如何制定網絡安全策略范文

導語：如何才能寫好一篇如何制定網絡安全策略，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關鍵詞：等級保護 信息系統 安全策略

中圖分類號：TP391.41 文獻標識碼：A 文章編號：1007-9416（2015）12-0000-00

隨著我國信息化建設的高速發展，信息技術水平的日益提高，眾多單位、組織都建立了自己的信息系統，以充分利用各類網絡信息資源。與此同時，各種非法入侵和盜竊、計算機病毒、拒絕服務攻擊、機密數據被篡改和竊取、網絡癱瘓等安全問題也時刻威脅著我國網絡的安全。因此，維護網絡信息安全的任務異常艱巨、繁重。信息安全等級保護制度的建立，可以有效地解決我國網絡信息安全面臨的威脅及存在的問題。

隨著信息安全等級保護工作的深入開展，不同等級信息系統之間的互聯、互通、互操作是當前研究的熱點和難點，其中，如何制定有效的安全策略，確保信息在多級互聯信息系統間安全流通，是亟待解決的關鍵問題。

1信息安全等級保護

信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

等級保護環境下的信息系統一般由安全計算環境、安全區域邊界、安全通信網絡和安全管理中心構成。其中，安全計算環境是對信息系統的信息進行存儲、處理的相關部件；安全區域邊界是對信息系統的各個區域之間實現連接并實施訪問控制的相關部件；安全通信網絡是保障信息在系統內安全傳輸及安全策略實施的相關部件；安全管理中心是對信息系統的安全策略及安全計算環境、安全區域邊界和安全通信網絡上的安全機制實施統一管理的平臺。

2多級互聯信息系統

我國信息安全等級保護標準將信息系統按照安全保護能力劃分為五個安全等級，一些重要、大型的信息系統中可能存在多個不同等級的子系統，不同等級信息系統之間要實現可信互聯，由于信任體系和運行模式不盡相同，互聯互通會導致安全風險的進一步增加，尤其是低等級信息系統可能通過惡意授權給高等級信息系統帶來權限失控風險。

因此，需要建立一個總體的安全管理中心，將不同安全等級的子系統連接在一起，通過協同合作，實現特定的功能服務，這就是多級互聯信息系統。在多級互聯信息系統中，各個子系統和互聯系統本身，都需要實施信息分級分類保護，從而確保系統間的交互協作及信息流動，保障系統的安全。

本文將在信息安全等級保護的要求下，研究多級互聯信息系統安全策略的制定，從而較好地解決多級互聯系統的安全風險問題，確保系統安全。

3多級互聯信息系統安全策略的制定

安全策略是為規范網絡安全防護工作，保證網絡正常使用、發揮網絡效能所必須強制執行的一系列要求、規范或操作。其主要作用是針對被保護對象面臨的主要威脅，圍繞安全防護目標，提出網絡安全防護具體要求，指導安全管理行動。確定并實施網絡安全策略是對網絡進行有效安全管理的基礎和依據，是網絡信息系統安全保障的核心和起點，是實現網絡安全管理和技術措施的前提。因此，為了確保多級互聯信息系統安全有效地運行，制定明確和合理的安全策略就成為了關鍵。

3.1指導思想

根據不同應用類別和安全等級防護目標的需求，給出安全防護策略的框架，研究制定各類網絡相應的安全防護策略，并保證制定的安全策略具有較高的規范性、完備性和有效性。安全策略的制定與實施應當遵循“局部策略符合全局策略、下級策略符合上級策略”的原則。同時，隨著信息技術的發展以及系統的升級、調整，安全策略也應該隨之進行重新評估和制定，隨時保持策略與安全目標的一致性，確保信息系統安全有效地運行。

3.2基本原則

基于以上思想，制定多級互聯信息系統安全策略時應遵循以下原則：

（1）統一領導，分級負責。針對系統、數據、用戶等保護對象，按照同類、同級集中的原則進行等級保護級別的劃分，確定安全保護等級對應的適用范圍及具體組織實施單位。（2）廣域監察，局域管控。依托總體安全管理中心，建立多級互聯系統廣域安全監察機制，監督、檢查各安全域網絡節點和用戶網絡安全策略的配置執行情況，監測重要骨干網絡流量，預警網絡攻擊和入侵行為，形成網絡安全實時態勢；在各安全域網絡節點和用戶網絡建立局域安全管控機制，依托各級安全管理中心，對網絡節點和用戶網絡的安全設備、主機系統的安全策略和安全事件進行集中統一管理，實現網內各類資源的可控可管，提高系統整體防護能力和維護管理效率。（3）分區分域，適度防護。根據等級保護的思想，在劃分的安全域中，一方面要遵循等級保護要求，加強主動防范措施；另一方面要針對各安全域業務特點的保護強度，在不影響系統整體安全性的前提下，進一步對各域的安全策略進行設置，并確保這些策略的相對性、獨立性及關聯性。（4）區域自治，聯防聯動：各安全域根據總體安全管理中心下發的安全策略，結合自身特定的安全需求，實施本區域內的安全防護和管理。依托總體安全管理中心，建立廣域網上下一體的預警響應和聯防聯動機制；依托各級安全管理中心，建立局域網內各安全設備之間的檢測響應和聯防聯動機制；并在各級安全管理中心、重要骨干節點、用戶網絡之間建立安全事件響應和應急協調機制。

篇2

【關鍵詞】防火墻；網絡；安全技術

如何更好地促進網絡的有效運行，保障網絡的安全環境，在很大程度上取決于防火墻的設置。網絡安全問題成為了人們關注的焦點，防火墻可以說是解決網絡安全問題最有效方式。

1.防火墻的概念

防火墻指的是在外界網絡與本地網絡之間的一道隔離防御系統。應用防火墻最重要的目的就是通過對網絡入、出環節的控制，促使各項環節都需要經過防火墻檢查，進而有效預防網絡遭到外來因素的破壞與干擾，進一步達到保護內部網絡不受非法訪問的目的。在本質上來講，防火墻就是一種控制、隔離技術，在不安全的網絡環境中積極構建相對安全的網絡內部環境。站在邏輯層面來分析，防火墻不僅是一個限制器，還是一個分析器，防火墻要求所有網絡數據流必須經過安全計劃或策略確定，與此同時，在邏輯上對內外網絡進行分離。目前來說，有的防火墻通過軟件的方式在計算機上運行，有的防火墻以硬件形式固定在路由器中。從整體上來說，常用的防火墻分為三種：①包過濾防火墻。②服務器。③狀態監視技術。

防火墻功能具有如下功能：①提高網絡安全性能，防火墻的應用，能大幅度提升內部網絡的安全性能，降低安全風險。防火墻還能夠保護網絡避免來自路由的攻擊。防火墻能夠拒絕各種不安全因素，并通知管理員。②強化網絡安全，相對于傳統的將安全問題分散到不同主機上的方式相比較，這種集中安全管理的防火墻更加經濟、安全。③監控網絡訪問與存取，防火墻的應用，能夠有效記錄各種網絡活動的開展，并且，對于可疑性的網絡活動進行報警。能夠為網絡管理員提供全面的信息。一旦防火墻監控到可疑動作，就會自動報警，并提供攻擊與監測的具體信息。④保護內部信息不被泄露。通過防火墻對內部網絡的保護與劃分，能夠實現對內部重點網絡的保護與隔離，進一步降低重點局部網絡安全問題對于整個局域網內部的影響，有效保護內部信息不被泄露。

2.基于防火墻技術的網絡安全架構

2.1選擇防火墻

作為一種網絡完全的有效防護方式，防火墻有多種類型的實現方式。在合理選擇防火墻之前，需要全面的進行風險分析、需求分析，并進一步制定安全防范策略，針對性的選擇防護方式，盡可能保持安全政策與防護方式的統一性。

2.2全面考慮防火墻失效并進行動態維護

在評價防火墻安全性以及性能過程中，一方面需要看防火墻工作是否正常，一方面需要看起能否阻擋非法訪問或惡意攻擊。如果防火墻被攻破，其狀態是怎樣的。按照一定的級別來劃分，失效有四種情況：①在沒有受到攻破時能進行正常工作。②在受到傷害時可以重新啟動，并恢復到之前的工作界面。③禁止與關閉所有通行的數據。④關閉且允許數據繼續通行。第一種與第二種狀態比較理想化，第四種狀態最不安全。在選擇防火墻過程中，需要驗證其失效狀態，并進行準確評估。在安裝防火墻以及防火墻投入以后，需要對其運行狀態進行動態性維護，對其發展動態進行維護與跟蹤，時刻保持商家動態并與之保持聯系。一旦商家發現安全漏洞，就會積極推出補救措施，及時更新防火墻。

