企業網絡安全體系范文

導語：如何才能寫好一篇企業網絡安全體系，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

    關鍵詞：企業網  網絡安全  安全體系  入侵檢測  病毒防護

    隨著互聯網技術的發展，在企業中運用計算機網絡進行各項工作更加的深入和普及，通過企業網絡向師生提供高效、優質、規范、透明和全方位的信息服務，沖破了人與人之間在時間和空間分隔的制約，越來越被更多的人們所接受和應用。然而由于企業網絡自身的特點，使安全問題在企業網絡的運行與管理中格外突出，研究構建、完善基于企業網的信息安全體系，對企業網安全問題的解決具有重要意義。

一、企業網絡安全風險狀況概述

   企業網絡是在企業范圍內，在一定的思想和理論指導下，為企業提供資源共享、信息交流和協同工作的計算機網絡。隨著我國各地企業網數量的迅速增加，如何實現企業網之間資源共享、信息交流和協同工作以及保證企業網絡安全的要求是越來越強烈。與其它網絡一樣，企業網也同樣面臨著各種各樣的網絡安全問題。但是在企業網絡建設的過程中，由于對技術的偏好和運營意識的不足，普遍都存在”重技術、輕安全、輕管理”的傾向，隨著網絡規模的急劇膨脹，網絡用戶的快速增長，關鍵性應用的普及和深入，企業網絡在企業的信息化建設中已經在扮演了至關重要的角色，作為數字化信息的最重要傳輸載體，如何保證企業網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業不可回避的一個緊迫問題，解決網絡安全問題刻不容緩，并且逐漸引起了各方面的重視。

    由于Internet上存在各種各樣不可預知的風險，網絡入侵者可以通過多種方式攻擊內部網絡。此外,由于企業網用戶網絡安全尚欠缺，很少考慮實際存在的風險和低效率，很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統和篡改敏感數據的有關技術。

    因此，在設計時有必要將公開服務器和外網及內部其它業務網絡進行必要的隔離，避免網絡結構信息外泄；同時還要對網絡通訊進行有效的過濾，使必要的服務請求到達主機，對不必要的訪問請求加以拒絕。

二、企業網絡安全體系結構的設計與構建

    網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。網絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統。人們力圖建立的是一個網絡安全的動態防護體系，是動態加靜態的防御，是被動加主動的防御甚至抗擊，是管理加技術的完整安全觀念。但企業網絡安全問題不是在網絡中加一個防火墻就能解決的問題，需要有一個科學、系統、全面的網絡安全結構體系。

（一）企業網絡安全系統設計目標

    企業網絡系統安全設計的目標是使在企業網絡中信息的采集、存儲、處理、傳播和運用過程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態。在網絡上傳遞的信息沒有被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統辨識、控制，網絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態。

（二） 企業網防火墻的部署

    1.安全策略。所有的數據包都必須經過防火墻;只有被允許的數據包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務，除非是必須的服務才被允許。

   2.系統設計。在互聯網與企業網內網之間部署了一臺硬件防火墻，在內外網之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(即“非軍事區”，是為不信任系統提供服務的孤立網段，它阻止內網和外網直接通信以保證內網安全)，與內網和外網間進行隔離，內網口連接企業網，外網口通過電信網絡與互聯網連接。

    3.入侵檢測系統的設計和部署。入侵檢測系統主要檢測對網絡系統各主要運營環節的實時入侵，在企業網網絡與互聯網之間設置瑞星RIDS一100入侵檢測系統，與防火墻并行的接入網絡中，監測來自互聯網、企業網內部的攻擊行為。發現入侵行為時，及時通知防火墻阻斷攻擊源。

    4.企業網絡安全體系實施階段。第一階段:基本安全需求。第一階段的目標是利用已有的技術，首先滿足企業網最迫切的安全需求，所涉及到的安全內容有:

①滿足設備物理安全

②VLAN與IP地址的規劃與實施

③制定相關安全策略

④內外網隔離與訪問控制

⑤內網自身病毒防護

⑥系統自身安全

⑦相關制度的完善

  第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下，全面實現整個企業網絡的安全需求。所涉及的安全內容有:

①入侵檢測與保護

②身份認證與安全審計

③流量控制

④內外網病毒防護與控制

⑤動態調整安全策略

  第三階段:后續動態的安全系統調整與完善。相關安全策略的調整與完善以及數據備份與災難恢復等。

     在上述分析、比較基礎上，我們利用現有的各種網絡安全技術，結合企業網的特點，依據設計、構建的企業網絡安全體系，成功構建了如圖4-1的企業網絡安全解決方案，對本研究設計、構建的企業網絡安全體系的實踐應用具有重要的指導意義。 

 

圖4-1 企業網絡安全體系應用解決方案

篇2

[關鍵詞] 網絡安全 關鍵技術 鐵路網 網絡管理 防護體系

一、引言

鐵路系統的計算機應用和信息化建設已具規模，TMIS、客票、調度、集裝箱和物資等管理信息系統相繼建成并已投入使用。在鐵道部、鐵路局、基層站段三級網絡的支撐下，以TMIS和電子政務應用為核心的各項計算機應用系統已在鐵路運輸生產中發揮著越來越重要的作用。對于現代營銷、現代物流和電子商務等應用系統，僅具有連通功能的網絡是無法滿足其要求的，針對大型企業網絡安全方面存在的漏洞和隱患，利用簡單的技術防范措施已無法解決。必須調整網絡結構，克服平面網絡結構先天性的抵御攻擊能力差、控制乏力的弱點，并采用先進的技術、加強基礎設施和有效的網絡管理，形成保證網絡和信息安全的縱深立體防御體系。

二、建立計算機網絡安全體系

對于網絡而言，沒有絕對保證的信息安全，只有根據網絡自身特點，合理運用網絡安全技術，建立適應性的安全運行機制，才能從技術上最大限度地保證信息安全。

1.網絡安全關鍵技術

由防火墻（Firewall）、PKI（Public Key Infrastructure）公鑰安全體系、虛擬局域網（VLAN）和物理隔離與信息交換系統等構成了網絡安全的關鍵技術。

2.創建鐵路網絡立體安全防護體系

網絡安全防護體系是由安全操作系統、應用系統、防火墻、網絡監控、安全掃描、通信加密、網絡反病毒等多個安全組件共同組成的，每個組件只能完成其中部分功能。

(1)路由器。路由器是架構網絡的第一層設備，也是網絡入侵者的首要攻擊目標，因此路由器必須安裝必要的過濾規則，濾掉被屏蔽的IP地址和服務。例如，我們首先屏蔽所有的IP地址，然后有選擇的放行一些地址進入我們的網絡。路由器也可以過濾服務協議,允許需要的協議通過，而屏蔽其他有安全隱患的協議。

(2)入侵監測系統IDS。入侵監測系統是被動的，它監測你的網絡上所有的包(packets)。其目的就是捕捉危險或有惡意的動作，并及時發出警告信息。它是按用戶指定的規則運行的，它的功能和防火墻有很大的區別，它是對端口進行監測、掃描等。入侵檢測系統是立體安全防御體系中日益被普遍采用的成分，它能識別防火墻通常不能識別的攻擊，如來自企業內部的攻擊；在發現入侵企圖之后提供必要的信息，幫助系統移植。

