企业网络安全方案精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的企业网络安全方案主题范文，仅供参考，欢迎阅读并收藏。

第1篇：企业网络安全方案范文

关键词：网络安全；网络管理；防护；防火墙

中图分类号：TP393.08文献标识码：A文章编号：1009-3044(2011)14-3302-02

随着企业信息化进程的不断发展，网络已成为提高企业生产效率和企业竞争力的有力手段。目前，石化企业网络各类系统诸如ERP系统、原油管理信息系统 、电子邮件系统 以及OA协同办公系统等都相继上线运行，信息化的发展极大地改变了企业传统的管理模式，实现了企业内的资源共享。与此同时，网络安全问题日益突出，各种针对网络协议和应用程序漏洞的新型攻击层出不穷，病毒威胁无处不在。

因此，了解网络安全，做好防范措施，保证系统安全可靠地运行已成为企业网络系统的基本职能，也是企业本质安全的重要一环。

1 石化企业网络安全现状

石化企业局域网一般包含Web、Mail等服务器和办公区客户机，通过内部网相互连接，经防火墙与外网互联。在内部网络中，各计算机处在同一网段或通过Vlan（虚拟网络）技术把企业不同业务部门相互隔离。

2 企业网络安全概述

企业网络安全隐患的来源有内、外网之分，网络安全系统所要防范的不仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问。企业网络安全隐患主要如下：

1) 操作系统本身存在的安全问题

2) 病毒、木马和恶意软件的入侵

3) 网络黑客的攻击

4) 管理及操作人员安全知识缺乏

5) 备份数据和存储媒体的损坏

针对上述安全隐患，可采取安装专业的网络版病毒防护系统，同时加强内部网络的安全管理；配置好防火墙过滤策略，及时安装系统安全补丁；在内、外网之间安装网络扫描检测、入侵检测系统，配置网络安全隔离系统等。

3 网络安全解决方案

一个网络系统的安全建设通常包含许多方面，主要为物理安全、数据安全、网络安全、系统安全等。

3.1 物理安全

物理安全主要指环境、场地和设备的安全及物理访问控制和应急处置计划等，包括机房环境安全、通信线路安全、设备安全、电源安全。

主要考虑：自然灾害、物理损坏和设备故障；选用合适的传输介质；供电安全可靠及网络防雷等。

3.2 网络安全

石化企业内部网络，主要运行的是内部办公、业务系统等，并与企业系统内部的上、下级机构网络及Internet互连。

3.2.1 VLAN技术

VLAN即虚拟局域网。是通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。

借助VLAN技术，可将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境 ，就像使用本地LAN一样方便。一般分为：基于端口的VLAN、基于MAC地址的VLAN、基于第3层的VLAN、基于策略的VLAN。

3.2.2 防火墙技术

1) 防火墙体系结构

① 双重宿主主机体系结构

防火墙的双重宿主主机体系结构是指一台双重宿主主机作为防火墙系统的主体，执行分离外部网络和内部网络的任务。

② 被屏蔽主机体系结构

被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，强迫所有的外部主机与一个堡垒主机相连，而不让其与内部主机相连。

③ 被屏蔽子网体系结构

被屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器，位于堡垒主机的两端，一端连接内网，一端连接外网。为了入侵这种类型的体系结构，入侵者必须穿透两个屏蔽路由器。

2) 企业防火墙应用

① 企业网络体系中的三个区域

边界网络。此网络通过路由器直接面向Internet，通过防火墙将数据转发到网络。

网络。即DMZ，将用户连接到Web服务器或其他服务器，Web服务器通过内部防火墙连接到内部网络。

内部网络。连接各个内部服务器（如企业OA服务器，ERP服务器等）和内部用户。

② 防火墙及其功能

在企业网络中，常常有两个不同的防火墙:防火墙和内部防火墙。虽然任务相似，但侧重点不同，防火墙主要提供对不受信任的外部用户的限制，而内部防火墙主要防止外部用户访问内部网络并且限制内部用户非授权的操作。

在以上3个区域中，虽然内部网络和DMZ都属于企业内部网络的一部分，但他们的安全级别不同，对于要保护的大部分内部网络，一般禁止所有来自Internet用户的访问；而企业DMZ区，限制则没有那么严格。

3.2.3 VPN技术

VPN(Virtual Private Network)虚拟专用网络，一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。位于不同地方的两个或多个企业内部网之间就好像架设了一条专线，但它并不需要真正地去铺设光缆之类的物理线路。

企业用户采用VPN技术来构建其跨越公共网络的内联网系统，与Internet进行隔离，控制内网与Internet的相互访问。VPN设备放置于内部网络与路由器之间，将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离，禁止外网直接访问内网，控制内网的对外访问。

3.3 应用系统安全

企业应用系统安全包括两方面。一方面涉及用户进入系统的身份鉴别与控制，对安全相关操作进行审核等。另一方面涉及各种数据库系统、Web、FTP服务、E-MAIL等

病毒防护是企业应用系统安全的重要组成部分，企业在构建网络防病毒系统时，应全方位地布置企业防毒产品。

在网络骨干接入处，安装防毒墙，对主要网络协议（SMTP、FTP、HTTP）进行杀毒处理；在服务器上安装单独的服务器杀毒产品，各用户安装网络版杀毒软件客户端；对邮件系统，可采取安装专用邮件杀毒产品。

4 结束语

该文从网络安全及其建设原则进行了论述，对企业网络安全建设的解决方案进行了探讨和总结。石化企业日新月异，网络安全管理任重道远，网络安全已成为企业安全的重要组成部分、甚而成为企业的本质安全。加强网络安全建设，确保网络安全运行势在必行。

参考文献：

[1] 王达. 路由器配置与管理完全手册――H3C篇[M]. 武汉:华中科技大学出版社,2010．

[2] 王文寿. 网管员必备宝典――网络安全[M]. 北京:清华大学出版社,2007．

第2篇：企业网络安全方案范文

关键词 网络安全；方案设计；方案实现

中图分类号 G271 文献标识码 A 文章编号 1673-9671-（2012）111-0142-01

计算机网络的安全运行，是关系到一个企业发展的重要问题，如何能使得企业网络更为安全，如今已经成为了一个热议的话题。影响网络安全的因素有很多种，保护网络安全的手段、技术也很多。对于网络安全的保护我们一般都是通过防火墙、加密系统、防病毒系统、身份认证等等方面来保护网络的安全。为了保护网络系统的安全，我们必须要结合网络的具体需求，把多种安全措施进行总结，建立一个立体的、全面的、多层次网络安全防御系统。

1 影响网络安全的因素

网络信息的安全问题日益严重，这不仅会使企业遭受到巨大的经济损失，也影响到国家的安全。

如何避免网络安全问题的产生，我们必须要清楚因法网络安全问题的因素有哪些。我们主要把网络安全问题归纳为以下几个方面：

1.1 人为失误

人为失去指的是在在无意识的情况下造成的失误，进而引发网络安全问题。如“非法操作、口令的丢失、资源访问时控制不合理、管理人员疏忽大意等，这些都会对企业网络系统造成很大的破坏，引发网络安全问题。

