開篇：寫作不僅是一種記錄，更是一種創造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇基于某企業的網絡安全策略，希望這些內容能成為您創作過程中的良師益友，陪伴您不斷探索和進步。

第1篇

【關鍵詞】安全體系結構；網絡；設計原則；實現方案

伴隨當前計算機網絡的發展與廣泛的應用，網路安全體系結構的設計極為重要。由于計算機網絡擁有多樣性的聯結形式，而網絡自身擁有一定的互聯性與開放性，在其終端分布方面存在著不均勻性等特征。這便導致計算機網絡在應用期間，極易遭受到黑客的攻擊，甚至被一些惡意軟件入侵等，這會給使用者帶來較大的損失。為此，構建網絡安全體系結構已經成為當務之急。

1網絡安全體系結構相關概述

在網絡安全體系結構設計方面主要分為：定義網絡安全策略、分析網絡安全需求、網絡安全設計以及網絡安全實現這四個步驟。這便需要將高級阿全策略與控制作為依據，對安全規范實施形式化的處理，以此來更好的設計與實現系統中執行機制目標。（1）定義網絡安全策略。定義網絡安全策略主要指：對網絡安全策略進行詳細的描述，其目的在于為網絡安全提供支持與管理[1]。與此同時，還需要與其他領域相結合對網絡安全系統進行全面的考慮，如社會機制、通信安全以及操作安全等，將向導手冊ISO/IEC作為相關依據，對企業可能存在的風險展開全面的分析，之后通過自然語言來描述所產生的網絡安全與控制文檔，這便是高級安全策略所在。（2）對網絡安全需求進行分析。對網絡安全需求的分析，主要是對高級安全策略所實施的形式描述，以此來得到更高形式的安全策略。該種做法有一定的優點存在，如通過對策略之間的沖突檢查，消除自然語言對中高級策略較為模糊的描述。

2網絡安全體系結構的設計研究

在網絡安全體系結構設計期間主要包含以下幾點，即：（1）在網絡安全體系結構設計期間，需要有針對性的構建相應的安全結構體系，并且對于網絡系統安全實施相應的保障[2]。對網絡安全體系結構進行設計的目的在于，全面的建立網絡安全系統，這需要通過某種技術全面的建立網絡安全系統。在體系結構中的各層對安全邏輯進行分析的過程中，需對安全需求進行全面的考慮，同時也需要對OSI參考模型中的層級之間的依賴性給予全面的考慮。（2）設計和實現網絡安全策略。在設計網絡安全體系結構期間，網絡安全策略的設計和實現極為重要。設計和實現網絡安全策略的主要目的在于，確保能夠定義出一套設計級的安全策略，并將其作為一種框架底層的抽象策略。該種網絡安全策略設計和實現與技術執行之間較為接近，計算機網絡配置期間，部門與組織之間常常會產生一定的變化，這便對計算機網絡提出了不同的安全需求。為此，網絡安全擁有一定的動態性特征，相關人員需將調整組織的安全策略作為依據，適當的設計網絡安全體系結構，同時執行安全策略。這不僅是一個過程的體現，同時也是現存文檔的形式所在。在需求服務于基礎組織方面，能夠將企業的升級情況、實現與執行過程充分的體現出來[3]。這與張冀晛，吳中川在《網絡安全技術在城市級供電系統數據網中的應用》一文中的觀點極為相似。策略管理功能主要包括三個方面，即策略實現點、策略決定點以及策略倉庫。策略倉庫中存在著一切網絡目錄中的策略信息，它能夠全面的描述服務、計算機以及網絡用戶，同時在專用的數據庫上執行相應操作。策略服務器或者策略決定點，主要對網絡策略實施抽象操作，確保其能夠成為一定的策略控制信息，并且逐漸的向策略執行點傳遞。策略實現點則需要接受PAPs中的策略，將其作為安全或者相應的網絡設備，使其作用能夠得到充分的發揮。一切安全組件領域都需要確保能夠在安全管理范圍內，確保能夠構建出更加合理的、安全的網絡應用模型。（3）達到網絡安全目標。要實現網絡安全目標，便需要依靠實現機制來實現。通過安全體系結構中工作站以及服務器上鎖運行的網絡安全管理，通過使用網絡輔助級和網絡級的安全，使得應用級的安全能夠得以實現。在此期間，需要有特殊的用戶作為相應的網絡操作者，這些主體擁有較為嚴格的授權程序與認證，同時還擁有較為全面的功能[4]。為此，必須確保特殊用戶的行為以及訪問安全，以此才能夠提升網絡的存活能力，提升網絡性能等。網絡管理系統越是集中，那么企業在網絡安全方面所提出的安全要求就越高。

3總結

如今，網絡已經成為人們生活中不可缺少的一部分，網絡安全體系結構的設計和實現，與網絡用戶的使用安全之間存在著密切關聯，同時在計算機網絡健康發展方面也有著極為重要的影響。為此，構建網絡安全體系，為相關用戶提供更加安全的網絡應用環境，確保網絡安全環境能夠達到使用者的相關要求。另外，不斷的推動網絡安全體系構建，構建安全的網絡環境，已經成為計算機網絡發展的必然要求所在。

參考文獻

[1]李春艷，郭軼尊，楊永田，等.基于IP安全體系結構的虛擬專用網[J].哈爾濱工程大學學報，2001，22（6）：68~70.

[2]陳曉.電力企業信息安全體系結構的研究[D].華中科技大學，2004（12）：34~56.

[3]張冀晛，吳中川.網絡安全技術在城市級供電系統數據網中的應用[J].信息與電子工程，2011，09（2）：238~243.

第2篇

關鍵詞：OA；辦公系統；網絡安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9599 (2011) 21-0000-01

OA Office Network Security Analysis

Qiao Yongmei

(Yancheng Finance Bureau Information Center,Yancheng 224000,China)

Abstract:The current OA office system based on the existence of network security issues,requirements analysis through the development of an effective and efficient office automation system network security policy,automated office systems to enhance the level of the network,creating a safe environment to run a positive and effective service facilitating role.

Keywords:OA;Office system;Network security

一、OA辦公系統面臨的網絡安全問題

隨著網絡系統、計算機技術的迅猛發展其應用服務于各行各業體現了優勢效能，令社會生產、經營各項事業創設了現代化、網絡化高效辦公管理模式，同時各類計算機設備、網絡管理系統的廣泛引入令基于其開展的辦公事業面臨著愈演愈烈的病毒侵襲，令互聯網絡、自動化辦公系統飽受信息數據不良竊取、內部癱瘓等安全威脅，較易造成不可挽回的經濟損失。同時各項辦公自動化系統程序一旦感染病毒還會迅速傳播至整個互聯網絡，影響其他程序的正常運行，甚至令服務器系統崩潰。為便捷化辦公，許多辦公自動化系統主體網絡技術均設置同互聯網絡連接的相關協議接口，這樣一來互聯網黑客只需截取OA辦公網絡之中的任何一個節點便可竊取該以太網之上發生的全體數據信息，通過進一步分解達到非法獲取重要資料數據目標。借助相關互聯網絡系統技術構建的OA自動化辦公系統中包含較多可以令信息數據被竊取的不良因素，例如黑客惡意入侵對系統數據進行破壞，通過侵入服務器展開對硬盤引導區各類原始數據的惡意篡改刪除，令應用程序不良損害。另一類因素為病毒傳播破壞，其可以侵入自動化辦公系統的數據轄區，例如系統扇區、硬板主引導區、文件目錄、FAT表等，同時還可侵入系統數據文件轄區，令各項重要數據被刪除、篡改、替換，或令部分信息資料、應用程序不良丟失。另外各類災難性損害也不容忽視，突發的天災、人為誤操作、強震、強磁力干擾均會令辦公自動化系統數據庫受到強烈的影響并引發損害現象，造成重要數據的丟失，令辦公單位蒙受巨額物力、人力與財力的經濟損失。

二、基于科學需求分析構建OA辦公系統網絡安全策略

（一）自動化辦公系統安全需求分析

OA辦公系統網絡安全目標的樹立應以防御外部與內部攻擊、侵襲為主體，杜絕非法入侵訪問、抑制各類篡改、冒充行為，確保重要信息不被破壞或泄露。因此在構建自動化網絡辦公系統階段中我們應充分契合用戶豐富需求，集成各項安全技術，確保安全管理有效措施的整合，合理利用行之有效的網絡防火墻技術構建強有力的安全保障。同時我們還應完善考慮辦公OA系統中心同它類機構展開傳遞公文、交流信息階段，其信息數據會通過網絡進行傳輸，一些集團企業、跨國單位需要通過網絡展開辦公OA系統訪問，也就是說各類大規模網絡辦公自動化系統需要借助互聯網絡展開交流，而非僅僅在某一局域網中進行有限的交流。因此倘若黑客基于互聯網絡對信息展開竊聽則較易造成嚴重后果，我們可通過構建專用虛擬網絡VPN科學解決公網信息傳遞綜合安全性問題。

（二）專用虛擬網絡安全策略

虛擬專用網絡安全策略VPN主體通過隧道私有、于不同網絡地點構建公共網絡設施基礎等技術構建了專線專用的辦公平臺，其僅同屬性相當的網絡進行信息通信共享，因此可實現私有化的數據專用安全傳輸。實踐管理中我們可科學應用VPN安全策略構建自動化OA辦公系統，營造安全有序的數據專線傳輸環境，令員工即使在遠程也可放心通過外部網絡進行辦公自動化系統的安全訪問。同時我們還可借助VPN供應商相應服務轉變以往辦公系統采用的長途服務專線與撥號模式，提升遠程辦公效率，確保安全、快捷與可靠的專線網絡傳輸。該安全策略模式下用戶可基于本地ISP實現與互聯網絡連接，在通過網絡辦公服務器VPN認證后構建一條基于互聯網絡的安全連接。另外我們應對VPN網絡資源展開科學有效管理，從分配客戶機網絡地址、展開用戶身份認證、存儲用戶信息賬號、記錄VPN相關活動等層面實施完善管理，對傳輸于專用隧道之中的數據實施加密，驗證雙方通信身份，進而確保數據信息傳輸的科學完整。

（三）防火墻網絡安全策略

防火墻是科學設置于辦公自動化系統局域網絡與服務器VPN之間安全有效的一道屏障，可全面預防潛在、不可預測入侵破壞網絡行為。遵循辦公自動化OA系統網絡安全應用需求我們應科學采用防火墻雙層防護方案，分解網絡結構為辦公OA系統與互聯網絡網域兩部分，令辦公OA系統需要同外部互聯網絡進行連接的較安全級別服務器設置于首層防火墻停火區內，同時令辦公OA系統無需進行外部網絡連接、對安全級別要求較高的各類服務器放置于二層內網防火墻區域，進而完善提升辦公自動化系統服務運行效能，滿足首層低安全級別服務器頻率較高、連接數量大等需求，同時確保二層高安全級別服務器綜合安全運行目標實現。

