緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇企業內網信息安全范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

電力企業作為能源行業的重要組成，隨著網絡通信技術的廣泛應用，逐漸形成完善的計算機網絡信息安全管理系統。然而，由于電力企業地域性分布廣泛，各類業務應用相對繁雜，特別是網絡拓撲結構交錯性強，加之來自網絡內外的各類潛在病毒及黑客攻擊的干擾，網絡安全問題面臨嚴峻挑戰。本研究將從電力企業內網安全管理入手，就其風險因素及防范技術展開探討。

 

一、電力企業內網面臨的完全威脅

 

內網是相對于外網而言，在電力企業內外建設上，根據不同應用領域和管理實際，內網建設多以核心交換機為中心，來實現對不同部門、不同業務之間的協同管理。其面臨的安全威脅主要表現在：

 

一是物理層面的風險，如信息中心各主要服務器、路由器、交換機、工作站等硬件設備、線纜的安全，在進行網絡部署時未能從防火、抗震、抗電磁輻射干擾上進行優化，特別是未對接地電阻、獨立接地體，以及線纜屏蔽層進行防護，對于重要服務器及重要網絡設備未建立雙UPS電源管理，對一些關鍵數據設備在出現故障時未進行容災備份設計。

 

二是網絡架構安全因素，由于內網設計不同領域、不同部門的每一個員工，在不同站點之間采用不同的連接方式，如有些是光纖連接、有些是租賃專線，有些是VPN連接;在網絡拓撲結構上因設備系統擴展，缺乏科學規劃，導致邏輯網絡子網劃分不合理、子網間不安全連接問題突出。

 

三是網絡系統設置因素，對于不同主機系統、網絡設備等硬件在安全配置上存在漏洞，有些系統補丁不健全，容易留下攻擊隱患;有些配置管理操作不規范，如一些路由器配置不合理，特別是針對Windows系統與Linux系統共存環境下的內網配置參數問題，都給系統管理帶來影響。四是應用軟件風險因素，從內網應用軟件系統來看，一方面為辦公系統軟件，設計系統等通用軟件，另一方面是電力系統協同軟件，財務軟件等行業類軟件，再者是圍繞電力生產、供應、管理、調度而開發的專用自動化系統軟件，營銷系統等。

 

由于不同軟件廠家在軟件設計、使用及軟件漏洞管理上都存在不足，而電力企業在內網應用軟件管理上未能進行協同推進，特別是軟件的口令授權、權限設置，軟件系統數據管理及配置、備份管理等問題，都可能帶來更多安全缺陷。五是病毒防范及信息安全意識不足，對于內網，同樣需要關注病毒侵害風險，特別是在一些文檔傳輸中，對于病毒的形式、傳播途徑等未能進行專業防范，特別是風險意識不足，未能真正從制度上、管理上落實安全管理要求。

 

二、電力企業內網安全管理技術

 

(一)防火墻技術的應用。

 

在企業內外網最關鍵的安全防線就是防火墻，一方面防火墻阻止外網的未經許可的訪問，另一方面實現對內網的安全防護。利用防火墻中的包過濾技術，可以實現對未經授權的訪問流進行檢索和控制。如判定數據請求的源地址、目標地質是否安全，數據傳輸端口是否正確;同時，防火墻還可以通過對傳輸數據的相關地址屬性信息來判定數據包的請求是否合法，并進行優化處理; 另外，利用防火墻，還可以實現IP地址的轉換，特別是通過地址映射技術，實現對內網網絡中的IP地址進行虛擬化管理，實現對內網的安全保護。

 

(二)漏洞掃描及入侵檢測技術。

 

對于網絡安全的檢測與管理，通常需要從漏洞掃描技術應用中，來發現本地網絡及內部其他網絡的安全脆弱性問題。特別是對網絡系統內部各類運行行為的掃描，分析安全日志并監測不同內網用戶的操作行為是否合法，并從系統平臺的安全策略檢測上，對可疑行為發出告警。如利用分段入侵檢測來檢查網絡系統安全防護結構的完整性，提升內網安全管理效度。

 

(三)網絡安全防護技術。

 

從內網安全管理實踐來看，網絡安全防護技術主要通過對網絡系統設備、軟硬件系統進行正確配置和合理優化，來抵御可能存在的內網安全風險。如在操作系統登錄管理上，利用授權賬戶管理，并從密碼及有效期限，以及操作權限上進行分級管理;在進行內網遠程登錄連接過程中，所有數據傳輸實施加密協議，如基于WEB的SSL、TLS加密技術;對于來自網絡內的各類Dos攻擊行為，利用路由器來設置拒絕服務模式，提升設備的可用性。

 

(四)防病毒軟件技術。

 

計算機病毒是影響內網安全的重要風險，在病毒防御及控制上，需要圍繞系統性、綜合性特點來部署。由于病毒的發生具有隨機性、動態性，在進行病毒防范上，需要結合病毒特征碼、程序行為、關鍵字等進行檢測，而病毒庫的更新尤為重要。因此，在病毒防范技術上，一方面做好病毒庫的升級更新，另一方面一旦發現病毒，需要從系統隔離、病毒清除、文件保護等方面進行處理，特別是針對一些常見的、惡意病毒，要實施全方位、多層次的病毒防御體系，確保每一臺內網機器的安全。

 

三、結語

 

篇（2）

隨著我國經濟的快速發展和信息化進程的加快，企業都建立了自己的網絡系統，計算機網絡在企業的日常工作和管理中發揮著越來越大的作用。然而，網絡帶給我們便利的同時，也因為網絡的開放性和自由性的特點，導致一些非法分子的攻擊，惡意破壞或侵犯網絡，安全問題日趨突出。企業在加強對內部網絡進行安全管理的同量，還要采取必要的技術措施來保證信息安全。

 

一、內部網絡安全隱患

 

為了提高工作效率，絕大多數企業都建立了自己的內部網絡，內部網絡存在的安全隱患同樣會對信息安全造成很多的威脅，甚至會對企業造成重大經濟損失。企業網絡面臨的威脅來自于企業內部和企業外部兩個方面，安全隱患主要體現在管理不嚴，導致非法入侵;企業內部操作不規范，故意修改自己的IP地址等，導致企業內部信息的泄漏;網絡黑客通過系統的漏洞進行攻擊，導致網絡的癱瘓，數據的盜取;病毒通過局域網資料的共享造成病毒的蔓延等。

 

企業網絡面臨的外部威脅主要是指黑客攻擊，它們憑借計算機技術和通信技術侵入到企業內部網絡信息系統中，非法獲得企業內部的機密文件和信息。無論是操作系統還是網絡服務都存在一定的安全漏洞，這些漏洞的存在，就給攻擊者提供了入侵的機會。網絡黑客通過各種手段對涉密網絡中的計算機進行攻擊，非法闖入涉密信息系統，竊取涉密信息，泄露涉密信息系統內的重要文件。

 

由于企業內部管理不善，企業員工的惡意行為也影響著信息的安全，內部人員的威脅行為分為違規操作和惡意報復。其中，內部員工的違規操作是造成外部威脅得逞的主要原因，有的工作人員利用自己的工作便利進入企業的信息系統，竊取企業信息系統內的重要文件，并將信息泄漏給他人，獲取一定的利益;有的員工直接打開從網上下載的文件和視頻，不經過專業殺毒軟件的掃描，給企業的內部網絡帶來安全隱患，甚至帶來的病毒在全網絡蔓延，造成企業內網的癱瘓，嚴重損壞公司的利益，影響公司的正常運轉。

 

二、內部網絡安全防護措施

 

對于企業來說，網絡安全問題至關重要，必須采取一定的技術措施來保障信息的安全，這些措施有：防火墻技術、病毒防護技術、身份認證、安全管理等。

 

