導語：如何才能寫好一篇企業(yè)網(wǎng)絡安全方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞:企業(yè)網(wǎng)絡；安全；病毒；物理

在現(xiàn)代企業(yè)的生存與發(fā)展過程中，企業(yè)網(wǎng)絡安全威脅與企業(yè)網(wǎng)絡安全防護是并行存在的。雖然企業(yè)網(wǎng)絡安全技術與以往相比取得了突破性的進展，但過去企業(yè)網(wǎng)絡處于一個封閉或者是半封閉的狀態(tài)，只需簡單的防護設備和防護方案即可保證其安全性。而當今大多數(shù)企業(yè)網(wǎng)絡幾乎處于全球互聯(lián)的狀態(tài)，這種時空的無限制性和準入的開放性間接增加了企業(yè)網(wǎng)絡安全的影響因素，自然給企業(yè)網(wǎng)絡安全帶來了更多的威脅。因此，企業(yè)網(wǎng)絡安全防護一個永無止境的過程，對其進行研究無論是對于網(wǎng)絡安全技術的應用，還是對于企業(yè)的持續(xù)發(fā)展，都具有重要的意義。

1企業(yè)網(wǎng)絡安全問題分析

基于企業(yè)網(wǎng)絡的構成要素以及運行維護條件，目前企業(yè)網(wǎng)絡典型的安全問題主要表現(xiàn)于以下幾個方面。

1.1網(wǎng)絡設備安全問題

企業(yè)網(wǎng)絡系統(tǒng)服務器、網(wǎng)絡交換機、個人電腦、備用電源等硬件設備，時常會發(fā)生安全問題，而這些設備一旦產(chǎn)生安全事故很有可能會泄露企業(yè)的機密信息，進而給企業(yè)帶來不可估量經(jīng)濟損失。以某企業(yè)為例，該企業(yè)網(wǎng)絡的服務器及相關網(wǎng)絡設備的運行電力由UPS接12V的SOAK蓄電池組提供，該蓄電池組使用年限行、容量低，在長時間停電的情況下，很容易由于蓄電池的電量耗盡而導致整個企業(yè)網(wǎng)絡的停運。當然，除了電源問題外，服務器、交換機也存在諸多安全隱患。

1.2服務器操作系統(tǒng)安全問題

隨著企業(yè)規(guī)模的壯大以及企業(yè)業(yè)務的拓展，對企業(yè)網(wǎng)絡服務器的安全需求也有所提高。目前諸多企業(yè)網(wǎng)絡服務器采用的是WindowsXP或Windows7操作系統(tǒng)，由于這些操作系統(tǒng)存在安全漏洞，自然會降低服務器的安全防御指數(shù)。加上異常端口、未使用端口以及不規(guī)范的高權限賬號管理等問題的存在，在不同程度上增加了服務器的安全威脅。

1.3訪問控制問題

企業(yè)網(wǎng)絡訪問控制安全問題也是較為常見的，以某企業(yè)為例，該企業(yè)采用Websense管理軟件來監(jiān)控企業(yè)內(nèi)部人員的上網(wǎng)行為，但未限制存在安全隱患的上網(wǎng)活動。同時對于內(nèi)部上網(wǎng)終端及外來電腦未設置入網(wǎng)認證及無線網(wǎng)絡訪問節(jié)點安全檢查，任何電腦都可在信號區(qū)內(nèi)接入到無線網(wǎng)絡。

2企業(yè)網(wǎng)絡安全防護方案

基于上述企業(yè)網(wǎng)絡普遍性的安全問題，可以針對性的提出以下綜合性的安全防護方案來提高企業(yè)網(wǎng)絡的整體安全性能。

2.1網(wǎng)絡設備安全方案

企業(yè)網(wǎng)絡相關設備的安全性能是保證整個企業(yè)網(wǎng)絡安全的基本前提，為了提高網(wǎng)絡設備的整體安全指數(shù)，可采取以下具體措施。首先，合適傳輸介質(zhì)的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質(zhì)，例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業(yè)網(wǎng)絡相關主干設備對交流電源的生產(chǎn)質(zhì)量、供電連續(xù)性、供電可靠性以及抗干擾性等指標提出了更高的要求，這就要求對企業(yè)網(wǎng)絡的供電系統(tǒng)進行優(yōu)化。以上述某企業(yè)網(wǎng)絡系統(tǒng)電源供電不足問題為例，為了徹底解決傳統(tǒng)電源供給不足問題，可以更換為大容量的蓄電池組，并安裝固定式發(fā)電機組，進而保證在長時間停電狀態(tài)下企業(yè)網(wǎng)絡設備的可持續(xù)供電，避免因為斷電而導致文件損壞及數(shù)據(jù)丟失等安全問題的發(fā)生。

2.2服務器系統(tǒng)安全方案

企業(yè)網(wǎng)絡服務器系統(tǒng)的安全尤為重要，然而其安全問題的產(chǎn)生又是多方面因素所導致的，需要從多個層面來構建安全防護方案。

2.2.1操作系統(tǒng)漏洞安全

目前企業(yè)網(wǎng)絡服務器操作系統(tǒng)以Windows為主，該系統(tǒng)漏洞的出現(xiàn)成為了諸多攻擊者的重點對象，除了采取常規(guī)的更新Windows系統(tǒng)、安裝系統(tǒng)補丁外，還應針對企業(yè)網(wǎng)絡服務器及個人電腦的操作系統(tǒng)使用實際情況，實施專門的漏洞掃描和檢測，并根據(jù)掃描結果做出科學、客觀、全面的安全評估，如圖1所示，將證書授權入侵檢測系統(tǒng)部署在核心交換機的監(jiān)控端口，并在不同網(wǎng)段安裝由中央工作站控制的網(wǎng)絡入侵檢測，以此來檢測和響應網(wǎng)絡入侵威脅。圖1漏洞掃描及檢測系統(tǒng)

2.2.2Windows端口安全

在Windows系統(tǒng)中，端口是企業(yè)實現(xiàn)網(wǎng)絡信息服務主要通道，一般一臺服務器會綁定多個IP，而這些IP又通過多個端口來提高企業(yè)網(wǎng)絡服務能力，這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務器網(wǎng)絡攻擊的運行路徑來看，大多數(shù)都要通過服務器TCP/UDP端口，可充分這一點來預防各種網(wǎng)絡攻擊，只需通過命令或端口管理軟件來實現(xiàn)系統(tǒng)端口的控制管理即可。

2.2.3Internet信息服務安全

Internet信息服務是以TCP/IP為基礎的，可通過諸多措施來提高Internet信息服務安全。（1）基于IP地址實現(xiàn)訪問控制。通過對IIS配置，可實現(xiàn)對來訪IP地址的檢測，進而以訪問權限的設置來阻止或允許某些特定計算機的訪問站點。（2）在非系統(tǒng)分區(qū)上安裝IIS服務器。若在系統(tǒng)分區(qū)上安裝IIS，IIS就會具備非法訪問屬性，給非法用戶侵入系統(tǒng)分區(qū)提供便利，因此，在非系統(tǒng)分區(qū)上安全IIS服務器較為科學。（3）NTFS文件系統(tǒng)的應用。NTFS文件系統(tǒng)具有文件及目錄管理功能，服務器Windows2000的安全機制是基于NTFS文件系統(tǒng)的，因此Windows2000安裝時選用NTFS文件系統(tǒng)，安全性能更高。（4）服務端口號的修改。雖然IIS網(wǎng)絡服務默認端口的使用為訪問提供了諸多便捷，但會降低安全性，更容易受到基于端口程序漏洞的服務器攻擊，因此，通過修改部分服務器的網(wǎng)絡服務端口可提高企業(yè)網(wǎng)絡服務器的安全性。

2.3網(wǎng)絡結構安全方案

2.3.1強化網(wǎng)絡設備安全

強化企業(yè)網(wǎng)絡設備的自身安全是保障企業(yè)網(wǎng)絡安全的基礎措施，具體包含以下措施。（1）網(wǎng)絡設備運行安全。對各設備、各端口運行狀態(tài)的實時監(jiān)控能有效發(fā)現(xiàn)各種異常，進而預防各種安全威脅。一般可通過可視化管理軟件的應用來實現(xiàn)上述目標，例如What’supGold能實現(xiàn)對企業(yè)網(wǎng)絡設備狀態(tài)的監(jiān)控，而SolarWindsNetworkPerformancemonitor可實現(xiàn)對各個端口流量的實時監(jiān)控。（2）網(wǎng)絡設備登錄安全。為了保證網(wǎng)絡設備登錄安全指數(shù)，對于企業(yè)網(wǎng)絡中的核心設備應配置專用的localuser用戶名，用戶名級別設置的一級，該級別用戶只具備讀權限，一般用于console、遠程telnet登錄等需求。除此之外，還可設置一個單獨的super密碼，只有擁有super密碼的管理員才有資格對核心交換機實施相關配置設置。（3）無線AP安全。一般在企業(yè)內(nèi)部有多個無線AP設備，應采用較為成熟的加密技術設置一個較為復雜的高級秘鑰，從而確保無線接入網(wǎng)的安全性。

2.3.2細分網(wǎng)絡安全區(qū)域

目前，廣播式局域的企業(yè)網(wǎng)絡組網(wǎng)模式存在著一個嚴重缺陷就是當其中各個局域網(wǎng)存在ARP病毒時，未設置ARP本地綁定或未設置ARP防火墻的終端則無法有效訪問系統(tǒng)，同時還可能泄露重要信息。為了解決這種問題，可對整個網(wǎng)絡進行細分，即按某種規(guī)則如企業(yè)職能部門將企業(yè)網(wǎng)絡終端設備劃分為多個網(wǎng)段，在每個網(wǎng)段均有不同的vlan，從而保證安全性。

2.3.3加強通問控制

針對企業(yè)各個部門對網(wǎng)絡資源的需求，在通問控制時需要注意以下幾點：對內(nèi)服務器應根據(jù)提供的業(yè)務與對口部門互通；對內(nèi)服務器需要與互聯(lián)網(wǎng)隔離；體驗區(qū)只能訪問互聯(lián)網(wǎng)，不能訪問辦公網(wǎng)。以上功能的實現(xiàn)，可在核心路由器和防火墻上共同配合完成。

作者:李常福 單位:鄭州市中心醫(yī)院

篇2

【論文摘要】 在網(wǎng)絡攻擊手段日益增多，攻擊頻率日益增高的背景下，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計算機網(wǎng)絡中存在的安全隱患。需要一種靜態(tài)技術和動態(tài)技術相結合的安全解決方案，即在網(wǎng)絡中的各個部分采取多種安全防范技術來構筑企業(yè)網(wǎng)絡整體安全體系。包括防病毒技術；防火墻技術；入侵檢測技術；網(wǎng)絡性能監(jiān)控及故障分析技術；漏洞掃描安全評估技術；主機訪問控制等。

信息技術正以其廣泛的滲透性和無與倫比的先進性與傳統(tǒng)產(chǎn)業(yè)結合，隨著Internet網(wǎng)絡的飛速發(fā)展，使網(wǎng)絡的重要性和對社會的影響越來越大。企業(yè)的辦公自動化、生產(chǎn)業(yè)務系統(tǒng)及電子商務系統(tǒng)對網(wǎng)絡系統(tǒng)的依賴性尤其突出，但病毒及黑客對網(wǎng)絡系統(tǒng)的惡意入侵使企業(yè)的信息網(wǎng)絡系統(tǒng)面臨著強大的生存壓力，網(wǎng)絡安全問題變得越來越重要。

企業(yè)網(wǎng)絡安全主要來自以下幾個方面：①來自INTERNET的安全問題；②來自外部網(wǎng)絡的安全威脅；③來自內(nèi)部網(wǎng)絡的安全威脅。

