序論：速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗，特別為您篩選了11篇企業(yè)網(wǎng)絡安全體系建設范文。如果您需要更多原創(chuàng)資料，歡迎隨時與我們的客服老師聯(lián)系，希望您能從中汲取靈感和知識！

篇1

2企業(yè)網(wǎng)絡面臨的安全風險

2.1物理安全風險

近年來，很多現(xiàn)代化企業(yè)加大信息建設，一些下屬公司的網(wǎng)絡接入企業(yè)總網(wǎng)絡，企業(yè)網(wǎng)路物理層邊界限制模糊，而電子商務的業(yè)務發(fā)展需求要求企業(yè)網(wǎng)絡具有共享性，能夠在一定權(quán)限下實現(xiàn)網(wǎng)絡交易，這也使得企業(yè)內(nèi)部網(wǎng)絡邊界成為一個邏輯邊界，防火墻在網(wǎng)絡邊界上的設置受到很多限制，影響了防火墻的安全防護作用。

2.2入侵審計和防御體系不完善

隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡攻擊、計算機病毒不斷變化，其破壞力強、速度快、形式多樣、難以防范，嚴重威脅企業(yè)網(wǎng)絡安全。當前，很多企業(yè)缺乏完善的入侵審計和防御體系，企業(yè)網(wǎng)絡的主動防御和智能分析能力明顯不足，檢查監(jiān)控效率低，缺乏一致性的安全防護規(guī)范，安全策略落實不到位。

2.3管理安全的風險

企業(yè)網(wǎng)絡與信息的安全需要有效的安全管理措施作為制度體系保障，但是企業(yè)經(jīng)常由于管理的疏忽，造成嚴重的網(wǎng)絡信息安全風險。具體管理安全的風險主要表現(xiàn)在以下幾個方面：企業(yè)沒有健全和完善的網(wǎng)絡安全管理制度，難以落實安全追責；技術人員的操作技術能力缺陷，導致操作混亂；缺乏網(wǎng)絡信息安全管理的意識，沒有健全的網(wǎng)絡信息安全培訓體系等。

3構(gòu)建企業(yè)網(wǎng)絡安全防護體系

3.1加強規(guī)劃、預防和動態(tài)管理

首先，企業(yè)需要建立完善的網(wǎng)絡信息安全防護體系，保證各項安全措施都能夠滿足國家信息安全的標準和要求。對自身潛在的信息安全風險進行統(tǒng)籌規(guī)劃，針對性的展開安全防護系統(tǒng)的設計。其次，企業(yè)應該加強對安全防護系統(tǒng)建設的資金投入，建立適合自己網(wǎng)絡信息應用需求的防護體系，并且定期進行安全系統(tǒng)的維護和升級。最后，加強預防與動態(tài)化的管理，要制定安全風險處理的應急預案，有效降低網(wǎng)絡信息安全事故的發(fā)生。并且根據(jù)網(wǎng)絡信息動態(tài)的變化，采取動態(tài)化的管理措施，將網(wǎng)絡與信息安全風險控制在可接受的范圍。

3.2合理劃分安全域

現(xiàn)代化企業(yè)網(wǎng)絡可以按照系統(tǒng)行為、安全防護等級和業(yè)務系統(tǒng)這三種方式來劃分安全域。由于企業(yè)網(wǎng)絡在不同區(qū)域和不同層次關注的內(nèi)容不同，因此在劃分企業(yè)網(wǎng)絡安全域時，應結(jié)合業(yè)務屬性和網(wǎng)絡管理，不僅要確保企業(yè)正常的生產(chǎn)運營，還應考慮網(wǎng)絡安全域劃分是否合理。針對這個問題，企業(yè)網(wǎng)絡安全域劃分不能僅應用一種劃分方式，應綜合應用多種方式，充分發(fā)揮不同方式的優(yōu)勢，結(jié)合企業(yè)網(wǎng)絡管理要求和網(wǎng)絡業(yè)務需求，有針對性地進行企業(yè)網(wǎng)絡安全域劃分。

首先，根據(jù)業(yè)務需求，可以將企業(yè)網(wǎng)絡分為兩部分：外網(wǎng)和內(nèi)網(wǎng)。由于互聯(lián)網(wǎng)出口全部位于外網(wǎng)，企業(yè)網(wǎng)絡可以在外網(wǎng)用戶端和內(nèi)網(wǎng)之間設置隔離，使外網(wǎng)服務和內(nèi)網(wǎng)服務分離，隔離各種安全威脅，確保企業(yè)內(nèi)網(wǎng)業(yè)務的安全性。其次，按照企業(yè)業(yè)務系統(tǒng)方式，分別劃分外網(wǎng)和內(nèi)網(wǎng)安全域，企業(yè)外網(wǎng)可以分為員工公寓網(wǎng)絡、項目網(wǎng)絡、對外服務網(wǎng)絡等子網(wǎng)，內(nèi)網(wǎng)可以分為辦公網(wǎng)、生產(chǎn)網(wǎng)，其中再細分出材料采購網(wǎng)、保管網(wǎng)、辦公管理網(wǎng)等子網(wǎng)，通過合理劃分安全域，確定明確的網(wǎng)絡邊界，明確安全防護范圍和對象目標。最后，按照網(wǎng)絡安全防護等級和系統(tǒng)行為，細分各個子網(wǎng)的安全域，劃分出基礎保障域、服務集中域和邊界接入域。基礎保障域主要用來防護網(wǎng)絡系統(tǒng)管理控制中心、軟件和各種安全設備，服務集中域主要用于防護企業(yè)網(wǎng)絡的信息系統(tǒng)，包括信息系統(tǒng)內(nèi)部和系統(tǒng)之間的數(shù)據(jù)防護，并且按照不同的等級保護要求，可以采用分級防護措施，邊界接入域主要設置在企業(yè)網(wǎng)絡信息系統(tǒng)和其他系統(tǒng)之間的邊界上。

3.3信息安全技術的應用

（1）防火墻技術

防火墻主要的作用是對不安全的服務進行過濾和攔截，對企業(yè)網(wǎng)絡的信息加強訪問限制，提高網(wǎng)絡安全防護。例如，企業(yè)的信息數(shù)據(jù)庫只能在企業(yè)內(nèi)部局域網(wǎng)網(wǎng)絡的覆蓋下才能瀏覽操作，域外訪問操作會被禁止。并且防火墻可以有效記錄使用過的統(tǒng)計數(shù)據(jù)，對可能存在的攻擊、侵入行為精心預測預警，最大限度地保障了企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)的安全。隨著業(yè)務模式的不斷發(fā)展，簡單的業(yè)務（端口）封堵已經(jīng)不能適應動態(tài)的業(yè)務需要，需要采用基于內(nèi)容的深度檢測技術對區(qū)域間的業(yè)務流進行過濾。并借助于大數(shù)據(jù)分析能力對異常業(yè)務流進行智能分析判斷。

（2）終端準入防御技術

終端準入防御技術主要是以用戶終端作為切入點，對網(wǎng)絡的接入進行控制，利用安全服務器、安全網(wǎng)絡設備等聯(lián)動，對接入網(wǎng)絡的用戶終端強制實施企業(yè)安全策略，實時掌控用戶端的網(wǎng)絡信息操作行為，提高用戶端的風險主動防御能力。

4結(jié)束語

綜上所述，計算機網(wǎng)絡有效提高了企業(yè)業(yè)務工作的效率，實現(xiàn)企業(yè)計算機網(wǎng)絡數(shù)據(jù)庫中的數(shù)據(jù)分類、整理、資源的共享。但是，系統(tǒng)數(shù)據(jù)的保密、安全方面還存在技術上的一些欠缺，經(jīng)常會發(fā)生數(shù)據(jù)被非法侵入和截取的現(xiàn)象，造成了嚴重的數(shù)據(jù)安全風險。企業(yè)應該科學分析網(wǎng)絡與信息安全風險類型，加強規(guī)劃、預防利用防火墻技術、終端準入防御技術等，提高企業(yè)網(wǎng)絡與信息安全防護效率。

參考文獻

篇2

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中圖分類號］ TP343.08 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）10- 0062- 02

1 引 言

隨著市場競爭的日益加劇，業(yè)務靈活性、成本控制成為企業(yè)經(jīng)營者最關心的問題，彈性靈活的業(yè)務流程需求日益加強，辦公自動化、生產(chǎn)上網(wǎng)、業(yè)務上網(wǎng)、遠程辦公等業(yè)務模式不斷出現(xiàn)，促使企業(yè)加快信息網(wǎng)絡的建設。越來越多的企業(yè)核心業(yè)務、數(shù)據(jù)上網(wǎng)，一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡已成為企業(yè)正常運營的基本條件。同時為了規(guī)范企業(yè)治理，國家監(jiān)管部門對企業(yè)的內(nèi)控管理提出了多項規(guī)范要求，包括 IT 數(shù)據(jù)、流程、應用和基礎結(jié)構(gòu)的完整性、可用性和準確性等方面。

然而信息網(wǎng)絡面臨的安全威脅與日俱增，安全攻擊漸漸向有組織、有目的、趨利化方向發(fā)展，網(wǎng)絡病毒、漏洞依然泛濫，同時信息技術的不斷更新，信息安全面臨的挑戰(zhàn)不斷增加。特別是云的應用，云環(huán)境下的數(shù)據(jù)安全、應用安全、虛擬化安全是信息安全面臨的主要問題。如何構(gòu)建靈活有效的企業(yè)網(wǎng)絡安全防護體系，滿足業(yè)務發(fā)展的需要，已成為企業(yè)信息化建設、甚至是企業(yè)業(yè)務發(fā)展必須要考慮的問題。

2 大型企業(yè)網(wǎng)絡面臨的安全威脅

賽門鐵克的《2011 安全狀況調(diào)查報告》顯示：29％的企業(yè)定期遭受網(wǎng)絡攻擊，71％ 的企業(yè)在過去的一年里遭受過網(wǎng)絡攻擊。大型企業(yè)由于地域跨度大，信息系統(tǒng)多，受攻擊面廣等特點，更是成為被攻擊的首選目標。

大型企業(yè)網(wǎng)絡應用存在的安全威脅主要包括：（1）內(nèi)網(wǎng)應用不規(guī)范。企業(yè)網(wǎng)絡行為不加限制，P2P下載等信息占據(jù)大量的網(wǎng)絡帶寬，同時也不可避免地將互聯(lián)網(wǎng)中的大量病毒、木馬等有害信息傳播到內(nèi)網(wǎng)，對內(nèi)網(wǎng)應用系統(tǒng)安全構(gòu)成威脅。（2）網(wǎng)絡接入控制不嚴。網(wǎng)絡準入設施及制度的缺失，任何人都可以隨時、隨地插線上網(wǎng)，極易帶來病毒、木馬等，也很容易造成身份假冒、信息竊取、信息丟失等事件。（3）VPN系統(tǒng)安全措施不全。企業(yè)中的VPN系統(tǒng)，特別是二級單位自建的VPN系統(tǒng)，安全防護與審計能力不高，存在管理和控制不完善，且存在非系統(tǒng)員工用戶，行為難以監(jiān)管和約束。（4）衛(wèi)星信號易泄密。衛(wèi)星通信方便靈活，通信范圍廣，不受距離和地域限制，許多在僻遠地區(qū)作業(yè)的一線生產(chǎn)單位，通過衛(wèi)星系統(tǒng)傳遞生產(chǎn)、現(xiàn)場視頻等信息。但由于無線信號在自由空間中傳輸，容易被截獲。（5）無線網(wǎng)絡安全風險較大。無線接入由于靈活方便，常在局域網(wǎng)絡中使用，但是存在容易侵入、未經(jīng)授權(quán)使用服務、地址欺騙和會話攔截、流量偵聽等安全風險。（6）生產(chǎn)網(wǎng)隔離不徹底。企業(yè)中生產(chǎn)網(wǎng)絡與管理網(wǎng)絡尚沒有明確的隔離規(guī)范，大多數(shù)二級單位采用防火墻邏輯隔離，有些單位防護策略制定不嚴格，導致生產(chǎn)網(wǎng)被來自管理網(wǎng)絡的病毒感染。

3 大型企業(yè)網(wǎng)絡安全防護體系建設

中國石油信息化建設處于我國大型企業(yè)領先地位，在國資委歷年信息化評比中，都名列前茅，“十一五”期間，將企業(yè)信息安全保障體系建設列為信息化整體規(guī)劃中，并逐步實施。其中涉及管理類項目3個，控制類項目3個，技術類項目5個。中國石油網(wǎng)絡安全域建設是其重要建設內(nèi)容。

中國石油網(wǎng)絡分為專網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)3類。其中專網(wǎng)承載與實時生產(chǎn)或決策相關的信息系統(tǒng)，是相對封閉、有隔離的專用網(wǎng)絡。內(nèi)網(wǎng)是通過租用國內(nèi)數(shù)據(jù)鏈路，承載對內(nèi)服務業(yè)務信息系統(tǒng)的網(wǎng)絡，與外網(wǎng)邏輯隔離。外網(wǎng)是實現(xiàn)對外提供服務和應用的網(wǎng)絡，與互聯(lián)網(wǎng)相連（見圖1）。

