構(gòu)建網(wǎng)絡(luò)安全體系精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的構(gòu)建網(wǎng)絡(luò)安全體系主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

關(guān)鍵詞：網(wǎng)絡(luò)信息；安全；防護(hù)體系

1 網(wǎng)絡(luò)信息安全內(nèi)容和技術(shù)防范原則

1.1 網(wǎng)絡(luò)信息安全內(nèi)容

網(wǎng)絡(luò)信息安全主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其體系中材料得到維護(hù)，不受有時(shí)的或者惡意的因素而受到宣泄、損害、改動(dòng)，體系能夠穩(wěn)固正常的運(yùn)轉(zhuǎn)，網(wǎng)絡(luò)服務(wù)不會(huì)出現(xiàn)中斷。在網(wǎng)絡(luò)信息工作中所面對(duì)的破壞分為兩種，一種是惡意的，一種是有時(shí)的，惡意的又能夠分為主動(dòng)以及被動(dòng)這兩種。主動(dòng)突擊主要是更改數(shù)據(jù)庫(kù)或者建造不正確的數(shù)據(jù)庫(kù)，主要包含切斷、攔截、更改、造假、仿造改動(dòng)資料以及拒絕服務(wù)等；被動(dòng)突擊主要是窺伺或者偷聽(tīng)，最主要就是想要得到正在輸送的材料。被動(dòng)突擊會(huì)宣泄出材料狀況以及材料量等。按照電腦網(wǎng)絡(luò)所面對(duì)的脅迫，電腦網(wǎng)絡(luò)主要做好下面四個(gè)關(guān)鍵的部分：隱蔽；辨別；訪問(wèn)掌控；病毒預(yù)防。

1.2 網(wǎng)絡(luò)信息安全技術(shù)操作防范原則

1.2.1 買進(jìn)的新軟件與硬件必須進(jìn)行檢測(cè)后使用。

1.2.2 進(jìn)行系統(tǒng)啟動(dòng)時(shí)，采用硬盤進(jìn)行啟動(dòng)。

1.2.3 重點(diǎn)的計(jì)算機(jī)需要進(jìn)行獨(dú)立盤、獨(dú)立人、獨(dú)立機(jī)器、獨(dú)立使用的保護(hù)，在這種狀態(tài)下病毒不會(huì)自動(dòng)滋生。

1.2.4 對(duì)于重要的文件進(jìn)行定期的備份工作。

1.2.5 在發(fā)郵件或者是進(jìn)行網(wǎng)聊的時(shí)候，附件不要輕易的接收，互聯(lián)網(wǎng)中的軟件用不著的避免下載。在可執(zhí)行的文件與辦公文檔里面的病毒卸載量是很高的，減少下載。就算是下載完成了，還必須使用新型的殺毒軟件進(jìn)行病毒的查殺。

1.2.3 下載并安裝官方的殺毒軟件，定期升級(jí)。

1.2.7 下載安裝病毒的防火墻，從根本上保障計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)不受病毒危害。

2 網(wǎng)絡(luò)信息的安全防護(hù)體系

2.1 加強(qiáng)網(wǎng)絡(luò)安全的層次模型

ISO定義了OSI/RM七層網(wǎng)絡(luò)參考模型，不同的網(wǎng)絡(luò)層次完成不同的功能。從安全角度來(lái)看，各層能提供一定的安全手段，針對(duì)不同層次的安全措施是不同的。沒(méi)有哪個(gè)層次能夠單獨(dú)提供全部的網(wǎng)絡(luò)安全服務(wù)，每個(gè)層次都有自己的貢獻(xiàn)。

2.2 加強(qiáng)網(wǎng)絡(luò)安全防火墻的功能

所謂的防火墻不是真正意義上的墻，這是在對(duì)訪問(wèn)進(jìn)行控制的一種方法，這是屬于安全模式狀態(tài)下，也是整個(gè)結(jié)構(gòu)的安全性能的重要組成部分，其作用是阻擋內(nèi)外的不安全的訪問(wèn)以及危險(xiǎn)數(shù)據(jù)的交流。在互聯(lián)網(wǎng)中，它能夠隔離出互聯(lián)網(wǎng)中有風(fēng)險(xiǎn)性的網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的連接，這樣就有效的加強(qiáng)了內(nèi)部網(wǎng)絡(luò)整體的安全性能。二零一零防火墻用途就是在網(wǎng)絡(luò)的接入處對(duì)其通訊的數(shù)據(jù)進(jìn)行檢查，受到了企業(yè)安全政策的控制，進(jìn)行拒絕或允許或是檢測(cè)的情況下的互相交換的信息，其防火墻自身就是有高抗攻擊的，在對(duì)網(wǎng)絡(luò)數(shù)據(jù)交換與訪問(wèn)過(guò)程進(jìn)行檢測(cè)與控制，這樣對(duì)網(wǎng)絡(luò)的安全也是一個(gè)保障，有以下集中功能：有著數(shù)據(jù)在進(jìn)出互聯(lián)網(wǎng)的過(guò)濾作用，對(duì)網(wǎng)絡(luò)進(jìn)出訪問(wèn)做一個(gè)集中的管理，檢查出非法訪問(wèn)的行為，對(duì)其內(nèi)容與活動(dòng)進(jìn)行記錄，針對(duì)網(wǎng)絡(luò)攻擊有著檢測(cè)與警告的作用。

通常防火墻具有以下功能：過(guò)濾進(jìn)出的數(shù)據(jù)；管理進(jìn)出的訪問(wèn)行為；封堵某些禁止的業(yè)務(wù)；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和報(bào)警。網(wǎng)絡(luò)級(jí)防火墻可以將從數(shù)據(jù)包中獲取的信息（源地址、目標(biāo)地址、所用端口等）同規(guī)則表進(jìn)行比較。在規(guī)則表中定義了各種規(guī)則來(lái)表明是否同意或拒絕包的通過(guò)。網(wǎng)絡(luò)級(jí)防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。應(yīng)用級(jí)防火墻又稱為應(yīng)用級(jí)網(wǎng)關(guān)，它的另外一個(gè)名字就是服務(wù)器。網(wǎng)絡(luò)級(jí)防火墻可以按照IP地址禁止外部對(duì)內(nèi)部的訪問(wèn)，但不能控制內(nèi)部人員對(duì)外的訪問(wèn)。服務(wù)器隔離在風(fēng)險(xiǎn)網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，內(nèi)外不能直接交換數(shù)據(jù)，數(shù)據(jù)交換由服務(wù)器“”完成。

2.3 加強(qiáng)虛擬專用網(wǎng)VPN技術(shù)

VPN就是虛擬專用網(wǎng)絡(luò)，是伴隨著互聯(lián)網(wǎng)的前進(jìn)而飛速壯大起來(lái)的一種措施。在現(xiàn)代化單位的經(jīng)濟(jì)往來(lái)活動(dòng)中以及售前售后的工作中都會(huì)越來(lái)越多的使用到互聯(lián)網(wǎng)技術(shù)，甚至在培訓(xùn)以及合作中都會(huì)使用到。很多單位都慢慢的使用互聯(lián)網(wǎng)架設(shè)到原有的私有網(wǎng)絡(luò)中。這種使用互聯(lián)網(wǎng)來(lái)輸送私有資料慢慢構(gòu)成的邏輯網(wǎng)絡(luò)就是VPN。

隧道措施。隧道措施基于互聯(lián)網(wǎng)為根本，在互聯(lián)網(wǎng)的各項(xiàng)根本設(shè)備中傳輸信息的方法。數(shù)據(jù)資料或者負(fù)荷運(yùn)用隧道的方式進(jìn)行輸送可以是不一樣的條約數(shù)據(jù)幀或者數(shù)據(jù)包。隧道協(xié)議把別的協(xié)議的數(shù)據(jù)幀或者數(shù)據(jù)包再次進(jìn)行封裝然后再進(jìn)行輸送。新的幀頭供應(yīng)路由數(shù)據(jù)，進(jìn)而能夠傳遞再次進(jìn)行封裝進(jìn)行輸送的數(shù)據(jù)經(jīng)過(guò)網(wǎng)絡(luò)進(jìn)行輸送。

加解密技術(shù)。對(duì)通過(guò)公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過(guò)加密，確保網(wǎng)絡(luò)其他未授權(quán)的用戶無(wú)法讀取該信息。加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用。

密鑰管理技術(shù)。密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。使用者與設(shè)備身份認(rèn)證技術(shù)。VPN方案必須能夠驗(yàn)證用戶身份并嚴(yán)格控制只有授權(quán)用戶才能訪問(wèn)VPN。

2.4 完善網(wǎng)絡(luò)信息安全機(jī)制

探索電腦網(wǎng)絡(luò)安全的系統(tǒng)構(gòu)造，就是探索怎樣能夠從管制以及措施上確保網(wǎng)絡(luò)的安全性能夠準(zhǔn)確完好的完成，網(wǎng)絡(luò)對(duì)于安全方面的需要能夠獲得滿足。一定要增強(qiáng)網(wǎng)絡(luò)在安全體制方面的建造，主要包含加密體制、數(shù)字簽名體制、訪問(wèn)掌控體制、數(shù)據(jù)全面性體制、辨別交換體制，信息交流玉傳遞填充體制，路由掌控，公證體制。

2.5 網(wǎng)絡(luò)安全政策法規(guī)與標(biāo)準(zhǔn)

如今，中國(guó)的標(biāo)準(zhǔn)信息安全條例有包括國(guó)內(nèi)外的100多條。信息的安全規(guī)范也是對(duì)于信息保障結(jié)構(gòu)的不可缺少的一部分，也是政府在宏觀調(diào)控上的憑證。信息安全是國(guó)家安全的必然要求，也是對(duì)于我國(guó)利益維護(hù)的重要舉措，做好了信息的安全就能夠提高網(wǎng)絡(luò)上安全產(chǎn)品可信的程度，使產(chǎn)品之間實(shí)現(xiàn)互聯(lián)與安全操作，為計(jì)算機(jī)的安全提供了有效的保障。王麗香（2004）網(wǎng)絡(luò)的信息安全問(wèn)題已經(jīng)引起全社會(huì)的普遍關(guān)注，為了興利除弊，使網(wǎng)絡(luò)健康發(fā)展，維護(hù)國(guó)家安全和社會(huì)共公利益，可以借助法律力量，可以利用法律所具有的嚴(yán)肅性、強(qiáng)制性、不可侵犯性等特點(diǎn)，強(qiáng)有力地規(guī)范約束社會(huì)上種種不利于網(wǎng)絡(luò)安全的行為。為防治網(wǎng)絡(luò)違法、有害信息的傳播，制止網(wǎng)絡(luò)犯罪提供了法律依據(jù)。

2.6 加強(qiáng)網(wǎng)絡(luò)安全管理

在信息安全方面出現(xiàn)威脅百分之六十以上的原因是因?yàn)楣苤撇划?dāng)產(chǎn)生的。網(wǎng)絡(luò)體系的安全管制主要由于三個(gè)準(zhǔn)則：多人承擔(dān)準(zhǔn)則，擔(dān)任時(shí)間有限準(zhǔn)則，職責(zé)相互獨(dú)立準(zhǔn)則。李亮提出增強(qiáng)網(wǎng)絡(luò)內(nèi)部管制工作者以及操作者的安全思想，許多電腦體系大多使用口令密碼進(jìn)行掌控體系中的資源查詢，這是在預(yù)防病毒入侵的措施中，最簡(jiǎn)便容易的辦法之一。網(wǎng)絡(luò)管制工作者以及終端操縱工作者按照自己的工作內(nèi)容，選用不一樣的賬號(hào)密碼，對(duì)運(yùn)用軟件數(shù)據(jù)開(kāi)展健康合理的操縱，避免顧客搜索到跨級(jí)別的內(nèi)容。

參考文獻(xiàn)

[1]彭 ，高 .計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].計(jì)算機(jī)與數(shù)字工程，2011，（1）：121-124.

第2篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

Abstract: By analysis of the unsafe factors in the enterprise computer network,this paper shows the components of the enterprise computer network security defense system,and then proposes the corresponding strategies for constructing enterprise computer network security defense system.