(一)防火墻技術。在一個企業的網絡信息系統中，防火墻是組成信息安全體系的重要組成部分，是進行信息安全防護的最基礎的網絡設施。防火墻在企業內部與外部網絡之間建立了一道安全屏障，對企業內部網絡的安全起到保護作用，它通過一系列的技術措施來防止外部的安全威脅進入企業內部。同時，對傳輸到外部的企業內部信息進行檢查，防止非法用戶的入侵。通過安全監測，防火墻可以監控進出網絡的通信數據，阻擋一些非法和沒有經過信任認證的數據進入企業內部信息系統。防火墻對進入企業內部網絡的信息進行認證、識別，只允許安全的信息進入，一切非法和可疑數據均被擋在防火墻之外。

 

(二)病毒防護。在網絡環境下，計算機病毒具有不可估量的威脅性和破壞力。為了避免企業的信息系統遭受病毒攻擊，必須在企業網絡內部統一安裝專業殺毒軟件，定期進行掃描查殺病毒，不定期更新殺毒軟件的版本，對于系統和應用軟件要定期安裝補丁程序，防止系統漏洞造成對系統的攻擊。采取防護措施防止計算機病毒與惡意代碼通過移動存儲介質、電子郵件、網絡等途徑進行傳播。對于新添置的各種設備和儀器，不能配置存儲外設，比如軟驅、光驅、刻錄機等，同時也不能開設藍牙和無線功能。

 

企業內部的網絡管理員要實時監視網絡服務器上的文件和信息，利用病毒查殺工具定期進行掃描，為了不影響企業員工的正常工作，掃描一般在晚上進行，管理員根據掃描結果對網絡進行相應的處理。當網絡內的任意一臺機器出現故障或病毒時，管理員必須先將此機器的網絡斷開，防止病毒在企業內部擴散和傳播。

 

(三)身份認證。保證信息安全的關鍵是有效阻止非法用戶的入侵，因此，必須對進入企業網絡信息系統的用戶進行身份認證。用戶在登錄信息系統前，系統首先要查核用戶的身份，確認是系統的合法用戶后，才能讓其登錄系統。身份認證的方法有很多，最簡單的一種是設置用戶口令，用戶口令由用戶自行設定，也可由系統隨機產生。這種方法實現比較簡單，但是如果密碼設置的太簡單，也很容易被識破。身份認證的另外一種方法是使用唯一標識符。系統在創建用戶時，同時為其創建一個標識符，此標識符是用來識別和確認用戶身份的唯一標志，標識符通常包括數字、字母和稱號等一串字符序列，該數字序列只能屬于一個用戶使用，在系統周期內，別的用戶不能被再次使用。

 

(四)安全管理。由于企業內部網絡面臨著各種各樣的威脅，再加上內部員工操作的不規范，工作環境復雜，近年來流行的桌面管理軟件可以很好的解決這個問題。桌面管理軟件可以對存儲在計算機內的文件進行全面和保護，對企業的重要信息進行事前防御、事中控制、事后審計;它能夠有效地防止企業的內部信息通過打印機、存儲介質、網絡等進行泄密，對信息實現全方位的安全審計。對于一些保密級別較高的信息，采用文件強制性加密功能，員工在操作文件的過程中自動加密處理，即便文件被非法泄漏，外人也無法打開和閱讀。另外，企業要建立信息安全管理機構，健全企業內部網絡信息安全防護制度建設，實行主管部門領導的責任制，明確規定安全責任，劃清安全管理范圍。

 

三、結束語

 

篇（3）

1 企業網絡信息安全的內部威脅的分析

 

1.1 隨意更改IP地址

 

企業網絡使用者對于計算機IP地址的更改是常見的信息安全問題，一方面更改IP地址后，可能與其他計算機產生地址沖突，造成他人無法正常使用的問題，另一方面更改IP的行為將使監控系統無法對計算機的網絡使用進行追溯，不能準確掌握設備運行狀況，出現異常運行等問題難以進行核查。

 

1.2 私自連接互聯網

 

企業內部人員通過撥號或寬帶連接的形式，將計算機接入互聯網私自瀏覽網絡信息，使企業內部網絡與外界網絡環境的隔離狀態被打破，原有設置的防火墻等病毒防護體系不能有效發揮作用，部分木馬、病毒將以接入外網的計算機為跳板，進而侵入企業網絡內部的其他計算機。

 

1.3 隨意接入移動存儲設備

 

移動硬盤、U盤等移動存儲設備的接入是當前企業內部網絡信息安全的最大隱患，部分企業內部人員接入的移動存儲設備已經感染了病毒，而插入計算機的時候又未能進行有效的病毒查殺，這使得病毒直接侵入企業計算機，形成企業信息數據的內外網間接地交換，造成機密數據的泄漏。

 

1.4 不良軟件的安裝

 

部分企業盡管投入了大量資金在內部網絡建設與信息安全保護體系構建之中，但受版權意識不足、軟件購置資金較少等原因的限制，一些企業在計算機上安裝的是盜版、山寨軟件，這些軟件一方面不能保證計算機的正常使用需求，對企業內部網絡的運行造成一定影響，同時這些軟件還可能預裝了部分插件，用于獲取企業內部資料信息，這都對內網計算機形成了一定的威脅。

 

1.5 人為泄密或竊取內網數據資料

 

受管理制度不完善、監控力度不完善等因素的影響，一些內部人員在企業內部網絡中獲取了這些數據信息，通過攜帶的移動存儲設備進行下載保存，或者連接到外網進行散播，這是極為嚴重的企業網絡信息安全的內部威脅問題。

 

2 企業網絡信息安全的內部威脅成因分析

 

2.1 企業網絡信息安全技術方面

 

我國計算機與網絡科學技術的研究相對滯后，在計算機安全防護系統和軟件方面的開發仍然無法滿足企業的實際需求，缺少適合網絡內部和桌面電腦的信息安全產品，這使得當前企業網絡內部監控與防護工作存在這漏洞，使企業管理人員不能有效應對外部入侵，同時不能對企業內部人員的操作行為進行監控管理。

 

2.2 企業網絡信息安全管理方面

 

在企業中，內部員工對于信息安全缺乏準確的認知，計算機和內部網絡的使用較為隨意，這給企業網絡安全帶來了極大的隱患。同時，企業信息管理部門不能從自身實際情況出發，完善內部數據資料管理體系，在內部網絡使用上沒有相應的用戶認證以及權限管理，信息資料也沒有進行密級劃定，任何人都能隨意瀏覽敏感信息。另外，當前企業網絡信息安全的內部威脅大多產生于內部員工，企業忽視了對員工的信息安全管理，部分離職員工仍能夠登錄內部網絡，這使得內部網絡存在著極大的泄密風險。

 

3 企業網絡信息安全的內部威脅解決對策

 

3.1 管控企業內部用戶網絡操作行為

 

對企業內部用戶網絡操作行為的管控是避免出現內部威脅的重要方法，該方法能夠有效避免企業網絡資源非法使用的風險。企業網絡管理部門可在內部計算機上安裝桌面監控軟件，為企業網絡信息安全管理構筑首層訪問控制，從而實現既定用戶在既定時間內通過既定計算機訪問既定數據資源的控制。企業應對內部用戶或用戶組進行權限管理，將內部信息數據進行密級劃分，將不同用戶或用戶組能夠訪問的文件和可以執行的操作進行限定。同時，在用戶登錄過程中應使用密碼策略，提高密碼復雜性，設置口令鎖定服務器控制臺，杜絕密碼被非法修改的風險。

 

3.2 提高企業網絡安全技術水平

 

首先管理部門應為企業網絡構建防火墻，對計算機網絡進程實施跟蹤，從而判斷訪問網絡進程的合法性，對非法訪問進行攔截。同時，將企業網絡IP地址與計算機MAC地址綁定，避免IP地址更改帶來的網絡沖，同時對各計算機的網絡行為進行有效追蹤，提高病毒傳播與泄密問題的追溯效率。另外，可通過計算機屬性安全控制的方式，降低用戶對目錄和文件的誤刪除和修改風險。最后，應對企業網絡連接的計算機進行徹底的病毒查殺，杜絕病毒的內部蔓延。

