企业网络安全保障方案精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的企业网络安全保障方案主题范文，仅供参考，欢迎阅读并收藏。

第1篇：企业网络安全保障方案范文

关键词：中小型企业网络，虚拟专用网，远程数据传输，安全性

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）27-6099-03

1 概述

在计算机网络飞速发展的今天，网络营销，电子商务等快速进入企业业务活动中，企业总部、企业地方分支机构、移动出差人员，充分利用Internet的公共资源及便利条件，通过VPN（Virtual Private Network，虚拟专用网）技术它们连接在一起，形成一个跨地域更大的网络，方便企业用户、分支机构及合作伙伴随时随地的接入并访问企业网络，与企业总部网络进行数据信息安全传输与交流，不但给企业带来数字化时代，方便信息交流与企业的管理，而且也给企业带来不菲的经济效益，与此同时，也给企业网带来了安全隐患，数据信息如何跨越公共网络的复杂环境进行安全的远程传输成为关键。对于中小型企业资金相对比较贫乏，技术力量薄弱这种情况，研究经济实用的远程数据信息安全性传输就显得非常重要。

2 中小型企业网络现状及需求

国有大中型企业是我国的经济支柱，中小企业是我国经济组成的重要组成部分，我国中小型企业众多，对计算机网络技术应用比较简单，没有很好的利用Internet的优势，实现企业经济的腾飞及壮大。中小型企业网络主要应用是日常办公，数据处理，属于“单机版”类型，或者企业分支机构与总部就是简单通过电子邮件，或者qq进行企业数据信息传输，这样安全保密性太差。主要原因是：

1） 中小型企业资金比较贫乏，没有更多的资金来购买成熟网络安全产品，而且成熟的网络安全产品价格一般比较昂贵，主要面向大型企业。中小型企业分布广，业务灵活，经济实惠的远程数据安全传输解决方案甚少，而且技术复杂，维护较难，不能满足中小企业的需要。

2） 中小型企业技术力量薄弱，没有专业的网络技术人员，一般是企业年轻的懂点计算机的员工兼职网络管理，与专业网络管理员还有一定的差距。

3） 中小型企业网络基本属于一个“信息孤岛”，与外界进行数据通信不能做到安全可靠传输，不能确保数据信息不泄露、不丢失、不被篡改等，影响企业的快速发展。

3） 中小型企业领导重视网络建设还不够，网络建设相对比较简单，根据中小型企业目前对网络的需要及依赖，进行简单网络建设，没有长远的网络建设规划，致使企业在壮大的过程中，网络建设不能快步跟上，往往被忽视。中小企业网络由于资金贫乏，技术力量不足等原因，在建设的初期就还可能留下许多漏洞与不足，这样更容易被黑客攻击。

4） 中小型企业用户不能进行远程数据信息的安全可靠传输，企业员工，或者领导外地出差，或者分支机构的网络，就不能访问企业网络，不能远程进行办公，远程快速的进行事务处理。

5） 中小型企业与合作伙伴之间没有利用互联网的优势，在它们之间没有建立一个企业扩展网络，导致数据信息的安全交流和企业的密切合作收到影响。

在复杂的网络环境下，解决中小型企业的远程数据信息安全可靠的传输就变得越来越重要了，还需考虑方案的经济实用，维护简单容易。对于中小企业网络中传输的重要数据信息，如财务报表等，必须保证数据信息完整性、可用性和机密性。完整性是数据信息在传输或存储过程中保证没有被修改，没有被破坏，没有被丢失等；可用性是数据信息可被授权实体访问，并按需求使用的特性，即指定用户访问指定数据资源；机密性是保证数据信息网络传输保密性和数据存储的保密性，数据信息不会泄露给非授权的用户、实体或过程。确保只有授权用户才可以访问指定数据资源，其他人限制对数据信息的读写等操作。

3 经济实用安全方案

从中小型企业网络现状及需求，利用VPN技术跨越Internet组建中小企业扩展网络，保证远程移动用户、企业分支机构和企业合作伙伴之间安全可靠的进行远程数据信息传输。通过实践实验，研究出经济实用，安全可靠，配置和维护比较容易的中小型企业网络安全性解决方案，如图1所示。VPN服务器也称为VPN网关，可以使用高性能的计算机来担当，并且安装两块网络适配器，一块网络适配器用于连接中小型企业内部网络，分配内网IP地址，另一块网络适配器连接外部网络，分配外网IP地址。VPN服务器是内网和外网连接的必经之路，服务于内外两个网络，也是内网的安全屏障，相当于中小型企业的防火墙，它可以完成对访问企业网络的用户进行身份认证、数据进行加密解密处理、密钥交换等。VPN服务器安装Windows Server 2003操作系统，充分利用公共网络Internet的资源，通过VPN技术，实现中小企业远程数据信息传输的安全性、完整性，可用性和保密性。

3.1 IPSec VPN保证数据信息远程安全传输

1） VPN技术

VPN又称虚拟专用网，是在公共网络中建立专用网络，数据信息通过建立的虚拟加密“安全隧道”在公共网络上进行传输，即充分利用公共网络如Internet的资源，达到公网“私用”的效果。中小企业只需接入Internet，就可以实现全国各地分支机构，甚至全世界各地的分支机构，都可以随时随地的访问企业网络，实现远程数据信息的安全可靠传输。而且VPN具有节省成本、配置相对简单、提供远程访问、扩展性较强、便于管理维护、实现全面控制等好处，是企业网络发展的趋势。

2） IPSec协议

IPSec是一个开放的应用范围广泛的网络层VPN协议标准，是一套安全系统，包括安全协议选择、安全算法、确定服务所使用的密钥等服务，在网络层为IP协议提供安全的保障，即IPSec可有效保护IP数据报的安全，如数据源验证、完整性校验、数据内容加密解密和防重演保护等。保证企业网络用户的身份验证，保证经过网络传输过程中数据信息完整性检查，加密IP地址及数据信息保证其私有性和安全性。

3） 基于IPSec的VPN技术

基于IPSec的VPN技术解决了在Internet复杂的公网上所面临的开放性及不安全因素的威胁，实现在不信任公共网络中，通过虚拟“安全隧道”进行数据信息的安全传输。IPSec协议应用于OSI参考模型的第三层网络层，基于TCP/IP的所有应用都要通过IP层，将数据封装成一个IP数据包后再进行传输，所有要实现对上层网络应用软件的全透明控制，即同时对上层多种应用提供安全网络服务，只需要在网络层上采用VPN技术，基于IPSec的VPN技术提供了5种安全机制，即隧道技术、加密解密技术、密钥管理技术、身份验证技术和防重演保护技术，通过基于IPSec的VPN技术，来保证传输数据的安全性、可用性、完整性和保密性[1]。

（1）隧道技术，隧道也可称为通道，是在公用网中建立一条虚拟加密通道，让数据包或者数据帧通过这条隧道安全传输。使用虚拟“安全隧道”传递的数据可以是不同协议的数据帧或数据包。“隧道”协议分为二、三层隧道协议，第二层隧道协议先把各种网络协议封装到PPP中，再把整个数据帧装入到隧道协议中。这种双层封装方法形成的数据帧依靠第二层协议来传输，第二层协议包括PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入到隧道协议中，形成的数据包依靠第三层协议进行传输。第三层协议有GRE、IPSec等。这里使用IPSec中的ESP（Encapsulated Security Payload）和AH（Authentication Header）子协议保护IP数据包和IP数据首部不被第三方侵入，在两个网络之间建立一个虚拟“安全隧道” 用于数据信息的安全传输。授权用户，通过IPSec安全策略的配置实现对网络安全通信的保护意图，其安全策略包括什么时候什么地方对AH和ESP保护，保护什么样的通信数据，什么时候什么地方进行密钥及保护强度的协商。IPSec通过认证和钥匙交换机制确保中小型网络与其分支机构网络或合作伙伴进行既安全又保密的信息传输。在计算机上装有IPSec的终端用户可以通过拨入ISP的方式获得对公司网络的安全访问。

