企业网络安全体系建设精选(十四篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的14篇企业网络安全体系建设，期待它们能激发您的灵感。

篇1

[关键词]烟草企业；网络安全防护；体系建设

doi：10.3969/j.issn.1673 - 0194.2016.24.028

[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194（2016）24-00-02

随着信息化的逐步发展，国内烟草企业也愈加重视利用网络提高生产管理销售水平，打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时，也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此，越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。

1 威胁烟草企业网络信息体系安全的因素

受各种因素影响，烟草企业网络信息体系正遭受到各种各样的威胁。

1.1 人为因素

人为的无意失误，如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击，这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一种是被动攻击，他是在不影响网络正常工作的情况下，进行截获、窃取与破译等行为获得重要机密信息。

1.2 软硬件因素

网络安全设备投资方面，行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位，但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的，如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件，其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，一旦被破解，其造成的后果将不堪设想。另外，各种新型病毒发展迅速，超出防火墙屏蔽能力等，都使企业安全防护网络遭受严重威胁。

1.3 结构性因素

烟草企业现有的网络安全防护体系结构，多数采用的是混合型结构，星形和总线型结构重叠并存，相互之间极易产生干扰。利用系统存在的漏洞和“后门”，黑客就可以利用病毒等入侵开展攻击，或者，网络使用者因系统过于复杂而导致错误操作，都可能造成网络安全问题。

2 烟草企业网络安全防护体系建设现状

烟草企业网络安全防护体系建设，仍然存在着很多不容忽视的问题，亟待引起高度关注。

2.1 业务应用集成整合不足

不少烟草企业防护系统在建设上过于单一化、条线化，影响了其纵向管控上的集成性和横向供应链上的协同性，安全防护信息没有实现跨部门、跨单位、跨层级上的交流，相互之间不健全的信息共享机制，滞后的信息资源服务决策，影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计，致使信息化建设未能形成整体合力。

2.2 信息化建设特征不够明显

网络安全防护体系建设是现代烟草企业的重要标志，但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合，对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标，缺乏宏观角度上的沟通协调，致使在信息化建设中，业务、管理、技术“三位一体”的要求并未落到实处，影响了网络安全防护的效果。

2.3 安全运维保障能力不足

缺乏对运维保障工作的正确认识，其尚未完全融入企业信息化建设的各个环节，加上企业信息化治理模式构建不成熟等原因，制约了企业安全综合防范能力与运维保障体系建设的整体效能，导致在网络威胁的防护上较为被动，未能做到主动化、智能化分析，导致遭受病毒、木马、钓鱼网站等反复侵袭。

3 加强烟草企业网络安全防护体系建设的策略

烟草企业应以实现一体化数字烟草作为建设目标，秉承科学顶层设计、合理统筹规划、力争整体推进的原则，始终坚持两级主体、协同建设和项目带动的模式，按照统一架构、安全同步、统一平台的技术规范，才能持续推动产业发展同信息化建设和谐共生。

3.1 遵循网络防护基本原则

烟草企业在建设安全防护网络时，应明白建设安全防护网络的目标与原则，清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分，不同区域的防御体系应具有针对性，相互之间逻辑清楚、调用清晰，从而使网络边界更为明确，相互之间更为信任。要对已出现的安全问题进行认真分析，并归类统计，大的问题尽量拆解细分，类似的问题归类统一，从而将复杂问题具体化，降低网络防护工作的难度。对企业内部网络来说，应以功能为界限来划分，以划分区域为安全防护区域。同时，要不断地完善安全防护体系建设标准，打破不同企业之间网络安全防护体系的壁垒，实现信息资源更大程度上的互联互通，从而有效地提升自身对网络威胁的抵御力。

3.2 合理确定网络安全区域

烟草企业在使用网络过程中，不同的区域所担负的角色是不同的。为此，内部网络，在设计之初，应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时，对生产、监管、流通、销售等各个环节，要根据其业务特点强化对应的网络使用管理制度，既能实现网络安全更好防护，也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时，不能以偏概全、一蹴而就，应本着实事求是的态度，根据企业实际情况，以现有的网络安全防护为基础，有针对性地进行合理的划分，才能取得更好的防护效果。

3.3 大力推行动态防护措施

根据网络入侵事件可知，较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此，烟草企业在构建网络安全防护体系时，应根据不同的威胁形式确定相应的防护技术，且系统要能够随时升级换代，从而提升总体防护力。同时，要定期对烟草企业所遭受的网络威胁进行分析，确定系统存在哪些漏洞、留有什么隐患，实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制，在系统遭受重大网络威胁而瘫痪时，确保在最短的时间内恢复系统的基本功能，为后期确定问题原因与及时恢复系统留下时间，并且确保企业业务的开展不被中断，不会为企业带来很大的经济损失。另外，还应大力提倡烟草企业同专业信息防护企业合作，构建病毒防护战略联盟，为更好地实现烟草企业网络防护效果提供坚实的技术支撑。

3.4 构建专业防护人才队伍

人才是网络安全防护体系的首要资源，缺少专业性人才的支撑，再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强，既要熟知信息安全防护技术，也要对烟草企业生产全过程了然于胸，并熟知国家政策法规等制度。因此，烟草企业要大力构建专业的网络信息安全防护人才队伍，要采取定期选送、校企联训、岗位培训等方式，充分挖掘内部人力资源，提升企业现有信息安全防护人员的能力素质，也要积极同病毒防护企业、专业院校和科研院所合作，引进高素质专业技术人才，从而为企业更好地实现信息安全防护效果打下坚实的人才基础。

3.5 提升员工安全防护意识

技术防护手段效果再好，员工信息安全防护意识不佳，系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心，统一对企业网络安全防护系统进行管理培训，各部门、各环节也要设立相应岗位，负责本岗位的网络使用情况。账号使用、信息、权限确定等，都要置于信息管理培训中心的制约监督下，都要在网络使用制度的规则框架中，杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育，提升其网络安全防护意识，使其认识到安全防护体系的重要性，从而使每个人都能依法依规地使用信息网络。

4 结 语

烟草企业管理者必须清醒认识到，利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋，绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战，以实事求是的态度，大力依托信息网络安全技术，构建更为安全的防护体系，为企业做大做强奠定坚实的基础。

主要参考文献

[1]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术，2012（5）.

篇2

关键词： 县级供电企业；信息网络；安全体系；安全建设

中图分类号：C29 文献标识码：A 文章编号：

前言

随着电力信息网的互联和完全溶进Internet，电力信息网络面临日益突出的信息系统安全问题。国家电力产业体制开始向市场转变，各级供电企业纷纷建立信息系统和基于Internet的管理应用，以提高劳动生产率，提高管理水平，加强信息反馈，提高决策的科学性和准确性，提高企业的综合竞争力。目前我国电力企业网络安全建设的发展很不平衡，总体来看，存在以下薄弱环节。因此，必须采取更加科学有效的方法和思路，加快县级供电企业网络建设及网络安全建设的步伐。

1 县级供电企业信息网络安全防范体系概述

1.1 安全策略

总的来说，其基本策略包括网络系统的防护策略、对主机的防护策略、对邮件系统的防护策略、对终端的防护策略、对数据安全的防护策略以及建立集中控制平台等。

1.2 安全技术

从技术的层面上，则是通过采用包括建设安全的主机系统和安全的网络系统，同时配备适当的安全产品的方法来实现，其包括了病毒防护、访问控制、入侵检测、漏洞扫描、数据加密、数据备份以及身份认证等这些方面。

1.3 安全培训

通过在线模拟考试功能和题库，实现对培训记录、培训师资队伍、培训资料以及考试成绩的电力化管理，并对培训结果进行在线统计分析。

2 县级供电企业信息网络整体安全建设

2.1 物理层安全建设

物理层安全建设主要保护的是通信线路、物理设备以及机房的安全等三大方面。从技术上，可以进行对设备的备份、防灾害和防干扰的能力、设备的运行环境的调配以及保持电源的正常使用等这些方面。

2.2 网络层安全建设

网络层安全建设所指的是网络方面的安全性建设，它可以通过实行身份认证、访问控制、数据的完整性和保密性、域名系统及路由系统的安全、入侵检测及防火墙等技术来实现。

2.3 系统层安全建设

系统层安全建设所指的是在进行网络使用时，关于操作系统安全的建设。对于系统自身而引起的系统漏洞可以通过身份认证、访问控制、系统漏洞修复等手段来进行。

2.4 用户层安全建设

用户层安全所指的是对用户使用的过程中所存在的安全建设。用户层安全技术包括分组管理、单口令的登录的方式及用户身份认证等主要方面。

2.5 管理层安全建设

管理层安全建设主要是通过供应商使用应用软件和数据的安全性的建设，包括对Web服务、电子邮件系统、DNS等方面进行优化。此外，还包括病毒对系统的威胁。

2.6 数据层安全建设

首先应考虑对应用系统和数据进行备份和恢复措施，应用系统的安全涉及到数据库系统的安全，数据库系统的安全性很大程度上依赖于数据库管理系统，如果数据管理系统安全机制非常强大，则数据库系统的安全性就较好。

在以上的各个层面上，每个层面都应该有不同的技术来达到相应的安全保护。如表1所示。

表1 根据安全层面技术来进行县级供电公司信息网络整体安全建设

3 县级供电企业如何有效进行信息网络安全体系建设

（1）整合现有系统，实现生产实时信息与管理信息的集成，建立电网信息一体化平台。看似简单的数据交换和信息共享，由于没有统一的信息平台，形成企业信息化发展的瓶颈。县级供电企业以后的重点工作是整合、集成现有的各子信息系统，搭建统一的运行平台，规范、整理、合并各种基础数据，逐步建立集中、统一、开放式中心数据库，实现各信息系统的无缝连接。对县级供电企业网络来讲，网络整体稳定性要求非常高，网络应该提供多种冗余备份的方式，确保业务的连续。在县局网络平台搭建好之后，这要考虑到未来系统的扩展性。县级供电企业的信息化建设是一项复杂的系统工程，只有以企业效益为核心，通过构建统一的信息化基础平台，部署企业一体化应用系统，才能适应县域经济发展，满足人民群众对电力的需要，才能提高企业的核心竞争力，才能信步于未来的信息化发展之路。并以信息化带动企业内部管理机制的改革，实现机制创新、管理创新、技术创新，努力发挥信息化对企业可持续发展的支撑作用。

