導(dǎo)語(yǔ)：如何才能寫好一篇企業(yè)網(wǎng)絡(luò)安全方案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)；安全；病毒；物理

在現(xiàn)代企業(yè)的生存與發(fā)展過(guò)程中，企業(yè)網(wǎng)絡(luò)安全威脅與企業(yè)網(wǎng)絡(luò)安全防護(hù)是并行存在的。雖然企業(yè)網(wǎng)絡(luò)安全技術(shù)與以往相比取得了突破性的進(jìn)展，但過(guò)去企業(yè)網(wǎng)絡(luò)處于一個(gè)封閉或者是半封閉的狀態(tài)，只需簡(jiǎn)單的防護(hù)設(shè)備和防護(hù)方案即可保證其安全性。而當(dāng)今大多數(shù)企業(yè)網(wǎng)絡(luò)幾乎處于全球互聯(lián)的狀態(tài)，這種時(shí)空的無(wú)限制性和準(zhǔn)入的開放性間接增加了企業(yè)網(wǎng)絡(luò)安全的影響因素，自然給企業(yè)網(wǎng)絡(luò)安全帶來(lái)了更多的威脅。因此，企業(yè)網(wǎng)絡(luò)安全防護(hù)一個(gè)永無(wú)止境的過(guò)程，對(duì)其進(jìn)行研究無(wú)論是對(duì)于網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，還是對(duì)于企業(yè)的持續(xù)發(fā)展，都具有重要的意義。

1企業(yè)網(wǎng)絡(luò)安全問(wèn)題分析

基于企業(yè)網(wǎng)絡(luò)的構(gòu)成要素以及運(yùn)行維護(hù)條件，目前企業(yè)網(wǎng)絡(luò)典型的安全問(wèn)題主要表現(xiàn)于以下幾個(gè)方面。

1.1網(wǎng)絡(luò)設(shè)備安全問(wèn)題

企業(yè)網(wǎng)絡(luò)系統(tǒng)服務(wù)器、網(wǎng)絡(luò)交換機(jī)、個(gè)人電腦、備用電源等硬件設(shè)備，時(shí)常會(huì)發(fā)生安全問(wèn)題，而這些設(shè)備一旦產(chǎn)生安全事故很有可能會(huì)泄露企業(yè)的機(jī)密信息，進(jìn)而給企業(yè)帶來(lái)不可估量經(jīng)濟(jì)損失。以某企業(yè)為例，該企業(yè)網(wǎng)絡(luò)的服務(wù)器及相關(guān)網(wǎng)絡(luò)設(shè)備的運(yùn)行電力由UPS接12V的SOAK蓄電池組提供，該蓄電池組使用年限行、容量低，在長(zhǎng)時(shí)間停電的情況下，很容易由于蓄電池的電量耗盡而導(dǎo)致整個(gè)企業(yè)網(wǎng)絡(luò)的停運(yùn)。當(dāng)然，除了電源問(wèn)題外，服務(wù)器、交換機(jī)也存在諸多安全隱患。

1.2服務(wù)器操作系統(tǒng)安全問(wèn)題

隨著企業(yè)規(guī)模的壯大以及企業(yè)業(yè)務(wù)的拓展，對(duì)企業(yè)網(wǎng)絡(luò)服務(wù)器的安全需求也有所提高。目前諸多企業(yè)網(wǎng)絡(luò)服務(wù)器采用的是WindowsXP或Windows7操作系統(tǒng)，由于這些操作系統(tǒng)存在安全漏洞，自然會(huì)降低服務(wù)器的安全防御指數(shù)。加上異常端口、未使用端口以及不規(guī)范的高權(quán)限賬號(hào)管理等問(wèn)題的存在，在不同程度上增加了服務(wù)器的安全威脅。

1.3訪問(wèn)控制問(wèn)題

企業(yè)網(wǎng)絡(luò)訪問(wèn)控制安全問(wèn)題也是較為常見(jiàn)的，以某企業(yè)為例，該企業(yè)采用Websense管理軟件來(lái)監(jiān)控企業(yè)內(nèi)部人員的上網(wǎng)行為，但未限制存在安全隱患的上網(wǎng)活動(dòng)。同時(shí)對(duì)于內(nèi)部上網(wǎng)終端及外來(lái)電腦未設(shè)置入網(wǎng)認(rèn)證及無(wú)線網(wǎng)絡(luò)訪問(wèn)節(jié)點(diǎn)安全檢查，任何電腦都可在信號(hào)區(qū)內(nèi)接入到無(wú)線網(wǎng)絡(luò)。

2企業(yè)網(wǎng)絡(luò)安全防護(hù)方案

基于上述企業(yè)網(wǎng)絡(luò)普遍性的安全問(wèn)題，可以針對(duì)性的提出以下綜合性的安全防護(hù)方案來(lái)提高企業(yè)網(wǎng)絡(luò)的整體安全性能。

2.1網(wǎng)絡(luò)設(shè)備安全方案

企業(yè)網(wǎng)絡(luò)相關(guān)設(shè)備的安全性能是保證整個(gè)企業(yè)網(wǎng)絡(luò)安全的基本前提，為了提高網(wǎng)絡(luò)設(shè)備的整體安全指數(shù)，可采取以下具體措施。首先，合適傳輸介質(zhì)的選用。盡量選擇抗干擾能力強(qiáng)、傳輸頻帶寬、傳輸誤碼率低的傳輸介質(zhì)，例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業(yè)網(wǎng)絡(luò)相關(guān)主干設(shè)備對(duì)交流電源的生產(chǎn)質(zhì)量、供電連續(xù)性、供電可靠性以及抗干擾性等指標(biāo)提出了更高的要求，這就要求對(duì)企業(yè)網(wǎng)絡(luò)的供電系統(tǒng)進(jìn)行優(yōu)化。以上述某企業(yè)網(wǎng)絡(luò)系統(tǒng)電源供電不足問(wèn)題為例，為了徹底解決傳統(tǒng)電源供給不足問(wèn)題，可以更換為大容量的蓄電池組，并安裝固定式發(fā)電機(jī)組，進(jìn)而保證在長(zhǎng)時(shí)間停電狀態(tài)下企業(yè)網(wǎng)絡(luò)設(shè)備的可持續(xù)供電，避免因?yàn)閿嚯姸鴮?dǎo)致文件損壞及數(shù)據(jù)丟失等安全問(wèn)題的發(fā)生。

2.2服務(wù)器系統(tǒng)安全方案

企業(yè)網(wǎng)絡(luò)服務(wù)器系統(tǒng)的安全尤為重要，然而其安全問(wèn)題的產(chǎn)生又是多方面因素所導(dǎo)致的，需要從多個(gè)層面來(lái)構(gòu)建安全防護(hù)方案。

2.2.1操作系統(tǒng)漏洞安全

目前企業(yè)網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)以Windows為主，該系統(tǒng)漏洞的出現(xiàn)成為了諸多攻擊者的重點(diǎn)對(duì)象，除了采取常規(guī)的更新Windows系統(tǒng)、安裝系統(tǒng)補(bǔ)丁外，還應(yīng)針對(duì)企業(yè)網(wǎng)絡(luò)服務(wù)器及個(gè)人電腦的操作系統(tǒng)使用實(shí)際情況，實(shí)施專門的漏洞掃描和檢測(cè)，并根據(jù)掃描結(jié)果做出科學(xué)、客觀、全面的安全評(píng)估，如圖1所示，將證書授權(quán)入侵檢測(cè)系統(tǒng)部署在核心交換機(jī)的監(jiān)控端口，并在不同網(wǎng)段安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(cè)，以此來(lái)檢測(cè)和響應(yīng)網(wǎng)絡(luò)入侵威脅。圖1漏洞掃描及檢測(cè)系統(tǒng)

2.2.2Windows端口安全

在Windows系統(tǒng)中，端口是企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)信息服務(wù)主要通道，一般一臺(tái)服務(wù)器會(huì)綁定多個(gè)IP，而這些IP又通過(guò)多個(gè)端口來(lái)提高企業(yè)網(wǎng)絡(luò)服務(wù)能力，這種多個(gè)端口的對(duì)外開放在一定程度反而增加了安全威脅因素。從目前各種服務(wù)器網(wǎng)絡(luò)攻擊的運(yùn)行路徑來(lái)看，大多數(shù)都要通過(guò)服務(wù)器TCP/UDP端口，可充分這一點(diǎn)來(lái)預(yù)防各種網(wǎng)絡(luò)攻擊，只需通過(guò)命令或端口管理軟件來(lái)實(shí)現(xiàn)系統(tǒng)端口的控制管理即可。

2.2.3Internet信息服務(wù)安全

Internet信息服務(wù)是以TCP/IP為基礎(chǔ)的，可通過(guò)諸多措施來(lái)提高Internet信息服務(wù)安全。（1）基于IP地址實(shí)現(xiàn)訪問(wèn)控制。通過(guò)對(duì)IIS配置，可實(shí)現(xiàn)對(duì)來(lái)訪IP地址的檢測(cè)，進(jìn)而以訪問(wèn)權(quán)限的設(shè)置來(lái)阻止或允許某些特定計(jì)算機(jī)的訪問(wèn)站點(diǎn)。（2）在非系統(tǒng)分區(qū)上安裝IIS服務(wù)器。若在系統(tǒng)分區(qū)上安裝IIS，IIS就會(huì)具備非法訪問(wèn)屬性，給非法用戶侵入系統(tǒng)分區(qū)提供便利，因此，在非系統(tǒng)分區(qū)上安全I(xiàn)IS服務(wù)器較為科學(xué)。（3）NTFS文件系統(tǒng)的應(yīng)用。NTFS文件系統(tǒng)具有文件及目錄管理功能，服務(wù)器Windows2000的安全機(jī)制是基于NTFS文件系統(tǒng)的，因此Windows2000安裝時(shí)選用NTFS文件系統(tǒng)，安全性能更高。（4）服務(wù)端口號(hào)的修改。雖然IIS網(wǎng)絡(luò)服務(wù)默認(rèn)端口的使用為訪問(wèn)提供了諸多便捷，但會(huì)降低安全性，更容易受到基于端口程序漏洞的服務(wù)器攻擊，因此，通過(guò)修改部分服務(wù)器的網(wǎng)絡(luò)服務(wù)端口可提高企業(yè)網(wǎng)絡(luò)服務(wù)器的安全性。

2.3網(wǎng)絡(luò)結(jié)構(gòu)安全方案

2.3.1強(qiáng)化網(wǎng)絡(luò)設(shè)備安全

強(qiáng)化企業(yè)網(wǎng)絡(luò)設(shè)備的自身安全是保障企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)措施，具體包含以下措施。（1）網(wǎng)絡(luò)設(shè)備運(yùn)行安全。對(duì)各設(shè)備、各端口運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控能有效發(fā)現(xiàn)各種異常，進(jìn)而預(yù)防各種安全威脅。一般可通過(guò)可視化管理軟件的應(yīng)用來(lái)實(shí)現(xiàn)上述目標(biāo)，例如What’supGold能實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)設(shè)備狀態(tài)的監(jiān)控，而SolarWindsNetworkPerformancemonitor可實(shí)現(xiàn)對(duì)各個(gè)端口流量的實(shí)時(shí)監(jiān)控。（2）網(wǎng)絡(luò)設(shè)備登錄安全。為了保證網(wǎng)絡(luò)設(shè)備登錄安全指數(shù)，對(duì)于企業(yè)網(wǎng)絡(luò)中的核心設(shè)備應(yīng)配置專用的localuser用戶名，用戶名級(jí)別設(shè)置的一級(jí)，該級(jí)別用戶只具備讀權(quán)限，一般用于console、遠(yuǎn)程telnet登錄等需求。除此之外，還可設(shè)置一個(gè)單獨(dú)的super密碼，只有擁有super密碼的管理員才有資格對(duì)核心交換機(jī)實(shí)施相關(guān)配置設(shè)置。（3）無(wú)線AP安全。一般在企業(yè)內(nèi)部有多個(gè)無(wú)線AP設(shè)備，應(yīng)采用較為成熟的加密技術(shù)設(shè)置一個(gè)較為復(fù)雜的高級(jí)秘鑰，從而確保無(wú)線接入網(wǎng)的安全性。

2.3.2細(xì)分網(wǎng)絡(luò)安全區(qū)域

目前，廣播式局域的企業(yè)網(wǎng)絡(luò)組網(wǎng)模式存在著一個(gè)嚴(yán)重缺陷就是當(dāng)其中各個(gè)局域網(wǎng)存在ARP病毒時(shí)，未設(shè)置ARP本地綁定或未設(shè)置ARP防火墻的終端則無(wú)法有效訪問(wèn)系統(tǒng)，同時(shí)還可能泄露重要信息。為了解決這種問(wèn)題，可對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行細(xì)分，即按某種規(guī)則如企業(yè)職能部門將企業(yè)網(wǎng)絡(luò)終端設(shè)備劃分為多個(gè)網(wǎng)段，在每個(gè)網(wǎng)段均有不同的vlan，從而保證安全性。

2.3.3加強(qiáng)通問(wèn)控制

針對(duì)企業(yè)各個(gè)部門對(duì)網(wǎng)絡(luò)資源的需求，在通問(wèn)控制時(shí)需要注意以下幾點(diǎn)：對(duì)內(nèi)服務(wù)器應(yīng)根據(jù)提供的業(yè)務(wù)與對(duì)口部門互通；對(duì)內(nèi)服務(wù)器需要與互聯(lián)網(wǎng)隔離；體驗(yàn)區(qū)只能訪問(wèn)互聯(lián)網(wǎng)，不能訪問(wèn)辦公網(wǎng)。以上功能的實(shí)現(xiàn)，可在核心路由器和防火墻上共同配合完成。

作者:李常福 單位:鄭州市中心醫(yī)院

篇2

【論文摘要】 在網(wǎng)絡(luò)攻擊手段日益增多，攻擊頻率日益增高的背景下，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全隱患。需要一種靜態(tài)技術(shù)和動(dòng)態(tài)技術(shù)相結(jié)合的安全解決方案，即在網(wǎng)絡(luò)中的各個(gè)部分采取多種安全防范技術(shù)來(lái)構(gòu)筑企業(yè)網(wǎng)絡(luò)整體安全體系。包括防病毒技術(shù)；防火墻技術(shù)；入侵檢測(cè)技術(shù)；網(wǎng)絡(luò)性能監(jiān)控及故障分析技術(shù)；漏洞掃描安全評(píng)估技術(shù)；主機(jī)訪問(wèn)控制等。

信息技術(shù)正以其廣泛的滲透性和無(wú)與倫比的先進(jìn)性與傳統(tǒng)產(chǎn)業(yè)結(jié)合，隨著Internet網(wǎng)絡(luò)的飛速發(fā)展，使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響越來(lái)越大。企業(yè)的辦公自動(dòng)化、生產(chǎn)業(yè)務(wù)系統(tǒng)及電子商務(wù)系統(tǒng)對(duì)網(wǎng)絡(luò)系統(tǒng)的依賴性尤其突出，但病毒及黑客對(duì)網(wǎng)絡(luò)系統(tǒng)的惡意入侵使企業(yè)的信息網(wǎng)絡(luò)系統(tǒng)面臨著強(qiáng)大的生存壓力，網(wǎng)絡(luò)安全問(wèn)題變得越來(lái)越重要。

