導(dǎo)語：在企業(yè)網(wǎng)絡(luò)安全威脅的撰寫旅程中，學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑，好期刊匯集了九篇優(yōu)秀范文，愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感，引領(lǐng)您探索更多的創(chuàng)作可能。

第1篇

關(guān)鍵詞： 網(wǎng)絡(luò)信息安全； 計(jì)算機(jī)； APT； 安全防御； 惡意威脅

中圖分類號： TN711?34 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2015）21?0100?05

Threat to network information security and study on new defense

technologies in power grid enterprises

LONG Zhenyue1， 2， QIAN Yang1， 2， ZOU Hong1， 2， CHEN Ruizhong1， 2

（1. Key Laboratory of Information Testing， China Southern Power Grid Co.， Ltd.， Guangzhou 510000， China；

2. Information Center， Guangdong Power Grid Co.， Ltd.， Guangzhou 510000， China）

Abstract： With the continuous development of management informationization of the power grid enterprises， automatic power grid operation and intelligent electrical equipment， the information security has become more important. For the serious situation of network information security， the new?type defense technologies are studied， which are consisted of advanced persistent threat （APT） protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies， the strategy of defense effectiveness analysis based on the minimum attack cost is proposed， which can compute the defense capability of the network.

Keywords： network information security； computer； APT； safety defense； malicious threat

0 引 言

隨著電網(wǎng)企業(yè)管理信息化、電網(wǎng)運(yùn)行自動化、電力設(shè)備智能化的不斷發(fā)展，電網(wǎng)企業(yè)信息安全愈發(fā)重要。信息化已成為電力企業(yè)工作中的重要組成部分，各類工作對網(wǎng)絡(luò)的高度依賴，各類信息以結(jié)構(gòu)化、非結(jié)構(gòu)化的方式儲存并流轉(zhuǎn)于網(wǎng)絡(luò)當(dāng)中，一旦信息網(wǎng)絡(luò)被攻破，則往往導(dǎo)致服務(wù)中斷、信息泄漏、甚至指令錯(cuò)誤等事件，嚴(yán)重威脅生產(chǎn)和運(yùn)行的安全。因此，保障網(wǎng)絡(luò)信息安全就是保護(hù)電網(wǎng)企業(yè)的運(yùn)行安全，保障網(wǎng)絡(luò)安全是電網(wǎng)企業(yè)的重要職責(zé)[1]。

目前的網(wǎng)絡(luò)信息安全形勢依然嚴(yán)峻，近年來，業(yè)務(wù)從單系統(tǒng)到跨系統(tǒng)，網(wǎng)絡(luò)從零星分散到大型化、復(fù)雜化，單純的信息安全防護(hù)技術(shù)和手段已經(jīng)不能滿足企業(yè)安全防護(hù)的需要，應(yīng)針對性地研究具有縱深防御特點(diǎn)的安全防護(hù)體系，以信息安全保障為核心，以信息安全攻防技術(shù)為基礎(chǔ)，了解信息安全攻防新技術(shù)，從傳統(tǒng)的“知防不知攻”的被動防御向“知攻知防”的縱深積極防御轉(zhuǎn)變，建立全面的信息安全防護(hù)體系。

1 概 述

從廣義層面而言，網(wǎng)絡(luò)信息安全指的是保障網(wǎng)絡(luò)信息的機(jī)密性、完整性以及有效性，涉及這部分的相關(guān)網(wǎng)絡(luò)理論以及技術(shù)都是網(wǎng)絡(luò)信息安全的內(nèi)容。從狹義層面而言，網(wǎng)絡(luò)信息安全指的是網(wǎng)絡(luò)信息的安全，主要包括網(wǎng)絡(luò)軟硬件及系統(tǒng)數(shù)據(jù)安全[2]。網(wǎng)絡(luò)信息安全需要保證當(dāng)網(wǎng)絡(luò)受到惡意破壞或信息泄露時(shí)，網(wǎng)絡(luò)系統(tǒng)可以持續(xù)正常運(yùn)行，為企業(yè)提供所需的服務(wù)。

通過對我國某電網(wǎng)企業(yè)及其下轄電力單位的調(diào)研，以及對近5年電力信息資產(chǎn)信息安全類測評結(jié)果的統(tǒng)計(jì)得知，電網(wǎng)企業(yè)現(xiàn)存的網(wǎng)絡(luò)安全情況主要分為以下3類：網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件、數(shù)據(jù)安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件、管理類安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件。整體上看，電網(wǎng)企業(yè)的信息安全問題仍不容樂觀，近年來隨著網(wǎng)絡(luò)的復(fù)雜化，攻擊的新型化和專業(yè)化，網(wǎng)絡(luò)安全防護(hù)的情況亟待加強(qiáng)?？傮w而言，首先要加強(qiáng)并提升網(wǎng)絡(luò)、應(yīng)用等方面安全水平，保證信息源頭的安全情況；其次加強(qiáng)管理類安全，特別是人員管理、運(yùn)維管理等方面；最后研究分析最新攻防技術(shù)的特點(diǎn)，結(jié)合電網(wǎng)實(shí)際現(xiàn)狀，構(gòu)建適用于現(xiàn)有網(wǎng)絡(luò)環(huán)境與架構(gòu)的信息安全縱深防御體系。

本文主要針對第三點(diǎn)展開論述，研究包括高級持續(xù)威脅（APT）防護(hù)技術(shù)、漏洞掃描技術(shù)等新型的攻擊及其防護(hù)技術(shù)，提取在復(fù)雜網(wǎng)絡(luò)系統(tǒng)中的防御共同點(diǎn)，并給出一類策略用于分析網(wǎng)絡(luò)信息安全防御的有效性。

2 信息安全的攻防新技術(shù)

電網(wǎng)企業(yè)所依賴的信息安全隔離與防御技術(shù)主要包括數(shù)據(jù)加密技術(shù)、安全隔離技術(shù)、入侵檢測技術(shù)、訪問控制技術(shù)等。一方面，通過調(diào)研與統(tǒng)計(jì)分析。目前電網(wǎng)的信息安全建設(shè)主要以防止外部攻擊，通過區(qū)域劃分、防火墻、反向、入侵檢測等手段對外部攻擊進(jìn)行防御，對內(nèi)部的防御手段往往滯后，電網(wǎng)內(nèi)部應(yīng)用仍然存在一定的安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)。如果一道防線失效，惡意的攻擊者可能通過以內(nèi)部網(wǎng)絡(luò)為跳板威脅電網(wǎng)企業(yè)的安全；另一方面，電網(wǎng)企業(yè)中目前使用的防御技術(shù)一般是孤立的，未形成關(guān)聯(lián)性防御，而目前新型的攻擊往往會結(jié)合多個(gè)漏洞，甚至是多個(gè)0day漏洞進(jìn)行組合攻擊，使得攻擊的隱蔽性、偽裝性都較強(qiáng)。因此，要構(gòu)建信息安全防御體系，僅憑某單一的防護(hù)措施或技術(shù)無法滿足企業(yè)的安全要求，只有構(gòu)建完整的信息安全防護(hù)屏障，才能為企業(yè)提供足夠的信息安全保障能力。

經(jīng)過分析，目前針對電網(wǎng)企業(yè)的新型攻防技術(shù)有如下幾類：

2.1 高級持續(xù)威脅攻擊與防護(hù)技術(shù)

高級持續(xù)威脅（APT）是針對某一項(xiàng)有價(jià)值目標(biāo)而開展的持續(xù)性攻擊，攻擊過程會使用一切能被利用的手段，包括社會工程學(xué)攻擊、0day漏洞攻擊等，當(dāng)各攻擊點(diǎn)形成持續(xù)攻擊鏈后，最終達(dá)到攻擊目的。典型的APT攻擊案例如伊朗核電項(xiàng)目被“震網(wǎng)（Stuxnet）”蠕蟲病毒攻擊，通過攻擊工業(yè)用的可編程邏輯控制器，導(dǎo)致伊朗近[15]的核能離心機(jī)損壞。

根據(jù)APT攻擊的特性，企業(yè)可以從防范釣魚攻擊、識別郵件中的惡意代碼、識別主機(jī)上的惡意代碼、監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)滲出等多個(gè)環(huán)節(jié)進(jìn)行檢測，主要涉及以下幾類新型技術(shù)。

2.1.1 基于沙箱的惡意代碼檢測技術(shù)

惡意代碼檢測中最具挑戰(zhàn)性的是檢測利用0day漏洞的惡意代碼，傳統(tǒng)的基于特征碼的惡意代碼檢測技術(shù)無法應(yīng)對0day攻擊。目前最新的技術(shù)是通過沙箱技術(shù)，構(gòu)造模擬的程序執(zhí)行環(huán)境，讓可疑文件在模擬環(huán)境中運(yùn)行，通過軟件所表現(xiàn)的外在行為判定是否是惡意代碼。

2.1.2 基于異常的流量檢測技術(shù)

傳統(tǒng)的入侵檢測系統(tǒng)IDS都是基于特征（簽名）的深度包檢測（DPI）分析，部分會采用到簡單深度流檢測（DFI）技術(shù)。面對新型威脅，基于DFI技術(shù)的應(yīng)用需要進(jìn)一步深化。基于異常的流量檢測技術(shù)，是通過建立流量行為輪廓和學(xué)習(xí)模型來識別流量異常，進(jìn)而識別0day攻擊、C&C通信以及信息滲出等惡意行為。

2.1.3 全包捕獲與分析技術(shù)

由于APT攻擊的隱蔽性與持續(xù)性，當(dāng)攻擊行為被發(fā)現(xiàn)時(shí)往往已經(jīng)持續(xù)了一段時(shí)間；因此需要考慮如何分析信息系統(tǒng)遭受的損失，利用全包捕獲及分析技術(shù)（FPI），借助海量存儲空間和大數(shù)據(jù)分析（BDA）方法，F(xiàn)PI能夠抓取網(wǎng)絡(luò)定場合下的全量數(shù)據(jù)報(bào)文并存儲，便于后續(xù)的歷史分析或者準(zhǔn)實(shí)時(shí)分析。

2.2 漏洞掃描技術(shù)

漏洞掃描技術(shù)是一種新型的、靜態(tài)的安全檢測技術(shù)，攻防雙方都會利用它盡量多地獲取信息。一方面，攻擊者利用它可以找到網(wǎng)絡(luò)中潛在的漏洞；另一方面，防御者利用它能夠及時(shí)發(fā)現(xiàn)企業(yè)或單位網(wǎng)絡(luò)系統(tǒng)中隱藏的安全漏洞。以被掃描對象分類，漏洞掃描主要可分為基于網(wǎng)絡(luò)與基于主機(jī)的安全漏洞掃描技術(shù)。

2.2.1 基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)

基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)通過網(wǎng)絡(luò)掃描網(wǎng)絡(luò)設(shè)備、主機(jī)或系統(tǒng)中的安全漏洞與脆弱點(diǎn)。例如，通過掃描的方式獲知OpenSSL心臟出血漏洞是否存在。基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)的優(yōu)點(diǎn)包括：易操作性，掃描在執(zhí)行過程中，無需目標(biāo)網(wǎng)絡(luò)或系統(tǒng)主機(jī)Root管理員的參與；維護(hù)簡便，若目標(biāo)網(wǎng)絡(luò)中的設(shè)備有調(diào)整或變化，只要網(wǎng)絡(luò)是連通的，就可以執(zhí)行掃描任務(wù)。但是基于網(wǎng)絡(luò)的掃描也存在一些局限性：掃描無法直接訪問目標(biāo)網(wǎng)絡(luò)或系統(tǒng)主機(jī)上的文件系統(tǒng)；其次，掃描活動不能突破網(wǎng)絡(luò)防火墻[3]。

2.2.2 基于主機(jī)的安全漏洞掃描技術(shù)

基于主機(jī)的安全漏洞掃描技術(shù)是通過以系統(tǒng)管理員權(quán)限登錄目標(biāo)主機(jī)，記錄網(wǎng)絡(luò)或系統(tǒng)配置、規(guī)則等重要項(xiàng)目參數(shù)，通過獲取的信息與標(biāo)準(zhǔn)的系統(tǒng)安全配置庫進(jìn)行比對，最終獲知系統(tǒng)的安全漏洞與風(fēng)險(xiǎn)。

基于主機(jī)的安全漏洞掃描技術(shù)的優(yōu)點(diǎn)包括：可使用的規(guī)則多，掃描結(jié)果精準(zhǔn)度高；網(wǎng)絡(luò)流量負(fù)載較小，不易被發(fā)現(xiàn)。該技術(shù)也存在一些局限性：首先，基于主機(jī)的安全漏洞掃描軟件或工具的價(jià)格昂貴；其次，基于主機(jī)的安全漏洞掃描軟件或工具首次部署的工作周期較長。

3 基于最小攻擊代價(jià)的網(wǎng)絡(luò)防御有效性分析策略

惡意攻擊總是以某一目標(biāo)為導(dǎo)向，惡意攻擊者為了達(dá)到目標(biāo)會選擇各種有效的手法對網(wǎng)絡(luò)進(jìn)行攻擊。在復(fù)雜網(wǎng)絡(luò)環(huán)境下，如果可以盡可能大地提高惡意攻擊者的攻擊代價(jià)，則對應(yīng)能達(dá)到提高有效防御的能力?；谶@個(gè)假設(shè)，這里展示一種在復(fù)雜網(wǎng)絡(luò)環(huán)境下分析攻擊有效性的策略，并依此計(jì)算從非安全區(qū)到目標(biāo)區(qū)是否存在足夠小的攻擊代價(jià)，讓惡意攻擊可以獲取目標(biāo)。如果存在，則可以被惡意攻擊利用的路徑將被計(jì)算出來；如果不存在，則證明從非安全區(qū)到目標(biāo)區(qū)的安全防御能力是可以接受的。

