構建網絡安全體系精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的構建網絡安全體系主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：構建網絡安全體系范文

關鍵詞：網絡信息；安全；防護體系

1 網絡信息安全內容和技術防范原則

1.1 網絡信息安全內容

網絡信息安全主要是指網絡系統的硬件、軟件及其體系中材料得到維護，不受有時的或者惡意的因素而受到宣泄、損害、改動，體系能夠穩固正常的運轉，網絡服務不會出現中斷。在網絡信息工作中所面對的破壞分為兩種，一種是惡意的，一種是有時的，惡意的又能夠分為主動以及被動這兩種。主動突擊主要是更改數據庫或者建造不正確的數據庫，主要包含切斷、攔截、更改、造假、仿造改動資料以及拒絕服務等；被動突擊主要是窺伺或者偷聽，最主要就是想要得到正在輸送的材料。被動突擊會宣泄出材料狀況以及材料量等。按照電腦網絡所面對的脅迫，電腦網絡主要做好下面四個關鍵的部分：隱蔽；辨別；訪問掌控；病毒預防。

1.2 網絡信息安全技術操作防范原則

1.2.1 買進的新軟件與硬件必須進行檢測后使用。

1.2.2 進行系統啟動時，采用硬盤進行啟動。

1.2.3 重點的計算機需要進行獨立盤、獨立人、獨立機器、獨立使用的保護，在這種狀態下病毒不會自動滋生。

1.2.4 對于重要的文件進行定期的備份工作。

1.2.5 在發郵件或者是進行網聊的時候，附件不要輕易的接收，互聯網中的軟件用不著的避免下載。在可執行的文件與辦公文檔里面的病毒卸載量是很高的，減少下載。就算是下載完成了，還必須使用新型的殺毒軟件進行病毒的查殺。

1.2.3 下載并安裝官方的殺毒軟件，定期升級。

1.2.7 下載安裝病毒的防火墻，從根本上保障計算機系統與網絡不受病毒危害。

2 網絡信息的安全防護體系

2.1 加強網絡安全的層次模型

ISO定義了OSI/RM七層網絡參考模型，不同的網絡層次完成不同的功能。從安全角度來看，各層能提供一定的安全手段，針對不同層次的安全措施是不同的。沒有哪個層次能夠單獨提供全部的網絡安全服務，每個層次都有自己的貢獻。

2.2 加強網絡安全防火墻的功能

所謂的防火墻不是真正意義上的墻，這是在對訪問進行控制的一種方法，這是屬于安全模式狀態下，也是整個結構的安全性能的重要組成部分，其作用是阻擋內外的不安全的訪問以及危險數據的交流。在互聯網中，它能夠隔離出互聯網中有風險性的網絡與內部網絡之間的連接，這樣就有效的加強了內部網絡整體的安全性能。二零一零防火墻用途就是在網絡的接入處對其通訊的數據進行檢查，受到了企業安全政策的控制，進行拒絕或允許或是檢測的情況下的互相交換的信息，其防火墻自身就是有高抗攻擊的，在對網絡數據交換與訪問過程進行檢測與控制，這樣對網絡的安全也是一個保障，有以下集中功能：有著數據在進出互聯網的過濾作用，對網絡進出訪問做一個集中的管理，檢查出非法訪問的行為，對其內容與活動進行記錄，針對網絡攻擊有著檢測與警告的作用。

通常防火墻具有以下功能：過濾進出的數據；管理進出的訪問行為；封堵某些禁止的業務；記錄通過防火墻的信息內容和活動；對網絡攻擊進行檢測和報警。網絡級防火墻可以將從數據包中獲取的信息（源地址、目標地址、所用端口等）同規則表進行比較。在規則表中定義了各種規則來表明是否同意或拒絕包的通過。網絡級防火墻檢查每一條規則直至發現包中的信息與某規則相符。應用級防火墻又稱為應用級網關，它的另外一個名字就是服務器。網絡級防火墻可以按照IP地址禁止外部對內部的訪問，但不能控制內部人員對外的訪問。服務器隔離在風險網絡與內部網絡之間，內外不能直接交換數據，數據交換由服務器“”完成。

2.3 加強虛擬專用網VPN技術

VPN就是虛擬專用網絡，是伴隨著互聯網的前進而飛速壯大起來的一種措施。在現代化單位的經濟往來活動中以及售前售后的工作中都會越來越多的使用到互聯網技術，甚至在培訓以及合作中都會使用到。很多單位都慢慢的使用互聯網架設到原有的私有網絡中。這種使用互聯網來輸送私有資料慢慢構成的邏輯網絡就是VPN。

隧道措施。隧道措施基于互聯網為根本，在互聯網的各項根本設備中傳輸信息的方法。數據資料或者負荷運用隧道的方式進行輸送可以是不一樣的條約數據幀或者數據包。隧道協議把別的協議的數據幀或者數據包再次進行封裝然后再進行輸送。新的幀頭供應路由數據，進而能夠傳遞再次進行封裝進行輸送的數據經過網絡進行輸送。

加解密技術。對通過公共互聯網絡傳遞的數據必須經過加密，確保網絡其他未授權的用戶無法讀取該信息。加解密技術是數據通信中一項較成熟的技術，VPN可直接利用。

密鑰管理技術。密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網絡上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。使用者與設備身份認證技術。VPN方案必須能夠驗證用戶身份并嚴格控制只有授權用戶才能訪問VPN。

2.4 完善網絡信息安全機制

探索電腦網絡安全的系統構造，就是探索怎樣能夠從管制以及措施上確保網絡的安全性能夠準確完好的完成，網絡對于安全方面的需要能夠獲得滿足。一定要增強網絡在安全體制方面的建造，主要包含加密體制、數字簽名體制、訪問掌控體制、數據全面性體制、辨別交換體制，信息交流玉傳遞填充體制，路由掌控，公證體制。

2.5 網絡安全政策法規與標準

如今，中國的標準信息安全條例有包括國內外的100多條。信息的安全規范也是對于信息保障結構的不可缺少的一部分，也是政府在宏觀調控上的憑證。信息安全是國家安全的必然要求，也是對于我國利益維護的重要舉措，做好了信息的安全就能夠提高網絡上安全產品可信的程度，使產品之間實現互聯與安全操作，為計算機的安全提供了有效的保障。王麗香（2004）網絡的信息安全問題已經引起全社會的普遍關注，為了興利除弊，使網絡健康發展，維護國家安全和社會共公利益，可以借助法律力量，可以利用法律所具有的嚴肅性、強制性、不可侵犯性等特點，強有力地規范約束社會上種種不利于網絡安全的行為。為防治網絡違法、有害信息的傳播，制止網絡犯罪提供了法律依據。

2.6 加強網絡安全管理

在信息安全方面出現威脅百分之六十以上的原因是因為管制不當產生的。網絡體系的安全管制主要由于三個準則：多人承擔準則，擔任時間有限準則，職責相互獨立準則。李亮提出增強網絡內部管制工作者以及操作者的安全思想，許多電腦體系大多使用口令密碼進行掌控體系中的資源查詢，這是在預防病毒入侵的措施中，最簡便容易的辦法之一。網絡管制工作者以及終端操縱工作者按照自己的工作內容，選用不一樣的賬號密碼，對運用軟件數據開展健康合理的操縱，避免顧客搜索到跨級別的內容。

參考文獻

[1]彭 ，高 .計算機網絡信息安全及防護策略研究[J].計算機與數字工程，2011，（1）：121-124.

第2篇：構建網絡安全體系范文

Abstract: By analysis of the unsafe factors in the enterprise computer network,this paper shows the components of the enterprise computer network security defense system,and then proposes the corresponding strategies for constructing enterprise computer network security defense system.