企業(yè)網(wǎng)絡(luò)安全主要來(lái)自以下幾個(gè)方面：①來(lái)自INTERNET的安全問(wèn)題；②來(lái)自外部網(wǎng)絡(luò)的安全威脅；③來(lái)自內(nèi)部網(wǎng)絡(luò)的安全威脅。

針對(duì)以上安全威脅，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全隱患，本文介紹一種靜態(tài)技術(shù)和動(dòng)態(tài)技術(shù)相結(jié)合的安全解決方案，即在網(wǎng)絡(luò)中的各個(gè)部分采取多種安全防范技術(shù)來(lái)構(gòu)筑企業(yè)網(wǎng)絡(luò)整體安全體系：①防病毒技術(shù)；②防火墻技術(shù)；③入侵檢測(cè)技術(shù)；④網(wǎng)絡(luò)性能監(jiān)控及故障分析技術(shù)；⑤漏洞掃描安全評(píng)估技術(shù)；⑥主機(jī)訪問(wèn)控制。

一、防病毒技術(shù)

對(duì)于企業(yè)網(wǎng)絡(luò)及網(wǎng)內(nèi)大量的計(jì)算機(jī)，各種病毒更是防不勝防，如宏病毒和變形病毒。徹底清除病毒，必須采用多層的病毒防護(hù)體系。企業(yè)網(wǎng)絡(luò)防病毒系統(tǒng)采用多層的病毒防衛(wèi)體系和層次化的管理結(jié)構(gòu)，即在企業(yè)信息中心設(shè)防病毒控制臺(tái)，通過(guò)該控制臺(tái)控制各二級(jí)網(wǎng)絡(luò)中各個(gè)服務(wù)器和工作站的防病毒策略，監(jiān)督整個(gè)網(wǎng)絡(luò)系統(tǒng)的防病毒軟件配置和運(yùn)行情況，并且能夠進(jìn)行相應(yīng)策略的統(tǒng)一調(diào)整和管理：在較大的下屬子公司設(shè)置防病毒服務(wù)器，負(fù)責(zé)防病毒策略的設(shè)置、病毒代碼分發(fā)等工作。其中信息中心控制臺(tái)作為中央控制臺(tái)負(fù)責(zé)控制各分控制臺(tái)的防病毒策略，采集網(wǎng)絡(luò)中所有客戶端防毒軟件的運(yùn)行狀態(tài)和配置參數(shù)，對(duì)客戶端實(shí)施分組管理等。管理員可以通過(guò)管理員客戶端遠(yuǎn)程登錄到網(wǎng)絡(luò)中的所有管理服務(wù)器上，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的管理。根據(jù)需要各個(gè)管理服務(wù)器還可以由專門的區(qū)域管理員管理。管理服務(wù)器負(fù)責(zé)收集網(wǎng)絡(luò)中的客戶端的實(shí)時(shí)信息， 分發(fā)管理員制定的防毒安全策略等。

配套軟件：冠群金辰KILL6.0。KILL采用服務(wù)器/客戶端構(gòu)架，實(shí)時(shí)保護(hù)Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系統(tǒng)的服務(wù)器及Internet網(wǎng)關(guān)服務(wù)器，防止各種引導(dǎo)型病毒、文件型病毒、宏病毒、傳播速度快且破壞性很大的蠕蟲病毒進(jìn)入企業(yè)內(nèi)部網(wǎng)，阻止不懷好意的Java、ActiveX小程序等攻擊企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。它通過(guò)全方位的網(wǎng)絡(luò)管理、多種報(bào)警機(jī)制、完整的病毒報(bào)告、支持遠(yuǎn)程服務(wù)器、軟件自動(dòng)分發(fā)，幫助管理員更好的實(shí)施網(wǎng)絡(luò)防病毒工作。

二、防火墻技術(shù)

防火墻是一種形象的說(shuō)法, 其實(shí)它是一種由計(jì)算機(jī)硬件和軟件的組合, 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)( scurity gateway), 從而抵御網(wǎng)絡(luò)外部安全威脅，保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入，它是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（局域網(wǎng)或城域網(wǎng)）隔開的屏障，控制客戶機(jī)和真實(shí)服務(wù)器之間的通訊，主要包括以下幾方面的功能：①隔離不信任網(wǎng)段間的直接通訊；②拒絕非法訪問(wèn)；③系統(tǒng)認(rèn)證；④日志功能。在計(jì)算機(jī)網(wǎng)絡(luò)中設(shè)置防火墻后，可以有效防止非法訪問(wèn)，保護(hù)重要主機(jī)上的數(shù)據(jù)，提高網(wǎng)絡(luò)的安全性。

配套軟件：NetScreen。NetScreen是唯一把防火墻、負(fù)載均衡及流量控制結(jié)合起來(lái)，且提供100M的線速性能的軟硬件相結(jié)合的產(chǎn)品，在Internet出口、撥號(hào)接入入口、企業(yè)關(guān)鍵服務(wù)器的前端及與電信、聯(lián)通的連接出口處增設(shè)NetScreen-100f防火墻，可以實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)與外界的安全隔離，保護(hù)企業(yè)的關(guān)鍵信息。

三、入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（IDS）是一種為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是對(duì)防火墻的必要補(bǔ)充，它可以對(duì)系統(tǒng)或網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)惡意入侵者或識(shí)別出對(duì)計(jì)算機(jī)的非法訪問(wèn)行為，并對(duì)其進(jìn)行隔離，并能收集可以用來(lái)訴訟的犯罪證據(jù)。

配套軟件： eTrust Intrusion Detection(Sessionwall-3)。利用基于網(wǎng)絡(luò)的eTrust Intrusion Detection建立入侵檢測(cè)系統(tǒng)來(lái)保證企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性。

首先，信息管理中心設(shè)立整個(gè)網(wǎng)絡(luò)監(jiān)控系統(tǒng)的控制中心。通過(guò)該控制臺(tái)，管理員能夠?qū)ζ渌W(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行監(jiān)控和配置。在該機(jī)器上安裝集中控制的eID中央控制臺(tái)模塊、eID日志服務(wù)器模塊和eID日志瀏覽器模塊，使所有eTrust Intrusion Detection監(jiān)控工作站處于集中控制之下，該安全主控臺(tái)也被用于集中管理所有的主機(jī)保護(hù)系統(tǒng)軟件。

其次，在Internet出口路由器和防火墻之間部署一套eTrust Intrusion Detection的監(jiān)控工作站，重點(diǎn)解決與Internet的邊界安全問(wèn)題，在這些工作站上安裝軟件，包括eID基本模塊、eID模塊和日志數(shù)據(jù)庫(kù)客戶端。

四、網(wǎng)絡(luò)性能監(jiān)控及故障分析

性能監(jiān)控和故障分析就是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地址為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。該技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面，它自動(dòng)接收著來(lái)自網(wǎng)絡(luò)的各種信息，通過(guò)對(duì)這些數(shù)據(jù)的分析，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問(wèn)題。

配套軟件——NAI Sniffer。NAI Sniffer 是一套功能強(qiáng)大的網(wǎng)絡(luò)故障偵測(cè)工具，它可以幫助用戶快速診斷網(wǎng)絡(luò)故障原因，并提出具體的解決辦法。在信息中心安裝這樣的工具，用于對(duì)網(wǎng)絡(luò)流量和狀態(tài)進(jìn)行監(jiān)控，而且無(wú)論全網(wǎng)任何地方發(fā)生問(wèn)題時(shí)，都可以利用它及時(shí)診斷并排除故障。

五、網(wǎng)絡(luò)系統(tǒng)的安全評(píng)估

網(wǎng)絡(luò)安全性之所以這么低的一個(gè)主要原因就是系統(tǒng)漏洞。譬如管理漏洞、軟件漏洞、結(jié)構(gòu)漏洞、信任漏洞。采用安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合來(lái)檢測(cè)系統(tǒng)安全漏洞。

網(wǎng)絡(luò)安全漏洞掃描系統(tǒng)通常安裝在一臺(tái)與網(wǎng)絡(luò)有連接的主機(jī)上。系統(tǒng)中配有一個(gè)信息庫(kù)，其中存放著大量有關(guān)系統(tǒng)安全漏洞和可能的黑客攻擊行為的數(shù)據(jù)。掃描系統(tǒng)根據(jù)這些信息向網(wǎng)絡(luò)上的其他主機(jī)和網(wǎng)絡(luò)設(shè)備發(fā)送數(shù)據(jù)包，觀察被掃描的設(shè)備是否存在與信息庫(kù)中記錄的內(nèi)容相匹配的安全漏洞。掃描的內(nèi)容包括主機(jī)操作系統(tǒng)本身、操作系統(tǒng)的配置、防火墻配置、網(wǎng)路設(shè)備配置以及應(yīng)用系統(tǒng)等。

網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面：①速度。在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時(shí)；②網(wǎng)絡(luò)拓?fù)?。通過(guò)GUI的圖形界面，可選擇一個(gè)或某些區(qū)域的設(shè)備；③能夠發(fā)現(xiàn)的漏洞數(shù)量；④是否支持可定制的攻擊方法；⑤掃描器應(yīng)該能夠給出清楚的安全漏洞報(bào)告。⑥更新周期。提供該項(xiàng)產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安全漏洞掃描特性升級(jí)，并給出相應(yīng)的改進(jìn)建議。

通過(guò)網(wǎng)絡(luò)掃描，系統(tǒng)管理員可以及時(shí)發(fā)現(xiàn)網(wǎng)路中存在的安全隱患，并加以必要的修補(bǔ)，從而減小網(wǎng)絡(luò)被攻擊的可能。

配套軟件：Symantec Enterprise Security Manger 5.5。

六、主機(jī)防護(hù)系統(tǒng)

在一個(gè)企業(yè)的網(wǎng)絡(luò)環(huán)境中，大部分信息是以文件、數(shù)據(jù)庫(kù)的形式存放在服務(wù)器中的。在信息中心，使用WWW、Mail、文件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器來(lái)對(duì)內(nèi)部、外部用戶提供信息。但無(wú)論是UNIX還是Windows 9X/NT/2K，都存在著這樣和那樣的安全薄弱環(huán)節(jié)，存放在這些機(jī)器上的關(guān)鍵業(yè)務(wù)數(shù)據(jù)存在著被破壞和竊取的風(fēng)險(xiǎn)。因此，對(duì)主機(jī)防護(hù)提出了專門的需求。

配套軟件：CA eTrust Access。eTrust Access Control在操作系統(tǒng)的安全功能之上提供了一個(gè)安全保護(hù)層。通過(guò)從核心層截取文件訪問(wèn)控制，以加強(qiáng)操作系統(tǒng)安全性。它具有完整的用戶認(rèn)證，訪問(wèn)控制及審計(jì)的功能，采用集中式管理，克服了分布式系統(tǒng)在管理上的許多問(wèn)題。

通過(guò)eTrust Access Control，我們可以集中維護(hù)多臺(tái)異構(gòu)平臺(tái)的用戶、組合安全策略，以簡(jiǎn)化安全管理工作。

通過(guò)以上幾種安全措施的實(shí)施，從系統(tǒng)級(jí)安全到桌面級(jí)安全，從靜態(tài)訪問(wèn)控制到動(dòng)態(tài)入侵檢測(cè)主要層面：方案覆蓋網(wǎng)絡(luò)安全的事前弱點(diǎn)漏洞分析修正、事中入侵行為監(jiān)控響應(yīng)和事后信息監(jiān)控取證的全過(guò)程，從而全面解決企業(yè)的信息安全問(wèn)題，使企業(yè)網(wǎng)絡(luò)避免來(lái)自內(nèi)外部的攻擊，防止病毒對(duì)主機(jī)的侵害和在網(wǎng)絡(luò)中的傳播。使整個(gè)網(wǎng)絡(luò)的安全水平有很大程度的提高。

【參考文獻(xiàn)】

篇3

關(guān)鍵詞：無(wú)線網(wǎng)絡(luò)規(guī)劃；無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)；無(wú)線安全檢查項(xiàng)目；無(wú)線網(wǎng)絡(luò)安全指引

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）28-6262-03

1 概述

有別于有線網(wǎng)絡(luò)的設(shè)備可利用線路找尋設(shè)備信息，無(wú)論是管理、安全、記錄信息，比起無(wú)線網(wǎng)絡(luò)皆較為方便，相較之下無(wú)線網(wǎng)絡(luò)的環(huán)境較復(fù)雜。無(wú)線網(wǎng)絡(luò)安全問(wèn)題最令人擔(dān)心的原因在于，無(wú)線網(wǎng)絡(luò)僅透過(guò)無(wú)線電波透過(guò)空氣傳遞訊號(hào)，一旦內(nèi)部架設(shè)發(fā)射訊號(hào)的儀器，在收訊可及的任一節(jié)點(diǎn)，都能傳遞無(wú)線訊號(hào)，甚至使用接收無(wú)線訊號(hào)的儀器，只要在訊號(hào)范圍內(nèi)，即便在圍墻外，都能截取訊號(hào)信息。

因此管理無(wú)線網(wǎng)絡(luò)安全維護(hù)比有線網(wǎng)絡(luò)更具挑戰(zhàn)性，有鑒于政府機(jī)關(guān)推廣于民眾使用以及企業(yè)逐漸在公司內(nèi)部導(dǎo)入無(wú)線網(wǎng)絡(luò)架構(gòu)之需求，本篇論文特別針對(duì)無(wú)線網(wǎng)絡(luò)Wi-Fi之使用情境進(jìn)行風(fēng)險(xiǎn)評(píng)估與探討，以下將分別探討無(wú)線網(wǎng)絡(luò)傳輸可能產(chǎn)生的風(fēng)險(xiǎn)，以及減少風(fēng)險(xiǎn)產(chǎn)生的可能性，進(jìn)而提出建議之無(wú)線網(wǎng)絡(luò)建置規(guī)劃?rùn)z查項(xiàng)目。

2 無(wú)線網(wǎng)絡(luò)傳輸風(fēng)險(xiǎn)

現(xiàn)今無(wú)線網(wǎng)絡(luò)裝置架設(shè)便利，簡(jiǎn)單設(shè)定后即可進(jìn)行網(wǎng)絡(luò)分享，且智能型行動(dòng)裝置已具備可架設(shè)熱點(diǎn)功能以分享網(wǎng)絡(luò)，因此皆可能出現(xiàn)不合法之使用者聯(lián)機(jī)合法基地臺(tái)，或合法使用者聯(lián)機(jī)至未經(jīng)核可之基地臺(tái)情形。倘若企業(yè)即將推動(dòng)內(nèi)部無(wú)線上網(wǎng)服務(wù)，或者考慮網(wǎng)絡(luò)存取便利性，架設(shè)無(wú)線網(wǎng)絡(luò)基地臺(tái)，皆須評(píng)估當(dāng)內(nèi)部使用者透過(guò)行動(dòng)裝置聯(lián)機(jī)機(jī)關(guān)所提供之無(wú)線網(wǎng)絡(luò)，所使用之聯(lián)機(jī)傳輸加密機(jī)制是否合乎信息安全規(guī)范。