（四）強化辦公自動化系統恢復數據功能

倘若辦公自動化系統遭到內部構架的不良破壞，我們可采用計算機數據備份策略激發其恢復數據功能。依據辦公自動化系統綜合安全性能需求我們可采用內部、外部自動化大容量、高效率數據存儲、恢復、備份機制，有效防范互聯網硬件技術故障、不良人為操作失誤引發的數據丟失現象，同時起到對各類非授權性黑客訪問造成的網絡攻擊與數據完整性破壞進行科學防護。

三、結語

總之，OA辦公系統網絡安全問題日益嚴峻，為有效創設自動化辦公系統安全、高效、遠程、網絡化優質運行環境，我們只有依據其面臨的安全問題展開安全科學需求分析、制定行之有效的安全防范策略，強化系統恢復數據功能，才能真正提升辦公系統效率，令其在自動化、可靠性、科學化服務管理中創設豐富的經濟效益與社會效益。

參考文獻：

第3篇

關鍵詞：計算機網絡；安全；VLAN

中圖分類號：TP393.08

伴隨著我國網絡普及率的不斷提高，網絡安全問題已經成為當前社會議論的熱點。計算機網絡安全已經不再是關乎到企業經營利益，更重要的是關乎到國家未來發展的安全與穩定。所以現代社會網絡安全問題將是未來最重要的安全性問題，必須要整個社會共同努力，全面提高安全防護措施。

1 網絡安全現狀與常見威脅分析

（1）企業網絡安全現狀分析。就目前形勢來看，國內企業數據信息安全很多樂觀，特別是在信息網絡安全方面、網絡安全技術人才方面、企業內部員工網絡安全防護意識方面均存在著較大問題。更有甚者，一些企業領導認為像防火墻此類的安全防護軟件可有可無。殊不知，網絡安全體系的構建是一項長期的工作，只有在關鍵時刻才能夠顯示其最大的價值。

（2）企業網絡面臨的安全威脅。第一，自然威脅與無意失誤。所謂自然威脅即是指因自然災害所導致的企業數據丟失，這種網絡威脅是不可避免的。無意失誤顧名思義就是指由于企業內部安全管理人員的誤操作所導致的企業機密信息丟失或者泄露。企業網絡管理員在進行網絡安全配置時，由于網絡安全設置不當，導致用戶口令較為容易破解。第二，非授權訪問。所謂非授權訪問是指通過編寫各種木馬病毒或者通過調整計算機程序入侵其他用戶的網絡，或者以非法未授權的方式訪問其他用戶系統文件。有些黑客會通過一些非法手段，肆意擴大訪問權限或者以虛假身份進入他人計算機網絡進行各種數據信息的讀取。第三，木馬程序及后門。這種威脅主要是指利用遠程控制手段，對他人計算機程序進行非常隱蔽或者未授權方式的讀取。如果企業的某臺計算機被非法安裝了木馬程序或者后門，那么該計算機上的各種機密信息就極有可能被黑客竊取。譬如該計算機上輸入的各種密碼，相互交換的各種數據信息，均會通過非法程序向黑客直接發送?，F階段這種遠程控制方式非常普遍，也是黑客竊取他人信息的主要手段之一。第四，計算機病毒。這種網絡威脅方式通常情況下均是由不法分子直接在計算機程序中安裝破壞計算機功能，竊取計算機數據而安裝的。計算機病毒的出現肯定會對該計算機系統的運行產生一定的影響，它既能夠自我復制計算機指令來控制計算機，同時也能夠在該系統中寄生更多的病毒。一般情況下，計算機一旦被病毒感染之后，均會出現藍屏、自動重啟、卡機等問題，而且會在非常短的時間之內致使整個計算機系統癱瘓，給企業帶來非常慘重的損失。

2 網絡安全體系研究

關于網絡安全體系的實施過程，其實施前提是系統已經部署了較為完善的安全產品，如計算機防入侵檢測系統、網絡防火墻系統、計算機防病毒軟件、VPN以及相關的安全認證等。對于各種類型的安全產品集成的有機體系與系統動態的安全策略是一致性的，其維護是對網絡安全體系進行構架的關鍵因素。系統安全的策略拓展的時效性，則是為了實現系統安全目標的必要條件。

（1）互操作性。對于各個服務都必須遵循的基本安全策略工作時，就是為了解決系統互操作性的關鍵要素。也就是說系統安全策略必須保證其各個服務都遵循一致。此外，對于某些服務的活動范圍其依據并不是直接來源于系統安全策略，而是出于服務間的聯動規則。所以說針對此類系統控制中心必須能夠及時的實現這種聯動規則。

（2）可管理性。對于一個設計良好的可靠地信息安全集成管理平臺來說，其應該能夠從管理技術和管理策略上保證系統的安全策略能夠得到更好更整準確地實現，進而促使對安全需求方面能夠更加全面準確地得到滿足。這即包括了確定必需的安全服務也包含了對安全機制與技術管理方面的要求，從而實現網絡安全體系在系統中的合理部署與配置。

（3）可擴展性。關于網絡安全體系集成可擴展性的要求是：對于每種新投入的安全服務或安全設備，或者新型的網絡安全技術的使用，系統可接納其無縫集成運行到系統中無需對操作本身作修改，或只作較少配置改動。

3 網絡安全設計結構

依據網絡安全的相關法律法規，安全防御策略應是全方位和動態縱深的，對網絡實行分層、分級以及實時防護，對于網絡中的特定的安全漏洞能夠及時評估和發現，對于各種網絡的侵入行為實時監測并能依據監測結果預警，甚至是遭受攻擊時，自發地發出報警信號、處理措施；這樣就使得在惡意入侵某一層安全防御措施后，能被后續的應急措施阻攔，確保系統的最大程度安全。

（1）VLAN的網絡分割。在以太網發展的過程中，出現了廣播相關的技術問題以及安全性問題，為了解決這個問題，人們提出了VLAN協議。這個協議的原理是，在傳統以太網幀上增加了VLAN頭，通過這樣的VLAN ID將網絡上的計算機分為相對獨立的工作組，而不同組之間的計算機不能進行直接互相訪問，每個VLAN就是一個虛擬局域網，這樣使得技能限制廣播的范圍，并能夠組成虛擬的工作組，VLAN之間的互相訪問則需要有協議中的授權進行信息交換。為了防止敏感資源的泄露以及廣播信息的泛濫，在0層交換機的集中式網絡環境中，將網絡中的所有客戶計算機和服務器分別分配到不同的VLAN中，而在相對獨立的VLAN中，用戶通過設置IP來進行與服務器之間的互相ping是被禁止的，同樣也需要禁止用戶計算機對服務器相關數據資源的寫入，只允許相關數據的讀出，通過這樣的協議機制，能夠更好地保護主機資源和服務器中的敏感信息。而在實際應用中，企業的部門位置有些分散，有些交叉重疊、不易分離，我們通過三層交換機網絡，經過VLAN的相關劃分，實現部門都有各自獨有的VLAN，既方便了互相訪問，有保證了信息的安全。

（2）MAC地址綁定。這樣的綁定是通過0層交換機，在其安全控制列表中，使得計算機的MAC地址和交換機上的端口進行捆綁，由于MAC地址是網絡適配卡的網絡身份標識，通過這樣的綁定，可以有效防止未注冊的非法計算機訪問網絡，這也就是物理層面的安全防御。同樣，我們也可以使用內部網絡的安全管理系統，統籌分配網絡中的硬件資源。

（3）防火墻配置。上述我們講述了VLAN將網絡劃分為獨立的VLAN網絡，而在這些網絡之間，需要我們使用特定的軟件或硬件系統，來保證外部網絡與內部網絡的相對隔離防護，也即防火墻的配置。本文則是采用硬件防火墻方式，是通過控制特定的數據通訊的是否與許出入來實現的，這是通過訪問控制策略來決定一個數據的出入是否被允許的。

對于一個網絡，在保證安全性的同時，也要考慮信息通信的運行速度以及經濟性等問題，因此在防火墻配置的軟硬件選型中，要選用符合相關保密要求的國產防火墻，從而有效防止外部用戶的非法訪問，而為了充分的保證網絡安全，可以配置1套備份防火墻，在其中一臺出現問題時，另一臺迅速啟動，以達到無縫保護網絡安全。而當今的防火墻訪問控制策略有如下幾種所示：所有往復數據均需經過防火墻的過濾與監測；符合安全策略的數據包才能經防火墻過濾而通過；服務器訪問互聯網不能直接通行；防火墻本身作為一個系統，也要有抵御非法訪問以及攻擊的功能；在沒經設置的情況下，默認禁止各種網絡服務，除非是客戶計算機等發起的或者必須服務，而需要網絡開放特殊端口的特定服務要經過系統管理員的允許。

（4）入侵檢測系統的部署。傳統的網絡安全防御方法還不足以滿足當今的網絡安全要求，新的防御技術應運而生，入侵檢測技術就是其中一種，它能夠很好的彌補防火墻的不足，有效地結合其他網絡安全產品的性能，對網絡安全能夠進行全方位的保護，并且具有了傳統網絡安全技術所不具備的主動性，在提供實時監測的同時，并根據特定的網絡安全情況來采取相應的手段。相對于防火墻的部署位置，入侵監測是部署在網絡的旁路中，不必像防火墻那樣對所有出入網絡的信息進行訪問控制，不會影響整個網絡的整體性能；在對全部網絡的內容進行入侵檢測和判斷，并對分析歷史進行記錄，以利于事故追憶和系統恢復，并斷開特定的網絡鏈接等。

（5）身份認證。網絡通信的最終目的是為了提供網絡上計算機之間的數據通信和數據交換，而身份認證正是基于對通信雙方進行身份的確認，保證每次通信雙方的信息安全。當前比較常用的通信身份認證技術有：靜態密碼、智能卡、USB Key和動態口令等，得到普遍應用的是用戶名和靜態密碼的方式；本文中我們使用USB Key方法，這種方法是基于軟硬件認證技術，在保證安全性的同時，也保證了易用性。這種該設備內部有微機芯片，存放有用戶特定的密鑰或者數字證書，通過其內置的密碼算法來達到用戶的身份認證的目的，這樣的身份認證系統有兩種認證方法：一是基于沖擊響應的模式，二是基于PKI體系的認證模式。