關(guān)鍵詞: 企業(yè)計(jì)算機(jī);不安全因素;防御體系;策略;安全

Key words: computer network;unsafe factor;defense system;strategies;safety

中圖分類號(hào):G203 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1006-4311(2010)05-0149-02

0引言

隨著科學(xué)技術(shù)的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)在企業(yè)的生產(chǎn)和經(jīng)營(yíng)活動(dòng)中,發(fā)揮著越來(lái)越重要的作用。近年來(lái),許多企業(yè)都相繼實(shí)現(xiàn)了企業(yè)內(nèi)部的信息化。企業(yè)的生產(chǎn)和經(jīng)營(yíng)都離不開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的支撐,因此,計(jì)算機(jī)網(wǎng)絡(luò)的安全穩(wěn)定對(duì)于企業(yè)的生存和發(fā)展至關(guān)重要。構(gòu)建了一個(gè)安全、穩(wěn)定、可靠的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是企業(yè)當(dāng)前亟待解決的重大問(wèn)題。

1企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中存在的不安全因素

1.1 網(wǎng)絡(luò)內(nèi)部。在這種情況下,往往是由操作失誤造成的,這是比較常見(jiàn)的原因,可以通過(guò)嚴(yán)格的管理和個(gè)人的技術(shù)培訓(xùn)來(lái)解決。

1.2 硬件故障。計(jì)算機(jī)是一個(gè)系統(tǒng)的整體,設(shè)備內(nèi)部任何一種硬件發(fā)生故障都可能導(dǎo)致信息丟失, 甚至造成整個(gè)系統(tǒng)的癱瘓。網(wǎng)絡(luò)線路的物理?yè)p傷、網(wǎng)絡(luò)的不規(guī)范擴(kuò)展和網(wǎng)絡(luò)連接的混亂是目前造成硬件故障的三個(gè)最主要的原因。

1.3 對(duì)于網(wǎng)絡(luò)的安全防護(hù)措施來(lái)說(shuō),防火墻是必不可少的手段,也是最有效的方法之一,其作用就是對(duì)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)進(jìn)行防護(hù)和隱藏,防止來(lái)自網(wǎng)絡(luò)外部的攻擊和侵害,但是任何措施都是有漏洞的。防火墻的最大問(wèn)題就是能較好的防止來(lái)自外部網(wǎng)絡(luò)的威脅,但是對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的侵害,防火墻就無(wú)能為力了。

1.4 安全工具的使用受到人為因素的影響。任何工具都是人發(fā)明和使用的,只要是與人有關(guān)的,就必然不是完美的。對(duì)數(shù)據(jù)安全來(lái)說(shuō),有時(shí)最嚴(yán)重的威脅通常來(lái)自于企業(yè)內(nèi)部,員工的失誤可能威脅信息的安全或?qū)е虏《镜膫鞑?。還有極少數(shù)員工基于不同的目的設(shè)法竊取超級(jí)用戶口令, 在未經(jīng)授權(quán)的情況下訪問(wèn)機(jī)密信息。除了專業(yè)技術(shù)人員之外,大部分企業(yè)員工對(duì)信息安全的認(rèn)識(shí)不足,如果沒(méi)有這種意識(shí)和認(rèn)識(shí),有再多的技術(shù)安全措施和屏障,也難以達(dá)到預(yù)期的目的。一個(gè)安全工具保護(hù)效果能否實(shí)現(xiàn),不光是看技術(shù)設(shè)計(jì)的是否出色,更重要的取決于管理人員的素質(zhì)和責(zé)任心。

1.5 只要有程序, Bug就可能存在,甚至安全的漏洞也可能存在于安全工具本身?，F(xiàn)在人們常用的個(gè)人計(jì)算機(jī)操作系統(tǒng)其實(shí)并不安全,存在很多的缺陷和漏洞,一些病毒和木馬就會(huì)利用這些漏洞對(duì)網(wǎng)絡(luò)安全進(jìn)行大肆攻擊。很多操作系統(tǒng)都配備了用以改進(jìn)系統(tǒng)管理和提高服務(wù)質(zhì)量的工具軟件,但這些工具同時(shí)也會(huì)被黑客利用去收集非法信息及加強(qiáng)攻擊力度:如NBTSTA T 命令是用來(lái)給系統(tǒng)管理員提供遠(yuǎn)程節(jié)點(diǎn)的信息的,但是破壞者也用這一命令收集對(duì)系統(tǒng)有威脅性的信息;區(qū)域控制軟件的身份信息、NetBIOS 的名字、IIS名甚至是用戶名,這些信息足以被黑客用來(lái)破譯口令;網(wǎng)包嗅探器(PacketSn iffer),系統(tǒng)管理員用此工具來(lái)監(jiān)控及分發(fā)網(wǎng)包,以便找出網(wǎng)絡(luò)的潛在問(wèn)題,同時(shí)也為黑客攻擊網(wǎng)絡(luò)提供了機(jī)會(huì)。

1.6 黑客的攻擊手段雖然種類繁多,但主要利用以下兩類漏洞:①TCP/IP協(xié)議自設(shè)設(shè)計(jì)的問(wèn)題,這是因?yàn)門CP/IP協(xié)議一開(kāi)始設(shè)計(jì)的時(shí)候,是基于互相信任的網(wǎng)絡(luò)的,故而缺乏對(duì)付網(wǎng)絡(luò)惡意攻擊的手段;②一些操作系統(tǒng)的設(shè)計(jì)漏洞,這一點(diǎn)我們?cè)谏衔闹幸呀?jīng)提到。現(xiàn)今的社會(huì),互聯(lián)網(wǎng)技術(shù)和計(jì)算機(jī)技術(shù)發(fā)展的越來(lái)越快,而網(wǎng)絡(luò)黑客的攻擊水平也是水漲船高,各種攻擊手段和病毒式層出不窮,并且技術(shù)越來(lái)越高,越來(lái)越難以防范,幾乎每天都有新的系統(tǒng)安全問(wèn)題出現(xiàn)。與之相比,網(wǎng)絡(luò)安全防護(hù)工具的發(fā)展明顯滯后,究其原因,是因?yàn)楹诳褪且粋€(gè)群體,遍布全世界各地,而負(fù)責(zé)網(wǎng)絡(luò)安全防護(hù)工具開(kāi)發(fā)的只是一些固定的網(wǎng)絡(luò)技術(shù)公司和開(kāi)發(fā)人員,以有限的安全技術(shù)人員對(duì)付無(wú)限的龐大黑客群體,再加上這種對(duì)策都是被動(dòng)的,總是等到新的木馬或病毒出現(xiàn)后才會(huì)有相應(yīng)的防護(hù)工具產(chǎn)生,其結(jié)果可想而知。

2計(jì)算機(jī)網(wǎng)絡(luò)安全防御體系的組成部分

目前,雖然企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的生產(chǎn)網(wǎng)和辦公網(wǎng)之間有防火墻的隔離,但是二者交換數(shù)據(jù)時(shí)并沒(méi)有進(jìn)行IP 轉(zhuǎn)換,從本質(zhì)上來(lái)說(shuō),二者都屬于統(tǒng)一網(wǎng)絡(luò),所以我們這里將因此把生產(chǎn)網(wǎng)安全域和辦公網(wǎng)安全域都稱為內(nèi)部安全域。每一個(gè)內(nèi)部安全域都配有一套完整的平臺(tái),部署在辦公網(wǎng),該平臺(tái)負(fù)責(zé)用戶管理和辦公網(wǎng)與生產(chǎn)網(wǎng)認(rèn)證授權(quán),外網(wǎng)平臺(tái)負(fù)責(zé)對(duì)外部用戶的身份認(rèn)證和授權(quán)。

2.1 路由器架構(gòu)網(wǎng)絡(luò)的第一層設(shè)備就是路由器,它也是網(wǎng)絡(luò)入侵者攻擊的首要目標(biāo),因此路由器有必要設(shè)置一定的過(guò)濾規(guī)則,濾掉被屏蔽的IP 地址和服務(wù)。

2.2 防火墻剛才我們?cè)谏衔闹幸呀?jīng)介紹過(guò)防火墻了。其執(zhí)行一種訪問(wèn)控制尺度,可以通過(guò)設(shè)置,分出可訪問(wèn)的IP地址和數(shù)據(jù)和不可訪問(wèn)的IP地址和數(shù)據(jù),可訪問(wèn)的IP和數(shù)據(jù)進(jìn)入防火墻的內(nèi)部網(wǎng)絡(luò),同時(shí)將禁止的用戶與數(shù)據(jù)拒絕,它可以最大限度地阻止網(wǎng)絡(luò)入侵者訪問(wèn)自己的網(wǎng)絡(luò),并防止對(duì)內(nèi)網(wǎng)信息和數(shù)據(jù)進(jìn)行訪問(wèn)、修改和刪除。所以,防火墻是一種得到廣泛應(yīng)用且公認(rèn)安全高效的的網(wǎng)絡(luò)安全手段,是保證網(wǎng)絡(luò)安全的最重要的環(huán)節(jié)之一。

2.3 入侵監(jiān)測(cè)系統(tǒng)在計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵部位安裝網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IDS),可以對(duì)網(wǎng)絡(luò)和信息系統(tǒng)訪問(wèn)的異常行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)和報(bào)警。IDS可以監(jiān)測(cè)網(wǎng)絡(luò)上所有的包(packets),捕捉危險(xiǎn)或有惡意的動(dòng)作,并及時(shí)發(fā)出報(bào)警信息。入侵監(jiān)測(cè)系統(tǒng)可以按照用戶指定的規(guī)則對(duì)端口進(jìn)行監(jiān)測(cè)、掃描。立體安全防御體系中普遍采用入侵監(jiān)測(cè)系統(tǒng),以識(shí)別防火墻不能識(shí)別的攻擊,如來(lái)自企業(yè)內(nèi)部的攻擊。目前,入侵檢測(cè)系統(tǒng)被認(rèn)為是對(duì)防火墻的必要補(bǔ)充,可對(duì)網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)監(jiān)測(cè),及時(shí)發(fā)現(xiàn)入侵者,防治合法用戶對(duì)資源的錯(cuò)誤操作,與其他安全產(chǎn)品一起構(gòu)筑立體的安全防御體系。

2.4 物理隔離與信息交換系統(tǒng)物理隔離與信息交換系統(tǒng)又稱網(wǎng)閘,是運(yùn)用物理隔離網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì)的安全隔離系統(tǒng)。當(dāng)企業(yè)網(wǎng)內(nèi)部的生產(chǎn)系統(tǒng)因?yàn)樾畔⒒ㄔO(shè)過(guò)程中對(duì)外網(wǎng)訪問(wèn)的需求而影響內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全性及可用性時(shí),物理隔離與信息交換系統(tǒng)能夠?qū)?nèi)部網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)進(jìn)行物理隔斷,可以及時(shí)阻止各種已知和未知的網(wǎng)絡(luò)層和操作系統(tǒng)層攻擊,它提供的安全性能比防火墻、入侵檢測(cè)系統(tǒng)等技術(shù)更好,既保證了物理的隔離,又實(shí)現(xiàn)了在線實(shí)時(shí)訪問(wèn)不可信網(wǎng)絡(luò)所必需的數(shù)據(jù)交換。

本文為全文原貌 未安裝PDF瀏覽器用戶請(qǐng)先下載安裝 原版全文

2.5 交換機(jī)局域網(wǎng)通常采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局。交換機(jī)是該格局的核心,其最關(guān)鍵的工作是實(shí)現(xiàn)訪問(wèn)控制功能和3 層交換功能。訪問(wèn)控制對(duì)于交換機(jī)就是利用訪問(wèn)控制列表ACL 來(lái)實(shí)現(xiàn)用戶對(duì)數(shù)據(jù)包按照源和目的地址、協(xié)議、源和目的端口等各項(xiàng)的不同要求進(jìn)行篩選和過(guò)濾。

2.6 應(yīng)用系統(tǒng)的認(rèn)證和授權(quán)支持

建立應(yīng)用系統(tǒng)能夠提升支撐平臺(tái)的安全性,應(yīng)用系統(tǒng)的保護(hù)功能包括以下幾個(gè)方面:①應(yīng)用系統(tǒng)網(wǎng)絡(luò)訪問(wèn)漏洞控制。應(yīng)用系統(tǒng)要求軟件按照安全軟件標(biāo)準(zhǔn)開(kāi)發(fā),在輸入級(jí)、對(duì)話路徑級(jí)和事務(wù)處理級(jí)做到安全無(wú)漏洞;集成的系統(tǒng)必須具有良好的自我恢復(fù)能力,避免內(nèi)部生產(chǎn)網(wǎng)中的系統(tǒng)因受攻擊而導(dǎo)致癱瘓、數(shù)據(jù)破壞或丟失。②數(shù)字簽名與認(rèn)證。應(yīng)用系統(tǒng)須利用CA 提供的數(shù)字證書進(jìn)行應(yīng)用級(jí)的身份認(rèn)證,對(duì)文件和數(shù)據(jù)進(jìn)行數(shù)字簽名和認(rèn)證,保證文件和數(shù)據(jù)的完整性以及防止源發(fā)送者抵賴。③數(shù)據(jù)加密。對(duì)重要的數(shù)據(jù)進(jìn)行加密存儲(chǔ)。

2.7 操作系統(tǒng)的安全將所有不使用的服務(wù)和端口關(guān)閉,并將不使用的磁盤文件清除,建立一個(gè)內(nèi)部網(wǎng)操作系統(tǒng)漏洞管理服務(wù)器,提供對(duì)官方補(bǔ)丁下載,以保證操作系統(tǒng)的安全性。

2.8 病毒防護(hù)將系統(tǒng)診斷工具(如360)與網(wǎng)絡(luò)版的殺毒軟件(如NOD)相結(jié)合,可以構(gòu)成比較完整的病毒防護(hù)體系,能夠有效地防控病毒的傳播,保證網(wǎng)絡(luò)運(yùn)行的安全性和穩(wěn)定性。

2.9 網(wǎng)絡(luò)隔離度保障對(duì)未經(jīng)過(guò)安全過(guò)濾和檢查就違規(guī)接入內(nèi)部網(wǎng)的移動(dòng)設(shè)備(筆記本電腦等)和新增設(shè)備進(jìn)行監(jiān)控;對(duì)內(nèi)部網(wǎng)中繞過(guò)防火墻的計(jì)算機(jī)或其他設(shè)備,違規(guī)接入網(wǎng)絡(luò)的行為進(jìn)行監(jiān)測(cè);對(duì)物理隔離的網(wǎng)絡(luò)內(nèi)部設(shè)備違規(guī)接入因特網(wǎng)的行為進(jìn)行監(jiān)控;對(duì)違反規(guī)定將專網(wǎng)專用的計(jì)算機(jī)帶出網(wǎng)絡(luò)進(jìn)入到其他網(wǎng)絡(luò)的行為進(jìn)行監(jiān)控;可提供IP 和MAC 地址綁定功能。