2.3全面指定防火墻可靠規則集

可靠規則集的制定是實現安全、成功防火墻的關鍵性步驟。如果防火墻的歸集不正確，再強大的防火墻也起不到任何作用。第一，制定安全性策略，上級管理人員制定安全防范策略，防火墻是實施這一安全防范策略的工具。在制定規則集之前，必須全面掌握安全策略。建設其包含以下內容：①內部員工訪問網絡不受限制。②外部用戶能夠使用email服務器與web服務器。③管理員能遠程訪問其系統。在實際上來說，大部分部門的安全策略要遠遠超過上述內容。第二，積極構建安全體系，要想將一項安全策略積極轉化成技術。第一個內容比較容易實現，內部網絡中的所有數據信息都允許在網絡上傳輸。對于第二項的安全策略來說比較麻煩，需要建立email服務器與web服務器，因為所有的人都能訪問email服務器與web服務器，因此，不能信任他們。鑒于此，可以將email服務器與web服務器放到DMZ中去實現。DMZ作為一個孤立的網絡，經常存放不被信任的系統，該網絡中的系統無法連接、啟動內部網絡。第三項是必須讓管理員遠程控制他人的訪問系統，要想實現這一功能，可以通過加密服務的方式進行。筆者建議在這一過程中需要加入DNS。在上述安全策略中雖然未陳述此項內容，但是，在實際運營過程中需要積極提供該服務。第三，規則次序的制定，規則次序的制定非常重要。不同的規則次序排列相同的規則，可能會深刻改變防火墻的運行情況。比如說，大部分防火墻按照順序對數據包進行檢查，收到第一個數據包與第一條規則相對應，收到第二個數據包與第二條規則相對應，一直進行對應。如果檢查到匹配選項，就會停止檢查。如果沒有找到相匹配的規則，就會拒絕這個數據包。一般來說，比較特殊的規則應該放在前面，比較普通的放在后面。通過這樣的方式，能有效避免防火墻的錯誤配置。第四，落實規則集，一旦確認了規則次數與安全防范策略，就要對規則集中的每條規則進行落實。在實際落實過程中，需要注意以下幾個關鍵點。①將不必要的防火墻默認服務切斷。②內部網絡的所有人都能出網，任何服務都被允許，與安全策略規定相吻合。③增添鎖定規則，除了管理員之外，其他人員都不能訪問防火墻。④將不匹配的數據包丟棄，且不記錄。⑤可以允許網絡用戶訪問DNS。允許內部用戶以及網絡用戶通過郵件傳遞協議訪問郵件服務器。不允許內部用戶對DMZ進行公開訪問。允許內部進行POP訪問。⑥拒絕、警告同時記錄DMZ到內部用戶之間的通話。⑦管理員能夠通過加密方式進行內部網絡的訪問。⑧將最常用規則盡可能放到規則集上部，進一步提升防火墻安全性能。

3.結語

新形勢下，加強給予防火墻墻技術的網絡安全架構探析，對于提高網絡安全具有重要意義，為此，還需要對防火墻技術進行深入探究，提高防火墻關鍵技術，保障網絡環境安全。[科]

【參考文獻】

［1］黃登璽，卿斯漢，蒙楊.防火墻核心技術的研究和高安全等級防火墻的設計[J].計算機科學，2011(02).

篇3

關鍵詞：企業；計算機；內部網絡；安全

引言

1.企業內部計算機網絡安全現狀

   我國計算機違法犯罪行為不斷增長，在信息安全方面的發展，我國和發達國家的水平有著很大差距，與此同時企業計算機網絡安全的防護技術也遠遠落后，所以我國企業計算機網絡信息安全現狀有以下幾個特點：首先網絡安全人才素質低下，雖然我國網絡安全人才培養工作起步比較晚， 但是其發展日益加快，仍然遠遠不能夠滿足社會需求；其次信息安全意識比較淡薄， 我國很多個人或者企業對網絡安全的認識相當淺顯，自我防護能力相當低下，嚴重缺少相關嚴格的信息安全管理對策，同時沒有足夠認識信息安全事故的后果嚴重性；最后基礎信息產業比較薄弱，硬件方面的很多核心技術與核心部件嚴重依靠于外國，在軟件方面上，國際市場價格與壟斷對其構成威脅 。

 2.內部計算機網絡安全隱患

  2.1操作系統及軟件不能及時升級、修補

   企業內網一般自成一個體系，相對于外網，它無法做到系統自動升級，需要操作人員定期進行，這樣才可以有效防控一些系統的漏洞和缺陷，因此，各種操作系統的升級尤為重要，一旦升級工作不到位，很容易造成內網安全性降低。另外，內網毫不例外的要使用一些軟件程序，如果在選擇供應商或應用程序上不夠謹慎，在使用軟件時監控不足，也會對內網造成威脅，比如，有的應用軟件在編程中就忽視安全性，造成黑客可以利用其中的權限、解碼漏洞，遠程溢出漏洞、數據庫的注入式漏洞等，還有的程序員為一己私利或操作員日后管理便利，在軟件中故意設置后門等。

2.2計算機系統安全存在缺陷

計算機在網絡硬件配置上一旦出現缺陷，也會影響計算機系統的安全，通常有表現為以下幾種①文件服務器運行的穩定性、功能完善性將直接影響網絡系統的質量，是因為其是網絡的中樞。網絡的可靠性、擴充性和升級換代受設計和選型的影響，再加上網絡應用的需求得不到足夠的重視，最終限制網絡功能發揮。②網絡不穩定可能是網卡選配不當或者安全策略漏洞引起。③系統和操作軟件的漏洞：任何完美的操作系統、網絡軟件難以避免存在安全缺陷和漏洞。具有安全漏洞得計算機一旦連接入網，就會給計算機病毒和木馬可乘之機。

   3.網絡安全意識不強及管理制度不完善

目前，一部分企業進行的內網的建設，但在建設過程中，對于內網安全均認識不足，首先，內網管理制度的制定比較滯后，有的單位雖然制定了相關制度，但并不是專業人員制定，內容就顯得極不全面。其次，一些企業建網時間較短，沒有配之以專業的技術人員，對素質較差的非專業員工也沒有及時開展崗位培訓，使操作人員在內網安全上沒有建立防范意識，在技術上沒有防范手段，最后，企業領導沒有重視內網安全工作，管理制度執行不力，使內網的各種信息、文件安全時常受到破壞、丟失的威脅，嚴重的就會影響企業的競爭力和戰略決策的實施。

4.企業內部計算機網絡安全控制措施

   4.1物理安全策略

   物理性安全策略主要針對于計算機硬件設備提供保護，例如打印機、網絡服以及通信鏈路等。物理性安全策略能保障計算機的安全工作環境，即保障電磁環境的兼容性。另外，這種策略還包括設定用戶使用權限范圍，制定計算機安全使用制度，防止越權使用、非法盜竊、破壞等行為的發生。由于計算機及其配套設備均有電磁泄漏的可能威脅，因此，物理安全策略還涵蓋著應對傳導、輻射的防護的各種措施實施和研究。

   4.2信息加密策略

   網絡信息加密有三種較為常用的方法：即節點加密、鏈路加密、端點加密，這些加密法主要的作用是為計算機內存貯的，以及在網絡中進行傳輸的各種口令、文件、數據等提供安全性。這種技術可以保證信息在傳輸過程中的安全，保證明文在密鑰的解密下才可以顯現。至于如何選擇，用戶完全可以根據自身條件和計算機、網絡等情況進行自由選擇。

4.3安全檢測技術策略

①應用端口安全檢測法可以及時檢測和發現計算機端口被非法占用的問題，并可及時采取補救措施。②利用專業軟件進行網絡系統，如站點、網頁掃描，可以隨時監測系統的安全指標，防御性能，還可以進行模擬攻擊測試，在發現漏洞及時采取措施。③運用網絡安全檢測法可隨時監督網絡系統的異常情況，一旦發生，立刻可以報告，使相關人員及時應對，防止入侵的成功。

5.總結

隨著計算機網絡安全防范水平的不斷提高和安全應對策略的完善，未來的計算機網絡將會有更廣泛的應用前景。網絡安全涵蓋范圍很寬泛，涉及的技術、理論、方法非常多，是業界一項復雜的科技研究課題，在這一過程中，不僅要進行技術革新，建設整體的安全體系，還要構建人們的安全意識。

參考文獻

[1] 劉昕.企業局域網的安全分析及防范措施[J]. 信息系統工程. 2011(09)

[2] 楊晶.論計算機網絡安全問題及防范措施[J]. 科技創新導報. 2011(08)

[3] 程宜康. 現代網絡安全的體系與發展 [J]．計算機世界,2008（6）.

[4] 楊晶.論計算機網絡安全問題及防范措施[J]. 科技創新導報. 2011(08)

[5] 張睿.淺談網絡安全與防范措施[J]. 科技創新導報. 2011(10)

篇4

【關鍵詞】計算機網絡：信息安全

【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1672-5158（2013）04-0011-01

高校辦公機構的計算機網絡系統通常是跨區域的Intranet網絡，提供信息管理、資源共享、業務窗口等應用服務的平臺，網絡內部建立數據庫，為各部門的業務應用提供資源、管理，實現數據的采集、信息、流程審批以及網絡視頻會議等應用，極大提高了日常工作效率，成為高校辦公機構辦公的重要工具，因此要求計算機網絡具有很高的可操作性、安全性和保密性。

一、開放式網絡互連及計算機網絡存在的不安全要素

由于計算機網絡中存在著眾多的體系結構，體系結構的差異性，使得網絡產品出現了嚴重的兼容性問題，國際標準化組織ISO制定了開放系統互聯（OSI）模型，把網絡通信分為7個層次，使得不同結構的網絡體系在相應的層次上得到互聯。下面就根據網絡系統結構，對網絡的不安全因素分層次討論并構造網絡安全策略。

（1）物理層的安全要素：這一層的安全要素包括通信線路、網絡設備、網絡環境設施的安全性等。包括網絡傳輸線路、設備之間的聯接是否尊從物理層協議標準，通信線路是否可靠，硬件和軟件設施是否有抗干擾的能力，網絡設備的運行環境（溫度、濕度、空氣清潔度等），電源的安全性（ups備用電源）等。

（2）網絡層的安全要素：該層安全要素表現在網絡傳輸的安全性。包括網絡層的數據傳輸的保密性和完整性、資源訪問控制機制、身份認證功能、層訪問的安全性、路由系統的安全陛、域名解析系統的安全性以及入侵檢測應用的安全性和硬件設備防病毒能力等。

（3）系統層的安全要素：系統層是建立在硬件之上軟環境，它的安全要素主要是體現在網絡中各服務器、用戶端操作系統的安全陛，取決于操作系統自身的漏洞和不足以及用戶身份認證，訪問控制機制的安全性、操作系統的安全配置和來自于系統層的病毒攻擊防范手段。（4）應用層的安全要素：應用層的安全要素主要考慮網絡數據庫和信息應用軟件的安全性，包括網絡信息應用平臺、網絡信息系統、電子郵件系統、web服務器，以及來自于病毒軟件的威脅。

