序言：寫作是分享個人見解和探索未知領域的橋梁，我們?yōu)槟x了8篇的企業(yè)網絡安全評估樣本，期待這些樣本能夠為您提供豐富的參考和啟發(fā)，請盡情閱讀。

第1篇

關鍵詞：中小型企業(yè)；信息網絡安全；網絡安全架構

Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.

Keywords: small and medium-sized enterprises; network security; network security architecture

中圖分類號：TN915.08文獻標識碼：A文章編號：2095-2104（2013）

1、中小型企業(yè)網絡安全問題的研究背景

隨著企業(yè)信息化的推廣和計算機網絡的成熟和擴大，企業(yè)的發(fā)展越來越離不開網絡，而伴隨著企業(yè)對網絡的依賴性與日俱增，企業(yè)網絡的安全性問題越來越嚴重，大量的入侵、蠕蟲、木馬、后門、拒絕服務、垃圾郵件、系統(tǒng)漏洞、間諜軟件等花樣繁多的安全隱患開始一一呈現(xiàn)在企業(yè)面前。近些年來頻繁出現(xiàn)在媒體報道中的網絡安全案例無疑是為我們敲響了警鐘，在信息網絡越來越發(fā)達的今天，企業(yè)要發(fā)展就必須重視自身網絡的安全問題。網絡安全不僅關系到企業(yè)的發(fā)展，甚至關乎到了企業(yè)的存亡。

2 、中小型企業(yè)網絡安全的主要問題

2.1什么是網絡安全

網絡安全的一個通用定義：網絡安全是指網絡系統(tǒng)中的軟、硬件設施及其系統(tǒng)中的數(shù)據受到保護，不會由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統(tǒng)能夠連續(xù)、可靠地正常運行，網絡服務不被中斷。網絡安全從本質上說就是網絡上的信息安全。廣義地說，凡是涉及網絡上信息的保密性、完整性、可用性、真實性（抗抵賴性）和可控性的相關技術和理論，都是網絡安全主要研究的領域。

2.2網絡安全架構的基本功能

網絡信息的保密性、完整性、可用性、真實性（抗抵賴性）和可控性又被稱為網絡安全目標，對于任何一個企業(yè)網絡來講，都應該實現(xiàn)這五個網絡安全基本目標，這就需要企業(yè)的網絡應用架構具備防御、監(jiān)測、應急、恢復等基本功能。

2.3中小型企業(yè)的主要網絡安全問題

中小型企業(yè)主要的網絡安全問題主要體現(xiàn)在3個方面.

1、木馬和病毒

計算機木馬和病毒是最常見的一類安全問題。木馬和病毒會嚴重破壞企業(yè)業(yè)務的連續(xù)性和有效性，某些木馬和病毒甚至能在片刻之間感染整個辦公場所從而導致企業(yè)業(yè)務徹底癱瘓。與此同時，公司員工也可能通過訪問惡意網站、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式，在不經意間將病毒和木馬帶入企業(yè)網絡并進行傳播，進而給企業(yè)造成巨大的經濟損失。由此可見，網絡安全系統(tǒng)必須能夠在網絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。這里提到的每一點，包括網絡的邊界位置以及內部網絡環(huán)境。

2、信息竊取

信息竊取是企業(yè)面臨的一個重大問題，也可以說是企業(yè)最急需解決的問題。網絡黑客通過入侵企業(yè)網絡盜取企業(yè)信息和企業(yè)的客戶信息而牟利。解決這一問題，僅僅靠在網絡邊緣位置加強防范還遠遠不夠，因為黑客可能會伙同公司內部人員（如員工或承包商）一起作案。信息竊取會對中小型企業(yè)的發(fā)展造成嚴重影響，它不僅會破壞中小型企業(yè)賴以生存的企業(yè)商譽和客戶關系。還會令企業(yè)陷入面臨負面報道、政府罰金和法律訴訟等問題的困境。

3、業(yè)務有效性

計算機木馬和病毒并不是威脅業(yè)務有效性的唯一因素。隨著企業(yè)發(fā)展與網絡越來越密不可分，網絡開始以破壞公司網站和電子商務運行為威脅條件，對企業(yè)進行敲詐勒索。其中，以DoS(拒絕服務)攻擊為代表的網絡攻擊占用企業(yè)網絡的大量帶寬，使其無法正常處理用戶的服務請求。而這一現(xiàn)象的結果是災難性的：數(shù)據和訂單丟失，客戶請求被拒絕……同時，當被攻擊的消息公之于眾后，企業(yè)的聲譽也會隨之受到影響。

3如何打造安全的中小型企業(yè)網絡架構

通過對中小型企業(yè)網絡存在的安全問題的分析，同時考慮到中小型企業(yè)資金有限的情況，我認為打造一個安全的中小型企業(yè)網絡架構應遵循以下的過程：首先要建立企業(yè)自己的網絡安全策略；其次根據企業(yè)現(xiàn)有網絡環(huán)境對企業(yè)可能存在的網絡隱患進行網絡安全風險評估，確定企業(yè)需要保護的重點；最后選擇合適的設備。

3.1建立網絡安全策略

一個企業(yè)的網絡絕不能簡簡單單的就定義為安全或者是不安全，每個企業(yè)在建立網絡安全體系的第一步應該是定義安全策略，該策略不會去指導如何獲得安全，而是將企業(yè)需要的應用清單羅列出來，再針對不同的信息級別給予安全等級定義。針對不同的信息安全級別和信息流的走向來給予不同的安全策略，企業(yè)需要制定合理的安全策略及安全方案來確保網絡系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。對關鍵數(shù)據的防護要采取包括“進不來、出不去、讀不懂、改不了、走不脫”的五不原則。

“五不原則”：

1.“進不來”——可用性： 授權實體有權訪問數(shù)據，讓非法的用戶不能夠進入企業(yè)網。

2.“出不去”——可控性： 控制授權范圍內的信息流向及操作方式，讓企業(yè)網內的商業(yè)機密不被泄密。

3.“讀不懂”——機密性： 信息不暴露給未授權實體或進程，讓未被授權的人拿到信息也看不懂。

4.“改不了”——完整性： 保證數(shù)據不被未授權修改。

5.“走不脫”——可審查性：對出現(xiàn)的安全問題提供依據與手段。

在“五不原則”的基礎上，再針對企業(yè)網絡內的不同環(huán)節(jié)采取不同的策略。

3.2 信息安全等級劃分

根據我國《信息安全等級保護管理辦法》，我國所有的企業(yè)都必須對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。具體劃分情況如下：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。

因此，中小型企業(yè)在構建企業(yè)信息網絡安全架構之前，都應該根據《信息安全等級保護管理辦法》，經由相關部門確定企業(yè)的信息安全等級，并依據界定的企業(yè)信息安全等級對企業(yè)可能存在的網絡安全問題進行網絡安全風險評估。

3.3 網絡安全風險評估

根據國家信息安全保護管理辦法,網絡安全風險是指由于網絡系統(tǒng)所存在的脆弱性，因人為或自然的威脅導致安全事件發(fā)生所造成的可能性影響。網絡安全風險評估就是指依據有關信息安全技術和管理標準，對網絡系統(tǒng)的保密性、完整想、可控性和可用性等安全屬性進行科學評價的過程。

網絡安全風險評估對企業(yè)的網絡安全意義重大。首先，網絡安全風險評估是網絡安全的基礎工作，它有利于網絡安全的規(guī)劃和設計以及明確網絡安全的保障需求；另外，網絡安全風險評估有利于網絡的安全防護，使得企業(yè)能夠對自己的網絡做到突出防護重點，分級保護。

3.4確定企業(yè)需要保護的重點

針對不同的企業(yè)，其需要保護的網絡設備和節(jié)點是不同的。但是企業(yè)信息網絡中需要保護的重點在大體上是相同的，我認為主要包括以下幾點：

1.要著重保護服務器、存儲的安全，較輕保護單機安全。

企業(yè)的運作中，信息是靈魂，一般來說，大量有用的信息都保存在服務器或者存儲設備上。在實際工作中，企業(yè)應該要求員工把相關的資料存儲在企業(yè)服務器中。企業(yè)可以對服務器采取統(tǒng)一的安全策略，如果管理策略定義的好的話，在服務器上文件的安全性比單機上要高的多。所以在安全管理中，企業(yè)應該把管理的重心放到這些服務器中，要采用一切必要的措施，讓員工把信息存儲在文件服務器上。在投資上也應著重考慮企業(yè)服務器的防護。

2.邊界防護是重點。

當然著重保護服務器、存儲設備的安全并不是說整體的防護并不需要，相反的邊界防護是網絡防護的重點。網絡邊界是企業(yè)網絡與其他網絡的分界線，對網絡邊界進行安全防護，首先必須明確到底哪些網絡邊界需要防護，這可以通過網絡安全風險評估來確定。網絡邊界是一個網絡的重要組成部分，負責對網絡流量進行最初及最后的過濾，對一些公共服務器區(qū)進行保護，VPN技術也是在網絡邊界設備建立和終結的，因此邊界安全的有效部署對整網安全意義重大。

3.“”保護。

企業(yè)還要注意到，對于某些極其重要的部門，要將其劃為，例如一些研發(fā)部門。類似的部門一旦發(fā)生網絡安全事件，往往很難估量損失。在這些區(qū)域可以采用虛擬局域網技術或者干脆做到物理隔離。

4.終端計算機的防護。

最后作者還是要提到終端計算機的防護，雖然對比服務器、存儲和邊界防護，終端計算機的安全級別相對較低，但最基本的病毒防護，和策略審計是必不可少的。

3.5選擇合適的網絡安全設備

企業(yè)應該根據自身的需求和實際情況選擇適合的網絡安全設備，并不是越貴越好，或者是越先進越好。在這里作者重點介紹一下邊界防護產品——防火墻的性能參數(shù)的實際應用。

作為網絡安全重要的一環(huán)，防火墻是在任何整體網絡安全建設中都是不能缺少的主角之一，并且?guī)缀跛械木W絡安全公司都會推出自己品牌的防火墻。在防火墻的參數(shù)中，最?？吹降氖遣l(fā)連接數(shù)、網絡吞吐量兩個指標.

