企业网络安全论文范文

引言：寻求写作上的突破？我们特意为您精选了12篇企业网络安全论文范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

计算机系统的正常运行以计算机操作系统程序为主要依据，与之相关的各类程序也必须以此为标准，操作系统理所当然地成为了计算机系统中的基本程序。计算机操作系统具有较强的拓展性，开发商很容易完成计算机系统的开发工作。但是，在优化和升级计算机系统的过程中，相关操作技术仍存在较大问题，这是计算机技术快速发展的难点，也是黑客入侵计算机系统的主要切入点。

1.2计算机病毒安全问题

计算机一旦受到病毒的入侵，将会出现严重的运行问题，如系统瘫痪、传输数据失真以及数据库信息丢失等。计算机病毒具有典型的潜伏性、传染性、隐蔽性和破环性，目前，计算机病毒种类主要有以下四种：第一，木马病毒。该类病毒的主要目的是窃取计算机上的数据信息，具有典型的诱骗性；第二，蠕虫病毒。熊猫烧香是该类病毒的典型代表，以用户计算机上出现的漏洞为切入点，综合使用攻击计算机终端的方式控制计算机系统，该病毒具有较强的传播性和变异性；第三，脚本病毒。该病毒主要发生在互联网网页位置；第四，间谍病毒。要想提升某网页的访问量，强制要求计算机用户主页预期链接。伴随着科技的发展，计算机网络应用范围不断扩大，各种类型病毒的破坏性也随之增加。

1.3黑客

通过网络攻击计算机目前，我国仍存在着大量非法人员对计算机系统进行攻击等行为，这类人员大都掌握着扎实的计算机和计算机安全漏洞技术，对计算机用户终端与网络做出强有力的破坏行为是他们的主要目的。黑客攻击计算机网络的主要形式有三种：第一，利用虚假的信息攻击网络；第二，利用木马或者病毒程序对计算机用户的电脑进行控制；第三，结合计算机用户浏览网页的脚本漏洞对其进行攻击。

2计算机网络安全技术在企业网中的应用

2.1防火墙技术

防护墙技术是计算机网络安全技术在企业网中应用的主要表现形式之一。防火墙技术的应用能够从根本上解决计算机病毒安全问题，在实际应用过程中，计算机网络安全中心的防火墙技术被分为应用级防火墙和包过滤防火墙两种形式。其中应用型防护墙的主要目的是保护服务器的安全，在扫描终端服务器的数据后，如果发现有意或者不合常理等攻击行为，系统应该及时切断服务器与内网服务器之间的交流，采用终端病毒传播的方式保护企业网的安全。包过滤防火墙的主要工作任务是及时过滤路由器传输给计算机的数据信息，这种过滤手段可以阻挡病毒信息入侵计算机系统，并第一时间内通知用户拦截病毒信息，为提高企业网的安全性提供技术保障。下图1是企业网防护墙配置示意图。Intranet周边网络InternetInternet防火墙周边防火墙内部网络服外部网络务器服务器图1防火墙配置

2.2数据加密技术

数据加密技术是计算机网络安全技术在企业网中应用的另一种表现形式。在企业发展建设过程中，要想提高企业发展信息的安全性和可靠性，企业必须在实际运行的计算机网络中综合使用数据加密技术。数据加密技术要求将企业网内的相关数据进行加密处理，在传输和接收数据信息的过程中必须输入正确的密码才能打开相关文件，这为提高企业信息的安全性提供了技术保障。加密算法的常用形式有对称加密算法和非对称加密算法两种，其中对称加密算法中使用的加密和加密信息保持一致，非对称加密算法中加密方法和解密方法存在较大的差异，通常很难被黑客破解，这两种加密形式在企业网中均得到了广泛应用。

2.3病毒查杀技术

病毒查杀技术是计算机网络安全技术在企业网中应用的表现形式之一。病毒对计算机安全有极大的威胁，该技术要求企业技术对计算机操作系统进行检测和更新，减少系统出现漏洞的频率；杜绝用户在不经允许的情况下私自下载不正规的软件；安装正版病毒查杀软件的过程中还应该及时清理病毒数据库；控制用户浏览不文明的网页；在下载不明邮件或者软件后立即对不良文件进行病毒查杀处理，确定文件的安全性后才能投入使用。

2.4入侵检测技术

入侵检测技术在企业网安全运行中发挥着至关重要的作用，其作用主要表现在以下几方面：第一，收集计算机操作系统、网络数据及相关应用程序中存在的信息数据；第二，找寻计算机系统中可能存在的侵害行为；第三，自动发出病毒侵害报警信号；第四，切断入侵途径；第五，拦截入侵。入侵检测技术在企业网中的应用具有较强的安全性特征，该技术的主要任务是负责监视企业网络运行状况，对网络的正常运行不会产生任何影响。入侵检测技术使用的网络系统以基于主机系统和基于网络的入侵系统为主。基于主机系统的入侵检测技术主要针对企业网的主机系统、历史审计数据和用户的系统日志等，该检测技术具有极高的准确性，但是，实际检测过程中很容易引发各种问题，如数据失真和检测漏洞等；基于网络入侵检测技术以其自身存在的特点为依据，以网络收集的相关数据信息为手段，在第一时间将入侵分析模块里做出的测定结果发送给网络管理人，该技术具有较强的抗攻击能力、能在短时间内做出有效的检测，但是，由于该技术能对网络数据包的变化状况进行监控，在实际过程中会给加密技术带来一定程度影响。入侵检测技术在企业网的应用过程中通常表现为误用检测和异常检测两种形式。误用检测通常以已经确定的入侵模式为主，在实际检测过程中，该检测方法具有响应速度快和误警率低等特点，但是，该检测技术需要较长的检测时间为支撑，实际耗费的工作量比较大。异常检测的主要对象是计算机资源中用户和系统非正常行为和正常行为情况，该检测法误警率较高，在实际检测过程中必须对整个计算机系统进行全盘扫描，因此，必须有大量的检测时间作支撑。

篇2

1．1网络结构的安全风险分析

电力企业网络与外网有互连。基于网络系统的范围大、函盖面广，内部网络将面临更加严重的安全威胁，入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有信息，假如内部网络的一台电脑安全受损(被攻击或者被病毒感染)，就会同时影响在同一网络上的许多其他系统。

1.2操作系统的安全风险分析

所谓系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标，一般很少考虑其安全性，因此安装通常都是以缺省选项进行设置。从安全角度考虑，其表现为装了很多用不着的服务模块，开放了很多不必开放的端口，其中可能隐含了安全风险。

1．3应用的安全风险分析

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等。

1．4管理的安全分析

管理方面的安全隐患包括：内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解。责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。

2网络信息与网络安全的防护对策

尽管计算机网络信息安全受到威胁，但是采取恰当的防护措施也能有效的保护计算机网络信息的安全。网络安全不仅仅是技术问题，同时也是一个安全管理问题。我们必须综合考虑安全因素，制定合理的目标、技术方案和相关的配套法规等。以下分别就这两个方面进行论述。

2.1管理维护措施

1）应建立健全计算机网络安全管理制度体系，定期对管理制度进行检查和审定，对存在不足或需要改进的管理制度及时进行修订。2）使用人员应该了解国家有关法规、方针、政策、标准和规范，并主动贯彻与执行；掌握终端的基本使用常识，了解国家电网公司、省公司及分公司有关管理制度，并严格遵守。3）坚持“分区、分级、分域”的总体防护策略，执行网络安全等级保护制度。将网络分为内网和外网，内、外网之间实施强逻辑隔离的措施。4）内外网分离，外网由信息职能管理部门统一出口接入互联网，其他部门和个人不得以其它方式私自接入互联网，业务管理部门如有任何涉及网络互联的需求，应向信息职能管理部门提出网络互联的书面申请，并提交相关资料，按规定流程进行审批，严禁擅自对外联网，如果互联网使用人员发生人动，原来申请的互联网账户必须注销。5）必须实行实名制，实行“谁使用，谁负责”，通过建立电力企业网络中确定用户的身份标识，将网络用户与自然人建立起一一对应的关系。6）加强网络监管人员的信息安全意识，特别是要消除那些影响计算机网络通信安全的主观因素。计算机系统网络管理人员缺乏安全观念和必备技术，必须进行加强。7）有关部门监管的力度落实相关责任制，对计算机网络和信息安全应用与管理工作实行“谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合”的原则，逐级建立安全保护责任制，加强制度建设，逐步实现管理的科学化、规范化。8）办公人员每天直接面对计算机的时间是最长的,如果办公人员本身的计算机操作水平很高,就会有效地减少一些不必要的维护工作。因此,建议计算机管理员在每次维护的过程中,可以适当地把故障产生的原因和维护办法以及注意事项向办公人员做以讲解。随着维护工作不断地进行,时间长了,再遇到类似的故障办公人员便可轻松独立处理,而不只是束手无策。这样,既能提高工作效率,又能降低故障,还能避免重复维护。