3構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)防御體系的策略

根據(jù)當(dāng)前企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展現(xiàn)狀、發(fā)展趨勢(shì)、操作系統(tǒng)對(duì)網(wǎng)絡(luò)傳輸與服務(wù)的要求以及安全保密等相關(guān)規(guī)定,構(gòu)建一個(gè)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全防御體系應(yīng)注意以下幾點(diǎn):①企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)必須做到實(shí)現(xiàn)外部服務(wù)網(wǎng)與內(nèi)部服務(wù)網(wǎng)的分離;②對(duì)信息系統(tǒng)的安全等級(jí)要進(jìn)行劃分,以便在進(jìn)行信息管理時(shí)使用不同的安全域;③在網(wǎng)絡(luò)安全上必須充分開(kāi)展對(duì)網(wǎng)絡(luò)訪問(wèn)控制、防火墻設(shè)置、網(wǎng)絡(luò)動(dòng)態(tài)隔離和病毒網(wǎng)關(guān)及日志的管理和維護(hù);④對(duì)網(wǎng)絡(luò)的流量要進(jìn)行充分控制和保護(hù);⑤基于數(shù)字證書的用戶身份認(rèn)證、授權(quán)管理建立完善的訪問(wèn)控制設(shè)施;⑥必須建立日志和審計(jì)系統(tǒng)。

要建立企業(yè)計(jì)算機(jī)安全網(wǎng)絡(luò)防御體系,必須將重要行業(yè)的原有的平面結(jié)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)調(diào)整為層次保護(hù)結(jié)構(gòu)的網(wǎng)絡(luò),形成外部網(wǎng)、辦公網(wǎng)和生產(chǎn)網(wǎng)的三層結(jié)構(gòu)。在外層部署與互聯(lián)網(wǎng)的接口,外層網(wǎng)絡(luò)屏蔽內(nèi)層網(wǎng)絡(luò),實(shí)現(xiàn)外層網(wǎng)絡(luò)對(duì)內(nèi)層網(wǎng)絡(luò)的保護(hù)。在不同的網(wǎng)絡(luò)區(qū)域邊界,通過(guò)邊界保衛(wèi)策略實(shí)施多點(diǎn)控制,使網(wǎng)絡(luò)劃分為不同級(jí)別的保護(hù)層次和區(qū)域,控制各層次之間的信息流。

4結(jié)語(yǔ)

第3篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

一、企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況概述

企業(yè)網(wǎng)絡(luò)是在企業(yè)范圍內(nèi)，在一定的思想和理論指導(dǎo)下，為企業(yè)提供資源共享、信息交流和協(xié)同工作的計(jì)算機(jī)網(wǎng)絡(luò)。隨著我國(guó)各地企業(yè)網(wǎng)數(shù)量的迅速增加，如何實(shí)現(xiàn)企業(yè)網(wǎng)之間資源共享、信息交流和協(xié)同工作以及保證企業(yè)網(wǎng)絡(luò)安全的要求是越來(lái)越強(qiáng)烈。與其它網(wǎng)絡(luò)一樣，企業(yè)網(wǎng)也同樣面臨著各種各樣的網(wǎng)絡(luò)安全問(wèn)題。但是在企業(yè)網(wǎng)絡(luò)建設(shè)的過(guò)程中，由于對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的不足，普遍都存在”重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長(zhǎng)，關(guān)鍵性應(yīng)用的普及和深入，企業(yè)網(wǎng)絡(luò)在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證企業(yè)網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)企業(yè)不可回避的一個(gè)緊迫問(wèn)題，解決網(wǎng)絡(luò)安全問(wèn)題刻不容緩，并且逐漸引起了各方面的重視。

由于Internet上存在各種各樣不可預(yù)知的風(fēng)險(xiǎn)，網(wǎng)絡(luò)入侵者可以通過(guò)多種方式攻擊內(nèi)部網(wǎng)絡(luò)。此外，由于企業(yè)網(wǎng)用戶網(wǎng)絡(luò)安全尚欠缺，很少考慮實(shí)際存在的風(fēng)險(xiǎn)和低效率，很少學(xué)習(xí)防范病毒、漏洞修復(fù)、密碼管理、信息保密的必備知識(shí)以及防止人為破壞系統(tǒng)和篡改敏感數(shù)據(jù)的有關(guān)技術(shù)。

因此，在設(shè)計(jì)時(shí)有必要將公開(kāi)服務(wù)器和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)網(wǎng)絡(luò)通訊進(jìn)行有效的過(guò)濾，使必要的服務(wù)請(qǐng)求到達(dá)主機(jī)，對(duì)不必要的訪問(wèn)請(qǐng)求加以拒絕。

二、企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與構(gòu)建

網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實(shí)際上是入侵者與反入侵者之間的持久的對(duì)抗過(guò)程。網(wǎng)絡(luò)安全體系不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)。人們力圖建立的是一個(gè)網(wǎng)絡(luò)安全的動(dòng)態(tài)防護(hù)體系，是動(dòng)態(tài)加靜態(tài)的防御，是被動(dòng)加主動(dòng)的防御甚至抗擊，是管理加技術(shù)的完整安全觀念。但企業(yè)網(wǎng)絡(luò)安全問(wèn)題不是在網(wǎng)絡(luò)中加一個(gè)防火墻就能解決的問(wèn)題，需要有一個(gè)科學(xué)、系統(tǒng)、全面的網(wǎng)絡(luò)安全結(jié)構(gòu)體系。

（一）企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)目標(biāo)

企業(yè)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)的目標(biāo)是使在企業(yè)網(wǎng)絡(luò)中信息的采集、存儲(chǔ)、處理、傳播和運(yùn)用過(guò)程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保護(hù)的一種狀態(tài)。在網(wǎng)絡(luò)上傳遞的信息沒(méi)有被故意的或偶然的非法授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識(shí)、控制，網(wǎng)絡(luò)信息的保密性、完整性、可用性、可控性得到良好保護(hù)的狀態(tài)。

（二）企業(yè)網(wǎng)防火墻的部署

1.安全策略。所有的數(shù)據(jù)包都必須經(jīng)過(guò)防火墻;只有被允許的數(shù)據(jù)包才能通過(guò)防火墻;防火墻本身要有預(yù)防入侵的功能;默認(rèn)禁止所有的服務(wù)，除非是必須的服務(wù)才被允許。

2.系統(tǒng)設(shè)計(jì)。在互聯(lián)網(wǎng)與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺(tái)硬件防火墻，在內(nèi)外網(wǎng)之間建立一道安全屏障。其中WEB、E一mail、FTP等服務(wù)器放置在防火墻的DMZ區(qū)(即“非軍事區(qū)”，是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信以保證內(nèi)網(wǎng)安全)，與內(nèi)網(wǎng)和外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接企業(yè)網(wǎng)，外網(wǎng)口通過(guò)電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。

3.入侵檢測(cè)系統(tǒng)的設(shè)計(jì)和部署。入侵檢測(cè)系統(tǒng)主要檢測(cè)對(duì)網(wǎng)絡(luò)系統(tǒng)各主要運(yùn)營(yíng)環(huán)節(jié)的實(shí)時(shí)入侵，在企業(yè)網(wǎng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間設(shè)置瑞星RIDS一100入侵檢測(cè)系統(tǒng)，與防火墻并行的接入網(wǎng)絡(luò)中，監(jiān)測(cè)來(lái)自互聯(lián)網(wǎng)、企業(yè)網(wǎng)內(nèi)部的攻擊行為。發(fā)現(xiàn)入侵行為時(shí)，及時(shí)通知防火墻阻斷攻擊源。

4.企業(yè)網(wǎng)絡(luò)安全體系實(shí)施階段。

第一階段：基本安全需求。第一階段的目標(biāo)是利用已有的技術(shù)，首先滿足企業(yè)網(wǎng)最迫切的安全需求，所涉及到的安全內(nèi)容有：

①滿足設(shè)備物理安全

②VLAN與IP地址的規(guī)劃與實(shí)施

③制定相關(guān)安全策略

④內(nèi)外網(wǎng)隔離與訪問(wèn)控制

⑤內(nèi)網(wǎng)自身病毒防護(hù)

⑥系統(tǒng)自身安全

⑦相關(guān)制度的完善

第二階段：較高的安全需求。這一階段的目標(biāo)是在完成第一階段安全需求的前提下，全面實(shí)現(xiàn)整個(gè)企業(yè)網(wǎng)絡(luò)的安全需求。所涉及的安全內(nèi)容有：

①入侵檢測(cè)與保護(hù)

②身份認(rèn)證與安全審計(jì)

③流量控制

④內(nèi)外網(wǎng)病毒防護(hù)與控制

⑤動(dòng)態(tài)調(diào)整安全策略

第4篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

關(guān)鍵詞 虛擬局域網(wǎng)；校園網(wǎng)絡(luò)；安全體系

中圖分類號(hào)TP39 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708（2013）83-0202-02

1 網(wǎng)絡(luò)安全體系的定義

通常情況下，為了能夠保證校園網(wǎng)絡(luò)運(yùn)行的安全穩(wěn)定，校園網(wǎng)的大部分?jǐn)?shù)據(jù)資源都只允許在內(nèi)部中完成訪問(wèn)。例如校園網(wǎng)絡(luò)的OA系統(tǒng)、校內(nèi)郵件系統(tǒng)等等，這些系統(tǒng)的訪問(wèn)和使用都必須在校園網(wǎng)內(nèi)部操作，嚴(yán)重制約了教師、學(xué)生在個(gè)人家庭中通過(guò)訪問(wèn)校園網(wǎng)來(lái)收取學(xué)校通知、查看個(gè)人成績(jī)、瀏覽校園新聞等功能。如果校園網(wǎng)內(nèi)部應(yīng)用服務(wù)器一旦發(fā)生了故障，如果專業(yè)管理人員此時(shí)也沒(méi)有在學(xué)校時(shí)，就無(wú)法完成對(duì)校園網(wǎng)的維護(hù)操作，如果部分教師由于需要出差完成科研交流等工作時(shí)，也無(wú)法查看關(guān)于科研項(xiàng)目的校內(nèi)數(shù)據(jù)資源。

網(wǎng)絡(luò)安全體系指的是一套完整的計(jì)劃設(shè)計(jì)，主要包括能夠?yàn)榫W(wǎng)絡(luò)用戶提供安全穩(wěn)定的服務(wù)；能夠保證網(wǎng)絡(luò)中所有系統(tǒng)的正常運(yùn)行服務(wù)；對(duì)網(wǎng)絡(luò)中系統(tǒng)的安全級(jí)別提出要求并完成設(shè)置。一套完整的網(wǎng)絡(luò)安全體系中的必備設(shè)計(jì)原則有數(shù)據(jù)傳輸安全、計(jì)算機(jī)系統(tǒng)安全、網(wǎng)絡(luò)用戶安全、網(wǎng)絡(luò)管理安全、物理架構(gòu)安全等等，既要能夠?qū)阂獾耐饨缛肭中袨檫M(jìn)行制止，還要能夠同時(shí)應(yīng)對(duì)網(wǎng)絡(luò)中的其他安全威脅。

2 虛擬局域網(wǎng)關(guān)鍵技術(shù)

2.1用戶認(rèn)證技術(shù)

虛擬局域網(wǎng)中的用戶身份核實(shí)確認(rèn)大部分都是通過(guò)用戶認(rèn)證技術(shù)實(shí)現(xiàn)的，對(duì)系統(tǒng)用戶進(jìn)行相應(yīng)授權(quán)之后能夠保證控制訪問(wèn)資源。一般情況下，網(wǎng)絡(luò)認(rèn)證協(xié)議采用的都是報(bào)文摘要技術(shù)，主要是用于驗(yàn)證數(shù)據(jù)信息的完整性和對(duì)用戶身份進(jìn)行認(rèn)證，通過(guò)利用哈希（HASH）函數(shù)將數(shù)據(jù)報(bào)文的長(zhǎng)度進(jìn)行一系列變換，使其能夠成為固定長(zhǎng)度的報(bào)文摘要，但是由于哈希函數(shù)自身的特性又難以在不同的報(bào)文信息中將報(bào)文摘要變換成固定長(zhǎng)度。

2.2數(shù)據(jù)加密技術(shù)

虛擬局域網(wǎng)數(shù)據(jù)傳輸?shù)倪^(guò)程中主要應(yīng)用的是數(shù)據(jù)加密技術(shù)，來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)的偽裝和隱藏。但是，如果在傳輸?shù)倪^(guò)程中數(shù)據(jù)信息經(jīng)過(guò)互聯(lián)網(wǎng)產(chǎn)生了安全威脅，那么即使已經(jīng)通過(guò)了用戶認(rèn)證，也不能保證數(shù)據(jù)信息的安全傳輸。因此，在網(wǎng)絡(luò)發(fā)送端應(yīng)該將用戶認(rèn)證進(jìn)行加密之后再完成數(shù)據(jù)信息的傳輸，在網(wǎng)絡(luò)接收端通過(guò)用戶認(rèn)證之后再對(duì)數(shù)據(jù)信息進(jìn)行解密。密鑰類型主要包括對(duì)稱加密和非對(duì)稱加密兩種，在實(shí)際應(yīng)用中大多數(shù)采用的都是對(duì)稱加密措施，如果是機(jī)密數(shù)據(jù)信息則采取公鑰加密技術(shù)。

2.3訪問(wèn)控制技術(shù)

訪問(wèn)控制技術(shù)主要是對(duì)用戶是否能夠?qū)ο到y(tǒng)發(fā)起訪問(wèn)進(jìn)行控制，運(yùn)行具有相應(yīng)授權(quán)的用戶訪問(wèn)系統(tǒng)資源，對(duì)沒(méi)有授權(quán)的用戶對(duì)系統(tǒng)資源發(fā)起訪問(wèn)和獲取時(shí)立刻進(jìn)行阻止。

