企業(yè)網(wǎng)絡(luò)安全評估精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)網(wǎng)絡(luò)安全評估主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)網(wǎng)絡(luò)安全評估范文

一、企業(yè)網(wǎng)絡(luò)安全威脅產(chǎn)生的原因

計算機網(wǎng)絡(luò)作為現(xiàn)代交際工具，其快捷方便的獨特優(yōu)勢贏得人們的信賴，企業(yè)網(wǎng)絡(luò)應(yīng)運而生。然而，由于計算機本身及系統(tǒng)、協(xié)議及數(shù)據(jù)庫等設(shè)計上存在缺陷，網(wǎng)絡(luò)操作系統(tǒng)在本身結(jié)構(gòu)設(shè)計和代碼設(shè)計時偏重考慮系統(tǒng)使用的方便性，導(dǎo)致系統(tǒng)在遠程訪問、權(quán)限控制和口令管理等許多方面存在安全漏洞；同時，由于企業(yè)網(wǎng)絡(luò)自身錯誤的管理和配置都可能導(dǎo)致網(wǎng)絡(luò)的安全問題發(fā)生。眾多企業(yè)網(wǎng)絡(luò)信息遭侵襲的事件一再提醒我們，網(wǎng)絡(luò)安全問題必須引起充分重視。網(wǎng)絡(luò)安全同其他事物一樣是有規(guī)可循的，應(yīng)該從外部網(wǎng)絡(luò)安全和內(nèi)部網(wǎng)絡(luò)安全兩個層面進行分析：

第一層面，外部網(wǎng)絡(luò)連接及數(shù)據(jù)訪問所帶來的安全威脅。包括：1、外部用戶對內(nèi)網(wǎng)的連接。由于出差員工、分公司及其他業(yè)務(wù)相關(guān)企業(yè)都需要和本企業(yè)進行數(shù)據(jù)交換，這就要通過互聯(lián)網(wǎng)連接進入內(nèi)部網(wǎng)絡(luò)，這時，非法的網(wǎng)絡(luò)用戶也可以通過各種手段入侵內(nèi)部網(wǎng)絡(luò)。2、服務(wù)器網(wǎng)站對外提供的公共服務(wù)。由于企業(yè)宣傳需要，企業(yè)網(wǎng)站提供對外的公共服務(wù)，這些公共服務(wù)在為用戶提供便利的同時，也帶來了安全隱患。3、辦公自動化及業(yè)務(wù)網(wǎng)絡(luò)與Internet連接。這些操作平臺往往偏重于系統(tǒng)使用方便性，而忽視了系統(tǒng)安全性。

第二層面，內(nèi)部網(wǎng)絡(luò)主機之間的連接所帶來的安全威脅。企業(yè)網(wǎng)絡(luò)上的層次節(jié)點眾多，網(wǎng)絡(luò)應(yīng)用復(fù)雜，網(wǎng)絡(luò)管理困難。主要體現(xiàn)在：1、網(wǎng)絡(luò)的實際結(jié)構(gòu)無法控制。網(wǎng)絡(luò)的物理連接經(jīng)常會發(fā)生變化，如果不能及時發(fā)現(xiàn)并做出調(diào)整，很可能發(fā)生網(wǎng)絡(luò)配置不當，造成網(wǎng)絡(luò)安全的嚴重隱患。2、網(wǎng)管無法及時了解網(wǎng)絡(luò)的運行狀況。企業(yè)網(wǎng)絡(luò)平臺上運行著網(wǎng)站系統(tǒng)、辦公系統(tǒng)、財務(wù)系統(tǒng)等多種應(yīng)用系統(tǒng)。同時，可能發(fā)生用戶運行其他應(yīng)用程序的情況，這樣做的后果一方面可能降低網(wǎng)絡(luò)系統(tǒng)的工作效率；另一方面還可能破壞系統(tǒng)的總體安全策略，對網(wǎng)絡(luò)安全造成威脅。3、無法了解網(wǎng)絡(luò)的漏洞和可能發(fā)生的攻擊。4、對于已經(jīng)或正在發(fā)生的攻擊缺乏有效的防御和追查手段。

由此可見，網(wǎng)絡(luò)系統(tǒng)的可靠運轉(zhuǎn)是基于通訊子網(wǎng)、計算機硬件和操作系統(tǒng)及各種應(yīng)用軟件等各方面、各層次的良好運行。它的風(fēng)險將來自對企業(yè)網(wǎng)絡(luò)的各個關(guān)鍵點可能造成的威脅，這些威脅可能造成總體功能的失效。因此，維護辦公局域網(wǎng)、服務(wù)器網(wǎng)站系統(tǒng)的安全，是企業(yè)網(wǎng)絡(luò)的基本安全需求。

二、企業(yè)網(wǎng)絡(luò)安全系統(tǒng)總體規(guī)劃制定

根據(jù)計算機網(wǎng)絡(luò)技術(shù)原理及實踐經(jīng)驗，在進行計算機網(wǎng)絡(luò)安全設(shè)計規(guī)劃時應(yīng)遵循以下原則：一是需求、風(fēng)險、代價平衡分析的原則。對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析，確定最優(yōu)的安全策略，切忌只顧及需求而忽視安全；二是綜合性、整體性原則。運用系統(tǒng)工程的方法，分析網(wǎng)絡(luò)的安全問題，并制定具體措施，嚴防以偏概全，顧此失彼；三是一致性原則。這主要是指制定的網(wǎng)絡(luò)安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致，防止文不對題，勞而無功；四是易操作性原則。安全措施要由人來完成，如果措施過于復(fù)雜，對人的技能要求過高，本身就降低了網(wǎng)絡(luò)的安全性；五是適應(yīng)性、靈活性原則。安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)和修改，網(wǎng)絡(luò)的安全防范是一個過程，不可能一蹴而就；六是多重保護原則。任何安全保護措施都不是絕對安全的，需要建立一個多重保護系統(tǒng)，各層保護相互補充。據(jù)此，進行外部用戶接入內(nèi)部網(wǎng)的安全設(shè)計和內(nèi)部網(wǎng)絡(luò)安全管理的實現(xiàn)。

對外部用戶進入內(nèi)部網(wǎng)絡(luò)應(yīng)實施以下安全保障：（1）增強用戶的認證。用戶認證在網(wǎng)絡(luò)和信息的安全中屬于技術(shù)措施的第一道大門。用戶認證的主要目的是提供訪問控制和不可抵賴的作用。（2）授權(quán)。這主要為特許用戶提供合適的訪問權(quán)限,并監(jiān)控用戶的活動，使其不越權(quán)使用。（3）數(shù)據(jù)的傳輸加密，數(shù)據(jù)通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。（4）審計和監(jiān)控，確切地說，還應(yīng)包括數(shù)據(jù)備份，這是系統(tǒng)安全的最后一道防線。系統(tǒng)一旦出了問題，這部分可以提供問題的再現(xiàn)、責(zé)任追查、重要數(shù)據(jù)復(fù)原等保障。

對內(nèi)應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制定相應(yīng)的管理制度或采用相應(yīng)規(guī)范，其具體工作是：（1）確定該系統(tǒng)的安全等級，并根據(jù)確定的安全等級，確定安全管理的范圍；（2）制定相應(yīng)的機房出入管理制度，對安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域；（3）制定嚴格的操作規(guī)程，操作規(guī)程要根據(jù)職責(zé)分離和多人負責(zé)的原則，各負其責(zé)；（4）制定完備的系統(tǒng)維護制度，維護時必須有安全管理人員在場，故障原因、維護內(nèi)容等要詳細記錄；（5）制定在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。

三、網(wǎng)絡(luò)安全方案設(shè)計應(yīng)把握的幾個關(guān)鍵點

1、應(yīng)用防火墻技術(shù)，控制訪問權(quán)限，實現(xiàn)網(wǎng)絡(luò)安全集中管理。防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，根據(jù)用戶設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。使用防火墻的意義在于：通過過濾不安全的服務(wù)，可以極大地提高網(wǎng)絡(luò)安全，保護脆弱的服務(wù)；可以提供對主機系統(tǒng)的訪問控制；可以對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在防火墻上定義的安全規(guī)則可以運用于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)；可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，增強了信息的保密性；可以記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)；提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。

由于防火墻是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的唯一通訊渠道，能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護，因此防火墻可以對所有針對內(nèi)部網(wǎng)絡(luò)的訪問進行詳細的記錄，形成完整的日志文件。

2、應(yīng)用入侵檢測技術(shù)保護主機資源。利用防火墻技術(shù)，降低了網(wǎng)絡(luò)安全風(fēng)險。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠遠不夠，因為入侵者可尋找防火墻背后可能敞開的后門，也可能就在防火墻內(nèi)。由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。

入侵檢測系統(tǒng)的功能是保護關(guān)鍵應(yīng)用的服務(wù)器，它能精確地判斷入侵事件，包括判斷應(yīng)用層的入侵事件，對入侵者可以立即進行反應(yīng)，能對網(wǎng)絡(luò)進行全方位的監(jiān)控與保護?？捎行У亟鉀Q來自防火墻后由于用戶誤操作或內(nèi)部人員惡意攻擊所帶來的安全威脅。

3、應(yīng)用安全掃描技術(shù)主動探測網(wǎng)絡(luò)安全漏洞，進行網(wǎng)絡(luò)安全評估。網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為安全掃描技術(shù)。安全掃描技術(shù)與防火墻、入侵監(jiān)測系統(tǒng)互相配合，能夠提供較高安全性的網(wǎng)絡(luò)。通過對網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡(luò)風(fēng)險等級，更正系統(tǒng)中的錯誤配置。如果說防火墻和入侵監(jiān)控系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，可以有效避免黑客攻擊的發(fā)生，做到防患于未然。

安全掃描器提供綜合的審計工具，發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的安全漏洞，保證網(wǎng)絡(luò)安全的完整性。它可以評估企業(yè)內(nèi)部網(wǎng)絡(luò)、服務(wù)器、防火墻、路由器，掃描和測試確定存在的可被黑客利用的網(wǎng)絡(luò)薄弱環(huán)節(jié)。我們應(yīng)在局域網(wǎng)內(nèi)設(shè)置該工具，定期對網(wǎng)絡(luò)進行掃描。

4、應(yīng)用VPN技術(shù)，保證外部用戶訪問內(nèi)部網(wǎng)的安全性。企業(yè)網(wǎng)絡(luò)接入到公網(wǎng)中，存在著兩個主要危險：一是來自公網(wǎng)的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存?。欢钱斁W(wǎng)絡(luò)系統(tǒng)通過公網(wǎng)進行通訊時，信息可能受到竊聽和非法修改。如何保證外部用戶遠程訪問內(nèi)部網(wǎng)的安全性：首先，應(yīng)嚴格限制外部用戶所能訪問的系統(tǒng)信息和資源，這一功能可通過在防火墻和應(yīng)用服務(wù)來實現(xiàn)。其次，應(yīng)加強對外部用戶進入內(nèi)部網(wǎng)的身份驗證功能。第三，在數(shù)據(jù)傳輸過程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。這就應(yīng)采用軟件或防火墻所提供的VPN（虛擬專網(wǎng)）技術(shù)、完整的集成化的企業(yè)VPN安全解決方案、提供在公網(wǎng)上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。

第2篇：企業(yè)網(wǎng)絡(luò)安全評估范文

關(guān)鍵詞：云安全；網(wǎng)絡(luò)安全；核心技術(shù)；企業(yè)

近幾年，人們越來越關(guān)注網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全不僅關(guān)系著個人的隱私安全，也關(guān)系著國家社會的安全穩(wěn)定，因此我們要對網(wǎng)絡(luò)安全技術(shù)及其使用給予高度的重視。網(wǎng)絡(luò)安全的實質(zhì)是確保網(wǎng)絡(luò)信息安全，保護網(wǎng)絡(luò)信息安全不僅要確保網(wǎng)絡(luò)系統(tǒng)裝置不被人為破壞，也要確保網(wǎng)絡(luò)上的數(shù)據(jù)信息不被他人惡意泄露和篡改。而云安全技術(shù)正是有效保護網(wǎng)絡(luò)安全的一項技術(shù)，所以，研究其發(fā)展模式以及其在網(wǎng)絡(luò)安全中的具體應(yīng)用，對網(wǎng)絡(luò)安全背景下企業(yè)網(wǎng)絡(luò)安全保護具有一定現(xiàn)實意義。

1云安全的核心技術(shù)