 

3.3 建立信息安全內部威脅管理制度

 

企業網絡信息安全管理工作的重點之一，就是制定科學而完善的信息安全管理制度，并將執行措施落到實處。其中，針對部分企業人員將內部機密資料帶離企業的行為，在情況合理的條件下，應進行規范化的登記記錄。針對企業網絡文件保存，應制定規律的備份周期，將數據信息進行匯總復制加以儲存。針對離職員工，應禁止其帶走任何企業文件資料，同時對其內部網絡登錄賬號進行注銷，防止離職員工再次登入內部網絡。

 

3.4 強化企業人員網絡安全培訓

 

加強安全知識培訓，使每位計算機使用者掌握一定的安全知識，至少能夠掌握如何備份本地的數據，保證本地數據信息的安全可靠。加大對計算機信息系統的安全管理，防范計算機信息系統泄密事件的發生。加強網絡知識培訓，通過培訓，掌握IP地址的配置、數據的共享等網絡基本知識，樹立良好的計算機使用習慣。

 

4 結語

 

綜上所述，信息安全是當前企業網絡應用和管理工作的要點之一，企業應嚴格管控企業內部用戶網絡操作行為，提高企業網絡安全技術水平，建立信息安全內部威脅管理制度，強化企業人員網絡安全培訓，進而對企業網絡信息安全內部威脅進行全面控制，從而提高敏感信息與機密資料的安全性。

 

篇（4）

目前，企業內部網絡的安全問題的嚴重程度已經遠遠超過了外部網絡帶來的安全威脅，企業內部網絡的安全威脅成為了企業信息安全面臨的重大難題。但是，由于企業管理人員的網絡安全防范意識不強，對于企業內部網絡的安全問題不夠重視，甚至沒有對企業內部網絡采取任何安全防范措施，因此導致了企業內部網絡安全事故不斷增加，給企業帶來了重大經濟損失和社會負面影響，怎樣能夠保證企業內部網絡不受到任何威脅和侵害，已經成為了企業在信息化發展建設過程中亟待解決的問題。

2 企業內部網絡的安全威脅

隨著計算機技術和網絡技術的飛速發展，企業內部網絡是其信息化建設過程中必不可少的一部分。而且，網絡應用程序的不斷增多也使得企業網絡正在面臨著各種各樣的安全威脅。

2.1內部網絡脆弱

企業內部網絡遭到攻擊通常是利用企業內部網絡安全防范的漏洞實現的，而且，由于部分網絡管理人員對于企業內部網絡安全防范不夠重視，使得大部分的計算機終端都面臨著嚴重的系統漏洞問題，隨著內部網絡中應用程序數量的日益增加，也給計算機終端帶來了更多的系統漏洞問題。

2.2用戶權限不同

企業內部網絡的每個用戶都擁有不同的使用權限，因此，對用戶權限的統一控制和管理非常難以實現，不同的應用程序都會遭到用戶密碼的破譯和非法越權操作。部分企業的信息安全部門對于內部網絡的服務器管理不到位，更容易給網絡黑客留下可乘之機。

2.3涉密信息分散

由于部分企業內部網絡的涉密數據存儲分布在不同的計算機終端中，沒有將這些涉密信息統一存儲到服務器中，又缺乏嚴格有效的監督控制管理辦法。甚至為了方便日常辦公，對于涉密數據往往不加密就在內部網絡中隨意傳輸，這就給竊取涉密信息的人員制造了大量的攻擊機會。

3 企業內部網絡安全防范設計方案

3.1網絡安全防范總體設計

即使企業內部網絡綜合使用了入侵檢測系統、漏洞掃描系統等防護手段，也很難保證企業內部網絡之間數據通信的絕對安全。因此，在本文設計的企業內部網絡安全防范方案中，部署了硬件加密機的應用，能夠保證對企業內部網絡中的所有數據通信進行加密處理，從而加強企業內部網絡的安全保護。

3.2網絡安全體系模型構建

企業內部網絡安全體系屬于水平與垂直分層實現的，水平層面上包括了安全管理、安全技術、安全策略和安全產品，它們之間是通過支配和被支配的模式實現使用的；垂直層面上的安全制度是負責對水平層面上的行為進行安全規范。一個企業內部網絡安全體系如果想保持一致性，必須包括用戶授權管理、用戶身份認證、數據信息保密和實時監控審計這四個方面。這四個方面的管理功能是共同作用于同一個平臺之上的，從而構建成一個安全可靠、實時可控的企業內部網絡。

1）用戶身份認證

用戶身份認證是保證企業內部網絡安全穩定運行的基礎，企業內部網絡中的用戶身份認證包括了服務器用戶、網絡設備用戶、網絡資源用戶、客戶端用戶等等，而且，由于網絡客戶端用戶數量龐大，存在著更多的不安全、不確定性，因此，對于網絡客戶端用戶的身份認證至關重要。

2）用戶授權管理

用戶授權管理是以用戶身份認證作為基礎的，主要是對用戶使用企業內部網絡的數據資源時進行授權，每個用戶都對應著不用的權限，權限代表著能夠對企業內部網絡中的某些資源進行訪問和使用，包括服務器數據資源的使用權限、網絡數據資源使用權限和網絡存儲設備資源使用權限等等。

3）數據信息保密

數據信息保密作為企業內部網絡中信息安全的核心部分，需要對企業內部網絡中進行數據通信的所有數據進行安全管理，保證數據通信能夠在企業內部網絡中處于一個安全環境下進行，從而保證對企業內部網絡涉密信息和知識產權信息的有效保護。

4）實時監控審計

實時監控審計作為企業內部網絡中必不可少的部分，主要實現的是對企業內部網絡的安全的實時監控，定期生成企業內部網絡安全評估報告，一旦企業內部網絡出現安全問題時，能夠及時匯總數據，為安全事故的分析判斷提供有效依據。

4結論

目前，關于企業內部網絡的安全防范問題一直是網絡信息安全領域研究的熱點問題，越來越多的企業將辦公系統應用于企業內部網絡中，但是由于企業工作人員的安全防范意識不強，或者網絡操作不規范，都給企業內部網絡帶來了更多的安全威脅。本文提出的企業內部網絡安全防范設計方案，能夠有效解決多種內部網絡的安全問題，具有一定的實踐應用價值。

篇（5）

同時，目前很多企業沒有建立完善的信息安全規章制度，也缺少必要的安全合規意識，尤其在終端用戶規模較大的企業，內網安全存在諸多隱患。

如果把企業的網絡安全比作一只完整木桶的話，內網安全似乎是目前相對較短的那塊，因此，完善企業的網絡安全，內網安全建設顯得尤為重要。

內網風險越來越大

據統計，外部入侵事件占到所有信息安全事件的20％～30％，而70％～80％的信息安全事件來自于內部，而且內部人員犯罪難抵御、難發現。此外，在企業整體的安全建設投入中，內網部分往往占了過半。

事實上，隨著USB、移動存儲等工具的頻繁使用并逐漸形成病毒入侵的途徑之一，來自內部網絡的攻擊有愈演愈烈之勢。更重要的是，一些重要的企業信息資料被內部員工非法拷貝、篡改、盜取等，也成為內網安全的重要隱患。

在保密要求甚高的機構尤其如此。目前，隨著電子政務的大力實施，作為向老百姓處理日常事務的政府部門，如地稅局、氣象局、銀監會、證監會等，都不可避免的要通過移動方式進行現場辦公，其中，U盤、光盤、筆記本電腦等移動存儲設備也被大量使用。