關鍵詞: 企業計算機;不安全因素;防御體系;策略;安全

Key words: computer network;unsafe factor;defense system;strategies;safety

中圖分類號:G203 文獻標識碼:A文章編號:1006-4311(2010)05-0149-02

0引言

隨著科學技術的發展,計算機網絡在企業的生產和經營活動中,發揮著越來越重要的作用。近年來,許多企業都相繼實現了企業內部的信息化。企業的生產和經營都離不開計算機網絡系統的支撐,因此,計算機網絡的安全穩定對于企業的生存和發展至關重要。構建了一個安全、穩定、可靠的計算機網絡系統是企業當前亟待解決的重大問題。

1企業計算機網絡中存在的不安全因素

1.1 網絡內部。在這種情況下,往往是由操作失誤造成的,這是比較常見的原因,可以通過嚴格的管理和個人的技術培訓來解決。

1.2 硬件故障。計算機是一個系統的整體,設備內部任何一種硬件發生故障都可能導致信息丟失, 甚至造成整個系統的癱瘓。網絡線路的物理損傷、網絡的不規范擴展和網絡連接的混亂是目前造成硬件故障的三個最主要的原因。

1.3 對于網絡的安全防護措施來說,防火墻是必不可少的手段,也是最有效的方法之一,其作用就是對內部網絡的結構進行防護和隱藏,防止來自網絡外部的攻擊和侵害,但是任何措施都是有漏洞的。防火墻的最大問題就是能較好的防止來自外部網絡的威脅,但是對于來自網絡內部的侵害,防火墻就無能為力了。

1.4 安全工具的使用受到人為因素的影響。任何工具都是人發明和使用的,只要是與人有關的,就必然不是完美的。對數據安全來說,有時最嚴重的威脅通常來自于企業內部,員工的失誤可能威脅信息的安全或導致病毒的傳播。還有極少數員工基于不同的目的設法竊取超級用戶口令, 在未經授權的情況下訪問機密信息。除了專業技術人員之外,大部分企業員工對信息安全的認識不足,如果沒有這種意識和認識,有再多的技術安全措施和屏障,也難以達到預期的目的。一個安全工具保護效果能否實現,不光是看技術設計的是否出色,更重要的取決于管理人員的素質和責任心。

1.5 只要有程序, Bug就可能存在,甚至安全的漏洞也可能存在于安全工具本身。現在人們常用的個人計算機操作系統其實并不安全,存在很多的缺陷和漏洞,一些病毒和木馬就會利用這些漏洞對網絡安全進行大肆攻擊。很多操作系統都配備了用以改進系統管理和提高服務質量的工具軟件,但這些工具同時也會被黑客利用去收集非法信息及加強攻擊力度:如NBTSTA T 命令是用來給系統管理員提供遠程節點的信息的,但是破壞者也用這一命令收集對系統有威脅性的信息;區域控制軟件的身份信息、NetBIOS 的名字、IIS名甚至是用戶名,這些信息足以被黑客用來破譯口令;網包嗅探器(PacketSn iffer),系統管理員用此工具來監控及分發網包,以便找出網絡的潛在問題,同時也為黑客攻擊網絡提供了機會。

1.6 黑客的攻擊手段雖然種類繁多,但主要利用以下兩類漏洞:①TCP/IP協議自設設計的問題,這是因為TCP/IP協議一開始設計的時候,是基于互相信任的網絡的,故而缺乏對付網絡惡意攻擊的手段;②一些操作系統的設計漏洞,這一點我們在上文中已經提到。現今的社會,互聯網技術和計算機技術發展的越來越快,而網絡黑客的攻擊水平也是水漲船高,各種攻擊手段和病毒式層出不窮,并且技術越來越高,越來越難以防范,幾乎每天都有新的系統安全問題出現。與之相比,網絡安全防護工具的發展明顯滯后,究其原因,是因為黑客是一個群體,遍布全世界各地,而負責網絡安全防護工具開發的只是一些固定的網絡技術公司和開發人員,以有限的安全技術人員對付無限的龐大黑客群體,再加上這種對策都是被動的,總是等到新的木馬或病毒出現后才會有相應的防護工具產生,其結果可想而知。

2計算機網絡安全防御體系的組成部分

目前,雖然企業計算機網絡的生產網和辦公網之間有防火墻的隔離,但是二者交換數據時并沒有進行IP 轉換,從本質上來說,二者都屬于統一網絡,所以我們這里將因此把生產網安全域和辦公網安全域都稱為內部安全域。每一個內部安全域都配有一套完整的平臺,部署在辦公網,該平臺負責用戶管理和辦公網與生產網認證授權,外網平臺負責對外部用戶的身份認證和授權。

2.1 路由器架構網絡的第一層設備就是路由器,它也是網絡入侵者攻擊的首要目標,因此路由器有必要設置一定的過濾規則,濾掉被屏蔽的IP 地址和服務。

2.2 防火墻剛才我們在上文中已經介紹過防火墻了。其執行一種訪問控制尺度,可以通過設置,分出可訪問的IP地址和數據和不可訪問的IP地址和數據,可訪問的IP和數據進入防火墻的內部網絡,同時將禁止的用戶與數據拒絕,它可以最大限度地阻止網絡入侵者訪問自己的網絡,并防止對內網信息和數據進行訪問、修改和刪除。所以,防火墻是一種得到廣泛應用且公認安全高效的的網絡安全手段,是保證網絡安全的最重要的環節之一。

2.3 入侵監測系統在計算機網絡的關鍵部位安裝網絡入侵檢測系統(IDS),可以對網絡和信息系統訪問的異常行為進行實時監測和報警。IDS可以監測網絡上所有的包(packets),捕捉危險或有惡意的動作,并及時發出報警信息。入侵監測系統可以按照用戶指定的規則對端口進行監測、掃描。立體安全防御體系中普遍采用入侵監測系統,以識別防火墻不能識別的攻擊,如來自企業內部的攻擊。目前,入侵檢測系統被認為是對防火墻的必要補充,可對網絡資源進行實時監測,及時發現入侵者,防治合法用戶對資源的錯誤操作,與其他安全產品一起構筑立體的安全防御體系。

2.4 物理隔離與信息交換系統物理隔離與信息交換系統又稱網閘,是運用物理隔離網絡安全技術設計的安全隔離系統。當企業網內部的生產系統因為信息化建設過程中對外網訪問的需求而影響內部網絡系統的安全性及可用性時,物理隔離與信息交換系統能夠對內部網絡與不可信網絡進行物理隔斷,可以及時阻止各種已知和未知的網絡層和操作系統層攻擊,它提供的安全性能比防火墻、入侵檢測系統等技術更好,既保證了物理的隔離,又實現了在線實時訪問不可信網絡所必需的數據交換。

本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文

2.5 交換機局域網通常采用以交換機為中心、路由器為邊界的網絡格局。交換機是該格局的核心,其最關鍵的工作是實現訪問控制功能和3 層交換功能。訪問控制對于交換機就是利用訪問控制列表ACL 來實現用戶對數據包按照源和目的地址、協議、源和目的端口等各項的不同要求進行篩選和過濾。

2.6 應用系統的認證和授權支持

建立應用系統能夠提升支撐平臺的安全性,應用系統的保護功能包括以下幾個方面:①應用系統網絡訪問漏洞控制。應用系統要求軟件按照安全軟件標準開發,在輸入級、對話路徑級和事務處理級做到安全無漏洞;集成的系統必須具有良好的自我恢復能力,避免內部生產網中的系統因受攻擊而導致癱瘓、數據破壞或丟失。②數字簽名與認證。應用系統須利用CA 提供的數字證書進行應用級的身份認證,對文件和數據進行數字簽名和認證,保證文件和數據的完整性以及防止源發送者抵賴。③數據加密。對重要的數據進行加密存儲。