（2）运用现代网络技术，构建技术先进、稳定可靠的信息化通道。网络安全装置、服务器、PC机等不同种类配置不断出新的发展。信息安全技术管理方面的人才无论是数量还是水平，都无法适应企业信息安全形势的需要。随着电力体制改革的不断深化，计算机网络系统网络上将承载着大量的企业生产和经营的重要数据。因此，保障计算机网络信息系统安全、稳定运行至关重要，通常可以采取新的技术，如桌面安全管理系统等对终端行为进行管理，从而保证整个内网的可信任和可控制。目前，大部分病毒是通过计算机系统的漏洞来进行肆意的传播，为此，对于计算机系统的供应商而言，应该要对大部分的漏洞进行及时地提供相应的补丁系统，而对于使用者而言，则需要通过不断地更新服务的系统来进行对系统的更新。

（3）加强技术和应用培训，为发展县级供电企业信息化建设提供基础保障。先进的管理方式对员工素质提出了更高的要 求，推行信息化建设不但要有“科技兴企、人才先行”的观念，而且还需要既懂电力知识又懂信息技术的人才。管理信息系统的生命力很大程度上取决于应用。信息化建设既是阶段性工程又是一种长期行为，对待信息化建设要有长远眼光，动态地考虑和评价信息化建设问题，不能只看到眼前利益，急于求成。

（4）加强信息制度和信息化安全建设，为县级供电企业信息化的建设提供根本保证。信息安全不仅要考虑到从安全问题的角度来进行分析，从而提出各个层面的安全保障，为此，信息安全它包括的是策略、技术以及管理的安全体系。供电企业在实现网络信息安全的有效途径的时候，需要从技术的层面以及管理的良好配合才得以实现，从而才能为县级供电企业信息化的建设提供根本性的保证。

4、结束语

电力企业的各个业务对网络的依赖性越来越强，对信息网络安全性的要求也越来越高，电力系统信息网络安全已经成为电力企业生产、经营和管理的重要组成部分。电力企业必须运用现代网络技术，加强信息制度和信息化安全建设，确保信息系统的安全运行，为企业的安全生产提供有力的保证，从而打造更加稳固坚强的管理技术支撑平台。

参考文献：

[1]徐伟锋、张虹、李莉.构建电力企业的网络信息安全[J].陕西电力,2007

[2]王广河，县级供电公司信息网络的安全风险与防护策略[J].电力安全技术，2008

篇3

1.企业信息化建设的重要性

信息化发展对于企业人员日常的管理，相比较原来旧的方法而言更方便快捷、更高效；对于企业的整体发展的影响，相比较原来用人来发现风险，信息化大数据管控更能提前预知风险并帮助企业更好地解决问题；对于企业组织结构和流程的影响，集成化的网络信息系统是提高质效的一把利器。但现实使用中，企业的信息化进程存在安全度低、信息泄露严重和安全意识低等现象，导致企业和用户损失大量人力物力，甚至受到巨大损失。由此可见，信息化建设对企业发展有着不可小觑的作用，能比原来的模式更有效处理问题、促进企业发展，是所有企业在发展过程中不可或缺的一个环节。

2.企业信息化建设中的网络安全问题

2.1网络安全意识不强

科学技术的不断发展进步，对于企业发展的影响作用不言而喻，但是，相当一部分企业却只看到益处却忽略了“信息安全”的重要性。

近年来，在技术、社会和政府等多方面的努力下，企业的信息化建设发展速度加快，取得很大的进展，其重要作用毋庸置疑，各个企业都越来越重视信息化的进步。但在新闻报道中，经常见到有信息非法獲取、信息交易导致用户信息泄露，这也是每个企业需要反思的问题。数据泄露、信息是否安全等问题并没有引起所有企业的重视，严重的不仅会导致用户信息泄露，如果发生企业数据库被篡改、网络系统崩溃等事件，给企业带来的名誉和财产损失不可估量。

2.2技术水平不高

世界范围内都存在一个不好处理的网络难题———黑客。企业在信息化发展的过程中，免不了遇到技术问题，由于有关人员或团队自身的水平不够和相关方面的经验的缺失，不可避免会存在某些漏洞和问题，这些漏洞和问题恰恰给了黑客绝佳的机会，让他们有机会盗取信息。即使是市面上使用的各个“管家”与杀毒软件也完全检测不到，对企业的安全构成非常大的威胁。

2.3可使用的高水平软件少

一方面是供研发企业使用的高水平软件较少；另一方面是软件安全度低，很多公司虽然看到信息化发展的好处，但却贪图低成本的小利益，花费小成本购买使用安全保护性低的工作软件，结局只会带来难以挽回的后果。

3.企业信息化建设提高网络信息安全性的措施

3.1切实提高企业安全意识

科学技术的进步，促进企业重视信息安全，思考信息安全问题和公司发展之间不可分割的关系，因为信息泄露带来损失还是小事，如果因此减少了企业竞争力，甚至阻碍了企业发展才是最可怕的结果。因此，企业应当提高安全意识，提前准备对策、制定应对突况的策略，防止信息泄露等潜在威胁，将威胁扼杀在摇篮之中。通过建立高技术水平的团队，运用专业知识和工作经验切实增强防火墙安全度，定期维护信息系统，从源头的技术传输阶段维护信息安全，建立完善的信息保护制度，以此来保护信息安全、促进企业发展。

3.2提高信息系统的管理水平

虽然现在大家都在普遍使用《金山毒霸》《腾讯管家》等安全防护软件，但是这些软件也不能保证绝对的安全。改革旧的风险评估模式，健全信息筛选管理安全体系，在一定程度上可以提高安全系统等级、减小信息被盗的风险，在信息系统建立过程中，及早发现风险并妥善处理对企业发展尤其重要。

3.3使用安全性高的软件

归根结底，所有的安全问题都是安全性低所导致的。虽然说没有绝对安全的东西，但是相比于安全性低的软件，安全性越高的软件，保护能力也越强，能更好地保护信息安全。因此，企业千万不能贪图小利益使用低防护级软件，保护信息安全，维护自身发展利益才是最重要的。

篇4

［关键词］油田企业；信息安全体系；措施

我国社会主义经济和科学技术的不断发展，使信息化的进程不断地加深，网络信息的安全建设已经成为了各个企业信息管理中的主要任务之一。信息技术的大量使用，使企业在进行信息管理和数据储存的时候变得更加容易。同时，由于网络覆盖面积广，存在着互通性，一些不法分子也可以利用一些技术手段，对企业的网络信息体系展开攻击，对其中的信息数据进行窃取和破坏，后果十分严重。建设网络信息的安全体系，不仅是油田企业的需要，也是社会发展的需要。

1影响油田网络信息安全体系建设的因素

近年来，我国科学技术不断发展，网络技术与信息技术不断的融合提高，各个产业的信息化建设都在如火如荼的进行当中。在油田企业的信息化建设中，建立油田网络信息安全体系，保证体系安全稳定的运行，不仅可以降低因为网络的安全性对油田企业信息的泄露，减少企业的不必要的损失，同时可以保障企业生产的顺利进行，防范意外信息安全事件的发生。在具体的工作中，影响油田网络信息安全体系建设的因素，主要包括以下几个方面。

1．1人为因素

人为因素指的是一些不良分子，通过使用一些不良手段和高科技技术，对油田企业网络信息安全的密码、口令进行盗取或篡改，导致油田企业网络信息遭到泄露，从而使企业蒙受了巨大的损失。例如：电脑黑客对油田企业网络信息的盗取，以及对安全体系的破坏。

1．2网络病毒

网络技术在油田中的广泛使用，提高了油田企业的工作效率，但是也存在着一定的风险，网络病毒的侵袭就是其中之一。由于网络病毒存在着隐匿性、潜伏性等特征，在入侵的时候极难被察觉，网络病毒的入侵，会导致油田企业网络信息安全系统的崩溃或瘫痪，与其有关的信息也会遭到破坏或删除。所以，在油田网络信息安全体系的建设中，一定要重视网络病毒存在的威胁，加强防毒建设以及防毒软件的设计与使用，有效的降低网络病毒对油田企业网络信息的破坏。

1．3系统自身存在漏洞

在油田企业的网络信息安全体系建设中，信息系统中难免会存在着一些漏洞，一些不法分子以及网络病毒，往往就是透过信息系统中存在的漏洞，来入侵油田企业的网络系统，从而进行网络信息的窃取和网络系统的破坏，严重的影响了油田企业网络信息的安全。1．4油田企业内部的威胁虽然信息化建设在油田企业中已经初步规模，相关配套管理制度也已经建立，但是在企业内部仍有一些工作人员不能很好的遵守，利用自己工作的便利和权限，私下搭建无线网络、等环境，致使网络安全风险增加，同时可能导致油田企业的网络系统出现故障，无法正常的进行使用。

2加强油田网络信息安全体系建设的对策和建议

2．1加强油田网络安全体系外部安全建设

在油田企业中，许多数据信息资源都是存储在网络系统当中的，一旦油田企业的网络安全体系出现了问题，就会使得这些数据信息资源外泄或者消失，给油田企业带来不可挽回的后果以及巨大的经济损失。因此，在建设油田企业网络安全体系的过程中，要加强对外部人员非法入侵和病毒防治的相关保护工作的重视程度和管理力度，提升油田企业网络信息安全体系的安全等级，建立防火墙，有效的在油田网络系统与外界之间铸造一道防护的屏障，在网络与油田网络信息安全体系之间建立一个安全网关，使外来入侵者和网络病毒无法对网络系统发起不良攻击，保证油田网络信息的安全。防火墙的存在，使其安全体系得到了巩固与加强，防火墙可以通过具体的设定，有效的阻止外来因素对网络体系内部的破坏，以及对数据信息的盗取。防火墙中的入侵检测系统，可以及时发现入侵的病毒，在网络病毒没有对油田企业网络信息系统造成损害之前，将其处理掉。

2．2加强油田网络信息体系的内部安全建设

加强网络信息体系外部安全建设，阻止来自企业外部的人为破坏和病毒侵袭，可以有效的提高油田网络信息体系的安全性与稳定性。但是，要想在信息管理过程中，保证其的安全与稳定，就需要从企业的内部入手，加强企业的内部建设，改善当前油田网络信息安全体系建设的现状和存在的问题。在具体的工作中，可以从网络安全系统的权限访问设置以及对网络病毒的防治、防控入手。在实际的操作过程中，可以构建一个油田企业专用的网络数据库，并针对不同的人群，设置不同的使用权限，以保证数据信息的安全。在进行病毒的防治、防控的过程中，要对病毒传播的途径和方法进行重点的研究，对常见病毒工作的原理以及感染的征兆进行充分的了解，在对病毒的防控管理过程中，需要坚持层层设防，集中控制，以防为主防治结合的基本原则来进行，提高油田网络信息安全体系对病毒防治的效果。