2．2技术维护措施

篇3

2企业网络安全所面临的威胁

企业网络安全所面临的威胁除了技术方面的因素外，还有一部分是管理不善引起的。企业网络安全面临的威胁主要来自以下两个方面。

2.1缺乏专门的管理人员和相关的管理制度

俗话说“三分技术，七分管理”，管理是企业信息化中重要的组成部分。企业信息化过程中缺乏专门的管理人员和完善的管理制度，都可能引起企业网络安全的风险，给企业网络造成安全事故。由于大部分企业没有专门的网络安全管理人员，相关的网络管理制度也不完善，实际运行过程中没有严格要求按照企业的网络安全管理制度执行。以至于部分企业选用了最先进的网络安全设备，但是其管理员账号一直使用默认的账号，密码使用简单的容易被猜中的密码，甚至就是默认的密码。由于没有按照企业信息化安全管理制度中密码管理的相关条款进行操作，给系统留下巨大的安全隐患，导致安全事故发生。

2.2技术因素导致的主要安全威胁

企业网络应用是架构在现有的网络信息技术基础之上，对技术的依赖程度非常高，因此不可避免的会有网络信息技术的缺陷引发相关的安全问题，主要表现在以下几个方面。

2.2.1计算机病毒

计算机病毒是一组具有特殊的破坏功能的程序代码或指令。它可以潜伏在计算机的程序或存储介质中，当条件满足时就会被激活。企业网络中的计算机一旦感染病毒，会迅速通过网络在企业内部传播，可能导致整个企业网络瘫痪或者数据严重丢失。

2.2.2软件系统漏洞

软件的安全漏洞会被一些别有用心的用户利用，使软件执行一些被精心设计的恶意代码。一旦软件中的安全漏洞被利用，就可能引起机密数据泄露或系统控制权被获取，从而引发安全事故。

3企业网络安全的防护措施

3.1配备良好的管理制度和专门的管理人员

企业信息化管理部门要建立完整的企业信息安全防护制度，结合企业自身的信息系统建设和应用的进程，统筹规划，分步实施。做好安全风险的评估、建立信息安全防护体系、根据信息安全策略制定管理制度、提高安全管理水平。企业内部的用户行为约束必须通过严格的管理制度进行规范。同时建立安全事件应急响应机制。配备专门的网络安全管理员，负责企业网络的系统安全事务。及时根据企业网络的动向，建立以预防为主，事后补救为辅的安全策略。细化安全管理员工作细则，如日常操作系统维护、漏洞检测及修补、应用系统的安全补丁、病毒防治等工作，并建立工作日志。并对系统记录文件进行存档管理。良好的日志和存档管理，可以为预测攻击，定位攻击，以及遭受攻击后追查攻击者提供有力的支持。

3.2防病毒技术

就目前企业网络安全的情况来看，网络安全管理员主要是做好网络防病毒的工作，主流的技术有分布式杀毒技术、数字免疫系统技术、主动内核技术等几种。企业需要根据自身的实际情况，灵活选用，确保杀毒机制的有效运行。

3.3系统漏洞修补

现代软件规模越来越大，功能越来越多，其中隐藏的系统漏洞也可能越来越多。不仅仅是应用软件本身的漏洞，还有可能来自操作系统，数据库系统等底层的系统软件的漏洞引发的系列问题。因此解决系统漏洞的根本途径是不断地更新的系统的补丁。既可以购买专业的第三方补丁修补系统，也可以使用软件厂商自己提供的系统补丁升级工具。确保操作系统，数据系统等底层的系统软件是最新的，管理员还要及时关注应用系统厂商提供的升级补丁的信息，确保发现漏洞的第一时间更新补丁，将系统漏洞的危害降到最低。

篇4

1.1Internet的安全性

互联网是把双刃剑，在给企业带来极大便利的同时，也不可避免地给企业的运营带来了极大风险。因为黑客与病毒无孔不入，稍有疏漏，就可能使整个网络遭受攻击，并带来不可逆转的损害。因此，建立科学的网络体系，保障系统网络安全迫在眉睫。

1.2大中型企业内网的安全性

ERP、OA和CAD等生产和办公系统已经在企业中得到普遍性应用，随之而来的就是企业对这些系统的高依赖性。这样带来的另一个问题是内网面临的风险。内网运行稳定、可靠、可控才能保障日常生产和办公的进行，一定程度上，将内网信息网络比作企业的生命线也不为过。这个内网同时由大量终端设备，大中小型服务器，各种网络设备构成，这个其中每一个部分都要确保正常工作，否则一点小问题都有可能引发网络的停滞甚至瘫痪。但目前大中型企业的内网安全依然存在很多安全隐患，主要表现为以下几种情形：对外服务器缺少安全防护遭到黑客攻击；员工上网过程缺乏有效监管，一方面会造成网络安全隐患，另一方面也影响工作效率；此外还有一些内部的服务器被非法访问，造成企业信息的外泄。

2大中型石油企业信息网络安全威胁及安全体系构建

2.1大中型石油企业面临的信息网络安全威胁

进入21世纪以来，大中型石油企业对数字化信息网络建设可谓不遗余力，软硬件的建设开发中，信息网络的安全性却未得到足够的重视。由于对网络安全防护重视程度不够，我国的大中型石油企业长期饱受网络安全的困扰。有相关调查显示，我国企业中，约有41%经常受到恶意软件和间谍的入侵，63%的企业经常遭受病毒或蠕虫攻击。而就大中型石油企业而言，不仅面临着外部病毒的攻击，同时内部人员的信息泄露也考验着企业的网络安全。由于员工信息安全意识淡薄，上网过程又缺乏有效监管，在员工无意识的情况下，就可能引起发一系列问题。比如，企业机密信息的泄露，各种垃圾邮件的充斥，各种网络病毒的侵袭，黑客的攻击等等，这些问题随着信息化的发展进程和企业经济发展利益竞争白热化，成为大中型石油企业最为棘手的问题。

2.2大中型石油企业网络安全体系的全方位构建

随着网络攻击的多元化，攻击方式也是五花八门。传统的只针对网络层面以下的安全对策已经不足以应对如今复杂的网络安全情况，企业必须要建立起多层次多元化的安全体系才能有效提升企业网络信息安全指数。大中型石油企业信息网络安全的五个重要组成：物理安全、链路安全、网络安全、系统安全、信息安全。

1）物理安全。物理安全是整个网络系统安全的前提，物理安全旨在为企业提供一个安全可靠的物理运行环境，这个更多指对企业相应硬件设施的安全防护，比如，企业服务器、数据介质、数据库等、

2）链路安全。链路安全指的是信息输送通道。数据传输过程中能够确保内容安全、可靠、可控、能有效抵御攻击。常见的几种数据链路层安全攻击有MAC地址扩散、ARP攻击与欺骗、DHCP服务器欺骗与DHCP地址耗尽、IP地址欺骗。

3）网络安全。这主要针对于系统信息方面。这个是涵盖范围相对广泛的一个方面。比如，用户口令鉴别，计算机病毒防治，用户存取权限控制，数据存取权限，数据加密等都属于网络安全范畴。

4）系统安全。系统的正常运行是企业日常生产和运行的根本保障。但是，系统出现崩溃、损坏的风险依然存在，这就需要能够有一套有效的风险预防机制和办法。能够确保系统崩溃时对相关信息实现最大化备份，同时能够具备保密功能，防止系统崩溃后的信息外漏。