并發(fā)連接數(shù)：是指防火墻或服務器對其業(yè)務信息流的處理能力，是防火墻能夠同時處理的點對點連接的最大數(shù)目，它反映出防火墻設備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力，這個參數(shù)的大小直接影響到防火墻所能支持的最大信息點數(shù)。由于計算機用戶訪問頁面中有可能包含較多的其他頁面的連接，按每個臺計算機發(fā)生20個并發(fā)連接數(shù)計算（很多文章中提到一個經驗數(shù)據是15，但這個數(shù)值在集中辦公的地方往往會出現(xiàn)不足），假設企業(yè)中的計算機用戶為500人，這個企業(yè)需要的防火墻的并發(fā)連接數(shù)是：20*500*3/4=7500，也就是說在其他指標符合的情況下，購買一臺并發(fā)連接數(shù)在10000~15000之間的防火墻就已經足夠了，如果再規(guī)范了終端用戶的瀏覽限制，甚至可以更低。

網絡吞吐量：是指在沒有幀丟失的情況下，設備能夠接受的最大速率。隨著Internet的日益普及，內部網用戶訪問Internet的需求在不斷增加，一些企業(yè)也需要對外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS域名解析等服務，這些因素會導致網絡流量的急劇增加，而防火墻作為內外網之間的唯一數(shù)據通道，如果吞吐量太小，就會成為網絡瓶頸，給整個網絡的傳輸效率帶來負面影響。因此，考察防火墻的吞吐能力有助于企業(yè)更好的評價其性能表現(xiàn)。這也是測量防火墻性能的重要指標。

吞吐量的大小主要由防火墻內網卡，及程序算法的效率決定，尤其是程序算法，會使防火墻系統(tǒng)進行大量運算，通信量大打折扣。因此，大多數(shù)防火墻雖號稱100M防火墻，由于其算法依靠軟件實現(xiàn)，通信量遠遠沒有達到100M,實際只有10M-20M。純硬件防火墻，由于采用硬件進行運算，因此吞吐量可以達到線性90-95M,才是真正的100M防火墻。

從實際情況來看，中小型企業(yè)由于企業(yè)規(guī)模和人數(shù)的原因，一般選擇百兆防火墻就已經足夠了。

3.6投資回報率

在之前作者曾提到的中小企業(yè)的網絡特點中資金少是最重要的一個問題。不論企業(yè)如何做安全策略以及劃分保護重點，最終都要落實到一個實際問題上——企業(yè)網絡安全的投資資金。這里就涉及到了一個名詞——投資回報率。在網絡安全的投資上，是看不到任何產出的，那么網絡安全的投資回報率該如何計算呢?

首先，企業(yè)要確定公司內部員工在使用電子郵件和進行WEB瀏覽時，可能會違反公司網絡行為規(guī)范的概率?？梢詫⑦@個概率稱為暴光值(exposure value (EV))。根據一些機構對中小企業(yè)做的調查報告可知，通常有25%—30%的員工會違反企業(yè)的使用策略，作者在此選擇25%作為計算安全投資回報率的暴光值。那么，一個擁有100名員工的企業(yè)就有100x 25% = 25名違反者。

下一步，必需確定一個因素——當發(fā)現(xiàn)單一事件時將損失多少人民幣。可以將它稱為預期單一損失(single loss expectancy (SLE))。由于公司中的100個員工都有可能會違反公司的使用規(guī)定，因此，可以用這100個員工的平均小時工資作為每小時造成工作站停機的預期單一最小損失值。例如，作者在此可以用每小時10元人民幣作為預期單一最小損失值。然后，企業(yè)需要確定在一周的工作時間之內，處理25名違規(guī)員工帶來的影響需要花費多少時間。這個時間可以用每周總工作量40小時乘以暴光值25%可以得出為10小時。這樣，就可以按下列公式來計算單一預期損失值：

25x ￥10 x 10/ h = ￥2500 (SLE)

最后，企業(yè)要確定這樣的事情在一年中可能會發(fā)生多少次?？梢越兴鼮轭A期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個星期都會發(fā)生，一年有52周，如果除去我國的春節(jié)和十一黃金周的兩個假期，這意味著一個企業(yè)在一年中可能會發(fā)生50次這樣的事件，可以將它稱之為年發(fā)生率(annual rate of occurrence (ARO))。預期的年均損失(ALE)就等于年發(fā)生率(ARO)乘以預期單一損失(SLE)：

￥2500 x 50 = ￥125,000 (ALE)

這就是說，該公司在沒有使用安全技術防范措施的情況下，內部員工的違規(guī)網絡操作行為可能會給公司每年造成12.5萬元人民幣的損失。從這里就可以知道，如果公司只需要花費10000元人民幣來實施一個具體的網絡行為監(jiān)控解決方案，就可能讓企業(yè)每年減少12.5萬元人民幣的損失，這個安全防范方案當然是值得去做的。

當然，事實卻并不是這么簡單的。這是由于安全并不是某種安全技術就可以解決的，安全防范是一個持續(xù)過程，其中必然會牽扯到人力和管理成本等因素。而且，任何一種安全技術或安全解決方案并不能保證絕對的安全，因為這是不可能完成的任務。

就拿本例來說，實施這個網絡行為監(jiān)控方案之后，能夠將企業(yè)內部員工的違規(guī)行為，也就是暴光值(EV)降低到2%就已經相當不錯了。而這，需要在此安全防范方案實施一段時間之后，例如半年或一年，企業(yè)才可能知道實施此安全方案后的最終效果，也就是此次安全投資的具體投資回報率是多少。

有數(shù)據表明在國外，安全投入一般占企業(yè)基礎投入的5%～20%，在國內一般很少超過2%，而網絡安全事件不論在國內外都層出不窮，企業(yè)可能在安全方面投入了很多，但是仍然頻頻發(fā)生網絡安全事故。很多企業(yè)的高層管理者對于這個問題都比較頭疼。其實網絡安全理論中著名的木桶理論，很好的解釋了這種現(xiàn)象。企業(yè)在信息安全方面的預算不夠進而導致了投資報酬不成比例，另外很多企業(yè)每年在安全產品上投入大量資金，但是卻不關注內部人員的考察、安全產品有效性的審核等安全要素。缺乏系統(tǒng)的、科學的管理體系的支持，也是導致這種結果產生的原因。

第2篇

關鍵詞:企業(yè)網絡；安全；病毒；物理

在現(xiàn)代企業(yè)的生存與發(fā)展過程中，企業(yè)網絡安全威脅與企業(yè)網絡安全防護是并行存在的。雖然企業(yè)網絡安全技術與以往相比取得了突破性的進展，但過去企業(yè)網絡處于一個封閉或者是半封閉的狀態(tài)，只需簡單的防護設備和防護方案即可保證其安全性。而當今大多數(shù)企業(yè)網絡幾乎處于全球互聯(lián)的狀態(tài)，這種時空的無限制性和準入的開放性間接增加了企業(yè)網絡安全的影響因素，自然給企業(yè)網絡安全帶來了更多的威脅。因此，企業(yè)網絡安全防護一個永無止境的過程，對其進行研究無論是對于網絡安全技術的應用，還是對于企業(yè)的持續(xù)發(fā)展，都具有重要的意義。

1企業(yè)網絡安全問題分析

基于企業(yè)網絡的構成要素以及運行維護條件，目前企業(yè)網絡典型的安全問題主要表現(xiàn)于以下幾個方面。

1.1網絡設備安全問題

企業(yè)網絡系統(tǒng)服務器、網絡交換機、個人電腦、備用電源等硬件設備，時常會發(fā)生安全問題，而這些設備一旦產生安全事故很有可能會泄露企業(yè)的機密信息，進而給企業(yè)帶來不可估量經濟損失。以某企業(yè)為例，該企業(yè)網絡的服務器及相關網絡設備的運行電力由UPS接12V的SOAK蓄電池組提供，該蓄電池組使用年限行、容量低，在長時間停電的情況下，很容易由于蓄電池的電量耗盡而導致整個企業(yè)網絡的停運。當然，除了電源問題外，服務器、交換機也存在諸多安全隱患。

1.2服務器操作系統(tǒng)安全問題

隨著企業(yè)規(guī)模的壯大以及企業(yè)業(yè)務的拓展，對企業(yè)網絡服務器的安全需求也有所提高。目前諸多企業(yè)網絡服務器采用的是WindowsXP或Windows7操作系統(tǒng)，由于這些操作系統(tǒng)存在安全漏洞，自然會降低服務器的安全防御指數(shù)。加上異常端口、未使用端口以及不規(guī)范的高權限賬號管理等問題的存在，在不同程度上增加了服務器的安全威脅。

