亚洲精品久久久久中文字小说,在线观看视频一区,久久机热这里只有精品33

引論：我們?yōu)槟砹?3篇企業(yè)網(wǎng)絡(luò)安全論文范文，供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源，期望它們能夠激發(fā)您的創(chuàng)作靈感，讓您的文章更具深度。

企業(yè)網(wǎng)絡(luò)安全論文

篇1

1.2計算機(jī)病毒安全問題

計算機(jī)一旦受到病毒的入侵，將會出現(xiàn)嚴(yán)重的運(yùn)行問題，如系統(tǒng)癱瘓、傳輸數(shù)據(jù)失真以及數(shù)據(jù)庫信息丟失等。計算機(jī)病毒具有典型的潛伏性、傳染性、隱蔽性和破環(huán)性，目前，計算機(jī)病毒種類主要有以下四種：第一，木馬病毒。該類病毒的主要目的是竊取計算機(jī)上的數(shù)據(jù)信息，具有典型的誘騙性；第二，蠕蟲病毒。熊貓燒香是該類病毒的典型代表，以用戶計算機(jī)上出現(xiàn)的漏洞為切入點，綜合使用攻擊計算機(jī)終端的方式控制計算機(jī)系統(tǒng)，該病毒具有較強(qiáng)的傳播性和變異性；第三，腳本病毒。該病毒主要發(fā)生在互聯(lián)網(wǎng)網(wǎng)頁位置；第四，間諜病毒。要想提升某網(wǎng)頁的訪問量，強(qiáng)制要求計算機(jī)用戶主頁預(yù)期鏈接。伴隨著科技的發(fā)展，計算機(jī)網(wǎng)絡(luò)應(yīng)用范圍不斷擴(kuò)大，各種類型病毒的破壞性也隨之增加。

1.3黑客

通過網(wǎng)絡(luò)攻擊計算機(jī)目前，我國仍存在著大量非法人員對計算機(jī)系統(tǒng)進(jìn)行攻擊等行為，這類人員大都掌握著扎實的計算機(jī)和計算機(jī)安全漏洞技術(shù)，對計算機(jī)用戶終端與網(wǎng)絡(luò)做出強(qiáng)有力的破壞行為是他們的主要目的。黑客攻擊計算機(jī)網(wǎng)絡(luò)的主要形式有三種：第一，利用虛假的信息攻擊網(wǎng)絡(luò)；第二，利用木馬或者病毒程序?qū)τ嬎銠C(jī)用戶的電腦進(jìn)行控制；第三，結(jié)合計算機(jī)用戶瀏覽網(wǎng)頁的腳本漏洞對其進(jìn)行攻擊。

2計算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中的應(yīng)用

2.1防火墻技術(shù)

防護(hù)墻技術(shù)是計算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的主要表現(xiàn)形式之一。防火墻技術(shù)的應(yīng)用能夠從根本上解決計算機(jī)病毒安全問題，在實際應(yīng)用過程中，計算機(jī)網(wǎng)絡(luò)安全中心的防火墻技術(shù)被分為應(yīng)用級防火墻和包過濾防火墻兩種形式。其中應(yīng)用型防護(hù)墻的主要目的是保護(hù)服務(wù)器的安全，在掃描終端服務(wù)器的數(shù)據(jù)后，如果發(fā)現(xiàn)有意或者不合常理等攻擊行為，系統(tǒng)應(yīng)該及時切斷服務(wù)器與內(nèi)網(wǎng)服務(wù)器之間的交流，采用終端病毒傳播的方式保護(hù)企業(yè)網(wǎng)的安全。包過濾防火墻的主要工作任務(wù)是及時過濾路由器傳輸給計算機(jī)的數(shù)據(jù)信息，這種過濾手段可以阻擋病毒信息入侵計算機(jī)系統(tǒng)，并第一時間內(nèi)通知用戶攔截病毒信息，為提高企業(yè)網(wǎng)的安全性提供技術(shù)保障。下圖1是企業(yè)網(wǎng)防護(hù)墻配置示意圖。Intranet周邊網(wǎng)絡(luò)InternetInternet防火墻周邊防火墻內(nèi)部網(wǎng)絡(luò)服外部網(wǎng)絡(luò)務(wù)器服務(wù)器圖1防火墻配置

2.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是計算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的另一種表現(xiàn)形式。在企業(yè)發(fā)展建設(shè)過程中，要想提高企業(yè)發(fā)展信息的安全性和可靠性，企業(yè)必須在實際運(yùn)行的計算機(jī)網(wǎng)絡(luò)中綜合使用數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)要求將企業(yè)網(wǎng)內(nèi)的相關(guān)數(shù)據(jù)進(jìn)行加密處理，在傳輸和接收數(shù)據(jù)信息的過程中必須輸入正確的密碼才能打開相關(guān)文件，這為提高企業(yè)信息的安全性提供了技術(shù)保障。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種，其中對稱加密算法中使用的加密和加密信息保持一致，非對稱加密算法中加密方法和解密方法存在較大的差異，通常很難被黑客破解，這兩種加密形式在企業(yè)網(wǎng)中均得到了廣泛應(yīng)用。

2.3病毒查殺技術(shù)

病毒查殺技術(shù)是計算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的表現(xiàn)形式之一。病毒對計算機(jī)安全有極大的威脅，該技術(shù)要求企業(yè)技術(shù)對計算機(jī)操作系統(tǒng)進(jìn)行檢測和更新，減少系統(tǒng)出現(xiàn)漏洞的頻率；杜絕用戶在不經(jīng)允許的情況下私自下載不正規(guī)的軟件；安裝正版病毒查殺軟件的過程中還應(yīng)該及時清理病毒數(shù)據(jù)庫；控制用戶瀏覽不文明的網(wǎng)頁；在下載不明郵件或者軟件后立即對不良文件進(jìn)行病毒查殺處理，確定文件的安全性后才能投入使用。

2.4入侵檢測技術(shù)

入侵檢測技術(shù)在企業(yè)網(wǎng)安全運(yùn)行中發(fā)揮著至關(guān)重要的作用，其作用主要表現(xiàn)在以下幾方面：第一，收集計算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及相關(guān)應(yīng)用程序中存在的信息數(shù)據(jù)；第二，找尋計算機(jī)系統(tǒng)中可能存在的侵害行為；第三，自動發(fā)出病毒侵害報警信號；第四，切斷入侵途徑；第五，攔截入侵。入侵檢測技術(shù)在企業(yè)網(wǎng)中的應(yīng)用具有較強(qiáng)的安全性特征，該技術(shù)的主要任務(wù)是負(fù)責(zé)監(jiān)視企業(yè)網(wǎng)絡(luò)運(yùn)行狀況，對網(wǎng)絡(luò)的正常運(yùn)行不會產(chǎn)生任何影響。入侵檢測技術(shù)使用的網(wǎng)絡(luò)系統(tǒng)以基于主機(jī)系統(tǒng)和基于網(wǎng)絡(luò)的入侵系統(tǒng)為主?；谥鳈C(jī)系統(tǒng)的入侵檢測技術(shù)主要針對企業(yè)網(wǎng)的主機(jī)系統(tǒng)、歷史審計數(shù)據(jù)和用戶的系統(tǒng)日志等，該檢測技術(shù)具有極高的準(zhǔn)確性，但是，實際檢測過程中很容易引發(fā)各種問題，如數(shù)據(jù)失真和檢測漏洞等；基于網(wǎng)絡(luò)入侵檢測技術(shù)以其自身存在的特點為依據(jù)，以網(wǎng)絡(luò)收集的相關(guān)數(shù)據(jù)信息為手段，在第一時間將入侵分析模塊里做出的測定結(jié)果發(fā)送給網(wǎng)絡(luò)管理人，該技術(shù)具有較強(qiáng)的抗攻擊能力、能在短時間內(nèi)做出有效的檢測，但是，由于該技術(shù)能對網(wǎng)絡(luò)數(shù)據(jù)包的變化狀況進(jìn)行監(jiān)控，在實際過程中會給加密技術(shù)帶來一定程度影響。入侵檢測技術(shù)在企業(yè)網(wǎng)的應(yīng)用過程中通常表現(xiàn)為誤用檢測和異常檢測兩種形式。誤用檢測通常以已經(jīng)確定的入侵模式為主，在實際檢測過程中，該檢測方法具有響應(yīng)速度快和誤警率低等特點，但是，該檢測技術(shù)需要較長的檢測時間為支撐，實際耗費的工作量比較大。異常檢測的主要對象是計算機(jī)資源中用戶和系統(tǒng)非正常行為和正常行為情況，該檢測法誤警率較高，在實際檢測過程中必須對整個計算機(jī)系統(tǒng)進(jìn)行全盤掃描，因此，必須有大量的檢測時間作支撐。

篇2

隨著計算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場，企業(yè)就面臨著如何提高自身核心競爭力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進(jìn)行說明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計算機(jī)500余臺，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累，某公司的計算機(jī)應(yīng)用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計算機(jī)網(wǎng)絡(luò)的安全，某公司實施了計算機(jī)網(wǎng)絡(luò)安全項目，基于當(dāng)時對信息安全的認(rèn)識和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險與需求分析3.1風(fēng)險分析

通過對我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營管理對計算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機(jī)網(wǎng)絡(luò)和計算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。

(2)計算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過對現(xiàn)有的信息安全體系的分析，也可以看出：隨著計算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險。

目前實施的安全方案是基于當(dāng)時的認(rèn)識進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內(nèi)部人員可以直接對重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況。

美國聯(lián)邦調(diào)查局(FBI)和計算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個動態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級。

已購買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險評估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險評估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運(yùn)用風(fēng)險評估、風(fēng)險管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險，信息安全的需求主要體現(xiàn)在如下幾點：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項防范工作，應(yīng)對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4設(shè)計原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險問題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計并實現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時，對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5多重保護(hù)原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時，其它層保護(hù)仍可保護(hù)信息的安全。

4.6分步實施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性，尋求安全、風(fēng)險、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費用開支。

5設(shè)計思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動的始終，如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對的，需要在風(fēng)險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現(xiàn)狀的分析，對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過與計算機(jī)專業(yè)公司接觸，初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺，都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個完善的網(wǎng)絡(luò)安全認(rèn)證平臺，能夠通過這個安全平臺實現(xiàn)以下目標(biāo)：

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認(rèn)對方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality)：對敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認(rèn)自己的行為，確保通信方對自己的行為承認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù)，可以對多種網(wǎng)絡(luò)對象進(jìn)行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級的組織和個人的證書由上一級的組織負(fù)責(zé)認(rèn)證，而最上一級的組織(根證書)之間相互認(rèn)證，整個信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護(hù)

對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來自于企業(yè)內(nèi)部。同時，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對企業(yè)機(jī)密和專利信息的竊取、財務(wù)欺騙等，因此，對于企業(yè)的威脅更為嚴(yán)重。對于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進(jìn)行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?；赑KI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

6方案的組織與實施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程，也為本方案的實施提供了借鑒。

圖3

因此在本方案的組織和實施中，除了工程的實施外，還應(yīng)重視以下各項工作：

(1)在初步進(jìn)行風(fēng)險分析基礎(chǔ)上，方案實施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險評估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對性和投資的回報。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實際情況，可采取分地區(qū)、分階段實施的方式。

(4)在方案實施的同時，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

篇3

在下面的描述中，以某公司為例進(jìn)行說明。

2信息系統(tǒng)現(xiàn)狀

2.1信息化整體狀況

1)計算機(jī)網(wǎng)絡(luò)

圖1

2)應(yīng)用系統(tǒng)

2.2信息安全現(xiàn)狀

3風(fēng)險與需求分析

3.1風(fēng)險分析

通過對我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險，信息安全的需求主要體現(xiàn)在如下幾點：

4設(shè)計原則

4.1標(biāo)準(zhǔn)化原則

4.2系統(tǒng)化原則

4.3規(guī)避風(fēng)險原則

4.4保護(hù)投資原則

4.5多重保護(hù)原則

4.6分步實施原則

5設(shè)計思路及安全產(chǎn)品的選擇和部署

圖2網(wǎng)絡(luò)與信息安全防范體系模型

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認(rèn)對方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality)：對敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數(shù)和數(shù)字簽名來完成。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

5.4桌面安全防護(hù)

1)電子簽章系統(tǒng)

2)安全登錄系統(tǒng)

3)文件加密系統(tǒng)

5.5身份認(rèn)證

身份認(rèn)證是指計算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。

6方案的組織與實施方式

圖3

因此在本方案的組織和實施中，除了工程的實施外，還應(yīng)重視以下各項工作：

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實際情況，可采取分地區(qū)、分階段實施的方式。

(4)在方案實施的同時，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

篇4

互聯(lián)網(wǎng)是把雙刃劍，在給企業(yè)帶來極大便利的同時，也不可避免地給企業(yè)的運(yùn)營帶來了極大風(fēng)險。因為黑客與病毒無孔不入，稍有疏漏，就可能使整個網(wǎng)絡(luò)遭受攻擊，并帶來不可逆轉(zhuǎn)的損害。因此，建立科學(xué)的網(wǎng)絡(luò)體系，保障系統(tǒng)網(wǎng)絡(luò)安全迫在眉睫。

1.2大中型企業(yè)內(nèi)網(wǎng)的安全性

ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)已經(jīng)在企業(yè)中得到普遍性應(yīng)用，隨之而來的就是企業(yè)對這些系統(tǒng)的高依賴性。這樣帶來的另一個問題是內(nèi)網(wǎng)面臨的風(fēng)險。內(nèi)網(wǎng)運(yùn)行穩(wěn)定、可靠、可控才能保障日常生產(chǎn)和辦公的進(jìn)行，一定程度上，將內(nèi)網(wǎng)信息網(wǎng)絡(luò)比作企業(yè)的生命線也不為過。這個內(nèi)網(wǎng)同時由大量終端設(shè)備，大中小型服務(wù)器，各種網(wǎng)絡(luò)設(shè)備構(gòu)成，這個其中每一個部分都要確保正常工作，否則一點小問題都有可能引發(fā)網(wǎng)絡(luò)的停滯甚至癱瘓。但目前大中型企業(yè)的內(nèi)網(wǎng)安全依然存在很多安全隱患，主要表現(xiàn)為以下幾種情形：對外服務(wù)器缺少安全防護(hù)遭到黑客攻擊；員工上網(wǎng)過程缺乏有效監(jiān)管，一方面會造成網(wǎng)絡(luò)安全隱患，另一方面也影響工作效率；此外還有一些內(nèi)部的服務(wù)器被非法訪問，造成企業(yè)信息的外泄。

