企業(yè)網(wǎng)絡(luò)安全論文大全11篇

時(shí)間：2023-04-01 10:10:12

緒論：寫(xiě)作既是個(gè)人情感的抒發(fā)，也是對(duì)學(xué)術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇企業(yè)網(wǎng)絡(luò)安全論文范文，希望它們能為您的寫(xiě)作提供參考和啟發(fā)。

企業(yè)網(wǎng)絡(luò)安全論文

篇（1）

（1）從使用網(wǎng)絡(luò)的人來(lái)看，網(wǎng)絡(luò)使用者的安全防范意識(shí)不盡相同，有的人非常重視網(wǎng)絡(luò)安全，有的人甚至不知道什么是網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全意識(shí)薄弱。

（2）從黑客的角度來(lái)分析，黑客對(duì)于網(wǎng)絡(luò)安全的威脅是目前最大的。黑客通常是利用技術(shù)將帶有病毒的游戲、網(wǎng)頁(yè)、多媒體等放入軟件終端，電腦使用者不留意就會(huì)點(diǎn)開(kāi)這些資源，黑客就會(huì)監(jiān)控電腦的一切活動(dòng)，會(huì)偷取計(jì)算機(jī)上的用戶(hù)名、賬戶(hù)、密碼等個(gè)人隱私數(shù)據(jù)，或者占用系統(tǒng)資源，嚴(yán)重的情況下會(huì)導(dǎo)致系統(tǒng)崩潰，企業(yè)相關(guān)的資料都會(huì)消失，損害企業(yè)的經(jīng)濟(jì)、財(cái)產(chǎn)，并為網(wǎng)絡(luò)安全帶來(lái)威脅。

1.2客觀因素

石油企業(yè)應(yīng)用網(wǎng)絡(luò)辦公都已經(jīng)形成了企業(yè)獨(dú)立的網(wǎng)絡(luò)系統(tǒng)，但還是受到網(wǎng)絡(luò)安全的威脅，主要是由于影響石油企業(yè)網(wǎng)絡(luò)安全的自然原因主要是操作系統(tǒng)和軟件的漏洞。隨著科技的發(fā)展，網(wǎng)絡(luò)操作系統(tǒng)和應(yīng)用軟件總在不斷地更新，而且其更新比較慢，這就為黑客的入侵提供了縫隙。

2、石油企業(yè)網(wǎng)絡(luò)安全的防護(hù)技術(shù)措施

隨著石油企業(yè)網(wǎng)絡(luò)安全問(wèn)題的頻繁出現(xiàn)，網(wǎng)絡(luò)使用者必須重視網(wǎng)絡(luò)安全問(wèn)題，必須對(duì)網(wǎng)絡(luò)安全采取有效的防護(hù)技術(shù)和措施，為企業(yè)提供安全的網(wǎng)絡(luò)管理平臺(tái)。

2.1石油企業(yè)建立健全企業(yè)規(guī)章制度

為了確保企業(yè)網(wǎng)絡(luò)安全，必須建立完善的安全系統(tǒng)，了解網(wǎng)絡(luò)安全的重要性。對(duì)于網(wǎng)絡(luò)安全事故的發(fā)生，應(yīng)采取處罰制度，并進(jìn)行記錄，一旦出現(xiàn)重大網(wǎng)絡(luò)安全事故，可以做到有證據(jù)可依。

2.2石油企業(yè)應(yīng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)采取加密技術(shù)

石油企業(yè)內(nèi)一些重要的文件必須對(duì)其進(jìn)行加密后再放到外部網(wǎng)絡(luò)中，并結(jié)合防火墻技術(shù)，才能進(jìn)一步提高石油企業(yè)網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部數(shù)據(jù)的保密性和安全性，防止數(shù)據(jù)被非法人員偷盜，損害企業(yè)的利益。

2.3石油企業(yè)應(yīng)加強(qiáng)員工網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)

員工作為石油企業(yè)網(wǎng)絡(luò)的使用者，梳理員工網(wǎng)絡(luò)安全意識(shí)變得尤為重要，只有讓員工認(rèn)識(shí)到網(wǎng)絡(luò)安全的危害和意義才能從根本上防止主觀因素網(wǎng)絡(luò)安全問(wèn)題的發(fā)生。石油企業(yè)應(yīng)加強(qiáng)對(duì)員工網(wǎng)絡(luò)安全信息的培訓(xùn)工作，提高員工的網(wǎng)絡(luò)安全意識(shí)，保證企業(yè)網(wǎng)絡(luò)安全的使用。

2.4石油企業(yè)應(yīng)加強(qiáng)系統(tǒng)平臺(tái)與漏洞的處理

網(wǎng)絡(luò)管理員可以利用系統(tǒng)漏洞的掃描技術(shù)來(lái)提前獲取網(wǎng)絡(luò)應(yīng)用過(guò)程中的漏洞，并通過(guò)漏洞處理技術(shù)快速恢復(fù)系統(tǒng)漏洞。

3、關(guān)于石油企業(yè)網(wǎng)絡(luò)安全中其它防護(hù)技術(shù)

在石油企業(yè)網(wǎng)絡(luò)安全防護(hù)技術(shù)方案中，還應(yīng)該應(yīng)用以下幾個(gè)防護(hù)技術(shù)：訪問(wèn)控制技術(shù)、入侵行為檢測(cè)技術(shù)、異常流量分析與處理技術(shù)、終端安全防護(hù)與管理技術(shù)、身份認(rèn)證與管理技術(shù)。

3.1訪問(wèn)控制技術(shù)

企業(yè)可以根據(jù)企業(yè)本身的安全需求、安全級(jí)別的不同，在網(wǎng)絡(luò)的交界處和內(nèi)部劃分出不同的區(qū)域，在這些區(qū)域中安裝防火墻設(shè)備進(jìn)行訪問(wèn)控制。通過(guò)防火墻設(shè)備對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾、對(duì)于有問(wèn)題的數(shù)據(jù)進(jìn)行分析，防止外部未被授權(quán)的用戶(hù)入侵企業(yè)網(wǎng)絡(luò)。單向數(shù)據(jù)輸出的安全區(qū)域，防火墻設(shè)備應(yīng)對(duì)外區(qū)域的訪問(wèn)請(qǐng)求進(jìn)行阻止；對(duì)于需要進(jìn)行雙向數(shù)據(jù)交互的區(qū)域，必須按照制源地址、目的地址、服務(wù)、協(xié)議、端口內(nèi)容進(jìn)行精確的匹配，避免網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)。

3.2入侵行為檢測(cè)技術(shù)

入侵檢測(cè)就是在石油企業(yè)網(wǎng)絡(luò)的關(guān)鍵位置安裝檢測(cè)軟件，對(duì)入侵行為進(jìn)行檢測(cè)與分析。入侵檢測(cè)技術(shù)可以對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)進(jìn)行檢測(cè)，對(duì)產(chǎn)生警告的信息進(jìn)行記錄并處理。

3.3異常流量分析與處理技術(shù)

為了保障供應(yīng)服務(wù)的穩(wěn)定性，避免拒絕服務(wù)攻擊行為導(dǎo)致業(yè)務(wù)系統(tǒng)可用性的喪失，需要通過(guò)深度包檢測(cè)。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)流量有問(wèn)題時(shí)，就會(huì)將惡意數(shù)據(jù)刪除，保留原有的正常數(shù)據(jù)，這樣就保證了有權(quán)限的用戶(hù)進(jìn)行正常訪問(wèn)。

3.4終端安全防護(hù)與管理技術(shù)

企業(yè)整體信息安全水平取決于安全防護(hù)最薄弱的環(huán)節(jié)。在石油企業(yè)中，企業(yè)比較重視網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的保護(hù)，忽視了對(duì)終端計(jì)算機(jī)的全面防護(hù)與管理措施的保護(hù)。這些就需要企業(yè)利用安全防護(hù)管理技術(shù)在內(nèi)部終端計(jì)算機(jī)進(jìn)行統(tǒng)一安全防護(hù)和安全管理，保證信息的安全。

篇（2）

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來(lái)了更大的經(jīng)濟(jì)效益，但隨之而來(lái)的安全問(wèn)題也在困擾著用戶(hù)，在2003年后，木馬、蠕蟲(chóng)的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬(wàn)變的市場(chǎng)，企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問(wèn)題，而其內(nèi)部的管理問(wèn)題、效率問(wèn)題、考核問(wèn)題、信息傳遞問(wèn)題、信息安全問(wèn)題等，又時(shí)刻在制約著自己，企業(yè)采用PKI技術(shù)來(lái)解決這些問(wèn)題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。

在下面的描述中，以某公司為例進(jìn)行說(shuō)明。

2信息系統(tǒng)現(xiàn)狀

2.1信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計(jì)算機(jī)500余臺(tái)，通過(guò)內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過(guò)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過(guò)交換機(jī)連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過(guò)多年的積累，某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目，基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險(xiǎn)與需求分析

3.1風(fēng)險(xiǎn)分析

通過(guò)對(duì)我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴(lài)性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴(lài)性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶(hù)管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過(guò)對(duì)現(xiàn)有的信息安全體系的分析，也可以看出：隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類(lèi)的增加，某公司的信息安全無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問(wèn)都停留在用戶(hù)名/密碼的簡(jiǎn)單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶(hù)都是可信的。在這種信任模型下，假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來(lái)自于組織外部，并且是通過(guò)網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對(duì)外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶(hù)都是不可信的。在這種信任模型中，假設(shè)所有用戶(hù)都可能對(duì)信息安全造成威脅，并且可以各種更加方便的手段對(duì)信息安全造成威脅，比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問(wèn)服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。

美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn)：超過(guò)80%的信息安全隱患是來(lái)自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過(guò)程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒(méi)有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。

已購(gòu)買(mǎi)的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門(mén)和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期，在規(guī)劃的過(guò)程中，就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段，用戶(hù)才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程，如何利用專(zhuān)業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險(xiǎn)原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動(dòng)，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問(wèn)題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5多重保護(hù)原則

任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

4.6分步實(shí)施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問(wèn)題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性，尋求安全、風(fēng)險(xiǎn)、開(kāi)銷(xiāo)的平衡，采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費(fèi)用開(kāi)支。

5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終，如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對(duì)的，需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡，通過(guò)對(duì)某公司信息化和信息安全現(xiàn)狀的分析，對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過(guò)與計(jì)算機(jī)專(zhuān)業(yè)公司接觸，初步確定了本次安全項(xiàng)目的內(nèi)容。通過(guò)本次安全項(xiàng)目的實(shí)施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書(shū)認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開(kāi)密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴(lài)等安全問(wèn)題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶(hù)提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過(guò)建設(shè)證書(shū)認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)對(duì)方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書(shū)加密來(lái)完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成。

不可抵賴(lài)性(Non-Repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過(guò)數(shù)字簽名來(lái)完成，數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專(zhuān)用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專(zhuān)用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過(guò)安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專(zhuān)用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開(kāi)放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過(guò)加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開(kāi)辟一條隧道，使得合法的用戶(hù)可以安全的訪問(wèn)企業(yè)的私有數(shù)據(jù)，用以代替專(zhuān)線方式，實(shí)現(xiàn)移動(dòng)用戶(hù)、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過(guò)濾技術(shù)，可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問(wèn)監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開(kāi)放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶(hù)端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來(lái)的。首先，它的認(rèn)證機(jī)制依賴(lài)于層次結(jié)構(gòu)的證書(shū)認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書(shū)由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織(根證書(shū))之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹(shù)狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護(hù)

