網(wǎng)絡(luò)安全計劃精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全計劃主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全計劃范文

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理；防護；防火墻

中圖分類號：TP393.08文獻標(biāo)識碼：A文章編號：1009-3044(2011)14-3302-02

隨著企業(yè)信息化進程的不斷發(fā)展，網(wǎng)絡(luò)已成為提高企業(yè)生產(chǎn)效率和企業(yè)競爭力的有力手段。目前，石化企業(yè)網(wǎng)絡(luò)各類系統(tǒng)諸如ERP系統(tǒng)、原油管理信息系統(tǒng) 、電子郵件系統(tǒng) 以及OA協(xié)同辦公系統(tǒng)等都相繼上線運行，信息化的發(fā)展極大地改變了企業(yè)傳統(tǒng)的管理模式，實現(xiàn)了企業(yè)內(nèi)的資源共享。與此同時，網(wǎng)絡(luò)安全問題日益突出，各種針對網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊層出不窮，病毒威脅無處不在。

因此，了解網(wǎng)絡(luò)安全，做好防范措施，保證系統(tǒng)安全可靠地運行已成為企業(yè)網(wǎng)絡(luò)系統(tǒng)的基本職能，也是企業(yè)本質(zhì)安全的重要一環(huán)。

1 石化企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

石化企業(yè)局域網(wǎng)一般包含Web、Mail等服務(wù)器和辦公區(qū)客戶機，通過內(nèi)部網(wǎng)相互連接，經(jīng)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計算機處在同一網(wǎng)段或通過Vlan（虛擬網(wǎng)絡(luò)）技術(shù)把企業(yè)不同業(yè)務(wù)部門相互隔離。

2 企業(yè)網(wǎng)絡(luò)安全概述

企業(yè)網(wǎng)絡(luò)安全隱患的來源有內(nèi)、外網(wǎng)之分，網(wǎng)絡(luò)安全系統(tǒng)所要防范的不僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問。企業(yè)網(wǎng)絡(luò)安全隱患主要如下：

1) 操作系統(tǒng)本身存在的安全問題

2) 病毒、木馬和惡意軟件的入侵

3) 網(wǎng)絡(luò)黑客的攻擊

4) 管理及操作人員安全知識缺乏

5) 備份數(shù)據(jù)和存儲媒體的損壞

針對上述安全隱患，可采取安裝專業(yè)的網(wǎng)絡(luò)版病毒防護系統(tǒng)，同時加強內(nèi)部網(wǎng)絡(luò)的安全管理；配置好防火墻過濾策略，及時安裝系統(tǒng)安全補丁；在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、入侵檢測系統(tǒng)，配置網(wǎng)絡(luò)安全隔離系統(tǒng)等。

3 網(wǎng)絡(luò)安全解決方案

一個網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包含許多方面，主要為物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等。

3.1 物理安全

物理安全主要指環(huán)境、場地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計劃等，包括機房環(huán)境安全、通信線路安全、設(shè)備安全、電源安全。

主要考慮：自然災(zāi)害、物理損壞和設(shè)備故障；選用合適的傳輸介質(zhì)；供電安全可靠及網(wǎng)絡(luò)防雷等。

3.2 網(wǎng)絡(luò)安全

石化企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等，并與企業(yè)系統(tǒng)內(nèi)部的上、下級機構(gòu)網(wǎng)絡(luò)及Internet互連。

3.2.1 VLAN技術(shù)

VLAN即虛擬局域網(wǎng)。是通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù)。

借助VLAN技術(shù)，可將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境 ，就像使用本地LAN一樣方便。一般分為：基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。

3.2.2 防火墻技術(shù)

1) 防火墻體系結(jié)構(gòu)

① 雙重宿主主機體系結(jié)構(gòu)

防火墻的雙重宿主主機體系結(jié)構(gòu)是指一臺雙重宿主主機作為防火墻系統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的任務(wù)。

② 被屏蔽主機體系結(jié)構(gòu)

被屏蔽主機體系結(jié)構(gòu)是指通過一個單獨的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機共同構(gòu)成防火墻，強迫所有的外部主機與一個堡壘主機相連，而不讓其與內(nèi)部主機相連。

③ 被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為使用兩個屏蔽路由器，位于堡壘主機的兩端，一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)。為了入侵這種類型的體系結(jié)構(gòu)，入侵者必須穿透兩個屏蔽路由器。

2) 企業(yè)防火墻應(yīng)用

① 企業(yè)網(wǎng)絡(luò)體系中的三個區(qū)域

邊界網(wǎng)絡(luò)。此網(wǎng)絡(luò)通過路由器直接面向Internet，通過防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)。

網(wǎng)絡(luò)。即DMZ，將用戶連接到Web服務(wù)器或其他服務(wù)器，Web服務(wù)器通過內(nèi)部防火墻連接到內(nèi)部網(wǎng)絡(luò)。

內(nèi)部網(wǎng)絡(luò)。連接各個內(nèi)部服務(wù)器（如企業(yè)OA服務(wù)器，ERP服務(wù)器等）和內(nèi)部用戶。

② 防火墻及其功能

在企業(yè)網(wǎng)絡(luò)中，常常有兩個不同的防火墻:防火墻和內(nèi)部防火墻。雖然任務(wù)相似，但側(cè)重點不同，防火墻主要提供對不受信任的外部用戶的限制，而內(nèi)部防火墻主要防止外部用戶訪問內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶非授權(quán)的操作。

在以上3個區(qū)域中，雖然內(nèi)部網(wǎng)絡(luò)和DMZ都屬于企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分，但他們的安全級別不同，對于要保護的大部分內(nèi)部網(wǎng)絡(luò)，一般禁止所有來自Internet用戶的訪問；而企業(yè)DMZ區(qū)，限制則沒有那么嚴(yán)格。

3.2.3 VPN技術(shù)

VPN(Virtual Private Network)虛擬專用網(wǎng)絡(luò)，一種通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進行遠程訪問的連接方式。位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間就好像架設(shè)了一條專線，但它并不需要真正地去鋪設(shè)光纜之類的物理線路。

企業(yè)用戶采用VPN技術(shù)來構(gòu)建其跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，與Internet進行隔離，控制內(nèi)網(wǎng)與Internet的相互訪問。VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，將對外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對外訪問。

3.3 應(yīng)用系統(tǒng)安全

企業(yè)應(yīng)用系統(tǒng)安全包括兩方面。一方面涉及用戶進入系統(tǒng)的身份鑒別與控制，對安全相關(guān)操作進行審核等。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、Web、FTP服務(wù)、E-MAIL等

病毒防護是企業(yè)應(yīng)用系統(tǒng)安全的重要組成部分，企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時，應(yīng)全方位地布置企業(yè)防毒產(chǎn)品。

在網(wǎng)絡(luò)骨干接入處，安裝防毒墻，對主要網(wǎng)絡(luò)協(xié)議（SMTP、FTP、HTTP）進行殺毒處理；在服務(wù)器上安裝單獨的服務(wù)器殺毒產(chǎn)品，各用戶安裝網(wǎng)絡(luò)版殺毒軟件客戶端；對郵件系統(tǒng)，可采取安裝專用郵件殺毒產(chǎn)品。

4 結(jié)束語

該文從網(wǎng)絡(luò)安全及其建設(shè)原則進行了論述，對企業(yè)網(wǎng)絡(luò)安全建設(shè)的解決方案進行了探討和總結(jié)。石化企業(yè)日新月異，網(wǎng)絡(luò)安全管理任重道遠，網(wǎng)絡(luò)安全已成為企業(yè)安全的重要組成部分、甚而成為企業(yè)的本質(zhì)安全。加強網(wǎng)絡(luò)安全建設(shè)，確保網(wǎng)絡(luò)安全運行勢在必行。

參考文獻：

[1] 王達. 路由器配置與管理完全手冊――H3C篇[M]. 武漢:華中科技大學(xué)出版社,2010．

[2] 王文壽. 網(wǎng)管員必備寶典――網(wǎng)絡(luò)安全[M]. 北京:清華大學(xué)出版社,2007．

第2篇：網(wǎng)絡(luò)安全計劃范文

關(guān)鍵詞： 網(wǎng)絡(luò)；信息安全；規(guī)劃

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2013）20-4606-03

網(wǎng)絡(luò)是現(xiàn)代社會中信息傳輸?shù)闹饕d體，包括計算機網(wǎng)絡(luò)和電信網(wǎng)絡(luò)兩大部分，其中計算機網(wǎng)絡(luò)的典范是Internet，而電信網(wǎng)絡(luò)則包括有線電話網(wǎng)和移動通信網(wǎng)。隨著技術(shù)的發(fā)展，這兩種網(wǎng)絡(luò)之間的差異正在逐步縮小，未來的發(fā)展趨勢將是一個統(tǒng)一的、能提供綜合業(yè)務(wù)能力的信息傳輸網(wǎng)絡(luò)。

1 網(wǎng)絡(luò)的基本結(jié)構(gòu)

在本文中涉及到的主要是計算機網(wǎng)絡(luò)。在典型的企業(yè)應(yīng)用環(huán)境中，用戶有兩種主要的網(wǎng)絡(luò)接入方式，即固定用戶的直接接入方式和移動用戶的撥號接入方式。下面分別對這兩種接入方式下的網(wǎng)絡(luò)基本結(jié)構(gòu)進行分析。

在直接接入方式下，整個網(wǎng)絡(luò)系統(tǒng)大致包括以下三個部分：

1）用戶網(wǎng)絡(luò)：是整個骨干網(wǎng)絡(luò)的端系統(tǒng)，同時用戶企業(yè)/部門內(nèi)部的業(yè)務(wù)處理專用網(wǎng)絡(luò)，包括了與用戶企業(yè)日常業(yè)務(wù)處理直接相關(guān)的業(yè)務(wù)系統(tǒng)和信息資源，以及為支持這些系統(tǒng)的有效運行而建立的用戶內(nèi)部網(wǎng)絡(luò)系統(tǒng)（可以是局域網(wǎng)或Intranet）。由于企業(yè)間合作的不斷開展，用戶網(wǎng)絡(luò)之間需要進行大量的資源共享和交流，這一般需要通過骨干網(wǎng)絡(luò)進行。

2）接入網(wǎng)絡(luò)：是指實現(xiàn)用戶網(wǎng)絡(luò)到骨干網(wǎng)絡(luò)接入的中間網(wǎng)絡(luò)部分，是用戶網(wǎng)絡(luò)的應(yīng)用信息通過骨干網(wǎng)絡(luò)傳輸?shù)囊粋€中介。由于用戶網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)之間的安全性能上存在較大的差異，因此接入網(wǎng)絡(luò)需要解決的一個重要的問題就是對用戶網(wǎng)絡(luò)及其內(nèi)部的各種資源進行安全保護。本教程所指的接入網(wǎng)絡(luò)概念與電信網(wǎng)絡(luò)的術(shù)語“接入網(wǎng)”不完全相同。

3）骨干網(wǎng)絡(luò)：是用戶網(wǎng)絡(luò)之間交換和傳輸應(yīng)用信息的傳輸媒體，是通過在大量的用戶網(wǎng)絡(luò)之間共享網(wǎng)絡(luò)傳輸帶寬來實現(xiàn)信息的高速、廉價傳輸?shù)?。由于骨干網(wǎng)絡(luò)應(yīng)用環(huán)境的開放性特點，其安全性能一般無法保證。

對于移動用戶遠程接入的方式，整個網(wǎng)絡(luò)結(jié)構(gòu)主要包括以下二個部分：

1）接入網(wǎng)絡(luò)：是實現(xiàn)移動用戶接入到骨干網(wǎng)絡(luò)的中間網(wǎng)絡(luò)部分。典型的接入網(wǎng)絡(luò)包括ISP/IAP以及移動用戶到相應(yīng)的ISP/IAP之間的電信網(wǎng)絡(luò)傳輸網(wǎng)絡(luò)部分（PSTN/IDSN）。

2）骨干網(wǎng)絡(luò)：是移動用戶與目標(biāo)網(wǎng)絡(luò)之間的信息傳輸媒體。

隨著網(wǎng)絡(luò)和信息技術(shù)在各個方面的全面應(yīng)用，企業(yè)的組織方式將變得越來越靈活，而移動計算模式將逐步普及，因此在研究網(wǎng)絡(luò)及信息安全問題時必須將移動用戶的接入方式作為一個重點加以研究。

2 網(wǎng)絡(luò)及信息安全問題的內(nèi)涵

網(wǎng)絡(luò)及信息的安全問題是一個相當(dāng)廣義的概念，其內(nèi)容至少涉及以下幾個方面：

1）物理安全：確保整個網(wǎng)絡(luò)系統(tǒng)正常運行、安全工作的首要條件是確保計算機及其網(wǎng)絡(luò)設(shè)備等關(guān)鍵性網(wǎng)絡(luò)固件的物理安全，包括設(shè)備機房的防雷擊、電磁屏蔽、抗災(zāi)性能、安全警衛(wèi)等方面，要求整個網(wǎng)絡(luò)系統(tǒng)從系統(tǒng)設(shè)計、安裝施工、運行管理各方面加強對物理安全的精確控制與有效管理。

2）網(wǎng)絡(luò)系統(tǒng)安全：骨干網(wǎng)絡(luò)部分的主要功能在于向大量的用戶網(wǎng)絡(luò)提供可用的網(wǎng)絡(luò)傳輸帶寬，因此傳輸網(wǎng)絡(luò)的安全性主要體現(xiàn)在對網(wǎng)絡(luò)傳輸帶寬可用性的保證上，主要是維持整個傳輸網(wǎng)絡(luò)的路由機制和網(wǎng)絡(luò)管理機制的正常運作。

