企業(yè)網(wǎng)絡安全建設實踐精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)網(wǎng)絡安全建設實踐主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)網(wǎng)絡安全建設實踐范文

關鍵詞：企業(yè)網(wǎng)絡；信息安全；安全方案構(gòu)建

1 企業(yè)計算機網(wǎng)絡安全方案的構(gòu)建意義

目前，我國大中型企業(yè)信息化建設中的關鍵部分就是信息安全建設，解決信息安全問題有利于企業(yè)信息化建設工作的全面推進。企業(yè)信息安全建設的最終目的是要真正做到“防患于未然”，信息安全的有效性建設能夠控制企業(yè)信息化建設的總體成本，為企業(yè)節(jié)約大量資金，實現(xiàn)資源優(yōu)化配置。企業(yè)計算機網(wǎng)絡安全建設工作要始終堅持等級保護理念，才能促進企業(yè)信息安全建設工作的穩(wěn)步實施，保證企業(yè)信息管理系統(tǒng)的建設符合行業(yè)標準和政策規(guī)定，全面提升企業(yè)在激烈的市場競爭中的競爭力。

2 企業(yè)計算機網(wǎng)絡安全的弱點和威脅

2.1 信息安全弱點

信息安全弱點與企業(yè)信息資源密切相關，信息安全弱點的暴露很有可能導致企業(yè)資產(chǎn)的嚴重損失。但是，信息安全弱點本身并不會為企業(yè)帶來損失，只是在特定的環(huán)境下被非法者利用后才會造成企業(yè)資產(chǎn)損失，例如，企業(yè)信息系統(tǒng)開發(fā)過程中的脆弱性問題，管理員的管理措施問題等，這些信息安全弱點都為非法攻擊者提供了非法入侵的可能。

2.2 信息安全威脅

信息安全威脅指的是對企業(yè)資產(chǎn)構(gòu)成潛在性的破壞因素，信息安全威脅的產(chǎn)生包括人為因素和自然環(huán)境因素。信息安全威脅可能是偶然發(fā)生的事件，也有可能是人為蓄意制造的時間，包括信息泄露、信息篡改等，這些事件都會導致企業(yè)信息的可用性、完整性和保密性遭到破壞，屬于對企業(yè)信息的惡意攻擊。

2.3 網(wǎng)絡安全事件

由于網(wǎng)絡特有的開放性特點，造成了非法攻擊、黑客入侵、病毒傳播等海量安全事件發(fā)生，信息安全領域?qū)τ诰W(wǎng)絡安全的研究也日益重視。根據(jù)大量網(wǎng)絡安全事件分析來看，企業(yè)信息管理系統(tǒng)的應用設計存在著諸多缺陷和弊端，給情報機構(gòu)的非法入侵提供了極大的可能性。由此，內(nèi)容分級制度、脆弱性檢測技術(shù)、智能分析技術(shù)已經(jīng)廣泛應用于企業(yè)信息系統(tǒng)開發(fā)過程中。

3 企業(yè)計算機網(wǎng)絡安全存在的主要問題

⑴企業(yè)分部采用寬帶撥號上網(wǎng)的方式與企業(yè)總部實現(xiàn)通信傳輸，這種落后的網(wǎng)絡通信方式難以保證數(shù)據(jù)傳輸?shù)陌踩?。企業(yè)信息安全級別較高的部門通過互聯(lián)網(wǎng)實現(xiàn)數(shù)據(jù)傳輸?shù)倪^程中，沒有采取任何數(shù)據(jù)加密措施，非常容易造成數(shù)據(jù)信息的泄露和篡改，同時，企業(yè)信息管理系統(tǒng)的操作應用沒有設置明確的管理人員，導致其他非法用戶也可以入侵到企業(yè)內(nèi)部網(wǎng)絡中，對服務器數(shù)據(jù)進行竊取和篡改。以上兩種網(wǎng)絡安全問題都容易造成企業(yè)重要數(shù)據(jù)的泄露，甚至給企業(yè)帶來不看估計的損失。

⑵隨著企業(yè)網(wǎng)絡規(guī)模的日益擴大，在網(wǎng)絡邊界如果仍然采用路由器連接企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡，已經(jīng)無法適應飛速發(fā)展的網(wǎng)絡互連技術(shù)。企業(yè)雖然可以在網(wǎng)絡邊界的路由器中設置訪問控制策略，但是仍然存在來自互聯(lián)網(wǎng)的各種非法攻擊、IP地址攻擊、ARP協(xié)議欺騙等問題，這表明了企業(yè)需要一善可靠的防火墻設備，來對企業(yè)網(wǎng)絡的數(shù)據(jù)傳輸提供有效控制和保護。

⑶由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，為企業(yè)提供了豐富的信息資源，除了企業(yè)日常運營需要使用網(wǎng)絡資源，其他工作人員也有可能通過網(wǎng)絡獲取信息資源，例如使用迅雷、BT等軟件下載視音頻信息等，網(wǎng)絡下載會占用企業(yè)大部分帶寬資源，嚴重的會導致系統(tǒng)管理員無法對網(wǎng)絡終端的訪問情況進行有效管理，或者某一個計算機終端因下載感染病毒而引發(fā)ARP欺騙。

⑷隨著互聯(lián)網(wǎng)應用的日益普及，木馬病毒的廣泛傳播，企業(yè)員工計算機使用水平參差不齊，不能保證對網(wǎng)絡中的有害信息進行有效識別，由此導致了木馬病毒在企業(yè)內(nèi)部網(wǎng)絡的感染和傳播。因此，需要定期對企業(yè)數(shù)據(jù)傳輸?shù)脑紨?shù)據(jù)流進行病毒查殺和威脅分析，以此起到有害信息過濾的作用，使流入企業(yè)內(nèi)部網(wǎng)絡的數(shù)據(jù)信息能夠安全可靠，真正降低企業(yè)信息安全風險。同時，企業(yè)可以采用網(wǎng)關防病毒產(chǎn)品，在企業(yè)內(nèi)部網(wǎng)絡與外部網(wǎng)絡處進行隔離保護，當木馬病毒出現(xiàn)時可以被攔截在企業(yè)內(nèi)部網(wǎng)絡之外，為企業(yè)提供可靠的安全邊界保護。

4 企業(yè)計算機網(wǎng)絡安全方案的構(gòu)建實施

企業(yè)總部需要與企業(yè)分部，以及其他合作企業(yè)之間實現(xiàn)數(shù)據(jù)傳輸與交換，企業(yè)派往外地出差的員工也需要通過遠程網(wǎng)絡訪問企業(yè)總部內(nèi)網(wǎng)的信息管理系統(tǒng)，因此，不同用戶企業(yè)總部內(nèi)部網(wǎng)絡的訪問有著不同需求，企業(yè)必須具有安全可靠、性能較高、成本較低的網(wǎng)絡接入方式。由于企業(yè)分部大部分與企業(yè)總部不在一個城市，在企業(yè)總部與企業(yè)分部之間鋪設光纜線路是極為不現(xiàn)實的；如果租用專用光纖網(wǎng)絡通信線路，高額的租賃費用會嚴重增加企業(yè)運營發(fā)展的經(jīng)濟負擔；如果將企業(yè)總部內(nèi)部網(wǎng)絡的應用服務器映射在網(wǎng)關位置，雖然能夠方面用戶遠程訪問企業(yè)內(nèi)部信息管理系統(tǒng)，但會給企業(yè)網(wǎng)絡帶來巨大的安全隱患。本文基于以上分析，本文選擇利用VPN技術(shù)（虛擬局域網(wǎng)）在企業(yè)內(nèi)部網(wǎng)絡出口處，虛擬設置一條網(wǎng)絡專線，以此將企業(yè)總部與企業(yè)分部網(wǎng)絡進行有效連接，形成一個規(guī)模較大的局域網(wǎng)，真正實現(xiàn)了用戶遠程訪問和接入。VPN技術(shù)不僅能夠滿足異地用戶對企業(yè)總部網(wǎng)絡信息管理系統(tǒng)的訪問需求，而且充分保證了用戶訪問的安全性，避免了單點登錄技術(shù)對企業(yè)整個網(wǎng)絡構(gòu)成的安全威脅。

企業(yè)在部署上網(wǎng)行為管理設備（SINFOR M5X00-AC）時，應該開啟VPN功能，在企業(yè)總部內(nèi)部網(wǎng)絡的邊界防火墻設備中進行端口映射，同時在企業(yè)分部網(wǎng)絡中安裝上網(wǎng)行為管理設備，并且與企業(yè)總部的上網(wǎng)行為管理設備共同利用VPN技術(shù)建立虛擬專用網(wǎng)絡，在對數(shù)據(jù)信息進行加密后在互聯(lián)網(wǎng)上傳輸。企業(yè)在構(gòu)建虛擬專用網(wǎng)絡時，只要在任何一端的連接管理設置中輸入對方網(wǎng)絡地址，VPN設備就可以自動進行虛擬局域網(wǎng)組建，網(wǎng)絡中的任何計算機終端都可以通過虛擬專用網(wǎng)實現(xiàn)數(shù)據(jù)傳輸與共享。如果還有其他分部需要加入到虛擬局域網(wǎng)中，則可以通過輸入加密的訪問WAN扣地址實現(xiàn)。需要注意的是，已將連通的虛擬局域網(wǎng)的內(nèi)網(wǎng)網(wǎng)段不能完全相同。

企業(yè)在部署上網(wǎng)行為管理設備時，由于訪問控制策略是信息安全策略的核心部分，也是對網(wǎng)絡中數(shù)據(jù)傳輸?shù)年P鍵保護措施，由此，需要對接入企業(yè)總部網(wǎng)絡的用戶進行身份認證，根據(jù)不同用戶的身份授予不同權(quán)限，再利用配置邏輯隔離服務器實現(xiàn)不同用戶身份對不同應用服務器的接入，從而對企業(yè)內(nèi)部網(wǎng)絡中的業(yè)務信息管理系統(tǒng)進行訪問和使用。同時，安全級別為五級的QoS安全機制能夠為企業(yè)不同信息系統(tǒng)提供相應的安全服務保障，并且可以按照業(yè)務類別劃分優(yōu)先級別，重要的數(shù)據(jù)信息將會獲得優(yōu)先傳輸?shù)臋?quán)限。對用戶訪問權(quán)限的細致劃分可以限制非法用戶對網(wǎng)絡資源的訪問和使用，防止非法用戶入侵企業(yè)內(nèi)部網(wǎng)絡進行破壞性操作，直接對接入企業(yè)內(nèi)部網(wǎng)絡的各項訪問應用進行管控，真正提高了企業(yè)網(wǎng)絡系統(tǒng)的安全性。

在企業(yè)內(nèi)部網(wǎng)絡部署應用安全產(chǎn)品過程中，需要綜合考慮如何完成安全產(chǎn)品的部署策略，才能使安全產(chǎn)品的性能充分發(fā)揮，同時，企業(yè)內(nèi)部網(wǎng)絡還可以將不同的安全產(chǎn)品集成應用，使其發(fā)揮最大功能，充分提高企業(yè)信息管理系統(tǒng)的安全性和可靠性。

本文基于信息安全等級指導思想下，對企業(yè)內(nèi)部網(wǎng)絡存在的問題進行了分析，并提出了良好的解決方案，包括防火墻的部署、入侵檢測設備的部署、上網(wǎng)行為管理設備的部署、防毒墻的部署、企業(yè)版殺毒軟件的部署等。

5 結(jié)論

綜上所述，本文在網(wǎng)絡信息安全等級保護理念下，將企業(yè)內(nèi)部網(wǎng)絡的安全防護的有效性作為最終目標，對企業(yè)網(wǎng)絡信息安全存在的風險進行深入分析，結(jié)合企業(yè)實際情況，提出了企業(yè)計算機網(wǎng)絡安全設計方案，保障了企業(yè)總部內(nèi)部網(wǎng)絡與分部網(wǎng)絡之間數(shù)據(jù)傳輸通信的安全性和可靠性。

[參考文獻]

[1]李正忠.電力企業(yè)信息安全網(wǎng)絡建設原則與實踐[J].中國新通信，2013，09：25-27.

