序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了一篇企業網絡安全論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

企業網絡安全論文:企業網絡安全論述

系統的默認共享是打開的，關鍵的是它將系統盤也共享了，通過網絡映像就可以直接訪問，在注冊表中可以將其關閉。接到某些部門的電話，在計算機上出現“網絡IP地址沖突”的信息，無法使用網絡。這些部門有個共同點，就是都有訪問Internet的權限。企業網絡是通過路由器連接到Internet的，路由器安裝調試之處，只是設置了可以訪問Internet的計算機IP地址及訪問時間段，所以沒有訪問權限的計算機為了達到某種目的，私自更改本機的IP地址，造成IP地址沖突。為了解決這個問題，更換了新的路由器，這種路由器具有MAC地址過濾，MAC地址綁定，網絡流量分配等功能。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發出這個IP廣播包的計算機的MAC是否與路由器上的MAC地址表相符，如果相符就放行，否則不允許通過路由器，同時給發出這個IP廣播包的計算機返回一個警告信息。同時也限定了工作站的訪問流量，防止使用BT，迅雷等下載工具長時間的大量占用網絡寬帶。2006年末的“熊貓燒香”病毒，造成上百萬臺電腦和千余家企業網絡被感染，特別是對企業網絡造成了很大的危害，也使人們對企業網絡安全有了進一步的認識。

第一，在企業網絡中，利用在對等網中對計算機中的某個目錄設置共享，進行資料的傳輸與共享是人們常采用的一個方法。但是在設置過程中，要充分認識到當一個目錄共享后，就不光是企業網絡內部的用戶可以訪問到，而是連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的一個隱患。有些人認為計算機只有自己使用，不需要設置密碼，這就造成非法用戶可以通過網絡共享隨意訪問計算機中的數據。為了防止資料的外泄，在設置共享時一定要設置訪問密碼。只有這樣，才能保證共享目錄資料的安全。有條件的話，應設立專門的文件服務器，進行統一管理。

第二，企業內部網速變得異常緩慢，許多計算機之間無法相互訪問，ERP系統軟件經常出現不能正常登錄的情況。排除掉硬件因素，將工作站的共享去掉后，網速恢復正常，經調查，發現是病毒在作怪，一旦聯網，病毒就開始四處散播，占用了相當大的網絡寬帶，造成了網速下降。在“熊貓燒香”病毒發作期間，曾經采取斷開網絡，進行逐臺計算機殺毒，但聯網后很快又被傳染，始終不能徹底清除。因此在網絡環境下，病毒傳播擴散快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有合適于局域網的全方位防病毒產品。企業網絡是內部局域網，就需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連，就需要網關的防病毒軟件，加強上網計算機的安全。所以采用網絡版殺毒軟件是唯一的方法，這樣不必每臺工作站都需上網升級，由殺毒服務器統一升級，也能做到統一管理，避免了無故退出，非法卸載等誤操作。

另外，操作人員的素質不同，也造成了許多安全的隱患。使用外來磁盤、光盤、U盤等存儲介質，應該養成先殺毒的習慣。上網時，不訪問非法的網站，下載不明的文件，接收到的郵件中，可能包含木馬病毒等非法程序，所以不認識的信件盡量不要打開，而那些業務上、朋友的信件也要認真檢查。制定相應的計算機管理制度也是加強企業網絡安全的一個重要手段，使企業人員從認識上積極對待，工作中嚴格實行。

作者：閆志康 李偉洋 高淑平 單位：濮陽同力水泥有限公司 濮陽市生產力促進中心

企業網絡安全論文:企業網絡安全風險分析及策略

一、網絡操作系統安全風險分析與對策

目前常用網絡操作系統有windows、UNIX、linux操作系統，這些操作系統開發在過程中要考慮到方便用戶使用，但在方便使用的前提下也暴露出一些問題：（1）操作系統默認配置存在安全隱患：如Windows操作系統默認設置可以從光盤或U盤啟動，這種設置可以避開登錄密碼直接進入操作系統，另外操作系統默認安裝了一些不常用的服務和端口，為非法用戶的入侵提供了便利。（2）操作系統支持在網絡上共享數據、加載或安裝程序，這些功能方便了非法用戶注入和運行木馬程序，為獲取用戶的信息提供了方便之門。（3）操作系統自身結構問題，如：windows操作系統自身提供的IPC$鏈接、遠程調用等都存在安全隱患。IPC$鏈接是通過DOS界面在獲得管理員權限的前提下獲得遠程計算機的信息；ftp服務傳輸過程為明碼傳輸，使用抓包工具即可獲取FTP服務器的登錄賬號和密碼，telnet遠程登錄需要經過很多的環節，中間的通訊環節可能會出現被人監控等安全問題，所以為了加固網路操作安全可以采用以下措施：1、加強物理安全管理禁止通過DOS或其它操作系統訪問NTFS分區。在BIOS中設置口令，禁止使用U盤或光驅引導系統。2、加強用戶名和口令的管理windows操縱系統Administrator管理員用戶和Unix/Linux操作系統root特權用戶均具有對操作系統的完全控制權限，所以是入侵者想要獲取的信息。用戶名保護：Windows非管理員賬戶在輸入密碼錯誤后可設置成鎖定該用戶，但是Administrator不能刪除和禁用，所以攻擊者可以反復嘗試登陸，試圖獲取密碼。為了增加攻擊者獲取管理員權限的難度，可以為Administrator重命名，這樣攻擊者不但要猜出密碼，還要先猜出管理員修改后的用戶名。Root用戶不能更名，為了保護該用戶，在沒有必要的情況下，不要用root用戶登錄本機及遠程登錄服務器。密碼保護：密碼設置應按照密碼復雜度要求設置并定期更換密碼，同時密碼的設置不要用普通的英文單詞或比較公開的信息如生日、車牌等。3、加強用戶訪問權限的管理有些管理員為了方便用戶訪問文件系統，為用戶開放了所有權限，如windows操作系統中為everyone工作組授予了“完全控制”權限，UNIX/Linux操作系統為所有用戶設置讀寫執行權限，這樣的設置方便非法用戶上傳木馬，所以為了文件系統的安全，必須重新設置文件系統的權限，在保證正常運行的前提下，為用戶設置最小的訪問權限。4、加強服務和端口的管理當用戶開啟操作系統后，操作系統自帶的某些服務會自動運行，而非法用戶會針對這些服務進行遠程攻擊，而一些不常使用的端口也容易被非法用戶利用，作為再次入侵的后門，所以應該將不常使用的服務和端口關閉。

二、數據安全風險分析及對策

企業網絡的數據安全不可避免的受到外界的威脅，而數據的任何失誤，都可能對企業帶來巨大的損失。目前數據泄漏的主要途徑是：辦公計算機或硬盤的外帶；利用移動存儲設備將數據帶出；通過網絡傳輸文件；通過外設拷貝數據；服務器被非法入侵等。為了防止企業數據泄露可以采用如下措施：1、磁盤加密針對硬盤丟失或被盜造成的泄密風險，可以通過對磁盤驅動層的加密加固處理，保證硬盤在被非法外帶或丟失后呈“鎖死”狀態，硬盤內容無法被他人所讀取。2、移動存儲設備使用管理對于移動存儲設備設置加密寫入，即拷貝到該類設備的文檔都會以密文形式存在，密文只有拷貝回本地計算機才能解除加密。3、文檔傳輸控制對于文檔傳輸可以采取文件外發對象控制（指定可以外發文件的對象列表）、文件外發加密（外發的文檔處于加密狀態）、文件外發審批（外發的文件需要經領導審批方可發送）等形式進行控制。4、外設與外設端口管理針對具備數據傳輸的數據端口和外設，如紅外、藍牙、無線網卡、刻錄光驅等，只要與辦公無實質性的聯系應設置為禁用。5、文件服務器安全管理公司內部之間最為普及的是利用文件服務器進行文件傳遞。文件服務器上的數據經過長期累積存儲，往往會成為“竊密”的重災區。為了防止服務器的外泄，可以在防火墻中過濾和排查來訪者身份的真實性與有效性，只有合法的客戶端且得到管理員授權的用戶會被放行，非法用戶將被禁止。

作者：王琪 單位：天津工程職業技術學院

企業網絡安全論文:供電企業網絡安全管理綜述

1建立保護區域與防護等級措施，提高對信息系統的控制力

供電企業的信息系統應該根據自身生產特點，劃分為生產控制區域管理信息區，并且對于業務處理進行分級，實現差異化的防護措施，提高防護水平與防護效果。其中，對于生產控制區的劃分上，可以劃分為控制區與非控制區，將專用數據網絡進行網段阻隔，劃分為安全控制區，并且與其他控制區之間安裝電力專用正向單向隔離裝置。對于管理信息區中，要安裝硬件防火墻，對訪問行為進行嚴格的控制，做好以下工作：（1）加強口令管理與數據備份，提高系統安全性。口令信息是保證信息安全的重要環節，也是驗證權限的重要手段。所有服務器與計算機，都需要設置開機口令，并且保證口令的安全性與復雜性。對于安全口令進行定期的更換，提高口令的安全性。（2）在計算機日常使用的過程中，要設定屏幕保護，并開啟屏幕保護密碼。與此同時，還要關閉遠程桌面功能，避免被外來人員進行遠程訪問與控制。數據備份是提高系統安全性的另一項重要舉措，是保護系統數據完整性的主要方式。計算機管理人員需要對信息系統中的數據進行定期的備份，在出現病毒入侵、數據損壞等情況下，及時的進行數據恢復，保證信息系統的正常運作。個人電腦在日常使用中，也要注意做好信息的備份。（3）加強殺毒與漏洞掃描的工作，消除系統安全隱患。電力企業的網絡系統管理者，需要根據自身企業內部網絡情況，購買專業殺毒軟件，提高整體網絡的安全性。對于殺毒軟件，需要進行定期的病毒庫更新，對計算機病毒庫進行實時的升級，降低網絡病毒與木馬對計算機的影響。對于系統漏洞的管理上，要采用漏洞自動掃描系統，對于系統的安全風險進行評估，及時的對系統中的漏洞進行整改。信息系統管理員要對網絡系統進行定期的評測，對于系統中存在的安全風險與漏洞進行有效的處理，降低系統運行風險，提高系統的可靠性與穩定性。

2加強物理安全和主機安全的管理，提高對安全事故的響應能力

電力企業內部員工在日常工作中，要注重對計算機電話的保護，下班后及時關閉計算機，從而延長計算機使用壽命，保護硬件設設備的安全。針對特殊雷雨天氣，要做好防雷擊與防潮工作，保護機房的環境。在對于機房的管理上，要執行嚴格的登記制度，避免無關人員進入機房。對于服務器與數據庫的訪問上，要嚴格對訪問權限進行管理，關閉可能造成系統受攻擊的服務與端口，最大限度的提高服務器的安全運行水平。在安全管理工作中，要建立科學有效的應急預案，爭取在出現安全事件時，第一時間的進行響應與處理，降低影響與損失，保證電網最快的恢復正常運行。

3結束語

完善和落實各項規章制度，構建良好的安全管理體系，將信息安全作為企業日常管理中的重要內容。企業管理者要重視信息安全，并且認識到網絡信息安全對于電力系統正常運行的意義。管理者要制定和完善內部網絡信息安全管理制度，并且對有關制度進行嚴格的執行，做好日常監督工作。在安全責任的劃分上，要做好責任落實，對于專人簽訂專門的安全責任書。日常工作中還要積極的組織職工接受安全教育宣傳與培訓，提高職工安全認識與信息安全保護的水平。