1.2 病毒感染

病毒一直以来，都是能够对计算机安全够成直接威胁的因素，而网络更能够为病毒提供迅速快捷的传播途径，病毒很容易通过服务器以软件的方式下载、邮件等方式进入网络，然后对计算机网络进行攻击、破坏，进而会造成很大的经济损失。

1.3 来自企业网络外部的攻击

企业网络外部的攻击主要是企业局域网外部的恶意攻击，比如：伪装合法用户进入企业网络，并占用修改资源；有选择的来破坏企业网络信息的完整性和有效性；修改企业网站数据、破译企业机密、窃取企业情报、破坏企业网络软件；利用中间网线来读取或者拦截企业绝密信息等。

1.4 来自网络内部的攻击

在企业局域网内部，一些非法人员冒用合法的口令，登陆企业计算机网络，产看企业机密信息，修改企业信息内容，破坏企业网络系统的正常运行。

1.5 企业网络系统漏洞

企业的网络系统不可能是毫无破绽的，而企业网络中的漏洞，总是设计者预先留下的，为网络黑客和工业间谍提供最薄弱的攻击部位。

2 企业计算机网络安全方案的设计与实现

影响计算机网络完全因素很多，而相应的保护手段也很多。

2.1 动态口令身份认证的设计与实现

动态口令身份认证具有动态性、不可逆性、一次性、随机性等特点，跟传统静态口令相比，增加了计算机网络的安全性。传统的静态口令进行身份验证的时候，很容易导致企业计算机网络数据遭到窃取、攻击、认证信息的截取等诸多问题。而动态口令的使用不仅保留了静态口令的优点，又采用了先进的身份认证以及解密流程，而每一个动态口令只能使用一次，并且对认证的结果进行记录，防止同一个口令多次登录。

2.2 企业日志管理与备份的设计与实现

企业要想保证计算机网络的安全，对于计算机网络进行日志管理和备份是不可缺少的内容，日志管理和备份数据系统是计算机运行的基础。计算机在运行过程中难保不会出现故障，而计算机中的数据和资料的一个企业的血液，如果数据和资料丢失，会给企业今后的发展带来巨大的不便，为了避免数据资料的丢失，我们就应当对计算机网络做好数据备份以及数据归档的保护措施。这些都是维护企业网络安全的最基本的措施与工作。

2.3 病毒防护设计与实现

计算机病毒每年都在呈上涨的趋势，我国每年遭受计算机入侵的网络，占到了相当高的比例。计算机病毒会使计算机运行缓慢，对计算机网络进行有目的的破坏行为。目前Internet在飞速的发展，让病毒在网上出现之后，会很快的通过网络进行传播。对于企业计算机网络，应当时刻进行监控以及判断系统中是否有病毒的存在，要加大对于病毒的检测。处理、免疫及对抗的能力。而企业使用防病毒系统，可以有效的防止病毒入侵带来的损失。为了使企业的网络更加安全，要建立起一个完善的防病毒系统，制定相应的措施和病毒入侵时的紧急应急措施，同时也要加大工作人员的安全意识。

病毒会随着时间的推移变的随时都有可能出现，所以企业中计算机网络安全人员，要随时加强对于防毒系统的升级、更新、漏洞修复，找出多种不同的防毒方法，提高企业计算机网络防病毒的能力。

2.4 防火墙技术设计与实现

Internet使用过程中，要通过内网。外网的连接来实现访问，这些就给网络黑客们提供了良好的空间与环境。目前，企业计算机网络系统，采用防火墙技术，能有效的保证企业的机密不会受到网络黑客以及工业间谍的入侵，这种方法也是维护企业计算机网络最有效、最经济的方法，因为防火墙系统是企业计算机网络安全的最前面屏障，能有效的组织入侵情况的发生。所以企业计算机网络第一个安全措施就是安装以及应用防火墙。防火墙一般是安装在内部网络出口处，在内网与外网之间。

防火墙最大的特点是所有的信息传递都要经过它，这样就能有效的避免企业网络遭到非法入侵，防火本身的具有很高的可靠性，它可以加强对企业网络的监督，防止外部入侵和黑客攻击造成的信息泄露，

2.5 网络安全设计的实现

在企业网络运行中，与用户和各个系统之间，存在着信息交换的过程，这些信息包括信息代码、电子文稿、文档等，所以总会有各种网络安全的问题出现。为了保障网络的安全性和客户使用的合法性，就要去严格的限制登录者的操作权限，增加口令的复杂程度。当工作人员离职要对于网络口令认证做出相应的调整，以避免带来的不便。

3 总结

现今网络在现代生活中发展迅速，然而网络安全的系统也日益突出。作为一个企业如何的保证自己网络的安全性，使自身能够更快更好的发展，面对着网络入侵的行为要进行如何的防御，已经是一个越来越迫切的问题。我们只有从实际出发，去构建一个完整的安全的网络防御系统，才能保证企业网络的安全。

参考文献

[1]唐红亮.防火墙设计浅析[J].中国科技信息，2009，06.

第3篇：企业网络安全方案范文

关键词：企业网络安全；内网安全；安全防护管理

中图分类号：TP311 文献标识码：A 文章编号：1674-7712 （2013） 04-0069-01

一、企业网络安全防护信息管理系统的构建意义

据调查统计显示，源于企业外部网络入侵和攻击仅占企业网络安全问题的5%左右，网络安全问题大部分发生在企业内部网络，内部网络也是网络安全防护的关键部分。因此，对企业内部网络信息资源的有效保护极为重要。传统的网络安全防护系统多数都是防止外部网络对内部网络进行入侵和攻击，这种方式只是将企业内部网络当作一个局域网进行安全防护，认为只要能够有效控制进入内部网络的入口，就可以保证整个网络系统的安全，但是，这种网络安全防护方案不能够很好地解决企业内部网络发生的恶意攻击行为，只有不断加强对企业内部网络的安全控制，规范每个用户的行为操作，并对网络操作行为进行实时监控，才能够真正解决企业内部网络信息资源安全防护问题。

二、企业网络安全防护信息管理系统总体设计

（一）内网安全防护模型设计。根据企业内部网络安全防护的实际需求，本文提出企业网络安全防护信息管理系统的安全防护模型，能够对企业内部网络的存在的安全隐患问题进行全面防护。

由图1可知，企业网络安全防护信息管理系统的安全防护模型从五个方面对企业内部网络的信息资源进行全方位、立体式防护，组成了多层次、多结构的企业内部网络安全防护体系，对企业内部网络终端数据信息的窃取、攻击等行为进行安全防范，从而保障了企业内部网络信息资源的整体安全。

（二）系统功能设计。企业网络安全防护信息管理系统功能主要包括六个方面：一是主机登陆控制，主要负责对登录到系统的用户身份进行验证，确认用户是否拥有合法身份；二是网络访问控制，负责对企业内部网络所有用户的网络操作行为进行实时监控和监管，组织内网核心信息资源泄露；三是磁盘安全认证，负责对企业内部网络的计算机终端接入情况进行合法验证；四是磁盘读写控制，负责对企业内部网络计算机终端传输等数据信息流向进行控制；五是系统自防护，负责保障安全防护系统不会随意被用户卸载删除；六是安全审计，负责对企业内部网络用户的操作行为和过程进行实时审计。