（2）加密解密技术，是为了保障虚拟“安全隧道”的安全可靠性，提供了非常成熟的加密算法和解密算法，如3DES、DES、AES等，抵抗不法分子修改或截取数据信息的能力，同时保证必须使偷听者不能破解或解密拦截到的的数据信息，但是授权用户可以通过解密技术，完整的访问数据资源。

（3）身份认证技术是通过对企业分支用户或远程用户进行身份进行验证，提供安全防护措施与访问控制，包括对VPN“安全隧道”访问控制的功能，有效的抵抗黑客通过VPN通道攻击中小型企业网络的能力。通过VPN服务器对授权用户的身份及权限的验证，严格控制授权的用户访问资源的权限。在每个VPN服务器上为远端用户的身份验证凭据添加用户信息，包括用户名及密码，并且配置了用户名与呼叫用户所使用的用户名称相同的请求拨号接口。

（4）密钥交换技术，为了防止密钥在Internet复杂的公网上传输过程中而不被窃取。提供密钥中心管理服务器，现行的密钥管理技术分为SKIP和ISAKMP/OAKLEY两种。VPN技术能够生成并更新客户端和服务器的加密密钥和密钥的分发，实现动态密钥管理。如果采用L2TP/IPSec模式的站点到站点VPN连接，还需要在每个VPN服务器上同时安装客户端身份验证证书和服务器身份验证证书；如果不安装证书，则需要配置预共享的IPSec密钥。

（5）防重演保护。具备防止数据重演的功能，而且保证通道不能被重演。确保每个IP包的合法性和惟一性，保证信息万一被截取复制后，或者攻击者截取破译信息后，再用相同的信息包获取非法访问权，确保数据信息不会被重新利用、重新传回目标网络，

3.2其他辅助安全措施

对VPN服务器，还可以启动软件防火墙功能，如安全访问策略、日志监控等功能，还可以安装杀毒软件，为内网提供安全屏障，再次增加网络安全可靠性能。软件防火墙通过设置的包过滤规则，分析IP数据报、TCP报文段、UDP报文段等，决定数据包是被阻止，还是继续转发，从网络层和传输层上再次给予安全控制，提供了多层次安全保障体系。还可以增加应用层的过滤规则配置，再次提升VPN服务器安全性。

4 实践应用分析

通过实践应用，跨越Internet的中小型企业网络安全解决方案分别从网络层、传输层和应用层三个层次上给予安全保障，该方案充分利用VPN的“公网专用”的特点，允许中小型企业拥有一个世界范围的专用网络，在公用网中开辟虚拟“安全隧道”来保证远程数据信息传输的可靠性和安全性；通过辅助的防火墙功能，进一步增加其安全。该方案使用高性能的PC充当VPN服务器，并配以Windows Server 2003操作系统，无需额外的复杂硬件设备与高昂的系统软件，成本低、经济实用、容易实现、维护简单，是中小型企业网络扩展不错的选择方案。VPN服务器不但具备VPN技术的功能外，还是一个中小企业的防火墙，安全配置、安全策略容易实现，一旦出现较大安全威胁，便于快速隔离网络。

当然此方案也存在一些缺陷，主要是有依赖操作系统的安全性，操作系统本身的漏洞可能会造成安全隐患；VPN服务器是集多种服务于一体，需要较高高性能的计算机；VPN服务器故障会导致网络连接失效；由软件实现数据加密与解密、包过滤等，一定程度会占用系统资源，也会使通信效率略有降低；同时重注企业内部员工的安全培训，有效地抑制社会学的攻击，对来自企业内部员工的攻击显得无能为力。

5 结束语

跨越Internet的中小型企业网络安全技术方案比较经济、实用、安全、配置简单，为中小企业打造一个世界范围的网络提供了较有力的技术支持，使得中小企业网络也融入到互联网这个“大家庭”中，不仅提高了中小型企业的工作效率，而且增强了其竞争力，将推动中小型企业电子商务，电子贸易，网络营销走向繁荣，加快了中小企业网络信息化和经济快速发展的步伐。

参考文献：

[1] 郝春雷， 郑阳平.中小型企业敏感分支网络安全解决方案[J].商业时代，2007，（21）：45.

[2] 阿楠. VPN虚拟专用网的安全[J].互联网天地，2007，（7）：46-47.

[3] 李春泉，周德俭，吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报，2004，3：365-368.

[4] 韩儒博，邬钧霆，徐孟春.虚拟专用网络及其隧道实现技术[J]. 微计算机信息，2005，14：1-3.

第2篇：企业网络安全保障方案范文

［关键词］ 网络；安全威胁；中国石油；网络安全域

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中图分类号］ TP343.08 ［文献标识码］ A ［文章编号］ 1673 - 0194（2012）10- 0062- 02

1 引 言

随着市场竞争的日益加剧，业务灵活性、成本控制成为企业经营者最关心的问题，弹性灵活的业务流程需求日益加强，办公自动化、生产上网、业务上网、远程办公等业务模式不断出现，促使企业加快信息网络的建设。越来越多的企业核心业务、数据上网，一个稳定安全的企业信息网络已成为企业正常运营的基本条件。同时为了规范企业治理，国家监管部门对企业的内控管理提出了多项规范要求，包括 IT 数据、流程、应用和基础结构的完整性、可用性和准确性等方面。

然而信息网络面临的安全威胁与日俱增，安全攻击渐渐向有组织、有目的、趋利化方向发展，网络病毒、漏洞依然泛滥，同时信息技术的不断更新，信息安全面临的挑战不断增加。特别是云的应用，云环境下的数据安全、应用安全、虚拟化安全是信息安全面临的主要问题。如何构建灵活有效的企业网络安全防护体系，满足业务发展的需要，已成为企业信息化建设、甚至是企业业务发展必须要考虑的问题。

2 大型企业网络面临的安全威胁

赛门铁克的《2011 安全状况调查报告》显示：29％的企业定期遭受网络攻击，71％ 的企业在过去的一年里遭受过网络攻击。大型企业由于地域跨度大，信息系统多，受攻击面广等特点，更是成为被攻击的首选目标。

大型企业网络应用存在的安全威胁主要包括：（1）内网应用不规范。企业网络行为不加限制，P2P下载等信息占据大量的网络带宽，同时也不可避免地将互联网中的大量病毒、木马等有害信息传播到内网，对内网应用系统安全构成威胁。（2）网络接入控制不严。网络准入设施及制度的缺失，任何人都可以随时、随地插线上网，极易带来病毒、木马等，也很容易造成身份假冒、信息窃取、信息丢失等事件。（3）VPN系统安全措施不全。企业中的VPN系统，特别是二级单位自建的VPN系统，安全防护与审计能力不高，存在管理和控制不完善，且存在非系统员工用户，行为难以监管和约束。（4）卫星信号易泄密。卫星通信方便灵活，通信范围广，不受距离和地域限制，许多在僻远地区作业的一线生产单位，通过卫星系统传递生产、现场视频等信息。但由于无线信号在自由空间中传输，容易被截获。（5）无线网络安全风险较大。无线接入由于灵活方便，常在局域网络中使用，但是存在容易侵入、未经授权使用服务、地址欺骗和会话拦截、流量侦听等安全风险。（6）生产网隔离不彻底。企业中生产网络与管理网络尚没有明确的隔离规范，大多数二级单位采用防火墙逻辑隔离，有些单位防护策略制定不严格，导致生产网被来自管理网络的病毒感染。