作者：李鋮 徐歡

企業網絡安全論文:通信企業網絡安全與防范探索

1企業內部人員的非法操作和非法登錄

隨著計算機技術在電信生產中的廣泛應用，許多企業員工的計算機技術得到了一定程度的提高，又因電信企業各工作站點分布在不同的生產場所，有的生產場所管理不嚴，職工和維護人員口令沒有注意保密，導致企業內部部分員工在非工作時間盜用他人密碼登錄系統進行非法操作，嚴重地威脅到系統數據安全及生產流程的有效管理。外部人員的非法入侵。電信企業計算機網絡和相關上級部門實現了互聯，勢必存在著有人通過這種互聯非法入侵的可能性；同時，因部分設備廠家遠程維護的需要，提供了部分遠程撥號登錄端口，如果對該登錄端口管理失控，那么設備供應廠家眾多計算機網絡高手必然借機非法入侵，使該系統成為他人練習技術的場所。電腦病毒的破壞。在現代計算機世界里，數以千萬計的電腦病毒無疑是令無數計算機工作者頭痛的問題，特別是近年來，破壞硬件的病毒不斷出現，例如CIH病毒等，對計算機系統的破壞性大大增強。物理設備的破壞。因為火災、雷擊、電源、被盜等原因造成小型機或主網絡設備服務器的硬件損壞、被盜，導致網絡中斷，數據全部丟失，也是威脅電信企業計算機網絡安全的重要因素。

2電信企業計算機網絡安全的防范措施

通過前面的分析，我們可以知道，電信企業計算機網絡平臺上的信息資源事關廣大客戶能否正常享有電信企業提供的各項服務及企業各項業務生產處理流程能否正常進行，因而一旦安全受到威脅，將會危及整個網絡的正常運轉，甚至會使全網的機器癱瘓，大量重要數據丟失，造成無法估計的損失。為了防止此類事件的發生，必須根據企業實際情況，制定防范措施，確保網絡的安全性，筆者認為應該從以下幾個方面來考慮：

2.1分利用先進的計算機技術，分別在網絡層、系統設備層、應用層進行分級安全保護。網絡建設時，必須按國際C2級安全性標準來規劃、設計；在CISCO路由設備中，利用CISCOIOS操作系統的安全保護，設置用戶口令及ENABLE口令，解決網絡層的安全問題；對廠家遠程維護的撥號上網用戶，加入口令保護，使用加密協議，監控其上網維護過程。構建網絡防火墻體系，過濾縱向網與電信企業計算機網絡訴互聯，防止外部用戶的非法入侵。充分利用UNIX系統的安全機制，保證用戶身份、用戶授權和基于授權的系統的安全。對各服務器操作系統和數據庫設立訪問權限；同時，利用UNIX的安全文件，限制遠程登錄主機，以防非法用戶使用TELNET、FTP等遠程登錄工具，進行非法入侵。

2.2建立電信計算機網絡電腦病毒立體預防體系。面對日益猖獗的計算機病毒，企業的計算機管理部門必須建立有效的規章制度，定期對網絡系統進行防病毒檢查。

2.3加強計算機網絡安全性管理。企業必須設立專門的系統安全性管理員，負責整個網絡系統的安全性監控、管理、維護。必須做好小型機及服務器操作系統、數據庫系統、核心網絡路由設備、網絡交換機等系統超級用戶的口令管理，嚴格保密，防止他人竊取。因為超級用戶具有至高無上的權限，其口令為網絡安全性的第一道大門，一旦失竊，其他安全性措施都將成為空話，系統將可能受到嚴重的破壞。嚴格禁止系統管理員在中心機房之外使用超級用戶口令進行系統維護，確保超級用戶口令安全。建立健全企業生產用計算機網絡設備管理制度，對各生產場所的計算機設備嚴格管理，實行專人負責管理，嚴禁非工作人員上機操作。

2.4嚴格維護制度，確保物理設備的安全。物理設備的安全是其他安全性措施的基礎，如果物理設備遭到嚴重破壞，如燒毀、雷擊、被盜等，那么其他安全措施、手段將無從談起。系統管理員必須做好機房防火、防盜、防水、防雷等各項安全防范工作，確保網絡系統物理設備的安全。系統管理員必須做好經常性的操作系統、數據庫系統的備份工作，有條件的必須將備份數據存放于不同地點的多個介質上，以防物理設備遭到嚴重破壞時，能夠在新設備上恢復操作系統及數據。

3總結

隨著電信企業的進一步發展，網絡的擴大，電信企業計算機網絡系統的安全性將受到更多的威脅，企業領導、技術管理人員和普通員工都必須進一步提高計算機網絡安全意識，高度重視，充分認識電信計算機網絡系統安全的重要性，提高警惕，確保網絡的安全、穩定運行。

作者：馬俊嶺 單位：內蒙古聯通公司呼倫貝爾根河市分公司

企業網絡安全論文:改善企業網絡安全與維護體系綜述

企業內部計算機的網絡知識

通過先進的網絡管理技術，使企業的商業信息安全使用。企業計算機網絡維護主要包括物理安全和邏輯安全兩方面，物理安全指的是對計算機硬件設備進行保護，不受到外界損壞；邏輯安全指的是企業內部信息的完整和隱秘性。雖然很多企業已經開始建立企業內部計算機網絡，但因為每個企業的性質和規模不同，對內部計算機網絡安全的程度也不相同。國有企業是國家的重要經濟來源，所以，應當把國有企業的內部計算機網絡安全問題放在首位。計算機的網絡技術為整個企業的生產作出了重要貢獻，隨著黑客技術的不斷發展，很多企業的網絡數據也遭到了破壞，重要的商業信息不斷外泄，對企業造成了嚴重的經濟損失。企業內部的某些員工私自篡改數據，將病毒釋放到企業內部計算機內，導致企業信息的真實性大大降低。企業內部計算機的特征獨立性強企業內部的網絡是為企業生產管理所服務的，和外界無關，所以企業內部的網絡獨立性很強。企業內部的計算機和外界計算機沒有直接聯系，有些企業為了提高業務量，會與因特網相聯系，企業內網用了S/C軟件這種結構可以向企業提供電子郵件和網上會議等多種服務。應用這種軟件，使企業內部的不同部門可以相互傳輸數據，為整個企業的辦公提供了極大便利。企業的內網與企業的運營有直接聯系隨著一系列生產系統的普及，企業的運營對計算機的依賴性也越來越大。企業的辦公也逐漸進入無紙化，企業內部的網絡也成為了企業內部信息交流和傳輸的載體，這是保證企業正常生產運行的先決條件。因為網絡在企業生產中占有重要地位，所以對企業內部網絡的安全系數要求也越來越大。終端機、服務器以及網絡這三個要素構成了企業內部的計算機網絡，形成了一個連續性極強的整體，每個安全漏洞都會給一個企業帶來嚴重的經濟損失，必須要保證數據庫的穩定性和有效性，保證企業內部計算機的安全運行。

企業內部要建立起安全的防御體系

對不同安全區域的網絡信息進行管理；要對網絡安全全面開展訪問控制、防火墻設置以及日志管理；對企業網絡流量進行控制和保護要不斷完善訪問控制設施，實現對用戶身份認證和授權的管理要建立一個審計系統。企業內部要建立一個安全的網絡構架，將計算機網絡從原來的平面結構轉變為保護結構，形成外部網、工作網和生產網三層結構。在網絡邊緣區域，通過邊界保衛策略，對其實施多點控制，使網絡被劃分成不同級別的層次和區域，控制好各層之間的信息流。

企業內部計算機的網絡控制

對企業重要信息加密。網絡信息加密有三種方法：節點加密、鏈路加密和端口加密，這些加密法的目的是為了保護計算機內部所儲存的重要資料以及指令、文件等提供安全性。這種加密方法可以保證信息在傳輸中的安全。至于如何來選擇這些加密方法，可以根據企業用戶的情況需要自由選擇。物理安全保護策略物理安全的保護，主要針對于計算機硬件上的設備提供保護。物理安全策略可以保護企業計算機在一個安全的環境下工作。這種策略還可以設定用戶訪問權限，制定計算機的使用制度，防止黑客攻擊、盜竊以及破壞等行為的發生。訪問控制的策略訪問控制是對企業內部計算機網絡安全最有保障的手段之一，它主要被用來防范非法訪問和使用網絡資源，通常有以下措施：(1)屬性安全控制，這種控制對計算機中的文件和網絡設備之間開設了一條“專屬通道”，可以有效的保證信息安全。(2)防火墻的控制，這些可以有效的防止黑客進攻企業電腦。(3)入網訪問進行控制，主要限制用戶進入和使用某些資源，最大程度控制非法訪問情況的放生。

結語

對于企業而言，怎樣最大限度發揮出計算機的優勢，防止黑客攻擊，是企業管理者和用戶都應該關心的問題。在企業計算機網絡防范中，企業要根據自身的需要，制定出一套健全的計算機網絡方法策略。制度防范并不能代表技術防范，而技術防范則可以很好的彌補制度防范中的不足。在企業內部自身網絡的安全防范中，除了要考慮到企業員工對計算機網絡安全意識的淡薄之外，還要防范企業內部的計算機網絡攻擊。在當今這個黑客猖獗、計算機病毒肆虐的信息化時代里，企業除了要保證內部計算機網絡的安全、有效和完整，還要不斷探索和發掘更新，更先進的安全防范技術。

作者：謝鶴 金賢 單位：山西晉緣網絡技術有限公司

企業網絡安全論文:煙草企業網絡安全防護體系建設研究

摘要：

本文闡述了國內煙草企業面對的網絡信息安全的主要威脅，分析其網絡安全防護體系建設的應用現狀，指出其中存在的問題，之后，從科學設定防護目標原則、合理確定網絡安全區域、大力推行動態防護措施、構建專業防護人才隊伍、提升員工安全防護意識等方面，提出加強煙草企業網絡安全防護體系建設的策略，希望對相關工作有所幫助。

關鍵詞：

煙草企業；網絡安全防護；體系建設

隨著信息化的逐步發展，國內煙草企業也愈加重視利用網絡提高生產管理銷售水平，打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時，也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此，越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。

1威脅煙草企業網絡信息體系安全的因素

受各種因素影響，煙草企業網絡信息體系正遭受到各種各樣的威脅。

1.1人為因素

人為的無意失誤，如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊，這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一種是被動攻擊，他是在不影響網絡正常工作的情況下，進行截獲、竊取與破譯等行為獲得重要機密信息。

1.2軟硬件因素

網絡安全設備投資方面，行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位，但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的，如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件，其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，一旦被破解，其造成的后果將不堪設想。另外，各種新型病毒發展迅速，超出防火墻屏蔽能力等，都使企業安全防護網絡遭受嚴重威脅。

1.3結構性因素

煙草企業現有的網絡安全防護體系結構，多數采用的是混合型結構，星形和總線型結構重疊并存，相互之間極易產生干擾。利用系統存在的漏洞和“后門”，黑客就可以利用病毒等入侵開展攻擊，或者，網絡使用者因系統過于復雜而導致錯誤操作，都可能造成網絡安全問題。

2煙草企業網絡安全防護體系建設現狀

煙草企業網絡安全防護體系建設，仍然存在著很多不容忽視的問題，亟待引起高度關注。

2.1業務應用集成整合不足

不少煙草企業防護系統在建設上過于單一化、條線化，影響了其縱向管控上的集成性和橫向供應鏈上的協同性，安全防護信息沒有實現跨部門、跨單位、跨層級上的交流，相互之間不健全的信息共享機制，滯后的信息資源服務決策，影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計，致使信息化建設未能形成整體合力。

2.2信息化建設特征不夠明顯

網絡安全防護體系建設是現代煙草企業的重要標志，但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合，對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標，缺乏宏觀角度上的溝通協調，致使在信息化建設中，業務、管理、技術“三位一體”的要求并未落到實處，影響了網絡安全防護的效果。

2.3安全運維保障能力不足

缺乏對運維保障工作的正確認識，其尚未完全融入企業信息化建設的各個環節，加上企業信息化治理模式構建不成熟等原因，制約了企業安全綜合防范能力與運維保障體系建設的整體效能，導致在網絡威脅的防護上較為被動，未能做到主動化、智能化分析，導致遭受病毒、木馬、釣魚網站等反復侵襲。

