企業網絡安全策略精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇企業網絡安全策略，期待它們能激發您的靈感。

篇1

【關鍵詞】企業網絡 信息安全 策略設計

一、企業網絡信息系統安全需求

（一）企業網絡信息安全威脅分析

大部分企業在網絡信息安全封面均有一些必要措施，因為網絡拓撲結構和網絡部署不是一成不變的，因此還會面臨一些安全威脅，總結如下：

（1）監控手段不足：企業員工有可能將沒有經過企業注冊的終端引入企業網絡，也有可能使用存在安全漏洞的軟件產品，對網絡安全造成威脅。

（2）數據明文傳輸：在企業網絡中，不少數據都未加密，以明文的方式傳輸，外界可以通過網絡監聽、掃描竊取到企業的保密信息或關鍵數據。

（3）訪問控制不足：企業信息系統由于對訪問控制重要性的忽視，加之成本因素，往往不配備認證服務器，各類網絡設備的口令也沒有進行權限的分組。

（4）網間隔離不足：企業內部網絡往往具有較為復雜的拓撲結構，下屬機構多，用戶數量多。但網絡隔離僅僅依靠交換機和路由器來實現，使企業受到安全威脅。

（二）企業網絡信息安全需求分析

企業信息系統中，不同的對象具備不同的安全需求：

（1）企業核心數據庫：必須能夠保證數據的可靠性和完整性，禁止沒有經過授權的用戶非法訪問，能夠避免各種攻擊帶來的數據安全風險。

（2）企業應用服務器：重要數據得到有效保護，禁止沒有經過授權的用戶非法訪問，能夠避免各種攻擊帶來的數據安全風險。

（3）企業web服務器：能夠有效避免非法用戶篡改數據，能夠及時發現并清除木馬及惡意代碼，禁止沒有經過授權的用戶非法訪問。

（4）企業郵件服務器：能夠識別并拒絕垃圾郵件，能夠及時發現并清除木馬及蠕蟲。

（5）企業用戶終端：防止惡意病毒的植入，防止非法連接，防止未被授權的訪問行為。

二、企業網絡安全策略設計與實現

企業網絡的信息安全策略是涵蓋多方面的，既有管理安全，也有技術安全，既有物理安全策略，也有網絡安全策略。結合上文的安全分析與安全需求，企業網絡應實現科學的安全管理模式，結合網絡設備功能的不同對整體網絡進行有效分區，可分為專網區、服務器區以及內網公共區，并部署入侵檢測系統與防火墻系統，對內部用戶威脅到網絡安全的行為進行阻斷。

在此基礎上，本文著重闡述企業信息系統的網絡層安全策略：

（一）企業信息系統網絡設備安全策略

隨著網絡安全形勢的日趨嚴峻，不斷有新的攻擊手段被發現，而這些手段的攻擊目標也已經從用戶終端、服務器厭延展至交換機、路由器等硬件設施。而交換機與路由器屬于網絡核心層的重點設備，如果這些設備退出服務，企業信息系統網絡安全便會面臨很大的威脅。由此本文給出以下的網絡設備安全策略。

最大化地關閉網絡交換機上的服務種類。尤其是不經常使用的服務更應關閉，舉例來講：交換機的鄰居發現服務CDP，其功能是辨認一個網絡端口連接到哪一個另外的網絡端口，鄰居發現服務鎖發出和接收的數據包很容易暴露用戶終端的屬性信息，包括交換機端口與用戶終端的IP信息，網絡交換機的型號與版本信息，本地虛擬局域網屬性等。因此，本文建議在不常使用此服務的情況下，應該關閉鄰居發現服務。另外，一些同樣不常使用的服務，包括交換機自舉服務、文件傳輸服務、簡單文件傳輸服務、網絡時間同步服務、查詢用戶情況服務、簡單網絡管理服務、源路徑路由服務、ARP服務等等。

