前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)網(wǎng)絡(luò)安全保障方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)網(wǎng)絡(luò)安全保障方案范文

關(guān)鍵詞：中小型企業(yè)網(wǎng)絡(luò)，虛擬專用網(wǎng)，遠程數(shù)據(jù)傳輸，安全性

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）27-6099-03

1 概述

在計算機網(wǎng)絡(luò)飛速發(fā)展的今天，網(wǎng)絡(luò)營銷，電子商務(wù)等快速進入企業(yè)業(yè)務(wù)活動中，企業(yè)總部、企業(yè)地方分支機構(gòu)、移動出差人員，充分利用Internet的公共資源及便利條件，通過VPN（Virtual Private Network，虛擬專用網(wǎng)）技術(shù)它們連接在一起，形成一個跨地域更大的網(wǎng)絡(luò)，方便企業(yè)用戶、分支機構(gòu)及合作伙伴隨時隨地的接入并訪問企業(yè)網(wǎng)絡(luò)，與企業(yè)總部網(wǎng)絡(luò)進行數(shù)據(jù)信息安全傳輸與交流，不但給企業(yè)帶來數(shù)字化時代，方便信息交流與企業(yè)的管理，而且也給企業(yè)帶來不菲的經(jīng)濟效益，與此同時，也給企業(yè)網(wǎng)帶來了安全隱患，數(shù)據(jù)信息如何跨越公共網(wǎng)絡(luò)的復(fù)雜環(huán)境進行安全的遠程傳輸成為關(guān)鍵。對于中小型企業(yè)資金相對比較貧乏，技術(shù)力量薄弱這種情況，研究經(jīng)濟實用的遠程數(shù)據(jù)信息安全性傳輸就顯得非常重要。

2 中小型企業(yè)網(wǎng)絡(luò)現(xiàn)狀及需求

國有大中型企業(yè)是我國的經(jīng)濟支柱，中小企業(yè)是我國經(jīng)濟組成的重要組成部分，我國中小型企業(yè)眾多，對計算機網(wǎng)絡(luò)技術(shù)應(yīng)用比較簡單，沒有很好的利用Internet的優(yōu)勢，實現(xiàn)企業(yè)經(jīng)濟的騰飛及壯大。中小型企業(yè)網(wǎng)絡(luò)主要應(yīng)用是日常辦公，數(shù)據(jù)處理，屬于“單機版”類型，或者企業(yè)分支機構(gòu)與總部就是簡單通過電子郵件，或者qq進行企業(yè)數(shù)據(jù)信息傳輸，這樣安全保密性太差。主要原因是：

1） 中小型企業(yè)資金比較貧乏，沒有更多的資金來購買成熟網(wǎng)絡(luò)安全產(chǎn)品，而且成熟的網(wǎng)絡(luò)安全產(chǎn)品價格一般比較昂貴，主要面向大型企業(yè)。中小型企業(yè)分布廣，業(yè)務(wù)靈活，經(jīng)濟實惠的遠程數(shù)據(jù)安全傳輸解決方案甚少，而且技術(shù)復(fù)雜，維護較難，不能滿足中小企業(yè)的需要。

2） 中小型企業(yè)技術(shù)力量薄弱，沒有專業(yè)的網(wǎng)絡(luò)技術(shù)人員，一般是企業(yè)年輕的懂點計算機的員工兼職網(wǎng)絡(luò)管理，與專業(yè)網(wǎng)絡(luò)管理員還有一定的差距。

3） 中小型企業(yè)網(wǎng)絡(luò)基本屬于一個“信息孤島”，與外界進行數(shù)據(jù)通信不能做到安全可靠傳輸，不能確保數(shù)據(jù)信息不泄露、不丟失、不被篡改等，影響企業(yè)的快速發(fā)展。

3） 中小型企業(yè)領(lǐng)導(dǎo)重視網(wǎng)絡(luò)建設(shè)還不夠，網(wǎng)絡(luò)建設(shè)相對比較簡單，根據(jù)中小型企業(yè)目前對網(wǎng)絡(luò)的需要及依賴，進行簡單網(wǎng)絡(luò)建設(shè)，沒有長遠的網(wǎng)絡(luò)建設(shè)規(guī)劃，致使企業(yè)在壯大的過程中，網(wǎng)絡(luò)建設(shè)不能快步跟上，往往被忽視。中小企業(yè)網(wǎng)絡(luò)由于資金貧乏，技術(shù)力量不足等原因，在建設(shè)的初期就還可能留下許多漏洞與不足，這樣更容易被黑客攻擊。

4） 中小型企業(yè)用戶不能進行遠程數(shù)據(jù)信息的安全可靠傳輸，企業(yè)員工，或者領(lǐng)導(dǎo)外地出差，或者分支機構(gòu)的網(wǎng)絡(luò)，就不能訪問企業(yè)網(wǎng)絡(luò)，不能遠程進行辦公，遠程快速的進行事務(wù)處理。

5） 中小型企業(yè)與合作伙伴之間沒有利用互聯(lián)網(wǎng)的優(yōu)勢，在它們之間沒有建立一個企業(yè)擴展網(wǎng)絡(luò)，導(dǎo)致數(shù)據(jù)信息的安全交流和企業(yè)的密切合作收到影響。

在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，解決中小型企業(yè)的遠程數(shù)據(jù)信息安全可靠的傳輸就變得越來越重要了，還需考慮方案的經(jīng)濟實用，維護簡單容易。對于中小企業(yè)網(wǎng)絡(luò)中傳輸?shù)闹匾獢?shù)據(jù)信息，如財務(wù)報表等，必須保證數(shù)據(jù)信息完整性、可用性和機密性。完整性是數(shù)據(jù)信息在傳輸或存儲過程中保證沒有被修改，沒有被破壞，沒有被丟失等；可用性是數(shù)據(jù)信息可被授權(quán)實體訪問，并按需求使用的特性，即指定用戶訪問指定數(shù)據(jù)資源；機密性是保證數(shù)據(jù)信息網(wǎng)絡(luò)傳輸保密性和數(shù)據(jù)存儲的保密性，數(shù)據(jù)信息不會泄露給非授權(quán)的用戶、實體或過程。確保只有授權(quán)用戶才可以訪問指定數(shù)據(jù)資源，其他人限制對數(shù)據(jù)信息的讀寫等操作。

3 經(jīng)濟實用安全方案

從中小型企業(yè)網(wǎng)絡(luò)現(xiàn)狀及需求，利用VPN技術(shù)跨越Internet組建中小企業(yè)擴展網(wǎng)絡(luò)，保證遠程移動用戶、企業(yè)分支機構(gòu)和企業(yè)合作伙伴之間安全可靠的進行遠程數(shù)據(jù)信息傳輸。通過實踐實驗，研究出經(jīng)濟實用，安全可靠，配置和維護比較容易的中小型企業(yè)網(wǎng)絡(luò)安全性解決方案，如圖1所示。VPN服務(wù)器也稱為VPN網(wǎng)關(guān)，可以使用高性能的計算機來擔(dān)當(dāng)，并且安裝兩塊網(wǎng)絡(luò)適配器，一塊網(wǎng)絡(luò)適配器用于連接中小型企業(yè)內(nèi)部網(wǎng)絡(luò)，分配內(nèi)網(wǎng)IP地址，另一塊網(wǎng)絡(luò)適配器連接外部網(wǎng)絡(luò)，分配外網(wǎng)IP地址。VPN服務(wù)器是內(nèi)網(wǎng)和外網(wǎng)連接的必經(jīng)之路，服務(wù)于內(nèi)外兩個網(wǎng)絡(luò)，也是內(nèi)網(wǎng)的安全屏障，相當(dāng)于中小型企業(yè)的防火墻，它可以完成對訪問企業(yè)網(wǎng)絡(luò)的用戶進行身份認證、數(shù)據(jù)進行加密解密處理、密鑰交換等。VPN服務(wù)器安裝Windows Server 2003操作系統(tǒng)，充分利用公共網(wǎng)絡(luò)Internet的資源，通過VPN技術(shù)，實現(xiàn)中小企業(yè)遠程數(shù)據(jù)信息傳輸?shù)陌踩?、完整性，可用性和保密性?/p>

3.1 IPSec VPN保證數(shù)據(jù)信息遠程安全傳輸

1） VPN技術(shù)

VPN又稱虛擬專用網(wǎng)，是在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)信息通過建立的虛擬加密“安全隧道”在公共網(wǎng)絡(luò)上進行傳輸，即充分利用公共網(wǎng)絡(luò)如Internet的資源，達到公網(wǎng)“私用”的效果。中小企業(yè)只需接入Internet，就可以實現(xiàn)全國各地分支機構(gòu)，甚至全世界各地的分支機構(gòu)，都可以隨時隨地的訪問企業(yè)網(wǎng)絡(luò)，實現(xiàn)遠程數(shù)據(jù)信息的安全可靠傳輸。而且VPN具有節(jié)省成本、配置相對簡單、提供遠程訪問、擴展性較強、便于管理維護、實現(xiàn)全面控制等好處，是企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。

2） IPSec協(xié)議

IPSec是一個開放的應(yīng)用范圍廣泛的網(wǎng)絡(luò)層VPN協(xié)議標準，是一套安全系統(tǒng)，包括安全協(xié)議選擇、安全算法、確定服務(wù)所使用的密鑰等服務(wù)，在網(wǎng)絡(luò)層為IP協(xié)議提供安全的保障，即IPSec可有效保護IP數(shù)據(jù)報的安全，如數(shù)據(jù)源驗證、完整性校驗、數(shù)據(jù)內(nèi)容加密解密和防重演保護等。保證企業(yè)網(wǎng)絡(luò)用戶的身份驗證，保證經(jīng)過網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)信息完整性檢查，加密IP地址及數(shù)據(jù)信息保證其私有性和安全性。

3） 基于IPSec的VPN技術(shù)

基于IPSec的VPN技術(shù)解決了在Internet復(fù)雜的公網(wǎng)上所面臨的開放性及不安全因素的威脅，實現(xiàn)在不信任公共網(wǎng)絡(luò)中，通過虛擬“安全隧道”進行數(shù)據(jù)信息的安全傳輸。IPSec協(xié)議應(yīng)用于OSI參考模型的第三層網(wǎng)絡(luò)層，基于TCP/IP的所有應(yīng)用都要通過IP層，將數(shù)據(jù)封裝成一個IP數(shù)據(jù)包后再進行傳輸，所有要實現(xiàn)對上層網(wǎng)絡(luò)應(yīng)用軟件的全透明控制，即同時對上層多種應(yīng)用提供安全網(wǎng)絡(luò)服務(wù)，只需要在網(wǎng)絡(luò)層上采用VPN技術(shù)，基于IPSec的VPN技術(shù)提供了5種安全機制，即隧道技術(shù)、加密解密技術(shù)、密鑰管理技術(shù)、身份驗證技術(shù)和防重演保護技術(shù)，通過基于IPSec的VPN技術(shù)，來保證傳輸數(shù)據(jù)的安全性、可用性、完整性和保密性[1]。