針對以上安全威脅，為了確保企業(yè)的信息資源、生產(chǎn)數(shù)據(jù)資料的安全保密，解決企業(yè)計算機網(wǎng)絡中存在的安全隱患，本文介紹一種靜態(tài)技術和動態(tài)技術相結合的安全解決方案，即在網(wǎng)絡中的各個部分采取多種安全防范技術來構筑企業(yè)網(wǎng)絡整體安全體系：①防病毒技術；②防火墻技術；③入侵檢測技術；④網(wǎng)絡性能監(jiān)控及故障分析技術；⑤漏洞掃描安全評估技術；⑥主機訪問控制。

一、防病毒技術

對于企業(yè)網(wǎng)絡及網(wǎng)內(nèi)大量的計算機，各種病毒更是防不勝防，如宏病毒和變形病毒。徹底清除病毒，必須采用多層的病毒防護體系。企業(yè)網(wǎng)絡防病毒系統(tǒng)采用多層的病毒防衛(wèi)體系和層次化的管理結構，即在企業(yè)信息中心設防病毒控制臺，通過該控制臺控制各二級網(wǎng)絡中各個服務器和工作站的防病毒策略，監(jiān)督整個網(wǎng)絡系統(tǒng)的防病毒軟件配置和運行情況，并且能夠進行相應策略的統(tǒng)一調(diào)整和管理：在較大的下屬子公司設置防病毒服務器，負責防病毒策略的設置、病毒代碼分發(fā)等工作。其中信息中心控制臺作為中央控制臺負責控制各分控制臺的防病毒策略，采集網(wǎng)絡中所有客戶端防毒軟件的運行狀態(tài)和配置參數(shù)，對客戶端實施分組管理等。管理員可以通過管理員客戶端遠程登錄到網(wǎng)絡中的所有管理服務器上，實現(xiàn)對整個網(wǎng)絡的管理。根據(jù)需要各個管理服務器還可以由專門的區(qū)域管理員管理。管理服務器負責收集網(wǎng)絡中的客戶端的實時信息， 分發(fā)管理員制定的防毒安全策略等。

配套軟件：冠群金辰KILL6.0。KILL采用服務器/客戶端構架，實時保護Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系統(tǒng)的服務器及Internet網(wǎng)關服務器，防止各種引導型病毒、文件型病毒、宏病毒、傳播速度快且破壞性很大的蠕蟲病毒進入企業(yè)內(nèi)部網(wǎng)，阻止不懷好意的Java、ActiveX小程序等攻擊企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)。它通過全方位的網(wǎng)絡管理、多種報警機制、完整的病毒報告、支持遠程服務器、軟件自動分發(fā)，幫助管理員更好的實施網(wǎng)絡防病毒工作。

二、防火墻技術

防火墻是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關( scurity gateway), 從而抵御網(wǎng)絡外部安全威脅，保護內(nèi)部網(wǎng)絡免受非法用戶的侵入，它是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（局域網(wǎng)或城域網(wǎng)）隔開的屏障，控制客戶機和真實服務器之間的通訊，主要包括以下幾方面的功能：①隔離不信任網(wǎng)段間的直接通訊；②拒絕非法訪問；③系統(tǒng)認證；④日志功能。在計算機網(wǎng)絡中設置防火墻后，可以有效防止非法訪問，保護重要主機上的數(shù)據(jù)，提高網(wǎng)絡的安全性。

配套軟件：NetScreen。NetScreen是唯一把防火墻、負載均衡及流量控制結合起來，且提供100M的線速性能的軟硬件相結合的產(chǎn)品，在Internet出口、撥號接入入口、企業(yè)關鍵服務器的前端及與電信、聯(lián)通的連接出口處增設NetScreen-100f防火墻，可以實現(xiàn)企業(yè)網(wǎng)絡與外界的安全隔離，保護企業(yè)的關鍵信息。

三、入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）是一種為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術，是對防火墻的必要補充，它可以對系統(tǒng)或網(wǎng)絡資源進行實時檢測，及時發(fā)現(xiàn)惡意入侵者或識別出對計算機的非法訪問行為，并對其進行隔離，并能收集可以用來訴訟的犯罪證據(jù)。

配套軟件： eTrust Intrusion Detection(Sessionwall-3)。利用基于網(wǎng)絡的eTrust Intrusion Detection建立入侵檢測系統(tǒng)來保證企業(yè)網(wǎng)絡系統(tǒng)的安全性。

首先，信息管理中心設立整個網(wǎng)絡監(jiān)控系統(tǒng)的控制中心。通過該控制臺，管理員能夠?qū)ζ渌W(wǎng)絡入侵檢測系統(tǒng)進行監(jiān)控和配置。在該機器上安裝集中控制的eID中央控制臺模塊、eID日志服務器模塊和eID日志瀏覽器模塊，使所有eTrust Intrusion Detection監(jiān)控工作站處于集中控制之下，該安全主控臺也被用于集中管理所有的主機保護系統(tǒng)軟件。

其次，在Internet出口路由器和防火墻之間部署一套eTrust Intrusion Detection的監(jiān)控工作站，重點解決與Internet的邊界安全問題，在這些工作站上安裝軟件，包括eID基本模塊、eID模塊和日志數(shù)據(jù)庫客戶端。

四、網(wǎng)絡性能監(jiān)控及故障分析

性能監(jiān)控和故障分析就是利用計算機的網(wǎng)絡接口截獲目的地址為其他計算機的數(shù)據(jù)報文的一種技術。該技術被廣泛應用于網(wǎng)絡維護和管理方面，它自動接收著來自網(wǎng)絡的各種信息，通過對這些數(shù)據(jù)的分析，網(wǎng)絡管理員可以了解網(wǎng)絡當前的運行狀況，以便找出所關心的網(wǎng)絡中潛在的問題。

配套軟件——NAI Sniffer。NAI Sniffer 是一套功能強大的網(wǎng)絡故障偵測工具，它可以幫助用戶快速診斷網(wǎng)絡故障原因，并提出具體的解決辦法。在信息中心安裝這樣的工具，用于對網(wǎng)絡流量和狀態(tài)進行監(jiān)控，而且無論全網(wǎng)任何地方發(fā)生問題時，都可以利用它及時診斷并排除故障。

五、網(wǎng)絡系統(tǒng)的安全評估

網(wǎng)絡安全性之所以這么低的一個主要原因就是系統(tǒng)漏洞。譬如管理漏洞、軟件漏洞、結構漏洞、信任漏洞。采用安全掃描技術與防火墻、安全監(jiān)控系統(tǒng)互相配合來檢測系統(tǒng)安全漏洞。

網(wǎng)絡安全漏洞掃描系統(tǒng)通常安裝在一臺與網(wǎng)絡有連接的主機上。系統(tǒng)中配有一個信息庫，其中存放著大量有關系統(tǒng)安全漏洞和可能的黑客攻擊行為的數(shù)據(jù)。掃描系統(tǒng)根據(jù)這些信息向網(wǎng)絡上的其他主機和網(wǎng)絡設備發(fā)送數(shù)據(jù)包，觀察被掃描的設備是否存在與信息庫中記錄的內(nèi)容相匹配的安全漏洞。掃描的內(nèi)容包括主機操作系統(tǒng)本身、操作系統(tǒng)的配置、防火墻配置、網(wǎng)路設備配置以及應用系統(tǒng)等。

網(wǎng)絡安全掃描的主要性能應該考慮以下方面：①速度。在網(wǎng)絡內(nèi)進行安全掃描非常耗時；②網(wǎng)絡拓撲。通過GUI的圖形界面，可選擇一個或某些區(qū)域的設備；③能夠發(fā)現(xiàn)的漏洞數(shù)量；④是否支持可定制的攻擊方法；⑤掃描器應該能夠給出清楚的安全漏洞報告。⑥更新周期。提供該項產(chǎn)品的廠商應盡快給出新發(fā)現(xiàn)的安全漏洞掃描特性升級，并給出相應的改進建議。

通過網(wǎng)絡掃描，系統(tǒng)管理員可以及時發(fā)現(xiàn)網(wǎng)路中存在的安全隱患，并加以必要的修補，從而減小網(wǎng)絡被攻擊的可能。

配套軟件：Symantec Enterprise Security Manger 5.5。

六、主機防護系統(tǒng)

在一個企業(yè)的網(wǎng)絡環(huán)境中，大部分信息是以文件、數(shù)據(jù)庫的形式存放在服務器中的。在信息中心，使用WWW、Mail、文件服務器、數(shù)據(jù)庫服務器來對內(nèi)部、外部用戶提供信息。但無論是UNIX還是Windows 9X/NT/2K，都存在著這樣和那樣的安全薄弱環(huán)節(jié)，存放在這些機器上的關鍵業(yè)務數(shù)據(jù)存在著被破壞和竊取的風險。因此，對主機防護提出了專門的需求。

配套軟件：CA eTrust Access。eTrust Access Control在操作系統(tǒng)的安全功能之上提供了一個安全保護層。通過從核心層截取文件訪問控制，以加強操作系統(tǒng)安全性。它具有完整的用戶認證，訪問控制及審計的功能，采用集中式管理，克服了分布式系統(tǒng)在管理上的許多問題。

通過eTrust Access Control，我們可以集中維護多臺異構平臺的用戶、組合安全策略，以簡化安全管理工作。

通過以上幾種安全措施的實施，從系統(tǒng)級安全到桌面級安全，從靜態(tài)訪問控制到動態(tài)入侵檢測主要層面：方案覆蓋網(wǎng)絡安全的事前弱點漏洞分析修正、事中入侵行為監(jiān)控響應和事后信息監(jiān)控取證的全過程，從而全面解決企業(yè)的信息安全問題，使企業(yè)網(wǎng)絡避免來自內(nèi)外部的攻擊，防止病毒對主機的侵害和在網(wǎng)絡中的傳播。使整個網(wǎng)絡的安全水平有很大程度的提高。

【參考文獻】

篇3

關鍵詞：無線網(wǎng)絡規(guī)劃；無線網(wǎng)絡風險；無線安全檢查項目；無線網(wǎng)絡安全指引

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）28-6262-03

1 概述

有別于有線網(wǎng)絡的設備可利用線路找尋設備信息，無論是管理、安全、記錄信息，比起無線網(wǎng)絡皆較為方便，相較之下無線網(wǎng)絡的環(huán)境較復雜。無線網(wǎng)絡安全問題最令人擔心的原因在于，無線網(wǎng)絡僅透過無線電波透過空氣傳遞訊號，一旦內(nèi)部架設發(fā)射訊號的儀器，在收訊可及的任一節(jié)點，都能傳遞無線訊號，甚至使用接收無線訊號的儀器，只要在訊號范圍內(nèi)，即便在圍墻外，都能截取訊號信息。

因此管理無線網(wǎng)絡安全維護比有線網(wǎng)絡更具挑戰(zhàn)性，有鑒于政府機關推廣于民眾使用以及企業(yè)逐漸在公司內(nèi)部導入無線網(wǎng)絡架構之需求，本篇論文特別針對無線網(wǎng)絡Wi-Fi之使用情境進行風險評估與探討，以下將分別探討無線網(wǎng)絡傳輸可能產(chǎn)生的風險，以及減少風險產(chǎn)生的可能性，進而提出建議之無線網(wǎng)絡建置規(guī)劃檢查項目。

2 無線網(wǎng)絡傳輸風險

現(xiàn)今無線網(wǎng)絡裝置架設便利，簡單設定后即可進行網(wǎng)絡分享，且智能型行動裝置已具備可架設熱點功能以分享網(wǎng)絡，因此皆可能出現(xiàn)不合法之使用者聯(lián)機合法基地臺，或合法使用者聯(lián)機至未經(jīng)核可之基地臺情形。倘若企業(yè)即將推動內(nèi)部無線上網(wǎng)服務，或者考慮網(wǎng)絡存取便利性，架設無線網(wǎng)絡基地臺，皆須評估當內(nèi)部使用者透過行動裝置聯(lián)機機關所提供之無線網(wǎng)絡，所使用之聯(lián)機傳輸加密機制是否合乎信息安全規(guī)范。