（三）系统部署设计。本文提出的企业网络安全防护信息管理系统设计方案采用基于C/S模式的三层体系架构，由安全防护、安全防护管理控制台、安全防护服务器三部分共同构成，实时对企业内部网络进行安全防护，保障内部网络信息资源不会泄露。安全防护将企业内部网络计算机终端状态、动作信息等传递给安全防护服务器，安全防护管理控制台发出指令，由安全防护服务器将指令传送给安全防护完成执行。

三、企业网络安全防护信息管理系统详细设计

（一）安全管理控制台设计。安全管理控制台是为企业网络安全防护信息管理系统的管理员提供服务的平台，能够提供一个界面友好、操作方便的人机交互界面。还可以将安全策略管理、安全日志查询等操作转换为执行命令，再传递给安全防护服务器，通过启动安全防护对企业内部网络计算机终端进行有效控制，制定完善的安全管理策略，完成对系统的日常安全管理工作。

安全管理人员登录管理控制台时，系统首先提示用户输入账号和密码，并将合法的USB Key数字认证设备插入主机，经过合法性验证之后，管理员获得对防护主机的控制权。为了对登录系统用户的操作严格控制，本系统采用用户名和密码登录方式，结合USB Key数字认证方式，有效提高了系统安全登录认证强度。用户采取分级授权管理的方式，系统管理人员的日常维护过程可以自动生成日志记录，由系统审计管理人员进行合法审计。

（二）安全防护服务器设计。安全防护服务器主要负责企业网络安全防护信息管理系统数据信息都交互传递，作为一个信息中转中心，安全防护服务器还承担命令传递、数据处理等功能，其日常运行的稳定性和高效性直接影响到整个系统的运行情况。因此，安全防护服务器的设计不但要实现基本功能，还应该注重提高系统的可用性。

安全防护服务器的主要功能包括：负责将安全管理控制台发出的安全控制信息、安全策略信息和安全信息查询指令传送给安全防护；将安全防护上传到系统中的审计日志进行实时存储，及时响应安全管理控制台的相关命令；将安全防护下达的报警命令存储转发；实时监测安全管理控制台的状态，对其操作行为进行维护。

（三）安全防护设计。安全防护的主要功能包括：当安全防护建立新的网络连接时，需要与安全防护服务器进行双向安全认证。负责接收安全防护服务器发出的安全控制策略命令，包括用户身份信息管理、磁盘信息管理和安全管理策略的修改等。当系统文件已经超过设定的文件长度，或者超过了设定的时间间隔，则由安全防护向安全防护服务器发送违规操作信息；当其与安全防护服务器无法成功建立连接时，将日志信息存储在系统数据库中，等待与网络成功重新建立连接时，再将信息传送到安全防护服务器中。

综上所述，本文对企业内部网络信息安全问题进行了深入研究，构建了企业内部网络安全防护模型，提出了企业网络安全防护信息管理系统设计方案，从多方面、多层次对企业内部网络信息资源的安全进行全面防护，有效解决了企业内部网络日常运行中容易出现的内部信息泄露、内部人员攻击等问题。

参考文献：

第4篇：企业网络安全方案范文

关键词 网络安全；物理隔离；地形图保密

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）09-0179-01

1 勘察设计企业网络现状

勘察设计企业在设计工作中经常会用到或产生一些文件，尤其是地形图等密级较高的文件资料。我国2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离”。为保护国家秘密不外泄，同时满足信息化办公的生产需求，目前国内勘察类企业主要采用两种网络架构方式。一种是设置内部办公网络和外部网络，员工各自配置两台分别连接内外网络的计算机，两者完全物理隔离。这种方式建设和维护成本大，员工操控灵活度低。内部办公网络实现公司信息化办公和资源内部共享等需求，外部网络实现互联网资料查询和外部交流，同时严禁内部网络信息向外部网络流通。另一种设立指定的互联网访问区，专门人员或机构采集互联网信息复制到内部网络，或者设立专门的可访问互联网的设备或区域，这种方式实时性不好。

2 网络隔离技术趋势

物理隔离是网络隔离的一种重要形式，它是通过网络与计算机设备的空间分离来实现的网络隔离[1]。与物理隔离不同的另一种网络隔离方式是采用密码技术的VPN隔离。虚拟专用网（VPN）是通过使用密码和隧道技术、在公共网络设施上构建的、具有专用网络安全特性的逻辑网络[2]。VPN隔离追求的是数据的分离或不可读，而物理隔离强调的是设备的分离。尽管VPN的实现成本较低，但是在网络的边界点，隔离设备容易被攻击，特别是来自公共网络的拒绝服务攻击[2]。

物理隔离网闸的思路决定了它是一种比VPN更高级的安全隔离形式，因为它是在保证必须安全的前提下，尽可能互联互通，如果不能保证安全则完全断开。然而，这种技术成熟的产品还是无法摆脱“摆渡”病毒的攻击。因此，国家保密局信息系统安全保密测评中心颁发的网闸类产品检测证书中明确注明“该产品不可用于互联网和网络之间的信息交换”。

3 双网物理隔离解决方案架构

除去地形图等国家秘密文件外，勘察设计企业商业秘密的保护也是极为迫切的要求。将操作地形图资料的计算机与内部工作网络和外部互联网隔离，内外两条网络之间通过有效的隔离设备和网络安全措施建立可信连接，既能满足国家保密局对于国家秘密的保护要求，又能满足公司内部与互联网之间的资源共享需要。

利用物理隔离网闸安装在工作内网核心交换机和外网核心交换机之间，对于公司内部业务使用的计算机和服务器等设备直接或通过级联设备连接到核心交换机，公司对外交流所用计算机或外网服务器直接或通过级联连接到外网核心交换机。内外网络间数据访问必须经过网闸的“摆渡”。这样，通过内外网之间的网闸不仅实现了两个网络间的物理隔离，还能满足内外网之间实时、适度、可控的内外网络数据交换和应用服务。比如：文件交换、数据库的数据交换与同步、HTTP/HTTPS标准访问、FTP服务、邮件服务等。

图1 基于网闸隔离的网络拓扑结构

通过安全隔离网闸可以对办公网络到外部网之间的传输数据和文件严格执行格式和内容检查，检查的内容可以包括内容检测、防恶意代码、防泄密、文件类型控制等。可以对浏览器中输入的各种关键词和敏感字符串进行限制，预防内网用户因访问外网网站时，在浏览器的访问请求中出现有意或无意泄密的可能。

在公司网络建设中对于地形图等高密级资料的使用必须采取单独网络或单机运行模式，同时出台相应的规章制度，对地形图资料的复制、传递进行严格的规范，并出台相应的惩罚措施，从公司制度层面对网络安全保密行为进行约束。

4 性能分析

物理隔离网闸通过双主机之间的物理断开来达到数据隔离的目的。内外主机间信息交换只能借助拷贝、镜像、反射等非网络方式来完成。另外，根据内外网间数据交换的具体情况还可以选择不同流向的单向或双向隔离网闸，实现更高级别的数据保密要求。市场上部分物理隔离网闸支持基于文件特征库的文件类型过滤和用户自定义关键字的文件内容筛查，可有效防止商业信息的无意泄漏。

应用物理隔离网闸的双网隔离解决方案具备如下优点。

1）屏蔽了内部的网络拓扑结构，屏蔽了内部主机的操作系统漏洞，消除了来自互联网上对网的攻击。

2）内部服务器不对外部网络提供任何端口，不允许来自任何互联网主机的主动请求，降低了自身风险。

3）通过严格的内容过滤和检查机制严防泄密。

4）可根据需要选择单项或双向数据流动方向，灵活性强。

但是，采用物理隔离网闸对内部工作网络和外部网络进行隔离较采用VPN隔离在费用方面不占优势，同时，涉及地形图的计算机部分仍需单独划分网络。

参考文献

[1]网络隔离的技术分析与安全模型应用[J].数据通信，2002（3）：23-25.

