中小型企業(yè)的計算機網(wǎng)絡(luò)安全的研究目錄TOC\o"1-3"\h\u83871緒論 頁1緒論1.1研究背景1.1.1信息安全損失巨大目前伴隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用，營銷系統(tǒng)，電子商務(wù)，定資產(chǎn)系統(tǒng)，門戶，網(wǎng)絡(luò)管理系統(tǒng)等是公司正常運營所需的環(huán)境。但是，由于開放性，互操作性，各種連接方法，終端分布不均，獨特的技術(shù)缺陷和人為錯誤，侵權(quán)丟失，損壞和關(guān)鍵信息資源泄漏可能對企業(yè)造成重大損害，導(dǎo)致企業(yè)陷入困境，甚至破產(chǎn)，但他們面臨著網(wǎng)絡(luò)安全漏洞的各種威脅。根據(jù)這些數(shù)據(jù)，中國網(wǎng)絡(luò)泄漏造成的年度經(jīng)濟損失為數(shù)千億美元。超過60％的公司處于高風(fēng)險之中。信息技術(shù)的不斷發(fā)展使網(wǎng)絡(luò)資源的雙刃劍效應(yīng)越來越突出。隨著網(wǎng)絡(luò)安全威脅的不斷增加，信息安全正成為各行業(yè)信息技術(shù)建設(shè)的重中之重，例如網(wǎng)絡(luò)數(shù)據(jù)被盜，黑客攻擊，病毒泄漏，甚至是內(nèi)部漏洞。據(jù)國家安全局官員稱，63.6％的企業(yè)用戶處于“高風(fēng)險”水平，中國網(wǎng)絡(luò)泄漏造成的年度經(jīng)濟損失達數(shù)千億美元。因此，網(wǎng)絡(luò)安全技術(shù)作為一個獨特的領(lǐng)域，越來越受到各行各業(yè)的關(guān)注。1.1.2企業(yè)信息安全防護不完善安全中國的高層表示，現(xiàn)有的搜索引擎能夠在15分鐘內(nèi)保存全球網(wǎng)頁。這意味著無論您使用加密帳戶還是所謂的Intranet，只要信息被數(shù)字化并連接到Internet，它就會自動變得難以管理。針對信息安全面臨的嚴峻形勢，國家安全局和中國保險委員會要求保密信息說明“機密信息不在線，互聯(lián)網(wǎng)信息不保密”。公共信息網(wǎng)絡(luò)是物理隔離的。但是，目前許多公司信息安全措施的情況還沒有得到改善。據(jù)調(diào)查，近21.8％的國內(nèi)行業(yè)尚未采取網(wǎng)絡(luò)信息安全控制措施。在受控行業(yè)中，采用網(wǎng)絡(luò)安全和信息系統(tǒng)保護的措施只有少數(shù)幾個，癥狀尚未得到認真解決。由于不完全了解安全措施，他們只是在將安全設(shè)施進行堆積，成本高不說，安全性也不好。1.2研究思路這篇文章的研究主題是：企業(yè)網(wǎng)絡(luò)系統(tǒng)的規(guī)劃和建設(shè)，將企業(yè)的網(wǎng)絡(luò)安全規(guī)劃以及實施效果做了系統(tǒng)的分析。該論文主要由六部分組成：緒論：說明了當(dāng)前的信息安全研究背景，闡述了企業(yè)目前在信息安全方面存在哪些問題，從而明確整篇文章的研究思路；第二章：探究如今企業(yè)網(wǎng)絡(luò)信息安全的影響因素，以及存在那些危險，展示企業(yè)信息安全的現(xiàn)狀；第三章：明確目標企業(yè)當(dāng)下以及未來發(fā)展的網(wǎng)絡(luò)安全需求；第四章：為網(wǎng)絡(luò)安全制定相關(guān)戰(zhàn)略規(guī)劃并解決現(xiàn)在所面臨的挑戰(zhàn)；第五章：歸納總結(jié)，提出為日后發(fā)展方向的期許。2企業(yè)網(wǎng)絡(luò)系統(tǒng)分析2.1企業(yè)網(wǎng)絡(luò)安全因素分析2.1.1企業(yè)網(wǎng)絡(luò)安全威脅企業(yè)網(wǎng)絡(luò)安全威脅會給企業(yè)的網(wǎng)絡(luò)安全造成極大的影響。且這種影響是無法預(yù)知的。所以，當(dāng)前的企業(yè)網(wǎng)絡(luò)信息安全威脅包含以下幾點差異：第一，由一些網(wǎng)絡(luò)中的特定信息造成的威脅，比如說企業(yè)網(wǎng)絡(luò)中存在的一些加密數(shù)據(jù)。其次，存在著信息資產(chǎn)受損威脅的風(fēng)險，在集團化信息網(wǎng)絡(luò)系統(tǒng)中，存在著對系統(tǒng)弱點產(chǎn)生威脅的因素。網(wǎng)絡(luò)安全威脅主要來自兩個方面，其中最主要的就是對信息威脅。對企業(yè)信息網(wǎng)絡(luò)安全造成威脅的方式有人為和非人為兩種。2.1.2企業(yè)網(wǎng)絡(luò)安全威脅來源威脅到企業(yè)網(wǎng)絡(luò)安全的來源有很多。導(dǎo)致這種情況出現(xiàn)的原因是：第一，由外網(wǎng)造成的威脅；通過破解企業(yè)網(wǎng)絡(luò)系統(tǒng)中的漏洞給企業(yè)的信息安全造成威脅，對企業(yè)實行這種危險的人可能是企業(yè)外部的人，但也不排除有內(nèi)部的人搗鬼。因為大多數(shù)對網(wǎng)絡(luò)系統(tǒng)發(fā)起的攻擊都是蓄謀已久的，所以一定會給企業(yè)的網(wǎng)絡(luò)系統(tǒng)造成損傷，從而造成企業(yè)的商業(yè)機密和信息泄露。第二，企業(yè)內(nèi)部不安分的內(nèi)部員工造成的威脅；通常是一些想要破壞公司內(nèi)部局域網(wǎng)的員工或者是對于公司內(nèi)部局域網(wǎng)不太滿意的員工會做出這些行為，這種情況是無法預(yù)見的，企業(yè)想要阻止這種情況的發(fā)生也比較難；通常由公司內(nèi)部員工操作引起的公司網(wǎng)絡(luò)威脅是非常嚴重的，這將使企業(yè)網(wǎng)絡(luò)無法正常運行，甚至導(dǎo)致嚴重的數(shù)據(jù)丟失。