為了構(gòu)建安全可靠的中國石油網(wǎng)絡安全架構(gòu)，中國石油通過劃分中國石油網(wǎng)絡安全域，明確安全責任和防護標準，采取分層的防護措施來提高整體網(wǎng)絡的安全性，同時，為安全事件追溯提供必要的技術手段。網(wǎng)絡安全域?qū)嵤╉椖堪凑障冗吔绨踩庸獭⒑笊钊雰?nèi)部防護的指導思想，將項目分為：廣域網(wǎng)邊界防護、廣域網(wǎng)域間與數(shù)據(jù)中心防護、廣域網(wǎng)域內(nèi)防護3部分。

廣域網(wǎng)邊界防護子項目主要包括數(shù)據(jù)中心邊界防護和區(qū)域網(wǎng)絡中心邊界防護。數(shù)據(jù)中心邊界防護設計主要是保障集團公司統(tǒng)一規(guī)劃應用系統(tǒng)的安全、可靠運行。區(qū)域網(wǎng)絡中心邊界安全防護在保障各區(qū)域內(nèi)員工訪問互聯(lián)網(wǎng)的同時，還需保障部分自建應用系統(tǒng)的正常運行?，F(xiàn)中石油在全國范圍內(nèi)建立和完善16個互聯(lián)網(wǎng)出口的安全防護，所有單位均通過16個互聯(lián)網(wǎng)出口對外聯(lián)系，規(guī)劃DMZ，制定統(tǒng)一的策略，對外服務應用統(tǒng)一部署DMZ，內(nèi)網(wǎng)與外網(wǎng)邏輯隔離，內(nèi)網(wǎng)員工能正常收發(fā)郵件、瀏覽網(wǎng)頁，部分功能受限。

域間防護方案主要遵循 “縱深防護，保護核心”主體思想，安全防護針對各專網(wǎng)與內(nèi)網(wǎng)接入點進行部署，并根據(jù)其在網(wǎng)絡層面由下至上的分布，保護策略強度依次由弱至強。數(shù)據(jù)中心安全防護按照數(shù)據(jù)中心業(yè)務系統(tǒng)的現(xiàn)狀和定級情況，將數(shù)據(jù)中心劃分為4個安全區(qū)域，分別是核心網(wǎng)絡、二級系統(tǒng)區(qū)、三級系統(tǒng)區(qū)、網(wǎng)絡管理區(qū)；通過完善數(shù)據(jù)中心核心網(wǎng)絡與廣域網(wǎng)邊界，二級系統(tǒng)、三級系統(tǒng)、網(wǎng)絡管理區(qū)與核心區(qū)邊界，二、三級系統(tǒng)區(qū)內(nèi)部各信息系統(tǒng)間的邊界防護，構(gòu)成數(shù)據(jù)中心縱深防御的體系，提升整體安全防護水平。

域內(nèi)防護是指分離其他網(wǎng)絡并制定訪問策略，完善域內(nèi)安全監(jiān)控手段和技術，規(guī)范域內(nèi)防護標準，實現(xiàn)實名制上網(wǎng)。中國石油以現(xiàn)有遠程接入控制系統(tǒng)用戶管理模式為基礎，并通過完善現(xiàn)有SSL VPN系統(tǒng)、增加IPSEC遠程接入方式，為出差員工、分支機構(gòu)接入提供安全的接入環(huán)境。實名制訪問互聯(lián)網(wǎng)主要以用戶身份與自然人一一對應關系為基礎，實現(xiàn)用戶互聯(lián)網(wǎng)訪問、安全設備管理準入及授權(quán)控制、實名審計；以部署設備證書為基礎，實現(xiàn)數(shù)據(jù)中心對外提供服務的信息系統(tǒng)服務器網(wǎng)絡身份真實可靠，從而確保區(qū)域網(wǎng)絡中心、數(shù)據(jù)中心互聯(lián)網(wǎng)接入的安全性。

4 結(jié)束語

一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡已成為企業(yè)正常運營的基本條件，然而信息網(wǎng)絡的安全威脅日益加劇，企業(yè)網(wǎng)絡安全防護體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網(wǎng)絡安全域建設，系統(tǒng)地解決網(wǎng)絡安全問題，供其他企業(yè)參考。

主要參考文獻

篇3

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2011) 18-0000-01

Network Security Problems in the Construction of Enterprise Informatization

Li Xiaoning

(China Petroleum Changqing Oilfield Company Hydropower Plant,Xi’an 710200)

Abstract:The advances in technology bring the rapid development of computer network technology and constant growing of enterprise informatization,which also bring the network information security to the attention of the public.In general,the network information security of enterprises in China still has many problems.This paper mainly focuses on the main network security problems confronted with the enterprises during the information construction process,and puts forward relevant protective measures on a basis of these problems.

Keywords:Enterprises;Computer network;Information security

一、企業(yè)信息化建設中網(wǎng)絡安全存在的問題

（一）安全漏洞

在計算機技術中，任何一種程序都有可能存在漏洞，當前各種操作系統(tǒng)以及相關軟件都存在一些漏洞，幾乎每一天都有漏洞被發(fā)現(xiàn)，此外，操作系統(tǒng)通常還存在一些隱藏的通道，而這些通道往往成為黑客的便利通道。與此同時，系統(tǒng)中還存在著一些通用服務，如果在安裝程序的時候沒有注意到這些，那么也會給黑客創(chuàng)造可乘之機。一些企業(yè)的競爭對手或者對企業(yè)心存不滿的員工或客戶都可能利用這些漏洞，對企業(yè)進行攻擊，進而使得整個企業(yè)網(wǎng)絡喪失相應的使用能力或丟失企業(yè)資料和秘密等，給企業(yè)的網(wǎng)絡安全帶來了巨大的安全隱患。

（二）計算機病毒感染

通常情況下，計算機病毒是通過下載或者電子郵件的形式進行傳播，還有的可以通過即時的網(wǎng)絡信息進行傳播，可以說有計算機的地方，就會存在電腦病毒的問題。病毒通常具有傳播快、影響巨大的特點，給企業(yè)的網(wǎng)絡安全造成巨大的影響。這些年來，木馬病毒是計算機病毒中的主要傳播形式，根據(jù)有關的統(tǒng)計，木馬病毒占到所有計算機病毒的四分之一以上。木馬病毒是一種特殊的病毒形式，如果用戶錯將其按照應用軟件來實用的話，所使用的電腦就會被移植上木馬病毒，從而將電腦的控制權(quán)完全交到了黑客的手中，黑客能夠通過木馬盜取計算機上使用的一些銀行密碼、卡號、機密信息等，而且能夠?qū)τ嬎銠C實施實時的監(jiān)控、查看等，給企業(yè)的網(wǎng)絡安全帶來巨大的威脅。

（三）惡意攻擊和非法入侵

在當前的企業(yè)網(wǎng)絡信息安全問題中，黑客利用惡意攻擊和非法入侵的手段阻止企業(yè)利用網(wǎng)絡或進行網(wǎng)絡商業(yè)活動的行為，已經(jīng)成為讓每一個企業(yè)頭疼不已的問題。通常情況下，黑客通過惡意攻擊和非法入侵的手段對企業(yè)造成的危害表現(xiàn)為：組織企業(yè)利用網(wǎng)絡資源；利用大量信息來阻塞企業(yè)通信網(wǎng)絡；植入木馬等程序?qū)ζ髽I(yè)的實時動態(tài)進行監(jiān)控；復制、刪除、盜取企業(yè)重要信息等。不管黑客的目的是什么，這樣的入侵行為都會給企業(yè)帶來巨大的影響，使得企業(yè)重要信息的泄露甚至是企業(yè)正常生產(chǎn)的停止。

（四）相關人員管理上的失誤

對企業(yè)來說，由于相關人員管理上的失誤也會給企業(yè)網(wǎng)絡信息安全帶來巨大的威脅。當前，許多企業(yè)缺乏網(wǎng)絡信息安全的管理機制，而且相應的系統(tǒng)安全維護習慣欠缺。有的企業(yè)在發(fā)現(xiàn)病毒和漏洞的時候，并沒有對其引起重視，只是采取簡單的殺毒和修補等措施，相關員工的安全意識匱乏，沒有對系統(tǒng)進行全面的維護，從而給黑客的入侵創(chuàng)造了機會。此外，有的企業(yè)在內(nèi)部分工上存在不明了的情況，從而使得網(wǎng)絡使用權(quán)限與行政管理出現(xiàn)矛盾?？傊捎诠芾砩洗嬖诘膯栴}，給企業(yè)的網(wǎng)絡安全埋下了許多的隱患。

二、企業(yè)信息化建設中網(wǎng)絡安全問題的解決措施

（一）加強相關人員的素質(zhì)及意識

企業(yè)應該對其網(wǎng)絡管理人員進行專業(yè)的技術培訓，強化相關人員的能力，尤其是網(wǎng)絡安全新技術方面的知識。另外，還應該對非技術人員進行培訓，增加他們必要的網(wǎng)絡安全常識和基本的網(wǎng)絡防御知識。

（二）企業(yè)網(wǎng)絡安全可以采用的相關技術

防火墻技術：通常防火墻技術分為網(wǎng)絡防火墻和應用級防火墻兩大類。前者的主要作用是防止整個企業(yè)網(wǎng)絡中出現(xiàn)非法入侵等行為，而后者主要是對計算機中的應用程序進行必要的應用控制。大多數(shù)情況下采用應用網(wǎng)關或者服務器對二者進行區(qū)分。當前防火墻所采用的技術主要包括以下幾種：屏蔽路由技術、基于技術、包過濾技術、動態(tài)防火墻技術。

虛擬專用網(wǎng)：虛擬專用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸，通過一個私有的通道在公共網(wǎng)絡上創(chuàng)建一個私有的連接。因此，從本質(zhì)上說VPN是一個虛擬通道，它可用來連接兩個專用網(wǎng)，通過可靠的加密技術方法保證其他安全性，并且是作為一個公共網(wǎng)絡的一部分存在的。

加密技術：加密技術分為對稱加密和非對稱加密兩類，對稱加密技術有DES、3DES、IDEA，對稱加密技術是指加密系統(tǒng)的加密密鑰和解密密鑰相同，也就是說一把鑰匙開一把鎖。非對稱密鑰技術主要有RSA．非對稱密鑰技術也稱為公鑰算法，是指加密系統(tǒng)的加密密鑰和解密密鑰完全不同，這種加密方式廣泛應用于身份驗證、數(shù)字簽名、數(shù)據(jù)傳輸。

入侵檢測技術：入侵檢測技術的核心包括兩個方面，一是如何充分并可靠地提取描述行為的特征數(shù)據(jù)；二是如何根據(jù)特征數(shù)據(jù)，高效并準確地判斷行為的性質(zhì)。它通過從計算機網(wǎng)絡或計算機系統(tǒng)的關鍵點收集信息并進行分析從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

總之，今后的企業(yè)信息化建設中，網(wǎng)絡安全就顯得尤為重要，如果企業(yè)不重視信息化的網(wǎng)絡安全工作。信息化不僅無法提高企業(yè)的工作效率，還會讓企業(yè)蒙受巨大的經(jīng)濟損失。

參考文獻：

篇4

大中型企業(yè)作為我國國民經(jīng)濟的骨干企業(yè)，在國家經(jīng)濟發(fā)揮舉足輕重的作用，現(xiàn)代經(jīng)濟活動離不開信息和網(wǎng)絡，大中型企業(yè)對網(wǎng)絡和信息技術的依賴性很強，企業(yè)員工多、信息化互聯(lián)設備多、種類多樣，企業(yè)的關鍵業(yè)務大多架構(gòu)在IT系統(tǒng)之上，網(wǎng)絡環(huán)境的穩(wěn)定性、安全性、高效性直接影響公司信息化應用。目前，許多大中型企業(yè)提出了建立“數(shù)字化企業(yè)”的目標，在企業(yè)信息化建設中，信息安全問題是必須要首先考慮的問題，可見，建立企業(yè)信息安全體系勢在必行。

1  企業(yè)信息網(wǎng)絡安全威脅及風險

近年來,許多大中型企業(yè)十分重視信息網(wǎng)絡建設的應用和開發(fā)，但是對于信息網(wǎng)絡安全的防護并沒有得到足夠重視。根據(jù)調(diào)研機構(gòu)的調(diào)查報告顯示，國內(nèi)企業(yè)中63%經(jīng)常遭受病毒或蠕蟲攻擊，而41%的企業(yè)受到惡意間諜軟件或惡意軟件的威脅。主要體現(xiàn)在：病毒和蠕蟲攻擊、黑客入侵、惡意攻擊、完整性破壞、網(wǎng)絡資源濫用、員工信息安全意識淡薄等。

目前企業(yè)面臨著網(wǎng)絡攻擊的“外部威脅”及內(nèi)部人員信息泄露的“內(nèi)部威脅”的雙重考驗，垃圾郵件、企業(yè)機密泄露、網(wǎng)絡資源濫用、病毒泛濫以及網(wǎng)絡攻擊等問題成為企業(yè)最為頭疼的網(wǎng)絡安全問題，企業(yè)網(wǎng)絡環(huán)境日趨嚴峻。

