企业网络安全论文8篇

时间：2023-03-14 15:07:20

绪论：在寻找写作灵感吗？爱发表网为您精选了8篇企业网络安全论文，愿这些内容能够启迪您的思维，激发您的创作热情，欢迎您的阅读与分享！

企业网络安全论文

篇1

关键词信息安全；PKI；CA；VPN

1引言

随着计算机网络的出现和互联网的飞速发展，企业基于网络的计算机应用也在迅速增加，基于网络信息系统给企业的经营管理带来了更大的经济效益，但随之而来的安全问题也在困扰着用户，在2003年后，木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场，企业就面临着如何提高自身核心竞争力的问题，而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等，又时刻在制约着自己，企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

在下面的描述中，以某公司为例进行说明。

2信息系统现状2.1信息化整体状况

1)计算机网络

某公司现有计算机500余台，通过内部网相互连接，根据公司统一规划，通过防火墙与外网互联。在内部网络中，各计算机在同一网段，通过交换机连接。

图1

2)应用系统

经过多年的积累，某公司的计算机应用已基本覆盖了经营管理的各个环节，包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善，计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2信息安全现状

为保障计算机网络的安全，某公司实施了计算机网络安全项目，基于当时对信息安全的认识和安全产品的状况，信息安全的主要内容是网络安全，部署了防火墙、防病毒服务器等网络安全产品，极大地提升了公司计算机网络的安全性，这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

3风险与需求分析3.1风险分析

通过对我们信息系统现状的分析，可得出如下结论：

(1)经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

(2)计算机应用系统涉及越来越多的企业关键数据，这些数据大多集中在公司总部数据中心，因此有必要加强各计算机应用系统的用户管理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的机密性、完整性和可用性。

通过对现有的信息安全体系的分析，也可以看出：随着计算机技术的发展、安全威胁种类的增加，某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷，具体表现在：

(1)系统性不强，安全防护仅限于网络安全，系统、应用和数据的安全存在较大的风险。

目前实施的安全方案是基于当时的认识进行的，主要工作集中于网络安全，对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证，对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段，很容易被冒充；又如数据备份缺乏整体方案和制度规范，容易造成重要数据的丢失和泄露。

当时的网络安全的基本是一种外部网络安全的概念，是基于这样一种信任模型的，即网络内部的用户都是可信的。在这种信任模型下，假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部，并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

针对外部网络安全，人们提出了内部网络安全的概念，它基于这样一种信任模型：所有的用户都是不可信的。在这种信任模型中，假设所有用户都可能对信息安全造成威胁，并且可以各种更加方便的手段对信息安全造成威胁，比如内部人员可以直接对重要的服务器进行操控从而破坏信息，或者从内部网络访问服务器，下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点：超过80%的信息安全隐患是来自组织内部，这些隐患直接导致了信息被内部人员所窃取和破坏。

信息系统的安全防范是一个动态过程，某公司缺乏相关的规章制度、技术规范，也没有选用有关的安全服务。不能充分发挥安全产品的效能。

(2)原有的网络安全产品在功能和性能上都不能适应新的形势，存在一定的网络安全隐患，产品亟待升级。

已购买的网络安全产品中，有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性，拟对系统的互联网出口进行严格限制，原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求，现有的防火墙不具备这些功能。

网络信息系统的安全建设建立在风险评估的基础上，这是信息化建设的内在要求，系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期，在规划的过程中，就运用风险评估、风险管理的手段，用户才可以避免重复建设和投资的浪费。

3.2需求分析

如前所述，某公司信息系统存在较大的风险，信息安全的需求主要体现在如下几点：

(1)某公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。

(2)网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使某公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。

(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要加快规章制度和技术规范的建设，使安全防范的各项工作都能够有序、规范地进行。

(4)信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是某公司面临的重要课题。

4设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行，避免重复投入、重复建设，充分考虑整体和局部的利益。

4.1标准化原则

本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定，使安全技术体系的建设达到标准化、规范化的要求，为拓展、升级和集中统一打好基础。

4.2系统化原则

信息安全是一个复杂的系统工程，从信息系统的各层次、安全防范的各阶段全面地进行考虑，既注重技术的实现，又要加大管理的力度，以形成系统化的解决方案。

4.3规避风险原则

安全技术体系的建设涉及网络、系统、应用等方方面面，任何改造、添加甚至移动，都可能影响现有网络的畅通或在用系统的连续、稳定运行，这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题，在规划与应用系统衔接的基础安全措施时，优先保证透明化，从提供通用安全基础服务的要求出发，设计并实现安全系统与应用系统的平滑连接。

4.4保护投资原则

由于信息安全理论与技术发展的历史原因和自身的资金能力，某公司分期、分批建设了一些整体的或区域的安全技术系统，配置了相应的设施。因此，本方案依据保护信息安全投资效益的基本原则，在合理规划、建设新的安全子系统或投入新的安全设施的同时，对现有安全系统采取了完善、整合的办法，以使其纳入总体安全技术体系，发挥更好的效能，而不是排斥或抛弃。