3）計算機系統(tǒng)安全：用戶網(wǎng)絡(luò)的主要功能體現(xiàn)在企業(yè)內(nèi)部信息資源的開發(fā)利用以及業(yè)務(wù)流程的輔助實施方面，不僅要滿足內(nèi)部用戶的需求，還應(yīng)根據(jù)企業(yè)發(fā)展戰(zhàn)略的需要有針對性地向外部用戶提供服務(wù)和資源。因此計算機系統(tǒng)安全主要體現(xiàn)在對應(yīng)用系統(tǒng)和信息資源的安全保護兩個方面，而對信息資源的安全性保護主要幾種在數(shù)據(jù)的保密性、完整性和可用性方面。

3 網(wǎng)絡(luò)及信息安全問題的主要成因

由于網(wǎng)絡(luò)及信息安全問題的涉及的領(lǐng)域具有相當(dāng)?shù)膹V泛性，其安全問題的來源和因由也是相當(dāng)復(fù)雜的，下面僅列出部分主要的安全問題成因，給大家對此有一個初步的了解：

3.1 網(wǎng)絡(luò)及信息安全的技術(shù)成因

網(wǎng)絡(luò)及信息安全問題的技術(shù)成因主要包括以下幾個方面：

1）電磁信號的輻射：由于網(wǎng)絡(luò)設(shè)備以及計算機信息系統(tǒng)的特殊構(gòu)造與工作方式，它不可避免地會向鄰近空間輻射電磁波。這些泄露出來的電磁輻射信號頻譜成分豐富，攜帶大量信息，從而對某些信息處理的信息安全性造成威脅。目前網(wǎng)絡(luò)通信中涉及到的傳輸電纜、計算機設(shè)備、網(wǎng)絡(luò)系統(tǒng)設(shè)備均會不同程度的產(chǎn)生電磁場輻射向外泄露，對此只需要簡單的儀器設(shè)備就可以在通信雙方毫不知情的情況下對通信內(nèi)容實施監(jiān)聽。

2）網(wǎng)絡(luò)協(xié)議的安全性：網(wǎng)絡(luò)協(xié)議是計算機之間為了互聯(lián)彼此共同遵守的通信規(guī)則。目前的互聯(lián)網(wǎng)絡(luò)所采用的主流協(xié)議TCP/IP協(xié)議構(gòu)架主要是面向信息資源的共享的。由于在其設(shè)計之初人們過分強調(diào)其開發(fā)性和便利性，而對其安全性的設(shè)計上沒有深思熟慮，因此相當(dāng)部分的網(wǎng)絡(luò)協(xié)議都存在嚴(yán)重的安全漏洞，給互聯(lián)網(wǎng)留下了許多安全隱患。事實上，這已經(jīng)成為當(dāng)前網(wǎng)絡(luò)及信息安全問題最主要根源之一。另外，某些網(wǎng)絡(luò)協(xié)議缺陷造成的安全漏洞往往被黑客直接利用發(fā)起安全攻擊。比較典型的如FTP、SMTP、Telnet等應(yīng)用協(xié)議，用戶的口令等信息是以明文形式在網(wǎng)絡(luò)中傳輸?shù)模瑫r這些協(xié)議底層所依賴的TCP協(xié)議自身也并不能確保信號傳輸過程的安全。

3）工作環(huán)境的安全漏洞：現(xiàn)有的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等典型的企業(yè)用戶工作環(huán)境，由于本身就是軟件產(chǎn)品，軟件產(chǎn)品的特殊性造成了其必然存在一定的已知及未知安全漏洞，包括自身的體系結(jié)構(gòu)問題、對特定網(wǎng)絡(luò)協(xié)議實現(xiàn)的錯誤以及系統(tǒng)開發(fā)過程中遺留的后門和陷門。這些來自系統(tǒng)底層的安全漏洞帶來的安全隱患，有可能會使用戶精心構(gòu)建部署的應(yīng)用系統(tǒng)毀于一旦。

4）安全產(chǎn)品自身的問題：對于用戶網(wǎng)絡(luò)內(nèi)部已經(jīng)采用的網(wǎng)絡(luò)及信息安全產(chǎn)品，其自身實現(xiàn)過程中的安全漏洞或錯誤都有可能引發(fā)用戶內(nèi)部網(wǎng)絡(luò)安全防范機制的失效。同時，即使安全產(chǎn)品自身的安全漏洞可以忽略，在產(chǎn)品的實際使用過程中由于用戶的配置或操作不當(dāng)均可能造成產(chǎn)品安全性能的降低或喪失。

5）缺乏總體的安全規(guī)劃：目前的各種網(wǎng)絡(luò)及信息安全技術(shù)和產(chǎn)品一般基于不同的原理和安全模型工作，雖然獨立來看都是功能不錯的產(chǎn)品，但當(dāng)所有這些產(chǎn)品整合到一起，應(yīng)用到同一個網(wǎng)絡(luò)系統(tǒng)中時，彼此之間在互操作性及兼容性上往往無法得到有效保證，從而帶來許多意想不到的新安全問題。

6）信息的共享性：信息資源的網(wǎng)絡(luò)共享確實在促進國際間的信息交流與技術(shù)合作上起到了前所未有的成功，大力推動了全世界科技水平的提高，但同時這也成為網(wǎng)絡(luò)及信息安全問題的一個重要成因。各種計算機病毒、各種攻擊小軟件都可以便捷地從互聯(lián)網(wǎng)上獲取，甚至網(wǎng)絡(luò)黑客們還專門成立了虛擬社區(qū)，通過討論組、BBS等形式交流黑客經(jīng)驗。在這各方面可以說信息共享起到了推波助瀾的負面作用。

3.2 網(wǎng)絡(luò)及信息安全的管理成因

網(wǎng)絡(luò)及信息安全問題的管理成因主要包括以下幾個方面：

1）互聯(lián)網(wǎng)缺乏有效的管理：國際互聯(lián)網(wǎng)是全球性的分布式網(wǎng)絡(luò)。在技術(shù)層面上，不存在某個國家或某個利益集團通過某種技術(shù)手段來達到控制互聯(lián)網(wǎng)的目的。由于互聯(lián)網(wǎng)是分布式的，各個節(jié)點由各類民間組織以自愿形式進行管理，同時不同國家民族在地域、法律、文化等方面的巨大差異存在，導(dǎo)致了互聯(lián)網(wǎng)在整體上缺乏一個有效的安全管理規(guī)劃，給網(wǎng)絡(luò)黑客留下了充分的活動空間，使他們可以低成本的進行信息安全犯罪活動而逍遙法外。

2）配套的管理體制尚未建立：傳統(tǒng)的政府部門的行政管理體制一般是建立在地域劃分和部門條塊分割基礎(chǔ)上，實施監(jiān)督管理的職能。而超越地域空間限制的網(wǎng)絡(luò)環(huán)境使得傳統(tǒng)的管理模式捉襟見肘，監(jiān)管部門的管理職能難以有效發(fā)揮作用。同時信息化社會中原有的法規(guī)政策在具體實施和操作中會遇到或多或少的種種困難，所有這些客觀上使得網(wǎng)絡(luò)黑客活動一定程度上具備了逃避法規(guī)監(jiān)管的可能，助長了網(wǎng)絡(luò)黑客的氣焰。

3）觀念上的重視不夠：目前政府部門、金融部門、企事業(yè)單位的大量業(yè)務(wù)依賴于信息系統(tǒng)安全運行，信息安全重要性日益凸顯。大多數(shù)單位已經(jīng)意識到了網(wǎng)絡(luò)及信息安全問題的重要性，但往往由于部門負責(zé)人的信息化水平本身不高導(dǎo)致其對信息安全管理認知水平仍停留在較粗淺的低層次上。這主要表現(xiàn)在，沒有配備專職的網(wǎng)絡(luò)安全管理員或其業(yè)務(wù)素質(zhì)不高，沒有建立和落實完整的網(wǎng)絡(luò)系統(tǒng)安全防范制度，沒有對網(wǎng)絡(luò)系統(tǒng)和安全產(chǎn)品的配置進行有效的管理等方面。

4 網(wǎng)絡(luò)及信息安全的規(guī)劃

從網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定與安全、社會經(jīng)濟的有序發(fā)展和保護企業(yè)利益的角度來看，一定要高屋建瓴地進行網(wǎng)絡(luò)信息安全保障體系建設(shè)規(guī)劃工作，做好基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)，建立信息安全保障。下面主要介紹如何進行有效的網(wǎng)絡(luò)及信息安全規(guī)劃工作。

4.1 風(fēng)險分析和評估

安全規(guī)劃的第一步是對用戶內(nèi)部網(wǎng)絡(luò)所面臨的安全風(fēng)險進行分析和評估。根據(jù)現(xiàn)代的經(jīng)濟運作理論，對于網(wǎng)絡(luò)及信息安全方面的投資將被視為一種投資方式，這種投資將帶來企業(yè)在運行管理成本、安全事故損失以及企業(yè)形象等方面的收益。在市場經(jīng)濟領(lǐng)域中任何一種投資都必須有相應(yīng)的回報，因此投資前的一個重要措施就是風(fēng)險分析和評估，用以確定所需的資金投入。

安全風(fēng)險分析和評估主要應(yīng)從以下二個方面入手：

1）安全威脅及其可見性分析：對用戶企業(yè)所面臨的各種潛在的安全威脅因素及其對外的可見性進行全面分析。安全威脅的存在不一定會造成事實的安全事故，安全威脅對外部是可見的，才有可能引發(fā)安全事故。可能的安全威脅應(yīng)包括軟、硬件以及用戶自身。

2）組織對潛在安全風(fēng)險的敏感性分析：這里的敏感性包括對安全事故造成的直接經(jīng)濟損失以及政治上和商業(yè)形象上的損失的敏感程度。敏感性分析的結(jié)果將直接關(guān)系到安全規(guī)劃過程中對各類安全措施的投入比重和優(yōu)先級問題。

4.2 安全策略制定

在安全風(fēng)險分析和評估的基礎(chǔ)上，應(yīng)進一步制定網(wǎng)絡(luò)系統(tǒng)的安全策略。在制定安全策略過程中應(yīng)充分權(quán)衡安全性和方便性，并應(yīng)注意使安全策略切實可行，與企業(yè)的技術(shù)和資金能力現(xiàn)狀相適應(yīng)。

安全策略應(yīng)包括一下兩個層次的內(nèi)容：

1）整體安全策略制定：主要用于確立企業(yè)級的網(wǎng)絡(luò)安全防范管理體制，并落實與之相配套的具體事實規(guī)劃和所需人力、物力的落實計劃，并應(yīng)明確違反安全策略行為的處理措施。整體的安全策略主要用于領(lǐng)導(dǎo)高層決策和管理使用。

2）系統(tǒng)級的安全策略：在整體安全策略所確定的框架之上進一步從技術(shù)角度針對特定的系統(tǒng)專門制定詳細的安全策略，主要用于具體的技術(shù)實施使用。

在安全策略的制定和實施并不只是單純的管理層的任務(wù)，而是應(yīng)充分發(fā)揮技術(shù)人員的作用。

4.3 系統(tǒng)的管理與維護

在系統(tǒng)的運行過程中應(yīng)進行一下幾方面的管理與維護工作：

1）數(shù)據(jù)備份：對系統(tǒng)中關(guān)鍵性的信息根據(jù)應(yīng)用的特點確定備份的方式和備份策略。

2）安全審計：對系統(tǒng)中的資源訪問和各種異常情況進行安全審計，及時地發(fā)現(xiàn)系統(tǒng)配置中的安全漏洞并加以補救，并對已發(fā)生的安全事故進行責(zé)任追查。

4.4 技術(shù)不是一切

對于網(wǎng)絡(luò)及信息安全問題，需要著重指出的一個問題是：“技術(shù)不是一切”。

某種程度上說，網(wǎng)絡(luò)技術(shù)及信息技術(shù)本身就是技術(shù)含量很高的高科技，因此在網(wǎng)絡(luò)及信息領(lǐng)域的整體安全解決方案中，技術(shù)因素必然是起著決定性作用的，這一點是不可否認的。事實上任何一種技術(shù)都是在正、反兩方面的應(yīng)用和較量的過程中逐步完善和發(fā)展起來的，對于網(wǎng)絡(luò)及信息安全問題則更將是一場智慧與技術(shù)的反復(fù)較量。

但同時也應(yīng)該看到，網(wǎng)絡(luò)及信息安全問題涉及到了人的因素。與任何其它涉及到人的問題一樣，網(wǎng)絡(luò)及信息安全領(lǐng)域中并不是只依靠單純的技術(shù)力量就能有效解決一切問題的。

1） 功能再強大的網(wǎng)絡(luò)及信息安全產(chǎn)品，若使用者沒有進行合理地配置或者正確地操作，其安全性能不但無法得到有效利用，還有可能形成許多新的安全漏洞。

2）再完善的安全管理制度，只為了貪圖一時方便而不去執(zhí)行它，那么所有的安全措施都有可能形同虛設(shè)。最簡單的例子是用戶違反口令管理的規(guī)定選取過于簡單的口令或干脆直接采用系統(tǒng)缺省口令就足以給網(wǎng)絡(luò)黑客敞開大門。

3）只要用戶個人出于對工作條件的不滿或其它情感因素，完全有可能利用其合法的用戶身份從系統(tǒng)內(nèi)部發(fā)起攻擊或?qū)⑾到y(tǒng)內(nèi)部信息透露給其它惡意用戶。而根據(jù)美國FBI的統(tǒng)計，80%以上（奏效）的網(wǎng)絡(luò)攻擊都屬于這種“后院起火”的類型。

因此，在從技術(shù)角度加強網(wǎng)絡(luò)及信息安全防范的同時，還必須加強對企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全管理，才能使公司在安全產(chǎn)品和技術(shù)方面的投資發(fā)揮其應(yīng)有的作用。

參考文獻：

[1] 黃允聰，嚴(yán)望佳.網(wǎng)絡(luò)安全基礎(chǔ)[M].北京：清華大學(xué)出版社， 1999， 6.

