企业网络安全方案范文

企业网络安全方案篇1

关键词：网络安全；网络管理；防护；防火墙

中图分类号：TP393.08文献标识码：A文章编号：1009-3044(2011)14-3302-02

随着企业信息化进程的不断发展，网络已成为提高企业生产效率和企业竞争力的有力手段。目前，石化企业网络各类系统诸如ERP系统、原油管理信息系统 、电子邮件系统 以及OA协同办公系统等都相继上线运行，信息化的发展极大地改变了企业传统的管理模式，实现了企业内的资源共享。与此同时，网络安全问题日益突出，各种针对网络协议和应用程序漏洞的新型攻击层出不穷，病毒威胁无处不在。

因此，了解网络安全，做好防范措施，保证系统安全可靠地运行已成为企业网络系统的基本职能，也是企业本质安全的重要一环。

1 石化企业网络安全现状

石化企业局域网一般包含Web、Mail等服务器和办公区客户机，通过内部网相互连接，经防火墙与外网互联。在内部网络中，各计算机处在同一网段或通过Vlan（虚拟网络）技术把企业不同业务部门相互隔离。

2 企业网络安全概述

企业网络安全隐患的来源有内、外网之分，网络安全系统所要防范的不仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问。企业网络安全隐患主要如下：

1) 操作系统本身存在的安全问题

2) 病毒、木马和恶意软件的入侵

3) 网络黑客的攻击

4) 管理及操作人员安全知识缺乏

5) 备份数据和存储媒体的损坏

针对上述安全隐患，可采取安装专业的网络版病毒防护系统，同时加强内部网络的安全管理；配置好防火墙过滤策略，及时安装系统安全补丁；在内、外网之间安装网络扫描检测、入侵检测系统，配置网络安全隔离系统等。

3 网络安全解决方案

一个网络系统的安全建设通常包含许多方面，主要为物理安全、数据安全、网络安全、系统安全等。

3.1 物理安全

物理安全主要指环境、场地和设备的安全及物理访问控制和应急处置计划等，包括机房环境安全、通信线路安全、设备安全、电源安全。

主要考虑：自然灾害、物理损坏和设备故障；选用合适的传输介质；供电安全可靠及网络防雷等。

3.2 网络安全

石化企业内部网络，主要运行的是内部办公、业务系统等，并与企业系统内部的上、下级机构网络及Internet互连。

3.2.1 VLAN技术

VLAN即虚拟局域网。是通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。

借助VLAN技术，可将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境 ，就像使用本地LAN一样方便。一般分为：基于端口的VLAN、基于MAC地址的VLAN、基于第3层的VLAN、基于策略的VLAN。

3.2.2 防火墙技术

1) 防火墙体系结构

① 双重宿主主机体系结构

防火墙的双重宿主主机体系结构是指一台双重宿主主机作为防火墙系统的主体，执行分离外部网络和内部网络的任务。

② 被屏蔽主机体系结构

被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，强迫所有的外部主机与一个堡垒主机相连，而不让其与内部主机相连。

③ 被屏蔽子网体系结构

被屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器，位于堡垒主机的两端，一端连接内网，一端连接外网。为了入侵这种类型的体系结构，入侵者必须穿透两个屏蔽路由器。

2) 企业防火墙应用

① 企业网络体系中的三个区域

边界网络。此网络通过路由器直接面向Internet，通过防火墙将数据转发到网络。

网络。即DMZ，将用户连接到Web服务器或其他服务器，Web服务器通过内部防火墙连接到内部网络。

内部网络。连接各个内部服务器（如企业OA服务器，ERP服务器等）和内部用户。

② 防火墙及其功能

在企业网络中，常常有两个不同的防火墙:防火墙和内部防火墙。虽然任务相似，但侧重点不同，防火墙主要提供对不受信任的外部用户的限制，而内部防火墙主要防止外部用户访问内部网络并且限制内部用户非授权的操作。

在以上3个区域中，虽然内部网络和DMZ都属于企业内部网络的一部分，但他们的安全级别不同，对于要保护的大部分内部网络，一般禁止所有来自Internet用户的访问；而企业DMZ区，限制则没有那么严格。

3.2.3 VPN技术

VPN(Virtual Private Network)虚拟专用网络，一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。位于不同地方的两个或多个企业内部网之间就好像架设了一条专线，但它并不需要真正地去铺设光缆之类的物理线路。

企业用户采用VPN技术来构建其跨越公共网络的内联网系统，与Internet进行隔离，控制内网与Internet的相互访问。VPN设备放置于内部网络与路由器之间，将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离，禁止外网直接访问内网，控制内网的对外访问。

3.3 应用系统安全

企业应用系统安全包括两方面。一方面涉及用户进入系统的身份鉴别与控制，对安全相关操作进行审核等。另一方面涉及各种数据库系统、Web、FTP服务、E-MAIL等

病毒防护是企业应用系统安全的重要组成部分，企业在构建网络防病毒系统时，应全方位地布置企业防毒产品。

在网络骨干接入处，安装防毒墙，对主要网络协议（SMTP、FTP、HTTP）进行杀毒处理；在服务器上安装单独的服务器杀毒产品，各用户安装网络版杀毒软件客户端；对邮件系统，可采取安装专用邮件杀毒产品。

4 结束语

该文从网络安全及其建设原则进行了论述，对企业网络安全建设的解决方案进行了探讨和总结。石化企业日新月异，网络安全管理任重道远，网络安全已成为企业安全的重要组成部分、甚而成为企业的本质安全。加强网络安全建设，确保网络安全运行势在必行。

参考文献：

[1] 王达. 路由器配置与管理完全手册――H3C篇[M]. 武汉:华中科技大学出版社,2010．

[2] 王文寿. 网管员必备宝典――网络安全[M]. 北京:清华大学出版社,2007．

[3] 连业. 防火墙及其应用技术[M]. 北京:清华大学出版社,2005.

企业网络安全方案篇2

关键词:企业信息化；网络管理；安全问题

前言

自中国加入世贸组织后，全球实行经济一体化，信息资源对于企业的发展经营显得十分重要，企业只有尽快实施信息化战略与国际接轨，才能融入到经济全球化的大潮中去。对于企业进行信息化改革需要进行一些规划性安排。其中包含有信息资源规划，这主要是指企业生产经营过程中所需要掌握到的所有信息，从开始采集、处理一直到传输、使用全过程的一个整体规划。企业在生产经营活动过程中，无时不刻都充斥着信息，信息资源与企业人、财、物资源同等重要，都是企业在经营环节中不可缺少的重要资源。而经过长期的发展，很多企业已经开始意识到企业信息资源规划的重要性，认识到它是企业信息化建设的基础工程。而对企业信息化安全的解决应该建立在人员管理的基础之上，致力于整个企业网络管理。

1企业信息化安全与网络管理

1.1网络集成应用系统安全

网络集成应用系统根据不同企业的需求呈现不同的情况，一些企业中的网络集成应用系统比较复杂。不能够很精准的估计防御对象的规模以及价值，也不能简单的对其加以标定界限，针对这种情况，就只能够将网络管理安全保障的工作分解开来。落实到具体的个人，采取一系列有效的措施如主动防御方式去进行。而网络安全信息的防御是一个保障整体网络信息安全的手段，其可预见性以及灵敏性等都为工作带来便利，在面临网络空间可能带来的威胁的同时,站在网络管理者的角度上去思考，为企业网络安全提供一定的保障。因此对于现代社会企业发展中提出的有关信息化安全问题其范围也十分广泛。计算机系统结构安全的信息防御，注重的是以信息参与者的人为主角的主动型安全防御。