5）信息安全。这就要分信息的传播安全和信息的内容安全。很大程度上是对不良信息的有效过滤和拦截。侧重于对非法、有害信息可能造成的不良后果的有效遏止。信息内容角度更侧重于对信息保密性、真实和完整的保护，防止网络黑客对信息的截留、篡改和删除等手段来达到损害企业利益的行为，本质上是对企业利益和隐私的保护。

2.3大中型石油企业安全设计的基本原则

信息保密性、真实性、完整性、未授权拷贝、寄生系统的安全性等五个方面的内容构成了信息安全的整体统一。信息安全的原则也就指明了大中型石油企业“数字化”网络建设安全设计的基本原则。

1）保密性：对授权用户的保护和对非授权用户的防止，信息利用的用户、实体的专属性。

2）完整性：信息的输入和传输要确保完整，防止非法的篡改或者破坏，保证数据的稳定和一致。

3）可用性：针对授权用户而言要确保其合理使用的特性。

4）可控性：信息能够在处理、传递、存储、输入、输出等环节中有可控能力。

3大中型石油企业网络信息安全风险漏洞的成因及一些防范措施

网络信息流量几何式增长，大中型石油企业信息资源对系统的应用也日渐成熟，生产经营数据也日益增多。与此同时，国内大中型石油企业信息系统安全问题日益突出。因而，如何保障大中型石油企业信息数据安全，全面建立安全保障体系，这就显得愈发重要。应从内因和外因上进行分析和预防。内因上，处于方向性决策的管理层对网络信息安全的防护意识不强，不够重视。这类人群往往关注的是信息化进程给企业带来的收益，对于安全隐患和潜在的威胁却往往忽视。此外，在信息化发展进程中，大中型石油企业在数据化硬件建设中容易竞争对比，但是对于数据的管理安全性建设要求不高。其次，网络信息安全建设不是一蹴而就的，相反是一个长期过程，需要不断进行系统补丁的更新。其一，信息系统连接于因特网，开放的网络环境带来的是企业信息安全的脆弱。其二，大中型石油企业信息化建设往往求新不求稳。云计算，物联网，只要是当下发展流行技术都会上马，而不充分考虑技术的实际应用于企业的现实贴合。多系统的复杂应用带来的是更多、更高的系统漏洞风险。再次，大中型石油企业在信息安全技术团队建设上海相对滞后，缺乏强有力的信息安全维护团队带来的是企业信息安全的高风险。这往往是因为大中型石油企业往往将预算优先分配于能够直接带来经济效益的生产方面，对于见不到短期回报的信息安全防护支出是能少则少。然而，一旦企业信息泄露带来的可能是灾难性的后果，因而，有水平有业务能力的专业信息安全维护队伍建设至关重要。外因上，一些不可抗力造成的硬件设备损坏，外部对企业信息的攻击，相关法律法规还不够健全等等因素都是影响企业信息安全的外因。因而，加强大中型石油企业的安全防范可从四个方面着手。在机制层面，第一，管理层要对信息安全有强意识，第二，信息安全意识要渗透到整个企业。进而建立企业信息安全管理、运行、检测体系。另外，在面对一些风险来临之时，能够有有效的应急机制加以应对。在技术面，技术指标相对可量化，过硬的技术实力是保证大中型石油企业信息安全的关键，所以说，提高对信息安全水平的投资力度，建设高水平，高素质的技术队伍显得尤为重要。在系统安全性建设层面，大中型石油企业在信息系统安全性建设之初就要结合企业实际充分考虑信息系统需要的安全保护等级以及架构建设，对后期风险能够有科学的分析与控制建议。在企业人员素养层面，大中型石油企业能够在技术层面实现对企业信息安全的保障，就需要企业能够有具备专业技术业务水准的网络信息技术安全人员队伍。从设计到操作到运维都离不开专业的技术人员。这些网络管理技术人员还要能够在后期不断得到组织和学习，不断得到新的知识补充，能够让这些技术人员时刻与最前沿的IT科技接轨。

篇5

企业信息网络比较复杂和繁琐，不仅包括受理人的资料，而且还有相关产品的详细资料以及企业内部员工的资料等，信息网络系统能否正常运行，直接关系到通讯企业发展的好与坏[1]。但是由于计算机网络和信息技术不断的发展，经常存在各种各样的要素威胁着系统的安全，从而损坏甚至丢失内部的重要信息，从而影响通信企业内部正常的运作，最终导致一系列损失[2]。因此，对于通信企业信息网络安全的控制刻不容缓，应该加大力度提高系统的安全性能。

1.信息网络安全概述

信息网络安全是指通过各种各样的网络技术手段，保证计算机在正常运行的过程中处于安全的状态，避免硬件及软件受到网络相关的危险因素的干扰与破坏，同时还可以阻止一些危险程序对整个系统进行攻击与破坏，从而将信息泄露和篡改等，最终保证信息网络在互联网的大环境中正常运行[3]。信息网络安全的维护主要是以信息与数据的完整性与可控性作为核心，并且能够通过用户的操作，实现基本的应用目的。在信息网络的安全维护中，主要包括两个方面。一是设备安全，包括计算机系统的稳定、硬件实体的安全以及软件的正常运行。二是信息安全，主要指的是数据的备份、数据库的安全性等。

2.通信企业信息网络面临的主要安全威胁

2.1人为的恶意攻击

目前信息网络所面临的最大的威胁和挑战就是认为的恶意攻击，人们采取各种各样的方式对于信息进行选择性的破坏和控制，从而造成机密信息的丢失和篡改。

2.2人为的无意失误

通讯企业通过对专门的管理人员进行管理与培训从而保证信息网络系统的正常运行，在日常管理和培训的过程中，会无意的使相应的措施处理不当，这是在所难免的，当工作人员因为自己的原因导致操作不当，会使信息网络系统出现或多或少的漏洞，还有可能造成设备的损坏，这些都是由于人为的无意失误造成的后果[4]。

2.3计算机病毒

由于计算机网络的复杂性及联系性，在工作过程中会尽可能的实现资源共享，因此所接收的结点会有很多。由于无法检测每个结点是否是安全的，因此极容易造成系统的病毒感染。而一旦信息网络受到病毒的感染后，病毒会在信息网络中以非常快的速度进行再生并且传染给其他系统，最终将波及整个网络，后果将不堪设想[5]。

3.通信企业做好信息网络工作的措施

3.1对内部网的访问保护

（1）用户身份认证。如果用户想要进入网络必须经过三个步骤即首先进行用户名进行验证，其次进行用户口令进行验证，最后依据用户帐号进入网络。在这三个步骤中最关键的操作就是用户口令，用户口令需要同时进行系统的加密从而保护网络的安全，并且还应控制同一个账户同时登陆多个计算机的这种现象[6]。（2）权限控制。管理员及用户在进入网络前需要履行某一个任务因此必须遵守所谓的权限原则，这种控制方法可以有效的防止一些非法的用户在一定时间内访问网络资源，从而从根本上阻断这条途径。在进行权限设置的过程中，一定要遵守一些原则，第一，一定要合理的设置网络权限，确保网络权限设置的准确性，不能因为所设置的权限从而影响了整个网络的正常工作，影响了工作的整体效率；第二应该增加一些先进的合理的加密操作技术来减少病毒的入侵，从而从一定程度上保证网络的正常运行，对网络信息数据使用系统性的加密来确保网络安全性和合理性，最终实现对计算机所有结点信息的实时保护。（3）加密技术。通过合理准确的数学函数转换的方法对系统以密文的形式代替明文的现象称之为数据加密，当数据加密后，只有特定的管理人员可以对其进行解密，在数据加密的过程中主要包含两大类：对称加密和不对称加密。