（6）內網安全管理。傳統的安全防御理念，重點集中在常規的漏洞掃描、入網檢測等方面，重要的安全設備雖然集中在機房中，處在層層的保衛中，來自網絡外部的安全威脅大大的縮小了，來自網絡內部的安全威脅卻相對比較突出，這也是由于內網頻頻出現的違規安裝軟件，私自撥號上網以及私自接入其他非法計算機等情況使得內網網絡問題頻頻出現，危及網絡的安全，網絡管理員相應的需要從準入控制管理以及信息訪問控制等六大功能體系出發，來有效地解決出現的問題。

（7）數據備份與恢復。為了防止數據丟失，造成重要數據的無法挽回，網絡系統需要經常性的進行數據備份，把特定的數據轉存到目的介質中。這樣，即使整個網絡系統崩潰，數據部分或全部丟失，數據也能恢復到備份時的狀態。

本文中的網絡體系的構建，在集中式網絡管理工具對系統數據進行備份，通過內部網路管理系統對其進行統一管理，用專門管理備份數據的服務器監控相應的備份作業，這樣使得系統的備份數據能夠統一集中的備份到統一磁盤陣列上。而對于網絡數據的備份，實現的方式主要有以下幾種：采用自動增量備份，使得系統管理員的工作量得到相應的降低；制定數據備份日程，按照計劃進行備份；全面地備份存儲介質的物理管理，一定程度上避免讀寫時的誤操作；對備份后的數據所在的存儲介質，通過合理的分類存放，使得保存科學可靠；在備份服務器為核心的備份系統中，對各種備份數據統籌管理，合理分配資源，實時監控，實現分布式存放，集中式管理，既提高了存儲的可靠性，又保證了存取的快速性。

4 結束語

企業計算機網絡安全系統的構建是一個非常復雜的系統工程，它涉及到多個學科的內容，同時也需要企業各個部門的相互協調配合。只有企業自身重視數據信息保護，制定相對完善的數據信息安全保護制度，才能夠從根本上實現企業機密信息的絕對安全。在今后的工作中，筆者將繼續致力于該領域的研究工作，以期能夠獲得更多有價值的研究成果。

參考文獻：

[1]魏昱.如何解決計算機網絡系統的安全問題[J].電子制作，2013（07）：134-135.

[2]趙健.淺析計算機網絡系統的安全[J].青春歲月，2011（12）：362.

第4篇

關鍵詞：信息安全；信息安全防護；安全管理

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)22-5346-02

隨著網絡信息系統在各行各業得到廣泛應用，企業單位辦公自動化程度越來越高，許多企業開始利用信息化手段來提升自身管理水平，增加競爭力。企業內部用戶之間實現了“互聯互通 ，資源共享”，極大地提高了企業單位的辦事效率和工作效率。但部分企業卻忽視了整個系統的安全和保密工作，使得系統處于危險之中，而一旦網絡被人攻破，企業機密的數據、資料可能會被盜取、網絡可能會被破壞，給企業帶來難以預測的損失。因此，企業網絡安全的建設必須提上日程，并加以有效防范。

1 企業信息安全防護策略

企業網絡所面臨的安全威脅既可能來自企業網內部,又可能來自企業網外部。所有的入侵攻擊都是從用戶終端上發起的,往往利用被攻擊系統的漏洞肆意進行破壞。企業網絡面臨的威脅主要有系統漏洞或后門、計算機病毒感染、惡意攻擊和非法入侵、管理失誤等。

企業信息安全從本質上講就是企業網絡信息安全，必須充分了解系統的安全隱患所在，構建科學信息安全防護系統架構，同時提高管理人員的技術水平，落實嚴格的管理制度 ，使得網絡信息能夠安全運行，企業信息安全防護策略如圖1所示。

2 硬件安全

企業網硬件實體是指實施信息收集、傳輸、存儲和分發的計算機及其外部設備和網絡部件。對硬件安全我們應采取以下相應措施：1）盡可能購買國產網絡設備，從根源上防止由于后門造成的威脅；2）使用低輻射計算機設備、屏蔽雙絞線或光纖等傳輸介質，把設備的信息輻射抑制到最低限度，這是防止計算機輻射泄密的根本措施；3）加強對網絡記錄媒體的保護和管理。如對關鍵的記錄媒體要有防拷貝和信息加密措施，對廢棄的光盤、硬盤和存儲介質要有專人銷毀等，廢棄紙質就地銷毀等；4）定期對實體進行安全檢測和監控監測。特別是對文件服務器、光纜（或電纜）、收發器、終端及其它外設進行保密檢查，防止非法侵入。

3 信息安全技術

企業信息的安全必須有安全技術做保障。目前可以采用的安全技術主要有：

3.1 安全隔離技術

安全隔離與信息交換系統（網閘）由內、外網處理單元和安全數據交換單元組成。安全數據交換單元在內外網主機間按照指定的周期進行安全數據的擺渡。從而在保證內外網隔離的情況下，實現可靠、高效的安全數據交換，而所有這些復雜的操作均由隔離系統自動完成，用戶只需依據自身業務特點定制合適的安全策略既可實現內外網絡進行安全數據通信，在保障用戶信息系統安全性的同時，最大限度保證客戶應用的方便性。

3.2 防火墻技術

防火墻通過過濾不安全的服務，可以極大地提高網絡安全和減少子網中主機的風險；它可以提供對系統的訪問控制，如允許從外部訪問某些主機，同時禁止訪問另外的主機；阻止攻擊者獲取攻擊網絡系統的有用信息，如Finger和DNS；防火墻可以記錄和統計通過它的網絡通訊，提供關于網絡使用的統計數據，根據統計數據來判斷可能的攻擊和探測；防火墻提供制定和執行網絡安全策略的手段，它可對企業內部網實現集中的安全管理，它定義的安全規則可運用于整個內部網絡系統，而無須在內部網每臺機器上分別設立安全策略。

3.3 入侵檢測技術

入侵檢測技術作為一種主動防護技術，可以在攻擊發生時記錄攻擊者的行為，發出報警，必要時還可以追蹤攻擊者。它既可以獨立運行，也可以與防火墻等安全技術協同工作，更好地保護網絡，提高信息安全基礎結構的完整性，被認為是防火墻之后的第二道安全閘門，它在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護，最大幅度地保障系統安全。它在網絡安全技術中起到了不可替代的作用，是安全防御體系的一個重要組成部分。

3.4 終端準入防御技術

終端準入防御（EAD，Endpoint Admission Defense）解決方案從控制用戶終端安全接入網絡的角度入手，整合網絡接入控制與終端安全產品，通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動，對接入網絡的用戶終端強制實施企業安全策略，嚴格控制終端用戶的網絡使用行為，有效地加強了用戶終端的主動防御能力，為企業網絡管理人員提供了有效、易用的管理工具和手段。

3.5 災難恢復策略

災難恢復作為一個重要的企業信息安全管理體系中的一個重要補救措施，在整個企業信息安全管理體系中有著舉足輕重的作用。業界廣泛的經驗和教訓說明，災難恢復的成功在于企業中經過良好訓練和預演的人在自己的角色上實施預先計劃的策略，即災難恢復計劃。只有制定快速有效地進行數據恢復的策略，才能應對每一種可能出現的數據損壞事故。

3.6 其他信息安全技術

當然，信息安全技術還有很多，如防御病毒技術、數字簽名技術、加密和解密技術、VLAN技術、訪問控制技術等，這些都可以在一定程序上增加網絡的安全性。

4 安全管理

網絡安全管理是企業管理中一個難點，很多信息化企業并不十分看重網絡安全，直到重要數據丟失產生重大損失才追悔莫及，因此首先在思想上充分重視信息安全，不能抱有一絲僥幸心理。對于安全管理采取的措施主要有：確定每個管理者對用戶授予的權限、制訂機房管理制度、建立系統維護制度、實行多人負責制度、實行有限任期制度、建立人員雇用和解聘制度、實行職責分離制度、建立事件及風險管理中心等。

這些要通過對公司全體員工進行教育培訓，強化規范操作，重要數據作好及時備份 ，從系統的角度促進全體團隊認真執行 ，以達到網絡的保障。

5 人員安全意識

企業信息安全隊伍建設要以領導干部和人員為重點，積極開展面向企業各層面的保密教育，不斷提高全體員工的信息安全素質。采取的措施主要有：開展領導干部信息安全教育、開展人員保密教育、開展全員保密宣傳教育、推進員工分層次信息安全培訓等。

6 小結

針對目前企業信息安全面臨的諸多問題，提出基于硬件安全、信息安全技術、安全管理和人員培訓的企業信息安全整體防護策略。企業信息安全防護是一個系統工程，必須全方位、科學地合理安排和落實，才能有效地保護企業的信息安全。

參考文獻：

[1] 曹國飛.企業網信息化建設保密技術研究[J].科技傳播,2010(9):229.

[2] 王梅,劉永濤.企業信息安全（保密）培訓的幾點思考[J].中國市場,2010,35(9):117-118.

[3] 趙曉.企業信息安全防護體系建設[J].科技創新導報,2010,34:255.

第5篇

關鍵詞：網絡 安全策略 數據 訪問

0 引言

隨著我國經濟與科技的不斷發展，企業數字化管理作為為網絡時代的產物，已經成為企業管理發展的方向。隨著各企業內部網絡規模的急劇膨脹，網絡用戶的快速增長，企業內部網安全問題已經成為當前各企業網絡建設中不可忽視的首要問題。

1 目前企業內部網絡的安全現狀

1.1 操作系統的安全問題 目前，被廣泛使用的網絡操作系統主要是UNIX、WINDOWS 和Linux等，這些操作系統都存在各種各樣的安全問題，許多新型計算機病毒都是利用操作系統的漏洞進行傳染。如不對操作系統進行及時更新，彌補各種漏洞，計算機即使安裝了防毒軟件也會反復感染。

1.2 病毒的破壞 計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統的癱瘓，是影響企業內部網絡安全的主要因素。

1.3 黑客 在《中華人民共和國公共安全行業標準》中，黑客的定義是：“對計算機系統進行非授權訪問的人員”，這也是目前大多數人對黑客的理解。大多數黑客不會自己分析操作系統或應用軟件的源代碼、找出漏洞、編寫工具，他們只是能夠靈活運用手中掌握的十分豐富的現成工具。黑客入侵的常用手法有：端口監聽、端口掃描、口令入侵、JAVA等。

1.4 口令入侵 為管理方便，一般來說，企業為每個上網的領導和工人分配一個賬號，并根據其應用范圍，分配相應的權限。某些人員為了訪問不屬于自己應該訪問的內容，用不正常的手段竊取別人的口令，造成了企業管理的混亂及企業重要文件的外流。