倘若黑客企圖偽冒企業(yè)內(nèi)部合法基地臺提供聯(lián)機時，勢必會造成行動裝置之企業(yè)數(shù)據(jù)遭竊取等風險。以下將對合法使用者在未知的情況下聯(lián)機至偽冒的無線網(wǎng)絡基地臺，以及非法使用者透過加密機制的弱點破解無線網(wǎng)絡基地臺，針對這2個情境加以分析其風險。

2.1 偽冒基地機風險

目前黑客的攻擊常會偽冒正常的無線網(wǎng)絡基地臺（Access Point，以下簡稱AP），而偽冒的AP在行動裝置普及的現(xiàn)今，可能會讓用戶在不知情的情況下進行聯(lián)機，當連上線后，攻擊者即可進行中間人攻擊（Man-in-the-Middle，簡稱MitMAttack），取得被害人在網(wǎng)絡上所傳輸?shù)臄?shù)據(jù)。情境之架構詳見圖1，利用偽冒AP攻擊，合法使用者無法辨識聯(lián)機上的AP是否合法，而一旦聯(lián)機成功后黑客即可肆無忌憚的竊取行動裝置上所有的數(shù)據(jù)，造成個人數(shù)據(jù)以及存放于行動裝置上之機敏數(shù)據(jù)外泄的疑慮存在。企業(yè)在部署無線局域網(wǎng)絡時，需考慮該類風險問題。

2.2 弱加密機制傳輸風險

WEP （Wired Equivalent Privacy）為一無線加密協(xié)議保護無線局域網(wǎng)絡（Wireless LAN，以下簡稱WLAN）數(shù)據(jù)安全的加密機制，因WEP的設計是要提供和傳統(tǒng)有線的局域網(wǎng)絡相當?shù)臋C密性，隨著計算器運算能力提升，許多密碼分析學家已經(jīng)找出WEP好幾個弱點，但WEP加密方式是目前仍是許多無線基地臺使用的防護方式，由于WEP安全性不佳，易造成被輕易破解。

許多的無線破解工具皆已存在且純熟，因此利用WEP認證加密之無線AP，當破解被其金鑰后，即可透過該AP連接至該無線局域網(wǎng)絡，再利用探測軟件進行無線局域網(wǎng)絡掃描，取得該無線局域網(wǎng)絡內(nèi)目前有哪些聯(lián)機的裝置。

當使用者使用行動裝置連上不安全的網(wǎng)絡，可能因本身行動裝置設定不完全，而將弱點曝露在不安全的網(wǎng)絡上，因此當企業(yè)允許使用者透過行動裝置進行聯(lián)機時，除了提醒使用者應加強自身終端安全外，更應建置安全的無線網(wǎng)絡架構，以提供使用者使用。

3 無線網(wǎng)絡安全架構

近年許多企業(yè)逐漸導入無線局域網(wǎng)絡服務以提供內(nèi)部使用者及訪客使用。但在提供便利的同時，如何達到無線局域網(wǎng)絡之安全，亦為重要。

3.1 企業(yè)無線局域網(wǎng)安全目標

企業(yè)之無線網(wǎng)絡架構應符合無線局域網(wǎng)絡安全目標：機密性、完整性與驗證性。

機密性（Confidentiality）

無線網(wǎng)絡安全架構應防范機密不可泄漏給未經(jīng)授權之人或程序，且無線網(wǎng)絡架構應將對外提供給一般使用者網(wǎng)絡以及內(nèi)部所使用之內(nèi)部網(wǎng)絡區(qū)隔開。無線網(wǎng)絡架構之加密需采用安全性即高且不易被破解的方式，并可對無線網(wǎng)絡使用進行稽核。

完整性（Integrity）

無線網(wǎng)絡安全架構應確認辦公室環(huán)境內(nèi)無其它無線訊號干擾源，并保證員工無法自行架設非法無線網(wǎng)絡存取點設備，以確保在使用無線網(wǎng)絡時傳輸不被中斷或是攔截。對于內(nèi)部使用者，可建立一個隔離區(qū)之無線網(wǎng)絡，僅提供外部網(wǎng)際網(wǎng)絡連路連接，并禁止存取機關內(nèi)部網(wǎng)絡。

認證性（Authentication）

建議無線網(wǎng)絡安全架構應提供使用者及設備進行身份驗證，讓使用者能確保自己設備安全性，且能區(qū)分存取控制權限。無線網(wǎng)絡安全架構應需進行使用者身份控管，以杜絶他人（允許的訪客除外）擅用機關的無線網(wǎng)絡。

因應以上無線局域網(wǎng)絡安全目標，應將網(wǎng)絡區(qū)分為內(nèi)部網(wǎng)絡及一般網(wǎng)絡等級，依其不同等級實施不同的保護措施及其應用，說明如下。

內(nèi)部網(wǎng)絡：

為網(wǎng)絡內(nèi)負責傳送一般非機密性之行政資料，其系統(tǒng)能處理中信任度信息，并使用機關內(nèi)部加密認證以定期更變密碼，且加裝防火墻、入侵偵測等作業(yè)。

一般網(wǎng)絡：

主要在提供非企業(yè)內(nèi)部人員或訪客使用之網(wǎng)絡系統(tǒng)，不與內(nèi)部其它網(wǎng)絡相連，其網(wǎng)絡系統(tǒng)僅能處與基本信任度信息，并加裝防火墻、入侵偵測等機制。

因此建議企業(yè)在建構無線網(wǎng)絡架構，須將內(nèi)部網(wǎng)絡以及提供給一般使用者之一般網(wǎng)絡區(qū)隔開，以達到無線網(wǎng)絡安全目標，以下將提供無線辦公方案及無線訪客方案提供給企業(yè)導入無線網(wǎng)絡架構時作為參考使用。

3.2內(nèi)部網(wǎng)絡安全架構

減輕無線網(wǎng)絡風險之基礎評估，應集中在四個方面：人身安全、AP位置、AP設定及安全政策。人身安全方面，須確保非企業(yè)內(nèi)部使用者無法存取辦公室范圍內(nèi)之無線內(nèi)部網(wǎng)絡，僅經(jīng)授權之企業(yè)內(nèi)部使用者可存取?？墒褂糜跋裾J證、卡片識別、使用者賬號密碼或生物識別設備以進行人身安全驗證使用者身份。企業(yè)信息管理人員須確保AP安裝在受保護的建筑物內(nèi)，且使用者須經(jīng)過適當?shù)纳矸蒡炞C才允許進入，而只有企業(yè)信息管理人員允許存取并管理無線網(wǎng)絡設備。

企業(yè)信息管理人員須將未經(jīng)授權的使用者訪問企業(yè)外部無線網(wǎng)絡之可能性降至最低，評估每臺AP有可能造成的網(wǎng)絡安全漏洞，可請網(wǎng)絡工程師進行現(xiàn)場調(diào)查，確定辦公室內(nèi)最適當放置AP的位置以降低之風險。只要企業(yè)使用者擁有存取無線內(nèi)部網(wǎng)絡能力，攻擊者仍有機會竊聽辦公室無線網(wǎng)絡通訊，建議企業(yè)將無線網(wǎng)絡架構放置于防火墻外，并使用高加密性VPN以保護流量通訊，此配置可降低無線網(wǎng)絡竊聽風險。

企業(yè)應側重于AP配置之相關漏洞。由于大部分AP保留了原廠之預設密碼，企業(yè)信息管理人員需使用復雜度高之密碼以確保密碼安全，并定期更換密碼。企業(yè)應制定相關無線內(nèi)部網(wǎng)絡安全政策，包括規(guī)定使用最小長度為8個字符且參雜特殊符號之密碼設置、定期更換安全性密碼、進行使用者MAC控管以控制無線網(wǎng)絡使用情況。

為提供安全無線辦公室環(huán)境，企業(yè)應進行使用者MAC控管，并禁用遠程SNMP協(xié)議，只允許使用者使用本身內(nèi)部主機。由于大部分廠商在加密SSID上使用預設驗證金鑰，未經(jīng)授權之設備與使用者可嘗試使用預設驗證金鑰以存取無線內(nèi)部網(wǎng)絡，因此企業(yè)應使用內(nèi)部使用者賬號與密碼之身份驗證以控管無線內(nèi)部網(wǎng)絡之存取。

企業(yè)應增加額外政策，要求存取無線內(nèi)部網(wǎng)絡之設備系統(tǒng)需進行安全性更新和升級，定期更新系統(tǒng)安全性更新和升級有助于降低攻擊之可能性。此外，政策應規(guī)定若企業(yè)內(nèi)部使用者之無線裝置遺失或被盜，企業(yè)內(nèi)部使用者應盡快通知企業(yè)信息管理人員，以防止該IP地址存取無線內(nèi)部網(wǎng)絡。

為達到一個安全的無線內(nèi)部網(wǎng)絡架構，建議企業(yè)采用IPS設備以進行無線環(huán)境之防御。IPS設備有助于辨識是否有未經(jīng)授權之使用者試圖存取企業(yè)內(nèi)部無線內(nèi)部網(wǎng)絡或企圖進行非法攻擊行為，并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權私自架設之非法網(wǎng)絡。所有無線網(wǎng)絡之間的通訊都需經(jīng)過IPS做保護與進一步分析，為一種整體縱深防御之策略。

考慮前述需求，本篇論文列出建構無線內(nèi)部網(wǎng)絡應具備之安全策略，并提供一建議無線內(nèi)部網(wǎng)絡安全架構示意圖以提供企業(yè)信息管理人員作為風險評估之參考，詳見表1。

企業(yè)在風險評估后確認實現(xiàn)無線辦公室環(huán)境運行之好處優(yōu)于其它威脅風險，始可進行無線內(nèi)部網(wǎng)絡架構建置。然而，盡管在風險評估上實行徹底，但無線網(wǎng)絡環(huán)境之技術不斷變化與更新，安全漏洞亦日新月異，使用者始終為安全鏈中最薄弱的環(huán)節(jié)，建議企業(yè)必須持續(xù)對企業(yè)內(nèi)部使用者進行相關無線安全教育，以達到縱深防御之目標。

另外，企業(yè)應定期進行安全性更新和升級會議室公用網(wǎng)絡之系統(tǒng)，定期更新系統(tǒng)安全性更新和升級有助于降低攻擊之可能性。為達到一個安全的會議室公用網(wǎng)絡架構，建議企業(yè)采用IPS設備以進行無線環(huán)境之防御。

IPS設備有助于辨識是否有未經(jīng)授權之使用者試圖存取企業(yè)內(nèi)部會議室公用網(wǎng)絡或企圖進行非法攻擊行為，并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權私自架設之非法網(wǎng)絡。所有無線網(wǎng)絡之間的通訊都需經(jīng)過IPS做保護與進一步分析，為一種整體縱深防御策略。

4 結論

由于無線網(wǎng)絡的存取及使用上存在相當程度的風險，更顯無線局域網(wǎng)絡的安全性之重要，本篇論文考慮無線網(wǎng)絡聯(lián)機存取之相關風險與安全聯(lián)機的準則需求，有鑒于目前行動裝置使用量大增，企業(yè)可能面臨使用者要求開放無線網(wǎng)絡之需求，應建立相關無線網(wǎng)絡方案，本研究針對目前常見之無線網(wǎng)絡風險威脅為出發(fā)，以及內(nèi)部網(wǎng)絡與外部網(wǎng)絡使用者，針對不同安全需求強度，規(guī)劃無線網(wǎng)絡使用方案，提供作為建置參考依據(jù)，進而落實傳輸風險管控，加強企業(yè)網(wǎng)絡安全強度。

參考文獻：

[1] Gast M S.Wireless Networks： The Definitive Guide[M].O’Reilly， 2002.