1.1Web信譽服務(wù)。云安全技術(shù)通過鏈接全信譽數(shù)據(jù)庫，可以對惡意軟件行為進行全方面分析,并且可以根據(jù)某個可疑網(wǎng)站的站點位置變化和可疑跡象等因素對網(wǎng)站的信譽分值進行評估，從而有效判斷該網(wǎng)站的可信度以及風(fēng)險系數(shù)，及時為用戶提供網(wǎng)站風(fēng)險警報，避免用戶因誤入危險網(wǎng)站而遭受損失的現(xiàn)象發(fā)生。1.2E-mail信譽服務(wù)。E-mail信譽服務(wù)技術(shù)可以對網(wǎng)絡(luò)郵件信息的源地址進行檢測，從而來判斷網(wǎng)絡(luò)系統(tǒng)所接收郵件的安全系數(shù)，有效地降低郵件接收者可能接受到的網(wǎng)絡(luò)風(fēng)險。當云安全技術(shù)檢測到某個郵件攜帶病毒時，便會自動對該郵件進行攔截或刪除。除此之外，云安全技術(shù)還會對檢測到的惡意郵件的源地址進行記錄，方便以后對類似源地址郵件進行防護，提高警惕意識，從而有效防范類似郵件對用戶進行二次攻擊。1.3自動反饋機制。云安全技術(shù)的另一項核心技術(shù)就是自動反饋機制，自動反饋機制就是指，利用監(jiān)測系統(tǒng)，對某一個用戶的路由信譽進行監(jiān)測，從而來判斷新型病毒特征，并將其反饋到整個網(wǎng)絡(luò)中。當發(fā)現(xiàn)某個用戶常規(guī)信譽檢測存在威脅時，便會及時地將信息反饋到網(wǎng)絡(luò)中，同時立即采取措施更新網(wǎng)絡(luò)安全數(shù)據(jù)庫，減少此類問題的復(fù)發(fā)率，降低對網(wǎng)絡(luò)安全的影響程度。云安全技術(shù)中自動反饋機制的有效應(yīng)用，不僅極大地提高了網(wǎng)絡(luò)安全保護的及時性和有效性，也有利于提高了網(wǎng)絡(luò)安全的主動性，可以更好的實現(xiàn)網(wǎng)絡(luò)安全保護的作用。

2云安全技術(shù)在企業(yè)網(wǎng)絡(luò)安全中應(yīng)用的優(yōu)勢

2.1增強了查殺病毒的能力。網(wǎng)絡(luò)科學(xué)技術(shù)的發(fā)展，極大地促進了網(wǎng)絡(luò)的傳播效率的提高，同時也促使網(wǎng)絡(luò)傳播范圍越大越擴大化，然而也促使著其產(chǎn)生的網(wǎng)絡(luò)病毒不斷加速傳播。傳統(tǒng)的病毒查殺軟件已經(jīng)不能很好地滿足人們對網(wǎng)絡(luò)安全的要求，所以人們對日益興起的云安全技術(shù)給予了更多的關(guān)注。云安全技術(shù)打破了原來依靠病毒庫進行網(wǎng)絡(luò)病毒查殺模式，而是依靠整個網(wǎng)絡(luò)系統(tǒng)對網(wǎng)絡(luò)病毒進行識別和查殺，通過對病毒全面精準的分析，極大地提高了病毒查殺能力，為網(wǎng)絡(luò)安全提供了強有力的保障。并且，使用互聯(lián)網(wǎng)的用戶越多，云安全技術(shù)的查殺病毒能力就越強，查殺病毒的效果就越明顯。2.2提高了網(wǎng)絡(luò)安全保護的效率。云安全技術(shù)的使用極大地提高了網(wǎng)絡(luò)安全的保護效率。云安全技術(shù)可以對網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)信息進行及時的監(jiān)測，云安全技術(shù)依靠強大的互聯(lián)網(wǎng)系統(tǒng)，不僅可以實時對可能帶有網(wǎng)絡(luò)病毒的電子郵件和網(wǎng)站進行監(jiān)測和數(shù)據(jù)分析，還可以及時的處理掉病毒信息，避免給用戶帶來損失。同時，云安全技術(shù)具有高效率的病毒信息處理速度的特點，相較于傳統(tǒng)的病毒查殺軟件，云安全技術(shù)極大地節(jié)省了用戶查殺病毒的時間，也有效地減少了用戶的計算機存儲空間，在保證網(wǎng)絡(luò)安全的同時也提高了網(wǎng)絡(luò)安全保護的效率。除此之外，云安全技術(shù)依靠自身的自動反饋機制，可以將病毒信息快速的傳輸?shù)秸麄€網(wǎng)絡(luò)系統(tǒng)之中，并快速更新升級云端病毒庫，從而提高網(wǎng)絡(luò)安全保護的質(zhì)量。2.3強化了網(wǎng)絡(luò)安全服務(wù)的個性。云安全技術(shù)將智能化因素注入到了企業(yè)網(wǎng)絡(luò)完全保護中，從而可以通過對用戶需求的分析向用戶推送最優(yōu)質(zhì)的病毒查殺方案，使網(wǎng)絡(luò)安全保護更趨向于個性化服務(wù)發(fā)展，云安全技術(shù)的個性化服務(wù)發(fā)展不僅是提高用戶的使用感一項有效措施，也是未來網(wǎng)絡(luò)安全發(fā)展的重要方向。

3云安全技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的有效應(yīng)用

3.1云安全技術(shù)中復(fù)合式攔截病毒機制在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用。隨著云計算的發(fā)展，云安全技術(shù)在企業(yè)網(wǎng)絡(luò)安全中得到了越來越廣泛的應(yīng)用，同時，云技術(shù)安全也成為了各企業(yè)越來越重視的問題。企業(yè)的網(wǎng)絡(luò)安全不僅受到企業(yè)外部因素的影響，也受到來自企業(yè)自身內(nèi)部的威脅，所以，企業(yè)管理者在注重防范外部因素攻擊的同時，也要做好內(nèi)部網(wǎng)絡(luò)安全工作。云安全技術(shù)可以對企業(yè)內(nèi)部的病毒進行查殺和攔截，當企業(yè)網(wǎng)絡(luò)內(nèi)部出現(xiàn)病毒時，復(fù)合式攔截病毒機制就會開始運作，對網(wǎng)絡(luò)病毒進行攔截和處理。近幾年來，網(wǎng)絡(luò)病毒表現(xiàn)形式逐漸呈現(xiàn)多樣化和復(fù)雜化的趨勢，這就需要我們采取更加先進的技術(shù)進行有效的解決，所以，研究復(fù)合式攔截病毒機制的云安全技術(shù)就顯得尤為重要。3.2云安全技術(shù)中輕客戶端策略在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用。云安全技術(shù)中輕客戶端策略的應(yīng)用原理是指將計算機和業(yè)務(wù)之間的邏輯關(guān)系交由服務(wù)器處理,而客戶端只進行簡單的網(wǎng)絡(luò)數(shù)據(jù)顯示工作。當用戶接收郵件時，云安全技術(shù)會通過檢測其發(fā)件源地址來分析判斷其是否安全可靠，如果檢測到有病毒存在，云安全技術(shù)就會自動對其進行殺毒和攔截。同時，系統(tǒng)還會將帶有病毒的郵件源地址輸入到網(wǎng)絡(luò)安全信息庫，當出現(xiàn)類似郵件時，系統(tǒng)就會及時對其進行攔截或刪除處理，避免給郵件接收者帶來二次攻擊，同時減少病毒反復(fù)率和降低網(wǎng)絡(luò)風(fēng)險。但是，該模式也存在一定缺陷，就是其只能應(yīng)用于來自于外部病毒侵略的處理，只能對計算機外部的病毒信息進行監(jiān)測，而無法對計算機內(nèi)部系統(tǒng)進行檢測，從而有效防范內(nèi)部病毒帶來的影響。所以，還需要相關(guān)研究者加大對云安全技術(shù)的研究力度，不斷創(chuàng)新云安全技術(shù)應(yīng)用模式，不斷提升網(wǎng)絡(luò)安全保護能力，讓人們更加放心的使用網(wǎng)絡(luò)。

4結(jié)語

科技發(fā)展到今天，互聯(lián)網(wǎng)在各個領(lǐng)域中的應(yīng)用已經(jīng)十分廣泛，其承載的信息量也在不斷加大，這就要求相關(guān)研究者一定要采取相關(guān)措施對網(wǎng)絡(luò)信息進行有效的保護，為實現(xiàn)網(wǎng)絡(luò)安全提供保障。云安全技術(shù)具有增強查殺病毒能力、提高網(wǎng)絡(luò)安全保護效率、增強網(wǎng)絡(luò)安全個等特點，其在網(wǎng)絡(luò)中的具體應(yīng)用也充分滿足了人們對網(wǎng)絡(luò)安全的需求，不僅為人們生活提供了便捷的服務(wù)，也為人們使用網(wǎng)絡(luò)提供了安全保障，所以研究云技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的有效應(yīng)用對實現(xiàn)網(wǎng)絡(luò)安全來講具有十分重大的意義。

參考文獻：

[1]左博新,肖佳佳,胡文婷.云安全技術(shù)在信息安全專業(yè)教學(xué)實例的應(yīng)用[J].信息與電腦(理論),2014(11):42-43.

[2]馮巧玲.云安全技術(shù)在電子政務(wù)系統(tǒng)安全防范中的應(yīng)用[J].遼寧高職學(xué)報,2015(02):92-94.

第3篇：企業(yè)網(wǎng)絡(luò)安全評估范文

關(guān)鍵詞：穩(wěn)定性 體驗 平衡點 路由

一、引言

近幾年，隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用的不斷豐富，用戶可存在于網(wǎng)絡(luò)空間的活動越來越多，上至六七十的老人，下到小學(xué)生都加入了這個行列。而企業(yè)因網(wǎng)絡(luò)接入用戶數(shù)急劇增加，隨之接入的網(wǎng)絡(luò)設(shè)備數(shù)量也在增多，設(shè)備配置也隨著應(yīng)用的需求不斷的變化。在實際工作中，簡單的擴充網(wǎng)絡(luò)帶寬來提高網(wǎng)絡(luò)訪問速度的做法效果并不理想。經(jīng)過反復(fù)研究分析，采用綜合性技術(shù)手段提高網(wǎng)絡(luò)穩(wěn)定性，對于訪問速度的提高，用戶體驗十分顯著。網(wǎng)絡(luò)速度實際是恒定的，用戶上網(wǎng)訪問快慢的感受實際上是受帶寬影響，但又存在有效帶寬問題。

隨著網(wǎng)絡(luò)規(guī)模的增大并變得更為復(fù)雜，需要更多的功能、更好地控制網(wǎng)絡(luò)組建。

二、如何提高網(wǎng)絡(luò)穩(wěn)定性問題研究

網(wǎng)絡(luò)穩(wěn)定，帶寬中的有效帶寬就比較高，用戶上網(wǎng)訪問速度就比較平穩(wěn)，用戶的訪問體驗就不會出現(xiàn)高低起伏，但網(wǎng)絡(luò)訪問穩(wěn)定了并不代表速度就快了。要提高網(wǎng)絡(luò)穩(wěn)定性，首先應(yīng)找出造成網(wǎng)絡(luò)不穩(wěn)定的原因，并結(jié)合實際情況盡可能把這些問題解決掉。

1.影響網(wǎng)絡(luò)穩(wěn)定性的因素。影響網(wǎng)絡(luò)不穩(wěn)定的因素很多，總結(jié)起來主要表現(xiàn)在五個方面：網(wǎng)絡(luò)架構(gòu)、路由體系、網(wǎng)絡(luò)安全、桌面安全和系統(tǒng)安全。目前，對企業(yè)網(wǎng)絡(luò)在這幾方面情況分析如下：

（1）企業(yè)網(wǎng)絡(luò)架構(gòu)主要采用的是“三級”架構(gòu)（核心、匯聚、接入）?？傮w思路很明確，但隨著網(wǎng)絡(luò)的不斷延伸，接入用戶的不斷增加和新技術(shù)的應(yīng)用，網(wǎng)絡(luò)邊界不斷賦予新的內(nèi)涵，邊界功能化、明晰化成為現(xiàn)在存在的問題。

（2）隨著技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的深入原來的路由體系是否適合現(xiàn)在不斷擴展的企業(yè)網(wǎng)絡(luò)，如何找出路由體系中關(guān)鍵技術(shù)的平衡點這都是技術(shù)難點。

（3）網(wǎng)絡(luò)安全的隱患是影響網(wǎng)絡(luò)穩(wěn)定性的直接因素。經(jīng)過近幾年的努力，企業(yè)網(wǎng)絡(luò)安全問題已得到很大提升，尤其是網(wǎng)絡(luò)安全域劃分的實施。

（4）桌面安全和系統(tǒng)安全對網(wǎng)絡(luò)的局部穩(wěn)定起到至關(guān)重要的作用。近兩年部署的桌面安全準入系統(tǒng)的實施，使桌面安全和系統(tǒng)安全從根本上得到改善，為快速預(yù)測和提前相應(yīng)提供了支持。

2.提高網(wǎng)絡(luò)穩(wěn)定性的措施。從影響網(wǎng)絡(luò)穩(wěn)定性的因素出發(fā)，我們結(jié)合業(yè)界的相關(guān)技術(shù)，提出了提高網(wǎng)絡(luò)穩(wěn)定性的措施。

（1）網(wǎng)絡(luò)架構(gòu)。企業(yè)網(wǎng)絡(luò)是按照標準的三層結(jié)構(gòu)部署，但是缺乏真正意義上的三層核心，不同功能網(wǎng)絡(luò)之間邊界不夠清晰，沒有使用安全設(shè)備進行隔離和訪問控制。企業(yè)基于根據(jù)業(yè)務(wù)功能規(guī)劃物理網(wǎng)絡(luò)的設(shè)計原則，靈活性欠佳，且網(wǎng)絡(luò)單元連接關(guān)系規(guī)劃的不盡合理，造成部分應(yīng)用數(shù)據(jù)流路徑的不合理性。