2 企業(yè)網(wǎng)絡安全體系

大中型企業(yè)網(wǎng)絡面臨嚴峻的安全形勢，迫使各企業(yè)意識到構(gòu)建完備安全體系的重要性，隨著網(wǎng)絡攻擊的多樣化，只針對網(wǎng)絡層以下的安全解決方案已經(jīng)不足以應付各種各樣的攻擊，同時還要隨時注重操作系統(tǒng)、數(shù)據(jù)庫、軟硬件設備的安全性；企業(yè)安全體系建設不僅要有效抵御外網(wǎng)攻擊，而且要能防范可能來自內(nèi)部的安全泄密等威脅。企業(yè)必須采用多層次的安全系統(tǒng)架構(gòu)才能保障企業(yè)網(wǎng)絡安全，最終建立一套以內(nèi)外兼防為特征的企業(yè)安全保障體系。

企業(yè)信息網(wǎng)絡安全體系由物理安全、鏈路安全、網(wǎng)絡安全、系統(tǒng)安全、信息安全五部分構(gòu)成。

物理安全：物理安全主要是保護企業(yè)數(shù)據(jù)庫服務器、應用服務器、網(wǎng)絡設備、數(shù)據(jù)介質(zhì)及其他物理實體設備的安全，提供一個安全可靠的物理運行環(huán)境。

鏈路安全：數(shù)據(jù)鏈路層（第二協(xié)議層）的通信連接就安全而言，是較為薄弱的環(huán)節(jié)。目的是保證網(wǎng)絡鏈路傳送的數(shù)據(jù)不被竊聽和篡改。

網(wǎng)絡安全：網(wǎng)絡安全主要包括：通過防火墻隔離內(nèi)外網(wǎng)絡，不同區(qū)域的訪問控制，部署基于網(wǎng)絡的身份認證及入侵檢測系統(tǒng)、VPN、網(wǎng)絡集中防病毒等手段實現(xiàn)網(wǎng)絡設備自身的安全可靠。

系統(tǒng)安全：系統(tǒng)安全主要指數(shù)據(jù)庫、操作系統(tǒng)的安全保護。保證應用系統(tǒng)的可靠性、完整性和高效性。

信息安全：主要通過數(shù)據(jù)加密、CA認證、授權(quán)等手段保證信息處理、傳遞、存儲的保密性、完整性和可用性。

典型企業(yè)信息網(wǎng)絡安全管理體系拓撲結(jié)構(gòu)如圖一所示：

3  信息安全體系設計原則

企業(yè)安全設計應遵循如下原則：

3．1保密性：信息不能夠泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。

3．2完整性：信息完整性是指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性。

3． 3可用性：保障授權(quán)用戶在需要時可以獲取信息并按要求使用的特性。

3．4可控性：對信息的處理、傳遞、存儲等具有控制能力。

信息安全就是要保障維護信息的機密性、完整性、可用性以及保障維護信息的真實性、可問責性、不可抵賴性、可靠性、守法性。

4 企業(yè)網(wǎng)絡安全防范技術手段

目前企業(yè)信息網(wǎng)絡布署的安全技術手段主要方式有：

4.1防火墻系統(tǒng)

  防火墻系統(tǒng)作為企業(yè)網(wǎng)絡安全系統(tǒng)必不可少的組成部分，用于防范來自外部interne非法用戶對企業(yè)內(nèi)部網(wǎng)絡的主動威脅。防火墻系統(tǒng)搭建在內(nèi)部網(wǎng)絡與外部公共Internet網(wǎng)絡之間，通過合理配置訪問控制策略，管理Internet和內(nèi)部網(wǎng)絡之間的訪問。其主要功能包括訪問控制、信息過濾、流量分析和監(jiān)控、阻斷非法數(shù)據(jù)傳輸?shù)?。企業(yè)在外部攻擊的頻度和攻擊流量非常嚴重的情況下，建議配置專用的DDOS防火墻。

4.2入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（簡稱“IDS”）是一種對網(wǎng)絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備。IDS是一種積極主動的安全防護技術，可以彌補防火墻相對靜態(tài)防御的不足，通過對來自外部網(wǎng)和內(nèi)部的各種行為進行實時檢測，及時發(fā)現(xiàn)未授權(quán)或異?，F(xiàn)象以及各種可能的攻擊企圖，記錄有關事件，以便網(wǎng)管員及時采取防范措施，為事后分析提供依據(jù)的依據(jù)。

4.3漏洞掃描系統(tǒng)

企業(yè)內(nèi)部部署漏洞掃描系統(tǒng)，不間斷地對企業(yè)工作站、服務器、防火墻、交換機等進行安全檢查，提供記錄有關漏洞的詳細信息和最佳解決對策，協(xié)助網(wǎng)管員及時發(fā)現(xiàn)和堵絕漏洞、降低風險，防患于未然。

4.4網(wǎng)頁防篡改系統(tǒng)

網(wǎng)頁防篡改系統(tǒng)主要是防止企業(yè)對外Web遭受黑客的篡改，保證企業(yè)外部網(wǎng)站的正常運行。防篡改系統(tǒng)利用先進的Web服務器核心內(nèi)嵌技術，將篡改檢測模塊（數(shù)字水印技術）和應用防護模塊（防注入攻擊）內(nèi)嵌于Web服務器內(nèi)部，并輔助以增強型事件觸發(fā)檢測技術，不僅實現(xiàn)了對靜態(tài)網(wǎng)頁和腳本的實時檢測和恢復，更可以保護數(shù)據(jù)庫中的動態(tài)內(nèi)容免受來自于Web的攻擊和篡改，徹底解決網(wǎng)頁防篡改問題。

4.5上網(wǎng)行為管理系統(tǒng)

上網(wǎng)行為管理系統(tǒng)主要部署在企業(yè)外部防火墻和內(nèi)部核心交換機之間，針對企業(yè)內(nèi)部員工訪問Internet行為進行集中管理與控制。其主要功能有：網(wǎng)頁過濾、應用控制（IM聊天、P2P下載、在線娛樂、炒股軟件、論壇發(fā)帖等）、帶寬管理、內(nèi)容審計（郵件收發(fā)、論壇發(fā)帖、FTP、HTTP文件傳輸?shù)龋?、用戶管理、日志管理等功能?/p>

4.6內(nèi)網(wǎng)安全管理平臺

據(jù)FBI/CSI中國CNISTEC調(diào)查報告：來自企業(yè)外部威脅占20%，內(nèi)部威脅高達80%。針對大型企業(yè)日益復雜的內(nèi)部網(wǎng)絡環(huán)境以及基于企業(yè)保密管理的需求，必須構(gòu)造一套內(nèi)網(wǎng)安全管理平臺，規(guī)范和管理內(nèi)部網(wǎng)絡環(huán)境，提高內(nèi)部網(wǎng)絡資源的可控性。其功能應包括：用戶認證與授權(quán)、IP與MAC綁定、網(wǎng)絡監(jiān)控、桌面監(jiān)控、安全域管理、 存儲介質(zhì)管理、補丁分發(fā)、文檔安全管理、資產(chǎn)管理、日志報表管理等。

4.7企業(yè)集中防病毒系統(tǒng)

在病毒肆虐的時代，反病毒已經(jīng)成為企業(yè)信息安全非常重要的一環(huán)，企業(yè)網(wǎng)絡情況比較復雜，由于員工計算機水平大多不高，構(gòu)造一套完整的企業(yè)集中防病毒網(wǎng)絡系統(tǒng)平臺，可以強化病毒防護系統(tǒng)的應用策略和統(tǒng)一管理策略，并且使企業(yè)員工電腦的病毒庫及時得到更新，增強病毒防護有效性，降低病毒對安全帶來的威脅。

集中防病毒系統(tǒng)應具有：集中管控、遠程安裝、智能升級、遠程報警、分布查殺等多種功能。

4.8建立健全企業(yè)安全管理組織體系及制度，加強企業(yè)信息安全意識

企業(yè)在建設信息網(wǎng)絡安全建設技術手段的同時，更需要考慮管理的安全性，不斷完善企業(yè)信息安全制度。通過培訓，增強每個員工的安全意識，為大中型企業(yè)信息安全管理奠定基礎。

隨著信息技術的發(fā)展，企業(yè)無線接入、電子商務交易、數(shù)字簽名、數(shù)字證書等安全管理也應逐步納入企業(yè)信息安全體系范疇。

五、 結(jié)束語

目前，大中型企業(yè)信息進程的深入和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡化已經(jīng)成為企業(yè)信息化的發(fā)展大趨勢，針對各種網(wǎng)絡應用的攻擊和破壞方式也變得異常頻繁，信息化發(fā)展而來的網(wǎng)絡安全問題日漸突出，網(wǎng)絡安全問題已成為信息時代人類共同面臨的挑戰(zhàn)，同時，網(wǎng)絡信息安全是一個系統(tǒng)工程，涉及人員、硬軟件設備、資金、制度等因素，沒有絕對可靠的安全技術，科學有效的管理可以彌補技術安全漏洞的缺陷。

參考文獻：

［1］向宏，傅鸝，詹榜華 著  信息安全測評與風險評估 電子工業(yè)出版社  2009-01

篇5

電力系統(tǒng)是個特殊的能源行業(yè)，發(fā)電、輸電、配電、用電必須同時完成，其覆蓋面之大，結(jié)構(gòu)之復雜，層次之眾多是任何一個行業(yè)都無法比擬的。電能，像無形的血液日夜由各條脈絡源源不斷地傳輸流動，與國民經(jīng)濟和人民群眾的生活息息相關，電能的安全傳輸直接影響每一個人的生產(chǎn)和生活，而電能的安全傳輸又依賴于電力信息網(wǎng)絡的正常工作。因此，電力信息網(wǎng)絡安全體系的建立具有相當重要的意義。

1、電力調(diào)度系統(tǒng)對網(wǎng)絡安全防護體系的要求

近年來，特別是隨著電力市場化進程的加快，電力調(diào)度自動化的內(nèi)涵也有了較大的延伸，由原來單一的EMS系統(tǒng)擴展為EMS、DMS、TMS、廠站自動化、水調(diào)自動化、雷電監(jiān)視、故障錄波遠傳、遙測、電力市場技術支持和調(diào)度生產(chǎn)管理系統(tǒng)等。電力信息網(wǎng)絡是支持調(diào)度自動化系統(tǒng)的重要技術平臺，實時性要求秒級或微秒級。其中發(fā)電報價系統(tǒng)、市場信息等電力市場信息系統(tǒng)由于需要與公網(wǎng)連接，因而還要求做加密和隔離處理。因此，要保障調(diào)度自動化的安全運行，就需要信息網(wǎng)絡從應用系統(tǒng)的各個層面出發(fā)，按照其不同的安全要求，制定相應的防護策略，形成一整套完善的防護體系。

2、對安全體系建設和完善的幾點思路

2.1對網(wǎng)絡層風險的分析

2.1.1網(wǎng)絡風險來源

（1）網(wǎng)絡中心連通Internet之后，企業(yè)網(wǎng)可能遭受到來自Internet惡意攻擊；（2）在Internet上廣為傳播的網(wǎng)絡病毒將通過Web訪問、郵件、新聞組、網(wǎng)絡聊天以及下載軟件、信息等傳播，感染企業(yè)網(wǎng)內(nèi)部的服務器、主機；更有一些黑客程序也將通過這種方式進入企業(yè)網(wǎng)；（3）企業(yè)網(wǎng)內(nèi)部連接的用戶很多，很難保證沒有用戶會攻擊企業(yè)的服務器。事實上，來自于內(nèi)部的攻擊，其成功的可能性要遠遠大于來自于Internet的攻擊，而且內(nèi)部攻擊的目標主要是獲取企業(yè)的機密信息，其損失要遠遠高于系統(tǒng)破壞。

2.1.2回避風險措施

基于以上風險，在上述兩層網(wǎng)絡結(jié)構(gòu)中，網(wǎng)絡層安全主要解決企業(yè)網(wǎng)絡互聯(lián)時和在網(wǎng)絡通訊層安全問題，需要解決的問題有：

（1）企業(yè)網(wǎng)絡進出口控制（即IP過濾）；（2）企業(yè)網(wǎng)絡和鏈路層數(shù)據(jù)加密；（3）安全檢測和報警、防殺病毒。

重點在于企業(yè)網(wǎng)絡本身內(nèi)部的安全，如果解決了各個企業(yè)網(wǎng)的安全，那么企業(yè)互聯(lián)掃安全只需解決鏈路層的通訊加密。

2.2對網(wǎng)絡進出口的控制

需要對進入企業(yè)內(nèi)部網(wǎng)進行管理和控制。在每個部門和單位的局域網(wǎng)也需要對進入本局域網(wǎng)進行管理和控制。各網(wǎng)之間通過防火墻或虛擬網(wǎng)段進行分割和訪問權(quán)限的控制。同樣需要對內(nèi)網(wǎng)到公網(wǎng)進行管理和控制。要達到授權(quán)用戶可以進出內(nèi)部網(wǎng)絡，防止非授權(quán)用戶進出內(nèi)部網(wǎng)絡這個基本目標。

對關鍵應用需要進行鏈路層數(shù)據(jù)加密，特別是最核心的決策層的服務系統(tǒng)，為決策層提供信息共享，需要有高強度的數(shù)據(jù)加密措施。

2.3安全檢測和報警、防殺病毒

安全檢測是實時對公開網(wǎng)絡和公開服務器進行安全掃描和檢測，及時發(fā)現(xiàn)不安全因素，對網(wǎng)絡攻擊進行報警。這主要是提供一種監(jiān)測手段，保證網(wǎng)絡和服務的正常運行。要實現(xiàn)：

