构建网络安全体系精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的构建网络安全体系主题范文，仅供参考，欢迎阅读并收藏。

第1篇：构建网络安全体系范文

关键词：网络信息；安全；防护体系

1 网络信息安全内容和技术防范原则

1.1 网络信息安全内容

网络信息安全主要是指网络系统的硬件、软件及其体系中材料得到维护，不受有时的或者恶意的因素而受到宣泄、损害、改动，体系能够稳固正常的运转，网络服务不会出现中断。在网络信息工作中所面对的破坏分为两种，一种是恶意的，一种是有时的，恶意的又能够分为主动以及被动这两种。主动突击主要是更改数据库或者建造不正确的数据库，主要包含切断、拦截、更改、造假、仿造改动资料以及拒绝服务等；被动突击主要是窥伺或者偷听，最主要就是想要得到正在输送的材料。被动突击会宣泄出材料状况以及材料量等。按照电脑网络所面对的胁迫，电脑网络主要做好下面四个关键的部分：隐蔽；辨别；访问掌控；病毒预防。

1.2 网络信息安全技术操作防范原则

1.2.1 买进的新软件与硬件必须进行检测后使用。

1.2.2 进行系统启动时，采用硬盘进行启动。

1.2.3 重点的计算机需要进行独立盘、独立人、独立机器、独立使用的保护，在这种状态下病毒不会自动滋生。

1.2.4 对于重要的文件进行定期的备份工作。

1.2.5 在发邮件或者是进行网聊的时候，附件不要轻易的接收，互联网中的软件用不着的避免下载。在可执行的文件与办公文档里面的病毒卸载量是很高的，减少下载。就算是下载完成了，还必须使用新型的杀毒软件进行病毒的查杀。

1.2.3 下载并安装官方的杀毒软件，定期升级。

1.2.7 下载安装病毒的防火墙，从根本上保障计算机系统与网络不受病毒危害。

2 网络信息的安全防护体系

2.1 加强网络安全的层次模型

ISO定义了OSI/RM七层网络参考模型，不同的网络层次完成不同的功能。从安全角度来看，各层能提供一定的安全手段，针对不同层次的安全措施是不同的。没有哪个层次能够单独提供全部的网络安全服务，每个层次都有自己的贡献。

2.2 加强网络安全防火墙的功能

所谓的防火墙不是真正意义上的墙，这是在对访问进行控制的一种方法，这是属于安全模式状态下，也是整个结构的安全性能的重要组成部分，其作用是阻挡内外的不安全的访问以及危险数据的交流。在互联网中，它能够隔离出互联网中有风险性的网络与内部网络之间的连接，这样就有效的加强了内部网络整体的安全性能。二零一零防火墙用途就是在网络的接入处对其通讯的数据进行检查，受到了企业安全政策的控制，进行拒绝或允许或是检测的情况下的互相交换的信息，其防火墙自身就是有高抗攻击的，在对网络数据交换与访问过程进行检测与控制，这样对网络的安全也是一个保障，有以下集中功能：有着数据在进出互联网的过滤作用，对网络进出访问做一个集中的管理，检查出非法访问的行为，对其内容与活动进行记录，针对网络攻击有着检测与警告的作用。

通常防火墙具有以下功能：过滤进出的数据；管理进出的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击进行检测和报警。网络级防火墙可以将从数据包中获取的信息（源地址、目标地址、所用端口等）同规则表进行比较。在规则表中定义了各种规则来表明是否同意或拒绝包的通过。网络级防火墙检查每一条规则直至发现包中的信息与某规则相符。应用级防火墙又称为应用级网关，它的另外一个名字就是服务器。网络级防火墙可以按照IP地址禁止外部对内部的访问，但不能控制内部人员对外的访问。服务器隔离在风险网络与内部网络之间，内外不能直接交换数据，数据交换由服务器“”完成。

2.3 加强虚拟专用网VPN技术

VPN就是虚拟专用网络，是伴随着互联网的前进而飞速壮大起来的一种措施。在现代化单位的经济往来活动中以及售前售后的工作中都会越来越多的使用到互联网技术，甚至在培训以及合作中都会使用到。很多单位都慢慢的使用互联网架设到原有的私有网络中。这种使用互联网来输送私有资料慢慢构成的逻辑网络就是VPN。

隧道措施。隧道措施基于互联网为根本，在互联网的各项根本设备中传输信息的方法。数据资料或者负荷运用隧道的方式进行输送可以是不一样的条约数据帧或者数据包。隧道协议把别的协议的数据帧或者数据包再次进行封装然后再进行输送。新的帧头供应路由数据，进而能够传递再次进行封装进行输送的数据经过网络进行输送。

加解密技术。对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术，VPN可直接利用。

密钥管理技术。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。使用者与设备身份认证技术。VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。

2.4 完善网络信息安全机制

探索电脑网络安全的系统构造，就是探索怎样能够从管制以及措施上确保网络的安全性能够准确完好的完成，网络对于安全方面的需要能够获得满足。一定要增强网络在安全体制方面的建造，主要包含加密体制、数字签名体制、访问掌控体制、数据全面性体制、辨别交换体制，信息交流玉传递填充体制，路由掌控，公证体制。

2.5 网络安全政策法规与标准

如今，中国的标准信息安全条例有包括国内外的100多条。信息的安全规范也是对于信息保障结构的不可缺少的一部分，也是政府在宏观调控上的凭证。信息安全是国家安全的必然要求，也是对于我国利益维护的重要举措，做好了信息的安全就能够提高网络上安全产品可信的程度，使产品之间实现互联与安全操作，为计算机的安全提供了有效的保障。王丽香（2004）网络的信息安全问题已经引起全社会的普遍关注，为了兴利除弊，使网络健康发展，维护国家安全和社会共公利益，可以借助法律力量，可以利用法律所具有的严肃性、强制性、不可侵犯性等特点，强有力地规范约束社会上种种不利于网络安全的行为。为防治网络违法、有害信息的传播，制止网络犯罪提供了法律依据。

2.6 加强网络安全管理

在信息安全方面出现威胁百分之六十以上的原因是因为管制不当产生的。网络体系的安全管制主要由于三个准则：多人承担准则，担任时间有限准则，职责相互独立准则。李亮提出增强网络内部管制工作者以及操作者的安全思想，许多电脑体系大多使用口令密码进行掌控体系中的资源查询，这是在预防病毒入侵的措施中，最简便容易的办法之一。网络管制工作者以及终端操纵工作者按照自己的工作内容，选用不一样的账号密码，对运用软件数据开展健康合理的操纵，避免顾客搜索到跨级别的内容。

参考文献

[1]彭 ，高 .计算机网络信息安全及防护策略研究[J].计算机与数字工程，2011，（1）：121-124.