2大中型石油企業(yè)信息網(wǎng)絡(luò)安全威脅及安全體系構(gòu)建

2.1大中型石油企業(yè)面臨的信息網(wǎng)絡(luò)安全威脅

進(jìn)入21世紀(jì)以來，大中型石油企業(yè)對數(shù)字化信息網(wǎng)絡(luò)建設(shè)可謂不遺余力，軟硬件的建設(shè)開發(fā)中，信息網(wǎng)絡(luò)的安全性卻未得到足夠的重視。由于對網(wǎng)絡(luò)安全防護(hù)重視程度不夠，我國的大中型石油企業(yè)長期飽受網(wǎng)絡(luò)安全的困擾。有相關(guān)調(diào)查顯示，我國企業(yè)中，約有41%經(jīng)常受到惡意軟件和間諜的入侵，63%的企業(yè)經(jīng)常遭受病毒或蠕蟲攻擊。而就大中型石油企業(yè)而言，不僅面臨著外部病毒的攻擊，同時內(nèi)部人員的信息泄露也考驗著企業(yè)的網(wǎng)絡(luò)安全。由于員工信息安全意識淡薄，上網(wǎng)過程又缺乏有效監(jiān)管，在員工無意識的情況下，就可能引起發(fā)一系列問題。比如，企業(yè)機(jī)密信息的泄露，各種垃圾郵件的充斥，各種網(wǎng)絡(luò)病毒的侵襲，黑客的攻擊等等，這些問題隨著信息化的發(fā)展進(jìn)程和企業(yè)經(jīng)濟(jì)發(fā)展利益競爭白熱化，成為大中型石油企業(yè)最為棘手的問題。

2.2大中型石油企業(yè)網(wǎng)絡(luò)安全體系的全方位構(gòu)建

隨著網(wǎng)絡(luò)攻擊的多元化，攻擊方式也是五花八門。傳統(tǒng)的只針對網(wǎng)絡(luò)層面以下的安全對策已經(jīng)不足以應(yīng)對如今復(fù)雜的網(wǎng)絡(luò)安全情況，企業(yè)必須要建立起多層次多元化的安全體系才能有效提升企業(yè)網(wǎng)絡(luò)信息安全指數(shù)。大中型石油企業(yè)信息網(wǎng)絡(luò)安全的五個重要組成：物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全。

1）物理安全。物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全旨在為企業(yè)提供一個安全可靠的物理運(yùn)行環(huán)境，這個更多指對企業(yè)相應(yīng)硬件設(shè)施的安全防護(hù)，比如，企業(yè)服務(wù)器、數(shù)據(jù)介質(zhì)、數(shù)據(jù)庫等、

2）鏈路安全。鏈路安全指的是信息輸送通道。數(shù)據(jù)傳輸過程中能夠確保內(nèi)容安全、可靠、可控、能有效抵御攻擊。常見的幾種數(shù)據(jù)鏈路層安全攻擊有MAC地址擴(kuò)散、ARP攻擊與欺騙、DHCP服務(wù)器欺騙與DHCP地址耗盡、IP地址欺騙。

3）網(wǎng)絡(luò)安全。這主要針對于系統(tǒng)信息方面。這個是涵蓋范圍相對廣泛的一個方面。比如，用戶口令鑒別，計算機(jī)病毒防治，用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限，數(shù)據(jù)加密等都屬于網(wǎng)絡(luò)安全范疇。

4）系統(tǒng)安全。系統(tǒng)的正常運(yùn)行是企業(yè)日常生產(chǎn)和運(yùn)行的根本保障。但是，系統(tǒng)出現(xiàn)崩潰、損壞的風(fēng)險依然存在，這就需要能夠有一套有效的風(fēng)險預(yù)防機(jī)制和辦法。能夠確保系統(tǒng)崩潰時對相關(guān)信息實現(xiàn)最大化備份，同時能夠具備保密功能，防止系統(tǒng)崩潰后的信息外漏。

5）信息安全。這就要分信息的傳播安全和信息的內(nèi)容安全。很大程度上是對不良信息的有效過濾和攔截。側(cè)重于對非法、有害信息可能造成的不良后果的有效遏止。信息內(nèi)容角度更側(cè)重于對信息保密性、真實和完整的保護(hù)，防止網(wǎng)絡(luò)黑客對信息的截留、篡改和刪除等手段來達(dá)到損害企業(yè)利益的行為，本質(zhì)上是對企業(yè)利益和隱私的保護(hù)。

2.3大中型石油企業(yè)安全設(shè)計的基本原則

信息保密性、真實性、完整性、未授權(quán)拷貝、寄生系統(tǒng)的安全性等五個方面的內(nèi)容構(gòu)成了信息安全的整體統(tǒng)一。信息安全的原則也就指明了大中型石油企業(yè)“數(shù)字化”網(wǎng)絡(luò)建設(shè)安全設(shè)計的基本原則。

1）保密性：對授權(quán)用戶的保護(hù)和對非授權(quán)用戶的防止，信息利用的用戶、實體的專屬性。

2）完整性：信息的輸入和傳輸要確保完整，防止非法的篡改或者破壞，保證數(shù)據(jù)的穩(wěn)定和一致。

3）可用性：針對授權(quán)用戶而言要確保其合理使用的特性。

4）可控性：信息能夠在處理、傳遞、存儲、輸入、輸出等環(huán)節(jié)中有可控能力。

3大中型石油企業(yè)網(wǎng)絡(luò)信息安全風(fēng)險漏洞的成因及一些防范措施

網(wǎng)絡(luò)信息流量幾何式增長，大中型石油企業(yè)信息資源對系統(tǒng)的應(yīng)用也日漸成熟，生產(chǎn)經(jīng)營數(shù)據(jù)也日益增多。與此同時，國內(nèi)大中型石油企業(yè)信息系統(tǒng)安全問題日益突出。因而，如何保障大中型石油企業(yè)信息數(shù)據(jù)安全，全面建立安全保障體系，這就顯得愈發(fā)重要。應(yīng)從內(nèi)因和外因上進(jìn)行分析和預(yù)防。內(nèi)因上，處于方向性決策的管理層對網(wǎng)絡(luò)信息安全的防護(hù)意識不強(qiáng)，不夠重視。這類人群往往關(guān)注的是信息化進(jìn)程給企業(yè)帶來的收益，對于安全隱患和潛在的威脅卻往往忽視。此外，在信息化發(fā)展進(jìn)程中，大中型石油企業(yè)在數(shù)據(jù)化硬件建設(shè)中容易競爭對比，但是對于數(shù)據(jù)的管理安全性建設(shè)要求不高。其次，網(wǎng)絡(luò)信息安全建設(shè)不是一蹴而就的，相反是一個長期過程，需要不斷進(jìn)行系統(tǒng)補(bǔ)丁的更新。其一，信息系統(tǒng)連接于因特網(wǎng)，開放的網(wǎng)絡(luò)環(huán)境帶來的是企業(yè)信息安全的脆弱。其二，大中型石油企業(yè)信息化建設(shè)往往求新不求穩(wěn)。云計算，物聯(lián)網(wǎng)，只要是當(dāng)下發(fā)展流行技術(shù)都會上馬，而不充分考慮技術(shù)的實際應(yīng)用于企業(yè)的現(xiàn)實貼合。多系統(tǒng)的復(fù)雜應(yīng)用帶來的是更多、更高的系統(tǒng)漏洞風(fēng)險。再次，大中型石油企業(yè)在信息安全技術(shù)團(tuán)隊建設(shè)上海相對滯后，缺乏強(qiáng)有力的信息安全維護(hù)團(tuán)隊帶來的是企業(yè)信息安全的高風(fēng)險。這往往是因為大中型石油企業(yè)往往將預(yù)算優(yōu)先分配于能夠直接帶來經(jīng)濟(jì)效益的生產(chǎn)方面，對于見不到短期回報的信息安全防護(hù)支出是能少則少。然而，一旦企業(yè)信息泄露帶來的可能是災(zāi)難性的后果，因而，有水平有業(yè)務(wù)能力的專業(yè)信息安全維護(hù)隊伍建設(shè)至關(guān)重要。外因上，一些不可抗力造成的硬件設(shè)備損壞，外部對企業(yè)信息的攻擊，相關(guān)法律法規(guī)還不夠健全等等因素都是影響企業(yè)信息安全的外因。因而，加強(qiáng)大中型石油企業(yè)的安全防范可從四個方面著手。在機(jī)制層面，第一，管理層要對信息安全有強(qiáng)意識，第二，信息安全意識要滲透到整個企業(yè)。進(jìn)而建立企業(yè)信息安全管理、運(yùn)行、檢測體系。另外，在面對一些風(fēng)險來臨之時，能夠有有效的應(yīng)急機(jī)制加以應(yīng)對。在技術(shù)面，技術(shù)指標(biāo)相對可量化，過硬的技術(shù)實力是保證大中型石油企業(yè)信息安全的關(guān)鍵，所以說，提高對信息安全水平的投資力度，建設(shè)高水平，高素質(zhì)的技術(shù)隊伍顯得尤為重要。在系統(tǒng)安全性建設(shè)層面，大中型石油企業(yè)在信息系統(tǒng)安全性建設(shè)之初就要結(jié)合企業(yè)實際充分考慮信息系統(tǒng)需要的安全保護(hù)等級以及架構(gòu)建設(shè)，對后期風(fēng)險能夠有科學(xué)的分析與控制建議。在企業(yè)人員素養(yǎng)層面，大中型石油企業(yè)能夠在技術(shù)層面實現(xiàn)對企業(yè)信息安全的保障，就需要企業(yè)能夠有具備專業(yè)技術(shù)業(yè)務(wù)水準(zhǔn)的網(wǎng)絡(luò)信息技術(shù)安全人員隊伍。從設(shè)計到操作到運(yùn)維都離不開專業(yè)的技術(shù)人員。這些網(wǎng)絡(luò)管理技術(shù)人員還要能夠在后期不斷得到組織和學(xué)習(xí)，不斷得到新的知識補(bǔ)充，能夠讓這些技術(shù)人員時刻與最前沿的IT科技接軌。

篇5

1.2入侵審計和防御體系不完善

隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)攻擊、計算機(jī)病毒不斷變化，其破壞力強(qiáng)、速度快、形式多樣、難以防范，嚴(yán)重威脅企業(yè)網(wǎng)絡(luò)安全。當(dāng)前，很多企業(yè)缺乏完善的入侵審計和防御體系，企業(yè)網(wǎng)絡(luò)的主動防御和智能分析能力明顯不足，檢查監(jiān)控效率低，缺乏一致性的安全防護(hù)規(guī)范，安全策略落實不到位。

2.構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系

2.1企業(yè)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建目標(biāo)

結(jié)合企業(yè)網(wǎng)絡(luò)的安全目標(biāo)、使用主體、性質(zhì)等因素，合理劃分企業(yè)邏輯子網(wǎng)，對不同的邏輯子網(wǎng)設(shè)置不同的安全防護(hù)體系，加強(qiáng)網(wǎng)絡(luò)邊界控制和安全訪問控制，保持區(qū)域之間的信任關(guān)系，構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系，實現(xiàn)網(wǎng)絡(luò)安全目標(biāo)：第一，將大型的、復(fù)雜的企業(yè)網(wǎng)絡(luò)安全問題轉(zhuǎn)化為小區(qū)域的、簡單的安全防護(hù)問題，有效控制企業(yè)網(wǎng)絡(luò)系統(tǒng)風(fēng)險，提高網(wǎng)絡(luò)安全；第二，合理劃分企業(yè)網(wǎng)絡(luò)安全域，優(yōu)化網(wǎng)絡(luò)架構(gòu)，實現(xiàn)企業(yè)網(wǎng)絡(luò)安全設(shè)計、規(guī)劃和入網(wǎng)；第三，明確企業(yè)網(wǎng)絡(luò)各個區(qū)域的安全防護(hù)難點和重點，加大安全設(shè)備投入量，提高企業(yè)網(wǎng)絡(luò)安全設(shè)備的利用率；第四，加強(qiáng)企業(yè)網(wǎng)絡(luò)運(yùn)行維護(hù)，合理部署企業(yè)網(wǎng)絡(luò)的審計設(shè)備，提供全面的網(wǎng)絡(luò)審核和檢查依據(jù)，為企業(yè)構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系提供重要參考。