（1）隧道技術(shù)，隧道也可稱為通道，是在公用網(wǎng)中建立一條虛擬加密通道，讓數(shù)據(jù)包或者數(shù)據(jù)幀通過這條隧道安全傳輸。使用虛擬“安全隧道”傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或數(shù)據(jù)包?！八淼馈眳f(xié)議分為二、三層隧道協(xié)議，第二層隧道協(xié)議先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)幀裝入到隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)幀依靠第二層協(xié)議來傳輸，第二層協(xié)議包括PPTP、L2TP等。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入到隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層協(xié)議有GRE、IPSec等。這里使用IPSec中的ESP（Encapsulated Security Payload）和AH（Authentication Header）子協(xié)議保護IP數(shù)據(jù)包和IP數(shù)據(jù)首部不被第三方侵入，在兩個網(wǎng)絡(luò)之間建立一個虛擬“安全隧道” 用于數(shù)據(jù)信息的安全傳輸。授權(quán)用戶，通過IPSec安全策略的配置實現(xiàn)對網(wǎng)絡(luò)安全通信的保護意圖，其安全策略包括什么時候什么地方對AH和ESP保護，保護什么樣的通信數(shù)據(jù)，什么時候什么地方進行密鑰及保護強度的協(xié)商。IPSec通過認證和鑰匙交換機制確保中小型網(wǎng)絡(luò)與其分支機構(gòu)網(wǎng)絡(luò)或合作伙伴進行既安全又保密的信息傳輸。在計算機上裝有IPSec的終端用戶可以通過撥入ISP的方式獲得對公司網(wǎng)絡(luò)的安全訪問。

（2）加密解密技術(shù)，是為了保障虛擬“安全隧道”的安全可靠性，提供了非常成熟的加密算法和解密算法，如3DES、DES、AES等，抵抗不法分子修改或截取數(shù)據(jù)信息的能力，同時保證必須使偷聽者不能破解或解密攔截到的的數(shù)據(jù)信息，但是授權(quán)用戶可以通過解密技術(shù)，完整的訪問數(shù)據(jù)資源。

（3）身份認證技術(shù)是通過對企業(yè)分支用戶或遠程用戶進行身份進行驗證，提供安全防護措施與訪問控制，包括對VPN“安全隧道”訪問控制的功能，有效的抵抗黑客通過VPN通道攻擊中小型企業(yè)網(wǎng)絡(luò)的能力。通過VPN服務(wù)器對授權(quán)用戶的身份及權(quán)限的驗證，嚴格控制授權(quán)的用戶訪問資源的權(quán)限。在每個VPN服務(wù)器上為遠端用戶的身份驗證憑據(jù)添加用戶信息，包括用戶名及密碼，并且配置了用戶名與呼叫用戶所使用的用戶名稱相同的請求撥號接口。

（4）密鑰交換技術(shù)，為了防止密鑰在Internet復(fù)雜的公網(wǎng)上傳輸過程中而不被竊取。提供密鑰中心管理服務(wù)器，現(xiàn)行的密鑰管理技術(shù)分為SKIP和ISAKMP/OAKLEY兩種。VPN技術(shù)能夠生成并更新客戶端和服務(wù)器的加密密鑰和密鑰的分發(fā)，實現(xiàn)動態(tài)密鑰管理。如果采用L2TP/IPSec模式的站點到站點VPN連接，還需要在每個VPN服務(wù)器上同時安裝客戶端身份驗證證書和服務(wù)器身份驗證證書；如果不安裝證書，則需要配置預(yù)共享的IPSec密鑰。

（5）防重演保護。具備防止數(shù)據(jù)重演的功能，而且保證通道不能被重演。確保每個IP包的合法性和惟一性，保證信息萬一被截取復(fù)制后，或者攻擊者截取破譯信息后，再用相同的信息包獲取非法訪問權(quán)，確保數(shù)據(jù)信息不會被重新利用、重新傳回目標網(wǎng)絡(luò)，

3.2其他輔助安全措施

對VPN服務(wù)器，還可以啟動軟件防火墻功能，如安全訪問策略、日志監(jiān)控等功能，還可以安裝殺毒軟件，為內(nèi)網(wǎng)提供安全屏障，再次增加網(wǎng)絡(luò)安全可靠性能。軟件防火墻通過設(shè)置的包過濾規(guī)則，分析IP數(shù)據(jù)報、TCP報文段、UDP報文段等，決定數(shù)據(jù)包是被阻止，還是繼續(xù)轉(zhuǎn)發(fā)，從網(wǎng)絡(luò)層和傳輸層上再次給予安全控制，提供了多層次安全保障體系。還可以增加應(yīng)用層的過濾規(guī)則配置，再次提升VPN服務(wù)器安全性。

4 實踐應(yīng)用分析

通過實踐應(yīng)用，跨越Internet的中小型企業(yè)網(wǎng)絡(luò)安全解決方案分別從網(wǎng)絡(luò)層、傳輸層和應(yīng)用層三個層次上給予安全保障，該方案充分利用VPN的“公網(wǎng)專用”的特點，允許中小型企業(yè)擁有一個世界范圍的專用網(wǎng)絡(luò)，在公用網(wǎng)中開辟虛擬“安全隧道”來保證遠程數(shù)據(jù)信息傳輸?shù)目煽啃院桶踩?；通過輔助的防火墻功能，進一步增加其安全。該方案使用高性能的PC充當(dāng)VPN服務(wù)器，并配以Windows Server 2003操作系統(tǒng)，無需額外的復(fù)雜硬件設(shè)備與高昂的系統(tǒng)軟件，成本低、經(jīng)濟實用、容易實現(xiàn)、維護簡單，是中小型企業(yè)網(wǎng)絡(luò)擴展不錯的選擇方案。VPN服務(wù)器不但具備VPN技術(shù)的功能外，還是一個中小企業(yè)的防火墻，安全配置、安全策略容易實現(xiàn)，一旦出現(xiàn)較大安全威脅，便于快速隔離網(wǎng)絡(luò)。

當(dāng)然此方案也存在一些缺陷，主要是有依賴操作系統(tǒng)的安全性，操作系統(tǒng)本身的漏洞可能會造成安全隱患；VPN服務(wù)器是集多種服務(wù)于一體，需要較高高性能的計算機；VPN服務(wù)器故障會導(dǎo)致網(wǎng)絡(luò)連接失效；由軟件實現(xiàn)數(shù)據(jù)加密與解密、包過濾等，一定程度會占用系統(tǒng)資源，也會使通信效率略有降低；同時重注企業(yè)內(nèi)部員工的安全培訓(xùn)，有效地抑制社會學(xué)的攻擊，對來自企業(yè)內(nèi)部員工的攻擊顯得無能為力。

5 結(jié)束語

跨越Internet的中小型企業(yè)網(wǎng)絡(luò)安全技術(shù)方案比較經(jīng)濟、實用、安全、配置簡單，為中小企業(yè)打造一個世界范圍的網(wǎng)絡(luò)提供了較有力的技術(shù)支持，使得中小企業(yè)網(wǎng)絡(luò)也融入到互聯(lián)網(wǎng)這個“大家庭”中，不僅提高了中小型企業(yè)的工作效率，而且增強了其競爭力，將推動中小型企業(yè)電子商務(wù)，電子貿(mào)易，網(wǎng)絡(luò)營銷走向繁榮，加快了中小企業(yè)網(wǎng)絡(luò)信息化和經(jīng)濟快速發(fā)展的步伐。

參考文獻：

[1] 郝春雷， 鄭陽平.中小型企業(yè)敏感分支網(wǎng)絡(luò)安全解決方案[J].商業(yè)時代，2007，（21）：45.

[2] 阿楠. VPN虛擬專用網(wǎng)的安全[J].互聯(lián)網(wǎng)天地，2007，（7）：46-47.

[3] 李春泉，周德儉，吳兆華. VPN技術(shù)及其在企業(yè)網(wǎng)絡(luò)安全技術(shù)中的應(yīng)用[J]. 桂林工學(xué)院學(xué)報，2004，3：365-368.

[4] 韓儒博，鄔鈞霆，徐孟春.虛擬專用網(wǎng)絡(luò)及其隧道實現(xiàn)技術(shù)[J]. 微計算機信息，2005，14：1-3.

第2篇：企業(yè)網(wǎng)絡(luò)安全保障方案范文

［關(guān)鍵詞］ 網(wǎng)絡(luò)；安全威脅；中國石油；網(wǎng)絡(luò)安全域

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中圖分類號］ TP343.08 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）10- 0062- 02

1 引 言

隨著市場競爭的日益加劇，業(yè)務(wù)靈活性、成本控制成為企業(yè)經(jīng)營者最關(guān)心的問題，彈性靈活的業(yè)務(wù)流程需求日益加強，辦公自動化、生產(chǎn)上網(wǎng)、業(yè)務(wù)上網(wǎng)、遠程辦公等業(yè)務(wù)模式不斷出現(xiàn)，促使企業(yè)加快信息網(wǎng)絡(luò)的建設(shè)。越來越多的企業(yè)核心業(yè)務(wù)、數(shù)據(jù)上網(wǎng)，一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)已成為企業(yè)正常運營的基本條件。同時為了規(guī)范企業(yè)治理，國家監(jiān)管部門對企業(yè)的內(nèi)控管理提出了多項規(guī)范要求，包括 IT 數(shù)據(jù)、流程、應(yīng)用和基礎(chǔ)結(jié)構(gòu)的完整性、可用性和準確性等方面。

然而信息網(wǎng)絡(luò)面臨的安全威脅與日俱增，安全攻擊漸漸向有組織、有目的、趨利化方向發(fā)展，網(wǎng)絡(luò)病毒、漏洞依然泛濫，同時信息技術(shù)的不斷更新，信息安全面臨的挑戰(zhàn)不斷增加。特別是云的應(yīng)用，云環(huán)境下的數(shù)據(jù)安全、應(yīng)用安全、虛擬化安全是信息安全面臨的主要問題。如何構(gòu)建靈活有效的企業(yè)網(wǎng)絡(luò)安全防護體系，滿足業(yè)務(wù)發(fā)展的需要，已成為企業(yè)信息化建設(shè)、甚至是企業(yè)業(yè)務(wù)發(fā)展必須要考慮的問題。

2 大型企業(yè)網(wǎng)絡(luò)面臨的安全威脅

賽門鐵克的《2011 安全狀況調(diào)查報告》顯示：29％的企業(yè)定期遭受網(wǎng)絡(luò)攻擊，71％ 的企業(yè)在過去的一年里遭受過網(wǎng)絡(luò)攻擊。大型企業(yè)由于地域跨度大，信息系統(tǒng)多，受攻擊面廣等特點，更是成為被攻擊的首選目標。