3总结

油田企业网络信息安全体系的建设，其目的在于保证油田企业相关数据信息的安全。在体系建设的过程中，针对可能会出现的漏洞，要加强对企业外部安全的建设，防治不良分子和病毒通过漏洞进入油田企业的网络安全体系，对其进行大肆破坏，导致重要数据信息资料被窃取或损坏。此外还要加强内部建设，坚持以防为主，防治结合的基本原则，加强安全体系的建设，保证油田企业信息数据的安全管理能力得到有效的提高。

主要参考文献

［1］李景瑜．解析油田网络安全管理和防护建设［J］．科技与企业，2015（1）．

［2］旺建华．浅谈油田网络信息安全应急预案的建设［J］．中国信息化，2013（12）．

篇5

关键词：电力信息网络；安全防护；策略

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 17-0000-01

The Network Security System Construction and Improvement for Power System

Shen Fanyun

(Inner Mongolia Electric Power(Group)Co.,Ltd.Erdos Electric Power Bureau,Erdos017000,China)

Abstract:With the power industry's continuous development of information technology,information security is facing increasingly serious challenges.Adapt to the new situation,the article from the power dispatch and power system development point of view of market needs,analysis of the electric power information network of the major categories and characteristics,focusing on the technical and management aspects of power system described the establishment of information network protection systems and strategies.

Keywords:Power Information Network;Security;Strategy

一、电力信息网络的主要分类和特点

电力系统中网络应用的分类有许多种，根据业务类型、实时等级、安全等级等因素可分为生产数据传输和管理信息传送两大类，其它应用还包括音频传输和对外服务等。不同的应用系统对安全有不同的要求：如生产控制类基于TCP/IP的数据服务业务实时性较强，遥控遥调更与电网安全直接相关，可靠性要求较高；与计费相关的电力市场业务对安全性有特殊要求，不仅要可靠，还要保密；管理信息类业务突发性强、速率较高、实时性不强，但对保密性要求又较高。无论对于何种应用，都要求电力信息网络的防护措施能按各类业务的具体要求保证其安全运行。

二、电力调度系统对网络安全防护体系的要求

近年来，特别是随着电力市场化进程的加快，电力调度自动化的内涵也有了较大的延伸，由原来单一的EMS系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、雷电监视、故障录波远传、遥测、电力市场技术支持和调度生产管理系统等。电力信息网络是支持调度自动化系统的重要技术平台，实时性要求秒级或微秒级。其中发电报价系统、市场信息等电力市场信息系统由于需要与公网连接，因而还要求做加密和隔离处理。因此，要保障调度自动化的安全运行，就需要信息网络从应用系统的各个层面出发，按照其不同的安全要求，制定相应的防护策略，形成一整套完善的防护体系。

三、电力系统网络安全体系

（一）安全系统建设。安全系统的建设，是根据网络应用的安全需求，建立包括网络防火墙、入侵检测、漏洞扫描、安全审计、拨号网络安全、安全电子邮件和敏感数据保护、计算机防病毒、流量监控等在内的安全系统。安全系统建设中最重要环节的是整体系统规划。

（二）安全管理建设。在信息系统安全上，安全不仅仅是技术问题，更是一个管理的问题。因此，信息安全保障体系建设的下一个阶段就是安全管理建设。安全管理建设与安全策略建设密不可分，管理是在策略的指导下进行的，而管理经验和运行？管理之间的互动则为策略的制定提供依据。为此，有必要建立集中式、全方位、动态的安全管理中心。其目标在于：将与整体安全有关的各项安全技术和产品捏合在一个规范的、整体的、集中的安全平台上的同时，使技术因素、策略因素以及人员的因素能够更加紧密地结合在一起，从而提高用户在安全领域的各种分散投资的最终整体安全效益。

（三）安全策略建设。关于安全策略建设，尤其是安全策略的电子化和自动化管理，正在进行一个全方位的、动态的、持续的过程，遵循均衡、动态和立体性的原则，安全系统建设是基础，在恰当有效的安全策略的指导下，实施集中式、全方位、动态的安全管理是实现信息系统整体安全的有效保障。

四、对安全体系建设和完善的几点思路

信息系统安全保障体系的建设是一个全方位的、动态的、持续的过程，要完善已有的安全保障体系，满足企业网上应用系统安全需求，提出有效的安全解决方案，应从如下几个方面进行深入和细致的工作。

（一）对电力企业网络结构模型的分析。企业的网络结构模型可分为两层，一层是企业互联网络，一层是企业内部网络。所产生的安全需求也不同，那么相应的安全解决方案就不一样。

无论是公司本部或是下属企业，其内部网络的结构大同小异。均具有一个中心网络，提供公共应用服务，同时行使网络管理权利。各局域网也具有自己的服务器，或Web或应用服务器。这些局域都是直接连接到中心网络，共享公共应用服务，同时也提供自己的信息给其他单位共享。

（二）对网络层风险的分析。1.网络风险来源：（1）网络中心连通Internet之后，企业网可能遭受到来自Internet恶意攻击；（2）在Internet上广为传播的网络病毒将通过Web访问、邮件、新闻组、网络聊天以及下载软件、信息等传播，感染企业网内部的服务器、主机；更有一些黑客程序也将通过这种方式进入企业网；（3）企业网内部连接的用户很多，很难保证没有用户会攻击企业的服务器。事实上，来自于内部的攻击，其成功的可能性要远远大于来自于Internet的攻击，而且内部攻击的目标主要是获取企业的机密信息，其损失要远远高于系统破坏。

2.回避风险措施。基于以上风险，在上述两层网络结构中，网络层安全主要解决企业网络互联时和在网络通讯层安全问题，需要解决的问题有：（1）企业网络进出口控制（即IP过滤）；（2）企业网络和链路层数据加密；（3）安全检测和报警、防杀病毒。

重点在于企业网络本身内部的安全，如果解决了各个企业网的安全，那么企业互联扫安全只需解决链路层的通讯加密。

五、结束语

电力是关系到国计民生的基础产业，有很强的信息保密与安全需求。由于自身业务的需要，实现内部网络的互通，以及内部网络与Internet的互通，要求建立一个权限清晰、服务完善、安全到位的网络。由于不可避免地与外网相连，就必须时刻防备来自外部的黑客、病毒的威胁。为了维护电力信息安全，确保信息网络系统稳定可靠，网络安全体系建设极为重要。

参考文献：

篇6

【关键词】网络;数据;安全

2012年开始，某企业启动了企业网络安全优化工程。目的是为了实现在企业系统内，进行一体化管理，实现各分支网络之间互联互通。项目重点是建设好综合数据网络，实现所属单位局域网及厂、站信息传输通道全面接入;形成该企业综合业务处理广域网络。同时还将进一步建设专门的调度数据网络，实现“专网专用”，从而确保生产安全有序的开展。该企业生产、办公等各个领域当中，无论是企业内部管理还是各级机构间的远程信息交互，都将建立在网络基础之上，而通过网络进行交互的信息范围也涵盖了包括生产调度数据、财务人事数据、办公管理数据等在内的诸多方面，在这样的前提下，进一步完善企业网络架构，全局性和系统性地构建网络安全体系，使其为企业发展和信息化提供有力支持，已成为当前需要开展的首要工作之一。

1.网络安全技术架构策略

网络安全建设是一项系统工程，该企业网络安全体系建设按照“统一规划、统筹安排、统一标准、相互配套”的原则组织实施，采用先进的“平台化”建设思想、模块化安全隔离技术，避免重复投入、重复建设，充分考虑整体和局部的关系，坚持近期目标与远期目标相结合。在该企业广域网络架构建设中，为了实现可管理的、可靠的、高性能网络，采用层次化的方法，将网络分为核心层、分布层和接入层3个层次，这种层次结构划分方法也是目前国内外网络建设中普遍采用的网络拓扑结构。在这种结构下，3个层次的网络设备各司其职又相互协同工作，从而有效保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性。

2.局域网络标准化

（1）中心交换区域

局域网的中心交换区域负责网络核心层的高性能交换和传输功能，提供各项数据业务的交换，同时负责连接服务器区域、网络管理区域、楼层区域、广域网路由器和防火墙设备等，此外还要提供分布层的统一控制策略功能。具体到安全防护层面，可通过部署防火墙模块、高性能网络分析模块、入侵探测系统模块实现安全加固。

（2）核心数据服务器区域

因为数据大集中和存储中心已经势在必行，可建设专门的核心数据区域，并采用2立的具有安全控制能力的局域网交换机，通过千兆双链路和服务器群连接。在安全防护方面，可在通过防火墙模块实现不同等级安全区域划分的同时，部署DDOS攻击检测模块和保护模块，以保障关键业务系统和服务器的安全不受攻击。

（3）楼层区域

楼层交换区域的交换机既做接入层又做分布层，将直接连接用户终端设备，如PC机等，因此设备需要具有能够实现VLAN的合理划分和基本的VLAN隔离。

（4）合作伙伴和外包区域

提供合作伙伴的开发测试环境、与内部数据中心的安全连接及与Internet区域的连接通路。

（5）外联网区域

企业营销系统需要与银行等外联网连接，建议部署银行外联汇接交换机，通过2条千兆链路分别连接到核心交换机。并通过防火墙模块划分外联系统安全区域。

（6）网络和安全管理区域

为了对整个网络进行更加安全可靠的管理，可使用独立的安全区域来集中管理，通过防火墙或交换机模块来保护该区域，并赋予较高的安全级别，在边界进行严格安全控制。

3.统一互联网出口

对于该企业的广域网络，统一互联网络出口，减少企业广域网络与互联网络接口，能够有效减少来自外网的安全威胁，对统一出口接点的安全防护加固，能够集中实施安全策略。面对企业各个分支机构局域网络都与互联网络连接的局面，将会给企业广域网络安全带来更大的威胁。由于综合业务数据网络作为相对独立的一个大型企业网络，设置如此众多的互联网出口，一方面不利于互联网出口的安全管理，增加了安全威胁的几率;另一方面也势必增加互联网出口的租用费用，提高了运营成本。