1.5 非正常途徑訪問或內部破壞 在企業中，有人為了報復而銷毀或篡改人事檔案記錄；有人改變程序設置，引起系統混亂；有人越權處理公務，為了個人私利竊取機密數據。這些安全隱患都嚴重地破壞了學校的管理秩序。

1.6 設備受損 設備破壞主要是指對網絡硬件設備的破壞。企業內部網絡涉及的設備分布在整個企業內，管理起來非常困難，任何安置在不能上鎖的地方的設施，都有可能被人有意或無意地損壞，這樣會造成企業內部網絡全部或部分癱瘓的嚴重后果。

1.7 敏感服務器使用的受限 由于財務等敏感服務器上存有大量重要數據庫和文件，因擔心安全性問題，不得不與企業內部網絡物理隔離，使得應用軟件不能發揮真正的作用。

1.8 技術之外的問題 企業內部網是一個比較特殊的網絡環境。隨著企業內部網絡規模的擴大，目前，大多數企業基本實現了科室辦公上網。由于上網地點的擴大，使得網絡監管更是難上加難。由于企業中部分員工對網絡知識很感興趣，而且具有相當高的專業知識水平，有的員工上學時所學的專業甚至就是網絡安全，攻擊企業內部網就成了他們表現才華，甚至是泄私憤的首選。其次，許多領導和員工的計算機網絡安全意識薄弱、安全知識缺乏。企業的規章制度還不夠完善，還不能夠有效的規范和約束領導和員工的上網行為。

2 企業內部網絡安全策略

安全策略是指一個特定環境中，為保證提供一定級別的安全保護所必須遵守的規則。安全策略包括嚴格的管理、先進的技術和相關的法律。安全策略決定采用何種方式和手段來保證網絡系統的安全。即首先要清楚自己需要什么，制定恰當的滿足需求的策略方案，然后才考慮技術上如何實施。

2.1 物理安全策略 保證計算機網絡系統各種設備的物理安全是整個網絡安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。其目的是保護計算機系統、web 服務器、打印機等硬件實體和通信鏈路層網絡設備免受自然災害、人為破壞和搭線攻擊等。它主要包括兩個方面:①環境安全。對系統所在環境的安全保護， 確保計算機系統有一個良好的電磁兼容工作環境。②設備安全。包括設備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護等。

2.2 訪問控制策略 訪問控制的主要任務是保證網絡資源不被非法使用和訪問， 它是保證網絡安全最重要的核心策略之一。主要有以下七種方式：①入網訪問控制。入網訪問控制為網絡訪問提供了第一層訪問控制， 它控制哪些用戶能夠登錄到服務器并獲取網絡資源；控制準許用戶入網的時間和準許他們在哪臺工作站入網。②網絡的權限控制。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。③目錄級安全控制。網絡應允許控制用戶對目錄、文件、設備的訪問。④屬性安全控制。當用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。⑤網絡服務器安全控制。網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。⑥網絡監測和鎖定控制。網絡管理員應對網絡實施監控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網絡管理員的注意。⑦網絡端口和節點的安全控制。端口是虛擬的“門戶”，信息通過它進入和駐留于計算機中，網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護，并以加密的形式來識別節點的身份。自動回呼設備用于防止假冒合法用戶，靜默調制解調器用以防范黑客的自動撥號程序對計算機進行攻擊。

2.3 防火墻控制策略 防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施，它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障。它是位于兩個網絡之間執行控制策略的系統(可能是軟件或硬件或者是兩者并用)，用來限制外部非法(未經許可)用戶訪問內部網絡資源，通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，以阻擋外部網絡的侵入，防止偷竊或起破壞作用的惡意攻擊。

2.4 信息加密策略 信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。信息加密過程是由各種加密算法來具體實施。多數情況下，信息加密是保證信息機密性的唯一方法。

2.5 備份和鏡像技術 用備份和鏡像技術提高完整性。備份技術指對需要保護的數據在另一個地方制作一個備份，一旦失去原件還能使用數據備份。鏡像技術是指兩個設備執行完全相同的工作，若其中一個出現故障，另一個仍可以繼續工作。

2.6 網絡安全管理規范 網絡安全技術的解決方案必須依賴安全管理規范的支持，在網絡安全中，除采用技術措施之外，加強網絡的安全管理，制定有關的規章制度，對于確保網絡安全、可靠地運行將起到十分有效的作用。網絡的安全管理策略包括:確定安全管理等級和安全管理范圍；制訂有關網絡操作使用規程和人員出入辦公室管理制度； 制定網絡系統的維護制度和應急措施等

2.7 網絡入侵檢測技術 試圖破壞信息系統的完整性、機密性、可信性的任何網絡活動，都稱為網絡入侵。入侵檢測（IntrusionDeteetion）的定義為：識別針對計算機或網絡資源的惡意企圖和行為，并對此做出反應的過程。它不僅檢測來自外部的入侵行為，同時也檢測來自內部用戶的未授權活動。入侵檢測應用了以攻為守的策略，它所提供的數據不僅有可能用來發現合法用戶濫用特權，還有可能在一定程度上提供追究入侵者法律責任的有效證據。

第6篇

（河北省承德市雙灤區人力資源和社會保障局，承德 067101）

（Shuangluan District Human Resources and Social Security Bureau of Chengde，Hebei Province，Chengde 067101，China）

摘要： 隨著計算技術的發展，網絡技術的普遍應用，保護商業機密、個人隱私、敏感數據等越顯重要。尤其是中小企事業單位由于資金有限，資源不多，各種信息數據時時受到內部的以及外部的威脅。數據信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。本文將對中小企事業單位的數據信息安全問題進行分析，提出相應的安全策略和技術防范措施。

Abstract： With the development of computing technology and widespread application of network technology， the protection of commercial secrets， personal privacy and sensitive data and so on becomes more important. Especially for small and medium-sized enterprises， due to the limited funding and resources， the information data is constantly threatened by internal and external factors. The essence of the data information security is to protect information systems or information in the network information resources from various types of threats， interference and damage， namely guarantee information security. This article analyzes the data information security problems of small and medium-sized enterprises and institutions， and puts forward the corresponding security strategy and technical measures.

關鍵詞 ： 數據信息；安全策略；企事業單位

Key words： data information；security policy；enterprises and institutions

中圖分類號：TP311.5文獻標識碼：A文章編號：1006-4311（2015）25-0055-02

作者簡介：李曉賓（1979-），男，河北承德人，科員，助理工程師，研究方向為電子信息。

0 引言

Internet為人類社會創造了一個全新的信息空間，隨著計算機網絡技術的日益成熟，計算機網絡在社會上的應用也急劇增多，中小企事業單位越來越多的采用計算機網絡技術來進行辦公。但是在此過程中，由于中小企事業單位對網絡安全問題不夠重視以及工作人員的操作不規范等問題，使中小企事業單位的網絡安全受到極大的威脅。隨著數字化經濟的到來，網絡系統的不斷擴大，信息的快速獲取，數據的安全性、可用性變得越來越重要。

1 計算機網絡數據安全問題概述

隨著網絡技術的迅猛發展，各行各業逐步跨入信息時代大平臺，這一方面為信息儲存、行業推廣提供了極大便利，而另一方面也催化了網絡信息安全隱患的不斷滋長，頻頻爆出網絡用戶信息泄漏事件。目前網絡已成為中小企事業單位重要的工作手段之一，網絡信息泄密使企業面臨嚴重的安全威脅，并且已經有企業為此承擔了巨大的經濟損失。加強網絡信息安全管理已刻不容緩。

2 企事業單位計算機數據安全面臨的威脅

①中小企事業單位由于網絡管理上的缺失，沒有形成統一的網絡安全管理制度或者責任分工不明確，不能及時發現計算機網絡系統中出現的安全漏洞，造成數據損毀丟失或被黑客篡改。

②U盤、移動硬盤等外來數據與中小企事業單位內部的計算機端口進行非法的連接，造成網絡系統感染病毒或者直接癱瘓，對中小企事業單位的內部信息安全夠成威脅。

③中小企事業單位對計算機網絡終端缺乏有效的監控，當計算機系統出現安全威脅時，無法通過監控系統及時鎖定故障點，也無法統一管理計算機網絡所配置的應用軟件。

④由于單位員工的計算機網絡技術水平存在較大差異，大部分員工不能熟練掌握計算機網絡的應用技術，經常出現由于工作人員的操作不當，造成數據的刪除或者損壞。因沒有設置或及時更改計算機網絡的使用權限，增加了網絡入侵的危險。

3 計算機網絡數據信息安全策略與技術防范措施

基于上述安全隱患，而計算機網絡在中小企事業單位中的應用又勢在必行的現實趨勢，中小企事業單位應該針對計算機網絡信息制定配套的安全管理策略，切實加強信息安全管理，并且針對安全威脅采取相應的技術防范措施，見表1。

RAID 0追求速度，至少需要2塊硬盤，總容量相當于多塊硬盤加起來，不過這種方案安全性欠缺，一塊硬盤出現問題，數據全毀。RAID 1追求安全，磁盤2是磁盤1的備份，缺點是容量損失，速度與單塊硬盤相同。RAID 0+1或RAID 1+0兼顧速度與安全，應用較多。RAID 5相對來說速度較快，安全性較高，應用也比較普遍。

4 典型案例分析

2010年，張建在杭州某電商企業中負責品牌運營和推廣工作。在工作中結識了前支付寶員工李明，雙方產生了“生意”上的來往。在一次合作中，李明用3萬條目標消費者信息來抵付欠張建的500元人民幣酬勞。這3萬條目標消費者信息中包括公民個人的實名、手機、電子郵箱、家庭住址、消費記錄等，張建通過這些定位精準的用戶信息進一步篩選出精準的目標消費群體。李明時任支付寶技術員工，其利用工作之便，多次從支付寶后臺下載用戶信息。據其對警方的供述，其下載的信息的大小容量在20G以上。李明下載用戶信息后，伙同兩位系統外的IT業者，共同將用戶數據加以分析、提煉，并兜售給目標客戶。

此案暴露了支付寶公司信息安全管理上的漏洞，如果內部監管得力，及時發現問題，就可制止犯罪行為。如果權限設置得當，他沒有相應的權限，就接觸不到或者不會輕易得到如此多的隱私數據，就不會發生這類事件了。

5 數據信息安全的目標及要達到的效果

信息安全通常強調CIA三元組的目標，即保密性、完整性和可用性。CIA 的概念闡述源自信息技術安全評估標準（ITSEC，即 Information Technology Security Evaluation Criteria），它也是信息安全的基本要素和安全建設所應遵循的基本原則。

中小企事業單位的目標是在有限的投入中，獲得盡可能最大的安全性。防火墻是必須的，既要防病毒又要防黑客；物理隔離網絡是必要的，只有這樣才能保護專網的數據信息安全；建立完整的備份策略是必然的，防患于未然；內部的監管也是非常重要的，消滅一切威脅到數據信息安全的行為。

6 結論

隨著計算機網絡技術的發展，中小企事業單位對于計算機網絡的應用將越來越廣泛，建立健全各種安全制度，增強網絡數據信息的安全性刻不容緩。在產業融合的態勢下，應該盡量保證數據信息的準確性，完整性，保密性，避免由于網絡數據信息丟失、損毀、泄密等給中小企事業單位帶來的損失。同時，政府也應該遵循互聯網發展的規律，秉承開放、包容、創新、分享的理念，加快建立完善和互聯網工作發展相適應的監管制度，修訂完善法律法規，不斷優化監管思路，創新監管手段，規范市場秩序，著力打造黨政部門、互聯網企業、科研機構、行業組織，以至普通的網民廣泛參與合作等多元監管格局，為互聯網潛能的充分釋放營造公平、公正、合法、合規的外部環境。

參考文獻：

[1]潘柱廷.高端信息安全與大數據[J].信息安全與通信保密，2012（12）.

