基于某企业的网络安全策略范文第1篇

关键词： 网络；信息安全；规划

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）20-4606-03

网络是现代社会中信息传输的主要载体，包括计算机网络和电信网络两大部分，其中计算机网络的典范是Internet，而电信网络则包括有线电话网和移动通信网。随着技术的发展，这两种网络之间的差异正在逐步缩小，未来的发展趋势将是一个统一的、能提供综合业务能力的信息传输网络。

1 网络的基本结构

在本文中涉及到的主要是计算机网络。在典型的企业应用环境中，用户有两种主要的网络接入方式，即固定用户的直接接入方式和移动用户的拨号接入方式。下面分别对这两种接入方式下的网络基本结构进行分析。

在直接接入方式下，整个网络系统大致包括以下三个部分：

1）用户网络：是整个骨干网络的端系统，同时用户企业/部门内部的业务处理专用网络，包括了与用户企业日常业务处理直接相关的业务系统和信息资源，以及为支持这些系统的有效运行而建立的用户内部网络系统（可以是局域网或Intranet）。由于企业间合作的不断开展，用户网络之间需要进行大量的资源共享和交流，这一般需要通过骨干网络进行。

2）接入网络：是指实现用户网络到骨干网络接入的中间网络部分，是用户网络的应用信息通过骨干网络传输的一个中介。由于用户网络和骨干网络之间的安全性能上存在较大的差异，因此接入网络需要解决的一个重要的问题就是对用户网络及其内部的各种资源进行安全保护。本教程所指的接入网络概念与电信网络的术语“接入网”不完全相同。

3）骨干网络：是用户网络之间交换和传输应用信息的传输媒体，是通过在大量的用户网络之间共享网络传输带宽来实现信息的高速、廉价传输的。由于骨干网络应用环境的开放性特点，其安全性能一般无法保证。

对于移动用户远程接入的方式，整个网络结构主要包括以下二个部分：

1）接入网络：是实现移动用户接入到骨干网络的中间网络部分。典型的接入网络包括ISP/IAP以及移动用户到相应的ISP/IAP之间的电信网络传输网络部分（PSTN/IDSN）。

2）骨干网络：是移动用户与目标网络之间的信息传输媒体。

随着网络和信息技术在各个方面的全面应用，企业的组织方式将变得越来越灵活，而移动计算模式将逐步普及，因此在研究网络及信息安全问题时必须将移动用户的接入方式作为一个重点加以研究。

2 网络及信息安全问题的内涵

网络及信息的安全问题是一个相当广义的概念，其内容至少涉及以下几个方面：

1）物理安全：确保整个网络系统正常运行、安全工作的首要条件是确保计算机及其网络设备等关键性网络固件的物理安全，包括设备机房的防雷击、电磁屏蔽、抗灾性能、安全警卫等方面，要求整个网络系统从系统设计、安装施工、运行管理各方面加强对物理安全的精确控制与有效管理。

2）网络系统安全：骨干网络部分的主要功能在于向大量的用户网络提供可用的网络传输带宽，因此传输网络的安全性主要体现在对网络传输带宽可用性的保证上，主要是维持整个传输网络的路由机制和网络管理机制的正常运作。

3）计算机系统安全：用户网络的主要功能体现在企业内部信息资源的开发利用以及业务流程的辅助实施方面，不仅要满足内部用户的需求，还应根据企业发展战略的需要有针对性地向外部用户提供服务和资源。因此计算机系统安全主要体现在对应用系统和信息资源的安全保护两个方面，而对信息资源的安全性保护主要几种在数据的保密性、完整性和可用性方面。

3 网络及信息安全问题的主要成因

由于网络及信息安全问题的涉及的领域具有相当的广泛性，其安全问题的来源和因由也是相当复杂的，下面仅列出部分主要的安全问题成因，给大家对此有一个初步的了解：

3.1 网络及信息安全的技术成因

网络及信息安全问题的技术成因主要包括以下几个方面：

1）电磁信号的辐射：由于网络设备以及计算机信息系统的特殊构造与工作方式，它不可避免地会向邻近空间辐射电磁波。这些泄露出来的电磁辐射信号频谱成分丰富，携带大量信息，从而对某些信息处理的信息安全性造成威胁。目前网络通信中涉及到的传输电缆、计算机设备、网络系统设备均会不同程度的产生电磁场辐射向外泄露，对此只需要简单的仪器设备就可以在通信双方毫不知情的情况下对通信内容实施监听。

2）网络协议的安全性：网络协议是计算机之间为了互联彼此共同遵守的通信规则。目前的互联网络所采用的主流协议TCP/IP协议构架主要是面向信息资源的共享的。由于在其设计之初人们过分强调其开发性和便利性，而对其安全性的设计上没有深思熟虑，因此相当部分的网络协议都存在严重的安全漏洞，给互联网留下了许多安全隐患。事实上，这已经成为当前网络及信息安全问题最主要根源之一。另外，某些网络协议缺陷造成的安全漏洞往往被黑客直接利用发起安全攻击。比较典型的如FTP、SMTP、Telnet等应用协议，用户的口令等信息是以明文形式在网络中传输的，同时这些协议底层所依赖的TCP协议自身也并不能确保信号传输过程的安全。

3）工作环境的安全漏洞：现有的操作系统和数据库系统等典型的企业用户工作环境，由于本身就是软件产品，软件产品的特殊性造成了其必然存在一定的已知及未知安全漏洞，包括自身的体系结构问题、对特定网络协议实现的错误以及系统开发过程中遗留的后门和陷门。这些来自系统底层的安全漏洞带来的安全隐患，有可能会使用户精心构建部署的应用系统毁于一旦。

4）安全产品自身的问题：对于用户网络内部已经采用的网络及信息安全产品，其自身实现过程中的安全漏洞或错误都有可能引发用户内部网络安全防范机制的失效。同时，即使安全产品自身的安全漏洞可以忽略，在产品的实际使用过程中由于用户的配置或操作不当均可能造成产品安全性能的降低或丧失。

5）缺乏总体的安全规划：目前的各种网络及信息安全技术和产品一般基于不同的原理和安全模型工作，虽然独立来看都是功能不错的产品，但当所有这些产品整合到一起，应用到同一个网络系统中时，彼此之间在互操作性及兼容性上往往无法得到有效保证，从而带来许多意想不到的新安全问题。

6）信息的共享性：信息资源的网络共享确实在促进国际间的信息交流与技术合作上起到了前所未有的成功，大力推动了全世界科技水平的提高，但同时这也成为网络及信息安全问题的一个重要成因。各种计算机病毒、各种攻击小软件都可以便捷地从互联网上获取，甚至网络黑客们还专门成立了虚拟社区，通过讨论组、BBS等形式交流黑客经验。在这各方面可以说信息共享起到了推波助澜的负面作用。