由于该企业综合数据网的骨干带宽是622M，在综合数据网络上利用MPLS VPN开出一个“互联网VPN”，使各分支的互联网访问都通过这个VPN通道建立链接。通过统一互联网络出口，强化互联网接入区域安全控制，可防御来自Internet的安全威胁，DMZ区的安全防护得到进一步加强;通过提供安全可靠的VPN远程接入，互联网出口的负载均衡策略得到加强，对不同业务和不同用户组的访问服务策略控制，有效控制P2P等非工作流量对有限带宽的无限占用，能够对互联网访问的NAT记录进行保存和查询。

4.三层四区规划

提出“安全分区、网络专用、横向隔离、纵向认证”的总体防护策略，并提出了“三层四区”安全防护体系的总体框架。基于这一设计规范，并结合该企业网络的实际情况，未来公司的网络区域可以划分为企业生产系统和企业管理信息系统，其中企业生产系统包括I区和II区的业务;企业管理信息系统包括III区和IV区的业务。I区到IV区的安全级别逐级降低，I区最高，IV区最低。

在上述区域划分的基础上，可在横向和纵向上采用下列技术方式实现不同安全区域间的隔离。

（1）纵向隔离

在未来调度数据网建成后，将安全区I和安全区II运行在独立的调度数据网上，安全区III和安全区IV运行在目前的综合数据网上，达到2网完全分开，实现物理隔离。在调度数据网中，采用MPLS VPN将安全区I和安全区II的连接分别分隔为实时子网和非实时子网，在综合数据网中，则采用MPLS VPN将互联网连接和安全区III及安全区IV的连接分开，分为管理信息子网和互联网子网。

（2）横向隔离

考虑到I区和II区对安全性的要求极高，对于I区和II区进行重点防护，采用物理隔离装置与其他区域隔离;而在I区和II区之间可采用防火墙隔离，配合分布式威胁防御机制，防范网络威胁;考虑到III区和IV区之间频繁的数据交换需求，III区和IV区之间视情况采用交换机防火墙模块进行隔离，并在区域内部署IDS等安全监控设备，在骨干网上不再分成2个不同的VPN;由于外部的威胁主要来自于Intern过出口，因此可在全省Internet出口集中的基础上，统一设置安全防护策略，通过防火墙与III区、IV区之间进行隔离。

5.综合数据网安全防护

综合业务数据网，主要承载了0A、95598、营销、财务等应用系统，同时也在进行SCADA/EMS等调度业务的接入试点。

采用网络安全监控响应中心为核心的分布式威胁防御技术，对全网的病毒攻击和病毒传播进行主动防护，通过关联网络和安全设备配置信息、NetFlow、应用日志和安全事件，从中心的控制台实时发现、跟踪、分析、防御、报告和存储整个企业网络中的安全事件和攻击。同时分布式威胁防御手段不但用于对综合数据骨干网进行安全防护，而且通过建立2级安全监控响应中心，对包括综合数据网、企业本部局域网、分支机构局域网在内的全网设备进行监控。

篇7

关键词　企业网络安全　网络安全评估　风险评估　面向运行

一、引言

信息安全不是一个孤立静止的概念，信息安全是一个多层面的多因素的综合的动态的过程。在HTP模型中，信息安全建设是从体系建设过程、运行及改进过程、风险评估过程再到体系建设过程的一个循环往复的过程。没有绝对的安全，信息安全的技术是不断的前进的。所以面向企业网络的安全体系建设是一个需要在不断考察企业自身发展环境和安全需求的基础上，通过对现有系统的风险评估，不断改进的过程。整个安全体系统建设，不能一劳永逸，一成不变。因此，引入安全风险评估的概念和方法相当重要，它为企业网络的自身评估提供了良好的手段，是企业网络安全体系不断发展的动力。

二、风险评估的基本步骤和方法

进行风险评估，首先应按照信息系统业务运行流程进行资产识别，明确要保护的资产、资产的位置，并根据估价原则评价资产的重要性。在对资产进行估价时，不仅要考虑资产的市场价格，更重要的是要考虑资产对于信息系统业务的重要性，即根据资产损失所引发的潜在的影响来决定。为确保资产估价的一致性和准确性，信息系统应按照建立一个统一的价值尺度，以明确如何对资产进行赋值。还要注意特定信息资产的价值的时效性和动态性。

其次系统管理员、操作员、安全专家对信息系统进行全面的安全性分析。对系统进行安全性分析的方法包括调查研究、会议座谈、理论分析、进行模拟渗透式攻击等方法，可运用的分析技术包括贝叶斯信任网络法、事件树分析法、软件故障树分析法、危害性与可操作性分析法、Petri网法、寄生电路分析法以及系统影响和危险度分析法。

再次对已采取的安全控制进行确认。

最后，建立风险测量方法及风险等级评价原则，确定风险的大小与等级。按照风险评估的深度，风险评估方法可分为：①基本的风险评估方法：对组织所面临的风险全部采用统一、简单的方法进行评估分析并确定一个安全标准，这种方法仅适用于规模小、构成简单、信息安全要求不是很高的组织；②详细的风险评估方法：对信息系统中所有的部分都进行详细的评估分析；③联合的风险评估方法：先鉴定出一个信息系统中高风险、关键、敏感部分进行详细的评估分析，然后对其他的部分采取基本的评估分析。

在进行风险评估时，可采用定性或定量分析方法。定性评估时并不使用具体的数据表示绝对数值，而是用语言描述表示相对程度。由此得出的评估结果只是风险的相对等级，并不代表风险的绝对大小。

定量风险分析方法要求特别关注资产的价值损失和威胁的量化数据。对于具体环境的某一个安全风险时间发生的概率是安全威胁发生概率与系统脆弱点被利用概率的函数，根据联合概率分布计算公式可得出安全事件L发生概率为PL=TL×VL。其中TL是未考虑资产脆弱点因素的威胁发生的发生概率，VL是资产的脆弱点被威胁利用的概率。

目前风险评估工具存在以下几类：①扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；②人侵监测系统(IDS)：用于收集与统计威胁数据；③渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；④主机安全性审计工具：用于分析主机系统配置的安全性；⑤安全管理评价系统：用于安全访谈，评价安全管理措施；⑥风险综合分析系统：在基础数据基础上，定量、综合分析系统的风险，并且提供分类统计、查询、TOPN查询以及报表输出功能；⑦评估支撑环境工具：评估指标库、知识库、漏洞库、算法库、模型库。

三、面向运行的风险评估

由于还没有一个标准的建设程序和规范，因此在国内很少有企业在风险评估的基础上进行系统建设，而且很多情况下选择将网络一次性安装完毕。针对这种情况，我们觉得可以考虑采用面向运行的风险评估的方法，对已经建成的、正在运行的网络进行风险评估，查找问题，然后针对风险点，逐步加以建设完善。在此基础上，可对网络再进行一次风险评估。检查信息系统安全绩效，并为进一步提升安全性能做好准备。对于一个企业来讲，网络可以由多个功能模块组成，包括核心网络、服务器组、广域网、互联网、拨号用户等。

1.企业网络分析

企业园区网络主要包括核心网络、分布层网络、接人层网络、服务器网络等几个部分。各个部分都可能受到来自企业内部的安全威胁。(1)核心网络，核心网络主要实现核心交换功能，主要的威胁为分组窃听。(2)分布层网络，分布层网络为接入设备提供路由、服务质量和访问控制等分布层服务，完成核心网络与接入网络的信息交互，它是针对内部发起攻击的第一道防御。在这个网络中可能存在未授权访问、IP电子欺骗、分组窃听等威胁。(3)接人层网络，接入层网络是为企业内部网络最终用户提供服务。用户设备是网络中最大规模的元素，因此该部分网络可能存在大量的来自内部网络用户的安全威胁。如外来笔记本等不安全机器可接入内部网，对内部网的安全造成威胁，可能造成内部数据的泄露，网络受到恶意攻击；企业内部网上使用的电脑擅自拨号上互联网，造成一机多网，可能感染病毒，受到互联网上用户的攻击；内部网客户端的安全补丁和杀毒软件病毒库没有及时更新，无法有效地防范病毒，因此有病毒泛滥的风险等。(4)服务器网络，服务器网络因为向最终用户提供应用服务，存储大量的企业内部数据，通常会成为内部攻击的主要目标，因此未授权访问、应用层攻击、IP电子欺骗、分组窃听、信任关系利用、端口重定向等威胁时刻存在。

2.确定已经采取的安全控制手段

对于企业园区网应当采取的安全控制手段，在这里我们不做详细讲解。我们要做的就是根据网络安全管理的设计方案，结合上面确定的风险点，进行检查，确定在这些风险点上已经采取的安全控制措施，并确保这些措施切实有效。比如：(1)防火墙设置是否安全；(2)防火墙是否使用NAT地址转换；(3)是否安装入侵监测系统；(4)是否使用电子邮件内容过滤；(5)是否使用RFC2827和1918过滤；(6)拨号用户是否签订安全协议；(7)拨号用户是否进行强身份认证；(8)是否对用户线路采用拨号回送程序和控制措施；(9)是否对拨号上网用户流经关键接口的网络数据包进行监视记录。当然这只是需要确认内容的一小部分。在确认过程中需要做到的是耐心仔细，不放过每一个细节。同时我们应当与各个部门负责人和系统管理员协同工作，以便取得更大的成效。

3.确定风险的等级

我们需要使用一些扫描工具，对内部网络进行扫描，以便建立风险等级评价原则，确定风险的大小与等级。根据扫描结果，我们可以结合已经收集到的大量网络信息，进行认真比较和评估。最后我们可以总结出发现的问题，并提出化解风险的建议。

当然风险是客观存在的，通过风险评估的方法，能够在一个阶段内帮助解决网络安全问题，但并非一劳永逸。我们应该建立风险评估的良性循环机制，定期进行风险评估，以便不断的提升网络安全性能。

篇8

关键词：企业；网络安全；防护

中图分类号：TP393.08

随着计算机和网络技术的高速发展，网络已经成为人们生活和工作当中必不可少的一部分。大中型企业信息化建设随着网络系统的快速发展也在日新月异，网络和信息化已经融入到企业的生产和管理当中，对企业的正常运转越来越重要。随着大中型企业网络和信息化业务系统的日益增多，遭受网络安全威胁与攻击的可能性也大大增加，一旦遭受攻击导致网络和信息化系统服务异常，影响到生产的话，将会给企业造成极大的经济损失和社会负面影响。

1 企业网络安全防护的重要性和建设目标

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。网络安全的主要特性为：保密性、完整性、可用性、可控性和可审查行。

