網絡安全內網管理大全11篇

緒論：寫作既是個人情感的抒發(fā)，也是對學術真理的探索，歡迎閱讀由發(fā)表云整理的11篇網絡安全內網管理范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

中圖分類號：TU714文獻標識碼： A 文章編號：

大企業(yè)集團的內部網絡往往結構復雜、覆蓋面大、節(jié)點眾多，怎樣才能做好系統(tǒng)的網絡信息安全工作也就成為了各數據中心急需解決的問題。本文以某網絡信息安全為例，簡要論述了Internet 快速發(fā)展下內網系統(tǒng)的網絡信息安全管理。

一、內部網系統(tǒng)計算機網絡信息面臨的安全威脅

1、網絡邊界的安全威脅

計算機網絡邊界包括：遠程用戶 VPN 隧道、Internet 鏈路、專用WAN鏈路、PSTN 撥號、電子商務網絡、外部網連接。如果內部系統(tǒng)在此類區(qū)域沒用一定安全防護，那么其網絡系統(tǒng)就很可能會受到入侵者的攻擊。比如通過 Sniffer 等嗅探程序探測掃描網絡及操作系統(tǒng)安全漏洞，如應用操作系統(tǒng)類型、網絡 IP 地址、開放哪些TCP端口號、系統(tǒng)保存的用戶名和口令等安全信息文件，并針對不同的漏洞采取相應的攻擊程序進行網絡攻擊。入侵者通過網絡監(jiān)聽等獲得內部網用戶用戶名、口令等假冒內部合法身份非法登錄，竊取內網重要信息。又比如說惡意攻擊，入侵者發(fā)送大量 PING 包對內網服務器進行攻擊，造成服務器超負荷工作甚至是拒絕服務造成系統(tǒng)癱瘓。

2、內部網安全威脅

內網設備較為分散，而其中的用戶水平也是參差不齊，不同的承載業(yè)務，迥異的安全需求，這些都造成了內網安全建設的多元化和復雜性；移動辦公用戶、遠程撥號用戶、VPN 用戶、合作伙伴、分支機構、供應商、無線局域網等擴展了網絡邊界，這讓邊界保護更為困難；蠕蟲病毒大肆泛濫、新病毒不斷涌現(xiàn)，這些讓內網用戶受到損失，同時，網絡在病毒、蠕蟲攻擊后，不能及時隔離、阻斷；內網安全防范較為脆弱，抵御不了內外部的入侵和攻擊，安全策略無法及時分發(fā)執(zhí)行，造成安全策略形同虛設；內部網通過 Modem、非法主機接入、無線網卡非法外聯(lián)等安全防范不到位，安全風險引入；缺乏內網用戶行為監(jiān)控，造成隱私和組織機密信息泄漏。

二、內部網系統(tǒng)網絡信息安全管理的策略

1、密碼技術

密碼技術是通過信息的變換或編碼，將機密的敏感消息變換成黑客難以讀懂的亂碼型文字，以此達到不讓黑客截獲任何有意義的信息且黑客不能偽造信息的目的。采用密碼方法可以隱蔽和保護機要消息，使未授權者不能提取信息。目前對網絡加密主要有三種方式：鏈路加密方式、節(jié)點對節(jié)點加密方式和端對端加密方式。一般網絡安全系統(tǒng)主要采取第一種方式，即鏈路加密方式。

2、防火墻技術

防火墻是一種保護計算機網絡安全的技術型措施，它可以是軟件，也可以是硬件，或兩者結合。它在兩個網絡之間執(zhí)行訪問控制策略系統(tǒng)，目的是保護網絡不被他人侵擾。通常，防火墻位于內部網或不安全的網絡（Internet）之間，它就像一道門檻，通過對內部網和外部網之間的數據流量進行分析、檢測、篩選和過濾，控制進出兩個方向的通信，以達到保護網絡的目的，實質上是一種隔離控制的技術。通常，在單位內部網絡和外部網絡之間設置一個防火墻是防止非法入侵，確保單位內部網絡安全有效的防范措施之一。防火墻系統(tǒng)決定了哪些內部服務可以被外界訪問，外界的哪些人可以訪問內部的哪些可以訪問的服務，以及哪些外部服務可以被內部人員訪問。要使一個防火墻必須只允許授權的數據通過，并且防火墻本身也必須能夠免于滲透。

3、網絡病毒防范技術

威脅計算機網絡的病毒多種多樣，既有單機上常見的計算機病毒，也有專門攻擊計算機網絡的網絡型病毒。計算機網絡一旦染上病毒，其影響要遠比單機染毒更大，破壞性也更大。目前，在網絡環(huán)境下，較為有效的防病毒方法是 Station Lock 方法。通常，防毒概念是建立在“病毒必須執(zhí)行有限數量的程序后，才會產生感染”的基礎之上。Station Lock 方法正是根據這一特點，辨別可能的病毒攻擊意圖，并在病毒未造成任何破壞之前進行攔截。對付網絡病毒應該重點立足于服務器的防毒，其防毒表現(xiàn)形式為集中式掃毒，它能實現(xiàn)實時掃描，而且軟件升級也方便。選用可靠的網絡防病毒軟件也是網絡防毒的關鍵。

三、某內部網絡信息安全管理設計和實現(xiàn)

根據以上對網絡信息管理及安全策略研究，設計基于 Web 網絡信息管理安全構架，此構架兼顧訪問控制和安全監(jiān)測兩方面。為有效管理此類信息，利用 LDAP 目錄服務來解決網絡信息管理中冗余問題以滿足查詢需求。該系統(tǒng)主要由管理服務器、目錄服務器、證書服務器和應用服務器 ( 可以多個 )組成。系統(tǒng)設計中遵循 PKI 規(guī)定，通過簽發(fā)各種身份證書、角色證書和權限證書，實現(xiàn)層次化安全訪問控制。管理服務器是一臺支持 SSL 的 Web 服務器，它提供管理界面和證書申請表格，承擔了訪問控制的任務。用戶通過管理服務器注冊基本信息，管理服務器從目錄服務器中查詢訪問控制策略 (ACP) 信息，把用戶信息和相應的訪問控制策略送到證書服務器，證書服務器根據這些信息頒發(fā)給用戶相應角色的證書。管理服務器和證書服務器通過 LDAP 來訪問目錄服務器。系統(tǒng)采用基于角色的訪問控制來實現(xiàn)安全訪問控制。任何人的訪問行為都要遞交相應的證書，管理服務器驗證用戶的身份以及確定用戶的訪問權限，只有合法的用戶才可以訪問并進行相應的操作。

管理服務器同時承擔著安全監(jiān)測任務，它驅動相應的功能模塊對關鍵數據文件生成 MD5 摘要，并定時進行摘要監(jiān)測和比較。如發(fā)現(xiàn)應用服務器被攻擊，先報警，并通知管理員將被攻擊的應用服務器從網上隔離開，以防止入侵者進行更深入地破壞。如果是服務被破壞，則重新啟動服務；如果是關鍵數據被破壞，則進行錯誤定位，并用備份數據恢復被破壞的文件。所有的處理過程和結果都要生成報告通知管理人員。網絡信息管理系統(tǒng)的關鍵數據主要有：系統(tǒng)文件（口令文件、網絡啟動文件等）、網絡信息服務的配置文件、關鍵業(yè)務信息等。