[2]維克托·邁爾·舍恩伯格，周濤.大數據時代：生活、工作與思維的大變革[J].人力資源管理，2013（03）.

[3]劉慶宇.淺析計算機網絡的安全策略與技術防范對策[J].數字技術與應用，2013（10）：207.

[4]關啟明.計算機網絡安全與保密[J].河北理工學院學報，2003（2）：84-89.

第7篇

[論文關鍵詞】電力信息安全策略

[論文摘要]通過對電力系統計算機網絡存在的網絡安全問廈的分析，提出相應的安全對策，并介紹應用于電力系統計算機網絡的網絡安全技術。

在全球信息化的推動下，計算機信息網絡作用不斷擴大的同時，信息網絡的安全也變得日益重要，一旦遭受破壞，其影響或損失也十分巨大，電力系統信息安全是電力系統安全運行和對社會可靠供電的保障，是一項涉及電網調度自動化、繼電保護及安全裝置、廠站自動化、配電網自動化、電力負荷控制、電力營銷、信息網絡系統等有關生產、經營和管理方面的多領域、復雜的大型系統工程。應結合電力工業特點，深入分析電力系統信息安全存在的問題，探討建立電力系統信息安全體系，保證電網安全穩定運行，提高電力企業社會效益和經濟效益，更好地為國民經濟高速發展和滿足人民生活需要服務。

研究電力系統信息安全問題、制定電力系統信息遭受內部外部攻擊時的防范與系統恢復措施等信息安全戰略是當前信息化工作的重要內容。

一、電力系統的信息安全體系

信息安全指的是為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實性、可靠性、責任性等幾個方面。

信息安全涉及的因素有，物理安全、信息安全、網絡安全、文化安全。

作為全方位的、整體的信息安全體系是分層次的，不同層次反映了不同的安全問題。

信息安全應該實行分層保護措施，有以下五個方面，

①物理層面安全，環境安全、設備安全、介質安全，②網絡層面安全，網絡運行安全，網絡傳輸安全，網絡邊界安全，③系統層面安全，操作系統安全，數據庫管理系統安全，④應用層面安全，辦公系統安全，業務系統安全，服務系統安全，⑤管理層面安全，安全管理制度，部門與人員的組織規則。

二、電力系統的信息安全策略

電力系統的信息安全具有訪問方式多樣，用戶群龐大、網絡行為突發性較高等特點。信息安全問題需從網絡規劃設計階段就仔細考慮，并在實際運行中嚴格管理。為了保障信息安全，采取的策略如下：

(一)設備安全策略

這是在企業網規劃設計階段就應充分考慮安全問題。將一些重要的設備，如各種服務器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空，并有明顯標記，防止意外損壞。對于終端設備，如工作站、小型交挾機、集線器和其它轉接設備要落實到人，進行嚴格管理。

(一)安全技術策略

為了達到保障信息安全的目的，要采取各種安全技術，其不可缺少的技術層措施如下：

1．防火墻技術。防火墻是用于將信任網絡與非信任網絡隔離的一種技術，它通過單一集中的安全檢查點，強制實糟相應的安全策略進行檢查，防止對重要信息資源進行非法存取和訪問。電力系統的生產、計量、營銷、調度管理等系統之間，信息的共享、整合與調用，都需要在不同網段之間對這些訪問行為進行過濾和控制，阻斷攻擊破壞行為，分權限合理享用信息資源。

2．病毒防護技術。為免受病毒造成的損失，要采用的多層防病毒體系。即在每臺Pc機上安裝防病毒軟件客戶端，在服務器上安裝基于服務器的防病毒軟件，在網關上安裝基于網關的防病毒軟件。必須在信息系統的各個環節采用全網全面的防病毒策略，在計算機病毒預防、檢測和病毒庫的升級分發等環節統一管理，建立較完善的管理制度，才能有效的防止和控制病毒的侵害。

3．虛擬局域網技術(VLAN技術)。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域，每一個VLAN都包含1組有著相同需求的計算機工作站，與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分，所以同一個LAN內的各工作站無須放置在同一物理空間里，既這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，有助于控制流量、控制廣播風暴、減少設備投資、簡化網絡管理、提高網絡的安全性。

4．數據與系統備份技術。電力企業的數據庫必須定期進行備份，按其重要程度確定數據備份等級。配置數據備份策略，建立企業數據備份中心，采用先進災難恢復技術，對關鍵業務的數據與應用系統進行備份，制定詳盡的應用數據備份和數據庫故障恢復預案，并進行定期預演。確保在數據損壞或系統崩潰的情況下能快速恢復數據與系統，從而保證信息系統的可用性和可靠性。

5．安全審計技術。隨著系統規模的擴展與安全設施的完善，應該引入集中智能的安全審計系統，通過技術手段，實現自動對網絡設備日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行統一安全審計，及時自動分析系統安全事件，實現系統安全運行管理。

6．建立信息安全身份認證體系。CA是CertificateAuthority的縮寫，即證書授權。在電子商務系統中，所有實體的證書都是由證書授權中心(CA中心)分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場交易系統就其實質來說，是一個典型的電子商務系統，它必須保證交易數據安全。在電力市場技術支持系統中，作為市場成員交易各方的身份確認、物流控制、財務結算、實時數據交換系統中，均需要權威、安全的身份認證系統。在電力系統中，電子商務逐步擴展到電力營銷系統、電力物質采購系統、電力燃料供應系統等許多方面。因此，建立全國和網、省公司的cA機構，對企業員工上網用戶統一身份認證和數字簽名等安全認證，對系統中關鍵業務進行安全審計，并開展與銀行之間、上下級CA機構之間、其他需要CA機構之間的交叉認證的技術研究及試點工作。

(三)組織管理策略

信息安全是技術措施和組織管理措施的統一，“三分技術、七分管理”。據統計，在所有的計算機安全事件中，屬于管理方面的原因比重高達70%以上。沒有管理，就沒有安全。再好的第三方安全技術和產品，如果沒有科學的組織管理配合，都會形同虛設。

1．安全意識與安全技能。通過普及安全知識的培訓，可以提高電力企業職員安全知識和安全意識，使他們具備一些基本的安全防護意識和發現解決某些常見安全問題的能力。通過專業安全培訓提高操作維護者的安全操作技能，然后再配合第三方安全技術和產品，將使信息安全保障工作得到提升。

2．安全策略與制度。電力企業應該從企業發展角度對整體的信息安全工作提供方針性指導，制定一套指導性的、統一的安全策略和制度。沒有標準，無法衡量信息的安全，沒有法規，無從遵循信息安全的制度，沒有策略，無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化，是法規與管理的接口和信息安全得以實現的重要保證。

3．安全組織與崗位。電力企業的組織體系應實行“統一組織、分散管理”的方式，建立一個有效、獨立的信息安全部門作為企業的信息安全管理機構，全面負責企業范圍內的信息安全管理和維護工作。安全崗位是信息系統安全管理機構，根據系統安全需要設定的負責某一個或某幾個安全事務的職位，崗位在系統內部可以是具有垂直領導關系的若干層次的一個序列。這樣在全企業范圍內形成信息安全管理的專一工作，使各級信息技術部門也因此會很好配合信息安全推行工作。

第8篇

【關鍵詞】：計算機；網絡系統；安全集成；

【 abstract 】 : along with the rapid development of the network, the network security problem increasingly, in recent years, the spy network virus, hackers, often by exposure, relevant national authorities have also repeatedly requirements, a better job in network security construction and management. This paper mainly discusses the computer network security construction implementation of related basic facilities and the measures taken.

【 key words 】 : computer; Network system; Security integration

中圖分類號：TN711文獻標識碼：A 文章編號：

引言

國務院1994年頒布的《中華人民共和國計算機信息系統安全保護條例》指出：計算機信息系統的安全保護．應當保障計算機及其相關的和配套的設備的安全，運行環境的安全，保障信息的安全．保障計算機功能的正常發揮，以維護計算機信息系統的安全運行。也就是說。我們應在計算機硬件、軟件及運行環境等網絡的各個環節上，考慮來自網絡系統內部和外部兩方面的因素．從管理和技術上著手，制訂比較完善的網絡系統安全保護策略。

一、企業的網絡安全現狀

據統計，我國現有企業的網絡安全現狀是不容樂觀的，其主要表現在以下幾個方面: 信息和網絡的安全防護能力差; 網絡安全人才缺乏; 企業員工對網絡的安全保密意識淡薄，企業領導對網絡安全方面不夠重視等。一部分企業認為添加了各種安全產品之后，該網絡就已經安全了，企業領導基本上就是只注重直接的經濟利益回報的投資項目，對網絡安全這個看不見實際回饋的資金投入大部分都采取不積極的態度，其中起主導作用的因素還有就是企業缺少專門的技術人員和專業指導，導致我國目前企業的網絡安全建設普遍處于不容樂觀的狀況。

二、網絡安全常見威脅

1、計算機病毒

計算機病毒指在計算機程序中插入的破壞計算機功能和數據、影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。具有寄生性、傳染性、隱蔽性等特點。常見的破壞性比較強的病毒經常表現為：藍屏、機卡、CPU、自動重啟使用率高、打不開殺毒軟件等，并且在短時間內傳播從而導致大量的計算機系統癱瘓，對企業或者個人造成重大的經濟損失。

2、非授權訪問

指利用編寫和調試計算機程序侵入到他方內部網或專用網，獲得非法或未授權的網絡或文件訪問的行為。如有意避開系統訪問控制機制，對網絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。

