辦公網絡的網絡安全問題范文

導語：如何才能寫好一篇辦公網絡的網絡安全問題，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關鍵詞：院校；辦公網絡化；安全問題

中圖分類號：F232；TP309

近年來，各院校為適應高等教育信息化建設和人才培養的需要，紛紛實現了網絡化辦公。這一趨勢不僅是社會發展的需要，而且也是院校改革與發展的需要。辦公網絡化的普及使得院校信息基礎設施建設得到不斷的完善，為廣大師生及時了解和掌握最新科學技術信息提供了有力的條件和保障，也有力促進了高校教學和科研水平的提高。它的巨大作用已被廣大教育和科研工作者所廣泛承認并引起高度重視。但是，院校網絡化辦公條件存在著一些安全問題，是我們不得不重視和亟待解決的。

1 院校網絡化辦公條件下的安全問題

1.1 計算機病毒問題

計算機病毒簡單的來說就是一種可以執行的計算機的程序。它不僅能夠自我復制，而且會寄附在所尋找的寄主體內，傳播能力極強，就和生物病毒一樣。隨著計算機網絡的不斷發展和普及，計算機病毒的總數已經超過30000種，而且還在不斷的增加，它的破壞性也在不斷地增強。網絡環境下的辦公，收發郵件是人們交流的主要工具，據有關資料表明，約三分之一以上的計算機病毒都是通過電子郵件而得到傳播的，而且，這種傳播途徑的病毒隱蔽性強，經常令人防不勝防。

1.2 網絡黑客問題

目前的網絡化辦公會基本上都采用以太網。在同一以太網中，任何兩個節點之間的通信數據包，不僅可以為這兩個節點的網卡所接受，也同時能夠為處在同一以太網上的任何一個節點的網卡所截取。所以，黑客通過互聯網就可以入侵院校網絡中的任意節點進行偵聽，從而獲取發生在這個網段上的所有數據包，造成信息失竊。一旦院校中的重要信息被黑客攻擊，將給院校帶來很大的損失。尤其是一些的計算機，更可能成為不法分子關注的目標。

1.3 管理漏洞

嚴格管理網絡通信系統是企業、機構及用戶免受攻擊的重要措施。但是各院校在推行網絡化辦公的同時卻沒有做好這方面的工作，這給一些黑客有機可乘。管理的缺陷還可能出現系統內部人員泄露機密或外部人員通過非法手段截獲而導致機密信息的泄露。

此外，由于院校網絡化辦公發展的時間還不是很長，使得相關管理人員還缺乏足夠的經驗，沒有相應的知識結構去應對各方面的難題。而網絡的用戶對網絡化辦公條件下可能存在的安全問題認識可能也存在不足，但是，網絡用戶對網絡安全知識的缺乏恰恰是網絡辦公條件下安全問題的最大威脅。

1.4 網絡的缺陷及漏洞

Intemet的共享性和開放性，使網上信息安全存在先天不足。因為其賴以生存的TCP/IP協議，缺乏相應的安全機制，而且因特網最初設計時也沒有考慮安全問題，因此它在安全可靠、服務質量、帶寬和方便性等方面存在著不適應性。

1.5 其他問題

（1）自然災害

自然災害也會引發網絡化辦公條件下的安全問題，而且這一問題越來越明顯。自然災害會對構成計算機網絡的電纜、通信光纜、局域網等造成很大威脅，也可能對計算機本身的硬件造成損害，間接地導致網絡用戶的信息丟失、利益受損，另外我國的網絡安全系統在預測、反應、防范和恢復能力方面也存在許多薄弱環節。

（2）由于突然停電、強烈震動、誤操作等造成的數據破壞或丟失。

2 網絡辦公環境下的安全策略

盡管到目前為止，人們還沒有研究出一種方法可以一勞永逸的完全消除網絡安全問題。但是，我們可以采用各種安全策略來使網絡化辦公條件下的風險降到最低。

2.1 技術方面

（1）安裝防火墻和殺毒軟件，及時下載安裝補丁。網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查，以確定網絡之間的通信是否被允許，并監視網絡運行狀態。

在網絡環境下，病毒傳播擴散快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于局域網的全方位防病毒產品，及時查殺病毒，同時要注意及時升級殺毒軟件，確保可以查殺最新病毒。尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具，利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

目前這樣的產品很多，如，瑞星、360殺毒及360安全衛士、金山毒霸、卡巴斯基等。

（2）數據備份。計算機里面重要的數據、檔案或歷史記錄，要采取先進、有效的措施，對數據進行備份、防范于未然，以防被竊取或者損壞，造成不可估量的損失。

（3）數據加密。通過網絡中的加密機構，把各種原始的數據信息，按照某種特定的加密算法變換成與明文完全不同的數據信息，即密文的過程。目前常用的數據加密技術，主要有鏈路加密、節點加密和端對加密等三種方式。

（4）身份鑒別。主要是通過核查用戶輸入的口令，因此，為了保障網絡安全，對口令的使用進行嚴格管理是必不可少的。除此之外，還可以采用磁性卡片、指紋、聲音、等方法對用戶進行鑒別。

2.2 管理方面

七分管理，三分技術。安全管理貫穿整個安全防范體系，是安全防范體系的核心，管理是單位網絡安全的核心，技術是安全管理的保證。只有制定完整的規章制度、行為準則并和安全技術手段合理結合，網絡系統的安全才會有最大的保障。

（1）加強安全管理力度，健全管理制度。作為單位應制訂機房管理制度、各類人員職責分工、安全保密規定、口令管理制度、網絡安全指南、用戶上網使用手冊、系統操作規程、應急響應方案、安全防護記錄一系列的制度保證網絡的核心部門高安全、高可靠地運作。

（2）加強安全防范意識，提高相關人員素質。培養或培訓一支精通網絡技術和管理的隊伍，惟其如此，方能保證網絡化管理安全、平穩、正常地運行。必須加強用戶的安全意識，引導用戶自覺安裝防病毒軟件，打補丁，自動更新操作系統，對不熟悉的軟件不要輕易安裝。

（3）充分保障設備安全。嚴格管控硬件系統的運行環境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面，都要設置具體的要求和標準，同時要做到防盜、防毀、防止線路截獲。計算機房場地選擇時，要注意其外部環境安全性、可靠性、場地抗電磁干擾性，避開強振動源和強噪聲源，并避免設在建筑物高層和用水設備的下層或隔壁，還要注意出入口的管理。

（4）法律監督。計算機保密防范必須以法律法規為依據。目前我國已有《保密法》、《計算機信息系統安全保護條例》和《計算機信息網絡國際聯網管理暫行規定》，按照規定和要求，做好相關工作，確保網絡信息的安全。

3 結束語

信息化進程的迅猛發展使各院校的工作和網絡緊緊連在了一起。然而現在的網絡隨著接入技術的日新月異也越來越開放，病毒、黑客以及其他復雜的攻擊手段給網絡帶來巨大的威脅，安全已經成為企業繼續生存發展所面臨的重要問題。這就需要通過不斷的改進和學習來努力營造安全的網絡環境，維護網絡信息的安全。

參考文獻：

[1]李桂蘭，王少先.計算機網絡安全問題初探[J].遼寧工程技術大學學報（社會科學版），2002，4（3）：8081.

[2]姜威，闞小松.計算機網絡安全淺談[J].科技天地，http：//.

[3]李嬡媛.淺談網絡安全管理與防病毒策略[J].陜西林業科技，2010（4）：54-55.