3 大型企业网络安全防护体系建设

中国石油信息化建设处于我国大型企业领先地位，在国资委历年信息化评比中，都名列前茅，“十一五”期间，将企业信息安全保障体系建设列为信息化整体规划中，并逐步实施。其中涉及管理类项目3个，控制类项目3个，技术类项目5个。中国石油网络安全域建设是其重要建设内容。

中国石油网络分为专网、内网与外网3类。其中专网承载与实时生产或决策相关的信息系统，是相对封闭、有隔离的专用网络。内网是通过租用国内数据链路，承载对内服务业务信息系统的网络，与外网逻辑隔离。外网是实现对外提供服务和应用的网络，与互联网相连（见图1）。

为了构建安全可靠的中国石油网络安全架构，中国石油通过划分中国石油网络安全域，明确安全责任和防护标准，采取分层的防护措施来提高整体网络的安全性，同时，为安全事件追溯提供必要的技术手段。网络安全域实施项目按照先边界安全加固、后深入内部防护的指导思想，将项目分为：广域网边界防护、广域网域间与数据中心防护、广域网域内防护3部分。

广域网边界防护子项目主要包括数据中心边界防护和区域网络中心边界防护。数据中心边界防护设计主要是保障集团公司统一规划应用系统的安全、可靠运行。区域网络中心边界安全防护在保障各区域内员工访问互联网的同时，还需保障部分自建应用系统的正常运行。现中石油在全国范围内建立和完善16个互联网出口的安全防护，所有单位均通过16个互联网出口对外联系，规划DMZ，制定统一的策略，对外服务应用统一部署DMZ，内网与外网逻辑隔离，内网员工能正常收发邮件、浏览网页，部分功能受限。

域间防护方案主要遵循 “纵深防护，保护核心”主体思想，安全防护针对各专网与内网接入点进行部署，并根据其在网络层面由下至上的分布，保护策略强度依次由弱至强。数据中心安全防护按照数据中心业务系统的现状和定级情况，将数据中心划分为4个安全区域，分别是核心网络、二级系统区、三级系统区、网络管理区；通过完善数据中心核心网络与广域网边界，二级系统、三级系统、网络管理区与核心区边界，二、三级系统区内部各信息系统间的边界防护，构成数据中心纵深防御的体系，提升整体安全防护水平。

域内防护是指分离其他网络并制定访问策略，完善域内安全监控手段和技术，规范域内防护标准，实现实名制上网。中国石油以现有远程接入控制系统用户管理模式为基础，并通过完善现有SSL VPN系统、增加IPSEC远程接入方式，为出差员工、分支机构接入提供安全的接入环境。实名制访问互联网主要以用户身份与自然人一一对应关系为基础，实现用户互联网访问、安全设备管理准入及授权控制、实名审计；以部署设备证书为基础，实现数据中心对外提供服务的信息系统服务器网络身份真实可靠，从而确保区域网络中心、数据中心互联网接入的安全性。

4 结束语

一个稳定安全的企业信息网络已成为企业正常运营的基本条件，然而信息网络的安全威胁日益加剧，企业网络安全防护体系是否合理有效一直困扰着信息化主管部门。通过借鉴中国石油网络安全域建设，系统地解决网络安全问题，供其他企业参考。

主要参考文献

［1］王拥军. 浅谈企业网络安全防护体系的建设 ［J］． 信息安全与通信保密，2011（12）.

第3篇：企业网络安全保障方案范文

关键词：网络系统；安全防范；安全管理

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 (2012) 14-0064-01

随着信息爆炸时代的到来，企业日常管理开始普遍采用网络系统的方式，存储着大量企业信息，而这些信息往往直接关乎企业未来的发展。然而在各种网络病毒、黑客盛行的今天，企业网络系统的安全已成为人们不得不面对的问题。为了防止企业信息外泄，我们必须充分重视起企业网络系统的安全防范及其管理工作。

一、企业网络系统

（一）基本概念及其重要性

所谓“企业网络系统”，简单来说，就是指企业通过计算机、通信设施等现代科技设备，所构建起的一系列用以满足企业日常管理、经营与数据统计的系统模式。在当今社会，企业网络系统的应用有着非常重要的意义，它是提高企业员工办公效率，提升企业各项数据准确性的重要手段，也是企业各项业务数据的重要载体，可以说，如若企业网络系统无法正常工作，那么这个企业整体日常工作也无法获得正常有序运营发展。

（二）企业网络系统存在的风险

当前企业网络系统主要面临着以下几方面风险威胁：（1）由于Internet底层协议的不完善、各项硬件的问题而导致的系统漏洞风险；（2）由于企业自身人为管理不善或技术水平局限，引发的企业信息泄露威胁；（3）由于病毒感染、黑客入侵造成的企业网络系统漏洞风险。

（三）企业网络系统安全防范

也正是受以上几大网络系统风险的影响，要想确保企业得以正常的经营发展，我们必须重视起企业网络系统安全防范及其管理工作。所谓“企业网络系统安全”，其涉及计算机技术、网络安全技术、密码技术、信息安全技术等多项新兴技术领域。在企业日常管理中，企业网络系统安全主要用以企业网络系统软硬件及其数据保护、防范不必要的数据破坏、更改与泄露，维持企业日常工作的运行需要。

二、企业网络系统安全防范存在的问题与缺陷

目前，企业网络系统安全防范已经获得了企业各部门的足够重视，然而由于我国网络系统研究起步较慢，人们对于安全管理等概念的理解尚不到位，当下我国企业网络系统安全防范的工作仍存在很多的问题与缺陷，具体而言，其主要表现于以下几个方面：

（一）安全意识淡薄与相关知识缺失

网络属于新生事物，不少企业员工对之充满了好奇，由于刚刚接触，他们不了解网络危害的广泛存在性，安全意识相当薄弱。由于缺乏相关的专业知识，这往往会导致他们不知不觉中走入网络安全管理误区。例如，部门管理人员认为局域网下无需安装防火墙、安装杀毒软件和防火墙后就不用担心病毒的侵扰、中毒之后查杀就好了不会造成多大的损失。这些认知易于对企业网络系统的安全造成危害。

（二）过分追求先进技术

中国传统观念认为“最贵的就是最好的”，受到这种观念的影响，很多企业认为，只要引进先进的计算机与网络技术，就可以一劳永逸的解决网络系统安全问题。这种观念，导致企业花费了大量资金，改善了自己的配置，但是却没能取得重要的成果，浪费了大量的财力，打击了技术人员的信心，给企业造成了巨大的损失。

（三）安全管理机制不完善

很多企业没有制定企业网络系统的管理机制，导致在企业网络安全的管理过程中，缺乏行之有效的保护制度与管理制度。这些方面的缺失，又导致企业的网络管理者及相关内部人员出现了违规现象，将严重影响了企业网络系统的安全性，制约了企业网络系统的建设。