3.2 网络及信息安全的管理成因

网络及信息安全问题的管理成因主要包括以下几个方面：

1）互联网缺乏有效的管理：国际互联网是全球性的分布式网络。在技术层面上，不存在某个国家或某个利益集团通过某种技术手段来达到控制互联网的目的。由于互联网是分布式的，各个节点由各类民间组织以自愿形式进行管理，同时不同国家民族在地域、法律、文化等方面的巨大差异存在，导致了互联网在整体上缺乏一个有效的安全管理规划，给网络黑客留下了充分的活动空间，使他们可以低成本的进行信息安全犯罪活动而逍遥法外。

2）配套的管理体制尚未建立：传统的政府部门的行政管理体制一般是建立在地域划分和部门条块分割基础上，实施监督管理的职能。而超越地域空间限制的网络环境使得传统的管理模式捉襟见肘，监管部门的管理职能难以有效发挥作用。同时信息化社会中原有的法规政策在具体实施和操作中会遇到或多或少的种种困难，所有这些客观上使得网络黑客活动一定程度上具备了逃避法规监管的可能，助长了网络黑客的气焰。

3）观念上的重视不够：目前政府部门、金融部门、企事业单位的大量业务依赖于信息系统安全运行，信息安全重要性日益凸显。大多数单位已经意识到了网络及信息安全问题的重要性，但往往由于部门负责人的信息化水平本身不高导致其对信息安全管理认知水平仍停留在较粗浅的低层次上。这主要表现在，没有配备专职的网络安全管理员或其业务素质不高，没有建立和落实完整的网络系统安全防范制度，没有对网络系统和安全产品的配置进行有效的管理等方面。

4 网络及信息安全的规划

从网络信息系统的稳定与安全、社会经济的有序发展和保护企业利益的角度来看，一定要高屋建瓴地进行网络信息安全保障体系建设规划工作，做好基础性工作和基础设施建设，建立信息安全保障。下面主要介绍如何进行有效的网络及信息安全规划工作。

4.1 风险分析和评估

安全规划的第一步是对用户内部网络所面临的安全风险进行分析和评估。根据现代的经济运作理论，对于网络及信息安全方面的投资将被视为一种投资方式，这种投资将带来企业在运行管理成本、安全事故损失以及企业形象等方面的收益。在市场经济领域中任何一种投资都必须有相应的回报，因此投资前的一个重要措施就是风险分析和评估，用以确定所需的资金投入。

安全风险分析和评估主要应从以下二个方面入手：

1）安全威胁及其可见性分析：对用户企业所面临的各种潜在的安全威胁因素及其对外的可见性进行全面分析。安全威胁的存在不一定会造成事实的安全事故，安全威胁对外部是可见的，才有可能引发安全事故。可能的安全威胁应包括软、硬件以及用户自身。

2）组织对潜在安全风险的敏感性分析：这里的敏感性包括对安全事故造成的直接经济损失以及政治上和商业形象上的损失的敏感程度。敏感性分析的结果将直接关系到安全规划过程中对各类安全措施的投入比重和优先级问题。

4.2 安全策略制定

在安全风险分析和评估的基础上，应进一步制定网络系统的安全策略。在制定安全策略过程中应充分权衡安全性和方便性，并应注意使安全策略切实可行，与企业的技术和资金能力现状相适应。

安全策略应包括一下两个层次的内容：

1）整体安全策略制定：主要用于确立企业级的网络安全防范管理体制，并落实与之相配套的具体事实规划和所需人力、物力的落实计划，并应明确违反安全策略行为的处理措施。整体的安全策略主要用于领导高层决策和管理使用。

2）系统级的安全策略：在整体安全策略所确定的框架之上进一步从技术角度针对特定的系统专门制定详细的安全策略，主要用于具体的技术实施使用。

在安全策略的制定和实施并不只是单纯的管理层的任务，而是应充分发挥技术人员的作用。

4.3 系统的管理与维护

在系统的运行过程中应进行一下几方面的管理与维护工作：

1）数据备份：对系统中关键性的信息根据应用的特点确定备份的方式和备份策略。

2）安全审计：对系统中的资源访问和各种异常情况进行安全审计，及时地发现系统配置中的安全漏洞并加以补救，并对已发生的安全事故进行责任追查。

4.4 技术不是一切

对于网络及信息安全问题，需要着重指出的一个问题是：“技术不是一切”。

某种程度上说，网络技术及信息技术本身就是技术含量很高的高科技，因此在网络及信息领域的整体安全解决方案中，技术因素必然是起着决定性作用的，这一点是不可否认的。事实上任何一种技术都是在正、反两方面的应用和较量的过程中逐步完善和发展起来的，对于网络及信息安全问题则更将是一场智慧与技术的反复较量。

但同时也应该看到，网络及信息安全问题涉及到了人的因素。与任何其它涉及到人的问题一样，网络及信息安全领域中并不是只依靠单纯的技术力量就能有效解决一切问题的。

1） 功能再强大的网络及信息安全产品，若使用者没有进行合理地配置或者正确地操作，其安全性能不但无法得到有效利用，还有可能形成许多新的安全漏洞。

2）再完善的安全管理制度，只为了贪图一时方便而不去执行它，那么所有的安全措施都有可能形同虚设。最简单的例子是用户违反口令管理的规定选取过于简单的口令或干脆直接采用系统缺省口令就足以给网络黑客敞开大门。

3）只要用户个人出于对工作条件的不满或其它情感因素，完全有可能利用其合法的用户身份从系统内部发起攻击或将系统内部信息透露给其它恶意用户。而根据美国FBI的统计，80%以上（奏效）的网络攻击都属于这种“后院起火”的类型。

因此，在从技术角度加强网络及信息安全防范的同时，还必须加强对企业内部网络系统的安全管理，才能使公司在安全产品和技术方面的投资发挥其应有的作用。

参考文献：

[1] 黄允聪，严望佳.网络安全基础[M].北京：清华大学出版社， 1999， 6.