篇2

辦公網絡面臨的內部安全威脅

正如我們所知道的那樣，70％的安全威脅來自網絡內部，其形式主要表現在以下幾個方面。

內部辦公人員安全意識淡漠

內部辦公人員每天都專注于本身的工作，認為網絡安全與己無關，因此在意識上、行為上忽略了安全的規則。為了方便，他們常常會選擇易于記憶但同時也易于被猜測或被黑客工具破解的密碼，不經查殺病毒就使用來歷不明的軟件，隨便將內部辦公網絡的軟硬件配置、拓撲結構告之外部無關人員，給黑客入侵留下隱患。

別有用心的內部人員故意破壞

辦公室別有用心的內部人員會造成十分嚴重的破壞。防火墻、IDS檢測系統等網絡安全產品主要針對外部入侵進行防范，但面對內部人員的不安全行為卻無法阻止。一些辦公人員喜歡休息日在辦公室內上網瀏覽網頁，下載軟件或玩網絡游戲，但受到網絡安全管理規定的限制，于是繞過防火墻的檢測偷偷撥號上網，造成黑客可以通過這些撥號上網的計算機來攻入內部網絡。而有些辦公人員稍具網絡知識，又對充當網絡黑客感興趣，于是私自修改系統或找到黑客工具在辦公網絡內運行，不知不覺中開啟了后門或進行了網絡破壞還渾然不覺。更為嚴重的是一些人員已經在準備跳槽或被施利收買，辦公內部機密信息被其私自拷貝、復制后流失到外部。此外，還有那些被批評、解職、停職的內部人員，由于對內部辦公網絡比較熟悉，會借著各種機會（如找以前同事）進行報復，如使用病毒造成其傳播感染，或刪除一些重要的文件，甚至會與外部黑客相勾結，攻擊、控制內部辦公網絡，使得系統無法正常工作，嚴重時造成系統癱瘓。

單位領導對辦公網絡安全沒有足夠重視

有些單位對辦公網絡存在著只用不管的現象，有的領導只關心網絡有沒有建起來，能否連得上，而對其安全沒有概念，甚至對于網絡基本情況，包括網絡規模、網絡結構、網絡設備、網絡出口等概不知情。對內部辦公人員，公司平時很少進行安全技術培訓和安全意識教育，沒有建立相應的辦公網絡安全崗位和安全管理制度，對于黑客的攻擊和內部違規操作則又存在僥幸心理，認為這些是非常遙遠的事情。在硬件上，領導普遍認為只要安裝了防火墻、IDS、IPS，設置了Honeypot就可以高枕無憂。而沒有對新的安全技術和安全產品做及時升級更新，對網絡資源沒有進行細粒度安全級別的劃分，使內部不同密級的網絡資源處于同樣的安全級別，一旦低級別的數據信息出現安全問題，將直接影響核心保密信息的安全和完整。

缺乏足夠的計算機網絡安全專業人才

由于計算機網絡安全在國內起步較晚，許多單位缺乏專門的信息安全人才，使辦公信息化的網絡安全防護只能由一些網絡公司代為進行，但這些網絡安全公司必定不能接觸許多高級機密的辦公信息區域，因此依然存在許多信息安全漏洞和隱患。沒有內部信息安全專業人員對系統實施抗攻擊能力測試，單位則無法掌握自身辦公信息網絡的安全強度和達到的安全等級。同時，網絡系統的漏洞掃描，操作系統的補丁安裝和網絡設備的軟、硬件升級，對辦公網內外數據流的監控和入侵檢測，系統日志的周期審計和分析等經常性的安全維護和管理也難以得到及時的實行。

網絡隔離技術（GAP）初探

GAP技術

GAP是指通過專用硬件使兩個或兩個以上的網絡在不連通的情況下進行網絡之間的安全數據傳輸和資源共享的技術。簡而言之，就是在不連通的網絡之間提供數據傳輸，但不允許這些網絡間運行交互式協議。GAP一般包括三個部分：內網處理單元、外網處理單元、專用隔離交換單元。其內、外網處理單元各擁有一個網絡接口及相應的IP地址，分別對應連接內網（網）和外網（互聯網），專用隔離交換單元受硬件電路控制高速切換，在任一瞬間僅連接內網處理單元或外網處理單元之一。

GAP可以切斷網絡之間的TCP/IP連接，分解或重組TCP/IP數據包，進行安全審查，包括網絡協議檢查和內容確認等，在同一時間只和一邊的網絡連接，與之進行數據交換。

GAP的數據傳遞過程

內網處理單元內網用戶的網絡服務請求，將數據通過專用隔離硬件交換單元轉移至外網處理單元，外網處理單元負責向外網服務器發出連接請求并取得網絡數據，然后通過專用隔離交換單元將數據轉移回內網處理單元，再由其返回給內網用戶。

GAP具有的高安全性

GAP設備具有安全隔離、內核防護、協議轉換、病毒查殺、訪問控制、安全審計和身份認證等安全功能。由于GAP斷開鏈路層并切斷所有的TCP連接，并對應用層的數據交換按安全策略進行安全檢查，因此能夠保證數據的安全性并防止未知病毒的感染破壞。

使用網絡隔離技術（GAP）進行內部防護

我們知道，單臺的計算機出現感染病毒或操作錯誤是難以避免的，而這種局部的問題較易解決并且帶來的損失較小。但是，在辦公信息化的條件下，如果這種錯誤在網絡所允許的范圍內無限制地擴大，則造成的損失和破壞就難以想象。因此，對辦公內部網絡的安全防范不是確保每一臺網絡內的計算機不發生安全問題，而是確保發生的安全問題只限于這一臺計算機或這一小范圍，控制其影響的區域。目前，對內網采取“多安全域劃分”的技術較好地解決了這個問題，而GAP系統的一個典型的應用就是對內網的多個不同信任域的信息交換和訪問進行控制。因此，使用GAP系統來實現辦公內網的“多安全域劃分”，是一個比較理想的方法。

“多安全域劃分”技術

“多安全域劃分”技術就是根據內網的安全需求將內網中具有不同信任度（安全等級）網段劃分成獨立的安全域，通過在這些安全域間加載獨立的訪問控制策略來限制內網中不同信任度網絡間的相互訪問。這樣，即使某個低安全級別區域出現了安全問題，其他安全域也不會受到影響。

利用網絡隔離技術（GAP）實現辦公內網的“多安全域劃分”

首先，必須根據辦公內網的實際情況將內網劃分出不同的安全區域，根據需要賦予這些安全區域不同的安全級別。安全級別越高則相應的信任度越高，安全級別較低則相應的信任度較低，然后安全人員按照所劃分的安全區域對GAP設備進行安裝。系統管理員依照不同安全區域的信任度高低，設置GAP設備的連接方向。GAP設備的內網處理單元安裝在高安全級別區域，GAP設備的外網處理單元安裝在低信任度的安全區域，專用隔離硬件交換單元則布置在這兩個安全區域之間。內網處理單元高安全級別區域（假設為A區域）用戶的網絡服務請求，外網處理單元負責從低安全級別區域（設為B區域）取得網絡數據，專用隔離硬件則將B區域的網絡數據轉移至A區域，最終該網絡數據返回給發出網絡服務請求的A區域用戶。這樣，A區域內用戶可通過GAP系統訪問B區域內的服務器、郵件服務器、進行郵件及網頁瀏覽等。同時，A區域內管理員可以進行A區域與B區域之間的批量數據傳輸、交互操作，而B區域的用戶則無法訪問A區域的資源。這種訪問的不對稱性符合不同安全區域信息交互的要求，實現信息只能從低安全級別區域流向高安全級別區域的“安全隔離與信息單向傳輸”。

這樣，較易出現安全問題的低安全區（包括人員和設備）就不會對高安全區造成安全威脅，保證了核心信息的機密性和完整性。同時，由于在GAP外網單元上集成了入侵檢測和防火墻模塊，其本身也綜合了訪問控制、檢測、內容過濾、病毒查殺，因此，GAP可限制指定格式的文件，采用專用映射協議實現系統內部的純數據傳輸，限定了內網局部安全問題只能影響其所在的那個安全級別區域，控制了其擴散的范圍。

“多安全域劃分”的防護效果

由于GAP實現內網的信任度劃分和安全區域設定，使辦公內網的安全性極大提高，辦公內網易出現的安全問題得到有效控制。

篇3

關鍵詞：信息標準化；流程；應用

近年來，互聯網技術發展是非常快速的，這樣就使得網絡安全問題也慢慢受到了人們的關注，供電企業在發展過程中對信息安全的要求也在不斷提高，在這種情況下，供電企業在發展過程中，開始在辦公終端上進行了改變，這樣也使得計算機安全方面得到了更好的控制，同時在操作的時候也能更加方便，這樣能夠更好的促進供電企業安全防護能力。規范計算機入網前軟件安裝及系統設置為入手點，這樣能夠更好的將終端和管理方式進行結合，同時也能更好的避免出現終端口令問題，同時也能防止病毒軟件和系統補丁對供電企業的信息安全一定的影響。

1 辦公計算機接入管理現狀及存在的問題

計算機在接入到公司網絡的時候，經常是存在著終端用戶往往為了保證不被桌面終端管控系統阻斷，通常會在第一時間就會按照桌面終端管控注冊安裝，在這種情況下是經常會發生信息違規告警的，因此，在進行安裝的時候是經常會出現口令比較弱，或者是防病毒軟件不符合情況的。導致口令比較弱和操作系統是有很大的關系的，因此，企業在發展計算機網絡的時候，要對企業業務應用系統的適應性進行調整，很多的辦公網絡在終端方面通常會選擇Windows XP操作系統，在進行操作時，企業可以建立一個新的計算機管理員，這樣在進行操作的時候，能夠避免下次登錄計算機的時候出現登錄入口，這樣能夠更好的方便計算機在使用的時候切換到安全模式，這樣在登錄界面就可以看到賬號的記錄，在這種情況下，在其他計算機上進行賬號登錄是會發出違規信號的，因此，也能更好的保證登錄安全。終端運行維護人員要對系統中的所有賬號都設置非常強的口令，這樣能夠更好的保證賬號的安全。同時，在出現一鍵還原的情況下，很多的計算機在使用過程中經常是存在著反映速度非常慢的情況的，在這種情況下，很多的操作人員通常會自行使用一鍵還原對系統進行重置，在這種情況下能夠對系統反應慢的情況進行解決，但是，也是會導致出現弱口令的情況的，因此，在使用計算機系統的時候要避免出現操作系統隨意安裝的情況，這樣能夠更好的保證系統的操作安全。