1.3訪問控制問題

企業(yè)網絡訪問控制安全問題也是較為常見的，以某企業(yè)為例，該企業(yè)采用Websense管理軟件來監(jiān)控企業(yè)內部人員的上網行為，但未限制存在安全隱患的上網活動。同時對于內部上網終端及外來電腦未設置入網認證及無線網絡訪問節(jié)點安全檢查，任何電腦都可在信號區(qū)內接入到無線網絡。

2企業(yè)網絡安全防護方案

基于上述企業(yè)網絡普遍性的安全問題，可以針對性的提出以下綜合性的安全防護方案來提高企業(yè)網絡的整體安全性能。

2.1網絡設備安全方案

企業(yè)網絡相關設備的安全性能是保證整個企業(yè)網絡安全的基本前提，為了提高網絡設備的整體安全指數(shù)，可采取以下具體措施。首先，合適傳輸介質的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質，例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業(yè)網絡相關主干設備對交流電源的生產質量、供電連續(xù)性、供電可靠性以及抗干擾性等指標提出了更高的要求，這就要求對企業(yè)網絡的供電系統(tǒng)進行優(yōu)化。以上述某企業(yè)網絡系統(tǒng)電源供電不足問題為例，為了徹底解決傳統(tǒng)電源供給不足問題，可以更換為大容量的蓄電池組，并安裝固定式發(fā)電機組，進而保證在長時間停電狀態(tài)下企業(yè)網絡設備的可持續(xù)供電，避免因為斷電而導致文件損壞及數(shù)據丟失等安全問題的發(fā)生。

2.2服務器系統(tǒng)安全方案

企業(yè)網絡服務器系統(tǒng)的安全尤為重要，然而其安全問題的產生又是多方面因素所導致的，需要從多個層面來構建安全防護方案。

2.2.1操作系統(tǒng)漏洞安全

目前企業(yè)網絡服務器操作系統(tǒng)以Windows為主，該系統(tǒng)漏洞的出現(xiàn)成為了諸多攻擊者的重點對象，除了采取常規(guī)的更新Windows系統(tǒng)、安裝系統(tǒng)補丁外，還應針對企業(yè)網絡服務器及個人電腦的操作系統(tǒng)使用實際情況，實施專門的漏洞掃描和檢測，并根據掃描結果做出科學、客觀、全面的安全評估，如圖1所示，將證書授權入侵檢測系統(tǒng)部署在核心交換機的監(jiān)控端口，并在不同網段安裝由中央工作站控制的網絡入侵檢測，以此來檢測和響應網絡入侵威脅。圖1漏洞掃描及檢測系統(tǒng)

2.2.2Windows端口安全

在Windows系統(tǒng)中，端口是企業(yè)實現(xiàn)網絡信息服務主要通道，一般一臺服務器會綁定多個IP，而這些IP又通過多個端口來提高企業(yè)網絡服務能力，這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務器網絡攻擊的運行路徑來看，大多數(shù)都要通過服務器TCP/UDP端口，可充分這一點來預防各種網絡攻擊，只需通過命令或端口管理軟件來實現(xiàn)系統(tǒng)端口的控制管理即可。

2.2.3Internet信息服務安全

Internet信息服務是以TCP/IP為基礎的，可通過諸多措施來提高Internet信息服務安全。（1）基于IP地址實現(xiàn)訪問控制。通過對IIS配置，可實現(xiàn)對來訪IP地址的檢測，進而以訪問權限的設置來阻止或允許某些特定計算機的訪問站點。（2）在非系統(tǒng)分區(qū)上安裝IIS服務器。若在系統(tǒng)分區(qū)上安裝IIS，IIS就會具備非法訪問屬性，給非法用戶侵入系統(tǒng)分區(qū)提供便利，因此，在非系統(tǒng)分區(qū)上安全IIS服務器較為科學。（3）NTFS文件系統(tǒng)的應用。NTFS文件系統(tǒng)具有文件及目錄管理功能，服務器Windows2000的安全機制是基于NTFS文件系統(tǒng)的，因此Windows2000安裝時選用NTFS文件系統(tǒng)，安全性能更高。（4）服務端口號的修改。雖然IIS網絡服務默認端口的使用為訪問提供了諸多便捷，但會降低安全性，更容易受到基于端口程序漏洞的服務器攻擊，因此，通過修改部分服務器的網絡服務端口可提高企業(yè)網絡服務器的安全性。

2.3網絡結構安全方案

2.3.1強化網絡設備安全

強化企業(yè)網絡設備的自身安全是保障企業(yè)網絡安全的基礎措施，具體包含以下措施。（1）網絡設備運行安全。對各設備、各端口運行狀態(tài)的實時監(jiān)控能有效發(fā)現(xiàn)各種異常，進而預防各種安全威脅。一般可通過可視化管理軟件的應用來實現(xiàn)上述目標，例如What’supGold能實現(xiàn)對企業(yè)網絡設備狀態(tài)的監(jiān)控，而SolarWindsNetworkPerformancemonitor可實現(xiàn)對各個端口流量的實時監(jiān)控。（2）網絡設備登錄安全。為了保證網絡設備登錄安全指數(shù)，對于企業(yè)網絡中的核心設備應配置專用的localuser用戶名，用戶名級別設置的一級，該級別用戶只具備讀權限，一般用于console、遠程telnet登錄等需求。除此之外，還可設置一個單獨的super密碼，只有擁有super密碼的管理員才有資格對核心交換機實施相關配置設置。（3）無線AP安全。一般在企業(yè)內部有多個無線AP設備，應采用較為成熟的加密技術設置一個較為復雜的高級秘鑰，從而確保無線接入網的安全性。

2.3.2細分網絡安全區(qū)域

目前，廣播式局域的企業(yè)網絡組網模式存在著一個嚴重缺陷就是當其中各個局域網存在ARP病毒時，未設置ARP本地綁定或未設置ARP防火墻的終端則無法有效訪問系統(tǒng)，同時還可能泄露重要信息。為了解決這種問題，可對整個網絡進行細分，即按某種規(guī)則如企業(yè)職能部門將企業(yè)網絡終端設備劃分為多個網段，在每個網段均有不同的vlan，從而保證安全性。

2.3.3加強通問控制

針對企業(yè)各個部門對網絡資源的需求，在通問控制時需要注意以下幾點：對內服務器應根據提供的業(yè)務與對口部門互通；對內服務器需要與互聯(lián)網隔離；體驗區(qū)只能訪問互聯(lián)網，不能訪問辦公網。以上功能的實現(xiàn)，可在核心路由器和防火墻上共同配合完成。

作者:李常福 單位:鄭州市中心醫(yī)院

第3篇

【關鍵詞】信息安全；安全技術；防范措施

1、前言

隨著社會和經濟的高度信息化、網絡化，現(xiàn)代企業(yè)的生產、管理、銷售已經和網絡密不可分，許多企業(yè)只重視利用網絡抓生產、促銷售，在全面發(fā)掘網絡帶來經濟效益的同時忽略對自身企業(yè)網絡信息安全防范的建設，一旦發(fā)生網絡信息安全問題，往往追悔莫及，保障企業(yè)網絡信息的安全可控，采取有效的防范措施是每個現(xiàn)代企業(yè)面臨的嚴峻問題。

2、網絡信息安全概述

對網絡信息安全定義有多種說法，本人傾向于網絡信息安全是指網絡系統(tǒng)的軟件、硬件及系統(tǒng)數(shù)據受到保護，不受意外的或惡意的原因而遭到破壞、更改、泄露，保持系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷。做好企業(yè)的網絡信息系統(tǒng)安全首先要有良好的網絡信息安全防范意識，提高網絡信息系統(tǒng)軟、硬件技術保障水平、建立完善的網絡信息系統(tǒng)管理制度開展工作。

2.1影響網絡信息安全的因素

影響網絡信息安全的主要因素主要分為以下四大類。

2.1.1網絡信息系統(tǒng)的脆弱性。網絡信息系統(tǒng)的脆弱性包括了操作系統(tǒng)的脆弱性，信息系統(tǒng)本身的漏洞、后門，硬件系統(tǒng)的故障和天災人禍等，這些脆弱性使得網絡信息安全受到攻擊成為可能。

2.1.2缺乏先進的網絡安全技術、手段、工具和產品。企業(yè)在利用網絡信息開展生產、管理的同時往往缺乏安全防范意識，認為只要系統(tǒng)不出問題就說明沒事，對保障網絡安全系統(tǒng)安全的必要網絡安全技術產品不愿投入資金建設，從而造成網絡信息系統(tǒng)的中重大安全隱患。

2.1.3缺乏正確安全策略和管理監(jiān)督制度。主要體現(xiàn)在部分企業(yè)認為只要購買了昂貴的網絡安全產品就萬事大吉了，缺乏正確的安全策略和管理監(jiān)督制度，再好的產品也是需要員工按規(guī)定來操作和執(zhí)行，沒有管理監(jiān)督制度和正確的安全策略，網絡信息安全就無從談起。

2.1.4缺乏完善的網絡信息系統(tǒng)恢復、備份技術手段。主要體現(xiàn)在缺乏對網絡信息安全重要性的評估，對網絡信息受到受到攻擊、意外事件造成崩潰后缺乏網絡信息系統(tǒng)的恢復、備份技術和工具，造成網絡信息系統(tǒng)恢復的不可逆性。