物理鄰近攻擊指的是沒有經(jīng)過準許的人攻擊企業(yè)網(wǎng)絡(luò)的物理層，然后獲取或者篡改企業(yè)信息，并且修改用戶的信息訪問權(quán)限以及阻止用戶獲取信息。這種情況往往是因為不法分子調(diào)取重要信息設(shè)備并通過這些設(shè)備向企業(yè)網(wǎng)絡(luò)系統(tǒng)發(fā)起攻擊，泄露或篡改數(shù)據(jù)，破壞業(yè)務(wù)通信線路，從而影響業(yè)務(wù)網(wǎng)絡(luò)的使用。在線傳輸信息也可能會受到一定的影響。分發(fā)攻擊，攻擊者在分發(fā)過程中對網(wǎng)絡(luò)系統(tǒng)的軟硬件進行惡意修改，如在產(chǎn)品中引入惡意代碼，影響業(yè)務(wù)信息網(wǎng)絡(luò)安全；商業(yè)信息網(wǎng)絡(luò)中的分布式攻擊主要利用供應(yīng)商。當(dāng)設(shè)備處于安全分發(fā)狀態(tài)時，應(yīng)更改設(shè)備的硬件和軟件配置。內(nèi)部攻擊通常分為惡意攻擊和非故意攻擊。惡意攻擊通常是內(nèi)部員工故意破壞、濫用網(wǎng)絡(luò)信息安全達到拒絕他人訪問網(wǎng)絡(luò)的目的。非故意攻擊主要是由于工人的無知和忽視，為企業(yè)網(wǎng)絡(luò)系統(tǒng)配置防火墻訪問控制等參數(shù)，限制了公司骨干進行訪問。其次，惡意破壞網(wǎng)絡(luò)系統(tǒng)中的設(shè)備和傳輸路徑，影響網(wǎng)絡(luò)系統(tǒng)的使用。第三，員工的好奇心或技術(shù)嘗試等因素導(dǎo)致不良的配置設(shè)置導(dǎo)致網(wǎng)絡(luò)系統(tǒng)的破壞，這種行為是最難預(yù)防和控制的。2.2企業(yè)安全現(xiàn)狀及原因分析2.2.1物理方面的安全現(xiàn)狀及原因分析物理安全問題主要發(fā)生在物理環(huán)境、設(shè)備和介質(zhì)中。目前主要的安全問題是：首先，網(wǎng)絡(luò)系統(tǒng)中的計算機和服務(wù)器易受攻擊，系統(tǒng)本身存在安全隱患；其次，公司網(wǎng)絡(luò)系統(tǒng)中物理設(shè)備和電路的問題，環(huán)境中的電磁波泄漏以及設(shè)備和電路管理的問題在網(wǎng)絡(luò)系統(tǒng)中時有發(fā)生。最后，環(huán)境中的漏洞也是導(dǎo)致安全隱患的一種因素。例如，由于機房的管理問題，機房內(nèi)的火災(zāi)或搶劫未完成，媒體和數(shù)據(jù)丟失或被盜。這里要提到的是損壞等。如果媒體管理存在問題，或者如果破壞媒體的過程存在問題，則網(wǎng)絡(luò)媒體上存在的信息可能被泄露或被惡意復(fù)制，導(dǎo)致企業(yè)自身經(jīng)濟損失。這需要在這一領(lǐng)域進行更多投資和升級。2.2.2網(wǎng)絡(luò)安全現(xiàn)狀及問題分析當(dāng)今社會，許多網(wǎng)絡(luò)安全問題會阻礙公司的正常運營。及時有相關(guān)網(wǎng)絡(luò)協(xié)議的約束，但網(wǎng)絡(luò)協(xié)議的設(shè)計并不完善，使得網(wǎng)絡(luò)協(xié)議本身就帶有一定程度的隱患。在網(wǎng)絡(luò)攻擊中，黑客經(jīng)常利用網(wǎng)絡(luò)協(xié)議中的漏洞來攔截網(wǎng)絡(luò)通信。主要方法是攻擊前檢測和竊聽。一些網(wǎng)絡(luò)攻擊者甚至可能發(fā)起IP欺詐和篡改。如圖2.1所示，除了拒絕服務(wù)攻擊和其他緊急網(wǎng)絡(luò)系統(tǒng)損壞外，ICMP還有相關(guān)的異常消息來攔截交通活動，這些犯罪方法不斷更新結(jié)果，網(wǎng)絡(luò)協(xié)議帶來的問題也在增加。邊界訪問控制安全對網(wǎng)絡(luò)安全也非常重要:它可以幫助繞過訪問權(quán)限，允許問題用戶直接通過控制區(qū)域控制網(wǎng)絡(luò)的敏感部分。在工作中，要區(qū)分好有不同需求的用戶，這樣可以監(jiān)控用戶的非法上網(wǎng)行為，避免信息流的瓶頸，實現(xiàn)網(wǎng)絡(luò)性能的保障。主要關(guān)注點如下：圖2.1異常報文首先，引入互聯(lián)網(wǎng)。經(jīng)過多年的網(wǎng)絡(luò)體系建設(shè)，中國企業(yè)形成的網(wǎng)絡(luò)規(guī)模相對穩(wěn)定，網(wǎng)絡(luò)安全體系相對到位。用戶的網(wǎng)絡(luò)行為管理和安全審計控制機制也在不斷增強。企業(yè)安全管理要求要求企業(yè)內(nèi)部網(wǎng)絡(luò)的用戶通過集成接口部署局域網(wǎng)。這也是為了確保出口的統(tǒng)一管理。在某些地區(qū)，網(wǎng)絡(luò)接入是通過ADSL本身完成的。這些用戶的網(wǎng)絡(luò)權(quán)利被有效地審查和不受檢查，這增加了黑客攻擊和病毒傳播的路徑，增加了企業(yè)網(wǎng)絡(luò)的風(fēng)險。無論公司多么完善，無論制定相關(guān)安全策略多么科學(xué)合理，都不能完全阻止ADSL的訪問行為。如果無法完全實現(xiàn)Internet的集中管理，則無法完全保證網(wǎng)絡(luò)系統(tǒng)的安全性。