管理層的安全要素：網絡安全管理包括網絡設備的技術和安全管理、機構人員的安全組織培訓、安全管理規范和制度等。

二、網絡安全策略模型及多維的網絡安全體系

高校辦公機構的網絡安全需要建立一個多維的安全策略模型，要從技術、管理和人員三位一體全方位綜合考慮。

技術：是指當今現有使用的設備設施產品、服務支持和工具手段，是網絡信息安全實現的基礎。

管理：是組織、策略和流程。高校辦公機構信息網絡的安全建設關鍵取決于組織人員的判斷、決策和執行力，是安全成敗的必要措施。

人員：是信息網絡安全建設的決定性因素，不論是安全技術還是安全管理，人員是最終的操作者。人員的知識結構、業務水平是安全行為執行的關鍵。

基于網絡信息安全是一個不斷發現問題進而響應改進的循環系統，我們構造網絡安全策略模型為：防護>檢測->響應->恢復->改善->防護。

運用這個安全體系我們解決網絡中的不安全要素，即在物理安全、網絡安全、系統安全、應用安全和管理安全等多個層次利用技術、組織和人員策略對設備信息進行防護、檢測、響應、恢復和改善。

（1）物理安全：采用環境隔離門禁系統、消防系統、溫濕度控制系統、物理設備保護裝置（防雷設備）等，設置監控中心、感應探測裝置，設置自動響應裝置，事故發生時，一方面防護裝置自動響應，另一方面人員發現處理，修復或更換設備的軟、硬件，必要時授權更新設備或設施。

（2）網絡安全：采用防火墻、服務器、訪問控制列表、掃描器、防病毒軟件等進行安全保護，采用網絡三層交換機通過劃分VLAN，把網絡中不同的服務需求劃分成網段，采用入侵檢測系統（IDS）對掃描、檢測節點所在網段的主機及子網掃描，根據制定的安全策略分析并做出響應，通過修改策略的方式不斷完善網絡的安全。

（3）系統安全：采用性能穩定的多用戶網絡操作系統Linux作為服務器的基礎環境，使用身份認證、權限控制進行保護，用登陸控制、審計日志、文件簽名等方式檢測系統的安全性，進行接入控制審計響應，通過對系統升級、打補丁方式恢復系統的安全陛，可以通過更新權限來改善用戶對系統操作的安全性。

（4）應用安全：采用身份認證、權限控制、組件訪問權限和加密的辦法進行保護，用文件、程序的散列簽名、應用程序日志等方式檢測應用程序的安全性，通過事件響應通知用戶，采用備份數據的辦法恢復數據，通過更新權限完善應用系統的安全陛。

（5）管理安全：通過建立安全管理規章制度、標準、安全組織和人力資源，對違規作業進行統計，制定緊急響應預案，進行安全流程的變更和組織調整，加強人員技能培訓，修訂安全制度。

三、行政機關人員安全的重要性

高校辦公機構網絡信息的安全，人員占據重要的地位，網絡安全的各要素中都涉及人員的參與，因此對人員的安全管理是高校辦公機構網絡信息安全的重點。

首先組織領導要高度重視網絡信息的安全性，建立周密的安全制度（包括網絡機房安全制度、計算機操作員技術規范等），提高從業人員的素質和業務水平，防范人為因素造成的損失。

其次是組織員工進行信息安全培訓教育，提高安全意識。對專業技術人員做深入的安全管理和安全技術培訓。

再次是網絡技術人員要定期對設備巡檢維護，及時修改和更新與實際相應的安全策略（防火墻、入侵檢測系統、防病毒軟件等）。

最后是安全管理人員定期檢查員工的網絡信息方面的安全問題。

四、結束語

高校辦公機構網絡安全從其本質上講就是保障網絡上的信息安全，網絡安全是一個全方位的系統工程，需要我們不斷地在實踐和工作中發現問題和解決，仔細考慮系統的安全需求，將各種安全技術，人員安全意識級水平、安全管理等結合在一起，建立一個安全的信息網絡系統為高校辦公機構工作服務。

參考文獻：

[1]陳曉光.淺談計算機網絡教學[J].才智，2009，（08）.

篇5

計算機信息系統安全是一個動態過程。美國國際互聯網安全系統公司（ISS）對此提出P2DR模型，其關鍵是Policy（策略）、Protection（防護）、Detection（檢測）和Response（響應）四方面。按照P2DR的觀點，完整的動態安全體系需要防護措施（如網絡或單機防火墻、文件加密、身份認證、操作系統訪問控制、數據庫系統訪問控制等）、動態檢測機制（入侵檢測、漏洞掃描等）、先進的資源管理系統（及時發現問題并做出響應）。

中國石油按照信息安全P2DR模型制定的信息安全系統體系結構包括安全運行中心、網絡邊界管理系統、網絡準入控制、網絡管理系統、病毒監控與升級管理系統、系統加固與監控管理系統、CA認證中心、密鑰管理與分發系統、數據庫防護系統、容災系統、內容訪問監控系統和電子郵件監控系統。

中國石油廣域網安全基礎設施

防火墻系統

中國石油廣域網十分龐大，下屬單位很多，遍布全國，連通世界上很多國家的分支企業。因此需要在網絡各個相連處部署強力防火墻，確保網絡的安全性。另外，在區域網絡中心的服務器群前，加兩臺防火墻，以負載均衡方式，用千兆光纖連接到區域網絡中心路由器上。在兩臺防火墻都正常工作情況下，可以提供約兩倍于單臺設備的性能，即約4Gbps的防火墻吞吐量，當一臺防火墻出現故障時，另一臺防火墻保證網絡不間斷運行，保障服務器群的高可用性。

利用防火墻技術，能在內外網之間提供安全保護; 但有如下局限性: 入侵者可尋找防火墻可能敞開的后門進行襲擊; 網絡結構改變有時會造成防火墻安全策略失效，攻擊者可以繞防火墻實施攻擊; 入侵者可能來自防火墻內部; 防火墻可能不能提供實時入侵檢測。

入侵檢測系統

入侵檢測系統分為基于網絡和基于主機兩種類型。基于網絡的入侵檢測系統對所在網段的IP數據包進行分析監測，實時發現和跟蹤有威脅或隱患的網絡行為?；谥鳈C的入侵檢測系統安裝在需要保護的主機上，為關鍵服務提供實時保護。通過監視來自網絡的攻擊、非法闖入和異常進程，能實時檢測出攻擊，并做出切斷服務、重啟服務器進程、發出警報、記錄入侵過程等動作。

入侵檢測在網絡中設置關鍵點，收集信息，并加以分析，查找違反安全策略的行為和遭到襲擊的跡象。它是第二道安全閘門，對內外攻擊和誤操作提供實時保護，又不影響網絡性能。其具體功能如下: 監視、分析用戶及系統活動; 系統構造和弱點審計; 識別已知進攻的活動模式并向相關人員報警; 異常行為模式的統計分析; 評估重要系統和數據文件的完整性; 操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。

中國石油12個區域網絡中心，均配備入侵檢測系統，監控內外網入侵行為。

漏洞掃描系統

漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術。它查詢TCP/IP端口，并記錄目標的響應，收集關于某些特定項目的有用信息，例如正在進行的服務、擁有這些服務的用戶是否支持不記名登錄、是否有某些網絡服務需要鑒別等。

漏洞掃描系統可安裝在便攜機中，在網絡比較空閑時檢測。檢測方式可本地可遠程; 可臨時檢測某網段，也可固定檢測某網段，但是檢測范圍不可跨越防火墻。

查殺病毒系統

中國石油網絡上各個局域網普遍設立查殺病毒軟件服務器，不斷更新殺毒軟件，及時向用戶機下推最新版本殺毒軟件。大大減輕了病毒泛濫和造成的損失。

網絡安全策略管理

中國石油全網提供統一安全策略，各級分別部署，從而提高全網整體安全。

企業網絡安全策略分為四個方面:檢測評估、體系結構、管理措施和網絡標準，并構成動態循環系統（圖1）。安全檢測與評估隨著安全標準的提高而改進，評估結果是網絡體系結構的完善的依據，安全策略管理必須隨之改進與增強; 技術的進步和網絡安全要求的提高，促使網絡標準的完善與改進。

網絡安全檢測與評估涉及網絡設備、網絡操作系統、應用軟件、專業軟件、數據庫、電子商務、Web網站、電子郵件等。安全體系結構涉及物理、場地、環境、訪問控制、數據傳輸與保存、路由控制。安全管理措施涉及網絡設備、軟件、密鑰。

路由器和交換機策略管理是上述安全管理措施中的重要方面。它們的策略維護通過訪問控制列表（ACL）實現。這種工作容易出錯，因而應采用專用工具軟件集中管理。所采用的管理軟件有管理設備ACL的WEB接口，通過這個接口對IP過濾列表進行編輯及下載，簡化了管理工作量，實現了大型網絡路由器和交換機上策略參數的集中管理。

分系統設計

除了上述基礎設施外，還必須有屬于“上層建筑”安全措施。這便是分系統設計。

安全運行中心

中國石油信息系統地域分散、規模龐大，與多個業務系統耦合性很強，如何將現有安全系統納入統一管理平臺，實現安全事件全局分析和動態監控，是中國石油廣域網面臨的主要問題。

建立安全運行中心，實現對全網安全狀況的集中監測、安全策略的統一配置管理、統計分析各類安全事件，并處理各種安全突發事件。安全運行中心不僅可以將不同類型安全產品實現統一管理，還可以將網絡中不同位置、不同系統中單一安全事件進行收集、過濾、關聯分析，得出網絡全局風險事件集，提供安全趨勢報告，并通過遠程狀態監控、遠程分發、實現快速響應，有效控制風險事件。

