì)算機(jī)完全處在安全狀態(tài)。一般情況下某臺(tái)計(jì)算機(jī)泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的，這就需要加強(qiáng)我國(guó)供電企業(yè)進(jìn)行安全的管理，建立病毒防護(hù)體系，及時(shí)更新網(wǎng)絡(luò)防病毒軟件，針對(duì)性地引進(jìn)遠(yuǎn)程協(xié)助設(shè)備，提高警報(bào)設(shè)備的水平。供電企業(yè)的信息系統(tǒng)一個(gè)較為龐大且繁雜的系統(tǒng)，在這個(gè)系統(tǒng)中存在信息安全風(fēng)險(xiǎn)也是必然的。在這種情況下就要最大程度地降低存在的風(fēng)險(xiǎn)，對(duì)經(jīng)歷的風(fēng)險(xiǎn)進(jìn)行剖析，制定針對(duì)性的風(fēng)險(xiǎn)評(píng)估政策，確立供電企業(yè)信息系統(tǒng)安全是以制定針對(duì)性風(fēng)險(xiǎn)評(píng)估政策為前提的，根據(jù)信息安全工作的緊迫需求做好全面的風(fēng)險(xiǎn)評(píng)估至關(guān)重要。“掌握核心技術(shù)”不只是一句簡(jiǎn)單的廣告詞語，還是國(guó)家和各個(gè)企業(yè)都應(yīng)該一直貫徹落實(shí)的方針政策。為了避免外界對(duì)我國(guó)供電企業(yè)信息技術(shù)的操控，國(guó)家相關(guān)部門就必須實(shí)行自主研發(fā)信息安全管理體系，有效地運(yùn)用高科技網(wǎng)絡(luò)技術(shù)促使安全策略、安全服務(wù)和安全機(jī)制的相結(jié)合，大力開發(fā)信息網(wǎng)絡(luò)，促進(jìn)科技管理水平的快速提高，以保證我國(guó)供電信息管理的安全。

篇5

近年來，很多現(xiàn)代化企業(yè)加大信息建設(shè)，一些下屬公司的網(wǎng)絡(luò)接入企業(yè)總網(wǎng)絡(luò)，企業(yè)網(wǎng)路物理層邊界限制模糊，而電子商務(wù)的業(yè)務(wù)發(fā)展需求要求企業(yè)網(wǎng)絡(luò)具有共享性，能夠在一定權(quán)限下實(shí)現(xiàn)網(wǎng)絡(luò)交易，這也使得企業(yè)內(nèi)部網(wǎng)絡(luò)邊界成為一個(gè)邏輯邊界，防火墻在網(wǎng)絡(luò)邊界上的設(shè)置受到很多限制，影響了防火墻的安全防護(hù)作用。

1.2入侵審計(jì)和防御體系不完善

隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)攻擊、計(jì)算機(jī)病毒不斷變化，其破壞力強(qiáng)、速度快、形式多樣、難以防范，嚴(yán)重威脅企業(yè)網(wǎng)絡(luò)安全。當(dāng)前，很多企業(yè)缺乏完善的入侵審計(jì)和防御體系，企業(yè)網(wǎng)絡(luò)的主動(dòng)防御和智能分析能力明顯不足，檢查監(jiān)控效率低，缺乏一致性的安全防護(hù)規(guī)范，安全策略落實(shí)不到位。

2.構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系

2.1企業(yè)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建目標(biāo)

結(jié)合企業(yè)網(wǎng)絡(luò)的安全目標(biāo)、使用主體、性質(zhì)等因素，合理劃分企業(yè)邏輯子網(wǎng)，對(duì)不同的邏輯子網(wǎng)設(shè)置不同的安全防護(hù)體系，加強(qiáng)網(wǎng)絡(luò)邊界控制和安全訪問控制，保持區(qū)域之間的信任關(guān)系，構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系，實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)：第一，將大型的、復(fù)雜的企業(yè)網(wǎng)絡(luò)安全問題轉(zhuǎn)化為小區(qū)域的、簡(jiǎn)單的安全防護(hù)問題，有效控制企業(yè)網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全；第二，合理劃分企業(yè)網(wǎng)絡(luò)安全域，優(yōu)化網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)、規(guī)劃和入網(wǎng)；第三，明確企業(yè)網(wǎng)絡(luò)各個(gè)區(qū)域的安全防護(hù)難點(diǎn)和重點(diǎn)，加大安全設(shè)備投入量，提高企業(yè)網(wǎng)絡(luò)安全設(shè)備的利用率；第四，加強(qiáng)企業(yè)網(wǎng)絡(luò)運(yùn)行維護(hù)，合理部署企業(yè)網(wǎng)絡(luò)的審計(jì)設(shè)備，提供全面的網(wǎng)絡(luò)審核和檢查依據(jù)，為企業(yè)構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系提供重要參考。

2.2合理劃分安全域

現(xiàn)代化企業(yè)網(wǎng)絡(luò)可以按照系統(tǒng)行為、安全防護(hù)等級(jí)和業(yè)務(wù)系統(tǒng)這三種方式來劃分安全域。由于企業(yè)網(wǎng)絡(luò)在不同區(qū)域和不同層次關(guān)注的內(nèi)容不同，因此在劃分企業(yè)網(wǎng)絡(luò)安全域時(shí)，應(yīng)結(jié)合業(yè)務(wù)屬性和網(wǎng)絡(luò)管理，不僅要確保企業(yè)正常的生產(chǎn)運(yùn)營(yíng)，還應(yīng)考慮網(wǎng)絡(luò)安全域劃分是否合理。針對(duì)這個(gè)問題，企業(yè)網(wǎng)絡(luò)安全域劃分不能僅應(yīng)用一種劃分方式，應(yīng)綜合應(yīng)用多種方式，充分發(fā)揮不同方式的優(yōu)勢(shì)，結(jié)合企業(yè)網(wǎng)絡(luò)管理要求和網(wǎng)絡(luò)業(yè)務(wù)需求，有針對(duì)性地進(jìn)行企業(yè)網(wǎng)絡(luò)安全域劃分。首先，根據(jù)業(yè)務(wù)需求，可以將企業(yè)網(wǎng)絡(luò)分為兩部分：外網(wǎng)和內(nèi)網(wǎng)。由于互聯(lián)網(wǎng)出口全部位于外網(wǎng)，企業(yè)網(wǎng)絡(luò)可以在外網(wǎng)用戶端和內(nèi)網(wǎng)之間設(shè)置隔離，使外網(wǎng)服務(wù)和內(nèi)網(wǎng)服務(wù)分離，隔離各種安全威脅，確保企業(yè)內(nèi)網(wǎng)業(yè)務(wù)的安全性。其次，按照企業(yè)業(yè)務(wù)系統(tǒng)方式，分別劃分外網(wǎng)和內(nèi)網(wǎng)安全域，企業(yè)外網(wǎng)可以分為員工公寓網(wǎng)絡(luò)、項(xiàng)目網(wǎng)絡(luò)、對(duì)外服務(wù)網(wǎng)絡(luò)等子網(wǎng)，內(nèi)網(wǎng)可以分為辦公網(wǎng)、生產(chǎn)網(wǎng)，其中再細(xì)分出材料采購網(wǎng)、保管網(wǎng)、辦公管理網(wǎng)等子網(wǎng)，通過合理劃分安全域，確定明確的網(wǎng)絡(luò)邊界，明確安全防護(hù)范圍和對(duì)象目標(biāo)。最后，按照網(wǎng)絡(luò)安全防護(hù)等級(jí)和系統(tǒng)行為，細(xì)分各個(gè)子網(wǎng)的安全域，劃分出基礎(chǔ)保障域、服務(wù)集中域和邊界接入域?；A(chǔ)保障域主要用來防護(hù)網(wǎng)絡(luò)系統(tǒng)管理控制中心、軟件和各種安全設(shè)備，服務(wù)集中域主要用于防護(hù)企業(yè)網(wǎng)絡(luò)的信息系統(tǒng)，包括信息系統(tǒng)內(nèi)部和系統(tǒng)之間的數(shù)據(jù)防護(hù)，并且按照不同的等級(jí)保護(hù)要求，可以采用分級(jí)防護(hù)措施，邊界接入域主要設(shè)置在企業(yè)網(wǎng)絡(luò)信息系統(tǒng)和其他系統(tǒng)之間的邊界上。

2.3基于入侵檢測(cè)的動(dòng)態(tài)防護(hù)