[2] Edney J， Arbaugh W A.Security：Wi-Fi Protected Access and 802.11[M].Addison-Wesley，2004.

[3] R. Guha， Z. Furqan， S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007， Orlando， FL， 2007（10）：29-31.

[4] Nam， Seung Yeob.Enhanced ARP： Preventing ARP Poisoning-Based[J].IEEE Commucation Letters，2011，14：187-189.

篇4

隨著近年來信息化的快速推進，供電企業(yè)網(wǎng)絡信息系統(tǒng)與Internet的交互日益頻繁，基于Internet的業(yè)務呈不斷增長態(tài)勢。電力行業(yè)作為國民經(jīng)濟的重要組成部分，已經(jīng)在人們的正常生活中不可缺少。電力系統(tǒng)的是否安全可靠，關系著國民經(jīng)濟的發(fā)展，更影響著人們的日常生活。然而電力企業(yè)信息網(wǎng)絡的發(fā)展還不健全，尚存在很多安全問題。這些問題正是黑客和病毒入侵的目標?？h級供電企業(yè)是整個電力企業(yè)的基本單位，只有保證縣級供電企業(yè)信息網(wǎng)絡的安全，才能使整個電力行業(yè)正常的運行，因此對其信息網(wǎng)絡安全的研究受到越來越多的關注。

2 信息網(wǎng)絡安全概述

信息網(wǎng)絡安全是指運用各種相關技術和管理，使網(wǎng)絡信息不受危害和威脅，保證信息的安全。由于計算機網(wǎng)絡在建立時就存在缺陷，本身具有局限性，使其網(wǎng)絡系統(tǒng)的硬件和軟件資源都有可能遭到破壞和入侵，嚴重時甚至可能引起整個系統(tǒng)的癱瘓，以至于造成巨大的損失。相對于外界的破壞，自身的防守時非常艱巨的，必須保證每個軟件、每一項服務，甚至每個細節(jié)都要安全可靠。因此要對網(wǎng)絡安全進行細致的研究，下面介紹其特征：

2.1 完整性

主要是指數(shù)據(jù)的完整性。數(shù)據(jù)信息在未經(jīng)許可的情況下不能進行任何修改。

2.2 保密性

未經(jīng)授權的用戶不能使用該數(shù)據(jù)。

2.3 可用性

被授權的用戶可以根據(jù)自己的需求使用該數(shù)據(jù)，不能阻礙其合法使用。

2.4 可控性

系統(tǒng)要能控制能夠訪問數(shù)據(jù)的用戶，可以被訪問的數(shù)據(jù)以及訪問方式，并記錄所有用戶在系統(tǒng)內(nèi)的網(wǎng)絡活動。

3 信息網(wǎng)絡系統(tǒng)安全存在的問題

3.1 系統(tǒng)設備和軟件存在漏洞

網(wǎng)絡系統(tǒng)的發(fā)展時間很短，因此其操作系統(tǒng)、協(xié)議和數(shù)據(jù)庫都存在漏洞，這些漏洞變成為黑客和病毒入侵的通道；存儲介質(zhì)受到破壞，使系統(tǒng)中的信息數(shù)據(jù)丟失和泄漏；系統(tǒng)不進行及時的修補，采用較弱的口令和訪問限制。這些都是導致信息網(wǎng)絡不安全的因素。網(wǎng)絡是開放性的，因此非常容易受到外界的攻擊和入侵，入侵者便是通過運用相關工具掃描系統(tǒng)和網(wǎng)絡中的漏洞，通過這些漏洞進行攻擊，致使網(wǎng)絡受到危害，資料泄露。

3.2 制度不完善

目前對于信息網(wǎng)絡的建立，數(shù)據(jù)的使用以及用戶的訪問沒有完善的規(guī)章制度，這也導致了各個縣級供電企業(yè)信息網(wǎng)絡系統(tǒng)之間的不統(tǒng)一，在數(shù)據(jù)傳輸和利用上受到限制。同時在目前已經(jīng)確立的信息網(wǎng)絡安全的防護規(guī)章制度的執(zhí)行上，企業(yè)也不能嚴格的執(zhí)行。

4 提高網(wǎng)絡安全方法

4.1 網(wǎng)絡安全策略

信息網(wǎng)絡是一個龐大的系統(tǒng)，包括系統(tǒng)設備和軟件的建立、數(shù)據(jù)的維護和更新、對外界攻擊的修復等很多方面，必須各個細節(jié)都要保證安全，沒有漏洞。然而很多供電企業(yè)，尤其是縣級企業(yè)并沒有對其引起足夠的重視，只是被動地進行防護。整體的安全管理水平很低，沒有完備的網(wǎng)絡安全策略和規(guī)劃。因此要想實現(xiàn)信息網(wǎng)絡的安全，首先需要制定一個全面可行的安全策略以及相應的實施過程。

4.2 提高網(wǎng)絡安全技術人員技術水平

信息網(wǎng)絡的運行涉及很多方面，其安全防護只是其中一部分，因此在網(wǎng)絡安全部分要建立專業(yè)的安全技術隊伍。信息網(wǎng)絡中的一些系統(tǒng)和應用程序更新速度不一致，也會造成網(wǎng)絡的不安全。一般企業(yè)的網(wǎng)絡管理員要兼顧軟硬件的維護和開發(fā)，有時會顧此失彼，因此要建立更專業(yè)的安全技術隊伍，使信息網(wǎng)絡的工作各有分工，實現(xiàn)專業(yè)性，提升整體網(wǎng)絡安全技術水平，提高工作效率。

4.3 完備的數(shù)據(jù)備份

當信息網(wǎng)絡受到嚴重破壞時，備份數(shù)據(jù)便發(fā)揮了作用。不論網(wǎng)絡系統(tǒng)建立的多完善，安全措施做得多到位，保留完備的備份數(shù)據(jù)都是有備無患。進行數(shù)據(jù)備份，首先要制定全面的備份計劃，包括網(wǎng)絡系統(tǒng)和數(shù)據(jù)信息備份、備份數(shù)據(jù)的修改和責任人等。備份時要嚴格按照計劃進行實施。還要定期的檢查備份數(shù)據(jù)，保證數(shù)據(jù)的完整性和實時性。同時網(wǎng)絡管理人員的數(shù)據(jù)備份和恢復技術的操作要很熟練，這樣才能保障備份數(shù)據(jù)的有效性。

4.4 加強防病毒

隨著網(wǎng)絡技術的發(fā)展，網(wǎng)絡病毒也越來越多，這些病毒都會對信息網(wǎng)絡造成或多或少的危害。防病毒不僅需要應用專業(yè)可靠的防毒體系，還要建立防火墻，屏蔽非法的數(shù)據(jù)包。

對于防毒，在不同的硬件上要安裝相應的防毒程序。例如工作站上應該安裝單機的防毒程序；主機上則安裝主機防毒程序；網(wǎng)關上安裝防病毒墻；而這些不同的防毒程序的升級可以通過設立防毒控制中心，統(tǒng)一管理，由中心將升級包發(fā)給各個機器，完成整個網(wǎng)絡防毒系統(tǒng)的升級。這樣有針對性的防毒程序能更有效的進行病毒防護。

防火墻可以通過檢測和過濾，阻斷外來的非法攻擊。防火墻的形式包括硬件、軟件式和內(nèi)嵌式三種。內(nèi)嵌式防火墻需要與操作系統(tǒng)結合，性能較高，應用較為廣泛。

5 具體措施

5.1 增強管理安全

在網(wǎng)絡安全中管理是最重要的，如果安全管理制度不完善，就會導致正常的網(wǎng)絡安全工作不能有序?qū)嵤?。信息網(wǎng)絡的管理包括對網(wǎng)絡的定期檢查、實時監(jiān)控以及出現(xiàn)故障時及時報告等。為了達到管理安全，首先，要制定完整詳細的供電企業(yè)信息網(wǎng)絡安全制度，并嚴格實施；其次，對用戶的網(wǎng)絡活動做記錄并保存網(wǎng)絡日志，以便對外部的攻擊行為和違法操作進行追蹤定位；還應制定應急方案，在網(wǎng)絡系統(tǒng)出現(xiàn)故障和攻擊時及時采取措施。

5.2 網(wǎng)絡分段

網(wǎng)絡分段技術是指在網(wǎng)絡中傳輸?shù)男畔?，可以被處在用以網(wǎng)絡平臺上其他節(jié)點的計算機截取的技術。采用這種技術可以限制用戶的非法訪問。比如，黑客通過網(wǎng)絡上的一個節(jié)點竊取該網(wǎng)絡上的數(shù)據(jù)信息，如果沒有任何限制，便能獲得所有的數(shù)據(jù)，而網(wǎng)絡分段技術則可以在這時，將黑客與網(wǎng)絡上的數(shù)據(jù)隔離，限制其非法訪問，進而保護了信息網(wǎng)絡的安全。

5.3 數(shù)據(jù)備份

重要數(shù)據(jù)的備份是網(wǎng)絡安全的重要工作。隨著網(wǎng)絡技術的迅速發(fā)展，備份工作也必須要與之一致，保證實時性和完整性，才能在出現(xiàn)緊急問題時發(fā)揮其應有的作用，恢復數(shù)據(jù)信息。整個龐大的信息網(wǎng)絡，備份的數(shù)據(jù)量也是很大的，要避免或減少不必要的備份；備份的時間也要恰當?shù)剡x擇，盡量不影響用戶的使用；同時備份數(shù)據(jù)的存儲介質(zhì)要選擇適當。

5.4 病毒檢測和防范

檢測也是信息安全中的一個重要環(huán)節(jié)。通過應用專業(yè)的檢測工具，對網(wǎng)絡進行不斷地檢測，能夠及時的發(fā)現(xiàn)漏洞和病毒，在最短時間內(nèi)采取相應的措施。

病毒防范技術有很多，可以先分析網(wǎng)絡病毒的特征，建立病毒庫，在掃描數(shù)據(jù)信息時如果對象的代碼與病毒庫中的代碼吻合，則判斷其感染病毒；對于加密、變異的不易掃描出來的病毒可以通過虛擬執(zhí)行查殺；最基本的還是對文件進行實時監(jiān)控，一旦感染病毒，及時報警并采取相應的措施。

6 結束語

篇5

關鍵詞：網(wǎng)絡安全；防火墻；DMZ

中圖分類號：TP393.08 文獻標識碼：A文章編號：1009-3044(2007)12-21564-03

Firewall Technology and Tobacco Processing Factory Network Security

ZHANG Song-lin

(Hefei University of Technology,Hefei 230039,China)

Abstract: Computer Network Technology of the rapid development of enterprises within the scope of the global sharing of information and resources to provide a convenient, effectively reduce the company's operating costs and to change the traditional work patterns. Along with the internal network and the increasing external networking gradually increased. A safe and reliable enterprise network security system is very important for us. To address enterprises in the development of the information industry is facing network information security issues, the full study of the network security needs on the basis of By analyzing the current classification of firewall technology and the advantages and disadvantages of various types of firewalls, Construction of enterprises in the firewall on the Firewall option and set up to make recommendations and to develop corresponding security strategy. Use corresponding security technology as a means to be achieved.