倘若黑客企圖偽冒企業(yè)內(nèi)部合法基地臺(tái)提供聯(lián)機(jī)時(shí)，勢(shì)必會(huì)造成行動(dòng)裝置之企業(yè)數(shù)據(jù)遭竊取等風(fēng)險(xiǎn)。以下將對(duì)合法使用者在未知的情況下聯(lián)機(jī)至偽冒的無(wú)線網(wǎng)絡(luò)基地臺(tái)，以及非法使用者透過(guò)加密機(jī)制的弱點(diǎn)破解無(wú)線網(wǎng)絡(luò)基地臺(tái)，針對(duì)這2個(gè)情境加以分析其風(fēng)險(xiǎn)。

2.1 偽冒基地機(jī)風(fēng)險(xiǎn)

目前黑客的攻擊常會(huì)偽冒正常的無(wú)線網(wǎng)絡(luò)基地臺(tái)（Access Point，以下簡(jiǎn)稱AP），而偽冒的AP在行動(dòng)裝置普及的現(xiàn)今，可能會(huì)讓用戶在不知情的情況下進(jìn)行聯(lián)機(jī)，當(dāng)連上線后，攻擊者即可進(jìn)行中間人攻擊（Man-in-the-Middle，簡(jiǎn)稱MitMAttack），取得被害人在網(wǎng)絡(luò)上所傳輸?shù)臄?shù)據(jù)。情境之架構(gòu)詳見(jiàn)圖1，利用偽冒AP攻擊，合法使用者無(wú)法辨識(shí)聯(lián)機(jī)上的AP是否合法，而一旦聯(lián)機(jī)成功后黑客即可肆無(wú)忌憚的竊取行動(dòng)裝置上所有的數(shù)據(jù)，造成個(gè)人數(shù)據(jù)以及存放于行動(dòng)裝置上之機(jī)敏數(shù)據(jù)外泄的疑慮存在。企業(yè)在部署無(wú)線局域網(wǎng)絡(luò)時(shí)，需考慮該類風(fēng)險(xiǎn)問(wèn)題。

2.2 弱加密機(jī)制傳輸風(fēng)險(xiǎn)

WEP （Wired Equivalent Privacy）為一無(wú)線加密協(xié)議保護(hù)無(wú)線局域網(wǎng)絡(luò)（Wireless LAN，以下簡(jiǎn)稱WLAN）數(shù)據(jù)安全的加密機(jī)制，因WEP的設(shè)計(jì)是要提供和傳統(tǒng)有線的局域網(wǎng)絡(luò)相當(dāng)?shù)臋C(jī)密性，隨著計(jì)算器運(yùn)算能力提升，許多密碼分析學(xué)家已經(jīng)找出WEP好幾個(gè)弱點(diǎn)，但WEP加密方式是目前仍是許多無(wú)線基地臺(tái)使用的防護(hù)方式，由于WEP安全性不佳，易造成被輕易破解。

許多的無(wú)線破解工具皆已存在且純熟，因此利用WEP認(rèn)證加密之無(wú)線AP，當(dāng)破解被其金鑰后，即可透過(guò)該AP連接至該無(wú)線局域網(wǎng)絡(luò)，再利用探測(cè)軟件進(jìn)行無(wú)線局域網(wǎng)絡(luò)掃描，取得該無(wú)線局域網(wǎng)絡(luò)內(nèi)目前有哪些聯(lián)機(jī)的裝置。

當(dāng)使用者使用行動(dòng)裝置連上不安全的網(wǎng)絡(luò)，可能因本身行動(dòng)裝置設(shè)定不完全，而將弱點(diǎn)曝露在不安全的網(wǎng)絡(luò)上，因此當(dāng)企業(yè)允許使用者透過(guò)行動(dòng)裝置進(jìn)行聯(lián)機(jī)時(shí)，除了提醒使用者應(yīng)加強(qiáng)自身終端安全外，更應(yīng)建置安全的無(wú)線網(wǎng)絡(luò)架構(gòu)，以提供使用者使用。

3 無(wú)線網(wǎng)絡(luò)安全架構(gòu)

近年許多企業(yè)逐漸導(dǎo)入無(wú)線局域網(wǎng)絡(luò)服務(wù)以提供內(nèi)部使用者及訪客使用。但在提供便利的同時(shí)，如何達(dá)到無(wú)線局域網(wǎng)絡(luò)之安全，亦為重要。

3.1 企業(yè)無(wú)線局域網(wǎng)安全目標(biāo)

企業(yè)之無(wú)線網(wǎng)絡(luò)架構(gòu)應(yīng)符合無(wú)線局域網(wǎng)絡(luò)安全目標(biāo)：機(jī)密性、完整性與驗(yàn)證性。

機(jī)密性（Confidentiality）

無(wú)線網(wǎng)絡(luò)安全架構(gòu)應(yīng)防范機(jī)密不可泄漏給未經(jīng)授權(quán)之人或程序，且無(wú)線網(wǎng)絡(luò)架構(gòu)應(yīng)將對(duì)外提供給一般使用者網(wǎng)絡(luò)以及內(nèi)部所使用之內(nèi)部網(wǎng)絡(luò)區(qū)隔開。無(wú)線網(wǎng)絡(luò)架構(gòu)之加密需采用安全性即高且不易被破解的方式，并可對(duì)無(wú)線網(wǎng)絡(luò)使用進(jìn)行稽核。

完整性（Integrity）

無(wú)線網(wǎng)絡(luò)安全架構(gòu)應(yīng)確認(rèn)辦公室環(huán)境內(nèi)無(wú)其它無(wú)線訊號(hào)干擾源，并保證員工無(wú)法自行架設(shè)非法無(wú)線網(wǎng)絡(luò)存取點(diǎn)設(shè)備，以確保在使用無(wú)線網(wǎng)絡(luò)時(shí)傳輸不被中斷或是攔截。對(duì)于內(nèi)部使用者，可建立一個(gè)隔離區(qū)之無(wú)線網(wǎng)絡(luò)，僅提供外部網(wǎng)際網(wǎng)絡(luò)連路連接，并禁止存取機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)。

認(rèn)證性（Authentication）

建議無(wú)線網(wǎng)絡(luò)安全架構(gòu)應(yīng)提供使用者及設(shè)備進(jìn)行身份驗(yàn)證，讓使用者能確保自己設(shè)備安全性，且能區(qū)分存取控制權(quán)限。無(wú)線網(wǎng)絡(luò)安全架構(gòu)應(yīng)需進(jìn)行使用者身份控管，以杜絶他人（允許的訪客除外）擅用機(jī)關(guān)的無(wú)線網(wǎng)絡(luò)。

因應(yīng)以上無(wú)線局域網(wǎng)絡(luò)安全目標(biāo)，應(yīng)將網(wǎng)絡(luò)區(qū)分為內(nèi)部網(wǎng)絡(luò)及一般網(wǎng)絡(luò)等級(jí)，依其不同等級(jí)實(shí)施不同的保護(hù)措施及其應(yīng)用，說(shuō)明如下。

內(nèi)部網(wǎng)絡(luò)：

為網(wǎng)絡(luò)內(nèi)負(fù)責(zé)傳送一般非機(jī)密性之行政資料，其系統(tǒng)能處理中信任度信息，并使用機(jī)關(guān)內(nèi)部加密認(rèn)證以定期更變密碼，且加裝防火墻、入侵偵測(cè)等作業(yè)。

一般網(wǎng)絡(luò)：

主要在提供非企業(yè)內(nèi)部人員或訪客使用之網(wǎng)絡(luò)系統(tǒng)，不與內(nèi)部其它網(wǎng)絡(luò)相連，其網(wǎng)絡(luò)系統(tǒng)僅能處與基本信任度信息，并加裝防火墻、入侵偵測(cè)等機(jī)制。

因此建議企業(yè)在建構(gòu)無(wú)線網(wǎng)絡(luò)架構(gòu)，須將內(nèi)部網(wǎng)絡(luò)以及提供給一般使用者之一般網(wǎng)絡(luò)區(qū)隔開，以達(dá)到無(wú)線網(wǎng)絡(luò)安全目標(biāo)，以下將提供無(wú)線辦公方案及無(wú)線訪客方案提供給企業(yè)導(dǎo)入無(wú)線網(wǎng)絡(luò)架構(gòu)時(shí)作為參考使用。

3.2內(nèi)部網(wǎng)絡(luò)安全架構(gòu)

減輕無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)之基礎(chǔ)評(píng)估，應(yīng)集中在四個(gè)方面：人身安全、AP位置、AP設(shè)定及安全政策。人身安全方面，須確保非企業(yè)內(nèi)部使用者無(wú)法存取辦公室范圍內(nèi)之無(wú)線內(nèi)部網(wǎng)絡(luò)，僅經(jīng)授權(quán)之企業(yè)內(nèi)部使用者可存取?？墒褂糜跋裾J(rèn)證、卡片識(shí)別、使用者賬號(hào)密碼或生物識(shí)別設(shè)備以進(jìn)行人身安全驗(yàn)證使用者身份。企業(yè)信息管理人員須確保AP安裝在受保護(hù)的建筑物內(nèi)，且使用者須經(jīng)過(guò)適當(dāng)?shù)纳矸蒡?yàn)證才允許進(jìn)入，而只有企業(yè)信息管理人員允許存取并管理無(wú)線網(wǎng)絡(luò)設(shè)備。

企業(yè)信息管理人員須將未經(jīng)授權(quán)的使用者訪問(wèn)企業(yè)外部無(wú)線網(wǎng)絡(luò)之可能性降至最低，評(píng)估每臺(tái)AP有可能造成的網(wǎng)絡(luò)安全漏洞，可請(qǐng)網(wǎng)絡(luò)工程師進(jìn)行現(xiàn)場(chǎng)調(diào)查，確定辦公室內(nèi)最適當(dāng)放置AP的位置以降低之風(fēng)險(xiǎn)。只要企業(yè)使用者擁有存取無(wú)線內(nèi)部網(wǎng)絡(luò)能力，攻擊者仍有機(jī)會(huì)竊聽(tīng)辦公室無(wú)線網(wǎng)絡(luò)通訊，建議企業(yè)將無(wú)線網(wǎng)絡(luò)架構(gòu)放置于防火墻外，并使用高加密性VPN以保護(hù)流量通訊，此配置可降低無(wú)線網(wǎng)絡(luò)竊聽(tīng)風(fēng)險(xiǎn)。

企業(yè)應(yīng)側(cè)重于AP配置之相關(guān)漏洞。由于大部分AP保留了原廠之預(yù)設(shè)密碼，企業(yè)信息管理人員需使用復(fù)雜度高之密碼以確保密碼安全，并定期更換密碼。企業(yè)應(yīng)制定相關(guān)無(wú)線內(nèi)部網(wǎng)絡(luò)安全政策，包括規(guī)定使用最小長(zhǎng)度為8個(gè)字符且參雜特殊符號(hào)之密碼設(shè)置、定期更換安全性密碼、進(jìn)行使用者M(jìn)AC控管以控制無(wú)線網(wǎng)絡(luò)使用情況。

為提供安全無(wú)線辦公室環(huán)境，企業(yè)應(yīng)進(jìn)行使用者M(jìn)AC控管，并禁用遠(yuǎn)程SNMP協(xié)議，只允許使用者使用本身內(nèi)部主機(jī)。由于大部分廠商在加密SSID上使用預(yù)設(shè)驗(yàn)證金鑰，未經(jīng)授權(quán)之設(shè)備與使用者可嘗試使用預(yù)設(shè)驗(yàn)證金鑰以存取無(wú)線內(nèi)部網(wǎng)絡(luò)，因此企業(yè)應(yīng)使用內(nèi)部使用者賬號(hào)與密碼之身份驗(yàn)證以控管無(wú)線內(nèi)部網(wǎng)絡(luò)之存取。

企業(yè)應(yīng)增加額外政策，要求存取無(wú)線內(nèi)部網(wǎng)絡(luò)之設(shè)備系統(tǒng)需進(jìn)行安全性更新和升級(jí)，定期更新系統(tǒng)安全性更新和升級(jí)有助于降低攻擊之可能性。此外，政策應(yīng)規(guī)定若企業(yè)內(nèi)部使用者之無(wú)線裝置遺失或被盜，企業(yè)內(nèi)部使用者應(yīng)盡快通知企業(yè)信息管理人員，以防止該IP地址存取無(wú)線內(nèi)部網(wǎng)絡(luò)。

為達(dá)到一個(gè)安全的無(wú)線內(nèi)部網(wǎng)絡(luò)架構(gòu)，建議企業(yè)采用IPS設(shè)備以進(jìn)行無(wú)線環(huán)境之防御。IPS設(shè)備有助于辨識(shí)是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部無(wú)線內(nèi)部網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為，并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無(wú)線網(wǎng)絡(luò)之間的通訊都需經(jīng)過(guò)IPS做保護(hù)與進(jìn)一步分析，為一種整體縱深防御之策略。

考慮前述需求，本篇論文列出建構(gòu)無(wú)線內(nèi)部網(wǎng)絡(luò)應(yīng)具備之安全策略，并提供一建議無(wú)線內(nèi)部網(wǎng)絡(luò)安全架構(gòu)示意圖以提供企業(yè)信息管理人員作為風(fēng)險(xiǎn)評(píng)估之參考，詳見(jiàn)表1。

企業(yè)在風(fēng)險(xiǎn)評(píng)估后確認(rèn)實(shí)現(xiàn)無(wú)線辦公室環(huán)境運(yùn)行之好處優(yōu)于其它威脅風(fēng)險(xiǎn)，始可進(jìn)行無(wú)線內(nèi)部網(wǎng)絡(luò)架構(gòu)建置。然而，盡管在風(fēng)險(xiǎn)評(píng)估上實(shí)行徹底，但無(wú)線網(wǎng)絡(luò)環(huán)境之技術(shù)不斷變化與更新，安全漏洞亦日新月異，使用者始終為安全鏈中最薄弱的環(huán)節(jié)，建議企業(yè)必須持續(xù)對(duì)企業(yè)內(nèi)部使用者進(jìn)行相關(guān)無(wú)線安全教育，以達(dá)到縱深防御之目標(biāo)。

另外，企業(yè)應(yīng)定期進(jìn)行安全性更新和升級(jí)會(huì)議室公用網(wǎng)絡(luò)之系統(tǒng)，定期更新系統(tǒng)安全性更新和升級(jí)有助于降低攻擊之可能性。為達(dá)到一個(gè)安全的會(huì)議室公用網(wǎng)絡(luò)架構(gòu)，建議企業(yè)采用IPS設(shè)備以進(jìn)行無(wú)線環(huán)境之防御。

IPS設(shè)備有助于辨識(shí)是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部會(huì)議室公用網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為，并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無(wú)線網(wǎng)絡(luò)之間的通訊都需經(jīng)過(guò)IPS做保護(hù)與進(jìn)一步分析，為一種整體縱深防御策略。

4 結(jié)論

由于無(wú)線網(wǎng)絡(luò)的存取及使用上存在相當(dāng)程度的風(fēng)險(xiǎn)，更顯無(wú)線局域網(wǎng)絡(luò)的安全性之重要，本篇論文考慮無(wú)線網(wǎng)絡(luò)聯(lián)機(jī)存取之相關(guān)風(fēng)險(xiǎn)與安全聯(lián)機(jī)的準(zhǔn)則需求，有鑒于目前行動(dòng)裝置使用量大增，企業(yè)可能面臨使用者要求開放無(wú)線網(wǎng)絡(luò)之需求，應(yīng)建立相關(guān)無(wú)線網(wǎng)絡(luò)方案，本研究針對(duì)目前常見(jiàn)之無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)威脅為出發(fā)，以及內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)使用者，針對(duì)不同安全需求強(qiáng)度，規(guī)劃無(wú)線網(wǎng)絡(luò)使用方案，提供作為建置參考依據(jù)，進(jìn)而落實(shí)傳輸風(fēng)險(xiǎn)管控，加強(qiáng)企業(yè)網(wǎng)絡(luò)安全強(qiáng)度。

參考文獻(xiàn)：

[1] Gast M S.Wireless Networks： The Definitive Guide[M].O’Reilly， 2002.