3、網絡信息安全防范策略

3.1采取有效的網絡安全技術手段和措施

3.1.1采取有效身份認證技術。采取有效的身份認證技術可對具備合法信息的用戶進行確認，同時根據用戶信息對授權進行判定，給予不同的網絡信息操作權限，常用的身份認證技術主要有信息認證、密鑰認證、用戶認證等。

3.1.2防火墻技術。防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間，它是一種計算機硬件防火墻件和軟件的結合，在企業(yè)內部網和外部網絡之間建立起一個安全網關，通過鑒別限制或者更改越過防火墻的各種數(shù)據流，防止外部網絡用戶未經授權的訪問，從而保護內部網免受非法用戶的侵入。

3.1.3防病毒技術。選擇先進的反病毒產品，并定期進行更新，在防病毒技術上針對企業(yè)的用戶數(shù)以服務器為基礎，提供實時掃描病毒能力，確保反病毒產品能夠部署到企業(yè)的每個工作站。確保企業(yè)所有的網絡終端都能夠部署到。

3.1.4入侵的檢測技術。入侵檢測系統(tǒng)能自動實時的入侵檢測和響應系統(tǒng)。它無妨礙地監(jiān)控網絡傳輸并自動檢測和響應可疑的行為，在系統(tǒng)受到危害之前截取和響應安全漏洞和內部誤用，有效彌補防火墻技術對內部網絡存在的非法活動監(jiān)控的能力的不足，從而最大程度地為企業(yè)網絡提供安全。

3.1.5漏洞的掃描技術。通過采取漏洞掃描，及時，準確的發(fā)現(xiàn)自身網絡信息安全存在的漏洞和問題，有利于系統(tǒng)管理員采取應對措施，封堵網絡信息系統(tǒng)存在的漏洞和安全隱患，從而有效保障網絡信息安全，確保業(yè)務系統(tǒng)安全的運行。目前漏洞掃描主要分為ping掃描、端口掃描、OS探測、脆弱點探測、防火墻掃描五種主要技術。

3.1.6加密技術。通過對企業(yè)的網絡信息安全進行加密，確保網絡信息在使用和傳輸過程中的安全性，加密算法主要分為堆成加密算法和非對稱加密算法兩類，并由此衍生出加密狗、加密軟件等各類產品。

3.1.7對有特殊安全要求的網絡建立與互聯(lián)網隔離。一些特殊產品的生產管理網絡根據其安全的密級要求實行和互聯(lián)網絡隔離，確需聯(lián)絡的需采取單向光閘等措施保證其安全性。

3.2建立完善的網絡信息安全的管理制度和安全應對策略。據統(tǒng)計，70%以上的信息安全威脅來自于企業(yè)內部的員工，沒有一套完善的網絡信息安全管理制度來實現(xiàn)對信息系統(tǒng)使用人員的管理，再出色的安全技術手段和產品也無法發(fā)揮作用，通過制度對人的行為進行規(guī)范，從而確保網絡信息安全落到實處。

3.3采取有效的備份、恢復措施。對企業(yè)自身的網絡信息系統(tǒng)做好安全等級保護評測、安全風險評估工作，針對評估情況采取對應的災難備份及恢復措施，對重要的網絡信息系統(tǒng)應采取包括對軟件部分、硬件以及傳輸線路的備份，在有條件的情況下應采取異地雙線路雙系統(tǒng)備份的方法，從而最大程度降低自然災害對網絡信息安全造成的破壞。

4、結束語

隨著信息產業(yè)化的不斷深入，網絡信息安全問題日益凸顯，企業(yè)應提高自身的網絡信息安全防范意識，在享受網絡信息化帶來的便利同時加強企業(yè)自身的網絡與信息安全管理，采取有效的技術措施，建立完善、高效的網絡信息安全管理制度，從而將企業(yè)網絡信息安全風險降到最低。

參考文獻

[1]陳震.我國信息與通信網建設安全問題初探[J].科學之友，2010年24期

第4篇

關鍵詞 電力企業(yè)；網絡信息安全；防范措施

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2012）73-0192-02

隨著信息系統(tǒng)與網絡的快速發(fā)展，電力企業(yè)作為關乎國計民生的基礎行業(yè)，企業(yè)內部各業(yè)務數(shù)據已基本在網絡流轉，企業(yè)對信息系統(tǒng)產生了巨大的依賴性。但是，企業(yè)在享受著信息系統(tǒng)所帶來巨大經濟效益的同時，也面臨著高風險。一旦出現(xiàn)信息泄密或篡改數(shù)據的情況，將為國家造成難以估量的損失。尤其是近幾年，全球范圍內的病毒泛濫、黑客入侵、計算機犯罪等問題，信息安全防范已成重中之重。因此，企業(yè)必須重新面對當前的安全問題，從中找到行之有效的防范措施。

1 電力企業(yè)網絡安全現(xiàn)狀分析

1.1 網絡安全措施不到位

電力數(shù)據網絡信息化在電力系統(tǒng)中的應用已經成為不可或缺的基礎設施。電力數(shù)據網需要同時承載著實時、準實時控制業(yè)務及管理信息業(yè)務，電力生產、經營很多環(huán)節(jié)完全依賴電力信息網的正常運行與否，隨著網絡技術和信息技術的發(fā)展，網絡犯罪不斷增加，電力企業(yè)雖然已初步建立了網絡安全措施，但企業(yè)網絡信息安全仍存在很多的安全隱患，職工安全意識、數(shù)據傳輸加密、身份認證、訪問控制、防病毒系統(tǒng)、人員的管理等方面需要進一步加強，在整個電力信息網絡中，很多單位之間的網絡安全是不平衡的，主要是雖然網絡利用率較高，但信息的安全問題較多，主要是安全級別較低的業(yè)務與安全，沒有對網絡安全做長遠、統(tǒng)一的規(guī)劃，網絡中還存在很多問題。

1.2 職工安全意識有待加強

目前國內電力企業(yè)職工的安全意識參差不齊，相較之下，年輕的職工和管理人員其安全意識較高，中年以上的職工和一線職工仍然缺乏必要的安全意識，主要是工作年齡、所受教育、工作后的信息安全培訓程度，從事的工作性質的原因造成的，這就為網絡安全留下了隱患，加強電力企業(yè)信息安全的培訓，全方位提高職工網絡信息安全意識，避免信息安全防護工作出現(xiàn)高低不均的情況。

1.3 內部的網絡威脅仍然存在

在這個科技技術日益發(fā)展的時代，網絡信息的安全工作越來越重要，由此電力企業(yè)根據目前的狀況出臺了相關的網絡安全規(guī)章制度，以保證其信息安全，但內部的網絡威脅仍然存在，而且對管理人員的有效管理依然缺乏。如：辦公計算機仍存在內外網混用情況、內外網邏輯隔離強度不夠、企業(yè)內網安全隔離相對薄弱等情況，如果其中的一些漏洞被非法分子所利用，那么，電力企業(yè)的信息安全會受到嚴重的威脅，并會對電力企業(yè)的生產以及經營帶來很大的困難。

2 電力企業(yè)網絡安全的風險

隨著網絡技術的發(fā)展，電力企業(yè)信息系統(tǒng)越來越復雜，信息資源越來越龐大，不管是操作系統(tǒng)還是應用軟件，都存在系統(tǒng)漏洞等安全風險，保證電力企業(yè)信息安全最重要的是保證信息數(shù)據的安全，目前電力企業(yè)的網絡信息系統(tǒng)的主要隱患主要存在于以下幾個方面。

2.1 惡意入侵

計算機系統(tǒng)本身并不具有一定的防御性，其通信設備也較為脆弱，因此，計算機網絡中的潛在威脅對計算機來說是十分危險的。尤其是現(xiàn)在的信息網絡公開化、信息利用自由化，這也造成了一些秘密的信息資源被共享，而這些信息也容易被不法分子所利用。而有極少數(shù)人利用網絡進行惡意入侵進行非法操作，危機網絡系統(tǒng)的安全，惡意入侵其實是由四個步驟構成的：首先掃描IP地址，尋找存活主機；然后確定IP地址，掃描主機端口和漏洞；接著通過漏洞和開放端口放置后門程序；最后通過客戶端程序實施遠程控制。由于系統(tǒng)被入侵，電力企業(yè)信息泄露會造成不良后果，更嚴重的是系統(tǒng)被惡意控制，不但會給電力企業(yè)本身造成嚴重的后果，還會給社會和用戶帶來重大的損失。

2.2 網絡病毒的傳播

計算機病毒對計算機來說是最普遍的一種威脅，伴隨著因特網的發(fā)展，各個企業(yè)開始創(chuàng)建或發(fā)展企業(yè)網絡應用，這無形也增加了病毒感染的可能性，病毒的危害十分巨大，它是通過數(shù)據的傳輸來傳播的，其能夠對計算機的軟硬件造成破壞，同時它還能夠進行自我復制，因此，一旦感染了病毒，其危害性是十分巨大的。