2.7 操作系統的安全將所有不使用的服務和端口關閉,并將不使用的磁盤文件清除,建立一個內部網操作系統漏洞管理服務器,提供對官方補丁下載,以保證操作系統的安全性。

2.8 病毒防護將系統診斷工具(如360)與網絡版的殺毒軟件(如NOD)相結合,可以構成比較完整的病毒防護體系,能夠有效地防控病毒的傳播,保證網絡運行的安全性和穩定性。

2.9 網絡隔離度保障對未經過安全過濾和檢查就違規接入內部網的移動設備(筆記本電腦等)和新增設備進行監控;對內部網中繞過防火墻的計算機或其他設備,違規接入網絡的行為進行監測;對物理隔離的網絡內部設備違規接入因特網的行為進行監控;對違反規定將專網專用的計算機帶出網絡進入到其他網絡的行為進行監控;可提供IP 和MAC 地址綁定功能。

3構建計算機網絡防御體系的策略

根據當前企業計算機網絡的發展現狀、發展趨勢、操作系統對網絡傳輸與服務的要求以及安全保密等相關規定,構建一個企業計算機網絡安全防御體系應注意以下幾點:①企業計算機網絡結構必須做到實現外部服務網與內部服務網的分離;②對信息系統的安全等級要進行劃分,以便在進行信息管理時使用不同的安全域;③在網絡安全上必須充分開展對網絡訪問控制、防火墻設置、網絡動態隔離和病毒網關及日志的管理和維護;④對網絡的流量要進行充分控制和保護;⑤基于數字證書的用戶身份認證、授權管理建立完善的訪問控制設施;⑥必須建立日志和審計系統。

要建立企業計算機安全網絡防御體系,必須將重要行業的原有的平面結構的計算機網絡調整為層次保護結構的網絡,形成外部網、辦公網和生產網的三層結構。在外層部署與互聯網的接口,外層網絡屏蔽內層網絡,實現外層網絡對內層網絡的保護。在不同的網絡區域邊界,通過邊界保衛策略實施多點控制,使網絡劃分為不同級別的保護層次和區域,控制各層次之間的信息流。

4結語

第3篇：構建網絡安全體系范文

一、企業網絡安全風險狀況概述

企業網絡是在企業范圍內，在一定的思想和理論指導下，為企業提供資源共享、信息交流和協同工作的計算機網絡。隨著我國各地企業網數量的迅速增加，如何實現企業網之間資源共享、信息交流和協同工作以及保證企業網絡安全的要求是越來越強烈。與其它網絡一樣，企業網也同樣面臨著各種各樣的網絡安全問題。但是在企業網絡建設的過程中，由于對技術的偏好和運營意識的不足，普遍都存在”重技術、輕安全、輕管理”的傾向，隨著網絡規模的急劇膨脹，網絡用戶的快速增長，關鍵性應用的普及和深入，企業網絡在企業的信息化建設中已經在扮演了至關重要的角色，作為數字化信息的最重要傳輸載體，如何保證企業網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業不可回避的一個緊迫問題，解決網絡安全問題刻不容緩，并且逐漸引起了各方面的重視。

由于Internet上存在各種各樣不可預知的風險，網絡入侵者可以通過多種方式攻擊內部網絡。此外，由于企業網用戶網絡安全尚欠缺，很少考慮實際存在的風險和低效率，很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統和篡改敏感數據的有關技術。

因此，在設計時有必要將公開服務器和外網及內部其它業務網絡進行必要的隔離，避免網絡結構信息外泄；同時還要對網絡通訊進行有效的過濾，使必要的服務請求到達主機，對不必要的訪問請求加以拒絕。

二、企業網絡安全體系結構的設計與構建

網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。網絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統。人們力圖建立的是一個網絡安全的動態防護體系，是動態加靜態的防御，是被動加主動的防御甚至抗擊，是管理加技術的完整安全觀念。但企業網絡安全問題不是在網絡中加一個防火墻就能解決的問題，需要有一個科學、系統、全面的網絡安全結構體系。

（一）企業網絡安全系統設計目標

企業網絡系統安全設計的目標是使在企業網絡中信息的采集、存儲、處理、傳播和運用過程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態。在網絡上傳遞的信息沒有被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統辨識、控制，網絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態。

（二）企業網防火墻的部署

1.安全策略。所有的數據包都必須經過防火墻;只有被允許的數據包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務，除非是必須的服務才被允許。

2.系統設計。在互聯網與企業網內網之間部署了一臺硬件防火墻，在內外網之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(即“非軍事區”，是為不信任系統提供服務的孤立網段，它阻止內網和外網直接通信以保證內網安全)，與內網和外網間進行隔離，內網口連接企業網，外網口通過電信網絡與互聯網連接。

3.入侵檢測系統的設計和部署。入侵檢測系統主要檢測對網絡系統各主要運營環節的實時入侵，在企業網網絡與互聯網之間設置瑞星RIDS一100入侵檢測系統，與防火墻并行的接入網絡中，監測來自互聯網、企業網內部的攻擊行為。發現入侵行為時，及時通知防火墻阻斷攻擊源。

4.企業網絡安全體系實施階段。

第一階段：基本安全需求。第一階段的目標是利用已有的技術，首先滿足企業網最迫切的安全需求，所涉及到的安全內容有：

①滿足設備物理安全

②VLAN與IP地址的規劃與實施

③制定相關安全策略

④內外網隔離與訪問控制

⑤內網自身病毒防護

⑥系統自身安全

⑦相關制度的完善

第二階段：較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下，全面實現整個企業網絡的安全需求。所涉及的安全內容有：

①入侵檢測與保護

②身份認證與安全審計

③流量控制

④內外網病毒防護與控制

⑤動態調整安全策略

第4篇：構建網絡安全體系范文

關鍵詞 虛擬局域網；校園網絡；安全體系

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2013）83-0202-02

1 網絡安全體系的定義

通常情況下，為了能夠保證校園網絡運行的安全穩定，校園網的大部分數據資源都只允許在內部中完成訪問。例如校園網絡的OA系統、校內郵件系統等等，這些系統的訪問和使用都必須在校園網內部操作，嚴重制約了教師、學生在個人家庭中通過訪問校園網來收取學校通知、查看個人成績、瀏覽校園新聞等功能。如果校園網內部應用服務器一旦發生了故障，如果專業管理人員此時也沒有在學校時，就無法完成對校園網的維護操作，如果部分教師由于需要出差完成科研交流等工作時，也無法查看關于科研項目的校內數據資源。

網絡安全體系指的是一套完整的計劃設計，主要包括能夠為網絡用戶提供安全穩定的服務；能夠保證網絡中所有系統的正常運行服務；對網絡中系統的安全級別提出要求并完成設置。一套完整的網絡安全體系中的必備設計原則有數據傳輸安全、計算機系統安全、網絡用戶安全、網絡管理安全、物理架構安全等等，既要能夠對惡意的外界入侵行為進行制止，還要能夠同時應對網絡中的其他安全威脅。

2 虛擬局域網關鍵技術

2.1用戶認證技術

虛擬局域網中的用戶身份核實確認大部分都是通過用戶認證技術實現的，對系統用戶進行相應授權之后能夠保證控制訪問資源。一般情況下，網絡認證協議采用的都是報文摘要技術，主要是用于驗證數據信息的完整性和對用戶身份進行認證，通過利用哈希（HASH）函數將數據報文的長度進行一系列變換，使其能夠成為固定長度的報文摘要，但是由于哈希函數自身的特性又難以在不同的報文信息中將報文摘要變換成固定長度。

2.2數據加密技術

虛擬局域網數據傳輸的過程中主要應用的是數據加密技術，來實現對數據的偽裝和隱藏。但是，如果在傳輸的過程中數據信息經過互聯網產生了安全威脅，那么即使已經通過了用戶認證，也不能保證數據信息的安全傳輸。因此，在網絡發送端應該將用戶認證進行加密之后再完成數據信息的傳輸，在網絡接收端通過用戶認證之后再對數據信息進行解密。密鑰類型主要包括對稱加密和非對稱加密兩種，在實際應用中大多數采用的都是對稱加密措施，如果是機密數據信息則采取公鑰加密技術。