[2] Edney J， Arbaugh W A.Security：Wi-Fi Protected Access and 802.11[M].Addison-Wesley，2004.

[3] R. Guha， Z. Furqan， S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007， Orlando， FL， 2007（10）：29-31.

[4] Nam， Seung Yeob.Enhanced ARP： Preventing ARP Poisoning-Based[J].IEEE Commucation Letters，2011，14：187-189.

篇4

隨著近年來(lái)信息化的快速推進(jìn)，供電企業(yè)網(wǎng)絡(luò)信息系統(tǒng)與Internet的交互日益頻繁，基于Internet的業(yè)務(wù)呈不斷增長(zhǎng)態(tài)勢(shì)。電力行業(yè)作為國(guó)民經(jīng)濟(jì)的重要組成部分，已經(jīng)在人們的正常生活中不可缺少。電力系統(tǒng)的是否安全可靠，關(guān)系著國(guó)民經(jīng)濟(jì)的發(fā)展，更影響著人們的日常生活。然而電力企業(yè)信息網(wǎng)絡(luò)的發(fā)展還不健全，尚存在很多安全問(wèn)題。這些問(wèn)題正是黑客和病毒入侵的目標(biāo)?？h級(jí)供電企業(yè)是整個(gè)電力企業(yè)的基本單位，只有保證縣級(jí)供電企業(yè)信息網(wǎng)絡(luò)的安全，才能使整個(gè)電力行業(yè)正常的運(yùn)行，因此對(duì)其信息網(wǎng)絡(luò)安全的研究受到越來(lái)越多的關(guān)注。

2 信息網(wǎng)絡(luò)安全概述

信息網(wǎng)絡(luò)安全是指運(yùn)用各種相關(guān)技術(shù)和管理，使網(wǎng)絡(luò)信息不受危害和威脅，保證信息的安全。由于計(jì)算機(jī)網(wǎng)絡(luò)在建立時(shí)就存在缺陷，本身具有局限性，使其網(wǎng)絡(luò)系統(tǒng)的硬件和軟件資源都有可能遭到破壞和入侵，嚴(yán)重時(shí)甚至可能引起整個(gè)系統(tǒng)的癱瘓，以至于造成巨大的損失。相對(duì)于外界的破壞，自身的防守時(shí)非常艱巨的，必須保證每個(gè)軟件、每一項(xiàng)服務(wù)，甚至每個(gè)細(xì)節(jié)都要安全可靠。因此要對(duì)網(wǎng)絡(luò)安全進(jìn)行細(xì)致的研究，下面介紹其特征：

2.1 完整性

主要是指數(shù)據(jù)的完整性。數(shù)據(jù)信息在未經(jīng)許可的情況下不能進(jìn)行任何修改。

2.2 保密性

未經(jīng)授權(quán)的用戶不能使用該數(shù)據(jù)。

2.3 可用性

被授權(quán)的用戶可以根據(jù)自己的需求使用該數(shù)據(jù)，不能阻礙其合法使用。

2.4 可控性

系統(tǒng)要能控制能夠訪問(wèn)數(shù)據(jù)的用戶，可以被訪問(wèn)的數(shù)據(jù)以及訪問(wèn)方式，并記錄所有用戶在系統(tǒng)內(nèi)的網(wǎng)絡(luò)活動(dòng)。

3 信息網(wǎng)絡(luò)系統(tǒng)安全存在的問(wèn)題

3.1 系統(tǒng)設(shè)備和軟件存在漏洞

網(wǎng)絡(luò)系統(tǒng)的發(fā)展時(shí)間很短，因此其操作系統(tǒng)、協(xié)議和數(shù)據(jù)庫(kù)都存在漏洞，這些漏洞變成為黑客和病毒入侵的通道；存儲(chǔ)介質(zhì)受到破壞，使系統(tǒng)中的信息數(shù)據(jù)丟失和泄漏；系統(tǒng)不進(jìn)行及時(shí)的修補(bǔ)，采用較弱的口令和訪問(wèn)限制。這些都是導(dǎo)致信息網(wǎng)絡(luò)不安全的因素。網(wǎng)絡(luò)是開放性的，因此非常容易受到外界的攻擊和入侵，入侵者便是通過(guò)運(yùn)用相關(guān)工具掃描系統(tǒng)和網(wǎng)絡(luò)中的漏洞，通過(guò)這些漏洞進(jìn)行攻擊，致使網(wǎng)絡(luò)受到危害，資料泄露。

3.2 制度不完善

目前對(duì)于信息網(wǎng)絡(luò)的建立，數(shù)據(jù)的使用以及用戶的訪問(wèn)沒(méi)有完善的規(guī)章制度，這也導(dǎo)致了各個(gè)縣級(jí)供電企業(yè)信息網(wǎng)絡(luò)系統(tǒng)之間的不統(tǒng)一，在數(shù)據(jù)傳輸和利用上受到限制。同時(shí)在目前已經(jīng)確立的信息網(wǎng)絡(luò)安全的防護(hù)規(guī)章制度的執(zhí)行上，企業(yè)也不能嚴(yán)格的執(zhí)行。

4 提高網(wǎng)絡(luò)安全方法

4.1 網(wǎng)絡(luò)安全策略

信息網(wǎng)絡(luò)是一個(gè)龐大的系統(tǒng)，包括系統(tǒng)設(shè)備和軟件的建立、數(shù)據(jù)的維護(hù)和更新、對(duì)外界攻擊的修復(fù)等很多方面，必須各個(gè)細(xì)節(jié)都要保證安全，沒(méi)有漏洞。然而很多供電企業(yè)，尤其是縣級(jí)企業(yè)并沒(méi)有對(duì)其引起足夠的重視，只是被動(dòng)地進(jìn)行防護(hù)。整體的安全管理水平很低，沒(méi)有完備的網(wǎng)絡(luò)安全策略和規(guī)劃。因此要想實(shí)現(xiàn)信息網(wǎng)絡(luò)的安全，首先需要制定一個(gè)全面可行的安全策略以及相應(yīng)的實(shí)施過(guò)程。

4.2 提高網(wǎng)絡(luò)安全技術(shù)人員技術(shù)水平

信息網(wǎng)絡(luò)的運(yùn)行涉及很多方面，其安全防護(hù)只是其中一部分，因此在網(wǎng)絡(luò)安全部分要建立專業(yè)的安全技術(shù)隊(duì)伍。信息網(wǎng)絡(luò)中的一些系統(tǒng)和應(yīng)用程序更新速度不一致，也會(huì)造成網(wǎng)絡(luò)的不安全。一般企業(yè)的網(wǎng)絡(luò)管理員要兼顧軟硬件的維護(hù)和開發(fā)，有時(shí)會(huì)顧此失彼，因此要建立更專業(yè)的安全技術(shù)隊(duì)伍，使信息網(wǎng)絡(luò)的工作各有分工，實(shí)現(xiàn)專業(yè)性，提升整體網(wǎng)絡(luò)安全技術(shù)水平，提高工作效率。

4.3 完備的數(shù)據(jù)備份

當(dāng)信息網(wǎng)絡(luò)受到嚴(yán)重破壞時(shí)，備份數(shù)據(jù)便發(fā)揮了作用。不論網(wǎng)絡(luò)系統(tǒng)建立的多完善，安全措施做得多到位，保留完備的備份數(shù)據(jù)都是有備無(wú)患。進(jìn)行數(shù)據(jù)備份，首先要制定全面的備份計(jì)劃，包括網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)信息備份、備份數(shù)據(jù)的修改和責(zé)任人等。備份時(shí)要嚴(yán)格按照計(jì)劃進(jìn)行實(shí)施。還要定期的檢查備份數(shù)據(jù)，保證數(shù)據(jù)的完整性和實(shí)時(shí)性。同時(shí)網(wǎng)絡(luò)管理人員的數(shù)據(jù)備份和恢復(fù)技術(shù)的操作要很熟練，這樣才能保障備份數(shù)據(jù)的有效性。

4.4 加強(qiáng)防病毒

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)病毒也越來(lái)越多，這些病毒都會(huì)對(duì)信息網(wǎng)絡(luò)造成或多或少的危害。防病毒不僅需要應(yīng)用專業(yè)可靠的防毒體系，還要建立防火墻，屏蔽非法的數(shù)據(jù)包。

對(duì)于防毒，在不同的硬件上要安裝相應(yīng)的防毒程序。例如工作站上應(yīng)該安裝單機(jī)的防毒程序；主機(jī)上則安裝主機(jī)防毒程序；網(wǎng)關(guān)上安裝防病毒墻；而這些不同的防毒程序的升級(jí)可以通過(guò)設(shè)立防毒控制中心，統(tǒng)一管理，由中心將升級(jí)包發(fā)給各個(gè)機(jī)器，完成整個(gè)網(wǎng)絡(luò)防毒系統(tǒng)的升級(jí)。這樣有針對(duì)性的防毒程序能更有效的進(jìn)行病毒防護(hù)。

防火墻可以通過(guò)檢測(cè)和過(guò)濾，阻斷外來(lái)的非法攻擊。防火墻的形式包括硬件、軟件式和內(nèi)嵌式三種。內(nèi)嵌式防火墻需要與操作系統(tǒng)結(jié)合，性能較高，應(yīng)用較為廣泛。

5 具體措施

5.1 增強(qiáng)管理安全

在網(wǎng)絡(luò)安全中管理是最重要的，如果安全管理制度不完善，就會(huì)導(dǎo)致正常的網(wǎng)絡(luò)安全工作不能有序?qū)嵤Ｐ畔⒕W(wǎng)絡(luò)的管理包括對(duì)網(wǎng)絡(luò)的定期檢查、實(shí)時(shí)監(jiān)控以及出現(xiàn)故障時(shí)及時(shí)報(bào)告等。為了達(dá)到管理安全，首先，要制定完整詳細(xì)的供電企業(yè)信息網(wǎng)絡(luò)安全制度，并嚴(yán)格實(shí)施；其次，對(duì)用戶的網(wǎng)絡(luò)活動(dòng)做記錄并保存網(wǎng)絡(luò)日志，以便對(duì)外部的攻擊行為和違法操作進(jìn)行追蹤定位；還應(yīng)制定應(yīng)急方案，在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障和攻擊時(shí)及時(shí)采取措施。

5.2 網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段技術(shù)是指在網(wǎng)絡(luò)中傳輸?shù)男畔?，可以被處在用以網(wǎng)絡(luò)平臺(tái)上其他節(jié)點(diǎn)的計(jì)算機(jī)截取的技術(shù)。采用這種技術(shù)可以限制用戶的非法訪問(wèn)。比如，黑客通過(guò)網(wǎng)絡(luò)上的一個(gè)節(jié)點(diǎn)竊取該網(wǎng)絡(luò)上的數(shù)據(jù)信息，如果沒(méi)有任何限制，便能獲得所有的數(shù)據(jù)，而網(wǎng)絡(luò)分段技術(shù)則可以在這時(shí)，將黑客與網(wǎng)絡(luò)上的數(shù)據(jù)隔離，限制其非法訪問(wèn)，進(jìn)而保護(hù)了信息網(wǎng)絡(luò)的安全。

5.3 數(shù)據(jù)備份

重要數(shù)據(jù)的備份是網(wǎng)絡(luò)安全的重要工作。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，備份工作也必須要與之一致，保證實(shí)時(shí)性和完整性，才能在出現(xiàn)緊急問(wèn)題時(shí)發(fā)揮其應(yīng)有的作用，恢復(fù)數(shù)據(jù)信息。整個(gè)龐大的信息網(wǎng)絡(luò)，備份的數(shù)據(jù)量也是很大的，要避免或減少不必要的備份；備份的時(shí)間也要恰當(dāng)?shù)剡x擇，盡量不影響用戶的使用；同時(shí)備份數(shù)據(jù)的存儲(chǔ)介質(zhì)要選擇適當(dāng)。

5.4 病毒檢測(cè)和防范

檢測(cè)也是信息安全中的一個(gè)重要環(huán)節(jié)。通過(guò)應(yīng)用專業(yè)的檢測(cè)工具，對(duì)網(wǎng)絡(luò)進(jìn)行不斷地檢測(cè)，能夠及時(shí)的發(fā)現(xiàn)漏洞和病毒，在最短時(shí)間內(nèi)采取相應(yīng)的措施。

病毒防范技術(shù)有很多，可以先分析網(wǎng)絡(luò)病毒的特征，建立病毒庫(kù)，在掃描數(shù)據(jù)信息時(shí)如果對(duì)象的代碼與病毒庫(kù)中的代碼吻合，則判斷其感染病毒；對(duì)于加密、變異的不易掃描出來(lái)的病毒可以通過(guò)虛擬執(zhí)行查殺；最基本的還是對(duì)文件進(jìn)行實(shí)時(shí)監(jiān)控，一旦感染病毒，及時(shí)報(bào)警并采取相應(yīng)的措施。

6 結(jié)束語(yǔ)

篇5

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；DMZ

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2007)12-21564-03

Firewall Technology and Tobacco Processing Factory Network Security

ZHANG Song-lin

(Hefei University of Technology,Hefei 230039,China)

Abstract: Computer Network Technology of the rapid development of enterprises within the scope of the global sharing of information and resources to provide a convenient, effectively reduce the company's operating costs and to change the traditional work patterns. Along with the internal network and the increasing external networking gradually increased. A safe and reliable enterprise network security system is very important for us. To address enterprises in the development of the information industry is facing network information security issues, the full study of the network security needs on the basis of By analyzing the current classification of firewall technology and the advantages and disadvantages of various types of firewalls, Construction of enterprises in the firewall on the Firewall option and set up to make recommendations and to develop corresponding security strategy. Use corresponding security technology as a means to be achieved.