基于某企业的网络安全策略范文第2篇

关键词：分布式网络；网络安全；网络管理

1　引言

随着网络的广泛普及和应用，政府、军队大量的机密文件和重要数据，企业的商业秘密乃至个人信息都存储在计算机中，一些不法之徒千方百计地“闯入”网络，窃取和破坏机密材料及个人信息。据专家分析，我国80%的网站是不安全的，40%以上的网站可以轻易的被入侵。网络给人们生活带来不愉快和尴尬的事例举不胜举：存储在计算机中的信息不知不觉被删除;在数据库中的记录不知道何时被修改;正在使用的计算机却不知道何故突然“死机”等等诸如此类的安全威胁事件数不胜数。因此，网络信息的安全性具有举足轻重的作用。

本论文主要针对分布式网络的信息安全展开分析讨论，通过对分布式网络安全管理系统的设计研究，以期找到可供借鉴的提高分布式网络信息安全水平的防范手段或方法，并和广大同行分享。

2　网络安全管理技术概述

在当今这个信息化社会中，一方面，硬件平台，操作系统平台，应用软件等IT系统已变得越来越复杂和难以统一管理;另一方面，现代社会生活对网络的高度依赖，使保障网络的通畅、可靠就显得尤其重要。这些都使得网络管理技术成为网络安全技术中人们公认的关键技术。

网络管理从功能上讲一般包括配置管理、性能管理、安全管理、故障管理等。由于网络安全对网络信息系统的性能、管理的关联及影响趋于更复杂、更严重，网络安全管理还逐渐成为网络管理技术中的一个重要分支，正受到业界及用户的日益深切的广泛关注。

目前，在网络应用的深入和技术频繁升级的同时，非法访问、恶意攻击等安全威胁也在不断推陈出新，愈演愈烈。防火墙、VPN、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用，但是这些产品大部分功能分散，各自为战，形成了相互没有关联的、隔离的“安全孤岛”，各种安全产品彼此之间没有有效的统一管理调度机制，不能互相支撑、协同工作，从而使安全产品的应用效能无法得到充分的发挥。

从网络安全管理员的角度来说，最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态，对产生的大量日志信息和报警信息进行统一汇总、分析和审计;同时在一个界面完成安全产品的升级、攻击事件报警、响应等功能。但是，一方面，由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂，异构性、差异性非常大，而且各自都具有自己的控制管理平台、网络管理员需要学习、了解不同平台的使用及管理方法，并应用这些管理控制平台去管理网络中的对象(设备、系统、用户等)，工作复杂度非常之大。另一方面，应用系统是为业务服务的;企业内的员工在整个业务处理过程中处于不同的工作岗位，其对应用系统的使用权限也不尽相同，网络管理员很难在各个不同的系统中保持用户权限和控制策略的全局一致性。

另外，对大型网络而言，管理与安全相关的事件变得越来越复杂。网络管理员必须将各个设备、系统产生的事件、信息关联起来进行分析，才能发现新的或更深层次的安全问题。因此，用户的网络管理需要建立一种新型的整体网络安全管理解决方案—分布式网络安全管理平台来总体配置、调控整个网络多层面、分布式的安全系统，实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动，从而有效简化网络安全管理工作，提升网络的安全水平和可控制性、可管理性，降低用户的整体安全管理开销。

3　分布式网络安全管理系统的设计

3.1 分布式网络安全管理系统架构分析

随着Internet技术的发展，现在的企业网络规模在不断扩大，设备物理分布变得十分复杂，许多企业都设有专门的网络管理部门，来应对企业网络中可能出现的问题，以保证企业业务的正常运行。这些网络管理部门的工作人员可能会根据需要分布在不同的业务部门中，甚至不同的城市中，这就导致原有的集中式网络设备平台管理已经不能满足企业的需求。复合式网络安全管理平台必须能够实现远程、多用户、分级式管理，同时要保证整个平台系统的安全性。

针对以上需求，本网络安全管理平台设计为一种网络远程管理系统，采取服务器和客户端的模式。

(1) 分布式网络安全管理平台服务器端

分布式网络安全管理平台的服务器端是整个管理系统的核心，它位于要管理的企业网络内部的一台服务器上，掌控着所有的网络资源，对被管网络资源的操作都是由平台服务器端直接完成。

分布式网络安全管理平台的各种管理功能模块是相对独立存在的，而服务器端相当于一个大容器，当需要某种管理功能时，就可以通过一定的方法，将管理模块动态加载到服务器端上。管理模块完成管理的具体功能，管理模块既可以单独完成某种管理功能，也可以通过服务器端提供的服务，协作完成特定的管理功能。服务器端还提供了一个公共的通信接口，通过这个通信接口，服务器端上的管理功能模块就可以实现与客户端的交互。

(2) 分布式网络安全管理平台客户端

客户端相当于一个个企业网络的管理员，这些管理员己经被分配给不同的用户名和密码，从而对应于不同的平台操作权限。管理员可以通过局域网或者Internet登陆到管理平台的服务器。_服务器端实现网络安全管理平台的各种管理功能。每当有用户登陆到服务器时，首先服务器端有一个用户鉴别和权限判断，通过后，根据权限不同的平台管理信息被传送回客户端，客户端将这些管理信息显示出来。如果管理员在客户端进行了某些操作，客户端会将这些操作信息发送到服务器，服务器对用户和操作进行权限鉴定，通过后，服务器就调用相应的管理功能模块来实现操作，并将结果返回给客户端，客户端进行相应的显示。

3.2 分布式网络的安全策略管理设计

策略管理的目标是可以通过集中的方式高效处理大量防火墙的策略配 置问题。随着网络规模与业务模式的不断增长变化，对IT基础设施的全局统一管理越来越成为企业IT部门的重要职责;策略的集中管理更有效的描述了全网设备的基本情况，便于设备间的协作、控制，能够提高问题诊断能力，提高运营的可靠性;另一方面，也极大的减轻了管理员的工作强度，使其工作效率大幅度提高。

策略管理并不是系统中孤立的模块，它与节点管理、权限管理有着紧密的联系。由于节点管理将全网划分为若干管理域，每个管理域中还有相应的下级组织部门，因此策略管理首先与节点信息相联系，这也就隐含了策略的层级配置管理。

另外，策略是由某个具有一定权限的管理员对某个管理域或设备制订的，因此策略是否能定制成功需要调用权限管理中的功能加以判定，因此隐含了策略的可行性管理。全网策略被统一存储，结合节点管理，策略存储有它自身的结构特点，这些属于策略的存储管理。

策略按照一定的时间、顺序被部署到具体的设备上，无论策略是对管理域定制的，还是对设备制订的，所有相关的策略最终都要被下发的设备中去，下发的方式能够根据实际网络拓扑的变化而做适应性调整，这些属于策略的管理。

3.3 分布式网络信息安全构建技术

(1) 构筑入侵检测系统(IDS)

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

(2) 构筑入侵防御(IPS)