只要存在漏洞，就會出現(xiàn)問題。如圖2.2所示，系統(tǒng)存在OPENSSH漏洞，Oracle版本漏洞，Weblogic漏洞等。圖2.2漏洞訪問控制網(wǎng)絡(luò)的限制。在規(guī)劃建設(shè)業(yè)務(wù)網(wǎng)絡(luò)的約束下，企業(yè)更加關(guān)注網(wǎng)絡(luò)安全。為了達到邊界控制系統(tǒng)的標準，網(wǎng)絡(luò)系統(tǒng)應(yīng)按照現(xiàn)有的交換機配置策略展開。對交換設(shè)備進行復(fù)雜的訪問控制很難實現(xiàn)，這會進一步干擾對網(wǎng)絡(luò)系統(tǒng)的接入，導(dǎo)致相關(guān)服務(wù)或訪問控制無法使用，導(dǎo)致操作首先。因為這些情況會給內(nèi)部網(wǎng)絡(luò)服務(wù)器和公司安全管理帶來困難，所以需要進一步完善相關(guān)措施?，F(xiàn)在我國接入業(yè)務(wù)網(wǎng)絡(luò)的困難有很多：一是硬件設(shè)備更新的需要，業(yè)務(wù)網(wǎng)絡(luò)的寬帶一般為100M，企業(yè)上網(wǎng)的防火墻限制外部應(yīng)用的使用。但是如果防火墻升級不及時，業(yè)務(wù)用戶使用網(wǎng)絡(luò)會受到影響，對業(yè)務(wù)頁面的影響也會影響到客戶服務(wù)系統(tǒng)的運行。二是周邊沒有得到充分的保護（見圖2.3）；當(dāng)應(yīng)用服務(wù)器連接到核心交換機時，核心交換機已經(jīng)存在于業(yè)務(wù)網(wǎng)絡(luò)中。當(dāng)黑客攻擊網(wǎng)絡(luò)系統(tǒng)時，數(shù)據(jù)丟失或泄露，本就艱難的環(huán)境變得雪上加霜，因此邊界保護對于網(wǎng)絡(luò)系統(tǒng)的安全意義重大。第三，缺乏訪問的監(jiān)督控制；公司內(nèi)網(wǎng)中缺少訪問限制，給網(wǎng)絡(luò)入侵提供了可趁之機，從而對公司的網(wǎng)絡(luò)安全產(chǎn)生影響。第四，不存在公司二級部門核心網(wǎng)和辦公網(wǎng)之間的訪問控制。辦公網(wǎng)絡(luò)中的病毒很大可能會影響核心網(wǎng)絡(luò)，導(dǎo)致核心網(wǎng)絡(luò)的奔潰。圖2.3網(wǎng)絡(luò)脆弱部署盡管目前企業(yè)網(wǎng)絡(luò)中存在防火墻用來監(jiān)控網(wǎng)絡(luò)異常，但面對內(nèi)部風(fēng)險防火墻形同虛設(shè)，主要是用來阻擋外在攻擊。因此，對流量的使用情況進行檢測的意義就凸顯出來了。當(dāng)前的網(wǎng)絡(luò)環(huán)境黑客甚行，各種流量形式可謂是多如牛毛（見圖2.4）。因此，在監(jiān)控異常流量后，可以了解當(dāng)前非法訪問網(wǎng)絡(luò)系統(tǒng)的方式，從而提高網(wǎng)絡(luò)的健康狀況。這種情況有更深入的訪問，并且可以及時使用這些信息來解決問題，避免不利影響的不斷蔓延。對企業(yè)網(wǎng)絡(luò)異常流量的監(jiān)控，主要表現(xiàn)在以下幾個方面：一是企業(yè)互聯(lián)網(wǎng)上的網(wǎng)絡(luò)流量還沒有形成有效的監(jiān)管和預(yù)防體系，外在因素導(dǎo)致的異常流量難以控制和阻止。二是企業(yè)互聯(lián)網(wǎng)出口內(nèi)部沒有流量分析和控制機制，導(dǎo)致出口處流量浪費嚴重。三是業(yè)務(wù)網(wǎng)絡(luò)內(nèi)沒有監(jiān)控異常流量的核心要素，通過網(wǎng)絡(luò)傳播的惡意動機和次級病毒將對企業(yè)核心網(wǎng)絡(luò)產(chǎn)生重大影響。第四，沒有監(jiān)控和保護企業(yè)網(wǎng)絡(luò)中的異常流量，因此不進行監(jiān)控。圖2.4異常流量通過業(yè)務(wù)網(wǎng)絡(luò)遠程訪問安全風(fēng)險。該風(fēng)險主要源于公司的OA系統(tǒng)。辦公自動化作為業(yè)務(wù)應(yīng)用程序的重要性不容小覷。但OA系統(tǒng)缺少網(wǎng)絡(luò)安全措施，有效擴展存在諸多問題，缺乏行之有效的解決辦法。集團內(nèi)部系統(tǒng)目前在公司員工外出時以靜態(tài)密碼模式運行，人事系統(tǒng)同樣如此，這會導(dǎo)致非法訪問外部用戶的注冊信息，盜用賬號信息。這種行為發(fā)生的概率相對較高。網(wǎng)絡(luò)設(shè)備風(fēng)險分析業(yè)務(wù)網(wǎng)絡(luò)中使用的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備非常的多，接入設(shè)備的安全防范等級或多或少的對業(yè)務(wù)網(wǎng)絡(luò)有所影響。比如說：如果網(wǎng)絡(luò)中路由設(shè)備的配置存在問題，則無法有效防止IP欺騙等操作，RW的默認值用于網(wǎng)絡(luò)設(shè)備，SNMPV2本身的安全驗證功能不高?？赡苄韵鄬^大，導(dǎo)致綁定到連接的設(shè)備和異常流量。如果備份設(shè)備不足，則整個內(nèi)部網(wǎng)絡(luò)將無法運行。對企業(yè)網(wǎng)絡(luò)中連接設(shè)備的弱密碼管理可能會導(dǎo)致交換設(shè)備在受到入侵或拒絕服務(wù)攻擊的危害后停止正常工作。這不可避免地影響企業(yè)網(wǎng)絡(luò)的運營。2.2.3系統(tǒng)安全現(xiàn)狀及問題分析目前，現(xiàn)有計算機操作系統(tǒng)存在安全漏洞。