1.2企业人员信息技术安全

企业信息化归根到底也是人的参与，因此对于企业在信息化过程中会遇到的信息安全问题也需要人员引起足够的重视。人才是企业在发展中的关键竞争力，企业对于人才的重视程度也在日益增加，而同时也要注重企业的管理。随着时代的发展，信息化已经成为企业不可忽视的发展趋势，当企业投入大量的资金和精力去培养人才进行信息化管理以及掌握信息化技术之后，更需要加强信息安全管理。目前是信息化时代，“信息”对于企业而言是十分重要的财富，企业信息系统中掌握着企业运行经营的大量资源和信息，而信息系统的一些安全隐患大部分来源于外界的侵扰，信息工作和管理人员个人的疏忽也容易导致信息的外泄，这将是对企业造成严重的损失。目前对于企业在信息化方面的标准有多种争议，面对争议我们首先要弄清楚企业目前处于什么样的状况，这些标准都是随着技术水平的改进以及管理要求的变化而变化的，因此针对这些变化，企业需要针对自身的实际情况以及实际需求进行安全管理。

1.3网络管理人员信息技术安全

企业信息化系统管理中最重要的一项安全指标就是信息技术方面的安全，面对高要求的安全管理，对于网络安全管理人员的职业素养以及业务能力也相应提出了更高的要求。而企业信息化系统的网络管理在实际的运行过程中必定会涉及到众多的功能模块，面临企业信息化系统中的网络安全管理一般包含有四大功能模块:配置管理、性能管理、故障管理以及安全管理。而这四大功能构成了网络安全管理的基本功能，除此基本功能之外，网络管理还包括有网络规划、网络操作规范等，以下就来简单分析介绍这些功能:(1)配置管理:网络的配置管理要做到的是自动发现网络拓补结构，构造和维护网络系统的配置。时时的注意网络中被管理监测的对象状态，对网络设置中的一些设备配置的语法进行检测，对于配置进行严格的检验。(2)故障管理:在网络运行过程中时刻的进行网络有关事件的过滤和归并，通过不间断的检测及时的发现在网络管理以及操作过程中出现的一系列网络故障问题，并根据实际问题情况寻找出有效的应对措施和建议，提供一定的排错手段以及工具，逐渐形成一套完善的网络故障预警和解决机制，从而减少故障给企业信息化系统带来的危害和损失。(3)性能管理:性能管理是对网络对象的性能方面数据进行收集、分析以及处理功能，通过分析和收集了解网络在运行过程中的质量安全问题，同时掌握整个网络运行体制中的运行状态信息，为整个网络的使用情况以及未来发展趋势、状况进行一个评估，为进一步的网络规划提供一定的参考价值。(4)安全管理:网络信息的安全主要在于存储在系统中的一些用户信息资料以及企业内部的资料的泄露，加强安全管理无疑是要加强用户的认证、访问控制、数据传输以及存储保密性和完整性，保障网络系统本身的安全。维护系统日志，使系统的使用情况以及网络对象的修改都有记录和有数据可循。加强对网络资源的访问量的控制。例如有些企业在加强网络安全管理方面为了尽量的减少不必要的漏洞，在配置管理中采用了VLAN的方式，这种方式就是将企业内部的不同部门都划分为各个不同的虚拟网段，而针对不同部门的职员设置相应的权限，只有具有权限的职员才能进入某一个虚拟网段，没有权限的用户无法访问其他网段。VLAN其实就相当于是一个计算机网络，里面所有内容都由同一个网线连接着，但是其中的网络又可以分为不同的部分和区域。由于该方式多是通过软件来操作实施的，因此使其具备了更多的灵活性，而该手段的最大优势在于提供了更多的管理控制，这相应的减少了很大一部分的管理费用，同时也提供了更多的配置灵活性。另外，在网络管理中可以通过边界的路由器来控制外来的用户对网络信息的访问，从而可以有效的防止外来用户对本企业网络的侵入和攻击。加之前文中有提到可以加强网络安全的预警机制。通过对告警中的危险事件和信息进行有效的分析和处理，及时发现可能存在的攻击行为，及时发现网络管理中存在的安全漏洞和安全隐患，从而更好的防患于未然。当然，在进行这些网络安全管理手段操作中可以充分借助有关的管理网络的软件，为网络管理人员提供有效的技术信息和保障，而且单一的软件绝对满足不了网络安全管理的需求，需要根据实际情况综合运用多种软件形式，从而满足不同方面和层次的需求，无论是加强网络管理安全还是利用各种管理软件首先必须要提高网络管理人员的综合素质，提升其职业素养和计算机应用水平，人员素质的提升以及相关管理硬件、软件的配套，才能从根本上解决企业信息化管理以及网络安全管理中的问题，提高其管理机制和管理水平。

2结束语

从本文中所阐述的众多问题中可以总结出，无论是网络集成应用系统的框架还是人员信息化和网络管理者角度而言，企业信息化的安全问题主要集中在网络管理方面。而对网络进行管理的主体部分就是人员。因此加强网络管理的安全问题要从人员自身方面的水平以及素质和网络安全管理相关技术两个方面着手，让所有的网络管理者在思想上意识到网络安全管理的重要性。管理人员的重视才会促进有关技术的改进和革新，这也是我们进行网络管理的最终目的和有效保障。

参考文献:

[1]林鹏，叶盛元.互联网与信息化安全（三）[J].华南金融电脑，2006.

[2]曲璐.信息化安全在计算机管理中的运用探讨[J].信息与电脑（理论版），2013.

[3]石露.企业信息化安全建设方案[J].信息安全与通信保密，2010.

企业网络安全方案篇3

【关键词】计算机网络安全；防护策略；维护思路；安全管理工作

在信息时代及计算机技术广泛应用的当下，很多企业都注重信息化建设，石油企业同样如此。石油企业信息化建设经过多年发展取得了显著成绩，但是网络安全问题一种困扰着企业，特别是目前网络攻击手段日渐多样化，隐蔽性很高，成为影响企业网络安全运行的关键因素。为此，石油企业应根据自身业务经营与发展需要加强计算机网络安全管理，针对当前网络安全管理中的问题制定可行的维护方案，采取针对性的措施，为企业计算机网络安全运行提供基本保障。

一、石油企业计算机网络安全管理中的不足

随着计算机技术及互联网的普遍应用，网络安全已经得到改进，但是在多种因素共同影响下，石油企业计算机网络安全管理依然出现问题，主要为网络安全管理力度不足，具体体现在结构本身、系统设备及信息上。石油企业的业务范围较广，内网系统结构越来越复杂，造成系统本身存在一些漏洞。如果这些漏洞不能及时补丁，很容易成为网络攻击的主要对象，造成木马、病毒等恶意插件在内网中传播，降低石油企业计算机网络安全性能。此外，石油企业对计算机网络安全管理缺乏足够重视，没有制定完善的信息安全管理制度，岗位分工不明确等，使网路安全管理不够制度化、规范化。而且，石油企业办公环境相对恶劣一些，在温度、湿度等条件不适宜情况下工作很容易降低系统设备的性能，造成设备损坏、系统内部信息丢失、篡改等问题。