第2篇：构建网络安全体系范文

Abstract: By analysis of the unsafe factors in the enterprise computer network,this paper shows the components of the enterprise computer network security defense system,and then proposes the corresponding strategies for constructing enterprise computer network security defense system.

关键词: 企业计算机;不安全因素;防御体系;策略;安全

Key words: computer network;unsafe factor;defense system;strategies;safety

中图分类号:G203 文献标识码:A文章编号:1006-4311(2010)05-0149-02

0引言

随着科学技术的发展,计算机网络在企业的生产和经营活动中,发挥着越来越重要的作用。近年来,许多企业都相继实现了企业内部的信息化。企业的生产和经营都离不开计算机网络系统的支撑,因此,计算机网络的安全稳定对于企业的生存和发展至关重要。构建了一个安全、稳定、可靠的计算机网络系统是企业当前亟待解决的重大问题。

1企业计算机网络中存在的不安全因素

1.1 网络内部。在这种情况下,往往是由操作失误造成的,这是比较常见的原因,可以通过严格的管理和个人的技术培训来解决。

1.2 硬件故障。计算机是一个系统的整体,设备内部任何一种硬件发生故障都可能导致信息丢失, 甚至造成整个系统的瘫痪。网络线路的物理损伤、网络的不规范扩展和网络连接的混乱是目前造成硬件故障的三个最主要的原因。

1.3 对于网络的安全防护措施来说,防火墙是必不可少的手段,也是最有效的方法之一,其作用就是对内部网络的结构进行防护和隐藏,防止来自网络外部的攻击和侵害,但是任何措施都是有漏洞的。防火墙的最大问题就是能较好的防止来自外部网络的威胁,但是对于来自网络内部的侵害,防火墙就无能为力了。

1.4 安全工具的使用受到人为因素的影响。任何工具都是人发明和使用的,只要是与人有关的,就必然不是完美的。对数据安全来说,有时最严重的威胁通常来自于企业内部,员工的失误可能威胁信息的安全或导致病毒的传播。还有极少数员工基于不同的目的设法窃取超级用户口令, 在未经授权的情况下访问机密信息。除了专业技术人员之外,大部分企业员工对信息安全的认识不足,如果没有这种意识和认识,有再多的技术安全措施和屏障,也难以达到预期的目的。一个安全工具保护效果能否实现,不光是看技术设计的是否出色,更重要的取决于管理人员的素质和责任心。

1.5 只要有程序, Bug就可能存在,甚至安全的漏洞也可能存在于安全工具本身。现在人们常用的个人计算机操作系统其实并不安全,存在很多的缺陷和漏洞,一些病毒和木马就会利用这些漏洞对网络安全进行大肆攻击。很多操作系统都配备了用以改进系统管理和提高服务质量的工具软件,但这些工具同时也会被黑客利用去收集非法信息及加强攻击力度:如NBTSTA T 命令是用来给系统管理员提供远程节点的信息的,但是破坏者也用这一命令收集对系统有威胁性的信息;区域控制软件的身份信息、NetBIOS 的名字、IIS名甚至是用户名,这些信息足以被黑客用来破译口令;网包嗅探器(PacketSn iffer),系统管理员用此工具来监控及分发网包,以便找出网络的潜在问题,同时也为黑客攻击网络提供了机会。

1.6 黑客的攻击手段虽然种类繁多,但主要利用以下两类漏洞:①TCP/IP协议自设设计的问题,这是因为TCP/IP协议一开始设计的时候,是基于互相信任的网络的,故而缺乏对付网络恶意攻击的手段;②一些操作系统的设计漏洞,这一点我们在上文中已经提到。现今的社会,互联网技术和计算机技术发展的越来越快,而网络黑客的攻击水平也是水涨船高,各种攻击手段和病毒式层出不穷,并且技术越来越高,越来越难以防范,几乎每天都有新的系统安全问题出现。与之相比,网络安全防护工具的发展明显滞后,究其原因,是因为黑客是一个群体,遍布全世界各地,而负责网络安全防护工具开发的只是一些固定的网络技术公司和开发人员,以有限的安全技术人员对付无限的庞大黑客群体,再加上这种对策都是被动的,总是等到新的木马或病毒出现后才会有相应的防护工具产生,其结果可想而知。

2计算机网络安全防御体系的组成部分

目前,虽然企业计算机网络的生产网和办公网之间有防火墙的隔离,但是二者交换数据时并没有进行IP 转换,从本质上来说,二者都属于统一网络,所以我们这里将因此把生产网安全域和办公网安全域都称为内部安全域。每一个内部安全域都配有一套完整的平台,部署在办公网,该平台负责用户管理和办公网与生产网认证授权,外网平台负责对外部用户的身份认证和授权。

2.1 路由器架构网络的第一层设备就是路由器,它也是网络入侵者攻击的首要目标,因此路由器有必要设置一定的过滤规则,滤掉被屏蔽的IP 地址和服务。

2.2 防火墙刚才我们在上文中已经介绍过防火墙了。其执行一种访问控制尺度,可以通过设置,分出可访问的IP地址和数据和不可访问的IP地址和数据,可访问的IP和数据进入防火墙的内部网络,同时将禁止的用户与数据拒绝,它可以最大限度地阻止网络入侵者访问自己的网络,并防止对内网信息和数据进行访问、修改和删除。所以,防火墙是一种得到广泛应用且公认安全高效的的网络安全手段,是保证网络安全的最重要的环节之一。

2.3 入侵监测系统在计算机网络的关键部位安装网络入侵检测系统(IDS),可以对网络和信息系统访问的异常行为进行实时监测和报警。IDS可以监测网络上所有的包(packets),捕捉危险或有恶意的动作,并及时发出报警信息。入侵监测系统可以按照用户指定的规则对端口进行监测、扫描。立体安全防御体系中普遍采用入侵监测系统,以识别防火墙不能识别的攻击,如来自企业内部的攻击。目前,入侵检测系统被认为是对防火墙的必要补充,可对网络资源进行实时监测,及时发现入侵者,防治合法用户对资源的错误操作,与其他安全产品一起构筑立体的安全防御体系。

2.4 物理隔离与信息交换系统物理隔离与信息交换系统又称网闸,是运用物理隔离网络安全技术设计的安全隔离系统。当企业网内部的生产系统因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性时,物理隔离与信息交换系统能够对内部网络与不可信网络进行物理隔断,可以及时阻止各种已知和未知的网络层和操作系统层攻击,它提供的安全性能比防火墙、入侵检测系统等技术更好,既保证了物理的隔离,又实现了在线实时访问不可信网络所必需的数据交换。