2.2合理劃分安全域

現(xiàn)代化企業(yè)網(wǎng)絡(luò)可以按照系統(tǒng)行為、安全防護(hù)等級和業(yè)務(wù)系統(tǒng)這三種方式來劃分安全域。由于企業(yè)網(wǎng)絡(luò)在不同區(qū)域和不同層次關(guān)注的內(nèi)容不同，因此在劃分企業(yè)網(wǎng)絡(luò)安全域時，應(yīng)結(jié)合業(yè)務(wù)屬性和網(wǎng)絡(luò)管理，不僅要確保企業(yè)正常的生產(chǎn)運(yùn)營，還應(yīng)考慮網(wǎng)絡(luò)安全域劃分是否合理。針對這個問題，企業(yè)網(wǎng)絡(luò)安全域劃分不能僅應(yīng)用一種劃分方式，應(yīng)綜合應(yīng)用多種方式，充分發(fā)揮不同方式的優(yōu)勢，結(jié)合企業(yè)網(wǎng)絡(luò)管理要求和網(wǎng)絡(luò)業(yè)務(wù)需求，有針對性地進(jìn)行企業(yè)網(wǎng)絡(luò)安全域劃分。首先，根據(jù)業(yè)務(wù)需求，可以將企業(yè)網(wǎng)絡(luò)分為兩部分：外網(wǎng)和內(nèi)網(wǎng)。由于互聯(lián)網(wǎng)出口全部位于外網(wǎng)，企業(yè)網(wǎng)絡(luò)可以在外網(wǎng)用戶端和內(nèi)網(wǎng)之間設(shè)置隔離，使外網(wǎng)服務(wù)和內(nèi)網(wǎng)服務(wù)分離，隔離各種安全威脅，確保企業(yè)內(nèi)網(wǎng)業(yè)務(wù)的安全性。其次，按照企業(yè)業(yè)務(wù)系統(tǒng)方式，分別劃分外網(wǎng)和內(nèi)網(wǎng)安全域，企業(yè)外網(wǎng)可以分為員工公寓網(wǎng)絡(luò)、項目網(wǎng)絡(luò)、對外服務(wù)網(wǎng)絡(luò)等子網(wǎng)，內(nèi)網(wǎng)可以分為辦公網(wǎng)、生產(chǎn)網(wǎng)，其中再細(xì)分出材料采購網(wǎng)、保管網(wǎng)、辦公管理網(wǎng)等子網(wǎng)，通過合理劃分安全域，確定明確的網(wǎng)絡(luò)邊界，明確安全防護(hù)范圍和對象目標(biāo)。最后，按照網(wǎng)絡(luò)安全防護(hù)等級和系統(tǒng)行為，細(xì)分各個子網(wǎng)的安全域，劃分出基礎(chǔ)保障域、服務(wù)集中域和邊界接入域?；A(chǔ)保障域主要用來防護(hù)網(wǎng)絡(luò)系統(tǒng)管理控制中心、軟件和各種安全設(shè)備，服務(wù)集中域主要用于防護(hù)企業(yè)網(wǎng)絡(luò)的信息系統(tǒng)，包括信息系統(tǒng)內(nèi)部和系統(tǒng)之間的數(shù)據(jù)防護(hù)，并且按照不同的等級保護(hù)要求，可以采用分級防護(hù)措施，邊界接入域主要設(shè)置在企業(yè)網(wǎng)絡(luò)信息系統(tǒng)和其他系統(tǒng)之間的邊界上。

2.3基于入侵檢測的動態(tài)防護(hù)

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，企業(yè)網(wǎng)絡(luò)面臨的安全威脅也不斷發(fā)生變化，網(wǎng)絡(luò)攻擊手段日益多樣化，新病毒不斷涌現(xiàn)，因此企業(yè)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建應(yīng)適應(yīng)網(wǎng)絡(luò)發(fā)展和變化，綜合考慮工作人員、防護(hù)策略、防護(hù)技術(shù)等多方面的因素，實現(xiàn)基于入侵檢測的動態(tài)防護(hù)?；谌肭謾z測的動態(tài)防護(hù)主要包括備份恢復(fù)、風(fēng)險分析、應(yīng)急機(jī)制、入侵檢測和安全防護(hù)，以入侵檢測為基礎(chǔ)，一旦檢測到企業(yè)網(wǎng)絡(luò)的入侵威脅，網(wǎng)絡(luò)系統(tǒng)立即啟動應(yīng)急機(jī)制，如果檢測到企業(yè)網(wǎng)絡(luò)系統(tǒng)已經(jīng)受到損壞，可利用備份恢復(fù)機(jī)制，及時恢復(fù)企業(yè)網(wǎng)絡(luò)設(shè)置，確保企業(yè)網(wǎng)絡(luò)的安全運(yùn)行。通過動態(tài)安全防護(hù)策略，利用動態(tài)反饋機(jī)制，提高企業(yè)網(wǎng)絡(luò)的風(fēng)險評估分析能力和主動防御能力。

2.4分層縱深安全防護(hù)策略

企業(yè)網(wǎng)絡(luò)安全防護(hù)最常見的是設(shè)置防火墻，但是網(wǎng)絡(luò)安全風(fēng)險可能存在于企業(yè)網(wǎng)絡(luò)的各個層次，防火墻的安全防護(hù)作用比較有限。企業(yè)網(wǎng)絡(luò)可采用分層縱深安全防護(hù)策略，保障網(wǎng)絡(luò)安全防護(hù)的深度和廣度，構(gòu)建高效、綜合、全面的安全防護(hù)體系，對于企業(yè)網(wǎng)絡(luò)中的應(yīng)用層、數(shù)據(jù)層、系統(tǒng)層、網(wǎng)絡(luò)層和物理層分別采用信息保護(hù)、應(yīng)用系統(tǒng)安全防護(hù)、數(shù)據(jù)庫安全防護(hù)、操作系統(tǒng)安全防護(hù)、網(wǎng)絡(luò)保護(hù)、物理安全保護(hù)等防護(hù)手段，根據(jù)不同網(wǎng)絡(luò)系統(tǒng)的特點，有針對性地進(jìn)行安全防護(hù)，例如，在網(wǎng)絡(luò)層可利用資源控制模塊和訪問控制模塊，加強(qiáng)對網(wǎng)絡(luò)節(jié)點的訪問控制，在企業(yè)網(wǎng)絡(luò)的應(yīng)用層和數(shù)據(jù)層設(shè)置身份授權(quán)和認(rèn)證系統(tǒng)，避免用戶的違規(guī)操作和越權(quán)操作。又例如，由于網(wǎng)絡(luò)環(huán)境比較復(fù)雜，可在企業(yè)網(wǎng)絡(luò)的應(yīng)用層、數(shù)據(jù)層和系統(tǒng)層，設(shè)置網(wǎng)絡(luò)監(jiān)控和檢測模塊，保護(hù)企業(yè)網(wǎng)絡(luò)的服務(wù)器，防止權(quán)限濫用和誤操作。

篇6

1.4對不同接入者權(quán)限的區(qū)分企業(yè)網(wǎng)絡(luò)中的接入者應(yīng)用目的是不相同的，有些必須接入互聯(lián)網(wǎng)，而有些設(shè)備不能接入互聯(lián)網(wǎng)；有些是一定時間能接入，一定時間不能接入等等，出于成本等因素考慮，不可能也沒必要鋪設(shè)多套網(wǎng)絡(luò)。通常的做法是通過3層交換機(jī)劃分虛擬局域網(wǎng)VLAN（VirtualLocalAreaNetwork）來區(qū)分不同的網(wǎng)段，與防火墻等網(wǎng)絡(luò)控制設(shè)備配合來實現(xiàn)有關(guān)功能。

1.5安全審計功能通過在網(wǎng)絡(luò)旁路掛載的方式,對網(wǎng)絡(luò)進(jìn)行監(jiān)聽，捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包，還原出完整的協(xié)議原始信息，并準(zhǔn)確記錄網(wǎng)絡(luò)訪問的關(guān)鍵信息，從而實現(xiàn)網(wǎng)絡(luò)訪問記錄、郵件訪問記錄、上網(wǎng)時間控制、不良站點訪問禁止等功能。審計設(shè)備安裝后不能影響原有網(wǎng)絡(luò)，并需具有提供內(nèi)容安全控制的功能，使網(wǎng)絡(luò)維護(hù)人員能夠及時發(fā)現(xiàn)系統(tǒng)漏洞和入侵行為等，從而使網(wǎng)絡(luò)系統(tǒng)性能能夠得到有效改善。通常的做法就是安裝安全運(yùn)行維護(hù)系統(tǒng)SOC（SecurityOperationsCente）r，網(wǎng)管員定時查看日志來分析網(wǎng)絡(luò)狀況，并制定相應(yīng)的策略來維護(hù)穩(wěn)定網(wǎng)絡(luò)的安全運(yùn)行。

.6外網(wǎng)用戶訪問內(nèi)部網(wǎng)絡(luò)公司會有一些出差在外地的人員以及居家辦公人員SOHO（SmallOfficeHomeOffice），因辦公需要，會到公司內(nèi)網(wǎng)獲取相關(guān)數(shù)據(jù)資料，出于安全和便捷等因素考慮，需要借助虛擬專用網(wǎng)絡(luò)技術(shù)VPN（VirtualPrivateNetwork）來實現(xiàn)。通常的做法是安裝VPN設(shè)備（應(yīng)用網(wǎng)關(guān)）來實現(xiàn)。

2網(wǎng)絡(luò)安全設(shè)備的部署與應(yīng)用

通過企業(yè)網(wǎng)絡(luò)安全分析，結(jié)合中小企業(yè)網(wǎng)絡(luò)的實際需求進(jìn)行設(shè)計。該網(wǎng)絡(luò)中的核心網(wǎng)絡(luò)設(shè)備為UTM綜合安全網(wǎng)關(guān)。它集成了防病毒、入侵檢測和防火墻等多種網(wǎng)絡(luò)安全防護(hù)功能，從而成為統(tǒng)一威脅管理UTM(UnifiedThreatManagement)綜合安全網(wǎng)關(guān)。它是一種由專用硬件、專用軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，通過提供一項或多項安全功能，將多種安全特性集成于一個硬件設(shè)備，構(gòu)成一個標(biāo)準(zhǔn)的統(tǒng)一管理平臺[2]。通常，UTM設(shè)備應(yīng)該具備的基本功能有網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測（防御）和網(wǎng)關(guān)防病毒等功能。為使這些功能能夠協(xié)同運(yùn)作，有效降低操作管理難度，研發(fā)人員會從易于操作使用的角度對系統(tǒng)進(jìn)行優(yōu)化，提升產(chǎn)品的易用性并降低用戶誤操作的可能性。對于沒有專業(yè)信息安全知識的人員或者技術(shù)力量相對薄弱的中小企業(yè)來說，使用UTM產(chǎn)品可以很方便地提高這些企業(yè)應(yīng)用信息安全設(shè)施的質(zhì)量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問控制、入侵檢測盒日志審計等。網(wǎng)絡(luò)接入和路由轉(zhuǎn)發(fā)功能也可由UTM設(shè)備來實現(xiàn)。因其具有多個接口（即多個網(wǎng)卡），可通過設(shè)定接口組把辦公區(qū)、車間、服務(wù)器組等不同區(qū)域劃分成不同的網(wǎng)段；通過對不同網(wǎng)段設(shè)定不同的訪問規(guī)則，制定不同的訪問策略，來實現(xiàn)非軍事化區(qū)DMZ（demilitarizedzone）、可信任區(qū)以及非信任區(qū)的劃分，從而有效增強(qiáng)網(wǎng)絡(luò)的安全性和穩(wěn)定性。對于上網(wǎng)行為的管理，可以通過內(nèi)置UTM設(shè)備的功能來實現(xiàn)管控，并可以實現(xiàn)Web過濾以及安全審計功能。，設(shè)定了辦公區(qū)和車間1可以訪問互聯(lián)網(wǎng)，而車間2不能訪問互聯(lián)網(wǎng)。在辦公區(qū)和部分車間安裝無線AP，可方便人員隨時接入網(wǎng)絡(luò)。通過訪問密碼和身份認(rèn)證等手段，可對接入者進(jìn)行身份識別，對其訪問網(wǎng)絡(luò)的權(quán)限進(jìn)行區(qū)分管控。市場上還有一些專用的上網(wǎng)行為管理設(shè)備，有條件的單位可進(jìn)行安裝，用以實現(xiàn)對員工上網(wǎng)行為進(jìn)行更為精準(zhǔn)的管控。對于出差在外地的人員和SOHO人員可在任何時間通過VPN客戶端，用事先分配好的VPN賬戶，借助UTM設(shè)備的VPN功能，與總部建立VPN隧道，從而保證相互間通信的保密性，安全訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，實現(xiàn)高效安全的網(wǎng)絡(luò)應(yīng)用。

篇7

[1]張金輝，王衛(wèi)，侯磊.信息安全保障體系建設(shè)研究.計算機(jī)安全，2012，（8）.

[2]肖志宏，楊倩雯.美國聯(lián)邦政府采購的信息安全保障機(jī)制及其啟示.北京電子科技學(xué)院學(xué)報，2009，（3）.

[3]沈昌祥.構(gòu)建積極防御綜合防范的信息安全保障體系.金融電子化，2010，（12）.

[4]嚴(yán)國戈.中美軍事信息安全法律保障比較.信息安全與通信保密，2007，（7）.

[5]楊紹蘭.信息安全的保障體系.圖書館論壇，2005，（2）.

[6]侯安才，徐瑩.建設(shè)網(wǎng)絡(luò)信息安全保障體系的新思路.現(xiàn)代電子技術(shù)，2004，（3）.

網(wǎng)絡(luò)安全論文參考文獻(xiàn)：

[1]王爽.探討如何加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全及防范[J].計算機(jī)光盤軟件與應(yīng)用，2012（11）.

[2]田文英.淺談計算機(jī)操作系統(tǒng)安全問題[J].科技創(chuàng)新與應(yīng)用，2012（23）.

[3]張曉光.試論計算機(jī)網(wǎng)絡(luò)的安全隱患與解決對策[J].計算機(jī)光盤軟件與應(yīng)用，2012（18）.

[4]郭晶晶，牟勝梅，史蓓蕾.關(guān)于某金融企業(yè)網(wǎng)絡(luò)安全應(yīng)用技術(shù)的探討[J].數(shù)字技術(shù)與應(yīng)用，2013，12（09）：123-125.

[5]王擁軍，李建清.淺談企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)[J].信息安全與通信保密，2013，11（07）：153-171.

[6]胡經(jīng)珍.深入探討企業(yè)網(wǎng)絡(luò)安全管理中的常見問題[J].計算機(jī)安全，2013，11（07）：152-160.

[7]周連兵，張萬.淺議企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計[J].中國公共安全：學(xué)術(shù)版，2013，10（02）：163-175.