3、木馬程序和后門

木馬程序和后門是一種可以通過遠程控制別人計算機的程序，具有隱蔽性和非授權性的特點。企業的某臺計算機被安裝了木馬程序或后門后，該程序可能會竊取用戶信息，包括用戶輸入的各種密碼，并將這些信息發送出去，或者使得黑客可以通過網絡遠程操控這臺計算機，竊取計算機中的用戶信息和文件，更為嚴重的是通過該臺計算機操控整個企業的網絡系統，使整個網絡系統都暴露在黑客間諜的眼前。

三、網絡的安全策略

1、更改系統管理員的賬戶名

應將系統管理員的賬戶名由原先的Administrator改為一個無意義的字符串．這樣要疊錄的非法用戶不但要猜準口令。還必須猜出用戶名．這種更名功能在域用戶管理器的User Properties對話框中并沒有設置．用它的User-*-Rename菜單選項就可以實現這一功能．如果用的是NT4.0.可以用Resource Kit中提供的工具封鎖聯機系統管理員賬號．這種封鎖僅僅對由網絡過來的非法疊錄起作用．

2、關閉不必要的向內TCP／IP端口

非法用戶進入系統并得到管理員權限之后．首先要做的，必定設法恢復管理員刻意廢止的TCP／IP上的NetBIOS裝訂．管理員應該使用路由器作為另一道防線。即提供web和FTP之類公共服務的NT服務器．這種情況下，只須保留兩條路由器到服務器的向內路徑：端日80的H1vrP和端日2l的FTP．

3、防火墻配置

防火墻是在2個網絡間實現訪問控制的1個或1組軟件或硬件系統，它是外部網絡與內部網絡之間的第1道安全屏障。本建設方案主要采用硬件防火墻，其主要功能就是屏蔽和允許指定的數據通訊，而這個功能的實現又主要是依靠一套訪問控制策略，由訪問控制策略來決定通訊的合法性，該控制策略的具體內容由企業的安全管理員和系統管理員共同來制定。

制定的防火墻安全策略主要有: 所有從內到外和從外到內的數據包都必須經過防火墻; 只有被安全策略允許的數據包才能通過防火墻; 服務器本身不能直接訪問互聯網; 防火墻本身要有預防入侵的功能; 默認禁止所有服務，除非是必須的服務才允許。而其他一些應用系統需要開放特殊的端口由系統管理員來執行。

4、VLAN 的劃分

VLAN 是為解決以太網的廣播問題和安全性而提出的一種協議。它在以太網的基礎上增加了VLAN 頭，用VLAN ID 把用戶劃分為更小的工作組，限制不同VLAN 之間的用戶不能直接互訪，每個VLAN 就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態管理網絡。VLAN 之間的訪問需要通過應用系統的授權來進行數據交互。為保護敏感資源和控制廣播風暴，在3 層路由交換機的集中式網絡環境下，將網絡中的所有客戶主機和服務器系統分別集中到不同的VLAN 里，在每個VLAN 里不允許任何用戶設置IP、用戶主機和服務器之間相互PING，不允許用戶主機對服務器的數據進行編輯，只允許數據訪問，從而較好地保護敏感的主機資源和服務器系統的數據。采用3 層交換機，通過VLAN 劃分，來實現同一部門在同一個VLAN 中，這樣既方便同部門的數據交換，又限制了不同部門之間用戶的直接訪問。

5、身份認證

身份認證是提高網絡安全的主要措施之一。其主要目的是證實被認證對象是否屬實，常被用于通信雙方相互確認身份，以保證通信的安全。常用的網絡身份認證技術有: 靜態密碼、USB Key 和動態口令、智能卡牌等。其中，最常見的使用是用戶名加靜態密碼的方式。而在本方案中主要采用USB Key的方式?；赨SB Key 的身份認證方式采用軟硬件相結合，很好地解決了安全性與易用性之間的矛盾，利用USB Key 內置的密碼算法實現對用戶身份的認證。USB Key 身份認證系統主要有2 種應用模式: 一是基于沖擊、響應的認證模式; 二是基于PKI 體系的認證模式。

6、制訂網絡系統的應急計劃

為了將由意外事故引起的網絡系統損害降低到最小程度，企業應制訂應急計劃．以防意外事故使網絡系統遭受破壞．該應急計劃應包括緊急行動方案及軟、硬件系統恢復方案等．絕對的安全是沒有的，安全標準的追求是以資金和方便為代價的．我們應隨時根據網絡系統的運行環境而采用相應的安全保護策略．通過對計算機網絡系統安全問題的充分認識．以及行政、技術和物質手段的保證。網絡系統就能夠有足夠的安全性來對付各種不安全問題．

結語

如何確保計算機網絡信息的安全是每一個網絡系統的設計者和管理者都極為關心的熱點，當然，也是企業關心的重點。一個全方位的安全方案是非常難以實現的，只有在企業領導的支持下，在技術人員和管理人員的努力下，結合企業的實際情況，制定出相應的解決措施，才是符合本企業的安全方案。本文主要討論了計算機網絡的安全的幾種不同的威脅，給出了相應安全策略以及相應的安全產品，提出了計算機網絡系統實施建設的基本方案。

參考文獻

[1] 殷偉．計算機安全與病毒防治[M]．合肥：安徽科學技術出版社。2004．

[2] 陳豪然．計算機網絡安全與防范技術研究[J]，科技風，2009(22)：35—36．

第9篇

提起網絡信息安全，人們自然就會想到病毒破壞和黑客攻擊。其實不然，政府和企業因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失，據權威機構調查：三分之二以上的安全威脅來自泄密和內部人員犯罪，而非病毒和外來黑客引起。

目前，政府、企業等社會組織在網絡安全防護建設中，普遍采用傳統的內網邊界安全防護技術，即在組織網絡的邊緣設置網關型邊界防火墻、AAA認證、入侵檢測系統IDS等等網絡邊界安全防護技術，對網絡入侵進行監控和防護，抵御來自組織外部攻擊、防止組織網絡資源、信息資源遭受損失，保證組織業務流程的有效進行。

這種解決策略是針對外部入侵的防范，對于來自網絡內部的對企業網絡資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經常移動的終端設備在安全防護薄弱的外部網絡環境的安全保障，企業基于網絡邊界的安全防護技術就更是鞭長莫及了，由此危及到內部網絡的安全。一方面，企業中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網，而這些機器通常又置于企業內網中，這種情況的存在給企業網絡帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網絡VPN、無線局域網、操作系統以及網絡應用程序的各種漏洞就可以繞過企業的邊界防火墻侵入企業內部網絡，發起攻擊使內部網絡癱瘓、重要服務器宕機以及破壞和竊取企業內部的重要數據。

二、內網安全風險分析

現代企業的網絡環境是建立在當前飛速發展的開放網絡環境中，顧名思義，開放的環境既為信息時代的企業提供與外界進行交互的窗口，同時也為企業外部提供了進入企業最核心地帶——企業信息系統的便捷途徑，使企業網絡面臨種種威脅和風險：病毒、蠕蟲對系統的破壞；系統軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業的信息資源;企業終端用戶由于安全意識、安全知識、安全技能的匱乏，導致企業安全策略不能真正的得到很好的落實，開放的網絡給企業的信息安全帶來巨大的威脅。

1.病毒、蠕蟲入侵

目前，開放網絡面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點，即使再先進的防病毒軟件、入侵檢測技術也不能獨立有效地完成安全防護，特別是對新類型新變種的病毒、蠕蟲，防護技術總要相對落后于新病毒新蠕蟲的入侵。

病毒、蠕蟲很容易通過各種途徑侵入企業的內部網絡，除了利用企業網絡安全防護措施的漏洞外，最大的威脅卻是來自于內部網絡用戶的各種危險應用：不安裝殺毒軟件；安裝殺毒軟件但不及時升級；網絡用戶在安裝完自己的辦公桌面系統后，未采取任何有效防護措施就連接到危險的網絡環境中，特別是Internet；移動用戶計算機連接到各種情況不明網絡環境，在沒有采取任何防護措施的情況下又連入企業網絡；桌面用戶在終端使用各種數據介質、軟件介質等等都可能將病毒、蠕蟲在不知不覺中帶入到企業網絡中，給企業信息基礎設施，企業業務帶來無法估量的損失。

2.軟件漏洞隱患

企業網絡通常由數量龐大、種類繁多的軟件系統組成，有系統軟件、數據庫系統、應用軟件等等，尤其是存在于廣大終端用戶辦公桌面上的各種應用軟件不勝繁雜，每一個軟件系統都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用，都會給企業帶來危害，輕者危及個別設備，重者成為攻擊整個企業網絡媒介，危及整個企業網絡安全。

3.系統安全配置薄弱

企業網絡建設中應用的各種軟件系統都有各自默認的安全策略增強的安全配置設置，例如，賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應用對于各種軟件系統自身的安全防護的增強具有重要作用，但在實際的企業網絡環境中，這些安全配置卻被忽視，尤其是那些網絡的終端用戶，導致軟件系統的安全配置成為“軟肋”、有時可能嚴重為配置漏洞，完全暴露給整個外部。例如某些軟件系統攻擊中采用的“口令強制攻擊”就是利用了弱口令習慣性的使用安全隱患，黑客利用各種網絡應用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。

4.脆弱的網絡接入安全防護

傳統的網絡訪問控制都是在企業網絡邊界進行的，或在不同的企業內網不同子網邊界進行且在網絡訪問用戶的身份被確認后，用戶即可以對企業內網進行各種訪問操作。在這樣一個訪問控制策略中存在無限的企業網絡安全漏洞，例如，企業網絡的合法移動用戶在安全防護較差的外網環境中使用VPN連接、遠程撥號、無線AP，以太網接入等等網絡接入方式，在外網和企業內網之間建立一個安全通道。

另一個傳統網絡訪問控制問題來自企業網絡內部，尤其對于大型企業網絡擁有成千上萬的用戶終端，使用的網絡應用層出不窮，目前對于企業網管很難準確的控制企業網絡的應用，這樣的現實導致安全隱患的產生：員工使用未經企業允許的網絡應用，如郵件服務器收發郵件，這就可能使企業的保密數據外泄或感染郵件病毒；企業內部員工在終端上私自使用未經允許的網絡應用程序，在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件，從而感染內部網絡，進而造成內部網絡中敏感數據的泄密或損毀。 　5.企業網絡入侵

現階段黑客攻擊技術細分下來共有8類，分別為入侵系統類攻擊、緩沖區溢出攻擊、欺騙類攻擊、拒絕服務攻擊、對防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。

對于采取各種傳統安全防護措施的企業內網來說，都沒有萬無一失的把握;對于從企業內網走出到安全防護薄弱的外網環境的移動用戶來說，安全保障就會嚴重惡化，當移動用戶連接到企業內網，就會將各種網絡入侵帶入企業網絡。

