基于某企业的网络安全策略精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的基于某企业的网络安全策略主题范文，仅供参考，欢迎阅读并收藏。

第1篇：基于某企业的网络安全策略范文

电力企业的信息安全不仅影响着其自身的网络信息的化建设进程，也关系着电力生产系统的安全、稳定、经济、优质运行。所以，强化信息网络安全管理，确保电力信息网络的安全性，保证业务操作平台能够稳定、可靠的运行是电力安全工作中的一项核心任务。

1.电力信息网络安全体系

信息网络安全指的是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露信息安全应该实行分层保护措施.有以下五个方面：①物理层面安全，环境安全，设备安全，介质安全；②网络层面安全，网络运行安全，网络传输安全，网络边界安全；③系统层面安全，操作系统安全，数据库管理系统安全；④应用层面安全，办公系统安全，业务系统安全，服务系统安全；⑤管理层面安全，安全管理制度，部门与人员的组织规则。

2.电力信息网络安全存在的问题

2.1 系统漏洞。电力企业使用的都是微软所开发的Windows操作系统。由于一个计算机操作系统过于庞大、复杂，所以它不可能第一次性地发现并解决所有存在的各种漏洞和安全问题，这需要在我们的使用当中不断地被完善。但是，据一些消息称，微软公司对于漏洞信息披露的反应时间为1～2周。但是在这段时间内，这些长久存在或是刚被披露的漏洞很可能被一些居心不良的人所利用，造成对企业信息网络安全的威胁。

2.2 黑客的恶意攻击。如今，社会当中的部分人也拥有了较强的计算机网络操作、控制能力。他们有的出于兴趣爱好、有的出于金钱指使，而对其他网络系统发起恶意的攻击、破坏，以满足自身的各种成就感。在这些攻击行为当中，一部分是主动的进行系统破坏或是更改、删除重要的信息，另一部分是被动的进行监听，窃取电力企业内部网络交流信息，导致信息外泄。

2.3 网络硬件系统不牢固。网络硬件系统不牢固是一个普遍性的问题。尽管互联网的硬件系统已经具有了较高的稳定性和安全性，但其仍然存在的脆弱性也不可忽视，比如雷电所引发的硬件故障，各种传输过程当中受其他因素影响所出现的信息失真等。

2.4 员工的信息网络安全意识不健全。在如今的电力企业当中，许多员工多信息网络的安全意识还不健全。比如用户安全意识不强，系统登录口令过于简单，或是将账户及密码借给他人使用，盲目地进行资源信息共享，这些带全安全威胁性的操作都可能会对企业的信息网络安全带来隐患。还有的员工长时间占用网络，大量消耗了网络资源，增加了企业的网络通信负担，导致企业内部的通信与生产效率较低。更有甚者由于浏览网页或是使用U盘，导致了一些木马、病毒被下载到了计算机系统当中，造成各式各样的网络通信故障。

3.电力信息网络安全策略

3.1设备安全策略

3.1.1 建立配套的绩效管理机制，以促进信息安全运维人员树立良好意识，提高自身信息网络管理能力。

3.1.2 建立电网信息安全事故应急处理预案，例如“突况下某某大楼信息系统应急处理预案”，预案所要求的各项信息设备必须作为信息安全重要物资交由信息应急指挥人员保管，相关信息运维人员必须在信息事故发生的第一时间到岗到位、信息预案操作流程必须准确到位，各应急单位要定期进行应急演练，保证在发生信息安全事故之时队伍能够拉得出、打得赢。

3.1.3 运用国家电网公司统一的标准化信息安全管理模式，规范日常网络处理流程，严格控制网络接入程序，对新进网络施行过程化管理，例如：申请入网人员必须填写“某公司入网申请单”，并对操作人员严格施行信息网络处理“两票三制”管理，即：操作票、工作票、交接班制、巡回检查制、设备定期试验轮换制，从制度上保证信息网络安全管理。

3.1.4 成立网络信息安全组织机构，例如：成立某公司信息安全领导小组，小组成员包括：公司领导层人员、信息安全管理层人员、信息安全网络技术实施保障人员等，并对各人员工作职责提出具体要求，尤其是必须明确技术实施保障人员的工作要求。

3.2安全技术策略

3.2.1 使用VPN（虚拟隧道）技术。按业务分别建立对应的三层VPN，各VLAN段建立符合实际要求的网络访问控制列表，将网络按部门（楼层）进行分段，对各段网络配置对应的访问控制，设置高强度的网络登录密码，保证网络的安全性。

3.2.2 安全审计技术。随着系统规模的扩展与安全设施的完善，应该引入集中智能的安全审计系统，通过技术手段，实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计。及时自动分析系统安全事件，实现系统安全运行管理。

3.2.3 病毒防护技术。为免受病毒造成的损失，要采用的多层防病毒体系。即在每台PC机上安装防病毒软件客户端，在服务器上安装基于服务器的防病毒软件，在网关上安装基于网父的防病毒软件，必须在信息系统的各个环节采用全网全面的防病毒策略，在计算机病毒预防、检测和病毒库的升级分发等环节统一管理。

3.2.4防火墙技术。防火墙是用于将信任网络与非信任网络隔离的一种技术。它通过单一集中的安全检查点，强制实操相应的安全策略进行检查，防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间，信息的共享、整合与调用，都需要在不同网段之间对这些访问行为进行过滤和控制，阻断攻击破坏行为，分权限合理享用信息资源。

3.2.5 拟局域网技术（VLAN技术）。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有相同的属性。由于它是逻辑而不是物理划分，所以同一个LAN内的各工作站无须放置在同一物理空LAN里，但这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。

4.结束语

电力企业网络安全包括系统结构本身的安全及桌面终端设备信息安全，所以利用结构化的观点和方法来看待电力企业信息网络安全系统。基于网络的特殊性，有关供电系统数据网的安全问题不容忽视，要保障其网络的安全可靠运行，不能仅仅依靠防火墙等单个的系统，而需要仔细考虑系统的安全需求，并将各种安全技术结合在一起，方能生成一个高效、通用、安全的网络系统。

参考文献

[1] 杨晶.论计算机网络安全问题及防范措施[J].科技创新导报.2011.

[2] 侯康.浅谈电力调度数据网及其维护[J].科技信息.2011.