網(wǎng)絡(luò)安全論文參考文獻(xiàn)：

[1]古田月.一場在網(wǎng)絡(luò)戰(zhàn)場上的較量與爭奪[N].中國國防報，2013-05-20（6）.

[2]蘭亭.美國秘密監(jiān)視全球媒體[N].中國國防報，2010-10-24（1）.

[3]李志偉.法國網(wǎng)絡(luò)安全戰(zhàn)略正興起[N].人民日報，2013-01-01（3）.

篇8

4: 吉林省林業(yè)系統(tǒng)生態(tài)信息高速公路構(gòu)建課題.

二、論文撰寫與設(shè)計研究的目的:

跟隨1946年第一臺計算機(jī)在美國誕生,人類文明發(fā)展到一個嶄新的時代.尤其是20世紀(jì)后10年,以計算機(jī)網(wǎng)絡(luò)的飛速發(fā)展為契機(jī),我們進(jìn)入了信息時代.人們的生活和工作逐漸以信息為中心,信息時代更離不開網(wǎng)絡(luò), 任何一個規(guī)模企業(yè)尤其開始依賴網(wǎng)絡(luò),沒有網(wǎng)絡(luò)企業(yè)就面臨著落后.

吉林省的林業(yè)分布十分廣泛,以長白山系為主要脈絡(luò)的山地廣泛分布各種森林資源,而作為林業(yè)及林業(yè)環(huán)境的發(fā)展,林業(yè)生態(tài)信息則是一個更為龐大的系統(tǒng),快捷,準(zhǔn)確,合理,系統(tǒng)的采集,處理,分析,存儲這些信息是擺在我們面前的十分現(xiàn)實的問題.在信息交流的這個世界中,信息好比貨物,我們需要將這些貨物(信息)進(jìn)行合理的處理,其中以硬件為主的計算機(jī)網(wǎng)絡(luò)系統(tǒng)是這些貨物(信息)交流的"公路"和"處理廠",我做這個題目,就是要為它畫出一條"公路"和若干"處理方法"的藍(lán)圖.

由于森工集團(tuán)這樣的特定企業(yè),其一,它是一個統(tǒng)一管理的企業(yè),具有集團(tuán)化的特點,網(wǎng)絡(luò)的構(gòu)建具有統(tǒng)一性.其二,它又在地理上是一個分散的企業(yè),網(wǎng)絡(luò)點也具有分散性.然而,分散中還具有集中的特點,它的網(wǎng)絡(luò)系統(tǒng)的設(shè)計就應(yīng)該是板塊化的.從信息的角度來講,信息的種類多,各種信息的采集傳輸處理角度也不盡相同,我們在設(shè)計的過程中不僅要考慮硬件的地域布局,也要考慮軟件平臺的配合.

沒有最好,只有更好;更新觀念,大步向前.我相信,在導(dǎo)師的精心指導(dǎo)下,經(jīng)過我的努力,我將為它們創(chuàng)造出一條平坦,寬闊的"高速公路".

1,論文(設(shè)計)研究的對象:

擬訂以吉林省林業(yè)系統(tǒng)為地理模型,以林業(yè)網(wǎng)絡(luò)綜合服務(wù)為基本需求,以網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為設(shè)計方向,以軟件整合為應(yīng)用方法,開發(fā)設(shè)計一套完整的基于集散集團(tuán)企業(yè)的企業(yè)網(wǎng)絡(luò)系統(tǒng).

2,論文(設(shè)計)研究預(yù)期達(dá)到目標(biāo):

通過設(shè)計,論文的撰寫,預(yù)期達(dá)到網(wǎng)絡(luò)設(shè)計全面化,軟件整合合理化,網(wǎng)絡(luò)性能最優(yōu)化,資金應(yīng)用最低化,工程周期最短化的目標(biāo).

3,論文(設(shè)計)研究的內(nèi)容:

一),主要問題:

設(shè)計解決網(wǎng)絡(luò)地域規(guī)范與現(xiàn)有網(wǎng)絡(luò)資源的利用和開發(fā).

設(shè)計解決集中單位的網(wǎng)絡(luò)統(tǒng)一部署.

設(shè)計解決多類型網(wǎng)絡(luò)的接口部署.

設(shè)計解決分散網(wǎng)絡(luò)用戶的接入問題.

設(shè)計解決遠(yuǎn)程瘦用戶網(wǎng)絡(luò)分散點的性能價格合理化問題.

設(shè)計解決具有針對性的輸入設(shè)備的自動化信息采集問題.

合理部署網(wǎng)絡(luò)服務(wù)中心的網(wǎng)絡(luò)平衡.

優(yōu)化網(wǎng)絡(luò)服務(wù)系統(tǒng),營造合理的網(wǎng)絡(luò)平臺.

網(wǎng)絡(luò)安全問題.

10,基本應(yīng)用軟件整合問題.

二),論文(設(shè)計)包含的部分:

1,地理模型與網(wǎng)絡(luò)模型的整合.

2,企業(yè)內(nèi)部集中部門網(wǎng)絡(luò)設(shè)計.

3,企業(yè)內(nèi)部分散單元網(wǎng)絡(luò)設(shè)計——總體分散.

4,企業(yè)內(nèi)部分散單元網(wǎng)絡(luò)設(shè)計——遠(yuǎn)程結(jié)點.

5,企業(yè)內(nèi)部分散單元網(wǎng)絡(luò)設(shè)計——移動結(jié)點.

6,企業(yè)網(wǎng)絡(luò)窗口(企業(yè)外信息交流)設(shè)計.

7,企業(yè)網(wǎng)絡(luò)中心,服務(wù)平臺的設(shè)計.

8,企業(yè)網(wǎng)絡(luò)基本應(yīng)用軟件結(jié)構(gòu)設(shè)計.

9,企業(yè)網(wǎng)絡(luò)特定終端接點設(shè)計.

10,企業(yè)網(wǎng)絡(luò)整合設(shè)計.

5,論文(設(shè)計)的實驗方法及理由:

由于設(shè)計的過程并不是工程的施工過程,在設(shè)計過程中詳盡的去現(xiàn)場建設(shè)肯定有很大的難度,也不是十分可行的,那么我們在設(shè)計的階段就應(yīng)該進(jìn)行仿真試驗和科學(xué)計算.第一步,通過小型網(wǎng)絡(luò)測試軟件平臺,第二步,構(gòu)建多個小型網(wǎng)絡(luò)搭建全局網(wǎng)絡(luò)模擬環(huán)境,第三步,構(gòu)建干擾源利用小型網(wǎng)絡(luò)集總仿真測試.

6,論文(設(shè)計)實施安排表:

1.論文(設(shè)計)階段第一周次:相關(guān)理論的學(xué)習(xí)研究,閱讀參考文獻(xiàn)資料,制訂課題研究的實施方案,準(zhǔn)備試驗用網(wǎng)絡(luò)硬件和軟件形成試驗程序表及試驗細(xì)則.

2.論文(設(shè)計)階段第二周次:開始第一輪實驗,進(jìn)行小型網(wǎng)絡(luò)構(gòu)建試驗,模擬網(wǎng)絡(luò)服務(wù)中心,模擬區(qū)域板塊,模擬遠(yuǎn)程及移動網(wǎng)絡(luò).

3.論文(設(shè)計)階段第三周次:進(jìn)行接口模擬試驗,測試軟件應(yīng)用平臺,完善課題研究方案.

4.論文(設(shè)計)階段第四周次:完成第一輪實驗,提交中期成果(實驗報告1).

5.論文(設(shè)計)階段第五周次:進(jìn)行第二輪實驗,模擬環(huán)境(干擾仿真)實驗,提交實驗報告2.

6.論文(設(shè)計)階段第六周次:完成結(jié)題報告,形成論文.

三,論文(設(shè)計)實施工具及參考資料:

小型網(wǎng)絡(luò)環(huán)境,模擬干擾環(huán)境,軟件平臺.

吳企淵《計算機(jī)網(wǎng)絡(luò)》.

鄭紀(jì)蛟《計算機(jī)網(wǎng)絡(luò)》.

陳濟(jì)彪丹青等《計算機(jī)局域網(wǎng)與企業(yè)網(wǎng)》.

christian huitema 《因特網(wǎng)路由技術(shù)》.

[美]othmar kyas 《網(wǎng)絡(luò)安全技術(shù)——風(fēng)險分析,策略與防火墻》.

其他相關(guān)設(shè)備,軟件的說明書.

1、論文(設(shè)計)的創(chuàng)新點:

努力實現(xiàn)網(wǎng)絡(luò)資源的全面應(yīng)用,擺脫將單純的網(wǎng)絡(luò)硬件設(shè)計為企業(yè)網(wǎng)絡(luò)設(shè)計的模式,大膽實踐將軟件部署與硬件設(shè)計階段相整合的網(wǎng)絡(luò)設(shè)計方法.

題目可行性說明及預(yù)期成果:

2、可行性說明:

篇9

1 網(wǎng)絡(luò)安全的重要性

網(wǎng)絡(luò)安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。具體而言，網(wǎng)絡(luò)安全就是保護(hù)個人隱私，控制對網(wǎng)絡(luò)資源的訪問，保證商業(yè)秘密在網(wǎng)絡(luò)上傳輸?shù)谋Ｃ苄?、完整性及真實性，控制不健康的?nèi)容或危害社會穩(wěn)定的言論，避免機(jī)密泄漏等。

2 我廠網(wǎng)絡(luò)安全措施

2.1 統(tǒng)一出口，便于管理

將三地的網(wǎng)絡(luò)進(jìn)行了配置更改，兩地間增加了高性能的路由器，建成了企業(yè)內(nèi)部局域網(wǎng)絡(luò)。此局域網(wǎng)的建成就像給企業(yè)網(wǎng)絡(luò)系統(tǒng)安裝了一個“保護(hù)殼”，使企業(yè)內(nèi)部網(wǎng)絡(luò)的使用更加方便、快捷的同時保證了數(shù)據(jù)采集、傳輸?shù)陌踩?，加?qiáng)了計算機(jī)信息和網(wǎng)絡(luò)的保密性。

2.2 企業(yè)防火墻，墻

在企業(yè)局域網(wǎng)的統(tǒng)一出口安裝了Internet防火墻，負(fù)責(zé)管理Internet和企業(yè)內(nèi)部網(wǎng)絡(luò)之間的訪問。在沒有防火墻時，內(nèi)部網(wǎng)絡(luò)上的每個節(jié)點都暴露給Internet上的其它主機(jī)，極易受到攻擊。這就意味著內(nèi)部網(wǎng)絡(luò)的安全性要由每一個主機(jī)的堅固程度來決定，并且安全性等同于其中最弱的系統(tǒng)。

2.3 生產(chǎn)和辦公物理和虛擬相結(jié)合隔離

為了保證生產(chǎn)網(wǎng)的安全穩(wěn)定運(yùn)行，采取了生產(chǎn)網(wǎng)和辦公網(wǎng)邏輯隔離，兩網(wǎng)通過防火墻相連，高度融合，進(jìn)一步強(qiáng)化了生產(chǎn)網(wǎng)的安全性。

2.4 病毒掃描評估

通過專業(yè)軟件掃描分析全廠的網(wǎng)絡(luò)系統(tǒng)，檢查網(wǎng)絡(luò)系統(tǒng)中存在的弱點和漏洞并生成相應(yīng)的報告，提出修補(bǔ)方法和應(yīng)實施的安全策略，增強(qiáng)了網(wǎng)絡(luò)安全性。

2.5 行為管理

引進(jìn)了國內(nèi)先進(jìn)的“網(wǎng)康”網(wǎng)絡(luò)接入管理設(shè)備，對企業(yè)網(wǎng)絡(luò)進(jìn)行優(yōu)化管理，實現(xiàn)了對網(wǎng)絡(luò)的整體流量分配與控制，加強(qiáng)了網(wǎng)絡(luò)數(shù)據(jù)流量分析，優(yōu)化了網(wǎng)絡(luò)流量調(diào)整工作。

2.6 區(qū)域WLAN的劃分

將企業(yè)辦公、生產(chǎn)區(qū)域網(wǎng)絡(luò)用戶按照單位、區(qū)域和樓層等細(xì)化管理，通過劃分不同的WLAN，從邏輯上阻隔網(wǎng)段，徹底阻隔廣播域，縮小區(qū)域，減小網(wǎng)絡(luò)異常的影響范圍。

3 目前存在的主要問題

3.1 認(rèn)識上的誤區(qū)

①安裝最新的殺毒軟件就不怕病毒了。安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計算機(jī)病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)。

②在每臺計算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效。網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺服務(wù)器上通過安全中心控制整個網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網(wǎng)絡(luò)的病毒。同時對于整個網(wǎng)絡(luò)而言，管理非常方便，對于單機(jī)版是不可能做到的。

③不上網(wǎng)就不會中毒。雖然不少病毒是通過網(wǎng)頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機(jī)開著，就要防范病毒。

④文件設(shè)置只讀就可以避免感染病毒。設(shè)置只讀只是調(diào)用系統(tǒng)的幾個命令，而病毒或黑客程序也可以做到這一點，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

⑤網(wǎng)絡(luò)安全主要來自外部。基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權(quán)限等方面的管理非常必要。

3.2. 技術(shù)上的差距

①操作系統(tǒng)使用盜版。由于習(xí)慣問題，部分軟件不兼容原裝系統(tǒng)和覺得正版與盜版都一樣等的一些類似原因?qū)е率褂帽I版系統(tǒng)占到我廠絕大數(shù)計算機(jī)，給全廠網(wǎng)絡(luò)安全帶來了嚴(yán)重隱患。

②生產(chǎn)電腦防火墻和殺毒軟件無法自動升級。由于辦公網(wǎng)和生產(chǎn)網(wǎng)隔離，生產(chǎn)電腦無法上網(wǎng)，無法自動升級防火墻和殺毒等軟件，以至于在生產(chǎn)電腦上插拔外置移動設(shè)備和局域內(nèi)傳輸文件帶來的安全危險顯得毫無抵抗之力。

