企業(yè)網(wǎng)絡(luò)安全技術(shù)范文精選

摘要：互聯(lián)網(wǎng)的飛速發(fā)展，互聯(lián)網(wǎng)技術(shù)應(yīng)用活躍，中小型企業(yè)網(wǎng)絡(luò)規(guī)模和應(yīng)用范圍也不斷擴(kuò)大，導(dǎo)致網(wǎng)絡(luò)安全問題日益突顯。企業(yè)網(wǎng)絡(luò)安全一旦出現(xiàn)問題，造成的損失不可估量。因而以中小型企業(yè)為實(shí)例，探討這類企業(yè)的網(wǎng)絡(luò)安全問題以及一些解決方案。分析了目前網(wǎng)絡(luò)安全理論相關(guān)技術(shù)、中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃原則，針對(duì)中小型企業(yè)規(guī)劃出了一個(gè)較為完善的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)且具有一定的擴(kuò)展能力，運(yùn)用當(dāng)前主流的一些網(wǎng)絡(luò)安全技術(shù)從中小型企業(yè)設(shè)備的物理環(huán)境安全、網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)內(nèi)部安全等方面進(jìn)行了重復(fù)加固和實(shí)現(xiàn)，提高了企業(yè)的網(wǎng)絡(luò)安全等級(jí)。

關(guān)鍵詞：中小型企業(yè)；網(wǎng)絡(luò)安全規(guī)劃；VLAN技術(shù)；方案

0引言

隨著全球信息化浪潮的不斷推進(jìn)，社會(huì)經(jīng)濟(jì)、生活方面都發(fā)生了日新月異的變革，網(wǎng)絡(luò)技術(shù)正在進(jìn)行一場革命突破。網(wǎng)絡(luò)技術(shù)長期的發(fā)展與完善，在信息安全方面已經(jīng)從最初的數(shù)據(jù)保密逐步轉(zhuǎn)變?yōu)樾畔踩夹g(shù)的可用性、可控性以及完整性，如今網(wǎng)絡(luò)安全又朝著“檢測－管控－攻防”等方向發(fā)展，逐漸成為一個(gè)綜合性的學(xué)科研究領(lǐng)域，也是目前研究的熱點(diǎn)。如今，無論政府、大中小企業(yè)、學(xué)校、醫(yī)院全部采用信息化平臺(tái)工作，提高工作效率和社會(huì)競爭力。但是在網(wǎng)絡(luò)安全管理和維護(hù)上存在一些問題和隱患，尤其中小型企業(yè)網(wǎng)絡(luò)安全更被人忽視。本文深入分析網(wǎng)絡(luò)安全相關(guān)技術(shù)、中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃原則，進(jìn)一步提出中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃模型及解決方案，以滿足中小型企業(yè)對(duì)網(wǎng)絡(luò)的穩(wěn)定性、可靠性和安全性需求。

1網(wǎng)絡(luò)安全相關(guān)技術(shù)