2.3 惡意網頁的破壞

網絡共享性與開放性使得人人都可以在互聯(lián)網上所取和存放信息，由于信息的傳遞和反饋快速靈敏，網絡資源的社會性和共享性，電力企業(yè)職工都在不斷地點擊各種網頁，并在網絡中尋找他們所需要的資源，網頁中的病毒是掛靠在網頁上的一種木馬病毒，它的實質是一些不法分子通過編程來編寫的惡意代碼并植入IE漏洞而形成了網頁病毒。當用戶瀏覽過含有病毒的網站時，病毒會在無形中被激活，并通過因特網進如用戶的計算機系統(tǒng)，當病毒進入計算機后會迅速的自我復制并到處傳播病毒，使得用戶的計算機系統(tǒng)崩潰，嚴重的會將用戶的系統(tǒng)徹底格式化。

2.4 信息傳遞的安全不容忽視

在電力企業(yè)的計算機網絡系統(tǒng)中，信息傳輸基本上是明文方式或采用低安全級別的加密進行傳輸，當這些企業(yè)信息在網絡上傳輸時，其安全性就不能得到足夠的保障，不具備網絡信息安全所要求的機密性、數(shù)據完整性和身份認證。

2.5 軟件源代碼不能獨立控制的隱患

目前電力企業(yè)辦公計算機、企業(yè)級服務器的操作系統(tǒng)以及使用的信息系統(tǒng)軟件因為是絕大部分都是商業(yè)性質的，所以其源代碼是不公開的，這就代表著軟件的核心技術是被對方掌握的，其漏洞卻大量存在，雖然有系統(tǒng)補丁或者軟件升級，但其未公開、未被發(fā)現(xiàn)的漏洞對信息安全來說確實巨大的隱患。

第5篇

【論文摘要】 在網絡攻擊手段日益增多，攻擊頻率日益增高的背景下，為了確保企業(yè)的信息資源、生產數(shù)據資料的安全保密，解決企業(yè)計算機網絡中存在的安全隱患。需要一種靜態(tài)技術和動態(tài)技術相結合的安全解決方案，即在網絡中的各個部分采取多種安全防范技術來構筑企業(yè)網絡整體安全體系。包括防病毒技術；防火墻技術；入侵檢測技術；網絡性能監(jiān)控及故障分析技術；漏洞掃描安全評估技術；主機訪問控制等。

信息技術正以其廣泛的滲透性和無與倫比的先進性與傳統(tǒng)產業(yè)結合，隨著Internet網絡的飛速發(fā)展，使網絡的重要性和對社會的影響越來越大。企業(yè)的辦公自動化、生產業(yè)務系統(tǒng)及電子商務系統(tǒng)對網絡系統(tǒng)的依賴性尤其突出，但病毒及黑客對網絡系統(tǒng)的惡意入侵使企業(yè)的信息網絡系統(tǒng)面臨著強大的生存壓力，網絡安全問題變得越來越重要。

企業(yè)網絡安全主要來自以下幾個方面：①來自INTERNET的安全問題；②來自外部網絡的安全威脅；③來自內部網絡的安全威脅。

針對以上安全威脅，為了確保企業(yè)的信息資源、生產數(shù)據資料的安全保密，解決企業(yè)計算機網絡中存在的安全隱患，本文介紹一種靜態(tài)技術和動態(tài)技術相結合的安全解決方案，即在網絡中的各個部分采取多種安全防范技術來構筑企業(yè)網絡整體安全體系：①防病毒技術；②防火墻技術；③入侵檢測技術；④網絡性能監(jiān)控及故障分析技術；⑤漏洞掃描安全評估技術；⑥主機訪問控制。

一、防病毒技術

對于企業(yè)網絡及網內大量的計算機，各種病毒更是防不勝防，如宏病毒和變形病毒。徹底清除病毒，必須采用多層的病毒防護體系。企業(yè)網絡防病毒系統(tǒng)采用多層的病毒防衛(wèi)體系和層次化的管理結構，即在企業(yè)信息中心設防病毒控制臺，通過該控制臺控制各二級網絡中各個服務器和工作站的防病毒策略，監(jiān)督整個網絡系統(tǒng)的防病毒軟件配置和運行情況，并且能夠進行相應策略的統(tǒng)一調整和管理：在較大的下屬子公司設置防病毒服務器，負責防病毒策略的設置、病毒代碼分發(fā)等工作。其中信息中心控制臺作為中央控制臺負責控制各分控制臺的防病毒策略，采集網絡中所有客戶端防毒軟件的運行狀態(tài)和配置參數(shù)，對客戶端實施分組管理等。管理員可以通過管理員客戶端遠程登錄到網絡中的所有管理服務器上，實現(xiàn)對整個網絡的管理。根據需要各個管理服務器還可以由專門的區(qū)域管理員管理。管理服務器負責收集網絡中的客戶端的實時信息， 分發(fā)管理員制定的防毒安全策略等。

配套軟件：冠群金辰KILL6.0。KILL采用服務器/客戶端構架，實時保護Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系統(tǒng)的服務器及Internet網關服務器，防止各種引導型病毒、文件型病毒、宏病毒、傳播速度快且破壞性很大的蠕蟲病毒進入企業(yè)內部網，阻止不懷好意的Java、ActiveX小程序等攻擊企業(yè)內部網絡系統(tǒng)。它通過全方位的網絡管理、多種報警機制、完整的病毒報告、支持遠程服務器、軟件自動分發(fā)，幫助管理員更好的實施網絡防病毒工作。

二、防火墻技術

防火墻是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯(lián)網與內部網之間建立起一個安全網關( scurity gateway), 從而抵御網絡外部安全威脅，保護內部網絡免受非法用戶的侵入，它是一個把互聯(lián)網與內部網（局域網或城域網）隔開的屏障，控制客戶機和真實服務器之間的通訊，主要包括以下幾方面的功能：①隔離不信任網段間的直接通訊；②拒絕非法訪問；③系統(tǒng)認證；④日志功能。在計算機網絡中設置防火墻后，可以有效防止非法訪問，保護重要主機上的數(shù)據，提高網絡的安全性。

配套軟件：NetScreen。NetScreen是唯一把防火墻、負載均衡及流量控制結合起來，且提供100M的線速性能的軟硬件相結合的產品，在Internet出口、撥號接入入口、企業(yè)關鍵服務器的前端及與電信、聯(lián)通的連接出口處增設NetScreen-100f防火墻，可以實現(xiàn)企業(yè)網絡與外界的安全隔離，保護企業(yè)的關鍵信息。

三、入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）是一種為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術，是對防火墻的必要補充，它可以對系統(tǒng)或網絡資源進行實時檢測，及時發(fā)現(xiàn)惡意入侵者或識別出對計算機的非法訪問行為，并對其進行隔離，并能收集可以用來訴訟的犯罪證據。

配套軟件： eTrust Intrusion Detection(Sessionwall-3)。利用基于網絡的eTrust Intrusion Detection建立入侵檢測系統(tǒng)來保證企業(yè)網絡系統(tǒng)的安全性。

首先，信息管理中心設立整個網絡監(jiān)控系統(tǒng)的控制中心。通過該控制臺，管理員能夠對其它網絡入侵檢測系統(tǒng)進行監(jiān)控和配置。在該機器上安裝集中控制的eID中央控制臺模塊、eID日志服務器模塊和eID日志瀏覽器模塊，使所有eTrust Intrusion Detection監(jiān)控工作站處于集中控制之下，該安全主控臺也被用于集中管理所有的主機保護系統(tǒng)軟件。

其次，在Internet出口路由器和防火墻之間部署一套eTrust Intrusion Detection的監(jiān)控工作站，重點解決與Internet的邊界安全問題，在這些工作站上安裝軟件，包括eID基本模塊、eID模塊和日志數(shù)據庫客戶端。

四、網絡性能監(jiān)控及故障分析

性能監(jiān)控和故障分析就是利用計算機的網絡接口截獲目的地址為其他計算機的數(shù)據報文的一種技術。該技術被廣泛應用于網絡維護和管理方面，它自動接收著來自網絡的各種信息，通過對這些數(shù)據的分析，網絡管理員可以了解網絡當前的運行狀況，以便找出所關心的網絡中潛在的問題。

配套軟件——NAI Sniffer。NAI Sniffer 是一套功能強大的網絡故障偵測工具，它可以幫助用戶快速診斷網絡故障原因，并提出具體的解決辦法。在信息中心安裝這樣的工具，用于對網絡流量和狀態(tài)進行監(jiān)控，而且無論全網任何地方發(fā)生問題時，都可以利用它及時診斷并排除故障。

五、網絡系統(tǒng)的安全評估

網絡安全性之所以這么低的一個主要原因就是系統(tǒng)漏洞。譬如管理漏洞、軟件漏洞、結構漏洞、信任漏洞。采用安全掃描技術與防火墻、安全監(jiān)控系統(tǒng)互相配合來檢測系統(tǒng)安全漏洞。

網絡安全漏洞掃描系統(tǒng)通常安裝在一臺與網絡有連接的主機上。系統(tǒng)中配有一個信息庫，其中存放著大量有關系統(tǒng)安全漏洞和可能的黑客攻擊行為的數(shù)據。掃描系統(tǒng)根據這些信息向網絡上的其他主機和網絡設備發(fā)送數(shù)據包，觀察被掃描的設備是否存在與信息庫中記錄的內容相匹配的安全漏洞。掃描的內容包括主機操作系統(tǒng)本身、操作系統(tǒng)的配置、防火墻配置、網路設備配置以及應用系統(tǒng)等。