而對于企業機構的內網用戶，如果缺少較好的身份認證和訪問控制機制，那么也會因訪問權限的混亂而造成信息泄露風險，比如企業內部服務器，有的用戶能只能訪問服務器提供的Web服務，有的用戶只能訪問服務器提供的FTP服務。

至于如何防止網絡辦公環境下，因移動辦公所帶來的電子郵件被截獲、修改等風險，以及在知識的共享和管理已經成為企業信息系統建設重要的應用的今天，如何有效地分類、安全存儲、管理和使用文件、檔案等，也都需要在內網安全建設上進一步完善。

內網安全整體防護

應該說，無論通過怎樣的技術產品和保護方式，“企業內網安全的追求不外乎五個關鍵點，非法用戶進不來，有效信息拿不走，信息讀不懂，非法行為跑不掉，數據設備不怕丟。”衛士通公司副總經理李學軍如此總結。

事實上，目前市場針對內網安全的產品已有眾多，有重在防數據泄露的終端防護解決套件，有重在統一管理的安全管理平臺，還有重在身份認證的加密方案。衛士通的一Key通綜合安全防護系統，則是通過每個用戶持有的一個USBKey硬件密碼模塊，實現終端設備、身份認證、訪問控制、郵件保密等方面的綜合防護。

篇（6）

中圖分類號：TP393.08

隨著信息化技術的高速發展和深入應用，企業對信息系統的依賴性越來越強，絕大部分的業務從紙面遷移到信息系統當中，如何建立穩固的信息安全管理體系已經成為各企業信息管理部門甚至管理層的重要課題。本文將通過對目前國際信息安全行業發展的分析，提出企業構建穩固的信息安全管理架構，提高信息安全水平的初步構想。

1企業信息安全政策

信息安全政策作為信息安全工作的重中之重，直接展現了企業的信息安全工作的思路。其應當由企業信息安全工作的使命和遠景，實施準則等幾部分組成。

1.1信息安全工作的使命

信息安全工作的核心意義是將企業所面臨的風險管理至一個可接受的水平。

當前主流的風險控制包含以下四個步驟：通過風險評估方法來評估風險；制定安全策略來降低風險；通過監控控制惡意未授權行為；有效地審計。

1.2信息安全工作的愿景

安全的企業信息化環境可以為任何企業用戶提供安全便捷的信息化服務，應用，基礎設施，并保護用戶的隱私。讓用戶有安全的身份驗證；能安全便捷的使用需要的數據和應用資源；保證通訊和數據的保密性；明確自身的角色，了解角色在企業中的信息安全責任；身邊出現的信息安全風險和威脅能得到迅速響應。

要達到上述目的，企業需要進行有效的風險管理。風險管理是一個識別風險、評估風險、降低風險的過程。在這個過程中，需要權衡降低風險的成本和業務的需求，確定風險的優先級別，為管理層的決策提供有效的支持。

1.3信息安全準則

信息安全準則是風險評估和制定最優解決方案的關鍵，優秀的信息安全準則包括：根據企業業務目標執行風險管理；有組織的確定員工角色和責任；對用戶和數據實行最小化權限管理；在應用和系統的計劃和開發過程中就考慮安全防護的問題；在應用中實施逐層防護；建立高度集成的安全防護框架；將監控、審計和快速反應結合為一體。

良好信息安全準則可以讓企業內外部用戶了解企業信息安全理念，從而讓企業信息管理部門更好地對風險進行管控。

2企業信息安全管理的主要手段

2.1網絡安全

（1）保證安全的外部人員連接。在日常工作中，外部合作伙伴經常會提出聯入企業內網的需求，由于這些聯入內網的外部人員及其終端并不符合企業的信息安全標準，因此存在信息安全隱患。控制此類風險的手段主要有：對用戶賬戶使用硬件KEY等強驗證手段；全面管控外部單位的網絡接入等。

（2）遠程接入控制。隨著VPN[2-3]技術的不斷發展，遠程接入的風險已降低到企業的可控范圍，而近年來移動辦公的興起更是推動了遠程接入技術的發展。企業采用USB KEY，動態口令牌等硬件認證方式的遠程接入要更加的安全。

（3）網絡劃分。在過去，企業內部以開放式的網絡為主。隨著網絡和互聯網信息技術的成熟，非受控終端給企業內網帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業網絡的路徑。信息管理部門可以利用IPSec[4]技術有效提高企業網絡安全，實現對位于公司防火墻內部終端的完全管控。

（4）網絡入侵檢測系統。網絡入侵檢測系統作為防火墻的補充，主要用于監控網絡傳輸，在檢測到可疑傳輸行為時報警。作為企業信息安全架構的必備設備，入侵檢測系統能有效防控企業外部的惡意攻擊行為，隨著信息技術的發展，各大安全廠商如賽門鐵克，思科等均研發出來成熟的入侵檢測系統產品。

（5）無線網絡安全。無線網絡現在已遍布企業的辦公區域，給企業和用戶帶來便利的同時也存在信息安全的隱患。要保證企業內部無線網絡的安全，信息管理部門需要使用更新更安全的協議（如無線保護接入WPA或WPA2）；使用VLAN劃分和域提供互相隔離的無線網絡；利用802.1x和EAP技術加強對無線網絡的訪問控制。

2.2訪問控制

（1）密碼策略。高強度的密碼需要幾年時間來破解，而脆弱的密碼在一分鐘內就可以被破解。提高企業用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害，企業必須制定密碼策略并利用技術手段保證執行。

（2）用戶權限管理。企業的員工從進入公司到離職是一個完整的生命周期，要便捷有效地在這個生命周期中對員工的權限進行管理，需要企業具有完善的身份管理平臺，從而實現授權流程的自動化，并實現企業內應用的單點登陸。

（3）公鑰系統[5]。公鑰系統是訪問控制乃至信息安全架構的核心模塊，無線網絡訪問授權，VPN接入，文件加密系統等均可以通過公鑰系統提升安全水平，因此企業應當部署PKI/CA系統。

2.3監控與審計

（1）病毒掃描與補丁管理。企業需要統一的防病毒系統和終端管理系統，在終端定期更新病毒定義，進行病毒自掃描，自動更新操作系統補丁，以減少桌面終端的安全風險。此類管控手段通常需要在用戶的終端上安裝客戶端，或對終端進行定制，在終端接入企業內網時，終端管理系統會在隔離區域對該終端進行綜合評估打分，通過評估后方能接入內網。才能保證系統的安全策略被有效執行。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構成：防病毒系統；內容過濾網關；郵件過濾網關；惡意網頁過濾網關和入侵檢測軟件。

（3）安全事件記錄和審計。企業應當配置日志審計系統，收集信息安全事件，產生審計記錄，根據記錄進行安全事件分析，并采取相應的處理措施。

2.4培訓與宣傳

提高企業管理層和員工的信息安全意識，是信息安全管理工作的基礎。了解信息安全的必要性，管理層才會支持信息安全管理建設，用戶才會配合信息管理部門工作。利用定期培訓，宣傳海報，郵件等方式定期反復對企業用戶進行信息安全培訓和宣傳，能有效提高企業信息安全管理水平。

3總結

當前，越來越多的企業已經把信息安全看做影響業務發展的核心因素之一，信息安全管理已經成為企業管理的重點。本文對信息安全政策，安全管理手段等方面進行了剖析，結合當前國際主流的信息安全解決辦法，為企業做好，做強信息安全管理體系給出了一些通用性的標準，對企業構建信息安全管理體系，消除信息安全隱患，避免信息安全事件造成的損失，確保信息系統安全、穩定運行具有探索意義。

參考文獻：

[1]何劍虹,白曉穎,李潤玲,崔智社.基于SLA的面向服務的基礎設施[J].電訊技術,2011,51(9):100-105.

[2]胡道元,閡京華.網絡安全[M].北京:清華大學出版社,2004.