三、未来企业网络系统安全防范与管理的进一步完善

要想彻底解决企业网络系统安全防范与管理上的问题，我们必须从制度、组织结构、思维方式等多角度出发，加以相应的改革与完善。

（一）建立企业网络安全管理部门

企业安全管理部门的建立，可以提高员工的网络安全意识，让他们在一个更为安全的环境下取得信息，传播信息。相关部门建立之后，要对企业的重要部门和各项重要信息经常性的进行安全保障与维护工作，及时消除安全隐患。当然，建立的安全管理部门不能够流于形式，必须将它的职责明确的加以界定，然后组织管理人员对该部门实行监察与管理。定期要对企业网络安全管理部门的相关技术人员进行培训，让他们了解行业走向，站在行业前列。

（二）合理投资，良好运行木桶效应

企业网络系统安全防范不应该盲目追随新兴技术。木板所盛水的容量取决于最短那块木板的长度。不法分子往往从企业网络最薄弱的环节下手，然后加以利用。所以，企业应该合理投资，重点对网络系统安全防范的薄弱环节加以重点治理，以此真正实现企业“投资少，回报高”的理性投资模式。

（三）制定网络安全管理策略

安全管理总是被人们忽视，但是很多专家却提出企业网络系统的安全“三分靠技术，七分靠管理”，从中我们不难体会到管理工作在网络系统安全运行中的重要作用。要想实现企业网络系统安全防范这一终极目标，我们必须及时制定出相应良好的安全管理策略。例如，企业可以实行授权管理、病毒防范及用户权限设置等一系列的安全管理制度与措施。与此同时，完善安全管理制度，我们还必须保证各项制度的一致性，其中包括防火墙制度、企业内部信息管理制度、用户访问权限制度之间的相互一致。

四、结语

对于企业发展而言，网络系统所起到的作用越来越大，为此我们必须对其予以足够的重视与保护，不断强化对企业网络系统安全防范与管理，将其作为我国企业发展的长久计划加以改革完善，唯有这样，才能真正意义上实现企业网络系统的安全防护，也才能实现企业更快、更平稳的长久发展。

参考文献：

[1]宇.计算机网络安全防范技术浅析[J].民营科技,2010,7:25-27.

第4篇：企业网络安全保障方案范文

关键词：中小企业；网络安全；企业网络；架构

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2012） 20-0000-02

1 中小型企业网络安全

1.1 中小型企业网络安全概念。国际组织（ISO）对网络安全规定为在网络间进行数据处理系统建立是所采取的相应的安全技术，这些技术可以对网络进行时时监控和安全，并保证不让任何人使用的程序通过网络来进行计算机，并始终通过网络有效的保证计算机算硬件的安全，不通过网络泄露个人或者企业等单位的秘密。以此我们可以这样理解中小型企业网络安全为是通过采用各种高科技技术和一定的管理措施，使的中小企业网络系统能够进行正常运作，进而来保证中小企业网络数据的可用性、完整性和保密性。

1.2 中小型企业网络职能。一个安全的中小企业网络职能应该是具有一定的可靠性、可用性、完整性、保密性和真实性等的。中小企业网络的安全不仅要保护企业内部的计算机网络设备的安全和计算机网络系统安全，更重要的是要对企业数据安全的保护。所以对于一个中小型企业来说网络安全最终的职能就是保护企业重要的信息数据。

2 中小型企业信息网络安全的困惑

2.1 中小企业信息网络操作系统安全的困惑。中小型企业经常出现的困惑就是针对信息网络操作时出现的安全困惑，所谓中小型企业信息网络操作系统安全就是指通常是指进行信息网络操作系统的安全。操作系统的某一合法用户可任意运行一段程序来修改该用户拥有的文件访问控制信息，而操作系统无法区别这种修改是用户自己的合法操作还是计算机病毒的非法操作；另外，也没有什么一般的方法能够防止计算机病毒将信息通过共享客体从一个进程传送给另一个进程。为此，中小型企业认识到必须采取更强有力的访问控制手段，这就是强制访问控制。在强制访问控制中，系统对主体与客体都分配一个特殊的一般不能更改的安全属性，系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。中小型企业为某个目的而运行的程序，不能改变它自己及任何其它客体的安全属性，包括该用户自己拥有的客体。强制访问控制还可以阻止某个进程生成共享文件并通过这个共享文件向其它进程传递信息。目前来说中小型企业的信息网络操作系统多为Windows和UNIX操作系统，这些操作系统本身就有自身的网络安全漏洞，因为操作系统本身都是有后门的，而这些后门和安全漏洞都将存在重大的信息网络安全隐患，造成中小企业信息网络的安全困惑。所以这就要求在进行中小型企业信息网络系统安装时，不只要考虑到企业的自身需求，更多的时候要考虑到中小型企业的信息网络安全，不能因为系统的安装造成过大的中小型企业信息安全的困惑。

2.2 中小企业信息网络应用安全的困惑。现阶段我国的中小型企业网络安全应用仅网络系统就存在很大的安全隐患，系统、应用和数据的安全存在较大的风险。目前，实施的安全方案是基于当时的认识进行的，主要工作集中于网络安全，对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证，对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段，很容易被冒充；又如数据备份缺乏整体方案和制度规范，容易造成重要数据的丢失和泄露。当时的网络安全的基本是一种外部网络安全的概念，是基于这样一种信任模型的，即网络内部的用户都是可信的。在这种信任模型下，假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部，并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。针对外部网络安全，人们提出了内部网络安全的概念，它基于这样一种信任模型：所有的用户都是不可信的。在这种信任模型中，假设所有用户都可能对信息安全造成威胁，并且可以各种更加方便的手段对信息安全造成威胁，比如内部人员可以直接对重要的服务器进行操控从而破坏信息，或者从内部网络访问服务器，下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。美国联邦调查局（FBI）和计算机安全机构（CSI）等权威机构的研究也证明了这一点：超过80%的信息安全隐患是来自组织内部，这些隐患直接导致了信息被内部人员所窃取和破坏。信息系统的安全防范是一个动态过程，某公司缺乏相关的规章制度、技术规范，也没有选用有关的安全服务。不能充分发挥安全产品的效能。

2.3 中小企业信息网络管理安全的困惑。中小型企业信息网络管理方面存在的安全困惑主要包括了，中小型企业的内部管理人员们或者是员工们图方便省事，对自身的计算机不进行密码的设置，没用自己的用户口令，或者是有些管理者和员工设置的密码和口令过短或者是过于简单，这样就导致密码和口令很容易被破解，这样来当出现了信息网络的安全问题时，容易责任不清，并且很难一下就找到问题出现的计算机，因为整个公司都使用相同的用户名和口令，使得整体信息网络的管理出现严重的混乱，并且容易出现企业重要信息的泄密。进行中小型企业信息网络管理是信息网络安全的重要组成部分，是能保证中小型企业信息网络安全的重要组成部分，是可以对外来病毒进行防止的重要环节，是中小型企业内部信息网络不被入侵必须的部分。也是中小型企业信息网络暗中的管理困惑，是普遍中小型企业都会存在的困惑之一。