(3)防火墻。防火強可防止“黑客”進入網絡的防御體系，可以限制外部用戶進入內部網，同時過濾掉危及網絡的不安全服務，拒絕非法用戶的進入。同時可利用其產品的安全機制建立VPN（Virtual Private Networks）。通過VPN，能夠更安全地從異地聯入內部網絡。

(4)物理隔離與信息交換系統（網閘）。鐵路內部網是鐵路運輸系統的指揮中樞，調度指令必須實時、準確下達。內部網調度服務的實時可用性成為鐵路信息系統最為核心的安全需求。因此不能因為信息化建設過程中對外網訪問的需求而影響內部網絡系統的安全性及可用性。物理隔離與信息交換系統是運用物理隔離網絡安全技術設計的安全隔離系統，它保證內部網絡與不可信網絡物理隔斷，能夠阻止各種已知和未知的網絡層和操作系統層攻擊，提供比防火墻、入侵檢測等技術更好的安全性能，既保證了物理的隔離，又實現了在線實時訪問不可信網絡所必需的數據交換。

(5)交換機。目前局域網大多采用以交換機為中心、路由器為邊界的網絡格局。核心交換機最關鍵的工作是訪問控制功能和三層交換功能。訪問控制對于交換機就是利用訪問控制列表ACL來實現用戶對數據包按照源和目的地址、協議、源和目的端口等各項的不同要求進行篩選和過濾。還有一項非常關鍵的工作就是劃分VLAN。

(6)應用系統的認證和授權支持。建立應用系統提升安全性的支撐平臺，實現應用系統保護的功能包括以下幾個方面:

①應用系統網絡訪問漏洞控制。應用系統軟件要求按安全軟件標準開發，在輸入級、對話路徑級和事務處理三級做到無漏洞；集成的系統要具有良好的恢復能力，這樣才能保證內部生產網中的系統避免因受攻擊而導致的癱瘓、數據破壞或丟失。

②數字簽名與認證。應用系統須利用CA提供的數字證書進行應用級的身份認證，對文件和數據進行數字簽名和認證，保證文件和數據的完整性以及防止源發送者抵賴。

③數據加密。對重要的數據進行加密存儲。

(7)操作系統的安全。保證操作系統的安全包括以下內容：

①操作系統的裁剪。不安裝或刪除不必要使用的系統組件。

②操作系統服務裁剪。關閉所有不使用的服務和端口，并清除不使用的磁盤文件。

③操作系統漏洞控制。在內部網中建立操作系統漏洞管理服務器，我們在內部網中安裝了微軟WSUS Server及第三方安全管理軟件（BES），對網絡內所有聯網主機的操作系統進行監控，一旦發現存在系統漏洞或者安全隱患，立即強制其安裝相應的系統補丁或者組件。

(8)病毒防護。網絡病毒網關與網絡版的查殺病毒軟件（McAfee EPO + Clients）相結合，構成了較為完整的病毒防護體系，能有效地控制病毒的傳播，保證網絡的安全穩定。

三、計算機網絡安全管理

有效的技術手段只是網絡安全的基礎工作，但僅靠網絡安全技術是絕對無法確保信息安全的。嚴格的計算機網絡安全管理制度，才能充分發揮網絡安全技術的效能，才能使網絡信息更加安全可靠。

四、結束語

目前計算機網絡已經深入到鐵路運輸生產管理、客戶服務、物流和客貨運營銷等各個領域。不解決安全問題，可能造成巨大的經濟損失。創建鐵路計算機網絡安全防護體系，將是鐵路信息化建設的有力保障。但建立計算機信息安全體系是一個復雜而又龐大的系統工程，涉及的問題也比較多。只有繼續對計算機網絡安全體系進行深入的研究和探討，才能更好的實現網絡安全，保證中國鐵路信息化建設的正常進行。

參考文獻：

[1]邱雪松:網絡管理體系結構.北京郵電大學,1999.7

[2]蔣蘋:計算機信息系統安全體系設計.計算機工程與科學，2003，01

篇3

【關鍵詞】網絡安全；防火墻；VPN；VLAN

一、引言

隨著電力施工企業信息化發展的不斷深入，企業對信息系統的依賴程度越來越高，信息與網絡安全直接影響到企業生產、經營及管理活動，甚至直接影響企業未來發展。企業網絡規模的擴大、信息接入點增多、分布范圍廣，使信息接入點管控難度大。企業信息與網絡安全面臨各類威脅，筆者以構建某電力施工企業信息與網絡安全體系為例，從信息安全管理、技術實施方面進行闡述與分析，建立一套比較完整信息化安全保障體系，保障業務應用的正常運行。

二、企業網絡安全威脅問題分析

1.企業網絡通信設備存的安全漏洞威脅，網絡非法入侵者可以采用監聽數據、嗅探數據、截取數據等方式收集信息，利用拒絕服務攻擊、篡改數據信息等方式對合法用戶進行攻擊。

2.非法入侵用戶對網絡系統的知識結構非常清楚，包括企業外部人員、企業內部熟悉網絡技術的工作人員，利用內部網絡進行惡意操作。非法用戶入侵企業內部網絡主要采用非法授權訪問對企業內部網絡進行惡意操作，以達到竊取商業機密的目的；獨占網絡資源的方式，非業務數據流（如P2P文件傳輸與即時通訊等）消耗了大量帶寬，輕則影響企業業務無法正常運作，重則致使企業IT系統癱瘓，對內部網絡系統造成損壞。

3.惡意病毒程序和代碼包括計算機病毒、蠕蟲、間諜軟件、邏輯復制炸彈和一系列未經授權的程序代碼和軟件系統。病毒感染可能造成網絡通信阻塞、文件系統破壞，系統無法提供服務甚至重要數據丟失。病毒的傳播非常迅速；蠕蟲是通過計算機網絡進行自我復制的惡意程序，泛濫時可以導致網絡阻塞和癱瘓；間諜軟件在用戶不知情的情況下進行非法安裝，并把截獲的機密信息發送給第三者。

4.隨著企業信息化平臺、一體化系統投入運行，大量重要數據和機密信息都需要通過內部局域網和廣域網來傳輸，信息被非法截取、篡改而造成數據混亂和信息錯誤的幾率加大；當非法入侵者以不正當的手段獲得系統授權后。可以對企業內部網絡的信息資源執行非法操作，包括篡改數據信息、復制數據信息、植入惡意代碼、刪除重要信息等，甚至竊取用戶的個人隱私信息，阻止合法用戶的正常使用，造成破壞和損失。保護信息資源，保證信息的傳遞成為企業信息安全中重要的一環。

三、企業信息與網絡安全策略

結合電力施工企業業務廣范圍大特點，提出一套側重網絡準入控制的信息安全解決方案，保障企業網絡信息安全。

1.遠程接入VPN安全解決方案

施工企業擁有多個項目部，地域范圍廣，項目部、出差人員安全訪問企業信息系統是企業信息化的要求，確保網絡連接間保密性是必要的。采用SSL VPN安全網關旁路部署在網絡內部，通過設置用戶級別、權限來屏蔽非授權用戶的訪問。訪問內部網絡資源的移動、項目用戶先到SSL VPN上進行認證，根據認證結果分配相應權限，實現對內部資源的訪問控制。