4.5多重保护原则

任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

4.6分步实施原则

由于某公司应用扩展范围广阔，随着网络规模的扩大及应用的增加，系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性，寻求安全、风险、开销的平衡，采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求，亦可节省费用开支。

5设计思路及安全产品的选择和部署

信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终，如图2所示。

图2网络与信息安全防范体系模型

信息安全又是相对的，需要在风险、安全和投入之间做出平衡，通过对某公司信息化和信息安全现状的分析，对现有的信息安全产品和解决方案的调查，通过与计算机专业公司接触，初步确定了本次安全项目的内容。通过本次安全项目的实施，基本建成较完整的信息安全防范体系。

5.1网络安全基础设施

证书认证系统无论是企业内部的信息网络还是外部的网络平台，都必须建立在一个安全可信的网络之上。目前，解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure，公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障，向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统，建立一个完善的网络安全认证平台，能够通过这个安全平台实现以下目标：

身份认证(Authentication)：确认通信双方的身份，要求通信双方的身份不能被假冒或伪装，在此体系中通过数字证书来确认对方的身份。

数据的机密性(Confidentiality)：对敏感信息进行加密，确保信息不被泄露，在此体系中利用数字证书加密来完成。

数据的完整性(Integrity)：确保通信信息不被破坏(截断或篡改)，通过哈希函数和数字签名来完成。

不可抵赖性(Non-Repudiation)：防止通信对方否认自己的行为，确保通信方对自己的行为承认和负责，通过数字签名来完成，数字签名可作为法律证据。

5.2边界防护和网络的隔离

VPN(VirtualPrivateNetwork)虚拟专用网，是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比，具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统，可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道，使得合法的用户可以安全的访问企业的私有数据，用以代替专线方式，实现移动用户、远程LAN的安全连接。

集成的防火墙功能模块采用了状态检测的包过滤技术，可以对多种网络对象进行有效地访问监控，为网络提供高效、稳定地安全保护。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

5.3安全电子邮件

电子邮件是Internet上出现最早的应用之一。随着网络的快速发展，电子邮件的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点，电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先，它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织(根证书)之间相互认证，整个信任关系基本是树状的。其次，S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。

5.4桌面安全防护

对企业信息安全的威胁不仅来自企业网络外部，大量的安全威胁来自企业内部。很早之前安全界就有数据显示，近80%的网络安全事件，是来自于企业内部。同时，由于是内部人员所为，这样的安全犯罪往往目的明确，如针对企业机密和专利信息的窃取、财务欺骗等，因此，对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起，形成一个整体，是针对客户端安全的整体解决方案。

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术，可以无缝嵌入OFFICE系统，用户可以在编辑文档后对文档进行签章，或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后，只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。

3)文件加密系统

文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中，加密算法采用国际标准安全算法或国家密码管理机构指定安全算法，从而保证了存储数据的安全性。

5.5身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。

基于PKI的USBKey的解决方案不仅可以提供身份认证的功能，还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系，从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

6方案的组织与实施方式

网络与信息安全防范体系流程主要由三大部分组成：攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程，也为本方案的实施提供了借鉴。

图3

因此在本方案的组织和实施中，除了工程的实施外，还应重视以下各项工作：

(1)在初步进行风险分析基础上，方案实施方应进行进一步的风险评估，明确需求所在，务求有的放矢，确保技术方案的针对性和投资的回报。

(2)把应急响应和事故恢复作为技术方案的一部分，必要时可借助专业公司的安全服务，提高应对重大安全事件的能力。

(3)该方案投资大，覆盖范围广，根据实际情况，可采取分地区、分阶段实施的方式。

(4)在方案实施的同时，加强规章制度、技术规范的建设，使信息安全的日常工作进一步制度化、规范化。

7结论

本文以某公司为例，分析了网络安全现状，指出目前存在的风险，随后提出了一整套完整的解决方案，涵盖了各个方面，从技术手段的改进，到规章制度的完善；从单机系统的安全加固，到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署，为众多行业提供了网络安全解决手段。

也希望通过本方案的实施，可以建立较完善的信息安全体系，有效地防范信息系统来自各方面的攻击和威胁，把风险降到最低水平。

篇2

1网络安全风险分析

1．1网络结构的安全风险分析

电力企业网络与外网有互连。基于网络系统的范围大、函盖面广，内部网络将面临更加严重的安全威胁，入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有信息，假如内部网络的一台电脑安全受损(被攻击或者被病毒感染)，就会同时影响在同一网络上的许多其他系统。

1.2操作系统的安全风险分析

所谓系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标，一般很少考虑其安全性，因此安装通常都是以缺省选项进行设置。从安全角度考虑，其表现为装了很多用不着的服务模块，开放了很多不必开放的端口，其中可能隐含了安全风险。

1．3应用的安全风险分析

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等。

1．4管理的安全分析

管理方面的安全隐患包括：内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解。责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。

2网络信息与网络安全的防护对策

尽管计算机网络信息安全受到威胁，但是采取恰当的防护措施也能有效的保护计算机网络信息的安全。网络安全不仅仅是技术问题，同时也是一个安全管理问题。我们必须综合考虑安全因素，制定合理的目标、技术方案和相关的配套法规等。以下分别就这两个方面进行论述。