企业的网络与信息化系统应用的越多，企业对网络的依赖度就更高，目前大中型企业提高信息化发展水平已经是一种趋势，信息化的发展必然面临各种网络安全威胁，若不采取相应措施保护企业网络和信息化系统安全，则企业的网络和信息化系统将随时遭受攻击而瘫痪或崩溃，影响企业的生产秩序。

大中型企业网络所面临的严峻安全形势，使得各企业必须意识到构建完备安全体系的重要性。随着网络攻击的多样化，企业不能只针对单一方面进行网络安全防护，应该从整理着眼，建立完整的网络安全防护体系。完整的安全体系建设不仅要能有效抵御外网攻击，而且要能防范可能来自内部的攻击、入侵和泄密等威胁。

2 企业网络安全的隐患与危害

2.1 计算机病毒

计算机病毒出现的初期，其危害主要为删除文件数据、格式化硬盘等，但随着计算机应用和互联网技术的发展，计算机病毒通过网络进行疯狂传播，大量消耗网络资源，使企业甚至互联网网络瘫痪。

计算机病毒造成的最大破坏，不是技术方面的，而是社会方面的。计算机感染病毒后导致计算机的使用率减低，甚至导致企业、银行等关键信息泄露，造成社会声誉损失和商业风险。

2.2 黑客威胁和攻击

计算机信息网络上的黑客攻击事件越演越剧烈，目前以非法牟利为目的的黑客产业链已经成为新的暴力产业，黑客通过网络非法入侵计算机信息系统，肆意窃取信息系统里面存储的用户信息和关键数据等，给信息系统所有者和用户带来无法估计的损失。

2.3 内部威胁和攻击

企业在管理内部人员上网时，由于对内部威胁认识不足，所以没有采取全面的安全防范措施，导致内部网络安全事故逐年上升。机器都是人进行操作的，由于懒惰、粗心大意或者对设备的使用和业务不太熟练等原因，都有可能造成数据的损坏和丢失，或者企业机密信息泄露。另外还有一些企业员工，为了一己私利对企业的计算机网络系统进行攻击和破坏。不管是有意的还是偶然的，内部威胁都是一个最大的安全威胁，而且是一个很难解决的威胁。

2.4 系统漏洞

许多网络系统和应用信息系统都存在着这样那样的漏洞，这些漏洞可能是网络建设考虑不全和系统本身所有的。另外，在企业信息化应用系统建设时，由于技术方面的不足或者为了远程维护的方面导致应用系统在开发过程中存在漏洞或后门，一旦这种漏洞或后门被恶意利用，将会造成非常大的威胁。

3 企业网络安全的技术防护措施

完整的网络安全防护体系，必须具体综合的防护技术，对攻击、病毒、访问控制等全面防御，目前企业网络安全防护技术主要有以下几种：

3.1 防火墙隔离

防火墙提供如下功能：访问控制、数据包过滤、流量分析和监控、拦截阻断非法数据连接、限制IP连接数等。此外通过防火墙将内网、外网和DMZ（非军事区）区划分不同的等级域，限制各域之间的相互访问，达到保护内网和公共服务站点安全的目的；

3.2 VPN安全访问系统

VPN（虚拟专用网络）是在公用网络上建立专用网络的技术。VPN属于一种安全的远程访问技术，通过在公网上建立一个私有的隧道，利用加密技术对数据进行加密，保证数据的私有性和安全性。

3.3 入侵检测系统与入侵防御系统

入侵检测系统（Intrusion Detection System）是一种对网络传输进行即时监视，在发现可疑传输时发出警报网络安全设备。入侵检测系统通过对来自外部网和内部的各种行为的实时检测，及时发现未授权或异常现象以及各种可能的攻击企图，并记录有关事件，以便网管员及时采取防范措施，为事后分析提供依据。入侵检测系统采用旁路部署模式，将网络的关键路径上的数据流进行镜像和收集分析。

入侵防御系统（Intrusion Prevention System）是一种在线部署到网络关键路径上的产品，通过对流经该关键路径上的网络数据流进行2-7层的深度分析，能精确、实时的识别、阻断、限制各类网络攻击和泛洪攻击，进行主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断。

篇9

关键词：网络安全技术 企业网络 解决方案

中图分类号：TN711文献标识码： A 文章编号：

随着计算机网络技术的飞速发展，自由的、开放的、国际化的Internet给政府机构、企事业单位带来了前所未有的变革，使得企事业单位能够利用Internet提高办事效率和市场反应能力，进而提高竞争力。另外，网络安全问题也随着网络技术的发展而真多，凡是有网络的地方就存在着安全隐患。在2007年1月举行的达沃斯世界经济论坛上，与会者首次触及了互联网安全问题，表明网络安全已经成为影响互联网发展的重要问题。由于因特网所具有的开放性、国际性和自由性在增加应用自由度的同时，网络安全隐患也越来越大，如何针对企业的具体网络结构设计出先进的安全方案并选配合理的网络安全产品，以及搭建有效的企业网络安全防护体系是摆在计算机工作者面前的巨大课题。

一、企业网络安全隐患分析 企事业单位可以通过Internet获取重要数据，同时又要面对Internet开放性带来的数据安全问题。公安部网络安全状况调查结果显示：2009年，被调查的企业有49%发生过网络信息安全事件。在发生过安全事件的企业中，83%的企业感染了计算机病毒、蠕虫和木马程序，36%的企业受到垃圾电子邮件干扰和影响。59%的企业发生网络端口扫描，拒绝服务攻击和网页篡改等安全危机。如何保护企业的机密信息不受黑客和工业间谍的攻击，已成为政府机构、企事业单位信息化健康发展所要解决的一项重要工作。随着信息技术的发展，网络病毒和黑客工具软件具有技术先进、隐蔽性强、传播速度快、破坏力强等特点。这主要表现在： 1.网络安全所面临的是一个国际化的挑战，网络的攻击不仅仅来自本地网络的用户，而是可以来自Internet上的任何一个终端机器。2.由于网络技术是全开放的，任何一个团体组织或者个人都可能获得，开放性的网络导致网络所面临的破坏和攻击往往是多方面的，例如：对网络通信协议的攻击，对物理传输线路的攻击，对硬件的攻击，也可以是对软件的攻击等等。3.用户可以自由地使用和各种类型的信息，自由地访问网络服务器，因为网络最初对用户的使用并没有提供任何的技术约束。

二、企业网络安全解决方案

（一）物理隔离方案。其基本原理为：从物理上来隔离阻断网络上潜在的攻击连接。其中包括一系列阻断的特征，如：没有连接、没有命令、没有协议、没有TCP/IP连接，没有应用连接、没有包转发，只有文件“摆渡”，对固态介质只有读和写两个命令。其结果是无法攻击、无法入侵、无法破坏。比如可以采用DShield/宇宙盾通用双向网络信息安全隔离网闸。

（二）网络系统安全解决方案。网络应用服务器的操作系统选择是一个很重要的部分，网络操作系统的稳定性和安全性能决定了服务器的性能。网络操作系统的系统软件，管理并控制着计算机软硬件资源，并在用户与计算之间担任着重要的桥梁作用。一般对其采用下列设置保障其基本安全

1.关闭不必要的服务。2.制定严格的账户策略。3.科学的分配用户账户权限。4.科学的安全配置和分析。 （三）入侵检测解决方案。在现有的企业网络安全防护体系中，大部分企业都部署了防火墙对企业进行保护。但是传统防火墙设备有其自身的缺点。如果操作系统由于自身的漏洞也有可能带来较大的安全风险。根据企业网络的实际应用情况，对网络环境安全状况进行详细的分析研究认为，对外提供应用服务的服务器应该受到重点的监控和防护。在这一区域部署入侵检测系统，这样可以充分发挥IDS的优势，形成防火墙后的第二道防线，如果充分利用IDS与防火墙的互动功能优势，则可以大大提升动态防护的效果。

（四）安全管理解决方案。信息系统安全管理机构是负责信息安全日常事务工作的，应按照国家信息系统安全的有关法律、法规、制度、规范建立和健全有关的安全策略和安全目标，结合自身信息系统的安全需求建立安全实施细则，并负责贯彻实施。 单位安全网（即内网）系统安全管理机构主要实现以下职能：

1.建立和健全本系统的系统安全操作规程。

2.确定信息安全各岗位人员的职责和权限，实行相互授权、相互牵连，建立岗位责任制。

3.审议并通过安全规划，年度安全报告，有关安全的宣传、教育、培训计划。

篇10

规范网络秩序，营造良好舆论环境

规范网络秩序，营造良好舆论环境，是治国理政、定国安邦的大事。指出：“网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好，符合人民利益。网络空间乌烟瘴气、生态恶化，不符合人民利益。”的讲话，指出了当前网络空间存在的问题和亟待改善的现象，蕴含着对广大网民的期待。网络不是法外之地，同样需要建立良好的秩序。我们要一手抓正能量传播，一手抓网络生态治理，大力培育积极健康、向上向善的网络空间文化，为广大网民特别是青少年朋友营造一个风清气正的网络生态环境。

建设网络城市，让人民群众有更多获得感

近年来，国家对互联网的重视程度前所未有，“互联网+”、中国制造2025、创新创业、大数据等系列重大政策密集出台。全面落实国家战略，促进互联网向更高目标、更深层次发展，是我们共同的使命和任务。我们要全面落实“宽带中国”战略，大力实施“提速降费”行动，创建“全光网”城市，实现全市所有区县光纤网络全覆盖，不断提升100M光纤接入能力覆盖城市家庭比例，提升4G网络服务能力，率先引入5G网络部署，推进IPv6在LTE网络中的部署应用。推动区域通信网络资费改革，鼓励民营企业参与宽带建设运营，促进良性竞争，提升宽带性价比，加强电信资费公示和监测，进一步完善流量跨月不清零、流量转增等服务，让用户享受更多优惠，让人民群众有更多获得感。

坚持多措并举，强化网络安全体系化建设

篇11

关键词：民航企业；信息化建设；信息安全技术

0引言

互联网时代的到来，信息技术与网络技术已然成为人们生产生活的重要技术支撑，在民航领域中，信息化建设的进程也得以高效发展。与此同时，民航企业信息系统的安全隐患及安全防护问题也逐渐暴露，成为信息化建设过程中亟须应对与解决的问题。