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，企業(yè)網(wǎng)絡(luò)面臨的安全威脅也不斷發(fā)生變化，網(wǎng)絡(luò)攻擊手段日益多樣化，新病毒不斷涌現(xiàn)，因此企業(yè)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建應(yīng)適應(yīng)網(wǎng)絡(luò)發(fā)展和變化，綜合考慮工作人員、防護(hù)策略、防護(hù)技術(shù)等多方面的因素，實(shí)現(xiàn)基于入侵檢測(cè)的動(dòng)態(tài)防護(hù)?；谌肭謾z測(cè)的動(dòng)態(tài)防護(hù)主要包括備份恢復(fù)、風(fēng)險(xiǎn)分析、應(yīng)急機(jī)制、入侵檢測(cè)和安全防護(hù)，以入侵檢測(cè)為基礎(chǔ)，一旦檢測(cè)到企業(yè)網(wǎng)絡(luò)的入侵威脅，網(wǎng)絡(luò)系統(tǒng)立即啟動(dòng)應(yīng)急機(jī)制，如果檢測(cè)到企業(yè)網(wǎng)絡(luò)系統(tǒng)已經(jīng)受到損壞，可利用備份恢復(fù)機(jī)制，及時(shí)恢復(fù)企業(yè)網(wǎng)絡(luò)設(shè)置，確保企業(yè)網(wǎng)絡(luò)的安全運(yùn)行。通過動(dòng)態(tài)安全防護(hù)策略，利用動(dòng)態(tài)反饋機(jī)制，提高企業(yè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估分析能力和主動(dòng)防御能力。

2.4分層縱深安全防護(hù)策略

企業(yè)網(wǎng)絡(luò)安全防護(hù)最常見的是設(shè)置防火墻，但是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能存在于企業(yè)網(wǎng)絡(luò)的各個(gè)層次，防火墻的安全防護(hù)作用比較有限。企業(yè)網(wǎng)絡(luò)可采用分層縱深安全防護(hù)策略，保障網(wǎng)絡(luò)安全防護(hù)的深度和廣度，構(gòu)建高效、綜合、全面的安全防護(hù)體系，對(duì)于企業(yè)網(wǎng)絡(luò)中的應(yīng)用層、數(shù)據(jù)層、系統(tǒng)層、網(wǎng)絡(luò)層和物理層分別采用信息保護(hù)、應(yīng)用系統(tǒng)安全防護(hù)、數(shù)據(jù)庫安全防護(hù)、操作系統(tǒng)安全防護(hù)、網(wǎng)絡(luò)保護(hù)、物理安全保護(hù)等防護(hù)手段，根據(jù)不同網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，有針對(duì)性地進(jìn)行安全防護(hù)，例如，在網(wǎng)絡(luò)層可利用資源控制模塊和訪問控制模塊，加強(qiáng)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的訪問控制，在企業(yè)網(wǎng)絡(luò)的應(yīng)用層和數(shù)據(jù)層設(shè)置身份授權(quán)和認(rèn)證系統(tǒng)，避免用戶的違規(guī)操作和越權(quán)操作。又例如，由于網(wǎng)絡(luò)環(huán)境比較復(fù)雜，可在企業(yè)網(wǎng)絡(luò)的應(yīng)用層、數(shù)據(jù)層和系統(tǒng)層，設(shè)置網(wǎng)絡(luò)監(jiān)控和檢測(cè)模塊，保護(hù)企業(yè)網(wǎng)絡(luò)的服務(wù)器，防止權(quán)限濫用和誤操作。

篇6

2化工企業(yè)的遺傳神經(jīng)網(wǎng)絡(luò)安全評(píng)價(jià)模型

2．1遺傳神經(jīng)網(wǎng)絡(luò)遺傳算法優(yōu)化神經(jīng)網(wǎng)絡(luò)的方法主要有2種:對(duì)神經(jīng)網(wǎng)絡(luò)的初始權(quán)值和閾值進(jìn)行優(yōu)化;對(duì)神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)進(jìn)行優(yōu)化［5］。本文在保持神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)不變的情況下，用遺傳算法對(duì)BP神經(jīng)網(wǎng)絡(luò)初始權(quán)值和閾值進(jìn)行優(yōu)化。

2．2遺傳神經(jīng)網(wǎng)絡(luò)評(píng)價(jià)模型遺傳神經(jīng)網(wǎng)絡(luò)優(yōu)化的數(shù)學(xué)模型［6］如下:本文構(gòu)建的遺傳神經(jīng)網(wǎng)絡(luò)模型的運(yùn)行過程如下:(1)初始化BP神經(jīng)網(wǎng)絡(luò)。(2)把BP神經(jīng)網(wǎng)絡(luò)的全部權(quán)值與閾值實(shí)數(shù)編碼，確定其長(zhǎng)度l，確定其為遺傳算法的初始種群個(gè)體。(3)設(shè)置遺傳算法的相關(guān)參數(shù)以及終止條件，執(zhí)行遺傳算法;遺傳算法包括對(duì)群體中個(gè)體適應(yīng)度進(jìn)行評(píng)價(jià)，執(zhí)行選擇、交叉、變異遺傳操作，進(jìn)化生成新的群體;反復(fù)操作至設(shè)定的進(jìn)化代數(shù)，最終取得最佳染色體個(gè)體。(4)把最佳染色體個(gè)體解碼，分解為BP網(wǎng)絡(luò)對(duì)應(yīng)的權(quán)值、閾值，輸入訓(xùn)練樣本，利用BP網(wǎng)絡(luò)進(jìn)行訓(xùn)練。(5)得到訓(xùn)練好的BP神經(jīng)網(wǎng)絡(luò)，則可輸入實(shí)例樣本進(jìn)行評(píng)價(jià)。

3遺傳神經(jīng)網(wǎng)絡(luò)評(píng)價(jià)模型在化工企業(yè)的應(yīng)用

3．1學(xué)習(xí)樣本的準(zhǔn)備根據(jù)前文所確定的評(píng)價(jià)指標(biāo)體系和對(duì)某大型煉油化工有限公司成氨分廠提供的空氣分離、渣油氣化、碳黑回收、一氧化碳變換、甲醇洗滌、液氮洗滌等工序的安全原始數(shù)據(jù)，參考文獻(xiàn)中化工企業(yè)安全評(píng)價(jià)指標(biāo)取值標(biāo)準(zhǔn)，進(jìn)行分析和整理，得出11個(gè)實(shí)例樣本，如表5所示。選擇10個(gè)樣本作為遺傳神經(jīng)網(wǎng)絡(luò)的訓(xùn)練樣本，1個(gè)樣本作為測(cè)試樣本。

3．2BP網(wǎng)絡(luò)結(jié)構(gòu)的確定BP網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一般是由網(wǎng)絡(luò)層數(shù)、輸入層節(jié)點(diǎn)數(shù)、隱含層節(jié)點(diǎn)數(shù)、隱含層數(shù)以及輸出層節(jié)點(diǎn)數(shù)等來確定。本文建立的遺傳神經(jīng)網(wǎng)絡(luò)模型是根據(jù)經(jīng)驗(yàn)來確定神經(jīng)網(wǎng)絡(luò)的層數(shù)，一般選取BP神經(jīng)網(wǎng)絡(luò)的層數(shù)為3層［7］。通過化工企業(yè)安全評(píng)價(jià)指標(biāo)的分析，得出BP神經(jīng)網(wǎng)絡(luò)輸入層神經(jīng)元數(shù)目為評(píng)價(jià)指標(biāo)的總數(shù)12+6+8+5=31。模型最后輸出的結(jié)果為綜合安全評(píng)價(jià)結(jié)果，因此，神經(jīng)網(wǎng)絡(luò)的輸出層節(jié)點(diǎn)數(shù)確定為1。隱含層中節(jié)點(diǎn)數(shù)的范圍通過經(jīng)驗(yàn)公式來確定，本文在其確定范圍內(nèi)選12。依據(jù)訓(xùn)練樣本的規(guī)模，設(shè)定學(xué)習(xí)率為0．1，最大訓(xùn)練誤差值設(shè)為10－5，循環(huán)學(xué)習(xí)次數(shù)為1000次。網(wǎng)絡(luò)輸出層為1個(gè)節(jié)點(diǎn)，即化工企業(yè)的安全評(píng)價(jià)結(jié)果?；て髽I(yè)安全等級(jí)一般分為5級(jí)［7］，如表6所示。