③查找故障機(jī)困難。由于三地運(yùn)行，地域廣，人員多，加之入廠機(jī)子相關(guān)登記信息空白，給查找故障機(jī)帶來更多困難，顯得無從下手。

4 進(jìn)一步的措施

4.1 環(huán)網(wǎng)建設(shè)

目前企業(yè)網(wǎng)絡(luò)鏈路均為單鏈路。致使網(wǎng)絡(luò)鏈路抗風(fēng)險能力較差，鏈路中斷后恢復(fù)時間較長。不能滿足生產(chǎn)管理系統(tǒng)的穩(wěn)定運(yùn)行需求。為提高網(wǎng)絡(luò)鏈路的抗風(fēng)險能力，計劃在充分利用已建光纜、桿路資源及網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上，新增傳輸設(shè)備，將網(wǎng)絡(luò)鏈路構(gòu)成環(huán)網(wǎng)，當(dāng)網(wǎng)絡(luò)中斷后自動切換至反向鏈路，實現(xiàn)網(wǎng)絡(luò)“零中斷”。

4.2 層級改造

我廠分場站網(wǎng)絡(luò)節(jié)點，由于之前采用交換機(jī)級聯(lián)的方式組網(wǎng)，受到光纜資源的限制，尚有部分網(wǎng)絡(luò)級聯(lián)層級達(dá)到三級或者更多，隨著網(wǎng)絡(luò)的不斷擴(kuò)展，層級數(shù)過多問題也日益凸顯，現(xiàn)計劃對此類場站進(jìn)行層級改造。

4.3 基于DHCP和MAC地址動態(tài)綁定的用戶自助接入系統(tǒng)研究與應(yīng)用

充分利用現(xiàn)有成熟的DHCP、VPMS和開源Liunx系統(tǒng)的相關(guān)技術(shù)，實現(xiàn)基于DHCP和MAC地址動態(tài)綁定的網(wǎng)絡(luò)用戶自助接入指定網(wǎng)絡(luò)，無需安裝客戶端，從而簡化日常IT管理人員負(fù)擔(dān)和提高網(wǎng)絡(luò)管理效率與信息安全水平，基于DHCP和MAC地址動態(tài)綁定的用戶自助接入系統(tǒng)應(yīng)用，如圖1所示。

4.4 端口封裝，細(xì)化管理

結(jié)合以上MAC地址綁定和VLAN劃分，通過客戶端連接交換機(jī)做端口分裝策略，進(jìn)一步固定IP地址，防止IP使用混亂，營造一個平穩(wěn)暢通的網(wǎng)絡(luò)環(huán)境。

5 結(jié) 語

上述論文主要從我廠當(dāng)前實際的網(wǎng)絡(luò)運(yùn)行狀況，分析了所存在的網(wǎng)絡(luò)安全隱患，及采取的一些相應(yīng)安全措施和下步主要安全工作的同時，也客觀的提出了所面臨的實際困難。最后希望通過本論文的深入研究分析我廠網(wǎng)絡(luò)安全的現(xiàn)狀，可以使大家有對網(wǎng)絡(luò)安全的重要性有了進(jìn)一步的了解。

參考文獻(xiàn)：

[1] 董玉格.網(wǎng)絡(luò)攻擊與防護(hù)-網(wǎng)絡(luò)安全與實用防護(hù)技術(shù)[M].北京：人民郵電出版社，2002.

篇10

1 引言

當(dāng)今信息安全技術(shù)主要包括密碼技術(shù)、身份認(rèn)證、訪問控制、入侵檢測、風(fēng)險分析與評估等諸多方面。在實際運(yùn)用中,這些安全技術(shù)相互支持與協(xié)作,各自解決安全問題的某一方面。目前人們關(guān)注的重點在入侵檢測、密碼技術(shù)等,作為訪問控制沒有得到應(yīng)有的重視,事實上訪問控制是一個安全信息系統(tǒng)下不可或缺的安全措施。訪問控制就是通過某種途徑顯式地限制對關(guān)鍵資源的訪問[1-2]。防止因非法用戶的侵入或合法用戶的不慎操作所造成的破壞。本文主要討論了主動式網(wǎng)絡(luò)安全監(jiān)控系統(tǒng),在分析主動式網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)計基礎(chǔ)上,針對企業(yè)網(wǎng)非法接入防范子系統(tǒng)采用的SNMP協(xié)議進(jìn)行相關(guān)分析。

2 網(wǎng)絡(luò)管理概述

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)規(guī)模增大,復(fù)雜性也增加,以前的網(wǎng)絡(luò)管理技術(shù)已經(jīng)無法適應(yīng)這一情況,特別是由于以往的網(wǎng)絡(luò)管理系統(tǒng)往往是生產(chǎn)制造廠商在自已的網(wǎng)絡(luò)系統(tǒng)中開發(fā)的應(yīng)用系統(tǒng),很難對其它廠商的網(wǎng)絡(luò)系統(tǒng)、通信設(shè)備等進(jìn)行管理,這種狀況很不適應(yīng)網(wǎng)絡(luò)異構(gòu)互聯(lián)的發(fā)展趨勢。網(wǎng)絡(luò)管理一般采用管理―的管理結(jié)構(gòu)。網(wǎng)絡(luò)管理站是實施網(wǎng)絡(luò)管理的處理實體,駐留在管理工作站上,它是整個網(wǎng)絡(luò)系統(tǒng)的核心,完成復(fù)雜網(wǎng)絡(luò)管理的各項功能,如排除網(wǎng)絡(luò)故障、配置網(wǎng)絡(luò)等,一般位于網(wǎng)絡(luò)中的一個主機(jī)節(jié)點上。被管(簡稱)是配合網(wǎng)絡(luò)管理的處理實體,駐留在被管理對象上。被管監(jiān)測所在網(wǎng)絡(luò)部件的工作狀況,收集有關(guān)網(wǎng)絡(luò)信息。公共網(wǎng)絡(luò)管理協(xié)議描述了管理器與被管之間的數(shù)據(jù)通信機(jī)制。

3 主動式網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)

3.1 需求分析

一般企業(yè)網(wǎng)內(nèi)部資源的安全策略(諸如訪問權(quán)限、存取控制等)是基于IP地址進(jìn)行的,如果入侵者利用管理方面的漏洞,盜取合法用戶的權(quán)限或IP地址,將會對企業(yè)內(nèi)部造成重大損失,因此,系統(tǒng)主要從以下幾個方面考慮安全監(jiān)控問題:

1)企業(yè)網(wǎng)內(nèi)部主機(jī)資源的安全。企業(yè)網(wǎng)內(nèi)部主機(jī)除了應(yīng)用傳統(tǒng)的防火墻、入侵檢測系統(tǒng)以外,還可應(yīng)用強(qiáng)制訪問控制機(jī)制對本機(jī)內(nèi)部的重要資源實施強(qiáng)制訪問控制保護(hù);

2)入侵檢測。在發(fā)現(xiàn)非法攻擊或者非法用戶企圖操作主機(jī)文件時,可通過入侵檢測機(jī)制發(fā)現(xiàn)入侵者來源,阻斷入侵者的非法操作,記錄入侵主機(jī)相關(guān)信息等;

3)企業(yè)網(wǎng)的接入安全企業(yè)網(wǎng)安全監(jiān)控的另一主要目的即對企業(yè)網(wǎng)內(nèi)部的非法接入進(jìn)行監(jiān)控,發(fā)現(xiàn)非法入網(wǎng)者,主動地采取相關(guān)措施避免和阻止類似情況的發(fā)生,實現(xiàn)企業(yè)網(wǎng)安全的外部屏障;

4)安全審計,監(jiān)控系統(tǒng)應(yīng)當(dāng)具備記錄監(jiān)控信息的能力;

5)通訊機(jī)制,除了各子系統(tǒng)本身的主動式的反應(yīng)機(jī)制、通訊機(jī)制和控制機(jī)制以外,監(jiān)控系統(tǒng)還應(yīng)當(dāng)建立通訊體系,向上級監(jiān)控模塊提供安全監(jiān)控信息,為管理機(jī)構(gòu)制定相關(guān)策略提供有價值的參考。

3.2 ANSMS 系統(tǒng)設(shè)計方案

主動式網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)(ANSMS,Active Network Security Monitor System)從功能上可分為兩個子系統(tǒng):主機(jī)強(qiáng)制訪問控制監(jiān)控子系統(tǒng)(MACMS,Mandatory Access Control Monitor Subsystem)和企業(yè)網(wǎng)非法接入防范子系統(tǒng)(ICMS,Illegal Connection Monitor Subsystem)。主機(jī)強(qiáng)制訪問控制監(jiān)控子系統(tǒng)主要分為四個模塊:強(qiáng)制訪問控制模塊、入侵檢測模塊、審計模塊和通訊模塊。

1)強(qiáng)制訪問控制模塊:建立和管理安全標(biāo)簽庫,實現(xiàn)對用戶進(jìn)程和文件安全標(biāo)簽的管理,在對進(jìn)程和文件的安全標(biāo)簽進(jìn)行比較后,根據(jù)相關(guān)規(guī)則決定進(jìn)程對文件的操作權(quán)限和操作方式;

2)入侵檢測模塊,檢測網(wǎng)絡(luò)入侵操作并進(jìn)行阻斷,記錄入侵主機(jī)的IP地址和入侵時間,將其記入安全日志當(dāng)中;

3)安全審計模塊對強(qiáng)制訪問控制的監(jiān)控信息進(jìn)行安全審計,記錄入侵主機(jī)和非法操作進(jìn)程,統(tǒng)計和審核,對高危險性和頻繁多發(fā)的操作進(jìn)行分類和統(tǒng)計;

4)通訊模塊與安全監(jiān)控模塊實現(xiàn)通訊,及時地通報和匯總安全信息。企業(yè)網(wǎng)非法接入防范子系統(tǒng)主要分為四個模塊:非法接入的檢測模塊、非法接入的處理模塊和審計模塊。

4 企業(yè)網(wǎng)防范非法接入監(jiān)控子系統(tǒng)

4.1 非法接入防范策略

非法接入是指沒有經(jīng)過科技部門允許直接將各類計算機(jī)和移動設(shè)備接入內(nèi)聯(lián)網(wǎng)的行為。網(wǎng)絡(luò)上出現(xiàn)不經(jīng)常使用的IP、IP和MAC映射表與科技部門認(rèn)定的不一致等現(xiàn)象,都可以認(rèn)為是非法接入。這類非法事件雖不是暴力入侵,但可能在內(nèi)聯(lián)網(wǎng)傳播病毒、移植木馬和泄露內(nèi)聯(lián)網(wǎng)業(yè)務(wù)機(jī)密信息等嚴(yán)重的后果,而且發(fā)生的主要原因是內(nèi)控措施不利和內(nèi)部人員的安全意識不夠,所以很難預(yù)防和控制。

非法接入的主要途徑――IP 地址盜用侵害了 Internet 網(wǎng)絡(luò)的中正常用戶的權(quán)益,并且給網(wǎng)絡(luò)計費、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)運(yùn)行帶來巨大的負(fù)面影響,因此解決 IP地址盜用成為當(dāng)前一個迫切的問題?；贗P盜用的非法接入的形式繁多,常見的主要有以下幾種:不經(jīng)過系統(tǒng)分配自己配置IP地址;修改 IP-MAC 地址對為合法用戶的地址;收發(fā)數(shù)據(jù)包時修改IP 地址。

在上述防范措施的基礎(chǔ)上,結(jié)合用戶認(rèn)證和IP-MAC-PORT三者綁定的技術(shù),首先確保合法用戶通過認(rèn)證,再通過SNMP協(xié)議編寫相關(guān)的網(wǎng)絡(luò)管理軟件,輪詢交換機(jī)等網(wǎng)絡(luò)設(shè)備,獲取當(dāng)前網(wǎng)絡(luò)中主機(jī)的IP地址和MAC地址等信息,與原始IP-MAC對照表進(jìn)行比對,進(jìn)而發(fā)現(xiàn)非法的IP地址和接入點。企業(yè)網(wǎng)監(jiān)控著重于監(jiān)控網(wǎng)絡(luò)當(dāng)前主機(jī)狀況,發(fā)現(xiàn)非法接入點,采取相關(guān)行動阻止非法用戶接入網(wǎng)內(nèi)。具體的設(shè)計方案為:用戶注冊模塊,IP盜用檢測模塊,IP盜用處理模塊,安全審計模塊,通訊模塊和安全監(jiān)控模塊。

4.2 簡單網(wǎng)絡(luò)管理協(xié)議 SNMP

SNMP 的網(wǎng)絡(luò)管理模型包括以下關(guān)鍵元素:管理站、者、管理信息庫、網(wǎng)絡(luò)管理協(xié)議。管理站一般是一個分立的設(shè)備,也可以利用共享系統(tǒng)實現(xiàn)。管理站被作為網(wǎng)絡(luò)管理員與網(wǎng)絡(luò)管理系統(tǒng)的接口。SNMP 中的對象是表示被管資源某一方面的數(shù)據(jù)變量。對象被標(biāo)準(zhǔn)化為跨系統(tǒng)的類,對象的集合被組織為管理信息庫(MIB,Management Information Base)。MIB 作為設(shè)在者處的管理站訪問點的集合,管理站通過讀取 MIB 中對象的值來進(jìn)行網(wǎng)絡(luò)監(jiān)控。管理站可以在者處產(chǎn)生動作,也可以通過修改變量值改變者處的配置。

SNMP 的規(guī)范 SMI(Structure of Management Information)為定義和構(gòu)造MIB提供了一個通用的框架。同時也規(guī)定了可以在MIB中使用的數(shù)據(jù)類型,說明了資源在 MIB 中怎樣表示和命名。SMI 避開復(fù)雜的數(shù)據(jù)類型是為了降低實現(xiàn)的難度和提高互操作性。MIB 中的每個對象類型都被賦予一個對象標(biāo)識符(OID),以此來命名對象。另外,由于對象標(biāo)識符的值是層次結(jié)構(gòu)的,因此命名方法本身也能用于確認(rèn)對象類型的結(jié)構(gòu)。