對于廣泛使用的操作系統(tǒng)，安全漏洞也是一個更公開的秘密，因此它們也針對系統(tǒng)漏洞。如果系統(tǒng)中存在配置問題，并且您無法正確處理隱藏的風(fēng)險，則會出現(xiàn)新的漏洞。企業(yè)網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)主要是Windows。有必要關(guān)注現(xiàn)有的漏洞。隨著操作系統(tǒng)的不斷升級，應(yīng)該改進安全問題。目前，操作系統(tǒng)已升級到Windows10，系統(tǒng)的穩(wěn)定性也在不斷提高。但是，其中仍然存在一些漏洞，尤其是舊系統(tǒng)，這需要極大的關(guān)注。表2.1Windows存在安全隱患安全隱患具體說明安全系統(tǒng)隱患網(wǎng)絡(luò)在線安裝通過admin進入主機后，該服務(wù)自動運行，并且有更多易受感染的漏洞FAT32文件格式此文件格式對于用戶的文件訪問不能夠起到限制的作用共用分區(qū)操作系統(tǒng)和應(yīng)用程序系統(tǒng)共享分區(qū)，這可能導(dǎo)致操作系統(tǒng)中的文件損壞缺省安裝在安裝操作系統(tǒng)時會自動進行IIS、DHCP等的安裝，存在安全風(fēng)險系統(tǒng)補丁不全系統(tǒng)安全補丁的更新不及時，會給病毒或者黑客入侵的機會系統(tǒng)運行隱患默認共享在系統(tǒng)中進行運行時，會進行共享文件的自動創(chuàng)建，而這種文件是隱藏的默認服務(wù)默認服務(wù)中系統(tǒng)會開啟很多有安全風(fēng)險的服務(wù)安全策略在一般情況下，系統(tǒng)的安全策略起到的效果極為有限管理員賬號Admin用戶的賬號不能停用，用戶賬號口令過于簡單會使得系統(tǒng)存在一定的運行風(fēng)險頁面文件頁面文件中的敏感資料和信息會導(dǎo)致系統(tǒng)重要信息的泄漏共享文件在系統(tǒng)默認情況下，每個用戶對新創(chuàng)建的文件都有訪問并且控制的權(quán)力WEB服務(wù)系統(tǒng)中自帶的IIS服務(wù)等本身存有風(fēng)險，而由此導(dǎo)致系統(tǒng)遭受攻擊的可能大大增加計算機操作系統(tǒng)中的安全問題需要花費更多精力來處理終端安全風(fēng)險。反病毒系統(tǒng)可以通過反病毒管理部署在企業(yè)中，而反病毒服務(wù)器則放置在核心計算機房中。部署企業(yè)桌面防病毒系統(tǒng)存在許多技術(shù)限制，軟件部署速率太低。因此，不可能暫時掌握終端的中毒情況，并且掌握整個網(wǎng)絡(luò)的病毒狀態(tài)的程度不足。系統(tǒng)的實際使用中，它可以配合主機的訪問請求，當(dāng)殺毒軟件中不存在的終端連接到網(wǎng)絡(luò)后，網(wǎng)絡(luò)指令功能會在終端上執(zhí)行所需的防病毒軟件，并及時更新殺毒軟件。類似地，可以使用補丁管理。如果在內(nèi)網(wǎng)計算機上不進行補丁安裝或在線更新，則會導(dǎo)致網(wǎng)絡(luò)病毒感染對象轉(zhuǎn)換為該漏洞。因此，您需要通過Microsoft在線升級設(shè)備。這將導(dǎo)致消耗大量的導(dǎo)出帶寬，并且一些輔助設(shè)備已經(jīng)部署了WSUS服務(wù)器，但是系統(tǒng)的作用還沒有被證明是有效的。通過引入終端審計機制，即使安裝了防病毒軟件和系統(tǒng)補丁，主機也能夠連接到網(wǎng)絡(luò)，風(fēng)險也大大降低了。隨著互聯(lián)網(wǎng)上設(shè)備數(shù)量的不斷增加，出現(xiàn)了越來越多的安全問題。這些安全問題是企業(yè)網(wǎng)絡(luò)管理存在的巨大漏洞，沒有對網(wǎng)絡(luò)終端的運行進行集中管理。平臺使得這些漏洞難以修復(fù)。目前，企業(yè)缺乏非法出站主機的監(jiān)控機制，因此自身存在的問題將給整個企業(yè)網(wǎng)絡(luò)帶來一定的風(fēng)險。2.2.4應(yīng)用安全現(xiàn)狀及問題分析企業(yè)的應(yīng)用安全狀況首先是惡意代碼的存在。在企業(yè)網(wǎng)絡(luò)中，在保護PC免受病毒侵害的同時，有必要保護病毒免受整個網(wǎng)絡(luò)的攻擊，否則將會使所有方面都處于攻擊位置。例如，在郵件，服務(wù)器等方面增加，還需要做反病毒，可以在實現(xiàn)更科學(xué)，合理和有效的部署方面發(fā)揮真正的作用。企業(yè)郵件服務(wù)器的保護機制相對較少。如圖2.5所示，當(dāng)前郵件服務(wù)器接受的大多數(shù)郵件主要是垃圾郵件和病毒。因此，這不可避免地影響郵件服務(wù)器性能。如今，公司不再依賴傳統(tǒng)的商業(yè)模式，因此他們專注于信息的方向。因此，在信息化建設(shè)過程中，必須保證信息系統(tǒng)的安全性，不斷提高計算機化程度。商業(yè)信息的安全治理也開始了一個新的發(fā)展階段，而不是單邊發(fā)展。企業(yè)在業(yè)務(wù)系統(tǒng)中有許多非常重要的應(yīng)用程序。因此，這些應(yīng)用程序自然決定了企業(yè)的未來發(fā)展。因此，企業(yè)必須更合理地使用這些應(yīng)用程序，他們需要在幾個關(guān)鍵系統(tǒng)中多加注意。在信息系統(tǒng)的建設(shè)和使用過程中，包括網(wǎng)絡(luò)在內(nèi)的環(huán)境因素對企業(yè)的運行有一定的影響。因此，必須充分重視商業(yè)信息系統(tǒng)的安全，理順網(wǎng)絡(luò)系統(tǒng)的實施。