3．3遺傳算法優(yōu)化遺傳算法中，參數(shù)設(shè)定如下:種群規(guī)模設(shè)為300，交叉概率設(shè)為0．7，進(jìn)化代數(shù)設(shè)為100，變異率設(shè)為0．05。本文運(yùn)用MATLAB軟件中的遺傳算法工具箱gads，在GUI操作界面中輸入以上參數(shù)，并輸入適應(yīng)度函數(shù)，對(duì)神經(jīng)網(wǎng)絡(luò)的權(quán)閾值進(jìn)行優(yōu)化。經(jīng)過遺傳操作后，運(yùn)行遺傳算法工具箱，則可得出最佳適應(yīng)度曲線圖和最佳個(gè)體圖(圖2)，得到最佳適應(yīng)度個(gè)體，將其進(jìn)行解碼，作為該網(wǎng)絡(luò)的初始權(quán)值和閾值賦給BP神經(jīng)網(wǎng)絡(luò)。

3．4GA－BP神經(jīng)網(wǎng)絡(luò)訓(xùn)練在MATLAB界面中編程語言，得到輸出向量和網(wǎng)絡(luò)均方差變化圖。訓(xùn)練結(jié)果與期望輸出見表7，BP網(wǎng)絡(luò)訓(xùn)練過程如圖3所示。從訓(xùn)練結(jié)果可以看出，該網(wǎng)絡(luò)的誤差值不超過10－5，滿足設(shè)定要求。用該網(wǎng)絡(luò)對(duì)實(shí)例樣本進(jìn)行安全評(píng)價(jià)，得到結(jié)果為3．9956，對(duì)照安全評(píng)價(jià)輸出結(jié)果等級(jí)表為較安全，與目標(biāo)值吻合。從而訓(xùn)練后的網(wǎng)絡(luò)穩(wěn)定性得到驗(yàn)證，可以用于化工企業(yè)安全評(píng)價(jià)。

篇7

（試 行）

一、 網(wǎng)絡(luò)類題目的特點(diǎn)

學(xué)生絡(luò)類題目的特點(diǎn)主要以校園網(wǎng)、小型企業(yè)網(wǎng)、大型企業(yè)網(wǎng)（多地互聯(lián)）為應(yīng)用場(chǎng)合，進(jìn)行網(wǎng)絡(luò)工程設(shè)計(jì)類或網(wǎng)絡(luò)安全類論文的寫作。

二、 網(wǎng)絡(luò)工程設(shè)計(jì)類論文的寫作

1．論文寫作要求

類似于投標(biāo)書，但有不同于投標(biāo)書，不要有商務(wù)性質(zhì)的內(nèi)容（項(xiàng)目培訓(xùn)、售后服務(wù)、產(chǎn)品說明書、產(chǎn)品報(bào)價(jià)……），也一般不考慮具體綜合布線（職院學(xué)校的要求），主要傾向于其技術(shù)實(shí)現(xiàn)。

2．論文寫作基本環(huán)節(jié)

采用工程業(yè)務(wù)流程，類似于軟件工程：

1）需求分析

2）功能要求

3）邏輯網(wǎng)絡(luò)設(shè)計(jì)（設(shè)計(jì)原則、拓?fù)浣Y(jié)構(gòu)圖、背景技術(shù)簡(jiǎn)介、IP地址規(guī)劃表），也稱為總體設(shè)計(jì)

4）物理網(wǎng)絡(luò)設(shè)計(jì)（實(shí)現(xiàn)原則、技術(shù)方案對(duì)比，一般考慮結(jié)構(gòu)化布線），也稱為詳細(xì)設(shè)計(jì)

5）網(wǎng)絡(luò)實(shí)現(xiàn)（設(shè)備選型和綜合布線屬于這個(gè)階段，但我們主要強(qiáng)調(diào)各種設(shè)備的配置與動(dòng)態(tài)聯(lián)調(diào)以實(shí)現(xiàn)具體目標(biāo)）

6）網(wǎng)絡(luò)測(cè)試（比較測(cè)試預(yù)期結(jié)果與實(shí)際結(jié)果）

具體實(shí)現(xiàn)通過采用Dynamips 模擬平臺(tái)和Cisco Packet Tracer(PT)模擬平臺(tái)。

3．注意事項(xiàng)

1）抓住題目主旨和側(cè)重點(diǎn)（類似題目的需求不同，取材角度不同、參考資料的取舍也不同。不同的應(yīng)用場(chǎng)合會(huì)采用不同的拓?fù)浣Y(jié)構(gòu)、路由技術(shù)（BGP、RIP、單區(qū)域和多區(qū)域的OSPF）、交換技術(shù)（Vlan、生成樹、鏈路聚合、堆疊）、訪問（接入）技術(shù)、安全技術(shù)等，只有這樣題目才能各有千秋，否則就都變成了XX公司（校園）網(wǎng)絡(luò)設(shè)計(jì)。）

2）不要有商務(wù)性質(zhì)的內(nèi)容（項(xiàng)目培訓(xùn)、售后服務(wù)……）

3）不要產(chǎn)品使用說明書和安裝調(diào)試說明書

4）不建議包含綜合布線的整個(gè)過程。

4．存在的問題與案例分析

1）結(jié)構(gòu)不太清楚，有些環(huán)節(jié)沒有

2）不應(yīng)有產(chǎn)品說明書，具體實(shí)現(xiàn)要更清楚

三、 網(wǎng)絡(luò)安全類論文的寫作

1．論文寫作基本環(huán)節(jié)與要求

從技術(shù)上講主要有：

1）Internet安全接入防火墻訪問控制；

2）用戶認(rèn)證系統(tǒng)；

3）入侵檢測(cè)系統(tǒng)；

4）網(wǎng)絡(luò)防病毒系統(tǒng)；

5）VPN加密系統(tǒng)；

6）網(wǎng)絡(luò)設(shè)備及服務(wù)器加固；

7）數(shù)據(jù)備份系統(tǒng)；

從模型層次上講主要有：

1）物理層安全風(fēng)險(xiǎn)

2）網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)

3）系統(tǒng)層安全風(fēng)險(xiǎn)

不同的應(yīng)用需求采用不同的技術(shù)。

2. 存在的問題與案例分析

1）選題有些過于復(fù)雜而有些過于簡(jiǎn)單

2）只是簡(jiǎn)單敘述各種安全技術(shù)，沒有具體實(shí)現(xiàn)

四、 論文答辯要求

1）論文格式：從總體上，論文的格式是否滿足《韶關(guān)學(xué)院本科畢業(yè)設(shè)計(jì)規(guī)范》的要求？

篇8

3: 吉林省林業(yè)設(shè)計(jì)院網(wǎng)絡(luò)中心網(wǎng)絡(luò)改造與發(fā)展規(guī)劃.

4: 吉林省林業(yè)系統(tǒng)生態(tài)信息高速公路構(gòu)建課題.

二、論文撰寫與設(shè)計(jì)研究的目的:

跟隨1946年第一臺(tái)計(jì)算機(jī)在美國(guó)誕生,人類文明發(fā)展到一個(gè)嶄新的時(shí)代.尤其是20世紀(jì)后10年,以計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展為契機(jī),我們進(jìn)入了信息時(shí)代.人們的生活和工作逐漸以信息為中心,信息時(shí)代更離不開網(wǎng)絡(luò), 任何一個(gè)規(guī)模企業(yè)尤其開始依賴網(wǎng)絡(luò),沒有網(wǎng)絡(luò)企業(yè)就面臨著落后.

吉林省的林業(yè)分布十分廣泛,以長(zhǎng)白山系為主要脈絡(luò)的山地廣泛分布各種森林資源,而作為林業(yè)及林業(yè)環(huán)境的發(fā)展,林業(yè)生態(tài)信息則是一個(gè)更為龐大的系統(tǒng),快捷,準(zhǔn)確,合理,系統(tǒng)的采集,處理,分析,存儲(chǔ)這些信息是擺在我們面前的十分現(xiàn)實(shí)的問題.在信息交流的這個(gè)世界中,信息好比貨物,我們需要將這些貨物(信息)進(jìn)行合理的處理,其中以硬件為主的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是這些貨物(信息)交流的"公路"和"處理廠",我做這個(gè)題目,就是要為它畫出一條"公路"和若干"處理方法"的藍(lán)圖.

由于森工集團(tuán)這樣的特定企業(yè),其一,它是一個(gè)統(tǒng)一管理的企業(yè),具有集團(tuán)化的特點(diǎn),網(wǎng)絡(luò)的構(gòu)建具有統(tǒng)一性.其二,它又在地理上是一個(gè)分散的企業(yè),網(wǎng)絡(luò)點(diǎn)也具有分散性.然而,分散中還具有集中的特點(diǎn),它的網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)就應(yīng)該是板塊化的.從信息的角度來講,信息的種類多,各種信息的采集傳輸處理角度也不盡相同,我們?cè)谠O(shè)計(jì)的過程中不僅要考慮硬件的地域布局,也要考慮軟件平臺(tái)的配合.