3.2对内外网间的访问保护

（1）安全扫描。互联网互动过程中，及时的对计算机安全卫士和杀毒软件等进行升级，以便及时的对流动数据包进行检测，以便及时有效的对网络中发现的木马和病毒采取有效的防护措施。（2）防火墙系统。防火墙作为计算机网络信息安全防护的第一道屏障，是一种加强网络之间访问控制，以此来决定网络之间传输信息的准确性、真实性及安全性，对于计算机的安全与正常运行具有重要的意义[7]。（3）入侵检测。计算机当中的病毒传播的速度较快且危害性极大，为此应该对网络系统进行病毒的预防及统一的、集中管理，采用防病毒技术及时有效的进行杀毒软件系统的升级，以便对网络互动中发现的木马或病毒程序采取及时的防护措施。

3.3网络物理隔离

在进行信息网络安全控制的过程中不能单一的采用一种安全控制对其保护，而应该根据网络的复杂性采取不同的安全策略加以控制，因此管理人员可以依据密保的等级的程度、各种功能的保护以及不同形式安全设施的水平等差异，通过网络分段隔离的方式提高通信企业信息网络安全。这样的形式及控制方法将以往的错综复杂的控制体系转变成为细化的安全控制体系，能够对于各种恶意的攻击和入侵所造成的危害降低到最小。我们通常所说的物理隔离是指能满足物理隔离的安全性要求的、相对的物理隔离技术。物理隔离的原理是使单个用户在同一时间、同一空间不能同时使用内部网和外部网两个系统。如果两个系统在空间上物理隔离，在不同的时间运行，那么就可以得到两个完全物理隔离的系统[8]。

3.4安全审计及入侵检测技术

安全审计技术对于整个信息网络安全的控制起到了关键性作用，它可以针对不同的用户其入侵的方式、过程以及活动进行系统精密的记录，主要分为两个阶段即诱捕和反击。诱捕是一种特异安排出现的漏洞，可以在一定程度允许入侵者在一定时间内侵入，以便在今后能够获得更多的入侵证据及入侵的特征；当获得足够多的特征及证据的基础上开始进行反击，通过计算机精密的系统对用户的非法入侵的行为进行秘密跟踪并且在较快的时间里查询对方的身份以及来源，从而将系统与入侵者的连接切断,还可追踪定位并对攻击源进行反击。

3.5制定切实可行的网络安全管理策略

要想使通信企业信息网络安全正常运行其前提必须保证整个网络系统的安全，必须针对网络安全提出相应的安全策略，应该使信息网络使用起来安全方便，从而寻找最方便有效的安全措施。在工作的过程中管理人员一定要熟知对于开放性和安全性的具体要求，并且在工作过程中试图寻求两者的共同点和平衡点，当两者出现矛盾的时候应该考虑事情的实际情况有进行准确的取舍。对本网络拓扑结构和能够承受的安全风险进行评估，从网络安全技术方面为保证信息基础的安全性提供了一个支撑。

信息网络的发展需要计算机技术具有跟高的要求，特别是针对通信企业的信息网络安全的控制问题应该加以关注，这直接关系到整个企业的发展。信息网络工程是一个巨大而又复杂的动态的系统工程，需要从多角度进行思索与探讨从而进行综合性的分析，才能选择出更好地安全网络设备，并且对其进行有针对的系统的优化，从而提高管理人员及工作人员的业务水平，最终全面提高整个通讯企业信息网络安全。

作者:王春宝 于晓鹏 单位:吉林师范大学计算机学院

参考文献

[1]卢昱.网络控制论浅叙[J].装备指挥技术学院学报,2002,3(6):60-64.

[2]王雨田,控制论、信息论、系统科学与哲学[M].北京:中国人民大学出版社,1986.

[3]南湘浩,陈钟.网络安全技术概论[M].北京:国防工业出版社,2003.

[4]涂华.医院信息系统的网络安全与防范[J].中山大学学报论丛,2011,04(12).

[5]王芸《.电子商务法规》.高等教育出版社,2010年版.

篇6

2化工企业的遗传神经网络安全评价模型

2．1遗传神经网络遗传算法优化神经网络的方法主要有2种:对神经网络的初始权值和阈值进行优化;对神经网络的结构进行优化［5］。本文在保持神经网络的结构不变的情况下，用遗传算法对BP神经网络初始权值和阈值进行优化。

2．2遗传神经网络评价模型遗传神经网络优化的数学模型［6］如下:本文构建的遗传神经网络模型的运行过程如下:(1)初始化BP神经网络。(2)把BP神经网络的全部权值与阈值实数编码，确定其长度l，确定其为遗传算法的初始种群个体。(3)设置遗传算法的相关参数以及终止条件，执行遗传算法;遗传算法包括对群体中个体适应度进行评价，执行选择、交叉、变异遗传操作，进化生成新的群体;反复操作至设定的进化代数，最终取得最佳染色体个体。(4)把最佳染色体个体解码，分解为BP网络对应的权值、阈值，输入训练样本，利用BP网络进行训练。(5)得到训练好的BP神经网络，则可输入实例样本进行评价。

3遗传神经网络评价模型在化工企业的应用

3．1学习样本的准备根据前文所确定的评价指标体系和对某大型炼油化工有限公司成氨分厂提供的空气分离、渣油气化、碳黑回收、一氧化碳变换、甲醇洗涤、液氮洗涤等工序的安全原始数据，参考文献中化工企业安全评价指标取值标准，进行分析和整理，得出11个实例样本，如表5所示。选择10个样本作为遗传神经网络的训练样本，1个样本作为测试样本。

3．2BP网络结构的确定BP网络拓扑结构一般是由网络层数、输入层节点数、隐含层节点数、隐含层数以及输出层节点数等来确定。本文建立的遗传神经网络模型是根据经验来确定神经网络的层数，一般选取BP神经网络的层数为3层［7］。通过化工企业安全评价指标的分析，得出BP神经网络输入层神经元数目为评价指标的总数12+6+8+5=31。模型最后输出的结果为综合安全评价结果，因此，神经网络的输出层节点数确定为1。隐含层中节点数的范围通过经验公式来确定，本文在其确定范围内选12。依据训练样本的规模，设定学习率为0．1，最大训练误差值设为10－5，循环学习次数为1000次。网络输出层为1个节点，即化工企业的安全评价结果。化工企业安全等级一般分为5级［7］，如表6所示。

3．3遗传算法优化遗传算法中，参数设定如下:种群规模设为300，交叉概率设为0．7，进化代数设为100，变异率设为0．05。本文运用MATLAB软件中的遗传算法工具箱gads，在GUI操作界面中输入以上参数，并输入适应度函数，对神经网络的权阈值进行优化。经过遗传操作后，运行遗传算法工具箱，则可得出最佳适应度曲线图和最佳个体图(图2)，得到最佳适应度个体，将其进行解码，作为该网络的初始权值和阈值赋给BP神经网络。

3．4GA－BP神经网络训练在MATLAB界面中编程语言，得到输出向量和网络均方差变化图。训练结果与期望输出见表7，BP网络训练过程如图3所示。从训练结果可以看出，该网络的误差值不超过10－5，满足设定要求。用该网络对实例样本进行安全评价，得到结果为3．9956，对照安全评价输出结果等级表为较安全，与目标值吻合。从而训练后的网络稳定性得到验证，可以用于化工企业安全评价。

篇7

网络安全论文参考文献：

[1]张金辉，王卫，侯磊.信息安全保障体系建设研究.计算机安全，2012，（8）.

[2]肖志宏，杨倩雯.美国联邦政府采购的信息安全保障机制及其启示.北京电子科技学院学报，2009，（3）.

[3]沈昌祥.构建积极防御综合防范的信息安全保障体系.金融电子化，2010，（12）.

[4]严国戈.中美军事信息安全法律保障比较.信息安全与通信保密，2007，（7）.

[5]杨绍兰.信息安全的保障体系.图书馆论坛，2005，（2）.

[6]侯安才，徐莹.建设网络信息安全保障体系的新思路.现代电子技术，2004，（3）.

网络安全论文参考文献：

[1]王爽.探讨如何加强计算机网络安全及防范[J].计算机光盘软件与应用，2012（11）.

[2]田文英.浅谈计算机操作系统安全问题[J].科技创新与应用，2012（23）.

[3]张晓光.试论计算机网络的安全隐患与解决对策[J].计算机光盘软件与应用，2012（18）.