企業信息系統的網管往往以Telnet協議實現對全網所有交換機、路由器的配置與管理。眾所周知，此協議使用的是明文傳輸模式，因此在信息安全方面不輸于非常可靠的協議。入侵者只要以抓包軟件便能夠輕易得知網管的登錄ID與密碼，以抓包軟件同樣能夠獲取網絡管理員發出、受到的全部數據。所以在網絡管理中，應引入安全性能更高的協議，本文推薦SSH（Secure Shell Client）協議。這種協議借助RSA生成安全性能極高的簽名證書，通過該證書，全部以SSH協議進行傳輸的數據包都被良好加密。此外VTP 的安全使用也是一個應該得到重視的問題，VTP應配置強口令。

（二）企業信息系統網絡端口安全策略

由于大部分企業網絡的終端均以網絡交換機在接入層連入網絡，而網絡交換機屬于工作在ISO第二層的設備，當前有不少以第二層為目標的非法攻擊行為，為網絡帶來了不容忽視的安全威脅。

二層網絡交換機使用的數據轉發方式是以CAM表為基礎的。在網絡交換機加點之后，首選會清空CAM 表，并立即啟動數據幀源地址學習，并將這些信息存入交換機CAM表中。這時候，加入非法入侵者通過偽造自身的MAC地址并不停地發出數據幀結構，便很容易導致網絡交換機CAM表溢出，服務失效。而此時便會導致該MAC的流量向交換機其他端口轉發，為非法入侵者提供網絡竊聽的機會，很容易造成攻擊風險。本文所推薦的策略是：網絡交換機的端口安全維護應隨時打開；在交換機配置中設置其學習MAC地址的最大數目為1；設置網絡交換機能夠存儲其學習到的全部MAC地址；一旦網絡交換機的安全保護被觸發，則丟棄全部MAC 地址的流量，發送告警信息。對網絡交換機進行以上的配置，一方面能夠防止基于交換機MAC地址的泛洪攻擊，另一方面也能對網絡內部的合法地址做好記錄。

在成功阻止未知MAC地址接入的基礎上，還應阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略，這是由于網絡交換機不必向所有端口廣播未知幀，因此可以對未知幀進行阻止，增強網絡交換機安全性。

（三）企業信息系統網絡BPDU防護策略

一般情況下，企業的內部網絡往往以網絡交換機作為網絡拓撲的支撐，因為考慮到交換機通道的溝通，加之系統冷、熱備份的出發點，在企業網絡中是存在第二層環路的，這就容易引發多個幀副本的出現，甚至引起基于第二層的數據包廣播風暴，為了避免此種情況的發生，企業網絡往往引入了STP協議。而這種協議的效果則取決于交換機共享的BPDU信息。這就為一些攻擊者提供了機會，通過假冒優先級低的BPDU數據包，攻擊者向二層網絡交換機發送。由于這種情況下入侵檢測系統與網絡防火墻均無法生效，就導致攻擊者能夠方便地獲取網絡信息。可以采用的防范措施為：在二層網絡交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口，使其對BPDU數據包不進行任何處理，加入收到此種類型的數據包，該端口將會自動設置為“服務停止”。在此基礎上，在根交換機上引入鏈路監控體系。一旦該交換機設備檢測到優先級更高的 BPDU數據包，則發出“失效”的消息，及時阻塞端口。

（四）企業信息系統網絡Spoof防護策略

在企業內部網絡中，往往有著大量的終端機，出于安全性與可靠性的考慮，這些終端機均以動態主機設置協議獲得自身的IP地址。這就為Spoof 攻擊留下了機會。在這種攻擊中，非法入侵者會將自身假冒動態主機設置協議服務器，同時向用戶主機發出假冒的動態IP配置數據包，導致用戶無法獲取真實IP，不能聯網。可以采用的防范措施為：引入動態主機設置協議Snooping 策略。在二層網絡交換機上安裝Snooping模塊并激活，系統便會把設備的全部可用端口設置為untrust 接口。這種接口能夠收到消息，并丟棄假冒的動態IP配置數據包，從而防止Spoof 攻擊帶來的風險。

考慮到地址解析協議在安全方面的防范性不足，加入非法入侵者不斷地發出ARP數據包，便容易導致全部用戶終端的ARP表退出服務，除去靜態綁定IP與MAC之外，本文推薦動態ARP監測策略。此種策略會將交換機全部端口設置為untrust狀態。此種狀態之下，端口將無法發出ARP的響應，因此，黨用戶主機染毒時，其發出的假冒ARP數據包將由于與列表不匹配而被丟棄，系統安全得到了保障。