沒有最好,只有更好;更新觀念,大步向前.我相信,在導(dǎo)師的精心指導(dǎo)下,經(jīng)過我的努力,我將為它們創(chuàng)造出一條平坦,寬闊的"高速公路".

1,論文(設(shè)計(jì))研究的對(duì)象:

擬訂以吉林省林業(yè)系統(tǒng)為地理模型,以林業(yè)網(wǎng)絡(luò)綜合服務(wù)為基本需求,以網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為設(shè)計(jì)方向,以軟件整合為應(yīng)用方法,開發(fā)設(shè)計(jì)一套完整的基于集散集團(tuán)企業(yè)的企業(yè)網(wǎng)絡(luò)系統(tǒng).

2,論文(設(shè)計(jì))研究預(yù)期達(dá)到目標(biāo):

通過設(shè)計(jì),論文的撰寫,預(yù)期達(dá)到網(wǎng)絡(luò)設(shè)計(jì)全面化,軟件整合合理化,網(wǎng)絡(luò)性能最優(yōu)化,資金應(yīng)用最低化,工程周期最短化的目標(biāo).

3,論文(設(shè)計(jì))研究的內(nèi)容:

一),主要問題:

設(shè)計(jì)解決網(wǎng)絡(luò)地域規(guī)范與現(xiàn)有網(wǎng)絡(luò)資源的利用和開發(fā).

設(shè)計(jì)解決集中單位的網(wǎng)絡(luò)統(tǒng)一部署.

設(shè)計(jì)解決多類型網(wǎng)絡(luò)的接口部署.

設(shè)計(jì)解決分散網(wǎng)絡(luò)用戶的接入問題.

設(shè)計(jì)解決遠(yuǎn)程瘦用戶網(wǎng)絡(luò)分散點(diǎn)的性能價(jià)格合理化問題.

設(shè)計(jì)解決具有針對(duì)性的輸入設(shè)備的自動(dòng)化信息采集問題.

合理部署網(wǎng)絡(luò)服務(wù)中心的網(wǎng)絡(luò)平衡.

優(yōu)化網(wǎng)絡(luò)服務(wù)系統(tǒng),營(yíng)造合理的網(wǎng)絡(luò)平臺(tái).

網(wǎng)絡(luò)安全問題.

10,基本應(yīng)用軟件整合問題.

二),論文(設(shè)計(jì))包含的部分:

1,地理模型與網(wǎng)絡(luò)模型的整合.

2,企業(yè)內(nèi)部集中部門網(wǎng)絡(luò)設(shè)計(jì).

3,企業(yè)內(nèi)部分散單元網(wǎng)絡(luò)設(shè)計(jì)——總體分散.

4,企業(yè)內(nèi)部分散單元網(wǎng)絡(luò)設(shè)計(jì)——遠(yuǎn)程結(jié)點(diǎn).

5,企業(yè)內(nèi)部分散單元網(wǎng)絡(luò)設(shè)計(jì)——移動(dòng)結(jié)點(diǎn).

6,企業(yè)網(wǎng)絡(luò)窗口(企業(yè)外信息交流)設(shè)計(jì).

7,企業(yè)網(wǎng)絡(luò)中心,服務(wù)平臺(tái)的設(shè)計(jì).

8,企業(yè)網(wǎng)絡(luò)基本應(yīng)用軟件結(jié)構(gòu)設(shè)計(jì).

9,企業(yè)網(wǎng)絡(luò)特定終端接點(diǎn)設(shè)計(jì).

10,企業(yè)網(wǎng)絡(luò)整合設(shè)計(jì).

5,論文(設(shè)計(jì))的實(shí)驗(yàn)方法及理由:

由于設(shè)計(jì)的過程并不是工程的施工過程,在設(shè)計(jì)過程中詳盡的去現(xiàn)場(chǎng)建設(shè)肯定有很大的難度,也不是十分可行的,那么我們?cè)谠O(shè)計(jì)的階段就應(yīng)該進(jìn)行仿真試驗(yàn)和科學(xué)計(jì)算.第一步,通過小型網(wǎng)絡(luò)測(cè)試軟件平臺(tái),第二步,構(gòu)建多個(gè)小型網(wǎng)絡(luò)搭建全局網(wǎng)絡(luò)模擬環(huán)境,第三步,構(gòu)建干擾源利用小型網(wǎng)絡(luò)集總仿真測(cè)試.

6,論文(設(shè)計(jì))實(shí)施安排表:

1.論文(設(shè)計(jì))階段第一周次:相關(guān)理論的學(xué)習(xí)研究,閱讀參考文獻(xiàn)資料,制訂課題研究的實(shí)施方案,準(zhǔn)備試驗(yàn)用網(wǎng)絡(luò)硬件和軟件形成試驗(yàn)程序表及試驗(yàn)細(xì)則.

2.論文(設(shè)計(jì))階段第二周次:開始第一輪實(shí)驗(yàn),進(jìn)行小型網(wǎng)絡(luò)構(gòu)建試驗(yàn),模擬網(wǎng)絡(luò)服務(wù)中心,模擬區(qū)域板塊,模擬遠(yuǎn)程及移動(dòng)網(wǎng)絡(luò).

3.論文(設(shè)計(jì))階段第三周次:進(jìn)行接口模擬試驗(yàn),測(cè)試軟件應(yīng)用平臺(tái),完善課題研究方案.

4.論文(設(shè)計(jì))階段第四周次:完成第一輪實(shí)驗(yàn),提交中期成果(實(shí)驗(yàn)報(bào)告1).

5.論文(設(shè)計(jì))階段第五周次:進(jìn)行第二輪實(shí)驗(yàn),模擬環(huán)境(干擾仿真)實(shí)驗(yàn),提交實(shí)驗(yàn)報(bào)告2.

6.論文(設(shè)計(jì))階段第六周次:完成結(jié)題報(bào)告,形成論文.

三,論文(設(shè)計(jì))實(shí)施工具及參考資料:

小型網(wǎng)絡(luò)環(huán)境,模擬干擾環(huán)境,軟件平臺(tái).

吳企淵《計(jì)算機(jī)網(wǎng)絡(luò)》.

鄭紀(jì)蛟《計(jì)算機(jī)網(wǎng)絡(luò)》.

陳濟(jì)彪 丹青 等 《計(jì)算機(jī)局域網(wǎng)與企業(yè)網(wǎng)》.

christian huitema 《因特網(wǎng)路由技術(shù)》.

[美]othmar kyas 《網(wǎng)絡(luò)安全技術(shù)——風(fēng)險(xiǎn)分析,策略與防火墻》.

其他相關(guān)設(shè)備,軟件的說明書.

1、論文(設(shè)計(jì))的創(chuàng)新點(diǎn):

努力實(shí)現(xiàn)網(wǎng)絡(luò)資源的全面應(yīng)用,擺脫將單純的網(wǎng)絡(luò)硬件設(shè)計(jì)為企業(yè)網(wǎng)絡(luò)設(shè)計(jì)的模式,大膽實(shí)踐將軟件部署與硬件設(shè)計(jì)階段相整合的網(wǎng)絡(luò)設(shè)計(jì)方法.

題目可行性說明及預(yù)期成果:

2、可行性說明:

篇9

1　引言

隨著網(wǎng)絡(luò)的廣泛普及和應(yīng)用，政府、軍隊(duì)大量的機(jī)密文件和重要數(shù)據(jù)，企業(yè)的商業(yè)秘密乃至個(gè)人信息都存儲(chǔ)在計(jì)算機(jī)中，一些不法之徒千方百計(jì)地“闖入”網(wǎng)絡(luò)，竊取和破壞機(jī)密材料及個(gè)人信息。據(jù)專家分析，我國(guó)80%的網(wǎng)站是不安全的，40%以上的網(wǎng)站可以輕易的被入侵。網(wǎng)絡(luò)給人們生活帶來不愉快和尷尬的事例舉不勝舉：存儲(chǔ)在計(jì)算機(jī)中的信息不知不覺被刪除;在數(shù)據(jù)庫中的記錄不知道何時(shí)被修改;正在使用的計(jì)算機(jī)卻不知道何故突然“死機(jī)”等等諸如此類的安全威脅事件數(shù)不勝數(shù)。因此，網(wǎng)絡(luò)信息的安全性具有舉足輕重的作用。

本論文主要針對(duì)分布式網(wǎng)絡(luò)的信息安全展開分析討論，通過對(duì)分布式網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)研究，以期找到可供借鑒的提高分布式網(wǎng)絡(luò)信息安全水平的防范手段或方法，并和廣大同行分享。