在構建網絡安全實際技術中我們堅持：保護網絡系統(tǒng)可靠性；保護網絡資源合法使用性；防范入侵者惡意攻擊與破壞；保護信息通過網上傳輸機密性、完整性及不可抵賴性；防范病毒侵害；實現(xiàn)網絡安全管理。建立在對信息系統(tǒng)安全需求與環(huán)境客觀分析、評估基礎上，在系統(tǒng)應用性能及價格和安全保障需求之間確定“最佳平衡點”，讓網絡安全保障引入開銷與它帶來相當效益。在外部網絡攻擊主要來源地，即第一層網絡出口處部署硬件防火墻，保證外部訪問只到 Web、應用服務器層。第二層網絡出口處部署 VPN、硬件防火墻來，利用 VPN 加密技術及安全認證機制，實現(xiàn)數據在網絡傳輸真實性、機密性、完整性及可靠性，保證只有授權用戶才可訪問內部網絡。此外，對來自第二、三、四層內部網絡攻擊，通過網絡入侵檢測系統(tǒng)（IDS）作防火墻補充，動態(tài)監(jiān)視網絡流過所有數據包，識別來自本網段內、其他網段及外部網絡全部攻擊，解決來自防火墻內由于用戶誤操作或內部人員惡意攻擊所帶來的安全威脅。為減少由于安全事故造成的損失，在系統(tǒng)設備及相關鏈路等物理安全保護方面采取必要數據庫服務器冗余與備份、線路冗余備份、異地容災等措施。

四、結論

信息安全是個綜合性課題，涉及技術、立法、管理、使用等多方面，對網絡信息安全保護有更高要求，也讓網絡信息安全學科地位更重要，網絡信息安全在將來必然會隨著網絡應用不斷發(fā)展。

篇（2）

中圖分類號：TP39308文獻標識碼：A文章編號：1009-5349（2016）23-0240-01

一、網絡安全維護在企業(yè)內部計算機存在的相關問題分析

（一）沒有提升對網絡安全維護的重視度

現(xiàn)階段，雖然一些企業(yè)已經建立了較為完善的內部計算機系統(tǒng)，其在企業(yè)日常工作中發(fā)揮著不可替代的作用。但是，在對計算機網絡安全維護問題上，很多企業(yè)并沒有提升重視，沒有很好地保護計算機內部信息，一旦計算機遭到網絡襲擊或者內部信息泄漏，那么企業(yè)將會受到很大的損失。大部分企業(yè)的內部計算機網絡系統(tǒng)并沒有全面覆蓋，在管理內部網絡過程中，管理執(zhí)行交叉，致使企業(yè)內部計算機的網絡安全維護存在問題，網絡安全存在隱患。

（二）網絡系統(tǒng)操作存在缺陷

在計算機中，操作系統(tǒng)是最為基礎的軟件，如果計算機缺少操作系統(tǒng)，那么其相關應用程序無法發(fā)揮重要作用。一些企業(yè)計算機操作系統(tǒng)還存在很多的問題和缺陷，這為病毒的侵入創(chuàng)造了良好條件。計算機操作系統(tǒng)構成復雜、程序繁多，如果出現(xiàn)問題，那么內部系統(tǒng)可能會出現(xiàn)癱瘓。在企業(yè)的內部管理中，對計算機安全問題不夠重視，對一些應用軟件也沒有及時更新，導致出現(xiàn)很多不安全的因素。

（三）安全管理存在一定問題

一些企業(yè)缺少內部計算機網絡安全維護的意識，因此，相關的管理工作也出現(xiàn)很多問題。企業(yè)內部的安全管理規(guī)定并不全面還有待完善，管理人員整體素質不高，缺少專業(yè)性技能和理論知識，沒有很好地維護相關設備，一些設備沒有發(fā)揮其用途，在使用移動硬盤時操作不當，致使病毒入侵，為企業(yè)內部計算機網絡安全維護帶來很大的難題。

（四）相關工作人員專業(yè)能力差

在企業(yè)內部計算機網絡安全維護管理中，工作人員的專業(yè)程度對企業(yè)網絡安全維護有很大影響。一些企業(yè)T工專業(yè)能力差，對待網絡安全管理工作中的一些技術問題不重視，出現(xiàn)問題時也不愿意積極主動去解決，綜合素質不高，導致在網絡安全管理中，企業(yè)內部信息沒有得到嚴密的保護，系統(tǒng)安全得不到很好的保障。

二、網絡安全維護在企業(yè)內部計算機相關管理中的有效措施

（一）提升內部計算機網絡安全維護意識

企業(yè)如果想安全有效地管理和維護內部的計算機網絡安全，那么需要全面提升安全管理意識，了解網絡安全維護在企業(yè)內部計算機管理中的重要作用，加強企業(yè)員工的教育培訓工作，提升人員專業(yè)能力和專業(yè)知識，使員工能夠掌握計算機的使用情況及設備性能，全面維護企業(yè)內部計算機的網絡安全。

（二）網絡安全技術應用需加強

近年來，隨著社會的不斷發(fā)展，企業(yè)內部計算機網絡安全相關問題層出不窮，為企業(yè)帶來很大挑戰(zhàn)，阻礙了企業(yè)的快速發(fā)展。企業(yè)應當全面加強網絡系統(tǒng)安全，使用專業(yè)的技術維護內部網絡安全。針對計算機網絡安全中出現(xiàn)的一些問題，使用對應的技術進行解決。

（三）不斷完善計算機網絡維護管理體系

在日常工作中，企業(yè)內部計算機在傳遞信息時可能會將病毒一并傳播，很大程度上威脅了計算機網絡安全運營，因此，企業(yè)需要不斷完善內部計算機網絡維護管理體系，對系統(tǒng)的運轉情況實時監(jiān)控，全面清理病毒信息，保障計算機可以安全運行。完善管理系統(tǒng)需要很多的專業(yè)技能及專業(yè)知識作為支撐，因此，需要加強對管理人員的培訓和教育，不斷提升員工的網絡安全意識，通過不斷的實踐，總結安全維護管理經驗，掌握計算機內部系統(tǒng)網絡安全維護技能。

（四）不斷加強計算機網絡維護管理制度

篇（3）

中圖分類號：TP317 文獻標識碼：A 文章編號：1671-7597（2014）07-0088-01

隨著計算機互聯(lián)網技術的不斷發(fā)展，企業(yè)都建立了廣泛的計算機網絡管理系統(tǒng)，旨在提升企業(yè)管理效率及管理安全水平，降低企業(yè)運營成本。但是使用計算機網絡技術也讓企業(yè)暴露在互聯(lián)網的大環(huán)境下，不可避免會遭受到黑客和病毒的侵襲。企業(yè)內部局域網和外部互聯(lián)網的緊密聯(lián)系造成了企業(yè)內部網絡的安全遭到更多侵襲，多是由于網絡安全管理防范不過關、企業(yè)員工操作不當及網絡安全管理人員維護不當引起的，造成對企業(yè)的數據危害，嚴重威脅著企業(yè)的數據安全。因此，必須加強企業(yè)的計算機網絡的數據安全。

1 OSI網絡安全體系結構及安全標準

由于目前網絡安全技術相對要落后于網絡入侵技術，在這種背景下，國際標準化組織制定了相應的協(xié)議來加強計算機網絡的安全性―OSI安全體系，提出了一個安全服務和安全機制的概念，將安全服務劃分成認證、訪問控制以及數據保密、數據完整性和防入侵服務五大類，并將安全機制劃分為特定性安全機制和普通性安全機制。但是需要將國際安全策略和企業(yè)內部的安全策略緊密結合起來，才能實現(xiàn)對企業(yè)網絡安全管理水平的提升。因此，需要結合從企業(yè)的網絡桌面安全管理軟件系統(tǒng)的運用出發(fā)，研究統(tǒng)一策略下的強制策略執(zhí)行機制，并具體分析策略配置，以及對客戶端系統(tǒng)的監(jiān)控和防護，進而實現(xiàn)局域網內客戶端桌面系統(tǒng)的安全管理和防護，實現(xiàn)對企業(yè)網絡安全桌面系統(tǒng)的網絡安全管理及數據防泄密的安全管理。