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文

2.5 交换机局域网通常采用以交换机为中心、路由器为边界的网络格局。交换机是该格局的核心,其最关键的工作是实现访问控制功能和3 层交换功能。访问控制对于交换机就是利用访问控制列表ACL 来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。

2.6 应用系统的认证和授权支持

建立应用系统能够提升支撑平台的安全性,应用系统的保护功能包括以下几个方面:①应用系统网络访问漏洞控制。应用系统要求软件按照安全软件标准开发,在输入级、对话路径级和事务处理级做到安全无漏洞;集成的系统必须具有良好的自我恢复能力,避免内部生产网中的系统因受攻击而导致瘫痪、数据破坏或丢失。②数字签名与认证。应用系统须利用CA 提供的数字证书进行应用级的身份认证,对文件和数据进行数字签名和认证,保证文件和数据的完整性以及防止源发送者抵赖。③数据加密。对重要的数据进行加密存储。

2.7 操作系统的安全将所有不使用的服务和端口关闭,并将不使用的磁盘文件清除,建立一个内部网操作系统漏洞管理服务器,提供对官方补丁下载,以保证操作系统的安全性。

2.8 病毒防护将系统诊断工具(如360)与网络版的杀毒软件(如NOD)相结合,可以构成比较完整的病毒防护体系,能够有效地防控病毒的传播,保证网络运行的安全性和稳定性。

2.9 网络隔离度保障对未经过安全过滤和检查就违规接入内部网的移动设备(笔记本电脑等)和新增设备进行监控;对内部网中绕过防火墙的计算机或其他设备,违规接入网络的行为进行监测;对物理隔离的网络内部设备违规接入因特网的行为进行监控;对违反规定将专网专用的计算机带出网络进入到其他网络的行为进行监控;可提供IP 和MAC 地址绑定功能。

3构建计算机网络防御体系的策略

根据当前企业计算机网络的发展现状、发展趋势、操作系统对网络传输与服务的要求以及安全保密等相关规定,构建一个企业计算机网络安全防御体系应注意以下几点:①企业计算机网络结构必须做到实现外部服务网与内部服务网的分离;②对信息系统的安全等级要进行划分,以便在进行信息管理时使用不同的安全域;③在网络安全上必须充分开展对网络访问控制、防火墙设置、网络动态隔离和病毒网关及日志的管理和维护;④对网络的流量要进行充分控制和保护;⑤基于数字证书的用户身份认证、授权管理建立完善的访问控制设施;⑥必须建立日志和审计系统。

要建立企业计算机安全网络防御体系,必须将重要行业的原有的平面结构的计算机网络调整为层次保护结构的网络,形成外部网、办公网和生产网的三层结构。在外层部署与互联网的接口,外层网络屏蔽内层网络,实现外层网络对内层网络的保护。在不同的网络区域边界,通过边界保卫策略实施多点控制,使网络划分为不同级别的保护层次和区域,控制各层次之间的信息流。

4结语

第3篇：构建网络安全体系范文

一、企业网络安全风险状况概述

企业网络是在企业范围内，在一定的思想和理论指导下，为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加，如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样，企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍都存在”重技术、轻安全、轻管理”的倾向，随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，企业网络在企业的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题，解决网络安全问题刻不容缓，并且逐渐引起了各方面的重视。

由于Internet上存在各种各样不可预知的风险，网络入侵者可以通过多种方式攻击内部网络。此外，由于企业网用户网络安全尚欠缺，很少考虑实际存在的风险和低效率，很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。

因此，在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对网络通讯进行有效的过滤，使必要的服务请求到达主机，对不必要的访问请求加以拒绝。

二、企业网络安全体系结构的设计与构建

网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系，是动态加静态的防御，是被动加主动的防御甚至抗击，是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题，需要有一个科学、系统、全面的网络安全结构体系。

（一）企业网络安全系统设计目标

企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制，网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。

（二）企业网防火墙的部署

1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务，除非是必须的服务才被允许。

2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙，在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”，是为不信任系统提供服务的孤立网段，它阻止内网和外网直接通信以保证内网安全)，与内网和外网间进行隔离，内网口连接企业网，外网口通过电信网络与互联网连接。

3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵，在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统，与防火墙并行的接入网络中，监测来自互联网、企业网内部的攻击行为。发现入侵行为时，及时通知防火墙阻断攻击源。

4.企业网络安全体系实施阶段。

第一阶段：基本安全需求。第一阶段的目标是利用已有的技术，首先满足企业网最迫切的安全需求，所涉及到的安全内容有：

①满足设备物理安全

②VLAN与IP地址的规划与实施

③制定相关安全策略

④内外网隔离与访问控制

⑤内网自身病毒防护

⑥系统自身安全

⑦相关制度的完善

第二阶段：较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下，全面实现整个企业网络的安全需求。所涉及的安全内容有：

①入侵检测与保护

②身份认证与安全审计

③流量控制

④内外网病毒防护与控制

⑤动态调整安全策略

第4篇：构建网络安全体系范文

关键词 虚拟局域网；校园网络；安全体系

中图分类号TP39 文献标识码A 文章编号 1674-6708（2013）83-0202-02

1 网络安全体系的定义

通常情况下，为了能够保证校园网络运行的安全稳定，校园网的大部分数据资源都只允许在内部中完成访问。例如校园网络的OA系统、校内邮件系统等等，这些系统的访问和使用都必须在校园网内部操作，严重制约了教师、学生在个人家庭中通过访问校园网来收取学校通知、查看个人成绩、浏览校园新闻等功能。如果校园网内部应用服务器一旦发生了故障，如果专业管理人员此时也没有在学校时，就无法完成对校园网的维护操作，如果部分教师由于需要出差完成科研交流等工作时，也无法查看关于科研项目的校内数据资源。

网络安全体系指的是一套完整的计划设计，主要包括能够为网络用户提供安全稳定的服务；能够保证网络中所有系统的正常运行服务；对网络中系统的安全级别提出要求并完成设置。一套完整的网络安全体系中的必备设计原则有数据传输安全、计算机系统安全、网络用户安全、网络管理安全、物理架构安全等等，既要能够对恶意的外界入侵行为进行制止，还要能够同时应对网络中的其他安全威胁。