大型企業(yè)網(wǎng)絡(luò)應(yīng)用存在的安全威脅主要包括：（1）內(nèi)網(wǎng)應(yīng)用不規(guī)范。企業(yè)網(wǎng)絡(luò)行為不加限制，P2P下載等信息占據(jù)大量的網(wǎng)絡(luò)帶寬，同時也不可避免地將互聯(lián)網(wǎng)中的大量病毒、木馬等有害信息傳播到內(nèi)網(wǎng)，對內(nèi)網(wǎng)應(yīng)用系統(tǒng)安全構(gòu)成威脅。（2）網(wǎng)絡(luò)接入控制不嚴。網(wǎng)絡(luò)準入設(shè)施及制度的缺失，任何人都可以隨時、隨地插線上網(wǎng)，極易帶來病毒、木馬等，也很容易造成身份假冒、信息竊取、信息丟失等事件。（3）VPN系統(tǒng)安全措施不全。企業(yè)中的VPN系統(tǒng)，特別是二級單位自建的VPN系統(tǒng)，安全防護與審計能力不高，存在管理和控制不完善，且存在非系統(tǒng)員工用戶，行為難以監(jiān)管和約束。（4）衛(wèi)星信號易泄密。衛(wèi)星通信方便靈活，通信范圍廣，不受距離和地域限制，許多在僻遠地區(qū)作業(yè)的一線生產(chǎn)單位，通過衛(wèi)星系統(tǒng)傳遞生產(chǎn)、現(xiàn)場視頻等信息。但由于無線信號在自由空間中傳輸，容易被截獲。（5）無線網(wǎng)絡(luò)安全風(fēng)險較大。無線接入由于靈活方便，常在局域網(wǎng)絡(luò)中使用，但是存在容易侵入、未經(jīng)授權(quán)使用服務(wù)、地址欺騙和會話攔截、流量偵聽等安全風(fēng)險。（6）生產(chǎn)網(wǎng)隔離不徹底。企業(yè)中生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)尚沒有明確的隔離規(guī)范，大多數(shù)二級單位采用防火墻邏輯隔離，有些單位防護策略制定不嚴格，導(dǎo)致生產(chǎn)網(wǎng)被來自管理網(wǎng)絡(luò)的病毒感染。

3 大型企業(yè)網(wǎng)絡(luò)安全防護體系建設(shè)

中國石油信息化建設(shè)處于我國大型企業(yè)領(lǐng)先地位，在國資委歷年信息化評比中，都名列前茅，“十一五”期間，將企業(yè)信息安全保障體系建設(shè)列為信息化整體規(guī)劃中，并逐步實施。其中涉及管理類項目3個，控制類項目3個，技術(shù)類項目5個。中國石油網(wǎng)絡(luò)安全域建設(shè)是其重要建設(shè)內(nèi)容。

中國石油網(wǎng)絡(luò)分為專網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)3類。其中專網(wǎng)承載與實時生產(chǎn)或決策相關(guān)的信息系統(tǒng)，是相對封閉、有隔離的專用網(wǎng)絡(luò)。內(nèi)網(wǎng)是通過租用國內(nèi)數(shù)據(jù)鏈路，承載對內(nèi)服務(wù)業(yè)務(wù)信息系統(tǒng)的網(wǎng)絡(luò)，與外網(wǎng)邏輯隔離。外網(wǎng)是實現(xiàn)對外提供服務(wù)和應(yīng)用的網(wǎng)絡(luò)，與互聯(lián)網(wǎng)相連（見圖1）。

為了構(gòu)建安全可靠的中國石油網(wǎng)絡(luò)安全架構(gòu)，中國石油通過劃分中國石油網(wǎng)絡(luò)安全域，明確安全責(zé)任和防護標準，采取分層的防護措施來提高整體網(wǎng)絡(luò)的安全性，同時，為安全事件追溯提供必要的技術(shù)手段。網(wǎng)絡(luò)安全域?qū)嵤╉椖堪凑障冗吔绨踩庸獭⒑笊钊雰?nèi)部防護的指導(dǎo)思想，將項目分為：廣域網(wǎng)邊界防護、廣域網(wǎng)域間與數(shù)據(jù)中心防護、廣域網(wǎng)域內(nèi)防護3部分。

廣域網(wǎng)邊界防護子項目主要包括數(shù)據(jù)中心邊界防護和區(qū)域網(wǎng)絡(luò)中心邊界防護。數(shù)據(jù)中心邊界防護設(shè)計主要是保障集團公司統(tǒng)一規(guī)劃應(yīng)用系統(tǒng)的安全、可靠運行。區(qū)域網(wǎng)絡(luò)中心邊界安全防護在保障各區(qū)域內(nèi)員工訪問互聯(lián)網(wǎng)的同時，還需保障部分自建應(yīng)用系統(tǒng)的正常運行?，F(xiàn)中石油在全國范圍內(nèi)建立和完善16個互聯(lián)網(wǎng)出口的安全防護，所有單位均通過16個互聯(lián)網(wǎng)出口對外聯(lián)系，規(guī)劃DMZ，制定統(tǒng)一的策略，對外服務(wù)應(yīng)用統(tǒng)一部署DMZ，內(nèi)網(wǎng)與外網(wǎng)邏輯隔離，內(nèi)網(wǎng)員工能正常收發(fā)郵件、瀏覽網(wǎng)頁，部分功能受限。

域間防護方案主要遵循 “縱深防護，保護核心”主體思想，安全防護針對各專網(wǎng)與內(nèi)網(wǎng)接入點進行部署，并根據(jù)其在網(wǎng)絡(luò)層面由下至上的分布，保護策略強度依次由弱至強。數(shù)據(jù)中心安全防護按照數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)的現(xiàn)狀和定級情況，將數(shù)據(jù)中心劃分為4個安全區(qū)域，分別是核心網(wǎng)絡(luò)、二級系統(tǒng)區(qū)、三級系統(tǒng)區(qū)、網(wǎng)絡(luò)管理區(qū)；通過完善數(shù)據(jù)中心核心網(wǎng)絡(luò)與廣域網(wǎng)邊界，二級系統(tǒng)、三級系統(tǒng)、網(wǎng)絡(luò)管理區(qū)與核心區(qū)邊界，二、三級系統(tǒng)區(qū)內(nèi)部各信息系統(tǒng)間的邊界防護，構(gòu)成數(shù)據(jù)中心縱深防御的體系，提升整體安全防護水平。

域內(nèi)防護是指分離其他網(wǎng)絡(luò)并制定訪問策略，完善域內(nèi)安全監(jiān)控手段和技術(shù)，規(guī)范域內(nèi)防護標準，實現(xiàn)實名制上網(wǎng)。中國石油以現(xiàn)有遠程接入控制系統(tǒng)用戶管理模式為基礎(chǔ)，并通過完善現(xiàn)有SSL VPN系統(tǒng)、增加IPSEC遠程接入方式，為出差員工、分支機構(gòu)接入提供安全的接入環(huán)境。實名制訪問互聯(lián)網(wǎng)主要以用戶身份與自然人一一對應(yīng)關(guān)系為基礎(chǔ)，實現(xiàn)用戶互聯(lián)網(wǎng)訪問、安全設(shè)備管理準入及授權(quán)控制、實名審計；以部署設(shè)備證書為基礎(chǔ)，實現(xiàn)數(shù)據(jù)中心對外提供服務(wù)的信息系統(tǒng)服務(wù)器網(wǎng)絡(luò)身份真實可靠，從而確保區(qū)域網(wǎng)絡(luò)中心、數(shù)據(jù)中心互聯(lián)網(wǎng)接入的安全性。

4 結(jié)束語

一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)已成為企業(yè)正常運營的基本條件，然而信息網(wǎng)絡(luò)的安全威脅日益加劇，企業(yè)網(wǎng)絡(luò)安全防護體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網(wǎng)絡(luò)安全域建設(shè)，系統(tǒng)地解決網(wǎng)絡(luò)安全問題，供其他企業(yè)參考。

主要參考文獻

［1］王擁軍. 淺談企業(yè)網(wǎng)絡(luò)安全防護體系的建設(shè) ［J］． 信息安全與通信保密，2011（12）.

第3篇：企業(yè)網(wǎng)絡(luò)安全保障方案范文

關(guān)鍵詞：網(wǎng)絡(luò)系統(tǒng)；安全防范；安全管理

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 (2012) 14-0064-01

隨著信息爆炸時代的到來，企業(yè)日常管理開始普遍采用網(wǎng)絡(luò)系統(tǒng)的方式，存儲著大量企業(yè)信息，而這些信息往往直接關(guān)乎企業(yè)未來的發(fā)展。然而在各種網(wǎng)絡(luò)病毒、黑客盛行的今天，企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全已成為人們不得不面對的問題。為了防止企業(yè)信息外泄，我們必須充分重視起企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全防范及其管理工作。

一、企業(yè)網(wǎng)絡(luò)系統(tǒng)

（一）基本概念及其重要性

所謂“企業(yè)網(wǎng)絡(luò)系統(tǒng)”，簡單來說，就是指企業(yè)通過計算機、通信設(shè)施等現(xiàn)代科技設(shè)備，所構(gòu)建起的一系列用以滿足企業(yè)日常管理、經(jīng)營與數(shù)據(jù)統(tǒng)計的系統(tǒng)模式。在當(dāng)今社會，企業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用有著非常重要的意義，它是提高企業(yè)員工辦公效率，提升企業(yè)各項數(shù)據(jù)準確性的重要手段，也是企業(yè)各項業(yè)務(wù)數(shù)據(jù)的重要載體，可以說，如若企業(yè)網(wǎng)絡(luò)系統(tǒng)無法正常工作，那么這個企業(yè)整體日常工作也無法獲得正常有序運營發(fā)展。

（二）企業(yè)網(wǎng)絡(luò)系統(tǒng)存在的風(fēng)險

當(dāng)前企業(yè)網(wǎng)絡(luò)系統(tǒng)主要面臨著以下幾方面風(fēng)險威脅：（1）由于Internet底層協(xié)議的不完善、各項硬件的問題而導(dǎo)致的系統(tǒng)漏洞風(fēng)險；（2）由于企業(yè)自身人為管理不善或技術(shù)水平局限，引發(fā)的企業(yè)信息泄露威脅；（3）由于病毒感染、黑客入侵造成的企業(yè)網(wǎng)絡(luò)系統(tǒng)漏洞風(fēng)險。

（三）企業(yè)網(wǎng)絡(luò)系統(tǒng)安全防范

也正是受以上幾大網(wǎng)絡(luò)系統(tǒng)風(fēng)險的影響，要想確保企業(yè)得以正常的經(jīng)營發(fā)展，我們必須重視起企業(yè)網(wǎng)絡(luò)系統(tǒng)安全防范及其管理工作。所謂“企業(yè)網(wǎng)絡(luò)系統(tǒng)安全”，其涉及計算機技術(shù)、網(wǎng)絡(luò)安全技術(shù)、密碼技術(shù)、信息安全技術(shù)等多項新興技術(shù)領(lǐng)域。在企業(yè)日常管理中，企業(yè)網(wǎng)絡(luò)系統(tǒng)安全主要用以企業(yè)網(wǎng)絡(luò)系統(tǒng)軟硬件及其數(shù)據(jù)保護、防范不必要的數(shù)據(jù)破壞、更改與泄露，維持企業(yè)日常工作的運行需要。

二、企業(yè)網(wǎng)絡(luò)系統(tǒng)安全防范存在的問題與缺陷

目前，企業(yè)網(wǎng)絡(luò)系統(tǒng)安全防范已經(jīng)獲得了企業(yè)各部門的足夠重視，然而由于我國網(wǎng)絡(luò)系統(tǒng)研究起步較慢，人們對于安全管理等概念的理解尚不到位，當(dāng)下我國企業(yè)網(wǎng)絡(luò)系統(tǒng)安全防范的工作仍存在很多的問題與缺陷，具體而言，其主要表現(xiàn)于以下幾個方面：