以二元組的形式描述網(wǎng)絡(luò)拓?fù)鋱D[4][C，]其中節(jié)點(diǎn)是網(wǎng)絡(luò)中的各類設(shè)備，邊表示設(shè)備間的關(guān)聯(lián)關(guān)系。假設(shè)非安全區(qū)域?yàn)閇Z，]目標(biāo)區(qū)域?yàn)閇D。]在網(wǎng)絡(luò)中，攻擊者如果能達(dá)到目標(biāo)，必然至少存在一條從非安全區(qū)節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)[d]的通路[p，]且這條通路上的攻擊代價(jià)小于值[w。]其中，攻擊代價(jià)指攻擊者能夠利用攻擊工具、系統(tǒng)缺陷、脆弱性等信息，實(shí)現(xiàn)其對目標(biāo)的入侵行為所付出的代價(jià)。直觀地，由于攻擊行為往往會因遇到安全設(shè)備和安全策略的阻攔，而導(dǎo)致其成功實(shí)現(xiàn)其攻擊目的的時(shí)間、精力甚至資金成本提高，攻擊者為達(dá)到其攻擊目標(biāo)所付出的所有的行為成本即攻擊代價(jià)。

在圖[G]中，每一個(gè)節(jié)點(diǎn)[v]具有輸入權(quán)限[q]和獲利權(quán)限[q]（如表1所示）、本身的防護(hù)能力[pr]以及風(fēng)險(xiǎn)漏洞數(shù)L（L≥0）。攻擊者能力是指攻擊者通過輸入權(quán)限[q，]通過任意攻擊手段，在節(jié)點(diǎn)[v]上所能獲取的最高權(quán)限值（獲利權(quán)限）[q′。]直觀地，輸入權(quán)限代表攻擊者在對某節(jié)點(diǎn)進(jìn)行攻擊前所擁有的權(quán)限，如Web服務(wù)器一般均具有匿名訪問權(quán)限；獲利權(quán)限代表攻擊者最終可以利用的系統(tǒng)權(quán)限。

最短攻擊路徑是從非安全區(qū)域[Z]中任意節(jié)點(diǎn)[z]到目標(biāo)節(jié)點(diǎn)[d]所有攻擊路徑中，防護(hù)成功率最低的[Pr]所對應(yīng)的路徑。最短攻擊路徑所對應(yīng)耗費(fèi)的攻擊代價(jià)為最小攻擊代價(jià)[4]，也是該網(wǎng)絡(luò)的防護(hù)能力有效性分值。

攻擊代價(jià)閾值：一旦攻擊者付出的攻擊代價(jià)超過其預(yù)期，攻擊者很大程度上將會停止使得攻擊代價(jià)超限的某一攻擊行為，轉(zhuǎn)而專注于攻擊代價(jià)較小的其他攻擊路徑。攻擊代價(jià)閾值即攻擊者為達(dá)到目標(biāo)可接受的最大攻擊代價(jià)。如果防護(hù)能力有效性分值小于攻擊代價(jià)閾值，則說明攻擊目標(biāo)可以達(dá)到。

攻擊代價(jià)閾值一般可以通過人工方式指定，本文采用德爾斐法，也被稱為專家咨詢法的方式來確定。經(jīng)過專家分析和評判，將攻擊代價(jià)閾值設(shè)定為[t，]當(dāng)攻擊路徑防護(hù)能力小于[t]即認(rèn)為攻擊者會完成攻擊行為并能成功實(shí)施攻擊行為。

4 網(wǎng)絡(luò)防御有效性分析應(yīng)用

假設(shè)在電網(wǎng)企業(yè)復(fù)雜網(wǎng)絡(luò)環(huán)境場景下存在一類新型的APT攻擊，網(wǎng)絡(luò)中使用兩種策略A，B進(jìn)行攻擊防御。策略A采用了現(xiàn)有的隔離與防御技術(shù)，策略B是在現(xiàn)有基礎(chǔ)上增加應(yīng)用了APT防御技術(shù)。計(jì)算兩類策略下的最小攻擊代價(jià)，并進(jìn)而對APT防護(hù)效果進(jìn)行分析。

4.1 策略選取

4.1.1 策略A

圖1為一個(gè)簡化的復(fù)雜網(wǎng)絡(luò)環(huán)境實(shí)例拓?fù)?，其中DMZ區(qū)部署的Web服務(wù)器為內(nèi)、外網(wǎng)用戶提供Web服務(wù)，電網(wǎng)地市局局域網(wǎng)的內(nèi)部用戶不允許與外網(wǎng)直接連接，限網(wǎng)。各安全域之間具體訪問控制策略如下：

（1） 只允許地市局局域網(wǎng)用戶訪問DMZ區(qū)Host2（H2）上的IIS Web服務(wù)和Host3（H3）上的Tomcat服務(wù)；

（2） DMZ 區(qū)的H2 允許訪問H3上的Tomcat服務(wù)和IDC區(qū)Host4（H4）上的Oracle DB服務(wù)；

（3） 禁止H2和H3訪問Domino服務(wù)器Host5（H5）；

（4） H5允許訪問DMZ的H2和H3及IDC區(qū)的H4。

4.2 效果分析

通過上述計(jì)算結(jié)果表明，在應(yīng)用策略A與B情況下，局域網(wǎng)用戶到DMZ區(qū)域目標(biāo)主機(jī)存在的攻擊路徑的防護(hù)有效性分值分別是（0.3，0.3，0.51）與（0.93， 0.93，0.979）。在策略A的情況下，通過DMZ區(qū)的H2為跳板，攻擊IDC的目標(biāo)主機(jī)H4，最短攻擊路徑的防護(hù)有效性分值只有0.51，說明局域網(wǎng)內(nèi)的攻擊者能在花費(fèi)較小代價(jià)的情況下，輕易地獲取內(nèi)網(wǎng)DMZ或IDC服務(wù)器的系統(tǒng)權(quán)限，從而造成較大的危害。而增加APT防護(hù)設(shè)備之后，通過DMZ區(qū)的H2為跳板，攻擊IDC的目標(biāo)主機(jī)H4，防護(hù)有效性分值提升為0.979，其他攻擊路徑的防護(hù)有效性也有明顯提高。

策略A與策略B的對比結(jié)果表明，在DMZ區(qū)域有APT防護(hù)技術(shù)情況下，網(wǎng)絡(luò)環(huán)境下整體的隔離與防御能力得到了明顯提升，從而驗(yàn)證了隔離與防御新技術(shù)的防護(hù)效果。

5 結(jié) 語

在新形勢、新技術(shù)下，我國電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全仍面臨著嚴(yán)峻的挑戰(zhàn)，應(yīng)當(dāng)高度重視網(wǎng)絡(luò)信息安全工作，不斷發(fā)展完善信息安全防御新技術(shù)，改善網(wǎng)絡(luò)信息安全的水平。單純使用某種防御技術(shù)，往往已無法應(yīng)對快速變化的安全防御需求，只有綜合運(yùn)用各種新型的攻防技術(shù)，分析其關(guān)聯(lián)結(jié)果，并通過網(wǎng)內(nèi)、網(wǎng)間各類安全設(shè)備、安全措施的互相配合，才能最終建立健全網(wǎng)絡(luò)信息安全防范體系，最大限度減少惡意入侵的威脅，保障企業(yè)應(yīng)用的安全、穩(wěn)定運(yùn)行。

參考文獻(xiàn)

[1] 高子坤，楊海洲，王江濤.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略分析[J].科技研究，2014，11（2）：155?157.

[2] 彭曉明.應(yīng)對飛速發(fā)展的計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)探索[J].硅谷，2014，15（11）：86?87.

[3] 范海峰.基于漏洞掃描技術(shù)的網(wǎng)絡(luò)安全評估方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012，8（6）：9?11.

[4] 吳迪，馮登國，連一峰，等.一種給定脆弱性環(huán)境下的安全措施效用評估模型[J].軟件學(xué)報(bào)，2012，23（7）：1880?1898.

第2篇

1.1物理層邊界限制模糊

近年來，很多現(xiàn)代化企業(yè)加大信息建設(shè)，一些下屬公司的網(wǎng)絡(luò)接入企業(yè)總網(wǎng)絡(luò)，企業(yè)網(wǎng)路物理層邊界限制模糊，而電子商務(wù)的業(yè)務(wù)發(fā)展需求要求企業(yè)網(wǎng)絡(luò)具有共享性，能夠在一定權(quán)限下實(shí)現(xiàn)網(wǎng)絡(luò)交易，這也使得企業(yè)內(nèi)部網(wǎng)絡(luò)邊界成為一個(gè)邏輯邊界，防火墻在網(wǎng)絡(luò)邊界上的設(shè)置受到很多限制，影響了防火墻的安全防護(hù)作用。

1.2入侵審計(jì)和防御體系不完善

隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)攻擊、計(jì)算機(jī)病毒不斷變化，其破壞力強(qiáng)、速度快、形式多樣、難以防范，嚴(yán)重威脅企業(yè)網(wǎng)絡(luò)安全。當(dāng)前，很多企業(yè)缺乏完善的入侵審計(jì)和防御體系，企業(yè)網(wǎng)絡(luò)的主動防御和智能分析能力明顯不足，檢查監(jiān)控效率低，缺乏一致性的安全防護(hù)規(guī)范，安全策略落實(shí)不到位。

2.構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系

2.1企業(yè)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建目標(biāo)

結(jié)合企業(yè)網(wǎng)絡(luò)的安全目標(biāo)、使用主體、性質(zhì)等因素，合理劃分企業(yè)邏輯子網(wǎng)，對不同的邏輯子網(wǎng)設(shè)置不同的安全防護(hù)體系，加強(qiáng)網(wǎng)絡(luò)邊界控制和安全訪問控制，保持區(qū)域之間的信任關(guān)系，構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系，實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)：第一，將大型的、復(fù)雜的企業(yè)網(wǎng)絡(luò)安全問題轉(zhuǎn)化為小區(qū)域的、簡單的安全防護(hù)問題，有效控制企業(yè)網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全；第二，合理劃分企業(yè)網(wǎng)絡(luò)安全域，優(yōu)化網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)、規(guī)劃和入網(wǎng)；第三，明確企業(yè)網(wǎng)絡(luò)各個(gè)區(qū)域的安全防護(hù)難點(diǎn)和重點(diǎn)，加大安全設(shè)備投入量，提高企業(yè)網(wǎng)絡(luò)安全設(shè)備的利用率；第四，加強(qiáng)企業(yè)網(wǎng)絡(luò)運(yùn)行維護(hù)，合理部署企業(yè)網(wǎng)絡(luò)的審計(jì)設(shè)備，提供全面的網(wǎng)絡(luò)審核和檢查依據(jù)，為企業(yè)構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系提供重要參考。

2.2合理劃分安全域

現(xiàn)代化企業(yè)網(wǎng)絡(luò)可以按照系統(tǒng)行為、安全防護(hù)等級和業(yè)務(wù)系統(tǒng)這三種方式來劃分安全域。由于企業(yè)網(wǎng)絡(luò)在不同區(qū)域和不同層次關(guān)注的內(nèi)容不同，因此在劃分企業(yè)網(wǎng)絡(luò)安全域時(shí)，應(yīng)結(jié)合業(yè)務(wù)屬性和網(wǎng)絡(luò)管理，不僅要確保企業(yè)正常的生產(chǎn)運(yùn)營，還應(yīng)考慮網(wǎng)絡(luò)安全域劃分是否合理。針對這個(gè)問題，企業(yè)網(wǎng)絡(luò)安全域劃分不能僅應(yīng)用一種劃分方式，應(yīng)綜合應(yīng)用多種方式，充分發(fā)揮不同方式的優(yōu)勢，結(jié)合企業(yè)網(wǎng)絡(luò)管理要求和網(wǎng)絡(luò)業(yè)務(wù)需求，有針對性地進(jìn)行企業(yè)網(wǎng)絡(luò)安全域劃分。首先，根據(jù)業(yè)務(wù)需求，可以將企業(yè)網(wǎng)絡(luò)分為兩部分：外網(wǎng)和內(nèi)網(wǎng)。由于互聯(lián)網(wǎng)出口全部位于外網(wǎng)，企業(yè)網(wǎng)絡(luò)可以在外網(wǎng)用戶端和內(nèi)網(wǎng)之間設(shè)置隔離，使外網(wǎng)服務(wù)和內(nèi)網(wǎng)服務(wù)分離，隔離各種安全威脅，確保企業(yè)內(nèi)網(wǎng)業(yè)務(wù)的安全性。其次，按照企業(yè)業(yè)務(wù)系統(tǒng)方式，分別劃分外網(wǎng)和內(nèi)網(wǎng)安全域，企業(yè)外網(wǎng)可以分為員工公寓網(wǎng)絡(luò)、項(xiàng)目網(wǎng)絡(luò)、對外服務(wù)網(wǎng)絡(luò)等子網(wǎng)，內(nèi)網(wǎng)可以分為辦公網(wǎng)、生產(chǎn)網(wǎng)，其中再細(xì)分出材料采購網(wǎng)、保管網(wǎng)、辦公管理網(wǎng)等子網(wǎng)，通過合理劃分安全域，確定明確的網(wǎng)絡(luò)邊界，明確安全防護(hù)范圍和對象目標(biāo)。最后，按照網(wǎng)絡(luò)安全防護(hù)等級和系統(tǒng)行為，細(xì)分各個(gè)子網(wǎng)的安全域，劃分出基礎(chǔ)保障域、服務(wù)集中域和邊界接入域?；A(chǔ)保障域主要用來防護(hù)網(wǎng)絡(luò)系統(tǒng)管理控制中心、軟件和各種安全設(shè)備，服務(wù)集中域主要用于防護(hù)企業(yè)網(wǎng)絡(luò)的信息系統(tǒng)，包括信息系統(tǒng)內(nèi)部和系統(tǒng)之間的數(shù)據(jù)防護(hù)，并且按照不同的等級保護(hù)要求，可以采用分級防護(hù)措施，邊界接入域主要設(shè)置在企業(yè)網(wǎng)絡(luò)信息系統(tǒng)和其他系統(tǒng)之間的邊界上。