對(duì)企業(yè)信息安全的威脅不僅來(lái)自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來(lái)自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來(lái)自于企業(yè)內(nèi)部。同時(shí)，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對(duì)企業(yè)機(jī)密和專(zhuān)利信息的竊取、財(cái)務(wù)欺騙等，因此，對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對(duì)客戶(hù)端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對(duì)稱(chēng)密鑰體系保證了文檔的完整性和不可抵賴(lài)性。采用組件技術(shù)，可以無(wú)縫嵌入OFFICE系統(tǒng)，用戶(hù)可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開(kāi)文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶(hù)如果需要離開(kāi)計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶(hù)的密鑰或數(shù)字證書(shū)，利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶(hù)身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶(hù)集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶(hù)端安全組件和證書(shū)管理系統(tǒng)通過(guò)一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴(lài)性的總體要求。

6方案的組織與實(shí)施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過(guò)程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過(guò)程，也為本方案的實(shí)施提供了借鑒。

圖3

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對(duì)性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專(zhuān)業(yè)公司的安全服務(wù)，提高應(yīng)對(duì)重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

篇（3）

1引言

在下面的描述中，以某公司為例進(jìn)行說(shuō)明。

2信息系統(tǒng)現(xiàn)狀

2.1信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

圖1

2)應(yīng)用系統(tǒng)

2.2信息安全現(xiàn)狀

3風(fēng)險(xiǎn)與需求分析

3.1風(fēng)險(xiǎn)分析

通過(guò)對(duì)我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

4設(shè)計(jì)原則

4.1標(biāo)準(zhǔn)化原則

4.2系統(tǒng)化原則

4.3規(guī)避風(fēng)險(xiǎn)原則

4.4保護(hù)投資原則

4.5多重保護(hù)原則

4.6分步實(shí)施原則

5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

圖2網(wǎng)絡(luò)與信息安全防范體系模型

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

數(shù)據(jù)的機(jī)密性(Confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書(shū)加密來(lái)完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

5.4桌面安全防護(hù)

1)電子簽章系統(tǒng)

2)安全登錄系統(tǒng)

3)文件加密系統(tǒng)

5.5身份認(rèn)證

6方案的組織與實(shí)施方式

圖3

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

篇（4）

現(xiàn)階段，我國(guó)的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不夠健全，未能達(dá)成建立在供電企業(yè)內(nèi)部網(wǎng)絡(luò)信息化的理想狀態(tài)。中部市、縣級(jí)供電公司因?yàn)闂l件有限，信息安全工作相對(duì)投入較少，安全隱患較大，各種安全保障措施較為薄弱，未能建立一個(gè)健全的內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)。但隨著各類(lèi)信息系統(tǒng)不斷上線投運(yùn)，財(cái)務(wù)、營(yíng)銷(xiāo)、生產(chǎn)各專(zhuān)業(yè)都有相關(guān)的信息系統(tǒng)投入應(yīng)用，相對(duì)薄弱的網(wǎng)絡(luò)系統(tǒng)必將成為整個(gè)信息管理模式的最短板。

（2）存在于網(wǎng)絡(luò)信息化機(jī)構(gòu)漏洞較多。

目前在我國(guó)供電企業(yè)中，網(wǎng)絡(luò)信息化管理并未建立一個(gè)完整系統(tǒng)的體系，供電網(wǎng)絡(luò)的各類(lèi)系統(tǒng)對(duì)于關(guān)鍵流程流轉(zhuǎn)、數(shù)據(jù)存儲(chǔ)等都非常的重要，不能出現(xiàn)絲毫的問(wèn)題，但是所承載網(wǎng)絡(luò)平臺(tái)的可靠性卻不高，安全管理漏洞也較多，使得信息管理發(fā)展極不平衡。信息化作為一項(xiàng)系統(tǒng)的工程，未能有專(zhuān)門(mén)的部門(mén)來(lái)負(fù)責(zé)執(zhí)行和管理。網(wǎng)絡(luò)信息安全作為我國(guó)供電企業(yè)安全文化的重要組成部分，針對(duì)現(xiàn)今我國(guó)供電企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀來(lái)看，計(jì)算機(jī)病毒，黑客攻擊造成的關(guān)鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡(luò)安全隱患。各種計(jì)算機(jī)準(zhǔn)入技術(shù)，可移動(dòng)存儲(chǔ)介質(zhì)加密技術(shù)的應(yīng)用，給企業(yè)信息網(wǎng)絡(luò)安全帶來(lái)了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實(shí)是：操作系統(tǒng)正版化程度嚴(yán)重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新，針對(duì)操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計(jì)算機(jī)網(wǎng)絡(luò)病毒的出現(xiàn)，就會(huì)對(duì)企業(yè)內(nèi)部計(jì)算機(jī)進(jìn)行大規(guī)模的傳播，給目前相對(duì)公開(kāi)化的網(wǎng)絡(luò)一個(gè)有機(jī)可乘的機(jī)會(huì)，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行惡意破壞，導(dǎo)致計(jì)算機(jī)系統(tǒng)崩潰。不法分力趁機(jī)竊取國(guó)家供電企業(yè)的相關(guān)文件，篡改供電系統(tǒng)相關(guān)數(shù)據(jù)，對(duì)國(guó)家供電系統(tǒng)進(jìn)行毀滅性的攻擊，甚至致使整個(gè)供電系統(tǒng)出現(xiàn)大面積癱瘓。

（3）職工安全防范意識(shí)不夠。

想要保證我國(guó)網(wǎng)絡(luò)信息的安全，就必須要提高供電企業(yè)員工的綜合素質(zhì)，目前國(guó)內(nèi)供電企業(yè)職員的安全防范意識(shí)不強(qiáng)，水平參差不齊，多數(shù)為年輕職員，實(shí)際操作的能力較低，缺少應(yīng)對(duì)突發(fā)事件應(yīng)對(duì)措施知識(shí)的積累。且多數(shù)老齡職工難以對(duì)網(wǎng)絡(luò)信息完全掌握，跟不上信息化更新?tīng)顟B(tài)，與新型網(wǎng)絡(luò)技術(shù)相脫軌。

2網(wǎng)絡(luò)信息安全管理在供電企業(yè)中的應(yīng)用

造成供電企業(yè)的信息安全的威脅主要來(lái)自?xún)蓚€(gè)方面，一方面是國(guó)家供電企業(yè)本身設(shè)備上的信息安全威脅，另一方面就是外界網(wǎng)絡(luò)惡意的攻擊其中以外界攻擊的方式存在的較多。現(xiàn)階段我國(guó)供電企業(yè)的相關(guān)部門(mén)都在使用計(jì)算機(jī)對(duì)網(wǎng)絡(luò)安全進(jìn)行監(jiān)督和管理，難以保證所有計(jì)算機(jī)完全處在安全狀態(tài)。一般情況下某臺(tái)計(jì)算機(jī)泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺(jué)的，這就需要加強(qiáng)我國(guó)供電企業(yè)進(jìn)行安全的管理，建立病毒防護(hù)體系，及時(shí)更新網(wǎng)絡(luò)防病毒軟件，針對(duì)性地引進(jìn)遠(yuǎn)程協(xié)助設(shè)備，提高警報(bào)設(shè)備的水平。供電企業(yè)的信息系統(tǒng)一個(gè)較為龐大且繁雜的系統(tǒng)，在這個(gè)系統(tǒng)中存在信息安全風(fēng)險(xiǎn)也是必然的。在這種情況下就要最大程度地降低存在的風(fēng)險(xiǎn)，對(duì)經(jīng)歷的風(fēng)險(xiǎn)進(jìn)行剖析，制定針對(duì)性的風(fēng)險(xiǎn)評(píng)估政策，確立供電企業(yè)信息系統(tǒng)安全是以制定針對(duì)性風(fēng)險(xiǎn)評(píng)估政策為前提的，根據(jù)信息安全工作的緊迫需求做好全面的風(fēng)險(xiǎn)評(píng)估至關(guān)重要。“掌握核心技術(shù)”不只是一句簡(jiǎn)單的廣告詞語(yǔ)，還是國(guó)家和各個(gè)企業(yè)都應(yīng)該一直貫徹落實(shí)的方針政策。為了避免外界對(duì)我國(guó)供電企業(yè)信息技術(shù)的操控，國(guó)家相關(guān)部門(mén)就必須實(shí)行自主研發(fā)信息安全管理體系，有效地運(yùn)用高科技網(wǎng)絡(luò)技術(shù)促使安全策略、安全服務(wù)和安全機(jī)制的相結(jié)合，大力開(kāi)發(fā)信息網(wǎng)絡(luò)，促進(jìn)科技管理水平的快速提高，以保證我國(guó)供電信息管理的安全。

篇（5）

1.2對(duì)外部網(wǎng)絡(luò)攻擊的防護(hù)因連接到因特網(wǎng)，不可避免地會(huì)受到外部網(wǎng)絡(luò)的攻擊，通常的做法是安裝部署網(wǎng)絡(luò)防火墻進(jìn)行防護(hù)。通過(guò)設(shè)置防護(hù)策略防止外部網(wǎng)絡(luò)的掃描和攻擊，通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)NAT（NetworkAddressTranslation）等方式隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)，防止其窺探，從而加強(qiáng)網(wǎng)絡(luò)的安全性。1.3員工上網(wǎng)行為的管控對(duì)于在辦公區(qū)內(nèi)的員工，要禁止其在工作期間做無(wú)關(guān)工作的網(wǎng)絡(luò)行為，如QQ聊天、論壇發(fā)帖子、炒股等，尤其禁止其玩征途等各類(lèi)網(wǎng)絡(luò)游戲。常用做法就是安裝網(wǎng)絡(luò)行為管理設(shè)備（應(yīng)用網(wǎng)關(guān)），也有些企業(yè)會(huì)出于成本考慮安裝一些網(wǎng)絡(luò)管理類(lèi)軟件，但若操作不當(dāng)，很容易會(huì)造成網(wǎng)絡(luò)擁塞，出現(xiàn)莫名其妙的故障。

1.4對(duì)不同接入者權(quán)限的區(qū)分企業(yè)網(wǎng)絡(luò)中的接入者應(yīng)用目的是不相同的，有些必須接入互聯(lián)網(wǎng)，而有些設(shè)備不能接入互聯(lián)網(wǎng)；有些是一定時(shí)間能接入，一定時(shí)間不能接入等等，出于成本等因素考慮，不可能也沒(méi)必要鋪設(shè)多套網(wǎng)絡(luò)。通常的做法是通過(guò)3層交換機(jī)劃分虛擬局域網(wǎng)VLAN（VirtualLocalAreaNetwork）來(lái)區(qū)分不同的網(wǎng)段，與防火墻等網(wǎng)絡(luò)控制設(shè)備配合來(lái)實(shí)現(xiàn)有關(guān)功能。

1.5安全審計(jì)功能通過(guò)在網(wǎng)絡(luò)旁路掛載的方式,對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng)，捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包，還原出完整的協(xié)議原始信息，并準(zhǔn)確記錄網(wǎng)絡(luò)訪問(wèn)的關(guān)鍵信息，從而實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)記錄、郵件訪問(wèn)記錄、上網(wǎng)時(shí)間控制、不良站點(diǎn)訪問(wèn)禁止等功能。審計(jì)設(shè)備安裝后不能影響原有網(wǎng)絡(luò)，并需具有提供內(nèi)容安全控制的功能，使網(wǎng)絡(luò)維護(hù)人員能夠及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞和入侵行為等，從而使網(wǎng)絡(luò)系統(tǒng)性能能夠得到有效改善。通常的做法就是安裝安全運(yùn)行維護(hù)系統(tǒng)SOC（SecurityOperationsCente）r，網(wǎng)管員定時(shí)查看日志來(lái)分析網(wǎng)絡(luò)狀況，并制定相應(yīng)的策略來(lái)維護(hù)穩(wěn)定網(wǎng)絡(luò)的安全運(yùn)行。