[2]王迅.電信企業(yè)計算機網(wǎng)絡安全構(gòu)建策略分析[J].科技傳播，2013，07：217+209.

[3]陳瑋.企業(yè)無線網(wǎng)絡移動辦公的安全接入問題分析[J].信息通信，2013，03：239.

第2篇：企業(yè)網(wǎng)絡安全建設實踐范文

關鍵詞：企業(yè)信息安全；網(wǎng)絡安全；計算機網(wǎng)絡；防火墻；防病毒

網(wǎng)絡的普及和蔓延已經(jīng)深入到日常生活的方方面面，一個不能忽略的問題也伴隨著網(wǎng)絡的普及滲入到人們的生活中，那就是網(wǎng)絡安全問題。2017年5月一種名為“WannaCry”的勒索病毒全球范圍內(nèi)爆發(fā)，傳播速度之快已經(jīng)對全球網(wǎng)絡安全構(gòu)成了嚴重威脅。據(jù)權(quán)威機構(gòu)研究顯示，中國每年遭受600億美元的網(wǎng)絡損失，位居亞洲第一。目前在國內(nèi)，網(wǎng)絡安全威脅的行業(yè)范疇眾多，如教育、醫(yī)療、企業(yè)、電力、能源、交通、政府等組織及機構(gòu)均是網(wǎng)絡安全的保障范圍。

現(xiàn)階段的網(wǎng)絡安全已經(jīng)不是單個組織、單一個人的防范行為，而是隨著整個社會對信息安全的意識的覺醒形成的一個完整的網(wǎng)絡安全產(chǎn)業(yè)。隨著企業(yè)網(wǎng)絡安全意識的提高，網(wǎng)絡安全市場的規(guī)模也在逐年增長，伴隨的安全產(chǎn)品和安全解決方案也是層出不窮，作為一般企業(yè)如何結(jié)合企業(yè)自身需求建立完善的網(wǎng)絡安全策略，形成一個符合自身情況的網(wǎng)絡安全方案是本文要討論的重點。

1網(wǎng)絡安全概述

隨著網(wǎng)絡技術(shù)的普及和蔓延，越來越多的企業(yè)都開始通過網(wǎng)絡技術(shù)構(gòu)建企業(yè)內(nèi)部的信息平臺，將企業(yè)的業(yè)務數(shù)據(jù)信息化以提升企業(yè)的綜合實力，借助網(wǎng)絡技術(shù)加速企業(yè)的發(fā)展在行業(yè)內(nèi)取得技術(shù)上對的領先優(yōu)勢。其業(yè)務運營越來越依賴于對計算機應用系統(tǒng)，而計算機應用系統(tǒng)是建立在完善的技術(shù)網(wǎng)絡環(huán)境中的。隨著計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結(jié)構(gòu)日益復雜，對計算機網(wǎng)絡的運維水平有著較大的挑戰(zhàn)。而近年來的網(wǎng)絡攻擊事件頻出，企業(yè)的信息安全防范意識也提高到了日常運維的日程中來了。從網(wǎng)絡安全的管控模型來分析，網(wǎng)絡安全一般采用動態(tài)的防御過程，一般要在安全事件發(fā)生的前、中和后均采用合理的技術(shù)方案，而網(wǎng)絡安全管理流程則會在整個網(wǎng)絡運營流程中起作用。企業(yè)的網(wǎng)絡管理人員已經(jīng)將網(wǎng)絡安全納入企業(yè)的IT規(guī)劃發(fā)展的整體范疇，全面覆蓋企業(yè)信息平臺的各個層面，對整個網(wǎng)絡及應用的安全防范通盤考慮。

從網(wǎng)絡安全的發(fā)展歷程來說，是由于網(wǎng)絡自身的發(fā)展引發(fā)的安全問題才使得網(wǎng)絡安全技術(shù)誕生了，目前而言有網(wǎng)絡的地方就存在網(wǎng)絡安全隱患。像黑客攻擊、病毒入侵之類的網(wǎng)絡安全事件，都是利用計算機網(wǎng)絡作為主要的傳播途徑，其時間的發(fā)生頻率可以說和信息的傳播速度一樣快，這也是網(wǎng)絡安全的特點之一。除此之外，像非法用戶的訪問和操作，用戶信息的非法截取和更改，惡意軟件入侵和攻擊等都是現(xiàn)今普遍存在于計算機網(wǎng)絡的安全事件。顯然，其所帶來的危害也是讓每一位計算機用戶有著深刻的體會，例如：因為某種病毒讓操作系統(tǒng)運行不穩(wěn)定，導致文件系統(tǒng)中的數(shù)據(jù)損壞無法訪問和讀寫，甚至導致磁盤、計算機、網(wǎng)絡等硬件的損壞，造成極大的經(jīng)濟損失。

由于企業(yè)的網(wǎng)絡環(huán)境建設過程一般歷經(jīng)了數(shù)年甚至數(shù)十年，網(wǎng)絡中接人的設備數(shù)量和種類眾多，網(wǎng)絡中的應用和內(nèi)部系統(tǒng)也繁多。再加上，一般要求企業(yè)的網(wǎng)絡運行是7*24小時不間斷作業(yè)運行，其產(chǎn)生的數(shù)據(jù)往往巨大，其中不乏大量的敏感信息。這樣的網(wǎng)絡環(huán)境，必然給惡意代碼、病毒程序、網(wǎng)絡攻擊等惡意的攻擊事件留下了隱患，可以毫不客氣地說企業(yè)的網(wǎng)絡環(huán)境往往是危機四伏。

2網(wǎng)絡安全實踐

2.1網(wǎng)絡安全誤區(qū)案例分析

目前針對網(wǎng)絡安全事件頻繁發(fā)作，不少企業(yè)采購了相關的安全產(chǎn)品并配合了相關的安全措施，但是缺乏對網(wǎng)絡安全框架的理解存在不少誤區(qū)，主要有以下幾個方面。

1）部署網(wǎng)絡防火墻就萬事大吉了

防火墻主要原理是過濾封包與控制存取，因此對非法存取與篡改封包及DoS攻擊等網(wǎng)絡攻擊模式是極其有效的，對于網(wǎng)絡隔離和周邊的安全防護效果明顯。顯然如果攻擊行為繞開防火墻，或是將應用層的攻擊程序隱藏在正常的封包內(nèi)，防火墻就失效了，這是由于大多數(shù)防火墻是工作在W絡層，并且其原理是“防外不防內(nèi)”，對內(nèi)部網(wǎng)絡的訪問不進行任何處理，顯然這種原理就成為了安全隱患和漏洞。

2）定期更新殺毒軟件就能夠保護系統(tǒng)不受病毒侵擾

顯然安裝殺毒軟件是避免系統(tǒng)被病毒破壞的主要手段之一，但是這僅僅只能對已知病毒進行查殺，對于未知病毒顯然缺乏事先預防的能力。

3）病毒只會在萬維網(wǎng)中傳播

雖然目前萬維網(wǎng)是病毒傳播的主要途徑，但是對于企業(yè)內(nèi)部網(wǎng)絡可能會通過u盤、刻錄光盤、郵件、企業(yè)協(xié)同系統(tǒng)等從外部帶人病毒，因此只要計算機運行了，就要需要做好防范病毒措施。

4）為了避免病毒感染只要設置文件屬性為只讀即可

通常操作系統(tǒng)的shell調(diào)用可以提供將文件的讀寫屬性設置為只讀，但是對于黑客來說完全可以用程序做反向操作，即將文件屬性改為讀寫，并可以接管文件的控制權(quán)。

5）將敏感信息隔離于企業(yè)門戶之外

不少企業(yè)都采用了網(wǎng)絡隔離裝置，控制外部對企業(yè)內(nèi)部網(wǎng)絡的訪問，甚至完全隔離任何數(shù)據(jù)的讀寫均禁止。但是對于內(nèi)部的安全管理疏于防范，導致某些賬戶或權(quán)限被外部竊取，最后網(wǎng)絡敏感數(shù)據(jù)從內(nèi)部流出，甚至導致內(nèi)部網(wǎng)絡癱瘓，系統(tǒng)無法正常運行。

顯然上述誤區(qū)都是因為網(wǎng)絡管理員的思想局限在某些單一的網(wǎng)絡場景導致的，缺乏全局的網(wǎng)絡安全意識和合理的網(wǎng)絡安全規(guī)劃策略的指導。

2.2案例分析

針對上述誤區(qū)，本文將以一個虛擬的公司網(wǎng)絡環(huán)境展開案例分析，設計一個全局的網(wǎng)絡防范框架。一般企業(yè)網(wǎng)絡按服務器類型劃分包括：AAA服務器、內(nèi)部DNS服務器、FTP服務器、HTTP服務器等服務器。按職能部門劃分包括：經(jīng)理辦公室、市場部、財政部、系統(tǒng)集成部、軟件部以及前臺接待部，一般各部門的網(wǎng)絡會做隔離，另外對于財務部的網(wǎng)絡只有經(jīng)理辦公室有權(quán)限訪問其他部門不能訪問，而前臺接待部的網(wǎng)絡作為企業(yè)門戶不能訪問公司內(nèi)部網(wǎng)絡，只能通過外網(wǎng)訪問。

根據(jù)上述基本網(wǎng)絡需求，在網(wǎng)絡安全架構(gòu)設計上還應考慮Intemet的安全性，以及網(wǎng)絡隱私及專有性等一些因素，如NAT、VPN等。綜合分析，一個完整的企業(yè)網(wǎng)絡安全建設需求應該包括如下建設需求：1）網(wǎng)絡基礎設施建設；21網(wǎng)絡基礎的連通即訪問規(guī)劃；3）信息的訪問控制；4）全網(wǎng)網(wǎng)絡安全管理需求；5）各層次的網(wǎng)絡攻防控制；6）各層次應用及系統(tǒng)的病毒防范；7）企業(yè)內(nèi)部的跨部門的信息安全；8）敏感信息及網(wǎng)絡安全控制。

根據(jù)上述基本網(wǎng)絡需求，可以建立一個如圖1所示的網(wǎng)絡拓撲結(jié)構(gòu)。

上圖中的拓撲結(jié)構(gòu)滿足一般性的企業(yè)網(wǎng)絡環(huán)境，包括服務器網(wǎng)絡及網(wǎng)絡隔離，各個職能部門的網(wǎng)絡、計算機及辦公設備，以及防范外部的防火墻設備，還包括各個層次的網(wǎng)絡交換機等網(wǎng)絡設備。

一般性的場景是根據(jù)圖1中的網(wǎng)絡拓撲設計，根據(jù)企業(yè)的實際網(wǎng)絡規(guī)劃考慮企業(yè)網(wǎng)絡建設的安全需求，在網(wǎng)絡建設的基礎上進行安全改造，目的是保證企業(yè)各種設計信息的安全性，提高企業(yè)網(wǎng)絡系統(tǒng)運行的穩(wěn)定性，避免設計文檔、圖紙的外泄和丟失。對于客戶端的計算機的保護一般是通過軟件或安全流程進行保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過網(wǎng)絡的改造，使管理者更加便于對網(wǎng)絡中的服務器、客戶端、登陸用戶的權(quán)限以及應用軟件的安裝進行全面的監(jiān)控和管理。一般采用以下安全手段：1）在現(xiàn)有網(wǎng)絡中加入網(wǎng)絡安全設備設施；2）lP地址規(guī)劃及管理；3）安裝防火墻體系；4）劃分VLAN控制內(nèi)網(wǎng)安全；5）建立VPN（虛擬專用網(wǎng)絡）確保數(shù)據(jù)安全；6）提供網(wǎng)絡殺毒服務器；7）加強企業(yè)對網(wǎng)絡資源的管理；8）做好訪問控制權(quán)限配置；9）做好對網(wǎng)絡設備訪問的權(quán)限。