2.3基于入侵檢測的動態(tài)防護(hù)

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，企業(yè)網(wǎng)絡(luò)面臨的安全威脅也不斷發(fā)生變化，網(wǎng)絡(luò)攻擊手段日益多樣化，新病毒不斷涌現(xiàn)，因此企業(yè)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建應(yīng)適應(yīng)網(wǎng)絡(luò)發(fā)展和變化，綜合考慮工作人員、防護(hù)策略、防護(hù)技術(shù)等多方面的因素，實(shí)現(xiàn)基于入侵檢測的動態(tài)防護(hù)?；谌肭謾z測的動態(tài)防護(hù)主要包括備份恢復(fù)、風(fēng)險(xiǎn)分析、應(yīng)急機(jī)制、入侵檢測和安全防護(hù)，以入侵檢測為基礎(chǔ)，一旦檢測到企業(yè)網(wǎng)絡(luò)的入侵威脅，網(wǎng)絡(luò)系統(tǒng)立即啟動應(yīng)急機(jī)制，如果檢測到企業(yè)網(wǎng)絡(luò)系統(tǒng)已經(jīng)受到損壞，可利用備份恢復(fù)機(jī)制，及時(shí)恢復(fù)企業(yè)網(wǎng)絡(luò)設(shè)置，確保企業(yè)網(wǎng)絡(luò)的安全運(yùn)行。通過動態(tài)安全防護(hù)策略，利用動態(tài)反饋機(jī)制，提高企業(yè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評估分析能力和主動防御能力。

2.4分層縱深安全防護(hù)策略

企業(yè)網(wǎng)絡(luò)安全防護(hù)最常見的是設(shè)置防火墻，但是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能存在于企業(yè)網(wǎng)絡(luò)的各個(gè)層次，防火墻的安全防護(hù)作用比較有限。企業(yè)網(wǎng)絡(luò)可采用分層縱深安全防護(hù)策略，保障網(wǎng)絡(luò)安全防護(hù)的深度和廣度，構(gòu)建高效、綜合、全面的安全防護(hù)體系，對于企業(yè)網(wǎng)絡(luò)中的應(yīng)用層、數(shù)據(jù)層、系統(tǒng)層、網(wǎng)絡(luò)層和物理層分別采用信息保護(hù)、應(yīng)用系統(tǒng)安全防護(hù)、數(shù)據(jù)庫安全防護(hù)、操作系統(tǒng)安全防護(hù)、網(wǎng)絡(luò)保護(hù)、物理安全保護(hù)等防護(hù)手段，根據(jù)不同網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，有針對性地進(jìn)行安全防護(hù)，例如，在網(wǎng)絡(luò)層可利用資源控制模塊和訪問控制模塊，加強(qiáng)對網(wǎng)絡(luò)節(jié)點(diǎn)的訪問控制，在企業(yè)網(wǎng)絡(luò)的應(yīng)用層和數(shù)據(jù)層設(shè)置身份授權(quán)和認(rèn)證系統(tǒng)，避免用戶的違規(guī)操作和越權(quán)操作。又例如，由于網(wǎng)絡(luò)環(huán)境比較復(fù)雜，可在企業(yè)網(wǎng)絡(luò)的應(yīng)用層、數(shù)據(jù)層和系統(tǒng)層，設(shè)置網(wǎng)絡(luò)監(jiān)控和檢測模塊，保護(hù)企業(yè)網(wǎng)絡(luò)的服務(wù)器，防止權(quán)限濫用和誤操作。

3.結(jié)語

第3篇

隨著信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全方面的問題，直接影響到了軍事、文化、經(jīng)濟(jì)、政治等不同的領(lǐng)域。在計(jì)算機(jī)網(wǎng)絡(luò)走進(jìn)千家萬戶的同時(shí)，隨之而來的是網(wǎng)絡(luò)安全問題，在人們享受這網(wǎng)絡(luò)的方便快捷的同時(shí)，也會被或大或小的網(wǎng)絡(luò)安全問題所困擾。本文以計(jì)算機(jī)網(wǎng)絡(luò)安全及企業(yè)網(wǎng)絡(luò)安全應(yīng)用為基本點(diǎn)，進(jìn)行詳細(xì)的分析。

【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò)安全 企業(yè)網(wǎng)絡(luò)安全 應(yīng)用

在計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用越來越廣泛的今天，人們在享受著網(wǎng)絡(luò)帶來的方便快捷生活的同時(shí)，也會被隨之而來的網(wǎng)絡(luò)安全問題而困擾，大多網(wǎng)絡(luò)用戶均屬于非專業(yè)人士，對網(wǎng)絡(luò)的認(rèn)知較淺，只能簡單的應(yīng)用，對于網(wǎng)絡(luò)上常見的安全問題都會有些束手無策，對于一些需要用到網(wǎng)絡(luò)的企業(yè)而言，網(wǎng)絡(luò)安全問題更是需要受到重視。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的概述

所謂計(jì)算機(jī)網(wǎng)絡(luò)安全是指技術(shù)人員對網(wǎng)絡(luò)的性能和安全實(shí)行專業(yè)化的管理和控制，針對可能出現(xiàn)的狀況制定出合理的解決措施，從而保證數(shù)據(jù)的保密性以及完整性，且網(wǎng)絡(luò)環(huán)境相對穩(wěn)定，數(shù)據(jù)的各方面都能得到有效地保護(hù)。對于網(wǎng)絡(luò)的安全管理主要由兩部分構(gòu)成，一部分為物理安全，另一部分為邏輯安全，物理安全是指整個(gè)網(wǎng)絡(luò)系統(tǒng)的相關(guān)硬件以及附帶設(shè)施實(shí)行物理性的保護(hù)，防止硬件的丟失或毀損;而邏輯安全則是指對數(shù)據(jù)傳輸?shù)耐暾?、保密性做到全方位的防護(hù)。

2 企業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀

現(xiàn)階段，網(wǎng)絡(luò)的發(fā)展和早期所設(shè)計(jì)的網(wǎng)絡(luò)意圖有所更改，已經(jīng)將安全問題放在了首位，若不能夠?qū)踩珕栴}解決，會在一定程度上直接影響到企業(yè)網(wǎng)絡(luò)的應(yīng)用。企業(yè)網(wǎng)絡(luò)的信息當(dāng)中存在著較多的對網(wǎng)絡(luò)安全會產(chǎn)生不利影響的特性，例如：網(wǎng)絡(luò)開放性、共享性以及互聯(lián)性等，在當(dāng)前經(jīng)常發(fā)生惡性攻擊事件，極大地顯示出了現(xiàn)階段嚴(yán)峻的網(wǎng)絡(luò)安全形勢，所以對于網(wǎng)絡(luò)安全方面的防范措施，需要具備可以解除不同網(wǎng)絡(luò)威脅的特點(diǎn)。在最近幾年，我國的網(wǎng)絡(luò)協(xié)議和系統(tǒng)會產(chǎn)生較多的問題，不能夠安全、完善、健全的體現(xiàn)出所具備的影響價(jià)值。網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)由于具備的多樣性和復(fù)雜性，促使網(wǎng)絡(luò)安全變?yōu)榱艘环N需要不斷提升和更新的范疇。因此，計(jì)算機(jī)網(wǎng)絡(luò)在企業(yè)的應(yīng)用上，需要擁有相應(yīng)的網(wǎng)絡(luò)安全問題的分析，以及網(wǎng)絡(luò)安全的解決對策，才可以確保企業(yè)網(wǎng)絡(luò)的順暢運(yùn)行。

3 企業(yè)網(wǎng)絡(luò)安全應(yīng)用中的問題

3.1 網(wǎng)絡(luò)軟件的漏洞

網(wǎng)絡(luò)軟件不論多么的優(yōu)秀，都會產(chǎn)生或多或少的漏洞和缺陷，然而對于較高水平的黑客而言，定會將這些缺陷和漏洞作為首要攻擊的目標(biāo)。在早期發(fā)生的黑客攻擊事件當(dāng)中，基本上都是由于產(chǎn)生不完善的軟件安全措施所造成的后果。

3.2 人為無意失誤

人為的失誤方面包含不夠恰當(dāng)?shù)牟僮鲉T安全配置，會在一定程度上導(dǎo)致安全漏洞的產(chǎn)生，用戶缺失較強(qiáng)的安全意識，經(jīng)常不填寫用戶口令，會將自身的賬號隨意的和別人分享或者供他人使用等，會無意間威脅到企業(yè)網(wǎng)絡(luò)。

3.3 人為惡意失誤

人為的惡意失誤是網(wǎng)絡(luò)的最大程度威脅因素，例如：計(jì)算機(jī)犯罪等。類似的攻擊，基本上能分成兩個(gè)層面：其一為被動攻擊，是在不影響到網(wǎng)絡(luò)工作的基礎(chǔ)上，開展的破譯、竊取、截獲后，以此來獲取核心性的機(jī)密信息。其二為主動攻擊，是用不同的方法有選擇性的對信息的完整性和有效性進(jìn)行破壞。這兩個(gè)層面的攻擊，都能夠讓計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)生較大的威脅，同時(shí)會造成機(jī)密數(shù)據(jù)的嚴(yán)重泄漏。

4 企業(yè)網(wǎng)絡(luò)安全應(yīng)用中的解決對策

4.1 網(wǎng)絡(luò)設(shè)備的安全

在防護(hù)網(wǎng)絡(luò)安全方面，保證網(wǎng)絡(luò)設(shè)備安全是較為基礎(chǔ)性的防護(hù)模式。其一，需要有效地對設(shè)備進(jìn)行配置，要保證只對設(shè)備中必要的服務(wù)有所開放，在運(yùn)行方面，只參考指定人員的訪問;其二，重視設(shè)備廠商所提出的漏洞，要在第一時(shí)間進(jìn)行網(wǎng)絡(luò)設(shè)備補(bǔ)丁的安裝;其三，在計(jì)算機(jī)網(wǎng)絡(luò)中的全部設(shè)備，有必要定期地進(jìn)行密碼的更換，并且密碼方面需要符合相應(yīng)的復(fù)雜度，才能夠不被輕易地破解。最后，組織有效的維護(hù)設(shè)備，保證網(wǎng)絡(luò)設(shè)備的運(yùn)營穩(wěn)定性。

4.2 無線網(wǎng)絡(luò)的安全

因?yàn)闊o線網(wǎng)絡(luò)信號會利用空氣運(yùn)行，極易產(chǎn)生惡意用戶的竊取，因此無線網(wǎng)絡(luò)安全在一定程度上成為了預(yù)防安全隱患的重點(diǎn)。只是加密無線信號，不可以達(dá)成安全性的要求?，F(xiàn)階段，在企業(yè)的內(nèi)部提倡應(yīng)用認(rèn)證和加密的結(jié)合形式，其中所涉及到的認(rèn)證需要與AD相融合，以此來有效地提升賬戶的可管理性。

4.3 客戶端的安全管理

在大中型的企業(yè)當(dāng)中擁有著較多的客戶端，往往都屬于Windows操作系統(tǒng)，對其進(jìn)行分別的管理較為麻煩，需要在企業(yè)的內(nèi)部利用Windows組策略進(jìn)行客戶端的管理。組策略就是利用一次的設(shè)定，制約一部分的對象。能夠在組策略中創(chuàng)設(shè)較為嚴(yán)謹(jǐn)?shù)牟呗?，以此來把控客戶端的安全運(yùn)行。主要的策略包含：加強(qiáng)賬戶策略、合理刪除Guest等類似次要的用戶;加強(qiáng)系統(tǒng)日志審核功能;局限非管理員的相應(yīng)操作權(quán)限等。這一系列的策略是企業(yè)內(nèi)部較為通用的策略。針對企業(yè)內(nèi)部生產(chǎn)使用中的客戶端，因?yàn)樽鳂I(yè)人員只應(yīng)用幾個(gè)建議的操作，因此有必要開展較為嚴(yán)格的限制。例如：最小化系統(tǒng)操作、最小化系統(tǒng)開放端口、最小化運(yùn)行的用戶進(jìn)程等。其中的最小化運(yùn)行用戶進(jìn)程所指的是，除了特定的系統(tǒng)進(jìn)程，不能夠使用其他的進(jìn)程。最小化系統(tǒng)操作包含：禁用注冊表、禁用命令提示符、禁用控制面板、禁用鼠標(biāo)右鍵等。

5 總結(jié)

根據(jù)以上的論述，網(wǎng)絡(luò)安全是較為復(fù)雜性、綜合性的問題，會與較多的因素相聯(lián)系，具體包含多種管理、產(chǎn)品以及技術(shù)等。不可以單純的依賴防護(hù)系統(tǒng)，也不能夠只是將防護(hù)系統(tǒng)作為擺設(shè)，而不去貫徹落實(shí)。想要將企業(yè)高效的進(jìn)行網(wǎng)絡(luò)運(yùn)行，就需要為企業(yè)解決網(wǎng)絡(luò)安全的實(shí)質(zhì)性問題，才能做好企業(yè)網(wǎng)絡(luò)信息的可用性、完整性以及保密性。

參考文獻(xiàn)

[1]郭晶晶，牟勝梅，史蓓蕾.關(guān)于某金融企業(yè)網(wǎng)絡(luò)安全應(yīng)用技術(shù)的探討[J].數(shù)字技術(shù)與應(yīng)用，2013，12（09）：123-125.