Key words:network security;firewall;DoS

1 引言

20世紀(jì)90年代以來(lái)，煙草系統(tǒng)信息進(jìn)程得到巨大的發(fā)展和廣泛的應(yīng)用。計(jì)算機(jī)應(yīng)用技術(shù)的普及，信息技術(shù)的迅猛發(fā)展，信息化建設(shè)給這個(gè)行業(yè)帶來(lái)了新的機(jī)遇和挑戰(zhàn)。而對(duì)于打葉復(fù)烤企業(yè)來(lái)說(shuō)，由于企業(yè)規(guī)模較小，計(jì)算機(jī)應(yīng)用基礎(chǔ)薄弱。隨著信息化建設(shè)的不斷深入，特別是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用（如企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)，主要有WEB、E-mail、OA系統(tǒng)、MIS系統(tǒng)等）范圍越來(lái)越廣，不可避免的就會(huì)帶來(lái)了網(wǎng)絡(luò)攻擊、內(nèi)部網(wǎng)絡(luò)使用混亂、信息盜竊和其它危及企業(yè)正常生產(chǎn)及經(jīng)營(yíng)活動(dòng)的行為，從而直接威脅到打葉復(fù)烤企業(yè)網(wǎng)絡(luò)與信息方面的安全問(wèn)題。

2 網(wǎng)絡(luò)安全

2.1 網(wǎng)絡(luò)安全的概念

信息技術(shù)的使用給人們的生活和工作帶來(lái)了便捷，然而，計(jì)算機(jī)信息技術(shù)也和其它學(xué)科一樣是一把雙刃劍，當(dāng)大部分人使用信息技術(shù)提高了工作效率，為社會(huì)創(chuàng)造更多財(cái)富的同時(shí)，另外一些人卻利用信息技術(shù)做著相反的事情。他們非法侵入他人的計(jì)算機(jī)系統(tǒng)竊取機(jī)密信息，篡改和破壞數(shù)據(jù)，造成難以估量的損失。

網(wǎng)絡(luò)安全是一個(gè)關(guān)系到國(guó)家安全、社會(huì)穩(wěn)定、民族文化的繼承和發(fā)揚(yáng)等重要問(wèn)題。網(wǎng)絡(luò)安全涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多種學(xué)科。

計(jì)算機(jī)網(wǎng)絡(luò)的安全不是絕對(duì)的。安全是有成本的，而且也有時(shí)間限制。因此，安全是指化多大成本在多長(zhǎng)時(shí)間之內(nèi)可以保證計(jì)算機(jī)網(wǎng)絡(luò)安全。安全問(wèn)題的解決依賴于法律、管理機(jī)制和技術(shù)保障等多方面相互協(xié)調(diào)和配合，形成一個(gè)完整的安全保障體系。

2.2 網(wǎng)絡(luò)安全的需求

計(jì)算機(jī)網(wǎng)絡(luò)安全是隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和廣泛應(yīng)用而產(chǎn)生的，是計(jì)算機(jī)安全的發(fā)展與延伸?？梢杂孟到y(tǒng)的觀點(diǎn)把計(jì)算機(jī)網(wǎng)絡(luò)看成一個(gè)擴(kuò)大了的計(jì)算機(jī)系統(tǒng)，因此許多關(guān)于計(jì)算機(jī)安全的概念和機(jī)制也同樣適用于計(jì)算機(jī)網(wǎng)絡(luò)。雖然網(wǎng)絡(luò)安全同單個(gè)計(jì)算機(jī)安全在目標(biāo)上并沒(méi)有本質(zhì)區(qū)別，但由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性，網(wǎng)絡(luò)安全比單個(gè)計(jì)算機(jī)安全要復(fù)雜得多[1]。

第一，網(wǎng)絡(luò)資源的共享范圍更加寬泛，難以控制。共享既是網(wǎng)絡(luò)的優(yōu)點(diǎn)，又是風(fēng)險(xiǎn)的根源，它會(huì)導(dǎo)致更多的用戶（友好與不友好的）遠(yuǎn)程訪問(wèn)系統(tǒng)，使數(shù)據(jù)遭到攔截與破壞，以及對(duì)數(shù)據(jù)、程序和資源的非法訪問(wèn)。

第二網(wǎng)絡(luò)支持多種操作系統(tǒng)，這使網(wǎng)絡(luò)系統(tǒng)更為復(fù)雜，安全管理和控制更為困難。

第三網(wǎng)絡(luò)的擴(kuò)大使網(wǎng)絡(luò)的邊界和網(wǎng)絡(luò)用戶群變得不確定，對(duì)用戶的管理較計(jì)算機(jī)單機(jī)困難得多。

第四單機(jī)的用戶可以從自己的計(jì)算機(jī)中直接獲取敏感數(shù)據(jù)，但網(wǎng)絡(luò)中用戶的文件可能存放在遠(yuǎn)離自己的服務(wù)器上，在文件的傳送過(guò)程中，可能經(jīng)過(guò)多個(gè)主機(jī)的轉(zhuǎn)發(fā)，因而沿途可能受到多處攻擊。

第五由于網(wǎng)絡(luò)路由選擇的不固定性，很難確保網(wǎng)絡(luò)信息在一條安全通道上傳送。

基于以上5個(gè)特點(diǎn)的分析可知，保證計(jì)算機(jī)網(wǎng)絡(luò)的安全，就是要保護(hù)網(wǎng)絡(luò)信息在存儲(chǔ)和傳動(dòng)過(guò)程中的保密性、完整性、可用性、可控性和真實(shí)性。

(1)數(shù)據(jù)的保密性

數(shù)據(jù)的保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶和實(shí)體，信息只能以允許的方式供授權(quán)用戶使用的特性。也就是說(shuō)，保證只有授權(quán)用戶才可以訪問(wèn)數(shù)據(jù)，而限制其他人對(duì)數(shù)據(jù)的訪問(wèn)。

(2)數(shù)據(jù)的完整性

數(shù)據(jù)的完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即網(wǎng)絡(luò)信息在存儲(chǔ)或傳送過(guò)程中不被偶然或蓄意地刪除、修改、偽造、亂序、重放及插入等破壞和丟失的特性。

(3)數(shù)據(jù)的可用性

數(shù)據(jù)的可用性是網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性，即需要網(wǎng)絡(luò)信息服務(wù)時(shí)允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)的特性。影響網(wǎng)絡(luò)可用性的因素包括人為和非人為兩種，前者有非法占用網(wǎng)絡(luò)資源，切斷或阻塞網(wǎng)絡(luò)通信，通過(guò)病毒、蠕蟲或者拒絕服務(wù)攻擊降低網(wǎng)絡(luò)性能，甚至使網(wǎng)絡(luò)癱瘓等；后者有災(zāi)害事故（水災(zāi)、火災(zāi)、雷擊等）和系統(tǒng)死鎖、系統(tǒng)故障等。

(4)數(shù)據(jù)的可控性

數(shù)據(jù)的可控性是控制授權(quán)范圍內(nèi)的網(wǎng)絡(luò)信息流向和行為方式的特性，如對(duì)信息的訪問(wèn)、傳播及內(nèi)容具有控制能力。

(5)數(shù)據(jù)的真實(shí)性

數(shù)據(jù)的真實(shí)性又稱不可抵賴或不可否認(rèn)性，指在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過(guò)程中參與者的真實(shí)同一性，即所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。

2.3 安全攻擊的種類和常見(jiàn)形式

對(duì)網(wǎng)絡(luò)信息系統(tǒng)的攻擊來(lái)自很多方面，這些攻擊可以宏觀地分為人為攻擊和自然災(zāi)害攻擊。它們都會(huì)對(duì)通信安全構(gòu)成威脅，但精心設(shè)計(jì)的人為攻擊威脅更大，也最難防備。對(duì)網(wǎng)絡(luò)信息系統(tǒng)的人為攻擊，通常都是通過(guò)尋找系統(tǒng)的弱點(diǎn)，以非授權(quán)的方式達(dá)到破壞、欺騙和竊取數(shù)據(jù)等目的[2]。

2.3.1 主動(dòng)攻擊

主動(dòng)攻擊涉及某些數(shù)據(jù)流的篡改或虛假數(shù)據(jù)流的產(chǎn)生，這些攻擊可分為假冒、重放、篡改消息和拒絕服務(wù)4類。

(1)假冒：假冒指某個(gè)實(shí)體（人或系統(tǒng)）假扮另外一個(gè)實(shí)體，以獲取合法用戶的權(quán)力和特權(quán)。

(2)重放：重放即攻擊者對(duì)截獲的某次合法數(shù)據(jù)進(jìn)行復(fù)制，以后出于非法目的的重新發(fā)送，以產(chǎn)生未授權(quán)的效果。

(3)篡改消息：篡改消息是指一個(gè)合法消息的某些部分被改變、刪除，或者消息被延遲或改變順序，以產(chǎn)生未授權(quán)的效果。

(4)拒絕服務(wù)：拒絕服務(wù)即常說(shuō)的DoS（Deny of Service），會(huì)導(dǎo)致對(duì)通信設(shè)備的正常使用或管理被無(wú)條件地拒絕。通常是對(duì)整個(gè)網(wǎng)絡(luò)實(shí)施破壞，如大量無(wú)用信息將資源（如通信帶寬、主機(jī)內(nèi)存）耗盡，以達(dá)到降低性能，中斷服務(wù)的目的。這種攻擊可能有一個(gè)特定的目標(biāo)，如到某一特定目的地（如安全審計(jì)服務(wù)）的所有數(shù)據(jù)包都被阻止。

2.3.2 被動(dòng)攻擊

被動(dòng)攻擊是在未經(jīng)用戶同意和認(rèn)可的情況下將信息或數(shù)據(jù)文件泄露給系統(tǒng)攻擊者，但不對(duì)數(shù)據(jù)信息做任何修改。通常包括監(jiān)聽(tīng)未受保護(hù)的通信、流量分析、解密弱加密的數(shù)據(jù)流、獲得認(rèn)證信息（如密碼）等。被動(dòng)攻擊常用的手段有以下幾種：

(1)搭線監(jiān)聽(tīng)：搭線監(jiān)聽(tīng)是最常用的手段，將導(dǎo)線搭到無(wú)人職守的網(wǎng)絡(luò)傳輸線上進(jìn)行監(jiān)聽(tīng)。

(2) 無(wú)線截獲：通過(guò)高靈敏度的接受裝置接受網(wǎng)絡(luò)節(jié)點(diǎn)輻射的電磁波或網(wǎng)絡(luò)連接設(shè)備輻射的電磁波，通過(guò)對(duì)電磁信號(hào)的分析恢復(fù)原數(shù)據(jù)信號(hào)，從而獲得網(wǎng)絡(luò)信息。

(3)其它截獲：用程序和病毒截獲信息是計(jì)算機(jī)技術(shù)發(fā)展的新型手段，在通信設(shè)備或主機(jī)中預(yù)留程序代碼或施放病毒程序后，這些程序會(huì)將有用的信息通過(guò)某種方式發(fā)送出來(lái)。

3 防火墻技術(shù)

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全[3]。

從技術(shù)上看，防火墻有三種基本類型：包過(guò)濾型、服務(wù)器型和復(fù)合型。它們之間各有所長(zhǎng)，具體使用哪一種或是否混合使用，要根據(jù)具體需求確定[4]。

(1)包過(guò)濾型防火墻(Packet Filter Firewall)

通常建立在路由器上，在服務(wù)器或計(jì)算機(jī)上也可以安裝包過(guò)濾防火墻軟件。包過(guò)濾型防火墻工作在網(wǎng)絡(luò)層，基于單個(gè)IP包實(shí)施網(wǎng)絡(luò)控制。它對(duì)所收到的IP數(shù)據(jù)包的源地址、目的地址、TCP數(shù)據(jù)分組或UDP報(bào)文的源端口號(hào)及目的端口號(hào)、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)，與網(wǎng)絡(luò)管理員預(yù)先設(shè)定的訪問(wèn)控制表進(jìn)行比較，確定是否符合預(yù)定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。這種防火墻的優(yōu)點(diǎn)是簡(jiǎn)單、方便、速度快、透明性好，對(duì)網(wǎng)絡(luò)性能影響不大，可以用于禁止外部不合法用戶對(duì)企業(yè)內(nèi)部網(wǎng)的訪問(wèn)，也可以用來(lái)禁止訪問(wèn)某些服務(wù)類型，但是不能識(shí)別內(nèi)容有危險(xiǎn)的信息包，無(wú)法實(shí)施對(duì)應(yīng)用級(jí)協(xié)議的安全處理。

(2)服務(wù)器型防火墻(Proxy Service Firewall)

通過(guò)在計(jì)算機(jī)或服務(wù)器上運(yùn)行的服務(wù)程序，直接對(duì)特定的應(yīng)用層進(jìn)行服務(wù)，因此也稱為應(yīng)用層網(wǎng)關(guān)級(jí)防火墻。服務(wù)器型防火墻的核心，是運(yùn)行于防火墻主機(jī)上的服務(wù)器進(jìn)程，實(shí)質(zhì)上是為特定網(wǎng)絡(luò)應(yīng)用連接企業(yè)內(nèi)部網(wǎng)與Internet的網(wǎng)關(guān)。它用戶完成TCP／IP網(wǎng)絡(luò)的訪問(wèn)功能，實(shí)際上是對(duì)電子郵件、FTP、Telnet、WWW等各種不同的應(yīng)用各提供一個(gè)相應(yīng)的。這種技術(shù)使得外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間需要建立的連接必須通過(guò)服務(wù)器的中間轉(zhuǎn)換，實(shí)現(xiàn)了安全的網(wǎng)絡(luò)訪問(wèn)，并可以實(shí)現(xiàn)用戶認(rèn)證、詳細(xì)日志、審計(jì)跟蹤和數(shù)據(jù)加密等功能，實(shí)現(xiàn)協(xié)議及應(yīng)用的過(guò)濾及會(huì)話過(guò)程的控制，具有很好的靈活性。服務(wù)器型防火墻的缺點(diǎn)是可能影響網(wǎng)絡(luò)的性能，對(duì)用戶不透明，且對(duì)每一種TCP／IP服務(wù)都要設(shè)計(jì)一個(gè)模塊，建立對(duì)應(yīng)的網(wǎng)關(guān)，實(shí)現(xiàn)起來(lái)比較復(fù)雜。

(3)復(fù)合型防火墻(Hybrid Firewall) [5]

由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用的方法結(jié)合起來(lái)，形成復(fù)合型防火墻，以提高防火墻的靈活性和安全性。這種結(jié)合通常有兩種方案：

屏蔽主機(jī)防火墻體系結(jié)構(gòu)：在該結(jié)構(gòu)中，分組過(guò)濾路由器或防火墻與Internet相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾路由器或防火墻上過(guò)濾規(guī)則的設(shè)置，使堡壘機(jī)成為Internet上其它節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。

屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。

企業(yè)在選擇防火墻時(shí)不僅要考慮防火墻的安全性、實(shí)用性、而且還要考慮經(jīng)濟(jì)性，防火墻產(chǎn)品的安全性、實(shí)用性和經(jīng)濟(jì)性是相互制約和平衡的。

4 打葉復(fù)烤企業(yè)防火墻的設(shè)置

必須妥善地規(guī)劃其架構(gòu)，擬定其安全政策，最重要的是必須徹底執(zhí)行其安全政策，而防火墻是落實(shí)這些安全政策的重要工具之一。Internet網(wǎng)絡(luò)商用化的趨勢(shì)愈來(lái)愈明顯，企業(yè)也不斷通過(guò)應(yīng)用網(wǎng)絡(luò)技術(shù)提高生產(chǎn)銷售的水平，單位網(wǎng)絡(luò)的安全性規(guī)劃更是刻不容緩。一個(gè)好防火墻的規(guī)劃必須能充分配合執(zhí)行單位所制定的安全政策，再加上安全的建置架構(gòu)，方能提供單位一個(gè)方便而安全的網(wǎng)絡(luò)環(huán)境。