作者简介

第2篇：基于某企业的网络安全策略范文

近日，Check Point了《2013年信息安全报告》（以下简称《报告》）。《报告》指出，63%的企业被僵尸网络感染；54%的企业曾发生数据泄露；43%的企业中存在匿名软件；36%的金融组织存在信用卡信息泄露；16%的卫生保健和保险组织中存在受《HIPAA隐私规定》保护的个人健康数据被泄露现象……安全形势不容乐观。

安全威胁不胜枚举

僵尸网络被认为是当前网络安全最主要的威胁之一。Check Point中国区大客户总监李若怡在接受《中国计算机报》记者专访时表示，Check Point调查发现，僵尸计算机与其指挥和控制中心平均每隔21分钟通信一次，报告其感染的新主机、存货信息以及从主机系统搜集的数据。她还指出，僵尸网络的黑色产业链已经形成。

企业面临的安全威胁远不止僵尸网络，还包括病毒、蠕虫、间谍软件、广告软件、木马等。《报告》指出，75%受访企业有主机访问过恶意网络，50%的企业中有5台主机访问过恶意网站。“每隔23分钟，就有一台主机访问恶意网站，53%的企业中有员工通过公司网络下载恶意软件。”李若怡称，“令人担忧的是，23%的主机并没有每天更新反病毒库，而14%的主机甚至根本没有运行反病毒软件，导致企业处在恶意软件的威胁下。”

此外，Web 2.0应用程序的快速增长，也为犯罪分子提供了大好的犯罪机会。《报告》指出，91%的企业中存在不安全的应用程序，包括匿名软件、P2P应用程序和共享程序、社交网络应用等。黑客既能够利用应用程序的漏洞攻击企业网络，也可以通过获取用户权限和账户信息来获取利益，亦或是通过匿名软件来隐藏犯罪活动。

量体裁衣 建立多层防御

建立多层防御的安全策略是每个企业都必须面对的头等大事。只有这样，企业才能提升信息化的“正能量”。

要建立多层防御的安全策略，IT人员首先要清晰地了解企业的网络安全状况，包括安全事件和安全趋势。“这份《报告》的数据来源包括三个方面：Check Point安全云、Check Point 3D安全报告和遍布于全球各地电信运营商的传感器网络，涵盖了政府、金融、电信、工业和交通等重点行业。”李若怡认为，通过对这些数据的分析，企业能够了解网络安全的薄弱点。

第3篇：基于某企业的网络安全策略范文

得尤其重要，因此不论在局域网还是在广域网中，网络的安全措施能全方位地应对各种不同的威胁和脆弱性，能确保网络信息的保密性、完整性和可用性。

关键词 网络安全局域网安全策略

如何在安全的计算机网络环境下办公成为计算机网络技术的一

个重要领域，尤其是局域网安全问题，现在的企事业单位都有自己的局域网，企事业单位的核心数据也在局域网上，核心数据关系着企事业单位的生死存亡，一旦出现问题后果不堪设想，该文从局域网安全管理出发提出了基于局域网安全的策略。

1、局域网安全方案设计

安全策略包括两个部分：一个总的策略和具体的规则策略用于阐明企业安全政策的总体思想，而具体规则用于说明什么活动是被允许的，什么活动是被禁止的。网络的完全安全是不可能的，但是，我们却可以根据威胁网络安全的源头不同，及时调整网络安全策略，所以总的说来，网络安全方案设计的原则就是因时而变。

2、局域网安全机制

2.1物理隔离

常见的各种安全保护方式是安装防火墙，入侵检测系统、网络安全管理软件等安全软件，但是这类的“软”保护具有不确定性，谁也不能保证这些软件中没有后门、没有错误，而被黑客利用攻入内部系统。最安全的办法，就是让局域网内部重要的数据和外部的互联网没有物理的连接，把用户可以上网的信息和不可以上网的信息隔离开来，让黑客无机可乘。

目前，物理隔离的实现模型，一般是包括客户端选择设备和网

络选择器，用户通过开关设备，或通过键盘选择，控制客户端选择不同的存储介质，在需要的情况下，网络选择端还要同时进行相应的网络连接跳转。现在的物理隔离产品，主要采用基于单网线的安全隔离卡技术加上网络选择器方法，即客户端依然采用类似第二代双网线安全隔离卡的技术。

2.2远程访问控制

对于远程拨号用户，已经配置了用户身份认证服务器。在技术

上有一定的安全保障。另外还可以从自身条件优势上考虑，由于都

同属一个电话局，这样就可以在电话局的程控交换机上控制，只允

许内部的电话号码访问本地的网络。同时对于拨号用户采用动态地

址分配，并对所有在用的机器MAC地址进行注册，采用IP地址与

MAC地址的动态绑定。

2.3 防火墙

在原理上，防火墙更像是物理隔离的软件实现手段。由于要与

互联网连接，所以防火墙是必不可少的。防火墙规则动态的修改在

大型网络中已经是必不可少的了。

2. 4防病毒

防病毒基本上可以分为单机版和网络版。选择单机版和网络版要权衡代价和效率的关系。如果全部选用网络版那么造价很高，而且网络版的安装也相对复杂，势必要牵扯大量的人力。所以如果要节约费用，建议安装单机版防毒软件。而如果要求更高的安全性，并且局域网频繁的与Internet交换数据，被病毒感染的机会很高，所以病毒代码的更新也要求较高，建议采用网络版的防毒软件。

3加强局域网安全的管理对策

3.1及时修补漏洞

要及时更新系统、数据库等漏洞补丁。漏洞已成为病毒、木马以及黑客进行攻击的主要途径，可以通过360安全卫士来检查系统的漏洞并打上补丁，一些防火墙软件也具有检查系统的漏洞的功能，做到定期检查和更新。

3.2关闭系统默认共享以及其它目录共享

默认共享是局域网里存在的一个安全隐患，很多病毒和黑客利用系统的默认共享进行传播和攻击的，威金蠕虫和Funlove病毒等都是利用局域网里的共享进行传播的，所以要关闭默认共享。如果业务需

要共享数据，那么要将共享方式设为只读或将共享目录隐藏，在共享

名后加上“$”符号即可隐藏共享资源。最好是建立文件服务器、存

储设备或局域网邮件系统来收发文件，这样可以大大地降低局域网中

受攻击和感染的风险。

3.3关闭危险的系统服务

有的系统服务的启用不仅会占用系统资源，而且还会对我们的系

统带来严重的安全隐患，为黑客和病毒开启了方便之门，在不需要这

些服务的情况下可以关闭。

4、加强局域网安全的技术策略

4.1基于Internet的防火墙安全策略

典型的局域网要通过路由器来实现内部和外部信息的通讯，两者之间的数据流控制是计算机网络安全的关键。如何保证外部合法数据进入到局域网及局域网内部核心，数据安全将由防火墙(firewall)来实现。防火是由软件、硬件构成的系统，用来在两个网络之间实施接入控制策略。防火墙内的网络称为可信赖的网络(trusted network)，而将外部的因特网称为不可信赖的网络(untrusted network)。防火墙可用来解决内联网和外联网的安全问题。