在 TCP/IP 網(wǎng)絡(luò)管理的建議標(biāo)準(zhǔn)中,提出了多個相互獨立的 MIB,其中包含為 Internet 的網(wǎng)絡(luò)管理而開發(fā)的 MIB-II。管理站和者之間以傳送 SNMP 消息的形式交換信息。每個消息包含一個指示 SNMP 版本號的版本號,一個用于本次交換的共同體名,和一個指出 5 種協(xié)議數(shù)據(jù)單元之一的消息類型。

4.3 非法接入防范子系統(tǒng)

SNMP++是一套 C++類的集合,它為網(wǎng)絡(luò)管理應(yīng)用的開發(fā)者提供了 SNMP 服務(wù)。SNMP++并非是現(xiàn)有的 SNMP 引擎的擴(kuò)充或者封裝。事實上為了效率和方便移植,它只用到了現(xiàn)有的 SNMP 庫里面極少的一部分。SNMP++也不是要取代其他已有的 SNMPAPI,比如 WinSNMP。SNMP++只是通過提供強(qiáng)大靈活的功能,降低管理和執(zhí)行的復(fù)雜性,把面向?qū)ο蟮膬?yōu)點帶到了網(wǎng)絡(luò)編程中?？梢岳肧NMP++來實現(xiàn)非法接入防范子系統(tǒng)的設(shè)計相關(guān)工作。在具體過程中需要考慮:

1)非法用戶只修改IP地址,通過比較原始IP地址分配表可發(fā)現(xiàn)非法的IP地址,進(jìn)而關(guān)閉其端口,阻止其接入企業(yè)網(wǎng);

2)非法用戶成對修改 IP-MAC 地址方面。

5 結(jié)束語

隨著 Internet 的運(yùn)用愈加廣泛,網(wǎng)絡(luò)安全和信息安全的問題日益突出,入侵主機(jī)通過修改相關(guān)設(shè)置入侵企業(yè)網(wǎng)并在網(wǎng)內(nèi)主機(jī)上安置木馬程序,對企業(yè)網(wǎng)內(nèi)部資源造成很大的危害,嚴(yán)重影響了企業(yè)網(wǎng)內(nèi)部資源的共享和保密性要求。論文提出的主動式網(wǎng)絡(luò)安全監(jiān)控可有效的解決本地和網(wǎng)絡(luò)入侵以及外部非法接入的隱患,具有較高的安全性、易用性和可擴(kuò)展性。

篇11

企業(yè)網(wǎng)絡(luò)安全主要來自以下幾個方面：①來自INTERNET的安全問題；②來自外部網(wǎng)絡(luò)的安全威脅；③來自內(nèi)部網(wǎng)絡(luò)的安全威脅。

針對以上安全威脅，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計算機(jī)網(wǎng)絡(luò)中存在的安全隱患，本文介紹一種靜態(tài)技術(shù)和動態(tài)技術(shù)相結(jié)合的安全解決方案，即在網(wǎng)絡(luò)中的各個部分采取多種安全防范技術(shù)來構(gòu)筑企業(yè)網(wǎng)絡(luò)整體安全體系：①防病毒技術(shù)；②防火墻技術(shù)；③入侵檢測技術(shù)；④網(wǎng)絡(luò)性能監(jiān)控及故障分析技術(shù)；⑤漏洞掃描安全評估技術(shù)；⑥主機(jī)訪問控制。

一、防病毒技術(shù)

對于企業(yè)網(wǎng)絡(luò)及網(wǎng)內(nèi)大量的計算機(jī)，各種病毒更是防不勝防，如宏病毒和變形病毒。徹底清除病毒，必須采用多層的病毒防護(hù)體系。企業(yè)網(wǎng)絡(luò)防病毒系統(tǒng)采用多層的病毒防衛(wèi)體系和層次化的管理結(jié)構(gòu)，即在企業(yè)信息中心設(shè)防病毒控制臺，通過該控制臺控制各二級網(wǎng)絡(luò)中各個服務(wù)器和工作站的防病毒策略，監(jiān)督整個網(wǎng)絡(luò)系統(tǒng)的防病毒軟件配置和運(yùn)行情況，并且能夠進(jìn)行相應(yīng)策略的統(tǒng)一調(diào)整和管理：在較大的下屬子公司設(shè)置防病毒服務(wù)器，負(fù)責(zé)防病毒策略的設(shè)置、病毒代碼分發(fā)等工作。其中信息中心控制臺作為中央控制臺負(fù)責(zé)控制各分控制臺的防病毒策略，采集網(wǎng)絡(luò)中所有客戶端防毒軟件的運(yùn)行狀態(tài)和配置參數(shù)，對客戶端實施分組管理等。管理員可以通過管理員客戶端遠(yuǎn)程登錄到網(wǎng)絡(luò)中的所有管理服務(wù)器上，實現(xiàn)對整個網(wǎng)絡(luò)的管理。根據(jù)需要各個管理服務(wù)器還可以由專門的區(qū)域管理員管理。管理服務(wù)器負(fù)責(zé)收集網(wǎng)絡(luò)中的客戶端的實時信息，分發(fā)管理員制定的防毒安全策略等。

配套軟件：冠群金辰KILL6.0。KILL采用服務(wù)器/客戶端構(gòu)架，實時保護(hù)Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系統(tǒng)的服務(wù)器及Internet網(wǎng)關(guān)服務(wù)器，防止各種引導(dǎo)型病毒、文件型病毒、宏病毒、傳播速度快且破壞性很大的蠕蟲病毒進(jìn)入企業(yè)內(nèi)部網(wǎng)，阻止不懷好意的Java、ActiveX小程序等攻擊企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。它通過全方位的網(wǎng)絡(luò)管理、多種報警機(jī)制、完整的病毒報告、支持遠(yuǎn)程服務(wù)器、軟件自動分發(fā)，幫助管理員更好的實施網(wǎng)絡(luò)防病毒工作。

二、防火墻技術(shù)

防火墻是一種形象的說法, 其實它是一種由計算機(jī)硬件和軟件的組合, 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)( scurity gateway), 從而抵御網(wǎng)絡(luò)外部安全威脅，保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入，它是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（局域網(wǎng)或城域網(wǎng)）隔開的屏障，控制客戶機(jī)和真實服務(wù)器之間的通訊，主要包括以下幾方面的功能：①隔離不信任網(wǎng)段間的直接通訊；②拒絕非法訪問；③系統(tǒng)認(rèn)證；④日志功能。在計算機(jī)網(wǎng)絡(luò)中設(shè)置防火墻后，可以有效防止非法訪問，保護(hù)重要主機(jī)上的數(shù)據(jù)，提高網(wǎng)絡(luò)的安全性。

配套軟件：NetScreen。NetScreen是唯一把防火墻、負(fù)載均衡及流量控制結(jié)合起來，且提供100M的線速性能的軟硬件相結(jié)合的產(chǎn)品，在Internet出口、撥號接入入口、企業(yè)關(guān)鍵服務(wù)器的前端及與電信、聯(lián)通的連接出口處增設(shè)NetScreen-100f防火墻，可以實現(xiàn)企業(yè)網(wǎng)絡(luò)與外界的安全隔離，保護(hù)企業(yè)的關(guān)鍵信息。

三、入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）是一種為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是對防火墻的必要補(bǔ)充，它可以對系統(tǒng)或網(wǎng)絡(luò)資源進(jìn)行實時檢測，及時發(fā)現(xiàn)惡意入侵者或識別出對計算機(jī)的非法訪問行為，并對其進(jìn)行隔離，并能收集可以用來訴訟的犯罪證據(jù)。

配套軟件： eTrust Intrusion Detection(Sessionwall-3)。利用基于網(wǎng)絡(luò)的eTrust Intrusion Detection建立入侵檢測系統(tǒng)來保證企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性。

首先，信息管理中心設(shè)立整個網(wǎng)絡(luò)監(jiān)控系統(tǒng)的控制中心。通過該控制臺，管理員能夠?qū)ζ渌W(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行監(jiān)控和配置。在該機(jī)器上安裝集中控制的eID中央控制臺模塊、eID日志服務(wù)器模塊和eID日志瀏覽器模塊，使所有eTrust Intrusion Detection監(jiān)控工作站處于集中控制之下，該安全主控臺也被用于集中管理所有的主機(jī)保護(hù)系統(tǒng)軟件。

其次，在Internet出口路由器和防火墻之間部署一套eTrust Intrusion Detection的監(jiān)控工作站，重點解決與Internet的邊界安全問題，在這些工作站上安裝軟件，包括eID基本模塊、eID模塊和日志數(shù)據(jù)庫客戶端。

四、網(wǎng)絡(luò)性能監(jiān)控及故障分析

性能監(jiān)控和故障分析就是利用計算機(jī)的網(wǎng)絡(luò)接口截獲目的地址為其他計算機(jī)的數(shù)據(jù)報文的一種技術(shù)。該技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面，它自動接收著來自網(wǎng)絡(luò)的各種信息，通過對這些數(shù)據(jù)的分析，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。

配套軟件——NAI Sniffer。NAI Sniffer 是一套功能強(qiáng)大的網(wǎng)絡(luò)故障偵測工具，它可以幫助用戶快速診斷網(wǎng)絡(luò)故障原因，并提出具體的解決辦法。在信息中心安裝這樣的工具，用于對網(wǎng)絡(luò)流量和狀態(tài)進(jìn)行監(jiān)控，而且無論全網(wǎng)任何地方發(fā)生問題時，都可以利用它及時診斷并排除故障。

五、網(wǎng)絡(luò)系統(tǒng)的安全評估

網(wǎng)絡(luò)安全性之所以這么低的一個主要原因就是系統(tǒng)漏洞。譬如管理漏洞、軟件漏洞、結(jié)構(gòu)漏洞、信任漏洞。采用安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合來檢測系統(tǒng)安全漏洞。

網(wǎng)絡(luò)安全漏洞掃描系統(tǒng)通常安裝在一臺與網(wǎng)絡(luò)有連接的主機(jī)上。系統(tǒng)中配有一個信息庫，其中存放著大量有關(guān)系統(tǒng)安全漏洞和可能的黑客攻擊行為的數(shù)據(jù)。掃描系統(tǒng)根據(jù)這些信息向網(wǎng)絡(luò)上的其他主機(jī)和網(wǎng)絡(luò)設(shè)備發(fā)送數(shù)據(jù)包，觀察被掃描的設(shè)備是否存在與信息庫中記錄的內(nèi)容相匹配的安全漏洞。掃描的內(nèi)容包括主機(jī)操作系統(tǒng)本身、操作系統(tǒng)的配置、防火墻配置、網(wǎng)路設(shè)備配置以及應(yīng)用系統(tǒng)等。

網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面：①速度。在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時；②網(wǎng)絡(luò)拓?fù)?。通過GUI的圖形界面，可選擇一個或某些區(qū)域的設(shè)備；③能夠發(fā)現(xiàn)的漏洞數(shù)量；④是否支持可定制的攻擊方法；⑤掃描器應(yīng)該能夠給出清楚的安全漏洞報告。⑥更新周期。提供該項產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安全漏洞掃描特性升級，并給出相應(yīng)的改進(jìn)建議。

通過網(wǎng)絡(luò)掃描，系統(tǒng)管理員可以及時發(fā)現(xiàn)網(wǎng)路中存在的安全隱患，并加以必要的修補(bǔ)，從而減小網(wǎng)絡(luò)被攻擊的可能。

配套軟件：Symantec Enterprise Security Manger 5.5。

六、主機(jī)防護(hù)系統(tǒng)

在一個企業(yè)的網(wǎng)絡(luò)環(huán)境中，大部分信息是以文件、數(shù)據(jù)庫的形式存放在服務(wù)器中的。在信息中心，使用WWW、Mail、文件服務(wù)器、數(shù)據(jù)庫服務(wù)器來對內(nèi)部、外部用戶提供信息。但無論是UNIX還是Windows 9X/NT/2K，都存在著這樣和那樣的安全薄弱環(huán)節(jié)，存放在這些機(jī)器上的關(guān)鍵業(yè)務(wù)數(shù)據(jù)存在著被破壞和竊取的風(fēng)險。因此，對主機(jī)防護(hù)提出了專門的需求。

配套軟件：CA eTrust Access。eTrust Access Control在操作系統(tǒng)的安全功能之上提供了一個安全保護(hù)層。通過從核心層截取文件訪問控制，以加強(qiáng)操作系統(tǒng)安全性。它具有完整的用戶認(rèn)證，訪問控制及審計的功能，采用集中式管理，克服了分布式系統(tǒng)在管理上的許多問題。

通過eTrust Access Control，我們可以集中維護(hù)多臺異構(gòu)平臺的用戶、組合安全策略，以簡化安全管理工作。

通過以上幾種安全措施的實施，從系統(tǒng)級安全到桌面級安全，從靜態(tài)訪問控制到動態(tài)入侵檢測主要層面：方案覆蓋網(wǎng)絡(luò)安全的事前弱點漏洞分析修正、事中入侵行為監(jiān)控響應(yīng)和事后信息監(jiān)控取證的全過程，從而全面解決企業(yè)的信息安全問題，使企業(yè)網(wǎng)絡(luò)避免來自內(nèi)外部的攻擊，防止病毒對主機(jī)的侵害和在網(wǎng)絡(luò)中的傳播。使整個網(wǎng)絡(luò)的安全水平有很大程度的提高。