3 校園網(wǎng)絡(luò)安全體系設(shè)計(jì)

本文設(shè)計(jì)提出的基于虛擬局域網(wǎng)技術(shù)的校園網(wǎng)絡(luò)安全體系設(shè)計(jì)方案主要是為了解決某高校老校區(qū)與新校區(qū)之間信息互通、資源共享、專網(wǎng)整合的問(wèn)題，由此構(gòu)建出一條專用的虛擬局域網(wǎng)安全通道，從而保證這些重要數(shù)據(jù)資源能夠在校園網(wǎng)中安全穩(wěn)定地傳輸。

3.1系統(tǒng)設(shè)計(jì)原則

1）安全保障

虛擬局域網(wǎng)系統(tǒng)的重要職能就是保證網(wǎng)絡(luò)的安全穩(wěn)定，以及在互聯(lián)網(wǎng)傳輸過(guò)程中數(shù)據(jù)信息的安全可靠，因此，虛擬局域網(wǎng)系統(tǒng)的安全保證必須包括用戶身份認(rèn)證、數(shù)據(jù)信息保密和數(shù)據(jù)信息完整。

2）多平臺(tái)兼容

虛擬局域網(wǎng)系統(tǒng)的關(guān)鍵功能就是要保證用戶不受時(shí)間和地域的限制對(duì)系統(tǒng)資源發(fā)起訪問(wèn)，以及當(dāng)用戶進(jìn)行移動(dòng)辦公時(shí)要保證網(wǎng)絡(luò)連接的安全可靠。

3）訪問(wèn)控制權(quán)限

校園網(wǎng)的虛擬局域網(wǎng)系統(tǒng)主要是為多個(gè)應(yīng)用程序提供保護(hù)的，因此要設(shè)置不同的用戶訪問(wèn)控制策略，使得擁有不同權(quán)限的用戶能夠訪問(wèn)相應(yīng)的系統(tǒng)資源。

4）平臺(tái)管理簡(jiǎn)潔

虛擬局域網(wǎng)服務(wù)器應(yīng)該為用戶和系統(tǒng)管理員提供良好的應(yīng)用管理操作界面，在方便用戶對(duì)系統(tǒng)資源進(jìn)行訪問(wèn)操作的同時(shí)，還要保證系統(tǒng)管理員的安全維護(hù)操作簡(jiǎn)單便捷，更要為服務(wù)器與用戶之間的通問(wèn)、安全日志等做好記錄。

3.2系統(tǒng)功能模型

根據(jù)校園網(wǎng)絡(luò)的實(shí)際安全需求和虛擬局域網(wǎng)系統(tǒng)的設(shè)計(jì)原則，虛擬局域網(wǎng)系統(tǒng)的功能模型主要包括用戶身份認(rèn)證模塊、數(shù)據(jù)傳輸模塊、訪問(wèn)控制模塊和系統(tǒng)管理模塊。

1）用戶身份認(rèn)證模塊

虛擬局域網(wǎng)系統(tǒng)客戶端通過(guò)采取數(shù)字證書的認(rèn)證方式對(duì)用戶身份進(jìn)行核實(shí)；服務(wù)器對(duì)系統(tǒng)客戶端進(jìn)行認(rèn)證時(shí)需要采取不同的認(rèn)證方法，如果用戶通過(guò)遠(yuǎn)程網(wǎng)絡(luò)連接到虛擬局域網(wǎng)中，服務(wù)器則采用用戶名+密碼的認(rèn)證方式對(duì)用戶合法身份進(jìn)行識(shí)別，在校園網(wǎng)內(nèi)部則采取數(shù)字證書的方式對(duì)用戶身份進(jìn)行識(shí)別。

2）數(shù)據(jù)傳輸模塊

數(shù)據(jù)傳輸模塊的主要功能是采取相應(yīng)加密算法對(duì)數(shù)據(jù)進(jìn)行加密之后傳輸給接收方，以及對(duì)接收到的數(shù)據(jù)進(jìn)行解密。

3）訪問(wèn)控制模塊

訪問(wèn)控制模塊主要是根據(jù)已經(jīng)設(shè)置完成的訪問(wèn)控制策略來(lái)控制系統(tǒng)中的資源是否能夠被用戶進(jìn)行訪問(wèn)和操作。

4）系統(tǒng)管理模塊

系統(tǒng)管理模塊主要負(fù)責(zé)對(duì)虛擬局域網(wǎng)系統(tǒng)服務(wù)器的日常服務(wù)信息進(jìn)行記錄，包括訪問(wèn)日期、訪問(wèn)時(shí)間、網(wǎng)絡(luò)使用情況等等，并生成對(duì)應(yīng)的日志報(bào)告。

3.3系統(tǒng)詳細(xì)設(shè)計(jì)

本文提出的基于虛擬局域網(wǎng)技術(shù)的校園內(nèi)部網(wǎng)設(shè)計(jì)方案如圖1所示。

學(xué)校的新校區(qū)和老校區(qū)之間通過(guò)采用虛擬局域網(wǎng)技術(shù)，建立起一道校園內(nèi)部虛擬局域網(wǎng)通道，將新校區(qū)與老校區(qū)利用光纖實(shí)現(xiàn)網(wǎng)絡(luò)連接，將網(wǎng)絡(luò)的出口端設(shè)置在新校區(qū)。校園網(wǎng)中的財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)和一卡通管理系統(tǒng)都需要通過(guò)同一個(gè)鏈路與新校區(qū)進(jìn)行連接，因此，我們采用虛擬局域網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對(duì)鏈路進(jìn)行數(shù)據(jù)加密，從而保證通過(guò)這條鏈路傳輸?shù)臄?shù)據(jù)能夠安全可靠。

校園網(wǎng)中的一般用戶的訪問(wèn)控制策略安全級(jí)別的設(shè)置可以相對(duì)較低，一般用戶安全級(jí)別如果設(shè)置過(guò)高則會(huì)耗費(fèi)大量的系統(tǒng)資源，造成無(wú)法訪問(wèn)或網(wǎng)絡(luò)癱瘓的情況出現(xiàn)。對(duì)于校園網(wǎng)中的財(cái)務(wù)管理部門、人事管理部門和后勤服務(wù)部門來(lái)說(shuō)，應(yīng)該采取兩層架構(gòu)隔離的方法接入到校園網(wǎng)中，再通過(guò)內(nèi)部網(wǎng)關(guān)協(xié)議與核心交換機(jī)連接，從而保證在新校區(qū)與老校區(qū)之間實(shí)現(xiàn)數(shù)據(jù)加密傳輸。

4結(jié)論

綜上所述，本文從校園網(wǎng)實(shí)際需求角度出發(fā)，將虛擬局域網(wǎng)技術(shù)應(yīng)用到校園網(wǎng)建設(shè)當(dāng)中，提出了一套校園網(wǎng)絡(luò)安全體系設(shè)計(jì)方案，能夠有效保證新校區(qū)與老校區(qū)之間的數(shù)據(jù)通信、數(shù)據(jù)共享和數(shù)據(jù)整合安全，具有較強(qiáng)的理論指導(dǎo)意義。

參考文獻(xiàn)

第5篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

隨著世界互聯(lián)網(wǎng)技術(shù)在全球經(jīng)濟(jì)、文化等領(lǐng)域的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)得到了廣泛的應(yīng)用，網(wǎng)絡(luò)以其實(shí)用性、高效性、便捷性深入滲透到各行各業(yè)中并逐漸改善行業(yè)的產(chǎn)業(yè)結(jié)構(gòu)、經(jīng)營(yíng)模式、管理方式。近年來(lái)，網(wǎng)絡(luò)信息化已經(jīng)應(yīng)用到廣播電視臺(tái)的制作、播出、傳播、發(fā)射等各個(gè)環(huán)節(jié)，使廣播電視臺(tái)的節(jié)目質(zhì)量、管理效率、影響范圍向新的高度邁進(jìn)。但網(wǎng)絡(luò)開(kāi)放性的特點(diǎn)使信息安全面臨較多的安全隱患，如何防止因網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)導(dǎo)致播出中斷、數(shù)據(jù)泄露、財(cái)務(wù)損失等嚴(yán)重后果成為了廣播電視臺(tái)面臨的新難題。為了提高廣播電視行業(yè)對(duì)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的認(rèn)識(shí)，本文構(gòu)建了廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)指標(biāo)體系，并運(yùn)用系統(tǒng)動(dòng)力學(xué)建立風(fēng)險(xiǎn)的因果關(guān)系圖，分析各個(gè)風(fēng)險(xiǎn)之間的相關(guān)關(guān)系。

袁愛(ài)軍從企業(yè)所面臨的網(wǎng)絡(luò)信息安全問(wèn)題出發(fā)，提出了操作系統(tǒng)安全風(fēng)險(xiǎn)、管理安全風(fēng)險(xiǎn)、應(yīng)用安全風(fēng)險(xiǎn)及網(wǎng)絡(luò)結(jié)構(gòu)安全風(fēng)險(xiǎn)四個(gè)主要風(fēng)險(xiǎn)，并對(duì)風(fēng)險(xiǎn)因素進(jìn)行全面、系統(tǒng)的分析[1]。李蘭瑛等結(jié)合某校園網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)識(shí)別相關(guān)風(fēng)險(xiǎn)并運(yùn)用灰色評(píng)估法在風(fēng)險(xiǎn)評(píng)價(jià)方面的優(yōu)勢(shì)建立信息系統(tǒng)風(fēng)險(xiǎn)多層灰色評(píng)估模型，分析了網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險(xiǎn)灰色綜合評(píng)估過(guò)程[2]。袁亮首先詳細(xì)分析了信息安全的概念和特點(diǎn)，結(jié)合企業(yè)控制信息安全所面臨的問(wèn)題包括安全問(wèn)題、管理問(wèn)題和成本問(wèn)題提出風(fēng)險(xiǎn)管理對(duì)策和建議[3]。吉嵐等詳細(xì)研究了各高校信息安全風(fēng)險(xiǎn)的特點(diǎn)以及高校網(wǎng)絡(luò)安全技術(shù)的應(yīng)用效果，提出了通過(guò)系統(tǒng)的運(yùn)用網(wǎng)絡(luò)安全技術(shù)保障高校網(wǎng)絡(luò)信息安全的措施，最后以赤峰學(xué)院為例加以驗(yàn)證[4]。

通過(guò)對(duì)廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)研究成果進(jìn)行梳理，發(fā)現(xiàn)學(xué)者們更傾向于對(duì)某一個(gè)風(fēng)險(xiǎn)階段或者單一風(fēng)險(xiǎn)因素進(jìn)行研究，忽略了網(wǎng)絡(luò)信息安全的系統(tǒng)性以及風(fēng)險(xiǎn)因素的交叉關(guān)聯(lián)性。梳理學(xué)者在系統(tǒng)動(dòng)力學(xué)理論、網(wǎng)絡(luò)信息安全管理的研究成果，結(jié)合開(kāi)化縣廣播電視臺(tái)網(wǎng)絡(luò)信息安全現(xiàn)狀歸納出研究較為集中和具有代表性的廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素，并發(fā)揮了系統(tǒng)動(dòng)力學(xué)在風(fēng)險(xiǎn)演化方面的優(yōu)勢(shì)。最終形成集“網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)”、“技術(shù)安全風(fēng)險(xiǎn)”、“管理風(fēng)險(xiǎn)”、“外部環(huán)境風(fēng)險(xiǎn)”的“廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素系統(tǒng)”，然后建立風(fēng)險(xiǎn)因素系統(tǒng)動(dòng)力學(xué)因果關(guān)系圖，識(shí)別出了風(fēng)險(xiǎn)之間的相關(guān)性，為后續(xù)廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的研究奠定了基礎(chǔ)。

1開(kāi)化廣播電視臺(tái)網(wǎng)絡(luò)信息現(xiàn)狀

開(kāi)化廣播電視臺(tái)目前共有4個(gè)自辦節(jié)目，其中三套電視節(jié)目，分別是圖文頻道、國(guó)家公園頻道、綜合頻道，一套廣播節(jié)目為動(dòng)聽(tīng)早班車電臺(tái)。開(kāi)化廣播電視臺(tái)逐步建立網(wǎng)絡(luò)化、信息化系統(tǒng)，到目前為止已基本實(shí)現(xiàn)全臺(tái)網(wǎng)絡(luò)化管理。開(kāi)化廣播電視網(wǎng)絡(luò)信息系統(tǒng)分為三類，第一類是外網(wǎng)系統(tǒng)，例如以開(kāi)化新聞網(wǎng)為代表的門戶網(wǎng)站；第二類是與廣播電視政務(wù)及監(jiān)測(cè)監(jiān)控等相關(guān)的專用業(yè)務(wù)系統(tǒng)，例如廣播電視辦公網(wǎng)、廣播電視發(fā)射臺(tái)信號(hào)監(jiān)聽(tīng)監(jiān)測(cè)網(wǎng)、廣播電視監(jiān)測(cè)網(wǎng)等；第三類是制作業(yè)務(wù)系統(tǒng)，例如廣播電視制播網(wǎng)。

2廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系的分析與構(gòu)建

2.1廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的識(shí)別依據(jù)