安全運行中心功能模塊包括安全配置模塊、網絡監控模塊、內容監管模塊、安全事件與預警模塊以及應急響應模塊，具體功能模塊如圖2所示。下邊介紹幾種主要功能。

（1）安全配置管理

包括防火墻、入侵檢測、VPN等安全系統的安全規則、選項和配置，各種操作系統、數據庫、應用等系統配置的安全設置、加固和優化措施。可實現策略創建、更新、、學習和查詢。

（2）網絡監控

模塊可提供對網絡設備、網絡安全設備、網絡拓撲、服務器、應用系統運行情況的可視化監控，確定某個安全事件是否會發生，事件類型、影響程度和范圍。預警: 對網絡設備、安全設備、主機系統、服務器、數據庫系統日志信息的收集、集中存儲、分析、管理，及時發現安全事件，并做出相應預警。

（3）內容監管

內容監控、內容訪問監控以及內容傳播監控。

中國石油信息安全系統安全運行中心由總部、區域中心、地區公司三級結構組成。

總部級: 制定統一安全配置，收集所有匯總上來的數據，并對其進行統一分析、管理。通過這種逐級逐層多級化模式管理，達到對信息安全全方位防御的目的。

區域中心級: 執行對管轄范圍內所有地區公司安全運行中心的監控，也可監控區域內的網絡安全、主機安全、數據庫安全、應用系統安全等，并向總部安全運行中心上報相關數據。

地區公司級: 部署總部的統一安全配置，監控地區公司內部網絡、主機、數據庫、應用系統安全等，收集分析安全事件并做出及時響應，生成分析報告，定期向區域中心匯總。

網絡邊界管理系統

中國石油網絡按照其應用性質的不同和安全要求的不同，劃分為不同的安全域。整個網絡安全符合木桶原則: 最低木板決定木桶裝水量; 網絡安全最薄弱環節決定整個網絡的安全性。

由于網絡中不可控制的接入點比較多，導致全網受攻擊點明顯增多。通過網絡邊界管理系統可以最大限度保護內部業務數據的安全，其中重點保護與Internet直接連接的區域。

按照業務不同的安全程度要求，中國石油各個企業網絡劃分若干安全區域:

（1）業務區域: 企業重要信息集中在此，這里有核心數據庫，可與相關單位交換信息。

（2）生產區域: 主要指各煉化企業的生產網絡，實現生產在線監控和管理信息的傳遞。

（3）辦公區域: 各單位的辦公網，用戶訪問企業業務系統與互聯網、收發電子郵件等。

（4）對外服務區: 通過因特網對外信息和進行電子商務的區域，該區域日趨重要。

（5）因特網接入區: 因特網瀏覽信息、對外交流的窗口，最易受攻擊，要重點保護。

通過邊界管理系統在中國石油各局域網邊界實施邊界管理，在內部部署入侵檢測系統實施全面安全保護，并在對外連接處和必要的部位部署防火墻進行隔離。

通過入侵檢測系統和防火墻聯動，可以對攻擊行為實時阻斷，提高安全防護的有效性。

網絡準入控制系統

中國石油網絡準入控制系統分四部分: 策略服務器、客戶端平臺、聯動設備和第三方服務器（圖3）。

（1）安全策略服務器: 它是網絡準入控制系統的管理與控制中心，實現用戶管理、安全策略管理、安全狀態評估、安全聯動控制以及安全事件審計等功能。

（2）安全客戶端平臺: 它是安裝在用戶終端系統上的軟件，可集成各種安全產品插件，對用戶終端進行身份認證、安全狀態評估以及實施網絡安全策略。

（3）安全聯動設備: 它是企業網絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。安全管理系統管理平臺作為安全策略服務器，提供標準協議接口，支持同交換機、路由器等各類網絡設備的安全聯動。

（4）第三方服務器: 為病毒服務器、補丁服務器等第三方網絡安全產品，通過安全策略的設置實施，實現安全產品功能的整合。

鏈接

中國石油廣域網安全設計原則

在中石油廣域網絡安全系統的設計中應遵循以下設計原則:

高度安全與良好性能兼顧: 安全與性能相互矛盾，安全程度越高，性能越受影響。任何事物沒有絕對安全，也不總是越安全越好。安全以投資、性能、效率的付出為代價。在安全系統設計中，對不同安全程度要求，采用不同安全措施，從而保證系統既有高度安全保障，又有良好系統性能。所謂高度安全，指實現的安全措施達到信息安全級別的要求，對關鍵信息可以再高一個級別。

全方位、均衡性和層次性: 全方位、均衡性安全設計保證消除網絡中的漏洞、后門或薄弱環節; 層次性設計保證當網絡中某個安全屏障（如防火墻）被突破后，網絡仍受到其他安全措施（如第二道防火墻）的保護。

主動和被動相結合: 主動對系統中安全漏洞進行檢測，及時消除安全隱患; 被動實施安全策略，如防火墻措施、ACL措施等等。兩者完美結合，有效實現安全。

切合實際: 有的放矢、行之有效，避免措施過度導致性能不應有的下降。

易于實施、管理與維護。

篇6

【關鍵詞】計算機 網絡 安全 技術

1 引言

網絡的目的是傳輸數據，由于技術的限制，現階段計算機網絡在傳輸數據時還是存在著安全問題，例如數據被截獲、用戶密碼被盜取等，這些都會給用戶帶來不可估量的損失。即便是安全程度更高的軍用網絡，也不能保證百分之百的安全。因此，如何運用一些關鍵技術使計算機網絡在傳輸的過程中更加安全是現階段需要迫切解決的問題。計算機網絡安全技術包括信息加密技術、通信協議安全技術、網管系統技術、通信節點安全技術、網絡入侵檢測技術、網絡安全評估技術、網絡防火墻技術等，這些技術的運用是計算機網絡安全的有效保障。

2 計算機網絡安全技術影響因素

計算機網絡安全是一個復雜的系統，其影響因素包含多個方面，常見的影響因素包括：網絡系統本身的安全因素、網絡用戶的安全威脅因素、網絡安全監控因素、惡意軟件處理的因素等。對這些因素的合理處理是計算機網絡安全的基礎工作。

3 計算機網絡安全防控策略

3.1 信息加密策略

信息加密技術是指通過一定的網絡協議來對傳輸的信息進行加密，這種方式可以有效保護信息在傳輸過程中的安全。這其中主要是運用了一種叫做密碼編碼學的概念，重要知道密碼是怎么編碼的和密碼的鑰匙，傳輸端和接收端就可以正常收發信息。但是如果編碼方式和鑰匙被別人獲取了，那么信息就有可能被人破解，除此之外，黑客還可能使用窮舉法等暴力破解手段來進行破解。國際上常用的密碼標準是美國頒布的DES標準，我們所熟知的三重DES標準就是從DES發展過來的，就是把DES執行時三遍使得加密更加嚴格。

3.2 通信協議安全策略

通信協議安全技術是指TCP/IP協議、IP協議以及Internet安全協議，其中最為關鍵的是IPSEC協議包，包括IP認證包頭、IP封裝和互聯網密匙交換 。IPSEC安全策略決定了安全服務，IP包在處理數據時以安全策略為準。黑客攻擊網絡協議是通過截獲數據然后在破解密碼來實現的，輕的會造成用戶的才產生損失，嚴重的會造成網絡中斷，如果是發生在軍用網絡中，造成的后果是不可估計的。VPN協議是使用隧道技術來實現數據的安全傳輸，這是一種點對點的協議，包括軟件VPN，硬件VPN和專用VPN。其中站點到站點的協議是將兩個以上的網絡連接在一起，實現數據的傳輸。按照解決方案來分，又分為遠程訪問虛擬網、企業內部虛擬網、企業擴展虛擬網等。

3.3 網管系統策略

網絡關機技術包括傳輸線路的管理、軟件的管理、客戶端的管理、傳輸加密管理等等。任何一個環節出現錯誤都有可能引起信息的泄露和網絡的癱瘓，因此，對這些內容的管理對網絡安全至關重要。

一方面要建議高效的網絡管理團隊，在網絡出現問題時能第一時間去搶修，在沒有網絡問題時要及時檢查，包括網管數據完整性的鑒別和傳遞過程中保密性的判斷，防患于未然；另一方面要制定網絡安全的目標，目標制定出來后要嚴格按照這個目標和標準去執行；現階段信息技術已經發展到一個很高的水平，很多事情已經不需要人工去做了，利用自動化檢查軟件也可以實現對網絡安全的管理工作，代替一部分人工工作。

3.4 通信節點安全策略

通信節點報告交換機、路由器等設備，這些設備如果出現問題，會對通信安全造成嚴重的影響。例如如果路由器的密碼設置的過于簡單很可能被人破解，那么網絡信息就有可能通過路由器泄露出來。想要解決由網絡節點引發的安全問題不能僅靠技術手段，而是要有專門的人員進行定期的檢查，除此之外還要對節點設備及時進行升級。多種防范措施共同努力解決由網絡節點引發的安全問題。

3.5 網絡入侵檢測策略

即便有再高級的設備和技術，如果當網絡已經出現問題被黑客入侵了，但是卻檢測不出來，那也是無用功。因此，必須要有入侵檢測系統的支持。檢測系統要針對不同的網絡協議和加密協議進行不同的開發，市場上不存在適用于所有網絡的檢測系統。

此外，對節點的檢測也很重要。市場上已經有了專門針對路由器和交換機的檢測軟件當這些節點設備發生入侵時，檢測軟件會立馬報警。設計者應該針對不同的網絡和應用開發不同的軟件來應對網絡安全問題，只有這樣網絡才能更加安全。

3.6 網絡安全評估策略

網絡安全評估是指對整個網絡環境包括硬件設備的安全性進行整體評估，給出一個安全的范圍。安全評估可以為網絡的升級改造提供必要的意見和建議，同時也能有針對性的對某些網絡安全問題采取措施。在網絡安全評估時，會模擬現實中網絡遭到黑客攻擊的狀態，然后測試網絡環境的反映，以此來評判網絡的安全狀態。

3.7 網絡防火墻策略

網絡防火墻是指包括硬件和軟件在內的對網絡攻擊進行防護的系統，本質上是對網絡通信進行過濾，只允許經過篩選的數據進入電腦，以防止電腦系統受到不安全數據的破壞。包括屏蔽路由器數據、包過濾技術、動態防火墻技術、復合型防火墻技術等。但是防火墻技術也存在著自身的缺點，那就是功能過于單一，反應周期較長等。

參考文獻：

[1]雷震甲.網絡工程師教程例[J].北京：清華大學出版社，2004.