2 虚拟局域网关键技术

2.1用户认证技术

虚拟局域网中的用户身份核实确认大部分都是通过用户认证技术实现的，对系统用户进行相应授权之后能够保证控制访问资源。一般情况下，网络认证协议采用的都是报文摘要技术，主要是用于验证数据信息的完整性和对用户身份进行认证，通过利用哈希（HASH）函数将数据报文的长度进行一系列变换，使其能够成为固定长度的报文摘要，但是由于哈希函数自身的特性又难以在不同的报文信息中将报文摘要变换成固定长度。

2.2数据加密技术

虚拟局域网数据传输的过程中主要应用的是数据加密技术，来实现对数据的伪装和隐藏。但是，如果在传输的过程中数据信息经过互联网产生了安全威胁，那么即使已经通过了用户认证，也不能保证数据信息的安全传输。因此，在网络发送端应该将用户认证进行加密之后再完成数据信息的传输，在网络接收端通过用户认证之后再对数据信息进行解密。密钥类型主要包括对称加密和非对称加密两种，在实际应用中大多数采用的都是对称加密措施，如果是机密数据信息则采取公钥加密技术。

2.3访问控制技术

访问控制技术主要是对用户是否能够对系统发起访问进行控制，运行具有相应授权的用户访问系统资源，对没有授权的用户对系统资源发起访问和获取时立刻进行阻止。

3 校园网络安全体系设计

本文设计提出的基于虚拟局域网技术的校园网络安全体系设计方案主要是为了解决某高校老校区与新校区之间信息互通、资源共享、专网整合的问题，由此构建出一条专用的虚拟局域网安全通道，从而保证这些重要数据资源能够在校园网中安全稳定地传输。

3.1系统设计原则

1）安全保障

虚拟局域网系统的重要职能就是保证网络的安全稳定，以及在互联网传输过程中数据信息的安全可靠，因此，虚拟局域网系统的安全保证必须包括用户身份认证、数据信息保密和数据信息完整。

2）多平台兼容

虚拟局域网系统的关键功能就是要保证用户不受时间和地域的限制对系统资源发起访问，以及当用户进行移动办公时要保证网络连接的安全可靠。

3）访问控制权限

校园网的虚拟局域网系统主要是为多个应用程序提供保护的，因此要设置不同的用户访问控制策略，使得拥有不同权限的用户能够访问相应的系统资源。

4）平台管理简洁

虚拟局域网服务器应该为用户和系统管理员提供良好的应用管理操作界面，在方便用户对系统资源进行访问操作的同时，还要保证系统管理员的安全维护操作简单便捷，更要为服务器与用户之间的通问、安全日志等做好记录。

3.2系统功能模型

根据校园网络的实际安全需求和虚拟局域网系统的设计原则，虚拟局域网系统的功能模型主要包括用户身份认证模块、数据传输模块、访问控制模块和系统管理模块。

1）用户身份认证模块

虚拟局域网系统客户端通过采取数字证书的认证方式对用户身份进行核实；服务器对系统客户端进行认证时需要采取不同的认证方法，如果用户通过远程网络连接到虚拟局域网中，服务器则采用用户名+密码的认证方式对用户合法身份进行识别，在校园网内部则采取数字证书的方式对用户身份进行识别。

2）数据传输模块

数据传输模块的主要功能是采取相应加密算法对数据进行加密之后传输给接收方，以及对接收到的数据进行解密。

3）访问控制模块

访问控制模块主要是根据已经设置完成的访问控制策略来控制系统中的资源是否能够被用户进行访问和操作。

4）系统管理模块

系统管理模块主要负责对虚拟局域网系统服务器的日常服务信息进行记录，包括访问日期、访问时间、网络使用情况等等，并生成对应的日志报告。

3.3系统详细设计

本文提出的基于虚拟局域网技术的校园内部网设计方案如图1所示。

学校的新校区和老校区之间通过采用虚拟局域网技术，建立起一道校园内部虚拟局域网通道，将新校区与老校区利用光纤实现网络连接，将网络的出口端设置在新校区。校园网中的财务管理系统、人事管理系统和一卡通管理系统都需要通过同一个链路与新校区进行连接，因此，我们采用虚拟局域网网络安全标准对链路进行数据加密，从而保证通过这条链路传输的数据能够安全可靠。

校园网中的一般用户的访问控制策略安全级别的设置可以相对较低，一般用户安全级别如果设置过高则会耗费大量的系统资源，造成无法访问或网络瘫痪的情况出现。对于校园网中的财务管理部门、人事管理部门和后勤服务部门来说，应该采取两层架构隔离的方法接入到校园网中，再通过内部网关协议与核心交换机连接，从而保证在新校区与老校区之间实现数据加密传输。

4结论

综上所述，本文从校园网实际需求角度出发，将虚拟局域网技术应用到校园网建设当中，提出了一套校园网络安全体系设计方案，能够有效保证新校区与老校区之间的数据通信、数据共享和数据整合安全，具有较强的理论指导意义。

参考文献

第5篇：构建网络安全体系范文

摘要：民航系统的飞速发展对于安全管理提出了更高的要求，信息化管理是当前民航空管的主要技术手段。本文从民航飞行系统的整体结构出发，概述了民航系统的信息分布和结构组成，阐述了空中交通管理的重要性和发展现状，分析了信息安全管理对于民航空管网络的重要性，并提出了信息安全管理体系的构建方案和实施策略，为进一步提高民航系统的安全管理提供了新的发展思路。

关键词：民航空管；网络与信息安全管理；管理体系

主要内容：

航空科学技术的快速发展和民用交通需求的日益增长，使得民航业的整体规模得到了长足的发展，民航业已经成为了公路运输、铁路运输和水路运输之外，一个新兴的交通运输体系，并逐渐的扩大其影响力和业务规模。民航飞行系统是一个功能复杂和技术高度融合的多功能系统，其核心技术包含了航空动力学技术、计算机技术、材料、电子、信息网络、物流管理等等最新的科技成果，这是一个高科技复合产品，而且民航系统的特殊运营模式，使得其安全管理成为系统运行的首要任务，针对民航网络的交通管理是必要也是必然的，在民航飞行的日常管理中，管理信息和飞行信息的下达和传递，有赖于快速、稳定和安全的信息网络，这是控制所有飞行活动和飞行指令的核心通道，当然也是安全事故高发的运行阶段，针对飞行空管网络的信息安全已经成为民航安全管理最为核心的工作内容，这也将是本文将着重讨论的技术问题。

