企业网络安全整改汇编(三篇)

绪论：一篇引人入胜的企业网络安全整改，需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文，供您参考和学习。

篇1

（1）技术。

主要指信息产品和过程，比如防火墙技术、杀毒软件、侵入检测技术及信息加密方法等。

（2）操作。

主要包括信息安全的强化机制与方法、各种信息安全威胁所引起的运行缺陷纠正措施、物理干预方法、数据备份机制、环境威胁规避方法等。

（3）管理。

一般指信息安全的非技术性领域，包含所应用的政策、员工培训计划、业务规划策略等。其中，网络安全信息领域所应用的“三全”工作模式便是近些年来大范围推广的网络信息安全管理方法。

2信息安全及网络安全“三全”工作模式探讨

为确保信息安全工作基础得以进一步的强化，提升信息安全的保障能力及提高运维服务能力，在网络信息安全领域中应用“三全”工作模式显得极其重要。主要可从以下渠道进行：

（1）健全信息化项目管理机制。

在信息化工作中，逐步落实《信息化工作职责一览表》及《信息化工作整体流程图》等制度的制定工作，并推进实际信息化建设与管理中的整体流程及职责落地工作。另外，还需要不断完善信息项目管理机制及过程管控机制，不断优化完善信息化管控体系管理手册、过程管控文件、工作记录文件及过程文件等不同等级的文档，以确保项目推进规范化。项目得以顺利推进的核心在于项目沟通协调监理机制的完善。

（2）推进信息安全长效机制建设。

在网络信息安全工作中，以“三全”工作管理模式作为基本的契合点，不断完善应用系统的“三全”基础性信息库，并依据信息基础设施及业务系统的实际动态情况进行及时性地更新、调整，以确保信息化基础性数据处于最新的状态下。另外，加强应用系统技术性及信息管理问题的排查工作，提出相应的整改方法，明确整改责任人，限定最后的整改期限，确保整改工作得以高效、顺利进行。

（3）加快信息安全保障体系构建。

开展应用系统的安全层级保护整改项目的稳健落地，积极评估信息安全风险，加强对信息安全的配置，网络信息安全领域的管理体系咨询工作；对现有及未来将采购的信息化应用产品、系统软硬件平台及自主开发的信息安全管控模块与不同信息化平台进行整合为具备特定信息安全等级的集成系统，并全面规划企业网络信息安全技术集成方案。另外，后续所开发的业务管理运营系统需确保与公司所推进的网络信息安全管理体系相匹配，以扎实推进信息安全管控体系的实施落地。

（4）积极开展信息安全应急演练。

应急方案演练，是提升信息安全等级的重要渠道之一。可高效利用周末实际，根据企业实际情况安排停机时间，结合企业实际情况编写信息安全应急演练方案，按照应急演练通知，组织培训、掌握应急方案，开展应急演练，现场实际操作等流程规范化、有序化地进行应急演练活动。对于应急演练中所发现的各项问题，应有计划性地进行结语与评估，并认真研究有效的处理方法，提升企业网络信息安全管控水平。

（5）加强网站及邮件系统安全防护。

在公共服务区外网入口区域部署防DNS攻击、入侵实时监测、预防网络篡改、网络负载均衡、反垃圾邮件等软硬件系统，为互联网公共服务提供有效的保护策略。每个季度、每个月定期化地进行一次企业内部操作系统、应用系统的安全性检测，提高网络运行的安全稳定性。

篇2

中图分类号：TP393.18 文献标识码：A 文章编号：1006-8937（2012）26-0076-04

回顾企业网络安全运行维护工作，有必要总结归纳近年来企业级网络管理系统和网络管理体系结构有效维护经验，有效利用网络管理防范与处理ARP欺骗、攻击相关经验。

从近年的网络运维，网络管理人员不断接到网络用户反映——“所在的网络在上网应用时网络时断时通，有时基本处于无法使用的状态”。而与此同时网络流量管理在对相应网段的监控中又没有异常情况发生，所以一时间很难使用常规的网络管理手段、经验加以判断与网络定位，从而给网络管理与网络维护提出了新挑战。

由于这种网络故障来的较突然，既没有可以参考的经验，又没有可用的网络协议分析仪等条件进行客观数据的实地采集，所以我们一开始采用的方法就是在网络交换机处对网段进行人为手工的“再细分”，用逐段排除法对有问题的PC机进行定位后再采取整治方法，但这种方法费时费力，排除故障时间长。通过对故障网络现场观察和体会，加上对网络TCP/IP协议的分析后，得出对ARP网络欺骗和ARP网络病毒攻击的初步感性、理性双重认识。那就是如何认识ARP欺骗与攻击的共同点和区别，采取有效的防控手段来遏制这些网络安全威胁。