2.3訪問控制技術

訪問控制技術主要是對用戶是否能夠對系統發起訪問進行控制，運行具有相應授權的用戶訪問系統資源，對沒有授權的用戶對系統資源發起訪問和獲取時立刻進行阻止。

3 校園網絡安全體系設計

本文設計提出的基于虛擬局域網技術的校園網絡安全體系設計方案主要是為了解決某高校老校區與新校區之間信息互通、資源共享、專網整合的問題，由此構建出一條專用的虛擬局域網安全通道，從而保證這些重要數據資源能夠在校園網中安全穩定地傳輸。

3.1系統設計原則

1）安全保障

虛擬局域網系統的重要職能就是保證網絡的安全穩定，以及在互聯網傳輸過程中數據信息的安全可靠，因此，虛擬局域網系統的安全保證必須包括用戶身份認證、數據信息保密和數據信息完整。

2）多平臺兼容

虛擬局域網系統的關鍵功能就是要保證用戶不受時間和地域的限制對系統資源發起訪問，以及當用戶進行移動辦公時要保證網絡連接的安全可靠。

3）訪問控制權限

校園網的虛擬局域網系統主要是為多個應用程序提供保護的，因此要設置不同的用戶訪問控制策略，使得擁有不同權限的用戶能夠訪問相應的系統資源。

4）平臺管理簡潔

虛擬局域網服務器應該為用戶和系統管理員提供良好的應用管理操作界面，在方便用戶對系統資源進行訪問操作的同時，還要保證系統管理員的安全維護操作簡單便捷，更要為服務器與用戶之間的通問、安全日志等做好記錄。

3.2系統功能模型

根據校園網絡的實際安全需求和虛擬局域網系統的設計原則，虛擬局域網系統的功能模型主要包括用戶身份認證模塊、數據傳輸模塊、訪問控制模塊和系統管理模塊。

1）用戶身份認證模塊

虛擬局域網系統客戶端通過采取數字證書的認證方式對用戶身份進行核實；服務器對系統客戶端進行認證時需要采取不同的認證方法，如果用戶通過遠程網絡連接到虛擬局域網中，服務器則采用用戶名+密碼的認證方式對用戶合法身份進行識別，在校園網內部則采取數字證書的方式對用戶身份進行識別。

2）數據傳輸模塊

數據傳輸模塊的主要功能是采取相應加密算法對數據進行加密之后傳輸給接收方，以及對接收到的數據進行解密。

3）訪問控制模塊

訪問控制模塊主要是根據已經設置完成的訪問控制策略來控制系統中的資源是否能夠被用戶進行訪問和操作。

4）系統管理模塊

系統管理模塊主要負責對虛擬局域網系統服務器的日常服務信息進行記錄，包括訪問日期、訪問時間、網絡使用情況等等，并生成對應的日志報告。

3.3系統詳細設計

本文提出的基于虛擬局域網技術的校園內部網設計方案如圖1所示。

學校的新校區和老校區之間通過采用虛擬局域網技術，建立起一道校園內部虛擬局域網通道，將新校區與老校區利用光纖實現網絡連接，將網絡的出口端設置在新校區。校園網中的財務管理系統、人事管理系統和一卡通管理系統都需要通過同一個鏈路與新校區進行連接，因此，我們采用虛擬局域網網絡安全標準對鏈路進行數據加密，從而保證通過這條鏈路傳輸的數據能夠安全可靠。

校園網中的一般用戶的訪問控制策略安全級別的設置可以相對較低，一般用戶安全級別如果設置過高則會耗費大量的系統資源，造成無法訪問或網絡癱瘓的情況出現。對于校園網中的財務管理部門、人事管理部門和后勤服務部門來說，應該采取兩層架構隔離的方法接入到校園網中，再通過內部網關協議與核心交換機連接，從而保證在新校區與老校區之間實現數據加密傳輸。

4結論

綜上所述，本文從校園網實際需求角度出發，將虛擬局域網技術應用到校園網建設當中，提出了一套校園網絡安全體系設計方案，能夠有效保證新校區與老校區之間的數據通信、數據共享和數據整合安全，具有較強的理論指導意義。

參考文獻

第5篇：構建網絡安全體系范文

隨著世界互聯網技術在全球經濟、文化等領域的飛速發展，計算機網絡技術已經得到了廣泛的應用，網絡以其實用性、高效性、便捷性深入滲透到各行各業中并逐漸改善行業的產業結構、經營模式、管理方式。近年來，網絡信息化已經應用到廣播電視臺的制作、播出、傳播、發射等各個環節，使廣播電視臺的節目質量、管理效率、影響范圍向新的高度邁進。但網絡開放性的特點使信息安全面臨較多的安全隱患，如何防止因網絡信息安全風險導致播出中斷、數據泄露、財務損失等嚴重后果成為了廣播電視臺面臨的新難題。為了提高廣播電視行業對網絡信息安全風險的認識，本文構建了廣播電視網絡信息安全風險指標體系，并運用系統動力學建立風險的因果關系圖，分析各個風險之間的相關關系。

袁愛軍從企業所面臨的網絡信息安全問題出發，提出了操作系統安全風險、管理安全風險、應用安全風險及網絡結構安全風險四個主要風險，并對風險因素進行全面、系統的分析[1]。李蘭瑛等結合某校園網絡系統的特點識別相關風險并運用灰色評估法在風險評價方面的優勢建立信息系統風險多層灰色評估模型，分析了網絡信息系統的風險灰色綜合評估過程[2]。袁亮首先詳細分析了信息安全的概念和特點，結合企業控制信息安全所面臨的問題包括安全問題、管理問題和成本問題提出風險管理對策和建議[3]。吉嵐等詳細研究了各高校信息安全風險的特點以及高校網絡安全技術的應用效果，提出了通過系統的運用網絡安全技術保障高校網絡信息安全的措施，最后以赤峰學院為例加以驗證[4]。

通過對廣播電視網絡信息安全風險研究成果進行梳理，發現學者們更傾向于對某一個風險階段或者單一風險因素進行研究，忽略了網絡信息安全的系統性以及風險因素的交叉關聯性。梳理學者在系統動力學理論、網絡信息安全管理的研究成果，結合開化縣廣播電視臺網絡信息安全現狀歸納出研究較為集中和具有代表性的廣播電視網絡信息安全風險因素，并發揮了系統動力學在風險演化方面的優勢。最終形成集“網絡攻擊風險”、“技術安全風險”、“管理風險”、“外部環境風險”的“廣播電視網絡信息安全風險因素系統”，然后建立風險因素系統動力學因果關系圖，識別出了風險之間的相關性，為后續廣播電視網絡信息安全風險的研究奠定了基礎。

1開化廣播電視臺網絡信息現狀

開化廣播電視臺目前共有4個自辦節目，其中三套電視節目，分別是圖文頻道、國家公園頻道、綜合頻道，一套廣播節目為動聽早班車電臺。開化廣播電視臺逐步建立網絡化、信息化系統，到目前為止已基本實現全臺網絡化管理。開化廣播電視網絡信息系統分為三類，第一類是外網系統，例如以開化新聞網為代表的門戶網站；第二類是與廣播電視政務及監測監控等相關的專用業務系統，例如廣播電視辦公網、廣播電視發射臺信號監聽監測網、廣播電視監測網等；第三類是制作業務系統，例如廣播電視制播網。