2 計算機桌面安全管理系統(tǒng)在企業(yè)內網的具體運用

2.1 制定多種安全策略，提升客戶端桌面系統(tǒng)的安全性

企業(yè)的局域網相對復雜，各種基于網絡的應用很多，數據采用集中管理方式，一旦遭遇數據泄密就會給企業(yè)造成嚴重經濟損失。引入計算機桌面安全管理系統(tǒng)，從技術層面協(xié)助計算機網絡維護人員處理極其復雜的客戶端問題，能有效提升安全管理效率。同時，還可以融合OSI網絡安全管理標準，實現(xiàn)網絡和客戶端安全防護并重的態(tài)勢；能隨時監(jiān)控客戶端的狀態(tài)并實現(xiàn)行為管理，通過計算機桌面安全管理系統(tǒng)解決網絡管理和客戶端管理的諸多問題。因此，計算機桌面安全管理系統(tǒng)在面對企業(yè)較為復雜的網絡結構環(huán)境下，具有更好的兼容性。下面具體地分析桌面安全管理系統(tǒng)的多功能運用。

1）在客戶端強制安裝客戶端管理程序。網絡桌面安全管理系統(tǒng)采用的是服務器客戶端架構，只有客戶端安裝了管理軟件，才能通過服務器端對這些客戶端進行網絡安全管理。

2）實現(xiàn)客戶端系統(tǒng)的監(jiān)視功能。包括客戶端的端口、軟硬件信息及各種系統(tǒng)資源進行實時監(jiān)控，對桌面終端的各種進程進行管理，準確了解客戶端各種行為和資源運行狀況，對主機的安全情況進行分析并及時處理。

3）管理系統(tǒng)軟件具有系統(tǒng)補丁分發(fā)的功能。服務器接收微軟的系統(tǒng)補丁，并經過服務端對這些補丁的檢查之后，再由服務端對這些系統(tǒng)補丁進行分發(fā)，讓客戶端實現(xiàn)升級。

4）具有殺毒軟件檢測功能。能對客戶端是否安裝了殺毒軟件進行監(jiān)控，并對客戶端的殺毒軟件的版本號、病毒庫信息等進行檢測。

5）防止IP地址修改。服務端的策略是具有讓客戶端在更改IP地址之后能迅速恢復到原分配的IP地址。

6）禁用非法的軟件。能對操作系統(tǒng)的安裝進程進行限制，同時將軟件、P2P下載軟件等工具納入到進程黑名單，從而達到對非法使用軟件的管理目的。

7）遠程協(xié)助管理能力。當客戶端出現(xiàn)問題時，計算機桌面網絡安全管理系統(tǒng)則提供了的遠程協(xié)助的功能，從而實現(xiàn)遠程協(xié)助維護和管理并排查主機故障。

8）實現(xiàn)系統(tǒng)檢測功能。對客戶端的系統(tǒng)資源進行監(jiān)視，并設置相應的閾值，當這個閾值超出了管理員的設定之后，客戶端就會向服務器端發(fā)出警報，方便管理員進行及時的管理和

維護。

9）實現(xiàn)了網卡禁用的功能。當服務器端發(fā)現(xiàn)客戶端工作站出現(xiàn)了網絡安全故障，可以通過服務器端直接對其進行網卡禁用，防范此客戶機利用局域網發(fā)送蠕蟲病毒等病毒代碼，給局域網帶來嚴重的安全隱患。

10）消息發(fā)送功能。這個功能可以對特定的用戶和用戶組發(fā)出相應的提示信息，從而實現(xiàn)管理目標和計劃的。

11）軟件分發(fā)功能。結合FTP服務器，讓服務器端將一些特定的軟件下發(fā)到相應的客戶機上，強制或者讓客戶端有選擇的安裝相應的軟件，客戶機使用軟件的整個過程是在服務器端的監(jiān)控之下的。

12）流量的檢測功能。隨時監(jiān)控客戶端對網絡資源的使用情況，對于特殊的流量信息進行及時警告，利用管理系統(tǒng)對不同客戶端設定不同的流量限制策略，達到合理分配網絡資源的目的。

2.2 結合相關網絡安全管理工具

在企業(yè)的網絡安全管理環(huán)節(jié)中，除了桌面網絡安全管理系統(tǒng)之外，需要結合目前主流的安全管理工具來使用。

1）Sniffer嗅探器。將Sniffer嗅探器放在防火墻能對所有訪問互聯(lián)網的IP地址進行實施監(jiān)視，再結合桌面網絡安全管理系統(tǒng)就能有效地對網絡流量進行檢測和控制，同時還能保障用戶能正常地訪問互聯(lián)網。

2）有關思科的安全解決工具。將思科網絡安全解決方案和計算機桌面安全管理系統(tǒng)相結合能提升企業(yè)內網的安全能力。制定訪問控制策略能對內網安全有效地防護，確保網絡資源不被非法盜用及非法資源占用，與安全管理系統(tǒng)部分功能相結合能提升網絡安全；通過思科的ARP表將IP地址和客戶端的MAC地址綁定，結合網絡管理系統(tǒng)中的IP地址限制修改策略，從而徹底解決隨意占用他人IP地址的行為，提升管理人員的工作

效率。

3 總結

企業(yè)使用計算機網絡桌面安全管理系統(tǒng)后，極大提升了企業(yè)網絡安全，也提升了客戶端用戶的工作效率，還獲得了更高效的服務。當客戶端出現(xiàn)安全問題后，網絡管理人員就能及時通過網絡安全管理軟件的遠程協(xié)助功能，迅速幫助客戶端解決安全問題。利用服務端對殺毒軟件的自動更新功能及系統(tǒng)補丁分發(fā)功能，能進一步提升客戶端的防病毒和黑客入侵的能力。通過對企業(yè)使用計算機安全管理軟件的實際使用情況來分析，計算機桌面安全管理系統(tǒng)在提升企業(yè)安全管理效率，對保障企業(yè)生產數據的安全性方面具有十分重要的作用。

參考文獻

[1]張鴻久，王少杰.利用桌面管理系統(tǒng)，提升信息安全水平[J].河南電力，2010（1）.

篇（4）

中圖分類號：TP393.18 文獻標識碼：A文章編號：1007-9599(2012)05-0000-02

一、引言

大部分企業(yè)網管人員至今仍對內網威脅不重視，他們認為只要做好內外網物理隔離，或在內外網間部署好網關、防火墻等安全防護產品，網絡安全就能萬無一失。內網安全僅依賴管理措施，極少采用技術手段進行防護。中國國家信息安全測評認證中心的調查結果表明，信息安全問題主要來自泄密和內部人員犯罪，而非病毒和外來黑客引起。因此進一步分析企業(yè)內網威脅及防治技術，構建內網安全防護模型顯得愈發(fā)重要。

二、基于行為的內網威脅分析

隨著信息、通信技術的發(fā)展，企業(yè)內部網絡的應用越來越復雜，內網大多數的應用都是企業(yè)核心內容，需嚴格保密，一旦出現(xiàn)、破壞的事件，后果將不堪設想，內網出現(xiàn)問題甚至能夠導致整個企業(yè)癱瘓。

企業(yè)內網威脅除了由系統(tǒng)缺陷引起的安全隱患，大部分是由于企業(yè)內部人員安全意識不足，基于行的內網威脅，具體表現(xiàn)在：

（一）移動存儲介質管理的不規(guī)范：如數據拷貝不受限、違規(guī)交叉使用、單位和個人持有不區(qū)分等，特別是在與非計算機間、內部與互聯(lián)網計算機間交叉使用，導致計算機或內部工作計算機感染木馬病毒。