3加強煙草企業網絡安全防護體系建設的策略

煙草企業應以實現一體化數字煙草作為建設目標，秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則，始終堅持兩級主體、協同建設和項目帶動的模式，按照統一架構、安全同步、統一平臺的技術規范，才能持續推動產業發展同信息化建設和諧共生。

3.1遵循網絡防護基本原則

煙草企業在建設安全防護網絡時，應明白建設安全防護網絡的目標與原則，清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分，不同區域的防御體系應具有針對性，相互之間邏輯清楚、調用清晰，從而使網絡邊界更為明確，相互之間更為信任。要對已出現的安全問題進行認真分析，并歸類統計，大的問題盡量拆解細分，類似的問題歸類統一，從而將復雜問題具體化，降低網絡防護工作的難度。對企業內部網絡來說，應以功能為界限來劃分，以劃分區域為安全防護區域。同時，要不斷地完善安全防護體系建設標準，打破不同企業之間網絡安全防護體系的壁壘，實現信息資源更大程度上的互聯互通，從而有效地提升自身對網絡威脅的抵御力。

3.2合理確定網絡安全區域

煙草企業在使用網絡過程中，不同的區域所擔負的角色是不同的。為此，內部網絡，在設計之初，應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時，對生產、監管、流通、銷售等各個環節，要根據其業務特點強化對應的網絡使用管理制度，既能實現網絡安全更好防護，也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時，不能以偏概全、一蹴而就，應本著實事求是的態度，根據企業實際情況，以現有的網絡安全防護為基礎，有針對性地進行合理的劃分，才能取得更好的防護效果。

3.3大力推行動態防護措施

根據網絡入侵事件可知，較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此，煙草企業在構建網絡安全防護體系時，應根據不同的威脅形式確定相應的防護技術，且系統要能夠隨時升級換代，從而提升總體防護力。同時，要定期對煙草企業所遭受的網絡威脅進行分析，確定系統存在哪些漏洞、留有什么隱患，實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制，在系統遭受重大網絡威脅而癱瘓時，確保在最短的時間內恢復系統的基本功能，為后期確定問題原因與及時恢復系統留下時間，并且確保企業業務的開展不被中斷，不會為企業帶來很大的經濟損失。另外，還應大力提倡煙草企業同專業信息防護企業合作，構建病毒防護戰略聯盟，為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。

3.4構建專業防護人才隊伍

人才是網絡安全防護體系的首要資源，缺少專業性人才的支撐，再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強，既要熟知信息安全防護技術，也要對煙草企業生產全過程了然于胸，并熟知國家政策法規等制度。因此，煙草企業要大力構建專業的網絡信息安全防護人才隊伍，要采取定期選送、校企聯訓、崗位培訓等方式，充分挖掘內部人力資源，提升企業現有信息安全防護人員的能力素質，也要積極同病毒防護企業、專業院校和科研院所合作，引進高素質專業技術人才，從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。

3.5提升員工安全防護意識

技術防護手段效果再好，員工信息安全防護意識不佳，系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心，統一對企業網絡安全防護系統進行管理培訓，各部門、各環節也要設立相應崗位，負責本崗位的網絡使用情況。賬號使用、信息、權限確定等，都要置于信息管理培訓中心的制約監督下，都要在網絡使用制度的規則框架中，杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育，提升其網絡安全防護意識，使其認識到安全防護體系的重要性，從而使每個人都能依法依規地使用信息網絡。

4結語

煙草企業管理者必須清醒認識到，利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨，絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰，以實事求是的態度，大力依托信息網絡安全技術，構建更為安全的防護體系，為企業做大做強奠定堅實的基礎。

作者:王世蓮 單位:陜西中煙旬陽卷煙廠

企業網絡安全論文:企業網絡安全論文

1網絡安全技術

1.1 加密技術

加密技術是企業常用保護數據信息的一種便捷技術，主要是利用一些加密程序對企業一些重要的數據進行保護，避免被不法分子盜取利用。常用的加密方法主要有數據加密方法以及基于公鑰的加密算法。數據加密方法主要是對重要的數據通過一定的規律進行變換，改變其原有特征，讓外部人員無法直接觀察其本質含義，這種加密技術具有簡便性和有效性，但是存在一定的風險，一旦加密規律被別人知道后就很容易將其破解。基于公鑰的加密算法指的是由對應的一對唯一性密鑰（即公開密鑰和私有密鑰）組成的加密方法。這種加密方法具有較強的隱蔽性，外部人員如果想得到數據信息只有得到相關的只有得到唯一的私有密匙，因此具有較強的保密性。

1.2 身份鑒定技術

身份鑒定技術就是根據具體的特征對個人進行識別，根據識別的結果來判斷識別對象是否符合具體條件，再由系統判斷是否對來人開放權限。這種方式對于冒名頂替者十分有效，比如指紋或者后虹膜，一般情況下只有本人才有權限進行某些專屬操作，也難以被模擬，安全性能比較可靠。這樣的技術一般應用在企業高度機密信息的保密過程中，具有較強的實用性。

2企業網絡安全體系解決方案

2.1 控制網絡訪問

對網絡訪問的控制是保障企業網絡安全的重要手段，通過設置各種權限避免企業信息外流，保證企業在激烈的市場競爭中具有一定的競爭力。企業的網絡設置按照面向對象的方式進行設置，針對個體對象按照網絡協議進行訪問權限設置，將網絡進行細分，根據不同的功能對企業內部的工作人員進行權限管理。企業辦公人員需要使用到的功能給予開通，其他與其工作不相關的內容即取消其訪問權限。另外對于一些重要信息設置寫保護或讀保護，從根本上保障企業機密信息的安全。另外對網絡的訪問控制可以分時段進行，例如某文件只可以在相應日期的一段時間內打開。企業網絡設計過程中應該考慮到網絡安全問題，因此在實際設計過程中應該對各種網絡設備、網絡系統等進行安全管理，例如對各種設備的接口以及設備間的信息傳送方式進行科學管理，在保證其基本功能的基礎上消除其他功能，利用當前安全性較高的網絡系統，消除網絡安全的脆弱性。企業經營過程中由于業務需求常需要通過遠端連線設備連接企業內部網絡，遠程連接過程中脆弱的網絡系統極容易成為別人攻擊的對象，因此在企業網絡系統中應該加入安全性能較高的遠程訪問設備，提高遠程網絡訪問的安全性。同時對網絡系統重新設置，對登入身份信息進行加密處理，保證企業內部人員在操作過程中信息不被外人竊取，在數據傳輸過程中通過相應的網絡技術對傳輸的數據審核，避免信息通過其他渠道外泄，提高信息傳輸的安全性。

2.2 網絡的安全傳輸

電子商務時代的供應鏈建立在網絡技術的基礎上，供應鏈的各種信息都在企業內部網絡以及與供應商之間的網絡上進行傳遞，信息在傳遞過程中容易被不法分子盜取，給企業造成重大經濟損失。為了避免信息被竊取，企業可以建設完善的網絡系統，通過防火墻技術將身份無法識別的隔離在企業網絡之外，保證企業信息在安全的網絡環境下進行傳輸。另外可以通過相應的加密技術對傳輸的信息進行加密處理，技術一些黑客破解企業的防火墻，竊取到的信息也是難以理解的加密數據，加密過后的信息常常以亂碼的形式存在。從理論上而言，加密的信息仍舊有被破解的可能性，但現行的數據加密方式都是利用復雜的密匙處理過的，即使是最先進的密碼破解技術也要花費相當長的時間，等到數據被破解后該信息已經失去其時效性，成為一條無用的信息，對企業而言沒有任何影響。

2.3 網絡攻擊檢測

一些黑客通常會利用一些惡意程序攻擊企業網絡，并從中找到漏洞進入企業內部網絡，對企業信息進行竊取或更改。為避免惡意網絡攻擊，企業可以引進入侵檢測系統，并將其與控制網絡訪問結合起來，對企業信息實行雙重保護。根據企業的網絡結構，將入侵檢測系統滲入到企業網絡內部的各個環節，尤其是重要部門的機密信息需要重點監控。利用防火墻技術實現企業網絡的第一道保護屏障，再配以檢測技術以及相關加密技術，防火記錄用戶的身份信息，遇到無法識別的身份信息即將數據傳輸給管理員。后續的入侵檢測技術將徹底阻擋黑客的攻擊，并對黑客身份信息進行分析。即使黑客通過這些屏障得到的也是經過加密的數據，難以從中得到有效信息。通過這些網絡安全技術的配合，全方位消除來自網絡黑客的攻擊，保障企業網絡安全。

3結束語

隨著電子商務時代的到來，網絡技術將會在未來一段時間內在企業的運轉中發揮難以取代的作用，企業網絡安全也將長期伴隨企業經營管理，因此必須對企業網絡實行動態管理，保證網絡安全的先進性，為企業的發展建立安全的網絡環境。

作者：關勇單位：大慶市郵政局

企業網絡安全論文:企業網絡安全解決戰略

摘要 隨著信息化技術的飛速發展，許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力，使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強，計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮，全面覆蓋信息系統的各層次，針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。

關鍵詞 信息安全；PKI；CA；VPN

1 引言

隨著計算機網絡的出現和互聯網的飛速發展，企業基于網絡的計算機應用也在迅速增加，基于網絡信息系統給企業的經營管理帶來了更大的經濟效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。

隨著信息化技術的飛速發展，許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力，使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場，企業就面臨著如何提高自身核心競爭力的問題，而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進行說明。

2 信息系統現狀

2.1 信息化整體狀況

1)計算機網絡

某公司現有計算機500余臺，通過內部網相互連接，根據公司統一規劃，通過防火墻與外網互聯。在內部網絡中，各計算機在同一網段，通過交換機連接。

2)應用系統

經過多年的積累，某公司的計算機應用已基本覆蓋了經營管理的各個環節，包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善，計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。

2.2 信息安全現狀

為保障計算機網絡的安全，某公司實施了計算機網絡安全項目，基于當時對信息安全的認識和安全產品的狀況，信息安全的主要內容是網絡安全，部署了防火墻、防病毒服務器等網絡安全產品，極大地提升了公司計算機網絡的安全性，這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。

3 風險與需求分析

3.1 風險分析

通過對我們信息系統現狀的分析，可得出如下結論：

(1)經營管理對計算機應用系統的依賴性增強，計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。

(2)計算機應用系統涉及越來越多的企業關鍵數據，這些數據大多集中在公司總部數據中心，因此有必要加強各計算機應用系統的用戶管理和身份的認證，加強對數據的備份，并運用技術手段，提高數據的機密性、完整性和可用性。

通過對現有的信息安全體系的分析，也可以看出：隨著計算機技術的發展、安全威脅種類的增加，某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷，具體表現在：

(1)系統性不強，安全防護僅限于網絡安全，系統、應用和數據的安全存在較大的風險。

目前實施的安全方案是基于當時的認識進行的，主要工作集中于網絡安全，對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證，對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數據備份缺乏整體方案和制度規范，容易造成重要數據的丟失和泄露。

當時的網絡安全的基本是一種外部網絡安全的概念，是基于這樣一種信任模型的，即網絡內部的用戶都是可信的。在這種信任模型下，假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。

針對外部網絡安全，人們提出了內部網絡安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內部人員可以直接對重要的服務器進行操控從而破壞信息，或者從內部網絡訪問服務器，下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。

美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點：超過80%的信息安全隱患是來自組織內部，這些隱患直接導致了信息被內部人員所竊取和破壞。

信息系統的安全防范是一個動態過程，某公司缺乏相關的規章制度、技術規范，也沒有選用有關的安全服務。不能充分發揮安全產品的效能。

(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢，存在一定的網絡安全隱患，產品亟待升級。

已購買的網絡安全產品中，有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性，擬對系統的互聯網出口進行嚴格限制，原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現有的防火墻不具備這些功能。

網絡信息系統的安全建設建立在風險評估的基礎上，這是信息化建設的內在要求，系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期，在規劃的過程中，就運用風險評估、風險管理的手段，用戶才可以避免重復建設和投資的浪費。