本文基于國(guó)內(nèi)外學(xué)者對(duì)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)指標(biāo)研究的基礎(chǔ)上，結(jié)合廣播電視臺(tái)網(wǎng)絡(luò)信息安全現(xiàn)狀，篩選出對(duì)廣播電視網(wǎng)絡(luò)信息安全影響較大的風(fēng)險(xiǎn)因素，并設(shè)置風(fēng)險(xiǎn)產(chǎn)生的后果包括數(shù)據(jù)損壞、播出中斷、敏感數(shù)據(jù)泄露、財(cái)務(wù)損失和名譽(yù)損失。通過(guò)邀請(qǐng)5位專家（開(kāi)化廣播電視臺(tái)3位，網(wǎng)絡(luò)風(fēng)險(xiǎn)領(lǐng)域?qū)＜?位）對(duì)風(fēng)險(xiǎn)因素與產(chǎn)生的后果關(guān)聯(lián)度進(jìn)行評(píng)價(jià)，最終篩選出與風(fēng)險(xiǎn)后果高度關(guān)聯(lián)的12個(gè)風(fēng)險(xiǎn)因素。

2.2廣播電視網(wǎng)絡(luò)信息安全的特征和風(fēng)險(xiǎn)構(gòu)建原則

2.2.1廣播電視網(wǎng)絡(luò)信息安全的特征

①完整性。指廣播電視網(wǎng)絡(luò)網(wǎng)絡(luò)信息在傳輸、交換、存儲(chǔ)和處理過(guò)程保持完整的特性，即保持網(wǎng)絡(luò)信息原樣性，網(wǎng)絡(luò)信息可以正常的生成，保障廣播電視節(jié)目的播出。

②保密性。指網(wǎng)絡(luò)信息在沒(méi)有授權(quán)的情況下不泄露給第三方或給其特供可以利用的信息的過(guò)程，即完全避免有用信息泄漏給非授權(quán)個(gè)人或?qū)嶓w，有用的網(wǎng)絡(luò)信息只能被已授權(quán)的個(gè)人或?qū)嶓w使用。

③可用性。網(wǎng)絡(luò)信息的可用性是指網(wǎng)絡(luò)信息可以被已授權(quán)的個(gè)人或?qū)嶓w訪問(wèn)和使用，在網(wǎng)絡(luò)系統(tǒng)正常運(yùn)營(yíng)時(shí)能夠儲(chǔ)存可用信息，當(dāng)網(wǎng)絡(luò)系統(tǒng)遭受攻擊或病毒入侵時(shí)能夠快速恢復(fù)可用信息并再次使用的特征。

④可審查性。指廣播電視網(wǎng)絡(luò)信息交互過(guò)程中，可以確認(rèn)信息參與者的身份，以及參與者所提供的信息的真實(shí)同一性，并將信息存儲(chǔ)并記錄，使信息有相關(guān)的記錄可以查詢。

⑤可控性。網(wǎng)絡(luò)信息可控性是指在廣播電視網(wǎng)絡(luò)系統(tǒng)中任何信息的生成、傳播、輸出和具體內(nèi)容可以在一定范圍內(nèi)被管理控制的特性。

2.2.2廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)指標(biāo)體系構(gòu)建原則

廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)指標(biāo)體系的構(gòu)建不要遵循。廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)指標(biāo)的構(gòu)建基于以下原則：

①科學(xué)性原則。風(fēng)險(xiǎn)指標(biāo)體系的構(gòu)建要客觀真實(shí)的反映出廣播電視網(wǎng)絡(luò)信息系統(tǒng)的實(shí)際情況，風(fēng)險(xiǎn)指標(biāo)的選取必須要有正確性、全面性和可靠性，盡量防止人為因素的傾向性，從而建立科學(xué)合理的風(fēng)險(xiǎn)指標(biāo)體系。

②系統(tǒng)性原則。廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)不是每個(gè)單一風(fēng)險(xiǎn)的簡(jiǎn)單疊加，選取風(fēng)險(xiǎn)指標(biāo)時(shí)需考慮風(fēng)險(xiǎn)之間的相互關(guān)聯(lián)性和傳遞性。風(fēng)險(xiǎn)指標(biāo)要包含廣播電視網(wǎng)絡(luò)信息安全所涉及的各個(gè)方面，不僅要有影響到廣播電視播出安全的直接風(fēng)險(xiǎn)因素，還要有從側(cè)面導(dǎo)致播出隱患的間接風(fēng)險(xiǎn)因素。因此，要合理構(gòu)造廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)指標(biāo)體系層次結(jié)構(gòu)，層次之間每層上層指標(biāo)都要有相應(yīng)的下層指標(biāo)與其相對(duì)應(yīng)。

②實(shí)用性原則。所選風(fēng)險(xiǎn)指標(biāo)要有可操作性，應(yīng)與廣播電視網(wǎng)絡(luò)信息安全密切相關(guān)，并能夠正確反映廣播電視臺(tái)在網(wǎng)絡(luò)化建設(shè)過(guò)程中所遇到的問(wèn)題和不足。

2.3廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)指標(biāo)體系的構(gòu)建內(nèi)容

本文依據(jù)廣播電視網(wǎng)絡(luò)信息安全的特點(diǎn)構(gòu)建風(fēng)險(xiǎn)指標(biāo)體系，擬將廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)指標(biāo)體系分為三級(jí)指標(biāo)層。一級(jí)指標(biāo)層為廣播電視網(wǎng)絡(luò)信息安全總體風(fēng)險(xiǎn)組成，二級(jí)指標(biāo)層分別由網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)、技術(shù)安全風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、外部環(huán)境風(fēng)險(xiǎn)構(gòu)成，三級(jí)指標(biāo)層由影響各二級(jí)指標(biāo)的風(fēng)險(xiǎn)因素組成，如表2所示。

2.3.1網(wǎng)絡(luò)風(fēng)險(xiǎn)

主要是由黑客進(jìn)行網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒傳播帶來(lái)的風(fēng)險(xiǎn)，由于廣播電視影響范圍廣、傳播速度快的特點(diǎn)容易成為黑客組織攻擊的目標(biāo)，目前黑客不僅僅是個(gè)人行為，而是已經(jīng)形成組織嚴(yán)密的黑色產(chǎn)業(yè)。一旦廣播電視網(wǎng)絡(luò)受到黑客攻擊或病毒入侵會(huì)導(dǎo)致播出中斷、網(wǎng)絡(luò)信息泄露、篡改播出內(nèi)容等嚴(yán)重后果，甚至?xí)斐刹涣嫉纳鐣?huì)影響。

2.3.2技術(shù)安全風(fēng)險(xiǎn)

開(kāi)化廣播電視臺(tái)目前計(jì)算機(jī)所用的操作系統(tǒng)大部分比較落后，沒(méi)有及時(shí)更換最新系統(tǒng)，使系統(tǒng)漏洞增加，加大了網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)發(fā)生的可能性。同時(shí)系統(tǒng)的硬件配置僅僅以滿足當(dāng)前需要為主要目標(biāo)，未考慮與其他系統(tǒng)的兼容性，硬件配置良莠不齊，不能滿足網(wǎng)絡(luò)系統(tǒng)整體的安全防范能力。此外，部分設(shè)備存在老化現(xiàn)象，系統(tǒng)內(nèi)的核心設(shè)備、數(shù)據(jù)存儲(chǔ)設(shè)備等不能完成備份，可能會(huì)導(dǎo)致設(shè)備故障從而影響廣播電視臺(tái)節(jié)目的安全播出。因此技術(shù)安全風(fēng)險(xiǎn)由系統(tǒng)漏洞、硬件配置低和設(shè)備故障因素組成。

2.3.3管理風(fēng)險(xiǎn)

管理風(fēng)險(xiǎn)是由人員素質(zhì)、管理不規(guī)范、操作流程不完善和應(yīng)急預(yù)案缺陷帶來(lái)的風(fēng)險(xiǎn)。目前廣播電視臺(tái)缺乏有效的管理體系和管理部門，不能規(guī)范的管理網(wǎng)絡(luò)系統(tǒng)中各安全控制組件，沒(méi)有及時(shí)更新網(wǎng)絡(luò)化管理操作流程，人員缺少網(wǎng)絡(luò)安全意識(shí)，安全防護(hù)水平較低不能有效的保護(hù)網(wǎng)絡(luò)信息安全，沒(méi)有建立完善的應(yīng)急預(yù)案，當(dāng)風(fēng)險(xiǎn)發(fā)生時(shí)不能快速降低風(fēng)險(xiǎn)損失，這些因素都會(huì)加大管理風(fēng)險(xiǎn)發(fā)生的概率。

2.3.4外部環(huán)境風(fēng)險(xiǎn)

外部環(huán)境風(fēng)險(xiǎn)是由自然災(zāi)害、人為破壞和系統(tǒng)規(guī)模膨脹帶來(lái)的風(fēng)險(xiǎn)。自然災(zāi)害如雷電、供水、火災(zāi)、地震等發(fā)生后會(huì)破壞網(wǎng)絡(luò)設(shè)施從引發(fā)風(fēng)險(xiǎn)。人為破壞包括對(duì)網(wǎng)絡(luò)設(shè)施的損毀、對(duì)網(wǎng)絡(luò)信息系統(tǒng)的惡意攻擊等行為，系統(tǒng)規(guī)模膨脹是指隨著廣播電視網(wǎng)絡(luò)化進(jìn)程的發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，各個(gè)系統(tǒng)之間節(jié)點(diǎn)互聯(lián)互通、一旦關(guān)鍵節(jié)點(diǎn)出故障會(huì)影響到整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行，發(fā)生播出故障的幾率不斷加大。

3基于系統(tǒng)動(dòng)力學(xué)的廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)模型

3.1系統(tǒng)動(dòng)力學(xué)理論

系統(tǒng)動(dòng)力學(xué)是一門分析研究信息反饋系統(tǒng)的學(xué)科，也是基于系統(tǒng)論、信息論和控制論來(lái)認(rèn)識(shí)系統(tǒng)問(wèn)題并解決系統(tǒng)問(wèn)題的綜合性學(xué)科[5]。系統(tǒng)動(dòng)力學(xué)中，通過(guò)因果反饋關(guān)系建立各級(jí)風(fēng)險(xiǎn)指標(biāo)之間的關(guān)系，識(shí)別出可能引發(fā)不同風(fēng)險(xiǎn)的相同風(fēng)險(xiǎn)因素以及所造成的風(fēng)險(xiǎn)后果，有利于管理者制定理想的風(fēng)險(xiǎn)管理流程，并直觀的了解風(fēng)險(xiǎn)的演化過(guò)程和控制情況。并且根據(jù)廣播電視臺(tái)網(wǎng)絡(luò)化的發(fā)展情況可以在系統(tǒng)動(dòng)力學(xué)模型中增加新的風(fēng)險(xiǎn)因素，不斷優(yōu)化風(fēng)險(xiǎn)管理模型。

3.2廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因果反饋圖

應(yīng)用系統(tǒng)動(dòng)力學(xué)軟件Vensim建立廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因果反饋模型，如圖1所示。廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)類型主要為網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)、技術(shù)安全風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)和外部環(huán)境風(fēng)險(xiǎn)。通過(guò)圖1可以直觀的發(fā)現(xiàn)引發(fā)多項(xiàng)風(fēng)險(xiǎn)的因素主要有以下五種：一是人員素質(zhì)，廣播電視臺(tái)人員素質(zhì)的提高，不僅有效的提高管理效率，也可以提升人員對(duì)于網(wǎng)絡(luò)信息安全的認(rèn)識(shí)，從而降低管理風(fēng)險(xiǎn)的可能。二是管理不規(guī)范，形成系統(tǒng)的管理體系并建立相關(guān)網(wǎng)絡(luò)信息安全部門，統(tǒng)一管理網(wǎng)絡(luò)軟硬件設(shè)施和網(wǎng)絡(luò)信息安全防護(hù)可以有效的降低管理風(fēng)險(xiǎn)和技術(shù)安全風(fēng)險(xiǎn)。三是網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒，提高網(wǎng)絡(luò)安全防護(hù)等級(jí)，確實(shí)防止網(wǎng)絡(luò)風(fēng)險(xiǎn)和技術(shù)安全風(fēng)險(xiǎn)的發(fā)生。第四是自然災(zāi)害和人為破壞，提高相應(yīng)的預(yù)防措施可防止因設(shè)備故障導(dǎo)致播出中斷事故的發(fā)生。第五是系統(tǒng)漏洞，完善廣播電視臺(tái)計(jì)算機(jī)操作系統(tǒng)，對(duì)系統(tǒng)不斷調(diào)整和升級(jí)，從而減少網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒等網(wǎng)絡(luò)風(fēng)險(xiǎn)和技術(shù)安全風(fēng)險(xiǎn)。

運(yùn)用系統(tǒng)動(dòng)力學(xué)風(fēng)險(xiǎn)因果反饋圖模型，加強(qiáng)對(duì)人員素質(zhì)、管理不規(guī)范、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒、自然災(zāi)害和人為破壞、系統(tǒng)漏洞這五種主要風(fēng)險(xiǎn)點(diǎn)進(jìn)行有效控制和防范，就會(huì)增強(qiáng)廣播電視臺(tái)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)、技術(shù)安全風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)和外部環(huán)境風(fēng)險(xiǎn)的管理控制，從而增強(qiáng)單位防控風(fēng)險(xiǎn)的能力。

4研究結(jié)論

本文在研究網(wǎng)絡(luò)信息安全的概念、理論等的基礎(chǔ)上，結(jié)合廣播電視網(wǎng)絡(luò)信息安全現(xiàn)狀建立了廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)指標(biāo)體系，總結(jié)分析了養(yǎng)老社區(qū)項(xiàng)目社會(huì)效益評(píng)價(jià)常用方法，取得如下研究成果：

①在網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)研究的基礎(chǔ)上篩選出對(duì)廣播電視網(wǎng)絡(luò)信息安全影響較大的風(fēng)險(xiǎn)因素，并系統(tǒng)地建立了廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)指標(biāo)體系，主要由網(wǎng)絡(luò)風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、技術(shù)安全風(fēng)險(xiǎn)和外部環(huán)境風(fēng)險(xiǎn)以及相應(yīng)三級(jí)風(fēng)險(xiǎn)構(gòu)成。

②利用系統(tǒng)動(dòng)力學(xué)在風(fēng)險(xiǎn)演化和管理方面的優(yōu)勢(shì)，構(gòu)建廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因果反饋模型，分析了風(fēng)險(xiǎn)因素之間的相關(guān)關(guān)系，提出需對(duì)人員素質(zhì)、管理不規(guī)范、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒、自然災(zāi)害和人為破壞、系統(tǒng)漏洞這五種風(fēng)險(xiǎn)因素重點(diǎn)防控。

③目前用于廣播電視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)研究較少，本文只建立了風(fēng)險(xiǎn)指標(biāo)體系，仍需要對(duì)風(fēng)險(xiǎn)演化方面做進(jìn)一步深入研究。

參考文獻(xiàn)： 

[1]袁愛(ài)軍.國(guó)內(nèi)企業(yè)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)分析[J].中國(guó)石油和化工標(biāo)準(zhǔn)與質(zhì)量，2011，31（10）：279. 