三、結束語

企業信息系統亟需一個整體性的解決方案與安全策略。本研究在闡述企業整體信息安全威脅與需求的基礎上，總結了企業網絡常見的安全問題，結合這些問題進行了信息安全策略設計，并從網絡設備防護策略、端口安全策略、BPDU 防護策略、Spoof 攻擊防護策略四個方面對企業信息安全實現方法進行了闡述，設計了相關的安全策略。

參考文獻：

[1]劉念，張建華，段斌等.網絡環境下變電站自動化通信系統脆弱性評估，電力系統自動化，2012，（8）.

[2]王治綱，王曉剛，盧正鼎.多數據庫系統中基于角色的訪問控制策略研究.計算機工程與科學，2011，（2）.

[3]楊智君，田地，馬駿曉等.入侵檢測技術研究綜述.計算機工程與設計，2010，（12）.

[4]戚宇林，劉文穎，楊以涵等.電力信息的網絡化傳輸是電力系統安全的重要保證.電網技術，2009，（9）.

篇2

0 引言

目前，隨著我國信息化的快速發展，中小企業越來越重視計算機的使用。一直以來，網絡安全問題都是最值得關注的問題，尤其是對于企業的發展來說，很多機密資料都放在了網絡中，如果不對網絡安全加以管理，那么就會透漏很多企業自身的機密信息，嚴重的會使得企業面臨倒閉的風險。但是，從目前我國中小企業網絡安全發展的現狀來看，依然存在很多的問題，影響網絡安全的因素也很多，因此，企業為了能夠長久穩定的發展下去，就必須重視網絡安全問題，采取行之有效的策略，加強網絡安全意識與管理制度，組建合理的企業內網，從而保證企業的經濟不受損失。

1 中小企業網絡安全現狀

現如今，隨著我國計算機網絡技術的不斷發展，中小企業都在廣泛使用計算機網絡信息技術，但是，在企業享受網絡帶來的數據共享、異地間數據傳輸等便捷時，也在面臨網絡完全問題的威脅。如果企業不加重視網絡安全管理問題，那么就會給企業帶來很大的安全隱患。從目前我國中小企業發展的現狀來看，網絡安全還存在很多問題。

首先，技術力量有效。很多中小企業都注重交換機、防火墻等網絡設備，因此把大量的資金都放在了投資網絡設備上面，但是，對于設備的后期維護工作缺少過多的重視，也沒有相關的技術工作人員加以維護，一般都是聘用兼職人員來維護后期網絡，因此，使得企業存在很大的安全隱患。其次，缺乏網絡安全管理意識。部門中小企業都沒有成立專門的網絡安全管理部門，相關領導缺乏對網絡安全管理的意識，但是黑客程度的攻擊具有隱蔽性、無特定性等特點，從而使得中小企業很容易受到侵襲。最后，缺乏專業的網絡安全管理水平。在我國大型企業中，一般都有專業的網絡安全管理技術人員，但是，對于中小企業來說，由于資金有限，他們都不會聘用具有專業知識的網絡安全管理人員，一旦網絡出現安全問題，不能在短時間內全面解決安全問題，最終使得數據在網絡環境中使用和傳輸都可能被破壞、篡改或泄露。

2 影響中小企業網絡安全的因素

2.1 病毒的侵襲

在中小企業網絡安全中，病毒入侵是其中非常重要的一個因素。我們都知道，病毒的危害性特別大，能夠嚴重破壞計算機功能或者計算機數據，同時，病毒也都是把自己附著在合法的可執行文件上，因此，不容易被企業發現。病毒的特點非常多，比如破壞性、自我復制性、傳染性等。但是，病毒不是天然存在的，是當某人在使用計算機時，由于計算機自身軟件的脆弱性編制而產生的一組指令集或程序代碼。由于病毒能夠自我復制，因此，一旦某計算機的某個軟件遭遇了病毒入侵，那么就會使得某個局域網或者一臺機器都有病毒，在病毒入侵的過程中，如果不及時加以制止，那么病毒就會一直繁殖下去，后果將不堪設想，從而就會導致整個系統都癱瘓。