3.2 需求分析

如前所述，某公司信息系統存在較大的風險，信息安全的需求主要體現在如下幾點：

(1)某公司信息系統不僅需要安全可靠的計算機網絡，也需要做好系統、應用、數據各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

(2)網絡規模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現，使某公司計算機網絡安全面臨更大的挑戰，原有的產品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要加快規章制度和技術規范的建設，使安全防范的各項工作都能夠有序、規范地進行。

(4)信息安全防范是一個動態循環的過程，如何利用專業公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現的各種安全威脅，也是某公司面臨的重要課題。

4 設計原則

安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。

4.1 標準化原則

本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定，使安全技術體系的建設達到標準化、規范化的要求，為拓展、升級和集中統一打好基礎。

4.2 系統化原則

信息安全是一個復雜的系統工程，從信息系統的各層次、安全防范的各階段全面地進行考慮，既注重技術的實現，又要加大管理的力度，以形成系統化的解決方案。

4.3 規避風險原則

安全技術體系的建設涉及網絡、系統、應用等方方面面，任何改造、添加甚至移動，都可能影響現有網絡的暢通或在用系統的連續、穩定運行，這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題，在規劃與應用系統銜接的基礎安全措施時，優先保證透明化，從提供通用安全基礎服務的要求出發，設計并實現安全系統與應用系統的平滑連接。

4.4 保護投資原則

由于信息安全理論與技術發展的歷史原因和自身的資金能力，某公司分期、分批建設了一些整體的或區域的安全技術系統，配置了相應的設施。因此，本方案依據保護信息安全投資效益的基本原則，在合理規劃、建設新的安全子系統或投入新的安全設施的同時，對現有安全系統采取了完善、整合的辦法，以使其納入總體安全技術體系，發揮更好的效能，而不是排斥或拋棄。

4.5 多重保護原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

4.6 分步實施原則

由于某公司應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性，尋求安全、風險、開銷的平衡，采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節省費用開支。

5 設計思路及安全產品的選擇和部署

信息安全防范應做整體的考慮，全面覆蓋信息系統的各層次，針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終，如圖2所示。

網絡與信息安全防范體系模型

信息安全又是相對的，需要在風險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現狀的分析，對現有的信息安全產品和解決方案的調查，通過與計算機專業公司接觸，初步確定了本次安全項目的內容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。

5.1網絡安全基礎設施

證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺，都必須建立在一個安全可信的網絡之上。目前，解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure，公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系，它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題，為網絡應用提供可靠的安全保障，向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統，建立一個完善的網絡安全認證平臺，能夠通過這個安全平臺實現以下目標：

身份認證(Authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數字證書來確認對方的身份。

數據的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數字證書加密來完成。

數據的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數和數字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數字簽名來完成，數字簽名可作為法律證據。

5.2 邊界防護和網絡的隔離

VPN(VirtualPrivateNetwork)虛擬專用網，是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比，具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。

通過安裝部署VPN系統，可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體，通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道，使得合法的用戶可以安全的訪問企業的私有數據，用以代替專線方式，實現移動用戶、遠程LAN的安全連接。

集成的防火墻功能模塊采用了狀態檢測的包過濾技術，可以對多種網絡對象進行有效地訪問監控，為網絡提供高效、穩定地安全保護。

集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。

5.3 安全電子郵件

電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先，它的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織(根證書)之間相互認證，整個信任關系基本是樹狀的。其次，S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。

5.4 桌面安全防護

對企業信息安全的威脅不僅來自企業網絡外部，大量的安全威脅來自企業內部。很早之前安全界就有數據顯示，近80%的網絡安全事件，是來自于企業內部。同時，由于是內部人員所為，這樣的安全犯罪往往目的明確，如針對企業機密和專利信息的竊取、財務欺騙等，因此，對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。

桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術，可以無縫嵌入OFFICE系統，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統

安全登錄系統提供了對系統和網絡登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統

文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法，從而保證了存儲數據的安全性。

5.5 身份認證

身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USBKey內置的密碼算法實現對用戶身份的認證。

基于PKI的USBKey的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系，從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。

6 方案的組織與實施方式

網絡與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程，也為本方案的實施提供了借鑒。

因此在本方案的組織和實施中，除了工程的實施外，還應重視以下各項工作：

(1)在初步進行風險分析基礎上，方案實施方應進行進一步的風險評估，明確需求所在，務求有的放矢，確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分，必要時可借助專業公司的安全服務，提高應對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據實際情況，可采取分地區、分階段實施的方式。

(4)在方案實施的同時，加強規章制度、技術規范的建設，使信息安全的日常工作進一步制度化、規范化。

7 結論

本文以某公司為例，分析了網絡安全現狀，指出目前存在的風險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術手段的改進，到規章制度的完善；從單機系統的安全加固，到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署，為眾多行業提供了網絡安全解決手段。

也希望通過本方案的實施，可以建立較完善的信息安全體系，有效地防范信息系統來自各方面的攻擊和威脅，把風險降到最低水平。

企業網絡安全論文:化工企業網絡安全探討

摘要：隨著社會的發展經濟的進步，計算機成為人們日常工作中生活中成為不可或缺的助手。正是由于計算機的普及，網絡攻擊手段也不斷更新，各種病毒、黑客攻擊、破壞、篡改、竊取計算機中的各種信息，這就對計算機網絡安全有更高的要求。如今企業和個人的計算機中都會存儲大量重要文件資料，在這些文件資料的共享和傳輸過程中對完整性、保密性、私有性也有更高的要求。本文闡述了數據加密技術的種類及表現形式，威脅計算機網絡安全的主要因素，分析數據加密技術在化工企業計算機網絡安全中的應用。

關鍵詞：數據加密；網絡安全；化工企業

隨著計算機和互聯網技術的不斷普及，數據加密技術成為網絡安全中最重要的技術。數據加密技術也廣泛應用于以計算機為主導的化工企業的數據傳輸交換中。

1數據加密技術的種類及其表現方式

化工企業中經過數據加密技術處理過的信息，需要經過密鑰和解密函數的轉化才能夠使用，而沒有這個密鑰或者解密函數就會得到亂碼或者無法打開。

1.1數據加密技術的種類

1.1.1對稱式加密技術

對稱式加密也稱為單密鑰加密，是一種最簡潔，最快速的加密技術，信息的加密和解密使用同一個密鑰，由于它的效率高，因此被廣泛應用于很多加密協議的核心當中。但是因為發送和接受雙方擁有同一個密鑰，所以只有雙方在沒有泄露密鑰的前提下，才能夠保證傳輸數據的安全性、完整性。對稱加密的難就是密鑰的管理問題，通常是把對稱加密的密鑰通過非對稱式加密傳輸給接收方，保證在傳輸中不會被黑客截獲，即便被截獲也不會被破譯。化工企業中的郵件加密、圖紙和條件加密基本都是使用對稱式加密傳輸的方式[1]。

1.1.2非對稱式加密技術

非對稱加密技術是需要兩個密鑰來進行加密和解密，即公開密鑰（公鑰）和私有密鑰（私鑰）。如果用公鑰對數據進行加密就必須用對應的私鑰進行解密；如果用私鑰對數據進行加密就必須用對應的公鑰進行解密。這種加密技術雖然安全性高，但是加密解密的速度比較慢，因此在實際的工作中大多數采用的方法是將對稱式加密中的密鑰使用非對稱是加密的公鑰進行加密，發送給接收方再使用私鑰進行解密，得到對稱式加密中的密鑰。雙方可以用對稱式加密進行溝通，這樣即安全又快捷。非對稱加密技術可應用于數據加密，在身份認證、數字證書、數字簽名等領域也有廣泛的應用。

1.2數據加密的表現方式

隨著化工企業設計過程數字化、信息化的不斷發展，各類數據在設計人員內部之間流轉，設計成果的可復制性雖然提高了效率，但是也出現了數據安全問題。海量的圖紙、郵件、條件、信息在傳輸中面臨被盜取、丟失的風險，令企業和業主蒙受巨大損失。假如被競爭對手掌握后果不堪設想。

1.2.1鏈路加密

鏈路加密又稱為在線加密。它是同一網絡內兩點傳輸數據時在數字鏈路層加密信息的一種數字保密方法。在主服務器端的數據是明文的，當它離開主機的時候就會加密，等到了下個鏈接（可能是一個主機也可能是一個中集節點）再解密，然后在傳輸到下一個鏈接前再加密。每個鏈接可能用到不同的密鑰或不同的加密算法。這個過程將持續到數據的接收端。鏈路加密掩蓋了被傳送消息的源點與終點，非法入侵一般很難截獲明文信息，所以保證了數據的安全性[2]。

1.2.2節點加密

節點加密在數據網絡傳輸形式不會以明文出現，而是以再加密的方式將數據再次傳輸到通道中，避免了黑客入侵者對信息的盜取和修改。但是節點加密要求源點和終點要以明文形式出現，因此也存在一定的缺陷。

1.2.3端端加密

端端加密又稱為脫線加密。端端加密從源點到終點一直以密文的形式傳輸數據，數據在到達終點之前也不會進行解密，因此即使在節點處有非法入侵也不會泄露數據[3]。例如某化工企業中，員工500多名，業務遍布全國各省自治區，數據的傳輸不僅限于局域網，更遍及全國各地，每天員工和客戶的往來郵件和圖紙等數據無數，而這些數據都是以明文的形式存儲在個人或者單位計算機系統中，在傳輸過程中必須要對這些文檔、圖紙加密、設置權限等，防止設計成果的泄漏。采用端端加密的方式能更安全更高效的保證數據和系統的安全。

2影響化工企業網絡數據安全的因素

核心數據是化工企業的命脈。通過建立完善的信息安全系統，保護化工企業核心數據尤其是企業商業機密，防止從內部泄密，已經成為眾多企業的共識。企業從信息系統的安全性、穩定性和可靠性等方面為基點，以數據安全為目標，紛紛構建企業數據防泄密體系[4]。

2.1軟件漏洞

現在的軟件為了方便企業和個人的交流都會有很好開放性和共享性，但是正因為此，軟件的安全問題也凸現出來。通常使用的TCP/IP協議，在網絡協議驗證上并沒有過多安全要求，這也避免不了網絡安全問題的出現。再有瀏覽器的使用過程中也會對用戶信息造成泄漏。這就要求我們在平時要采用正版軟件并注意及時更新軟件，減少軟件漏洞的出現。

2.2操作系統漏洞

操作系統是整個計算機的核心，如果病毒侵入后就能隨意操作計算機系統，盜取用戶信息。病毒還能利用木馬程序監控用戶信息傳送，更嚴重的能使服務器崩潰。在化工企業的網絡中心應該及時升級操作系統并安裝補丁，縮小風險。

2.3計算機病毒

病毒能夠破壞計算機軟件、資料甚至計算機硬件，使得計算機不能正常使用。隨著計算機網絡共享的不斷發展，病毒的蔓延更加快速，輕者使得電腦運行緩慢，嚴重的導致死機、崩潰、數據丟失等。化工企業網絡中心應該在服務器上及個人電腦上安裝正版網絡版殺毒軟件，并及時更新病毒庫，防止計算機被病毒感染。

2.4黑客入侵

黑客主要是利用計算機系統的安全漏洞，采用非法監測等手段侵入電腦，盜取計算機中的私密數據。黑客入侵主要是人為的對計算機進行攻擊，所以其危害性比病毒更嚴重。平時要避免不明來歷的下載，減少共享設置等[5]。數據加密技術突飛猛進，要求對數據進行高強度加密和對使用者透明的解密，防止各種泄密情況的出現，并且還要求操作簡便、應用方便、無痕處理。數據加密采用內核驅動級文件加密技術，256位高強度加密算法。在單位內部文件可以正常流轉，一旦離開單位網絡，文件顯示亂碼或者打開失敗。這樣就實現了設計圖紙加密、研發數據加密、客戶資料加密等。真正意義上保障了企業數據的安全性。