第3篇：網(wǎng)絡(luò)安全計劃范文

【關(guān)鍵詞】網(wǎng)絡(luò)會計信息系統(tǒng) 安全

我國會計電算化事業(yè)自1979年起步以來,已經(jīng)歷了接近30年的發(fā)展歷程,進過幾個階段的發(fā)展,會計電算化事業(yè)已經(jīng)到達了一個嶄新的階段,會計軟件日趨成熟,軟件的商品化、市場化已經(jīng)達到了相當(dāng)?shù)囊?guī)模。為此,財政部于1994年陸續(xù)下發(fā)了若干促進會計電算化發(fā)展和規(guī)范會計工作的相關(guān)文件,其中《關(guān)于大力發(fā)展我國會計電算化的意見》明確了我國會計電算化的總體目標(biāo),即到2008達到80%以上,主要貢獻于相關(guān)單位的應(yīng)收應(yīng)付款核算、固定資產(chǎn)核算、材料核算、成本核算、工資核算、會計報表生成與匯總等基本會計核算業(yè)務(wù)方面實現(xiàn)電算化。與之共同成長的就是計算機網(wǎng)絡(luò)的快速發(fā)展應(yīng)用,如何保證網(wǎng)絡(luò)會計的信息安全,是我們從業(yè)人員應(yīng)該注意維護的重要事項。網(wǎng)絡(luò)會計信息的安全是指系統(tǒng)保持正常穩(wěn)定運行狀態(tài)的能力,即在網(wǎng)絡(luò)環(huán)境下對各種交易和事項進行確認、計量和批漏的活動,以及財務(wù)數(shù)據(jù)處理的各個環(huán)節(jié),也就是說既要包括操作這個系統(tǒng)的人和做為系統(tǒng)處理對象的那些數(shù)據(jù),也包括系統(tǒng)所處的那個環(huán)境。所以,網(wǎng)絡(luò)會計信息系統(tǒng)的安全建設(shè)是全方位的系統(tǒng)工程。會計信息系統(tǒng)如同金庫中的資金,信息安全是會計信息系統(tǒng)安全的核心,確保信息的生存性、完整性、可用性和保密性是會計信息系統(tǒng)的中心任務(wù)。信息系統(tǒng)是為承載、傳輸、處理、保存、輸入、輸出、查詢信息提供服務(wù)的基礎(chǔ),信息系統(tǒng)的安全是信息安全的基本保障。

一、網(wǎng)絡(luò)會計信息系統(tǒng)的安全風(fēng)險主要表現(xiàn)

會計信息系統(tǒng)是一種特殊的信息系統(tǒng),它除了一般信息系統(tǒng)的安全特征外,還具有自身的一些安全特點。會計信息系統(tǒng)的安全風(fēng)險是指有人為的或非人為的因素是會計信息系統(tǒng)保護安全的能力的減弱,從而產(chǎn)生系統(tǒng)的信息失真、失竊,使單位的財產(chǎn)遭受損失,系統(tǒng)的硬件、軟件無法正常運行等結(jié)果發(fā)生的可能性。會計信息系統(tǒng)的安全風(fēng)險主要表現(xiàn)在以下幾個方面。

1.會計信息的真實性、可靠性。開放性的網(wǎng)絡(luò)會計環(huán)境下,存在信息失真的風(fēng)險。盡管信息傳遞的無紙化可以有效避免一些由于人為原因而導(dǎo)致會計失真的現(xiàn)象,但仍不能排除電子憑證、電子賬簿可能被隨意修改而不留痕跡的行為。傳統(tǒng)的依靠鑒章確保憑證有效性和明確經(jīng)濟責(zé)任的手段不復(fù)存在。由于缺乏有效的確認標(biāo)識,信息接受方有理由懷疑所獲取財務(wù)數(shù)據(jù)的真實性;同樣,作為信息發(fā)送方,也有類似的擔(dān)心,即傳遞的信息能否被接受方正確識別并下載。

2.企業(yè)重要的數(shù)據(jù)泄密。在信息技術(shù)高速發(fā)展的今天,信息在企業(yè)的經(jīng)營管理中變得尤為重要,它已經(jīng)成為企業(yè)的一項重要資本,甚至決定了企業(yè)的激烈的市場競爭中的成敗,企業(yè)的財務(wù)數(shù)據(jù)屬重大商業(yè)機密,在網(wǎng)絡(luò)傳遞過程中,有可能被競爭對手非法截取,導(dǎo)致造成不可估量的損失。因此,保證財務(wù)數(shù)據(jù)的安全亦不容忽視。

3.會計信息是否被篡改。會計信息在網(wǎng)上傳遞過程中,隨時可能被網(wǎng)絡(luò)黑客或競爭對手非法截取并惡意篡改,同時,病毒也會影響信息的安全性和真實性,這些都是亟待解決的問題。

4.網(wǎng)絡(luò)系統(tǒng)的安全性。網(wǎng)絡(luò)是一把雙刃劍,它使企業(yè)在利用lnternet網(wǎng)尋找潛在的貿(mào)易伙伴、完成網(wǎng)上交易的同時,也將自己暴露于風(fēng)險之中。這些風(fēng)險來自于:泄密與惡意攻擊。所謂泄密是指未授權(quán)人員非法侵入企業(yè)信息系統(tǒng),竊取企業(yè)的商業(yè)機密,從而侵吞企業(yè)財產(chǎn)或賣出商業(yè)機密換取錢財。所謂惡意攻擊是指網(wǎng)絡(luò)黑客的蓄意破壞或者病毒的感染,將可能使整個系統(tǒng)陷于癱瘓。

二、網(wǎng)絡(luò)會計信息系統(tǒng)安全應(yīng)考慮的一般原則

1.需求、風(fēng)險、代價平衡分析的原則

任何網(wǎng)絡(luò)的絕對安全都是難以達到的,也不一定是必要的。對一個網(wǎng)絡(luò)要進行實際的研究,并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析,然后確定本系統(tǒng)的安全策略。

2.綜合性、整體性原則

應(yīng)運用系統(tǒng)工程的觀點、方法、分析網(wǎng)絡(luò)的安全及具體的措施。安全措施包括:行政法律手段、各種管理制度(人員審查、工作流等)以及專業(yè)技術(shù)措施。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果?？傊?不同的安全措施的代價、效果對不同的網(wǎng)絡(luò)并不完全相同,根據(jù)確定的安全策略制定出合理的網(wǎng)絡(luò)體系結(jié)構(gòu)及網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

3.一致性原則

一致性原則是指網(wǎng)絡(luò)安全問題應(yīng)存在于整個網(wǎng)絡(luò)的工作周期,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致,安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計及實施計劃、網(wǎng)絡(luò)驗證、驗收、運行等,都要有安全的內(nèi)容及措施。實際上,在網(wǎng)絡(luò)建設(shè)的初期就應(yīng)該考慮網(wǎng)絡(luò)安全對策,比等網(wǎng)絡(luò)建設(shè)好后再考慮安全措施不但較容易,且成本也大大的降低。

三、網(wǎng)絡(luò)會計信息系統(tǒng)安全的幾項措施

通過加強會計信息系統(tǒng)的安全建設(shè)與管理,提高會計信息系統(tǒng)安全的防護和反應(yīng)綜合能力,使系統(tǒng)能夠抵御各種威脅,有效保護企業(yè)資產(chǎn),提高會計的完整服務(wù)。在會計信息系統(tǒng)建設(shè)過程中,必須克服“重建設(shè)輕安全、重技術(shù)輕管理、重使用輕維護”的思想。應(yīng)逐步建立以“檢查與管理、保密與防護、檢測與防治、測評與服務(wù)”為基本結(jié)構(gòu)的安全管理和技術(shù)系統(tǒng)。通過管理和技術(shù)兩種手段,使會計信息系統(tǒng)的技術(shù)風(fēng)險防范能力不斷提高到一個新的水平。為了更好的利用網(wǎng)絡(luò)會計帶來的優(yōu)勢,保證信息數(shù)據(jù)質(zhì)量和安全,應(yīng)從以下幾方面入手,以網(wǎng)絡(luò)技術(shù)為基礎(chǔ),結(jié)合會計需要,確保網(wǎng)絡(luò)安全有效的傳遞信息。

1.系統(tǒng)加密管理。在會計信息系統(tǒng)中,對一些須嚴(yán)格控制操作的環(huán)節(jié),設(shè)上“雙口令”只有“雙口令”同時到位才能進行該操作?！半p口令”由分管該權(quán)限的兩個人各自按照規(guī)定設(shè)置,不得告知他人。對“雙口令”進行“并鑰”處理后,方可執(zhí)行相應(yīng)的操作。這樣不僅加強了控制管理,保證了數(shù)據(jù)安全,而且也保護了相關(guān)的人員,便于分清各自的責(zé)任。

2.形成網(wǎng)上公證由第三方牽制的安全機制。網(wǎng)絡(luò)環(huán)境下原始憑證用數(shù)字方式進行存儲,應(yīng)利用網(wǎng)絡(luò)所特有的實時傳輸功能和日益豐富的互聯(lián)網(wǎng)服務(wù)項目,實現(xiàn)原始交易憑證的第三方監(jiān)控(即網(wǎng)上公證)。

3.建立嚴(yán)格的數(shù)據(jù)存儲措施。為了提高系統(tǒng)數(shù)據(jù)的安全性和在意外情況下的“自救能力”,應(yīng)建立雙備份,備份后的兩份數(shù)據(jù)應(yīng)有不同的人員持有,另一份是非加密的,有具體操作人員使用。對一些重要的數(shù)據(jù),可采用分布存儲。

所謂分布存儲,是指對數(shù)據(jù)文件采用一定的算法,將數(shù)據(jù)串分到兩個或兩個以上的新串中,組成新的兩個或多個文件,并存在不同的物理存儲設(shè)備中,甚至是異地設(shè)備中。

4.完善和積極實施法律法規(guī)。國家應(yīng)盡快建立和完善電子商務(wù)法規(guī),以規(guī)范網(wǎng)上交易的購銷、支付及核算行為;借簽國外有關(guān)研究成果和實踐經(jīng)驗,制定符合我國國情的網(wǎng)絡(luò)會計信息管理、財務(wù)報告披露的法規(guī)、準(zhǔn)則,具體規(guī)定企業(yè)網(wǎng)上披露的義務(wù)與責(zé)任、網(wǎng)絡(luò)會計信息質(zhì)量標(biāo)準(zhǔn)要求、監(jiān)管機構(gòu)及其權(quán)責(zé)等,為網(wǎng)絡(luò)會計信息系統(tǒng)提供一個良好的社會環(huán)境。

參考文獻:

[1]韓杰,金光華.電算化內(nèi)部控制的研究.

第4篇：網(wǎng)絡(luò)安全計劃范文

關(guān)鍵詞：計算機；網(wǎng)絡(luò)；數(shù)據(jù)庫；信息安全。

1引言

計算機網(wǎng)絡(luò)數(shù)據(jù)庫安全管理技術(shù)優(yōu)化，其目的在于提高網(wǎng)絡(luò)數(shù)據(jù)安全性與可靠性，計算機技術(shù)在各個領(lǐng)域中都得到了普及，其網(wǎng)絡(luò)數(shù)據(jù)安全管理程度越高，對各領(lǐng)域的共享與支持也就越大，因此在社會不斷發(fā)展的過程中，計算機網(wǎng)絡(luò)數(shù)據(jù)庫安全管理技術(shù)也必然需要不斷優(yōu)化和完善[1-3]。

2計算機網(wǎng)絡(luò)數(shù)據(jù)庫安全管理特征

（1）安全性。這里指的數(shù)據(jù)庫安全性說明的是在數(shù)據(jù)庫實際運行的過程中，安全所體現(xiàn)的成效，最為明顯的有：第一，數(shù)據(jù)在進行交流的過程中，對于其中一些新數(shù)據(jù)要采取有針對性的保密和管理措施，對于在這個過程中可能會出現(xiàn)各種問題要進行預(yù)防和處理。第二，數(shù)據(jù)庫中具有用戶儲存的各種數(shù)據(jù)，為了維護用戶的權(quán)益，應(yīng)該完善相應(yīng)的保密方案，對其進行相應(yīng)的保護，而一些重要數(shù)據(jù)的安全維護措施要相應(yīng)加強。第三，保密工作要做好的同時，管理工作也要良好的開展，從而促使用戶的數(shù)據(jù)得到很好的保護，權(quán)益也實現(xiàn)切實的保障。（2）完整性。對于計算機數(shù)據(jù)庫網(wǎng)絡(luò)十分重要，互聯(lián)網(wǎng)深入到各個行業(yè)，在日常工作，確保數(shù)據(jù)完整性是非常重要的，如果在這一點不能具有保障，那么在啟用數(shù)據(jù)的過程中就會出現(xiàn)各種各樣的問題，投入實際領(lǐng)域中也會受到相應(yīng)的限制。進行新數(shù)據(jù)的存儲和傳輸?shù)倪^程中，要確保新舊數(shù)據(jù)管理的格式一致。（3）故障處理性。計算機應(yīng)用的深度和范圍難以預(yù)測，在促使人們的生活，工作越加便捷的同時，也隨之出現(xiàn)了各種各樣的問題，黑客的入侵，病毒的植入等惡意事件的出現(xiàn)對于用戶良好的使用計算機網(wǎng)絡(luò)會產(chǎn)生十分不良的影響。當(dāng)前計算機網(wǎng)絡(luò)的發(fā)展越來越精良，但是所面臨的各種各樣的故障卻不會減少。