第5篇：企业网络安全方案范文

【 关键词 】 电网；信息网络；安全；防范措施

1 引言

通常人们谈到电网时，大多指的是这些输电配电的网络。但其实电网还有另外一张“网”，就是用于传递信息的互联网。在当前我国电力信息化迅猛发展的过程中，调度中心、电力局、电厂与用户之间的信息通信更为频繁。各种与电力相关的生产、管理、运营网络与“电”一样，成为电网必不可少的重要组成部分。这些网络除了带来更为便捷、高效的工作方式外，也附带了病毒入侵，安全漏洞等网络负面因素。

如何能够确保电网的信息传递完整准确，使得输变电网络有效地运转，为国家各项建设提供基础保障，是当前乃至今后的电力工作中的一项重中之重。

2 电力信息网络安全分析

与普通互联网一样，电力信息网络也同样需要面对各种各样的网络安全威胁，包括对各种网络设备，对网络中传递的信息的威胁，甚至是对不完善的管理制度的威胁。下面本文就电力信息网络可能存在的安全问题进行了分析。

1）网络设备可能存在的安全隐患。目前，不少计算机机房并没有防火、防水、防雷击、防电磁泄漏和干扰等措施。在遭遇自然灾害和意外情况时，抵御能力较差；由于噪音或者电磁干扰，可能导致信号的信噪比下降，误码率增加，破坏信息的完整性；人为造成的设备损坏甚至窃听，更是严重影响了信息的安全性。

2）网络本身的安全。信息网络本身在下面几个主要方面存在安全漏洞：网络系统的结构、软件漏洞、病毒入侵。互联网是一个由无数局域网组成的巨大网络。当人们在局域网间进行通信时，这些信息数据流通常要经过许多网络设备的重重转发，任意两节点间的数据包，不仅会被这两个节点的网卡所接收，也会被处在同一个以太网中的任何一个节点的网卡所捕获。黑客只需要侵入这一以太网上的任一节点，就可以截取在这个以太网上传输的所有数据包。因为互联网上大多数的数据包都没有经过加密，所以黑客通过各种手段很容易对这些数据包进行破解，窃取有用信息。因此，选择合理的网络拓扑结构是信息网络组建时的首要工作。

3）位于网络中的主机或其它设备上的软件可能存在安全漏洞，但没有及时升级更新或打上补丁，又或者软件配置存在安全隐患，使其容易受到攻击也存在感染病毒的可能。

4）蠕虫病毒、ARP欺骗病毒等可能导致网络全部瘫痪。一旦有计算机中的文件感染蠕虫病毒，那么这台计算机和这些文件本身也是蠕虫病毒，可能随着网络的传播，干扰整个网络，使业务无法正常进行。

5）管理制度和人员的安全意识也是网络安全的一大威胁。企业在管理上缺乏必要的规定和监管，对重要甚至的设备或信息的管理不到位，未设置专门的部门或者人员进行专业管理。对员工上网的行为未做必要的规范，导致员工可能通过电子邮件或者其它即时通信方式向外传递敏感信息，泄漏企业机密。

一些员工在信息安全方面的意识较差，例如共享主机或关键设备的账户或密码，密码设置随意，在对外联系时也没有注意到信息的敏感性。这些有意或无意的行为都对电力信息网络带来了安全威胁。

3 电力信息网络安全防范措施

3.1 加强网络安全观念，提升安全防范意识

信息网络安全工作的前提，是提高人员的思想意识。首先要加强宣传教育，使全体人员充分认识到信息网络安全的重要性，树立网络安全观。其次，可以通过丰富多样的培训内容和方式，对全体员工进行网络安全知识的培训，并通过理论考试或者上机实践等方式，让大家充分理解和掌握网络安全的基础知识和技能。再者，员工都应该自觉地遵守信息安全管理的各项规定，培养对网络安全工作的主动性和自觉性，保证信息网络的安全。最后，各级领导也应该转变观念，充分认识到信息网络的安全风险，加大在网络安全方面的投入和工作力度。

3.2 结合多种技术手段，构建安全的信息网络

3.2.1物理的安全防护

物理的安全防护包括物理的分区和各种设备的安全两个方面。

根据国家《电力二次系统安全防护规定》和《电力二次系统安全防护总体方案》等文件的要求，电力行业的物理分区必须明晰。根据业务的不同，划分为生产控制区和信息管理区两大部分。其中，生产控制区又分为主控制区和非控制区，信息管理区又分为信息内网和信息外网。这些不同的区域分别采用不同的保护等级，并且使用物理隔离装置也就是专用的防火墙，进行隔离。

各区域内部和区域之间的通信设备必须严格按照国家规定，采购品质好，安全性能高的设备。不仅如此，在运输、安装、使用的过程中也要加强安全措施，除了注意防火、防盗、防水、防潮、防静电等外，还需要对重要的设备进行防电磁辐射保护。当设备出现故障或超过使用期限时，要及时处理或销毁。不同安全级别的设备要区别处理，要注意对送出单位进行修理的设备上存储的信息的安全。设备的销毁则一定要送入国家专业机构进行处理。

3.2.2逻辑保护

逻辑的保护主要是进一步将网络进行分区，增加网络防护的深度。当出现入侵时，入侵者需要破解多层的防护。这样即提高了入侵的难度，也为主动防御增加了时间。通过设置交换机或者路由策略，将核心部门的主机集中在一个没有其它用户节点的VLAN中，更好地保护主机中的资源；也可以按照部门或者业务分工划分VLAN，各部门内部的用户节点或服务器独立存在于各自的VLAN中，互不干扰，从而防止病毒的传播和黑客攻击。

3.2.3防火墙

防火墙是一套由应用层网关、包过滤路由器和电路层网关等组成的系统。逻辑上，它处于企业内网和外部互联网之间，提供网络通信，保证企业内网能正常安全地运行。根据防火墙的作用不同，分为两类，主机防火墙和网络防火墙。前者主要在主机受到攻击时进行保护；后者为网络协议的2至7层提供防护。

3.2.4入侵系统

入侵检测系统（IDS）是主动防御攻击的网络安全系统。这一系统通过收集，分析网络的行为、安全日志、数据以及计算机系统中关键点的信息，查看系统或网络中是否有违反安全策略的行为或者被攻击的可能。它与防火墙一起，完善了整个网络安全的防御体系，是网络安全的第二道闸门，在电力信息网络安全工作中发挥着重要作用。其在整个网络布局中的位置示意图如图1所示。

3.3 完善网络安全制度，强化安全管理

要做好电力信息网络安全工作，技术是保障，而管理是关键。因此，需要有一套严密有效的网络安全管理制度，无论是技术人员还是普通用户都需要严格遵守和执行管理规定。这些制度包含几个方面。