一、民航空管网络与信息安全管理的发展现状研究

我国的航空监管职能部门根据我国民航业的发展现状和整体规模，组建了航空管理局，并进行了信息化管理系统的建设。基于先用的航空机场和地域性的空管局，可以建立一个民航空管信息网络，以地面监测设备、海基检测装置和相控雷达等为基础，以各大类型的数据采集前端、数据传输网络和数据库为共享通道，可以建立一个覆盖整个民航空管系统的信息资源管理系统。该系统可以对航空飞行信息进行实时采集、分析、存档、上传和实时修正，可以及时的为飞行操作人员、空管人员和技术分析人员，提供数据依托，是航空指令下达的基础依据，其重要性不言而喻。但是对于信息网络的安全性建设，目前还尚在起步之中，其一是对于信息安全漏洞的基础研究不足，难以定义信息防火墙的整体布局；其次是管理层面上，针对于信息安全的硬件设施和人员配置捉襟见肘，难以实现有效的保障力度；其次是对空管信息的增加预估不足，导致信息处理能力受到极大的限制。

二、构建我国民航空管网络与信息管理体系

由于民航空管信息网络覆盖面广、技术难度大、工作量繁复，因此，要有效的解决这一潜在的安全问题，必须构建一个完善的民航空管网络与信息安全管理体系，总的来说需要在以下几个方面开展工作：

2.1完善信息安全管理机制，保障资源配给

针对于航空管理我们建立了专门的民航空管职能部门，也联合各地域内的空管局构建了一个空管网络系统，但是对于复杂的空管网络信息，我们还缺乏应对信息网络安全管理的认知和准备。从管理制度予以保障，这就需要在空管职能部门中，分离出一支信息安全管理队伍，这是因为信息安全管理的独特性赋予了其最高的管理优先级，选拔专业的网络信息管理技术团队，全面开展信息安全的基础理论研究和技术研发，综合学校、科研单位和相关企业的技术实力，在现有信息安全管理网络的雏形上进行功能完善，对于功能缺失环节，进行软硬件资源的优先配置，并从人力和资金预算上给与优先保障，始终坚持安全管理第一的民航空管原则。

2.2评估现有资源，量化安全管理标准

信息安全管理是一个涉及到民航空管整个流程的复杂系统工程，这就需要从全流程进行资源评估，针对现有的信息采集前端布置、信息传播渠道分析、数据库建立和数据库防火墙设置、信息局域网安全性能和信息网络操作管理等方面要出台安全管理的量化考核标准，针对每一项技术指标，结合国际信息网络安全管理的现有经验和行业标准，设置安全警告触发阈值，根据安全基础分析数据库中的典型安全泄漏工况，设定相应的安全问题的反应机制，有助于提高整个安全管理系统的可靠性和机动性。

2.3重视技术研发，及时升级换代

信息技术的发展日新月异，安全问题的模式也是在不断变化之中，信息安全系统要解决的问题不仅包括安全泄漏的模式识别，也包括安全问题的实时处理方案的设立。防火墙技术是最为有效的主动防御技术，这需要针对不同的运行系统和连接模式进行有效的访问控制；安全入侵往往包括潜在入侵和暴力入侵，垃圾邮件和木马软件等对于信息系统的规范化操作管理提出了严格的要求；黑客技术入侵和系统漏洞则需要信息系统具有牢固的安全应对网络，能够应对不同规模级别的入侵。与此同时，要积极的配合新型信息网络技术的开发和研制，及时的对信息网络进行升级换代和漏洞补偿，将整个信息网络的运行风险降到最低。

总结：

民航系统的飞速发展对于安全管理提出了更高的要求，信息化管理是当前民航空管的主要技术手段。本文从民航飞行系统的整体结构出发，概述了民航系统的信息分布和结构组成，阐述了空中交通管理的重要性和发展现状，分析了信息安全管理对于民航空管网络的重要性，并提出了信息安全管理体系的构建方案和实施策略，为进一步提高民航系统的安全管理提供了新的发展思路。

参考文献

第6篇：构建网络安全体系范文

关键词：当前网络；安全评估；防护体系构建

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2012） 21-0000-02

网络技术发展犹如一把双刃剑，在为人类社会经济发展带来便捷的同时，也造成了一定的妨碍，尤其是网络具有开放共享、联接形式多样、终端分布不均以及易受侵袭的特性，使得网络安全始终存在一定的隐患。步入信息时代，企业对网络的依赖程度逐渐加深，日常办公活动甚至是经济运营都需要通过网络才能实现。而随着网络技术的不断进步，妨碍网络安全的因素也在不断增多，对企业所造成的危害也越来越大。应对当前企业计算机网络安全问题进行深入分析，构建并完善有效的网络安全体系，为维护企业利益、促进企业发展做出积极的努力。

1 网络安全的内涵及其特征

网络安全是指网络系统的软件、硬件以及系统中的数据受到充分保护，不因任何原因而遭受到破坏、更改和泄露，计算机系统得以维持连续、可靠、有效地运行，网络服务不中断。在安全状态下，计算机网络系统具有可靠、可用、可控、保密等特征。从狭义来说，网络安全就是维护存储在网络上的信息安全；从广义来说，凡是与网络信息的完整性、保密性、真实性和可控性的相关理论和技术都是网络安全问题。因此，网络安全是一门涉及到网络技术、通信技术、计算机技术、密码技术、信息安全技术等多种学科的综合性科学。历史实践证明，科学技术的进步将会为人类社会生活中的各个领域都带来重大影响。现代计算机及网络技术的快速发展，尤其是Internet的出现，使得信息的最广泛交换和共享成为现实。但伴随着信息共享所带来的巨大益处，信息在网络上存储、传输的同时，也可能受到窃取、篡改和毁坏，甚至可能会导致无法估量的损失。

2 企业计算机网络所面临的威胁

当前，大多数企业都实现了办公自动化、网络化，这是提高办公效率、扩大企业经营范围的重要手段。但也正是因为对计算机网络的过分依赖，容易因为一些主客观因素对计算机网络造成妨碍，并给企业造成无法估计的损失。

2.1 网络管理制度不完善

网络管理制度不完善是妨碍企业网络安全诸多因素中破坏力最强的。“没有规矩，不成方圆。”制度就是规矩。当前，一些企业的网络管理制度不完善，尚未形成规范的管理体系，存在着网络安全意识淡漠、管理流程混乱、管理责任不清等诸多严重问题，使企业相关人员不能采取有效措施防范网络威胁，也给一些攻击者接触并获取企业信息提供很大的便利。

2.2 网络建设规划不合理

网络建设规划不合理是企业网络安全中存在的普遍问题。企业在成立初期对网络建设并不是十分重视，但随着企业的发展与扩大，对网络应用的日益频繁与依赖，企业未能对网络建设进行合理规划的弊端也就会日益凸显，如，企业所接入的网络宽带的承载能力不足，企业内部网络计算机的联接方式不够科学，等等。