防火墙系统的主要目标是对进出所有数据进行分析，并对用户进行认证，从而防止有害信息进入受保护的网络系统，为网络提供安全保障，可以用硬件或软件实现，也可以是两者的结合。主要功能包括：安全警报；重新部署网络地址转换(NAT)；监视Internet的使用；防火墙也是审查和记录内部人员对Internet使用的一个最佳位置， 可以在此对内部访问Internet的情况进行记录，向外信息；防火墙除了起到安全屏障作用外，也是部署www服务器和FTP服务器的理想位置；允许Internet访问上述服务器，而禁止对内部受保护的其他系统进行访问。

4.2VLAN技术安全策略

VLAN又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。 一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。

4.3捆绑技术安全策略

l) IP与MAC地址捆绑技术安全策略

在实际的局域网安全管理中会经常出现IP地址被盗用的现象，这不仅对计算机网络的正常使用造成影响，同时也会由于被盗用的地

址往往具有较高的权限而对企业单位造成了大量的经济上的损失和

潜在的安全隐患。为了防止IP地址被盗用，可采用ARP来实现IP

地址与网卡MAC地址捆绑技术安全策略。

2)端口与MAC地址捆绑技术安全策略

在实际的局域网安全管理中会经常出现端口被盗用，即外来非法计算机利用局域网空闲端口连上局域网，盗用企业单位核心数据的情况，对企业单位造成了大量的经济上的损失和潜在的安全隐患。为了防止端口被盗用，可采用端口与MAC地址捆绑技术安全策略。

当然，为了防止这种攻击，我们也可以采用Socket编程技术，但是对于计算机网络管理人员计算机的水平要求较高。Socket是一

种计算机网络应用层与TCP／IP协议族通信的中间软件抽象层，它

是一组接口(Interface)。在设计模式中把复杂的TCP/IP协议族隐藏在Socket接口后面，让Socket去组织数据是符合指定的协议。

服务器端先初始化Socket然后与端口绑定(bind)，对端口进行监听(listen)，调用accept阻塞，等待客户端连接，客户端初始化一个Socket，然后连接服务器(connect)，如果连接成功，这时客户端与服务器端的连接就建立了。客户端发送数据请求，服务器端接收请求并处理请求，然后把回应数据发送给客户端，客户端读取数据，最后关闭连接，一次交互结束。

4.4生物识别技术安全策略

局域网身份识别目前主要有如下三种方式：①“用户名+口令”模式，用已知道的信息来证明识别身份；②用密码卡、智能卡等拥有的物品来证明识别身份；③用人类独一无二、不可复制的生物特征来证明身份，如指纹识别、虹膜识别等。很显然，前两种方式很难实现安全、可靠的身份识别，而生物特征识别技术它能杜绝易丢、易破解的现象，不存在记忆密码、丢失密码及受损的风险，是目前局域网安全技术策略首选的技术方案。生物特征识别技术可用于硬件设备使用的身份识别，只有合法的生物特征的人才能进入；计算机开机识别，只有合法的人才能开机，只有合法的人才能进入某一软件系统，获得软件的使用权等。

5.结束语

计算机网络在给我们工作方便的同时也带来了安全问题，在安全

的计算机网络环境下方便使用计算机网络已成为社会发展的必然趋势，局域网更是如此。本文基于局域网安全策略的研究，对于局域网

安全方面的问题提供了一些解决思路。局域网安全光有局域网安全技

术保障是不够的，还要用制度管理好人，也就是说局域网安全技术策

第4篇：基于某企业的网络安全策略范文

关键词:防火墙;校园网;互联网

中图分类号: TD39

文献标识码: A

文章编号:1005-569X(2009)06-0099-02

1 引言

目前,黑客入侵与病毒发作事件在全球范围内不断增加。由于网络应用的迅速发展,除以往熟知的病毒、垃圾邮,以及黑客恶意攻击、网络钓鱼之外,也有来自企业内部的安全隐患等,这些问题困扰着每一个企业。网络安全已经成为越来越多使用网络的公司、个人需要考虑的问题,越来越多的企业将网络的安全看作确保企业盈利能力的一项重要因素。

2 防火墙基础简介

2.1网络安全问题

传统的边界安全设备――防火墙,成为整体安全策略中不可缺少的重要模块。目前的防火墙产品的用户主要是企业用户。互联网已经改变了人们工作、联络、协作交流以及买卖的方式。网络的安全程度究竟如何?这是许多IT管理人员每天都会考虑的问题。可以想象,防火墙的应用也越来越普及,这个普及不仅面向各个公司、企业,也深入到家庭、个人,深入到每个网络节点、终端。

2.2防火墙概述

2.2.1防火墙的作用

防火墙从本质上说是一些设备,是外部网络访问内部网络的控制设备。它是用来保护内部的数据、资源和用户信息的工具,可以防止Internet上的危险(病毒、资源盗用等)传播到网络内部。这样的设备通常是单独的计算机、路由器或防火墙盒(专用硬件设备)。它们充当访问网络的惟一入口点,并且判断是否接收某个连接请求,只有来自授权主机的连接请求才会被处理,而剩于的连接请求将被丢弃。

通常,防火墙被安装在受保护的内部网络与Internet的连接点上。被保护的网络属于内部网络,所防止的网络是不可信的外部网。保护网络包括阻止非法授权用户访问敏感数据的同时,允许合法用户无障碍地访问网络资源,如防火墙能够确保电子邮件、文件传输、远程登录或在特定系统间信息交换的安全。

总之,从网络安全的角度来考虑,防火墙是两个网络之间的成分集合,它们的合作应具有的性质是:从里向外或外向里的流量都必须通过防火墙;只有符合本地安全策略放行流量才能通过防火墙;防火墙本身是不能穿透的。

2.2.2设置防火墙的必要性

(1)集中化的安全管理,强化安全策略。由于Internet上每天都有上百万人在收集信息和交换信息,不可避免地会出现个别品德不良、违反规则的人,防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。

(2)网络使用进行统计。因为防火墙是所有进出信息必须的通路,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。作为访问的惟一点,防火墙能在被保护的网络和外部网络之间进行记录,对网络存取访问进行统计。

(3)保护那些易受攻击的服务。防火墙能够用来隔开网络中一个网段与另一个网段的连接。这样,能够防止影响一个网段的问题通过整个网络传播。

(4)实施安全策略。防火墙是一个安全策略的检查站,控制对特殊站点的访问。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝。