2　網(wǎng)絡(luò)安全管理技術(shù)概述

在當(dāng)今這個(gè)信息化社會(huì)中，一方面，硬件平臺(tái)，操作系統(tǒng)平臺(tái)，應(yīng)用軟件等IT系統(tǒng)已變得越來越復(fù)雜和難以統(tǒng)一管理;另一方面，現(xiàn)代社會(huì)生活對(duì)網(wǎng)絡(luò)的高度依賴，使保障網(wǎng)絡(luò)的通暢、可靠就顯得尤其重要。這些都使得網(wǎng)絡(luò)管理技術(shù)成為網(wǎng)絡(luò)安全技術(shù)中人們公認(rèn)的關(guān)鍵技術(shù)。

網(wǎng)絡(luò)管理從功能上講一般包括配置管理、性能管理、安全管理、故障管理等。由于網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)信息系統(tǒng)的性能、管理的關(guān)聯(lián)及影響趨于更復(fù)雜、更嚴(yán)重，網(wǎng)絡(luò)安全管理還逐漸成為網(wǎng)絡(luò)管理技術(shù)中的一個(gè)重要分支，正受到業(yè)界及用戶的日益深切的廣泛關(guān)注。

目前，在網(wǎng)絡(luò)應(yīng)用的深入和技術(shù)頻繁升級(jí)的同時(shí)，非法訪問、惡意攻擊等安全威脅也在不斷推陳出新，愈演愈烈。防火墻、VPN、防病毒、身份認(rèn)證、數(shù)據(jù)加密、安全審計(jì)等安全防護(hù)和管理系統(tǒng)在網(wǎng)絡(luò)中得到了廣泛應(yīng)用。雖然這些安全產(chǎn)品能夠在特定方面發(fā)揮一定的作用，但是這些產(chǎn)品大部分功能分散，各自為戰(zhàn)，形成了相互沒有關(guān)聯(lián)的、隔離的“安全孤島”，各種安全產(chǎn)品彼此之間沒有有效的統(tǒng)一管理調(diào)度機(jī)制，不能互相支撐、協(xié)同工作，從而使安全產(chǎn)品的應(yīng)用效能無法得到充分的發(fā)揮。

從網(wǎng)絡(luò)安全管理員的角度來說，最直接的需求就是在一個(gè)統(tǒng)一的界面中監(jiān)視網(wǎng)絡(luò)中各種安全設(shè)備的運(yùn)行狀態(tài)，對(duì)產(chǎn)生的大量日志信息和報(bào)警信息進(jìn)行統(tǒng)一匯總、分析和審計(jì);同時(shí)在一個(gè)界面完成安全產(chǎn)品的升級(jí)、攻擊事件報(bào)警、響應(yīng)等功能。但是，一方面，由于現(xiàn)今網(wǎng)絡(luò)中的設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)數(shù)量眾多、構(gòu)成復(fù)雜，異構(gòu)性、差異性非常大，而且各自都具有自己的控制管理平臺(tái)、網(wǎng)絡(luò)管理員需要學(xué)習(xí)、了解不同平臺(tái)的使用及管理方法，并應(yīng)用這些管理控制平臺(tái)去管理網(wǎng)絡(luò)中的對(duì)象(設(shè)備、系統(tǒng)、用戶等)，工作復(fù)雜度非常之大。另一方面，應(yīng)用系統(tǒng)是為業(yè)務(wù)服務(wù)的;企業(yè)內(nèi)的員工在整個(gè)業(yè)務(wù)處理過程中處于不同的工作崗位，其對(duì)應(yīng)用系統(tǒng)的使用權(quán)限也不盡相同，網(wǎng)絡(luò)管理員很難在各個(gè)不同的系統(tǒng)中保持用戶權(quán)限和控制策略的全局一致性。

另外，對(duì)大型網(wǎng)絡(luò)而言，管理與安全相關(guān)的事件變得越來越復(fù)雜。網(wǎng)絡(luò)管理員必須將各個(gè)設(shè)備、系統(tǒng)產(chǎn)生的事件、信息關(guān)聯(lián)起來進(jìn)行分析，才能發(fā)現(xiàn)新的或更深層次的安全問題。因此，用戶的網(wǎng)絡(luò)管理需要建立一種新型的整體網(wǎng)絡(luò)安全管理解決方案—分布式網(wǎng)絡(luò)安全管理平臺(tái)來總體配置、調(diào)控整個(gè)網(wǎng)絡(luò)多層面、分布式的安全系統(tǒng)，實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)安全資源的集中監(jiān)控、統(tǒng)一策略管理、智能審計(jì)及多種安全功能模塊之間的互動(dòng)，從而有效簡(jiǎn)化網(wǎng)絡(luò)安全管理工作，提升網(wǎng)絡(luò)的安全水平和可控制性、可管理性，降低用戶的整體安全管理開銷。

3　分布式網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)

3.1 分布式網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)分析

隨著Internet技術(shù)的發(fā)展，現(xiàn)在的企業(yè)網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，設(shè)備物理分布變得十分復(fù)雜，許多企業(yè)都設(shè)有專門的網(wǎng)絡(luò)管理部門，來應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)中可能出現(xiàn)的問題，以保證企業(yè)業(yè)務(wù)的正常運(yùn)行。這些網(wǎng)絡(luò)管理部門的工作人員可能會(huì)根據(jù)需要分布在不同的業(yè)務(wù)部門中，甚至不同的城市中，這就導(dǎo)致原有的集中式網(wǎng)絡(luò)設(shè)備平臺(tái)管理已經(jīng)不能滿足企業(yè)的需求。復(fù)合式網(wǎng)絡(luò)安全管理平臺(tái)必須能夠?qū)崿F(xiàn)遠(yuǎn)程、多用戶、分級(jí)式管理，同時(shí)要保證整個(gè)平臺(tái)系統(tǒng)的安全性。

針對(duì)以上需求，本網(wǎng)絡(luò)安全管理平臺(tái)設(shè)計(jì)為一種網(wǎng)絡(luò)遠(yuǎn)程管理系統(tǒng)，采取服務(wù)器和客戶端的模式。

(1) 分布式網(wǎng)絡(luò)安全管理平臺(tái)服務(wù)器端

分布式網(wǎng)絡(luò)安全管理平臺(tái)的服務(wù)器端是整個(gè)管理系統(tǒng)的核心，它位于要管理的企業(yè)網(wǎng)絡(luò)內(nèi)部的一臺(tái)服務(wù)器上，掌控著所有的網(wǎng)絡(luò)資源，對(duì)被管網(wǎng)絡(luò)資源的操作都是由平臺(tái)服務(wù)器端直接完成。

分布式網(wǎng)絡(luò)安全管理平臺(tái)的各種管理功能模塊是相對(duì)獨(dú)立存在的，而服務(wù)器端相當(dāng)于一個(gè)大容器，當(dāng)需要某種管理功能時(shí)，就可以通過一定的方法，將管理模塊動(dòng)態(tài)加載到服務(wù)器端上。管理模塊完成管理的具體功能，管理模塊既可以單獨(dú)完成某種管理功能，也可以通過服務(wù)器端提供的服務(wù)，協(xié)作完成特定的管理功能。服務(wù)器端還提供了一個(gè)公共的通信接口，通過這個(gè)通信接口，服務(wù)器端上的管理功能模塊就可以實(shí)現(xiàn)與客戶端的交互。

(2) 分布式網(wǎng)絡(luò)安全管理平臺(tái)客戶端

客戶端相當(dāng)于一個(gè)個(gè)企業(yè)網(wǎng)絡(luò)的管理員，這些管理員己經(jīng)被分配給不同的用戶名和密碼，從而對(duì)應(yīng)于不同的平臺(tái)操作權(quán)限。管理員可以通過局域網(wǎng)或者Internet登陸到管理平臺(tái)的服務(wù)器。_服務(wù)器端實(shí)現(xiàn)網(wǎng)絡(luò)安全管理平臺(tái)的各種管理功能。每當(dāng)有用戶登陸到服務(wù)器時(shí)，首先服務(wù)器端有一個(gè)用戶鑒別和權(quán)限判斷，通過后，根據(jù)權(quán)限不同的平臺(tái)管理信息被傳送回客戶端，客戶端將這些管理信息顯示出來。如果管理員在客戶端進(jìn)行了某些操作，客戶端會(huì)將這些操作信息發(fā)送到服務(wù)器，服務(wù)器對(duì)用戶和操作進(jìn)行權(quán)限鑒定，通過后，服務(wù)器就調(diào)用相應(yīng)的管理功能模塊來實(shí)現(xiàn)操作，并將結(jié)果返回給客戶端，客戶端進(jìn)行相應(yīng)的顯示。