2.3 网络设施设备的落后

网络设施设备与时展相比始终是落后。这是因为计算机和网络技术是发展更新最为迅速的科学技术，即便企业在网络设施设备方面投入了大笔资金，在一定时间之后，企业的网络设施设备仍是落后或相对落后的，尤其是一些企业对于设施设备的更新和维护不够重视，这一问题会更加突出。

2.4 网络操作系统自身存在漏洞

操作系统是将用户界面、计算机软件和硬件三者进行有机结合的应用体系。网络环境中的操作系统不可避免地会存在安全漏洞。其中包括计算机工作人员为了操作方便而主动留出的“后门”以及一些因技术问题而存在的安全隐患，一旦这些为网络黑客所了解，就会给其进行网络攻击提供便利。

3 网络安全防护体系的构建策略

如前所述，企业网络安全问题所面临的形势十分严峻，构建企业网络安全防护体系已经刻不容缓。要结合企业计算机网络的具体情况，构建具有监测、预警、防御和维护功能的安全防护体系，切实保障企业的信息安全。

3.1 完善企业计算机网络制度

制度的建立和完善是企业网络安全体系的重要前提。要结合企业网络使用要求制定合理的管理流程和使用制度，强化企业人员的网络安全意识，明确网络安全管护责任，及时更新并维护网络设施设备，提高网络设施的应用水平。如果有必要，企业应聘请专门的信息技术人才，并为其提供学习和培训的机会，同时，还要为企业员工提供网络安全的讲座和培训，引导企业人员在使用网络时主动维护网络安全，避免网络安全问题的出现。

3.2 配置有效的防火墙

防火墙是用于保障网络信息安全的设备或软件，防火墙技术是网络安全防御体系的重要构成。防火墙技术主要通过既定的网络安全规则，监视计算机网络的运行状态，对网络间传输的数据包进行安全检查并实施强制性控制，屏蔽一些含有危险信息的网站或个人登录或访问企业计算机，从而防止计算机网络信息泄露，保护计算机网络安全。

3.2 采用有效的病毒检测技术

计算机病毒是指编制或在计算机原有程序中插入的能够破坏系统运行或破坏数据，并具有自我复制能力的计算机指令或程序代码。病毒是对网络造成最大威胁的因素，要采用一些有效的病毒检测及反应技术，及时检测到病毒并对其进行删除。

3.3 其他网络安全技术

其他的网络安全技术包括密码更改、网络加密技术和IP 隐藏技术等。密码更改是网络用户应具备的一项安全意识，要定期或不定期对自己的账户密码进行修改，设置密码保护问题，以预防密码泄露；机密技术是指通过将存储在计算机网络上的重要信息改变为密文来防止被窃取和泄露；IP隐藏技术是隐藏用户计算机的IP地址，避免网络黑客采取特殊的网络探测手段获取用户IP来确定攻击目标，以上都是确保网络安全的重要手段。

计算机及网络技术的进步推动了信息时代的发展进程，在人类社会的各个领域都引起了一系列影响深刻的革命。但伴随着网络规模的逐步扩大和更加开放，网络所面临的安全威胁和风险也变得更加严重和复杂，企业计算机网络受到威胁行为日益增多。为了保障企业计算机网络安全，必须强化信息应用安全意识，及时了解网络中出现的安全问题，规范计算机网络使用行为，加强网络基础设施建设，提高设备设施应用水平，构建起有效的网络安全防护体系，维护企业的网络安全和合法权益。

参考文献：

[1]（美）Michael·Erbschloe著，常晓波等译.信息战一如何战胜计算机攻击[M].北京：清华大学出版社，2002.

[2]姚顾波，刘焕金等著.黑客终结——网络安全完全解决方案[M].北京：电子工业出版社，2003.

第7篇：构建网络安全体系范文

关键词：局域网　安全体系　立体防御

1、案例背景

哈尔滨经济技术开发区管理委员会(以下简称“哈经开区”)管理大厦内部网络经过几年建设，已经实现千兆到楼、百兆到桌面的宽带网络数据传输；该区建有完善的网络数据中心，完善的网络通信设备和网络服务器系统。采用高速交换技术，建立方便快捷灵活多变的信息通信平台，提升了办公效率，节省了人们的劳动量，但是也带来了一定的网络安全问题，增加了网络安全的风险。为此，要保证网络的安全运行，必须要有一套与之配套的可操作的计算机病毒解决措施和应对方案。构建一个统一的有效的切实的可行的网络安全防御体系，有效的防止和应对病毒攻击和入侵。

2、案例分析

本文从哈经开区网络安全的实际情况以及防御运行的实际情况进行分析：

2.1局域网维护工作量日益加重，计算机病毒日益猖狂

最初建立计算机网络的时候，采用了国内比较著名的防病毒软件，比如金山毒霸，瑞星杀毒等等。但是都不尽如人意。局域网中计算机病毒传播和感染的事情仍然时有发生。计算机网络的维护人员要忙于清理计算机病毒、重新安装操作系统或者安装相关的应用软件。

计算机病毒的顽固性存在多个方面，首先，计算机病毒自身具有较快的传播性和较强的可执行性。同时，计算机病毒还有其他一些典型的特点。一是传播速度非常快。在政府部门局域网环境下，计算机病毒可以利用各种介质，通过局域网迅速的进行传播下去。而且传播的方位非常的广泛，在局域网模式下的病毒要远远比在单机模式下的病毒难以应付。很多在单机模式下可以轻易杀除的病毒，在局域网模式下往往力不从心。而且病毒的破坏性非常大，一旦病毒袭击了政府的办公网络，就会影响到政府的正常的工作。而且很多时候，病毒常常造成政府的办公网络崩溃，整个电脑系统的数据被盗取或者丢失。二是激发条件很多。通过局域网，病毒的隐蔽性得到大大的提升。计算机网络病毒可以通过多种途径和方式进行激发，例如可以通过内部时钟或者计算机上的系统日期等。三是计算机网络病毒的潜在危险非常大，在局域网中，一旦计算机网络被感染病毒，即使后来病毒被清除，但仍然可能有病毒潜伏在电脑中，而且被感染的病毒再次发生被感染的概率非常的高。

2.2多种因素引发病毒，网络安全意识亟待提高

(1)从主观因素考虑，主要是由于部分用户缺乏安全上网意识。要么电脑上没有安装杀毒软件或安装过期的杀毒软件，要么就是不对操作系统升级，在网上下载东西的时候没有注意，访问不安全的网站等。这是诱发计算机病毒的一个重要原因。(2)从客观上来讲，病毒防御系统技术的提升跟不上计算机病毒技术的变化。防御病毒系统功能因多方面原因，未能及时换代，可终端结点不够，使得个别终端结点不能对操作系统进行升级。(3)政府部门的工作人员，有些由于计算机基础知识薄弱，对计算机的认识仅仅限于使用水平，没有较强的计算机操作能力和病毒文件识别能力，遇到病毒时处理迟缓等。