[4]郭晶晶，牟胜梅，史蓓蕾.关于某金融企业网络安全应用技术的探讨[J].数字技术与应用，2013，12（09）：123-125.

[5]王拥军，李建清.浅谈企业网络安全防护体系的建设[J].信息安全与通信保密，2013，11（07）：153-171.

[6]胡经珍.深入探讨企业网络安全管理中的常见问题[J].计算机安全，2013，11（07）：152-160.

[7]周连兵，张万.浅议企业网络安全方案的设计[J].中国公共安全：学术版，2013，10（02）：163-175.

网络安全论文参考文献：

[1]古田月.一场在网络战场上的较量与争夺[N].中国国防报，2013-05-20（6）.

[2]兰亭.美国秘密监视全球媒体[N].中国国防报，2010-10-24（1）.

[3]李志伟.法国网络安全战略正兴起[N].人民日报，2013-01-01（3）.

篇8

2:吉林省森工集团信息化发展前景与规划.

3:吉林省林业设计院网络中心网络改造与发展规划.

4:吉林省林业系统生态信息高速公路构建课题.

二、论文撰写与设计研究的目的

跟随1946年第一台计算机在美国诞生,人类文明发展到一个崭新的时代.尤其是20世纪后10年,以计算机网络的飞速发展为契机,我们进入了信息时代.人们的生活和工作逐渐以信息为中心,信息时代更离不开网络,任何一个规模企业尤其开始依赖网络,没有网络企业就面临着落后.

吉林省的林业分布十分广泛,以长白山系为主要脉络的山地广泛分布各种森林资源,而作为林业及林业环境的发展,林业生态信息则是一个更为庞大的系统,快捷,准确,合理,系统的采集,处理,分析,存储这些信息是摆在我们面前的十分现实的问题.在信息交流的这个世界中,信息好比货物,我们需要将这些货物(信息)进行合理的处理,其中以硬件为主的计算机网络系统是这些货物(信息)交流的"公路"和"处理厂",我做这个题目,就是要为它画出一条"公路"和若干"处理方法"的蓝图.

由于森工集团这样的特定企业,其一,它是一个统一管理的企业,具有集团化的特点,网络的构建具有统一性.其二,它又在地理上是一个分散的企业,网络点也具有分散性.然而,分散中还具有集中的特点,它的网络系统的设计就应该是板块化的.从信息的角度来讲,信息的种类多,各种信息的采集传输处理角度也不尽相同,我们在设计的过程中不仅要考虑硬件的地域布局,也要考虑软件平台的配合.

没有最好,只有更好;更新观念,大步向前.我相信,在导师的精心指导下,经过我的努力,我将为它们创造出一条平坦,宽阔的"高速公路".

1,论文(设计)研究的对象:

拟订以吉林省林业系统为地理模型,以林业网络综合服务为基本需求,以网络拓扑结构为设计方向,以软件整合为应用方法,开发设计一套完整的基于集散集团企业的企业网络系统.

2,论文(设计)研究预期达到目标:

通过设计,论文的撰写,预期达到网络设计全面化,软件整合合理化,网络性能最优化,资金应用最低化,工程周期最短化的目标.

3,论文(设计)研究的内容:

一),主要问题:

设计解决网络地域规范与现有网络资源的利用和开发.

设计解决集中单位的网络统一部署.

设计解决多类型网络的接口部署.

设计解决分散网络用户的接入问题.

设计解决远程瘦用户网络分散点的性能价格合理化问题.

设计解决具有针对性的输入设备的自动化信息采集问题.

合理部署网络服务中心的网络平衡.

优化网络服务系统,营造合理的网络平台.

网络安全问题.

10,基本应用软件整合问题.

二),论文(设计)包含的部分:

1,地理模型与网络模型的整合.

2,企业内部集中部门网络设计.

3,企业内部分散单元网络设计——总体分散.

4,企业内部分散单元网络设计——远程结点.

5,企业内部分散单元网络设计——移动结点.

6,企业网络窗口(企业外信息交流)设计.

7,企业网络中心,服务平台的设计.

8,企业网络基本应用软件结构设计.

9,企业网络特定终端接点设计.

10,企业网络整合设计.

5,论文(设计)的实验方法及理由:

由于设计的过程并不是工程的施工过程,在设计过程中详尽的去现场建设肯定有很大的难度,也不是十分可行的,那么我们在设计的阶段就应该进行仿真试验和科学计算.第一步,通过小型网络测试软件平台,第二步,构建多个小型网络搭建全局网络模拟环境,第三步,构建干扰源利用小型网络集总仿真测试.

6,论文(设计)实施安排表:

1.论文(设计)阶段第一周次:相关理论的学习研究,阅读参考文献资料,制订课题研究的实施方案,准备试验用网络硬件和软件形成试验程序表及试验细则.

2.论文(设计)阶段第二周次:开始第一轮实验,进行小型网络构建试验,模拟网络服务中心,模拟区域板块,模拟远程及移动网络.

3.论文(设计)阶段第三周次:进行接口模拟试验,测试软件应用平台,完善课题研究方案.

4.论文(设计)阶段第四周次:完成第一轮实验,提交中期成果(实验报告1).

5.论文(设计)阶段第五周次:进行第二轮实验,模拟环境(干扰仿真)实验,提交实验报告2.

6.论文(设计)阶段第六周次:完成结题报告,形成论文.

三,论文(设计)实施工具及参考资料

小型网络环境,模拟干扰环境,软件平台.

吴企渊《计算机网络》.

郑纪蛟《计算机网络》.

陈济彪丹青等《计算机局域网与企业网》.

christianhuitema《因特网路由技术》.

[美]othmarkyas《网络安全技术——风险分析,策略与防火墙》.

其他相关设备,软件的说明书.

1、论文(设计)的创新点:

努力实现网络资源的全面应用,摆脱将单纯的网络硬件设计为企业网络设计的模式,大胆实践将软件部署与硬件设计阶段相整合的网络设计方法.

题目可行性说明及预期成果:

2、可行性说明:

篇9

1　引言

随着网络的广泛普及和应用，政府、军队大量的机密文件和重要数据，企业的商业秘密乃至个人信息都存储在计算机中，一些不法之徒千方百计地“闯入”网络，窃取和破坏机密材料及个人信息。据专家分析，我国80%的网站是不安全的，40%以上的网站可以轻易的被入侵。网络给人们生活带来不愉快和尴尬的事例举不胜举：存储在计算机中的信息不知不觉被删除;在数据库中的记录不知道何时被修改;正在使用的计算机却不知道何故突然“死机”等等诸如此类的安全威胁事件数不胜数。因此，网络信息的安全性具有举足轻重的作用。

本论文主要针对分布式网络的信息安全展开分析讨论，通过对分布式网络安全管理系统的设计研究，以期找到可供借鉴的提高分布式网络信息安全水平的防范手段或方法，并和广大同行分享。

2　网络安全管理技术概述

在当今这个信息化社会中，一方面，硬件平台，操作系统平台，应用软件等IT系统已变得越来越复杂和难以统一管理;另一方面，现代社会生活对网络的高度依赖，使保障网络的通畅、可靠就显得尤其重要。这些都使得网络管理技术成为网络安全技术中人们公认的关键技术。

网络管理从功能上讲一般包括配置管理、性能管理、安全管理、故障管理等。由于网络安全对网络信息系统的性能、管理的关联及影响趋于更复杂、更严重，网络安全管理还逐渐成为网络管理技术中的一个重要分支，正受到业界及用户的日益深切的广泛关注。

目前，在网络应用的深入和技术频繁升级的同时，非法访问、恶意攻击等安全威胁也在不断推陈出新，愈演愈烈。防火墙、VPN、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用，但是这些产品大部分功能分散，各自为战，形成了相互没有关联的、隔离的“安全孤岛”，各种安全产品彼此之间没有有效的统一管理调度机制，不能互相支撑、协同工作，从而使安全产品的应用效能无法得到充分的发挥。