針對企業(yè)網(wǎng)絡(luò)現(xiàn)狀，按照功能分區(qū)、邏輯分層的原則，并考慮安全區(qū)域劃分的方式進行構(gòu)造網(wǎng)絡(luò)，增加統(tǒng)一的三網(wǎng)絡(luò)核心，整合網(wǎng)絡(luò)安全邊界，優(yōu)化網(wǎng)絡(luò)單元連接和應(yīng)用數(shù)據(jù)流路徑。增加開發(fā)測試區(qū)，增強開發(fā)測試類應(yīng)用的獨立性和安全性；增加運行管理區(qū)，為企業(yè)網(wǎng)絡(luò)運行管理、網(wǎng)絡(luò)安全管理提供網(wǎng)絡(luò)基礎(chǔ)接入平臺；增加數(shù)據(jù)擺渡區(qū)，隔離保護生產(chǎn)和科研網(wǎng)絡(luò)，以保障企業(yè)核心業(yè)務(wù)；針對各網(wǎng)絡(luò)功能區(qū)，定義網(wǎng)絡(luò)安全邊界，實施網(wǎng)絡(luò)安全控制；增加各功能區(qū)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)連接的冗余性，提高網(wǎng)絡(luò)的可用性，包括：各功能區(qū)的冗余分布層和連接。

現(xiàn)在提倡扁平化管理，企業(yè)網(wǎng)絡(luò)是按照標準的三層結(jié)構(gòu)部署，按照功能分區(qū)、邏輯分層的原則，網(wǎng)絡(luò)架構(gòu)為核心——匯聚——接入。但隨著網(wǎng)絡(luò)規(guī)模的增大企業(yè)網(wǎng)絡(luò)變得更為復(fù)雜，在網(wǎng)絡(luò)接入層中有的地方包含了三層、四層，甚至五層接連，增加了數(shù)據(jù)轉(zhuǎn)發(fā)層數(shù)，也就增加了故障點：上聯(lián)設(shè)備故障，直接影響其下聯(lián)設(shè)備。對用戶來說直接影響了其上網(wǎng)體驗。

（2）路由體系。路由協(xié)議是網(wǎng)絡(luò)基礎(chǔ)規(guī)則的重要內(nèi)容，需要考察路由協(xié)議的開放性、可擴展性、靈活性和可管理性等方面，進行比較和選擇。

下表中列出了幾種路由協(xié)議各自的優(yōu)點和需注意的問題。

根據(jù)前文提出的企業(yè)網(wǎng)絡(luò)架構(gòu)，考慮各種路由協(xié)議的特點，企業(yè)在內(nèi)部網(wǎng)絡(luò)采用OSPF路由和Static路由相結(jié)合的方式。

（3）網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全體系架構(gòu)需要考慮三個層面的內(nèi)容：網(wǎng)絡(luò)安全架構(gòu)、網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)設(shè)備配置安全，并通過不斷的評估和規(guī)劃，提高企業(yè)整體的安全水平。對企業(yè)網(wǎng)絡(luò)安全技術(shù)部署現(xiàn)狀的了解和分析，考慮認證鑒權(quán)、訪問控制、審計跟蹤、響應(yīng)恢復(fù)、內(nèi)容安全這五個方面。安全應(yīng)該貫徹到整個IT架構(gòu)中的各個層次，網(wǎng)絡(luò)設(shè)備配置安全也非常重要，利用設(shè)備操作系統(tǒng)軟件的許多安全技術(shù)，可以大大增強網(wǎng)絡(luò)設(shè)備的安全性，從而為整個網(wǎng)絡(luò)的安全又提供了一層保障。從口令管理、服務(wù)管理、訪問控制和管理、攻擊防范和路由安全這幾個方面，提出網(wǎng)絡(luò)設(shè)備配置安全：

①口令管理：要求使用加密口令，避免口令被惡意截?。?/p>

②服務(wù)管理：強調(diào)網(wǎng)絡(luò)設(shè)備關(guān)閉不必要的服務(wù)，減少被攻擊者利用的可能；

③訪問控制和管理：要求對客戶端的操作進行嚴格的認證、授權(quán)和審計；

④攻擊防范：增加網(wǎng)絡(luò)設(shè)備防范攻擊功能的配置，減少網(wǎng)絡(luò)設(shè)備被惡意攻擊的風(fēng)險；

⑤路由安全：關(guān)注路由協(xié)議認證，消除路由安全問題。

（4）桌面安全和系統(tǒng)安全。信息安全風(fēng)險管理就是可以接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全分析的過程。桌面和系統(tǒng)的安全風(fēng)險管理并不僅僅只是著眼于防病毒，防攻擊以及系統(tǒng)加固也很重要。但必要的加固措施存在以下幾個問題：

①不能確保所有計算機都安裝了防火墻和殺毒軟件；

②不能及時對殺毒軟件、防火墻進行更新；

③不知道怎樣對系統(tǒng)防護進行策略配置，不知道怎樣對漏洞進行補丁安裝。

近兩年企業(yè)部署的桌面安全準入系統(tǒng)的實施，使桌面安全和系統(tǒng)安全從根本上得到改善。企業(yè)應(yīng)從提高桌面準入客戶端的安裝率，挖掘該系統(tǒng)的深入應(yīng)用，提高系統(tǒng)補丁的安裝出發(fā)來解決這些問題。

三、企業(yè)提高網(wǎng)絡(luò)穩(wěn)定性實踐方案

本實踐方案是在影響網(wǎng)絡(luò)穩(wěn)定的五大因素的基礎(chǔ)上，通過結(jié)合企業(yè)現(xiàn)狀、利用現(xiàn)有的條件得出的一套提高企業(yè)網(wǎng)絡(luò)穩(wěn)定性的實踐方案。以下將從網(wǎng)絡(luò)結(jié)構(gòu)介紹出發(fā)，詳細闡述該實踐方案。

1.網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)架構(gòu)在功能分區(qū)、邏輯分層的總體思路指導(dǎo)下，采用“三級”架構(gòu)，核心-匯聚-接入。所有只具備單鏈路接入的單位聯(lián)接在邊界路由器，邊界路由器與核心A和核心B采用雙鏈，數(shù)據(jù)中心與核心采用雙鏈，重要并具備條件的各匯聚采用雙鏈，從而實現(xiàn)核心A和核心B熱備，無論核心A或B其中任何一個故障，各二級匯聚上用戶或邊界路由器用戶都能無所察覺的正常訪問數(shù)據(jù)中心資源，進行日常辦公。從而加固了網(wǎng)絡(luò)核心，明晰了網(wǎng)絡(luò)邊界，提高了企業(yè)網(wǎng)絡(luò)穩(wěn)定性。

圖 網(wǎng)絡(luò)架構(gòu)總體設(shè)計

2.路由體系。根據(jù)OSPF（開放式最短路徑優(yōu)先）路由和Static（靜態(tài)）路由的優(yōu)缺點，結(jié)合企業(yè)現(xiàn)狀，提出企業(yè)路由體系需遵循的三個原則：（1）動靜路由的選擇。

（2）減少路由器同步和收斂時間。

（3）明晰并統(tǒng)一語法。

企業(yè)網(wǎng)絡(luò)是采用OSPF路由和Static路由結(jié)合的方式，這兩種方式各有優(yōu)缺點。Static路由可以精確的控制互聯(lián)網(wǎng)絡(luò)的路由行為，然而，如果經(jīng)常發(fā)生網(wǎng)絡(luò)拓撲變化，那么手動配置方式將導(dǎo)致靜態(tài)路由的管理工作根本無法進行下去。OSPF路由能夠使互聯(lián)網(wǎng)絡(luò)迅速并自動地響應(yīng)網(wǎng)絡(luò)拓撲的變化。但對于任何程序而言，自動化程度越高，可控程度就越差。通過Static路由這種精確控制互聯(lián)網(wǎng)絡(luò)的路由的方式，即減少各片區(qū)路由收斂對整網(wǎng)造成過大的影響，又在一定程度上規(guī)范了IP地址等網(wǎng)絡(luò)資源的使用。

企業(yè)網(wǎng)絡(luò)核心到邊界，核心到匯聚采用OSPF路由，使互聯(lián)網(wǎng)絡(luò)迅速并自動地響應(yīng)網(wǎng)絡(luò)拓撲的變化，減少路由維護工作量。邊界其他一些網(wǎng)絡(luò)用戶數(shù)較大的接入單位采用Static路由，通過這種精確控制互聯(lián)網(wǎng)絡(luò)的路由的方式，減少各片區(qū)路由收斂對整網(wǎng)造成過大的影響，在一定程度上規(guī)范了IP地址等網(wǎng)絡(luò)資源的使用。接入邊界的網(wǎng)絡(luò)用戶數(shù)較大的單位內(nèi)部網(wǎng)絡(luò)采用動態(tài)路由。并且統(tǒng)一路由規(guī)則，主要包括以下幾點：

（1）RID（router id）是用來唯一表示OSPF網(wǎng)絡(luò)中的一個節(jié)點，為避免由于組網(wǎng)不當造成相同自治系統(tǒng)中的RID沖突，路由器均需設(shè)置RID，RID的地址最好選擇網(wǎng)絡(luò)中最大的IP地址；

（2）合理使用OSPF的0區(qū)域，統(tǒng)一OSPF的語法和規(guī)則。

在本方案中，由于指出了網(wǎng)絡(luò)路由協(xié)議使用原則，規(guī)范了路由的語法和規(guī)則，從而避免了路由配置錯誤；并且把可能產(chǎn)生的路由震蕩局限在了比較小的范圍，從而提高了網(wǎng)絡(luò)穩(wěn)定性。

3.網(wǎng)絡(luò)安全。啟用接入層交換機端口安全，采用適合企業(yè)現(xiàn)狀的相關(guān)參數(shù)，減少ARP攻擊。

4.桌面安全和系統(tǒng)安全。根據(jù)企業(yè)的實際情況，提出從兩方面出發(fā)：（1）把IPS桌面化和桌面防火墻的使用實現(xiàn)防攻擊。

（2）提高終端計算機補丁安裝率。

基于策略的終端安全檢查和控制功能，通過在sep（終端準入系統(tǒng)）策略服務(wù)器上制定詳細的wsus（）策略來控制計算機的補丁更新，安裝了sep客戶端計算機只要接入網(wǎng)絡(luò)，sep客戶端就會執(zhí)行相應(yīng)的wsus策略檢查并將結(jié)果提交給sep策略服務(wù)器，策略服務(wù)器在收到客戶端傳來檢查結(jié)果后和制定的wsus策略進行比對，如客戶端計算機滿足wsus策略才被允許使用網(wǎng)絡(luò)，否則只能訪問隔離網(wǎng)段內(nèi)的網(wǎng)絡(luò)資源。針對不同區(qū)域?qū)嵤┎煌呗?，實現(xiàn)多組wsus服務(wù)器之間負載均衡，使客戶端能在最短時間內(nèi)獲取補丁資源 。

5.實踐總結(jié)。企業(yè)網(wǎng)絡(luò)是在不斷的擴展，各種新技術(shù)也是層出不窮，如何解決網(wǎng)絡(luò)穩(wěn)定性的問題已成為當今乃至未來面臨的主要難題。這提醒著我們要從全局角度出發(fā)，思考、分析、解決問題，“頭痛醫(yī)頭，腳痛醫(yī)腳”的方式無法適應(yīng)當下網(wǎng)絡(luò)的運維工作；并且要從體系角度進行網(wǎng)絡(luò)建設(shè)和維護，改變簡單的把“網(wǎng)絡(luò)維護”看成“網(wǎng)絡(luò)設(shè)備維護”的傳統(tǒng)思想。

參考文獻：

[1]（美）多伊爾 著.葛建立，吳劍章譯.TCP/IP路由技術(shù)，第一卷，2003.10.