2.1管理维护措施

1）应建立健全计算机网络安全管理制度体系，定期对管理制度进行检查和审定，对存在不足或需要改进的管理制度及时进行修订。2）使用人员应该了解国家有关法规、方针、政策、标准和规范，并主动贯彻与执行；掌握终端的基本使用常识，了解国家电网公司、省公司及分公司有关管理制度，并严格遵守。3）坚持“分区、分级、分域”的总体防护策略，执行网络安全等级保护制度。将网络分为内网和外网，内、外网之间实施强逻辑隔离的措施。4）内外网分离，外网由信息职能管理部门统一出口接入互联网，其他部门和个人不得以其它方式私自接入互联网，业务管理部门如有任何涉及网络互联的需求，应向信息职能管理部门提出网络互联的书面申请，并提交相关资料，按规定流程进行审批，严禁擅自对外联网，如果互联网使用人员发生人动，原来申请的互联网账户必须注销。5）必须实行实名制，实行“谁使用，谁负责”，通过建立电力企业网络中确定用户的身份标识，将网络用户与自然人建立起一一对应的关系。6）加强网络监管人员的信息安全意识，特别是要消除那些影响计算机网络通信安全的主观因素。计算机系统网络管理人员缺乏安全观念和必备技术，必须进行加强。7）有关部门监管的力度落实相关责任制，对计算机网络和信息安全应用与管理工作实行“谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合”的原则，逐级建立安全保护责任制，加强制度建设，逐步实现管理的科学化、规范化。8）办公人员每天直接面对计算机的时间是最长的,如果办公人员本身的计算机操作水平很高,就会有效地减少一些不必要的维护工作。因此,建议计算机管理员在每次维护的过程中,可以适当地把故障产生的原因和维护办法以及注意事项向办公人员做以讲解。随着维护工作不断地进行,时间长了,再遇到类似的故障办公人员便可轻松独立处理,而不只是束手无策。这样,既能提高工作效率,又能降低故障,还能避免重复维护。

2．2技术维护措施

1）操作系统因为自身的复杂性和对网络需求的适应性，需要及时进行升级和更新，因此要及时升级并打上最新的系统补丁，严防网络恶意工具和黑客利用漏洞进行入侵。2）按要求安装防病毒软件、补丁分发系统、移动存储介质管理系统等安全管理软件，进行安全加固，未经许可，不得擅自卸载。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒，保障信息系统的安全。及时升级防病毒软件，加强全员防病毒、木马的意识，不打开、阅读来历不明的邮件；要指定专人对网络和主机进行恶意代码检测并做好记录，定期开展分析；加强防恶意代码软件授权使用、恶意代码库升级等管理。在信息系统的各个环节采用全面的防病毒策略，在计算机病毒预防、检测和病毒库的升级分发等环节统一管理，建立较完善的管理制度，有效地防止和抑制病毒的侵害。3）防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过单一集中的安全检查点，强制实施相应的安全策略进行检查，防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间，信息的共享、整合与调用，都需要在不同网段之间对这些访问行为进行过滤和控制，阻断攻击破坏行为，分权限合理享用信息资源。采用防火墙或入侵防护设备(IPS)对内网边界实施访问审查和控制，对进出网络信息内容实施过滤，对应用层常用协议命令进行控制，网关应限制网络最大流量数及网络连接数。严格拨号访问控制措施。4）对操作系统和数据库系统用户进行身份标识和鉴别，具有登录失败处理，限制非法登录次数，设置连接超时功能；用户访问不得采用空账号和空口令，口令要足够强健，长度不得少于8位，并定期更换，计算机帐号和口令要严格保密，用户短时离开要启动带口令的计算机屏幕保护程序或锁定计算机，长时间不使用计算机，必须将计算机关机，以防他人非法使用。5）要执行备份管理制度，对重要数据进行备份。加强对数据和介质的管理，规范数据的备份、恢复以及废弃介质、数据的处理措施。6）对于办公计算机而言,每天都要在办公区高频地收发处理文件，特别是使用U盘作为传输载体,传播病毒的几率更是居高不下，破坏力极强。可通过批处理程序在开机时把驱动加进去,然后关机时恢复原来设置；或通过组策略设置不自动打开U盘，然后启用杀毒软件扫描。

篇3

1.1企业信息安全管理的隐患

信息安全管理涉及油田生产、数据保存、办公区域保护等多个层面，在信息化时代，油田企业需要加强信息化网络安全管理。现阶段，油田企业信息安全管理的漏洞包括：①信息安全管理制度不健全，缺乏细化、具体化的网络安全措施，针对员工不合理使用信息设备、网络的惩罚机制不健全。②部分管理人员和员工信息素养较低，如他们不能全面掌握部分软件的功能，不重视企业网络使用规范，且存在随意访问网站，随意下载文件的现象，增加企业网络负担，影响网络安全。③信息系统管理员缺乏严格的管理理念。石油企业信息网络系统都设有管理员岗位，负责企业内部网络软硬件的配备与管理，但现阶段，该职位员工缺乏严格的管理理念，不能及时发现和解决信息安全隐患。④为方便员工使用移动终端设备办公上网，石油企业办公区域也设置了无线路由器。但是，员工自身的手机等设备存在很多不安全因素，会影响企业网络安全性。