入侵防御是一种主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。入侵防御系统在网络边界检查到攻击包的同时将其直接抛弃，则攻击包将无法到达目标，从而可以从根本上避免黑客的攻击。

(3) 采用邮件防病毒服务器

邮件防病毒服务器安装位置一般是邮件服务器与防火墙之间。邮件防病毒软件的作用：对来自INTERNTE的电子邮件进行检测，根据预先设定的处理方法处理带毒邮件。邮件防病毒软件的监控范围包括所有来自INTERNET的电子邮件以及所属附件。

4　结语

在网络技术十分发达的今天，任何一台计算机都不可能孤立于网络之外，因此对于网络中的信息的安全防范就显得十分重要。针对现在网络规模越来越大的今天，分布式网络由于信息传输应用范围的不断扩大，其信息安全性日益凸显，本论文正是在这样的背景下，重点对分布式网络的信息安全管理系统展开了分析讨论，相信通过不断发展的网络硬件安全技术和软件加密技术，再加上政府对信息安全的重视，分布式计算机网络的信息安全是完全可以实现的。

基于某企业的网络安全策略范文第3篇

关键词：计算机网络；安全；VLAN

中图分类号：TP393.08

伴随着我国网络普及率的不断提高，网络安全问题已经成为当前社会议论的热点。计算机网络安全已经不再是关乎到企业经营利益，更重要的是关乎到国家未来发展的安全与稳定。所以现代社会网络安全问题将是未来最重要的安全性问题，必须要整个社会共同努力，全面提高安全防护措施。

1 网络安全现状与常见威胁分析

（1）企业网络安全现状分析。就目前形势来看，国内企业数据信息安全很多乐观，特别是在信息网络安全方面、网络安全技术人才方面、企业内部员工网络安全防护意识方面均存在着较大问题。更有甚者，一些企业领导认为像防火墙此类的安全防护软件可有可无。殊不知，网络安全体系的构建是一项长期的工作，只有在关键时刻才能够显示其最大的价值。

（2）企业网络面临的安全威胁。第一，自然威胁与无意失误。所谓自然威胁即是指因自然灾害所导致的企业数据丢失，这种网络威胁是不可避免的。无意失误顾名思义就是指由于企业内部安全管理人员的误操作所导致的企业机密信息丢失或者泄露。企业网络管理员在进行网络安全配置时，由于网络安全设置不当，导致用户口令较为容易破解。第二，非授权访问。所谓非授权访问是指通过编写各种木马病毒或者通过调整计算机程序入侵其他用户的网络，或者以非法未授权的方式访问其他用户系统文件。有些黑客会通过一些非法手段，肆意扩大访问权限或者以虚假身份进入他人计算机网络进行各种数据信息的读取。第三，木马程序及后门。这种威胁主要是指利用远程控制手段，对他人计算机程序进行非常隐蔽或者未授权方式的读取。如果企业的某台计算机被非法安装了木马程序或者后门，那么该计算机上的各种机密信息就极有可能被黑客窃取。譬如该计算机上输入的各种密码，相互交换的各种数据信息，均会通过非法程序向黑客直接发送。现阶段这种远程控制方式非常普遍，也是黑客窃取他人信息的主要手段之一。第四，计算机病毒。这种网络威胁方式通常情况下均是由不法分子直接在计算机程序中安装破坏计算机功能，窃取计算机数据而安装的。计算机病毒的出现肯定会对该计算机系统的运行产生一定的影响，它既能够自我复制计算机指令来控制计算机，同时也能够在该系统中寄生更多的病毒。一般情况下，计算机一旦被病毒感染之后，均会出现蓝屏、自动重启、卡机等问题，而且会在非常短的时间之内致使整个计算机系统瘫痪，给企业带来非常惨重的损失。

2 网络安全体系研究

关于网络安全体系的实施过程，其实施前提是系统已经部署了较为完善的安全产品，如计算机防入侵检测系统、网络防火墙系统、计算机防病毒软件、VPN以及相关的安全认证等。对于各种类型的安全产品集成的有机体系与系统动态的安全策略是一致性的，其维护是对网络安全体系进行构架的关键因素。系统安全的策略拓展的时效性，则是为了实现系统安全目标的必要条件。

（1）互操作性。对于各个服务都必须遵循的基本安全策略工作时，就是为了解决系统互操作性的关键要素。也就是说系统安全策略必须保证其各个服务都遵循一致。此外，对于某些服务的活动范围其依据并不是直接来源于系统安全策略，而是出于服务间的联动规则。所以说针对此类系统控制中心必须能够及时的实现这种联动规则。

（2）可管理性。对于一个设计良好的可靠地信息安全集成管理平台来说，其应该能够从管理技术和管理策略上保证系统的安全策略能够得到更好更整准确地实现，进而促使对安全需求方面能够更加全面准确地得到满足。这即包括了确定必需的安全服务也包含了对安全机制与技术管理方面的要求，从而实现网络安全体系在系统中的合理部署与配置。

（3）可扩展性。关于网络安全体系集成可扩展性的要求是：对于每种新投入的安全服务或安全设备，或者新型的网络安全技术的使用，系统可接纳其无缝集成运行到系统中无需对操作本身作修改，或只作较少配置改动。

3 网络安全设计结构

依据网络安全的相关法律法规，安全防御策略应是全方位和动态纵深的，对网络实行分层、分级以及实时防护，对于网络中的特定的安全漏洞能够及时评估和发现，对于各种网络的侵入行为实时监测并能依据监测结果预警，甚至是遭受攻击时，自发地发出报警信号、处理措施；这样就使得在恶意入侵某一层安全防御措施后，能被后续的应急措施阻拦，确保系统的最大程度安全。

（1）VLAN的网络分割。在以太网发展的过程中，出现了广播相关的技术问题以及安全性问题，为了解决这个问题，人们提出了VLAN协议。这个协议的原理是，在传统以太网帧上增加了VLAN头，通过这样的VLAN ID将网络上的计算机分为相对独立的工作组，而不同组之间的计算机不能进行直接互相访问，每个VLAN就是一个虚拟局域网，这样使得技能限制广播的范围，并能够组成虚拟的工作组，VLAN之间的互相访问则需要有协议中的授权进行信息交换。为了防止敏感资源的泄露以及广播信息的泛滥，在0层交换机的集中式网络环境中，将网络中的所有客户计算机和服务器分别分配到不同的VLAN中，而在相对独立的VLAN中，用户通过设置IP来进行与服务器之间的互相ping是被禁止的，同样也需要禁止用户计算机对服务器相关数据资源的写入，只允许相关数据的读出，通过这样的协议机制，能够更好地保护主机资源和服务器中的敏感信息。而在实际应用中，企业的部门位置有些分散，有些交叉重叠、不易分离，我们通过三层交换机网络，经过VLAN的相关划分，实现部门都有各自独有的VLAN，既方便了互相访问，有保证了信息的安全。