系統在使用過程中是要進行運行維護的，但是，現在市場中很多的操作系統都存在著無法對操作系統進行補丁升級的情況，在這種情況下進行手動補丁的安裝也是存在無法進行的情況。在進行補丁安裝時，系統的終端要通過注冊接入到企業的辦公網絡，在這種情況下是非常容易出現很多的系統漏洞的，同時也是會出現漏洞被病毒、木馬和黑客利用的，這樣就會導致終端在進行使用的時候出現公司網絡安全受到影響的情況，同時也是存在著網絡不暢通的情況的。計算機在接入公司網絡以前，要對其應用程序進行很好的檢測和管理，這樣能夠避免出現對辦公網絡發生沖擊的情況，同時在很多的情況下，操作人員在進行操作的時候經常是會下載很多的系統的，很多的系統通常都是存在著很多的漏洞的，同時對系統也是會帶來很大的影響，因此，非常容易導致域名解析故障和網絡無法使用的情況，這樣也是會導致辦公業務出現無法運行的情況的，因此，對辦公終端操作系統的安全問題要進行重視，在管理方面也要進行加強。

2 標準化注冊管理介紹

在計算機接入到辦公網絡前沒有進行系統加固是會導致很多的違規現象的出現，因此，在公司員工計算機水平不斷提高的情況下，操作人員可以自行安裝一些操作系統，這樣是會導致更多的違規現象的出現，因此，在進行終端安全運行維護時，要對出現的問題進行解決，加強終端入網標準化注冊流程，這樣能夠更好的保證網絡安全。對桌面終端管理控制系統進行研究能夠更好的在計算機桌面安裝終端客戶端軟件，同時，也能對計算機運行的環境進行檢查，這樣能夠更好的保證安全性，同時也能更好的將數據傳輸到桌面終端后臺服務器上，這樣一旦用戶沒有安裝殺毒軟件或者是沒有設置賬號口令，都是能夠發出告警的，對入網流程進行規范，能夠避免出現信息違規的現象。

供電公司入網管理辦法的入網設置流程：首先，用戶填寫《供電分公司內網終端接入申請表》；確認預接入的計算機未連接網絡；完成操作系統版本確認。通過計算機桌面“我的電腦”右鍵屬性，查看計算機操作系統版本是否合格；完成應用程序清理。通過“控制面板”-“添加刪除程序”進行互聯網應用程序、游戲軟件、炒股軟件及娛樂軟件的卸載。要求所有接入內網的計算機不允許存在非辦公用應用程序；完成操作系統補丁加固。按照查看計算機操作系統版本的方法查看當前系統補丁版本。要求Windows XP必須安裝SP3或以上的補丁集；完成所有系統帳號的密碼加固。對系統所有帳號進行密碼設置，要求密碼長度大于8位，且必須為字母、數字及符號的混合字串；完成計算機名稱的更改。

3 終端標準化管理工作的創新

為了進一步規范終端標準化管理，落實公司計算機入網設置流程規定，避免基層終端用戶習慣性操作違規，降低基層終端運維人員的操作難度，為此，公司自主研發了一套終端標準化注冊程序，實現計算機入網前對系統進行關鍵加固項檢查，以技術手段為管理工作提供保障。

標準化注冊程序是以運城供電公司計算機入網設置流程為依據，其主要功能實現了，通過技術手段在計算機注冊入網前，對計算機名稱是否規范、是否安裝非辦公軟件、防病毒軟件是否規范、操作系統補丁是否合格、系統是否存在弱口令等方面進行檢查，若存在不合格項，則阻止該計算機注冊并提示用戶進行整改，從而借助桌面終端管理系統實現了阻止未經過系統加固的計算機接入辦公網絡。流程圖見圖1。

通過在運城供電公司辦公網內試運行標準化注冊程序，公司終端運行指標得到顯著提升，通過觀察，自2012年3月開始至今，公司終端弱口令違規數量逐月降低，防病毒軟件安裝情況得到極大的改善，表1和表2分別為運城公司2012年和2013年的終端違規統計說明。

4結束語

對計算機入網進行規范化管理，能夠更好的避免出現公司內網受到病毒、木馬以及黑客攻擊的情況，這樣也能更好的減輕終端運行維護人員的工作量，同時也能對運行維護人員的技術要求進行降低。在入網標準化管理不斷推進的情況下，能夠更好的保證公司網絡的安全性，同時也能更好的促進供電公司獲得更好的發展。

參考文獻

篇4

摘要：如同計算機網絡最初用于校園研究一樣，它的迅猛發展同樣離不開校園這個特殊環境的大力支持。現代社會，各行各業對于網絡的需求和依賴達到了前所未有的高度，以至于很多時候離開了計算機網絡會使人們產生一種舉步維艱的乏力感，這種感覺既表現在生活上、娛樂上，更加突出地表現在工作當中。高等院校各行政職能部門之間通過信息網絡互聯，最大限度的使信息資源共享，從而提高了各部門和教學單位的工作效率。然而，網絡誕生時的特殊性決定了它是脆弱的，容易受到各類惡意軟件、病毒、黑客和其他非法攻擊。如何保護計算機網絡信息安全，已成為一個備受關注的問題。

關鍵詞：網絡安全 OSI 入侵檢測系統

高等院校的計算機網絡系統，一般是在一個跨區域的局域網內，其中包括信息管理、資源共享、業務窗口應用服務平臺、網絡數據庫等部分，為各部門提供資源管理、數據采集、信息、流程審批和網絡視頻會議等應用，從而大大提高了工作效率日常工作，成為辦公室里一個非常重要的工具，它需要一個擁有強大可操作性、安全性和保密性的計算機網絡。

一、互聯網的開放性決定了辦公網的不安全性

OSI系統模型即開放式系統互聯模型，將網絡通信分為了七層，每一層的結構都不相同，分別承擔著不同的通信任務。下面針對各網絡層的體系結構，從5個方面來對它們的安全因素進行了討論。

1、物理層：這層的安全要素包括通信線路、網絡設備、網絡基礎設施的安全。設備之間的連接是否遵從物理層協議標準，通信線路是否可靠，硬件和軟件設施是否具備抗干擾能力，網絡設備的操作環境（溫度、濕度、空氣清潔度）是否合適，是否具有安全電源（UPS不間斷電源）等。

2、網絡層：本層安全要素在于網絡數據傳輸的安全。網絡層數據的保密性和完整性、資源訪問控制機制、身份認證、訪問安全、路由系統的安全、域名系統安全與入侵檢測應用的安全和硬件設備的防病毒能力等方面。

3、系統層：系統層的安全要素是建立在軟件環境上的，主要體現在網絡服務器、客戶端操作系統的安全性，這取決于操作系統的缺陷和不足以及用戶身份認證、訪問控制、安全、操作系統的安全配置和系統層病毒攻擊的預防手段。

4、應用層：這一層的安全元素主要考慮的是網絡數據庫和有關信息安全的應用類軟件，包括應用網絡信息平臺、網絡信息系統、電子郵件系統、網絡服務器等。

5、管理層：本層的安全要素包括網絡設備的技術配置和安全操作，管理人員的安全培訓和安全管理規章制度的完善。

二、多人員參與決定了校園辦公網的不安全性

越來越完善的校園網絡與管理信息系統的使用，使得幾乎所有人都可以很容易地訪問校園網，一些別有用心的人就可能潛藏其中，他們試圖通過各種手段和途徑來攻擊網絡、破壞網絡、傳播計算機病毒，還有的可能竊取保密的技術資料及數據等等，面對這種情況，校園網絡的安全管理就顯得特別的重要。高校辦公網的安全主要包括物理與邏輯兩方面的安全性；物理安全主要是指網絡硬件的維護和使用管理；邏輯安全是從軟件的角度出發，主要是指數據的保密性、完整性、可用性等。