一般情況下在企業(yè)的網(wǎng)絡環(huán)境中，會由ISP供應商提供公網(wǎng)的人口，而本文的重點為安全問題，因此采用虛擬的公網(wǎng)入口。目前IPv6技術(shù)還不是很成熟，IPv4地址依舊廣泛應用于企業(yè)內(nèi)部網(wǎng)絡，因此公司內(nèi)部使用IPv4的私有地址網(wǎng)段，假設公司內(nèi)部共擁有800部終端，所以由172.28.0.0/22網(wǎng)絡段劃分，ip地址和VLAN規(guī)劃如下表1。

根據(jù)上表1的規(guī)劃依舊滿足了連通性和VLAN的控制劃分，在圖1中的規(guī)劃建立經(jīng)理辦公室和財務部的VPN就保證了隔離性。再在服務器集群中安裝專門的防病毒服務器，監(jiān)管所有計算機的防病毒程序，防止病毒人侵。根據(jù)一般安全權(quán)限控制還需建立專用的AAA服務器，保證認證（Authentication）：、授權(quán)（Authorization）和審計（Accounting）。最后，圖l中IDS（IntrusionDetection Systems）即“入侵檢測系統(tǒng)”，用戶可以根據(jù)企業(yè)安全需求設置一組安全策略，IDS可以對網(wǎng)絡中的計算C、軟件、磁盤、網(wǎng)絡等新設備監(jiān)控運行狀態(tài)，根據(jù)運行狀態(tài)預測各種網(wǎng)絡攻擊事件，從而起到網(wǎng)絡安全的防范作用，IDS也是根據(jù)安監(jiān)事件的事前、事中和事后的動態(tài)過程設計的模型。

第3篇：企業(yè)網(wǎng)絡安全建設實踐范文

關鍵詞：關鍵詞：計算機網(wǎng)絡技術(shù)；電力企業(yè)；網(wǎng)絡安全管理

中圖分類號：TP39    文獻標識碼：A     文章編號：

1. 目前電力企業(yè)網(wǎng)絡安全管理存在的問題

網(wǎng)絡安全管理存在以下三個問題：

（1）麻痹大意，網(wǎng)絡安全意識淡?。喝绻芾硪庾R的欠缺，管理機構(gòu)的不健全，管理制度的不完善和管理技術(shù)的不先進等因素。目前各個員工都配有辦公電腦，但是使用者安全防范意識和防范病毒能力比較差。企業(yè)的規(guī)章制度還不夠完善，還不能夠有效的規(guī)范和約束員工的上網(wǎng)行為。

     （2）人為的惡意攻擊：這是計算機網(wǎng)絡所面臨的最大威脅，黑客攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡造成極大的危害，并導致機密數(shù)據(jù)的泄漏。

（3）網(wǎng)絡軟件的漏洞和“后門”：網(wǎng)絡軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡內(nèi)部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。另外，軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設想。

2. 電力企業(yè)網(wǎng)絡安全管理的主要技術(shù)

在計算機網(wǎng)絡中，如何對網(wǎng)絡信息載體及信息的處理、傳輸、存儲、訪問提供安全保護以及如何防止非法授權(quán)的使用或篡改都是當前網(wǎng)絡安全領域研究的關鍵問題。本文作者通過實踐經(jīng)驗，從訪問控制、防火墻、網(wǎng)絡隔離、入侵檢測等電力企業(yè)現(xiàn)行的幾種重要技術(shù)，從技術(shù)層面出發(fā)，對電力企業(yè)網(wǎng)絡安全管理進行探討。

2.1 訪問控制

訪問控制指的是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用。訪問控制通常用于系統(tǒng)管理員控制用戶對服務器、目錄、文件等網(wǎng)絡資源的訪問。

訪問控制主要實現(xiàn)以下功能：

1. 防止非法的主體進入受保護的網(wǎng)絡資源。2. 允許合法用戶訪問受保護的網(wǎng)絡資源。 3. 防止合法的用戶對受保護的網(wǎng)絡資源進行非授權(quán)的訪問。

2.2 防火墻

  防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.它是一種計算機硬件和軟件的結(jié)合，使Internet 與Internet 之間建立起一個安全網(wǎng)關，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。

防火墻作為計算機網(wǎng)絡安全的屏障，主要實現(xiàn)以下功能：防火墻對流經(jīng)它的網(wǎng)絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

因此，防火墻的集中安全管理及與安全策略的有機結(jié)合能對網(wǎng)絡安全性能起到較強作用。

2.3 網(wǎng)絡隔離

主要是指把兩個或兩個以上可路由的網(wǎng)絡（如：TCP/IP）通過不可路由的協(xié)議（如：IPX/SPX、NetBEUI等）進行數(shù)據(jù)交換而達到隔離目的。由于其原理是采用了不同的協(xié)議，因此也被稱為協(xié)議隔離。網(wǎng)絡隔離技術(shù)是近些年來出現(xiàn)的計算機網(wǎng)絡安全管理技術(shù)，它能解決重要單位及要害部門對信息安全性的突出需求。作為網(wǎng)絡安全體系中不可缺少的重要環(huán)節(jié)和防止非法入侵、阻擋網(wǎng)絡攻擊的一種簡單而行之有效的手段，它在電力企業(yè)信息安全的連網(wǎng)工作以及信息安全方面起到重要的作用。但由于網(wǎng)絡隔離技術(shù)比較復雜，目前仍處于發(fā)展階段。

2.4 入侵檢測

入侵檢測是一種對網(wǎng)絡系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性與可用性的技術(shù)。入侵檢測的作用就在于及時地發(fā)現(xiàn)各種攻擊以及攻擊企圖并作出反應。

入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。

3. 結(jié)束語

總之，計算機網(wǎng)絡給人們帶來了巨大的便利的同時，也存在著安全隱患，網(wǎng)絡的安全形勢日趨嚴峻。加強網(wǎng)絡安全建設，是關系到單位整體形象和利益的大問題。目前在各單位的網(wǎng)絡中都存儲著大量的保密信息、資料，各個方面的工作都是利用網(wǎng)絡來完成的，一旦網(wǎng)絡安全方面出現(xiàn)問題，造成信息的丟失、篡改、破壞或竊用，都將帶來難以彌補的巨大損失。

因此，利用網(wǎng)絡安全管理技術(shù)，可以對電力企業(yè)現(xiàn)有的一些業(yè)務和網(wǎng)絡進行優(yōu)化，提高性能，降低成本。

參考文獻：

[1]信息安全學，機械工業(yè)出版社周學廣著

[2]計算機網(wǎng)絡安全基礎科學出版社馮元著

[3]網(wǎng)絡安全手冊清華大學出版社哈頓穆格著

第4篇：企業(yè)網(wǎng)絡安全建設實踐范文

【關鍵詞】主動誘騙 電力網(wǎng)絡安全 提升策略 設計 實現(xiàn)

最近十幾年，計算機網(wǎng)絡技術(shù)獲得了快速發(fā)展，其應用范圍涉及政治軍事、教育、經(jīng)濟金融、社會服務等行業(yè)之中，通過計算機網(wǎng)絡信息系統(tǒng)，給人們提供了便利的生活、工作環(huán)境，從而實現(xiàn)現(xiàn)代化、高效化、共享化的社會發(fā)展環(huán)境。與此同時，網(wǎng)絡信息系統(tǒng)在程序設計、自身建設以及操作過程等因素的影響下極易出現(xiàn)各種漏洞或者病毒，這將導致各種重要數(shù)據(jù)信息出現(xiàn)各種不可預測的復雜風險，若相關機密信息或者個人信息泄漏則將會造成嚴重的經(jīng)濟損失。

電力企業(yè)作為我國社會、經(jīng)濟發(fā)展的重要支柱產(chǎn)業(yè)，其自身擁有豐富的網(wǎng)絡信息資源，而且電力系統(tǒng)的很多工作都與網(wǎng)絡存在著密切關聯(lián)，在高風險的網(wǎng)絡信息系統(tǒng)中，我國電力系統(tǒng)網(wǎng)絡信息系統(tǒng)如何確保信息資源的安全性一直都是我們密切關注的問題。在本文研究中，筆者將深入分析常規(guī)網(wǎng)絡信息系統(tǒng)入侵的方式以及目前我國電力系統(tǒng)中存在的網(wǎng)絡安全風險，同時探討分析入侵檢測技術(shù)在電力系統(tǒng)網(wǎng)絡安全維護中的意義和具體應用途徑。

1 計算機網(wǎng)絡信息系統(tǒng)入侵方式

1.1 病毒攻擊

計算機病毒是一種可實現(xiàn)自我復制的計算機程序，其主要是用于特定系統(tǒng)資源目標的破壞，通過拒絕服務等方式來破壞數(shù)據(jù)的完整性。病毒攻擊具有一定的潛伏性、隱蔽性、寄生性、傳染性，目前病毒攻擊主要是通過FTP 文件下載、網(wǎng)頁瀏覽、電子郵件或者BBS等對信息系統(tǒng)實施攻擊。

1.2 身份攻擊

計算機身份攻擊主要是利用網(wǎng)絡服務需要對用戶身份進行確認過程中存在的漏洞來進行欺騙、竊取合法用戶的身份進行網(wǎng)絡攻擊目標系統(tǒng)。身份攻擊主要是通過口令攻擊、漏洞攻擊、收集信息攻擊等等。身份攻擊竊取信息資源主要是采取試探方式，如：通過掃描漏洞、掃描賬戶、ping以及端口與嗅探網(wǎng)絡等方式對系統(tǒng)漏洞、權(quán)限以及服務進行探測，并使用公開協(xié)議和工具對網(wǎng)絡系統(tǒng)主機中存儲的信息資源進行竊取，同時還可以捕捉信息系統(tǒng)的漏洞，為后續(xù)攻擊提供支持。若網(wǎng)絡信息系統(tǒng)遭到身份攻擊，其可能導致整個網(wǎng)絡系統(tǒng)癱瘓、崩潰，從而導致用戶遭受重大損失。

1.3 防火墻攻擊

對于網(wǎng)絡信息系統(tǒng)來說，防火墻的抗攻擊能力一般比較強，因而不易被攻破。但是，在防火墻的設計和實現(xiàn)中仍然存在一定的缺陷問題，這是導致防火墻被攻擊的主要原因。

1.4 拒絕服務攻擊

拒絕服務攻擊可稱為 DoS（Denial of Service），在攻擊時攻擊主體將一定序列和數(shù)量的資源上傳至網(wǎng)絡中，并令其大量恢復要求信息運行于服務器中，這樣導致系統(tǒng)資源及網(wǎng)絡寬帶被不良消耗，從而導致網(wǎng)絡系統(tǒng)無法實現(xiàn)正常訪問，嚴重時可能導致出現(xiàn)死機、癱瘓等現(xiàn)象。

2 電力系統(tǒng)計算機網(wǎng)絡中存在的網(wǎng)絡安全風險

隨著我國電力信息網(wǎng)絡系統(tǒng)的廣泛應用，電力系統(tǒng)在實現(xiàn)信息化發(fā)展的同時，網(wǎng)絡信息系統(tǒng)的安全性則成為其正常運行的重要保障，因此在電力企業(yè)中一般都是將信息管理系統(tǒng)與生產(chǎn)控制系統(tǒng)進行分離，希望能夠通過這種方法來避免各種外在因素對生產(chǎn)網(wǎng)絡系統(tǒng)造成影響。