作者:王欣 單位:天津渤海化工集團規劃設計院

企業網絡安全論文:企業網絡安全方案設計

摘要:目前計算機網絡已成為企業生存和發展不可或缺的組成部分，但隨著網絡安全問題的頻發，以及網絡安全問題所帶來的嚴重影響，有必要針對目前企業網絡安全主要存在的問題，提出綜合、有效、可行的企業網絡安全防護設計方案。

關鍵詞:企業網絡；安全；病毒；物理

在現代企業的生存與發展過程中，企業網絡安全威脅與企業網絡安全防護是并行存在的。雖然企業網絡安全技術與以往相比取得了突破性的進展，但過去企業網絡處于一個封閉或者是半封閉的狀態，只需簡單的防護設備和防護方案即可保證其安全性。而當今大多數企業網絡幾乎處于全球互聯的狀態，這種時空的無限制性和準入的開放性間接增加了企業網絡安全的影響因素，自然給企業網絡安全帶來了更多的威脅。因此，企業網絡安全防護一個永無止境的過程，對其進行研究無論是對于網絡安全技術的應用，還是對于企業的持續發展，都具有重要的意義。

1企業網絡安全問題分析

基于企業網絡的構成要素以及運行維護條件，目前企業網絡典型的安全問題主要表現于以下幾個方面。

1.1網絡設備安全問題

企業網絡系統服務器、網絡交換機、個人電腦、備用電源等硬件設備，時常會發生安全問題，而這些設備一旦產生安全事故很有可能會泄露企業的機密信息，進而給企業帶來不可估量經濟損失。以某企業為例，該企業網絡的服務器及相關網絡設備的運行電力由UPS接12V的SOAK蓄電池組提供，該蓄電池組使用年限行、容量低，在長時間停電的情況下，很容易由于蓄電池的電量耗盡而導致整個企業網絡的停運。當然，除了電源問題外，服務器、交換機也存在諸多安全隱患。

1.2服務器操作系統安全問題

隨著企業規模的壯大以及企業業務的拓展，對企業網絡服務器的安全需求也有所提高。目前諸多企業網絡服務器采用的是WindowsXP或Windows7操作系統，由于這些操作系統存在安全漏洞，自然會降低服務器的安全防御指數。加上異常端口、未使用端口以及不規范的高權限賬號管理等問題的存在，在不同程度上增加了服務器的安全威脅。

1.3訪問控制問題

企業網絡訪問控制安全問題也是較為常見的，以某企業為例，該企業采用Websense管理軟件來監控企業內部人員的上網行為，但未限制存在安全隱患的上網活動。同時對于內部上網終端及外來電腦未設置入網認證及無線網絡訪問節點安全檢查，任何電腦都可在信號區內接入到無線網絡。

2企業網絡安全防護方案

基于上述企業網絡普遍性的安全問題，可以針對性的提出以下綜合性的安全防護方案來提高企業網絡的整體安全性能。

2.1網絡設備安全方案

企業網絡相關設備的安全性能是保證整個企業網絡安全的基本前提，為了提高網絡設備的整體安全指數，可采取以下具體措施。首先，合適傳輸介質的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質，例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業網絡相關主干設備對交流電源的生產質量、供電連續性、供電可靠性以及抗干擾性等指標提出了更高的要求，這就要求對企業網絡的供電系統進行優化。以上述某企業網絡系統電源供電不足問題為例，為了徹底解決傳統電源供給不足問題，可以更換為大容量的蓄電池組，并安裝固定式發電機組，進而保證在長時間停電狀態下企業網絡設備的可持續供電，避免因為斷電而導致文件損壞及數據丟失等安全問題的發生。

2.2服務器系統安全方案

企業網絡服務器系統的安全尤為重要，然而其安全問題的產生又是多方面因素所導致的，需要從多個層面來構建安全防護方案。

2.2.1操作系統漏洞安全

目前企業網絡服務器操作系統以Windows為主，該系統漏洞的出現成為了諸多攻擊者的重點對象，除了采取常規的更新Windows系統、安裝系統補丁外，還應針對企業網絡服務器及個人電腦的操作系統使用實際情況，實施專門的漏洞掃描和檢測，并根據掃描結果做出科學、客觀、全面的安全評估，如圖1所示，將證書授權入侵檢測系統部署在核心交換機的監控端口，并在不同網段安裝由中央工作站控制的網絡入侵檢測，以此來檢測和響應網絡入侵威脅。圖1漏洞掃描及檢測系統

2.2.2Windows端口安全

在Windows系統中，端口是企業實現網絡信息服務主要通道，一般一臺服務器會綁定多個IP，而這些IP又通過多個端口來提高企業網絡服務能力，這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務器網絡攻擊的運行路徑來看，大多數都要通過服務器TCP/UDP端口，可充分這一點來預防各種網絡攻擊，只需通過命令或端口管理軟件來實現系統端口的控制管理即可。

2.2.3Internet信息服務安全

Internet信息服務是以TCP/IP為基礎的，可通過諸多措施來提高Internet信息服務安全。（1）基于IP地址實現訪問控制。通過對IIS配置，可實現對來訪IP地址的檢測，進而以訪問權限的設置來阻止或允許某些特定計算機的訪問站點。（2）在非系統分區上安裝IIS服務器。若在系統分區上安裝IIS，IIS就會具備非法訪問屬性，給非法用戶侵入系統分區提供便利，因此，在非系統分區上安全IIS服務器較為科學。（3）NTFS文件系統的應用。NTFS文件系統具有文件及目錄管理功能，服務器Windows2000的安全機制是基于NTFS文件系統的，因此Windows2000安裝時選用NTFS文件系統，安全性能更高。（4）服務端口號的修改。雖然IIS網絡服務默認端口的使用為訪問提供了諸多便捷，但會降低安全性，更容易受到基于端口程序漏洞的服務器攻擊，因此，通過修改部分服務器的網絡服務端口可提高企業網絡服務器的安全性。

2.3網絡結構安全方案

2.3.1強化網絡設備安全

強化企業網絡設備的自身安全是保障企業網絡安全的基礎措施，具體包含以下措施。（1）網絡設備運行安全。對各設備、各端口運行狀態的實時監控能有效發現各種異常，進而預防各種安全威脅。一般可通過可視化管理軟件的應用來實現上述目標，例如What’supGold能實現對企業網絡設備狀態的監控，而SolarWindsNetworkPerformancemonitor可實現對各個端口流量的實時監控。（2）網絡設備登錄安全。為了保證網絡設備登錄安全指數，對于企業網絡中的核心設備應配置專用的localuser用戶名，用戶名級別設置的一級，該級別用戶只具備讀權限，一般用于console、遠程telnet登錄等需求。除此之外，還可設置一個單獨的super密碼，只有擁有super密碼的管理員才有資格對核心交換機實施相關配置設置。（3）無線AP安全。一般在企業內部有多個無線AP設備，應采用較為成熟的加密技術設置一個較為復雜的高級秘鑰，從而確保無線接入網的安全性。

2.3.2細分網絡安全區域

目前，廣播式局域的企業網絡組網模式存在著一個嚴重缺陷就是當其中各個局域網存在ARP病毒時，未設置ARP本地綁定或未設置ARP防火墻的終端則無法有效訪問系統，同時還可能泄露重要信息。為了解決這種問題，可對整個網絡進行細分，即按某種規則如企業職能部門將企業網絡終端設備劃分為多個網段，在每個網段均有不同的vlan，從而保證安全性。

2.3.3加強通信訪問控制

針對企業各個部門對網絡資源的需求，在通信訪問控制時需要注意以下幾點：對內服務器應根據提供的業務與對口部門互通；對內服務器需要與互聯網隔離；體驗區只能訪問互聯網，不能訪問辦公網。以上功能的實現，可在核心路由器和防火墻上共同配合完成。

作者:李常福 單位:鄭州市中心醫院

企業網絡安全論文:中小企業網絡安全策略探討

摘要：近年來，隨著我國科學技術和社會經濟的不斷發展，給我國中小企業帶來了很大的挑戰和機遇。目前，計算機網絡越來越被應用到中小企業的發展中，但是，網絡安全問題也變得越來越嚴重，因此，中小企業應該重視網絡安全問題。本文首先分析了中小企業網絡安全現狀，然后講述了影響中小企業網絡安全的因素，最后提出了以下安全策略，以供中小企業相關負責人參考。

關鍵詞：中小企業；網絡安全；現狀；因素；策略

目前，隨著我國信息化的快速發展，中小企業越來越重視計算機的使用。一直以來，網絡安全問題都是最值得關注的問題，尤其是對于企業的發展來說，很多機密資料都放在了網絡中，如果不對網絡安全加以管理，那么就會透漏很多企業自身的機密信息，嚴重的會使得企業面臨倒閉的風險。但是，從目前我國中小企業網絡安全發展的現狀來看，依然存在很多的問題，影響網絡安全的因素也很多，因此，企業為了能夠長久穩定的發展下去，就必須重視網絡安全問題，采取行之有效的策略，加強網絡安全意識與管理制度，組建合理的企業內網，從而保證企業的經濟不受損失。

1中小企業網絡安全現狀

現如今，隨著我國計算機網絡技術的不斷發展，中小企業都在廣泛使用計算機網絡信息技術，但是，在企業享受網絡帶來的數據共享、異地間數據傳輸等便捷時，也在面臨網絡完全問題的威脅。如果企業不加重視網絡安全管理問題，那么就會給企業帶來很大的安全隱患。從目前我國中小企業發展的現狀來看，網絡安全還存在很多問題。首先，技術力量有效。很多中小企業都注重交換機、防火墻等網絡設備，因此把大量的資金都放在了投資網絡設備上面，但是，對于設備的后期維護工作缺少過多的重視，也沒有相關的技術工作人員加以維護，一般都是聘用兼職人員來維護后期網絡，因此，使得企業存在很大的安全隱患。其次，缺乏網絡安全管理意識。部門中小企業都沒有成立專門的網絡安全管理部門，相關領導缺乏對網絡安全管理的意識，但是黑客程度的攻擊具有隱蔽性、無特定性等特點，從而使得中小企業很容易受到侵襲。最后，缺乏專業的網絡安全管理水平。在我國大型企業中，一般都有專業的網絡安全管理技術人員，但是，對于中小企業來說，由于資金有限，他們都不會聘用具有專業知識的網絡安全管理人員，一旦網絡出現安全問題，不能在短時間內全面解決安全問題，最終使得數據在網絡環境中使用和傳輸都可能被破壞、篡改或泄露。

2影響中小企業網絡安全的因素

2.1病毒的侵襲

在中小企業網絡安全中，病毒入侵是其中非常重要的一個因素。我們都知道，病毒的危害性特別大，能夠嚴重破壞計算機功能或者計算機數據，同時，病毒也都是把自己附著在合法的可執行文件上，因此，不容易被企業發現。病毒的特點非常多，比如破壞性、自我復制性、傳染性等。但是，病毒不是天然存在的，是當某人在使用計算機時，由于計算機自身軟件的脆弱性編制而產生的一組指令集或程序代碼。由于病毒能夠自我復制，因此，一旦某計算機的某個軟件遭遇了病毒入侵，那么就會使得某個局域網或者一臺機器都有病毒，在病毒入侵的過程中，如果不及時加以制止，那么病毒就會一直繁殖下去，后果將不堪設想，從而就會導致整個系統都癱瘓。

2.2黑客的非法闖入

眾所周知，網絡具有開放性，因此，決定了網絡的多樣性和復雜性。在網絡管理中，黑客的非法闖入也是常見的一種網絡安全影響因素，如果中小企業遭遇了黑客的非法闖入，那么就會使得整個企業網絡都面臨很大的安全隱患。隨著我國科學技術的不斷發展，計算機技術也在迅猛發展，同時各式各樣的黑客也在緊跟科技腳步，非法闖入行為屢見不鮮。黑客攻擊行為主要分為兩種，即破壞性攻擊和非破壞性攻擊。其中破壞性攻擊主要目的就是侵入他人電腦系統、破壞目標系統的數據和盜竊系統保密信息；而非破壞性攻擊主要是為了擾亂系統的運行，并不盜竊系統資料。據相關調查顯示，黑客攻擊行為越來越猖獗，組織越來越龐大，如果不加以制止，那么就會在很大程度上阻礙企業的發展。