石油企业为方便工作往来，往往允许员工上网，网络上不安全的信息极容易影响企业内网，降低信息传输速度，影响系统性能，为网络安全带来严重的隐患。针对这些，必须站在企业战略目标高度上明确维护思路，编制可行、有效的维护方案，促进石油企业计算机网络安全管理工作水平的提高。

二、石油企业计算机网络方案维护思路与具体方案

（一）维护思路

由于石油企业计算机网络安全管理缺乏健全的管理制度，相关人员素质普遍不高，且系统存在漏洞，易受网络攻击，计算机等身背性能受工作环境影响大，严重降低了计算机网络安全性能。对此，一方面要完善计算机网络安全管理制度，制定系统设备维护制度，加强计算机系统安全管理，另一方面要采取网络安全防护技术，如防火墙技术、漏洞扫描技术、数字加密技术等，保护计算机系统信息安全，防止被恶意篡改与删除。通过以上两个方面，双管齐下、多策略的进行石油企业计算机网络安全管理，把网络安全管理上升到战略目标实现的高度上，纳入石油企业日常工作范围之内，使网路安全管理满足石油企业日常工作和业务往来需要。

（二）具体方案

1、完善计算机网络安全管理制度和网络设备维护检修制度

计算机网络安全管理及维护工作是由信息部门员工负责的，若没有完善的管理制度，就难以用制度对人员进行约束，造成相关管理、维护工作落实不到位。所以，石油企业应完善计算机网络安全管理制度和网络设备维护检修制度，为有关人员的管理、维护工作提供准则，约束并规范其工作行为。同时，不允许计算机使用者浏览要求以来的网页，擅自安装一些网络程序，规范计算机使用。如发现员工做出违反计算机网络安全管理制度的行为，要给予严厉处罚。此外，要求管理人员定期检查计算机设备性能，定期清理设备，根据使用者反馈立即检修设备，使设备始终保持良好的工作状态，避免出现运行故障。

2、应用计算机网络安全防护技术

目前，计算机网络安全防护技术是较多的，如防火墙技术、漏洞扫描技术、数字加密技术、杀毒软件等。第一，防火墙技术。一般计算机网络防火墙设置在计算机的系统中，可以采用安全性能相对比较高的Linux系统，并保留计算机基本功能，如SMIP协议，及时阻拦恶意侵入系统的木马程序、病毒软件，保护内网办公安全；第二，漏洞扫描技术。采用自动扫描技术，自动进行系统漏洞扫描并修补漏洞，及时进行系统补丁，既能降低网络攻击的概率，又可以提高系统运行性能；第三，数字加密技术。对重要的信息利用数字加密技术进行保护，然后再进行存储与传输，可以有效防止信息被攻击、被篡改，维护计算机系统信息的安全。当然，在不同网络环境下密码保护性存在一定差异，并选采用最先进的算法进行密码设计；第四，采用杀毒软件，及时查找出系统内病毒软件并及时清理，以加强系统的维护管理；第五，采用警告技术，并设置多样化的警告方式。针对不同的网络安全危害及系统故障可以设置不同的警告方式。比如，不同的问题用不同的声音，给管理人员自动发送邮件、手机短信等，以便管理人员实施网络安全维护。以上技术的应用能有效的提高石油企业网络安全管理工作水平，提高网络安全维护能力，保护日常工作的正常运行。

三、结束语

综上所述，面对石油企业计算机安全管理中存在的一些不足，应建立完善的计算机网络安全管理制度与设备维护检修制度，同时科学应用计算机网络安全防护技术，多层面、多策略的进行计算机网络安全管理，让石油企业计算机网络安全管理在明确的维护思路和有效的策略下有序、高效的进行，进而提高石油企业计算机网络安全管理工作实效。随着计算机技术的革新变更，计算机网络安全防护技术水平会不断提高，石油企业在今后的计算机网络安全管理中应注重先进防护技术的引用，这是提高石油企业计算机网络安全管理工作水平的根本。

参考文献：

[1]李伟.计算机网络安全管理工作的维护思路及具体方案研究[J].电脑知识与技术，2015，20：22-23.

[2]田吉凤.油田企业网络安全问题及防火墙防护策略[J].油气田地面工程，2013，11：16-17.

企业网络安全方案篇4

一、加强企业信息网络安全优化的重要性

1.1提升现代企业的管理质量

在现代企业的发展过程中，信息安全具有不可或缺的重要作用。因此，加强现代企业信息网络安全优化管理，可保障企业信息的安全性和真实性，同时也可保障现代企业信息系统的可用性和机密性。企业信息网络的安全性得以保障，可为信息系统工作质量提供重要的参考数据。此外，信息网络管理人员要对信息网络优化和管理中体现出的实际问题进行总结，并针对信息系统管理中反馈出的实际问题，在企业内部制定针对性的应对方案和措施。最终，接提升现代企业的管理质量，提升整体管理水平。

1.2为现代企业获得更大的经济利益

任何一个企业发展的最终目的均为获得经济利益，利润是企业发展的主要动力。作为现代企业而言，保障企业的信息安全，并保障信息系统的正常运行，方可在有效安全技术的支持，为企业后期发展创造更大的利润空间。通过对企业近年来的发展情况进行分析和总结，利用数据和统计分析的方法，为企业的发展制定全面的发展方案[1]。同时，在进行数据分析和总结的过程中，可及时发现企业发展中存在的问题，并针对具体存在的问题，提出针对性的解决对策，保障现代企业获得更大的经济利益，获得更大的利润空间。

二、现代企业信息网络中存在的安全问题

2.1企业信息网络安全管理制度不健全

纵观目前我国现代企业的信息网络安全管理现状，仍存在较多的安全问题，其中，最为显著的安全问题就是企业内部尚未建立健全的网络安全管理制度。管理制度的不健全势必造成企业信息网络安全出现问题，例如，企业的网络管理工作中频繁出现违规操作的现象，造成信息网络的正常运行受到影响。

2.2企业信息网络安全管理人员的综合素质相对较低

从现代企业的网络安全人员配置上看，大部分现代企业在发展过程中仍存在技术人员缺乏的现象。企业在缺乏专业的技术人员和管理人员，导致企业在发展的过程中难以及时发现信息网络中存在的问题和漏洞。在网络信息技术不断发展的当今社会，企业信息网络安全面临着新的发展机遇[2]。当一些先进的技术、管理方式和操作方式引入到企业中，而企业内缺乏相关的专业人才，将造成企业信息系统的安全性和操作规范化受到影响。因此，现代企业的发展过程中，需要解决信息网络安全管理人员专业技能差、综合素质相对较低的问题，保障网络管理人员可及时解决信息系统在安全维护方面的问题，方可促进现代企业的全面发展。但就目前我国大部分企业的信息网络安全管理人员配置情况上看，解决此问题仍需要经历较长的一段时间，也需要企业付出更多的精力和财力。

2.3尚未制定完善的网络安全事故应急处理预案

在现代企业的发展过程中，加强对企业信息和信息系统安全运行的管理至关重要。企业出现网络信息安全是不可避免的，但企业可通过分析总结出现信息网络安全问题的原因，制定针对性的解决对策，预防信息网络安全事故的发生。但纵观现阶段我国大多数企业的发展现状，大多数企业仅仅意识到了加强网络信息安全管理的重要性，但并未在实际行动上体现出来。通过对现代企业的调查，发现大部分企业尚未制定完善的网络安全事故应急处理预案，当信息网络安全事故发生后，企业在面对安全问题上显得手足失措，难以有效应对。而这样的问题，对于信息网络的安全维护和安全管理而言，将造成较大的负面影响，不利于现代企业的长足发展。