.6外網(wǎng)用戶(hù)訪問(wèn)內(nèi)部網(wǎng)絡(luò)公司會(huì)有一些出差在外地的人員以及居家辦公人員SOHO（SmallOfficeHomeOffice），因辦公需要，會(huì)到公司內(nèi)網(wǎng)獲取相關(guān)數(shù)據(jù)資料，出于安全和便捷等因素考慮，需要借助虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)VPN（VirtualPrivateNetwork）來(lái)實(shí)現(xiàn)。通常的做法是安裝VPN設(shè)備（應(yīng)用網(wǎng)關(guān)）來(lái)實(shí)現(xiàn)。

2網(wǎng)絡(luò)安全設(shè)備的部署與應(yīng)用

通過(guò)企業(yè)網(wǎng)絡(luò)安全分析，結(jié)合中小企業(yè)網(wǎng)絡(luò)的實(shí)際需求進(jìn)行設(shè)計(jì)。該網(wǎng)絡(luò)中的核心網(wǎng)絡(luò)設(shè)備為UTM綜合安全網(wǎng)關(guān)。它集成了防病毒、入侵檢測(cè)和防火墻等多種網(wǎng)絡(luò)安全防護(hù)功能，從而成為統(tǒng)一威脅管理UTM(UnifiedThreatManagement)綜合安全網(wǎng)關(guān)。它是一種由專(zhuān)用硬件、專(zhuān)用軟件和網(wǎng)絡(luò)技術(shù)組成的具有專(zhuān)門(mén)用途的設(shè)備，通過(guò)提供一項(xiàng)或多項(xiàng)安全功能，將多種安全特性集成于一個(gè)硬件設(shè)備，構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)[2]。通常，UTM設(shè)備應(yīng)該具備的基本功能有網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)（防御）和網(wǎng)關(guān)防病毒等功能。為使這些功能能夠協(xié)同運(yùn)作，有效降低操作管理難度，研發(fā)人員會(huì)從易于操作使用的角度對(duì)系統(tǒng)進(jìn)行優(yōu)化，提升產(chǎn)品的易用性并降低用戶(hù)誤操作的可能性。對(duì)于沒(méi)有專(zhuān)業(yè)信息安全知識(shí)的人員或者技術(shù)力量相對(duì)薄弱的中小企業(yè)來(lái)說(shuō)，使用UTM產(chǎn)品可以很方便地提高這些企業(yè)應(yīng)用信息安全設(shè)施的質(zhì)量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問(wèn)控制、入侵檢測(cè)盒日志審計(jì)等。網(wǎng)絡(luò)接入和路由轉(zhuǎn)發(fā)功能也可由UTM設(shè)備來(lái)實(shí)現(xiàn)。因其具有多個(gè)接口（即多個(gè)網(wǎng)卡），可通過(guò)設(shè)定接口組把辦公區(qū)、車(chē)間、服務(wù)器組等不同區(qū)域劃分成不同的網(wǎng)段；通過(guò)對(duì)不同網(wǎng)段設(shè)定不同的訪問(wèn)規(guī)則，制定不同的訪問(wèn)策略，來(lái)實(shí)現(xiàn)非軍事化區(qū)DMZ（demilitarizedzone）、可信任區(qū)以及非信任區(qū)的劃分，從而有效增強(qiáng)網(wǎng)絡(luò)的安全性和穩(wěn)定性。對(duì)于上網(wǎng)行為的管理，可以通過(guò)內(nèi)置UTM設(shè)備的功能來(lái)實(shí)現(xiàn)管控，并可以實(shí)現(xiàn)Web過(guò)濾以及安全審計(jì)功能。，設(shè)定了辦公區(qū)和車(chē)間1可以訪問(wèn)互聯(lián)網(wǎng)，而車(chē)間2不能訪問(wèn)互聯(lián)網(wǎng)。在辦公區(qū)和部分車(chē)間安裝無(wú)線AP，可方便人員隨時(shí)接入網(wǎng)絡(luò)。通過(guò)訪問(wèn)密碼和身份認(rèn)證等手段，可對(duì)接入者進(jìn)行身份識(shí)別，對(duì)其訪問(wèn)網(wǎng)絡(luò)的權(quán)限進(jìn)行區(qū)分管控。市場(chǎng)上還有一些專(zhuān)用的上網(wǎng)行為管理設(shè)備，有條件的單位可進(jìn)行安裝，用以實(shí)現(xiàn)對(duì)員工上網(wǎng)行為進(jìn)行更為精準(zhǔn)的管控。對(duì)于出差在外地的人員和SOHO人員可在任何時(shí)間通過(guò)VPN客戶(hù)端，用事先分配好的VPN賬戶(hù)，借助UTM設(shè)備的VPN功能，與總部建立VPN隧道，從而保證相互間通信的保密性，安全訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)高效安全的網(wǎng)絡(luò)應(yīng)用。

篇（6）

1.2安全審計(jì)功能通過(guò)在網(wǎng)絡(luò)旁路掛載的方式,對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng)，捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包，還原出完整的協(xié)議原始信息，并準(zhǔn)確記錄網(wǎng)絡(luò)訪問(wèn)的關(guān)鍵信息，從而實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)記錄、郵件訪問(wèn)記錄、上網(wǎng)時(shí)間控制、不良站點(diǎn)訪問(wèn)禁止等功能。審計(jì)設(shè)備安裝后不能影響原有網(wǎng)絡(luò)，并需具有提供內(nèi)容安全控制的功能，使網(wǎng)絡(luò)維護(hù)人員能夠及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞和入侵行為等，從而使網(wǎng)絡(luò)系統(tǒng)性能能夠得到有效改善。通常的做法就是安裝安全運(yùn)行維護(hù)系統(tǒng)SOC（SecurityOperationsCente）r，網(wǎng)管員定時(shí)查看日志來(lái)分析網(wǎng)絡(luò)狀況，并制定相應(yīng)的策略來(lái)維護(hù)穩(wěn)定網(wǎng)絡(luò)的安全運(yùn)行。

1.3外網(wǎng)用戶(hù)訪問(wèn)內(nèi)部網(wǎng)絡(luò)公司會(huì)有一些出差在外地的人員以及居家辦公人員SOHO（SmallOfficeHomeOffice），因辦公需要，會(huì)到公司內(nèi)網(wǎng)獲取相關(guān)數(shù)據(jù)資料，出于安全和便捷等因素考慮，需要借助虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)VPN（VirtualPrivateNetwork）來(lái)實(shí)現(xiàn)。通常的做法是安裝VPN設(shè)備（應(yīng)用網(wǎng)關(guān)）來(lái)實(shí)現(xiàn)。

2網(wǎng)絡(luò)安全設(shè)備的部署與應(yīng)用

通過(guò)企業(yè)網(wǎng)絡(luò)安全分析，結(jié)合中小企業(yè)網(wǎng)絡(luò)的實(shí)際需求進(jìn)行設(shè)計(jì)，網(wǎng)絡(luò)拓?fù)淙鐖D1所示。從拓?fù)鋱D1可以看出，該網(wǎng)絡(luò)中的核心網(wǎng)絡(luò)設(shè)備為UTM綜合安全網(wǎng)關(guān)。它集成了防病毒、入侵檢測(cè)和防火墻等多種網(wǎng)絡(luò)安全防護(hù)功能，從而成為統(tǒng)一威脅管理UTM(UnifiedThreatManagement)綜合安全網(wǎng)關(guān)。它是一種由專(zhuān)用硬件、專(zhuān)用軟件和網(wǎng)絡(luò)技術(shù)組成的具有專(zhuān)門(mén)用途的設(shè)備，通過(guò)提供一項(xiàng)或多項(xiàng)安全功能，將多種安全特性集成于一個(gè)硬件設(shè)備，構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)[2]。通常，UTM設(shè)備應(yīng)該具備的基本功能有網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)（防御）和網(wǎng)關(guān)防病毒等功能。為使這些功能能夠協(xié)同運(yùn)作，有效降低操作管理難度，研發(fā)人員會(huì)從易于操作使用的角度對(duì)系統(tǒng)進(jìn)行優(yōu)化，提升產(chǎn)品的易用性并降低用戶(hù)誤操作的可能性。對(duì)于沒(méi)有專(zhuān)業(yè)信息安全知識(shí)的人員或者技術(shù)力量相對(duì)薄弱的中小企業(yè)來(lái)說(shuō)，使用UTM產(chǎn)品可以很方便地提高這些企業(yè)應(yīng)用信息安全設(shè)施的質(zhì)量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問(wèn)控制、入侵檢測(cè)盒日志審計(jì)等。網(wǎng)絡(luò)接入和路由轉(zhuǎn)發(fā)功能也可由UTM設(shè)備來(lái)實(shí)現(xiàn)。因其具有多個(gè)接口（即多個(gè)網(wǎng)卡），可通過(guò)設(shè)定接口組把辦公區(qū)、車(chē)間、服務(wù)器組等不同區(qū)域劃分成不同的網(wǎng)段；通過(guò)對(duì)不同網(wǎng)段設(shè)定不同的訪問(wèn)規(guī)則，制定不同的訪問(wèn)策略，來(lái)實(shí)現(xiàn)非軍事化區(qū)DMZ（demilitarizedzone）、可信任區(qū)以及非信任區(qū)的劃分，從而有效增強(qiáng)網(wǎng)絡(luò)的安全性和穩(wěn)定性。

對(duì)于上網(wǎng)行為的管理，可以通過(guò)內(nèi)置UTM設(shè)備的功能來(lái)實(shí)現(xiàn)管控，并可以實(shí)現(xiàn)Web過(guò)濾以及安全審計(jì)功能.1可以訪問(wèn)互聯(lián)網(wǎng)，而車(chē)間2不能訪問(wèn)互聯(lián)網(wǎng)。在辦公區(qū)和部分車(chē)間安裝無(wú)線AP，可方便人員隨時(shí)接入網(wǎng)絡(luò)。通過(guò)訪問(wèn)密碼和身份認(rèn)證等手段，可對(duì)接入者進(jìn)行身份識(shí)別，對(duì)其訪問(wèn)網(wǎng)絡(luò)的權(quán)限進(jìn)行區(qū)分管控。市場(chǎng)上還有一些專(zhuān)用的上網(wǎng)行為管理設(shè)備，有條件的單位可進(jìn)行安裝，用以實(shí)現(xiàn)對(duì)員工上網(wǎng)行為進(jìn)行更為精準(zhǔn)的管控。對(duì)于出差在外地的人員和SOHO人員可在任何時(shí)間通過(guò)VPN客戶(hù)端，用事先分配好的VPN賬戶(hù)，借助UTM設(shè)備的VPN功能，與總部建立VPN隧道，從而保證相互間通信的保密性，安全訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)高效安全的網(wǎng)絡(luò)應(yīng)用。

篇（7）

（試行）

一、網(wǎng)絡(luò)類(lèi)題目的特點(diǎn)

學(xué)生絡(luò)類(lèi)題目的特點(diǎn)主要以校園網(wǎng)、小型企業(yè)網(wǎng)、大型企業(yè)網(wǎng)（多地互聯(lián)）為應(yīng)用場(chǎng)合，進(jìn)行網(wǎng)絡(luò)工程設(shè)計(jì)類(lèi)或網(wǎng)絡(luò)安全類(lèi)論文的寫(xiě)作。

二、網(wǎng)絡(luò)工程設(shè)計(jì)類(lèi)論文的寫(xiě)作

1．論文寫(xiě)作要求

類(lèi)似于投標(biāo)書(shū)，但有不同于投標(biāo)書(shū)，不要有商務(wù)性質(zhì)的內(nèi)容（項(xiàng)目培訓(xùn)、售后服務(wù)、產(chǎn)品說(shuō)明書(shū)、產(chǎn)品報(bào)價(jià)……），也一般不考慮具體綜合布線（職院學(xué)校的要求），主要傾向于其技術(shù)實(shí)現(xiàn)。