Key words:network security;firewall;DoS

1 引言

20世紀90年代以來，煙草系統(tǒng)信息進程得到巨大的發(fā)展和廣泛的應用。計算機應用技術的普及，信息技術的迅猛發(fā)展，信息化建設給這個行業(yè)帶來了新的機遇和挑戰(zhàn)。而對于打葉復烤企業(yè)來說，由于企業(yè)規(guī)模較小，計算機應用基礎薄弱。隨著信息化建設的不斷深入，特別是計算機網(wǎng)絡技術應用（如企業(yè)網(wǎng)絡的應用系統(tǒng)，主要有WEB、E-mail、OA系統(tǒng)、MIS系統(tǒng)等）范圍越來越廣，不可避免的就會帶來了網(wǎng)絡攻擊、內(nèi)部網(wǎng)絡使用混亂、信息盜竊和其它危及企業(yè)正常生產(chǎn)及經(jīng)營活動的行為，從而直接威脅到打葉復烤企業(yè)網(wǎng)絡與信息方面的安全問題。

2 網(wǎng)絡安全

2.1 網(wǎng)絡安全的概念

信息技術的使用給人們的生活和工作帶來了便捷，然而，計算機信息技術也和其它學科一樣是一把雙刃劍，當大部分人使用信息技術提高了工作效率，為社會創(chuàng)造更多財富的同時，另外一些人卻利用信息技術做著相反的事情。他們非法侵入他人的計算機系統(tǒng)竊取機密信息，篡改和破壞數(shù)據(jù)，造成難以估量的損失。

網(wǎng)絡安全是一個關系到國家安全、社會穩(wěn)定、民族文化的繼承和發(fā)揚等重要問題。網(wǎng)絡安全涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論和信息論等多種學科。

計算機網(wǎng)絡的安全不是絕對的。安全是有成本的，而且也有時間限制。因此，安全是指化多大成本在多長時間之內(nèi)可以保證計算機網(wǎng)絡安全。安全問題的解決依賴于法律、管理機制和技術保障等多方面相互協(xié)調(diào)和配合，形成一個完整的安全保障體系。

2.2 網(wǎng)絡安全的需求

計算機網(wǎng)絡安全是隨著計算機網(wǎng)絡的發(fā)展和廣泛應用而產(chǎn)生的，是計算機安全的發(fā)展與延伸?？梢杂孟到y(tǒng)的觀點把計算機網(wǎng)絡看成一個擴大了的計算機系統(tǒng)，因此許多關于計算機安全的概念和機制也同樣適用于計算機網(wǎng)絡。雖然網(wǎng)絡安全同單個計算機安全在目標上并沒有本質(zhì)區(qū)別，但由于網(wǎng)絡環(huán)境的復雜性，網(wǎng)絡安全比單個計算機安全要復雜得多[1]。

第一，網(wǎng)絡資源的共享范圍更加寬泛，難以控制。共享既是網(wǎng)絡的優(yōu)點，又是風險的根源，它會導致更多的用戶（友好與不友好的）遠程訪問系統(tǒng)，使數(shù)據(jù)遭到攔截與破壞，以及對數(shù)據(jù)、程序和資源的非法訪問。

第二網(wǎng)絡支持多種操作系統(tǒng)，這使網(wǎng)絡系統(tǒng)更為復雜，安全管理和控制更為困難。

第三網(wǎng)絡的擴大使網(wǎng)絡的邊界和網(wǎng)絡用戶群變得不確定，對用戶的管理較計算機單機困難得多。

第四單機的用戶可以從自己的計算機中直接獲取敏感數(shù)據(jù)，但網(wǎng)絡中用戶的文件可能存放在遠離自己的服務器上，在文件的傳送過程中，可能經(jīng)過多個主機的轉發(fā)，因而沿途可能受到多處攻擊。

第五由于網(wǎng)絡路由選擇的不固定性，很難確保網(wǎng)絡信息在一條安全通道上傳送。

基于以上5個特點的分析可知，保證計算機網(wǎng)絡的安全，就是要保護網(wǎng)絡信息在存儲和傳動過程中的保密性、完整性、可用性、可控性和真實性。

(1)數(shù)據(jù)的保密性

數(shù)據(jù)的保密性是網(wǎng)絡信息不被泄露給非授權的用戶和實體，信息只能以允許的方式供授權用戶使用的特性。也就是說，保證只有授權用戶才可以訪問數(shù)據(jù)，而限制其他人對數(shù)據(jù)的訪問。

(2)數(shù)據(jù)的完整性

數(shù)據(jù)的完整性是網(wǎng)絡信息未經(jīng)授權不能進行改變的特性，即網(wǎng)絡信息在存儲或傳送過程中不被偶然或蓄意地刪除、修改、偽造、亂序、重放及插入等破壞和丟失的特性。

(3)數(shù)據(jù)的可用性

數(shù)據(jù)的可用性是網(wǎng)絡信息可被授權實體訪問并按需求使用的特性，即需要網(wǎng)絡信息服務時允許授權用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性。影響網(wǎng)絡可用性的因素包括人為和非人為兩種，前者有非法占用網(wǎng)絡資源，切斷或阻塞網(wǎng)絡通信，通過病毒、蠕蟲或者拒絕服務攻擊降低網(wǎng)絡性能，甚至使網(wǎng)絡癱瘓等；后者有災害事故（水災、火災、雷擊等）和系統(tǒng)死鎖、系統(tǒng)故障等。

(4)數(shù)據(jù)的可控性

數(shù)據(jù)的可控性是控制授權范圍內(nèi)的網(wǎng)絡信息流向和行為方式的特性，如對信息的訪問、傳播及內(nèi)容具有控制能力。

(5)數(shù)據(jù)的真實性

數(shù)據(jù)的真實性又稱不可抵賴或不可否認性，指在網(wǎng)絡信息系統(tǒng)的信息交互過程中參與者的真實同一性，即所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。

2.3 安全攻擊的種類和常見形式

對網(wǎng)絡信息系統(tǒng)的攻擊來自很多方面，這些攻擊可以宏觀地分為人為攻擊和自然災害攻擊。它們都會對通信安全構成威脅，但精心設計的人為攻擊威脅更大，也最難防備。對網(wǎng)絡信息系統(tǒng)的人為攻擊，通常都是通過尋找系統(tǒng)的弱點，以非授權的方式達到破壞、欺騙和竊取數(shù)據(jù)等目的[2]。

2.3.1 主動攻擊

主動攻擊涉及某些數(shù)據(jù)流的篡改或虛假數(shù)據(jù)流的產(chǎn)生，這些攻擊可分為假冒、重放、篡改消息和拒絕服務4類。

(1)假冒：假冒指某個實體（人或系統(tǒng)）假扮另外一個實體，以獲取合法用戶的權力和特權。

(2)重放：重放即攻擊者對截獲的某次合法數(shù)據(jù)進行復制，以后出于非法目的的重新發(fā)送，以產(chǎn)生未授權的效果。

(3)篡改消息：篡改消息是指一個合法消息的某些部分被改變、刪除，或者消息被延遲或改變順序，以產(chǎn)生未授權的效果。

(4)拒絕服務：拒絕服務即常說的DoS（Deny of Service），會導致對通信設備的正常使用或管理被無條件地拒絕。通常是對整個網(wǎng)絡實施破壞，如大量無用信息將資源（如通信帶寬、主機內(nèi)存）耗盡，以達到降低性能，中斷服務的目的。這種攻擊可能有一個特定的目標，如到某一特定目的地（如安全審計服務）的所有數(shù)據(jù)包都被阻止。

2.3.2 被動攻擊

被動攻擊是在未經(jīng)用戶同意和認可的情況下將信息或數(shù)據(jù)文件泄露給系統(tǒng)攻擊者，但不對數(shù)據(jù)信息做任何修改。通常包括監(jiān)聽未受保護的通信、流量分析、解密弱加密的數(shù)據(jù)流、獲得認證信息（如密碼）等。被動攻擊常用的手段有以下幾種：

(1)搭線監(jiān)聽：搭線監(jiān)聽是最常用的手段，將導線搭到無人職守的網(wǎng)絡傳輸線上進行監(jiān)聽。

(2) 無線截獲：通過高靈敏度的接受裝置接受網(wǎng)絡節(jié)點輻射的電磁波或網(wǎng)絡連接設備輻射的電磁波，通過對電磁信號的分析恢復原數(shù)據(jù)信號，從而獲得網(wǎng)絡信息。

(3)其它截獲：用程序和病毒截獲信息是計算機技術發(fā)展的新型手段，在通信設備或主機中預留程序代碼或施放病毒程序后，這些程序會將有用的信息通過某種方式發(fā)送出來。

3 防火墻技術

防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。 在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全[3]。

從技術上看，防火墻有三種基本類型：包過濾型、服務器型和復合型。它們之間各有所長，具體使用哪一種或是否混合使用，要根據(jù)具體需求確定[4]。

(1)包過濾型防火墻(Packet Filter Firewall)

通常建立在路由器上，在服務器或計算機上也可以安裝包過濾防火墻軟件。包過濾型防火墻工作在網(wǎng)絡層，基于單個IP包實施網(wǎng)絡控制。它對所收到的IP數(shù)據(jù)包的源地址、目的地址、TCP數(shù)據(jù)分組或UDP報文的源端口號及目的端口號、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標志位等參數(shù)，與網(wǎng)絡管理員預先設定的訪問控制表進行比較，確定是否符合預定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。這種防火墻的優(yōu)點是簡單、方便、速度快、透明性好，對網(wǎng)絡性能影響不大，可以用于禁止外部不合法用戶對企業(yè)內(nèi)部網(wǎng)的訪問，也可以用來禁止訪問某些服務類型，但是不能識別內(nèi)容有危險的信息包，無法實施對應用級協(xié)議的安全處理。

(2)服務器型防火墻(Proxy Service Firewall)

通過在計算機或服務器上運行的服務程序，直接對特定的應用層進行服務，因此也稱為應用層網(wǎng)關級防火墻。服務器型防火墻的核心，是運行于防火墻主機上的服務器進程，實質(zhì)上是為特定網(wǎng)絡應用連接企業(yè)內(nèi)部網(wǎng)與Internet的網(wǎng)關。它用戶完成TCP／IP網(wǎng)絡的訪問功能，實際上是對電子郵件、FTP、Telnet、WWW等各種不同的應用各提供一個相應的。這種技術使得外部網(wǎng)絡與內(nèi)部網(wǎng)絡之間需要建立的連接必須通過服務器的中間轉換，實現(xiàn)了安全的網(wǎng)絡訪問，并可以實現(xiàn)用戶認證、詳細日志、審計跟蹤和數(shù)據(jù)加密等功能，實現(xiàn)協(xié)議及應用的過濾及會話過程的控制，具有很好的靈活性。服務器型防火墻的缺點是可能影響網(wǎng)絡的性能，對用戶不透明，且對每一種TCP／IP服務都要設計一個模塊，建立對應的網(wǎng)關，實現(xiàn)起來比較復雜。

(3)復合型防火墻(Hybrid Firewall) [5]

由于對更高安全性的要求，常把基于包過濾的方法與基于應用的方法結合起來，形成復合型防火墻，以提高防火墻的靈活性和安全性。這種結合通常有兩種方案：

屏蔽主機防火墻體系結構：在該結構中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡，通過在分組過濾路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為Internet上其它節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡不受未授權外部用戶的攻擊。

屏蔽子網(wǎng)防火墻體系結構：堡壘機放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡分離。在屏蔽子網(wǎng)防火墻體系結構中，堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。

企業(yè)在選擇防火墻時不僅要考慮防火墻的安全性、實用性、而且還要考慮經(jīng)濟性，防火墻產(chǎn)品的安全性、實用性和經(jīng)濟性是相互制約和平衡的。

4 打葉復烤企業(yè)防火墻的設置

必須妥善地規(guī)劃其架構，擬定其安全政策，最重要的是必須徹底執(zhí)行其安全政策，而防火墻是落實這些安全政策的重要工具之一。Internet網(wǎng)絡商用化的趨勢愈來愈明顯，企業(yè)也不斷通過應用網(wǎng)絡技術提高生產(chǎn)銷售的水平，單位網(wǎng)絡的安全性規(guī)劃更是刻不容緩。一個好防火墻的規(guī)劃必須能充分配合執(zhí)行單位所制定的安全政策，再加上安全的建置架構，方能提供單位一個方便而安全的網(wǎng)絡環(huán)境。