三、实现现代企业信息网络安全优化的策略

3.1加强现代企业信息网络系统的规范化管理

在现代企业信息网络安全管理中，要实现企业信息网络的规范化和系统化，首先需要在企业内部制定严格的责任管理制度，加强安全管理。在网络管理中，通过建构多层防御和等级保护体系，加强对信息网络安全的控制和规范化管理。与此同时，企业要在现代化的发展过程中，要保障自身信息网络系统的安全性，要加强对网络性能的检测力度，并将外网和内网进行有效隔离[3]，为信息网络系统提供安全管理，并在企业的各部门实现信息系统安全管理。

3.2提升现代企业信息网络管理人员的综合素质

在现代企业的发展过程中，信息网络安全优化和管理是一项相对较为复杂且系统的工作。因此，在信息网络安全优化中，网络管理人员的专业能力和综合素质对安全优化管理的工作质量均可产生决定性作用。这则要求企业要对信息网络管理人员进行定期培训，通过在企业内部开展培训项目可使管理人员的管理能力提升，同时也可培养网络安全管理人员严谨的工作态度，让其意识到信息网络安全优化工作的重要性和必要性。与此同时，现代企业还可组织相关技术人员和专家，对企业信息网络安全优化的相关措施进行专题分析。通过系列的专题分析，可了解企业信息网络运行的实际情况，从而激发现代企业网络管理人员的工作热情和工作积极性。最终，可提升网络管理人员的综合能力，提升现代企业信息网络安全管理质量，提升整体管理水平。

3.3制定企业信息网络安全事故的应急方案

现代企业在发展的过程中，难免会遇到各种各样的信息网络安全问题。鉴于此种情况，不仅要提升网络管理人员的综合素质，加强对信息网络的规范化管理。还需要针对企业自身的信息网络安全管理现状，制定完善的现代企业信息网络安全事故应急预案。在制定应急预案的过程中，企业要将目标性、针对性、合理性以及全面化、规范化等特征融入其中。同时，在信息网络的运行过程中，要针对具体的运行情况，适当增加安全事故模拟演习和模拟训练等，提升信息网络管理人员的警惕性，保持认真的工作态度。只有在日常工作中，加强管理和训练，方可在事故发生时从容应对，最大限度降低信息网络安全事故对现代企业信息安全和自身发展造成的负面影响。

四、总结

企业网络安全方案篇5

关键词：档案数字化；企业档案管理；管理措施

作者简介：曲久凤（1971-），东北电力大学本科毕业，现在华能鹤岗发电有限公司任职

1概述

企业在信息化时代为增强市场竞争力，就应自觉根据信息时代有关要求、在激烈的市场竞争中采用信息化手段进行管理才能抢占先机。针对电力企业应紧跟自动化、智能化等发展趋势，尤其是在档案管理中也应紧跟时代需求，从而为促进企业发展提供更加有效的智力支持。但在电力企业实际工作中，因其特有的垄断地位使其在档案数字化管理方面的工作还存在一定的滞后性，尤其是受传统管理理念和管理模式影响，在管理创新方面还有待于不断提高。档案管理对于任何单位而言都属于一项重要的管理工作，档案管理系统不能孤立存在，是社会管理系统中不可或缺的重要组成部分。利用提供档案信息服务于社会实践。供电企业若要提高档案管理数字化水平，不只是采用信息化和智能化的管理手段，也要从管理理念、制度及机制等方面达到数字化要求，也就是供电企业档案管理在“硬件”和“软件”方面实现双重数字化。为切实提高供电企业档案数字化管理水平，就要加强档案数字化管理和安全保障措施，从而实现预期目标。

2供电企业档案数字化管理的有效措施

一是供电企业应采用多种方式实现档案资源数字化。随着信息化的发展，档案一定会从传统的纸质载体向电子介质载体逐步转变，并利用网络对信息实现迅速而远距离的传输和共享。供电企业档案管理部门应采用有效措施使企业档案逐步实现数字化，构建企业档案数据库，科学合理地管理企业档案。在条件允许的情况下，在企业内部建立网络，允许各部门根据权限远程访问档案数据，不只是提高档案浏览速度，也能提高工作效率，进而实现共享并高效利用企业档案资源信息的效果。目前，供电企业拥有的档案资料数量庞大且载体各异，针对传统介质档案，可采用文字输入、扫描等方式进行信息化处理，并存储于已建立的档案数据库。在建设档案数字化系统方面，档案管理部门应树立全局意识，结合企业发展实际需要，对系统建设方案进行统一规划，对各部门的工作积极协调，利用最小的人员及财物获得最大效益。对企业档案资料完成数字化处理后，应妥善保护好原有的纸质档案资料，并且利用数字化的档案资料可随时查询到原始的档案资料。

二是供电企业应充分利用网络技术优势实现档案管理网络化。目前在工作生活中，网络技术已得到迅速普及应用，不管是传统的计算机网络还是移动手机网络，都使网络技术的优势得到充分发挥，供电企业档案管理利用网络技术实现网络化，能够最大限度地利用好档案资料信息。供电企业档案管理网络化应涵盖以下几方面内容：可实现远程登录、信息共享、信息传输及收发电子邮件等功能，可利用互联网迅速检索所需信息，利用网络信息查询档案数据库信息，利用网络阅读其它供电企业或有关企业信息，存储内容丰富的信息资源，以实现不同部门工作的实际需要，可采用多元化方式比如检索关键词、按照用户实际需求进行模糊查询等对档案信息进行搜索，并提供所需导航服务，利用档案使用者可迅速得到所需信息。

3供电企业档案数字化管理的安全保障措施

档案完成数字化处理后，应保证档案安全妥善地保存，以免由于各种人为或意外因素而导致档案信息发生不必要的损失。

一是建立数字化档案安全管理制度并逐步以完善。制度约束可使有关工作人员不断提高的安全责任意识，供电企业对档案信息安全工作应设定专业岗位进行管理，并对管理规范和具体操作行为进行细化，或建立相应监督岗位，对档案信息安全相关事宜进行专门负责。对于重要档案信息应建立定期备份制度、信息安全预警及应急机制，而特别重要的档案信息不只应进行加密处理，还应禁止通过网络进行访问，以确保安全保密性。

二是加强物理环境和硬件环境安全性。物理隔离内外网环境，结合网络安全有关规定，不可将的计算机信息系统与国际互联网或其它公共信息网采用直接或间接方式进行连接，一定要采取物理隔离方式进行严格管理。所以，针对档案部门内网与国际互联网应实现物理隔离，以免利用网络连接将不宜公开及的内部档案信息泄露到公众网络。目前，多子网网关技术被认为是网络安全技术中一种最有效的防攻击技术。该技术将内部网络划分为多个不同安全级别的子网，实现内部中不同网段之间的物理隔离。从而有效防止某一个网段的安全问题传播到整个网络，在某种情况下，对于一些网络而言，部分局域网其中的某网段更受信任于另—个网段，或某网段的敏感性更高于另一个网段，将信任网段与不信任网段分别划分于不同网段中，就能够实现对局部网络安全问题影响全局网络安全的有消息限制。