2．論文寫(xiě)作基本環(huán)節(jié)

采用工程業(yè)務(wù)流程，類(lèi)似于軟件工程：

1）需求分析

2）功能要求

3）邏輯網(wǎng)絡(luò)設(shè)計(jì)（設(shè)計(jì)原則、拓?fù)浣Y(jié)構(gòu)圖、背景技術(shù)簡(jiǎn)介、IP地址規(guī)劃表），也稱(chēng)為總體設(shè)計(jì)

4）物理網(wǎng)絡(luò)設(shè)計(jì)（實(shí)現(xiàn)原則、技術(shù)方案對(duì)比，一般考慮結(jié)構(gòu)化布線），也稱(chēng)為詳細(xì)設(shè)計(jì)

5）網(wǎng)絡(luò)實(shí)現(xiàn)（設(shè)備選型和綜合布線屬于這個(gè)階段，但我們主要強(qiáng)調(diào)各種設(shè)備的配置與動(dòng)態(tài)聯(lián)調(diào)以實(shí)現(xiàn)具體目標(biāo)）

6）網(wǎng)絡(luò)測(cè)試（比較測(cè)試預(yù)期結(jié)果與實(shí)際結(jié)果）

具體實(shí)現(xiàn)通過(guò)采用Dynamips 模擬平臺(tái)和Cisco Packet Tracer(PT)模擬平臺(tái)。

3．注意事項(xiàng)

1）抓住題目主旨和側(cè)重點(diǎn)（類(lèi)似題目的需求不同，取材角度不同、參考資料的取舍也不同。不同的應(yīng)用場(chǎng)合會(huì)采用不同的拓?fù)浣Y(jié)構(gòu)、路由技術(shù)（BGP、RIP、單區(qū)域和多區(qū)域的OSPF）、交換技術(shù)（Vlan、生成樹(shù)、鏈路聚合、堆疊）、訪問(wèn)（接入）技術(shù)、安全技術(shù)等，只有這樣題目才能各有千秋，否則就都變成了XX公司（校園）網(wǎng)絡(luò)設(shè)計(jì)。）

2）不要有商務(wù)性質(zhì)的內(nèi)容（項(xiàng)目培訓(xùn)、售后服務(wù)……）

3）不要產(chǎn)品使用說(shuō)明書(shū)和安裝調(diào)試說(shuō)明書(shū)

4）不建議包含綜合布線的整個(gè)過(guò)程。

4．存在的問(wèn)題與案例分析

1）結(jié)構(gòu)不太清楚，有些環(huán)節(jié)沒(méi)有

2）不應(yīng)有產(chǎn)品說(shuō)明書(shū)，具體實(shí)現(xiàn)要更清楚

三、網(wǎng)絡(luò)安全類(lèi)論文的寫(xiě)作

1．論文寫(xiě)作基本環(huán)節(jié)與要求

從技術(shù)上講主要有：

1）Internet安全接入防火墻訪問(wèn)控制；

2）用戶(hù)認(rèn)證系統(tǒng)；

3）入侵檢測(cè)系統(tǒng)；

4）網(wǎng)絡(luò)防病毒系統(tǒng)；

5）VPN加密系統(tǒng)；

6）網(wǎng)絡(luò)設(shè)備及服務(wù)器加固；

7）數(shù)據(jù)備份系統(tǒng)；

從模型層次上講主要有：

1）物理層安全風(fēng)險(xiǎn)

2）網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)

3）系統(tǒng)層安全風(fēng)險(xiǎn)

不同的應(yīng)用需求采用不同的技術(shù)。

2. 存在的問(wèn)題與案例分析

1）選題有些過(guò)于復(fù)雜而有些過(guò)于簡(jiǎn)單

2）只是簡(jiǎn)單敘述各種安全技術(shù)，沒(méi)有具體實(shí)現(xiàn)

四、論文答辯要求

1）論文格式：從總體上，論文的格式是否滿足《韶關(guān)學(xué)院本科畢業(yè)設(shè)計(jì)規(guī)范》的要求？

篇（8）

中圖分類(lèi)號(hào)：TP398.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-8937（2015）30-0069-02

1 網(wǎng)絡(luò)安全的重要性

網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。具體而言，網(wǎng)絡(luò)安全就是保護(hù)個(gè)人隱私，控制對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，保證商業(yè)秘密在網(wǎng)絡(luò)上傳輸?shù)谋Ｃ苄浴⑼暾约罢鎸?shí)性，控制不健康的內(nèi)容或危害社會(huì)穩(wěn)定的言論，避免機(jī)密泄漏等。

2 我廠網(wǎng)絡(luò)安全措施

2.1 統(tǒng)一出口，便于管理

將三地的網(wǎng)絡(luò)進(jìn)行了配置更改，兩地間增加了高性能的路由器，建成了企業(yè)內(nèi)部局域網(wǎng)絡(luò)。此局域網(wǎng)的建成就像給企業(yè)網(wǎng)絡(luò)系統(tǒng)安裝了一個(gè)“保護(hù)殼”，使企業(yè)內(nèi)部網(wǎng)絡(luò)的使用更加方便、快捷的同時(shí)保證了數(shù)據(jù)采集、傳輸?shù)陌踩裕訌?qiáng)了計(jì)算機(jī)信息和網(wǎng)絡(luò)的保密性。

2.2 企業(yè)防火墻，墻

在企業(yè)局域網(wǎng)的統(tǒng)一出口安裝了Internet防火墻，負(fù)責(zé)管理Internet和企業(yè)內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)。在沒(méi)有防火墻時(shí)，內(nèi)部網(wǎng)絡(luò)上的每個(gè)節(jié)點(diǎn)都暴露給Internet上的其它主機(jī)，極易受到攻擊。這就意味著內(nèi)部網(wǎng)絡(luò)的安全性要由每一個(gè)主機(jī)的堅(jiān)固程度來(lái)決定，并且安全性等同于其中最弱的系統(tǒng)。

2.3 生產(chǎn)和辦公物理和虛擬相結(jié)合隔離

為了保證生產(chǎn)網(wǎng)的安全穩(wěn)定運(yùn)行，采取了生產(chǎn)網(wǎng)和辦公網(wǎng)邏輯隔離，兩網(wǎng)通過(guò)防火墻相連，高度融合，進(jìn)一步強(qiáng)化了生產(chǎn)網(wǎng)的安全性。

2.4 病毒掃描評(píng)估

通過(guò)專(zhuān)業(yè)軟件掃描分析全廠的網(wǎng)絡(luò)系統(tǒng)，檢查網(wǎng)絡(luò)系統(tǒng)中存在的弱點(diǎn)和漏洞并生成相應(yīng)的報(bào)告，提出修補(bǔ)方法和應(yīng)實(shí)施的安全策略，增強(qiáng)了網(wǎng)絡(luò)安全性。

2.5 行為管理

引進(jìn)了國(guó)內(nèi)先進(jìn)的“網(wǎng)康”網(wǎng)絡(luò)接入管理設(shè)備，對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行優(yōu)化管理，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)的整體流量分配與控制，加強(qiáng)了網(wǎng)絡(luò)數(shù)據(jù)流量分析，優(yōu)化了網(wǎng)絡(luò)流量調(diào)整工作。

2.6 區(qū)域WLAN的劃分

將企業(yè)辦公、生產(chǎn)區(qū)域網(wǎng)絡(luò)用戶(hù)按照單位、區(qū)域和樓層等細(xì)化管理，通過(guò)劃分不同的WLAN，從邏輯上阻隔網(wǎng)段，徹底阻隔廣播域，縮小區(qū)域，減小網(wǎng)絡(luò)異常的影響范圍。

3 目前存在的主要問(wèn)題

3.1 認(rèn)識(shí)上的誤區(qū)

①安裝最新的殺毒軟件就不怕病毒了。安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒(méi)有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。

②在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效。網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過(guò)安全中心控制整個(gè)網(wǎng)絡(luò)的客戶(hù)端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)而言，管理非常方便，對(duì)于單機(jī)版是不可能做到的。

③不上網(wǎng)就不會(huì)中毒。雖然不少病毒是通過(guò)網(wǎng)頁(yè)傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤(pán)以及U盤(pán)等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開(kāi)著，就要防范病毒。

④文件設(shè)置只讀就可以避免感染病毒。設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過(guò)在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

⑤網(wǎng)絡(luò)安全主要來(lái)自外部。基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶(hù)帳戶(hù)管理，如帳戶(hù)密碼、臨時(shí)帳戶(hù)、過(guò)期帳戶(hù)和權(quán)限等方面的管理非常必要。

3.2. 技術(shù)上的差距

①操作系統(tǒng)使用盜版。由于習(xí)慣問(wèn)題，部分軟件不兼容原裝系統(tǒng)和覺(jué)得正版與盜版都一樣等的一些類(lèi)似原因?qū)е率褂帽I版系統(tǒng)占到我廠絕大數(shù)計(jì)算機(jī)，給全廠網(wǎng)絡(luò)安全帶來(lái)了嚴(yán)重隱患。

②生產(chǎn)電腦防火墻和殺毒軟件無(wú)法自動(dòng)升級(jí)。由于辦公網(wǎng)和生產(chǎn)網(wǎng)隔離，生產(chǎn)電腦無(wú)法上網(wǎng)，無(wú)法自動(dòng)升級(jí)防火墻和殺毒等軟件，以至于在生產(chǎn)電腦上插拔外置移動(dòng)設(shè)備和局域內(nèi)傳輸文件帶來(lái)的安全危險(xiǎn)顯得毫無(wú)抵抗之力。

③查找故障機(jī)困難。由于三地運(yùn)行，地域廣，人員多，加之入廠機(jī)子相關(guān)登記信息空白，給查找故障機(jī)帶來(lái)更多困難，顯得無(wú)從下手。

4 進(jìn)一步的措施

4.1 環(huán)網(wǎng)建設(shè)

目前企業(yè)網(wǎng)絡(luò)鏈路均為單鏈路。致使網(wǎng)絡(luò)鏈路抗風(fēng)險(xiǎn)能力較差，鏈路中斷后恢復(fù)時(shí)間較長(zhǎng)。不能滿足生產(chǎn)管理系統(tǒng)的穩(wěn)定運(yùn)行需求。為提高網(wǎng)絡(luò)鏈路的抗風(fēng)險(xiǎn)能力，計(jì)劃在充分利用已建光纜、桿路資源及網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上，新增傳輸設(shè)備，將網(wǎng)絡(luò)鏈路構(gòu)成環(huán)網(wǎng)，當(dāng)網(wǎng)絡(luò)中斷后自動(dòng)切換至反向鏈路，實(shí)現(xiàn)網(wǎng)絡(luò)“零中斷”。

4.2 層級(jí)改造

我廠分場(chǎng)站網(wǎng)絡(luò)節(jié)點(diǎn)，由于之前采用交換機(jī)級(jí)聯(lián)的方式組網(wǎng)，受到光纜資源的限制，尚有部分網(wǎng)絡(luò)級(jí)聯(lián)層級(jí)達(dá)到三級(jí)或者更多，隨著網(wǎng)絡(luò)的不斷擴(kuò)展，層級(jí)數(shù)過(guò)多問(wèn)題也日益凸顯，現(xiàn)計(jì)劃對(duì)此類(lèi)場(chǎng)站進(jìn)行層級(jí)改造。

4.3 基于DHCP和MAC地址動(dòng)態(tài)綁定的用戶(hù)自助接入系統(tǒng)研究與應(yīng)用

充分利用現(xiàn)有成熟的DHCP、VPMS和開(kāi)源Liunx系統(tǒng)的相關(guān)技術(shù)，實(shí)現(xiàn)基于DHCP和MAC地址動(dòng)態(tài)綁定的網(wǎng)絡(luò)用戶(hù)自助接入指定網(wǎng)絡(luò)，無(wú)需安裝客戶(hù)端，從而簡(jiǎn)化日常IT管理人員負(fù)擔(dān)和提高網(wǎng)絡(luò)管理效率與信息安全水平，基于DHCP和MAC地址動(dòng)態(tài)綁定的用戶(hù)自助接入系統(tǒng)應(yīng)用，如圖1所示。

4.4 端口封裝，細(xì)化管理

結(jié)合以上MAC地址綁定和VLAN劃分，通過(guò)客戶(hù)端連接交換機(jī)做端口分裝策略，進(jìn)一步固定IP地址，防止IP使用混亂，營(yíng)造一個(gè)平穩(wěn)暢通的網(wǎng)絡(luò)環(huán)境。

5 結(jié) 語(yǔ)

上述論文主要從我廠當(dāng)前實(shí)際的網(wǎng)絡(luò)運(yùn)行狀況，分析了所存在的網(wǎng)絡(luò)安全隱患，及采取的一些相應(yīng)安全措施和下步主要安全工作的同時(shí)，也客觀的提出了所面臨的實(shí)際困難。最后希望通過(guò)本論文的深入研究分析我廠網(wǎng)絡(luò)安全的現(xiàn)狀，可以使大家有對(duì)網(wǎng)絡(luò)安全的重要性有了進(jìn)一步的了解。

參考文獻(xiàn)：

[1] 董玉格.網(wǎng)絡(luò)攻擊與防護(hù)-網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù)[M].北京：人民郵電出版社，2002.