1）信息监管。各区域的网络，尤其是信息外网的使用者在上网时，需要加强审查，规范上网信息，以及上传和下载信息的行为。严禁携带，传播信息和不健康的信息，必要时可以使用带保密功能的终端，杜绝有意和无意的泄密事件。

2）设备管理和使用。对各种软、硬件设备，在采购、运输、安装、使用和报废等关键环节，都需要登记造册，由专门的部门以及专人负责保管和维护，确保设备的安全。针对密级较高的设备，可以由专人负责分类存放，甚至可以配置专人专机。一般情况下，不允许使用个人设备、未登记备案的办公设备、未经加密处理的设备接入网络。

3）存储和备份管理。各种存储信息的介质，都需要统一编号登记，按照级别分门别类存放，由专门的部门专门的人员负责。数据是保证信息网络安全的核心，而数据备份是保证数据不受损失的最佳方法。为了防止设备意外损坏、人为操作失误或者其它未知因素导致的数据丢失，需要制定完备的备份恢复策略，保证及时有效地恢复数据，避免系统瘫痪。可以结合实际情况，采取增量备份，完整备份，或者利用第三方工具进行磁带备份等等技术手段，提高数据的安全性，保证数据的完整性。

4）风险评估和检测。在专业的网络安全服务公司的帮助下，结合电力信息网络安全的实际，加强各部门间安全信息的交流与共享，建立风险评估机制和管理机制。 持续研究和发现网络安全漏洞或者缺陷，评估面临的风险和威胁，并且寻求相应的补救方法，做到防患于未然。

3.4 加强人才培养，提高人员素质

成立专门负责信息网络安全的部门或者小组，选择具有专业水平或者学历的人员担当管理人员、技术人员。通过开展学术交流，进修，内部培训等多种方式，对这些人员进行系统全面的培训，在加强责任心，业务能力培养的同时，也加大对计算机网络安全技能的培训，不断更新人员的知识结构。掌握最新的安全防护技能。此外，还可以引进人才，充实到信息网络安全的各个工作岗位。

4 结束语

电力行业是国家的基础行业中尤为重要的一项，关系到国计民生。如何保障电力的稳定运行，如何让电力保障人民生产生活的正常进行，是电力行业一直面临的问题。这其中，电力信息网络的安全工作随着互联网的进一步发展，将会是电力行业的一项新的挑战。

本文通过对电力信息网络中存在的风险进行分析，并从管理和技术上提出几种安全防范措施。目标在于更好地满足电力信息网络安全稳定运行和数据资料的保密性，从而为电力在国家各项建设中发挥作用提供更有利的保障。

参考文献

[1] 李涛.网络安全概论[M].北京：电子工业出版社，2004.

[2] 王宏伟.网络安全威胁与对策[J].应用技术.2006，5.

[3] 余勇. 电力系统中的信息安全策略[J].信息网络安全，2003，9.

[4] 王能辉.我国计算机网络及信息安全存在的问题和对策[J].科技信息，2010，7.

[5] 钟婧文，崔敬.信息系统网络安全问题研究[J].科技致富向导，2010，5.

[6] 魏晓著，柳英楠，来风刚.国家电力信息网信息安全防护体系框架与策略.计算机安全，2004，2.

第6篇：企业网络安全方案范文

 

随着我国经济的快速发展和信息化进程的加快，企业都建立了自己的网络系统，计算机网络在企业的日常工作和管理中发挥着越来越大的作用。然而，网络带给我们便利的同时，也因为网络的开放性和自由性的特点，导致一些非法分子的攻击，恶意破坏或侵犯网络，安全问题日趋突出。企业在加强对内部网络进行安全管理的同量，还要采取必要的技术措施来保证信息安全。

 

一、内部网络安全隐患

 

为了提高工作效率，绝大多数企业都建立了自己的内部网络，内部网络存在的安全隐患同样会对信息安全造成很多的威胁，甚至会对企业造成重大经济损失。企业网络面临的威胁来自于企业内部和企业外部两个方面，安全隐患主要体现在管理不严，导致非法入侵;企业内部操作不规范，故意修改自己的IP地址等，导致企业内部信息的泄漏;网络黑客通过系统的漏洞进行攻击，导致网络的瘫痪，数据的盗取;病毒通过局域网资料的共享造成病毒的蔓延等。

 

企业网络面临的外部威胁主要是指黑客攻击，它们凭借计算机技术和通信技术侵入到企业内部网络信息系统中，非法获得企业内部的机密文件和信息。无论是操作系统还是网络服务都存在一定的安全漏洞，这些漏洞的存在，就给攻击者提供了入侵的机会。网络黑客通过各种手段对涉密网络中的计算机进行攻击，非法闯入涉密信息系统，窃取涉密信息，泄露涉密信息系统内的重要文件。

 

由于企业内部管理不善，企业员工的恶意行为也影响着信息的安全，内部人员的威胁行为分为违规操作和恶意报复。其中，内部员工的违规操作是造成外部威胁得逞的主要原因，有的工作人员利用自己的工作便利进入企业的信息系统，窃取企业信息系统内的重要文件，并将信息泄漏给他人，获取一定的利益;有的员工直接打开从网上下载的文件和视频，不经过专业杀毒软件的扫描，给企业的内部网络带来安全隐患，甚至带来的病毒在全网络蔓延，造成企业内网的瘫痪，严重损坏公司的利益，影响公司的正常运转。

 

二、内部网络安全防护措施

 

对于企业来说，网络安全问题至关重要，必须采取一定的技术措施来保障信息的安全，这些措施有：防火墙技术、病毒防护技术、身份认证、安全管理等。

 

(一)防火墙技术。在一个企业的网络信息系统中，防火墙是组成信息安全体系的重要组成部分，是进行信息安全防护的最基础的网络设施。防火墙在企业内部与外部网络之间建立了一道安全屏障，对企业内部网络的安全起到保护作用，它通过一系列的技术措施来防止外部的安全威胁进入企业内部。同时，对传输到外部的企业内部信息进行检查，防止非法用户的入侵。通过安全监测，防火墙可以监控进出网络的通信数据，阻挡一些非法和没有经过信任认证的数据进入企业内部信息系统。防火墙对进入企业内部网络的信息进行认证、识别，只允许安全的信息进入，一切非法和可疑数据均被挡在防火墙之外。

 

(二)病毒防护。在网络环境下，计算机病毒具有不可估量的威胁性和破坏力。为了避免企业的信息系统遭受病毒攻击，必须在企业网络内部统一安装专业杀毒软件，定期进行扫描查杀病毒，不定期更新杀毒软件的版本，对于系统和应用软件要定期安装补丁程序，防止系统漏洞造成对系统的攻击。采取防护措施防止计算机病毒与恶意代码通过移动存储介质、电子邮件、网络等途径进行传播。对于新添置的各种设备和仪器，不能配置存储外设，比如软驱、光驱、刻录机等，同时也不能开设蓝牙和无线功能。

 

企业内部的网络管理员要实时监视网络服务器上的文件和信息，利用病毒查杀工具定期进行扫描，为了不影响企业员工的正常工作，扫描一般在晚上进行，管理员根据扫描结果对网络进行相应的处理。当网络内的任意一台机器出现故障或病毒时，管理员必须先将此机器的网络断开，防止病毒在企业内部扩散和传播。