（2）MAC地址绑定。这样的绑定是通过0层交换机，在其安全控制列表中，使得计算机的MAC地址和交换机上的端口进行捆绑，由于MAC地址是网络适配卡的网络身份标识，通过这样的绑定，可以有效防止未注册的非法计算机访问网络，这也就是物理层面的安全防御。同样，我们也可以使用内部网络的安全管理系统，统筹分配网络中的硬件资源。

（3）防火墙配置。上述我们讲述了VLAN将网络划分为独立的VLAN网络，而在这些网络之间，需要我们使用特定的软件或硬件系统，来保证外部网络与内部网络的相对隔离防护，也即防火墙的配置。本文则是采用硬件防火墙方式，是通过控制特定的数据通讯的是否与许出入来实现的，这是通过访问控制策略来决定一个数据的出入是否被允许的。

对于一个网络，在保证安全性的同时，也要考虑信息通信的运行速度以及经济性等问题，因此在防火墙配置的软硬件选型中，要选用符合相关保密要求的国产防火墙，从而有效防止外部用户的非法访问，而为了充分的保证网络安全，可以配置1套备份防火墙，在其中一台出现问题时，另一台迅速启动，以达到无缝保护网络安全。而当今的防火墙访问控制策略有如下几种所示：所有往复数据均需经过防火墙的过滤与监测；符合安全策略的数据包才能经防火墙过滤而通过；服务器访问互联网不能直接通行；防火墙本身作为一个系统，也要有抵御非法访问以及攻击的功能；在没经设置的情况下，默认禁止各种网络服务，除非是客户计算机等发起的或者必须服务，而需要网络开放特殊端口的特定服务要经过系统管理员的允许。

（4）入侵检测系统的部署。传统的网络安全防御方法还不足以满足当今的网络安全要求，新的防御技术应运而生，入侵检测技术就是其中一种，它能够很好的弥补防火墙的不足，有效地结合其他网络安全产品的性能，对网络安全能够进行全方位的保护，并且具有了传统网络安全技术所不具备的主动性，在提供实时监测的同时，并根据特定的网络安全情况来采取相应的手段。相对于防火墙的部署位置，入侵监测是部署在网络的旁路中，不必像防火墙那样对所有出入网络的信息进行访问控制，不会影响整个网络的整体性能；在对全部网络的内容进行入侵检测和判断，并对分析历史进行记录，以利于事故追忆和系统恢复，并断开特定的网络链接等。

（5）身份认证。网络通信的最终目的是为了提供网络上计算机之间的数据通信和数据交换，而身份认证正是基于对通信双方进行身份的确认，保证每次通信双方的信息安全。当前比较常用的通信身份认证技术有：静态密码、智能卡、USB Key和动态口令等，得到普遍应用的是用户名和静态密码的方式；本文中我们使用USB Key方法，这种方法是基于软硬件认证技术，在保证安全性的同时，也保证了易用性。这种该设备内部有微机芯片，存放有用户特定的密钥或者数字证书，通过其内置的密码算法来达到用户的身份认证的目的，这样的身份认证系统有两种认证方法：一是基于冲击响应的模式，二是基于PKI体系的认证模式。

（6）内网安全管理。传统的安全防御理念，重点集中在常规的漏洞扫描、入网检测等方面，重要的安全设备虽然集中在机房中，处在层层的保卫中，来自网络外部的安全威胁大大的缩小了，来自网络内部的安全威胁却相对比较突出，这也是由于内网频频出现的违规安装软件，私自拨号上网以及私自接入其他非法计算机等情况使得内网网络问题频频出现，危及网络的安全，网络管理员相应的需要从准入控制管理以及信息访问控制等六大功能体系出发，来有效地解决出现的问题。

（7）数据备份与恢复。为了防止数据丢失，造成重要数据的无法挽回，网络系统需要经常性的进行数据备份，把特定的数据转存到目的介质中。这样，即使整个网络系统崩溃，数据部分或全部丢失，数据也能恢复到备份时的状态。

本文中的网络体系的构建，在集中式网络管理工具对系统数据进行备份，通过内部网路管理系统对其进行统一管理，用专门管理备份数据的服务器监控相应的备份作业，这样使得系统的备份数据能够统一集中的备份到统一磁盘阵列上。而对于网络数据的备份，实现的方式主要有以下几种：采用自动增量备份，使得系统管理员的工作量得到相应的降低；制定数据备份日程，按照计划进行备份；全面地备份存储介质的物理管理，一定程度上避免读写时的误操作；对备份后的数据所在的存储介质，通过合理的分类存放，使得保存科学可靠；在备份服务器为核心的备份系统中，对各种备份数据统筹管理，合理分配资源，实时监控，实现分布式存放，集中式管理，既提高了存储的可靠性，又保证了存取的快速性。

4 结束语

企业计算机网络安全系统的构建是一个非常复杂的系统工程，它涉及到多个学科的内容，同时也需要企业各个部门的相互协调配合。只有企业自身重视数据信息保护，制定相对完善的数据信息安全保护制度，才能够从根本上实现企业机密信息的绝对安全。在今后的工作中，笔者将继续致力于该领域的研究工作，以期能够获得更多有价值的研究成果。

参考文献：

[1]魏昱.如何解决计算机网络系统的安全问题[J].电子制作，2013（07）：134-135.

[2]赵健.浅析计算机网络系统的安全[J].青春岁月，2011（12）：362.

基于某企业的网络安全策略范文第4篇

关键词：网络安全；防火墙；DMZ

中图分类号：TP393.08 文献标识码：A文章编号：1009-3044(2007)12-21564-03

Firewall Technology and Tobacco Processing Factory Network Security

ZHANG Song-lin

(Hefei University of Technology,Hefei 230039,China)

Abstract: Computer Network Technology of the rapid development of enterprises within the scope of the global sharing of information and resources to provide a convenient, effectively reduce the company's operating costs and to change the traditional work patterns. Along with the internal network and the increasing external networking gradually increased. A safe and reliable enterprise network security system is very important for us. To address enterprises in the development of the information industry is facing network information security issues, the full study of the network security needs on the basis of By analyzing the current classification of firewall technology and the advantages and disadvantages of various types of firewalls, Construction of enterprises in the firewall on the Firewall option and set up to make recommendations and to develop corresponding security strategy. Use corresponding security technology as a means to be achieved.