3 如何进行中小型企业信息网络安全的架构

3.1 中小型企业信息网络安全架构Internet的接入。中小型企业信息网络安全构架中Internet的接入，多是采用了PIX515作为外部边缘得防火墙设备，中小型企业内部的用户登录则是通过互联网时会经过NetEye防火墙，然后再由PIX映射到互联网。PIX与NetEye之间形成了DMZ映射区，这是一种需要进行提供互联网服务的邮件服务和Web服务器等防止在该DMZ区内。中小型企业进行此防火墙的安全策略步骤是：首先要从Internet上设置只能访问到DMZ内Web服务器的80端口和邮件服务器的25端口，其次，则是要从Internet和DMZ区设定出不能进行访问内部网任何资源，最后则是要从Internet进行访问内部网资源的时候只能通过VPN系统进行。

3.2 中小型企业信息网络安全架构用户的认证。中小型企业信息网络安全架构的用户认证系统主要就是用于解决通过电话进行拨号时出现的安全问题和通过VPN进行接入时出现的安全问题，信息网络安全架构的用户认证系统是目前为止运用最为完善的系统用户认证系统、访问控制系统和使用审计系统方面的功能来增强信息网络系统的安全性，并采用了目前为止最为高端的ACS用户认证系统。中小型企业的ERP系统一般采用C/S（客户机/服务器）体系结构，架构于企业内网Intranet上。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输；VPN还可用于不断增长的移动用户的全球互联网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路。在信息网络的主域服务器上安装Radius服务器，在Cisco拨号路由器和PIX防火墙上配置了Radius客户端。这样当任何人进行电话拨号和VPN用户身份认证时，就会在Radius的服务器上直接进行，这样一来用户账号就会集中的在主域服务器上进行开设。这样做就可以在系统中设置较为严格的用户访问策略和口令策略，能有效的强制使用用户进行定期的口令修改。

综上所述，中小型企业信息网络安全保障是开展其它一切业务往来与技术交流的关键，要想企业长足发展，必须重视信息网络安全的构建。

参考文献：

第5篇：企业网络安全保障方案范文

IM和P2P沦为黑客攻击管道

从终端来看，垃圾邮件，蠕虫病毒，间谍软件，针对即时通讯和P2P应用安全事件正成为终端安全隐患的主要来源。

FaceTime通讯公司最新的调查报告说，微软的MSN网络仍然是被攻击得最多的即时通讯网络，2004年和2005年都是如此，而被攻击数量下降得最快的网络是美国在线的AIM 网络。即时通讯威胁对于企业的IT人员来说是一种非常大的挑战，因为它们利用了实时通讯的管道以及全球各地的即时通讯网络进行繁殖，它们的传播速度比电子邮件攻击快很多。

根据披露，2005年11月有一个国际黑客组织已经利用即时通讯软件病毒控制了1.7万台个人电脑组成僵尸网络为商业目的攻击行为做准备。

我们也已知道，即时消息和P2P 应用在带来方便性、实时性、新业务商机的同时，也给最终用户、企业网络和电信网络带来多方位的安全威胁。通常来说，这些安全威胁包括：边界安全措施失效；难以控制文件数据的共享和流动，带来病毒、木马、蠕虫等；容易导致知识产权损失、泄密等；由于大量使用非标准、不公开协议，使用动态、随即、非固定的端口；难以检测、过滤和管理；隐藏于HTTP管道中的各种潜在的隐秘通道。

我们也可以看到在复杂的网络环境下一些有代表性的P2P网络安全产品，提供基于包过滤特性提供针对P2P传输的防护，在保障安全的同时还可阻止并记录国际上几乎所有的P2P封杀机构(如RIAA、MPAA、MediaForce、BaySTP、NetPD等等)对计算机进行探测连接，从而避免隐私外泄，可以自动下载最新的屏蔽列表来屏蔽各种广告、间谍软件及研究机构对机器的扫描。

目前业界一些致力于IM/P2P的专业厂商也推出了针对保护用户免受IM与P2P的安全威胁，将检测和分析通过IM传播的病毒与蠕虫、通过IM发送的垃圾邮件“SPIM”、恶意代码等的整体方案。

针对IM的安全管理，比如IM监控，P2P的监控等，正在成为网关级防御，针对IM和P2P，垃圾邮件监控、管理和控制等等需求和话题正在不断催生出相关应用的针对性安全解决方案。

UTM：潮流趋势所至

在企业级领域，由于信息基础设施的不断增加和应用的不断扩展，企业公共出口的网络安全基础设施的布局已经发展到一定阶段，随着纵深防御概念逐渐深入，威胁已经从外部转向内部。从产品来看，UTM（一体化的威胁管理）正在成为新的增长点。在混合攻击肆虐的时代，单一功能的防火墙远不能满足业务的需要，而对于集成多种安全功能的UTM设备来说，以其基于应用协议层防御、超低误报率检测、高可靠高性能平台、统一组件化管理的优势将得到越来越多的青睐。

由于UTM设备是串联接入的安全设备，因此UTM设备本身的性能和可靠性要求非常高，同时，UTM时代的产品形态，实际上是结合了原有的多种产品、技术精华，在统一的产品管理平台下，集成防火墙、VPN、网关防病毒、IPS、防拒绝服务攻击等众多产品功能于一体，实现多种的防御功能。

鉴此，安全厂商与网络厂商合作，共同开发和研制UTM设备将是今后发展的必然趋势。

威胁由外转内

对于内网安全，已经进入到内网合规性管理的阶段。目前，内网安全的需求有两大趋势，一是终端的合规性管理，即终端安全策略、文件策略和系统补丁的统一管理；二是内网的业务行为审计，即从传统的安全审计或网络审计，向对业务行为审计的发展，这两个方面都是非常重要的。

从现状来看，根据美国洋基集团（Yankee Group）一项针对北美和西欧六百家公司的调查显示，2005年的安全问题有六成源自内部，高于前一年的四成。该集团表示：“威胁已从外部转向内部”。每年企业界动辄投资上千万防毒防黑，但企业防御失效的另一个容易被忽略的问题是：来自员工、厂商或其它合法使用系统者的内部滥用。在漏洞攻击愈来愈快速的今日，有可能因为一个访客携入的计算机而瘫痪几千万IT设备。

中小企业面临的三大安全威胁是病毒攻击、垃圾邮件、网络攻击，因而有很多厂商推出了针对中小企业的集成式套装产品。对内网终端设备的管理，通过基于网络的控制台使管理员能够从产品分发、运行监控、组件升级、配置修改、统一杀毒、应急响应等全过程，实施集中式的管理，强制部署的安全策略，有助于避免企业用户无心过错导致的安全漏洞。而新型病毒与黑客技术结合得越来越紧密，与此相对应，防病毒软件与防火墙、IDS等技术配合得越来越紧密。只有多种技术相互补充配合，才可以有效对付混合威胁。

大型企业有一定的信息化基础，对于内网安全来说，企业用户需要实施整体的安全管理策略。 内网安全管理系统需要将安全网管、内网审计与内网监控有机地结合在一起，以解决企业内部专用网络的安全管理、安全控制和行为监视为目标，采用主动的安全管理和安全控制的方式。将内部网络的安全隐患以技术的手段进行有效的控制，全面保护网络、系统、应用和数据。运用多种技术手段，从源头上阻止了敏感信息泄漏事件的发生。