第4篇：企業(yè)網(wǎng)絡(luò)安全評估范文

[關(guān)鍵詞]大數(shù)據(jù)；企業(yè)網(wǎng)絡(luò)信息；安全技術(shù)體系

中圖分類號：TP393.08；TP311.13 文獻標識碼：A 文章號：1009-914X（2017）16-0125-01

引言

互聯(lián)網(wǎng)的發(fā)展給企業(yè)的發(fā)展與管理提供了極大的幫助，比如企業(yè)的內(nèi)外工作網(wǎng)絡(luò)、科研教育網(wǎng)絡(luò)等，另一方面，網(wǎng)絡(luò)信息的安全性也受到了嚴重的威脅，企業(yè)內(nèi)部系統(tǒng)遭到破壞、個人信息資料的泄露等，提醒著我們網(wǎng)絡(luò)信息安全技術(shù)體系存在著漏洞，不斷完善網(wǎng)絡(luò)信息安全技術(shù)防護體系的建設(shè)，將網(wǎng)絡(luò)信息帶給企業(yè)的安全風(fēng)險降到最低。

1 大數(shù)據(jù)概述

大數(shù)據(jù)主要以計算機技術(shù)為主對一些大規(guī)模的數(shù)據(jù)信息進行全方面的處理、分析、存儲、搜索?，F(xiàn)階段，我國所使用的大數(shù)據(jù)信息處理模式主要以一個經(jīng)濟、高效、智能的形式對多樣化的數(shù)據(jù)信息進行處理，并在其中尋找有價值的數(shù)據(jù)信息。大數(shù)據(jù)具有規(guī)模較大、數(shù)量較多、結(jié)構(gòu)多樣化等特點，可以有效對一些視頻、文字等相關(guān)數(shù)據(jù)信息通過計算機進行處理，并創(chuàng)新、完善物聯(lián)網(wǎng)技術(shù)，能保證信息數(shù)據(jù)的處理方式多樣化，并通過計算機存儲這些已處理的數(shù)據(jù)信息，體現(xiàn)出數(shù)據(jù)信息中的經(jīng)濟價值。

2 大數(shù)據(jù)背景下企業(yè)網(wǎng)絡(luò)信息安全技術(shù)體系現(xiàn)狀

2.1 企業(yè)網(wǎng)絡(luò)信息易成為攻擊目標

當下社會日益趨于網(wǎng)絡(luò)化，為各個行業(yè)領(lǐng)域?qū)崿F(xiàn)大數(shù)據(jù)的資源共享和數(shù)據(jù)溝通創(chuàng)建了一個共同平臺。以云計算為基礎(chǔ)的網(wǎng)絡(luò)化社會為大數(shù)據(jù)創(chuàng)造了一個更為苑諾幕肪常不同地區(qū)的資源快速整合、動態(tài)配置，共建共享數(shù)據(jù)集合。隨著網(wǎng)絡(luò)訪問便利化和數(shù)據(jù)流的形成，資源能夠?qū)崿F(xiàn)快速彈性推動。但也正是由于平臺的暴露，更容易出現(xiàn)黑客攻擊企業(yè)網(wǎng)絡(luò)信息的現(xiàn)象。在苑磐絡(luò)中，數(shù)據(jù)與數(shù)據(jù)之間的聯(lián)系更為緊密，大數(shù)據(jù)自身就是一個可連續(xù)攻擊的載體，這會引發(fā)在大數(shù)據(jù)內(nèi)部的惡意軟件和病毒代碼的長期攻擊，對于黑客而言，利用大數(shù)據(jù)劣勢進行攻擊，僅用較低的成本就可以破壞大量數(shù)據(jù)。

2.2 企業(yè)網(wǎng)絡(luò)信息安全技術(shù)落后

現(xiàn)階段我國現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)還存在一定的不足，主要體現(xiàn)在網(wǎng)絡(luò)安全技術(shù)落后、信息安全產(chǎn)品核心技術(shù)不能滿足社會發(fā)展的需求、缺乏自主創(chuàng)新產(chǎn)品，從而大大減弱了網(wǎng)絡(luò)的安全性。另外，我國現(xiàn)有的網(wǎng)絡(luò)信息安全監(jiān)管制度主要以政府集中制度為基準，很難將網(wǎng)絡(luò)安全的真正意義體現(xiàn)出來。

2.3 企業(yè)網(wǎng)絡(luò)信息安全風(fēng)險大

文件傳輸風(fēng)險，當員工用郵箱、QQ等方式傳送公司的重要文件時，很可能使企業(yè)的信息資源泄露，如果被競爭公司掌握，危害到企業(yè)的生存發(fā)展；文件傳真風(fēng)險，當員工把紙質(zhì)版的重要資料或技術(shù)圖紙傳真給他人，或者是把其他公司傳真給公司的技術(shù)文件和重要資料帶走，會造成企業(yè)信息的泄露；存儲設(shè)備風(fēng)險，當員工通過光盤或移動硬盤等存儲介質(zhì)將文件資料拷貝出公司，可能會泄露企業(yè)機密信息；上網(wǎng)行為風(fēng)險，當員工利用電腦上對不良網(wǎng)站進行訪問，會給企業(yè)網(wǎng)絡(luò)帶來不計其數(shù)的病毒和頑固性插件，破壞電腦及企業(yè)網(wǎng)絡(luò)，更有甚者，在電腦中運行一些破壞性的程序，導(dǎo)致電腦系統(tǒng)的崩潰；用戶權(quán)限風(fēng)險，如果用戶的開機密碼、業(yè)務(wù)系統(tǒng)登陸密碼被別人掌握，此用戶權(quán)限內(nèi)的信息資料和業(yè)務(wù)數(shù)據(jù)將會被竊取，如果管理員的密碼被竊取，可能會被不法分子破壞應(yīng)用系統(tǒng)的正常運行，更糟糕的是整個服務(wù)器的數(shù)據(jù)被竊。

3 大數(shù)據(jù)背景下企業(yè)網(wǎng)絡(luò)信息安全技術(shù)體系建設(shè)

3.1 做好網(wǎng)絡(luò)病毒的防范

加強病毒傳播環(huán)節(jié)的控制，進行區(qū)域網(wǎng)防毒軟件的應(yīng)用，而不僅僅是單機防毒軟件。通過對服務(wù)器操作系統(tǒng)平臺的安全性升級，保證防毒軟件的優(yōu)化應(yīng)用，保證防病毒軟件整體模塊的優(yōu)化，保證計算機網(wǎng)絡(luò)安全體系的健全。企業(yè)在網(wǎng)絡(luò)內(nèi)部使用電子郵件等進行信息交換，還需要一套基于信息交換平臺的防病毒軟件，識別出隱藏在的病毒。所以最好使用全方位的防病毒產(chǎn)品，針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，使網(wǎng)絡(luò)免受病毒的侵襲。配置防火墻，提升網(wǎng)絡(luò)的防護性，進行網(wǎng)絡(luò)通訊，優(yōu)化訪問控制模塊，要對可以進入的用戶展開授權(quán)，避免非授權(quán)用戶進入防火墻內(nèi)部，一定程度上的杜絕網(wǎng)絡(luò)黑客的攻擊，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息，保護好工作所需要的信息。

3.2 健全入侵檢測系統(tǒng)

進行計算機系統(tǒng)安全性設(shè)計及其配置的優(yōu)化，從而避免其系統(tǒng)出現(xiàn)異常情況，保證計算機網(wǎng)絡(luò)安全策略行為的優(yōu)化。進行入侵系統(tǒng)審計記錄模式的應(yīng)用，以保護系統(tǒng)的安全。在網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)，則會構(gòu)架成一套完整立體的主動防御體系。加大對漏洞掃描系統(tǒng)的應(yīng)用，進行網(wǎng)絡(luò)安全隱患問題的分析，進行脆弱點的深入探究，以有效針對大型網(wǎng)絡(luò)的復(fù)雜性展開優(yōu)化，保證網(wǎng)絡(luò)管理員的技術(shù)模塊的優(yōu)化，實現(xiàn)安全漏洞的找出，保證風(fēng)險評估的真誠開展。查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。

3.3 加強企業(yè)員工網(wǎng)絡(luò)信息安全教育與管理

員工要對個人使用的計算機信息安全負責(zé)，暫時離開電腦時需要啟動設(shè)有密碼的平屏幕保護程序，員工需要保證分配的系統(tǒng)賬戶及密碼的安全性，信息管理部門需要為公司的每臺電腦提供殺毒軟件并及時進行更新，不得擅自下載軟件進行安裝，系統(tǒng)管理員需要不定期進行檢查監(jiān)督，禁止任何員工在工作時間內(nèi)通過網(wǎng)絡(luò)進行任何與工作無關(guān)的活動，發(fā)現(xiàn)違規(guī)行為可進行罰款處罰，公司的機密文件需要保存于帶鎖的文件柜中，員工不得私自將公司的文件及資料帶離公司，若確實工作需要必須向部門領(lǐng)導(dǎo)及公司領(lǐng)導(dǎo)提交申請單，共同簽字審批后在信息管理部門的監(jiān)督下進行。

4 結(jié)語

大數(shù)據(jù)時代，企業(yè)網(wǎng)絡(luò)信息安全面臨嚴峻挑戰(zhàn)，結(jié)合企業(yè)實際情況做好網(wǎng)絡(luò)病毒的防范、健全入侵檢測系統(tǒng)、加強企業(yè)員工網(wǎng)絡(luò)信息安全教育與管理等措施，加強企業(yè)網(wǎng)絡(luò)信息安全技術(shù)體系的建設(shè)，營造一個企業(yè)網(wǎng)絡(luò)信息安全可用的網(wǎng)絡(luò)環(huán)境，確保日常工作的安全開展，更好服務(wù)于社會經(jīng)濟的發(fā)展。

參考文獻

[1] 黃鈺.大數(shù)據(jù)背景下的網(wǎng)絡(luò)信息安全控制機制與評價體系[J].信息與電腦（理論版），2016，20：201-202.

第5篇：企業(yè)網(wǎng)絡(luò)安全評估范文

企業(yè)網(wǎng)絡(luò)正面臨前所未有的高風(fēng)險: 每個企業(yè)都必須遵從數(shù)量眾多且時常發(fā)生沖突的內(nèi)部政策、政府法規(guī)、第三方條例,以及與安全相關(guān)的行業(yè)最佳做法,這種高度復(fù)雜的安全環(huán)境本身又滋生出一種新的“極端風(fēng)險”――可能導(dǎo)致一個或多個設(shè)備出現(xiàn)配置錯誤,或來不及應(yīng)用最新的規(guī)則或軟件補丁,進而使企業(yè)陷入危險境地。跨國企業(yè)在這方面面臨的問題尤甚。

如何在紛亂復(fù)雜的環(huán)境中成功降低跨國企業(yè)網(wǎng)絡(luò)的安全風(fēng)險?

復(fù)雜即風(fēng)險

每個企業(yè)的當務(wù)之急就是避免配置錯誤和違規(guī)行為,這不僅是為了規(guī)避法律風(fēng)險、罰款及其他違規(guī)處罰,同時也是為了維護企業(yè)的誠信、聲譽和品牌。然而,降低企業(yè)風(fēng)險現(xiàn)在已成為縱貫多個層面的課題,需要在多個層面上制定并實施相應(yīng)策略――由此產(chǎn)生的復(fù)雜性已成為當今企業(yè)面臨的最大難題之一。

當今企業(yè)面臨著各種各樣的安全漏洞,防范它們所需要的工具各不相同。這些漏洞主要包括:

使網(wǎng)絡(luò)易受其他形式攻擊的網(wǎng)絡(luò)漏洞;

數(shù)據(jù)竊取,包括跨網(wǎng)絡(luò)數(shù)據(jù)劫持;

導(dǎo)致服務(wù)器、個人電腦或虛擬應(yīng)用行為失?；虺蔀槠渌纛愋驮搭^的惡意軟件;

拒絕服務(wù)(DoS)攻擊,可造成數(shù)據(jù)不可用,或授權(quán)用戶無法訪問網(wǎng)絡(luò)。

企業(yè)不僅面臨上述威脅,還必須遵從數(shù)量眾多的行業(yè)及監(jiān)管條例:

首先是外部監(jiān)管。企業(yè)必須遵從各種因國家和地區(qū)而異的客戶隱私條例,除此之外,還有專門針對特定垂直市場的第三方條例。比如,在美國,由信用卡公司組成的支付卡行業(yè)(PCI)協(xié)會分別對零售商和接受信用卡付款的實體規(guī)定了消費者隱私標準,其中涵蓋IT及網(wǎng)絡(luò)域名。企業(yè)如果違規(guī),就要接受該協(xié)會嚴厲的罰款和其他違規(guī)處罰。

其次是最佳做法標準。許多企業(yè)通過實施行業(yè)標準的IT安全管理最佳做法(國際標準化組織ISO 27000系列文件中有詳述)來增強其安全措施。這固然可使企業(yè)建立起適當?shù)陌踩雷o網(wǎng),以保護其知識產(chǎn)權(quán)(IP)、機密數(shù)據(jù)及客戶信息,同時為業(yè)務(wù)持續(xù)性計劃提供支持,但遵循行業(yè)最佳做法卻會產(chǎn)生一個新的安全規(guī)則層。

此外,正在潛入企業(yè)內(nèi)部的Web 2.0社交網(wǎng)絡(luò)、需要不斷更新的軟件及安全補丁……也都會增加企業(yè)的安全復(fù)雜性。

進入企業(yè)的新通道社交網(wǎng)絡(luò)

近年來,Web 2.0技術(shù)使網(wǎng)絡(luò)安全形勢再起波瀾。一年前,很多企業(yè)可能都沒聽說過Twitter、Facebook、YouTube之類的流行社交網(wǎng)絡(luò),而如今,它們已借合法商業(yè)及營銷之名滲透到了企業(yè)網(wǎng)絡(luò)內(nèi)部,雖然目前可能仍然只限于員工個人使用。

進入企業(yè)網(wǎng)絡(luò)內(nèi)部的新通道正在形成。理想情況下,這些通道可用于增強企業(yè)的商業(yè)意識和改善運營; 但另一方面,它們也開辟了行使惡作劇或竊取企業(yè)數(shù)據(jù)的新途徑,為員工向企業(yè)外部泄露敏感信息提供了方便。比如,社交網(wǎng)站就經(jīng)常被用來發(fā)動網(wǎng)絡(luò)釣魚詐騙。