3計算機網(wǎng)絡(luò)數(shù)據(jù)庫安全目標(biāo)

（1）對數(shù)據(jù)庫傳輸?shù)臄?shù)據(jù)進行管理。數(shù)據(jù)庫在進行數(shù)據(jù)信息傳輸?shù)倪^程中，嚴(yán)密性十分重要。因此，在這個過程中就可以從兩個方面入手：第一，對數(shù)據(jù)開展系統(tǒng)性的管理；第二，針對數(shù)據(jù)進行一致性的確認。在這兩方面具有保證，才能進一步保障數(shù)據(jù)使用的有效性，促使用戶在使用的過程中能夠?qū)崿F(xiàn)良好的運用。（2）對新數(shù)據(jù)進行管理。新數(shù)據(jù)是數(shù)據(jù)庫在管理的過程中需要十分重視的一部分，由于其新鮮性，需要從根本上避免病毒被帶入，從而對計算機中的其他數(shù)據(jù)造成威脅。而為了避免出現(xiàn)這種情況，需要對新數(shù)據(jù)進行深入的檢測，對于其安全性進行反復(fù)的確認，從而促使其在進入到數(shù)據(jù)庫中被良好的儲存，之后實現(xiàn)良好的應(yīng)用。（3）使用者使用數(shù)據(jù)的安全。越來越多的人進入到計算機的使用行列之中，我國計算機技術(shù)發(fā)展的速度也越來越快，在使用范圍上和深度上也得到了極大程度上的拓展。因此，如果在使用的過程中，出現(xiàn)信息泄露的情況，那么對于用戶造成的不良影響是十分嚴(yán)重的，而由于當(dāng)前社會上各個行業(yè)的聯(lián)系越來越密切，所產(chǎn)生的危害是難以預(yù)料的，由此可見，保證數(shù)據(jù)庫的運行良好，信息儲存是十分重要的。

4計算機網(wǎng)絡(luò)數(shù)據(jù)庫的安全管理技術(shù)

（1）安全管理模式。在保障計算機網(wǎng)絡(luò)數(shù)據(jù)庫安全中比較常見的技術(shù)是安全管理模式，目的是促使計算機網(wǎng)絡(luò)數(shù)據(jù)庫得到有效的管理和優(yōu)化。通過將安全管理模式理念在計算機網(wǎng)絡(luò)中良好的運用，促使計算機網(wǎng)絡(luò)數(shù)據(jù)庫的安全性得到很大程度的提升，數(shù)據(jù)庫信息的泄露，丟失情況出現(xiàn)的頻率也相對較少了。安全管理模式對于數(shù)據(jù)庫信息的管理采取的是分層管理，其原理是針對不同層次的數(shù)據(jù)展開相對應(yīng)的管理方式，這樣能夠促使不同的數(shù)據(jù)得到最合適的管理，安全性能也得到了很重要的保證。與此同時，通過對安全管理模式的良好運用，數(shù)據(jù)實現(xiàn)了更為科學(xué)的，先進的管理，也縮短了計算機對于各種數(shù)據(jù)的識別時間，提高了用戶使用數(shù)據(jù)的效率，從而有效提升了整體的服務(wù)水平。安全管理模式所發(fā)揮出來的積極影響還體現(xiàn)在計算機網(wǎng)絡(luò)數(shù)據(jù)庫的結(jié)構(gòu)中，能夠?qū)崿F(xiàn)對于結(jié)構(gòu)中存在的各種問題和漏洞進行有效的修復(fù)，從而促使計算機系統(tǒng)實現(xiàn)良好的運行。計算機技術(shù)在不斷發(fā)展，尋求新的突破，相信在未來的計算機使用過程中，更多的問題都能夠具有十分有效的解決方式。（2）存取控制管理技術(shù)。計算機網(wǎng)絡(luò)數(shù)據(jù)庫中的信息在輸入和輸出的過程中會具有相應(yīng)的限制，而想要訪問上面的信息，需要一定的權(quán)限認證。如果不在允許的范圍內(nèi)，那么數(shù)據(jù)庫對于信息提取的請求應(yīng)該做出相應(yīng)的反應(yīng)。我國計算機網(wǎng)絡(luò)數(shù)據(jù)庫的安全管理技術(shù)還需要進行進一步的發(fā)展和更新，對于相應(yīng)的安全管理進行進一步的優(yōu)化，從而促使網(wǎng)絡(luò)數(shù)據(jù)庫資源的安全性得到切實的保障。存取控制管理技術(shù)最主要的部分為分權(quán)限檢閱和資格審查認證，權(quán)限檢閱指的是對于非用戶的需求反應(yīng)，以及對于用戶的權(quán)限進行進一步確認。而為了避免出現(xiàn)不法人員想要獲取用戶信息的行為，系統(tǒng)需要進行逐步的審核和確認，對于其權(quán)限進行切實的明確。在資格審查認證這一部分，對于各類用戶的資料認證資格進行有效的確認，對于不具有數(shù)據(jù)查看資格的用戶做出排斥性反應(yīng)，而對于一些過期的信息要進行及時的清理，從而促使有效信息得到良好的管理。（3）數(shù)據(jù)加密技術(shù)。①靜態(tài)加密技術(shù)，主要指通過對待加密已保存但未使用的文件，假設(shè)密碼、密鑰證書數(shù)字簽名等方式實現(xiàn)加密。使用時獲取明文需先解密，才可使用加密方。此方式多應(yīng)用于系統(tǒng)軟件加密過程中。②動態(tài)加密技術(shù)，主要指動態(tài)跟蹤數(shù)據(jù)流，自動加密相關(guān)數(shù)據(jù)，不需人工參與，對用戶沒有任何影響，已加密文件可被有權(quán)限的用戶直接使用。相對于有權(quán)限的用戶動態(tài)加密操作是透明的、公開的，難以區(qū)別與訪問未加密文件的感覺。而無訪問權(quán)限的用戶，及時非法獲取加密文件，也無法識別，只得到亂碼，難以獲取有效信息。動態(tài)加密技術(shù)在實際應(yīng)用中便捷性顯著。③文件級動態(tài)加解密技術(shù)，主要獲得文件系統(tǒng)層中文件信息、用戶信息、訪問進程等各類相關(guān)信息數(shù)據(jù)，進而開發(fā)出具有強大功能屬性文檔安全產(chǎn)品。利用動態(tài)加解密產(chǎn)品，實現(xiàn)文件系統(tǒng)自身動態(tài)加解密，以分區(qū)或目錄為單位，實現(xiàn)加密文件。文件級動態(tài)加密技術(shù)的不足為難以滿足用戶個性化需求，但其安全性與磁盤級加密技術(shù)相同，存在較大的第三方安全產(chǎn)品加工創(chuàng)造發(fā)展空間。（4）建立數(shù)據(jù)庫安全模型。數(shù)據(jù)庫安全穩(wěn)定運轉(zhuǎn)的基礎(chǔ)是具有一套合理的數(shù)據(jù)庫模型。通過數(shù)據(jù)庫安全模型，對系統(tǒng)行為關(guān)系進行精準(zhǔn)描述，提升系統(tǒng)的精確性、便捷性、安全性?，F(xiàn)階段，常見的數(shù)據(jù)庫安全模型包括兩種分別是：多邊數(shù)據(jù)庫安全模型、多級數(shù)據(jù)庫安全模型。其中多邊數(shù)據(jù)庫安全模型的應(yīng)用優(yōu)勢為有效避免數(shù)據(jù)泄露，提升數(shù)據(jù)庫安全性、升級計算機安全性，應(yīng)用實效顯著；多級數(shù)據(jù)庫安全模型的應(yīng)用優(yōu)勢為：通過加密數(shù)據(jù)設(shè)置分級等制度強化對數(shù)據(jù)的保護。數(shù)據(jù)加密等級主要級別分為秘密、機密和絕密不同種。通過設(shè)置不同級別，實現(xiàn)保護數(shù)據(jù)分層，進而提升計算機、數(shù)據(jù)庫運行的穩(wěn)定性、數(shù)據(jù)的安全性。常見在軍事領(lǐng)域中使用此安全模型。（5）控制訪問技術(shù)。當(dāng)數(shù)據(jù)庫出現(xiàn)漏洞時，極易被黑客盯住利用數(shù)據(jù)庫漏洞對網(wǎng)絡(luò)進行攻擊，而控制訪問技術(shù)則是為了有效的防治黑客攻擊，保護用戶數(shù)據(jù)信息、維持網(wǎng)絡(luò)正常使用與運行的程序?？刂圃L問技術(shù)通過限制、避免不法用戶訪問網(wǎng)絡(luò)、盜竊數(shù)據(jù)、提升數(shù)據(jù)庫的安全性，授權(quán)使用者對其身份進行多種方式的驗證。在進行訪問控制時，往往是對用戶輸入系統(tǒng)內(nèi)的信息進行自動驗證，當(dāng)出現(xiàn)不法分子、更換、刪除數(shù)據(jù)等現(xiàn)象時，系統(tǒng)會發(fā)出阻止訪問的指令，以此保證數(shù)據(jù)庫的安全性，防止出現(xiàn)數(shù)據(jù)泄露、丟失等問題，提升數(shù)據(jù)存儲的穩(wěn)定性，保證數(shù)據(jù)存儲的完整性。常見的控制訪問技術(shù)可分為兩種，分別強制性控制訪問與自主性控制訪問，其通過規(guī)定授權(quán)用戶、系統(tǒng)來實現(xiàn)強制性控制訪問，進而創(chuàng)建可強制控制的對象；當(dāng)用戶完成對某對象的創(chuàng)建后，通過限制其訪問權(quán)限實現(xiàn)對訪問的授權(quán)與收回，進而實現(xiàn)對其他不合規(guī)定的訪問權(quán)限進行限制，實現(xiàn)的數(shù)據(jù)庫的保護。

5使用DBMS安全機制預(yù)防網(wǎng)絡(luò)攻擊

對于數(shù)據(jù)庫整體安全防護，DBMS系統(tǒng)是較為完善的安全機制，可有效促使數(shù)據(jù)庫的運行安全性，提高數(shù)據(jù)庫的利用率，防御網(wǎng)絡(luò)攻擊。（1）系統(tǒng)認證與授權(quán)。對數(shù)據(jù)庫中的用戶行為限制時需要通過系統(tǒng)認證、授權(quán)等操作得以實現(xiàn)。通過系統(tǒng)驗證信息發(fā)出人、需求人的身，以數(shù)據(jù)庫授權(quán)對用戶身份進行深一層的認證。通過設(shè)置授權(quán)SQLServer數(shù)據(jù)庫服務(wù)器權(quán)限，專門設(shè)置DPeb程序登錄權(quán)限等，決定數(shù)據(jù)庫訪問權(quán)限，以此增加數(shù)據(jù)庫用戶，有效將登錄權(quán)限與用戶密切相關(guān)。（2）數(shù)據(jù)備份與恢復(fù)。進行數(shù)據(jù)庫利用時，可通過日常備份操作做到萬無一失、有備無患，根據(jù)數(shù)據(jù)庫備份，實現(xiàn)短時間內(nèi)迅速恢復(fù)數(shù)據(jù)原有運行狀態(tài)，保證數(shù)據(jù)安全性、便捷性、可恢復(fù)性，進而保證數(shù)據(jù)庫的系統(tǒng)完整性。常見的數(shù)據(jù)庫備份方式為：靜態(tài)備份、邏輯備份、動態(tài)備份。若出現(xiàn)數(shù)據(jù)庫系統(tǒng)異常時，可利用系統(tǒng)備份及時恢復(fù)數(shù)據(jù)系統(tǒng)，通過數(shù)據(jù)庫在線日志、備份文件、磁盤鏡像等常見方式，通過管理員的操控實現(xiàn)對數(shù)據(jù)的備份與恢復(fù)。（3）全方位實施科學(xué)有效的審計工作。進行科學(xué)審計工作時，需要對用戶數(shù)據(jù)進行全方位把握，將數(shù)據(jù)庫的操作內(nèi)容進行詳細記錄，除此之外，還要利用審計日志對登記內(nèi)容進行保存。根據(jù)審計工作對信息進行全方位跟蹤、運用等提升數(shù)據(jù)的掌握率、利用率、使用率。保證及時發(fā)現(xiàn)數(shù)據(jù)庫中的漏洞，為采用針對性的處理措施提供依據(jù)，排除或降低數(shù)據(jù)安全隱患，進而提升審計工作的實效性、全面性、準(zhǔn)確性。