3.2 分布式網(wǎng)絡(luò)的安全策略管理設(shè)計(jì)

策略管理的目標(biāo)是可以通過集中的方式高效處理大量防火墻的策略配 置問題。隨著網(wǎng)絡(luò)規(guī)模與業(yè)務(wù)模式的不斷增長(zhǎng)變化，對(duì)IT基礎(chǔ)設(shè)施的全局統(tǒng)一管理越來越成為企業(yè)IT部門的重要職責(zé);策略的集中管理更有效的描述了全網(wǎng)設(shè)備的基本情況，便于設(shè)備間的協(xié)作、控制，能夠提高問題診斷能力，提高運(yùn)營(yíng)的可靠性;另一方面，也極大的減輕了管理員的工作強(qiáng)度，使其工作效率大幅度提高。

策略管理并不是系統(tǒng)中孤立的模塊，它與節(jié)點(diǎn)管理、權(quán)限管理有著緊密的聯(lián)系。由于節(jié)點(diǎn)管理將全網(wǎng)劃分為若干管理域，每個(gè)管理域中還有相應(yīng)的下級(jí)組織部門，因此策略管理首先與節(jié)點(diǎn)信息相聯(lián)系，這也就隱含了策略的層級(jí)配置管理。

另外，策略是由某個(gè)具有一定權(quán)限的管理員對(duì)某個(gè)管理域或設(shè)備制訂的，因此策略是否能定制成功需要調(diào)用權(quán)限管理中的功能加以判定，因此隱含了策略的可行性管理。全網(wǎng)策略被統(tǒng)一存儲(chǔ)，結(jié)合節(jié)點(diǎn)管理，策略存儲(chǔ)有它自身的結(jié)構(gòu)特點(diǎn)，這些屬于策略的存儲(chǔ)管理。

策略按照一定的時(shí)間、順序被部署到具體的設(shè)備上，無論策略是對(duì)管理域定制的，還是對(duì)設(shè)備制訂的，所有相關(guān)的策略最終都要被下發(fā)的設(shè)備中去，下發(fā)的方式能夠根據(jù)實(shí)際網(wǎng)絡(luò)拓?fù)涞淖兓鲞m應(yīng)性調(diào)整，這些屬于策略的管理。

3.3 分布式網(wǎng)絡(luò)信息安全構(gòu)建技術(shù)

(1) 構(gòu)筑入侵檢測(cè)系統(tǒng)(IDS)

不同于防火墻，IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對(duì)IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。

(2) 構(gòu)筑入侵防御(IPS)

入侵防御是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)，它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。入侵防御系統(tǒng)在網(wǎng)絡(luò)邊界檢查到攻擊包的同時(shí)將其直接拋棄，則攻擊包將無法到達(dá)目標(biāo)，從而可以從根本上避免黑客的攻擊。

(3) 采用郵件防病毒服務(wù)器

郵件防病毒服務(wù)器安裝位置一般是郵件服務(wù)器與防火墻之間。郵件防病毒軟件的作用：對(duì)來自INTERNTE的電子郵件進(jìn)行檢測(cè)，根據(jù)預(yù)先設(shè)定的處理方法處理帶毒郵件。郵件防病毒軟件的監(jiān)控范圍包括所有來自INTERNET的電子郵件以及所屬附件。

4　結(jié)語

篇10

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念，可靠的網(wǎng)絡(luò)安全解決方案必須建立在集成網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，比如系統(tǒng)認(rèn)證和各類服務(wù)授權(quán)，數(shù)據(jù)庫的加密及備份，訪問及操作的控制等。但是，通過對(duì)現(xiàn)有電力網(wǎng)絡(luò)的粗略調(diào)查，發(fā)現(xiàn)網(wǎng)絡(luò)本身的脆弱性才是現(xiàn)有電力網(wǎng)絡(luò)安全的最大威脅。

1威臉電力企業(yè)網(wǎng)絡(luò)安全的行為

    網(wǎng)絡(luò)本身存在的脆弱性，導(dǎo)致了眾多威脅電力企業(yè)網(wǎng)絡(luò)安全的行為。

1.1惡意入侵

    我相信我們可以在我們的電力企業(yè)網(wǎng)絡(luò)上，找到很多我們需要的資料，包括機(jī)密度很高的資料。所以，想得到這些資料的人，會(huì)通過網(wǎng)絡(luò)攻擊人侵來達(dá)到目的。網(wǎng)絡(luò)攻擊人侵是一項(xiàng)系統(tǒng)性很強(qiáng)的工作，主要內(nèi)容包括:目標(biāo)分析;文檔獲取;密碼破解;登陸系統(tǒng)、獲取資料與日志清除等技術(shù)。正像前文提到的一樣，我們的網(wǎng)絡(luò)安全形勢(shì)真的是不容樂觀，所以，這種惡意人侵的行為，在電力企業(yè)網(wǎng)絡(luò)中變得相對(duì)簡(jiǎn)單了許多。密碼的獲得，簡(jiǎn)直容易之至，因?yàn)橛行┚褪强铡．?dāng)人侵者得到了密碼之后，就可以很方便的與該機(jī)器建立連接，得到機(jī)器上的資料輕而易舉，且不留痕跡。

1.2惡作劇式的網(wǎng)絡(luò)搗亂行為

    隨著 計(jì)算 機(jī)技術(shù)的推廣，計(jì)算機(jī)安全技術(shù)也得到了廣泛的應(yīng)用，各種計(jì)算機(jī)安全軟件隨處可見。其中不乏功能強(qiáng)大且完全免費(fèi)的網(wǎng)絡(luò)安全軟件，就是某些軟件的共享版的功能也絲毫不可小看。在電力企業(yè)內(nèi)部使用計(jì)算機(jī)的人員中，有很多計(jì)算機(jī)安全技術(shù)的愛好者。他們沒有接受過系統(tǒng)的安全知識(shí)的學(xué)習(xí)，但是，很多網(wǎng)絡(luò)安全軟件的使用相當(dāng)簡(jiǎn)單，只需點(diǎn)幾下鼠標(biāo)，就可以執(zhí)行其強(qiáng)大的功能。而其使用者可能根本不知道這種行為所存在的危險(xiǎn)性，也不知道目標(biāo)機(jī)器的功能何在。

1.3網(wǎng)絡(luò)病毒的傳播

    計(jì)算機(jī)病毒對(duì)大家來說并不陌生，任何一個(gè)接觸計(jì)算機(jī)的人可能都遭遇過病毒的危害。準(zhǔn)確來講，計(jì)算機(jī)病毒又可以分為兩大種:一種是病毒，另一種稱之為蠕蟲。

    病毒是一個(gè)程序，‘段可執(zhí)行碼。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從.個(gè)用戶傳送到另一個(gè)用戶時(shí)廠白們就隨同文件一起蔓延開來。除復(fù)制能力夕卜，某些計(jì)算機(jī)病毒還有其它一些共同特性:一個(gè)被污染的程序能夠傳送病毒載體。

    蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時(shí)具有自己的一些特征，如不利用文件寄生(有的只存在于內(nèi)存中)對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等!

1.4惡意網(wǎng)頁

    當(dāng)我們的電力企業(yè)擁有了自己的網(wǎng)站，連接上了internet，每一個(gè)電腦使用者都在不斷地點(diǎn)擊各種網(wǎng)頁，以尋找對(duì)自己有用的信息。這是我們不可避免的問題，但是，并不是所有的網(wǎng)頁都是安全的。有的網(wǎng)站的開發(fā)者或是擁有者，為了達(dá)到某種目的，就會(huì)修改自己的網(wǎng)頁，使之具有某種特殊的功能。例如:當(dāng)我們不經(jīng)意間，點(diǎn)擊了某個(gè)網(wǎng)站的鏈接，發(fā)現(xiàn)我們的瀏覽器ie已經(jīng)被改頭換面，標(biāo)題永遠(yuǎn)被換成了那個(gè)惡意網(wǎng)站的名稱。通過正常的途徑已經(jīng)無法修改。還有的網(wǎng)頁本身具有木馬的功能，只要你瀏覽之后，你的機(jī)器就有可能被種下了木馬，隨之而來的就是你個(gè)人信息的泄露。

1.5各種軟件本身的漏洞涌現(xiàn)