2.2 黑客的非法闖入

眾所周知，網絡具有開放性，因此，決定了網絡的多樣性和復雜性。在網絡管理中，黑客的非法闖入也是常見的一種網絡安全影響因素，如果中小企業遭遇了黑客的非法闖入，那么就會使得整個企業網絡都面臨很大的安全隱患。隨著我國科學技術的不斷發展，計算機技術也在迅猛發展，同時各式各樣的黑客也在緊跟科技腳步，非法闖入行為屢見不鮮。黑客攻擊行為主要分為兩種，即破壞性攻擊和非破壞性攻擊。其中破壞性攻擊主要目的就是侵入他人電腦系統、破壞目標系統的數據和盜竊系統保密信息；而非破壞性攻擊主要是為了擾亂系統的運行，并不盜竊系統資料。據相關調查顯示，黑客攻擊行為越來越猖獗，組織越來越龐大，如果不加以制止，那么就會在很大程度上阻礙企業的發展。

3 中小企業網絡安全策略

3.1 加強網絡安全意識與管理制度

對于中小企業來說，加強網絡安全意識與管理制度屬于網絡安全管理中的一項重要策略。由于受到傳統思想的束縛，很多中小企業都把大量資金投入到生產中，忽視網絡安全的重要性。在企業的網絡安全管理中，很多網絡管理人員都缺乏相應的專業知識，缺乏安全防范意識，從而導致了企業信息資源經常發生泄漏現象。因此，中小企業應該加強網絡安全意識與管理制度，定期對相關工作人員進行安全知識的培訓，防止因為疏忽而發生信息資源泄漏，幫助員工熟練掌握網絡安全管理技能，讓他們充分認識到網絡安全管理的重要性。與此同時，有條件的企業還可以聘用國外發達國家的相關網絡安全專家，幫助企業內部工作人員增長豐富的實踐經驗，做到未雨綢繆，維護網絡信息的保密性和完整性，保證企業的經濟利益不受損失，從而促進企業的長久穩定發展。

3.2 組建合理的企業內網

在網絡管理中，企業內部網絡的安全是其中的首要任務，只有保證了企業內部網絡的安全，才能有效開展企業內部信息的安全傳遞，因此，企業要組建合理的企業內網。企業內網的主要目的就是要合理保證網絡安全，根據企業自身發展情況和信息安全級別，從而對企業網絡進行隔離和分段。同時，企業內網的核心是要對網絡拓撲結構進行科學合理的設計，從而保證企業內網的安全穩定性。其中針對網絡分段來說，主要包括兩種方式，即物理分段和邏輯分段。網絡分段的優勢也很多，一般情況下各網段相互之間是無法進行直接通信的，因此，對網絡進行分段，能夠實現各網絡分段訪問間的單獨訪問控制，從而避免非法用戶的入侵。比如，把網絡分成多個IP子網，各個網絡間主要通過防火墻或者路由器連接，通過這些設備來達到控制各子網間的訪問目的。由此可見，企業組建合理的企業內網是保證網絡安全的一項重要策略。

3.3 合理設置加密方式及權限

在中小企業的發展中，數據安全非常重要，它能夠直接影響企業的信息、資源和機密數據的安全性和穩定性，因此，企業在網絡安全管理中，一定要充分認識到數據安全的重要性。企業可以采用數據加密技術，這主要是因為數據加密可以保護企業內部的數據信息不被侵犯，從而保證企業內部數據信息的完整性。從目前我國企業的發展來看，主要采用的加碼技術有兩種：對稱加密技術和非對稱加密技術。通俗來說，數據加密技術就是對內部信息數據進行重新編碼，防止機密數據被黑客破譯。由此可見，企業應該合理設置加密方式及權限，從而保證企業內部信息數據的安全性和完整性。