[2]李蘭瑛，李曉蕓.一種基于層次模型的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)灰色評(píng)估方法[J].科學(xué)技術(shù)與工程，2010，10（02）：540-545. 

[3]袁亮.網(wǎng)絡(luò)時(shí)代下企業(yè)信息安全風(fēng)險(xiǎn)和控制[J].中國(guó)管理信息化，2015，18（17）：72-73. 

[4]吉嵐，辛欣.高校網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)分析及對(duì)策探討——以赤峰學(xué)院為例[J].赤峰學(xué)院學(xué)報(bào)（自然科學(xué)版），2016，32（20）：200-202. 

第6篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

關(guān)鍵詞:網(wǎng)絡(luò)安全;防范體系;IP專用網(wǎng)絡(luò)

1 前言

隨著計(jì)算機(jī)及其網(wǎng)絡(luò)的迅速發(fā)展,跨區(qū)IP專用網(wǎng)絡(luò)成為對(duì)內(nèi)管理和對(duì)外交流必不可少的平臺(tái)。跨區(qū)IP專用網(wǎng)絡(luò)在滿足信息資源共享需求的同時(shí),隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。如何有效降低跨區(qū)IP專用網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)的安全風(fēng)險(xiǎn)、提高跨區(qū)網(wǎng)絡(luò)安全水平成為網(wǎng)絡(luò)建設(shè)的重點(diǎn)。

2 跨區(qū)IP專用網(wǎng)絡(luò)安全需求分析

2.1 跨區(qū)IP專用網(wǎng)絡(luò)安全現(xiàn)狀

(1)網(wǎng)絡(luò)自身存在缺陷。IP專用網(wǎng)絡(luò)賴以生存的TCP/IP協(xié)議,缺乏相應(yīng)的安全機(jī)制,而且因特網(wǎng)最初的設(shè)計(jì)考慮是不會(huì)因局部故障而影響信息的傳輸,基本沒(méi)有考慮安全問(wèn)題。因此,它在安全可靠性、服務(wù)質(zhì)量等方面存在著不適應(yīng)性。

(2)操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞。網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機(jī)系統(tǒng)的安全性,而主機(jī)系統(tǒng)的安全性正是由操作系統(tǒng)的安全性所決定的。

(3)網(wǎng)絡(luò)病毒。目前大多數(shù)病毒具有傳播速度極快,擴(kuò)散廣,不易防范,難于徹底清除等特點(diǎn)。

(4)黑客入侵。黑客通過(guò)對(duì)邏輯漏洞進(jìn)行挖掘,通過(guò)欺騙,信息搜集的方法,從薄弱環(huán)節(jié)入手,迅速地完成對(duì)網(wǎng)絡(luò)用戶身份的竊取,進(jìn)而完成對(duì)整個(gè)網(wǎng)絡(luò)的攻擊,造成內(nèi)部信息甚至機(jī)密被泄露。

(5)網(wǎng)絡(luò)內(nèi)部威脅。網(wǎng)絡(luò)安全的威脅可以來(lái)自內(nèi)部網(wǎng),可能會(huì)因?yàn)榫W(wǎng)內(nèi)管理人員安全意識(shí)不強(qiáng),管理制度不健全,帶來(lái)內(nèi)部網(wǎng)絡(luò)的威脅。

2.2 跨地區(qū)IP專用網(wǎng)絡(luò)安全需求

在網(wǎng)絡(luò)正常運(yùn)行時(shí),受到攻擊,能夠保證網(wǎng)絡(luò)系統(tǒng)繼續(xù)運(yùn)行,網(wǎng)絡(luò)管理系統(tǒng)設(shè)置等重要資料不被破壞。具有先進(jìn)的入侵防范體系,對(duì)惡意行為能夠及時(shí)發(fā)現(xiàn)、記錄和跟蹤。訪問(wèn)控制和身份認(rèn)證機(jī)制確保應(yīng)用系統(tǒng)不被非法訪問(wèn)。系統(tǒng)和數(shù)據(jù)在遭到破壞時(shí)能及時(shí)恢復(fù)。

3 建立跨地區(qū)IP專用網(wǎng)立體安全防范體系

3.1 安全組件

(1)路由器。路由器是架構(gòu)網(wǎng)絡(luò)的第一層設(shè)備,路由器必須安裝必要的過(guò)濾規(guī)則,濾掉被屏蔽的IP地址和服務(wù)。路由器也可以過(guò)濾服務(wù)協(xié)議,屏蔽有安全隱患的協(xié)議。

(2)入侵監(jiān)測(cè)系統(tǒng)。入侵監(jiān)測(cè)系統(tǒng)是被動(dòng)的,它監(jiān)測(cè)網(wǎng)絡(luò)上所有的包,捕捉危險(xiǎn)或有惡意的動(dòng)作,并及時(shí)發(fā)出警告信息。

(3)防火墻。防火墻可防止“黑客”進(jìn)入網(wǎng)絡(luò)的防御體系,可以限制外部用戶進(jìn)入內(nèi)部網(wǎng),同時(shí)過(guò)濾掉危及網(wǎng)絡(luò)的不安全服務(wù),拒絕非法用戶的進(jìn)入。

(4)物理隔離與信息交換系統(tǒng)(網(wǎng)閘)。它保證內(nèi)部網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)物理隔斷,能夠阻止各種已知和未知的網(wǎng)絡(luò)層和操作系統(tǒng)層攻擊,提供比防火墻、入侵檢測(cè)等技術(shù)更好的安全性能。

(5)交換機(jī)。訪問(wèn)控制對(duì)于交換機(jī)就是利用訪問(wèn)控制列表ACL來(lái)實(shí)現(xiàn)用戶對(duì)數(shù)據(jù)包按照源和目的地址、協(xié)議、源和目的端口等各項(xiàng)的不同要求進(jìn)行篩選和過(guò)濾。

(6)應(yīng)用系統(tǒng)的認(rèn)證和授權(quán)支持。在輸入級(jí)、對(duì)話路徑級(jí)和事務(wù)處理三級(jí)做到無(wú)漏洞。集成的系統(tǒng)要具有良好的恢復(fù)能力,保證系統(tǒng)避免因受攻擊而導(dǎo)致的癱瘓、數(shù)據(jù)破壞或丟失。

(7)操作系統(tǒng)的安全。不安裝或刪除不必要使用的系統(tǒng)組件。關(guān)閉所有不使用的服務(wù)和端口,并清除不使用的磁盤文件。

(8)病毒防護(hù)。網(wǎng)絡(luò)病毒網(wǎng)關(guān)與網(wǎng)絡(luò)版的查殺病毒軟件相結(jié)合,構(gòu)成了較為完整的病毒防護(hù)體系,能有效地控制病毒的傳播,保證網(wǎng)絡(luò)的安全穩(wěn)定。

3.2 安全環(huán)節(jié)

這是很多系統(tǒng)平臺(tái)本身就提供的,如操作系統(tǒng)或者數(shù)據(jù)庫(kù),有效地發(fā)揮這些環(huán)節(jié)的作用有時(shí)候會(huì)起到意想不到的效果。

(1)身份標(biāo)識(shí)和鑒別。計(jì)算機(jī)初始執(zhí)行時(shí),首先要求用戶標(biāo)識(shí)身份,提供證明依據(jù),計(jì)算機(jī)系統(tǒng)對(duì)其進(jìn)行鑒別。

(2)訪問(wèn)控制。訪問(wèn)控制分為“自主訪問(wèn)控制”和“強(qiáng)制訪問(wèn)控制”兩種。自主訪問(wèn)控制Unix和Windows NT操作系統(tǒng)都使用DAC。強(qiáng)制訪問(wèn)控制可以防范特洛伊木馬和用戶濫用權(quán)限,具有更高的安全性。

(3)審計(jì)。審計(jì)是一個(gè)被信任的機(jī)制。安全系統(tǒng)使用審計(jì)把它的活動(dòng)記錄下來(lái)。審計(jì)系統(tǒng)記錄的信息應(yīng)包括主題和對(duì)象的標(biāo)識(shí)、訪問(wèn)權(quán)限請(qǐng)求、日期和時(shí)間、參考請(qǐng)求結(jié)果(成功或失敗)。

3.3 安全機(jī)制

安全機(jī)制采用了更有針對(duì)性的技術(shù)來(lái)提高系統(tǒng)安全的可控性,它們是建立高度安全的信息系統(tǒng)必不可少的。

(1)安全審核。安全審核通過(guò)改善系統(tǒng)中的基本安全環(huán)節(jié)的實(shí)現(xiàn)(包括安全機(jī)制的實(shí)現(xiàn)和使用)達(dá)到增強(qiáng)安全性的目的,典型的產(chǎn)品如網(wǎng)絡(luò)掃描器。

(2)信息加密。包括可信系統(tǒng)內(nèi)部的加密存儲(chǔ)以及跨越不可信系統(tǒng)在可信系統(tǒng)間傳輸受控信息的機(jī)制。通常使用信息加密技術(shù)以及建立在加密和通道技術(shù)上的VPN系統(tǒng)。

(3)災(zāi)難恢復(fù)。定期對(duì)重要數(shù)據(jù)進(jìn)行備份,在系統(tǒng)出現(xiàn)故障時(shí),仍然能保證重要數(shù)據(jù)準(zhǔn)確無(wú)誤。

4 結(jié)束語(yǔ)

保障跨區(qū)IP專用網(wǎng)絡(luò)安全、有效運(yùn)行,既是一個(gè)技術(shù)問(wèn)題,也是一個(gè)管理問(wèn)題。除了采用上述技術(shù)措施之外,還要加強(qiáng)網(wǎng)絡(luò)安全管理、制定規(guī)章制度、制定操作使用規(guī)程、制定應(yīng)急措施、提高工作人員的保密觀念和責(zé)任心、加強(qiáng)業(yè)務(wù)培訓(xùn),這樣,網(wǎng)絡(luò)安全防范體系才能發(fā)揮更大效能。

參考文獻(xiàn)

第7篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

關(guān)鍵詞：局域網(wǎng)　安全體系　立體防御

1、案例背景

哈爾濱經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)管理委員會(huì)(以下簡(jiǎn)稱“哈經(jīng)開(kāi)區(qū)”)管理大廈內(nèi)部網(wǎng)絡(luò)經(jīng)過(guò)幾年建設(shè)，已經(jīng)實(shí)現(xiàn)千兆到樓、百兆到桌面的寬帶網(wǎng)絡(luò)數(shù)據(jù)傳輸；該區(qū)建有完善的網(wǎng)絡(luò)數(shù)據(jù)中心，完善的網(wǎng)絡(luò)通信設(shè)備和網(wǎng)絡(luò)服務(wù)器系統(tǒng)。采用高速交換技術(shù)，建立方便快捷靈活多變的信息通信平臺(tái)，提升了辦公效率，節(jié)省了人們的勞動(dòng)量，但是也帶來(lái)了一定的網(wǎng)絡(luò)安全問(wèn)題，增加了網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。為此，要保證網(wǎng)絡(luò)的安全運(yùn)行，必須要有一套與之配套的可操作的計(jì)算機(jī)病毒解決措施和應(yīng)對(duì)方案。構(gòu)建一個(gè)統(tǒng)一的有效的切實(shí)的可行的網(wǎng)絡(luò)安全防御體系，有效的防止和應(yīng)對(duì)病毒攻擊和入侵。

2、案例分析

本文從哈經(jīng)開(kāi)區(qū)網(wǎng)絡(luò)安全的實(shí)際情況以及防御運(yùn)行的實(shí)際情況進(jìn)行分析：

2.1局域網(wǎng)維護(hù)工作量日益加重，計(jì)算機(jī)病毒日益猖狂

最初建立計(jì)算機(jī)網(wǎng)絡(luò)的時(shí)候，采用了國(guó)內(nèi)比較著名的防病毒軟件，比如金山毒霸，瑞星殺毒等等。但是都不盡如人意。局域網(wǎng)中計(jì)算機(jī)病毒傳播和感染的事情仍然時(shí)有發(fā)生。計(jì)算機(jī)網(wǎng)絡(luò)的維護(hù)人員要忙于清理計(jì)算機(jī)病毒、重新安裝操作系統(tǒng)或者安裝相關(guān)的應(yīng)用軟件。