篇（9）

提起網(wǎng)絡(luò)信息安全，人們自然就會(huì)想到病毒破壞和黑客攻擊。其實(shí)不然，政府和企業(yè)因信息被竊取所造成的損失遠(yuǎn)遠(yuǎn)超過(guò)病毒破壞和黑客攻擊所造成的損失，據(jù)權(quán)威機(jī)構(gòu)調(diào)查：三分之二以上的安全威脅來(lái)自泄密和內(nèi)部人員犯罪，而非病毒和外來(lái)黑客引起。

目前，政府、企業(yè)等社會(huì)組織在網(wǎng)絡(luò)安全防護(hù)建設(shè)中，普遍采用傳統(tǒng)的內(nèi)網(wǎng)邊界安全防護(hù)技術(shù)，即在組織網(wǎng)絡(luò)的邊緣設(shè)置網(wǎng)關(guān)型邊界防火墻、AAA認(rèn)證、入侵檢測(cè)系統(tǒng)IDS等等網(wǎng)絡(luò)邊界安全防護(hù)技術(shù)，對(duì)網(wǎng)絡(luò)入侵進(jìn)行監(jiān)控和防護(hù)，抵御來(lái)自組織外部攻擊、防止組織網(wǎng)絡(luò)資源、信息資源遭受損失，保證組織業(yè)務(wù)流程的有效進(jìn)行。

這種解決策略是針對(duì)外部入侵的防范，對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的對(duì)企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護(hù)卻無(wú)任何作用。對(duì)于那些需要經(jīng)常移動(dòng)的終端設(shè)備在安全防護(hù)薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障，企業(yè)基于網(wǎng)絡(luò)邊界的安全防護(hù)技術(shù)就更是鞭長(zhǎng)莫及了，由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面，企業(yè)中經(jīng)常會(huì)有人私自以Modem撥號(hào)方式、手機(jī)或無(wú)線網(wǎng)卡等方式上網(wǎng)，而這些機(jī)器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來(lái)了巨大的潛在威脅;另一方面，黑客利用虛擬專(zhuān)用網(wǎng)絡(luò)VPN、無(wú)線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用程序的各種漏洞就可以繞過(guò)企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò)，發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機(jī)以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。

二、內(nèi)網(wǎng)安全風(fēng)險(xiǎn)分析

現(xiàn)代企業(yè)的網(wǎng)絡(luò)環(huán)境是建立在當(dāng)前飛速發(fā)展的開(kāi)放網(wǎng)絡(luò)環(huán)境中，顧名思義，開(kāi)放的環(huán)境既為信息時(shí)代的企業(yè)提供與外界進(jìn)行交互的窗口，同時(shí)也為企業(yè)外部提供了進(jìn)入企業(yè)最核心地帶——企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網(wǎng)絡(luò)面臨種種威脅和風(fēng)險(xiǎn)：病毒、蠕蟲(chóng)對(duì)系統(tǒng)的破壞；系統(tǒng)軟件、應(yīng)用軟件自身的安全漏洞為不良企圖者所利用來(lái)竊取企業(yè)的信息資源;企業(yè)終端用戶(hù)由于安全意識(shí)、安全知識(shí)、安全技能的匱乏，導(dǎo)致企業(yè)安全策略不能真正的得到很好的落實(shí)，開(kāi)放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來(lái)巨大的威脅。

1.病毒、蠕蟲(chóng)入侵

目前，開(kāi)放網(wǎng)絡(luò)面臨的病毒、蠕蟲(chóng)威脅具有傳播速度快、范圍廣、破壞性大、種類(lèi)多、變化快等特點(diǎn)，即使再先進(jìn)的防病毒軟件、入侵檢測(cè)技術(shù)也不能獨(dú)立有效地完成安全防護(hù)，特別是對(duì)新類(lèi)型新變種的病毒、蠕蟲(chóng)，防護(hù)技術(shù)總要相對(duì)落后于新病毒新蠕蟲(chóng)的入侵。

病毒、蠕蟲(chóng)很容易通過(guò)各種途徑侵入企業(yè)的內(nèi)部網(wǎng)絡(luò)，除了利用企業(yè)網(wǎng)絡(luò)安全防護(hù)措施的漏洞外，最大的威脅卻是來(lái)自于內(nèi)部網(wǎng)絡(luò)用戶(hù)的各種危險(xiǎn)應(yīng)用：不安裝殺毒軟件；安裝殺毒軟件但不及時(shí)升級(jí)；網(wǎng)絡(luò)用戶(hù)在安裝完自己的辦公桌面系統(tǒng)后，未采取任何有效防護(hù)措施就連接到危險(xiǎn)的網(wǎng)絡(luò)環(huán)境中，特別是Internet；移動(dòng)用戶(hù)計(jì)算機(jī)連接到各種情況不明網(wǎng)絡(luò)環(huán)境，在沒(méi)有采取任何防護(hù)措施的情況下又連入企業(yè)網(wǎng)絡(luò)；桌面用戶(hù)在終端使用各種數(shù)據(jù)介質(zhì)、軟件介質(zhì)等等都可能將病毒、蠕蟲(chóng)在不知不覺(jué)中帶入到企業(yè)網(wǎng)絡(luò)中，給企業(yè)信息基礎(chǔ)設(shè)施，企業(yè)業(yè)務(wù)帶來(lái)無(wú)法估量的損失。

2.軟件漏洞隱患

企業(yè)網(wǎng)絡(luò)通常由數(shù)量龐大、種類(lèi)繁多的軟件系統(tǒng)組成，有系統(tǒng)軟件、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用軟件等等，尤其是存在于廣大終端用戶(hù)辦公桌面上的各種應(yīng)用軟件不勝繁雜，每一個(gè)軟件系統(tǒng)都有不可避免的、潛在的或已知的軟件漏洞。無(wú)論哪一部分的漏洞被利用，都會(huì)給企業(yè)帶來(lái)危害，輕者危及個(gè)別設(shè)備，重者成為攻擊整個(gè)企業(yè)網(wǎng)絡(luò)媒介，危及整個(gè)企業(yè)網(wǎng)絡(luò)安全。

3.系統(tǒng)安全配置薄弱

企業(yè)網(wǎng)絡(luò)建設(shè)中應(yīng)用的各種軟件系統(tǒng)都有各自默認(rèn)的安全策略增強(qiáng)的安全配置設(shè)置，例如，賬號(hào)策略、審核策略、屏保策略、匿名訪問(wèn)限制、建立撥號(hào)連接限制等等。這些安全配置的正確應(yīng)用對(duì)于各種軟件系統(tǒng)自身的安全防護(hù)的增強(qiáng)具有重要作用，但在實(shí)際的企業(yè)網(wǎng)絡(luò)環(huán)境中，這些安全配置卻被忽視，尤其是那些網(wǎng)絡(luò)的終端用戶(hù)，導(dǎo)致軟件系統(tǒng)的安全配置成為“軟肋”、有時(shí)可能?chē)?yán)重為配置漏洞，完全暴露給整個(gè)外部。例如某些軟件系統(tǒng)攻擊中采用的“口令強(qiáng)制攻擊”就是利用了弱口令習(xí)慣性的使用安全隱患，黑客利用各種網(wǎng)絡(luò)應(yīng)用默認(rèn)安裝中向外部提供的有限信息獲取攻擊的必要信息等等。

4.脆弱的網(wǎng)絡(luò)接入安全防護(hù)

傳統(tǒng)的網(wǎng)絡(luò)訪問(wèn)控制都是在企業(yè)網(wǎng)絡(luò)邊界進(jìn)行的，或在不同的企業(yè)內(nèi)網(wǎng)不同子網(wǎng)邊界進(jìn)行且在網(wǎng)絡(luò)訪問(wèn)用戶(hù)的身份被確認(rèn)后，用戶(hù)即可以對(duì)企業(yè)內(nèi)網(wǎng)進(jìn)行各種訪問(wèn)操作。在這樣一個(gè)訪問(wèn)控制策略中存在無(wú)限的企業(yè)網(wǎng)絡(luò)安全漏洞，例如，企業(yè)網(wǎng)絡(luò)的合法移動(dòng)用戶(hù)在安全防護(hù)較差的外網(wǎng)環(huán)境中使用VPN連接、遠(yuǎn)程撥號(hào)、無(wú)線AP，以太網(wǎng)接入等等網(wǎng)絡(luò)接入方式，在外網(wǎng)和企業(yè)內(nèi)網(wǎng)之間建立一個(gè)安全通道。

另一個(gè)傳統(tǒng)網(wǎng)絡(luò)訪問(wèn)控制問(wèn)題來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)部，尤其對(duì)于大型企業(yè)網(wǎng)絡(luò)擁有成千上萬(wàn)的用戶(hù)終端，使用的網(wǎng)絡(luò)應(yīng)用層出不窮，目前對(duì)于企業(yè)網(wǎng)管很難準(zhǔn)確的控制企業(yè)網(wǎng)絡(luò)的應(yīng)用，這樣的現(xiàn)實(shí)導(dǎo)致安全隱患的產(chǎn)生：?jiǎn)T工使用未經(jīng)企業(yè)允許的網(wǎng)絡(luò)應(yīng)用，如郵件服務(wù)器收發(fā)郵件，這就可能使企業(yè)的保密數(shù)據(jù)外泄或感染郵件病毒；企業(yè)內(nèi)部員工在終端上私自使用未經(jīng)允許的網(wǎng)絡(luò)應(yīng)用程序，在此過(guò)程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件，從而感染內(nèi)部網(wǎng)絡(luò)，進(jìn)而造成內(nèi)部網(wǎng)絡(luò)中敏感數(shù)據(jù)的泄密或損毀。

5.企業(yè)網(wǎng)絡(luò)入侵

現(xiàn)階段黑客攻擊技術(shù)細(xì)分下來(lái)共有8類(lèi)，分別為入侵系統(tǒng)類(lèi)攻擊、緩沖區(qū)溢出攻擊、欺騙類(lèi)攻擊、拒絕服務(wù)攻擊、對(duì)防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門(mén)攻擊。