6.終端用戶計算機安全完整性缺失

隨著網絡技術的普及和發展，越來越多的員工會在企業專網以外使用計算機辦公，同時這些移動員工需要連接回企業的內部網絡獲取工作必須的數據。由于這些移動用戶處于專網的保護之外，很有可能被黑客攻陷或感染網絡病毒。同時，企業現有的安全投資（如：防病毒軟件、各種補丁程序、安全配置等）若處于不正常運行狀態，終端員工沒有及時更新病毒特征庫，或私自卸載安全軟件等，將成為黑客攻擊內部網絡的跳板。

三、內網安全實施策略

1.多層次的病毒、蠕蟲防護

病毒、蠕蟲破壞網絡安全事件一直以來在網絡安全領域就沒有一個根本的解決辦法，其中的原因是多方面的，有人為的原因，如不安裝防殺病毒軟件，病毒庫未及時升級等等，也有技術上的原因，殺毒軟件、入侵防范系統等安全技術對新類型、新變異的病毒、蠕蟲的防護往往要落后一步。危害好像是無法避免的，但我們可以控制它的危害程度，只要我們針對不同的原因采取有針對性的切實有效的防護辦法，就會使病毒、蠕蟲對企業的危害減少到最低限度，甚至沒有危害。這樣，僅靠單一、簡單的防護技術是難以防護病毒、蠕蟲的威脅的。

2.終端用戶透明、自動化的補丁管理，安全配置

為了彌補和糾正運行在企業網絡終端設備的系統軟件、應用軟件的安全漏洞，使整個企業網絡安全不至由于個別軟件系統的漏洞而受到危害，完全必要在企業的安全管理策略中加強對補丁升級、系統安全配置的管理。

用戶可通過管理控制臺集中管理企業網絡終端設備的軟件系統的補丁升級、系統配置策略，定義終端補丁下載。將補丁升級策略、增強終端系統安全配置策略下發給運行于各終端設備上的安全，安全執行這些策略，以保證終端系統補丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明，減少了終端用戶的麻煩和企業網絡的安全風險，提高企業網絡整體的補丁升級、安全配置管理效率和效用，使企業網絡的補丁及安全配置管理策略得到有效的落實。

3.全面的網絡準入控制

為了解決傳統的外網用戶接入企業網絡給企業網絡帶來的安全隱患，以及企業網絡安全管理人員無法控制內部員工網絡行為給企業網絡帶來的安全問題，除了有效的解決企業員工從企業內網、外網以各種網絡接入方式接入企業網絡的訪問控制問題，同時對傳統的網絡邊界訪問控制沒有解決的網絡接入安全防護措施，而采用邊界準入控制、接入層準入控制等技術進行全面的實現準入控制。當外網用戶接入企業網絡時，檢查客戶端的安全策略狀態是否符合企業整體安全策略，對于符合的外網訪問則放行。一個全面的網絡準入檢測系統。

第10篇

[論文摘要]通過對電力系統計算機網絡存在的網絡安全問廈的分析，提出相應的安全對策，并介紹應用于電力系統計算機網絡的網絡安全技術。

[論文關鍵詞】電力信息安全策略

在全球信息化的推動下，計算機信息網絡作用不斷擴大的同時，信息網絡的安全也變得日益重要，一旦遭受破壞，其影響或損失也十分巨大，電力系統信息安全是電力系統安全運行和對社會可靠供電的保障，是一項涉及電網調度自動化、繼電保護及安全裝置、廠站自動化、配電網自動化、電力負荷控制、電力營銷、信息網絡系統等有關生產、經營和管理方面的多領域、復雜的大型系統工程。應結合電力工業特點，深入分析電力系統信息安全存在的問題，探討建立電力系統信息安全體系，保證電網安全穩定運行，提高電力企業社會效益和經濟效益，更好地為國民經濟高速發展和滿足人民生活需要服務。

研究電力系統信息安全問題、制定電力系統信息遭受內部外部攻擊時的防范與系統恢復措施等信息安全戰略是當前信息化工作的重要內容。

一、電力系統的信息安全體系

信息安全指的是為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實性、可靠性、責任性等幾個方面。

信息安全涉及的因素有，物理安全、信息安全、網絡安全、文化安全。

作為全方位的、整體的信息安全體系是分層次的，不同層次反映了不同的安全問題。

信息安全應該實行分層保護措施，有以下五個方面，

①物理層面安全，環境安全、設備安全、介質安全，②網絡層面安全，網絡運行安全，網絡傳輸安全，網絡邊界安全，③系統層面安全，操作系統安全，數據庫管理系統安全，④應用層面安全，辦公系統安全，業務系統安全，服務系統安全，⑤管理層面安全，安全管理制度，部門與人員的組織規則。

二、電力系統的信息安全策略

電力系統的信息安全具有訪問方式多樣，用戶群龐大、網絡行為突發性較高等特點。信息安全問題需從網絡規劃設計階段就仔細考慮，并在實際運行中嚴格管理。為了保障信息安全，采取的策略如下：

(一)設備安全策略

這是在企業網規劃設計階段就應充分考慮安全問題。將一些重要的設備，如各種服務器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空，并有明顯標記，防止意外損壞。對于終端設備，如工作站、小型交挾機、集線器和其它轉接設備要落實到人，進行嚴格管理。

(一)安全技術策略

為了達到保障信息安全的目的，要采取各種安全技術，其不可缺少的技術層措施如下：

1．防火墻技術。防火墻是用于將信任網絡與非信任網絡隔離的一種技術，它通過單一集中的安全檢查點，強制實糟相應的安全策略進行檢查，防止對重要信息資源進行非法存取和訪問。電力系統的生產、計量、營銷、調度管理等系統之間，信息的共享、整合與調用，都需要在不同網段之間對這些訪問行為進行過濾和控制，阻斷攻擊破壞行為，分權限合理享用信息資源。

2．病毒防護技術。為免受病毒造成的損失，要采用的多層防病毒體系。即在每臺Pc機上安裝防病毒軟件客戶端，在服務器上安裝基于服務器的防病毒軟件，在網關上安裝基于網關的防病毒軟件。必須在信息系統的各個環節采用全網全面的防病毒策略，在計算機病毒預防、檢測和病毒庫的升級分發等環節統一管理，建立較完善的管理制度，才能有效的防止和控制病毒的侵害。

3．虛擬局域網技術(VLAN技術)。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域，每一個VLAN都包含1組有著相同需求的計算機工作站，與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分，所以同一個LAN內的各工作站無須放置在同一物理空間里，既這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，有助于控制流量、控制廣播風暴、減少設備投資、簡化網絡管理、提高網絡的安全性。

4．數據與系統備份技術。電力企業的數據庫必須定期進行備份，按其重要程度確定數據備份等級。配置數據備份策略，建立企業數據備份中心，采用先進災難恢復技術，對關鍵業務的數據與應用系統進行備份，制定詳盡的應用數據備份和數據庫故障恢復預案，并進行定期預演。確保在數據損壞或系統崩潰的情況下能快速恢復數據與系統，從而保證信息系統的可用性和可靠性。

5．安全審計技術。隨著系統規模的擴展與安全設施的完善，應該引入集中智能的安全審計系統，通過技術手段，實現自動對網絡設備日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行統一安全審計，及時自動分析系統安全事件，實現系統安全運行管理。

6．建立信息安全身份認證體系。CA是CertificateAuthority的縮寫，即證書授權。在電子商務系統中，所有實體的證書都是由證書授權中心(CA中心)分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場交易系統就其實質來說，是一個典型的電子商務系統，它必須保證交易數據安全。在電力市場技術支持系統中，作為市場成員交易各方的身份確認、物流控制、財務結算、實時數據交換系統中，均需要權威、安全的身份認證系統。在電力系統中，電子商務逐步擴展到電力營銷系統、電力物質采購系統、電力燃料供應系統等許多方面。因此，建立全國和網、省公司的cA機構，對企業員工上網用戶統一身份認證和數字簽名等安全認證，對系統中關鍵業務進行安全審計，并開展與銀行之間、上下級CA機構之間、其他需要CA機構之間的交叉認證的技術研究及試點工作。

(三)組織管理策略

信息安全是技術措施和組織管理措施的統一，“三分技術、七分管理”。據統計，在所有的計算機安全事件中，屬于管理方面的原因比重高達70%以上。沒有管理，就沒有安全。再好的第三方安全技術和產品，如果沒有科學的組織管理配合，都會形同虛設。

1．安全意識與安全技能。通過普及安全知識的培訓，可以提高電力企業職員安全知識和安全意識，使他們具備一些基本的安全防護意識和發現解決某些常見安全問題的能力。通過專業安全培訓提高操作維護者的安全操作技能，然后再配合第三方安全技術和產品，將使信息安全保障工作得到提升。

2．安全策略與制度。電力企業應該從企業發展角度對整體的信息安全工作提供方針性指導，制定一套指導性的、統一的安全策略和制度。沒有標準，無法衡量信息的安全，沒有法規，無從遵循信息安全的制度，沒有策略，無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化，是法規與管理的接口和信息安全得以實現的重要保證。

3．安全組織與崗位。電力企業的組織體系應實行“統一組織、分散管理”的方式，建立一個有效、獨立的信息安全部門作為企業的信息安全管理機構，全面負責企業范圍內的信息安全管理和維護工作。安全崗位是信息系統安全管理機構，根據系統安全需要設定的負責某一個或某幾個安全事務的職位，崗位在系統內部可以是具有垂直領導關系的若干層次的一個序列。這樣在全企業范圍內形成信息安全管理的專一工作，使各級信息技術部門也因此會很好配合信息安全推行工作。

第11篇

關鍵詞：計算機網絡；ARP攻擊；安全

中圖分類號：TP393.08

目前，計算機網絡安全越來越重要，主要體現在信息技術的信息的共享性和信息的保密性兩個方面。正由于計算機網絡的資源共享與交流已成為當今社會發展必然的趨勢，因此同時意味著網絡存在很多潛在的安全風險。在運用計算機網絡的時候，經常會遭遇ARP攻擊的安全威脅。譬如被盜用IP地址，ARP攻擊不但會影響網絡的正常使用，而且還會給某些企業單位帶來巨大的經濟損失。所以，如何保護計算機網絡以免遭受ARP攻擊，已成為網絡安全管理必須研究的問題。