圖1以屏蔽子網(wǎng)防火墻為例介紹打葉復烤企業(yè)防火墻的設置，一級堡壘防火墻是整個內(nèi)部網(wǎng)絡對外的樞紐，是必需設立的。它一邊連接單位內(nèi)部網(wǎng)絡，一邊通往外部網(wǎng)絡。外部網(wǎng)絡上可擺單位對外提供服務的主機，例如：WEBServer、EMAILServer、POP3Server及FTPServer等，提供對外服務。防火墻的設定，可保證服務器主機只提供它應提供的服務，而阻擋所有不當?shù)拇嫒∨c連線，避免黑客在服務主機上開后門[6]。

打葉復烤企業(yè)可根據(jù)實際需要，將其他部門的子系統(tǒng)保護在隔斷防火墻內(nèi)，比如生產(chǎn)運行實時控制系統(tǒng)、企業(yè)運行管理信息系統(tǒng)、企業(yè)營銷管理系統(tǒng)、企業(yè)多種經(jīng)營管理系統(tǒng)等。同時可以將某些較重要而有安全顧慮的部門網(wǎng)絡，加上防火墻的配置，此即所謂的單位內(nèi)防火墻(IntranetFirewall)。單位內(nèi)防火墻的功能與主防火墻類似，但因為其數(shù)量可能很多，會分配到電力部門的網(wǎng)絡內(nèi)，因此其管理規(guī)則的設定、系統(tǒng)的維護，不應太過于困難。單位希望建置一個安全的網(wǎng)絡環(huán)境，除了采用防火墻之外，當然還提供單位一個方便而安全的網(wǎng)絡環(huán)境。

圖1 企業(yè)屏蔽子網(wǎng)防火墻拓撲圖

4 結論

打葉復烤企業(yè)所面臨的網(wǎng)絡安全問題是多種多樣的，所以企業(yè)設計和部署防火墻也就沒有唯一的正確答案。各個機構的網(wǎng)絡安全決定可能會受到許多因素的影響，諸如安全策略、職員的技術背景、費用、以及估計可能受到的攻擊等。作者認為：企業(yè)內(nèi)部信息網(wǎng)絡系統(tǒng)是動態(tài)發(fā)展變化的，正確的安全策略與選擇合適的防火墻產(chǎn)品只是一個良好的開端，它只能解決40%~60%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統(tǒng)高智能主動性威脅、后續(xù)安全策略與響應的弱化、系統(tǒng)的配置錯誤、對安全風險的感知程度低、動態(tài)變化的應用環(huán)境充滿弱點等，所有這些都使打葉復烤企業(yè)將要面對網(wǎng)絡信息系統(tǒng)安全的挑戰(zhàn)。

參考文獻:

[1]孫靜,曾紅衛(wèi).網(wǎng)絡安全檢測與預警[J].計算機工程,2001,(12):109-110.

[2]劉占全.網(wǎng)絡管理與防火墻技術[M].人民郵電出版社，2000.

[3]Greg Holden(美).防火墻與網(wǎng)絡安全[M]. 清華大學出版社，2004.

[4]郭炎華.網(wǎng)絡信息與信息安全探析[J].情報雜志，2001,6.

[5]劉克龍,蒙楊.一種新型的防火墻系統(tǒng)[J].計算機學報,2006,8.

篇6

 

在社會經(jīng)濟的推動下，我國供電企業(yè)得到了較快發(fā)展，在更好滿足人們供電需求的同時，順應了城市化發(fā)展的潮流。目前，很多供電企業(yè)都對信息技術進行了較好應用，并通過其提高員工的工作效率以及質(zhì)量，從而給供電企業(yè)的發(fā)展帶來了一定機遇。雖然我國的網(wǎng)絡信息技術有了較好發(fā)展，但在供電企業(yè)網(wǎng)絡信息管理中，依然存在許多信息安全問題，給企業(yè)發(fā)展以及社會穩(wěn)定帶來不利，因此，加強供電企業(yè)網(wǎng)絡信息安全防護具有重要意義。

 

一、供電企業(yè)網(wǎng)絡信息安全概要

 

隨著科學技術的不斷進步，我國許多供電企業(yè)都進入了智能化、自動化工作時代，并建立了自身的網(wǎng)絡信息數(shù)據(jù)庫，不僅給企業(yè)各項工作的順利進行帶來了較大便利，而且能夠為用戶提供更高質(zhì)量的電能。在信息技術的推動下，供電企業(yè)營銷、財務等工作都實現(xiàn)了網(wǎng)絡化和規(guī)范化，而且有些地區(qū)對正向隔離器進行了較好應用，從而給網(wǎng)絡信息訪問提供了一定的安全保障。目前，許多供電企業(yè)將自身營銷網(wǎng)絡與MIS網(wǎng)絡進行了有效結合，并合理納入了呼叫接入系統(tǒng)，從而與銀行、用戶等能夠較好進行信息共享，并具有較高的安全性。雖然供電企業(yè)網(wǎng)絡信息具有一定的安全性，但是基于網(wǎng)絡載體的自身特性，依然存在著許多安全隱患，包括計算機病毒、惡意網(wǎng)頁等內(nèi)容，這些不良因素嚴重影響著網(wǎng)絡信息的安全，不僅對企業(yè)各項工作的正常進行造成了較大影響，而且給用戶正常用電帶來了極大不利，最終產(chǎn)生多種社會問題。因此，加強供電企業(yè)網(wǎng)絡信息安全防護勢在必行。

 

二、供電企業(yè)網(wǎng)絡信息存在的安全問題

 

(一)供電企業(yè)網(wǎng)絡服務器質(zhì)量不高

 

供電企業(yè)的電力系統(tǒng)中一般具有多種服務器，包括銀電聯(lián)網(wǎng)服務器、數(shù)據(jù)庫服務器、WEB服務器等，每種服務器都有著自身的特性和功能，對電力系統(tǒng)的正常運作具有重要作用。在信息技術的發(fā)展下，各種網(wǎng)絡侵入技術也有了較快發(fā)展，服務器非法入侵問題越來越嚴重，不僅給網(wǎng)絡信息的安全性帶來了較大隱患，而且破壞了社會穩(wěn)定。在供電企業(yè)中，不同的服務器據(jù)具有不同的認證系統(tǒng)，主要是為了提高網(wǎng)絡安全性，但是沒有建立一個統(tǒng)一管理的網(wǎng)絡系統(tǒng)，致使工作人員難以對服務器進行有效管理;電力系統(tǒng)中的WEB服務器經(jīng)常會受到各種惡意病毒的侵襲，致使信息訪問的安全性遭到較大沖擊;在供電企業(yè)的郵件服務器中，存在較多的垃圾郵件，但是管理人員疏于監(jiān)管，而許多工作人員不具備較好的安全意識，將這些郵件隨意傳播，致使企業(yè)網(wǎng)絡信息安全受到嚴重威脅;由于供電企業(yè)網(wǎng)絡服務器質(zhì)量不高、加密效果較差、管理人員安全意識不足，極易遭受黑客攻擊，致使企業(yè)機密文件或重要信息被竊取，最終給企業(yè)的正常運作帶來極大不利。

 

(二)供電企業(yè)網(wǎng)絡信息安全防護能力不足

 

在網(wǎng)絡信息技術發(fā)展的同時，各類信息安全事件也不斷涌現(xiàn)，不僅破壞了網(wǎng)絡秩序，而且產(chǎn)生了較多負面影響，因此，加強網(wǎng)絡信息安全防護具有重要作用。雖然我國信息技術有了較大進步，但是在供電企業(yè)中，其網(wǎng)絡信息安全防護能力還存在較大問題，難以適應網(wǎng)絡環(huán)境的復雜性與多變性，所以提高供電企業(yè)網(wǎng)絡信息安全防護能力勢在必行。目前，網(wǎng)絡的保護系統(tǒng)還沒有得到更為有效的保護，我國目前對于網(wǎng)絡信息的保護還僅僅是停留在購買殺毒軟件這個層次上，但是殺毒軟件其實效果是有限的，如果想要更加健全更加全方位的保護就必須要有自己的防護系統(tǒng)，例如在網(wǎng)關處加入自己的防護措施，并且具有針對性的增強安全手段。畢竟，對于供電企業(yè)來說，很多信息是非常重要的，也算是企業(yè)的機密文件，所以對于網(wǎng)絡的安全尤為重要。就部分供電企業(yè)而言，并不具有完善的信息安全防護系統(tǒng)，在殺毒軟件方面存在一定落后性，當網(wǎng)絡遭到外部攻擊時，現(xiàn)有的安全防護措施難以進行抵御。此外，有些供電企業(yè)不具備較好的數(shù)據(jù)恢復系統(tǒng)，一旦信息出現(xiàn)損害或消失，供電企業(yè)難以補救數(shù)據(jù)漏洞，從而給各項工作的順利進行帶來不利。目前的供電企業(yè)大都缺乏網(wǎng)絡信息安全評價體系，致使供電企業(yè)不能有效了解自身的網(wǎng)絡情況，也難以加強信息安全，所以如何提高網(wǎng)絡信息安全防護能力是供電企業(yè)面臨的重大問題。

 

(三)計算機病毒威脅

 

供電企業(yè)大都通過自身網(wǎng)站與外網(wǎng)進行鏈接實現(xiàn)信息訪問，由于網(wǎng)絡信息不具備較好的規(guī)范性，許多惡意網(wǎng)頁也隱藏在網(wǎng)站中，當員工點開惡意網(wǎng)頁的鏈接時，計算機病毒就會侵入供電企業(yè)網(wǎng)站服務器，并迅速擴散，最終造成服務器癱瘓。計算機病毒并不能夠直接用肉眼識別，許多計算機病毒都隱藏在一些正規(guī)的網(wǎng)頁中，所以電腦使用者不能夠及時發(fā)現(xiàn)網(wǎng)頁危害，當其無意中點開惡意網(wǎng)頁鏈接時，計算機病毒就會通過一定運作方式擴散至整個計算機終端，并改變服務器的運行程序，從而產(chǎn)生多種問題。

 

三、供電企業(yè)網(wǎng)絡信息安全防護措施

 

(一)完善計算機防火墻

 

防火墻是計算機中重要組成部分，主要分為兩種形式，一種是軟件防火墻，另一種是硬件防火墻。防火墻具有較高的安全性，能夠阻止網(wǎng)頁非法訪問以及惡意信息侵入，并能對信息的流通環(huán)節(jié)進行較好控制，從而保障網(wǎng)絡信息安全。因此，供電企業(yè)可以對硬件防護墻進行完善，利用其對企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間的信息訪問進行控制，并對外網(wǎng)進行有效隔離，從而提高信息訪問的安全性。為了更好保障網(wǎng)絡信息安全性，供電企業(yè)可以在完善防火墻的基礎上對殺毒軟件進行升級，并建立數(shù)據(jù)備份系統(tǒng)，從而取得較好的防護效果。在對防火墻進行完善時，供電企業(yè)需對訪問權限進行合理設置，并對相應的數(shù)據(jù)資源進行加密，合理控制數(shù)據(jù)進出環(huán)境，排除一切不利因素，從而提高防火墻的效果。防火墻不僅會對外網(wǎng)信息傳輸進行控制，而且還會對供電企業(yè)內(nèi)網(wǎng)信息傳輸進行限制，所以供電企業(yè)在完善防火墻時必須對多種情況進行合理考慮，在滿足企業(yè)工作需求的前提下提高信息安全度，從而更好保障供電企業(yè)正常運作。

 

(二)增強員工安全意識

 

供電企業(yè)中具有多種類型的工作，而員工又是工作主體，所以增強員工安全意識對提高網(wǎng)絡信息安全性具有重要作用。供電企業(yè)須根據(jù)實際情況建立網(wǎng)絡安全制度，并加強對員工安全意識的教育，要求其在實際工作中樹立信息安全風險意識，嚴格控制信息輸出及輸入環(huán)節(jié)，按照相關規(guī)范進行工作。由于供電企業(yè)中多項環(huán)節(jié)都會涉及到網(wǎng)絡信息的應用，所以供電企業(yè)必須注重對員工進行安全培訓，并提高其專業(yè)能力，從而降低因人為因素造成的網(wǎng)絡信息安全隱患。