对于大型企业来说，选用的产品需要能够自动发现关键业务资产，并确定威胁企业IT环境完整性的安全漏洞。通过采集实时的技术库，并且将它们与基于风险的任务列表（带有补救指导）中已验证的漏洞相关联，并且帮助企业确定哪些漏洞将影响哪些资产。最终为企业提供一份即时的关于关键性业务资产的风险评估。对于企业内网来说，行之有效的安全管理是各种规模企业所企盼的，固若金汤的城池，往往在内部安全威胁面前形同虚设。“内忧”胜于“外患”，企业不仅需要铸造抵抗外部风险的纵深防御体系，同样需要着重管理，打造安全和谐的内部环境。

第6篇：企业网络安全保障方案范文

    论文关键词:网络:安全技术;管理措施

    1前言

    随着企业科学管理水平的提高.企业管理信息化越来越受到企业的重视.企业ERP(企业资源计划)系统、企业电子邮局系统和OA办公自动化系统等先进的管理系统都进入企业并成为企业重要的综合管理系统。企业局域网与国际互联网(Internet)联接,形成一个内、外部信息共享的网络平台。这种连接方式使得企业局域网在给内部用户带来工作便利的同时.也面临着外部环境——国际互联网的种种危险。如病毒,黑客、垃圾邮件、流氓软件等给企业内部网的安全和性能造成极大地冲击如何更有效地保护企业重要的信息数据、提高企业局域网系统的安全性已经成为我们必须解决的一个重要问题

    2网络安全及影响网络安全的因素

    网络安全一直都是困扰企业用户的一道难题.影响企业局域网的稳定性和安全性的因素是多方面的,主要表现在以下几个方面:

    2.1外网安全。骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁

    2.2内网安全最新调查显示.在受调查的企业中60%以上的员工利用网络处理私人事务对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业局域网络资源、并引入病毒和间谍.或者使得不法员工可以通过网络泄漏企业机密

    2.3内部网络之间、内外网络之间的连接安全。随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享.又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题各地机构与总部之间的网络连接安全直接影响企业的高效运作

    3企业局域网安全方案

    为了更好的解决上述问题.确保网络信息的安全,企业应建立完善的安全保障体系该体系应包括网络安全技术防护和网络安全管理两方面网络安全技术防护主要侧重于防范外部非法用户的攻击和企业重要数据信息安全.网络安全管理则侧重于内部人员操作使用的管理.采用网络安全技术构筑防御体系的同时,加强网络安全管理这两方面相互补充,缺一不可。

    3.1企业的网络安全技术防护体系

    包括入侵检测系统、安全访问控制、漏洞扫描、病毒防护、防火墙、接入认证、电子文档保护和网络行为监控。

    1)入侵检测系统。在企业局域网中构建一套完整立体的主动防御体系.需要同时采用基于网络和基于主机的入侵检测系统首先.在校园网比较重要的网段中放置基于网络的入侵检测产品.不停地监视网段中的各种数据包.如果数据包与入侵检测系统中的某些规则吻合.就会发出警报或者直接切断网络的连接其次.在重要的主机上(如W WW服务器,E—mail服务器,FTP服务器)安装基于主机的入侵检测系统.对该主机的网络实时连接以及系统审

    计日志进行智能分析和判断.如果其中主体活动十分可疑.入侵检测系统就会采取相应措施

    2)安全访问控制系统针对企业局域网络系统的安全威胁。必须建立整体的、卓有成效的安全策略.尤其是在访问控制的管理与技术方面需要制定相应的策略.以保护系统内的各种资源不遭到自然与人为的破坏.维护局域网的安全

    3)漏洞扫描系统。解决网络层安全问题的方法是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具.利用优化系统配置和打补丁等各种方式.最大可能地弥补最新的安全漏洞并消除安全隐患.

    4)病毒防护系统。企业局域网防病毒工作主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。校园网需建立统一集中的病毒防范体系.特别是针对重要的网段和服务器.要进行彻底堵截.

    5)防火墙系统。防火墙在企业局域网与Internet之间执行访问控制策略.决定哪些内部站点允许外界访问和允许访问外界.从而保护内部网免受非法用户的入侵在外部路由器上设置一个包过滤防火墙,它只让与屏蔽子网中的服务器、E—mail服务器、信息服务器有关的数据包通过。其他所有类型的数据包都被丢弃.从而把外界Internet对屏蔽子网的访问限制在特定的服务器的范围内.

    6)接入认证系统对计算机终端实行实名制度.固定IP、绑定MAC地址.结合企业门户、办公系统等管理业务系统的实施实行机终端接入准入制度.未经过安全认证的计算机不能接人企业局域网络

    7)电子文档保护系统。企业重要信息整个生命周期(信息过程、信息操作过程、信息传输过程、信息存储过程、信息销毁过程)得到全程透明加密保护,保证只用合法的用户才能通过认证、授权访问涉密文件。非法用户无法在信息的产生到销毁过程的任何环节窃取、拷贝、打印、另存、涉密文件,阻断一切可能的泄密路径.有效防护各种主动、被动泄密事件的发生。

    8)网络行为监控系统网络行为监控是指系统管理员根据网络安全要求和企业的有关行政管理规定.对内网用户进行管理的一种技术手段.主要用于监控企业内部敏感文件访问情况和敏感文件操作情况以及禁止工作人员在上班时间上网聊天、玩游戏、浏览违禁网站等。

    3.2企业局域网安全管理措施

    有了先进完善的网络安全技术保护体系.如果日常的安全管理跟不上.同样也不能保证企业网络的“高枕无忧”:可以说规划制定一套完整的安全管理措施是网络安全技术保护体系的补充.它会帮助校正企业网络管理上的一些常见但是有威胁性的漏洞。它主要包括以下内容: 1)随着企业局域网的不断应用.应当同步规划网络安全体系的技术更新同时.为了避免在紧急情况下.预先制定的安全体系无法发挥作用时.应考虑采用何种应急方案的问题应急方案应该事先制订并贯彻到企业各部门.事先做好多级的安全响应方案.才能在企业网络遇到毁灭性破坏时将损失降低到最低.并能尽快恢复网络到正常状态;2)扎实做好网络安全的基础防护工作:①服务器应当安装干净的操作系统.不需要的服务一律不装.同时要重视网络终端的安全配置.防止它们成为黑客和病毒的跳板:②遵循“用户权限最小化”的网络配置原则.设置重要文件的访问权限.关闭不必要的端口,专用主机只开专用功能等;③下载安装最新的操作系统、应用软件和升级补丁对系统进行完整性检查.定期检查用户的脆弱口令.并通知用户尽快修改:④制定完整的系统数据备份计划.并严格实施,确保系统数据库的可靠性和完整性:3)对各类恶意攻击要有积极的响应措施制定详尽的入侵应急措施以及汇报制度。发现入侵迹象.尽力定位入侵者的位置,如有必要。断开网络连接在服务主机不能继续服务的情况下.应该有能力从备份磁盘中恢复服务到备份主机上; 4)建立完善的日志监控措施,加强日志记录.以报告网络的异常以及跟踪入侵者的踪迹;(5)制定并贯彻安全管理制度。如制定计算机安全管理制度、机房管理制度、管理员网络维护管理制度等.约束普通用户等网络访问者.督促管理员很好地完成自身的工作,增强大家的网络安全意识.防止因粗心大意或不贯彻制度而导致安全事故.尤其要注意制度的监督贯彻执行.否则就形同虚设。