篇（7）

Discussion of Intranet Security Establishment

Zhang Huai-jing Zhu Jian-hang Wang Xin-ting

（China Tobacco Shandong Industrial Co. Ltd. Qingzhou Cigarette Factory ShandongQingzhou 262500）

【 Abstract 】 With the development of information technology, Intranet security has been more and more important, how to set up a eligible security system, how to set up a network security policy, how to implement the safety network system, how to guaranteef the security of core data from company. Those are the issues need to be solved immediately according to the enterprise pressing requirement. This article studied seveal directions from the inner network security concept and inner safety net system implementation principles, Structure frame and specific function and the inner safety net system development vision, Those provided reference and helpness for enterprise inner safety net system establishment.

【 Keywords 】 intranet security;access control;audit; security strategy

0 引言

隨著信息技術的發展，信息化在企業的生產經營活動中起到越來越重要的支撐作用。企業局域網的普及，辦公自動化的廣泛應用，企業內部ERP、MES、生產自動化等各種應用系統的實施，在給企業活動帶來極大便利的同時，也帶來了眾多的安全隱患，如：病毒的傳播、企業機密信息的泄漏、生產業務數據的丟失、網絡的濫用等。而此時企業的防護手段還是主要以防火墻為代表的網絡邊界防護，一旦越過防火墻，來到企業局域網內部，就會對企業的內部網絡造成極大的破壞和風險。

造成這種情況多是由于企業內大多數用戶計算機知識有限，對信息安全認識程度不高，缺乏防護意識，加之企業網絡防范技術措施的缺失，因而難以對局域網內的單點威脅爆發進行有效監控和防范。依靠單一的邊界防火墻、防病毒軟件無法應付病毒和其他信息安全的威脅，只有在將每個客戶端都保護起來才能有效防止病毒入侵、信息泄露、蠕蟲爆發，網絡濫用等問題。因此，企業內網安全的管理顯得日趨重要。

1 內網安全和管理概述

內網安全的概念：一般而言，我們通常以企業局域網的網絡邊界為限，將企業網絡劃分為內部網和外部網兩個部分。因此，內網安全指的就是企業內部局域網的信息安全。具體地說，就是對企業局域網防火墻以內的網絡的信息安全綜合管理，進一步也包括局域網終端的綜合管理。由于IT技術的快速發展變化，新的技術和新的安全威脅不斷涌現，因此內網安全的概念自始至終就在不斷的變化著。

2 內網安全現狀

隨著企業信息化建設的發展，企業生產經營的各種資料、數據80%以上都是以電子文檔和數據的形式保存。這些信息包含了企業的核心生產技術、經營成本信息、日常生產數據等各方面的數據，對可靠性、保密性要求很高，如果發生數據丟失或泄密，將會給企業的生產經營活動造成無法估計的后果。

企業局域網的普及，為企業提高員工工作效率，提高企業整體競爭實力奠定了基礎。但是，員工不規范的桌面行為，如上班時間炒股、網上玩游戲、在線看電影等行為嚴重影響了工作效率。同時由于BT下載、在線視頻、迅雷應用等行為，造成企業局域網的堵塞，影響正常業務的開展。還有非法和不健康網站的瀏覽，可能會導致病毒、木馬等被非法下載進入企業局域網內部，對企業網絡的安全產生嚴重危害。

外來人員不能有效進行管理。企業合作和外協單位的工作人員來廠交流，由于不能及時對相關人員的計算機設備進行檢查，容易由其計算機設備將病毒、木馬等帶入企業內部網絡。同時，外來人員監控的缺失，也會造成企業內部資料的泄漏等情況。

由于企業的發展，辦公地點分散，由此造成大量計算機系統分散布置，企業內部的資產統計工作非常繁瑣。維護計算機系統的正常運轉是IT部門的日常工作，但由于缺少適合的管理工具，企業內部動輒幾百上千臺計算機系統維護，也使得有限的IT管理人員要將有限的時間都投入到無限的系統維護工作上。

3 內網安全建設

3.1 內網安全建設原則

按照BS7799信息系統安全管理規范的要求，在設計信息安全系統時，必須掌握安全原則。

3.1.1相對安全原則

沒有100%的信息安全，安全是相對的，在安全保護方面投入的資源是有限的。保護的目的是要使信息資產得以有效利用，不能為了保護而過度限制對信息資產的使用。

3.1.2分級/分組保護原則

對信息系統分類，不同對象定義不同的安全級別，首先要保障安全級別高的對象。

3.1.3全局性原則

解決安全問題不只是一個技術問題，要從組織、流程、管理上予以整體考慮、解決。

3.2 內網安全建設架構

企業的內網安全系統建設應建立一個統一的集成化的管理平臺，有整體的終端安全視圖，呈現整個計算機網絡系統中所有終端設備的安全運行狀況。管理員不僅可以看到終端安全的運行狀況，終端的安全設置，也能夠看到終端的軟件配置、硬件配置、終端的物理位置等信息。

通過統一的集成化的管理平臺，管理員可以完成所有與終端安全管理維護相關的各種任務，包括用戶身份認證，網絡準入控制管理，網絡拓撲發現及設備快速定位，終端安全策略設置（主機安全漏洞策略、防病毒安全策略、非法外聯策略、網絡訪問審計策略等），網絡異常監控，移動介質管理，終端軟件及補丁管理，終端的遠程管理和維護，終端資產管理等多個方面。

3.3 安全功能模塊

3.3.1準入控制管理

系統對于非法進入企業內網的終端進入進行監控與管理。管理員將網絡資源劃分為不同的區域以便不同的終端訪問不同區域的網絡資源：訪客區、修復區和正常工作區。劃分方式可以是VLAN或者基于IP的訪問控制列表。通過網絡準入控制杜絕非法外來電腦接入內部網絡；同時將有問題的客戶機隔離或限制其訪問，直到這些有問題的客戶機修復為止，這樣，一方面可以防止這些客戶機成為蠕蟲和病毒攻擊的目標，還可以防止這些主機成為傳播病毒的源頭。

對于非法主機，系統可以主動阻止其訪問任何網絡資源，從而保證非法主機不對網絡產生影響，無法有意或無意的對網絡進行攻擊或者試圖竊密。

3.3.2網絡拓撲發現及IT資產管理

通過二層拓撲發現功能可以發現網絡中的所有IT設備，包括網絡設備、主機設備、網絡打印機、終端設備等。實現跨網絡、跨路由發現設備，支持不同廠商網絡設備混合構建的異構網絡設備發現。通過二層拓撲發現，能夠獲得網絡設備之間、主機和網絡設備之間的物理連接關系，獲得設備的基本信息如IP地址、MAC地址、設備名、在線

利用局域網終端計算機客戶端的安裝，系統可以自動終端詳細的軟硬件配置信息，包括CPU、主板信息、內存信息、硬盤信息、光驅信息、網卡信息、外設信息、操作系統信息等各種計算機系統信息。同時，系統可以自動收集分析終端計算機安裝的軟件信息，包括安裝的軟件名、軟件廠商、版本、語言、安裝日期等。

通過上述技術，管理員可以可以快速發現接入網絡的所有設備（無需準入控制），無論接入網絡的終端是否安裝個人防火墻，均可以對其快速發現并予以定位，實現企業局域網設備的實時監控。系統智能實現自動監測系統軟硬件資產的變動，記錄日志并可以產生報警，同時可以根據策略自主采用響應措施，防止資產變更給客戶端或者網絡帶來更大的危害。

3.3.3移動介質管理

移動介質的管理一直是企業IT管理中的難點，也是最容易出現安全問題的設備，對移動介質的管理主要在以下幾點上進行控制：外部的或非法的移動存儲設備不能隨意的進入IT系統，必須經過一個安全的注冊認證流程來實現對管理；經過注冊的內部移動存儲設備的使用要進行監管，未經授權無法到外部使用，進行加密存儲；為了防御移動介質的自運行程序，在使用移動介質時，無法運行移動介質中的可執行程序；對移動介質的文件傳輸進行審計或禁止。