1网络信息安全制度的建设

1.1建设网络信息安全制度

据调查，民航信息系统安全事件的发生，问题的主要成因在于未充分明确相关责任以确保网络信息安全管理工作的全面落实。基于此，民航企业需要充分结合自身的是情况，对网络信息安全管理责任制的健全及完善，充分明确人员相关责任，促进民航信息化建设水平的提升，促进民航的健康发展。民航企业应当搭建内部网络信息安全规范体系，以之为基础开展企业网络信息安全管理及部署工作，确保民航信息安全水平的有效提升。民航企业应当时刻紧随时展步伐，对网络信息安全保障体系加以完善，建立网络信息安全防范体系，采取合理的等级保护与分级保护措施，维护网络信息安全。民航企业应当将网络信息安全作为信息化建设的发展方向，积极配合并响应国防部、网络安全部门、公安机关等行政机关部门的规定与要求，实时更新并优化安全防护措施，实现网络安全整体覆盖范围的扩大。

1.2细分网络安全保障体系

对于民航企业而言，其信息网络安全保障体系的建设，主要包括三个方面，即信息网络安全技术体系、信息网络安全管理体系及信息网络安全运行维护体系。这三个安全防护体系是相互依存与相互促进的。信息网络安全管理体系的搭建，应当作为信息安全技术体系保障的重要方向，技术体系也是保障信息网络安全的技术设施与基础服务的重要支持。信息网络安全管理体系的建设也要求网络信息安全技术应用水平不断提升。民航企业的网络信息安全体系的建设，可以充分参考美国国家安全局所提出的IATF框架的网络安全纵深战略防御理念、美国ISS公司所提出的P2DR动态网络安全模型等相应信息网络安全防护体系，搭建“打击、预防、管理、控制”于一体的网络通信安全综合防护体系理念，是当前国际上最为先进、最为有效的安全保障框架体系，对重要体系采取有效的安全防护措施，搭建民航企业的信息安全防护与控制中心，实现对于信息网络体系的安全监控、安全终端、安全平台、主机安全、数据安全、应用安全相互结合、相互统一的信息安全平台建设，信息安全防护应当涵盖物理层面、终端层面、网络层面、主机层面、数据层面及应用层面，保证安全防护的全面性及全方位性[1]。

1.3发展民航网络信息安全产业

随着时代的发展，民航企业开始更多地强调民航网络信息安全事业的发展。在开展民航企业网络信息安全产业建设时，应及时跟踪和了解国际网络信息安全产业发展动向，了解信息安全防护技术水平的提升渠道，积极谋求与其他发达国家之间的技术合作，大力引进先进的管理技术与管理手段，大力培养并教育网络信息安全技术人才。民航企业要大力引进技术水平与管理理念较为先进的人才，并对所引进的人才采用科学合理的技术培训与安全教育措施，不断增强相关人员对于网络信息安全防护的意识与理解能力，安全理念先进、技术水平高超、应急处置及时的网络信息安全管理人才队伍。民航企业要搭建科学完善的网络信息安全管理体系，充分保证信息网络安全组织、网络信息安全流程、网络信息安全制度相互结合，搭建科学合理的安全管理体系。

2民航信息安全保障体系的建设

2.1国家信息系统安全等级保护

以ISO27001信息安全管理要求为基础，结合国家信息系统安全等级防护管理方面，对信息系统安全防护安全管理基本要求加以明确，开展民航企业网络安全防护及管理体系的建设工作。网络信息安全管理体系的设计，应当涵盖安全组织架构、安全管理人员、安全防护制度及安全管理流程等多个方面，结合自身实际需求，设计科学合理的网络信息安全管理体系等。对于网络系统安全组织架构的建设与完善，组建涵盖安全管理、安全决策、安全监督及安全执行等层次的管理架构，设置相应职责岗位，对安全管理责任进行分解与落实，做好人员录用、人员调动、人员考核及人员培训等相关方面的人员管理工作。民航企业在制定安全管理制度时，应建立网络信息安全目标、安全策略、安全管理制度及安全防护技术规范等多个层次，搭建安全管理制度体系。在建立安全管理流程方面，通过建立科学合理的组织内部安全监督检查与优化体系，保证网络信息安全管理工作的顺利开展。将内部人员与第三方访问人员、系统建设、系统运维、物理环境的日常管理规范化，将日常的变更管理、问题管理、事件管理、配置管理、管理等电子化、流程化与标准化[2]。

2.2合理运用先进安全防护技术

2.2.1入侵检测技术

目前，对信息安全防护技术手段研发与应用也愈发普遍，其中入侵检测技术的应用可以取得较好的技术效果。入侵检测技术的应用主要是通过对网络行为、网络安全日志、网络安全审计信息等技术手段，有效检测网络系统非法入侵行为，判断网络入侵企图，通过网络入侵检测以实现网络安全的实时监控，有效避免网络非法攻击的可能。通过应用入侵检测技术，民航企业可以构建入侵检测系统，能够对系统内部、外部的非授权行为进行同步检测，及时发现和处理网络信息系统中的未授权和异常现象，尽可能减少网络入侵所造成的损耗与安全威胁。为此，可采取NetEye入侵检测系统，该系统通过深度分析技术，实现对于网络环境的全过程监控，及时了解、分析并明确网络内部安全隐患及外部入侵风险，作出安全示警，及时响应并采取有效的安全防范技术，实现网络安全防护层次进行有效延伸。同时，该入侵检测系统具备较为强悍的网络信息审计功能，就可以实时监控、记录、审计并就重演网络安全运行及使用情况，用户能够更好地了解网络运行情况。

2.2.2文件加密技术

对称加密技术是常见的文件加密技术之一，所采用的密钥能够用以加密与解密，在技术应用时，以块为单位进行数据加密。这一方法在实际应用过程中，一次能够加密一个数据块。对对称加密技术的优化与改进，主要可采用密码块链的模式加以实现，即通过私钥及初始化向量进行文件加密[3]。如上所述，随着网络信息安全受到更多重视，民航企业信息化建设水平在进一步提升其网络建设水平的同时，也更多地意识到网络信息安全的重要性与必要性，不仅需要构建行业信息安全防御体系，还应当建立健全网络信息安全制度，构建网络安全防护人才团队。在此基础上，民航企业还可以充分利用文件加密和数字签名技术，通过该技术，可以合理避免相关数据信息受到窃取、篡改或遭到损坏而导致网络信息安全受到影响。文件加密和数字签名技术应用过程中，可以更好地对网络信息安全提供保证、维护相关信息数据的安全性。

篇12

关键词：网络系统 互联网 系统架构

面对全球市场化的挑战，企业要实现跨地区、跨行业、跨国经营的战略目标，要把工作重点转向技术创新、管理创新和制度创新上来，信息化是必然的选择。油田的数字化建设为油田的生产经营业务提供安全、稳定、高效、可靠的网络服务目标，把工作重心转移到确保“数字化管理”的网络需要上来，紧紧围绕中国石油规划的计算机局域网改进项目实施，主要从计算机主干网络、网络安全体系、网络数字化管理等方面，提供了强有力的通信信息服务保障。油田的数字化建设对计算机网络的安全性提出了更高的要求。本文分析油田网络安全体系和网络管理。

一、网络系统架构

遵循中国石油局域网建设和运维规范，结合各地油田实际，科学规划，从网络架构、设备配置、系统承载能力、网络带宽等全面构架网络。

网络架构设计。按照核心层、汇聚层、接入层三层架构的设计原则，在主要油气区设置网络汇聚节点，提高网络覆盖面，满足油气生产需要。

网络拓扑结构采用双星型结构。自有电路与社会电路资源结合使用，在链路层面提高了油气区网络的可靠性和安全性。对于主要油气区域的汇聚节点，采用网状组网方式，增加到其他汇聚节点的千兆级电路，提高网络冗余度。

设备配置。主干节点设备采用冗余配置。西安网络核心、各网络汇聚节点及重要三级节点的路由器、交换机，采用双设备冗余配置。用设备与备份设备双机模式工作，在系统或者硬件故障时候应用自动切换，在硬件层面提高主干网络的安全性、可靠性。

网络带宽。油田的数字化管理全面展开，计算机网络的带宽需要按照业务需求进行规划。将网络业务分为生产、办公、住宅三类，逐一预测带宽。将主干网络承载的主要业务生产数据按照其业务层级.从井站、作业区、厂部到公司，逐级分解，明确了主干网络的带宽需求，初步确定了网络核心与各汇聚节点之间采用双2.5Gbps链路互联，三级节点至网络汇聚节点采用1―2个1000Mbps-ff联，核心网络采用双万兆互联的链路方案。为确保链路的可靠性，主要节点之间采用双链路互联。

二、网络安全体系的规划和构建

如何规划和设计好网络安全体系，是油田数字化管理基础网络建设的重中之重，也是支持各种信息化应用系统运行的关键所在。按照中国石油的统一规划，各油田计算机网络，对上，与中国石油总部内部网络互联，对外，可以就地通过电信运营商接入Internet。这样就可以从结构上将网络安全分为内部安全、外部安全进行考虑。油田在打造畅通、可靠的油田计算机主干网络的同时，同步做好网络安全工作，从网络的边界层、核心层、接入层及安全体系等方面进行统筹规划，已初步形成了边界严防护、核心重监控、桌面勤补漏、全网建体系的网络安全管理理念。网络安全性得到加强，非正常应用流量减少90%。在边界层，采用防火墙及IPS技术，实现对来自外网的安全第一级防护；在网络核心层，首次在企业网应用了流量清洗技术，不仅实现了外网第二级安全防护，还实现企业内部各个重要业务及用户之间的流量监测及攻击性数据清洗；在接入层，采用漏洞扫描系统，不定期对敏感业务系统进行扫描和加固，及时发现安全隐患并予以消除；在主干网方面，以建立网络安全体系为核心，加强网络安全管理，初步建立起了主干网的安全评估体系。

1、互联网网络安全。在与互联网的接入部分，按照安全区、信息交换区、互联网接入区三个安全区进行建设，规划两台防火墙，考虑到出口网络万兆升级以及防火墙处理能力，同时为了降低出口网络复杂度，选择自带IPS功能的防火墙，通过防火墙设备完成出口网络