（一）安全意識淡薄與相關(guān)知識缺失

網(wǎng)絡(luò)屬于新生事物，不少企業(yè)員工對之充滿了好奇，由于剛剛接觸，他們不了解網(wǎng)絡(luò)危害的廣泛存在性，安全意識相當(dāng)薄弱。由于缺乏相關(guān)的專業(yè)知識，這往往會導(dǎo)致他們不知不覺中走入網(wǎng)絡(luò)安全管理誤區(qū)。例如，部門管理人員認為局域網(wǎng)下無需安裝防火墻、安裝殺毒軟件和防火墻后就不用擔(dān)心病毒的侵擾、中毒之后查殺就好了不會造成多大的損失。這些認知易于對企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全造成危害。

（二）過分追求先進技術(shù)

中國傳統(tǒng)觀念認為“最貴的就是最好的”，受到這種觀念的影響，很多企業(yè)認為，只要引進先進的計算機與網(wǎng)絡(luò)技術(shù)，就可以一勞永逸的解決網(wǎng)絡(luò)系統(tǒng)安全問題。這種觀念，導(dǎo)致企業(yè)花費了大量資金，改善了自己的配置，但是卻沒能取得重要的成果，浪費了大量的財力，打擊了技術(shù)人員的信心，給企業(yè)造成了巨大的損失。

（三）安全管理機制不完善

很多企業(yè)沒有制定企業(yè)網(wǎng)絡(luò)系統(tǒng)的管理機制，導(dǎo)致在企業(yè)網(wǎng)絡(luò)安全的管理過程中，缺乏行之有效的保護制度與管理制度。這些方面的缺失，又導(dǎo)致企業(yè)的網(wǎng)絡(luò)管理者及相關(guān)內(nèi)部人員出現(xiàn)了違規(guī)現(xiàn)象，將嚴重影響了企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性，制約了企業(yè)網(wǎng)絡(luò)系統(tǒng)的建設(shè)。

三、未來企業(yè)網(wǎng)絡(luò)系統(tǒng)安全防范與管理的進一步完善

要想徹底解決企業(yè)網(wǎng)絡(luò)系統(tǒng)安全防范與管理上的問題，我們必須從制度、組織結(jié)構(gòu)、思維方式等多角度出發(fā)，加以相應(yīng)的改革與完善。

（一）建立企業(yè)網(wǎng)絡(luò)安全管理部門

企業(yè)安全管理部門的建立，可以提高員工的網(wǎng)絡(luò)安全意識，讓他們在一個更為安全的環(huán)境下取得信息，傳播信息。相關(guān)部門建立之后，要對企業(yè)的重要部門和各項重要信息經(jīng)常性的進行安全保障與維護工作，及時消除安全隱患。當(dāng)然，建立的安全管理部門不能夠流于形式，必須將它的職責(zé)明確的加以界定，然后組織管理人員對該部門實行監(jiān)察與管理。定期要對企業(yè)網(wǎng)絡(luò)安全管理部門的相關(guān)技術(shù)人員進行培訓(xùn)，讓他們了解行業(yè)走向，站在行業(yè)前列。

（二）合理投資，良好運行木桶效應(yīng)

企業(yè)網(wǎng)絡(luò)系統(tǒng)安全防范不應(yīng)該盲目追隨新興技術(shù)。木板所盛水的容量取決于最短那塊木板的長度。不法分子往往從企業(yè)網(wǎng)絡(luò)最薄弱的環(huán)節(jié)下手，然后加以利用。所以，企業(yè)應(yīng)該合理投資，重點對網(wǎng)絡(luò)系統(tǒng)安全防范的薄弱環(huán)節(jié)加以重點治理，以此真正實現(xiàn)企業(yè)“投資少，回報高”的理性投資模式。

（三）制定網(wǎng)絡(luò)安全管理策略

安全管理總是被人們忽視，但是很多專家卻提出企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全“三分靠技術(shù)，七分靠管理”，從中我們不難體會到管理工作在網(wǎng)絡(luò)系統(tǒng)安全運行中的重要作用。要想實現(xiàn)企業(yè)網(wǎng)絡(luò)系統(tǒng)安全防范這一終極目標，我們必須及時制定出相應(yīng)良好的安全管理策略。例如，企業(yè)可以實行授權(quán)管理、病毒防范及用戶權(quán)限設(shè)置等一系列的安全管理制度與措施。與此同時，完善安全管理制度，我們還必須保證各項制度的一致性，其中包括防火墻制度、企業(yè)內(nèi)部信息管理制度、用戶訪問權(quán)限制度之間的相互一致。

四、結(jié)語

對于企業(yè)發(fā)展而言，網(wǎng)絡(luò)系統(tǒng)所起到的作用越來越大，為此我們必須對其予以足夠的重視與保護，不斷強化對企業(yè)網(wǎng)絡(luò)系統(tǒng)安全防范與管理，將其作為我國企業(yè)發(fā)展的長久計劃加以改革完善，唯有這樣，才能真正意義上實現(xiàn)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全防護，也才能實現(xiàn)企業(yè)更快、更平穩(wěn)的長久發(fā)展。

參考文獻：

[1]宇.計算機網(wǎng)絡(luò)安全防范技術(shù)淺析[J].民營科技,2010,7:25-27.

第4篇：企業(yè)網(wǎng)絡(luò)安全保障方案范文

關(guān)鍵詞：中小企業(yè)；網(wǎng)絡(luò)安全；企業(yè)網(wǎng)絡(luò)；架構(gòu)

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 20-0000-02

1 中小型企業(yè)網(wǎng)絡(luò)安全

1.1 中小型企業(yè)網(wǎng)絡(luò)安全概念。國際組織（ISO）對網(wǎng)絡(luò)安全規(guī)定為在網(wǎng)絡(luò)間進行數(shù)據(jù)處理系統(tǒng)建立是所采取的相應(yīng)的安全技術(shù)，這些技術(shù)可以對網(wǎng)絡(luò)進行時時監(jiān)控和安全，并保證不讓任何人使用的程序通過網(wǎng)絡(luò)來進行計算機，并始終通過網(wǎng)絡(luò)有效的保證計算機算硬件的安全，不通過網(wǎng)絡(luò)泄露個人或者企業(yè)等單位的秘密。以此我們可以這樣理解中小型企業(yè)網(wǎng)絡(luò)安全為是通過采用各種高科技技術(shù)和一定的管理措施，使的中小企業(yè)網(wǎng)絡(luò)系統(tǒng)能夠進行正常運作，進而來保證中小企業(yè)網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。

1.2 中小型企業(yè)網(wǎng)絡(luò)職能。一個安全的中小企業(yè)網(wǎng)絡(luò)職能應(yīng)該是具有一定的可靠性、可用性、完整性、保密性和真實性等的。中小企業(yè)網(wǎng)絡(luò)的安全不僅要保護企業(yè)內(nèi)部的計算機網(wǎng)絡(luò)設(shè)備的安全和計算機網(wǎng)絡(luò)系統(tǒng)安全，更重要的是要對企業(yè)數(shù)據(jù)安全的保護。所以對于一個中小型企業(yè)來說網(wǎng)絡(luò)安全最終的職能就是保護企業(yè)重要的信息數(shù)據(jù)。

2 中小型企業(yè)信息網(wǎng)絡(luò)安全的困惑

2.1 中小企業(yè)信息網(wǎng)絡(luò)操作系統(tǒng)安全的困惑。中小型企業(yè)經(jīng)常出現(xiàn)的困惑就是針對信息網(wǎng)絡(luò)操作時出現(xiàn)的安全困惑，所謂中小型企業(yè)信息網(wǎng)絡(luò)操作系統(tǒng)安全就是指通常是指進行信息網(wǎng)絡(luò)操作系統(tǒng)的安全。操作系統(tǒng)的某一合法用戶可任意運行一段程序來修改該用戶擁有的文件訪問控制信息，而操作系統(tǒng)無法區(qū)別這種修改是用戶自己的合法操作還是計算機病毒的非法操作；另外，也沒有什么一般的方法能夠防止計算機病毒將信息通過共享客體從一個進程傳送給另一個進程。為此，中小型企業(yè)認識到必須采取更強有力的訪問控制手段，這就是強制訪問控制。在強制訪問控制中，系統(tǒng)對主體與客體都分配一個特殊的一般不能更改的安全屬性，系統(tǒng)通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。中小型企業(yè)為某個目的而運行的程序，不能改變它自己及任何其它客體的安全屬性，包括該用戶自己擁有的客體。強制訪問控制還可以阻止某個進程生成共享文件并通過這個共享文件向其它進程傳遞信息。目前來說中小型企業(yè)的信息網(wǎng)絡(luò)操作系統(tǒng)多為Windows和UNIX操作系統(tǒng)，這些操作系統(tǒng)本身就有自身的網(wǎng)絡(luò)安全漏洞，因為操作系統(tǒng)本身都是有后門的，而這些后門和安全漏洞都將存在重大的信息網(wǎng)絡(luò)安全隱患，造成中小企業(yè)信息網(wǎng)絡(luò)的安全困惑。所以這就要求在進行中小型企業(yè)信息網(wǎng)絡(luò)系統(tǒng)安裝時，不只要考慮到企業(yè)的自身需求，更多的時候要考慮到中小型企業(yè)的信息網(wǎng)絡(luò)安全，不能因為系統(tǒng)的安裝造成過大的中小型企業(yè)信息安全的困惑。

2.2 中小企業(yè)信息網(wǎng)絡(luò)應(yīng)用安全的困惑?，F(xiàn)階段我國的中小型企業(yè)網(wǎng)絡(luò)安全應(yīng)用僅網(wǎng)絡(luò)系統(tǒng)就存在很大的安全隱患，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險。目前，實施的安全方案是基于當(dāng)時的認識進行的，主要工作集中于網(wǎng)絡(luò)安全，對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認證，對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。當(dāng)時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。針對外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內(nèi)部人員可以直接對重要的服務(wù)器進行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況。美國聯(lián)邦調(diào)查局（FBI）和計算機安全機構(gòu)（CSI）等權(quán)威機構(gòu)的研究也證明了這一點：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。信息系統(tǒng)的安全防范是一個動態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

2.3 中小企業(yè)信息網(wǎng)絡(luò)管理安全的困惑。中小型企業(yè)信息網(wǎng)絡(luò)管理方面存在的安全困惑主要包括了，中小型企業(yè)的內(nèi)部管理人員們或者是員工們圖方便省事，對自身的計算機不進行密碼的設(shè)置，沒用自己的用戶口令，或者是有些管理者和員工設(shè)置的密碼和口令過短或者是過于簡單，這樣就導(dǎo)致密碼和口令很容易被破解，這樣來當(dāng)出現(xiàn)了信息網(wǎng)絡(luò)的安全問題時，容易責(zé)任不清，并且很難一下就找到問題出現(xiàn)的計算機，因為整個公司都使用相同的用戶名和口令，使得整體信息網(wǎng)絡(luò)的管理出現(xiàn)嚴重的混亂，并且容易出現(xiàn)企業(yè)重要信息的泄密。進行中小型企業(yè)信息網(wǎng)絡(luò)管理是信息網(wǎng)絡(luò)安全的重要組成部分，是能保證中小型企業(yè)信息網(wǎng)絡(luò)安全的重要組成部分，是可以對外來病毒進行防止的重要環(huán)節(jié)，是中小型企業(yè)內(nèi)部信息網(wǎng)絡(luò)不被入侵必須的部分。也是中小型企業(yè)信息網(wǎng)絡(luò)暗中的管理困惑，是普遍中小型企業(yè)都會存在的困惑之一。