2廣播電視網絡信息安全風險評價指標體系的分析與構建

2.1廣播電視網絡信息安全風險的識別依據

本文基于國內外學者對網絡信息安全風險指標研究的基礎上，結合廣播電視臺網絡信息安全現狀，篩選出對廣播電視網絡信息安全影響較大的風險因素，并設置風險產生的后果包括數據損壞、播出中斷、敏感數據泄露、財務損失和名譽損失。通過邀請5位專家（開化廣播電視臺3位，網絡風險領域專家2位）對風險因素與產生的后果關聯度進行評價，最終篩選出與風險后果高度關聯的12個風險因素。

2.2廣播電視網絡信息安全的特征和風險構建原則

2.2.1廣播電視網絡信息安全的特征

①完整性。指廣播電視網絡網絡信息在傳輸、交換、存儲和處理過程保持完整的特性，即保持網絡信息原樣性，網絡信息可以正常的生成，保障廣播電視節目的播出。

②保密性。指網絡信息在沒有授權的情況下不泄露給第三方或給其特供可以利用的信息的過程，即完全避免有用信息泄漏給非授權個人或實體，有用的網絡信息只能被已授權的個人或實體使用。

③可用性。網絡信息的可用性是指網絡信息可以被已授權的個人或實體訪問和使用，在網絡系統正常運營時能夠儲存可用信息，當網絡系統遭受攻擊或病毒入侵時能夠快速恢復可用信息并再次使用的特征。

④可審查性。指廣播電視網絡信息交互過程中，可以確認信息參與者的身份，以及參與者所提供的信息的真實同一性，并將信息存儲并記錄，使信息有相關的記錄可以查詢。

⑤可控性。網絡信息可控性是指在廣播電視網絡系統中任何信息的生成、傳播、輸出和具體內容可以在一定范圍內被管理控制的特性。

2.2.2廣播電視網絡信息安全風險指標體系構建原則

廣播電視網絡信息安全風險指標體系的構建不要遵循。廣播電視網絡信息安全風險指標的構建基于以下原則：

①科學性原則。風險指標體系的構建要客觀真實的反映出廣播電視網絡信息系統的實際情況，風險指標的選取必須要有正確性、全面性和可靠性，盡量防止人為因素的傾向性，從而建立科學合理的風險指標體系。

②系統性原則。廣播電視網絡信息安全風險不是每個單一風險的簡單疊加，選取風險指標時需考慮風險之間的相互關聯性和傳遞性。風險指標要包含廣播電視網絡信息安全所涉及的各個方面，不僅要有影響到廣播電視播出安全的直接風險因素，還要有從側面導致播出隱患的間接風險因素。因此，要合理構造廣播電視網絡信息安全風險指標體系層次結構，層次之間每層上層指標都要有相應的下層指標與其相對應。

②實用性原則。所選風險指標要有可操作性，應與廣播電視網絡信息安全密切相關，并能夠正確反映廣播電視臺在網絡化建設過程中所遇到的問題和不足。

2.3廣播電視網絡信息安全風險指標體系的構建內容

本文依據廣播電視網絡信息安全的特點構建風險指標體系，擬將廣播電視網絡信息安全風險指標體系分為三級指標層。一級指標層為廣播電視網絡信息安全總體風險組成，二級指標層分別由網絡攻擊風險、技術安全風險、管理風險、外部環境風險構成，三級指標層由影響各二級指標的風險因素組成，如表2所示。

2.3.1網絡風險

主要是由黑客進行網絡攻擊和網絡病毒傳播帶來的風險，由于廣播電視影響范圍廣、傳播速度快的特點容易成為黑客組織攻擊的目標，目前黑客不僅僅是個人行為，而是已經形成組織嚴密的黑色產業。一旦廣播電視網絡受到黑客攻擊或病毒入侵會導致播出中斷、網絡信息泄露、篡改播出內容等嚴重后果，甚至會造成不良的社會影響。

2.3.2技術安全風險

開化廣播電視臺目前計算機所用的操作系統大部分比較落后，沒有及時更換最新系統，使系統漏洞增加，加大了網絡攻擊風險發生的可能性。同時系統的硬件配置僅僅以滿足當前需要為主要目標，未考慮與其他系統的兼容性，硬件配置良莠不齊，不能滿足網絡系統整體的安全防范能力。此外，部分設備存在老化現象，系統內的核心設備、數據存儲設備等不能完成備份，可能會導致設備故障從而影響廣播電視臺節目的安全播出。因此技術安全風險由系統漏洞、硬件配置低和設備故障因素組成。

2.3.3管理風險

管理風險是由人員素質、管理不規范、操作流程不完善和應急預案缺陷帶來的風險。目前廣播電視臺缺乏有效的管理體系和管理部門，不能規范的管理網絡系統中各安全控制組件，沒有及時更新網絡化管理操作流程，人員缺少網絡安全意識，安全防護水平較低不能有效的保護網絡信息安全，沒有建立完善的應急預案，當風險發生時不能快速降低風險損失，這些因素都會加大管理風險發生的概率。

2.3.4外部環境風險

外部環境風險是由自然災害、人為破壞和系統規模膨脹帶來的風險。自然災害如雷電、供水、火災、地震等發生后會破壞網絡設施從引發風險。人為破壞包括對網絡設施的損毀、對網絡信息系統的惡意攻擊等行為，系統規模膨脹是指隨著廣播電視網絡化進程的發展，網絡規模不斷擴大，各個系統之間節點互聯互通、一旦關鍵節點出故障會影響到整個網絡系統的運行，發生播出故障的幾率不斷加大。

3基于系統動力學的廣播電視網絡信息安全風險模型

3.1系統動力學理論

系統動力學是一門分析研究信息反饋系統的學科，也是基于系統論、信息論和控制論來認識系統問題并解決系統問題的綜合性學科[5]。系統動力學中，通過因果反饋關系建立各級風險指標之間的關系，識別出可能引發不同風險的相同風險因素以及所造成的風險后果，有利于管理者制定理想的風險管理流程，并直觀的了解風險的演化過程和控制情況。并且根據廣播電視臺網絡化的發展情況可以在系統動力學模型中增加新的風險因素，不斷優化風險管理模型。

3.2廣播電視網絡信息安全風險因果反饋圖

應用系統動力學軟件Vensim建立廣播電視網絡信息安全風險因果反饋模型，如圖1所示。廣播電視網絡信息安全風險類型主要為網絡攻擊風險、技術安全風險、管理風險和外部環境風險。通過圖1可以直觀的發現引發多項風險的因素主要有以下五種：一是人員素質，廣播電視臺人員素質的提高，不僅有效的提高管理效率，也可以提升人員對于網絡信息安全的認識，從而降低管理風險的可能。二是管理不規范，形成系統的管理體系并建立相關網絡信息安全部門，統一管理網絡軟硬件設施和網絡信息安全防護可以有效的降低管理風險和技術安全風險。三是網絡攻擊和網絡病毒，提高網絡安全防護等級，確實防止網絡風險和技術安全風險的發生。第四是自然災害和人為破壞，提高相應的預防措施可防止因設備故障導致播出中斷事故的發生。第五是系統漏洞，完善廣播電視臺計算機操作系統，對系統不斷調整和升級，從而減少網絡攻擊和網絡病毒等網絡風險和技術安全風險。

運用系統動力學風險因果反饋圖模型，加強對人員素質、管理不規范、網絡攻擊和網絡病毒、自然災害和人為破壞、系統漏洞這五種主要風險點進行有效控制和防范，就會增強廣播電視臺對網絡風險、技術安全風險、管理風險和外部環境風險的管理控制，從而增強單位防控風險的能力。

4研究結論

本文在研究網絡信息安全的概念、理論等的基礎上，結合廣播電視網絡信息安全現狀建立了廣播電視網絡信息安全風險指標體系，總結分析了養老社區項目社會效益評價常用方法，取得如下研究成果：

①在網絡信息安全風險研究的基礎上篩選出對廣播電視網絡信息安全影響較大的風險因素，并系統地建立了廣播電視網絡信息安全風險指標體系，主要由網絡風險、管理風險、技術安全風險和外部環境風險以及相應三級風險構成。

②利用系統動力學在風險演化和管理方面的優勢，構建廣播電視網絡信息安全風險因果反饋模型，分析了風險因素之間的相關關系，提出需對人員素質、管理不規范、網絡攻擊和網絡病毒、自然災害和人為破壞、系統漏洞這五種風險因素重點防控。

③目前用于廣播電視網絡信息安全風險研究較少，本文只建立了風險指標體系，仍需要對風險演化方面做進一步深入研究。

參考文獻： 

[1]袁愛軍.國內企業網絡信息安全風險分析[J].中國石油和化工標準與質量，2011，31（10）：279. 