2.邊界安全解決方案

在系統互聯網出口部署防火墻（集成防病毒和網絡安全監控模塊）和IPS設備，同時通過防火墻和IPS將企業內部網、數據中心、互聯網等安全區域分隔開，并通過制定相應的安全規則，以實現各區域不同級別、不同層次的安全防護。邊界防護建立以防火墻為核心，郵件、WEB網關設備、IDS及IPS等設備為輔的邊界防護體系。

（1）通過防火墻在網絡邊界建立網絡通信監控系統，監測、限制、更改跨越防火墻的數據流以及對外屏蔽網絡內部的信息、結構和運行狀況，控制非法訪問、增強網絡信息保密性、記錄和統計網絡數據并對非法入侵報警提示等，達到保障計算機網絡安全的目的。

（2）在防火墻上開啟防病毒模塊，可以在網關處阻止病毒、木馬等威脅的傳播，保護網絡內部用戶免受侵害，改變了原有被動等待病毒感染的防御模式，實現網絡病毒的主動防御，切斷病毒在網絡邊界傳遞的通道。

（3）以入侵防御系統IPS應用層安全設備，作為防火墻的重要補充，很好的解決了應用層防御安全威脅，通過在線部署，IPS可以檢測并直接阻斷惡意流量。

（4）將上網行為管理設備置于核心交換機與防火墻之間。通過對在線用戶狀態、Web訪問內容、外發信息、網絡應用、帶寬占用情況等進行實時監控，在上網行為管理設備上設置不同的策略，阻擋P2P應用，釋放網絡帶寬，有效地解決了內部網絡與互聯網之間的安全使用和管理問題。

3.內網安全解決方案

內網安全是網絡安全建設的重點，由于內網節點數量多、分布復雜、終端用戶安全應用水平參差不齊等原因，也是安全建設的難點。

（1）主要利用構建虛擬局域網VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網絡劃分為幾個不同的廣播域，將信任網段與不信任網段劃分在不同的VLAN段內，實現內部一個網段與另一個網段的物理隔離，防止影響一個網段的安全事故透過整個網絡傳播，限制局部網絡安全問題對全局網絡造成的影響。

（2）建立企業門戶系統，用戶的訪問控制部署統一的用戶認證服務，實現單點登錄功能，統一存儲所有應用系統的用戶認證信息，而授權等操作則由各應用系統完成，即統一存儲、分布授權。

（3）系統軟件部署安全、漏洞更新，定期對系統進行安全更新、漏洞掃描，自動更新Windows操作系統和Office、Exchange Server以及SQL Server等安全、漏洞補丁。安裝網絡版的防病毒軟件，定期更新最新病毒定義文件，制定統一的策略，客戶端定期從病毒服務器下載安裝新的病毒定義文件，有效減少了病毒的影響；配置郵件安全網關系統，為郵件用戶提供屏蔽垃圾郵件、查殺電子郵件病毒和實現郵件內容過濾等功能，有效地從網絡層到應用層保護郵件服務器不受各種形式的網絡攻擊。

4.數據中心安全解決方案

作為數據交換最頻繁、資源最密集的地方，數據中心出現任何安全防護上的疏漏必將導致不可估量的損失，因此數據中心安全解決方案十分重要。

（1）構建網絡鏈接從鏈路層到應用層的多層防御體系。由交換機提供數據鏈路層的攻擊防御。數據中心網絡邊界安全定位在傳輸層與網絡層的安全上，通過防火墻可以把安全信任網絡和非安全網絡進行隔離，并提供對DDoS和多種畸形報文攻擊的防御。IPS可以針對應用流量做深度分析與檢測能力，即可以有效檢測并實時阻斷隱藏在海量網絡流量中的病毒、攻擊與濫用行為，也可以對分布在網絡中的各種流量進行有效管理，從而達到對網絡應用層的保護。

（2）建立數據備份和異地容災方案，建立了完善的數據備份體系，保證數據崩潰時能夠實現數據的完全恢復。同時在異地建立一個備份站點，通過網絡以異步的方式，把主站點的數據備份到備份站點，利用地理上的分離來保證系統和數據對災難性事件的抵御能力。

5.安全信息管理與培訓

（1）網絡管理是計算機網絡安全重要組成部分，在組織架構上，應采用虛擬團隊的模式，成立了相關信息安全管理小組。從決策、監督和具體執行三個層面為網絡信息安全工作提供保障。建立規范嚴謹的管理制度，制定相應的規范、配套制度能保證規范執行到位，保障了網絡信息安全工作的“有章可循，有據可查”。主要涉及：安全策略管理、業務流程管理、應用軟件開發管理、操作系統管理、網絡安全管理、應急備份措施、運行流程管理、場所管理、安全法律法規的執行等。

（2）人員素質的高低對信息安全方面至關重要；提高人員素質的前提就是加強培訓，特別加強是對專業信息人員的培訓工作。

四、結束語

該企業信息與網絡安全體系建設以技術、管理的安全理念為核心，從組織架構的建設、安全制度的制定、先進安全技術的應用三個層面，構建一個多層次、全方位網絡防護體系。在統一的安全策略基礎上，利用安全產品間的分工協作，并針對局部關鍵問題點進行安全部署，使整個網絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中管理，達到提升網絡對安全威脅的整體防御能力。

參考文獻

篇4

關鍵詞:計算機網絡 黑客技術 計算機病毒 網絡安全

一、網絡安全的相關概念

網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科,其本質就是網絡上的信息安全。國際標準化組織(ISO)的定義為:“為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露”。網絡安全的特性主要包括:網絡上信息的保密性――保證信息不泄漏給未經授權的用戶或供其利用,可以說,這是網絡安全最重要的一個方面,只要網絡上的保密性達到了一定的要求,那么,就可以說網絡是安全的;完整性――防止信息被未經授權的人篡改,保證真實的信息從真實的信源無失真地到達真實的信宿,這樣,就需要加大安全措施,確保信息傳輸的一致性、完整性;可用性――保證信息及信息系統確實為授權使用者所用,防止由于計算機病毒或其它人為因素造成網絡和系統無法正常運行而拒絕服務或為敵手所用。可控性――對信息內容及信息系統實施安全監控管理,防止非法修改;不可否認性――保證信息行為人不能否認自己的行為,利用數字簽名、數字郵戳、數字憑證和認證中心等技術和手段構成安全的網絡系統,使得個人行為具有可信度,這一點在電子商務中至關重要。

二、影響校園網安全的因素分析

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然或者惡意的原因而遭受到破壞、更改、泄漏,系統連續正常可靠的運行,網絡服務不中斷。安全包括保密性、完整性、可用性、可控性和可審查性。一般來說,校園網的網絡設備種類繁多、網絡拓撲結構復雜,使用的操作系統平臺也不統一,因此存在著許多不穩定的因素,主要有如下幾方面:

1、技術上的硬傷。目前的校園網絡內部局域網大都采用以太網拓撲方式連接,同時又與Internet相連。Internet網的共享性和開放性使網上信息安全存在先天不足,因為它所采用的TCP/IP協議并非專為安全通訊而設計,其各層中都未加入信息加密及認證體制,所以該協議族本身就不是一個安全的協議,從而缺乏相應的安全機制。Internet最初的設計思想基本沒有考慮安全問題,這使得它在安全可靠、服務質量、帶寬和方便性等方面存在著不適應性。此外,隨著規模的不斷增大,操作系統、數據庫系統和各種應用系統的安全漏洞或“后門”也不可避免地存在。操作系統主要有Unix 、Linux和Windows系列,而又以Windows系列操作系統最多。不管哪一種操作系統都存在大量已知和未知的漏洞。國際上一些安全組織已經了大量的安全漏洞,其中一些漏洞可以導致入侵者獲得管理員的權限,有一些漏洞則可以被用來實施拒絕服務攻擊,一些漏洞則成為病毒攻擊的對象。