第5篇：網(wǎng)絡(luò)安全計劃范文

【關(guān)鍵詞】計算機；網(wǎng)絡(luò)；安全

計算機網(wǎng)絡(luò)安全策略是指在某個安全區(qū)域內(nèi)，與安全活動有關(guān)的一套規(guī)則，由安全區(qū)域內(nèi)的一個權(quán)威建立，它使網(wǎng)絡(luò)建設(shè)和管理過程中的工作避免了盲目性，但在目前它并沒有得到足夠的重視。國際調(diào)查顯示，目前55%的企業(yè)網(wǎng)沒有自己的安全策略，僅靠一些簡單的安全措施來保障網(wǎng)絡(luò)安全。計算機網(wǎng)絡(luò)安全策略包括對企業(yè)各種網(wǎng)絡(luò)服務(wù)的安全層次和權(quán)限進行分類，確定管理員的安全職責(zé)，如實現(xiàn)安壘故障處理.確定網(wǎng)絡(luò)拓撲結(jié)構(gòu)、入侵及攻擊的防御和檢測、備份和災(zāi)難恢復(fù)等。這里所說的安全策略主要涉及4個大的方面：物理安全策略、訪問控制策略、信息加密策略和網(wǎng)絡(luò)安全管理策略。

一、物理安全策略和訪問控制策略

（一）物理安全策略

制定安全策略的目的是保護路由器、交換機、工作站、各種網(wǎng)絡(luò)服務(wù)器等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊；驗證用戶的身份和使用權(quán)限，防止用戶越權(quán)操作；確保網(wǎng)絡(luò)設(shè)備有一個良好的電磁兼容工作環(huán)境；建立完備的機房安全管理制度，妥善保管備份磁帶和文檔資料；防止非法人員進入機房進行偷竊和破壞活動。

（二）訪問控制策略

訪問控制策略是網(wǎng)絡(luò)安壘防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。各種安全策略必須相互配合才能真正起到保護作用，而訪問控制策略可以認為是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

1.入網(wǎng)訪問控制

入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源。用戶的入網(wǎng)訪問控制可分為3個步驟：用戶名的識別以驗證、用戶帳號的缺省限制檢查。

2.網(wǎng)絡(luò)的權(quán)限控制

網(wǎng)絡(luò)權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限，控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作?？梢愿鶕?jù)訪問權(quán)限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，由系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限；審計用戶，負責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個訪問控制表來描述。

3.目錄級安全控制

網(wǎng)絡(luò)應(yīng)能夠控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有以下8種：系統(tǒng)管理員權(quán)限，也叫超級用戶權(quán)限、主動權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找、存取控制。

4.屬性安全控制

當(dāng)使用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進一步的安全。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性，網(wǎng)絡(luò)的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除，執(zhí)行修改、顯示等。

5.網(wǎng)絡(luò)服務(wù)器安全控制

計算機網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等。網(wǎng)絡(luò)服務(wù)器的安全控制包括：可以設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息數(shù)據(jù)；可以設(shè)定服務(wù)器控登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。

6.網(wǎng)絡(luò)監(jiān)測和鎖定控制

計算機網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)實施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問。對非法的網(wǎng)絡(luò)訪問進行報警，以引起網(wǎng)絡(luò)管理員的注意，并自動記錄企圖嘗試進入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達到設(shè)定數(shù)值，那么該賬戶將被自動鎖定。

7.網(wǎng)絡(luò)端口和節(jié)點的安全控制

網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動回呼設(shè)備和靜默調(diào)制解調(diào)制器加以保護，并以加密的形式來識別節(jié)點的身份。自動回呼設(shè)備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用以防范黑客的自動撥號程序?qū)τ嬎銠C進行攻擊。網(wǎng)絡(luò)還通常對服務(wù)器端采取安全限制，用戶必須攜帶證實身份的驗證器。在對用戶的身份進行驗證之后，才允許用戶進入用戶端。然后，用戶端和服務(wù)端再進行相互驗證。

8.防火墻控制

防火墻是近十多年來發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進出方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離外部和內(nèi)部網(wǎng)絡(luò)，以阻止來自外部網(wǎng)絡(luò)的侵入。

二、信息加密策略

信息加密的目的是保護網(wǎng)絡(luò)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)絡(luò)會話的完整性。網(wǎng)絡(luò)加密可設(shè)在鏈路級、網(wǎng)絡(luò)級，也可以設(shè)在應(yīng)用級等，它們分別對應(yīng)干網(wǎng)絡(luò)體系結(jié)構(gòu)中的不同層次形成加密通信通道。用戶可以根據(jù)不同的需求，選擇適當(dāng)?shù)募用芊绞?。保護網(wǎng)絡(luò)信息安全行之有效的技術(shù)之一就是數(shù)據(jù)加密策略。它是對計算機信息進行保護的最實用和最可靠的方法。

三、網(wǎng)絡(luò)安全管理策略

網(wǎng)絡(luò)安全管理策略是指在特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則。實現(xiàn)網(wǎng)絡(luò)安全，不僅要靠先進的技術(shù)，而且要靠嚴(yán)格控的管理和威嚴(yán)的法律。三者的關(guān)系如同安壘平臺的三根支柱，缺一不可。網(wǎng)絡(luò)安全管理策略包括：（1）確定安全管理等級和安全管理范圍；（2）制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度；（3）制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等；安全管理的落實是實現(xiàn)網(wǎng)絡(luò)安全的關(guān)鍵。

四、計算機網(wǎng)絡(luò)物理安全管理

涉及計算機網(wǎng)絡(luò)的物理安全管理是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)等環(huán)境事故和人為地操作失誤導(dǎo)致的破壞過程。網(wǎng)絡(luò)物理安全管理主要包括：機房的安全技術(shù)管理、通信線路的安全管理、設(shè)備安全管理和電源系統(tǒng)的安全管理。

第6篇：網(wǎng)絡(luò)安全計劃范文

關(guān)鍵詞：網(wǎng)絡(luò)  會計電算化  安全性

        會計電算化自從被企事業(yè)單位使用，就一直面臨著安全性的問題。試想在沒有數(shù)據(jù)備份的情況下，儲存在硬盤中多年的會計數(shù)據(jù)一旦丟失，將是一個災(zāi)難性的后果。因此我們必須保證會計電算化軟件系統(tǒng)在一個相對安全的環(huán)境下運行，使得由此而產(chǎn)生的信息風(fēng)險自始至終處在可控的范圍之內(nèi)。

        一、網(wǎng)絡(luò)環(huán)境下會計電算化安全性方面存在的問題 

        從安全角度出發(fā)，會計電算化管理制度在安全方面作出了多方面的規(guī)定和要求，在實際工作中起到了積極作用。但隨著會計電算化的發(fā)展，財務(wù)ASP的應(yīng)用，會計電算化安全性方面還存在諸多問題。 

        （一）會計業(yè)務(wù)數(shù)據(jù)被丟失或破壞，導(dǎo)致正常核算中斷。

        在網(wǎng)絡(luò)化多用戶的狀態(tài)下發(fā)生計算機故障、黑客攻擊等造成數(shù)據(jù)資源被破壞所帶來的危害將更大。一旦出現(xiàn)存儲在計算機內(nèi)的UFDATA.MD、UfErpInf.md以及UfErpAct.Lst等文件丟失或破壞，恢復(fù)數(shù)據(jù)則需要一個時間過程。

        （二）商業(yè)間諜盜竊經(jīng)濟情報，利用掌握的經(jīng)濟情報犯罪。

        如利用數(shù)據(jù)資源的復(fù)制可在瞬間完成的特點，通過拷貝竊取全部賬戶信息，或借日常維修之機，趁人不備偷竊數(shù)據(jù)。在網(wǎng)絡(luò)會計電算化的環(huán)境下，可以通過網(wǎng)絡(luò)黑客竊取傳送的數(shù)據(jù)信息，其最大特點是既不干擾破壞信息流，又能竊取數(shù)據(jù)信息。 

        （三）不法分子非法修改會計應(yīng)用軟件、篡改會計業(yè)務(wù)數(shù)據(jù)、偷竊或貪污資金。   

        隨著網(wǎng)絡(luò)化會計電算化的發(fā)展，不法分子篡改網(wǎng)絡(luò)上傳送的信息，通過加大結(jié)算金額，更改收款單位賬號，達到貪污或竊取資金的目的。 

        （四）網(wǎng)絡(luò)病毒破壞會計電算化的應(yīng)用軟件系統(tǒng)。

        近年來，計算機病毒呈不斷蔓延之勢。在網(wǎng)絡(luò)會計電算化工作中，由于網(wǎng)絡(luò)病毒的多發(fā)性和快速感染性，計算機感染病毒的現(xiàn)象不同程度的存在。計算機一旦感染病毒，極易破壞會計電算化應(yīng)用軟件系統(tǒng)中的數(shù)據(jù)文件和應(yīng)用軟件，使數(shù)據(jù)文件突然出現(xiàn)不明真象的丟失，以及應(yīng)用軟件無法正常工作。

        二、會計電算化硬件系統(tǒng)安全性分析 

        對于會計電算化硬件系統(tǒng)來講，保持不間斷的電源是很重要的，因為突然斷電，會導(dǎo)致用戶所做的會計電算化工作因為沒有來得及存盤而前功盡棄，若是程序正在向數(shù)據(jù)庫中寫內(nèi)容時也會因突然斷電，導(dǎo)致數(shù)據(jù)出現(xiàn)錯亂。

        三、會計電算化應(yīng)用軟件系統(tǒng)安全性分析 

        （一）數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)必要性分析 

        數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)功能可以進行會計數(shù)據(jù)的保全與恢復(fù)。如果系統(tǒng)出現(xiàn)故障，可以在系統(tǒng)管理界面把最近一次備份的數(shù)據(jù)引入，將最后一次備份與故障發(fā)生前的這一階段所發(fā)生的數(shù)據(jù)進行補充登記。數(shù)據(jù)備份應(yīng)該按計劃進行，一般完整備份的時間周期相對長一些，其他方式的備份時間周期相對短一些。可以規(guī)定完整備份一周一次，其他方式備份一天一次。在一天中應(yīng)選擇工作結(jié)束后，下班前執(zhí)行備份，以免影響當(dāng)天的工作。

   系統(tǒng)管理員可以執(zhí)行對整個會計電算化系統(tǒng)的數(shù)據(jù)備份。會計主管可以執(zhí)行對全部或部分會計電算化系統(tǒng)的數(shù)據(jù)備份。一般操作員的數(shù)據(jù)備份權(quán)限由會計主管分配或指定。

        （二）設(shè)置操作員權(quán)限與口令必要性分析 

        操作員的權(quán)限分配與口令設(shè)置是構(gòu)成軟件安全性的兩個重要方面。眾所周知，會計電算化工作中，操作人員的職務(wù)級別不同，工作范圍不同，可以操作的軟件功能和訪問的數(shù)據(jù)內(nèi)容也不同，因此需要由最高級別的管理員對操作員進行權(quán)限分配。

        在功能權(quán)限中，每個操作員都需要經(jīng)過授權(quán)才能使用該會計電算化系統(tǒng)，并且只能使用被授權(quán)的功能。通過類別權(quán)限控制對操作員進一步的限制，使操作員只能在同一功能下不同類別范圍內(nèi)操作。操作員在操作時，尤其在做數(shù)據(jù)錄入的操作時，可以限制其操作的數(shù)據(jù)發(fā)生額在一定的限度內(nèi)。

        （三）外部防護的必要性

        （1）周界安全防范。

第7篇：網(wǎng)絡(luò)安全計劃范文

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)；系統(tǒng)；安全；虛擬化；信息化

一、 企業(yè)網(wǎng)的組成和所面臨的安全威脅

(一) 企業(yè)網(wǎng)的組成

企業(yè)網(wǎng)一般由兩個大的功能區(qū)域組成：企業(yè)內(nèi)網(wǎng)和企業(yè)外部接入網(wǎng)。我們可以邏輯上把這兩大區(qū)域進一步劃分成若干個模塊，企業(yè)內(nèi)網(wǎng)包括管理模塊、核心模塊、分布層模塊、服務(wù)器模塊和邊界接入模塊五部分。企業(yè)外部接入網(wǎng)包括外網(wǎng)接入模塊和遠程接入模塊兩個部分。不同模塊實現(xiàn)不同的功能，各自的安全需要也有所不同, 需要實施相應(yīng)的安全策略。模塊與模塊之間的安全策略相互影響、相互作用并互為補充。典型的大型企業(yè)網(wǎng)絡(luò)架構(gòu)如下圖：

(二) 企業(yè)網(wǎng)面臨的安全威脅

1. 來自內(nèi)部用戶的安全威脅

大多數(shù)威脅來自于內(nèi)部網(wǎng)絡(luò), 如缺乏安全意識的員工、心懷不滿的員工、公司間諜等都是這類攻擊的來源。

2. 來自外部網(wǎng)絡(luò)的安全威脅

隨著信息技術(shù)的不斷發(fā)展,企業(yè)總部與分支以及合作伙伴之間的聯(lián)網(wǎng)需求越來越迫切。它們之間不可避免的需要通過網(wǎng)絡(luò)交換信息及共享資源。同時, 企業(yè)網(wǎng)還為內(nèi)部合法員工提供了上互聯(lián)網(wǎng)的途徑, 互聯(lián)網(wǎng)用戶可以訪問企業(yè)對外提供的公共服務(wù)器上的信息，由于信息資源的共享同時也給企業(yè)網(wǎng)的內(nèi)、外網(wǎng)安全帶來了一系列的挑戰(zhàn)。