 

(三)預控計算機病毒

 

計算機病毒的種類較多，存在于計算機信息傳輸?shù)母鱾€環(huán)節(jié)，不僅會對供電企業(yè)的正常運作帶來不利，而且可能對電力系統(tǒng)的穩(wěn)定性造成嚴重影響，所以供電企業(yè)必須采取有效措施預控計算機病毒。基于計算機病毒的威脅，供電企業(yè)可以建立網(wǎng)絡病毒墻，根據(jù)防火墻的特性來完善病毒墻的各種功能，以預控計算機病毒為目標，加強對網(wǎng)絡信息傳輸環(huán)節(jié)的控制，從而更好提高網(wǎng)絡信息安全性。

 

結束語

 

基于電力企業(yè)的重要性，維護網(wǎng)絡信息安全有著極大意義，也是保障社會穩(wěn)定的重要措施。網(wǎng)絡具有復雜性和多樣性，其存在著多種漏洞，因此，信息安全問題在所難免，只有加強信息安全防護才能更好保障供電企業(yè)各項工作正常進行，所以供電企業(yè)必須加強對員工專業(yè)素質(zhì)的培訓，并采取有效措施控制計算機病毒，這樣才能更好保障網(wǎng)絡信息安全，滿足人們正常供電需求。

篇7

關鍵詞：油田企業(yè)；網(wǎng)絡安全；防火墻技術；應用

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 15-0000-01

Application of Oilfield Enterprise Network Security and Firewall Technology

Hou Haidong

(Qinghai Oilfield Company Huatugou Community managemen Center,Haixi816400,China)

Abstract:With the computer technology in various enterprise wide applications,network security issues have been increasingly valued by everyone.Firewall to ensurenetwork security barrier,is an integral part of the secure network.Of oil companies innetwork security,analysis of some problems which have to focus on coping strategies,to explore oil fields in the enterprise network firewall technology to ensurethe security of oil enterprise network,corporate network security to prevent oil fieldaccident.Discuss specific network security solutions,integrated network securitymeasures,improve enterprise network security field.

Keywords:Oilfield enterprise;Network security;Firewall technology;Application

計算機從出現(xiàn)到發(fā)展，短短幾十年間，無論從生活、學習，還是工作中都帶來了巨大的影響，使我們的生活、學習和工作都起了翻天覆地的變化。在各個企業(yè)里面，現(xiàn)代化的建設都是建立在計算機網(wǎng)絡技術應用之上的，計算機技術覆蓋了企業(yè)生產(chǎn)的各個大小環(huán)節(jié)。保證企業(yè)中網(wǎng)絡的安全性，使企業(yè)生產(chǎn)順利進行，這是企業(yè)中網(wǎng)絡運行的基本保障。筆者仔細分析了青海油田企業(yè)網(wǎng)絡安全現(xiàn)狀，針對青海油田企業(yè)的網(wǎng)絡安全問題，提出相應的解決策略，結合防火墻技術的應用，提高油田企業(yè)網(wǎng)絡安全性，保證企業(yè)生產(chǎn)的順利進行。

一、青海油田企業(yè)網(wǎng)絡工作概況

青海油田是一家大型企業(yè)，其二級單位網(wǎng)絡中目前包含華為、港灣、華為3COM、Cisco等廠商設備，屬于多廠商互聯(lián)網(wǎng)絡。青海油田企業(yè)的整個網(wǎng)絡主體建設于1999年，逐年累建至今。目前網(wǎng)絡集中問題有多個方面，網(wǎng)絡缺乏管理性；多廠商設備，難以統(tǒng)一管理；大部分設備陳舊，匯聚層性能、帶寬不足；冗余可靠性差。由于這些原因，導致匯聚層設備擴展性不夠，一些單位層層級連網(wǎng)，影響網(wǎng)絡的穩(wěn)定性和可靠性，使得網(wǎng)絡安全問題成為極大的難題。

二、網(wǎng)絡安全風險

網(wǎng)絡安全風險根據(jù)不同的方面，有許多的風險因素，比如網(wǎng)絡外部的環(huán)境是否安全，包括了電源故障、設備被盜、認為操作失誤、線路截獲、高可用性的硬件、機房環(huán)境、雙機多冗余的設計、安全意識、報警系統(tǒng)等。再比如系統(tǒng)完全，包括了整個局域網(wǎng)的網(wǎng)絡硬件平臺、網(wǎng)絡操作系統(tǒng)等。每一個網(wǎng)絡操作系統(tǒng)都有其后門，不可能有絕對安全的操作系統(tǒng)。還有網(wǎng)絡平臺的安全風險，作為企業(yè)信息的公開平臺，要是受到了攻擊或者在運行中間出現(xiàn)了問題，對企業(yè)的聲譽是極大的影響。同時，作為公開的服務器，本身隨時都面臨著黑客的攻擊，安全風險比其他的原本就要高上許多。另外，應用系統(tǒng)安全也是風險因素中的一個，在不斷發(fā)展和增加過程中，其安全漏洞也在日益增加，并且漏洞隱藏得只會越來越深。此外還有管理的安全，管理混亂、責權不分、安全管理制度不健全等都是管理安全的風險因素。

三、油田企業(yè)網(wǎng)絡安全管理工作

隨著油田企業(yè)中網(wǎng)絡用戶的逐漸增多，網(wǎng)絡安全問題也越來越突出、越來越被網(wǎng)絡管理工作人員所重視。在實際工作中，通過增強單位用戶對網(wǎng)絡安全重要性的緊迫性的認識、強化和規(guī)范用戶防病毒意識等手段，全面采用網(wǎng)絡版防病毒系統(tǒng)，部署防病毒服務器和補丁分發(fā)服務器。在網(wǎng)絡管理過程中，技術人員定期檢查、預防、控制和及時更新防病毒系統(tǒng)病毒定義碼，按時向總部上報極度防病毒巡檢表。網(wǎng)絡管理技術人員還積極做好入侵保護系統(tǒng)IPS策略的日常管理和日志審計工作，使有限的網(wǎng)絡資源能用于重點保障業(yè)務工作的正常進行。

四、油田企業(yè)網(wǎng)絡安全防范舉措與防火墻技術應用

在油田企業(yè)網(wǎng)絡運行過程中，安全威脅主要有非授權訪問、信息泄露或丟失、拒絕服務攻擊、破壞數(shù)據(jù)完整性、利用網(wǎng)絡傳播病毒等方面。要防范油田企業(yè)網(wǎng)絡安全，主要的防御體系是由漏洞掃描、入侵檢測和防火墻組成的。油田企業(yè)的局域網(wǎng)主要又外部網(wǎng)絡、內(nèi)部職工網(wǎng)絡、內(nèi)部單位辦公網(wǎng)絡和公開服務器區(qū)域組成。在每一個出口通過安裝硬件防火墻設備，用防火墻來實現(xiàn)內(nèi)部網(wǎng)絡、外部網(wǎng)絡以及公開服務器網(wǎng)的區(qū)分。防火墻對外部的安全威脅起到了抵御的作用，但是從內(nèi)部發(fā)動的安全攻擊卻無能為力。這個時候就需要動態(tài)監(jiān)測網(wǎng)絡內(nèi)部活動以及及時做出響應，將網(wǎng)絡入侵監(jiān)測系統(tǒng)接入到防火墻和交換機上的IDS端口，一旦發(fā)現(xiàn)入侵或者可疑行為之后，立即報告防火墻動態(tài)調(diào)整安全策略，采取相應的防御措施。另外，網(wǎng)絡安全還需要被動的防御體系，它是由VPN路由和防火墻組成，被動防御體系主要實現(xiàn)了外網(wǎng)的安全接入。外網(wǎng)在于企業(yè)網(wǎng)絡之間實現(xiàn)數(shù)據(jù)傳輸?shù)臅r候，經(jīng)過防火墻高強度的加密認證，保證外網(wǎng)接入的安全性。在油田企業(yè)網(wǎng)絡安全與防火墻技術應用中，還需要加對病毒的防范、數(shù)據(jù)安全的保護和數(shù)據(jù)備份與恢復的建設。在服務器上安裝服務器端殺毒軟件，在每一臺網(wǎng)絡用戶電腦上安裝客戶端殺毒軟件，通過及時更新病毒代碼，防范病毒的入侵。采用自動化備份、安裝磁帶機等外部存貯設備等方法，保證數(shù)據(jù)的安全。

五、總結

油田企業(yè)網(wǎng)絡安全不僅關系著企業(yè)的整體發(fā)展，還關系著油田企業(yè)中廣大職工的網(wǎng)絡使用安全，積極采取防火墻技術應用到網(wǎng)絡安全防范之中，以提高青海油田企業(yè)網(wǎng)絡的安全性，保證企業(yè)的正常工作、企業(yè)職工的正常生活。

參考文獻：

[1]何黎明,方風波,王波濤.油田網(wǎng)絡安全風險評估與策略研究[J].石油天然氣學報,2008,3:279-280

[2]陳崗.大型企業(yè)信息網(wǎng)絡安全問題解決方案[J].岳陽師范學院學報(自然科學版),2006,2:168-169

篇8

【關鍵詞】企業(yè) 內(nèi)部網(wǎng)絡 安全 威脅 防范 措施

近年來，大家對于網(wǎng)絡安全的認知上存有誤差，他們總以為這是來源于企業(yè)外部的因素導致內(nèi)部問題發(fā)生，這種說法是錯誤的。因為網(wǎng)絡安全問題是涉及到相關網(wǎng)絡研究網(wǎng)絡的部門、還有企業(yè)內(nèi)的網(wǎng)絡設施等，但事實上，網(wǎng)絡研究人員卻將主要的安全隱患鎖定網(wǎng)絡外部目標，卻常常忽視了最隱秘的威脅因素是來源于企業(yè)內(nèi)部，數(shù)據(jù)統(tǒng)計，有金百分之八十五的安全隱患問題來源于內(nèi)部，其隱患出于企業(yè)內(nèi)部與外部的比例在逐年變大。

1 企業(yè)內(nèi)部網(wǎng)絡安全威脅

在企業(yè)內(nèi)部由于自身的ICP協(xié)議和操作方法不正確，并主要是企業(yè)內(nèi)部很大一部分人員操作不當導致，這些人為原因引起的網(wǎng)絡威脅問題，其主要表現(xiàn)為：

1.1 用戶操作步驟及方法不當

極有可能導致網(wǎng)絡設備的內(nèi)外部相應的毀壞等，引起錯誤刪減重要的數(shù)據(jù)或使得網(wǎng)絡硬盤恢復格式化等不同方面的問題出現(xiàn)。

1.2 有意惡性損壞

因個別人為因素導致，一些內(nèi)部人員因情緒失控，做出某些破壞性預謀損壞行為，故意致使企業(yè)內(nèi)部網(wǎng)存有威脅。

1.3 某些可移動的存介質(zhì)在應用過程中不當?shù)墓芾?/p>

這是一種難度程度極大的，直接威脅企業(yè)內(nèi)部信息的關鍵要素，因此，相關網(wǎng)絡部門人員需思考怎樣才能防止介質(zhì)消失或是禁止相關數(shù)據(jù)的授權等方面問題，是當下最難克服的重要問題。