3.4 使用防火墻及殺毒軟件實時監控

中小企業要想保護內部網絡信息的安全，還有一個重要的措施就是使用防火墻及殺毒軟件實時監控。防火墻主要是起到一個門衛的作用，是保證網絡安全的第一道防線。防火墻可以限制每個IP的流量和連接數，如果得不到防火墻的“許可”，外部數據是不可能進入企業內部系統的。與此同時，防火墻還有監視作用，通過防火墻能夠了解入侵數據的有效信息，并且檢查所處理的每個消息的源。因此，中小企業為了阻止病毒的入侵，就要使用防火墻，并安裝網絡版防病毒軟件，從而避免病毒的有效入侵和擴散，最終保證企業內部網絡的安全性和穩定性。

篇3

關鍵詞:企業網絡完全;控制策略;措施

中圖分類號:TP393.18 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0067-01

計算機網絡的發展,給人們的生活和工作都帶來非常大的幫助,有效提升了工作效率,促進了企業的發展速度,促進了我國社會經濟的快速發展。但是,由于計算機網絡的公開性和自由性,造成了網絡安全問題也日漸嚴重,大量木馬及病毒的泛濫,給企業帶來了非常大的經濟損失,造成了嚴重的社會影響。因此,加強安全問題的處理工作,成為人們亟待需要解決的問題。

一、網絡安全問題的原因分析

網絡安全問題的出現,主要是由于企業網絡管理意識淡薄,網絡管理工作不到位,從而導致病毒木馬程序的侵入,從而給企業帶來較為嚴重的經濟損失。隨著我國社會經濟的快速發展,以及網絡技術的不斷完善,企業的發展越來越離不開網絡技術的推動,因此,網絡風險和安全問題也成為了阻礙企業發展的重要問題之一。

(一)企業網絡管理意識的淡薄

對于企業來說,網絡技術已經成為了企業發展的保障,也是企業發展必不可少的重要手段,但是,就我國多數企業來說,并不重視網絡管理工作,只強調網絡技術的應用,卻缺乏良好的管理手段,最終造成了網絡安全問題的發生。目前,網絡技術已經涉及到企業的各個運作環節,從技術管理、技術監督、電子商務、檔案管理以及財務管理工作,都需要由網絡技術進行配合,自動化的辦公條件使得企業對網絡技術的依賴性也越來越高。但是,企業僅僅重視對網絡技術的使用,卻步重視對網絡技術的管理,網絡安全管理資金的缺乏,導致網絡安全防御系統不完善,網絡抵抗能力不足,使得網絡安全問題發生頻率大大增加,使企業蒙受重大經濟損失。

(二)網絡技術人員的能力問題

網絡技術人員是維持企業網絡正常運行的重要因素,如果網絡技術人員個人能力素質存在一定的問題,將嚴重影響到企業網絡管理工作的正常開展,導致網絡安全防御工作的嚴重缺失。就目前我國企業網絡管理人員來說,由于企業對網絡管理工作的不重視,導致網絡管理人員的薪資待遇較低,網絡管理人員的工作積極性不足,網絡管理人員的個人能力素質也有著非常大的不足,使得網絡安全監督力度不夠,網絡安全防御系統脆弱,在面對病毒及木馬程序入侵時很難開展有效的補救措施,從而造成嚴重的后果。

(三)其他問題

隨著我國社會經濟的不斷發展,行業間的競爭也日漸激烈,部分企業為實現自身經濟效益的不斷增長,往往會采用較為惡劣的競爭手段,對競爭企業進行攻擊,其中,企業網絡攻擊就是較為常用的打擊手段。企業往往雇傭網絡黑客對競爭對手進行網絡攻擊,利用木馬和病毒程序進行網絡入侵,對企業內部的相關數據進行竊取、復制或刪除,導致競爭對手蒙受重大經濟損失。由于企業缺乏網絡安全管理工作,造成企業網絡安全性能的大大降低,使得網絡黑客有機可乘,給企業發展造成嚴重影響。

二、提升企業網絡安全的相關措施

未來企業發展需要網絡技術的支持,未來企業經濟取決于企業網絡技術的發展,因此,我們有必要加強企業網絡管理建設,提高網絡安全性能,提升企業網絡安全防御能力,避免網絡安全問題的發生,降低企業的網絡運行風險。以下,是筆者結合多年管理經驗所提出的幾點提升企業網絡安全管理水平的相關措施:

(一)規范企業網絡行為

企業網絡環境的入侵,主要是由于相關網絡技術操作不當所引起的,因此,合理的規范網絡行為,能夠有效避免病毒和木馬程序對企業網絡的入侵,有效降低企業網絡安全問題發生的頻率。網絡行為規范包括了網絡設備的維護,網絡數據保護以及網絡操作的約束,要約束企業員工的網頁操作,杜絕員工對陌生網頁和危險網頁的瀏覽,避免木馬文件和病毒文件的感染,這一問題能夠通過添加網絡安全軟件來進行有效控制,避免相關網頁的瀏覽及開啟,提升企業網絡的安全性能;網絡設備維護就是企業網絡管理人員要對企業網絡進行定期的檢查和維護,針對網絡漏洞進行及時的修復,提升網絡安全性,從而杜絕病毒文件的侵入;網絡數據保護,就是對企業重要網絡文件進行加密工作,做好企業網絡防火墻監督和設置,確保良好的網絡運行環境,增高企業安全性能。

(二)加強網絡管理人才的引入

良好的網絡環境,需要網絡管理人才的支持。首先,企業要正確認識網絡安全問題對企業的影響,網絡安全管理工作的重要性,從而加強網絡安全管理力度,適當提升網絡管理人員崗位薪資待遇,提升網絡管理人員的工作積極性。同時,企業要加強對網絡管理人才的引入工作,提升網絡管理團隊的整體業務能力,有效保證企業網絡的安全性能;企業要加強網絡管理人才的培訓力度,幫助網絡管理人員及時了解網絡發展動向,了解相關網絡病毒和網絡木馬,并及時掌握有效的預防措施,提高企業網絡安全性能,有效避免企業經濟方面的損失。

三、總結

企業網絡安全管理工作對于企業的發展具有非常重要的意義,能夠有效減少企業網絡運行風險,避免企業相關重要文件的流失,促進企業網絡環境的有效建立。因此,企業應該加強網絡安全管理工作,積極進行網絡安全管理隊伍建設,提高網絡管理人員的整體工作能力,避免網絡安全問題的發生,避免網絡問題對企業經濟效益的影響,促進企業健康穩定的發展。

參考文獻:

[1]周朝萱.企業網絡安全管理與防護策略探討[J].電腦與電信,2008,8

篇4

[關鍵詞]企業網絡；信息安全；病毒

doi：10.3969/j.issn.1673 - 0194.2015.16.052

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2015）16-00-01

隨著計算機及通信技術的進一步發展，大部分企業都加強信息化網絡建設，油田企業也不例外。安全是影響企業網絡正常運行的關鍵。因此，油田企業要根據企業發展現狀，對加強企業網絡安全提出針對性建議。

1 油田企業網絡安全現狀

1.1 企業信息安全管理的隱患

信息安全管理涉及油田生產、數據保存、辦公區域保護等多個層面，在信息化時代，油田企業需要加強信息化網絡安全管理。現階段，油田企業信息安全管理的漏洞包括：①信息安全管理制度不健全，缺乏細化、具體化的網絡安全措施，針對員工不合理使用信息設備、網絡的懲罰機制不健全。②部分管理人員和員工信息素養較低，如他們不能全面掌握部分軟件的功能，不重視企業網絡使用規范，且存在隨意訪問網站，隨意下載文件的現象，增加企業網絡負擔，影響網絡安全。③信息系統管理員缺乏嚴格的管理理念。石油企業信息網絡系統都設有管理員崗位，負責企業內部網絡軟硬件的配備與管理，但現階段，該職位員工缺乏嚴格的管理理念，不能及時發現和解決信息安全隱患。④為方便員工使用移動終端設備辦公上網，石油企業辦公區域也設置了無線路由器。但是，員工自身的手機等設備存在很多不安全因素，會影響企業網絡安全性。