（1）及時發(fā)現(xiàn)來自網(wǎng)絡內(nèi)外對網(wǎng)絡的攻擊行為；（2）詳實地記錄攻擊發(fā)生的情況；（3）當發(fā)現(xiàn)網(wǎng)絡遭到攻擊時，系統(tǒng)必須能夠向管理員發(fā)出報警消息；（4）當發(fā)現(xiàn)網(wǎng)絡遭到攻擊時，系統(tǒng)必須能夠及時阻斷攻擊的繼續(xù)進行；（5）對防火墻進行安全檢測和分析；（6）對Web服務器檢測進行安全檢測和分析；（7）對操作系統(tǒng)檢測進行安全檢測和分析。

需要采用網(wǎng)絡防病毒機制來防止網(wǎng)絡病毒的攻擊和蔓延。嚴格地講，防殺病毒屬于系統(tǒng)安全需求范疇。

2.4對應用系統(tǒng)安全風險的分析

對應用系統(tǒng)的攻擊可以分為2類。

當攻擊者對網(wǎng)絡結(jié)構(gòu)和系統(tǒng)應用模式不了解時，主要通過對應用服務器進行系統(tǒng)攻擊，破壞操作系統(tǒng)或獲取操作系統(tǒng)管理員的權(quán)限，再對應用系統(tǒng)進行攻擊，以獲取企業(yè)的重要數(shù)據(jù)；　在現(xiàn)在通用的三層結(jié)構(gòu)（數(shù)據(jù)庫服務器—應用服務器—應用客戶端）中，通過對數(shù)據(jù)庫服務器的重點保護，可以防止大多數(shù)攻擊；攻擊者了解了網(wǎng)絡結(jié)構(gòu)和系統(tǒng)應用模式時，可直接通過對應用模式的攻擊，獲取企業(yè)的機密信息，這些攻擊包括：

（1）非法用戶獲取應用系統(tǒng)的合法用戶帳號和口令，訪問應用系統(tǒng)；（2）用戶通過系統(tǒng)的合法用戶帳號，利用系統(tǒng)的BUG，訪問其授權(quán)范圍以外的信息；（3）攻擊者通過應用系統(tǒng)存在的后門和隱通道（如隱藏的超級用戶帳號、非公開的系統(tǒng)訪問途徑等），訪問應用服務器或數(shù)據(jù)庫服務器；（4）在數(shù)據(jù)傳輸過程中，通過竊聽等方式獲取數(shù)據(jù)包，通過分析、整合，獲取企業(yè)的機密信息。

這類攻擊主要來源于企業(yè)內(nèi)部，包括通過授權(quán)使用應用系統(tǒng)的員工，開發(fā)、維護這些應用系統(tǒng)的員工、開發(fā)商。

2.5將系統(tǒng)后臺管理納入安全管理域

在把注意力集中在前臺應用與客戶之間時，不應忽略和忘記內(nèi)網(wǎng)的后臺管理工作的安全。后臺管理在不同的網(wǎng)絡應用中有不同的內(nèi)容。其安全問題主要體現(xiàn)在管理員的身份、管理員的操作權(quán)限和管理權(quán)的操作記錄。后臺管理的安全漏洞主要是口令的泄露。從安全風險的程度來講，來自管理員的安全風險更大。

3、結(jié)束語

電力是關系到國計民生的基礎產(chǎn)業(yè)，有很強的信息保密與安全需求。由于自身業(yè)務的需要，實現(xiàn)內(nèi)部網(wǎng)絡的互通，以及內(nèi)部網(wǎng)絡與Internet的互通，要求建立一個權(quán)限清晰、服務完善、安全到位的網(wǎng)絡。由于不可避免地與外網(wǎng)相連，就必須時刻防備來自外部的黑客、病毒的威脅。為了維護電力信息安全，確保信息網(wǎng)絡系統(tǒng)穩(wěn)定可靠，網(wǎng)絡安全體系建設極為重要。

參考文獻

[1]謝楊.構(gòu)筑珠海供電分公司網(wǎng)絡安全體系[J].電力信息化，2004，（07）.

篇6

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)22-5346-02

隨著網(wǎng)絡信息系統(tǒng)在各行各業(yè)得到廣泛應用，企業(yè)單位辦公自動化程度越來越高，許多企業(yè)開始利用信息化手段來提升自身管理水平，增加競爭力。企業(yè)內(nèi)部用戶之間實現(xiàn)了“互聯(lián)互通 ，資源共享”，極大地提高了企業(yè)單位的辦事效率和工作效率。但部分企業(yè)卻忽視了整個系統(tǒng)的安全和保密工作，使得系統(tǒng)處于危險之中，而一旦網(wǎng)絡被人攻破，企業(yè)機密的數(shù)據(jù)、資料可能會被盜取、網(wǎng)絡可能會被破壞，給企業(yè)帶來難以預測的損失。因此，企業(yè)網(wǎng)絡安全的建設必須提上日程，并加以有效防范。

1 企業(yè)信息安全防護策略

企業(yè)網(wǎng)絡所面臨的安全威脅既可能來自企業(yè)網(wǎng)內(nèi)部,又可能來自企業(yè)網(wǎng)外部。所有的入侵攻擊都是從用戶終端上發(fā)起的,往往利用被攻擊系統(tǒng)的漏洞肆意進行破壞。企業(yè)網(wǎng)絡面臨的威脅主要有系統(tǒng)漏洞或后門、計算機病毒感染、惡意攻擊和非法入侵、管理失誤等。

企業(yè)信息安全從本質(zhì)上講就是企業(yè)網(wǎng)絡信息安全，必須充分了解系統(tǒng)的安全隱患所在，構(gòu)建科學信息安全防護系統(tǒng)架構(gòu)，同時提高管理人員的技術水平，落實嚴格的管理制度 ，使得網(wǎng)絡信息能夠安全運行，企業(yè)信息安全防護策略如圖1所示。

2 硬件安全

企業(yè)網(wǎng)硬件實體是指實施信息收集、傳輸、存儲和分發(fā)的計算機及其外部設備和網(wǎng)絡部件。對硬件安全我們應采取以下相應措施：1）盡可能購買國產(chǎn)網(wǎng)絡設備，從根源上防止由于后門造成的威脅；2）使用低輻射計算機設備、屏蔽雙絞線或光纖等傳輸介質(zhì)，把設備的信息輻射抑制到最低限度，這是防止計算機輻射泄密的根本措施；3）加強對網(wǎng)絡記錄媒體的保護和管理。如對關鍵的記錄媒體要有防拷貝和信息加密措施，對廢棄的光盤、硬盤和存儲介質(zhì)要有專人銷毀等，廢棄紙質(zhì)就地銷毀等；4）定期對實體進行安全檢測和監(jiān)控監(jiān)測。特別是對文件服務器、光纜（或電纜）、收發(fā)器、終端及其它外設進行保密檢查，防止非法侵入。

3 信息安全技術

企業(yè)信息的安全必須有安全技術做保障。目前可以采用的安全技術主要有：

3.1 安全隔離技術

安全隔離與信息交換系統(tǒng)（網(wǎng)閘）由內(nèi)、外網(wǎng)處理單元和安全數(shù)據(jù)交換單元組成。安全數(shù)據(jù)交換單元在內(nèi)外網(wǎng)主機間按照指定的周期進行安全數(shù)據(jù)的擺渡。從而在保證內(nèi)外網(wǎng)隔離的情況下，實現(xiàn)可靠、高效的安全數(shù)據(jù)交換，而所有這些復雜的操作均由隔離系統(tǒng)自動完成，用戶只需依據(jù)自身業(yè)務特點定制合適的安全策略既可實現(xiàn)內(nèi)外網(wǎng)絡進行安全數(shù)據(jù)通信，在保障用戶信息系統(tǒng)安全性的同時，最大限度保證客戶應用的方便性。

3.2 防火墻技術

防火墻通過過濾不安全的服務，可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險；它可以提供對系統(tǒng)的訪問控制，如允許從外部訪問某些主機，同時禁止訪問另外的主機；阻止攻擊者獲取攻擊網(wǎng)絡系統(tǒng)的有用信息，如Finger和DNS；防火墻可以記錄和統(tǒng)計通過它的網(wǎng)絡通訊，提供關于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù)，根據(jù)統(tǒng)計數(shù)據(jù)來判斷可能的攻擊和探測；防火墻提供制定和執(zhí)行網(wǎng)絡安全策略的手段，它可對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，它定義的安全規(guī)則可運用于整個內(nèi)部網(wǎng)絡系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機器上分別設立安全策略。

3.3 入侵檢測技術

入侵檢測技術作為一種主動防護技術，可以在攻擊發(fā)生時記錄攻擊者的行為，發(fā)出報警，必要時還可以追蹤攻擊者。它既可以獨立運行，也可以與防火墻等安全技術協(xié)同工作，更好地保護網(wǎng)絡，提高信息安全基礎結(jié)構(gòu)的完整性，被認為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，最大幅度地保障系統(tǒng)安全。它在網(wǎng)絡安全技術中起到了不可替代的作用，是安全防御體系的一個重要組成部分。

3.4 終端準入防御技術

終端準入防御（EAD，Endpoint Admission Defense）解決方案從控制用戶終端安全接入網(wǎng)絡的角度入手，整合網(wǎng)絡接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務器、網(wǎng)絡設備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡的用戶終端強制實施企業(yè)安全策略，嚴格控制終端用戶的網(wǎng)絡使用行為，有效地加強了用戶終端的主動防御能力，為企業(yè)網(wǎng)絡管理人員提供了有效、易用的管理工具和手段。

3.5 災難恢復策略

災難恢復作為一個重要的企業(yè)信息安全管理體系中的一個重要補救措施，在整個企業(yè)信息安全管理體系中有著舉足輕重的作用。業(yè)界廣泛的經(jīng)驗和教訓說明，災難恢復的成功在于企業(yè)中經(jīng)過良好訓練和預演的人在自己的角色上實施預先計劃的策略，即災難恢復計劃。只有制定快速有效地進行數(shù)據(jù)恢復的策略，才能應對每一種可能出現(xiàn)的數(shù)據(jù)損壞事故。

3.6 其他信息安全技術

當然，信息安全技術還有很多，如防御病毒技術、數(shù)字簽名技術、加密和解密技術、VLAN技術、訪問控制技術等，這些都可以在一定程序上增加網(wǎng)絡的安全性。

4 安全管理

網(wǎng)絡安全管理是企業(yè)管理中一個難點，很多信息化企業(yè)并不十分看重網(wǎng)絡安全，直到重要數(shù)據(jù)丟失產(chǎn)生重大損失才追悔莫及，因此首先在思想上充分重視信息安全，不能抱有一絲僥幸心理。對于安全管理采取的措施主要有：確定每個管理者對用戶授予的權(quán)限、制訂機房管理制度、建立系統(tǒng)維護制度、實行多人負責制度、實行有限任期制度、建立人員雇用和解聘制度、實行職責分離制度、建立事件及風險管理中心等。

這些要通過對公司全體員工進行教育培訓，強化規(guī)范操作，重要數(shù)據(jù)作好及時備份 ，從系統(tǒng)的角度促進全體團隊認真執(zhí)行 ，以達到網(wǎng)絡的保障。

5 人員安全意識

企業(yè)信息安全隊伍建設要以領導干部和人員為重點，積極開展面向企業(yè)各層面的保密教育，不斷提高全體員工的信息安全素質(zhì)。采取的措施主要有：開展領導干部信息安全教育、開展人員保密教育、開展全員保密宣傳教育、推進員工分層次信息安全培訓等。

6 小結(jié)

針對目前企業(yè)信息安全面臨的諸多問題，提出基于硬件安全、信息安全技術、安全管理和人員培訓的企業(yè)信息安全整體防護策略。企業(yè)信息安全防護是一個系統(tǒng)工程，必須全方位、科學地合理安排和落實，才能有效地保護企業(yè)的信息安全。

參考文獻：

[1] 曹國飛.企業(yè)網(wǎng)信息化建設保密技術研究[J].科技傳播,2010(9):229.

[2] 王梅,劉永濤.企業(yè)信息安全（保密）培訓的幾點思考[J].中國市場,2010,35(9):117-118.