移動和無線

傳統(tǒng)的網(wǎng)絡(luò)邊界及其相關(guān)的保護措施正隨著企業(yè)用戶轉(zhuǎn)向無線網(wǎng)絡(luò)(包括蜂窩移動網(wǎng)絡(luò)和/或 Wi-Fi無線網(wǎng)絡(luò))而逐漸發(fā)生改變。企業(yè)必須為移動設(shè)備提供保護,加密存儲在移動設(shè)備上的機密數(shù)據(jù)和通過無線傳輸?shù)馁Y料,以及保護企業(yè)網(wǎng)絡(luò)、防范移動網(wǎng)絡(luò)入侵(如黑客或惡意軟件),這已成為移動設(shè)備管理(MDM)的一個分支。

總的來說,信息和網(wǎng)絡(luò)技術(shù)的“消費化”開辟了(且還將繼續(xù)開辟)大量“進出”企業(yè)的新途徑,其中多數(shù)可在戰(zhàn)略上幫助企業(yè)獲益。隨著 Web 2.0 應(yīng)用的演變和移動網(wǎng)絡(luò)的興起,安全成了一套動態(tài)、不斷變化的規(guī)則,必須予以密切關(guān)注。安全已不再是一種“設(shè)定后即可置之不理”的方針。

“緊跟變化”的難題

以上因素營造了一個復(fù)雜、多變的安全環(huán)境,而且該環(huán)境本身就是個巨大的風(fēng)險。其復(fù)雜程度更高、安全層數(shù)更多、員工專業(yè)知識更趨多樣化,必須予以管理和簡化。來自軟件和網(wǎng)絡(luò)設(shè)備公司的新軟件補丁、漏洞修補程序和安全更新不斷增加,與時俱進的要求會迅速造成操作人員不堪重負,致使企業(yè)不得不在設(shè)備和軟件方面做出額外投資。此外,萬一負責(zé)基礎(chǔ)架構(gòu)不同部分的 IT 員工,比如安全管理員與應(yīng)用服務(wù)器管理員,未能協(xié)調(diào)好工作,導(dǎo)致一部分部件更新,而另一部分未得到更新,也可能造成安全漏洞。

CIO和其他負責(zé)IT安全工作的員工應(yīng)考慮的一個基本問題是: 如何準確創(chuàng)建、實施、過濾和關(guān)聯(lián)所有這些策略、事件和潛在違規(guī)行為,以便時刻把握安全形勢?多管齊下地進行風(fēng)險管理,目標就是確保公司始終遵守各項法規(guī),并消除針對其知識產(chǎn)權(quán)及數(shù)據(jù)保密性、完整性和可用性的威脅。

此外,降低風(fēng)險還需要一套自上而下的管理方法,這種方法根據(jù)來自上層的管理策略編寫規(guī)則。應(yīng)確保公司各個層級都了解這套安全策略,并使之成為企業(yè)文化的一部分。安全應(yīng)成為業(yè)務(wù)運作的一個組成部分。

四招

降低風(fēng)險

要想在復(fù)雜環(huán)境中降低企業(yè)網(wǎng)絡(luò)風(fēng)險,首先要縱觀全局,評估涉及隱私及機密信息的各項數(shù)據(jù)資產(chǎn)。其實質(zhì)操作與業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)規(guī)劃相同,目標均為防止數(shù)據(jù)失竊、受損或無法訪問。因此,數(shù)據(jù)安全評估和業(yè)務(wù)持續(xù)性評估可同時執(zhí)行。

掌控企業(yè)整體安全形勢并降低風(fēng)險,還可從以下幾方面入手:

1. 風(fēng)險/漏洞評估

執(zhí)行風(fēng)險/漏洞評估的第一步,是引入能夠發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)上運行的一切網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲設(shè)備及軟件的管理工具集。必須先了解都有哪些部件,然后才能確定是否所有部件都符合最新的策略規(guī)定,遵從適用的法規(guī)、條例,以及應(yīng)用軟件補丁。

幸運的是,網(wǎng)絡(luò)發(fā)現(xiàn)及安全工具的準確性在過去幾年里得到了極大提高。它們現(xiàn)在能夠從網(wǎng)絡(luò)及全網(wǎng)服務(wù)器設(shè)備處收集海量的安全事件數(shù)據(jù),然后將之歸納到超長的報告中,詳述網(wǎng)絡(luò)安全的各個方面。

現(xiàn)在,您可以捕獲所有此類信息了,然而您面臨的更大難題是,如何利用這些信息制定出有實際意義的舉措。這就需要您掌控這些信息,排定其優(yōu)先順序,并加以組織――所有這些必須迅速完成。捕獲到的大部分事件信息是無關(guān)緊要或重復(fù)的,因此,過濾信息并在攻擊發(fā)動之前迅速找到實際潛在的風(fēng)險至關(guān)重要。

過濾可通過編寫能夠分離大量冗余信息和異常活動的自定義算法來完成。無論在企業(yè)內(nèi)部還是在開放的互聯(lián)網(wǎng)上,數(shù)據(jù)分析均基于已知攻擊類型和流量歷史數(shù)據(jù)。許多公司對安全問題的認知不夠全面,也未將其作為分析的一部分對待,而事實上,安全問題已對全球范圍的網(wǎng)絡(luò)造成了巨大影響。此外,公司還缺乏可幫助其捕獲數(shù)據(jù)并排定優(yōu)先順序的數(shù)據(jù)收集工具,比如分析軟件。

要不斷更新設(shè)備,企業(yè)還必須具有實現(xiàn)多種設(shè)備或設(shè)備類型相關(guān)聯(lián),以及定期執(zhí)行漏洞掃描的能力,這些功能需要不同的專業(yè)知識和人力資源。

2. 集中化=簡單+可靠

所有收集到的數(shù)據(jù)(來自面向公眾的設(shè)備以及內(nèi)部設(shè)備)應(yīng)集中進行分析,以反映企業(yè)全貌。其目標應(yīng)為簡化信息,以幫助企業(yè)加快獲得基于業(yè)務(wù)需求的優(yōu)先順序警報,并能夠根據(jù)檢測到的威脅或漏洞做出適當反應(yīng)。

實現(xiàn)這一目標的最可靠方法之一,是通過網(wǎng)關(guān)與防火墻(位于不同網(wǎng)絡(luò)結(jié)點的設(shè)備,如LAN與 WAN之間或WAN與互聯(lián)網(wǎng)之間的設(shè)備)的統(tǒng)一視圖收集事件數(shù)據(jù),然后將其聚合到一個中央位置。無論這項功能是內(nèi)部處理還是外包處理,跨設(shè)備的網(wǎng)絡(luò)事件數(shù)據(jù)關(guān)聯(lián)與聚合形成的企業(yè)全貌,可幫助您預(yù)測事件即將發(fā)生的時間,讓您在其損害到企業(yè)之前主動化解這些事件,從而大幅降低風(fēng)險。

強大的發(fā)現(xiàn)工具或第三方發(fā)現(xiàn)服務(wù)能夠篩選數(shù)以億計的警報,過濾掉不相關(guān)的數(shù)據(jù),并將數(shù)據(jù)削減到100～200個需要網(wǎng)絡(luò)分析師介入的事件。之后,分析師應(yīng)能夠解決約50個需要警惕的重要事件。

將事件削減到網(wǎng)絡(luò)分析師能夠處理的重要事件數(shù)量,是簡化復(fù)雜/整體網(wǎng)絡(luò)安全形勢的關(guān)鍵步驟。如果本地IT員工的工作與其他站點的工作脫節(jié),就必定會形成安全漏洞。

無論如何,跨國公司都必須應(yīng)對不同國家/地區(qū)的不同法規(guī)和條例。這可能會導(dǎo)致不同的網(wǎng)絡(luò)需要不同的防火墻策略設(shè)置。此外,防火墻補丁是定期的,而多數(shù)大型IT部門傾向于按某種優(yōu)先順序來為設(shè)備打補丁和升級。這一過程通常會導(dǎo)致優(yōu)先級較低的站點疏于管理。實際上,一個站點的防火墻如果幾年都未升過級,那就跟沒有防火墻一樣。

集中變更管理功能可外包給大型實體來予以簡化,這些實體應(yīng)具有規(guī)模效益、最新工具以及能夠作為一個完整實體來評估和更新整個網(wǎng)絡(luò)的安全專家。如果要內(nèi)部處理這些事務(wù),則需要在各個國家/地區(qū)雇用專家,這些專家應(yīng)了解哪類信息可以在哪些國家/地區(qū)之間傳遞,負責(zé)維護能夠獲取每個國家/地區(qū)策略全貌并創(chuàng)建適用于所有策略的集中式策略的核心團隊。

3. 策略設(shè)置與實施

今天的許多防火墻和防火墻服務(wù)都將數(shù)量眾多的安全功能合并到一個設(shè)備或服務(wù)之中。這些功能有多個“層級”,每個防火墻內(nèi)集成的功能取決于介于各個站點之間(WAN 服務(wù)與專用網(wǎng)絡(luò)、專用網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)、公共服務(wù)器與專用網(wǎng)絡(luò)等)的網(wǎng)絡(luò)。另外,它們還取決于與該網(wǎng)段相關(guān)的漏洞/風(fēng)險。

入侵防護工具可能會集成這樣一類策略: 對流量執(zhí)行代表異常的特征碼進行掃描。防火墻和安全軟件廠商會針對已知惡意軟件的特征碼迅速制作并發(fā)送補丁,將其自動從流量中過濾掉。這就是必須確保所有設(shè)備不斷更新的原因,新的威脅時時刻刻都在涌現(xiàn)。

安全程序還可以簡單地尋找任何“不尋?！钡幕顒莹D―例如,特定服務(wù)器或其他計算機上出現(xiàn)非常多的通信請求,會使其過于“忙碌”,而造成用戶無法訪問。

根據(jù)某個企業(yè)必須遵從的一系列內(nèi)部最佳做法和監(jiān)管要求,用戶訪問列表和驗證可能是基于角色的,且可能因國家/地區(qū)、行業(yè)而異。這對于加密數(shù)據(jù)是一樣的,無論這些數(shù)據(jù)是保存在個人電腦硬盤上,還是使用IP Sec或SSL VPN專用“隧道”通過網(wǎng)絡(luò)進行傳輸。

4. 與可信第三方合作

今時今日,要保持不斷更新自己遍布全球的分支機構(gòu)網(wǎng)絡(luò)上日新月異的策略和安全設(shè)置(需要實施、評估和審核),是大型跨國企業(yè)面臨的一道難題,甚至是一項不可能完成的任務(wù)。它們需要一個專注于該領(lǐng)域并經(jīng)過授權(quán)的安全/網(wǎng)絡(luò)運營中心(S/NOC)為其提供全天候不間斷的政策和法規(guī)審查、風(fēng)險評估、應(yīng)對即將來臨的警報并主動規(guī)避風(fēng)險。

有些跨國企業(yè)會依靠自己的力量,努力管理和維護這些中心。只要新的法規(guī)和安全威脅不斷出現(xiàn),此類企業(yè)就必須不斷為升級設(shè)備、軟件和提高員工技能持續(xù)投資。

但是,也有很多跨國企業(yè)認為信息和網(wǎng)絡(luò)安全體系并不屬于公司的核心業(yè)務(wù),不妨將持續(xù)監(jiān)控、評估和審核這些工作交由專業(yè)、可信的合作伙伴來完成。

第6篇：企業(yè)網(wǎng)絡(luò)安全評估范文

1.1企業(yè)網(wǎng)絡(luò)環(huán)境的基本構(gòu)架

企業(yè)網(wǎng)絡(luò)環(huán)境依其功能性的不同，可以分成兩個部分：辦公區(qū)域的工作站和各類數(shù)據(jù)、WEB、管理系統(tǒng)構(gòu)成的服務(wù)器集群。其中部分工作站與服務(wù)器集群分布在不同地域，形成“公司總部-分公司-區(qū)域代表處”的整體網(wǎng)絡(luò)構(gòu)架。目前企業(yè)的服務(wù)器端更新計算機安全性修補的程序是每一臺服務(wù)器均安裝WindowsUpdate，通過互聯(lián)網(wǎng)自動取得最新的安全性修補程序，保持服務(wù)器端安全漏洞都能得到及時的修補；工作站端則由工程師通過網(wǎng)絡(luò)取得最新安全性修補程序后，通過總控分發(fā)的形式逐一手動執(zhí)行安裝。

1.2目前公司網(wǎng)絡(luò)安全管理的缺憾與不足

(1)無法快速地確定公司網(wǎng)絡(luò)上哪些主機具有安全性弱點。目前在系統(tǒng)安全漏洞方面，一般是網(wǎng)絡(luò)安全工程師在獲得網(wǎng)絡(luò)安全性公告時才掃描整個環(huán)境是否存在相關(guān)安全漏洞并更新計算機系統(tǒng)，事實證明，對于環(huán)境來說，是非常耗時并難以及時實現(xiàn)的，在理想狀態(tài)下，應(yīng)該發(fā)展并實行一套機制來自動收集并分析在弱點掃描過程中所產(chǎn)生的安全信息報告，并針對安全性警訊作出回應(yīng)，以有效維護工作中最基本的網(wǎng)絡(luò)安全。