2、來自內部的風險。有句話說得好:“堡壘最容易是從內部攻破”, 據調查統計,網絡安全事件中,80%的攻擊是來自內部,因此內網的安全風險更嚴重。造成這種內在風險的最主要原因有兩個:一是內部人員對網絡結構應用系統比較熟悉。對于網絡中沒有訪問其他網段主機權限的用戶來說,當要對其他網段上主機發動攻擊時,情況類似于外部網絡的攻擊。但是與外部網絡的攻擊者相比,內部攻擊者更容易竊取用戶登錄所需資料,所以非法訪問更易成功。特別是高校的校園網,其用戶與一般局域網用戶不同,網絡高手較多更是要注意網絡內部安全。二是學校中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網,而這些機器通常又置于內網中,這種情況的存在同樣給校園網帶來了巨大的潛在威脅,極有可能使得黑客繞過防火墻而在毫不知情的情況下侵入校園網。

三、構筑網絡安全防線

1、網絡層的安全性。網絡層的安全性,其核心問題在于網絡互聯設備以及網絡接口模塊是否能夠得到有效控制。即應對使用任何一個IP地址的用戶都能作出判斷,判斷來源IP是否會對本網絡系統造成危害,以及來自這一IP的用戶是否有權使用本網絡的數據。網絡管理員通過配置網管軟件或路由器,實現對整個子網內的所有主機的傳輸信息和運行狀態進行安全監測和控制,同時輔助以身份認證,客戶權限設置與判別,審計日志等方法在網絡環境下對來自其他機器的網絡通信進程進行安全控制。

2、操作系統的安全性。除了在網絡層安全技術上著手,人們也非常重視操作系統的層次上的安全性,希望把系統內核中可能引起安全性問題的部分剔除出去,從而使系統更安全。眾所周知,各種操作系統都存在先天缺陷和由于不斷增加新功能而帶來的漏洞。因此,構建操作系統級網絡安全,可從以下幾方面著手:采用安全性較高的操作系統,安裝所有的操作系統和服務器補丁程序。隨時與銷售商保持聯系,以取得最新的補丁程序;對操作系統進行安全配置,盡量改變或減少暴露的服務端口號及其數量;利用安全掃描系統檢查操作系統的漏洞;對WWW服務器的內容進行數據備份,并對Web頁進行監視,若發現內容被篡改,則發出警報,并立即將備份的Web數據恢復到WWW服務器上。

3、用戶的安全性。對于用戶的安全性問題,主要應該考慮是否只有那些真正被授權的用戶才能夠使用系統中的資源和數據。因此,在對用戶的管理上,應首先按安全性要求對用戶實行分組管理。也就是說,應該根據不同的安全級別將用戶分為若干等級,每一等級的用戶只能訪問與其等級相對應的系統資源和數據。其次應該考慮強有力的身份認證方法,以確保用戶的密碼不會被他人猜測到。

參考文獻:

篇5

關鍵詞 安全管理系統；殺毒；企業郵箱

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2013）83-0214-02

0引言

信息技術的迅猛發展極大地促進了網絡在企業的普及應用，當今的企業必須采用能夠充分利用結合優秀的傳統方法及連網計算的新業務模式，來獲得競爭優勢。對許多企業來講，問題不在于數據安全是否必要，而在于怎樣在預算范圍內以安全的方式管理復雜計算機環境、多種計算機平臺和眾多集成式計算機網絡上的數據。各企業必須獨立確定需要多高級別的安全，以及哪種安全能最有效地滿足其特殊業務需求。這些問題僅靠安全解決方案是無法完成的，而是企業安全管理必須解決的問題。企業郵箱是公司架設的服務于公司內網用戶的企業級郵箱。

1 網絡安全管理系統的應用

公司通過使用萊恩塞克內網安全管理系統和金山毒霸網絡版的配合使用，將公司整個網絡設備對病毒的查、殺、防列入到網絡管理體系當中。

1.1網絡安全系統的需求分析

企業網絡安全管理涉及的需求有諸多方面，僅就計算機網絡系統集中管理、網絡數據存儲與備份管理，兩方面進行說明。

1.1.1計算機網絡系統集中管理

實施網絡系統改造，提高企業網絡系統運行的穩定性，保證企業各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。

通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。

通過網絡的改造，使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。

1.1.2 網絡數據存儲備份管理

互聯網與信息技術的蓬勃發展，在提高了各個行業企業日常業務運營效率的同時，也極大增加了企業內部的數據負擔。隨著Internet、Intranet及Extranet等網絡數據量的指數級增長、以及數據類型的不斷豐富，企業IT管理人員面臨著系統應用數據完整性、安全性、可用性等方面的嚴峻挑戰。他們必須能夠確保企業數據得到有效的保護，并在故障出現時迅速準確的予以恢復，以最大限度減小企業可能的損失，實現業務的持續、正常運轉。

1.2 網絡安全系統的功能

系統投入使用以來，有效地解決了公司信息部門多年以來實際工作中遇到的網絡管理難題，系統實現了對局域網內的所有設備的數量、型號以及配置的統計，還對突發故障及時報警和診斷，對最新病毒、黑客攻擊進行報警判斷并作出有效的控制，對軟件的遠程自動分發和恢復安裝功能，通過分發使網內的各個終端計算機實時的進行系統升級以及防毒軟件的日常升級需求。

1.3 網絡安全系統的應用成果

對于近期危害嚴重的網絡arp病毒一旦局域網內的計算機感染此病毒，由于此病毒通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量導致網絡癱瘓以往我們發現此類故障后只能現場查看網內每臺機器來排查此病毒費時費力工作效率大大降低，現在通過金山毒霸網絡版的病毒日志可以有效地得知病毒來源予以查殺，對于無法殺除病毒的機器通過萊恩塞克內網安全管理端對ip地址和MAC地址綁定功能控制交換機端口，禁止感染病毒的計算機進入網絡，使網絡中病毒的傳播范圍達到最小，把損失降到最低，還可以對內網機器準確的定位，有效杜絕了內部人員未經允許修改自己機器的ip地址，導致其它人員的ip地址被盜用，危險時會使網絡內重要的服務器因ip地址被占用而停止服務的危險隱患。在信息中心利用管理軟件得遠程指導、遠程維護功能可以對網內計算機操作人員的違規操作進行有效的監視，如上網、運行非法軟件、記入到網絡日志，并快速的提出警告。如果哪臺機器感染病毒，迅速報警并采取措施。對于遠程計算機的監視和控制就像操作自己的計算機一樣，避免了跑路，提高效率。在信息中心可以統一向各計算機用戶批量快速發送軟件的升級補丁，發送信息，節省了人力，物力。