篇7

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）11-2494-03

隨著信息技術與網(wǎng)絡技術的不斷發(fā)展，計算機病毒已發(fā)展成為危害企業(yè)正常運行的一大問題。根據(jù)美國《金融時報》報道，現(xiàn)在平均每20秒就發(fā)生一次入侵計算機網(wǎng)絡的事件，超過三分之一的互聯(lián)網(wǎng)被攻破。國內(nèi)百分之八十的網(wǎng)絡存在安全隱患，百分之二十的網(wǎng)站有嚴重安全問題。計算機病毒不僅會造成人力資源與物質(zhì)資源的浪費，還會隨著病毒的傳播演化，形成一個社會化問題，對社會穩(wěn)定與國家安全構(gòu)成了極大的威脅。因此，從計算機病毒特點出發(fā)，利用已有的安全體系研究方法，對計算機病毒的防護架構(gòu)展開分析與設計，不僅能夠增強企業(yè)的自我防護能力，而且對病毒在整個社會范圍內(nèi)的肆意傳播起到有力的制約作用，具有十分重要的意義。

1 計算機病毒特點

研究表明[1]，對當前網(wǎng)絡安全危害最大的威脅為計算機病毒，它將會造成網(wǎng)絡通信阻塞、文件系統(tǒng)破壞、甚至重要數(shù)據(jù)丟失等嚴重后果，給企業(yè)與個人帶來重大的財產(chǎn)損失。為了更為清晰地認識與理解計算機病毒帶來的安全風險，我們首先對計算機病毒的特點展開剖析。一般而言，計算機病毒會附著在宿主程序的可執(zhí)行文件中，隨著宿主程序的運行開始執(zhí)行病毒程序，并且它們具有自我繁殖與網(wǎng)絡繁殖功能，在不斷傳播的過程中加劇破壞程度。傳統(tǒng)的計算機病毒具有以下特征：（1）可以感染可執(zhí)行代碼的程序或文件；（2）能夠通過網(wǎng)絡進行病毒傳播；（3）會造成引導失敗或破壞扇區(qū)，引發(fā)硬盤的格式化；（4）消耗計算機內(nèi)存，減緩計算機運行速度；（5）躲避防毒軟件，具有較強的隱蔽性。

隨著計算機病毒的不斷發(fā)展，傳統(tǒng)的計算機病毒威脅也日趨復雜化與智能化，其對網(wǎng)絡安全造成的危害也在不斷加大，我們將這種新型的威脅稱為混合型威脅[2]?；旌闲屯{綜合了病毒傳播與多種黑客技術，能夠自動發(fā)現(xiàn)與利用系統(tǒng)漏洞，并通過系統(tǒng)漏洞進行病毒的快速傳播與感染。與傳統(tǒng)病毒相比，具有混合型威脅特性的病毒具有以下特征：（1）傳播速度更快，混合型威脅病毒傳播速度極快，通常在幾個小時甚至幾分鐘內(nèi)感染整個網(wǎng)絡，致使網(wǎng)絡癱瘓；（2）侵入性與隱蔽性更強，混合型威脅病毒引入了自動化的漏洞發(fā)現(xiàn)與利用技術，使其更容易侵入計算機，并具有很強的隱蔽性；（3）破壞程度更大，混合型威脅病毒能夠智能地利用計算機漏洞，且伴隨著木馬程序，在傳播過程中形成大規(guī)模的DDOS攻擊，破壞性與危害性得到進一步提升。2001年7月爆發(fā)的紅色代碼（Code Red）就是該類病毒的典型代表，其集成了多種黑客技術，例如病毒傳播、漏洞掃描、漏洞攻擊、DDOS攻擊等，給互聯(lián)網(wǎng)用戶帶來了極大的沖擊。2009年爆發(fā)的震網(wǎng)（Stuxnet）病毒[3]則主要針對伊朗的核設施實施攻擊，該病毒同時利用微軟和西門子公司產(chǎn)品的7個最新漏洞，可以繞過安全產(chǎn)品的檢測在短期內(nèi)不被發(fā)現(xiàn)。即使被發(fā)現(xiàn)之后三年之久，“震網(wǎng)”病毒仍然困擾著軍事戰(zhàn)略家、計算機安全專家、政治決策者和廣大民眾。

由此可見，計算機病毒防護是企業(yè)網(wǎng)絡安全亟需解決的首要問題，如何構(gòu)建合理的計算機病毒防護架構(gòu)，增強計算機系統(tǒng)和網(wǎng)絡系統(tǒng)的安全性已成為人們關注的焦點。

2 企業(yè)安全體系中的病毒防護架構(gòu)設計

2.1 企業(yè)安全體系內(nèi)容

企業(yè)安全體系是指企業(yè)在進行信息采集、信息傳播、信息處理、信息存儲和信息運用過程中，能夠保證信息安全性、完整性、可用性、真實性和可控性等方面的基礎設施與保障措施[4]。企業(yè)安全體系內(nèi)容主要包括三個方面，即人員、制度和技術，三者既相互聯(lián)系又相互制約，形成了一個不可分割的整體，具體描述如下：

1） 人員。人員是企業(yè)安全體系中最薄弱的環(huán)節(jié)，根據(jù)信息安全防護鏈分析，人通常是造成企業(yè)信息泄露和信息丟失的主要因素。因此，企業(yè)安全體系首先解決的威脅不是外部，而是企業(yè)內(nèi)部人員的安防意識與安防能力，加大企業(yè)員工的信息安全教育，傳授信息安全技巧，培養(yǎng)信息安全綜合防護能力，是構(gòu)建企業(yè)安全體系的基礎。

2） 制度。制度是企業(yè)從日常的工作出發(fā)，制定相應的規(guī)范與規(guī)章，制約企業(yè)人員進行安全防護。因此，企業(yè)安全體系必須加強規(guī)章制度的制定與實施，明確安防責任人，規(guī)定安防控制措施與獎懲措施。例如，制定《企業(yè)系統(tǒng)安全管理規(guī)定》、《企業(yè)應急處理管理規(guī)定》、《企業(yè)數(shù)據(jù)安全規(guī)范管理方法》、《企業(yè)密碼體制管理辦法》、《企業(yè)病毒防護手冊》等一系列規(guī)章制度。此外，企業(yè)還需加大監(jiān)管力度，以制度為依據(jù)約束與管理員工，完善企業(yè)安全體系建設。

3） 技術。技術是企業(yè)安全體系的核心與基本保障，只有建立一套安全穩(wěn)定的信息安全技術體系，才能夠保證企業(yè)信息化辦公的安全運行。此處的安全技術主要包括身份鑒別技術、病毒防護技術、訪問審計技術、網(wǎng)絡安全技術、數(shù)據(jù)加密技術等一系列信息安全技術，同時，企業(yè)還需要訂購與部署一些相關安全產(chǎn)品，例如企業(yè)網(wǎng)絡防火墻、病毒防護軟件、VPN設備、入侵檢測設備等。

2.2 企業(yè)病毒威脅分析

根據(jù)企業(yè)安全管理的實際情況，我們可以對病毒威脅劃分類型，從而為病毒防護架構(gòu)設計提供技術支撐。

企業(yè)病毒威脅大致可以分為邊界威脅、內(nèi)網(wǎng)威脅、數(shù)據(jù)威脅以及遠程接入威脅四類，具體描述如下：

1） 邊界威脅。邊界是指企業(yè)內(nèi)部網(wǎng)絡與互聯(lián)網(wǎng)等外部網(wǎng)絡之間的銜接區(qū)域，如果病毒防護措施不理想，病毒很容易通過邊界區(qū)域進入企業(yè)的內(nèi)部網(wǎng)絡，對企業(yè)造成極大的危害，因此，邊界威脅是企業(yè)信息安全建設面臨的首要威脅。

2） 內(nèi)網(wǎng)威脅。內(nèi)部威脅是指病毒對企業(yè)內(nèi)部網(wǎng)絡節(jié)點造成的威脅，主要包括系統(tǒng)漏洞威脅、Web服務漏洞威脅、僵尸病毒威脅、木馬威脅、惡意代碼威脅、僵尸代碼威脅等。由于企業(yè)內(nèi)部節(jié)點數(shù)目眾多、病毒威脅多樣，因此，內(nèi)網(wǎng)威脅很難實現(xiàn)全面與有效防護。

3） 數(shù)據(jù)威脅。數(shù)據(jù)威脅是指病毒對企業(yè)內(nèi)部的數(shù)據(jù)庫造成的威脅。由于企業(yè)的數(shù)據(jù)中心是企業(yè)內(nèi)部信息傳輸與交換最為密集的地方，一旦遭到攻擊將會對企業(yè)帶來巨大的損失，因此，數(shù)據(jù)威脅是企業(yè)信息安全建設必須重點考慮的一項威脅。

4） 遠程接入威脅。由于現(xiàn)代化的企業(yè)一般會建立異地分支機構(gòu)，在總部與分支建立網(wǎng)絡連接時大都采用具有保密性的網(wǎng)絡連接技術，例如VPN技術。病毒對該類加密技術也會產(chǎn)生一定的威脅，當遠程接入的VPN遭到病毒攻擊，企業(yè)內(nèi)部網(wǎng)絡將會產(chǎn)生較大的損失，因此，該類威脅也是企業(yè)信息安全建設必須考慮的一項重要威脅。

2.3 病毒防護架構(gòu)設計

根據(jù)企業(yè)安全體系主要內(nèi)容，針對病毒對企業(yè)帶來的各類威脅，該文提出了一種新型的病毒防護架構(gòu)，如圖2所示。

企業(yè)病毒防護架構(gòu)包括縱向的防護內(nèi)容與橫向的威脅類型。針對不同的威脅類型，在“人員―制度―技術”三個不同的層面進行分析與研討，并給出相應的解決方案。該防護架構(gòu)具體描述如下：

a）邊界―人員：組織邊界網(wǎng)絡管理人員進行專業(yè)培訓，使其掌握邊界網(wǎng)絡的病毒防護知識，熟練邊界網(wǎng)絡防護設備的操作與應用。

b）內(nèi)網(wǎng)―人員：組織全體員工進行病毒預防知識培訓，加強病毒防護意識，減少木馬、蠕蟲等病毒進入內(nèi)網(wǎng)的潛在危險。

c）數(shù)據(jù)―人員：組織數(shù)據(jù)管理人員進行病毒防護培訓，使其掌握數(shù)據(jù)庫入侵知識、病毒攻擊手段以及應急處理方法等多種防護技能，熟練防護設備的操作與應用。

d）遠程接入―人員：組織負責遠程接入的管理人員進行專業(yè)培訓，掌握針對VPN連接的加密體制、用戶權(quán)限管理方法、病毒攻擊手段以及應急處理方法。

e）邊界―制度：建立企業(yè)邊界網(wǎng)絡管理規(guī)章制度，明確值班人員的工作職責、病毒防護手冊、獎懲制度，約束網(wǎng)絡管理人員行為，減少失誤，確保邊界網(wǎng)絡安全。

f）內(nèi)部―制度：建立企業(yè)員工的病毒防護制度，建立監(jiān)督機構(gòu)，依據(jù)規(guī)章制度規(guī)范企業(yè)員工的病毒防護措施。

g）數(shù)據(jù)―制度：建立企業(yè)數(shù)據(jù)中心管理規(guī)定，明確數(shù)據(jù)管理人員的工作職責、病毒防護措施以及應急處理方法，按照制度規(guī)范各項操作。

h）遠程接入―制度：建立遠程接入管理規(guī)定，規(guī)范遠程接入操作，減少因操作失誤造成的病毒侵入與攻擊。

i）邊界―技術：針對邊界病毒威脅，企業(yè)應該對安全設備集成AV防護模塊，或者部署硬件防病毒墻，從而可以有效阻止病毒侵入內(nèi)網(wǎng)，而且在網(wǎng)絡邊界應增加URL過濾功能，對一些已知的病毒載體網(wǎng)站（掛馬網(wǎng)站或不健康的網(wǎng)站）進行地址過濾，減少病毒隱患。

j）內(nèi)網(wǎng)―技術：針對內(nèi)網(wǎng)威脅，應建立兩級病毒防護機制，即企業(yè)級的病毒防護中心與個人版的病毒防護系統(tǒng)。企業(yè)級的病毒防護中心負責整個網(wǎng)絡的病毒防護，為個人提供殺毒軟件更新服務；個人的病毒防護系統(tǒng)則利用殺毒軟件、軟件防火墻進行病毒防護，且定時更新軟件系統(tǒng)，做到個人計算機系統(tǒng)、軟件應用等實時防護。

k）數(shù)據(jù)―技術：針對數(shù)據(jù)威脅，應在數(shù)據(jù)中心建立硬件防火墻，對安全信任網(wǎng)絡與非安全網(wǎng)絡進行隔離，并且設置針對DDOS攻擊與病毒攻擊的防御軟件與設備，例如，殺毒軟件、具有高性能檢測引擎的入侵防御系統(tǒng)等，具體的防護技術可以詳見參考文獻[5]。

l）遠程接入―技術：針對遠程接入威脅，應加強VPN連接的用戶訪問權(quán)限管理，減少無關人員的侵入與破壞，并且加入防病毒軟件，監(jiān)測連接的安全性。

與傳統(tǒng)的計算機病毒防護架構(gòu)不同，該文提出的防護架構(gòu)更為合理，其不僅局限于局部的技術架構(gòu)，而且關注了更為高層的制度與人員的安全防護能力，為企業(yè)全面推進病毒安全防護體系建設提供可靠指導。

3 結(jié)束語

隨著計算機病毒的復雜性、智能性與危害性不斷提高，企業(yè)病毒防護能力已發(fā)展成為企業(yè)信息化建設中的一個重要問題。該文首先對計算機病毒的特點與發(fā)展趨勢展開分析，隨后利用企業(yè)安全體系內(nèi)容（人員，制度，技術），結(jié)合企業(yè)潛在的病毒威脅，提出了病毒防護框架及其相應的解決方法。該框架能夠有效指導企業(yè)病毒防護建設，為企業(yè)的網(wǎng)絡利用及信息化辦公提供保障。

參考文獻：

[1] 周子英.某集團網(wǎng)絡信息安全體系的構(gòu)建[J].計算機應用與軟件， 2009， 26（12）：273-277.