(5)增强保密性。用来屏蔽有关网站系统的DNS信息。因此,网站系统名字和IP地址都不要提供到Internet上。

3 防火墙在校园网中的应用

3.1校园网简介

随着因特网的发展,校园网已迅速的普及,不可避免的出现校园网的安全性问题,防火墙在校园网中也得到广泛的应用。某所学校建立一校园网,校园网主要是给在校师生提供服务。其主要架构是:Internet网首先接入到华为交换机2403,然后通过Juniper NetScreen防火墙连入到Cisco路由器,最后分布到校园本部以及分校,同时连接Web与邮件两服务器。在此校园网中日用户访问量最高峰达到几十万个连接,总出口300M,提供游戏、电影、课件下载,以及bbs论坛、Web访问等服务。通过一台Juniper NetScreen防火墙提供防护。

3.2防火墙的设置

要求Juniper NetScreen防火墙能够实现的功能:①工作在防火墙透明模式;②实现MIP功能;③启用IPSec VPN。

3.2.1防火墙透明模式配置

学校要求防火墙工作在透明模式下。当Juniper NetScreen防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改IP数据包中任何信息。透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用模式有以下优点:

(1)不需要修改现有网络规划及配置。

(2)不需要实施地址翻译。

(3)可以允许动态路由协议、Vlan trunking的数据包通过。

3.2.2MIP功能的配置

为了实现互联网用户访问对外提供网络服务的服务器(服务器使用私有IP地址),可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。

3.2.3IPSec VPN配置

学校要求防火墙支持IPSec VPN,应用站点间(Site-to Site)的VPN,创建的站点两端都具备静态IP公网地址。

当创建站点两端都具备静态IP的VPN应用中,位于两端的防火墙上的VIP配置基本相同,不同之处是在VPNgateway部分的VPN网关指向IP不同,其它部分相同。

4 结语

防火墙与IDS 结合是将动态安全技术的实时、快速、自适应的特点变成静态技术的有效补充, 将静态技术的包过滤、信任检查、访问控制成为动态技术的有力保障。二者结合使用可以很好的将对方的弱点淡化, 而将自己的优点补充上去, 使防御系统成为一个更加坚固的围墙。在未来的网络安全技术领域中, 将动态技术与静态技术的互动使用, 将有很大的发展市场和空间。

参考文献:

[1] 张兴东, 胡华平, 况晓辉, 等.防火墙与入侵检测系统联动的研究与实现[ J] .计算机工程与科学,2004,26(4).

[2] 高光勇, 迟乐军, 王艳春.联动防火墙的主机入侵检测系统的研究[J].微计算机信息,2005,21(7).

第5篇：基于某企业的网络安全策略范文

    关键词:网络 安全策略 数据 访问

    0 引言

    随着我国经济与科技的不断发展,企业数字化管理作为为网络时代的产物,已经成为企业管理发展的方向。随着各企业内部网络规模的急剧膨胀,网络用户的快速增长,企业内部网安全问题已经成为当前各企业网络建设中不可忽视的首要问题。

    1 目前企业内部网络的安全现状

    1.1 操作系统的安全问题 目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS 和Linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。

    1.2 病毒的破坏 计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响企业内部网络安全的主要因素。

    1.3 黑客 在《中华人民共和国公共安全行业标准》中,黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、JAVA炸弹等。

    1.4 口令入侵 为管理方便,一般来说,企业为每个上网的领导和工人分配一个账号,并根据其应用范围,分配相应的权限。某些人员为了访问不属于自己应该访问的内容,用不正常的手段窃取别人的口令,造成了企业管理的混乱及企业重要文件的外流。

    1.5 非正常途径访问或内部破坏 在企业中,有人为了报复而销毁或篡改人事档案记录;有人改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据。这些安全隐患都严重地破坏了学校的管理秩序。

    1.6 设备受损 设备破坏主要是指对网络硬件设备的破坏。企业内部网络涉及的设备分布在整个企业内,管理起来非常困难,任何安置在不能上锁的地方的设施,都有可能被人有意或无意地损坏,这样会造成企业内部网络全部或部分瘫痪的严重后果。

    1.7 敏感服务器使用的受限 由于财务等敏感服务器上存有大量重要数据库和文件,因担心安全性问题,不得不与企业内部网络物理隔离,使得应用软件不能发挥真正的作用。

    1.8 技术之外的问题 企业内部网是一个比较特殊的网络环境。随着企业内部网络规模的扩大,目前,大多数企业基本实现了科室办公上网。由于上网地点的扩大,使得网络监管更是难上加难。由于企业中部分员工对网络知识很感兴趣,而且具有相当高的专业知识水平,有的员工上学时所学的专业甚至就是网络安全,攻击企业内部网就成了他们表现才华,甚至是泄私愤的首选。其次,许多领导和员工的计算机网络安全意识薄弱、安全知识缺乏。企业的规章制度还不够完善,还不能够有效的规范和约束领导和员工的上网行为。

    2 企业内部网络安全策略

    安全策略是指一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。

    2.1 物理安全策略 保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:①环境安全。对系统所在环境的安全保护, 确保计算机系统有一个良好的电磁兼容工作环境。②设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。

    2.2 访问控制策略 访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。主要有以下七种方式:①入网访问控制。入网访问控制为网络访问提供了第一层访问控制, 它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。②网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。③目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。④属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。⑤网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。⑥网络监测和锁定控制。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。⑦网络端口和节点的安全控制。端口是虚拟的“门户”,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。

    2.3 防火墙控制策略 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用),用来限制外部非法(未经许可)用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。

    2.4 信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。信息加密过程是由各种加密算法来具体实施。多数情况下,信息加密是保证信息机密性的唯一方法。

    2.5 备份和镜像技术 用备份和镜像技术提高完整性。备份技术指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。

    2.6 网络安全管理规范 网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中,除采用技术措施之外,加强网络的安全管理,制定有关的规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入办公室管理制度; 制定网络系统的维护制度和应急措施等

    2.7 网络入侵检测技术 试图破坏信息系统的完整性、机密性、可信性的任何网络活动,都称为网络入侵。入侵检测(IntrusionDeteetion)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。它不仅检测来自外部的入侵行为,同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。

第6篇：基于某企业的网络安全策略范文

网络安全技术概述

常永亮

(飞行试验研究院测试所陕西西安710089)