2 企業郵箱的應用

郵件系統，在辦公自動化的今天，尤其顯得重要。對于許多企業來說，離開了E-mail，工作已經不能順暢的開展了。目前許多企業通過租用的外部郵箱系統的方式來解決郵件通訊問題。但租用的外部郵箱系統，除了需要花費昂貴的租金外，還不易于管理，同時在郵件安全、提高辦公效率等都遇到了瓶頸。而擁有可靠的郵件系統是現代企業順利發展的必要基礎配置，也利于企業進一步提高自身形象。概括起來講，企業郵箱達到的主要指標如下：

1）實現內外網絡分離；

2）郵箱訪問速度極快，內網用戶文件上傳下載文件速度可達10兆每秒；

3）郵箱擁有的公共地址簿，使用戶使用郵箱時，方便得查找目的用戶，提高了郵箱的使用效；

4）郵箱全部注冊用戶以真實身份進行注冊，用戶名稱也使用真實姓名的英文拼寫，防止了匿名內外網用戶對網絡安全的破壞，方便了管理員對網絡安全的監控；

5）遠程管理方便，管理員可以隨時在互聯網上對郵箱進行管理，提高了管理的效率；

6）郵箱正式運行后較穩定，郵件收發正確率，文件傳輸正確率100%，穩定運行時間95%以上。

4 結論

總的來說，一個具有主動性的網絡安全模型是以一個良好的安全策略為起點的。之后需要確保這個安全策略可以被徹底貫徹執行。最后，由于移動辦公用戶的存在，企業和網絡經常處在變化中，需要時刻比那些黑客、蠕蟲、惡意員工以及各種互聯網罪犯提前行動。要做到先行一步，應該時刻具有主動性的眼光并在第一時刻更新的安全策略，同時要確保系統已經安裝了足夠的防護產品，來阻止黑客的各種進攻嘗試。雖然安全性永遠都不是百分之百的，但這樣做足可以使企業網絡處于優勢地位。

參考文獻

[1]廣域網與局域網.

[2]TCP/IP實用技術指南.

[3]網絡分析與設計.

[4]計算機網絡安全與加密技術.

[5]萊恩塞克內網安全管理使用手冊.

[6]Winmail server技術使用手冊.

篇6

電力信息的迅猛發展使得電力系統及數據信息網絡迎來了前所未有的挑戰。本文分析研究了網絡系統信息安全存在的問題，全面規劃了網絡安全系統，提出了合理有效的安全措施、方法，大大提升了電力企業信息網絡安全工作的效率。

一、網絡系統信息安全存在問題分析

（一）計算機及信息網絡安全意識不強

由于計算機信息技術高速發展，計算機信息安全策略和技術也有大的進展。設計院各種計算機應用對信息安全的認識離實際需要差距較大，對新出現的信息安全問題認識不足。

（二）缺乏統一的信息安全管理規范

設計院雖然對計算機安全一直非常重視，但由于各種原因目前還沒有一套統一、完善的能夠指導整個院計算機及信息網絡系統安全運行的管理規范。

（三）缺乏適應電力行業特點的計算機信息安全體系

近幾年來計算機在整個電力行業的生產、經營、管理等方面應用越來越廣，但在計算機安全策略、安全技術和安全措施上投入較少。為保證網絡系統安全、穩定、高效運行，應建立一套結合電力行業計算機應用特點的計算機信息安全體系。

（四）缺乏預防各種外部安全攻擊的措施

計算機網絡化使過去孤立的個人電腦在聯成局域網后，面臨巨大的外部安全攻擊。局域網較早的計算機系統是NOVELL網.并沒有同外界連接。計算機安全只是防止意外破壞或者內部人員的安全控制就可以了，但現在要面對國際互聯網上各種安全攻擊，如網絡病毒和電腦“黑客”等。

二、保證網絡系統信息安全的對策

（一）建立信息安全體系結構框架

實現網絡系統信息安全.首要的問題是時時跟蹤分析國內外相關領域信息安全技術的發展和應用情況，及時掌握國際電力工業信息安全技術應用發展動向。結合我國電力工業的特點和企業計算機及信息網絡技術應用的實際，建立網絡系統信息安全體系一的總體結構框架和基本結構。完善網絡系統信息安全體系標準以指導規范網絡系統信息安全體系建設工作。

按信息安全對網絡系統安全穩定運行、生產經營和管理及企業發展所造成的危害程度，確定計算機應用系統的安全等級，制定網絡系統信息安全控制策略.建立適應電力企業發展的網絡系統信息安全體系，利用現代網絡及信息安全最新技術，研究故障診斷、處理及系統優化管理措施。在不同條件下提供信息安全防范措施。

（二）建立網絡系統信息安全身份認證體系

CA即證書授權。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。為保證網絡系統信息一和安全.應建立企業的CA機構對企業員工上網用戶統一身份認證和數字簽名等安全認證，對系統中關鍵業務進行安全審計，并開展與銀行之間，上下級CA機構之間與其他需要CA機構之間的交叉認證的技術研究工作。

（三）建立數據備份中心

數據備份及災難恢復是信息安全的重要組成部分。理想的備份系統應該是全方位、多層次的。硬件系統備份是用來防止硬件系統故障，使用網絡存儲備份系統和硬件容錯相結合的方式。可用來防止軟件故障或人為誤操作造成的數據邏輯損壞。這種對系統的多重保護措施不僅能防止物理損壞還能有效地防止邏輯損壞。結合電力行業計算機應用的特點，選擇合理的備份設備和備份系統.在企業建立數據備份中心，根據其應用的特點，制定相應的備份策略。

（四）建立網絡級計算機病毒防范體系

計算機病毒是一種進行自我復制、廣泛傳染，對計算機程序及其數據進行嚴重破壞的病毒，具有隱蔽性與隨機性，使用戶防不勝防。設計院信息網絡系統采取在現有網絡防病毒體系基礎上.加強對各個可能被計算機病毒侵入的環節進行病毒防火墻的控制，在計算中心建立計算機病毒管理中心，按其信息網絡管轄范圍，分級進行防范計算機病毒的統一管理。在計算機病毒預防、檢測和病毒定義碼的分發等環節建立較完善的技術等級和管理制度。

（五）建立網絡系統信息安全監測中心

計算機信息系統出現故障或遭受外來攻擊造成的損失.絕大多數是由于系統運行管理和維護、系統配置等方面存在缺陷和漏洞，使系統抗干擾能力較差所致。信息安全監測系統可模仿各種黑客的攻擊方法不斷測試信息網絡安全漏洞并可將測出的安全漏洞按照危害程度列表。根據列表完善系統配置，消除漏洞并可實現實時網絡違規、入侵識別和響應。它在敏感數據的網絡上.實時截獲網絡數據流，當發現網絡違規模式和未授權網絡訪問時，自動根據制定的安全策略作出相應的反映.如實時報警、事件登錄、自動截斷數據通訊等。利用網絡掃描器在網絡層掃描各種設備來發現安全漏洞.消除網絡層可能存在的各類隱患。

（六）建立完備信息網絡系統監控中心

篇7

近些年來，所有的企業在擴展信息傳輸系統的功能方面受到了兼容性的嚴重制約，因為監控系統的軟件和硬件在擴充和補套以及服務上都對既定的廠家存在著極大的依賴性。如果企業運用的監控系統出現問題而無法解決，那么就只有采購其他廠家的監控系統進行替代。所以說，混亂的通信協議嚴重局限了系統補套和升級改良系統軟硬件，企業不斷的更換系統設備，造成了極大的成本浪費。在這種情況下，我國難以形成有序、良性的安全監控系統市場競爭，而行業壟斷的出現可謂是必然。文章以這個大背景為前提，分析和研究了統一的監控系統通信協議。

