企业的网络安全汇编(三篇)

绪论：一篇引人入胜的企业的网络安全，需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文，供您参考和学习。

篇1

中图分类号：TN915.08 文献标识码：A 文章编号：1672-3791（2012）12（a）-0024-01

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。逐渐地使经营管理对计算机应用系统依赖性增强，计算机应用系统对网络依赖性增强。然而，网络的安全是伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。如病毒入侵和黑客攻击之类的网络安全事件，速度之快，范围之广，已众所周知。企业为阻止恶意软件入侵攻击、防止非法用户通过网络访问和操作、防止用户邮件被非法截取或篡改等采取的安全措施，既保证企业数据安全、网络系统运行稳定，又防止非法入侵等问题才是企业网络安全管理的重要内容。

1 威胁信息安全的主要因素

1.1 软件的内在缺陷

这些缺陷不仅直接造成系统宕机，还会提供一些人为的恶意攻击机会。对于某些操作系统，相当比例的恶意攻击就是利用操作系统缺陷设计和展开的，一些病毒、木马也是盯住其破绽兴风作浪，由此造成的损失实难估量。应用软件的缺陷也可能造成计算机信息系统的故障，降低系统安全性能。

1.2 恶意攻击

攻击的种类有多种，有的是对硬件设施的干扰或破坏，有的是对应用程序的攻击，有的是对数据的攻击。对硬件设施的攻击，可能会造成一次性或永久性故障或损坏。对应用程序的攻击会导致系统运行效率的下降，严重的会导致应用异常甚至中断。对数据的攻击可破坏数据的有效性和完整性，也可能导致敏感数据的泄漏、滥用[1]。

1.3 管理不善

许多企业网络都存在重建设、重技术、轻管理的倾向。实践证明，安全管理制度不完善、人员安全风险意识薄弱，是网络风险的重要原因之一。比如，网络管理员配备不当、企业员工安全意识不强、用户口令设置不合理等[2]，都会给信息安全带来严重威胁。

1.4 网络病毒的肆虐

只要上网便避免不了的受到病毒的侵袭。一旦沾染病毒，就会通过各种途径大面积传播病毒，就会造成企业的网络性能急剧下降，还会造成很多重要数据的丢失，给企业带来巨大的损失。

1.5 自然灾害

对计算机信息系统安全构成严重威胁的灾害主要有雷电、鼠害、火灾、水灾、地震等各种自然灾害。此外，停电、盗窃、违章施工也对计算机信息系统安全构成现实威胁。

2 完善网络信息安全的管理机制

2.1 规范制度化企业网络安全管理

网络和信息安全管理真正纳入安全生产管理体系，并能够得到有效运作，就必须使这项工作制度化、规范化。要在企业网络与信息安全管理工作中融入安全管理的思想，制定出相应的管理制度。

2.2 规范企业网络管理员的行为

企业内部网络安全岗位的工作人员要周期性进行轮换工作，在公司条件允许的情况下，可以每项工作指派2～3人共同参与，形成制约机制。网络管理员每天都要认真查看日志，通过日志来发现有无外来人员攻击公司内部网络，以便及时应对，采取相应措施。

2.3 规范企业员工的上网行为

目前，琳琅满目的网站及广告铺天盖地，鼠标一点，就非常有可能进入非法网页，普通电脑用户无法分辩，这就需要我们网管人员对网站进行过滤，配置相应的策略，为企业提供健康的安全上网环境。为此，企业要制定规范，规定员工的上网行为，如免费软件、共享软件等没有充分安全保证的情况下尽量不要安装，同时，还要培养企业员工的网络安全意识，注意移动硬件病毒的防范和查杀的问题，增强计算机保护方面的知识。

2.4 加强企业员工的网络安全培训

企业网络安全的培训大致可以包括理论培训、产品培训、业务培训等。通过培训可以有效解决企业的网络安全问题，同时，还能减少企业进行网络安全修护的费用。

3 提高企业网络安全的维护的措施

3. 1病毒的防范

在网络环境下，病毒的传播性、破坏性及其变种能力都远远强于过去，鉴于“熊猫烧香”、“灰鸽子”、“机器狗”等病毒给太多的企业造成严重的损失，惨痛的教训告诫我们，选用一款适合于企业网的网络版防病毒产品，是最有效的方法。网络版的产品具备统一管理、统一升级、远程维护、统一查杀、协助查杀等多种单机版不具备的功能。有效缓解系统管理员在网络防病毒方面的压力。

3.2 合理配置防火墙

利用防火墙，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。防火墙的配置需要网络管理员对本单位网络有较深程度的了解，在保证性能及可用性的基础上，制定出与本单位实际应用较一致的防火墙策略。