篇7

1．1校園網絡現狀

隨著電腦的普及，計算機技術已并沒有向早年想象的那么遙遠。幾乎每個人都知道一些最基本的電腦維護的知識，對于生活在高校的學生們就更不用說了。幾乎每所高校都有其自身的網絡體系，無論是無線網絡還是有線網絡。有了網絡的幫助后老師可以提高課堂內容的豐富度，不必拘匿與灌輸死板的概念內容，而是靈活的動態模式，這樣才能更好的激發學生的學習興趣。在大家看來每所高校所關心的安全領域問題是大致相同的，無論是在哪方面，無疑就是網絡是否暢通，上網是否安全，網絡是否可以抵御黑客攻擊，上網是我們的賬號是否存在風險等問題。

1.2校園網絡架構分析

學校校園網跟隨著信息化建設的步伐，已經逐步走上正軌。許多高校都配備了無線、有線網絡，使學生和老師的生活和教學就更加方便，XX學校網絡的拓撲圖（圖1）。根據圖片可知XX學校將Internet匯總通過防火墻，總的路由器分配至每個教學樓路由器，再由交換機分到各個房間，這樣每個房間就能有其自己的端口號。這樣如果遇到電路、網絡中斷的話就可以就可以根據端口直接檢查出問題所在的地方以及進行及時的修理，例如在一個教學樓的房間，網路連接不上，我們可以通過以下步驟來找到問題所在，首先用測線器來測試下網線是否正常，若不正常首先判斷是交叉線還是直通線，換一根網線繼續使用；若網線正常在看下網線插口里的芯片是否有接觸，可以用小的鉗子給它擺正再插上網線試下；若還是不行將模塊拆下檢查下銅導線與模塊是否是接觸不良同時可以將銅導線頭接觸處剝下一點講他們捏在一起，在交換機上觀察是否通，通的話將銅導線重新裝回至模塊內，正常使用。我們可以從圖中得知，這樣的架構可以幫助我們盡快查到問題的出處，防止更加難以控制的局面的發生。

1.3校園網絡面臨的威脅

學校網絡大多都使用TCP/IP協議，而該協議的網絡所提供的網絡服務都包含許多不安全的因素，存在許多漏洞。同時網絡的普及是信息共享達到了一個新的層次，信息被暴露的機會大大增加，特別是internet，他就是一個開放大系統。另外，數據處理的可訪問性和資源共享的目的性之間的一對矛盾，這些都給校園網絡帶來了威脅。計算機網絡所面臨的威脅大體可分為兩種：一是，對網絡中信息的威脅,即所謂的軟威脅；二是，對網絡中設備的威脅，即所謂的硬威脅。影響計算機網絡的安全因素很多，有意的、無意的、人為的、自然的以及外來黑客對網絡系統資源的非法使用等，歸結起來，針對網絡安全的威脅主要有以下幾種：第一，入侵者：入侵者包括黑客、破壞者和其他從外部試圖非法訪問內部網絡的網絡用戶。這些訪問者或者有特定的目的，或者只是基于興趣和好奇心，都會對校網信息形成威肋。并且，由于互聯網的廣泛應用，更多的黑客工具和破壞程序被共享，許多青少年對此興趣極高，形成了一大批潛在的攻擊者。第二，病毒和有害代碼：便利的網絡環境使病毒成為網絡信息安全的另一個重要威脅，病毒不僅破壞程序和數據，還會嚴重影響網絡效率，甚至破壞設備；特洛伊木馬為入侵者所利用進行網絡攻擊和刺探，操作系統或應用軟件的后門也被開發者利用進行攻擊和破壞。目前病毒與黑客技術的結合，使得病毒的危害更進一層，不僅僅針對計算機，同時也針對網絡，近幾年的一次利用SQLServer漏洞的“蠕蟲王”病毒就幾乎使得全國計算機網絡癱瘓。第三，內部教職員工與學生：其實更為重要的安全威脅來自網絡內部，由于誤操作、好奇或泄憤，內部教職員工和學生會對校園網中關鍵信息安全和完整性構成威脅。尤其是學生，極強烈的好奇心和爭勝欲望，為了炫耀或者學習實踐，對網絡有比較大的攻擊性。第四，系統和應用的安全漏洞：網絡設備、操作系統和應用軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。除此之外，軟件和硬件的配置/設置不當同樣會造成相當嚴重的安全問題。第五，用戶安全意識：用戶對信息安全認識不足，對安全的簡單理解和關注不足，對安全設備的利用和投入不足、不及時，都會構成校網信息安全缺陷。第六，其他安全威脅：包括自然災害、物理設備故障以及其他破壞網絡基礎設施和數據的意外事故。

2校園網絡信息安全策略

2.1信息安全含義及策略概述信息安全是指采取措施保護信息網絡的硬件、軟件及其系統中的數據，使之不因偶然的或者惡意的原因而遭受破壞、更改、泄露，保證信息系統能夠連續、可靠、正常地運行。信息安全是一門涉及網絡技術、數據庫技術、密碼技術、信息安全技術、通信技術、應用數學、信息論等多種學科的綜合性學科。信息安全本身包括的范圍很廣，大到國家軍事政治等機密安全，小到防范青少年對不良信息的瀏覽以及個人信息的泄露等。而信息安全策略是一個有效的信息安全項目的基礎。信息安全策略可以劃分為兩個部分，問題策略和功能策略。問題策略描述了一個組織所關心的安全領域和對這些領域內安全問題的基本態度。功能策略描述如何解決所關心的問題，包括制定具體的硬件和軟件配置規格說明、使用策略以及雇員行為策略。從信息安全領域中發生的事件來看，信息安全策略的核心地位變得越來越明顯。例如，沒有安全策略，系統管理員將不能安全的安裝防火墻。策略規定了所允許的訪問控制、協議以及怎樣記錄與安全有關的事件。策略的制定需要達成下述目標：減少風險，遵從法律和規則，確保組織運作的連續性、信息完整性和機密性。信息安全策略應主要依靠組織所處理和使用的信息特性推動制定。同時應當重視對信息系統了解深刻的員工所提出的組織當前信息的主要特性，具體包括：什么信息是敏感的、什么信息是有價值的以及什么信息是關鍵的。在制定一整套信息安全策略時，應當參考一份近期的風險評估，以便清楚了解組織當前的信息安全需所要面臨的風險管理。對曾出現的安全事件的總結，也是一份有價值的資料。信息安全策略應當與已有的信息系統結構相一致，并對其完全支持。這一點不是針對信息安全體系結構，而是針對信息系統體系結構。信息安全策略一般在信息系統體系結構確立以后制定，以保障信息安全體系實施、運行。例如，互聯網訪問控制策略可使安全體系結構具體化，也有利于選擇和實施恰當的防火墻產品。關于風險評估，我們可以根據每一項任務來進行一個風險評估具體流程（如圖2），做好一個風險評估能很大程度上的提高信息安全度，也便于今后的管理。

2.2防范校園網絡安全措施

在校園網絡日漸普及的今天，關于如何應對和防范校園網絡安全這一塊也存在著許多不足和漏洞，所以各個學校都要從各個方面來保障校園網路的安全運行。首先是管理層面，通過申請在校園網絡中各種功能的開通和使用，來實現從源頭抓問題，學校也應該制定出明確的計劃與流程，使得一些行為可以按照流程一步步完成，這樣就能更加安全了。以學生寬帶申請為例，學校規定從學校網站上統一下載，統一領導簽字，統一分發，統一管理。這種模式能提高管理和工作的效率，正是因為這樣的管理和工作模式，讓學校的工作井井有條的開展。通過對申請信息的填寫，當遇到網絡安全威脅時，可以通過信息查詢到有問題的主機，然后及時解決問題，不至于拖延很長時間。再次是技術方面，學校配備有上網認證控制器，可以保證在教學樓范圍內上網都是有認證的，每個人的上網記錄都是可以查詢的，以及還有流量控制器，可以保證基本上網的暢通，VPN認證可以保證在校外訪問校內網有跡可循，同時學校還配有負載均衡器以擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力，提高網絡的靈活性和可用性。同時這些設備也是信息安全策略中功能策略的反映。

3結語

篇8

關鍵詞：網絡信息；信息安全；安全保障；防范措施

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2007)05-11233-02

1 前言

隨著計算機網絡技術和信息化建設的迅猛發展，人們在日常生活、辦公、學習等方面都實現了網絡化管理，不少單位和學校都建立了自己的計算機局域網，逐步實現了郵件收發、網上辦公、網上信息瀏覽、資源共享、多媒體教學等功能。這些功能的實現，為提高工作效率、加快信息傳播、實施一體化保障服務提供了平臺。但不可否認，網絡在給我們工作和學習創造效益的同時，也帶來了挑戰與沖擊，當前必須解決好網絡安全中面臨的問題，才能更好地發揮計算機網絡在信息化發展建設中的重要作用。因此，構建全方位的網絡信息安全保障體系已成為當前刻不容緩的任務。