不管是管理網(wǎng)絡系統(tǒng)還是生產(chǎn)控制網(wǎng)絡系統(tǒng)的安全風險，除了系統(tǒng)和軟件漏洞或者人為、物理破壞等因素影響之外，各種入侵、病毒等網(wǎng)絡攻擊也是引起上述電力系統(tǒng)數(shù)據(jù)丟失或數(shù)據(jù)錯誤的主要原因之一，從而極大的降低了電力網(wǎng)絡信息系統(tǒng)數(shù)據(jù)的保密性與完整性。因此，為了預防電力系統(tǒng)遭受網(wǎng)絡攻擊而造成嚴重損失，必須進一步加強電力系統(tǒng)的網(wǎng)絡安全建設工作。

3 入侵檢測技術(shù)的概念、系統(tǒng)結(jié)構(gòu)及應用程序

3.1 什么是入侵檢測

關于入侵檢測的定義，主要利用相關技術(shù)對用戶的操作行為、數(shù)據(jù)傳輸、安全日志以及其它網(wǎng)絡信息進行操作，經(jīng)檢測發(fā)現(xiàn)有對網(wǎng)絡系統(tǒng)進行非法進入或者攻擊的行為并對其采取應對反應的整個過程。

入侵檢測系統(tǒng)屬于是一種建立在對上述行為實施檢測并完成相應功能的獨立入侵檢測系統(tǒng)。其中涵蓋內(nèi)容主要分為非法訪問行為、系統(tǒng)外部入侵兩類，其目的是為了報告、處理計算機信息網(wǎng)絡異常操作行為的一種保護計算機信息安全的技術(shù)手段。在實踐應用中與防火墻配合使用可形成一個強大的網(wǎng)絡護盾，從而極大降低了計算機網(wǎng)絡中存在的入侵安全事件。

3.2 入侵檢測系統(tǒng)的系統(tǒng)結(jié)構(gòu)

對于企業(yè)信息網(wǎng)絡進行入侵檢測時，首先需要對入侵檢測系統(tǒng)總體結(jié)構(gòu)進行一系列部署，主要功能是對企業(yè)信息網(wǎng)絡管理信息區(qū)域進行入侵檢測，具有部署結(jié)構(gòu)詳見圖1。

入侵檢測系統(tǒng)一般可以分為四個主要組成部分，即：數(shù)據(jù)收集、數(shù)據(jù)分析、數(shù)據(jù)響應以及數(shù)據(jù)結(jié)果處理。企業(yè)網(wǎng)絡信息系統(tǒng)實現(xiàn)入侵檢測的過程主要是通過對數(shù)據(jù)模塊在網(wǎng)絡中抓取相關數(shù)據(jù)包，之后再對所抓取的數(shù)據(jù)進行處理分析、標記，最后將抓取的數(shù)據(jù)傳輸給數(shù)據(jù)響應模塊。數(shù)據(jù)響應模塊作為整個入侵檢測最核心的部分，其主要功能是對所抓取數(shù)據(jù)進行詳細分析、匹配，在此過程中若發(fā)現(xiàn)存在異常數(shù)據(jù)事件，數(shù)據(jù)響應模塊則將異常數(shù)據(jù)傳交給數(shù)據(jù)結(jié)果處理模塊處理。

3.3 入侵檢測技術(shù)在計算機網(wǎng)絡安全維護中的應用

3.3.1 信息收集

在入侵檢測過程中信息收集需要在所有網(wǎng)段中部署一個或者多個IDS，根據(jù)應用對象不同的網(wǎng)絡結(jié)構(gòu)形式而采取不同的數(shù)據(jù)采集連接方式，例如：若應用對象的網(wǎng)段用交換式為集線器相連，則可以將IDS 系統(tǒng)鏈接在交換機核心芯片上的調(diào)試端口上，然后再將入侵檢測系統(tǒng)置于交換機內(nèi)部或者防火墻內(nèi)部等相關數(shù)據(jù)流的關鍵入口、出口處，這樣便可收集所有進入、輸出數(shù)據(jù)信息。另外還需要在計算機網(wǎng)絡系統(tǒng)中的其它不同關鍵點收集相關信息，尤其是一些薄弱環(huán)節(jié)，對于可疑行為或者判斷入侵行為進行標識。

3.3.2 信息分析

信息分析主要是將上階段收集數(shù)據(jù)信息通過模式匹配、異常發(fā)現(xiàn)分析模式來進行分析，以此來發(fā)現(xiàn)其中存在的異常行為，同時將異常報告發(fā)送至管理器。

在設計信息分析模塊時，設計者應該對應用對象計算機系統(tǒng)的各種系統(tǒng)漏洞、網(wǎng)絡協(xié)議有深入的研究，根據(jù)掌握的情況而制定完整的安全策略和安全規(guī)則庫，同時分別建立異常檢測模型和濫用檢測模型，這樣可以IDS自己模擬信息分析過程，并有效識別、確定具有一定特征的異?；蛘吖粜袨椋⒎治鼋Y(jié)果形成報警信息及時發(fā)送至控制管理中心。

3.3.3 信息響應

IDS的核心任務就是對計算機入侵行為作出及時、有效響應。信息響應的過程需要在數(shù)據(jù)分析基礎上對本地網(wǎng)段實施檢測，并查找出隱藏于數(shù)據(jù)包中的惡意入侵行為，對于發(fā)現(xiàn)的入侵行為給予及時響應。信息響應主要包含：記錄現(xiàn)場（即：記錄整個會話、事件日志）、查看實時會話并通報其他控制臺、網(wǎng)絡引擎進行告警并告知控制臺、SNMP trap、發(fā) E-mail給安全管理員等等，之后便及時采取安全響應行為，例如：終止入侵連接行為、執(zhí)行特定用戶響應程序、調(diào)整網(wǎng)絡設備配置等等。

3.3.4 入侵檢測技術(shù)和防火墻的結(jié)合應用

防火墻屬于是一種周邊安全機制，其雖然能夠?qū)W(wǎng)絡層、應用層訪問行為進行控制，但是對于內(nèi)部網(wǎng)絡的非法訪問則無法起到有效的監(jiān)控。因此，在計算機系統(tǒng)安全維護中需要將入侵檢測技術(shù)與防火墻進行協(xié)同應用，進而形成一個相對有效的安全防護體系。

4 入侵檢測技術(shù)在電力系統(tǒng)信息內(nèi)網(wǎng)中的運用分析

4.1 入侵檢測技術(shù)的實踐運用

入侵檢測系統(tǒng)安裝的關鍵步驟是科學、合理部署檢測器和控制臺。對于電力系統(tǒng)企業(yè)網(wǎng)絡特點，筆者認為可以先在內(nèi)部路由器與內(nèi)部網(wǎng)絡連接處部署一個監(jiān)測器，這樣可以有效監(jiān)測各種異常入侵行為；另外也可根據(jù)企業(yè)需要對其中某些重要的服務器、工作站按照基于主機的入侵檢測軟件，進而對重要的服務器、工作站實現(xiàn)有效保護。

入侵檢測系統(tǒng)運行過程中，入侵檢測在提供實時檢測時還需與管理員進行“實時”配合，系統(tǒng)安全管理員一方面需要做好處理各種警報事件的處理準備工作；另一方面對于入侵檢測系統(tǒng)所發(fā)出的警報進行準確的判斷，并給予正確的處理，同時決定是否繼續(xù)監(jiān)視入侵者收集證據(jù)或者關閉系統(tǒng)等等，只有系統(tǒng)安全管理員處理得當才能夠真正發(fā)揮入侵檢測系統(tǒng)的作用。

4.2 入侵檢測技術(shù)安全體系的運行分析

計算機網(wǎng)絡安全中運用防火墻雖然是被動防御，入侵檢測系統(tǒng)是實時監(jiān)控防御，但是計算機網(wǎng)絡安全系統(tǒng)（其中涵蓋單一主機自身的安全防御體系）是需要進行整體協(xié)同運作的。

目前，我國電力系統(tǒng)中的主機與網(wǎng)絡設備都具備完整的安全審計功能，因此入侵檢測系統(tǒng)可以直接利用系統(tǒng)網(wǎng)絡日志文件來作為信息數(shù)據(jù)的主要來源，當入侵檢測系統(tǒng)發(fā)現(xiàn)可疑訪問行為而需要其它主機或者防火墻采取及時的保護措施時，其可以及時通知防火墻對可疑IP地址發(fā)送的數(shù)據(jù)包進行有效過濾。

從網(wǎng)絡安全技術(shù)角度來分析，計算機網(wǎng)絡安全維護涉及的范圍較為廣泛，其中主要包括：操作系統(tǒng)、安全掃描、身份認證、信息加密、安全審計、災難恢復、入侵檢測、防火墻等的安全維護。在計算機網(wǎng)絡安全維護中運用入侵檢測系統(tǒng)和防火墻只能形成一個相對的安全防御體系，為了進一步增加網(wǎng)絡系統(tǒng)安全防御有效性，同時還需要在整個系統(tǒng)運行過程中運用多種技術(shù)手段來完善安全體系的防御功能，如：向IDS添加新攻擊方式、升級防火墻、定期查找漏洞或者風險評估、配置掃描器等等措施。

對于電力系統(tǒng)計算機網(wǎng)絡信息安全的維護，任何的機械防御體系都不能絕對保證計算機網(wǎng)絡信息系統(tǒng)的安全，因此我們還需要切實提升電力系統(tǒng)企業(yè)網(wǎng)絡管理員的技術(shù)水平、及時升級網(wǎng)絡防御系統(tǒng)、密切關注網(wǎng)絡安全發(fā)展形勢，只有這樣才能夠有效提升電力系統(tǒng)計算機網(wǎng)絡安全防御的水平及能力，保障電力系統(tǒng)計算機網(wǎng)絡的信息安全。

5 入侵檢測技術(shù)在電力系統(tǒng)網(wǎng)絡安全維護中的意義

隨著現(xiàn)代網(wǎng)絡信息技術(shù)在我國電力系統(tǒng)中的普及應用，標準化、開放性以及互聯(lián)性已經(jīng)成為現(xiàn)代電力企業(yè)網(wǎng)絡信息系統(tǒng)發(fā)展的必然趨勢，而在很大程度上也增加了電力系統(tǒng)對網(wǎng)絡信息系統(tǒng)的依賴性，而網(wǎng)絡信息系統(tǒng)的安全問題也逐漸引起了人們的高度關注。在信息全球化的影響下，我國電力系統(tǒng)為了能夠提高自身的管理與生產(chǎn)效率，我們需要加強與外界信息進行不斷交流，而開發(fā)性的網(wǎng)絡環(huán)境也增加了電力網(wǎng)絡信息系統(tǒng)遭受網(wǎng)絡攻擊的風險性。由于電力系統(tǒng)關系國民的生計問題，因此必須將電力系統(tǒng)網(wǎng)絡信息安全作為一個重要的戰(zhàn)略問題來研究。

目前，在我國電力系統(tǒng)的網(wǎng)絡安全維護中已經(jīng)普遍開始使用入侵檢測技術(shù)。入侵檢測技術(shù)對于從源頭上抑制入侵方面獨具高效性，現(xiàn)已成為我國電力系統(tǒng)網(wǎng)絡安全維護系統(tǒng)中的一個重要的部分。電力系統(tǒng)計算機網(wǎng)絡安全維護中的入侵檢測技術(shù)，其貫穿于整個電力系統(tǒng)計算機安全維護中的每一個階段中的每一項內(nèi)容中，因此做好入侵檢測技術(shù)，實現(xiàn)電力系統(tǒng)計算機網(wǎng)絡入侵檢測技術(shù)的標準化、規(guī)范化運作，可保障入侵檢測技術(shù)為電力系統(tǒng)計算機網(wǎng)絡安全維護創(chuàng)造應有的實效。

6 結(jié)語

對于網(wǎng)絡不良入侵行為的影響，一般是采取主動的防御措施防范網(wǎng)絡入侵行為，入侵檢測技術(shù)可以有效實現(xiàn)實時動態(tài)監(jiān)控網(wǎng)絡非法入侵行為，因此廣泛應用于各種不同環(huán)境中并發(fā)揮著關鍵性作用。隨著現(xiàn)代計算機網(wǎng)絡技術(shù)的不斷進步，電力系統(tǒng)的網(wǎng)絡信息資源的安全問題則日益凸顯，在我國電力系統(tǒng)的網(wǎng)絡安全維護中運用入侵檢測技術(shù)，實現(xiàn)防患于未然，將任何的攻擊入侵行為影響扼殺在萌芽狀態(tài)，進而有效控制了不良攻擊實踐的發(fā)生與擴大，進而為電力網(wǎng)絡信息系統(tǒng)提供一個高效、可靠、優(yōu)質(zhì)的運行環(huán)境，這對于電力系統(tǒng)的網(wǎng)絡信息安全來說具有十分重要的意義。

參考文獻

[1]唐亮.電力系統(tǒng)計算機網(wǎng)絡信息安全的防護[J].供用電，2010（01）.