【摘要】Internet是一种开放和标准的面向所有用户的技术，其资源通过网络共享，因此，资源共享和信息安全就成了一对矛盾。

【关键词】网络攻击、安全预防、风险分析、网络安全

1.引言

随着网络的迅速发展，网络的安全性显得非常重要，这是因为怀有恶意的攻击者窃取、修改网络上传输的信息，通过网络非法进入远程主机，获取储存在主机上的机密信息，或占用网络资源，阻止其他用户使用等。然而，网络作为开放的信息系统必然存在众多潜在的安全隐患，因此，网络安全技术作为一个独特的领域越来越受到全球网络建设者的关注。

一般来说，计算机系统本身的脆弱性和通信设施的脆弱性再加上网际协议的漏洞共同构成了网络的潜在威胁。随着无线互联网越来越普及的应用，互联网的安全性又很难在无线网上实施，因此，特别在构建内部网时，若忽略了无线设备的安全性则是一种重大失误。

2.网络攻击及其防护技术

计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护，不因偶然或恶意的原因遭到破坏、泄露，能确保网络连续可靠的运行。网络安全其实就是网络上的信息存储和传输安全。

网络的安全主要来自黑客和病毒攻击，各类攻击给网络造成的损失已越来越大了，有的损失对一些企业已是致命的，侥幸心里已经被提高防御取代，下面就攻击和防御作简要介绍。

2.1常见的攻击有以下几类：

2.1.1入侵系统攻击

此类攻击如果成功，将使你的系统上的资源被对方一览无遗，对方可以直接控制你的机器。

2.1.2缓冲区溢出攻击

程序员在编程时会用到一些不进行有效位检查的函数，可能导致黑客利用自编写程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，从而破坏程序的堆栈，使程序转而执行其它的指令，如果这些指令是放在有root权限的内存中，那么一旦这些指令得到了运行，黑客就以root权限控制了系统，这样系统的控制权就会被夺取，此类攻击在LINUX系统常发生。在Windows系统下用户权限本身设定不严谨，因此应比在LINUX系统下更易实现。

2.1.3欺骗类攻击

网络协议本身的一些缺陷可以被利用，使黑客可以对网络进行攻击，主要方式有：IP欺骗；ARP欺骗；DNS欺骗；Web欺骗；电子邮件欺骗；源路由欺骗；地址欺骗等。

2.1.4拒绝服务攻击

通过网络，也可使正在使用的计算机出现无响应、死机的现象，这就是拒绝服务攻击，简称DoS（DenialofService）。

分布式拒绝服务攻击采用了一种比较特别的体系结构，从许多分布的主机同时攻击一个目标，从而导致目标瘫痪，简称DDoS（DistributedDenialofService）。

2.1.5对防火墙的攻击

防火墙也是由软件和硬件组成的，在设计和实现上都不可避免地存在着缺陷，对防火墙的攻击方法也是多种多样的，如探测攻击技术、认证的攻击技术等。

2.1.6利用病毒攻击

病毒是黑客实施网络攻击的有效手段之一，它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性、针对性、衍生性、不可预见性和破坏性等特性，而且在网络中其危害更加可怕，目前可通过网络进行传播的病毒已有数万种，可通过注入技术进行破坏和攻击。

2.1.7木马程序攻击

特洛伊木马是一种直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。

2.1.8网络侦听

网络侦听为主机工作模式，主机能接受到本网段在同一条物理通道上传输的所有信息。只要使用网络监听工具，就可以轻易地截取所在网段的所有用户口令和帐号等有用的信息资料。

等等。现在的网络攻击手段可以说日新月异，随着计算机网络的发展，其开放性、共享性、互连程度扩大，网络的重要性和对社会的影响也越来越大。计算机和网络安全技术正变得越来越先进，操作系统对本身漏洞的更新补救越来越及时。现在企业更加注意企业内部网的安全，个人越来越注意自己计算机的安全。可以说：只要有计算机和网络的地方肯定是把网络安全放到第一位。

网络有其脆弱性，并会受到一些威胁。因而建立一个系统时进行风险分析就显得尤为重要了。风险分析的目的是通过合理的步骤，以防止所有对网络安全构成威胁的事件发生。因此，严密的网络安全风险分析是可靠和有效的安全防护措施制定的必要前提。网络风险分析在系统可行性分析阶段就应进行了。因为在这阶段实现安全控制要远比在网络系统运行后采取同样的控制要节约的多。即使认为当前的网络系统分析建立的十分完善，在建立安全防护时，风险分析还是会发现一些潜在的安全问题，从整体性、协同性方面构建一个信息安全的网络环境。可以说网络的安全问题是组织管理和决策。

2.2防御措施主要有以下几种

2.2.1防火墙

防火墙是建立在被保护网络与不可信网络之间的一道安全屏障，用于保护企业内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点，对进、出内部网络的服务和访问进行控制和审计。

2.2.2虚拟专用网

虚拟专用网（VPN）的实现技术和方式有很多，但是所有的VPN产品都应该保证通过公用网络平台传输数据的专用性和安全性。如在非面向连接的公用IP网络上建立一个隧道，利用加密技术对经过隧道传输的数据进行加密，以保证数据的私有性和安全性。此外，还需要防止非法用户对网络资源或私有信息的访问。

2.2.3虚拟局域网

选择虚拟局域网(VLAN)技术可从链路层实施网络安全。VLAN是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。该技术能有效地控制网络流量、防止广播风暴，还可利用MAC层的数据包过滤技术，对安全性要求高的VLAN端口实施MAC帧过滤。而且，即使黑客攻破某一虚拟子网，也无法得到整个网络的信息，但VLAN技术的局限在新的VLAN机制较好的解决了，这一新的VLAN就是专用虚拟局域网（PVLAN）技术。

2.2.4漏洞检测

漏洞检测就是对重要计算机系统或网络系统进行检查，发现其中存在的薄弱环节和所具有的攻击性特征。通常采用两种策略，即被动式策略和主动式策略。被动式策略基于主机检测，对系统中不合适的设置、口令以及其他同安全规则相背的对象进行检查；主动式策略基于网络检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。漏洞检测系统是防火墙的延伸，并能有效地结合其他网络安全产品的性能，保证计算机系统或网络系统的安全性和可靠性。

2.2.5入侵检测

入侵检测系统将网络上传输的数据实时捕获下来，检查是否有黑客入侵或可疑活动的发生，一旦发现有黑客入侵或可疑活动的发生，系统将做出实时报警响应。

2.2.6密码保护

加密措施是保护信息的最后防线，被公认为是保护信息传输唯一实用的方法。无论是对等还是不对等加密都是为了确保信息的真实和不被盗取应用，但随着计算机性能的飞速发展，破解部分公开算法的加密方法已变得越来越可能。因此，现在对加密算法的保密越来越重要，几个加密方法的协同应用会使信息保密性大大加强。