[2]王擁軍，李建清.淺談企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)[J].信息安全與通信保密，2013，11（07）：153-171.

[3]胡經(jīng)珍.深入探討企業(yè)網(wǎng)絡(luò)安全管理中的常見問題[J].計(jì)算機(jī)安全，2013，11（07）：152-160.

[4]周連兵，張萬.淺議企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)[J].中國公共安全：學(xué)術(shù)版，2013，10（02）：163-175.

第4篇

隨著數(shù)據(jù)庫、軟件工程和多媒體通信技術(shù)的快速發(fā)展，礦山企業(yè)實(shí)施了安全生產(chǎn)集控系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)、調(diào)度管控系統(tǒng)、移動辦公系統(tǒng)及智能決策支持等系統(tǒng)，實(shí)現(xiàn)了礦山企業(yè)安全生產(chǎn)、辦公和管理信息化、智能化。網(wǎng)絡(luò)能夠?qū)崿F(xiàn)各類信息化系統(tǒng)的數(shù)據(jù)共享、協(xié)同辦公等，也是信息化系統(tǒng)正常運(yùn)行的關(guān)鍵，因此網(wǎng)絡(luò)安全防御具有重要的作用。本文詳細(xì)地分析了礦山企業(yè)網(wǎng)絡(luò)安全面臨的問題和現(xiàn)狀，提出采用先進(jìn)的防御措施，構(gòu)建安全管理系統(tǒng)，以便提高網(wǎng)絡(luò)安全性能，進(jìn)一步改善礦山企業(yè)信息化運(yùn)營環(huán)境的安全性。

1礦山企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)將分布于礦山企業(yè)生產(chǎn)、管理等部門的設(shè)備連接在一起，形成了一個(gè)強(qiáng)大的礦山企業(yè)服務(wù)系統(tǒng)，為礦山企業(yè)提供了強(qiáng)大的信息共享、數(shù)據(jù)傳輸能力。但是，由于許多礦山企業(yè)工作人員在操作管理系統(tǒng)、使用計(jì)算機(jī)時(shí)不規(guī)范，如果一臺終端或服務(wù)器感染了計(jì)算機(jī)病毒、木馬，將會在很短的時(shí)間內(nèi)擴(kuò)散到其他終端和服務(wù)器中，感染礦山企業(yè)信息化系統(tǒng)，導(dǎo)致礦山企業(yè)服務(wù)系統(tǒng)無法正常使用。經(jīng)過分析與研究，目前網(wǎng)絡(luò)安全管理面臨威脅攻擊渠道多樣化、威脅智能化等現(xiàn)狀。

1.1網(wǎng)絡(luò)攻擊渠道多樣化

目前網(wǎng)絡(luò)黑客技術(shù)正快速普及，網(wǎng)絡(luò)攻擊和威脅不僅僅來源于黑客、病毒和木馬，傳播渠道不僅僅局限于計(jì)算機(jī)，隨著移動互聯(lián)網(wǎng)、光纖網(wǎng)絡(luò)的興起和應(yīng)用，網(wǎng)絡(luò)安全威脅通過智能終端進(jìn)行傳播，傳播渠道更加多樣化。

1.2網(wǎng)絡(luò)安全威脅智能化

隨著移動計(jì)算、云計(jì)算和分布式計(jì)算技術(shù)的快速發(fā)展，網(wǎng)絡(luò)黑客制作的木馬和病毒隱藏周期更長，破壞的范圍更加廣泛，安全威脅日趨智能化，給礦山企業(yè)信息化系統(tǒng)帶來的安全威脅更加嚴(yán)重，非常容易導(dǎo)致網(wǎng)絡(luò)安全數(shù)據(jù)資料丟失。

1.3網(wǎng)絡(luò)安全威脅嚴(yán)重化

網(wǎng)絡(luò)安全攻擊渠道多樣、智能逐漸增加了安全威脅的程度，網(wǎng)絡(luò)安全受到的威脅日益嚴(yán)重，礦山企業(yè)網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)資源一旦受到安全攻擊，將會在短時(shí)間內(nèi)迅速感染等網(wǎng)絡(luò)中接入的軟硬件資源，破壞網(wǎng)絡(luò)安全威脅。

2礦山企業(yè)網(wǎng)絡(luò)安全防御措施研究

礦山企業(yè)網(wǎng)絡(luò)運(yùn)行過程中，安全管理系統(tǒng)可以采用主動、縱深防御模式，安全管理系統(tǒng)主要包括預(yù)警、響應(yīng)、保護(hù)、防御、監(jiān)測、恢復(fù)和反擊等六種關(guān)鍵技術(shù)，從根本上轉(zhuǎn)變礦山企業(yè)信息系統(tǒng)使用人員的安全意識，改善系統(tǒng)操作規(guī)范性，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)安全防御性能。

2.1網(wǎng)絡(luò)安全預(yù)警

網(wǎng)絡(luò)安全預(yù)警措施主要包括漏洞預(yù)警、行為預(yù)警和攻擊趨勢預(yù)警，能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流中存在的威脅。漏洞預(yù)警可以積極發(fā)現(xiàn)網(wǎng)絡(luò)操作系統(tǒng)中存在的漏洞，以便積極升級系統(tǒng)，修復(fù)系統(tǒng)漏洞。行為預(yù)警、攻擊預(yù)警可以分析網(wǎng)絡(luò)數(shù)據(jù)流，發(fā)現(xiàn)數(shù)據(jù)中隱藏的攻擊行為或趨勢,以便能夠有效預(yù)警。網(wǎng)絡(luò)安全預(yù)警是網(wǎng)絡(luò)預(yù)警的第一步,其作用非常明顯,可以為網(wǎng)絡(luò)安全保護(hù)提供依據(jù)。

2.2網(wǎng)絡(luò)安全保護(hù)

網(wǎng)絡(luò)安全保護(hù)可以采用簡單的殺毒軟件、防火墻、訪問控制列表、虛擬專用網(wǎng)等技術(shù)防御攻擊威脅，以便保證網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性、完整性、可控性、不可否認(rèn)性和可用性。網(wǎng)絡(luò)安全保護(hù)與傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)相近，因此在構(gòu)建主動防御模型時(shí)，融入了傳統(tǒng)的防御技術(shù)。

2.3網(wǎng)絡(luò)安全監(jiān)測

網(wǎng)絡(luò)安全監(jiān)測可以采用掃描技術(shù)、實(shí)時(shí)監(jiān)控技術(shù)、入侵檢測技術(shù)等發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在嚴(yán)重的漏洞或攻擊數(shù)據(jù)流，能夠進(jìn)一步完善主動防御模型內(nèi)容，以便從根本上保證網(wǎng)絡(luò)安全防御的完整性。

2.4網(wǎng)絡(luò)安全響應(yīng)

網(wǎng)絡(luò)安全響應(yīng)能夠?qū)W(wǎng)絡(luò)中存在的病毒、木馬等安全威脅做出及時(shí)的反應(yīng)，以便進(jìn)一步阻止網(wǎng)絡(luò)攻擊，將網(wǎng)絡(luò)安全威脅阻斷或者引誘到其他的備用主機(jī)上。

2.5網(wǎng)絡(luò)恢復(fù)

礦山企業(yè)信息系統(tǒng)遭受到攻擊之后，為了盡可能降低網(wǎng)絡(luò)安全攻擊損失，提高用戶的承受能力，可以采用網(wǎng)絡(luò)安全恢復(fù)技術(shù)，將系統(tǒng)恢復(fù)到遭受攻擊前的階段。主動恢復(fù)技術(shù)主要采用離線備份、在線備份、階段備份或增量備份等技術(shù)。

2.6網(wǎng)絡(luò)安全反擊

網(wǎng)絡(luò)反擊技術(shù)是主動防御最為關(guān)鍵的技術(shù)，也是與傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)最大的區(qū)別。網(wǎng)絡(luò)反擊技術(shù)可以采用欺騙類攻擊、病毒類攻擊、漏洞類攻擊、探測類攻擊和阻塞類攻擊等技術(shù)，網(wǎng)絡(luò)反擊技術(shù)可以針對攻擊威脅的源主機(jī)進(jìn)行攻擊，不但能夠阻斷網(wǎng)絡(luò)攻擊，還可以反擊攻擊源，以便破壞攻擊源主機(jī)的運(yùn)行性能。

3礦山企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計(jì)

為了能夠更好地導(dǎo)出系統(tǒng)的邏輯業(yè)務(wù)功能，對網(wǎng)絡(luò)安全管理的管理員、用戶和防御人員進(jìn)行調(diào)研和分析，使用原型化方法和結(jié)構(gòu)化需求分析技術(shù)導(dǎo)出了系統(tǒng)的邏輯業(yè)務(wù)功能，分別是系統(tǒng)配置管理功能、用戶管理功能、安全策略管理功能、網(wǎng)絡(luò)狀態(tài)監(jiān)控管理功能、網(wǎng)絡(luò)運(yùn)行日志管理功能、網(wǎng)絡(luò)運(yùn)行報(bào)表管理功能等六個(gè)部分。

3.1網(wǎng)絡(luò)安全管理系統(tǒng)配置管理功能分析

通過對網(wǎng)絡(luò)安全管理系統(tǒng)操作人員進(jìn)行調(diào)研和分析，導(dǎo)出了系統(tǒng)配置管理功能的業(yè)務(wù)功能，系統(tǒng)配置管理功能主要包括七個(gè)關(guān)鍵功能，分別是系統(tǒng)用戶信息配置管理功能、網(wǎng)絡(luò)模式配置、網(wǎng)絡(luò)管理參數(shù)配置、網(wǎng)絡(luò)管理對象配置、輔助工具配置、備份與恢復(fù)配置和系統(tǒng)注冊與升級等。

3.2用戶管理功能分析

礦山企業(yè)網(wǎng)絡(luò)運(yùn)行中，其主要設(shè)備包括多種，操作的用戶也有很多種類別，比如網(wǎng)絡(luò)設(shè)備管理人員、應(yīng)用系統(tǒng)管理人員、網(wǎng)絡(luò)維護(hù)部門、服務(wù)器等，因此用戶管理功能主要包括人員、組織、機(jī)器等分析，主要功能包括三個(gè)方面，分別是組織管理、自動分組和認(rèn)證配置。組織管理功能可以對網(wǎng)絡(luò)中的設(shè)備進(jìn)行組織和管理，按照賬號管理、機(jī)器管理等進(jìn)行操作；自動分組可以根據(jù)用戶搜索的設(shè)備的具體情況改善機(jī)器的搜索范圍，添加到機(jī)器列表中，并且可以對及其進(jìn)行重新的分組管理；認(rèn)證配置可以根據(jù)終端機(jī)器的登錄模式進(jìn)行認(rèn)證管理。

3.3安全策略管理功能分析

網(wǎng)絡(luò)安全防御過程中，網(wǎng)絡(luò)安全需要配置相關(guān)的策略，以便能夠更好的維護(hù)網(wǎng)絡(luò)運(yùn)行安全，同時(shí)可以為用戶提供強(qiáng)大的保護(hù)和防御性能，網(wǎng)絡(luò)安全策略配置是非常重要的一個(gè)工作內(nèi)容。網(wǎng)絡(luò)安全防御規(guī)則包括多種，比如入侵監(jiān)測規(guī)則、網(wǎng)絡(luò)響應(yīng)規(guī)則、網(wǎng)絡(luò)阻斷規(guī)則等，配置過程復(fù)雜，工作量大，通過歸納，需要根據(jù)網(wǎng)絡(luò)安全防御的關(guān)鍵內(nèi)容設(shè)置網(wǎng)絡(luò)訪問的黑白名單、應(yīng)用封堵、流量封堵、行為審計(jì)、內(nèi)容審計(jì)、策略分配等功能。