[2]王池華.入侵檢測技術(shù)在網(wǎng)絡安個中的應用與研究[J].計算機安全，2009（06）.

[3]劉立兵.淺談計算機網(wǎng)絡在電力系統(tǒng)的應用及安全性[J].科技信息，2010（03）.

[4]劉明.試析計算機網(wǎng)絡入侵檢測技術(shù)及其安全防范[J].計算機與網(wǎng)絡，2011（01）.

[5]王春艷，史海成.網(wǎng)絡安全維護中入侵檢測技術(shù)的有效應用[J].企業(yè)導報，2012（22）.

第5篇：企業(yè)網(wǎng)絡安全建設實踐范文

【關鍵詞】船岸網(wǎng)絡；信息安全；航運企業(yè)

0引言

一些航運企業(yè)已開始實施“數(shù)字化+互聯(lián)網(wǎng)”戰(zhàn)略，船舶運營參數(shù)及管理量化指標被轉(zhuǎn)移至信息更加透明的互聯(lián)網(wǎng)平臺，船舶所有人可以通過互聯(lián)網(wǎng)平臺隨時隨地查看船舶動態(tài)。航運企業(yè)將船舶全權(quán)委托給第三方船舶管理公司管理，并通過互聯(lián)網(wǎng)平臺監(jiān)控船舶動態(tài)。這種管理模式帶來一個全新的課題：船岸網(wǎng)絡信息化程度越高，信息系統(tǒng)遭受攻擊導致數(shù)據(jù)泄露的風險越大。近年來已發(fā)生多起船員個人信息泄露導致的詐騙案件。這些個人信息泄露的源頭是船舶管理公司的信息系統(tǒng)。信息泄露會給個人造成損失，而信息系統(tǒng)遭受病毒攻擊則會給航運企業(yè)造成巨大損失。因此，信息安全對航運企業(yè)而言極為重要。

1船岸網(wǎng)絡管理現(xiàn)狀

船岸網(wǎng)絡技術(shù)的發(fā)展非常迅速，特別是海上衛(wèi)星通信服務商提供的海上高速網(wǎng)絡在資費下降后極大地提高了船舶與管理方、服務供應商、租船人和船舶所有人/經(jīng)營人之間的信息交換頻率。海上高速網(wǎng)絡的普及給信息安全帶來更大的隱患。網(wǎng)絡沒有物理界限，任何具有網(wǎng)絡攻防知識并熟悉船舶扁平化網(wǎng)絡架構(gòu)的人或組織都可以通過Shodan搜索引擎獲得相關信息，對船岸網(wǎng)絡實施遠程攻擊。通過對衛(wèi)星通信服務商IP地址段批量掃描發(fā)現(xiàn)：眾多安裝VSAT、FBB設備的船舶未加安全措施就向公網(wǎng)開放了21/80/445/3389等弱口令TCP、UDP端口；供應商為節(jié)約成本、方便遠程維護管理，將Cobham、KVHCommBox、Inmarsat、Marlink等產(chǎn)品內(nèi)建的管理后臺映射到外網(wǎng)；絕大部分船舶沒有配置專業(yè)的硬件防火墻，岸基管理人員缺乏專業(yè)技能，最終導致船舶網(wǎng)絡安全得不到保障。

要做好船岸網(wǎng)絡安全工作，首先要了解船岸網(wǎng)絡設備運行機制和原理。船舶內(nèi)網(wǎng)GPS、ECDIS、主機監(jiān)控系統(tǒng)服務器等多網(wǎng)卡設備既通過串口總線和CANBUS、MODBUS等協(xié)議控制舵機、智能電站及壓載水調(diào)平系統(tǒng)等設備，又通過網(wǎng)卡和SNMP、NMEA等協(xié)議進行網(wǎng)絡通信，從而形成了一個可以網(wǎng)絡遠程控制的船舶物聯(lián)網(wǎng)。由于某些船用通信協(xié)議存在設計缺陷，例如NMEA0183協(xié)議通過明文傳輸，缺乏加密、身份認證和校驗機制，為實施網(wǎng)絡攻擊制造了機會――攻擊者只需遠程更改一兩個字符就可以命令船舶轉(zhuǎn)向。

2常見的網(wǎng)絡攻擊方式

廣義上對船岸網(wǎng)絡的攻擊主要有兩類：（1）無目標的攻擊。岸基或船舶內(nèi)網(wǎng)操作系統(tǒng)和第三方軟件漏洞是潛在受攻擊目標之一，攻擊者利用0day漏洞進行廣撒網(wǎng)式的無差別化攻擊，近幾年馬士基航運集團和中遠海運集運北美公司遭遇的網(wǎng)絡攻擊屬于此類。（2）有針對性的攻擊。攻擊者將某船岸信息系統(tǒng)設定為滲透目標，利用專門開發(fā)的繞過技術(shù)和工具躲避網(wǎng)絡防御機制（如震網(wǎng)病毒事件），實施多步驟攻擊，其破壞程度較無目標的攻擊更大。

有針對性攻擊又分為以下6種類型：

（1）主動攻擊。攻擊者主動攻擊網(wǎng)絡安全防線。主動攻擊的方式為修改或創(chuàng)建錯誤的數(shù)據(jù)流，主要攻擊形式有假冒、重放、篡改消息和使網(wǎng)絡拒絕服務等。

（2）被動攻擊。攻擊者監(jiān)視相關信息流以獲得某些信息。被動攻擊基于網(wǎng)絡跟蹤通信鏈路或系統(tǒng)，用秘密抓取數(shù)據(jù)的木馬程序代替系統(tǒng)部件。

（3）物理攻擊。未被授權(quán)者在物理上接入網(wǎng)絡、系統(tǒng)或設備，以達到修改、收集信息或使網(wǎng)絡拒絕訪問的目的。

（4）內(nèi)部攻擊。被授權(quán)修改信息安全處理系統(tǒng)，或具有直接訪問信息安全處理系統(tǒng)權(quán)力的內(nèi)部人員，主動傳播非法獲取的信息。

（5）邊界攻擊。網(wǎng)絡邊界由路由器、防火墻、入侵檢測系統(tǒng)（IDS）、虛擬專用網(wǎng)（VPN、DMZ）和被屏蔽的子網(wǎng)等硬件和軟件組成。硬件的操作系統(tǒng)與其他軟件一樣存在安全漏洞，攻擊者可利用操作系統(tǒng)漏洞，繞過已知安全協(xié)議達到攻擊的目的。

（6）持續(xù)性威脅。商業(yè)間諜組織可能會通過“釣魚手法”進行攻擊。如以“某某船公司2020中期戰(zhàn)略企劃書”為關鍵詞投放電子誘餌，通過文檔追蹤工具進行精準定位，誘騙受害人打開附件或點擊郵件鏈接從而入侵或破壞其信息系統(tǒng)。

3船岸網(wǎng)絡中易受攻擊的系統(tǒng)

船岸網(wǎng)絡中易受攻擊的系統(tǒng)有綜合船橋和電子海圖系統(tǒng)、配載儀和船舶維修保養(yǎng)系統(tǒng)、主機遙控和能效系統(tǒng)、保安限制區(qū)域閉路電視監(jiān)控系統(tǒng)和各重點艙室門禁系統(tǒng)、乘員服務和管理系統(tǒng)、面向船員娛樂的公共網(wǎng)絡系統(tǒng)、船岸網(wǎng)絡通信系統(tǒng)、計算機操作系統(tǒng)及常用軟件等。

4船舶網(wǎng)絡安全配置建議

（1）禁用公網(wǎng)IP，使用URA系統(tǒng)遠程管理。

（2）修改系統(tǒng)默認密碼并使用高強度密碼。

（3）將船岸網(wǎng)絡操作系統(tǒng)和第三方軟件補丁、病毒特征庫升級至最新版本。

（4）對工控網(wǎng)絡、辦公網(wǎng)絡、娛樂網(wǎng)絡實施網(wǎng)絡隔離和訪問控制。

（5）通過策略制定公用電腦進程白名單，禁用USB接口。

（6）向船員普及網(wǎng)絡安全風險防范知識。

（7）要求設備供應商提供必要的網(wǎng)絡安全事件應對措施。

（8）不過度依賴遠程網(wǎng)絡監(jiān)控技術(shù)，增加現(xiàn)場勘查頻率。

5網(wǎng)絡攻擊事件的處置步驟

（1）風險識別。定義相關人員的崗位和職責，確保在日常管理中能夠及時發(fā)現(xiàn)可疑風險。

（2）事件預防。制定風險控制流程和應急計劃，降低網(wǎng)絡風險，防范網(wǎng)絡攻擊。

（3）事件發(fā)現(xiàn)。檢查已確認的網(wǎng)絡攻擊事件，評估損失并制定后續(xù)恢復方案。（4）事件恢復。制定計劃使系統(tǒng)恢復正常運行。

（5）免疫措施。制定措施避免類似網(wǎng)絡攻擊事件再次發(fā)生。

6網(wǎng)絡信息安全團隊崗位職責

航運企業(yè)應設立信息安全官（CISO）崗位，其職責為：建立船岸網(wǎng)絡安全團隊并管理成員，牽頭制定全面的船舶網(wǎng)絡安全應急保護計劃（CSP），以持續(xù)保障船岸網(wǎng)絡安全。團隊成員崗位職責如下：

（1）對船舶VSAT/FBB設備端口映射及防火墻規(guī)則進行審核、分發(fā)、監(jiān)控，熟悉Infinity、XchangeBox等通信管理系統(tǒng)的后臺設置，監(jiān)控船岸網(wǎng)絡的可疑流量。

（2）對船岸內(nèi)網(wǎng)信息設備和辦公電腦軟硬件及時更新維護，熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等軟件操作知識。

（3）定期優(yōu)化單船拓撲結(jié)構(gòu)和更新船岸網(wǎng)絡病毒特征庫和漏洞補丁庫，不斷完善船岸網(wǎng)絡信息事故應急預案。

（4）收集供應商技術(shù)文件并集中存儲，向設備和服務供應商提交并跟蹤審核通導信息類設備保修工單（如KVH、Marlink、GEE、OneNet等）。

（5）跟蹤記錄新造船F(xiàn)BB、銥星移動通信系統(tǒng)、VSAT和船載物聯(lián)網(wǎng)設備安裝調(diào)試情況，審核通信類費用憑證。

（6）具備防火墻、路由器、入侵檢測系統(tǒng)、交換機的豐富知識，MacOS、Windows、Linux等3大操作系統(tǒng)及域控、數(shù)據(jù)庫的基礎知識，并能熟練使用SQL、CrystalReports提取分析數(shù)據(jù)。