(2)沒有足夠的時間可以安裝或部署安全性修補程序。依目前架構(gòu)，每一臺服務(wù)器均自行通過互聯(lián)網(wǎng)自動取得最新的修補程序，若遇上網(wǎng)絡(luò)頻寬使用率較高時便會發(fā)生安全性修補程序更新失敗的問題(經(jīng)實際評估失敗率約為15%)。另外，由于工作站總數(shù)量多達上千甚至達到萬臺，在系統(tǒng)漏洞更新需要一定的周期才能實現(xiàn)，工作過程中可能會發(fā)生安全性修補程式尚未更新完成前就已經(jīng)遭受攻擊的問題。

(3)有些系統(tǒng)無法自動安裝安全性修補程序。某些獨立計算機或不受控制的非網(wǎng)絡(luò)成員計算機，由于不受系統(tǒng)管理員的維護控制，難以通過系統(tǒng)整體控制的形式完成安全性修補程序及相關(guān)工作。

(4)有些系統(tǒng)無法自動安裝安全性修補程序。訪客、行動和遠端使用者，如同辦公區(qū)中一般的客戶端一樣，這對于企業(yè)來說，這些客戶端也是潛在的攻擊來源，需另行處理。

2企業(yè)網(wǎng)絡(luò)系統(tǒng)安全修補程序的管理需求

(1)當采用新的硬件或軟件而造成環(huán)境的變更時，通常會執(zhí)行設(shè)定，設(shè)定活動是支援順利且有效的安全性修補程序管理所必需的。包括：①取得庫存及建立環(huán)境的基準線：工作基準線包含的是讓生產(chǎn)環(huán)境中不同類型電腦都能安全運作的所有必要軟件。②訂閱安全性警訊及啟動網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)：網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)會自動識別新的產(chǎn)品缺點、對其新系統(tǒng)環(huán)境進行更新修補。③建立安全性報告以協(xié)助識別問題：識別環(huán)境中的病毒或入侵，指出需要盡速解決的進行中的各類攻擊。④設(shè)定及維護修補程序管理基礎(chǔ)架構(gòu)：無論是任何大小的組織，都應(yīng)利用自動化工具，讓系統(tǒng)管理員得知可用的更新，并部分掌控安全性修補程序的安裝情況。

(2)以每天或每周為執(zhí)行基礎(chǔ)，定期檢閱網(wǎng)站、安全性通知以及安全性報告，以識別新的軟件更新及安全性問題，并判定更新與環(huán)境中問題的關(guān)聯(lián)性。①識別：判定環(huán)境是否需要修補程序，以及其來源是否有效。②關(guān)聯(lián)性：判定修補程序?qū)τ诮M織的信息技術(shù)基礎(chǔ)架構(gòu)環(huán)境是否有意義。③隔離觀察：在一個或多個修補程序中查出可能會影響組織IT基礎(chǔ)架構(gòu)的病毒或其他惡意程序碼時，隔離任何與修補程序相關(guān)的檔案。

(3)識別環(huán)境中新安全性弱點，并擬定發(fā)行安全性修補程序或相關(guān)的對策，包括：①變更管理，將變更分類及排定優(yōu)先級，以及取得對生產(chǎn)環(huán)境進行變更之核準的程序。②檢閱變更，因為負面的商業(yè)影響或其他影響質(zhì)量的原因而需要時，此步驟可以包括復(fù)原受損信息或數(shù)據(jù)。

(4)對組織環(huán)境中一些分散的系統(tǒng)管理層級。例如，多個擁有系統(tǒng)管理權(quán)限的群組或是在本身計算機上擁有系統(tǒng)管理權(quán)限的一般使用者。設(shè)置規(guī)范的系統(tǒng)管理員賬戶標準，例如，重新命名或停用賬戶以及設(shè)立虛擬賬戶等。

(5)定義安全性修補程序的強制方式以及相關(guān)的時間表。若系統(tǒng)漏洞或缺點仍無法在要求的時間之內(nèi)成功解決，需采用更強烈的策略，例如：在違規(guī)者的組織中呈報這個問題、停用存取此計算機的主賬戶、在網(wǎng)絡(luò)里移除此計算機的網(wǎng)絡(luò)實體連線，或是重新設(shè)定網(wǎng)絡(luò)硬件等方式，以防止個別計算機系統(tǒng)的漏洞的擴散而引發(fā)系統(tǒng)整體的網(wǎng)絡(luò)安全問題。

3企業(yè)網(wǎng)絡(luò)系統(tǒng)安全性修補程序的架構(gòu)設(shè)計

3.1工作站端計算機安全性修補程序系統(tǒng)架構(gòu)

企業(yè)工作站端計算機安全修補程序的系統(tǒng)架構(gòu)，該架構(gòu)分為三個系統(tǒng)：安全測試系統(tǒng)、安全修補程序更新系統(tǒng)、系統(tǒng)安全漏洞自動偵測系統(tǒng)。第一個系統(tǒng)是安全測試系統(tǒng)，管理者使用此系統(tǒng)來驗證互聯(lián)網(wǎng)所取得的安全性修補程序，完成系統(tǒng)安全性測試分析與管理；第二個系統(tǒng)是安全性修補程序更新系統(tǒng)，管理者將經(jīng)過驗證的安全性修補程序利用此系統(tǒng)完成工作站端的程序部署；第三個系統(tǒng)安全漏洞自動偵測系統(tǒng)，對于系統(tǒng)網(wǎng)絡(luò)安全漏洞進行偵測管理，對不受管理或是非標準網(wǎng)域的計算機，利用此系統(tǒng)移除此工作站的網(wǎng)絡(luò)連線。企業(yè)工作站端計算機安全修補程序的運作過程包括：

(1)訂閱安全性警訊及其他安全漏洞更新庫，系統(tǒng)安全漏洞自動偵測系統(tǒng)會識別新的產(chǎn)品缺點、過去的重要的系統(tǒng)更新，以及已被其他人發(fā)現(xiàn)的新病毒。

(2)根據(jù)安全需要，將存在安全隱患的計算機隔離于生產(chǎn)環(huán)境網(wǎng)絡(luò)之外，以便確保這些計算機不會對組織的IT基礎(chǔ)架構(gòu)造成負面的影響。

3.2服務(wù)器端計算機安全性修補程序系統(tǒng)架構(gòu)

企業(yè)服務(wù)器端計算機安全修補程序的系統(tǒng)架構(gòu)如圖3所示。該架構(gòu)分為兩個系統(tǒng)：安全管理系統(tǒng)、安全性修補程序更新系統(tǒng)。第一個系統(tǒng)安全管理系統(tǒng)，管理者使用此系統(tǒng)來實現(xiàn)企業(yè)服務(wù)器集群的安全管理與整體的安全防護；第二個系統(tǒng)是安全性修補程序更新系統(tǒng)，管理者將經(jīng)過驗證的安全性修補程序利用此系統(tǒng)完成服務(wù)器端的程序部署。服務(wù)器端更新計算機安全性修補程序系統(tǒng)架構(gòu)圖如圖3所示，服務(wù)器端計算機安全修補程序的運作過程包括：

(1)訂閱網(wǎng)絡(luò)服務(wù)器的安全性警訊及安全漏洞更新庫，借助安全性修補程序更新系統(tǒng)，完成服務(wù)器端系統(tǒng)的即時更新。

(2)根據(jù)安全需要，將存在安全隱患的服務(wù)器或工作機隔離于服務(wù)器集群的環(huán)境網(wǎng)絡(luò)之外，以便確保具有網(wǎng)絡(luò)安全隱患的服務(wù)器或工作機不會對組織的服務(wù)器集群架構(gòu)造成威脅。

(3)信息中心人員在隔離環(huán)境下確認所有修補程序完成，并完成病毒檢測無問題后，隔離解除，由安全管理系統(tǒng)完成個別服務(wù)器的手動程序部署，并負責(zé)服務(wù)器管理者的進一步偵測追蹤管理。

4結(jié)束語

第7篇：企業(yè)網(wǎng)絡(luò)安全評估范文

關(guān)鍵詞：電力；信息化；安全問題

1 電力系統(tǒng)網(wǎng)絡(luò)信息安全的概述與現(xiàn)狀分析

電力系統(tǒng)的信息安全不僅可以保障電力生產(chǎn)運行的安全性，還是電力企業(yè)對用戶供電可靠性的重要保證。電力系統(tǒng)網(wǎng)絡(luò)信息安全是一項涉及到電力的生產(chǎn)、經(jīng)營和管理等多方面的系統(tǒng)工程，它控制著電力系統(tǒng)中電網(wǎng)調(diào)度自動化、繼電保護裝置自動化、配電網(wǎng)自動化、變電運行智能化、電力負荷控制、電力市場交易以及電力營銷等環(huán)節(jié)性能的正常發(fā)揮。根據(jù)電力工業(yè)的特點，再結(jié)合電力工業(yè)信息網(wǎng)絡(luò)系統(tǒng)和電力運行實時控制系統(tǒng)，對電力系統(tǒng)信息安全問題進行分析，發(fā)現(xiàn)許多電力系統(tǒng)中的信息工程沒有建立一個完整的安全體系，只是以防病毒軟件和防火墻來作為安全防護，有的甚至連信息安全防護設(shè)施也沒有，從而給電力系統(tǒng)網(wǎng)絡(luò)信息安全埋下了許多安全隱患。針對此現(xiàn)象，電力企業(yè)必須盡快對電力系統(tǒng)建立一個計算機信息安全體系以保護電力系統(tǒng)網(wǎng)絡(luò)信息的安全。

2 電力企業(yè)網(wǎng)絡(luò)信息安全問題概述

2.1 電力企業(yè)中信息化部門的建設(shè)不健全

在電力企業(yè)中，電力信息部門沒有受到應(yīng)有的重視，它既沒有配備專門的機構(gòu)設(shè)施，也沒有設(shè)立專門的崗位進行作業(yè)，更沒有規(guī)范的制度進行管理，從而根本無法滿足電力系統(tǒng)信息化對人才和機構(gòu)的要求。

2.2 電力企業(yè)的信息化管理還跟不上信息化發(fā)展的速度

信息技術(shù)在電力系統(tǒng)中的應(yīng)用與發(fā)展已越來越廣泛，然而電力企業(yè)針對電力信息化的管理還比較落后，無法跟上發(fā)展速度，從而導(dǎo)致信息系統(tǒng)的功能無法完全的發(fā)揮出來，對電力系統(tǒng)的作用也不盡如意。

2.3 電力企業(yè)安全文化建設(shè)中網(wǎng)絡(luò)信息安全管理所處的地位不恰當

現(xiàn)在，信息安全管理在電力企業(yè)安全文化建設(shè)中仍然是處于從屬地位，從而阻礙了信息安全在電力行業(yè)中的發(fā)展。因此，電力企業(yè)要重視信息安全管理的發(fā)展，使其成為企業(yè)安全文化的中堅力量。

2.4 電力企業(yè)網(wǎng)絡(luò)信息安全中存在著多方面的風(fēng)險

電力企業(yè)網(wǎng)絡(luò)信息和其他的企業(yè)網(wǎng)絡(luò)信息一樣，存在著多方面的安全風(fēng)險，例如：網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計不合理的風(fēng)險、來自互聯(lián)網(wǎng)的信息干擾風(fēng)險、來自企業(yè)內(nèi)部的操作不當風(fēng)險、病毒的侵害的風(fēng)險、管理人員素質(zhì)低風(fēng)險、系統(tǒng)的安全風(fēng)險等。

3 電力企業(yè)網(wǎng)絡(luò)信息安全問題的原因分析

3.1 電力企業(yè)對網(wǎng)絡(luò)信息安全防護的意識薄弱且管理不夠

技術(shù)人員對電力系統(tǒng)網(wǎng)絡(luò)信息的安全意識薄弱，經(jīng)常性的忽視了對其安全性的管理與防護，并且電力企業(yè)更側(cè)重于網(wǎng)絡(luò)效應(yīng)，對信息安全的重視還遠遠不夠，管理和投入也達不到安全防范的要求。因此，電力企業(yè)的網(wǎng)絡(luò)信息安全一直都處在被動的封堵漏涮狀態(tài)。

3.2 電力企業(yè)中網(wǎng)絡(luò)信息安全的運行管理機制不完善

現(xiàn)今我國電力行業(yè)中對電力系統(tǒng)的運行管理機制還存在著一些缺陷和不足，如網(wǎng)絡(luò)安全管理方面的人才欠缺、網(wǎng)絡(luò)信息安全防護措施的不完善及實施不到位、缺乏綜合性的安全解決方案。