[2] 趙聰.完善網(wǎng)絡安全體系，全面提升信息網(wǎng)絡病毒防護水平[J].天津科技，2009，36（4）：82-84.

篇8

摘要：通過對大中型跨國企業(yè)海外信息安全體系的研究，形成了一個完整的海外信息安全體系框架，包括安全策略、安全技術體系、安全管理體系、運行保障體系和建設實施規(guī)劃等。依照該框架，企業(yè)可以針對各部分進行具體實施，從而完成整個的海外信息安全建設。

關鍵詞 ：大中型企業(yè)；信息安全體系；框架；理論指導；安全模型

1海外信息安全體系建設原則

大中型企業(yè)海外信息安全體系的建設，涉及面廣、工作量大，整體設計必須堅持以下的原則，以保證建設和運營的效果。

1.1統(tǒng)一規(guī)劃管理

要對信息安全體系建設進行統(tǒng)一的規(guī)劃，制定信息安全體系框架，明確保障體系中所包含的內(nèi)容。同時，還要制定統(tǒng)一的信息安全建設標準和管理規(guī)范，使得信息安全體系建設遵循一致的標準、管理遵循一致的規(guī)范。

1.2分步有序?qū)嵤?/p>

信息安全體系建設的內(nèi)容龐雜，必須堅持分步有序的實施原則，循序漸進。

1.3技術管理并重

僅有全面的安全技術和機制是遠遠不夠的，安全管理也具有同樣的重要性。信息安全體系的建設，必須遵循安全技術和安全管理并重的原則，制定統(tǒng)一的安全建設管理規(guī)范，指導安全管理工作。

1.4突出安全保障

信息安全體系建設要突出安全保障的重要性，通過數(shù)據(jù)備份、冗余設計、應急響應、安全審計、災難恢復等安全保障機制，保障業(yè)務的持續(xù)性和數(shù)據(jù)的安全性。

2海外信息安全體系建設目標

大型跨國企業(yè)海外信息安全的建設目標是：基于安全基礎設施、以安全策略為指導，提供全面的安全服務內(nèi)容，覆蓋從物理、網(wǎng)絡、系統(tǒng)直至數(shù)據(jù)和應用平臺各個層面，以及保護、檢測、響應、恢復等各個環(huán)節(jié)，構(gòu)建全面、完整、高效的信息安全體系，從而提高企業(yè)信息系統(tǒng)的整體安全等級，為企業(yè)海外業(yè)務發(fā)展提供堅實的信息安全保障。

3海外信息安全體系框架

企業(yè)進行信息安全建設的目標是建立起一個全面、有效的信息安全體系，包括了安全技術、安全管理、人員組織、教育培訓、資金投入等關鍵因素，信息安全建設的內(nèi)容多，規(guī)模大，必須進行全面的統(tǒng)籌規(guī)劃，明確信息安全建設的工作內(nèi)容、技術標準、組織機構(gòu)、管理規(guī)范、人員崗位配備、實施步驟、資金投入，才能夠保證信息安全建設有序可控地進行，使信息安全體系發(fā)揮最優(yōu)的保障效果。

同時還應該制定一系列的安全管理規(guī)范，指導信息安全建設和運營工作，使得信息安全建設能夠依據(jù)統(tǒng)一的標準開展，信息安全體系的運營和維護能夠遵循統(tǒng)一的規(guī)范進行。

3.1安全目標模型

根據(jù)大型跨國企業(yè)海外信息安全體系建設目標和總體安全策略，建立與之對應的目標模型，稱為WP2DRR安全模型。該模型由預警（ Warning）、策略(Policy)、保護（Protectlon）、檢測（Detection）、響應(Response)、恢復（Recovery）6個要素環(huán)節(jié)構(gòu)成了一個基于時間的、完整的、動態(tài)的信息安全體系。WP2DRR模型在P2DR模型的基礎上新增加了預警Warnlng和恢復Recover，增強了安全保障體系的事前預防和事后恢復能力，系統(tǒng)一旦發(fā)生安全事故，也能恢復系統(tǒng)功能和數(shù)據(jù)，恢復系統(tǒng)的正常運行。

安全目標模型是信息安全體系框架的基礎，大型跨國企業(yè)的海外信息安全體系框架應該緊密圍繞安全模型的6個要素環(huán)節(jié)進行設計，每個要素環(huán)節(jié)的功能都在安全技術體系、安全組織和管理體系以及運行保障體系中體現(xiàn)出來。

3.2信息安全體系框架組成

通過對企業(yè)的網(wǎng)絡和應用現(xiàn)狀、安全現(xiàn)狀、面臨的安全風險的分析，根據(jù)安全保障目標模型，制定了大型跨國企業(yè)海外信息安全體系框架。制定該框架的目的在于從宏觀上指導和管理信息安全體系的建設和運營。

該框架由一組相互關聯(lián)、相互作用、相互彌補、相互推動、相互依賴、不可分割的信息安全保障要素組成。此框架中，以安全策略為指導，融會了安全技術、安全管理和運行保障3個層次的安全體系，以達到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全目標。大型跨國企業(yè)海外信息安全體系框架的總體結(jié)構(gòu)如圖1所示。

3.2.1安全策略

在這個框架中，安全策略是指導，與安全技術體系、安全組織和管理體系以及運行保障體系這3大體系相互作用。一方面，3大體系是在安全策略的指導下構(gòu)建的，主要是要將安全策略中制定的各個要素轉(zhuǎn)化成為可行的技術實現(xiàn)方法和管理、運行保障手段，全面實現(xiàn)安全策略中所制定的目標。另一方面，安全策略本身也有包括草案設計、評審、實施、培訓、部署、監(jiān)控、強化、重新評佶、修訂等步驟在內(nèi)的生命周期，需要采用一些技術方法和管理手段進行管理，保證安全策略的及時性和有效性。

按照要保障的資產(chǎn)對象的不同，總體策略劃分為物理安全、網(wǎng)絡安全、系統(tǒng)安全、病毒防治、身份認證、應用授權(quán)和訪問控制、數(shù)據(jù)加密、數(shù)據(jù)備份和災難恢復、應急響應、教育培訓等若干方面進行闡述。

隨著技術的發(fā)展以及系統(tǒng)的升級、調(diào)整，安全策略也應該進行重新評估和制定，隨時保持策略與安全目標的一致性。

3.2.2安全技術體系

安全技術體系是整個信息安全體系框架的基礎，包括了安全基礎設施平臺、安全應用系統(tǒng)平臺和安全綜合管理平臺這3個部分，以統(tǒng)一的信息安全基礎設施平臺為支撐，以統(tǒng)一的安全系統(tǒng)應用平臺為輔助，在統(tǒng)一的綜合安全管理平臺管理下的技術保障體系框架。

安全基礎設施平臺是以安全策略為指導，立足于現(xiàn)有的成熟安全技術和安全機制，從物理和通信安全防護、網(wǎng)絡安全防護、主機系統(tǒng)安全防護、應用安全防護等多個層次出發(fā)，建立起的一個各個部分相互協(xié)同的完整的安全技術防護體系。

應用信息系統(tǒng)通過使用安全基礎設施平臺所提供的各類安全服務，提升自身的安全等級，以更加安全的方式，提供業(yè)務服務和內(nèi)部信息管理服務。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術體系中涉及的各種安全機制與安全設備，對這些安全機制和安全設備進行統(tǒng)一的管理和控制，負責管理和維護安全策略，配置管理相應的安全機制，確保這些安全技術與設施能夠按照設計的要求協(xié)同運作，可靠運行。它在傳統(tǒng)的信息系統(tǒng)應用體系與備類安全技術、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁，使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應用體系緊密的結(jié)合實現(xiàn)無縫連接，促成信息系統(tǒng)安全與信息系統(tǒng)應用的真正的一體化，使得傳統(tǒng)的信息系統(tǒng)應用體系逐步過渡向安全的信息系統(tǒng)應用體系。

統(tǒng)一的安全管理平臺有助于各種安全管理技術手段的相互補充和有效發(fā)揮，也便于從系統(tǒng)整體的角度來進行安全的監(jiān)控和管理，從而提高安全管理工作的效率，使人為的安全管理活動參與量大幅下降。

3.2.3安全管理體系

安全組織和管理體系是安全技術體系真正有效發(fā)揮保護作用的重要保障，安全管理體系的設計立足于總體安全策略，并與安全技術體系相互配合，增強技術防護體系的效率和效果，同時也彌補當前技術無法完全解決的安全缺陷。

技術和管理是相互結(jié)合的。一方面，安全防護技術措施需要安全管理措施來加強，另一方面技術也是對管理措施貫徹執(zhí)行的監(jiān)督手段。在大型跨國企業(yè)海外信息安全體系框架中，安全管理體系的設計充分參考和借鑒了國際信息安全管理標準《BS7799 (IS017799)》的建議。

大型跨國企業(yè)海外信息安全管理體系由若干信息安全管理類組成，每項信息安全管理類可分解為多個安全目標和安全控制。每個安全目標都有若干安全控制與其相對應，這些安全控制是為了達成相應安全目標的管理工作和要求。

3.2.4運行保障體系

運行與保障體系由安全技術和安全管理緊密結(jié)合的內(nèi)容所組成，包括了系統(tǒng)可靠性設計、系統(tǒng)數(shù)據(jù)的備份計劃、安全事件的應急響應計劃、安全審計、災難恢復計劃等，運行和保障體系對于企業(yè)網(wǎng)絡和信息系統(tǒng)的可持續(xù)性運營提供了重要的保障手段。

3.2.5建設實施規(guī)劃

建設實施規(guī)劃是在安全管理體系、安全技術體系、運行保障體系設計的基礎上進一步制定的建設步驟和實施方案。在建設實施規(guī)劃中突出體現(xiàn)了分步有序?qū)嵤┑脑瓌t。

任何信息安全建設都需要人員負責管理和實施，因此，首先應該建立信息安全工作監(jiān)管組織機構(gòu)，明確各級管理機構(gòu)的人員配備，職能和責任。其中信息安全管理機構(gòu)負責信息安全策略的審核與頒布、統(tǒng)一技術標準和管理規(guī)范的制定、指導和監(jiān)督信息安全建設工作、對信息安全系統(tǒng)進行監(jiān)控與審計管理。

信息安全體系建設，應該首先從物理環(huán)境安全建設入手，確保機房建設按照的統(tǒng)一標準進行建設，并且按照統(tǒng)一的管理規(guī)范進行管理。

在接下來的網(wǎng)絡安全建設中，應對計算機網(wǎng)絡的安全域進行劃分，對網(wǎng)絡結(jié)構(gòu)進行調(diào)整，以確保內(nèi)部網(wǎng)絡與外部網(wǎng)絡、業(yè)務網(wǎng)絡與辦公網(wǎng)絡邊界清晰；在各安全域的邊界處部署防火墻、網(wǎng)絡入侵檢測等安全產(chǎn)品，形成立體的區(qū)域邊界保護機制，對各安全域進行邏輯安全隔離，禁止未授權(quán)的網(wǎng)絡訪問；在內(nèi)部網(wǎng)絡中部署網(wǎng)絡脆弱性分析工具，定期對內(nèi)部網(wǎng)絡進行檢查，并采取措施及時彌補新發(fā)現(xiàn)的安全漏洞。

在進行網(wǎng)絡安全建設的同時，還可以進行系統(tǒng)安全建設，在內(nèi)部網(wǎng)絡中全面部署網(wǎng)絡病毒查殺系統(tǒng)，有效抑制計算機病毒在內(nèi)部網(wǎng)絡中傳播，避免對系統(tǒng)和數(shù)據(jù)造成損害。另外，主機系統(tǒng)管理員還應該按照主機系統(tǒng)管理規(guī)范的要求，借助主機脆弱性分析和安全加固工具，定期對主機系統(tǒng)進行檢查，更新安全漏洞補丁的級別，修正不當?shù)南到y(tǒng)和服務配置，查看和分析系統(tǒng)審計日志，控制和保證主機系統(tǒng)的良好安全狀態(tài)。

應用安全建設包括建立身份認證系統(tǒng)、應用授權(quán)和訪問控制系統(tǒng)、數(shù)據(jù)安全傳輸系統(tǒng)等，對專業(yè)業(yè)務應用系統(tǒng)和內(nèi)部信息管理系統(tǒng)提供各種安全服務。

按照統(tǒng)一標準，建立安全審計與分析系統(tǒng)、系統(tǒng)和數(shù)據(jù)備份計劃、安全事件應急響應計劃、災難恢復計劃等安全保障機制，重在保護業(yè)務數(shù)據(jù)等信息資產(chǎn)，保證內(nèi)外應用服務的持續(xù)可用性。

對所有員工進行基本安全教育，為信息安全系統(tǒng)相關技術人員提供專門的安全理論和安全技能培訓，提高全員的安全意識，打造一支高素質(zhì)的專業(yè)技術和管理隊伍。