的安全防护和入侵防护功能。防火墙选型上既考虑国内产品自主知识产权的优势、又兼顾国外产品高性能及稳定性好的特点。

2、内网安全。通过对目前业界各类安全技术的跟踪和研究，重点按照搀D层做清洗、桌面做漏洞扫描及加固、全网进行安全体系建设三方面强化内部网络安全建设。核心网络流量监控及清洗。一方面，通过建立流量模型，保障主要业务。在网络核心。采用相对串接、镜像等方式先进的分光技术，部署旁路流量分析监管设备，通过分析网络核心、互联网出口等流量情况，提炼重要业务的特性，建立全网主要业务流量模型，为网络规划建设提供依据。对于P2P等对于网络带宽消耗较大的业务，设定阀值及流量管理规则，使P2P等业务对用户网络访问影响降到最低。另―方面，通过对异常流量的清洗，保障核心业务及网络的安全。针对目前在网络中频繁发生的病毒攻击等行为，选择旁路部署的网络异常流量清洗设备，通过采用策略路由和BGP引流方式实现流量监控与异常流量的清洗，使得网络安全管理变被动为主动、由事后分析到事前防范、由未知到可视。据统计。2010年3月份就成功消除安全事件1600多起，较大提高了网络的稳定性和可靠性。各类安全策略及规则库的及时更新升级，也使得系统能应对各类新的攻击。

3、安全评估建设及桌面漏洞扫描。在网络核心部署漏洞扫描系统，不定期对相关业务网络进行扫描，发现漏洞，及时进行系统加固，减少安全事件的发生，提高网络稳定性。在此基础上。与国家有安全资质的第三方公司合作，开展安全体系建设，逐步建立较为完善的网络安全管理体系。

三、网络管理

经过计算机网络的大规模建设发展，网络运维工作量规模成倍增长，而网络运维人员没有增加，如何高效运维已经成了追在眉睫的问题，通过不断的调研和测试，我们认为目前的网络厂家的专业化网管软件、第三方网管软件、国内的网络软件之中，第三方的较为实用，纵观CA、HP等厂家的系统，Solarwinds成为目前比较适合单位实际，能快速高效部署和运维的一套经济实用的系统。主要实现了以下几个方面的开发和应用：实现对全网的网络设备包括路由器、交换机、防火墙、服务器等的实时监测，涉及CISCO、中兴、H3C、华赛、Junipier、飞塔等多个厂家的产品，监测参数包括CPU、内存、带宽、会话数等；实现对各类故障的实时告警和管理，以短信等方式及时提醒运维人员；实时展现全网拓扑结构，以图形化界面友好展示网络畅通情况；实现对全网设备的配置自动备份，能进行配置比对，方便技术人员分析设备运行情况；量化统计分析网络及设备的可用性等指标；灵活定制各类报表，方便决策分析和统计。通过自定义方式建立起来的资源管理，极大方便了网络基础数据和资料的管理。

四、结论

在近一年多的实际运维中，主干网络未出现中断、出口通畅，网络可用性达到l00%。网络整体服务能力的各项指标明显提高：网页平均打开时间由15ms降低到7ms；主干带宽利用率保持

参考文献

[1] 程泽兵. 构建油田网络安全防护体系的研究[J]. 中国科技信息. 2005（19）

[2] 宋永鑫，李国庆. 油田网络安全初步探讨[J]. 油气田地面工程. 2005（01）

篇13

【关键词】企业数字档案馆；安全体系；网络管理

企业档案馆的安全保障体系建设主要通过两方面途径实现。一是按照信息安全等级保护的要求，采用相应安全保障技术方法，配备必要的软硬件设施。二是建立健全数字档案馆安全管理制度，并严格遵照实施。

数字档案馆的安全体系主要包括网络平台安全、信息系统安全和档案数据安全三大方面。档案数据安全是要保证数字档案信息的可靠、可用、不泄密、不被非法更改等。系统及其网络平台安全是要保持系统软硬件的稳定性、可靠性、可控性。

一、安全技术防范措施

数字档案馆的安全技术防范措施包括：档案实体安全措施、网络安全措施、系统安全措施、应用安全措施和数据安全措施。

1.档案实体安全措施。档案实体以各种载体形式存在，并存放于档案库房。为了使档案实体达到档案安全管理的“八防”，除了采取传统的档案实体安全保管措施之外，还需利用以下现代技术手段，提高管理的有效性、智能化。（1）自动温湿度控制系统：由中央控制服务器集中自动控制档案库房的空调、除湿机、空气清新机等终端设备，为档案的存放保管提供适宜的温湿度条件。（2）视频监控系统：数字档案馆的重要出入口安装视频监控设备，重点部位（如保密库房、机房）安装红外报警、摄像联动监控，实现对所辖区域的安全监控。（3）自动消防报警及灭火系统：建设档案库房自动消防报警及灭火系统，提高档案实体对应火灾的自动高效防范能力。

2.网络安全措施。（1）防火墙：网络安全是数字档案馆整个安全体系的根基，必须放在首要位置考虑。从安全考虑，必须在整个企业局域网总入口处加载硬件防火墙，确保企业局域网的安全。企业档案馆根据实际应用，可以在防火墙上加载对应用服务的访问控制，如对档案门户网站只开放80端口服务，允许所有地址的访问；而对于综合档案信息系统，限制外网地址的访问，指定专网地址的访问。（2）入侵检测系统：为防范外网的恶意攻击和数据窃取，在企业局域网关键地点部署入侵检测系统，及时发现网络攻击事件并予以防护、向管理员发出告警。（3）网络防病毒系统：建立企业网络病毒防护系统，保证企业企业局域网免受网络病毒的侵害。

3.系统安全措施。系统平台安全管理一方面可以利用操作系统自身安全机制进行合理的配置，另一方面可以通过采用一些系统平台管理软件来实现。（1）操作系统的安全措施：操作系统的安全访问控制一方面可以通过用户账号、密码、用户组方式登录到服务器上，在服务器允许的权限内对资源进行访问、操作。另一方面可以基于TCP/IP协议，通过对文件权限的限制和对IP的选择，对登录用户的认证保护。（2）补丁程序：采用最新版本的操作系统，并及时安装补丁程序。（3）服务过滤：关闭系统上的一些不需要的服务。（4）对网络以及各个子系统管理员权限进行严格划分：严格控制操作系统用户授权，并控制每个用户的对应目录的操作权限，非必要情况下不以系统管理员的用户登录。（5）计算机口令设置：对口令的设置进行有效的管理，限制口令复杂度和有效期限。（6）安装系统加固程序：安装系统安全防范产品提升系统的安全性。如系统防病毒软件、系统漏洞检测及弥补软件、系统补丁检测和自动升级软件、系统木马检测软件等等。

4.应用安全措施。（1）权限控制：在系统中将用户分类，对各类用户的权限进行明确的设定，并进行严格的控制。系统设计时，可采用定义角色的方法，来为每一类具有相同权限的人员定义一个角色，来方便控制人员的权限。（2）日志管理：系统通过记录用户操作日志来加强系统的安全性，以便管理员可以对恶意破坏数据过程进行审计。提供登录日志、操作日志和数据访问日志三类日志。

* 用户登录日志：记录用户成功登录（退出）档案系统的事件。用户登录指用户由档案系统外成功登录进档案系统。

* 用户操作日志：记录用户在档案系统中所进行的一些重要操作事件。例如：全宗管理、部门管理、档案类型管理等。

* 数据访问日志：记录用户对档案数据本身的访问。例如，对档案数据条目的删除。对电子文件的浏览、下载等。

5.数据安全措施。（1）数据传输安全控制：综合档案管理系统需提供对电子原文的加密处理，电子文件先经过系统提供的加密功能加密，以加密状态传输；客户端利用时，采用系统专用原文浏览器，浏览器内部提供对文件解密功能，如果在传输过程中信息被截获，截获的信息如果不在我们专用原文浏览器中阅读，打开后是乱码状态，保证了电子档案在网络中传输的安全性。（2）数据接口安全控制：综合档案管理系统对提供的数据接口和WEBService服务进行安全控制：综合档案管理系统对外部系统提供相关的接口和服务，保证没有权限的人不能获取对应的服务，或者不信任的系统不能访问对应的接口。（3）电子文档防篡改：采用软件生成电子原文校验码可以及时获得被篡改文件的名字，方便快捷的找到被篡改的电子文件。对电子文件进行锁定操作（主要针对大量的office word、excel文件），用户进行篡改后，原文件内容不会彻底消失，会以批注的形式存在，方便于恢复文件内容。（4）电子文件防扩散：电子文件的防扩散功能可以为文档资料的安全防护以及非法传播提供安全保障。当档案管理系统为利用者赋了原文下载权限后，用户在下载原文时系统将下载到利用者本地的文件进行数据加密转换，转换后的电子文件必须用系统提供的阅读工具来读取，转换后的文件完全保持原文的版式，特有格式文件具有防篡改的功能。（5）数据备份和容灾恢复机制：采用主流备份存储设备和专业备份软件，为重要档案信息资源制定存储备份策略，自动/手动、本地/异地、全备份/增量备份、备份时间等。为了应对天灾等突发事情，需建立相应的预警预案，并制定相应的容灾恢复机制。

二、安全管理保障措施

在建设数字档案馆安全防护体系时，仅有安全技术防护而无严格的安全管理保障体系相配合是难以保障系统运行安全的。安全管理保障体系包括安全管理组织、安全标准体系、安全规章制度建设、安全服务体系、安全管理手段。

1.安全管理组织。建立完整的安全管理组织体系，具体负责安全保障体系建立的规范、组织实施、运维管理等工作。

2.安全标准体系。安全标准规范体系是支撑数字档案馆安全保障体系建设的需要手段，是系统互联互通、业务协调、信息共享所必须遵守的技术准则。

3.安全规章制度。数字档案馆涉及面广、情况复杂，管理的制度化程度极大地影响着整个平台的安全，数字档案馆的建设、运行、维护、管理都要严格按制度执行。安全规章制度主要有：网络、机房、服务器管理规范，数字档案信息安全存储管理规范，个人PC和客户端的安全操作规范和数字档案应用系统的安全操作规范。

篇14

关键词:企业网络;网络安全;园区网络;边界网络

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)09-2097-02

Design of Enterprise Network Security Architecture

XU Shan-mei

(Huanggang Municipla Bureau of Radio and Television, Huanggang 438000, China)

Abstract: In the e-government and e-business applications today, the rapid development of information security issues become increasingly acute. In this paper, from a technical point of view the factors described how to secure network architecture design. With the actual situation of enterprise networks, using modular design concept, the corporate network is divided into two parts: the enterprise campus networks and enterprise perimeter network, analysis of the key technologies.