4 電力企業(yè)網(wǎng)絡(luò)信息安全管理內(nèi)容的介紹

4.1 網(wǎng)絡(luò)信息安全風(fēng)險的管理

對于網(wǎng)絡(luò)信息安全風(fēng)險的管理首先得識別企業(yè)的信息資產(chǎn)，再對威脅這些資產(chǎn)的風(fēng)險進行預(yù)估與統(tǒng)計整理，最后假定這些風(fēng)險的發(fā)生給企業(yè)所帶來的災(zāi)難和損失進行評估，從而達到對風(fēng)險實施降低、避免、轉(zhuǎn)嫁等多種管理方式，為管理部門企業(yè)信息安全策略的制定奠定基礎(chǔ)。

4.2 企業(yè)信息安全策略的制定

信息安全策略要作為電力企業(yè)安全管理的最高方針，它的制定必須由企業(yè)的高級管理部門進行審核通過，并要以書面文檔的形式進行保存與企業(yè)員工之間的傳閱。

4.3 企業(yè)員工的網(wǎng)絡(luò)信息安全教育

信息安全意識和信息安全管理技能的培訓(xùn)是企業(yè)安全管理中的重要內(nèi)容，其實施的力度將直接影響到企業(yè)安全策略的認知度和執(zhí)行度。因此，電力企業(yè)的高級管理部門要對企業(yè)的各級管理人員、技術(shù)人員以及用戶等多加開展安全教育活動，使他們能夠詳細的了解企業(yè)信息安全策略，并執(zhí)行到位，從而有效的保證電力企業(yè)網(wǎng)絡(luò)信息的安全。

5 電力企業(yè)網(wǎng)絡(luò)信息安全問題的解決措施

5.1 加強電力系統(tǒng)網(wǎng)絡(luò)信息的安全規(guī)化

企業(yè)網(wǎng)絡(luò)安全規(guī)劃的目的就是為了對網(wǎng)絡(luò)的安全問題有一個全方位的認識與了解，培養(yǎng)人們能夠以系統(tǒng)的觀點去考慮與解決安全問題。因此，電力企業(yè)要加強對電力系統(tǒng)網(wǎng)絡(luò)信息安全的規(guī)劃，建立一套系統(tǒng)全面的信息安全管理體系，從而達到對網(wǎng)絡(luò)信息安全的有效管理。

5.2 加強電力企業(yè)信息網(wǎng)絡(luò)安全域的合理劃分

電力企業(yè)的信息網(wǎng)絡(luò)實施的是特理隔離法，因此在其內(nèi)網(wǎng)上要加強安全域的合理劃分。這就需要結(jié)合電力系統(tǒng)的整體安全規(guī)劃和信息安全密級進行邏輯上的安全域劃分，其一般劃分為核心重點防范區(qū)域、一般防范區(qū)域和開放區(qū)域，其中的重點防范的區(qū)域是電力企業(yè)網(wǎng)絡(luò)安全管理的中心部分。

5.3 加強企業(yè)信息安全管理制度的建立

電力企業(yè)網(wǎng)絡(luò)信息安全的管理需有安全管理制度作為其基礎(chǔ)與依據(jù)。因此，要加強對電力企業(yè)信息安全管理制度的建立并將其落實到位，例如，加強企業(yè)對網(wǎng)絡(luò)信息安全的重視程度，加強網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和運行環(huán)境的建設(shè)，堅持安全為主、多人負責(zé)的管理原則，定期進行安全督導(dǎo)檢查。另外，還需加強電力系統(tǒng)運行日志的管理與安全審計，建立一套企業(yè)內(nèi)網(wǎng)的統(tǒng)一認證系統(tǒng)，以及建立一套適合電力企業(yè)的病毒防護體系等。

5.4 加強企業(yè)工作人員的網(wǎng)絡(luò)信息安全教育

加強企業(yè)工作人員的網(wǎng)絡(luò)信息安全教育對電力企業(yè)的信息化安全來說也十分重要。企業(yè)在開展網(wǎng)絡(luò)信息安全教育工作時要注意其層次性，特定人員要進行特別的安全培訓(xùn)。對信息安全工作的高級負責(zé)人和各級管理員的安全教育工作重點是要加強他們對企業(yè)信息安全策略和目標的充分了解，加強他們對企業(yè)信息安全體系和企業(yè)安全管理制度的建立與編制工作的完成。對于信息安全運行的管理維護人員的教育工作則是要加強他們對信息安全管理策略的充分理解、安全評估基本方法的熟練掌握、安全操作和維護技術(shù)運用能力的大力提升。對于那些關(guān)鍵、特殊崗位的人員可以將他們送往專業(yè)機構(gòu)進行專業(yè)特定的安全知識和技能的學(xué)習(xí)和培訓(xùn)。

6 結(jié)束語

電力網(wǎng)絡(luò)信息安全的管理問題是一個全面系統(tǒng)的工程，網(wǎng)絡(luò)上的任何一處風(fēng)險都有可能導(dǎo)致整個電力網(wǎng)的安全問題，我們要用系統(tǒng)的觀點進行電力網(wǎng)絡(luò)安全問題的分析與解決。網(wǎng)絡(luò)信息安全問題的解決可以利用行政法律手段和各種管理制度以及專業(yè)措施來進行，其中技術(shù)與管理相輔相成。電力系統(tǒng)網(wǎng)絡(luò)信息安全問題的解決需建立一個有效的運行管理機制，加強網(wǎng)絡(luò)風(fēng)險的認知和人員安全意識的培訓(xùn)，將有效的安全管理貫徹落實到信息安全中來。另外，在電力企業(yè)中建立安全文化，并將網(wǎng)絡(luò)信息安全管理在整個企業(yè)文化體系中貫徹落實好，使其成為中堅力量才是電力信息化安全問題的最基本解決辦法。

參考文獻

[1]周冰.電力信息化切入核心[J].信息系統(tǒng)工程，2003.

第8篇：企業(yè)網(wǎng)絡(luò)安全評估范文

計算機信息系統(tǒng)安全是一個動態(tài)過程。美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）對此提出P2DR模型，其關(guān)鍵是Policy（策略）、Protection（防護）、Detection（檢測）和Response（響應(yīng)）四方面。按照P2DR的觀點，完整的動態(tài)安全體系需要防護措施（如網(wǎng)絡(luò)或單機防火墻、文件加密、身份認證、操作系統(tǒng)訪問控制、數(shù)據(jù)庫系統(tǒng)訪問控制等）、動態(tài)檢測機制（入侵檢測、漏洞掃描等）、先進的資源管理系統(tǒng)（及時發(fā)現(xiàn)問題并做出響應(yīng)）。

中國石油按照信息安全P2DR模型制定的信息安全系統(tǒng)體系結(jié)構(gòu)包括安全運行中心、網(wǎng)絡(luò)邊界管理系統(tǒng)、網(wǎng)絡(luò)準入控制、網(wǎng)絡(luò)管理系統(tǒng)、病毒監(jiān)控與升級管理系統(tǒng)、系統(tǒng)加固與監(jiān)控管理系統(tǒng)、CA認證中心、密鑰管理與分發(fā)系統(tǒng)、數(shù)據(jù)庫防護系統(tǒng)、容災(zāi)系統(tǒng)、內(nèi)容訪問監(jiān)控系統(tǒng)和電子郵件監(jiān)控系統(tǒng)。

中國石油廣域網(wǎng)安全基礎(chǔ)設(shè)施

防火墻系統(tǒng)

中國石油廣域網(wǎng)十分龐大，下屬單位很多，遍布全國，連通世界上很多國家的分支企業(yè)。因此需要在網(wǎng)絡(luò)各個相連處部署強力防火墻，確保網(wǎng)絡(luò)的安全性。另外，在區(qū)域網(wǎng)絡(luò)中心的服務(wù)器群前，加兩臺防火墻，以負載均衡方式，用千兆光纖連接到區(qū)域網(wǎng)絡(luò)中心路由器上。在兩臺防火墻都正常工作情況下，可以提供約兩倍于單臺設(shè)備的性能，即約4Gbps的防火墻吞吐量，當一臺防火墻出現(xiàn)故障時，另一臺防火墻保證網(wǎng)絡(luò)不間斷運行，保障服務(wù)器群的高可用性。

利用防火墻技術(shù)，能在內(nèi)外網(wǎng)之間提供安全保護; 但有如下局限性: 入侵者可尋找防火墻可能敞開的后門進行襲擊; 網(wǎng)絡(luò)結(jié)構(gòu)改變有時會造成防火墻安全策略失效，攻擊者可以繞防火墻實施攻擊; 入侵者可能來自防火墻內(nèi)部; 防火墻可能不能提供實時入侵檢測。

入侵檢測系統(tǒng)

入侵檢測系統(tǒng)分為基于網(wǎng)絡(luò)和基于主機兩種類型?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)對所在網(wǎng)段的IP數(shù)據(jù)包進行分析監(jiān)測，實時發(fā)現(xiàn)和跟蹤有威脅或隱患的網(wǎng)絡(luò)行為?；谥鳈C的入侵檢測系統(tǒng)安裝在需要保護的主機上，為關(guān)鍵服務(wù)提供實時保護。通過監(jiān)視來自網(wǎng)絡(luò)的攻擊、非法闖入和異常進程，能實時檢測出攻擊，并做出切斷服務(wù)、重啟服務(wù)器進程、發(fā)出警報、記錄入侵過程等動作。

入侵檢測在網(wǎng)絡(luò)中設(shè)置關(guān)鍵點，收集信息，并加以分析，查找違反安全策略的行為和遭到襲擊的跡象。它是第二道安全閘門，對內(nèi)外攻擊和誤操作提供實時保護，又不影響網(wǎng)絡(luò)性能。其具體功能如下: 監(jiān)視、分析用戶及系統(tǒng)活動; 系統(tǒng)構(gòu)造和弱點審計; 識別已知進攻的活動模式并向相關(guān)人員報警; 異常行為模式的統(tǒng)計分析; 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性; 操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。

中國石油12個區(qū)域網(wǎng)絡(luò)中心，均配備入侵檢測系統(tǒng)，監(jiān)控內(nèi)外網(wǎng)入侵行為。

漏洞掃描系統(tǒng)

漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術(shù)。它查詢TCP/IP端口，并記錄目標的響應(yīng)，收集關(guān)于某些特定項目的有用信息，例如正在進行的服務(wù)、擁有這些服務(wù)的用戶是否支持不記名登錄、是否有某些網(wǎng)絡(luò)服務(wù)需要鑒別等。

漏洞掃描系統(tǒng)可安裝在便攜機中，在網(wǎng)絡(luò)比較空閑時檢測。檢測方式可本地可遠程; 可臨時檢測某網(wǎng)段，也可固定檢測某網(wǎng)段，但是檢測范圍不可跨越防火墻。

查殺病毒系統(tǒng)

中國石油網(wǎng)絡(luò)上各個局域網(wǎng)普遍設(shè)立查殺病毒軟件服務(wù)器，不斷更新殺毒軟件，及時向用戶機下推最新版本殺毒軟件。大大減輕了病毒泛濫和造成的損失。

網(wǎng)絡(luò)安全策略管理

中國石油全網(wǎng)提供統(tǒng)一安全策略，各級分別部署，從而提高全網(wǎng)整體安全。

企業(yè)網(wǎng)絡(luò)安全策略分為四個方面:檢測評估、體系結(jié)構(gòu)、管理措施和網(wǎng)絡(luò)標準，并構(gòu)成動態(tài)循環(huán)系統(tǒng)（圖1）。安全檢測與評估隨著安全標準的提高而改進，評估結(jié)果是網(wǎng)絡(luò)體系結(jié)構(gòu)的完善的依據(jù)，安全策略管理必須隨之改進與增強; 技術(shù)的進步和網(wǎng)絡(luò)安全要求的提高，促使網(wǎng)絡(luò)標準的完善與改進。

網(wǎng)絡(luò)安全檢測與評估涉及網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用軟件、專業(yè)軟件、數(shù)據(jù)庫、電子商務(wù)、Web網(wǎng)站、電子郵件等。安全體系結(jié)構(gòu)涉及物理、場地、環(huán)境、訪問控制、數(shù)據(jù)傳輸與保存、路由控制。安全管理措施涉及網(wǎng)絡(luò)設(shè)備、軟件、密鑰。

路由器和交換機策略管理是上述安全管理措施中的重要方面。它們的策略維護通過訪問控制列表（ACL）實現(xiàn)。這種工作容易出錯，因而應(yīng)采用專用工具軟件集中管理。所采用的管理軟件有管理設(shè)備ACL的WEB接口，通過這個接口對IP過濾列表進行編輯及下載，簡化了管理工作量，實現(xiàn)了大型網(wǎng)絡(luò)路由器和交換機上策略參數(shù)的集中管理。

分系統(tǒng)設(shè)計

除了上述基礎(chǔ)設(shè)施外，還必須有屬于“上層建筑”安全措施。這便是分系統(tǒng)設(shè)計。

安全運行中心

中國石油信息系統(tǒng)地域分散、規(guī)模龐大，與多個業(yè)務(wù)系統(tǒng)耦合性很強，如何將現(xiàn)有安全系統(tǒng)納入統(tǒng)一管理平臺，實現(xiàn)安全事件全局分析和動態(tài)監(jiān)控，是中國石油廣域網(wǎng)面臨的主要問題。