（二）服務端口過多開放：黑客一般是通過掃描端口獲取信息，確定主機運行的服務，然后再尋找相關服務或程序漏洞，最后通過漏洞服務或程序的端口攻擊目標主機。

（三）賬號口令管理不嚴：黑客攻擊的目的是為了非法獲取系統(tǒng)訪問權限，一旦取得賬戶口令，他們就可以順利登陸到目標系統(tǒng)，進行犯罪活動。

（四）用戶權限分配不合理：用戶權限往往未被限制，即授予其所需要的最小權限。攻擊者就利用用戶過高的權限進行攻擊。

（五）使用盜版、破解軟件等：盜版軟件通過破解、反編譯等手段得到軟件程序源代碼，修改源代碼往往影響到軟件模塊結構之間的邏輯性，導致一些軟件漏洞的出現(xiàn)，黑客也常用一些工具來搜索存有漏洞的計算機來確定攻擊目標。

（六）內部的網絡攻擊。有的員工為了泄私憤、或被策反成為敵方間諜，成為單位泄密者或破壞者。由于這些員工對單位內部的網絡架構熟悉，可利用管理上的漏洞，侵入他人計算機進行破壞。

（七）網管人員工作量過大、專業(yè)水平不夠高、工作責任心差；用戶操作失誤，可能會損壞網絡設備如主機硬件等，誤刪除文件和數據、誤格式化硬盤等，都將構成內網嚴重威脅。

三、內網威脅檢測技術

內外網隔離、防火墻、IDS及其他針對外部網絡的訪問控制系統(tǒng)，能夠有效防范來自網絡外部的進攻。但對于企業(yè)內部的信息保密問題，卻一直沒有很好的防范措施：內部人員可以輕松地將計算機中的機密信息通過網絡、存儲介質或打印等方式泄露。當前，可通過主流技術對內網威脅進行檢測：

（一）準入控制技術。目前，防范終端安全威脅可采用多種準入控制技術主動監(jiān)控桌面電腦的安全狀態(tài)和管理狀態(tài)，將不安全的電腦隔離，進行修復。使準入控制技術與傳統(tǒng)的網絡安全技術如防火墻、防病毒技術有機結合，改變“被動的、以事件驅動”為特征的傳統(tǒng)內網安全管理模式，變被動防御為主動防御，有效促進內網規(guī)范化建設。

（二）網絡安全防范技術及監(jiān)控手段的集成。可將防火墻技術、漏洞掃描技術、入侵檢測技術和安全管理、安全監(jiān)測和安全控制集成與融合，實現(xiàn)對內部網絡的安全防范。網絡安全監(jiān)測需要監(jiān)測非授權外聯(lián)、非授權接入及非法入侵、非授權信息存取，對重要數據進行重點保護、重點信息進行重點監(jiān)測，對可疑人物、可疑事件跟蹤監(jiān)測。

（三）網絡安全監(jiān)控。控制網絡設備的運行狀態(tài)，對網絡安全監(jiān)測事件實時響應；這樣不僅能及時發(fā)現(xiàn)安全域內潛在的網絡安全威脅，減少網絡安全事故的發(fā)生，而且能做到對安全事故的及時解決。

（四）建立用戶行為審計。對用戶網絡行為進行審計，包括：審計登錄主機的用戶、登錄時間、退出時間等有詳細記錄；對重點數據操作的全過程審計；對發(fā)現(xiàn)可疑操作如多次嘗試用戶名和密碼的行為，及時報警并采取必要的安全措施如關機等。

四、內網安全防護模型

在內網威脅檢測技術的基礎上，建設一個多層次的網絡安全防護體系，使得安全管理員能夠全面掌握網絡的運行狀況，掌握網絡的應用流量狀況，掌握網絡中發(fā)生的安全事件，并在網絡出現(xiàn)異常或發(fā)生可疑事件時能夠方便快捷地對數據進行深入分析，從而實現(xiàn)對內部網的全方位安全監(jiān)控，提高對安全事件的監(jiān)控和響應處理能力。

（一）網絡準入控制與終端安全防護系統(tǒng)。將安全策略及多種安全防護技術等結合起來，構成一個統(tǒng)一終端安全防護系統(tǒng)。包括安全策略制定與下發(fā)、桌面終端的管理與控制、認證與授權、合規(guī)與審計。實現(xiàn)對進入內網的控制和安全策略符合診斷控制，提高企業(yè)終端安全管理水平。

（二）威脅分析監(jiān)控系統(tǒng)。能盡早檢測出新的未知惡意軟件，對數據泄漏快速響應。能通過檢測網絡中的破壞性應用程序和服務程序，節(jié)省帶寬和資源；通過集中式管理，使威脅和事件信息管理更為容易。

（三）網絡流量分析系統(tǒng)。通過該系統(tǒng)捕獲并分析網絡中傳輸的數據包，有效反映網絡通訊狀況，幫助網管人員快速準確定位故障點并解決網絡故障，并快速排查網絡故障，從而提高網絡性能，規(guī)避網絡安全風險，增大網絡可用性價值，并確保整個網絡的持續(xù)可靠運行。

（四）用戶行為審計系統(tǒng)。及時分析用戶行為日志的審計，可發(fā)現(xiàn)可疑的信息，并重點跟蹤監(jiān)測。有助于發(fā)現(xiàn)網絡中的薄弱環(huán)節(jié)及可疑因素；有助于提高企業(yè)用戶的網絡安全意識，也是對網絡安全破壞分子的震懾。

五、結束語

本文首先分析了基于行為的企業(yè)內網安全威脅,探討了當前內網威脅檢測技術，設計了一套對網絡準入控制、終端安全防護、流量分析、用戶行為審計等內網威脅檢測和管理的網絡安全防護模型。使得企業(yè)可以全面了解網絡的運行狀況以及安全事件信息，為安全管理中心和安全事件審計提供信息和證據。

參考文獻：

篇（5）

當年,王海洋以省狀元的身份被清華大學計算機科學與技術專業(yè)錄取。后來,她在中國科學院攻讀計算機圖形學碩士學位。那時,她才開始表現(xiàn)出對于計算機領域濃厚的興趣和敏銳的直覺。畢業(yè)后,王海洋去了一家美國公司,主要研發(fā)銀行、醫(yī)療等行業(yè)軟件。2007年8月,王海洋加入了鼎普科技,成為研發(fā)部門的總工程師,經過短短兩年的時間,她在今年年初升任該公司的CTO。

發(fā)現(xiàn)新的“藍海”

至于當時選擇鼎普科技的原因,王海洋表現(xiàn)出一絲自豪。她告訴記者,首先她認識到安全領域是一個朝陽產業(yè)。2003年開始,信息安全的重要性日益凸現(xiàn),并被各大企事業(yè)單位所重視。一直以來,安全防御理念都局限在常規(guī)的網管級別(防火墻等)、網絡邊界(漏洞掃描、安全審計、防病毒、IDS)等方面的防御,重要的安全設施大致集中于機房、網絡入口處。在這些設備的嚴密監(jiān)控下,來自網絡外部的安全威脅大大減小。

然而,來自網絡內部的安全威脅卻漸漸地突顯出來,網絡的內部安全威脅大于外部,已經成為業(yè)界共識。內網安全也順理成章地成為網絡安全市場的下一個熱點和一片新的“藍海”。一時間,建設一個可管理、可控制和可信任的內網成為內網安全發(fā)展的新趨勢。王海洋說:“對于個人的信息安全,對于公司的安全,甚至是對于國家的安全來說,信息安全領域的發(fā)展前景非常寬廣。而鼎普科技在內網安全領域的快速發(fā)展,給了我一個很好的發(fā)展平臺。”在尋找到工作“藍海”的同時,王海洋敏銳地發(fā)現(xiàn)了技術應用上的新“藍海”。