網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。常見的技術(shù)有如下幾個(gè)：（1）防火墻技術(shù)。防火墻技術(shù)（Firewall）是指設(shè)置在兩個(gè)或多個(gè)網(wǎng)絡(luò)之間的安全阻隔，用于保證本地網(wǎng)絡(luò)資源的安全，由軟件部分和硬件部分組成的一個(gè)系統(tǒng)或多個(gè)系統(tǒng)。工作原理是在可信任的網(wǎng)絡(luò)邊界上建立網(wǎng)絡(luò)控制系統(tǒng)，隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，執(zhí)行網(wǎng)絡(luò)訪問控制策略，防止外部的未授權(quán)節(jié)點(diǎn)訪問內(nèi)部網(wǎng)絡(luò)和非法向外傳遞內(nèi)部信息，同時(shí)也防止非法和惡意的網(wǎng)絡(luò)行為導(dǎo)致內(nèi)部網(wǎng)絡(luò)的運(yùn)行被破壞。（2）虛擬專用網(wǎng)技術(shù)。虛擬專用網(wǎng)技術(shù)（VirtualPrivateNetwork，VPN）是一種利用在互聯(lián)網(wǎng)或其他公共網(wǎng)絡(luò)上構(gòu)建專有的虛擬私有網(wǎng)絡(luò)安全技術(shù)，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密，為用戶在公共網(wǎng)絡(luò)上建立一個(gè)臨時(shí)的、安全的傳輸隧道，以達(dá)到專用網(wǎng)絡(luò)的安全級(jí)別。用戶數(shù)據(jù)通過發(fā)起端上的VPN設(shè)備建立邏輯隧道，數(shù)據(jù)在傳輸過程中是完全封裝的，在接收端采用相應(yīng)的解密和認(rèn)證技術(shù)來確認(rèn)發(fā)起的請(qǐng)求合法性，從而實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)在整個(gè)傳輸過程中的安全，使其不要流向非法用戶，以達(dá)到防范的目的。VPN優(yōu)點(diǎn)在于加大了安全機(jī)制，即使信息被截獲也不用擔(dān)心泄密，數(shù)據(jù)傳輸采用認(rèn)證模式，保證信息的完整性。（3）ACL技術(shù)。ACL技術(shù)在路由器中被廣泛采用，是一種基于包過濾的流控制技術(shù)。控制列表通過把源地址、目的地址及端口號(hào)作為數(shù)據(jù)包檢查的基本元素，并且可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常用在企業(yè)的出口控制上，通過ACL的部署，可以有效的規(guī)劃企業(yè)網(wǎng)絡(luò)的出網(wǎng)策略。（4）入侵檢測技術(shù)。入侵檢測技術(shù)是從計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)的若干關(guān)鍵節(jié)點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為或者遭到入侵的現(xiàn)象，并根據(jù)一定的策略采取一定的措施。（5）VLAN技術(shù)。VLAN（VirtualLocalAreaNetwork）又稱“虛擬局域網(wǎng)”，是一組邏輯上獨(dú)立的設(shè)備和用戶，不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素組織起來進(jìn)行通信，相互之間的通信就好像在同一個(gè)網(wǎng)段中一樣。一個(gè)VLAN就是一個(gè)廣播域，VLAN之間的通信是通過第三層的路由器來完成的。通過VLAN可以靈活定義在同一物理網(wǎng)段上網(wǎng)絡(luò)節(jié)點(diǎn)之間的通信，即在同一VLAN的網(wǎng)絡(luò)節(jié)點(diǎn)之間可以通信，不同VLAN的網(wǎng)絡(luò)節(jié)點(diǎn)之間不可以通信。（6）數(shù)據(jù)存儲(chǔ)備份與恢復(fù)技術(shù)。將計(jì)算機(jī)硬盤中的數(shù)據(jù)復(fù)制到磁帶或光盤上，而企業(yè)級(jí)的數(shù)據(jù)備份是指對(duì)精確定義的數(shù)據(jù)收集進(jìn)行備份，無論數(shù)據(jù)的組織形式是文件、數(shù)據(jù)庫，還是邏輯卷或磁盤，管理保存上述備份介質(zhì)，以便需要時(shí)能迅速、準(zhǔn)確地找到任何目標(biāo)數(shù)據(jù)的任何備份，并準(zhǔn)確地追蹤大量的介質(zhì)。

作者：鐘豪單位：麗水市煙草公司松陽分公司

企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅

當(dāng)前，大多數(shù)企業(yè)都實(shí)現(xiàn)了辦公自動(dòng)化、網(wǎng)絡(luò)化，這是提高辦公效率、擴(kuò)大企業(yè)經(jīng)營范圍的重要手段。但也正是因?yàn)閷?duì)計(jì)算機(jī)網(wǎng)絡(luò)的過分依賴，容易因?yàn)橐恍┲骺陀^因素對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成妨礙，并給企業(yè)造成無法估計(jì)的損失。

1網(wǎng)絡(luò)管理制度不完善

網(wǎng)絡(luò)管理制度不完善是妨礙企業(yè)網(wǎng)絡(luò)安全諸多因素中破壞力最強(qiáng)的。“沒有規(guī)矩，不成方圓。”制度就是規(guī)矩。當(dāng)前，一些企業(yè)的網(wǎng)絡(luò)管理制度不完善，尚未形成規(guī)范的管理體系，存在著網(wǎng)絡(luò)安全意識(shí)淡漠、管理流程混亂、管理責(zé)任不清等諸多嚴(yán)重問題，使企業(yè)相關(guān)人員不能采取有效措施防范網(wǎng)絡(luò)威脅，也給一些攻擊者接觸并獲取企業(yè)信息提供很大的便利。

2網(wǎng)絡(luò)建設(shè)規(guī)劃不合理

編者按：本論文主要從內(nèi)網(wǎng)安全風(fēng)險(xiǎn)分析；內(nèi)網(wǎng)安全實(shí)施策略等進(jìn)行講述，包括了病毒、蠕蟲入侵、軟件漏洞隱患、系統(tǒng)安全配置薄弱、脆弱的網(wǎng)絡(luò)接入安全防護(hù)、企業(yè)網(wǎng)絡(luò)入侵、終端用戶計(jì)算機(jī)安全完整性缺失、多層次的病毒、蠕蟲防護(hù)、終端用戶透明、自動(dòng)化的補(bǔ)丁管理，安全配置、全面的網(wǎng)絡(luò)準(zhǔn)入控制等，具體資料請(qǐng)見：