圖1以屏蔽子網(wǎng)防火墻為例介紹打葉復(fù)烤企業(yè)防火墻的設(shè)置，一級(jí)堡壘防火墻是整個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)外的樞紐，是必需設(shè)立的。它一邊連接單位內(nèi)部網(wǎng)絡(luò)，一邊通往外部網(wǎng)絡(luò)。外部網(wǎng)絡(luò)上可擺單位對(duì)外提供服務(wù)的主機(jī)，例如：WEBServer、EMAILServer、POP3Server及FTPServer等，提供對(duì)外服務(wù)。防火墻的設(shè)定，可保證服務(wù)器主機(jī)只提供它應(yīng)提供的服務(wù)，而阻擋所有不當(dāng)?shù)拇嫒∨c連線，避免黑客在服務(wù)主機(jī)上開后門[6]。

打葉復(fù)烤企業(yè)可根據(jù)實(shí)際需要，將其他部門的子系統(tǒng)保護(hù)在隔斷防火墻內(nèi)，比如生產(chǎn)運(yùn)行實(shí)時(shí)控制系統(tǒng)、企業(yè)運(yùn)行管理信息系統(tǒng)、企業(yè)營(yíng)銷管理系統(tǒng)、企業(yè)多種經(jīng)營(yíng)管理系統(tǒng)等。同時(shí)可以將某些較重要而有安全顧慮的部門網(wǎng)絡(luò)，加上防火墻的配置，此即所謂的單位內(nèi)防火墻(IntranetFirewall)。單位內(nèi)防火墻的功能與主防火墻類似，但因?yàn)槠鋽?shù)量可能很多，會(huì)分配到電力部門的網(wǎng)絡(luò)內(nèi)，因此其管理規(guī)則的設(shè)定、系統(tǒng)的維護(hù)，不應(yīng)太過(guò)于困難。單位希望建置一個(gè)安全的網(wǎng)絡(luò)環(huán)境，除了采用防火墻之外，當(dāng)然還提供單位一個(gè)方便而安全的網(wǎng)絡(luò)環(huán)境。

圖1 企業(yè)屏蔽子網(wǎng)防火墻拓?fù)鋱D

4 結(jié)論

打葉復(fù)烤企業(yè)所面臨的網(wǎng)絡(luò)安全問(wèn)題是多種多樣的，所以企業(yè)設(shè)計(jì)和部署防火墻也就沒(méi)有唯一的正確答案。各個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)安全決定可能會(huì)受到許多因素的影響，諸如安全策略、職員的技術(shù)背景、費(fèi)用、以及估計(jì)可能受到的攻擊等。作者認(rèn)為：企業(yè)內(nèi)部信息網(wǎng)絡(luò)系統(tǒng)是動(dòng)態(tài)發(fā)展變化的，正確的安全策略與選擇合適的防火墻產(chǎn)品只是一個(gè)良好的開端，它只能解決40%~60%的安全問(wèn)題，其余的安全問(wèn)題仍有待解決。這些問(wèn)題包括信息系統(tǒng)高智能主動(dòng)性威脅、后續(xù)安全策略與響應(yīng)的弱化、系統(tǒng)的配置錯(cuò)誤、對(duì)安全風(fēng)險(xiǎn)的感知程度低、動(dòng)態(tài)變化的應(yīng)用環(huán)境充滿弱點(diǎn)等，所有這些都使打葉復(fù)烤企業(yè)將要面對(duì)網(wǎng)絡(luò)信息系統(tǒng)安全的挑戰(zhàn)。

參考文獻(xiàn):

[1]孫靜,曾紅衛(wèi).網(wǎng)絡(luò)安全檢測(cè)與預(yù)警[J].計(jì)算機(jī)工程,2001,(12):109-110.

[2]劉占全.網(wǎng)絡(luò)管理與防火墻技術(shù)[M].人民郵電出版社，2000.

[3]Greg Holden(美).防火墻與網(wǎng)絡(luò)安全[M]. 清華大學(xué)出版社，2004.

[4]郭炎華.網(wǎng)絡(luò)信息與信息安全探析[J].情報(bào)雜志，2001,6.

[5]劉克龍,蒙楊.一種新型的防火墻系統(tǒng)[J].計(jì)算機(jī)學(xué)報(bào),2006,8.

篇6

[關(guān)鍵詞]煙草企業(yè)；網(wǎng)絡(luò)安全防護(hù)；體系建設(shè)

doi：10.3969/j.issn.1673 - 0194.2016.24.028

[中圖分類號(hào)]TP393.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2016）24-00-02

隨著信息化的逐步發(fā)展，國(guó)內(nèi)煙草企業(yè)也愈加重視利用網(wǎng)絡(luò)提高生產(chǎn)管理銷售水平，打造信息化時(shí)代下的現(xiàn)代煙草企業(yè)。但享受網(wǎng)絡(luò)帶來(lái)便捷的同時(shí)，也正遭受到諸如病毒、木馬等網(wǎng)絡(luò)威脅給企業(yè)信息安全方面帶來(lái)的影響。因此，越來(lái)越多的煙草企業(yè)對(duì)如何強(qiáng)化網(wǎng)絡(luò)安全防護(hù)體系建設(shè)給予了高度關(guān)注。

1 威脅煙草企業(yè)網(wǎng)絡(luò)信息體系安全的因素

受各種因素影響，煙草企業(yè)網(wǎng)絡(luò)信息體系正遭受到各種各樣的威脅。

1.1 人為因素

人為的無(wú)意失誤，如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。人為的惡意攻擊，這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一種是被動(dòng)攻擊，他是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取與破譯等行為獲得重要機(jī)密信息。

1.2 軟硬件因素

網(wǎng)絡(luò)安全設(shè)備投資方面，行業(yè)在防火墻、網(wǎng)管設(shè)備、入侵檢測(cè)防御等網(wǎng)絡(luò)安全設(shè)備配置方面處于領(lǐng)先地位，但各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、軟件存在漏洞和“后門”。網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的，如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。曾經(jīng)出現(xiàn)過(guò)黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，其大部分是因?yàn)榘踩胧┎煌晟扑兄碌目喙?。軟件的“后門”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的，一般不為外人所知，一旦被破解，其造成的后果將不堪設(shè)想。另外，各種新型病毒發(fā)展迅速，超出防火墻屏蔽能力等，都使企業(yè)安全防護(hù)網(wǎng)絡(luò)遭受嚴(yán)重威脅。

1.3 結(jié)構(gòu)性因素

煙草企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)體系結(jié)構(gòu)，多數(shù)采用的是混合型結(jié)構(gòu)，星形和總線型結(jié)構(gòu)重疊并存，相互之間極易產(chǎn)生干擾。利用系統(tǒng)存在的漏洞和“后門”，黑客就可以利用病毒等入侵開展攻擊，或者，網(wǎng)絡(luò)使用者因系統(tǒng)過(guò)于復(fù)雜而導(dǎo)致錯(cuò)誤操作，都可能造成網(wǎng)絡(luò)安全問(wèn)題。

2 煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)現(xiàn)狀

煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)，仍然存在著很多不容忽視的問(wèn)題，亟待引起高度關(guān)注。

2.1 業(yè)務(wù)應(yīng)用集成整合不足

不少煙草企業(yè)防護(hù)系統(tǒng)在建設(shè)上過(guò)于單一化、條線化，影響了其縱向管控上的集成性和橫向供應(yīng)鏈上的協(xié)同性，安全防護(hù)信息沒(méi)有實(shí)現(xiàn)跨部門、跨單位、跨層級(jí)上的交流，相互之間不健全的信息共享機(jī)制，滯后的信息資源服務(wù)決策，影響了信息化建設(shè)的整體效率。缺乏對(duì)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的頂層設(shè)計(jì)，致使信息化建設(shè)未能形成整體合力。

2.2 信息化建設(shè)特征不夠明顯

網(wǎng)絡(luò)安全防護(hù)體系建設(shè)是現(xiàn)代煙草企業(yè)的重要標(biāo)志，但如基礎(chǔ)平臺(tái)的集成性、基礎(chǔ)設(shè)施的集約化、標(biāo)準(zhǔn)規(guī)范體系化等方面的建設(shè)工作都較為滯后。主營(yíng)煙草業(yè)務(wù)沒(méi)有同信息化建設(shè)高度契合，對(duì)影響企業(yè)發(fā)展的管理制度、業(yè)務(wù)需求、核心數(shù)據(jù)和工作流程等關(guān)鍵性指標(biāo)，缺乏宏觀角度上的溝通協(xié)調(diào)，致使在信息化建設(shè)中，業(yè)務(wù)、管理、技術(shù)“三位一體”的要求并未落到實(shí)處，影響了網(wǎng)絡(luò)安全防護(hù)的效果。

2.3 安全運(yùn)維保障能力不足

缺乏對(duì)運(yùn)維保障工作的正確認(rèn)識(shí)，其尚未完全融入企業(yè)信息化建設(shè)的各個(gè)環(huán)節(jié)，加上企業(yè)信息化治理模式構(gòu)建不成熟等原因，制約了企業(yè)安全綜合防范能力與運(yùn)維保障體系建設(shè)的整體效能，導(dǎo)致在網(wǎng)絡(luò)威脅的防護(hù)上較為被動(dòng)，未能做到主動(dòng)化、智能化分析，導(dǎo)致遭受病毒、木馬、釣魚網(wǎng)站等反復(fù)侵襲。

3 加強(qiáng)煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的策略

煙草企業(yè)應(yīng)以實(shí)現(xiàn)一體化數(shù)字煙草作為建設(shè)目標(biāo)，秉承科學(xué)頂層設(shè)計(jì)、合理統(tǒng)籌規(guī)劃、力爭(zhēng)整體推進(jìn)的原則，始終堅(jiān)持兩級(jí)主體、協(xié)同建設(shè)和項(xiàng)目帶動(dòng)的模式，按照統(tǒng)一架構(gòu)、安全同步、統(tǒng)一平臺(tái)的技術(shù)規(guī)范，才能持續(xù)推動(dòng)產(chǎn)業(yè)發(fā)展同信息化建設(shè)和諧共生。

3.1 遵循網(wǎng)絡(luò)防護(hù)基本原則

煙草企業(yè)在建設(shè)安全防護(hù)網(wǎng)絡(luò)時(shí)，應(yīng)明白建設(shè)安全防護(hù)網(wǎng)絡(luò)的目標(biāo)與原則，清楚網(wǎng)絡(luò)使用的性質(zhì)、主要使用人員等基本情況。并在邏輯上對(duì)安全防護(hù)網(wǎng)絡(luò)進(jìn)行合理劃分，不同區(qū)域的防御體系應(yīng)具有針對(duì)性，相互之間邏輯清楚、調(diào)用清晰，從而使網(wǎng)絡(luò)邊界更為明確，相互之間更為信任。要對(duì)已出現(xiàn)的安全問(wèn)題進(jìn)行認(rèn)真分析，并歸類統(tǒng)計(jì)，大的問(wèn)題盡量拆解細(xì)分，類似的問(wèn)題歸類統(tǒng)一，從而將復(fù)雜問(wèn)題具體化，降低網(wǎng)絡(luò)防護(hù)工作的難度。對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，應(yīng)以功能為界限來(lái)劃分，以劃分區(qū)域?yàn)榘踩雷o(hù)區(qū)域。同時(shí)，要不斷地完善安全防護(hù)體系建設(shè)標(biāo)準(zhǔn)，打破不同企業(yè)之間網(wǎng)絡(luò)安全防護(hù)體系的壁壘，實(shí)現(xiàn)信息資源更大程度上的互聯(lián)互通，從而有效地提升自身對(duì)網(wǎng)絡(luò)威脅的抵御力。

3.2 合理確定網(wǎng)絡(luò)安全區(qū)域

煙草企業(yè)在使用網(wǎng)絡(luò)過(guò)程中，不同的區(qū)域所擔(dān)負(fù)的角色是不同的。為此，內(nèi)部網(wǎng)絡(luò)，在設(shè)計(jì)之初，應(yīng)以安全防護(hù)體系、業(yè)務(wù)操作標(biāo)準(zhǔn)、網(wǎng)絡(luò)使用行為等為標(biāo)準(zhǔn)對(duì)區(qū)域進(jìn)行劃分。同時(shí)，對(duì)生產(chǎn)、監(jiān)管、流通、銷售等各個(gè)環(huán)節(jié)，要根據(jù)其業(yè)務(wù)特點(diǎn)強(qiáng)化對(duì)應(yīng)的網(wǎng)絡(luò)使用管理制度，既能實(shí)現(xiàn)網(wǎng)絡(luò)安全更好防護(hù)，也能幫助企業(yè)實(shí)現(xiàn)更為科學(xué)的管控與人性化的操作。在對(duì)煙草企業(yè)網(wǎng)絡(luò)安全區(qū)域進(jìn)行劃分時(shí)，不能以偏概全、一蹴而就，應(yīng)本著實(shí)事求是的態(tài)度，根據(jù)企業(yè)實(shí)際情況，以現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)為基礎(chǔ)，有針對(duì)性地進(jìn)行合理的劃分，才能取得更好的防護(hù)效果。

3.3 大力推行動(dòng)態(tài)防護(hù)措施

根據(jù)網(wǎng)絡(luò)入侵事件可知，較為突出的問(wèn)題有病毒更新?lián)Q代快、入侵手段與形式日趨多樣、病毒防護(hù)效果滯后等。為此，煙草企業(yè)在構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系時(shí)，應(yīng)根據(jù)不同的威脅形式確定相應(yīng)的防護(hù)技術(shù)，且系統(tǒng)要能夠隨時(shí)升級(jí)換代，從而提升總體防護(hù)力。同時(shí)，要定期對(duì)煙草企業(yè)所遭受的網(wǎng)絡(luò)威脅進(jìn)行分析，確定系統(tǒng)存在哪些漏洞、留有什么隱患，實(shí)現(xiàn)入侵實(shí)時(shí)監(jiān)測(cè)和系統(tǒng)動(dòng)態(tài)防護(hù)。系統(tǒng)還需建立備份還原模塊和網(wǎng)絡(luò)應(yīng)急機(jī)制，在系統(tǒng)遭受重大網(wǎng)絡(luò)威脅而癱瘓時(shí)，確保在最短的時(shí)間內(nèi)恢復(fù)系統(tǒng)的基本功能，為后期確定問(wèn)題原因與及時(shí)恢復(fù)系統(tǒng)留下時(shí)間，并且確保企業(yè)業(yè)務(wù)的開展不被中斷，不會(huì)為企業(yè)帶來(lái)很大的經(jīng)濟(jì)損失。另外，還應(yīng)大力提倡煙草企業(yè)同專業(yè)信息防護(hù)企業(yè)合作，構(gòu)建病毒防護(hù)戰(zhàn)略聯(lián)盟，為更好地實(shí)現(xiàn)煙草企業(yè)網(wǎng)絡(luò)防護(hù)效果提供堅(jiān)實(shí)的技術(shù)支撐。

3.4 構(gòu)建專業(yè)防護(hù)人才隊(duì)伍

人才是網(wǎng)絡(luò)安全防護(hù)體系的首要資源，缺少專業(yè)性人才的支撐，再好的信息安全防護(hù)體系也形同虛設(shè)。煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)的工作專業(yè)性很強(qiáng)，既要熟知信息安全防護(hù)技術(shù)，也要對(duì)煙草企業(yè)生產(chǎn)全過(guò)程了然于胸，并熟知國(guó)家政策法規(guī)等制度。因此，煙草企業(yè)要大力構(gòu)建專業(yè)的網(wǎng)絡(luò)信息安全防護(hù)人才隊(duì)伍，要采取定期選送、校企聯(lián)訓(xùn)、崗位培訓(xùn)等方式，充分挖掘內(nèi)部人力資源，提升企業(yè)現(xiàn)有信息安全防護(hù)人員的能力素質(zhì)，也要積極同病毒防護(hù)企業(yè)、專業(yè)院校和科研院所合作，引進(jìn)高素質(zhì)專業(yè)技術(shù)人才，從而為企業(yè)更好地實(shí)現(xiàn)信息安全防護(hù)效果打下堅(jiān)實(shí)的人才基礎(chǔ)。