1.2病毒入侵与软件漏洞

网络病毒入侵通常是通过访问网站、下载文件和使用等途径传播，员工如果访问不法链接或下载来源不明的文件，可能会导致病毒入侵，危害信息安全。病毒入侵的原因主要有两方面，一方面，员工的不良行为带来病毒；另一方面，系统自身的漏洞导致病毒入侵。由此看来，油田企业信息化软件自身存在的漏洞也具有安全隐患。其中，主要包括基础软件操作系统，也包括基于操作系统运行的应用软件，如Office办公软件、CAD制图软件、社交软件、油田监控信息系统、油田企业内部邮箱、财务管理软件、人事管理软件等。

1.3网络设备的安全隐患

现阶段，油田企业网络设备也存在不安全因素，主要表现在两方面：第一，油田企业无论是办公区还是作业区，环境都较为恶劣，部分重要企业信息网络设备放置环境的温度、湿度不合理，严重影响硬件的使用寿命和性能，存在信息数据丢失的危险；第二，企业内部网络的一些关键环节尚未引入备份机制，如服务器硬盘，若单个硬盘损坏缺乏备份机制，会导致数据永久性丢失。

2提高油田企业网络安全策略

2.1加强信息安全管理

基于现阶段油田企业信息网络安全管理现状，首先，油田企业要重新制定管理机制，对各个安全隐患进行具体化、细化规范，包括员工对信息应用的日常操作规范，禁止访问不明网站和打开不明链接。其次，油田企业要强化执行力，摒除企业管理弊端，对违规操作的个人进行严厉处罚，使员工意识到信息安全的重要性，提高其防范意识和能力。再次，油田企业要招聘能力强、素质高的信息系统管理员，使其能及时发现和整改系统安全隐患。最后，对员工使用智能终端上网的现象，则建议办公区配备无线路由器的宽带与企业信息网络要完全隔离，以避免对其产生负面影响。

2.2加强对软件安全隐患和病毒的防范

（1）利用好防火墙防范技术。现阶段，油田企业的网络建设虽然引入防火墙设备，但没有合理利用。因此，油田企业要全面监管和控制外部数据，防止不法攻击，防止病毒入侵。同时，定期更新防火墙安全策略。（2）对企业数据进行有效加密与备份。对油田企业来说，大部分数据具有保密性，不可对外泄密。因此，企业不仅要做好内部权限管理，还应要求掌握关键数据的员工对数据做好加密和备份工作。在传输和保存中利用加密工具进行加密，数据的保存则需要通过物理硬盘等工具进行备份。有条件的企业，可在不同地区进行备份，以防止不可抗拒外力作用下的数据丢失。（3）合理使用杀毒软件。企业要对内部计算机和移动终端安装杀毒软件，并高效运行，以加强对病毒的防范。

2.3提升网络设备安全

（1）由于油田企业内部信息网络规模较大，设备较多且部署复杂。因此，要及时解决硬件面临的问题，定期检查维修，提高硬件设备安全性。定期检修能准确掌握网络设备的运行状况，并能及时发现潜在隐患。（2）对处于恶劣环境中的网络设备，包括防火墙、服务器、交换机、路由器等，尽量为其提供独立封闭的空间，以确保温湿度合理。

3结语

篇4

1.1物理层边界限制模糊

近年来，很多现代化企业加大信息建设，一些下属公司的网络接入企业总网络，企业网路物理层边界限制模糊，而电子商务的业务发展需求要求企业网络具有共享性，能够在一定权限下实现网络交易，这也使得企业内部网络边界成为一个逻辑边界，防火墙在网络边界上的设置受到很多限制，影响了防火墙的安全防护作用。

1.2入侵审计和防御体系不完善

随着互联网的快速发展，网络攻击、计算机病毒不断变化，其破坏力强、速度快、形式多样、难以防范，严重威胁企业网络安全。当前，很多企业缺乏完善的入侵审计和防御体系，企业网络的主动防御和智能分析能力明显不足，检查监控效率低，缺乏一致性的安全防护规范，安全策略落实不到位。

2.构建企业网络安全防护体系

2.1企业网络安全防护体系构建目标

结合企业网络的安全目标、使用主体、性质等因素，合理划分企业逻辑子网，对不同的逻辑子网设置不同的安全防护体系，加强网络边界控制和安全访问控制，保持区域之间的信任关系，构建企业网络安全防护体系，实现网络安全目标：第一，将大型的、复杂的企业网络安全问题转化为小区域的、简单的安全防护问题，有效控制企业网络系统风险，提高网络安全；第二，合理划分企业网络安全域，优化网络架构，实现企业网络安全设计、规划和入网；第三，明确企业网络各个区域的安全防护难点和重点，加大安全设备投入量，提高企业网络安全设备的利用率；第四，加强企业网络运行维护，合理部署企业网络的审计设备，提供全面的网络审核和检查依据，为企业构建网络安全防护体系提供重要参考。