2.2.7安全策略

安全策略可以认为是一系列政策的集合，用来规范对组织资源的管理、保护以及分配，已达到最终安全的目的。安全策略的制定需要基于一些安全模型。

2.2.8网络管理员

网络管理员在防御网络攻击方面也是非常重要的，虽然在构建系统时一些防御措施已经通过各种测试，但上面无论哪一条防御措施都有其局限性，只有高素质的网络管理员和整个网络安全系统协同防御，才能起到最好的效果。

以上大概讲了几个网络安全的策略，网络安全基本要素是保密性、完整性和可用，但网络的安全威胁与网络的安全防护措施是交互出现的。不适当的网络安全防护，不仅可能不能减少网络的安全风险，浪费大量的资金，而且可能招致更大的安全威胁。一个好的安全网络应该是由主机系统、应用和服务、路由、网络、网络管理及管理制度等诸多因数决定的，但所有的防御措施对信息安全管理者提出了挑战，他们必须分析采用哪种产品能够适应长期的网络安全策略的要求，而且必须清楚何种策略能够保证网络具有足够的健壮性、互操作性并且能够容易地对其升级。

随着信息系统工程开发量越来越大，致使系统漏洞也成正比的增加，受到攻击的次数也在增多。相对滞后的补救次数和成本也在增加，黑客与反黑客的斗争已经成为一场没有结果的斗争。

3.结论

网络安全的管理与分析现已被提到前所未有的高度，现在IPv6已开始应用，它设计的时候充分研究了以前IPv4的各种问题，在安全性上得到了大大的提高，但并不是不存在安全问题了。在WindowsVista的开发过程中，安全被提到了一个前所未有的重视高度，但微软相关负责人还是表示，＂即使再安全的操作系统，安全问题也会一直存在＂。

总之，网络安全是一个综合性的课题，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，一种技术只能解决一方面的问题，而不是万能的。因此只有完备的系统开发过程、严密的网络安全风险分析、严谨的系统测试、综合的防御技术实施、严格的保密政策、明晰的安全策略以及高素质的网络管理人才等各方面的综合应用才能完好、实时地保证信息的完整性和正确性，为网络提供强大的安全服务——这也是网络安全领域的迫切需要。

参考文献

[1]《网络综合布线系统与施工技术》黎连业著

第7篇：基于某企业的网络安全策略范文

关键词：办公网络；安全策略；技术实现

0引言

计算机技术和信息技术快速发展背景下，以其独特的优势被广泛应用在现代办公中，促使现代办公方式不断改革深化，大大提升了办公效率和质量。由于办公并不需要不同职务之间的面对面交流，仅仅依靠网络即可实现通信，大范围的实现信息资源的传播和共享，可以有效降低信息传播时间。同时，办公领域得到了扩大，实现各种类型信息内容的传输，信息传递与共享不再局限于文字，进一步涵盖了图片、音频和视频内容，较之传统办公方式而言更加便捷、完整。但是，由于办公网络自身开放性特点，其中存在的安全隐患在不同程度上威胁着办公信息安全，还需要继续深化办公网络安全防护技术的研究，加强对其研究十分关键，对于后续工作开展具有一定参考价值。

1办公网络的结构和特点

1.1办公网络的结构

办公网络主要是由于内部网络和外部网络构成，其中外部网络主要是用于同外部用户沟通和交流，实现数据的采集和整理，内部网络则是用于企业内部各个部门或是上下级之间的信息交互，实现更加高效的数据处理[1]。

1.2办公网络的特点

办公网络主要是应用在文件和打印服务共享、信息管理系统和办公自动化系统中，较之公用网络而言，特点十分鲜明，包括以下几个方面：（1）网络应用多。办公网络中不仅包括公众网络中的应用，同时还包括一些专项的应用程序，包括MIS和OA等，这就对办公网络的系统管理人员和工作人员专业素质水平提出了更高层次的要求。（2）用户类型多。办公网络中的用户数量没有公众网络用户数量多，但是由于办公网络应用系统多，所以系统内部关系十分复杂，不同的用户拥有不同的权限。（3）网络结构复杂。办公网络主要是根据部门和工作流程来划分逻辑子网，不同的子网之间存在不同的控制策略，这就需要充分把握网络物理结构和逻辑结构。（4）系统安全性高。办公网络其中传输的信息资源私密性更高，其中包括很多商业机密文件和重要的管理决策，所以为了保证信息安全，我们需要选择合理有效手段进行安全防护[2]。

2办公网络中的安全威胁

办公网络中存在的安全隐患较为多样、复杂，其中主要的安全隐患主要可以分为以下三种，即系统本身安全漏洞，出现故障问题埋下的安全隐患；网络防护措施不合理，为黑客带来了可趁之机；网络使用者操作中不当，埋下安全隐患。

2.1系统安全漏洞

计算机在系统编程中，程序员的一点小失误可能导致后续计算机系统运行中出现安全隐患，这些漏洞尽管平时在计算机系统中并无明显的影响，但是如果用户使用相关功能时，将导致功能无法使用或是系统崩溃等等，造成数据资料被损坏。需要注意的是，漏洞是一种普遍存在的现象，漏洞本身并不会为用户带来损失，而是某些黑客或不法分子利用漏洞来窃取用户私密信息，攻击计算机，致使计算机系统无法正常使用，带来十分严重的经济损失[3]。

2.2计算机病毒

计算机病毒是一种破坏计算机系统稳定性的攻击手段，潜藏在计算机程序和软件中，在被执行中操作，从而影响计算机正常性能发挥的程序。一般情况下，计算机病毒通过复制、传输信息和运行程度来传播病毒，在使用中，硬盘和软盘都可能造成病毒传播。计算机病毒对于计算机的危害程度存在不同的差异，影响电脑运行速度，影响办公效率，严重情况下则是造成重要数据文件损坏，计算机系统崩溃和硬件损坏，带来严重的损失。在现代办公环境中，计算机病毒更多的是通过网络传播，为网络信息埋下了一系列安全隐患[4]。

2.3黑客攻击

黑客攻击是当前危害计算机网络安全的一个主要问题，主要是指熟练计算机操作的黑客，通过高水平的计算机技术应用在不良用途上，针对计算机系统漏洞，有针对性的进行攻击，致使网络瘫痪和系统崩溃，无法正常使用，重要数据信息丢失。此类攻击对于网络正常运行带来的影响较大，将严重破坏信息有效性；也可能对网络不产生直接的影响，直接窃取重要数据信息。这种恶意攻击对于计算机网络安全带来的危害较大，致使对用户造成了不同程度上的损失。