3 如何進行中小型企業(yè)信息網(wǎng)絡(luò)安全的架構(gòu)

3.1 中小型企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)Internet的接入。中小型企業(yè)信息網(wǎng)絡(luò)安全構(gòu)架中Internet的接入，多是采用了PIX515作為外部邊緣得防火墻設(shè)備，中小型企業(yè)內(nèi)部的用戶登錄則是通過互聯(lián)網(wǎng)時會經(jīng)過NetEye防火墻，然后再由PIX映射到互聯(lián)網(wǎng)。PIX與NetEye之間形成了DMZ映射區(qū)，這是一種需要進行提供互聯(lián)網(wǎng)服務(wù)的郵件服務(wù)和Web服務(wù)器等防止在該DMZ區(qū)內(nèi)。中小型企業(yè)進行此防火墻的安全策略步驟是：首先要從Internet上設(shè)置只能訪問到DMZ內(nèi)Web服務(wù)器的80端口和郵件服務(wù)器的25端口，其次，則是要從Internet和DMZ區(qū)設(shè)定出不能進行訪問內(nèi)部網(wǎng)任何資源，最后則是要從Internet進行訪問內(nèi)部網(wǎng)資源的時候只能通過VPN系統(tǒng)進行。

3.2 中小型企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)用戶的認證。中小型企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)的用戶認證系統(tǒng)主要就是用于解決通過電話進行撥號時出現(xiàn)的安全問題和通過VPN進行接入時出現(xiàn)的安全問題，信息網(wǎng)絡(luò)安全架構(gòu)的用戶認證系統(tǒng)是目前為止運用最為完善的系統(tǒng)用戶認證系統(tǒng)、訪問控制系統(tǒng)和使用審計系統(tǒng)方面的功能來增強信息網(wǎng)絡(luò)系統(tǒng)的安全性，并采用了目前為止最為高端的ACS用戶認證系統(tǒng)。中小型企業(yè)的ERP系統(tǒng)一般采用C/S（客戶機/服務(wù)器）體系結(jié)構(gòu)，架構(gòu)于企業(yè)內(nèi)網(wǎng)Intranet上。通常，VPN是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸；VPN還可用于不斷增長的移動用戶的全球互聯(lián)網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路。在信息網(wǎng)絡(luò)的主域服務(wù)器上安裝Radius服務(wù)器，在Cisco撥號路由器和PIX防火墻上配置了Radius客戶端。這樣當(dāng)任何人進行電話撥號和VPN用戶身份認證時，就會在Radius的服務(wù)器上直接進行，這樣一來用戶賬號就會集中的在主域服務(wù)器上進行開設(shè)。這樣做就可以在系統(tǒng)中設(shè)置較為嚴格的用戶訪問策略和口令策略，能有效的強制使用用戶進行定期的口令修改。

綜上所述，中小型企業(yè)信息網(wǎng)絡(luò)安全保障是開展其它一切業(yè)務(wù)往來與技術(shù)交流的關(guān)鍵，要想企業(yè)長足發(fā)展，必須重視信息網(wǎng)絡(luò)安全的構(gòu)建。

參考文獻：

第5篇：企業(yè)網(wǎng)絡(luò)安全保障方案范文

IM和P2P淪為黑客攻擊管道

從終端來看，垃圾郵件，蠕蟲病毒，間諜軟件，針對即時通訊和P2P應(yīng)用安全事件正成為終端安全隱患的主要來源。

FaceTime通訊公司最新的調(diào)查報告說，微軟的MSN網(wǎng)絡(luò)仍然是被攻擊得最多的即時通訊網(wǎng)絡(luò)，2004年和2005年都是如此，而被攻擊數(shù)量下降得最快的網(wǎng)絡(luò)是美國在線的AIM 網(wǎng)絡(luò)。即時通訊威脅對于企業(yè)的IT人員來說是一種非常大的挑戰(zhàn)，因為它們利用了實時通訊的管道以及全球各地的即時通訊網(wǎng)絡(luò)進行繁殖，它們的傳播速度比電子郵件攻擊快很多。

根據(jù)披露，2005年11月有一個國際黑客組織已經(jīng)利用即時通訊軟件病毒控制了1.7萬臺個人電腦組成僵尸網(wǎng)絡(luò)為商業(yè)目的攻擊行為做準備。

我們也已知道，即時消息和P2P 應(yīng)用在帶來方便性、實時性、新業(yè)務(wù)商機的同時，也給最終用戶、企業(yè)網(wǎng)絡(luò)和電信網(wǎng)絡(luò)帶來多方位的安全威脅。通常來說，這些安全威脅包括：邊界安全措施失效；難以控制文件數(shù)據(jù)的共享和流動，帶來病毒、木馬、蠕蟲等；容易導(dǎo)致知識產(chǎn)權(quán)損失、泄密等；由于大量使用非標準、不公開協(xié)議，使用動態(tài)、隨即、非固定的端口；難以檢測、過濾和管理；隱藏于HTTP管道中的各種潛在的隱秘通道。

我們也可以看到在復(fù)雜的網(wǎng)絡(luò)環(huán)境下一些有代表性的P2P網(wǎng)絡(luò)安全產(chǎn)品，提供基于包過濾特性提供針對P2P傳輸?shù)姆雷o，在保障安全的同時還可阻止并記錄國際上幾乎所有的P2P封殺機構(gòu)(如RIAA、MPAA、MediaForce、BaySTP、NetPD等等)對計算機進行探測連接，從而避免隱私外泄，可以自動下載最新的屏蔽列表來屏蔽各種廣告、間諜軟件及研究機構(gòu)對機器的掃描。

目前業(yè)界一些致力于IM/P2P的專業(yè)廠商也推出了針對保護用戶免受IM與P2P的安全威脅，將檢測和分析通過IM傳播的病毒與蠕蟲、通過IM發(fā)送的垃圾郵件“SPIM”、惡意代碼等的整體方案。

針對IM的安全管理，比如IM監(jiān)控，P2P的監(jiān)控等，正在成為網(wǎng)關(guān)級防御，針對IM和P2P，垃圾郵件監(jiān)控、管理和控制等等需求和話題正在不斷催生出相關(guān)應(yīng)用的針對性安全解決方案。

UTM：潮流趨勢所至

在企業(yè)級領(lǐng)域，由于信息基礎(chǔ)設(shè)施的不斷增加和應(yīng)用的不斷擴展，企業(yè)公共出口的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的布局已經(jīng)發(fā)展到一定階段，隨著縱深防御概念逐漸深入，威脅已經(jīng)從外部轉(zhuǎn)向內(nèi)部。從產(chǎn)品來看，UTM（一體化的威脅管理）正在成為新的增長點。在混合攻擊肆虐的時代，單一功能的防火墻遠不能滿足業(yè)務(wù)的需要，而對于集成多種安全功能的UTM設(shè)備來說，以其基于應(yīng)用協(xié)議層防御、超低誤報率檢測、高可靠高性能平臺、統(tǒng)一組件化管理的優(yōu)勢將得到越來越多的青睞。

由于UTM設(shè)備是串聯(lián)接入的安全設(shè)備，因此UTM設(shè)備本身的性能和可靠性要求非常高，同時，UTM時代的產(chǎn)品形態(tài)，實際上是結(jié)合了原有的多種產(chǎn)品、技術(shù)精華，在統(tǒng)一的產(chǎn)品管理平臺下，集成防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、防拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體，實現(xiàn)多種的防御功能。

鑒此，安全廠商與網(wǎng)絡(luò)廠商合作，共同開發(fā)和研制UTM設(shè)備將是今后發(fā)展的必然趨勢。

威脅由外轉(zhuǎn)內(nèi)

對于內(nèi)網(wǎng)安全，已經(jīng)進入到內(nèi)網(wǎng)合規(guī)性管理的階段。目前，內(nèi)網(wǎng)安全的需求有兩大趨勢，一是終端的合規(guī)性管理，即終端安全策略、文件策略和系統(tǒng)補丁的統(tǒng)一管理；二是內(nèi)網(wǎng)的業(yè)務(wù)行為審計，即從傳統(tǒng)的安全審計或網(wǎng)絡(luò)審計，向?qū)I(yè)務(wù)行為審計的發(fā)展，這兩個方面都是非常重要的。

從現(xiàn)狀來看，根據(jù)美國洋基集團（Yankee Group）一項針對北美和西歐六百家公司的調(diào)查顯示，2005年的安全問題有六成源自內(nèi)部，高于前一年的四成。該集團表示：“威脅已從外部轉(zhuǎn)向內(nèi)部”。每年企業(yè)界動輒投資上千萬防毒防黑，但企業(yè)防御失效的另一個容易被忽略的問題是：來自員工、廠商或其它合法使用系統(tǒng)者的內(nèi)部濫用。在漏洞攻擊愈來愈快速的今日，有可能因為一個訪客攜入的計算機而癱瘓幾千萬IT設(shè)備。

中小企業(yè)面臨的三大安全威脅是病毒攻擊、垃圾郵件、網(wǎng)絡(luò)攻擊，因而有很多廠商推出了針對中小企業(yè)的集成式套裝產(chǎn)品。對內(nèi)網(wǎng)終端設(shè)備的管理，通過基于網(wǎng)絡(luò)的控制臺使管理員能夠從產(chǎn)品分發(fā)、運行監(jiān)控、組件升級、配置修改、統(tǒng)一殺毒、應(yīng)急響應(yīng)等全過程，實施集中式的管理，強制部署的安全策略，有助于避免企業(yè)用戶無心過錯導(dǎo)致的安全漏洞。而新型病毒與黑客技術(shù)結(jié)合得越來越緊密，與此相對應(yīng)，防病毒軟件與防火墻、IDS等技術(shù)配合得越來越緊密。只有多種技術(shù)相互補充配合，才可以有效對付混合威脅。

大型企業(yè)有一定的信息化基礎(chǔ)，對于內(nèi)網(wǎng)安全來說，企業(yè)用戶需要實施整體的安全管理策略。 內(nèi)網(wǎng)安全管理系統(tǒng)需要將安全網(wǎng)管、內(nèi)網(wǎng)審計與內(nèi)網(wǎng)監(jiān)控有機地結(jié)合在一起，以解決企業(yè)內(nèi)部專用網(wǎng)絡(luò)的安全管理、安全控制和行為監(jiān)視為目標，采用主動的安全管理和安全控制的方式。將內(nèi)部網(wǎng)絡(luò)的安全隱患以技術(shù)的手段進行有效的控制，全面保護網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)。運用多種技術(shù)手段，從源頭上阻止了敏感信息泄漏事件的發(fā)生。

對于大型企業(yè)來說，選用的產(chǎn)品需要能夠自動發(fā)現(xiàn)關(guān)鍵業(yè)務(wù)資產(chǎn)，并確定威脅企業(yè)IT環(huán)境完整性的安全漏洞。通過采集實時的技術(shù)庫，并且將它們與基于風(fēng)險的任務(wù)列表（帶有補救指導(dǎo)）中已驗證的漏洞相關(guān)聯(lián)，并且?guī)椭髽I(yè)確定哪些漏洞將影響哪些資產(chǎn)。最終為企業(yè)提供一份即時的關(guān)于關(guān)鍵性業(yè)務(wù)資產(chǎn)的風(fēng)險評估。對于企業(yè)內(nèi)網(wǎng)來說，行之有效的安全管理是各種規(guī)模企業(yè)所企盼的，固若金湯的城池，往往在內(nèi)部安全威脅面前形同虛設(shè)?！皟?nèi)憂”勝于“外患”，企業(yè)不僅需要鑄造抵抗外部風(fēng)險的縱深防御體系，同樣需要著重管理，打造安全和諧的內(nèi)部環(huán)境。