3.3.4客戶端反卸載功能

終端計算機客戶端具有自我保護功能，可以防止客戶端用戶隨意卸載、停止或者刪除的安裝目錄下文件。管理員必須有卸載口令才能對客戶端進行卸載操作，而且卸載口令可以動態變化并下發到終端上。

即使終端客戶通過格式化系統盤并重裝操作系統來卸載客戶端，系統也可以通過與網絡準入控制功能的聯動來實現對該終端的強制控制，當終端再次接入內網后，網絡準入控制系統會自動把該終端劃到訪客區中，該終端必須重新安裝客戶端來實現進入網絡。

3.3.5終端安全策略管理

系統可以對客戶端操作系統漏洞進行掃描，包括是否存在弱口令賬號、是否啟用Guest賬號、賬號口令是否很長時間沒有修改、是否存在已知的黑客程序、是否安裝了違禁軟件、是否未安裝必須安裝的軟件如防病毒軟件、是否啟用違禁進程等。所有這些漏洞信息都會在客戶端按如下界面顯示，提醒用戶自己機器存在的安全漏洞，并且也會通知管理員。

系統可以設置雙向防火墻策略來限制客戶端的網絡訪問。包括可以設定客戶端向外提供的網絡服務、客戶端可以訪問的網絡服務。通過黑名單、白名單的方式來制定終端的網絡訪問控制策略。

系統可以通過白名單、黑名單方式定義違禁軟件，這些違禁軟件被運行時可以產生告警事件通知管理員，或者直接禁止違禁軟件的使用。

利用網絡行為審計功能實現終端用戶上網行為審計和控制，包括：通過白名單和黑名單，審計和控制Web網站的訪問，可以禁止終端用戶訪問一些非法Web網站；通過白名單和黑名單，審計和控制通過POP3和SMTP服務器收發郵件，可以禁止終端用戶通過外部郵箱收發郵件；對文件拷貝進行審計和控制；對MSN、QQ等聊天軟件的使用進行審計和控制，可以禁止某個時間段內使用這些聊天工具；對BT、電驢等P2P軟件的使用進行審計和控制，可以禁止這些P2P軟件的使用。

3.3.6網絡異常監控

系統客戶端能夠自動抵御ARP網關欺騙和DHCP欺騙，能夠實現自動識別，并選用正確的網關MAC。當發現ARP網關欺騙時，能夠自動向管理員報警。因為網絡結構調整或者網絡設備升級原因而更換網關設備時，無需更改終端的配置，終端能夠自動適應，選擇新的網關MAC地址。

3.3.7終端行為審計與控制

系統可以實現局域網內終端計算機的個人行為審計，包括：U盤控制功能，實現U盤的讀寫控制；定義終端設備能夠通過哪些POP3和SMTP服務器收發郵件，禁止通過哪些POP3和SMTP服務器收發郵件，哪些需要進行審計；通過Web訪問控制，可以限制桌面終端用戶通過WebMail方式外傳文件，從而防止文件非法外傳；能夠對桌面終端用戶使用MSN/QQ等進行監控和管理，禁止其通過QQ/MSN外傳文件，也能夠防止桌面終端用戶通過文件共享和FTP等的方式外傳文件，從而保證了企業的核心機密數據不被泄漏。

另外，補丁分發、軟件分發等功能較為簡單，就不再詳細描述。

4 結束語

隨著信息技術的不斷發展和進步，內網安全的管理也在不斷的發展。從最初的資產管理、補丁分發，到準入控制、設備加密、行為審計，再到數據防泄漏、透明加密，隨著技術的進步和內網安全理念的不斷深入發展，內網安全的建設也越來越全面，越來越成熟。

目前，內網安全管理已經進入了整體防泄漏時代。準入控制和加密不能解決所有的問題，單純的行為審計也沒有任何意義。我們只有從企業信息安全管理的全局視角出發，對信息安全進行全方位、多角度的設計，統籌規劃、統一安排，全面整合利用準入控制、網絡監控、安全審計、權限管理、透明加密等多種手段，根據企業局域網內安全等級的不同，級別的不同，部署級別不同、力度不一的梯度式防護系統，將管理、技術、審計、人員進行有機的結合，在企業內部構建一個立體化的整體安全網絡，才能實現真正意義上的內網安全。

參考文獻

[1] 楊義先,鈕心忻.網絡安全理論與技術[M].人民郵電出版社,2003.

[2] LindaMcCarthy.信息安全-企業抵御風險之道[M].北京:清華大學出社,2003.

[3] 覃健.網絡安全與防范措施.《中國科教創新導刊》,2010年第25期.

[4] 劉葵.現代信息條件下的計算機網絡安全管理.《重慶科技學院學報：社會科學版》,2010年第16期.

作者簡介：

篇（8）

報告指出，缺乏統一管理易形成“木桶效應”、安全軟件誤報、電腦設備獨立升級占用企業帶寬、漏洞補丁升級滯后、終端安全缺失、BYOD環境下WIFI上網缺乏管理、安全制度落后等問題困擾企業內網。

安全制度落后和缺乏統一管理是問題的關鍵。對此， Gartner副總裁彼得·福斯特布魯克表示，企業安全屬于一種集體安全問題。一般來說，聯入內網系統的電腦中，只要有一臺電腦被黑客攻破，那么就有可能造成內網安全體系的崩潰和商業機密的泄漏。也就是說，安全性最差的一臺電腦實際上就決定了整個企業內網系統的安全級別，這就是企業安全問題中的“木桶效應”。而近年來隨著APT高級持續性威脅形式日益嚴峻，這種“木桶效應”暴漏的更加明顯。“完善的安全體系建設需要有產品做基礎，有技術做保障、有服務做配合、有制度做管理。只有產品、技術、服務、制度協調配合，多管齊下，才能保障企業內網的安全。”同時他強調，安全問題不只是技術問題，究其根本是人與人，人與組織，組織與組織之間圍繞利益的對抗行為。

脆弱的企業外網

隨著電子商務的崛起，建立官網進行對外宣傳和展示，以及進行相關產品的，已經成為企業的通用手段。因此，企業網站已經成為企業對外的一面鏡子，反射出企業的自身形象。但是這面鏡子在來自互聯網的攻擊面前卻十分脆弱，很多企業由于各種問題被黑客攻擊，造成用戶流失，導致巨額損失，并嚴重影響了企業自身的形象。

《報告》顯示，出現上述問題的原因，主要是由于企業網站存在漏洞，導致網站被拖庫、篡改和流量攻擊。同時，企業外網安全受到威脅的同時，也出現了一些新的趨勢：一是，病毒木馬的數量出現了明顯的下滑，但是釣魚網站呈現快速增長勢頭。來自中國互聯網中心的數據顯示，2012年新增釣魚網站87.3萬個，相比2011年增長73.9%。二是，網絡存儲和云共享成為木馬新興渠道。

解決方案分析

《報告》認為通過“邊界防御+云端防護+終端防護”的解決方案，能夠有效解決傳統的安全防護檢測手段單一、性能瓶頸、維護成本高、響應速度慢等問題。同時，鑒于云計算技術的普及，奇虎360總裁齊向東建議，在云端安全中使用分布式存儲、分布式計算。把云端安全體系移植進企業內網，能最大程度保障企業業務系統和數據的安全，有效降低資源占用率和運營成本；在邊界防護方案中可通過信息采集，進行協議還原對通信進行準入管理，阻斷攻擊。而在終端安全中需實現網絡準入控制、程序準入控制和硬件準入控制。

此外，《報告》還指出到2020年，絕大多數企業都將無法獨立的實現信息安全的保護。他們需要中央實體（如安全公司或政府）的統一管理和保護。而為了實現快速檢測和快速響應，企業需要通過中央實體來實現情報共享。海量的黑白名單服務和漏洞預警服務是實現企業情報信息共享的必要手段。