（7）參與船岸網(wǎng)絡的設計開發(fā)和信息系統(tǒng)的迭代開發(fā)，提出必要的安全策略規(guī)范要求。

（8）具備妥善監(jiān)控并處理網(wǎng)絡安全事件的能力和獨立撰寫網(wǎng)絡安全事件調(diào)查報告的能力，并提出改進措施。

7船岸網(wǎng)絡信息安全管理目標

船岸網(wǎng)絡信息安全問題從根本上說是人的問題，如何在制度上讓人遵守規(guī)則，如何在技術(shù)上減少或避免人為惡意攻擊，這是船岸網(wǎng)絡信息安全組織架構(gòu)設計的目標。船岸網(wǎng)絡信息安全組織架構(gòu)設計的總體目標可定義為：針對船岸網(wǎng)絡和信息安全需要，構(gòu)建系統(tǒng)的網(wǎng)絡安全技術(shù)和信息防護策略及措施，通過制度管理和技術(shù)防范來規(guī)范員工行為，達到網(wǎng)絡和信息資產(chǎn)安全可控的目的，最終達到“外人進不來、進來看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全總監(jiān)的基本職責是建立船岸網(wǎng)絡和信息安全團隊并確保團隊成員各司其職。團隊成員既包括企業(yè)內(nèi)部的計算機安全專家，也包括企業(yè)外部的資深律師、會計師、技術(shù)專家等。

8經(jīng)驗交流

網(wǎng)絡信息安全對于大部分人而言比較陌生。在實踐中，大部分航運企業(yè)由總裁辦（行政事務部）或保密部門負責網(wǎng)絡信息安全，而網(wǎng)絡信息安全職能又隸屬話語權(quán)不高的IT部門，最終導致企業(yè)網(wǎng)絡信息安全工作進展遲滯，制度實施緩慢。因此，建議由公司領導牽頭，技術(shù)保障部門負責具體實施。有條件的航運公司應該定期針對船岸網(wǎng)絡信息系統(tǒng)進行安全演習并配置網(wǎng)絡信息安全設備，以便當船岸網(wǎng)絡信息系統(tǒng)被攻擊時，能夠迅速作出應急反應，盡快恢復網(wǎng)絡系統(tǒng)，盡可能挽回損失。此外，在員工手冊、船員上船協(xié)議中應該賦予航運公司相關職能部門通過技術(shù)手段來防止內(nèi)部威脅的權(quán)力，打擊隱蔽性較強的涉及船岸網(wǎng)絡的職務犯罪。

以某航運企業(yè)為例，2018年初由公司領導牽頭與某船級社聯(lián)合成立了船岸網(wǎng)絡信息安全專項課題組，針對公司船岸網(wǎng)絡的特殊性制定了一套通用船舶網(wǎng)絡安全管理體系，并在超大型集裝箱船試行《船舶網(wǎng)絡信息安全實施指南（征求意見稿）》和相關配套制度，如《船舶網(wǎng)絡信息資產(chǎn)管理辦法》《船舶VSAT、局域網(wǎng)及防火墻設置規(guī)范》《船舶網(wǎng)絡信息安全員崗位職責》《船員網(wǎng)絡信息安全應知手冊》等。此外，還對試點船舶就域控服務器（解決內(nèi)網(wǎng)信息審計問題）、KMS激活服務器（解決操作系統(tǒng)、辦公軟件授權(quán)問題）、自建CA授權(quán)機構(gòu)頒發(fā)數(shù)字證書（解決SHA256數(shù)據(jù)加密問題）、某開源局域網(wǎng)遠程管理軟件以及等級保護一體機硬件部署（解決病毒庫、補丁庫離線升級問題）等項目進行技術(shù)驗證，為下一步推廣應用船岸網(wǎng)絡信息安全課題研究成果奠定了良好基礎。

第6篇：企業(yè)網(wǎng)絡安全建設實踐范文

【論文摘要】隨著我國旅游的發(fā)展，旅游業(yè)和電子商務結(jié)合過程中出現(xiàn)了諸多問題，本文研究當前旅游業(yè)中電子商務的應用現(xiàn)狀，分析其存在的主要問題，如旅游電子商務系統(tǒng)功能簡單、公眾對網(wǎng)絡安全缺乏信心、以及電子商務人才匱乏等。并針對上述問題提出相關建議，以期提高我國旅游總體水平、提高我國旅游企業(yè)競爭實力。 

 

近年來，隨著人們生活水平的提高，對高級生活質(zhì)量心理訴求的發(fā)展，旅游業(yè)規(guī)模正在逐年迅速增長。與此同時，全球旅游電子商務連續(xù)5年以35%以上的速度增長，一度占到全球電子商務總額的20%以上。在這樣的背景下，研究我國旅游業(yè)電子商務的應用有著典型的意義。 

1 旅游業(yè)電子商務發(fā)展的背景 

1.1 旅游電子商務的概念:電子商務泛指一切通過電子方式開展的貿(mào)易活動。旅游電子商務是指在全球范圍內(nèi)通過各種現(xiàn)代信息技術(shù)尤其是信息化網(wǎng)絡所進行并完成的各種旅游相關的商務活動、交易活動、金融活動和綜合服務活動。 

1.2 旅游電子商務的特點:旅游業(yè)是典型的信息密集型和信息依托型產(chǎn)業(yè)，是最適合應用電子商務系統(tǒng)、提高顧客服務水平的行業(yè)之一。在旅游業(yè)中應用電子商務，可以為游客提供更加個性化、人性化的服務。旅游電子商務具有三個特性,即聚合性、有形性、服務性。網(wǎng)絡時代，電子商務營運成本低、用戶范圍廣、無時空限制、能同用戶直接交流。這無疑能提高顧客滿意度，賦予旅游業(yè)無限的生機和活力。 

1.3 旅游電子商務的現(xiàn)狀:在歐美發(fā)達國家，旅游電子商務已經(jīng)取得了巨大的成效，是整個電子商務領域最大、最突出的部分。我國旅游電子商務還處在初級階段，與發(fā)達國家相比還存在較大差距。國內(nèi)網(wǎng)民登錄旅游網(wǎng)站僅限于攜程、e龍旅行網(wǎng)幾個大型網(wǎng)站，網(wǎng)民在網(wǎng)上旅游預訂也局限于機票、酒店的預定。目前，我國旅游業(yè)應用電子商務的總體水平很低，信息服務能力有限，國際競爭力較弱。 

2 旅游電子商務存在的問題 

2.1 旅游企業(yè)不重視:大多數(shù)旅行社包括一些知名旅行社都認為，目前大多數(shù)消費者依然憑借傳統(tǒng)的服務方式選擇旅游公司，因而忽視了應用電子商務系統(tǒng)所能帶來的潛在收益。從成本角度考慮，建設電子商務網(wǎng)站需要較大支出以購買相關軟硬件設備、引進人才，但是相應的回報卻難以保障。從實施角度，電子商務是新生事物，旅游公司沒有相關經(jīng)驗和人才，不清楚如何著手開展電子商務。 

2.2 旅游網(wǎng)站信息匱乏:很多旅游企業(yè)即便建設了網(wǎng)站，網(wǎng)站上也只是進行一些諸如景點、旅游路線、旅游知識等介紹性的描述，還沒有充分利用電子商務在商家與顧客之間架起“直通橋”，也不能提供全面的、專業(yè)的、實用的一整套的旅游服務，不能盡顯網(wǎng)上旅游的無限魅力。旅游網(wǎng)站功能非常簡單，具體表現(xiàn)在以下幾個方面：網(wǎng)站功能簡單，內(nèi)容更新不及時，搜索功能差，網(wǎng)絡廣告形式單一，虛擬社區(qū)沒有發(fā)揮應有的作用:網(wǎng)站不能給瀏覽者的留言予以及時回復。 

2.3 旅游企業(yè)人才缺乏:目前，旅游網(wǎng)站信息構(gòu)建所需的硬件和軟件都已比較成熟。旅游網(wǎng)站的建設、運營和管理涉及多方面的知識，從業(yè)人員不但要具備較高的網(wǎng)絡技術(shù)、電子商務知識，同時還應具備旅游專業(yè)知識、市場營銷及管理等方面的知識。事實上，現(xiàn)在缺乏既熟悉電子商務又精通旅游業(yè)務的復合型人才。正是由于人才的缺乏，致使旅游公司的電子商務不能順利開展和發(fā)展壯大。 

2.4 公眾對網(wǎng)絡安全缺乏信心:目前，影響網(wǎng)上交易的阻力之一就是安全問題。電腦病毒和非法闖入等均構(gòu)成對電子商務網(wǎng)絡系統(tǒng)的威脅。很多用戶不愿意進行網(wǎng)上支付是因為擔心網(wǎng)絡安全沒有保證，以致自己的信用卡等資料被網(wǎng)絡黑客竊取造成損失。除此之外，就是網(wǎng)上做交易需要進行一系列的用戶認證程序，用戶大量的隱私被暴露在網(wǎng)上，這使得越來越重視隱私權(quán)的公眾不愿意進行網(wǎng)上交易。目前，在線的網(wǎng)上支付尚未真正解決，仍大量沿用“網(wǎng)上交易，網(wǎng)下支付”的支付模式。

2.5 電子商務信用安全有待加強:盡管電子商務發(fā)展迅速，但是普及率還有待加強。據(jù)調(diào)查，目前我國有網(wǎng)購行為的網(wǎng)民還局限于年輕人，廣大的有經(jīng)濟實力的中年人并沒有發(fā)展起來，除了一部分人不會使用電腦以外，更大的原因是因為人們對電子商務信用的顧慮。如旅游公司景點描述不符，旅游團隊組成夸大宣傳，紀念品以次充好等。如何保證旅游公司在網(wǎng)絡上的宣傳所述屬實，如何保證旅游公司本身的信用，成為進一步開拓旅游網(wǎng)絡市場的問題。 

3 旅游電子商務發(fā)展對策 

3.1 領導作用，專人負責:旅游企業(yè)想在當今信息化社會立足，就必須明確開展電子商務的決心。企業(yè)領導要足夠重視，起到模范帶頭作用，領導全公司開展電子商務，制定負責人管理電子商務質(zhì)量。開展電子商務不能局限于建立網(wǎng)站，更要宏觀規(guī)劃統(tǒng)籌全局，保證電子商務質(zhì)量管理有效進行。包括旅游電子商務網(wǎng)站策劃、旅游電子商務網(wǎng)站建設、旅游電子商務網(wǎng)站運營與維護、網(wǎng)絡營銷和網(wǎng)絡支付、做好電子商務盈利模式分析。 

3.2 統(tǒng)籌全局，加強合作:首先，積極加強與酒店旅館、旅游景點、特產(chǎn)經(jīng)銷商、銀行和交通部門等部門合作，保證商流、物流、資金流、信息流和游客流這“五流”順暢運行。酒店旅館、旅游景點、特產(chǎn)經(jīng)銷商、銀行和交通部門可以推行電子票務、電子消費券。其次，積極加強與交通部門的合作，推行電子票務(機票、車票、船票等)，搶占市場份額。電子票務的出現(xiàn)可以提高供需雙方的效率，節(jié)約印票、取送票的成本。此外，還得加強與銀行合作，解決網(wǎng)上安全支付問題。 

3.3 校企合作，引進人才:旅游企業(yè)開展電子商務需要的許多負責網(wǎng)站日常建設與維護的工作都是這些學生學過的專業(yè)課程，優(yōu)秀的學生們是能夠勝任的。企業(yè)可以挑選一些優(yōu)秀的電子商務專業(yè)學生，負責網(wǎng)頁設計及內(nèi)容更新等工作，進而負責系統(tǒng)設計和開發(fā)工作。同時，可在學校里聘請一些知名的教授或者熟諳前沿知識、有影響力的教師學者指導。還可以和學校開展“校企合作，任務教學”活動，在課堂上安排實際任務，這樣學生學習也有的放矢，企業(yè)也可以從各個項目中獲利。 

3.4 加強網(wǎng)絡安全建設:網(wǎng)上交易能否做到保密和安全將直接關系到買賣雙方的利益，安全問題是推廣電子商務的關鍵。企業(yè)自身首先要加強安全保護措施，如從事電子商務的旅游網(wǎng)站要安裝確實有效的防火墻，防止“黑客”攻擊，保障網(wǎng)民的隱私權(quán)和財產(chǎn)安全，使游客對網(wǎng)絡安全有信心，敢打開頁面，敢在網(wǎng)上支付。電子商務已經(jīng)逐漸成為世界經(jīng)濟的新熱點，其安全性的措施隨著信息化的深入而要求越來越高，必須同步升級，不斷改進。 