增加以防止損失增加。目前，網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險主要包括:缺乏對用戶訪問內(nèi)容和操作行為的監(jiān)控機制;在隨后的取證中，它是空白的；潛在風(fēng)險非常脆弱。圖2.5垃圾郵件2.2.5網(wǎng)絡(luò)安全管理體系現(xiàn)狀分析單方面重新安置的作用當(dāng)然不足以在安全產(chǎn)品中發(fā)揮更大作用。因此，有必要增加一種更適合、更科學(xué)的管理方式，關(guān)注安全系統(tǒng)的實際情況。目前運營安全管理面對的主要痛點包括以下方面：（1）缺少動態(tài)防護管理中心，無法實時監(jiān)控網(wǎng)絡(luò)，跟不上網(wǎng)絡(luò)漏洞。（2）硬件設(shè)備、數(shù)據(jù)庫等沒有專門的安全管理員，因此有必要實時更新帳戶和密碼。（3）投資不足，建設(shè)安全體系必須完全實現(xiàn)管理體制，認識必須共存。當(dāng)然，提高安全意識需要開發(fā)安全知識以實現(xiàn)最終目標。（4）管理體系不全面和完整，在事件響應(yīng)方面過于被動。如果沒有網(wǎng)絡(luò)操作和維護機制，則網(wǎng)絡(luò)檢查將為空。（5）如果您沒有信息管理平臺，則無法在信息管理平臺上使用它。特殊管理，規(guī)劃平臺監(jiān)控和審計，實時驗證失敗，以及無法定期分析報告工作，網(wǎng)絡(luò)安全管理的作用尚未得到充分證明。3中小企業(yè)網(wǎng)絡(luò)系統(tǒng)安全需求分析3.1中小企業(yè)網(wǎng)絡(luò)系統(tǒng)概述武漢邁思通信科技有限公司是一家從事通訊設(shè)備零售,安防產(chǎn)品零售,計算機軟零售等業(yè)務(wù)的公司，成立于2015年06月17日，為企業(yè)提供網(wǎng)絡(luò)與通信系統(tǒng)解決方案，擁有自建的NGN通信系統(tǒng)，并被中國移動、中國電信認定為特別代理商，為客戶提供由桌面到運營商全套解決方案，如金融、醫(yī)療、酒店、學(xué)校、公安、電力等。在整個網(wǎng)絡(luò)結(jié)構(gòu)中，企業(yè)由核心層、接入層和聚合層組成。第一核心層由6個核心節(jié)點組成，采用雙系統(tǒng)備份的方式進行保護。主層是業(yè)務(wù)協(xié)議和轉(zhuǎn)換的次要部分，它使用星形單上行連接到核心交換機。根據(jù)網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)規(guī)模的不同，核心交換機可以分為不同類型。由于業(yè)務(wù)是支撐企業(yè)運營的根本，對網(wǎng)絡(luò)性能的要求也隨之上漲?；诖耍W(wǎng)絡(luò)協(xié)議和路由協(xié)議的安全性能得以保障。3.2中小企業(yè)網(wǎng)絡(luò)系統(tǒng)的運行情況在企業(yè)的網(wǎng)絡(luò)運營中，每個系統(tǒng)在企業(yè)的各個方面都發(fā)揮著獨特的作用，體現(xiàn)在下述幾個層面：專用于生產(chǎn)和管理的生產(chǎn)業(yè)務(wù)應(yīng)用（如圖3.1所示），包括生產(chǎn)排程、BSS管理系統(tǒng)、EDA管理系統(tǒng)、OSS系統(tǒng)和OA系統(tǒng)。EDA應(yīng)用程序在公司中使用，可以更輕松、更高效地交換信息。在EDA的應(yīng)用中，能夠加強生產(chǎn)與管理間的連接并且可以相互共享信息，確?？蛻艨梢栽诘谝粫r間獲得相關(guān)信息，這是為了企業(yè)要經(jīng)營。效率提升效果明顯。隨著企業(yè)網(wǎng)絡(luò)系統(tǒng)的不斷發(fā)展，其功能不斷發(fā)展，許多業(yè)務(wù)任務(wù)變得更加高效。企業(yè)辦公自動化系統(tǒng)顯著改善了企業(yè)員工網(wǎng)絡(luò)化辦公環(huán)境的優(yōu)化，并提供了大量的辦公專業(yè)化，以確保內(nèi)部通信與企業(yè)之間的辦公自動化管理。該水平還改善了中間環(huán)節(jié)和人工操作中的許多問題，完全實現(xiàn)了無紙化辦公，降低了公司的運作程度，大大提高了運營效率。企業(yè)辦公自動化系統(tǒng)（OA）的實施是為了滿足企業(yè)信息化改革和總體發(fā)展要求，以促進企業(yè)不同部門之間的文件傳輸和信息交換。企業(yè)集成信息服務(wù)系統(tǒng)利用現(xiàn)代信息技術(shù)優(yōu)化和整合企業(yè)的所有業(yè)務(wù)活動，建立基于Internet和Intranet的集成用戶信息資源，以及企業(yè)生產(chǎn)業(yè)務(wù)信息結(jié)合。構(gòu)建信息服務(wù)網(wǎng)絡(luò)的目標是提高服務(wù)質(zhì)量，為用戶帶來更好的服務(wù)體驗，保證服務(wù)的全面性，為企業(yè)發(fā)展帶來更多的機會。在計算機應(yīng)用中，企業(yè)計算機管理主要表現(xiàn)在性能，安全監(jiān)管，人力資源，財產(chǎn)和辦公用品等方面。因此，通過計算機管理這些方面可以促進企業(yè)的生產(chǎn)。企業(yè)的發(fā)展帶來了更好的促銷效果，可以使企業(yè)員工在工作中更加方便，但在提高便利性的同時，企業(yè)網(wǎng)絡(luò)的安全風(fēng)險也在不斷增加。