    軟件本身的特點(diǎn)決定了它一定是個(gè)不完善的產(chǎn)品，會(huì)不斷的涌現(xiàn)出不同嚴(yán)重程度的bug。隨著軟件的使用，使得軟件所接觸的條件日趨復(fù)雜，從而暴露出沒有發(fā)現(xiàn)的自身缺陷。以我們熟悉的微軟公司的windows系列操作系統(tǒng)為例，每隔一段時(shí)間，都會(huì)在微軟的官方網(wǎng)站上貼出最近發(fā)現(xiàn)的漏洞補(bǔ)丁。

2電力 企業(yè) 網(wǎng)絡(luò) 安全基本防范措施

    針對(duì)電力網(wǎng)絡(luò)脆弱性，需要加強(qiáng)的網(wǎng)絡(luò)安全配置和策略應(yīng)該有以下幾個(gè)方面。

2.1防火墻攔截

    防火墻是最近幾年 發(fā)展 起來的一種保護(hù) 計(jì)算 機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制逾出兩個(gè)方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵人;針對(duì)電力企業(yè)的實(shí)際，我個(gè)人認(rèn)為“防火墻十殺毒軟件”的配置手段是比較合適的，但定期的升級(jí)工作是必須的，否則也只能是一種擺設(shè)。

    即便企業(yè)有了各種各樣防火墻和殺毒軟件的保護(hù)，企業(yè)系統(tǒng)管理員也不能夠高枕無憂。為了預(yù)防意外的破壞造成信息丟失和網(wǎng)絡(luò)癱瘓，有必要事先做好網(wǎng)絡(luò)信息和系統(tǒng)的備份。當(dāng)然，定期檢驗(yàn)備份的有效性也非常重要。定期的恢復(fù)演習(xí)是對(duì)備份數(shù)據(jù)有效性的有力鑒定，同時(shí)也是對(duì)網(wǎng)管人員數(shù)據(jù)恢復(fù)技術(shù)操作的演練，做到遇到問題不慌亂，從容應(yīng)付，提供有保障的網(wǎng)絡(luò)訪間服務(wù)。

    防火墻類型主要包括包過濾防火墻、防火墻和雙穴防火墻。其中包過濾防火墻設(shè)置在網(wǎng)絡(luò)層，可以在路由器上實(shí)現(xiàn)包過濾。這種防火墻可以用于禁止外部非法用戶的訪問，也可以用來禁止訪問某些服務(wù)類型。防火墻又稱應(yīng)用層網(wǎng)管級(jí)防火墻，由服務(wù)器和過濾路由器組成，是目前教為流行的一種防火墻。雙穴防火墻從一個(gè)網(wǎng)絡(luò)搜集數(shù)據(jù)，并巨有選擇的把它發(fā)送到另一個(gè)網(wǎng)絡(luò)。

    合理的配置防火墻，是確保我們電力企業(yè)網(wǎng)絡(luò)安全的首要選項(xiàng)。保證我們的網(wǎng)絡(luò)之間的連接安全，不會(huì)在連接端口出現(xiàn)安全漏洞。

2.2用戶管理機(jī)制

    計(jì)算機(jī)在網(wǎng)絡(luò)中的應(yīng)用，存在兩種身份:一種是作為本地計(jì)算機(jī)，用戶可以對(duì)本地的計(jì)算機(jī)資源進(jìn)行管理和使用;另一種是作為網(wǎng)絡(luò)中的一份子。高級(jí)的操作系統(tǒng)，都支持多用戶模式，可以給使用同一臺(tái)計(jì)算機(jī)的不同人員分配不同的帳戶，并在本地分配不同的權(quán)限。在網(wǎng)絡(luò)的服務(wù)器中安裝的網(wǎng)絡(luò)操作系統(tǒng)，更是存在嚴(yán)格的用戶管理模式。微軟的windows系列操作系統(tǒng)，從winnf開始，到win2000 server的用戶管理日趨完善，從單純的域管理，發(fā)展到活動(dòng)目錄的集成管理。在月朗民務(wù)器上我門可以詳細(xì)規(guī)定用戶的權(quán)限，有效地防止非法用戶的登陸和惡意人侵。

2.3密碼機(jī)制

    生活在信息時(shí)代，密碼對(duì)每個(gè)人來說，都不陌生。在能源部門的主力軍—電力企業(yè)的網(wǎng)絡(luò)環(huán)境里，密碼更是顯得尤為重要。可以這樣說，誰掌握了密碼，誰就掌握了信息資源。當(dāng)你失去了密碼，就像你雖然鎖上了門，可是別人卻有了和你同樣的門鑰匙一樣。

    特別將這個(gè)題目單獨(dú)列出，是因?yàn)樽鳛橐粋€(gè)網(wǎng)絡(luò)管理人員，深刻感覺到我們電力企業(yè)內(nèi)部網(wǎng)絡(luò)中，存在大量不安全的密碼。比如弱口令:123, 000, admin等等。這些密碼表面1二看是存在密碼，但實(shí)際上用專用的網(wǎng)絡(luò)工具查看的時(shí)候，很容易的就會(huì)被破解。某些網(wǎng)站和服務(wù)器的密碼便是如此。

篇11

信息技術(shù)正以其廣泛的滲透性和無與倫比的先進(jìn)性與傳統(tǒng)產(chǎn)業(yè)結(jié)合，隨著Internet網(wǎng)絡(luò)的飛速發(fā)展，使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響越來越大。企業(yè)的辦公自動(dòng)化、生產(chǎn)業(yè)務(wù)系統(tǒng)及電子商務(wù)系統(tǒng)對(duì)網(wǎng)絡(luò)系統(tǒng)的依賴性尤其突出，但病毒及黑客對(duì)網(wǎng)絡(luò)系統(tǒng)的惡意入侵使企業(yè)的信息網(wǎng)絡(luò)系統(tǒng)面臨著強(qiáng)大的生存壓力，網(wǎng)絡(luò)安全問題變得越來越重要。

企業(yè)網(wǎng)絡(luò)安全主要來自以下幾個(gè)方面：①來自INTERNET的安全問題；②來自外部網(wǎng)絡(luò)的安全威脅；③來自內(nèi)部網(wǎng)絡(luò)的安全威脅。

針對(duì)以上安全威脅，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全隱患，本文介紹一種靜態(tài)技術(shù)和動(dòng)態(tài)技術(shù)相結(jié)合的安全解決方案，即在網(wǎng)絡(luò)中的各個(gè)部分采取多種安全防范技術(shù)來構(gòu)筑企業(yè)網(wǎng)絡(luò)整體安全體系：①防病毒技術(shù)；②防火墻技術(shù)；③入侵檢測(cè)技術(shù)；④網(wǎng)絡(luò)性能監(jiān)控及故障分析技術(shù)；⑤漏洞掃描安全評(píng)估技術(shù)；⑥主機(jī)訪問控制。

一、防病毒技術(shù)

對(duì)于企業(yè)網(wǎng)絡(luò)及網(wǎng)內(nèi)大量的計(jì)算機(jī)，各種病毒更是防不勝防，如宏病毒和變形病毒。徹底清除病毒，必須采用多層的病毒防護(hù)體系。企業(yè)網(wǎng)絡(luò)防病毒系統(tǒng)采用多層的病毒防衛(wèi)體系和層次化的管理結(jié)構(gòu)，即在企業(yè)信息中心設(shè)防病毒控制臺(tái)，通過該控制臺(tái)控制各二級(jí)網(wǎng)絡(luò)中各個(gè)服務(wù)器和工作站的防病毒策略，監(jiān)督整個(gè)網(wǎng)絡(luò)系統(tǒng)的防病毒軟件配置和運(yùn)行情況，并且能夠進(jìn)行相應(yīng)策略的統(tǒng)一調(diào)整和管理：在較大的下屬子公司設(shè)置防病毒服務(wù)器，負(fù)責(zé)防病毒策略的設(shè)置、病毒代碼分發(fā)等工作。其中信息中心控制臺(tái)作為中央控制臺(tái)負(fù)責(zé)控制各分控制臺(tái)的防病毒策略，采集網(wǎng)絡(luò)中所有客戶端防毒軟件的運(yùn)行狀態(tài)和配置參數(shù)，對(duì)客戶端實(shí)施分組管理等。管理員可以通過管理員客戶端遠(yuǎn)程登錄到網(wǎng)絡(luò)中的所有管理服務(wù)器上，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的管理。根據(jù)需要各個(gè)管理服務(wù)器還可以由專門的區(qū)域管理員管理。管理服務(wù)器負(fù)責(zé)收集網(wǎng)絡(luò)中的客戶端的實(shí)時(shí)信息， 分發(fā)管理員制定的防毒安全策略等。