1.2 病毒入侵與軟件漏洞

網絡病毒入侵通常是通過訪問網站、下載文件和使用等途徑傳播，員工如果訪問不法鏈接或下載來源不明的文件，可能會導致病毒入侵，危害信息安全。病毒入侵的原因主要有兩方面，一方面，員工的不良行為帶來病毒；另一方面，系統自身的漏洞導致病毒入侵。由此看來，油田企業信息化軟件自身存在的漏洞也具有安全隱患。其中，主要包括基礎軟件操作系統，也包括基于操作系統運行的應用軟件，如Office辦公軟件、CAD制圖軟件、社交軟件、油田監控信息系統、油田企業內部郵箱、財務管理軟件、人事管理軟件等。

1.3 網絡設備的安全隱患

現階段，油田企業網絡設備也存在不安全因素，主要表現在兩方面：第一，油田企業無論是辦公區還是作業區，環境都較為惡劣，部分重要企業信息網絡設備放置環境的溫度、濕度不合理，嚴重影響硬件的使用壽命和性能，存在信息數據丟失的危險；第二，企業內部網絡的一些關鍵環節尚未引入備份機制，如服務器硬盤，若單個硬盤損壞缺乏備份機制，會導致數據永久性丟失。

2 提高油田企業網絡安全策略

2.1 加強信息安全管理

基于現階段油田企業信息網絡安全管理現狀，首先，油田企業要重新制定管理機制，對各個安全隱患進行具體化、細化規范，包括員工對信息應用的日常操作規范，禁止訪問不明網站和打開不明鏈接。其次，油田企業要強化執行力，摒除企業管理弊端，對違規操作的個人進行嚴厲處罰，使員工意識到信息安全的重要性，提高其防范意識和能力。再次，油田企業要招聘能力強、素質高的信息系統管理員，使其能及時發現和整改系統安全隱患。最后，對員工使用智能終端上網的現象，則建議辦公區配備無線路由器的寬帶與企業信息網絡要完全隔離，以避免對其產生負面影響。

2.2 加強對軟件安全隱患和病毒的防范

（1）利用好防火墻防范技術。現階段，油田企業的網絡建設雖然引入防火墻設備，但沒有合理利用。因此，油田企業要全面監管和控制外部數據，防止不法攻擊，防止病毒入侵。同時，定期更新防火墻安全策略。

（2）對企業數據進行有效加密與備份。對油田企業來說，大部分數據具有保密性，不可對外泄密。因此，企業不僅要做好內部權限管理，還應要求掌握關鍵數據的員工對數據做好加密和備份工作。在傳輸和保存中利用加密工具進行加密，數據的保存則需要通過物理硬盤等工具進行備份。有條件的企業，可在不同地區進行備份，以防止不可抗拒外力作用下的數據丟失。

（3）合理使用殺毒軟件。企業要對內部計算機和移動終端安裝殺毒軟件，并高效運行，以加強對病毒的防范。

2.3 提升網絡設備安全

（1）由于油田企業內部信息網絡規模較大，設備較多且部署復雜。因此，要及時解決硬件面臨的問題，定期檢查維修，提高硬件設備安全性。定期檢修能準確掌握網絡設備的運行狀況，并能及時發現潛在隱患。

（2）對處于惡劣環境中的網絡設備，包括防火墻、服務器、交換機、路由器等，盡量為其提供獨立封閉的空間，以確保溫濕度合理。

3 結 語

信息網絡安全管理是油田企業管理的關鍵。因此，油田企業要完善信息網絡操作安全管理制度，保證軟件系統、硬件設備安全運行。

主要參考文獻

篇5

關鍵詞:信息;網絡安全;管理策略

中圖分類號:F270文獻標志碼:A文章編號:1673-291X(2010)30-0015-02

隨著企業信息網絡建設與不斷的發展,信息化已成為企業發展的大趨勢,信息網絡安全就顯得尤為重要。由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此,網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性。

一、信息網絡的安全管理系統的建立

信息網絡安全管理系統的建立,是實現對信息網絡安全的整體管理。它將使安全管理與安全策略變得可視化、具體化、可操作,在將與整體安全有關的各項安全技術和產品組合為一個規范的、整體的、集中的安全平臺上的同時,使技術因素、策略因素以及人員因素能夠更加緊密地結合在一起,從而提高用戶在安全領域的整體安全效益。下面對信息網絡安全管理系統技術需求和功能要求進行分析。