1 監控系統分站統一通信協議框架

1.1 制定監控系統分站統一通信協議的目的

監控系統不同，其分站與主站之間就會存在不一致的通信協議，必然會導致難以互相調換其分站的結果。假設我們能夠采用相同的通信協議來設計監控系統的分站，則當我們另外一個廠家生產的分站來代替原有分站時，系統的運行就不會受到設備更換的影響，用戶應用起來也比較方便，同時也會造成市場上的競爭加劇，進而降低其價格。對于監控系統的主站來說，分站的通信協議統一化也能夠提升其軟件水平，即便是部分卓越的軟件公司沒有具有競爭力的硬件產品，其也能夠將優秀的軟件應用于安全監控系統中。這就是對監控系統統一通信協議進行研究的一個原因。除此之外，企業在構建信息化平臺方面也會受益于監控系統通信協議的統一。

1.2 統一通信協議構架

下表1給出了監控通信協議幀的一般格式，以此為基礎我們相應的構架來對監控系統通信協議進行構建，無論是主從通信結構還是無主通信結構都能夠運用此通信協議。

表1 監控通信協議幀的一般格式

2 監控系統中心站數據通信框架

因為一致的通信協議不能馬上應用于監控系統所有的分站，而分站數據不能直接被高層的應用接收，因此監控系統接入協議必須進行專門的制定。下面羅列的類型可供監控系統中心站接入協議選擇：

（1）文件共享型。以采樣周期或者規定的時間為單位，監控系統設計者將一組數據文件以規范的文件結構形式進行共享，其他的應用就能夠獲取到相應的信息，目前所有的監控系統都能夠在保證系統正常運行的情況下實現這種方式的文件共享。（2）數據庫共享型。對于數據庫來說，其優勢為開放性、標準化和完備的支持環境，采用數據庫形式，監控系統能夠共享實時數據或者歷史數據，以此為基礎構建的數據共享標準化模型也非常優秀。（3）應用軟件在過去必須通過特定的接口程序才能連接到現場設備或者應用程序，之后才能完成通信，加大應用程序之間通信的難度，以COM為基礎，規范了工業自動化軟件接口便形成了OPC，監控中心站軟件業可以通過OPC方式連接其他軟件，進而完成數據信息的傳輸，而為了保證OPC與開發環境相兼容，微軟平臺成為了開發中心站軟件的基礎。下圖1顯示了詳細的OPC結構。（4）對象管理集團OMG針對分布對象提出了一種解決方案，就是所謂的CORBA，而且近些年出現的眾多產品都能夠與CORBA相匹配。對象管理集團研發了對象管理架構用來對分布計算機系統的異構性進行解決。下圖2顯示的就是具體的對象管理架構。各個模塊之間通過對象請求這條軟件總線進行通信和協作是該架構的核心。

圖1 OPC的客戶/服務器結構

圖2 對象管理架構

篇8

關鍵詞：電力信息網絡；安全防護；策略

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 17-0000-01

The Network Security System Construction and Improvement for Power System

Shen Fanyun

(Inner Mongolia Electric Power(Group)Co.,Ltd.Erdos Electric Power Bureau,Erdos017000,China)

Abstract:With the power industry's continuous development of information technology,information security is facing increasingly serious challenges.Adapt to the new situation,the article from the power dispatch and power system development point of view of market needs,analysis of the electric power information network of the major categories and characteristics,focusing on the technical and management aspects of power system described the establishment of information network protection systems and strategies.

Keywords:Power Information Network;Security;Strategy

一、電力信息網絡的主要分類和特點

電力系統中網絡應用的分類有許多種，根據業務類型、實時等級、安全等級等因素可分為生產數據傳輸和管理信息傳送兩大類，其它應用還包括音頻傳輸和對外服務等。不同的應用系統對安全有不同的要求：如生產控制類基于TCP/IP的數據服務業務實時性較強，遙控遙調更與電網安全直接相關，可靠性要求較高；與計費相關的電力市場業務對安全性有特殊要求，不僅要可靠，還要保密；管理信息類業務突發性強、速率較高、實時性不強，但對保密性要求又較高。無論對于何種應用，都要求電力信息網絡的防護措施能按各類業務的具體要求保證其安全運行。

二、電力調度系統對網絡安全防護體系的要求

近年來，特別是隨著電力市場化進程的加快，電力調度自動化的內涵也有了較大的延伸，由原來單一的EMS系統擴展為EMS、DMS、TMS、廠站自動化、水調自動化、雷電監視、故障錄波遠傳、遙測、電力市場技術支持和調度生產管理系統等。電力信息網絡是支持調度自動化系統的重要技術平臺，實時性要求秒級或微秒級。其中發電報價系統、市場信息等電力市場信息系統由于需要與公網連接，因而還要求做加密和隔離處理。因此，要保障調度自動化的安全運行，就需要信息網絡從應用系統的各個層面出發，按照其不同的安全要求，制定相應的防護策略，形成一整套完善的防護體系。

三、電力系統網絡安全體系

（一）安全系統建設。安全系統的建設，是根據網絡應用的安全需求，建立包括網絡防火墻、入侵檢測、漏洞掃描、安全審計、撥號網絡安全、安全電子郵件和敏感數據保護、計算機防病毒、流量監控等在內的安全系統。安全系統建設中最重要環節的是整體系統規劃。

（二）安全管理建設。在信息系統安全上，安全不僅僅是技術問題，更是一個管理的問題。因此，信息安全保障體系建設的下一個階段就是安全管理建設。安全管理建設與安全策略建設密不可分，管理是在策略的指導下進行的，而管理經驗和運行？管理之間的互動則為策略的制定提供依據。為此，有必要建立集中式、全方位、動態的安全管理中心。其目標在于：將與整體安全有關的各項安全技術和產品捏合在一個規范的、整體的、集中的安全平臺上的同時，使技術因素、策略因素以及人員的因素能夠更加緊密地結合在一起，從而提高用戶在安全領域的各種分散投資的最終整體安全效益。

（三）安全策略建設。關于安全策略建設，尤其是安全策略的電子化和自動化管理，正在進行一個全方位的、動態的、持續的過程，遵循均衡、動態和立體性的原則，安全系統建設是基礎，在恰當有效的安全策略的指導下，實施集中式、全方位、動態的安全管理是實現信息系統整體安全的有效保障。

四、對安全體系建設和完善的幾點思路

信息系統安全保障體系的建設是一個全方位的、動態的、持續的過程，要完善已有的安全保障體系，滿足企業網上應用系統安全需求，提出有效的安全解決方案，應從如下幾個方面進行深入和細致的工作。

（一）對電力企業網絡結構模型的分析。企業的網絡結構模型可分為兩層，一層是企業互聯網絡，一層是企業內部網絡。所產生的安全需求也不同，那么相應的安全解決方案就不一樣。

無論是公司本部或是下屬企業，其內部網絡的結構大同小異。均具有一個中心網絡，提供公共應用服務，同時行使網絡管理權利。各局域網也具有自己的服務器，或Web或應用服務器。這些局域都是直接連接到中心網絡，共享公共應用服務，同時也提供自己的信息給其他單位共享。