3、保障措施

为确保哈经区计算机网络的安全有效运行，区委会信息中心先后从是三个不同的方面采取了措施来确保全委计算机网络的正常运行和安全，首先是重新改造和划分VLAN，通过在使用中发现的问题进行分析改造，以楼层为单位进行划分的原则，对整个局域网的布局进行重新的划分，划分成为不同的VLAN。这种划分，有效的限制了病毒传播的范围，减小了病毒传播危害的区域。解决了以往一旦一台计算机受到病毒感染整个局域网都瘫痪的问题。其次是加强网络安全检查机制。定期派技术人员对对客户端软件安全情况进行跟踪监控，及时发现客户端安装的软件，对与业务工作无关的游戏、盗版软件能做到“三及时”，即及时跟踪、及时发现、及时控制。最后是对工作人员进行网络安全培训和教育，从思想上和习惯上加强工作人员的防毒杀毒意识。

基于上述分析，从整个网络系统安全的整体考虑，要想实现整个网络体系防病毒体系的真正安全，必须要从技术和管理两个方面抓起，通过行政决策和远期效应的科学统一。

3.1利用软件技术，构建病毒防御体系

如何灵活运用软件技术是确保计算机网络安全所面临的一个重要课题，要实现“层层设防、集中控管、以防为主、防杀结合”的目标，构建局域网病毒立体防御体系，通过实施的防毒策略，实现对内网全方位、多层次的立体病毒防护，为系统和数据安全提供强有力的保证。建设的主要内容包括：防病毒体系的构建必须把整个网器、防病毒工作站等硬件设备的多层次防御，纵向上构建基于单机用户，横向上基于网络整体。病毒防护软件必须具有网络建设基于系统防病毒、邮件防病毒版的概念，即拥有防病毒控制中心和客户端自动防用系统的全方位保护，用户提供一个覆盖面广、操作简便、集防毒、查毒、杀毒于一身的立体病毒防御体系。

3.2从管理措施和制度上确保计算机网络的安全

如何进一步加强和提高工作人员的安全使用计算机意识是管委会的一个重要工作。通过构建立体化的计算机病毒防御体系，可以实现在软件和硬件层次上计算机网络的安全。在次基础上，要加大信息安全的宣传和教育力度，定期对工作人员进行专业培训，通过普及计算机基础知识，强化计算机安全意识，强化杀毒方面的技能的培训工作来确保网络安全和防病毒体系的建立。

第8篇：构建网络安全体系范文

【关键词】思科设备；网络一体化安全体系

目前社会已经进入信息时代，互联网在全球范围内得到广泛的应用，具有很强的开放性和传播性，为黑客的非法入侵提供了条件，对企业的网络带来了越来越多的安全隐患。企业应该利用先进的网络技术和设备，特别是思科设备，构建网络一体化安全体系，为企业的网络安全提供技术支撑。

一、企业面临的网络安全隐患分析

在企业的网络体系中，造成安全隐患的因素一般都是外界的非法入侵和攻击，但是其风险归根到底还在于企业的网络安全体系存在漏洞，为攻击者提供了机会，而且企业的管理人员对网络安全重视不足，目前企业面临的网络安全隐患具体包括以下几点：

（一）系统漏洞隐患

网络上产生的病毒和黑客的侵入都是通过网络协议实现的，网络协议对安全技术要求较少，所以攻击者便有机会入侵企业网络系统。目前我国大部分企业的网络系统都是基于IP协议建设的，设置较为简单，没有重视网络安全，黑客很容易通过该协议找到系统漏洞，对企业的整个网络系统造成威胁，破坏了系统的稳定性和可靠性。而且近年来针对系统漏洞的病毒多种多样，企业很难对其进行把控。企业必须加强对网络系统的防御，升级网络设备，采用具有防病毒功能的设备，降低非法入侵的风险。

（二）网络拥堵

造成网络拥堵的原因是企业网络系统的用户对网络资源的需求远远大于网络系统的固有容量，形成了持续的网络过载状况。基于互联网体系的网络资源共享中，如果没有对资源的使用进行请求许可设置，多个IP分组同时到达一个路由器，并经同一输出端口转发，就会发现网络拥堵现象。所以，必须利用先进的新型路由器设备，提高路由器端口的传输速度，有效缓解网络拥堵现象。

（三）网络安全知识缺乏

基层企业员工的网络安全知识十分匮乏，网络安全意识较低，导致个人信息和企业机密的泄漏，如果被不法分子利用，就会对企业造成巨大危害，十分不利于企业的竞争和发展。企业要增强员工的网络安全知识，让员工管理好自己的登录密码，对自己的文件资料负责，设置访问权限，在于互联网信息链接时，确保没有受到病毒或木马的攻击，运行安全的程序和软件，在获取互联网资源时时刻保持高度警惕，防止病毒入侵，加强对防病毒软件的使用。

（四）网络安全管理体系不健全

目前我国大部分企业都没有建立完善的网络安全管理体系，缺乏强制的网络安全管理制度。保证企业的网络系统运行安全和企业机密不被窃取，除了加大对网络系统的建设投入，更新网络设备之外，还需要加强对网络安全的管理。企业要制定规范的网络安全管理制度，加强对企业网络系统使用和安全管理的培训，将技术手段与管理手段相结合，为企业构建安全稳定的网络环境提供制度保障。

二、基于思科设备的网络一体化安全体系的构建

思科设备是世界先进的网络专业设备，能够针对企业的网络安全隐患，构建一体化的安全体系，为企业网络安全困境提供良好的解决方案。具体措施包括以下几个方面：

（一）完整的网络安全架构

思科设备在网络产品方面具有雄厚的技术积累和实践应用，能够构建一个完整的网络安全架构，并能针对企业网络系统的特性和实际运用状况对其进行划分，将企业网络系统细分为便于分析的不同模块。首先，将原先复杂的企业网络系统架构分为紧密联系的部分，包括企业园区网、企业边缘和服务供应商边缘，这是新的网络架构的基本层次，在这个层次的基础之上，又将这三大块进一步细分为若干功能模块，这些特定的功能模块有其具体的功能和安全需求。例如，可以将企业园区网进一步细化，分为核心模块、构建模块、管理模块、服务器模块和边缘模块，每个模块都有自己特定的目标和功能。其中核心模块能够将企业的信息迅速从一个网络传输至另一个网络空间，并能进行信息数据的交换，其安全功能是对分组窃听风险的有效缓解；管理模块保证企业网络安全系统和网络主机及设备的安全运行，对网络安全进行管理，能够利用防火墙有效阻止未经企业授权的访问，减少数据穿过网络时可能受到的攻击，同时能够降低电子欺诈、分组窃听和窃取信任关系进行攻击的频率；构建模块可以对构建交换机提供不同层次的服务，对路由器的访问和交换机的服务质量进行控制，该模块能够对未授权的访问进行三层过滤，并能过滤电子欺诈，对分组窃听进行限制，从而实现安全功能。