3.5 加強網(wǎng)絡信用保障:從政府角度，需要為旅游業(yè)應用電子商務建立必要的法制條件，近期中國人民銀行《非金融機構(gòu)支付服務管理辦法》的和執(zhí)行就有效地規(guī)范和改善了旅游企業(yè)網(wǎng)上支付信用。我們需要更多的法律法規(guī)，除此以外，網(wǎng)絡信用的保障還需要第三方認證機構(gòu)的支持。比較權(quán)威的相關機構(gòu)，如銀行、電子商務平臺都可以發(fā)起網(wǎng)絡信用聯(lián)盟，從宏觀和微觀兩方面著手來建立旅游電子商務信用評價體系，有效評估并定時公開旅游企業(yè)的信用，以保證旅游電子商務業(yè)內(nèi)信用。 

綜上，我國旅游業(yè)若能迎接信息化時代的機遇與挑戰(zhàn)，努力適應網(wǎng)絡時代的變革，利用電子商務為消費者提供更滿意的旅游服務，實現(xiàn)旅游業(yè)管理創(chuàng)新、經(jīng)營創(chuàng)新和市場創(chuàng)新，通過旅游電子商務的實施，必將提高公司的競爭實力，促進旅游業(yè)的新飛躍。 

參考文獻 

［1］ 章素華.北京城郊型鄉(xiāng)村旅游產(chǎn)品開發(fā)研究[j],價值工程,2010,(29)：1-2 

第7篇：企業(yè)網(wǎng)絡安全建設實踐范文

自從電力行業(yè)組織機構(gòu)重組和區(qū)域重新劃分之后，廠網(wǎng)拆分以及三網(wǎng)融合，數(shù)據(jù)打擊眾等多種IT應用出現(xiàn)，不僅要求電廠，電網(wǎng)用戶內(nèi)部網(wǎng)絡的互聯(lián)互通，還要求二者開放更多的外界網(wǎng)絡端口。這種網(wǎng)絡端口開放使用使得電力行業(yè)的信息安全問題由原來的僅限于內(nèi)部事件，專變?yōu)楝F(xiàn)在來自外界的攻擊將越來越多，原有的網(wǎng)絡安全設計很難滿足這種變化。

作為內(nèi)蒙古自冶區(qū)唯一獨資大型電力企業(yè)，內(nèi)蒙古電力資產(chǎn)總額348億元，所屬單位29個，員工28000人。近年來內(nèi)蒙古電力的信息化建設取得了快速的發(fā)展，目前已建起覆蓋內(nèi)蒙古所有12家供電企業(yè)及相關單位的寬帶IP數(shù)據(jù)廣域網(wǎng)。該網(wǎng)絡以省公司信息中心、包頭供電局為核心節(jié)點，其他單位就近接入核心節(jié)點，主干帶寬為622M，二級節(jié)點到主干帶寬為155M，并采用千兆網(wǎng)絡來構(gòu)建城域網(wǎng)。

隨著內(nèi)蒙古電力信息網(wǎng)絡業(yè)務的進一步推進和發(fā)展，網(wǎng)絡安全建設成為重點。來自外部網(wǎng)絡的病毒和進攻不斷增加，特別是大規(guī)模網(wǎng)絡蠕蟲病毒的泛濫，為內(nèi)蒙古電力原有的安全設備造成了不小壓力。特別是全網(wǎng)的網(wǎng)絡層和應用層的安全問題更是安全改造的重點。

為了加強并鞏固廣域網(wǎng)的信息安全，同時避免將來擴展和部署網(wǎng)絡的復雜性，Juniper公司對內(nèi)蒙古電力公司數(shù)據(jù)中心網(wǎng)絡平臺的可靠運行進行了全面評測，并進一步分析出存在的安全隱患。通過部署Juniper公司的ISG系列防火墻與IDP的最佳組合，把網(wǎng)絡攻擊有效地控制在小型的局域網(wǎng)范圍內(nèi)，確保了信息網(wǎng)絡的正常運轉(zhuǎn)。解決全網(wǎng)的網(wǎng)絡層和應用層安全防護問題。

根據(jù)安全域部署安全網(wǎng)關：ISG+IDP是最佳組合，內(nèi)蒙古電力網(wǎng)絡安全一期建設將全網(wǎng)劃分為核心交換區(qū)、IDC應用區(qū)、辦公區(qū)、Internet區(qū)等區(qū)域。此次Juniper公司采用安全網(wǎng)關/防火墻系統(tǒng)核心節(jié)點防火墻部署來對企業(yè)網(wǎng)絡的所有不用安全域互聯(lián)接口進行安全控制，包括Internet進出口控制，廣域網(wǎng)進出口控制以及IDC進出口控制。內(nèi)蒙古電力網(wǎng)絡安全一期建設的主安全域的劃分主要通過安全網(wǎng)管以及入侵檢測防御系統(tǒng)(IDP)實現(xiàn)。

根據(jù)Juniper對電力系統(tǒng)實際需求的分析并結(jié)合內(nèi)蒙古電力對二次系統(tǒng)地相關建設要求，Juniper公司提供的方案中采用了千兆安全網(wǎng)關/防火墻系列產(chǎn)品：ISGl000、ISG2000與IDP，ISGl000/2000是代表全球最先進網(wǎng)絡安全技術(shù)的產(chǎn)品，最有價值的優(yōu)勢在于其卓越的實際環(huán)境性能，穩(wěn)定性以及與IDP硬件集成的特性，能夠全面適應電網(wǎng)安全發(fā)展的需要。JuniperISG系列防火墻將訪問控制(Fw)和入侵保護(IDP)功能無縫集成在一個安全平臺上，很好的平衡了兩者之間的關系，并優(yōu)化網(wǎng)絡結(jié)構(gòu)，方便網(wǎng)絡運維，有效保護用戶的投資。ISG 1000和ISG 2000集成了最佳的深層檢測防火墻、VPN和DoS解決方案，齊全的高密端口布局，體現(xiàn)了軟硬兼施、內(nèi)外統(tǒng)一、應用靈活、集中管理等多種設計優(yōu)點。能夠為關鍵的高流量網(wǎng)絡分段提供安全可靠的連接以及網(wǎng)絡層和應用層保護。同時Juniper公司的IDP產(chǎn)品可在網(wǎng)絡和應用層攻擊產(chǎn)生任何損害前有效識別并終止它們，從而最大限度的減少與入侵相關的時間和成本。

內(nèi)蒙古電力通過架設Juni―per防火墻產(chǎn)品，對全網(wǎng)的網(wǎng)絡層和應用層提供了進一步的安全保護，隔離把網(wǎng)絡攻擊有效地控制在小型的局域網(wǎng)范圍內(nèi)，降低了網(wǎng)絡面臨的各種潛在安全威脅，極大地提高了主干網(wǎng)的信息安全防護水平，并有效保護了業(yè)務的安全和連續(xù)進行，以及信息網(wǎng)絡的正常運轉(zhuǎn)。內(nèi)蒙古電力IT信息部門相關負責人表示：“我們選擇Juniper網(wǎng)絡公司的防火墻產(chǎn)品是因為其防火墻產(chǎn)品擁有高可靠性，為我們主干網(wǎng)日益增長的安全管理問題提供了最好的解決方案，使內(nèi)蒙古電力的信息安全防護水平得到了進一步的加強。未來我們還會考慮繼續(xù)采用Juniper的其它安全產(chǎn)品，進一步加固內(nèi)蒙古電力全網(wǎng)的安全水平?！?/p>

CAeTrust身份識別和訪問管理(IAM)套件

eTrust IAM是一套全面的、集成化的、模塊化的解決方案，在SC雜志的評獎中，它獲得了醫(yī)療衛(wèi)生類最佳安全解決方案獎(US Excellence)。eTrust Network Forensics可捕捉原始網(wǎng)絡數(shù)據(jù)，并使用高級證據(jù)分析技術(shù)來識別網(wǎng)絡入侵、內(nèi)部數(shù)據(jù)盜竊和安全策略違規(guī)等行為。 SafeNet DRM Fusion Toolkit4TV是第一個為廣播電視許可和保護而設計的產(chǎn)品，并且支持所有主要和開放的廣播數(shù)字版權(quán)管理標準。DRM Fusion Toolkit4TV能夠為廣播移動內(nèi)容和服務提供保護，避免未授權(quán)的使用和分發(fā)。為了采用移動電視保護解決方寨，運營商不得不依賴一個特殊廠商。另外，運營商不再需要版權(quán)客戶端軟件，就能夠向用戶提供標準和現(xiàn)成的聽筒。標準支持包括DVB-18Crypt和第一個OMABCAST智能卡詳細標準。

通過提供內(nèi)容和服務保護以及版權(quán)管理功能，DRM FuSin Toolkit4TV提供了整體解決方案，運營商和服務供應商能夠無縫集成到他們的廣播提供平臺上，向市場提供令人興奮的新移動電視服務。DRM Fusion Toolkit4TV利用在移動電視保護領域的專業(yè)技術(shù)，并且為BT Movio提供了第一個安全的DRM廣播移動電視解決方案。該解決方案作為SafeNet現(xiàn)有DRM Fusion Toolkit產(chǎn)品的附加模塊向客戶提供，因此，運營商能啦應用針對移動音樂，視頻和電視的整體解決方案。

SonicWALL互聯(lián)網(wǎng)防火墻與VPN安全設備

SonicWALL互聯(lián)網(wǎng)防火墻VPN安壘設備支持各種安全應用，并能提供功能強大的防火墻和VPN性能。SonicWALl，設備基于壘狀態(tài)榆測防火墻技術(shù)，及一個設計用來確保VPN使能應用最大性能的專用安全處理器。以對防火墻、VPN、入侵防護、防病毒、內(nèi)容過濾及獲獎壘球管理系統(tǒng)(GMS)的綜合支持，IT管理員可在安全、可靠地連接至其分支機構(gòu)與遠程雇員時，放心地用SonicWALL來保護其網(wǎng)絡的安全。

另外，SonicWAIL公司的SSL卸載器還能無縫集成至一個內(nèi)容交換環(huán)境中，并在優(yōu)化web應用性能的同時提供可靠的安全。

SonicWALL系列互聯(lián)網(wǎng)安全設備可提供對互聯(lián)網(wǎng)威脅的高級防護。它們包括經(jīng)ICSA認證的深度包檢測防火墻、用于遠程訪問的IPSecVPN、IP地址管理特性以及對SonicWALI。增值安壘服務的支持等。

UTM－l具有高度集成、經(jīng)實踐檢驗的安全功能，包括防 火墻、入侵防御、防病毒、防間諜軟件、網(wǎng)絡應用防病毒、VoIP安全、即時通訊(IM)、二層隔離網(wǎng)絡安全(P2P blocking)、Web過濾、URIL過濾以及實現(xiàn)安壘的站點到站點和遠程接八連接。

業(yè)內(nèi)可靠的防火墻技術(shù)，能強勁的IPSecVPN，可實現(xiàn)保護數(shù)百種應用程序和協(xié)議；功括的SSL遠程接入，無須添加硬件配置；集成的入侵防御功能；網(wǎng)關防病毒，適用重要通訊協(xié)議；直觀的硬件設置、診斷和恢復工具；網(wǎng)絡應用防火墻和反間諜軟件保護。