更靈活的管理

從2003年開始,內網安全逐漸受到各企事業(yè)單位的關注。當時,內網安全的管理主要偏向于防止密級信息的外泄,對計算機外設以及各類端口的控制。

隨著時間的發(fā)展,內網的概念已經不僅僅集中在這塊了,內網安全的重心漸漸地從偏重安全轉移到偏重管理。金融、教育、能源、電力等一些非單位也開始關注內網安全,而且他們關注的內網安全涉及面更廣,需要更靈活的手段對內網的安全進行防護,比如統(tǒng)計網絡流量,補丁的分發(fā)以及計算機軟硬件的升級和管理等。

“以前,我們的客戶大多都是政府部門,現(xiàn)在,我們也在往重要領域的非單位拓展。”王海洋說,“鼎普科技是以做起家的,但同時,我們也兼顧等級保護這方面,即對非單位的信息進行安全防護。”

內外部信息交互廣泛存在于各企事業(yè)單位的辦公網中。如果他們既要防止信息孤島的產生,又要避免及敏感信息在交互中泄漏,那么在信息交互過程中就需要靈活的管理手段。

“一些客戶需要網頁瀏覽的權限設置,例如,他們需要內網管理系統(tǒng)允許員工上固定網站瀏覽新聞,但是又能夠阻止或警告用戶的違法上傳等行為。而我們自主研發(fā)的‘鼎普網絡單向導入管理系統(tǒng)’就能滿足客戶這一靈活的管理需求。我們的目標,就是能為客戶提供更直觀、更快捷操作、更方便理解的輔助管理手段。”王海洋說。

此外,鼎普科技的“數據單向導入管理系統(tǒng)”能夠對移動存儲介質的交叉使用進行控制,該系統(tǒng)通過光的物理單向傳輸的特性,在技術上極大地防范了內外網信息交互中的管理風險,同時實現(xiàn)對計算機違規(guī)非法外聯(lián)的監(jiān)控阻斷,能有效地提高內網安全管理和信息交互的技術安全指數。

更全面的防護

篇（6）

中圖分類號：TP393 文獻標識碼：A

1醫(yī)院計算機管理的現(xiàn)狀

上世紀末期，我國醫(yī)院計算機信息系統(tǒng)已經初步上線，經過近二十年的發(fā)展，我國綜合醫(yī)院已經基本實現(xiàn)信息化管理，特別是以收費為主要內容的系統(tǒng)已較為完善。當前，各地條件較好的醫(yī)院都開始實行“以病人為中心，以醫(yī)療信息為主線”的綜合臨床信息系統(tǒng)，極大地方便了醫(yī)院業(yè)務流程。病人治療用藥信息與醫(yī)保、新農合保險的實時結算方式對于計算機內網安全運行提出了更高的要求。當前大中型醫(yī)院的計算機管理系統(tǒng)基本上已經覆蓋全院系統(tǒng)，各科室部門等子系統(tǒng)均被納入其中，這位各科室提供數據搜尋和技術支撐提供了方便，業(yè)務防范醫(yī)療糾紛提供了依據。醫(yī)院內部之間各項醫(yī)療業(yè)務數據能夠快速在內部得以交換和共享，為科學決策提供了重要保證。但是，在醫(yī)院系統(tǒng)建設過程中，醫(yī)院計算機內網的安全逐漸引起人們的關注，醫(yī)院內網系統(tǒng)只有是安全的，才能保證病患的隱私和推動醫(yī)院的發(fā)展。而我國部分醫(yī)院在實現(xiàn)信息管理數據化的同時，對網絡安全的建設和管理重視程度不高，黑客攻擊、病毒感染、木馬侵擾無不使得醫(yī)院計算機內網面臨種種威脅，必須予以重視和防范解決。

2醫(yī)院計算機內網風險因素

2.1操作系統(tǒng)的脆弱性及醫(yī)院U盤介質管理不規(guī)范

目前大多醫(yī)院的操作系統(tǒng)使用的是Windows系統(tǒng)，該操作系統(tǒng)存在脆弱性，系統(tǒng)漏洞難以得到及時修補。這是因為醫(yī)院的計算機大多無法連接到外網，不能自動更新系統(tǒng)補丁，而醫(yī)院內部網絡的補丁升級和更新常存在較大的技術漏洞，計算機管理部分無法及時了解醫(yī)院內部電腦的補丁安裝情況。雖然醫(yī)院使用內網，外網感染不會發(fā)生，但工作人員使用的U盤介質等還是可以使得醫(yī)院內網系統(tǒng)感染病毒和木馬，這樣的行為是醫(yī)院電腦終端感染病毒的最主要的途徑。

2.2惡意代碼和木馬的潛伏性

通過偵測，很多醫(yī)院的內網被發(fā)現(xiàn)有木馬和惡意代碼，而市面和網絡上流傳的殺毒軟件主要是用于網絡病毒的查收，對于單位內部網絡的惡意代碼和木馬沒有查殺能力，醫(yī)院內網與外網的隔絕，使得醫(yī)院內部的這些威脅無法通過網絡殺毒軟件進行及時處理，潛伏在電腦終端里，將為醫(yī)院計算機內網爆發(fā)重大病毒感染埋下隱患。

2.3病毒防護軟件失效

醫(yī)院計算機內網安全防護軟件失效指的是這些軟件在內網運行中沒有正常運行，其預期功能沒有發(fā)揮。使得內部計算機出現(xiàn)無法上網，防病毒軟件無法升級查殺。醫(yī)院計算機的單機防病毒體系，使得電腦終端的防病毒情況無法被及時掌握，醫(yī)院計算機內網安全隱患較大。

3醫(yī)院計算機內網安全管理方法

3.1全面監(jiān)控內網管理

醫(yī)院計算機內網安全，首先必須從整體出發(fā)，建立針對醫(yī)院內部所有計算機終端的監(jiān)控管理體系，為每一臺電腦終端安裝電腦管理軟件，對終端桌面進行管理監(jiān)控，部署終端與控制中心的網絡，由控制中心集中對電腦終端進行管理和維護，整理分析和掌握內網運行狀況。內網入侵中，入侵者會采用專門的算法來破解口令，這要求醫(yī)院內網的管理人員一定要注重內網密碼的設置，口令應設置得較為復雜并定期使用破解口令程序來檢測內網的安全性。

3.2建立整體安全防御體系

由于計算機網絡安全威脅不斷變化，種類繁多，因地針對網絡安全的防御體系也應及時作出調整甚至應當超前，建立醫(yī)院內部網絡的整體防御安全體系。雖然醫(yī)院計算機內網終端基本上都裝有防病毒軟件，但因為內網與外網的隔絕，內網計算機終端的防病毒軟件無法進行及時更新升級，對系統(tǒng)安全的隱患較大，無法有效對內網安全進行全面的防護。醫(yī)院內網應建立其計算機終端防護和終端查殺結合的安全防御體系，正確做好內網管理軟件的接入管理和介質管理，減少計算機受病毒感染的概率，實現(xiàn)內網修復管理和威脅管理的及時性。整體安全防御體系中，可以使用網關訪問外網。網關的設置，使得內網終端訪問外網需要經過網關的把關，讓網絡數據無法在內網和外網之間進行交換，有效保護內網數據的安全。

3.3建立防火墻和病毒防御系統(tǒng)

在醫(yī)院內網終端上配置防火墻和網絡防病毒系統(tǒng)，能有效預防計算機操作系統(tǒng)感染病毒并在內網上蔓延，引發(fā)內網數據丟失和醫(yī)院正常工作的開展。醫(yī)院網絡建設規(guī)模一般較大，需要多臺大型網絡設備進行分流，如交換機和路由器。此外，由于繳費和社保要求，醫(yī)院內網還需專線連接銀行、醫(yī)保等機構，如此多樣化的需求要求必須在醫(yī)院計算機系統(tǒng)內配置防火墻過濾網關和病毒防系統(tǒng)，防治病毒入侵。防火墻設置的基本功能在于對未經授權訪問計算機的請求被阻止，減少醫(yī)院計算機內網被非法和惡意入侵的概率。