三是提高系统安全性。应采用有效的防黑客扫描工具，对处于网络中的计算机设备定期进行扫描。若发现某设备存在黑客入侵情况或网络与系统结构发生变化，对发现的危险信号应及时进行报警，并采取有效措施对发现错误进行纠正，对档案网络安全策略进行相应调整。对档案网络信息采取安全审计方法，相应日志应自动形成，并对档案网络运行情况进行详细记录。此外，档案系统应具有消息监听功能，监听局域网客户端、服务器及其它网络设备可能存在的病毒，一旦发现可进行自动查杀局域网内全部设备的病毒。而且，还要采取措施设置跟踪机制，以追溯档案信息、数据来源。若发现存在网络攻击行为，档案系统应具有及时报警，并自动执行有关网络安全策略。比如将有关服务关闭、对物理线路切断连接等，从而确保档案数据及信息具有良好的可靠性。

4结论

综上所述，随着信息化时代的发展，档案数字化管理对于供电企业而言是与时展相符的，企业应积极应对信息化技术的挑战，逐步完善档案的数字化管理模式，以适应信息化社会的需要。所以，供电企业应加强数字化档案管理工作，企业高管更应对此项工作家中时，并提供相应支持，进而提高供电企业档案管理的数字化水平。

参考文献

[1]楚秀英，代慧敏.人事档案的重要作用及保管工作[J].经营管理者，2013，10.

[2]万秀萍.浅谈信息时代档案管理的现代化[J].徐州教育学院学报，2014，7.

[3]刘高鹏，张忠诚，李文晋.档案工作要为全面建设小康社会服务[J].档案管理，2012，8.

[4]刘东斌.档案利用和档案价值的反思[J].档案管理，2013，11.

[5]蒋德凤.档案价值的演变对档案开发利用的影响[J].档案管理，2014，6.

企业网络安全方案篇6

企业防护是一项很谨慎的业务。当网络威胁日益增加并且以难以预料的速度发生时，即使是最兢兢业业的公司也很难对这种毫无预料的威胁采取防御措施。只要一次这样的失误就会将企业暴露在高度危险之下。来看以下三个例子:

A公司:传统保护的不足

该公司部署了防弹式的防御体系来应对典型的互联网攻击，如:病毒、木马、蠕虫以及间谍软件等。他们从总经销商那里购买安全技术的使用权限，这样，企业就拥有了安全公司提供的软件以及升级服务。因此，公司的网络环境感觉上非常安全，IT部门的人员也可以高枕无忧了。但是对于公司的安全美梦很快变成了噩梦――

由于员工违法使用iPod音乐播放系统和P2P，公司的网络性能被大大削弱。同时下载音乐、视频以及一些软件也给公司带来了违反著作权的法律问题。

企业的知识产权会因为员工的不当操作或不道德的行为通过邮件泄露出去。

肆意的使用即时消息会使公司陷入员工服从性的危险之中。

有时，一个有习惯的员工会持续在线玩游戏，可那时他手头上还有一项紧要任务没有完成，同时对于网络上不良信息的访问还会给企业带来法律诉讼。公司无法施行那些可接受的网络使用政策，因此公司就无法保证员工的生产力，无法保护网络资源被滥用，或者其它与网络滥用相关企业威胁。

B公司:移动办公的风险

该公司采取了进一步的安全防护。在严格的政策支持下，公司增加了强劲的安全保护来控制包括:P2P、即时消息系统、网络音乐系统以及网页在内的内容。问题就这样解决了么？其实问题远远不止如此。

公司的员工经常会在公司以外的其它地方办公，如在客户端、家里、酒店、列车或是机场，凡是能够提供网络连接的地方。当员工不在公司内部使用网络时，他会不经意的将恶意软件下载到自己的笔记本电脑中（这些软件正是公司的在竭尽全力抵御的），然后把这些恶意软件带到公司，任其肆意传播。同时像U盘这类移存储设备也会在公司的严密监视散播新的威胁。

C公司:复杂的威胁

该公司做足了工作，并宣称他们拥有能够抵御包括面向移动办公人员和离线工作人员在在内的各种威胁的防御体系。只要这些设施不需要费时费力的去管理和维护，那么该公司的网络保护设施令许多其他公司都羡慕不已。实际上，这些解决方案只有部分得到了执行，需要把现有的IT资源发挥到极致。

由于最初的部署存在太多漏洞，负担繁重的IT人员无法满足企业对于公司政策、风险控制以符合性的个性化需求。

技术支持的呼声很高而附加咨询服务却很昂贵。

IT财力人力的短缺影响IT更新步伐，企业耗费大量时间金钱仍不能获得有效安全防护。

眼前的互联网安全防护明显是不够的。要避免商业风险，企业必须要能了解和处理安全防护方面的所有问题，还必须与互联网安全防护领域的伙伴建立合作关系。

获得全面经济高效的安全防护

先进专业的防护技术和功能不言而喻是有效安全防护的根本因素。而今，企业所面临的是使用多个攻击媒介的混和型威胁，这就要求企业要有最好对策，安全防护好从网关到桌面以及两者间每个易受攻击环节。而这还仅是全方位经济高效互联网安全防护的冰山一角。

每个企业的业务范围都不一样，安全防护需求也不同。一般而言，一个互联网安全防护解决方案是否有效关键看以下六方面因素:对关键易受攻击环节的安全防护;对主要管理环节的安全防护;前摄防护;部署的灵活性;个性化策略和控制功能;基于需要的最佳价值。

关键易受攻击环节的安全防护

由于现今的混和型威胁可采用不同的形式，通过各种互联网渠道进行传播，这就要求企业在Web、电子邮件、移动设备和桌面客户端都做好相应一致的安全防护。而以上这些媒介都应该共享同一个公共的互联网威胁数据库，这样无论病毒是通过电子邮件、Webmail、可移动存储设备还是公共无线上网据点（public hotspot）来传播，都可被识别出来。

多层式安全防护为防护威胁提供了更多保证:通过推断等技术识别和过滤先前未

知威胁从而不断补充已知威胁数据库;结合使用安全防护技术和人工分析来识别和阻止新型威胁;通过特定企业和特定行业的定义来补充标准威胁定义;以及通过加密技术和智能化内容过滤技术结合使用有效阻止数据丢失。无论企业所面对的是哪类风险，多层式解决方案为企业提供最高水平的保护。

主要管理环节的安全防护

基于每个企业的IT架构、基础设施和安全目标的不同，安全防护可分别在服务器、客户端及整个网络当中（作为一种按需服务）中部署。企业应评估其关键所在进行部署，最理想的当然是同时在三个地方都部署安全防护。这样，无论威胁是以何种方式或从哪里进入企业网络环境，企业都能消除这些威胁。甚至未连接到网络的远程用户也能通过客户端或按需应用模式得到有效保护。

提高安全防护水平

前摄防护

快速演变的互联网威胁要求我们时时保持警惕、采用专家分析并且不断更新防护措施。识别和防护新型威胁的最好方式是结合使用世界级技术、专家意见及全天候全球性自动更新安全防护的基础投施。在多数情况下，这提供的是一种服务，一种在威胁造成破坏之前检测威胁、提出警告和消除威胁的服务。

部署的灵活性

部署安全防护解决方案可选择软件、硬件或按需解决方案（On-demand solutions），这使得企业能选择到最合乎其特定需要的解决方案。大型企业常要求一个具有广泛功能及粒度策略控制的软件解决方案，而小型企业则可能更喜欢具有立竿见影简易性和高性能的硬件解决方案。