（二）對網絡層風險的分析。1.網絡風險來源：（1）網絡中心連通Internet之后，企業網可能遭受到來自Internet惡意攻擊；（2）在Internet上廣為傳播的網絡病毒將通過Web訪問、郵件、新聞組、網絡聊天以及下載軟件、信息等傳播，感染企業網內部的服務器、主機；更有一些黑客程序也將通過這種方式進入企業網；（3）企業網內部連接的用戶很多，很難保證沒有用戶會攻擊企業的服務器。事實上，來自于內部的攻擊，其成功的可能性要遠遠大于來自于Internet的攻擊，而且內部攻擊的目標主要是獲取企業的機密信息，其損失要遠遠高于系統破壞。

2.回避風險措施。基于以上風險，在上述兩層網絡結構中，網絡層安全主要解決企業網絡互聯時和在網絡通訊層安全問題，需要解決的問題有：（1）企業網絡進出口控制（即IP過濾）；（2）企業網絡和鏈路層數據加密；（3）安全檢測和報警、防殺病毒。

重點在于企業網絡本身內部的安全，如果解決了各個企業網的安全，那么企業互聯掃安全只需解決鏈路層的通訊加密。

五、結束語

電力是關系到國計民生的基礎產業，有很強的信息保密與安全需求。由于自身業務的需要，實現內部網絡的互通，以及內部網絡與Internet的互通，要求建立一個權限清晰、服務完善、安全到位的網絡。由于不可避免地與外網相連，就必須時刻防備來自外部的黑客、病毒的威脅。為了維護電力信息安全，確保信息網絡系統穩定可靠，網絡安全體系建設極為重要。

參考文獻：

篇9

關鍵詞：電力；信息化；安全問題

中圖分類號：[TM622]文獻標識碼：A

一、電力系統信息安全概念和保護現狀

電力系統信息安全是電力系統安全運行和對社會可靠供電的保障，是一項涉及電網調度自動化、繼電保護及安全裝置、廠、站自動化、配電網自動化、電力負荷控制、電力市場交易、電力營銷、信息網絡系統等有關生產、經營和管理方面的多領域、復雜的大型系統工程。結合電力工業特點，電力工業信息網絡系統和電力運行實時控制系統，分析電力系統信息安全存在的問題，電力系統信息沒有建立安全體系，只是購買了防病毒軟件和防火墻。有的網絡連防火墻也沒有，沒有對網絡安全做統一長遠的歸劃。網絡中有許多的安全隱患。因此急需建立同電力行業特點相適應的計算機信息安全體系。

二、目前電力企業網絡信息安全管理存在的主要問題

電力企業在網絡信息安全管理方面存在以下問題。

（一）信息化機構建設尚需進一步健全

信息部門未受到應有的重視。信息部門在電力公司沒有專門機構配置，沒有規范的建制和崗位，這種狀況勢必不能適應信息化對人才、機構的要求。

（二） 企業管理革新滯后于信息化發展進程

相對于信息技術的發展與應用，電力企業管理革新處于落后狀況，最終導致了信息系統未能發揮預期的、應有的作用。

（三）網絡信息安全管理需要成為企業安全文化的重要組成部分

目前，在電力企業安全文化建設中，信息安全管理仍然處于從屬地位，需要進行不斷努力，使之成為企業安全文化的中堅力量。

（四）網絡信息安全風險的存在

電力企業網絡信息安全與一般企業網絡信息同樣具備多方面的安全風險，主要表現在以下幾方面：

1、網絡結構不合理

2、來自互聯網的風險

3、來自企業內部的風險

4 、病毒的侵害

5 、管理人員素質風險

6、 系統的安全風險

三、電力企業網絡信息安全管理問題的成因分析

（一）安全意識淡薄是網絡信息安全的瓶頸

技術人員往往對網絡信息的安全性無暇顧及，安全意識相當淡薄。電力企業注重的是網絡效應，對安全領域的投入和管理遠遠不能滿足安全防范的要求，網絡信息安全處于被動的封堵漏涮狀態。

（二） 運行管理機制的缺陷和不足制約了安全防范的力度

從目前的運行管理機制來看，有以下幾方面的缺陷和不足：

1、 網絡安全管理方面人才匱乏

2、 安全措施不到位

3、缺乏綜合性的解決方案

四、 網絡信息安全管理的內容

（一） 風險管理

識別企業的信息資產，評估威脅這些資產的風險，評估假定這些風險成為現實時企業所承受的災難和損失。通過降低風險、避免風險、轉嫁風險、接受風險等多種風險管理方式，來協助管理部門制定企業信息安全策略。

（二）安全策略

信息安全策略是企業安全的最高方針，由高級管理部門支持，必須形成書面文檔，廣泛到企業所有員工手中。

（三）安全教育

信息安全意識和相關技能的教育是企業安全管理中重要的內容，其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證信息安全的成功和有效，高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓，所有的企業人員必須了解并嚴格執行企業信息安全策略。

五、 加強電力企業網絡信息安全管理的建議

（一）重視安全規劃

企業網絡安全規劃的目的就是要對網絡的安全問題有一個全面的思考，要以系統的觀點去考慮安全問題。要進行有效的安全管理，必須建立起一套系統全面的信息安全管理體系。

（二）合理劃分安全域

電力企業是完全實行物理隔離的企業網絡，在內網上仍然要合理劃分安全域。要根據整體的安全規劃和信息安全密級，從邏輯上劃分核心重點防范區域、一般防范區域和開放區域。重點防范的區域是網絡安全的核心。

（三） 加強安全管理。重視制度建設

1、加強日志管理與安全審計

2、建立內網的統一認證系統

3、建立病毒防護體系

4、重視網絡管理制度建設

嚴格的管理制度，是保證企業信息網絡安全的重要措施之一。

（1）領導應當高度重視網絡信息安全問題。

（2）加強基礎設施和運行環境的管理建設。

（3）建立必要的安全管理制度。

（4）堅持安全管理原則、多人負責原則。

(5）定期督導檢查制度。

（四）加強企業員工和網絡管理人員安全意識教育

對于網絡信息安全，企業員工和網絡管理人員的素質非常重要。

1、在安全教育具體實施過程中應該有一定的層次性。

（1)對主管信息安全工作的高級負責人或各級管理人員，重點掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制訂等。

（2)對負責信息安全運行管理及維護的技術人員，重點是充分理解信息安全管理策略、安全評估基本方法、安全操作和維護技術運用等。

2、對于特定人員的安全培訓

對于關鍵崗位和特殊崗位的人員，通過送往專業機構學習和培訓，使其獲得特定的安全方面的知識和技能。

六、總 論

電力網絡安全是一個系統的，全局的管理問題，網絡上的任何一個漏洞，都會導致全網的安全問題，我們應該用系統工程的觀點、方法，分析網絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度以及專業措施。解決網絡信息安全問題，技術是安全的主體，管理是安全的靈魂。加強信息安全管理，建立安全長效機制才能有效的解決電力系統網絡安全問題，只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中，網絡安全的長期性和穩定性才能有所保證。在企業中建立安全文化，并將網絡信息安全管理貫徹到整個企業文化體系中才是最根本的解決辦法。

參考文獻：

[1] 周冰.電力信息化切入核心[J].《信息系統工程》，2003年.