總之，計算機信息時代的醫(yī)院內網必須加強安全管理，以管理手段和技術手段共同保證內網的安全，實現(xiàn)系統(tǒng)的安全可靠運行。

參考文獻

篇（7）

    2.校園網的安全隱患

    影響校園網安全的因素很多。校園網一般分為校園內網、校園外網、提供各種服務的服務器群,內網主要包括:教學網、圖書館網、辦公自動化網絡、財務網;而外網則是實現(xiàn)內網與Internet的對接,服務器群提供各自服務。根據對校園網絡的基本結構的剖析,可以得出結論,校園網的安全問題來自以下幾個方面:

    2.1TCP/IP協(xié)議簇的安全性與操作系統(tǒng)的安全漏洞。

    TCP/IP及其許多網絡協(xié)議本身在設計之初并未全面考慮安全性問題,隨著網絡技術的發(fā)展與普及,協(xié)議的安全性問題日益突出。

    目前使用的操作系統(tǒng),包括Windows系列,Unix系列都不同程度上存在安全漏洞,對網絡構成威脅。

    2.2來自外部的威脅

    校園網與Internet相聯(lián),極易受到外部人員的攻擊,一旦攻擊成功,將有可能造成極大破壞。而校園網用戶密集,速度快、規(guī)模大的特點,也使得安全問題容易被放大,影響更加嚴重。

    2.3來自內部的安全隱患

    (1)病毒、木馬的威脅。由于校園內部使用網絡的人員復雜,水平良莠不齊,在進行數據交換或數據上傳、下載時可能造成病毒、木馬在內網中的傳播、泛濫。

    (2)寬松、開放的網絡環(huán)境也使得內網容易遭受攻擊。由于教學、科研的特點,使得一些新技術、新應用在校園網上實施的時候不能施加過多的限制,這也可能會造成內網受到攻擊。

    (3)活躍而密集的用戶群也是校園網不安全的因素之一。數量眾多、具有一定的計算機方面的知識、無窮的探索精神而安全觀念淡薄的學生也可能會對校園網造成一定程度的威脅。

    2.4管理制度不健全、管理人員與維護力量不足成為校園網安全的一大隱患。

    校園網的建設和管理對校園網安全的關注度通常不高,安全意識不強,管理制度不健全,對于管理與維護方面的投資也不大,網絡中心的人員只能保證網絡正常運行,對于安全問題無暇顧及。管理不到位,校園內可能出現(xiàn)各種網絡并存,鐵通、電信、光纖內網混搭,成為攻擊者避開防火墻進行攻擊的跳板。

    3.校園網安全策略

    安全策略是指在某個安全區(qū)域內,用于所有與安全相關活動的一套規(guī)則。安全有效的安全策略,可以最大程度降低校園網受到攻擊而造成性能下降、失效、泄密、數據丟失的可能性。安全策略包括嚴格的管理、先進的技術和行之有效的管理制度。

    3.1防火墻控制策略

    防火墻是一種保護計算機網絡安全的技術性措施,是用來阻止網絡黑客進入內部網的屏障。防火墻分為專門設備構成的硬件防火墻和運行在服務器或計算機上的軟件防火墻。無論哪一種,防火墻通常都安置在網絡邊界上,根據系統(tǒng)管理員設置的訪問控制規(guī)則,對數據流進行過濾,通過網絡通信監(jiān)控系統(tǒng)隔離內部網絡和外部網絡,以阻檔來自外部網絡的入侵。防火墻是Internet安全的最基本組成部分。

    3.2訪問控制策略

    訪問控制策略是網絡安全防范和保護的主要策略,其任務是保證網絡資源不被非法使用和非法訪問。各種網絡安全策略必須相互配合才能真正起到保護作用,而訪問控制是保證網絡安全最重要的核心策略之一。訪問控制策略包括入網訪問控制策略、操作權限控制策略、目錄安全控制策略、屬性安全控制策略、網絡服務器安全控制策略、網絡監(jiān)測、鎖定控制策略和防火墻控制策略等7個方面的內容。

    3.3入侵檢測系統(tǒng)(IDS,Intrusion Detection System)

    入侵檢測系統(tǒng)是為保證計算機網絡系統(tǒng)的安全而設計的一種用于檢測違反安全策略行為的技術,它能夠及時發(fā)現(xiàn)并報告網絡中未授權的訪問或異常現(xiàn)象。違反安全策略的行為,主要是指入侵和濫用--通常將非法用戶的違規(guī)訪問行為稱為入侵,將合法用戶的違規(guī)訪問行為稱為濫用。

    入侵檢測使用兩種基本的檢測技術:特征檢測與異常檢測。前者常常是對網上流動的數據內容進行分析,找出\"黑客\"攻擊的表征。后者往往是對網絡上的數據流量進行分析,找出表現(xiàn)異常的網絡通信。功能簡單的入侵檢測系統(tǒng)可能只使用這兩種技術中的一種。

    3.4對病毒、木馬定期查殺

    由于頻繁的數據交換,網絡中數據的上傳下載以及校園網使用者的水平良莠不齊,給病毒、木馬在網絡中的傳播提供了機會,所以應選擇合適的網絡殺毒軟件,及時更新病毒庫,定期對病毒、木馬進行查殺。

篇（8）

本指導意見適用范圍為市政務信息網，各縣（區(qū)）人民政府、管委會政務信息網網絡管理，包括政務內網和政務外網。

二、技術要求：

（一）網管系統(tǒng)技術

1、各縣（區(qū)）人民政府、管委會必須建立政務內網網絡管理系統(tǒng)和政務外網管理系統(tǒng)。

2、網管系統(tǒng)服務器必須規(guī)劃為VLAN9所在網段，不能隨意更改。

3、網管系統(tǒng)服務器應專機專用，不得隨意在網管服務器主機上安裝與工作無關、不安全的軟件，禁止利用網管系統(tǒng)服務器上互聯(lián)網。

4、網管系統(tǒng)應能實時監(jiān)測所有設備的運行狀況，并有基本的設備管理、告警管理、拓撲管理等功能。網管系統(tǒng)的拓撲圖應能真實反映本級政務信息網的網絡結構。

5、網管系統(tǒng)應能實時監(jiān)測本級政務信息網互聯(lián)網出口、骨干節(jié)點、重要用戶流量運行狀況。

（二）安裝實時監(jiān)控軟件

1、各縣（區(qū)）人民政府、管委會政務信息網互聯(lián)網出口應安裝實時監(jiān)控軟件，如SNIFFERPRO，ETHERPEEK等。

2、監(jiān)控軟件應能實時顯示網絡中當前流量最大的主機（IP地址）。

3、監(jiān)控軟件應能在網絡流量發(fā)生異常時，能捕獲指定主機及指定網段所通過的報文，并能進行分析。

（三）防火墻地址設置

1、各縣、區(qū)、管委會防火墻接口地址與政務網相連的互聯(lián)地址應規(guī)劃在VLAN7所在的網段，即防火墻接口地址為10.X.7.253/24,對應政務網設備上互聯(lián)地址為10.X.7.254/24(X為所在地地域號)。

2、防火墻日志服務器下掛在核心交換機上，防火墻日志服務器地址與其它網管系統(tǒng)服務器地址均規(guī)劃在VLAN9內，IP地址應規(guī)劃在VLAN9所在網段，防火墻日志服務器IP地址為10.X.9.10/24，網關為10.X.9.254/24，且服務器不得重復他用。