鏈接———企業信息安全關鍵詞

篇（9）

傳統網絡安全，更多考慮的是如何防范外網對內網的攻擊，但這種傳統手段已不能應對來自內部的層出不窮的惡意攻擊和病毒。但根據相關資料顯示，網絡內部的計算機客戶端的安全威脅更為普遍，大多安全事件是由內網用戶有意或無意的操作造成的，因此，內網安全不容忽視。較之于外網安全，內網安全特點更突出，主要表現在：（1）須建立更全面、更客觀和更嚴格的信任體系和安全體系；（2）須對計算機終端、服務器、網絡和使用者等各個細節進行更加具有針對性的管理。網安全是內部局域網的信息防泄密和終端安全管理，電力企業在內網安全設計時，須以提高系統的保密性為出發點，將各種安全技術和管理手段結合起來，建立起覆蓋全面、經濟實用、結構合理、安全可靠的內網安全防護體系。

1 內網安全綠色防護的必要性

隨著計算機技術的不斷發展，電力企業管理信息化逐漸加強，信息技術給企業帶來極大便利的同時，也存在一定的信息安全隱患。網絡不存在絕對的安全，稍微不留意或防護措施不當，內網很有可能受到病毒的攻擊和侵害，造成重要信息的泄露，給相關企業造成嚴重損失。尤其是電力企業，其內部核心技術決定著自身生存和發展，一旦泄露，將會對企業造成致命的損失。因此，電力企業須加強對涉及到信息的采集、分析、加工、處理、存儲、傳輸及檢測等各個方面的網絡應用的重視，建立完整、立體、多層次的企業內部網絡的綠色安全防護體系。只有從綠色電力IT 理念出發，建立起安全可靠、科學可行的內網安全綠色防護系統，才能滿足企業的需求，保障數據存儲的安全性、傳輸的可靠性和處理的可延展性，保障信息系統和控制系統的安全和穩定。

2 內網安全綠色防護策略

2.1 過客訪問安全管理

內網安全綠色防護，過客訪問安全管理是重點。對過客訪問控制，能夠對外來的訪客進行有效定位、監控、異常阻斷和報警，從而增強計算機信息終端管理能力，保障了企業的信息安全。過客訪問安全管理，主要包括以下幾個方面：1.對無線訪問用戶，應建立可靠的無線訪問審查策略，為用戶提供安全的無線訪問接口，同時將無意義的無線訪問點進行排除。2.對VPN用戶，應最大限度限制訪問內網的權限，隔出其訪問給內網帶來的巨大威脅。3.對新接入的網絡終端和筆記本計算機，應經注冊登記、設置訪問權限和范圍后才能使用。4.對外接移動存儲器（U盤等），要設置其使用的內網物理范圍，并設定專用的密碼，保障數據移動的安全性。

2.2 虛擬邊界防護

內網安全綠色防護，建立虛擬邊界防護非常有必要。信息技術進步，也滋生了許多網絡病毒，網絡安全是一個相對的概念，不存在絕對安全，電力企業信息資源眾多，數據龐雜，在運行管理過程中，不能保證不受到攻擊。因而，應加強重視，企業實際業務情況重新定義信息系統安全級別，建立起虛擬邊界。同時，應該根據企業內部具體情況制定有針對性的管理策略，包括實名登記、數據瀏覽監控、內網訪問限制等，最大限度將攻擊阻擋在外，保障信息資料的安全。此外，還應盡可能避免由于受到攻擊而使整個網絡陷入癱瘓等安全事件的發生，保障電力系統信息系統的安全、穩定運行。

2.3 內網終端強制性管理

內網安全綠色防護，內網終端強制性管理必不可少。通常情況下，內網終端強制性管理主要包括：桌面系統安全、病毒防護、身份鑒別、訪問控制、漏洞掃描等五大方面，網終端強制性管理是建立內網安全防護體系的基礎。電力企業應加強網終端強制性管理，主要內容包括以下幾個方面：1.自動分發系統補丁，及時掃描漏洞；2.自動監控上網流量，自動斷開流量超標的終端，防止蠕蟲病毒傳播和蔓延；3.綁定IP地址，防止人為更改和IP地址沖突，避免受到ARP的欺騙攻擊；4.自動收集軟硬資產，及時掌握內部網絡終端資產和硬件配置變動情況。

3 小結

隨著信息技術的不斷發展，企業信息系統不斷升級，大量的技術和企業機密均儲存在計算機和網絡中，網絡安全重要性越來越突出。網絡上一個小小的漏洞，都很有可能引起信息完全問題，造成重要信息的泄露，從而影響企業的發展。尤其是電力系統內部終端多，層次和構架都非常復雜，因而做好內網安全綠色防護勢在必行。只有從綠色電力IT 理念出發，充分利用現代企業信息資源管理的優勢，合理規劃內網，構建完整的、立體的、多層次的“外防內控”網絡安全防御體系，才能保障電力企業的利益，才能促進企業的健康、可持續發展。

參考文獻

[1]王海濤，閆前進.內網的安全風險分析與保護策略[J].保密科學技術，2011（02）.

[2]李孟興，遲承哲，王海燕.電力企業信息安全趨勢與防范措施[J].電力信息化，2010（12）.

[3]周祥峰.基于行為的內網安全威脅檢測系統在電力企業的應用[J].計算機安全，2013（03）.

篇（10）

引言

當前信息安全產生的主要原因在于系統存在的不穩定因素、以數據信號存儲在計算機中的數據信息非常容易傳播并獲取。網絡應用發展至今，惡意泄露、竊取、破壞信息的情況普遍存在，威脅信息安全的因素也隨之出現。信息系統面臨的主動攻擊與被動攻擊需要同時得到控制，減少信息數據損失的可能性。

1內部網信息安全系統要求

在互聯網信息時代，科技飛速發展，隨著時間的推移，大多數的企業辦公都已經全部實現了網絡化，任何企業都建立自己的內部網絡和數據存儲中心，如何進行企業內網數據安全建設成為了企業日常運營的重點。

1.1結構與性能

為了充分保障系統的安全防護與監督作用，需要了解系統運行時的基礎狀況，以便于讓系統客戶端成功開啟保護模式，嵌入計算機啟動配置文件當中。另外，系統為了能持續發揮作用，應該具備穩定性與容錯功能，且具備系統維護與二次開發的能力，可以采用模塊化的功能設計方案來提升系統的擴展性。

1.2系統工作原理

完善的安全系統應該包含客戶端、服務器、控制端三個區域，信息管理人員能夠結合實際的信息需求將其安裝在內網的不同設備之上，如果條件允許的情況下可以將控制端單獨安裝在一臺服務器之上，以便于保障分析效率的提升[1]。系統運作過程中，首先會進行數據源統計，包括軟件、硬件信息和數據信息，此外服務器端會對統計的數據進行收集，然后按照信息類型的不同進行劃分，存儲在自身的數據庫當中。例如在網絡設備的改造需求方面，采用了一臺三層可網管交換機替換電力療養院現有匯聚HUB；同時拆除機柜內2個至樓層光纖收發器，采用尾纖與匯聚交換機直接互聯的方案，在保持原有結構系統的同時，提升了防火墻的使用價值。

1.3系統運行環境分析

為了進一步保障系統數據使用過程中的傳輸速率與安全性，就需要使用操作系統輔助安全系統的各個模塊。例如可以選擇MSAccess作為系統數據存儲平臺，不僅系統資源占用較少，且處理效率相對較高，操作簡單，與系統之間不存在兼容性問題。從硬件環境要求來看，服務器端與控制端安裝在企業內網的服務器之上，客戶端可以直接安裝在內網中的任一計算機之上。目前的技術水平下計算機配置相對較高，客戶端也可以快速運行，服務器端在CPU于內存上具有一定的要求。