由于高等院校計算機網絡系統要保證整個學校職能部門和各教學單位所有的辦公活動和教學活動，采取的是集中存儲、統一數據管理的方式，所以這一信息的安全性是至關重要的。因此，學校辦公網絡信息的安全，人員占據重要的地位，網絡安全的各要素中都涉及人員的參與，因此對人員的安全管理是行政機關網絡信息安全的重點。為了保證信息的安全共享，應該從數據安全管理和系統管理兩個方面確保安全。首先組織領導要高度重視網絡信息的安全性，建立周密的安全制度，包括網絡機房安全制度、計算機操作員技術規范等，提高從業人員的素質和業務水平，防范人為因素造成的損失；其次是組織員工進行信息安全培訓教育，提高安全意識，對專業技術人員做深入的安全管理和安全技術培訓；再次是網絡中心工作人員要定期對設備巡檢維護，及時修改和更新與實際相應的安全策略，如防火墻、入侵檢測系統、防病毒軟件等；最后是安全管理人員定期檢查員工的網絡信息方面的安全問題。

三、高等院校辦公網安全策略

1、防火墻。所謂“防火墻”，是指一種將內部網和公眾訪問網分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

2、入侵檢測。入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

3、反病毒軟件。反病毒軟件的任務是實時監控和掃描磁盤。部分反病毒軟件通過在系統添加驅動程序的方式，進駐系統，并且隨操作系統啟動。大部分的殺毒軟件還具有防火墻功能。反病毒軟件的實時監控方式因軟件而異。有的反病毒軟件，是通過在內存里劃分一部分空間，將電腦里流過內存的數據與反病毒軟件自身所帶的病毒庫的特征碼相比較，以判斷是否為病毒。另一些反病毒軟件則在所劃分到的內存空間里面，虛擬執行系統或用戶提交的程序，根據其行為或結果作出判斷。

篇5

關鍵詞：氣象網絡；安全隱患；防御

所謂網絡安全，主要是指為了保護網絡，避免受到侵害而采取的相關措施。采取科學合理的網絡安全保護措施，從而保證網絡的正常運轉。隨著信息時代的快速發展，計算機信息技術在氣象部門也得到了廣泛的應用。很多氣象信息利用計算機技術被迅速高效的傳送到社會生活中的各個方面。

1 氣象網絡安全隱患分析

氣象網絡安全保障包含了計算機的物理組成部分以及信息安全和功能的安全等。首先是其物理組成部分的保護，主要是計算機的相關配件設施、運行環境等等，保障計算機系統不會受到人為因素以及自然因素事故的危害，為氣象網絡信息處理提供安全的環境。這種安全環境的建設需要領導以及網管防護能力等的支持，還需要使用人員增強安全意識。氣象網絡安全方面存在的隱患主要包含了幾個方面。

1.1 網絡邊界模糊

那些經過網絡規劃和設計的信息系統能夠起到很好的防范網絡安全的作用。但是在氣象網絡系統中，經常出現互聯網、業務網、辦公網以及一般性網絡邊界不清晰的狀況。主要原因是當前的服務器在登錄的時候具體的權限沒有具體到個人，因此網絡的邊界出現了模糊問題，還有人員角色也不清晰。

1.2 人員安全意識淡薄

隨著信息技術的發展，微機在我們的工作與生活中已經得到迅速的普及，隨之而來的就是各種網絡安全問題。而網絡攻擊方式也在逐漸多樣化，主要呈現出隱藏性以及突發性的特點。但是，一些實用人員對于怎樣的措施才能很好的保護自身信息安全。除此之外，氣象工作人員比較盲目迷信殺毒軟件，認為要保護氣象網絡的安全只是依靠殺毒軟件就能很好的實現，往往在安裝了殺毒軟件之后卻沒有重視升級病毒庫。

1.3 基層網絡管理人員缺位

對于各個地區的縣局級別的臺站來說，基本取消了人工站，相繼鋪開了自動化的氣象網絡傳輸的業務。但是隨著自動化業務的發展壯大，需要同步跟進保障人員。但是事實上，我們要看到，很多縣局級別的期望網絡業務的保障能力不是特別強，缺少相應的人員，很多地區的保障人員基本都是一個人承擔比較多的業務，負擔過重。

2 氣象網絡安全隱患的防護措施

2.1 技術對策

2.1.1 資源和特權

對于期望網絡的安全保護來說，網絡訪問技術是主要的核心策略。其主要的任務就是保障網絡資源不會被非法的占用和破壞。在氣象系統中進行訪問控制，要建立在身份識系統的基礎上，根據身份對于資源訪問的要求進行控制。這對于氣象網絡系統資源的保護起到了很好的作用，也是氣象系統中最重要的安全機制。氣象系統訪問控制涉及的技術相對比較廣泛，包含了入網的訪問控制、網絡權限的控制以及目錄級的控制和安全控制等等。

2.1.2 防火墻技術

在氣象系統中，防火墻技術主要是設置在不同網絡之間的部件的組合，屬于不同網絡或者網絡安全域之間信息的唯一的出入口，可以根據不同的網絡主體根據安全政策控制出入網絡的信息流，抗擊攻擊的能力相對比較強。防火墻主要提供了網絡信息安全服務，屬于信息安全的一項基礎設施。在具體的邏輯問題上，一個是分離器，還有一個是限制器，加上分析器，能夠有效的監控氣象內部網絡跟互聯網之間的活動，從而保障了內部網絡安全。防火墻是氣象網絡安全的重要屏障，能夠很好的提高內部網絡的安全性，通過對不完全服務的過濾來降低相應的風險。只有通過精心的選擇之后的應用協議才能通過防火墻，所以就使得氣象網絡環境變得比較安全。

2.1.3 安全域

要解決很多市一級氣象系統內部網絡中，辦公網跟互聯網等網絡設備纏在一起的現象，需要劃分具體的安全域。網絡的安全域可以在劃分的時候跨科室進行也可以是跨部門進行，但是在考慮到具體的實現方式的情況下，可以在行政部門內部各自進行劃分，再通過一定的技術手段實現局域網中同一安全等級的安全才能夠互相連接。

2.2 管理對策

2.2.1 制定嚴格的氣象網絡安全管理制度

在氣象網絡系統中，不存在絕對的安全，但是制定相應的安全管理制度可以把網絡安全問題降低到最小。要通過氣象部分網絡管理人員和全體使用人員的一起努力，盡可能的減少非法行為的產生，把系統中的安全隱患降低到最低。還要建立防病毒系統，防病毒具有被動意義，主要是預防和防范，沒有病毒時做好預防工作，病毒到來時則被動防范。漏洞檢測主要是采用專業工具對系統進行漏洞檢測，及時安裝補丁程序。病毒預防要從制度上堵塞漏洞，建立一套行之有效的制度；不要隨意使用外來光盤、U盤等存儲設備。氣象部門要建立相應的檢查機制，定期或者不定期的對系統內部的網絡進行檢查，看網絡安全的具體落實狀況，避免內部制度流于形式。另外，要給縣局級別的基礎臺站配備足夠的網絡安全保障人員，減少他們的具體工作量，把這項措施當作制度執行下去。

2.2.2 強化人員的網絡安全觀念

要想提高氣象終端網絡的安全性能，就需要操作這些終端機器的人員具備很強的安全防護能力。首先，要具備信息安全防護意識，強化氣象部門的宣傳工作；其次，要定期開展氣象網絡教育工作，要把教與導結合起來，促使工作人員養成比較好的微機使用習慣，使得氣象網絡信息安全深入到大家的觀念中；再次，要合理的配置殺毒軟件，及時更新病毒度信息，保障氣象網絡不受病毒的侵害。

3 結束語

綜上所述，隨著氣象業務系統的發展，網絡技術的應用越來越普及。在氣象部門內部系統中，一些實時的氣象數據以及雷達圖像產品等都能在最短時間內通過網絡輸送到數值產品使用者的桌面上。但是，從另一個方面來說，計算機在氣象系統中普及開來，使得氣象工作人員在進行工作的時候過分的一來網絡訊通系統，而網絡故障的出現以及病毒的盛行，都會對氣象系統的網絡產生不同程度的影響，氣象網絡安全問題受到很多人的重視。所以，氣象部門要從技術措施和管理措施入手，切實保障氣象網絡安全。

參考文獻

[1]張新，劉忠禮.氣象信息網絡安全隱患與防御措施[J].科技與生活，2012（13）.