對(duì)于采取各種傳統(tǒng)安全防護(hù)措施的企業(yè)內(nèi)網(wǎng)來(lái)說(shuō)，都沒(méi)有萬(wàn)無(wú)一失的把握;對(duì)于從企業(yè)內(nèi)網(wǎng)走出到安全防護(hù)薄弱的外網(wǎng)環(huán)境的移動(dòng)用戶(hù)來(lái)說(shuō)，安全保障就會(huì)嚴(yán)重惡化，當(dāng)移動(dòng)用戶(hù)連接到企業(yè)內(nèi)網(wǎng)，就會(huì)將各種網(wǎng)絡(luò)入侵帶入企業(yè)網(wǎng)絡(luò)。

6.終端用戶(hù)計(jì)算機(jī)安全完整性缺失

隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展，越來(lái)越多的員工會(huì)在企業(yè)專(zhuān)網(wǎng)以外使用計(jì)算機(jī)辦公，同時(shí)這些移動(dòng)員工需要連接回企業(yè)的內(nèi)部網(wǎng)絡(luò)獲取工作必須的數(shù)據(jù)。由于這些移動(dòng)用戶(hù)處于專(zhuān)網(wǎng)的保護(hù)之外，很有可能被黑客攻陷或感染網(wǎng)絡(luò)病毒。同時(shí)，企業(yè)現(xiàn)有的安全投資（如：防病毒軟件、各種補(bǔ)丁程序、安全配置等）若處于不正常運(yùn)行狀態(tài)，終端員工沒(méi)有及時(shí)更新病毒特征庫(kù)，或私自卸載安全軟件等，將成為黑客攻擊內(nèi)部網(wǎng)絡(luò)的跳板。

三、內(nèi)網(wǎng)安全實(shí)施策略

1.多層次的病毒、蠕蟲(chóng)防護(hù)

病毒、蠕蟲(chóng)破壞網(wǎng)絡(luò)安全事件一直以來(lái)在網(wǎng)絡(luò)安全領(lǐng)域就沒(méi)有一個(gè)根本的解決辦法，其中的原因是多方面的，有人為的原因，如不安裝防殺病毒軟件，病毒庫(kù)未及時(shí)升級(jí)等等，也有技術(shù)上的原因，殺毒軟件、入侵防范系統(tǒng)等安全技術(shù)對(duì)新類(lèi)型、新變異的病毒、蠕蟲(chóng)的防護(hù)往往要落后一步。危害好像是無(wú)法避免的，但我們可以控制它的危害程度，只要我們針對(duì)不同的原因采取有針對(duì)性的切實(shí)有效的防護(hù)辦法，就會(huì)使病毒、蠕蟲(chóng)對(duì)企業(yè)的危害減少到最低限度，甚至沒(méi)有危害。這樣，僅靠單一、簡(jiǎn)單的防護(hù)技術(shù)是難以防護(hù)病毒、蠕蟲(chóng)的威脅的。

2.終端用戶(hù)透明、自動(dòng)化的補(bǔ)丁管理，安全配置

為了彌補(bǔ)和糾正運(yùn)行在企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件、應(yīng)用軟件的安全漏洞，使整個(gè)企業(yè)網(wǎng)絡(luò)安全不至由于個(gè)別軟件系統(tǒng)的漏洞而受到危害，完全必要在企業(yè)的安全管理策略中加強(qiáng)對(duì)補(bǔ)丁升級(jí)、系統(tǒng)安全配置的管理。

用戶(hù)可通過(guò)管理控制臺(tái)集中管理企業(yè)網(wǎng)絡(luò)終端設(shè)備的軟件系統(tǒng)的補(bǔ)丁升級(jí)、系統(tǒng)配置策略，定義終端補(bǔ)丁下載。將補(bǔ)丁升級(jí)策略、增強(qiáng)終端系統(tǒng)安全配置策略下發(fā)給運(yùn)行于各終端設(shè)備上的安全，安全執(zhí)行這些策略，以保證終端系統(tǒng)補(bǔ)丁升級(jí)、安全配置的完備有效，整個(gè)管理過(guò)程都是自動(dòng)完成的，對(duì)終端用戶(hù)來(lái)說(shuō)完全透明，減少了終端用戶(hù)的麻煩和企業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，提高企業(yè)網(wǎng)絡(luò)整體的補(bǔ)丁升級(jí)、安全配置管理效率和效用，使企業(yè)網(wǎng)絡(luò)的補(bǔ)丁及安全配置管理策略得到有效的落實(shí)。

3.全面的網(wǎng)絡(luò)準(zhǔn)入控制

篇（10）

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念，可靠的網(wǎng)絡(luò)安全解決方案必須建立在集成網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，比如系統(tǒng)認(rèn)證和各類(lèi)服務(wù)授權(quán)，數(shù)據(jù)庫(kù)的加密及備份，訪問(wèn)及操作的控制等。但是，通過(guò)對(duì)現(xiàn)有電力網(wǎng)絡(luò)的粗略調(diào)查，發(fā)現(xiàn)網(wǎng)絡(luò)本身的脆弱性才是現(xiàn)有電力網(wǎng)絡(luò)安全的最大威脅。

1威臉電力企業(yè)網(wǎng)絡(luò)安全的行為

網(wǎng)絡(luò)本身存在的脆弱性，導(dǎo)致了眾多威脅電力企業(yè)網(wǎng)絡(luò)安全的行為。

1.1惡意入侵

我相信我們可以在我們的電力企業(yè)網(wǎng)絡(luò)上，找到很多我們需要的資料，包括機(jī)密度很高的資料。所以，想得到這些資料的人，會(huì)通過(guò)網(wǎng)絡(luò)攻擊人侵來(lái)達(dá)到目的。網(wǎng)絡(luò)攻擊人侵是一項(xiàng)系統(tǒng)性很強(qiáng)的工作，主要內(nèi)容包括:目標(biāo)分析;文檔獲取;密碼破解;登陸系統(tǒng)、獲取資料與日志清除等技術(shù)。正像前文提到的一樣，我們的網(wǎng)絡(luò)安全形勢(shì)真的是不容樂(lè)觀，所以，這種惡意人侵的行為，在電力企業(yè)網(wǎng)絡(luò)中變得相對(duì)簡(jiǎn)單了許多。密碼的獲得，簡(jiǎn)直容易之至，因?yàn)橛行┚褪强铡．?dāng)人侵者得到了密碼之后，就可以很方便的與該機(jī)器建立連接，得到機(jī)器上的資料輕而易舉，且不留痕跡。

1.2惡作劇式的網(wǎng)絡(luò)搗亂行為

隨著計(jì)算機(jī)技術(shù)的推廣，計(jì)算機(jī)安全技術(shù)也得到了廣泛的應(yīng)用，各種計(jì)算機(jī)安全軟件隨處可見(jiàn)。其中不乏功能強(qiáng)大且完全免費(fèi)的網(wǎng)絡(luò)安全軟件，就是某些軟件的共享版的功能也絲毫不可小看。在電力企業(yè)內(nèi)部使用計(jì)算機(jī)的人員中，有很多計(jì)算機(jī)安全技術(shù)的愛(ài)好者。他們沒(méi)有接受過(guò)系統(tǒng)的安全知識(shí)的學(xué)習(xí)，但是，很多網(wǎng)絡(luò)安全軟件的使用相當(dāng)簡(jiǎn)單，只需點(diǎn)幾下鼠標(biāo)，就可以執(zhí)行其強(qiáng)大的功能。而其使用者可能根本不知道這種行為所存在的危險(xiǎn)性，也不知道目標(biāo)機(jī)器的功能何在。

1.3網(wǎng)絡(luò)病毒的傳播

計(jì)算機(jī)病毒對(duì)大家來(lái)說(shuō)并不陌生，任何一個(gè)接觸計(jì)算機(jī)的人可能都遭遇過(guò)病毒的危害。準(zhǔn)確來(lái)講，計(jì)算機(jī)病毒又可以分為兩大種:一種是病毒，另一種稱(chēng)之為蠕蟲(chóng)。

病毒是一個(gè)程序，‘段可執(zhí)行碼。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類(lèi)型的文件上。當(dāng)文件被復(fù)制或從.個(gè)用戶(hù)傳送到另一個(gè)用戶(hù)時(shí)廠白們就隨同文件一起蔓延開(kāi)來(lái)。除復(fù)制能力夕卜，某些計(jì)算機(jī)病毒還有其它一些共同特性:一個(gè)被污染的程序能夠傳送病毒載體。

蠕蟲(chóng)是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時(shí)具有自己的一些特征，如不利用文件寄生(有的只存在于內(nèi)存中)對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等!

1.4惡意網(wǎng)頁(yè)

當(dāng)我們的電力企業(yè)擁有了自己的網(wǎng)站，連接上了internet，每一個(gè)電腦使用者都在不斷地點(diǎn)擊各種網(wǎng)頁(yè)，以尋找對(duì)自己有用的信息。這是我們不可避免的問(wèn)題，但是，并不是所有的網(wǎng)頁(yè)都是安全的。有的網(wǎng)站的開(kāi)發(fā)者或是擁有者，為了達(dá)到某種目的，就會(huì)修改自己的網(wǎng)頁(yè)，使之具有某種特殊的功能。例如:當(dāng)我們不經(jīng)意間，點(diǎn)擊了某個(gè)網(wǎng)站的鏈接，發(fā)現(xiàn)我們的瀏覽器ie已經(jīng)被改頭換面，標(biāo)題永遠(yuǎn)被換成了那個(gè)惡意網(wǎng)站的名稱(chēng)。通過(guò)正常的途徑已經(jīng)無(wú)法修改。還有的網(wǎng)頁(yè)本身具有木馬的功能，只要你瀏覽之后，你的機(jī)器就有可能被種下了木馬，隨之而來(lái)的就是你個(gè)人信息的泄露。

1.5各種軟件本身的漏洞涌現(xiàn)

軟件本身的特點(diǎn)決定了它一定是個(gè)不完善的產(chǎn)品，會(huì)不斷的涌現(xiàn)出不同嚴(yán)重程度的bug。隨著軟件的使用，使得軟件所接觸的條件日趨復(fù)雜，從而暴露出沒(méi)有發(fā)現(xiàn)的自身缺陷。以我們熟悉的微軟公司的windows系列操作系統(tǒng)為例，每隔一段時(shí)間，都會(huì)在微軟的官方網(wǎng)站上貼出最近發(fā)現(xiàn)的漏洞補(bǔ)丁。

2電力企業(yè) 網(wǎng)絡(luò) 安全基本防范措施

針對(duì)電力網(wǎng)絡(luò)脆弱性，需要加強(qiáng)的網(wǎng)絡(luò)安全配置和策略應(yīng)該有以下幾個(gè)方面。

2.1防火墻攔截

防火墻是最近幾年發(fā)展起來(lái)的一種保護(hù) 計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱(chēng)之為控制逾出兩個(gè)方向通信的門(mén)檻。在網(wǎng)絡(luò)邊界上通過(guò)建立起相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵人;針對(duì)電力企業(yè)的實(shí)際，我個(gè)人認(rèn)為“防火墻十殺毒軟件”的配置手段是比較合適的，但定期的升級(jí)工作是必須的，否則也只能是一種擺設(shè)。

即便企業(yè)有了各種各樣防火墻和殺毒軟件的保護(hù)，企業(yè)系統(tǒng)管理員也不能夠高枕無(wú)憂。為了預(yù)防意外的破壞造成信息丟失和網(wǎng)絡(luò)癱瘓，有必要事先做好網(wǎng)絡(luò)信息和系統(tǒng)的備份。當(dāng)然，定期檢驗(yàn)備份的有效性也非常重要。定期的恢復(fù)演習(xí)是對(duì)備份數(shù)據(jù)有效性的有力鑒定，同時(shí)也是對(duì)網(wǎng)管人員數(shù)據(jù)恢復(fù)技術(shù)操作的演練，做到遇到問(wèn)題不慌亂，從容應(yīng)付，提供有保障的網(wǎng)絡(luò)訪間服務(wù)。