3.3 配置专业的网络安全管理工具

这种类型的工具包括入侵检测系统、Web，Email，BBS的安全监测系统、漏洞扫描系统等。这些系统的配备，可以让系统管理员能够集中处理网络中发生的各类安全事件，更高效、快捷的解决网络中的安全问题。

3.4 提高使用人员的网络安全意识和配备相关技术人员

企业网络漏洞最多的机器往往不是服务器等专业设备，而是用户的终端机。因此，加强计算机系统使用人员的安全意识及相关技术是最有效，但也是最难执行的方面。这需要在企业信息管理专业人员，在终端使用人员网络安全技术培训、网络安全意识宣传等方面多下功夫。

3.5 保管数据安全

企业数据的安全是安全管理的重要环节。特别是近年来，随着企业网络系统的不断完善，各专业应用如财务、人事、营销、生产、OA、物资等方方面面均已进入信息系统的管理范围。系统数据一旦发生损坏与丢失，给企业带来的影响是不可估计的。任何硬件及软件的防范都仅能提高系统可靠性，而不能杜绝系统灾难。在这种情况下，合理地制定系统数据保护策略，购置相应设备，做好数据备份与系统灾难的恢复预案，做好恢复预案的演练，是最有效的手段。

3.6 合理规划网络结构

合理规划网络结构，可使用物理隔离装置将重要的系统与常规网络隔离开来，是保障重要系统安全稳定的最有效手段。

4 结语

总而言之，企业网络系统的安全防护是一项长期以来极具挑战性的课题。它的发展往往伴随着网络技术的发展其自身也在不断的更新和调整。信息安全是一个企业赖以生存的基础保障，只有信息安全得到保障，企业的网络系统才有其存在的价值。网络安全是一项系统的工程，需要我们综合考虑很多实际的需求问题，灵活运用各种网络安全技术才能组建一个高效、稳定、安全的企业网络系统。

篇2

1 前言

在网络技术高速发展的今天，企业对网络的依赖也正在加强。但现在的网络的安全性却无法得到保障，经常有网络资源与技术成果被盗用的情况，损害了企业的利益。本文将针对企业网络安全防御体系的建立进行分析和研究，包括网络系统分析、安全需求分析、网络结构的搭建。首先是网络环境分析，通过对企业内部环境防范体系进行分析，找出自身漏洞，外部环境从网络病毒入手分析等。其次针对网络的漏洞，设计出一套适合企业的防范体系，从而可以更好的保护企业信息资源不被泄漏。并采取防火墙技术及配置、杀毒软件进行查毒、防毒、文件备份系统的实施，对企业网络进行全面管理。

2 网络环境分析

内部网络通常可以按照功能性划分为：内网区域、服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分成多个网段，包括：设计子网、服务器子网、财务子网、办公子网等。

随着企业对外业务的扩展，网络安全风险变得更加严重和复杂。计算机病毒入侵引起的损害可能传播到整个系统，引起大范围的瘫痪和资料丢失；另外对网络管控意识的不足和对Internet安全性认识的不够，导致网络风险日趋严重。

系统漏洞对企业网络造成威胁。系统漏洞并不是病毒，它是指应用软件或操作系统软件在逻辑设计上的缺陷或错误，被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏系统。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。

通过对企业内外部网络环境分析，指出入侵检测、病毒防护、数据安全保护、数据备份与恢复、修补系统漏洞等主要问题。应该建立一套完整可行的网络安全与网络管理策略，将内部网络、服务器网络和外网进行有效隔离，避免与外部网络的直接通信；对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝；加强合法用户的访问认证，同时将用户的访问权限控制在最低限度；全面监视对服务器的访问，及时发现和拒绝不安全的操作和黑客攻击行为；加强对各种访问的审计工作，详细记录对网络的访问行为，形成完整的系统日志；强化系统备份，实现系统快速恢复，加强网络安全管理，提高系统全体人员的网络安全意识和防范技术。

3 防范体系分析

网络攻击通常利用系统刚暴露出来的漏洞进行攻击，其目的是使目标系统瘫痪甚至整个网络。因此，只有从网络的全局考虑，在网间基础设施的各个层面上采取应对措施，包括在局域网层面上采用特殊措施，及在网络传输层面上进行必要的安全设置。

3.1 安全方案设计原则

安全方案的设计应遵循整体性原则、均衡性原则、等级性原则、易操作性原则、技术与管理相结合原则、统筹规划，分步实施原则、可评价性原则、多重保护原则。

3.2 网络安全体系结构

通过对网络的全面了解，按照安全策略的要求、风险分析的结果及整个网络的安全目标。不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，将安全防范体系划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等五个层次。