按需解决方案则可提供企业级互联网安全防护，能用于所有类型的企业:拥有多个分支机构或众多远程工作员工的企业，可采用这种技术来帮助那些在公司总部以外工作的员工管理他们的e-mail和web的安全需求;对于那些没有相应基础设施来主管基于服务器解决方案的企业以及那些只是部署这项功能作为整体IT策略一部分的企业也可采用这种技术。

个性化策略和控制功能

要全面避免不适当使用恶意软件及未遵从行业规范和法规情况发生，企业应根据自身特定环境、业务需要和潜在风险定制策略，并灵活控制策略的定义和执行。同时企业所采用的解决方案应允许企业内不同用户和群体采用不同规则以反映其工作职务和网络访问权限。

通过执行这些策略，IT管理员和企业管理人员能通过全面报表功能和可视来管理和监控员工对互联网的使用、对行业规范和法规需求的遵从，还能根据开展业务的需求及时调整防护措施和安全战略。

潜在价值

在挑选互联网安全防护提供商时，企业不可只考虑供应商销售额，应多方面考虑挑选一个值得信赖合作伙伴。一个可信赖合作伙伴应拥有互联网安全防护的成功记录和全方位海量最佳（best-of-breed）技术，能为客户提供其所需经验结晶、丰富资源和持续创新从而遥遥屹立于安全防护领域的领先位置。此提供商还要能通过及时了解每个客户的需求，提供一个单一来源解决方案来满足客户的需求，同时提供实时支持和更新以随时确保解决方案的最大有效性。

其所提供的解决方案的拥有、管理和长期支持还必须是经济高效，以便安全防护方面费用能在企业的IT预算之内，而不至于更成为企业研究解决方案的另一个问题。

安全防护的实际运作

回顾上文对于三类企业的探讨，我们可以看出这些关键要素在一个有效的互联网安全防护策略中起了怎样的作用。

A类企业首先定制好符合其策略和优先级的互联网安全防护解决方案，接着使用健全报表功能来很好控制企业所面临的商业风险。

彻底关闭点对点网络和podcasts的不适当使用，释放重要网络资源并消除版权侵权的风险。

每个电子邮件都针对企业所有知识产权的关键字和特定内容的进行扫描，真正做到万无一失。

即时通信和上网冲浪得到完全控制，可帮助行业规范和法规得到很好遵从。

与工作无关的网站或不安全的网站会被禁止，由此网络赌徒再也不能使用公司的资源，只能利用其私人时间进行游玩。

B类企业拓展了全方位的安全防护。无论是从家里还是从酒店，无论是通过一个无线上网据点、客户端网络还是无线互联网服务提供商（ISP），公司员工都可重新连接到公司网络，而移动PC上威胁都会被拦截下来，无法进入企业环境。可移动存储设备也得到同等有效的安全保护。

C类企业选择按需服务而不是软件或硬件解决方案，可在不超出企业预算前提下得到有效安全防护。它还能保持对一个网络或网关解决方案的有效控制和策略管理，且有值得信赖业领导提供商提供全面支持和丰富资源作为后盾来保证解决方案的快速实施和低运行时间。

提高防护功能

SurfControl提供的同类最佳互联网防护解决方案和技术已长期成为威胁防护领域的标准。SurfControl解决方案经设计可为任一网络环境提供安全防护，现在还可根据客户的特定需求进行部署，不仅可虑及每个关键易受攻击环节，还可虑及web、电子邮件和客户端安全防护的各种因素。

其实时推断技术更是得到了全球多个威胁分析专家组全天候支援，可识别和应对新型威胁，包括各种形式的恶意软件、零日威胁（zero day threats）和快速演变的混和型威胁。

SurfControl增强了个性化管理、监控和报表工具，可提供更好可视性，帮助客户更有效定义、管理、监控和强制执行所制定的策略。企业可获得:

更好业务视角和策略执行。健全的易用的工具使用户能够更加全面的了解员工上网行为、资源使用情况和潜在的威胁，从而帮助企业更好调整策略，确保策略的正常实施。全面的内容监控帮助企业将相关法律法规风险降低到最小程度，避免网络不适当使用和策略侵权行为。

企业网络安全方案篇7

Abstract: With the rapid development of Internet, information security problems are facing new challenges. The problem of information security in power system has threatened the security, stability, economic, high-quality operation of the power system, affecting the process of "digital power system ". It is the important content of current information work that studying the problem of information security in power system, developing the corresponding application system, formulating preventive and system recovery measures when power system information is attacked. Power system information security has become the important component of electric power enterprise production, operation and management.

关键词: 电力系统;网络安全;电力网络

Key words: electric system;network security;power network

中图分类号:TM7文献标识码:A文章编号:1006-4311(2010)28-0136-02

0引言

近年来,随着我国电力系统走向市场步伐的加快,国家电力工业体制开始向市场转变,各级供电企业纷纷建立信息系统和基于Internet的管理应用,以提高劳动生产率,提高管理水平,加强信息反馈,提高决策的科学性和准确性,提高企业的综合竞争力。但是,电力企业网络的发展,也面临日益突出的信息系统安全问题。在电力企业的综合信息管理系统中,必须从网络、操作系统、应用程序和业务需求等各方面来保证系统的安全。

1网络安全的威胁

1.1 病毒传播通过光盘,磁盘等存储介质传播到某一台电脑,通过局域网共享进入其他电脑,还可以通过网络下载,浏览以及即时通讯工具进行传播和破坏。

1.2 密码攻击通过黑客程序或网络窃听等方式获取对方机器上的密码文件,修改关键网络文件和服务帐户的访问权。

1.3 网络窃听直接或间接截获网络上的特定数据包并进行分析来获取所需信息。

1.4 数据篡改截获并修改网络上特定的数据包来破坏目标数据的完整性。

1.5 IP欺骗网络外部的攻击者假冒受信主机,要么是通过使用网络IP地址范围内的IP,要么是通过使用信任并可提供特殊资源位置访问的外部IP地址。

1.6 垃圾邮件黑客利用自己在网络上所控制的计算机向企业的邮件服务器发送大量的垃圾邮件,或者利用企业的邮件服务器把垃圾邮件发送到网络上其他的服务器上。

1.7 非法入侵黑客利用企业网络的安全漏洞,不经允许非法访问企业内部网络或数据资源,从事删除、复制甚至毁坏数据的活动。

2电力行业对网络安全的时代要求

目前,我国的电力行业正在加快市场化改革的步伐,进行“厂网分离、竞价上网”的电力改革,并在包括东北三省、上海、浙江、山东进行了电力市场试点,以打破电力行业的封闭性与独家垄断模式,促进良性竞争环境的产生。中国电力行业正在走入一个崭新的发展阶段,一个以电力市场为核心、以电力生产调度为基础的高效率的电力行业供应链正在形成,因此,新兴的IT技术如CRM、ERP、SCM、E-Marketplace在电力行业中得到了越来越广泛的应用,对电力网络安全技术的研究也提出了越来越高的要求。

2.1 制定安全策略掌握保障安全性所需的基础技术,并规划好发生特定安全事物时企业应该采取的解决方案。一般来说,安全策略包括一个总体的安全策略和具体的规则。总体安全策略制定一个组织机构的战略性安全指导方针,并为实现这个方针分配必要的人力物力。