Key words:network security;firewall;DoS

1 引言

20世纪90年代以来，烟草系统信息进程得到巨大的发展和广泛的应用。计算机应用技术的普及，信息技术的迅猛发展，信息化建设给这个行业带来了新的机遇和挑战。而对于打叶复烤企业来说，由于企业规模较小，计算机应用基础薄弱。随着信息化建设的不断深入，特别是计算机网络技术应用（如企业网络的应用系统，主要有WEB、E-mail、OA系统、MIS系统等）范围越来越广，不可避免的就会带来了网络攻击、内部网络使用混乱、信息盗窃和其它危及企业正常生产及经营活动的行为，从而直接威胁到打叶复烤企业网络与信息方面的安全问题。

2 网络安全

2.1 网络安全的概念

信息技术的使用给人们的生活和工作带来了便捷，然而，计算机信息技术也和其它学科一样是一把双刃剑，当大部分人使用信息技术提高了工作效率，为社会创造更多财富的同时，另外一些人却利用信息技术做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息，篡改和破坏数据，造成难以估量的损失。

网络安全是一个关系到国家安全、社会稳定、民族文化的继承和发扬等重要问题。网络安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科。

计算机网络的安全不是绝对的。安全是有成本的，而且也有时间限制。因此，安全是指化多大成本在多长时间之内可以保证计算机网络安全。安全问题的解决依赖于法律、管理机制和技术保障等多方面相互协调和配合，形成一个完整的安全保障体系。

2.2 网络安全的需求

计算机网络安全是随着计算机网络的发展和广泛应用而产生的，是计算机安全的发展与延伸。可以用系统的观点把计算机网络看成一个扩大了的计算机系统，因此许多关于计算机安全的概念和机制也同样适用于计算机网络。虽然网络安全同单个计算机安全在目标上并没有本质区别，但由于网络环境的复杂性，网络安全比单个计算机安全要复杂得多[1]。

第一，网络资源的共享范围更加宽泛，难以控制。共享既是网络的优点，又是风险的根源，它会导致更多的用户（友好与不友好的）远程访问系统，使数据遭到拦截与破坏，以及对数据、程序和资源的非法访问。

第二网络支持多种操作系统，这使网络系统更为复杂，安全管理和控制更为困难。

第三网络的扩大使网络的边界和网络用户群变得不确定，对用户的管理较计算机单机困难得多。

第四单机的用户可以从自己的计算机中直接获取敏感数据，但网络中用户的文件可能存放在远离自己的服务器上，在文件的传送过程中，可能经过多个主机的转发，因而沿途可能受到多处攻击。

第五由于网络路由选择的不固定性，很难确保网络信息在一条安全通道上传送。

基于以上5个特点的分析可知，保证计算机网络的安全，就是要保护网络信息在存储和传动过程中的保密性、完整性、可用性、可控性和真实性。

(1)数据的保密性

数据的保密性是网络信息不被泄露给非授权的用户和实体，信息只能以允许的方式供授权用户使用的特性。也就是说，保证只有授权用户才可以访问数据，而限制其他人对数据的访问。

(2)数据的完整性

数据的完整性是网络信息未经授权不能进行改变的特性，即网络信息在存储或传送过程中不被偶然或蓄意地删除、修改、伪造、乱序、重放及插入等破坏和丢失的特性。

(3)数据的可用性

数据的可用性是网络信息可被授权实体访问并按需求使用的特性，即需要网络信息服务时允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。影响网络可用性的因素包括人为和非人为两种，前者有非法占用网络资源，切断或阻塞网络通信，通过病毒、蠕虫或者拒绝服务攻击降低网络性能，甚至使网络瘫痪等；后者有灾害事故（水灾、火灾、雷击等）和系统死锁、系统故障等。

(4)数据的可控性

数据的可控性是控制授权范围内的网络信息流向和行为方式的特性，如对信息的访问、传播及内容具有控制能力。

(5)数据的真实性

数据的真实性又称不可抵赖或不可否认性，指在网络信息系统的信息交互过程中参与者的真实同一性，即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。

2.3 安全攻击的种类和常见形式

对网络信息系统的攻击来自很多方面，这些攻击可以宏观地分为人为攻击和自然灾害攻击。它们都会对通信安全构成威胁，但精心设计的人为攻击威胁更大，也最难防备。对网络信息系统的人为攻击，通常都是通过寻找系统的弱点，以非授权的方式达到破坏、欺骗和窃取数据等目的[2]。

2.3.1 主动攻击

主动攻击涉及某些数据流的篡改或虚假数据流的产生，这些攻击可分为假冒、重放、篡改消息和拒绝服务4类。

(1)假冒：假冒指某个实体（人或系统）假扮另外一个实体，以获取合法用户的权力和特权。

(2)重放：重放即攻击者对截获的某次合法数据进行复制，以后出于非法目的的重新发送，以产生未授权的效果。

(3)篡改消息：篡改消息是指一个合法消息的某些部分被改变、删除，或者消息被延迟或改变顺序，以产生未授权的效果。

(4)拒绝服务：拒绝服务即常说的DoS（Deny of Service），会导致对通信设备的正常使用或管理被无条件地拒绝。通常是对整个网络实施破坏，如大量无用信息将资源（如通信带宽、主机内存）耗尽，以达到降低性能，中断服务的目的。这种攻击可能有一个特定的目标，如到某一特定目的地（如安全审计服务）的所有数据包都被阻止。

2.3.2 被动攻击

被动攻击是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改。通常包括监听未受保护的通信、流量分析、解密弱加密的数据流、获得认证信息（如密码）等。被动攻击常用的手段有以下几种：

(1)搭线监听：搭线监听是最常用的手段，将导线搭到无人职守的网络传输线上进行监听。

(2) 无线截获：通过高灵敏度的接受装置接受网络节点辐射的电磁波或网络连接设备辐射的电磁波，通过对电磁信号的分析恢复原数据信号，从而获得网络信息。

(3)其它截获：用程序和病毒截获信息是计算机技术发展的新型手段，在通信设备或主机中预留程序代码或施放病毒程序后，这些程序会将有用的信息通过某种方式发送出来。

3 防火墙技术

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全[3]。

从技术上看，防火墙有三种基本类型：包过滤型、服务器型和复合型。它们之间各有所长，具体使用哪一种或是否混合使用，要根据具体需求确定[4]。

(1)包过滤型防火墙(Packet Filter Firewall)

通常建立在路由器上，在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层，基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员预先设定的访问控制表进行比较，确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好，对网络性能影响不大，可以用于禁止外部不合法用户对企业内部网的访问，也可以用来禁止访问某些服务类型，但是不能识别内容有危险的信息包，无法实施对应用级协议的安全处理。