1.4 黑客襲擊或是病毒查殺操作不到位

因為在使用盜版的軟件下載，是進行病毒無線傳播的渠道。

1.5 組權分配不完善

在相關的網(wǎng)絡服務人會員的組權分配問題上，還不是很完善。

1.6 企業(yè)內(nèi)部賬戶的不合理設置

不能對其口訣進行較為合理的分配原則。

1.7 專業(yè)人員素質(zhì)不高

相關的網(wǎng)絡專業(yè)人員的技能操作應用效果不明顯，加上工作態(tài)度問題，都是網(wǎng)路毆所隱藏的關鍵要素。

1.8 服務端口啟動頻繁

為了更多地搜集數(shù)據(jù)信息企業(yè)內(nèi)部管理員頻繁啟動運行服務端口，致使網(wǎng)絡產(chǎn)生嚴重的威脅。

2 網(wǎng)絡安全問題排查及預防方法

2.1 訪問控制

（1）通過有效的首層的安全和預防程序，也就是把初次入網(wǎng)客戶通過當?shù)丶跋嚓P程序的審核與訪問實現(xiàn)客戶的驗證過程，便于認識與檢驗、以相當?shù)拈L度密碼設定，并規(guī)定以阿拉伯數(shù)字、密碼輸入及相互引的其他的符號作為依據(jù)。

（2）設定訪問權限。通過對一般的大眾用戶進行資源整合，實現(xiàn)對有關文件的有效操作，其應用程序所展示的安全性能含：erase、write、create、modify、access control等

（3）以交換機為基礎，形成訪問的有效設定，其主要包含有端口的限制問題。

（4）將其他的不需要的彈出窗口及時關閉。

（5）對資源策略的共同享有過程中避免涉及所謂的資源整合陷阱，并禁止在協(xié)議書刪改相關協(xié)議內(nèi)容或數(shù)據(jù)，不要以Administrator帳戶的重新名稱更改。

2.2 數(shù)據(jù)密碼保護

（1）在網(wǎng)絡數(shù)據(jù)、信息傳輸過程中，需進行技術的加密程序改良，確保信息的準確，并在信息的整體的發(fā)出過程實現(xiàn)智能化的加密程序，實現(xiàn)數(shù)據(jù)整體的存檔，轉化為不能有效分辨的或是不能夠有效數(shù)據(jù)讀取。當相關數(shù)據(jù)信息實現(xiàn)目的地產(chǎn)生的最初位置，并通過智能組合，與密碼的解析步驟，確保數(shù)據(jù)的爭取讀取。

（2）在密碼設置上要層層把關。在進行相關的存儲信息或相關運轉數(shù)據(jù)進行合理分析，對所設定的密碼也應制定，在進行存儲相關內(nèi)容的存儲加密設定，將以密碼層層存儲加密為主線，避免非正當企圖的人員進行密碼的解析。

2.3 系統(tǒng)補丁

按時定期的對系統(tǒng)軟件進行全面的創(chuàng)意型數(shù)據(jù)庫的相關漏洞。確保系統(tǒng)的安全與穩(wěn)定。

3 防護

3.1 防火墻

通過防火墻的權限設定對象，并進行訪問的方法，應以最快的速度還在設置咨詢信息，禁止策略與防火墻的同時采用防火墻限制權限，并在防火墻中有效設定策略，禁止非法用戶的操控進入界面。

3.2 入侵檢測

通過應急事件預見性的處理，并檢測系統(tǒng)，避免發(fā)生異常物體的發(fā)生及預防。其入侵檢測的性能及狀態(tài)，是依據(jù)其有效的靜態(tài)密碼層層保護，使得在功能上進行整合，針對相關的病毒入侵侵犯性技術難題與防火墻共同的補充。一些關鍵性的數(shù)據(jù)信息儲備在應用網(wǎng)絡上要實現(xiàn)存放的有效保障，以所配置的系統(tǒng)的入侵方式的不同，其在網(wǎng)絡的數(shù)據(jù)輸送與傳輸也不相同，在發(fā)生不恰當?shù)牟僮魇褂脮r，要根據(jù)相關政策進行有效的技術隔斷與實時報警，確保入侵的有效防護工作。因此說，在遇到不安全信息侵犯時，組織數(shù)據(jù)流的過程，就是實現(xiàn)網(wǎng)絡內(nèi)部策略的有效實現(xiàn)方式。

3.3 病毒防護軟件

通過使用并下載病毒軟件來進行有效的病毒查處功能，按一定周期來實現(xiàn)數(shù)據(jù)庫的有效保護與監(jiān)督，確保安全防護辦法的執(zhí)行，對那些安全隱患的網(wǎng)絡問題及時進行制止，進一步確保企業(yè)內(nèi)部網(wǎng)絡的病毒凈化與信息安全保障工作。

參考文獻

[1]楊旭.計算機網(wǎng)絡安全漏洞及防范措施研究[J].網(wǎng)絡安全技術與應用. 2015（07）103-126.

[2]劉洪民，印幫輝，王鈺，孫宇.計算機網(wǎng)絡安全漏洞及防范分析[J].計算機光盤軟件與應用，2014（12）23-36.

[3]王麗麗，李曉明，徐凡特.網(wǎng)絡安全漏洞的現(xiàn)狀及面臨問題分析[J].科技創(chuàng)新導報，2013（15）12-15.

篇9

使用OpenDNS

使用OpenDNS互聯(lián)網(wǎng)，信息會經(jīng)由IP地址傳輸，那么你輸送的URL文本就排在所有數(shù)據(jù)的前面。通常情況下，當你輸入某網(wǎng)站的URL地址時。這一鏈接會在域名服務器的目錄中得到引用，在該域名服務器的目錄或引導你到達真正的IP地址。但是如果這一結構受到損害，且黑客可以向不同的IP地址發(fā)送你的請求的話，該如何是好呢?

去年，一種新的、狡猾的攻擊就是使用了這樣一種技術。即便你輸入的是一個可靠的URL名稱，你也不能到達你想訪問的服務器。而是去到了別的什么地方。你可能在網(wǎng)址列中看到銀行的名稱，但是你卻不知道你直接向黑客的網(wǎng)頁輸入了自己的私人資料。域名服務器和操作系統(tǒng)最后修復了這一問題從而防止了這類型的攻擊。但是OpenDNS已經(jīng)預計到了這種問題的出現(xiàn)并迅速地對這一威脅做出了反應。使用OpenDNS而不要信賴你的ISP的DNS服務器。

在客戶端，你可以打開網(wǎng)絡連接控制面板。單擊鼠標右鍵以激活連接，并選擇屬性。選擇互聯(lián)網(wǎng)協(xié)議(TCP／IP)。單擊屬性。選擇單選按鈕以使用下面的DNS服務器地址并輸入208.67.222.222和208.67.220.220或者你可以在路由器上激活它，向DHCP客戶端發(fā)送這些詳細信息，不需要額外的干預。具體的過程因人而異，但是你需要登錄并在NAT區(qū)域輸入上述的IP地址。訪問可以獲得硬件的具體細則。

更新路由器固件

PsybOt是一種蠕蟲病毒，它的目的是直接攻擊路由器硬件，將其本身嵌入其中。它以默認值開始，只是簡單地猜測路由器的登錄名和密碼。至少，你應該使用強效的密碼，特別由于很多低端的路由器都不允許你改變登錄ID。(嘗試使用包含12個字符，混合了字母、數(shù)字和符號的密碼)就像你的操作系統(tǒng)，硬件公司通常會隨時間推移為路由增加補丁，特別是在有安全漏洞被發(fā)現(xiàn)的時候。查一查你的指定模式，看看是否有固件更新。如果有的話，下載更新，并使用修訂。這樣做可以幫助你防止很多攻擊。

禁用遠程管理

除了更新你的路由固件和使用強效密碼以外，你還可以通過禁用遠程管理的功能把攻擊擋在門外。這一選項通常在默認情況下是關閉的，但是要檢查你的路由設置以確保它是處于關閉狀態(tài)。

篇10

關鍵詞： 計算機；網(wǎng)絡；安全；防范

        1  網(wǎng)絡安全的含義及特征

        1.1 含義  網(wǎng)絡安全是指：為保護網(wǎng)絡免受侵害而采取的措施的總和。當正確的采用網(wǎng)絡安全措施時，能使網(wǎng)絡得到保護，正常運行。

        它具有三方面內(nèi)容：①保密性：指網(wǎng)絡能夠阻止未經(jīng)授權的用戶讀取保密信息。②完整性：包括資料的完整性和軟件的完整性。資料的完整性指在未經(jīng)許可的情況下確保資料不被刪除或修改。軟件的完整性是確保軟件程序不會被錯誤、被懷有而已的用戶或病毒修改。③可用性：指網(wǎng)絡在遭受攻擊時可以確保合法擁護對系統(tǒng)的授權訪問正常進行。

        1.2 特征  網(wǎng)絡安全根據(jù)其本質(zhì)的界定，應具有以下基本特征：①機密性：是指信息不泄露給非授權的個人、實體和過程，或供其使用的特性。在網(wǎng)絡系統(tǒng)的每一個層次都存在著不同的機密性，因此也需要有相應的網(wǎng)絡安全防范措施。在物理層，要保護系統(tǒng)實體的信息外露，在運行層面，保證能夠為授權使用者正常的使用，并對非授權的人禁止使用，并有防范黑客，病毒等的惡行攻擊能力。②完整性：是指信息未經(jīng)授權不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性。③可用性：是指授權的用戶能夠正常的按照順序使用的特征，也就是能夠保證授權使用者在需要的時候可以訪問并查詢資料。在物理層，要提高系統(tǒng)在惡劣環(huán)境下的工作能力。在運行層面，要保證系統(tǒng)時刻能為授權人提供服務，保證系統(tǒng)的可用性，使得者無法否認所的信息內(nèi)容。接受者無法否認所接收的信息內(nèi)容，對數(shù)據(jù)抵賴采取數(shù)字簽名。

        2  網(wǎng)絡安全現(xiàn)狀分析

        網(wǎng)絡目前的發(fā)展已經(jīng)與當初設計網(wǎng)絡的初衷大相徑庭，安全問題已經(jīng)擺在了非常重要的位置上，安全問題如果不能解決，會嚴重地影響到網(wǎng)絡的應用。網(wǎng)絡信息具有很多不利于網(wǎng)絡安全的特性，例如網(wǎng)絡的互聯(lián)性，共享性，開放性等，現(xiàn)在越來越多的惡性攻擊事件的發(fā)生說明目前網(wǎng)絡安全形勢嚴峻，不法分子的手段越來越先進，系統(tǒng)的安全漏洞往往給他們可趁之機，因此網(wǎng)絡安全的防范措施要能夠應付不同的威脅，保障網(wǎng)絡信息的保密性、完整性和可用性。目前我國的網(wǎng)絡系統(tǒng)和協(xié)議還存在很多問題，還不夠健全不夠完善不夠安全。計算機和網(wǎng)絡技術具有的復雜性和多樣性，使得計算機和網(wǎng)絡安全成為一個需要持續(xù)更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的。

        3  網(wǎng)絡安全解決方案

        要解決網(wǎng)絡安全，首先要明確實現(xiàn)目標：①身份真實性：對通信實體身份的真實性進行識別。②信息機密性：保證機密信息不會泄露給非授權的人或?qū)嶓w。③信息完整性：保證數(shù)據(jù)的一致性，防止非授權用戶或?qū)嶓w對數(shù)據(jù)進行任何破壞。④服務可用性：防止合法擁護對信息和資源的使用被不當?shù)木芙^。⑤不可否認性：建立有效的責任機智，防止實體否認其行為。⑥系統(tǒng)可控性：能夠控制使用資源的人或?qū)嶓w的使用方式。⑦系統(tǒng)易用性：在滿足安全要求的條件下，系統(tǒng)應該操作簡單、維護方便。⑧可審查性：對出現(xiàn)問題的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。

        4  網(wǎng)絡安全是一項動態(tài)、整體的系統(tǒng)工程。

        網(wǎng)絡安全有安全的操作系統(tǒng)、應用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡監(jiān)控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成，一個單獨的組件是無法確保信息網(wǎng)絡的安全性。從實際操作的角度出發(fā)網(wǎng)絡安全應關注以下技術：