 

(三)身份认证。保证信息安全的关键是有效阻止非法用户的入侵，因此，必须对进入企业网络信息系统的用户进行身份认证。用户在登录信息系统前，系统首先要查核用户的身份，确认是系统的合法用户后，才能让其登录系统。身份认证的方法有很多，最简单的一种是设置用户口令，用户口令由用户自行设定，也可由系统随机产生。这种方法实现比较简单，但是如果密码设置的太简单，也很容易被识破。身份认证的另外一种方法是使用唯一标识符。系统在创建用户时，同时为其创建一个标识符，此标识符是用来识别和确认用户身份的唯一标志，标识符通常包括数字、字母和称号等一串字符序列，该数字序列只能属于一个用户使用，在系统周期内，别的用户不能被再次使用。

 

(四)安全管理。由于企业内部网络面临着各种各样的威胁，再加上内部员工操作的不规范，工作环境复杂，近年来流行的桌面管理软件可以很好的解决这个问题。桌面管理软件可以对存储在计算机内的文件进行全面和保护，对企业的重要信息进行事前防御、事中控制、事后审计;它能够有效地防止企业的内部信息通过打印机、存储介质、网络等进行泄密，对信息实现全方位的安全审计。对于一些保密级别较高的信息，采用文件强制性加密功能，员工在操作文件的过程中自动加密处理，即便文件被非法泄漏，外人也无法打开和阅读。另外，企业要建立信息安全管理机构，健全企业内部网络信息安全防护制度建设，实行主管部门领导的责任制，明确规定安全责任，划清安全管理范围。

 

三、结束语

 

随着我国经济的发展，企业信息化的进程不断加快，各行各业都建立了自己的内部网络和信息化系统，给企业的工作带来了很高的效率。然而，随着计算机网络的发展，网络黑客也在凭借着各种攻击手段和技术对网络进行着攻击和破坏，威胁着企业网络的安全，造成恶劣的社会影响。应对网络攻击和各种安全隐患，企业要提高安全意识，建立强有力的安全保障体系，利用各种防范技术做到未雨绸缪，防患于未然，保证企业内部信息的安全。

第7篇：企业网络安全方案范文

关键词：网络安全 安全威胁 防范措施

随着网络技术的不断发展，许多企业建立了自己的局域网及应用系统，为生产、办公提供了关键的数据传输平台。网络系统长期稳定安全地运行，是为企业生产、办公提供优质服务的保障。目前，企业网络平台建设已经延伸到了各个单位的各个层面。在这样大范围分布的网络中，业务系统、网络的分散管理势必会制约管理效率的提高，而且，也带来了诸多安全隐患。本人结合实际经验，谈一谈网络安全与防范技术。

1 企业网络威胁分析

许多企业计算机网络当前所面临的威胁大体可分为两种：一是对网络中资源的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有以下几点：

1.1 人为的无意失误 如用户对计算机安全配置不当造成的安全漏洞，用户安全意识不强，密码口令设置较弱，用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。

1.2 人为的恶意攻击 这是计算机网络所面临的最大威胁。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

1.3 网络软件的漏洞和系统后门 网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外，系统后门都是软件公司的设计编程人员为了自己方便而设置的，一般不为外人所知，但一旦后门洞开，其造成的后果将不堪设想。

1.4 病毒是网络安全的一大隐患 目前，全球已发现四万余种病毒，并且以每月新增300多种的速度继续破坏着网络上宝贵的信息资源。计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。

2 企业网络脆弱性分析

2.1 难以抵制针对系统自身缺陷的攻击 此类攻击手段包括特洛伊木马、口令猜测、缓冲区溢出等。利用系统固有的或系统配置及管理过程中的安全漏洞，穿透或绕过安全设施的防护策略，达到非法访问直至控制系统的目的，并以此为跳板，继续攻击其它系统。

2.2 安全监控手段不多 许多企业没有部署有效的流量管理措施，不能对企业网络中的流量进行监控。当网络中垃圾数据包大量产生，P2P、BT下载猖獗，会严重阻塞网络，拖慢网络中重要业务应用，并最终导致系统瘫痪。

2.3 防病毒系统难以应对复杂多变的病毒环境 现在很多病毒为利用操作系统漏洞进行传播的蠕虫病毒，这种类型的病毒整合了传统病毒传播和黑客攻击的技术，以多种方式进行传播和攻击。它不需要人工干预，能够自动发现和利用系统漏洞，并自动对有系统漏洞的计算机进行传播和攻击，其传播和感染速度极快，破坏性也更强，受感染的系统通常伴随着木马程序种植。这种类型的病毒除了破坏被感染的机器，在传播过程中也会形成DOS攻击，阻塞网络。

2.4 网络设计不合理 网络设计是指拓扑结构的设计和各种网络设备的选择、配置等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下，还可以提供较好的安全性。企业的网络架构简单，交换机配置不合理，都会对网络造成威胁。

2.5 缺少严格合理的安全管理制度 政策的不完善、落实不彻底、安全管理制度的不健全、措施不得力和缺乏有效的动态管理网络系统安全策略的能力等都可能形成对系统安全的威胁。

3 防范措施

3.1 防火墙部署 防火墙是建立在内部专有网络和外部公有网络之间的。所有来自公网的传输信息或从内网发出的信息都必须穿过防火墙。网络访问的安全一方面我们要配置防火墙禁止对内访问，以防止互联网上黑客的非法入侵；另一方面对允许对内访问的合法用户设立安全访问区域。防火墙是在系统内部和外部之间的隔离层，可保护内部系统不被外部系统攻击。

通过配置安全访问控制策略，可确保与外界可靠、安全连接。防火墙的功能是对访问用户进行过滤，通过防火墙的设置，对内网、公网、DMZ区进行划分，并实施安全策略，防止外部用户或内部用户彼此之间的恶性攻击。同时防火墙支持VPN功能，对经常出差的领导、员工支持远程私有网络，用户通过公网可以象访问本地内部局域网一样任意进行访问。此外，防火墙还可以收集和记录关于系统和网络使用的多种信息，为流量监控和入侵检测提供可靠的数据支持。

3.2 防病毒系统 在网络环境下，计算机病毒有不可估量的威胁性和破坏力，因此计算机病毒的防范是网络安全性建设中重要的一环。

通过部署防病毒系统，做到实现集中病毒管理，在中心控制台可监视所有部署防病毒客户端的计算机和服务器。并可据具体需要制定出相应的防范和救治措施，如删除，隔离，杀毒等；能够对进入系统的病毒做实时的响应。自动由中心控制台向其它计算机和服务器更新病毒库。可以预先设定对某些重要文件进行实时扫描监控。

3.3 流量监控系统 什么是流量监控？众所周知，网络通信是通过数据包来完成的，所有信息都包含在网络通信数据包中。两台计算机通过网络“沟通”，是借助发送与接收数据包来完成的。所谓流量监控，实际上就是针对这些网络通信数据包进行管理与控制，同时进行优化与限制。流量监控的目的是允许并保证有用数据包的高效传输，禁止或限制非法数据包传输，一保一限是流量监控的本质。在P2P技术广泛应用的今天，企业部署流量监控是非常有必要的。