(一)技術分析

1.在信息網絡安全管理系統的設計上,應該用到以下技術:安全綜合管理系統體系結構構造理論和技術;安全部件之間的聯動技術;安全部件互動協議與接口技術;網絡拓撲結構自動發掘技術;網絡數據的相關性分析和統計分析算法;網絡事件的多維描述技術。

2.信息網絡安全管理系統應具有安全保密第一:安全保密與系統性能是相互矛盾的,彼此相互影響、相互制約,在這種情況下,系統遵循安全與保密第一的原則,信息網絡安全管理系統在設計、實施、運行、管理、維護過程中,應始終把系統的安全與保密放在首要的位置。在信息網絡安全管理系統設計,尤其在身份認證、信任管理和授權管理方面,應采用先進的加密技術,實現全方位的信任和授權管理。因此,對信息安全管理系統而言,針對單個系統的全部管理并非是本系統的重點,而應該投入更多的力量在于:集中式、全方位、可視化的體現;獨立安全設備管理中不完善或未實現的部分;獨立安全設備的數據、響應、策略的集中處理。

(二)功能分析

1.分級管理與全網統一的管理機制:網絡安全是分區域和時段的,實施分級與統一的管理機制可以對全網進行有效的管理,不僅體現區域管理的靈活性,還表現在抵御潛在網絡威脅的有效性,管理中心可以根據自己網絡的實際情況配置自己的策略,將每日的安全事件報告給上一級,由上一級進行統一分析。上一級可以對全網實施有效的控制,比如采用基于web的電子政務的形式,要求下一級管理中心更改策略、打補丁、安全產品升級等。

2.安全設備的網絡自動拓撲:系統能夠自動找出正確的網絡結構,并以圖形方式顯示出來,給用戶管理網絡提供極大的幫助。這方面的內容包括:自動搜索用戶關心的安全設備;網絡中安全設備之間的拓撲關系;根據網絡拓撲關系自動生成拓撲圖;能夠反映當前安全設備以及網絡狀態的界面。

3.安全設備實時狀態監測:安全設備如果發生故障而又沒有及時發現,可能會造成很大的損失。所以必須不間斷地監測安全設備的工作狀況。如某一設備不能正常工作,則在安全設備拓撲圖上應能直觀的反映出來。實時狀態監測的特點是:(1)高度兼容性:由于各種安全設備的差別很大,實時狀態監測具有高度兼容性,支持各種常用協議,能夠最大程度地支持現有的各種安全設備。(2)智能化:狀態監測有一定的智能化,對安全設備的運行狀態提前作出預測,做到防患于未然。(3)易用性:實時狀態監測不是把各種設備的差別處理轉移給用戶,而是能夠提供易用的方式幫助用戶管理設備。

4.高效而全面的反應報警機制:報警形式多樣:如響鈴、郵件、短消息、電話通知等。基于用戶和等級的報警:可以根據安全的等級,負責處理問題的用戶,做出不同方式、針對不同對象的報警響應。

5.安全設備日志統計分析:可以根據用戶需求生成一段時間內網絡設備與安全設備各種數據的統計報表。

二、信息網絡的安全策略

企業信息網絡面臨安全的威脅來自:(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎等都會對網絡安全帶來威脅。(2)人為的惡意攻擊:這是計算機網絡所面臨的最大威脅,造成極大的危害,并導致機密數據的泄漏。(3)網絡軟件的漏洞:網絡軟件不可能是百分之百的無缺陷和無漏洞的,這些是因為安全措施不完善所招致。

(一)物理安全策略

物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受破壞和攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室。

(二)訪問控制策略

訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。訪問控制可以說是保證網絡安全最重要的核心策略之一。

1.入網訪問控制:入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源。用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。

2.權限控制:網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。可以根據訪問權限將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作權限。

(三)目錄級控制策略

網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種:系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限、存取控制權限。

三、網絡安全管理策略

在網絡安全中,除了采用技術措施之外,加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。網絡的安全管理策略包括:確定安全管理等級和安全管理范圍;制定有關網絡操作;使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。