篇12

1 概述

有別于有線網(wǎng)絡(luò)的設(shè)備可利用線路找尋設(shè)備信息，無論是管理、安全、記錄信息，比起無線網(wǎng)絡(luò)皆較為方便，相較之下無線網(wǎng)絡(luò)的環(huán)境較復(fù)雜。無線網(wǎng)絡(luò)安全問題最令人擔(dān)心的原因在于，無線網(wǎng)絡(luò)僅透過無線電波透過空氣傳遞訊號，一旦內(nèi)部架設(shè)發(fā)射訊號的儀器，在收訊可及的任一節(jié)點，都能傳遞無線訊號，甚至使用接收無線訊號的儀器，只要在訊號范圍內(nèi)，即便在圍墻外，都能截取訊號信息。

因此管理無線網(wǎng)絡(luò)安全維護(hù)比有線網(wǎng)絡(luò)更具挑戰(zhàn)性，有鑒于政府機(jī)關(guān)推廣于民眾使用以及企業(yè)逐漸在公司內(nèi)部導(dǎo)入無線網(wǎng)絡(luò)架構(gòu)之需求，本篇論文特別針對無線網(wǎng)絡(luò)Wi-Fi之使用情境進(jìn)行風(fēng)險評估與探討，以下將分別探討無線網(wǎng)絡(luò)傳輸可能產(chǎn)生的風(fēng)險，以及減少風(fēng)險產(chǎn)生的可能性，進(jìn)而提出建議之無線網(wǎng)絡(luò)建置規(guī)劃檢查項目。

2 無線網(wǎng)絡(luò)傳輸風(fēng)險

現(xiàn)今無線網(wǎng)絡(luò)裝置架設(shè)便利，簡單設(shè)定后即可進(jìn)行網(wǎng)絡(luò)分享，且智能型行動裝置已具備可架設(shè)熱點功能以分享網(wǎng)絡(luò)，因此皆可能出現(xiàn)不合法之使用者聯(lián)機(jī)合法基地臺，或合法使用者聯(lián)機(jī)至未經(jīng)核可之基地臺情形。倘若企業(yè)即將推動內(nèi)部無線上網(wǎng)服務(wù)，或者考慮網(wǎng)絡(luò)存取便利性，架設(shè)無線網(wǎng)絡(luò)基地臺，皆須評估當(dāng)內(nèi)部使用者透過行動裝置聯(lián)機(jī)機(jī)關(guān)所提供之無線網(wǎng)絡(luò)，所使用之聯(lián)機(jī)傳輸加密機(jī)制是否合乎信息安全規(guī)范。

倘若黑客企圖偽冒企業(yè)內(nèi)部合法基地臺提供聯(lián)機(jī)時，勢必會造成行動裝置之企業(yè)數(shù)據(jù)遭竊取等風(fēng)險。以下將對合法使用者在未知的情況下聯(lián)機(jī)至偽冒的無線網(wǎng)絡(luò)基地臺，以及非法使用者透過加密機(jī)制的弱點破解無線網(wǎng)絡(luò)基地臺，針對這2個情境加以分析其風(fēng)險。

2.1 偽冒基地機(jī)風(fēng)險

目前黑客的攻擊常會偽冒正常的無線網(wǎng)絡(luò)基地臺（Access Point，以下簡稱AP），而偽冒的AP在行動裝置普及的現(xiàn)今，可能會讓用戶在不知情的情況下進(jìn)行聯(lián)機(jī)，當(dāng)連上線后，攻擊者即可進(jìn)行中間人攻擊（Man-in-the-Middle，簡稱MitMAttack），取得被害人在網(wǎng)絡(luò)上所傳輸?shù)臄?shù)據(jù)。情境之架構(gòu)詳見圖1，利用偽冒AP攻擊，合法使用者無法辨識聯(lián)機(jī)上的AP是否合法，而一旦聯(lián)機(jī)成功后黑客即可肆無忌憚的竊取行動裝置上所有的數(shù)據(jù)，造成個人數(shù)據(jù)以及存放于行動裝置上之機(jī)敏數(shù)據(jù)外泄的疑慮存在。企業(yè)在部署無線局域網(wǎng)絡(luò)時，需考慮該類風(fēng)險問題。

2.2 弱加密機(jī)制傳輸風(fēng)險

WEP （Wired Equivalent Privacy）為一無線加密協(xié)議保護(hù)無線局域網(wǎng)絡(luò)（Wireless LAN，以下簡稱WLAN）數(shù)據(jù)安全的加密機(jī)制，因WEP的設(shè)計是要提供和傳統(tǒng)有線的局域網(wǎng)絡(luò)相當(dāng)?shù)臋C(jī)密性，隨著計算器運(yùn)算能力提升，許多密碼分析學(xué)家已經(jīng)找出WEP好幾個弱點，但WEP加密方式是目前仍是許多無線基地臺使用的防護(hù)方式，由于WEP安全性不佳，易造成被輕易破解。

許多的無線破解工具皆已存在且純熟，因此利用WEP認(rèn)證加密之無線AP，當(dāng)破解被其金鑰后，即可透過該AP連接至該無線局域網(wǎng)絡(luò)，再利用探測軟件進(jìn)行無線局域網(wǎng)絡(luò)掃描，取得該無線局域網(wǎng)絡(luò)內(nèi)目前有哪些聯(lián)機(jī)的裝置。

當(dāng)使用者使用行動裝置連上不安全的網(wǎng)絡(luò)，可能因本身行動裝置設(shè)定不完全，而將弱點曝露在不安全的網(wǎng)絡(luò)上，因此當(dāng)企業(yè)允許使用者透過行動裝置進(jìn)行聯(lián)機(jī)時，除了提醒使用者應(yīng)加強(qiáng)自身終端安全外，更應(yīng)建置安全的無線網(wǎng)絡(luò)架構(gòu)，以提供使用者使用。

3 無線網(wǎng)絡(luò)安全架構(gòu)

近年許多企業(yè)逐漸導(dǎo)入無線局域網(wǎng)絡(luò)服務(wù)以提供內(nèi)部使用者及訪客使用。但在提供便利的同時，如何達(dá)到無線局域網(wǎng)絡(luò)之安全，亦為重要。

3.1 企業(yè)無線局域網(wǎng)安全目標(biāo)

企業(yè)之無線網(wǎng)絡(luò)架構(gòu)應(yīng)符合無線局域網(wǎng)絡(luò)安全目標(biāo)：機(jī)密性、完整性與驗證性。

機(jī)密性（Confidentiality）

無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)防范機(jī)密不可泄漏給未經(jīng)授權(quán)之人或程序，且無線網(wǎng)絡(luò)架構(gòu)應(yīng)將對外提供給一般使用者網(wǎng)絡(luò)以及內(nèi)部所使用之內(nèi)部網(wǎng)絡(luò)區(qū)隔開。無線網(wǎng)絡(luò)架構(gòu)之加密需采用安全性即高且不易被破解的方式，并可對無線網(wǎng)絡(luò)使用進(jìn)行稽核。

完整性（Integrity）

無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)確認(rèn)辦公室環(huán)境內(nèi)無其它無線訊號干擾源，并保證員工無法自行架設(shè)非法無線網(wǎng)絡(luò)存取點設(shè)備，以確保在使用無線網(wǎng)絡(luò)時傳輸不被中斷或是攔截。對于內(nèi)部使用者，可建立一個隔離區(qū)之無線網(wǎng)絡(luò)，僅提供外部網(wǎng)際網(wǎng)絡(luò)連路連接，并禁止存取機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)。

認(rèn)證性（Authentication）

建議無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)提供使用者及設(shè)備進(jìn)行身份驗證，讓使用者能確保自己設(shè)備安全性，且能區(qū)分存取控制權(quán)限。無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)需進(jìn)行使用者身份控管，以杜絶他人（允許的訪客除外）擅用機(jī)關(guān)的無線網(wǎng)絡(luò)。

因應(yīng)以上無線局域網(wǎng)絡(luò)安全目標(biāo)，應(yīng)將網(wǎng)絡(luò)區(qū)分為內(nèi)部網(wǎng)絡(luò)及一般網(wǎng)絡(luò)等級，依其不同等級實施不同的保護(hù)措施及其應(yīng)用，說明如下。

內(nèi)部網(wǎng)絡(luò)：

為網(wǎng)絡(luò)內(nèi)負(fù)責(zé)傳送一般非機(jī)密性之行政資料，其系統(tǒng)能處理中信任度信息，并使用機(jī)關(guān)內(nèi)部加密認(rèn)證以定期更變密碼，且加裝防火墻、入侵偵測等作業(yè)。

一般網(wǎng)絡(luò)：

主要在提供非企業(yè)內(nèi)部人員或訪客使用之網(wǎng)絡(luò)系統(tǒng)，不與內(nèi)部其它網(wǎng)絡(luò)相連，其網(wǎng)絡(luò)系統(tǒng)僅能處與基本信任度信息，并加裝防火墻、入侵偵測等機(jī)制。

因此建議企業(yè)在建構(gòu)無線網(wǎng)絡(luò)架構(gòu)，須將內(nèi)部網(wǎng)絡(luò)以及提供給一般使用者之一般網(wǎng)絡(luò)區(qū)隔開，以達(dá)到無線網(wǎng)絡(luò)安全目標(biāo)，以下將提供無線辦公方案及無線訪客方案提供給企業(yè)導(dǎo)入無線網(wǎng)絡(luò)架構(gòu)時作為參考使用。

3.2內(nèi)部網(wǎng)絡(luò)安全架構(gòu)

減輕無線網(wǎng)絡(luò)風(fēng)險之基礎(chǔ)評估，應(yīng)集中在四個方面：人身安全、AP位置、AP設(shè)定及安全政策。人身安全方面，須確保非企業(yè)內(nèi)部使用者無法存取辦公室范圍內(nèi)之無線內(nèi)部網(wǎng)絡(luò)，僅經(jīng)授權(quán)之企業(yè)內(nèi)部使用者可存取?？墒褂糜跋裾J(rèn)證、卡片識別、使用者賬號密碼或生物識別設(shè)備以進(jìn)行人身安全驗證使用者身份。企業(yè)信息管理人員須確保AP安裝在受保護(hù)的建筑物內(nèi)，且使用者須經(jīng)過適當(dāng)?shù)纳矸蒡炞C才允許進(jìn)入，而只有企業(yè)信息管理人員允許存取并管理無線網(wǎng)絡(luò)設(shè)備。

企業(yè)信息管理人員須將未經(jīng)授權(quán)的使用者訪問企業(yè)外部無線網(wǎng)絡(luò)之可能性降至最低，評估每臺AP有可能造成的網(wǎng)絡(luò)安全漏洞，可請網(wǎng)絡(luò)工程師進(jìn)行現(xiàn)場調(diào)查，確定辦公室內(nèi)最適當(dāng)放置AP的位置以降低之風(fēng)險。只要企業(yè)使用者擁有存取無線內(nèi)部網(wǎng)絡(luò)能力，攻擊者仍有機(jī)會竊聽辦公室無線網(wǎng)絡(luò)通訊，建議企業(yè)將無線網(wǎng)絡(luò)架構(gòu)放置于防火墻外，并使用高加密性VPN以保護(hù)流量通訊，此配置可降低無線網(wǎng)絡(luò)竊聽風(fēng)險。

企業(yè)應(yīng)側(cè)重于AP配置之相關(guān)漏洞。由于大部分AP保留了原廠之預(yù)設(shè)密碼，企業(yè)信息管理人員需使用復(fù)雜度高之密碼以確保密碼安全，并定期更換密碼。企業(yè)應(yīng)制定相關(guān)無線內(nèi)部網(wǎng)絡(luò)安全政策，包括規(guī)定使用最小長度為8個字符且參雜特殊符號之密碼設(shè)置、定期更換安全性密碼、進(jìn)行使用者M(jìn)AC控管以控制無線網(wǎng)絡(luò)使用情況。

為提供安全無線辦公室環(huán)境，企業(yè)應(yīng)進(jìn)行使用者M(jìn)AC控管，并禁用遠(yuǎn)程SNMP協(xié)議，只允許使用者使用本身內(nèi)部主機(jī)。由于大部分廠商在加密SSID上使用預(yù)設(shè)驗證金鑰，未經(jīng)授權(quán)之設(shè)備與使用者可嘗試使用預(yù)設(shè)驗證金鑰以存取無線內(nèi)部網(wǎng)絡(luò)，因此企業(yè)應(yīng)使用內(nèi)部使用者賬號與密碼之身份驗證以控管無線內(nèi)部網(wǎng)絡(luò)之存取。

企業(yè)應(yīng)增加額外政策，要求存取無線內(nèi)部網(wǎng)絡(luò)之設(shè)備系統(tǒng)需進(jìn)行安全性更新和升級，定期更新系統(tǒng)安全性更新和升級有助于降低攻擊之可能性。此外，政策應(yīng)規(guī)定若企業(yè)內(nèi)部使用者之無線裝置遺失或被盜，企業(yè)內(nèi)部使用者應(yīng)盡快通知企業(yè)信息管理人員，以防止該IP地址存取無線內(nèi)部網(wǎng)絡(luò)。

為達(dá)到一個安全的無線內(nèi)部網(wǎng)絡(luò)架構(gòu)，建議企業(yè)采用IPS設(shè)備以進(jìn)行無線環(huán)境之防御。IPS設(shè)備有助于辨識是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部無線內(nèi)部網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為，并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無線網(wǎng)絡(luò)之間的通訊都需經(jīng)過IPS做保護(hù)與進(jìn)一步分析，為一種整體縱深防御之策略。

考慮前述需求，本篇論文列出建構(gòu)無線內(nèi)部網(wǎng)絡(luò)應(yīng)具備之安全策略，并提供一建議無線內(nèi)部網(wǎng)絡(luò)安全架構(gòu)示意圖以提供企業(yè)信息管理人員作為風(fēng)險評估之參考，詳見表1。

企業(yè)在風(fēng)險評估后確認(rèn)實現(xiàn)無線辦公室環(huán)境運(yùn)行之好處優(yōu)于其它威脅風(fēng)險，始可進(jìn)行無線內(nèi)部網(wǎng)絡(luò)架構(gòu)建置。然而，盡管在風(fēng)險評估上實行徹底，但無線網(wǎng)絡(luò)環(huán)境之技術(shù)不斷變化與更新，安全漏洞亦日新月異，使用者始終為安全鏈中最薄弱的環(huán)節(jié)，建議企業(yè)必須持續(xù)對企業(yè)內(nèi)部使用者進(jìn)行相關(guān)無線安全教育，以達(dá)到縱深防御之目標(biāo)。