[2]李蘭瑛，李曉蕓.一種基于層次模型的網絡信息安全風險灰色評估方法[J].科學技術與工程，2010，10（02）：540-545. 

[3]袁亮.網絡時代下企業信息安全風險和控制[J].中國管理信息化，2015，18（17）：72-73. 

[4]吉嵐，辛欣.高校網絡信息安全風險分析及對策探討——以赤峰學院為例[J].赤峰學院學報（自然科學版），2016，32（20）：200-202. 

第6篇：構建網絡安全體系范文

關鍵詞:網絡安全;防范體系;IP專用網絡

1 前言

隨著計算機及其網絡的迅速發展,跨區IP專用網絡成為對內管理和對外交流必不可少的平臺。跨區IP專用網絡在滿足信息資源共享需求的同時,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。如何有效降低跨區IP專用網絡系統和數據的安全風險、提高跨區網絡安全水平成為網絡建設的重點。

2 跨區IP專用網絡安全需求分析

2.1 跨區IP專用網絡安全現狀

(1)網絡自身存在缺陷。IP專用網絡賴以生存的TCP/IP協議,缺乏相應的安全機制,而且因特網最初的設計考慮是不會因局部故障而影響信息的傳輸,基本沒有考慮安全問題。因此,它在安全可靠性、服務質量等方面存在著不適應性。

(2)操作系統以及應用系統自身的漏洞。網絡系統的安全性依賴于網絡中各主機系統的安全性,而主機系統的安全性正是由操作系統的安全性所決定的。

(3)網絡病毒。目前大多數病毒具有傳播速度極快,擴散廣,不易防范,難于徹底清除等特點。

(4)黑客入侵。黑客通過對邏輯漏洞進行挖掘,通過欺騙,信息搜集的方法,從薄弱環節入手,迅速地完成對網絡用戶身份的竊取,進而完成對整個網絡的攻擊,造成內部信息甚至機密被泄露。

(5)網絡內部威脅。網絡安全的威脅可以來自內部網,可能會因為網內管理人員安全意識不強,管理制度不健全,帶來內部網絡的威脅。

2.2 跨地區IP專用網絡安全需求

在網絡正常運行時,受到攻擊,能夠保證網絡系統繼續運行,網絡管理系統設置等重要資料不被破壞。具有先進的入侵防范體系,對惡意行為能夠及時發現、記錄和跟蹤。訪問控制和身份認證機制確保應用系統不被非法訪問。系統和數據在遭到破壞時能及時恢復。

3 建立跨地區IP專用網立體安全防范體系

3.1 安全組件

(1)路由器。路由器是架構網絡的第一層設備,路由器必須安裝必要的過濾規則,濾掉被屏蔽的IP地址和服務。路由器也可以過濾服務協議,屏蔽有安全隱患的協議。

(2)入侵監測系統。入侵監測系統是被動的,它監測網絡上所有的包,捕捉危險或有惡意的動作,并及時發出警告信息。

(3)防火墻。防火墻可防止“黑客”進入網絡的防御體系,可以限制外部用戶進入內部網,同時過濾掉危及網絡的不安全服務,拒絕非法用戶的進入。

(4)物理隔離與信息交換系統(網閘)。它保證內部網絡與不可信網絡物理隔斷,能夠阻止各種已知和未知的網絡層和操作系統層攻擊,提供比防火墻、入侵檢測等技術更好的安全性能。

(5)交換機。訪問控制對于交換機就是利用訪問控制列表ACL來實現用戶對數據包按照源和目的地址、協議、源和目的端口等各項的不同要求進行篩選和過濾。

(6)應用系統的認證和授權支持。在輸入級、對話路徑級和事務處理三級做到無漏洞。集成的系統要具有良好的恢復能力,保證系統避免因受攻擊而導致的癱瘓、數據破壞或丟失。

(7)操作系統的安全。不安裝或刪除不必要使用的系統組件。關閉所有不使用的服務和端口,并清除不使用的磁盤文件。

(8)病毒防護。網絡病毒網關與網絡版的查殺病毒軟件相結合,構成了較為完整的病毒防護體系,能有效地控制病毒的傳播,保證網絡的安全穩定。

3.2 安全環節

這是很多系統平臺本身就提供的,如操作系統或者數據庫,有效地發揮這些環節的作用有時候會起到意想不到的效果。

(1)身份標識和鑒別。計算機初始執行時,首先要求用戶標識身份,提供證明依據,計算機系統對其進行鑒別。

(2)訪問控制。訪問控制分為“自主訪問控制”和“強制訪問控制”兩種。自主訪問控制Unix和Windows NT操作系統都使用DAC。強制訪問控制可以防范特洛伊木馬和用戶濫用權限,具有更高的安全性。

(3)審計。審計是一個被信任的機制。安全系統使用審計把它的活動記錄下來。審計系統記錄的信息應包括主題和對象的標識、訪問權限請求、日期和時間、參考請求結果(成功或失敗)。

3.3 安全機制

安全機制采用了更有針對性的技術來提高系統安全的可控性,它們是建立高度安全的信息系統必不可少的。

(1)安全審核。安全審核通過改善系統中的基本安全環節的實現(包括安全機制的實現和使用)達到增強安全性的目的,典型的產品如網絡掃描器。

(2)信息加密。包括可信系統內部的加密存儲以及跨越不可信系統在可信系統間傳輸受控信息的機制。通常使用信息加密技術以及建立在加密和通道技術上的VPN系統。

(3)災難恢復。定期對重要數據進行備份,在系統出現故障時,仍然能保證重要數據準確無誤。

4 結束語

保障跨區IP專用網絡安全、有效運行,既是一個技術問題,也是一個管理問題。除了采用上述技術措施之外,還要加強網絡安全管理、制定規章制度、制定操作使用規程、制定應急措施、提高工作人員的保密觀念和責任心、加強業務培訓,這樣,網絡安全防范體系才能發揮更大效能。

參考文獻

第7篇：構建網絡安全體系范文

關鍵詞：局域網　安全體系　立體防御

1、案例背景

哈爾濱經濟技術開發區管理委員會(以下簡稱“哈經開區”)管理大廈內部網絡經過幾年建設，已經實現千兆到樓、百兆到桌面的寬帶網絡數據傳輸；該區建有完善的網絡數據中心，完善的網絡通信設備和網絡服務器系統。采用高速交換技術，建立方便快捷靈活多變的信息通信平臺，提升了辦公效率，節省了人們的勞動量，但是也帶來了一定的網絡安全問題，增加了網絡安全的風險。為此，要保證網絡的安全運行，必須要有一套與之配套的可操作的計算機病毒解決措施和應對方案。構建一個統一的有效的切實的可行的網絡安全防御體系，有效的防止和應對病毒攻擊和入侵。

2、案例分析

本文從哈經開區網絡安全的實際情況以及防御運行的實際情況進行分析：

2.1局域網維護工作量日益加重，計算機病毒日益猖狂

最初建立計算機網絡的時候，采用了國內比較著名的防病毒軟件，比如金山毒霸，瑞星殺毒等等。但是都不盡如人意。局域網中計算機病毒傳播和感染的事情仍然時有發生。計算機網絡的維護人員要忙于清理計算機病毒、重新安裝操作系統或者安裝相關的應用軟件。