篇6

摘要： 隨著信息的發展，網絡安全問題已經引起越來越多人的關注。而校園網作為學校重要的基礎設施，擔當著學校教學、科研、管理和對外交流等許多角色。隨著校園網應用的深入，校園網上各種數據急劇增加，結構性不斷提高，用戶對網絡性能要求的不斷提高，網絡安全也逐步成為網絡技術發展中一個極為關鍵的任務。從分析校園網信息安全需求入手，就校園網絡系統控制安全措施提出筆者的幾點淺見。 

 

關鍵詞： 網絡安全　安全需求　措施 

 

1 校園網的概念 

簡單地說，校園網絡是“校校通”項目的基礎，是為學院教師和學生提供教學，科研等綜合信息服務的寬帶多媒體。根據上述要求，校園網必須是一個寬帶，互動功能和高度專業化的局域網絡。 

2 校園網的特點 

校園網的設計應具備以下特點： 

1）提供高速網絡連接；2）滿足復雜的信息結構；3）強大的可靠性和安全性保證；4）操作方便，易于管理；5）提供可運營的特性；6）經濟實用。 

3 校園網絡系統信息安全需求 

3.1 用戶安全 

用戶安全分成兩個層次即管理員用戶安全和業務用戶安全。 

1）管理員用戶擁有校園網的最高執行權限，因此對信息系統的安全負有最大的執行責任。應該制定相應的管理制度，例如對管理員的政治素質和網絡信息安全技術管理的業務素質，對于涉及到某大學的網絡安全策略配置、調整、審計信息調閱等重要操作，應實行多人參與措施等等。 

2）業務用戶必須在管理員分配的權限內使用校園網資源和進行操作，嚴禁超越權限使用資源和泄露、轉讓合法權限，需要對業務人員進行崗前安全培訓。 

3.2 網絡硬環境安全 

通過調研分析，初步定為有以下需求： 

1）校園網與教育網的網絡連接安全二需要在連接處，對進/出的數據包進行訪問控制與隔離，重點對源地址為教育網，而目的地址為某大學的數據包進行嚴格的控制。2）校園網中，教師/學生宿舍網絡與其他網絡連接的網絡安全。3）校園網中，教學單位網絡與其他網絡的網絡連接安全。4）校園網中，行政辦公網絡與其他網絡的網絡連接安全。5）校園網中，網絡管理中心網絡與其他網絡的網絡連接安全。6）校園網中，公眾服務器所在的網絡與其他網絡的網絡連接安全。7）各個專用的業務子網的安全，即按信息的敏感程度，將各教學單位的網絡和行政辦公網絡劃分為多個子網，例如：專用業務子網（財務處、教務處、人事部等）和普通子網，對這些專用業務子網提供網絡連接控制。 

3.3 網絡軟環境安全 

網絡軟環境安全即校園網的應用環境安全。對于一些涉及到有敏感信息的業務專用網，如：財務處、教務處、人事處等等，必須確保這些子網的信息安全，包括：防病毒、數據備份與災難恢復、規范網絡通信秩序、對保存有敏感信息的重要服務器軟/硬件資源進行層次化監控，防止敏感信息被竊取。 

3.4 傳輸安全 

數據的傳輸安全，主要是指校園網內部的傳輸安全、校園網與教育網之間的數據傳輸安全以及校園網與老校區之間的數據傳輸安全。

4 校園網絡系統控制安全措施 

4.1 通過使用訪問控制及內外網的隔離 

訪問控制體現在如下幾個方面： 

1）要制訂嚴格的規章管理制度：可制定的相應：《用戶授權實施細則》、《口令字及賬戶管理規范》、《權限管埋制度》。例如在內網辦公系統中使用的用戶登錄及管理模塊就是基于這些制度創建。 

篇7

摘要：

文章結合發電企業信息安全保障要求及企業網絡現狀特點，首先闡述了開展發電企業內外網隔離工作的必要性，然后詳細介紹了內外網隔離的技術路線、技術架構及方案設計要點，并對方案的技術創新點進行了分析和闡述，可為發電企業后續開展內外網隔離建設提供典型案例借鑒。

關鍵詞：

發電企業；內外網隔離；網絡安全

0引言

根據發電企業信息安全保障相關規定要求，在企業運營過程中，要加強辦公網絡與互聯網訪問控制，提高員工使用計算機應用系統的信息安全標準，防范由于互聯網攻擊導致的數據泄露、系統崩潰等安全隱患。本文首先對神華國華電力公司（以下簡稱“公司”）現有網絡情況及網絡隔離技術的現狀進行了描述，然后介紹了雙網隔離技術的應用，通過雙網隔離技術對現有網絡進行了一系列改造措施：部署無線網絡，方便筆記本、手機及平板電腦等移動終端接入；部署終端安全管理設備、內網防火墻等，建立了安全可靠的內網辦公環境，實現公司內部辦公網絡與外部互聯網的隔離，從而避免了由于互聯網攻擊導致的企業內部信息外泄，提升發電企業整體信息安全水平。

1研究背景

隨著通信技術、信息技術、網絡技術的不斷發展，越來越多的用戶通過手機、PC等終端連接到網絡，網絡中用戶數據和信息的安全引起了學術界和產業界的廣泛重視。為了確保網絡中用戶的信息安全，一系列的技術被提出，例如隱私保護技術[1-3]、網絡隔離技術[4-6]等。網絡隔離技術是指2個或2個以上的計算機或網絡在斷開連接的基礎上，實現信息交換和資源共享。通過網絡隔離技術既可以使2個網絡實現物理隔離，同時又能在安全的網絡環境下進行數據交換。網絡隔離技術的主要目標是將有害的網絡安全威脅隔離開，以保障數據信息在可信網絡內在進行安全交互[7]。本文主要針對內外網隔離技術在企業中的應用進行了介紹。典型發電企業網絡是集團型網絡構架，由局域網、廣域網、互聯網3個部分組成，員工使用筆記本電腦可通過局域網訪問企業內部應用，通過廣域網訪問下屬單位應用，同時可以通過互聯網訪問互聯網資源。

1）目前公司局域網由2臺核心交換機、若干臺匯聚及接入交換機組成，部分信息點已進行端口認證。由于原信息點少且部分信息點老舊損壞，導致很多用戶只能通過集線器或小型交換機接入，影響內網的統一安全管理。

2）公司廣域網由2臺核心路由器分別連接下屬單位路由設備，分別組成視頻網和數據網，用于承載日常辦公數據和視頻會議數據傳輸業務，部分單位在數據網專線設置防火墻等安全設備進行安全防護。

3）公司互聯網出口采用中國電信光纖專線方式，經外網交換機連接防火墻，通過串接的上網行為管理設備后接入匯聚交換機進而接入核心交換機，為公司用戶提供互聯網訪問服務的同時，為郵件、外網網站等互聯網應用提供映射服務，暫未設置隔離區，存在一定安全風險。由于公司員工電腦能同時訪問內部辦公網、其他單位網站（簡稱內網）和外部互聯網（簡稱外網），本身可能成為病毒或木馬的跳板，進而影響內網安全。同時由于部分員工不注意信息安全防護，私裝未授權軟件、私自設立無線設備等情況時有發生，導致公司內部信息系統極易受到病毒和黑客的攻擊，核心數據資源存在泄露的風險，因此亟需開展內外網隔離研究工作，避免企業核心數據資產泄露的風險。

2系統總體設計

2.1建設目標

1）部署無線網絡設備以訪問互聯網，提供筆記本、手機及平板電腦等移動接入。

2）部署終端安全管理設備、內網防火墻建立安全可靠的辦公內網環境，實現公司內部辦公網與外部互聯網的隔離，防范來自互聯網的攻擊，避免企業內部信息外泄，提升公司整體信息安全水平。

2.2設計原則

1）先進性：整個系統保持一定的先進性，采用的設備和技術應能適應未來的技術發展。

2）實用性：系統性價比高，易維護、易使用、運行費用低。

3）擴展性：系統采用結構化設計，能夠適應不斷增加的擴展需求，當系統擴容時，只需簡單增加硬件設備即可。

4）兼容性：整個系統能運行于不同的操作平臺和語言環境，并能與不同廠商的產品兼容。

5）靈活性：系統構建方式簡單，功能配置靈活，充分利用現有設備資源，能滿足不同業務部門的需要。

6）可靠性：系統安全可靠性高，有足夠的抗干擾能力。

7）安全性：在系統設計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統應分別針對不同的應用和不同的網絡通信環境采取不同的措施，包括系統安全機制、數據存取的權限控制等，如劃分VLAN、MAC地址綁定、802.1x、802.1d、802.1w、802.1s、ACL、PORT+IP+MAC綁定等。