2.2合理划分安全域

现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。由于企业网络在不同区域和不同层次关注的内容不同，因此在划分企业网络安全域时，应结合业务属性和网络管理，不仅要确保企业正常的生产运营，还应考虑网络安全域划分是否合理。针对这个问题，企业网络安全域划分不能仅应用一种划分方式，应综合应用多种方式，充分发挥不同方式的优势，结合企业网络管理要求和网络业务需求，有针对性地进行企业网络安全域划分。首先，根据业务需求，可以将企业网络分为两部分：外网和内网。由于互联网出口全部位于外网，企业网络可以在外网用户端和内网之间设置隔离，使外网服务和内网服务分离，隔离各种安全威胁，确保企业内网业务的安全性。其次，按照企业业务系统方式，分别划分外网和内网安全域，企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网，内网可以分为办公网、生产网，其中再细分出材料采购网、保管网、办公管理网等子网，通过合理划分安全域，确定明确的网络边界，明确安全防护范围和对象目标。最后，按照网络安全防护等级和系统行为，细分各个子网的安全域，划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备，服务集中域主要用于防护企业网络的信息系统，包括信息系统内部和系统之间的数据防护，并且按照不同的等级保护要求，可以采用分级防护措施，边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。

2.3基于入侵检测的动态防护

随着网络技术的快速发展，企业网络面临的安全威胁也不断发生变化，网络攻击手段日益多样化，新病毒不断涌现，因此企业网络安全防护体系构建应适应网络发展和变化，综合考虑工作人员、防护策略、防护技术等多方面的因素，实现基于入侵检测的动态防护。基于入侵检测的动态防护主要包括备份恢复、风险分析、应急机制、入侵检测和安全防护，以入侵检测为基础，一旦检测到企业网络的入侵威胁，网络系统立即启动应急机制，如果检测到企业网络系统已经受到损坏，可利用备份恢复机制，及时恢复企业网络设置，确保企业网络的安全运行。通过动态安全防护策略，利用动态反馈机制，提高企业网络的风险评估分析能力和主动防御能力。

2.4分层纵深安全防护策略

企业网络安全防护最常见的是设置防火墙，但是网络安全风险可能存在于企业网络的各个层次，防火墙的安全防护作用比较有限。企业网络可采用分层纵深安全防护策略，保障网络安全防护的深度和广度，构建高效、综合、全面的安全防护体系，对于企业网络中的应用层、数据层、系统层、网络层和物理层分别采用信息保护、应用系统安全防护、数据库安全防护、操作系统安全防护、网络保护、物理安全保护等防护手段，根据不同网络系统的特点，有针对性地进行安全防护，例如，在网络层可利用资源控制模块和访问控制模块，加强对网络节点的访问控制，在企业网络的应用层和数据层设置身份授权和认证系统，避免用户的违规操作和越权操作。又例如，由于网络环境比较复杂，可在企业网络的应用层、数据层和系统层，设置网络监控和检测模块，保护企业网络的服务器，防止权限滥用和误操作。

3.结语

篇5

【关键词】通讯企业；信息网络;网络安全;控制通讯

企业信息网络比较复杂和繁琐，不仅包括受理人的资料，而且还有相关产品的详细资料以及企业内部员工的资料等，信息网络系统能否正常运行，直接关系到通讯企业发展的好与坏[1]。但是由于计算机网络和信息技术不断的发展，经常存在各种各样的要素威胁着系统的安全，从而损坏甚至丢失内部的重要信息，从而影响通信企业内部正常的运作，最终导致一系列损失[2]。因此，对于通信企业信息网络安全的控制刻不容缓，应该加大力度提高系统的安全性能。

1.信息网络安全概述

信息网络安全是指通过各种各样的网络技术手段，保证计算机在正常运行的过程中处于安全的状态，避免硬件及软件受到网络相关的危险因素的干扰与破坏，同时还可以阻止一些危险程序对整个系统进行攻击与破坏，从而将信息泄露和篡改等，最终保证信息网络在互联网的大环境中正常运行[3]。信息网络安全的维护主要是以信息与数据的完整性与可控性作为核心，并且能够通过用户的操作，实现基本的应用目的。在信息网络的安全维护中，主要包括两个方面。一是设备安全，包括计算机系统的稳定、硬件实体的安全以及软件的正常运行。二是信息安全，主要指的是数据的备份、数据库的安全性等。

2.通信企业信息网络面临的主要安全威胁

2.1人为的恶意攻击

目前信息网络所面临的最大的威胁和挑战就是认为的恶意攻击，人们采取各种各样的方式对于信息进行选择性的破坏和控制，从而造成机密信息的丢失和篡改。

2.2人为的无意失误

通讯企业通过对专门的管理人员进行管理与培训从而保证信息网络系统的正常运行，在日常管理和培训的过程中，会无意的使相应的措施处理不当，这是在所难免的，当工作人员因为自己的原因导致操作不当，会使信息网络系统出现或多或少的漏洞，还有可能造成设备的损坏，这些都是由于人为的无意失误造成的后果[4]。