圖3.1組織構(gòu)架3.3中小企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全需求在企業(yè)網(wǎng)絡(luò)系統(tǒng)研究中，安全四大域分為互聯(lián)域、辦公域、接入域和服務(wù)器域。接入域結(jié)合出口防火墻，將出口防火墻分為外部和內(nèi)部互聯(lián)網(wǎng)集成接口，與其他區(qū)域分離，被視為外部對接域。該組的核心網(wǎng)需求層被認為是一個內(nèi)部互連域。辦公部門主要包括企業(yè)和二級企業(yè)組成。它包含許多子安全域。我們以核心應(yīng)用服務(wù)器的子域為例。它由不同的服務(wù)器組成，如財務(wù)、人力資源、OA服務(wù)器。核心區(qū)防火墻用于區(qū)域的分離，通過邊界防火墻將二級扇區(qū)服務(wù)器的子域與輔助本地網(wǎng)絡(luò)區(qū)域和企業(yè)網(wǎng)絡(luò)區(qū)域的安全隔離。有了安全管理系統(tǒng)，企業(yè)必須不斷創(chuàng)新，并且通過不斷的實踐，有必要逐步完善先進的管理方法和標準。3.3.1互聯(lián)域的安全需求分析用戶使用數(shù)據(jù)中心的核心網(wǎng)絡(luò)連接數(shù)據(jù)中心網(wǎng)絡(luò)。用戶可以從災(zāi)難恢復(fù)中心的核心網(wǎng)通過internet進行。基于此，遠程防火墻的作用是控制對有權(quán)訪問網(wǎng)絡(luò)的數(shù)據(jù)信息的訪問。外部互連域的安全要求：其中之一是出口要求的統(tǒng)一。目前，公司和分支機構(gòu)主要通過互聯(lián)網(wǎng)上的兩個銷售點進行連接，這給網(wǎng)絡(luò)系統(tǒng)帶來了安全風(fēng)險。其次，由于對冗余設(shè)備的需求只是當(dāng)前網(wǎng)絡(luò)執(zhí)行的防火墻，如果防火墻出現(xiàn)問題，整個網(wǎng)絡(luò)就會成為威脅。第三，如果單點故障處于當(dāng)前網(wǎng)絡(luò)防火墻的邊界，它也可以當(dāng)做路由器使用。也就是說，防火墻阻礙了用戶使用網(wǎng)絡(luò)，這不可避免地對企業(yè)的業(yè)務(wù)運營產(chǎn)生一些影響，導(dǎo)致意外損失。3.3.2內(nèi)部互聯(lián)域的安全需求分析數(shù)據(jù)中心和災(zāi)難恢復(fù)中心的交換機通過路由連接，交換機與企業(yè)和子網(wǎng)之間的核心交換機通過交換機互連。這種多層連接方案可以更有效地實現(xiàn)數(shù)據(jù)傳輸?shù)哪康?。?nèi)部互連域有三個主要的安全要求。首先，您需要更改網(wǎng)絡(luò)連接協(xié)議。目前，總部和分支機構(gòu)之間的核心交換機連接分為兩層，網(wǎng)關(guān)用于核心交換機，因為它們是在核心交換機上配置的。操作壓力相對較高，如果分支機構(gòu)受企業(yè)網(wǎng)絡(luò)系統(tǒng)中的病毒影響，當(dāng)核心交換機的性能顯著降低時，企業(yè)網(wǎng)關(guān)就處于危險之中。因此，不可避免地，公司的正常運作會承受很大的損失。網(wǎng)絡(luò)病毒在企業(yè)核心交換機和機構(gòu)以及網(wǎng)絡(luò)上都會產(chǎn)生。接下來，部署安全策略以實現(xiàn)內(nèi)部互連域安全性的基本目的。第三，我們需要注意傳輸?shù)陌踩?，以確保內(nèi)部通信和信息交換的安全性。3.3.3辦公域的安全需求分析公司辦公域的終端包含了廣泛的安全要求，因此必須滿足以下安全要求：第一，用戶安全要求；主運營商用戶安全、業(yè)務(wù)用戶安全，前一個性能最高，最終由公司負責(zé)信息系統(tǒng)。因此，在開發(fā)業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)時，測試網(wǎng)管的政治和技術(shù)素質(zhì)非常重要，以不斷提高員工的能力并解決公司的網(wǎng)絡(luò)安全問題。進行配置調(diào)整，以確保每一步工作的完整安全。業(yè)務(wù)用戶安全性需要在管理員權(quán)限下訪問和使用公司網(wǎng)絡(luò)資源。必須嚴格禁止資源的使用和權(quán)利的披露。業(yè)務(wù)人員必須接受足夠的安全培訓(xùn)，確保公司網(wǎng)絡(luò)安全。其次，網(wǎng)絡(luò)的防病毒安全要求，公司內(nèi)部終端安裝了相應(yīng)的網(wǎng)絡(luò)殺毒軟件，但當(dāng)客戶的殺毒軟件滲透到系統(tǒng)時，監(jiān)控機制的設(shè)置保持不變。當(dāng)它不能發(fā)揮足夠的作用時，用戶和網(wǎng)絡(luò)管理員將無法及時發(fā)現(xiàn)它，從而影響客戶，危及內(nèi)部網(wǎng)絡(luò)的安全。3.3.4接入域與服務(wù)器域的安全需求分析公司接入域以二級交換機為主，因機型而異，本身性能差距較大，但很多部門還沒有配備智能設(shè)備。無法滿足隔離病毒和增加網(wǎng)絡(luò)安全威脅的作用。公司中的大多數(shù)服務(wù)器都配置在防火墻后面。關(guān)注安全策略的規(guī)劃，執(zhí)行防病毒軟件更新以及定期修復(fù)系統(tǒng)漏洞。及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全問題并使用備份策略來防止數(shù)據(jù)丟失。4中小企業(yè)網(wǎng)絡(luò)安全策略4.1明確安全策略企業(yè)網(wǎng)絡(luò)安全的重要任務(wù)是制定必須在固定環(huán)境下實施的安全策略。