2 網絡信息安全管理現狀和存在的問題

(1)是安全意識不強。當前，網絡建設與管理中，在人們的思想上普遍存在“重建設、輕防護，重應用、輕管理”的模糊認識，人們的網絡信息安全保密觀念不強，對網絡信息安全可能造成的危害認識不足。在建成并投入使用的網絡中，有相當一部分單位存在建網不設防問題，有的用戶在缺少安全保密條件的計算機信息系統中存儲、處理和傳遞信息，還有的缺乏網絡安全法規意識，甚至將帶有攻擊性的軟件裝入計算機網絡進行試驗。

(2)是缺乏全方位的網絡信息安全保障方案。雖然一些單位在網絡安全保密方面從制度、管理、技術等方面做了不少工作，在一定程度上保證了網絡安全，但現行的網絡安全保障工作在管理上責任權不夠明確，制度不夠健全，措施不夠完善，缺乏一個系統的、全方位的、動態的安全方案。

(3)是網絡系統本身存在的不安全因素。由于計算機網絡連接的多樣性、終端分布的廣泛性和網絡的開放性等特征，致使網絡隨時可能遭受數以萬計的計算機病毒、黑客攻擊程序、硬件“后門”和軟件“漏洞”等破壞，造成無法估量的潛在安全威脅。

3 網絡信息系統面臨的威脅

(1)操作系統的安全性。目前流行的許多操作系統均存在網絡安全漏洞，如UNIX/LINUX系統的CGI程序、root、guest這些默認帳號的泄露等，indows2000/NT系統的IIS、輸入法Bug等。對于個人計算機操作系統，個人用戶在使用應用程序或者操作系統時下載或者打開了JAVA、ActiveX、病毒或后門程序的文件，都會對本地計算機的操作系統構成威脅，使得操作系統崩潰，計算機無法使用；

(2)防火墻的安全性。據統計，30%的入侵發生在有防火墻的情況下，這些入侵的主要原因并非是防火墻無用，而是由于一般的防火墻的管理及配置相當復雜，要想成功的維護防火墻，要求防火墻管理員對網絡安全攻擊的手段與系統配置的關系有相當深刻的了解，而且防火墻的安全策略無法進行集中管理，黑客可以利用IP欺騙的手段使自己獲得新的IP從而進入不能進入的地區；

(3)應用服務的安全。許多應用服務系統（如數據庫服務器、電子郵件服務器、Web服務器等）在訪問控制及安全通訊方面考慮較少，并且，如果系統設置錯誤，很容易造成損失。服務器還存在許多漏洞，黑客會利用這些服務器的漏洞，入侵服務器，獲得各種權限，從而對服務器或局域網進行控制；

(4)內部敏感信息到外部的分發。據統計70%以上的網絡攻擊行為來自外部，控制內部敏感信息的分發是網絡安全策略的核心。外網的威脅主要表現在：非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統正常運行、利用網絡傳播病毒、線路竊聽等；

（5）網絡協議本身缺乏安全性。由于絕大多數網絡運行的主要是TCP/IP、NETBEUI、IPX等多種網絡協議，而這些協議并非專為安全通訊而設計。所以，利用這些網絡進行服務本身就可能存在多方面的安全威脅。

4 網絡信息安全保障體系框架設計原則

圍繞信息安全體系的三要素（即人、制度和技術），建立一個包括技術、管理、組織的安全體系，才是組織實現網絡與信息安全系統的有效途徑。

首先，必須強調安全策略的重要性。正確的安全策略能夠指導我們建立恰當的安全體系，以避免防護過剩或防護不力。網絡安全策略應以預防為主、防堵并重、分布實施的原則，區別輕重緩急，加強安全防范意識，嚴格安全保密的各項規章制度，技術上采取必要的防范措施。

其次，技術上要多方位多層次考慮。網絡安全涉及IOS/OSI所有的七個協議層次（物理層、鏈路層、網絡層、運輸層、會話層、表示層和應用層），覆蓋了信息網絡中物理環境、通信平臺、網絡平臺、主機平臺和應用平臺等幾個系統單元，這是一個立體的、多方位、多層次的系統問題。涉及身份認證、訪問控制、數據保密性、數據完整性、抗抵賴、審計、可用性和可靠性等多種基本的安全服務，因此，我們在規劃、設計、維護、管理信息網絡的安全系統時，必須從分析信息網絡的安全風險出發，考慮不同系統單元、不同協議層次所存在的安全風險，所需要的安全服務，從“預警、保護、檢測、反應、恢復、反擊”這六個環節著手，采用相應的安全技術，使不同的安全技術、安全產品互相補充、互相完善，保證信息網絡的安全。

第三，堅持起始階段與長遠預期結合考慮，分步實施的原則。在資源共享和訪問控制共存的信息社會里，網絡安全永遠是動態而不是靜態的。根據網絡系統建成后實際運行情況隨著信息網絡的發展，網絡規模擴大并且應用增加，網絡的安全缺陷也會加大，一勞永逸的安全方案是不現實的，需要動態地維護。

5 構建網絡信息安全保障體系的具體措施

(1)提高網絡安全意識，加強信息安全觀教育。我們應高度強化網絡保密管理觀念。一要確立網絡安全管理是做好平時工作的重要保障的思想；二要確立網絡安全管理人人有責的觀念，確保信息安全是一項整體性工作，人人都有維護網絡安全的義務和責任；

(2)制定并完善檢查、監督和管理的有效機制。加強管理，立章建制，根據網絡的運行情況和安全要求逐步建立并付諸實施。具體工作包括：根據工作的重要程度，確定系統的安全等級，確定安全保護管理的規定范圍；制定相應的機房進入制度，對于安全等級要求較高的系統實行分區控制，限制工作人員出入與己無關的區域，指定場地與設施安全管理制度；防火墻管理與使用制度；制定密碼安全管理方法；制定嚴格的操作規程，操作規程要根據職責分離或多人負責的原則，各負其責，不能超越增加管轄范圍，如操作系統、數據庫安全管理規定、信息采集、傳輸安全保密制度、上網數據審批規定、用戶口令字及帳戶管理規定等；制定應急措施，要制定系統在緊急情況下，如何盡快恢復的應急措施，使損失減至最??；

(3)在技術手段上利用各種安全保密設備，采取多種防范手段。

①網絡分段：局域網采用以交換機為中心、路由器為邊界的網絡格局，又基于中心交換機的訪問控制功能和三層交換功能，綜合應用物理分段與邏輯分段兩種方法，來實現對局域網的安全控制，將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽。以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法偵聽。VLAN（虛擬專用網）的劃分，進一步克服了以太網的廣播問題。在集中式網絡環境下，將中心的所有主機系統集中到一個VLAN里，在這個VLAN里不允許任何用戶節點，從而較好地保護敏感的主機資源。在分布式網絡環境下，按機構部門的設置來劃分VLAN。各部門內部的所有服務器和用戶節點都在各自的VLAN內，互不侵擾。VLAN內部的連接采用交換實現，而VLAN與VLAN之間的連接則采用路由實現。

②配置加密機：網絡數據密碼機用于數據通信的加密，有加密、鑒別的功能，有良好的網絡應用透明性，可保護通信中的數據。

③合理配置防火墻：防火墻是不同網絡或網絡安全域之間信息的唯一出入口，可根據網絡的安全策略控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它還可監測、限制和更改通過的數據流，盡可能地對外部網絡屏蔽內部網絡的信息、結構和運行狀況，以此來實現網絡的安全保護。但由于防火墻是一種訪問控制設備，而且提供的是安全域的周邊防護，因此，防火墻均存在其局限性。一方面，它不能防范不經過它的攻擊，例如來自于網絡內部的攻擊；另一方面，它不能抵御隱藏在合法鏈接內的攻擊等。

④入侵檢測系統：入侵檢測也是一種動態的安全防護技術，通過在網絡和主機系統中主動尋找入侵信號來發現入侵行為并告警。它幫助網絡系統對付各種攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。入侵檢測，被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前抵御入侵。

⑤安裝使用網管軟件：利用CISCO IOS軟件和安裝網管軟件CISCOWORKS、OPENVIEW等，根據系統安全策略做出反映，如報警、登記、自動阻斷通信連接等功能，隨時對網絡進行監視、操作、管理、設計、配置和維護等。

⑥安裝各種防病毒軟件：現在的病毒越來越多，也越來越隱蔽，而且破壞力極強，因此防病毒，殺病毒是與時間賽跑，越早預防并殺除，損失越小，以保護數據免受病毒攻擊。

⑦網絡安全漏洞掃描分析系統：網絡安全漏洞掃描是網絡安全防御中的一項重要技術，其原理是采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查，目標可以是工作站、服務器、交換機、數據庫應用等各種對象，然后根據掃描結果向系統管理員提供周密可靠的安全性分析報告，以不斷為提高網絡安全整體水平產生重要依據。

⑧強化服務器端安全措施：為服務器建立完善的備份及恢復機制，用戶授權機制和日志。為了防止存儲設備的異常損壞，可采用可熱插拔的SCSI硬盤所組成的磁盤容錯陣列，以RAID5的方式進行系統的實時熱備份；為防止人為的失誤或破壞，建立了強大的數據庫觸發器以備份重要數據的刪除操作，甚至更新任務；在需要跟蹤追溯數據丟失或破壞事件的全部信息時，則將系統日志與備份數據有機地結合在一起真正實現服務器的安全性。

⑨做好應急處理工作，完善備份恢復機制：由于網絡攻擊不分平時和戰時，并具有突發性和毀滅性的特點，因此必須建立應急反應機制，提高網絡防護的快速反應能力。一旦被保護對象出現了問題，能夠迅速采取措施進行救助。確?；謴?，在做任何一個計算機網絡資源平臺的安全防范規劃時，必須考慮到在系統可能被摧毀的前提下，如何確?；謴停M行什么程度的備份，哪些信息是必須備份的。安全備份方面，要有零部件備份、軟件備份、數據備份、撥號線路備份、重要設備和數據備份及故障恢復手段等。一旦發生故障，備件隨時更換啟用。對各種功能數據采用更新時備份到磁盤的方式，以文檔形式保存，對作為純粹數據的數據庫信息和日志文件，采取定期自動磁帶備份的方式。

參考文獻：

[1]戴紅.計算機網絡安全[M].電子工業出版社,2005,9.