3中小企業網絡安全策略

3.1加強網絡安全意識與管理制度

對于中小企業來說，加強網絡安全意識與管理制度屬于網絡安全管理中的一項重要策略。由于受到傳統思想的束縛，很多中小企業都把大量資金投入到生產中，忽視網絡安全的重要性。在企業的網絡安全管理中，很多網絡管理人員都缺乏相應的專業知識，缺乏安全防范意識，從而導致了企業信息資源經常發生泄漏現象。因此，中小企業應該加強網絡安全意識與管理制度，定期對相關工作人員進行安全知識的培訓，防止因為疏忽而發生信息資源泄漏，幫助員工熟練掌握網絡安全管理技能，讓他們充分認識到網絡安全管理的重要性。與此同時，有條件的企業還可以聘用國外發達國家的相關網絡安全專家，幫助企業內部工作人員增長豐富的實踐經驗，做到未雨綢繆，維護網絡信息的保密性和完整性，保證企業的經濟利益不受損失，從而促進企業的長久穩定發展。

3.2組建合理的企業內網

在網絡管理中，企業內部網絡的安全是其中的首要任務，只有保證了企業內部網絡的安全，才能有效開展企業內部信息的安全傳遞，因此，企業要組建合理的企業內網。企業內網的主要目的就是要合理保證網絡安全，根據企業自身發展情況和信息安全級別，從而對企業網絡進行隔離和分段。同時，企業內網的核心是要對網絡拓撲結構進行科學合理的設計，從而保證企業內網的安全穩定性。其中針對網絡分段來說，主要包括兩種方式，即物理分段和邏輯分段。網絡分段的優勢也很多，一般情況下各網段相互之間是無法進行直接通信的，因此，對網絡進行分段，能夠實現各網絡分段訪問間的單獨訪問控制，從而避免非法用戶的入侵。比如，把網絡分成多個IP子網，各個網絡間主要通過防火墻或者路由器連接，通過這些設備來達到控制各子網間的訪問目的。由此可見，企業組建合理的企業內網是保證網絡安全的一項重要策略。

3.3合理設置加密方式及權限

在中小企業的發展中，數據安全非常重要，它能夠直接影響企業的信息、資源和機密數據的安全性和穩定性，因此，企業在網絡安全管理中，一定要充分認識到數據安全的重要性。企業可以采用數據加密技術，這主要是因為數據加密可以保護企業內部的數據信息不被侵犯，從而保證企業內部數據信息的完整性。從目前我國企業的發展來看，主要采用的加碼技術有兩種：對稱加密技術和非對稱加密技術。通俗來說，數據加密技術就是對內部信息數據進行重新編碼，防止機密數據被黑客破譯。由此可見，企業應該合理設置加密方式及權限，從而保證企業內部信息數據的安全性和完整性。

3.4使用防火墻及殺毒軟件實時監控

中小企業要想保護內部網絡信息的安全，還有一個重要的措施就是使用防火墻及殺毒軟件實時監控。防火墻主要是起到一個門衛的作用，是保證網絡安全的第一道防線。防火墻可以限制每個IP的流量和連接數，如果得不到防火墻的“許可”，外部數據是不可能進入企業內部系統的。與此同時，防火墻還有監視作用，通過防火墻能夠了解入侵數據的有效信息，并且檢查所處理的每個消息的源。因此，中小企業為了阻止病毒的入侵，就要使用防火墻，并安裝網絡版防病毒軟件，從而避免病毒的有效入侵和擴散，最終保證企業內部網絡的安全性和穩定性。

4結束語

總而言之，隨著市場經濟的不斷變革，中小企業越來越重視網絡安全管理問題。對于中小企業來說，網絡安全管理是一項長期且復雜的工作，企業必須要充分認識到網絡安全的重要性，不斷加強網絡安全意識與管理制度，組建合理的企業內網，并合理設置加密方式及權限，從而保證企業能夠可持續發展下去。

作者:楊海亮 馬天丁 李震 單位:南京水利科學研究院

企業網絡安全論文:企業網絡安全管理及防護策略

隨著信息化技術的發展和行業滲透，煙草行業的信息化網絡技術應用逐步加深，問題也隨之而來：計算機網絡防護能力較弱、存儲數據量越來越大，信息安全問題劇增，網絡安全隱患得不到有效保障，企業信息難以得到安全有效的保護，企業網絡安全問題不容樂觀。因此，深入探討網絡安全問題，建立健全安全監測機制，探索安全防護策略是十分必要的。

1網絡安全問題

網絡安全問題就是指在網絡上傳輸的信息安全性,網絡安全涵蓋網絡系統的硬件、軟件以及系統中的數據不會受到攻擊、篡改、破壞、泄露、中斷等現象，即硬件設備應穩定運行，軟件系統穩定可靠、網絡連續不中斷、數據全面且安全。網絡安全問題既要從技術上進行有效的風險控制，注重防范外部入侵、黑客攻擊、病毒等；還要從管理上加強控制，注重人為因素。計算機網絡安全問題中，最主要的問題就是病毒，計算機在網絡環境下、在有外部設備如優盤、移動硬盤、光盤等連接的情況下，計算機都容易感染病毒，不及時清除病毒，會帶來一系列問題，最簡單最直接就是計算機運行速度降低、病毒導致文件破損甚至丟失，給用戶帶來不便；嚴重病毒甚至篡改系統程序、非法入侵計算機盜取重要數據和信息，給用戶帶來信息安全的威脅。網絡安全管理分工、職責不明確，使用權限不匹配，保密意識淡薄，對網絡安全不夠重視，容易造成遇到事情互相推諉的局面。另外，網絡安全管理人員的相關培訓有待加強。

2網絡安全技術防護

2.1防火墻技術

防火墻技術實際上是一種隔離技術，將計算機與內部網絡、外部網絡、公共網絡、專用網絡之間架設的一種隔離保護屏障，數據和信息經防火墻隔離后從計算機流出，保護加密信息；外界數據和信息經防火墻流入計算機，將外界有病毒的、不安全的、不確定的因素隔離掉。防火墻是軟件和硬件的組合體，是計算機解決網絡安全問題的首要基本方法。

2.2升級操作系統，修復漏洞

計算機操作系統本身結構、程序復雜，操作系統供應商也在不斷的更新、完善系統，用戶應及時升級操作系統，補正最新的補丁，修復系統漏洞，以便防御各種惡意入侵，將系統風險降至最低。

2.3安裝防病毒軟件

保護用戶計算機網絡的安全性的最基礎和最重要的一環就是安裝防病毒軟件，如360殺毒、瑞星殺毒等。通過定時使用防病毒軟件對計算機各個硬盤及網絡環境進行掃描，對于其中文件、郵件、以及代有可執行的文件.exe等進行掃描，發現并清除病毒文件。另外，用戶需經常及時的更新病毒庫，以防范新病毒的入侵。

2.4數據庫管理

數據庫存儲著計算機的所有數據和信息，是計算機系統非常重要的部分，為防止發生突發性的情況，數據庫要進行一用一備的雙數據庫，煙草行業使用信息化系統隨著使用時間和使用規模的增加，數據量增大，除了一用一備的數據庫管理模式，更應該建設數據庫災備管理、雙機熱備等，以應對緊急情況，以實現對數據庫的安全管理及維護，保證系統數據和信息的安全、準確和全面。

2.5數據加密技術

在數據量的激增，用戶隨時隨地利用網絡查看信息的需求，大數據、云計算的使用越來越廣泛的環境下，保障用戶的數據有效、完整、保密顯得更為突出。數據加密技術對于云計算和大數據來說，是一種行之有效的保密、安全技術，原理是用戶對某部分數據發起查詢指令，云端將數據發送出去后，要經過加密軟件轉換成加密文件進行傳輸，再傳輸給用戶端前，在經過解密文件進行還原。加密和解密的過程都離不開關鍵的環節就是密鑰。數據加密技術在互聯網大數據、云計算的大環境下，是非常必要的，通過加密技術來保證數據傳遞的真實性、可靠性和保密性。

3網絡安全管理

3.1加強防范措施

計算機網絡安全的防護不僅需要技術手段上的保駕護航，更需要管理手段的完善和提高。煙草行業網絡管理部分需要建立網絡監測管理系統和機制，安排進行必要的日常巡檢、漏洞更新等常規操作，并定期對所有計算機進行涉密檢查，對計算機內的信息和數據進行全面監測，發現異常情況及時處理。安全、可靠、完備的監測管理手段，可以在一定程度上防止外部攻擊。制定合理的網絡管理規范和安全制度，能從根本上有效地防止人為因素產生的漏洞。規范上網行為，制定上網行為管理規范，有效降低內部員工上網誤操作帶來的損失。制定移動存儲設備管理制度，杜絕將存有機密信息的存儲設備、筆記本計算機等設備帶離崗位或單位，如有必要需要建立申請制度。

3.2加強管理制度

煙草行業信息化管理部門要建立健全網絡安全管理機構和相關制度，使得相關人員在工作過程中做到分工明確、有張可循、責任到人。對于風險要有嚴密的防控機制，出現問題要有合理快速的解決辦法可循，將事故率降至最低。建立完善的管理工作交接、使用權限交接等的制度和規則，網絡管理人員如遇工作調動、辭職、退休等情況時，交接工作有章可循。

3.3注重人才培養

計算機、網絡技術需要專業性強的人才進行運行和管理，因此，加強煙草行業網絡管理專業技術人才隊伍建設和能力提升，對于提升煙草行業網絡安全等級具有現實意義。注重高級人才的引進和現有人員的培養、培訓，對網絡管理人員進行專業知識的培訓，普及信息安全技術，組織信息安全保密知識學習，聽取相關專家的行業發展講座，提高網絡管理人員的整體素質，從專業技能到宏觀大局都具有前瞻性。對信息中心網絡安全人員進行信息化和網絡方面的專業技術培訓，包括統一標準、數據庫維護、網絡技術，對計算機網絡管理員和操作員進行專業培訓，加強專業素養，提高個人能力，應對新技術的發展變化。

作者:施驊 單位:江蘇鑫源煙草薄片有限公司

企業網絡安全論文:云計算技術下企業網絡安全管理研究

【摘要】云計算借助于虛擬化技術，通過網絡平臺提供軟件、平臺等服務，在下一代網絡技術中，云計算技術將成為核心技術，它提供可靠、安全的信息存儲，具有強大的數據處理與快捷的互聯網服務能力。本文則重要探討云計算下的企業網路安全管理系統的構建，自在提高企業管理水平，促進企業快速發展。

【關鍵詞】云計算;企業網絡;安全管理;構建

近幾年來，伴隨著科學技術及其網絡信息技術的快速發展，云計算在各個領域中均得到實施。信息網絡技術已為人們的生產及生活帶來較大便利，同時也帶來了信息安全問題。企業網絡安全問題日益凸顯，云計算作為一種新型的核心技術，在各行各業中均得到廣泛應用。