計算機病毒的頑固性存在多個方面，首先，計算機病毒自身具有較快的傳播性和較強的可執行性。同時，計算機病毒還有其他一些典型的特點。一是傳播速度非常快。在政府部門局域網環境下，計算機病毒可以利用各種介質，通過局域網迅速的進行傳播下去。而且傳播的方位非常的廣泛，在局域網模式下的病毒要遠遠比在單機模式下的病毒難以應付。很多在單機模式下可以輕易殺除的病毒，在局域網模式下往往力不從心。而且病毒的破壞性非常大，一旦病毒襲擊了政府的辦公網絡，就會影響到政府的正常的工作。而且很多時候，病毒常常造成政府的辦公網絡崩潰，整個電腦系統的數據被盜取或者丟失。二是激發條件很多。通過局域網，病毒的隱蔽性得到大大的提升。計算機網絡病毒可以通過多種途徑和方式進行激發，例如可以通過內部時鐘或者計算機上的系統日期等。三是計算機網絡病毒的潛在危險非常大，在局域網中，一旦計算機網絡被感染病毒，即使后來病毒被清除，但仍然可能有病毒潛伏在電腦中，而且被感染的病毒再次發生被感染的概率非常的高。

2.2多種因素引發病毒，網絡安全意識亟待提高

(1)從主觀因素考慮，主要是由于部分用戶缺乏安全上網意識。要么電腦上沒有安裝殺毒軟件或安裝過期的殺毒軟件，要么就是不對操作系統升級，在網上下載東西的時候沒有注意，訪問不安全的網站等。這是誘發計算機病毒的一個重要原因。(2)從客觀上來講，病毒防御系統技術的提升跟不上計算機病毒技術的變化。防御病毒系統功能因多方面原因，未能及時換代，可終端結點不夠，使得個別終端結點不能對操作系統進行升級。(3)政府部門的工作人員，有些由于計算機基礎知識薄弱，對計算機的認識僅僅限于使用水平，沒有較強的計算機操作能力和病毒文件識別能力，遇到病毒時處理遲緩等。

3、保障措施

為確保哈經區計算機網絡的安全有效運行，區委會信息中心先后從是三個不同的方面采取了措施來確保全委計算機網絡的正常運行和安全，首先是重新改造和劃分VLAN，通過在使用中發現的問題進行分析改造，以樓層為單位進行劃分的原則，對整個局域網的布局進行重新的劃分，劃分成為不同的VLAN。這種劃分，有效的限制了病毒傳播的范圍，減小了病毒傳播危害的區域。解決了以往一旦一臺計算機受到病毒感染整個局域網都癱瘓的問題。其次是加強網絡安全檢查機制。定期派技術人員對對客戶端軟件安全情況進行跟蹤監控，及時發現客戶端安裝的軟件，對與業務工作無關的游戲、盜版軟件能做到“三及時”，即及時跟蹤、及時發現、及時控制。最后是對工作人員進行網絡安全培訓和教育，從思想上和習慣上加強工作人員的防毒殺毒意識。

基于上述分析，從整個網絡系統安全的整體考慮，要想實現整個網絡體系防病毒體系的真正安全，必須要從技術和管理兩個方面抓起，通過行政決策和遠期效應的科學統一。

3.1利用軟件技術，構建病毒防御體系

如何靈活運用軟件技術是確保計算機網絡安全所面臨的一個重要課題，要實現“層層設防、集中控管、以防為主、防殺結合”的目標，構建局域網病毒立體防御體系，通過實施的防毒策略，實現對內網全方位、多層次的立體病毒防護，為系統和數據安全提供強有力的保證。建設的主要內容包括：防病毒體系的構建必須把整個網器、防病毒工作站等硬件設備的多層次防御，縱向上構建基于單機用戶，橫向上基于網絡整體。病毒防護軟件必須具有網絡建設基于系統防病毒、郵件防病毒版的概念，即擁有防病毒控制中心和客戶端自動防用系統的全方位保護，用戶提供一個覆蓋面廣、操作簡便、集防毒、查毒、殺毒于一身的立體病毒防御體系。

3.2從管理措施和制度上確保計算機網絡的安全

如何進一步加強和提高工作人員的安全使用計算機意識是管委會的一個重要工作。通過構建立體化的計算機病毒防御體系，可以實現在軟件和硬件層次上計算機網絡的安全。在次基礎上，要加大信息安全的宣傳和教育力度，定期對工作人員進行專業培訓，通過普及計算機基礎知識，強化計算機安全意識，強化殺毒方面的技能的培訓工作來確保網絡安全和防病毒體系的建立。

第8篇：構建網絡安全體系范文

【關鍵詞】思科設備；網絡一體化安全體系

目前社會已經進入信息時代，互聯網在全球范圍內得到廣泛的應用，具有很強的開放性和傳播性，為黑客的非法入侵提供了條件，對企業的網絡帶來了越來越多的安全隱患。企業應該利用先進的網絡技術和設備，特別是思科設備，構建網絡一體化安全體系，為企業的網絡安全提供技術支撐。

一、企業面臨的網絡安全隱患分析

在企業的網絡體系中，造成安全隱患的因素一般都是外界的非法入侵和攻擊，但是其風險歸根到底還在于企業的網絡安全體系存在漏洞，為攻擊者提供了機會，而且企業的管理人員對網絡安全重視不足，目前企業面臨的網絡安全隱患具體包括以下幾點：

（一）系統漏洞隱患

網絡上產生的病毒和黑客的侵入都是通過網絡協議實現的，網絡協議對安全技術要求較少，所以攻擊者便有機會入侵企業網絡系統。目前我國大部分企業的網絡系統都是基于IP協議建設的，設置較為簡單，沒有重視網絡安全，黑客很容易通過該協議找到系統漏洞，對企業的整個網絡系統造成威脅，破壞了系統的穩定性和可靠性。而且近年來針對系統漏洞的病毒多種多樣，企業很難對其進行把控。企業必須加強對網絡系統的防御，升級網絡設備，采用具有防病毒功能的設備，降低非法入侵的風險。

（二）網絡擁堵

造成網絡擁堵的原因是企業網絡系統的用戶對網絡資源的需求遠遠大于網絡系統的固有容量，形成了持續的網絡過載狀況。基于互聯網體系的網絡資源共享中，如果沒有對資源的使用進行請求許可設置，多個IP分組同時到達一個路由器，并經同一輸出端口轉發，就會發現網絡擁堵現象。所以，必須利用先進的新型路由器設備，提高路由器端口的傳輸速度，有效緩解網絡擁堵現象。

（三）網絡安全知識缺乏

基層企業員工的網絡安全知識十分匱乏，網絡安全意識較低，導致個人信息和企業機密的泄漏，如果被不法分子利用，就會對企業造成巨大危害，十分不利于企業的競爭和發展。企業要增強員工的網絡安全知識，讓員工管理好自己的登錄密碼，對自己的文件資料負責，設置訪問權限，在于互聯網信息鏈接時，確保沒有受到病毒或木馬的攻擊，運行安全的程序和軟件，在獲取互聯網資源時時刻保持高度警惕，防止病毒入侵，加強對防病毒軟件的使用。

（四）網絡安全管理體系不健全

目前我國大部分企業都沒有建立完善的網絡安全管理體系，缺乏強制的網絡安全管理制度。保證企業的網絡系統運行安全和企業機密不被竊取，除了加大對網絡系統的建設投入，更新網絡設備之外，還需要加強對網絡安全的管理。企業要制定規范的網絡安全管理制度，加強對企業網絡系統使用和安全管理的培訓，將技術手段與管理手段相結合，為企業構建安全穩定的網絡環境提供制度保障。