防火墻類(lèi)型主要包括包過(guò)濾防火墻、防火墻和雙穴防火墻。其中包過(guò)濾防火墻設(shè)置在網(wǎng)絡(luò)層，可以在路由器上實(shí)現(xiàn)包過(guò)濾。這種防火墻可以用于禁止外部非法用戶(hù)的訪問(wèn)，也可以用來(lái)禁止訪問(wèn)某些服務(wù)類(lèi)型。防火墻又稱(chēng)應(yīng)用層網(wǎng)管級(jí)防火墻，由服務(wù)器和過(guò)濾路由器組成，是目前教為流行的一種防火墻。雙穴防火墻從一個(gè)網(wǎng)絡(luò)搜集數(shù)據(jù)，并巨有選擇的把它發(fā)送到另一個(gè)網(wǎng)絡(luò)。

合理的配置防火墻，是確保我們電力企業(yè)網(wǎng)絡(luò)安全的首要選項(xiàng)。保證我們的網(wǎng)絡(luò)之間的連接安全，不會(huì)在連接端口出現(xiàn)安全漏洞。

2.2用戶(hù)管理機(jī)制

計(jì)算機(jī)在網(wǎng)絡(luò)中的應(yīng)用，存在兩種身份:一種是作為本地計(jì)算機(jī)，用戶(hù)可以對(duì)本地的計(jì)算機(jī)資源進(jìn)行管理和使用;另一種是作為網(wǎng)絡(luò)中的一份子。高級(jí)的操作系統(tǒng)，都支持多用戶(hù)模式，可以給使用同一臺(tái)計(jì)算機(jī)的不同人員分配不同的帳戶(hù)，并在本地分配不同的權(quán)限。在網(wǎng)絡(luò)的服務(wù)器中安裝的網(wǎng)絡(luò)操作系統(tǒng)，更是存在嚴(yán)格的用戶(hù)管理模式。微軟的windows系列操作系統(tǒng)，從winnf開(kāi)始，到win2000 server的用戶(hù)管理日趨完善，從單純的域管理，發(fā)展到活動(dòng)目錄的集成管理。在月朗民務(wù)器上我門(mén)可以詳細(xì)規(guī)定用戶(hù)的權(quán)限，有效地防止非法用戶(hù)的登陸和惡意人侵。

2.3密碼機(jī)制

生活在信息時(shí)代，密碼對(duì)每個(gè)人來(lái)說(shuō)，都不陌生。在能源部門(mén)的主力軍—電力企業(yè)的網(wǎng)絡(luò)環(huán)境里，密碼更是顯得尤為重要。可以這樣說(shuō)，誰(shuí)掌握了密碼，誰(shuí)就掌握了信息資源。當(dāng)你失去了密碼，就像你雖然鎖上了門(mén)，可是別人卻有了和你同樣的門(mén)鑰匙一樣。

特別將這個(gè)題目單獨(dú)列出，是因?yàn)樽鳛橐粋€(gè)網(wǎng)絡(luò)管理人員，深刻感覺(jué)到我們電力企業(yè)內(nèi)部網(wǎng)絡(luò)中，存在大量不安全的密碼。比如弱口令:123, 000, admin等等。這些密碼表面1二看是存在密碼，但實(shí)際上用專(zhuān)用的網(wǎng)絡(luò)工具查看的時(shí)候，很容易的就會(huì)被破解。某些網(wǎng)站和服務(wù)器的密碼便是如此。

篇（11）

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）28-6262-03

1 概述

有別于有線網(wǎng)絡(luò)的設(shè)備可利用線路找尋設(shè)備信息，無(wú)論是管理、安全、記錄信息，比起無(wú)線網(wǎng)絡(luò)皆較為方便，相較之下無(wú)線網(wǎng)絡(luò)的環(huán)境較復(fù)雜。無(wú)線網(wǎng)絡(luò)安全問(wèn)題最令人擔(dān)心的原因在于，無(wú)線網(wǎng)絡(luò)僅透過(guò)無(wú)線電波透過(guò)空氣傳遞訊號(hào)，一旦內(nèi)部架設(shè)發(fā)射訊號(hào)的儀器，在收訊可及的任一節(jié)點(diǎn)，都能傳遞無(wú)線訊號(hào)，甚至使用接收無(wú)線訊號(hào)的儀器，只要在訊號(hào)范圍內(nèi)，即便在圍墻外，都能截取訊號(hào)信息。

因此管理無(wú)線網(wǎng)絡(luò)安全維護(hù)比有線網(wǎng)絡(luò)更具挑戰(zhàn)性，有鑒于政府機(jī)關(guān)推廣于民眾使用以及企業(yè)逐漸在公司內(nèi)部導(dǎo)入無(wú)線網(wǎng)絡(luò)架構(gòu)之需求，本篇論文特別針對(duì)無(wú)線網(wǎng)絡(luò)Wi-Fi之使用情境進(jìn)行風(fēng)險(xiǎn)評(píng)估與探討，以下將分別探討無(wú)線網(wǎng)絡(luò)傳輸可能產(chǎn)生的風(fēng)險(xiǎn)，以及減少風(fēng)險(xiǎn)產(chǎn)生的可能性，進(jìn)而提出建議之無(wú)線網(wǎng)絡(luò)建置規(guī)劃?rùn)z查項(xiàng)目。

2 無(wú)線網(wǎng)絡(luò)傳輸風(fēng)險(xiǎn)

現(xiàn)今無(wú)線網(wǎng)絡(luò)裝置架設(shè)便利，簡(jiǎn)單設(shè)定后即可進(jìn)行網(wǎng)絡(luò)分享，且智能型行動(dòng)裝置已具備可架設(shè)熱點(diǎn)功能以分享網(wǎng)絡(luò)，因此皆可能出現(xiàn)不合法之使用者聯(lián)機(jī)合法基地臺(tái)，或合法使用者聯(lián)機(jī)至未經(jīng)核可之基地臺(tái)情形。倘若企業(yè)即將推動(dòng)內(nèi)部無(wú)線上網(wǎng)服務(wù)，或者考慮網(wǎng)絡(luò)存取便利性，架設(shè)無(wú)線網(wǎng)絡(luò)基地臺(tái)，皆須評(píng)估當(dāng)內(nèi)部使用者透過(guò)行動(dòng)裝置聯(lián)機(jī)機(jī)關(guān)所提供之無(wú)線網(wǎng)絡(luò)，所使用之聯(lián)機(jī)傳輸加密機(jī)制是否合乎信息安全規(guī)范。

倘若黑客企圖偽冒企業(yè)內(nèi)部合法基地臺(tái)提供聯(lián)機(jī)時(shí)，勢(shì)必會(huì)造成行動(dòng)裝置之企業(yè)數(shù)據(jù)遭竊取等風(fēng)險(xiǎn)。以下將對(duì)合法使用者在未知的情況下聯(lián)機(jī)至偽冒的無(wú)線網(wǎng)絡(luò)基地臺(tái)，以及非法使用者透過(guò)加密機(jī)制的弱點(diǎn)破解無(wú)線網(wǎng)絡(luò)基地臺(tái)，針對(duì)這2個(gè)情境加以分析其風(fēng)險(xiǎn)。

2.1 偽冒基地機(jī)風(fēng)險(xiǎn)

目前黑客的攻擊常會(huì)偽冒正常的無(wú)線網(wǎng)絡(luò)基地臺(tái)（Access Point，以下簡(jiǎn)稱(chēng)AP），而偽冒的AP在行動(dòng)裝置普及的現(xiàn)今，可能會(huì)讓用戶(hù)在不知情的情況下進(jìn)行聯(lián)機(jī)，當(dāng)連上線后，攻擊者即可進(jìn)行中間人攻擊（Man-in-the-Middle，簡(jiǎn)稱(chēng)MitMAttack），取得被害人在網(wǎng)絡(luò)上所傳輸?shù)臄?shù)據(jù)。情境之架構(gòu)詳見(jiàn)圖1，利用偽冒AP攻擊，合法使用者無(wú)法辨識(shí)聯(lián)機(jī)上的AP是否合法，而一旦聯(lián)機(jī)成功后黑客即可肆無(wú)忌憚的竊取行動(dòng)裝置上所有的數(shù)據(jù)，造成個(gè)人數(shù)據(jù)以及存放于行動(dòng)裝置上之機(jī)敏數(shù)據(jù)外泄的疑慮存在。企業(yè)在部署無(wú)線局域網(wǎng)絡(luò)時(shí)，需考慮該類(lèi)風(fēng)險(xiǎn)問(wèn)題。

2.2 弱加密機(jī)制傳輸風(fēng)險(xiǎn)

WEP （Wired Equivalent Privacy）為一無(wú)線加密協(xié)議保護(hù)無(wú)線局域網(wǎng)絡(luò)（Wireless LAN，以下簡(jiǎn)稱(chēng)WLAN）數(shù)據(jù)安全的加密機(jī)制，因WEP的設(shè)計(jì)是要提供和傳統(tǒng)有線的局域網(wǎng)絡(luò)相當(dāng)?shù)臋C(jī)密性，隨著計(jì)算器運(yùn)算能力提升，許多密碼分析學(xué)家已經(jīng)找出WEP好幾個(gè)弱點(diǎn)，但WEP加密方式是目前仍是許多無(wú)線基地臺(tái)使用的防護(hù)方式，由于WEP安全性不佳，易造成被輕易破解。

許多的無(wú)線破解工具皆已存在且純熟，因此利用WEP認(rèn)證加密之無(wú)線AP，當(dāng)破解被其金鑰后，即可透過(guò)該AP連接至該無(wú)線局域網(wǎng)絡(luò)，再利用探測(cè)軟件進(jìn)行無(wú)線局域網(wǎng)絡(luò)掃描，取得該無(wú)線局域網(wǎng)絡(luò)內(nèi)目前有哪些聯(lián)機(jī)的裝置。

當(dāng)使用者使用行動(dòng)裝置連上不安全的網(wǎng)絡(luò)，可能因本身行動(dòng)裝置設(shè)定不完全，而將弱點(diǎn)曝露在不安全的網(wǎng)絡(luò)上，因此當(dāng)企業(yè)允許使用者透過(guò)行動(dòng)裝置進(jìn)行聯(lián)機(jī)時(shí)，除了提醒使用者應(yīng)加強(qiáng)自身終端安全外，更應(yīng)建置安全的無(wú)線網(wǎng)絡(luò)架構(gòu)，以提供使用者使用。

3 無(wú)線網(wǎng)絡(luò)安全架構(gòu)

近年許多企業(yè)逐漸導(dǎo)入無(wú)線局域網(wǎng)絡(luò)服務(wù)以提供內(nèi)部使用者及訪客使用。但在提供便利的同時(shí)，如何達(dá)到無(wú)線局域網(wǎng)絡(luò)之安全，亦為重要。

3.1 企業(yè)無(wú)線局域網(wǎng)安全目標(biāo)

企業(yè)之無(wú)線網(wǎng)絡(luò)架構(gòu)應(yīng)符合無(wú)線局域網(wǎng)絡(luò)安全目標(biāo)：機(jī)密性、完整性與驗(yàn)證性。