網絡安全掃描的主要性能應該考慮以下方面：①速度。在網絡內進行安全掃描非常耗時；②網絡拓撲。通過GUI的圖形界面，可選擇一個或某些區(qū)域的設備；③能夠發(fā)現(xiàn)的漏洞數(shù)量；④是否支持可定制的攻擊方法；⑤掃描器應該能夠給出清楚的安全漏洞報告。⑥更新周期。提供該項產品的廠商應盡快給出新發(fā)現(xiàn)的安全漏洞掃描特性升級，并給出相應的改進建議。

通過網絡掃描，系統(tǒng)管理員可以及時發(fā)現(xiàn)網路中存在的安全隱患，并加以必要的修補，從而減小網絡被攻擊的可能。

配套軟件：Symantec Enterprise Security Manger 5.5。

六、主機防護系統(tǒng)

在一個企業(yè)的網絡環(huán)境中，大部分信息是以文件、數(shù)據庫的形式存放在服務器中的。在信息中心，使用WWW、Mail、文件服務器、數(shù)據庫服務器來對內部、外部用戶提供信息。但無論是UNIX還是Windows 9X/NT/2K，都存在著這樣和那樣的安全薄弱環(huán)節(jié)，存放在這些機器上的關鍵業(yè)務數(shù)據存在著被破壞和竊取的風險。因此，對主機防護提出了專門的需求。

配套軟件：CA eTrust Access。eTrust Access Control在操作系統(tǒng)的安全功能之上提供了一個安全保護層。通過從核心層截取文件訪問控制，以加強操作系統(tǒng)安全性。它具有完整的用戶認證，訪問控制及審計的功能，采用集中式管理，克服了分布式系統(tǒng)在管理上的許多問題。

通過eTrust Access Control，我們可以集中維護多臺異構平臺的用戶、組合安全策略，以簡化安全管理工作。

通過以上幾種安全措施的實施，從系統(tǒng)級安全到桌面級安全，從靜態(tài)訪問控制到動態(tài)入侵檢測主要層面：方案覆蓋網絡安全的事前弱點漏洞分析修正、事中入侵行為監(jiān)控響應和事后信息監(jiān)控取證的全過程，從而全面解決企業(yè)的信息安全問題，使企業(yè)網絡避免來自內外部的攻擊，防止病毒對主機的侵害和在網絡中的傳播。使整個網絡的安全水平有很大程度的提高。

【參考文獻】

第6篇

關鍵詞：網絡安全；風險評估；安全措施

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)06-11012-01

A Survey of Network Security Risk Assessment

CHEN Jun-wei

(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)

Abstract：To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.

Key words:Network security; risk assessment; security measures

1 引言

頻頻發(fā)生的信息安全事件正在日益引起全球的關注，列舉的近年來的網絡突發(fā)事件，不難發(fā)現(xiàn)，強化提升網絡安全風險評估意識、強化信息安全保障為當務之急。所謂風險評估，是指網絡安全防御中的一項重要技術，它的原理是，根據已知的安全漏洞知識庫，對目標可能存在的安全隱患進行逐項檢查。然后根據掃描結果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網絡安全整體水平提供重要依據。完成一個信息安全系統(tǒng)的設計與實施并不足以代表該信息安全事務的完結。隨著新技術、新應用的不斷出現(xiàn)，以及所導致的信息技術環(huán)境的轉變，信息安全工作人員要不斷地評估當前的安全威脅，并不斷對當前系統(tǒng)中的安全性產生認知。

2 網絡安全風險評估的現(xiàn)狀

2.1 風險評估的必要性

有人說安全產品就是保障網絡安全的基礎，但有了安全產品，不等于用戶可以高枕無憂地應用網絡。產品是沒有生命的，需要人來管理與維護，這樣才能最大程度地發(fā)揮其效能。病毒和黑客可謂無孔不入，時時伺機進攻。這就更要求對安全產品及時升級，不斷完善，實時檢測，不斷補漏。網絡安全并不是僅僅依靠網絡安全產品就能解決的，它需要合適的安全體系和合理的安全產品組合，需要根據網絡及網絡用戶的情況和需求規(guī)劃、設計和實施一定的安全策略。通常，在一個企業(yè)中，對安全技術了如指掌的人員不多，大多技術人員停留在對安全產品的一般使用上，如果安全系統(tǒng)出現(xiàn)故障或者黑客攻擊引發(fā)網絡癱瘓，他們將束手無策。這時他們需要的是安全服務。而安全評估，便是安全服務的重要前期工作。網絡信息安全，需要不斷評估方可安全威脅。

2.2 安全評估的目標、原則及內容

安全評估的目標通常包括：確定可能對資產造成危害的威脅；通過對歷史資料和專家的經驗確定威脅實施的可能性；對可能受到威脅影響的資產確定其價值、敏感性和嚴重性，以及相應的級別，確定哪些資產是最重要的；準確了解企業(yè)網的網絡和系統(tǒng)安全現(xiàn)狀；明晰企業(yè)網的安全需求；制定網絡和系統(tǒng)的安全策略；制定網絡和系統(tǒng)的安全解決方案；指導企業(yè)網未來的建設和投入；通過項目實施和培訓，培養(yǎng)用戶自己的安全隊伍。而在安全評估中必須遵循以下原則：標準性原則、可控性原則、整體性原則、最小影響原則、保密性原則。

安全評估的內容包括專業(yè)安全評估服務和主機系統(tǒng)加固服務。專業(yè)安全評估服務對目標系統(tǒng)通過工具掃描和人工檢查，進行專業(yè)安全的技術評定，并根據評估結果提供評估報告。

目標系統(tǒng)主要是主流UNIX及NT系統(tǒng)，主流數(shù)據庫系統(tǒng)，以及主流的網絡設備。使用掃描工具對目標系統(tǒng)進行掃描，提供原始評估報告或由專業(yè)安全工程師提供人工分析報告?；蚴侨斯z查安全配置檢查、安全機制檢查、入侵追查及事后取證等內容。而主機系統(tǒng)加固服務是根據專業(yè)安全評估結果，制定相應的系統(tǒng)加固方案，針對不同目標系統(tǒng)，通過打補丁、修改安全配置、增加安全機制等方法，合理進行安全性加強。

系統(tǒng)加固報告服務選擇使用該服務包，必須以選擇ISMR/SSMR/HME服務包為前提，針對評估分析報告，提出加固報告。系統(tǒng)加固報告增強服務選擇使用該服務包，必須以選擇ISMR/SSMR/HME服務包為前提，針對評估分析報告，提出系統(tǒng)加固報告，并將系統(tǒng)加固報告、加固步驟、所需補丁程序以光盤形式提交客戶。系統(tǒng)加固實施服務選擇使用該服務包，必須以選擇 ISMR/SSMR/HME服務包為前提，針對評估分析報告，提出系統(tǒng)加固報告，并將系統(tǒng)加固報告、加固步驟、所需補丁程序以光盤形式提交客戶，并由專業(yè)安全工程師實施加固工作。

3 網絡安全風險評估系統(tǒng)

討論安全評定的前提在于企業(yè)已經具有了較為完備的安全策略，這項工作主要檢測當前的安全策略是否被良好的執(zhí)行，從而發(fā)現(xiàn)系統(tǒng)中的不安全因素。當前計算機世界應用的主流網絡協(xié)議是TCP/IP，而該協(xié)議族并沒有內置任何安全機制。這意味著基于網絡的應用程序必須被非常好的保護，網絡安全評定的主要目標就是為修補全部的安全問題提供指導。

評定網絡安全性的首要工作是了解網絡拓撲結構，拓撲描述文檔并不總能反映最新的網絡狀態(tài)，進行一些實際的檢測是非常必要的。最簡單的，可以通過Trackroute工具進行網絡拓撲發(fā)現(xiàn)，但是一些網絡節(jié)點可能會禁止Trackroute流量的通過。在了解了網絡拓撲之后，應該獲知所有計算機的網絡地址和機器名。對于可以訪問的計算機，還應該了解其正在運行的端口，這可以通過很多流行的端口發(fā)現(xiàn)工具實現(xiàn)。當對整個網絡的架構獲得了足夠的認知以后，就可以針對所運行的網絡協(xié)議和正在使用的端口發(fā)現(xiàn)網絡層面的安全脆弱點了。通常使用的方法是對協(xié)議和端口所存在的安全漏洞逐項進行測試。

安全領域的很多專家都提出邊界防御已經無法滿足今天的要求，為了提高安全防御的質量，除了在網絡邊界防范外部攻擊之外，還應該在網絡內部對各種訪問進行監(jiān)控和管理。企業(yè)組織每天都會從信息應用環(huán)境中獲得大量的數(shù)據，包括系統(tǒng)日志、防火墻日志、入侵檢測報警等。是否能夠從這些信息中有效的識別出安全風險，是風險管理中重要一環(huán)。目前的技術手段主要被應用于信息的收集、識別和分析，也有很多廠商開發(fā)出了整合式的安全信息管理平臺，可以實現(xiàn)所有系統(tǒng)模塊的信息整合與聯(lián)動。