計(jì)算機(jī)病毒的頑固性存在多個(gè)方面，首先，計(jì)算機(jī)病毒自身具有較快的傳播性和較強(qiáng)的可執(zhí)行性。同時(shí)，計(jì)算機(jī)病毒還有其他一些典型的特點(diǎn)。一是傳播速度非常快。在政府部門局域網(wǎng)環(huán)境下，計(jì)算機(jī)病毒可以利用各種介質(zhì)，通過(guò)局域網(wǎng)迅速的進(jìn)行傳播下去。而且傳播的方位非常的廣泛，在局域網(wǎng)模式下的病毒要遠(yuǎn)遠(yuǎn)比在單機(jī)模式下的病毒難以應(yīng)付。很多在單機(jī)模式下可以輕易殺除的病毒，在局域網(wǎng)模式下往往力不從心。而且病毒的破壞性非常大，一旦病毒襲擊了政府的辦公網(wǎng)絡(luò)，就會(huì)影響到政府的正常的工作。而且很多時(shí)候，病毒常常造成政府的辦公網(wǎng)絡(luò)崩潰，整個(gè)電腦系統(tǒng)的數(shù)據(jù)被盜取或者丟失。二是激發(fā)條件很多。通過(guò)局域網(wǎng)，病毒的隱蔽性得到大大的提升。計(jì)算機(jī)網(wǎng)絡(luò)病毒可以通過(guò)多種途徑和方式進(jìn)行激發(fā)，例如可以通過(guò)內(nèi)部時(shí)鐘或者計(jì)算機(jī)上的系統(tǒng)日期等。三是計(jì)算機(jī)網(wǎng)絡(luò)病毒的潛在危險(xiǎn)非常大，在局域網(wǎng)中，一旦計(jì)算機(jī)網(wǎng)絡(luò)被感染病毒，即使后來(lái)病毒被清除，但仍然可能有病毒潛伏在電腦中，而且被感染的病毒再次發(fā)生被感染的概率非常的高。

2.2多種因素引發(fā)病毒，網(wǎng)絡(luò)安全意識(shí)亟待提高

(1)從主觀因素考慮，主要是由于部分用戶缺乏安全上網(wǎng)意識(shí)。要么電腦上沒(méi)有安裝殺毒軟件或安裝過(guò)期的殺毒軟件，要么就是不對(duì)操作系統(tǒng)升級(jí)，在網(wǎng)上下載東西的時(shí)候沒(méi)有注意，訪問(wèn)不安全的網(wǎng)站等。這是誘發(fā)計(jì)算機(jī)病毒的一個(gè)重要原因。(2)從客觀上來(lái)講，病毒防御系統(tǒng)技術(shù)的提升跟不上計(jì)算機(jī)病毒技術(shù)的變化。防御病毒系統(tǒng)功能因多方面原因，未能及時(shí)換代，可終端結(jié)點(diǎn)不夠，使得個(gè)別終端結(jié)點(diǎn)不能對(duì)操作系統(tǒng)進(jìn)行升級(jí)。(3)政府部門的工作人員，有些由于計(jì)算機(jī)基礎(chǔ)知識(shí)薄弱，對(duì)計(jì)算機(jī)的認(rèn)識(shí)僅僅限于使用水平，沒(méi)有較強(qiáng)的計(jì)算機(jī)操作能力和病毒文件識(shí)別能力，遇到病毒時(shí)處理遲緩等。

3、保障措施

為確保哈經(jīng)區(qū)計(jì)算機(jī)網(wǎng)絡(luò)的安全有效運(yùn)行，區(qū)委會(huì)信息中心先后從是三個(gè)不同的方面采取了措施來(lái)確保全委計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行和安全，首先是重新改造和劃分VLAN，通過(guò)在使用中發(fā)現(xiàn)的問(wèn)題進(jìn)行分析改造，以樓層為單位進(jìn)行劃分的原則，對(duì)整個(gè)局域網(wǎng)的布局進(jìn)行重新的劃分，劃分成為不同的VLAN。這種劃分，有效的限制了病毒傳播的范圍，減小了病毒傳播危害的區(qū)域。解決了以往一旦一臺(tái)計(jì)算機(jī)受到病毒感染整個(gè)局域網(wǎng)都癱瘓的問(wèn)題。其次是加強(qiáng)網(wǎng)絡(luò)安全檢查機(jī)制。定期派技術(shù)人員對(duì)對(duì)客戶端軟件安全情況進(jìn)行跟蹤監(jiān)控，及時(shí)發(fā)現(xiàn)客戶端安裝的軟件，對(duì)與業(yè)務(wù)工作無(wú)關(guān)的游戲、盜版軟件能做到“三及時(shí)”，即及時(shí)跟蹤、及時(shí)發(fā)現(xiàn)、及時(shí)控制。最后是對(duì)工作人員進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)和教育，從思想上和習(xí)慣上加強(qiáng)工作人員的防毒殺毒意識(shí)。

基于上述分析，從整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的整體考慮，要想實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)體系防病毒體系的真正安全，必須要從技術(shù)和管理兩個(gè)方面抓起，通過(guò)行政決策和遠(yuǎn)期效應(yīng)的科學(xué)統(tǒng)一。

3.1利用軟件技術(shù)，構(gòu)建病毒防御體系

如何靈活運(yùn)用軟件技術(shù)是確保計(jì)算機(jī)網(wǎng)絡(luò)安全所面臨的一個(gè)重要課題，要實(shí)現(xiàn)“層層設(shè)防、集中控管、以防為主、防殺結(jié)合”的目標(biāo)，構(gòu)建局域網(wǎng)病毒立體防御體系，通過(guò)實(shí)施的防毒策略，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)全方位、多層次的立體病毒防護(hù)，為系統(tǒng)和數(shù)據(jù)安全提供強(qiáng)有力的保證。建設(shè)的主要內(nèi)容包括：防病毒體系的構(gòu)建必須把整個(gè)網(wǎng)器、防病毒工作站等硬件設(shè)備的多層次防御，縱向上構(gòu)建基于單機(jī)用戶，橫向上基于網(wǎng)絡(luò)整體。病毒防護(hù)軟件必須具有網(wǎng)絡(luò)建設(shè)基于系統(tǒng)防病毒、郵件防病毒版的概念，即擁有防病毒控制中心和客戶端自動(dòng)防用系統(tǒng)的全方位保護(hù)，用戶提供一個(gè)覆蓋面廣、操作簡(jiǎn)便、集防毒、查毒、殺毒于一身的立體病毒防御體系。

3.2從管理措施和制度上確保計(jì)算機(jī)網(wǎng)絡(luò)的安全

如何進(jìn)一步加強(qiáng)和提高工作人員的安全使用計(jì)算機(jī)意識(shí)是管委會(huì)的一個(gè)重要工作。通過(guò)構(gòu)建立體化的計(jì)算機(jī)病毒防御體系，可以實(shí)現(xiàn)在軟件和硬件層次上計(jì)算機(jī)網(wǎng)絡(luò)的安全。在次基礎(chǔ)上，要加大信息安全的宣傳和教育力度，定期對(duì)工作人員進(jìn)行專業(yè)培訓(xùn)，通過(guò)普及計(jì)算機(jī)基礎(chǔ)知識(shí)，強(qiáng)化計(jì)算機(jī)安全意識(shí)，強(qiáng)化殺毒方面的技能的培訓(xùn)工作來(lái)確保網(wǎng)絡(luò)安全和防病毒體系的建立。

第8篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

【關(guān)鍵詞】思科設(shè)備；網(wǎng)絡(luò)一體化安全體系

目前社會(huì)已經(jīng)進(jìn)入信息時(shí)代，互聯(lián)網(wǎng)在全球范圍內(nèi)得到廣泛的應(yīng)用，具有很強(qiáng)的開(kāi)放性和傳播性，為黑客的非法入侵提供了條件，對(duì)企業(yè)的網(wǎng)絡(luò)帶來(lái)了越來(lái)越多的安全隱患。企業(yè)應(yīng)該利用先進(jìn)的網(wǎng)絡(luò)技術(shù)和設(shè)備，特別是思科設(shè)備，構(gòu)建網(wǎng)絡(luò)一體化安全體系，為企業(yè)的網(wǎng)絡(luò)安全提供技術(shù)支撐。

一、企業(yè)面臨的網(wǎng)絡(luò)安全隱患分析

在企業(yè)的網(wǎng)絡(luò)體系中，造成安全隱患的因素一般都是外界的非法入侵和攻擊，但是其風(fēng)險(xiǎn)歸根到底還在于企業(yè)的網(wǎng)絡(luò)安全體系存在漏洞，為攻擊者提供了機(jī)會(huì)，而且企業(yè)的管理人員對(duì)網(wǎng)絡(luò)安全重視不足，目前企業(yè)面臨的網(wǎng)絡(luò)安全隱患具體包括以下幾點(diǎn)：

（一）系統(tǒng)漏洞隱患

網(wǎng)絡(luò)上產(chǎn)生的病毒和黑客的侵入都是通過(guò)網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的，網(wǎng)絡(luò)協(xié)議對(duì)安全技術(shù)要求較少，所以攻擊者便有機(jī)會(huì)入侵企業(yè)網(wǎng)絡(luò)系統(tǒng)。目前我國(guó)大部分企業(yè)的網(wǎng)絡(luò)系統(tǒng)都是基于IP協(xié)議建設(shè)的，設(shè)置較為簡(jiǎn)單，沒(méi)有重視網(wǎng)絡(luò)安全，黑客很容易通過(guò)該協(xié)議找到系統(tǒng)漏洞，對(duì)企業(yè)的整個(gè)網(wǎng)絡(luò)系統(tǒng)造成威脅，破壞了系統(tǒng)的穩(wěn)定性和可靠性。而且近年來(lái)針對(duì)系統(tǒng)漏洞的病毒多種多樣，企業(yè)很難對(duì)其進(jìn)行把控。企業(yè)必須加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的防御，升級(jí)網(wǎng)絡(luò)設(shè)備，采用具有防病毒功能的設(shè)備，降低非法入侵的風(fēng)險(xiǎn)。

（二）網(wǎng)絡(luò)擁堵

造成網(wǎng)絡(luò)擁堵的原因是企業(yè)網(wǎng)絡(luò)系統(tǒng)的用戶對(duì)網(wǎng)絡(luò)資源的需求遠(yuǎn)遠(yuǎn)大于網(wǎng)絡(luò)系統(tǒng)的固有容量，形成了持續(xù)的網(wǎng)絡(luò)過(guò)載狀況。基于互聯(lián)網(wǎng)體系的網(wǎng)絡(luò)資源共享中，如果沒(méi)有對(duì)資源的使用進(jìn)行請(qǐng)求許可設(shè)置，多個(gè)IP分組同時(shí)到達(dá)一個(gè)路由器，并經(jīng)同一輸出端口轉(zhuǎn)發(fā)，就會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)擁堵現(xiàn)象。所以，必須利用先進(jìn)的新型路由器設(shè)備，提高路由器端口的傳輸速度，有效緩解網(wǎng)絡(luò)擁堵現(xiàn)象。

（三）網(wǎng)絡(luò)安全知識(shí)缺乏

基層企業(yè)員工的網(wǎng)絡(luò)安全知識(shí)十分匱乏，網(wǎng)絡(luò)安全意識(shí)較低，導(dǎo)致個(gè)人信息和企業(yè)機(jī)密的泄漏，如果被不法分子利用，就會(huì)對(duì)企業(yè)造成巨大危害，十分不利于企業(yè)的競(jìng)爭(zhēng)和發(fā)展。企業(yè)要增強(qiáng)員工的網(wǎng)絡(luò)安全知識(shí)，讓員工管理好自己的登錄密碼，對(duì)自己的文件資料負(fù)責(zé)，設(shè)置訪問(wèn)權(quán)限，在于互聯(lián)網(wǎng)信息鏈接時(shí)，確保沒(méi)有受到病毒或木馬的攻擊，運(yùn)行安全的程序和軟件，在獲取互聯(lián)網(wǎng)資源時(shí)時(shí)刻保持高度警惕，防止病毒入侵，加強(qiáng)對(duì)防病毒軟件的使用。

（四）網(wǎng)絡(luò)安全管理體系不健全

目前我國(guó)大部分企業(yè)都沒(méi)有建立完善的網(wǎng)絡(luò)安全管理體系，缺乏強(qiáng)制的網(wǎng)絡(luò)安全管理制度。保證企業(yè)的網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全和企業(yè)機(jī)密不被竊取，除了加大對(duì)網(wǎng)絡(luò)系統(tǒng)的建設(shè)投入，更新網(wǎng)絡(luò)設(shè)備之外，還需要加強(qiáng)對(duì)網(wǎng)絡(luò)安全的管理。企業(yè)要制定規(guī)范的網(wǎng)絡(luò)安全管理制度，加強(qiáng)對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)使用和安全管理的培訓(xùn)，將技術(shù)手段與管理手段相結(jié)合，為企業(yè)構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境提供制度保障。

二、基于思科設(shè)備的網(wǎng)絡(luò)一體化安全體系的構(gòu)建

思科設(shè)備是世界先進(jìn)的網(wǎng)絡(luò)專業(yè)設(shè)備，能夠針對(duì)企業(yè)的網(wǎng)絡(luò)安全隱患，構(gòu)建一體化的安全體系，為企業(yè)網(wǎng)絡(luò)安全困境提供良好的解決方案。具體措施包括以下幾個(gè)方面：

（一）完整的網(wǎng)絡(luò)安全架構(gòu)