3.4 合理的配置策略 通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全。

3.4.1 增加了网络连接的灵活性 借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。

3.4.2 控制网络上的广播 VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

3.4.3 增加网络的安全性 因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。

3.5 安全管理制度 面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理，制订相应的管理制度或采用相应的规范。对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可安装自动识别登记系统，采用指纹锁、身份卡等手段，对人员进行识别、登记管理。

4 结束语

总之，网络安全是需要综合的部署和完善的策略来做保证的。企业的网络安全是一项综合性很强的工作，并且持续的时间将随着整个拓扑和应用的周期而扩展。网络管理人员必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则，根据规定的安全策略制定出合理灵活的部署，这样才能真正做到整个网络的安全。

参考文献：

第8篇：企业网络安全方案范文

关键词:信息网络；特点；防护；供电企业；

1. 前言

当今社会是一个信息化社会，信息网络技术在政治、经济、军事、交通、文教等方面的作用日益增大。社会对信息网络的依赖也日益增强，网络的重要性和对社会的影响也越来越大。目前，企业的信息化也已成为全球的趋势，网络与信息系统作为先进生产力的象征，被广大企业广泛运用，但是我们在享受信息网络便利的同时，也不得不为企业的信息网络安全而担忧，企业的信息网络既面临来自外部的安全威胁,也面临来自内部的安全威胁，由此需要加强防范措施,以保证企业的信息网络的安全。我们以供电企业为例，就企业的信息网络安全需求及防护进行探讨。

2.电力行业网络拓扑结构特点

电力行业地域跨度大，应用系统多，网络结构复杂。国家电力信息网(SPInet)，即中国电力数据网(CEDnet)或国家电力数据网(SPDnet)，共分4级，连接了国电公司、网公司、以及各地、市或县供电公司。网上开通的业务主要有：调度自动化系统、电子邮件服务、WWW服务、域名解析服务、办公自动化系统、管理信息系统、视频点播系统等，同时承载着实时、准实时生产控制业务和管理信息业务。

3. 供电公司网络安全的属性

网络安全有自己特定的属性，主要有机密性、完整性、可用性和可控性这四个方面。

(1) 机密性

是为了使信息不泄露给非授权用户、非授权实体或非授权过程，或供其利用，防止用户非法获取关键的敏感信息或机密信息。通常采用加密来保证数据的机密性。

(2) 完整性

是为了使数据未经授权不能被修改，即信息在存储或传输过程中保持不被修改、不被破坏和不被丢失。它主要包括软件的完整性和数据的完整性两个方面的内容。

•软件完整性是为了防止对程序的修改，如病毒。

•数据完整性是为了保证存储在计算机系统中或在网络上传输的数据不受非法删改或意外事件的破坏，保持数据整体的完整。

(3) 可用性

是为了被授权实体访问并按需求使用，即当用户需要时能够在提供服务的服务器上进行所需信息的存取。例如：网络环境下拒绝服务、破坏网络和破坏有关系统的正常运行等，都属于对可用性的攻击。

(4) 可控性

是为了对信息的传播及内容具有控制能力。任何信息都要在一定传输范围内可控，如密码的托管政策等。

4.供电企业的信息网络安全需求及防护

正确的风险分析是保证网络环境安全的非常重要的一环，一个性能优良的安全系统结构和安全系统平台，能够以低的安全代价换得高的安全强度。根据供电企业网络系统覆盖面大、数据处理量大、安全性要求高等特点，在设计网络安全体系时，必须充分考虑各种安全要素，合理的进行网络安全的技术设计，针对面临的风险，采取相应的安全措施。结合供电公司的实际情况，按上述层次对供电企业的信息网络安全需求进行分析。

4.1 物理安全

物理安全包括通信线路，物理设备，机房等安全。物理层的安全主要体现在通信线路的可靠性，软硬件设备安全性，设备的备份，防灾害能力、防干扰能力，设备的运行环境，不间断电源保障等等，可分为环境安全、设备安全、媒体安全三方面。要满足供电企业的信息网络物理安全需求，以下设备和措施是必要的：

(1)安装机房专用空调，满足各类网络设备和服务器的散热需要，保持机房环境温度和湿度基本恒定；铺设防静电地板，且需满足设备机柜承重需要；服务器和主要交换机应配置冗余电源，根据42U标准机柜空间计算，每个机柜应至少应配送一路32A供电，或两路16A供电；机柜和设备应满足接地要求；

(2)机房配备UPS电源供电，现有设备负荷应不超过UPS额定输出的70%，UPS提供的后备电源时间不应小于2小时；机房应安装门禁系统；机房应安装消防报警及自动灭火系统；机房应安装防雷击系统；主要办公设施内的网络布线应采用千兆双绞线结构化布线，各单位间的长距离网络布线应采架设光纤专线。

4.2 网络安全

网络平台的安全涉及网络拓扑结构、网络路由状况及网络的环境等。

供电企业所面对的网络风险主要来自以下几方面：

(1)来自互联网的风险

供电企业一般都建设了银电联网系统、远程负荷控制系统和远程抄表系统等，这些系统都通过Internet向供电企业传输数据，供电企业的内部网络如果与Internet直接或间接互联，那么由于互联网自身的广泛性、自由性等特点，像电力行业这样的能源企业自然会被恶意的入侵者列入其攻击目标的前列。

(2)来自合作单位的风险

由于业务需要，供电企业一般要与当地移动、联通和各家银行等单位网络互联。由于供电企业与这些单位之间不可能是完全任信关系，因此，它们之间的互联，也使得供电企业网络系统面临着来自外单位的安全威胁。

(3)来自电力内部网的风险

电力系统的网络建设已有一定规模，形成了电力内部网，很多供电企业网络与地区、全省甚至全国的其他供电企业都有互联。对每一个供电企业来说，其它供电企业都可以说是不受信任的，有可能存在安全危胁。

(4)来自内部局域网的风险

据调查统计，己发生的网络安全事件中，70%的攻击是来自内部。因此内部局域网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉，自已攻击或泄露重要信息内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。

(5)管理安全风险

企业员工的安全意识薄弱，企业的安全管理体制不健全也是网络存在安全风险的重要因素之一，健全的安全管理体制是一个企业网络安全得以保障及维系的关键因素。

要满足供电企业的系统安全需求，以下设备和措施是必要的：鉴于供电企业采用Windows操作系统较为普遍，企业的信息内外网均应部署WSUS系统，及时为服务器和PC更新系统补丁，填补漏洞，保障安全；企业内外网均应部署企业版杀毒软件，设定合适的病毒防护策略； 各系统账号和密码应具有足够的强度，由专人管理，定时更换；操作系统应配置合理，安全可靠。

4.3 应用安全

应用安全是指主机系统上应用软件层面的安全。大部分应用系统软件没有进行安全性设计。

供电企业所面对的应用安全风险主要来自以下几方面：网络资源共享应用风险；数据信息安全风险和用户使用的安全风险要应对多种应用安全风险，满足供电企业的信息应用安全需求，以下设备和措施是必要的：