1 ARP欺骗分析

ARP协议是一种将IP转化成以IP对应网卡的物理地址的协议，或者说ARP协议是将IP地址转化成MAC地址的一种协议。它靠内存中保存的一张表来使IP得以在网络上被目标机器应答。在我们企业网络架构的Vlan中，以太网的每一帧有两种方式传输。一种对外传，就是用户有一个需求，当需要透过路由将网络帧转发到别的Vlan时，需要通过本地Vlan的网关。另外一种是内传，当有用户需求就在本身这个Vlan网络中时就不需要网关了。

当遇到ARP欺骗的时候，我们就会发现原本发送给本地Vlan网关的数据帧，没有得到本地Vlan网关MAC正确的回应。从而导致用户任何应用都没有办法使用了，就感觉到反复“掉线”或者“断线”，网络好像处在“震荡”中，迫使网络用户重新启动自己的计算机以期重新获得联网的需求，此时正好中了欲进行ARP欺骗计算机的“招”，当用户在重新启动自己计算机获得IP地址和本网段网关MAC地址时，进行ARP欺骗的计算机就会以自己网卡的MAC地址代替本网段网关的MAC地址，以至于给用户一个重新获得上网的感觉，其实用户这时所有的外传以太网帧全部发给了正在行使ARP欺骗的计算机，这就是ARP欺骗在一个Vlan中的基本原理。

进行网络ARP欺骗的计算机在进行MAC欺骗的过程中，会将已知某其它主机的MAC地址用来使目标交换机向欺骗计算机转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧办法，网络欺骗计算机改写了CAM表格中的条目，使得交换机将以该主机为目的地址的数据包转发给该网络实施ARP欺骗的计算机。除非该主机重新启动PC并从网络中获取地址时CAM表中对应的条目会被再次改写，以便它能恢复到原始的端口。但是否会再次受到ARP的MAC欺骗就取决于本网段中是否存在这样的欺骗计算机了。

网络欺骗——MAC的欺骗从来不会停止于只在本网段内进行“欺骗”，它很快就演变为与网络病毒相结合的具有网络攻击特征的更具传染与杀伤力的——“地址解析协议（ARP）攻击”。

当有人在未获得授权就企图更改MAC和IP地址ARP表格中的信息时，就发生了ARP攻击。通过这种方式，黑客们可以伪造MAC或IP地址，以便实施如下的两种攻击：“服务拒绝”和“中间人攻击”。

目前以“服务拒绝”演变出来的攻击以网络上多种病毒为主，它们会发送假冒的ARP报文，比如发送网关IP地址的ARP报文，把网关的IP对应到自己的MAC上，或者一个不存在的MAC地址上去，同时把这假冒的ARP报文在网络中广播，所有的内部PC就会更新了这个IP和MAC的对应表，下次上网的时候，就会把本来发送给网关的MAC的报文，发送到一个不存在或者错误的MAC地址上去，这样就会造成网络断线了。

这就是ARP地址欺骗攻击，造成内部PC和外部网的断线，该病毒在满足一定条件的时候会表现的特别猖獗。也对企业内部分局部网段造成非物理“断网”的中断网络破坏，由于它与网络病毒相结合，所以无论在传播的速度和攻击特性都有较大的“聚变”，ARP 地址欺骗攻击的实施是通过伪造IP地址和MAC地址实现ARP欺骗的同时，能够在网络中产生大量的ARP通信量，使网络阻塞或者实现“中间人攻击”（man in the middle） ，进行ARP重定向和嗅探攻击。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中机器ARP缓存的崩溃。

下面给出ARP欺骗攻击在Vlan229网络交换机上所看到的特征。

3 原因分析

从对感染ARP欺骗的欺骗攻击病毒计算机进行现场查杀和计算机系统安全基本要求方面的检查来看，这些计算机大多存在如下的共同特征：

①系统安全补丁严重缺失，有的Winxp在SP2后只有一个补丁，所以补丁缺少很多（约两年）。

②计算机开机进入系统时几乎都缺少系统应有的“口令”。有的只有弱口令。

③大部分这样的计算机系统无防病毒软件或没有及时对防病毒软件升档，特别是企业网络中使用的Symantec通知升级后不执行升级就导致防病毒策略与防病毒代码无法及时更新。