篇10

【關鍵詞】網絡;數據;安全

2012年開始，某企業啟動了企業網絡安全優化工程。目的是為了實現在企業系統內，進行一體化管理，實現各分支網絡之間互聯互通。項目重點是建設好綜合數據網絡，實現所屬單位局域網及廠、站信息傳輸通道全面接入;形成該企業綜合業務處理廣域網絡。同時還將進一步建設專門的調度數據網絡，實現“專網專用”，從而確保生產安全有序的開展。該企業生產、辦公等各個領域當中，無論是企業內部管理還是各級機構間的遠程信息交互，都將建立在網絡基礎之上，而通過網絡進行交互的信息范圍也涵蓋了包括生產調度數據、財務人事數據、辦公管理數據等在內的諸多方面，在這樣的前提下，進一步完善企業網絡架構，全局性和系統性地構建網絡安全體系，使其為企業發展和信息化提供有力支持，已成為當前需要開展的首要工作之一。

1.網絡安全技術架構策略

網絡安全建設是一項系統工程，該企業網絡安全體系建設按照“統一規劃、統籌安排、統一標準、相互配套”的原則組織實施，采用先進的“平臺化”建設思想、模塊化安全隔離技術，避免重復投入、重復建設，充分考慮整體和局部的關系，堅持近期目標與遠期目標相結合。在該企業廣域網絡架構建設中，為了實現可管理的、可靠的、高性能網絡，采用層次化的方法，將網絡分為核心層、分布層和接入層3個層次，這種層次結構劃分方法也是目前國內外網絡建設中普遍采用的網絡拓撲結構。在這種結構下，3個層次的網絡設備各司其職又相互協同工作，從而有效保證了整個網絡的高可靠性、高性能、高安全性和靈活的擴展性。

2.局域網絡標準化

（1）中心交換區域

局域網的中心交換區域負責網絡核心層的高性能交換和傳輸功能，提供各項數據業務的交換，同時負責連接服務器區域、網絡管理區域、樓層區域、廣域網路由器和防火墻設備等，此外還要提供分布層的統一控制策略功能。具體到安全防護層面，可通過部署防火墻模塊、高性能網絡分析模塊、入侵探測系統模塊實現安全加固。

（2）核心數據服務器區域

因為數據大集中和存儲中心已經勢在必行，可建設專門的核心數據區域，并采用2立的具有安全控制能力的局域網交換機，通過千兆雙鏈路和服務器群連接。在安全防護方面，可在通過防火墻模塊實現不同等級安全區域劃分的同時，部署DDOS攻擊檢測模塊和保護模塊，以保障關鍵業務系統和服務器的安全不受攻擊。

（3）樓層區域

樓層交換區域的交換機既做接入層又做分布層，將直接連接用戶終端設備，如PC機等，因此設備需要具有能夠實現VLAN的合理劃分和基本的VLAN隔離。

（4）合作伙伴和外包區域

提供合作伙伴的開發測試環境、與內部數據中心的安全連接及與Internet區域的連接通路。

（5）外聯網區域

企業營銷系統需要與銀行等外聯網連接，建議部署銀行外聯匯接交換機，通過2條千兆鏈路分別連接到核心交換機。并通過防火墻模塊劃分外聯系統安全區域。

（6）網絡和安全管理區域

為了對整個網絡進行更加安全可靠的管理，可使用獨立的安全區域來集中管理，通過防火墻或交換機模塊來保護該區域，并賦予較高的安全級別，在邊界進行嚴格安全控制。

3.統一互聯網出口

對于該企業的廣域網絡，統一互聯網絡出口，減少企業廣域網絡與互聯網絡接口，能夠有效減少來自外網的安全威脅，對統一出口接點的安全防護加固，能夠集中實施安全策略。面對企業各個分支機構局域網絡都與互聯網絡連接的局面，將會給企業廣域網絡安全帶來更大的威脅。由于綜合業務數據網絡作為相對獨立的一個大型企業網絡，設置如此眾多的互聯網出口，一方面不利于互聯網出口的安全管理，增加了安全威脅的幾率;另一方面也勢必增加互聯網出口的租用費用，提高了運營成本。

由于該企業綜合數據網的骨干帶寬是622M，在綜合數據網絡上利用MPLS VPN開出一個“互聯網VPN”，使各分支的互聯網訪問都通過這個VPN通道建立鏈接。通過統一互聯網絡出口，強化互聯網接入區域安全控制，可防御來自Internet的安全威脅，DMZ區的安全防護得到進一步加強;通過提供安全可靠的VPN遠程接入，互聯網出口的負載均衡策略得到加強，對不同業務和不同用戶組的訪問服務策略控制，有效控制P2P等非工作流量對有限帶寬的無限占用，能夠對互聯網訪問的NAT記錄進行保存和查詢。

4.三層四區規劃

提出“安全分區、網絡專用、橫向隔離、縱向認證”的總體防護策略，并提出了“三層四區”安全防護體系的總體框架。基于這一設計規范，并結合該企業網絡的實際情況，未來公司的網絡區域可以劃分為企業生產系統和企業管理信息系統，其中企業生產系統包括I區和II區的業務;企業管理信息系統包括III區和IV區的業務。I區到IV區的安全級別逐級降低，I區最高，IV區最低。

在上述區域劃分的基礎上，可在橫向和縱向上采用下列技術方式實現不同安全區域間的隔離。

（1）縱向隔離

在未來調度數據網建成后，將安全區I和安全區II運行在獨立的調度數據網上，安全區III和安全區IV運行在目前的綜合數據網上，達到2網完全分開，實現物理隔離。在調度數據網中，采用MPLS VPN將安全區I和安全區II的連接分別分隔為實時子網和非實時子網，在綜合數據網中，則采用MPLS VPN將互聯網連接和安全區III及安全區IV的連接分開，分為管理信息子網和互聯網子網。

（2）橫向隔離

考慮到I區和II區對安全性的要求極高，對于I區和II區進行重點防護，采用物理隔離裝置與其他區域隔離;而在I區和II區之間可采用防火墻隔離，配合分布式威脅防御機制，防范網絡威脅;考慮到III區和IV區之間頻繁的數據交換需求，III區和IV區之間視情況采用交換機防火墻模塊進行隔離，并在區域內部署IDS等安全監控設備，在骨干網上不再分成2個不同的VPN;由于外部的威脅主要來自于Intern過出口，因此可在全省Internet出口集中的基礎上，統一設置安全防護策略，通過防火墻與III區、IV區之間進行隔離。

5.綜合數據網安全防護

綜合業務數據網，主要承載了0A、95598、營銷、財務等應用系統，同時也在進行SCADA/EMS等調度業務的接入試點。

采用網絡安全監控響應中心為核心的分布式威脅防御技術，對全網的病毒攻擊和病毒傳播進行主動防護，通過關聯網絡和安全設備配置信息、NetFlow、應用日志和安全事件，從中心的控制臺實時發現、跟蹤、分析、防御、報告和存儲整個企業網絡中的安全事件和攻擊。同時分布式威脅防御手段不但用于對綜合數據骨干網進行安全防護，而且通過建立2級安全監控響應中心，對包括綜合數據網、企業本部局域網、分支機構局域網在內的全網設備進行監控。