4 防御体系解决方案

安全部署中我们要从网络防病毒技术、防火墙技术、入侵检测技术进行考虑。首先在企业网络所有服务器和客户端部署防病毒系统。通过防病毒系统的统一部署，可以防止病毒的感染和传播。防止计算机瘫痪、网络阻塞等安全问题。其次通过防火墙设备进行网络隔离，限制来自多种协议的病毒攻击，减少网络和主机受攻击的风险。最后在中心机房的核心交换机上安装一台硬件入侵检测设备，在核心交换区域进行实时监控网络上和主机上的事件。通过比对病毒库中的病毒特征可有效的防止大多数的入侵和异常访问。审计功能是入侵检测和访问控制机制为系统提供的最好的保护，能够记录下操作的痕迹，可有效的对企图破坏系统的内部员工追究责任。

4.1 防病毒平台

在企业内部搭建防病毒平台是为保障内部网络中的计算机终端、服务器等不被病毒侵袭。为了保证防病毒系统能够正常稳定的运行，需要搭建一台专用的防病毒服务器。在安装防病毒服务器之前要做好网络规划，否则更换服务器地址时会导致无法连接到父服务器。如需更换服务器，应确保服务器机器名、IP地址、防病毒服务器组名一致。在服务器端安装防病毒软件，在客户端直接安装或通过域下发的方式安装客户端软件。网络管理员可以远程管理网络中的任何一台计算机中的杀毒软件。

4.2 防火墙

防火墙是一道阻止网络威胁的屏障，更像是一扇双向开的“门”，它控制着安全网络和不安全网络之间的通信。防火墙通过监控、限制、更改数据流，达到保护网络系统不受来自内部、外部的攻击。防火墙是网络安全的基础，负责网络间的安全认证与传输，随着网络技术的发展防火墙技术也开始在其他安全层次中应用，除了过滤任务，还能为各种网络应用提供相应的安全服务。通过以防火墙为中心的安全方案配置，能将口令、加密、身份认证、审计等安全软件配置在防火墙上。与将这些安全软件安装在不同的服务器上相比，防火墙体现了集中管理的特性，同时也降低了网络建设的成本。防火墙的主要功能是强制执行网络的安全策略，对经过防火墙的访问做出日志记录、统计数据。当发现网络异常，防火墙进行报警并提供监测到的攻击行为的详细信息。

4.3 入侵检测

入侵检测系统能够捕捉、记录网络上的所有数据，能够分析网络数据并提炼出可疑的、异常的网络数据，对入侵行为自动阻断连接、关闭通路。入侵检测系统通常是与防火墙配合使用，它不像路由器、防火墙等处于系统中的关键路径，发生故障不会影响正常业务的运行。入侵检测系统也会出现监测范围的局限问题，只能检查与它直接连接网段的通信，不能检测在不同网段的网络包。防火墙对通讯数据的源、目的地址和端口进行限制，而黑客会通过其提供服务打开的端口进行攻击。此时需要入侵检测系统实时检测恶意访问或攻击，从而将入侵活动对系统的破坏减到最低。

4.4 文件备份系统

篇3

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)17-4026-02

随着信息技术的飞速发展，电子政务、电子商务、企业信息化建设取得了显著成效，园区网络也已经被广泛的应用到企业日常工作、管理中去。与此同时网络安全问题日益突出，安全保密建设任务更加紧迫，如何切实有效的对终端用户的网络访问范围、权限加以控制，对病毒、木马的泛滥加以限制成为企业园区网络安全建设的面临的重要课题。

近年来由于三层交换设备在企业园区网络中的广泛应用，通过ACL（Access Control List，访问控制列表）进行数据流控制实现网络安全，变得具有普遍意义。

1 ACL技术介绍

1.1 ACL的工作原理

TCP/IP协议中数据包具有数据包由IP报头、TCP/UDP报头、数据组成，IP报头中包含上层的协议端口号、源地址、目的地址，TCP/UDP报头包含源端号、目的端口，设备信息。（如图1）

ACL利用这些信息来定义规则，通过一组由多条deny（拒绝）和permit（允许）语句组成的条件列表，对数据包进行比较、分类，然后根据条件实施过滤。――如果满足条件，则执行给定的操作；如果不满足条件，则不做任何操作继续测试下一条语句。（如：图2）

1.2 ACL的分类

ACL的分类根据网络厂商及设备IOS版本的不同存在一定的差别，但按照规则的功能一般ACL可以划分以下三种：

1）标准ACL：仅使用数据包的源IP地址作为条件来定义规则。

2）扩展ACL：既可使用数据包的源IP地址，也可使用目的IP地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型等其他第3层和第4层报头中的其他字段来定义规则。