[2]馮登國.計算機通信網絡安全[M].清華大學出版社,2003,1.

[3]孫鋒.網絡安全與防黑技術[M].機械工業出版社,2004,4.

篇9

[關鍵詞]網絡安全事件安全對策

隨著網絡時代的到來，越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人，而其安全問題也變得越來越突出。近年來，網絡安全事件不斷攀升，電子商務金融成了攻擊目標，以網頁篡改和垃圾郵件為主的網絡安全事件正在大幅攀升。在國家計算機網絡應急技術處理協調中心（CNCERT/CC）2005處理的網絡安全事件報告中，網頁篡改占45.91％，網絡仿冒占29%，其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等。如何建立一個安全、便捷的電子商務應用環境，對信息提供足夠的保護，已經成為電子商務的所有參與者十分關心的話題。

一、電子商務中的主要網絡安全事件分析

歸納起來，對電子商務應用影響較多、發生率較高的互聯網安全事件可以分為網頁篡改、網絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網絡仿冒等，網頁篡改、網絡仿冒（Phishing），逐步成為影響電子商務應用與發展的主要威脅。

1.網頁篡改

網頁篡改是指將正常的網站主頁更換為黑客所提供的網頁。這是黑客攻擊的典型形式。一般來說，主頁的篡改對計算機系統本身不會產生直接的損失，但對電子商務等需要與用戶通過網站進行溝通的應用來說，就意味著電子商務將被迫終止對外的服務。對企業網站而言，網頁的篡改，尤其是含有攻擊、丑化色彩的篡改，會對企業形象與信譽造成嚴重損害。

2.網絡仿冒（Phishing）

網絡仿冒又稱網絡欺詐、仿冒郵件或者釣魚攻擊等，是黑客使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等，隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來，隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及，網絡仿冒事件在我國層出不窮，諸如中國銀行網站等多起金融網站被仿冒。網絡仿冒已經成為影響互聯網應用，特別是電子商務應用的主要威脅之一。

網絡仿冒者為了逃避相關組織和管理機構的打擊，充分利用互聯網的開放性，往往會將仿冒網站建立在其他國家，而又利用第三國的郵件服務器來發送欺詐郵件，這樣既便是仿冒網站被人舉報，但是關閉仿冒網站就比較麻煩，對網絡欺詐者的追查就更困難了，這是現在網絡仿冒犯罪的主要趨勢之一。

3.網絡蠕蟲

網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。這種程序利用互聯網上計算機系統的漏洞進入系統，自我復制，并繼續向互聯網上的其他系統進行傳播。蠕蟲的不斷蛻變并在網絡上的傳播，可能導致網絡被阻塞的現象發生，從而致使網絡癱瘓，使得各種基于網絡的電子商務等應用系統失效。

4.拒絕服務攻擊(Dos)

拒絕服務攻擊是指在互聯網上控制多臺或大量的計算機針對某一個特定的計算機進行大規模的訪問，使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務，使得電子商務這類應用無法正常工作。拒絕服務攻擊是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多，則更難進行處置。尤其是被蠕蟲侵襲過的計算機，很容易被利用而成為攻擊源，并且這類攻擊通常是跨網進行的，加大了打擊犯罪的難度。

5.特羅伊木馬

特羅伊木馬（簡稱木馬）是一種隱藏在計算機系統中不為用戶所知的惡意程序，通常用于潛伏在計算機系統中來與外界聯接，并接受外界的指令。被植入木馬的計算機系統內的所有文件都會被外界所獲得，并且該系統也會被外界所控制，也可能會被利用作為攻擊其他系統的攻擊源。很多黑客在入侵系統時都會同時把木馬植入到被侵入的系統中。

二、解決電子商務中網絡安全問題的對策研究

隨著網絡應用日益普及和更為復雜，網絡安全事件不斷出現，電子商務的安全問題日益突出，需要從國家相關法律建設的大環境到企業制定的電子商務網絡安全管理整體架構的具體措施，才能有效保護電子商務的正常應用與發展。

1.進一步完善法律與政策依據充分發揮應急響應組織的作用

我國目前對于互聯網的相關法律法規還較為欠缺，尤其是互聯網這樣一個開放和復雜的領域，相對于現實社會，其違法犯罪行為的界定、取證、定位都較為困難。因此，對于影響電子商務發展的基于互聯網的各類網絡安全事件的違法犯罪行為的立法，需要一個漫長的過程。根據互聯網的體系結構和網絡安全事件的特點，需要建立健全協調一致，快速反應的各級網絡應急體系。要制定有關管理規定，為網絡安全事件的有效處理提供法律和政策依據。

互聯網應急響應組織是響應并處理公共互聯網網絡與信息安全事件的組織，在我國，CNCERT/CC是國家級的互聯網應急響應組織，目前已經建立起了全國性的應急響應體系；同時，CNCERT/CC還是國際應急響應與安全小組論壇（FIRST，ForumofIncidentResponseandSecurityTeams）等國際機構的成員。應急響應組織通過發揮其技術優勢，利用其支撐單位，即國內主要網絡安全廠商的行業力量，為相關機構提供網絡安全的咨詢與技術服務，共同提高網絡安全水平，能有效減少各類的網絡事件的出現；通過聚集相關科研力量，研究相關技術手段，以及如何建立新的電子交易的信任體系，為電子商務等互聯網應用的普及和順利發展提供前瞻性的技術研究方面具有積極意義。

2.從網絡安全架構整體上保障電子商務的應用發展

網絡安全事件研究中看到，電子商務的網絡安全問題不是純粹的計算機安全問題，從企業的角度出發，應該建立整體的電子商務網絡安全架構，結合安全管理以及具體的安全保護、安全監控、事件響應和恢復等一套機制來保障電子商務的正常應用。

安全管理主要是通過嚴格科學的管理手段以達到保護企業網絡安全的目的。內容可包括安全管理制度的制定、實施和監督，安全策略的制定、實施、評估和修改，相關人員的安全意識的培訓、教育，日常安全管理的具體要求與落實等。

安全保護主要是指應用網絡安全產品、工具和技術保護網絡系統、數據和用戶。這種保護主要是指靜態保護，通常是一些基本的防護，不具有實時性，如在防火墻的規則中實施一條安全策略，禁止所有外部網用戶到內部網Web服務器的連接請求，一旦這條規則生效，它就會持續有效，除非我們改變這條規則。這樣的保護能預防已知的一些安全威脅，而且通常這些威脅不會變化，所以稱為靜態保護。

安全監控和審計是實時保護的一種策略，它主要滿足一種動態安全的需求。因為網絡安全技術在發展的同時，黑客技術也在不斷的發展，網絡安全不是一成不變的，也許今天對你來說安全的策略，明天就會變得不安全，因此我們應該時刻關注網絡安全的發展動向,以及網絡上發生的各種各樣的事情，以便及時發現新的攻擊，制定新的安全策略。可以這樣說，安全保護是基本，安全監控和審計是其有效的補充，兩者的有效結合，才能較好地滿足動態安全的需要。

事件響應與恢復主要針對發生攻擊事件時相應的應急措施與恢復正常應用的機制。就是當攻擊發生時，能及時做出響應，這需要建立一套切實有效、操作性強的響應機制，及時防止攻擊的進一步發展。響應是整個安全架構中的重要組成部分，因為網絡構筑沒有絕對的安全，安全事件的發生是不可能完全避免的，當安全事件發生的時候，應該有相應的機制快速反應，以便讓管理員及時了解攻擊情況，采取相應措施修改安全策略，盡量減少并彌補攻擊的損失，防止類似攻擊的再次發生。當安全事件發生后，對系統可能會造成不同程度的破壞，如網絡不能正常工作、系統數據被破壞等，這時，必須有一套機制能盡快恢復系統的正常應用，因為攻擊既然已經發生了，系統也遭到了破壞，這時只有讓系統以最快的速度運行起來才是最重要的，否則損失將更為嚴重。因此恢復在電子商務安全的整體架構中也是不可缺少的組成部分。

三、結論

Internet的快速發展，使電子商務逐漸進入人們的日常生活，而伴隨各類網絡安全事件的日益增加與發展，電子商務的安全問題也變得日益突出，建立一個安全、便捷的電子商務應用環境，解決好電子商務應用與發展的網絡安全問題必將對保障和促進電子商務的快速發展起到良好的推動作用。

參考文獻:

[1]CNCERT/CC.2005年上半年網絡安全工作報告

[2]李衛:計算機網絡安全與管理.北京：清華大學出版社，2000

[3]李海泉:計算機網絡安全與加密技術.北京：科學出版社，2001

篇10

關鍵詞： 企業信息系統；信息安全；安全策略

中圖分類號：F270.7 文獻標識碼：A 文章編號：1671－7597（2012）0220165－01

隨著市場經濟的不斷發展，企業競爭越來越激烈，國際化合作不斷增多，隨之而來的企業信息安全是目前我國企業普遍存在的問題。對企業來說，信息安全是一項艱巨的工作，關系到企業的發展。近年來，圍繞企業信息安全問題的話題不斷，企業信息安全事件也頻頻發生，如何保證企業信息的安全，保證信息系統的正常運轉，已經成為信息安全領域研究的新熱點。