思科設(shè)備在網(wǎng)絡(luò)產(chǎn)品方面具有雄厚的技術(shù)積累和實(shí)踐應(yīng)用，能夠構(gòu)建一個(gè)完整的網(wǎng)絡(luò)安全架構(gòu)，并能針對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)的特性和實(shí)際運(yùn)用狀況對(duì)其進(jìn)行劃分，將企業(yè)網(wǎng)絡(luò)系統(tǒng)細(xì)分為便于分析的不同模塊。首先，將原先復(fù)雜的企業(yè)網(wǎng)絡(luò)系統(tǒng)架構(gòu)分為緊密聯(lián)系的部分，包括企業(yè)園區(qū)網(wǎng)、企業(yè)邊緣和服務(wù)供應(yīng)商邊緣，這是新的網(wǎng)絡(luò)架構(gòu)的基本層次，在這個(gè)層次的基礎(chǔ)之上，又將這三大塊進(jìn)一步細(xì)分為若干功能模塊，這些特定的功能模塊有其具體的功能和安全需求。例如，可以將企業(yè)園區(qū)網(wǎng)進(jìn)一步細(xì)化，分為核心模塊、構(gòu)建模塊、管理模塊、服務(wù)器模塊和邊緣模塊，每個(gè)模塊都有自己特定的目標(biāo)和功能。其中核心模塊能夠?qū)⑵髽I(yè)的信息迅速?gòu)囊粋€(gè)網(wǎng)絡(luò)傳輸至另一個(gè)網(wǎng)絡(luò)空間，并能進(jìn)行信息數(shù)據(jù)的交換，其安全功能是對(duì)分組竊聽(tīng)風(fēng)險(xiǎn)的有效緩解；管理模塊保證企業(yè)網(wǎng)絡(luò)安全系統(tǒng)和網(wǎng)絡(luò)主機(jī)及設(shè)備的安全運(yùn)行，對(duì)網(wǎng)絡(luò)安全進(jìn)行管理，能夠利用防火墻有效阻止未經(jīng)企業(yè)授權(quán)的訪問(wèn)，減少數(shù)據(jù)穿過(guò)網(wǎng)絡(luò)時(shí)可能受到的攻擊，同時(shí)能夠降低電子欺詐、分組竊聽(tīng)和竊取信任關(guān)系進(jìn)行攻擊的頻率；構(gòu)建模塊可以對(duì)構(gòu)建交換機(jī)提供不同層次的服務(wù)，對(duì)路由器的訪問(wèn)和交換機(jī)的服務(wù)質(zhì)量進(jìn)行控制，該模塊能夠?qū)ξ词跈?quán)的訪問(wèn)進(jìn)行三層過(guò)濾，并能過(guò)濾電子欺詐，對(duì)分組竊聽(tīng)進(jìn)行限制，從而實(shí)現(xiàn)安全功能。

（二）制定完善的網(wǎng)絡(luò)安全方案和策略

利用思科設(shè)備和技術(shù)，企業(yè)要制定旨在創(chuàng)造網(wǎng)絡(luò)安全環(huán)境的網(wǎng)絡(luò)安全計(jì)劃，提出具體有效的網(wǎng)絡(luò)安全方案和策略，為構(gòu)建一體化的網(wǎng)絡(luò)安全體系提供保障。其中包括以下兩個(gè)方面：

1.路由器安全策略

路由器的企業(yè)網(wǎng)絡(luò)系統(tǒng)的核心組成部分，路由器的配置對(duì)網(wǎng)絡(luò)的安全運(yùn)行具有很大影響，所以只能容許經(jīng)過(guò)授權(quán)的主機(jī)登錄路由器。要對(duì)路由器進(jìn)行全局配置，設(shè)置標(biāo)準(zhǔn)的訪問(wèn)控制程序，并將其應(yīng)用到所有虛接口上，確保授權(quán)主機(jī)的遠(yuǎn)程登錄且能夠?qū)β酚善髋渲眠M(jìn)行修改和完善。

2.交換機(jī)安全策略

首先，要為交換機(jī)配置私有的IP地址，阻止非本企業(yè)的主機(jī)對(duì)交換機(jī)的訪問(wèn)。同時(shí)，將企業(yè)內(nèi)部所有的交換機(jī)放在同一個(gè)虛擬網(wǎng)之中；其次，對(duì)允許訪問(wèn)交換機(jī)的主機(jī)進(jìn)行配置，即只允許企業(yè)內(nèi)特定的主機(jī)對(duì)交換機(jī)所在的虛擬網(wǎng)進(jìn)行訪問(wèn)，而企業(yè)其他的主機(jī)也不能訪問(wèn)虛擬網(wǎng)和交換機(jī)；再次，對(duì)允許遠(yuǎn)程登錄交換機(jī)的主機(jī)進(jìn)行配置，限制允許訪問(wèn)的主機(jī)遠(yuǎn)程登錄交換機(jī)，而且只有經(jīng)過(guò)企業(yè)授權(quán)的主機(jī)才能對(duì)配置的參數(shù)進(jìn)行修改，在對(duì)交換機(jī)進(jìn)行全局配置之后，設(shè)置標(biāo)準(zhǔn)的訪問(wèn)程序。

總結(jié)：

綜上所述，掌握世界先進(jìn)技術(shù)的思科設(shè)備，能夠?yàn)槠髽I(yè)的網(wǎng)絡(luò)安全提供保障，促進(jìn)企業(yè)一體化網(wǎng)絡(luò)安全體系的構(gòu)建。企業(yè)的管理人員和網(wǎng)絡(luò)技術(shù)人員還需要對(duì)維護(hù)企業(yè)網(wǎng)絡(luò)安全的技術(shù)和措施加以進(jìn)一步研究和探索，為企業(yè)的網(wǎng)絡(luò)的安全和穩(wěn)定運(yùn)行提供支持，保證企業(yè)內(nèi)部信息和機(jī)密的安全，以促進(jìn)企業(yè)的全面發(fā)展。

參考文獻(xiàn)：

第9篇：構(gòu)建網(wǎng)絡(luò)安全體系范文

對(duì)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)安全因素進(jìn)行分析，需要達(dá)到網(wǎng)絡(luò)系統(tǒng)安全就必須實(shí)現(xiàn)這些目標(biāo)：建立網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略，并不斷完善嚴(yán)格執(zhí)行；建立有效的隔離內(nèi)網(wǎng)、公開(kāi)服務(wù)器以及外部網(wǎng)絡(luò)的方案，要盡量避免與外部網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行直接交換；涉及到網(wǎng)絡(luò)體系中的主機(jī)與服務(wù)器，要有針對(duì)性構(gòu)建安全保護(hù)措施，并根據(jù)實(shí)際的需要進(jìn)行完善，最大限度保障系統(tǒng)能夠安全穩(wěn)定的運(yùn)行；網(wǎng)絡(luò)中相關(guān)服務(wù)請(qǐng)求要進(jìn)行嚴(yán)格的過(guò)濾，針對(duì)一些較為危險(xiǎn)的請(qǐng)求服務(wù)必須及時(shí)拒絕，以求保障在其達(dá)到目標(biāo)主機(jī)之前成功被攔截；關(guān)于合法用戶的訪問(wèn)與認(rèn)證要提升管理力度，配置最低限度的用戶訪問(wèn)權(quán)限；對(duì)公開(kāi)服務(wù)器進(jìn)行監(jiān)管，對(duì)各種不安全的操作或者一些不法攻擊等等要及時(shí)的進(jìn)行回應(yīng)；另外，局域網(wǎng)審計(jì)工作也比較重要，網(wǎng)絡(luò)中必然有各種各樣的訪問(wèn)，需要詳細(xì)的做好記錄，構(gòu)建完整的系統(tǒng)日志；建立備份與災(zāi)難恢復(fù)應(yīng)急機(jī)制，最大限度保障系統(tǒng)能夠在最短的時(shí)間內(nèi)恢復(fù)到正常運(yùn)行。

2構(gòu)建局域網(wǎng)網(wǎng)絡(luò)安全體系架構(gòu)

2.1構(gòu)建網(wǎng)絡(luò)防火墻

網(wǎng)絡(luò)防火墻（firewall）其配置的方式有以下幾種：Screeningrouter主要為bastionhost提供最大限度的支持與保護(hù)，將進(jìn)入的相關(guān)所有數(shù)據(jù)傳送給bastionhost，并bastionhost決定所有發(fā)送的數(shù)據(jù)。整個(gè)結(jié)構(gòu)對(duì)Screeningrouter和bastionhost依賴是非常嚴(yán)重的，由此可見(jiàn)，其中一個(gè)環(huán)節(jié)若是出現(xiàn)了問(wèn)題，那么將導(dǎo)致整個(gè)網(wǎng)絡(luò)沒(méi)有安全性可言。此種方式的結(jié)構(gòu)比較簡(jiǎn)單，并且所涉及到的成本也比較低，其優(yōu)勢(shì)不言而喻。在兩個(gè)網(wǎng)絡(luò)中間進(jìn)行放置，但是因?yàn)闆](méi)有將網(wǎng)絡(luò)安全的自我防衛(wèi)能力添加，因此，會(huì)常常成為網(wǎng)絡(luò)黑客長(zhǎng)期攻擊的目標(biāo)，一旦被攻擊失守，整個(gè)網(wǎng)絡(luò)也將癱瘓。在外部網(wǎng)絡(luò)，以及用戶單位內(nèi)網(wǎng)之間構(gòu)建隔離設(shè)施，形成DMZ隔離區(qū)。其中包含了兩個(gè)bastionhost與兩個(gè)Screeningrouter，將bastionhost放在隔離區(qū)內(nèi)部。此種方式，配置了兩個(gè)安全單元，因此，整個(gè)結(jié)構(gòu)的安全性比較高，一般在企業(yè)與事業(yè)單位局域網(wǎng)配置比較普遍。

2.2設(shè)置虛擬局域網(wǎng)

虛擬局域網(wǎng)，即VLAN（VirtualLocalAreaNetwork）。眾所周知，VLAN是當(dāng)前使用十分普遍而且得到深入研究與廣泛推廣的新興技術(shù)。從邏輯方式上將局域網(wǎng)LAN的設(shè)備劃分成若干網(wǎng)段，其目的是要充分實(shí)現(xiàn)虛擬工作組之間的數(shù)據(jù)成功交換。由于虛擬局域網(wǎng)的出現(xiàn)，整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)也更加靈活，更加方便快捷。VLAN不需要重視網(wǎng)絡(luò)地理位置，任何一處都可以將其劃分成一個(gè)邏輯網(wǎng)子。劃分虛擬局域網(wǎng)的過(guò)程中要注意以下幾點(diǎn)問(wèn)題：通常大型網(wǎng)絡(luò)環(huán)境下必然存在非常多的廣播信息，產(chǎn)生信息堵塞的情況時(shí)有發(fā)生，廣播風(fēng)暴也就這樣形成了。局域網(wǎng)設(shè)計(jì)階段，需要重視這方面的問(wèn)題，充分利用VIAN技術(shù)將一個(gè)邏輯區(qū)域劃分出來(lái)，但是廣播信息又不會(huì)從邏輯區(qū)域跳出而進(jìn)行傳播，通過(guò)這種方式將廣播進(jìn)行隔離，縮小了廣播的范圍，也就一定程度降低了廣播風(fēng)暴形成的幾率?；诰W(wǎng)絡(luò)安全體系設(shè)計(jì)，在VLAN劃分的邏輯區(qū)域之間不能直接進(jìn)行通信，其必然的選擇應(yīng)該是由路由進(jìn)行轉(zhuǎn)發(fā)，這種設(shè)計(jì)方式能設(shè)計(jì)出更高級(jí)的網(wǎng)絡(luò)安全控制，網(wǎng)絡(luò)安全運(yùn)行也得到了一定的保障。企業(yè)與事業(yè)單位中的局域網(wǎng)，機(jī)構(gòu)就比較多，相同的機(jī)構(gòu)人員的辦公地點(diǎn)也比較分散，其物理位置不一樣，這樣便能將工作有關(guān)聯(lián)的人員通過(guò)VLAN劃分在相同的邏輯子網(wǎng)內(nèi)，另外，網(wǎng)絡(luò)管理人員需要給同一個(gè)部門的人員進(jìn)行用戶訪問(wèn)權(quán)限設(shè)置，這類訪問(wèn)權(quán)限可以是相同的，這樣便能讓網(wǎng)絡(luò)管理更加直觀、方便、安全，局域網(wǎng)網(wǎng)絡(luò)性能也得到了一定限度的提升。

2.3防病毒

局域網(wǎng)網(wǎng)絡(luò)病毒防范是非常重要的環(huán)節(jié)，可以采用網(wǎng)絡(luò)版本的防病毒軟件，對(duì)局域網(wǎng)網(wǎng)絡(luò)防范病毒的方案進(jìn)行統(tǒng)一的策劃與執(zhí)行。保障整個(gè)網(wǎng)絡(luò)集中進(jìn)行管理，實(shí)現(xiàn)全自動(dòng)安裝智能化，及時(shí)得到自動(dòng)升級(jí)，有病毒的情況下能及時(shí)通告，審計(jì)信息實(shí)時(shí)獲取并報(bào)警，讓局域網(wǎng)管理更加方便。若要實(shí)現(xiàn)隔離，可以在互聯(lián)網(wǎng)與局域網(wǎng)之間設(shè)置中間機(jī)，廣大網(wǎng)絡(luò)用戶即使需要通過(guò)因特網(wǎng)下載或者上傳文件時(shí)，必須要經(jīng)過(guò)中間機(jī)進(jìn)行病毒的掃描以及惡意代碼程序的監(jiān)控，整個(gè)監(jiān)管過(guò)程順利通過(guò)之后，才會(huì)讓廣大用戶繼續(xù)下載使用。

3結(jié)語(yǔ)