（四）硬件設備配置

1、服務器配置及數量要求

服務器雙核CPU3.0G、2G內存，操作系統(tǒng)WINDOWSSERVER2005及SQL2005。政務外網至少需要部署1臺網絡管理服務器，政務內網至少需要部署1臺網絡管理服務器。具有防火墻的還需部署1臺防火墻日志服務器。

2、網管終端配置及數量要求

網管終端CPUP42.8G以上,內存1G,操作系統(tǒng)WINDOWSXP。政務外網至少需要1臺PC終端，政務內網至少需要1臺PC終端。

3、實時監(jiān)控的交換機要求

用來實時監(jiān)控抓包的交換機，需要支持百兆端口，支持端口鏡像。

二、管理要求

（一）網管值班人員及職責

1、制定管理制度

各縣（區(qū)）人民政府、管委會應建有政務網網絡管理辦法、用戶計算機網絡接入管理辦法、計算機病毒防治管理辦法、政務網安全保護管理辦法、網絡值班制度、數據及文檔資料保密制度、數據備份制度、機房管理制度等。

2、人員安排

各縣（區(qū)）人民政府、管委會每天應安排技術人員值班，并做好網絡維護及值班記錄。

（二）向上級匯報、備案制度

篇（9）

一、加強領導，強化網絡安全責任制

為進一步加強中心網絡系統(tǒng)安全管理工作，成立了以中心主任為組長、分管領導為副組長、辦公室人員為成員的網絡安全工作領導小組，做到分工明確,責任具體到人。明確中心主任為計算機網絡安全工作第一責任人，全面負責計算機網絡與信息安全管理工作，副組長分管計算機網絡與信息安全管理工作。為確保網絡安全工作順利開展，要求全體干部充分認識網絡安全工作的重要性，認真學習網絡安全知識，按照網絡安全的各種規(guī)定，正確使用計算機網絡和各類信息系統(tǒng)。

二、計算機和網絡安全情況

中心分管領導牽頭，對中心計算機網絡與信息安全工作進行了安全排查，中心所有計算機均配備了防病毒軟件，采用了數據庫存儲備份、移動存儲設備管理、數據加密等安全防護措施，明確了網絡安全責任，強化了網絡安全工作。

切實抓好內網、外網和應用軟件管理，確保“涉密計算機不上網，上網計算機不涉密”，嚴格按照保密要求處理光盤、硬盤、移動硬盤等管理、維修和銷毀工作。重點抓好“三大安全”排查：一是加強對硬件安全的管理，包括防塵、防潮、防雷、防火、防盜和電源連接等。對機房可能存在的安全隱患，進行防雷電處理；二是加強網絡安全管理，對中心計算機實行分網管理，嚴格區(qū)分內網和外網，合理布線，優(yōu)化網絡結構，加強密碼管理、IP管理、互聯(lián)網行為管理等；三是加強計算機應用安全管理，包括郵件系統(tǒng)、資源庫管理、軟件管理等。

為進一步加強中心網絡安全，對部分計算機設備進行了升級，為主要計算機配備了UPS,每臺終端機都安裝了防病毒軟件，硬件的運行環(huán)境符合要求。今年更換了已經老化的服務器，目前服務器、交換機等網絡硬件設備運轉正常，各種計算機及輔助設備、軟件運轉正常。

三、計算機涉密信息管理情況

加強對涉密計算機的管理。對計算機外接設備、移動設備的管理，采取專人保管、涉密文件單獨存放，嚴禁攜帶存在涉密內容的移動介質到上網的計算機上加工、貯存、傳遞處理文件，形成了良好的安全保密環(huán)境。嚴格區(qū)分內網和外網，對涉密計算機實行了與國際互聯(lián)網及其他公共信息網物理隔離，落實保密措施，到目前為止，未發(fā)生一起計算機失密、泄密事故。其他非涉密計算機及網絡使用，也嚴格按照有關計算機網絡與信息安全管理規(guī)定，加強管理，確保了中心網絡信息安全。

四、嚴格管理，規(guī)范設備維護

篇（10）

（一）網絡安全組織管理情況

為妥善地完成網絡安全工作，消除網絡安全隱患，XXX主要由電子信息科負責網絡安全工作。嚴格按照上級部門要求，積極完善各項安全制度，保證了網絡安全持續(xù)穩(wěn)定運行。

XXX制定了網絡安全工作的各項信息管理制度，包括人員管理、機房管理、資產和設備管理、數據和信息安全管理、系統(tǒng)建設和運行維護管理等制度。

（二）技術防護情況

XXX辦公電腦均配備防病毒軟件，采取了強口令密碼、數據庫存儲備份、移動存儲設備管理、數據加密等安全防護措施，明確了網絡安全責任，強化了網絡安全工作。在日常工作中切實抓好內網、外網和應用軟件管理，確保“涉密計算機不上網，上網計算機不涉密”，嚴格按照保密要求處理光盤、硬盤、移動硬盤等管理、維護和銷毀工作。重點抓好“三大安全”排查：一是加強對硬件安全的管理，包括防塵、防潮、防雷、防火、防盜和電源連接等；二是加強網絡安全管理，對計算機實行分網管理，嚴格區(qū)分內網和外網，合理布線，優(yōu)化網絡結構，加強密碼管理、IP管理、互聯(lián)網行為管理等；三是加強計算機應用安全管理，包括郵件系統(tǒng)、資源庫管理、軟件管理等。

（三）應急工作情況

XXX嚴格按照《網絡安全法》，制定了網絡安全事件預案，定期進行系統(tǒng)備份，以提高突發(fā)事件發(fā)生時的應對能力。

（四）宣傳教育情況

為了保證網絡及各種設備安全有效地運行，減少病毒侵入，XXX定期組織工作人員學習有關網絡知識，確保工作人員學習到網絡安全防范技巧，提高計算機使用水平和對網絡信息安全的認識力度，確保網絡安全。

二、自查中發(fā)現(xiàn)的主要問題

一是計算機網絡方面的專業(yè)技術人員較少，網絡安全方面可投入的力量有限。

二是規(guī)章制度體系初步建立，可能還不夠完善，未能覆蓋到網絡和信息系統(tǒng)安全的所有方面。

篇（11）

1.引言

當今社會科技高速發(fā)展，信息技術應用逐漸廣泛，不少企事業(yè)、單位均在內部建立了大型的網路（計算機網絡），比如生產指揮系統(tǒng)，鐵路局域網，車站客戶購票系統(tǒng)等大型系統(tǒng)。隨著信息技術帶給人們極大的快捷、方便，網路信息技術的安全也就越來越重要。計算機網絡安全所指的是計算機網絡系統(tǒng)的軟硬件及數據受到的保護，不因為人為因素的影響而被破壞、更改，從而正常工作。此文針對探討的就是如何加強對內網安全的管理、維護，以及防范等問題。

2.企業(yè)內部計算機網絡（以下簡稱內網）的特點

2.1與外界網絡的隔離。

為了企業(yè)的生產、管理運行和工作，大多數企業(yè)都建立了內部網，比較獨立，因此，物理連接方面與外界計算機網絡聯(lián)系很少，與外界不進行溝通。為了滿足企業(yè)與外界的聯(lián)系，內網中個別客戶端計算機可能與外界聯(lián)系，但絕大多數用戶仍與外界隔絕。

2.2建立起S/C結構的應用。

內部網中普遍設立了大量的S/C結構，可以提供很多功能，如web服務、ftp服務、實時通訊、網上會議等功能。其中，一些企業(yè)安裝了專門使用的軟件，并且建立了專門數據庫，可以幫助企業(yè)制造大量的公文，并且進行流轉、處理，各種文件傳輸，也可以進行會議等。