第6篇：企業(yè)網(wǎng)絡(luò)安全保障方案范文

    論文關(guān)鍵詞:網(wǎng)絡(luò):安全技術(shù);管理措施

    1前言

    隨著企業(yè)科學(xué)管理水平的提高.企業(yè)管理信息化越來越受到企業(yè)的重視.企業(yè)ERP(企業(yè)資源計劃)系統(tǒng)、企業(yè)電子郵局系統(tǒng)和OA辦公自動化系統(tǒng)等先進的管理系統(tǒng)都進入企業(yè)并成為企業(yè)重要的綜合管理系統(tǒng)。企業(yè)局域網(wǎng)與國際互聯(lián)網(wǎng)(Internet)聯(lián)接,形成一個內(nèi)、外部信息共享的網(wǎng)絡(luò)平臺。這種連接方式使得企業(yè)局域網(wǎng)在給內(nèi)部用戶帶來工作便利的同時.也面臨著外部環(huán)境——國際互聯(lián)網(wǎng)的種種危險。如病毒,黑客、垃圾郵件、流氓軟件等給企業(yè)內(nèi)部網(wǎng)的安全和性能造成極大地沖擊如何更有效地保護企業(yè)重要的信息數(shù)據(jù)、提高企業(yè)局域網(wǎng)系統(tǒng)的安全性已經(jīng)成為我們必須解決的一個重要問題

    2網(wǎng)絡(luò)安全及影響網(wǎng)絡(luò)安全的因素

    網(wǎng)絡(luò)安全一直都是困擾企業(yè)用戶的一道難題.影響企業(yè)局域網(wǎng)的穩(wěn)定性和安全性的因素是多方面的,主要表現(xiàn)在以下幾個方面:

    2.1外網(wǎng)安全。駭客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅

    2.2內(nèi)網(wǎng)安全最新調(diào)查顯示.在受調(diào)查的企業(yè)中60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)對網(wǎng)絡(luò)的不正當(dāng)使用,降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)局域網(wǎng)絡(luò)資源、并引入病毒和間諜.或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機密

    2.3內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全。隨著企業(yè)的發(fā)展壯大,逐漸形成了企業(yè)總部、各地分支機構(gòu)、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構(gòu)、移動辦公人員的信息共享安全,既要保證信息的及時共享.又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題各地機構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運作

    3企業(yè)局域網(wǎng)安全方案

    為了更好的解決上述問題.確保網(wǎng)絡(luò)信息的安全,企業(yè)應(yīng)建立完善的安全保障體系該體系應(yīng)包括網(wǎng)絡(luò)安全技術(shù)防護和網(wǎng)絡(luò)安全管理兩方面網(wǎng)絡(luò)安全技術(shù)防護主要側(cè)重于防范外部非法用戶的攻擊和企業(yè)重要數(shù)據(jù)信息安全.網(wǎng)絡(luò)安全管理則側(cè)重于內(nèi)部人員操作使用的管理.采用網(wǎng)絡(luò)安全技術(shù)構(gòu)筑防御體系的同時,加強網(wǎng)絡(luò)安全管理這兩方面相互補充,缺一不可。

    3.1企業(yè)的網(wǎng)絡(luò)安全技術(shù)防護體系

    包括入侵檢測系統(tǒng)、安全訪問控制、漏洞掃描、病毒防護、防火墻、接入認證、電子文檔保護和網(wǎng)絡(luò)行為監(jiān)控。

    1)入侵檢測系統(tǒng)。在企業(yè)局域網(wǎng)中構(gòu)建一套完整立體的主動防御體系.需要同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)首先.在校園網(wǎng)比較重要的網(wǎng)段中放置基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品.不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包.如果數(shù)據(jù)包與入侵檢測系統(tǒng)中的某些規(guī)則吻合.就會發(fā)出警報或者直接切斷網(wǎng)絡(luò)的連接其次.在重要的主機上(如W WW服務(wù)器,E—mail服務(wù)器,FTP服務(wù)器)安裝基于主機的入侵檢測系統(tǒng).對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審

    計日志進行智能分析和判斷.如果其中主體活動十分可疑.入侵檢測系統(tǒng)就會采取相應(yīng)措施

    2)安全訪問控制系統(tǒng)針對企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的安全威脅。必須建立整體的、卓有成效的安全策略.尤其是在訪問控制的管理與技術(shù)方面需要制定相應(yīng)的策略.以保護系統(tǒng)內(nèi)的各種資源不遭到自然與人為的破壞.維護局域網(wǎng)的安全

    3)漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)層安全問題的方法是,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具.利用優(yōu)化系統(tǒng)配置和打補丁等各種方式.最大可能地彌補最新的安全漏洞并消除安全隱患.

    4)病毒防護系統(tǒng)。企業(yè)局域網(wǎng)防病毒工作主要包括預(yù)防計算機病毒侵入、檢測侵入系統(tǒng)的計算機病毒、定位已侵入系統(tǒng)的計算機病毒、防止病毒在系統(tǒng)中的傳染、清除系統(tǒng)中已發(fā)現(xiàn)的病毒和調(diào)查病毒來源。校園網(wǎng)需建立統(tǒng)一集中的病毒防范體系.特別是針對重要的網(wǎng)段和服務(wù)器.要進行徹底堵截.

    5)防火墻系統(tǒng)。防火墻在企業(yè)局域網(wǎng)與Internet之間執(zhí)行訪問控制策略.決定哪些內(nèi)部站點允許外界訪問和允許訪問外界.從而保護內(nèi)部網(wǎng)免受非法用戶的入侵在外部路由器上設(shè)置一個包過濾防火墻,它只讓與屏蔽子網(wǎng)中的服務(wù)器、E—mail服務(wù)器、信息服務(wù)器有關(guān)的數(shù)據(jù)包通過。其他所有類型的數(shù)據(jù)包都被丟棄.從而把外界Internet對屏蔽子網(wǎng)的訪問限制在特定的服務(wù)器的范圍內(nèi).

    6)接入認證系統(tǒng)對計算機終端實行實名制度.固定IP、綁定MAC地址.結(jié)合企業(yè)門戶、辦公系統(tǒng)等管理業(yè)務(wù)系統(tǒng)的實施實行機終端接入準入制度.未經(jīng)過安全認證的計算機不能接人企業(yè)局域網(wǎng)絡(luò)

    7)電子文檔保護系統(tǒng)。企業(yè)重要信息整個生命周期(信息過程、信息操作過程、信息傳輸過程、信息存儲過程、信息銷毀過程)得到全程透明加密保護,保證只用合法的用戶才能通過認證、授權(quán)訪問涉密文件。非法用戶無法在信息的產(chǎn)生到銷毀過程的任何環(huán)節(jié)竊取、拷貝、打印、另存、涉密文件,阻斷一切可能的泄密路徑.有效防護各種主動、被動泄密事件的發(fā)生。

    8)網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)網(wǎng)絡(luò)行為監(jiān)控是指系統(tǒng)管理員根據(jù)網(wǎng)絡(luò)安全要求和企業(yè)的有關(guān)行政管理規(guī)定.對內(nèi)網(wǎng)用戶進行管理的一種技術(shù)手段.主要用于監(jiān)控企業(yè)內(nèi)部敏感文件訪問情況和敏感文件操作情況以及禁止工作人員在上班時間上網(wǎng)聊天、玩游戲、瀏覽違禁網(wǎng)站等。

    3.2企業(yè)局域網(wǎng)安全管理措施

    有了先進完善的網(wǎng)絡(luò)安全技術(shù)保護體系.如果日常的安全管理跟不上.同樣也不能保證企業(yè)網(wǎng)絡(luò)的“高枕無憂”:可以說規(guī)劃制定一套完整的安全管理措施是網(wǎng)絡(luò)安全技術(shù)保護體系的補充.它會幫助校正企業(yè)網(wǎng)絡(luò)管理上的一些常見但是有威脅性的漏洞。它主要包括以下內(nèi)容: 1)隨著企業(yè)局域網(wǎng)的不斷應(yīng)用.應(yīng)當(dāng)同步規(guī)劃網(wǎng)絡(luò)安全體系的技術(shù)更新同時.為了避免在緊急情況下.預(yù)先制定的安全體系無法發(fā)揮作用時.應(yīng)考慮采用何種應(yīng)急方案的問題應(yīng)急方案應(yīng)該事先制訂并貫徹到企業(yè)各部門.事先做好多級的安全響應(yīng)方案.才能在企業(yè)網(wǎng)絡(luò)遇到毀滅性破壞時將損失降低到最低.并能盡快恢復(fù)網(wǎng)絡(luò)到正常狀態(tài);2)扎實做好網(wǎng)絡(luò)安全的基礎(chǔ)防護工作:①服務(wù)器應(yīng)當(dāng)安裝干凈的操作系統(tǒng).不需要的服務(wù)一律不裝.同時要重視網(wǎng)絡(luò)終端的安全配置.防止它們成為黑客和病毒的跳板:②遵循“用戶權(quán)限最小化”的網(wǎng)絡(luò)配置原則.設(shè)置重要文件的訪問權(quán)限.關(guān)閉不必要的端口,專用主機只開專用功能等;③下載安裝最新的操作系統(tǒng)、應(yīng)用軟件和升級補丁對系統(tǒng)進行完整性檢查.定期檢查用戶的脆弱口令.并通知用戶盡快修改:④制定完整的系統(tǒng)數(shù)據(jù)備份計劃.并嚴格實施,確保系統(tǒng)數(shù)據(jù)庫的可靠性和完整性:3)對各類惡意攻擊要有積極的響應(yīng)措施制定詳盡的入侵應(yīng)急措施以及匯報制度。發(fā)現(xiàn)入侵跡象.盡力定位入侵者的位置,如有必要。斷開網(wǎng)絡(luò)連接在服務(wù)主機不能繼續(xù)服務(wù)的情況下.應(yīng)該有能力從備份磁盤中恢復(fù)服務(wù)到備份主機上; 4)建立完善的日志監(jiān)控措施,加強日志記錄.以報告網(wǎng)絡(luò)的異常以及跟蹤入侵者的蹤跡;(5)制定并貫徹安全管理制度。如制定計算機安全管理制度、機房管理制度、管理員網(wǎng)絡(luò)維護管理制度等.約束普通用戶等網(wǎng)絡(luò)訪問者.督促管理員很好地完成自身的工作,增強大家的網(wǎng)絡(luò)安全意識.防止因粗心大意或不貫徹制度而導(dǎo)致安全事故.尤其要注意制度的監(jiān)督貫徹執(zhí)行.否則就形同虛設(shè)。