④有的网络用户违规下载并安装“网络游戏”或使用带毒的“实时通信软件”所至，如“传奇”和“QQ”等。

⑤有的部门信息联络员没有及时将计算机安全基本要求宣传到位。

⑥有的部门领导忙于生产而无法具体落实计算机系统安全的相关规章制度。

4 利用网络管理防范与处理

4.3 对主要网络应用进行必要的网络细分

从对企业总部大楼十二楼Vlan241和原基建大楼Vlan226网络的整改后的使用效果来看，网络规划在必要的网段上要从多方面考虑网络应用的实际需要，特别是要从防控类似ARP欺骗和欺骗攻击病毒上考虑对重要网段的“细分”工作。企业总部大楼十二楼和基建大楼的网络在被“细分”后，实际使用和管理上较整改以前都有较好的网络使用和网络安全的效果，充分说明了这一点。

4.4 用网络管理软件和工具软件进行预防

充分利用网络管理软件的“IP地址管理”在MAC与IP绑定上的作用，对企业网络上运行的计算机系统进行全天候不间断的监控，再利用类似于Antiarp这样的工具软件对有问题故障网段进行现场“抓获”。

5 结 语

在我们这样大型国有企业网络中，网络故障错综复杂，不借助专业网络管理软件和认真细致地对网络故障分析，很难对非物理性网络故障，类似ARP欺骗和欺骗类攻击病毒引起的网络故障进行排查带来很大的困难，同时会给网络产生巨大的安全威胁。

所以，对于企业的网络运行，需要网络管理人员充分利用网络管理工具，对网络进行长期有效的监测和分析，才能最大程度地排除可能的网络故障和网络安全威胁。然而计算机系统安全是与各个使用计算机的企业网络终端用户密切相关的，计算机安全必须及时、有效地去“实施”的观念离实际的网络安全要求还相差的甚远，仅靠企业每年要求信息中心利用“总厂例行岗检”和“计算机系统专项安全大检查”的方法来维持网络安全，那是无法适应日益变换和增长的网络安全需要的。

近年来在网络安全运维实践中在技术层面上总结出一些行之有效方法，让参加企业IT网络运维的同行们能有效地共享，充分利用网络管理系统已有的功能，深化网络与信息系统的安全运行具有重要意义。

篇3

一、 企业网的组成和所面临的安全威胁

(一) 企业网的组成

企业网一般由两个大的功能区域组成：企业内网和企业外部接入网。我们可以逻辑上把这两大区域进一步划分成若干个模块，企业内网包括管理模块、核心模块、分布层模块、服务器模块和边界接入模块五部分。企业外部接入网包括外网接入模块和远程接入模块两个部分。不同模块实现不同的功能，各自的安全需要也有所不同, 需要实施相应的安全策略。模块与模块之间的安全策略相互影响、相互作用并互为补充。典型的大型企业网络架构如下图：

(二) 企业网面临的安全威胁

1. 来自内部用户的安全威胁

大多数威胁来自于内部网络, 如缺乏安全意识的员工、心怀不满的员工、公司间谍等都是这类攻击的来源。

2. 来自外部网络的安全威胁

随着信息技术的不断发展,企业总部与分支以及合作伙伴之间的联网需求越来越迫切。它们之间不可避免的需要通过网络交换信息及共享资源。同时, 企业网还为内部合法员工提供了上互联网的途径, 互联网用户可以访问企业对外提供的公共服务器上的信息，由于信息资源的共享同时也给企业网的内、外网安全带来了一系列的挑战。

二、 企业内网的安全设计

企业内网包括管理模块、核心模块、分布层模块、服务器模块和边界接入模块五部分。下面分别分析各个模块的功能, 及面临的安全威胁和相对应的安全措施, 以及与其它模块之间的关系。

(一) 管理模块

管理模块的主要功能是实现企业网络的所有设备和服务器的安全管理。所面临最主要的安全威胁有未授权接入、口令攻击、中间人攻击等，为了消除以上管理模块面临的安全威胁,应采取以下的安全措施：

1. 管理数据流和生产网数据流需有效的安全隔离，包括尽可能使用安全性高的带外管理, 在不能使用带外管理的情况下,带内管理也要做到使用IPSec、SSH等加密传输。

2. 采用强力的认证授权技术对管理信息进行认证和授权，可以通过采用AAA认证和双因素认证技术, 保证只有合法的用户才能管理相应设备, 并能够防止密码泄漏和对密码窃听。

3. 采用完善的安全审计技术对整个网络（或重要网络部分）的运行进行记录和分析，可以通过对记录的日志数据进行分析、比较，找出发生的网络安全问题的原因，并为今后网络整改提供依据。