2.2 物理隔离即在网络建设的时候单独建立两套相互独立的网络,一套用于部门内部办公自动化,另一套用于连接到Internet。

2.3 安装防火墙连接到Internet的每一个人都需要在其网络入口处采取一定的措施,以阻止恶意的网络通信。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问对专用网络的非法访问。一般来说,这种防火墙的安全性能很高,不容易被破坏和入侵。

2.4 随时更新桌面防毒系统由于病毒不断以新的形式、种类出现,所以要即时升级防毒系统软件以便查杀新生病毒。

2.5 强化服务器“强化”涉及两个简单的实践法则,购买商业软件时,删除您不需要的所有东西:如果不能删除就把它禁用。可以通过强化来删除的典型对象包括:示例文件、使用向导演示、先用后付费的捆绑软件以及在可以预见的将来不准备使用的高级特性,安装越复杂,越有可能留下安全隐患。所以,将安装精简到不能再精简的程度。

2.6 补丁策略2001年,当“红色代码”(CodeRed)浮现的时候,它攻击的一个漏洞,是微软在9月前就提供的免费补丁。但是,这个蠕虫仍然快速和大面积的蔓延,原因是管理员没有下载和安装这个补丁。今天,从一个新的漏洞被发现开始,到新的大规模攻击工具问世,两者间隔的时间已经缩短了许多。厂商安全补丁后,IT管理员需要做出快速响应。

3电力行业网络安全方案研究

3.1 总体方案在硬件层,电力行业应该考虑采用较为深入的基础建设的方案。目前,在电力行业,全球有65%以上的信息支持系统和解决方案都是基于Alpha平台。某省电力有限公司将整个电力市场运行管理系统建设成为配置合理、功能齐全、扩展性强并集EMS、TMR、SPDnet、电力市场运行管理及省网调度专用MIS(DMIS)一体化的集散式系统,电力市场运行管理系统的配置平台主要包括电力市场数据库主服务器:采用两台康柏GS60E高端企业级UNIX服务器+RA8000磁盘陈列作为双机集群,采用Tru64 Unix操作系统、ORACLE 8.0i数据库管理系统,并用TruCluster 5.0集群软件,实现了双机均衡负载,双机互相热备用;实时调度应用子服务器、信息(Web)应用子服务器,各采用两台康柏 ML570高档微机服务器,以互为备用方式作为应用服务功能;计划管理应用子服务器、考核结算应用子服务器、合同管理应用子服务器、市场运营管理应用子服务器,各采用一台康柏 ML530中档微机服务器完成应用功能。另外,针对电力行业的海量存储与容灾备份需求,康柏也曾推广了成功的应用,如香港中华电力、浙江电力,甘肃电力等,服务于用电营销、ISO、电力交易市场、客户关系管理与呼叫中心的建设运营等业务(该段资料来源康柏)。

3.2 网络层安全方案应用信息系统在网络层采用了防火墙技术。由于电力企业对于数据的实时性要求较高,数据的传输量也较大,因此对于电力网络的性能有很高的要求。另外,电力企业涉及到电网供电,其安全性也必须得到切实保证,目前大多数的电力企业均已不同程度地使用了网络安全技术和产品来进行保护。清华同方应用信息系统本部为电力系统提供的网络安全层解决方案具备易用性和易管理性和良好的扩展性等特点,不但适应网络层安全技术未来发展的需求,而且还能保证电力企业现有的投资不被浪费。

3.3 应用层安全方案在网络的应用层上,应用信息系统对电力行业系统安全解决方案采用了严格的身份认证,不同粒度的访问控制,数据完整性、保密性和非否认性检测以及安全审计记录等技术。其中身份认证可以支持基于对称密钥的Kerberos 和基于公钥的X.509证书等在内的各种身份认证技术。而不同粒度的访问控制则可以根据不同网络应用提供文件、页面或端口级的访问控制。而在数据完整性、保密性和非否认性检测中,采用了高强度加密算法,数字签名、时间戳和会话密钥等技术。该网络安全解决方案的另一个突出优点是除了能进行入侵检测和漏洞扫描外,还能无缝地集成到第三方应用系统的安全机制中,做到统一管理。

3.4 数据备份及容错方案对于企业来说,最珍贵的不是计算机、硬盘、CPU和显示器等硬件设备,而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说,数据备份和容错方案是必不可少的。应用信息系统对电力行业系统安全解决方案的数据备份采用软、硬结合的全面解决方案,包括磁带机、备份管理软件和存储区域网络在内的各种技术,具有可靠性高、速度快、性能价格比高等特点。先进的系统体系结构,使其可以支持包括SAN在内的各种网络备份技术;支持各种主流计算机操作系统、各种操作系统文件、各种主流数据库系统;支持非结构化数据(如Lotus Notes)的数据备份、系统在线数据备份和完全、增量和差分等各种备份策略,备份过程中,支持各种数据校验技术。另外,清华同方应用信息系统本部的电力行业系统安全解决方案的数据备份还提供了先进的备份管理功能,实现备份、恢复智能化和操作故障的自动提示。其具有的可扩展性,可根据电力企业业务的扩大,平滑扩展,保护已有投资。关于容错,该解决方案中的容错方案可实行实时监控,能自动后援切换,支持双机热备份和双机互备援等各种规划方式,具有伸缩能力强,对现有系统影响小,管理简单方便等特点。

3.5 病毒防范方案针对在Internet上,病毒肆虐,企业信息系统每天都有面临预测的可能,应用信息系统对电力行业系统安全解决方案提供了病毒防范方案,其技术特点是:企业级网络防毒;病毒库网络自动更新;管理简单有效。

4结语

网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。

参考文献:

[1]任红卫,邓飞其.计算机网络安全主要问题与对策[J].网络安全技术与应用,2004,(9):31-33.

[2]关启明.计算机网络安全与保密[J].河北理工学院学报,2003,(25):88-89.

[3]侯海波,杨军.容灾技术概览[J].网络安全技术与应用,2004,(8):15-17.

企业网络安全方案篇8

关键词：网络安全；802.1X协议；企业内网；安全接入控制

中图分类号：TP393 文献标识码：A 文章编号：1009-2374（2013）23-0157-03

目前，国内的大中型企业均已完成了企业内部网络和信息系统的建设，但各类来访人员终端接入公司内部网络时，普遍处于不可控状态；另外，企业在金融资本市场上需要遵守某些国际的规则和法案（如SOX法案404条款）。企业成立内控部门，力求企业生产运营过程各环节的可追溯、可审计。因此，需要通过对于终端接入的认证管理，实现终端接入的可控和可审计，满足安全和内控要求。现有企业网络还不能满足上述需求。本文针对这些需求进行研究，提出解决方案。

1 802.1X协议及解决方案

1.1 什么是802.1X

IEEE 802.1X是IEEE制定关于用户接入网络的认证标准。它的全称是“基于端口的网络接入控制”。802.1X协议起源于802.11协议，802.1X协议的主要目的是为了解决无线局域网用户的接入认证问题。

在802.1X出现之前，企业网上有线LAN应用都没有直接控制到端口的方法，也不需要控制到端口，但是随着无线LAN的应用以及LAN接入在电信网上大规模开展，有必要对端口加以控制，以实现用户级的接入控制。802.1X就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。

1.2 802.1X认证体系结构

802.1X的认证体系分为三部分结构：Supplicant System客户端（PC/网络设备）、Authenticator System认证系统、Authentication Server System认证服务器。

基于以太网端口认证的802.1X协议有如下特点：IEEE802.1X协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1X的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入功能。