第7篇：企業(yè)網(wǎng)絡(luò)安全保障方案范文

【關(guān)鍵詞】 醫(yī)院信息化建設(shè) IT運維與安全管理

引言：

目前，隨著信息技術(shù)的日新月異和網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的發(fā)展，醫(yī)院、企業(yè)網(wǎng)絡(luò)技術(shù)的應(yīng)用層次正在從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展。面對日趨復(fù)雜的IT系統(tǒng)，不同背景的運維人員已給企事業(yè)信息系統(tǒng)安全運行帶來較大的潛在風(fēng)險，如醫(yī)院信息系統(tǒng)是醫(yī)院日常工作的重要應(yīng)用，存儲著重要的數(shù)據(jù)資源，是醫(yī)院正常運行必不可少的組成部分，所以必須加強安全保障體系的建設(shè)。于是，堡壘機在醫(yī)院中的應(yīng)用，為醫(yī)院工作的應(yīng)用提供了安全可靠的運行環(huán)境。

傳統(tǒng)的網(wǎng)絡(luò)安全審計系統(tǒng)給醫(yī)院的的運維安全問題帶來了很多風(fēng)險，如：賬號管理無秩序，暗藏巨大隱患；粗放式權(quán)限管理的安全性難以保證；設(shè)備自身陳舊，無法審計運維加密協(xié)議、遠程桌面內(nèi)容等，從而難以有效定位安全事件。

以上所面臨的風(fēng)險嚴重破壞政府、醫(yī)院、企業(yè)等的信息系統(tǒng)安全，已經(jīng)成為其信息系統(tǒng)安全運行的嚴重隱患，尤其是醫(yī)院，將影響其效益。尤其醫(yī)院信息系統(tǒng)是一個復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實現(xiàn)。

因此在考慮安全保障體系時，必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。

如何有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問行為和敏感信息的傳播，準確掌握網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，及時發(fā)現(xiàn)違反安全策略的事件并實時告警、記錄，同時進行安全事件定位分析，事后追查取證，滿足合規(guī)性審計要求，是企事業(yè)迫切需要解決的問題，即IT運維安全管理的變革已刻不容緩！

堡壘機提供一套先進的運維安全管控與審計解決方案，它通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別，實時動態(tài)監(jiān)測通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量，發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為，實時報警響應(yīng)，全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件，實現(xiàn)對網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評估及安全事件的準確全程跟蹤定位，為整體網(wǎng)絡(luò)安全策略的制定提供權(quán)威可靠的支持。

隨著堡壘機在醫(yī)院中的應(yīng)用，其主要實現(xiàn)了以下功能：

1）賬號管理集中

堡壘機建立于唯一身份標識的全局實名制管理，支持統(tǒng)一賬號管理策略，實現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無縫連接，集中管理主賬號（普通用戶）、從賬號（目標設(shè)備系統(tǒng)賬號）及相關(guān)屬性。

2）訪問控制集中

堡壘機通過集中對應(yīng)用系統(tǒng)的訪問控制，通過對主機、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫等網(wǎng)絡(luò)中所有資源的統(tǒng)一訪問控制，確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限，實現(xiàn)集中有序的運維操作管理，防止非法、越權(quán)訪問事件的發(fā)生。

3）安全審計集中

基于唯一身份標識，堡壘機通過對用戶從登錄到退出的全程操作行為審計，監(jiān)控用戶對被管理設(shè)備的所有敏感的關(guān)鍵操作，提供分級告警，聚焦關(guān)鍵事件，能完成對醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控和對安全事件及時預(yù)警發(fā)現(xiàn)、準確可查的功能。

通過此體系監(jiān)控到的數(shù)據(jù)能對醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量、應(yīng)用提供比例、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動作情況、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡(luò)整體風(fēng)險情況等這些情況有較全面的了解。

信息安全是一個動態(tài)的過程，要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施，適應(yīng)新的網(wǎng)絡(luò)環(huán)境，M足新的網(wǎng)絡(luò)安全需求。

安全管理制度也有一個不斷完善的過程，經(jīng)過安全事件的處理和安全風(fēng)險評估，會發(fā)現(xiàn)原有的安全管理制定中存在的不足之處。根據(jù)安全事件處理經(jīng)驗教訓(xùn)和安全風(fēng)險評估的結(jié)果，對信息安全管理策略進行修改，對信息安全管理范圍進行調(diào)整。

參 考 文 獻

[1]趙瑞霞.構(gòu)建堡壘主機抵御網(wǎng)絡(luò)攻擊[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010，08.

第8篇：企業(yè)網(wǎng)絡(luò)安全保障方案范文

【關(guān)鍵詞】CA證書認證 體系設(shè)計 非功能性技術(shù)設(shè)計 內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全域 社會工程學(xué)入侵

目前大部分市區(qū)級政務(wù)信息網(wǎng)絡(luò)主要著承載政務(wù)辦公數(shù)據(jù)流系統(tǒng)、對公眾提供業(yè)務(wù)辦理等系統(tǒng)以及基本的互聯(lián)網(wǎng)訪問權(quán)限。隨著政務(wù)信息業(yè)務(wù)系統(tǒng)業(yè)務(wù)邏輯日趨復(fù)雜，體量日益龐大，在政務(wù)信息系統(tǒng)的風(fēng)險控制，安全運維成本，科學(xué)管理，方面將迎來一個全新的戰(zhàn)場。

當(dāng)前政務(wù)信息系統(tǒng)有或部分有以下問題：

區(qū)縣的相關(guān)管理、運維人員能力匱乏，網(wǎng)絡(luò)安全知識相對較落后，對全局政務(wù)網(wǎng)的硬件服務(wù)器、存儲、數(shù)據(jù)庫軟件、應(yīng)用服務(wù)器中間件、相關(guān)政務(wù)信息業(yè)務(wù)系統(tǒng)并沒有做到了如指掌不能完全駕馭全局運維與安全保障。在出現(xiàn)故障時無法從業(yè)務(wù)角度快度鎖定故障起源點，無法對故障進行深度解析并提供完整解決方案并實施。

區(qū)縣政務(wù)信息系統(tǒng)是沒有統(tǒng)一的認證授權(quán)并各自為政，無法做到訪問控制，沒有USB-KEY，CA證書認證等技術(shù)融入，病毒非常容相互間在各個系統(tǒng)中傳遞感染，重要數(shù)據(jù)岌岌可危；區(qū)縣政務(wù)網(wǎng)基本沒有全網(wǎng)的日志審計和客戶機上網(wǎng)行為管理的，各種繁雜的應(yīng)用安全系統(tǒng)設(shè)備產(chǎn)生的安全事件以及網(wǎng)絡(luò)安全行為監(jiān)控各自獨立，冗余度過高，沒有科學(xué)的審計，有效的整合，出現(xiàn)問題業(yè)務(wù)系統(tǒng)管理員根本無法防御爆炸式連鎖攻擊，安全風(fēng)險系數(shù)極高。外網(wǎng)辦公接入設(shè)備直接接入業(yè)務(wù)網(wǎng)，沒有對過程數(shù)據(jù)流進行監(jiān)察審計，業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸缺乏近乎透明傳遞，安全隱患非常嚴重。

政務(wù)信息網(wǎng)絡(luò)發(fā)生故障或者爆發(fā)大規(guī)模病毒攻擊時，無法精準鎖定攻擊源頭，從根源控制攻擊，整個處理過程也缺少科學(xué)的提高故障解決手段，缺少應(yīng)急預(yù)案，缺少專家應(yīng)急小組。

這些問題必須且毋庸置疑的解決和改善，應(yīng)采用以下技術(shù)和策略：CA證書認證體系設(shè)計，非功能性技術(shù)設(shè)計，內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全域，USB-KEY，動態(tài)短信密碼，一次性口令等方式，堵著社會工程學(xué)入侵缺口。

1 政務(wù)信息系統(tǒng)及網(wǎng)絡(luò)安全運維的實踐

實現(xiàn)終端內(nèi)外網(wǎng)統(tǒng)一接入：整合梳理辦公內(nèi)網(wǎng)和Internet網(wǎng)絡(luò)的用戶認證、訪問授權(quán)、資源權(quán)限等問題，徹底不留隱患的有效的解決辦公內(nèi)網(wǎng)的安全接入和Internet網(wǎng)絡(luò)安全接入，徹底清除未授權(quán)終端非法用戶對政務(wù)信息系統(tǒng)的存在威脅，確保了政務(wù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)在政務(wù)網(wǎng)絡(luò)中安全數(shù)據(jù)流傳輸?shù)目煽啃浴?/p>

完整的用戶行為和關(guān)鍵政務(wù)信息系統(tǒng)數(shù)據(jù)流日志審計，記錄并保留一個月以上的用戶上網(wǎng)行為是非常有必要的，在龐大的用戶痕跡日志信息中進行初步數(shù)據(jù)挖掘，能發(fā)現(xiàn)潛在的安全隱患，防患于未然，將安全隱患控制牢牢控制，并扼殺。若已發(fā)生安全事故，可迅速定位事故爆發(fā)點，妥善快速解決問題，如事故造成嚴重的財產(chǎn)損失，可提交公安機關(guān)進行取證。

定期由專業(yè)安全運維第三方服務(wù)公司提供專家級業(yè)務(wù)報告，為下一步網(wǎng)絡(luò)優(yōu)化提供建議，保障網(wǎng)絡(luò)持續(xù)、健康發(fā)展、安全：對整個被監(jiān)控網(wǎng)絡(luò)能夠提供全面安全健康狀態(tài)檢測報告。報告內(nèi)容包含客戶機非安全訪問記錄、并發(fā)數(shù)異常記錄、帶寬控制效果、攻擊發(fā)生統(tǒng)計等等。

2 政務(wù)信息系統(tǒng)及網(wǎng)絡(luò)安全運維建設(shè)

2.1 政務(wù)信息系統(tǒng)建設(shè)內(nèi)容應(yīng)涵蓋以下方面

建立覆蓋區(qū)縣政務(wù)信息系統(tǒng)所涉及的硬件服務(wù)器設(shè)備、存儲設(shè)備、核心網(wǎng)絡(luò)鏈路拓撲、政務(wù)業(yè)務(wù)系統(tǒng)結(jié)構(gòu)、數(shù)據(jù)庫并發(fā)數(shù)據(jù)鏈路流和中間件異常并況的綜合管理安全運維平臺，包括集中授權(quán)管理中心、面向業(yè)務(wù)的精確帶寬流量控制系統(tǒng)和業(yè)務(wù)服務(wù)中心，系統(tǒng)應(yīng)具備完整業(yè)務(wù)功能和良好伸縮性。

實現(xiàn)集中授權(quán)管理中心，建立集中安全管控平臺：構(gòu)建全網(wǎng)集中的用戶賬號管理、認證管理、授權(quán)管理、日志審計，為內(nèi)外網(wǎng)用戶提供統(tǒng)一的接入服務(wù)，加強內(nèi)控管理，并且為精確帶寬流量控制系統(tǒng)和業(yè)務(wù)服務(wù)管理中心提供管理控制依據(jù)。

面向業(yè)務(wù)的帶寬流量控制系統(tǒng)：構(gòu)建業(yè)務(wù)網(wǎng)絡(luò)分析、凈化、控制系統(tǒng)，進行全面的流量監(jiān)視、凈化和控制，有效提高鏈路的帶寬利用率，保障重點業(yè)務(wù)的網(wǎng)絡(luò)質(zhì)量。

2.2 CA證書認證體系設(shè)計

為切實做好政務(wù)信息系統(tǒng)安全認證工作，提高各個區(qū)縣網(wǎng)絡(luò)安全保障水平和對應(yīng)用系統(tǒng)的防護能力，建立CA證書認證體系。