8）高性價比：系統所選用的設備性能卓越，并盡可能降低工程造價。

3系統方案設計

根據信息安全保障相關要求，加強辦公網絡與互聯網訪問控制，提高員工使用計算機應用系統的信息安全標準，保障數據流轉的安全可靠，防范互聯網攻擊導致的數據泄露、系統崩潰等風險隱患，通過對公司網絡及應用系統分析研究，結合國華網絡布線現狀，采用雙網隔離技術對網絡進行統一改造：新部署無線網用于互聯網訪問，提供筆記本、平板電腦等移動接入；新購終端安全管理設備、內網防火墻加強有線網絡防護，建立安全可靠的辦公內網環境，通過臺式一體機電腦安全接入內網，提升公司內網的安全性，保障公司核心業務系統和數據的安全。通過部署三層交換機、POE交換機、無線AC、無線AP及無線控制系統，在公司3座辦公樓宇開通無線互聯網訪問服務，支持便捷的訪客網絡授權及監管。公司原有網絡架構如圖1所示。用戶接入無線網絡需要通過安全的認證方式以保障使用者的合法性，無線網絡采用基于用戶名和密碼+主機的認證方式進行用戶認證[8]，使用接入認證系統對網絡中接入的終端設備進行識別及統一管理，可對員工、訪客、設備管理員進行基于角色、設備類型、接入時間、接入地點的網絡訪問控制，無線網通過無線控制器實現對接入用戶的控制，公司用戶通過MAC地址審核后方可接入無線網絡[9]，實現互聯網訪問。同時為外來人員提供Guest賬號，外來人員需先提交MAC地址入網申請，經過管理員審批后可接入無線網絡。升級改造現有有線辦公網絡，在用戶接入網絡與服務器網絡之間增加防火墻，設置訪問策略，進行用戶訪問控制，保障ERP等內網應用安全。在公司的網絡邊界處設置防火墻及訪問策略，加強內網邊界安全防護，避免其他未隔離單位對國華內網安全的影響。利用防火墻將公司的網絡隔離為5個邏輯區域，分別為廣域網、數據網、視頻網、內網服務器區、內網用戶區，區域間根據公司的業務特點和重要信息資產的分布，對進出公司內網的訪問進行控制，實現以下安全目標：

1）控制從內網用戶區到內網服務器區、數據網、視頻網和廣域網的訪問，限制各區域內用戶訪問公司數據的權限；

2）控制邏輯區域之間的訪問，限制訪問類型，確保只有授權許可的訪問才能進行，未經允許的訪問全部被禁止；

3）重點保護內網服務器區，特別是針對重要信息的訪問，必須經過防火墻的訪問授權后方可實現，杜絕非授權的訪問；

4）利用防火墻有效記錄區域間的訪問日志，為出現安全問題時提供備查資料。在互聯網出口設置支持應用防護的防火墻，并為需要進行互聯網數據交換的系統（如郵件、補丁服務器）設立安全DMZ區，有效抵御來自互聯網的攻擊。利用防火墻為公司的DMZ服務器區提供安全保護，在DMZ服務器區與其他區域之間配置相應策略，并對進出公司DMZ區域的訪問進行控制[10]，同時配合現有上網行為管理設備加強對互聯網訪問的有效管控，避免過度的帶寬占用，并按相關要求保存訪問記錄。內外網隔離網絡拓撲如圖2所示。部署終端安全管控及網絡準入服務器，加強內網接入及終端安全管理，對內部終端計算機進行集中的安全保護、監控、審計和管理，自動向終端計算機分發系統補丁，控制計算機終端的并口、串口、移動存儲設備、Modem撥號、藍牙、USB等外設的使用情況，能夠自動收集終端曾經使用過的USB設備的歷史記錄，并能夠單獨禁用無法確定用途的USB設備，保障USB接口的正常使用，同時還能夠對未知設備進行自動檢測和采樣，實現對未知和新增設備的有效控制和管理，靈活、有效地保護企業機密，確保企業員工與外界的數據交換可控，防止通過終端外設進行非法外聯，防范非法設備接入內網，有效管理終端資產，降低病毒傳播的風險[11]。升級原有交換機IOS版本到最新版本，開啟Radus認證并將認證服務器指向新部署的準入服務器，在用戶終端（服務器）安裝準入程序對用戶進行實名管理（將用戶名、工號、計算機MAC地址進行綁定）[12]，統一部署用戶外設管理策略及網絡訪問策略。建立安全便捷的訪客網絡管理機制，制定用戶接入內網或外網的管理制度及審批流程，實現對內網或外網訪客行為的有效管控。

4技術創新點

4.1以無線+有線方式實現企業內外網隔離

公司原有信息布線系統信息點少且分布不均，如果采取傳統雙網隔離手段必須對辦公樓墻面和地面重新開槽挖溝布線，成本高昂，而本次隔離工作通過建設公司無線應用網絡及認證系統，實現了用戶移動設備互聯網訪問的安全接入，同時通過對原有有線網絡進行改造，實施網絡準入認證和邊界控制，實現了內網用戶的安全接入，進而實現企業內外網訪問的安全有效隔離，而且結構簡單，管理便捷。

4.2實現員工、訪客個人移動設備互聯網訪問安全接入

新建成的無線網絡除了通過用戶名密碼+MAC認證方式實現員工通過筆記本電腦訪問互聯網的同時，還可以通過Portal認證、訪客管理等方式實現辦公區域內用戶及訪客個人手機、平板電腦的安全接入，有效滿足后PC時代用戶的網絡接入需求。同時通過VLAN隔離及訪問帶寬限制，配合上網行為管理設備，采取疏解和封堵相結合的方式，方便用戶訪問互聯網的同時避免了用戶私接無線AP導致的安全隱患。

4.3多技術結合實現內網接入安全認證

1）通過部署終端安全管控及網絡準入服務器，對內部終端計算機進行集中的安全保護、監控、審計和管理，自動向終端計算機分發系統補丁，控制計算機終端的并口、串口、移動存儲設備、Modem撥號、藍牙、USB等外設的使用情況，實現對未知和新增設備的有效控制和管理。

2）升級原有交換機IOS版本到最新版本，開啟Radus認證并將認證服務器指向新部署的準入服務器，在用戶終端（服務器）安裝準入程序，對用戶進行實名管理（將用戶名、工號、計算機MAC地址進行綁定），統一部署用戶外設管理策略及網絡訪問策略。

3）實現對用戶內網計算機軟件的標準化安裝，統一部署安全認證程序，實現客戶端軟件標準化。通過多種安全手段的綜合應用，確保企業員工與外界的數據交換可控，防范非授權設備接入內網，防止通過內部終端非法外聯行為，確保內網的數據安全。

5結語

本文圍繞保障信息安全、加強辦公網絡與互聯網訪問控制的目標，結合后PC時代移動設備無線接入需求，創新性地采取無線+有線方式實現內外網隔離，避免采取傳統雙網隔離手段對辦公樓墻面、地面重新開槽挖溝布線的改造，可節省大量實施成本并縮短實施工期，避免對現有辦公環境的破壞及正常辦公秩序的影響，實現網絡結構的簡化和管理方式的優化。同時無線網絡還實現了用戶及訪客個人手機、平板電腦的安全接入，有效滿足后PC時代用戶網絡接入需求，通過疏解和封堵相結合的手段避免用戶私接無線AP導致的安全隱患。通過升級交換機IOS版本、開啟端口Radus認證，部署終端安全管控及網絡準入服務器，加強網絡邊界安全管控、標準化用戶終端軟件等多技術相結合的方式，實現對內網接入及訪問安全的有效管控，確保內網數據安全。通過本文方案可實現公司內部辦公網與外部互聯網的安全隔離，實現對互聯網攻擊行為的有效防范和內網數據的有效保護，提升企業信息安全的整體水平。

參考文獻：

[1]蘭麗輝,鞠時光.基于差分隱私的權重社會網絡隱私保護[J].通信學報,2015,36(9):145-159.

[2]蘭麗輝,鞠時光.基于向量相似的權重社會網絡隱私保護[J].電子學報,2015(8):1568-1574.

[3]孫福林.面向權重隱私的社會網絡隱私保護技術研究[D].南京:東南大學,2014.

[4]萬平國.網絡隔離與網閘[M].北京:機械工業出版社,2004.

[5]鄧智群,劉福,慕德俊,等.網絡隔離體系結構研究[J].計算機應用研究,2005,22(5):219-221.

[6]李正茂.網絡隔離理論與關鍵技術研究[D].上海:同濟大學,2006.

[7]周鈾,黎強,劉宇.基于網絡的遠動狀態監測系統研究與應用[J].電網與清潔能源,2014,30(11):65-67.

[8]賈鐵軍.網絡安全技術與應用[M].北京:機械工業出版社,2014.

[9]姚琳.無線網絡安全技術[M].北京:清華大學出版社,2013.

[10]特南鮑姆.計算機網絡[M].北京:清華大學出版社,2012.

[11]馮登國,趙險峰.信息安全技術概論[M].北京:電子工業出版社,2014.