2.3企業(yè)的日程運轉越來越依賴于內網。

由于ERP、CAD等辦公和生產系統(tǒng)的大量應用，企業(yè)的日常運轉對信息流通的依賴性越來越大，尤其是內部信息網絡。另外，內部網絡由于生產和辦公軟件系統(tǒng)的電子化、智能化，已經成為單位信息和指令傳輸的重要組成部分。

2.4對網絡安全提出了更高的要求。

大批量的終端、網絡設備和服務器共同組成了內部網絡，相互協(xié)調工作，成為嚴密的整體，因此，為了不使整個內部網絡發(fā)生不必要的意外，企業(yè)在任何一方面的安全問題都應當引起足夠的重視。這就要求內網中的各部分要有較高的穩(wěn)定性、可靠性和可控性，尤其是服務器和數據庫。

3.一般內網安全存在的問題

計算機的安全級別若從高到低來講，可以分為主機系統(tǒng)的應用服務安全、文件系統(tǒng)安全，系統(tǒng)服務安全，操作系統(tǒng)內核安全，主機系統(tǒng)的物理安全。由于了解了內部網絡的特征，我們可以很清楚地看出，內網安全存在著很明顯的問題，特別是技術和管理使用方面。

3.1內網管理、使用方面存在問題。

3.1.1網絡安全意識不強。

由于內網還未得到大面積普及，部分企業(yè)的內網組建比較倉促，導致一些管理、使用人員對計算機知識了解不清楚，對網絡的安全問題意識不夠，并且對信息資產保護的意識相對薄弱。因此，在每次計算機信息損壞，從而導致泄漏信息、文件遺失等安全問題。這些問題都會造成直接的經濟損失。

3.1.2內部人員使用不規(guī)范。

使用人員對計算機設備操作錯誤而產生的問題在內網中占絕大多數。譬如，操作人員在計算機還未完全關閉后就關閉UPS電源，還有些操作人員在不經常殺毒的前提下隨意在多臺計算機上使用U盤、活動硬盤拷貝文件，給電腦病毒以可乘之機。有的用戶在沒有確定軟件地安全性就隨意地安裝，還有的計算機用戶隨意地將自己的賬戶密碼告知別人，給計算機安全問題造成巨大隱患。

3.2科技角度存在的漏洞。

3.2.1操作系統(tǒng)不能及時進行升級完善。

沒有哪個操作系統(tǒng)是完美的，任何操作系統(tǒng)一定有自身的缺陷。正是這樣才給計算機病毒提供了溫床。原因在于內網系統(tǒng)是一個獨立的體系，因而操作系統(tǒng)得不到及時升級，從而無法保證內網的安全。同樣，在應用軟件方面也存在著不足。一般而言IIS的漏洞方式有：遠程溢出漏洞、配置錯誤漏洞、權限漏洞、解碼漏洞等，數據庫的漏洞形式注入式漏洞等。然而，有些編程人員卻忽略了安全這一重大問題，產生了操作系統(tǒng)的缺陷和漏洞，更有甚者，為了便利而故意設置軟件的漏洞。

3.2.2關注匱乏，信息安全無法顧及全面。

在部分企業(yè)管理人員的觀念中對信息安全的關注不夠，從而造缺乏對信息安全產品的投入。在部分企業(yè)中有放棄使用網絡版防火墻和防病毒軟件以單機版產品替代的，有的企業(yè)使用一套防病毒軟件安裝多臺計算機，甚至有的企業(yè)根本沒有使用任何防火墻和防病毒軟件。

4.預防方案

4.1敲響網絡安全的警鐘。

企業(yè)管理人員要培養(yǎng)網絡安全意識是穩(wěn)定企業(yè)內網信息安全的先決條件。要及時對其進行相應的網絡應用技術培訓，促使其專業(yè)技術水平提高，真正為企業(yè)消除在設備性能、信息安全方面的后顧之憂。對于因一線操作人員水平存在缺陷或因工作疏忽誤操作而造成的問題，技術人員應利用加密、屏幕保護加密、目錄加密、文件加密、網絡傳輸加密等專業(yè)技術來加以預防。

4.2加強有關規(guī)章完善，嚴格管理網絡使用。

加強網絡安全管理，提高有關規(guī)章制度完善程度，將有利于保障網絡安全、可靠運行。完善計算機操作使用流程制度、網絡操作規(guī)范制度、U盤、活動硬盤等信息介質的妥善管理規(guī)定、保密機和密鑰等密碼安全問責制度，同時建立健全計算機的維護制度和應急措施、預案，以保障網絡系統(tǒng)的安全等。為使計算機安全工作有章可循，責任到人的目的，可嘗試上網信息保密審批領導責任制等安全隱患問責制度，將計算機可能存在安全隱患的各個環(huán)節(jié)都能加以嚴格掌控。

4.3增強對計算機內部網絡的技術維護。

4.3.1對專業(yè)人才進行針對培養(yǎng)，加大計算機硬件的防護措施。

在制定生存發(fā)展戰(zhàn)略的同時，企業(yè)往往對專業(yè)人才的引進與培養(yǎng)傾注大量精力，而其中計算機專業(yè)的技術人員相對較為缺乏。為了推動企業(yè)發(fā)展，必須采取相應的針對措施。第一，加大對計算機專業(yè)技術人才的引進；第二，為了對計算機保持長期有效的維護，定期對內網技術專業(yè)人員進行集中技能培訓，提高其專業(yè)素質；第三，為保證內網設備的正常運行，應針對設備的使用環(huán)境、運行情況進行周期性檢查，及時更新和維護相應的配件。

4.3.2保持計算機操作系統(tǒng)的更新，修補減少編程堵塞漏洞。

第一，保證操作系統(tǒng)正常運行的首要條件就是定期對其進行更新和補漏，并且由于互聯(lián)網沒有與內網直通，更新與升級的任務需要靠維護人員手動完成。補丁管理軟件能夠針對這一情況減輕維護人員的工作量，每次只需在服務器上更新一次，相應所有客戶端便能夠自動更新，安全便捷。如微軟公司（Microsoft）的WSUS（Windows Server Update Services）補丁管理軟件等，在現(xiàn)如今內網服務器和終端較多的情況下，推薦使用這類軟件。第二，為最大限度地保證信息安全，類似系統(tǒng)中的WEB服務，數據庫讀、寫等由開發(fā)人員直接編程的專用程序應用，要求加大安全力度，盡量將程序編寫的嚴密，將涉及用戶名與口令的程序封在服務端，對于與數據庫連接的用戶名與口令應給予用戶最小的權限，營造一個安全的信息環(huán)境。

4.3.3運用防火墻、防病毒軟件等工具，定期對網絡進行監(jiān)測和檢查。

為營造安全訪問空間，阻擋木馬病毒的傳播與侵入，應在服務器、各終端邊界上建立起通信監(jiān)控系統(tǒng)，利用防火墻技術來進行實時檢查與隔離，從而提高內網的安全性。安裝網絡監(jiān)控軟件，能夠及時發(fā)現(xiàn)內網中存在的異常情況，并提供有效證據，為事后追查問題根源提供便捷。通過安裝網絡版防病毒軟件來加強病毒檢測，及時發(fā)現(xiàn)病毒并予以清殺，可有效阻止其在網絡上的蔓延和破壞。

5.結語

網絡安全是企業(yè)應該高度重視的一個綜合性課題，它既包括信息系統(tǒng)本身的安全，又有物理和邏輯的技術措施，涉及技術、管理、使用等許多方面。企業(yè)應針對不同方面的問題，開發(fā)新技術，加強對硬件和軟件的及時調整，研究維護網絡安全的完備方法，建立起完善的網絡安全管理體系，為保證企業(yè)信息系統(tǒng)的安全運行而積極防范。

參考文獻：

［1］謝希仁.計算機網絡(第6版)［M］.北京：電子工業(yè)出版社，2011.