二、 企業(yè)內(nèi)網(wǎng)的安全設(shè)計

企業(yè)內(nèi)網(wǎng)包括管理模塊、核心模塊、分布層模塊、服務(wù)器模塊和邊界接入模塊五部分。下面分別分析各個模塊的功能, 及面臨的安全威脅和相對應(yīng)的安全措施, 以及與其它模塊之間的關(guān)系。

(一) 管理模塊

管理模塊的主要功能是實現(xiàn)企業(yè)網(wǎng)絡(luò)的所有設(shè)備和服務(wù)器的安全管理。所面臨最主要的安全威脅有未授權(quán)接入、口令攻擊、中間人攻擊等，為了消除以上管理模塊面臨的安全威脅,應(yīng)采取以下的安全措施：

1. 管理數(shù)據(jù)流和生產(chǎn)網(wǎng)數(shù)據(jù)流需有效的安全隔離，包括盡可能使用安全性高的帶外管理, 在不能使用帶外管理的情況下,帶內(nèi)管理也要做到使用IPSec、SSH等加密傳輸。

2. 采用強力的認證授權(quán)技術(shù)對管理信息進行認證和授權(quán)，可以通過采用AAA認證和雙因素認證技術(shù), 保證只有合法的用戶才能管理相應(yīng)設(shè)備, 并能夠防止密碼泄漏和對密碼竊聽。

3. 采用完善的安全審計技術(shù)對整個網(wǎng)絡(luò)（或重要網(wǎng)絡(luò)部分）的運行進行記錄和分析，可以通過對記錄的日志數(shù)據(jù)進行分析、比較，找出發(fā)生的網(wǎng)絡(luò)安全問題的原因，并為今后網(wǎng)絡(luò)整改提供依據(jù)。

4. 部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，從而能夠?qū)α魅牒土鞒龉芾砟K的數(shù)據(jù)流進行實時的分析并及時發(fā)現(xiàn)可能的入侵行為。

由于管理模塊全網(wǎng)可達, 且能夠?qū)θW(wǎng)的所有設(shè)備和服務(wù)器進行管理，所以它的安全防護策略應(yīng)該是全網(wǎng)最嚴(yán)格的。

(二) 核心模塊

核心模塊的主要功能是快速轉(zhuǎn)發(fā)。所面臨主要安全威脅是分組竊聽、功能區(qū)域劃分模糊和如何實現(xiàn)快速故障隔離。當(dāng)多種應(yīng)用流量運行在核心模塊時，如何防止不同應(yīng)用流量被竊聽篡改、如何對不同應(yīng)用區(qū)域進行分類保護、如何在核心模塊故障發(fā)生時進行有效快速的故障隔離成了當(dāng)務(wù)之急。

核心模塊的主要設(shè)備是三層交換機, 三層交換架構(gòu)是消除分組竊聽威脅的有效手段，而核心三層交換機的虛擬化技術(shù)則可以解決核心功能區(qū)域的精細劃分、實現(xiàn)有效快速的隔離故障，提高系統(tǒng)的可用性，防止級聯(lián)式的服務(wù)中斷。通過核心交換機的虛擬化技術(shù)還可實現(xiàn)交換機控制和管理平面的虛擬化，在三層交換機上配置相應(yīng)的安全策略，為多個應(yīng)用或部門的流量提供安全的網(wǎng)絡(luò)分區(qū)，讓每個應(yīng)用或部門可以獨立管理和維護其各自的配置。

(三) 分布層模塊

分布層模塊主要提供包括路由、QoS和訪問控制。所面臨的主要安全威脅有未授權(quán)訪問、欺騙、病毒和特洛伊木馬的應(yīng)用。為了消除以上分布層模塊面臨的安全威脅, 分布層模塊應(yīng)采取以下的安全措施：

1. 針對二層網(wǎng)絡(luò)的安全威脅，利用網(wǎng)絡(luò)設(shè)備本身的二層網(wǎng)絡(luò)安全性能，進行二層網(wǎng)絡(luò)安全策略的部署，如二層VLAN劃分、DHCP窺探保護、動態(tài)ARP檢查、IP源地址保護等安全策略。

2. 通過在分布層使用訪問控制, 可以減少一個部門訪問另一部門服務(wù)器上保密信息的機會，利用設(shè)備包過濾技術(shù)，根據(jù)預(yù)先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。

3. 通過RFC2827過濾可有效防止源地址欺騙。

4. 部署防病毒系統(tǒng)，防止各個工作站感染病毒和特洛伊木馬的應(yīng)用。

5. 部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，通過在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，可以實現(xiàn)最大限度減少內(nèi)部網(wǎng)絡(luò)安全威脅，降低病毒和蠕蟲造成的停機時間。

根據(jù)網(wǎng)絡(luò)規(guī)模和性能要求的不同, 核心層和分布層可以結(jié)合起來合二為一, 從而達到減少硬件設(shè)備，達到減少投資與節(jié)能等目的。

(四) 服務(wù)器模塊

服務(wù)器模塊的主要目標(biāo)是向最終用戶和設(shè)備提供應(yīng)用服務(wù)。所面臨的主要安全威脅有未授權(quán)訪問、應(yīng)用層攻擊、IP欺騙、分組竊聽和端口重定向等。為了消除以上安全威脅,應(yīng)采取以下的安全措施：

1. 使用基于主機和網(wǎng)絡(luò)的IDS/IPS系統(tǒng)。

2. 在交換機上配置私有VLAN,實現(xiàn)對服務(wù)器的訪問限制, 限制對關(guān)健服務(wù)器的隨意訪問。

3. 對服務(wù)器及時打上最新的補丁程序。

4. 對服務(wù)器區(qū)域（DMZ區(qū)域）進行不同安全級別劃分，通過對不同應(yīng)用的服務(wù)器進行安全級別的劃分，并通過防火墻模塊進行DMZ邏輯區(qū)域的隔離，可以實現(xiàn)服務(wù)器故障的快速隔離和服務(wù)器間訪問的有效控制。

5. 針對企業(yè)較為重要的郵件應(yīng)用服務(wù)器，可以單獨部署電子郵件安全產(chǎn)品，從而減少與垃圾郵件、病毒和其它各種威脅有關(guān)的宕機，以求減輕技術(shù)人員的負擔(dān)。

像分布層模塊一樣, 根據(jù)公司規(guī)模、應(yīng)用性能及需求的不同, 服務(wù)器模塊可以與核心模塊相結(jié)合。

(五) 邊界接入模塊

邊界接入模塊的目標(biāo)是在網(wǎng)絡(luò)邊緣集中來自各個接入網(wǎng)模塊的連接，信息流從邊界接入模塊過濾后路 由至至核心。邊界接入模塊在整體功能方面和分布層模塊有些類似，都采用接入控制來過濾信息流,但邊界接入模塊在一定程度上依賴整個接入網(wǎng)功能區(qū)域來執(zhí)行附加安全功能。像服務(wù)器和分布層模塊一樣,如果性能要求不高, 邊界接入模塊可與核心模塊結(jié)合起來。

在邊界接入模塊比較常見的安全措施為應(yīng)用流量觀察分析和安全網(wǎng)關(guān)。應(yīng)用流量觀察分析是通過部署流量控制設(shè)備，使用其二至七層強大的應(yīng)用分析能力，能夠第一時間獲得核心模塊和接入網(wǎng)模塊之間應(yīng)用流量能見度，并以此為基礎(chǔ)在企業(yè)網(wǎng)絡(luò)中部署相應(yīng)的安全策略（比如限制病毒端口號、限制特定內(nèi)網(wǎng)IP地址、限制特定MAC地址）。安全網(wǎng)關(guān)是通過采用專用的安全網(wǎng)關(guān)技術(shù)，實現(xiàn)核心模塊和外網(wǎng)接入網(wǎng)模塊之間的Web內(nèi)容過濾，Web病毒掃描，間諜軟件防御，HTTPS安全控制，防機密數(shù)據(jù)外泄等等安全功能。

三、 企業(yè)接入網(wǎng)的安全設(shè)計

企業(yè)接入網(wǎng)由外網(wǎng)接入模塊和遠程接入模塊兩個部分組成。以下分別闡述各個模塊的功能、面臨的安全威脅和相應(yīng)的安全措施。

(一) 外網(wǎng)接入模塊

大多企業(yè)網(wǎng)雖然都是專網(wǎng),但是不可避免要和外網(wǎng)連接。外網(wǎng)包括企業(yè)分支網(wǎng)絡(luò)、第三方接入網(wǎng)絡(luò)和互聯(lián)網(wǎng)。所面臨的主要安全威脅有未授權(quán)接入、應(yīng)用層攻擊、病毒和特洛伊木馬、拒絕服務(wù)攻擊等。主要防御措施有：

1. 在外網(wǎng)接入模塊和外網(wǎng)之間部署防火墻。防火墻應(yīng)分為兩組防護, 一組用于企業(yè)網(wǎng)與分支機構(gòu)網(wǎng)絡(luò)的連接, 另一組用于企業(yè)網(wǎng)與互聯(lián)網(wǎng)的連接。防火墻為內(nèi)網(wǎng)的網(wǎng)絡(luò)資源提供保護,從而確保只有合法信息流穿過防火墻。部署在企業(yè)網(wǎng)與互聯(lián)網(wǎng)的連接上的防火墻時可以使用目前先進的“云火墻”技術(shù)，該技術(shù)可以持續(xù)收集互聯(lián)網(wǎng)上已知威脅的詳細信息，實現(xiàn)企業(yè)到互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全。

2. 使用防火墻的虛擬化技術(shù)，將單一防火墻設(shè)備邏輯劃分為多個虛擬防火墻，每個防火墻有自己的策略且分別進行管理，可以實現(xiàn)不同區(qū)域模塊之間的安全控制和設(shè)備資源的高效利用。

3. 部署IDS/IPS入侵檢測/防御系統(tǒng)，有條件的情況下, 在防火墻的內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)和DMZ區(qū)域都要部署入侵檢測/防御系統(tǒng), 以實時檢測來自外網(wǎng)的入侵行為。

4. 建立統(tǒng)一的應(yīng)用服務(wù)器用于與其它分支網(wǎng)絡(luò)構(gòu)建統(tǒng)一接入平臺，應(yīng)用服務(wù)器作為所有應(yīng)用服務(wù)的, 通過進行更嚴(yán)格的應(yīng)用數(shù)據(jù)流檢查和過濾,有利于外網(wǎng)接入模塊的標(biāo)準(zhǔn)化和可擴展性的提升。

5. 在與互聯(lián)網(wǎng)連接的企業(yè)網(wǎng)絡(luò)邊緣部署路由器，并通過在路由器入口進行數(shù)據(jù)流的過濾，路由器對大多數(shù)攻擊提供了過濾器,同時進行RFC1918和RFC2827過濾, 作為對過濾的驗證, 路由器還應(yīng)丟棄‘碎片’的數(shù)據(jù)包。對于過濾造成的合法數(shù)據(jù)包丟棄相比這些數(shù)據(jù)包帶來的安全風(fēng)險是值得的。

(二) 遠程接入模塊

遠程接入模塊的主要目標(biāo)有三個：從遠程用戶端接VPN信息流、為從遠程站點VPN信息流提供一個集線器以及撥號用戶。遠程接入模塊面臨的主要安全威脅有口令攻擊、未授權(quán)接入和中間人攻擊等。此模塊的核心要求是擁有三個獨立外部用戶服務(wù)驗證和端接，對于此模塊來說信息流的來源是來自于企業(yè)網(wǎng)絡(luò)外的不可信源, 因此要為這三種服務(wù)的每一種提供一個防火墻上的獨立接口。

1. 遠程接入VPN，遠程接入VPN推薦使用IPSec協(xié)議。此服務(wù)的安全管理是通過將所有IPSec的安全參數(shù)從中央站點推向遠程用戶實現(xiàn)的。

2. 撥號接入用戶，AAA和一次性口令服務(wù)器可用來驗證和提供口令。

3. 站點間VPN，與站點間連接相關(guān)的IP信息流在傳輸模式下由配置成GRE隧道來實現(xiàn)。

以上來自三種服務(wù)的信息流應(yīng)集中接入到防火墻的一個專用接口上。條件允許時在防火墻的內(nèi)口或外口部署IDS/IPS系統(tǒng), 以檢測可能的攻擊行為。

四、 模塊之間的相互關(guān)系

采用模塊化設(shè)計時, 不是簡單地將網(wǎng)絡(luò)安全設(shè)計分解成各個孤立的模塊, 各模塊之間緊密聯(lián)系，其安全防護措施也直接影響到其它模塊的安全。

管理模塊是整個網(wǎng)絡(luò)安全體系的核心、位于其它所有模塊的最頂層。網(wǎng)絡(luò)安全體系的建立, 應(yīng)該首先建立管理模塊的安全結(jié)構(gòu)。它相對于其它模塊有著很大的獨立性, 但它是建立其它模塊安全結(jié)構(gòu)的基礎(chǔ)和前提。

核心模塊、服務(wù)器模塊和分布層模塊構(gòu)成企業(yè)網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)。這三個模塊主要防范來自企業(yè)網(wǎng)內(nèi)部的安全威脅：分布層模塊提供了針對內(nèi)部發(fā)起攻擊的第一道防線；核心模塊的主要目標(biāo)是線速的轉(zhuǎn)發(fā)數(shù)據(jù)流, 其安全性主要依賴于核心模塊交換設(shè)備本身的安全設(shè)置以及分布層模塊的安全防護；服務(wù)器模塊往往會成為內(nèi)部攻擊的主要目標(biāo), 安全性除了自身的安全措施和分布層模塊的安全防護外, 嚴(yán)格的安全管理是極為重要的。

邊界接入模塊是連接企業(yè)內(nèi)網(wǎng)和外部接入網(wǎng)的橋梁和紐帶。邊界接入模塊在外部接入網(wǎng)安全措施的基礎(chǔ)上, 為企業(yè)內(nèi)網(wǎng)提供附加的安全功能。

外部接入網(wǎng)為企業(yè)內(nèi)網(wǎng)提供了第一道安全防線, 也是外網(wǎng)接入企業(yè)網(wǎng)內(nèi)網(wǎng)統(tǒng)一的接入平臺。

模塊化的設(shè)計將復(fù)雜的大型網(wǎng)絡(luò)劃分為幾個相對簡單的模塊, 以模塊為基本單位構(gòu)筑整個網(wǎng)絡(luò)的安全體系結(jié)構(gòu)。使用模塊化的網(wǎng)絡(luò)安全設(shè)計能夠很容易實現(xiàn)單個模塊的安全功能,并實現(xiàn)模塊與模塊間的安全關(guān)系,從而在整個企業(yè)網(wǎng)絡(luò)中形成分層次的縱深防御體系。還能夠使設(shè)計者進行逐個模塊的安全風(fēng)險評估和實施安全, 而非試圖在一個階段就完成整個體系結(jié)構(gòu)。

參考文獻：

[1] 崔國慶. 計算機網(wǎng)絡(luò)安全技術(shù)與防護的研究?. 電腦知識與技術(shù)，2009年9月.