(2)服务器型防火墙(Proxy Service Firewall)

通过在计算机或服务器上运行的服务程序，直接对特定的应用层进行服务，因此也称为应用层网关级防火墙。服务器型防火墙的核心，是运行于防火墙主机上的服务器进程，实质上是为特定网络应用连接企业内部网与Internet的网关。它用户完成TCP／IP网络的访问功能，实际上是对电子邮件、FTP、Telnet、WWW等各种不同的应用各提供一个相应的。这种技术使得外部网络与内部网络之间需要建立的连接必须通过服务器的中间转换，实现了安全的网络访问，并可以实现用户认证、详细日志、审计跟踪和数据加密等功能，实现协议及应用的过滤及会话过程的控制，具有很好的灵活性。服务器型防火墙的缺点是可能影响网络的性能，对用户不透明，且对每一种TCP／IP服务都要设计一个模块，建立对应的网关，实现起来比较复杂。

(3)复合型防火墙(Hybrid Firewall) [5]

由于对更高安全性的要求，常把基于包过滤的方法与基于应用的方法结合起来，形成复合型防火墙，以提高防火墙的灵活性和安全性。这种结合通常有两种方案：

屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。

屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。

企业在选择防火墙时不仅要考虑防火墙的安全性、实用性、而且还要考虑经济性，防火墙产品的安全性、实用性和经济性是相互制约和平衡的。

4 打叶复烤企业防火墙的设置

必须妥善地规划其架构，拟定其安全政策，最重要的是必须彻底执行其安全政策，而防火墙是落实这些安全政策的重要工具之一。Internet网络商用化的趋势愈来愈明显，企业也不断通过应用网络技术提高生产销售的水平，单位网络的安全性规划更是刻不容缓。一个好防火墙的规划必须能充分配合执行单位所制定的安全政策，再加上安全的建置架构，方能提供单位一个方便而安全的网络环境。

图1以屏蔽子网防火墙为例介绍打叶复烤企业防火墙的设置，一级堡垒防火墙是整个内部网络对外的枢纽，是必需设立的。它一边连接单位内部网络，一边通往外部网络。外部网络上可摆单位对外提供服务的主机，例如：WEBServer、EMAILServer、POP3Server及FTPServer等，提供对外服务。防火墙的设定，可保证服务器主机只提供它应提供的服务，而阻挡所有不当的存取与连线，避免黑客在服务主机上开后门[6]。

打叶复烤企业可根据实际需要，将其他部门的子系统保护在隔断防火墙内，比如生产运行实时控制系统、企业运行管理信息系统、企业营销管理系统、企业多种经营管理系统等。同时可以将某些较重要而有安全顾虑的部门网络，加上防火墙的配置，此即所谓的单位内防火墙(IntranetFirewall)。单位内防火墙的功能与主防火墙类似，但因为其数量可能很多，会分配到电力部门的网络内，因此其管理规则的设定、系统的维护，不应太过于困难。单位希望建置一个安全的网络环境，除了采用防火墙之外，当然还提供单位一个方便而安全的网络环境。

图1 企业屏蔽子网防火墙拓扑图

4 结论

打叶复烤企业所面临的网络安全问题是多种多样的，所以企业设计和部署防火墙也就没有唯一的正确答案。各个机构的网络安全决定可能会受到许多因素的影响，诸如安全策略、职员的技术背景、费用、以及估计可能受到的攻击等。作者认为：企业内部信息网络系统是动态发展变化的，正确的安全策略与选择合适的防火墙产品只是一个良好的开端，它只能解决40%~60%的安全问题，其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等，所有这些都使打叶复烤企业将要面对网络信息系统安全的挑战。

参考文献:

[1]孙静,曾红卫.网络安全检测与预警[J].计算机工程,2001,(12):109-110.

[2]刘占全.网络管理与防火墙技术[M].人民邮电出版社，2000.

[3]Greg Holden(美).防火墙与网络安全[M]. 清华大学出版社，2004.

[4]郭炎华.网络信息与信息安全探析[J].情报杂志，2001,6.

[5]刘克龙,蒙杨.一种新型的防火墙系统[J].计算机学报,2006,8.

基于某企业的网络安全策略范文第5篇

论文摘要：当前，我国电子商务建设中以技术为主的安全管理体制，忽视了人员对电子商务的安全影响。但近几年案例表明：企业缺乏针对内部人员的系统安全管理体制，是导致网络交易过程中泄密和企业利益损失的主要原因。本文重点分析了企业在电子商务安全管理体制方面存在的不足和原因，提出了一些加强人员安全管理的建议，为我国电子商务企业的安全管理提供借鉴。

1、问题的提出

作为一种新的经济模式，电子商务以高效、便捷、方便的优势和全新的企业经营理念、经营手段、经营环境吸引着广大用户，为世界经济赋予了无限的发展空间。随着电子商务应用范围的日益扩大，针对电子商务的各种犯罪活动也19益猖獗。国内外调查显示…，52．26％的用户最关心的是网上交易的安全可靠性，超过6O％的人由于担心电子商务的安全问题而不愿进行网上购物。加强电子商务实施过程中的安全管理已经成为促进电子商务高速发展的重要因素。

电子商务的安全，可分为技术安全和管理安全两种类型。所谓技术安全，是指通过各种黑客手段窃取企业的用户lD、密码以及相关的机密文件，甚至网络银行帐号、密码等，给企业造成经济损失。而管理安全则是指缺乏对参与电子商务过程中各个环节的人员的管理预防手段，最终导致的电子商务安全事件。从美国的花旗银行和中央情报局到中国的某家国有商业银行，都有过由于内部人员的违规和违法操作，导致数据被篡改和泄密的事件发生。

近几年的电子商务安全案件表明：人员是网上交易安全管理中的最薄弱的环节，近年来我国计算机犯罪大都呈现内部犯罪的趋势，有的竞争对手利用企业招募新人的方式潜入对方企业，或利用不正当的方式收买企业网络交易管理人员。有的电子商务从业人员从本企业辞职后，迅速把客户资料、产品研发成果等机密出售给竞争对手，给企业带来了不必要的经济损失。

2、原因分析

电子商务信息安全已经引起很多企业的重视，但大多数企业往往侧重于加强技术措施，如购买先进的防火墙软件，采用更高级的加密方法等，很多企业认为：员工泄密的安全事故只是偶然现象，很少从人员管理的角度来探讨出现这些事故的根本原因。“重技术、轻管理”是当前很多电子商务企业的通病。由于管理手段不到位，很多先进的安全技术无法发挥应有的效能。之所以出现上述问题，主要有以下原因：