第7篇：企业网络安全保障方案范文

【关键词】 医院信息化建设 IT运维与安全管理

引言：

目前，随着信息技术的日新月异和网络信息系统应用的发展，医院、企业网络技术的应用层次正在从传统的、小型业务系统逐渐向大型、关键业务系统扩展。面对日趋复杂的IT系统，不同背景的运维人员已给企事业信息系统安全运行带来较大的潜在风险，如医院信息系统是医院日常工作的重要应用，存储着重要的数据资源，是医院正常运行必不可少的组成部分，所以必须加强安全保障体系的建设。于是，堡垒机在医院中的应用，为医院工作的应用提供了安全可靠的运行环境。

传统的网络安全审计系统给医院的的运维安全问题带来了很多风险，如：账号管理无秩序，暗藏巨大隐患；粗放式权限管理的安全性难以保证；设备自身陈旧，无法审计运维加密协议、远程桌面内容等，从而难以有效定位安全事件。

以上所面临的风险严重破坏政府、医院、企业等的信息系统安全，已经成为其信息系统安全运行的严重隐患，尤其是医院，将影响其效益。尤其医院信息系统是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。

因此在考虑安全保障体系时，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

如何有效监控业务系统访问行为和敏感信息的传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，是企事业迫切需要解决的问题，即IT运维安全管理的变革已刻不容缓！

堡垒机提供一套先进的运维安全管控与审计解决方案，它通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供权威可靠的支持。

随着堡垒机在医院中的应用，其主要实现了以下功能：

1）账号管理集中

堡垒机建立于唯一身份标识的全局实名制管理，支持统一账号管理策略，实现与各服务器、网络设备等无缝连接，集中管理主账号（普通用户）、从账号（目标设备系统账号）及相关属性。

2）访问控制集中

堡垒机通过集中对应用系统的访问控制，通过对主机、服务器、网络、数据库等网络中所有资源的统一访问控制，确保用户拥有的权限是完成任务所需的最小权限，实现集中有序的运维操作管理，防止非法、越权访问事件的发生。

3）安全审计集中

基于唯一身份标识，堡垒机通过对用户从登录到退出的全程操作行为审计，监控用户对被管理设备的所有敏感的关键操作，提供分级告警，聚焦关键事件，能完成对医院内网所有网上行为的监控和对安全事件及时预警发现、准确可查的功能。

通过此体系监控到的数据能对医院内部网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等这些情况有较全面的了解。

信息安全是一个动态的过程，要根据网络安全的变化不断调整安全措施，适应新的网络环境，M足新的网络安全需求。

安全管理制度也有一个不断完善的过程，经过安全事件的处理和安全风险评估，会发现原有的安全管理制定中存在的不足之处。根据安全事件处理经验教训和安全风险评估的结果，对信息安全管理策略进行修改，对信息安全管理范围进行调整。

参 考 文 献

[1]赵瑞霞.构建堡垒主机抵御网络攻击[J].网络安全技术与应用，2010，08.

第8篇：企业网络安全保障方案范文

【关键词】CA证书认证 体系设计 非功能性技术设计 内外网统一安全接入――P2P VSN虚拟安全域 社会工程学入侵

目前大部分市区级政务信息网络主要着承载政务办公数据流系统、对公众提供业务办理等系统以及基本的互联网访问权限。随着政务信息业务系统业务逻辑日趋复杂，体量日益庞大，在政务信息系统的风险控制，安全运维成本，科学管理，方面将迎来一个全新的战场。

当前政务信息系统有或部分有以下问题：

区县的相关管理、运维人员能力匮乏，网络安全知识相对较落后，对全局政务网的硬件服务器、存储、数据库软件、应用服务器中间件、相关政务信息业务系统并没有做到了如指掌不能完全驾驭全局运维与安全保障。在出现故障时无法从业务角度快度锁定故障起源点，无法对故障进行深度解析并提供完整解决方案并实施。

区县政务信息系统是没有统一的认证授权并各自为政，无法做到访问控制，没有USB-KEY，CA证书认证等技术融入，病毒非常容相互间在各个系统中传递感染，重要数据岌岌可危；区县政务网基本没有全网的日志审计和客户机上网行为管理的，各种繁杂的应用安全系统设备产生的安全事件以及网络安全行为监控各自独立，冗余度过高，没有科学的审计，有效的整合，出现问题业务系统管理员根本无法防御爆炸式连锁攻击，安全风险系数极高。外网办公接入设备直接接入业务网，没有对过程数据流进行监察审计，业务数据在网络中的传输缺乏近乎透明传递，安全隐患非常严重。

政务信息网络发生故障或者爆发大规模病毒攻击时，无法精准锁定攻击源头，从根源控制攻击，整个处理过程也缺少科学的提高故障解决手段，缺少应急预案，缺少专家应急小组。

这些问题必须且毋庸置疑的解决和改善，应采用以下技术和策略：CA证书认证体系设计，非功能性技术设计，内外网统一安全接入――P2P VSN虚拟安全域，USB-KEY，动态短信密码，一次性口令等方式，堵着社会工程学入侵缺口。

1 政务信息系统及网络安全运维的实践

实现终端内外网统一接入：整合梳理办公内网和Internet网络的用户认证、访问授权、资源权限等问题，彻底不留隐患的有效的解决办公内网的安全接入和Internet网络安全接入，彻底清除未授权终端非法用户对政务信息系统的存在威胁，确保了政务业务系统的数据在政务网络中安全数据流传输的可靠性。

完整的用户行为和关键政务信息系统数据流日志审计，记录并保留一个月以上的用户上网行为是非常有必要的，在庞大的用户痕迹日志信息中进行初步数据挖掘，能发现潜在的安全隐患，防患于未然，将安全隐患控制牢牢控制，并扼杀。若已发生安全事故，可迅速定位事故爆发点，妥善快速解决问题，如事故造成严重的财产损失，可提交公安机关进行取证。

定期由专业安全运维第三方服务公司提供专家级业务报告，为下一步网络优化提供建议，保障网络持续、健康发展、安全：对整个被监控网络能够提供全面安全健康状态检测报告。报告内容包含客户机非安全访问记录、并发数异常记录、带宽控制效果、攻击发生统计等等。

2 政务信息系统及网络安全运维建设

2.1 政务信息系统建设内容应涵盖以下方面

建立覆盖区县政务信息系统所涉及的硬件服务器设备、存储设备、核心网络链路拓扑、政务业务系统结构、数据库并发数据链路流和中间件异常并况的综合管理安全运维平台，包括集中授权管理中心、面向业务的精确带宽流量控制系统和业务服务中心，系统应具备完整业务功能和良好伸缩性。

实现集中授权管理中心，建立集中安全管控平台：构建全网集中的用户账号管理、认证管理、授权管理、日志审计，为内外网用户提供统一的接入服务，加强内控管理，并且为精确带宽流量控制系统和业务服务管理中心提供管理控制依据。

面向业务的带宽流量控制系统：构建业务网络分析、净化、控制系统，进行全面的流量监视、净化和控制，有效提高链路的带宽利用率，保障重点业务的网络质量。

2.2 CA证书认证体系设计

为切实做好政务信息系统安全认证工作，提高各个区县网络安全保障水平和对应用系统的防护能力，建立CA证书认证体系。

遵循“建设政务信息系统统一的身份认证体系，为构建政务网络信任体系奠定基础，提高应用系统安全保障和防护能力”的目标，保证数据的完整性和保密性，确保用户来源和行为的真实性和不可否认性。

2.3 内外网统一安全接入――P2P VSN虚拟安全工作域

建立P2P构成的虚拟安全域，确保政务信息业务应用环境的安全性。

通过集中安全管控平台，用户终端无论在企业网内或是在互联网中，只需要能够在网络层与安全网关之间可达、通过身份认证后即可建立P2P VSN虚拟安全工作域，借由端到端的加密隧道与授权业务系统进行通信。

2.4 防止社会工程学入侵渗透

在以上的技术应用可以阻止90%以上的黑客攻击，但是有关信息系统及其网络安全的问题是矛与盾永无休止的话题，事实上，没有任何技术能防范社会工程学攻击。这就是安全方面做薄弱的环节：人！

政务信息所有工作人员都应该进行定期前言安全知识培训。

政务信息系统所有业务干系人都应懂得基本的安全策略，策略是指导业务人员行为保护政务信息系统与敏感信息所必须的规则。

参考文献

[1]张丽丽.新常态下推进“互联网+政务服务”建设研究――以浙江省政务服务网为例[J].浙江学刊，2016（05）.