數(shù)據作為信息系統(tǒng)的核心價值，被直接攻擊和盜取數(shù)據將對用戶產生極大的危害。正因為如此，數(shù)據系統(tǒng)極易受到攻擊。對數(shù)據庫平臺來說，應該驗證是否能夠從遠程進行訪問，是否存在默認用戶名密碼，密碼的強度是否達到策略要求等。而除了數(shù)據庫平臺之外，數(shù)據管理機制也應該被仔細評估。不同級別的備份措施乃至完整的災難備份機制都應該進行有效的驗證，不但要檢驗其是否存在安全問題，還要確認其有效性。大部分數(shù)據管理產品都附帶了足夠的功能進行安全設定和數(shù)據驗證，利用這些功能可以很好的完成安全評定工作并有效的與安全策略管理相集成。攻擊者的一個非常重要目的在于無需授權訪問某些應用，而這往往是獲得系統(tǒng)權限和數(shù)據的跳板。事實上大部分的安全漏洞都來自于應用層面，這使得應用程序的安全評定成為整個工作體系中相當重要的一個部分。與更加規(guī)程化的面向體系底層的安全評定相比，應用安全評定需要工作人員具有豐富的安全知識和堅實的技術技能。

4 結束語

目前我國信息系統(tǒng)安全風險評估工作，在測試數(shù)據采集和處理方面缺乏實用的技術和工具的支持，已經成為制約我國風險評估水平的重要因素。需要研究用于評價信息安全評估效用的理論和方法，總結出一套適用于我國國情的信息安全效用評價體系，以保證信息安全風險評估結果準確可靠，可以為風險管理活動提供有價值的參考；加強我國信息安全風險評估隊伍建設，促使我國信息安全評估水平得到持續(xù)改進。

參考文獻：

[1] 陳曉蘇，朱國勝，肖道舉.TCP/IP協(xié)議族的安全架構[N].華中科技大學學報,2001，32-34.

[2] 賈穎禾.國務院信息化工作辦公室網絡與信息安全組.信息安全風險評估[J].網絡安全技術與應用，2004(7)，21-24.

[3] 劉恒,信息安全風險評估挑戰(zhàn)[R],信息安全風險評估與信息安全保障體系建設研討會,2004.10.12.

[4] [美]Thomas A Wadlow.網絡安全實施方法.瀟湘工作室譯.北京:人民郵電出版社，2000.

[5] 張衛(wèi)清,王以群.網絡安全與網絡安全文化[J].情報雜志,2006(1)，40-45

[6] 趙戰(zhàn)生,信息安全風險評估[R],第全國計算機學術交流會,2004.7.3.

第7篇

關鍵詞：企業(yè)；信息網絡；安全體系；安全技術

大中型企業(yè)作為我國國民經濟的骨干企業(yè)，在國家經濟發(fā)揮舉足輕重的作用，現(xiàn)代經濟活動離不開信息和網絡，大中型企業(yè)對網絡和信息技術的依賴性很強，企業(yè)員工多、信息化互聯(lián)設備多、種類多樣，企業(yè)的關鍵業(yè)務大多架構在IT系統(tǒng)之上，網絡環(huán)境的穩(wěn)定性、安全性、高效性直接影響公司信息化應用。目前，許多大中型企業(yè)提出了建立“數(shù)字化企業(yè)”的目標，在企業(yè)信息化建設中，信息安全問題是必須要首先考慮的問題，可見，建立企業(yè)信息安全體系勢在必行。

1  企業(yè)信息網絡安全威脅及風險

近年來,許多大中型企業(yè)十分重視信息網絡建設的應用和開發(fā)，但是對于信息網絡安全的防護并沒有得到足夠重視。根據調研機構的調查報告顯示，國內企業(yè)中63%經常遭受病毒或蠕蟲攻擊，而41%的企業(yè)受到惡意間諜軟件或惡意軟件的威脅。主要體現(xiàn)在：病毒和蠕蟲攻擊、黑客入侵、惡意攻擊、完整性破壞、網絡資源濫用、員工信息安全意識淡薄等。

目前企業(yè)面臨著網絡攻擊的“外部威脅”及內部人員信息泄露的“內部威脅”的雙重考驗，垃圾郵件、企業(yè)機密泄露、網絡資源濫用、病毒泛濫以及網絡攻擊等問題成為企業(yè)最為頭疼的網絡安全問題，企業(yè)網絡環(huán)境日趨嚴峻。

2 企業(yè)網絡安全體系

大中型企業(yè)網絡面臨嚴峻的安全形勢，迫使各企業(yè)意識到構建完備安全體系的重要性，隨著網絡攻擊的多樣化，只針對網絡層以下的安全解決方案已經不足以應付各種各樣的攻擊，同時還要隨時注重操作系統(tǒng)、數(shù)據庫、軟硬件設備的安全性；企業(yè)安全體系建設不僅要有效抵御外網攻擊，而且要能防范可能來自內部的安全泄密等威脅。企業(yè)必須采用多層次的安全系統(tǒng)架構才能保障企業(yè)網絡安全，最終建立一套以內外兼防為特征的企業(yè)安全保障體系。

企業(yè)信息網絡安全體系由物理安全、鏈路安全、網絡安全、系統(tǒng)安全、信息安全五部分構成。

物理安全：物理安全主要是保護企業(yè)數(shù)據庫服務器、應用服務器、網絡設備、數(shù)據介質及其他物理實體設備的安全，提供一個安全可靠的物理運行環(huán)境。

鏈路安全：數(shù)據鏈路層（第二協(xié)議層）的通信連接就安全而言，是較為薄弱的環(huán)節(jié)。目的是保證網絡鏈路傳送的數(shù)據不被竊聽和篡改。

網絡安全：網絡安全主要包括：通過防火墻隔離內外網絡，不同區(qū)域的訪問控制，部署基于網絡的身份認證及入侵檢測系統(tǒng)、VPN、網絡集中防病毒等手段實現(xiàn)網絡設備自身的安全可靠。

系統(tǒng)安全：系統(tǒng)安全主要指數(shù)據庫、操作系統(tǒng)的安全保護。保證應用系統(tǒng)的可靠性、完整性和高效性。

信息安全：主要通過數(shù)據加密、CA認證、授權等手段保證信息處理、傳遞、存儲的保密性、完整性和可用性。

典型企業(yè)信息網絡安全管理體系拓撲結構如圖一所示：

3  信息安全體系設計原則

企業(yè)安全設計應遵循如下原則：

3．1保密性：信息不能夠泄露給非授權用戶、實體或過程，或供其利用的特性。

3．2完整性：信息完整性是指信息在輸入和傳輸?shù)倪^程中，不被非法授權修改和破壞，保證數(shù)據的一致性。

3． 3可用性：保障授權用戶在需要時可以獲取信息并按要求使用的特性。

3．4可控性：對信息的處理、傳遞、存儲等具有控制能力。

信息安全就是要保障維護信息的機密性、完整性、可用性以及保障維護信息的真實性、可問責性、不可抵賴性、可靠性、守法性。

4 企業(yè)網絡安全防范技術手段

目前企業(yè)信息網絡布署的安全技術手段主要方式有：

4.1防火墻系統(tǒng)

  防火墻系統(tǒng)作為企業(yè)網絡安全系統(tǒng)必不可少的組成部分，用于防范來自外部interne非法用戶對企業(yè)內部網絡的主動威脅。防火墻系統(tǒng)搭建在內部網絡與外部公共Internet網絡之間，通過合理配置訪問控制策略，管理Internet和內部網絡之間的訪問。其主要功能包括訪問控制、信息過濾、流量分析和監(jiān)控、阻斷非法數(shù)據傳輸?shù)?。企業(yè)在外部攻擊的頻度和攻擊流量非常嚴重的情況下，建議配置專用的DDOS防火墻。

4.2入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（簡稱“IDS”）是一種對網絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網絡安全設備。IDS是一種積極主動的安全防護技術，可以彌補防火墻相對靜態(tài)防御的不足，通過對來自外部網和內部的各種行為進行實時檢測，及時發(fā)現(xiàn)未授權或異?，F(xiàn)象以及各種可能的攻擊企圖，記錄有關事件，以便網管員及時采取防范措施，為事后分析提供依據的依據。

4.3漏洞掃描系統(tǒng)

企業(yè)內部部署漏洞掃描系統(tǒng)，不間斷地對企業(yè)工作站、服務器、防火墻、交換機等進行安全檢查，提供記錄有關漏洞的詳細信息和最佳解決對策，協(xié)助網管員及時發(fā)現(xiàn)和堵絕漏洞、降低風險，防患于未然。

4.4網頁防篡改系統(tǒng)

網頁防篡改系統(tǒng)主要是防止企業(yè)對外Web遭受黑客的篡改，保證企業(yè)外部網站的正常運行。防篡改系統(tǒng)利用先進的Web服務器核心內嵌技術，將篡改檢測模塊（數(shù)字水印技術）和應用防護模塊（防注入攻擊）內嵌于Web服務器內部，并輔助以增強型事件觸發(fā)檢測技術，不僅實現(xiàn)了對靜態(tài)網頁和腳本的實時檢測和恢復，更可以保護數(shù)據庫中的動態(tài)內容免受來自于Web的攻擊和篡改，徹底解決網頁防篡改問題。

4.5上網行為管理系統(tǒng)

上網行為管理系統(tǒng)主要部署在企業(yè)外部防火墻和內部核心交換機之間，針對企業(yè)內部員工訪問Internet行為進行集中管理與控制。其主要功能有：網頁過濾、應用控制（IM聊天、P2P下載、在線娛樂、炒股軟件、論壇發(fā)帖等）、帶寬管理、內容審計（郵件收發(fā)、論壇發(fā)帖、FTP、HTTP文件傳輸?shù)龋?、用戶管理、日志管理等功能?/p>