另外，企業(yè)應(yīng)定期進(jìn)行安全性更新和升級會議室公用網(wǎng)絡(luò)之系統(tǒng)，定期更新系統(tǒng)安全性更新和升級有助于降低攻擊之可能性。為達(dá)到一個安全的會議室公用網(wǎng)絡(luò)架構(gòu)，建議企業(yè)采用IPS設(shè)備以進(jìn)行無線環(huán)境之防御。

IPS設(shè)備有助于辨識是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部會議室公用網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為，并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無線網(wǎng)絡(luò)之間的通訊都需經(jīng)過IPS做保護(hù)與進(jìn)一步分析，為一種整體縱深防御策略。

4 結(jié)論

由于無線網(wǎng)絡(luò)的存取及使用上存在相當(dāng)程度的風(fēng)險，更顯無線局域網(wǎng)絡(luò)的安全性之重要，本篇論文考慮無線網(wǎng)絡(luò)聯(lián)機(jī)存取之相關(guān)風(fēng)險與安全聯(lián)機(jī)的準(zhǔn)則需求，有鑒于目前行動裝置使用量大增，企業(yè)可能面臨使用者要求開放無線網(wǎng)絡(luò)之需求，應(yīng)建立相關(guān)無線網(wǎng)絡(luò)方案，本研究針對目前常見之無線網(wǎng)絡(luò)風(fēng)險威脅為出發(fā)，以及內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)使用者，針對不同安全需求強(qiáng)度，規(guī)劃無線網(wǎng)絡(luò)使用方案，提供作為建置參考依據(jù)，進(jìn)而落實傳輸風(fēng)險管控，加強(qiáng)企業(yè)網(wǎng)絡(luò)安全強(qiáng)度。

參考文獻(xiàn)：

[1] Gast M S.Wireless Networks： The Definitive Guide[M].O’Reilly， 2002.

[2] Edney J， Arbaugh W A.Security：Wi-Fi Protected Access and 802.11[M].Addison-Wesley，2004.

[3] R. Guha， Z. Furqan， S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007， Orlando， FL， 2007（10）：29-31.

篇13

1.1、鋼鐵企業(yè)信息化的必要性分析

隨著我國經(jīng)濟(jì)的發(fā)展和科技的進(jìn)步，信息化已在越來越多的企業(yè)中被得到應(yīng)用，而鋼鐵企業(yè)作為我國的經(jīng)濟(jì)支柱之一，在近年來也逐漸實現(xiàn)了鋼鐵企業(yè)的信息化建設(shè)。在鋼鐵企業(yè)中實施信息化建設(shè)，一方面是可以將鋼鐵企業(yè)的發(fā)展空間擴(kuò)大，提高企業(yè)本身的在市場的競爭力，使其在如今競爭激勵的市場中占有一席之地，對鋼鐵企業(yè)實施信息化建設(shè)是企業(yè)發(fā)展的需要;另一方面，由于鋼鐵企業(yè)的業(yè)務(wù)，其所涉及到數(shù)據(jù)、文檔和圖紙等的數(shù)量都是比較多的，想要將這些數(shù)據(jù)、文檔和圖紙儲存起來是一件不容易的事，操作起來比較復(fù)雜，而通過信息化技術(shù)的支持則可以大大的簡化了這個儲存操作的過程，便于人員進(jìn)行操作，使鋼鐵企業(yè)的運(yùn)行效率得到大大的提高，對鋼鐵企業(yè)實施信息化建設(shè)是企業(yè)管理的需要。除此之外，隨著生產(chǎn)鏈全球化和供應(yīng)鏈全球化的日益緊密，鋼鐵企業(yè)作為我國的經(jīng)濟(jì)支柱之一，要求其利用信息化管理加強(qiáng)對鋼鐵生產(chǎn)建設(shè)的指導(dǎo)的迫切性已是越來越突出。因此，對鋼鐵企業(yè)實施信息化建設(shè)是非常有必要的，它不僅僅是鋼鐵企業(yè)本身發(fā)展的需要，也是鋼鐵企業(yè)管理的需要，同時也還是生產(chǎn)鏈全球化和供應(yīng)鏈全球化對鋼鐵企業(yè)生產(chǎn)的要求所在。

1.2、當(dāng)前存在的問題

上述信息化優(yōu)勢證明我國電力企業(yè)近年來關(guān)于網(wǎng)絡(luò)信息化建設(shè)取得了一些成果，給行業(yè)信息化建設(shè)打下了良好的基礎(chǔ)，但在網(wǎng)絡(luò)信息安全管理方面仍普遍存在較多問題。

(1)信息化機(jī)構(gòu)建設(shè)不健全

鋼鐵企業(yè)很少為信息管理部門專門設(shè)置機(jī)構(gòu)，因而缺乏應(yīng)有的規(guī)范的崗位及建制。大多信息部門附屬在技術(shù)部、科技部或總經(jīng)理工作部門下，甚至僅設(shè)置一個專責(zé)人員負(fù)責(zé)。信息化管理是一項系統(tǒng)性的工程，沒有專門的部門負(fù)責(zé)是不能滿足現(xiàn)代企業(yè)信息化安全的需求的。

(2)企業(yè)管理阻礙信息化發(fā)展

有些鋼鐵企業(yè)管理辦法革新緩慢，大多采用較落后的、非現(xiàn)代信息化企業(yè)的管理模式。這樣的企業(yè)即便引入最完善的信息管理系統(tǒng)、最先進(jìn)的信息化設(shè)備，也只能受落后的企業(yè)管理模式所制約，無法發(fā)揮其應(yīng)有的作用。

(3)內(nèi)部監(jiān)管不足，相關(guān)法規(guī)不夠完善

內(nèi)部網(wǎng)絡(luò)安全監(jiān)管對信息安全管理起著至關(guān)重要的作用。很多信息安全案件發(fā)生的根本原因都是缺乏有效的網(wǎng)絡(luò)安全監(jiān)管，即使許多信息安全管理者認(rèn)識到了加強(qiáng)內(nèi)部監(jiān)管的重要性，但實施起來依然阻力重重。很多具體的危害信息安全的行為并沒有在現(xiàn)行的信息安全法律、法規(guī)中做出明確的界定。

(4)身份認(rèn)證缺陷

電力企業(yè)一般只建立內(nèi)部使用的信息系統(tǒng)，而企業(yè)內(nèi)部不同管理部門、不同層次員工有不同等級的授權(quán)，根據(jù)授權(quán)等級不同決定各部門和員工訪問的數(shù)據(jù)和信息不同。這類授權(quán)是以身份認(rèn)證為基礎(chǔ)的信息訪問控制，但在當(dāng)前的企業(yè)身份認(rèn)證系統(tǒng)中大多存在缺陷和漏洞，給信息安全留下隱患。

(5)軟件系統(tǒng)安全風(fēng)險較大

軟件系統(tǒng)安全風(fēng)險指兩方面，一是編寫的各種應(yīng)用系統(tǒng)可能有漏洞造成安全風(fēng)險，二是操作系統(tǒng)本身風(fēng)險，隨著近期微軟停止對windowsXP系統(tǒng)的服務(wù)支持，大量使用windowsXP系統(tǒng)的信息管理軟件都將得不到系統(tǒng)漏洞的修補(bǔ)，這無疑會給信息安全帶來極大風(fēng)險。

(6)管理人員意識不足

很多鋼鐵企業(yè)員工網(wǎng)絡(luò)安全意識參差不齊，一方面是時代的迅速發(fā)展導(dǎo)致較年輕的管理人員安全意識較高，而對網(wǎng)絡(luò)接觸較少的中老年員工網(wǎng)絡(luò)安全意識較為缺乏;另一方面也有電力企業(yè)管理制度不夠完善、忽視對員工進(jìn)行及時培訓(xùn)的原因。在這種人員背景下，如果管理人員配備不當(dāng)、信息管理系統(tǒng)設(shè)置不合理都會給企業(yè)信息埋下安全隱患。

2、完善企業(yè)網(wǎng)絡(luò)信息安全方案的具體實施

2.1、防火墻部署

防火墻是建立在內(nèi)部專有網(wǎng)絡(luò)和外部公有網(wǎng)絡(luò)之間的。所有來自公網(wǎng)的傳輸信息或從內(nèi)網(wǎng)發(fā)出的信息都必須穿過防火墻。網(wǎng)絡(luò)訪問的安全一方面我們要配置防火墻禁止對內(nèi)訪問，以防止互聯(lián)網(wǎng)上黑客的非法入侵;另一方面對允許對內(nèi)訪問的合法用戶設(shè)立安全訪問區(qū)域。防火墻是在系統(tǒng)內(nèi)部和外部之間的隔離層，可保護(hù)內(nèi)部系統(tǒng)不被外部系統(tǒng)攻擊。

通過配置安全訪問控制策略，可確保與外界可靠、安全連接。防火墻的功能是對訪問用戶進(jìn)行過濾，通過防火墻的設(shè)置，對內(nèi)網(wǎng)、公網(wǎng)、DMZ區(qū)進(jìn)行劃分，并實施安全策略，防止外部用戶或內(nèi)部用戶彼此之間的惡性攻擊。同時防火墻支持VPN功能，對經(jīng)常出差的領(lǐng)導(dǎo)、員工支持遠(yuǎn)程私有網(wǎng)絡(luò)，用戶通過公網(wǎng)可以象訪問本地內(nèi)部局域網(wǎng)一樣任意進(jìn)行訪問。此外，防火墻還可以收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，為流量監(jiān)控和入侵檢測提供可靠的數(shù)據(jù)支持。

2.2、防病毒系統(tǒng)

計算機(jī)網(wǎng)絡(luò)安全建設(shè)中其中最為關(guān)鍵的一個部分即是加強(qiáng)對防病毒系統(tǒng)的建設(shè)，這就需要在實際工作中，通過科學(xué)合理對防病毒系統(tǒng)進(jìn)行裝置，從而實現(xiàn)對病毒的集中管理，利用中心控制室來對局域網(wǎng)的計算機(jī)和服務(wù)器進(jìn)行有效的監(jiān)視，從而加強(qiáng)病毒的防范。而對于進(jìn)入到計算機(jī)系統(tǒng)內(nèi)的病毒則需要做出及時的影響，預(yù)以及時清除。

2.3、流量監(jiān)控系統(tǒng)

什么是流量監(jiān)控?眾所周知，網(wǎng)絡(luò)通信是通過數(shù)據(jù)包來完成的，所有信息都包含在網(wǎng)絡(luò)通信數(shù)據(jù)包中。兩臺計算機(jī)通過網(wǎng)絡(luò)“溝通”，是借助發(fā)送與接收數(shù)據(jù)包來完成的。所謂流量監(jiān)控，實際上就是針對這些網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行管理與控制，同時進(jìn)行優(yōu)化與限制。流量監(jiān)控的目的是允許并保證有用數(shù)據(jù)包的高效傳輸，禁止或限制非法數(shù)據(jù)包傳輸，一保一限是流量監(jiān)控的本質(zhì)。在P2P技術(shù)廣泛應(yīng)用的今天，企業(yè)部署流量監(jiān)控是非常有必要的。

2.4、合理的配置策略

通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，這樣不僅可以有效的增加網(wǎng)絡(luò)連接的靈活性，而且可以對網(wǎng)絡(luò)上的廣播進(jìn)行有效的控制，減少沒必要的廣播，從而有效的釋放帶寬，不信有效的提高網(wǎng)絡(luò)利用率，而且使網(wǎng)絡(luò)的安全性和保密性能得到有效的提升，確保了網(wǎng)絡(luò)安全管理的實現(xiàn)。

2.5、安全管理制度

目前我國還沒有制訂統(tǒng)一的網(wǎng)絡(luò)安全管理規(guī)范，所以在當(dāng)前網(wǎng)絡(luò)安全不斷受到威脅的情況下，需要我們首先在設(shè)計上對安全功能進(jìn)行完善，其次還要加強(qiáng)網(wǎng)絡(luò)安全管理制度的建立，并確保各種安全措施得以落實。對于企業(yè)中安全等級要求較高的系統(tǒng)，則需要由專人進(jìn)行管理，實行嚴(yán)格的出入管理，利用不同手段對出入人員進(jìn)行識別和登記管理，從而確保企業(yè)網(wǎng)絡(luò)信息的安全性。

總之，在計算機(jī)技術(shù)、信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展下，企業(yè)在生產(chǎn)活動中都建立了屬于自己的局域網(wǎng)和企業(yè)辦公平臺，從而使企業(yè)在生產(chǎn)和經(jīng)營過程中的數(shù)據(jù)傳輸速度加快，而且業(yè)務(wù)系統(tǒng)及管理系統(tǒng)以網(wǎng)絡(luò)分支的情況下分布開來，這對于企業(yè)管理效率的提升起到了積極的作用。網(wǎng)絡(luò)技術(shù)在企業(yè)中的應(yīng)用，有效的改變了企業(yè)的生產(chǎn)方式，推動了企業(yè)的快速發(fā)展，但其也帶來了一定的隱患，如果不能及時對網(wǎng)絡(luò)的安全進(jìn)行有效的防范，則會給企業(yè)帶來嚴(yán)重的經(jīng)濟(jì)損失。

日本免费精品视频,男人的天堂在线免费视频,成人久久久精品乱码一区二区三区,高清成人爽a毛片免费网站

企業(yè)網(wǎng)絡(luò)安全論文實用13篇

篇1

篇2

篇3

篇4

篇5

篇6

篇7

篇8

篇9

篇10

篇11

篇12

篇13

相關(guān)精選

相關(guān)文章

相關(guān)期刊

企業(yè)科協(xié)