从网络安全管理员的角度来说，最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态，对产生的大量日志信息和报警信息进行统一汇总、分析和审计;同时在一个界面完成安全产品的升级、攻击事件报警、响应等功能。但是，一方面，由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂，异构性、差异性非常大，而且各自都具有自己的控制管理平台、网络管理员需要学习、了解不同平台的使用及管理方法，并应用这些管理控制平台去管理网络中的对象(设备、系统、用户等)，工作复杂度非常之大。另一方面，应用系统是为业务服务的;企业内的员工在整个业务处理过程中处于不同的工作岗位，其对应用系统的使用权限也不尽相同，网络管理员很难在各个不同的系统中保持用户权限和控制策略的全局一致性。

另外，对大型网络而言，管理与安全相关的事件变得越来越复杂。网络管理员必须将各个设备、系统产生的事件、信息关联起来进行分析，才能发现新的或更深层次的安全问题。因此，用户的网络管理需要建立一种新型的整体网络安全管理解决方案—分布式网络安全管理平台来总体配置、调控整个网络多层面、分布式的安全系统，实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动，从而有效简化网络安全管理工作，提升网络的安全水平和可控制性、可管理性，降低用户的整体安全管理开销。

3　分布式网络安全管理系统的设计

3.1 分布式网络安全管理系统架构分析

随着Internet技术的发展，现在的企业网络规模在不断扩大，设备物理分布变得十分复杂，许多企业都设有专门的网络管理部门，来应对企业网络中可能出现的问题，以保证企业业务的正常运行。这些网络管理部门的工作人员可能会根据需要分布在不同的业务部门中，甚至不同的城市中，这就导致原有的集中式网络设备平台管理已经不能满足企业的需求。复合式网络安全管理平台必须能够实现远程、多用户、分级式管理，同时要保证整个平台系统的安全性。

针对以上需求，本网络安全管理平台设计为一种网络远程管理系统，采取服务器和客户端的模式。

(1) 分布式网络安全管理平台服务器端

分布式网络安全管理平台的服务器端是整个管理系统的核心，它位于要管理的企业网络内部的一台服务器上，掌控着所有的网络资源，对被管网络资源的操作都是由平台服务器端直接完成。

分布式网络安全管理平台的各种管理功能模块是相对独立存在的，而服务器端相当于一个大容器，当需要某种管理功能时，就可以通过一定的方法，将管理模块动态加载到服务器端上。管理模块完成管理的具体功能，管理模块既可以单独完成某种管理功能，也可以通过服务器端提供的服务，协作完成特定的管理功能。服务器端还提供了一个公共的通信接口，通过这个通信接口，服务器端上的管理功能模块就可以实现与客户端的交互。

(2) 分布式网络安全管理平台客户端

客户端相当于一个个企业网络的管理员，这些管理员己经被分配给不同的用户名和密码，从而对应于不同的平台操作权限。管理员可以通过局域网或者Internet登陆到管理平台的服务器。_服务器端实现网络安全管理平台的各种管理功能。每当有用户登陆到服务器时，首先服务器端有一个用户鉴别和权限判断，通过后，根据权限不同的平台管理信息被传送回客户端，客户端将这些管理信息显示出来。如果管理员在客户端进行了某些操作，客户端会将这些操作信息发送到服务器，服务器对用户和操作进行权限鉴定，通过后，服务器就调用相应的管理功能模块来实现操作，并将结果返回给客户端，客户端进行相应的显示。

3.2 分布式网络的安全策略管理设计

策略管理的目标是可以通过集中的方式高效处理大量防火墙的策略配 置问题。随着网络规模与业务模式的不断增长变化，对IT基础设施的全局统一管理越来越成为企业IT部门的重要职责;策略的集中管理更有效的描述了全网设备的基本情况，便于设备间的协作、控制，能够提高问题诊断能力，提高运营的可靠性;另一方面，也极大的减轻了管理员的工作强度，使其工作效率大幅度提高。

策略管理并不是系统中孤立的模块，它与节点管理、权限管理有着紧密的联系。由于节点管理将全网划分为若干管理域，每个管理域中还有相应的下级组织部门，因此策略管理首先与节点信息相联系，这也就隐含了策略的层级配置管理。

另外，策略是由某个具有一定权限的管理员对某个管理域或设备制订的，因此策略是否能定制成功需要调用权限管理中的功能加以判定，因此隐含了策略的可行性管理。全网策略被统一存储，结合节点管理，策略存储有它自身的结构特点，这些属于策略的存储管理。

策略按照一定的时间、顺序被部署到具体的设备上，无论策略是对管理域定制的，还是对设备制订的，所有相关的策略最终都要被下发的设备中去，下发的方式能够根据实际网络拓扑的变化而做适应性调整，这些属于策略的管理。

3.3 分布式网络信息安全构建技术

(1) 构筑入侵检测系统(IDS)

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

(2) 构筑入侵防御(IPS)

入侵防御是一种主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。入侵防御系统在网络边界检查到攻击包的同时将其直接抛弃，则攻击包将无法到达目标，从而可以从根本上避免黑客的攻击。

(3) 采用邮件防病毒服务器

邮件防病毒服务器安装位置一般是邮件服务器与防火墙之间。邮件防病毒软件的作用：对来自INTERNTE的电子邮件进行检测，根据预先设定的处理方法处理带毒邮件。邮件防病毒软件的监控范围包括所有来自INTERNET的电子邮件以及所属附件。

4　结语

篇10

中图分类号:TP393.08文献标识码:A文章编号:1009-3044(2009)13-3360-02

1 引言

当今信息安全技术主要包括密码技术、身份认证、访问控制、入侵检测、风险分析与评估等诸多方面。在实际运用中,这些安全技术相互支持与协作,各自解决安全问题的某一方面。目前人们关注的重点在入侵检测、密码技术等,作为访问控制没有得到应有的重视,事实上访问控制是一个安全信息系统下不可或缺的安全措施。访问控制就是通过某种途径显式地限制对关键资源的访问[1-2]。防止因非法用户的侵入或合法用户的不慎操作所造成的破坏。本文主要讨论了主动式网络安全监控系统,在分析主动式网络监控系统设计基础上,针对企业网非法接入防范子系统采用的SNMP协议进行相关分析。

2 网络管理概述

随着网络技术的发展,网络规模增大,复杂性也增加,以前的网络管理技术已经无法适应这一情况,特别是由于以往的网络管理系统往往是生产制造厂商在自已的网络系统中开发的应用系统,很难对其它厂商的网络系统、通信设备等进行管理,这种状况很不适应网络异构互联的发展趋势。网络管理一般采用管理―的管理结构。网络管理站是实施网络管理的处理实体,驻留在管理工作站上,它是整个网络系统的核心,完成复杂网络管理的各项功能,如排除网络故障、配置网络等,一般位于网络中的一个主机节点上。被管(简称)是配合网络管理的处理实体,驻留在被管理对象上。被管监测所在网络部件的工作状况,收集有关网络信息。公共网络管理协议描述了管理器与被管之间的数据通信机制。

3 主动式网络安全监控系统

3.1 需求分析

一般企业网内部资源的安全策略(诸如访问权限、存取控制等)是基于IP地址进行的,如果入侵者利用管理方面的漏洞,盗取合法用户的权限或IP地址,将会对企业内部造成重大损失,因此,系统主要从以下几个方面考虑安全监控问题:

1)企业网内部主机资源的安全。 企业网内部主机除了应用传统的防火墙、入侵检测系统以外,还可应用强制访问控制机制对本机内部的重要资源实施强制访问控制保护;

2)入侵检测。在发现非法攻击或者非法用户企图操作主机文件时,可通过入侵检测机制发现入侵者来源,阻断入侵者的非法操作,记录入侵主机相关信息等;

3)企业网的接入安全 企业网安全监控的另一主要目的即对企业网内部的非法接入进行监控,发现非法入网者,主动地采取相关措施避免和阻止类似情况的发生,实现企业网安全的外部屏障;

4)安全审计,监控系统应当具备记录监控信息的能力;

5)通讯机制,除了各子系统本身的主动式的反应机制、通讯机制和控制机制以外,监控系统还应当建立通讯体系,向上级监控模块提供安全监控信息,为管理机构制定相关策略提供有价值的参考。