2系統具體實現方案

2.1網絡監測模塊

通常情況下管理人員可以進行網絡監測來獲取相關數據，從網絡信息中截取其中的可疑流量。在這些可疑的流量之內包含通信協議、通信時間等重要的信息，然后通過信息分析來判斷是哪一層的協議或計算機設備出現問題，以便于更好地為管理人員對網絡問題進行判斷。按照不同的網絡協議，管理人員可以以此為基礎分析不同的數據信息。例如對最常見的TCP/IP協議進行分析，就可以獲取設備終端地址、名稱等[2]。此時，當非法終端進入監聽設備所在環境中時，管理人員能夠立即發現并組織其與網絡連接，從而實現內網信息安全保障，信息安全建設策略也可以通過這一模式來更好地判斷存在的網絡問題。安全監測策略中的模塊可以被劃分為3個部分，即設備驅動部分、動態鏈接庫部分與應用程序部分，這也是應用層的重要內容。

2.2設備訪問控制防護策略

當用戶需要對計算機中的文件進行讀寫操作時，管理器會為其提供相應的請求。I/O管理器會對驅動設備對象進行檢查，了解附著在文件系統驅動上的內容后再發送請求。如果發現有程序附著在設備對象棧上層，管理器會將請求發送給過濾驅動程序，并以此為基礎阻斷非授權用戶對于文件的有效訪問。從過濾程序要求來看，應該先構造過濾設備對象，并設計好分派程序。針對不同的請求也需要設置不同的分派程序，按照實際要求傳遞給相應的目的對象。而過濾驅動程序也需要向下層驅動程序進行傳遞并獲得正確的返回。在文件系統訪問控制方面，文件過濾驅動程序處在上層驅動程序之上，能夠對所有文件的操作請求進行截獲，從而對文件系統的訪問進行合理控制，避免非法用戶對企業機密文件的管理。所以，信息安全系統的管理過程中會涉及到狀態設置命令，以便于對移動設備存儲的連接狀態進行調整[3]。

3模塊建設策略與防范

3.1加密模塊

在系統進行加密的過程中，數據在傳輸環節以XML的消息形式存在，而加密模塊的作用也根據XML的加密規范對部分數據信息進行保密處理，為了防止信息內網終端與外網終端的誤連接，導致數據信息的泄露，通過內網終端設備與外網控制阻斷模塊的連接來實現了數據安全性，不再被輕易獲取，采用XML消息元素加密方案，數據可以得到穩定保障，避免信息被非法用戶利用。根據所接收到的加密XML信息，先提取元素Signature中的內容后再進行數字簽名驗證，確定消息發送者的合法身份后，再提取子元素的內容，解密獲取數據的加密密鑰，最終根據元素中的消息摘要算法來生成新的摘要，以保障數據的完整性。

3.2密鑰規劃

篇（11）

2企業網絡面臨的安全風險

2.1物理安全風險

近年來，很多現代化企業加大信息建設，一些下屬公司的網絡接入企業總網絡，企業網路物理層邊界限制模糊，而電子商務的業務發展需求要求企業網絡具有共享性，能夠在一定權限下實現網絡交易，這也使得企業內部網絡邊界成為一個邏輯邊界，防火墻在網絡邊界上的設置受到很多限制，影響了防火墻的安全防護作用。

2.2入侵審計和防御體系不完善

隨著互聯網的快速發展，網絡攻擊、計算機病毒不斷變化，其破壞力強、速度快、形式多樣、難以防范，嚴重威脅企業網絡安全。當前，很多企業缺乏完善的入侵審計和防御體系，企業網絡的主動防御和智能分析能力明顯不足，檢查監控效率低，缺乏一致性的安全防護規范，安全策略落實不到位。

2.3管理安全的風險

企業網絡與信息的安全需要有效的安全管理措施作為制度體系保障，但是企業經常由于管理的疏忽，造成嚴重的網絡信息安全風險。具體管理安全的風險主要表現在以下幾個方面：企業沒有健全和完善的網絡安全管理制度，難以落實安全追責；技術人員的操作技術能力缺陷，導致操作混亂；缺乏網絡信息安全管理的意識，沒有健全的網絡信息安全培訓體系等。

3構建企業網絡安全防護體系

3.1加強規劃、預防和動態管理

首先，企業需要建立完善的網絡信息安全防護體系，保證各項安全措施都能夠滿足國家信息安全的標準和要求。對自身潛在的信息安全風險進行統籌規劃，針對性的展開安全防護系統的設計。其次，企業應該加強對安全防護系統建設的資金投入，建立適合自己網絡信息應用需求的防護體系，并且定期進行安全系統的維護和升級。最后，加強預防與動態化的管理，要制定安全風險處理的應急預案，有效降低網絡信息安全事故的發生。并且根據網絡信息動態的變化，采取動態化的管理措施，將網絡與信息安全風險控制在可接受的范圍。

3.2合理劃分安全域

現代化企業網絡可以按照系統行為、安全防護等級和業務系統這三種方式來劃分安全域。由于企業網絡在不同區域和不同層次關注的內容不同，因此在劃分企業網絡安全域時，應結合業務屬性和網絡管理，不僅要確保企業正常的生產運營，還應考慮網絡安全域劃分是否合理。針對這個問題，企業網絡安全域劃分不能僅應用一種劃分方式，應綜合應用多種方式，充分發揮不同方式的優勢，結合企業網絡管理要求和網絡業務需求，有針對性地進行企業網絡安全域劃分。

首先，根據業務需求，可以將企業網絡分為兩部分：外網和內網。由于互聯網出口全部位于外網，企業網絡可以在外網用戶端和內網之間設置隔離，使外網服務和內網服務分離，隔離各種安全威脅，確保企業內網業務的安全性。其次，按照企業業務系統方式，分別劃分外網和內網安全域，企業外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網，內網可以分為辦公網、生產網，其中再細分出材料采購網、保管網、辦公管理網等子網，通過合理劃分安全域，確定明確的網絡邊界，明確安全防護范圍和對象目標。最后，按照網絡安全防護等級和系統行為，細分各個子網的安全域，劃分出基礎保障域、服務集中域和邊界接入域。基礎保障域主要用來防護網絡系統管理控制中心、軟件和各種安全設備，服務集中域主要用于防護企業網絡的信息系統，包括信息系統內部和系統之間的數據防護，并且按照不同的等級保護要求，可以采用分級防護措施，邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。

3.3信息安全技術的應用

（1）防火墻技術

防火墻主要的作用是對不安全的服務進行過濾和攔截，對企業網絡的信息加強訪問限制，提高網絡安全防護。例如，企業的信息數據庫只能在企業內部局域網網絡的覆蓋下才能瀏覽操作，域外訪問操作會被禁止。并且防火墻可以有效記錄使用過的統計數據，對可能存在的攻擊、侵入行為精心預測預警，最大限度地保障了企業內部網絡系統的安全。隨著業務模式的不斷發展，簡單的業務（端口）封堵已經不能適應動態的業務需要，需要采用基于內容的深度檢測技術對區域間的業務流進行過濾。并借助于大數據分析能力對異常業務流進行智能分析判斷。

（2）終端準入防御技術

終端準入防御技術主要是以用戶終端作為切入點，對網絡的接入進行控制，利用安全服務器、安全網絡設備等聯動，對接入網絡的用戶終端強制實施企業安全策略，實時掌控用戶端的網絡信息操作行為，提高用戶端的風險主動防御能力。

4結束語

綜上所述，計算機網絡有效提高了企業業務工作的效率，實現企業計算機網絡數據庫中的數據分類、整理、資源的共享。但是，系統數據的保密、安全方面還存在技術上的一些欠缺，經常會發生數據被非法侵入和截取的現象，造成了嚴重的數據安全風險。企業應該科學分析網絡與信息安全風險類型，加強規劃、預防利用防火墻技術、終端準入防御技術等，提高企業網絡與信息安全防護效率。

參考文獻