2.3计算机病毒

由于计算机网络的复杂性及联系性，在工作过程中会尽可能的实现资源共享，因此所接收的结点会有很多。由于无法检测每个结点是否是安全的，因此极容易造成系统的病毒感染。而一旦信息网络受到病毒的感染后，病毒会在信息网络中以非常快的速度进行再生并且传染给其他系统，最终将波及整个网络，后果将不堪设想[5]。

3.通信企业做好信息网络工作的措施

3.1对内部网的访问保护

（1）用户身份认证。如果用户想要进入网络必须经过三个步骤即首先进行用户名进行验证，其次进行用户口令进行验证，最后依据用户帐号进入网络。在这三个步骤中最关键的操作就是用户口令，用户口令需要同时进行系统的加密从而保护网络的安全，并且还应控制同一个账户同时登陆多个计算机的这种现象[6]。（2）权限控制。管理员及用户在进入网络前需要履行某一个任务因此必须遵守所谓的权限原则，这种控制方法可以有效的防止一些非法的用户在一定时间内访问网络资源，从而从根本上阻断这条途径。在进行权限设置的过程中，一定要遵守一些原则，第一，一定要合理的设置网络权限，确保网络权限设置的准确性，不能因为所设置的权限从而影响了整个网络的正常工作，影响了工作的整体效率；第二应该增加一些先进的合理的加密操作技术来减少病毒的入侵，从而从一定程度上保证网络的正常运行，对网络信息数据使用系统性的加密来确保网络安全性和合理性，最终实现对计算机所有结点信息的实时保护。（3）加密技术。通过合理准确的数学函数转换的方法对系统以密文的形式代替明文的现象称之为数据加密，当数据加密后，只有特定的管理人员可以对其进行解密，在数据加密的过程中主要包含两大类：对称加密和不对称加密。

3.2对内外网间的访问保护

（1）安全扫描。互联网互动过程中，及时的对计算机安全卫士和杀毒软件等进行升级，以便及时的对流动数据包进行检测，以便及时有效的对网络中发现的木马和病毒采取有效的防护措施。（2）防火墙系统。防火墙作为计算机网络信息安全防护的第一道屏障，是一种加强网络之间访问控制，以此来决定网络之间传输信息的准确性、真实性及安全性，对于计算机的安全与正常运行具有重要的意义[7]。（3）入侵检测。计算机当中的病毒传播的速度较快且危害性极大，为此应该对网络系统进行病毒的预防及统一的、集中管理，采用防病毒技术及时有效的进行杀毒软件系统的升级，以便对网络互动中发现的木马或病毒程序采取及时的防护措施。

3.3网络物理隔离

在进行信息网络安全控制的过程中不能单一的采用一种安全控制对其保护，而应该根据网络的复杂性采取不同的安全策略加以控制，因此管理人员可以依据密保的等级的程度、各种功能的保护以及不同形式安全设施的水平等差异，通过网络分段隔离的方式提高通信企业信息网络安全。这样的形式及控制方法将以往的错综复杂的控制体系转变成为细化的安全控制体系，能够对于各种恶意的攻击和入侵所造成的危害降低到最小。我们通常所说的物理隔离是指能满足物理隔离的安全性要求的、相对的物理隔离技术。物理隔离的原理是使单个用户在同一时间、同一空间不能同时使用内部网和外部网两个系统。如果两个系统在空间上物理隔离，在不同的时间运行，那么就可以得到两个完全物理隔离的系统[8]。

3.4安全审计及入侵检测技术

安全审计技术对于整个信息网络安全的控制起到了关键性作用，它可以针对不同的用户其入侵的方式、过程以及活动进行系统精密的记录，主要分为两个阶段即诱捕和反击。诱捕是一种特异安排出现的漏洞，可以在一定程度允许入侵者在一定时间内侵入，以便在今后能够获得更多的入侵证据及入侵的特征；当获得足够多的特征及证据的基础上开始进行反击，通过计算机精密的系统对用户的非法入侵的行为进行秘密跟踪并且在较快的时间里查询对方的身份以及来源，从而将系统与入侵者的连接切断,还可追踪定位并对攻击源进行反击。

3.5制定切实可行的网络安全管理策略

要想使通信企业信息网络安全正常运行其前提必须保证整个网络系统的安全，必须针对网络安全提出相应的安全策略，应该使信息网络使用起来安全方便，从而寻找最方便有效的安全措施。在工作的过程中管理人员一定要熟知对于开放性和安全性的具体要求，并且在工作过程中试图寻求两者的共同点和平衡点，当两者出现矛盾的时候应该考虑事情的实际情况有进行准确的取舍。对本网络拓扑结构和能够承受的安全风险进行评估，从网络安全技术方面为保证信息基础的安全性提供了一个支撑。

信息网络的发展需要计算机技术具有跟高的要求，特别是针对通信企业的信息网络安全的控制问题应该加以关注，这直接关系到整个企业的发展。信息网络工程是一个巨大而又复杂的动态的系统工程，需要从多角度进行思索与探讨从而进行综合性的分析，才能选择出更好地安全网络设备，并且对其进行有针对的系统的优化，从而提高管理人员及工作人员的业务水平，最终全面提高整个通讯企业信息网络安全。

作者:王春宝于晓鹏单位:吉林师范大学计算机学院

参考文献

[1]卢昱.网络控制论浅叙[J].装备指挥技术学院学报,2002,3(6):60-64.