3.4網(wǎng)絡(luò)狀態(tài)監(jiān)控管理功能分析

網(wǎng)絡(luò)運(yùn)行過程中，由于涉及的服務(wù)器、終端設(shè)備較多，網(wǎng)絡(luò)運(yùn)行容易產(chǎn)生錯(cuò)誤，需要對網(wǎng)絡(luò)狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)管，以便能夠及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的攻擊威脅、故障燈。網(wǎng)絡(luò)運(yùn)行管理過程中，需要時(shí)刻的監(jiān)控網(wǎng)絡(luò)的運(yùn)行管理狀態(tài)，具體的網(wǎng)絡(luò)運(yùn)行管理的狀態(tài)主要包括三個(gè)方面，分別是系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)活動狀態(tài)、流量監(jiān)控狀態(tài)。

3.5網(wǎng)絡(luò)運(yùn)行日志管理功能分析

礦山企業(yè)網(wǎng)絡(luò)運(yùn)行過程中，根據(jù)計(jì)算機(jī)的特性需要保留網(wǎng)絡(luò)操作日志，如果發(fā)生網(wǎng)絡(luò)安全事故，可以對網(wǎng)絡(luò)操作日志進(jìn)行分析，便于發(fā)現(xiàn)某些操作是不符合規(guī)則的。因此，網(wǎng)絡(luò)運(yùn)行管理過程中，網(wǎng)絡(luò)運(yùn)行日志管理可以分析網(wǎng)絡(luò)運(yùn)行操作的主要信息，日志管理主要包括以下幾個(gè)方面，分別是內(nèi)容日志管理、報(bào)警日志管理、封堵日志管理、系統(tǒng)操作日志管理。

3.6網(wǎng)絡(luò)運(yùn)行報(bào)表管理功能分析

網(wǎng)絡(luò)運(yùn)行過程中，為了能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全管理的統(tǒng)計(jì)分析，可以采用網(wǎng)絡(luò)安全報(bào)表管理模式，以便能夠統(tǒng)計(jì)分析接入到網(wǎng)絡(luò)中的各種軟硬件設(shè)備和系統(tǒng)的運(yùn)行情況，網(wǎng)絡(luò)運(yùn)行報(bào)表管理主要包括兩個(gè)方面的功能，分別是統(tǒng)計(jì)報(bào)表和報(bào)表訂閱。

4結(jié)束語

隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算和移動互聯(lián)網(wǎng)技術(shù)的快速應(yīng)用和普及，礦山企業(yè)逐漸進(jìn)入智慧化時(shí)代，網(wǎng)絡(luò)安全威脅更加智能化、快速化和多樣化，感染速度更快，影響范圍更廣，給礦山企業(yè)信息系統(tǒng)帶來的損失更加嚴(yán)重，本文提出構(gòu)建一種多層次的主動網(wǎng)絡(luò)安全防御系統(tǒng)，能夠提高礦山企業(yè)信息系統(tǒng)網(wǎng)絡(luò)運(yùn)行的安全性，具有重要的作用和意義。

作者:張軍 單位:陜西南梁礦業(yè)有限公司

引用：

[1]汪軍陽，司巍.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全問題分析與防護(hù)措施探討[J].電子技術(shù)與軟件工程，2013.

[2]黃哲，文曉浩.淺論計(jì)算機(jī)網(wǎng)絡(luò)安全及防御措施[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013.

[3]潘澤歡.數(shù)字化校園網(wǎng)絡(luò)的安全現(xiàn)狀及防御對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[4]趙銳.探討計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題與防護(hù)措施[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014.

[5]白雪.計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用及防御措施的探討[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012.

[6]王喜昌.計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)及其安全技術(shù)分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014.

第5篇

【關(guān)鍵詞】計(jì)算機(jī)，網(wǎng)絡(luò)安全，企業(yè)，防護(hù)，

[Abstract] the rapid development of computer network technology has brought great convenience to the people, especially in business, any development of an enterprise can not be separated from the construction of the network. However, the emergence of anything has its two sides, and network to create more value is immeasurable, but because of its vulnerability and complexity of the threat of all aspects of its security in the use of enterprise . Present Situation and network security from network security and protection in the enterprise start to explore enterprise network security strategy.Keywords computer, network security, enterprise, protection,

中圖分類號：TN915.41

新世紀(jì)以來，計(jì)算機(jī)網(wǎng)絡(luò)在社會中扮演的角色愈來愈重要，尤其是各個(gè)企業(yè)集團(tuán)，離不開網(wǎng)絡(luò)技術(shù)的支持便寸步難行。這樣重要的地位也對計(jì)算機(jī)網(wǎng)絡(luò)安全提出了更高的要求，針對不同的網(wǎng)絡(luò)威脅，我們要有清醒的認(rèn)識并采取有效的手段保障計(jì)算機(jī)網(wǎng)絡(luò)優(yōu)質(zhì)地服務(wù)企業(yè)。

一．企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

近幾年來，企業(yè)由于網(wǎng)絡(luò)系統(tǒng)的隱患而出現(xiàn)的安全遭侵害事件已屢見不鮮，特別是通信企業(yè)，這個(gè)以提供網(wǎng)絡(luò)數(shù)據(jù)與服務(wù)為業(yè)務(wù)的企業(yè)，除了通常的互聯(lián)網(wǎng)惡意事件外，近年來各種各樣的安全事件形式多樣、花樣百出，黑色產(chǎn)業(yè)鏈日臻成熟，攻擊目標(biāo)變得越來越廣泛、手段也越來越多樣、組織越來越嚴(yán)密。這樣的網(wǎng)絡(luò)發(fā)展結(jié)果與發(fā)展網(wǎng)絡(luò)的初衷就大相徑庭了，所以企業(yè)網(wǎng)絡(luò)安全問題亟待解決。企業(yè)網(wǎng)絡(luò)安全存在著許多安全隱患。

（一）企業(yè)內(nèi)部隱患

在企業(yè)內(nèi)部，難免存在著一些對網(wǎng)絡(luò)安全存在好奇并且興趣濃厚的員工，他們出于各種各樣的目的對企業(yè)的網(wǎng)絡(luò)蓄意發(fā)起惡意攻擊，然而這種進(jìn)攻是很難防范與發(fā)覺的，企業(yè)內(nèi)部員工對企業(yè)網(wǎng)絡(luò)構(gòu)建非常了解，一旦發(fā)起進(jìn)攻，系統(tǒng)管理人員很難進(jìn)行維護(hù)。另外有一種情況就是由于員工的粗心造成的操作失誤，他們可能會誤刪文件或數(shù)據(jù)，甚至直接造成網(wǎng)絡(luò)設(shè)備損壞，這樣的失誤對于企業(yè)網(wǎng)絡(luò)安全是極大的威脅。最后一種情況是，可移動設(shè)備的不規(guī)范使用，這是企業(yè)網(wǎng)絡(luò)使用的一大隱患，也是最難防范的一個(gè)隱患。企業(yè)人員不規(guī)范或是蓄意的使用移動設(shè)備，會造成信息的非法流失與打印，會使企業(yè)的信息網(wǎng)絡(luò)安全遭到破壞。

（二）企業(yè)外部隱患

由于企業(yè)必然要與外部進(jìn)行一些文件傳輸?shù)墓ぷ?，重要的是每個(gè)企業(yè)由于信息的需要，都會接入互聯(lián)網(wǎng)，這些都給那些惡敵以機(jī)會，他們會想盡一切辦法尋找突破口來竊取企業(yè)信息。在互聯(lián)網(wǎng)上，病毒、木馬數(shù)量眾多并且傳播的極其迅速，感染病毒的后果是非常嚴(yán)重的，可能導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓。黑客是網(wǎng)絡(luò)威脅的主要制造者，他們通常運(yùn)用一些合法的文件將病毒附帶進(jìn)去，其攻擊的主要武器有口令攻擊器(password cracker)、特洛伊木馬、郵件炸彈(E-mail bomb)等等?？傊?，來自互聯(lián)網(wǎng)上的威脅也是十分令人生畏的。

（三）安全工具隱患

防火墻是一種非常重要、有效的安全工具，它可以隱藏網(wǎng)絡(luò)內(nèi)部的細(xì)致結(jié)構(gòu)，對于外部的訪問有一定的防范作用，但是對于企業(yè)內(nèi)部的訪問卻沒有防范，無能為力，因此企業(yè)的網(wǎng)絡(luò)安全不能完全依賴安全工具。

（四）安全漏洞和系統(tǒng)后門

企業(yè)內(nèi)部網(wǎng)絡(luò)中有許多軟件，這些軟件中都或多或少的存在著漏洞，這些漏洞一旦被黑客利用，后果將是不堪設(shè)想的了，企業(yè)的網(wǎng)絡(luò)使用的是局域網(wǎng)，局域網(wǎng)雖然都進(jìn)行了物理隔離但是還是能夠被沖破導(dǎo)致信息的被盜竊，這些漏洞都是企業(yè)網(wǎng)絡(luò)安全的重要隱患，一旦隱患爆發(fā)給企業(yè)帶來的破壞是無法估計(jì)的。

二．企業(yè)網(wǎng)絡(luò)安全防護(hù)

企業(yè)的網(wǎng)絡(luò)安全至關(guān)重要，對于網(wǎng)絡(luò)管理者來說，對網(wǎng)絡(luò)安全的防護(hù)需要進(jìn)行全方位的、多角度的開展，確保企業(yè)網(wǎng)絡(luò)安全能夠最大限度的實(shí)現(xiàn)。針對前文筆者，談到的網(wǎng)絡(luò)安全的現(xiàn)狀及存在的隱患，我們探究出一下幾點(diǎn)防護(hù)措施：

（一）企業(yè)內(nèi)部安全防護(hù)與管理

1.企業(yè)內(nèi)部硬件升級。在企業(yè)網(wǎng)絡(luò)中，可以配備裝置性能極高的計(jì)算機(jī)，在殺毒與安全防范上都表現(xiàn)出很高的效率與性能，這是在硬件上保證企業(yè)網(wǎng)絡(luò)安全的最基礎(chǔ)的。

2.使用和配置防火墻。防火墻是一種有效的安全防護(hù)工具，雖然存在著一定的局限但是我們還是要充分認(rèn)識到防火墻的功用，防火墻能夠?qū)⑵髽I(yè)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)隱藏，當(dāng)企業(yè)的外部網(wǎng)絡(luò)對其進(jìn)行訪問時(shí)，防火墻會自動對他們進(jìn)行結(jié)構(gòu)隱藏，充分保護(hù)企業(yè)的利益，防止信息的外漏或者黑客的侵襲。防火墻是一種非常有效的安全機(jī)制，它能夠最大限度阻止不安全因素的侵?jǐn)_。

3.運(yùn)用入侵檢測系統(tǒng)。入侵檢測系統(tǒng)是一種監(jiān)測裝置，在發(fā)現(xiàn)可疑入侵時(shí)會發(fā)出警報(bào)提醒管理人員。這個(gè)系統(tǒng)的最重要優(yōu)點(diǎn)就是能夠自動報(bào)警，讓危害發(fā)生在限制之內(nèi)，這個(gè)系統(tǒng)一般接在Internet接入路由器的第一臺交換機(jī)上，這樣使得它能夠最大限度的識別危害。

4.加強(qiáng)人員管理。網(wǎng)絡(luò)機(jī)房的一定要做好保密工作，機(jī)房鑰匙一定要管理好，不能隨便讓閑雜人員進(jìn)入機(jī)房重地，另外，機(jī)房內(nèi)還要做好管理，時(shí)刻關(guān)注機(jī)房安全，做好防電、防雷、防水等工作。

5.定期對文件進(jìn)行備份或維護(hù)。對文件信息進(jìn)行備份是一種非常好的防護(hù)措施，這樣可以防止員工誤刪或格式化文件后造成企業(yè)重大的損失，備份的文件最好放在可移動U盤上，這樣還可以防止網(wǎng)絡(luò)系統(tǒng)遭遇病毒導(dǎo)致系統(tǒng)癱瘓的后果。另外還要定期對網(wǎng)絡(luò)進(jìn)行維護(hù)，及時(shí)檢查網(wǎng)絡(luò)狀況，但計(jì)算機(jī)上有過期不用的文件時(shí)要及時(shí)刪除，從而保證計(jì)算機(jī)高速運(yùn)行。

6.對數(shù)據(jù)進(jìn)行加密，控制訪問。數(shù)據(jù)加密的運(yùn)用主要運(yùn)用于開放性網(wǎng)絡(luò)，對其進(jìn)行加密可以控制使用訪問的用戶，這在一定程度上增加了網(wǎng)絡(luò)的安全性，消除了部分不必要的干擾，使得企業(yè)的網(wǎng)絡(luò)安全更加有保障。

7.安裝殺毒軟件。在計(jì)算機(jī)上安裝高性能的殺毒軟件，對進(jìn)入企業(yè)網(wǎng)絡(luò)的所有事物都進(jìn)行檢測，包括對互連網(wǎng)上下載的文件及軟件的病毒掃描，對進(jìn)入計(jì)算機(jī)的可移動設(shè)備的病毒控制，以及一些網(wǎng)絡(luò)的www服務(wù)及電子郵件的檢測等等。

8.安裝漏洞掃描系統(tǒng)。計(jì)算機(jī)上的漏洞是黑客入侵的重要入口，所以要做好計(jì)算機(jī)漏洞掃描工作，一旦發(fā)現(xiàn)漏洞便立即進(jìn)行修復(fù)，防患于未然，把黑客的惡意攻擊扼殺在搖籃里。

（二）國家政策對于企業(yè)安全的防護(hù)