第8篇：網(wǎng)絡(luò)安全計劃范文

關(guān)鍵詞：無線網(wǎng)絡(luò)規(guī)劃；無線網(wǎng)絡(luò)風(fēng)險；無線安全檢查項目；無線網(wǎng)絡(luò)安全指引

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2013）28-6262-03

1 概述

有別于有線網(wǎng)絡(luò)的設(shè)備可利用線路找尋設(shè)備信息，無論是管理、安全、記錄信息，比起無線網(wǎng)絡(luò)皆較為方便，相較之下無線網(wǎng)絡(luò)的環(huán)境較復(fù)雜。無線網(wǎng)絡(luò)安全問題最令人擔(dān)心的原因在于，無線網(wǎng)絡(luò)僅透過無線電波透過空氣傳遞訊號，一旦內(nèi)部架設(shè)發(fā)射訊號的儀器，在收訊可及的任一節(jié)點，都能傳遞無線訊號，甚至使用接收無線訊號的儀器，只要在訊號范圍內(nèi)，即便在圍墻外，都能截取訊號信息。

因此管理無線網(wǎng)絡(luò)安全維護比有線網(wǎng)絡(luò)更具挑戰(zhàn)性，有鑒于政府機關(guān)推廣于民眾使用以及企業(yè)逐漸在公司內(nèi)部導(dǎo)入無線網(wǎng)絡(luò)架構(gòu)之需求，本篇論文特別針對無線網(wǎng)絡(luò)Wi-Fi之使用情境進行風(fēng)險評估與探討，以下將分別探討無線網(wǎng)絡(luò)傳輸可能產(chǎn)生的風(fēng)險，以及減少風(fēng)險產(chǎn)生的可能性，進而提出建議之無線網(wǎng)絡(luò)建置規(guī)劃檢查項目。

2 無線網(wǎng)絡(luò)傳輸風(fēng)險

現(xiàn)今無線網(wǎng)絡(luò)裝置架設(shè)便利，簡單設(shè)定后即可進行網(wǎng)絡(luò)分享，且智能型行動裝置已具備可架設(shè)熱點功能以分享網(wǎng)絡(luò)，因此皆可能出現(xiàn)不合法之使用者聯(lián)機合法基地臺，或合法使用者聯(lián)機至未經(jīng)核可之基地臺情形。倘若企業(yè)即將推動內(nèi)部無線上網(wǎng)服務(wù)，或者考慮網(wǎng)絡(luò)存取便利性，架設(shè)無線網(wǎng)絡(luò)基地臺，皆須評估當(dāng)內(nèi)部使用者透過行動裝置聯(lián)機機關(guān)所提供之無線網(wǎng)絡(luò)，所使用之聯(lián)機傳輸加密機制是否合乎信息安全規(guī)范。

倘若黑客企圖偽冒企業(yè)內(nèi)部合法基地臺提供聯(lián)機時，勢必會造成行動裝置之企業(yè)數(shù)據(jù)遭竊取等風(fēng)險。以下將對合法使用者在未知的情況下聯(lián)機至偽冒的無線網(wǎng)絡(luò)基地臺，以及非法使用者透過加密機制的弱點破解無線網(wǎng)絡(luò)基地臺，針對這2個情境加以分析其風(fēng)險。

2.1 偽冒基地機風(fēng)險

目前黑客的攻擊常會偽冒正常的無線網(wǎng)絡(luò)基地臺（Access Point，以下簡稱AP），而偽冒的AP在行動裝置普及的現(xiàn)今，可能會讓用戶在不知情的情況下進行聯(lián)機，當(dāng)連上線后，攻擊者即可進行中間人攻擊（Man-in-the-Middle，簡稱MitMAttack），取得被害人在網(wǎng)絡(luò)上所傳輸?shù)臄?shù)據(jù)。情境之架構(gòu)詳見圖1，利用偽冒AP攻擊，合法使用者無法辨識聯(lián)機上的AP是否合法，而一旦聯(lián)機成功后黑客即可肆無忌憚的竊取行動裝置上所有的數(shù)據(jù)，造成個人數(shù)據(jù)以及存放于行動裝置上之機敏數(shù)據(jù)外泄的疑慮存在。企業(yè)在部署無線局域網(wǎng)絡(luò)時，需考慮該類風(fēng)險問題。

2.2 弱加密機制傳輸風(fēng)險

WEP （Wired Equivalent Privacy）為一無線加密協(xié)議保護無線局域網(wǎng)絡(luò)（Wireless LAN，以下簡稱WLAN）數(shù)據(jù)安全的加密機制，因WEP的設(shè)計是要提供和傳統(tǒng)有線的局域網(wǎng)絡(luò)相當(dāng)?shù)臋C密性，隨著計算器運算能力提升，許多密碼分析學(xué)家已經(jīng)找出WEP好幾個弱點，但WEP加密方式是目前仍是許多無線基地臺使用的防護方式，由于WEP安全性不佳，易造成被輕易破解。

許多的無線破解工具皆已存在且純熟，因此利用WEP認證加密之無線AP，當(dāng)破解被其金鑰后，即可透過該AP連接至該無線局域網(wǎng)絡(luò)，再利用探測軟件進行無線局域網(wǎng)絡(luò)掃描，取得該無線局域網(wǎng)絡(luò)內(nèi)目前有哪些聯(lián)機的裝置。

當(dāng)使用者使用行動裝置連上不安全的網(wǎng)絡(luò)，可能因本身行動裝置設(shè)定不完全，而將弱點曝露在不安全的網(wǎng)絡(luò)上，因此當(dāng)企業(yè)允許使用者透過行動裝置進行聯(lián)機時，除了提醒使用者應(yīng)加強自身終端安全外，更應(yīng)建置安全的無線網(wǎng)絡(luò)架構(gòu)，以提供使用者使用。

3 無線網(wǎng)絡(luò)安全架構(gòu)

近年許多企業(yè)逐漸導(dǎo)入無線局域網(wǎng)絡(luò)服務(wù)以提供內(nèi)部使用者及訪客使用。但在提供便利的同時，如何達到無線局域網(wǎng)絡(luò)之安全，亦為重要。

3.1 企業(yè)無線局域網(wǎng)安全目標(biāo)

企業(yè)之無線網(wǎng)絡(luò)架構(gòu)應(yīng)符合無線局域網(wǎng)絡(luò)安全目標(biāo)：機密性、完整性與驗證性。

機密性（Confidentiality）

無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)防范機密不可泄漏給未經(jīng)授權(quán)之人或程序，且無線網(wǎng)絡(luò)架構(gòu)應(yīng)將對外提供給一般使用者網(wǎng)絡(luò)以及內(nèi)部所使用之內(nèi)部網(wǎng)絡(luò)區(qū)隔開。無線網(wǎng)絡(luò)架構(gòu)之加密需采用安全性即高且不易被破解的方式，并可對無線網(wǎng)絡(luò)使用進行稽核。

完整性（Integrity）

無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)確認辦公室環(huán)境內(nèi)無其它無線訊號干擾源，并保證員工無法自行架設(shè)非法無線網(wǎng)絡(luò)存取點設(shè)備，以確保在使用無線網(wǎng)絡(luò)時傳輸不被中斷或是攔截。對于內(nèi)部使用者，可建立一個隔離區(qū)之無線網(wǎng)絡(luò)，僅提供外部網(wǎng)際網(wǎng)絡(luò)連路連接，并禁止存取機關(guān)內(nèi)部網(wǎng)絡(luò)。

認證性（Authentication）

建議無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)提供使用者及設(shè)備進行身份驗證，讓使用者能確保自己設(shè)備安全性，且能區(qū)分存取控制權(quán)限。無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)需進行使用者身份控管，以杜絶他人（允許的訪客除外）擅用機關(guān)的無線網(wǎng)絡(luò)。

因應(yīng)以上無線局域網(wǎng)絡(luò)安全目標(biāo)，應(yīng)將網(wǎng)絡(luò)區(qū)分為內(nèi)部網(wǎng)絡(luò)及一般網(wǎng)絡(luò)等級，依其不同等級實施不同的保護措施及其應(yīng)用，說明如下。

內(nèi)部網(wǎng)絡(luò)：

為網(wǎng)絡(luò)內(nèi)負責(zé)傳送一般非機密性之行政資料，其系統(tǒng)能處理中信任度信息，并使用機關(guān)內(nèi)部加密認證以定期更變密碼，且加裝防火墻、入侵偵測等作業(yè)。

一般網(wǎng)絡(luò)：

主要在提供非企業(yè)內(nèi)部人員或訪客使用之網(wǎng)絡(luò)系統(tǒng)，不與內(nèi)部其它網(wǎng)絡(luò)相連，其網(wǎng)絡(luò)系統(tǒng)僅能處與基本信任度信息，并加裝防火墻、入侵偵測等機制。

因此建議企業(yè)在建構(gòu)無線網(wǎng)絡(luò)架構(gòu)，須將內(nèi)部網(wǎng)絡(luò)以及提供給一般使用者之一般網(wǎng)絡(luò)區(qū)隔開，以達到無線網(wǎng)絡(luò)安全目標(biāo)，以下將提供無線辦公方案及無線訪客方案提供給企業(yè)導(dǎo)入無線網(wǎng)絡(luò)架構(gòu)時作為參考使用。

3.2內(nèi)部網(wǎng)絡(luò)安全架構(gòu)

減輕無線網(wǎng)絡(luò)風(fēng)險之基礎(chǔ)評估，應(yīng)集中在四個方面：人身安全、AP位置、AP設(shè)定及安全政策。人身安全方面，須確保非企業(yè)內(nèi)部使用者無法存取辦公室范圍內(nèi)之無線內(nèi)部網(wǎng)絡(luò)，僅經(jīng)授權(quán)之企業(yè)內(nèi)部使用者可存取?？墒褂糜跋裾J證、卡片識別、使用者賬號密碼或生物識別設(shè)備以進行人身安全驗證使用者身份。企業(yè)信息管理人員須確保AP安裝在受保護的建筑物內(nèi)，且使用者須經(jīng)過適當(dāng)?shù)纳矸蒡炞C才允許進入，而只有企業(yè)信息管理人員允許存取并管理無線網(wǎng)絡(luò)設(shè)備。

企業(yè)信息管理人員須將未經(jīng)授權(quán)的使用者訪問企業(yè)外部無線網(wǎng)絡(luò)之可能性降至最低，評估每臺AP有可能造成的網(wǎng)絡(luò)安全漏洞，可請網(wǎng)絡(luò)工程師進行現(xiàn)場調(diào)查，確定辦公室內(nèi)最適當(dāng)放置AP的位置以降低之風(fēng)險。只要企業(yè)使用者擁有存取無線內(nèi)部網(wǎng)絡(luò)能力，攻擊者仍有機會竊聽辦公室無線網(wǎng)絡(luò)通訊，建議企業(yè)將無線網(wǎng)絡(luò)架構(gòu)放置于防火墻外，并使用高加密性VPN以保護流量通訊，此配置可降低無線網(wǎng)絡(luò)竊聽風(fēng)險。

企業(yè)應(yīng)側(cè)重于AP配置之相關(guān)漏洞。由于大部分AP保留了原廠之預(yù)設(shè)密碼，企業(yè)信息管理人員需使用復(fù)雜度高之密碼以確保密碼安全，并定期更換密碼。企業(yè)應(yīng)制定相關(guān)無線內(nèi)部網(wǎng)絡(luò)安全政策，包括規(guī)定使用最小長度為8個字符且參雜特殊符號之密碼設(shè)置、定期更換安全性密碼、進行使用者MAC控管以控制無線網(wǎng)絡(luò)使用情況。

為提供安全無線辦公室環(huán)境，企業(yè)應(yīng)進行使用者MAC控管，并禁用遠程SNMP協(xié)議，只允許使用者使用本身內(nèi)部主機。由于大部分廠商在加密SSID上使用預(yù)設(shè)驗證金鑰，未經(jīng)授權(quán)之設(shè)備與使用者可嘗試使用預(yù)設(shè)驗證金鑰以存取無線內(nèi)部網(wǎng)絡(luò)，因此企業(yè)應(yīng)使用內(nèi)部使用者賬號與密碼之身份驗證以控管無線內(nèi)部網(wǎng)絡(luò)之存取。