4結(jié)論

海外信息安全體系是一個全方位的體系，從技術到管理、從網(wǎng)絡到設備再到人。任何一個方面都要考慮周全，只有每一個部分的安全才是整體的安全。

篇9

引言

信息網(wǎng)絡看不見摸不著，卻又切實圍繞在每個人的身邊，并滲透進了經(jīng)濟發(fā)展的每個細胞里?，F(xiàn)代企業(yè)作為推動國家經(jīng)濟發(fā)展的細胞，繁榮衰盛牽動著國家經(jīng)濟的每一根神經(jīng)，計算機網(wǎng)絡在企業(yè)的應用是不可阻擋的趨勢，他給企業(yè)，給社會經(jīng)濟的發(fā)展帶來的益處不言而喻，數(shù)不勝數(shù)，可任何事情都有其發(fā)展的軌道和兩面性，信息網(wǎng)絡在帶給社會便利的同時，其安全性也對大環(huán)境下經(jīng)濟發(fā)展構(gòu)成威脅?，F(xiàn)今，網(wǎng)絡發(fā)展促使越來越多的計算機人才的涌現(xiàn)，利用好了便造福于社會，否則便會成為威脅網(wǎng)絡安全的罪魁禍首。為了確保網(wǎng)絡的安全性，全社會從上至下樹立起安全用網(wǎng)的意識，完善相關法律法規(guī)的制定，各部門加強防范意識，堅持自主創(chuàng)新，具體情況具體分析，完善內(nèi)部網(wǎng)絡安全，創(chuàng)造網(wǎng)絡發(fā)展良好環(huán)境，使得網(wǎng)絡健康有序地服務于社會經(jīng)濟的發(fā)展。

一、網(wǎng)絡使用在企業(yè)中的現(xiàn)狀

信息網(wǎng)的安全性破壞絕非一朝一夕的事情，許多的網(wǎng)絡木馬病毒總是會從各種渠道悄無聲息侵入到整個系統(tǒng)，致使信息網(wǎng)的癱瘓，造成不可估量的損失?，F(xiàn)今，網(wǎng)絡安全主要會從以下方面受到威脅：1.1、企業(yè)員工，員工的網(wǎng)絡意識不高，多數(shù)員工并沒有意識到網(wǎng)絡信息不安全的事實，在使用內(nèi)部計算機時，會因為安全配置不當，而造成的網(wǎng)絡安全漏洞，隨意瀏覽網(wǎng)頁或與他人共享網(wǎng)絡資源，用戶口令選擇不當安全意識不強，等等都會為網(wǎng)絡病毒提供有乘之機.1.2、企業(yè)忽視對網(wǎng)絡的建設，企業(yè)經(jīng)營者注重的往往是網(wǎng)絡效應，缺乏對構(gòu)建安全網(wǎng)絡的投入，使得許多的企業(yè)網(wǎng)絡基本處于被動防御封堵網(wǎng)絡漏洞的狀態(tài)，缺乏安全意識，沒有建立主動防范的網(wǎng)絡體系，提高網(wǎng)絡檢測、防護和恢復能力.1.3、網(wǎng)絡信息安全還有很大一部分原因要歸咎與人為的惡意攻擊。他們熟知網(wǎng)絡的運作方式，擁有純熟的網(wǎng)絡技術和操作水平。如近年來，網(wǎng)絡黑客以及其他的網(wǎng)絡犯罪活動猖獗，他們攻擊方式主要分為有目的的攻擊，也就是主動竊取目標信息，有選擇地破壞企業(yè)內(nèi)部信息的完整性和機密性，另外一種是被動攻擊，被動攻擊是在不影響網(wǎng)絡正常工作的前提下，截獲或竊取公司的機密信息，這兩種攻擊破壞力都非常強，企業(yè)必須對此提高警惕，完善防范和監(jiān)督體系。第四、相關法律法規(guī)的缺失，對惡意攻擊網(wǎng)絡的行為懲罰力度不夠，間接促使了人為攻擊和網(wǎng)絡犯罪的頻增。

二、保障信息網(wǎng)絡安全，促進企業(yè)穩(wěn)定發(fā)展

2.1、完善網(wǎng)絡使用的規(guī)章制度，提高員工安全防范意識

網(wǎng)絡安全從內(nèi)部抓起，健全和完善企業(yè)網(wǎng)絡使用的規(guī)章制度，監(jiān)督體系，并建立明確獎懲規(guī)則，如嚴令禁止私人使用移動存儲設備，強制性杜絕利用企業(yè)網(wǎng)絡處理私人問題的行為；貼封條，并定期檢查網(wǎng)絡設備，加大對網(wǎng)絡維護和監(jiān)測力度，同時加強對員工的思想教育，提高員工的整體素質(zhì)，明確濫用網(wǎng)絡的危害性，增強員工的企業(yè)責任心，普及安全用網(wǎng)知識，人為的對網(wǎng)絡進行控制和監(jiān)管，防止信息泄露，和網(wǎng)絡漏洞的出現(xiàn)。

2.2、完善企業(yè)信息網(wǎng)絡的防范系統(tǒng)和監(jiān)督體系

企業(yè)管理人員應加大對主動防范領域的投資，轉(zhuǎn)被動封漏為主動出擊，加強防范與監(jiān)督，嚴防網(wǎng)絡病毒的入侵，一旦發(fā)現(xiàn)病毒及時查殺，并定期更新完善殺毒軟件，檢查網(wǎng)絡設備。注重企業(yè)的緊急預警，發(fā)生病毒侵入事故，立即執(zhí)行有效的應對方案，及時減少不必要的損失，防患于未然。加強企業(yè)內(nèi)部自身的防御體系建設，建立完備的防火墻，防水墻體系，定期按時監(jiān)測。加大企業(yè)對計算機技術人才的投資，調(diào)高企業(yè)相關技術人員的技能和技術水平，加大網(wǎng)絡建設的人才投資，調(diào)高技術員工的綜合素質(zhì)，完善企業(yè)內(nèi)部的計算機信息網(wǎng)絡，保障信息網(wǎng)絡的安全，謹防企業(yè)內(nèi)部的機密信息外泄，給企業(yè)帶來的難以挽回的損失，對企業(yè)的持續(xù)，健康，穩(wěn)定的發(fā)展十分重要。

2.3、建立健全的法律法規(guī)

市場經(jīng)濟條件下，企業(yè)之間，各部門之間資源流通，實現(xiàn)高度共享，充分利用資源，謀求發(fā)展。這個信息公開透明的環(huán)境，為網(wǎng)絡犯罪活動提供良好的途徑，除了企業(yè)自身應該加強防范系統(tǒng)的建設與監(jiān)測以外，國家作為宏觀調(diào)控的有效手段，應該加強網(wǎng)絡市場的監(jiān)管，為經(jīng)濟發(fā)展營造一個公平公正的環(huán)境。針對網(wǎng)絡黑客的惡意攻擊，國家應當完善當前網(wǎng)絡犯罪懲治的法律法規(guī)，對網(wǎng)絡犯罪行為施以重擊，從源頭上打擊這類方法活動，使其望而卻步。同時加緊完善網(wǎng)絡監(jiān)督體系，嚴格把關每一類流放市場的信息的合法性，這對社會經(jīng)濟充分發(fā)展，企業(yè)資源實現(xiàn)共享，發(fā)展新型健康經(jīng)濟，提供了重要的基礎。

結(jié)語：

市場經(jīng)濟為企業(yè)的發(fā)展提供了良好的平臺，實現(xiàn)了企業(yè)之間的資本快速流通，信息網(wǎng)絡的發(fā)展則為企業(yè)發(fā)展實現(xiàn)資源共享，為經(jīng)濟良性循環(huán)發(fā)展提供了有效的方式，企業(yè)信息網(wǎng)絡安全，對保護企業(yè)核心信息，保障企業(yè)核心競爭力十分重要；同時信息網(wǎng)絡安全對市場經(jīng)濟健康發(fā)展，營造公平公正公開的市場競爭環(huán)境有著舉足輕重的作用。加強企業(yè)信息網(wǎng)絡安全，決不是只憑借一人之力就能完成的，個人，集體，社會必須統(tǒng)一加強網(wǎng)絡安全意識，企業(yè)管理應注重完善內(nèi)部網(wǎng)絡的監(jiān)督與防范體系，保護核心利益不受莫名損害，社會應從源頭上，建立健全網(wǎng)絡監(jiān)督體制，和法律法規(guī)，對網(wǎng)絡犯罪活動嚴懲不貸，上下齊心，打造安全的網(wǎng)絡環(huán)境。

參考文獻：

篇10

中圖分類號：TP 文獻標識碼：A 文章編號：1009-914X（2017）01-0394-01

企業(yè)在網(wǎng)絡安全方面的整體需求涵蓋基礎網(wǎng)絡、系統(tǒng)運行和信息內(nèi)容安全、運行維護的多個方面，包括物理安全、網(wǎng)絡安全、主機安全、應用安全、網(wǎng)站安全、應急管理、數(shù)據(jù)安全及備份恢復等內(nèi)容，這些方方面面的安全需求，也就要求企業(yè)要有一流的安全隊伍、合理的安全體系框架以及切實可行的安全防護策略。

一、強化安全隊伍建設和管理要求

企業(yè)要做好、做優(yōu)網(wǎng)絡安全工作，首先要面臨的就是組織機構(gòu)和人才隊伍建設問題，因此，專門的網(wǎng)絡安全組織機構(gòu)對每個企業(yè)來講都是必不可少的。在此基礎上，企業(yè)要結(jié)合每季度或者每月的網(wǎng)絡安全演練、安全檢查等工作成果和反饋意見，持續(xù)加強網(wǎng)絡安全管理隊伍建設，細化安全管理員和系統(tǒng)管理員的安全責任，進一步明確具體的分工安排及責任人，形成清晰的權(quán)責體系。同時，在企業(yè)網(wǎng)絡自查工作部署上，也要形成正式的檢查結(jié)果反饋意見，并在網(wǎng)絡安全工作會議上明確檢查的形式、流程及相關的文件和工作記錄安排，做到分工明確、責任到人，做到規(guī)范化、流程化、痕跡化管理，形成規(guī)范的檢查過程和完整的工作記錄，從而完成管理流程和要求的塑造，為企業(yè)后續(xù)的網(wǎng)絡安全工作提供強勁、持久的源動力和執(zhí)行力。

二、搭建科學合理的安全體系框架

一般來講，我國有不少企業(yè)的網(wǎng)絡安全架構(gòu)是以策略為核心，以管理體系、技術體系和運維體系共同支撐的一個框架，其較為明顯的特點是：上下貫通、前后協(xié)同、分級分域、動態(tài)管理、積極預防。

上下貫通，就是要求企業(yè)整個網(wǎng)絡安全工作的引領與落實貫通一致，即企業(yè)整體的網(wǎng)絡安全方針和策略要在實際的工作中得到貫徹實施；前后協(xié)同，就是要求企業(yè)得網(wǎng)絡安全組織機構(gòu)和人員，要積極總結(jié)實際的工作經(jīng)驗和成果，結(jié)合企業(yè)當前的網(wǎng)絡安全態(tài)勢，最新的國際、國內(nèi)安全形勢變化，每年對企業(yè)的網(wǎng)絡安全方針和策略進行不斷的修正，達到前后協(xié)同的效果。分級分域，就是要求企業(yè)要結(jié)合自身的網(wǎng)絡拓撲架構(gòu)、各個業(yè)務系統(tǒng)及辦公系統(tǒng)的安全需求、企業(yè)存儲及使用的相關數(shù)據(jù)重要程度、各個系統(tǒng)及服務的使用人員等情況，明確劃分每個員工的系統(tǒng)權(quán)限、網(wǎng)絡權(quán)限，對使用人員進行分級管理，并對相關網(wǎng)絡及安全設備、服務器等進行分區(qū)域管理，針對不同區(qū)域的設備設定不同的安全級別。

動態(tài)管理，就是要求企業(yè)的整體安全策略和方針、每個階段的安全計劃和工作內(nèi)容，都要緊密跟蹤自身的信息化發(fā)展變化情況，并要在國內(nèi)突發(fā)或重大安全事件的引導下，適時調(diào)整、完善和創(chuàng)新安全管理模式和要求，持續(xù)提升、改進和強化技術防護手段，保證網(wǎng)絡安全水平與企業(yè)的信息化發(fā)展水平相適應，與國內(nèi)的信息安全形勢相契合；積極預防就是要求企業(yè)在業(yè)務系統(tǒng)的開發(fā)全過程，包括可研分析、經(jīng)濟效益分析、安全分析、系統(tǒng)規(guī)劃設計、開工實施、上線運行、維護保障等多個環(huán)節(jié)上要抱有主動的態(tài)度，采取積極的防護措施，不要等到問題發(fā)生了再去想對策、想辦法，要盡可能的提前評估潛在的安全隱患，并著手落實各種預防性措施，并運用多種監(jiān)控工具和手段，定期感知企業(yè)的網(wǎng)絡安全狀態(tài)，提升網(wǎng)絡安全事故的預警能力和應急處置能力。

三、落實切實可行的安全防護策略

在安全策略方面，企業(yè)的安全防護策略制定思路可以概括為：依據(jù)國家網(wǎng)絡安全戰(zhàn)略的方針政策、法律法規(guī)、制度，按照相關行業(yè)標準規(guī)范要求，結(jié)合自身的安全環(huán)境和信息化發(fā)展戰(zhàn)略，契合最新的安全形勢和安全事件，從總體方針和分項策略兩個方面進行制定并完善網(wǎng)絡安全策略體系，并在后續(xù)的工作中，以總方針為指導，逐步建立覆蓋網(wǎng)絡安全各個環(huán)節(jié)的網(wǎng)絡安全分項策略，作為各項網(wǎng)絡安全工作的開展、建立目標和原則。