首先，很多企业管理高层对人员管理在信息安全中的地位认识不足。大多数企业将电子商务网络作为一项纯粹的技术工程来实施，企业内部缺乏系统的安全管理策略，只是被动的使用一些技术措施来进行防御，因此电子商务过程中一旦出现突发性事件，往往造成很大的经济损失。现实中没有一个网络系统是完美无缺的，不安全因素随时存在。因此，安全管理措施必须渗透到系统的每一个环节和企业组织的～个层面，只有构建一个人与技术相结合的安全管理体系，才能确保整个电子商务系统得安全。

企业没有从整体上、有计划地考虑信息安全问题。企业各部门、各下属机构都存在“各自为政的局面，缺少统一规划、设计和管理信息安全强调的是整体上的信息安全性，而不仅是某一个部门或公司的信息安全。而各部门、各公司又确实存在个体差异，对于不同业务领域来说，信息安全具有不同的涵义和特征，信息安全保障体系的战略性必须涵盖各部门和各公司的信息安全保障体系的相关内容。

缺少信息安全管理配套的人力、物力和财力。人才是信息安全保障工作的关键。信息安全保障工作的专业性、技术性很强，没有一批业务能力强，且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才，就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际需求出发，加快信息安全人才的培养。

企业对员工的信息安全教育不够。员工的信息安全意识薄弱，9O％的安全事故是由于人为疏忽所造成。如有些企业不限制内部人员使用各种高科技信息载体，如U盘、移动硬盘以及笔记本等移动办公设备。

3、加强电子商务安全管理的建议

电子商务信息安全管理实践表明，大多数安全问题是由于管理不善造成的。安全管理是一项系统工程，不仅涉及到企业的组织架构、信息技术、人员素质等各个方面，还牵扯到国家法律和商业规则。企业内部存在着诸多影响信息安全的因素：改变lT系统不等于改变企业的信息安全管理，要使企业信息尽可能的安全，必须在技术投人的基础上融人人在管理方面的智慧i同时，不仅要防外，更要防内，即对组织内部人员的管理。信息安全问题的解决需要技术，但又不能单纯依靠技术。整个电子商务的交易过程，是人与技术相互融合的过程，如何使管理与技术相得益彰十分重要。“三分技术，七分管理”阐述了信息安全的本质。

电子商务的安全管理，就是通过一个完整的综合保障体系，来规避信息传输风险、信用风险、管理风险和法律风险，以保证网上交易的顺利进行。网上交易安全管理，应采用综合防范的思路，一是技术方面的考虑，如防火墙技术、网络防毒、信息加密、身份认证、授权等，但必须明确，只有技术措施并不能完全保证网上交易的安全。二是必须加强监管，建立各种有关的合理制度，并加强严格监督，如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。为了加强企业电子商务的信息安全，我们提出如下建议：

(1)提高网络安全防范意识。

现在许多企业没有意识到互联网的易受攻击性，盲目相信国外的加密软件，对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱，其中的机密数据得不到应有的保护。据调查，目前国内90％的网站存在安全问题，其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小，不会成为黑客的攻击目标，如此态度，网络安全更是无从谈起。应该定期由公司或安全管理小组承办信息安全讲座，只有提高网络安全防范意识，才能有效的减少信息安全事故的发生。

(2)建立电子商务安全管理组织体系。

一个完整的信息安全管理体系首先应建立完善的组织体系。即建立由行政领导、IT技术主管、信息安全主管、本系统用户代表和安全顾问组成的安全决策机构。其职责是建立管理框架，组织审批安全策略、安全管理制度，指派安全角色，分配安全职责，并检查安全职责是否已被正确履行，核准新信息处理设施的启用、组织安全管理专题会等。还应建立由网络管理员、系统管理员、安全管理员、用户管理员等组成的安全执行机构。该机构负责起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等。如果需要，还可建立安全顾问机构。安全顾问机构可聘请信息安全专家担任系统安全顾问，负责提供安全建议，特别是在安全事故或违反安全策略事件发生后，可以被安全决策机构指定负责事故(事件)调查，并为安全策略评审和评估提供意见。

(3)制定符合机构安全需求的信息安全策略。电子商务交

易过程中，需要明确的安全策略主要包括客户认证策略、加密策略、日常维护策略、防病毒策略等安全技术方案的选择。安全执行机构应根据本信息网络的实际情况制定相应的信息安全策略，策略中应明确安全的定义、目标、范围和管理责任，并制定安全策略的实施细则。安全策略文档要由安全决策机构审查、批准，并和传达给所有的人安全策略还应由安全决策机构定期进行有效性审查和评估：在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时，应重新进行安全策略的审查和评估。

(4)人员安全的管理和培训

参与网上交易的经营管理人员在很大程度上支配着企业的命运，他们承担着防范网络犯罪的任务。而计算机网络犯罪同一般犯罪不同的是，他们具有智能性、隐蔽性、连续性、高效性的特点，因而，加强对有关人员的管理变得十分重要。首先，在人员录用时应做好人员鉴别，人员录用或人员职位调整时，一般要签署保密协议。当人员到期离开或协议到期、工作终止时，要审查保密协议。其次对有关人员进行上岗培训，建立人员培训计划，定期组织安全策略和规程方面的培训。第三，落实工作责任制，在岗位职责中明确本岗位执行安全政策的常规职责和本岗位保护特定资产、执行特定安全过程或活动的特别职责，对违反网上交易安全规定的人员要进行及时的处理。第四，贯彻网上交易安全运作基本原则，包括职责分离、双人负责、任期有限、最小权限、个人可信赖性等。

(5)增强法律意识，促进电子商务立法

面对电子商务这种新型的贸易形式，我国目前尚无专门法规可依，使得部分违法犯罪人员没有得到应有的惩罚。近几年里，国家加强了这方面的投入。在全国性的立法文件中，《合同法》的部分条款可以看作是针对电子商务的立法。此外，广东省制定的《广东省电子交易管理条例》这个地方性的法规可以看作是对加快我国电子商务立法的有益探索。《中华人民共和国电子签名法》是对主要用于电子商务活动，电子政务等其他应用应该有新的适用法规。

尽管在电子商务信息安全立法方面取得了一些成就，但总的来说，我国的电子商务立法还很不健全，对电子商务活动的安全保护缺少直接性；相关立法比较分散，而且效力不高；对新出现的情况缺乏适应能力；立法速度慢。这些都需要电子商务企业和国家有关部门不断探索，共同促进电子商务信息安全的法制环境建设。