1 ARP攻擊基本原理與特征

1.1 ARP攻擊基本原理

ARP協議其實指的是地址解析協議，是指在計算機發送數據幀之前，把目標計算機所分配的IP地址解析成目標的MAC地址的一個轉換過程。數據在計算機網絡中的傳輸，其實是采用“幀”的方式來進行傳輸的，幀結構除了包括數據本身、數據相關的開始與結束的標志以及數據的控制信息，還包括目標MAC地址等等信息。計算機網絡傳輸的過程中，要想讓某臺計算機與其他計算機能直接進行通信，就得首先知道目標計算機的MAC地址，但目標計算機的MAC地址必須通過地址解析協議才能獲取。ARP協議最根本的功能就是能利用目標計算機的IP地址來查詢到目標的MAC地址，從而確保計算機網絡之間能正常進行通信。

正因為ARP協議有這個原理，因此ARP攻擊能把IP地址轉變為第二層的MAC地址，再通過偽造MAC地址以及IP地址來從事ARP欺騙，從而在網絡中會產生大量的ARP通信流量，對網絡造成堵塞。通過盜用IP地址來攻擊目標的MAC地址，讓網絡中產生多個MAC地址和IP地址，用此來攻擊網絡。如圖1：

圖1

（1）要發送網絡包給192.168.1.1，但不知MAC地址？

（2）在局域網發出廣播包“192.168.1.1的MAC地址是什么？”

（3）其他機器不回應，只有192.168.1.1回應“192.168.1.1的MAC地址是00-aa-00-62-c6-09”

從上面可以看出，ARP協議的基礎就是信任局域網內所有的人，那么就很容易實現在以太網上的ARP欺騙。更何況ARP協議是工作在更低于IP協議的協議層，因此它的危害就更加隱蔽。

1.2 ARP攻擊的特征

ARP攻擊具有如下幾個特點：第一，具有隱蔽性。通常要避免IP地址之間發生的沖突有很多方法，但對于ARP攻擊來說，計算機系統不會判斷ARP緩存正確與否，從而也不會出現類似IP地址之間的沖突那樣的提示信息。因此對計算機網絡的用戶ARP攻擊具有隱蔽性。第二，很難消除。網絡中發生ARP攻擊很難被消除，因此，增加網絡管理員維護和管理計算機網絡安全工作的難度。第三，對網絡造成堵塞。ARP攻擊是通過偽造MAC地址和IP地址進行的，從而讓計算機網絡產生大量的ARP通信流量，對網絡造成堵塞，直接影響計算機網絡之間的通訊能力。

2 ARP攻擊對網絡的危害

ARP攻擊對計算機網絡的危害較大，不但會導致計算機之間無法進行網絡連接，而且還會讓計算機里存儲的密碼和重要數據等被盜竊。具體來講有網絡接入速度不穩，時而快時而慢，從而無法保證網絡通訊質量的穩定性；還有會偶爾發生IP沖突，從而導致計算機無法進行通訊；還有ARP攻擊會造成計算機網絡的用戶賬號數據信息被盜竊，從而進行一些非法的網絡活動，會給網絡用戶帶來一定的經濟損失；最后使用ARP攻擊形式還會導致IP地址發生沖突的級別高出計算機的屏保，從而威脅計算機的安全。

3 防ARP攻擊具體的安全策略

3.1 防御ARP攻擊最基本的方法

防御ARP攻擊最基本的方法：（1）重啟計算機，致使ARP攻擊丟失攻擊環境；（2）禁止使用計算機網卡，讓目標MAC地址變得不可達，從而讓APP攻擊失去攻擊目標，防止攻擊的發生；（3）對網絡設備采取復位，讓設備恢復出廠設置。以上這些防御方法對于用戶的計算機水平和知識的要求很低，可以暫且有效地保護計算機網絡的安全。但是其保護效果不太長久，還會給用戶的工作帶來一些不便，僅適合被計算機水平不高的用戶所使用。

3.2 采取雙向地址綁定

防御ARP攻擊最常用的安全策略是雙向地址綁定，它利用雙向綁定MAC地址以及IP地址來防止攻擊。因為ARP攻擊采用的手段是偽造MAC地址與IP地址進行的，所以計算機網絡的安全不可只建立在MAC地址或是IP地址的基礎上，而是必須建立在雙重地址的基礎之上，實現雙向綁定。雙向地址綁定采用的具體方法是實現IP地址與MAC地址之間一對一映射，確保ARP表不可被更改，因而就能防御APP欺騙行為。

3.3 使用SOCKET開發防御系統

通過使用SOCKET編程來開發ARP攻擊的防御系統，能夠防止ARP攻擊。但是這個方法比較考驗網絡管理員的技術，需要管理員能深入地了解SOCKET編程技術以及ARP攻擊原理。此方法不僅要求SOCKET系統能預防ARP攻擊，而且要求它在遭遇ARP攻擊之時能具有報警功能，還要求顯示遭受攻擊的主機信息，以便網絡管理員能及時針對主機問題采取修復措施。

3.4 使用ARP防火墻

所謂ARP防火墻技術便是根據ARP攻擊所開發的，它的主要功能是能確保網關所獲取的MAC地址與計算機所獲取的MAC地址的合法性，也就是確保計算機網絡所有活動都能獲取合法的MAC地址，確保網關與計算機能不受假ARP數據包的干擾。

4 小結

計算機網絡安全已經成為計算機技術工程的一個重要課題，ARP攻擊是計算機網絡所面臨的一個重大的安全隱患。以上通過分析研究當前計算機網絡ARP攻擊的特征和原理，提出了基于計算機網絡安全的有效可行的防御ARP攻擊一些的安全策略，可供計算機的網絡管理員在維護計算機網絡安全時作參考。

參考文獻：

[1]馬蓉平.計算機網絡安全與ARP攻擊的解決方案[J].遼寧教育行政學院學報，2009（02）.

[2]李靜媛.ARP攻擊對網絡安全的危害及對策研究[J].中國新技術新產品，2009（17）.

[3]郝玲麗，許志飛.基于網絡結點的ARP攻擊的分析與防范[J].電腦知識與技術，2009（10）.

[4]田維珍，竇為偉，龐雄昌.ARP欺騙攻擊防控方法研究[J].計算機與信息技術，2010（Z2）.

[5]張黃勵.針對ARP攻擊的主動防范策略研究與實現[D].重慶大學，2010.

第12篇

1 傳統防火墻的不足

傳統防火墻是現代網絡安全防范的主要支柱，但在安全要求較高的大型網絡中存在一些不足，主要表現如下：

(1) 結構性限制。傳統防火墻的工作原理依賴于網絡的物理拓撲結構，如今，越來越多的跨地區企業利用Internet來架構自己的網絡，致使企業內部網絡已基本上成為一個邏輯概念，因此，用傳統的方式來區別內外網絡十分困難。

(2) 防外不防內。雖然有些傳統防火墻可以防止內部用戶的惡意破壞，但在大多數情況下，用戶使用和配置防火墻主要還是防止來自外部網絡的入侵。

(3) 效率問題。傳統防火墻把檢查機制集中在網絡邊界處的單一接點上，因此，防火墻容易形成網絡的瓶頸。

(4) 故障問題。傳統防火墻本身存在著單點故障問題。一旦處于安全節點上的防火墻出現故障或被入侵，整個內部網絡將完全暴露在外部攻擊者的前面。

2 分布式防火墻的概念

為了解決傳統防火墻面臨的問題，美國AT&T實驗室研究員Steven M.Bellovin于1999年在他的論文“分布式防火墻”中首次提出了分布式防火墻的定義，其系統由以下三部分組成：

(1) 網絡防火墻。網絡防火墻承擔著傳統防火墻相同的職能，負責內外網絡之間不同安全域的劃分；同時，用于對內部網絡中各子網之間的防護。

(2) 主機防火墻。為了擴大防火墻的應用范圍，在分布式防火墻系統中設置了主機防火墻。主機防火墻駐留在主機中，并根據響應的安全策略對網絡中的服務器及客戶端計算機進行安全保護。

(3) 中心管理服務器。中心管理服務器是整個分布式防火墻的管理核心，主要負責安全策略的制定、分發及日志收集和分析等操作。

3 分布式防火墻的工作模式

分布式防火墻的工作模式：由中心策略服務器統一制定安全策略，然后將這些制定好的策略分發到各個相關節點。而安全策略的執行則由相關主機節點獨立實施，再由各主機產生的安全日志集中保存在中心管理服務器上，其工作模式如圖所示。

分布式防火墻工作模式結構

從圖中可以看出，分布式防火墻不再完全依賴于網絡的拓撲結構來定義不同的安全域，可信賴的內部網絡發生了概念上的變化，它已經成為一個邏輯上的網絡，從而打破了傳統防火墻對網絡拓撲的依賴。但是，各主機節點在處理數據時，必須根據中心策略服務器所分發的安全策略來決定是否允許某一節點通過防火墻。

4 分布式防火墻的構建

分布式防火墻的構建主要有如下四個步驟：

(1) 策略的制定和分發。在分布式防火墻系統中，策略是針對主機制定的。在制定策略之后通過策略管理中心“推送”和主機“索取”兩種機制分發到主機。

(2) 日志的收集。在分布式防火墻中，日志可以通過管理中心“定期采集”、主機“定期傳送”、主機“定量傳送”由主機傳送到管理中心。

(3) 策略實施。策略在管理中心統一制定，通過分發機制傳送到終端的主機防火墻，主機防火墻根據策略的配置在受保護主機上進行策略的實施。主機防火墻策略實施的有效性是分布式防火墻系統運行的基礎。

(4) 認證。在分布式防火墻系統中通常采用基于主機的認證方式，即根據IP地址進行認證。為了避免IP地址欺騙，可以采用一些強認證方法，例如Kerberos、X.509、IP Sec等。

5 分布式防火墻的主要優勢

在新的安全體系結構下，分布式防火墻代表新一代防火墻技術的潮流，它可以在網絡的任何交界和節點處設置屏障，從而形成了一個多層次、多協議，內外皆防的全方位安全體系。主要優勢如下：

(1) 分布式防火墻增加了針對主機的入侵檢測和防護功能，加強了對來自內部攻擊的防范，可以實施全方位的安全策略。

(2) 分布式防火墻消除了結構性瓶頸問題，提高了系統性能。

(3) 分布式防火墻隨系統擴充提供了安全防護無限擴充的能力。

6 結論

總之，在企事業單位的計算機網絡安全防護中，分布式防火墻技術不僅克服了傳統邊界式防火墻的不足，而且把防火墻的安全防護系統延伸到網絡中的各臺主機。它在整個企事業網絡或服務器中，具有無限制的擴展能力。隨著網絡的增長，它們的處理負荷也會在網絡中進一步分布，從而持續地保持高性能，最終給網絡提供全面的安全防護。

參考文獻

[1],李臻,彭紀奎.基于入侵檢測的分布式防火墻的應用研究[J].微電子學與計算機,2011(6).