隨著網(wǎng)絡(luò)在國家政治、經(jīng)濟(jì)、文化等等方面的大量運(yùn)用，網(wǎng)絡(luò)安全問題不斷地出現(xiàn)，這樣的社會存在，必然需要一定的社會意識去解決，近幾年關(guān)于網(wǎng)絡(luò)安全的法律、法規(guī)層出不窮，國家根據(jù)網(wǎng)絡(luò)上不斷出現(xiàn)的情況適時(shí)地修正在網(wǎng)絡(luò)方面的立法，力求達(dá)到這方面立法的完善，這體現(xiàn)了國家對于網(wǎng)絡(luò)安全問題的重視程度。國家在政策法律上的對于網(wǎng)絡(luò)安全的保障無疑增加了企業(yè)的應(yīng)對網(wǎng)絡(luò)不安全事件的信心，企業(yè)和國家凝聚成一條繩共同應(yīng)對網(wǎng)絡(luò)安全問題，相信網(wǎng)絡(luò)安全在不久的將來定能夠形成完善的、系統(tǒng)的體系。

三．展望

近五年來，網(wǎng)絡(luò)安全與防護(hù)工作進(jìn)行的如火如荼，不論是國家政策還是企業(yè)管理都取得了令人可喜的成績，這也反過來促進(jìn)了網(wǎng)絡(luò)行業(yè)的發(fā)展。在如今信息技術(shù)日新月異的世界潮流下，給網(wǎng)絡(luò)提供了發(fā)展的良好機(jī)遇，展望未來，網(wǎng)絡(luò)的發(fā)展必定會帶動網(wǎng)絡(luò)安全問題的出現(xiàn)與進(jìn)步，這樣的局勢必然要求更高的技術(shù)出現(xiàn)去適應(yīng)潮流，那么，網(wǎng)絡(luò)安全在未來也需要從兩個(gè)方面加強(qiáng)：一方面是要不斷根據(jù)安全形勢、技術(shù)發(fā)展來補(bǔ)充自己的安全防護(hù)標(biāo)準(zhǔn)；另一方面要擴(kuò)大網(wǎng)絡(luò)安全檢測的廣度和深度，使得網(wǎng)絡(luò)安全走向更高的標(biāo)準(zhǔn)。

結(jié)語：計(jì)算機(jī)網(wǎng)絡(luò)安全是企業(yè)正常運(yùn)行的必要條件之一，企業(yè)要全力地做好工作，不斷完善企業(yè)的管理制度。通過對網(wǎng)絡(luò)安全與防護(hù)在企業(yè)的運(yùn)用的分析，使我們對網(wǎng)絡(luò)安全有了更深的了解，對網(wǎng)絡(luò)防護(hù)工作有了更清楚地認(rèn)識，這有利于在企業(yè)工作的人員提高認(rèn)識加強(qiáng)思想。在國家與企業(yè)的共同努力下，企業(yè)的網(wǎng)絡(luò)安全工作定能夠做的很好。

參考文獻(xiàn)：

[1] 倪汝鷹；；企業(yè)網(wǎng)絡(luò)安全管理維護(hù)之探析[J]；現(xiàn)代企業(yè)教育；2010年下期

第6篇

1企業(yè)網(wǎng)絡(luò)安全需求分析

1.1網(wǎng)絡(luò)安全概念及特征

網(wǎng)絡(luò)安全是指為防范網(wǎng)絡(luò)攻擊、侵入、干擾、破壞、竊用及其他意外事故所采取的各種必要措施，以確保信息完整、可用、無泄露，保持網(wǎng)絡(luò)穩(wěn)定、安全地運(yùn)行。其主要特征是保證網(wǎng)絡(luò)信息的完整性、可用性和機(jī)密性[2]。

1.2企業(yè)網(wǎng)絡(luò)安全面臨的主要問題

企業(yè)網(wǎng)絡(luò)安全面臨的問題歸納如下：（1）網(wǎng)絡(luò)安全目標(biāo)不明確。雖然《網(wǎng)絡(luò)安全法》已于2017年6月1日起施行，但企業(yè)對網(wǎng)絡(luò)安全的重要性依然認(rèn)識不足，缺乏網(wǎng)絡(luò)安全規(guī)劃，沒有明確的網(wǎng)絡(luò)安全目標(biāo)[3]。（2）網(wǎng)絡(luò)安全意識不足。從企業(yè)的決策者到普通員工并沒有充分意識到網(wǎng)絡(luò)安全的重要性，企業(yè)網(wǎng)絡(luò)安全存在很大隱患。（3）網(wǎng)絡(luò)安全設(shè)施不健全。無論大型企業(yè)，還是中小企業(yè)，都存在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施投入不足的問題，以致設(shè)施陳舊、不完整，面對外部攻擊和各種漏洞很容易發(fā)生信息丟失、泄露、竊用等現(xiàn)象。（4）缺乏完整的網(wǎng)絡(luò)安全解決方案。企業(yè)網(wǎng)絡(luò)安全防護(hù)呈現(xiàn)碎片化、分散化等特點(diǎn)[4]，缺乏系統(tǒng)性、協(xié)同性、靈活性，面對萬物互聯(lián)和更高級的威脅，傳統(tǒng)防護(hù)手段捉襟見肘、防不勝防[5]。

1.3企業(yè)網(wǎng)絡(luò)安全需求

企業(yè)因網(wǎng)絡(luò)安全需要而產(chǎn)生的要求即為企業(yè)網(wǎng)絡(luò)安全需求，這是由企業(yè)內(nèi)部網(wǎng)絡(luò)因素與外部網(wǎng)絡(luò)形勢共同決定的，內(nèi)外都不會一成不變，所以企業(yè)網(wǎng)絡(luò)安全需求是一個(gè)動態(tài)過程，具有時(shí)效性。基于此，要準(zhǔn)確把握企業(yè)網(wǎng)絡(luò)安全需求，必須對企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行調(diào)查分析，一般而言，企業(yè)網(wǎng)絡(luò)安全主要包括內(nèi)網(wǎng)安全、邊界安全及文件傳輸安全等方面[6]，具體體現(xiàn)在以下幾個(gè)方面：（1）網(wǎng)絡(luò)安全策略需求。安全策略的有效性、完整性和實(shí)用性是企業(yè)網(wǎng)絡(luò)安全的一個(gè)重要需求。目前的企業(yè)網(wǎng)絡(luò)安全策略文檔過于簡單，而且沒有形成完整的體系，對企業(yè)網(wǎng)絡(luò)安全的指導(dǎo)性不足。（2）網(wǎng)絡(luò)安全組織需求。企業(yè)應(yīng)建立結(jié)構(gòu)完整、職能清晰的網(wǎng)絡(luò)安全組織機(jī)構(gòu)，負(fù)責(zé)企業(yè)網(wǎng)絡(luò)安全策略制定、網(wǎng)絡(luò)安全培訓(xùn)、網(wǎng)絡(luò)安全運(yùn)行管理等。（3）網(wǎng)絡(luò)安全運(yùn)行管理需求。企業(yè)應(yīng)建立科學(xué)高效的運(yùn)行管理體系，采用實(shí)用的運(yùn)行管理方法，對服務(wù)器安全、網(wǎng)絡(luò)訪問可控性、網(wǎng)絡(luò)監(jiān)控等進(jìn)行管理。

2企業(yè)網(wǎng)絡(luò)安全解決方案

2.1企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)原則

網(wǎng)絡(luò)安全方案的設(shè)計(jì)原則旨在指導(dǎo)企業(yè)科學(xué)合理地設(shè)計(jì)網(wǎng)絡(luò)安全方案，避免失于偏頗和“詞不達(dá)意”，設(shè)計(jì)原則可以有很多，筆者認(rèn)為最重要的原則如下：（1）多重防護(hù)原則。突破單一防護(hù)機(jī)制要比突破多重防護(hù)機(jī)制容易得多。（2）簡單適用原則。過于復(fù)雜的方案漏洞多，本身就不安全。（3）系統(tǒng)性原則。企業(yè)網(wǎng)絡(luò)安全面對的威脅是多方面的，只專注于一點(diǎn)無法保障網(wǎng)絡(luò)安全。（4）需求、風(fēng)險(xiǎn)與代價(jià)平衡原則。沒有任何方案可以做到絕對安全，追求過高的安全性要付出巨大代價(jià)，所以要學(xué)會取舍，平衡風(fēng)險(xiǎn)與代價(jià)。（5）可維護(hù)性原則。沒有任何系統(tǒng)可以做到無懈可擊，要做到能隨時(shí)調(diào)整、升級、擴(kuò)充。（6）技術(shù)與管理相結(jié)合原則。在改善安全技術(shù)的同時(shí)也要加強(qiáng)管理，減少管理漏洞，對于復(fù)雜的安全形勢，要多做預(yù)案，提前防范突發(fā)事件。

2.2企業(yè)網(wǎng)絡(luò)安全解決方案

2.2.1網(wǎng)絡(luò)分域防護(hù)方案網(wǎng)絡(luò)分域防護(hù)的原則是落實(shí)安全域的防護(hù)策略、制定訪問控制策略、檢查網(wǎng)絡(luò)邊界、分級防護(hù)等。從企業(yè)網(wǎng)絡(luò)安全需求及特點(diǎn)出發(fā)，將網(wǎng)絡(luò)組織架構(gòu)從邏輯上分為互聯(lián)網(wǎng)域、服務(wù)區(qū)域、外聯(lián)域和內(nèi)網(wǎng)核心區(qū)域，如圖1所示?；ヂ?lián)網(wǎng)域接入互聯(lián)網(wǎng)服務(wù)，服務(wù)區(qū)域即企業(yè)服務(wù)器放置區(qū)域，外聯(lián)域接入分公司區(qū)域，內(nèi)網(wǎng)核心區(qū)域是指企業(yè)內(nèi)部網(wǎng)絡(luò)互聯(lián)的核心設(shè)備區(qū)域。如此劃分的目的是保證具有相同防護(hù)需求的網(wǎng)絡(luò)及系統(tǒng)處于同一安全子域內(nèi)，便于各個(gè)安全子域內(nèi)部署相應(yīng)等級的防護(hù)策略。2.2.2部署安全網(wǎng)關(guān)方案在外網(wǎng)與內(nèi)網(wǎng)之間設(shè)置安全網(wǎng)關(guān)（如圖1所示），作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理屏障，以保護(hù)內(nèi)網(wǎng)安全。安全網(wǎng)關(guān)不是單一的防火墻，而是綜合了防病毒、入侵檢測和防火墻的一體化安全設(shè)備。該設(shè)備運(yùn)用統(tǒng)一威脅管理（unifiedthreatmanagement,UTM）概念，將多種安全特性的防護(hù)策略整合到統(tǒng)一的管理平臺上，按需開啟多種功能，其由硬件、軟件、網(wǎng)絡(luò)技術(shù)組成。UTM在硬件上可以采用X86、ASIC、NP架構(gòu)中的一種，X86架構(gòu)適于百兆網(wǎng)絡(luò)，若是千兆網(wǎng)絡(luò)應(yīng)采用ASIC架構(gòu)或NP架構(gòu)。在升級、維護(hù)及開發(fā)周期方面，NP架構(gòu)比ASIC架構(gòu)更有優(yōu)勢。UTM軟件上可以集成防病毒、入侵檢測、內(nèi)容過濾、防垃圾郵件、流量管理等多種功能，通過模式匹配實(shí)現(xiàn)特征庫統(tǒng)一和效率提升。UTM管理結(jié)構(gòu)基于管理分層、功能分級思想，包含集中管理與單機(jī)管理的雙重管理機(jī)制，實(shí)現(xiàn)功能設(shè)置管理和數(shù)據(jù)分析能力。

2.2.3部署IPS與IDS方案IPS是入侵防御系統(tǒng)（intrusionpreventionsystem）的英文縮寫，用于監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備上的數(shù)據(jù)傳輸，發(fā)現(xiàn)異常數(shù)據(jù)可以即時(shí)中斷傳輸或進(jìn)行隔離，先于攻擊達(dá)成實(shí)現(xiàn)防護(hù)，與防火墻功能上互補(bǔ)，并支持串行接入模式，采用基于策略的防護(hù)方式，用戶可以選擇最適合策略達(dá)到最佳防護(hù)效果。IPS部署在服務(wù)區(qū)域與內(nèi)網(wǎng)核心區(qū)域之間，或核心交換機(jī)與內(nèi)部服務(wù)器之間（如圖1所示），可實(shí)時(shí)監(jiān)測外部數(shù)據(jù)向內(nèi)部服務(wù)器的傳輸過程，發(fā)現(xiàn)入侵行為即報(bào)警、阻斷，同時(shí)還能精確阻擊SQL注入攻擊。IDS是入侵檢測系統(tǒng)（intrusiondetectionsystem）的英文縮寫，能對網(wǎng)絡(luò)數(shù)據(jù)傳輸實(shí)時(shí)監(jiān)視，發(fā)現(xiàn)可疑報(bào)警或采取其他主動反應(yīng)措施，屬于監(jiān)聽設(shè)備，其安全策略包括異常入侵檢測、誤用入侵檢測兩種方式，可部署在核心交換機(jī)上，對進(jìn)出內(nèi)網(wǎng)與內(nèi)部服務(wù)器的數(shù)據(jù)進(jìn)行監(jiān)測，如圖1所示。