需要一定的安全級別，并且必須遵循一定的規(guī)則。許多科學(xué)家試圖以統(tǒng)一的方式解決安全問題，但這是不可能的。只有經(jīng)過慎重考慮的安全計劃您才需要充分了解您的保護意愿。更深入地了解保護工具和可以保護的內(nèi)容可以被視為一種有效的安全策略。網(wǎng)絡(luò)安全戰(zhàn)略是企業(yè)網(wǎng)絡(luò)安全的早期領(lǐng)導(dǎo)者。這使公司能夠理解保護其網(wǎng)絡(luò)所需的策略。一般來說，網(wǎng)絡(luò)安全策略的范圍有兩個方面:一般策略和具體管理規(guī)則?？傮w戰(zhàn)略是建立一個企業(yè)網(wǎng)絡(luò)安全框架和指導(dǎo)計劃。這種分析，以及設(shè)備中使用的人力和物力資源需要制定相關(guān)的學(xué)科方法和具體措施，總體安全戰(zhàn)略是企業(yè)安全的總體看法它將被呈現(xiàn)，因此不代表具體的實施方向。在整體安全戰(zhàn)略的總體規(guī)劃下，需要制定具體的安全管理計劃，使安全技術(shù)機制和管理戰(zhàn)略的實施更加有效，使這一戰(zhàn)略更加明確，發(fā)揮應(yīng)有的作用。4.1.1企業(yè)的整體安全策略制定要制定公司的整體安全戰(zhàn)略，有必要根據(jù)具體目標分配相應(yīng)的人力和物力資源，以實現(xiàn)這一目標。對于公司的管理層來說，這個安全政策的制定通常是由公司高層的員工來決定的。它也是企業(yè)PC安全規(guī)劃和安全保護的框架。在這部分開發(fā)中，主要是技術(shù)人員的設(shè)計、管理決策和相關(guān)的安全經(jīng)理審查戰(zhàn)略和項目分配。4.1.2制定網(wǎng)絡(luò)系統(tǒng)的相關(guān)策略業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的總體策略應(yīng)規(guī)定具體的安全措施，具有如下表征：第一，信息的機密性、完整性、可用性和顯著性的安全策略。制定不同的威脅管理策略，為網(wǎng)絡(luò)系統(tǒng)和應(yīng)用程序的配置和管理奠定基礎(chǔ)。只有制定了合理、科學(xué)的安全策略，系統(tǒng)才能更好地發(fā)揮作用，最終才能更合理、更安全地使用信息系統(tǒng)資源，解決方案才能更有效，將真正的損失降到最低。其次，制定明確用戶權(quán)利和責(zé)任的網(wǎng)絡(luò)安全政策。應(yīng)充分關(guān)注系統(tǒng)管理員、資源訪問權(quán)限、密碼應(yīng)用等，做好戰(zhàn)略規(guī)劃。第三，企業(yè)的網(wǎng)絡(luò)安全戰(zhàn)略必須具備安全保障。就安全保護而言，有必要建立一套完整的事故處理和跟蹤機制。4.1.3選擇的網(wǎng)絡(luò)安全策略根據(jù)OSI7層模型，網(wǎng)絡(luò)安全策略有六點：第一，物理安全策略，這個策略能夠防止計算機系統(tǒng)、通信鏈路等硬件和軟件遭到自然災(zāi)害的損害。安全管理系統(tǒng)不斷改進，消除了未經(jīng)授權(quán)進入計算機控制室的情況，使得竊取或破壞數(shù)據(jù)信息變得困難。該安全策略的主要問題是控制和防止電磁泄漏。第二，數(shù)據(jù)鏈路層的安全策略，劃分虛擬局域網(wǎng)，加密通信和加密信息，使用一種方法確保網(wǎng)絡(luò)鏈路上的竊聽或攔截安全數(shù)據(jù)傳輸，保護網(wǎng)絡(luò)中的數(shù)據(jù)。網(wǎng)絡(luò)上保護信息和密碼系統(tǒng)的主要方法有鏈路加密、端口加密等，最常用的方法是節(jié)點加密。三是網(wǎng)絡(luò)投訴的安全政策。低級網(wǎng)絡(luò)安全是保護授權(quán)用戶，保證網(wǎng)絡(luò)系統(tǒng)路由的準確性，防止被檢查或攔截的權(quán)限。防火墻在網(wǎng)絡(luò)系統(tǒng)的邊界構(gòu)建網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，隔離內(nèi)外網(wǎng)。對外網(wǎng)的保護主要是防火墻的形式，主要有包過濾、代理和雙主機等類型。公司的防火墻主要是包過濾。第四，系統(tǒng)的安全策略；在保護系統(tǒng)時，應(yīng)安全、正確地配置操作系統(tǒng)，以提高系統(tǒng)性能，不得泄露系統(tǒng)的主要信息。系統(tǒng)的安全水平正在不斷提高。在應(yīng)用開發(fā)中，要不斷完善標準化，減少應(yīng)用中存在的問題。在網(wǎng)絡(luò)服務(wù)器和設(shè)備上，為了使設(shè)備的設(shè)置不同，需要使用來自多個制造商的產(chǎn)品。提升網(wǎng)絡(luò)安全等級。第五，網(wǎng)絡(luò)安全管理策略；一是安全管理的水平和程度，網(wǎng)絡(luò)安全領(lǐng)域規(guī)則的建立和計算機空間輸入輸出的管理機制，以及相關(guān)網(wǎng)絡(luò)系統(tǒng)的開發(fā)和維護手段，以實現(xiàn)安全管理有效可行。4.2建立網(wǎng)絡(luò)安全模型是保護和控制系統(tǒng)安全。主網(wǎng)絡(luò)安全模型如圖4.1所示：圖4.1網(wǎng)絡(luò)安全模型PPDR模型的構(gòu)成主要有4個：第一，策略；在安全策略的指導(dǎo)下進行保護，檢測和響應(yīng)。該戰(zhàn)略由開發(fā)、評價和實施三部分組成。因此，網(wǎng)絡(luò)安全策略主要包括整體安全策略和具體安全規(guī)則方面。