3.5 提升員工安全防護(hù)意識(shí)

技術(shù)防護(hù)手段效果再好，員工信息安全防護(hù)意識(shí)不佳，系統(tǒng)也不能取得好的效果。煙草企業(yè)要設(shè)立專門的信息管理培訓(xùn)中心，統(tǒng)一對(duì)企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)進(jìn)行管理培訓(xùn)，各部門、各環(huán)節(jié)也要設(shè)立相應(yīng)崗位，負(fù)責(zé)本崗位的網(wǎng)絡(luò)使用情況。賬號(hào)使用、信息、權(quán)限確定等，都要置于信息管理培訓(xùn)中心的制約監(jiān)督下，都要在網(wǎng)絡(luò)使用制度的規(guī)則框架中，杜絕違規(guī)使用網(wǎng)絡(luò)、肆意泄露信息等現(xiàn)象的發(fā)生。對(duì)全體員工開展網(wǎng)絡(luò)安全教育，提升其網(wǎng)絡(luò)安全防護(hù)意識(shí)，使其認(rèn)識(shí)到安全防護(hù)體系的重要性，從而使每個(gè)人都能依法依規(guī)地使用信息網(wǎng)絡(luò)。

4 結(jié) 語(yǔ)

煙草企業(yè)管理者必須清醒認(rèn)識(shí)到，利用信息網(wǎng)絡(luò)加快企業(yè)升級(jí)換代、建設(shè)一流現(xiàn)代化煙草企業(yè)是行業(yè)所向、大勢(shì)所趨，絕不能因?yàn)榫W(wǎng)絡(luò)存在安全威脅而固步自封、拒絕進(jìn)步。但也要關(guān)注信息化時(shí)代下網(wǎng)絡(luò)安全帶來(lái)的挑戰(zhàn)，以實(shí)事求是的態(tài)度，大力依托信息網(wǎng)絡(luò)安全技術(shù)，構(gòu)建更為安全的防護(hù)體系，為企業(yè)做大做強(qiáng)奠定堅(jiān)實(shí)的基礎(chǔ)。

主要參考文獻(xiàn)

[1]楊波.基于安全域的煙草工業(yè)公司網(wǎng)絡(luò)安全防護(hù)體系研究[J].計(jì)算機(jī)與信息技術(shù)，2012（5）.

篇7

關(guān)鍵詞：油田企業(yè)；網(wǎng)絡(luò)安全；防火墻技術(shù)；應(yīng)用

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 15-0000-01

Application of Oilfield Enterprise Network Security and Firewall Technology

Hou Haidong

(Qinghai Oilfield Company Huatugou Community managemen Center,Haixi816400,China)

Abstract:With the computer technology in various enterprise wide applications,network security issues have been increasingly valued by everyone.Firewall to ensurenetwork security barrier,is an integral part of the secure network.Of oil companies innetwork security,analysis of some problems which have to focus on coping strategies,to explore oil fields in the enterprise network firewall technology to ensurethe security of oil enterprise network,corporate network security to prevent oil fieldaccident.Discuss specific network security solutions,integrated network securitymeasures,improve enterprise network security field.

Keywords:Oilfield enterprise;Network security;Firewall technology;Application

計(jì)算機(jī)從出現(xiàn)到發(fā)展，短短幾十年間，無(wú)論從生活、學(xué)習(xí)，還是工作中都帶來(lái)了巨大的影響，使我們的生活、學(xué)習(xí)和工作都起了翻天覆地的變化。在各個(gè)企業(yè)里面，現(xiàn)代化的建設(shè)都是建立在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用之上的，計(jì)算機(jī)技術(shù)覆蓋了企業(yè)生產(chǎn)的各個(gè)大小環(huán)節(jié)。保證企業(yè)中網(wǎng)絡(luò)的安全性，使企業(yè)生產(chǎn)順利進(jìn)行，這是企業(yè)中網(wǎng)絡(luò)運(yùn)行的基本保障。筆者仔細(xì)分析了青海油田企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀，針對(duì)青海油田企業(yè)的網(wǎng)絡(luò)安全問(wèn)題，提出相應(yīng)的解決策略，結(jié)合防火墻技術(shù)的應(yīng)用，提高油田企業(yè)網(wǎng)絡(luò)安全性，保證企業(yè)生產(chǎn)的順利進(jìn)行。

一、青海油田企業(yè)網(wǎng)絡(luò)工作概況

青海油田是一家大型企業(yè)，其二級(jí)單位網(wǎng)絡(luò)中目前包含華為、港灣、華為3COM、Cisco等廠商設(shè)備，屬于多廠商互聯(lián)網(wǎng)絡(luò)。青海油田企業(yè)的整個(gè)網(wǎng)絡(luò)主體建設(shè)于1999年，逐年累建至今。目前網(wǎng)絡(luò)集中問(wèn)題有多個(gè)方面，網(wǎng)絡(luò)缺乏管理性；多廠商設(shè)備，難以統(tǒng)一管理；大部分設(shè)備陳舊，匯聚層性能、帶寬不足；冗余可靠性差。由于這些原因，導(dǎo)致匯聚層設(shè)備擴(kuò)展性不夠，一些單位層層級(jí)連網(wǎng)，影響網(wǎng)絡(luò)的穩(wěn)定性和可靠性，使得網(wǎng)絡(luò)安全問(wèn)題成為極大的難題。

二、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)根據(jù)不同的方面，有許多的風(fēng)險(xiǎn)因素，比如網(wǎng)絡(luò)外部的環(huán)境是否安全，包括了電源故障、設(shè)備被盜、認(rèn)為操作失誤、線路截獲、高可用性的硬件、機(jī)房環(huán)境、雙機(jī)多冗余的設(shè)計(jì)、安全意識(shí)、報(bào)警系統(tǒng)等。再比如系統(tǒng)完全，包括了整個(gè)局域網(wǎng)的網(wǎng)絡(luò)硬件平臺(tái)、網(wǎng)絡(luò)操作系統(tǒng)等。每一個(gè)網(wǎng)絡(luò)操作系統(tǒng)都有其后門，不可能有絕對(duì)安全的操作系統(tǒng)。還有網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)，作為企業(yè)信息的公開平臺(tái)，要是受到了攻擊或者在運(yùn)行中間出現(xiàn)了問(wèn)題，對(duì)企業(yè)的聲譽(yù)是極大的影響。同時(shí)，作為公開的服務(wù)器，本身隨時(shí)都面臨著黑客的攻擊，安全風(fēng)險(xiǎn)比其他的原本就要高上許多。另外，應(yīng)用系統(tǒng)安全也是風(fēng)險(xiǎn)因素中的一個(gè)，在不斷發(fā)展和增加過(guò)程中，其安全漏洞也在日益增加，并且漏洞隱藏得只會(huì)越來(lái)越深。此外還有管理的安全，管理混亂、責(zé)權(quán)不分、安全管理制度不健全等都是管理安全的風(fēng)險(xiǎn)因素。

三、油田企業(yè)網(wǎng)絡(luò)安全管理工作

隨著油田企業(yè)中網(wǎng)絡(luò)用戶的逐漸增多，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出、越來(lái)越被網(wǎng)絡(luò)管理工作人員所重視。在實(shí)際工作中，通過(guò)增強(qiáng)單位用戶對(duì)網(wǎng)絡(luò)安全重要性的緊迫性的認(rèn)識(shí)、強(qiáng)化和規(guī)范用戶防病毒意識(shí)等手段，全面采用網(wǎng)絡(luò)版防病毒系統(tǒng)，部署防病毒服務(wù)器和補(bǔ)丁分發(fā)服務(wù)器。在網(wǎng)絡(luò)管理過(guò)程中，技術(shù)人員定期檢查、預(yù)防、控制和及時(shí)更新防病毒系統(tǒng)病毒定義碼，按時(shí)向總部上報(bào)極度防病毒巡檢表。網(wǎng)絡(luò)管理技術(shù)人員還積極做好入侵保護(hù)系統(tǒng)IPS策略的日常管理和日志審計(jì)工作，使有限的網(wǎng)絡(luò)資源能用于重點(diǎn)保障業(yè)務(wù)工作的正常進(jìn)行。

四、油田企業(yè)網(wǎng)絡(luò)安全防范舉措與防火墻技術(shù)應(yīng)用

在油田企業(yè)網(wǎng)絡(luò)運(yùn)行過(guò)程中，安全威脅主要有非授權(quán)訪問(wèn)、信息泄露或丟失、拒絕服務(wù)攻擊、破壞數(shù)據(jù)完整性、利用網(wǎng)絡(luò)傳播病毒等方面。要防范油田企業(yè)網(wǎng)絡(luò)安全，主要的防御體系是由漏洞掃描、入侵檢測(cè)和防火墻組成的。油田企業(yè)的局域網(wǎng)主要又外部網(wǎng)絡(luò)、內(nèi)部職工網(wǎng)絡(luò)、內(nèi)部單位辦公網(wǎng)絡(luò)和公開服務(wù)器區(qū)域組成。在每一個(gè)出口通過(guò)安裝硬件防火墻設(shè)備，用防火墻來(lái)實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)以及公開服務(wù)器網(wǎng)的區(qū)分。防火墻對(duì)外部的安全威脅起到了抵御的作用，但是從內(nèi)部發(fā)動(dòng)的安全攻擊卻無(wú)能為力。這個(gè)時(shí)候就需要?jiǎng)討B(tài)監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)以及及時(shí)做出響應(yīng)，將網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)接入到防火墻和交換機(jī)上的IDS端口，一旦發(fā)現(xiàn)入侵或者可疑行為之后，立即報(bào)告防火墻動(dòng)態(tài)調(diào)整安全策略，采取相應(yīng)的防御措施。另外，網(wǎng)絡(luò)安全還需要被動(dòng)的防御體系，它是由VPN路由和防火墻組成，被動(dòng)防御體系主要實(shí)現(xiàn)了外網(wǎng)的安全接入。外網(wǎng)在于企業(yè)網(wǎng)絡(luò)之間實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臅r(shí)候，經(jīng)過(guò)防火墻高強(qiáng)度的加密認(rèn)證，保證外網(wǎng)接入的安全性。在油田企業(yè)網(wǎng)絡(luò)安全與防火墻技術(shù)應(yīng)用中，還需要加對(duì)病毒的防范、數(shù)據(jù)安全的保護(hù)和數(shù)據(jù)備份與恢復(fù)的建設(shè)。在服務(wù)器上安裝服務(wù)器端殺毒軟件，在每一臺(tái)網(wǎng)絡(luò)用戶電腦上安裝客戶端殺毒軟件，通過(guò)及時(shí)更新病毒代碼，防范病毒的入侵。采用自動(dòng)化備份、安裝磁帶機(jī)等外部存貯設(shè)備等方法，保證數(shù)據(jù)的安全。

五、總結(jié)

油田企業(yè)網(wǎng)絡(luò)安全不僅關(guān)系著企業(yè)的整體發(fā)展，還關(guān)系著油田企業(yè)中廣大職工的網(wǎng)絡(luò)使用安全，積極采取防火墻技術(shù)應(yīng)用到網(wǎng)絡(luò)安全防范之中，以提高青海油田企業(yè)網(wǎng)絡(luò)的安全性，保證企業(yè)的正常工作、企業(yè)職工的正常生活。

參考文獻(xiàn)：

[1]何黎明,方風(fēng)波,王波濤.油田網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與策略研究[J].石油天然氣學(xué)報(bào),2008,3:279-280

[2]陳崗.大型企業(yè)信息網(wǎng)絡(luò)安全問(wèn)題解決方案[J].岳陽(yáng)師范學(xué)院學(xué)報(bào)(自然科學(xué)版),2006,2:168-169

篇8

【關(guān)鍵詞】企業(yè) 內(nèi)部網(wǎng)絡(luò) 安全 威脅 防范 措施

近年來(lái)，大家對(duì)于網(wǎng)絡(luò)安全的認(rèn)知上存有誤差，他們總以為這是來(lái)源于企業(yè)外部的因素導(dǎo)致內(nèi)部問(wèn)題發(fā)生，這種說(shuō)法是錯(cuò)誤的。因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題是涉及到相關(guān)網(wǎng)絡(luò)研究網(wǎng)絡(luò)的部門、還有企業(yè)內(nèi)的網(wǎng)絡(luò)設(shè)施等，但事實(shí)上，網(wǎng)絡(luò)研究人員卻將主要的安全隱患鎖定網(wǎng)絡(luò)外部目標(biāo)，卻常常忽視了最隱秘的威脅因素是來(lái)源于企業(yè)內(nèi)部，數(shù)據(jù)統(tǒng)計(jì)，有金百分之八十五的安全隱患問(wèn)題來(lái)源于內(nèi)部，其隱患出于企業(yè)內(nèi)部與外部的比例在逐年變大。

1 企業(yè)內(nèi)部網(wǎng)絡(luò)安全威脅

在企業(yè)內(nèi)部由于自身的ICP協(xié)議和操作方法不正確，并主要是企業(yè)內(nèi)部很大一部分人員操作不當(dāng)導(dǎo)致，這些人為原因引起的網(wǎng)絡(luò)威脅問(wèn)題，其主要表現(xiàn)為：

1.1 用戶操作步驟及方法不當(dāng)

極有可能導(dǎo)致網(wǎng)絡(luò)設(shè)備的內(nèi)外部相應(yīng)的毀壞等，引起錯(cuò)誤刪減重要的數(shù)據(jù)或使得網(wǎng)絡(luò)硬盤恢復(fù)格式化等不同方面的問(wèn)題出現(xiàn)。

1.2 有意惡性損壞

因個(gè)別人為因素導(dǎo)致，一些內(nèi)部人員因情緒失控，做出某些破壞性預(yù)謀損壞行為，故意致使企業(yè)內(nèi)部網(wǎng)存有威脅。

1.3 某些可移動(dòng)的存介質(zhì)在應(yīng)用過(guò)程中不當(dāng)?shù)墓芾?/p>

這是一種難度程度極大的，直接威脅企業(yè)內(nèi)部信息的關(guān)鍵要素，因此，相關(guān)網(wǎng)絡(luò)部門人員需思考怎樣才能防止介質(zhì)消失或是禁止相關(guān)數(shù)據(jù)的授權(quán)等方面問(wèn)題，是當(dāng)下最難克服的重要問(wèn)題。

1.4 黑客襲擊或是病毒查殺操作不到位

因?yàn)樵谑褂帽I版的軟件下載，是進(jìn)行病毒無(wú)線傳播的渠道。

1.5 組權(quán)分配不完善

在相關(guān)的網(wǎng)絡(luò)服務(wù)人會(huì)員的組權(quán)分配問(wèn)題上，還不是很完善。

1.6 企業(yè)內(nèi)部賬戶的不合理設(shè)置

不能對(duì)其口訣進(jìn)行較為合理的分配原則。

1.7 專業(yè)人員素質(zhì)不高

相關(guān)的網(wǎng)絡(luò)專業(yè)人員的技能操作應(yīng)用效果不明顯，加上工作態(tài)度問(wèn)題，都是網(wǎng)路毆所隱藏的關(guān)鍵要素。