1云計算概述

云計算是2007年出現的新名詞，只帶現在還沒有一個確切的定義。總的來說，云計算指的是把分布式計算，虛擬化等技術結合起來的一種計算方式，基于互聯網為媒介，向用戶提供各種技術說明、數據說明及應用，以方便用戶使用起來更方便快捷。對于云計算而言，它是分布式處理、網絡計算的發展，對分布式計算機中的數據、資源進行整合，實現協同工作。用戶連上網絡，運用云計算技術使標準化的訊息和數據更加的有效、精確、快速及多量化。云計算主要由計算與編程技術、數據存儲技術、虛擬機技術、數據處理技術等技術構成。云計算技術不同于其他技術，它具有自身獨特的特征，其中包括：超大規模、高真實性、高安全性、擴張性、按需求提供等。云計算技術具有獨特的特征，即使用成本低，適應范圍廣泛、高效的運行速度，被各大企業廣泛運用。云計算通過電腦進行數據，至電腦的算術功能更加強大，使那些繁瑣的、量大的計算得到了提高。并且，啟用云計算模式，使數據的儲存更加的統一化，有利于數據在監管測試中更加的安全。在云計算模式的數據中心中，其對數據的統一化、資源配置的有效化、系統的優化、安全的監測環境和鋪排軟件，有效的提高了數據的完整性。并且，在云計算平臺加入硬件、軟件及技術資源，從而促進集中管理的實行，同時，增加動態的虛構化層次，促進了資源、硬軟件的全面發展。云計算技術具有可持續性、虛擬化的特點，可持續性的特點，使系統的總體消耗費用在一定的程度上降低。云計算的種類可分為公共云、社區云、混合云及私有云。其中公共云主要用于公共服務的云平臺，進而為公眾提證供云存儲及云計算的服務；社區云則是在某一區域內使用的云服務，進而為多家關聯機構所提供的云服務；混合云是兩種或兩種以上的云所組成的；私有云是指企業內部所使用的云服務，適宜專網向結構采用。

2云計算在企業網絡安全管理系統中的應用

隨著科技的飛速發展和網絡的普及，企業管理所形成的運用系統平臺都向著規模化、多效用化、高效能、高機能的方向發展。以保障企業網絡管理系統安全的正常運行、對其進行定時調度和維護，完善企業內部網絡的建設發展，云計算技術在企業網絡安全管理中的應用必不可少。基于云計算技術的應用將整合數據信息資源，可以確保企業安全管理系統數據的安全。

2.1云計算系統實現

作為多層服務的集合體系，電力云主要由物理存儲層、基礎管理層、高級訪問層、應用接口層四個主要層次構成。云計算系統是在企業網絡安全管理中，網絡存儲與設備是以物理存儲層為基礎的，其所分布的地理位置不同導致其云物理設備也不同，這些差異的地理位置及云物理設備之間的連接主要是通過內部網來實現的。基礎管理層是采用集群式和分布式系統，促使云中的儲存設備進行協同工作，在基礎管理層中，還包括機密、數據備份內容。高級訪問層主要包括管理系統的基礎與高級應用，通過軟件平臺來實現安全管理軟件快速有效的運行。云計算系統是在企業網絡安全管理中，應用接口層是其最最活躍的部分，其系統中的運行管理機構信息及數據獲取必需通過應用接口層完成。

2.2云計算的信息整合

云計算的信息整合很多都是通過云計算技術來實現的，如企業網絡安全管理系統中的信息同享，利用公有信息模型，標準組件接口，讓多個企業網絡數據庫中的數據進行交流、同享。同時，可利用自動分析與拆分技術，對系統中繁瑣的資源進行統一，使其任務變成較小任務。經過企業網絡安全管理系統中某個信息點將請求發云體系實現資源的統一，在請求接到后，將數據請求要求發送給企業網絡安全管理中的公用信息平臺，依照請求，對系統中的資源進行儲蓄整理、推算。

2.3資源管理與調度

為了完成云計算技術在工作中的的有效使用，應該鞏固對資源的處理、調度。其詳細運行表現為：起初，為了保證企業網絡安全管理系統的安定、穩固進行，應該對每一臺使用云計算技術的計算機設施進行整合，對使用者權利、使用者因特網地址、用戶終端級別進行整合。另外，描繪計算機資源近狀，對Cache、MFLOPS等數據結構進行概述。最后，實現云內部任意終端的探問，運用云調度技能，有效處理云資源，完成對系統資源的靈驗、科學整理，便于資源的詢問、使用。企業網絡安全管理系統與云計算的應用具有計算速度快、安全可靠性高、應用范圍廣的特點。為了使企業網絡安全管理系統有效快速的運行，云計算技術還對技術標準合理的進行規范，利用數據模型，完成數據的平穩執行。

2.4云計算的關鍵技術

數據安全技術。在企業網絡管理系統中采用云計算技術，數據的散落式儲存保證了數據的安全問題、系統內的安全問題。在系統進行運行的過程中中，保障數據完好，應該對數據處理、用戶約束、資源證實、權利管理等各技術的認真分析，保障應用數據的穩定性、整體性。因此，在系統運行過程中，云計算技術還要加強對數據的隱秘功能，從而保證數據的穩定性、整體性，可以通過數據加密技術進行維護。就像采用華為技術公司利用IaaS層資源管理軟件，有用地解決了數據存在的安全問題。與此之外，數據的安全技術強化系統中的用戶數據安全，保障用戶數據的安全共享，保障了數據的交迭。動態任務調度技術。其于企業網絡管理系統，其計算方式有暫態、靜態等多樣性，因為計算時間具有不穩定性因素，且計算之間是具有相互依靠關系，從而便增加了計算任務的調度的難度。因此，為了保證企業網絡管理系統的高速運行，在系統的云計算中心，使用任務預分配與動態分配相配合，分布式文件與本地文件相配合的形式，從而提高資源的有效利用，促使數據運送、調整管理的時間損失降低了一定的程度。一體化數據管理技術。在系統的多種整理中，通過采用一體化數據管理技術與模型的方法來實現數據模型的統一化，以此減少不同模型轉化的過程中所形成的數據丟失與失誤，利用合并的計算數據準則。在當前的的數據模型中，大部分采取EICCIM國際標準，同時使用國網E格式標準數據替換，而關于計算輸入數據而言，可使用BPA和PSASP兼并的方法。

3企業網絡安全管理系統中云計算技術的應用

云計算在企業網絡安全管理系統中的應用可分為三大層次，即：基礎設施層、平臺服務層及軟件服務層。其中基礎設施層是面向應用對象，平臺服務層面向服務、軟件服務層面向用戶。在每一個層次中都能夠根據功能需求加以細化。并且根據邏輯的順序，在基礎設施層上能夠分為數據采集及其轉化，并且根據硬件的不同，將其分為用戶設備終端、存儲設備及其服務器等。此外，在云計算的信息管理中，大多是通過虛擬化的技術來實現資源的形象化轉變，并將數據傳遞到服務平臺。同時根據設計及開發的相關流程，平臺服務層可分為開發、測試及其運行。每一層都應根據相關設計來進行開發。如：在建立某企業的網絡安全管理系統時，首先，應對該企業的業務類型進行全面調查分析，并給予分類，查看適合采用哪一種云計算分類。若企業的網絡安全管理系統適宜采用私有云計算類型，則可采用私有云的管理系統。然后，企業應根據實際應用需求，需要配備足夠的服務器設備等。再次，對企業內部IT資源、數據中心等加以整合，并選擇較為合適的虛擬化方法，對存儲設備及服務器給予虛擬化整合，將已虛擬化的集成管理器給予管理，并將其上傳到云計算的平臺之中。最后，在軟件的服務層，應根據實際的應用對象及其需求進而用戶終端提供不同的軟件，并設置相應的操作系統。當企業采用云計算的技術后，應配置基礎設施或功能軟件等，最終向服務提供者提供費用，可有效降低計算成本。對于云計算的信息管理系統，其中影響較大的缺陷即所擁有的隱私保護力不夠，且公享資源的較大則是服務提供者所擁有的任意數據，如何在確保資源共享的優點下，達到保護用戶隱私的目的，是當前亟需解決的問題。

4結語

總而言之，云計算技術是當前流行的新技術，已在各行各業中得到廣泛應用，并且取得了較好的成效。對于企業網絡安全管理而言也不例外，同樣可采用云計算技術，能夠提高管理效率及質量。本文則將云計算技術應用于企業安全網絡管理中，旨在提高信息安全管理水平，促進企業的可持續發展。

作者:程偉 單位:宜賓學院網絡與多媒體管理中心

企業網絡安全論文:淺談企業網絡安全系統的應用

0引言

隨著企業網絡信息技術的快速發展和廣泛應用，社會信息化進程不斷加快，生產制造、物流網絡、自動化辦公系統對信息系統的依賴程度越來越大，因此，保證信息系統的安全穩定運行也越來越重要。如何保證企業網絡信息化安全、穩定運行就需要網絡規劃設計師在設計初始周全的考慮到網絡安全所需達到的條件（包括硬件、OSI/RM各層、各種系統操作和應用）。

1網絡安全、信息安全標準

網絡安全性標準是指為了規范網絡行為，凈化網絡環境而制定的強制性或指導性的規定。目前，網絡安全標準主要有針對系統安全等級、系統安全等級評定方法、系統安全使用和操作規范等方面的標準。世界各國紛紛頒布了計算機網絡的安全管理條例，我國也頒布了《計算機網絡國際互聯網安全管理方法》等多個國家標準，用來制止網絡污染，規范網絡行為，同時各種網絡技術在不斷的改進和完善。1999年9月13日，中國頒布了《計算機信息系統安全保護等級劃分準則》（GB17859：1999），定義了計算機信息系統安全保護能力的5個等級，分別如下：（1）第一級：用戶自主保護級。它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。（2）第二級：系統審計保護級。除繼承前一個級別的安全功能外，還要求創建和維護訪問的審計蹤記錄，使所有的用戶對自己行為的合法性負責。（3）第三級：安全標記保護級。除繼承前一個級別的安全功能外，還要求以訪問對象標記的安全級別限制訪問者的訪問權限，實現對訪問對象的強制訪問。（4）第四級：結構化保護級。除繼承前一個級別的安全功能外，將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分直接控制訪問者對訪問對象的存取，從而加強系統的抗滲透能力。（5）第五級：訪問驗證保護級。除繼承前一個級別的安全功能外，還特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動。

2企業網絡主要安全隱患

企業網絡主要分為內網和外網，網絡安全體系防范的不僅是病毒感染，還有基于網絡的非法入侵、攻擊和訪問，但這些非法入侵、攻擊、訪問的途徑非常多，涉及到整個網絡通信過程的每個細節。從以往的網絡入侵、攻擊等可以總結出，內部網絡的安全威脅要多于外部網絡，因為內網受到的入侵和攻擊更加容易，所以做為網絡安全體系設計人員要全面地考慮，注重內部網絡中存在的安全隱患。

3企業網絡安全防護策略

設計一個更加安全的網絡安全系統包括網絡通信過程中對OSI/RM的全部層次的安全保護和系統的安全保護。七層網絡各個層次的安全防護是為了預防非法入侵、非法訪問、病毒感染和黑客攻擊，而非計算機通信過程中的安全保護是為了預防網絡的物理癱瘓和網絡數據損壞的。OSI/RM各層采取的安全保護措施及系統層的安全防護如圖1所示。

4OSI/RM各層主要安全方案

4.1物理層安全

通信線路的屏蔽主要體現在兩個方面：一方面是采用屏蔽性能好的傳輸介質，另一方面是把傳輸介質、網絡設備、機房等整個通信線路安裝在屏蔽的環境中。（1）屏蔽雙絞線屏蔽與非屏蔽的普通五類、超五類雙絞線的主要區別是屏蔽類雙絞線中8條（4對）芯線外集中包裹了一屏蔽層。而六類屏蔽雙絞和七類雙絞線除了五類、超五類屏蔽雙絞線的這一層統一屏蔽層外，還有這些屏蔽層就是用來進行電磁屏蔽的，一方面防止外部環境干擾網線中的數據傳輸，另一方防止傳輸途中的電磁泄漏而被一些別有用心的人偵聽到。（2）屏蔽機房和機柜機房屏蔽的方法是在機房外部以接地良好的金屬膜、金屬網或者金屬板材（主要是鋼板）包圍，其中包括六面板體和一面屏蔽門。根據機房屏蔽性能的不同，可以將屏蔽機房分為A、B、C三個級別，最高級為C級。機柜的屏蔽是用采用冷扎鋼板圍閉而成，這些機柜的結構與普通的機柜是一樣的，都是標準尺寸的。（3）WLAN的物理層安全保護對于無線網絡，因為采用的傳輸介質是大氣，大氣是非固定有形線路，安全風險比有線網絡更高，所以在無線網絡中的物理層安全保護就顯得更加重要了。如果將機房等整個屏蔽起來，成本太高，現在主要采用其他方式如多位數共享密鑰、WPA/WPA2動態密鑰、IEEE802.1X身份驗證等。現在最新的無線寬帶接入技術——WiMAX對于來自物理層的攻擊，如網絡阻塞、干擾，顯得很脆弱，以后將提高發射信號功率、增加信號帶寬和使用包括跳頻、直接序列等擴頻技術。