1 企業信息安全的意義

信息安全是一個含義廣泛的名詞，是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞，或防止信息被非法辨識、控制，即確保信息的保密性、可用性、完整性和可控性。企業的正常運轉，離不開信息資源的支撐。企業信息安全建設對企業的發展意義重大。

首先，信息安全是時展的需要。計算機網絡時代的發展，改變了傳統的商務運作模式，改變了企業的生產方式和思想觀念，極大推動了企業文化的發展。企業信息安全的建設將使得企業的管理水平與國際先進水平接軌，從而成長為企業向國際化發展與合作的有力支撐。

其次，信息安全是企業發展的需要。企業的信息化建設帶來了生產效率提高、成本降低、業務拓展等諸多好處。當前越來越多的企業信息和數據，都是以電子文檔的形式存在，對企業來說，信息安全是使企業信息不受威脅和侵害的保證，是企業發展的基本保障，所以，在積極防御，綜合防范的方針指導下，有效地防范和規避風險，建立起一套切實可行的長效防范機制，逐步建立起信息安全保障體系，有利于企業的發展。

最后，信息安全是企業穩定的必要前提。信息安全成為保障和促進企業穩定和信息化發展的重點，要充分認識信息安全工作的緊迫感和長期性，從企業的安全、經濟發展、企業穩定和保護企業利益的角度來思考問題，扎扎實實地做好基礎性工作和基礎設施建設，在建立信息安全保障體系的過程中，必須搞好鏈接信息安全保障體系建設安全、建設健康的網絡環境，關注信息戰略，保障和促進信息化的健康發展。

2 企業信息安全的現狀

我國企業信息安全包括計算機系統的硬、軟件及系統中的數據受到保護，不受偶然的或惡意的原因而遭到破壞、更改、泄露，使得系統連續、可靠、正常的運行，網絡服務不中斷。計算機和網絡技術具有復雜性和多樣性，使得企業信息安全成為一個需要持續更新和提高的領域。就目前來看，主要存在以下三個方面的隱患。

2.1 企業缺少信息安全管理制度

企業信息安全是一個比較新的領域，目前還缺少比較完善的法規，現有的法規，由于相關安全技術和手段還沒有成熟和標準化，法規也不能很好地被執行，安全標準和規范的缺少，導致無從制定合理的安全策略并確保此策略能被有效執行。企業的信息系統安全問題是一個系統工程，涉及到計算機技術和網絡技術以及管理等方方面面，同時，隨著信息系統的延伸和新興技術集成應用升級換代，它又是一個不斷發展的動態過程。因此對企業信息系統運行風險和安全需求應進行同期化的管理，不斷制定和調整安全策略，只有這樣，才能在享受企業信息系統便利高效的同時，把握住信息系統安全的大門。

2.2 員工缺少安全管理的責任心

一個企業的信息系統是企業全體人員參與的，不考慮全員參與的信息安全方案，恰恰忽視信息安全中最關鍵的因素――人，因為他們才是企業信息系統的提供者和使用者，他們是影響信息安全系統能否達到預期要求的決定因素。在眾多的攻擊行為和事件中，發生最多的安全事件是信息泄露事件。攻擊者主要來自企業內部，而不是來自企業外部的黑客等攻擊者，安全事件造成最大的經濟損失主要是內部人員有意或無意的信息泄露事件。針對內部員工的泄密行為，目前還沒有成熟的、全面的解決，對于來自企業信息內部信息泄密的安全問題，一直是整個信息安全保障體系的難點和弱點所在。

2.3 信息系統缺乏信息安全技術

計算機信息安全技術是一門由密碼應用技術、信息安全技術、數據災難與數據恢復技術、操作系統維護技術、局域網組網與維護技術、數據庫應用技術等組成的計算機綜合應用學科。由于認識能力和技術發展的局限性，在硬件和軟件設計過程中，難免留下技術缺陷，網絡硬件、軟件系統多數依靠進口，由此可造成企業信息安全的隱患，現在黑客的攻擊并不是為了破壞底層系統，而是為了入侵應用，竊取數據，帶有明顯的商業目的，許多黑客就是通過計算機操作系統的漏洞和后門程序進入企業信息系統。隨著網絡應用要求的越來越多，針對應用的攻擊也越來越多，除了在管理制度上確保信息安全外，還要在技術上確保信息安全。

3 企業信息安全中存在的問題

信息時代的到來，從根本上改變了企業經營形式，企業實施信息化為其帶來便利的同時也產生了巨大的信息安全風險。由于我國企業信息安全工作還處于起步階段，基礎薄弱，導致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網絡攻擊等，這些問題給企業造成直接的經濟損失，成為企業信息安全的最大威脅，使企業信息安全存在著風險因素。

3.1 病毒危害

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼，它是具有破壞作用的程序或指令集合。計算機病毒已經泛濫成災，幾乎無孔不入，據統計，計算機病毒的種類已經超過4萬多種，而且還在以每年40%的速度在遞增，隨著Internet技術的發展，病毒在企業信息系統中傳播的速度越來越快，其破壞性也越來越來越強。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音，黑客是利用技術手段進入其權限以外的計算機系統的人。黑客破解或破壞某個程序、系統及網絡安全，或者破解某系統或網絡以提醒該系統所有者的系統安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務、網絡監聽、密碼破解等手段侵入計算機系統，盜竊系統保密信息，進行信息破壞或占用系統資源，黑客攻擊已經成為近年來經常出現的問題。

3.3 網絡攻擊

網絡攻擊就是對網絡安全威脅的具體表現，利用網絡存在的漏洞和安全缺陷對系統和資源進行的攻擊。尤其是在最近幾年里，網絡攻擊技術和攻擊工具有了新的發展趨勢，使借助Internet運行業務的企業面臨著前所未有的風險。由此可知，企業的信息安全問題、以及對信息的安全管理都是至關重要的。要保證企業信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

4 企業信息安全的解決方案

為確保企業信息安全，要堅持積極防御，綜合防范的方針，全面提高信息安全防護能力。因此，面對企業信息安全的現狀和企業信息安全發展中出現的問題，必須實施對企業的信息安全管理，建設信息安全管理體系，只有建立完善的安全管理制度，將信息安全管理自始至終貫徹落實于信息管理系統的方方面面，企業信息安全才能得以實現。企業信息安全的解決方案，具體表現在以下三個方面：

4.1 建立完善的安全管理體系

完整的企業信息系統安全管理體系首先要建立完善的組織體系，完成制定并信息安全管理規范和建立信息安全管理組織等工作，保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規范，詳細說明各種信息安全策略。一個詳細的信息安全規劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業安全管理過程包括：采用科學的企業信息資產評估和風險分析模型法、設計完備的信息系統動態安全模型、建立科學的可實施的安全策略，采取規范的安全防范措施、選用可靠穩定的安全產品等。安全防范體系的建立不是一勞永逸的，企業網絡信息自身的情況不斷變化，新的安全問題不斷涌現，必須根據暴露出的一些問題，進行更新，保證網絡安全防范體系的良性發展，

4.2 提高企業員工的安全意識

科技以人為本，在信息安全方面也是靠人來維護企業的利益，我們在企業信息網絡鞏固正面防護的時候不能忽視對人的行為規范和績效管理。企業員工信息安全意識的高低是一個企業信息安全體系是否能夠最終成功實施的決定性因素。企業應當制定企業人員信息安全行為規范，必須有專門管理人才，才能有效地實現企業安全、可靠、穩定運行，保證企業信息安全。教育培訓是培訓信息安全人才的重要手段，企業可以對所有相關人員進行經常性的安全培訓，強化技術人員對信息安全的重視，提升使用人員的安全觀念，有針對性的開展安全意識宣傳教育，逐步提高員工的安全意識，強調人的作用，使他們明確企業各級組織和人員的安全權限和責任，使他們的行為符合整個安全策略的要求。

4.3 不斷優化企業信息安全技術

企業一旦制定了一套詳細的安全規劃來武裝自己，保護其智力資產，它就開始投入到選擇采用正確信息安全技術上。可供企業選擇的防止信息安全漏洞的安全技術有很多。當企業選擇采用何種技術時，首先了解信息安全的三個領域是十分有幫助的，這三個領域變得：驗證與授權、預防和抵制、檢測和響應。其中，用戶驗證是確認用戶身份的一種方法，一旦系統確認了用戶身份，那么它就可以決定該用戶的訪問權限，比如使用用戶名和密碼。預防和抵抗技術是指企業阻止入侵者訪問。對于任何企業，必須對那些故障做好準備和預測，目前可以幫助預防和建設抵抗攻擊的技術主要有內容過濾、加密和防火墻，在選用防火墻的時候，需要對所安裝的防火墻做一些攻擊測試。此外，企業信息安全的最后一道屏障是探測和反應技術，最常見的探測和反應技術是殺毒軟件。

5 結語

總之，企業信息安全是一項復雜的系統工程，企業要適應現代化發展的需要，要提高自身信息安全意識，加強對信息安全風險防范意識的認識，重視安全策略的施行及安全教育，必須做到管理和技術并重，安全技術必須結合安全措施，并加強信息安全立法和執法的力度，建立備份和恢復機制， 為企業設計適合實際情況的安全解決方案，制定正確和采取適當的安全策略和安全機制，保證企業安全體系處于應有的健康狀態。

參考文獻：

[1]張帆，企業信息安全威脅分析與安全策略[J].網絡安全技術與應用，2007（5）.

[2]諶曉歡，企業信息安全問題及解決方案[J].企業技術開發，2008（8）.

[3]付沙，企業信息安全策略的研究與探討[J].商場現代化，2007（26）.

[4]姜樺、郭永利，企業信息安全策略研究[J].焦作大學學報，2009（1）.