在網(wǎng)絡安全管理體系方面，企業(yè)要將上述安全策略、方針所涉及的相關細化目標、步驟、環(huán)節(jié)形成具體可行的企業(yè)管理制度，以制度的形勢固化下來，并強化對相關企業(yè)領導、安全機構(gòu)管理人員、業(yè)務辦公人員的安全形勢和常識培訓，提高企業(yè)從上至下的安全防護能力和安全水平；在運維管理體系建設方面，企業(yè)要對每個運維操作進行實時化監(jiān)控，在不借助第三方監(jiān)控工具如堡壘機的條件下，要由專人進行監(jiān)管，以防止運維操作帶來的安全隱患，同時，企業(yè)也要階段性的對各個網(wǎng)絡設備、業(yè)務系統(tǒng)、安全設備等進行安全評估，分析存在的安全漏洞或隱患，制定合理的解決措施，從而形成日常安全運維、定期安全評估、季度安全分析等流程化管理要求和思路。

在技術防護體系建設方面，企業(yè)可以參照PPDRR模型，通過“策略、防護、檢測、響應、恢復”這五個環(huán)節(jié)，不斷進行技術策略及體系的修正，從而搭建一套縱向關聯(lián)、橫向支撐的架構(gòu)體系，完成對主機安全、終端安全、應用安全、網(wǎng)絡安全、物理安全等各個層面的覆蓋，實現(xiàn)技術體系的完整性和完備性。企業(yè)常用的技術防護體系建設可以從以下幾個方面考慮：

篇11

一、引言

隨著電力施工企業(yè)信息化發(fā)展的不斷深入，企業(yè)對信息系統(tǒng)的依賴程度越來越高，信息與網(wǎng)絡安全直接影響到企業(yè)生產(chǎn)、經(jīng)營及管理活動，甚至直接影響企業(yè)未來發(fā)展。企業(yè)網(wǎng)絡規(guī)模的擴大、信息接入點增多、分布范圍廣，使信息接入點管控難度大。企業(yè)信息與網(wǎng)絡安全面臨各類威脅，筆者以構(gòu)建某電力施工企業(yè)信息與網(wǎng)絡安全體系為例，從信息安全管理、技術實施方面進行闡述與分析，建立一套比較完整信息化安全保障體系，保障業(yè)務應用的正常運行。

二、企業(yè)網(wǎng)絡安全威脅問題分析

1.企業(yè)網(wǎng)絡通信設備存的安全漏洞威脅，網(wǎng)絡非法入侵者可以采用監(jiān)聽數(shù)據(jù)、嗅探數(shù)據(jù)、截取數(shù)據(jù)等方式收集信息，利用拒絕服務攻擊、篡改數(shù)據(jù)信息等方式對合法用戶進行攻擊。

2.非法入侵用戶對網(wǎng)絡系統(tǒng)的知識結(jié)構(gòu)非常清楚，包括企業(yè)外部人員、企業(yè)內(nèi)部熟悉網(wǎng)絡技術的工作人員，利用內(nèi)部網(wǎng)絡進行惡意操作。非法用戶入侵企業(yè)內(nèi)部網(wǎng)絡主要采用非法授權(quán)訪問對企業(yè)內(nèi)部網(wǎng)絡進行惡意操作，以達到竊取商業(yè)機密的目的；獨占網(wǎng)絡資源的方式，非業(yè)務數(shù)據(jù)流（如P2P文件傳輸與即時通訊等）消耗了大量帶寬，輕則影響企業(yè)業(yè)務無法正常運作，重則致使企業(yè)IT系統(tǒng)癱瘓，對內(nèi)部網(wǎng)絡系統(tǒng)造成損壞。

3.惡意病毒程序和代碼包括計算機病毒、蠕蟲、間諜軟件、邏輯復制炸彈和一系列未經(jīng)授權(quán)的程序代碼和軟件系統(tǒng)。病毒感染可能造成網(wǎng)絡通信阻塞、文件系統(tǒng)破壞，系統(tǒng)無法提供服務甚至重要數(shù)據(jù)丟失。病毒的傳播非常迅速；蠕蟲是通過計算機網(wǎng)絡進行自我復制的惡意程序，泛濫時可以導致網(wǎng)絡阻塞和癱瘓；間諜軟件在用戶不知情的情況下進行非法安裝，并把截獲的機密信息發(fā)送給第三者。

4.隨著企業(yè)信息化平臺、一體化系統(tǒng)投入運行，大量重要數(shù)據(jù)和機密信息都需要通過內(nèi)部局域網(wǎng)和廣域網(wǎng)來傳輸，信息被非法截取、篡改而造成數(shù)據(jù)混亂和信息錯誤的幾率加大；當非法入侵者以不正當?shù)氖侄潍@得系統(tǒng)授權(quán)后。可以對企業(yè)內(nèi)部網(wǎng)絡的信息資源執(zhí)行非法操作，包括篡改數(shù)據(jù)信息、復制數(shù)據(jù)信息、植入惡意代碼、刪除重要信息等，甚至竊取用戶的個人隱私信息，阻止合法用戶的正常使用，造成破壞和損失。保護信息資源，保證信息的傳遞成為企業(yè)信息安全中重要的一環(huán)。

三、企業(yè)信息與網(wǎng)絡安全策略

結(jié)合電力施工企業(yè)業(yè)務廣范圍大特點，提出一套側(cè)重網(wǎng)絡準入控制的信息安全解決方案，保障企業(yè)網(wǎng)絡信息安全。

1.遠程接入VPN安全解決方案

施工企業(yè)擁有多個項目部，地域范圍廣，項目部、出差人員安全訪問企業(yè)信息系統(tǒng)是企業(yè)信息化的要求，確保網(wǎng)絡連接間保密性是必要的。采用SSL VPN安全網(wǎng)關旁路部署在網(wǎng)絡內(nèi)部，通過設置用戶級別、權(quán)限來屏蔽非授權(quán)用戶的訪問。訪問內(nèi)部網(wǎng)絡資源的移動、項目用戶先到SSL VPN上進行認證，根據(jù)認證結(jié)果分配相應權(quán)限，實現(xiàn)對內(nèi)部資源的訪問控制。

2.邊界安全解決方案

在系統(tǒng)互聯(lián)網(wǎng)出口部署防火墻（集成防病毒和網(wǎng)絡安全監(jiān)控模塊）和IPS設備，同時通過防火墻和IPS將企業(yè)內(nèi)部網(wǎng)、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開，并通過制定相應的安全規(guī)則，以實現(xiàn)各區(qū)域不同級別、不同層次的安全防護。邊界防護建立以防火墻為核心，郵件、WEB網(wǎng)關設備、IDS及IPS等設備為輔的邊界防護體系。

（1）通過防火墻在網(wǎng)絡邊界建立網(wǎng)絡通信監(jiān)控系統(tǒng)，監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流以及對外屏蔽網(wǎng)絡內(nèi)部的信息、結(jié)構(gòu)和運行狀況，控制非法訪問、增強網(wǎng)絡信息保密性、記錄和統(tǒng)計網(wǎng)絡數(shù)據(jù)并對非法入侵報警提示等，達到保障計算機網(wǎng)絡安全的目的。

（2）在防火墻上開啟防病毒模塊，可以在網(wǎng)關處阻止病毒、木馬等威脅的傳播，保護網(wǎng)絡內(nèi)部用戶免受侵害，改變了原有被動等待病毒感染的防御模式，實現(xiàn)網(wǎng)絡病毒的主動防御，切斷病毒在網(wǎng)絡邊界傳遞的通道。

（3）以入侵防御系統(tǒng)IPS應用層安全設備，作為防火墻的重要補充，很好的解決了應用層防御安全威脅，通過在線部署，IPS可以檢測并直接阻斷惡意流量。

（4）將上網(wǎng)行為管理設備置于核心交換機與防火墻之間。通過對在線用戶狀態(tài)、Web訪問內(nèi)容、外發(fā)信息、網(wǎng)絡應用、帶寬占用情況等進行實時監(jiān)控，在上網(wǎng)行為管理設備上設置不同的策略，阻擋P2P應用，釋放網(wǎng)絡帶寬，有效地解決了內(nèi)部網(wǎng)絡與互聯(lián)網(wǎng)之間的安全使用和管理問題。

3.內(nèi)網(wǎng)安全解決方案

內(nèi)網(wǎng)安全是網(wǎng)絡安全建設的重點，由于內(nèi)網(wǎng)節(jié)點數(shù)量多、分布復雜、終端用戶安全應用水平參差不齊等原因，也是安全建設的難點。

（1）主要利用構(gòu)建虛擬局域網(wǎng)VLAN技術來實現(xiàn)對內(nèi)部子網(wǎng)的物理隔離。通過在交換機上劃分VLAN可以將整個網(wǎng)絡劃分為幾個不同的廣播域，將信任網(wǎng)段與不信任網(wǎng)段劃分在不同的VLAN段內(nèi)，實現(xiàn)內(nèi)部一個網(wǎng)段與另一個網(wǎng)段的物理隔離，防止影響一個網(wǎng)段的安全事故透過整個網(wǎng)絡傳播，限制局部網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。

（2）建立企業(yè)門戶系統(tǒng)，用戶的訪問控制部署統(tǒng)一的用戶認證服務，實現(xiàn)單點登錄功能，統(tǒng)一存儲所有應用系統(tǒng)的用戶認證信息，而授權(quán)等操作則由各應用系統(tǒng)完成，即統(tǒng)一存儲、分布授權(quán)。

（3）系統(tǒng)軟件部署安全、漏洞更新，定期對系統(tǒng)進行安全更新、漏洞掃描，自動更新Windows操作系統(tǒng)和Office、Exchange Server以及SQL Server等安全、漏洞補丁。安裝網(wǎng)絡版的防病毒軟件，定期更新最新病毒定義文件，制定統(tǒng)一的策略，客戶端定期從病毒服務器下載安裝新的病毒定義文件，有效減少了病毒的影響；配置郵件安全網(wǎng)關系統(tǒng)，為郵件用戶提供屏蔽垃圾郵件、查殺電子郵件病毒和實現(xiàn)郵件內(nèi)容過濾等功能，有效地從網(wǎng)絡層到應用層保護郵件服務器不受各種形式的網(wǎng)絡攻擊。

4.數(shù)據(jù)中心安全解決方案

作為數(shù)據(jù)交換最頻繁、資源最密集的地方，數(shù)據(jù)中心出現(xiàn)任何安全防護上的疏漏必將導致不可估量的損失，因此數(shù)據(jù)中心安全解決方案十分重要。

（1）構(gòu)建網(wǎng)絡鏈接從鏈路層到應用層的多層防御體系。由交換機提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡邊界安全定位在傳輸層與網(wǎng)絡層的安全上，通過防火墻可以把安全信任網(wǎng)絡和非安全網(wǎng)絡進行隔離，并提供對DDoS和多種畸形報文攻擊的防御。IPS可以針對應用流量做深度分析與檢測能力，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡中的各種流量進行有效管理，從而達到對網(wǎng)絡應用層的保護。

（2）建立數(shù)據(jù)備份和異地容災方案，建立了完善的數(shù)據(jù)備份體系，保證數(shù)據(jù)崩潰時能夠?qū)崿F(xiàn)數(shù)據(jù)的完全恢復。同時在異地建立一個備份站點，通過網(wǎng)絡以異步的方式，把主站點的數(shù)據(jù)備份到備份站點，利用地理上的分離來保證系統(tǒng)和數(shù)據(jù)對災難性事件的抵御能力。

5.安全信息管理與培訓

（1）網(wǎng)絡管理是計算機網(wǎng)絡安全重要組成部分，在組織架構(gòu)上，應采用虛擬團隊的模式，成立了相關信息安全管理小組。從決策、監(jiān)督和具體執(zhí)行三個層面為網(wǎng)絡信息安全工作提供保障。建立規(guī)范嚴謹?shù)墓芾碇贫龋贫ㄏ鄳囊?guī)范、配套制度能保證規(guī)范執(zhí)行到位，保障了網(wǎng)絡信息安全工作的“有章可循，有據(jù)可查”。主要涉及：安全策略管理、業(yè)務流程管理、應用軟件開發(fā)管理、操作系統(tǒng)管理、網(wǎng)絡安全管理、應急備份措施、運行流程管理、場所管理、安全法律法規(guī)的執(zhí)行等。

（2）人員素質(zhì)的高低對信息安全方面至關重要；提高人員素質(zhì)的前提就是加強培訓，特別加強是對專業(yè)信息人員的培訓工作。

四、結(jié)束語

該企業(yè)信息與網(wǎng)絡安全體系建設以技術、管理的安全理念為核心，從組織架構(gòu)的建設、安全制度的制定、先進安全技術的應用三個層面，構(gòu)建一個多層次、全方位網(wǎng)絡防護體系。在統(tǒng)一的安全策略基礎上，利用安全產(chǎn)品間的分工協(xié)作，并針對局部關鍵問題點進行安全部署，使整個網(wǎng)絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中管理，達到提升網(wǎng)絡對安全威脅的整體防御能力。