一、背景分析

提起網(wǎng)絡(luò)信息安全，人們自然就會(huì)想到病毒破壞和黑客攻擊。其實(shí)不然，政府和企業(yè)因信息被竊取所造成的損失遠(yuǎn)遠(yuǎn)超過病毒破壞和黑客攻擊所造成的損失，據(jù)權(quán)威機(jī)構(gòu)調(diào)查：三分之二以上的安全威脅來自泄密和內(nèi)部人員犯罪，而非病毒和外來黑客引起。

目前，政府、企業(yè)等社會(huì)組織在網(wǎng)絡(luò)安全防護(hù)建設(shè)中，普遍采用傳統(tǒng)的內(nèi)網(wǎng)邊界安全防護(hù)技術(shù)，即在組織網(wǎng)絡(luò)的邊緣設(shè)置網(wǎng)關(guān)型邊界防火墻、AAA認(rèn)證、入侵檢測系統(tǒng)IDS等等網(wǎng)絡(luò)邊界安全防護(hù)技術(shù)，對(duì)網(wǎng)絡(luò)入侵進(jìn)行監(jiān)控和防護(hù)，抵御來自組織外部攻擊、防止組織網(wǎng)絡(luò)資源、信息資源遭受損失，保證組織業(yè)務(wù)流程的有效進(jìn)行。

這種解決策略是針對(duì)外部入侵的防范，對(duì)于來自網(wǎng)絡(luò)內(nèi)部的對(duì)企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護(hù)卻無任何作用。對(duì)于那些需要經(jīng)常移動(dòng)的終端設(shè)備在安全防護(hù)薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障，企業(yè)基于網(wǎng)絡(luò)邊界的安全防護(hù)技術(shù)就更是鞭長莫及了，由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面，企業(yè)中經(jīng)常會(huì)有人私自以Modem撥號(hào)方式、手機(jī)或無線網(wǎng)卡等方式上網(wǎng)，而這些機(jī)器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網(wǎng)絡(luò)VPN、無線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用程序的各種漏洞就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò)，發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機(jī)以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。

二、內(nèi)網(wǎng)安全風(fēng)險(xiǎn)分析

一、背景分析

提起網(wǎng)絡(luò)信息安全，人們自然就會(huì)想到病毒破壞和黑客攻擊。其實(shí)不然，政府和企業(yè)因信息被竊取所造成的損失遠(yuǎn)遠(yuǎn)超過病毒破壞和黑客攻擊所造成的損失，據(jù)權(quán)威機(jī)構(gòu)調(diào)查：三分之二以上的安全威脅來自泄密和內(nèi)部人員犯罪，而非病毒和外來黑客引起。

目前，政府、企業(yè)等社會(huì)組織在網(wǎng)絡(luò)安全防護(hù)建設(shè)中，普遍采用傳統(tǒng)的內(nèi)網(wǎng)邊界安全防護(hù)技術(shù)，即在組織網(wǎng)絡(luò)的邊緣設(shè)置網(wǎng)關(guān)型邊界防火墻、AAA認(rèn)證、入侵檢測系統(tǒng)IDS等等網(wǎng)絡(luò)邊界安全防護(hù)技術(shù)，對(duì)網(wǎng)絡(luò)入侵進(jìn)行監(jiān)控和防護(hù)，抵御來自組織外部攻擊、防止組織網(wǎng)絡(luò)資源、信息資源遭受損失，保證組織業(yè)務(wù)流程的有效進(jìn)行。

這種解決策略是針對(duì)外部入侵的防范，對(duì)于來自網(wǎng)絡(luò)內(nèi)部的對(duì)企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護(hù)卻無任何作用。對(duì)于那些需要經(jīng)常移動(dòng)的終端設(shè)備在安全防護(hù)薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障，企業(yè)基于網(wǎng)絡(luò)邊界的安全防護(hù)技術(shù)就更是鞭長莫及了，由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面，企業(yè)中經(jīng)常會(huì)有人私自以Modem撥號(hào)方式、手機(jī)或無線網(wǎng)卡等方式上網(wǎng)，而這些機(jī)器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網(wǎng)絡(luò)VPN、無線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用程序的各種漏洞就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò)，發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機(jī)以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。