4. 部署网络入侵检测系统，从而能够对流入和流出管理模块的数据流进行实时的分析并及时发现可能的入侵行为。

由于管理模块全网可达, 且能够对全网的所有设备和服务器进行管理，所以它的安全防护策略应该是全网最严格的。

(二) 核心模块

核心模块的主要功能是快速转发。所面临主要安全威胁是分组窃听、功能区域划分模糊和如何实现快速故障隔离。当多种应用流量运行在核心模块时，如何防止不同应用流量被窃听篡改、如何对不同应用区域进行分类保护、如何在核心模块故障发生时进行有效快速的故障隔离成了当务之急。

核心模块的主要设备是三层交换机, 三层交换架构是消除分组窃听威胁的有效手段，而核心三层交换机的虚拟化技术则可以解决核心功能区域的精细划分、实现有效快速的隔离故障，提高系统的可用性，防止级联式的服务中断。通过核心交换机的虚拟化技术还可实现交换机控制和管理平面的虚拟化，在三层交换机上配置相应的安全策略，为多个应用或部门的流量提供安全的网络分区，让每个应用或部门可以独立管理和维护其各自的配置。

(三) 分布层模块

分布层模块主要提供包括路由、QoS和访问控制。所面临的主要安全威胁有未授权访问、欺骗、病毒和特洛伊木马的应用。为了消除以上分布层模块面临的安全威胁, 分布层模块应采取以下的安全措施：

1. 针对二层网络的安全威胁，利用网络设备本身的二层网络安全性能，进行二层网络安全策略的部署，如二层VLAN划分、DHCP窥探保护、动态ARP检查、IP源地址保护等安全策略。

2. 通过在分布层使用访问控制, 可以减少一个部门访问另一部门服务器上保密信息的机会，利用设备包过滤技术，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

3. 通过RFC2827过滤可有效防止源地址欺骗。

4. 部署防病毒系统，防止各个工作站感染病毒和特洛伊木马的应用。

5. 部署网络准入控制系统，通过在网络中部署网络准入控制系统，可以实现最大限度减少内部网络安全威胁，降低病毒和蠕虫造成的停机时间。

根据网络规模和性能要求的不同, 核心层和分布层可以结合起来合二为一, 从而达到减少硬件设备，达到减少投资与节能等目的。

(四) 服务器模块

服务器模块的主要目标是向最终用户和设备提供应用服务。所面临的主要安全威胁有未授权访问、应用层攻击、IP欺骗、分组窃听和端口重定向等。为了消除以上安全威胁,应采取以下的安全措施：

1. 使用基于主机和网络的IDS/IPS系统。

2. 在交换机上配置私有VLAN,实现对服务器的访问限制, 限制对关健服务器的随意访问。

3. 对服务器及时打上最新的补丁程序。

4. 对服务器区域（DMZ区域）进行不同安全级别划分，通过对不同应用的服务器进行安全级别的划分，并通过防火墙模块进行DMZ逻辑区域的隔离，可以实现服务器故障的快速隔离和服务器间访问的有效控制。

5. 针对企业较为重要的邮件应用服务器，可以单独部署电子邮件安全产品，从而减少与垃圾邮件、病毒和其它各种威胁有关的宕机，以求减轻技术人员的负担。

像分布层模块一样, 根据公司规模、应用性能及需求的不同, 服务器模块可以与核心模块相结合。

(五) 边界接入模块

边界接入模块的目标是在网络边缘集中来自各个接入网模块的连接，信息流从边界接入模块过滤后路 由至至核心。边界接入模块在整体功能方面和分布层模块有些类似，都采用接入控制来过滤信息流,但边界接入模块在一定程度上依赖整个接入网功能区域来执行附加安全功能。像服务器和分布层模块一样,如果性能要求不高, 边界接入模块可与核心模块结合起来。

在边界接入模块比较常见的安全措施为应用流量观察分析和安全网关。应用流量观察分析是通过部署流量控制设备，使用其二至七层强大的应用分析能力，能够第一时间获得核心模块和接入网模块之间应用流量能见度，并以此为基础在企业网络中部署相应的安全策略（比如限制病毒端口号、限制特定内网IP地址、限制特定MAC地址）。安全网关是通过采用专用的安全网关技术，实现核心模块和外网接入网模块之间的Web内容过滤，Web病毒扫描，间谍软件防御，HTTPS安全控制，防机密数据外泄等等安全功能。