企業(yè)應(yīng)增加額外政策，要求存取無線內(nèi)部網(wǎng)絡(luò)之設(shè)備系統(tǒng)需進行安全性更新和升級，定期更新系統(tǒng)安全性更新和升級有助于降低攻擊之可能性。此外，政策應(yīng)規(guī)定若企業(yè)內(nèi)部使用者之無線裝置遺失或被盜，企業(yè)內(nèi)部使用者應(yīng)盡快通知企業(yè)信息管理人員，以防止該IP地址存取無線內(nèi)部網(wǎng)絡(luò)。

為達到一個安全的無線內(nèi)部網(wǎng)絡(luò)架構(gòu)，建議企業(yè)采用IPS設(shè)備以進行無線環(huán)境之防御。IPS設(shè)備有助于辨識是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部無線內(nèi)部網(wǎng)絡(luò)或企圖進行非法攻擊行為，并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無線網(wǎng)絡(luò)之間的通訊都需經(jīng)過IPS做保護與進一步分析，為一種整體縱深防御之策略。

考慮前述需求，本篇論文列出建構(gòu)無線內(nèi)部網(wǎng)絡(luò)應(yīng)具備之安全策略，并提供一建議無線內(nèi)部網(wǎng)絡(luò)安全架構(gòu)示意圖以提供企業(yè)信息管理人員作為風(fēng)險評估之參考，詳見表1。

企業(yè)在風(fēng)險評估后確認實現(xiàn)無線辦公室環(huán)境運行之好處優(yōu)于其它威脅風(fēng)險，始可進行無線內(nèi)部網(wǎng)絡(luò)架構(gòu)建置。然而，盡管在風(fēng)險評估上實行徹底，但無線網(wǎng)絡(luò)環(huán)境之技術(shù)不斷變化與更新，安全漏洞亦日新月異，使用者始終為安全鏈中最薄弱的環(huán)節(jié)，建議企業(yè)必須持續(xù)對企業(yè)內(nèi)部使用者進行相關(guān)無線安全教育，以達到縱深防御之目標(biāo)。

另外，企業(yè)應(yīng)定期進行安全性更新和升級會議室公用網(wǎng)絡(luò)之系統(tǒng)，定期更新系統(tǒng)安全性更新和升級有助于降低攻擊之可能性。為達到一個安全的會議室公用網(wǎng)絡(luò)架構(gòu)，建議企業(yè)采用IPS設(shè)備以進行無線環(huán)境之防御。

IPS設(shè)備有助于辨識是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部會議室公用網(wǎng)絡(luò)或企圖進行非法攻擊行為，并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無線網(wǎng)絡(luò)之間的通訊都需經(jīng)過IPS做保護與進一步分析，為一種整體縱深防御策略。

4 結(jié)論

由于無線網(wǎng)絡(luò)的存取及使用上存在相當(dāng)程度的風(fēng)險，更顯無線局域網(wǎng)絡(luò)的安全性之重要，本篇論文考慮無線網(wǎng)絡(luò)聯(lián)機存取之相關(guān)風(fēng)險與安全聯(lián)機的準(zhǔn)則需求，有鑒于目前行動裝置使用量大增，企業(yè)可能面臨使用者要求開放無線網(wǎng)絡(luò)之需求，應(yīng)建立相關(guān)無線網(wǎng)絡(luò)方案，本研究針對目前常見之無線網(wǎng)絡(luò)風(fēng)險威脅為出發(fā)，以及內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)使用者，針對不同安全需求強度，規(guī)劃無線網(wǎng)絡(luò)使用方案，提供作為建置參考依據(jù)，進而落實傳輸風(fēng)險管控，加強企業(yè)網(wǎng)絡(luò)安全強度。

參考文獻：

[1] Gast M S.Wireless Networks： The Definitive Guide[M].O’Reilly， 2002.

[2] Edney J， Arbaugh W A.Security：Wi-Fi Protected Access and 802.11[M].Addison-Wesley，2004.

[3] R. Guha， Z. Furqan， S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007， Orlando， FL， 2007（10）：29-31.

[4] Nam， Seung Yeob.Enhanced ARP： Preventing ARP Poisoning-Based[J].IEEE Commucation Letters，2011，14：187-189.

第9篇：網(wǎng)絡(luò)安全計劃范文

1網(wǎng)絡(luò)信息化建設(shè)中存在的安全問題

1.1網(wǎng)絡(luò)信息化建設(shè)的安全基礎(chǔ)不牢

與一些發(fā)達國家相比，我國網(wǎng)絡(luò)信息化起步晚，發(fā)展較慢，在網(wǎng)絡(luò)信息產(chǎn)品的進口方面受到了一定的阻礙，因此我國的網(wǎng)絡(luò)信息化建設(shè)工作在很大程度上處于被動和落后的狀態(tài)。1.1.1硬件設(shè)備方面我國在網(wǎng)絡(luò)信息化建設(shè)過程中所需的計算機主要來源是一些進口國家，盡管我國在超級計算機方面的整體水平并不輸于國際先進水平，但仍然不能擺脫進口國的地位，甚至在進行核心零部件制造時，國內(nèi)大部分廠商也是以加工和組裝為主，缺乏原創(chuàng)性。1.1.2軟件設(shè)備方面由于我國電腦操作平臺幾乎被美國微軟所壟斷，如果不善加應(yīng)用微軟的操作系統(tǒng)，那么我國的大部分軟件和網(wǎng)絡(luò)在運行上都將有很大難度，容易導(dǎo)致網(wǎng)絡(luò)信息化建設(shè)長期處于被動狀態(tài)，受他人限制。在網(wǎng)絡(luò)信息化建設(shè)過程中，我國管理軟件幾乎全依賴進口，這導(dǎo)致我國網(wǎng)絡(luò)信息化建設(shè)受到一定程度威脅，而國外軟件生產(chǎn)商卻能獲得高額利潤?？梢姡覈W(wǎng)絡(luò)信息化安全防護系統(tǒng)較為薄弱，基礎(chǔ)也不牢固，對國外的軟件設(shè)備依賴性強，這些都是阻礙網(wǎng)絡(luò)信息化建設(shè)進步的不利因素。

1.2網(wǎng)絡(luò)信息化建設(shè)中缺乏安全意識

在進行網(wǎng)絡(luò)信息化建設(shè)的過程中，按照很多工作的展開情況來看，并沒有體現(xiàn)出對于網(wǎng)絡(luò)信息化建設(shè)安全問題的重視，技術(shù)和安全往往成為被忽略的對象。在網(wǎng)絡(luò)信息化建設(shè)過程中，人們總是過于關(guān)注技術(shù)和設(shè)備，很少認識到對于安全的投入量，也忽略了安全的重要性，這導(dǎo)致網(wǎng)絡(luò)信息化建設(shè)中的安全漏洞頻繁出現(xiàn)，進而引起安全事故的發(fā)生。此外，政府機關(guān)單位和一些企業(yè)雖然有心加大對于網(wǎng)絡(luò)信息化建設(shè)安全的重視程度，但網(wǎng)站管理系統(tǒng)仍存在不少系統(tǒng)漏洞和安全隱患，而且也沒有做出對網(wǎng)絡(luò)信息化建設(shè)安全和管理的重要強調(diào)，為給網(wǎng)絡(luò)信息化建設(shè)創(chuàng)造一個安全的工作環(huán)境，強化在網(wǎng)絡(luò)信息化建設(shè)中的安全管理工作很有必要。

1.3網(wǎng)絡(luò)信息化建設(shè)缺乏安全防護措施

我國的網(wǎng)絡(luò)信息化建設(shè)工作除了缺乏安全意識以外，還缺乏對于危險的抵御力，不能用最適合的方法進行自我保護。

1.4網(wǎng)絡(luò)信息化建設(shè)工作受網(wǎng)絡(luò)犯罪嚴(yán)重影響

為了謀取利益，網(wǎng)絡(luò)犯罪分子經(jīng)常利用詐騙、投入木馬病毒等手段竊取用戶私密信息，破壞用戶工作機密，造成大量危害，雖然國家有心找到有效合理的方法抵御網(wǎng)絡(luò)犯罪，但由于網(wǎng)絡(luò)犯罪分子的狡猾和隱秘性，成效并不明顯。

2網(wǎng)絡(luò)信息化建設(shè)中的安全策略

2.1完善網(wǎng)絡(luò)信息化建設(shè)安全的法律法規(guī)

2.1.1網(wǎng)絡(luò)信息化建設(shè)安全立法應(yīng)體現(xiàn)與時俱進精神我國現(xiàn)階段所具備的網(wǎng)絡(luò)信息化建設(shè)安全法律層次較低，雖然法律內(nèi)容涉及多個方面，但法規(guī)太過簡單，不能對網(wǎng)絡(luò)信息技術(shù)的發(fā)展趨勢做出及時反應(yīng)，因此應(yīng)該加強網(wǎng)絡(luò)信息化建設(shè)安全法律法規(guī)的深度和涵蓋面，同時進一步完善已有體系，在完善的過程中借鑒國外相關(guān)經(jīng)驗并結(jié)合自身實際情況來加強網(wǎng)絡(luò)信息化建設(shè)。2.1.2規(guī)范網(wǎng)絡(luò)信息的和傳播我國在網(wǎng)絡(luò)信息共享安全方面缺少有深度的研究，責(zé)任制度也并不完善，因此在規(guī)范網(wǎng)絡(luò)信息的和傳播時，應(yīng)該從國家和公眾利益出發(fā)加強認識網(wǎng)絡(luò)信息監(jiān)管的重要性，避免危害網(wǎng)絡(luò)信息的情況發(fā)生。2.1.3加快推動網(wǎng)絡(luò)信息化建設(shè)安全立法為跟上網(wǎng)絡(luò)信息技術(shù)快速前進的腳步，網(wǎng)絡(luò)信息化建設(shè)安全的立法方面應(yīng)該具有一定的預(yù)見性，對信息可能產(chǎn)生的安全風(fēng)險進行大致評估，對網(wǎng)絡(luò)信息技術(shù)的發(fā)展做出適時反應(yīng)，使法律法規(guī)對網(wǎng)絡(luò)信息化建設(shè)進行更好的管理。只有這樣才能加強法律的可行性。

2.2強化網(wǎng)絡(luò)信息化建設(shè)安全管理對政府的作用

政府在網(wǎng)絡(luò)信息化建設(shè)安全管理工作中起著主導(dǎo)作用，應(yīng)當(dāng)制定和完善對網(wǎng)絡(luò)信息化建設(shè)安全相關(guān)的法律法規(guī)，注意網(wǎng)絡(luò)信息化建設(shè)是否在正常軌道上健康運行發(fā)展，監(jiān)管并處理對網(wǎng)絡(luò)信息化建設(shè)安全存在威脅的行為。

2.3完善網(wǎng)絡(luò)信息化建設(shè)安全方式

2.3.1實行許可與準(zhǔn)入制度在網(wǎng)絡(luò)信息化建設(shè)安全管理過程中實行許可與準(zhǔn)入制度，可有效監(jiān)管網(wǎng)絡(luò)信息化建設(shè)的安全，現(xiàn)在很多國家都采用了這種方式，使網(wǎng)絡(luò)信息化建設(shè)的安全管理得到很大成效，而我國在實行許可與準(zhǔn)入制度時需要更多地完善并建立科學(xué)合理的控制機制和審查機制，通過控制在網(wǎng)絡(luò)上的信息找出并解決在網(wǎng)絡(luò)信息化建設(shè)過程中存在的安全問題。2.3.2提升安全技術(shù)層次提升網(wǎng)絡(luò)信息化建設(shè)安全的技術(shù)層次需要運用最先進的技術(shù)，并對其進行監(jiān)管操作，這樣可以進一步加強實行網(wǎng)絡(luò)信息監(jiān)管的效果。

2.4對網(wǎng)絡(luò)信息化建設(shè)安全防護設(shè)備進行更新

網(wǎng)絡(luò)信息建設(shè)本身具備靈活性和連通性，給網(wǎng)絡(luò)不良行為的發(fā)生創(chuàng)造了有利條件，而為了減少這種情況的發(fā)生并加快對網(wǎng)絡(luò)信息化安全的建設(shè)，互聯(lián)網(wǎng)企業(yè)需要持續(xù)更新防護設(shè)備，并隨時觀察設(shè)備的防護情況，以防網(wǎng)絡(luò)不良信息的入侵。另外，為了使全球性的安全防護技術(shù)得以廣泛應(yīng)用，讓網(wǎng)絡(luò)信息化建設(shè)得到安全保障，我國網(wǎng)絡(luò)信息建設(shè)安全相關(guān)負責(zé)人員需要加強和國際同行業(yè)的聯(lián)系以達到網(wǎng)絡(luò)信息化建設(shè)安全平穩(wěn)運行的目的。除此之外，為了使局域網(wǎng)技術(shù)有效運用于特定范圍內(nèi)并起到對網(wǎng)絡(luò)信息化安全建設(shè)的保護作用，實現(xiàn)網(wǎng)絡(luò)靈活性的有效應(yīng)對，國家網(wǎng)絡(luò)信息化建設(shè)相關(guān)負責(zé)人員應(yīng)將局域網(wǎng)技術(shù)作為重點加以應(yīng)用。

3結(jié)語