2.4网络安全管理力度不足

网络是一种更加便捷的沟通平台，由于计算机网络开放性特点，致使网络中潜在一系列安全隐患，为了加强网络安全性，应该进一步加强对网络安全管理。基于此，提升网络安全认知水平，对网络工作有一个全方位的了解，明确网络安全重要性，及时清理网络病毒和垃圾。此外，网络体制不健全，网络安全技术不足，导致很多网络病毒和系统漏洞产生，为办公网络带来了严重的威胁。

3网络安全策略和实现技术

3.1系统安全

应该加强系统安全检测力度。系统安全是办公网络安全的基础所在，维护系统安全，主要是针对用户的计算机系统而言。计算机系统并非是十分完美的，其中潜藏的系统漏洞在无形中威胁着用户计算机系统安全，加强对系统安全的检测力度是一种行之有效的方式。一般情况下，对计算机系统的安全检测，主要是分为动态检测和静态检测两种方法，其中静态分析技术是指对计算机程序和源代码检测，寻求计算机系统中存在的安全隐患，并予以修复和完善[5]。在衡量系统安全时，漏报率和误报率是主要的衡量指标，这两个指标之间存在密切的联系，如果一个指标降低，另一个指标将随之升高。这种静态指标在实际应用中，并不需要软件运行检测，使用更为便捷和便利，但是对于计算机程序重要性无法做出准确分析，最终得到的结果可能同实际情况存在一定差距。动态检测技术则是指优化软件运行环境，修改内存大小，程序保密性得到了显著的提升，以此来实现计算机系统安全维护。两种方法在优劣对比中，动态更为合理，可以有效保证网络安全。

3.2做好漏洞防护

漏洞的形成是受到多方因素影响，选择的保护措施同样存在差异，在防止格式化字符串的漏洞中，一般情况下主要是采用格式量化方法，可以有效的降低字符串被攻击的几率，提升漏洞检测效果。防止竞争条件漏洞，从竞争代码进行分析，通过操作代码实现原子化操作，锁定代码，降低对软件运行带来的影响。

3.3网络安全

采用信息加密技术，从数据终端和节点加密处理，维护信息安全和数据传输安全；节点加密则是对数据传输通道的保护，从源节点到节点之间传输的数据安全。同时，还应该加强账号信息保护，尤其是网上银行账号和电子邮件账号，加固账号安全性是必然选择。基于此，可以提升密码的而复杂程度，通过数字、字母和符号的组合，提升密码破译难度；加大安全技术管理，转变传统网络安全认知，明确网络安全重要性，做好网络安全防范工作，同时对于违法犯罪行为加大惩处力度，营造良好的网络环境。

4结论

综上所述，信息时代背景下，网络信息安全是一个不可忽视的问题，同人们的日常生活存在密切联系。在办公网络中，为了维护办公信息安全，降低办公网络风险，应该注重架起网络安全和使用安全，做好漏洞防护和信息加密工作，以降低办公网络风险。

参考文献：

[1]李结松.办公网络安全策略研究及技术实现[J].计算机与现代化，2012.

[2]陈肖飞.高校办公网络数据安全问题与策略研究[J].教育信息化（学术版），2016.

[3]丁美荣，魏海亮.基于B/S和C/S混合模式的办公自动化系统的网络安全策略研究[J].计算机与现代化，2014.

[4]张秋余，袁占亭，冯涛等.办公自动化系统的设计与安全策略研究[J].兰州理工大学学报，2014.

第8篇：基于某企业的网络安全策略范文

一、背景分析

提起网络信息安全，人们自然就会想到病毒破坏和黑客攻击。其实不然，政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失，据权威机构调查：三分之二以上的安全威胁来自泄密和内部人员犯罪，而非病毒和外来黑客引起。

目前，政府、企业等社会组织在网络安全防护建设中，普遍采用传统的内网边界安全防护技术，即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术，对网络入侵进行监控和防护，抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失，保证组织业务流程的有效进行。

这种解决策略是针对外部入侵的防范，对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障，企业基于网络边界的安全防护技术就更是鞭长莫及了，由此危及到内部网络的安全。一方面，企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网，而这些机器通常又置于企业内网中，这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面，黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络，发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。

二、内网安全风险分析

现代企业的网络环境是建立在当前飞速发展的开放网络环境中，顾名思义，开放的环境既为信息时代的企业提供与外界进行交互的窗口，同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径，使企业网络面临种种威胁和风险：病毒、蠕虫对系统的破坏；系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏，导致企业安全策略不能真正的得到很好的落实，开放的网络给企业的信息安全带来巨大的威胁。

1.病毒、蠕虫入侵

目前，开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点，即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护，特别是对新类型新变种的病毒、蠕虫，防护技术总要相对落后于新病毒新蠕虫的入侵。

病毒、蠕虫很容易通过各种途径侵入企业的内部网络，除了利用企业网络安全防护措施的漏洞外，最大的威胁却是来自于内部网络用户的各种危险应用：不安装杀毒软件；安装杀毒软件但不及时升级；网络用户在安装完自己的办公桌面系统后，未采取任何有效防护措施就连接到危险的网络环境中，特别是Internet；移动用户计算机连接到各种情况不明网络环境，在没有采取任何防护措施的情况下又连入企业网络；桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中，给企业信息基础设施，企业业务带来无法估量的损失。

2.软件漏洞隐患

企业网络通常由数量庞大、种类繁多的软件系统组成，有系统软件、数据库系统、应用软件等等，尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂，每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用，都会给企业带来危害，轻者危及个别设备，重者成为攻击整个企业网络媒介，危及整个企业网络安全。

3.系统安全配置薄弱

企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置，例如，账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用，但在实际的企业网络环境中，这些安全配置却被忽视，尤其是那些网络的终端用户，导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞，完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患，黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。

4.脆弱的网络接入安全防护

传统的网络访问控制都是在企业网络边界进行的，或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后，用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞，例如，企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP，以太网接入等等网络接入方式，在外网和企业内网之间建立一个安全通道。

另一个传统网络访问控制问题来自企业网络内部，尤其对于大型企业网络拥有成千上万的用户终端，使用的网络应用层出不穷，目前对于企业网管很难准确的控制企业网络的应用，这样的现实导致安全隐患的产生：员工使用未经企业允许的网络应用，如邮件服务器收发邮件，这就可能使企业的保密数据外泄或感染邮件病毒；企业内部员工在终端上私自使用未经允许的网络应用程序，在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件，从而感染内部网络，进而造成内部网络中敏感数据的泄密或损毁。

5.企业网络入侵

现阶段黑客攻击技术细分下来共有8类，分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。

对于采取各种传统安全防护措施的企业内网来说，都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说，安全保障就会严重恶化，当移动用户连接到企业内网，就会将各种网络入侵带入企业网络。