三、 企业接入网的安全设计

企业接入网由外网接入模块和远程接入模块两个部分组成。以下分别阐述各个模块的功能、面临的安全威胁和相应的安全措施。

(一) 外网接入模块

大多企业网虽然都是专网,但是不可避免要和外网连接。外网包括企业分支网络、第三方接入网络和互联网。所面临的主要安全威胁有未授权接入、应用层攻击、病毒和特洛伊木马、拒绝服务攻击等。主要防御措施有：

1. 在外网接入模块和外网之间部署防火墙。防火墙应分为两组防护, 一组用于企业网与分支机构网络的连接, 另一组用于企业网与互联网的连接。防火墙为内网的网络资源提供保护,从而确保只有合法信息流穿过防火墙。部署在企业网与互联网的连接上的防火墙时可以使用目前先进的“云火墙”技术，该技术可以持续收集互联网上已知威胁的详细信息，实现企业到互联网的网络安全。

2. 使用防火墙的虚拟化技术，将单一防火墙设备逻辑划分为多个虚拟防火墙，每个防火墙有自己的策略且分别进行管理，可以实现不同区域模块之间的安全控制和设备资源的高效利用。

3. 部署IDS/IPS入侵检测/防御系统，有条件的情况下, 在防火墙的内网区、外网区和DMZ区域都要部署入侵检测/防御系统, 以实时检测来自外网的入侵行为。

4. 建立统一的应用服务器用于与其它分支网络构建统一接入平台，应用服务器作为所有应用服务的, 通过进行更严格的应用数据流检查和过滤,有利于外网接入模块的标准化和可扩展性的提升。

5. 在与互联网连接的企业网络边缘部署路由器，并通过在路由器入口进行数据流的过滤，路由器对大多数攻击提供了过滤器,同时进行RFC1918和RFC2827过滤, 作为对过滤的验证, 路由器还应丢弃‘碎片’的数据包。对于过滤造成的合法数据包丢弃相比这些数据包带来的安全风险是值得的。

(二) 远程接入模块

远程接入模块的主要目标有三个：从远程用户端接VPN信息流、为从远程站点VPN信息流提供一个集线器以及拨号用户。远程接入模块面临的主要安全威胁有口令攻击、未授权接入和中间人攻击等。此模块的核心要求是拥有三个独立外部用户服务验证和端接，对于此模块来说信息流的来源是来自于企业网络外的不可信源, 因此要为这三种服务的每一种提供一个防火墙上的独立接口。

1. 远程接入VPN，远程接入VPN推荐使用IPSec协议。此服务的安全管理是通过将所有IPSec的安全参数从中央站点推向远程用户实现的。

2. 拨号接入用户，AAA和一次性口令服务器可用来验证和提供口令。

3. 站点间VPN，与站点间连接相关的IP信息流在传输模式下由配置成GRE隧道来实现。

以上来自三种服务的信息流应集中接入到防火墙的一个专用接口上。条件允许时在防火墙的内口或外口部署IDS/IPS系统, 以检测可能的攻击行为。

四、 模块之间的相互关系

采用模块化设计时, 不是简单地将网络安全设计分解成各个孤立的模块, 各模块之间紧密联系，其安全防护措施也直接影响到其它模块的安全。

管理模块是整个网络安全体系的核心、位于其它所有模块的最顶层。网络安全体系的建立, 应该首先建立管理模块的安全结构。它相对于其它模块有着很大的独立性, 但它是建立其它模块安全结构的基础和前提。

核心模块、服务器模块和分布层模块构成企业网络的内部网络。这三个模块主要防范来自企业网内部的安全威胁：分布层模块提供了针对内部发起攻击的第一道防线；核心模块的主要目标是线速的转发数据流, 其安全性主要依赖于核心模块交换设备本身的安全设置以及分布层模块的安全防护；服务器模块往往会成为内部攻击的主要目标, 安全性除了自身的安全措施和分布层模块的安全防护外, 严格的安全管理是极为重要的。

边界接入模块是连接企业内网和外部接入网的桥梁和纽带。边界接入模块在外部接入网安全措施的基础上, 为企业内网提供附加的安全功能。

外部接入网为企业内网提供了第一道安全防线, 也是外网接入企业网内网统一的接入平台。

模块化的设计将复杂的大型网络划分为几个相对简单的模块, 以模块为基本单位构筑整个网络的安全体系结构。使用模块化的网络安全设计能够很容易实现单个模块的安全功能,并实现模块与模块间的安全关系,从而在整个企业网络中形成分层次的纵深防御体系。还能够使设计者进行逐个模块的安全风险评估和实施安全, 而非试图在一个阶段就完成整个体系结构。

参考文献：