Key words: enterprise network; network security; campus network; perimeter network

网络是整个企业信息资源的基础,也是整个安全体系的基础。什么样的网络结构决定了我们应采用什么样方法来进行安全设计,安全的网络结构设计和相关技术手段的应用是整个安全体系建设的重要部分[1-2]。本人在总结企业网络和应用特点的基础上,引入模块化设计的方法,将企业的网络划分为企业园区网络和企业边界网络两个部分。其中园区网络又分为核心模块、分布层模块、接入层模块、服务器模块、分布边界模块;边界网络分为公司互联网模块、VPN 和远程接入模块、电子商务模块和广域网模块。针对每个网络模块,着重分析了具体的信息流情况,给出了如何进行安全的网络结构设计、如何有针对性地在各个网络设备以及安全设备上采取安全措施的方法,并且阐述了整个结构模型针对前面提出的各种攻击手段的缓解作用。之后针对整个设计方案,结合实际应用,列举了一些企业在设计自身网络安全时可所采用的变动方法。应该说给出了一套详细、具体、可操作性强的安全的网络结构设计方案。

1 企业网络模块化构成

随着企业的不断壮大,企业网络发展要求也日益提高,因此本文在设计网络安全体系结构时,采用了模块化的方式。即将企业的网络划分成不同的功能模块,在整体网络安全设计时实现网络各功能块之间的安全关系,同时,也可以让设计者逐个模块的实施安全措施,而并不需要在一个阶段就完成整个安全体系结构。

我们把企业网络分为企业园区网和企业边界网络两个大的部分。其中,企业边界网络是企业内部网络与电信服务提供商之间的过渡。对每个功能区中的模块进行了细化,这些模块在网络中扮演特定角色,都有特定的安全需求,但图中的模块规模并不代表其在实际网络中的大小。例如,代表最终用户设备的接入层网络可能包括80%的网络设备。虽然大多数已有企业网络都不能轻而易举的划分为明确的模块,但此方式可以指导我们在网络中实施不同安全功能[3]。各个企业的网络都可以对照此结构找到共性。在企业的实际网络中,可能有些模块不存在,或者两个模块相合并了,也可以根据后面的安全设计方式结合实际,找到安全解决方案。

2 企业园区网安全设计

这里的企业园区网可以看成是企业的内部网络,包括核心网络、分布层网络、接入层网络、服务器网络和边界分布网络五个模块。下面将从每个模块入手,着重分析每个网络模块的安全设计和安全措施。

2.1 核心网络模块安全

这里的核心网络模块和其他任何网络体系结构中的核心模块一样。它主要是将信息流尽可能快速的从一个网络传送和交换至另一个网络。

设计说明:核心网络设备建议采用性能较高的第三层交换设备,并采用冗余热备份的结构,以保证核心网络的可靠性和稳定性。

主要设备:第三层交换-将生产网络数据从一个模块传送和交换至另一个模块;所缓解的威胁:分组窃听-使用限制窃听有效性的交换基础设施。

2.2 分布层网络模块安全

分布层网络模块设计的目标是向接入层交换机提供路由、服务质量(Qos)和访问控制等分布层服务。数据请求从这些交换机传至核心,响应则以相反途径进行。

设计说明:除了标准网络设计基础外,也应对交换机的配置实施优化,以便增加企业用户的安全性。入侵检测不在该模块中实施,它在包含最可能因其内容而遭攻击的资源(服务器、远程接入、互联网等)的模块中实施。分布层模块是针对内部发起攻击的第一道防御。通过使用访问控制,它可以减少一个部门访问另一部门服务器上保密信息的机会。

主要设备:第三层交换机-集中接入层网络中的第2 层交换机并提供高级服务;所缓解的威胁:未授权访问-针对服务器模块资源的攻击受到特定子网第3层过滤的限制;IP电子欺骗-RFC 2827过滤中止了大多数电子欺骗企图;分组窃听-限制了窃听有效性的交换基础设施。

2.3 接入层网络模块安全

接入层网络主要包括最终用户工作站、IP电话及其相关的第2层接入的网络设备。其主要目的是向最终用户提供服务。

设计说明:因为用户设备一般来说是网络中最大规模的元素,从安全角度来说,接入层网络提供了主要的访问控制功能。

主要设备:第2层交换机――向电话和用户客户端提供第2层服务;用户客户端-向网络上的授权用户提供数据服务;IP电话-向网络上的用户提供IP电话服务。

所缓解的威胁:分组窃听使用交换基础设施和缺省VLAN服务限制窃听的有效性;病毒和木马应用-基于客户端的病毒搜索可预防大多数病毒及多数木马。

2.4 服务器网络模块安全

服务器模块的主要目标是向最终用户和设备提供应用服务。服务器网络上的信息流由第3 层交换机中的主机入侵检测进行检查。

设计说明:服务器网络通常会成为内部攻击的主要目标,因此仅依靠有效口令不能提供全面的攻击保护。使用基于主机和网络的IDS、专用VLAN、访问控制以及及时的系统更新(保持病毒库以及最新补丁同步),可以实现对攻击的全面响应。在这里NIDS既可以采用三层交换机上自带的IDS功能模块,也可以采用另外购置NIDS产品,通过交换机端口镜像的方法进行监控。

主要设备:第3层交换机-向服务器提供第3层服务器并用NIDS检查通过服务器网络的数据;公司和部门服务器-为整个系统提供各种应用服务;内部邮件服务器-提供smtp和pop3服务。

所缓解的威胁:未授权访问-通过使用基于主机的IDS和访问控制缓解;应用层攻击-操作系统、设备和应用与最新安全版本保持同步,而且由基于主机的IDS保护;IP电子欺骗-使用防止源地址电子欺骗的RFC 2827;分组窃听-交换基础设施限制窃听的有效性;信任关系利用-专用VLAN防止同一子网上的主机进行通信;端口重定向-基于主机的IDS可防止安装端口重定向。

2.5 边界分布网络模块安全

此模块的目的是在边界集中来自外部各元素的连接,比如广域网联接、VPN连接等。信息流从边界网络的过滤和路由送到核心网络。

设计说明:边界分布模块在整体功能方面与分布层网络模块有些类似。这两个模块都采用接入控制来过滤信息流,均使用第3层交换机来获得高性能,但边界分布模块可添加附加安全功能,其为从边界网络模块发送到园区网络模块的所有信息流提供了最后一道防线,这可以减少电子欺骗分组、错误路由升级和对网络层访问控制的配置。

主要设备:第3层交换机-集中边界连接,并提供高级服务。

所缓解的威胁:未授权接入-过滤具体控制了对特定边缘子网及园区内网的访问;IP电子欺骗-RFC 2827过滤限制了本地发起的电子欺骗攻击;网络侦察-过滤可以限制不重要的流量进入园区网,从而限制黑客对网络进行侦察的能力; 分组窃听-交换基础设施限制窃听的有效性。

3 企业边界网络安全设计

企业边界网络是介于企业内部网络和外部网络(互联网、其他单位网络、ISP等),两个不同安全等级网络区域之间的网络,是安全防范的重点部分。目前企业的发展很大程度上依赖互联网的信息和应用,而外部网络的种种安全隐患也会威胁到各个企业内部的信息安全。因此如何做好这部分网络的安全设计,做好信息安全与应用的平衡,是我们设计的重点。各个企业的外部网络可能各有不同,我们在这里把它们归结为四类,包括公司互联网模块、VPN 及远程接入模块、电子商务模块、广域网模块。

3.1 公司互联网模块安全

公司互联网模块为内部用户提供了到互联网服务的连接并使互联网用户能够访问公共服务器上的信息。信息也可以从此模块流向VPN接入模块。

此网络模块的核心是防火墙,它为互联网公共服务和内部用户提供安全保护。状态检查会检查所有方向的信息流,从而确保只有合法信息流穿过防火墙。模块中的其他部分也围绕安全性和缓解攻击进行。从ISP的客户边缘路由器开始,ISP的出口对超过预定门限的非重要信息进行速率限制,从而缓解(D)DoS攻击。同样在ISP路由器的出口,RFC1918和2827过滤可缓解本地网络和专用地址范围的源地址电子欺骗。在企业网络的第一个路由器入口,基本过滤会根据预期信息流(IP和地址服务)来限制信息流,并对大多数基本攻击提供了过滤器。此处也提供RFC1918和2827过滤,作为对ISP过滤的验证。

3.2 VPN 和远程接入模块安全

这个网络模块的功能是为三种独立的外部用户提供验证和连接,分别为远程接入VPN、拨号接入用户、点到点VPN。远程接入VPN是指VPN信息流从公司互联网模块的接入路由器发送到属于VPN服务一部分的特定IP地址和协议,可采用多种不同隧道和安全协议(如IPSec、PPTP、L2TP)。拨号接入是为传统的拨号用户提供接入路由器服务,通过CHAP、AAA、OTP的方式进行验证。点到点VPN是指站点间的IP信息流通过有安全有效负载(ESP)保护的GRE隧道传输。

来自三种服务的信息流在由路由器送到边界分布模块前,被防火墙集中到一个专用接口上。该防火墙必须配置适当类型的限制型访问控制,从而只允许每种服务中的适当信息流通往防火墙的内部接口。一个NIDS应用位于模块的公共边,检测对VPN 接入设备的网络“侦察”活动。第二个NIDS位于防火墙之后,可发现穿过模块其余部分的攻击。

3.3 电子商务模块安全

电子商务模块是企业与外界网络进行数据交换,提供相关应用和信息服务的网络。这里的外界网络可以是Internet,也可以是其他企事业的内部网络。这一部分的设计,要在接入和安全两方面必须有所平衡。

该模块的核心是为Web、应用和数据库服务提供两对防火墙。部分附加的保护由ISP 边界路由器提供。服务器本身也必须全面保护-安装主机IDS 软件。

3.4 广域网模块

这部分网络主要是负责中心站点与远程站点之间信息流传输。对信息保密性非常关心的部分机构可在其广域网链路上对高度机密的信息路加密;在接入路由器上进行访问控制和策略路由等。

4 结束语

该文主要从技术因素的角度阐述了如何进行安全的网络结构设计。结合企业网络的实际情况,采用模块化的设计理念,把企业网络分成两个部分:企业园区网络和企业边界网络,具体又可分为核心网络、分布层网络、接入层网络、边界分布网络、广域网等多个功能模块。同时从各个网络模块主要实现的功能出发,详细分析如何选择合理的网络设备和安全设备、如何进行安全策略的配置,消除的各个部分安全威胁。

参考文献:

[1] 高虹,王志国.企业网络安全问题分析及应对措施[J].科技信息,2008(23).