二、基于思科設備的網絡一體化安全體系的構建

思科設備是世界先進的網絡專業設備，能夠針對企業的網絡安全隱患，構建一體化的安全體系，為企業網絡安全困境提供良好的解決方案。具體措施包括以下幾個方面：

（一）完整的網絡安全架構

思科設備在網絡產品方面具有雄厚的技術積累和實踐應用，能夠構建一個完整的網絡安全架構，并能針對企業網絡系統的特性和實際運用狀況對其進行劃分，將企業網絡系統細分為便于分析的不同模塊。首先，將原先復雜的企業網絡系統架構分為緊密聯系的部分，包括企業園區網、企業邊緣和服務供應商邊緣，這是新的網絡架構的基本層次，在這個層次的基礎之上，又將這三大塊進一步細分為若干功能模塊，這些特定的功能模塊有其具體的功能和安全需求。例如，可以將企業園區網進一步細化，分為核心模塊、構建模塊、管理模塊、服務器模塊和邊緣模塊，每個模塊都有自己特定的目標和功能。其中核心模塊能夠將企業的信息迅速從一個網絡傳輸至另一個網絡空間，并能進行信息數據的交換，其安全功能是對分組竊聽風險的有效緩解；管理模塊保證企業網絡安全系統和網絡主機及設備的安全運行，對網絡安全進行管理，能夠利用防火墻有效阻止未經企業授權的訪問，減少數據穿過網絡時可能受到的攻擊，同時能夠降低電子欺詐、分組竊聽和竊取信任關系進行攻擊的頻率；構建模塊可以對構建交換機提供不同層次的服務，對路由器的訪問和交換機的服務質量進行控制，該模塊能夠對未授權的訪問進行三層過濾，并能過濾電子欺詐，對分組竊聽進行限制，從而實現安全功能。

（二）制定完善的網絡安全方案和策略

利用思科設備和技術，企業要制定旨在創造網絡安全環境的網絡安全計劃，提出具體有效的網絡安全方案和策略，為構建一體化的網絡安全體系提供保障。其中包括以下兩個方面：

1.路由器安全策略

路由器的企業網絡系統的核心組成部分，路由器的配置對網絡的安全運行具有很大影響，所以只能容許經過授權的主機登錄路由器。要對路由器進行全局配置，設置標準的訪問控制程序，并將其應用到所有虛接口上，確保授權主機的遠程登錄且能夠對路由器配置進行修改和完善。

2.交換機安全策略

首先，要為交換機配置私有的IP地址，阻止非本企業的主機對交換機的訪問。同時，將企業內部所有的交換機放在同一個虛擬網之中；其次，對允許訪問交換機的主機進行配置，即只允許企業內特定的主機對交換機所在的虛擬網進行訪問，而企業其他的主機也不能訪問虛擬網和交換機；再次，對允許遠程登錄交換機的主機進行配置，限制允許訪問的主機遠程登錄交換機，而且只有經過企業授權的主機才能對配置的參數進行修改，在對交換機進行全局配置之后，設置標準的訪問程序。

總結：

綜上所述，掌握世界先進技術的思科設備，能夠為企業的網絡安全提供保障，促進企業一體化網絡安全體系的構建。企業的管理人員和網絡技術人員還需要對維護企業網絡安全的技術和措施加以進一步研究和探索，為企業的網絡的安全和穩定運行提供支持，保證企業內部信息和機密的安全，以促進企業的全面發展。

參考文獻：

第9篇：構建網絡安全體系范文

對局域網網絡系統系統安全因素進行分析，需要達到網絡系統安全就必須實現這些目標：建立網絡安全與網絡管理策略，并不斷完善嚴格執行；建立有效的隔離內網、公開服務器以及外部網絡的方案，要盡量避免與外部網絡數據進行直接交換；涉及到網絡體系中的主機與服務器，要有針對性構建安全保護措施，并根據實際的需要進行完善，最大限度保障系統能夠安全穩定的運行；網絡中相關服務請求要進行嚴格的過濾，針對一些較為危險的請求服務必須及時拒絕，以求保障在其達到目標主機之前成功被攔截；關于合法用戶的訪問與認證要提升管理力度，配置最低限度的用戶訪問權限；對公開服務器進行監管，對各種不安全的操作或者一些不法攻擊等等要及時的進行回應；另外，局域網審計工作也比較重要，網絡中必然有各種各樣的訪問，需要詳細的做好記錄，構建完整的系統日志；建立備份與災難恢復應急機制，最大限度保障系統能夠在最短的時間內恢復到正常運行。

2構建局域網網絡安全體系架構

2.1構建網絡防火墻

網絡防火墻（firewall）其配置的方式有以下幾種：Screeningrouter主要為bastionhost提供最大限度的支持與保護，將進入的相關所有數據傳送給bastionhost，并bastionhost決定所有發送的數據。整個結構對Screeningrouter和bastionhost依賴是非常嚴重的，由此可見，其中一個環節若是出現了問題，那么將導致整個網絡沒有安全性可言。此種方式的結構比較簡單，并且所涉及到的成本也比較低，其優勢不言而喻。在兩個網絡中間進行放置，但是因為沒有將網絡安全的自我防衛能力添加，因此，會常常成為網絡黑客長期攻擊的目標，一旦被攻擊失守，整個網絡也將癱瘓。在外部網絡，以及用戶單位內網之間構建隔離設施，形成DMZ隔離區。其中包含了兩個bastionhost與兩個Screeningrouter，將bastionhost放在隔離區內部。此種方式，配置了兩個安全單元，因此，整個結構的安全性比較高，一般在企業與事業單位局域網配置比較普遍。

2.2設置虛擬局域網

虛擬局域網，即VLAN（VirtualLocalAreaNetwork）。眾所周知，VLAN是當前使用十分普遍而且得到深入研究與廣泛推廣的新興技術。從邏輯方式上將局域網LAN的設備劃分成若干網段，其目的是要充分實現虛擬工作組之間的數據成功交換。由于虛擬局域網的出現，整個網絡結構也更加靈活，更加方便快捷。VLAN不需要重視網絡地理位置，任何一處都可以將其劃分成一個邏輯網子。劃分虛擬局域網的過程中要注意以下幾點問題：通常大型網絡環境下必然存在非常多的廣播信息，產生信息堵塞的情況時有發生，廣播風暴也就這樣形成了。局域網設計階段，需要重視這方面的問題，充分利用VIAN技術將一個邏輯區域劃分出來，但是廣播信息又不會從邏輯區域跳出而進行傳播，通過這種方式將廣播進行隔離，縮小了廣播的范圍，也就一定程度降低了廣播風暴形成的幾率。基于網絡安全體系設計，在VLAN劃分的邏輯區域之間不能直接進行通信，其必然的選擇應該是由路由進行轉發，這種設計方式能設計出更高級的網絡安全控制，網絡安全運行也得到了一定的保障。企業與事業單位中的局域網，機構就比較多，相同的機構人員的辦公地點也比較分散，其物理位置不一樣，這樣便能將工作有關聯的人員通過VLAN劃分在相同的邏輯子網內，另外，網絡管理人員需要給同一個部門的人員進行用戶訪問權限設置，這類訪問權限可以是相同的，這樣便能讓網絡管理更加直觀、方便、安全，局域網網絡性能也得到了一定限度的提升。

2.3防病毒

局域網網絡病毒防范是非常重要的環節，可以采用網絡版本的防病毒軟件，對局域網網絡防范病毒的方案進行統一的策劃與執行。保障整個網絡集中進行管理，實現全自動安裝智能化，及時得到自動升級，有病毒的情況下能及時通告，審計信息實時獲取并報警，讓局域網管理更加方便。若要實現隔離，可以在互聯網與局域網之間設置中間機，廣大網絡用戶即使需要通過因特網下載或者上傳文件時，必須要經過中間機進行病毒的掃描以及惡意代碼程序的監控，整個監管過程順利通過之后，才會讓廣大用戶繼續下載使用。

3結語