二、內(nèi)網(wǎng)安全風(fēng)險(xiǎn)分析

現(xiàn)代企業(yè)的網(wǎng)絡(luò)環(huán)境是建立在當(dāng)前飛速發(fā)展的開放網(wǎng)絡(luò)環(huán)境中，顧名思義，開放的環(huán)境既為信息時(shí)代的企業(yè)提供與外界進(jìn)行交互的窗口，同時(shí)也為企業(yè)外部提供了進(jìn)入企業(yè)最核心地帶——企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網(wǎng)絡(luò)面臨種種威脅和風(fēng)險(xiǎn)：病毒、蠕蟲對(duì)系統(tǒng)的破壞；系統(tǒng)軟件、應(yīng)用軟件自身的安全漏洞為不良企圖者所利用來竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識(shí)、安全知識(shí)、安全技能的匱乏，導(dǎo)致企業(yè)安全策略不能真正的得到很好的落實(shí)，開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來巨大的威脅。

作者：杜尚權(quán)單位：貴陽中化開磷化肥有限公司

網(wǎng)絡(luò)安全管理技術(shù)

目前，網(wǎng)絡(luò)安全管理技術(shù)越來越受到人們的重視，而網(wǎng)絡(luò)安全管理系統(tǒng)也逐漸地應(yīng)用到企事業(yè)單位、政府機(jī)關(guān)和高等院校的各種計(jì)算機(jī)網(wǎng)絡(luò)中。隨著網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)的規(guī)模不斷發(fā)展和擴(kuò)大，網(wǎng)絡(luò)安全防范技術(shù)也得到了迅猛發(fā)展，同時(shí)出現(xiàn)了若干問題，例如網(wǎng)絡(luò)安全管理和設(shè)備配置的協(xié)調(diào)問題、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控問題、網(wǎng)絡(luò)安全預(yù)警響應(yīng)問題，以及網(wǎng)絡(luò)中大量數(shù)據(jù)的安全存儲(chǔ)和使用問題等等。網(wǎng)絡(luò)安全管理在企業(yè)管理中最初是被作為一個(gè)關(guān)鍵的組成部分，從信息安全管理的方向來看，網(wǎng)絡(luò)安全管理涉及到整個(gè)企業(yè)的策略規(guī)劃和流程、保護(hù)數(shù)據(jù)需要的密碼加密、防火墻設(shè)置、授權(quán)訪問、系統(tǒng)認(rèn)證、數(shù)據(jù)傳輸安全和外界攻擊保護(hù)等等。在實(shí)際應(yīng)用中，網(wǎng)絡(luò)安全管理并不僅僅是一個(gè)軟件系統(tǒng)，它涵蓋了多種內(nèi)容，包括網(wǎng)絡(luò)安全策略管理、網(wǎng)絡(luò)設(shè)備安全管理、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控等多個(gè)方面。

防火墻技術(shù)

互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術(shù)來防止未授權(quán)的訪問進(jìn)行出入，是一個(gè)控制經(jīng)過防火墻進(jìn)行網(wǎng)絡(luò)活動(dòng)行為和數(shù)據(jù)信息交換的軟件防護(hù)系統(tǒng)，目的是為了保證整個(gè)網(wǎng)絡(luò)系統(tǒng)不受到任何侵犯。防火墻是根據(jù)企業(yè)的網(wǎng)絡(luò)安全管理策略來控制進(jìn)入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息，而且其具有一定程度的抗外界攻擊能力，所以可以作為企業(yè)不同網(wǎng)絡(luò)之間，或者多個(gè)局域網(wǎng)之間進(jìn)行數(shù)據(jù)信息交換的出入接口。防火墻是保證網(wǎng)絡(luò)信息安全、提供安全服務(wù)的基礎(chǔ)設(shè)施，它不僅是一個(gè)限制器，更是一個(gè)分離器和分析器，能夠有效控制企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)信息交換，從而保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。將防火墻技術(shù)引入到網(wǎng)絡(luò)安全管理系統(tǒng)之中是因?yàn)閭鹘y(tǒng)的子網(wǎng)系統(tǒng)并不十分安全，很容易將信息暴露給網(wǎng)絡(luò)文件系統(tǒng)和網(wǎng)絡(luò)信息服務(wù)等這類不安全的網(wǎng)絡(luò)服務(wù)，更容易受到網(wǎng)絡(luò)的攻擊和竊聽。目前，互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議，而TCP/IP的制定并沒有考慮到安全因素，防火墻的設(shè)置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題。

1入侵檢測技術(shù)入侵檢測是一種增強(qiáng)系統(tǒng)安全的有效方法。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動(dòng)。通過對(duì)系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進(jìn)行評(píng)估，并根據(jù)評(píng)價(jià)結(jié)果來判斷行為的正常性，從而幫助系統(tǒng)管理人員采取相應(yīng)的對(duì)策措施。入侵檢測可分為：異常檢測、行為檢測、分布式免疫檢測等。