4.2數據鏈路層安全

在數據鏈路層可以采用的安全保護方案主要包括：數據鏈路加密、MAC地址綁定（防止MAC地址欺騙）、VLAN網段劃分、網絡嗅探預防、交換機保護。VLAN隔離技術是現代企業網絡建設中用的最多的技術，該技術可分為基于端口的VLAN、基于MAC地址的VLAN、基于第三層的VLAN和基于策略的VLAN。

4.3網絡層安全

在網絡層首先是身份的認證，最簡單的身份認證方式是密碼認證，它是基于windows服務器系統的身份認證可針對網絡資源的訪問啟用“單點登錄”，采用單點登錄后，用戶可以使用一個密碼或智能卡一次登錄到windows域，然后向域中的任何計算機驗證身份。網絡上各種服務器提供的認證服務，使得口令不再是以明文方式在網絡上傳輸，連接之間的通信是加密的。加密認證分為PKI公鑰機制（非對稱加密機制），Kerberos基于私鑰機制（對稱加密機制）。IPSec是針對IP網絡所提出的安全性協議，用途就是保護IP網絡通信安全。它支持網絡數據完整性檢查、數據機密保護、數據源身份認證和重發保護，可為絕大部分TCP/IP族協議提供安全服務。IPSec提供了兩種使用模式：傳輸模式（TransportMode）和隧道模式（TUNNELMode）。

4.4傳輸層安全

傳輸層的主要作用是保證數據安全、可靠的從一端傳到另一端。TLS/SSL協議是工作在傳輸層的安全協議，它不僅可以為網絡通信中的數據提供強健的安全加密保護，還可以結合證書服務，提供強大的身份誰、數據簽名和隱私保護。TLS/SSL協議廣泛應用于Web瀏覽器和Web服務器之間基于HTTPS協議的互聯網安全傳輸。

4.5防火墻

因防火墻技術在OSI/RM各層均有體現，在這里簡單分析一下防火墻，防火墻分為網絡層防火墻和應用層防火墻，網絡層防火墻可視為一種IP封包過濾器，運作在底層的TCP/IP協議堆棧上。應用層防火墻是在TCP/IP堆棧的“應用層”上運作，應用層防火墻可以攔截進出某應用程序的所有封包。目前70%的攻擊是發生在應用層，而不是網絡層。對于這類攻擊，傳統網絡防火墻的防護效果，并不太理想。

5結語

以上對于實現企業網絡建設安全技術及信息安全的簡單論述，是基于網絡OSI/RM各層相應的安全防護分析，重點分析了物理層所必須做好的各項工作，其余各層簡單分析了應加強的主要技術。因網絡技術日新月益，很多新的網絡技術在本文中未有體現，實則由于本人時間、水平有限，請各位讀者給予見解。文章中部分內容借簽于參考文獻,在此非常感謝各位作者的好書籍。

作者:單位:西山煤電（集團）有限公司物資供應分公司

企業網絡安全論文:企業網絡安全現狀與防御措施

0引言

隨著數據庫、軟件工程和多媒體通信技術的快速發展，礦山企業實施了安全生產集控系統、環境監測系統、調度管控系統、移動辦公系統及智能決策支持等系統，實現了礦山企業安全生產、辦公和管理信息化、智能化。網絡能夠實現各類信息化系統的數據共享、協同辦公等，也是信息化系統正常運行的關鍵，因此網絡安全防御具有重要的作用。本文詳細地分析了礦山企業網絡安全面臨的問題和現狀，提出采用先進的防御措施，構建安全管理系統，以便提高網絡安全性能，進一步改善礦山企業信息化運營環境的安全性。

1礦山企業網絡安全現狀分析

隨著互聯網技術的快速發展，互聯網將分布于礦山企業生產、管理等部門的設備連接在一起，形成了一個強大的礦山企業服務系統，為礦山企業提供了強大的信息共享、數據傳輸能力。但是，由于許多礦山企業工作人員在操作管理系統、使用計算機時不規范，如果一臺終端或服務器感染了計算機病毒、木馬，將會在很短的時間內擴散到其他終端和服務器中，感染礦山企業信息化系統，導致礦山企業服務系統無法正常使用。經過分析與研究，目前網絡安全管理面臨威脅攻擊渠道多樣化、威脅智能化等現狀。

1.1網絡攻擊渠道多樣化

目前網絡黑客技術正快速普及，網絡攻擊和威脅不僅僅來源于黑客、病毒和木馬，傳播渠道不僅僅局限于計算機，隨著移動互聯網、光纖網絡的興起和應用，網絡安全威脅通過智能終端進行傳播，傳播渠道更加多樣化。

1.2網絡安全威脅智能化

隨著移動計算、云計算和分布式計算技術的快速發展，網絡黑客制作的木馬和病毒隱藏周期更長，破壞的范圍更加廣泛，安全威脅日趨智能化，給礦山企業信息化系統帶來的安全威脅更加嚴重，非常容易導致網絡安全數據資料丟失。

1.3網絡安全威脅嚴重化

網絡安全攻擊渠道多樣、智能逐漸增加了安全威脅的程度，網絡安全受到的威脅日益嚴重，礦山企業網絡設備、數據資源一旦受到安全攻擊，將會在短時間內迅速感染等網絡中接入的軟硬件資源，破壞網絡安全威脅。

2礦山企業網絡安全防御措施研究

礦山企業網絡運行過程中，安全管理系統可以采用主動、縱深防御模式，安全管理系統主要包括預警、響應、保護、防御、監測、恢復和反擊等六種關鍵技術，從根本上轉變礦山企業信息系統使用人員的安全意識，改善系統操作規范性，進一步增強網絡安全防御性能。

2.1網絡安全預警

網絡安全預警措施主要包括漏洞預警、行為預警和攻擊趨勢預警，能夠及時發現網絡數據流中存在的威脅。漏洞預警可以積極發現網絡操作系統中存在的漏洞，以便積極升級系統，修復系統漏洞。行為預警、攻擊預警可以分析網絡數據流，發現數據中隱藏的攻擊行為或趨勢,以便能夠有效預警。網絡安全預警是網絡預警的第一步,其作用非常明顯,可以為網絡安全保護提供依據。

2.2網絡安全保護

網絡安全保護可以采用簡單的殺毒軟件、防火墻、訪問控制列表、虛擬專用網等技術防御攻擊威脅，以便保證網絡數據的機密性、完整性、可控性、不可否認性和可用性。網絡安全保護與傳統的網絡安全防御技術相近，因此在構建主動防御模型時，融入了傳統的防御技術。

2.3網絡安全監測

網絡安全監測可以采用掃描技術、實時監控技術、入侵檢測技術等發現網絡中是否存在嚴重的漏洞或攻擊數據流，能夠進一步完善主動防御模型內容，以便從根本上保證網絡安全防御的完整性。

2.4網絡安全響應

網絡安全響應能夠對網絡中存在的病毒、木馬等安全威脅做出及時的反應，以便進一步阻止網絡攻擊，將網絡安全威脅阻斷或者引誘到其他的備用主機上。

2.5網絡恢復

礦山企業信息系統遭受到攻擊之后，為了盡可能降低網絡安全攻擊損失，提高用戶的承受能力，可以采用網絡安全恢復技術，將系統恢復到遭受攻擊前的階段。主動恢復技術主要采用離線備份、在線備份、階段備份或增量備份等技術。

2.6網絡安全反擊

網絡反擊技術是主動防御最為關鍵的技術，也是與傳統的網絡防御技術最大的區別。網絡反擊技術可以采用欺騙類攻擊、病毒類攻擊、漏洞類攻擊、探測類攻擊和阻塞類攻擊等技術，網絡反擊技術可以針對攻擊威脅的源主機進行攻擊，不但能夠阻斷網絡攻擊，還可以反擊攻擊源，以便破壞攻擊源主機的運行性能。

3礦山企業網絡安全管理系統設計

為了能夠更好地導出系統的邏輯業務功能，對網絡安全管理的管理員、用戶和防御人員進行調研和分析，使用原型化方法和結構化需求分析技術導出了系統的邏輯業務功能，分別是系統配置管理功能、用戶管理功能、安全策略管理功能、網絡狀態監控管理功能、網絡運行日志管理功能、網絡運行報表管理功能等六個部分。

3.1網絡安全管理系統配置管理功能分析

通過對網絡安全管理系統操作人員進行調研和分析，導出了系統配置管理功能的業務功能，系統配置管理功能主要包括七個關鍵功能，分別是系統用戶信息配置管理功能、網絡模式配置、網絡管理參數配置、網絡管理對象配置、輔助工具配置、備份與恢復配置和系統注冊與升級等。

3.2用戶管理功能分析

礦山企業網絡運行中，其主要設備包括多種，操作的用戶也有很多種類別，比如網絡設備管理人員、應用系統管理人員、網絡維護部門、服務器等，因此用戶管理功能主要包括人員、組織、機器等分析，主要功能包括三個方面，分別是組織管理、自動分組和認證配置。組織管理功能可以對網絡中的設備進行組織和管理，按照賬號管理、機器管理等進行操作；自動分組可以根據用戶搜索的設備的具體情況改善機器的搜索范圍，添加到機器列表中，并且可以對及其進行重新的分組管理；認證配置可以根據終端機器的登錄模式進行認證管理。

3.3安全策略管理功能分析

網絡安全防御過程中，網絡安全需要配置相關的策略，以便能夠更好的維護網絡運行安全，同時可以為用戶提供強大的保護和防御性能，網絡安全策略配置是非常重要的一個工作內容。網絡安全防御規則包括多種，比如入侵監測規則、網絡響應規則、網絡阻斷規則等，配置過程復雜，工作量大，通過歸納，需要根據網絡安全防御的關鍵內容設置網絡訪問的黑白名單、應用封堵、流量封堵、行為審計、內容審計、策略分配等功能。

3.4網絡狀態監控管理功能分析

網絡運行過程中，由于涉及的服務器、終端設備較多，網絡運行容易產生錯誤，需要對網絡狀態進行實時監管，以便能夠及時的發現網絡中存在的攻擊威脅、故障燈。網絡運行管理過程中，需要時刻的監控網絡的運行管理狀態，具體的網絡運行管理的狀態主要包括三個方面，分別是系統運行狀態、網絡活動狀態、流量監控狀態。

3.5網絡運行日志管理功能分析

礦山企業網絡運行過程中，根據計算機的特性需要保留網絡操作日志，如果發生網絡安全事故，可以對網絡操作日志進行分析，便于發現某些操作是不符合規則的。因此，網絡運行管理過程中，網絡運行日志管理可以分析網絡運行操作的主要信息，日志管理主要包括以下幾個方面，分別是內容日志管理、報警日志管理、封堵日志管理、系統操作日志管理。

3.6網絡運行報表管理功能分析

網絡運行過程中，為了能夠實現網絡安全管理的統計分析，可以采用網絡安全報表管理模式，以便能夠統計分析接入到網絡中的各種軟硬件設備和系統的運行情況，網絡運行報表管理主要包括兩個方面的功能，分別是統計報表和報表訂閱。

4結束語

隨著物聯網、大數據、云計算和移動互聯網技術的快速應用和普及，礦山企業逐漸進入智慧化時代，網絡安全威脅更加智能化、快速化和多樣化，感染速度更快，影響范圍更廣，給礦山企業信息系統帶來的損失更加嚴重，本文提出構建一種多層次的主動網絡安全防御系統，能夠提高礦山企業信息系統網絡運行的安全性，具有重要的作用和意義。

作者:張軍 單位:陜西南梁礦業有限公司