（二）制定完善的网络安全方案和策略

利用思科设备和技术，企业要制定旨在创造网络安全环境的网络安全计划，提出具体有效的网络安全方案和策略，为构建一体化的网络安全体系提供保障。其中包括以下两个方面：

1.路由器安全策略

路由器的企业网络系统的核心组成部分，路由器的配置对网络的安全运行具有很大影响，所以只能容许经过授权的主机登录路由器。要对路由器进行全局配置，设置标准的访问控制程序，并将其应用到所有虚接口上，确保授权主机的远程登录且能够对路由器配置进行修改和完善。

2.交换机安全策略

首先，要为交换机配置私有的IP地址，阻止非本企业的主机对交换机的访问。同时，将企业内部所有的交换机放在同一个虚拟网之中；其次，对允许访问交换机的主机进行配置，即只允许企业内特定的主机对交换机所在的虚拟网进行访问，而企业其他的主机也不能访问虚拟网和交换机；再次，对允许远程登录交换机的主机进行配置，限制允许访问的主机远程登录交换机，而且只有经过企业授权的主机才能对配置的参数进行修改，在对交换机进行全局配置之后，设置标准的访问程序。

总结：

综上所述，掌握世界先进技术的思科设备，能够为企业的网络安全提供保障，促进企业一体化网络安全体系的构建。企业的管理人员和网络技术人员还需要对维护企业网络安全的技术和措施加以进一步研究和探索，为企业的网络的安全和稳定运行提供支持，保证企业内部信息和机密的安全，以促进企业的全面发展。

参考文献：

第9篇：构建网络安全体系范文

对局域网网络系统系统安全因素进行分析，需要达到网络系统安全就必须实现这些目标：建立网络安全与网络管理策略，并不断完善严格执行；建立有效的隔离内网、公开服务器以及外部网络的方案，要尽量避免与外部网络数据进行直接交换；涉及到网络体系中的主机与服务器，要有针对性构建安全保护措施，并根据实际的需要进行完善，最大限度保障系统能够安全稳定的运行；网络中相关服务请求要进行严格的过滤，针对一些较为危险的请求服务必须及时拒绝，以求保障在其达到目标主机之前成功被拦截；关于合法用户的访问与认证要提升管理力度，配置最低限度的用户访问权限；对公开服务器进行监管，对各种不安全的操作或者一些不法攻击等等要及时的进行回应；另外，局域网审计工作也比较重要，网络中必然有各种各样的访问，需要详细的做好记录，构建完整的系统日志；建立备份与灾难恢复应急机制，最大限度保障系统能够在最短的时间内恢复到正常运行。

2构建局域网网络安全体系架构

2.1构建网络防火墙

网络防火墙（firewall）其配置的方式有以下几种：Screeningrouter主要为bastionhost提供最大限度的支持与保护，将进入的相关所有数据传送给bastionhost，并bastionhost决定所有发送的数据。整个结构对Screeningrouter和bastionhost依赖是非常严重的，由此可见，其中一个环节若是出现了问题，那么将导致整个网络没有安全性可言。此种方式的结构比较简单，并且所涉及到的成本也比较低，其优势不言而喻。在两个网络中间进行放置，但是因为没有将网络安全的自我防卫能力添加，因此，会常常成为网络黑客长期攻击的目标，一旦被攻击失守，整个网络也将瘫痪。在外部网络，以及用户单位内网之间构建隔离设施，形成DMZ隔离区。其中包含了两个bastionhost与两个Screeningrouter，将bastionhost放在隔离区内部。此种方式，配置了两个安全单元，因此，整个结构的安全性比较高，一般在企业与事业单位局域网配置比较普遍。

2.2设置虚拟局域网

虚拟局域网，即VLAN（VirtualLocalAreaNetwork）。众所周知，VLAN是当前使用十分普遍而且得到深入研究与广泛推广的新兴技术。从逻辑方式上将局域网LAN的设备划分成若干网段，其目的是要充分实现虚拟工作组之间的数据成功交换。由于虚拟局域网的出现，整个网络结构也更加灵活，更加方便快捷。VLAN不需要重视网络地理位置，任何一处都可以将其划分成一个逻辑网子。划分虚拟局域网的过程中要注意以下几点问题：通常大型网络环境下必然存在非常多的广播信息，产生信息堵塞的情况时有发生，广播风暴也就这样形成了。局域网设计阶段，需要重视这方面的问题，充分利用VIAN技术将一个逻辑区域划分出来，但是广播信息又不会从逻辑区域跳出而进行传播，通过这种方式将广播进行隔离，缩小了广播的范围，也就一定程度降低了广播风暴形成的几率。基于网络安全体系设计，在VLAN划分的逻辑区域之间不能直接进行通信，其必然的选择应该是由路由进行转发，这种设计方式能设计出更高级的网络安全控制，网络安全运行也得到了一定的保障。企业与事业单位中的局域网，机构就比较多，相同的机构人员的办公地点也比较分散，其物理位置不一样，这样便能将工作有关联的人员通过VLAN划分在相同的逻辑子网内，另外，网络管理人员需要给同一个部门的人员进行用户访问权限设置，这类访问权限可以是相同的，这样便能让网络管理更加直观、方便、安全，局域网网络性能也得到了一定限度的提升。

2.3防病毒

局域网网络病毒防范是非常重要的环节，可以采用网络版本的防病毒软件，对局域网网络防范病毒的方案进行统一的策划与执行。保障整个网络集中进行管理，实现全自动安装智能化，及时得到自动升级，有病毒的情况下能及时通告，审计信息实时获取并报警，让局域网管理更加方便。若要实现隔离，可以在互联网与局域网之间设置中间机，广大网络用户即使需要通过因特网下载或者上传文件时，必须要经过中间机进行病毒的扫描以及恶意代码程序的监控，整个监管过程顺利通过之后，才会让广大用户继续下载使用。

3结语