篇8

四川移動通信有限公司在辦公網二期工程建立起來以后，就面臨著下一步的升級和改造問題，他們希望通過設置門戶網站，讓公司內部員工可以隨時隨地訪問內部辦公網，進行公文處理。

移動辦公需求迫切

由于四川移動通信公司辦公網二期工程所建立的企業Intranet只覆蓋到地市州一級，沒有將各郊縣局連接起來，但郊縣局又需要訪問企業辦公網，因此必須要有一種郊縣訪問辦公網的解決方案；而對于出差人員來說，要想訪問辦公網，如果通過撥號方式訪問，不僅訪問速度慢，而且操作復雜，費用高。為了解決各地市州移動分公司區、縣局的辦公問題，形成一個真正覆蓋四川全省移動通信公司的辦公平臺，公司的移動辦公問題就日益突出，因此提出了二期擴容問題。

但是，問題并不那么簡單。傳統的局域網雖然功能完善，但沒有對外出口。而一旦想讓在外辦公的人員能夠順利訪問局域網，就必須建立合適的門戶網站以便訪問。最關鍵的是，此門戶網站因為設在互聯網上，而又要與局域網相聯，安全問題必須有保障。

雙認證保安全

基于這種需求，四川移動通信公司企業用戶門戶網站的建議方案采用了Sun ONE Portal Server，將傳統辦公系統架構在Internet網上，擴大了應用范圍，實現了動態密碼與無線通訊的結合。

Sun ONE Portal Server支持多種認證方式，包括簡單的UNIX，Web Form，Cookies，LDAP，X.509數字證書，四川移動可以根據需要，結合自己的實際情況選擇合適的認證方式，系統提供完整的PKI數字證書管理系統。當四川移動的員工訪問該門戶網站，通過身份認證后，瀏覽器和服務器之間就建立了一條通過SSL加密過的通路，而所有數據的傳遞都將在此通路上完成。所有數據在互聯網上傳輸是加密的，其加密強度可以根據系統效率的需要設置為128位或40位的加密方式。

整個二期工程使用的Sun一攬子方案，包括Sun 公司高性能Unix 服務器、工作站和Sun ONE Portal Server軟件，其中Sun ONE Portal Server軟件系統是該套方案的核心。按照設計，客戶端不用安裝任何軟件，使用瀏覽器就可以解決問題，最大程度的方便了使用者。另外，將來，四川移動的員工甚至可以通過訪問此門戶網站實現更多的附加功能，如在線訂制等。

四川移動介紹，"當這套解決方案被介紹給我們時，我們有三個最滿意的地方。一是它的安全性。我們最寶貴的資源就是我們的員工和資料，既要保證員工能夠安全地訪問整個內部網，還要保證內部網的資料全部完好，此系統采用LDAP技術和PKI來管理大規模的用戶個性化服務信息，并提供網絡安全傳輸信息必須的X.509電子證書生成/管理系統，為我們的安全和查證留下了好的工具；二是它的集成功能。該系統可以提供信息聚集、知識管理等個性化服務，為我們不同員工提供了不同的服務內容，另外，這種個性化服務也為以后我們的系統升級留下了接口；三是成熟的電子商務。該方案可以建立數字化電子市場、企業在線采購、銷售等，這對于未來我們實現網上采購，網上決策打下了良好的基礎。說實話，該系統全面滿足我們看中的安全性和可擴展性需求，這促使我們毫不猶豫地選擇了Sun ONE，選擇了Sun ONE Portal Server。"

就這樣，從2001年10月開始，四川移動公司內部首先建立了一個Portal Server--由Portal Gateway和Portal Server兩部分組成，其中Portal Gateway負責與移動辦公者之間的數據加密（即建立與用戶之間的SSL）；Portal Server為Portal的主要實體，存有所有四川移動員工的信息、域的設置等Portal設置信息。當郊區縣局或四川移動的員工出差外地時要進行移動辦公時，無論何時何地，都可以通過瀏覽器進入界面中，首先訪問此Portal Server，通過此Portal Server認證之后，并與Portal Server建立SSL，然后再通過此Portal Server去訪問OA服務器，這樣用戶與OA服務器之間建立了安全的通信。同時，移動用戶進入OA系統之前需要進行身份認證。這樣，兩次身份認證，保證了整個四川移動內部辦公網絡的安全。

對于四川移動內部辦公網來說，由于移動辦公用戶訪問OA系統時，先訪問門戶網站，而OA服務器并不暴露給Internet用戶，保證了OA系統不受黑客的攻擊。

當然，四川移動享受的不僅僅是這些，Sun ONE Portal Server在客戶端使用瀏覽器即可，不用安裝管理和配置任何軟件，也不需要在局域網的Web服務器中使用任何插件，省去了很多麻煩；可以利用現有的企業驗證系統，防止了系統驗證的不一致性；由于Sun ONE Portal Server 可采用域和角色方式以及統一的用戶管理來實現，四川移動登錄并通過驗證之后，Portal 會自動連接到其所應連接的服務器，因此雖然四川移動內部有多臺OA服務器分別為不同的地市縣服務，但統一的界面為個地市縣實現移動接入，每個移動的員工，不論在哪里，所看到的界面都是一樣的。

效果顯著

由于Portal Server軟件對硬件系統的要求并不高――雙CPU即可，因此為四川移動最經濟最高效地解決了移動辦公問題。同時，該系統也可以提供許多其它內容服務，如員工在出差時訪問企業內部一些站點，查詢電子郵件等。

以現在移動通信公司辦公室的工作為例，以前發重要的內部文件，需要打印并傳真給縣一級的部門，然后再打電話確認是否收到，對于在外地出差的工作人員，甚至不能及時傳達，因此辦公室工作非常復雜，偶爾還會有疏漏。現在，他們只用把該文件順利的放在局域網上，縣級的用戶通過門戶進入局域網后自然能夠看到該文件，而出差在外的人，也可以隨時進行工作訪問和查詢，大大提高了效率和準確度。

篇9

【關鍵詞】 網絡工程 安全問題 防護

信息技術的蓬勃發展，成為主導現代社會的支柱性產業，網絡已經成為人們生活中必不可少的工具，經濟、文化、政治、軍事等的發展已經離不開網絡技術，其中網絡安全問題備受關注。自信息時代來臨之后，網絡信息數據被窺探，系統被攻擊導致癱瘓、垃圾信息的傳播以及病毒的不斷侵入，此類問題愈演愈烈，嚴重威脅著網絡安全建設，首先了解當前網絡安全問題的現狀是基本工作。

一、網絡工程中常見的安全性問題分析

1、黑客攻擊。在網絡工程運行的過程中，黑客攻擊是其最為突出性的安全隱患，其對網絡信息的安全性構成嚴重的威脅。黑客攻擊主要是通過計算機專業過硬的人才，利用網絡系統現存的漏洞和缺陷進行網絡目標的破壞行動[1]，以盜取目標人員的信息，導致網絡系統陷入癱瘓，計算機用戶信息被盜用與窺探，信息的安全性受到嚴重威脅。作為網絡安全問題中的重大隱患，黑客攻擊是有目的性的攻擊，從中盜取所需的機密性文件，是對網絡安全技術提出的一項重大挑戰。

2、病毒侵入。除了黑客之外，病毒侵入是另一項網絡重大安全隱患。病毒編制人員會通過編寫相關的程序，將該程序植入到計算機系統中，使得計算機內部的程序發生變更，且計算機會受到操縱者的操控，以達到破壞或盜取計算機內部信息的目的，對計算機系統的破壞性很大，且病毒的傳染性很強，以木馬、火焰為主。這些病毒的入侵，會破壞我們的生產網、辦公網，這會嚴重影響到我們的生產。

3、垃圾信息傳播。網絡是一個巨大的資源庫，具有豐富的網絡資源，在滿足信息需求的同時，還會產生各類垃圾信息、不良信息，會對人們的心理、思想產生負面影響，垃圾信息對網絡環境造成了嚴重的污染，對社會造成惡劣的影響，尤其是對于正在成長的青少年。由于網絡垃圾信息的傳播，導致青少年的犯罪率在不斷提升，影響青少年的成長與社會的穩定[2]。

二、加強網絡工程的安全防護策略

1、完善網絡工程運行系統。網絡工程安全問題的不斷涌現，對社會造成消極的影響，解決安全隱患是當前面臨的主要問題。為此，應從網絡工程自身著手，強化網絡工程運行系統的完整性與穩定性，對網絡系統進行及時的升級，強化對網絡安全問題的重視，加大在安全宣傳上的投入力度，建立基本的網絡安全系統，防火墻、病毒入侵檢測、殺毒軟件、數據加密等，運用以上方式來強化對網絡工程的保護。最基本的網絡安全保護系統是加強工程保護的重要保障和盾牌，能夠達到與黑客襲擊、病毒侵入的目的，能保護信息的安全性和完整性，是網絡系統的優化與創新[3]。