[2]王雨田,控制论、信息论、系统科学与哲学[M].北京:中国人民大学出版社,1986.

[3]南湘浩,陈钟.网络安全技术概论[M].北京:国防工业出版社,2003.

[4]涂华.医院信息系统的网络安全与防范[J].中山大学学报论丛,2011,04(12).

[5]王芸《.电子商务法规》.高等教育出版社,2010年版.

[6]张新宝主编：《互联网上的侵权问题研究》,中国人民大学出版社,2003年版.

篇6

（1）内网网络结构不健全。

现阶段，我国的供电企业内网网络结构不够健全，未能达成建立在供电企业内部网络信息化的理想状态。中部市、县级供电公司因为条件有限，信息安全工作相对投入较少，安全隐患较大，各种安全保障措施较为薄弱，未能建立一个健全的内网网络系统。但随着各类信息系统不断上线投运，财务、营销、生产各专业都有相关的信息系统投入应用，相对薄弱的网络系统必将成为整个信息管理模式的最短板。

（2）存在于网络信息化机构漏洞较多。

目前在我国供电企业中，网络信息化管理并未建立一个完整系统的体系，供电网络的各类系统对于关键流程流转、数据存储等都非常的重要，不能出现丝毫的问题，但是所承载网络平台的可靠性却不高，安全管理漏洞也较多，使得信息管理发展极不平衡。信息化作为一项系统的工程，未能有专门的部门来负责执行和管理。网络信息安全作为我国供电企业安全文化的重要组成部分，针对现今我国供电企业网络安全管理的现状来看，计算机病毒，黑客攻击造成的关键保密数据外泄是目前最具威胁性的网络安全隐患。各种计算机准入技术，可移动存储介质加密技术的应用，给企业信息网络安全带来了一定的保障。但是目前供电企业信息管理工作不可回避的事实是：操作系统正版化程度严重不足。随着在企业内被广泛使用的XP操作系统停止更新，针对操作系统的攻击将变得更加频繁。一旦有计算机网络病毒的出现，就会对企业内部计算机进行大规模的传播，给目前相对公开化的网络一个有机可乘的机会，对计算机系统进行恶意破坏，导致计算机系统崩溃。不法分力趁机窃取国家供电企业的相关文件，篡改供电系统相关数据，对国家供电系统进行毁灭性的攻击，甚至致使整个供电系统出现大面积瘫痪。

（3）职工安全防范意识不够。

想要保证我国网络信息的安全，就必须要提高供电企业员工的综合素质，目前国内供电企业职员的安全防范意识不强，水平参差不齐，多数为年轻职员，实际操作的能力较低，缺少应对突发事件应对措施知识的积累。且多数老龄职工难以对网络信息完全掌握，跟不上信息化更新状态，与新型网络技术相脱轨。

2网络信息安全管理在供电企业中的应用

造成供电企业的信息安全的威胁主要来自两个方面，一方面是国家供电企业本身设备上的信息安全威胁，另一方面就是外界网络恶意的攻击其中以外界攻击的方式存在的较多。现阶段我国供电企业的相关部门都在使用计算机对网络安全进行监督和管理，难以保证所有计算机完全处在安全状态。一般情况下某台计算机泄露重要文件或者遭到黑客的恶意攻击都是很难察觉的，这就需要加强我国供电企业进行安全的管理，建立病毒防护体系，及时更新网络防病毒软件，针对性地引进远程协助设备，提高警报设备的水平。供电企业的信息系统一个较为庞大且繁杂的系统，在这个系统中存在信息安全风险也是必然的。在这种情况下就要最大程度地降低存在的风险，对经历的风险进行剖析，制定针对性的风险评估政策，确立供电企业信息系统安全是以制定针对性风险评估政策为前提的，根据信息安全工作的紧迫需求做好全面的风险评估至关重要。“掌握核心技术”不只是一句简单的广告词语，还是国家和各个企业都应该一直贯彻落实的方针政策。为了避免外界对我国供电企业信息技术的操控，国家相关部门就必须实行自主研发信息安全管理体系，有效地运用高科技网络技术促使安全策略、安全服务和安全机制的相结合，大力开发信息网络，促进科技管理水平的快速提高，以保证我国供电信息管理的安全。

3结语

篇7

2:吉林省森工集团信息化发展前景与规划.

3: 吉林省林业设计院网络中心网络改造与发展规划.

4: 吉林省林业系统生态信息高速公路构建课题.

二、论文撰写与设计研究的目的:

跟随1946年第一台计算机在美国诞生,人类文明发展到一个崭新的时代.尤其是20世纪后10年,以计算机网络的飞速发展为契机,我们进入了信息时代.人们的生活和工作逐渐以信息为中心,信息时代更离不开网络, 任何一个规模企业尤其开始依赖网络,没有网络企业就面临着落后.