1.3 802.1X解决方案

1.3.1 Cisco NAC。思科与防病毒厂商（包括趋势、McAfee等）合作的安全网络接入控制（下称NAC）方案，可实现基于用户身份的认证，也可对客户端防病毒安全状态进行评估，对不满足条件（预先制定的策略）的用户，对其接入网络的能力和范围实现控制，从而提高全网整体的安全防护能力；采用思科网络安全接入控制方案（NAC），可以有效地解决SOX法案要求局域网接入认证的内控要求。

NAC是由思科公司倡导的跨业界合作的整套安全解决方案，自2003年11月提出后获得防病毒厂商的广泛支持。目前，包括国外软件厂商：趋势科技、McAfee、赛门铁克、CA、IBM，国内软件厂商：瑞星和金山等15家安全领域主要厂商，都已成为思科NAC合作伙伴。

1.3.2 华为 I3SAFE Numen。I3SAFE Numen终端安全系统（以下简称终端安全系统）是在I3SAFE Numen系统框架基础上开发的针对企业、运营商的内部网络终端安全防护产品。终端安全系统通过在每一台终端上安装安全，对终端的安全状况进行检测，并实时监控和采集用户涉及主机安全的行为记录。同时通过与接入设备的联动，限制不符合安全要求的终端的上网。

1.3.3 局域网准入方案比较。

实施方法比较：

（1）协议方面。两种方案都采用EAP协议、RADIUS协议和802.1X协议实现接入控制。但思科的方案还可以支持不采用客户端的方式实现接入认证，即无客户端方式，为用户提供另外一种选择。

身份认证管理方面。两种方案在后台都选择了使用RADIUS服务器作为认证管理平台；华为只能以用户名/密码方式进行身份认证，思科除了采用用户名/密码方式外，还可以采用证书方式管理用户身份。

管理方式方面。都采取集中式控制和管理方式。策略控制和应用由策略服务器（通常是RADIUS服务器）和第三方的软件产品（病毒库管理，系统补丁等）协作进行；用户资料和准入策略由统一的管理平台负责。

（2）协作厂商比较。NAC是由思科公司倡导的跨业界合作的整套安全解决方案，于2003年11月提出。其主旨是向已获授权的合作伙伴提供协议和技术信息，以便合作伙伴开发和销售支持NAC网络、策略服务器及客户端应用。NAC方案支持的厂商包括国外软件厂商：趋势科技、McAfee、赛门铁克、CA、IBM，国内软件厂商：瑞星和金山等15家安全领域主要厂商。

EAD方案，于2005年底在媒体上逐步推出。EAD方案目前支持的厂商主要有瑞星、江民、金山三家厂商。

（3）对现网设备利旧的支持。思科NAC方案和华为EAD方案虽然在业务控制流程和功能组件上类似，都是基于对802.1X和EAP协议的开发，但目前并不兼容。

NAC方案：由于目前大型企业数据网络设备中主要采用的是思科的接入设备和策略控制服务器，采用思科NAC方案可以充分利用现有的网络设备和策略控制设备。

EAD方案：如果采用华为EAD方案，现在思科的接入设备将全部更换，并且需要配置新的策略控制设备。

（4）与现网设备的兼容性。

NAC方案：思科方案与现网设备不存在兼容性问题。

EAD方案：由于华为EAD方案必须采用华为的二层交换机，与现网思科的交换机互联，很容易出现由于生成树协议配置不当而引起广播风暴。

2 接入控制技术的实际应用

2.1 企业内部网络现状

浙江某运营商DCN网络是企业的运行支撑网络，为各个专业网管系统和企业应用系统提供了统一的数据通信平台，目前网络已经覆盖到各交换母局和大的营业网点。

当前存在的问题如下：（1）移动办公和远程维护的需求强烈，但缺乏安全的接入手段，因此只能小范围试用。（2）内网多出口现象严重，绕开统一出口直接访问公网，造成病毒严重，严重威胁内网安全。（3）缺乏安全的内网无线接入手段。（4）内网缺乏统一的安全策略规范和控制机制。（5）没有接入控制机制，内网接入随意，基本没有保护，对第三方人员和企业内部员工不健康的终端均无限制手段，严重威胁企业信息安全。

2.2 工程实施内容及建设方案

2.2.1 工程建设需求：（1）满足远程接入需求，实现用户在外网时能够安全接入DCN网络；（2）满足用户通过统一入口VPN方式接入DCN网络后，能够访问各类内网应用系统；（3）用户在外网接入内网时，应首先通过入口的Radius认证和动态口令认证；（4）终端在局域网通过有线或无线方式接入时，对终端安全性进行检测，认证后准许进入网络。

2.2.2 工程建设方案。

工程组网：Internet统一出入口通过一台Juniper ISG2000防火墙DCN的出口网关设备，完成省公司员工访问Internet的访问控制和安全防护；两台SA4000设备部署在防火墙的DMZ区，连接在DMZ交换机上，采用A/P的高可用方式部署，防火墙映射一个公网地址到SA集群的浮动地址上。防火墙实现基本DOS保护、策略过滤，SA设备则实现SSL VPN，进行应用层保护过滤和接入。部署一套Juniper SBR radius软件，作为DCN网络AAA认证服务器，用于实现对内部各系统的集中身份认证和授权。该系统能够与原有的目录服务器结合，降低部署的复杂度。

终端安全检查策略：Juniper SA 4000设备在用户接入前通过预先设定的策略检查用户终端的安全状况，包括补丁、杀毒软件安装或更新情况。根据DCN的终端安全要求设定终端安全检查策略，一般建议检查是否安装有杀毒软件，不符合条件的拒绝登录或提示后登录。

接入方式：由于SA 4000设备具有Core、SAM和NC三种接入方式，三种方式获得的权限各不相同，对于每个用户组（Role），需要选择其能够使用的接入方式。

资源策略设置：在每种接入方式下，可以设定Role能够访问的资源，类似于防火墙的ACL（访问控制列表）。根据不同Role的实际需要，设定不同的访问权限，保证每个用户能够访问到其必须访问的资源，同时不获得超出其工作需要的权限。

局域网内，通过部署Cisco的NAC方案实现无线和有线接入时基于802.1X的终端认证和健康性检查。企业可以根据不同的安全策略对终端安全状况进行检测，内容包括终端补丁安装情况、终端防病毒软件安装以及版本更新情况、病毒代码库的更新情况、个人防火墙的配置情况、屏幕保护的配置情况等，并保护企业重要信息资源不被外来终端访问，阻止外来终端或者未纳入终端管理系统的终端接入到企业网络。通过企业目录服务集成，提供统一身份认证，统一授权的基础，确保用户信息在各系统中的

同步。

2.3 工程实施效果

工程实施效果见表1。

3 结语

企业信息化建设过程中，较多关注于信息系统建设，对于信息化基础的网络安全，关注不够全面，本文重点关注于之前企业安全管理薄弱的网络接入控制技术，并结合业界解决方案，应用于实际工程。

参考文献

[1] 宁宇鹏，薛静锋.信息安全-理论、实践与应用[M].

[2] 马燕，曹周湛，等.信息安全法规与标准[M].北京：机械工业出版社.

[3] 高海英.VPN技术[M].北京：机械工业出版社.

[4] 802.1X IEEE Standard for Localand metropolitan are ane tworksPort-Based Network Access Contr ol IEEEStd 802.1X?-2004.