3.2 ANSMS 系统设计方案

主动式网络安全监控系统(ANSMS,Active Network Security Monitor System)从功能上可分为两个子系统:主机强制访问控制监控子系统(MACMS,Mandatory Access Control Monitor Subsystem)和企业网非法接入防范子系统(ICMS,Illegal Connection Monitor Subsystem)。主机强制访问控制监控子系统主要分为四个模块:强制访问控制模块、入侵检测模块、审计模块和通讯模块。

1)强制访问控制模块:建立和管理安全标签库,实现对用户进程和文件安全标签的管理,在对进程和文件的安全标签进行比较后,根据相关规则决定进程对文件的操作权限和操作方式;

2)入侵检测模块,检测网络入侵操作并进行阻断,记录入侵主机的IP地址和入侵时间,将其记入安全日志当中;

3)安全审计模块 对强制访问控制的监控信息进行安全审计,记录入侵主机和非法操作进程,统计和审核,对高危险性和频繁多发的操作进行分类和统计;

4)通讯模块 与安全监控模块实现通讯,及时地通报和汇总安全信息。企业网非法接入防范子系统主要分为四个模块:非法接入的检测模块、非法接入的处理模块和审计模块。

4 企业网防范非法接入监控子系统

4.1 非法接入防范策略

非法接入是指没有经过科技部门允许直接将各类计算机和移动设备接入内联网的行为。网络上出现不经常使用的IP、IP和MAC映射表与科技部门认定的不一致等现象,都可以认为是非法接入。这类非法事件虽不是暴力入侵,但可能在内联网传播病毒、移植木马和泄露内联网业务机密信息等严重的后果,而且发生的主要原因是内控措施不利和内部人员的安全意识不够,所以很难预防和控制。

非法接入的主要途径――IP 地址盗用侵害了 Internet 网络的中正常用户的权益,并且给网络计费、网络安全和网络运行带来巨大的负面影响,因此解决 IP地址盗用成为当前一个迫切的问题。基于IP盗用的非法接入的形式繁多,常见的主要有以下几种:不经过系统分配自己配置IP地址;修改 IP-MAC 地址对为合法用户的地址;收发数据包时修改IP 地址。

在上述防范措施的基础上,结合用户认证和IP-MAC-PORT三者绑定的技术,首先确保合法用户通过认证,再通过SNMP协议编写相关的网络管理软件,轮询交换机等网络设备,获取当前网络中主机的IP地址和MAC地址等信息,与原始IP-MAC对照表进行比对,进而发现非法的IP地址和接入点。企业网监控着重于监控网络当前主机状况,发现非法接入点,采取相关行动阻止非法用户接入网内。具体的设计方案为:用户注册模块,IP盗用检测模块,IP盗用处理模块,安全审计模块,通讯模块和安全监控模块。

4.2 简单网络管理协议 SNMP

SNMP 的网络管理模型包括以下关键元素:管理站、者、管理信息库、网络管理协议。管理站一般是一个分立的设备,也可以利用共享系统实现。管理站被作为网络管理员与网络管理系统的接口。SNMP 中的对象是表示被管资源某一方面的数据变量。对象被标准化为跨系统的类,对象的集合被组织为管理信息库(MIB,Management Information Base)。MIB 作为设在者处的管理站访问点的集合,管理站通过读取 MIB 中对象的值来进行网络监控。管理站可以在者处产生动作,也可以通过修改变量值改变者处的配置。

SNMP 的规范 SMI(Structure of Management Information)为定义和构造MIB提供了一个通用的框架。同时也规定了可以在MIB中使用的数据类型,说明了资源在 MIB 中怎样表示和命名。SMI 避开复杂的数据类型是为了降低实现的难度和提高互操作性。MIB 中的每个对象类型都被赋予一个对象标识符(OID),以此来命名对象。另外,由于对象标识符的值是层次结构的,因此命名方法本身也能用于确认对象类型的结构。

在 TCP/IP 网络管理的建议标准中,提出了多个相互独立的 MIB,其中包含为 Internet 的网络管理而开发的 MIB-II。管理站和者之间以传送 SNMP 消息的形式交换信息。每个消息包含一个指示 SNMP 版本号的版本号,一个用于本次交换的共同体名,和一个指出 5 种协议数据单元之一的消息类型。

4.3 非法接入防范子系统

SNMP++是一套 C++类的集合,它为网络管理应用的开发者提供了 SNMP 服务。SNMP++并非是现有的 SNMP 引擎的扩充或者封装。事实上为了效率和方便移植,它只用到了现有的 SNMP 库里面极少的一部分。SNMP++也不是要取代其他已有的 SNMPAPI,比如 WinSNMP。SNMP++只是通过提供强大灵活的功能,降低管理和执行的复杂性,把面向对象的优点带到了网络编程中。可以利用SNMP++来实现非法接入防范子系统的设计相关工作。在具体过程中需要考虑:

1)非法用户只修改IP地址,通过比较原始IP地址分配表可发现非法的IP地址,进而关闭其端口,阻止其接入企业网;

2)非法用户成对修改 IP-MAC 地址方面。

5 结束语

随着 Internet 的运用愈加广泛,网络安全和信息安全的问题日益突出,入侵主机通过修改相关设置入侵企业网并在网内主机上安置木马程序,对企业网内部资源造成很大的危害,严重影响了企业网内部资源的共享和保密性要求。论文提出的主动式网络安全监控可有效的解决本地和网络入侵以及外部非法接入的隐患,具有较高的安全性、易用性和可扩展性。

篇11

图3 DNS服务器的设置

图4 WWW服务器中制作的Web页面

3.3 配置内、外网的远程登录功能

在全局模式下配置外网ISP_Router路由器及内网Enterprise_Router路由器的VTY密码和特权密码，分别为OuterNet和IntraNet，以允许远程登录，配置命令以ISP_Router路由器为例进行说明，如图5所示。同时在ISP_Router路由器和Enterprise_Router路由器上分别telnet对方，结果均成功，如图6和图7所示。

ISP_Router(config)#line vty 0 4

ISP_Router(config-line)#password OuterNet

ISP_Router(config-line)#loging

ISP_Router(config-line)#enable password OuterNet

图5 ISP_Router路由器的远程登录配置命令

3.4 配置动态ACL

全局模式下，在Checking_Router路由器上配置动态ACL，配置命令和相关解析如下：

1）Checking_Router(config)# access-list 100 permit tcp any host 202.101.172.1 eq 23! 允许外网telnet Checking_Router路由器进行身份验证

2）Checking_Router(config)# access-list 100 permit tcp any host 202.101.172.1 eq 3001! 允许外网telnet Checking_Router路由器的3001端口进行管理

3）Checking_Router(config)# access-list 100 dynamic LQP123 timeout 120 permit ip any any ！创建动态ACL，命名为LQP123。语句中第一个any关键字将被通过验证的用户IP地址替代，第二个any代指内网所有主机。timeout是绝对时间，为120分钟

4）Checking_Router(config)# user LQP456 password LQP456 ！创建用户LQP456和密码LQP456，用于身份验证

5）Checking_Router(config)# line vty 0 3 ！虚拟终端用户0、1、2、3

6）Checking_Router(config-line)# login local ！使用Checking_Router路由器本地的用户名和密码进行验证

7）Checking_Router(configline)# autocommand access-enable host timeout 5 ！语句中的host参数表示主机的源IP地址替换动态ACL中的any关键字，timeout指空闲时间，为5分钟

8）Checking_Router(config-line)# line vty 4！虚拟终端用户4

9）Checking_Router(config-line)# login local

10）Checking_Router(config-line)# rotary 1！设置vty 4号线路为管理员使用telnet对Checking_Router路由器进行管理，telnet端口为3001

11）Checking_Router(config-line)# interface serial 1/0! Checking_Router路由器的串行接口

12）Checking_Router(config-if)# ip access-group 100 in！在Checking_Router路由器的Serial1/0接口上应用动态ACL