配套軟件：冠群金辰KILL6.0。KILL采用服務(wù)器/客戶端構(gòu)架，實(shí)時(shí)保護(hù)Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系統(tǒng)的服務(wù)器及Internet網(wǎng)關(guān)服務(wù)器，防止各種引導(dǎo)型病毒、文件型病毒、宏病毒、傳播速度快且破壞性很大的蠕蟲病毒進(jìn)入企業(yè)內(nèi)部網(wǎng)，阻止不懷好意的Java、ActiveX小程序等攻擊企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。它通過全方位的網(wǎng)絡(luò)管理、多種報(bào)警機(jī)制、完整的病毒報(bào)告、支持遠(yuǎn)程服務(wù)器、軟件自動(dòng)分發(fā)，幫助管理員更好的實(shí)施網(wǎng)絡(luò)防病毒工作。

二、防火墻技術(shù)

防火墻是一種形象的說法, 其實(shí)它是一種由計(jì)算機(jī)硬件和軟件的組合, 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)( scurity gateway), 從而抵御網(wǎng)絡(luò)外部安全威脅，保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入，它是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（局域網(wǎng)或城域網(wǎng)）隔開的屏障，控制客戶機(jī)和真實(shí)服務(wù)器之間的通訊，主要包括以下幾方面的功能：①隔離不信任網(wǎng)段間的直接通訊；②拒絕非法訪問；③系統(tǒng)認(rèn)證；④日志功能。在計(jì)算機(jī)網(wǎng)絡(luò)中設(shè)置防火墻后，可以有效防止非法訪問，保護(hù)重要主機(jī)上的數(shù)據(jù)，提高網(wǎng)絡(luò)的安全性。

配套軟件：NetScreen。NetScreen是唯一把防火墻、負(fù)載均衡及流量控制結(jié)合起來，且提供100M的線速性能的軟硬件相結(jié)合的產(chǎn)品，在Internet出口、撥號(hào)接入入口、企業(yè)關(guān)鍵服務(wù)器的前端及與電信、聯(lián)通的連接出口處增設(shè)NetScreen-100f防火墻，可以實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)與外界的安全隔離，保護(hù)企業(yè)的關(guān)鍵信息。

三、入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（IDS）是一種為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是對(duì)防火墻的必要補(bǔ)充，它可以對(duì)系統(tǒng)或網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)惡意入侵者或識(shí)別出對(duì)計(jì)算機(jī)的非法訪問行為，并對(duì)其進(jìn)行隔離，并能收集可以用來訴訟的犯罪證據(jù)。

配套軟件： eTrust Intrusion Detection(Sessionwall-3)。利用基于網(wǎng)絡(luò)的eTrust Intrusion Detection建立入侵檢測(cè)系統(tǒng)來保證企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性。

首先，信息管理中心設(shè)立整個(gè)網(wǎng)絡(luò)監(jiān)控系統(tǒng)的控制中心。通過該控制臺(tái)，管理員能夠?qū)ζ渌W(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行監(jiān)控和配置。在該機(jī)器上安裝集中控制的eID中央控制臺(tái)模塊、eID日志服務(wù)器模塊和eID日志瀏覽器模塊，使所有eTrust Intrusion Detection監(jiān)控工作站處于集中控制之下，該安全主控臺(tái)也被用于集中管理所有的主機(jī)保護(hù)系統(tǒng)軟件。

其次，在Internet出口路由器和防火墻之間部署一套eTrust Intrusion Detection的監(jiān)控工作站，重點(diǎn)解決與Internet的邊界安全問題，在這些工作站上安裝軟件，包括eID基本模塊、eID模塊和日志數(shù)據(jù)庫客戶端。

四、網(wǎng)絡(luò)性能監(jiān)控及故障分析

性能監(jiān)控和故障分析就是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地址為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。該技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面，它自動(dòng)接收著來自網(wǎng)絡(luò)的各種信息，通過對(duì)這些數(shù)據(jù)的分析，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。

配套軟件——NAI Sniffer。NAI Sniffer 是一套功能強(qiáng)大的網(wǎng)絡(luò)故障偵測(cè)工具，它可以幫助用戶快速診斷網(wǎng)絡(luò)故障原因，并提出具體的解決辦法。在信息中心安裝這樣的工具，用于對(duì)網(wǎng)絡(luò)流量和狀態(tài)進(jìn)行監(jiān)控，而且無論全網(wǎng)任何地方發(fā)生問題時(shí)，都可以利用它及時(shí)診斷并排除故障。

五、網(wǎng)絡(luò)系統(tǒng)的安全評(píng)估

網(wǎng)絡(luò)安全性之所以這么低的一個(gè)主要原因就是系統(tǒng)漏洞。譬如管理漏洞、軟件漏洞、結(jié)構(gòu)漏洞、信任漏洞。采用安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合來檢測(cè)系統(tǒng)安全漏洞。

網(wǎng)絡(luò)安全漏洞掃描系統(tǒng)通常安裝在一臺(tái)與網(wǎng)絡(luò)有連接的主機(jī)上。系統(tǒng)中配有一個(gè)信息庫，其中存放著大量有關(guān)系統(tǒng)安全漏洞和可能的黑客攻擊行為的數(shù)據(jù)。掃描系統(tǒng)根據(jù)這些信息向網(wǎng)絡(luò)上的其他主機(jī)和網(wǎng)絡(luò)設(shè)備發(fā)送數(shù)據(jù)包，觀察被掃描的設(shè)備是否存在與信息庫中記錄的內(nèi)容相匹配的安全漏洞。掃描的內(nèi)容包括主機(jī)操作系統(tǒng)本身、操作系統(tǒng)的配置、防火墻配置、網(wǎng)路設(shè)備配置以及應(yīng)用系統(tǒng)等。

網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面：①速度。在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時(shí)；②網(wǎng)絡(luò)拓?fù)?。通過GUI的圖形界面，可選擇一個(gè)或某些區(qū)域的設(shè)備；③能夠發(fā)現(xiàn)的漏洞數(shù)量；④是否支持可定制的攻擊方法；⑤掃描器應(yīng)該能夠給出清楚的安全漏洞報(bào)告。⑥更新周期。提供該項(xiàng)產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安全漏洞掃描特性升級(jí)，并給出相應(yīng)的改進(jìn)建議。

通過網(wǎng)絡(luò)掃描，系統(tǒng)管理員可以及時(shí)發(fā)現(xiàn)網(wǎng)路中存在的安全隱患，并加以必要的修補(bǔ)，從而減小網(wǎng)絡(luò)被攻擊的可能。

配套軟件：Symantec Enterprise Security Manger 5.5。

六、主機(jī)防護(hù)系統(tǒng)

在一個(gè)企業(yè)的網(wǎng)絡(luò)環(huán)境中，大部分信息是以文件、數(shù)據(jù)庫的形式存放在服務(wù)器中的。在信息中心，使用WWW、Mail、文件服務(wù)器、數(shù)據(jù)庫服務(wù)器來對(duì)內(nèi)部、外部用戶提供信息。但無論是UNIX還是Windows 9X/NT/2K，都存在著這樣和那樣的安全薄弱環(huán)節(jié)，存放在這些機(jī)器上的關(guān)鍵業(yè)務(wù)數(shù)據(jù)存在著被破壞和竊取的風(fēng)險(xiǎn)。因此，對(duì)主機(jī)防護(hù)提出了專門的需求。

配套軟件：CA eTrust Access。eTrust Access Control在操作系統(tǒng)的安全功能之上提供了一個(gè)安全保護(hù)層。通過從核心層截取文件訪問控制，以加強(qiáng)操作系統(tǒng)安全性。它具有完整的用戶認(rèn)證，訪問控制及審計(jì)的功能，采用集中式管理，克服了分布式系統(tǒng)在管理上的許多問題。

通過eTrust Access Control，我們可以集中維護(hù)多臺(tái)異構(gòu)平臺(tái)的用戶、組合安全策略，以簡(jiǎn)化安全管理工作。

通過以上幾種安全措施的實(shí)施，從系統(tǒng)級(jí)安全到桌面級(jí)安全，從靜態(tài)訪問控制到動(dòng)態(tài)入侵檢測(cè)主要層面：方案覆蓋網(wǎng)絡(luò)安全的事前弱點(diǎn)漏洞分析修正、事中入侵行為監(jiān)控響應(yīng)和事后信息監(jiān)控取證的全過程，從而全面解決企業(yè)的信息安全問題，使企業(yè)網(wǎng)絡(luò)避免來自內(nèi)外部的攻擊，防止病毒對(duì)主機(jī)的侵害和在網(wǎng)絡(luò)中的傳播。使整個(gè)網(wǎng)絡(luò)的安全水平有很大程度的提高。