3）基于以太帧的ACL：可根据数据包的源MAC地址、目的MAC地址、以太帧协议类型等其他以太网帧头信息来定义规则。

1.3 ACL的特性

1）每条ACL应当至少包含一条允许语句，否则将拒绝所有流量。

2）ACL被创建后并不是马上生效，只有在被应用到接口时才会过滤流量。

3）ACL只过滤通过设备的流量，而不过滤本设备所产生的流量。

4）将标准ACL尽可能放置在靠近目的地址的位置，将扩展ACL尽可能放置在靠近在源地址的位置，以避免不必要的流量占用网络带宽。

5）避免在核心层设备上大量使用ACL，这将大量占用设备的处理能力。

2 企业园区网络安全实例

2.1 典型企业园区网络

在典型企业园区网络环境中，网络依照三层架构建设及接入层、汇聚层、核心层，各部门通过Vlan划分为多个子网络。终端用户主要应用为OA系统、电子邮件以及部门打印机。（如图3）

2.2 企业园区网络所面临的安全问题

传统意义上的网络安全考虑的是防范外部网络对内网的攻击行为，即来自于英特网的攻击行为。外网安全威胁模型假设内部网络都是安全可信的，威胁都来自于外部，其途径主要通过内外网络边界出口，只要将网络边界处的安全控制措施做好，即可确保整个网络的安全。传统防火墙、入侵检测、防病毒网关和VPN设备都是基于这种思路来设计的。

事实上，内部网络并非完全安全可信。内部网络包含大量的终端、服务器和网络设备，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪，威胁既可能来自外网，也可能来自内网的任何一个节点上，实现一个可管理、可控制和可信任的内网已成为维护企业网络系统正常运行，充分发挥信息网络效益的必然要求。

目前，对企业内部园区网络的常见安全问题有以下几点：

1）在企业管理中需要避免各个部门之间网络的相互影响，限定终端用户的访问区域之在本部门Vlan和特定的服务器Vlan之内。

2）防止内网已有病毒在网络上的扩散传播，控制并减少病毒侵害的范围。

3）防止未经授权的非法终端设备接入网络，对网络中的设备进行。

2.3 ACL策略实现

对于企业园区网中的上述问题，以Cisco三层交换机为例设配置ACL策略，实现安全防范。

1）企业园区网络各部门Vlan收敛于核心交换机，因此在核心交换机上使用扩展ACL实现Vlan指定访问。

Switch（config）# access-list 101 permit any 192.168.254.0 0.0.0.255//允许目的地址为服务器区域地址段

Switch（config-if）# interface vlan 10 //进入vlan10的网关

Switch（config-if）# ip access-group 101 out //比对vlan10网关的出输数据包

2）大部分病毒利用软件、操作系统的漏洞通过开放的端口实施侵入，常用端口有136、137、138、445等，所以在汇聚层交换机上使用扩展ACL实现网络防护，将病毒影响控制在有限的范围内。

Switch（config）# access-list 102 deny udp any any eq 135//拒绝任意主机间通过135端口的UDP数据包

Switch（config）# access-list 102 deny udp any any eq 136

Switch（config）# access-list 102 deny udp any any eq 137

Switch（config）# access-list 102 deny udp any any eq 138

Switch（config）# access-list 102 deny udp any any eq 445

Switch（config）# access-list 102 deny tcp any any eq 135

Switch（config）# access-list 102 deny tcp any any eq 136

Switch（config）# access-list 102 deny tcp any any eq 137

Switch（config）# access-list 102 deny tcp any any eq 138

Switch（config）# access-list 102 deny tcp any any eq 445

Switch（config）# access-list 102 permit ip any any//允许任意主机之间的访问

Switch（config）#intface GigabitEthernet 0/1//进入汇聚交换机下联端口

Switch（config-if）# ip access-group 102 in//比对端口输入数据包

3）由于非法接入动作发生于交换机接入层，所以在接入层交换机端口上使用基于以太帧的ACL对接入端口的MAC地址进行绑定，实现网络接入安全。

Switch（config）# mac access-list extended f0/1//建立命名为f0/1的ACL

Switch（config-ext-mac）# permit any host H.H.H//允许任意地址访问MAC地址为H.H.H的主机

Switch（config-ext-mac）# permit host H.H.H any//允许MAC地址为H.H.H的主机访问任意地址

Switch（config）# intface fastEthernet 0/1//进入终端接入端口

Switch（config-if）# mac access-group f0/1 in //比对端口输入数据帧

3 结束语

ACL在本质上是一系列对包进行分类的条件，通过ACL网络管理员可以对企业园区网络中的传输流量做到精确控制，防止病毒在网络中的扩散，保护敏感设备远离未授权的访问。

参考文献：

[1] Andrew S,Tanenbaum.计算机网络[M].4版.北京:清华大学出版社,2004.

[2] 谭浩强.Cisco路由实用技术[M].北京:中国铁道出版社,2006.