[2]冯巧玲.IPS在电子政务系统中的部署与实现[J].西安文理学院学报（自然科学版）， 2015（02）.

[3]刘邦凡，关梦颖.电子政务的信息安全立法[J].电子商务，2014（01）.

第9篇：企业网络安全保障方案范文

【关键词】等级保护；虚拟专网；VPN

1.引言

随着因特网技术应用的普及，以及政府、企业和各部门及其分支结构网络建设和安全互联互通需求的不断增长，VPN技术为企业提供了一种低成本的组网方式。同时，我国现行的“计算机安全等级保护”也为企业在建设信息系统时提供了安全整体设计思路和标准。如何充分利用VPN技术和相关产品，为企业提供符合安全等级保护要求、性价比高的网络安全总体解决方案，是当前企业信息系统设计中面临的挑战。

2.信息安全管理体系发展轨迹

对于信息安全管理问题，在上世纪90年代初引起世界主要发达国家的注意，并投入大量的资金和人力进行分析和研究。英国分别于1995年和1998年出版BS7799标准的第一部分《信息安全管理实施细则》和第二部分《信息安全管理体系规范》，规定信息安全管理体系与控制要求和实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，是一个全面信息安全管理体系评估的基础和正式认证方案的根据。国际标准化组织（ISO）联合国际电工委员会（IEC）分别于2000年和2005年将BS7799标准转换为ISO/IEC 17799《信息安全管理体系 实施细则》和ISO/IEC 27001《信息安全管理体系 要求》，并向全世界推广。中国国家标准化管理委员会（SAC）于1999年了GB/T 17859《计算机信息系统安全保护等级划分准则》标准，把信息安全管理划分为五个等级，分别针对不同组织性质和对社会、国家危害程度大小进行了不同等级的划分，并提出了监管方法。2008年制订并下发了与ISO/IEC 17799和ISO/IEC 27001相对应的GBT 22081-2008《信息安全管理体系 实用规则》和GBT 22080-2008《信息安全管理体系 要求》。

3.信息系统安全的等级

为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，国家公安部、保密局、密码管理局和国务院信息化工作办公室等，于2007年联合了《信息安全等级保护管理办法》，就全国机构/企业的信息安全保护问题，进行了行政法规方面的规范，并组织和开展对全国重要信息系统安全等级保护定级工作。同时，制订了《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准则》和《信息系统安全等级保护定级指南》等相应技术规范（国家标准审批稿），来指导国内机构/企业进行信息安全保护。

在《信息系统安全等级保护基本要求》中，要求从网络安全、主机安全、应用安全、数据安全及备份恢复、系统运维管理、安全管理机构等几方面，按照身份鉴别、访问控制、介质管理、密码管理、通信和数据的完整、保密性以及数据备份与恢复等具体要求，对信息流进行不同等级的划分，从而达到有效保护的目的。信息系统的安全保护等级分为五级：第一级为自主保护级，第二级指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。

针对政府、企业常用的三级安全保护设计中，主要是以三级安全的密码技术、系统安全技术及通信网络安全技术为基础的具有三级安全的信息安全机制和服务支持下，实现三级安全计算环境、三级安全通信网络、三级安全区域边界防护和三级安全管理中心的设计。

图1 三级系统安全保护示意图

图2 VPN产品部署示意图

4.VPN技术及其发展趋势

VPN即虚拟专用网，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

VPN使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。VPN通道的加密方式成为主要的技术要求，目前VPN技术主要包括IPSec VPN，非IPSec VPN（如PPTP，L2TP等），基于WEB的SSL VPN等。

IPSec VPN是基于IPSec协议的VPN产品，由IPSec协议提供隧道安全保障，协议包括AH、ESP、ISAKMP等协议。其通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。通过采用加密封装技术，对所有网络层上的数据进行加密透明保护。IPSec协议最适合于LAN到LAN之间的虚拟专用网构建。

SSL VPN是基于SSL协议的VPN产品。在企业中心部署SSL VPN设备，无需安装客户端软件，授权用户能够从任何标准的WEB浏览器和互联网安全地连接到企业网络资源。SSL VPN产品最适合于远程单机用户与中心之间的虚拟网构建。

整个VPN通信过程可以简化为以下4个步骤：

（1）客户机向VPN服务器发出连接请求。

（2）VPN服务器响应请求并向客户机发出身份认证的请求，客户机与VPN服务器通过信息的交换确认对方的身份，这种身份确认是双向的。

（3）VPN服务器与客户机在确认身份的前提下开始协商安全隧道以及相应的安全参数，形成安全隧道。

（4）最后VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密，然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。

目前国外公开的相关VPN产品多数采用软件加密的方式，加解密算法也多使用通用的3DES、RSA加解密算法，不符合国家密码产品管理和应用的要求。《商用密码管理条例》（中华人民共和国国务院第273号令，1999年10月7日）第四章第十四条规定：任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。国家密码管理局在2009年针对VPN产品下发了《IPSec VPN技术规范》和《SSL VPN技术规范》，明确要求了VPN产品的技术体系和算法要求。

5.VPN技术在等级保护中的应用

在三级防护四大方面的设计要求中，VPN技术可以说是在四大方面的设计要求中都有广泛的应用：

在安全计算环境的设计要求中：首先在实现身份鉴别方面，在用户访问的中心，系统管理员都统一建立的有用户的用户组和用户名，用户会通过VPN的设备登录访问中心的应用系统，当身份得到鉴别通过时才可访问应用系统；其次在数据的完整性保护和保密性保护上都能够防止用户的数据在传输过程中被恶意篡改和盗取。

在安全区域边界的设计要求中：网络边界子系统的边界控制与VPN功能一体化实现，在保证传输安全性的同时提高网络数据包处理效率。

在安全通信网络的设计要求中：网络安全通信的子系统主要是为跨区域边界的通信双方建立安全的通道，通过IPSEC协议建立安全的VPN隧道传输数据。完成整个应用系统中边界或部门服务器边界的安全防护，为内部网络与外部网络的间的信息的安全传输提供加密、身份鉴别及访问控制等安全机制。在客户端和应用服务器进出的总路由前添加网络VPN网关，通过IPSEC协议或者SSL协议建立VPN隧道为进出的数据提供加密传输，实现应用数据的加密通信。

在安全管理中心的设计要求中：系统管理中，VPN技术在主机资源和用户管理能够实现很好的保护，对用户登录、外设接口、网络通信、文件操作及进程服务等方面进行监视机制，确保重要信息安全可控，满足对主机的安全监管需要。

在信息系统安全等级保护设计中VPN产品的部署示意图如图2所示。