第二，保護；該模型的重點是保護，它可以根據(jù)系統(tǒng)中發(fā)生的安全問題來使用，從而可以防止和控制攻擊者的入侵，從而可以有效地減少網(wǎng)絡(luò)入侵，提升殺毒軟件、數(shù)據(jù)加密和認證技術(shù)。第三，測試。模型的第二部分是檢測。安全系統(tǒng)可保證大多數(shù)闖入行為被阻止。檢測是網(wǎng)絡(luò)安全策略的第二個保證。當(dāng)入侵發(fā)生時，行為被檢測到，這就是入侵檢測系統(tǒng)所做的。保護的作用是修復(fù)系統(tǒng)網(wǎng)絡(luò)中的漏洞，提高系統(tǒng)安全性能，有效杜絕攻擊和入侵。檢測不是在網(wǎng)絡(luò)系統(tǒng)中的漏洞的基礎(chǔ)上設(shè)計的，而是針對入侵的特征。但攻擊者利用網(wǎng)絡(luò)系統(tǒng)中的漏洞進行攻擊。也就是說，入侵性質(zhì)與系統(tǒng)的不完善息息相關(guān)。所以網(wǎng)絡(luò)安全和檢測可以互相幫助，而檢測也起到一定的作用。警報的作用。四，回應(yīng)；在入侵事件已知之后，第一次處理入侵，并且在外地網(wǎng)絡(luò)中，入侵的相應(yīng)工作由特殊人員處理，并且當(dāng)安全事件發(fā)生時，特殊網(wǎng)絡(luò)入侵相應(yīng)的組。測量過程的使用是一種緊急響應(yīng)?；謴?fù)過程是指在事件發(fā)生后，將系統(tǒng)恢復(fù)到原來的狀態(tài)，或者對網(wǎng)絡(luò)系統(tǒng)的安全性進行全面升級。系統(tǒng)恢復(fù)主要包括系統(tǒng)恢復(fù)和信息恢復(fù)。當(dāng)前系統(tǒng)恢復(fù)包括系統(tǒng)升級、軟件升級和補丁。系統(tǒng)還原的核心任務(wù)之一是刪除后門。信息恢復(fù)可以恢復(fù)丟失的數(shù)據(jù)，數(shù)據(jù)備份對數(shù)據(jù)恢復(fù)有重要影響。當(dāng)前的信息恢復(fù)過程是優(yōu)先級。在工作中首先要恢復(fù)重要信息，保證信息恢復(fù)的效率。在公司的網(wǎng)絡(luò)安全戰(zhàn)略中，保護、檢測、響應(yīng)和修復(fù)形成了安全模型，可確保信息系統(tǒng)的安全性。PPDR模型主要由網(wǎng)絡(luò)安全的實際狀態(tài)表示。這是一種理想的模型，因此也是網(wǎng)絡(luò)安全的理想模型。不考慮正在構(gòu)建的工程過程，并且未描述用于實現(xiàn)目標系統(tǒng)的路徑和方法。該模型主要基于技術(shù)方面構(gòu)建，因此管理元素不多。網(wǎng)絡(luò)安全體系的構(gòu)建是技術(shù)與管理相結(jié)合的一種全面發(fā)揮作用，其可持續(xù)性，全面性，完整性等特點更加突出。這是企業(yè)網(wǎng)絡(luò)安全建設(shè)的一部分。4.3設(shè)計原則網(wǎng)絡(luò)安全架構(gòu)旨在需要專業(yè)技術(shù)來實現(xiàn)全面保護。它必須采用某些設(shè)計原則。在本設(shè)計中，主要原則如下：一是系統(tǒng)而全面的原則。在網(wǎng)絡(luò)系統(tǒng)中，操作的概念和方法，在網(wǎng)絡(luò)安全保護，系統(tǒng)分析，行政手段的使用，管理的相關(guān)制度，專業(yè)的安全措施等，從而保證企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全。對于計算機網(wǎng)絡(luò)的相關(guān)安全措施，一定要注意企業(yè)網(wǎng)絡(luò)信息傳輸?shù)母鱾€環(huán)節(jié)，定期檢查和維護設(shè)備。定期檢查企業(yè)的網(wǎng)絡(luò)系統(tǒng)，搭配一些安全措施的使用維護系統(tǒng)的安全。而關(guān)于企業(yè)網(wǎng)絡(luò)的安全性，需要嚴格遵循安全政策的相關(guān)規(guī)定，確保網(wǎng)絡(luò)環(huán)境的秩序和安全。第二，需求原則，信息安全風(fēng)險會大大增加企業(yè)的成本。任何的網(wǎng)絡(luò)都不是完美無缺的，都會有一些漏洞影響其安全性，所以網(wǎng)絡(luò)安全一般是相對的；加強對網(wǎng)絡(luò)的研究，定期排查一些安全風(fēng)險以及一些隱性的威脅，找到應(yīng)對的方法和策略，從而保障企業(yè)信息系統(tǒng)的安全。三，并行性原則。網(wǎng)絡(luò)系統(tǒng)安全性的并行原則是為了滿足信息安全性的需求以及保障信息安全體系的一致性。設(shè)計包括初步設(shè)計，計算和實施，網(wǎng)絡(luò)驗證和操作等，從而保證信息內(nèi)容的安全以及信息傳輸過程的安全。這樣不但可以很好的降低企業(yè)的成本，還能保證安全制度的實施效果。第四，進步，適應(yīng)和分配的原則。由于目前網(wǎng)絡(luò)用戶量的不斷增加使得網(wǎng)絡(luò)的規(guī)模也越來越大，相應(yīng)的開發(fā)的應(yīng)用也越來越多，導(dǎo)致了當(dāng)前網(wǎng)絡(luò)信息的危險性，使得當(dāng)前網(wǎng)絡(luò)安全的問題難以解決。對此，需要相關(guān)網(wǎng)絡(luò)信息企業(yè)提升自己的技術(shù)加強對網(wǎng)絡(luò)信息傳輸環(huán)節(jié)的監(jiān)管，遵循信息安全的相關(guān)理念，才能讓企業(yè)的信息系統(tǒng)的“保質(zhì)期”更長