1.8 服務(wù)端口啟動(dòng)頻繁

為了更多地搜集數(shù)據(jù)信息企業(yè)內(nèi)部管理員頻繁啟動(dòng)運(yùn)行服務(wù)端口，致使網(wǎng)絡(luò)產(chǎn)生嚴(yán)重的威脅。

2 網(wǎng)絡(luò)安全問(wèn)題排查及預(yù)防方法

2.1 訪問(wèn)控制

（1）通過(guò)有效的首層的安全和預(yù)防程序，也就是把初次入網(wǎng)客戶通過(guò)當(dāng)?shù)丶跋嚓P(guān)程序的審核與訪問(wèn)實(shí)現(xiàn)客戶的驗(yàn)證過(guò)程，便于認(rèn)識(shí)與檢驗(yàn)、以相當(dāng)?shù)拈L(zhǎng)度密碼設(shè)定，并規(guī)定以阿拉伯?dāng)?shù)字、密碼輸入及相互引的其他的符號(hào)作為依據(jù)。

（2）設(shè)定訪問(wèn)權(quán)限。通過(guò)對(duì)一般的大眾用戶進(jìn)行資源整合，實(shí)現(xiàn)對(duì)有關(guān)文件的有效操作，其應(yīng)用程序所展示的安全性能含：erase、write、create、modify、access control等

（3）以交換機(jī)為基礎(chǔ)，形成訪問(wèn)的有效設(shè)定，其主要包含有端口的限制問(wèn)題。

（4）將其他的不需要的彈出窗口及時(shí)關(guān)閉。

（5）對(duì)資源策略的共同享有過(guò)程中避免涉及所謂的資源整合陷阱，并禁止在協(xié)議書刪改相關(guān)協(xié)議內(nèi)容或數(shù)據(jù)，不要以Administrator帳戶的重新名稱更改。

2.2 數(shù)據(jù)密碼保護(hù)

（1）在網(wǎng)絡(luò)數(shù)據(jù)、信息傳輸過(guò)程中，需進(jìn)行技術(shù)的加密程序改良，確保信息的準(zhǔn)確，并在信息的整體的發(fā)出過(guò)程實(shí)現(xiàn)智能化的加密程序，實(shí)現(xiàn)數(shù)據(jù)整體的存檔，轉(zhuǎn)化為不能有效分辨的或是不能夠有效數(shù)據(jù)讀取。當(dāng)相關(guān)數(shù)據(jù)信息實(shí)現(xiàn)目的地產(chǎn)生的最初位置，并通過(guò)智能組合，與密碼的解析步驟，確保數(shù)據(jù)的爭(zhēng)取讀取。

（2）在密碼設(shè)置上要層層把關(guān)。在進(jìn)行相關(guān)的存儲(chǔ)信息或相關(guān)運(yùn)轉(zhuǎn)數(shù)據(jù)進(jìn)行合理分析，對(duì)所設(shè)定的密碼也應(yīng)制定，在進(jìn)行存儲(chǔ)相關(guān)內(nèi)容的存儲(chǔ)加密設(shè)定，將以密碼層層存儲(chǔ)加密為主線，避免非正當(dāng)企圖的人員進(jìn)行密碼的解析。

2.3 系統(tǒng)補(bǔ)丁

按時(shí)定期的對(duì)系統(tǒng)軟件進(jìn)行全面的創(chuàng)意型數(shù)據(jù)庫(kù)的相關(guān)漏洞。確保系統(tǒng)的安全與穩(wěn)定。

3 防護(hù)

3.1 防火墻

通過(guò)防火墻的權(quán)限設(shè)定對(duì)象，并進(jìn)行訪問(wèn)的方法，應(yīng)以最快的速度還在設(shè)置咨詢信息，禁止策略與防火墻的同時(shí)采用防火墻限制權(quán)限，并在防火墻中有效設(shè)定策略，禁止非法用戶的操控進(jìn)入界面。

3.2 入侵檢測(cè)

通過(guò)應(yīng)急事件預(yù)見(jiàn)性的處理，并檢測(cè)系統(tǒng)，避免發(fā)生異常物體的發(fā)生及預(yù)防。其入侵檢測(cè)的性能及狀態(tài)，是依據(jù)其有效的靜態(tài)密碼層層保護(hù)，使得在功能上進(jìn)行整合，針對(duì)相關(guān)的病毒入侵侵犯性技術(shù)難題與防火墻共同的補(bǔ)充。一些關(guān)鍵性的數(shù)據(jù)信息儲(chǔ)備在應(yīng)用網(wǎng)絡(luò)上要實(shí)現(xiàn)存放的有效保障，以所配置的系統(tǒng)的入侵方式的不同，其在網(wǎng)絡(luò)的數(shù)據(jù)輸送與傳輸也不相同，在發(fā)生不恰當(dāng)?shù)牟僮魇褂脮r(shí)，要根據(jù)相關(guān)政策進(jìn)行有效的技術(shù)隔斷與實(shí)時(shí)報(bào)警，確保入侵的有效防護(hù)工作。因此說(shuō)，在遇到不安全信息侵犯時(shí)，組織數(shù)據(jù)流的過(guò)程，就是實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部策略的有效實(shí)現(xiàn)方式。

3.3 病毒防護(hù)軟件

通過(guò)使用并下載病毒軟件來(lái)進(jìn)行有效的病毒查處功能，按一定周期來(lái)實(shí)現(xiàn)數(shù)據(jù)庫(kù)的有效保護(hù)與監(jiān)督，確保安全防護(hù)辦法的執(zhí)行，對(duì)那些安全隱患的網(wǎng)絡(luò)問(wèn)題及時(shí)進(jìn)行制止，進(jìn)一步確保企業(yè)內(nèi)部網(wǎng)絡(luò)的病毒凈化與信息安全保障工作。

參考文獻(xiàn)

[1]楊旭.計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞及防范措施研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2015（07）103-126.

[2]劉洪民，印幫輝，王鈺，孫宇.計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞及防范分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014（12）23-36.

[3]王麗麗，李曉明，徐凡特.網(wǎng)絡(luò)安全漏洞的現(xiàn)狀及面臨問(wèn)題分析[J].科技創(chuàng)新導(dǎo)報(bào)，2013（15）12-15.

篇9

使用OpenDNS

使用OpenDNS互聯(lián)網(wǎng)，信息會(huì)經(jīng)由IP地址傳輸，那么你輸送的URL文本就排在所有數(shù)據(jù)的前面。通常情況下，當(dāng)你輸入某網(wǎng)站的URL地址時(shí)。這一鏈接會(huì)在域名服務(wù)器的目錄中得到引用，在該域名服務(wù)器的目錄或引導(dǎo)你到達(dá)真正的IP地址。但是如果這一結(jié)構(gòu)受到損害，且黑客可以向不同的IP地址發(fā)送你的請(qǐng)求的話，該如何是好呢?

去年，一種新的、狡猾的攻擊就是使用了這樣一種技術(shù)。即便你輸入的是一個(gè)可靠的URL名稱，你也不能到達(dá)你想訪問(wèn)的服務(wù)器。而是去到了別的什么地方。你可能在網(wǎng)址列中看到銀行的名稱，但是你卻不知道你直接向黑客的網(wǎng)頁(yè)輸入了自己的私人資料。域名服務(wù)器和操作系統(tǒng)最后修復(fù)了這一問(wèn)題從而防止了這類型的攻擊。但是OpenDNS已經(jīng)預(yù)計(jì)到了這種問(wèn)題的出現(xiàn)并迅速地對(duì)這一威脅做出了反應(yīng)。使用OpenDNS而不要信賴你的ISP的DNS服務(wù)器。

在客戶端，你可以打開網(wǎng)絡(luò)連接控制面板。單擊鼠標(biāo)右鍵以激活連接，并選擇屬性。選擇互聯(lián)網(wǎng)協(xié)議(TCP／IP)。單擊屬性。選擇單選按鈕以使用下面的DNS服務(wù)器地址并輸入208.67.222.222和208.67.220.220或者你可以在路由器上激活它，向DHCP客戶端發(fā)送這些詳細(xì)信息，不需要額外的干預(yù)。具體的過(guò)程因人而異，但是你需要登錄并在NAT區(qū)域輸入上述的IP地址。訪問(wèn)可以獲得硬件的具體細(xì)則。

更新路由器固件

PsybOt是一種蠕蟲病毒，它的目的是直接攻擊路由器硬件，將其本身嵌入其中。它以默認(rèn)值開始，只是簡(jiǎn)單地猜測(cè)路由器的登錄名和密碼。至少，你應(yīng)該使用強(qiáng)效的密碼，特別由于很多低端的路由器都不允許你改變登錄ID。(嘗試使用包含12個(gè)字符，混合了字母、數(shù)字和符號(hào)的密碼)就像你的操作系統(tǒng)，硬件公司通常會(huì)隨時(shí)間推移為路由增加補(bǔ)丁，特別是在有安全漏洞被發(fā)現(xiàn)的時(shí)候。查一查你的指定模式，看看是否有固件更新。如果有的話，下載更新，并使用修訂。這樣做可以幫助你防止很多攻擊。

禁用遠(yuǎn)程管理

除了更新你的路由固件和使用強(qiáng)效密碼以外，你還可以通過(guò)禁用遠(yuǎn)程管理的功能把攻擊擋在門外。這一選項(xiàng)通常在默認(rèn)情況下是關(guān)閉的，但是要檢查你的路由設(shè)置以確保它是處于關(guān)閉狀態(tài)。

篇10

關(guān)鍵詞： 計(jì)算機(jī)；網(wǎng)絡(luò)；安全；防范

        1  網(wǎng)絡(luò)安全的含義及特征

        1.1 含義  網(wǎng)絡(luò)安全是指：為保護(hù)網(wǎng)絡(luò)免受侵害而采取的措施的總和。當(dāng)正確的采用網(wǎng)絡(luò)安全措施時(shí)，能使網(wǎng)絡(luò)得到保護(hù)，正常運(yùn)行。

        它具有三方面內(nèi)容：①保密性：指網(wǎng)絡(luò)能夠阻止未經(jīng)授權(quán)的用戶讀取保密信息。②完整性：包括資料的完整性和軟件的完整性。資料的完整性指在未經(jīng)許可的情況下確保資料不被刪除或修改。軟件的完整性是確保軟件程序不會(huì)被錯(cuò)誤、被懷有而已的用戶或病毒修改。③可用性：指網(wǎng)絡(luò)在遭受攻擊時(shí)可以確保合法擁護(hù)對(duì)系統(tǒng)的授權(quán)訪問(wèn)正常進(jìn)行。

        1.2 特征  網(wǎng)絡(luò)安全根據(jù)其本質(zhì)的界定，應(yīng)具有以下基本特征：①機(jī)密性：是指信息不泄露給非授權(quán)的個(gè)人、實(shí)體和過(guò)程，或供其使用的特性。在網(wǎng)絡(luò)系統(tǒng)的每一個(gè)層次都存在著不同的機(jī)密性，因此也需要有相應(yīng)的網(wǎng)絡(luò)安全防范措施。在物理層，要保護(hù)系統(tǒng)實(shí)體的信息外露，在運(yùn)行層面，保證能夠?yàn)槭跈?quán)使用者正常的使用，并對(duì)非授權(quán)的人禁止使用，并有防范黑客，病毒等的惡行攻擊能力。②完整性：是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性。③可用性：是指授權(quán)的用戶能夠正常的按照順序使用的特征，也就是能夠保證授權(quán)使用者在需要的時(shí)候可以訪問(wèn)并查詢資料。在物理層，要提高系統(tǒng)在惡劣環(huán)境下的工作能力。在運(yùn)行層面，要保證系統(tǒng)時(shí)刻能為授權(quán)人提供服務(wù)，保證系統(tǒng)的可用性，使得者無(wú)法否認(rèn)所的信息內(nèi)容。接受者無(wú)法否認(rèn)所接收的信息內(nèi)容，對(duì)數(shù)據(jù)抵賴采取數(shù)字簽名。

        2  網(wǎng)絡(luò)安全現(xiàn)狀分析

        網(wǎng)絡(luò)目前的發(fā)展已經(jīng)與當(dāng)初設(shè)計(jì)網(wǎng)絡(luò)的初衷大相徑庭，安全問(wèn)題已經(jīng)擺在了非常重要的位置上，安全問(wèn)題如果不能解決，會(huì)嚴(yán)重地影響到網(wǎng)絡(luò)的應(yīng)用。網(wǎng)絡(luò)信息具有很多不利于網(wǎng)絡(luò)安全的特性，例如網(wǎng)絡(luò)的互聯(lián)性，共享性，開放性等，現(xiàn)在越來(lái)越多的惡性攻擊事件的發(fā)生說(shuō)明目前網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，不法分子的手段越來(lái)越先進(jìn)，系統(tǒng)的安全漏洞往往給他們可趁之機(jī)，因此網(wǎng)絡(luò)安全的防范措施要能夠應(yīng)付不同的威脅，保障網(wǎng)絡(luò)信息的保密性、完整性和可用性。目前我國(guó)的網(wǎng)絡(luò)系統(tǒng)和協(xié)議還存在很多問(wèn)題，還不夠健全不夠完善不夠安全。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計(jì)算機(jī)和網(wǎng)絡(luò)安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過(guò)了計(jì)算機(jī)病毒的種類，而且許多攻擊都是致命的。

        3  網(wǎng)絡(luò)安全解決方案

        要解決網(wǎng)絡(luò)安全，首先要明確實(shí)現(xiàn)目標(biāo)：①身份真實(shí)性：對(duì)通信實(shí)體身份的真實(shí)性進(jìn)行識(shí)別。②信息機(jī)密性：保證機(jī)密信息不會(huì)泄露給非授權(quán)的人或?qū)嶓w。③信息完整性：保證數(shù)據(jù)的一致性，防止非授權(quán)用戶或?qū)嶓w對(duì)數(shù)據(jù)進(jìn)行任何破壞。④服務(wù)可用性：防止合法擁護(hù)對(duì)信息和資源的使用被不當(dāng)?shù)木芙^。⑤不可否認(rèn)性：建立有效的責(zé)任機(jī)智，防止實(shí)體否認(rèn)其行為。⑥系統(tǒng)可控性：能夠控制使用資源的人或?qū)嶓w的使用方式。⑦系統(tǒng)易用性：在滿足安全要求的條件下，系統(tǒng)應(yīng)該操作簡(jiǎn)單、維護(hù)方便。⑧可審查性：對(duì)出現(xiàn)問(wèn)題的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。

        4  網(wǎng)絡(luò)安全是一項(xiàng)動(dòng)態(tài)、整體的系統(tǒng)工程。

        網(wǎng)絡(luò)安全有安全的操作系統(tǒng)、應(yīng)用系統(tǒng)、防病毒、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、通信加密、災(zāi)難恢復(fù)、安全掃描等多個(gè)安全組件組成，一個(gè)單獨(dú)的組件是無(wú)法確保信息網(wǎng)絡(luò)的安全性。從實(shí)際操作的角度出發(fā)網(wǎng)絡(luò)安全應(yīng)關(guān)注以下技術(shù)：