2.2.4部署漏洞掃描系統(tǒng)方案漏洞掃描是基于漏洞數(shù)據(jù)庫，通過掃描檢測遠(yuǎn)程系統(tǒng)或本地系統(tǒng)漏洞行為，與防火墻、IDS配合以提高網(wǎng)絡(luò)安全性，掃描對象包括網(wǎng)絡(luò)、主機(jī)和數(shù)據(jù)庫。漏洞掃描運(yùn)用的技術(shù)有主機(jī)在線掃描、端口掃描、操作系統(tǒng)識別、漏洞監(jiān)測數(shù)據(jù)采集、智能端口識別、多重服務(wù)檢測、系統(tǒng)滲透掃描等。漏洞掃描系統(tǒng)部署方式包括獨(dú)立式部署和分布式部署。前者適于比較簡單的網(wǎng)絡(luò)結(jié)構(gòu)，例如電子商務(wù)、中小企業(yè)等；后者適于復(fù)雜、分布點(diǎn)多、數(shù)據(jù)相對分散的網(wǎng)絡(luò)結(jié)構(gòu)，例如政府、電力行業(yè)、金融行業(yè)、電信運(yùn)營商等。圖1為采用獨(dú)立式部署的漏洞掃描系統(tǒng)方案。

第7篇

關(guān)鍵詞：機(jī)密　數(shù)據(jù)　威脅　網(wǎng)絡(luò)安全　網(wǎng)絡(luò)管理

一、概述

隨著網(wǎng)絡(luò)在企業(yè)生產(chǎn)經(jīng)營中應(yīng)用越來越廣、越來越深，企業(yè)網(wǎng)絡(luò)安全的問題也日益凸顯。來自企業(yè)網(wǎng)外部和內(nèi)部的攻擊無時(shí)不刻都在威脅著企業(yè)網(wǎng)絡(luò)的安全，也成了每一位網(wǎng)絡(luò)管理人員都需要面臨的考驗(yàn)。如何建立一個(gè)完整的企業(yè)網(wǎng)絡(luò)安全解決方案，減少因網(wǎng)絡(luò)攻擊和病毒引發(fā)的生產(chǎn)經(jīng)營數(shù)據(jù)的丟失和外泄引發(fā)的損失，本文將進(jìn)行一個(gè)淺顯的探討。

二、網(wǎng)絡(luò)安全的基礎(chǔ)——網(wǎng)絡(luò)設(shè)計(jì)

網(wǎng)絡(luò)的設(shè)計(jì)與建設(shè)，是構(gòu)建一個(gè)安全網(wǎng)絡(luò)的基礎(chǔ)。合理的網(wǎng)絡(luò)構(gòu)架設(shè)計(jì)將為未來網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建節(jié)省一大部分開銷，這些開銷包括了設(shè)計(jì)、成本和系統(tǒng)的效率等。因此，在構(gòu)建一個(gè)網(wǎng)絡(luò)的初期，就必須將網(wǎng)絡(luò)系統(tǒng)的安全作為設(shè)計(jì)的基本要素，考慮到整個(gè)系統(tǒng)中。一個(gè)大型的企業(yè)，如在地域上分部較為集中，其內(nèi)網(wǎng)為了增大運(yùn)行保險(xiǎn)系數(shù)，一般主干采用雙環(huán)網(wǎng)的網(wǎng)絡(luò)構(gòu)架。這種網(wǎng)絡(luò)在一路主用線纜引故障停止時(shí)會自動切換到備用環(huán)上，當(dāng)然，根據(jù)具體的系統(tǒng)配置的不同，雙環(huán)網(wǎng)正常工作時(shí)又會被分為雙路負(fù)載分擔(dān)型和雙路數(shù)據(jù)同步型等類型，在這里就不詳細(xì)介紹了。一個(gè)企業(yè)如在地域上較為分散，下屬有多家子公司且這些子公司又擁有自己的網(wǎng)絡(luò)的情況下，最好采用以樹形或星型網(wǎng)絡(luò)結(jié)構(gòu)為主的復(fù)合型網(wǎng)絡(luò)設(shè)計(jì)。這種設(shè)計(jì)使得各網(wǎng)絡(luò)層次的訪問控制權(quán)限一目了然，便于內(nèi)部網(wǎng)絡(luò)的控制。

一個(gè)大型企業(yè)的網(wǎng)絡(luò)在內(nèi)部又會被分為許多特定的區(qū)域——普通的辦公區(qū)，財(cái)務(wù)銷售的核心業(yè)務(wù)區(qū)，應(yīng)用服務(wù)器工作區(qū)，網(wǎng)絡(luò)管理維護(hù)區(qū)，多方網(wǎng)絡(luò)互聯(lián)區(qū)域，VPN連接區(qū)等多個(gè)功能區(qū)域。其中普通的辦公區(qū)有時(shí)是與財(cái)務(wù)銷售類的業(yè)務(wù)區(qū)合并在一起的，但是，如果公司還涉及特殊業(yè)務(wù)的時(shí)候應(yīng)當(dāng)將這兩個(gè)區(qū)域分開，甚至為其單獨(dú)建立一套網(wǎng)絡(luò)系統(tǒng)以增強(qiáng)其安全保密性。應(yīng)用服務(wù)器區(qū)域一般承載著企業(yè)辦公、生產(chǎn)等主要業(yè)務(wù)，因此在安全上其級別應(yīng)當(dāng)是最高的。一般對這一區(qū)域進(jìn)行安全設(shè)置時(shí)最好將除所用端口以外的所有其他端口全部封鎖，以避免多余端口通信造成的安全威脅。有條件的網(wǎng)絡(luò)用戶或?qū)Π踩蟊容^高的用戶可以在不同的網(wǎng)絡(luò)之間配置防火墻，使其對網(wǎng)絡(luò)的訪問進(jìn)行更好的控制或者將不同的網(wǎng)絡(luò)直接進(jìn)行物理隔離，以完全絕斷不同網(wǎng)絡(luò)之間的互訪。在網(wǎng)絡(luò)中中有許多服務(wù)器，比如病毒服務(wù)器、郵件服務(wù)器等，有同時(shí)被內(nèi)網(wǎng)及外網(wǎng)訪問的需求，應(yīng)當(dāng)為這些有外網(wǎng)需求的服務(wù)器考慮設(shè)置DMZ區(qū)域。DMZ區(qū)域的安全級別較普通用戶區(qū)高，即便得到訪問授權(quán)的用戶，其對DMZ區(qū)域的訪問也是有限制的，只有管理人員才可以對這一區(qū)域的服務(wù)器進(jìn)行完全的訪問與控制。

三、終端的安全防護(hù)

病毒、木馬無論通過何種途徑傳播，其最終都是感染終端為目的的，無論這個(gè)終端是指的服務(wù)器還是普通用戶的終端，因此，對各類終端的安全防護(hù)可以說是網(wǎng)絡(luò)安全構(gòu)建的關(guān)鍵。對終端的安全防護(hù)可以分為兩套系統(tǒng)；一種為硬件的防火墻類，一般由管理人員進(jìn)行專業(yè)操作處理的防護(hù)系統(tǒng)，包括了反垃圾郵件系統(tǒng)、用戶上網(wǎng)行為監(jiān)控管理系統(tǒng)、網(wǎng)站防篡改系統(tǒng)等專業(yè)(服務(wù)器)終端防護(hù)系統(tǒng)；另一種為軟件類的防火墻、殺毒軟件及其他安裝于各個(gè)用戶終端由用戶或管理人員進(jìn)行操作管理的防護(hù)系統(tǒng)?，F(xiàn)在多數(shù)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)多由這兩種類型的防護(hù)系統(tǒng)復(fù)合而成。這種復(fù)合式的系統(tǒng)所取得的效果在很大程度上依賴于終端用戶的計(jì)算機(jī)水平及殺毒軟件服務(wù)提供商的反應(yīng)能力和軟件更新能力，總之，這種方式是比較偏重于“被動防守”的一種防護(hù)措施。

現(xiàn)在有廠商提供了一種協(xié)調(diào)系統(tǒng)，使用這種系統(tǒng)能讓以上所述的復(fù)合安全系統(tǒng)能夠在網(wǎng)絡(luò)管理員的干涉下實(shí)現(xiàn)主動的管理。這套系統(tǒng)一般在用戶終端安裝一個(gè)客戶端，開機(jī)時(shí)，客戶端自動判定本終端的安全狀態(tài)并與安全服務(wù)器取得聯(lián)系，當(dāng)終端被判定正常時(shí)，終端可進(jìn)行正常權(quán)限的網(wǎng)絡(luò)訪問；當(dāng)終端被判定為非正常(威脅)時(shí)，此終端可根據(jù)預(yù)先堤定的安全策略，斷絕與普通局域網(wǎng)的連接，只能與特定的服務(wù)器如病毒服務(wù)器等進(jìn)行連接以解決問題。網(wǎng)絡(luò)管理員可以通過這套系統(tǒng)實(shí)時(shí)監(jiān)查每個(gè)終端的進(jìn)程與數(shù)據(jù)狀態(tài)，并通過管理終端對客戶端進(jìn)行控制，以解決安全威脅。此類系統(tǒng)的應(yīng)用將所有用戶的終端都納入了系統(tǒng)管理員的控制下，以系統(tǒng)管理員專業(yè)化的技術(shù)知識實(shí)現(xiàn)對整個(gè)系統(tǒng)的監(jiān)管與維護(hù)，能夠在很大程度上減少威脅并提高系統(tǒng)的安全性和網(wǎng)絡(luò)效率。

四、終端用戶的規(guī)范

網(wǎng)絡(luò)的安全除了在設(shè)計(jì)、硬件、技術(shù)管理上提高水平外，對網(wǎng)絡(luò)用戶進(jìn)行必要的指導(dǎo)是十分重要的。普通的網(wǎng)絡(luò)用戶由于其計(jì)算機(jī)專業(yè)知識水平的不同，不可能要求其對終端進(jìn)行專業(yè)的處理，告誡其正確的上網(wǎng)方式，減少各種網(wǎng)絡(luò)(IE)軟件、插件的使用及不明軟件的下載是十分重要的。即使對于某些安全防護(hù)類軟件(控件、插件)也應(yīng)當(dāng)控制使用，原因很簡單，任何軟件的編制都有BUG或漏洞的存在，終端用戶所使用的網(wǎng)絡(luò)軟件(插件、控件)越多，這種硬傷類的安全威脅也就越多。終端所面臨的威脅也就越多。不安裝不必要的(網(wǎng)絡(luò))軟件，也能在很大程度上避免網(wǎng)絡(luò)威脅。

第8篇

[關(guān)鍵詞] 企業(yè)網(wǎng)絡(luò)信息安全信息保障

計(jì)算機(jī)網(wǎng)絡(luò)的多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性使聯(lián)入網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)很容易受到黑客、惡意軟件和非法授權(quán)的入侵和攻擊，信息系統(tǒng)中的存儲數(shù)據(jù)暴露無遺，從而使用戶信息資源的安全和保密受到嚴(yán)重威脅。目前互聯(lián)網(wǎng)使用TCP/IP協(xié)議的設(shè)計(jì)原則，只實(shí)現(xiàn)簡單的互聯(lián)功能，所有復(fù)雜的數(shù)據(jù)處理都留給終端承擔(dān)，這是互聯(lián)網(wǎng)成功的因素，但它也暴露出數(shù)據(jù)在網(wǎng)上傳輸?shù)臋C(jī)密性受到威脅，任何人都可以通過監(jiān)聽的方法去獲得經(jīng)過自己網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。在目前不斷發(fā)生互聯(lián)網(wǎng)安全事故的時(shí)候，對互聯(lián)網(wǎng)的安全狀況進(jìn)行研究與分析已迫在眉睫。

一、 國外企業(yè)信息安全現(xiàn)狀

調(diào)查顯示，歐美等國在網(wǎng)絡(luò)安全建設(shè)投入的資金占網(wǎng)絡(luò)建設(shè)資金總額的10%左右，而日韓兩國則是8%。從國際范圍來看，美國等西方國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)比中國完善，網(wǎng)絡(luò)安全建設(shè)的起步時(shí)間也比中國早，因此發(fā)生的網(wǎng)絡(luò)攻擊、盜竊和犯罪問題也比國內(nèi)嚴(yán)重，這也致使這些國家的企業(yè)對網(wǎng)絡(luò)安全問題有更加全面的認(rèn)識和足夠的重視，但縱觀全世界范圍，企業(yè)的網(wǎng)絡(luò)安全建設(shè)步伐仍然跟不上企業(yè)發(fā)展步伐和安全危害的升級速度。

國外信息安全現(xiàn)狀具有兩個(gè)特點(diǎn)：

(1)各行業(yè)的企業(yè)越來越認(rèn)識到IT安全的重要性，并且意識到安全的必要性，并且把它作為企業(yè)的一項(xiàng)重要工作之一。

(2)企業(yè)對于網(wǎng)絡(luò)安全的資金投入與網(wǎng)絡(luò)建設(shè)的資金投入按比例增長，而且各項(xiàng)指標(biāo)均明顯高于國內(nèi)水平。