4.6內網安全管理平臺

據FBI/CSI中國CNISTEC調查報告：來自企業(yè)外部威脅占20%，內部威脅高達80%。針對大型企業(yè)日益復雜的內部網絡環(huán)境以及基于企業(yè)保密管理的需求，必須構造一套內網安全管理平臺，規(guī)范和管理內部網絡環(huán)境，提高內部網絡資源的可控性。其功能應包括：用戶認證與授權、IP與MAC綁定、網絡監(jiān)控、桌面監(jiān)控、安全域管理、 存儲介質管理、補丁分發(fā)、文檔安全管理、資產管理、日志報表管理等。

4.7企業(yè)集中防病毒系統(tǒng)

在病毒肆虐的時代，反病毒已經成為企業(yè)信息安全非常重要的一環(huán)，企業(yè)網絡情況比較復雜，由于員工計算機水平大多不高，構造一套完整的企業(yè)集中防病毒網絡系統(tǒng)平臺，可以強化病毒防護系統(tǒng)的應用策略和統(tǒng)一管理策略，并且使企業(yè)員工電腦的病毒庫及時得到更新，增強病毒防護有效性，降低病毒對安全帶來的威脅。

集中防病毒系統(tǒng)應具有：集中管控、遠程安裝、智能升級、遠程報警、分布查殺等多種功能。

4.8建立健全企業(yè)安全管理組織體系及制度，加強企業(yè)信息安全意識

企業(yè)在建設信息網絡安全建設技術手段的同時，更需要考慮管理的安全性，不斷完善企業(yè)信息安全制度。通過培訓，增強每個員工的安全意識，為大中型企業(yè)信息安全管理奠定基礎。

隨著信息技術的發(fā)展，企業(yè)無線接入、電子商務交易、數(shù)字簽名、數(shù)字證書等安全管理也應逐步納入企業(yè)信息安全體系范疇。

五、 結束語

目前，大中型企業(yè)信息進程的深入和互聯(lián)網的快速發(fā)展，網絡化已經成為企業(yè)信息化的發(fā)展大趨勢，針對各種網絡應用的攻擊和破壞方式也變得異常頻繁，信息化發(fā)展而來的網絡安全問題日漸突出，網絡安全問題已成為信息時代人類共同面臨的挑戰(zhàn)，同時，網絡信息安全是一個系統(tǒng)工程，涉及人員、硬軟件設備、資金、制度等因素，沒有絕對可靠的安全技術，科學有效的管理可以彌補技術安全漏洞的缺陷。

參考文獻：

［1］向宏，傅鸝，詹榜華 著  信息安全測評與風險評估 電子工業(yè)出版社  2009-01

［2］謝宗曉，郭立生　著  信息安全管理體系應用手冊中國標準出版社  2008-10

第8篇

關鍵詞：終端準入 網絡安全 802.1x EAD

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2013）06-0014-02

1 引言

在創(chuàng)新無處不在的IT世界里，從要求可用性到安全性再到高效率，只經歷了短短的幾年時間。如何對終端設備進行高效、安全、全方位控制一直都困擾著眾多IT管理者，由于終端設備數(shù)量多、分布廣、使用者素質及應用水平參差不齊，而且終端設備所接入的網絡環(huán)境異構化程度很高，導致了終端成為整個IT管理環(huán)境中最容易出現(xiàn)問題的一環(huán)，對終端問題的響應業(yè)已成為IT管理者日常最主要的工作之一，它同樣遵循著從可用性到安全性再到追求效率的發(fā)展規(guī)律。

終端作為網絡的關鍵組成和服務對象，其安全性受到極大關注。終端準入控制技術是網絡安全一個重要的研究方向，它通過身份認證和完整性檢查，依據預先設定的安全策略，通過軟硬件結合的方式控制終端的訪問權限，能有效限制不可信、非安全終端對網絡的訪問，從而達到保護網絡及終端安全的目的。終端準入控制技術的研究與應用對于提高網絡安全性，保障機構正常運轉具有重要作用；對于機構解決信息化建設中存在的安全問題具有重要意義。目前，終端準入控制技術已經得到較大的發(fā)展和應用，在安全領域起到越來越重要的作用。

2 發(fā)展現(xiàn)狀

為了解決網絡安全問題，安全專家相繼提出了新的理念。上世紀90年代以來，國內外提出了主動防御、可信計算等概念，認為安全應該回歸終端，以終端安全為核心來解決信息系統(tǒng)的安全問題。

3 終端準動模型

H3C終端準入控制解決方案（EAD，End user Admission Domination）從控制用戶終端安全接入網絡的角度入手，整合網絡接入控制與終端安全產品，通過智能客戶端、安全策略服務器、聯(lián)動設備以及第三方軟件的聯(lián)動，對接入網絡的用戶終端按需實施靈活的安全策略，并嚴格控制終端用戶的網絡使用行為，極大地加強了企業(yè)用戶終端的主動防御能力，為企業(yè)IT管理人員提供了高效、易用的管理工具。

4 終端準入控制過程

EAD解決方案提供完善的接入控制，除基于用戶名和密碼的身份認證外，EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、所在SSID、接入設備IP、接入設備端口號等信息進行綁定，支持智能卡、數(shù)字證書認證，支持域統(tǒng)一認證，增強身份認證的安全性。根據實際情況我們采用基于域統(tǒng)一認證，與接入終端MAC地址和接入設備IP信息進行綁定的嚴格身份認證模式。通過身份認證之后，根據管理員配置的安全策略，用戶進行包括終端病毒庫版本檢查、終端補丁檢查、是否有等安全認證檢查。通過安全認證后，用戶可正常使用網絡，同時EAD將對終端運行情況和網絡使用情況進行監(jiān)控和審計。若未通過安全認證，則將用戶放入隔離區(qū)，直到用戶通過安全認證檢查。EAD解決方案對終端用戶的整體控制過程如圖2所示。

5 終端準入控制策略的實現(xiàn)

5.1 接入用戶身份認證

為了確保只有符合安全標準的用戶接入網絡，EAD通過交換機的配合，強制用戶在接入網絡前通過802.1x方式進行身份認證和安全狀態(tài)評估，但很多單位已經建立了基于Windows域的信息管理系統(tǒng)，通過Windows域管理用戶訪問權限和應用執(zhí)行權限。為了更加有效地控制和管理網絡資源，提高網絡接入的安全性，EAD實現(xiàn)了Windows 域與802.1x統(tǒng)一認證方案，平滑地解決了兩種認證流程之間的矛盾，避免了用戶二次認證的煩瑣。該方案的關鍵在于兩個“同步”過程：一是同步域用戶與802.1x接入用戶的身份信息（用戶名、密碼），EAD解決方案使用LDAP功能實現(xiàn)用戶和Windows域用戶信息的同步。二是同步域登錄與802.1x認證流程，EAD解決方案通過H3C自主開發(fā)的iNode智能客戶端實現(xiàn)認證流程的同步。統(tǒng)一認證的基本流程如圖3所示。

5.2 安全策略狀態(tài)評估

EAD終端準入控制解決方案在安全策略服務器統(tǒng)一進行安全策略的管理，并在安全策略管理中提供黑白軟件統(tǒng)一管理功能。管理員可根據IT政令，在安全策略服務器定義員工終端黑白軟件列表，通過智能客戶端實時檢測、網絡設備聯(lián)動控制，完成對用戶終端的軟件安裝運行狀態(tài)的統(tǒng)一監(jiān)控和管理。如果用戶通過安全策略檢查，可以正常訪問授權的網絡資源；如果用戶未滿足安全策略，則將被強制放入隔離區(qū)內，直至通過安全策略檢查才可訪問授權的網絡資源。

5.3 EAD與iMC融合管理

EAD通過與iMC（開放智能管理中樞，Intelligent Management Center）靈活組織功能組件，形成直接面向客戶需求的業(yè)務流解決方案，從根本上解決多業(yè)務融合管理的復雜性。EAD實現(xiàn)了對用戶的準入控制、終端安全、桌面資產管理等功能，iMC平臺實現(xiàn)了對網絡、安全、存儲、多媒體等設備的資源管理功能，UBAS、NTA等組件實現(xiàn)了行為審計、流量分析等業(yè)務的管理功能，這幾者結合在一起，為企業(yè)IT管理員提供了前所未有的融合用戶、資源和業(yè)務三大要素的開放式管理體驗。

6 結語

在未實施終端準入解決方案之前，本企業(yè)網絡管理模式被動，雖制定完善的IT管理制度，但不能有效實行，比如不能及時升級系統(tǒng)補丁，不能及時升級殺毒軟件病毒庫，不能實時監(jiān)控用戶軟件安裝，不能實時監(jiān)控計算機硬件信息等問題。通過實施終端準入解決方案，降低了來自企業(yè)內部網絡的威脅，規(guī)范了終端準入安全策略，提高了IT管理員工作效率，從而保障了企業(yè)網絡環(huán)境的安全。

參考文獻

[1]周超，周城，丁晨路.計算機網絡終端準入控制技術.計算機系統(tǒng)應用，2011，20（1）：89—94.

[2]馬錫坤.醫(yī)院網絡終端準入控制解決方案.醫(yī)院數(shù)字化，2011，26（11）：30-32.

[3]成大偉，呂鋒.支持802.1x的網絡準入系統(tǒng)在企業(yè)中的應用.中國科技博覽，2012，27：296.