Websense Web Security Ecosystem

Websense Web SecurRy Ecosystem是網(wǎng)絡安壘技術(shù)的集大成者，能夠提供增強的安全保護，簡化Websense Web安全解決方案在企業(yè)環(huán)境中的部署。Websense Web SecurityEcosystem整合了世界一流的安壘和網(wǎng)絡技術(shù)，包括：網(wǎng)關、網(wǎng)絡訪問控制、安壘事件管理、身份管理和設備平臺。通過無縫集成40多個不同的技術(shù)解決方案，Websense Web SecurityEcosystem可以幫助企業(yè)識別和減少基于Web的成脅和漏洞。

JUNOS 7.0軟件不僅提供功能強火的操作系統(tǒng)，還提供豐富的IP業(yè)務工具包。JUNOS軟件可提供無與倫比的IP可靠性和安全性，可確?？深A測的高教IP基礎設施。利用這個穩(wěn)定的可用網(wǎng)絡，客戶能夠靈活地分割流量、創(chuàng)建獨特的應用環(huán)境、或部署可創(chuàng)收的IP業(yè)務。JUNOS軟件在全球最大的1P網(wǎng)絡中經(jīng)過生產(chǎn)驗證，能夠幫助客戶將IP基礎設施轉(zhuǎn)變成服務供應商獲得持續(xù)經(jīng)濟成功的重要途徑。

模塊化：JUNOS軟件采用模塊化的軟件設計，提供卓越的故障恢復能力并確保能夠簡單地集成IPv6等新功能；

路由專業(yè)技術(shù)：Juniper網(wǎng)絡公司在IP路由方面的專業(yè)技術(shù)可全面補充增強用于生產(chǎn)的路由協(xié)議；

基于標準：嚴格遵守路由和MPLS行業(yè)標準以及協(xié)議平穩(wěn)重啟等可用性機制，為客戶提高穩(wěn)定性并降低運行復雜性。

安全性：JUNOS軟件結(jié)合了智能數(shù)據(jù)包處理功能和卓越的性能，為客戶提供了一個強有力的IP安全性工具包；

豐富的業(yè)務；無論是個人用戶，企業(yè)客戶或服務供應商，JUNOS IP業(yè)務系列使客戶能夠為各種類型的最終用戶提供有保證的體驗。

安氏終端安全管理解決方案TerminaI Guard

安氏著眼干企業(yè)安全管理中最為薄弱的終端管理的環(huán)節(jié)，推出了Terminal Guard，該產(chǎn)品實現(xiàn)了以集中管理為基礎的終端保護，以資產(chǎn)管理為核心的管理系統(tǒng)，它從企業(yè)內(nèi)終端安全出發(fā)，核心思想是集中管理和強制，提供了基于browser/serve和client/server相結(jié)合的全面終端安全管理解決方案。

Symantec Endpoint Protection

Symantec Endpoint Protection是賽門鐵克多年以來市場領先的企業(yè)級防病毒的最新產(chǎn)品，在單一中整合了賽門鐵克防病毒與高級威脅防護，為用戶提供前所未有的防護，抵御各種惡意軟件，從而保護便攜式電腦、臺式機和服務器的安壘。為了保護用戶抵御當前威脅和未來新興威脅，Symantec Endpoint Protection納入了主動防護技術(shù)，自動分折應用行為和網(wǎng)絡溝通，從而檢測并主動攔截威脅。用戶可獲得單一解決方案，集成了防病毒、反間諜軟件、防火墻、基于主機和網(wǎng)絡的入侵防護方案以及應用和設備控制，并十分易于部署和管理。

Symantec Endpoint Protection通過整合賽門鐵克屢獲殊榮的技術(shù)，包括Sygate、Whole Security和Veritas，降低了與管理多重端點安全產(chǎn)品相關的管理成本。同時，賽門鐵克全球智能網(wǎng)絡、8家賽門鐵克安全響應中心、4家賽門鐵克安全運營中心、1.2億個系統(tǒng)和部署干180個國家的4萬多個傳感器也將為其提供支持?？ò退够?.O單機版

卡巴斯基7.0單機版產(chǎn)品中，包含卡巴斯基互聯(lián)網(wǎng)安全套裝7.O單機版與卡巴斯基反病毒軟件7.0單機版兩款，以此來滿足不同用戶的信息安壘需求。

卡巴斯基實驗室在7.0反病毒軟件單機版這個新品中還賦予了三重保護防御技術(shù)，即基于特征碼的精確病毒查殺、主動防御和啟發(fā)式分析器。

基于特征碼的精確病毒查殺，自動更新反病毒數(shù)據(jù)庫；啟發(fā)式分析器，前攝行為分析；主動防御，實時行為分析。以上三項技術(shù)獨特結(jié)合可以達到準確、高效防御的效果，使用戶的計算機安全達到前所未有的高度。

金山毒霸2007殺毒套裝

1.針對中國特有的盜號木馬、流氓軟件、蠕蟲病毒絞殺更徹底；

2．防堵黑客漏洞治標治本；

3．流行蠕蟲病毒終身免疫首創(chuàng)流行病毒免疫器；

4．7×24小時壘天候主動實時升級．反應更迅速；每周l 7次以上病毒庫主動更新-按月更新各種功能。

江民KV2008

KV2008采用了新一代智能分級高速殺毒引擎，占用系統(tǒng)資源少，掃描速度得到了大幅提升，同時KV2008新增了三大技術(shù)和五項新功能，可有效防殺超過40萬種的計算機病毒、木馬、網(wǎng)頁惡意腳本、后門黑客程序等惡意代碼以及絕大部分未知病毒。

江民KV2008三大技術(shù)包括強大的“自我保護’反病毒技術(shù)，系統(tǒng)災難一鍵恢復技術(shù)以及雙核引擎優(yōu)化技術(shù)?！白晕冶Ｗo”技術(shù)采用窗口保護以及進程保護，可以有效避免病毒關閉殺毒軟件進程，確保殺毒軟件自身安壘。

系統(tǒng)災難一鍵恢復技術(shù)可以在系統(tǒng)崩潰無法進入的情況下，一鍵恢復系統(tǒng)．無論是惡性病毒破壞或是電瞄用戶誤刪除系統(tǒng)文件，都可以輕松還原到無毒狀態(tài)或正常狀態(tài)。

雙核引攀優(yōu)化技術(shù)，對KV2008基于雙核和多核處理器進行了全面優(yōu)化，掃描病毒時，雙核或多核處理器同時啟用多線程多硬盤數(shù)據(jù)進行掃描，使掃描速度得到r大幅提升。趨勢科技中小企業(yè)無?隴安全解決方案v3．6

除了對Vista的支持以外，CSM3．6與上一代版本一樣，針對目前日益猖撅的Web威脅提供了集成的防間諜軟件保護、消除rootkit、封鎖僵尸網(wǎng)絡攻擊．從而提供了可別抗傳統(tǒng)與新型惡意程序的主動式防御。

趨勢科技CSM3．6攜“10247'’(1站式整合防護、0成本管理平臺、24*7安全防護)的特點，延續(xù)了過去容易安裝與使用的特性。讓客戶隨時獲得完整的保護。

CSM3．6特別針對中小企業(yè)的安全需求而設計，因此具備了中小企業(yè)專屬的安全防護產(chǎn)品與單一步驟安裝部署的便利性，可以一次部署、統(tǒng)一更新，而且通過單一管理界面就可以保護PC和服務器免受多種威脅。

綠盟冰之網(wǎng)絡入侵檢測系統(tǒng)

綠盟冰之眼網(wǎng)絡入檢測系統(tǒng)(ICEYE Network In- trumon Detection System，簡稱：ICEYE NIDS)是對防火墻的有效補充，實時檢測網(wǎng)絡流量．監(jiān)控各種網(wǎng)絡行為，對違反安壘策略的流量及時報警和防護，實現(xiàn)從事前警告、事中防護到事后取證的一體化解決方案。

入侵檢測：對黑客攻擊(緩沖區(qū)溢出、SQL注入、暴力猜測、拒絕服務、掃描探測、非授權(quán)訪問等)、蠕蟲病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡等進行實時檢測及報警，并通過與防火墻聯(lián)動、TCP Killer、發(fā)送郵件、控制臺顯示、日志數(shù)據(jù)庫記錄、打印機輸出、運行用戶自定義命令等方式進行動態(tài)防護。

行為監(jiān)控：對網(wǎng)絡流量進行監(jiān)控，對P2P下載、IM即時通訊、網(wǎng)絡游戲、網(wǎng)絡流媒體等嚴重濫用網(wǎng)絡資源的事件提供告警和記錄。

流量分析：對網(wǎng)絡進行流量分析，實時統(tǒng)計出當前網(wǎng)絡中的各種報文流量。

聯(lián)想網(wǎng)御UTM以USE(Uniform Secure Engine)統(tǒng)一安全引擎為基礎，優(yōu)化傳統(tǒng)引擎。抽象數(shù)據(jù)模型、構(gòu)造統(tǒng)一絮構(gòu)，有效地將防火墻、VPN、防病毒、IPS、反垃圾郵件、Web內(nèi)容過濾等多類安全引擎集成為統(tǒng)一的安全引擎，提供了卓越的功能和檢測能力。

Power V UTM系列產(chǎn)品采用聯(lián)想網(wǎng)御獨創(chuàng)的VSP通用安全平臺，將系統(tǒng)平臺分為通用控制平面、數(shù)據(jù)平面、系統(tǒng)服務平面和硬件抽象平面，系統(tǒng)功能與資源管理分別工作在不同的空間平面。

聯(lián)想網(wǎng)御UTM在集群設計中采用了MRP(Multi-LayersRedundant Protoc01)多重冗余協(xié)議，支持鏈路聚合、雙機熱備、負載均衡等功能。最高支持32臺的設備集群和負載均德，具備會話表同步功能，為用戶提了無與倫比的高可靠性。

東軟NetEye異常流量分析與響應系統(tǒng)(Ntars)

主要用于骨干網(wǎng)絡的監(jiān)控檢測和分析，通過對骨干網(wǎng)絡流量信息和系統(tǒng)信息的收集，采用多種方法進行分析、檢測，實時監(jiān)控、檢測骨干劂絡中DoS/DDoS攻擊、蠕蟲病毒、垃圾郵件及其他網(wǎng)絡異常事件，提取異常特征，井啟動報警和響應系統(tǒng)進行過濾、阻斷和防御。

啟明星辰泰合信息安全運營中心(簡稱：TSOC)是國內(nèi)目前應用最廣泛的安全管理平臺類產(chǎn)品，在政府、金融、能源、運營商、大企業(yè)等行業(yè)均實現(xiàn)規(guī)模部署。

啟明星辰TSOC采用成熟的瀏覽器/服務器/數(shù)據(jù)庫架構(gòu)，由“五個中心、五個功能模塊”組成。五個中心為漏洞評估中心、網(wǎng)絡管理中心、事件/流量監(jiān)控中心、安全預警與風險管理中心以及響應管理中心。五個功能模塊為資產(chǎn)管理、策略配置管理、自身系統(tǒng)維護管理、用戶管理、安全知阻管理。

“應用為本、開放融合”是扁明星辰泰合信息安壘運營中心的核心體現(xiàn)，具備壘面性，開放性和實用性三大突出特點。思科安全監(jiān)控、分析和響應系統(tǒng)(MARs)

思科安全監(jiān)控分析和響應系統(tǒng)(MARS)是一個高性能、可擴展的威脅管理、監(jiān)控和防御設備系列，將傳統(tǒng)安全事件監(jiān)控與網(wǎng)絡智能、上下文關聯(lián)、因素分析，異常流量檢測、熱點識別和自動防御功能相結(jié)合，可幫助客戶更為高效地使用網(wǎng)絡和安全設備。通過結(jié)合這些功能，思科安MARS可幫助公司準確識別和消除網(wǎng)絡攻擊，且保持網(wǎng)絡的安全策略符合性。

集中監(jiān)控、集中事件庫、數(shù)據(jù)減少、及時攻擊防御、高度可擴展的部署、充分利用已有投資進行防御、先進的報告功能、端到端網(wǎng)絡感知等。

天融信“銀河”