遵循“建設(shè)政務(wù)信息系統(tǒng)統(tǒng)一的身份認證體系，為構(gòu)建政務(wù)網(wǎng)絡(luò)信任體系奠定基礎(chǔ)，提高應(yīng)用系統(tǒng)安全保障和防護能力”的目標，保證數(shù)據(jù)的完整性和保密性，確保用戶來源和行為的真實性和不可否認性。

2.3 內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全工作域

建立P2P構(gòu)成的虛擬安全域，確保政務(wù)信息業(yè)務(wù)應(yīng)用環(huán)境的安全性。

通過集中安全管控平臺，用戶終端無論在企業(yè)網(wǎng)內(nèi)或是在互聯(lián)網(wǎng)中，只需要能夠在網(wǎng)絡(luò)層與安全網(wǎng)關(guān)之間可達、通過身份認證后即可建立P2P VSN虛擬安全工作域，借由端到端的加密隧道與授權(quán)業(yè)務(wù)系統(tǒng)進行通信。

2.4 防止社會工程學(xué)入侵滲透

在以上的技術(shù)應(yīng)用可以阻止90%以上的黑客攻擊，但是有關(guān)信息系統(tǒng)及其網(wǎng)絡(luò)安全的問題是矛與盾永無休止的話題，事實上，沒有任何技術(shù)能防范社會工程學(xué)攻擊。這就是安全方面做薄弱的環(huán)節(jié)：人！

政務(wù)信息所有工作人員都應(yīng)該進行定期前言安全知識培訓(xùn)。

政務(wù)信息系統(tǒng)所有業(yè)務(wù)干系人都應(yīng)懂得基本的安全策略，策略是指導(dǎo)業(yè)務(wù)人員行為保護政務(wù)信息系統(tǒng)與敏感信息所必須的規(guī)則。

參考文獻

[1]張麗麗.新常態(tài)下推進“互聯(lián)網(wǎng)+政務(wù)服務(wù)”建設(shè)研究――以浙江省政務(wù)服務(wù)網(wǎng)為例[J].浙江學(xué)刊，2016（05）.

[2]馮巧玲.IPS在電子政務(wù)系統(tǒng)中的部署與實現(xiàn)[J].西安文理學(xué)院學(xué)報（自然科學(xué)版）， 2015（02）.

[3]劉邦凡，關(guān)夢穎.電子政務(wù)的信息安全立法[J].電子商務(wù)，2014（01）.

第9篇：企業(yè)網(wǎng)絡(luò)安全保障方案范文

【關(guān)鍵詞】等級保護；虛擬專網(wǎng)；VPN

1.引言

隨著因特網(wǎng)技術(shù)應(yīng)用的普及，以及政府、企業(yè)和各部門及其分支結(jié)構(gòu)網(wǎng)絡(luò)建設(shè)和安全互聯(lián)互通需求的不斷增長，VPN技術(shù)為企業(yè)提供了一種低成本的組網(wǎng)方式。同時，我國現(xiàn)行的“計算機安全等級保護”也為企業(yè)在建設(shè)信息系統(tǒng)時提供了安全整體設(shè)計思路和標準。如何充分利用VPN技術(shù)和相關(guān)產(chǎn)品，為企業(yè)提供符合安全等級保護要求、性價比高的網(wǎng)絡(luò)安全總體解決方案，是當(dāng)前企業(yè)信息系統(tǒng)設(shè)計中面臨的挑戰(zhàn)。

2.信息安全管理體系發(fā)展軌跡

對于信息安全管理問題，在上世紀90年代初引起世界主要發(fā)達國家的注意，并投入大量的資金和人力進行分析和研究。英國分別于1995年和1998年出版BS7799標準的第一部分《信息安全管理實施細則》和第二部分《信息安全管理體系規(guī)范》，規(guī)定信息安全管理體系與控制要求和實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準，是一個全面信息安全管理體系評估的基礎(chǔ)和正式認證方案的根據(jù)。國際標準化組織（ISO）聯(lián)合國際電工委員會（IEC）分別于2000年和2005年將BS7799標準轉(zhuǎn)換為ISO/IEC 17799《信息安全管理體系 實施細則》和ISO/IEC 27001《信息安全管理體系 要求》，并向全世界推廣。中國國家標準化管理委員會（SAC）于1999年了GB/T 17859《計算機信息系統(tǒng)安全保護等級劃分準則》標準，把信息安全管理劃分為五個等級，分別針對不同組織性質(zhì)和對社會、國家危害程度大小進行了不同等級的劃分，并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC 27001相對應(yīng)的GBT 22081-2008《信息安全管理體系 實用規(guī)則》和GBT 22080-2008《信息安全管理體系 要求》。

3.信息系統(tǒng)安全的等級

為加快推進信息安全等級保護，規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)，國家公安部、保密局、密碼管理局和國務(wù)院信息化工作辦公室等，于2007年聯(lián)合了《信息安全等級保護管理辦法》，就全國機構(gòu)/企業(yè)的信息安全保護問題，進行了行政法規(guī)方面的規(guī)范，并組織和開展對全國重要信息系統(tǒng)安全等級保護定級工作。同時，制訂了《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)安全等級保護測評準則》和《信息系統(tǒng)安全等級保護定級指南》等相應(yīng)技術(shù)規(guī)范（國家標準審批稿），來指導(dǎo)國內(nèi)機構(gòu)/企業(yè)進行信息安全保護。

在《信息系統(tǒng)安全等級保護基本要求》中，要求從網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運維管理、安全管理機構(gòu)等幾方面，按照身份鑒別、訪問控制、介質(zhì)管理、密碼管理、通信和數(shù)據(jù)的完整、保密性以及數(shù)據(jù)備份與恢復(fù)等具體要求，對信息流進行不同等級的劃分，從而達到有效保護的目的。信息系統(tǒng)的安全保護等級分為五級：第一級為自主保護級，第二級指導(dǎo)保護級，第三級為監(jiān)督保護級，第四級為強制保護級，第五級為?？乇Ｗo級。

針對政府、企業(yè)常用的三級安全保護設(shè)計中，主要是以三級安全的密碼技術(shù)、系統(tǒng)安全技術(shù)及通信網(wǎng)絡(luò)安全技術(shù)為基礎(chǔ)的具有三級安全的信息安全機制和服務(wù)支持下，實現(xiàn)三級安全計算環(huán)境、三級安全通信網(wǎng)絡(luò)、三級安全區(qū)域邊界防護和三級安全管理中心的設(shè)計。

圖1 三級系統(tǒng)安全保護示意圖

圖2 VPN產(chǎn)品部署示意圖

4.VPN技術(shù)及其發(fā)展趨勢

VPN即虛擬專用網(wǎng)，是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

VPN使用三個方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗證和數(shù)據(jù)加密。VPN通道的加密方式成為主要的技術(shù)要求，目前VPN技術(shù)主要包括IPSec VPN，非IPSec VPN（如PPTP，L2TP等），基于WEB的SSL VPN等。

IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障，協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過對數(shù)據(jù)加密、認證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。通過采用加密封裝技術(shù)，對所有網(wǎng)絡(luò)層上的數(shù)據(jù)進行加密透明保護。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專用網(wǎng)構(gòu)建。

SSL VPN是基于SSL協(xié)議的VPN產(chǎn)品。在企業(yè)中心部署SSL VPN設(shè)備，無需安裝客戶端軟件，授權(quán)用戶能夠從任何標準的WEB瀏覽器和互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)資源。SSL VPN產(chǎn)品最適合于遠程單機用戶與中心之間的虛擬網(wǎng)構(gòu)建。

整個VPN通信過程可以簡化為以下4個步驟：

（1）客戶機向VPN服務(wù)器發(fā)出連接請求。

（2）VPN服務(wù)器響應(yīng)請求并向客戶機發(fā)出身份認證的請求，客戶機與VPN服務(wù)器通過信息的交換確認對方的身份，這種身份確認是雙向的。

（3）VPN服務(wù)器與客戶機在確認身份的前提下開始協(xié)商安全隧道以及相應(yīng)的安全參數(shù)，形成安全隧道。

（4）最后VPN服務(wù)器將在身份驗證過程中產(chǎn)生的客戶機和服務(wù)器公有密鑰將用來對數(shù)據(jù)進行加密，然后通過VPN隧道技術(shù)進行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。

目前國外公開的相關(guān)VPN產(chǎn)品多數(shù)采用軟件加密的方式，加解密算法也多使用通用的3DES、RSA加解密算法，不符合國家密碼產(chǎn)品管理和應(yīng)用的要求。《商用密碼管理條例》（中華人民共和國國務(wù)院第273號令，1999年10月7日）第四章第十四條規(guī)定：任何單位或者個人只能使用經(jīng)國家密碼管理機構(gòu)認可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。國家密碼管理局在2009年針對VPN產(chǎn)品下發(fā)了《IPSec VPN技術(shù)規(guī)范》和《SSL VPN技術(shù)規(guī)范》，明確要求了VPN產(chǎn)品的技術(shù)體系和算法要求。

5.VPN技術(shù)在等級保護中的應(yīng)用

在三級防護四大方面的設(shè)計要求中，VPN技術(shù)可以說是在四大方面的設(shè)計要求中都有廣泛的應(yīng)用：

在安全計算環(huán)境的設(shè)計要求中：首先在實現(xiàn)身份鑒別方面，在用戶訪問的中心，系統(tǒng)管理員都統(tǒng)一建立的有用戶的用戶組和用戶名，用戶會通過VPN的設(shè)備登錄訪問中心的應(yīng)用系統(tǒng)，當(dāng)身份得到鑒別通過時才可訪問應(yīng)用系統(tǒng)；其次在數(shù)據(jù)的完整性保護和保密性保護上都能夠防止用戶的數(shù)據(jù)在傳輸過程中被惡意篡改和盜取。

在安全區(qū)域邊界的設(shè)計要求中：網(wǎng)絡(luò)邊界子系統(tǒng)的邊界控制與VPN功能一體化實現(xiàn)，在保證傳輸安全性的同時提高網(wǎng)絡(luò)數(shù)據(jù)包處理效率。

在安全通信網(wǎng)絡(luò)的設(shè)計要求中：網(wǎng)絡(luò)安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道，通過IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個應(yīng)用系統(tǒng)中邊界或部門服務(wù)器邊界的安全防護，為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的間的信息的安全傳輸提供加密、身份鑒別及訪問控制等安全機制。在客戶端和應(yīng)用服務(wù)器進出的總路由前添加網(wǎng)絡(luò)VPN網(wǎng)關(guān)，通過IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進出的數(shù)據(jù)提供加密傳輸，實現(xiàn)應(yīng)用數(shù)據(jù)的加密通信。

在安全管理中心的設(shè)計要求中：系統(tǒng)管理中，VPN技術(shù)在主機資源和用戶管理能夠?qū)崿F(xiàn)很好的保護，對用戶登錄、外設(shè)接口、網(wǎng)絡(luò)通信、文件操作及進程服務(wù)等方面進行監(jiān)視機制，確保重要信息安全可控，滿足對主機的安全監(jiān)管需要。

在信息系統(tǒng)安全等級保護設(shè)計中VPN產(chǎn)品的部署示意圖如圖2所示。