6.终端用户计算机安全完整性缺失

随着网络技术的普及和发展，越来越多的员工会在企业专网以外使用计算机办公，同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外，很有可能被黑客攻陷或感染网络病毒。同时，企业现有的安全投资（如：防病毒软件、各种补丁程序、安全配置等）若处于不正常运行状态，终端员工没有及时更新病毒特征库，或私自卸载安全软件等，将成为黑客攻击内部网络的跳板。

三、内网安全实施策略

1.多层次的病毒、蠕虫防护

病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法，其中的原因是多方面的，有人为的原因，如不安装防杀病毒软件，病毒库未及时升级等等，也有技术上的原因，杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的，但我们可以控制它的危害程度，只要我们针对不同的原因采取有针对性的切实有效的防护办法，就会使病毒、蠕虫对企业的危害减少到最低限度，甚至没有危害。这样，仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。

2.终端用户透明、自动化的补丁管理，安全配置

为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞，使整个企业网络安全不至由于个别软件系统的漏洞而受到危害，完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。

用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略，定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全，安全执行这些策略，以保证终端系统补丁升级、安全配置的完备有效，整个管理过程都是自动完成的，对终端用户来说完全透明，减少了终端用户的麻烦和企业网络的安全风险，提高企业网络整体的补丁升级、安全配置管理效率和效用，使企业网络的补丁及安全配置管理策略得到有效的落实。

3.全面的网络准入控制

为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患，以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题，除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题，同时对传统的网络边界访问控制没有解决的网络接入安全防护措施，而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时，检查客户端的安全策略状态是否符合企业整体安全策略，对于符合的外网访问则放行。一个全面的网络准入检测系统。

第9篇：基于某企业的网络安全策略范文

关键词：网络；安全；数据包；防火墙；入侵防御；防病毒网关

网络安全技术的现状

目前我们使用各种网络安全技术保护计算机网络，以降低恶意软件和各种攻击给企业带来的风险。使用的网络安全技术大致可以分为四类：

1. 数据包层保护：如路由器的访问控制列表和无状态防火墙；

2. 会话层保护：如状态检测防火墙；

3. 应用层保护：如防火墙和入侵防御系统；

4. 文件层保护：如防病毒网关系统。

在表-1中对四类网络安全技术进行了比较，并且评估各种技术涉及的协议，安全机制，以及这些技术对网络性能的影响。

表-1 网络安全技术的比较

数据包过滤保护

数据包过滤保护是目前应用最广的控制网络访问的一种方式。这种技术的原理很简单：通过比较数据包头的基本信息来确定数据包是否允许通过。Cisco IOS的访问控制列表（ACL）是应用最广泛的一种包过滤工具。Linux操作系统中的IPChains也是一种常用的包过滤工具。

对于某些应用协议，在传输数据时，需要服务器和客户端协商一个随机的端口。例如FTP，RPC和H323.包过滤设备不能保护此类协议。为了保证此类应用的数据包通过包过滤设备，需要在访问控制列表上打开一个比较大的"漏洞"，这样也就消弱了包过滤系统的保护作用。

状态检测防火墙

会话层的保护技术通过追踪客户端和服务器之间的会话状态来控制双向的数据流。状态检测防火墙记录会话状态信息，而且安全策略是也是对会话状态的允许或拒绝。对于基于面向连接的TCP协议应用程序，状态检测防火墙提供更丰富的安全策略：

1. 直接丢弃来自客户端/服务器的数据包；

2. 向客户端，或服务器，或者双方发送RST包，从而关闭整个TCP连接；

3. 提供基本的QoS功能。

状态检测防火墙能够监测到客户端和服务器之间的动态端口的协商，从而能够控制动态协议的数据流。 例如，对于FTP协议，状态检测防火墙通过监测控制会话中的协商动态端口的命令，从而控制它的数据会话的数据传输。

应用层保护

为了实现应用层保护，需要两个重要的技术：应用层协议分析器和内容匹配技术。应用层保护技术通过应用层协议分析器分析数据流的，从而过滤掉应用。目前，安全设备厂商提供多种安全产品提供应用层保护技术，其中部署比较广泛的产品有：入侵防御系统、Proxy防火墙。

1．入侵检测

入侵检测技术是一种主动保护自己免受黑客攻击的一种新型网络安全技术。入侵检测技术不但可以帮助系统对付网络攻击，而且扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全结构的完整性。它从计算机网络系统中的苦干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下能对网络监测，从而提供对内部攻击、外部攻击和误操作的实时保护。此外，它还可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，是网络安全中极其重要的部分。

入侵防御系统根据网络流量的IP地址，网络协议和应用层的分析和检测决定是否允许或拒绝网络访问。入侵防御系统接受数据包后，需要重组数据包，分析应用协议的命令和原语，然后发现可疑的网络攻击的特征码。如果监测到网络攻击的特征码，则执行预定策略的动作。这些动作可以是入侵日志，中断连接，或者禁止特定的应用协议的某些行为（例如，禁止使用MSN传输文件）。

2. 防火墙

防火墙也叫应用层网关防火墙。这种防火墙通过一种技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是 源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是服务器技术。

防火墙在网络中客户端访问网络服务屏蔽客户端和服务器之间的直接通信。首先客户端和防火墙建立连接，并且防火墙和远程服务器建立连接。然后防火墙转发双方发送的数据。

防火墙和入侵防御系统都需要具有分片重组和TCP包重组功能，并且能够丢弃异常网络层数据包。这些异常的数据包可能被用于隐藏网络入侵。应用层安全产品具有理解应用协议的命令和原语的能力，这能够使应用层安全产品监测到异常的应用层内容。然而这些产品却受限于它们支持的应用层协议。对于常用的防火墙，仅支持一般的互联网协议，如HTTP，FTP，EMAIL，TELNET，RLOGIN等。入侵防御系统支持更广泛的应用协议。

防火墙和入侵防御系统通过分析应用协议，可以监测某些病毒和木马。例如，入侵防御系统通过分析EMAIL中的主体，附件文件名，以及附件的文件类型来监测某些已知的病毒。但是应用层安全保护不能进行文件层面，更深入的监测。文件层的安全监测可以发现更多的恶意代码。

现今有许多应用程序是以网页应用服务(Web Application)方式呈现的，所使用的HTTP端口。此外，许多软件开发人员已经懂得在开发应用程序时透过这些端口，以规避状态检测防火墙的阻挡。状态检测防火墙把透过这两个端口传输的服务?当成WWW服务，因此无法?解并控制在网络上使用的应用程序。