吉林省的林业分布十分广泛,以长白山系为主要脉络的山地广泛分布各种森林资源,而作为林业及林业环境的发展,林业生态信息则是一个更为庞大的系统,快捷,准确,合理,系统的采集,处理,分析,存储这些信息是摆在我们面前的十分现实的问题.在信息交流的这个世界中,信息好比货物,我们需要将这些货物(信息)进行合理的处理,其中以硬件为主的计算机网络系统是这些货物(信息)交流的"公路"和"处理厂",我做这个题目,就是要为它画出一条"公路"和若干"处理方法"的蓝图.

由于森工集团这样的特定企业,其一,它是一个统一管理的企业,具有集团化的特点,网络的构建具有统一性.其二,它又在地理上是一个分散的企业,网络点也具有分散性.然而,分散中还具有集中的特点,它的网络系统的设计就应该是板块化的.从信息的角度来讲,信息的种类多,各种信息的采集传输处理角度也不尽相同,我们在设计的过程中不仅要考虑硬件的地域布局,也要考虑软件平台的配合.

没有最好,只有更好;更新观念,大步向前.我相信,在导师的精心指导下,经过我的努力,我将为它们创造出一条平坦,宽阔的"高速公路".

1,论文(设计)研究的对象:

拟订以吉林省林业系统为地理模型,以林业网络综合服务为基本需求,以网络拓扑结构为设计方向,以软件整合为应用方法,开发设计一套完整的基于集散集团企业的企业网络系统.

2,论文(设计)研究预期达到目标:

通过设计,论文的撰写,预期达到网络设计全面化,软件整合合理化,网络性能最优化,资金应用最低化,工程周期最短化的目标.

3,论文(设计)研究的内容:

一),主要问题:

设计解决网络地域规范与现有网络资源的利用和开发.

设计解决集中单位的网络统一部署.

设计解决多类型网络的接口部署.

设计解决分散网络用户的接入问题.

设计解决远程瘦用户网络分散点的性能价格合理化问题.

设计解决具有针对性的输入设备的自动化信息采集问题.

合理部署网络服务中心的网络平衡.

优化网络服务系统,营造合理的网络平台.

网络安全问题.

10,基本应用软件整合问题.

二),论文(设计)包含的部分:

1,地理模型与网络模型的整合.

2,企业内部集中部门网络设计.

3,企业内部分散单元网络设计——总体分散.

4,企业内部分散单元网络设计——远程结点.

5,企业内部分散单元网络设计——移动结点.

6,企业网络窗口(企业外信息交流)设计.

7,企业网络中心,服务平台的设计.

8,企业网络基本应用软件结构设计.

9,企业网络特定终端接点设计.

10,企业网络整合设计.

5,论文(设计)的实验方法及理由:

由于设计的过程并不是工程的施工过程,在设计过程中详尽的去现场建设肯定有很大的难度,也不是十分可行的,那么我们在设计的阶段就应该进行仿真试验和科学计算.第一步,通过小型网络测试软件平台,第二步,构建多个小型网络搭建全局网络模拟环境,第三步,构建干扰源利用小型网络集总仿真测试.

6,论文(设计)实施安排表:

1.论文(设计)阶段第一周次:相关理论的学习研究,阅读参考文献资料,制订课题研究的实施方案,准备试验用网络硬件和软件形成试验程序表及试验细则.

2.论文(设计)阶段第二周次:开始第一轮实验,进行小型网络构建试验,模拟网络服务中心,模拟区域板块,模拟远程及移动网络.

3.论文(设计)阶段第三周次:进行接口模拟试验,测试软件应用平台,完善课题研究方案.

4.论文(设计)阶段第四周次:完成第一轮实验,提交中期成果(实验报告1).

5.论文(设计)阶段第五周次:进行第二轮实验,模拟环境(干扰仿真)实验,提交实验报告2.

6.论文(设计)阶段第六周次:完成结题报告,形成论文.

三,论文(设计)实施工具及参考资料:

小型网络环境,模拟干扰环境,软件平台.

吴企渊《计算机网络》.

郑纪蛟《计算机网络》.

陈济彪丹青等《计算机局域网与企业网》.

christian huitema 《因特网路由技术》.

[美]othmar kyas 《网络安全技术——风险分析,策略与防火墙》.

其他相关设备,软件的说明书.

1、论文(设计)的创新点:

努力实现网络资源的全面应用,摆脱将单纯的网络硬件设计为企业网络设计的模式,大胆实践将软件部署与硬件设计阶段相整合的网络设计方法.

题目可行性说明及预期成果:

2、可行性说明:

由于题目结合了"吉林省森工集团信息化发展前景与规划""吉林省林业设计院网络中心网络改造与发展规划""吉林省林业系统生态信息高速公路构建课题",使得题目紧密结合生产实际,于是进行《企业网络设计——基于集散企业的综合网络设计》具有现实意义.

篇8

1:长春广播电视大学毕业设计题目.