建立安全運行中心，實現(xiàn)對全網(wǎng)安全狀況的集中監(jiān)測、安全策略的統(tǒng)一配置管理、統(tǒng)計分析各類安全事件，并處理各種安全突發(fā)事件。安全運行中心不僅可以將不同類型安全產(chǎn)品實現(xiàn)統(tǒng)一管理，還可以將網(wǎng)絡(luò)中不同位置、不同系統(tǒng)中單一安全事件進行收集、過濾、關(guān)聯(lián)分析，得出網(wǎng)絡(luò)全局風(fēng)險事件集，提供安全趨勢報告，并通過遠程狀態(tài)監(jiān)控、遠程分發(fā)、實現(xiàn)快速響應(yīng)，有效控制風(fēng)險事件。

安全運行中心功能模塊包括安全配置模塊、網(wǎng)絡(luò)監(jiān)控模塊、內(nèi)容監(jiān)管模塊、安全事件與預(yù)警模塊以及應(yīng)急響應(yīng)模塊，具體功能模塊如圖2所示。下邊介紹幾種主要功能。

（1）安全配置管理

包括防火墻、入侵檢測、VPN等安全系統(tǒng)的安全規(guī)則、選項和配置，各種操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用等系統(tǒng)配置的安全設(shè)置、加固和優(yōu)化措施?？蓪崿F(xiàn)策略創(chuàng)建、更新、、學(xué)習(xí)和查詢。

（2）網(wǎng)絡(luò)監(jiān)控

模塊可提供對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)拓撲、服務(wù)器、應(yīng)用系統(tǒng)運行情況的可視化監(jiān)控，確定某個安全事件是否會發(fā)生，事件類型、影響程度和范圍。預(yù)警: 對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)、服務(wù)器、數(shù)據(jù)庫系統(tǒng)日志信息的收集、集中存儲、分析、管理，及時發(fā)現(xiàn)安全事件，并做出相應(yīng)預(yù)警。

（3）內(nèi)容監(jiān)管

內(nèi)容監(jiān)控、內(nèi)容訪問監(jiān)控以及內(nèi)容傳播監(jiān)控。

中國石油信息安全系統(tǒng)安全運行中心由總部、區(qū)域中心、地區(qū)公司三級結(jié)構(gòu)組成。

總部級: 制定統(tǒng)一安全配置，收集所有匯總上來的數(shù)據(jù)，并對其進行統(tǒng)一分析、管理。通過這種逐級逐層多級化模式管理，達到對信息安全全方位防御的目的。

區(qū)域中心級: 執(zhí)行對管轄范圍內(nèi)所有地區(qū)公司安全運行中心的監(jiān)控，也可監(jiān)控區(qū)域內(nèi)的網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)安全等，并向總部安全運行中心上報相關(guān)數(shù)據(jù)。

地區(qū)公司級: 部署總部的統(tǒng)一安全配置，監(jiān)控地區(qū)公司內(nèi)部網(wǎng)絡(luò)、主機、數(shù)據(jù)庫、應(yīng)用系統(tǒng)安全等，收集分析安全事件并做出及時響應(yīng)，生成分析報告，定期向區(qū)域中心匯總。

網(wǎng)絡(luò)邊界管理系統(tǒng)

中國石油網(wǎng)絡(luò)按照其應(yīng)用性質(zhì)的不同和安全要求的不同，劃分為不同的安全域。整個網(wǎng)絡(luò)安全符合木桶原則: 最低木板決定木桶裝水量; 網(wǎng)絡(luò)安全最薄弱環(huán)節(jié)決定整個網(wǎng)絡(luò)的安全性。

由于網(wǎng)絡(luò)中不可控制的接入點比較多，導(dǎo)致全網(wǎng)受攻擊點明顯增多。通過網(wǎng)絡(luò)邊界管理系統(tǒng)可以最大限度保護內(nèi)部業(yè)務(wù)數(shù)據(jù)的安全，其中重點保護與Internet直接連接的區(qū)域。

按照業(yè)務(wù)不同的安全程度要求，中國石油各個企業(yè)網(wǎng)絡(luò)劃分若干安全區(qū)域:

（1）業(yè)務(wù)區(qū)域: 企業(yè)重要信息集中在此，這里有核心數(shù)據(jù)庫，可與相關(guān)單位交換信息。

（2）生產(chǎn)區(qū)域: 主要指各煉化企業(yè)的生產(chǎn)網(wǎng)絡(luò)，實現(xiàn)生產(chǎn)在線監(jiān)控和管理信息的傳遞。

（3）辦公區(qū)域: 各單位的辦公網(wǎng)，用戶訪問企業(yè)業(yè)務(wù)系統(tǒng)與互聯(lián)網(wǎng)、收發(fā)電子郵件等。

（4）對外服務(wù)區(qū): 通過因特網(wǎng)對外信息和進行電子商務(wù)的區(qū)域，該區(qū)域日趨重要。

（5）因特網(wǎng)接入?yún)^(qū): 因特網(wǎng)瀏覽信息、對外交流的窗口，最易受攻擊，要重點保護。

通過邊界管理系統(tǒng)在中國石油各局域網(wǎng)邊界實施邊界管理，在內(nèi)部部署入侵檢測系統(tǒng)實施全面安全保護，并在對外連接處和必要的部位部署防火墻進行隔離。

通過入侵檢測系統(tǒng)和防火墻聯(lián)動，可以對攻擊行為實時阻斷，提高安全防護的有效性。

網(wǎng)絡(luò)準入控制系統(tǒng)

中國石油網(wǎng)絡(luò)準入控制系統(tǒng)分四部分: 策略服務(wù)器、客戶端平臺、聯(lián)動設(shè)備和第三方服務(wù)器（圖3）。

（1）安全策略服務(wù)器: 它是網(wǎng)絡(luò)準入控制系統(tǒng)的管理與控制中心，實現(xiàn)用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計等功能。

（2）安全客戶端平臺: 它是安裝在用戶終端系統(tǒng)上的軟件，可集成各種安全產(chǎn)品插件，對用戶終端進行身份認證、安全狀態(tài)評估以及實施網(wǎng)絡(luò)安全策略。

（3）安全聯(lián)動設(shè)備: 它是企業(yè)網(wǎng)絡(luò)中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。安全管理系統(tǒng)管理平臺作為安全策略服務(wù)器，提供標準協(xié)議接口，支持同交換機、路由器等各類網(wǎng)絡(luò)設(shè)備的安全聯(lián)動。

（4）第三方服務(wù)器: 為病毒服務(wù)器、補丁服務(wù)器等第三方網(wǎng)絡(luò)安全產(chǎn)品，通過安全策略的設(shè)置實施，實現(xiàn)安全產(chǎn)品功能的整合。

鏈接

中國石油廣域網(wǎng)安全設(shè)計原則

在中石油廣域網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計中應(yīng)遵循以下設(shè)計原則:

高度安全與良好性能兼顧: 安全與性能相互矛盾，安全程度越高，性能越受影響。任何事物沒有絕對安全，也不總是越安全越好。安全以投資、性能、效率的付出為代價。在安全系統(tǒng)設(shè)計中，對不同安全程度要求，采用不同安全措施，從而保證系統(tǒng)既有高度安全保障，又有良好系統(tǒng)性能。所謂高度安全，指實現(xiàn)的安全措施達到信息安全級別的要求，對關(guān)鍵信息可以再高一個級別。

全方位、均衡性和層次性: 全方位、均衡性安全設(shè)計保證消除網(wǎng)絡(luò)中的漏洞、后門或薄弱環(huán)節(jié); 層次性設(shè)計保證當網(wǎng)絡(luò)中某個安全屏障（如防火墻）被突破后，網(wǎng)絡(luò)仍受到其他安全措施（如第二道防火墻）的保護。

主動和被動相結(jié)合: 主動對系統(tǒng)中安全漏洞進行檢測，及時消除安全隱患; 被動實施安全策略，如防火墻措施、ACL措施等等。兩者完美結(jié)合，有效實現(xiàn)安全。

切合實際: 有的放矢、行之有效，避免措施過度導(dǎo)致性能不應(yīng)有的下降。

易于實施、管理與維護。

第9篇：企業(yè)網(wǎng)絡(luò)安全評估范文

（1）內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不健全。

現(xiàn)階段，我國的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不夠健全，未能達成建立在供電企業(yè)內(nèi)部網(wǎng)絡(luò)信息化的理想狀態(tài)。中部市、縣級供電公司因為條件有限，信息安全工作相對投入較少，安全隱患較大，各種安全保障措施較為薄弱，未能建立一個健全的內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)。但隨著各類信息系統(tǒng)不斷上線投運，財務(wù)、營銷、生產(chǎn)各專業(yè)都有相關(guān)的信息系統(tǒng)投入應(yīng)用，相對薄弱的網(wǎng)絡(luò)系統(tǒng)必將成為整個信息管理模式的最短板。

（2）存在于網(wǎng)絡(luò)信息化機構(gòu)漏洞較多。

目前在我國供電企業(yè)中，網(wǎng)絡(luò)信息化管理并未建立一個完整系統(tǒng)的體系，供電網(wǎng)絡(luò)的各類系統(tǒng)對于關(guān)鍵流程流轉(zhuǎn)、數(shù)據(jù)存儲等都非常的重要，不能出現(xiàn)絲毫的問題，但是所承載網(wǎng)絡(luò)平臺的可靠性卻不高，安全管理漏洞也較多，使得信息管理發(fā)展極不平衡。信息化作為一項系統(tǒng)的工程，未能有專門的部門來負責(zé)執(zhí)行和管理。網(wǎng)絡(luò)信息安全作為我國供電企業(yè)安全文化的重要組成部分，針對現(xiàn)今我國供電企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀來看，計算機病毒，黑客攻擊造成的關(guān)鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡(luò)安全隱患。各種計算機準入技術(shù)，可移動存儲介質(zhì)加密技術(shù)的應(yīng)用，給企業(yè)信息網(wǎng)絡(luò)安全帶來了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實是：操作系統(tǒng)正版化程度嚴重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新，針對操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計算機網(wǎng)絡(luò)病毒的出現(xiàn)，就會對企業(yè)內(nèi)部計算機進行大規(guī)模的傳播，給目前相對公開化的網(wǎng)絡(luò)一個有機可乘的機會，對計算機系統(tǒng)進行惡意破壞，導(dǎo)致計算機系統(tǒng)崩潰。不法分力趁機竊取國家供電企業(yè)的相關(guān)文件，篡改供電系統(tǒng)相關(guān)數(shù)據(jù)，對國家供電系統(tǒng)進行毀滅性的攻擊，甚至致使整個供電系統(tǒng)出現(xiàn)大面積癱瘓。

（3）職工安全防范意識不夠。

想要保證我國網(wǎng)絡(luò)信息的安全，就必須要提高供電企業(yè)員工的綜合素質(zhì)，目前國內(nèi)供電企業(yè)職員的安全防范意識不強，水平參差不齊，多數(shù)為年輕職員，實際操作的能力較低，缺少應(yīng)對突發(fā)事件應(yīng)對措施知識的積累。且多數(shù)老齡職工難以對網(wǎng)絡(luò)信息完全掌握，跟不上信息化更新狀態(tài)，與新型網(wǎng)絡(luò)技術(shù)相脫軌。

2網(wǎng)絡(luò)信息安全管理在供電企業(yè)中的應(yīng)用

造成供電企業(yè)的信息安全的威脅主要來自兩個方面，一方面是國家供電企業(yè)本身設(shè)備上的信息安全威脅，另一方面就是外界網(wǎng)絡(luò)惡意的攻擊其中以外界攻擊的方式存在的較多?，F(xiàn)階段我國供電企業(yè)的相關(guān)部門都在使用計算機對網(wǎng)絡(luò)安全進行監(jiān)督和管理，難以保證所有計算機完全處在安全狀態(tài)。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的，這就需要加強我國供電企業(yè)進行安全的管理，建立病毒防護體系，及時更新網(wǎng)絡(luò)防病毒軟件，針對性地引進遠程協(xié)助設(shè)備，提高警報設(shè)備的水平。供電企業(yè)的信息系統(tǒng)一個較為龐大且繁雜的系統(tǒng)，在這個系統(tǒng)中存在信息安全風(fēng)險也是必然的。在這種情況下就要最大程度地降低存在的風(fēng)險，對經(jīng)歷的風(fēng)險進行剖析，制定針對性的風(fēng)險評估政策，確立供電企業(yè)信息系統(tǒng)安全是以制定針對性風(fēng)險評估政策為前提的，根據(jù)信息安全工作的緊迫需求做好全面的風(fēng)險評估至關(guān)重要。“掌握核心技術(shù)”不只是一句簡單的廣告詞語，還是國家和各個企業(yè)都應(yīng)該一直貫徹落實的方針政策。為了避免外界對我國供電企業(yè)信息技術(shù)的操控，國家相關(guān)部門就必須實行自主研發(fā)信息安全管理體系，有效地運用高科技網(wǎng)絡(luò)技術(shù)促使安全策略、安全服務(wù)和安全機制的相結(jié)合，大力開發(fā)信息網(wǎng)絡(luò)，促進科技管理水平的快速提高，以保證我國供電信息管理的安全。

3結(jié)語