2、加大網絡安全宣傳力度。現如今，人們在使用計算機網絡技術的同時，只意識到其積極性的一面，往往會忽視了對網絡安全性問題的關注，對系統的安全性重視程度不高，信息保護意識不強，缺乏對信息保護的重視。為了讓人們增強對網絡安全的重視，應加大網絡安全宣傳力度，借助網絡平臺開展宣傳工作，通過文本宣傳頁、視頻或圖片等方式進行宣傳，將其放置在各個網站的首頁，能夠讓用戶在使用網絡的同時提高警惕，隨時具備保護意識，在運用網絡的同時，也實現了對網絡安全性的宣傳，選擇以往網絡安全問題所產生的危害進行舉例說明，借助網絡的強大力量，實現對安全問題的全面宣傳。

3、優化計算機網絡安全技術。軟件開發人員應發揮自身的專業素養，研發新型的網絡安全保護技術，發明預防、識別與阻礙一體化的安全技術，發揮安全技術的強大功能，實現對網絡工程的全面防護。云計算機技術是新產生的技術，對信息的發展與傳播具有積極影響，能夠讓用戶對信息的安全性進行有效的識別，也能保證個人數據的安全性與完整性，將相關數據上傳至云端，借助云技術來控制數據訪問權限，提高網絡信息存儲與數據傳輸保密性，將云計算機技術應用到網絡系統中，定會取得滿意的效果。

結束語：綜上所述，當前網絡工程面臨主要安全問題以黑客攻擊、病毒侵入以及垃圾信息的迅速傳播，成為網絡安全的重大隱患，網絡工程質量受到嚴重影響。無論是對于商業、文化還是軍事、經濟而言，網絡工程都將其優勢發揮到極致，但是由于網絡系統問題存在漏洞，技術不夠完善，導致信息丟失。為解決此項問題，應完善網絡運行系統，加大網絡安全宣傳力度，以增強對安全的重視，同時優化計算機網絡安全技術，以強化對網絡安全系統的保護。

參 考 文 獻

[1]畢妍.關于網絡工程中的安全防護技術的思考[J].電腦知識與技術，2013，21：4790-4791+4814.

篇10

關鍵詞:信息安全;威脅;管理模式;桌面終端

在當今的信息時代,我們的生活和工作方式受到信息技術發展的巨大影響,時時刻刻都在發生著改變,而現行企事業單位的管理模式也在這種“大環境”下不斷地推陳出新。作為各大國有企事業信息管理部門,必須考慮到當前技術的發展給我們的工作帶來的機遇和威脅。

一、當前信息網絡的安全形勢

目前,幾乎所有企業、事業單位、行政部門都面臨著內部信息泄漏的問題。FBI對484家公司調查顯示:85%的安全損失是由企業內部原因造成的。面對來自于公司內部的安全威脅,很多員工都有切身感受,雖然不會有股票的跌漲刺激感官強烈,但是他們一定遇到過類似的事情。由于粗心誤操作造成公司服務器上重要文檔丟失;由于沒有設定員工在系統內的訪問權限,使一些業務秘密出現在本不應有查閱權的員工計算機上,并不小心將其泄露……對于這些來自公司內部的信息安全問題,不是簡單的安裝了殺毒軟件或防火墻就能解決的,單純的“免疫”手段在“網絡風險”、“軟件風險”日益嚴重的今天,都已經不足以讓人信任和依賴。

據調查統計,90%以上的計算機終端用戶使用的是windows2000,XP或以上的操作系統,而這些系統的安全漏洞及系統缺陷非常多。雖然微軟公司會通過定期在網站上安全補丁來彌補這些漏洞,而一些軟件公司也會對自己開發的軟件進行不斷地更新和升級,但由于終端用戶缺乏相關知識,導致補丁安裝的不及時、不完全,這就會影響終端計算機的安全,從而影響整個內部網絡安全。

二、企事業單位網絡終端計算機安全現狀

大中型企事業單位、政府辦公網絡,桌面終端計算機數量隨著辦公的需要不斷增多,而出現的網絡問題也日趨明顯。常見的情況主要有:計算機感染病毒、被安裝木馬;有些不明程序不斷搶占IP地址(ARP病毒)堵塞整個網段,使該網段用戶都不能上網。除此以外,部分員工使用公司辦公電腦私自從網絡上下載海量資源,迅雷、BT、電驢這些下載工具都會搶占網絡通道,這樣就導致了其他一些用戶使用辦公電腦辦公時網速非常低,嚴重時網頁無法顯示,不僅影響了其他員工的工作,還降低了整個公司的工作效率。

這種問題在當下的網絡時代普遍存在于現有的企事業單位,尤其是一些已經擺脫了紙張,進入“無紙化”辦公的先進單位更為明顯。由于難于發現高危計算機,并對其進行定位,因此一旦問題發生,就需要大量的故障排查時間。如果同時有多臺計算機感染網絡病毒或者進行非法操作,就會造成網絡癱瘓,從而致使其他正常網絡業務無法使用。

現階段,所有企業都在努力尋找一種有效的手段來扭轉這種嚴峻的局面,并盡可能地出臺大量的信息網絡管理規定。例如:禁止在辦公計算機內安裝BT下載軟件,禁止在個人終端設備中安裝網絡游戲軟件,禁止私自更改電腦的安全設置,禁止將外部的電腦接入單位的內部網絡等行為。但是,由于缺乏技術和管理手段、考核制度、使用標準、用機規范等,都不能夠有效切實地執行,這樣就使企業內部的信息網絡安全水平很低,衍生了諸多不可控制的安全隱患。

三、通過網絡防護與終端防護共筑信息安全長城

以往提起信息安全,人們更多地把注意力集中在防火墻、防病毒、IDS(入侵檢測)、網御設備、網絡交換設備的管理上,卻忽略了對網絡環境中的計算單元――服務器、臺式機乃至便攜機的管理。

近兩年的安全防御調查表明,政府、企事業單位中超過80%的管理和安全問題來自終端,計算機終端廣泛涉及每個用戶,由于其分散性、不被重視、安全手段缺乏的特點,已成為信息安全體系的薄弱環節。因此,隨著信息技術的不斷進步,網絡安全防護的工作重點開始發生轉移,安全戰場已經逐步由核心與主干的防護,轉向網絡邊緣的每一個終端。網絡管理員已經不是信息安全的唯一負責人,計算機終端用戶才是信息安全的第一責任人。

四、建設桌面終端安全管理系統的意義

伴隨著網絡管理業務密集度的增加,在信息安全防護領域興起了終端桌面安全管理技術。作為網絡管理技術衍生的邊緣產物,它同傳統安全防御體系的缺陷相關聯,是傳統網絡安全防范體系的補充,也是未來網絡安全防范體系的重要組成部分。由此看來,終端桌面管理的發展趨勢和技術特點,才是信息安全防護趨勢的導向。在進行桌面終端安全防護部署時,必須把提升信息安全的關鍵放在提升計算機終端安全水平上。

如何有效地管理計算機終端成了當前的熱點話題,而桌面計算機安全管理系統的應運而生就顯得尤為重要了。第一可以通過批量設置計算機的安全保護措施提高桌面計算機的安全性,及時更新桌面計算機的安全補丁,減少被攻擊的可能;第二,它還可以實現動態安全評估,實時評估計算機的安全狀態及其是否符合管理規定,比如說,評估計算機的網絡流量是否異常,評估計算機是否做了非法操作,評估計算機的安全設置是否合理等;第三,通過系統中進行策略的配置,對計算機終端進行批量的軟件安裝、批量的安全設置等,防止外來電腦非法接入,避免網絡安全遭受破壞或者信息泄密;第四,利用桌面系統的高科技手段,能夠確保本單位的計算機使用制度得到落實,使“禁止撥號上網,禁止使用外部郵箱,禁止訪問非法網站,禁止將單位機密文件復制、發送到外部”等這一系列管理措施得以貫徹和執行;第五,在網絡出現安全問題后,桌面終端系統可以對有問題的IP/MAC/主機名等進行快速的定位,便于管理員迅速排查故障;最后一點可以稱之為桌面系統的“增值服務”,在保證信息網絡安全的同時,還能對計算機的資產進行有效地管理和控制。

這些功能的實現,淺表地說能夠持續有效地解決大批量的計算機終端安全管理問題,真正的意義在于能夠切實地幫助企業內部各種管理規定有效地執行。如今憑借這些高科技手段,全面提升企事業單位內部信息化工作水平已經不再是紙上談兵。

五、結語

企事業單位要在信息技術高速發展的今天立于不敗之地,就必須結合自身客戶的網絡結構、終端特點和管理模式,搭建安全、穩固的內部IT架構。而桌面終端安全管理的應用,將極大地提高信息安全系數,使企業信息風險降到最低。

參考文獻:

[1] 閆龍川,劉永志,來鳳剛.計算機終端安全管理系統及其應用[J].電力信息化,2009,(7).

[2] 馬國勝.桌面安全管理系統的應用[J].中國金融電腦,2009,(4).