安装部署企业版杀毒软件，全网设置统一防毒策略和日志收集，严格防控病毒和木马的传播；建立WSUS服务器，并在全网安装部署补丁分发系统，及时修补各类漏洞，降低安全风险；使用专用扫描软件，定时对网络内的WWW、FTP、邮件、数据库以及操作系统等各种应用进行安全风险扫描，及时掌握动态的安全风险状况；定时由专人对数据库等重要和特殊应用系统进行升级或漏洞修补，做好操作前和操作后备份工作，保证数据的安全；为全网主机统一安装部署基于主机IPS，关停不使用的服务和共享文件，设置好操作系统的各类权限，帮助保护用户终端的安全；对重要数据做好集中保存、备份、访问权限控制和加密措施。

4.4 管理安全

管理是网络中安全最最重要的部分，除了从技术上下功夫外，还得依靠安全管理来实现。要应对多种管理安全风险，满足供电企业的信息管理安全需求，以下设备和措施是必要的：

(1)制定详尽的供电企业信息安全规章制度，通过管理手段为信息网络安全提供有力支持；在所有内网、外网及专线连接等所有边界部署日志审计系统，记录、审计和保存网络日志，以追踪定位攻击行为和违规操作； 全网主机应统一安装部署桌面行为管理系统，监控和记录用户终端行为，防止用户的违规操作，统一操作系统和软硬件设置，保护用户终端安全；

(2)全网主机应统一安装部署移动存储介质管理系统，防止重要信息通过移动存储介质外泄；全网主机应统一安装部署防非法外联系统，防止内部局域网主机通过私拉网线、无线网卡等防止连接Internet，保证内部网和Internet的真正隔离；设置接入控制措施，防止非法主机随意入网，并做好网内IP地址分配和管理工作，以定位和排查故障及攻击源。

5. 结 语

本文以供电企业信息网络安全的需求进行了分析，阐述了网络的不安全因素及其可能的后果，并以此为基础，对供电企业的信息网络进行了分层的安全风险分析，得出了其在物理、网络、系统、应用和管理等各方面的安全需求。然后根据需求分析的结果，给出了信息网络安全体系的设计原则，为方案的详细设计与实践奠定了基础。

参考文献：

[1]郝玉洁，.网络安全与防火墙技术.北京:电子科技大学学报社科版，2002，1(4):24～28

[2]蔡忠闽、孙国基等.入侵检测系统评估环境的设计与实现系统.仿真学报 2002，3(14).

第9篇：企业网络安全方案范文

在信息网络技术不断推广的情况下，石油企业想要提高核心竞争力，就必须有效提高信息化水平，才能避免各种不良因素给石油企业计算机网络信息安全造成威胁。本文就石油企业计算机网络信息安全及防范措施进行全面探讨，以全面保障石油企业计算机网络信息安全。

【关键词】

石油企业；计算机网络；信息安全；防范措施

对石油企业计算机网络的信息安全情况进行全面分析发现，其安全威胁主要来自与人为因素、内部技术、网络运行等多个方面，需要制定可行、可靠的防范措施，才能真正提高石油企业计算机网络系统的运行稳定性和安全性。

1人为因素方面的防范措施

通常情况下，石油企业的信息系统需要比较复杂的安全防御体系，不但要注重技术要素，还要加强人为因素防范，才能更有效的降低整个系统的安全威胁。目前，人为因素指的是安全配置不完善、操作人员失误、黑客攻击等，会给计算机网络信息安全造成严重威胁。针对上述多种情况，是由企业在加强计算机网络信息安全管理时，需要采取的防范措施主要有：①构建全面性的石油信息安全领导机构，提高各个部门的重视程度，发挥负责人的带头作用，才能真正提高企业员工的安全防范能力。②明确各部门的负责区域和职责范围，加强计算机网络信息安全防范知识的学习，全面提高他们的综合技能，才能真正实现计算机网络信息安全管理工作的全面贯彻。③制定科学的信息安全制度，完善现代化信息安全保护体系，严格执行所有保护措施，才能及时消除各种安全隐患，最终达到保障石油企业计算机网络信息安全的目的。

2内部技术方面的防范措施

从石油企业计算机网络信息安全的内部情况来看，在技术方面应采取的防范措施主要有如下几个方面：（1）信息设备和运行环境方面。在火灾、地震、暴雨等自然灾害发生的时候，石油企业计算机网络信息安全会受到极大威胁，并且，盗窃、电力故障等也能造成极大安全隐患。因此，石油企业必须有效提升自身信息化水平，构建完善的容灾备份体系，加大信息化建设力度，才能真正消除各种安全因素带来的影响。（2）信息系统运行方面。如果石油企业的信息化水平较高，则网络信息系统的运行效率也会相应提高。因此，通过制定双机热备解决方案，在发生断电、电力故障等情况时，石油企业的信息数据也不会丢失，企业的正常工作秩序也不会受到影响，对于保证计算机网络信息系统的持续性有着极大作用。（3）数据库方面。将石油企业的各种数据统一放在一起，并采用集中管理方式，不但能提高数据库的安全性，还能方便企业员工利用。同时，加强数据库软件的维护和管理，及时备份各种数据，对于提高石油企业计算机网络信息的安全性有着重要影响。例如：选择性能较好的数据库软件，采用最合适的硬件备份系统，通过设置多层防御的方式，限制访问人员的权限，不断能实现数据信息的最有效利用，还能避免数据丢失、黑客攻击等造极大影响。

3网络运行方面的防范措施

在信息网络技术快速应用与各个领域的情况下，石油企业计算机网络信息安全的防范，需要高度重视网络运行这个方面，以全新的角度来分析各种网络安全问题，才能真正提高石油企业计算机网络信息的安全性。目前，网络运行中存在的安全问题主要来自于服务器、操作系统、病毒、局域网、网络边界等多个方面，在实践过程中应采取的防范措施主要有如下几个方面：①防火墙的合理运用。在石油企业的局域网上安装防火墙，可以使其和外部网络之间形成一层有效的保护屏障，从而防止病毒、黑客攻击等造成的影响。如果企业内部的人员想要进入计算机网络系统，则需要解密和认证等，才能随意使用各种数据。②系统扫描和科学的风险评估。在计算机网络信息系统正常运行的情况下，采用系统扫描、风险评估等方式，可以有效检测系统存在的漏洞，以及时发展漏洞，从而保证服务器、操作系统、局域网等多方面的安全。③杀毒软件的合理运用。在计算机网络不断升级的情况下，各种病毒的感染能力在不断提高，因此，石油企业计算机网络信息的安全防范，必须注重杀毒软件的合理运用，才能避免整个系统受到影响。目前，使用较多的杀毒软件有：腾讯电脑管家、瑞星、金山毒霸、卡巴斯基、江民和小红散大蜘蛛等，在结合系统各种优化结构、先进技术的基础上，能够确保石油企业计算机网络信息的安全。

4结束语

综上所述，在多媒体不断泛滥的新形势下，石油企业计算机网络信息安全，与石油企业的长远发展有着非常紧密的联系，需要及时消除各种安全隐患，提高石油企业计算机网络系统的运行稳定性，才能真正实现石油企业计算机网络信息安全的有效防范。

参考文献

[1]黄永强.企业计算机信息网络系统的安全风险与控制[J].商场现代化，2015，06：60~61.

[2]王堂全.浅析企业计算机网络信息安全防护工作[J].现代经济信息，2015，19：103.