二、 國內(nèi)企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析

2005年全國各行業(yè)受眾對網(wǎng)絡(luò)安全技術(shù)的應(yīng)用狀況數(shù)據(jù)顯示，在各類網(wǎng)絡(luò)安全技術(shù)使用中，“防火墻”的使用率最高(占76.5%)，其次為“防病毒軟件”的應(yīng)用(占53.1%)。2005年較2004年相比加大了其他網(wǎng)絡(luò)安全技術(shù)的投入，“物理隔離”、“路由器ACL”等技術(shù)已經(jīng)得到了應(yīng)用。防火墻的使用比例較高主要是因?yàn)樗鼉r(jià)格比較便宜、易安裝，并可在線升級等特點(diǎn)。值得注意的是，2005年企事業(yè)單位對“使用用戶名和密碼登陸系統(tǒng)”、“業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)進(jìn)行物理隔離”等措施非常重視。其他防范措施的使用也比2004年都提高了一定的比例，對網(wǎng)絡(luò)安全和信息的保護(hù)意識也越來越高。生物識別技術(shù)、虛擬專用網(wǎng)絡(luò)及數(shù)字簽名證書的使用率較低，有相當(dāng)一部分人不清楚這些技術(shù)，還需要一些時(shí)間才能得到市場的認(rèn)可。

根據(jù)調(diào)查顯示，我國在網(wǎng)絡(luò)安全建設(shè)投入的資金還不到網(wǎng)絡(luò)建設(shè)資金總額的1%，大幅低于歐美和日韓等國。我國目前以中小型企業(yè)占多數(shù)，而中小型企業(yè)由于資金預(yù)算有限，基本上只注重有直接利益回報(bào)的投資項(xiàng)目，對于網(wǎng)絡(luò)安全這種看不到實(shí)在回饋的資金投入方式普遍表現(xiàn)出不積極態(tài)度。另外，企業(yè)經(jīng)營者對于安全問題經(jīng)常會抱有僥幸的心理，加上缺少專門的技術(shù)人員和專業(yè)指導(dǎo)，致使國內(nèi)企業(yè)目前的網(wǎng)絡(luò)安全建設(shè)情況參差不齊，普遍處于不容樂觀的狀況。

三、 企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全對策分析

“三分技術(shù)，七分管理”是技術(shù)與管理策略在整個(gè)信息安全保障策略中各自重要性的體現(xiàn)，沒有完善的管理，技術(shù)就是再先進(jìn)，也是無濟(jì)于事的。以往傳統(tǒng)的網(wǎng)絡(luò)安全解決方案是某一種信息安全產(chǎn)品的某一方面的應(yīng)用方案，只能應(yīng)對網(wǎng)絡(luò)中存在的某一方面的信息安全問題。中國企業(yè)網(wǎng)絡(luò)的信息安全建設(shè)中經(jīng)常存在這樣一種不正常的現(xiàn)象，就是企業(yè)的整體安全意識普遍不強(qiáng)，信息安全措施單一，無法抵御綜合的安全攻擊。隨著上述網(wǎng)絡(luò)安全問題的日益突顯，國內(nèi)網(wǎng)絡(luò)的安全需求也日益提高，這種單一的解決方案就成為了信息安全建設(shè)發(fā)展的瓶頸。因此應(yīng)對企業(yè)網(wǎng)絡(luò)做到全方位的立體防護(hù)，立體化的解決方案才能真正解決企業(yè)網(wǎng)絡(luò)的安全問題，立體化是未來企業(yè)網(wǎng)絡(luò)安全解決方案的趨勢，而信息保障這一思想就是這一趨勢的體現(xiàn)。信息保障是最近幾年西方一些計(jì)算機(jī)科學(xué)及信息安全專家提出的與信息安全有關(guān)的新概念，也是信息安全領(lǐng)域一個(gè)最新的發(fā)展方向。

信息保障是信息安全發(fā)展的新階段，用保障(Assurance)來取代平時(shí)我們用的安全一詞，不僅僅是體現(xiàn)了信息安全理論發(fā)展到了一個(gè)新階段，更是信息安全理念的一種提升與轉(zhuǎn)變。人們開始認(rèn)識到安全的概念已經(jīng)不局限于信息的保護(hù)，人們需要的是對整個(gè)信息和信息系統(tǒng)的保護(hù)和防御，包括了對信息的保護(hù)、檢測、反應(yīng)和恢復(fù)能力。為了保障信息安全，除了要進(jìn)行信息的安全保護(hù)，還應(yīng)該重視提高安全預(yù)警能力、系統(tǒng)的入侵檢測能力，系統(tǒng)的事件反應(yīng)能力和系統(tǒng)遭到入侵引起破壞的快速恢復(fù)能力。區(qū)別于傳統(tǒng)的加密、身份認(rèn)證、訪問控制、防火墻、安全路由等技術(shù)，信息保障強(qiáng)調(diào)信息系統(tǒng)整個(gè)生命周期的防御和恢復(fù)，同時(shí)安全問題的出現(xiàn)和解決方案也超越了純技術(shù)范疇。由此形成了包括預(yù)警、保護(hù)、檢測、反應(yīng)和恢復(fù)五個(gè)環(huán)節(jié)的信息保障概念。

所以一個(gè)全方位的企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進(jìn)的主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計(jì)技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)、黑客跟蹤技術(shù)，在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線，增加了惡意攻擊的難度，并增加審核信息的數(shù)量，同時(shí)利用這些審核信息還可以跟蹤入侵者。

參考文獻(xiàn):

[1]付正:安全――我們共同的責(zé)任[J].計(jì)算機(jī)世界，2006，(19)

[2]李理:解剖您身邊的安全[N]．中國計(jì)算機(jī)報(bào)，2006-4-13

第9篇

【關(guān)鍵詞】 云安全 核心技術(shù) 網(wǎng)絡(luò)安全 應(yīng)用探析

前言：近幾年來，越來越多的人們關(guān)注網(wǎng)絡(luò)的安全技術(shù)以及應(yīng)用，網(wǎng)絡(luò)安全關(guān)系到國家安全以及社會和諧安定，我們應(yīng)當(dāng)提高對其的重視度。網(wǎng)絡(luò)安全的本質(zhì)就是確保網(wǎng)絡(luò)上的信息安全，其具體指的是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及其系統(tǒng)中的數(shù)據(jù)不被人為的破壞、篡改和泄露，云安全技術(shù)的應(yīng)用，就是保證網(wǎng)絡(luò)安全的一項(xiàng)技術(shù)。云安全技術(shù)已經(jīng)在企業(yè)的局域網(wǎng)中得到了具體運(yùn)用，并且對其出現(xiàn)的問題進(jìn)行研究改進(jìn)，進(jìn)一步為企業(yè)的網(wǎng)絡(luò)信息安全提供了保障。

一、“云安全”的核心技術(shù)

1.Web信譽(yù)服務(wù)。云安全技術(shù)可以通過全信譽(yù)數(shù)據(jù)庫對惡意軟件行為進(jìn)行分析，并且根據(jù)其數(shù)據(jù)位置的變化和可疑跡象等因素來指定網(wǎng)頁信譽(yù)分?jǐn)?shù)，從而判斷網(wǎng)頁是否可信。根據(jù)檢測的信譽(yù)分值，我們可以隨時(shí)了解到某個(gè)網(wǎng)站的潛在風(fēng)險(xiǎn)級別，預(yù)防用戶進(jìn)入有病毒的網(wǎng)頁帶來的危害。

2.電子郵件信譽(yù)服務(wù)。電子郵件信譽(yù)服務(wù)可以根據(jù)已知垃圾信息的源地址進(jìn)行檢測，可以對發(fā)送者郵件進(jìn)行潛在危險(xiǎn)評估。當(dāng)云技術(shù)檢測到該郵件中存在病毒時(shí)，就會自動對該郵件進(jìn)行處理，并且當(dāng)之后再有類似郵件時(shí)還會對起進(jìn)行攔截或者刪除，以防危害用戶端。

3.自動反饋機(jī)制。云安全的另一個(gè)重要組件就是自動反饋機(jī)制，通過檢測單個(gè)用戶的路由信譽(yù)來確定新型的威脅。例如：趨勢科技的全球自動反饋機(jī)制的功能就像目前大多社區(qū)采用的鄰里監(jiān)督模式，能夠有效的實(shí)現(xiàn)及時(shí)監(jiān)督保護(hù)功能，有助于確立全面的最新威脅指數(shù)。當(dāng)單個(gè)的用戶常規(guī)信譽(yù)檢查發(fā)現(xiàn)威脅時(shí)，系統(tǒng)就會自動更新趨勢科技位于全球各地所有威脅的數(shù)據(jù)庫，防止以后的客戶遇到威脅時(shí)不能及時(shí)反饋。

二、云安全技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用

1.云安全技術(shù)中復(fù)合式攔截病毒機(jī)制在企業(yè)網(wǎng)絡(luò)安全中的作用。隨著云計(jì)算的發(fā)展，云安全技術(shù)在企業(yè)局域網(wǎng)中已經(jīng)得到廣泛應(yīng)用，同時(shí)云安全成了企業(yè)技術(shù)研究當(dāng)中的主要問題。作為企業(yè)局域網(wǎng)絡(luò)管理者，要認(rèn)識到對于企業(yè)網(wǎng)絡(luò)內(nèi)部的威脅主要來自于企業(yè)內(nèi)部，只將精力放在防止網(wǎng)絡(luò)遭受來自于單位外部的攻擊上是遠(yuǎn)遠(yuǎn)不夠的，云安全技術(shù)可以利用互聯(lián)網(wǎng)云計(jì)算技術(shù)強(qiáng)大的終端服務(wù)器，實(shí)現(xiàn)對企業(yè)局域網(wǎng)絡(luò)內(nèi)部相關(guān)軟件的云攔截以及云殺毒。也就是說，這種方式采用的是云安全技術(shù)中復(fù)合式攔截病毒機(jī)制，當(dāng)企業(yè)局域網(wǎng)絡(luò)存在的安全隱患威脅到客戶端時(shí)，復(fù)合式攔截病毒機(jī)制就可以對其進(jìn)行攔截以及采取相應(yīng)的處理措施。近幾年來，網(wǎng)絡(luò)病毒攻擊形式比較多，而且病毒的形式不僅是單一的病毒體，而是由多種單一病毒體重組的復(fù)合式病毒，對網(wǎng)絡(luò)用戶端危害極大，云安全技術(shù)中復(fù)合式攔截病毒機(jī)制則可以有效解決這一問題。

2.云安全技術(shù)中輕客戶端策略在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用。云安全技術(shù)中輕客戶端策略是指將計(jì)算機(jī)和業(yè)務(wù)之間的邏輯問題交由服務(wù)器處理，客戶端只對簡單的網(wǎng)絡(luò)數(shù)據(jù)顯示工作進(jìn)行處理。例如：當(dāng)我們收到到一封電子郵件時(shí)，云系統(tǒng)就會自動檢測該郵件的源地址以及電子鏈接，并且對其存在的安全性能自動分析。如果檢測的結(jié)果是該封郵件不可信，服務(wù)就會通過云安全技術(shù)對其進(jìn)行殺毒處理，并且可以自動刪除該封郵件。與此同時(shí)，系統(tǒng)就會將不可信郵件的源地址和電子鏈接存入到網(wǎng)絡(luò)安全隱患庫中，當(dāng)接收到類似的郵件時(shí)，系統(tǒng)就會對其進(jìn)行自動攔截或者刪除處理，該策略在應(yīng)用過程中存在一定的弊端，那就是只能夠?qū)ν獠拷邮盏男畔⑦M(jìn)行檢測，對計(jì)算機(jī)自身系統(tǒng)無法檢測，主要應(yīng)用于來自于外部病毒入侵的攔截和處理。

3.云安全技術(shù)在企業(yè)網(wǎng)絡(luò)中應(yīng)用的必要條件。云安全技術(shù)是針對云計(jì)算產(chǎn)業(yè)的出現(xiàn)，結(jié)合云計(jì)算的應(yīng)用特點(diǎn)和發(fā)展趨勢衍生出的確保云計(jì)算在局域網(wǎng)中應(yīng)用安全的一種新型網(wǎng)絡(luò)安全技術(shù)。任何一種軟件技術(shù)的發(fā)展離開了安全的保障，就一定會失去其存在的意義。云安全技術(shù)就是通過客戶端對局域網(wǎng)中的相關(guān)數(shù)據(jù)以及信息進(jìn)行收集和統(tǒng)計(jì)，分析之后得出源代碼，然后再采取相應(yīng)的處理措施保證其安全性。在實(shí)際操作中，通過客戶端軟件對整個(gè)網(wǎng)絡(luò)進(jìn)行掃描，找尋到有病毒的文件，再通過殺毒單位采用軟件對用戶端進(jìn)行殺毒處理可以有效提升網(wǎng)絡(luò)安全性。這不僅需要有大量的裝有病毒監(jiān)控軟體的客戶端，而且具有快速解析源代碼的服務(wù)器終端。

三、結(jié)語

科學(xué)技術(shù)的不斷發(fā)展然網(wǎng)絡(luò)的運(yùn)用越來越廣泛，因其所承載的信息量較大，需要我們對網(wǎng)絡(luò)信息進(jìn)行有效保護(hù)。云技術(shù)的應(yīng)用充分的實(shí)現(xiàn)了人們對于安全的需求，使人們在網(wǎng)絡(luò)中建立了更完備的安全防御體系，為人們的生活以及工作帶來了更多的便利，讓人們對于網(wǎng)絡(luò)的使用更加放心。

參 考 文 獻(xiàn)

[1]張海波. 云安全技術(shù)在電力企業(yè)的應(yīng)用[J]. 信息技術(shù)與信息化，2011，04：60-61+67.