3.5 验证动态ACL

1）在外网ISP_Router路由器上telnet内网Enterprise_Router路由器，不能成功，结果如图8所示：

ISP_Router#telnet 10.0.0.2

Trying 10.0.0.2…

% Destination unreachable:gateway or host down

图8 配置动态ACL后，外网路由器

telnet内网路由器的结果

这是因为ISP_Router路由器去往Enterprise_Router路由器的telnet数据包进入Checking_Router路由器的serial1/0接口时，被Checking_Router路由器的ACL100拒绝。同理，Enterprise_Router路由器去往ISP_Router路由器的流量没有问题，但返回的流量进入Checking_Router路由器的serial1/0接口时，被拒绝。

2）在ISP_Router路由器上telnet Checking_Router路由器的外网接口202.101.172.1，要求验证。输入用户名LQP456和密码LQP456，验证通过，telnet会话自动被终止。在ISP_Router路由器上再次telnet Enterprise_Router路由器，远程登录成功，结果分别如图9、图10所示。Enterprise_Router路由器此时也同样能成功登录ISP_Router路由器。

ISP_Router#telnet 202.101.172.1

Trying 202.101.172.1…Open

User Access Verification

4）查看Checking_Router路由器的ACL，结果如下所示。

Checkin_Router#show access-lists

Extended IP access list 100

permit tcp any host 202.101.172.1 eq telnet(60 matches)

permit tcp anyhost 202.101.172.1 eq 3001

Dynamic LQP123 permit ip any any

permit ip host 202.101.172.2 any (102 matches)(time left 281)

从以上的输出结果可以看出，最后一行是动态ACL产生的一个条目，该条目再过281秒将被删除。有任何符合“permit ip host 202.101.172.2 any”的流量，都会刷新该计时器，如果没有任何流量来刷新计时器，那么这个动态条目将在281秒后被删除。

4 结束语

动态访问控制列表是对传统访问控制列表的一种功能增强，通过使用动态访问控制列表，不仅为授权用户提供了一个访问受保护网络的通道，还可以有效阻止未授权用户的访问和网络攻击，因此研究动态访问控制列表在企业网络上的应用具有一定的现实意义。文章设计了模拟拓扑图，给出了路由器、服务器等的接口设置、IP地址分配以及配置命令，对使用动态访问控制列表前后的结果进行了测试和对比分析，并在实际的网络设备上进行了实验验证，为动态访问控制列表在实际网络上的应用提供了参考依据。

参考文献

［1］ 王芳.路由器访问控制列表及其应用技术研究［D］.中国优秀硕士学位论文全文数据库，2008(06).

［2］ 李清平.路由器和三层交换机联合实现扩展ACL［J］.计算机与数字工程,2010(05):170-174.

［3］ 王道胜.利用路由器访问控制列表实现内部网络安全的研究［J］.电脑学习，2009(02):129-130.

［4］ 唐子蛟,李红蝉.基于ACL的网络安全管理的应用研究［J］.四川理工学院学报：自然科学版,2009(02):48-51.

［5］ 高扬.控制列表构建安全企业网络［J］.数字石油和化工，2009(03):45-48.

［6］ 冯乃光,程曦.基于端口引用访问的ACL/包过滤技术实现［J］.现代电子技术,2009(20):82-84,96.

［7］ 白帆,罗进文,王.访问控制列表的配置与实现［J］.电脑知识与技术,2009(22):6133-6134,6165.

［8］ 赵开新,吕书波,葛红芳.Reflexive-ACL技术及典型应用设计［J］.河南机电高等专科学校学报,2007,15(01):101-103.

［9］ 曾旷怡,杨家海.访问控制列表的优化问题［J］.软件学报,2007,18(04):978-986.

［10］A姚宇峰,涂睿.基于位置与标志分离的访问控制列表优化［J］.计算机应用研究,2010,27(03):1145-1150.

篇12

    1前言

    随着企业科学管理水平的提高.企业管理信息化越来越受到企业的重视.企业ERP(企业资源计划)系统、企业电子邮局系统和OA办公自动化系统等先进的管理系统都进入企业并成为企业重要的综合管理系统。企业局域网与国际互联网(Internet)联接,形成一个内、外部信息共享的网络平台。这种连接方式使得企业局域网在给内部用户带来工作便利的同时.也面临着外部环境——国际互联网的种种危险。如病毒,黑客、垃圾邮件、流氓软件等给企业内部网的安全和性能造成极大地冲击如何更有效地保护企业重要的信息数据、提高企业局域网系统的安全性已经成为我们必须解决的一个重要问题

    2网络安全及影响网络安全的因素

    网络安全一直都是困扰企业用户的一道难题.影响企业局域网的稳定性和安全性的因素是多方面的,主要表现在以下几个方面:

    2.1外网安全。骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁

    2.2内网安全最新调查显示.在受调查的企业中60%以上的员工利用网络处理私人事务对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业局域网络资源、并引入病毒和间谍.或者使得不法员工可以通过网络泄漏企业机密

    2.3内部网络之间、内外网络之间的连接安全。随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享.又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题各地机构与总部之间的网络连接安全直接影响企业的高效运作

    3企业局域网安全方案

    为了更好的解决上述问题.确保网络信息的安全,企业应建立完善的安全保障体系该体系应包括网络安全技术防护和网络安全管理两方面网络安全技术防护主要侧重于防范外部非法用户的攻击和企业重要数据信息安全.网络安全管理则侧重于内部人员操作使用的管理.采用网络安全技术构筑防御体系的同时,加强网络安全管理这两方面相互补充,缺一不可。

    3.1企业的网络安全技术防护体系

    包括入侵检测系统、安全访问控制、漏洞扫描、病毒防护、防火墙、接入认证、电子文档保护和网络行为监控。

    1)入侵检测系统。在企业局域网中构建一套完整立体的主动防御体系.需要同时采用基于网络和基于主机的入侵检测系统首先.在校园网比较重要的网段中放置基于网络的入侵检测产品.不停地监视网段中的各种数据包.如果数据包与入侵检测系统中的某些规则吻合.就会发出警报或者直接切断网络的连接其次.在重要的主机上(如W WW服务器,E—mail服务器,FTP服务器)安装基于主机的入侵检测系统.对该主机的网络实时连接以及系统审

    计日志进行智能分析和判断.如果其中主体活动十分可疑.入侵检测系统就会采取相应措施

    2)安全访问控制系统针对企业局域网络系统的安全威胁。必须建立整体的、卓有成效的安全策略.尤其是在访问控制的管理与技术方面需要制定相应的策略.以保护系统内的各种资源不遭到自然与人为的破坏.维护局域网的安全

    3)漏洞扫描系统。解决网络层安全问题的方法是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具.利用优化系统配置和打补丁等各种方式.最大可能地弥补最新的安全漏洞并消除安全隐患.

    4)病毒防护系统。企业局域网防病毒工作主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。校园网需建立统一集中的病毒防范体系.特别是针对重要的网段和服务器.要进行彻底堵截.

    5)防火墙系统。防火墙在企业局域网与Internet之间执行访问控制策略.决定哪些内部站点允许外界访问和允许访问外界.从而保护内部网免受非法用户的入侵在外部路由器上设置一个包过滤防火墙,它只让与屏蔽子网中的服务器、E—mail服务器、信息服务器有关的数据包通过。其他所有类型的数据包都被丢弃.从而把外界Internet对屏蔽子网的访问限制在特定的服务器的范围内.

    6)接入认证系统对计算机终端实行实名制度.固定IP、绑定MAC地址.结合企业门户、办公系统等管理业务系统的实施实行机终端接入准入制度.未经过安全认证的计算机不能接人企业局域网络

    7)电子文档保护系统。企业重要信息整个生命周期(信息过程、信息操作过程、信息传输过程、信息存储过程、信息销毁过程)得到全程透明加密保护,保证只用合法的用户才能通过认证、授权访问涉密文件。非法用户无法在信息的产生到销毁过程的任何环节窃取、拷贝、打印、另存、涉密文件,阻断一切可能的泄密路径.有效防护各种主动、被动泄密事件的发生。

    8)网络行为监控系统网络行为监控是指系统管理员根据网络安全要求和企业的有关行政管理规定.对内网用户进行管理的一种技术手段.主要用于监控企业内部敏感文件访问情况和敏感文件操作情况以及禁止工作人员在上班时间上网聊天、玩游戏、浏览违禁网站等。

    3.2企业局域网安全管理措施