機(jī)密性（Confidentiality）

無(wú)線網(wǎng)絡(luò)安全架構(gòu)應(yīng)防范機(jī)密不可泄漏給未經(jīng)授權(quán)之人或程序，且無(wú)線網(wǎng)絡(luò)架構(gòu)應(yīng)將對(duì)外提供給一般使用者網(wǎng)絡(luò)以及內(nèi)部所使用之內(nèi)部網(wǎng)絡(luò)區(qū)隔開(kāi)。無(wú)線網(wǎng)絡(luò)架構(gòu)之加密需采用安全性即高且不易被破解的方式，并可對(duì)無(wú)線網(wǎng)絡(luò)使用進(jìn)行稽核。

完整性（Integrity）

無(wú)線網(wǎng)絡(luò)安全架構(gòu)應(yīng)確認(rèn)辦公室環(huán)境內(nèi)無(wú)其它無(wú)線訊號(hào)干擾源，并保證員工無(wú)法自行架設(shè)非法無(wú)線網(wǎng)絡(luò)存取點(diǎn)設(shè)備，以確保在使用無(wú)線網(wǎng)絡(luò)時(shí)傳輸不被中斷或是攔截。對(duì)于內(nèi)部使用者，可建立一個(gè)隔離區(qū)之無(wú)線網(wǎng)絡(luò)，僅提供外部網(wǎng)際網(wǎng)絡(luò)連路連接，并禁止存取機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)。

認(rèn)證性（Authentication）

建議無(wú)線網(wǎng)絡(luò)安全架構(gòu)應(yīng)提供使用者及設(shè)備進(jìn)行身份驗(yàn)證，讓使用者能確保自己設(shè)備安全性，且能區(qū)分存取控制權(quán)限。無(wú)線網(wǎng)絡(luò)安全架構(gòu)應(yīng)需進(jìn)行使用者身份控管，以杜絶他人（允許的訪客除外）擅用機(jī)關(guān)的無(wú)線網(wǎng)絡(luò)。

因應(yīng)以上無(wú)線局域網(wǎng)絡(luò)安全目標(biāo)，應(yīng)將網(wǎng)絡(luò)區(qū)分為內(nèi)部網(wǎng)絡(luò)及一般網(wǎng)絡(luò)等級(jí)，依其不同等級(jí)實(shí)施不同的保護(hù)措施及其應(yīng)用，說(shuō)明如下。

內(nèi)部網(wǎng)絡(luò)：

為網(wǎng)絡(luò)內(nèi)負(fù)責(zé)傳送一般非機(jī)密性之行政資料，其系統(tǒng)能處理中信任度信息，并使用機(jī)關(guān)內(nèi)部加密認(rèn)證以定期更變密碼，且加裝防火墻、入侵偵測(cè)等作業(yè)。

一般網(wǎng)絡(luò)：

主要在提供非企業(yè)內(nèi)部人員或訪客使用之網(wǎng)絡(luò)系統(tǒng)，不與內(nèi)部其它網(wǎng)絡(luò)相連，其網(wǎng)絡(luò)系統(tǒng)僅能處與基本信任度信息，并加裝防火墻、入侵偵測(cè)等機(jī)制。

因此建議企業(yè)在建構(gòu)無(wú)線網(wǎng)絡(luò)架構(gòu)，須將內(nèi)部網(wǎng)絡(luò)以及提供給一般使用者之一般網(wǎng)絡(luò)區(qū)隔開(kāi)，以達(dá)到無(wú)線網(wǎng)絡(luò)安全目標(biāo)，以下將提供無(wú)線辦公方案及無(wú)線訪客方案提供給企業(yè)導(dǎo)入無(wú)線網(wǎng)絡(luò)架構(gòu)時(shí)作為參考使用。

3.2內(nèi)部網(wǎng)絡(luò)安全架構(gòu)

減輕無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)之基礎(chǔ)評(píng)估，應(yīng)集中在四個(gè)方面：人身安全、AP位置、AP設(shè)定及安全政策。人身安全方面，須確保非企業(yè)內(nèi)部使用者無(wú)法存取辦公室范圍內(nèi)之無(wú)線內(nèi)部網(wǎng)絡(luò)，僅經(jīng)授權(quán)之企業(yè)內(nèi)部使用者可存取。可使用影像認(rèn)證、卡片識(shí)別、使用者賬號(hào)密碼或生物識(shí)別設(shè)備以進(jìn)行人身安全驗(yàn)證使用者身份。企業(yè)信息管理人員須確保AP安裝在受保護(hù)的建筑物內(nèi)，且使用者須經(jīng)過(guò)適當(dāng)?shù)纳矸蒡?yàn)證才允許進(jìn)入，而只有企業(yè)信息管理人員允許存取并管理無(wú)線網(wǎng)絡(luò)設(shè)備。

企業(yè)信息管理人員須將未經(jīng)授權(quán)的使用者訪問(wèn)企業(yè)外部無(wú)線網(wǎng)絡(luò)之可能性降至最低，評(píng)估每臺(tái)AP有可能造成的網(wǎng)絡(luò)安全漏洞，可請(qǐng)網(wǎng)絡(luò)工程師進(jìn)行現(xiàn)場(chǎng)調(diào)查，確定辦公室內(nèi)最適當(dāng)放置AP的位置以降低之風(fēng)險(xiǎn)。只要企業(yè)使用者擁有存取無(wú)線內(nèi)部網(wǎng)絡(luò)能力，攻擊者仍有機(jī)會(huì)竊聽(tīng)辦公室無(wú)線網(wǎng)絡(luò)通訊，建議企業(yè)將無(wú)線網(wǎng)絡(luò)架構(gòu)放置于防火墻外，并使用高加密性VPN以保護(hù)流量通訊，此配置可降低無(wú)線網(wǎng)絡(luò)竊聽(tīng)風(fēng)險(xiǎn)。

企業(yè)應(yīng)側(cè)重于AP配置之相關(guān)漏洞。由于大部分AP保留了原廠之預(yù)設(shè)密碼，企業(yè)信息管理人員需使用復(fù)雜度高之密碼以確保密碼安全，并定期更換密碼。企業(yè)應(yīng)制定相關(guān)無(wú)線內(nèi)部網(wǎng)絡(luò)安全政策，包括規(guī)定使用最小長(zhǎng)度為8個(gè)字符且參雜特殊符號(hào)之密碼設(shè)置、定期更換安全性密碼、進(jìn)行使用者M(jìn)AC控管以控制無(wú)線網(wǎng)絡(luò)使用情況。

為提供安全無(wú)線辦公室環(huán)境，企業(yè)應(yīng)進(jìn)行使用者M(jìn)AC控管，并禁用遠(yuǎn)程SNMP協(xié)議，只允許使用者使用本身內(nèi)部主機(jī)。由于大部分廠商在加密SSID上使用預(yù)設(shè)驗(yàn)證金鑰，未經(jīng)授權(quán)之設(shè)備與使用者可嘗試使用預(yù)設(shè)驗(yàn)證金鑰以存取無(wú)線內(nèi)部網(wǎng)絡(luò)，因此企業(yè)應(yīng)使用內(nèi)部使用者賬號(hào)與密碼之身份驗(yàn)證以控管無(wú)線內(nèi)部網(wǎng)絡(luò)之存取。

企業(yè)應(yīng)增加額外政策，要求存取無(wú)線內(nèi)部網(wǎng)絡(luò)之設(shè)備系統(tǒng)需進(jìn)行安全性更新和升級(jí)，定期更新系統(tǒng)安全性更新和升級(jí)有助于降低攻擊之可能性。此外，政策應(yīng)規(guī)定若企業(yè)內(nèi)部使用者之無(wú)線裝置遺失或被盜，企業(yè)內(nèi)部使用者應(yīng)盡快通知企業(yè)信息管理人員，以防止該IP地址存取無(wú)線內(nèi)部網(wǎng)絡(luò)。

為達(dá)到一個(gè)安全的無(wú)線內(nèi)部網(wǎng)絡(luò)架構(gòu)，建議企業(yè)采用IPS設(shè)備以進(jìn)行無(wú)線環(huán)境之防御。IPS設(shè)備有助于辨識(shí)是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部無(wú)線內(nèi)部網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為，并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無(wú)線網(wǎng)絡(luò)之間的通訊都需經(jīng)過(guò)IPS做保護(hù)與進(jìn)一步分析，為一種整體縱深防御之策略。

考慮前述需求，本篇論文列出建構(gòu)無(wú)線內(nèi)部網(wǎng)絡(luò)應(yīng)具備之安全策略，并提供一建議無(wú)線內(nèi)部網(wǎng)絡(luò)安全架構(gòu)示意圖以提供企業(yè)信息管理人員作為風(fēng)險(xiǎn)評(píng)估之參考，詳見(jiàn)表1。

企業(yè)在風(fēng)險(xiǎn)評(píng)估后確認(rèn)實(shí)現(xiàn)無(wú)線辦公室環(huán)境運(yùn)行之好處優(yōu)于其它威脅風(fēng)險(xiǎn)，始可進(jìn)行無(wú)線內(nèi)部網(wǎng)絡(luò)架構(gòu)建置。然而，盡管在風(fēng)險(xiǎn)評(píng)估上實(shí)行徹底，但無(wú)線網(wǎng)絡(luò)環(huán)境之技術(shù)不斷變化與更新，安全漏洞亦日新月異，使用者始終為安全鏈中最薄弱的環(huán)節(jié)，建議企業(yè)必須持續(xù)對(duì)企業(yè)內(nèi)部使用者進(jìn)行相關(guān)無(wú)線安全教育，以達(dá)到縱深防御之目標(biāo)。

另外，企業(yè)應(yīng)定期進(jìn)行安全性更新和升級(jí)會(huì)議室公用網(wǎng)絡(luò)之系統(tǒng)，定期更新系統(tǒng)安全性更新和升級(jí)有助于降低攻擊之可能性。為達(dá)到一個(gè)安全的會(huì)議室公用網(wǎng)絡(luò)架構(gòu)，建議企業(yè)采用IPS設(shè)備以進(jìn)行無(wú)線環(huán)境之防御。

IPS設(shè)備有助于辨識(shí)是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部會(huì)議室公用網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為，并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無(wú)線網(wǎng)絡(luò)之間的通訊都需經(jīng)過(guò)IPS做保護(hù)與進(jìn)一步分析，為一種整體縱深防御策略。

4 結(jié)論

由于無(wú)線網(wǎng)絡(luò)的存取及使用上存在相當(dāng)程度的風(fēng)險(xiǎn)，更顯無(wú)線局域網(wǎng)絡(luò)的安全性之重要，本篇論文考慮無(wú)線網(wǎng)絡(luò)聯(lián)機(jī)存取之相關(guān)風(fēng)險(xiǎn)與安全聯(lián)機(jī)的準(zhǔn)則需求，有鑒于目前行動(dòng)裝置使用量大增，企業(yè)可能面臨使用者要求開(kāi)放無(wú)線網(wǎng)絡(luò)之需求，應(yīng)建立相關(guān)無(wú)線網(wǎng)絡(luò)方案，本研究針對(duì)目前常見(jiàn)之無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)威脅為出發(fā)，以及內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)使用者，針對(duì)不同安全需求強(qiáng)度，規(guī)劃無(wú)線網(wǎng)絡(luò)使用方案，提供作為建置參考依據(jù)，進(jìn)而落實(shí)傳輸風(fēng)險(xiǎn)管控，加強(qiáng)企業(yè)網(wǎng)絡(luò)安全強(qiáng)度。

參考文獻(xiàn)：

[1] Gast M S.Wireless Networks： The Definitive Guide[M].O’Reilly， 2002.

[2] Edney J， Arbaugh W A.Security：Wi-Fi Protected Access and 802.11[M].Addison-Wesley，2004.

[3] R. Guha， Z. Furqan， S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007， Orlando， FL， 2007（10）：29-31.

上一篇新聞策劃論文下一篇農(nóng)產(chǎn)品質(zhì)量安全論文

返回列表